이상 특성 기반 비정상 행위 탐지 시스템

Abstract

최근 몇 년간 웹 서버에서 발생하는 비정상 행위를 탐지하기 위한 많은 연구가 진행되어 왔다. 인터넷의 규모가 빠르게 팽창하고 이용률이 증가함에 따라 분석해야 할 대상들이 급격하게 증가하였음에도 불구하고 대용량의 데이터에서 효과적으로 비정상 행위를 분석할 수 있는 방법이 없었기 때문에 단순한 통계적 방법을 이용하여 웹 로그를 분석해 왔다. 또한 기존의 연구는 인위적으로 만들어진 데이터를 대상으로 탐지모델을 제안하고 효용성을 검증하였기 때문에 한계를 가지고 있다. 본 연구는 Microsoft.com 웹 서버에서 실제로 수집된 250GB의 방대한 용량의 웹 로그를 대상으로 이상행위를 분석하였다. 그 결과 필드들과 필드의 속성들의 관계를 이용하여 `Anomaly Feature Matrix (AFM)`라는 이상 탐지 모델과 10개의 의심패턴을 정의하였고 제안된 모델을 바탕으로 자동화된 이상탐지도구인 ADAM을 구현하였다. ADAM 시스템은 사용자에게 이상일 가능성이 높은 데이터만 선별하여 제공하기 때문에 수기 분석에 대한 부담을 줄일 수 있을 뿐 아니라 이상행위를 탐지할 가능성을 높인다. 또한 시각화된 정보를 제공하여 사용자가 직관적으로 인식함으로서 보다 빠르고 효율적으로 이상행위를 분류할 수 있다.