• 제목/요약/키워드: 비정상 이벤트

검색결과 41건 처리시간 0.037초

Seasonal-Trend Decomposition과 시계열 상관관계 분석을 통한 비정상 이벤트 탐지 시각적 분석 시스템 (Visual Analytics for Abnormal Event detection using Seasonal-Trend Decomposition and Serial-Correlation)

  • 연한별;장윤
    • 정보과학회 논문지
    • /
    • 제41권12호
    • /
    • pp.1066-1074
    • /
    • 2014
  • 본 논문에서는 시공간 정보를 포함하는 트윗 스트림에서 비정상적인 이벤트에 대한 상관관계를 사용자에게 시각적으로 분석하는 방법을 다양한 실험을 통하여 제안한다. 제안하는 방법으로는 트윗에서 토픽 모델링을 수행한 다음 계절요인과 추세요인을 반영한 시계열 분석 기법을 이용하여 비정상적인 이벤트 후보군을 추출한다. 추출된 토픽이 포함되어 있는 데이터를 대상으로 다시 한 번 토픽을 추출하여 시계열 분석을 수행한 다음 앞서 추출한 토픽과의 상관관계를 분석하여 비정상적인 이벤트를 탐지할 수 있도록 하였다. 비정상 이벤트를 탐지하는 모든 과정에 시각적 분석 방법을 이용하여 단순한 수치 정보가 아닌 시각적 패턴 형태로 나타냄으로써 사용자는 직관적으로 비정상 이벤트의 동향과 주기적인 패턴을 분석할 수 있도록 하였다. 실험은 2014년 1월 1일부터 2014년 6월 30일까지 국내에서 발생한 트윗을 대상으로 2개의 사건[경주 마우나 리조트 붕괴 사건(2014.02.17.), 진도 여객선 침몰 사건(2014.04.16.)]에 대해 시각적 분석 시스템을 적용하여 사용자는 쉽게 데이터를 분석하고 이해할 수 있음을 보였다.

윈도우 이벤트 로그 기반 PC 비정상 종료 분석 및 활용방안 (Analysis of Unexpected Shutdown Based on Windows Event Log(EVTX) and its Applications in forensic)

  • 김하영;박현민;김기범
    • 한국정보처리학회:학술대회논문집
    • /
    • 한국정보처리학회 2022년도 춘계학술발표대회
    • /
    • pp.33-36
    • /
    • 2022
  • 이벤트 로그(Event Log)는 윈도우 운영체제에서 시스템 로그를 기록하는 형식으로 시스템 운영에 대한 정보를 체계적으로 관리한다. 이벤트는 시스템 자체 또는 사용자의 특정 행위로 인해 발생할 수 있고, 그러한 이벤트 로그는 시스템의 시작과 종료뿐만 아니라 기업 보안 감사, 악성코드 탐지 등 행위의 근거로 사용될 수 있다. 본 논문에서는 PC 종료 관련 실험을 통해 이벤트 로그와 ID를 분석하였다. 분석 결과를 통해 PC의 정상 및 비정상 종료 여부를 판단하여, 현장 압수·수색 시 해당 저장매체에 대해 선별압수·매체압수의 해당 여부 식별이 가능하다. 본 연구는 현장수사관이 디지털증거 압수·수색 시 절차적 적법성과 증거능력 확보의 근거 활용에 기여할 수 있다.

토픽의 조합으로 이벤트 흐름을 예측하기 위한 시각적 분석 시스템 (Visual Analytics using Topic Composition for Predicting Event Flow)

