KR102234514B1 - Artificial intelligence method and system for integrated it monitoring - Google Patents

Artificial intelligence method and system for integrated it monitoring Download PDF

Info

Publication number
KR102234514B1
KR102234514B1 KR1020200028286A KR20200028286A KR102234514B1 KR 102234514 B1 KR102234514 B1 KR 102234514B1 KR 1020200028286 A KR1020200028286 A KR 1020200028286A KR 20200028286 A KR20200028286 A KR 20200028286A KR 102234514 B1 KR102234514 B1 KR 102234514B1
Authority
KR
South Korea
Prior art keywords
detection target
data
determining
threshold value
detection
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
KR1020200028286A
Other languages
Korean (ko)
Other versions
KR20200134143A (en
Inventor
김경화
Original Assignee
주식회사 제이슨
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 제이슨 filed Critical 주식회사 제이슨
Priority to KR1020200028286A priority Critical patent/KR102234514B1/en
Publication of KR20200134143A publication Critical patent/KR20200134143A/en
Application granted granted Critical
Publication of KR102234514B1 publication Critical patent/KR102234514B1/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

본 발명의 다양한 실시 예는 통합 관제 방법에 관한 것이다. 본 발명의 일 실시예에 따른 통합 관제 방법은, 탐지 대상의 데이터를 획득하는 단계; 상기 탐지 대상의 상기 데이터와 관련된 임계값을 결정하는 단계; 상기 탐지 대상의 상기 데이터와 상기 임계값을 비교하는 단계; 및 상기 비교 결과 상기 탐지 대상의 상기 데이터가 정상 범위를 벗어날 경우, 상기 탐지 대상의 이상징후 여부를 판단하는 단계를 포함하고, 상기 임계값을 결정하는 단계는 상기 탐지 대상의 상기 데이터를 획득할 때마다 반복적으로 수행되고, 상기 임계값을 결정하는 단계는, 상기 데이터를 획득한 시점 이전부터 미리 설정한 기준 기간 동안 상기 탐지 대상의 과거 데이터를 추출하는 단계; 상기 과거 데이터에서 기준 값을 산출하는 단계; 및 상기 기준 값과 지정된 가중치에 기반하여 임계값을 결정하는 단계를 포함할 수 있다. 다른 실시 예들도 가능할 수 있다.Various embodiments of the present invention relate to an integrated control method. An integrated control method according to an embodiment of the present invention includes the steps of acquiring data of a detection target; Determining a threshold value related to the data of the detection target; Comparing the data of the detection target with the threshold value; And when the data of the detection target is out of the normal range as a result of the comparison, determining whether or not the detection target has abnormal symptoms, wherein the determining of the threshold value is performed when acquiring the data of the detection target It is repeatedly performed every time, and the determining of the threshold may include: extracting past data of the detection target for a preset reference period from before the time when the data is acquired; Calculating a reference value from the past data; And determining a threshold value based on the reference value and a designated weight. Other embodiments may also be possible.

Description

인공지능형 통합 IT관제 방법 및 시스템{ARTIFICIAL INTELLIGENCE METHOD AND SYSTEM FOR INTEGRATED IT MONITORING}Artificial intelligence integrated IT control method and system {ARTIFICIAL INTELLIGENCE METHOD AND SYSTEM FOR INTEGRATED IT MONITORING}

본 발명은 통합 관제 방법 및 시스템에 관한 것으로, 보다 자세하게는 자동 가변 임계치를 이용하여 지능형 정밀 탐지를 구현하는 방법 및 시스템에 관한 것이다.The present invention relates to an integrated control method and system, and more particularly, to a method and system for implementing intelligent precision detection using an automatic variable threshold.

시스템을 운영하는 기업들은 대부분 시스템을 모니터링하거나 Alerting을 받을 수 있는 다양한 형태의 소프트웨어를 사용하고 있다. 이러한 소프트웨어들은 시스템이나 데이터베이스의 특정 항목에 대하여 별도로 저장된 임계치를 통해 임계치 초과 여부를 검사하고, 임계치 초과 시 사용자에게 해당 사실을 Alerting 해주는 기능을 수행하고 있으나 현실적으로 많은 운영상의 문제점들을 가지고 있어 실질적인 효과를 기대하기 어려운 것이 사실이다. 특히, 1차원적인 획일적인 임계치 설정은 시스템이나 데이터베이스가 가지고 있는 다양한 운영상의 특성(Peak-Time, 결산, 마감작업 등이 몰리는 현상)을 반영할 수 없고, 탐지 기준인 임계치를 단순한 숫자만으로 활용하여 장애 또는 사고를 판단하는 것은 부정확한 탐지를 발생시킬 수 있고, 모든 탐지 대상에 대해 획일화된 임계치를 설정할 경우 탐지 대상 별 특성을 반영할 수 없어서 다량의 이상징후 이벤트 중 다수가 노이즈인 문제점이 있었다. 또한 설사 이상징후 검출에 따라 보안 사고 등이 발생한 탐지 대상을 발견하더라도 탐지 대상과 유사한 보안 사고를 일으킨 대상들 또는 공모자들을 함께 발견하기 어려운 문제점이 있었다.Most of the companies operating the system use various types of software that can monitor the system or receive alerting. These software check whether the threshold is exceeded through the threshold value stored separately for a specific item in the system or database, and when the threshold value is exceeded, it alerts the user to that fact, but in reality, it has many operational problems, so a practical effect is expected. It is true that it is difficult to do. In particular, the one-dimensional uniform threshold setting cannot reflect the various operational characteristics of the system or database (peak-time, settlement, closing work, etc.), and the detection criterion threshold value is used only with simple numbers. Determining a failure or accident can cause inaccurate detection, and if a uniform threshold is set for all detection targets, the characteristics of each detection target cannot be reflected, so many of the many abnormal symptom events are noise. . In addition, even if a detection target in which a security incident has occurred due to the detection of abnormal signs, it is difficult to find the targets or conspirators who have caused a security incident similar to the detection target.

본 발명은 상기와 같은 문제점을 해결하기 위해 안출된 것으로서, 자동 가변 임계값을 이용하여 탐지 대상의 상태를 정확하게 반영하는 방법 및 시스템을 제공하는 데 목적이 있다.The present invention has been devised to solve the above problems, and an object of the present invention is to provide a method and system for accurately reflecting the state of a detection target using an automatic variable threshold.

또한, 본 발명은 탐지 대상 별 개인화된 임계값을 설정함으로써 탐지대상의 이상징후를 정확하게 검출하는 방법 및 시스템을 제공하는 데 목적이 있다.In addition, an object of the present invention is to provide a method and system for accurately detecting abnormal symptoms of a detection target by setting a personalized threshold value for each detection target.

또한, 본 발명은 복수의 군집을 이용하여 탐지 대상의 이상징후를 정확하게 검출하는 방법 및 시스템을 제공하는 데 목적이 있다.In addition, an object of the present invention is to provide a method and system for accurately detecting abnormal symptoms of a target to be detected using a plurality of clusters.

또한, 본 발명은 탐지 대상의 유사도 또는 관계도를 이용하여 동일한 사고를 발생시킨 모든 탐지 대상들을 검출하는 방법 및 시스템을 제공하는 데 목적이 있다.In addition, an object of the present invention is to provide a method and system for detecting all detection targets that have caused the same accident by using the similarity or relationship between detection targets.

본 발명이 해결하고자 하는 과제들은 이상에서 언급된 과제로 제한되지 않으며, 언급되지 않은 또 다른 과제들은 아래의 기재로부터 통상의 기술자에게 명확하게 이해될 수 있을 것이다.The problems to be solved by the present invention are not limited to the problems mentioned above, and other problems that are not mentioned will be clearly understood by those skilled in the art from the following description.

본 발명의 일 실시예에 따른 통합 관제 방법은, 탐지 대상의 데이터를 획득하는 단계; 상기 탐지 대상의 상기 데이터와 관련된 임계값을 결정하는 단계; 상기 탐지 대상의 상기 데이터와 상기 임계값을 비교하는 단계; 및 상기 비교 결과 상기 탐지 대상의 상기 데이터가 정상 범위를 벗어날 경우, 상기 탐지 대상의 이상징후 여부를 판단하는 단계를 포함하고, 상기 임계값을 결정하는 단계는 상기 탐지 대상의 상기 데이터를 획득할 때마다 반복적으로 수행되고, 상기 임계값을 결정하는 단계는, 상기 데이터를 획득한 시점 이전부터 미리 설정한 기준 기간 동안 상기 탐지 대상의 과거 데이터를 추출하는 단계; 상기 과거 데이터에서 기준 값을 산출하는 단계; 및 상기 기준 값과 지정된 가중치에 기반하여 임계값을 결정하는 단계를 포함할 수 있다.An integrated control method according to an embodiment of the present invention includes the steps of acquiring data of a detection target; Determining a threshold value related to the data of the detection target; Comparing the data of the detection target with the threshold value; And when the data of the detection target is out of the normal range as a result of the comparison, determining whether or not the detection target has abnormal symptoms, wherein the determining of the threshold value is performed when acquiring the data of the detection target It is repeatedly performed every time, and the determining of the threshold may include: extracting past data of the detection target for a preset reference period from before the time when the data is acquired; Calculating a reference value from the past data; And determining a threshold value based on the reference value and a designated weight.

본 발명의 일 실시예에 따른 통합 관제 시스템은, 탐지 대상의 이상징후를 탐지 및 분석하는 메인 서버를 포함하고, 상기 메인 서버가 탐지 대상의 데이터를 획득하고, 상기 메인 서버가 상기 탐지 대상의 상기 데이터와 관련된 임계값을 결정하고, 상기 메인 서버가 상기 탐지 대상의 상기 데이터와 상기 임계값을 비교하고, 상기 메인 서버가 상기 비교 결과 상기 탐지 대상의 상기 데이터가 정상 범위를 벗어날 경우, 상기 탐지 대상의 이상징후 여부를 판단하고, 상기 메인 서버는 상기 탐지 대상의 상기 데이터를 획득할 때마다 상기 임계값을 반복적으로 결정하고, 상기 메인 서버는 상기 데이터를 획득한 시점 이전부터 미리 설정한 기준 기간 동안 상기 탐지 대상의 과거 데이터를 추출하고, 상기 과거 데이터에서 기준 값을 산출하고, 상기 기준 값과 지정된 가중치에 기반하여 임계값을 결정함으로써 상기 임계값을 결정할 수 있다.An integrated control system according to an embodiment of the present invention includes a main server that detects and analyzes abnormal symptoms of a detection target, the main server acquires data of the detection target, and the main server obtains the detection target. When a threshold value related to data is determined, the main server compares the data of the detection target with the threshold value, and the main server compares the data of the detection target with the comparison result, the detection target Is determined whether or not there is an abnormal symptom, the main server repeatedly determines the threshold value each time the data of the detection target is acquired, and the main server is for a preset reference period from before the time when the data is acquired The threshold value may be determined by extracting past data of the detection target, calculating a reference value from the past data, and determining a threshold value based on the reference value and a designated weight.

