KR20180064859A - Apparatus and method of analyzing pattern of wireless traffic - Google Patents

Apparatus and method of analyzing pattern of wireless traffic Download PDF

Info

Publication number
KR20180064859A
KR20180064859A KR1020160165268A KR20160165268A KR20180064859A KR 20180064859 A KR20180064859 A KR 20180064859A KR 1020160165268 A KR1020160165268 A KR 1020160165268A KR 20160165268 A KR20160165268 A KR 20160165268A KR 20180064859 A KR20180064859 A KR 20180064859A
Authority
KR
South Korea
Prior art keywords
pattern
normal
data frame
wireless traffic
probability
Prior art date
Application number
KR1020160165268A
Other languages
Korean (ko)
Other versions
KR102029184B1 (en
Inventor
유인태
선경희
박현선
Original Assignee
경희대학교 산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 경희대학교 산학협력단 filed Critical 경희대학교 산학협력단
Priority to KR1020160165268A priority Critical patent/KR102029184B1/en
Publication of KR20180064859A publication Critical patent/KR20180064859A/en
Application granted granted Critical
Publication of KR102029184B1 publication Critical patent/KR102029184B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/145Network analysis or design involving simulating, designing, planning or modelling of a network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Abstract

The present invention relates to an apparatus and a method for analyzing a pattern of wireless traffic. Disclosed is a technical idea of analyzing a pattern to detect whether a new wireless traffic pattern which can be generated in a wireless LAN environment is normal to probabilistically determine whether the pattern is a normal pattern or an attack pattern.

Description

무선 트래픽의 패턴 분석 장치 및 방법{APPARATUS AND METHOD OF ANALYZING PATTERN OF WIRELESS TRAFFIC}[0001] APPARATUS AND METHOD OF ANALYZING PATTERN OF WIRELESS TRAFFIC [0002]

본 발명은 무선 트래픽의 패턴을 분석하는 장치 및 방법에 관한 것으로서, 무선 랜(LAN) 환경에서 발생할 수 있는 새로운 무선 트래픽 패턴의 정상 여부를 탐지하기 위해 패턴을 분석하여 확률적으로 해당 패턴이 정상 패턴인지 공격 패턴인지 판단하는 기술적 사상을 개시한다.The present invention relates to an apparatus and method for analyzing a pattern of wireless traffic, and more particularly, it relates to an apparatus and method for analyzing a pattern of a wireless traffic to detect a new wireless traffic pattern that may occur in a wireless LAN environment, A technical idea to judge whether the attack pattern is a cognitive attack pattern or not.

트래픽은 전신, 전화 등의 통신 시설에서 통신의 흐름을 의미하는 것으로서, 크게 유선 트래픽과 무선 트래픽으로 분류될 수 있다.Traffic refers to the flow of communication in telecommunication facilities such as telegraph and telephone, and can be largely classified into wired traffic and wireless traffic.

그 중에서 무선 트래픽은 통신 선로가 무선 채널로 대체된다는 점에서 매우 효율적인 시스템이나 무선 트래픽에 노이즈가 발생하거나 공격이 발생한 경우, 데이터의 신뢰도가 상당히 낮아질 수 있는 문제가 있다.Among them, wireless traffic is a very efficient system in that a communication line is replaced with a wireless channel, and there is a problem that reliability of data may be significantly lowered when noise occurs or an attack occurs in wireless traffic.

오늘날의 무선 랜을 이용하는 기술은 이동성은 물론 전송 효율 특성의 향상으로 인하여 다양한 모바일 장치를 위한 네트워크 서비스 환경을 제공하고 있다. 그러나, 이러한 서비스 확장으로 인하여 보안 측면에서의 문제 또한 매우 심각하게 고려해야 할 사항이 되었다.Today's wireless LAN technology provides a network service environment for various mobile devices due to improved mobility and transmission efficiency characteristics. However, due to these service extensions, security issues have also become a serious consideration.

무선 트래픽의 신뢰도 문제를 보완하기 위한 다양한 기술들 개발되고 있다.Various technologies have been developed to overcome the reliability problem of wireless traffic.

일반적인 무선 침입 탐지 시스템은 트레이닝 단계에서 대량의 무선 트래픽을 수집하여 정상 모델을 만들고, 새로운 무선 트래픽이 감지되면 기존에 만들어진 정상 모델과 비교하여 정상모델에 없는 트래픽일 경우 이를 비정상적인 트래픽으로 판단한다. 그러나 이 방식은 실제로 감지한 트래픽이 정상적인 트래픽임에도 불구하고 비정상적인 것으로 판단하는 FPR(False Positive Rate) 값이 높아진다.A typical wireless intrusion detection system collects a large amount of wireless traffic at the training stage and creates a normal model. When new wireless traffic is detected, it is judged that the traffic is abnormal if the traffic is not in the normal model as compared with the existing normal model. However, this method increases the False Positive Rate (FPR) value, which is determined to be abnormal even though the actually detected traffic is normal traffic.

한국특허출원 제2008-0043643호 "SNMP 기반의 트래픽 공격 탐지 장치 및 방법"Korean Patent Application No. 2008-0043643 "SNMP Based Traffic Attack Detection Apparatus and Method" 한국특허출원 제2002-0070686호 "분산 서비스 거부 공격 대응 시스템 및 방법"Korean Patent Application No. 2002-0070686 entitled "Distributed Denial-of-Service Attack Response System and Method"

본 발명은 무선 랜 환경에서 발생할 수 있는 새로운 무선 트래픽 패턴의 정상 여부를 탐지하는 것을 목적으로 한다.An object of the present invention is to detect whether a new wireless traffic pattern that may occur in a wireless LAN environment is normal.

본 발명은 정상적인 트래픽임에도 불구하고 비정상적인 트래픽으로 분류될 확률을 줄이는 것을 목적으로 한다.The present invention aims at reducing the probability of being classified as abnormal traffic despite normal traffic.

일실시예에 따른 무선 트래픽의 패턴 분석 장치는 무선 트래픽을 수신하고, 상기 수신된 무선 트래픽을 적어도 하나 이상의 패턴으로 분류하는 수신부, 트레이닝 기간 동안에 정상 모델로부터 생성된 N 그램 테이블을 참고하여, 상기 적어도 하나 이상의 패턴에 대한 정상 여부를 판단하는 새로운 패턴 검사부를 포함할 수 있다.The apparatus for analyzing a pattern of wireless traffic according to an exemplary embodiment includes a receiver for receiving wireless traffic and classifying the received wireless traffic into at least one pattern, an N-gram table generated from a normal model during a training period, And a new pattern checking unit for determining whether the one or more patterns are normal or not.

일실시예에 따른 무선 트래픽의 패턴 분석 장치는 상기 정상 모델에 N 그램 모델을 적용하여 상기 정상 모델에 존재하는 패턴으로부터 상기 N 그램 테이블을 생성하는 N-그램 테이블 생성부를 더 포함할 수 있다.The apparatus for analyzing a pattern of wireless traffic according to an embodiment may further include an N-gram table generating unit for applying the N-gram model to the normal model to generate the N-gram table from patterns existing in the normal model.

일실시예에 따른 상기 새로운 패턴 검사부는, 크네세르-네이 스무딩(Kneser-Ney Smoothing)을 통해 상기 각 패턴에 대한 정상일 확률을 계산할 수 있다.The new pattern checking unit may calculate a normal probability for each of the patterns through Knesser-Ney Smoothing.

일실시예에 따른 상기 새로운 패턴 검사부는, 제1 데이터 프레임 다음에 제2 데이터 프레임이 위치하는 빈도를 고려하여 정상 여부를 판단할 수 있다.The new pattern checking unit may determine whether the new data frame is normal considering the frequency with which the second data frame is located after the first data frame.

일실시예에 따른 상기 새로운 패턴 검사부는, 특정 데이터 프레임 다음에 올 수 있는 모든 데이터 프레임들의 빈도수의 합을 고려하여 정상 여부를 판단하는 무선 트래픽의 패턴 분석 장치.The new pattern checking unit determines whether the new pattern is normal considering a sum of frequency bands of all data frames that come after a specific data frame.

일실시예에 따른 상기 새로운 패턴 검사부는, 상기 분류된 패턴에서, 전체 프레임 중 특정 데이터 프레임이 나올 확률을 고려하여 정상 여부를 판단할 수 있다.The new pattern checking unit may determine whether the new pattern is normal in consideration of the probability of a specific data frame occurring in all the frames in the classified pattern.

일실시예에 따른 상기 새로운 패턴 검사부는, 상기 적어도 하나 이상의 패턴이 새로운 패턴인 경우, 크네세르-네이 스무딩(Kneser-Ney Smoothing)을 통해 상기 각 패턴에 대해 정상일 확률을 계산한 후, 특정 임계값 이상인 경우 상기 적어도 하나 이상의 패턴을 정상 패턴으로 판단할 수 있다.If the at least one pattern is a new pattern, the new pattern checking unit may calculate a normal probability for each pattern through Kneser-Ney Smoothing, The at least one pattern may be determined as a normal pattern.

일실시예에 따른 무선 트래픽의 패턴 분석 장치는 정상 모델로부터 패턴들을 분류하는 분류부, 상기 분류된 패턴들 중에서, 제1 데이터 프레임 다음에 제2 데이터 프레임이 위치하는 빈도를 계산하고, 상기 제1 데이터 프레임 다음에 올 수 있는 모든 데이터 프레임들의 빈도수의 합을 계산하며, 전체 프레임 중에서 상기 제1 프레임이 나올 확률을 계산하는 계산부, 및 상기 계산 결과를 고려하여 특정 임계값 이상인 경우 상기 적어도 하나 이상의 패턴을 정상 패턴으로 판단하여 정상 모델에 추가하여 개선시키는 개선부를 포함한다.The apparatus for analyzing a pattern of wireless traffic according to an exemplary embodiment includes a classifier for classifying patterns from a normal model, a frequency calculating unit calculating a frequency at which a second data frame is located after a first data frame among the classified patterns, A calculation unit for calculating a sum of the frequencies of all the data frames that can come after the data frame and calculating a probability that the first frame will come out of all the frames; The pattern is determined as a normal pattern and added to the normal model to improve the pattern.

일실시예에 따른 무선 트래픽의 패턴 분석 방법은 정상 모델에 N 그램 모델을 적용하여 상기 정상 모델에 존재하는 패턴으로부터 N 그램 테이블을 생성하는 단계, 무선 트래픽을 수신하고, 상기 수신된 무선 트래픽을 적어도 하나 이상의 패턴으로 분류하는 단계, 및 상기 생성된 N 그램 테이블을 참고하여, 상기 적어도 하나 이상의 패턴에 대한 정상 여부를 판단하는 단계를 포함할 수 있다.A method of analyzing a pattern of wireless traffic according to an exemplary embodiment includes generating an N-gram table from a pattern existing in the normal model by applying an N-gram model to a normal model, receiving wireless traffic, Classifying the at least one pattern into one or more patterns, and referring to the generated N-gram table, determining whether the at least one pattern is normal.

일실시예에 따른 상기 정상 여부를 판단하는 단계는, 크네세르-네이 스무딩(Kneser-Ney Smoothing)을 통해 상기 각 패턴에 대한 확률을 계산하는 단계를 포함할 수 있다.The step of determining the normal state according to an exemplary embodiment may include calculating a probability for each pattern through Kneser-Ney Smoothing.

일실시예에 따른 상기 각 패턴에 대한 확률을 계산하는 단계는, 상기 적어도 하나 이상의 패턴이 새로운 패턴인 경우, 크네세르-네이 스무딩(Kneser-Ney Smoothing)을 통해 상기 각 패턴에 대해 정상일 확률을 계산한 후, 특정 임계값 이상인 경우 상기 적어도 하나 이상의 패턴을 정상 패턴으로 판단하는 단계를 포함할 수 있다.The calculating of the probability for each pattern according to an exemplary embodiment may include computing a probability of normal occurrence for each pattern through Kneser-Ney Smoothing when the at least one pattern is a new pattern And determining the at least one pattern as a normal pattern if the pattern is greater than or equal to a specific threshold value.

일실시예에 따른 상기 적어도 하나 이상의 패턴에 대한 정상 여부를 판단하는 단계는, 상기 분류된 패턴에서, 제1 데이터 프레임 다음에 제2 데이터 프레임이 위치하는 빈도를 고려하여 정상 여부를 판단하는 단계를 포함할 수 있다.The determining whether the at least one pattern is normal may include determining whether the second data frame is normal in consideration of the frequency of the second data frame positioned after the first data frame in the classified pattern, .

일실시예에 따른 상기 적어도 하나 이상의 패턴에 대한 정상 여부를 판단하는 단계는, 상기 분류된 패턴에서, 특정 데이터 프레임 다음에 올 수 있는 모든 데이터 프레임들의 빈도수의 합을 고려하여 정상 여부를 판단하는 단계를 포함할 수 있다.The step of determining whether or not the at least one pattern is normal may include determining whether the pattern is normal considering the sum of frequency bands of all data frames following a specific data frame in the classified pattern . ≪ / RTI >

일실시예에 따른 상기 적어도 하나 이상의 패턴에 대한 정상 여부를 판단하는 단계는, 상기 분류된 패턴에서, 전체 프레임 중 특정 데이터 프레임이 나올 확률을 고려하여 정상 여부를 판단하는 단계를 포함할 수 있다.The step of determining whether the at least one pattern is normal may include determining whether the pattern is normal in consideration of a probability that a specific data frame occurs in all the frames in the classified pattern.

실시예들에 따르면, 무선 LAN 환경에서 새로운 패턴의 정상 여부를 판단하기 위해 무선 침입 탐지 시스템의 원천 기술로 활용될 수 있다.According to the embodiments, it can be utilized as a source technology of a wireless intrusion detection system to determine whether a new pattern is normal in a wireless LAN environment.

실시예들에 따르면, 무선 랜 환경에서 발생할 수 있는 새로운 무선 트래픽 패턴의 정상 여부를 탐지할 수 있다.According to embodiments, it is possible to detect whether a new wireless traffic pattern that may occur in a wireless LAN environment is normal.

실시예들에 따르면, 정상적인 트래픽임에도 불구하고 비정상적인 트래픽으로 분류될 확률을 줄일 수 있다.According to the embodiments, it is possible to reduce the probability of being classified as abnormal traffic despite normal traffic.

도 1은 일실시예에 따른 무선 트래픽 패턴 분석 장치를 설명하는 도면이다.
도 2는 일실시예에 따른 무선 트래픽 패턴을 설명하는 도면이다.
도 3은 일실시예에 따른 무선 트래픽 패턴 분석 장치를 설명하는 도면이다.
도 4는 일실시예에 따른 무선 트래픽 패턴 분석 방법을 설명하는 도면이다.1 is a diagram illustrating an apparatus for analyzing a wireless traffic pattern according to an exemplary embodiment of the present invention.
2 is a diagram illustrating a wireless traffic pattern according to an embodiment.
3 is a view for explaining a wireless traffic pattern analyzing apparatus according to an embodiment.
4 is a view for explaining a method of analyzing a wireless traffic pattern according to an embodiment.