  • 연한별;김석연;장윤
    • 정보과학회 컴퓨팅의 실제 논문지
    • /
    • 제21권12호
    • /
    • pp.768-773
    • /
    • 2015
  • 사회적 혼란을 야기하는 이벤트는 발생 직후 어떻게 대응하느냐에 따라 소요되는 비용의 편차가 크다. 이에 따라 비정상적인 이벤트를 탐지하고 의미를 파악하는 연구가 많이 진행되고 있다. 또한 예측 분석에 관한 연구도 많이 수행되고 있다. 그러나 대부분의 연구는 이벤트의 전체적인 미래 경향에 대한 수치 결과를 예측할 뿐, 이벤트가 내포하는 의미에 대한 예측 연구는 미비하다. 이에 따라 본 논문에서는 비정상적인 이벤트가 내포하는 토픽의 조합을 통해 미래에 어떠한 일이 발생할 수 있는지에 대한 시각적 예측 분석 방법을 제안한다. 제안하는 방법은 먼저 트윗에서 실시간으로 비정상 이벤트를 탐지한다. 그 다음 과거 유사한 사례를 탐색한 다음 이벤트와 관련된 토픽들을 추출한다. 마지막으로 사용자는 의미 있는 토픽의 조합을 통해 미래에 어떠한 일이 발생할 수 있을지 분석할 수 있다. 실험은 두 가지 상황에 대한 예측 분석을 수행하였으며, 실험 결과 본 논문에서 제안한 방법의 타당성을 입증하였다.

순서적 이벤트에 기반한 침입탐지시스템의 성능향상을 위한 다중 HMM의 모델 결합 (Combining Multiple HMMs to Improve Intrusion Detection system with Sequential Event)

  • 최종호;조성배
    • 한국정보과학회:학술대회논문집
    • /
    • 한국정보과학회 2000년도 봄 학술발표논문집 Vol.27 No.1 (B)
    • /
    • pp.238-240
    • /
    • 2000
  • 침입탐지시스템은 침입탐지 기법에 따라 크게 오용탐지시스템과 비정상행위탐지시스템으로 나뉜다. 비정상 행위 탐지시스템은 정상사용행위를 모델링한 후 현재 관찰중인 행위가 정상에서 벗어나는지를 검사한다. 시스템 사용시 발생하는 각 이벤트는 동시에 여러 가지 정보를 담고있으므로 여러 각도에서 모델링될 수 있다. 따라서 여러 결과를 종합해서 판정의 안정성을 높을 수 있다. 본 논문에서는 이벤트의 시스템호출에 평가결과와 BSM감사정보 중 시스템호출관련 정보, 파일 접근관련 정보, 이 둘을 모두 고려한 정보를 통합한 평가결과를 투표방식으로 결합하여 판정하는 기법을 제안하였다. 실험결과 두 모델을 별도로 적용하는 경우보다 나아진 판정성능을 보여주었다.

  • PDF

COVID-19 사례를 통한 도시 내 비정상적 수요 예측을 위한 시계열 모형 파이프라인 개발 연구 (Time Series Modeling Pipeline for Urban Behavioral Demand Prediction under Uncertainty)

  • 진민수;이동우;김영록;이현수
    • 한국ITS학회 논문지
    • /
    • 제22권2호
    • /
    • pp.80-92
    • /
    • 2023
  • 도시에 많은 사람들이 밀집하여 살아가면서 기존에 예측하지 못했던 범죄, 사고, 감염병 등의 비정상 이벤트가 발생은 도시 내 이용자 수요에 영향을 미치게 된다. 이러한 불확실성(uncertainty)이 내포된 정보를 기반으로 도시 내 이용자 수요에 대한 시계열적 예측을 수행한다면 신뢰성 있는 결과 도출이 불가능하다. 특히, 2020년 초 발발한 COVID-19는 비정상적인 이동통행패턴의 변화를 불러 일으키며 시계열 수요예측을 어렵게 만들었기에 이러한 변화를 검지하고 이를 반영하여 정확한 수요를 예측 수행할 수 있는 방법론의 필요성이 대두되고 있다. 이에 본 연구는 COVID-19로 인한 비정상적 이벤트를 자동으로 검지하고 예측하는 모형 파이프라인을 구축하였다. 이는 도시 내 다양한 분야에서의 불규칙적이고 비정상적인 이벤트로 인한 수요변화가 일어나는 상황에 폭넓게 활용될 수 있을 것으로 생각된다.

