KR102029184B1 - Apparatus and method of analyzing pattern of wireless traffic - Google Patents

Apparatus and method of analyzing pattern of wireless traffic Download PDF

Info

Publication number
KR102029184B1
KR102029184B1 KR1020160165268A KR20160165268A KR102029184B1 KR 102029184 B1 KR102029184 B1 KR 102029184B1 KR 1020160165268 A KR1020160165268 A KR 1020160165268A KR 20160165268 A KR20160165268 A KR 20160165268A KR 102029184 B1 KR102029184 B1 KR 102029184B1
Authority
KR
South Korea
Prior art keywords
pattern
normal
wireless traffic
probability
data frame
Prior art date
Application number
KR1020160165268A
Other languages
Korean (ko)
Other versions
KR20180064859A (en
Inventor
유인태
선경희
박현선
Original Assignee
경희대학교 산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 경희대학교 산학협력단 filed Critical 경희대학교 산학협력단
Priority to KR1020160165268A priority Critical patent/KR102029184B1/en
Publication of KR20180064859A publication Critical patent/KR20180064859A/en
Application granted granted Critical
Publication of KR102029184B1 publication Critical patent/KR102029184B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/145Network analysis or design involving simulating, designing, planning or modelling of a network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Small-Scale Networks (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

본 발명은 무선 트래픽의 패턴을 분석하는 장치 및 방법에 관한 것으로서, 무선 랜(LAN) 환경에서 발생할 수 있는 새로운 무선 트래픽 패턴의 정상 여부를 탐지하기 위해 패턴을 분석하여 확률적으로 해당 패턴이 정상 패턴인지 공격 패턴인지 판단하는 기술적 사상을 개시한다.The present invention relates to an apparatus and method for analyzing a pattern of wireless traffic, and to analyze whether the pattern is normal to detect whether a new wireless traffic pattern that may occur in a wireless LAN (LAN) environment is normal, and the pattern is probabilistic. Disclosed is a technical idea of determining whether an attack pattern is cognitive.

Figure R1020160165268
Figure R1020160165268

Description

무선 트래픽의 패턴 분석 장치 및 방법{APPARATUS AND METHOD OF ANALYZING PATTERN OF WIRELESS TRAFFIC}Apparatus and method for pattern analysis of wireless traffic {APPARATUS AND METHOD OF ANALYZING PATTERN OF WIRELESS TRAFFIC}

본 발명은 무선 트래픽의 패턴을 분석하는 장치 및 방법에 관한 것으로서, 무선 랜(LAN) 환경에서 발생할 수 있는 새로운 무선 트래픽 패턴의 정상 여부를 탐지하기 위해 패턴을 분석하여 확률적으로 해당 패턴이 정상 패턴인지 공격 패턴인지 판단하는 기술적 사상을 개시한다.The present invention relates to an apparatus and method for analyzing a pattern of wireless traffic, and to analyze whether the pattern is normal to detect whether a new wireless traffic pattern that may occur in a wireless LAN (LAN) environment is normal, and the pattern is probabilistic. Disclosed is a technical idea of determining whether an attack pattern is cognitive.

트래픽은 전신, 전화 등의 통신 시설에서 통신의 흐름을 의미하는 것으로서, 크게 유선 트래픽과 무선 트래픽으로 분류될 수 있다.Traffic refers to the flow of communication in a communication facility such as a telegraph and a telephone, and can be classified into wired traffic and wireless traffic.

그 중에서 무선 트래픽은 통신 선로가 무선 채널로 대체된다는 점에서 매우 효율적인 시스템이나 무선 트래픽에 노이즈가 발생하거나 공격이 발생한 경우, 데이터의 신뢰도가 상당히 낮아질 수 있는 문제가 있다.Among them, the wireless traffic has a problem that the reliability of the data may be considerably lowered in the case of noise or an attack occurring in a highly efficient system or wireless traffic in that a communication line is replaced with a wireless channel.

오늘날의 무선 랜을 이용하는 기술은 이동성은 물론 전송 효율 특성의 향상으로 인하여 다양한 모바일 장치를 위한 네트워크 서비스 환경을 제공하고 있다. 그러나, 이러한 서비스 확장으로 인하여 보안 측면에서의 문제 또한 매우 심각하게 고려해야 할 사항이 되었다.Today's wireless LAN technology provides a network service environment for various mobile devices due to the improvement of mobility and transmission efficiency characteristics. However, due to the expansion of services, problems in terms of security are also very serious considerations.

무선 트래픽의 신뢰도 문제를 보완하기 위한 다양한 기술들 개발되고 있다.Various techniques have been developed to compensate for the reliability problem of wireless traffic.

일반적인 무선 침입 탐지 시스템은 트레이닝 단계에서 대량의 무선 트래픽을 수집하여 정상 모델을 만들고, 새로운 무선 트래픽이 감지되면 기존에 만들어진 정상 모델과 비교하여 정상모델에 없는 트래픽일 경우 이를 비정상적인 트래픽으로 판단한다. 그러나 이 방식은 실제로 감지한 트래픽이 정상적인 트래픽임에도 불구하고 비정상적인 것으로 판단하는 FPR(False Positive Rate) 값이 높아진다.The general wireless intrusion detection system collects a large amount of wireless traffic in the training stage to make a normal model. When new wireless traffic is detected, it compares with the existing normal model and determines that the traffic is not in the normal model as abnormal traffic. However, this method increases the value of False Positive Rate (FPR), which determines that the detected traffic is abnormal even though the detected traffic is normal traffic.

한국특허출원 제2008-0043643호 "SNMP 기반의 트래픽 공격 탐지 장치 및 방법"Korean Patent Application No. 2008-0043643 "SNMP-based Traffic Attack Detection Apparatus and Method" 한국특허출원 제2002-0070686호 "분산 서비스 거부 공격 대응 시스템 및 방법"Korean Patent Application No. 2002-0070686 "Distributed Denial of Service Attack Response System and Method"

본 발명은 무선 랜 환경에서 발생할 수 있는 새로운 무선 트래픽 패턴의 정상 여부를 탐지하는 것을 목적으로 한다.An object of the present invention is to detect whether a new wireless traffic pattern that can occur in a wireless LAN environment is normal.

본 발명은 정상적인 트래픽임에도 불구하고 비정상적인 트래픽으로 분류될 확률을 줄이는 것을 목적으로 한다.The present invention aims to reduce the probability of being classified as abnormal traffic despite being normal traffic.

일실시예에 따른 무선 트래픽의 패턴 분석 장치는 무선 트래픽을 수신하고, 상기 수신된 무선 트래픽을 적어도 하나 이상의 패턴으로 분류하는 수신부, 트레이닝 기간 동안에 정상 모델로부터 생성된 N 그램 테이블을 참고하여, 상기 적어도 하나 이상의 패턴에 대한 정상 여부를 판단하는 새로운 패턴 검사부를 포함할 수 있다.According to an embodiment, an apparatus for analyzing a pattern of wireless traffic may include receiving at least one wireless traffic, classifying the received wireless traffic into at least one pattern, and referring to an N gram table generated from a normal model during a training period. It may include a new pattern checker for determining whether the at least one pattern is normal.

일실시예에 따른 무선 트래픽의 패턴 분석 장치는 상기 정상 모델에 N 그램 모델을 적용하여 상기 정상 모델에 존재하는 패턴으로부터 상기 N 그램 테이블을 생성하는 N-그램 테이블 생성부를 더 포함할 수 있다.The apparatus for analyzing a pattern of wireless traffic according to an embodiment may further include an N-gram table generator for generating the N gram table from a pattern existing in the normal model by applying an N gram model to the normal model.

