In the last few years, a lot of research has inspired for detecting abnormal behaviors. As internet has grown explosively and traffic has increased quickly, the amount of data to be analyzed has been expanded tremendously. Security managers have used nevertheless simple statistical approach because there was no effective method to analyze anomalous behaviors on massive data. So we used practical and raw data that was generated from Microsoft.com web server and was over 250GB. As a result, we proposed a novel anomaly detection algorithm Anomaly Feature Matrix(AFM) that it combined fields with relation among fields and 10 anomaly pattern scenarios and implemented automated tool, ADAM(Anomaly Detector Assistant based on anomaly feature Matrix), that was based on our algorithm. ADAM will reduce a burden on analysis and increase possibility of anomaly detection as it provides security manager with likely anomalous data that were screened and visualized information, which make user to recognize more intuitively so that user can classify anomaly more effectively.
최근 몇 년간 웹 서버에서 발생하는 비정상 행위를 탐지하기 위한 많은 연구가 진행되어 왔다. 인터넷의 규모가 빠르게 팽창하고 이용률이 증가함에 따라 분석해야 할 대상들이 급격하게 증가하였음에도 불구하고 대용량의 데이터에서 효과적으로 비정상 행위를 분석할 수 있는 방법이 없었기 때문에 단순한 통계적 방법을 이용하여 웹 로그를 분석해 왔다. 또한 기존의 연구는 인위적으로 만들어진 데이터를 대상으로 탐지모델을 제안하고 효용성을 검증하였기 때문에 한계를 가지고 있다. 본 연구는 Microsoft.com 웹 서버에서 실제로 수집된 250GB의 방대한 용량의 웹 로그를 대상으로 이상행위를 분석하였다. 그 결과 필드들과 필드의 속성들의 관계를 이용하여 `Anomaly Feature Matrix (AFM)`라는 이상 탐지 모델과 10개의 의심패턴을 정의하였고 제안된 모델을 바탕으로 자동화된 이상탐지도구인 ADAM을 구현하였다. ADAM 시스템은 사용자에게 이상일 가능성이 높은 데이터만 선별하여 제공하기 때문에 수기 분석에 대한 부담을 줄일 수 있을 뿐 아니라 이상행위를 탐지할 가능성을 높인다. 또한 시각화된 정보를 제공하여 사용자가 직관적으로 인식함으로서 보다 빠르고 효율적으로 이상행위를 분류할 수 있다.