빅데이터기반 FDS Heimdallr 소개
목차 01 02 03 04 솔루션개요 FDS 고도화모델구축방안주요화면회사소개및구축사례
01 솔루션개요
01 솔루션개요 : Heimdallr (FDS) Heimdallr 소개 빅데이터엔진을기반으로외부침해, 내부정보유출, 이상금융거래에대핚실시간데이터를수집하고연관분석하여비정상행위를탐지및차단핛수있는기능을제공 4
01 솔루션개요 : Heimdallr 의 FDS 구현범위 구현영역 주요구현내용 대상채널 젂자금융거래비대면채널 - 인터넷뱅킹및모바일뱅킹 - ARS, CD/ATM 구현기능 1 로그 / 정보식별및수집 고객거래이력및실시갂거래발생정보수집 젂자금융거래프로세스관점정보식별 원천데이터안젂성확보 2 비정상거래행위유형분석 / 시나리오구현 IT 인프라환경및 Biz 서비스특성을반영한비정상거래행위분석, 정의 비정상행위기반시나리오수립및탐지체계구현 3 시나리오관리 사용자중심시나리오편집 / 등록관리환경 시나리오검증 / 시뮬레이션 시나리오버젂관리 젂자거래, 단말정보를연계한이상금융거래탐지및대응금융감독기관기술가이드라인준수 - 정보수집기능 - 분석및탐지기능 - 대응기능 - 모니터링및감사기능 - Legacy 시스템연계 - 시스템관리기능 4 대용량데이터분산처리 대용량데이터분산저장, 조회및분석지원 비정상행위시나리오에대응되는빅데이터분석쿼리운영및처리 5 비정상거래행위통합관제 웹기반통합관제환경 금융사고관점의관제 사용자관심영역중심대시보드 6 기타 비정상젂자금융거래차단및부가인증을위한인터페이스 타시스템연계지원 각종통계자료및보고서 5
01 솔루션개요 : Heimdallr 의데이터처리플랫폼 통합빅데이터분석플랫폼 Server Security Networking Application Desktop Virtualization Business Process Call Detail Record ClickStream Configuration Audit Packet Flow Data Sensor Data Any Collect 모든머싞데이터수집 다양한수집방식지원 대용량데이터수집 Any Index 데이터자동인덱싱 별도 DB 없이분산저장 수집데이터필터링지원 Any Search 강력핚상관관계분석 다양핚통계분석검색 데이터그룹 / 룩업지식 실시간대용량검색 빠른검색속도 Any Report 사용자정의대시보드 다양핚보고서 APP 제공 실시간알람 / 경보발생 고급분석 Chart 제공 Smart Insight 6
01 솔루션개요 : Heimdallr 의기능 Heimdallr 의기능 Heimdallr 은이상금융거래데이터처리에있어서최적의플랫폼인빅데이터엔진기반으로개발되었으며실시간으로발생하는정형 / 비정형데이터수집, 저장및분석에있어서우수한성능과기능을제공합니다. Why 빅데이터? 지속적원본거래데이터축적금융사기행위탐지모델고도화업무변경에대한유연한대응 금융사기행위징후를분석하기위해서는장기간에걸친원본거래데이터의수집을기반으로시계열분석이필요 금융사기행위탐지율을높이기위해서는젂체고객거래데이터를대상으로다양핚측면의과학적분석기법적용필요 업무로그와트랚잭션로그의증가및변경시데이터처리에대핚신속하고유연핚대응체계필요 7
01 솔루션개요 : Heimdallr 의젂자금융거래분석구조 Heimdallr 의금융거래분석구조 다양한형태의업무로그를수집하여빅데이터분석마트를구축한후고급분석을통해이상거래위험군의분류및거래이상징후를탐지하고이상거래판정업무를지원합니다. >> 이상금융거래탐지를위한빅데이터분석 수집대상분석시스템데이터분석 로그데이터 금융거래데이터분석시스템 이상거래위험군관리 이체펀드매매 금융거래로그 데이터저장 빅데이터분석 Mart 분석 고위험군분류 (Clustering) 담보대출 DLP DRM 서버 Network 업무 TR 보안시스템로그 시스템로그 수집 Hive 데이터정규화 데이터모델링 이상금융거래종합위험도 360 Degree 거래자 View 모니터링 거래이상징후탐지 Anomaly Detect 단순 / 복합 Rule 분석 IP 휴대전화번호 단말정보 HDFS 원본데이터 조회 이상거래판정업무 거래활동감시 8
01 솔루션개요개요 : Heimdallr 의실시간처리구조 Heimdallr 의실시간탐지구조 Splunk Heimdallr HTS / WTS User Profile DB Rule ( 실시간 Query) Scenario ( 실시간 Query) Risk 산정 MTS / 모바일홈페이지 ARS CD / ATM 단말정보 거래정보 실시간 Event 처리 실시간 Event 분석 E1 User ID1,IP,timestamp E2 User ID2,M_ 단말 _ 금액 _ 조회 E3 User_ID3_1 백만원 _0000000 E4 User_ID4_1 백만원 _1111111. No 정상서비스 YES 2-Channel 인증 서비스차단 거래시간부터최대 1 초이내응답 9
01 솔루션개요 : Heimdallr 의기능구조 고객시스템 Fraud Detection System 고객 / 거래정보 Splunk 서버 Application 서버 기간계 Splunk FDS Application 정보계 젂자거래시스템 웹 모바일웹 Android ios 탐지대응기능 탐지정보 알람시스템 E-MAIL SMS 이상거래확인 ( 정탐 / 오탐 ) 고객확인 F F F F I/F I/F 프로파일관리탐지정책 INDEXDER Indexing data 실시간탐지모듈실행기능비 / 활성화기능실행쉘 I / F 스플렁크 I/F 탐지대응 I/F 알람 I/F DB I/F 고객확인 I/F 고객대응정보 알람정보 시스템관리 탐지정책관리 모니터링관리 고객대응관리 감사증적관리 보고서관리 시스템정보 탐지정책정보 탐지결과정보 사용자관리 권한관리 코드관리 서비스 개별탐지정책관리 복합탐지정책관리 지식관리 탐지결과조회 시스템모니터링 상황판 ( 대쉬보드 ) 고객대응이력조회 고객대응결과반영 사용자별이용내역조회 변경이력조회 탐지결과보고서 대응결과보고서 운영상황보고서 감사증적정보 1 스코어링결과 담당자별알람관리 로그인기능 (SSO 연동 ) 위협분류관리 시뮬레이션 고객대응결과모니터링 알람모니터링 거래분석 Splunk 데이터 시스템모니터링 감사증적정보 2 10
01 솔루션개요 : H/W 구성방안 ( 예시 ) Stand by & Active 테스트시스템 Heimdallr Heimdallr & Header Heimdallr & Header CPU 3.2GHz, 8Core * 2 CPU 2.3GHz, 16Core * 2 CPU 2.4GHz, 8Core * 2 L2(Active) RAM 32 GB RAM 64 GB RAM 32 GB L2(Standby) SSD SAS 300GB * 4 R10 SSD SAS 300GB * 4 R10 SSD SAS 300GB * 4 R10 Splunk (Header) CPU RAM HDD 2.3GHz, 16 Core * 2 32 GB 15K RPM R10 SAS 300GB * 2 Splunk (Indexer) Splunk (Indexer) Splunk (Indexer) CPU RAM HDD 2.4GHz, 8Core*2 16 GB 15K RPM R10 SAS 1.2 TB * 6 CPU RAM HDD 2.4GHz, 8Core*2 16 GB 15K RPM R10 SAS 1.2 TB * 6 CPU 3.0GHz, 8Core RAM 8 GB SSD SAS 1.2 TB * 6 R10 테스트시스템 범례 Ethernet 서버확장 Active Stand by 구성 R10 RAID 1+0 11
01 솔루션소개 : S/W 구성방안 ( 예시 ) Stand by & Active 테스트시스템 Heimdallr Heimdallr & Search Header Heimdallr & Search Header Tomcat 7.0.61 Tomcat 7.0.61 Tomcat 7.0.61 L2(Active) MariaDB 10.0.17 MariaDB 10.0.17 MariaDB 10.0.17 L2(Standby) Red Hat Linux 6.4 Red Hat Linux 6.4 Red Hat Linux 6.4 Splunk (Search Header) Red Hat Linux 6.4 Splunk (Indexer) Splunk (Indexer) Splunk (Indexer) Splunk (Indexer) Red Hat Linux 6.4 Red Hat Linux 6.4 Red Hat Linux 6.4 Red Hat Linux 6.4 Active 테스트시스템 범례 Ethernet Active Stand by 구성 12
02 FDS 고도화모델구축방안 13
02 FDS 고도화모델구축방안 FDS 고도화를위한핵심요소 FDS 구축과정에서가장중점을두어야할 Risk 요인은 False-Positive 와 False-Negative 를최소화하는것이며이를달성하기위한구체적인실행방안이수반되어야합니다. FDS 내 정상거래탐지 실제정상거래 금융사기거래 FDS 내 이상거래탐지 실제정상거래 금융사기거래 14
02 FDS 고도화모델구축방안 Heimdallr 의 FDS 고도화모델 Scenario 기반모델과 Risk 기반모델을병행구현 : False-Positive( 오탐 ) 와 False-Negative( 미탐 ) 를최소화 이상금융거래판정 Scenario 기반모델 Risk 기반모델 이상거래패턴을 Scenario 로등록하고이와동일핚형태의거래를탐지 ( 예 : 과거이력이없는, 직젂거래와다른단말기에서공인인증서재발급후싞규계좌이체 ) 사고사례를분석해 Risk 항목을프로파일링하고연관도분석을통해거래위험도를판정 ( 과거미사용매체 + 싞규단말 + 미거래지역 + 싞규계좌 = 75 점 ) Risk 기반모델 Scenario 기반모델 15
02 FDS 고도화모델구축방안 FDS 고도화절차 은행및증권업계금융사고사례및금융보안원에서제시하는젂자금융거래사기유형을수집 / 분석하여금융거래정보분석및금융사기행위판정에적용합니다. 금융거래정보분석 금융사기행위판정 Risk Factor 식별사기행위분석 Scenario 기반모델 Risk 기반모델 - 접속정보 (IP,MAC,HDD 등 ) - 거래정보 ( 계좌, 이체횟수, 이체금액, 이체시갂..) - 중요정보변경 - 심야시갂대거래 - 특정금액초과거래 - 공인인증서발급 - 싞규단말접속거래 - 의심계좌이체거래 - 해외접속거래 - 법적근거, 금보원기술가이드를근거로사고사례를통계기법을적용하여시나리오도출 - 사고연관성이높은동시에정상범주고객프로파일값을벖어나는 Risk Factor 를기준으로 Risk Score 를도출하여판정 금융사고사례수집 은행권사고사례증권업계사고사례금융감독기관가이드 16
02 FDS 고도화모델구축방안 Heimdallr 의 Scenario 기반모델고도화 실사고사례에대한세부분석과시나리오내변수간연관분석을통한시나리오고도화및잠재적발생가능성예측 분석내용 고도화결과 분석시나리오 시나리오변수간상관분석을통한변수임계값도출 시나리오변수조정 고객프로파일 과거거래패턴대비현재패턴이변화된사용자도출 과거이상금융거래사례와유사한금융거래도출 과학적분석기법적용 블랙리스트가능성사용자예측 이상금융거래발생가능성예측 과거이상금융거래패턴과현재이상금융거래패턴을상관분석 시나리오최적화 1 시간이내 200 만원이상복수이체 30 분이내 90 만원이상 300 만원미만 수정반영 17
Carrier 12:34 PM Web Page Title http://host.domain.tld 320 x 480 Vertical Resolution 02 FDS 고도화모델구축방안 Heimdallr 의 Risk 기반모델체계 Risk Factor 기반의사용자프로파일을작성후실시간거래정보와프로파일을비교하여상이한 Risk Factor 및연관도에따라이상금융거래로판정합니다. 고객프로파일 실시간거래데이터 고객 : user01 고객 : user01 일거래시갂 이체계좌 일최대이체횟수 일최대이체금액 거래지역 거래시갂이체계좌이체횟수이체금액 09:00 ~ 15:00 220030245 3 200 만원서울 2015-07-07 14:39:49 2200302456 4 500 만원 거래소요시갂 5 분 ~10 분 IP MAC HDD 거래시도오류 203.202.14. 155 001E101F03 4E EI43N09641 G50 N 거래지역 거래소요시갂 거래시도오류 HDD 부산 7 분 N EI43N09641F78 고객정보계좌정보단말정보 인터넷뱅킹 모바일뱅킹 창구단말 프로파일정보검색 Risk Factor 비교 채널데이터분석 18
02 FDS 고도화모델구축방안 Heimdallr 의 Risk 기반모델체계 위험도산출프로세스에의해최종위험도 (Risk Score) 를산정하고, 위험도 (Risk Score) 의범위에따라고, 중, 저위험으로관리하며고위험의경우추가인증을통해서관리합니다. 위험도산출프로세스 위험도관리 19
02 FDS 고도화모델구축방안 Heimdallr 의금융거래데이터분석 ㅍ 20
02 FDS 고도화모델구축방안 빅데이터분석주제 21
02 FDS 고도화모델구축방안 빅데이터분석모델 22
02 FDS 고도화모델구축방안 Heimdallr 의 Scenario 고도화분석 23
02 FDS 고도화모델구축방안 Heimdallr 의 Scenario 고도화분석예시 24
03 주요화면 25
03 주요화면 대쉬보드 26
03 주요화면 실시간탐지현황화면 27
03 주요화면 오용탐지결과상세조회화면 28
03 주요화면 접속상세이력조회화면 29
03 주요화면 이상탐지결과상세조회화면 30
04 회사소개및구축사례 31
04 회사소개및구축사례 회사소개 FDS 사업수행실적 동양네트웍스 Splunk 기술컨설팅젂문역량보유 FDS 솔루션판매 금융, 공공및제조부문데이터분석컨설팅진출 금융권최초 FDS 구축 (2013. 05) FDS + 보안관제구축 (2014.12) FDS 구축 (2015. 08) 은행, 증권및보험 ITO 젂문역량보유 HR, 모바일및빅데이터시장진출 Splunk 및빅데이터기반 FDS 핵심역량보유금융및공공 SI 시장집중 FDS 구축진행중 (~2016. 02) 32
03 회사소개및구축사례 In-memory 기반데이터처리, 프로파일링기반실시간탐지체계구현, 통계적분석에의핚 시나리오고도화및이상탐지모델구현 금융권최초빅데이터플랫폼적용 주기적금융거래데이터분석체계 외부침해및내부통제이상징후탐지체계병행적용 Splunk 를통핚실시간데이터수집및저장 분산 Disk I/O 기반 Scheduling Query 사용 이상금융거래, 외부침해및내부통제위반행위에대핚사용자지정주기의탐지체계 (x 초 ~ x 시간 ) In-memory 기술적용 User Profiling Event기반실시간탐지체계통계모델기반사고사례분석 Real-time Query 적용 (memory 상에서의데이터수집 / 분석 ) 사용자금융거래이력정보체계화 Splunk embedded function 을통핚프로파일정보및 Event 데이터의동시고속검색 과거패턴유사도분석, 사고사례매칭분석, 계좌네트워크분석 이상탐지모델적용 자동화기기의심거래행위분석 3 개사구축경험및사고사례를기반으로금융사기행위와연관된 Risk 항목및 Risk 스코어링모델구현 ARS, CD 및 ATM 기기상에서발생되는의심거래탐지시나리오구현 33
03 회사소개및구축사례 Heimdallr 구축결과 도입목적 도입효과 대용량데이터저장소및 분석인프라구축 오픈소스 R 분석도구를홗용핚상용솔루션대체 상용고급분석솔루션초기도입비용젃감 분산병렬처리프로세스를 통핚장기데이터분석홖경구축 시나리오고도화분석을통핚 False Alarm 최소화 기존시나리오 Detect 탐지대상약 40% 감소 빅데이터분석기술을홗용핚이상금융거래탐지고도화 빅데이터기반 FDS 구축 사용자패턴기반위험도등급화를통핚탐지 이상금융거래의새로운탐지방법타당성확인 과거이상금융거래사고의 패턴과유사핚현재의부정 탐지모델고도화제고 혐의자를탐지 빅데이터플랙폼도입 계좌와계좌간의관계에서이체의흐름에중심에있는계좌를탐지 SNA Visualization 분석을통해정량적파악이어려운신규패턴도출 34
THANK YOU