• 디지털산업정보학회논문지
• /
• 제13권2호
• /
• pp.1-11
• /
• 2017

In this paper, we design and implement PADIL(Prediction And Detection of Information Leakage) system that predicts and detect information leakage behavior of insider by analyzing network traffic and applying a variety of machine learning methods. we defined the five-level information leakage model(Reconnaissance, Scanning, Access and Escalation, Exfiltration, Obfuscation) by referring to the cyber kill-chain model. In order to perform the machine learning for detecting information leakage, PADIL system extracts various features by analyzing the network traffic and extracts the behavioral features by comparing it with the personal profile information and extracts information leakage level features. We tested various machine learning methods and as a result, the DecisionTree algorithm showed excellent performance in information leakage detection and we showed that performance can be further improved by fine feature selection.

• 정보보호학회논문지
• /
• 제20권5호
• /
• pp.59-67
• /
• 2010

본 논문에서는 유비쿼터스 컴퓨팅 환경에서 내부자가 합법적인 권한을 이용하여 불법적인 정보 유출 행위를 차단하는 접근통제 모델 IM-ACM(Insider Misuse-Access Control Model)을 제안하였다. IM-ACM은 상황역할과 개체의 보안속성을 활용하여 보안성을 강화시킨 CA-TRBAC(Context Aware-Task Role Based Access Control)에 오용 모니터 기능을 추가하여 내부자가 데이터를 올바르게 사용하는지 감시한다. 내부자에 의한 정보 유출은 합법적인 접근권한, 접근시스템에 대한 풍부한 지식 등의 내부자의 특성으로 인해 차단하기가 곤란하다. IM-ACM은 CA-TRBAC의 장점인 상황과 보안속성을 이용하여 서로 상이한 보안등급의 객체간 정보 흐름을 방지하고 오용 모니터를 활용하여 내부자의 실제 진행 프로세스를 최근 역할, 직무와 작업 프로세스 패턴 프로파일과 비교하여 내부자의 오용행위을 차단한다.

• KSII Transactions on Internet and Information Systems (TIIS)
• /
• 제9권11호
• /
• pp.4662-4679
• /
• 2015

Currently, the leakage of internal information has emerged as one of the most significant security concerns in enterprise computing environments. Especially, damage due to internal information leakage by insiders is more serious than that by outsiders because insiders have considerable knowledge of the system's identification and password (ID&P/W), the security system, and the main location of sensitive data. Therefore, many security companies are developing internal data leakage prevention techniques such as data leakage protection (DLP), digital right management (DRM), and system access control, etc. However, these techniques cannot effectively block the leakage of internal information by insiders who have a legitimate access authorization. The security system does not easily detect cases which a legitimate insider changes, deletes, and leaks data stored on the server. Therefore, we focused on the insider as the detection target to address this security weakness. In other words, we switched the detection target from objects (internal information) to subjects (insiders). We concentrated on biometrics signals change when an insider conducts abnormal behavior. When insiders attempt to leak internal information, they appear to display abnormal emotional conditions due to tension, agitation, and anxiety, etc. These conditions can be detected by the changes of biometrics signals such as pulse, temperature, and skin conductivity, etc. We carried out experiments in two ways in order to verify the effectiveness of the emotional recognition technology based on biometrics signals. We analyzed the possibility of internal information leakage detection using an emotional recognition technology based on biometrics signals through experiments.

• 디지털산업정보학회논문지
• /
• 제13권4호
• /
• pp.125-139
• /
• 2017

In this paper, we developed a framework to detect and predict insider information leakage by collecting and restoring network traffic. For automated behavior analysis, many meta information and behavior information obtained using network traffic collection are used as machine learning features. By these features, we created and learned behavior model, network model and protocol-specific models. In addition, the ensemble model was developed by digitizing and summing the results of various models. We developed a function to present information leakage candidates and view meta information and behavior information from various perspectives using the visual analysis. This supports to rule-based threat detection and machine learning based threat detection. In the future, we plan to make an ensemble model that applies a regression model to the results of the models, and plan to develop a model with deep learning technology.

• 융합보안논문지
• /
• 제20권1호
• /
• pp.85-92
• /
• 2020

최근에 발생한 군사기밀 유출 사례 중에는 정보통신망을 이용한 내부정보 유출은 드물다. 그 이유는 군 업무 특성상 국방정보통신망은 자료 전송용 인터넷과 내부 업무용 인트라넷으로 구성되어 있는데 물리적으로 분리되어 있고, 인터넷망을 통해서 자료를 송·수신할 때는 까다로운 절차를 거치게 때문이다. 최근 군사기밀 유출 사례를 분석한 결과 대부분의 유출 경로는 비밀을 복사하여 넘겨주거나 스마트폰으로 촬영하여 전송하거나 기밀 내용을 기억한 후에 발설한 것이다. 그래서 정보통신망을 대상으로 한 군사기밀 유출 차단 또는 탐지하는 기술은 효과적이지 못하다. 본 연구에서는 유출 대상인 군사기밀이 아닌 유출 주체자인 내부자 행위에 중점을 두고 정보유출 방지 방안을 제안하고자 한다. 첫 번째는 군사기밀을 유출하는 행위를 차단하는 예방 대책이고 두 번째는 군사기밀 파일에 의심스러운 접근행위를 차단하는 방안이며, 마지막으로 내부자의 정보유출 행위를 탐지하는 방안이다.

• 융합보안논문지
• /
• 제15권5호
• /
• pp.77-86
• /
• 2015

조직은 고객 정보 유출과 관련된 비즈니스 위험을 최소화하고, 자발적인 사전 검사를 통해 정보 보안 활동을 강화하고 부주의 방치 사고에 의한 개인 정보의 누출을 검출하는 방법을 발견해야 한다. 최근 많은 기업들이 정보유출방지솔루션을 도입하였으나, 업무산 필요에 의한 허용된 권한을 가진 내부 사용자에 의한 유출가능성이 존재한다. 이에 정보취급행위 및 활동에 대한 정보를 수집하여 분석할 수 있는 환경이 필요하다. 본 연구에서는 내부자의 활동 수준을 평가하기 위해서 RFM 모델을 응용한 SFI 분석기법을 활용, 실제 기업에 적용하여 사례 연구를 수행하였다.

• Journal of Information Processing Systems
• /
• 제15권3호
• /
• pp.520-537
• /
• 2019

This paper proposes a system that can detect the data leakage pattern using a convolutional neural network based on defining the behaviors of leaking data. In this case, the leakage detection scenario of data leakage is composed of the patterns of occurrence of security logs by administration and related patterns between the security logs that are analyzed by association relationship analysis. This proposed system then detects whether the data is leaked through the convolutional neural network using an insider malicious behavior graph. Since each graph is drawn according to the leakage detection scenario of a data leakage, the system can identify the criminal insider along with the source of malicious behavior according to the results of the convolutional neural network. The results of the performance experiment using a virtual scenario show that even if a new malicious pattern that has not been previously defined is inputted into the data leakage detection system, it is possible to determine whether the data has been leaked. In addition, as compared with other data leakage detection systems, it can be seen that the proposed system is able to detect data leakage more flexibly.

• 정보보호학회논문지
• /
• 제27권4호
• /
• pp.763-773
• /
• 2017

최근 몇 년 동안 지속적으로 개인정보유출, 기술유출 사고가 빈번하게 발생하고 있다. 조사에 따르면 이러한 유출 사고의 주체로 가장 많은 부분을 차지하고 있는 것이 조직 내부에 있는 '내부자'로, 내부자에 의한 기술유출은 조직에 막대한 피해를 주기 때문에 점점 더 중요한 문제로 여겨지고 있다. 본 논문에서는 내부자위협을 방지하기 위해 기계학습을 이용하여 직원들의 일반적인 정상행위를 학습하고, 이에 벗어나는 비정상 행위를 탐지하기 방법에 대한 연구를 하고자 한다. Neural Network 모델 중 시계열 데이터의 학습에 적합한 Recurrent Neural Network로 구성한 Autoencoder를 구현하여 비정상 행위를 탐지하는 방법에 대한 실험을 진행하였고, 이 방법에 대한 유효성을 검증하였다.

• 융합보안논문지
• /
• 제16권7호
• /
• pp.167-172
• /
• 2016

이 연구는 사이버 안보 및 형사정책 관점에서 공공기관의 내부자 정보유출에 대한 예방대책을 제시하는 것이 목적이다. 이를 위해 2장에서는 공공기관 정보보안시스템의 정의 및 이용현황에 대해서 살펴보았고, 3장에서는 웹서비스 기반 정보유출과 악성코드 기반 정보유출에 대해서 살펴보고, 국가안보적 측면에서 2014년에 발생했던 3대 카드사 개인정보유출사건에 대한 사례분석을 정보유출과 내부자의 연관성 측면에서 분석하였다. 4장에서는 본 연구의 대책으로서 크게 4가지를 제시하였는데 첫째, 사용자 기반 웹 필터링 솔루션을 통한 정보유출 차단으로서 악성코드에 대한 노출빈도를 제한하며, 개인정보가 포함된 경우 역시 차단하는 기능을 가지고 있다. 둘째, 악성코드에 의한 정보유출을 예방하기 위해 백신 및 백신관리시스템을 도입하여야 한다. 셋째, 전용 악성코드에 의한 정보유출을 차단하기 위해 내부망에서의 이동식 매체 사용을 자제하고, 해당 악성코드에 맞는 전용백신을 주기적으로 활용하여야 한다. 넷째, 스마트폰용 악성코드로부터 정보유출을 예방하기 위해 암호화 어플리케이션을 활용하여 중요 정보에 대한 암호화 저장이 이루어져야 한다.

• 한국인터넷방송통신학회논문지
• /
• 제17권4호
• /
• pp.11-17
• /
• 2017

최근 많은 기업 및 기관에서 내부정보가 유출되는 사고가 지속적으로 발생하고 있으며, 이러한 내부정보 유출사고는 대부분 권한 있는 내부자에 의해 발행하고 있다. 본 논문에서는 은닉 마르코프 모델(HMM)을 이용하여 내부자의 정상행위에서 생성된 정보를 모델링한 후 내부자들의 비정상행위를 탐지하는 내부정보 유출 탐지 기법에 대해 제안한다. 보안시스템들의 로그를 통해 내부자들의 행위에 대한 특징을 추출하여 입력 시퀀스를 생성하고, HMM 모델에 학습하여 정상행위에 대한 모델을 생성한다. 이상행위에 대한 판정은 사용자 행위에 대한 관측열을 정상행위 모델에 적용하여 확률값을 계산하고, 이 값을 특정 임계값과 비교하여 이상행위를 탐지한다. 실험을 통해 내부자 정보유출 행위를 탐지하기 위한 최적의 HMM 매개변수를 결정하였고, 실험결과 제안한 시스템이 내부자 정보유출 행위에 대해 20%의 오탐율과 80%의 탐지율을 보여주었다.