KR101383069B1 - Apparatus and method for detecting anomalous state of network - Google Patents

Apparatus and method for detecting anomalous state of network Download PDF

Info

Publication number
KR101383069B1
KR101383069B1 KR1020130059834A KR20130059834A KR101383069B1 KR 101383069 B1 KR101383069 B1 KR 101383069B1 KR 1020130059834 A KR1020130059834 A KR 1020130059834A KR 20130059834 A KR20130059834 A KR 20130059834A KR 101383069 B1 KR101383069 B1 KR 101383069B1
Authority
KR
South Korea
Prior art keywords
unit
network
clusters
state
packet
Prior art date
Application number
KR1020130059834A
Other languages
Korean (ko)
Inventor
이호섭
윤정한
김신규
서정택
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020130059834A priority Critical patent/KR101383069B1/en
Application granted granted Critical
Publication of KR101383069B1 publication Critical patent/KR101383069B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/04Processing captured monitoring data, e.g. for logfile generation
    • H04L43/045Processing captured monitoring data, e.g. for logfile generation for graphical visualisation of monitoring data

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Mining & Analysis (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

The present invention relates to a device and a method for detecting network abnormality using cluster information and visually showing the detected result. For this purpose, the device for detecting network abnormality of the present invention includes: a packet collection unit for collecting packets transmitted and received in a network; a packet analysis unit for extracting predetermined attribute values of the packets, and generating attribute value vectors by vectorizing the attribute values; a grouping unit for generating a plurality of groups by grouping the attribute value vectors with predetermined size and interval; a clustering unit for generating clusters by clustering the groups; a cluster analysis unit for concluding analysis data by analyzing the clusters; and a determination unit for determining a state of the network based on the analysis data. [Reference numerals] (110) Packet collection unit; (120) Packet analysis unit; (130) Grouping unit; (140) Clustering unit; (150) Visualization unit; (160) Cluster analysis unit; (170) Determination unit

Description

네트워크 이상상태 탐지 장치 및 방법{APPARATUS AND METHOD FOR DETECTING ANOMALOUS STATE OF NETWORK}Apparatus and method for detecting network abnormality {APPARATUS AND METHOD FOR DETECTING ANOMALOUS STATE OF NETWORK}

본 발명은 네트워크의 이상상태를 탐지하기 위한 장치 및 방법에 관한 것이고, 보다 상세하게 본 발명은 클러스터 정보를 이용하여 네트워크의 이상상태를 탐지하고, 탐지 결과를 시각적으로 보여주기 위한 장치 및 방법에 관한 것이다.The present invention relates to an apparatus and method for detecting an abnormal state of a network, and more particularly, the present invention relates to an apparatus and a method for detecting an abnormal state of a network using cluster information and visually showing a detection result. will be.

사이버 공격에 대한 대부분의 침입 탐지 시스템은 공격의 패턴을 정의한 룰을 기준으로, 룰에 합당한지 여부를 판단함으로써 공격 여부를 판단해 왔다. 그러나 보다 다양한 공격이 나타나고, 탐지 및 방어 기법들을 회피하기 위한 기법들이 나타남에 따라 이들을 탐지하기 위한 룰이 방대해졌다. 이에 따라 룰이 합당한지 여부를 판단하는 알고리즘보다 이들 룰을 검색하고, 비교하는 부분에서 과부하가 발생하게 되어 고사양의 시스템을 요구하게 되었다.Most intrusion detection systems for cyber attacks have been judged for attack by judging whether or not the rule is appropriate, based on the rule that defines the pattern of attack. However, as more various attacks appeared and techniques to evade detection and defense techniques appeared, the rules for detecting them increased. As a result, an overload occurs in searching and comparing these rules, rather than an algorithm for determining whether the rules are reasonable, and thus requires a high specification system.

이러한 문제점을 해결하기 위한 방법 중 하나로 이전의 경험적 데이터를 학습하여 새로운 데이터에 대해 분류할 수 있는 기계학습 기반의 이상탐지 시스템이 제시되었다. 이러한 시스템은 학습을 위한 데이터를 분석하는 방법, 정상여부를 분류하는 분류 알고리즘, 그리고 시스템 각 모듈의 구성 방법에 따라 분류의 정확도 및 연산 속도 등에서 많은 차이가 난다. 또한, 이러한 기계학습 기반의 시스템은 룰 기반의 침입 탐지 시스템보다 정상을 비정상이라고 판단하는 오작동 상황이 많다는 단점이 존재한다.As a way to solve this problem, a machine learning-based fault detection system has been proposed that can classify new data by learning previous empirical data. Such systems differ greatly in classification accuracy and computation speed depending on how to analyze data for learning, classification algorithms to classify normality, and how each module is configured. In addition, such a machine learning-based system has a disadvantage in that there are more malfunctions that determine that the normal is abnormal than the rule-based intrusion detection system.

또한, 기계학습 기반의 침입탐지시스템은 네트워크 트래픽에서 단 하나의 패킷을 분석하고, 이 분석결과를 하나의 오브젝트로 하여, 순차적인 오브젝트 집합을 기반으로 정상여부를 판단한다. 그러나 이 방법은 단순히 패킷이 공격인지 정상인지 여부를 판단하기 위한 방법으로, 보호하고자 하는 네트워크의 상태가 불안정한지, 즉, 공격으로 인해 네트워크의 특성이 변화되었는지 여부를 판단하기에는 무리가 있다.In addition, the machine learning-based intrusion detection system analyzes only one packet in the network traffic, and uses the analysis result as one object to determine whether it is normal based on a sequential set of objects. However, this method is simply a method for determining whether a packet is an attack or a normal one, and it is unreasonable to determine whether the state of the network to be protected is unstable, that is, whether the network characteristic has changed due to the attack.

이에 관련하여, 발명의 명칭이 "비정상 트래픽 탐지 장치 및 방법"인 한국등록특허 제0974888호가 존재한다.In this regard, there is a Korean Patent No. 0974888 entitled "Abnormal traffic detection apparatus and method".

본 발명은 네트워크의 상태를 모델링하고, 이를 근거로 네트워크 상태의 정상 여부를 판단하는 장치 및 방법을 제공하는데 그 목적이 있다.An object of the present invention is to provide an apparatus and method for modeling a state of a network and determining whether the network state is normal based on the model.