상기와 같은 본 발명에 따르면, 아래와 같은 다양한 효과들을 가진다.According to the present invention as described above, it has various effects as follows.

본 발명은 자동 가변 임계값을 이용하여 탐지 대상의 상태를 정확하게 반영할 수 있다.The present invention can accurately reflect the state of the detection target by using an automatically variable threshold.

또한, 본 발명은 탐지 대상 별 개인화된 임계값을 설정함으로써 탐지대상의 이상징후를 정확하게 검출할 수 있다.In addition, the present invention can accurately detect abnormal symptoms of a detection target by setting a personalized threshold value for each detection target.

또한, 본 발명은 복수의 군집을 이용하여 탐지 대상의 이상징후를 정확하게 검출할 수 있다.In addition, the present invention can accurately detect abnormal symptoms of a detection target by using a plurality of clusters.

또한, 본 발명은 탐지 대상의 유사도 또는 관계도를 이용하여 동일한 사고를 발생시킨 모든 탐지 대상들을 검출할 수 있다.In addition, the present invention can detect all detection targets that have caused the same accident by using the similarity or relationship of the detection target.

도 1 은 본 발명의 통합 관제 시스템을 나타낸 블록도이다.
도 2는 본 발명의 일 실시 예에 따른 통합 관제 방법을 설명하기 위한 흐름도이다.
도 3은 본 발명의 일 실시 예에 따른 임계값을 결정하기 위한 방법을 설명하기 위한 흐름도이다.
도 4는 본 발명의 일 실시 예에 따른 탐지 대상의 상태를 판단하는 방법을 설명하기 위한 흐름도이다.
도 5는 본 발명의 일 실시 예에 따른 탐지 대상의 상태를 판단하는 방법을 설명하기 위한 예시도이다.
도 6은 본 발명의 일 실시 예에 따른 텍스트를 포함하는 로그 데이터에서 임계값을 결정하는 방법을 설명하기 위한 흐름도이다.
도 7은 본 발명의 일 실시 예에 따른 군집을 이용하여 이상징후를 판단하는 방법을 설명하기 위한 흐름도이다.
도 8은 본 발명의 일 실시 예에 따른 군집을 이용하여 이상징후를 판단하는 방법을 설명하기 위한 예시도이다.
도 9는 본 발명의 일 실시 예에 따른 유사도를 이용하여 탐지 대상의 이상징후를 판단하는 방법을 설명하기 위한 흐름도이다.
도 10은 본 발명의 일 실시 예에 따른 관계도를 이용하여 탐지 대상의 이상징후를 판단하는 방법을 설명하기 위한 흐름도이다.1 is a block diagram showing an integrated control system of the present invention.
2 is a flowchart illustrating an integrated control method according to an embodiment of the present invention.
3 is a flowchart illustrating a method for determining a threshold value according to an embodiment of the present invention.
4 is a flowchart illustrating a method of determining a state of a detection target according to an embodiment of the present invention.
5 is an exemplary diagram illustrating a method of determining a state of a detection target according to an embodiment of the present invention.
6 is a flowchart illustrating a method of determining a threshold value from log data including text according to an embodiment of the present invention.
7 is a flowchart illustrating a method of determining an abnormal symptom using a cluster according to an embodiment of the present invention.
8 is an exemplary diagram illustrating a method of determining an abnormal symptom using a cluster according to an embodiment of the present invention.
9 is a flowchart illustrating a method of determining an abnormal symptom of a detection target using similarity according to an embodiment of the present invention.
10 is a flowchart illustrating a method of determining an abnormal symptom of a detection target using a relationship diagram according to an embodiment of the present invention.

이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시예를 상세히 설명한다. 본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 게시되는 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시예들은 본 발명의 게시가 완전하도록 하고, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다. 명세서 전체에 걸쳐 동일 참조 부호는 동일 구성 요소를 지칭한다.Hereinafter, preferred embodiments of the present invention will be described in detail with reference to the accompanying drawings. Advantages and features of the present invention, and a method of achieving them will become apparent with reference to the embodiments described below in detail together with the accompanying drawings. However, the present invention is not limited to the embodiments to be posted below, but may be implemented in various different forms, and only these embodiments make the posting of the present invention complete, and common knowledge in the technical field to which the present invention pertains. It is provided to completely inform the scope of the invention to those who have, and the invention is only defined by the scope of the claims. The same reference numerals refer to the same elements throughout the specification.

다른 정의가 없다면, 본 명세서에서 사용되는 모든 용어(기술 및 과학적 용어를 포함)는 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 공통적으로 이해될 수 있는 의미로 사용될 수 있을 것이다. 또 일반적으로 사용되는 사전에 정의되어 있는 용어들은 명백하게 특별히 정의되어 있지 않는 한 이상적으로 또는 과도하게 해석되지 않는다.Unless otherwise defined, all terms (including technical and scientific terms) used in the present specification may be used with meanings that can be commonly understood by those of ordinary skill in the art to which the present invention belongs. In addition, terms defined in a commonly used dictionary are not interpreted ideally or excessively unless explicitly defined specifically.

본 명세서에서 사용된 용어는 실시예들을 설명하기 위한 것이며 본 발명을 제한하고자 하는 것은 아니다. 본 명세서에서, 단수형은 문구에서 특별히 언급하지 않는 한 복수형도 포함한다. 명세서에서 사용되는 "포함한다(comprises)" 및/또는 "포함하는(comprising)"은 언급된 구성요소 외에 하나 이상의 다른 구성요소의 존재 또는 추가를 배제하지 않는다.The terms used in the present specification are for describing exemplary embodiments and are not intended to limit the present invention. In this specification, the singular form also includes the plural form unless specifically stated in the phrase. As used herein, “comprises” and/or “comprising” do not exclude the presence or addition of one or more other elements other than the mentioned elements.

도 1 은 본 발명의 통합 관제 시스템을 나타낸 블록도이다.1 is a block diagram showing an integrated control system of the present invention.

도 1을 참조하면, 본 발명의 일 실시 예에 따른 통합 관제 시스템(10)은 L4 Switch(50) 또는 부하 분산 포워더(300)을 통해 사내 시스템(20)을 모니터링할 수 있다. 또한 통합 관제 시스템(10)은 사내 시스템(20)에서 획득한 데이터를 통해 임직원의 업무 내용과 업무 변화를 모니터링할 수 있다. Referring to FIG. 1, the integrated control system 10 according to an embodiment of the present invention may monitor the in-house system 20 through an L4 switch 50 or a load balancing forwarder 300. In addition, the integrated control system 10 may monitor the work content and work changes of executives and employees through data acquired from the in-house system 20.

일 실시예에서, 사내 시스템(20)은 보안 시스템(30), 인프라 시스템(40) 및 업무 시스템(50)을 포함할 수 있다. 보안 시스템(30)은 내부 보안 시스템과 외부 보안 시스템을 포함할 수 있고, 내부 보안 시스템은 DLP(Data Loss Prevention), DRM(Digital Right Management), PC 보안, IAM(Identity and Access Management) 또는 개인정보검출 시스템 등과 같은 내부의 정보유출을 방지하기 위한 보안솔루션들을 포함할 수 있고, 외부 보안 시스템은 방화벽, WAF(Web Application Firewall), VPN(Virtual Private Network), IPS(Intrusion Prevention System) 또는 nDLP(Data Loss Prevention) 등과 같은 내외부의 해킹공격을 방어하기 위한 보안솔루션들을 포함할 수 있다. 인프라 시스템은 서버 OS, 데이터베이스, 네트워크, WAS, 클라우드 등 기업 인프라 시스템들을 포함할 수 있다. 업무 시스템은 개인정보 처리시스템, 본인 인증, 시스템 접속 기록, 사내 인트라넷 시스템 등 기업 업무를 지원하는 시스템들을 포함할 수 있다.In one embodiment, the in-house system 20 may include a security system 30, an infrastructure system 40, and a business system 50. The security system 30 may include an internal security system and an external security system, and the internal security system includes Data Loss Prevention (DLP), Digital Right Management (DRM), PC security, Identity and Access Management (IAM), or personal information. It may include security solutions to prevent the leakage of internal information such as a detection system, and the external security system is a firewall, a web application firewall (WAF), a virtual private network (VPN), an intrusion prevention system (IPS), or a data system (nDLP). It may include security solutions for preventing internal and external hacking attacks such as Loss Prevention). The infrastructure system may include enterprise infrastructure systems such as server OS, database, network, WAS, and cloud. The business system may include systems that support corporate business such as a personal information processing system, identity authentication, system access record, and an in-house intranet system.

일 실시 예에서, 통합 관제 시스템(10)은 메인 서버(100), 탐지 서버(200), 부하 분산 포워더(300), 수집 서버(400), 검색 서버(500) 및 분석 서버(600)를 포함할 수 있다. 통합 관제 시스템(10)에 포함된 각 서버들은 네트워크를 통해 서로 통신할 수 있다. 여기서 네트워크는 무선 네트워크 및 유선 네트워크를 포함할 수 있다. 예를 들어, 상기 네트워크는 근거리 통신 네트워크(예: 블루투스, WiFi direct 또는 IrDA(infrared data association)) 또는 원거리 통신 네트워크(예: 셀룰러 네트워크, 인터넷, 또는 컴퓨터 네트워크(예: LAN 또는 WAN))일 수 있다.In one embodiment, the integrated control system 10 includes a main server 100, a detection server 200, a load balancing forwarder 300, a collection server 400, a search server 500, and an analysis server 600 can do. Each of the servers included in the integrated control system 10 may communicate with each other through a network. Here, the network may include a wireless network and a wired network. For example, the network may be a short-range communication network (e.g., Bluetooth, WiFi direct, or IrDA (infrared data association)) or a telecommunication network (e.g., a cellular network, the Internet, or a computer network (e.g., LAN or WAN)). have.

일 실시 예에서, 메인 서버(100), 탐지 서버(200), 부하 분산 포워더(300), 수집 서버(400), 검색 서버(500) 및 분석 서버(600)는 서로 연동될 수 있고, 각 서버에서 획득한 정보들은 수집 서버(400)에 갱신될 수 있다. In one embodiment, the main server 100, the detection server 200, the load balancing forwarder 300, the collection server 400, the search server 500 and the analysis server 600 may be interlocked with each other, and each server The information obtained from may be updated in the collection server 400.

일 실시 예에서, 부하 분산 포워더(300), 수집 서버(400), 검색 서버(500)는 따로 빅데이터 시스템으로 구분될 수 있다.In one embodiment, the load balancing forwarder 300, the collection server 400, and the search server 500 may be separately divided into a big data system.

일 실시 예에서, 부하 분산 포워더(300)는 사내 시스템(10)으로부터 로우 데이터(Raw data)를 수집할 수 있다. 예를 들어, 부하 분산 포워더(300)는 무제한 데이터를 수집할 수 있고, 이기종 데이터(IT infra, application, Net streem 등)를 수집할 수 있다. 부하 분산 포워더(300)의 데이터 수집 방식은 Agent 수집, FTP 전송, Syslog 전송, SNMP, Network Packet 수집 또는 DB 쿼리 전송 등을 포함할 수 있다.In an embodiment, the load balancing forwarder 300 may collect raw data from the in-house system 10. For example, the load balancing forwarder 300 may collect unlimited data, and may collect heterogeneous data (IT infra, application, Net streem, etc.). The data collection method of the load balancing forwarder 300 may include agent collection, FTP transmission, Syslog transmission, SNMP, network packet collection, or DB query transmission.

일 실시 예에서, 수집 서버(400)는 부하 분산 포워더(300)로부터 모든 데이터를 수신할 수 있고, 데이터 무결성을 보장할 수 있고, 장기간 아카이빙 기능을 가질 수 있고, 압축 기술을 이용하여 저장 공간을 절약할 수 있다. 수집 서버(400)는 복수의 서버들을 무제한으로 확장할 수 있고, 각 복수의 서버들은 데이터가 동기화되고 데이터들이 분산 저장될 수 있다.In one embodiment, the collection server 400 can receive all data from the load balancing forwarder 300, can guarantee data integrity, have a long-term archiving function, and save storage space using compression technology. You can save. The collection server 400 may expand a plurality of servers indefinitely, and each of the plurality of servers may synchronize data and store data distributedly.

일 실시 예에서, 검색 서버(500)는 수집 서버(400)로부터 수신한 모든 데이터를 조회할 수 있다. 예를 들어, 검색 서버(500)는 빅데이터 쿼리를 통한 데이터 통합 조회 기능을 수행할 수 있다. 검색 서버(500)는 동일 데이터를 검색할 수 있고, 검색 부하를 분산할 수 있다.In one embodiment, the search server 500 may query all data received from the collection server 400. For example, the search server 500 may perform a data integrated inquiry function through a big data query. The search server 500 may search for the same data and distribute the search load.

일 실시 예에서, 메인 서버(100)는 탐지 대상의 이상징후를 탐지, 분석 및 대응을 하기 위한 전반적인 동작들을 제어할 수 있다. 메인 서버(100)는 탐지 서버(200)가 생략될 경우 탐지 서버(200)의 역할도 수행할 수 있다. 메인 서버(100)는 탐지 서버(200)에 탐지 대상의 탐지를 요청할 수 있고, 탐지 서버(200)로부터 탐지 결과 이벤트를 수신할 수 있다.In an embodiment, the main server 100 may control overall operations for detecting, analyzing, and responding to abnormal symptoms of a detection target. The main server 100 may also serve as the detection server 200 when the detection server 200 is omitted. The main server 100 may request the detection server 200 to detect a detection target, and may receive a detection result event from the detection server 200.

일 실시 예에서, 탐지 서버(200)는 탐지 대상의 데이터에 기반하여 탐지한 결과를 메인 서버(100)에 전송할 수 있다. 탐지 서버(200)는 생략될 수 있다. 탐지 서버(200)는 단일 시나리오, 복합 시나리오, 시계열 분석, 상관 분석, AI 이상징후 탐지 및 통계 분석 등을 탐지할 수 있다. 탐지 서버(200)는 일반 임계치 및 자동 가변 임계치를 이용하여 탐지 기능을 수행할 수 있다.In an embodiment, the detection server 200 may transmit a detection result to the main server 100 based on the data of the detection target. The detection server 200 may be omitted. The detection server 200 may detect single scenarios, complex scenarios, time series analysis, correlation analysis, AI anomaly detection, statistical analysis, and the like. The detection server 200 may perform a detection function using a general threshold and an automatically variable threshold.

일 실시 예에서, 분석 서버(600)는 인공지능 분석 전용 시스템을 구비할 수 있고, 인공지능 분석에 사용되는 인공신경망을 최적화 시킬 수 있다. 예를 들어, 분석 서버(600)는 메인 서버(100)로부터 인공지능 분석을 요청받을 수 있고, 인공지능 분석 결과를 보안 담당자 또는 운영 담당자가 볼 수 있도록 메인 서버(100)의 화면에 표시할 수 있다. 분석 서버(600)의 대시보드는 AI 이벤트 자동대응과 AI 인공신경망 최적화로 나뉠 수 있다. 메인 서버(100)의 데이터 기반 분석은 데이터 탐색 위저드, 데이터 비주얼라이져, 인프라 운영 탐색, 임직원 보안 탐색, 실시간 장애 예측, 시계열 장애 예측 등을 포함할 수 있다. 메인 서버(100)의 이벤트 분석 대응은 이벤트 분석 모니터, 시나리오 모니터, 조직 프로파일링, 고위험군 프로파일링, 임직원 프로파일링을 포함할 수 있으며, 분석 서버(600)는 유사도 분석, 관계도 분석 등을 포함할 수 있다. 한편, 도면에는 도시되지 않았지만 인공지능형 CCTV가 본 발명의 시스템(10)에 더 구비될 수 있고, 분석 서버(600)는 CCTV의 촬영 영상을 활용할 수 있다.In one embodiment, the analysis server 600 may include a system dedicated to artificial intelligence analysis, and may optimize an artificial neural network used for artificial intelligence analysis. For example, the analysis server 600 may receive an artificial intelligence analysis request from the main server 100, and the artificial intelligence analysis result may be displayed on the screen of the main server 100 so that a security person or an operation person can see it. have. The dashboard of the analysis server 600 can be divided into automatic response to AI events and optimization of AI artificial neural networks. The data-based analysis of the main server 100 may include a data search wizard, data visualizer, infrastructure operation search, employee security search, real-time failure prediction, time series failure prediction, and the like. Event analysis response of the main server 100 may include event analysis monitor, scenario monitor, organization profiling, high-risk group profiling, and employee profiling, and the analysis server 600 may include similarity analysis, relationship analysis, etc. I can. Meanwhile, although not shown in the drawings, an artificial intelligent CCTV may be further provided in the system 10 of the present invention, and the analysis server 600 may utilize the captured image of the CCTV.

일 실시 예에서, 메인 서버(100), 탐지 서버(200) 및 분석 서버(600)는 이상징후 관제 시스템으로 분류될 수 있다.In one embodiment, the main server 100, the detection server 200, and the analysis server 600 may be classified as an abnormal symptom control system.

한편, 도면에는 도시되지 않았지만, 본 발명의 시스템(10)은 AI 분석 서버와 AI 생성 시스템을 더 포함할 수 있다. AI 생성 시스템은 머신 러닝과 딥 러닝 기술로 인공 신경망 또는 머신러닝 모델을 생성할 수 있다. 머신 러닝은 Supervised Leaning, Un-supervised Learning, Semi-supervides Learning, Statistical Algorithm을 포함할 수 있고, 딥 러닝은 Deep Neural Network, Convolution Neural Network, Recurrent Neural Network, Auto Encoder, LSTM, Generative Adversarial Nets 등 다수의 인공지능 알고리즘을 포함할 수 있다. AI 분석 서버는 자동 가변 임계치 산출, AI 이상징후 탐지, 유사도 분석, 관계도 분석, Face ID 분석, 이벤트 자동 대응 등을 수행할 수 있다.Meanwhile, although not shown in the drawings, the system 10 of the present invention may further include an AI analysis server and an AI generation system. The AI generation system can generate artificial neural networks or machine learning models using machine learning and deep learning technologies. Machine learning can include Supervised Leaning, Un-supervised Learning, Semi-supervides Learning, and Statistical Algorithm, and deep learning can include a number of It may contain artificial intelligence algorithms. The AI analysis server can perform automatic variable threshold calculation, AI abnormality detection, similarity analysis, relationship analysis, Face ID analysis, and automatic event response.

도 2는 본 발명의 일 실시 예에 따른 통합 관제 방법을 설명하기 위한 흐름도이다. 도 2의 동작들은 도 1에 개시된 메인 서버(100) 또는 탐지 서버(200)에 의해 수행될 수 있다. 하기에서 설명의 편의를 위해 메인 서버(100)가 각 동작들을 수행하는 일 예로 설명한다. 도 2의 동작들은 인공지능 알고리즘에 의해 수행될 수 있다.2 is a flowchart illustrating an integrated control method according to an embodiment of the present invention. The operations of FIG. 2 may be performed by the main server 100 or the detection server 200 disclosed in FIG. 1. Hereinafter, for convenience of description, an example in which the main server 100 performs each operation will be described. The operations of FIG. 2 may be performed by an artificial intelligence algorithm.

도 2를 참조하면, 일 실시 예에서, 동작 21에서, 메인 서버(100)는 탐지 대상의 데이터를 획득할 수 있다. 예를 들어, 탐지 대상은 임직원(예: 사번, 성명 등), IP 주소(예: 사내외 시스템의 IP 주소), 인프라 시스템(예: 사내 서버 OS, 네트워크 장비, 클라우드 노드 등의 IP주소 또는 호스트명) 또는 업무 시스템(예:사내 인트라넷 시스템, 전사자원관리 시스템, 프로젝트 메니징 시스템 등 회사 업무시스템의 IP주소 또는 호스트명) 중 적어도 하나를 포함할 수 있다. 탐지 대상의 데이터는 임직원 별 보안로그 데이터(예: DRM, DLP, USB사용이력, 개인정보탐지 솔루션 로그), 내외부 IP주소별 보안 시스템의 로그 데이터(예: 방화벽 로그, IPS/IDS 로그, 백신 탐지 로그, DDOS 로그), 인프라 시스템의 로그 데이터(예: syslog, access_log 등 로그데이터 및 네트워크 트래픽 로그) 그리고 인프라 시스템의 성능 데이터(예: 서버 CPU 사용량, 메모리 사용량, 각 인프라 시스템 별 자원 현황) 또는 업무 시스템의 로그 데이터 중 적어도 하나를 포함할 수 있다.Referring to FIG. 2, in an embodiment, in operation 21, the main server 100 may acquire data of a detection target. For example, detection targets are employees (e.g., company number, name, etc.), IP address (e.g., IP address of internal and external systems), infrastructure system (e.g., IP address or host of in-house server OS, network equipment, cloud node, etc.) Name) or a business system (eg, an IP address or host name of a company business system such as an intranet system, an enterprise resource management system, and a project management system). The data to be detected is security log data for each employee (e.g. DRM, DLP, USB usage history, personal information detection solution log), log data of security system by internal and external IP address (e.g. firewall log, IPS/IDS log, vaccine detection) Log, DDOS log), infrastructure system log data (e.g. log data such as syslog, access_log, and network traffic log), and infrastructure system performance data (e.g. server CPU usage, memory usage, resource status of each infrastructure system) or business It may include at least one of system log data.

일 실시 예에서, 동작 22에서, 메인 서버(100)는 탐지 대상의 데이터와 관련된 임계값을 결정할 수 있다. 임계값은 탐지 대상별 특성을 고려하여 결정될 수 있다. 예컨대, 임계값은 임직원별 업무 특성 또는 시스템별 용도 특성을 고려하여 결정될 수 있다. 임계값을 결정하는 구체적인 동작은 도 3에서 후술한다. 한편, 임계값을 결정하는 동작은 탐지 대상의 데이터를 획득할 때마다 반복적으로 수행할 수 있다. 따라서, 본 발명의 임계값은 임직원별 직무 변화 또는 시스템별 용도 변경을 고려하여 탐지 대상의 상태 변화가 반영된 임계값으로 자동 조정될 수 있다.In an embodiment, in operation 22, the main server 100 may determine a threshold value related to data of the detection target. The threshold value may be determined in consideration of the characteristics of each detection target. For example, the threshold may be determined in consideration of job characteristics for each employee or usage characteristics for each system. A specific operation of determining the threshold value will be described later in FIG. 3. Meanwhile, the operation of determining the threshold value may be repeatedly performed each time data of a detection target is acquired. Accordingly, the threshold value of the present invention may be automatically adjusted to a threshold value reflecting a change in the state of a detection target in consideration of a change in job duties for each employee or a change in usage for each system.

일 실시 예에서, 동작 23에서, 메인 서버(100)는 탐지 대상의 데이터와 임계값을 비교할 수 있다. 예를 들어, 탐지 대상이 임직원 중 어느 한 직원이고 데이터가 DRM 보안 해제 횟수일 경우, 해당 직원의 DRM 보안 해제 횟수의 임계값과 데이터를 비교할 수 있다.In an embodiment, in operation 23, the main server 100 may compare the detection target data with a threshold value. For example, if the detection target is any one of the employees and the data is the number of times the DRM security is canceled, the threshold value of the number of times the employee's DRM security is canceled can be compared with the data.

일 실시 예에서, 동작 24에서, 메인 서버(100)는 비교 결과 탐지 대상의 데이터가 정상 범위를 벗어난 지 확인할 수 있다. 예를 들어, 탐지 대상이 임직원 중 어느 한 직원이고 데이터가 DRM 보안 해제 횟수일 경우, 해당 직원의 DRM 보안 해제 횟수의 임계값이 6이고 데이터가 7이라면 정상 범위를 벗어난 것으로 확인할 수 있다.In an embodiment, in operation 24, the main server 100 may check whether data of a detection target is out of a normal range as a result of the comparison. For example, if the detection target is one of the employees and the data is the number of DRM security releases, if the threshold value of the number of times the DRM security release of the corresponding employee is 6 and the data is 7, it can be confirmed that it is out of the normal range.

일 실시 예에서, 비교 결과 탐지 대상의 데이터가 정상 범위를 벗어나지 않을 경우, 메인 서버(100)는 동작 21 내지 동작 23을 지속적으로 반복할 수 있다.In an embodiment, when the data of the detection target does not exceed the normal range as a result of the comparison, the main server 100 may continuously repeat the operations 21 to 23.

일 실시 예에서, 동작 25에서, 메인 서버(100)는 비교 결과 탐지 대상의 데이터가 정상 범위를 벗어날 경우, 탐지 대상의 이상징후 여부를 판단할 수 있다. 예를 들어, 상기 상황과 같이 해당 직원의 DRM 보안 해제 횟수가 임계값보다 높은 7일 경우, 임계값을 벗어난 횟수가 1회일 경우에도 이상징후로 판단할 수 있고, 이와 달리 임계값을 벗어난 횟수가 기준 횟수 이상일 경우에 이상징후로 판단할 수 있고, 횟수 여부에 상관 없이 해당 직원의 DRM 보안이 해제된 문서가 외부로 반출된 지 여부를 메일 시스템, USB 접속 여부, 프린트 여부 등을 종합적으로 분석하여 비밀 유지 의무가 없는 외부에 반출된 것이 확인된 경우에 이상징후로 판단할 수 있다. 즉, 이상징후로 판단하는 기준은 해당 탐지 대상의 업무 특성 또는 성능 특성을 고려하고, 미리 설정한 기준에 기반하여 이상징후를 판단할 수 있다.In an embodiment, in operation 25, when the data of the detection target is out of the normal range as a result of the comparison, the main server 100 may determine whether the detection target has abnormal symptoms. For example, as in the above situation, if the number of times the employee's DRM security release is higher than the threshold value is 7, it can be determined as an abnormal symptom even if the number of times the number of times out of the threshold value is one. If the number of times exceeds the standard, it can be judged as an abnormal symptom, and regardless of the number of times, whether or not the DRM security-deactivated document of the employee has been exported to the outside by comprehensively analyzing the mail system, USB connection, printing, etc. If it is confirmed that it has been carried out to the outside where there is no obligation to maintain confidentiality, it can be judged as an abnormal symptom. That is, the criterion for determining as an abnormal symptom may consider the business characteristics or performance characteristics of the target to be detected, and determine the abnormal symptom based on a preset standard.

한편, 이상징후는 미리 설정된 시나리오에 따라 결정될 수 있다. 예를 들어, 임직원의 PC에서 USB를 통한 파일 반출, DRM 보안 해재 결제자를 본인으로 지정하여 해제한 횟수가 기준 횟수 이상일 경우 등 다양한 이상징후 판단 시나리오가 미리 설정될 수 있다.Meanwhile, the abnormal symptom may be determined according to a preset scenario. For example, various anomalous symptom determination scenarios may be set in advance, such as when the number of times that the employee's PC is exporting files through USB, and the number of times the DRM security cancellation payer is released by designating himself/herself is more than the reference number.

한편, 예를 들어, 이상징후는 사용자의 유해 IP 접근, E-DLP 고의 중단, PC내 개인정보 탐지, 업무시스템 계정 공유, 복수계정, 비인가 서버 권한 상승/획득 시도, USB 과다 사용, 동일 부서 내 개인정보 보유 평균 건수, 사용자의 유해 IP 접근, 출력물 보안 우회 등을 포함할 수 있고, 이외에도 인프라 시스템 또는 업무 시스템의 성능 저하 등을 포함할 수 있다. 물론 이상징후는 상기 예에 한정되지 아니하고 모니터링 대상인 사내 시스탬(10) 관련하여 비정상적인 모든 이벤트를 포함할 수 있다.On the other hand, for example, abnormal symptoms include user's access to harmful IP, E-DLP intentional interruption, personal information detection in PC, business system account sharing, multiple accounts, attempts to increase/acquire unauthorized server privileges, excessive use of USB, and the same department. It may include the average number of personal information held, users' access to harmful IPs, printout security bypass, etc. In addition, it may include performance degradation of infrastructure systems or business systems. Of course, the abnormal symptom is not limited to the above example, and may include all abnormal events related to the in-house system 10 to be monitored.

도 3은 본 발명의 일 실시 예에 따른 임계값을 결정하기 위한 방법을 설명하기 위한 흐름도이다. 도 3의 동작들은 도 1에 개시된 메인 서버(100) 또는 탐지 서버(200)에 의해 수행될 수 있다. 도 3의 동작들은 도 2의 동작 22를 구체화한 동작들이다. 하기에서 설명의 편의를 위해 메인 서버(100)가 각 동작들을 수행하는 일 예로 설명한다. 도 3의 동작들은 인공지능 알고리즘에 의해 수행될 수 있다.3 is a flowchart illustrating a method for determining a threshold value according to an embodiment of the present invention. The operations of FIG. 3 may be performed by the main server 100 or the detection server 200 disclosed in FIG. 1. The operations of FIG. 3 are operations in which operation 22 of FIG. 2 is embodied. Hereinafter, for convenience of description, an example in which the main server 100 performs each operation will be described. The operations of FIG. 3 may be performed by an artificial intelligence algorithm.

도 3을 참조하면, 일 실시 예에서, 동작 31에서, 메인 서버(100)는 데이터를 획득한 시점 이전부터 미리 설정한 기준 기간 동안 탐지 대상의 과거 데이터를 추출할 수 있다. 예를 들어, 상기 미리 설정한 기준 기간은 직원별 업무 특성 또는 시스템별 용도 특성을 고려하여 결정될 수 있다. 예를 들어, 데이터가 어느 한 직원의 메일 발송 건수일 경우, 현재 측정 시점의 이전일 기준으로 과거 한달간의 해당 직원의 메일 발송 건수를 추출할 수 있다.Referring to FIG. 3, in an embodiment, in operation 31, the main server 100 may extract past data of a detection target for a preset reference period from before a time when data is acquired. For example, the preset reference period may be determined in consideration of job characteristics for each employee or usage characteristics for each system. For example, if the data is the number of e-mails sent by an employee, the number of e-mails sent by the corresponding employee in the past month can be extracted based on the day before the current measurement point.

일 실시 예에서, 동작 32에서, 메인 서버(100)는 과거 데이터에서 기준 값을 산출할 수 있다. 예를 들어, 기준 값은 과거 데이터의 평균, 분산, 표준편차, 왜도(Skewness), 첨도(Kurtosis), 피크 투 피크(Peak-to-Peak)값, 크래스트 팩터(Crest Factor), 케이 팩터(K-Factor), 마할라노비스 거리(Mahalnobis Distance), 변동계수 (Coefficient of Variance) 중 어느 하나를 이용하거나 이들의 조합을 이용하여 산출될 수 있다. 예를 들어, 여기서 평균은 모니터링 대상 데이터의 일정 구간에서의 평균을 의미할 수 있고, 표준편차는 모니터링 대상 데이터가 평균으로부터 얼마나 떨어져 있는 지를 나타내는 산포도일 수 있다.In an embodiment, in operation 32, the main server 100 may calculate a reference value from past data. For example, the reference values are the mean, variance, standard deviation, skewness, kurtosis, peak-to-peak, crest factor, and k factor of historical data. It can be calculated using any one of (K-Factor), Mahalanobis Distance, and Coefficient of Variance, or a combination thereof. For example, here, the average may mean an average of the data to be monitored in a certain section, and the standard deviation may be a scatter diagram indicating how far away the data to be monitored is from the average.

일 실시 예에서, 동작 33에서, 메인 서버(100)는 기준 값과 지정된 가중치에 기반하여 임계값을 결정할 수 있다. 예를 들어, 지정된 가중치는 데이터의 특성에 따라 결정되는 민감도 수치일 수 있다. 예컨대, 외부 업체과 업무가 많은 A 직원의 DRM 보안 해제와 보안 해제된 메일 발송 건수는 외부 업체와 업무가 전혀 없는 B 직원에 비해 매우 많을 수 있다. 따라서, A 직원의 가중치는 높게 주고 B 직원의 가중치는 낮게 줄 수 있다. 설명의 편의를 위해 숫자로 설명하면, 기준 값이 3이고 지정된 가중치가 2배일 경우 임계 값은 그 상한 값인 6이 될 수 있다.In an embodiment, in operation 33, the main server 100 may determine a threshold value based on a reference value and a specified weight. For example, the designated weight may be a sensitivity value determined according to the characteristics of data. For example, the number of DRM-unsecure and unsecured e-mails by employee A, who has a lot of work with an external company, may be much higher than that of employee B, who has no work with an external company. Therefore, the weight of employee A can be given high and the weight of employee B can be given low. For convenience of explanation, in terms of numbers, when the reference value is 3 and the designated weight is 2 times, the threshold value may be 6, which is the upper limit value.

물론 상기와 다르게 탐지 대상의 특성을 고려하여 다양한 방식으로 임계값을 설정할 수 있고, 본 발명의 임계값은 해당 탐지 대상의 데이터 획득 시점마다 산출될 수 있다.Of course, differently from the above, the threshold value may be set in various ways in consideration of the characteristics of the target to be detected, and the threshold value of the present invention may be calculated every time the data of the target to be detected is acquired.

도 4는 본 발명의 일 실시 예에 따른 탐지 대상의 상태를 판단하는 방법을 설명하기 위한 흐름도이다. 도 5는 본 발명의 일 실시 예에 따른 탐지 대상의 상태를 판단하는 방법을 설명하기 위한 예시도이다. 도 4의 동작들은 도 1에 개시된 메인 서버(100) 또는 탐지 서버(200)에 의해 수행될 수 있다. 하기에서 설명의 편의를 위해 메인 서버(100)가 각 동작들을 수행하는 일 예로 설명한다. 도 4의 동작들은 인공지능 알고리즘에 의해 수행될 수 있다.4 is a flowchart illustrating a method of determining a state of a detection target according to an embodiment of the present invention. 5 is an exemplary diagram illustrating a method of determining a state of a detection target according to an embodiment of the present invention. The operations of FIG. 4 may be performed by the main server 100 or the detection server 200 disclosed in FIG. 1. Hereinafter, for convenience of description, an example in which the main server 100 performs each operation will be described. The operations of FIG. 4 may be performed by an artificial intelligence algorithm.

도 4를 참조하면, 일 실시 예에서, 동작 41에서, 메인 서버(100)는 미리 설정한 주기마다 탐지 대상의 데이터의 시계열 패턴을 확인할 수 있다. 예를 들어, 미리 설정한 주기는 임직원의 업무 특성 또는 시스템별 용도 특성을 고려하여 결정될 수 있다. 예컨대, 도 5와 같이 메인 서버(100)는 탐지 대상의 데이터의 시계열 패턴(50)을 확인할 수 있고, 데이터의 임계값 시계열 패턴(53)을 확인할 수 있다.Referring to FIG. 4, in an embodiment, in operation 41, the main server 100 may check a time series pattern of data to be detected at each preset period. For example, the preset cycle may be determined in consideration of the characteristics of the work of the employees or the characteristics of each system's use. For example, as shown in FIG. 5, the main server 100 may check the time series pattern 50 of the data to be detected and the threshold time series pattern 53 of the data.

일 실시 예에서, 동작 42에서, 메인 서버(100)는 탐지 대상의 데이터가 정상 범위를 벗어난 시점을 확인할 수 있다. 예를 들어, 데이터가 임계값을 벗어난 시점(54)을 정상 범위를 벗어난 시점으로 확인할 수 있다.In an embodiment, in operation 42, the main server 100 may check a point in time when the detection target data is out of a normal range. For example, the point in time 54 when the data is out of the threshold value may be identified as a point in time out of the normal range.

일 실시 예에서, 동작 43에서, 메인 서버(100)는 정상 범위를 벗어난 시점 이전의 데이터의 제1 시계열 패턴(51)과 시점 이후의 데이터의 제2 시계열 패턴(52)을 비교할 수 있다. 예를 들어, 정상 범위를 벗어난 시점(54) 이후로 일정 기간 동안 그 정상 범위를 벗어난 데이터의 추세가 이어질 경우, 제2 시계열 패턴(52)의 존재를 확인할 수 있다.In an embodiment, in operation 43, the main server 100 may compare the first time series pattern 51 of data before the time point out of the normal range and the second time series pattern 52 of data after the time point. For example, when a trend of data out of the normal range continues for a certain period after the time point 54 out of the normal range, the existence of the second time series pattern 52 may be confirmed.

일 실시 예에서, 동작 44에서, 메인 서버(100)는 비교 결과 제1 시계열 패턴(51)과 제2 시계열 패턴(52)이 다를 경우, 탐지 대상의 상태가 변경된 것으로 판단할 수 있다. 예를 들어, 메인 서버(100)는 정상 범위를 벗어난 시점(54)을 임직원별 직무 변화 시점 또는 시스템별 용도 변경 시점으로 판단할 수 있고, 정상 범위를 벗어난 시점(54) 이후를 신규 업무 구간 또는 신규 용도 구간으로 판단할 수 있다.In an embodiment, in operation 44, when the first time series pattern 51 and the second time series pattern 52 are different from each other as a result of the comparison, the main server 100 may determine that the state of the detection target has changed. For example, the main server 100 may determine the time point 54 out of the normal range as the time point for job change for each employee or the time point for use change for each system, and after the time point 54 out of the normal range, a new work section or It can be determined as a new usage section.

도 6은 본 발명의 일 실시 예에 따른 텍스트를 포함하는 로그 데이터에서 임계값을 결정하는 방법을 설명하기 위한 흐름도이다. 도 6의 동작들은 도 1에 개시된 메인 서버(100) 또는 탐지 서버(200)에 의해 수행될 수 있다. 하기에서 설명의 편의를 위해 메인 서버(100)가 각 동작들을 수행하는 일 예로 설명한다. 도 6의 동작들은 인공지능 알고리즘에 의해 수행될 수 있다.6 is a flowchart illustrating a method of determining a threshold value from log data including text according to an embodiment of the present invention. The operations of FIG. 6 may be performed by the main server 100 or the detection server 200 disclosed in FIG. 1. Hereinafter, for convenience of description, an example in which the main server 100 performs each operation will be described. The operations of FIG. 6 may be performed by an artificial intelligence algorithm.

도 6을 참조하면, 일 실시 예에서, 동작 61에서, 메인 서버(100)는 탐지 대상의 로그 데이터를 획득할 수 있다. 예를 들어, 로그 데이터는 임직원의 발송 메일 내용일 수 있다.Referring to FIG. 6, in an embodiment, in operation 61, the main server 100 may acquire log data of a detection target. For example, log data may be the contents of e-mails sent by employees.

일 실시 예에서, 동작 62에서, 메인 서버(100)는 로그 데이터에 포함된 텍스트를 추출할 수 있다. 예를 들어, 텍스트는 발송 메일에 포함된 텍스트일 수 있다.In an embodiment, in operation 62, the main server 100 may extract text included in log data. For example, the text may be text included in the outgoing mail.

일 실시 예에서, 동작 63에서, 메인 서버(100)는 텍스트에 포함된 복수의 단어들을 각각 벡터화함으로써 복수의 단어들에 각각 대응하는 수치를 획득할 수 있다. 예를 들어, 메인 서버(100)는 유사한 의미를 갖는 성함, 이름, 성명 등의 단어를 유사한 수치인 100, 101, 102에 매칭시킬 수 있다.In an embodiment, in operation 63, the main server 100 may obtain values corresponding to each of the plurality of words by vectorizing each of the plurality of words included in the text. For example, the main server 100 may match words such as name, name, and name having a similar meaning to similar values of 100, 101, and 102.

일 실시 예에서, 동작 64에서, 메인 서버(100)는 각각 대응하는 수치에서 기준 값을 추출할 수 있다. 예를 들어, 기준 값은 과거 데이터의 평균, 표준편차 또는 중앙값과 같은 기술통계 기반 수치뿐만 아니라, 로그 데이터의 벡터 수치 배열값을 Auto Encoder나 PCA 등의 차원축소(Dimension Reduction) 방법 등을 이용하여 산출될 수 있다.In an embodiment, in operation 64, the main server 100 may extract a reference value from each corresponding value. For example, the reference value is not only based on descriptive statistics such as the mean, standard deviation, or median of the past data, but also the vector numerical array values of log data using a dimension reduction method such as Auto Encoder or PCA. Can be calculated.

일 실시 예에서, 동작 65에서, 메인 서버(100)는 추출한 기준 값과 지정된 가중치에 기반하여 임계 값을 결정할 수 있다. 이는 동작 33과 동일한 방식으로 결정될 수 있다.In an embodiment, in operation 65, the main server 100 may determine a threshold value based on the extracted reference value and a specified weight. This can be determined in the same way as operation 33.

도 7은 본 발명의 일 실시 예에 따른 군집을 이용하여 이상징후를 판단하는 방법을 설명하기 위한 흐름도이다. 도 8은 본 발명의 일 실시 예에 따른 군집을 이용하여 이상징후를 판단하는 방법을 설명하기 위한 예시도이다. 도 7의 동작들은 도 1에 개시된 메인 서버(100) 또는 탐지 서버(200)에 의해 수행될 수 있다. 하기에서 설명의 편의를 위해 메인 서버(100)가 각 동작들을 수행하는 일 예로 설명한다. 도 7의 동작들은 인공지능 알고리즘에 의해 수행될 수 있다.7 is a flowchart illustrating a method of determining an abnormal symptom using a cluster according to an embodiment of the present invention. 8 is an exemplary diagram illustrating a method of determining an abnormal symptom using a cluster according to an embodiment of the present invention. The operations of FIG. 7 may be performed by the main server 100 or the detection server 200 disclosed in FIG. 1. Hereinafter, for convenience of description, an example in which the main server 100 performs each operation will be described. The operations of FIG. 7 may be performed by an artificial intelligence algorithm.

도 7을 참조하면, 일 실시 예에서, 동작 71에서, 메인 서버(100)는 탐지 대상의 데이터를 획득할 수 있다. 예를 들어, 탐지 대상의 데이터는 DRM 보안 해제 횟수와 보안 해제된 문서의 발송 건수일 수 있고, 외부 보안 시스템의 패킷 차단 건수 일 수 있고, 인프라 시스템의 CPU 사용량이나 메모리 성능일 수 있다. 한편, 임직원 별 데이터는 하루 단위, IP 주소는 한시간 단위, 인프라 시스템의 성능 데이터도 한시간 단위로 획득될 수 있다.Referring to FIG. 7, in an embodiment, in operation 71, the main server 100 may acquire data of a detection target. For example, the data to be detected may be the number of DRM security cancellations and the number of transmissions of documents that have been canceled security, the number of packets blocked by an external security system, and the CPU usage or memory performance of the infrastructure system. Meanwhile, data for each employee may be obtained on a daily basis, IP address on an hourly basis, and performance data of an infrastructure system may be obtained on an hourly basis.

일 실시 예에서, 동작 72에서, 메인 서버(100)는 적어도 하나의 파라미터에 기반하여 탐지 대상의 데이터를 군집화(clustering, 기계학습의 한 종류)할 수 있다. 파라미터는 임직원의 다양한 로그 데이터, 보안 시스템, 인프라 시스템 또는 업무 시스템의 어느 하나 또는 여러개의 데이터 일 수 있고, 예를 들어, 파라미터는 DRM 보안 해제 횟수와 보안 해제된 문서의 발송 건수이거나 이 둘 모두일 수 있다.In an embodiment, in operation 72, the main server 100 may cluster (a type of machine learning) data of a detection target based on at least one parameter. The parameter may be any one or several data of various log data of employees, security systems, infrastructure systems, or work systems.For example, the parameter may be the number of DRM security releases and the number of times the security releases were sent, or both. I can.

일 실시 예에서, 동작 73에서, 메인 서버(100)는 군집화된 군집과 데이터를 비교할 수 있다. 예를 들어, 메인 서버(100)는 군집들(81, 82, 83, 84)를 확인할 수 있고, 각각의 군집들은 동일한 업무를 수행하는 팀원들이 속한 군집들일 수 있다. 또한, 데이터(86, 87, 88, 89)는 동일한 업무를 수행하는 팀원임에도 군집에서 벗어난 경우일 수 있고, 예컨대, 평소 업무보다 보안 해제된 문서를 외부에 많이 발송한 경우일 수 있다.In an embodiment, in operation 73, the main server 100 may compare the clustered cluster and data. For example, the main server 100 may check clusters 81, 82, 83, and 84, and each cluster may be clusters to which team members performing the same task belong. In addition, the data 86, 87, 88, and 89 may be out of the cluster even though they are team members performing the same task, and for example, more secured documents may be sent to the outside than usual.

일 실시 예에서, 동작 74에서, 메인 서버(100)는 비교 결과 데이터 중 적어도 하나가 기준 범위를 벗어날 경우, 적어도 하나에 대응하는 탐지 대상에서 이상징후가 발생한 것으로 판단할 수 있다. 예를 들어, 데이터(86, 87, 88, 89)는 동일한 업무를 수행하는 팀원임에도 군집에서 벗어난 경우, 해당 데이터(86, 87, 88, 89)를 갖는 임직원의 보안 사고 유무 등을 확인하거나 시스템의 성능을 점검함으로서 이상징후 발생 여부를 판단할 수 있다.In an embodiment, in operation 74, when at least one of the comparison result data is out of a reference range, the main server 100 may determine that an abnormal symptom has occurred in the detection target corresponding to the at least one. For example, if the data (86, 87, 88, 89) is out of the cluster even though the team member performs the same task, the employee who has the data (86, 87, 88, 89) can be checked for security incidents, etc. It is possible to determine whether abnormal symptoms have occurred by checking the performance of.

도 9는 본 발명의 일 실시 예에 따른 유사도를 이용하여 탐지 대상의 이상징후를 판단하는 방법을 설명하기 위한 흐름도이다. 도 9의 동작들은 도 1에 개시된 메인 서버(100) 또는 탐지 서버(200)에 의해 수행될 수 있다. 하기에서 설명의 편의를 위해 메인 서버(100)가 각 동작들을 수행하는 일 예로 설명한다. 도 9 동작들은 인공지능 알고리즘에 의해 수행될 수 있다.9 is a flowchart illustrating a method of determining an abnormal symptom of a detection target using similarity according to an embodiment of the present invention. The operations of FIG. 9 may be performed by the main server 100 or the detection server 200 disclosed in FIG. 1. Hereinafter, for convenience of description, an example in which the main server 100 performs each operation will be described. The operations of FIG. 9 may be performed by an artificial intelligence algorithm.

도 9를 참조하면, 일 실시 예에서, 동작 91에서, 메인 서버(100)는 데이터의 시계열 패턴 또는 데이터에 기반한 군집을 확인할 수 있다.Referring to FIG. 9, in an embodiment, in operation 91, the main server 100 may check a time series pattern of data or a cluster based on data.

일 실시 예에서, 동작 92에서, 메인 서버(100)는 시계열 패턴, 군집 또는 미리 설정한 유사도 기법에 기반하여 탐지 대상의 유사도를 결정할 수 있다. 예를 들어, 유사한 시계열 패턴을 갖거나 동일한 군집에 속하는 임직원 또는 시스템은 높은 유사도를 가질 수 있다. 또한, 코사인 유사도(Cosine Similarity), 유클리드 거리(Euclidean distance), 자카드 유사도(Jaccard similarity) 등의 유사도 기법을 이용하여 탐지 대상의 유사도를 결정할 수 있다.In an embodiment, in operation 92, the main server 100 may determine the similarity of the detection target based on a time series pattern, a cluster, or a preset similarity technique. For example, employees or systems that have similar time series patterns or belong to the same cluster may have a high degree of similarity. In addition, the similarity of the detection target may be determined using similarity techniques such as cosine similarity, Euclidean distance, and Jaccard similarity.

일 실시 예에서, 동작 93에서, 메인 서버(100)는 탐지 대상 중 어느 하나의 이상징후를 검출할 수 있다. 예를 들어, 보안 해제된 문서 발송 건수가 지나치게 많은 어느 한 직원을 검출할 수 있다.In an embodiment, in operation 93, the main server 100 may detect an abnormal symptom of any one of the detection targets. For example, you can detect an employee with an excessively large number of unsecured documents sent.

일 실시 예에서, 동작 94에서, 메인 서버(100)는 이상징후가 검출된 어느 하나와 유사도가 높은 적어도 하나의 탐지 대상을 추출할 수 있다. 예를 들어, 상기 어느 한 직원과 보안 해제된 문서 발송 건수 면에서 동일한 시계열 패턴을 갖거나 유사도 기법에 근거하여 높은 유사도를 갖는 다른 직원들을 추출할 수 있다.In an embodiment, in operation 94, the main server 100 may extract at least one detection target having a high similarity to any one in which the abnormal symptom is detected. For example, one employee and other employees having the same time series pattern in terms of the number of out-of-security documents sent or other employees having a high degree of similarity may be extracted based on the similarity technique.

일 실시 예에서, 동작 95에서, 메인 서버(100)는 유사도가 높은 적어도 하나의 탐지 대상의 이상징후를 판단할 수 있다. 예를 들어, 추출한 다른 직원들도 동일한 이상징후가 있는 지 확인할 수 있다.In an embodiment, in operation 95, the main server 100 may determine an abnormal symptom of at least one detection target having a high similarity. For example, you can check whether other employees you extract have the same anomaly.

도 10은 본 발명의 일 실시 예에 따른 관계도를 이용하여 탐지 대상의 이상징후를 판단하는 방법을 설명하기 위한 흐름도이다. 도 10의 동작들은 도 1에 개시된 메인 서버(100) 또는 탐지 서버(200)에 의해 수행될 수 있다. 하기에서 설명의 편의를 위해 메인 서버(100)가 각 동작들을 수행하는 일 예로 설명한다. 도 10의 동작들은 인공지능 알고리즘에 의해 수행될 수 있다.10 is a flowchart illustrating a method of determining an abnormal symptom of a detection target using a relationship diagram according to an embodiment of the present invention. The operations of FIG. 10 may be performed by the main server 100 or the detection server 200 disclosed in FIG. 1. Hereinafter, for convenience of description, an example in which the main server 100 performs each operation will be described. The operations of FIG. 10 may be performed by an artificial intelligence algorithm.

도 10을 참조하면, 일 실시 예에서, 동작 1001에서, 메인 서버(100)는 카메라의 촬영 영상, 출입 기록 또는 서로 공유된 동일한 파일의 개수 중 적어도 하나에 기반하여 탐지 대상의 관계도를 결정할 수 있다. 예를 들어, 동일한 팀원 내에서 사수 관계일 경우 두 직원은 높은 관계도를 가질 수 있고, 임원과 비서일 경우 동일한 파일을 많이 공유할 수 있으므로 높은 관계도르 가질 수 있다.Referring to FIG. 10, in an embodiment, in operation 1001, the main server 100 may determine a relationship diagram of a detection target based on at least one of a photographed image of a camera, an access record, or the number of the same files shared with each other. have. For example, in the case of a shooter relationship within the same team member, two employees can have a high degree of relationship, and in the case of an executive and a secretary, a lot of the same files can be shared, so they can have a high degree of relationship.

일 실시 예에서, 동작 1002에서, 메인 서버(100)는 탐지 대상 중 어느 하나의 이상징후를 검출할 수 있다. 예를 들어, 상기 사수 직원 또는 임원의 이상징후를 검출할 수 있다.In an embodiment, in operation 1002, the main server 100 may detect an abnormal symptom of any one of the detection targets. For example, it is possible to detect abnormal signs of the shooter employee or executive.

일 실시 예에서, 동작 1003에서, 메인 서버(100)는 이상징후가 검출된 어느 하나와 관계도가 높은 적어도 하나의 탐지 대상을 추출할 수 있다. 예를 들어, 상기 사수 직원의 부사수 직원 또는 비서를 추출할 수 있다.In an embodiment, in operation 1003, the main server 100 may extract at least one detection target having a high relationship with any one in which the abnormal symptom is detected. For example, the assistant shooter employee or secretary of the shooter employee may be extracted.

일 실시 예에서, 동작 1004에서, 메인 서버(100)는 관계도가 높은 적어도 하나의 탐지 대상의 이상징후를 판단할 수 있다. 예를 들어, 상기 사수 직원의 부사수 직원 또는 비서도 동일한 이상징후가 있는 지 확인하고 보안 사고 등의 사고 발생 여부를 판단할 수 있다.In an embodiment, in operation 1004, the main server 100 may determine an abnormal symptom of at least one detection target having a high relationship. For example, the assistant shooter employee or secretary of the shooter employee may also check whether there is the same abnormality and determine whether an accident such as a security incident occurs.

본 발명의 일 실시예에 따른 통합 관제 방법은, 탐지 대상의 데이터를 획득하는 단계; 상기 탐지 대상의 상기 데이터와 관련된 임계값을 결정하는 단계; 상기 탐지 대상의 상기 데이터와 상기 임계값을 비교하는 단계; 및 상기 비교 결과 상기 탐지 대상의 상기 데이터가 정상 범위를 벗어날 경우, 상기 탐지 대상의 이상징후 여부를 판단하는 단계를 포함하고, 상기 임계값을 결정하는 단계는 상기 탐지 대상의 상기 데이터를 획득할 때마다 반복적으로 수행되고, 상기 임계값을 결정하는 단계는, 상기 데이터를 획득한 시점 이전부터 미리 설정한 기준 기간 동안 상기 탐지 대상의 과거 데이터를 추출하는 단계; 상기 과거 데이터에서 기준 값을 산출하는 단계; 및 상기 기준 값과 지정된 가중치에 기반하여 임계값을 결정하는 단계를 포함할 수 있다.An integrated control method according to an embodiment of the present invention includes the steps of acquiring data of a detection target; Determining a threshold value related to the data of the detection target; Comparing the data of the detection target with the threshold value; And when the data of the detection target is out of the normal range as a result of the comparison, determining whether or not the detection target has abnormal symptoms, wherein the determining of the threshold value is performed when acquiring the data of the detection target It is repeatedly performed every time, and the determining of the threshold may include: extracting past data of the detection target for a preset reference period from before the time when the data is acquired; Calculating a reference value from the past data; And determining a threshold value based on the reference value and a designated weight.

다양한 실시 예에 따르면, 미리 설정한 주기마다 상기 탐지 대상의 상기 데이터의 시계열 패턴을 확인하는 단계를 더 포함할 수 있다.According to various embodiments of the present disclosure, it may further include checking a time series pattern of the data of the detection target at every preset period.

다양한 실시 예에 따르면, 상기 탐지 대상의 이상 징후를 판단하는 단계는, 상기 탐지 대상의 상기 데이터가 상기 정상 범위를 벗어난 시점을 확인하는 단계; 상기 정상 범위를 벗어난 상기 시점 이전의 상기 데이터의 제1 시계열 패턴과 상기 시점 이후의 상기 데이터의 제2 시계열 패턴을 비교하는 단계; 및 비교 결과 상기 제1 시계열 패턴과 상기 제2 시계열 패턴이 다를 경우, 상기 탐지 대상의 상태가 변경된 것으로 판단하는 단계;를 포함할 수 있다.According to various embodiments of the present disclosure, the determining of an abnormal symptom of the detection target may include: checking a time point when the data of the detection target is out of the normal range; Comparing a first time series pattern of the data before the time point out of the normal range and a second time series pattern of the data after the time point; And determining that the state of the detection target has changed when the first time series pattern and the second time series pattern are different from each other as a result of the comparison.

다양한 실시 예에 따르면, 상기 탐지 대상의 로그 데이터를 획득하는 단계; 상기 로그 데이터에 포함된 텍스트를 추출하는 단계; 상기 텍스트에 포함된 복수의 단어들을 각각 벡터화함으로써 상기 복수의 단어들에 각각 대응하는 수치를 획득하는 단계; 상기 각각 대응하는 수치에서 상기 기준 값을 추출하는 단계; 및 상기 추출한 기준 값과 상기 지정된 가중치에 기반하여 상기 임계값을 결정하는 단계;를 포함할 수 있다.According to various embodiments of the present disclosure, the method includes: acquiring log data of the detection target; Extracting text included in the log data; Obtaining a numerical value corresponding to each of the plurality of words by vectorizing each of the plurality of words included in the text; Extracting the reference value from each of the corresponding values; And determining the threshold value based on the extracted reference value and the designated weight.

다양한 실시 예에 따르면, 적어도 하나의 파라미터에 기반하여 상기 탐지 대상의 상기 데이터를 군집화하는 단계; 상기 군집화된 군집과 상기 데이터를 비교하는 단계; 및 상기 비교 결과 상기 데이터 중 적어도 하나가 기준 범위를 벗어날 경우, 상기 적어도 하나에 대응하는 탐지 대상에서 이상징후가 발생한 것으로 판단하는 단계;를 더 포함할 수 있다.According to various embodiments of the present disclosure, the step of clustering the data of the detection target based on at least one parameter; Comparing the clustered cluster and the data; And determining that an abnormal symptom has occurred in the detection target corresponding to the at least one when at least one of the data is out of the reference range as a result of the comparison.

다양한 실시 예에 따르면, 상기 데이터의 시계열 패턴 또는 상기 데이터에 기반한 군집을 확인하는 단계; 상기 시계열 패턴, 상기 군집 또는 미리 설정한 유사도 기법에 기반하여 상기 탐지 대상의 유사도를 결정하는 단계; 상기 탐지 대상 중 어느 하나의 이상징후를 검출하는 단계; 상기 이상징후가 검출된 어느 하나와 유사도가 높은 적어도 하나의 탐지 대상을 추출하는 단계; 및 상기 유사도가 높은 상기 적어도 하나의 탐지 대상의 이상징후를 판단하는 단계;를 더 포함할 수 있다.According to various embodiments of the present disclosure, the step of checking a time series pattern of the data or a cluster based on the data; Determining a similarity of the detection target based on the time series pattern, the cluster, or a preset similarity technique; Detecting an abnormal symptom of any one of the detection targets; Extracting at least one detection target having a high similarity to any one in which the abnormal symptom is detected; And determining an abnormal symptom of the at least one detection target having high similarity.

다양한 실시 예에 따르면, 카메라의 촬영 영상, 출입 기록 또는 서로 공유된 동일한 파일의 개수 중 적어도 하나에 기반하여 상기 탐지 대상의 관계도를 결정하는 단계; 상기 탐지 대상 중 어느 하나의 이상징후를 검출하는 단계; 상기 이상징후가 검출된 어느 하나와 관계도가 높은 적어도 하나의 탐지 대상을 추출하는 단계; 및 상기 관계도가 높은 상기 적어도 하나의 탐지 대상의 이상징후를 판단하는 단계;를 더 포함할 수 있다.According to various embodiments of the present disclosure, the method may include determining a relationship degree of the detection target based on at least one of an image captured by a camera, an access record, or the number of identical files shared with each other; Detecting an abnormal symptom of any one of the detection targets; Extracting at least one detection target having a high relationship with any one of the abnormal symptoms detected; And determining an abnormal symptom of the at least one detection target having a high relationship.

다양한 실시 예에 따르면, 상기 탐지 대상은 임직원, 보안 시스템, 인프라 시스템 또는 업무 시스템 중 적어도 하나를 포함할 수 있다.According to various embodiments, the detection target may include at least one of an employee, a security system, an infrastructure system, or a work system.

다양한 실시 예에 따르면, 상기 탐지 대상의 상기 데이터는 임직원 별 로그 데이터, 보안 시스템의 로그 데이터, 인프라 시스템의 로그 데이터, 인프라 시스템의 성능 데이터 또는 업무 시스템의 로그 데이터 중 적어도 하나를 포함할 수 있다.According to various embodiments, the data to be detected may include at least one of log data for each employee, log data of a security system, log data of an infrastructure system, performance data of an infrastructure system, or log data of a work system.

본 발명의 일 실시예에 따른 통합 관제 시스템은, 탐지 대상의 이상징후를 탐지 및 분석하는 메인 서버를 포함하고, 상기 메인 서버가 탐지 대상의 데이터를 획득하고, 상기 메인 서버가 상기 탐지 대상의 상기 데이터와 관련된 임계값을 결정하고, 상기 메인 서버가 상기 탐지 대상의 상기 데이터와 상기 임계값을 비교하고, 상기 메인 서버가 상기 비교 결과 상기 탐지 대상의 상기 데이터가 정상 범위를 벗어날 경우, 상기 탐지 대상의 이상징후 여부를 판단하고, 상기 메인 서버는 상기 탐지 대상의 상기 데이터를 획득할 때마다 상기 임계값을 반복적으로 결정하고, 상기 메인 서버는 상기 데이터를 획득한 시점 이전부터 미리 설정한 기준 기간 동안 상기 탐지 대상의 과거 데이터를 추출하고, 상기 과거 데이터에서 기준 값을 산출하고, 상기 기준 값과 지정된 가중치에 기반하여 임계값을 결정함으로써 상기 임계값을 결정할 수 있다.An integrated control system according to an embodiment of the present invention includes a main server that detects and analyzes abnormal symptoms of a detection target, the main server acquires data of the detection target, and the main server obtains the detection target. When a threshold value related to data is determined, the main server compares the data of the detection target with the threshold value, and the main server compares the data of the detection target with the comparison result, the detection target Is determined whether or not there is an abnormal symptom, the main server repeatedly determines the threshold value each time the data of the detection target is acquired, and the main server is for a preset reference period from before the time when the data is acquired The threshold value may be determined by extracting past data of the detection target, calculating a reference value from the past data, and determining a threshold value based on the reference value and a designated weight.

이상, 첨부된 도면을 참조로 하여 본 발명의 실시예를 설명하였지만, 본 발명이 속하는 기술분야의 통상의 기술자는 본 발명이 그 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 실시될 수 있다는 것을 이해할 수 있을 것이다. 그러므로, 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며, 제한적이 아닌 것으로 이해해야만 한다.In the above, embodiments of the present invention have been described with reference to the accompanying drawings, but those skilled in the art to which the present invention pertains can be implemented in other specific forms without changing the technical spirit or essential features. You will be able to understand. Therefore, the embodiments described above are illustrative in all respects, and should be understood as non-limiting.

100 : 메인 서버 200 : 탐지 서버
300 : 부하 분산 포워더 400 : 수집 서버
500 : 검색 서버 600 : 분석 서버
10 : 통합 관제 시스템100: main server 200: detection server
300: load balancing forwarder 400: collection server
500: search server 600: analysis server
10: Integrated control system

Claims (10)

인공지능형 통합 IT관제 방법에 있어서,
복수의 탐지대상의 데이터를 획득하는, 데이터 획득 단계;
제1 탐지대상의 데이터와 관련된 제1 임계값을 결정하는, 제1 임계값 결정 단계;
상기 제1 탐지대상의 데이터와 상기 제1 임계값을 비교하되, 상기 비교 결과 상기 제1 탐지대상의 데이터가 상기 제1 임계값을 벗어나면 상기 제1 탐지대상에 대하여 이상징후가 발생한 것으로 판단하는, 제1 탐지대상 이상징후 판단 단계;
획득한 복수의 탐지대상의 데이터에 기반하여 복수의 탐지대상 간의 유사도를 결정하는 단계;
상기 제1 탐지대상에 대하여 이상징후가 발생한 것으로 판단된 경우, 상기 제1 탐지대상과 유사도가 높은 제2 탐지대상을 추출하는 단계; 및
상기 제2 탐지대상의 이상징후 발생 여부를 판단하는, 제2 탐지대상 이상징후 판단 단계를 포함하고,
상기 제1 임계값 결정 단계는,
상기 제1 탐지대상 데이터의 기준값과 상기 제1 탐지대상의 특성에 따라 지정된 제1 가중치에 기반하여 제1 임계값을 결정하는 것을 특징으로 하는, 통합 관제 방법.
In the artificial intelligence integrated IT control method,
A data acquisition step of acquiring data of a plurality of detection targets;
A first threshold value determining step of determining a first threshold value related to data of a first detection target;
Comparing the data of the first detection target with the first threshold value, and determining that an abnormal symptom has occurred with respect to the first detection target when the data of the first detection target exceeds the first threshold as a result of the comparison , Determining a first abnormal symptom to be detected;
Determining a degree of similarity between the plurality of detection targets based on the acquired data of the plurality of detection targets;
Extracting a second detection target having a high similarity to the first detection target when it is determined that an abnormal symptom has occurred in the first detection target; And
A second detection target abnormal symptom determining step of determining whether or not the second detection target abnormal symptom occurs,
The step of determining the first threshold value,
And determining a first threshold value based on a reference value of the first detection target data and a first weight designated according to a characteristic of the first detection target.
 제1 항에 있어서,
적어도 하나의 파라미터에 기반하여 복수의 탐지대상의 데이터를 군집화하는 단계를 더 포함하고,
상기 제1 탐지대상 이상징후 판단 단계는,
상기 제1 탐지대상의 데이터를 상기 제1 탐지대상이 속한 군집과 비교하되, 상기 제1 탐지대상의 데이터가 상기 군집으로부터 상기 제1 임계값을 벗어나면 상기 제1 탐지대상에 대하여 이상징후가 발생한 것으로 판단하는 것인, 통합 관제 방법.The method of claim 1,
Further comprising the step of clustering the data of the plurality of detection targets based on at least one parameter,
The step of determining the first abnormal symptom to be detected,
Compare the data of the first detection target with the cluster to which the first detection target belongs, and when the data of the first detection target exceeds the first threshold value from the cluster, an abnormal symptom occurs with respect to the first detection target. It is determined that the integrated control method. 삭제delete 제1 항에 있어서,
카메라의 촬영 영상, 출입 기록 또는 서로 공유된 동일한 파일의 개수 중 적어도 하나에 기반하여 복수의 탐지대상 간의 관계도를 결정하는 단계;
상기 제1 탐지대상에 대하여 이상징후가 발생한 것으로 판단된 경우, 상기 제1 탐지대상과 관계도가 높은 제2 탐지대상을 추출하는 단계; 및
상기 제2 탐지대상의 이상징후 발생 여부를 판단하는, 제2 탐지대상 이상징후 판단 단계를 더 포함하는, 통합 관제 방법.The method of claim 1,
Determining a relationship degree between a plurality of detection targets based on at least one of a photographed image of a camera, an access record, or the number of the same files shared with each other;
Extracting a second detection target having a high relationship with the first detection target when it is determined that an abnormal symptom has occurred in the first detection target; And
The integrated control method further comprising the step of determining whether the second detection target abnormal symptom occurs or not. 제4 항에 있어서,
상기 제2 탐지대상 이상징후 판단 단계는,
상기 제2 탐지대상의 데이터와 관련된 제2 임계값을 결정하는 단계; 및
상기 제2 탐지대상의 데이터와 상기 제2 임계값을 비교하되, 상기 비교 결과 상기 제2 탐지대상의 데이터가 상기 제2 임계값을 벗어나면 상기 제2 탐지대상에 대하여 이상징후가 발생한 것으로 판단하는 단계를 포함하는, 통합 관제 방법.The method of claim 4,
The second detection target abnormal symptom determination step,
Determining a second threshold value related to the data of the second detection target; And
Comparing the data of the second detection target with the second threshold value, and determining that an abnormal symptom has occurred in the second detection target when the data of the second detection target exceeds the second threshold as a result of the comparison Including a step, integrated control method. 제5 항에 있어서,
상기 제2 탐지대상의 데이터는, 상기 제1 임계값을 벗어난 상기 제1 탐지대상의 데이터 유형과 동일한 유형의 데이터인 것을 특징으로 하는, 통합 관제 방법.The method of claim 5,
The data of the second detection target is characterized in that the data of the same type as the data type of the first detection target deviating from the first threshold value, integrated control method. 하드웨어인 컴퓨터와 결합되어, 제1 항 내지 제2 항, 제4 항 중 어느 한 항의 방법을 실행시키기 위해 기록매체에 저장된, 통합 관제 프로그램.An integrated control program that is combined with a computer that is hardware and stored in a recording medium to execute the method of any one of claims 1 to 2 and 4. 인공지능형 통합 IT관제 시스템에 있어서,
탐지대상의 이상징후를 탐지 및 분석하는 메인 서버를 포함하고,
상기 메인 서버가 복수의 탐지대상의 데이터를 획득하고,
상기 메인 서버가 제1 탐지대상의 데이터와 관련된 제1 임계값을 결정하고,
상기 메인 서버가 상기 제1 탐지대상의 데이터와 상기 제1 임계값을 비교하되, 상기 비교 결과 상기 제1 탐지대상의 데이터가 상기 제1 임계값을 벗어나면 상기 제1 탐지대상에 대하여 이상징후가 발생한 것으로 판단하고,
상기 메인 서버가 카메라의 촬영 영상, 출입 기록, 서로 공유된 동일한 파일의 개수, 네트워크 트래픽, 메일 수발신 내용 및 메신저 수발신 내용 중 적어도 하나에 기반하여 복수의 탐지대상 간의 관계도를 결정하고,
상기 메인 서버가 상기 제1 탐지대상에 대하여 이상징후가 발생한 것으로 판단된 경우, 상기 제1 탐지대상과 관계도가 높은 제2 탐지대상을 추출하고,
상기 메인 서버가 상기 제2 탐지대상의 이상징후 발생 여부를 판단하고,
상기 제1 임계값은,
상기 제1 탐지대상 데이터의 기준값과 상기 제1 탐지대상의 특성에 따라 지정된 제1 가중치에 기반하여 제1 임계값을 결정되는 것을 특징으로 하는, 통합 관제 시스템.
In the artificial intelligence integrated IT control system,
It includes a main server that detects and analyzes abnormal symptoms of the target to be detected,
The main server acquires data of a plurality of detection targets,
The main server determines a first threshold value related to data of a first detection target,
The main server compares the data of the first detection target with the first threshold, and if the data of the first detection target exceeds the first threshold as a result of the comparison, an abnormal symptom is generated for the first detection target. Judged to have occurred,
The main server determines a relationship between a plurality of detection targets based on at least one of a camera's captured image, an access record, the number of identical files shared with each other, network traffic, mail receiving and sending contents, and messenger receiving and sending contents,
When the main server determines that an abnormal symptom has occurred in the first detection target, extracts a second detection target having a high relationship with the first detection target, and
The main server determines whether or not an abnormal symptom of the second detection target occurs,
The first threshold is,
And a first threshold value is determined based on a reference value of the first detection target data and a first weight designated according to a characteristic of the first detection target.
 삭제delete 삭제delete
KR1020200028286A 2020-03-06 2020-03-06 Artificial intelligence method and system for integrated it monitoring Active KR102234514B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020200028286A KR102234514B1 (en) 2020-03-06 2020-03-06 Artificial intelligence method and system for integrated it monitoring

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020200028286A KR102234514B1 (en) 2020-03-06 2020-03-06 Artificial intelligence method and system for integrated it monitoring

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
KR1020190059537A Division KR102088378B1 (en) 2019-05-21 2019-05-21 Artificial intelligence method and system for integrated it monitoring

Publications (2)

Publication Number Publication Date
KR20200134143A KR20200134143A (en) 2020-12-01
KR102234514B1 true KR102234514B1 (en) 2021-03-31

Family

ID=73790747

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020200028286A Active KR102234514B1 (en) 2020-03-06 2020-03-06 Artificial intelligence method and system for integrated it monitoring

Country Status (1)

Country Link
KR (1) KR102234514B1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11815988B2 (en) 2021-07-28 2023-11-14 Infranics America Corp. System that automatically responds to event alarms or failures in it management in real time and its operation method

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102506294B1 (en) * 2021-08-11 2023-03-06 주식회사 카인드소프트 Method for detecting login anomalies and managing log data related to login based on blockchain, and apparatus for performing the same
KR102800630B1 (en) * 2022-12-19 2025-04-24 상명대학교산학협력단 Anomaly detection system appled to variable threshold value of employee obtained from AI arithmetic operation
KR102800661B1 (en) * 2022-12-28 2025-04-24 상명대학교산학협력단 Anomaly detection system through a variable threshold value obtained by reflecting individual work
KR102886956B1 (en) * 2023-04-06 2025-11-17 숭실대학교 산학협력단 Apparatus and method for determining abnormal equipment based on distance calculation between time series vectors
KR102665210B1 (en) * 2023-07-18 2024-05-10 오케스트로 주식회사 A anomaly detection system for cloud device based on xai and a method for anomaly detection
CN116893663B (en) * 2023-09-07 2024-01-09 之江实验室 A main control abnormality detection method, device, storage medium and electronic equipment

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101597935B1 (en) * 2015-03-19 2016-02-25 주식회사 퓨쳐시스템 Method and system for detecting abnormal time-series data

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102464390B1 (en) * 2016-10-24 2022-11-04 삼성에스디에스 주식회사 Method and apparatus for detecting anomaly based on behavior analysis
KR101946691B1 (en) * 2016-12-28 2019-02-11 숭실대학교산학협력단 Device and method detecting of information outflow, recording medium for performing the method
KR20190043923A (en) * 2017-10-19 2019-04-29 라인 가부시키가이샤 Service server, method and computer for monitoring a data packet by a suspicious user

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101597935B1 (en) * 2015-03-19 2016-02-25 주식회사 퓨쳐시스템 Method and system for detecting abnormal time-series data

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11815988B2 (en) 2021-07-28 2023-11-14 Infranics America Corp. System that automatically responds to event alarms or failures in it management in real time and its operation method

Also Published As

Publication number Publication date
KR20200134143A (en) 2020-12-01

Similar Documents

Publication Publication Date Title
KR102234514B1 (en) Artificial intelligence method and system for integrated it monitoring
US10476749B2 (en) Graph-based fusing of heterogeneous alerts
US9369484B1 (en) Dynamic security hardening of security critical functions
KR100351306B1 (en) Intrusion Detection System using the Multi-Intrusion Detection Model and Method thereof
US10268821B2 (en) Cyber security
CN117614745B (en) A collaborative defense method and system for processor network protection
KR102088378B1 (en) Artificial intelligence method and system for integrated it monitoring
US10476752B2 (en) Blue print graphs for fusing of heterogeneous alerts
US9961047B2 (en) Network security management
Gómez et al. Design of a snort-based hybrid intrusion detection system
KR20190010956A (en) intelligence type security log analysis method
CN118860800B (en) An operation and maintenance management system based on cloud computing services
CN119830308A (en) File management system and method based on data analysis
CN118828514A (en) A smart terminal security risk assessment system and method
KR102745296B1 (en) Apparatus and Method for Cybersecurity Threat Detection Using Generative Artificial Intelligence Technology
CN119675900B (en) Large model intrusion detection method and device based on user behavior data
CN120378200B (en) Illegal access automatic perception model method and system in network security isolation area
Razaq et al. A big data analytics based approach to anomaly detection
US20250088521A1 (en) Identifying similarities in complex objects at scale
CN118984247A (en) A network protection method and system combining multi-level isolation and dynamic protection
WO2017176676A1 (en) Graph-based fusing of heterogeneous alerts
CN110618977B (en) Login anomaly detection method, device, storage medium and computer equipment
CN120567491B (en) Network security detection method and system based on firewall
RU180789U1 (en) DEVICE OF INFORMATION SECURITY AUDIT IN AUTOMATED SYSTEMS
CN120321044A (en) Network security protection method and system based on traffic analysis

Legal Events

Date Code Title Description
PA0107 Divisional application

Comment text: Divisional Application of Patent

Patent event date: 20200306

Patent event code: PA01071R01D

Filing date: 20190521

Application number text: 1020190059537

PN2301 Change of applicant

Patent event date: 20200409

Comment text: Notification of Change of Applicant

Patent event code: PN23011R01D

PA0201 Request for examination

Patent event code: PA02012R01D

Patent event date: 20200414

Comment text: Request for Examination of Application

Patent event code: PA02011R04I

Patent event date: 20200306

Comment text: Divisional Application of Patent

PE0902 Notice of grounds for rejection

Comment text: Notification of reason for refusal

Patent event date: 20200622

Patent event code: PE09021S01D

PG1501 Laying open of application
E701 Decision to grant or registration of patent right
PE0701 Decision of registration

Patent event code: PE07011S01D

Comment text: Decision to Grant Registration

Patent event date: 20201228

GRNT Written decision to grant
PR0701 Registration of establishment

Comment text: Registration of Establishment

Patent event date: 20210325

Patent event code: PR07011E01D

PR1002 Payment of registration fee

Payment date: 20210325

End annual number: 3

Start annual number: 1

PG1601 Publication of registration
PR1001 Payment of annual fee

Payment date: 20240226

Start annual number: 4

End annual number: 4

PR1001 Payment of annual fee

Payment date: 20250109

Start annual number: 5

End annual number: 5