일실시예에 따른 상기 새로운 패턴 검사부는, 크네세르-네이 스무딩(Kneser-Ney Smoothing)을 통해 상기 각 패턴에 대한 정상일 확률을 계산할 수 있다.According to an embodiment, the new pattern inspector may calculate a probability of normality for each pattern through Kneser-Ney Smoothing.

일실시예에 따른 상기 새로운 패턴 검사부는, 제1 데이터 프레임 다음에 제2 데이터 프레임이 위치하는 빈도를 고려하여 정상 여부를 판단할 수 있다.According to an embodiment, the new pattern checker may determine whether the second data frame is normal after the first data frame.

일실시예에 따른 상기 새로운 패턴 검사부는, 특정 데이터 프레임 다음에 올 수 있는 모든 데이터 프레임들의 빈도수의 합을 고려하여 정상 여부를 판단하는 무선 트래픽의 패턴 분석 장치.The new pattern checker according to an embodiment, the pattern analysis apparatus of the wireless traffic to determine whether the normal in consideration of the sum of the frequency of all data frames that can come after a specific data frame.

일실시예에 따른 상기 새로운 패턴 검사부는, 상기 분류된 패턴에서, 전체 프레임 중 특정 데이터 프레임이 나올 확률을 고려하여 정상 여부를 판단할 수 있다.The new pattern inspector according to an embodiment may determine whether the normal pattern is normal in consideration of the probability that a specific data frame of all the frames appears in the classified pattern.

일실시예에 따른 상기 새로운 패턴 검사부는, 상기 적어도 하나 이상의 패턴이 새로운 패턴인 경우, 크네세르-네이 스무딩(Kneser-Ney Smoothing)을 통해 상기 각 패턴에 대해 정상일 확률을 계산한 후, 특정 임계값 이상인 경우 상기 적어도 하나 이상의 패턴을 정상 패턴으로 판단할 수 있다.According to an embodiment, when the at least one or more patterns are new patterns, the new pattern checker calculates a probability that the patterns are normal for each pattern through Kneser-Ney Smoothing, and then a specific threshold value. In case of abnormality, the at least one pattern may be determined as a normal pattern.

일실시예에 따른 무선 트래픽의 패턴 분석 장치는 정상 모델로부터 패턴들을 분류하는 분류부, 상기 분류된 패턴들 중에서, 제1 데이터 프레임 다음에 제2 데이터 프레임이 위치하는 빈도를 계산하고, 상기 제1 데이터 프레임 다음에 올 수 있는 모든 데이터 프레임들의 빈도수의 합을 계산하며, 전체 프레임 중에서 상기 제1 프레임이 나올 확률을 계산하는 계산부, 및 상기 계산 결과를 고려하여 특정 임계값 이상인 경우 상기 적어도 하나 이상의 패턴을 정상 패턴으로 판단하여 정상 모델에 추가하여 개선시키는 개선부를 포함한다.According to an embodiment, an apparatus for analyzing a pattern of wireless traffic may include a classifier that classifies patterns from a normal model, and among the classified patterns, a frequency at which a second data frame is located after a first data frame, and calculates a frequency. A calculation unit for calculating a sum of frequencies of all data frames that may come after the data frame, and calculating a probability of the first frame coming out of all frames, and the calculation result in consideration of the calculation result; It includes an improvement that determines the pattern as a normal pattern and improves in addition to the normal model.

일실시예에 따른 무선 트래픽의 패턴 분석 방법은 정상 모델에 N 그램 모델을 적용하여 상기 정상 모델에 존재하는 패턴으로부터 N 그램 테이블을 생성하는 단계, 무선 트래픽을 수신하고, 상기 수신된 무선 트래픽을 적어도 하나 이상의 패턴으로 분류하는 단계, 및 상기 생성된 N 그램 테이블을 참고하여, 상기 적어도 하나 이상의 패턴에 대한 정상 여부를 판단하는 단계를 포함할 수 있다.According to an exemplary embodiment, a method of analyzing a pattern of wireless traffic may include generating an N gram table from a pattern existing in the normal model by applying an N gram model to a normal model, receiving wireless traffic, and at least receiving the received wireless traffic. The method may include classifying one or more patterns, and determining whether the at least one pattern is normal by referring to the generated N gram table.

일실시예에 따른 상기 정상 여부를 판단하는 단계는, 크네세르-네이 스무딩(Kneser-Ney Smoothing)을 통해 상기 각 패턴에 대한 확률을 계산하는 단계를 포함할 수 있다.The determining of the normality according to an embodiment may include calculating a probability for each pattern through Kneser-Ney Smoothing.

일실시예에 따른 상기 각 패턴에 대한 확률을 계산하는 단계는, 상기 적어도 하나 이상의 패턴이 새로운 패턴인 경우, 크네세르-네이 스무딩(Kneser-Ney Smoothing)을 통해 상기 각 패턴에 대해 정상일 확률을 계산한 후, 특정 임계값 이상인 경우 상기 적어도 하나 이상의 패턴을 정상 패턴으로 판단하는 단계를 포함할 수 있다.The calculating of the probability for each pattern according to an embodiment may include calculating a probability that the pattern is normal for each pattern through Kneser-Ney Smoothing when the at least one pattern is a new pattern. After that, the method may include determining the at least one or more patterns as a normal pattern when the threshold value is greater than or equal to a certain threshold value.

일실시예에 따른 상기 적어도 하나 이상의 패턴에 대한 정상 여부를 판단하는 단계는, 상기 분류된 패턴에서, 제1 데이터 프레임 다음에 제2 데이터 프레임이 위치하는 빈도를 고려하여 정상 여부를 판단하는 단계를 포함할 수 있다.The determining of whether the at least one pattern is normal according to an embodiment of the present disclosure may include determining whether the pattern is normal by considering a frequency at which a second data frame is located after a first data frame in the classified pattern. It may include.

일실시예에 따른 상기 적어도 하나 이상의 패턴에 대한 정상 여부를 판단하는 단계는, 상기 분류된 패턴에서, 특정 데이터 프레임 다음에 올 수 있는 모든 데이터 프레임들의 빈도수의 합을 고려하여 정상 여부를 판단하는 단계를 포함할 수 있다.The determining of whether the at least one pattern is normal according to an embodiment may include determining whether the pattern is normal by considering a sum of frequencies of all data frames that may come after a specific data frame in the classified pattern. It may include.

일실시예에 따른 상기 적어도 하나 이상의 패턴에 대한 정상 여부를 판단하는 단계는, 상기 분류된 패턴에서, 전체 프레임 중 특정 데이터 프레임이 나올 확률을 고려하여 정상 여부를 판단하는 단계를 포함할 수 있다.The determining of whether the at least one pattern is normal according to an embodiment may include determining whether the pattern is normal in consideration of the probability that a specific data frame of all the frames occurs in the classified pattern.

실시예들에 따르면, 무선 LAN 환경에서 새로운 패턴의 정상 여부를 판단하기 위해 무선 침입 탐지 시스템의 원천 기술로 활용될 수 있다.According to the embodiments, it may be utilized as a source technology of the wireless intrusion detection system to determine whether the new pattern is normal in the wireless LAN environment.

실시예들에 따르면, 무선 랜 환경에서 발생할 수 있는 새로운 무선 트래픽 패턴의 정상 여부를 탐지할 수 있다.According to the embodiments, it is possible to detect whether the new wireless traffic pattern that may occur in the WLAN environment is normal.

실시예들에 따르면, 정상적인 트래픽임에도 불구하고 비정상적인 트래픽으로 분류될 확률을 줄일 수 있다.According to embodiments, it is possible to reduce the probability of being classified as abnormal traffic despite being normal traffic.

도 1은 일실시예에 따른 무선 트래픽 패턴 분석 장치를 설명하는 도면이다.
도 2는 일실시예에 따른 무선 트래픽 패턴을 설명하는 도면이다.
도 3은 일실시예에 따른 무선 트래픽 패턴 분석 장치를 설명하는 도면이다.
도 4는 일실시예에 따른 무선 트래픽 패턴 분석 방법을 설명하는 도면이다.1 is a diagram illustrating an apparatus for analyzing a wireless traffic pattern, according to an exemplary embodiment.
2 illustrates a wireless traffic pattern according to an embodiment.
3 is a diagram illustrating an apparatus for analyzing a wireless traffic pattern, according to an exemplary embodiment.
4 is a diagram illustrating a method of analyzing a wireless traffic pattern, according to an exemplary embodiment.

이하에서, 실시예들을 첨부된 도면을 참조하여 상세하게 설명한다. 그러나, 이러한 실시예들에 의해 권리범위가 제한되거나 한정되는 것은 아니다. 각 도면에 제시된 동일한 참조 부호는 동일한 부재를 나타낸다.Hereinafter, embodiments will be described in detail with reference to the accompanying drawings. However, the scope of the present invention is not limited or limited by these embodiments. Like reference numerals in the drawings denote like elements.

아래 설명에서 사용되는 용어는, 연관되는 기술 분야에서 일반적이고 보편적인 것으로 선택되었으나, 기술의 발달 및/또는 변화, 관례, 기술자의 선호 등에 따라 다른 용어가 있을 수 있다. 따라서, 아래 설명에서 사용되는 용어는 기술적 사상을 한정하는 것으로 이해되어서는 안 되며, 실시예들을 설명하기 위한 예시적 용어로 이해되어야 한다.The terminology used in the description below has been selected to be general and universal in the art to which it relates, although other terms may vary depending on the development and / or change in technology, conventions, and preferences of those skilled in the art. Therefore, the terms used in the following description should not be understood as limiting the technical spirit, and should be understood as exemplary terms for describing the embodiments.

또한 특정한 경우는 출원인이 임의로 선정한 용어도 있으며, 이 경우 해당되는 설명 부분에서 상세한 그 의미를 기재할 것이다. 따라서 아래 설명에서 사용되는 용어는 단순한 용어의 명칭이 아닌 그 용어가 가지는 의미와 명세서 전반에 걸친 내용을 토대로 이해되어야 한다.In addition, in certain cases, there is a term arbitrarily selected by the applicant, and in this case, the meaning will be described in detail in the corresponding description. Therefore, the terms used in the following description should be understood based on the meanings of the terms and the contents throughout the specification, rather than simply the names of the terms.

도 1은 일실시예에 따른 무선 트래픽 패턴 분석 장치(100)를 설명하는 도면이다.1 is a diagram illustrating an apparatus 100 for analyzing a wireless traffic pattern, according to an exemplary embodiment.

일실시예에 따른 무선 트래픽 패턴 분석 장치(100)는 무선 LAN 환경에서 발생할 수 있는 새로운 무선 트래픽 패턴의 정상 여부를 탐지하기 위해 패턴을 분석하여 확률적으로 해당 패턴이 정상 패턴인지 잠재적인 공격이 가능한 패턴인지 판단할 수 있다. The apparatus 100 for analyzing a wireless traffic pattern according to an embodiment analyzes a pattern to detect whether a new wireless traffic pattern that may occur in a wireless LAN environment is normal and can potentially attack whether the pattern is a normal pattern. It can be determined whether it is a pattern.

이를 위해, 일실시예에 따른 무선 트래픽 패턴 분석 장치(100)는 수신부(110) 및 새로운 패턴 검사부 (120)를 포함할 수 있다.To this end, the apparatus 100 for analyzing a wireless traffic pattern according to an embodiment may include a receiver 110 and a new pattern inspector 120.

먼저, 일실시예에 따른 수신부(110)는 무선 트래픽을 수신하고, 수신된 무선 트래픽을 적어도 하나 이상의 패턴으로 분류할 수 있다. 일실시예에 따른 수신부(110)는 세션 제너레이터(111), 패턴 제너레이터(112), 및 패턴 카운터(113)을 이용해서 캡쳐된 프레임으로부터의 IEEE 802.11의 특징들이 포함된 프레임들을 적어도 하나 이상의 패턴으로 분류할 수 있다.First, the receiver 110 according to an embodiment may receive wireless traffic and classify the received wireless traffic into at least one pattern. According to an exemplary embodiment, the receiver 110 may include frames including features of IEEE 802.11 from frames captured using the session generator 111, the pattern generator 112, and the pattern counter 113 in at least one pattern. Can be classified.

다음으로, 일실시예에 따른 새로운 패턴 검사부 (120)는 트레이닝 기간 동안에 정상 모델로부터 생성된 N 그램 테이블을 참고하여, 적어도 하나 이상의 패턴에 대한 정상 여부를 판단할 수 있다.Next, the new pattern inspection unit 120 according to an embodiment may determine whether the at least one pattern is normal by referring to the N gram table generated from the normal model during the training period.

일실시예에 따른 새로운 패턴 검사부 (120)는 분류된 패턴에서, 제1 데이터 프레임 다음에 제2 데이터 프레임이 위치하는 빈도를 고려하여 정상 여부를 판단할 수 있다. 또한, 일실시예에 따른 새로운 패턴 검사부 (120)는 분류된 패턴에서, 특정 데이터 프레임 다음에 올 수 있는 모든 데이터 프레임들의 빈도수의 합을 고려하여 정상 여부를 판단할 수도 있다. 또한, 일실시예에 따른 새로운 패턴 검사부 (120)는 분류된 패턴에서, 전체 프레임 중 특정 데이터 프레임이 나올 확률을 고려하여 정상 여부를 판단할 수 있다. 또한, 일실시예에 따른 새로운 패턴 검사부 (120)는 적어도 하나 이상의 패턴이 새로운 패턴인 경우, 크네세르-네이 스무딩(Kneser-Ney Smoothing)을 통해 상기 각 패턴에 대해 정상일 확률을 계산한 후, 특정 임계값 이상인 경우 상기 적어도 하나 이상의 패턴을 정상 패턴으로 판단할 수 있다.The new pattern inspector 120 according to an exemplary embodiment may determine whether the pattern is normal by considering the frequency at which the second data frame is located after the first data frame. In addition, the new pattern inspector 120 according to an embodiment may determine whether the pattern is normal by considering the sum of the frequencies of all data frames that may come after a specific data frame in the classified pattern. In addition, the new pattern inspector 120 according to an embodiment may determine whether the pattern is normal by considering a probability that a specific data frame is displayed among all the frames. In addition, when the at least one pattern is a new pattern, the new pattern inspection unit 120 calculates a probability that the pattern is normal for each pattern through Kneser-Ney Smoothing, and then, the specific pattern is determined. In the case of a threshold value or more, the at least one pattern may be determined as a normal pattern.