또한, 본 발명은 네트워크의 상태에 대한 상태를 시각화하여, 사용자의 모니터링을 통해 네트워크 상태를 더 정확하게 판단하는 장치 및 방법을 제공하는데 그 목적이 있다.Another object of the present invention is to provide an apparatus and method for visualizing a state of a state of a network, and more accurately determining a state of a network through monitoring of a user.

상기와 같은 과제를 해결하기 위한 본 발명의 네트워크 이상상태 탐지 장치는 네트워크에서 송수신되는 패킷들을 수집하는 패킷 수집부; 패킷들의 기설정된 속성 값들을 추출하고, 속성 값들을 벡터화하여 속성 값 벡터들을 생성하는 패킷 분석부; 속성 값 벡터들을 기설정된 크기 및 간격으로 그룹화하여 다수의 그룹들을 생성하는 그룹화부; 그룹들에 대한 클러스터링을 수행하여 클러스터들을 생성하는 클러스터링부; 클러스터들을 분석하여, 분석 데이터를 도출하는 클러스터 분석부; 및 분석 데이터를 근거로, 네트워크의 상태를 판단하는 판단부를 포함하는 것을 특징으로 한다.Network abnormality detection device of the present invention for solving the above problems is a packet collection unit for collecting packets transmitted and received in the network; A packet analyzer extracting predetermined attribute values of packets and vectorizing attribute values to generate attribute value vectors; A grouping unit for generating a plurality of groups by grouping the attribute value vectors at a predetermined size and interval; A clustering unit generating clusters by performing clustering on groups; A cluster analyzer for analyzing clusters and deriving analysis data; And based on the analysis data, characterized in that it comprises a determination unit for determining the state of the network.

또한, 클러스터링부는, 클러스터들에 대한 상태 정보를 나타내는 클러스터 정보를 더 생성할 수 있다.In addition, the clustering unit may further generate cluster information indicating state information about the clusters.

또한, 본 발명의 네트워크 이상상태 탐지 장치는 클러스터 정보를 사용자에게 시각화하는 시각화부를 더 포함할 수 있다.In addition, the network abnormality detection apparatus of the present invention may further include a visualization unit for visualizing the cluster information to the user.

또한, 클러스터 분석부는, 클러스터들에 포함된 그룹에 대한 분석을 수행하여, 분석 데이터를 생성할 수 있다.In addition, the cluster analyzer may analyze the group included in the clusters to generate analysis data.

또한, 판단부는, 네트워크가 정상 상태일 때의 정상 데이터와 분석 데이터의 비교를 통해 네트워크의 상태를 판단할 수 있다.
In addition, the determination unit may determine the state of the network by comparing the normal data and the analysis data when the network is in a normal state.

상기와 같은 과제를 해결하기 위한 본 발명의 네트워크 이상상태 탐지 방법은, 패킷 수집부에 의해, 네트워크에서 송수신되는 패킷들을 수집하는 단계; 패킷 분석부에 의해, 패킷들의 기설정된 속성 값들을 추출하는 단계; 패킷 분석부에 의해, 속성 값들을 벡터화하여 속성 값 벡터들을 생성하는 단계; 그룹화부에 의해, 속성 값 벡터들을 기설정된 크기 및 간격으로 그룹화하여 다수의 그룹들을 생성하는 단계; 클러스터링부에 의해, 그룹들에 대한 클러스터링을 수행하여 클러스터들을 생성하는 단계; 클러스터 분석부에 의해, 클러스터들을 분석하여, 분석 데이터를 도출하는 단계; 및 판단부에 의해, 분석 데이터를 근거로 네트워크의 상태를 판단하는 단계를 포함할 수 있다.Network abnormality detection method of the present invention for solving the above problems, the packet collecting unit, collecting the packets transmitted and received in the network; Extracting, by the packet analyzer, predetermined attribute values of the packets; Generating, by the packet analyzer, attribute value vectors by vectorizing the attribute values; Generating, by the grouping unit, the plurality of groups by grouping the attribute value vectors at a predetermined size and interval; Generating clusters by performing clustering on groups by the clustering unit; Analyzing, by the cluster analyzer, clusters to derive analysis data; And determining, by the determining unit, the state of the network based on the analysis data.

또한, 클러스터링를 생성하는 단계는, 클러스터들에 대한 상태 정보를 나타내는 클러스터 정보를 더 생성할 수 있다.In addition, generating the clustering may further generate cluster information indicating state information about the clusters.

또한, 본 발명의 네트워크 이상상태 탐지 방법은 클러스터들을 생성하는 단계 이후, 시각화부에 의해, 클러스터 정보를 사용자에게 시각화하는 단계를 더 포함할 수 있다.The network abnormality detection method of the present invention may further include visualizing cluster information to a user by a visualization unit after generating clusters.

또한, 분석 데이터를 도출하는 단계는, 클러스터들에 포함된 그룹에 대한 분석을 수행하여, 분석 데이터를 생성할 수 있다.In addition, the deriving analysis data may generate analysis data by performing analysis on a group included in the clusters.

또한, 네트워크의 상태를 판단하는 단계는, 네트워크가 정상 상태일 때의 정상 데이터와 분석 데이터의 비교를 통해 네트워크의 상태를 판단할 수 있다.In the determining of the state of the network, the state of the network may be determined by comparing normal data with analysis data when the network is in a normal state.

본 발명의 네트워크 이상상태 탐지 장치 및 방법에 따르면 현재 네트워크의 상태를 판단할 수 있어서, 특정 네트워크 공격뿐만 아니라, 다양한 방식의 공격에 의한 네트워크의 피해 여부를 알 수 있는 효과가 있다.According to the network abnormality detection apparatus and method of the present invention, it is possible to determine the state of the current network, and it is possible to know whether the network is damaged by various types of attacks as well as a specific network attack.

또한, 본 발명의 네트워크 이상상태 탐지 장치 및 방법에 따르면 시각화부를 통한 사용자의 참여로, 시스템의 이상 상태를 더 정확하게 탐지할 수 있는 효과가 있다.In addition, according to the network abnormality detection apparatus and method of the present invention, by the user's participation through the visualization unit, there is an effect that can more accurately detect the abnormal state of the system.

도 1은 본 발명의 일 실시예에 따른 네트워크 이상상태 탐지 장치의 블록도이다.
도 2는 본 발명의 네트워크 이상상태 탐지 장치에 포함된 그룹화부에서 수행되는 패킷들의 그룹화 과정에 대한 도면이다.
도 3은 본 발명의 일 실시예에 따른 네트워크 이상상태 탐지 방법에 대한 흐름도이다.1 is a block diagram of a network abnormality detection apparatus according to an embodiment of the present invention.
2 is a diagram illustrating a grouping process of packets performed by a grouping unit included in a network abnormality detection apparatus of the present invention.
3 is a flowchart illustrating a network abnormality detection method according to an embodiment of the present invention.

본 발명을 첨부된 도면을 참조하여 상세히 설명하면 다음과 같다. 여기서, 반복되는 설명, 본 발명의 요지를 불필요하게 흐릴 수 있는 공지 기능, 및 구성에 대한 상세한 설명은 생략한다. 본 발명의 실시형태는 당 업계에서 평균적인 지식을 가진 자에게 본 발명을 보다 완전하게 설명하기 위해서 제공되는 것이다. 따라서, 도면에서의 요소들의 형상 및 크기 등은 보다 명확한 설명을 위해 과장될 수 있다.
The present invention will now be described in detail with reference to the accompanying drawings. Hereinafter, a repeated description, a known function that may obscure the gist of the present invention, and a detailed description of the configuration will be omitted. Embodiments of the present invention are provided to more fully describe the present invention to those skilled in the art. Accordingly, the shapes and sizes of the elements in the drawings and the like can be exaggerated for clarity.

이하, 도 1을 참조로, 본 발명의 실시예에 따른 네트워크 이상상태 탐지 장치에 대하여 설명하도록 한다. 도 1은 본 발명의 일 실시예에 따른 네트워크 이상상태 탐지 장치(100)의 블록도이다. 도 1에 도시된 바와 같이, 본 발명의 네트워크 이상상태 탐지 장치(100)는 패킷 수집부(110), 패킷 분석부(120), 그룹화부(130), 클러스터링부(140), 시각화부(150), 클러스터 분석부(160) 및 판단부(170)를 포함하여 구성된다. 본 발명의 네트워크 이상상태 탐지 장치(100)의 각 구성에 대한 설명은 이하에서 상세히 이루어진다.Hereinafter, a network abnormality detection apparatus according to an exemplary embodiment of the present invention will be described with reference to FIG. 1. 1 is a block diagram of a network abnormality detection apparatus 100 according to an embodiment of the present invention. As shown in FIG. 1, the network abnormality detection apparatus 100 of the present invention includes a packet collecting unit 110, a packet analyzing unit 120, a grouping unit 130, a clustering unit 140, and a visualization unit 150. ), The cluster analyzer 160 and the determiner 170. Description of each configuration of the network abnormality detection device 100 of the present invention is made in detail below.

패킷 수집부(110)는 네트워크, 구체적으로 보호하고자 하는 네트워크에서 송수신되는 패킷들을 수집하는 기능을 한다. 여기서, 패킷 수집부(110)는 네트워크의 게이트웨이에 해당할 수 있다. The packet collecting unit 110 collects packets transmitted and received in a network, specifically, a network to be protected. Here, the packet collector 110 may correspond to a gateway of a network.

패킷 분석부(120)는 패킷 수집부(110)에서 수집된 패킷들에 대해, 기설정된 속성에 대한 속성 값들을 추출하고, 추출된 속성 값들을 벡터화하는 기능을 한다. 여기서, 추출된 속성 값들은 패킷의 순서 또는 시점을 판단할 수 있는 정보 예를 들어, 이전 패킷과의 시간 차이 등을 포함할 수 있다. 또한, 추출된 속성 값들은 출발지 및 목적지에 대한 정보 예를 들어, 출발지 주소, 목적지 주소, 출발지 및 목적지 간의 IP 주소 차 값 및 도착지 포트 등을 포함할 수 있다. 또한, 추출된 속성 값들은 패킷에 대한 오류 분석, 크기 변화 및 공격 판단을 위한 정보 예를 들어, 윈도우 사이즈, 시퀀스 번호 및 최상위 프로토콜에 대한 정보 등을 포함할 수 있다. 이러한 속성 값들을 통해 서비스 공격에 대한 판단이 용이해질 수 있다. 예를 들어, 서비스 거부 공격이 발생하면, 공격자가 의도한 특정 IP 및 포트로 송신되는 패킷이 급격히 증가될 수 있고, 하나의 속성 값 벡터 내에 저장된 출발지 및 목적지 간의 IP 주소 차이 값이 동일한 것과 같은 여러 근거를 이용하여, 서비스 공격에 대한 판단을 수행할 수 있다. 이러한 벡터화를 통해, 패킷 분석부(120)는 추출된 속성 값들을 근거로 속성 값 벡터들을 생성한다. The packet analyzer 120 extracts attribute values for a predetermined attribute from the packets collected by the packet collector 110 and vectorizes the extracted attribute values. Here, the extracted attribute values may include information for determining the order or timing of the packets, for example, a time difference from a previous packet. In addition, the extracted attribute values may include information about a source and a destination, for example, a source address, a destination address, an IP address difference value between a source and a destination, and a destination port. In addition, the extracted attribute values may include information for error analysis, size change, and attack determination of a packet, for example, window size, sequence number, and information on a top protocol. Such property values can facilitate the determination of a service attack. For example, if a denial of service attack occurs, the number of packets sent to a particular IP and port intended by the attacker may increase dramatically, and the number of IP address differences between the source and destination stored within one attribute value vector may be the same. Based on the evidence, the judgment about the service attack can be performed. Through such vectorization, the packet analyzer 120 generates attribute value vectors based on the extracted attribute values.

그룹화부(130)는 속성 값 벡터들을 기설정된 크기 및 간격으로 그룹화하는 기능을 한다. 여기서, 그룹화부(130)를 통해 속성 값 벡터들을 그룹화하는 이유는 패킷이 데이터 블록을 구성하는 최소 단위이기에, 패킷 하나만으로는 어떤 데이터에 구성되는지가 분명히 드러나지 않기 때문이다. 여기서, 생성되는 그룹의 크기는 패킷의 개수 또는 패킷이 수집된 시간 간격으로 설정될 수 있다. 또한, 그룹의 간격은 패킷의 개수 또는 시간과 같은 그룹의 크기 등으로 지정될 수 있다. 이러한 과정을 거쳐, 그룹화부(130)는 속성 값 벡터들에 대한 다수의 그룹들을 생성한다.The grouping unit 130 functions to group the attribute value vectors at a predetermined size and interval. Here, the grouping of the attribute value vectors through the grouping unit 130 is because the packet is the smallest unit constituting the data block, so it is not clear which data is composed of only one packet. Here, the size of the generated group may be set by the number of packets or the time interval at which the packets are collected. In addition, the group interval may be designated by the size of the group such as the number of packets or the time. Through this process, the grouping unit 130 generates a plurality of groups for the attribute value vectors.

이를 통해, 각 그룹은 해당 패킷의 시점 예를 들어, 오전 9시에서 오전 9시 5분 사이와 같이 기설정된 시간 간격 별로 생성될 수 있다. 이를 통해, 본 발명의 네트워크 이상상태 탐지 장치(100)는 네트워크에서 송수신되는 패킷들을 시점 또는 기간별로 분류할 수 있다.In this way, each group may be generated for each predetermined time interval, such as at a time point of the packet, for example, between 9 am and 9: 5 am. Through this, the network abnormality detection apparatus 100 of the present invention may classify the packets transmitted and received in the network by time or period.

클러스터링부(140)는 그룹화부(130)에서 생성된 그룹들에 대해 클러스터링을 수행하는 기능을 한다. 이를 통해, 클러스터링부(140)는 그룹들에 대한 클러스터들을 생성한다. 또한, 클러스터링부(140)는 클러스터들에 대한 클러스터 정보를 더 생성한다. 여기서, 클러스터 정보는 클러스터에 대한 속성 정보를 포함하여 네트워크 상태를 판단할 수 있는 근거가 된다. 예를 들어, 클러스터 정보는 해당 시점에 대한 네트워크의 상태 정보를 판단할 수 있는 정보들을 포함할 수 있다. 즉, 클러스터 정보는 특정 시점에 대해 클러스터에 포함된 패킷의 총 개수, 클러스터의 그룹을 구성하는 패킷들의 평균 그리고, 클러스터의 그룹을 구성하는 패킷들의 표준 편차 등을 포함할 수 있다. 따라서, 클러스터 정보를 통해 네트워크의 상태를 한 눈에 판단할 수 있다. 이러한 특징을 근거로, 본 명세서에서 클러스터 정보는 네트워크 스냅샷으로 칭할 수 있다.The clustering unit 140 functions to perform clustering on the groups generated by the grouping unit 130. Through this, the clustering unit 140 generates clusters for the groups. In addition, the clustering unit 140 further generates cluster information about the clusters. Here, the cluster information is the basis for determining the network state including attribute information about the cluster. For example, the cluster information may include information for determining state information of the network for the corresponding time point. That is, the cluster information may include the total number of packets included in the cluster, the average of the packets constituting the group of the cluster, and the standard deviation of the packets constituting the group of the cluster for a specific time point. Therefore, the state of the network can be determined at a glance through the cluster information. Based on this feature, cluster information may be referred to herein as a network snapshot.

시각화부(150)는 클러스터링부(140)에서 생성된 클러스터 정보를 시각화하는 기능을 한다. 클러스터 정보는 앞에서 언급한 것처럼, 현재 네트워크의 상태를 판단하는 근거가 될 수 있다. 이러한 클러스터 정보를 사용자에게 시각화함으로써, 사용자가 네트워크에 대한 이상여부를 직접 판단할 수 있다. 이를 통해, 네트워크의 이상 여부 판단에서 발생할 수 있는 오류가 상당히 개선될 수 있다.The visualization unit 150 functions to visualize cluster information generated by the clustering unit 140. As mentioned above, the cluster information may be the basis for determining the current state of the network. By visualizing the cluster information to the user, the user can directly determine whether the network abnormality. Through this, the error that may occur in determining whether the network is abnormal can be significantly improved.

클러스터 분석부(160)는 클러스터들을 분석하여, 분석 데이터를 도출하는 기능을 한다. 예를 들어, 클러스터 분석부(160)는 클러스터들 각각의 패킷들에 대한 속성 값 벡터들을 분석하고, 패킷들이 손상 또는 공격 받았는지 판단할 수 있다. 또한, 클러스터 분석부(160)는 클러스터들에 포함된 그룹들을 분석하여, 분석 데이터를 도출할 수 있다. 또한, 클러스터 분석부(160)는 클러스터들의 플로우를 근거로, 즉, 클러스터들의 생성 순서 또는 흐름 순서를 근거로 분석 데이터를 도출할 수 있다.The cluster analyzer 160 analyzes the clusters to derive analysis data. For example, the cluster analyzer 160 may analyze attribute value vectors for packets of each of the clusters and determine whether the packets are damaged or attacked. In addition, the cluster analyzer 160 may derive analysis data by analyzing the groups included in the clusters. In addition, the cluster analyzer 160 may derive the analysis data based on the flow of the clusters, that is, the generation order or flow order of the clusters.

판단부(170)는 클러스터 분석부(160)에서 생성된 분석 데이터를 근거로, 네트워크의 상태를 판단하는 기능을 한다. 즉, 판단부(170)는 네트워크가 정상 상태일 때의 정상 데이터와 분석 데이터의 비교를 통해 네트워크의 상태를 판단할 수 있다. 예를 들어, 판단부(170)는 정상 상태일 때 클러스터들에 포함되는 그룹들과, 현재 시점의 클러스터들에 포함되는 그룹들을 비교하여 네트워크 상태를 판단할 수 있다. 여기서, 네트워크의 이상 상태가 탐지되면, 사용자에게 경고 또는 알림 메시지를 송신할 수 있다. 이를 통해, 사용자는 네트워크가 이상 상태를 바로 알 수 있고, 이를 통해 즉각적인 대응을 할 수 있다.
The determiner 170 determines a state of the network based on the analysis data generated by the cluster analyzer 160. That is, the determination unit 170 may determine the state of the network by comparing the normal data and the analysis data when the network is in the normal state. For example, the determination unit 170 may determine the network state by comparing the groups included in the clusters with the groups included in the clusters at the present time in the normal state. Here, when an abnormal state of the network is detected, a warning or notification message may be transmitted to the user. In this way, the user can immediately recognize the abnormal state of the network and can immediately respond.

도 2는 본 발명의 네트워크 이상상태 탐지 장치에 포함된 그룹화부에서 수행되는 패킷들의 그룹화 과정에 대한 도면이다. 도 1을 참고로 언급했듯이, 그룹화부는 속성 값 벡터들을 기설정된 크기 및 간격으로 그룹화하는 기능을 한다. 2 is a diagram illustrating a grouping process of packets performed by a grouping unit included in a network abnormality detection apparatus of the present invention. As mentioned with reference to FIG. 1, the grouping unit functions to group attribute value vectors at a predetermined size and interval.

도 2를 참조하면, 본 발명의 네트워크 이상상태 탐지 장치의 패킷 수집부 및 패킷 분석부를 통해 수집되고 벡터화된 네트워크 트래픽(21)을 그룹화하는 예시를 도시한다. 본 예시에서, 그룹의 크기는 7개로, 그룹의 간격은 3개로 가정한다. 도 1을 참조로 서술한 것처럼, 이러한 그룹의 크기 및 간격의 개수는 이에 제한되지 않고, 패킷의 개수 외에 시간으로 설정될 수 있다는 것이 이해되어야 한다. Referring to FIG. 2, an example of grouping network traffic 21 collected and vectorized through a packet collector and a packet analyzer of a network abnormality detection apparatus of the present invention is shown. In this example, it is assumed that the size of the group is seven, and the group interval is three. As described with reference to FIG. 1, it should be understood that the number of sizes and intervals of such groups is not limited thereto and may be set in time in addition to the number of packets.

도 2에 도시된 것처럼, 제 1 그룹(22)은 패킷 1 내지 패킷 7로, 제 2 그룹(23)은 패킷 4 내지 패킷 10으로, 제 3 그룹(24)은 패킷 7 내지 패킷 13으로, 제 4 그룹(25)은 패킷 10 내지 패킷 16으로, 제 5 그룹(26)은 패킷 13 내지 제 19로 구성될 수 있다. 이렇게 기설정된 크기 및 간격으로 구성된 그룹들은 패킷들의 속성 값 벡터를 근거로 각각 특징을 갖게 된다. 또한, 도 2에 도시된 것처럼, 특정 시점의 네트워크 상태를 평가하기 위해, 해당 시점에 해당하는 패킷의 전후 패킷들을 하나의 그룹으로 생성할 수 있다. 도 2을 참조로 서술한 그룹화의 예시는 단지 예시일 뿐이고, 다양한 방법으로 그룹화가 수행될 수 있다는 것이 이해되어야 한다.
As shown in FIG. 2, the first group 22 is packet 1 to packet 7, the second group 23 is packet 4 to packet 10, the third group 24 is packet 7 to packet 13, The fourth group 25 may consist of packets 10 to 16 and the fifth group 26 may consist of packets 13 to 19. The groups having the predetermined size and interval are each characterized based on the attribute value vector of the packets. In addition, as shown in FIG. 2, in order to evaluate a network state at a specific time point, front and rear packets of a packet corresponding to the time point may be generated as a group. It should be understood that the example of grouping described with reference to FIG. 2 is merely an example, and that grouping may be performed in various ways.

이하, 도 3을 참조로, 본 발명의 일 실시예에 따른 네트워크 이상상태 탐지 방법을 더 서술한다. 도 3은 본 발명의 일 실시예에 따른 네트워크 이상상태 탐지 방법에 대한 흐름도이다. 이하의 서술에서, 도 1 및 도 2를 참조로 서술한 부분과 중복되는 부분은 명세서의 명료함을 위해 생략한다.Hereinafter, a network abnormality detection method according to an embodiment of the present invention will be further described with reference to FIG. 3. 3 is a flowchart illustrating a network abnormality detection method according to an embodiment of the present invention. In the following description, portions that overlap with those described with reference to FIGS. 1 and 2 are omitted for clarity of specification.

패킷 수집부에 의해, 네트워크에서 송수신되는 패킷들을 수집하는 단계(S301)가 수행된다.The packet collecting unit collects the packets transmitted and received in the network (S301).

그 후, 패킷 분석부에 의해, 패킷들의 기설정된 속성 값들을 추출하는 단계(S302)가 수행된다. 여기서, 추출되는 속성 값들은 예를 들어, 패킷의 순서 또는 시점을 판단할 수 있는 정보, 패킷의 출발지 및 목적지에 대한 정보 및 패킷에 대한 오류 분석, 크기 변화 및 공격 판단을 위한 정보 등을 포함할 수 있다.Thereafter, the step S302 of extracting predetermined attribute values of the packets is performed by the packet analyzer. Here, the extracted attribute values may include, for example, information capable of determining the order or timing of the packets, information on the origin and destination of the packet, error analysis on the packet, information on size change and attack determination, and the like. Can be.

그 후, 패킷 분석부에 의해, 속성 값들을 벡터화하여 속성 값 벡터들을 생성하는 단계(S303)가 수행된다.Thereafter, a step S303 of generating attribute value vectors by vectorizing the attribute values is performed by the packet analyzer.

그 후, 그룹화부에 의해, 속성 값 벡터들을 기설정된 크기 및 간격으로 그룹화하여 다수의 그룹들을 생성하는 단계(S304)가 수행된다. 도 1을 참조로 언급한 것처럼, 여기서 그룹에 대한 크기 및 간격은 패킷의 개수에 대해 또는 패킷이 수집된 시간 간격으로 설정될 수 있다.Thereafter, step S304 is performed by grouping the attribute value vectors by a predetermined size and interval to generate a plurality of groups. As mentioned with reference to FIG. 1, the size and interval for a group here may be set for the number of packets or for the time interval over which packets were collected.

그 후, 클러스터링부에 의해, 그룹들에 대한 클러스터링을 수행하여 클러스터들을 생성하는 단계(S305)가 수행된다.Thereafter, the clustering unit performs clustering on groups to generate clusters (S305).

그 후, 클러스터링부에 의해, S305 단계에서 생성된 클러스터에 대한 클러스터 정보를 생성하는 단계(S306)가 수행된다. 여기서, 클러스터 정보는 앞서 도 1을 참조로 서술한 것처럼, 클러스터에 대한 속성 정보를 포함하여 네트워크의 상태를 판단할 수 있는 근거가 된다. 또한, 클러스터 정보에 대해서는 도 1을 참조로 상세히 언급되었으므로, 여기선 생략된다.Thereafter, a step S306 of generating cluster information for the cluster generated in step S305 is performed by the clustering unit. Here, the cluster information is the basis for determining the state of the network, including attribute information for the cluster, as described above with reference to FIG. 1. In addition, since cluster information is described in detail with reference to FIG. 1, it is omitted here.

그 후, S306 단계에서 생성된 클러스터 정보의 시각화가 필요한지 판단하는 단계(S307)가 수행된다. S307 단계에서, 클러스터 정보의 시각화가 필요하다고 판단되면 제어는 S312 단계로 전달되고, 그렇지 않다면 제어는 S308 단계로 전달된다.Thereafter, a step S307 of determining whether visualization of cluster information generated in step S306 is necessary is performed. In step S307, if it is determined that the visualization of the cluster information is necessary, control is passed to step S312, otherwise control is passed to step S308.

S308 단계는 클러스터 분석부에 의해, 클러스터들을 분석하여 분석 데이터를 도출하는 단계이다. 구체적으로, S308 단계는 클러스터들에 포함된 그룹들을 분석하여 분석 데이터를 도출한다. In step S308, the cluster analysis unit analyzes the clusters to derive analysis data. Specifically, step S308 derives analysis data by analyzing the groups included in the clusters.

그 후, 판단부에 의해, S308 단계에서 도출된 분석 데이터를 근거로 네트워크의 상태를 판단하는 단계(S309)가 수행된다. 구체적으로, S309 단계는 네트워크가 정상 상태일 때의 정상 데이터와 분석 데이터의 비교를 통해 네트워크의 상태를 판단할 수 있다.Thereafter, the determination unit determines the state of the network based on the analysis data derived in step S308 (S309). In detail, in operation S309, the state of the network may be determined by comparing normal data with analysis data when the network is in a normal state.

그 후, S309 단계에서 도출된 결과를 근거로, 네트워크가 정상 상태인지 판단하는 단계(S310)가 수행된다. S310 단계에서, 네트워크가 정상 상태로 판단되면 제어는 종료 블록으로 전달된다. 그렇지 않다면, 제어는 S311 단계로 전달되어, 네트워크의 이상 상태를 사용자에게 알리게 된다. S311 단계에서, 사용자에게 알림을을 수행하면, 제어는 종료 블록으로 전달된다.Thereafter, based on the result derived in step S309, determining whether the network is in a normal state (S310) is performed. In step S310, if the network is determined to be in the normal state, control is passed to the end block. If not, control passes to step S311, informing the user of an abnormal condition of the network. In step S311, when the user is notified, control is passed to the end block.

S312 단계는, S307 단계에서 클러스터 정보의 시각화를 요청 받은 경우 수행되는 단계로서, S306 단계에서 생성된 클러스터 정보를 시각화하는 기능을 한다. 클러스터 정보는 앞에서 언급한 것처럼, 현재 네트워크의 상태를 판단하는 근거가 될 수 있다. 이러한 클러스터 정보를 사용자에게 시각화함으로써, 사용자가 네트워크에 대한 이상여부를 직접 판단할 수 있다.The step S312 is performed when the visualization of the cluster information is requested in step S307, and serves to visualize the cluster information generated in the step S306. As mentioned above, the cluster information may be the basis for determining the current state of the network. By visualizing the cluster information to the user, the user can directly determine whether the network abnormality.

본 발명의 원리들의 교시들은 하드웨어와 소프트웨어의 조합으로서 구현될 수 있다. 또한, 소프트웨어는 프로그램 저장부 상에서 실재로 구현되는 응용 프로그램으로서 구현될 수 있다. 응용 프로그램은 임의의 적절한 아키텍쳐를 포함하는 머신에 업로드되고 머신에 의해 실행될 수 있다. 바람직하게는, 머신은 하나 이상의 중앙 처리 장치들(CPU), 컴퓨터 프로세서, 랜덤 액세스 메모리(RAM), 및 입/출력(I/O) 인터페이스들과 같은 하드웨어를 갖는 컴퓨터 플랫폼상에 구현될 수 있다. 또한, 컴퓨터 플랫폼은 운영 체제 및 마이크로 명령 코드를 포함할 수 있다. 여기서 설명된 다양한 프로세스들 및 기능들은 마이크로 명령 코드의 일부 또는 응용 프로그램의 일부, 또는 이들의 임의의 조합일 수 있고, 이들은 CPU를 포함하는 다양한 처리 장치에 의해 실행될 수 있다. 추가로, 추가 데이터 저장부 및 프린터와 같은 다양한 다른 주변 장치들이 컴퓨터 플랫폼에 접속될 수 있다.The teachings of the principles of the present invention may be implemented as a combination of hardware and software. In addition, the software can be implemented as an application program that is actually implemented on the program storage unit. The application program can be uploaded to and executed by a machine that includes any suitable architecture. Preferably, the machine may be implemented on a computer platform having hardware such as one or more central processing units (CPUs), computer processors, random access memory (RAM), and input / output (I / O) interfaces. . In addition, the computer platform may include an operating system and microinstruction code. The various processes and functions described herein may be part of microcommand codes or a portion of an application program, or any combination thereof, and they may be executed by various processing devices including a CPU. In addition, various other peripheral devices such as additional data storage and printers may be connected to the computer platform.

첨부 도면들에서 도시된 구성 시스템 컴포넌트들 및 방법들의 일부가 바람직하게는 소프트웨어로 구현되므로, 시스템 컴포넌트들 또는 프로세스 기능 블록들 사이의 실제 접속들은 본 발명의 원리들이 프로그래밍되는 방식에 따라 달라질 수 있다는 점이 추가로 이해되어야 한다. 여기서의 교시들이 주어지면, 관련 기술분야의 당업자는 본 발명의 원리들의 이들 및 유사한 구현예들 또는 구성들을 참작할 수 있을 것이다.It is to be understood that the actual connections between system components or process functional blocks may vary depending on how the principles of the present invention are programmed, as some of the constituent system components and methods illustrated in the accompanying drawings are preferably implemented in software It should be further understood. Given the teachings herein, those skilled in the relevant art (s) will be able to contemplate these and similar implementations or configurations of the principles of the invention.

예시적인 실시예들이 여기서 첨부 도면들과 관련하여 기술되었지만, 본 발명의 원리들이 이들 정확한 실시예들에 제한되지 않으며, 다양한 변경들 및 수정들이 본 발명의 원리들의 범위 또는 사상으로부터 벗어나지 않고 관련 기술 분야의 당업자에 의해 수행될 수 있다는 점이 이해되어야 한다. 모든 이러한 변경들 및 수정들은 첨부된 청구항들에서 설명되는 바와 같은 본 발명의 원리들의 범위 내에 포함되는 것으로 의도된다.While illustrative embodiments have been described herein in connection with the accompanying drawings, the principles of the invention are not limited to these precise embodiments, and various changes and modifications may be made without departing from the scope or spirit of the principles of the invention. It should be understood that it may be performed by those skilled in the art. All such changes and modifications are intended to be included within the scope of the principles of the invention as set forth in the appended claims.

이상에서와 같이 도면과 명세서에서 최적의 실시예가 개시되었다. 여기서 특정한 용어들이 사용되었으나, 이는 단지 본 발명을 설명하기 위한 목적에서 사용된 것이지 의미 한정이나 특허청구범위에 기재된 본 발명의 범위를 제한하기 위하여 사용된 것은 아니다. 그러므로, 본 기술 분야의 통상의 지식을 가진 자라면 이로부터 다양한 변형 및 균등한 타 실시예가 가능하다는 점을 이해할 것이다. 따라서, 본 발명의 진정한 기술적 보호범위는 첨부된 특허청구범위의 기술적 사상에 의해 정해져야 할 것이다.As described above, an optimal embodiment has been disclosed in the drawings and specification. Although specific terms have been employed herein, they are used for purposes of illustration only and are not intended to limit the scope of the invention as defined in the claims or the claims. Therefore, those skilled in the art will understand that various modifications and equivalent other embodiments are possible from this. Accordingly, the true scope of the present invention should be determined by the technical idea of the appended claims.

100 : 네트워크 이상상태 탐지 장치
110 : 패킷 수집부 120 : 패킷 분석부
130 : 그룹화부 140 : 클러스터링부
150 : 시각화부 160 : 연관관계 분석부
170 : 판단부100: network abnormality detection device
110: packet collection unit 120: packet analysis unit
130: grouping unit 140: clustering unit
150: visualization unit 160: correlation analysis unit
170: judgment unit

Claims (10)

네트워크에서 송수신되는 패킷들을 수집하는 패킷 수집부;
상기 패킷들의 기설정된 속성 값들을 추출하고, 상기 속성 값들을 벡터화하여 속성 값 벡터들을 생성하는 패킷 분석부;
상기 속성 값 벡터들을 기설정된 크기 및 간격으로 그룹화하여 다수의 그룹들을 생성하는 그룹화부;
상기 그룹들에 대한 클러스터링을 수행하여 클러스터들을 생성하는 클러스터링부;
상기 클러스터들을 분석하여, 분석 데이터를 도출하는 클러스터 분석부; 및
상기 분석 데이터를 근거로, 상기 네트워크의 상태를 판단하는 판단부를 포함하는 것을 특징으로 하는, 네트워크 이상상태 탐지 장치.A packet collecting unit collecting packets transmitted and received in a network;
A packet analyzer extracting predetermined attribute values of the packets and vectorizing the attribute values to generate attribute value vectors;
A grouping unit for generating a plurality of groups by grouping the attribute value vectors at a predetermined size and interval;
A clustering unit generating clusters by performing clustering on the groups;
A cluster analyzer for analyzing the clusters to derive analysis data; And
And a determination unit to determine a state of the network based on the analysis data. 제1항에 있어서,
상기 클러스터링부는,
상기 클러스터들에 대한 상태 정보를 나타내는 클러스터 정보를 더 생성하는 것을 특징으로 하는, 네트워크 이상상태 탐지 장치.The method of claim 1,
The clustering unit,
And generating cluster information indicating the state information of the clusters. 제2항에 있어서,
상기 클러스터 정보를 사용자에게 시각화하는 시각화부를 더 포함하는 것을 특징으로 하는, 네트워크 이상상태 탐지 장치.3. The method of claim 2,
The network abnormality detection apparatus, further comprising a visualization unit for visualizing the cluster information to the user. 제1항에 있어서,
상기 클러스터 분석부는,
상기 클러스터들에 포함된 그룹들에 대한 분석을 수행하여, 상기 분석 데이터를 생성하는 것을 특징으로 하는, 네트워크 이상상태 탐지 장치.The method of claim 1,
The cluster analysis unit,
And analyzing the groups included in the clusters to generate the analysis data. 제1항에 있어서,
상기 판단부는,
상기 네트워크가 정상 상태일 때의 정상 데이터와 상기 분석 데이터의 비교를 통해 상기 네트워크의 상태를 판단하는 것을 특징으로 하는, 네트워크 이상상태 탐지 장치.The method of claim 1,
Wherein,
And determining the state of the network by comparing the normal data and the analysis data when the network is in a normal state. 패킷 수집부에 의해, 네트워크에서 송수신되는 패킷들을 수집하는 단계;
패킷 분석부에 의해, 상기 패킷들의 기설정된 속성 값들을 추출하는 단계;
상기 패킷 분석부에 의해, 상기 속성 값들을 벡터화하여 속성 값 벡터들을 생성하는 단계;
그룹화부에 의해, 상기 속성 값 벡터들을 기설정된 크기 및 간격으로 그룹화하여 다수의 그룹들을 생성하는 단계;
클러스터링부에 의해, 상기 그룹들에 대한 클러스터링을 수행하여 클러스터들을 생성하는 단계;
클러스터 분석부에 의해, 상기 클러스터들을 분석하여, 분석 데이터를 도출하는 단계; 및
판단부에 의해, 상기 분석 데이터를 근거로, 상기 네트워크의 상태를 판단하는 단계를 포함하는 것을 특징으로 하는, 네트워크 이상상태 탐지 방법.Collecting, by the packet collecting unit, packets transmitted and received in the network;
Extracting, by a packet analyzer, predetermined attribute values of the packets;
Generating, by the packet analyzer, attribute value vectors by vectorizing the attribute values;
Generating a plurality of groups by grouping the attribute value vectors by a predetermined size and interval by a grouping unit;
Generating clusters by performing clustering on the groups by a clustering unit;
Analyzing, by the cluster analyzer, clusters to derive analysis data; And
And determining, by the determining unit, the state of the network based on the analysis data. 제6항에 있어서,
상기 클러스터들을 생성하는 단계는,
상기 클러스터들에 대한 상태 정보를 나타내는 클러스터 정보를 더 생성하는 것을 특징으로 하는, 네트워크 이상상태 탐지 방법.The method according to claim 6,
Wherein generating the clusters comprises:
And generating cluster information indicating the status information of the clusters. 제7항에 있어서,
상기 클러스터들을 생성하는 단계 이후,
시각화부에 의해, 상기 클러스터 정보를 사용자에게 시각화하는 단계를 더 포함하는 것을 특징으로 하는, 네트워크 이상상태 탐지 방법.8. The method of claim 7,
After creating the clusters,
And visualizing, by the visualization unit, the cluster information to the user. 제6항에 있어서,
상기 분석 데이터를 도출하는 단계는,
상기 클러스터들에 포함된 그룹들에 대한 분석을 수행하여, 상기 분석 데이터를 생성하는 것을 특징으로 하는, 네트워크 이상상태 탐지 방법.The method according to claim 6,
Deriving the analysis data,
And analyzing the groups included in the clusters to generate the analysis data. 제6항에 있어서,
상기 네트워크의 상태를 판단하는 단계는,
상기 네트워크가 정상 상태일 때의 정상 데이터와 상기 분석 데이터의 비교를 통해 상기 네트워크의 상태를 판단하는 것을 특징으로 하는, 네트워크 이상상태 탐지 방법.The method according to claim 6,
Determining the state of the network,
And determining a state of the network by comparing normal data with the analysis data when the network is in a normal state.
KR1020130059834A 2013-05-27 2013-05-27 Apparatus and method for detecting anomalous state of network KR101383069B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020130059834A KR101383069B1 (en) 2013-05-27 2013-05-27 Apparatus and method for detecting anomalous state of network

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020130059834A KR101383069B1 (en) 2013-05-27 2013-05-27 Apparatus and method for detecting anomalous state of network

Publications (1)

Publication Number Publication Date
KR101383069B1 true KR101383069B1 (en) 2014-04-08

Family

ID=50657042

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020130059834A KR101383069B1 (en) 2013-05-27 2013-05-27 Apparatus and method for detecting anomalous state of network

Country Status (1)

Country Link
KR (1) KR101383069B1 (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102156891B1 (en) * 2020-02-25 2020-09-16 주식회사 에프원시큐리티 System and method for detecting and blocking web attack through web protocol behavior analysis based on ai machine learning
KR102290039B1 (en) * 2020-12-16 2021-08-13 한국인터넷진흥원 METHOD AND APPARATUS FOR MONITORING ABNORMAL IoT DEVICE
KR102367546B1 (en) * 2021-10-08 2022-02-25 주식회사 이글루시큐리티 Hybrid correlation analysis method between heterogeneous using streaming analysis and batch analysis and apparatus thereof

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20050048019A (en) * 2003-11-18 2005-05-24 한국전자통신연구원 Method for detecting abnormal traffic in network level using statistical analysis
KR20060028601A (en) * 2004-09-25 2006-03-30 한국전자통신연구원 Apparatus for detecting abnormality of traffic in network and method thereof
KR20110067264A (en) * 2009-12-14 2011-06-22 성균관대학교산학협력단 Anomalous event detection apparatus and method

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20050048019A (en) * 2003-11-18 2005-05-24 한국전자통신연구원 Method for detecting abnormal traffic in network level using statistical analysis
KR20060028601A (en) * 2004-09-25 2006-03-30 한국전자통신연구원 Apparatus for detecting abnormality of traffic in network and method thereof
KR20110067264A (en) * 2009-12-14 2011-06-22 성균관대학교산학협력단 Anomalous event detection apparatus and method

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102156891B1 (en) * 2020-02-25 2020-09-16 주식회사 에프원시큐리티 System and method for detecting and blocking web attack through web protocol behavior analysis based on ai machine learning
WO2021172711A1 (en) * 2020-02-25 2021-09-02 주식회사 에프원시큐리티 System and method for detecting and blocking web attack through web protocol analysis on basis of artificial intelligence machine learning behavior
KR102290039B1 (en) * 2020-12-16 2021-08-13 한국인터넷진흥원 METHOD AND APPARATUS FOR MONITORING ABNORMAL IoT DEVICE
KR102367546B1 (en) * 2021-10-08 2022-02-25 주식회사 이글루시큐리티 Hybrid correlation analysis method between heterogeneous using streaming analysis and batch analysis and apparatus thereof

Similar Documents

Publication Publication Date Title
KR101538709B1 (en) Anomaly detection system and method for industrial control network
CN106506556B (en) A kind of network flow abnormal detecting method and device
WO2016082284A1 (en) Modbus tcp communication behaviour anomaly detection method based on ocsvm dual-profile model
CN107968791B (en) Attack message detection method and device
CN111600880A (en) Method, system, storage medium and terminal for detecting abnormal access behavior
CN111935170A (en) Network abnormal flow detection method, device and equipment
CN109743187A (en) Industry control network method for detecting abnormality and device
CN104899513B (en) A kind of datagram detection method of industrial control system malicious data attack
KR102001813B1 (en) Apparatus and method for detecting abnormal behavior of nonstandard protocol payload using deep neural network algorithm
CN113067804B (en) Network attack detection method and device, electronic equipment and storage medium
CN110324323A (en) A kind of new energy plant stand relates to net end real-time, interactive process exception detection method and system
CN113114690B (en) Threat event identification method, device, equipment and storage medium
CN115996146A (en) Numerical control system security situation sensing and analyzing system, method, equipment and terminal
CN114513340B (en) Two-stage DDoS attack detection and defense method in software defined network
KR101383069B1 (en) Apparatus and method for detecting anomalous state of network
CN116614287A (en) Network security event evaluation processing method, device, equipment and medium
CN113691507A (en) Industrial control network security detection method and system
CN110266680B (en) Industrial communication anomaly detection method based on dual similarity measurement
CN113839925A (en) IPv6 network intrusion detection method and system based on data mining technology
KR102040371B1 (en) Apparatus and method for analyzing network attack pattern
CN113645215A (en) Method, device, equipment and storage medium for detecting abnormal network traffic data
CN113268735A (en) Distributed denial of service attack detection method, device, equipment and storage medium
EP3663948B1 (en) Recognizing deviations in security behaviour of automation units
JP7065744B2 (en) Network equipment, how to process packets, and programs
CN115189961B (en) Fault identification method, device, equipment and storage medium

Legal Events

Date Code Title Description
A201 Request for examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20170406

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20180403

Year of fee payment: 5