KR101394591B1 - Method, system and computer-readable recording medium for detecting intrusion of network - Google Patents

Method, system and computer-readable recording medium for detecting intrusion of network Download PDF

Info

Publication number
KR101394591B1
KR101394591B1 KR1020120133450A KR20120133450A KR101394591B1 KR 101394591 B1 KR101394591 B1 KR 101394591B1 KR 1020120133450 A KR1020120133450 A KR 1020120133450A KR 20120133450 A KR20120133450 A KR 20120133450A KR 101394591 B1 KR101394591 B1 KR 101394591B1
Authority
KR
South Korea
Prior art keywords
sample unit
security
cluster
unit
security sample
Prior art date
Application number
KR1020120133450A
Other languages
Korean (ko)
Inventor
김성열
강호석
조로
Original Assignee
건국대학교 산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 건국대학교 산학협력단 filed Critical 건국대학교 산학협력단
Priority to KR1020120133450A priority Critical patent/KR101394591B1/en
Application granted granted Critical
Publication of KR101394591B1 publication Critical patent/KR101394591B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

The present invention relates to a method, a system and a computer readable recording medium for detecting intrusion into a network. The method for detecting the intrusion into the network by using a clustering method according to the present invention comprises the steps of (a) acquiring a cluster including a learned data set and a plurality of security sample units positioned at arbitrary positions and including information on cluster center; (b) calculating a fitness value of each security sample unit; (c) selecting a specific security sample unit among the security sample units and updating the information on the cluster center of the specific security sample unit by using the specific security sample unit; (d) classifying learned data included in the specific security sample unit according to a cluster on the cluster center by using the updated cluster center; (e) selecting the security sample unit having the largest fitness value among the security sample units; and (f) detecting a network packet by using the cluster center of the selected security sample unit.

Description

네트워크의 침입을 탐지하는 방법, 시스템 및 컴퓨터 판독 가능한 기록 매체{METHOD, SYSTEM AND COMPUTER-READABLE RECORDING MEDIUM FOR DETECTING INTRUSION OF NETWORK}[0001] METHOD, SYSTEM AND COMPUTER READABLE RECORDING MEDIUM FOR DETECTING INTRUSION OF NETWORK [0002]

본 발명은 네트워크의 침입을 탐지하기 위한 방법, 시스템 및 컴퓨터 판독 가능한 기록 매체에 관한 것으로, 보다 상세하게는, 클러스터링 기법을 이용하여 네트워크의 침입을 탐지하는 방법에 있어서, 최적의 클러스터링 센터를 찾음으로써 정확하게 침입 여부를 탐지할 수 있는 방법, 시스템 및 컴퓨터 판독 가능한 기록 매체에 대한 것이다. BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to a method, system and computer readable medium for detecting intrusion of a network, and more particularly, to a method for detecting an intrusion of a network using a clustering technique, A system, and a computer-readable recording medium.

일반적으로 안전한 인터넷을 위한 종래의 기술로는, 해킹이나 비정상적인 과도한 트래픽 유발과 같은 사이버 공격에 대한 침입 탐지 기술이 있다. 이와 같은 침입 탐지 기술은 다음과 같이 크게 오용 탐지 기술과 비정상 탐지 기술로 구분될 수 있다. Conventional technologies for a secure Internet in general include intrusion detection techniques for cyber attacks such as hacking or abnormal excessive traffic. Such intrusion detection technology can be divided into misuse detection technology and abnormal detection technology as follows.

먼저, 오용 탐지 기술은 알려진 공격 유형에 대한 특징 정보를 사전에 정의하고 이를 기반으로 탐지를 수행하는 방법이며, 비정상 탐지 기술은 특정 공격 유형에 대한 특징을 사전에 정의하지 않고, 대신 미리 정의된 정상 행위에 대한 프로파일의 범위를 벗어나는 데이터를 공격으로 판단하는 방법이다. 이와 같은 기술의 모델 생성을 위해서 SVM, SOM, K-means 등의 알고리즘을 사용하여 학습과정을 거쳐 탐지 모델을 생성한다. K-means 등의 알고리즘은 학습 데이터를 클러스터링하고 테스트 데이터를 분류하기 위한 것이나 탐지된 공격의 세부 특성을 제대로 파악할 수 없다는 문제가 있어 현실적으로 널리 사용되는데 한계가 있다. First, misuse detection technology is a method to predefine characteristic information of known attack type and perform detection based on it. Anomaly detection technology does not define characteristics of a specific attack type in advance, It is a method to judge an attack as data beyond the profile of the action. To generate such a model of the technology, a detection model is generated through a learning process using algorithms such as SVM, SOM, and K-means. K-means algorithms are used to cluster learning data and classify test data, but they can not grasp the detailed characteristics of detected attacks, and thus they are widely used.

본 발명은 전술한 문제점을 해결하기 위한 것으로, 보안 샘플 유닛에 포함된 클러스터 센터의 정보를 갱신하여 적합도가 큰 보안 샘플 유닛을 찾고, 이에 포함된 클러스터 센터를 이용하여 네트워크의 침입을 탐지함으로써 침입 판단 성공율을 높일 수 있다. SUMMARY OF THE INVENTION The present invention has been made to solve the above-mentioned problems, and it is an object of the present invention to provide a secure sample unit which can update information of a cluster center included in a security sample unit, The success rate can be increased.

본 발명의 제1 기술적인 측면에 따르면, 클러스터링 기법을 이용하여 네트워크 침입을 탐지하는 방법에 있어서, (a) 학습된 데이터 세트를 포함하는 클러스터와 임의의 위치에 배치된 상기 클러스터의 센터 정보를 포함하는 복수의 보안 샘플 유닛을 획득하는 단계, (b) 각 보안 샘플 유닛의 적합도를 계산하는 단계, (c) 상기 복수의 보안 샘플 유닛 중 특정 보안 샘플 유닛을 선택하고 상기 특정 보안 샘플 유닛을 이용하여 상기 특정 보안 샘플 유닛의 클러스터 센터 정보를 갱신하는 단계, (d) 상기 갱신된 클러스터 센터를 이용하여 상기 특정 보안 샘플 유닛에 포함된 학습된 데이터를 상기 클러스터 센터에 대한 클러스터로 분류하는 단계, (e) 상기 복수의 보안 샘플 유닛 중 적합도가 큰 보안 샘플 유닛을 선택하는 단계 및 (f) 상기 선택된 보안 샘플 유닛의 클러스터 센터를 이용하여 네트워크 패킷을 탐지하는 단계를 포함할 수 있다.According to a first technical aspect of the present invention, there is provided a method for detecting a network intrusion using a clustering method, the method comprising: (a) detecting a cluster including a learned data set and center information of the cluster disposed at an arbitrary position; (B) calculating the fitness of each security sample unit; (c) selecting a particular security sample unit from among the plurality of security sample units and using the specific security sample unit Classifying the learned data included in the specific security sample unit into clusters for the cluster center using the updated cluster center, (e) ) Selecting a security sample unit with a high degree of fidelity among the plurality of security sample units; and (f) Lt; RTI ID = 0.0 > a < / RTI > cluster center of the network.

또한, 상기 (e) 단계는, 상기 (b) 내지 상기 (d) 단계를 최소 1회 반복하여 생성된 복수의 보안 샘플 유닛 중 적합도가 큰 보안 샘플 유닛을 선택할 수 있다.In the step (e), it is possible to select a security sample unit having a great degree of fitness among a plurality of security sample units generated by repeating the steps (b) to (d) at least once.

또한, 상기 (c)단계에서, 상기 특정 보안 샘플 유닛으로서, 적합도가 큰 제1 보안 샘플 유닛과 제2 보안 샘플 유닛을 선택하고, (i) 상기 제2 보안 샘플 유닛에 포함된 클러스터 센터 중 상기 제1 보안 샘플 유닛의 클러스터 센터와의 거리가 가장 가까운 클러스터 센터 및 (ii) 상기 제1 보안 샘플 유닛의 클러스터 센터를 이용하여 상기 제1 보안 샘플 유닛의 클러스터 센터를 갱신할 수 있다.(C) selecting, as the specific security sample unit, a first security sample unit and a second security sample unit each having a high degree of fitness, and (i) selecting, from among the cluster centers included in the second security sample unit, A cluster center closest to the cluster center of the first secure sample unit and (ii) a cluster center of the first secure sample unit to update the cluster center of the first secure sample unit.

또한, 상기 (c)단계에서, 상기 특정 보안 샘플 유닛의 클러스터 센터는 사용자에 의해 설정된 값만큼 변화하여 갱신되며, 상기 보안 샘플 유닛의 적합도가 낮을수록 변화량이 클 수 있다. In the step (c), the cluster center of the specific security sample unit is updated by a value set by the user, and the variation may be larger as the fitness of the security sample unit is lower.

또한, 상기 (d) 단계는, 상기 특정 보안 샘플 유닛에 포함된 클러스터 센터 개수가 2개 이상이면, 상기 특정 보안 샘플 유닛에 포함된 학습 데이터를 각 클러스터 센터에 대한 클러스터로 분류할 수 있다. In the step (d), if the number of cluster centers included in the specific security sample unit is two or more, the learning data included in the specific security sample unit can be classified into clusters for each cluster center.

또한, (b) 내지 (d)의 단계를 여러 번 반복함에 있어서, (b) 내지 (d) 단계가 N번 째 진행된 후 생성된 보안 샘플 유닛 중 적합도가 가장 낮은 보안 샘플 유닛은, (b) 내지 (d) 단계가 N-1번 째 진행된 후에 생성된 보안 샘플 유닛 중 적합도가 가장 높은 보안 샘플 유닛으로 대체될 수 있다. (B) to (d) are repeated several times, the security sample unit having the lowest fitness among the security sample units generated after the (b) to (d) The security sample unit generated after the (N-1) -th step is changed to the security sample unit having the highest fitness.

또한, 각 보안 샘플 유닛에 있어서, 클러스터 센터와 클러스터에 포함된 각 데이터 사이의 거리의 합이 작을수록 적합도가 큰 것으로 판단될 수 있다. Further, in each security sample unit, the smaller the sum of the distances between the cluster center and each data included in the cluster, the greater the fitness can be judged.

또한, 상기 (d)단계에서, 케이민(k-means) 알고리즘을 이용하여 상기 학습된 데이터를 분류할 수 있다. In step (d), the learned data may be classified using a k-means algorithm.

또한, 상기 (f) 단계에서, 상기 네트워크 패킷과 상기 선택된 보안 샘플 유닛의 클러스터 센터와 거리를 이용하여 침입 여부를 판단할 수 있다. In the step (f), it is possible to determine whether or not the network packet is intruded by using the cluster center and the distance of the network packet and the selected security sample unit.

본 발명의 제2 기술적인 측면에 따르면, 클러스터링 기법을 이용하여 네트워크 침입을 탐지하는 시스템에 있어서, 학습된 데이터 세트를 포함하는 클러스터와 임의의 위치에 배치된 상기 클러스터의 센터 정보를 포함하는 복수의 보안 샘플 유닛을 획득하고, 각 보안 샘플 유닛의 적합도를 계산하는 적합도 계산부, 상기 복수의 보안 샘플 유닛 중 특정 보안 샘플 유닛을 선택하고 상기 특정 보안 샘플 유닛을 이용하여 상기 특정 보안 샘플 유닛의 클러스터 센터 정보를 갱신하며, 상기 갱신된 클러스터 센터를 이용하여 상기 특정 보안 샘플 유닛에 포함된 학습된 데이터를 상기 클러스터 센터에 대한 클러스터로 분류하는 클러스터 갱신부 및 상기 복수의 보안 샘플 유닛 중 적합도가 큰 보안 샘플 유닛을 선택하고, 상기 선택된 보안 샘플 유닛의 클러스터 센터를 이용하여 네트워크 패킷을 탐지하는 네트워크 보안 감시부를 포함할 수 있다.According to a second technical aspect of the present invention, there is provided a system for detecting a network intrusion using a clustering technique, the system comprising: a cluster including a learned data set; and a plurality of A fitness calculator for acquiring a security sample unit and calculating a fitness of each security sample unit, a selection unit for selecting a specific security sample unit among the plurality of security sample units, A cluster update unit that updates the information and classifies the learned data included in the specific security sample unit into the cluster for the cluster center using the updated cluster center and a security update unit that classifies security samples Unit, and the selected security sample unit cluster And a network security monitoring unit for detecting network packets using the network center.

본 발명에 따르면, 클러스터링 기법을 이용하여 네트워크의 침입을 탐지하는 방법에 있어서, 복수의 보안 샘플 유닛에 포함된 클러스터 센터를 갱신하여 적합도가 큰 보안 샘플 유닛을 선택함으로써 최적의 클러스터 센터를 이용하여 침입을 탐지할 수 있으며, 이에 따라 침입 탐지 성공률을 높일 수 있다. According to the present invention, there is provided a method for detecting an intrusion of a network using a clustering technique, comprising: updating a cluster center included in a plurality of security sample units to select a security sample unit having a high degree of fitness, , Thereby increasing the success rate of intrusion detection.

도 1은 본 발명의 일 실시예에 따른 네트워크의 침입을 탐지하기 위한 시스템을 설명하기 위한 블록도이다.
도 2는 본 발명의 일 실시예에 따른 네트워크의 침입을 탐지하는 방법을 설명하기 위한 흐름도이다.
도 3은 본 발명의 일 실시예에 따라 클러스터 센터의 정보가 갱신되는 것을 설명하기 위한 도면이다.
도 4는 선택된 보안 샘플 유닛에 포함된 클러스터 센터를 이용하여 네트워크 패킷을 탐지하는 방법을 설명하기 위한 도면이다. 1 is a block diagram illustrating a system for detecting an intrusion of a network according to an exemplary embodiment of the present invention.
FIG. 2 is a flowchart illustrating a method of detecting an intrusion of a network according to an exemplary embodiment of the present invention. Referring to FIG.
FIG. 3 is a diagram for explaining updating of cluster center information according to an embodiment of the present invention. Referring to FIG.
4 is a diagram for explaining a method of detecting a network packet using a cluster center included in a selected security sample unit.

후술하는 본 발명에 대한 상세한 설명은, 본 발명이 실시될 수 있는 특정 실시예를 예시로서 도시하는 첨부 도면을 참조한다. 이들 실시예는 당업자가 본 발명을 실시할 수 있기에 충분하도록 상세히 설명된다. 본 발명의 다양한 실시예는 서로 다르지만 상호 배타적일 필요는 없음이 이해되어야 한다. 예를 들어, 여기에 기재되어 있는 특정 형상, 구조 및 특성은 일 실시예에 관련하여 본 발명의 정신 및 범위를 벗어나지 않으면서 다른 실시예로 구현될 수 있다. 또한, 각각의 개시된 실시예 내의 개별 구성요소의 위치 또는 배치는 본 발명의 정신 및 범위를 벗어나지 않으면서 변경될 수 있음이 이해되어야 한다. 따라서, 후술하는 상세한 설명은 한정적인 의미로서 취하려는 것이 아니며, 본 발명의 범위는, 적절하게 설명된다면, 그 청구항들이 주장하는 것과 균등한 모든 범위와 더불어 첨부된 청구항에 의해서만 한정된다. 도면에서 유사한 참조부호는 여러 측면에 걸쳐서 동일하거나 유사한 기능을 지칭한다.The following detailed description of the invention refers to the accompanying drawings, which illustrate, by way of illustration, specific embodiments in which the invention may be practiced. These embodiments are described in sufficient detail to enable those skilled in the art to practice the invention. It should be understood that the various embodiments of the present invention are different, but need not be mutually exclusive. For example, certain features, structures, and characteristics described herein may be implemented in other embodiments without departing from the spirit and scope of the invention in connection with an embodiment. It is also to be understood that the position or arrangement of the individual components within each disclosed embodiment may be varied without departing from the spirit and scope of the invention. The following detailed description is, therefore, not to be taken in a limiting sense, and the scope of the present invention is to be limited only by the appended claims, along with the full scope of equivalents to which such claims are entitled, if properly explained. In the drawings, like reference numerals refer to the same or similar functions throughout the several views.

이하, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 본 발명을 용이하게 실시할 수 있도록 하기 위하여, 본 발명의 바람직한 실시예들에 관하여 첨부된 도면을 참조하여 상세히 설명하기로 한다.Hereinafter, preferred embodiments of the present invention will be described in detail with reference to the accompanying drawings, so that those skilled in the art can easily carry out the present invention.

도 1은 본 발명의 일 실시예에 따른 네트워크의 침입을 탐지하기 위한 시스템을 설명하기 위한 블록도이다. 1 is a block diagram illustrating a system for detecting an intrusion of a network according to an exemplary embodiment of the present invention.

도 1을 참조하면, 본 발명에 따른 네트워크의 침입을 탐지하기 위한 시스템은 적합도 계산부(110), 클러스터 갱신부(120), 네트워크 보안 감시부(130) 및 제어부(100)를 포함할 수 있다. 먼저, 본 발명의 일 실시예에 따른 적합도 계산부(110)는 클러스터링 기법을 이용하여 네트워크 침입을 탐지하는 시스템에 있어서, 복수의 보안 샘플 유닛(소위, individual)을 획득하는 기능을 수행한다. 보안 샘플 유닛은 학습된 데이터 세트를 포함하는 클러스터와 임의의 위치에 배치된 클러스터의 센터 정보를 포함하는 것으로, 각 보안 샘플 유닛은 동일한 학습된 데이터 세트를 포함하며, 경우에 따라 학습된 데이터 세트를 포함하는 클러스터와 클러스터의 센터가 복수 개일 수도 있다. 참고로, 학습된 데이터는 이미 사용자가 정보를 알고 있는 데이터일 수 있다. 또한, 본 발명에 따른 적합도 계산부(110)는 보안 샘플 유닛의 적합도(fitness value)를 계산할 수 있다. 보안 샘플 유닛의 적합도는 하기의 수학식 1을 이용하여 계산할 수 있다.1, a system for detecting an intrusion of a network according to the present invention may include a fitness calculation unit 110, a cluster update unit 120, a network security monitoring unit 130, and a control unit 100 . First, the fitness calculator 110 according to an embodiment of the present invention performs a function of acquiring a plurality of security sample units (so-called individuals) in a system for detecting a network intrusion using a clustering technique. The secure sample unit comprises a cluster of learned data sets and a cluster of clusters located at an arbitrary location, each secure sample unit comprising the same learned data set, There may be multiple centers of clusters and clusters involved. For reference, the learned data may be data already known by the user. In addition, the fitness calculator 110 according to the present invention can calculate the fitness value of the secure sample unit. The fitness of the secure sample unit can be calculated using Equation (1) below.

Figure 112012096716781-pat00001
Figure 112012096716781-pat00001

f(x)는 적합도에 관한 함수로, 클러스터 내에 포함된 각 데이터와 클러스터 센터와의 거리를 모두 더한 값이 클수록 Jc의 값은 커지며 이에 따라 적합도 값은 작아진다. 즉, 적합도가 낮다는 것은, 클러스터의 센터가 부적절한 위치에 있어 클러스터에 포함된 데이터들과 멀리 떨어져 있으므로, 상기 클러스터의 센터로 네트워크 패킷으로 침입 여부를 탐지하는 경우 오탐율이 높을 수 있음을 의미할 수 있다. 이와 반대로, 클러스터 내에 포함된 각 데이터와 클러스터의 센터와의 거리를 모두 더한 값이 작을수록 적합도는 커지며, 이는 상기 클러스터의 센터로 네트워크의 침입 여부를 탐지하는 경우 침입 탐지의 성공율이 높은 것을 의미할 수 있다. As f (x) is a fitness function, the larger the value of the distance between each cluster data center and the cluster data, the larger the value of Jc. In other words, a low fitness indicates that a false positive rate may be high if the center of the cluster is located at an inappropriate position and is far away from the data contained in the cluster, . On the contrary, the smaller the sum of the distance between each data included in the cluster and the center of the cluster is, the greater the fitness becomes. This means that the success rate of intrusion detection is high in detecting the intrusion of the network into the center of the cluster .

본 발명의 일 실시예에 따른 클러스터 갱신부(120)는 복수의 보안 샘플 유닛 중 특정 보안 샘플 유닛을 선택하고, 선택한 특정 보안 샘플 유닛을 이용하여 특정 보안 샘플 유닛의 클러스터 센터 정보를 갱신할 수 있다. 특정 보안 샘플 유닛의 클러스터 센터 정보를 갱신하는 것은 네트워크의 침입 탐지 성공율이 높은 클러스터의 센터를 찾기 위한 과정일 수 있다. 이하, 특정 보안 샘플 유닛의 클러스터 센터 정보를 갱신하는 방법에 대하여 구체적으로 설명한다. 클러스터 센터 정보를 갱신하는 하나의 방법으로, 먼저 복수의 보안 샘플 유닛 중 적합도가 큰 두 개의 보안 샘플 유닛을 선택한다. 선택된 두 개의 보안 샘플 유닛 중 제1 보안 샘플 유닛의 클러스터 센터 정보 A'1을 갱신하고자 할 경우, 제2 보안 샘플 유닛에 포함된 클러스터 센터 중 제1 보안 샘플 유닛의 클러스터 센터 A'1과 가까운 클러스터 센터 B'1을 선택하여 하기의 수학식 2에 따라 제1 보안 샘플 유닛의 클러스터 센터 정보를 A'1 에서 A'로 갱신할 수 있다. The cluster updating unit 120 according to an embodiment of the present invention may select a specific security sample unit from among a plurality of security sample units and update the cluster center information of a specific security sample unit using the selected specific security sample unit . Updating the cluster center information of a specific security sample unit may be a process for locating the center of the cluster with high success rate of intrusion detection of the network. Hereinafter, a method for updating cluster center information of a specific security sample unit will be described in detail. As one method of updating the cluster center information, first, two security sample units having a large fitness among a plurality of security sample units are selected. When it is desired to update the cluster center information A'1 of the first security sample unit among the selected two security sample units, the cluster center A'1 of the first security sample unit among the cluster centers included in the second security sample unit The center B'1 may be selected and the cluster center information of the first security sample unit may be updated from A'1 to A 'according to the following equation (2).

Figure 112012096716781-pat00002
Figure 112012096716781-pat00002

이때, 제1 보안 샘플 유닛의 클러스터 센터 A'1의 정보를 갱신하는데 사용된 제2 보안 샘플 유닛의 클러스터 센터 B'1은 하기의 수학식 3에 따라 B'의 정보를 갖는 클러스터 센터로 갱신될 수 있다(소위, 유전자 알고리즘의 Crossover 프로세스에 해당함). At this time, the cluster center B'1 of the second security sample unit used for updating the information of the cluster center A'1 of the first security sample unit is updated to the cluster center having the information of B 'according to the following equation (3) (So-called crossover process of the genetic algorithm).

Figure 112012096716781-pat00003
Figure 112012096716781-pat00003

참고로, 수학식 2 및 3의 r은 아무런 조건이 없는 0과 1 사이의 랜덤 변수일 수 있다. 보안 샘플 유닛에 포함된 클러스터 센터가 복수 개일 경우, 각 클러스터의 센터에 대하여 수학식 2 및 3을 이용하여 클러스터 센터의 정보 갱신 과정을 반복할 수도 있다. For reference, r in Equations 2 and 3 may be a random variable between 0 and 1 with no conditions. When there are a plurality of cluster centers included in the security sample unit, the information updating process of the cluster center may be repeated using equations (2) and (3) for the center of each cluster.

클러스터 센터 정보를 갱신하는 다른 방법으로, 특정 보안 샘플 유닛의 클러스터 센터를 사용자에 의해 설정된 값만큼 변화시켜 갱신할 수 있다. 즉, 하기의 수학식 4와 같이 특정 보안 샘플 유닛의 클러스터 센터 X1 을 사용자가 설정한 M 만큼 변화시켜 X의 정보를 갖는 클러스터 센터로 갱신할 수 있다. As another method of updating the cluster center information, the cluster center of the specific security sample unit can be updated by changing the value set by the user. That is, as shown in Equation (4), the cluster center X1 of the specific security sample unit can be changed by the user's set M and updated to the cluster center having the information of X.

Figure 112012096716781-pat00004
Figure 112012096716781-pat00004

이때, 특정 보안 샘플 유닛의 적합도에 따라 M 값이 달라질 수 있으며 적합도가 클수록 M 값이 작고, 적합도가 낮을수록 M 값이 클 수 있다(소위, 유전자 알고리즘의 Mutation 프로세스에 해당함). 즉, 적합도가 낮아 네트워크의 침입 탐지 성공율이 낮을 것으로 예상되는 보안 샘플 유닛에 대하여 클러스터의 센터에 큰 변화를 줌으로써 적합도가 큰 보안 샘플 유닛을 형성할 수 있는 확률을 높일 수 있다. 또한, 적합도가 높은 보안 샘플 유닛의 경우에는 네트워크의 침입 탐지 성공율이 높을 것으로 예상되므로 클러스터의 센터의 변화율을 작게 할 수 있다. At this time, the M value may be changed according to the fitness of the specific security sample unit. The larger the fitness value, the smaller the M value and the lower the fitness value, the larger the M value (so-called genetic algorithm mutation process). That is, the probability of forming a security sample unit having a high degree of fitness can be increased by changing the center of the cluster to a security sample unit, which is expected to have a low probability of intrusion detection due to low fitness. In the case of a security sample unit with a high fitness, it is expected that the success rate of the intrusion detection of the network is high, so that the change rate of the center of the cluster can be reduced.

본 발명의 일 실시예에 따른 클러스터 갱신부(120)는 갱신된 클러스터 센터를 이용하여 특정 보안 샘플 유닛에 포함된 학습된 데이터를 클러스터 센터에 대한 클러스터로 분류하는 기능을 수행할 수 있다. 학습된 데이터를 분류하는 것이란 학습된 데이터 각각이 어느 클러스터 센터에 대한 클러스터에 포함되는지 결정하는 것이며 차후 보안 샘플 유닛의 적합도를 계산하기 위한 과정일 수 있다. 이때, 케이민(k-means) 알고리즘을 이용하여 데이터를 분류할 수 있으며, 특정 보안 샘플 유닛에 포함된 클러스터 센터가 복수 개인 경우 학습된 데이터를 각 클러스터 센터에 대한 클러스터별로 분류할 수 있다. 이때, 클러스터 갱신부(120)를 반복적으로 동작시켜 보안 샘플 유닛을 생성하는 경우, 클러스터 갱신부(120)를 N 번째 동작시켜 생성된 보안 샘플 유닛 중 적합도가 가장 낮은 보안 샘플 유닛은, 클러스터 갱신부(120)를 N-1 번째 동작시켜 생성된 보안 샘플 유닛 중 적합도가 가장 높은 보안 샘플 유닛으로 대체될 수 있다. The cluster updating unit 120 according to an embodiment of the present invention can perform a function of classifying the learned data included in a specific security sample unit into a cluster for the cluster center using the updated cluster center. Classifying the learned data may be a process for determining which clusters for which clustered center each of the learned data is included and calculating the fitness of future secure sample units. In this case, the data can be classified using the k-means algorithm. When there are a plurality of cluster centers included in a specific security sample unit, the learned data can be classified into clusters for each cluster center. In this case, when the cluster update unit 120 is repeatedly operated to generate a secure sample unit, the security sample unit having the lowest fitness among the security sample units generated by operating the cluster update unit 120 N times, The security sample unit 120 may be replaced with the security sample unit having the highest fitness among the generated security sample units.

본 발명의 일 실시예에 따른 네트워크 보안 감시부(130)는 클러스터 갱신부(120)를 통해 생성된 복수의 보안 샘플 유닛 중 적합도가 큰 것을 선택하고, 선택된 보안 샘플유닛의 클러스터 센터를 이용하여 네트워크 패킷을 탐지하는 기능을 수행한다. 이때, 네트워크 패킷과 가까운 클러스터 센터를 찾아 네트워크 패킷이 악성 정보인지 정상 정보인지 판단할 수 있다. The network security monitoring unit 130 according to an exemplary embodiment of the present invention selects one of the plurality of security sample units generated through the cluster updating unit 120 having a large degree of fitness, And performs a function of detecting a packet. At this time, it is possible to determine whether the network packet is malicious information or normal information by searching the cluster center close to the network packet.

도 2는 본 발명의 일 실시예에 따른 네트워크의 침입을 탐지하는 방법을 설명하기 위한 흐름도이며, 도 3은 본 발명의 일 실시예에 따라 클러스터 센터의 정보가 갱신되는 것을 설명하기 위한 도면이다. 도 3에서 설명의 편의를 위하여 하나의 특정 보안 샘플 유닛의 클러스터 센터의 정보가 단계에 따라 갱신되는 과정을 도시하였다. 이하, 도 2 및 도 3을 참조하여 네트워크의 침입을 탐지하는 방법에 대하여 구체적으로 설명한다. FIG. 2 is a flowchart for explaining a method of detecting intrusion of a network according to an embodiment of the present invention. FIG. 3 is a view for explaining updating of cluster center information according to an embodiment of the present invention. For convenience of explanation in FIG. 3, a process of updating information of a cluster center of one specific security sample unit according to a step is shown. Hereinafter, a method for detecting an intrusion of a network will be described in detail with reference to FIGS. 2 and 3. FIG.

본 발명의 일 실시예에 따른 네트워크의 침입을 탐지하는 방법은 보안 샘플 유닛을 획득하는 것으로 시작한다(S210). 예를 들어, 보안 샘플 유닛은 학습된 데이터(30)와 클러스터 센터 C1, C2를 포함하며, 초기에 클러스터 센터 C1, C2는 310의 보안 샘플 유닛과 같이 임의의 위치에 배치될 수 있다. 도 3의 학습된 데이터 및 이하 도 4를 참조하여 설명할 네트워크 패킷은 데이터 또는 네트워크 패킷이 포함하는 특징을 소정의 알고리즘을 통하여 숫자화된 후 점으로 표시될 수 있다. 320 내지 360의 보안 샘플 유닛은 310의 보안 샘플 유닛의 클러스터 센터가 단계에 따라 갱신되는 과정에 따른 보안 샘플 유닛이다. 보안 샘플 유닛의 학습된 데이터들(30)은 각 클러스터 센터와의 거리에 따라 각 클러스터 센터에 대한 클러스터로 분류될 수 있다. 즉, 310의 보안 샘플 유닛의 검정색으로 표시된 데이터들은 320의 보안 샘플 유닛의 데이터와 같이, 빨간색과 파란색으로 분류될 수 있다. 빨간색으로 표시된 학습된 데이터들(30)은 클러스터 센터 C1에 속하며, 파란색으로 표시된 학습된 데이터들(30)은 클러스터 센터 C2에 속한다. A method for detecting an intrusion of a network according to an embodiment of the present invention starts with obtaining a secure sample unit (S210). For example, the secure sample unit includes the learned data 30 and the cluster centers C1, C2, and initially the cluster centers C1, C2 can be located at any location, such as the secure sample unit 310. [ The learned data of FIG. 3 and the network packet to be described below with reference to FIG. 4 can be represented by a dot after the number of features included in the data or network packet is digitized through a predetermined algorithm. The secure sample units 320 to 360 are security sample units according to the process in which the cluster center of the 310 secure sample units are updated step by step. The learned data 30 of the secure sample unit can be classified into clusters for each cluster center depending on the distance from each cluster center. That is, the data represented in black in the 310 secure sample units can be classified in red and blue, as is the data in 320 secure sample units. The learned data 30 indicated in red belongs to the cluster center C1, and the learned data 30 indicated in blue belongs to the cluster center C2.

320의 보안 샘플 유닛과 같이 임의로 배치된 각 클러스터 센터 C1, C2에 대하여 학습된 데이터들(30)을 분류한 후 보안 샘플 유닛의 적합도를 계산할 수 있다(S220). 보안 샘플 유닛의 적합도를 계산한 후 보안 샘플 유닛의 클러스터 센터의 정보를 갱신할 수 있다(S230). 330의 보안 샘플 유닛의 클러스터 센터 C1, C2는 320의 보안 샘플 유닛의 클러스터 센터 C1, C2로부터 갱신된 것일 수 있다. 이때, 도 3에서는 설명의 편의를 위하여 보안 샘플 유닛을 하나만 도시하였으나, 320의 보안 샘플 유닛과 같은 보안 샘플 유닛이 복수 개 존재할 수 있으며(다만, 각 보안 샘플 유닛마다 클러스터 센터의 정보가 다를 수 있음), 복수의 보안 샘플 유닛 중 특정 보안 샘플 유닛을 선택하여 상술한 수학식 1 내지 4에 의한 방법으로 330의 보안 샘플 유닛의 클러스터 센터로 갱신할 수 있다. 보안 샘플 유닛의 클러스터 센터의 정보를 갱신한 경우, 갱신된 클러스터 센터의 정보에 따라 학습된 데이터들을 분류할 수 있다(S240). 320의 보안 유닛 샘플과 340의 보안 유닛 샘플을 참조하면, 클러스터 센터가 달라짐에 따라 학습된 데이터가 다르게 분류되는 것을 알 수 있다. After the learned data 30 is classified for each of the cluster centers C1 and C2 arbitrarily arranged like the security sample unit 320, the fitness of the secure sample unit can be calculated (S220). After calculating the fitness of the secure sample unit, the information of the cluster center of the secure sample unit may be updated (S230). The cluster centers C1, C2 of the 330 secure sample units may be updated from the cluster centers C1, C2 of 320 secure sample units. In FIG. 3, although only one security sample unit is illustrated for the sake of convenience, a plurality of security sample units such as 320 security sample units may exist (however, information of cluster centers may be different for each security sample unit) ), A specific security sample unit among a plurality of security sample units can be selected and updated to a cluster center of 330 security sample units by the method according to Equations 1 to 4 described above. When the information of the cluster center of the secure sample unit is updated, the learned data can be classified according to the information of the updated cluster center (S240). Referring to 320 secure unit samples and 340 secure unit samples, it can be seen that the learned data is classified differently as the cluster center changes.

본 발명의 일 실시예에 따르면, 보안 샘플 유닛의 적합도를 계산하고, 클러스터 센터의 정보를 갱신하고, 갱신된 클러스터 센터에 따라 학습된 데이터를 분류하는 과정이 여러 번 반복될 수도 있다. 따라서, 340의 보안 샘플 유닛의 클러스터 센터 C1, C2를 350의 보안 샘플 유닛의 클러스터 센터 C1, C2로 갱신하고 갱신된 클러스터 센터의 정보에 따라 360의 보안 샘플 유닛과 같이 학습된 데이터(30)를 분류할 수 있다. 340의 보안 샘플 유닛에서 350의 보안 샘플 유닛의 클러스터 센터로 갱신하는 과정에 대하여는, 320의 보안 샘플 유닛에서 330의 보안 샘플 유닛의 클러스터 센터로 갱신하는 과정과 동일하므로 생략한다. 상기의 과정을 반복하여 적합도가 큰 보안 샘플 유닛을 선택하고(S250), 선택된 보안 샘플 유닛에 포함된 클러스터 센터에 따라 네트워크 패킷을 탐지할 수 있다(S260). According to an embodiment of the present invention, the process of calculating the fitness of the secure sample unit, updating the cluster center information, and classifying the learned data according to the updated cluster center may be repeated several times. Accordingly, the cluster centers C1 and C2 of the 340 secure sample units are updated to the cluster centers C1 and C2 of the 350 secure sample units, and the learned data 30, such as 360 security sample units, is updated according to the information of the updated cluster center Can be classified. The process of updating the security sample unit from 340 to the cluster center of the security sample unit of 350 is the same as the process of updating from the security sample unit of 320 to the cluster center of 330 of the secure sample unit. The above process is repeated to select a security sample unit having a high degree of fitness (S250), and the network packet may be detected according to the cluster center included in the selected security sample unit (S260).

도 4는 선택된 보안 샘플 유닛에 포함된 클러스터 센터를 이용하여 네트워크 패킷을 탐지하는 방법을 설명하기 위한 도면이다. 동그란 점들은 악성 여부를 판단해야 하는 네트워크 패킷(410)이며, C1 및 C2는 본 발명의 일 실시예에 따라 선택된 최적의 클러스터 센터이다. 도 4를 참조하면, 클러스터 센터 C1, C2와 네트워크 패킷(410) 사이의 거리를 이용하여 네트워크 패킷(410)의 정보를 알 수 있으며, 예를 들어, 클러스터 센터 C1이 정상 데이터에 관한 것이고 C2가 악성 데이터에 관한 것이라 할 때, 빨간 점으로 표시된 네트워크 패킷은 클러스터 센터 C1과 유사한 정보를 갖는 것이고, 파란 점으로 표시된 네트워크 패킷은 클러스터 센터 C2와 유사한 정보를 갖는 것으로 판단할 수 있다. 4 is a diagram for explaining a method of detecting a network packet using a cluster center included in a selected security sample unit. The rounded points are network packets 410 that should be judged to be malicious, and C1 and C2 are optimal cluster centers selected according to one embodiment of the present invention. Referring to FIG. 4, the information of the network packet 410 can be known by using the distance between the cluster centers C1 and C2 and the network packet 410. For example, when the cluster center C1 is related to normal data and C2 The network packet indicated by the red dot has information similar to that of the cluster center C1 and the network packet indicated by the blue dot has information similar to the cluster center C2.

이상 설명된 본 발명에 따른 실시예들은 다양한 컴퓨터 구성요소를 통하여 수행될 수 있는 프로그램 명령어의 형태로 구현되어 컴퓨터 판독 가능한 기록 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능한 기록 매체는 프로그램 명령어, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 컴퓨터 판독 가능한 기록 매체에 기록되는 프로그램 명령어는 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 분야의 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능한 기록 매체의 예에는, 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체, CD-ROM, DVD와 같은 광기록 매체, 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 ROM, RAM, 플래시 메모리 등과 같은 프로그램 명령어를 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령어의 예에는, 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드도 포함된다. 상기 하드웨어 장치는 본 발명에 따른 처리를 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.The embodiments of the present invention described above can be implemented in the form of program instructions that can be executed through various computer components and recorded on a computer-readable recording medium. The computer-readable recording medium may include program commands, data files, data structures, and the like, alone or in combination. The program instructions recorded on the computer-readable recording medium may be those specially designed and constructed for the present invention or may be those known and used by those skilled in the computer software arts. Examples of computer-readable recording media include magnetic media such as hard disks, floppy disks and magnetic tape, optical recording media such as CD-ROMs and DVDs, magneto-optical media such as floptical disks, media, and hardware devices specifically configured to store and execute program instructions such as ROM, RAM, flash memory, and the like. Examples of program instructions include machine language code such as those generated by a compiler, as well as high-level language code that can be executed by a computer using an interpreter or the like. The hardware device may be configured to operate as one or more software modules for performing the processing according to the present invention, and vice versa.

이상에서 본 발명이 구체적인 구성요소 등과 같은 특정 사항들과 한정된 실시예 및 도면에 의해 설명되었으나, 이는 본 발명의 보다 전반적인 이해를 돕기 위해서 제공된 것일 뿐, 본 발명이 상기 실시예들에 한정되는 것은 아니며, 본 발명이 속하는 기술분야에서 통상적인 지식을 가진 자라면 이러한 기재로부터 다양한 수정 및 변형을 꾀할 수 있다.While the present invention has been particularly shown and described with reference to exemplary embodiments thereof, it is to be understood that the invention is not limited to the disclosed exemplary embodiments, but, on the contrary, Those skilled in the art will appreciate that various modifications, additions and substitutions are possible, without departing from the scope and spirit of the invention as disclosed in the accompanying claims.

따라서, 본 발명의 사상은 상기 설명된 실시예에 국한되어 정해져서는 아니되며, 후술하는 특허청구범위뿐만 아니라 이 특허청구범위와 균등하게 또는 등가적으로 변형된 모든 것들은 본 발명의 사상의 범주에 속한다고 할 것이다.Therefore, the spirit of the present invention should not be construed as being limited to the above-described embodiments, and all of the equivalents or equivalents of the claims, as well as the following claims, I will say.

100: 제어부
110: 적합도 계산부
120: 클러스터 갱신부
130: 네트워크 보안 감시부
C1, C2: 클러스터 센터
30: 학습된 데이터
410: 네트워크 패킷100:
110: fitness calculator
120: Cluster Update Unit
130: Network security monitoring unit
C1, C2: Cluster Center
30: Learned data
410: network packet

Claims (19)

클러스터링 기법을 이용하여 네트워크 침입을 탐지하는 방법에 있어서,
(a) 학습된 데이터 세트를 포함하는 클러스터와 임의의 위치에 배치된 상기 클러스터의 센터 정보를 포함하는 복수의 보안 샘플 유닛을 획득하는 단계;
(b) 각 보안 샘플 유닛의 적합도를 계산하는 단계;
(c) 상기 복수의 보안 샘플 유닛 중 특정 보안 샘플 유닛을 선택하고 상기 특정 보안 샘플 유닛을 이용하여 상기 특정 보안 샘플 유닛의 클러스터 센터 정보를 갱신하는 단계;
(d) 상기 갱신된 클러스터 센터를 이용하여 상기 특정 보안 샘플 유닛에 포함된 학습된 데이터를 상기 클러스터 센터에 대한 클러스터로 분류하는 단계;
(e) 상기 (b) 내지 상기 (d) 단계를 최소 1회 반복하여 갱신된 상기 클러스터 센터 정보를 포함하는 복수의 보안 샘플 유닛을 생성하고, 생성된 복수의 보안 샘플 유닛 중 적합도가 큰 보안 샘플 유닛을 선택하는 단계; 및
(f) 상기 선택된 보안 샘플 유닛의 클러스터 센터를 이용하여 네트워크 패킷을 탐지하는 단계;를 포함하되,
상기 (b) 내지 (d)의 단계를 반복하는 경우에,
상기 (b) 내지 (d) 단계가 N번 째 진행된 후 생성된 보안 샘플 유닛 중 적합도가 가장 낮은 보안 샘플 유닛은, (b) 내지 (d) 단계가 N-1번 째 진행된 후에 생성된 보안 샘플 유닛 중 적합도가 가장 큰 보안 샘플 유닛으로 대체되는 것을 특징으로 하는 네트워크 침입 탐지 방법.A method for detecting a network intrusion using a clustering technique,
(a) obtaining a plurality of security sample units including a cluster including a learned data set and center information of the cluster disposed at an arbitrary position;
(b) calculating a fitness of each secure sample unit;
(c) selecting a specific security sample unit among the plurality of security sample units and updating the cluster center information of the specific security sample unit using the specific security sample unit;
(d) classifying the learned data included in the specific security sample unit into clusters for the cluster center using the updated cluster center;
(e) repeating the steps (b) to (d) at least once to generate a plurality of security sample units including the updated cluster center information, and generating a plurality of security sample units, Selecting a unit; And
(f) detecting a network packet using the cluster center of the selected secure sample unit,
In the case of repeating the steps (b) to (d)
The security sample unit having the lowest relevance among the security sample units generated after the steps (b) to (d) progresses N times is a security sample unit that is generated after the steps (b) to (d) Wherein the security sample unit is replaced with the security sample unit having the greatest fitness among the units. 삭제delete 제1항에 있어서,
상기 (c)단계에서,
상기 특정 보안 샘플 유닛으로서, 적합도가 큰 제1 보안 샘플 유닛과 제2 보안 샘플 유닛을 선택하고, (i) 상기 제2 보안 샘플 유닛에 포함된 클러스터 센터 중 상기 제1 보안 샘플 유닛의 클러스터 센터와의 거리가 가장 가까운 클러스터 센터 및 (ii) 상기 제1 보안 샘플 유닛의 클러스터 센터를 이용하여 상기 제1 보안 샘플 유닛의 클러스터 센터를 갱신하는 것을 특징으로 하는 네트워크 침입 탐지 방법.The method according to claim 1,
In the step (c)
Selecting a first security sample unit and a second security sample unit having a high degree of fitness as the specific security sample unit, and selecting (i) a cluster center of the first security sample unit among the cluster centers included in the second security sample unit, And (ii) the cluster center of the first secure sample unit is used to update the cluster center of the first secure sample unit. 제1항에 있어서,
상기 (c)단계에서,
상기 특정 보안 샘플 유닛의 클러스터 센터는 사용자에 의해 설정된 값만큼 변화하여 갱신되며, 상기 보안 샘플 유닛의 적합도가 낮을수록 변화량이 큰 것을 특징으로 하는 네트워크 침입 탐지 방법.The method according to claim 1,
In the step (c)
Wherein the cluster center of the specific security sample unit is updated and changed by a value set by the user, and the change amount is larger as the fitness of the security sample unit is lower. 제1항에 있어서,
상기 (d) 단계는,
상기 특정 보안 샘플 유닛에 포함된 클러스터 센터 개수가 2개 이상이면, 상기 특정 보안 샘플 유닛에 포함된 학습 데이터를 각 클러스터 센터에 대한 클러스터로 분류하는 것을 특징으로 하는 네트워크 침입 탐지 방법. The method according to claim 1,
The step (d)
And classifying the learning data included in the specific security sample unit into clusters for each cluster center if the number of cluster centers included in the specific security sample unit is two or more. 삭제delete 제1항에 있어서,
각 보안 샘플 유닛에 있어서,
클러스터 센터와 클러스터에 포함된 각 데이터 사이의 거리의 합이 작을수록 적합도가 큰 것으로 판단되는 것을 특징으로 하는 네트워크 침입 탐지 방법. The method according to claim 1,
For each secure sample unit,
Wherein the smaller the sum of the distances between the cluster center and each of the data included in the cluster, the greater the fitness of the network intrusion detection method. 제1항에 있어서,
상기 (d)단계에서,
케이민(k-means) 알고리즘을 이용하여 상기 학습된 데이터를 분류하는 것을 특징으로 하는 네트워크 침입 탐지 방법.The method according to claim 1,
In the step (d)
And classifying the learned data using a k-means algorithm. 제1항에 있어서,
상기 (f) 단계에서,
상기 네트워크 패킷과 상기 선택된 보안 샘플 유닛의 클러스터 센터와 거리를 이용하여 침입 여부를 판단하는 것을 특징으로 하는 네트워크 침입 탐지 방법. The method according to claim 1,
In the step (f)
Wherein the network intrusion detection method comprises determining whether an intrusion is made using the network packet and the distance between the cluster center and the selected security sample unit. 클러스터링 기법을 이용하여 네트워크 침입을 탐지하는 시스템에 있어서,
학습된 데이터 세트를 포함하는 클러스터와 임의의 위치에 배치된 상기 클러스터의 센터 정보를 포함하는 복수의 보안 샘플 유닛을 획득하고, 각 보안 샘플 유닛의 적합도를 계산하는 적합도 계산부;
상기 복수의 보안 샘플 유닛 중 특정 보안 샘플 유닛을 선택하고 상기 특정 보안 샘플 유닛을 이용하여 상기 특정 보안 샘플 유닛의 클러스터 센터 정보를 갱신하며, 상기 갱신된 클러스터 센터를 이용하여 상기 특정 보안 샘플 유닛에 포함된 학습된 데이터를 상기 클러스터 센터에 대한 클러스터로 분류하는 클러스터 갱신부; 및
갱신된 상기 클러스터 센터 정보를 포함하는 복수의 보안 샘플 유닛을 생성하고, 생성된 복수의 보안 샘플 유닛 중 적합도가 큰 보안 샘플 유닛을 선택하고, 상기 선택된 보안 샘플 유닛의 클러스터 센터를 이용하여 네트워크 패킷을 탐지하는 네트워크 보안 감시부;를 포함하되,
상기 네트워크 보안 감시부는,
상기 클러스터 갱신부를 반복적으로 동작시켜 복수의 보안 샘플 유닛을 생성하는 경우,
상기 클러스터 갱신부를 N번 째 동작시켜 생성된 보안 샘플 유닛 중 적합도가 가장 낮은 보안 샘플 유닛은, 상기 클러스터 갱신부를 N-1번 째 동작시켜 생성된 보안 샘플 유닛 중 적합도가 가장 높은 보안 샘플 유닛으로 대체되는 것을 특징으로 하는 네트워크 침입 탐지 시스템.A system for detecting a network intrusion using a clustering technique,
A fitness calculator for acquiring a cluster including the learned data set and a plurality of security sample units including center information of the cluster disposed at an arbitrary position and calculating a fitness of each security sample unit;
Selecting a specific security sample unit among the plurality of security sample units and updating the cluster center information of the specific security sample unit using the specific security sample unit, A cluster updating unit for classifying the learned data into clusters for the cluster center; And
Generating a plurality of security sample units including the updated cluster center information, selecting a security sample unit having a large fitness among the generated plurality of security sample units, and using the cluster center of the selected security sample unit, And a network security monitoring unit that detects the network security monitoring unit,
The network security monitoring unit,
When the cluster update unit is repeatedly operated to generate a plurality of secure sample units,
The security sample unit having the lowest fitness among the security sample units generated by operating the cluster update unit N times is replaced with the security sample unit having the highest fitness among the security sample units generated by operating the cluster update unit in the N- The network intrusion detection system comprising: 삭제delete 제10항에 있어서,
상기 클러스터 갱신부는,
상기 특정 보안 샘플 유닛으로서, 적합도가 큰 제1 보안 샘플 유닛과 제2 보안 샘플 유닛을 선택하고, (i) 상기 제2 보안 샘플 유닛에 포함된 클러스터 센터 중 상기 제1 보안 샘플 유닛의 클러스터 센터와의 거리가 가장 가까운 클러스터 센터 및 (ii) 상기 제1 보안 샘플 유닛의 클러스터 센터를 이용하여 상기 제1 보안 샘플 유닛의 클러스터 센터를 갱신하는 것을 특징으로 하는 네트워크 침입 탐지 시스템.11. The method of claim 10,
The cluster updating unit,
Selecting a first security sample unit and a second security sample unit having a high degree of fitness as the specific security sample unit, and selecting (i) a cluster center of the first security sample unit among the cluster centers included in the second security sample unit, And (ii) the cluster center of the first secure sample unit to update the cluster center of the first secure sample unit. 제10항에 있어서,
상기 클러스터 갱신부는,
상기 특정 보안 샘플 유닛의 클러스터 센터를 사용자에 의해 설정된 값만큼 변화시켜 갱신하며, 상기 보안 샘플 유닛의 적합도가 낮을수록 변화량이 큰 것을 특징으로 하는 네트워크 침입 탐지 시스템.11. The method of claim 10,
The cluster updating unit,
Wherein a cluster center of the specific security sample unit is updated by changing a value set by a user and a change amount of the security sample unit is larger as the fitness of the security sample unit is lower. 제10항에 있어서,
상기 클러스터 갱신부는,
상기 특정 보안 샘플 유닛에 포함된 클러스터 센터 개수가 2개 이상이면, 상기 특정 보안 샘플 유닛에 포함된 학습 데이터를 각 클러스터 센터에 대한 클러스터로 분류하는 것을 특징으로 하는 네트워크 침입 탐지 시스템.11. The method of claim 10,
The cluster updating unit,
And classifies the learning data included in the specific security sample unit into clusters for each cluster center if the number of cluster centers included in the specific security sample unit is two or more. 삭제delete 제10항에 있어서,
각 보안 샘플 유닛에 있어서,
클러스터 센터와 클러스터에 포함된 각 데이터 사이의 거리의 합이 작을수록 적합도가 큰 것으로 판단되는 것을 특징으로 하는 네트워크 침입 탐지 시스템.11. The method of claim 10,
For each secure sample unit,
Wherein the smaller the sum of the distances between the cluster center and each of the data included in the cluster, the greater the fitness of the network intrusion detection system. 제10항에 있어서,
상기 클러스터 갱신부는,
케이민(k-means) 알고리즘을 이용하여 상기 학습된 데이터를 분류하는 것을 특징으로 하는 네트워크 침입 탐지 시스템. 11. The method of claim 10,
The cluster updating unit,
And classifies the learned data using a k-means algorithm. 제10항에 있어서,
상기 네트워크보안 감시부는,
상기 네트워크 패킷과 상기 선택된 보안 샘플 유닛의 클러스터 센터와 거리를 이용하여 침입 여부를 판단하는 것을 특징으로 하는 네트워크 침입 탐지 시스템. 11. The method of claim 10,
The network security monitoring unit,
Wherein the network intrusion detection system determines whether an intruder is intruding using the network packet and the distance between the cluster center and the selected security sample unit. 삭제delete
KR1020120133450A 2012-11-23 2012-11-23 Method, system and computer-readable recording medium for detecting intrusion of network KR101394591B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020120133450A KR101394591B1 (en) 2012-11-23 2012-11-23 Method, system and computer-readable recording medium for detecting intrusion of network

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020120133450A KR101394591B1 (en) 2012-11-23 2012-11-23 Method, system and computer-readable recording medium for detecting intrusion of network

Publications (1)

Publication Number Publication Date
KR101394591B1 true KR101394591B1 (en) 2014-05-12

Family

ID=50893998

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020120133450A KR101394591B1 (en) 2012-11-23 2012-11-23 Method, system and computer-readable recording medium for detecting intrusion of network

Country Status (1)

Country Link
KR (1) KR101394591B1 (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20190046018A (en) * 2017-10-25 2019-05-07 한국전자통신연구원 Method of detecting abnormal behavior on the network and apparatus using the same
CN110191085A (en) * 2019-04-09 2019-08-30 中国科学院计算机网络信息中心 Based on polytypic intrusion detection method, device and storage medium
CN116866047A (en) * 2023-07-18 2023-10-10 山东溯源安全科技有限公司 Method, medium and device for determining malicious equipment in industrial equipment network

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20070008611A (en) * 2004-04-08 2007-01-17 인터내셔널 비지네스 머신즈 코포레이션 Method and system for distinguishing relevant network security threats using comparison of refined intrusion detection audits and intelligent security analysis

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20070008611A (en) * 2004-04-08 2007-01-17 인터내셔널 비지네스 머신즈 코포레이션 Method and system for distinguishing relevant network security threats using comparison of refined intrusion detection audits and intelligent security analysis

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
논문1:ICCCE *
논문2:International Conference on Rural Information and Communication Technology *
논문3:Lovely Professional University *

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20190046018A (en) * 2017-10-25 2019-05-07 한국전자통신연구원 Method of detecting abnormal behavior on the network and apparatus using the same
KR102028093B1 (en) * 2017-10-25 2019-10-02 한국전자통신연구원 Method of detecting abnormal behavior on the network and apparatus using the same
CN110191085A (en) * 2019-04-09 2019-08-30 中国科学院计算机网络信息中心 Based on polytypic intrusion detection method, device and storage medium
CN116866047A (en) * 2023-07-18 2023-10-10 山东溯源安全科技有限公司 Method, medium and device for determining malicious equipment in industrial equipment network

Similar Documents

Publication Publication Date Title
Moustafa et al. Novel geometric area analysis technique for anomaly detection using trapezoidal area estimation on large-scale networks
Rani et al. Intelligent transportation system for internet of vehicles based vehicular networks for smart cities
Song et al. Toward a more practical unsupervised anomaly detection system
Gruebler et al. An intrusion detection system against black hole attacks on the communication network of self-driving cars
US10084822B2 (en) Intrusion detection and prevention system and method for generating detection rules and taking countermeasures
CN111209563B (en) Network intrusion detection method and system
US11195120B2 (en) Detecting dataset poisoning attacks independent of a learning algorithm
De Souza et al. Two-step ensemble approach for intrusion detection and identification in IoT and fog computing environments
US8014310B2 (en) Apparatus and method for visualizing network situation using security cube
CN108882273B (en) Coexistence method of weak credible nodes under opportunistic routing of wireless Mesh network
Dhakar et al. A novel data mining based hybrid intrusion detection framework
US11115823B1 (en) Internet-of-things device classifier
Folino et al. An incremental ensemble evolved by using genetic programming to efficiently detect drifts in cyber security datasets
KR101394591B1 (en) Method, system and computer-readable recording medium for detecting intrusion of network
Ahmed Thwarting dos attacks: A framework for detection based on collective anomalies and clustering
KR101693405B1 (en) Apparatus and method for detecting anomaly intrusion using local deviation factor graph based algorithm
Song et al. Unsupervised anomaly detection based on clustering and multiple one-class SVM
JP2017037382A (en) Abnormal vector detector and abnormal vector detection program
Fauzi et al. Intrusion detection system using genetic algorithm and K-NN algorithm on dos attack
Zheng et al. Preprocessing method for encrypted traffic based on semisupervised clustering
Mahmood et al. Feature based unsupervised intrusion detection
Almalki et al. Prospectus: An online polymorphic attack detection model for intelligent transportation systems
Malviya et al. An Efficient Network Intrusion Detection Based on Decision Tree Classifier & Simple K-Mean Clustering using Dimensionality Reduction-A Review
Renjit et al. Network based anomaly intrusion detection system using SVM
JP7075362B2 (en) Judgment device, judgment method and judgment program

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20170502

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20180502

Year of fee payment: 5

LAPS Lapse due to unpaid annual fee