권한 이동 이벤트를 이용한 은닉 마르코프 모델 기반 침입탐지 시스템 (An Intrusion Detection System Using Privilege Change Event Modeling based on Hidden Markov Model)

  • 박혁장;장유석;조성배
    • 한국정보과학회:학술대회논문집
    • /
    • 한국정보과학회 2001년도 봄 학술발표논문집 Vol.28 No.1 (A)
    • /
    • pp.769-771
    • /
    • 2001
  • 침입의 궁극적 목표는 루트 권한의 획득이라고 할 수 있는데 최근 유행하고 있는 버퍼플로우(Buffer Over flow)등이 대표적이다. 최근 날로 다양화되는 이런 침입방법들에 대응하기 위해 비정상행위 탐지기법 연구가 활발한데 대표적인 방법으로는 통계적 기법과 전문가시스템, 신경망 등을 들 수 있다. 본 논문에서 제안하는 침입탐지시스템은 권한 이동 관련 이벤트의 추출 기법을 이용하여 Solaris BSM 감사 기록에서 추출된 정보 이벤트들을 수집한 후 은닉 마르코프 모델(HMM)로 모델링하여 정상행위 모델들을 만든다. 추론 및 판정시에는 이미 만들어진 정상행위 모델을 사용하여 새로 입력된 사용자들의 시퀀스를 비교 평가하고, 이를 바탕으로 정상 권한이동과 침입시의 권한이동의 차이를 비교하여 침입여부를 판정한다. 실험결과 HMM만을 사용한 기존 시스템에 비해 유용함을 알 수 있었다.

  • PDF

권한이동 모델링을 통한 은닉 마르코프 모델 기반 침입탐지 시스템의 성능 향상 (Performance Improvement of Infusion Detection System based on Hidden Markov Model through Privilege Flows Modeling)

  • 박혁장;조성배
    • 한국정보과학회논문지:정보통신
    • /
    • 제29권6호
    • /
    • pp.674-684
    • /
    • 2002
  • 기존 침입탐지시스템에서는 구현의 용이성 때문에 오용침입탐지 기법이 주로 사용되었지만, 새로운 침입에 대처하기 위해서는 궁극적으로 비정상행위탐지 기법이 요구된다. 그 중 HMM기법은 생성메커니즘을 알 수 없는 이벤트들을 모델링하고 평가하는 도구로서 다른 침입탐지기법에 비해 침입탐지율이 높은 장점이 있다. 하지만 높은 성능에 비해 정상행위 모델링 시간이 오래 걸리는 단점이 있는데, 본 논문에는 실제 해킹에 사용되고 있는 다양한 침입패턴을 분석하여 권한이동시의 이벤트 추출방법을 이용한 모델링 기법을 제안하였고 이를 통하여 모델링 시간과 False-Positive 오류를 줄일 수 있는 지 평가해 보았다. 실험결과 전체 이벤트 모델링에 비해 탐지율이 증가하였고 시간 또한 단축됨을 알 수 있었다.

K-means 알고리듬을 이용한 비정상 사운드 검출 (Irregular Sound Detection using the K-means Algorithm)

  • 이재열;조상진;정의필
    • 한국음향학회:학술대회논문집
    • /
    • 한국음향학회 2004년도 춘계학술발표대회 논문집 제23권 1호
    • /
    • pp.341-344
    • /
    • 2004
  • 발전소에서 운전 중인 발전 설비의 장비 및 기계의 동작, 감시, 진단은 매우 중요한 일이다. 발전소의 이상 감지를 위해 상태 모니터링이 사용되며, 이상이 발생되었을 때 고장의 원인을 분석하고 적절한 조치를 계획하기 위한 이상 진단 과정을 따르게 된다. 본 논문에서는 산업 현장에서 기기들의 운전시에 발생하는 기기 발생 음을 획득하여 정상/비정상을 판정하기 위한 알고리듬에 대하여 연구하였다. 사운드 감시(Sound Monitoring) 기술은 관측된 신호를 acoustic event로 분류하는 것과 분류된 이벤트를 정상 또는 비정상으로 구분하는 두 가지 과정으로 진행할 수 있다. 기존의 기술들은 주파수 분석과 패턴 인식의 방법으로 간단하게 적용되어 왔으며, 본 논문에서는 K-means clustering 알고리듬을 이용하여 사운드를 acoustic event로 분류하고 분류된 사운드를 정상 또는 비정상으로 구분하는 알고리듬을 개발하였다.

  • PDF

침입탐지 시스템을 위한 은닉 마르코프 모델의 적용 (Application of Hidden Markov Model to Intrusion Detection System)

  • 최종호;조성배
    • 한국정보과학회논문지:소프트웨어및응용
    • /
    • 제28권6호
    • /
    • pp.429-438
    • /
    • 2001
  • 정보통신 구조의 확산과 함께 전산시스템에 대한 침입과 피해가 증가되고 있으며 침입탐지 시스템에 대한 관심과 연구가 늘어나고 있다. 본 논문에서는 은닉 마르코프 모델(HMM)을 이용하여 사용자의 정상행위에서 생성된 이벤트ID 정보를 모델링한 후 사용자의 비정상행위를 탐지하는 침입탐지 시스템을 제안한다. 전처리를 거친 이벤트ID열은 전방향-역방향 절차와 Baum-Welch 재추정식을 이용하여 정상행위로 구축된다. 판정은 전방향 절차를 이용해서 판정하려는 열이 정상행위로부터 생성되었을 확률을 계산하며, 이 값을 임계값과 비교함으로써 수행된다. 실험을 통해 침입탐지를 위한 최적의 HMM 매개변수를 결정하고 사용자 구분이 없는 단일모델링, 사용자별 모델링, 사용자 그룹별 모델링 방식을 비교하여 정상행위 모델링 성능을 평가하였다. 실험결과 제안한 시스템이 발생한 침입을 적절히 탐지함을 확인할 수 있었지만, 신뢰도 높은 침입탐지 시스템의 구축을 위해서는 보다 정교한 모델의 클러스터링이 필요함을 알 수 있었다.

  • PDF

컨테이너 터미널 성능평가를 위한 대용량 이벤트 로그 정제 방안 연구 (Refining massive event logs to evaluate performance measures of the container terminal)

  • 박은정;배혜림
    • 한국빅데이터학회지
    • /
    • 제4권1호
    • /
    • pp.11-27
    • /
    • 2019
  • 컨테이너터미널 경영환경이 악화됨에 따라 컨테이너터미널의 수익률은 점차 감소하고 있다. 컨테이너터미널 운영자는 전반적인 컨테이너터미널의 문제점을 분석하고 개선함으로써 컨테이너터미널의 글로벌 경쟁력을 높이고자 한다. 이를 위해 컨테이너터미널은 운영 중 생성되는 데이터를 실시간으로 수집 및 저장하고 있으며, 운영자는 저장된 데이터를 활용하여 운영 문제를 분석하고자 많은 노력을 기울여왔다. 본 연구에서는 컨테이너터미널 운영 프로세스의 특성을 분석하고 컨테이너터미널 운영을 효과적으로 분석하기 위한 컨테이너 프로세스 및 CKO(container keeping object) 프로세스를 제안한다. 또한 TOS(terminal operating system)에 저장된 데이터로부터 본 연구에서 제안된 프로세스를 생성하기 위한 이벤트 로그를 정의한다. 제안된 프로세스를 활용하여 비정상적인 프로세스를 만드는 불완전한 이벤트 로그가 어떻게 효과적으로 정제되는지 설명한다. 이벤트 로그를 쉽고 빠르게 수정하기 위한 프레임워크를 제안하였으며, 이를 검증하기 위해 python2.7을 이용하여 해당 프레임워크를 구현하였다. 또한 실제 컨테이너터미널에서 수집된 데이터를 입력 데이터로 사용하여 제안된 프레임워크의 타당성을 검증하였다. 그 결과, 이벤트 로그 정제를 통해 컨테이너터미널의 비정상적인 프로세스가 크게 개선되었음을 확인할 수 있었다.

  • PDF