KR100776828B1 - Method for intrusion detection of ubiquitous home networks environment, recording medium thereof and apparatus for intrusion detection of ubiquitous home networks environment - Google Patents

Method for intrusion detection of ubiquitous home networks environment, recording medium thereof and apparatus for intrusion detection of ubiquitous home networks environment Download PDF

Info

Publication number
KR100776828B1
KR100776828B1 KR1020060080829A KR20060080829A KR100776828B1 KR 100776828 B1 KR100776828 B1 KR 100776828B1 KR 1020060080829 A KR1020060080829 A KR 1020060080829A KR 20060080829 A KR20060080829 A KR 20060080829A KR 100776828 B1 KR100776828 B1 KR 100776828B1
Authority
KR
South Korea
Prior art keywords
attack
data
type
risk level
intrusion detection
Prior art date
Application number
KR1020060080829A
Other languages
Korean (ko)
Inventor
유재학
이한성
박대희
정용화
Original Assignee
고려대학교 산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 고려대학교 산학협력단 filed Critical 고려대학교 산학협력단
Priority to KR1020060080829A priority Critical patent/KR100776828B1/en
Application granted granted Critical
Publication of KR100776828B1 publication Critical patent/KR100776828B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Abstract

An intrusion detection method of a ubiquitous home network environment, a recording medium thereof, and an intrusion detection device in the ubiquitous home network environment are provided to offer detailed information on an attacking type by using clustering, to ensure expansibility and escalation of a system, and to ensure fast and efficient study and updating by targeting a class only of an attacking type while another class is not influenced when the new attacking type is detected. Classification for normal data and attacking data is performed by using a single class support vector machine from network traffic data(510). The classified attacking data is classified into passive attacks and active attacks to determine a risk level of the attacking data(520). Attacking types of the classified attacking data are classified by using multiple class support vector machines(530). Clustering using a kernel ART is performed according to each attacking type, and detailed information on the attacking types is generated(540). A coping method of a system is determined by using the risk level, the attacking types, and the detailed information(550).

Description

유비쿼터스 홈네트워크 환경의 침입탐지 방법, 그 기록 매체 및 유비쿼터스 홈네트워크 환경의 침입탐지 장치 {Method for intrusion detection of ubiquitous home networks environment, Recording medium thereof and Apparatus for intrusion detection of ubiquitous home networks environment}Intrusion detection method of ubiquitous home network environment, recording medium and intrusion detection device of ubiquitous home network environment {Method for intrusion detection of ubiquitous home networks environment, Recording medium etc and Apparatus for intrusion detection of ubiquitous home networks environment}

도 1은 본 발명이 적용되는 홈 네트워크 환경에서의 접근경로 분석도이다.1 is a diagram illustrating an access path analysis in a home network environment to which the present invention is applied.

도 2는 본 발명이 적용되는 홈 네트워크 환경에서의 공격 유형별 분류도이다.2 is a classification diagram according to attack types in a home network environment to which the present invention is applied.

도 3은 본 발명에 따른 유비쿼터스 홈네트워크 환경의 침입탐지 장치의 개념도이다.3 is a conceptual diagram of an intrusion detection apparatus of a ubiquitous home network environment according to the present invention.

도 4는 본 발명에 따른 유비쿼터스 홈네트워크 환경의 침입탐지 장치의 블럭도이다.4 is a block diagram of an intrusion detection apparatus of a ubiquitous home network environment according to the present invention.

도 5는 본 발명에 따른 유비쿼터스 홈네트워크 환경의 침입탐지 방법의 흐름도이다.5 is a flowchart illustrating an intrusion detection method of a ubiquitous home network environment according to the present invention.

본 발명은 침입 탐지에 관한 것으로, 특히, 유비쿼터스 홈네트워크 환경의 침입탐지 방법, 그 기록 매체 및 유비쿼터스 홈네트워크 환경의 침입탐지 장치에 관한 것이다.The present invention relates to intrusion detection, and more particularly, to an intrusion detection method in a ubiquitous home network environment, a recording medium thereof, and an intrusion detection apparatus in a ubiquitous home network environment.

최근의 연구문헌 조사에 의하면, 홈네트워크의 유무선 기술은 종래에 존재하는 기술을 바탕으로 개발되었기 때문에 종래의 외부 위협들이 홈네트워크 환경에 반영될 수 있다. 또한, 언제(anytime), 어디서나(anywhere), 어떤 기기(any device)로도 미디어에 구애받지 않고(any media) 접속할 수 있는 홈네트워크 구축 시 더욱 다양하고 복잡한 위협이 존재하기 때문에 안정적인 서 비스 제공 및 사용자 정보의 보호는 매우 중요하다.According to a recent research study, since the wired / wireless technology of the home network is developed based on the existing technology, the external threats can be reflected in the home network environment. In addition, since there are more and more complex threats when building a home network that can be accessed anytime, anywhere, any device, any media, stable service and users The protection of information is very important.

따라서, 서비스의 성공적인 제공을 위해 초기 부터 보안 기능을 구현하고, 사용자 정보의 보호 및 안정적인 서비스 제공을 위한 보안의 중요성이 더욱 강조되고 있다.Therefore, the importance of security to implement a security function from the beginning for the successful provision of services, and to protect user information and provide a stable service is emphasized more.

이러한 홈네트워크는 생활의 중심에서 편의성을 제공하는 서비스인 만큼 서비스를 제공받는 사용자 입장에서는 편의성 만큼이나 그 역기능에 대한 우려가 클 수 밖에 없다. 역기능으로는 사생활 침해나 개인 정보의 노출, 개인 정보의 도용 등 많은 문제를 포함하며 서비스에 비해 공격 받는 사용자의 피해는 더욱 커질 수 있다. 따라서 서비스가 성공적으로 제공되기 위해서는 초기 부터 보안 기능을 구현하여 이러한 문제를 차단해야 한다.Such home network is a service that provides convenience at the center of life, so the user who is provided with the service has only as much concern about its dysfunction as convenience. Dysfunction includes many problems such as invasion of privacy, exposure of personal information, and theft of personal information, and the damage of the attacked user may be greater than that of the service. Therefore, in order to provide a successful service, security problems must be implemented from the outset to prevent such problems.

홈네트워크 환경은 개인 정보보호를 위해 외부에서의 불법적인 침입과 악성코드 유입에 대해서 침입과 대응시스템이 필요하게 되며 이러한 솔루션을 통합 관리하는 시스템을 댁내에 설치하여 보안 관리를 통한 안전하고 편리한 홈네트워크 생활을 영위하는 기술이 반드시 필요하다. Home network environment requires intrusion and countermeasure system against illegal intrusion and malicious code inflow from outside for personal information protection and secure and convenient home network through security management by installing a system that integrates these solutions in house. The skill of living is essential.

이러한 종래 침입탐지 시스템을 비롯한 보안시스템은 홈네트워크의 특수한 상황에 따라 직접 적용이 어렵기 때문에 종래의 보안시스템과는 별도로 홈네트워크 환경을 위한 보안시스템은 다음과 같은 점들을 고려해야 한다.Since such a security system including the conventional intrusion detection system is difficult to apply directly according to the special situation of the home network, the security system for the home network environment separately from the conventional security system should consider the following points.

첫째, 대부분의 홈네트워크 사용자는 시스템에 대한 전문지식을 가지고 있지 않다. 따라서 시스템 갱신을 포함한 많은 부분이 자동화 되어야 한다. 둘째, 훈련된 보안 관리자가 운영하는 것이 아니므로 사용이 간편하고 정책설정이 쉬운 사용자 인터페이스가 단순하고 운영의 편의성이 보장되어야 한다. 셋째, 홈네트워크 구축비용을 감안할 때 저가로 시스템을 구축할 수 있어야 하며 따라서 시스템이 경량으로 가볍게 동작하고 별도의 추가적인 장비나 프로그램의 도움 없이도 동작하여야 한다. 넷째, 홈네트워크의 침입이 정보가전의 동작에 영향을 미치기 전에 처리할 수 있도록 실시간성이 보장되어야한다. 다섯째, 종래의 보안 제품과 달리 홈네트워크 기기는 각 가정에 보급되는 것을 목표로 하기 때문에 대량생산, 대량공급 및 운영 편의성이 보장되어야 한다.First, most home network users do not have system expertise. Therefore, much of it, including system updates, needs to be automated. Second, since it is not operated by a trained security administrator, a user interface that is simple to use and easy to set policy should be simple and convenient to operate. Third, considering the cost of building a home network, it should be possible to build a system at low cost. Therefore, the system should operate lightly and lightly and operate without additional equipment or programs. Fourth, real time must be guaranteed so that home network intrusion can be handled before it affects the operation of information appliances. Fifthly, unlike conventional security products, home network devices aim to be distributed to each home, so mass production, mass supply and convenience of operation should be guaranteed.

유무선 네트워크에서의 침입탐지에 대한 연구동향 중 특히 패턴분류(pattern classification) 및 함수 근사(function approximation) 등의 문제에서 매우 우수한 성능을 보이는 서포트 벡터 머신(Support Vector Machine, SVM)을 침입탐지에 적용하려는 연구가 활발히 연구되고 있다.Among the research trends on intrusion detection in wired and wireless networks, we tried to apply support vector machines (SVMs) to intrusion detection, which show very good performance in terms of pattern classification and function approximation. Research is being actively researched.

첫번째 부류는 이진 분류기(binary classifier)인 서포트 벡터 머신(SVM)의 성격을 이용하여 정상 데이터와 공격 데이터를 이분 분류하는 방법을 취하고 있으 며, 두번째 부류는 단일 클래스 서포트 벡터 머신 (one-class SVM)을 이용하여 비정상 탐 지 모델을 구현하는 방법이다. The first class uses the nature of the binary classifier, Support Vector Machine (SVM), to split the normal data and the attack data into two classes, and the second class is the one-class SVM. This is a method to implement an abnormal detection model using.

그러나 위의 두 가지 방법은 모두 정상 데이터와 비정상 데이터만을 분류할 뿐 탐지된 공격 유형에 대한 추가적 정보를 제공하지 못한다. However, both of these methods only classify normal and abnormal data and do not provide additional information on the type of attack detected.

마지막으로 세번째 부류는 비교적 많은 개수의 이진 분류기인 서포트 벡터 머신들을 조합하여 학습시키는 구조로 다중 클래스 서포트 벡터 머신(multi-class SVM)을 구축하여, 정상 데이터와 여러 공격 유형들을 분류한다. 이 방법은 위의 두 가지 방법론에 비해 보다 발전적인 분류이나, 시스템의 성능이 학습 데이터의 질에 전적으로 의존할 뿐만 아니라 학습 시간이 많이 소요되어 현실적으로 실무에 적용할 수 있는 지능적 침입탐지 시스템과는 여전히 거리가 멀다.Finally, the third class constructs a multi-class SVM with a structure that trains a relatively large number of binary classifiers, support vector machines, to classify normal data and various attack types. This method is more advanced than the above two methodologies, but it is still different from the intelligent intrusion detection system, where the performance of the system is not only dependent on the quality of the learning data, but also requires a lot of learning time and can be practically applied to practical applications. It is far.

따라서, 종재의 침입 탐지 방법은 공격 유형에 대한 추가적 정보를 제공하지 못하고, 시스템의 성능이 학습 데이터의 질에 전적으로 의존할 뿐만 아니라 학습 시간이 많이 소요되며, 탐지된 공격 유형에 대한 체계적인 대응 방법을 결정할 수 없는 문제점이 있다.Therefore, the intrusion detection method does not provide additional information on the type of attack, and the performance of the system is not only dependent on the quality of the training data, but also requires a lot of learning time. There is a problem that cannot be determined.

따라서, 본 발명이 이루고자 하는 첫번째 기술적 과제는 클러스터링을 이용하여 공격 유형에 대한 세부 정보를 제공할 수 있고, 시스템의 점증성과 확장성을 보장하고, 새로운 공격 유형 탐지시 다른 클래스에는 영향을 주지 않은 상태에서 해당 공격 유형의 클래스만을 대상으로 빠르고 효율적인 학습 및 갱신을 보장할 수 있으며, 탐지된 공격 유형에 대한 체계적인 대응 방법을 결정할 수 있는 유비쿼터스 홈네트워크 환경의 침입탐지 방법을 제공하는데 있다.Therefore, the first technical problem to be achieved by the present invention is to provide detailed information on the attack type by using clustering, to guarantee the system's incrementality and scalability, and to not affect other classes when detecting a new attack type. In this class, we can guarantee fast and efficient learning and update only for the class of attack type, and provide intrusion detection method of ubiquitous home network environment to determine systematic response method for detected attack type.

본 발명이 이루고자 하는 두번째 기술적 과제는 상기의 유비쿼터스 홈네트워크 환경의 침입탐지 방법을 컴퓨터에서 실행시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체를 제공하는데 있다.A second technical object of the present invention is to provide a computer-readable recording medium recording a program for executing the above-described intrusion detection method of a ubiquitous home network environment on a computer.

본 발명이 이루고자 하는 세번째 기술적 과제는 상기의 유비쿼터스 홈네트워크 환경의 침입탐지 방법이 적용된 유비쿼터스 홈네트워크 환경의 침입탐지 장치를 제공하는데 있다.The third technical problem to be achieved by the present invention is to provide an intrusion detection apparatus of the ubiquitous home network environment to which the intrusion detection method of the ubiquitous home network environment is applied.

상기의 첫번째 기술적 과제를 이루기 위하여, 본 발명은 네트워크 트래픽 데이터로부터 단일 클래스 서포트 벡터 머신을 이용하여 정상 데이터와 공격 데이터에 대한 분류를 수행하는 단계, 상기 분류된 공격 데이터를 수동적 공격과 능동적 공격으로 분류하여 상기 공격 데이터의 리스크 레벨을 결정하는 단계, 다중 클래스 서포트 벡터 머신을 이용하여 상기 분류된 공격 데이터의 공격 유형을 분류하는 단계, 상기 공격 유형별로 커널 에이알티를 이용한 클러스터링을 수행하여 상기 공격 유형에 대한 세부 정보를 생성하는 단계 및 상기 리스크 레벨, 상기 공격 유형 및 상기 세부 정보를 이용하여 시스템의 대응 방법을 결정하는 단계를 포함하는 유비쿼터스 홈네트워크 환경의 침입탐지 방법을 제공한다.In order to achieve the first technical problem, the present invention performs classification of normal data and attack data using a single class support vector machine from network traffic data, and classifies the classified attack data into a passive attack and an active attack. Determining a risk level of the attack data; classifying an attack type of the classified attack data using a multi-class support vector machine; performing clustering using kernel ATI for each of the attack types; It provides a method for detecting intrusion in a ubiquitous home network environment, including generating detailed information about the network and determining a corresponding method of the system using the risk level, the attack type, and the detailed information.

상기의 두번째 기술적 과제를 이루기 위하여, 본 발명은 상기의 유비쿼터스 홈네트워크 환경의 침입탐지 방법을 컴퓨터에서 실행시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체를 제공한다.In order to achieve the second technical problem, the present invention provides a computer-readable recording medium having recorded thereon a program for executing the above-described intrusion detection method of a ubiquitous home network environment on a computer.

상기의 세번째 기술적 과제를 이루기 위하여, 본 발명은 정상 데이터에 의해 학습되고, 네트워크 트래픽 데이터로부터 정상 데이터와 공격 데이터에 대한 분류를 수행하는 단일 클래스 서포트 벡터 머신, 상기 분류된 공격 데이터를 수동적 공격과 능동적 공격으로 분류하여 상기 공격 데이터의 리스크 레벨을 결정하는 유형 분류부, 상기 분류된 공격 데이터의 공격 유형을 분류하는 다중 클래스 서포트 벡터 머신, 상기 공격 유형별로 클러스터링을 수행하여 상기 공격 유형에 대한 세부 정보를 생성하는 커널 에이알티 및 상기 리스크 레벨, 상기 공격 유형 및 상기 세부 정보를 이용하여 시스템의 대응 방법을 결정하는 침입 대응 시스템을 포함하는 유비쿼터스 홈네트워크 환경의 침입탐지 장치를 제공한다.In order to achieve the above-mentioned third technical problem, the present invention is a single class support vector machine which is trained by normal data and performs classification on normal data and attack data from network traffic data, passive attack and active classification of the classified attack data. A type classification unit for classifying an attack data to determine a risk level of the attack data, a multi-class support vector machine for classifying attack types of the classified attack data, and performing clustering for each attack type to obtain detailed information about the attack type. Provided is an intrusion detection apparatus of a ubiquitous home network environment including a kernel ATI to generate and an intrusion response system that determines a system response method using the risk level, the attack type, and the detailed information.

또한, 상기의 세번째 기술적 과제를 이루기 위하여, 본 발명은 정상 데이터에 의해 학습되고, 네트워크 트래픽 데이터로부터 정상 데이터와 공격 데이터에 대한 분류를 수행하는 단일 클래스 서포트 벡터 머신, 상기 분류된 공격 데이터를 수동적 공격과 능동적 공격으로 분류하여 상기 능동적 공격의 리스크 레벨은 상기 수동적 공격의 리스크 레벨보다 높게 설정하는 유형 분류부, 상기 분류된 공격 데이터의 공격 유형을 분류하는 다중 클래스 서포트 벡터 머신, 상기 공격 유형별로 클러스터링을 수행하여 상기 공격 유형에 대한 세부 정보를 생성하는 커널 에이알티 및 상기 리스크 레벨, 상기 공격 유형 및 상기 세부 정보를 이용하여 시스템의 대응 방법을 결정하고, 상기 결정된 대응 방법에 따라 보안 센서, 바이오 센서, 광 센서, 온도 센서 및 상기 네트워크에 연결된 홈 기기들을 제어하는 침입 대응 시스템을 포함하는 유비쿼터스 홈네트워크 환경의 침입탐지 장치를 제공한다.In addition, in order to achieve the third technical problem described above, the present invention is a single class support vector machine that is trained by normal data and performs classification on normal data and attack data from network traffic data, and passive attacks on the classified attack data. And a type classification unit for setting the risk level of the active attack to be higher than the risk level of the passive attack, a multi-class support vector machine for classifying the attack types of the classified attack data, and clustering by the attack type. Determine a corresponding method of the system using the kernel ATI and the risk level, the attack type, and the detailed information to generate detailed information on the attack type, and according to the determined method, a security sensor, a biosensor, Light sensor, temperature sensor and the above An intrusion detection apparatus of a ubiquitous home network environment including an intrusion response system for controlling home devices connected to a network is provided.

본 발명은 종래의 침입탐지 방법론인 오용탐지 모델과 비정상 탐지 모델의 장점은 유지하되 단점은 보완한 모델로써 유비쿼터스 홈네트워크 환경을 고려한 새로운 침입탐지 모델에 관한 것이다. 본 발명은 홈네트워크 침입탐지 시스템에 관한 것으로, 특히, HNMMIDS(Home Network Multi-step Multi-class Intrusion Detection System)에 관한 것이다.The present invention relates to a new intrusion detection model considering the ubiquitous home network environment as a model that maintains the advantages of the conventional intrusion detection method and the misuse detection model and abnormal detection model, but complements the disadvantages. The present invention relates to a home network intrusion detection system, and more particularly, to a home network multi-step multi-class intrusion detection system (HNMMIDS).

홈네트워크 환경에 적합한 침입탐지 모델은 사용자의 정보 보호를 위해 상술한 고려사항들은 만족해야 하며, 유무선 네트워크 환경에서의 오용탐지와 비정상 탐지의 장점은 유지하되 단점인 새로운 공격 유형 발견이 어렵다는 점과 새로운 공격 유형 발견 시 추가적인 세부 정보를 알 수 없기 때문에 적절한 대처를 할 수 없다는 한계점을 극복해야 한다.Intrusion detection model suitable for home network environment should satisfy the above considerations to protect user's information, while maintaining advantages of misuse detection and anomaly detection in wired and wireless network environment, but it is difficult to find new attack type. When discovering the type of attack, you need to overcome the limitation of not being able to respond properly because additional details are not known.

본 발명은 단일 클래스 서포트 벡터 머신, 다중 클래스 서포트 벡터 머신 및 점증적 갱신의 클러스터링 알고리즘인 커널 에이알티 또는 커널 아트(Kernel-ART)를 계층적으로 결합한 구조를 이용하여 홈네트워크에서의 침입탐지 방법를 제공한다.The present invention provides a method for detecting intrusion in a home network using a hierarchical structure of a kernel class, kernel class, or kernel art, which is a clustering algorithm of incremental update. do.

본 발명은 유비쿼터스 홈네트워크 환경을 고려한 침입탐지 방법론이다. 홈네트워크 환 경에 적합한 침입탐지 모델 설계를 위하여 종래 유무선 네트워크에서 적용되어 온 데이터 마이닝 및 기계학습 기법을 활용한다.The present invention is an intrusion detection methodology considering the ubiquitous home network environment. In order to design an intrusion detection model suitable for home network environment, data mining and machine learning techniques applied in wired and wireless networks are utilized.

본 발명에서는 유비쿼터스 홈네트워크에서의 사생활 침해 및 개인정보 보호, 개인 정보의 도용 등의 안전성을 보장하기 위해 사용한다. In the present invention, it is used to ensure the safety of privacy invasion, privacy protection, theft of personal information, etc. in the ubiquitous home network.

본 발명에 따른 유비쿼터스 홈네트워크 환경의 침입탐지 방법은 다음의 과정으로 수행된다. 즉, 본 발명에 따른 유비쿼터스 홈네트워크 환경의 침입탐지 방법은 정상데이 터에 의해 학습된 단일 클래스 서포트 벡터 머신은 정상 데이터와 공격 데이터에 대한 일차적인 분류 수행 단계, 공격으로 분류된 데이터들을 수동적 공격과 능동적 공격으로 분류하는 단계, 두 가지로 분류된 공격 유형을 다중 클래스 서포트 벡터 머신에 의해 하나의 세분화된 공격 유형으로 분류하고 침입대응 시스템에 공격 유형에 대한 추가 정보를 제공하는 단계, 해당 공격에 대한 보다 세부적인 정보가 요구될 경우 각 공격 유형별 클러스터링이 커널 에이알티(Kernel-ART)에 의해 수행되며 각 클러스터의 내용 요약을 위해 별도의 대표 벡터 계산 없이 개념 벡터를 사용함으로 공격별 레이블링(labeling)을 제공하는 단계, 공격 데이터에 대한 리스크 레벨(risk level) 정보와 공격 유형별 정보, 해당 공격에 대한 세부적인 정보를 이용해 재인증, 전원차단, 접근제어 등의 대응 방법을 결정하여 피해를 최소화하는 단계를 포함한다. Intrusion detection method of the ubiquitous home network environment according to the present invention is performed by the following process. In other words, the intrusion detection method of the ubiquitous home network environment according to the present invention is a single class support vector machine trained by the normal data. Categorizing the two types of attacks into one granular type of attack by a multi-class support vector machine and providing additional information about the type of attack to the intrusion response system. If more detailed information is required, clustering for each attack type is performed by Kernel-ART, and attack-specific labeling can be achieved by using concept vectors without calculating a separate representative vector to summarize the contents of each cluster. Steps to provide risk level information and information on the attack data. Minimize damage by determining the countermeasures such as re-authentication, power off, and access control using the information of each type and detailed information on the attack.

즉, 본 발명은 네트워크 트래픽 데이터로부터 정상 데이터 와 공격 데이터에 대한 일차적인 분류, 공격으로 분류된 데이터들을 다중 클래스 서포트 벡터 머신 에 의해 하나의 공격 유형으로 분류, 해당 공격에 대한 보다 세부적인 정보 제공을 위해 각 공격 유형별 클러스터링이 커널 에이알티(Kernel-ART)에 의해 수행, 리스크 레벨(risk level) 정보와 공격 유형별 정보를 통한 대응 방법 결정을 결정하여 피해를 최소화 하는 과정을 포함한다.That is, the present invention classifies the primary classification of the normal data and the attack data from the network traffic data, classifies the data classified as the attack into one attack type by the multi-class support vector machine, and provides more detailed information about the attack. For each type of attack, clustering is performed by Kernel-ART, which includes minimizing the damage by determining the risk level information and determining the response method based on the attack type information.

이하에서는 도면을 참조하여 본 발명의 바람직한 실시예를 설명하기로 한다. 그러나, 다음에 예시하는 본 발명의 실시예는 여러 가지 다른 형태로 변형될 수 있 으며, 본 발명의 범위가 다음에 상술하는 실시예에 한정되는 것은 아니다.Hereinafter, with reference to the drawings will be described a preferred embodiment of the present invention. However, embodiments of the present invention illustrated below may be modified in various other forms, and the scope of the present invention is not limited to the embodiments described below.

도 1은 본 발명이 적용되는 홈 네트워크 환경에서의 접근경로 분석도이다.1 is a diagram illustrating an access path analysis in a home network environment to which the present invention is applied.

홈 네트워크 환경에서의 접근경로는 크게 댁외망을 통한 접근과 댁내망을 통한 접근으로 나누어진다. 댁외망은 외부 유선망과 외부 무선망이 현재 사용하고 있는 인터넷 망을 통 해 접근하는 방법이고, 댁내망은 PLC나 802.11 등의 프로토콜을 이용한 접근 방법이다.The access path in the home network environment is divided into the access through the home network and the access through the home network. The outdoor network is a method of accessing through the internet network currently used by the external wired network and the external wireless network, and the home network is an approach using a protocol such as PLC or 802.11.

도 2는 본 발명이 적용되는 홈 네트워크 환경에서의 공격 유형별 분류도이다.2 is a classification diagram according to attack types in a home network environment to which the present invention is applied.

홈 네트워크에서의 공격 유형은 크게 수동적 공격(passive attack)과 능동적 공격(active attack)으로 분류된다. 수동적 공격의 경우 송·수신되는 데이터의 트래픽 분석, 무선으로 연결 된 홈 기기간 송수신 데이터에 대한 분석, 유무선 구간에서 송수신되는 데이터를 관찰하여 서비스 사용자의 프라이버시를 침해하는 형태로 세분화 된다. 능동적 공격의 경우 서비스 방해 및 서비스 장애 등의 DoS(denial of service), 시스템 자체에 대한 공격, 통신 데이터에 대한 위변조, 홈 기기 불법 접근, 웹 카메라 등을 통한 홈 내부의 프라이버시 침해로 세분화 된다.Attack types in the home network are largely classified into passive attack and active attack. Passive attacks are subdivided into traffic analysis of transmitted / received data, analysis of data transmitted / received between wirelessly connected home devices, and breaches the privacy of service users by observing data transmitted / received in wired / wireless sections. Active attacks are subdivided into denial of service (DoS) such as service interruption and service failure, attack on the system itself, forgery of communication data, illegal access of home device, and invasion of privacy inside home through web camera.

도 3은 본 발명에 따른 유비쿼터스 홈네트워크 환경의 침입탐지 장치의 개념도이다.3 is a conceptual diagram of an intrusion detection apparatus of a ubiquitous home network environment according to the present invention.

서포트 벡터 머신은 주어진 문제의 전역적 최적해(global optimum) 값을 보장함으로 패턴 분류 및 함수 근사 등에 적용되어 매우 우수한 성능을 보인다. 따라서, 서포트 벡터 머신을 이용하여 해당 클래스만을 독립적으로 표현하는 단일 클래 스 분류기(one-class SVM)로서 결정 경계면을 선택하여 침입탐지 시스템의 여러 공격 유형들을 분류할 수 있다.The support vector machine is very effective for pattern classification and function approximation by guaranteeing the global optimum of a given problem. Therefore, by using the support vector machine as a single class classifier (one-class SVM) that independently represents only the class, the decision boundary can be selected to classify the various attack types of the intrusion detection system.

Figure 112006060774712-pat00001
-차원 입력공간상에 존재하는
Figure 112006060774712-pat00002
-개의 데이터의 집합
Figure 112006060774712-pat00003
이 주어졌을 경우, 각각의 클래스를 분류하기 위한 다 중 클래스 분류기는 각 클래스의 학습 데이터를 포함 하면서 체적을 최소화 하는 구체(sphere)를 구하는 문제로 정의되며, 다음의 최적화 문제를 통하여 수식화 된다.
Figure 112006060774712-pat00001
Existing in the dimensional input space
Figure 112006060774712-pat00002
Set of-data
Figure 112006060774712-pat00003
Given this, the multi-class classifier for classifying each class is defined as the problem of finding a sphere that minimizes the volume while including the learning data of each class, and is formulated through the following optimization problem.

Figure 112006060774712-pat00004
Figure 112006060774712-pat00004

여기서,

Figure 112006060774712-pat00005
Figure 112006060774712-pat00006
-번째 클래스를 표현하는 구체의 중심이고,
Figure 112006060774712-pat00007
: 구체의 반경의 제곱이며,
Figure 112006060774712-pat00008
Figure 112006060774712-pat00009
-번째의 클래스에 속한
Figure 112006060774712-pat00010
-번째 학습 데이터
Figure 112006060774712-pat00011
가 구체에서 벗어나는 정도를 나타내는 벌점 항이고,
Figure 112006060774712-pat00012
는 상대적 중요성을 조정하는 상수(trade-off constant)이다.here,
Figure 112006060774712-pat00005
Is
Figure 112006060774712-pat00006
The center of the sphere representing the -th class,
Figure 112006060774712-pat00007
Is the square of the radius of the sphere,
Figure 112006060774712-pat00008
Is
Figure 112006060774712-pat00009
Belonging to the first class
Figure 112006060774712-pat00010
-Th training data
Figure 112006060774712-pat00011
Is the penalty term for the degree of deviation from the sphere,
Figure 112006060774712-pat00012
Is a trade-off constant.

수학식 1에 관한 쌍대 문제(dual problem)를 구하기 위하여 라그랑제 함수(Lagrange function)

Figure 112006060774712-pat00013
을 도입한다.Lagrange function to find the dual problem of equation (1)
Figure 112006060774712-pat00013
Introduce.

Figure 112006060774712-pat00014
Figure 112006060774712-pat00014

단,

Figure 112006060774712-pat00015
이다.only,
Figure 112006060774712-pat00015
to be.

수학식 2는 변수

Figure 112006060774712-pat00016
에 대해서는 최소 값을 변수
Figure 112006060774712-pat00017
에 대해서는 최대 값을 가져 야 함으로, 아래의 조건식을 만족해야 한다.Equation 2 is a variable
Figure 112006060774712-pat00016
The minimum value for the variable
Figure 112006060774712-pat00017
Since it should have the maximum value for, the following conditional expression must be satisfied.

Figure 112006060774712-pat00018
Figure 112006060774712-pat00018

수학식 3을 라그랑제 함수

Figure 112006060774712-pat00019
에 대입하면, 다음의 쌍대 문제를 얻는다.Lagrange function
Figure 112006060774712-pat00019
Substituting into, we get the following dual problem:

Figure 112006060774712-pat00020
Figure 112006060774712-pat00020

입력 공간위에서 정의되는 구체는 매우 간단한 형태의 영역만을 나타낼 수 있다. 이러한 한계를 극복하기 위하여 커널 함수(kernel fuction)

Figure 112006060774712-pat00021
를 통하여 정의되는 고차원의 특징 공간(feature space)
Figure 112006060774712-pat00022
위에서 정의되는 구체를 사용하는 방향으로 확장될 수 있다. 각각의 클래스는 각자의 특징공간에서 자신의 경계를 보다 정확하게 표현할 수 있으므로, 시스템의 학습은 각각의 클래스들이 매핑되는 특징공간의 독립성을 고려하여 아래의 QP 문제의 해답을 얻음으로써 이루어진다.Spheres defined above the input space can only represent very simple regions. Kernel fuctions to overcome this limitation
Figure 112006060774712-pat00021
Higher feature space defined by
Figure 112006060774712-pat00022
It may extend in the direction of using the spheres defined above. Since each class can express its boundary more accurately in its own feature space, the learning of the system is done by considering the independence of the feature space to which each class is mapped.

Figure 112006060774712-pat00023
Figure 112006060774712-pat00023

특히, 가우시안 커널(Gaussian kernel)을 사용할 경우,

Figure 112006060774712-pat00024
이 성립함으로 수학식 5 는 아래와 같이 단순화 된다.In particular, when using a Gaussian kernel,
Figure 112006060774712-pat00024
With this, Equation 5 is simplified as follows.

Figure 112006060774712-pat00025
Figure 112006060774712-pat00025

학습 종료 후 적용 과정에서, 각각 클래스의 결정함수는 다음과 같이 정의 된다.In the application process after the end of learning, the decision function of each class is defined as follows.

Figure 112006060774712-pat00026
Figure 112006060774712-pat00026

서로 다른 특징 공간상에서 정의되는 단일 서포트 벡터 머신의 출력

Figure 112006060774712-pat00027
값은 각 클래스의 특징 공간상의 경계로부터 해당 테스트 데이터와의 절대 거리를 의미함으로, 서로 다른 특징 공간상의 절대 거리를 비교하여 소속 클래스를 결정하는 것은 바람직하지 않다. 따라서, 특징 공간상의 절대거리
Figure 112006060774712-pat00028
를 특징 공간상에서 정의되는 구형체의 반경
Figure 112006060774712-pat00029
로 나눔으 로서 상대적 거리
Figure 112006060774712-pat00030
를 계산하고, 상대 거리가 가장 큰 클래스를 입력 데이터
Figure 112006060774712-pat00031
의 소속 클래스로 결정한다.Output of a single support vector machine defined in different feature spaces
Figure 112006060774712-pat00027
Since the value represents the absolute distance from the boundary of the feature space of each class with the corresponding test data, it is not desirable to determine the belonging class by comparing the absolute distances of different feature spaces. Thus, absolute distance in feature space
Figure 112006060774712-pat00028
The radius of a sphere defined in space
Figure 112006060774712-pat00029
Divided by relative distance
Figure 112006060774712-pat00030
Calculate and enter the class with the largest relative distance data
Figure 112006060774712-pat00031
Decide on your class.

Figure 112006060774712-pat00032
Figure 112006060774712-pat00032

도 3의 전체 시스템 구성은 다음의 다섯 단계에 걸쳐 수행된다. 각 단계에 대한 보다 상세한 설명은 다음과 같다. The overall system configuration of FIG. 3 is performed in five steps. A more detailed description of each step follows.

먼저, 정상 데이터와 공격 데이터에 대한 일차적인 분류한다. 다음, 공격으로 분류된 데이터들을 수동적 공격과 능동적 공격으로 분류한다. 수동적 공격과 능 동적 공격에 대한 다중 클래스 서포트 벡터 머신에 의해 하나의 공격 유형으로 분류한다. 다음, 해당 공격에 대한 보다 세부적인 정보가 요구될 경우, 각 공격 유형별 클러스터링이 커널 에이알티(Kernel-ART)에 의한 수행한다. 한편, 커널 에이알티는 커널 아트로 호칭되기도 한다.First, classify the normal data and the attack data. Next, the data classified as an attack are classified into a passive attack and an active attack. Classified as one type of attack by multi-class support vector machines for passive and active attacks. Next, when more detailed information about the attack is required, clustering for each attack type is performed by Kernel-ART. Kernel ALT is also called kernel art.

마지막으로, 해당 공격에 대한 세부적인 정보를 이용하여 대응한다.Finally, respond with detailed information about the attack.

도 4는 본 발명에 따른 유비쿼터스 홈네트워크 환경의 침입탐지 장치의 블럭도이다.4 is a block diagram of an intrusion detection apparatus of a ubiquitous home network environment according to the present invention.

본 발명의 일 실시예에 따른 유비쿼터스 홈네트워크 환경의 침입탐지 장치는 다음과 같다.An intrusion detection apparatus of a ubiquitous home network environment according to an embodiment of the present invention is as follows.

단일 클래스 서포트 벡터 머신(410)은 네트워크 트래픽 데이터로부터 정상 데이터와 공격 데이터에 대한 분류를 수행한다. 또한, 단일 클래스 서포트 벡터 머신(410)은 정상 데이터에 의해 학습된다.The single class support vector machine 410 classifies normal data and attack data from network traffic data. In addition, the single class support vector machine 410 is learned from normal data.

유형 분류부(420)는 분류된 공격 데이터를 수동적 공격과 능동적 공격으로 분류하여 공격 데이터의 리스크 레벨을 결정한다. 바람직하게는, 유형 분류부(420)는 수동적 공격과 능동적 공격을 분류하기 위한 단일 클래스 서포트 벡터 머신을 포함할 수 있다. 바람직하게는, 유형 분류부(420)는 능동적 공격의 리스크 레벨이 수동적 공격의 리스크 레벨보다 높게 설정할 수 있다.The type classifier 420 classifies the classified attack data into a passive attack and an active attack to determine a risk level of the attack data. Preferably, the type classifier 420 may include a single class support vector machine for classifying passive and active attacks. Preferably, the type classifier 420 may set the risk level of the active attack to be higher than the risk level of the passive attack.

다중 클래스 서포트 벡터 머신(430)은 분류된 공격 데이터의 공격 유형을 분류한다. 이때, 공격 유형은 서비스 사용자의 프라이버시 침해, 서비스 방해 및 서비스 장애 등의 DoS(denial of service), 시스템 자체에 대한 공격, 통신 데이터에 대한 위변조, 홈 기기 불법 접근, 웹 카메라 등을 통한 홈 내부의 프라이버시 침해 등을 포함한다.The multi-class support vector machine 430 classifies the attack type of the classified attack data. At this time, the attack type is a denial of service (DoS) such as invasion of privacy of a service user, service interruption and service failure, an attack on the system itself, a forgery of communication data, illegal access of a home device, a web camera, etc. Privacy violations, and the like.

커널 에이알티(440)는 공격 유형별로 클러스터링을 수행하여 공격 유형에 대한 세부 정보를 생성한다. 즉, 세부 정보는 클러스터링의 결과이다. 한편, 커널 에이알티(440)는 커널 아트(Kernel-ART)로 호칭되기도 한다.The kernel ATI 440 performs clustering for each attack type to generate detailed information about the attack type. That is, the detailed information is the result of clustering. The kernel ALT 440 may also be referred to as kernel art.

침입 대응 시스템(450)은 리스크 레벨, 공격 유형 및 세부 정보를 이용하여 시스템의 대응 방법을 결정한다. 바람직하게는, 침입 대응 시스템(450)은 리스크 레벨, 공격 유형 및 세부 정보에 따라 재인증, 전원차단 또는 접근제어 중 어느 하나의 대응 방법을 결정할 수 있다.The intrusion response system 450 uses the risk level, attack type, and details to determine how to respond to the system. Preferably, the intrusion response system 450 may determine a response method of any one of re-authentication, power off, or access control according to the risk level, the attack type, and the detailed information.

본 발명의 다른 실시예에 따른 유비쿼터스 홈네트워크 환경의 침입탐지 장치는 다음과 같다.An intrusion detection apparatus of a ubiquitous home network environment according to another embodiment of the present invention is as follows.

단일 클래스 서포트 벡터 머신(410)은 네트워크 트래픽 데이터로부터 정상 데이터와 공격 데이터에 대한 분류를 수행한다. 또한, 단일 클래스 서포트 벡터 머신(410)은 정상 데이터에 의해 학습된다.The single class support vector machine 410 classifies normal data and attack data from network traffic data. In addition, the single class support vector machine 410 is learned from normal data.

유형 분류부(420)는 분류된 공격 데이터를 수동적 공격과 능동적 공격으로 분류하여 상기 능동적 공격의 리스크 레벨은 상기 수동적 공격의 리스크 레벨보다 높게 설정한다.The type classifier 420 classifies the classified attack data into a passive attack and an active attack, and sets the risk level of the active attack to be higher than the risk level of the passive attack.

다중 클래스 서포트 벡터 머신(430)은 분류된 공격 데이터의 공격 유형을 분류한다.The multi-class support vector machine 430 classifies the attack type of the classified attack data.

커널 에이알티(440)는 공격 유형별로 클러스터링을 수행하여 공격 유형에 대 한 세부 정보를 생성한다.The kernel ATI 440 performs clustering for each attack type to generate detailed information about the attack type.

침입 대응 시스템(450)은 리스크 레벨, 공격 유형 및 세부 정보를 이용하여 시스템의 대응 방법을 결정한다. The intrusion response system 450 uses the risk level, attack type, and details to determine how to respond to the system.

침입 대응 시스템(450)은 리스크 레벨, 공격 유형 및 세부 정보를 이용하여 시스템의 대응 방법을 결정하고, 결정된 대응 방법에 따라 보안 센서, 바이오 센서, 광 센서, 온도 센서 및 상기 네트워크에 연결된 홈 기기들을 제어한다.The intrusion response system 450 uses the risk level, the attack type, and the detailed information to determine how to respond to the system, and according to the determined response method, the security sensor, biosensor, light sensor, temperature sensor, and home devices connected to the network are determined. To control.

도 5는 본 발명에 따른 유비쿼터스 홈네트워크 환경의 침입탐지 방법의 흐름도이다.5 is a flowchart illustrating an intrusion detection method of a ubiquitous home network environment according to the present invention.

먼저, 네트워크 트래픽 데이터로부터 정상 데이터와 공격 데이터에 대한 분류를 수행한다(510 과정).First, normal data and attack data are classified from network traffic data (S510).

바람직하게는, 이 과정(510 과정)은 정상 데이터에 의해 학습된 단일 클래스 서포트 벡터 머신을 이용하여 정상 데이터와 공격 데이터에 대한 분류를 수행하는 과정일 수 있다. 바람직하게는, 이 과정(510 과정)은 공격 데이터가 분류되면 침입 대응 시스템에 1차 경고를 발생키는 과정을 포함할 수 있다.Preferably, this process (510) may be a process of performing classification on the normal data and the attack data using a single class support vector machine learned from the normal data. Preferably, this process (step 510) may include generating a first alert to the intrusion response system when the attack data is classified.

다음, 분류된 공격 데이터를 수동적 공격과 능동적 공격으로 분류하여 공격 데이터의 리스크 레벨을 결정한다(520 과정).Next, the classified attack data is classified into a passive attack and an active attack to determine a risk level of the attack data (step 520).

바람직하게는, 이 과정(520 과정)은 공격 데이터의 트래픽으로부터 홈 기기간 송수신 데이터를 분석하고, 유무선 구간에서 송수신되는 테이터를 분석하는 과정을 포함할 수 있다. 바람직하게는, 이 과정(520 과정)은 위의 분석 결과에 따라 공격 데이터를 서비스 사용자의 프라이버시를 침해하는 수동적 공격 또는 분산 서 비스 거부 공격, 시스템 자체에 대한 공격, 통신 데이터에 대한 위변조, 홈 기기 불법 접근, 홈 내부의 프라이버시 침해에 해당되는 능동적 공격으로 분류하는 과정을 포함할 수 있다. 바람직하게는, 이 과정(520 과정)은 분류 결과에 따라 침입 대응 시스템에 2차 경고를 발생시키는 과정을 포함할 수 있다.Preferably, the process 520 may include analyzing data transmitted / received between home devices from traffic of the attack data and analyzing data transmitted / received in a wired / wireless section. Preferably, this process (step 520) is based on the above analysis results, the attack data is a passive attack or distributed service denial attack that violates the privacy of the service user, the attack on the system itself, forgery of communication data, home devices It may include a process of classifying an active attack corresponding to an illegal access or a privacy violation inside a home. Preferably, this process (520) may include generating a second alert to the intrusion response system according to the classification result.

이때, 능동적 공격의 리스크 레벨은 수동적 공격의 리스크 레벨보다 높게 설정할 수 있다.At this time, the risk level of the active attack may be set higher than the risk level of the passive attack.

리스크 레벨이 결정되면, 다중 클래스 서포트 벡터 머신을 이용하여 분류된 공격 데이터의 공격 유형을 분류한다(530 과정). 이때, 해당 클래스의 분류기만을 점증적 갱신의 학습 방법으로 재학습시킬 수 있다.Once the risk level is determined, the attack type of the classified attack data is classified using the multi-class support vector machine (S530). In this case, only the classifier of the corresponding class may be relearned as a learning method of incremental update.

다음, 공격 유형별로 커널 에이알티를 이용한 클러스터링을 수행하여 공격 유형에 대한 세부 정보를 생성한다(540 과정). 이때, 각 클러스터의 내용 요약을 위해 개념 벡터를 이용하여 공격 유형별 레이블링을 제공할 수 있다.Next, clustering using kernel ALT for each attack type is performed to generate detailed information on the attack type (step 540). In this case, labeling for each attack type may be provided using a concept vector to summarize the contents of each cluster.

마지막으로, 리스크 레벨, 공격 유형 및 세부 정보를 이용하여 시스템의 대응 방법을 결정한다(550 과정). 이때, 리스크 레벨, 공격 유형 및 세부 정보에 따라 재인증, 전원차단 또는 접근제어 중 어느 하나의 대응 방법을 결정할 수 있다.Finally, the risk level, attack type, and details are used to determine how the system responds (step 550). In this case, any one of re-authentication, power off, or access control may be determined according to the risk level, attack type, and detailed information.

따라서, 본 발명은 유비쿼터스 홈네트워크 환경을 고려한 침입탐지 모델로써, 종래 네트워크 환경에서 오용탐지와 비정상 탐지 모델의 장점은 유지하되 단점은 보완한 모델이다. 특히, 종래 침입탐지 시스템을 비롯한 보안시스템을 홈네트워크 환경에 직접 적용이 어렵기 때문에 종래의 보안 시스템과는 달리 홈네트워크 환경을 고려한 새로운 침입탐지 모델이다. Therefore, the present invention is an intrusion detection model in consideration of the ubiquitous home network environment, while maintaining the advantages of the misuse detection and abnormal detection model in the conventional network environment, the disadvantages are complementary models. In particular, it is a new intrusion detection model considering the home network environment unlike the conventional security system because it is difficult to apply the security system, including the conventional intrusion detection system directly to the home network environment.

바람직하게는, 본 발명의 유비쿼터스 홈네트워크 환경의 침입탐지 방법을 컴퓨터에서 실행시키기 위한 프로그램을 컴퓨터로 읽을 수 있는 기록매체에 기록하여 제공할 수 있다.Preferably, a program for executing the intrusion detection method of the ubiquitous home network environment of the present invention on a computer may be provided by recording on a computer-readable recording medium.

본 발명은 소프트웨어를 통해 실행될 수 있다. 소프트웨어로 실행될 때, 본 발명의 구성 수단들은 필요한 작업을 실행하는 코드 세그먼트들이다. 프로그램 또는 코드 세그먼트들은 프로세서 판독 가능 매체에 저장되거나 전송 매체 또는 통신망에서 반송파와 결합된 컴퓨터 데이터 신호에 의하여 전송될 수 있다.The invention can be implemented via software. When implemented in software, the constituent means of the present invention are code segments that perform the necessary work. The program or code segments may be stored on a processor readable medium or transmitted by a computer data signal coupled with a carrier on a transmission medium or network.

컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 테이터가 저장되는 모든 종류의 기록 장치를 포함한다. 컴퓨터가 읽을 수 있는 기록 장치의 예로는 ROM, RAM, CD-ROM, DVD±ROM, DVD-RAM, 자기 테이프, 플로피 디스크, 하드 디스크(hard disk), 광데이터 저장장치 등이 있다. 또한, 컴퓨터가 읽을 수 있는 기록매체는 네트워크로 연결된 컴퓨터 장치에 분산되어 분산방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수 있다.The computer-readable recording medium includes all kinds of recording devices in which data is stored which can be read by a computer system. Examples of computer-readable recording devices include ROM, RAM, CD-ROM, DVD ± ROM, DVD-RAM, magnetic tape, floppy disks, hard disks, optical data storage devices, and the like. The computer readable recording medium can also be distributed over network coupled computer devices so that the computer readable code is stored and executed in a distributed fashion.

본 발명은 도면에 도시된 일 실시예를 참고로 하여 설명하였으나 이는 예시적인 것에 불과하며 당해 분야에서 통상의 지식을 가진 자라면 이로부터 다양한 변형 및 실시예의 변형이 가능하다는 점을 이해할 것이다. 그러나, 이와 같은 변형은 본 발명의 기술적 보호범위내에 있다고 보아야 한다. 따라서, 본 발명의 진정한 기술적 보호범위는 첨부된 특허청구범위의 기술적 사상에 의해서 정해져야 할 것이다.Although the present invention has been described with reference to one embodiment shown in the drawings, this is merely exemplary and will be understood by those of ordinary skill in the art that various modifications and variations can be made therefrom. However, such modifications should be considered to be within the technical protection scope of the present invention. Therefore, the true technical protection scope of the present invention will be defined by the technical spirit of the appended claims.

상술한 바와 같이, 본 발명에 의하면, 클러스터링을 이용하여 공격 유형에 대한 세부 정보를 제공할 수 있고, 시스템의 점증성과 확장성을 보장하고, 새로운 공격 유형 탐지시 다른 클래스에는 영향을 주지 않은 상태에서 해당 공격 유형의 클래스만을 대상으로 빠르고 효율적인 학습 및 갱신을 보장할 수 있으며, 탐지된 공격 유형에 대한 체계적인 대응 방법을 결정할 수 있는 효과가 있다.As described above, according to the present invention, clustering can be used to provide detailed information on the attack type, to guarantee the incremental and scalability of the system, and to not affect other classes when detecting a new attack type. It can guarantee fast and efficient learning and updating only for the class of the attack type, and it is effective to determine the systematic response method to the detected attack type.

Claims (11)

네트워크 트래픽 데이터로부터 단일 클래스 서포트 벡터 머신을 이용하여 정상 데이터와 공격 데이터에 대한 분류를 수행하는 단계;Performing classification on the normal data and the attack data using a single class support vector machine from the network traffic data; 상기 분류된 공격 데이터를 수동적 공격과 능동적 공격으로 분류하여 상기 공격 데이터의 리스크 레벨을 결정하는 단계;Classifying the classified attack data into a passive attack and an active attack to determine a risk level of the attack data; 다중 클래스 서포트 벡터 머신을 이용하여 상기 분류된 공격 데이터의 공격 유형을 분류하는 단계;Classifying an attack type of the classified attack data using a multi-class support vector machine; 상기 공격 유형별로 커널 에이알티를 이용한 클러스터링을 수행하여 상기 공격 유형에 대한 세부 정보를 생성하는 단계; 및Generating detailed information on the attack type by performing clustering using kernel ATI for each attack type; And 상기 리스크 레벨, 상기 공격 유형 및 상기 세부 정보를 이용하여 시스템의 대응 방법을 결정하는 단계를 포함하는 유비쿼터스 홈네트워크 환경의 침입탐지 방법.And determining the countermeasure of the system using the risk level, the attack type, and the detailed information. 제 1 항에 있어서, 상기 단일 클래스 서포트 벡터 머신은,The method of claim 1, wherein the single class support vector machine, 상기 정상 데이터에 의해 학습된 것을 특징으로 하는 유비쿼터스 홈네트워크 환경의 침입탐지 방법.Intrusion detection method of the ubiquitous home network environment, characterized in that learned by the normal data. 제 1 항에 있어서,The method of claim 1, 상기 정상 데이터와 공격 데이터에 대한 분류를 수행하는 단계는The classification of the normal data and the attack data may be performed. 상기 공격 데이터가 분류되면 침입 대응 시스템에 1차 경고를 발생시키는 단계를 더 포함하는 것을 특징으로 하는 유비쿼터스 홈네트워크 환경의 침입탐지 방법.When the attack data is classified, intrusion detection method of the ubiquitous home network environment further comprising the step of generating a first warning to the intrusion response system. 제 1 항에 있어서,The method of claim 1, 상기 수동적 공격과 능동적 공격으로 분류하는 단계는The classification into the passive attack and the active attack 상기 공격 데이터의 트래픽으로부터 홈 기기간 송수신 데이터를 분석하고, 유무선 구간에서 송수신되는 테이터를 분석하는 단계;Analyzing data transmitted / received between home devices from the traffic of the attack data, and analyzing data transmitted / received in a wired / wireless section; 상기 분석 결과에 따라 공격 데이터를 서비스 사용자의 프라이버시를 침해하는 수동적 공격 또는 분산 서비스 거부 공격, 시스템 자체에 대한 공격, 통신 데이터에 대한 위변조, 홈 기기 불법 접근, 홈 내부의 프라이버시 침해에 해당되는 능동적 공격으로 분류하는 단계; 및According to the analysis results, the attack data is a passive attack or a distributed denial of service attack that infringes the privacy of a service user, an attack on the system itself, a forgery on communication data, an illegal access to a home device, and an active attack corresponding to a privacy violation inside a home. Classifying to; And 상기 분류 결과에 따라 침입 대응 시스템에 2차 경고를 발생시키는 단계를 포함하는 것을 특징으로 하는 유비쿼터스 홈네트워크 환경의 침입탐지 방법.And generating a second warning to the intrusion response system according to the classification result. Intrusion detection method of a ubiquitous home network environment, characterized by the above-mentioned. 제 1 항에 있어서,The method of claim 1, 상기 분류된 공격 데이터의 공격 유형을 분류하는 단계는Categorizing the attack type of the classified attack data is 해당 클래스의 분류기만을 점증적 갱신의 학습 방법으로 재학습시키는 단계를 포함하는 것을 특징으로 하는 유비쿼터스 홈네트워크 환경의 침입탐지 방법.Intrusion detection method of a ubiquitous home network environment comprising the step of re-learning only the classifier of the class in a learning method of incremental update. 제 1 항에 있어서,The method of claim 1, 상기 공격 유형에 대한 세부 정보를 생성하는 단계는Generating detailed information about the attack type 각 클러스터의 내용 요약을 위해 개념 벡터를 이용하여 공격 유형별 레이블링을 제공하는 단계를 포함하는 것을 특징으로 하는 유비쿼터스 홈네트워크 환경의 침입탐지 방법.Intrusion detection method of a ubiquitous home network environment comprising the step of providing labeling by attack type using the concept vector to summarize the contents of each cluster. 제 1 항에 있어서,The method of claim 1, 상기 공격 데이터의 리스크 레벨을 결정하는 단계는Determining a risk level of the attack data 상기 능동적 공격의 리스크 레벨은 상기 수동적 공격의 리스크 레벨보다 높게 설정하는 단계이고,The risk level of the active attack is set higher than the risk level of the passive attack, 상기 시스템의 대응 방법을 결정하는 단계는Determining how to respond to the system 상기 리스크 레벨, 상기 공격 유형 및 상기 세부 정보에 따라 재인증, 전원차단 또는 접근제어 중 어느 하나의 대응 방법을 결정하는 단계인 것을 특징으로 하는 유비쿼터스 홈네트워크 환경의 침입탐지 방법.And determining a corresponding method of re-authentication, power off, or access control according to the risk level, the attack type, and the detailed information. 제 1 항 내지 제 7 항 중 어느 한 항의 방법을 컴퓨터에서 실행시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체.A computer-readable recording medium having recorded thereon a program for executing the method of claim 1 on a computer. 정상 데이터에 의해 학습되고, 네트워크 트래픽 데이터로부터 정상 데이터와 공격 데이터에 대한 분류를 수행하는 단일 클래스 서포트 벡터 머신;A single class support vector machine that is learned by normal data and performs classification on normal data and attack data from network traffic data; 상기 분류된 공격 데이터를 수동적 공격과 능동적 공격으로 분류하여 상기 공격 데이터의 리스크 레벨을 결정하는 유형 분류부;A type classification unit for classifying the classified attack data into a passive attack and an active attack to determine a risk level of the attack data; 상기 분류된 공격 데이터의 공격 유형을 분류하는 다중 클래스 서포트 벡터 머신;A multi-class support vector machine for classifying attack types of the classified attack data; 상기 공격 유형별로 클러스터링을 수행하여 상기 공격 유형에 대한 세부 정보를 생성하는 커널 에이알티; 및Kernel ATI for performing clustering for each attack type to generate detailed information about the attack type; And 상기 리스크 레벨, 상기 공격 유형 및 상기 세부 정보를 이용하여 시스템의 대응 방법을 결정하는 침입 대응 시스템을 포함하는 유비쿼터스 홈네트워크 환경의 침입탐지 장치.Intrusion detection apparatus of the ubiquitous home network environment including the intrusion response system for determining the response method of the system using the risk level, the attack type and the detailed information. 제 9 항에 있어서,The method of claim 9, 상기 유형 분류부는The type classification unit 상기 능동적 공격의 리스크 레벨이 상기 수동적 공격의 리스크 레벨보다 높게 설정하고,The risk level of the active attack is set higher than the risk level of the passive attack, 상기 침입 대응 시스템은The intrusion response system 상기 리스크 레벨, 상기 공격 유형 및 상기 세부 정보에 따라 재인증, 전원차단 또는 접근제어 중 어느 하나의 대응 방법을 결정하는 것을 특징으로 하는 유비쿼터스 홈네트워크 환경의 침입탐지 장치.Intrusion detection apparatus of the ubiquitous home network environment, characterized in that for determining the corresponding one of the re-authentication, power off or access control according to the risk level, the attack type and the detailed information. 정상 데이터에 의해 학습되고, 네트워크 트래픽 데이터로부터 정상 데이터와 공격 데이터에 대한 분류를 수행하는 단일 클래스 서포트 벡터 머신;A single class support vector machine that is learned by normal data and performs classification on normal data and attack data from network traffic data; 상기 분류된 공격 데이터를 수동적 공격과 능동적 공격으로 분류하여 상기 능동적 공격의 리스크 레벨은 상기 수동적 공격의 리스크 레벨보다 높게 설정하는 유형 분류부;A type classification unit for classifying the classified attack data into a passive attack and an active attack to set a risk level of the active attack to be higher than a risk level of the passive attack; 상기 분류된 공격 데이터의 공격 유형을 분류하는 다중 클래스 서포트 벡터 머신;A multi-class support vector machine for classifying attack types of the classified attack data; 상기 공격 유형별로 클러스터링을 수행하여 상기 공격 유형에 대한 세부 정보를 생성하는 커널 에이알티; 및Kernel ATI for performing clustering for each attack type to generate detailed information about the attack type; And 상기 리스크 레벨, 상기 공격 유형 및 상기 세부 정보를 이용하여 시스템의 대응 방법을 결정하고, 상기 결정된 대응 방법에 따라 보안 센서, 바이오 센서, 광 센서, 온도 센서 및 상기 네트워크에 연결된 홈 기기들을 제어하는 침입 대응 시스템을 포함하는 유비쿼터스 홈네트워크 환경의 침입탐지 장치.The risk level, the attack type and the detailed information are used to determine the corresponding method of the system, and to control the security sensor, biosensor, light sensor, temperature sensor and home devices connected to the network according to the determined corresponding method. Intrusion detection device of a ubiquitous home network environment including a corresponding system.
KR1020060080829A 2006-08-25 2006-08-25 Method for intrusion detection of ubiquitous home networks environment, recording medium thereof and apparatus for intrusion detection of ubiquitous home networks environment KR100776828B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020060080829A KR100776828B1 (en) 2006-08-25 2006-08-25 Method for intrusion detection of ubiquitous home networks environment, recording medium thereof and apparatus for intrusion detection of ubiquitous home networks environment

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020060080829A KR100776828B1 (en) 2006-08-25 2006-08-25 Method for intrusion detection of ubiquitous home networks environment, recording medium thereof and apparatus for intrusion detection of ubiquitous home networks environment

Publications (1)

Publication Number Publication Date
KR100776828B1 true KR100776828B1 (en) 2007-11-19

Family

ID=39079874

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020060080829A KR100776828B1 (en) 2006-08-25 2006-08-25 Method for intrusion detection of ubiquitous home networks environment, recording medium thereof and apparatus for intrusion detection of ubiquitous home networks environment

Country Status (1)

Country Link
KR (1) KR100776828B1 (en)

Cited By (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100950582B1 (en) 2008-06-27 2010-04-01 고려대학교 산학협력단 Method and Apparatus of detecting traffic flooding attack using suppoort vectort data description and Recording medium thereof
KR101437405B1 (en) 2013-04-04 2014-09-05 건국대학교 산학협력단 An Effective Mechanism and method against Intrusion Attack using Aggregate Traffic Prediction for Wireless Industrial Networks
CN109902176A (en) * 2019-02-26 2019-06-18 北京微步在线科技有限公司 A kind of computer instruction storage medium of data correlation expanding method and non-transitory
CN113039755A (en) * 2018-12-26 2021-06-25 西门子股份公司 Monitoring method, device, system and computer readable medium for industrial control system
US11057774B1 (en) 2020-05-14 2021-07-06 T-Mobile Usa, Inc. Intelligent GNODEB cybersecurity protection system
US11070982B1 (en) 2020-04-15 2021-07-20 T-Mobile Usa, Inc. Self-cleaning function for a network access node of a network
US11115824B1 (en) 2020-05-14 2021-09-07 T-Mobile Usa, Inc. 5G cybersecurity protection system
US11206542B2 (en) 2020-05-14 2021-12-21 T-Mobile Usa, Inc. 5G cybersecurity protection system using personalized signatures
CN114070641A (en) * 2021-11-25 2022-02-18 网络通信与安全紫金山实验室 Network intrusion detection method, device, equipment and storage medium
CN114553468A (en) * 2022-01-04 2022-05-27 国网浙江省电力有限公司金华供电公司 Three-level network intrusion detection method based on feature intersection and ensemble learning
US11444980B2 (en) 2020-04-15 2022-09-13 T-Mobile Usa, Inc. On-demand wireless device centric security for a 5G wireless network
US11799878B2 (en) 2020-04-15 2023-10-24 T-Mobile Usa, Inc. On-demand software-defined security service orchestration for a 5G wireless network
US11824881B2 (en) 2020-04-15 2023-11-21 T-Mobile Usa, Inc. On-demand security layer for a 5G wireless network

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20030052512A (en) * 2001-12-21 2003-06-27 한국전자통신연구원 method and recorded media for attack correlation analysis
KR20050073702A (en) * 2004-01-09 2005-07-18 한국과학기술원 Secure solution system based on network

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20030052512A (en) * 2001-12-21 2003-06-27 한국전자통신연구원 method and recorded media for attack correlation analysis
KR20050073702A (en) * 2004-01-09 2005-07-18 한국과학기술원 Secure solution system based on network

Cited By (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100950582B1 (en) 2008-06-27 2010-04-01 고려대학교 산학협력단 Method and Apparatus of detecting traffic flooding attack using suppoort vectort data description and Recording medium thereof
KR101437405B1 (en) 2013-04-04 2014-09-05 건국대학교 산학협력단 An Effective Mechanism and method against Intrusion Attack using Aggregate Traffic Prediction for Wireless Industrial Networks
CN113039755A (en) * 2018-12-26 2021-06-25 西门子股份公司 Monitoring method, device, system and computer readable medium for industrial control system
CN109902176A (en) * 2019-02-26 2019-06-18 北京微步在线科技有限公司 A kind of computer instruction storage medium of data correlation expanding method and non-transitory
US11444980B2 (en) 2020-04-15 2022-09-13 T-Mobile Usa, Inc. On-demand wireless device centric security for a 5G wireless network
US11824881B2 (en) 2020-04-15 2023-11-21 T-Mobile Usa, Inc. On-demand security layer for a 5G wireless network
US11070982B1 (en) 2020-04-15 2021-07-20 T-Mobile Usa, Inc. Self-cleaning function for a network access node of a network
US11799878B2 (en) 2020-04-15 2023-10-24 T-Mobile Usa, Inc. On-demand software-defined security service orchestration for a 5G wireless network
US11533624B2 (en) 2020-04-15 2022-12-20 T-Mobile Usa, Inc. On-demand security for network resources or nodes, such as for a wireless 5G network
US11558747B2 (en) 2020-05-14 2023-01-17 T-Mobile Usa, Inc. Intelligent cybersecurity protection system, such as for use in 5G networks
US11206542B2 (en) 2020-05-14 2021-12-21 T-Mobile Usa, Inc. 5G cybersecurity protection system using personalized signatures
US11659396B2 (en) 2020-05-14 2023-05-23 T-Mobile Usa, Inc. Intelligent cybersecurity protection system, such as for use in 5G networks
US11115824B1 (en) 2020-05-14 2021-09-07 T-Mobile Usa, Inc. 5G cybersecurity protection system
US11057774B1 (en) 2020-05-14 2021-07-06 T-Mobile Usa, Inc. Intelligent GNODEB cybersecurity protection system
CN114070641A (en) * 2021-11-25 2022-02-18 网络通信与安全紫金山实验室 Network intrusion detection method, device, equipment and storage medium
CN114070641B (en) * 2021-11-25 2024-02-27 网络通信与安全紫金山实验室 Network intrusion detection method, device, equipment and storage medium
CN114553468A (en) * 2022-01-04 2022-05-27 国网浙江省电力有限公司金华供电公司 Three-level network intrusion detection method based on feature intersection and ensemble learning

Similar Documents

Publication Publication Date Title
KR100776828B1 (en) Method for intrusion detection of ubiquitous home networks environment, recording medium thereof and apparatus for intrusion detection of ubiquitous home networks environment
Mishra et al. Internet of things applications, security challenges, attacks, intrusion detection, and future visions: A systematic review
Hu et al. A survey of intrusion detection on industrial control systems
Atlam et al. IoT security, privacy, safety and ethics
Sohal et al. A cybersecurity framework to identify malicious edge device in fog computing and cloud-of-things environments
Meryem et al. Hybrid intrusion detection system using machine learning
Inayat et al. Intrusion response systems: Foundations, design, and challenges
Waqas et al. Botnet attack detection in Internet of Things devices over cloud environment via machine learning
Shang et al. Intrusion detection algorithm based on OCSVM in industrial control system
US8793790B2 (en) System and method for insider threat detection
GhasemiGol et al. A comprehensive approach for network attack forecasting
Priya et al. Robust attack detection approach for IIoT using ensemble classifier
MX2011000019A (en) A system and method of data cognition incorporating autonomous security protection.
KR102259760B1 (en) System for providing whitelist based abnormal process analysis service
US11880453B2 (en) Malware mitigation based on runtime memory allocation
WO2023042000A1 (en) Graph neural network (gnn) training using meta-path neighbor sampling and contrastive learning
Al-Utaibi et al. Intrusion detection taxonomy and data preprocessing mechanisms
Manhas et al. Implementation of intrusion detection system for internet of things using machine learning techniques
Sivamohan et al. An optimized model for network intrusion detection systems in industry 4.0 using XAI based Bi-LSTM framework
Mliki et al. A comprehensive survey on intrusion detection based machine learning for IOT networks
Bebortta et al. An opportunistic ensemble learning framework for network traffic classification in iot environments
Prabhakaran et al. mLBOA-DML: modified butterfly optimized deep metric learning for enhancing accuracy in intrusion detection system
Kamal et al. Privacy and security federated reference architecture for Internet of Things
Chaithanya et al. An efficient intrusion detection approach using enhanced random forest and moth-flame optimization technique
Majidpour et al. Application of deep learning to enhance the accuracy of intrusion detection in modern computer networks

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20110914

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20121004

Year of fee payment: 6

LAPS Lapse due to unpaid annual fee