이하에서, 실시예들을 첨부된 도면을 참조하여 상세하게 설명한다. 그러나, 이러한 실시예들에 의해 권리범위가 제한되거나 한정되는 것은 아니다. 각 도면에 제시된 동일한 참조 부호는 동일한 부재를 나타낸다.Hereinafter, embodiments will be described in detail with reference to the accompanying drawings. However, the scope of the rights is not limited or limited by these embodiments. Like reference symbols in the drawings denote like elements.

아래 설명에서 사용되는 용어는, 연관되는 기술 분야에서 일반적이고 보편적인 것으로 선택되었으나, 기술의 발달 및/또는 변화, 관례, 기술자의 선호 등에 따라 다른 용어가 있을 수 있다. 따라서, 아래 설명에서 사용되는 용어는 기술적 사상을 한정하는 것으로 이해되어서는 안 되며, 실시예들을 설명하기 위한 예시적 용어로 이해되어야 한다.The terms used in the following description are chosen to be generic and universal in the art to which they are related, but other terms may exist depending on the development and / or change in technology, customs, preferences of the technician, and the like. Accordingly, the terminology used in the following description should not be construed as limiting the technical thought, but should be understood in the exemplary language used to describe the embodiments.

또한 특정한 경우는 출원인이 임의로 선정한 용어도 있으며, 이 경우 해당되는 설명 부분에서 상세한 그 의미를 기재할 것이다. 따라서 아래 설명에서 사용되는 용어는 단순한 용어의 명칭이 아닌 그 용어가 가지는 의미와 명세서 전반에 걸친 내용을 토대로 이해되어야 한다.Also, in certain cases, there may be a term chosen arbitrarily by the applicant, in which case the meaning of the detailed description in the corresponding description section. Therefore, the term used in the following description should be understood based on the meaning of the term, not the name of a simple term, and the contents throughout the specification.

도 1은 일실시예에 따른 무선 트래픽 패턴 분석 장치(100)를 설명하는 도면이다.1 is a diagram illustrating an apparatus 100 for analyzing a wireless traffic pattern according to an exemplary embodiment of the present invention.

일실시예에 따른 무선 트래픽 패턴 분석 장치(100)는 무선 LAN 환경에서 발생할 수 있는 새로운 무선 트래픽 패턴의 정상 여부를 탐지하기 위해 패턴을 분석하여 확률적으로 해당 패턴이 정상 패턴인지 잠재적인 공격이 가능한 패턴인지 판단할 수 있다. The apparatus 100 for analyzing a wireless traffic pattern according to an exemplary embodiment analyzes a pattern to detect whether a new wireless traffic pattern that may occur in a wireless LAN environment is probable and determines whether the pattern is a normal pattern or a potential attack It can be determined whether the pattern is a pattern.

이를 위해, 일실시예에 따른 무선 트래픽 패턴 분석 장치(100)는 수신부(110) 및 새로운 패턴 검사부 (120)를 포함할 수 있다.For this, the wireless traffic pattern analyzing apparatus 100 according to an exemplary embodiment may include a receiving unit 110 and a new pattern checking unit 120.

먼저, 일실시예에 따른 수신부(110)는 무선 트래픽을 수신하고, 수신된 무선 트래픽을 적어도 하나 이상의 패턴으로 분류할 수 있다. 일실시예에 따른 수신부(110)는 세션 제너레이터(111), 패턴 제너레이터(112), 및 패턴 카운터(113)을 이용해서 캡쳐된 프레임으로부터의 IEEE 802.11의 특징들이 포함된 프레임들을 적어도 하나 이상의 패턴으로 분류할 수 있다.First, the receiving unit 110 according to an exemplary embodiment may receive wireless traffic and classify the received wireless traffic into at least one pattern. The receiving unit 110 according to an embodiment may use frames of the features of IEEE 802.11 from the frame captured using the session generator 111, the pattern generator 112, and the pattern counter 113 as at least one pattern Can be classified.

다음으로, 일실시예에 따른 새로운 패턴 검사부 (120)는 트레이닝 기간 동안에 정상 모델로부터 생성된 N 그램 테이블을 참고하여, 적어도 하나 이상의 패턴에 대한 정상 여부를 판단할 수 있다.Next, the new pattern checking unit 120 may determine whether at least one pattern is normal by referring to the N-gram table generated from the normal model during the training period.

일실시예에 따른 새로운 패턴 검사부 (120)는 분류된 패턴에서, 제1 데이터 프레임 다음에 제2 데이터 프레임이 위치하는 빈도를 고려하여 정상 여부를 판단할 수 있다. 또한, 일실시예에 따른 새로운 패턴 검사부 (120)는 분류된 패턴에서, 특정 데이터 프레임 다음에 올 수 있는 모든 데이터 프레임들의 빈도수의 합을 고려하여 정상 여부를 판단할 수도 있다. 또한, 일실시예에 따른 새로운 패턴 검사부 (120)는 분류된 패턴에서, 전체 프레임 중 특정 데이터 프레임이 나올 확률을 고려하여 정상 여부를 판단할 수 있다. 또한, 일실시예에 따른 새로운 패턴 검사부 (120)는 적어도 하나 이상의 패턴이 새로운 패턴인 경우, 크네세르-네이 스무딩(Kneser-Ney Smoothing)을 통해 상기 각 패턴에 대해 정상일 확률을 계산한 후, 특정 임계값 이상인 경우 상기 적어도 하나 이상의 패턴을 정상 패턴으로 판단할 수 있다.The new pattern checking unit 120 may determine whether the second data frame is normal in consideration of the frequency with which the second data frame is located after the first data frame in the classified pattern. In addition, the new pattern checking unit 120 may determine whether the new pattern is normal in consideration of the sum of the frequencies of all the data frames that come after the specific data frame in the classified pattern. In addition, the new pattern checker 120 according to an exemplary embodiment may determine whether the specific pattern is normal in consideration of the probability that a specific data frame will appear in all the frames in the classified pattern. In addition, if at least one pattern is a new pattern, the new pattern checker 120 calculates a normal probability for each pattern through Kneser-Ney Smoothing, If it is greater than or equal to the threshold value, the at least one pattern may be determined as a normal pattern.

기존 무선 침입 탐지 시스템은 트레이닝 단계에서 대량의 무선 트래픽을 수집하여 정상 모델을 만들고, 새로운 무선 트래픽이 감지되면 기존에 만들어진 정상 모델과 비교하여 정상모델에 없는 트래픽일 경우 이를 비정상적인 트래픽으로 판단하는 방식이다. 그러나 일실시예에 따른 무선 트래픽 패턴 분석 장치(100)는 트레이닝 단계 동안 정상 모델과 더불어 정상 무선 트래픽 패턴들의 N-Gram 테이블을 생성하여 이를 바탕으로 새로운 무선 트래픽 패턴이 감지되었을 때 FPR 값을 낮추기 위한 발명이다.The existing wireless intrusion detection system collects a large amount of wireless traffic at the training stage and creates a normal model. When new wireless traffic is detected, it is judged as abnormal traffic when the traffic is not in the normal model as compared with the normal model . However, the wireless traffic pattern analyzing apparatus 100 according to an exemplary embodiment generates an N-Gram table of normal wireless traffic patterns along with a normal model during a training step, Invention.

이를 위해, 일실시예에 따른 무선 트래픽 패턴 분석 장치(100)는 정상 모델에 N 그램 모델을 적용하여 정상 모델로부터 N 그램 테이블을 생성하는 N-그램 테이블 생성부(150)를 더 포함할 수 있다.To this end, the wireless traffic pattern analyzing apparatus 100 according to an exemplary embodiment may further include an N-gram table generating unit 150 for generating an N-gram table from a normal model by applying an N-gram model to a normal model .

무선 트래픽은 프레임으로 구성되는데, 프레임의 흐름은 일반적으로 패턴을 가지고 있다. Radio traffic consists of frames, which typically have a pattern of flow.

무선 트래픽은 이하 도 2를 통해 보다 상세히 설명한다.The wireless traffic is described in more detail below with reference to FIG.

도 2는 일실시예에 따른 무선 트래픽 패턴을 설명하는 도면이다.2 is a diagram illustrating a wireless traffic pattern according to an embodiment.

도면부호 210에서 사각형 하나는 무선 프레임 하나를 뜻하며, 사각형 안의 내용은 프레임의 타입을 뜻한다. 예를 들면 인증(Auth) 프레임, 인증(Auth) 프레임, 연결요청(AssoReq) 프레임, 연결응답(AssoRes) 프레임, 데이터(Data) 프레임, 데이터(Data) 프레임, 인증해제(DeAuth) 프레임 등으로 흐름을 갖는다.At 210, one rectangle represents one wireless frame, and the content within a rectangle represents the type of frame. For example, an Auth frame, an Auth frame, a connection request (AssoReq) frame, a connection response (AssoRes) frame, a data frame, a data frame and a DeAuth frame Respectively.

무선 트래픽을 수집하였다고 가정할 때 순차적인 프레임의 패턴 구성은 도면부호 220과 같다.Assuming that the wireless traffic is collected, the pattern configuration of the sequential frame is the same as that of the reference numeral 220.

패턴 길이를 4라고 하면, 4개의 프레임을 가지고 하나의 패턴을 만들 수 있다. 따라서 첫 번째 패턴(221)은 [Auth, Auth, AssoReq, AssoRes] 가 되며, 두 번째 패턴은 첫 번째 프레임 바로 다음 프레임부터 시작하여 4개의 프레임으로 두 번째 패턴을 만들 수 있다. 즉 두 번째 패턴(222)은 [Auth, AssoReq, AssoRes, Data] 이다. 같은 방법으로 수집된 마지막 프레임까지 패턴을 구성하면, 총 7개의 패턴이 구성될 수 있다. If the pattern length is 4, one pattern can be made with four frames. Therefore, the first pattern 221 becomes [Auth, Auth, AssoReq, AssoRes], and the second pattern can make a second pattern with four frames starting from the frame immediately after the first frame. That is, the second pattern 222 is [Auth, AssoReq, AssoRes, Data]. If a pattern is constructed up to the last frame collected in the same manner, a total of 7 patterns can be constructed.

수신부(110)는 위에서 설명한 방법으로 트레이닝 기간 동안 만들어진 패턴을 모두 모아놓은 것을 정상적인 패턴으로 간주하여 정상 모델(Normal Model)이라고 정의할 수 있다. 또한, 정의된 정상 모델은 데이터베이스(140)에 기록 및 유지될 수 있다.The receiving unit 110 may define a collection of all the patterns created during the training period in the above-described manner as a normal pattern and define the normal model. In addition, the defined normal model may be recorded and maintained in the database 140.

일실시예에 따른 무선 트래픽 패턴 분석 장치(100)는 정상 모델이 만들어지면 트레이닝 단계를 끝내고, 공격 트래픽 검출부(130)에서 검출 단계를 수행할 수 있다. 이 단계에서는 실시간으로 수집된 트래픽에 대해 구성된 패턴을 정상 모델에 존재하는 패턴들과 비교할 수 있다.The wireless traffic pattern analyzing apparatus 100 according to an exemplary embodiment may end the training step when the normal model is created, and may perform the detecting step in the attack traffic detecting unit 130. [ In this step, the patterns configured for the traffic collected in real time can be compared with the patterns existing in the normal model.

일실시예에 따른 무선 트래픽 패턴 분석 장치(100)는 트레이닝 단계에서 만들어진 정상 모델을 바탕으로 생성된 N-그램 테이블을 참조하여 패턴의 정상 여부를 판단하기 때문에, 정상 모델에 존재하지 않는 새로운 패턴이 발견되면 정상일 수도 있는 패턴을 비정상 패턴으로 간주하는 비율을 낮출 수 있다.Since the wireless traffic pattern analyzing apparatus 100 according to an exemplary embodiment determines whether the pattern is normal by referring to the N-gram table generated based on the normal model created in the training step, a new pattern that does not exist in the normal model If it is found, it is possible to lower the rate at which a pattern that may be normal is regarded as an abnormal pattern.

이러한 정상을 비정상으로 간주하는 비율을 오류양성률(False Positive Rate)이라고 한다. 기존의 오류양성률(False Positive Rate) 값을 감소시키기 위해 자연어처리 분야(음성인식, 기계 번역 등)에서 사용되는 기법인 N 그램 모델을 활용할 수 있다.The rate at which this normal is regarded as abnormal is called the false positive rate. In order to reduce the false positive rate, we can use the N-gram model, which is a technique used in natural language processing (speech recognition, machine translation, etc.).

다시 도 1을 참고하면, 새로운 패턴 검사부(120)는 N 그램 모델을 활용하여 비정상 패턴을 검출할 수 있다.Referring again to FIG. 1, the new pattern checker 120 can detect an abnormal pattern using an N-gram model.

구체적으로, N 그램은 i번째에 어떠한 사건이 일어날 확률을 이전의 i-1, i-2, … ,i-N+1번째 사건을 바탕으로 조건부 확률 값을 구하는 방법으로서, N=2일 경우 i-1번째 사건을 바탕으로 i번째 사건의 확률을 구하는 것을 뜻하며, N=3일 경우 i-1, i-2 번째 사건을 바탕으로 i번째 사건의 확률을 구하는 것을 뜻한다.Specifically, the N-gram gives the probability that an event occurs at the i-th time from the previous i-1, i-2, ... , i-1 + 1, i = 1, i = 1, i = 1, 2, , and the probability of the ith event based on the i-2th event.

N 그램 테이블 생성부(150)는 이러한 N 그램 모델을 적용시켜 트레이닝 단계에서 N 그램 테이블을 생성할 수 있다.The N-gram table generation unit 150 may apply the N-gram model to generate the N-gram table at the training step.

또한, 새로운 패턴 검사부 (120)는 검출 단계에서 N 그램 테이블을 기반으로 새로운 패턴에 대해 정상일 확률 값을 구할 수 있다. 먼저 N 그램 테이블 생성 과정에 대해 설명하자면, 도 2의 무선 트래픽(210)을 참고할 수 있다.In addition, the new pattern checking unit 120 can calculate a normal probability value for a new pattern based on the N-gram table in the detecting step. First, referring to the process of generating the N-gram table, the wireless traffic 210 of FIG. 2 can be referred to.

N 그램 테이블 생성부(150)는 트레이닝 단계에서 정상 모델이 생성된 후에 정상 모델에 존재하는 패턴을 기반으로 N 그램 테이블을 생성할 수 있다. The N-gram table generating unit 150 may generate an N-gram table based on a pattern existing in the normal model after the normal model is generated in the training step.

N=2 일 경우에는 이전 프레임 하나만 참고하기 때문에 첫번째 패턴 [Auth, Auth, AssoReq, AssoRes]에 대해 만들어지는 2-그램은 (Auth, Auth), (Auth, AssoReq), (AssoReq, AssoRes) 이다.The two grams created for the first pattern [Auth, Auth, AssoReq, AssoRes] are (Auth, Auth), (Auth, AssoReq), (AssoReq, AssoRes) because N =

따라서 첫 번째 패턴에 대해 만들어지는 2-그램 테이블은 [표 1]과 같다.Therefore, the 2-gram table created for the first pattern is shown in [Table 1].

[표 1]에서 테이블 안의 숫자는 패턴이 발견된 수를 의미한다.In Table 1, the numbers in the table indicate the number of patterns found.

2nd프레임
1st 프레임2 nd frame
1 st frame AuthAuth AssoReqAssoReq AssoResAssoRes DataData DeAuthDeAuth AuthAuth 1One 1One 00 00 00 AssoReqAssoReq 00 00 1One 00 00 AssoResAssoRes 00 00 00 00 00 DataData 00 00 00 00 00 DeAuthDeAuth 00 00 00 00 00

두번째 패턴의 경우 [Auth, AssoReq, AssoRes, Data]이므로 만들어지는 2-gram은 (Auth, AssoReq), (AssoReq, AssoRes), (AssoRes, Data) 이며, 2-그램 테이블은 [표 2]와 같이 업데이트 된다.2-grams (Auth, AssoReq), (AssoReq, AssoRes), (AssoRes, Data) are generated for the second pattern [Auth, AssoReq, AssoRes, Data] Updated.

2nd프레임
1st 프레임2 nd frame
1 st frame AuthAuth AssoReqAssoReq AssoResAssoRes DataData DeAuthDeAuth AuthAuth 1One 22 00 00 00 AssoReqAssoReq 00 00 22 00 00 AssoResAssoRes 00 00 00 1One 00 DataData 00 00 00 00 00 DeAuthDeAuth 00 00 00 00 00

같은 방법으로 모든 패턴에 대해 만들어지는 2-그램 테이블은 [표 3]과 같다.The 2-gram table created for all patterns in the same way is shown in [Table 3].

2nd프레임
1st 프레임2 nd frame
1 st frame AuthAuth AssoReqAssoReq AssoResAssoRes DataData DeAuthDeAuth AuthAuth 1One 44 00 00 00 AssoReqAssoReq 00 00 44 00 00 AssoResAssoRes 00 00 00 33 00 DataData 00 00 00 33 33 DeAuthDeAuth 33 00 00 00 00

새로운 패턴 검사부(120)는 검출 과정에서 N 그램 테이블을 기반으로 기반으로 새로운 패턴에 대한 확률을 계산할 수 있다.The new pattern checker 120 can calculate the probability of a new pattern based on the N-gram table in the detecting process.

새로운 패턴 검사부(120)는 위에서 설명한 방법대로 N 그램 테이블이 생성되면 검출 단계에서 테이블을 기반으로 새로운 패턴에 대해 정상 패턴일 확률 값을 구한다. 이를 설명하기 위해 [표 4]의 새로운 2-그램 테이블로 예를 들어 설명한다.When the N-gram table is generated according to the above-described method, the new pattern checking unit 120 obtains a probability value of a normal pattern for a new pattern based on the table at the detecting step. To illustrate this, a new 2-gram table in [Table 4] will be described as an example.

2nd프레임
1st 프레임2 nd frame
1 st frame AuthAuth AssoReqAssoReq AssoResAssoRes DataData DeAuthDeAuth AuthAuth 33 44 66 1111 22 AssoReqAssoReq 1212 33 1One 22 1One AssoResAssoRes 1One 1One 1One 55 99 DataData 77 00 00 2424 33 DeAuthDeAuth 33 1One 44 22 1One

정상 모델에 존재하지 않는 새로운 패턴 [Data, Data, Data, Deauth]가 관찰되었다고 가정해보면, 새로운 패턴 검사부(120)는

Figure pat00001
Figure pat00002
의 확률을 구할 수 있다. 만약, N=2일 경우에는 새로운 패턴 검사부(120)는 이전의 프레임만 고려하여 [수학식 1]과 같이 조건부 확률들을 곱하여 전체 확률을 구할 수 있다.Assuming that a new pattern [Data, Data, Data, Deauth] that is not present in the normal model is observed, the new pattern checking unit 120
Figure pat00001
Figure pat00002
Can be obtained. If N = 2, the new pattern checker 120 can calculate the entire probability by multiplying the conditional probabilities as in Equation (1) only considering the previous frame.

[수학식 1][Equation 1]

Figure pat00003
Figure pat00003

새로운 패턴 검사부(120)는 크네세르-네이 스무딩(Kneser-Ney Smoothing)을 통해 상기 각 패턴에 대한 확률을 계산할 수 있다.The new pattern checker 120 may calculate the probability for each of the patterns through Knesser-Ney Smoothing.

크네세르-네이 스무딩(Kneser-Ney Smoothing)은 [수학식 2]와 같다.The Knesser-Ney Smoothing is expressed by Equation (2).

[수학식 2]&Quot; (2) "

Figure pat00004
Figure pat00004

따라서

Figure pat00005
Figure pat00006
는 [수학식 3]과 같이 계산된다.therefore
Figure pat00005
Figure pat00006
Is calculated as shown in Equation (3).

[수학식 3]&Quot; (3) "

Figure pat00007
Figure pat00007

[수학식 3]에서

Figure pat00008
Figure pat00009
는 테이블에서 데이터 프레임 다음에 데이터 프레임이 오는 빈도를 뜻하므로, 예시 테이블을 보면 24이다. 또한,
Figure pat00010
Figure pat00011
Figure pat00012
Figure pat00013
값에 따라 정해지는 디스카운팅(Discounting) 값이며,
Figure pat00014
Figure pat00015
는 상수이다. 또한,
Figure pat00016
Figure pat00017
는 Data 프레임 다음에 올 수 있는 모든 프레임들의 빈도수의 합이므로, 34이다. 또한,
Figure pat00018
Figure pat00019
는 전체 프레임 중 Data 프레임이 나올 확률이다. In Equation (3)
Figure pat00008
Figure pat00009
Means the frequency with which the data frame follows the data frame in the table, so the example table shows 24. Also,
Figure pat00010
Figure pat00011
The
Figure pat00012
Figure pat00013
Is a discounting value determined according to a value,
Figure pat00014
Figure pat00015
Is a constant. Also,
Figure pat00016
Figure pat00017
Is the sum of the frequencies of all frames that can come after the data frame, so it is 34. Also,
Figure pat00018
Figure pat00019
Is the probability of a Data frame coming out of the whole frame.

Figure pat00020
Figure pat00021
도 같은 수식을 통해 확률 값을 계산해서 각각의 확률 값을 구한 뒤에 이를 다 곱해서
Figure pat00022
Figure pat00023
값을 구할 수 있다.
Figure pat00020
Figure pat00021
The probability values are calculated by the same formula, and each probability value is obtained and then multiplied by
Figure pat00022
Figure pat00023
Value can be obtained.

결국, 새로운 패턴 검사부(120)는 구해진 값이 일정 기준치(threshold) 값보다 크면, [Data, Data, Data, DeAuth] 패턴이 정상일 확률이 높다고 판단하여 정상 패턴으로 간주할 수 있다.As a result, if the obtained value is larger than a predetermined threshold value, the new pattern checker 120 determines that the probability of the [Data, Data, Data, DeAuth] pattern is high and can regard it as a normal pattern.

도 3은 일실시예에 따른 무선 트래픽 패턴 분석 장치(300)를 설명하는 도면이다.3 is a diagram illustrating an apparatus 300 for analyzing a wireless traffic pattern according to an exemplary embodiment of the present invention.

일실시예에 따른 무선 트래픽 패턴 분석 장치(300)는 분류부(310), 계산부(320), 및 개선부(330)를 포함할 수 있다.The wireless traffic pattern analyzing apparatus 300 according to an exemplary embodiment may include a classifying unit 310, a calculating unit 320, and an improving unit 330.

일실시예에 따른 분류부(310)는 정상 모델로부터 패턴들을 분류할 수 있다.The classifier 310 according to one embodiment may classify patterns from a normal model.

일실시예에 따른 계산부(320)는 분류된 패턴들 중에서, 제1 데이터 프레임 다음에 제2 데이터 프레임이 위치하는 빈도를 계산하고, 상기 제1 데이터 프레임 다음에 올 수 있는 모든 데이터 프레임들의 빈도수의 합을 계산하며, 전체 프레임 중에서 상기 제1 프레임이 나올 확률을 계산할 수 있다.The calculation unit 320 calculates the frequency of the second data frame after the first data frame among the classified patterns and calculates the frequency of all the data frames that can come after the first data frame And calculate the probability that the first frame will come out of all the frames.

일실시예에 따른 개선부(330)는 계산 결과를 고려하여 패턴의 확률 값이 특정 임계값 이상인 경우 정상 패턴으로 판단하여 정상 모델에 추가하여 정상 모델을 개선시킬 수 있다.The improvement unit 330 according to an exemplary embodiment may determine a normal pattern when the probability value of the pattern is greater than or equal to a specific threshold considering the calculation result, and may improve the normal model by adding the model to the normal model.

결국, 본 발명을 이용하면, 무선 LAN 환경에서 새로운 패턴의 정상 여부를 판단하기 위해 무선 침입 탐지 시스템의 원천 기술로 활용될 수 있다. 또한, 실시예들에 따르면, 무선 랜 환경에서 발생할 수 있는 새로운 무선 트래픽 패턴의 정상 여부를 탐지할 수 있고, 정상적인 트래픽임에도 불구하고 비정상적인 트래픽으로 분류될 확률을 줄일 수 있다.As a result, the present invention can be utilized as a source technology of a wireless intrusion detection system to determine whether a new pattern is normal in a wireless LAN environment. In addition, according to the embodiments, it is possible to detect whether a new wireless traffic pattern that may occur in a wireless LAN environment is normal, and to reduce the probability of being classified as abnormal traffic despite normal traffic.

도 4는 일실시예에 따른 무선 트래픽 패턴 분석 방법을 설명하는 도면이다.4 is a view for explaining a method of analyzing a wireless traffic pattern according to an embodiment.

본 발명은 트레이닝 단계 동안 정상 모델과 더불어 정상 무선 트래픽 패턴들의 N 그램 테이블을 생성하여 이를 바탕으로 새로운 무선 트래픽 패턴이 감지되었을 때 정상 패턴인지 비정상 패턴인지 판단하여 기존보다 오류양성률(False Positive Rate) 값을 낮추기 위한 발명이다.The present invention generates an N-gram table of normal wireless traffic patterns in addition to a normal model during a training step, and determines whether a new pattern is detected as a normal pattern or an abnormal pattern based on the generated N-gram table. . ≪ / RTI >

이를 위해, 일실시예에 따른 무선 트래픽 패턴 분석 방법은 정상 모델에 N 그램 모델을 적용하여 정상 모델에 존재하는 패턴으로부터 N 그램 테이블을 생성할 수 있다(단계 401). 일실시예에 따른 무선 트래픽 패턴 분석 방법은 각 패턴에 대한 확률을 계산하기 위해, 크네세르-네이 스무딩(Kneser-Ney Smoothing)을 통해 상기 각 패턴에 대한 확률을 계산할 수 있다.To this end, the wireless traffic pattern analysis method according to an exemplary embodiment may generate an N-gram table from patterns existing in a normal model by applying an N-gram model to a normal model (step 401). A method for analyzing a wireless traffic pattern according to an exemplary embodiment may calculate a probability for each of the patterns through Kneser-Ney Smoothing to calculate a probability for each pattern.

일실시예에 따른 무선 트래픽 패턴 분석 방법은 무선 트래픽을 수신하고, 상기 수신된 무선 트래픽을 적어도 하나 이상의 패턴으로 분류할 수 있다(단계 402).A method for analyzing a wireless traffic pattern according to an exemplary embodiment may receive wireless traffic and classify the received wireless traffic into at least one pattern (step 402).

일실시예에 따른 무선 트래픽 패턴 분석 방법은 생성된 N 그램 테이블을 참고하여, 상기 적어도 하나 이상의 패턴에 대한 정상 여부를 판단할 수 있다(단계 403).The method of analyzing a wireless traffic pattern according to an exemplary embodiment may determine whether the at least one pattern is normal by referring to the generated N-gram table (step 403).

예를 들어, 일실시예에 따른 무선 트래픽 패턴 분석 방법은 적어도 하나 이상의 패턴에 대한 정상 여부를 판단하기 위해, 분류된 패턴에서 제1 데이터 프레임 다음에 제2 데이터 프레임이 위치하는 빈도를 고려하여 정상 여부를 판단할 수 있다. 또한, 분류된 패턴에서, 특정 데이터 프레임 다음에 올 수 있는 모든 데이터 프레임들의 빈도수의 합을 고려하여 정상 여부를 판단할 수 있고, 분류된 패턴에서, 전체 프레임 중 특정 데이터 프레임이 나올 확률을 고려하여 정상 여부를 판단할 수 있다. 뿐만 아니라, 적어도 하나 이상의 패턴이 새로운 패턴인 경우, 크네세르-네이 스무딩(Kneser-Ney Smoothing)을 통해 상기 각 패턴에 대해 정상일 확률을 계산한 후, 특정 임계값 이상인 경우 상기 적어도 하나 이상의 패턴을 정상 패턴으로 판단할 수 있다.For example, in order to determine whether a pattern is normal for at least one pattern, a method for analyzing a wireless traffic pattern according to an exemplary embodiment may include determining whether a second data frame is located after a first data frame, Can be determined. In addition, it is possible to determine whether the data is normal in consideration of the sum of the frequencies of all the data frames that come after the specific data frame in the classified pattern, and in consideration of the probability that a specific data frame of all the frames occurs in the classified pattern It can be judged whether or not it is normal. In addition, if at least one pattern is a new pattern, the normal probability is calculated for each pattern through Kneser-Ney Smoothing, and if the pattern is at least a specific threshold value, It can be judged by a pattern.

이러한 과정을 통해, 일실시예에 따른 무선 트래픽 패턴 분석 방법을 이용하면, 무선 LAN 환경에서 새로운 패턴의 정상 여부를 판단하기 위해 무선 침입 탐지 시스템의 원천 기술로 활용될 수 있다. 또한, 실시예들에 따르면, 무선 랜 환경에서 발생할 수 있는 새로운 무선 트래픽 패턴의 정상 여부를 탐지할 수 있고, 정상적인 트래픽임에도 불구하고 비정상적인 트래픽으로 분류될 확률을 줄일 수 있다.Through this process, using the wireless traffic pattern analysis method according to an embodiment, it can be utilized as a source technology of a wireless intrusion detection system to determine whether a new pattern is normal in a wireless LAN environment. In addition, according to the embodiments, it is possible to detect whether a new wireless traffic pattern that may occur in a wireless LAN environment is normal, and to reduce the probability of being classified as abnormal traffic despite normal traffic.

본 발명의 일실시예에 따른 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 본 발명의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.The method according to an embodiment of the present invention can be implemented in the form of a program command which can be executed through various computer means and recorded in a computer-readable medium. The computer-readable medium may include program instructions, data files, data structures, and the like, alone or in combination. The program instructions recorded on the medium may be those specially designed and constructed for the present invention or may be available to those skilled in the art of computer software. Examples of computer-readable media include magnetic media such as hard disks, floppy disks and magnetic tape; optical media such as CD-ROMs and DVDs; magnetic media such as floppy disks; Magneto-optical media, and hardware devices specifically configured to store and execute program instructions such as ROM, RAM, flash memory, and the like. Examples of program instructions include machine language code such as those produced by a compiler, as well as high-level language code that can be executed by a computer using an interpreter or the like. The hardware devices described above may be configured to operate as one or more software modules to perform the operations of the present invention, and vice versa.

이상과 같이 본 발명은 비록 한정된 실시예와 도면에 의해 설명되었으나, 본 발명은 상기의 실시예에 한정되는 것은 아니며, 본 발명이 속하는 분야에서 통상의 지식을 가진 자라면 이러한 기재로부터 다양한 수정 및 변형이 가능하다.While the invention has been shown and described with reference to certain preferred embodiments thereof, it will be understood by those of ordinary skill in the art that various changes in form and details may be made therein without departing from the spirit and scope of the invention as defined by the appended claims. This is possible.

그러므로, 본 발명의 범위는 설명된 실시예에 국한되어 정해져서는 아니 되며, 후술하는 특허청구범위뿐 아니라 이 특허청구범위와 균등한 것들에 의해 정해져야 한다.Therefore, the scope of the present invention should not be limited to the described embodiments, but should be determined by the equivalents of the claims, as well as the claims.

Claims (14)

무선 트래픽을 수신하고, 상기 수신된 무선 트래픽을 적어도 하나 이상의 패턴으로 분류하는 수신부; 및
트레이닝 기간 동안에 정상 모델로부터 생성된 N 그램 테이블을 참고하여, 상기 적어도 하나 이상의 패턴에 대한 정상 여부를 판단하는 새로운 패턴 검사부
를 포함하는 무선 트래픽의 패턴 분석 장치.
A receiver for receiving wireless traffic and classifying the received wireless traffic into at least one pattern; And
A new pattern checker for determining whether the at least one pattern is normal with reference to an N-gram table generated from a normal model during a training period,
And a pattern analyzer for analyzing the pattern of the wireless traffic.
제1항에 있어서,
상기 정상 모델에 N 그램 모델을 적용하여 상기 정상 모델에 존재하는 패턴으로부터 상기 N 그램 테이블을 생성하는 N-그램 테이블 생성부
를 더 포함하는 무선 트래픽의 패턴 분석 장치.
The method according to claim 1,
An N-gram table generating unit for applying the N-gram model to the normal model to generate the N-gram table from patterns existing in the normal model,
Further comprising: a pattern analyzer for analyzing the pattern of the wireless traffic.
제1항에 있어서,
상기 새로운 패턴 검사부는,
크네세르-네이 스무딩(Kneser-Ney Smoothing)을 통해 상기 각 패턴에 대한 확률을 계산하는 무선 트래픽의 패턴 분석 장치.
The method according to claim 1,
The new pattern checking unit,
A device for analyzing pattern of wireless traffic that calculates a probability for each of the patterns through Knesser-Ney Smoothing.
제1항에 있어서,
상기 새로운 패턴 검사부는,
상기 분류된 패턴에서, 제1 데이터 프레임 다음에 제2 데이터 프레임이 위치하는 빈도를 고려하여 정상 여부를 판단하는 무선 트래픽의 패턴 분석 장치.
The method according to claim 1,
The new pattern checking unit,
And determines whether the second data frame is normal in consideration of the frequency with which the second data frame is located after the first data frame in the classified pattern.
제1항에 있어서,
상기 새로운 패턴 검사부는,
상기 분류된 패턴에서, 특정 데이터 프레임 다음에 올 수 있는 모든 데이터 프레임들의 빈도수의 합을 고려하여 정상 여부를 판단하는 무선 트래픽의 패턴 분석 장치.
The method according to claim 1,
The new pattern checking unit,
And determines the normal state by considering the sum of the frequencies of all the data frames that come after the specific data frame in the classified pattern.
제1항에 있어서,
상기 새로운 패턴 검사부는,
상기 분류된 패턴에서, 전체 프레임 중 특정 데이터 프레임이 나올 확률을 고려하여 정상 여부를 판단하는 무선 트래픽의 패턴 분석 장치.
The method according to claim 1,
The new pattern checking unit,
And determining whether a specific data frame is normal or not based on a probability that a specific data frame will occur in all the frames in the classified pattern.
제1항에 있어서,
상기 새로운 패턴 검사부는,
상기 적어도 하나 이상의 패턴이 새로운 패턴인 경우, 크네세르-네이 스무딩(Kneser-Ney Smoothing)을 통해 상기 각 패턴에 대해 정상일 확률을 계산한 후, 특정 임계값 이상인 경우 상기 적어도 하나 이상의 패턴을 정상 패턴으로 판단하는 무선 트래픽의 패턴 분석 장치.
The method according to claim 1,
The new pattern checking unit,
If the at least one pattern is a new pattern, the normal probability is calculated for each pattern through Kneser-Ney Smoothing, and if the at least one pattern is a specific threshold or more, A device for pattern analysis of wireless traffic to be determined.
정상 모델로부터 패턴들을 분류하는 분류부;
상기 분류된 패턴들 중에서, 제1 데이터 프레임 다음에 제2 데이터 프레임이 위치하는 빈도를 계산하고, 상기 제1 데이터 프레임 다음에 올 수 있는 모든 데이터 프레임들의 빈도수의 합을 계산하며, 전체 프레임 중에서 상기 제1 프레임이 나올 확률을 계산하는 계산부; 및
상기 계산 결과를 고려하여 패턴의 확률 값이 특정 임계값 이상인 경우 정상 패턴으로 판단하여 정상 모델에 추가하여 정상 모델을 개선시키는 개선부
를 포함하는 것을 특징으로 하는 무선트래픽의 패턴 분석 장치
A classifier for classifying patterns from a normal model;
Calculating a frequency at which a second data frame is located after the first data frame among the classified patterns and calculating a sum of frequency bands of all data frames that can come after the first data frame, A calculation unit for calculating a probability that a first frame is generated; And
And an improvement unit for determining a normal pattern when the probability value of the pattern is greater than or equal to a certain threshold value and adding the normal pattern to the normal model in consideration of the calculation result,
Wherein the wireless traffic pattern analyzer
정상 모델에 N 그램 모델을 적용하여 상기 정상 모델에 존재하는 패턴으로부터 상기 N 그램 테이블을 생성하는 단계;
무선 트래픽을 수신하고, 상기 수신된 무선 트래픽을 적어도 하나 이상의 패턴으로 분류하는 단계; 및
상기 생성된 N 그램 테이블을 참고하여, 상기 적어도 하나 이상의 패턴에 대한 정상 여부를 판단하는 단계
를 포함하는 무선 트래픽의 패턴 분석 방법.
Applying the N-gram model to the normal model to generate the N-gram table from the pattern existing in the normal model;
Receiving wireless traffic and classifying the received wireless traffic into at least one pattern; And
Determining whether the at least one pattern is normal with reference to the generated N-gram table
The method comprising the steps of:
제9항에 있어서,
상기 정상 여부를 판단하는 단계는,
크네세르-네이 스무딩(Kneser-Ney Smoothing)을 통해 상기 각 패턴에 대한 확률을 계산하는 단계
를 포함하는 무선 트래픽의 패턴 분석 방법.
10. The method of claim 9,
Wherein the step of determining whether the abnormal state is normal includes:
Calculating a probability for each of the patterns through Kneser-Ney Smoothing
The method comprising the steps of:
제10항에 있어서,
상기 각 패턴에 대한 확률을 계산하는 단계는,
상기 적어도 하나 이상의 패턴이 새로운 패턴인 경우, 상기 크네세르-네이 스무딩(Kneser-Ney Smoothing)을 통해 상기 각 패턴에 대해 정상일 확률을 계산한 후, 특정 임계값 이상인 경우 상기 적어도 하나 이상의 패턴을 정상 패턴으로 판단하는 단계
를 포함하는 무선 트래픽의 패턴 분석 방법.
11. The method of claim 10,
Wherein calculating the probability for each pattern comprises:
If the at least one pattern is a new pattern, the normal probability is calculated for each pattern through Kneser-Ney Smoothing, and if the at least one pattern is a specific threshold or more, ≪ / RTI >
The method comprising the steps of:
제9항에 있어서,
상기 적어도 하나 이상의 패턴에 대한 정상 여부를 판단하는 단계는,
상기 분류된 패턴에서, 제1 데이터 프레임 다음에 제2 데이터 프레임이 위치하는 빈도를 고려하여 정상 여부를 판단하는 단계
를 포함하는 무선 트래픽의 패턴 분석 방법.
10. The method of claim 9,
The step of determining whether the at least one pattern is normal may include:
Determining whether the second data frame is normal based on the frequency with which the second data frame is located after the first data frame in the classified pattern;
The method comprising the steps of:
제9항에 있어서,
상기 적어도 하나 이상의 패턴에 대한 정상 여부를 판단하는 단계는,
상기 분류된 패턴에서, 특정 데이터 프레임 다음에 올 수 있는 모든 데이터 프레임들의 빈도수의 합을 고려하여 정상 여부를 판단하는 단계
를 포함하는 무선 트래픽의 패턴 분석 방법.
10. The method of claim 9,
The step of determining whether the at least one pattern is normal may include:
Determining whether the normalized pattern is normal considering the sum of the frequencies of all data frames that can come after a specific data frame in the classified pattern;
The method comprising the steps of:
제9항에 있어서,
상기 적어도 하나 이상의 패턴에 대한 정상 여부를 판단하는 단계는,
상기 분류된 패턴에서, 전체 프레임 중 특정 데이터 프레임이 나올 확률을 고려하여 정상 여부를 판단하는 단계
를 포함하는 무선 트래픽의 패턴 분석 방법.
10. The method of claim 9,
The step of determining whether the at least one pattern is normal may include:
In the classified pattern, it is determined whether or not it is normal considering the probability of a specific data frame coming out of all the frames
The method comprising the steps of:
KR1020160165268A 2016-12-06 2016-12-06 Apparatus and method of analyzing pattern of wireless traffic KR102029184B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020160165268A KR102029184B1 (en) 2016-12-06 2016-12-06 Apparatus and method of analyzing pattern of wireless traffic

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020160165268A KR102029184B1 (en) 2016-12-06 2016-12-06 Apparatus and method of analyzing pattern of wireless traffic

Publications (2)

Publication Number Publication Date
KR20180064859A true KR20180064859A (en) 2018-06-15
KR102029184B1 KR102029184B1 (en) 2019-10-07

Family

ID=62628988

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020160165268A KR102029184B1 (en) 2016-12-06 2016-12-06 Apparatus and method of analyzing pattern of wireless traffic

Country Status (1)

Country Link
KR (1) KR102029184B1 (en)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20020070686A (en) 2001-03-02 2002-09-11 지정아 Method for manufacturmg a drink mainly made from an Agaricus mushroom
KR20070060441A (en) * 2005-12-08 2007-06-13 한국전자통신연구원 Effective intrusion detection device and the method by analyzing traffic patterns
KR20080043643A (en) 2006-11-14 2008-05-19 주식회사 대우일렉트로닉스 Steam boiler
KR20130076268A (en) * 2011-12-28 2013-07-08 한양대학교 산학협력단 Method of providing efficient matching mechanism using index based on n-gram model generation in intrusion detection system
KR101619414B1 (en) * 2015-01-06 2016-05-10 한국인터넷진흥원 System for detecting abnomal behaviors using personalized early use behavior pattern analsis

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20020070686A (en) 2001-03-02 2002-09-11 지정아 Method for manufacturmg a drink mainly made from an Agaricus mushroom
KR20070060441A (en) * 2005-12-08 2007-06-13 한국전자통신연구원 Effective intrusion detection device and the method by analyzing traffic patterns
KR20080043643A (en) 2006-11-14 2008-05-19 주식회사 대우일렉트로닉스 Steam boiler
KR20130076268A (en) * 2011-12-28 2013-07-08 한양대학교 산학협력단 Method of providing efficient matching mechanism using index based on n-gram model generation in intrusion detection system
KR101619414B1 (en) * 2015-01-06 2016-05-10 한국인터넷진흥원 System for detecting abnomal behaviors using personalized early use behavior pattern analsis

Also Published As

Publication number Publication date
KR102029184B1 (en) 2019-10-07

Similar Documents

Publication Publication Date Title
US9769190B2 (en) Methods and apparatus to identify malicious activity in a network
US11003773B1 (en) System and method for automatically generating malware detection rule recommendations
US8751417B2 (en) Trouble pattern creating program and trouble pattern creating apparatus
JP6099556B2 (en) Voice identification method and apparatus
US20170126724A1 (en) Log analyzing device, attack detecting device, attack detection method, and program
US9589560B1 (en) Estimating false rejection rate in a detection system
US20170076739A1 (en) Method and Apparatus for Detecting Audio Signal According to Frequency Domain Energy
US20090138590A1 (en) Apparatus and method for detecting anomalous traffic
US9059951B2 (en) Method and apparatus for spam message detection
US20210027769A1 (en) Voice alignment method and apparatus
US20120090027A1 (en) Apparatus and method for detecting abnormal host based on session monitoring
CN107666468B (en) Network security detection method and device
CN113704328B (en) User behavior big data mining method and system based on artificial intelligence
KR20170057030A (en) Method and apparatus for detecting attaks and generating attack signatures based on signature merging
CN104022879A (en) Voice security verification method and apparatus
CN107426136B (en) Network attack identification method and device
US10972500B2 (en) Detection system, detection apparatus, detection method, and detection program
KR101792204B1 (en) Apparatus and method for analyzing voice phishing pattern based on probability
KR102029184B1 (en) Apparatus and method of analyzing pattern of wireless traffic
US11956256B2 (en) Priority determination apparatus, priority determination method, and computer readable medium
CN104021324A (en) Method and device for writing safety verification
US11729208B2 (en) Impact range estimation apparatus, impact range estimation method, and computer-readable recording medium
EP3109789B1 (en) Method and gateway device for obtaining file reputation and file reputation server
KR20180042019A (en) Method for analyzing risk element of network packet based on recruuent neural network and apparatus analyzing the same
CN115314322A (en) Vulnerability detection confirmation method, device, equipment and storage medium based on flow

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant