데이터베이스 내부자 공격탐지를 위한 사용자 질의의 분리표현 학습

• Published in: 정보과학회 컴퓨팅의 실제 논문지 Vol. 27; no. 2; pp. 76 - 82
• Main Authors: 고광명(Gwang-Myong Go), 부석준(Seok-Jun Bu), 조성배(Sung-Bae Cho)
• Format: Journal Article
• Language: Korean
• Published: Korean Institute of Information Scientists and Engineers 01.02.2021; 한국정보과학회
• Subjects: 컴퓨터학; triplet network; deep learning; metric learning; 표현형 학습; database security; 딥러닝; 사용자 질의 특징추출; 데이터베이스 보안; 심층 삼중항 신경망; insider intrusion detection; 내부자 침입탐지; user query feature extraction
• ISSN: 2383-6318; 2383-6326
• DOI: 10.5626/KTCP.2021.27.2.76

역할기반 접근 제어를 기반으로 하는 데이터베이스 관리 시스템은 정보 저장 및 분석에 널리 사용되지만 여러 보안 이슈 중에서도 내부자 공격에 특히 취약하다는 것이 여러 연구를 통해 밝혀져 있다. 구문 분석을 통한 전통적인 침입탐지의 한계로 인해 최근의 연구결과는 적응형 시스템으로 요약될 수 있으며, 이러한 관점에서 우리의 연구는 데이터베이스에 접근하는 사용자 질의에 대한 분류예측을 수행하여 실제 데이터베이스 시스템에 의해 수행된 내용 비교를 통해 예측값과 상이한 경우 내부자 공격으로 판단하는 방법을 제안한다. 제안하는 모델은 상호 유사성이 큰 사용자 질의에 대한 분류라는 문제 해결을 위해 입력의 유의미한 특징을 모형이 잘 추출하고, 신경망을 사용하여 유사성의 척도를 직접적으로 학습하는 계층적 구조를 가지는 심층 표현 학습 신경망으로, 학습모델은 온라인 거래 벤치마크인 TPC-E 공개 설계 구조를 활용하여 각각의 역할로 구분된 11개의 분류모형당 1,000개의 질의를 생성하여 학습되었으며, 기존 선행연구와 비교했을 때 가장 높은 성능인 94.17%의 분류정확도를 달성하였다. 제안하는 방법의 정량적 성능을 10겹 교차 검증으로 평가하였고, 정성적 성능 분석을 위해 신경망으로 임베딩한 특징공간을 시각화하여 결함간의 압축 벡터의 군집화 분석을 수행하였다. Database management systems employing role-based access control are widely used for information storage and analysis, but several studies have revealed that such systems are particularly vulnerable to insider attacks, among various other security issues. Our study proposes a method that can verify an event as an insider attack when the predicted value is different from the actual value by performing classification prediction on the user query accessing the database and comparing it with the log performed by the actual database system. Our model for solving the problem of classification of user queries with high mutual similarity is a deep representation learning architecture with a hierarchical structure, in which the model extracts meaningful features and directly learns the measure of similarity using a network. The model was trained by generating 1,000 queries per 11 roles classified using the TPC-E public schema as an online transaction benchmark, and it achieved higher performance than any of the previous works, with a classification accuracy of 94.17%. The quantitative performance was evaluated by 10-fold cross-validation to verify the validity of the intrusion detection model, while for qualitative performance analysis, a clustering analysis of compression vectors between defects was conducted by visualizing the embedded feature space. KCI Citation Count: 0