KR101535716B1 - 데이터 마이닝을 이용한 공격 탐지 장치 및 방법 - Google Patents

데이터 마이닝을 이용한 공격 탐지 장치 및 방법 Download PDF

Info

Publication number
KR101535716B1
KR101535716B1 KR1020130108749A KR20130108749A KR101535716B1 KR 101535716 B1 KR101535716 B1 KR 101535716B1 KR 1020130108749 A KR1020130108749 A KR 1020130108749A KR 20130108749 A KR20130108749 A KR 20130108749A KR 101535716 B1 KR101535716 B1 KR 101535716B1
Authority
KR
South Korea
Prior art keywords
data
mining
attack
attribute data
unit
Prior art date
Application number
KR1020130108749A
Other languages
English (en)
Other versions
KR20150029483A (ko
Inventor
최경
채기준
진흔이
이실
김미희
Original Assignee
이화여자대학교 산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 이화여자대학교 산학협력단 filed Critical 이화여자대학교 산학협력단
Priority to KR1020130108749A priority Critical patent/KR101535716B1/ko
Publication of KR20150029483A publication Critical patent/KR20150029483A/ko
Application granted granted Critical
Publication of KR101535716B1 publication Critical patent/KR101535716B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F17/00Digital computing or data processing equipment or methods, specially adapted for specific functions

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Quality & Reliability (AREA)
  • Data Mining & Analysis (AREA)
  • Databases & Information Systems (AREA)
  • Mathematical Physics (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

데이터 마이닝을 이용한 공격 탐지 장치 및 방법이 개시된다.
공격 탐지 방법은 후보 속성 데이터를 이용하여 제1 데이터 마이닝을 수행하는 단계; 상기 제1 데이터 마이닝의 결과에 기초하여 제1 데이터 마이닝에 사용된 복수의 결정 트리 알고리즘(decision tree algorithm) 중 하나의 결정 트리 알고리즘을 선택하는 단계; 선택된 결정 트리 알고리즘을 이용하여 후보 속성 데이터 중 키 속성 데이터를 결정하는 단계; 및 상기 키 속성 데이터를 이용하여 제2 데이터 마이닝을 수행하는 단계를 포함할 수 있다.

Description

데이터 마이닝을 이용한 공격 탐지 장치 및 방법{APPARATUS AND METHOD FOR DETECTING ATTACKS USING DATA MINING}
본 발명은 데이터 마이닝을 이용한 공격 탐지 장치 및 방법에 관한 것으로, 보다 상세하게는 후보 속성 데이터 중에서 공격 상태 검출에 사용되는 핵심 속성만을 입력 데이터로 이용하여 데이터 마이닝함으로써, 공격 상태 검출을 위한 데이터 마이닝의 속도 및 정확도를 높이는 공격 탐지 장치 및 방법에 관한 것이다.
서비스 거부(DoS: Denial of Service) 공격은 대응하는 데이터가 없는 요청 데이터를 대량으로 전송하여 네트워크 시스템이 요청 데이터에 대응하는 데이터를 검색하도록 하는 공격이다. 네트워크 시스템이 요청 데이터에 대응하는 데이터가 없다는 것을 모르는 경우, 네트워크 시스템은 요청 데이터에 대응하는 데이터를 검색하기 위하여 지속적으로 자원을 소모해야 하므로, 과부하가 발생하여 사용자들에게 정상적인 서비스를 제공하지 못할 수 있다.
한국공개특허 제10-2009-0079627호(공개일 2009년 07월 22일)에는 데이터 마이닝을 이용하여 유해 데이터를 선별하는 기술이 개시되어 있다. 그러나, 모든 데이터를 비교하는 경우, 서비스 거부 공격과 관련이 적은 데이터에 따라 공격을 탐지 못할 가능성이 있다.
따라서, 공격 탐지율을 높이는 방법이 요청되고 있다.
본 발명은 결정 트리 알고리즘을 기초로 후보 속성 데이터 중에서 공격 상태 검출에 사용되는 핵심 속성인 키 속성 데이터를 결정하고, 키 속성 데이터를 입력 데이터로 이용하여 데이터 마이닝함으로써, 공격 상태 검출을 위한 데이터 마이닝의 속도 및 정확도를 높인 공격 탐지 장치 및 방법을 제공할 수 있다.
본 발명의 일실시예에 따른 공격 탐지 방법은 후보 속성 데이터를 이용하여 제1 데이터 마이닝을 수행하는 단계; 상기 제1 데이터 마이닝의 결과에 기초하여 제1 데이터 마이닝에 사용된 복수의 결정 트리 알고리즘(decision tree algorithm) 중 하나의 결정 트리 알고리즘을 선택하는 단계; 선택된 결정 트리 알고리즘을 이용하여 후보 속성 데이터 중 키 속성 데이터를 결정하는 단계; 및 상기 키 속성 데이터를 이용하여 제2 데이터 마이닝을 수행하는 단계를 포함할 수 있다.
본 발명의 일실시예에 따른 공격 탐지 방법의 키 속성 데이터를 결정하는 단계는 상기 트리 구조에서 복수의 레벨에 대응하는 후보 속성 데이터들 중 기준 레벨 이상의 후보 속성 데이터를 키 속성 데이터로 결정할 수 있다.
본 발명의 일실시예에 따른 공격 탐지 방법은 공격 요구 사항에 기초하여 데이터 속성을 선택하는 단계; 선택한 데이터 속성에 대응하는 후보 속성 데이터를 수집하는 단계를 더 포함할 수 있다.
본 발명의 일실시예에 따른 공격 탐지 방법의 후보 속성 데이터는 정상 상태의 시스템에서 수집한 정상 상태 데이터, 및 공격 상태의 시스템에서 수집한 공격 상태 데이터를 포함할 수 있다.
본 발명의 일실시예에 따른 공격 탐지 방법은 임의로 시스템에 공격을 수행하는 단계를 더 포함하고, 상기 공격 상태는 상기 시스템이 상기 공격을 수행하는 단계에 의하여 공격받는 상태일 수 있다.
본 발명의 일실시예에 따른 공격 탐지 방법의 제1 데이터 마이닝을 수행하는 단계는 결정 트리 알고리즘을 포함하는 복수의 마이닝 알고리즘과 상기 후보 속성 데이터를 이용하여 상기 시스템의 공격 여부를 판단하고, 판단 결과에 기초하여 상기 마이닝 알고리즘의 공격 상태 탐지율을 결정할 수 있다.
본 발명의 일실시예에 따른 공격 탐지 방법의 결정 트리 알고리즘을 선택하는 단계는 제1 데이터 마이닝에 사용된 복수의 결정 트리 알고리즘 중 공격 상태 탐지율이 가장 높은 결정 트리 알고리즘을 선택할 수 있다.
본 발명의 일실시예에 따른 공격 탐지 장치는 후보 속성 데이터를 이용하여 제1 데이터 마이닝을 수행하는 제1 데이터 마이닝부; 상기 제1 데이터 마이닝의 결과에 기초하여 제1 데이터 마이닝에 사용된 복수의 결정 트리 알고리즘(decision tree algorithm) 중 하나의 결정 트리 알고리즘을 선택하는 알고리즘 선택부; 선택된 결정 트리 알고리즘을 이용하여 후보 속성 데이터 중 키 속성 데이터를 결정하는 키 속성 데이터 결정부; 및 상기 키 속성 데이터를 이용하여 제2 데이터 마이닝을 수행하는 제2 데이터 마이닝부를 포함할 수 있다.
본 발명의 일실시예에 의하면, 결정 트리 알고리즘을 기초로 후보 속성 데이터 중에서 공격 상태 검출에 사용되는 핵심 속성인 키 속성 데이터를 결정하고, 키 속성 데이터를 입력 데이터로 이용하여 데이터 마이닝함으로써, 공격 상태 검출을 위한 데이터 마이닝의 속도 및 정확도를 높일 수 있다.
도 1은 본 발명의 일실시예에 따른 공격 탐지 장치를 나타내는 도면이다.
도 2는 본 발명의 일실시예에 따른 후보 속성 데이터 수집부를 나타내는 도면이다.
도 3은 본 발명의 일실시예에 따른 공격 탐지 과정의 일례이다.
도 4는 본 발명의 일실시예에 따른 제1 데이터 마이닝 결과의 일례이다.
도 5는 본 발명의 일실시예에 따라 선택한 알고리즘의 일례이다.
도 6은 도 5의 알고리즘에서 선택한 키 속성 데이터로 제2 데이터 마이닝한 결과의 일례이다.
도 7은 본 발명의 일실시예에 따라 선택한 알고리즘의 다른 일례이다.
도 8은 도 7의 알고리즘에서 선택한 키 속성 데이터로 제2 데이터 마이닝한 결과의 일례이다.
도 9는 본 발명의 일실시예에 따른 제1 데이터 마이닝 결과의 다른 일례이다.
도 10은 본 발명의 일실시예에 따라 선택한 키 속성 데이터의 일례이다.
도 11은 도 10에서 선택한 키 속성 데이터로 제2 데이터 마이닝한 결과의 일례이다.
도 12는 본 발명의 일실시예에 따른 공격 탐지 방법을 도시한 플로우차트이다.
도 13은 본 발명의 일실시예에 따른 후보 속성 데이터 수집 방법을 도시한 플로우차트이다.
이하, 본 발명의 실시예를 첨부된 도면을 참조하여 상세하게 설명한다. 본 발명의 일실시예에 따른 공격 탐지 방법은 공격 탐지 장치에 의해 수행될 수 있다.
본 발명의 일실시예에 따른 공격 탐지 장치(100)는 서브 스테이션 및 근거리 통신망(LAN)을 포함하는 스마트 그리드 환경의 네트워크 시스템에 대한 DoS 공격을 탐지할 수 있다.
도 1은 본 발명의 일실시예에 따른 공격 탐지 장치를 나타내는 도면이다.
도 1을 참고하면, 본 발명의 일실시예에 따른 공격 탐지 장치(100)는 후보 속성 데이터 수집부(110), 제1 데이터 마이닝부(120), 알고리즘 선택부(130), 키 속성 데이터 결정부(140) 및 제2 데이터 마이닝부(150)를 포함할 수 있다.
후보 속성 데이터 수집부(110)는 공격 요구 사항에 기초하여 데이터 속성을 선택하고, 선택한 데이터 속성에 대응하는 후보 속성 데이터를 수집할 수 있다. 이때, 후보 속성 데이터는 정상 상태의 시스템에서 수집한 정상 상태 데이터, 및 공격 상태의 시스템에서 수집한 공격 상태 데이터를 포함할 수 있다.
후보 속성 데이터 수집부(110)의 구체적인 구성 및 동작은 이하 도 2를 참조하여 상세히 설명한다.
제1 데이터 마이닝부(120)는 후보 속성 데이터 수집부(110)가 수집한 후보 속성 데이터를 이용하여 제1 데이터 마이닝을 수행할 수 있다.
이때, 제1 데이터 마이닝부(120)는 복수의 마이닝 알고리즘과 후보 속성 데이터를 이용하여 시스템의 공격 여부를 판단하고, 판단 결과에 기초하여 마이닝 알고리즘의 공격 상태 탐지율을 결정할 수 있다.
이때, 마이닝 알고리즘은 베이즈(Bayes) 타입, 기능(Functions) 타입, 레이지(Lazy) 타입, 메타(Meta) 타입, 규칙(Rules) 타입, 트리(Tree) 타입 및 기타(Misc) 타입으로 분류될 수 있다.
예를 들어, 베이즈 분류기(bayes classifier)로 분류된 마이닝 알고리즘은 베이즈 타입 마이닝 알고리즘이고, 네추럴 네트워크(neural network)와 지원 벡터 머신(SVM: support vector machines)은 기능(Functions) 타입 마이닝 알고리즘일 수 있다. 또한, 인스턴스 기반 분류기(instance based classifier)로 분류된 마이닝 알고리즘은 레이지 타입 마이닝 알고리즘이고, 코밍 알고리즘(combing algorithm)은 메타 타입 마이닝 알고리즘일 수 있다.
그리고, 규칙 기반 분류기(bayes classifier)로 분류된 마이닝 알고리즘은 규칙 타입 마이닝 알고리즘이고, 결정 트리 분류기(decision tree classifier)로 분류된 마이닝 알고리즘은 트리 타입 마이닝 알고리즘이며, 하이퍼 파이프스(hyperpipes)와 VFI(voting feature intervals)를 포함하는 미셀레니어스 분류기(miscellaneous classifier)로 분류된 마이닝 알고리즘은 기타(Misc) 타입 마이닝 알고리즘일 수 있다.
이때, 결정 트리 알고리즘(decision tree algorithm)은 결정 트리 분류기로 분류된 트리 타입 마이닝 알고리즘이며, 제1 데이터 마이닝에 사용된 후보 속성 데이터를 트리 구조로 나타내는 알고리즘일 수 있다.
알고리즘 선택부(130)는 제1 데이터 마이닝부(120)가 수행한 제1 데이터 마이닝의 결과에 기초하여 제1 데이터 마이닝에 사용된 복수의 결정 트리 알고리즘(decision tree algorithm) 중 하나의 결정 트리 알고리즘을 선택할 수 있다.
이때, 알고리즘 선택부(130)는 제1 데이터 마이닝에 사용된 복수의 결정 트리 알고리즘 중 공격 상태 탐지율이 가장 높은 결정 트리 알고리즘을 선택할 수 있다.
키 속성 데이터 결정부(140)는 알고리즘 선택부(130)가 선택한 결정 트리 알고리즘을 이용하여 후보 속성 데이터 중 키 속성 데이터를 결정할 수 있다.
이때, 키 속성 데이터 결정부(140)는 결정 트리 알고리즘이 표시하는 트리 구조에서 복수의 레벨에 대응하는 후보 속성 데이터들 중 기준 레벨 이상의 후보 속성 데이터를 키 속성 데이터로 결정할 수 있다. 예를 들어, 기준 레벨이 최상위 레벨인 경우, 키 속성 데이터 결정부(140)는 트리 구조에서 최상위 레벨에 대응하는 후보 속성 데이터를 키 속성 데이터로 결정할 수 있다.
키 속성 데이터 결정부(140)가 키 속성 데이터를 결정하는 과정은 이하 도 5와 도 7을 참조하여 상세히 설명한다.
제2 데이터 마이닝부(150)는 키 속성 데이터 결정부(140)가 결정한 키 속성 데이터를 이용하여 제2 데이터 마이닝을 수행할 수 있다.
이때, 제2 데이터 마이닝부(150)가 제2 데이터 마이닝을 수행하기 위하여 이용하는 마이닝 알고리즘은 제1 데이터 마이닝부(120)가 이용한 마이닝 알고리즘과 동일할 수 있다. 그러나, 제1 데이터 마이닝부(120)는 모든 후보 속성 데이터를 입력 데이터로 이용하여 데이터 마이닝할 수 있다. 반면, 제2 데이터 마이닝부(150)는 후보 속성 데이터 중에서 공격 상태 검출에 사용되는 핵심 속성인 키 속성 데이터 만을 입력 데이터로 이용하여 데이터 마이닝하고 있으므로, 제1 데이터 마이닝부(120)보다 연산량이 적으면서도 정확도를 높일 수 있다.
즉, 본 발명의 일실시예에 따른 공격 탐지 장치(100)는 후보 속성 데이터 중에서 공격 상태 검출에 사용되는 핵심 속성인 키 속성 데이터를 결정하고, 키 속성 데이터를 입력 데이터로 이용하여 데이터 마이닝함으로써, 공격 상태 검출을 위한 데이터 마이닝의 속도 및 정확도를 높일 수 있다.
도 2는 본 발명의 일실시예에 따른 후보 속성 데이터 수집부를 나타내는 도면이다.
도 2를 참고하면, 본 발명의 일실시예에 따른 후보 속성 데이터 수집부(110)는 데이터 속성 선택부(210), 데이터 수집부(220), 및 시스템 공격부(230)를 포함할 수 있다.
데이터 속성 선택부(210)는 공격 요구 사항에 기초하여 데이터 속성을 선택할 수 있다.
예를 들어, SYN 플로드 공격(SYN Flood Attack)과 버퍼 오버 플로우 공격(Buffer Overflow Attack)은 공격 방식이 상이하므로, 각각의 공격에 따라 변화하는 속성 데이터가 상이할 수 있다.
따라서, 데이터 속성 선택부(210)는 탐지하고자 하는 공격의 NSM(Network and System Management)요구 사항을 분석하고, 분석 결과에 따라 데이터 속성을 선택할 수 있다.
예를 들어, 데이터 속성 선택부(210)는 SYN 플로드 공격의 NSM 요구 사항을 분석하고, 분석 결과에 따라 표 1과 같은 데이터 속성을 선택할 수 있다.
Figure 112013082864949-pat00001
또한, 데이터 속성 선택부(210)는 버퍼 오버 플로우 공격의 NSM 요구 사항에 따라 buffer used (kB)와 transmission payload size (bytes)를 데이터 속성으로 더 선택할 수도 있다.
데이터 수집부(220)는 데이터 속성 선택부(210)가 선택한 데이터 속성에 대응하는 후보 속성 데이터를 수집할 수 있다. 이때, 후보 속성 데이터는 정상 상태의 시스템에서 수집한 정상 상태 데이터, 및 공격 상태의 시스템에서 수집한 공격 상태 데이터를 포함할 수 있다.
구체적으로 데이터 수집부(220)는 시스템 공격부(230)가 시스템에 공격을 수행하기 전에 데이터 속성 선택부(210)가 선택한 데이터 속성에 대응하는 속성 데이터인 정상 상태 데이터를 수집할 수 있다.
그리고, 데이터 수집부(220)는 시스템 공격부(230)가 시스템에 공격을 수행하는 중에 데이터 속성 선택부(210)가 선택한 데이터 속성에 대응하는 속성 데이터를 수집함으로써, 시스템이 공격받는 상태의 속성 데이터인 공격 상태 데이터를 수집할 수 있다.
시스템 공격부(230)는 임의로 시스템에 공격을 수행할 수 있다. 예를 들어, 시스템 공격부(230)는 GOOSE 메시지를 이용하여 SYN 플로드 공격 및 버퍼 오버 플로우 공격을 수행할 수 있다.
이때, 시스템 공격부(230)는 시스템에 일정 시간 간격으로 기 설정된 회수의 SYN 플로드 공격 및 버퍼 오버 플로우 공격을 수행할 수 있다. 예를 들어, 시스템 공격부(230)는 1분마다 1번씩 100회 공격을 수행할 수 있다. 이때, 데이터 수집부(220)는 시스템 공격부(230)가 공격을 수행하는 시간에 따라 1분마다 공격 상태 데이터를 수집할 수 있다. 또한, 데이터 수집부(220)는 시스템 공격부(230)가 공격을 수행한 후, 다음 공격이 수행되기 전까지의 1분 동안 정상 상태 데이터를 수집할 수 있다. 즉, 데이터 수집부(220)는 100개의 공격 상태 데이터와 100개의 정상 상태 데이터를 후보 속성 데이터로 수집할 수 있다.
또한, 데이터 속성 선택부(210)는 시스템 공격부(230)에 의한 공격을 모니터링하고, 모니터링 결과에 따라 추가로 데이터 속성을 선택할 수 있다. 예를 들어, 시스템 공격부(230)에 의한 공격에 따라 변화하는 속성 데이터 중에서 데이터 속성 선택부(210)가 선택하지 않은 데이터 속성의 속성 데이터가 있을 수 있다. 이때, 데이터 속성 선택부(210)는 변화하는 속성 데이터의 데이터 속성을 추가 선택할 수 있다.
그리고, 시스템 공격부(230)가 공격을 수행하고, 데이터 수집부(220)가 후보 속성 데이터를 수집하는 시스템은 테스트용 시스템일 수 있다. 이때, 테스트용 시스템은 서버 스테이션과 근거리 통신망으로 구성된 스마트 그리드 환경의 네트워크 시스템일 수 있다. 즉, 테스트용 시스템은 공격 탐지 장치(100)가 공격을 탐지하고자 하는 네트워크 시스템과 유사한 시스템일 수 있다.
도 3은 본 발명의 일실시예에 따른 공격 탐지 과정의 일례이다.
단계(310)에서 데이터 속성 선택부(210)는 공격 요구 사항에 기초하여 데이터 속성을 선택할 수 있다. 이때, 데이터 속성 선택부(210)는 탐지하고자 하는 공격의 NSM(Network and System Management)요구 사항을 분석하고, 분석 결과에 따라 데이터 속성을 선택할 수 있다.
단계(320)에서 시스템 공격부(230)는 임의로 시스템에 공격을 수행할 수 있다. 예를 들어, 시스템 공격부(230)는 GOOSE 메시지를 이용하여 SYN 플로드 공격 및 버퍼 오버 플로우 공격을 수행할 수 있다.
이때, 시스템 공격부(230)는 테스트용 시스템인 공격 테스트 베드(Attack test bed)(300)에 일정 시간 간격으로 기 설정된 회수의 SYN 플로드 공격 및 버퍼 오버 플로우 공격을 수행할 수 있다. 예를 들어, 시스템 공격부(230)는 1분마다 1번씩 100회 공격을 수행할 수 있다.
이때, 공격 테스트 베드(300)는 서브스테이션(302), 관리자 데스크, 서브스테이션 외부와 인터페이스를 포함한 I / O 장치, 지능형 센서와 액추에이터를 포함할 수 있다. 또한, 서브스테이션(302)은 일정 수준의 CPU와 메모리를 포함하는 지능형 전자 장치(IED: intelligent electronic device)를 포함할 수 있다.
또한, 시스템 공격부(230)는 공격자(301)의 역할을 대신하여 I/O를 통하여 서브 스테이션(302)에 포함된 IED에 회수의 SYN 플로드 공격 및 버퍼 오버 플로우 공격을 수행할 수 있다.
단계(330)에서 데이터 수집부(220)는 단계(310)에서 선택한 데이터 속성에 대응하는 후보 속성 데이터를 수집할 수 있다. 구체적으로 데이터 수집부(220)는 단계(320)에서 시스템에 공격을 수행하지 않는 상태일 때, 단계(310)에서 선택한 데이터 속성에 대응하는 속성 데이터인 정상 상태 데이터를 수집할 수 있다. 또한, 데이터 수집부(220)는 시스템 공격부(230)가 시스템에 공격을 수행하는 상태일 때, 단계(310)에서 선택한 데이터 속성에 대응하는 속성 데이터를 수집함으로써, 시스템이 공격받는 상태의 속성 데이터인 공격 상태 데이터를 수집할 수 있다.
단계(340)에서 데이터 수집부(220)는 단계(330)에서 수집한 정상 상태 데이터와 공격 상태 데이터를 데이터베이스화할 수 있다. 이때, 데이터 수집부(220)는 공격 상태 데이터를 수집한 시간에서 가장 가까운 시간에 수집한 정상 상태 데이터를 공격 상태 데이터와 매칭하여 데이터베이스화할 수 있다.
단계(350)에서 제1 데이터 마이닝부(120)는 단계(340)에서 데이터베이스화한 후보 속성 데이터를 이용하여 제1 데이터 마이닝을 수행할 수 있다. 이때, 제1 데이터 마이닝부(120)는 복수의 마이닝 알고리즘으로 각각 매칭된 정상 상태 데이터와 공격 상태 데이터를 비교하여 시스템의 공격 여부를 판단하고, 마이닝 알고리즘들의 판단 결과에 기초하여 마이닝 알고리즘 각각의 공격 상태 탐지율을 결정할 수 있다.
단계(360)에서 알고리즘 선택부(130)는 단계(350)에서 수행한 제1 데이터 마이닝의 결과에 기초하여 제1 데이터 마이닝에 사용된 복수의 결정 트리 알고리즘 중 하나의 결정 트리 알고리즘을 선택할 수 있다. 이때, 알고리즘 선택부(130)는 제1 데이터 마이닝에 사용된 복수의 결정 트리 알고리즘 중 공격 상태 탐지율이 가장 높은 결정 트리 알고리즘을 선택할 수 있다.
단계(370)에서 키 속성 데이터 결정부(140)는 알고리즘 선택부(130)가 선택한 결정 트리 알고리즘을 이용하여 후보 속성 데이터 중 키 속성 데이터를 선택할 수 있다. 이때, 키 속성 데이터 결정부(140)는 결정 트리 알고리즘이 표시하는 트리 구조에서 복수의 레벨에 대응하는 후보 속성 데이터들 중 기준 레벨 이상의 후보 속성 데이터를 키 속성 데이터로 선택할 수 있다.
단계(380)에서 제2 데이터 마이닝부(150)는 단계(370)에서 결정한 키 속성 데이터를 이용하여 제2 데이터 마이닝을 수행할 수 있다.
이때, 제2 데이터 마이닝부(150)가 제2 데이터 마이닝을 수행하기 위하여 이용하는 마이닝 알고리즘은 단계(350)에서 이용한 마이닝 알고리즘과 동일하며 입력 데이터가 상이할 수 있다.
구체적으로 단계(350)에서 제1 데이터 마이닝부(120)는 모든 후보 속성 데이터를 입력 데이터로 이용하여 데이터 마이닝하고, 단계(380)에서 제2 데이터 마이닝부(150)는 후보 속성 데이터 중에서 공격 상태 검출에 사용되는 핵심 속성인 키 속성 데이터 만을 입력 데이터로 이용하여 데이터 마이닝할 수 있다.
도 4는 본 발명의 일실시예에 따른 제1 데이터 마이닝 결과의 일례이다.
도 4는 시스템 공격부(230)가 SYN 플로드 공격을 수행한 경우, 제1 데이터 마이닝부(120)가 결정한 마이닝 알고리즘 각각의 공격 상태 탐지율의 일례일 수 있다.
제1 데이터 마이닝부(120)는 복수의 마이닝 알고리즘으로 후보 속성 데이터에 포함된 정상 상태 데이터와 공격 상태 데이터를 비교하여 마이닝 알고리즘 각각의 공격 상태 탐지율을 결정할 수 있다.
예를 들어, 제1 데이터 마이닝부(120)는 표 2와 같이 64개의 마이닝 알고리즘들의 공격 상태 탐지율을 결정할 수 있다. 또한, 제1 데이터 마이닝부(120)는 64개의 마이닝 알고리즘의 공격 상태 탐지율을 도 4와 같은 그래프로 표시할 수도 있다.
Figure 112013082864949-pat00002
이때, 표 2의 마이닝 알고리즘 중 공격 상태 탐지율이 가장 높은 결정 트리 알고리즘은 99.833%인 ADTree(alternating decision tree), 및 LADTree일 수 있다.
따라서, 알고리즘 선택부(130)는 ADTree, 및 LADTree 중 적어도 하나를 선택할 수 있다.
도 5는 본 발명의 일실시예에 따라 선택한 알고리즘의 일례이다.
도 5는 도 4와 표 2에 대응하는 마이닝 알고리즘의 결정 트리 알고리즘 중에서 알고리즘 선택부(130)가 선택한 결정 트리 알고리즘인 ADTree의 일례이다.
결정 트리 알고리즘인 ADTree는 도 5에 도시된 바와 같이 후보 속성 데이터들을 트리 구조로 표시할 수 있다. 이때, ADTree는 후보 속성 데이터들 중 Traffic count, memory used, time of round trip (s), average packets size를 상위 레벨의 후보 속성 데이터(510)로 설정하고, average bytes/sec, average packets/sec을 하위 레벨의 후보 속성 데이터(520)로 설정할 수 있다.
그리고, 키 속성 데이터 결정부(140)는 ADTree가 표시하는 후보 속성 데이터 중 상위 레벨의 후보 속성 데이터(510)와 하위 레벨의 후보 속성 데이터(520)을 키 속성 데이터로 결정할 수 있다.
도 6은 도 5의 알고리즘에서 선택한 키 속성 데이터로 제2 데이터 마이닝한 결과의 일례이다.
도 6과 표 3은 제2 데이터 마이닝부(150)가 도 5에서 선택한 키 속성 데이터로 도 4와 표 2에 대응하는 64개의 마이닝 알고리즘을 수행한 결과일 수 있다.
Figure 112013082864949-pat00003
표 2와 표 3 및 도 4와 도 6을 비교하면 동일한 마이닝 알고리즘임에도 입력 데이터가 변경됨에 따라 공격 상태 탐지율이 변경됨을 알 수 있다.
구체적으로 표 2에서 공격 상태 탐지율은 최대값이 99.833%인 반면, 표 3에서 공격 상태 탐지율이 100%인 마이닝 알고리즘이 출현하고 있다.
즉, 제1 데이터 마이닝부(120)가 16개의 후보 속성 데이터를 모두 입력 데이터로 사용하는 반면, 제2 데이터 마이닝부(150)는 키 속성 데이터 결정부(140)가 선택한 6개의 후보 속성 데이터만을 이용함으로써, 마이닝 알고리즘의 수행 속도가 증가하며, 공격 상태 탐지율까지 증가시킬 수 있다.
도 7은 본 발명의 일실시예에 따라 선택한 알고리즘의 다른 일례이다.
도 7은 도 4와 표 2에 대응하는 마이닝 알고리즘의 결정 트리 알고리즘 중에서 알고리즘 선택부(130)가 선택한 결정 트리 알고리즘인 LADTree의 일례이다.
결정 트리 알고리즘인 LADTree는 도 7에 도시된 바와 같이 후보 속성 데이터들을 트리 구조로 표시할 수 있다. 이때, LADTree는 후보 속성 데이터들 중 traffic count, average packets/s, memory used, 40-79 packets count, time of round trip (s), 320-639 percent를 상위 레벨의 후보 속성 데이터(710)로 설정하고, average B/s를 하위 레벨의 후보 속성 데이터(720)로 설정할 수 있다.
그리고, 키 속성 데이터 결정부(140)는 LADTree가 표시하는 후보 속성 데이터 중 상위 레벨의 후보 속성 데이터(710)와 하위 레벨 후보 속성 데이터(720)을 키 속성 데이터로 결정할 수 있다.
도 8은 도 7의 알고리즘에서 선택한 키 속성 데이터로 제2 데이터 마이닝한 결과의 일례이다.
도 8은 제2 데이터 마이닝부(150)가 도 7에서 선택한 키 속성 데이터로 도 4와 표 2에 대응하는 64개의 마이닝 알고리즘을 수행한 결과일 수 있다.
도 4와 도 8을 비교하면 동일한 마이닝 알고리즘임에도 입력 데이터가 변경됨에 따라 공격 상태 탐지율이 변경됨을 알 수 있다.
구체적으로 도 4에서 공격 상태 탐지율은 최대값이 99.833%인 반면, 도 8에서 공격 상태 탐지율이 100%인 마이닝 알고리즘이 출현하고 있다.
즉, 제1 데이터 마이닝부(120)가 16개의 후보 속성 데이터를 모두 입력 데이터로 사용하는 반면, 제2 데이터 마이닝부(150)는 키 속성 데이터 결정부(140)가 선택한 7개의 후보 속성 데이터만을 이용함으로써, 공격 상태 탐지와 관련이 적은 속성 데이터의 비교를 생략하여 공격 상태 탐지율을 증가시킬 수 있다.
도 9는 본 발명의 일실시예에 따른 제1 데이터 마이닝 결과의 다른 일례이다.
도 9는 시스템 공격부(230)가 버퍼 오버 플로우 공격을 수행한 경우, 제1 데이터 마이닝부(120)가 결정한 마이닝 알고리즘 각각의 공격 상태 탐지율의 일례일 수 있다.
예를 들어, 시스템 공격부(230)가 버퍼 오버 플로우 공격을 수행한 경우, 제1 데이터 마이닝부(120)는 표 4와 같이 70개의 마이닝 알고리즘들의 공격 상태 탐지율을 결정할 수 있다. 또한, 제1 데이터 마이닝부(120)는 70개의 마이닝 알고리즘의 공격 상태 탐지율을 도 9와 같은 그래프로 표시할 수도 있다.
Figure 112013082864949-pat00004
이때, 표 4의 마이닝 알고리즘 중 공격 상태 탐지율이 가장 높은 결정 트리 알고리즘은 100%인 Tree. ADTree, tree.RamdomTree, tree.REPTree, tree.J48, tree.J48graft 및 tree.LADTree일 수 있다.
따라서, 알고리즘 선택부(130)는 Tree. ADTree, tree.RamdomTree, tree.REPTree, tree.J48, tree.J48graft 및 tree.LADTree 중 적어도 하나를 선택할 수 있다.
도 10은 본 발명의 일실시예에 따라 선택한 키 속성 데이터의 일례이다.
도 10의 케이스 1(Case 1)는 알고리즘 선택부(130)가 도 9와 표 4에 대응하는 마이닝 알고리즘의 결정 트리 알고리즘 중에서 ADTree, RamdomTree, REPTree를 선택한 경우, 키 속성 데이터 결정부(140)가 키 속성 데이터로 결정한 후보 속성 데이터의 일례이다.
또한, 도 10의 케이스 2(Case 2)는 알고리즘 선택부(130)가 도 9와 표 4에 대응하는 마이닝 알고리즘의 결정 트리 알고리즘 중에서 tree.J48, 또는 tree.J48graft를 선택한 경우, 키 속성 데이터 결정부(140)가 키 속성 데이터로 결정한 후보 속성 데이터의 일례이다.
그리고, 도 10의 케이스 3(Case 3)는 알고리즘 선택부(130)가 도 9와 표 4에 대응하는 마이닝 알고리즘의 결정 트리 알고리즘 중에서 LADTree를 선택한 경우, 키 속성 데이터 결정부(140)가 키 속성 데이터로 결정한 후보 속성 데이터의 일례이다. 이때, LADTree는 average packets size와 total transmission packets를 상위 레벨의 후보 속성 데이터로 설정할 수 있다. 따라서, 키 속성 데이터 결정부(140)는 average packets size와 total transmission packets를 키 속성 데이터로 결정할 수 있다.
도 11은 도 10에서 선택한 키 속성 데이터로 제2 데이터 마이닝한 결과의 일례이다.
도 11과 표 5는 제2 데이터 마이닝부(150)가 도 10에서 선택한 키 속성 데이터로 도 9와 표 4에 대응하는 71개의 마이닝 알고리즘을 수행한 결과일 수 있다.
Figure 112013082864949-pat00005
표 4와 표 5 및 도 9와 도 11을 비교하면 동일한 마이닝 알고리즘임에도 입력 데이터가 변경됨에 따라 공격 상태 탐지율이 변경됨을 알 수 있다.
구체적으로 표 4에서 공격 상태 탐지율이 100%인 마이닝 알고리즘의 개수는 40개인 반면, 표 5에서 공격 상태 탐지율이 100%인 마이닝 알고리즘의 개수는 57개이므로 1.5배에 가까이 증가하고 있다.
즉, 제1 데이터 마이닝부(120)가 후보 속성 데이터를 모두 입력 데이터로 사용하는 반면, 제2 데이터 마이닝부(150)는 키 속성 데이터 결정부(140)가 선택한 후보 속성 데이터만을 이용함으로써, 공격 상태 탐지율이 100%인 마이닝 알고리즘의 개수를 증가시킬 수 있다.
도 12는 본 발명의 일실시예에 따른 공격 탐지 방법을 도시한 플로우차트이다.
단계(1210)에서 후보 속성 데이터 수집부(110)는 공격 요구 사항에 기초하여 데이터 속성을 선택하고, 선택한 데이터 속성에 대응하는 후보 속성 데이터를 수집할 수 있다. 이때, 후보 속성 데이터는 정상 상태의 시스템에서 수집한 정상 상태 데이터, 및 공격 상태의 시스템에서 수집한 공격 상태 데이터를 포함할 수 있다.
단계(1220)에서 제1 데이터 마이닝부(120)는 단계(1210)에서 수집한 후보 속성 데이터를 이용하여 제1 데이터 마이닝을 수행할 수 있다. 이때, 제1 데이터 마이닝부(120)는 복수의 마이닝 알고리즘으로 각각 매칭된 정상 상태 데이터와 공격 상태 데이터를 비교하여 시스템의 공격 여부를 판단하고, 마이닝 알고리즘들의 판단 결과에 기초하여 마이닝 알고리즘 각각의 공격 상태 탐지율을 결정할 수 있다.
단계(1230)에서 알고리즘 선택부(130)는 단계(1220)에서 수행한 제1 데이터 마이닝의 결과에 기초하여 제1 데이터 마이닝에 사용된 복수의 결정 트리 알고리즘 중 하나의 결정 트리 알고리즘을 선택할 수 있다. 이때, 알고리즘 선택부(130)는 제1 데이터 마이닝에 사용된 복수의 결정 트리 알고리즘 중 공격 상태 탐지율이 가장 높은 결정 트리 알고리즘을 선택할 수 있다.
단계(1240)에서 키 속성 데이터 결정부(140)는 단계(1230)에서 선택한 결정 트리 알고리즘을 이용하여 후보 속성 데이터 중 키 속성 데이터를 선택할 수 있다. 이때, 키 속성 데이터 결정부(140)는 결정 트리 알고리즘이 표시하는 트리 구조에서 복수의 레벨에 대응하는 후보 속성 데이터들 중 기준 레벨 이상의 후보 속성 데이터를 키 속성 데이터로 선택할 수 있다.
단계(1250)에서 제2 데이터 마이닝부(150)는 단계(1240)에서 결정한 키 속성 데이터를 이용하여 제2 데이터 마이닝을 수행할 수 있다.
이때, 제2 데이터 마이닝부(150)가 제2 데이터 마이닝을 수행하기 위하여 이용하는 마이닝 알고리즘은 단계(1220)에서 이용한 마이닝 알고리즘과 동일하며 입력 데이터가 상이할 수 있다.
구체적으로 단계(1220)에서 제1 데이터 마이닝부(120)는 모든 후보 속성 데이터를 입력 데이터로 이용하여 데이터 마이닝하고, 단계(1250)에서 제2 데이터 마이닝부(150)는 후보 속성 데이터 중에서 공격 상태 검출에 사용되는 핵심 속성인 키 속성 데이터 만을 입력 데이터로 이용하여 데이터 마이닝할 수 있다.
도 13은 본 발명의 일실시예에 따른 후보 속성 데이터 수집 방법을 도시한 플로우차트이다. 도 13의 단계(1310) 내지 단계(1340)는 도 12의 단계(1210)에 포함될 수 있다.
단계(1310)에서 데이터 속성 선택부(210)는 공격 요구 사항에 기초하여 데이터 속성을 선택할 수 있다. 이때, 데이터 속성 선택부(210)는 탐지하고자 하는 공격의 NSM 요구 사항을 분석하고, 분석 결과에 따라 데이터 속성을 선택할 수 있다.
단계(1320)에서 데이터 수집부(220)는 단계(1310)에서 선택한 데이터 속성에 대응하는 후보 속성 데이터를 수집할 수 있다. 이때, 시스템은 시스템 공격부(230)에게 공격을 받는 상태가 아니므로 데이터 수집부(220)가 수집하는 후보 속성 데이터는 정상 상태 데이터일 수 있다.
단계(1330)에서 시스템 공격부(230)는 임의로 시스템에 공격을 수행할 수 있다. 예를 들어, 시스템 공격부(230)는 GOOSE 메시지를 이용하여 SYN 플로드 공격 및 버퍼 오버 플로우 공격을 수행할 수 있다. 이때, 시스템 공격부(230)는 테스트용 시스템인 공격 테스트 베드(Attack test bed)에 일정 시간 간격으로 기 설정된 회수의 SYN 플로드 공격 및 버퍼 오버 플로우 공격을 수행할 수 있다.
단계(1340)에서 데이터 수집부(220)는 단계(310)에서 선택한 데이터 속성에 대응하는 후보 속성 데이터를 수집할 수 있다. 이때, 시스템은 단계(1330)에서 시스템 공격부(230)에게 공격을 받는 상태이므로 데이터 수집부(220)가 수집하는 후보 속성 데이터는 공격 상태 데이터일 수 있다.
또한, 데이터 수집부(220)와 시스템 공격부(230)는 시스템 공격부(230)가 기 설정된 회수의 공격을 모두 수행할 때까지 단계(1320) 내지 단계(1340)를 반복할 수 있다.
본 발명은 결정 트리 알고리즘을 기초로 후보 속성 데이터 중에서 공격 상태 검출에 사용되는 핵심 속성인 키 속성 데이터를 결정하고, 키 속성 데이터를 입력 데이터로 이용하여 데이터 마이닝함으로써, 공격 상태 검출을 위한 데이터 마이닝의 속도 및 정확도를 높일 수 있다.
실시예에 따른 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 실시예를 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 실시예의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.
이상과 같이 본 발명은 비록 한정된 실시예와 도면에 의해 설명되었으나, 본 발명은 상기의 실시예에 한정되는 것은 아니며, 본 발명이 속하는 분야에서 통상의 지식을 가진 자라면 이러한 기재로부터 다양한 수정 및 변형이 가능하다.
그러므로, 본 발명의 범위는 설명된 실시예에 국한되어 정해져서는 아니 되며, 후술하는 특허청구범위뿐 아니라 이 특허청구범위와 균등한 것들에 의해 정해져야 한다.
110: 후보 속성 데이터 수집부
120: 제1 데이터 마이닝부
130: 알고리즘 선택부
140: 키속성 데이터 결정부
150: 제2 데이터 마이닝부

Claims (17)

  1. 제1 데이터 마이닝부; 알고리즘 선택부; 키 속성 데이터 결정부; 및 제2 데이터 마이닝부를 포함하는 공격 탐지 장치가 수행하는 공격 탐지 방법에 있어서,
    상기 제1 데이터 마이닝부가 복수의 마이닝 알고리즘들에 후보 속성 데이터들을 입력 데이터로 이용하여 제1 데이터 마이닝을 수행하는 단계;
    상기 알고리즘 선택부가 상기 제1 데이터 마이닝의 결과에 기초하여 상기 복수의 마이닝 알고리즘들 중 하나의 결정 트리 알고리즘을 선택하는 단계;
    상기 키 속성 데이터 결정부가 선택된 결정 트리 알고리즘을 이용하여 상기 후보 속성 데이터들 중 적어도 하나의 키 속성 데이터를 결정하는 단계; 및
    상기 제2 데이터 마이닝부가 상기 제1 데이터 마이닝에서 사용한 마이닝 알고리즘들과 동일한 마이닝 알고리즘들에 상기 키 속성 데이터를 입력 데이터로 이용하여 제2 데이터 마이닝을 수행하는 단계
    를 포함하고,
    상기 마이닝 알고리즘들은,
    상기 후보 속성 데이터들을 트리 구조로 나타내며, 결정 트리 분류기(decision tree classifier)로 분류된 트리(Tree) 타입 마이닝 알고리즘 중 적어도 하나를 포함하며,
    상기 결정 트리 알고리즘을 선택하는 단계는,
    상기 트리 타입 마이닝 알고리즘 중 하나의 결정 트리 알고리즘을 선택하고,
    상기 키 속성 데이터를 결정하는 단계는,
    상기 결정 트리 알고리즘의 트리 구조에 따라 적어도 하나의 후보 속성 데이터를 특정 레벨의 후보 속성 데이터로 설정하며, 특정 레벨의 후보 속성 데이터를 공격 상태 검출에 사용되는 핵심 속성인 키 속성 데이터로 결정하는 공격 탐지 방법.
  2. 삭제
  3. 제1항에 있어서,
    상기 키 속성 데이터를 결정하는 단계는,
    상기 키 속성 데이터 결정부가 상기 트리 구조에서 복수의 레벨에 대응하는 후보 속성 데이터들 중 기준 레벨 이상의 후보 속성 데이터를 키 속성 데이터로 결정하는 공격 탐지 방법.
  4. 제1항에 있어서,
    상기 공격 탐지 장치는 데이터 속성 선택부; 및 데이터 수집부를 더 포함하고,
    상기 공격 탐지 방법은
    상기 데이터 속성 선택부가 공격 요구 사항에 기초하여 데이터 속성을 선택하는 단계; 및
    상기 데이터 수집부가 상기 선택한 데이터 속성에 대응하는 후보 속성 데이터를 수집하는 단계
    를 더 포함하는 공격 탐지 방법.
  5. 제1항에 있어서,
    상기 후보 속성 데이터는,
    정상 상태의 시스템에서 수집한 정상 상태 데이터, 및 공격 상태의 시스템에서 수집한 공격 상태 데이터를 포함하는 공격 탐지 방법.
  6. 제5항에 있어서,
    상기 공격 탐지 장치는 시스템 공격부를 더 포함하고,
    상기 공격 탐지 방법은
    상기 시스템 공격부가 임의로 시스템에 공격을 수행하는 단계
    를 더 포함하고,
    상기 공격 상태는,
    상기 시스템이 상기 공격을 수행하는 단계에 의하여 공격받는 상태인 공격 탐지 방법.
  7. 제1항에 있어서,
    상기 제1 데이터 마이닝을 수행하는 단계는,
    상기 제1 데이터 마이닝부가 상기 복수의 마이닝 알고리즘들과 상기 후보 속성 데이터를 이용하여 시스템의 공격 여부를 판단하고, 판단 결과에 기초하여 상기 마이닝 알고리즘의 공격 상태 탐지율을 결정하는 공격 탐지 방법.
  8. 제7항에 있어서,
    상기 결정 트리 알고리즘을 선택하는 단계는,
    상기 알고리즘 선택부가 상기 복수의 마이닝 알고리즘들에 포함된 트리 타입 마이닝 알고리즘들 중 공격 상태 탐지율이 가장 높은 결정 트리 알고리즘을 선택하는 공격 탐지 방법.
  9. 제1항, 제3항 내지 제8항 중 어느 한 항의 방법을 실행하기 위한 프로그램이 기록된 컴퓨터에서 판독 할 수 있는 기록 매체.
  10. 복수의 마이닝 알고리즘들에 후보 속성 데이터들을 입력 데이터로 이용하여 제1 데이터 마이닝을 수행하는 제1 데이터 마이닝부;
    상기 제1 데이터 마이닝의 결과에 기초하여 상기 복수의 마이닝 알고리즘들 중 하나의 결정 트리 알고리즘을 선택하는 알고리즘 선택부;
    선택된 결정 트리 알고리즘을 이용하여 상기 후보 속성 데이터들 중 키 속성 데이터를 결정하는 키 속성 데이터 결정부; 및
    상기 제1 데이터 마이닝에서 사용한 마이닝 알고리즘들과 동일한 마이닝 알고리즘들에 상기 키 속성 데이터를 입력 데이터로 이용하여 제2 데이터 마이닝을 수행하는 제2 데이터 마이닝부
    를 포함하고,
    상기 마이닝 알고리즘들은,
    상기 후보 속성 데이터들을 트리 구조로 나타내며, 결정 트리 분류기(decision tree classifier)로 분류된 트리(Tree) 타입 마이닝 알고리즘 중 적어도 하나를 포함하며,
    상기 알고리즘 선택부는,
    상기 트리 타입 마이닝 알고리즘 중 하나의 결정 트리 알고리즘을 선택하고,
    상기 키 속성 데이터 결정부는,
    상기 결정 트리 알고리즘의 트리 구조에 따라 적어도 하나의 후보 속성 데이터를 특정 레벨의 후보 속성 데이터로 설정하며, 특정 레벨의 후보 속성 데이터를 공격 상태 검출에 사용되는 핵심 속성인 키 속성 데이터로 결정하는 공격 탐지 장치.
  11. 삭제
  12. 제10항에 있어서,
    상기 키 속성 데이터 결정부는,
    상기 트리 구조에서 복수의 레벨에 대응하는 후보 속성 데이터들 중 기준 레벨 이상의 후보 속성 데이터를 키 속성 데이터로 결정하는 공격 탐지 장치.
  13. 제10항에 있어서,
    공격 요구 사항에 기초하여 데이터 속성을 선택하는 데이터 속성 선택부; 및
    선택한 데이터 속성에 대응하는 후보 속성 데이터를 수집하는 데이터 수집부
    를 더 포함하는 공격 탐지 장치.
  14. 제10항에 있어서,
    상기 후보 속성 데이터는,
    정상 상태의 시스템에서 수집한 정상 상태 데이터, 및 공격 상태의 시스템에서 수집한 공격 상태 데이터를 포함하는 공격 탐지 장치.
  15. 제14항에 있어서,
    임의로 시스템에 공격을 수행하는 시스템 공격부
    를 더 포함하고,
    상기 공격 상태는,
    상기 시스템이 상기 시스템 공격부에 의하여 공격받는 상태인 공격 탐지 장치.
  16. 제10항에 있어서,
    상기 제1 데이터 마이닝부는,
    상기 복수의 마이닝 알고리즘들과 상기 후보 속성 데이터를 이용하여 시스템의 공격 여부를 판단하고, 판단 결과에 기초하여 상기 마이닝 알고리즘의 공격 상태 탐지율을 결정하는 공격 탐지 장치.
  17. 제16항에 있어서,
    상기 알고리즘 선택부는,
    상기 복수의 마이닝 알고리즘들에 포함된 트리 타입 마이닝 알고리즘들 중 공격 상태 탐지율이 가장 높은 결정 트리 알고리즘을 선택하는 공격 탐지 장치.
KR1020130108749A 2013-09-10 2013-09-10 데이터 마이닝을 이용한 공격 탐지 장치 및 방법 KR101535716B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020130108749A KR101535716B1 (ko) 2013-09-10 2013-09-10 데이터 마이닝을 이용한 공격 탐지 장치 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020130108749A KR101535716B1 (ko) 2013-09-10 2013-09-10 데이터 마이닝을 이용한 공격 탐지 장치 및 방법

Publications (2)

Publication Number Publication Date
KR20150029483A KR20150029483A (ko) 2015-03-18
KR101535716B1 true KR101535716B1 (ko) 2015-07-09

Family

ID=53023966

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020130108749A KR101535716B1 (ko) 2013-09-10 2013-09-10 데이터 마이닝을 이용한 공격 탐지 장치 및 방법

Country Status (1)

Country Link
KR (1) KR101535716B1 (ko)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102336466B1 (ko) * 2019-12-31 2021-12-07 주식회사 안랩 악성코드 탐지장치 및 방법, 컴퓨터 판독 가능한 기록 매체 및 컴퓨터 프로그램
KR102299660B1 (ko) * 2021-02-23 2021-09-08 국민대학교산학협력단 이상 탐지 방법 및 이상 탐지 장치
CN114549142B (zh) * 2022-03-17 2022-07-12 太平洋国际拍卖有限公司 一种线上竞价拍卖信息处理方法及系统

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101218253B1 (ko) * 2011-07-14 2013-01-21 델피콤주식회사 보안 및 불법호 검출 시스템 및 방법
KR20130093841A (ko) * 2012-01-26 2013-08-23 주식회사 시큐아이 관계형 공격 패턴을 이용하는 침입 차단 시스템 및 방법

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101218253B1 (ko) * 2011-07-14 2013-01-21 델피콤주식회사 보안 및 불법호 검출 시스템 및 방법
KR20130093841A (ko) * 2012-01-26 2013-08-23 주식회사 시큐아이 관계형 공격 패턴을 이용하는 침입 차단 시스템 및 방법

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
이현욱, 안현철, ‘비대칭 오류비용을 고려한 분류기준값 최적화와 SVM에 기반한 지능형 침입탐지모형’, 지능정보연구, 2011년 12월, 제17권 제4호, 157쪽~173쪽*
이현욱, 안현철, '비대칭 오류비용을 고려한 분류기준값 최적화와 SVM에 기반한 지능형 침입탐지모형', 지능정보연구, 2011년 12월, 제17권 제4호, 157쪽~173쪽 *

Also Published As

Publication number Publication date
KR20150029483A (ko) 2015-03-18

Similar Documents

Publication Publication Date Title
CN111935170B (zh) 一种网络异常流量检测方法、装置及设备
KR101391781B1 (ko) 웹 트랜잭션 밀집도 기반 에이치티티피 봇넷 탐지 장치 및 방법
CN103679026B (zh) 一种云计算环境下的恶意程序智能防御系统及防御方法
CN103870751A (zh) 入侵检测方法及系统
KR20190075861A (ko) DoS/DDoS 공격의 탐지 방법, 장치, 서버 및 저장 매체
CN107403094B (zh) 在形成分布式系统的虚拟机之间分布文件以执行防病毒扫描的系统和方法
CN110365674B (zh) 一种预测网络攻击面的方法、服务器和系统
KR20130126814A (ko) 데이터마이닝을 이용한 트래픽 폭주 공격 탐지 및 심층적 해석 장치 및 방법
CN113015167B (zh) 加密流量数据的检测方法、系统、电子装置和存储介质
TW201119285A (en) Identification of underutilized network devices
WO2022001918A1 (zh) 构建预测模型的方法、装置、计算设备和存储介质
JP2017142744A (ja) 情報処理装置、ウィルス検出方法及びプログラム
JP2021027505A (ja) 監視装置、監視方法、および監視プログラム
CN106302450A (zh) 一种基于ddos攻击中恶意地址的检测方法及装置
KR101535716B1 (ko) 데이터 마이닝을 이용한 공격 탐지 장치 및 방법
CN108183884B (zh) 一种网络攻击判定方法及装置
Songma et al. Classification via k-means clustering and distance-based outlier detection
CN107426132A (zh) 网络攻击的检测方法和装置
Zhao et al. A Multi-threading Solution to Multimedia Traffic in NIDS Based on Hybrid Genetic Algorithm.
CN112581027A (zh) 一种风险信息管理方法、装置、电子设备及存储介质
CN112235254A (zh) 一种高速主干网中Tor网桥的快速识别方法
KR20190081408A (ko) 네트워크 침입 탐지 시스템 및 방법, 이를 수행하기 위한 기록매체
CN114760087A (zh) 软件定义工业互联网中的DDoS攻击检测方法及系统
CN106254375A (zh) 一种无线热点设备的识别方法及装置
Arora et al. Diverse real-time attack traffic forecasting for cloud platforms

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20180703

Year of fee payment: 4