전자결재 로그 데이터의 상태 전이 기반 오용탐지 기법
A Misuse Detection Method based on the State Transition of Electronic Approval Log Data
초록/요약
국 문 요 약 기업 내 그룹웨어 시스템 사용이 증가됨에 따라 기업 내부의 전자결재시스템에 대한 보안도 매우 중요시되고 있다. 따라서 기업 내부 직원이 기업 내 중요한 기밀문서 또는 결재문서를 다양한 방법으로 외부로 유출하는 경우를 탐지해야 한다. 위와 같은 문제로 일반적인 전자결재 프로세스에서 발생할 수 있는 침입탐지에 대한 문제점을 오용탐지 시나리오로 정의하였다. 정의된 오용탐지 시나리오를 기반으로 블랙리스트 탐지 규칙에 적합한 로그데이터 오용탐지 모듈을 설계하였다. 본 논문에서는 전자결재 프로세스에서 생성되는 로그 데이터를 수집하였고, 수집된 로그 데이터 정보를 바탕으로 의미 있는 정보로 재가공하고 블랙리스트 탐지를 위한 로그 정보를 추출하였다. 추출된 로그 데이터와 미리 정의된 오용탐지 시나리오에 기반하여 블랙리스트 탐지 규칙을 블랙리스트 체크 루틴 모듈에 적용하였다. 오용탐지 시나리오에 기반하여 블랙리스트 탐지 패턴에 대해 데이터베이스를 참조하여 침입 여부를 탐지하는 모델에 근거한 방법과 전자결재 프로세스의 상태 변화를 관찰하는 상태 전이 기법으로 내부 직원에 의한 비정상행위를 탐지하는 오용탐지 프로세스를 제안한다.
more초록/요약
Abstract Depending on the use of groupware systems in the enterprise is increasing, security for electronic approval systems within the enterprise has also become very important. Therefore, it must be detected a case that company's confidential documents or approval documents are leaked outside by company's internal personnel in a number of ways. The problem of the intrusion detection that may arise from general electronic approval process due to above problem was defined as misuse detection scenario. Based on the defined misuse detection scenario the log data misuse detection module suitable for the detection rules for blacklist was designed. In this paper, log data generated from electronic approval process was collected, and based on the collected log data information it was reprocessed into a meaningful information, and the log information was extracted for the detection blacklist. Based on the extracted log data and the pre-defined misuse detection scenario, blacklist detection rules were applied to Blacklist Check Routine Module. Referring database to the blacklist detection patterns based on misuse detection scenario, this paper proposes a misuse detection process for detecting the abnormal acts by internal personnel through a method based on the model to detecting whether or not the intrusion and through a state transition method observing the status changes of electronic approval process.
more목차
제 1 장 서 론 1
제 1 절 연구 배경 1
제 2 절 연구 목적 2
제 3 절 논문 구성 3
제 2 장 관련 연구 4
제 1 절 침입탐지시스템 4
제 1 항 침입탐지시스템의 구조 4
제 2 항 침입탐지시스템의 종류 5
제 3 항 침입탐지시스템의 유형 8
제 2 절 전자결재시스템 10
제 1 항 전자결재시스템 정의 10
제 2 항 전자결재시스템 흐름도 11
제 3 절 상태 전이(State Transition) 12
제 1 항 상태 전이 프로세스 정의 12
제 2 항 상태 전이 프로세스 구조 12
제 4 절 기존 로그 분석 도구 비교 13
제 1 항 Log Parser 13
제 2 항 Google Analytics 14
제 5 절 블랙리스트와 화이트리스트 15
제 1 항 블랙리스트 방식 15
제 2 항 화이트리스트 방식 15
제 3 장 제안 방식 16
제 1 절 A사의 전자결재시스템 구조 17
제 1 항 A사의 전자결재시스템 흐름도 17
제 2 절 전자결재 로그 데이터 오용탐지 시나리오 18
제 1 항 로그 데이터 오용탐지 프로세스 18
제 2 항 로그 데이터 오용탐지 모듈 시나리오 19
제 3 항 로그 데이터 오용탐지 모듈 제안 20
제 4 장 설계 및 분석 22
제 1 절 로그 데이터베이스 설계 22
제 1 항 데이터베이스 설계 환경 22
제 2 항 전자결재 로그 데이터베이스 22
제 3 항 전자메일 로그 데이터베이스 24
제 4 항 오용탐지 로그 데이터베이스 추출과정 25
제 2 절 스케줄러를 이용한 오용탐지 기법 26
제 1 항 상태 전이 기반 오용탐지 26
제 2 항 Spring Framework를 이용한 블랙리스트 체크루틴 29
제 5 장 결론 및 향후 연구 30
참고문헌 31
Abstract 33