기존 무선 침입 탐지 시스템은 트레이닝 단계에서 대량의 무선 트래픽을 수집하여 정상 모델을 만들고, 새로운 무선 트래픽이 감지되면 기존에 만들어진 정상 모델과 비교하여 정상모델에 없는 트래픽일 경우 이를 비정상적인 트래픽으로 판단하는 방식이다. 그러나 일실시예에 따른 무선 트래픽 패턴 분석 장치(100)는 트레이닝 단계 동안 정상 모델과 더불어 정상 무선 트래픽 패턴들의 N-Gram 테이블을 생성하여 이를 바탕으로 새로운 무선 트래픽 패턴이 감지되었을 때 FPR 값을 낮추기 위한 발명이다.Existing wireless intrusion detection system collects a large amount of wireless traffic in the training stage to make a normal model, and when new wireless traffic is detected, it compares with the existing normal model and judges it as abnormal traffic if it is not in the normal model. . However, the apparatus 100 for analyzing a wireless traffic pattern according to an embodiment generates an N-Gram table of normal wireless traffic patterns together with a normal model during a training step, and based on this, to lower the FPR value when a new wireless traffic pattern is detected. Invention.

이를 위해, 일실시예에 따른 무선 트래픽 패턴 분석 장치(100)는 정상 모델에 N 그램 모델을 적용하여 정상 모델로부터 N 그램 테이블을 생성하는 N-그램 테이블 생성부(150)를 더 포함할 수 있다.To this end, the apparatus 100 for analyzing wireless traffic patterns according to an embodiment may further include an N-gram table generator 150 generating an N gram table from the normal model by applying the N gram model to the normal model. .

무선 트래픽은 프레임으로 구성되는데, 프레임의 흐름은 일반적으로 패턴을 가지고 있다. Wireless traffic consists of frames, which generally have a pattern.

무선 트래픽은 이하 도 2를 통해 보다 상세히 설명한다.Wireless traffic is described in more detail below with reference to FIG. 2.

도 2는 일실시예에 따른 무선 트래픽 패턴을 설명하는 도면이다.2 illustrates a wireless traffic pattern according to an embodiment.

도면부호 210에서 사각형 하나는 무선 프레임 하나를 뜻하며, 사각형 안의 내용은 프레임의 타입을 뜻한다. 예를 들면 인증(Auth) 프레임, 인증(Auth) 프레임, 연결요청(AssoReq) 프레임, 연결응답(AssoRes) 프레임, 데이터(Data) 프레임, 데이터(Data) 프레임, 인증해제(DeAuth) 프레임 등으로 흐름을 갖는다.In the reference numeral 210, one rectangle means one radio frame, and the content in the rectangle means the frame type. For example, it flows to Auth frame, Auth frame, AssoReq frame, AssoRes frame, Data frame, Data frame, DeAuth frame, etc. Has

무선 트래픽을 수집하였다고 가정할 때 순차적인 프레임의 패턴 구성은 도면부호 220과 같다.Assuming that wireless traffic is collected, the pattern structure of the sequential frames is the same as 220.

패턴 길이를 4라고 하면, 4개의 프레임을 가지고 하나의 패턴을 만들 수 있다. 따라서 첫 번째 패턴(221)은 [Auth, Auth, AssoReq, AssoRes] 가 되며, 두 번째 패턴은 첫 번째 프레임 바로 다음 프레임부터 시작하여 4개의 프레임으로 두 번째 패턴을 만들 수 있다. 즉 두 번째 패턴(222)은 [Auth, AssoReq, AssoRes, Data] 이다. 같은 방법으로 수집된 마지막 프레임까지 패턴을 구성하면, 총 7개의 패턴이 구성될 수 있다. If the pattern length is 4, you can make a pattern with 4 frames. Accordingly, the first pattern 221 becomes [Auth, Auth, AssoReq, AssoRes], and the second pattern can start with the frame immediately following the first frame and make the second pattern with four frames. That is, the second pattern 222 is [Auth, AssoReq, AssoRes, Data]. If the pattern is configured up to the last frame collected in the same manner, a total of seven patterns may be configured.

수신부(110)는 위에서 설명한 방법으로 트레이닝 기간 동안 만들어진 패턴을 모두 모아놓은 것을 정상적인 패턴으로 간주하여 정상 모델(Normal Model)이라고 정의할 수 있다. 또한, 정의된 정상 모델은 데이터베이스(140)에 기록 및 유지될 수 있다.Receiving unit 110 may be defined as a normal model by considering all the patterns created during the training period as described above as a normal pattern. In addition, the defined normal model may be recorded and maintained in the database 140.

일실시예에 따른 무선 트래픽 패턴 분석 장치(100)는 정상 모델이 만들어지면 트레이닝 단계를 끝내고, 공격 트래픽 검출부(130)에서 검출 단계를 수행할 수 있다. 이 단계에서는 실시간으로 수집된 트래픽에 대해 구성된 패턴을 정상 모델에 존재하는 패턴들과 비교할 수 있다.The apparatus 100 for analyzing a wireless traffic pattern according to an embodiment may end the training step when the normal model is made, and may perform the detection step in the attack traffic detector 130. In this step, the patterns configured for the traffic collected in real time can be compared with the patterns present in the normal model.

일실시예에 따른 무선 트래픽 패턴 분석 장치(100)는 트레이닝 단계에서 만들어진 정상 모델을 바탕으로 생성된 N-그램 테이블을 참조하여 패턴의 정상 여부를 판단하기 때문에, 정상 모델에 존재하지 않는 새로운 패턴이 발견되면 정상일 수도 있는 패턴을 비정상 패턴으로 간주하는 비율을 낮출 수 있다.Since the apparatus 100 for analyzing a wireless traffic pattern according to an embodiment determines whether the pattern is normal by referring to the N-gram table generated based on the normal model created in the training step, a new pattern that does not exist in the normal model is present. If found, the rate at which a pattern that may be normal is considered an abnormal pattern can be lowered.

이러한 정상을 비정상으로 간주하는 비율을 오류양성률(False Positive Rate)이라고 한다. 기존의 오류양성률(False Positive Rate) 값을 감소시키기 위해 자연어처리 분야(음성인식, 기계 번역 등)에서 사용되는 기법인 N 그램 모델을 활용할 수 있다.The rate at which this normal is regarded as abnormal is called a false positive rate. In order to reduce the existing false positive rate, the N Gram model, which is a technique used in the field of natural language processing (speech recognition, machine translation, etc.), can be used.

다시 도 1을 참고하면, 새로운 패턴 검사부(120)는 N 그램 모델을 활용하여 비정상 패턴을 검출할 수 있다.Referring back to FIG. 1, the new pattern inspector 120 may detect an abnormal pattern by using an N gram model.

구체적으로, N 그램은 i번째에 어떠한 사건이 일어날 확률을 이전의 i-1, i-2, … ,i-N+1번째 사건을 바탕으로 조건부 확률 값을 구하는 방법으로서, N=2일 경우 i-1번째 사건을 바탕으로 i번째 사건의 확률을 구하는 것을 뜻하며, N=3일 경우 i-1, i-2 번째 사건을 바탕으로 i번째 사건의 확률을 구하는 것을 뜻한다.Specifically, N gram is the i-th, i-2,... A conditional probability value is calculated based on the i-N + 1 th event. When N = 2, it means the probability of the i th event based on the i-1 th event. , i.e., the probability of the i th event based on the i-2 th event.

N 그램 테이블 생성부(150)는 이러한 N 그램 모델을 적용시켜 트레이닝 단계에서 N 그램 테이블을 생성할 수 있다.The N gram table generator 150 may apply the N gram model to generate an N gram table in a training step.

또한, 새로운 패턴 검사부 (120)는 검출 단계에서 N 그램 테이블을 기반으로 새로운 패턴에 대해 정상일 확률 값을 구할 수 있다. 먼저 N 그램 테이블 생성 과정에 대해 설명하자면, 도 2의 무선 트래픽(210)을 참고할 수 있다.In addition, the new pattern checker 120 may calculate a probability value that is normal for the new pattern based on the N gram table in the detection step. First, the N gram table generation process will be described with reference to the wireless traffic 210 of FIG. 2.

N 그램 테이블 생성부(150)는 트레이닝 단계에서 정상 모델이 생성된 후에 정상 모델에 존재하는 패턴을 기반으로 N 그램 테이블을 생성할 수 있다. The N gram table generator 150 may generate an N gram table based on a pattern existing in the normal model after the normal model is generated in the training step.

N=2 일 경우에는 이전 프레임 하나만 참고하기 때문에 첫번째 패턴 [Auth, Auth, AssoReq, AssoRes]에 대해 만들어지는 2-그램은 (Auth, Auth), (Auth, AssoReq), (AssoReq, AssoRes) 이다.When N = 2, since only the previous frame is referenced, 2-grams created for the first pattern [Auth, Auth, AssoReq, AssoRes] are (Auth, Auth), (Auth, AssoReq), and (AssoReq, AssoRes).

따라서 첫 번째 패턴에 대해 만들어지는 2-그램 테이블은 [표 1]과 같다.Thus, the 2-gram table created for the first pattern is shown in Table 1.

[표 1]에서 테이블 안의 숫자는 패턴이 발견된 수를 의미한다.In Table 1, the number in the table means the number of patterns found.

2nd프레임
1st 프레임2 nd frame
1 st frame AuthAuth AssoReqAssoReq AssoResAssoRes DataData DeAuthDeAuth AuthAuth 1One 1One 00 00 00 AssoReqAssoReq 00 00 1One 00 00 AssoResAssoRes 00 00 00 00 00 DataData 00 00 00 00 00 DeAuthDeAuth 00 00 00 00 00

두번째 패턴의 경우 [Auth, AssoReq, AssoRes, Data]이므로 만들어지는 2-gram은 (Auth, AssoReq), (AssoReq, AssoRes), (AssoRes, Data) 이며, 2-그램 테이블은 [표 2]와 같이 업데이트 된다.The second pattern is [Auth, AssoReq, AssoRes, Data], so the 2-gram created is (Auth, AssoReq), (AssoReq, AssoRes), (AssoRes, Data), and the 2-gram table is shown in [Table 2]. Is updated.

2nd프레임
1st 프레임2 nd frame
1 st frame AuthAuth AssoReqAssoReq AssoResAssoRes DataData DeAuthDeAuth AuthAuth 1One 22 00 00 00 AssoReqAssoReq 00 00 22 00 00 AssoResAssoRes 00 00 00 1One 00 DataData 00 00 00 00 00 DeAuthDeAuth 00 00 00 00 00

같은 방법으로 모든 패턴에 대해 만들어지는 2-그램 테이블은 [표 3]과 같다.The 2-gram table created for all patterns in the same way is shown in Table 3.

2nd프레임
1st 프레임2 nd frame
1 st frame AuthAuth AssoReqAssoReq AssoResAssoRes DataData DeAuthDeAuth AuthAuth 1One 44 00 00 00 AssoReqAssoReq 00 00 44 00 00 AssoResAssoRes 00 00 00 33 00 DataData 00 00 00 33 33 DeAuthDeAuth 33 00 00 00 00

새로운 패턴 검사부(120)는 검출 과정에서 N 그램 테이블을 기반으로 기반으로 새로운 패턴에 대한 확률을 계산할 수 있다.The new pattern checker 120 may calculate a probability for the new pattern based on the N gram table in the detection process.

새로운 패턴 검사부(120)는 위에서 설명한 방법대로 N 그램 테이블이 생성되면 검출 단계에서 테이블을 기반으로 새로운 패턴에 대해 정상 패턴일 확률 값을 구한다. 이를 설명하기 위해 [표 4]의 새로운 2-그램 테이블로 예를 들어 설명한다.When the N gram table is generated as described above, the new pattern checker 120 calculates the probability value of the normal pattern for the new pattern based on the table in the detection step. To illustrate this, use the new 2-gram table in Table 4 as an example.

2nd프레임
1st 프레임2 nd frame
1 st frame AuthAuth AssoReqAssoReq AssoResAssoRes DataData DeAuthDeAuth AuthAuth 33 44 66 1111 22 AssoReqAssoReq 1212 33 1One 22 1One AssoResAssoRes 1One 1One 1One 55 99 DataData 77 00 00 2424 33 DeAuthDeAuth 33 1One 44 22 1One

정상 모델에 존재하지 않는 새로운 패턴 [Data, Data, Data, Deauth]가 관찰되었다고 가정해보면, 새로운 패턴 검사부(120)는

Figure 112016119672603-pat00001
Figure 112016119672603-pat00002
의 확률을 구할 수 있다. 만약, N=2일 경우에는 새로운 패턴 검사부(120)는 이전의 프레임만 고려하여 [수학식 1]과 같이 조건부 확률들을 곱하여 전체 확률을 구할 수 있다.Assuming that a new pattern [Data, Data, Data, Deauth] is observed that does not exist in the normal model, the new pattern checker 120
Figure 112016119672603-pat00001
Figure 112016119672603-pat00002
Can be found. If N = 2, the new pattern checker 120 may calculate the overall probability by multiplying the conditional probabilities as shown in [Equation 1] considering only the previous frame.

[수학식 1][Equation 1]

Figure 112016119672603-pat00003
Figure 112016119672603-pat00003

새로운 패턴 검사부(120)는 크네세르-네이 스무딩(Kneser-Ney Smoothing)을 통해 상기 각 패턴에 대한 확률을 계산할 수 있다.The new pattern inspection unit 120 may calculate a probability for each pattern through Kneser-Ney Smoothing.

크네세르-네이 스무딩(Kneser-Ney Smoothing)은 [수학식 2]와 같다.Kneser-Ney Smoothing is shown in [Equation 2].

[수학식 2][Equation 2]

Figure 112016119672603-pat00004
Figure 112016119672603-pat00004

따라서

Figure 112016119672603-pat00005
Figure 112016119672603-pat00006
는 [수학식 3]과 같이 계산된다.therefore
Figure 112016119672603-pat00005
Figure 112016119672603-pat00006
Is calculated as shown in [Equation 3].

[수학식 3][Equation 3]

Figure 112016119672603-pat00007
Figure 112016119672603-pat00007

[수학식 3]에서

Figure 112016119672603-pat00008
Figure 112016119672603-pat00009
는 테이블에서 데이터 프레임 다음에 데이터 프레임이 오는 빈도를 뜻하므로, 예시 테이블을 보면 24이다. 또한,
Figure 112016119672603-pat00010
Figure 112016119672603-pat00011
Figure 112016119672603-pat00012
Figure 112016119672603-pat00013
값에 따라 정해지는 디스카운팅(Discounting) 값이며,
Figure 112016119672603-pat00014
Figure 112016119672603-pat00015
는 상수이다. 또한,
Figure 112016119672603-pat00016
Figure 112016119672603-pat00017
는 Data 프레임 다음에 올 수 있는 모든 프레임들의 빈도수의 합이므로, 34이다. 또한,
Figure 112016119672603-pat00018
Figure 112016119672603-pat00019
는 전체 프레임 중 Data 프레임이 나올 확률이다. In [Equation 3]
Figure 112016119672603-pat00008
Figure 112016119672603-pat00009
Is the frequency of the data frame after the data frame in the table, so look at the example table. Also,
Figure 112016119672603-pat00010
Figure 112016119672603-pat00011
Is
Figure 112016119672603-pat00012
Figure 112016119672603-pat00013
A counting value based on the value.
Figure 112016119672603-pat00014
Figure 112016119672603-pat00015
Is a constant. Also,
Figure 112016119672603-pat00016
Figure 112016119672603-pat00017
Is 34 because the sum of the frequencies of all the frames that can follow the Data frame. Also,
Figure 112016119672603-pat00018
Figure 112016119672603-pat00019
Is the probability that the data frame will come out of the entire frame.

Figure 112016119672603-pat00020
Figure 112016119672603-pat00021
도 같은 수식을 통해 확률 값을 계산해서 각각의 확률 값을 구한 뒤에 이를 다 곱해서
Figure 112016119672603-pat00022
Figure 112016119672603-pat00023
값을 구할 수 있다.
Figure 112016119672603-pat00020
Figure 112016119672603-pat00021
Using the same formula, calculate the probability values, find each probability value, and multiply them
Figure 112016119672603-pat00022
Figure 112016119672603-pat00023
You can get the value.

결국, 새로운 패턴 검사부(120)는 구해진 값이 일정 기준치(threshold) 값보다 크면, [Data, Data, Data, DeAuth] 패턴이 정상일 확률이 높다고 판단하여 정상 패턴으로 간주할 수 있다.As a result, if the obtained value is greater than the predetermined threshold value, the new pattern checker 120 may determine that the [Data, Data, Data, DeAuth] pattern is normal and regard it as a normal pattern.

도 3은 일실시예에 따른 무선 트래픽 패턴 분석 장치(300)를 설명하는 도면이다.3 is a diagram illustrating an apparatus 300 for analyzing a wireless traffic pattern, according to an exemplary embodiment.

일실시예에 따른 무선 트래픽 패턴 분석 장치(300)는 분류부(310), 계산부(320), 및 개선부(330)를 포함할 수 있다.The apparatus for analyzing a wireless traffic pattern 300 according to an embodiment may include a classifier 310, a calculator 320, and an enhancer 330.

일실시예에 따른 분류부(310)는 정상 모델로부터 패턴들을 분류할 수 있다.The classifier 310 may classify the patterns from the normal model.

일실시예에 따른 계산부(320)는 분류된 패턴들 중에서, 제1 데이터 프레임 다음에 제2 데이터 프레임이 위치하는 빈도를 계산하고, 상기 제1 데이터 프레임 다음에 올 수 있는 모든 데이터 프레임들의 빈도수의 합을 계산하며, 전체 프레임 중에서 상기 제1 프레임이 나올 확률을 계산할 수 있다.The calculator 320 may calculate a frequency at which the second data frame is located after the first data frame among the classified patterns, and frequency of all data frames that may follow the first data frame. The sum of and calculates the probability of the first frame out of the entire frame.

일실시예에 따른 개선부(330)는 계산 결과를 고려하여 패턴의 확률 값이 특정 임계값 이상인 경우 정상 패턴으로 판단하여 정상 모델에 추가하여 정상 모델을 개선시킬 수 있다.According to an embodiment, the improvement unit 330 may determine the normal pattern and improve the normal model in addition to the normal model when the probability value of the pattern is greater than a specific threshold in consideration of the calculation result.

결국, 본 발명을 이용하면, 무선 LAN 환경에서 새로운 패턴의 정상 여부를 판단하기 위해 무선 침입 탐지 시스템의 원천 기술로 활용될 수 있다. 또한, 실시예들에 따르면, 무선 랜 환경에서 발생할 수 있는 새로운 무선 트래픽 패턴의 정상 여부를 탐지할 수 있고, 정상적인 트래픽임에도 불구하고 비정상적인 트래픽으로 분류될 확률을 줄일 수 있다.After all, using the present invention, it can be utilized as a source technology of the wireless intrusion detection system to determine the normality of the new pattern in the wireless LAN environment. In addition, according to embodiments, it is possible to detect whether a new wireless traffic pattern that may occur in a wireless LAN environment is normal, and even though it is normal traffic, it is possible to reduce the probability of being classified as abnormal traffic.

도 4는 일실시예에 따른 무선 트래픽 패턴 분석 방법을 설명하는 도면이다.4 is a diagram illustrating a method of analyzing a wireless traffic pattern, according to an exemplary embodiment.

본 발명은 트레이닝 단계 동안 정상 모델과 더불어 정상 무선 트래픽 패턴들의 N 그램 테이블을 생성하여 이를 바탕으로 새로운 무선 트래픽 패턴이 감지되었을 때 정상 패턴인지 비정상 패턴인지 판단하여 기존보다 오류양성률(False Positive Rate) 값을 낮추기 위한 발명이다.The present invention generates an N gram table of the normal wireless traffic patterns together with the normal model during the training phase, and based on this, when a new wireless traffic pattern is detected, it is determined whether it is a normal pattern or an abnormal pattern. It is an invention for lowering.

이를 위해, 일실시예에 따른 무선 트래픽 패턴 분석 방법은 정상 모델에 N 그램 모델을 적용하여 정상 모델에 존재하는 패턴으로부터 N 그램 테이블을 생성할 수 있다(단계 401). 일실시예에 따른 무선 트래픽 패턴 분석 방법은 각 패턴에 대한 확률을 계산하기 위해, 크네세르-네이 스무딩(Kneser-Ney Smoothing)을 통해 상기 각 패턴에 대한 확률을 계산할 수 있다.To this end, the wireless traffic pattern analysis method according to an embodiment may generate an N gram table from a pattern existing in the normal model by applying the N gram model to the normal model (step 401). The wireless traffic pattern analysis method according to an embodiment may calculate the probability for each pattern through Kneser-Ney Smoothing to calculate the probability for each pattern.

일실시예에 따른 무선 트래픽 패턴 분석 방법은 무선 트래픽을 수신하고, 상기 수신된 무선 트래픽을 적어도 하나 이상의 패턴으로 분류할 수 있다(단계 402).According to an exemplary embodiment, a method for analyzing a wireless traffic pattern may receive wireless traffic and classify the received wireless traffic into at least one or more patterns (step 402).

일실시예에 따른 무선 트래픽 패턴 분석 방법은 생성된 N 그램 테이블을 참고하여, 상기 적어도 하나 이상의 패턴에 대한 정상 여부를 판단할 수 있다(단계 403).The wireless traffic pattern analysis method according to an embodiment may determine whether the at least one pattern is normal by referring to the generated N gram table (step 403).

예를 들어, 일실시예에 따른 무선 트래픽 패턴 분석 방법은 적어도 하나 이상의 패턴에 대한 정상 여부를 판단하기 위해, 분류된 패턴에서 제1 데이터 프레임 다음에 제2 데이터 프레임이 위치하는 빈도를 고려하여 정상 여부를 판단할 수 있다. 또한, 분류된 패턴에서, 특정 데이터 프레임 다음에 올 수 있는 모든 데이터 프레임들의 빈도수의 합을 고려하여 정상 여부를 판단할 수 있고, 분류된 패턴에서, 전체 프레임 중 특정 데이터 프레임이 나올 확률을 고려하여 정상 여부를 판단할 수 있다. 뿐만 아니라, 적어도 하나 이상의 패턴이 새로운 패턴인 경우, 크네세르-네이 스무딩(Kneser-Ney Smoothing)을 통해 상기 각 패턴에 대해 정상일 확률을 계산한 후, 특정 임계값 이상인 경우 상기 적어도 하나 이상의 패턴을 정상 패턴으로 판단할 수 있다.For example, the method for analyzing a wireless traffic pattern according to an embodiment may be normal in consideration of the frequency at which a second data frame is located after a first data frame in a classified pattern to determine whether the at least one pattern is normal. It can be determined. In addition, in the classified pattern, it may be determined by considering the sum of the frequencies of all data frames that may come after the specific data frame.In the classified pattern, the probability of the specific data frame coming out of all the frames may be determined. It is possible to determine whether it is normal. In addition, when the at least one pattern is a new pattern, the probability of being normal for each of the patterns is calculated through Kneser-Ney Smoothing, and when the at least one pattern is above a certain threshold, the at least one pattern is normal. It can be judged by a pattern.

이러한 과정을 통해, 일실시예에 따른 무선 트래픽 패턴 분석 방법을 이용하면, 무선 LAN 환경에서 새로운 패턴의 정상 여부를 판단하기 위해 무선 침입 탐지 시스템의 원천 기술로 활용될 수 있다. 또한, 실시예들에 따르면, 무선 랜 환경에서 발생할 수 있는 새로운 무선 트래픽 패턴의 정상 여부를 탐지할 수 있고, 정상적인 트래픽임에도 불구하고 비정상적인 트래픽으로 분류될 확률을 줄일 수 있다.Through this process, using the wireless traffic pattern analysis method according to an embodiment, it can be used as a source technology of the wireless intrusion detection system to determine whether the new pattern is normal in the wireless LAN environment. In addition, according to embodiments, it is possible to detect whether a new wireless traffic pattern that may occur in a wireless LAN environment is normal, and even though it is normal traffic, it is possible to reduce the probability of being classified as abnormal traffic.

본 발명의 일실시예에 따른 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 본 발명의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.Method according to an embodiment of the present invention can be implemented in the form of program instructions that can be executed by various computer means may be recorded on a computer readable medium. The computer readable medium may include program instructions, data files, data structures, etc. alone or in combination. Program instructions recorded on the media may be those specially designed and constructed for the purposes of the present invention, or they may be of the kind well-known and available to those having skill in the computer software arts. Examples of computer-readable recording media include magnetic media such as hard disks, floppy disks, and magnetic tape, optical media such as CD-ROMs, DVDs, and magnetic disks, such as floppy disks. Magneto-optical media, and hardware devices specifically configured to store and execute program instructions, such as ROM, RAM, flash memory, and the like. Examples of program instructions include not only machine code generated by a compiler, but also high-level language code that can be executed by a computer using an interpreter or the like. The hardware device described above may be configured to operate as one or more software modules to perform the operations of the present invention, and vice versa.

이상과 같이 본 발명은 비록 한정된 실시예와 도면에 의해 설명되었으나, 본 발명은 상기의 실시예에 한정되는 것은 아니며, 본 발명이 속하는 분야에서 통상의 지식을 가진 자라면 이러한 기재로부터 다양한 수정 및 변형이 가능하다.As described above, the present invention has been described by way of limited embodiments and drawings, but the present invention is not limited to the above embodiments, and those skilled in the art to which the present invention pertains various modifications and variations from such descriptions. This is possible.

그러므로, 본 발명의 범위는 설명된 실시예에 국한되어 정해져서는 아니 되며, 후술하는 특허청구범위뿐 아니라 이 특허청구범위와 균등한 것들에 의해 정해져야 한다.Therefore, the scope of the present invention should not be limited to the described embodiments, but should be determined not only by the claims below but also by the equivalents of the claims.

Claims (14)

무선 트래픽을 수신하고, 상기 수신된 무선 트래픽을 적어도 하나 이상의 패턴으로 분류하는 수신부; 및
트레이닝 기간 동안에 정상 모델로부터 생성된 N 그램 테이블을 참고하여, 상기 적어도 하나 이상의 패턴에 대한 정상 여부를 판단하는 새로운 패턴 검사부를 포함하고,
상기 새로운 패턴 검사부는,
상기 분류된 패턴에서, 제1 데이터 프레임 다음에 제2 데이터 프레임이 위치하는 빈도를 고려하여 정상 여부를 판단하고, 특정 데이터 프레임 다음에 올 수 있는 모든 데이터 프레임들의 빈도수의 합을 고려하여 정상 여부를 판단하는 무선 트래픽의 패턴 분석 장치.
A receiver configured to receive wireless traffic and classify the received wireless traffic into at least one pattern; And
A new pattern check unit that determines whether the at least one pattern is normal by referring to an N gram table generated from a normal model during a training period,
The new pattern inspection unit,
In the categorized pattern, it is determined whether the second data frame is located after the first data frame to determine whether it is normal. Device for pattern analysis of wireless traffic to determine.
제1항에 있어서,
상기 정상 모델에 N 그램 모델을 적용하여 상기 정상 모델에 존재하는 패턴으로부터 상기 N 그램 테이블을 생성하는 N-그램 테이블 생성부
를 더 포함하는 무선 트래픽의 패턴 분석 장치.
The method of claim 1,
N-gram table generator for generating the N gram table from the pattern existing in the normal model by applying the N gram model to the normal model
Pattern analysis apparatus for wireless traffic further comprising.
제1항에 있어서,
상기 새로운 패턴 검사부는,
크네세르-네이 스무딩(Kneser-Ney Smoothing)을 통해 상기 각 패턴에 대한 확률을 계산하는 무선 트래픽의 패턴 분석 장치.
The method of claim 1,
The new pattern inspection unit,
A pattern analysis apparatus for wireless traffic that calculates a probability for each pattern through Kneser-Ney Smoothing.
삭제delete 삭제delete 제1항에 있어서,
상기 새로운 패턴 검사부는,
상기 분류된 패턴에서, 전체 프레임 중 특정 데이터 프레임이 나올 확률을 고려하여 정상 여부를 판단하는 무선 트래픽의 패턴 분석 장치.
The method of claim 1,
The new pattern inspection unit,
In the classified pattern, the pattern analysis apparatus of the wireless traffic to determine whether the normal in consideration of the probability of a particular data frame out of the entire frame.
제1항에 있어서,
상기 새로운 패턴 검사부는,
상기 적어도 하나 이상의 패턴이 새로운 패턴인 경우, 크네세르-네이 스무딩(Kneser-Ney Smoothing)을 통해 상기 각 패턴에 대해 정상일 확률을 계산한 후, 특정 임계값 이상인 경우 상기 적어도 하나 이상의 패턴을 정상 패턴으로 판단하는 무선 트래픽의 패턴 분석 장치.
The method of claim 1,
The new pattern inspection unit,
When the at least one pattern is a new pattern, a probability of being normal for each of the patterns is calculated through Kneser-Ney Smoothing, and when the at least one pattern is greater than or equal to a certain threshold, the at least one pattern is converted into a normal pattern. Device for pattern analysis of wireless traffic to determine.
정상 모델로부터 패턴들을 분류하는 분류부;
상기 분류된 패턴들 중에서, 제1 데이터 프레임 다음에 제2 데이터 프레임이 위치하는 빈도를 계산하고, 상기 제1 데이터 프레임 다음에 올 수 있는 모든 데이터 프레임들의 빈도수의 합을 계산하며, 전체 프레임 중에서 상기 제1 데이터 프레임이 나올 확률을 계산하는 계산부; 및
상기 계산 결과를 고려하여 패턴의 확률 값이 특정 임계값 이상인 경우 정상 패턴으로 판단하여 정상 모델에 추가하여 정상 모델을 개선시키는 개선부
를 포함하는 것을 특징으로 하는 무선트래픽의 패턴 분석 장치
A classification unit classifying patterns from a normal model;
Among the classified patterns, calculate a frequency at which a second data frame is located after a first data frame, calculate a sum of frequencies of all data frames that may come after the first data frame, and wherein A calculator configured to calculate a probability of the first data frame; And
Improvement unit for determining a normal pattern and improving the normal model in addition to the normal model when the probability value of the pattern is greater than a certain threshold in consideration of the calculation result
Pattern analysis apparatus for wireless traffic, comprising a
정상 모델에 N 그램 모델을 적용하여 상기 정상 모델에 존재하는 패턴으로부터 N 그램 테이블을 생성하는 단계;
무선 트래픽을 수신하고, 상기 수신된 무선 트래픽을 적어도 하나 이상의 패턴으로 분류하는 단계; 및
상기 생성된 N 그램 테이블을 참고하여, 상기 적어도 하나 이상의 패턴에 대한 정상 여부를 판단하는 단계
를 포함하고,
상기 적어도 하나 이상의 패턴에 대한 정상 여부를 판단하는 단계는,
상기 분류된 패턴에서, 제1 데이터 프레임 다음에 제2 데이터 프레임이 위치하는 빈도를 고려하여 정상 여부를 판단하는 단계; 및
상기 분류된 패턴에서, 특정 데이터 프레임 다음에 올 수 있는 모든 데이터 프레임들의 빈도수의 합을 고려하여 정상 여부를 판단하는 단계를 포함하는 무선 트래픽의 패턴 분석 방법.
Generating an N gram table from a pattern present in the normal model by applying an N gram model to a normal model;
Receiving wireless traffic and classifying the received wireless traffic into at least one pattern; And
Determining whether the at least one pattern is normal by referring to the generated N gram table
Including,
Determining whether or not the at least one pattern is normal,
Determining whether the pattern is normal by considering a frequency at which the second data frame is located after the first data frame; And
In the classified pattern, determining whether or not normal by considering the sum of the frequency of all data frames that can come after a specific data frame.
제9항에 있어서,
상기 정상 여부를 판단하는 단계는,
크네세르-네이 스무딩(Kneser-Ney Smoothing)을 통해 상기 각 패턴에 대한 확률을 계산하는 단계
를 포함하는 무선 트래픽의 패턴 분석 방법.
The method of claim 9,
The determining of the normal state,
Computing the Probability for Each of the Patterns Through Kneser-Ney Smoothing
Pattern analysis method of wireless traffic comprising a.
제10항에 있어서,
상기 각 패턴에 대한 확률을 계산하는 단계는,
상기 적어도 하나 이상의 패턴이 새로운 패턴인 경우, 상기 크네세르-네이 스무딩(Kneser-Ney Smoothing)을 통해 상기 각 패턴에 대해 정상일 확률을 계산한 후, 특정 임계값 이상인 경우 상기 적어도 하나 이상의 패턴을 정상 패턴으로 판단하는 단계
를 포함하는 무선 트래픽의 패턴 분석 방법.
The method of claim 10,
Calculating the probability for each pattern,
When the at least one pattern is a new pattern, a probability of being normal for each of the patterns is calculated through Kneser-Ney Smoothing, and when the at least one pattern is greater than or equal to a certain threshold, the at least one pattern is normal. Steps to judge
Pattern analysis method of wireless traffic comprising a.
삭제delete 삭제delete 제9항에 있어서,
상기 적어도 하나 이상의 패턴에 대한 정상 여부를 판단하는 단계는,
상기 분류된 패턴에서, 전체 프레임 중 특정 데이터 프레임이 나올 확률을 고려하여 정상 여부를 판단하는 단계
를 포함하는 무선 트래픽의 패턴 분석 방법.
The method of claim 9,
Determining whether or not the at least one pattern is normal,
In the classified pattern, determining whether or not normal by considering a probability that a particular data frame of the entire frame is out;
Pattern analysis method of wireless traffic comprising a.
KR1020160165268A 2016-12-06 2016-12-06 Apparatus and method of analyzing pattern of wireless traffic KR102029184B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020160165268A KR102029184B1 (en) 2016-12-06 2016-12-06 Apparatus and method of analyzing pattern of wireless traffic

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020160165268A KR102029184B1 (en) 2016-12-06 2016-12-06 Apparatus and method of analyzing pattern of wireless traffic

Publications (2)

Publication Number Publication Date
KR20180064859A KR20180064859A (en) 2018-06-15
KR102029184B1 true KR102029184B1 (en) 2019-10-07

Family

ID=62628988

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020160165268A KR102029184B1 (en) 2016-12-06 2016-12-06 Apparatus and method of analyzing pattern of wireless traffic

Country Status (1)

Country Link
KR (1) KR102029184B1 (en)

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101619414B1 (en) * 2015-01-06 2016-05-10 한국인터넷진흥원 System for detecting abnomal behaviors using personalized early use behavior pattern analsis

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100394539B1 (en) 2001-03-02 2003-08-14 지정아 Method for manufacturmg a drink mainly made from an Agaricus mushroom
KR100745678B1 (en) * 2005-12-08 2007-08-02 한국전자통신연구원 Effective Intrusion Detection Device and the Method by Analyzing Traffic Patterns
KR20080043643A (en) 2006-11-14 2008-05-19 주식회사 대우일렉트로닉스 Steam boiler
KR101322037B1 (en) * 2011-12-28 2013-10-28 한양대학교 산학협력단 Method of providing efficient matching mechanism using index based on n-gram model generation in intrusion detection system

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101619414B1 (en) * 2015-01-06 2016-05-10 한국인터넷진흥원 System for detecting abnomal behaviors using personalized early use behavior pattern analsis

Also Published As

Publication number Publication date
KR20180064859A (en) 2018-06-15

Similar Documents

Publication Publication Date Title
WO2019184557A1 (en) Method and device for locating root cause alarm, and computer-readable storage medium
US9769190B2 (en) Methods and apparatus to identify malicious activity in a network
US20170126724A1 (en) Log analyzing device, attack detecting device, attack detection method, and program
US8065731B1 (en) System and method for malware containment in communication networks
US8479287B2 (en) Method and apparatus for spam message detection
CN106034240A (en) Video detection method and device
US20100076910A1 (en) Calculating web page importance based on web behavior model
CN110364183A (en) Method, apparatus, computer equipment and the storage medium of voice quality inspection
US20210027769A1 (en) Voice alignment method and apparatus
US20120090027A1 (en) Apparatus and method for detecting abnormal host based on session monitoring
US20150248834A1 (en) Real-time traffic detection
CN111523317B (en) Voice quality inspection method and device, electronic equipment and medium
CN111611519B (en) Method and device for detecting personal abnormal behaviors
CN111341333B (en) Noise detection method, noise detection device, medium, and electronic apparatus
CN107395695B (en) Business pushing method and device
WO2015196377A1 (en) Method and device for determining user identity category
KR102029184B1 (en) Apparatus and method of analyzing pattern of wireless traffic
CN114564947A (en) Rail transit signal fault operation and maintenance method and device and electronic equipment
US11527091B2 (en) Analyzing apparatus, control method, and program
CN114422515B (en) Edge computing architecture design method and system suitable for power industry
CN113076932B (en) Method for training audio language identification model, video detection method and device thereof
US10447713B2 (en) Internet traffic classification via time-frequency analysis
US20210288986A1 (en) Data exfiltration detector
CN111081269A (en) Noise detection method and system in call process
US20180039440A1 (en) Non-transitory computer-readable recording medium, boundary value specifying method, and boundary value specifying apparatus

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant