KR20180064859A - Apparatus and method of analyzing pattern of wireless traffic - Google Patents
Apparatus and method of analyzing pattern of wireless traffic Download PDFInfo
- Publication number
- KR20180064859A KR20180064859A KR1020160165268A KR20160165268A KR20180064859A KR 20180064859 A KR20180064859 A KR 20180064859A KR 1020160165268 A KR1020160165268 A KR 1020160165268A KR 20160165268 A KR20160165268 A KR 20160165268A KR 20180064859 A KR20180064859 A KR 20180064859A
- Authority
- KR
- South Korea
- Prior art keywords
- pattern
- normal
- data frame
- wireless traffic
- probability
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/145—Network analysis or design involving simulating, designing, planning or modelling of a network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Abstract
Description
본 발명은 무선 트래픽의 패턴을 분석하는 장치 및 방법에 관한 것으로서, 무선 랜(LAN) 환경에서 발생할 수 있는 새로운 무선 트래픽 패턴의 정상 여부를 탐지하기 위해 패턴을 분석하여 확률적으로 해당 패턴이 정상 패턴인지 공격 패턴인지 판단하는 기술적 사상을 개시한다.The present invention relates to an apparatus and method for analyzing a pattern of wireless traffic, and more particularly, it relates to an apparatus and method for analyzing a pattern of a wireless traffic to detect a new wireless traffic pattern that may occur in a wireless LAN environment, A technical idea to judge whether the attack pattern is a cognitive attack pattern or not.
트래픽은 전신, 전화 등의 통신 시설에서 통신의 흐름을 의미하는 것으로서, 크게 유선 트래픽과 무선 트래픽으로 분류될 수 있다.Traffic refers to the flow of communication in telecommunication facilities such as telegraph and telephone, and can be largely classified into wired traffic and wireless traffic.
그 중에서 무선 트래픽은 통신 선로가 무선 채널로 대체된다는 점에서 매우 효율적인 시스템이나 무선 트래픽에 노이즈가 발생하거나 공격이 발생한 경우, 데이터의 신뢰도가 상당히 낮아질 수 있는 문제가 있다.Among them, wireless traffic is a very efficient system in that a communication line is replaced with a wireless channel, and there is a problem that reliability of data may be significantly lowered when noise occurs or an attack occurs in wireless traffic.
오늘날의 무선 랜을 이용하는 기술은 이동성은 물론 전송 효율 특성의 향상으로 인하여 다양한 모바일 장치를 위한 네트워크 서비스 환경을 제공하고 있다. 그러나, 이러한 서비스 확장으로 인하여 보안 측면에서의 문제 또한 매우 심각하게 고려해야 할 사항이 되었다.Today's wireless LAN technology provides a network service environment for various mobile devices due to improved mobility and transmission efficiency characteristics. However, due to these service extensions, security issues have also become a serious consideration.
무선 트래픽의 신뢰도 문제를 보완하기 위한 다양한 기술들 개발되고 있다.Various technologies have been developed to overcome the reliability problem of wireless traffic.
일반적인 무선 침입 탐지 시스템은 트레이닝 단계에서 대량의 무선 트래픽을 수집하여 정상 모델을 만들고, 새로운 무선 트래픽이 감지되면 기존에 만들어진 정상 모델과 비교하여 정상모델에 없는 트래픽일 경우 이를 비정상적인 트래픽으로 판단한다. 그러나 이 방식은 실제로 감지한 트래픽이 정상적인 트래픽임에도 불구하고 비정상적인 것으로 판단하는 FPR(False Positive Rate) 값이 높아진다.A typical wireless intrusion detection system collects a large amount of wireless traffic at the training stage and creates a normal model. When new wireless traffic is detected, it is judged that the traffic is abnormal if the traffic is not in the normal model as compared with the existing normal model. However, this method increases the False Positive Rate (FPR) value, which is determined to be abnormal even though the actually detected traffic is normal traffic.
본 발명은 무선 랜 환경에서 발생할 수 있는 새로운 무선 트래픽 패턴의 정상 여부를 탐지하는 것을 목적으로 한다.An object of the present invention is to detect whether a new wireless traffic pattern that may occur in a wireless LAN environment is normal.
본 발명은 정상적인 트래픽임에도 불구하고 비정상적인 트래픽으로 분류될 확률을 줄이는 것을 목적으로 한다.The present invention aims at reducing the probability of being classified as abnormal traffic despite normal traffic.
일실시예에 따른 무선 트래픽의 패턴 분석 장치는 무선 트래픽을 수신하고, 상기 수신된 무선 트래픽을 적어도 하나 이상의 패턴으로 분류하는 수신부, 트레이닝 기간 동안에 정상 모델로부터 생성된 N 그램 테이블을 참고하여, 상기 적어도 하나 이상의 패턴에 대한 정상 여부를 판단하는 새로운 패턴 검사부를 포함할 수 있다.The apparatus for analyzing a pattern of wireless traffic according to an exemplary embodiment includes a receiver for receiving wireless traffic and classifying the received wireless traffic into at least one pattern, an N-gram table generated from a normal model during a training period, And a new pattern checking unit for determining whether the one or more patterns are normal or not.
일실시예에 따른 무선 트래픽의 패턴 분석 장치는 상기 정상 모델에 N 그램 모델을 적용하여 상기 정상 모델에 존재하는 패턴으로부터 상기 N 그램 테이블을 생성하는 N-그램 테이블 생성부를 더 포함할 수 있다.The apparatus for analyzing a pattern of wireless traffic according to an embodiment may further include an N-gram table generating unit for applying the N-gram model to the normal model to generate the N-gram table from patterns existing in the normal model.
일실시예에 따른 상기 새로운 패턴 검사부는, 크네세르-네이 스무딩(Kneser-Ney Smoothing)을 통해 상기 각 패턴에 대한 정상일 확률을 계산할 수 있다.The new pattern checking unit may calculate a normal probability for each of the patterns through Knesser-Ney Smoothing.
일실시예에 따른 상기 새로운 패턴 검사부는, 제1 데이터 프레임 다음에 제2 데이터 프레임이 위치하는 빈도를 고려하여 정상 여부를 판단할 수 있다.The new pattern checking unit may determine whether the new data frame is normal considering the frequency with which the second data frame is located after the first data frame.
일실시예에 따른 상기 새로운 패턴 검사부는, 특정 데이터 프레임 다음에 올 수 있는 모든 데이터 프레임들의 빈도수의 합을 고려하여 정상 여부를 판단하는 무선 트래픽의 패턴 분석 장치.The new pattern checking unit determines whether the new pattern is normal considering a sum of frequency bands of all data frames that come after a specific data frame.
일실시예에 따른 상기 새로운 패턴 검사부는, 상기 분류된 패턴에서, 전체 프레임 중 특정 데이터 프레임이 나올 확률을 고려하여 정상 여부를 판단할 수 있다.The new pattern checking unit may determine whether the new pattern is normal in consideration of the probability of a specific data frame occurring in all the frames in the classified pattern.
일실시예에 따른 상기 새로운 패턴 검사부는, 상기 적어도 하나 이상의 패턴이 새로운 패턴인 경우, 크네세르-네이 스무딩(Kneser-Ney Smoothing)을 통해 상기 각 패턴에 대해 정상일 확률을 계산한 후, 특정 임계값 이상인 경우 상기 적어도 하나 이상의 패턴을 정상 패턴으로 판단할 수 있다.If the at least one pattern is a new pattern, the new pattern checking unit may calculate a normal probability for each pattern through Kneser-Ney Smoothing, The at least one pattern may be determined as a normal pattern.
일실시예에 따른 무선 트래픽의 패턴 분석 장치는 정상 모델로부터 패턴들을 분류하는 분류부, 상기 분류된 패턴들 중에서, 제1 데이터 프레임 다음에 제2 데이터 프레임이 위치하는 빈도를 계산하고, 상기 제1 데이터 프레임 다음에 올 수 있는 모든 데이터 프레임들의 빈도수의 합을 계산하며, 전체 프레임 중에서 상기 제1 프레임이 나올 확률을 계산하는 계산부, 및 상기 계산 결과를 고려하여 특정 임계값 이상인 경우 상기 적어도 하나 이상의 패턴을 정상 패턴으로 판단하여 정상 모델에 추가하여 개선시키는 개선부를 포함한다.The apparatus for analyzing a pattern of wireless traffic according to an exemplary embodiment includes a classifier for classifying patterns from a normal model, a frequency calculating unit calculating a frequency at which a second data frame is located after a first data frame among the classified patterns, A calculation unit for calculating a sum of the frequencies of all the data frames that can come after the data frame and calculating a probability that the first frame will come out of all the frames; The pattern is determined as a normal pattern and added to the normal model to improve the pattern.
일실시예에 따른 무선 트래픽의 패턴 분석 방법은 정상 모델에 N 그램 모델을 적용하여 상기 정상 모델에 존재하는 패턴으로부터 N 그램 테이블을 생성하는 단계, 무선 트래픽을 수신하고, 상기 수신된 무선 트래픽을 적어도 하나 이상의 패턴으로 분류하는 단계, 및 상기 생성된 N 그램 테이블을 참고하여, 상기 적어도 하나 이상의 패턴에 대한 정상 여부를 판단하는 단계를 포함할 수 있다.A method of analyzing a pattern of wireless traffic according to an exemplary embodiment includes generating an N-gram table from a pattern existing in the normal model by applying an N-gram model to a normal model, receiving wireless traffic, Classifying the at least one pattern into one or more patterns, and referring to the generated N-gram table, determining whether the at least one pattern is normal.
일실시예에 따른 상기 정상 여부를 판단하는 단계는, 크네세르-네이 스무딩(Kneser-Ney Smoothing)을 통해 상기 각 패턴에 대한 확률을 계산하는 단계를 포함할 수 있다.The step of determining the normal state according to an exemplary embodiment may include calculating a probability for each pattern through Kneser-Ney Smoothing.
일실시예에 따른 상기 각 패턴에 대한 확률을 계산하는 단계는, 상기 적어도 하나 이상의 패턴이 새로운 패턴인 경우, 크네세르-네이 스무딩(Kneser-Ney Smoothing)을 통해 상기 각 패턴에 대해 정상일 확률을 계산한 후, 특정 임계값 이상인 경우 상기 적어도 하나 이상의 패턴을 정상 패턴으로 판단하는 단계를 포함할 수 있다.The calculating of the probability for each pattern according to an exemplary embodiment may include computing a probability of normal occurrence for each pattern through Kneser-Ney Smoothing when the at least one pattern is a new pattern And determining the at least one pattern as a normal pattern if the pattern is greater than or equal to a specific threshold value.
일실시예에 따른 상기 적어도 하나 이상의 패턴에 대한 정상 여부를 판단하는 단계는, 상기 분류된 패턴에서, 제1 데이터 프레임 다음에 제2 데이터 프레임이 위치하는 빈도를 고려하여 정상 여부를 판단하는 단계를 포함할 수 있다.The determining whether the at least one pattern is normal may include determining whether the second data frame is normal in consideration of the frequency of the second data frame positioned after the first data frame in the classified pattern, .
일실시예에 따른 상기 적어도 하나 이상의 패턴에 대한 정상 여부를 판단하는 단계는, 상기 분류된 패턴에서, 특정 데이터 프레임 다음에 올 수 있는 모든 데이터 프레임들의 빈도수의 합을 고려하여 정상 여부를 판단하는 단계를 포함할 수 있다.The step of determining whether or not the at least one pattern is normal may include determining whether the pattern is normal considering the sum of frequency bands of all data frames following a specific data frame in the classified pattern . ≪ / RTI >
일실시예에 따른 상기 적어도 하나 이상의 패턴에 대한 정상 여부를 판단하는 단계는, 상기 분류된 패턴에서, 전체 프레임 중 특정 데이터 프레임이 나올 확률을 고려하여 정상 여부를 판단하는 단계를 포함할 수 있다.The step of determining whether the at least one pattern is normal may include determining whether the pattern is normal in consideration of a probability that a specific data frame occurs in all the frames in the classified pattern.
실시예들에 따르면, 무선 LAN 환경에서 새로운 패턴의 정상 여부를 판단하기 위해 무선 침입 탐지 시스템의 원천 기술로 활용될 수 있다.According to the embodiments, it can be utilized as a source technology of a wireless intrusion detection system to determine whether a new pattern is normal in a wireless LAN environment.
실시예들에 따르면, 무선 랜 환경에서 발생할 수 있는 새로운 무선 트래픽 패턴의 정상 여부를 탐지할 수 있다.According to embodiments, it is possible to detect whether a new wireless traffic pattern that may occur in a wireless LAN environment is normal.
실시예들에 따르면, 정상적인 트래픽임에도 불구하고 비정상적인 트래픽으로 분류될 확률을 줄일 수 있다.According to the embodiments, it is possible to reduce the probability of being classified as abnormal traffic despite normal traffic.
도 1은 일실시예에 따른 무선 트래픽 패턴 분석 장치를 설명하는 도면이다.
도 2는 일실시예에 따른 무선 트래픽 패턴을 설명하는 도면이다.
도 3은 일실시예에 따른 무선 트래픽 패턴 분석 장치를 설명하는 도면이다.
도 4는 일실시예에 따른 무선 트래픽 패턴 분석 방법을 설명하는 도면이다.1 is a diagram illustrating an apparatus for analyzing a wireless traffic pattern according to an exemplary embodiment of the present invention.
2 is a diagram illustrating a wireless traffic pattern according to an embodiment.
3 is a view for explaining a wireless traffic pattern analyzing apparatus according to an embodiment.
4 is a view for explaining a method of analyzing a wireless traffic pattern according to an embodiment.
이하에서, 실시예들을 첨부된 도면을 참조하여 상세하게 설명한다. 그러나, 이러한 실시예들에 의해 권리범위가 제한되거나 한정되는 것은 아니다. 각 도면에 제시된 동일한 참조 부호는 동일한 부재를 나타낸다.Hereinafter, embodiments will be described in detail with reference to the accompanying drawings. However, the scope of the rights is not limited or limited by these embodiments. Like reference symbols in the drawings denote like elements.
아래 설명에서 사용되는 용어는, 연관되는 기술 분야에서 일반적이고 보편적인 것으로 선택되었으나, 기술의 발달 및/또는 변화, 관례, 기술자의 선호 등에 따라 다른 용어가 있을 수 있다. 따라서, 아래 설명에서 사용되는 용어는 기술적 사상을 한정하는 것으로 이해되어서는 안 되며, 실시예들을 설명하기 위한 예시적 용어로 이해되어야 한다.The terms used in the following description are chosen to be generic and universal in the art to which they are related, but other terms may exist depending on the development and / or change in technology, customs, preferences of the technician, and the like. Accordingly, the terminology used in the following description should not be construed as limiting the technical thought, but should be understood in the exemplary language used to describe the embodiments.
또한 특정한 경우는 출원인이 임의로 선정한 용어도 있으며, 이 경우 해당되는 설명 부분에서 상세한 그 의미를 기재할 것이다. 따라서 아래 설명에서 사용되는 용어는 단순한 용어의 명칭이 아닌 그 용어가 가지는 의미와 명세서 전반에 걸친 내용을 토대로 이해되어야 한다.Also, in certain cases, there may be a term chosen arbitrarily by the applicant, in which case the meaning of the detailed description in the corresponding description section. Therefore, the term used in the following description should be understood based on the meaning of the term, not the name of a simple term, and the contents throughout the specification.
도 1은 일실시예에 따른 무선 트래픽 패턴 분석 장치(100)를 설명하는 도면이다.1 is a diagram illustrating an
일실시예에 따른 무선 트래픽 패턴 분석 장치(100)는 무선 LAN 환경에서 발생할 수 있는 새로운 무선 트래픽 패턴의 정상 여부를 탐지하기 위해 패턴을 분석하여 확률적으로 해당 패턴이 정상 패턴인지 잠재적인 공격이 가능한 패턴인지 판단할 수 있다. The
이를 위해, 일실시예에 따른 무선 트래픽 패턴 분석 장치(100)는 수신부(110) 및 새로운 패턴 검사부 (120)를 포함할 수 있다.For this, the wireless traffic
먼저, 일실시예에 따른 수신부(110)는 무선 트래픽을 수신하고, 수신된 무선 트래픽을 적어도 하나 이상의 패턴으로 분류할 수 있다. 일실시예에 따른 수신부(110)는 세션 제너레이터(111), 패턴 제너레이터(112), 및 패턴 카운터(113)을 이용해서 캡쳐된 프레임으로부터의 IEEE 802.11의 특징들이 포함된 프레임들을 적어도 하나 이상의 패턴으로 분류할 수 있다.First, the
다음으로, 일실시예에 따른 새로운 패턴 검사부 (120)는 트레이닝 기간 동안에 정상 모델로부터 생성된 N 그램 테이블을 참고하여, 적어도 하나 이상의 패턴에 대한 정상 여부를 판단할 수 있다.Next, the new
일실시예에 따른 새로운 패턴 검사부 (120)는 분류된 패턴에서, 제1 데이터 프레임 다음에 제2 데이터 프레임이 위치하는 빈도를 고려하여 정상 여부를 판단할 수 있다. 또한, 일실시예에 따른 새로운 패턴 검사부 (120)는 분류된 패턴에서, 특정 데이터 프레임 다음에 올 수 있는 모든 데이터 프레임들의 빈도수의 합을 고려하여 정상 여부를 판단할 수도 있다. 또한, 일실시예에 따른 새로운 패턴 검사부 (120)는 분류된 패턴에서, 전체 프레임 중 특정 데이터 프레임이 나올 확률을 고려하여 정상 여부를 판단할 수 있다. 또한, 일실시예에 따른 새로운 패턴 검사부 (120)는 적어도 하나 이상의 패턴이 새로운 패턴인 경우, 크네세르-네이 스무딩(Kneser-Ney Smoothing)을 통해 상기 각 패턴에 대해 정상일 확률을 계산한 후, 특정 임계값 이상인 경우 상기 적어도 하나 이상의 패턴을 정상 패턴으로 판단할 수 있다.The new
기존 무선 침입 탐지 시스템은 트레이닝 단계에서 대량의 무선 트래픽을 수집하여 정상 모델을 만들고, 새로운 무선 트래픽이 감지되면 기존에 만들어진 정상 모델과 비교하여 정상모델에 없는 트래픽일 경우 이를 비정상적인 트래픽으로 판단하는 방식이다. 그러나 일실시예에 따른 무선 트래픽 패턴 분석 장치(100)는 트레이닝 단계 동안 정상 모델과 더불어 정상 무선 트래픽 패턴들의 N-Gram 테이블을 생성하여 이를 바탕으로 새로운 무선 트래픽 패턴이 감지되었을 때 FPR 값을 낮추기 위한 발명이다.The existing wireless intrusion detection system collects a large amount of wireless traffic at the training stage and creates a normal model. When new wireless traffic is detected, it is judged as abnormal traffic when the traffic is not in the normal model as compared with the normal model . However, the wireless traffic
이를 위해, 일실시예에 따른 무선 트래픽 패턴 분석 장치(100)는 정상 모델에 N 그램 모델을 적용하여 정상 모델로부터 N 그램 테이블을 생성하는 N-그램 테이블 생성부(150)를 더 포함할 수 있다.To this end, the wireless traffic
무선 트래픽은 프레임으로 구성되는데, 프레임의 흐름은 일반적으로 패턴을 가지고 있다. Radio traffic consists of frames, which typically have a pattern of flow.
무선 트래픽은 이하 도 2를 통해 보다 상세히 설명한다.The wireless traffic is described in more detail below with reference to FIG.
도 2는 일실시예에 따른 무선 트래픽 패턴을 설명하는 도면이다.2 is a diagram illustrating a wireless traffic pattern according to an embodiment.
도면부호 210에서 사각형 하나는 무선 프레임 하나를 뜻하며, 사각형 안의 내용은 프레임의 타입을 뜻한다. 예를 들면 인증(Auth) 프레임, 인증(Auth) 프레임, 연결요청(AssoReq) 프레임, 연결응답(AssoRes) 프레임, 데이터(Data) 프레임, 데이터(Data) 프레임, 인증해제(DeAuth) 프레임 등으로 흐름을 갖는다.At 210, one rectangle represents one wireless frame, and the content within a rectangle represents the type of frame. For example, an Auth frame, an Auth frame, a connection request (AssoReq) frame, a connection response (AssoRes) frame, a data frame, a data frame and a DeAuth frame Respectively.
무선 트래픽을 수집하였다고 가정할 때 순차적인 프레임의 패턴 구성은 도면부호 220과 같다.Assuming that the wireless traffic is collected, the pattern configuration of the sequential frame is the same as that of the
패턴 길이를 4라고 하면, 4개의 프레임을 가지고 하나의 패턴을 만들 수 있다. 따라서 첫 번째 패턴(221)은 [Auth, Auth, AssoReq, AssoRes] 가 되며, 두 번째 패턴은 첫 번째 프레임 바로 다음 프레임부터 시작하여 4개의 프레임으로 두 번째 패턴을 만들 수 있다. 즉 두 번째 패턴(222)은 [Auth, AssoReq, AssoRes, Data] 이다. 같은 방법으로 수집된 마지막 프레임까지 패턴을 구성하면, 총 7개의 패턴이 구성될 수 있다. If the pattern length is 4, one pattern can be made with four frames. Therefore, the
수신부(110)는 위에서 설명한 방법으로 트레이닝 기간 동안 만들어진 패턴을 모두 모아놓은 것을 정상적인 패턴으로 간주하여 정상 모델(Normal Model)이라고 정의할 수 있다. 또한, 정의된 정상 모델은 데이터베이스(140)에 기록 및 유지될 수 있다.The receiving
일실시예에 따른 무선 트래픽 패턴 분석 장치(100)는 정상 모델이 만들어지면 트레이닝 단계를 끝내고, 공격 트래픽 검출부(130)에서 검출 단계를 수행할 수 있다. 이 단계에서는 실시간으로 수집된 트래픽에 대해 구성된 패턴을 정상 모델에 존재하는 패턴들과 비교할 수 있다.The wireless traffic
일실시예에 따른 무선 트래픽 패턴 분석 장치(100)는 트레이닝 단계에서 만들어진 정상 모델을 바탕으로 생성된 N-그램 테이블을 참조하여 패턴의 정상 여부를 판단하기 때문에, 정상 모델에 존재하지 않는 새로운 패턴이 발견되면 정상일 수도 있는 패턴을 비정상 패턴으로 간주하는 비율을 낮출 수 있다.Since the wireless traffic
이러한 정상을 비정상으로 간주하는 비율을 오류양성률(False Positive Rate)이라고 한다. 기존의 오류양성률(False Positive Rate) 값을 감소시키기 위해 자연어처리 분야(음성인식, 기계 번역 등)에서 사용되는 기법인 N 그램 모델을 활용할 수 있다.The rate at which this normal is regarded as abnormal is called the false positive rate. In order to reduce the false positive rate, we can use the N-gram model, which is a technique used in natural language processing (speech recognition, machine translation, etc.).
다시 도 1을 참고하면, 새로운 패턴 검사부(120)는 N 그램 모델을 활용하여 비정상 패턴을 검출할 수 있다.Referring again to FIG. 1, the
구체적으로, N 그램은 i번째에 어떠한 사건이 일어날 확률을 이전의 i-1, i-2, … ,i-N+1번째 사건을 바탕으로 조건부 확률 값을 구하는 방법으로서, N=2일 경우 i-1번째 사건을 바탕으로 i번째 사건의 확률을 구하는 것을 뜻하며, N=3일 경우 i-1, i-2 번째 사건을 바탕으로 i번째 사건의 확률을 구하는 것을 뜻한다.Specifically, the N-gram gives the probability that an event occurs at the i-th time from the previous i-1, i-2, ... , i-1 + 1, i = 1, i = 1, i = 1, 2, , and the probability of the ith event based on the i-2th event.
N 그램 테이블 생성부(150)는 이러한 N 그램 모델을 적용시켜 트레이닝 단계에서 N 그램 테이블을 생성할 수 있다.The N-gram
또한, 새로운 패턴 검사부 (120)는 검출 단계에서 N 그램 테이블을 기반으로 새로운 패턴에 대해 정상일 확률 값을 구할 수 있다. 먼저 N 그램 테이블 생성 과정에 대해 설명하자면, 도 2의 무선 트래픽(210)을 참고할 수 있다.In addition, the new
N 그램 테이블 생성부(150)는 트레이닝 단계에서 정상 모델이 생성된 후에 정상 모델에 존재하는 패턴을 기반으로 N 그램 테이블을 생성할 수 있다. The N-gram
N=2 일 경우에는 이전 프레임 하나만 참고하기 때문에 첫번째 패턴 [Auth, Auth, AssoReq, AssoRes]에 대해 만들어지는 2-그램은 (Auth, Auth), (Auth, AssoReq), (AssoReq, AssoRes) 이다.The two grams created for the first pattern [Auth, Auth, AssoReq, AssoRes] are (Auth, Auth), (Auth, AssoReq), (AssoReq, AssoRes) because N =
따라서 첫 번째 패턴에 대해 만들어지는 2-그램 테이블은 [표 1]과 같다.Therefore, the 2-gram table created for the first pattern is shown in [Table 1].
[표 1]에서 테이블 안의 숫자는 패턴이 발견된 수를 의미한다.In Table 1, the numbers in the table indicate the number of patterns found.
1st 프레임2 nd frame
1 st frame
두번째 패턴의 경우 [Auth, AssoReq, AssoRes, Data]이므로 만들어지는 2-gram은 (Auth, AssoReq), (AssoReq, AssoRes), (AssoRes, Data) 이며, 2-그램 테이블은 [표 2]와 같이 업데이트 된다.2-grams (Auth, AssoReq), (AssoReq, AssoRes), (AssoRes, Data) are generated for the second pattern [Auth, AssoReq, AssoRes, Data] Updated.
1st 프레임2 nd frame
1 st frame
같은 방법으로 모든 패턴에 대해 만들어지는 2-그램 테이블은 [표 3]과 같다.The 2-gram table created for all patterns in the same way is shown in [Table 3].
1st 프레임2 nd frame
1 st frame
새로운 패턴 검사부(120)는 검출 과정에서 N 그램 테이블을 기반으로 기반으로 새로운 패턴에 대한 확률을 계산할 수 있다.The
새로운 패턴 검사부(120)는 위에서 설명한 방법대로 N 그램 테이블이 생성되면 검출 단계에서 테이블을 기반으로 새로운 패턴에 대해 정상 패턴일 확률 값을 구한다. 이를 설명하기 위해 [표 4]의 새로운 2-그램 테이블로 예를 들어 설명한다.When the N-gram table is generated according to the above-described method, the new
1st 프레임2 nd frame
1 st frame
정상 모델에 존재하지 않는 새로운 패턴 [Data, Data, Data, Deauth]가 관찰되었다고 가정해보면, 새로운 패턴 검사부(120)는 의 확률을 구할 수 있다. 만약, N=2일 경우에는 새로운 패턴 검사부(120)는 이전의 프레임만 고려하여 [수학식 1]과 같이 조건부 확률들을 곱하여 전체 확률을 구할 수 있다.Assuming that a new pattern [Data, Data, Data, Deauth] that is not present in the normal model is observed, the new
[수학식 1][Equation 1]
새로운 패턴 검사부(120)는 크네세르-네이 스무딩(Kneser-Ney Smoothing)을 통해 상기 각 패턴에 대한 확률을 계산할 수 있다.The
크네세르-네이 스무딩(Kneser-Ney Smoothing)은 [수학식 2]와 같다.The Knesser-Ney Smoothing is expressed by Equation (2).
[수학식 2]&Quot; (2) "
따라서 는 [수학식 3]과 같이 계산된다.therefore Is calculated as shown in Equation (3).
[수학식 3]&Quot; (3) "
[수학식 3]에서 는 테이블에서 데이터 프레임 다음에 데이터 프레임이 오는 빈도를 뜻하므로, 예시 테이블을 보면 24이다. 또한, 는 값에 따라 정해지는 디스카운팅(Discounting) 값이며, 는 상수이다. 또한, 는 Data 프레임 다음에 올 수 있는 모든 프레임들의 빈도수의 합이므로, 34이다. 또한, 는 전체 프레임 중 Data 프레임이 나올 확률이다. In Equation (3) Means the frequency with which the data frame follows the data frame in the table, so the example table shows 24. Also, The Is a discounting value determined according to a value, Is a constant. Also, Is the sum of the frequencies of all frames that can come after the data frame, so it is 34. Also, Is the probability of a Data frame coming out of the whole frame.
도 같은 수식을 통해 확률 값을 계산해서 각각의 확률 값을 구한 뒤에 이를 다 곱해서 값을 구할 수 있다. The probability values are calculated by the same formula, and each probability value is obtained and then multiplied by Value can be obtained.
결국, 새로운 패턴 검사부(120)는 구해진 값이 일정 기준치(threshold) 값보다 크면, [Data, Data, Data, DeAuth] 패턴이 정상일 확률이 높다고 판단하여 정상 패턴으로 간주할 수 있다.As a result, if the obtained value is larger than a predetermined threshold value, the
도 3은 일실시예에 따른 무선 트래픽 패턴 분석 장치(300)를 설명하는 도면이다.3 is a diagram illustrating an
일실시예에 따른 무선 트래픽 패턴 분석 장치(300)는 분류부(310), 계산부(320), 및 개선부(330)를 포함할 수 있다.The wireless traffic
일실시예에 따른 분류부(310)는 정상 모델로부터 패턴들을 분류할 수 있다.The
일실시예에 따른 계산부(320)는 분류된 패턴들 중에서, 제1 데이터 프레임 다음에 제2 데이터 프레임이 위치하는 빈도를 계산하고, 상기 제1 데이터 프레임 다음에 올 수 있는 모든 데이터 프레임들의 빈도수의 합을 계산하며, 전체 프레임 중에서 상기 제1 프레임이 나올 확률을 계산할 수 있다.The
일실시예에 따른 개선부(330)는 계산 결과를 고려하여 패턴의 확률 값이 특정 임계값 이상인 경우 정상 패턴으로 판단하여 정상 모델에 추가하여 정상 모델을 개선시킬 수 있다.The
결국, 본 발명을 이용하면, 무선 LAN 환경에서 새로운 패턴의 정상 여부를 판단하기 위해 무선 침입 탐지 시스템의 원천 기술로 활용될 수 있다. 또한, 실시예들에 따르면, 무선 랜 환경에서 발생할 수 있는 새로운 무선 트래픽 패턴의 정상 여부를 탐지할 수 있고, 정상적인 트래픽임에도 불구하고 비정상적인 트래픽으로 분류될 확률을 줄일 수 있다.As a result, the present invention can be utilized as a source technology of a wireless intrusion detection system to determine whether a new pattern is normal in a wireless LAN environment. In addition, according to the embodiments, it is possible to detect whether a new wireless traffic pattern that may occur in a wireless LAN environment is normal, and to reduce the probability of being classified as abnormal traffic despite normal traffic.
도 4는 일실시예에 따른 무선 트래픽 패턴 분석 방법을 설명하는 도면이다.4 is a view for explaining a method of analyzing a wireless traffic pattern according to an embodiment.
본 발명은 트레이닝 단계 동안 정상 모델과 더불어 정상 무선 트래픽 패턴들의 N 그램 테이블을 생성하여 이를 바탕으로 새로운 무선 트래픽 패턴이 감지되었을 때 정상 패턴인지 비정상 패턴인지 판단하여 기존보다 오류양성률(False Positive Rate) 값을 낮추기 위한 발명이다.The present invention generates an N-gram table of normal wireless traffic patterns in addition to a normal model during a training step, and determines whether a new pattern is detected as a normal pattern or an abnormal pattern based on the generated N-gram table. . ≪ / RTI >
이를 위해, 일실시예에 따른 무선 트래픽 패턴 분석 방법은 정상 모델에 N 그램 모델을 적용하여 정상 모델에 존재하는 패턴으로부터 N 그램 테이블을 생성할 수 있다(단계 401). 일실시예에 따른 무선 트래픽 패턴 분석 방법은 각 패턴에 대한 확률을 계산하기 위해, 크네세르-네이 스무딩(Kneser-Ney Smoothing)을 통해 상기 각 패턴에 대한 확률을 계산할 수 있다.To this end, the wireless traffic pattern analysis method according to an exemplary embodiment may generate an N-gram table from patterns existing in a normal model by applying an N-gram model to a normal model (step 401). A method for analyzing a wireless traffic pattern according to an exemplary embodiment may calculate a probability for each of the patterns through Kneser-Ney Smoothing to calculate a probability for each pattern.
일실시예에 따른 무선 트래픽 패턴 분석 방법은 무선 트래픽을 수신하고, 상기 수신된 무선 트래픽을 적어도 하나 이상의 패턴으로 분류할 수 있다(단계 402).A method for analyzing a wireless traffic pattern according to an exemplary embodiment may receive wireless traffic and classify the received wireless traffic into at least one pattern (step 402).
일실시예에 따른 무선 트래픽 패턴 분석 방법은 생성된 N 그램 테이블을 참고하여, 상기 적어도 하나 이상의 패턴에 대한 정상 여부를 판단할 수 있다(단계 403).The method of analyzing a wireless traffic pattern according to an exemplary embodiment may determine whether the at least one pattern is normal by referring to the generated N-gram table (step 403).
예를 들어, 일실시예에 따른 무선 트래픽 패턴 분석 방법은 적어도 하나 이상의 패턴에 대한 정상 여부를 판단하기 위해, 분류된 패턴에서 제1 데이터 프레임 다음에 제2 데이터 프레임이 위치하는 빈도를 고려하여 정상 여부를 판단할 수 있다. 또한, 분류된 패턴에서, 특정 데이터 프레임 다음에 올 수 있는 모든 데이터 프레임들의 빈도수의 합을 고려하여 정상 여부를 판단할 수 있고, 분류된 패턴에서, 전체 프레임 중 특정 데이터 프레임이 나올 확률을 고려하여 정상 여부를 판단할 수 있다. 뿐만 아니라, 적어도 하나 이상의 패턴이 새로운 패턴인 경우, 크네세르-네이 스무딩(Kneser-Ney Smoothing)을 통해 상기 각 패턴에 대해 정상일 확률을 계산한 후, 특정 임계값 이상인 경우 상기 적어도 하나 이상의 패턴을 정상 패턴으로 판단할 수 있다.For example, in order to determine whether a pattern is normal for at least one pattern, a method for analyzing a wireless traffic pattern according to an exemplary embodiment may include determining whether a second data frame is located after a first data frame, Can be determined. In addition, it is possible to determine whether the data is normal in consideration of the sum of the frequencies of all the data frames that come after the specific data frame in the classified pattern, and in consideration of the probability that a specific data frame of all the frames occurs in the classified pattern It can be judged whether or not it is normal. In addition, if at least one pattern is a new pattern, the normal probability is calculated for each pattern through Kneser-Ney Smoothing, and if the pattern is at least a specific threshold value, It can be judged by a pattern.
이러한 과정을 통해, 일실시예에 따른 무선 트래픽 패턴 분석 방법을 이용하면, 무선 LAN 환경에서 새로운 패턴의 정상 여부를 판단하기 위해 무선 침입 탐지 시스템의 원천 기술로 활용될 수 있다. 또한, 실시예들에 따르면, 무선 랜 환경에서 발생할 수 있는 새로운 무선 트래픽 패턴의 정상 여부를 탐지할 수 있고, 정상적인 트래픽임에도 불구하고 비정상적인 트래픽으로 분류될 확률을 줄일 수 있다.Through this process, using the wireless traffic pattern analysis method according to an embodiment, it can be utilized as a source technology of a wireless intrusion detection system to determine whether a new pattern is normal in a wireless LAN environment. In addition, according to the embodiments, it is possible to detect whether a new wireless traffic pattern that may occur in a wireless LAN environment is normal, and to reduce the probability of being classified as abnormal traffic despite normal traffic.
본 발명의 일실시예에 따른 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 본 발명의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.The method according to an embodiment of the present invention can be implemented in the form of a program command which can be executed through various computer means and recorded in a computer-readable medium. The computer-readable medium may include program instructions, data files, data structures, and the like, alone or in combination. The program instructions recorded on the medium may be those specially designed and constructed for the present invention or may be available to those skilled in the art of computer software. Examples of computer-readable media include magnetic media such as hard disks, floppy disks and magnetic tape; optical media such as CD-ROMs and DVDs; magnetic media such as floppy disks; Magneto-optical media, and hardware devices specifically configured to store and execute program instructions such as ROM, RAM, flash memory, and the like. Examples of program instructions include machine language code such as those produced by a compiler, as well as high-level language code that can be executed by a computer using an interpreter or the like. The hardware devices described above may be configured to operate as one or more software modules to perform the operations of the present invention, and vice versa.
이상과 같이 본 발명은 비록 한정된 실시예와 도면에 의해 설명되었으나, 본 발명은 상기의 실시예에 한정되는 것은 아니며, 본 발명이 속하는 분야에서 통상의 지식을 가진 자라면 이러한 기재로부터 다양한 수정 및 변형이 가능하다.While the invention has been shown and described with reference to certain preferred embodiments thereof, it will be understood by those of ordinary skill in the art that various changes in form and details may be made therein without departing from the spirit and scope of the invention as defined by the appended claims. This is possible.
그러므로, 본 발명의 범위는 설명된 실시예에 국한되어 정해져서는 아니 되며, 후술하는 특허청구범위뿐 아니라 이 특허청구범위와 균등한 것들에 의해 정해져야 한다.Therefore, the scope of the present invention should not be limited to the described embodiments, but should be determined by the equivalents of the claims, as well as the claims.
Claims (14)
트레이닝 기간 동안에 정상 모델로부터 생성된 N 그램 테이블을 참고하여, 상기 적어도 하나 이상의 패턴에 대한 정상 여부를 판단하는 새로운 패턴 검사부
를 포함하는 무선 트래픽의 패턴 분석 장치.
A receiver for receiving wireless traffic and classifying the received wireless traffic into at least one pattern; And
A new pattern checker for determining whether the at least one pattern is normal with reference to an N-gram table generated from a normal model during a training period,
And a pattern analyzer for analyzing the pattern of the wireless traffic.
상기 정상 모델에 N 그램 모델을 적용하여 상기 정상 모델에 존재하는 패턴으로부터 상기 N 그램 테이블을 생성하는 N-그램 테이블 생성부
를 더 포함하는 무선 트래픽의 패턴 분석 장치.
The method according to claim 1,
An N-gram table generating unit for applying the N-gram model to the normal model to generate the N-gram table from patterns existing in the normal model,
Further comprising: a pattern analyzer for analyzing the pattern of the wireless traffic.
상기 새로운 패턴 검사부는,
크네세르-네이 스무딩(Kneser-Ney Smoothing)을 통해 상기 각 패턴에 대한 확률을 계산하는 무선 트래픽의 패턴 분석 장치.
The method according to claim 1,
The new pattern checking unit,
A device for analyzing pattern of wireless traffic that calculates a probability for each of the patterns through Knesser-Ney Smoothing.
상기 새로운 패턴 검사부는,
상기 분류된 패턴에서, 제1 데이터 프레임 다음에 제2 데이터 프레임이 위치하는 빈도를 고려하여 정상 여부를 판단하는 무선 트래픽의 패턴 분석 장치.
The method according to claim 1,
The new pattern checking unit,
And determines whether the second data frame is normal in consideration of the frequency with which the second data frame is located after the first data frame in the classified pattern.
상기 새로운 패턴 검사부는,
상기 분류된 패턴에서, 특정 데이터 프레임 다음에 올 수 있는 모든 데이터 프레임들의 빈도수의 합을 고려하여 정상 여부를 판단하는 무선 트래픽의 패턴 분석 장치.
The method according to claim 1,
The new pattern checking unit,
And determines the normal state by considering the sum of the frequencies of all the data frames that come after the specific data frame in the classified pattern.
상기 새로운 패턴 검사부는,
상기 분류된 패턴에서, 전체 프레임 중 특정 데이터 프레임이 나올 확률을 고려하여 정상 여부를 판단하는 무선 트래픽의 패턴 분석 장치.
The method according to claim 1,
The new pattern checking unit,
And determining whether a specific data frame is normal or not based on a probability that a specific data frame will occur in all the frames in the classified pattern.
상기 새로운 패턴 검사부는,
상기 적어도 하나 이상의 패턴이 새로운 패턴인 경우, 크네세르-네이 스무딩(Kneser-Ney Smoothing)을 통해 상기 각 패턴에 대해 정상일 확률을 계산한 후, 특정 임계값 이상인 경우 상기 적어도 하나 이상의 패턴을 정상 패턴으로 판단하는 무선 트래픽의 패턴 분석 장치.
The method according to claim 1,
The new pattern checking unit,
If the at least one pattern is a new pattern, the normal probability is calculated for each pattern through Kneser-Ney Smoothing, and if the at least one pattern is a specific threshold or more, A device for pattern analysis of wireless traffic to be determined.
상기 분류된 패턴들 중에서, 제1 데이터 프레임 다음에 제2 데이터 프레임이 위치하는 빈도를 계산하고, 상기 제1 데이터 프레임 다음에 올 수 있는 모든 데이터 프레임들의 빈도수의 합을 계산하며, 전체 프레임 중에서 상기 제1 프레임이 나올 확률을 계산하는 계산부; 및
상기 계산 결과를 고려하여 패턴의 확률 값이 특정 임계값 이상인 경우 정상 패턴으로 판단하여 정상 모델에 추가하여 정상 모델을 개선시키는 개선부
를 포함하는 것을 특징으로 하는 무선트래픽의 패턴 분석 장치
A classifier for classifying patterns from a normal model;
Calculating a frequency at which a second data frame is located after the first data frame among the classified patterns and calculating a sum of frequency bands of all data frames that can come after the first data frame, A calculation unit for calculating a probability that a first frame is generated; And
And an improvement unit for determining a normal pattern when the probability value of the pattern is greater than or equal to a certain threshold value and adding the normal pattern to the normal model in consideration of the calculation result,
Wherein the wireless traffic pattern analyzer
무선 트래픽을 수신하고, 상기 수신된 무선 트래픽을 적어도 하나 이상의 패턴으로 분류하는 단계; 및
상기 생성된 N 그램 테이블을 참고하여, 상기 적어도 하나 이상의 패턴에 대한 정상 여부를 판단하는 단계
를 포함하는 무선 트래픽의 패턴 분석 방법.
Applying the N-gram model to the normal model to generate the N-gram table from the pattern existing in the normal model;
Receiving wireless traffic and classifying the received wireless traffic into at least one pattern; And
Determining whether the at least one pattern is normal with reference to the generated N-gram table
The method comprising the steps of:
상기 정상 여부를 판단하는 단계는,
크네세르-네이 스무딩(Kneser-Ney Smoothing)을 통해 상기 각 패턴에 대한 확률을 계산하는 단계
를 포함하는 무선 트래픽의 패턴 분석 방법.
10. The method of claim 9,
Wherein the step of determining whether the abnormal state is normal includes:
Calculating a probability for each of the patterns through Kneser-Ney Smoothing
The method comprising the steps of:
상기 각 패턴에 대한 확률을 계산하는 단계는,
상기 적어도 하나 이상의 패턴이 새로운 패턴인 경우, 상기 크네세르-네이 스무딩(Kneser-Ney Smoothing)을 통해 상기 각 패턴에 대해 정상일 확률을 계산한 후, 특정 임계값 이상인 경우 상기 적어도 하나 이상의 패턴을 정상 패턴으로 판단하는 단계
를 포함하는 무선 트래픽의 패턴 분석 방법.
11. The method of claim 10,
Wherein calculating the probability for each pattern comprises:
If the at least one pattern is a new pattern, the normal probability is calculated for each pattern through Kneser-Ney Smoothing, and if the at least one pattern is a specific threshold or more, ≪ / RTI >
The method comprising the steps of:
상기 적어도 하나 이상의 패턴에 대한 정상 여부를 판단하는 단계는,
상기 분류된 패턴에서, 제1 데이터 프레임 다음에 제2 데이터 프레임이 위치하는 빈도를 고려하여 정상 여부를 판단하는 단계
를 포함하는 무선 트래픽의 패턴 분석 방법.
10. The method of claim 9,
The step of determining whether the at least one pattern is normal may include:
Determining whether the second data frame is normal based on the frequency with which the second data frame is located after the first data frame in the classified pattern;
The method comprising the steps of:
상기 적어도 하나 이상의 패턴에 대한 정상 여부를 판단하는 단계는,
상기 분류된 패턴에서, 특정 데이터 프레임 다음에 올 수 있는 모든 데이터 프레임들의 빈도수의 합을 고려하여 정상 여부를 판단하는 단계
를 포함하는 무선 트래픽의 패턴 분석 방법.
10. The method of claim 9,
The step of determining whether the at least one pattern is normal may include:
Determining whether the normalized pattern is normal considering the sum of the frequencies of all data frames that can come after a specific data frame in the classified pattern;
The method comprising the steps of:
상기 적어도 하나 이상의 패턴에 대한 정상 여부를 판단하는 단계는,
상기 분류된 패턴에서, 전체 프레임 중 특정 데이터 프레임이 나올 확률을 고려하여 정상 여부를 판단하는 단계
를 포함하는 무선 트래픽의 패턴 분석 방법.
10. The method of claim 9,
The step of determining whether the at least one pattern is normal may include:
In the classified pattern, it is determined whether or not it is normal considering the probability of a specific data frame coming out of all the frames
The method comprising the steps of:
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020160165268A KR102029184B1 (en) | 2016-12-06 | 2016-12-06 | Apparatus and method of analyzing pattern of wireless traffic |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020160165268A KR102029184B1 (en) | 2016-12-06 | 2016-12-06 | Apparatus and method of analyzing pattern of wireless traffic |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20180064859A true KR20180064859A (en) | 2018-06-15 |
KR102029184B1 KR102029184B1 (en) | 2019-10-07 |
Family
ID=62628988
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020160165268A KR102029184B1 (en) | 2016-12-06 | 2016-12-06 | Apparatus and method of analyzing pattern of wireless traffic |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR102029184B1 (en) |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20020070686A (en) | 2001-03-02 | 2002-09-11 | 지정아 | Method for manufacturmg a drink mainly made from an Agaricus mushroom |
KR20070060441A (en) * | 2005-12-08 | 2007-06-13 | 한국전자통신연구원 | Effective intrusion detection device and the method by analyzing traffic patterns |
KR20080043643A (en) | 2006-11-14 | 2008-05-19 | 주식회사 대우일렉트로닉스 | Steam boiler |
KR20130076268A (en) * | 2011-12-28 | 2013-07-08 | 한양대학교 산학협력단 | Method of providing efficient matching mechanism using index based on n-gram model generation in intrusion detection system |
KR101619414B1 (en) * | 2015-01-06 | 2016-05-10 | 한국인터넷진흥원 | System for detecting abnomal behaviors using personalized early use behavior pattern analsis |
-
2016
- 2016-12-06 KR KR1020160165268A patent/KR102029184B1/en active IP Right Grant
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20020070686A (en) | 2001-03-02 | 2002-09-11 | 지정아 | Method for manufacturmg a drink mainly made from an Agaricus mushroom |
KR20070060441A (en) * | 2005-12-08 | 2007-06-13 | 한국전자통신연구원 | Effective intrusion detection device and the method by analyzing traffic patterns |
KR20080043643A (en) | 2006-11-14 | 2008-05-19 | 주식회사 대우일렉트로닉스 | Steam boiler |
KR20130076268A (en) * | 2011-12-28 | 2013-07-08 | 한양대학교 산학협력단 | Method of providing efficient matching mechanism using index based on n-gram model generation in intrusion detection system |
KR101619414B1 (en) * | 2015-01-06 | 2016-05-10 | 한국인터넷진흥원 | System for detecting abnomal behaviors using personalized early use behavior pattern analsis |
Also Published As
Publication number | Publication date |
---|---|
KR102029184B1 (en) | 2019-10-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9769190B2 (en) | Methods and apparatus to identify malicious activity in a network | |
US11003773B1 (en) | System and method for automatically generating malware detection rule recommendations | |
US8751417B2 (en) | Trouble pattern creating program and trouble pattern creating apparatus | |
JP6099556B2 (en) | Voice identification method and apparatus | |
US20170126724A1 (en) | Log analyzing device, attack detecting device, attack detection method, and program | |
US9589560B1 (en) | Estimating false rejection rate in a detection system | |
US20170076739A1 (en) | Method and Apparatus for Detecting Audio Signal According to Frequency Domain Energy | |
US20090138590A1 (en) | Apparatus and method for detecting anomalous traffic | |
US9059951B2 (en) | Method and apparatus for spam message detection | |
US20210027769A1 (en) | Voice alignment method and apparatus | |
US20120090027A1 (en) | Apparatus and method for detecting abnormal host based on session monitoring | |
CN107666468B (en) | Network security detection method and device | |
CN113704328B (en) | User behavior big data mining method and system based on artificial intelligence | |
KR20170057030A (en) | Method and apparatus for detecting attaks and generating attack signatures based on signature merging | |
CN104022879A (en) | Voice security verification method and apparatus | |
CN107426136B (en) | Network attack identification method and device | |
US10972500B2 (en) | Detection system, detection apparatus, detection method, and detection program | |
KR101792204B1 (en) | Apparatus and method for analyzing voice phishing pattern based on probability | |
KR102029184B1 (en) | Apparatus and method of analyzing pattern of wireless traffic | |
US11956256B2 (en) | Priority determination apparatus, priority determination method, and computer readable medium | |
CN104021324A (en) | Method and device for writing safety verification | |
US11729208B2 (en) | Impact range estimation apparatus, impact range estimation method, and computer-readable recording medium | |
EP3109789B1 (en) | Method and gateway device for obtaining file reputation and file reputation server | |
KR20180042019A (en) | Method for analyzing risk element of network packet based on recruuent neural network and apparatus analyzing the same | |
CN115314322A (en) | Vulnerability detection confirmation method, device, equipment and storage medium based on flow |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant |