KR102037192B1 - 계층적 구조 학습을 통한 네트워크 트래픽의 지속적인 신호 트래픽 탐지 장치 및 방법 - Google Patents
계층적 구조 학습을 통한 네트워크 트래픽의 지속적인 신호 트래픽 탐지 장치 및 방법 Download PDFInfo
- Publication number
- KR102037192B1 KR102037192B1 KR1020180000785A KR20180000785A KR102037192B1 KR 102037192 B1 KR102037192 B1 KR 102037192B1 KR 1020180000785 A KR1020180000785 A KR 1020180000785A KR 20180000785 A KR20180000785 A KR 20180000785A KR 102037192 B1 KR102037192 B1 KR 102037192B1
- Authority
- KR
- South Korea
- Prior art keywords
- log
- communication
- unit
- signal traffic
- traffic
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 37
- 238000001514 detection method Methods 0.000 title claims abstract description 23
- 238000004891 communication Methods 0.000 claims abstract description 123
- 230000008569 process Effects 0.000 claims description 12
- 230000009467 reduction Effects 0.000 claims description 8
- 239000000284 extract Substances 0.000 claims description 4
- 238000004458 analytical method Methods 0.000 description 8
- 238000010586 diagram Methods 0.000 description 4
- 238000012545 processing Methods 0.000 description 4
- 230000002159 abnormal effect Effects 0.000 description 3
- 230000000737 periodic effect Effects 0.000 description 3
- 238000013459 approach Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000008859 change Effects 0.000 description 1
- 230000001010 compromised effect Effects 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000014509 gene expression Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000002688 persistence Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
본 발명은 신호 트래픽 탐지 장치 및 방법에 관한 것으로, 특히 네트워크 상에서 발생되는 트래픽을 일정 주기로 계층화된 구조로 학습하고 동시에 학습된 트래픽 모델을 이용하여 신호 트래픽 의 존재 여부를 식별할 수 있도록 하는 계층적 구조 학습을 통한 네트워크 트래픽의 지속적인 신호 트래픽 탐지 장치 및 방법에 관한 것이다.
또한, 본 발명은 인터넷 환경에서 패킷 데이터를 수집하는 패킷 수집부; 상기 패킷 수집부에서 수집된 패킷 데이터의 특징 정보를 추출하여 통신 로그를 생성하는 통신 로그 생성부; 상기 통신 로그 생성부에서 생성한 통신 로그를 이용하여 특정 주기별로 단위 축약 로그를 생성하여 특정 시간 주기별 신호 트래픽 탐지 모델을 학습하는 신호 트래픽 학습부; 및 상기 통신 로그 생성부에서 생성된 통신 로그와 상기 신호 트래픽 학습부에서 생성된 단위 축약 로그와 학습된 신호 트래픽 탐지 모델을 이용하여 주기별 신호 트래픽을 탐지를 수행하는 신호 트래픽 탐지부를 포함하는 계층적 구조 학습을 통한 네트워크 트래픽의 지속적인 신호 트래픽 탐지 장치 및 방법을 제공한다.
또한, 본 발명은 인터넷 환경에서 패킷 데이터를 수집하는 패킷 수집부; 상기 패킷 수집부에서 수집된 패킷 데이터의 특징 정보를 추출하여 통신 로그를 생성하는 통신 로그 생성부; 상기 통신 로그 생성부에서 생성한 통신 로그를 이용하여 특정 주기별로 단위 축약 로그를 생성하여 특정 시간 주기별 신호 트래픽 탐지 모델을 학습하는 신호 트래픽 학습부; 및 상기 통신 로그 생성부에서 생성된 통신 로그와 상기 신호 트래픽 학습부에서 생성된 단위 축약 로그와 학습된 신호 트래픽 탐지 모델을 이용하여 주기별 신호 트래픽을 탐지를 수행하는 신호 트래픽 탐지부를 포함하는 계층적 구조 학습을 통한 네트워크 트래픽의 지속적인 신호 트래픽 탐지 장치 및 방법을 제공한다.
Description
본 발명은 신호 트래픽 탐지 장치 및 방법에 관한 것으로, 특히 네트워크 상에서 발생되는 트래픽을 일정 주기로 계층화된 구조로 학습하고 동시에 학습된 트래픽 모델을 이용하여 신호 트래픽의 존재 여부를 식별할 수 있도록 하는 계층적 구조 학습을 통한 네트워크 트래픽의 지속적인 신호 트래픽 탐지 장치 및 방법에 관한 것이다.
인터넷의 규모가 지속적으로 커지고 그 기술이 발전함에 따라 네트워크를 이용한 공격 또한 고도화되고 있다.
네트워크를 이용한 공격은 다량의 네트워크 트래픽을 발생시키는 서비스 거부를 포함하여 서비스의 제공 여부를 확인하는 정보 수집, 취약점을 식별하고 공격하는 트래픽과 주기적으로 특정 신호 통신을 시도하는 방법으로 발생될 수 있다.
최근 네트워크 보안에 있어 APT(Advanced Persistence Threat)와 같은 유형의 공격이 주요 보안 이슈가 되고 있다.
이러한 APT 공격은 방어자가 인지할 수 없는 적은 트래픽을 이용하여 장시간에 걸쳐 공격 대상 시스템을 공격한다.
침해된 시스템은 방어자의 감시 망을 우회하기 위해 내부 시스템에서 외부 시스템으로 주기적인 신호 트래픽을 통해 공격자와 통신을 수행하는 방식을 이용한다. 현재 네트워크 트래픽 분석 방법은 네트워크 단계에서 이러한 통신을 식별하는 것에 문제점을 가지고있다.
네트워크 트래픽의 분석을 통한 비정상 트래픽(Anomaly Traffic)을 식별하는 방법은 크게 시그니처 기반의 식별 방법과 트래픽의 양(Volume)을 이용한 식별 방법이 있다.
시그니처 기반의 식별 방법은 미리 정의된 시그니처를 이용하여 비정상 트래픽을 식별하는 방법이다.
트래픽의 양을 이용한 식별 방법은 정상적인 트래픽 양을 기준으로 임계치(Threshold)를 생성하고, 생성된 임계치를 넘어서는 트래픽을 비정상으로 식별한다.
그러나 기존에 비정상 트래픽을 식별하는 시그니처 기반의 식별 방법의 경우, 시그니처를 확보한 이후에 대응이 가능하여 알려지지 않는 트래픽에 대한 대응이 빠르게 이루어지지 않는 문제점을 가지고있다.
트래픽 양을 이용한 식별 방법은 네트워크 환경과 시간 조건(업무시간, 주말 등)에 따라 트래픽 양의 변화량이 크기 때문에 소량으로 발생되는 신호 트래픽에 대한 식별이 어려운 문제가 있다.
상기와 같은 문제점을 해결하기 위하여 안출된 본 발명은 특정 주기로 발생되는 신호 트래픽을 식별하기 위해 다양한 주기로 수집된 트래픽 정보와 계층적(Multi-Layer) 학습 구조를 이용하여 신호 트래픽을 식별하고, 네트워크 트래픽을 효율적으로 모니터링 할 수 있도록 하는 계층적 구조 학습을 통한 네트워크 트래픽의 지속적인 신호 트래픽 탐지 장치 및 방법을 제공하는 데 있다.
상기와 같은 본 발명의 장치는 인터넷 환경에서 패킷 데이터를 수집하는 패킷 수집부; 상기 패킷 수집부에서 수집된 패킷 데이터의 특징 정보를 추출하여 통신 로그를 생성하는 통신 로그 생성부; 상기 통신 로그 생성부에서 생성한 통신 로그를 이용하여 특정 주기별로 단위 축약 로그를 생성하여 특정 시간 주기별 신호 트래픽 탐지 모델을 학습하는 신호 트래픽 학습부; 및 상기 통신 로그 생성부에서 생성된 통신 로그와 상기 신호 트래픽 학습부에서 생성된 단위 축약 로그와 학습된 신호 트래픽 탐지 모델을 이용하여 주기별 신호 트래픽을 탐지를 수행하는 신호 트래픽 탐지부를 포함한다.
또한, 본 발명의 장치의 상기 통신 로그 생성부가 패킷 데이터에서 추출하는 특징 정보는 프로토콜(Protocol), 포트(Port), 패킷의 길이, 통신량, IP Header 의 TTL(Time To Live) 및 IP ID(Identification)를 포함한다.
또한, 본 발명의 장치의 상기 통신 로그 생성부는 1분 단위의 통신 로그를 생성하며, 상기 신호 트래픽 학습부는 1분 단위의 상기 통신 로그 생성부에서 생성한 통신 로그를 입력 받아 10개의 통신 로그를 이용하여 10분 단위의 10분 단위 축약 로그를 형성하고, 10분 단위의 단위 축약 로그 6개를 이용하여 1시간 단위 축약 로그를 생성하며, 6개의 1시간 단위 축약 로그를 이용하여 6시간 단위 축약 로그를 생성하며, 6시간 단위 축약 로그 4개를 이용하여 1일 단위 축약 로그를 생성한다.
또한, 본 발명의 장치의 상기 신호 트래픽 학습부는 단위 축약 로그를 생성하는 과정에서 연속적인 분 단위 통신이 이루어지는 경우, 해당 통신 패턴 정보를 추출하여 단위 시간 주기별 통신 유형을 학습하며, 이와 같은 학습 과정을 각 분/시간/일 별로 반복한다.
한편, 본 발명의 방법은 (A) 인터넷 환경에서 패킷 데이터를 수집하는 패킷 수집부; (B) 통신 로그 생성부가 상기 패킷 수집부에서 수집된 패킷 데이터의 특징 정보를 추출하여 통신 로그를 생성하는 단계; (C) 신호 트래픽 학습부가 상기 통신 로그 생성부에서 생성한 통신 로그를 이용하여 특정 주기별로 단위 축약 로그를 생성하여 특정 시간 주기별 신호 트래픽 탐지 모델을 학습하는 단계; 및 (D) 신호 트래픽 탐지부가 상기 통신 로그 생성부에서 생성된 통신 로그와 상기 신호 트래픽 학습부에서 생성된 단위 축약 로그와 학습된 신호 트래픽 탐지 모델을 이용하여 주기별 신호 트래픽을 탐지를 수행하는 단계를 포함한다.
또한, 본 발명의 방법의 상기 (B) 단계에서 상기 통신 로그 생성부가 패킷 데이터에서 추출하는 특징 정보는 프로토콜(Protocol), 포트(Port), 패킷의 길이, 통신량, IP Header 의 TTL(Time To Live) 및 IP ID(Identification)를 포함한다.
또한, 본 발명이 방법의 상기 (B) 단계에서 상기 통신 로그 생성부는 1분 단위의 통신 로그를 생성하며, 상기 (C) 단계에서 상기 신호 트래픽 학습부는 1분 단위의 상기 통신 로그 생성부에서 생성한 통신 로그를 입력 받아 10개의 통신 로그를 이용하여 10분 단위의 10분 단위 축약 로그를 형성하고, 10분 단위의 단위 축약 로그 6개를 이용하여 1시간 단위 축약 로그를 생성하며, 6개의 1시간 단위 축약 로그를 이용하여 6시간 단위 축약 로그를 생성하며, 6시간 단위 축약 로그 4개를 이용하여 1일 단위 축약 로그를 생성한다.
또한, 본 발명의 방법의 상기 (C) 단계에서 상기 신호 트래픽 학습부는 단위 축약 로그를 생성하는 과정에서 연속적인 분 단위 통신이 이루어지는 경우, 해당 통신 패턴 정보를 추출하여 단위 시간 주기별 통신 유형을 학습하며, 이와 같은 학습 과정을 각 분/시간/일 별로 반복한다.
상기와 같은 본 발명에 따르면, 네트워크 상에서 발생되는 트래픽을 일정 주기로 계층화된 구조로 학습하고 동시에 학습된 트래픽 모델을 이용하여 신호 트래픽 의 존재 여부를 식별할 수 있다.
또한, 본 발명은 특정 주기로 발생되는 신호 트래픽을 식별하기 위해 다양한 주기로 수집된 트래픽 정보와 계층적(Multi-Layer) 학습 구조를 이용하여 신호 트래픽을 식별하고, 네트워크 트래픽을 효율적으로 모니터링 할 수 있도록 한다.
도 1은 본 발명의 바람직한 일 실시예에 따른 계층적 구조 학습을 통한 네트워크 트래픽의 지속적인 신호 트래픽 탐지 장치의 구성도이다.
도 2는 신호 트래픽 학습부가 통신 로그 생성부에서 생성한 통신 로그를 전달받아 단위 축약 로그를 생성하는 과정을 보여주는 도면이다.
도 3은 본 발명의 바람직한 일 실시예에 따른 계층적 구조 학습을 통한 네트워크 트래픽의 지속적인 신호 트래픽 탐지 방법의 흐름도이다.
도 2는 신호 트래픽 학습부가 통신 로그 생성부에서 생성한 통신 로그를 전달받아 단위 축약 로그를 생성하는 과정을 보여주는 도면이다.
도 3은 본 발명의 바람직한 일 실시예에 따른 계층적 구조 학습을 통한 네트워크 트래픽의 지속적인 신호 트래픽 탐지 방법의 흐름도이다.
본 발명은 다양한 변환을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 이하에서는 특정 실시예들을 첨부된 도면을 기초로 상세히 설명하고자 한다.
이하의 실시예는 본 명세서에서 기술된 방법, 장치 및/또는 시스템에 대한 포괄적인 이해를 돕기 위해 제공된다. 그러나 이는 예시에 불과하며 본 발명은 이에 제한되지 않는다.
본 발명의 실시예들을 설명함에 있어서, 본 발명과 관련된 공지기술에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략하기로 한다. 그리고, 후술되는 용어들은 본 발명에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다. 상세한 설명에서 사용되는 용어는 단지 본 발명의 실시 예들을 기술하기 위한 것이며, 결코 제한적이어서는 안 된다. 명확하게 달리 사용되지 않는 한, 단수 형태의 표현은 복수 형태의 의미를 포함한다. 본 설명에서, "포함" 또는 "구비"와 같은 표현은 어떤 특성들, 숫자들, 단계들, 동작들, 요소들, 이들의 일부 또는 조합을 가리키기 위한 것이며, 기술된 것 이외에 하나 또는 그 이상의 다른 특성, 숫자, 단계, 동작, 요소, 이들의 일부 또는 조합의 존재 또는 가능성을 배제하도록 해석되어서는 안 된다.
또한, 제1, 제2 등의 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되는 것은 아니며, 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다.
도 1은 본 발명의 바람직한 일 실시예에 따른 계층적 구조 학습을 통한 네트워크 트래픽의 지속적인 신호 트래픽 탐지 장치의 구성도이다.
도 1을 참조하면, 본 발명의 바람직한 일 실시예에 따른 계층적 구조 학습을 통한 네트워크 트래픽의 지속적인 신호 트래픽 탐지 장치는 패킷 수집부(100), 통신 로그 생성부(200), 신호 트래픽 학습부(300) 및 신호 트래픽 탐지부(400)로 이루어져 있다.
상기 패킷 수집부(100)는 인터넷 환경에서 신호 트래픽 분석을 위해 실시간으로 패킷 데이터를 수집하여 처리하는 기능을 담당한다.
다음으로, 상기 통신 로그 생성부(200)는 실시간으로 수집되는 고용량의 패킷 데이터를 효율적으로 저장하고 사용하기 위해 통신 로그를 생성한다.
이때, 통신 로그 생성부(200)는 수집된 패킷 데이터의 패킷 정보 중 신호 트래픽 분석에 필요한 특징 정보를 추출하여 저장한다.
여기에서, 통신 로그 생성부(200)가 패킷 정보 중 신호 트래픽 분석을 위해 추출한 특징 정보는 프로토콜(Protocol), 포트(Port), 패킷의 길이, 통신량, IP Header의 TTL(Time To Live), IP ID(Identification) 등을 포함하며, TCP 프로토콜 패킷인 경우 추가적으로 TCP 플래그(Flags) 정보를 추출하여 학습 데이터로 활용하도록 한다.
한편, 신호 트래픽 학습부(300)는 통신 로그 생성부(200)에서 생성한 통신 로그를 전달받아 전달받은 통신 로그를 이용하여 특정 주기 별로 단위 축약 로그를 생성한다.
이와 관련하여 도 2는 신호 트래픽 학습부(300)가 통신 로그 생성부(200)에서 생성한 통신 로그를 전달받아 단위 축약 로그를 생성하는 과정을 보여주는 도면이다.
도 2를 참조하면, 신호 트래픽 학습부(300)는 (a)에 도시된 1분 단위의 통신 로그 생성부(200)에서 생성한 통신 로그를 입력 받아 10개의 통신 로그를 이용하여 (b)에 도시된 바와 같이 10분 단위의 10분 단위 축약 로그를 형성한다.
그리고, 신호 트래픽 학습부(300)는 10분 단위의 단위 축약 로그 6개를 이용하여 (c)에 도시된 1시간 단위 축약 로그를 생성하며, 계속하여 6개의 1시간 단위 축약 로그를 이용하여 (d)에 도시된 6시간 단위 축약 로그를 생성하며, 6시간 단위 축약 로그 4개를 이용하여 (e)에 도시된 1일 단위 축약 로그를 생성한다.
상기 신호 트래픽 학습부(300)는 이와 같이 생성된 각각의 단위 축약 로그를 이용하여 특정 시간 주기(분, 시간, 일)별 신호 트래픽 탐지 모델을 학습한다.
이때, 신호 트래픽 학습부(300)는 패킷 데이터의 패킷 정보 중에서 특징 정보를 식별하여 특정 주기 별로 단위 축약 로그를 학습하게 되는데, 학습하는 특징 정보는 통신 로그 생성부(200)에서 확인된 프로토콜(Protocol), 포트(Port), 패킷의 길이, 통신량, IP Header 의 TTL(Time To Live)과 IP ID(Identification)를 추출한 후에 가공(TTL, IP ID 의 기본 동작 특성을 이용한 정상성 확인)하여 사용한다.
여기에서 TCP 프로토콜 패킷인 경우 추가적으로 TCP 플래그(Flags) 정보를 식별하여 학습 데이터로 활용한다.
상기 신호 트래픽 학습부(300)는 단위 축약 로그를 생성하는 과정에서 연속적인 분 단위 통신이 이루어지는 경우, 해당 통신 패턴 정보를 추출하여 단위 시간 주기별 통신 유형을 학습한다. 위와 같은 학습 과정을 각 분/시간/일 별로 반복한다.
다음으로, 신호 트래픽 탐지부(400)는 특정 시간 주기 별로 생성되는 통신 로그와, 단위 축약 로그와 학습된 신호 트래픽 탐지 모델을 이용하여 주기별 신호 트래픽을 탐지를 수행한다.
일반적으로, 신호 트래픽의 통신 패턴은 일정 주기를 가진 분 단위 또는 시간 단위의 통신으로 이루어 진다. 여기에서, 신호 트래픽은 특정 주기를 가지고 특정 호스트에 접근하는 공격으로 인해 발생된 트래픽을 의미한다.
이러한 상황에서 상기 신호 트래픽 탐지부(400)에서는 신호 트래픽 학습부(300)에서 생성된 계층적 형태의 학습 모델을 이용하여 통신 패턴을 식별하고 주기적인 통신을 감지한다.
또한 상기 신호 트래픽 탐지부(400)는 별도로 추출하여 관리하는 통신 패턴의 비정형 형태의 통신을 탐지/식별하여 알려지지 않은 통신 패턴을 확인하여 이를 탐지한다.
도 3은 본 발명의 바람직한 일 실시예에 따른 계층적 구조 학습을 통한 네트워크 트래픽의 지속적인 신호 트래픽 탐지 방법의 흐름도이다.
도 3을 참조하면, 본 발명의 바람직한 일 실시예에 따른 계층적 구조 학습을 통한 네트워크 트래픽의 지속적인 신호 트래픽 탐지 방법은 먼저, 패킷 수집부가 인터넷 환경에서 신호 트래픽 분석을 위해 실시간으로 패킷 데이터를 수집하여 처리하는 기능을 담당한다(S100).
이후에, 통신 로그 생성부가 실시간으로 수집되는 고용량의 패킷 데이터를 효율적으로 저장하고 사용하기 위해 통신 로그를 생성한다(S200).
이때, 통신 로그 생성부는 수집된 패킷 데이터의 패킷 정보 중 신호 트래픽 분석에 필요한 특징 정보를 추출하여 저장한다.
여기에서, 통신 로그 생성부가 패킷 정보 중 신호 트래픽 분석을 위해 추출한 특징 정보는 프로토콜(Protocol), 포트(Port), 패킷의 길이, 통신량, IP Header의 TTL(Time To Live), IP ID(Identification) 등을 포함하며, TCP 프로토콜 패킷인 경우 추가적으로 TCP 플래그(Flags) 정보를 추출하여 학습 데이터로 활용하도록 한다.
다음으로, 신호 트래픽 학습부는 통신 로그 생성부에서 생성한 통신 로그를 전달받아 전달받은 통신 로그를 이용하여 특정 주기 별로 단위 축약 로그를 생성하여, 생성된 각각의 단위 축약 로그를 이용하여 특정 시간 주기(분, 시간, 일)별 신호 트래픽 탐지 모델을 학습한다(S300)
이때, 신호 트래픽 학습부는 1분 단위의 통신 로그 생성부에서 생성한 통신 로그를 입력 받아 10개의 통신 로그를 이용하여 10분 단위의 10분 단위 축약 로그를 형성한다.
그리고, 신호 트래픽 학습부는 10분 단위의 단위 축약 로그 6개를 이용하여 1시간 단위 축약 로그를 생성하며, 계속하여 6개의 1시간 단위 축약 로그를 이용하여 6시간 단위 축약 로그를 생성하며, 6시간 단위 축약 로그 4개를 이용하여 1일 단위 축약 로그를 생성한다.
상기 신호 트래픽 학습부는 패킷 데이터의 패킷 정보 중에서 특징 정보를 식별하여 특정 주기 별로 단위 축약 로그를 학습하게 되는데, 학습하는 특징 정보는 통신 로그 생성부에서 확인된 프로토콜(Protocol), 포트(Port), 패킷의 길이, 통신량, IP Header 의 TTL(Time To Live) 과 IP ID(Identification) 를 추출한 후에 가공(TTL, IP ID 의 기본 동작 특성을 이용한 정상성 확인)하여 사용한다.
여기에서 TCP 프로토콜 패킷인 경우 추가적으로 TCP 플래그(Flags) 정보를 식별하여 학습 데이터로 활용한다.
상기 신호 트래픽 학습부는 단위 축약 로그를 생성하는 과정에서 연속적인 분 단위 통신이 이루어지는 경우, 해당 통신 패턴 정보를 추출하여 단위 시간 주기별 통신 유형을 학습한다. 위와 같은 학습 과정을 각 분/시간/일 별로 반복한다.
다음으로, 신호 트래픽 탐지부는 특정 시간 주기 별로 생성되는 통신 로그와, 단위 축약 로그와 학습된 신호 트래픽 탐지 모델을 이용하여 주기별 신호 트래픽을 탐지를 수행한다(S400).
일반적으로, 신호 트래픽의 통신 패턴은 일정 주기를 가진 분 단위 또는 시간 단위의 통신으로 이루어 진다. 여기에서, 신호 트래픽은 특정 주기를 가지고 특정 호스트에 접근하는 공격으로 인해 발생된 트래픽을 의미한다.
이러한 상황에서 상기 신호 트래픽 탐지부에서는 신호 트래픽 학습부에서 생성된 계층적 형태의 학습 모델을 이용하여 통신 패턴을 식별하고 주기적인 통신을 감지한다.
또한 상기 신호 트래픽 탐지부(400)는 별도로 추출하여 관리하는 통신 패턴의 비정형 형태의 통신을 탐지/식별하여 알려지지 않은 통신 패턴을 확인하여 이를 탐지한다.
상기와 같은 본 발명에 따르면, 네트워크 상에서 발생되는 트래픽을 일정 주기로 계층화된 구조로 학습하고 동시에 학습된 트래픽 모델을 이용하여 신호 트래픽의 존재 여부를 식별할 수 있다.
또한, 본 발명은 특정 주기로 발생되는 신호 트래픽을 식별하기 위해 다양한 주기로 수집된 트래픽 정보와 계층적 (Multi-Layer) 학습 구조를 이용하여 신호 트래픽을 식별하고, 네트워크 트래픽을 효율적으로 모니터링 할 수 있도록 한다.
이상의 설명은 본 발명의 기술 사상을 예시적으로 설명한 것에 불과한 것으로서, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 다양한 수정 및 변형이 가능할 것이다.
따라서 본 발명에 기재된 실시예들은 본 발명의 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시예에 의하여 본 발명의 기술 사상이 한정되는 것은 아니다. 본 발명의 보호 범위는 아래의 청구범위에 의해서 해석되어야 하며, 그와 동등한 범위 내에 있는 모든 기술 사상은 본 발명의 권리범위에 포함되는 것으로 해석되어야 할 것이다.
100 : 패킷 수집부 200 : 통신 로그 생성부
300 : 신호 트래픽 학습부 400 : 신호 트래픽 탐지부
300 : 신호 트래픽 학습부 400 : 신호 트래픽 탐지부
Claims (8)
- 인터넷 환경에서 패킷 데이터를 수집하는 패킷 수집부;
상기 패킷 수집부에서 수집된 패킷 데이터의 특징 정보를 추출하여 통신 로그를 생성하는 통신 로그 생성부;
상기 통신 로그 생성부에서 생성한 통신 로그를 이용하여 특정 주기별로 단위 축약 로그를 생성하여 특정 시간 주기별 신호 트래픽 탐지 모델을 학습하는 신호 트래픽 학습부; 및
상기 통신 로그 생성부에서 생성된 통신 로그와 상기 신호 트래픽 학습부에서 생성된 단위 축약 로그와 학습된 신호 트래픽 탐지 모델을 이용하여 주기별 신호 트래픽을 탐지하는 신호 트래픽 탐지부를 포함하고,
상기 통신 로그 생성부가 1분 단위의 통신 로그를 생성하며,
상기 신호 트래픽 학습부는 1분 단위의 상기 통신 로그 생성부에서 생성한 통신 로그를 입력 받아 10개의 통신 로그를 이용하여 10분 단위의 10분 단위 축약 로그를 형성하고, 10분 단위의 단위 축약 로그 6개를 이용하여 1시간 단위 축약 로그를 생성하며, 6개의 1시간 단위 축약 로그를 이용하여 6시간 단위 축약 로그를 생성하며, 6시간 단위 축약 로그 4개를 이용하여 1일 단위 축약 로그를 생성하고,
상기 신호 트래픽 학습부는 단위 축약 로그를 생성하는 과정에서 연속적인 분 단위 통신이 이루어지는 경우, 해당 통신 패턴 정보를 추출하여 단위 시간 주기별 통신 유형을 학습하며, 이와 같은 학습 과정을 각 분/시간/일 별로 반복하는 계층적 구조 학습을 통한 네트워크 트래픽의 지속적인 신호 트래픽 탐지 장치. - 청구항 1항에 있어서,
상기 통신 로그 생성부가 패킷 데이터에서 추출하는 특징 정보는 프로토콜(Protocol), 포트(Port), 패킷의 길이, 통신량, IP Header 의 TTL(Time To Live) 및 IP ID(Identification)를 포함하는 계층적 구조 학습을 통한 네트워크 트래픽의 지속적인 신호 트래픽 탐지 장치. - 삭제
- 삭제
- (A) 인터넷 환경에서 패킷 데이터를 수집하는 패킷 수집부;
(B) 통신 로그 생성부가 상기 패킷 수집부에서 수집된 패킷 데이터의 특징 정보를 추출하여 통신 로그를 생성하는 단계;
(C) 신호 트래픽 학습부가 상기 통신 로그 생성부에서 생성한 통신 로그를 이용하여 특정 주기별로 단위 축약 로그를 생성하여 특정 시간 주기별 신호 트래픽 탐지 모델을 학습하는 단계; 및
(D) 신호 트래픽 탐지부가 상기 통신 로그 생성부에서 생성된 통신 로그와 상기 신호 트래픽 학습부에서 생성된 단위 축약 로그와 학습된 신호 트래픽 탐지 모델을 이용하여 주기별 신호 트래픽을 탐지하는 단계를 포함하고,
상기 (B) 단계에서 상기 통신 로그 생성부는 1분 단위의 통신 로그를 생성하며,
상기 (C) 단계에서 상기 신호 트래픽 학습부는 1분 단위의 상기 통신 로그 생성부에서 생성한 통신 로그를 입력 받아 10개의 통신 로그를 이용하여 10분 단위의 10분 단위 축약 로그를 형성하고, 10분 단위의 단위 축약 로그 6개를 이용하여 1시간 단위 축약 로그를 생성하며, 6개의 1시간 단위 축약 로그를 이용하여 6시간 단위 축약 로그를 생성하며, 6시간 단위 축약 로그 4개를 이용하여 1일 단위 축약 로그를 생성하고,
상기 (C) 단계에서 상기 신호 트래픽 학습부는 단위 축약 로그를 생성하는 과정에서 연속적인 분 단위 통신이 이루어지는 경우, 해당 통신 패턴 정보를 추출하여 단위 시간 주기별 통신 유형을 학습하며, 이와 같은 학습 과정을 각 분/시간/일 별로 반복하는 계층적 구조 학습을 통한 네트워크 트래픽의 지속적인 신호 트래픽 탐지 방법. - 청구항 5항에 있어서,
상기 (B) 단계에서 상기 통신 로그 생성부가 패킷 데이터에서 추출하는 특징 정보는 프로토콜(Protocol), 포트(Port), 패킷의 길이, 통신량, IP Header 의 TTL(Time To Live) 및 IP ID(Identification)를 포함하는 계층적 구조 학습을 통한 네트워크 트래픽의 지속적인 신호 트래픽 탐지 방법. - 삭제
- 삭제
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020180000785A KR102037192B1 (ko) | 2018-01-03 | 2018-01-03 | 계층적 구조 학습을 통한 네트워크 트래픽의 지속적인 신호 트래픽 탐지 장치 및 방법 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020180000785A KR102037192B1 (ko) | 2018-01-03 | 2018-01-03 | 계층적 구조 학습을 통한 네트워크 트래픽의 지속적인 신호 트래픽 탐지 장치 및 방법 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| KR20190083178A KR20190083178A (ko) | 2019-07-11 |
| KR102037192B1 true KR102037192B1 (ko) | 2019-10-29 |
Family
ID=67254366
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020180000785A Active KR102037192B1 (ko) | 2018-01-03 | 2018-01-03 | 계층적 구조 학습을 통한 네트워크 트래픽의 지속적인 신호 트래픽 탐지 장치 및 방법 |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR102037192B1 (ko) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR102177998B1 (ko) * | 2019-11-28 | 2020-11-12 | (주)시큐레이어 | 기계 학습 모델에 기반하여 SYN Flood 공격을 탐지하기 위한 학습 방법, 전처리 방법 및 이를 이용한 학습 장치, 전처리 장치 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101538709B1 (ko) * | 2014-06-25 | 2015-07-29 | 아주대학교산학협력단 | 산업제어 네트워크를 위한 비정상 행위 탐지 시스템 및 방법 |
| KR101623071B1 (ko) * | 2015-01-28 | 2016-05-31 | 한국인터넷진흥원 | 공격의심 이상징후 탐지 시스템 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101464367B1 (ko) * | 2013-04-23 | 2014-11-25 | (주)나루씨큐리티 | 내부망공격 탐지장치 및 방법 |
| KR101535529B1 (ko) | 2013-12-27 | 2015-07-09 | 호서대학교 산학협력단 | Apt 공격 분석을 위한 의심파일 및 추적정보 수집 방법 |
| KR20150091775A (ko) * | 2014-02-04 | 2015-08-12 | 한국전자통신연구원 | 비정상 행위 탐지를 위한 네트워크 트래픽 분석 방법 및 시스템 |
| KR101623068B1 (ko) | 2015-01-28 | 2016-05-20 | 한국인터넷진흥원 | 네트워크 트래픽 수집 및 분석 시스템 |
| KR101621019B1 (ko) | 2015-01-28 | 2016-05-13 | 한국인터넷진흥원 | 시계열 통계 기반 공격의심 이상징후를 탐지하기 위한 방법 |
-
2018
- 2018-01-03 KR KR1020180000785A patent/KR102037192B1/ko active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101538709B1 (ko) * | 2014-06-25 | 2015-07-29 | 아주대학교산학협력단 | 산업제어 네트워크를 위한 비정상 행위 탐지 시스템 및 방법 |
| KR101623071B1 (ko) * | 2015-01-28 | 2016-05-31 | 한국인터넷진흥원 | 공격의심 이상징후 탐지 시스템 |
Also Published As
| Publication number | Publication date |
|---|---|
| KR20190083178A (ko) | 2019-07-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| AU2019399138B2 (en) | Apparatus and process for detecting network security attacks on IoT devices | |
| Hu et al. | FADM: DDoS flooding attack detection and mitigation system in software-defined networking | |
| Maglaras et al. | Combining ensemble methods and social network metrics for improving accuracy of OCSVM on intrusion detection in SCADA systems | |
| CN109600363B (zh) | 一种物联网终端网络画像及异常网络访问行为检测方法 | |
| US10015188B2 (en) | Method for mitigation of cyber attacks on industrial control systems | |
| US11451561B2 (en) | Automated creation of lightweight behavioral indicators of compromise (IOCS) | |
| US20160352759A1 (en) | Utilizing Big Data Analytics to Optimize Information Security Monitoring And Controls | |
| Barbosa et al. | Exploiting traffic periodicity in industrial control networks | |
| CA3034176A1 (en) | An artificial intelligence cyber security analyst | |
| Barbosa | Anomaly detection in SCADA systems: a network based approach | |
| EP2953298A1 (en) | Log analysis device, information processing method and program | |
| US20060034305A1 (en) | Anomaly-based intrusion detection | |
| JP6442051B2 (ja) | コンピュータネットワークへの攻撃を検出する方法 | |
| Caselli et al. | On the feasibility of device fingerprinting in industrial control systems | |
| CN113114618A (zh) | 一种基于流量分类识别的物联网设备入侵检测的方法 | |
| CN105959290A (zh) | 攻击报文的检测方法及装置 | |
| Pan et al. | Anomaly based intrusion detection for building automation and control networks | |
| US11297082B2 (en) | Protocol-independent anomaly detection | |
| CN117336033A (zh) | 流量的拦截方法、装置、存储介质及电子设备 | |
| Pan et al. | Anomaly behavior analysis for building automation systems | |
| Sen et al. | Towards an approach to contextual detection of multi-stage cyber attacks in smart grids | |
| KR102037192B1 (ko) | 계층적 구조 학습을 통한 네트워크 트래픽의 지속적인 신호 트래픽 탐지 장치 및 방법 | |
| CN106330975A (zh) | 一种基于scada系统的周期性异常检测的方法 | |
| Sapozhnikova et al. | Intrusion detection system based on data mining technics for industrial networks | |
| Zhou et al. | Fingerprinting IIoT devices through machine learning techniques |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PA0109 | Patent application |
Patent event code: PA01091R01D Comment text: Patent Application Patent event date: 20180103 |
|
| A201 | Request for examination | ||
| A302 | Request for accelerated examination | ||
| PA0201 | Request for examination |
Patent event code: PA02012R01D Patent event date: 20190312 Comment text: Request for Examination of Application Patent event code: PA02011R01I Patent event date: 20180103 Comment text: Patent Application |
|
| PA0302 | Request for accelerated examination |
Patent event date: 20190312 Patent event code: PA03022R01D Comment text: Request for Accelerated Examination Patent event date: 20180103 Patent event code: PA03021R01I Comment text: Patent Application |
|
| E902 | Notification of reason for refusal | ||
| PE0902 | Notice of grounds for rejection |
Comment text: Notification of reason for refusal Patent event date: 20190709 Patent event code: PE09021S01D |
|
| PG1501 | Laying open of application | ||
| E701 | Decision to grant or registration of patent right | ||
| PE0701 | Decision of registration |
Patent event code: PE07011S01D Comment text: Decision to Grant Registration Patent event date: 20191021 |
|
| GRNT | Written decision to grant | ||
| PR0701 | Registration of establishment |
Comment text: Registration of Establishment Patent event date: 20191022 Patent event code: PR07011E01D |
|
| PR1002 | Payment of registration fee |
Payment date: 20191023 End annual number: 3 Start annual number: 1 |
|
| PG1601 | Publication of registration | ||
| PR1001 | Payment of annual fee |
Payment date: 20220215 Start annual number: 4 End annual number: 4 |
|
| PR1001 | Payment of annual fee |
Payment date: 20231023 Start annual number: 5 End annual number: 5 |
|
| PR1001 | Payment of annual fee |
Payment date: 20231220 Start annual number: 6 End annual number: 6 |