KR101563511B1 - 시계열 기반 서포트 벡터의 추세분석기법을 이용한 보안사고 이상 징후 탐지 시스템 및 그 방법 - Google Patents

시계열 기반 서포트 벡터의 추세분석기법을 이용한 보안사고 이상 징후 탐지 시스템 및 그 방법 Download PDF

Info

Publication number
KR101563511B1
KR101563511B1 KR1020150098481A KR20150098481A KR101563511B1 KR 101563511 B1 KR101563511 B1 KR 101563511B1 KR 1020150098481 A KR1020150098481 A KR 1020150098481A KR 20150098481 A KR20150098481 A KR 20150098481A KR 101563511 B1 KR101563511 B1 KR 101563511B1
Authority
KR
South Korea
Prior art keywords
security incident
security
data
unit
learning
Prior art date
Application number
KR1020150098481A
Other languages
English (en)
Inventor
남기효
Original Assignee
(주)유엠로직스
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)유엠로직스 filed Critical (주)유엠로직스
Priority to KR1020150098481A priority Critical patent/KR101563511B1/ko
Application granted granted Critical
Publication of KR101563511B1 publication Critical patent/KR101563511B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Alarm Systems (AREA)

Abstract

본 발명은 시계열 기반 서포트 벡터의 추세분석기법을 이용한 보안사고 이상 징후 탐지 시스템 및 방법에 관한 것으로서, 더욱 상세하게는, 네트워크 통신에서 발생하는 데이터를 시계열 순에 따른 서포트 벡터로 구성하여 추세분석기법을 이용하여 사전에 보안사고의 징후를 탐지하는 시스템에 있어서, 기설정된 보안 센서로부터 수집된 센싱값 및 기설정된 상관도를 이용하여, 데이터 벡터화를 위한 벡터를 구성하는 중앙 관리부(100), 상기 중앙 관리부(100)의 제어에 따라, 상기 보안 센서로부터 과거의 보안사고 데이터를 수집하고 벡터 형식에 맞게 벡터화하여 학습 데이터를 생성하는 학습정보 생성부(200), 상기 중앙 관리부(100)의 제어에 따라, 상기 학습정보 생성부(200)에서 생성한 학습 데이터를 입력값으로 하여 학습을 수행하고, 보안사고 징후 탐지를 위한 탐지 규칙을 설정하여 보안사고의 영역을 설정하는 보안사고 영역 설정부(300), 상기 중앙 관리부(100)의 제어에 따라, 네트워크 통신이 운영됨에 따라, 상기 보안 센서로부터 새롭게 수집되는 데이터를 시계열 기반으로 분석하고 벡터 형식에 맞게 벡터화하여 운영 데이터를 생성하는 운영정보 생성부(400) 및 상기 중앙 관리부(100)의 제어에 따라, 상기 운영정보 생성부(400)에서 생성한 운영 데이터가 상기 보안사고 영역 설정부(300)에서 설정한 보안사고의 영역 주변 서포트 벡터일 경우, 보안사고의 징후가 있는 것으로 판단하는 보안사고 징후 탐지부(500)를 포함하여 구성되는 것을 특징으로 하는 시계열 기반 서포트 벡터의 추세분석기법을 이용한 보안사고 이상 징후 탐지 시스템에 관한 것이다.

Description

시계열 기반 서포트 벡터의 추세분석기법을 이용한 보안사고 이상 징후 탐지 시스템 및 그 방법 {Security incident anomalous event detection system and method using trend analytic technique of a support vector based on time series}
본 발명은 시계열 기반 서포트 벡터의 추세분석기법을 이용한 보안사고 이상 징후 탐지 시스템 및 그 방법에 관한 것으로, 더욱 상세하게는 다양한 보안 센서로부터 입수된 보안사고 데이터를 기반으로 보안사고의 징후를 사전에 탐지할 수 있는 시계열 기반 서포트 벡터의 추세분석기법을 이용한 보안사고 이상 징후 탐지 시스템 및 그 방법에 관한 것이다.
보안사고는 다양한 응용환경에서 시스템 또는 특정 기능이 오동작 또는 미동작하는 것을 의미하며, 이를 통해 인명피해 및 자산손실 등의 문제가 발생한다.
이에 따라, 각종 시설 및 시스템을 운영하는 기관 및 기업에서는 이러한 보안사고를 예방하고나 방지하기 위하여, 다양한 보안 센서를 이용하여 보안사고, 보안사고의 징후를 탐지하고 있다.
이 때, ICT 기반의 서비스를 이용하는 기관 및 기업에서는 사이버 보안을 위해, 방화벽(Firewall), IDS(침입 탐지 시스템, Intrusion Detection System)/IPS(침입 차단 시스템, Intrusion Prevention System) 등의 보안 센서를 운영하고 있으며,
전력, 수도, 가스 및 교통 등의 국가기반시설을 운영하는 기관 및 기업에서는 보안사고 예방을 위해, SCADA(Supervisory Control And Data Acquistion)과 같은 보안 센서(시스템)를 운영하고 있다.
이러한 다양한 응용분야에서 보안사고의 징후를 탐지하기 위하여 사용되는 기법들로는 시그니처 기반 이상탐지기법, 오용탐지기법 및 신경망 기법 등이 있다.
1. 시그니처 기반 이상탐지기법은 보안사고 또는 보안사고의 징후를 나타내는 보안센서의 규칙을 사전에 생성하여 이를 등록한 후, 운영과정에서 이러한 규칙과 일치하는 이벤트가 발생할 경우 보안사고 또는 보안사고의 징후로 판단하는 방법이다. 이 방법의 경우, 보안사고, 보안사고 징후로 판단한 결과가 정확한 장점이 있으나, 사전에 규칙으로 생성되어 있지 않는 새로운 보안사고나 보안사고 징후는 판단하지 못하는 단점이 있을 뿐 아니라, 규칙의 수가 많아지면 판단하는 시간이 길어지는 문제점이 있다.
2. 오용탐지기법은 정상적인 보안센서의 규칙을 사전에 생성하여 이를 등록한 후, 운영과정에서 이러한 규칙을 벗어나는 이벤트가 발생할 경우 보안사고 또는 보안사고 징후로 판단하는 방법이다. 이 방법의 경우, 새로운 보안사고 또는 보안사고 징후를 정확히 탐지할 수는 있으나, 실제 보안사고가 아닌데도 보안사고로 판단하는 과탐이 많은 단점이 있으며, 시그니처 기반 이상탐지기법과 마찬가지로, 규칙의 수가 많아지면 판단하는 시간이 길어지는 문제점이 있다.
3. 신경망 기법은 보안 센서의 값을 입력값으로 하여 신경망에서 학습시킨 후, 운영과정에서 새로운 데이터를 동일하게 입력하여 신경망에서 산출한 결과를 바탕으로 보안사고 또는 보안사고의 징후를 탐지하는 방법이다.
이 방법은 앞서 서술한 두가지 방법(시그니처 기반 이상탐지기법, 오용탐지기법)에 비해 좀 더 정확한 탐지를 수행하는 장점이 있으나, 신경망의 구성방법에 따라 정확도가 달라지고 신경망을 통한 산출결과가 정량적인 수치로 제시되어 임계치에 따라 정확도가 달라지기 때문에, 보안사고 또는 보안사고 징후 판단의 정확한 판단 규칙을 제시하지 못하는 문제점이 있다. 더불어, 사전에 학습을 위한 보안사고 학습 데이터의 수가 많아야하는 단점이 있다.
국내등록특허 제10-0809422호("시그니처 탐지 및 이상트래픽 경보위험도 기반의 침입방지장치 및 그 방법")에서는 서로 다른 복수 개의 공격패턴 탐지센서 및 이상트래픽 탐지센서로부터 수집된 신뢰도와 경보위험도를 각각 가지는 공격경보들을 발생시간에 따라 분류하고, 발생시간이 동일한 공격정보들의 일치정보를 나타내는 기준값을 계산하는 전처리부와, 기준값 및 동일시간에 발생한 공격경보들의 경보위험도 중 적어도 어느 하나를 기초로 이상트래픽 탐지센서가 생성한 공격경보의 경보위험도의 신뢰도를 계산하는 신뢰도계산부를 포함하여, 서로 다른 종류의 탐지센서로부터 수집된 공격정보를 이용하여 이상트래픽 탐지센서가 생성한 공격경보의 경보위험도의 정확한 신뢰도를 계산하여 이상트래픽에 대하여 적절한 침입대응을 제공하는 장치 및 그 방법을 개시하고 있다.
국내등록특허 제10-0809422호(등록일자 2008.02.26.)
본 발명은 상기한 바와 같은 종래 기술의 문제점을 해결하기 위하여 안출된 것으로, 본 발명의 목적은 다양한 보안 센서로부터 입수된 보안사고 데이터를 기반으로 보안사고의 징후를 사전에 탐지할 수 있는 시계열 기반 서포트 벡터의 추세분석기법을 이용한 보안사고 이상 징후 탐지 시스템 및 그 방법을 제공하는 것이다.
본 발명의 일 실시예에 따른 시계열 기반 서포트 벡터의 추세분석기법을 이용한 보안사고 이상 징후 탐지 시스템은, 네트워크 통신에서 발생하는 데이터를 시계열 순에 따른 서포트 벡터로 구성하여 추세분석기법을 이용하여 사전에 보안사고의 징후를 탐지하는 시스템에 있어서, 기설정된 보안 센서로부터 수집된 센싱값 및 기설정된 상관도를 이용하여, 데이터 벡터화를 위한 벡터를 구성하는 중앙 관리부(100), 상기 중앙 관리부(100)의 제어에 따라, 상기 보안 센서로부터 과거의 보안사고 데이터를 수집하고 벡터 형식에 맞게 벡터화하여 학습 데이터를 생성하는 학습정보 생성부(200), 상기 중앙 관리부(100)의 제어에 따라, 상기 학습정보 생성부(200)에서 생성한 학습 데이터를 입력값으로 하여 학습을 수행하고, 보안사고 징후 탐지를 위한 탐지 규칙을 설정하여 보안사고의 영역을 설정하는 보안사고 영역 설정부(300), 상기 중앙 관리부(100)의 제어에 따라, 네트워크 통신이 운영됨에 따라, 상기 보안 센서로부터 새롭게 수집되는 데이터를 시계열 기반으로 분석하고 벡터 형식에 맞게 벡터화하여 운영 데이터를 생성하는 운영정보 생성부(400) 및 상기 중앙 관리부(100)의 제어에 따라, 상기 운영정보 생성부(400)에서 생성한 운영 데이터가 상기 보안사고 영역 설정부(300)에서 설정한 보안사고의 영역 주변 서포트 벡터일 경우, 보안사고의 징후가 있는 것으로 판단하는 보안사고 징후 탐지부(500)를 포함하여 구성되는 것을 특징으로 한다.
더 나아가, 상기 보안사고 징후 탐지부(500)는 상기 운영정보 생성부(400)에서 생성한 운영 데이터가 상기 보안사고 영역 설정부(300)에서 설정한 보안사고의 영역에서 기설정된 범위 이내에 포함되는 벡터일 경우, 보안사고의 징후가 있는 것으로 판단하는 것을 특징으로 한다.
더불어, 상기 중앙 관리부(100)는 상기 학습정보 생성부(200)에서 생성한 학습 데이터를 데이터베이스화하여 저장 및 관리하는 학습 정보 DB부(110), 상기 운영정보 생성부(400)에서 생성한 운영 데이터를 데이터베이스화하여 저장 및 관리하는 운영 정보 DB부(120) 및 상기 보안사고 징후 탐지부(500)에서 판단한 보안사고 징후 탐지 결과 정보를 데이터베이스화하여 저장 및 관리하는 결과 DB부(130)를 더 포함하여 구성되는 것을 특징으로 한다.
또한, 상기 중앙 관리부(100)는 상기 보안사고 징후 탐지부(500)에서 보안사고의 징후가 있는 것으로 판단할 경우, 해당 운영 데이터를 분석하여 보안사고 여부를 식별하며, 상기 학습정보 생성부(200)로 전달하여 새로운 학습 데이터로 업데이트시킴으로써, 상기 보안사고 영역 설정부(300)에서 재학습을 통한 보안사고의 영역을 재설정하는 것을 특징으로 한다.
본 발명의 일 실시예에 따른 시계열 기반 서포트 벡터의 추세분석기법을 이용한 보안사고 이상 징후 탐지 방법은, 네트워크 통신에서 발생하는 데이터를 시계열 순에 따른 서포트 벡터로 구성하여 추세분석기법을 이용하여 사전에 보안사고의 징후를 탐지하는 방법에 있어서, 기설정된 보안 센서로부터 수집된 센싱값 및 기설정된 상관도를 이용하여 데이터 벡터화를 위한 벡터를 구성하는 벡터 구성 단계(S100), 학습을 위한 상기 보안 센서로부터 과거의 보안사고 데이터가 수집되는 과거 데이터 수집 단계(S200), 상기 과거 데이터 수집 단계(S200)를 통해 수집된 과거의 보안사고 데이터를 상기 벡터 구성 단계(S100)에서 구성한 벡터 형식에 맞게 벡터화하여 학습 데이터를 생성하는 제 1 벡터화 단계(S300), 상기 제 1 벡터화 단계(S300)에서 생성한 학습 데이터를 입력값으로 하여 학습을 수행하여, 보안사고 징후 탐지를 위한 탐지 규칙을 설정함으로써 보안사고의 영역을 설정하는 보안사고 영역 설정 단계(S400), 네트워크 통신이 운영됨에 따라, 상기 보안 센서로부터 새로운 데이터가 수집되는 운영 데이터 수집 단계(S500), 상기 운영 데이터 수집 단계(S500)에서 수집된 새로운 데이터를 시계열 기반으로 분석하고 벡터 형식에 맞게 벡터화하여 운영 데이터를 생성하는 제 2 벡터화 단계(S600) 및 상기 제 2 벡터화 단계(S600)에서 생성한 운영 데이터가 상기 보안사고 영역 설정 단계(S400)에서 설정한 보안사고의 영역 주변 서포트 벡터일 경우, 보안사고의 징후가 있는 것으로 판단하는 보안사고 징후 판단 단계(S700)로 이루어지는 것을 특징으로 한다.
더불어, 상기 시계열 기반 서포트 벡터의 추세분석기법을 이용한 보안사고 이상 징후 탐지 방법은 상기 보안사고 징후 판단 단계(S700)의 판단 결과에 따라, 보안사고의 징후가 있는 것으로 판단될 경우, 상기 과거 데이터 수집 단계(S200), 제 1 벡터화 단계(S300), 보안사고 영역 설정 단계(S400), 운영 데이터 수집 단계(S500), 제 2 벡터화 단계(S600) 및 보안사고 징후 판단 단계(S700)를 재수행함으로써, 보안사고의 징후가 있는 것으로 판단된 해당 운영 데이터를 새로운 학습 데이터로 업데이트시켜, 재학습을 통한 보안사고의 영역을 재설정하는 것을 특징으로 한다.
또한, 상기 보안사고 징후 판단 단계(S700)는 상기 제 2 벡터화 단계(S600)에서 생성한 운영 데이터가 상기 보안사고 영역 설정 단계(S400)에서 설정한 보안사고의 영역에서 기설정된 범위 이내에 포함되는 벡터일 경우, 보안사고의 징후가 있는 것으로 판단하는 것을 특징으로 한다.
상기와 같은 구성에 의한 본 발명의 시계열 기반 서포트 벡터의 추세분석기법을 이용한 보안사고 이상 징후 탐지 시스템 및 그 방법은 다양한 보안 센서로부터 입수된 보안사고 데이터를 기반으로 보안사고의 징후를 사전에 탐지할 수 있는 효과가 있다.
즉, 보안센서의 센싱값 및 상관도 등을 이용하여, 사전에 벡터를 구성하고 보안사고와 관련된 과거의 데이터를 벡터 형식에 맞게 벡터화하여 학습 데이터를 구성한 후, 학습을 수행함으로써 정확도 높은 보안사고의 영역을 설정할 수 있으며,
운영 과정에서 입력되는 운영 데이터를 벡터화하여 시계열로 타점하여 설정한 보안사고의 영역을 토대로 보안사고의 영역에 가까워지는 위험 상태를 사전에 보안사고의 징후를 탐지할 수 있다.
다시 말하자면, 입력되는 운영 데이터가 설정한 보안사고의 영역에 가까워질수록 보안사고 임을 예측하여 사전에 보안사고의 징후를 정확하게 탐지할 수 있는 장점이 있다.
본 발명은 설정한 보안사고의 영역을 토대로 보안사고의 징후를 탐지하기 때문에, 새로운 보안사고를 사전에 정의하지 않아도 용이하게 판단할 수 있으며, 벡터화한 학습 데이터를 통해 사전 학습을 위한 데이터의 양을 효과적으로 감소시켜 시스템 운영을 용이하게 하는 장점이 있다.
도 1은 본 발명의 일 실시예에 따른 시계열 기반 서포트 벡터의 추세분석기법을 이용한 보안사고 이상 징후 탐지 시스템을 나타낸 도면이다.
도 2는 본 발명의 일 실시예에 따른 시계열 기반 서포트 벡터의 추세분석기법을 이용한 보안사고 이상 징후 탐지 시스템에서 설정한 보안사고의 영역 및 입력되는 운영 데이터에 따른 보안사고의 징후를 판단하는 시점을 나타낸 예시도이다.
도 3은 본 발명의 일 실시예에 따른 시계열 기반 서포트 벡터의 추세분석기법을 시용한 보안사고 이상 징후 탐지 방법을 나타낸 순서도이다.
이하 첨부한 도면들을 참조하여 본 발명의 시계열 기반 서포트 벡터의 추세분석기법을 이용한 보안사고 이상 징후 탐지 시스템 및 그 방법을 상세히 설명한다. 다음에 소개되는 도면들은 당업자에게 본 발명의 사상이 충분히 전달될 수 있도록 하기 위해 예로서 제공되는 것이다. 따라서, 본 발명은 이하 제시되는 도면들에 한정되지 않고 다른 형태로 구체화될 수도 있다. 또한, 명세서 전반에 걸쳐서 동일한 참조번호들은 동일한 구성요소들을 나타낸다.
이 때, 사용되는 기술 용어 및 과학 용어에 있어서 다른 정의가 없다면, 이 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 통상적으로 이해하고 있는 의미를 가지며, 하기의 설명 및 첨부 도면에서 본 발명의 요지를 불필요하게 흐릴 수 있는 공지 기능 및 구성에 대한 설명은 생략한다.
더불어, 시스템은 필요한 기능을 수행하기 위하여 조직화되고 규칙적으로 상호 작용하는 장치, 기구 및 수단 등을 포함하는 구성 요소들의 집합을 의미한다.
본 발명의 시계열 기반 서포트 벡터의 추세분석기법을 이용한 보안사고 이상 징후 탐지 시스템 및 그 방법은 종래의 보안사고 탐지의 비효율적인 문제를 해결하기 위한 것으로,
종래의 보안사고 탐지 방법으로, 사전에 보안 센서의 규칙을 생성하여 생성한 규칙에 일치하거나, 일치하지 않을 경우에만 보안사고로 판단하여, 보안사고가 일어난 경우에만 탐지하는 것과는 달리,
본 발명의 시계열 기반 서포트 벡터의 추세분석기법을 이용한 보안사고 이상 징후 탐지 시스템 및 그 방법은 과거 보안사고 데이터를 벡터화하여 학습을 수행함으로써 보안사고의 영역을 설정하고, 입력되는 운영 데이터를 벡터화 및 시계열로 타점하여, 설정한 보안사고의 영역에 가까워질수록 보안사고의 위험이 높아진다고, 즉, 보안사고의 징후가 있는 것으로 판단하여 사전에 보안사고를 정확도 높게 차단할 수 있는 시계열 기반 서포트 벡터의 추세분석기법을 이용한 보안사고 이상 징후 탐지 시스템 및 그 방법에 관한 것이다.
도 1은 본 발명의 일 실시예에 따른 시계열 기반 서포트 벡터의 추세분석기법을 이용한 보안사고 이상 징후 탐지 시스템을 나타낸 도면이다. 도 1을 참조로 하여 본 발명의 일 실시예에 따른 시계열 기반 서포트 벡터의 추세분석기법을 이용한 보안사고 이상 징후 탐지 시스템을 상세히 설명한다.
본 발명의 시계열 기반 서포트 벡터의 추세분석기법을 이용한 보안사고 이상 징후 탐지 시스템은 중앙 관리부(100), 학습정보 생성부(200), 보안사고 영역 설정부(300), 운영정보 생성부(400) 및 보안사고 징후 탐지부(500)를 포함하여 구성되며, 네트워크 통신에서 발생하는 데이터를 시계열 순에 따른 서포트 벡터로 구성하여 추세분석기법을 이용하여 사전에 보안사고의 징후를 탐지할 수 있다.
여기서, 추세분석기법이란, 시계열 자료가 장기적으로 변화해 가는 큰 흐름을 분석하는 것을 의미하며, 본 발명에서는 운영에 따라 수집되는 운영 데이터를 시계열 기반으로 타점하면서 이동하는 것을 분석하여 설정한 보안사고의 영역에 근접하도록 이동하는 것을 탐지하여 보안사고의 징후를 판단할 수 있다.
각 구성에 대해 상세히 알아보자면,
상기 중앙 관리부(100)는 미리 설정된 보안 센서로부터 수집된 센싱값 및 미리 설정된 상관도를 이용하여, 데이터 벡터화를 위한 벡터를 구성할 수 있다.
미리 설정된 보안 센서란, 응용 환경에 따라 다양하게 적용될 수 있으며, 일 예를 들자면, ICT 기반의 서비스를 이용할 경우, 방화벽, IDS, IPS 등의 보안 센서를 이용하며, 국가기반시설을 운영할 경우, SCADA 시스템에 사용되는 보안 센서를 이용하고 있다.
또한, 미리 설정된 상관도란, 관리자(외부)의 설정에 따라, 벡터화를 위한 특성치, 즉, 보안사고의 판단 규칙을 위해 상이하게 설정할 수 있다.
상기 중앙 관리부(100)는 상기 학습정보 생성부(200), 보안사고 영역 설정부(300), 운영정보 생성부(400) 및 보안사고 징후 탐지부(500)를 통합 제어하여, 네트워크 운영에 따라 수집되는 운영 데이터의 보안사고 징후를 사전에 탐지할 수 있다.
상기 학습정보 생성부(200)는 상기 중앙 관리부(100)의 제어에 따라, 상기 보안 센서로부터 과거의 보안사고 데이터를 수집하고, 벡터 형식에 맞게 벡터화하여 학습 데이터를 생성할 수 있다.
다시 말하자면, 상기 학습정보 생성부(200)는 상기 중앙 관리부(100)에서 구성한 벡터 형식에 맞게 과거의 보안사고 데이터를 벡터화하여 학습 데이터로 생성할 수 있다. 과거의 보안사고 데이터는 네트워크 통신에서 발생 및 누적된 보안사고 정보를 의미한다.
상기 중앙 관리부(100)는 상기 학습정보 생성부(200)에서 생성한 학습 데이터를 데이터베이스화하여 저장 및 관리하는 학습 정보 DB부(110)를 더 포함하여 구성되는 것이 바람직하다.
상기 보안사고 영역 설정부(300)는 상기 중앙 관리부(100)의 제어에 따라, 상기 학습정보 생성부(200)에서 생성한 학습 데이터를 입력값으로 하여 학습을 수행할 수 있다. 또한, 보안사고 징후 탐지를 위한 탐지 규칙을 설정하여 보안사고의 영역을 설정할 수 있다. 즉, 상기 보안사고 영역 설정부(300)는 학습을 통해 보안사고의 영역을 식별하고 이를 바탕으로 보안사고의 영역을 설정할 수 있다. 도 2는 본 발명의 일 실시예에 따라 설정된 보안사고의 영역을 나타낸 예시도이다.
상기 보안사고 영역 설정부(300)는 SVDD(Support Vector Data Description)을 이용하여 학습을 수행하는 것이 바람직하다.
SVDD를 통해 학습을 수행할 경우, 벡터화된 학습 데이터를 벡터 영역에 타점하고, 그 점들을 이용하여 원을 만들 수 있다. 즉, 도 2와 같이, 보안사고의 영역을 설정할 수 있다.
종래의 SVDD의 통한 보안사고 검출 방법은, 학습이 끝난 후 결정된 벡터 영역에 새로운 행위(데이터)를 벡터화하여 타점하였을 때, 새로운 행위에 의한 타점이 결정된 벡터 영역, 즉, 원 위에 있으면 정상, 원 밖에 있으면 비정상으로 판단하게 된다.
이에 반면에, 본 발명의 시계열 기반 서포트 벡터의 추세분석기법을 이용한 보안사고 이상 징후 탐지 시스템은, 학습을 끝난 후 결정된 벡터 영역(보안사고의 영역)에 새로운 행위(데이터)를 벡터화하여 타점하였을 때, 결정된 벡터 영역에 가까워짐을 판단(추세분석기법)하여 보안사고이 일어나기 전, 보안사고의 이상 징후를 판단하게 된다.
상기 운영정보 생성부(400)는 상기 중앙 관리부(100)의 제어에 따라, 네트워크 통신이 운영됨에 따라 상기 보안 센서로부터 새롭게 수집되는 데이터를 시계열 기반으로 분석하고 벡터 형식에 맞게 벡터화하여 운영 데이터를 생성할 수 있다.
상기 운영정보 생성부(400)는 운영과정에서 입력되는 새로운 데이터를 상기 중앙 관리부(100)에서 구성한 벡터 형식에 맞게 벡터화하여 운영 데이터를 생성할 수 있으며, 도 2와 같이, 입력되는 운영 데이터가 시계열 기반으로 타점이 이루어질 수 있도록 시계열 기반 분석을 수행하는 것이 바람직하다.
상기 중앙 관리부(100)는 상기 운영정보 생성부(400)에서 생성한 운영 데이터를 데이터베이스화하여 저장 및 관리하는 운영 정보 DB부(120)를 더 포함하여 구성되는 것이 바람직하다.
상기 보안사고 징후 탐지부(500)는 상기 중앙 관리부(100)의 제어에 따라, 상기 운영정보 생성부(400)에서 생성한 운영 데이터가 상기 보안사고 영역 설정부(300)에서 설정한 보안사고의 영역 주변 서포트 벡터일 경우, 보안사고의 징후가 있는 것으로 판단할 수 있다.
다시 말하자면, 상기 보안사고 징후 탐지부(500)는 도 2와 같이, 상기 보안사고 영역 설정부(300)에 의해 설정한 보안사고의 영역을 바탕으로, 상기 운영정보 생성부(400)에서 생성한 운영 데이터를 시계열 기반으로 타점할 경우, 설정한 보안사고의 영역 주변 서포트 벡터에 해당할 경우, 보안사고의 징후가 있는 것으로 판단할 수 있다.
상기 보안사고 징후 탐지부(500)는 상기 운영정보 생성부(400)에서 생성한 운영 데이터가 상기 보안사고 영역 설정부(300)에서 설정한 보안사고의 영역에서 미리 설정된 범위 이내에 포함되는 벡터일 경우, 보안사고의 징후가 있는 것으로 판단할 수 있다.
상기 중앙 관리부(100)는 상기 보안사고 징후 탐지부(500)에서 판단한 보안사고 징후 탐지 결과 정보를 데이터베이스화하여 저장 및 관리하는 결과 DB부(130)를 더 포함하여 구성되는 것이 바람직하다.
본 발명의 일 실시예에 따른 시계열 기반 서포트 벡터의 추세분석기법을 이용한 보안사고 이상 징후 탐지 시스템은 상기 보안사고 징후 탐지부(500)를 통해서, 상기 운영정보 생성부(400)에서 생성한 운영 데이터인 새롭게 수집된 데이터가 상기 보안사고 영역 설정부(300)에 의해 설정한 보안사고의 영역 주변 서포트 벡터, 즉, 보안사고의 영역에서 미리 설정된 범위 이내에 포함되는 벡터일 경우, 보안사고의 징후가 있는 것으로 판단할 수 있다. 이 때, 도 2와 같이, 운영 데이터를 시계열 기반으로 타점하여 설정한 보안사고의 영역으로 점차 가까워지는 것을 직관적으로 확인하여 용이하게 보안사고 징후를 탐지할 수 있다.
더불어, 상기 보안사고 징후 탐지부(500)는 보안사고의 징후가 있는 것으로 판단될 경우, 상기 중앙 관리부(100)의 제어에 따라, 보안사고의 징후가 있는 것으로 판단된 해당 운영 데이터를 분석하여 보안사고 여부를 명확하게 식별하는 것이 바람직하다.
보안사고인 것으로 판단될 경우, 해당 운영 데이터를 상기 학습정보 생성부(200)로 전달하여 새로운 학습 데이터로 업데이트시키고, 상기 보안사고 영역 설정부(300)에서 재학습을 통한 보안사고 영역을 재설정할 수 있다.
이를 통해서, 새로운 보안사고에 능동적으로 대처할 수 있어 효과적으로 보안사고의 징후를 탐지할 수 있는 장점이 있다.
도 3은 본 발명의 일 실시예에 따른 시계열 기반 서포트 벡터의 추세분석기법을 이용한 보안사고 이상 징후 탐지 방법을 나타낸 순서도이며, 도 3을 토대로 본 발명의 일 실시예에 따른 시계열 기반 서포트 벡터의 추세분석기법을 이용한 보안사고 이상 징후 탐지 방법을 상세히 설명한다.
본 발명의 시계열 기반 서포트 벡터의 추세분석기법을 이용한 보안사고 이상 징후 탐지 방법은 도 3에 도시된 바와 같이, 벡터 구성 단계(S100), 과거 데이터 수집 단계(S200), 제 1 벡터화 단계(S300), 보안사고 영역 설정 단계(S400), 운영 데이터 수집 단계(S500), 제 2 벡터화 단계(S600) 및 보안사고 징후 판단 단계(S700)로 이루어질 수 있으며, 네트워크 통신에서 발생하는 데이터를 시계열 순에 따른 서포트 벡터로 구성하여 추세분석기법을 이용하여 사전에 보안사고의 징후를 탐지할 수 있다.
각 단계에 대해 자세히 알아보자면,
상기 벡터 구성 단계(S100)는 상기 중앙 관리부(100)에서 미리 설정된 보안 센서로부터 수집된 센싱값 및 미리 설정된 상관도를 이용하여 데이터 벡터화를 위한 벡터를 구성한다.
여기서 미리 설정된 보안 센서란, 응용 환경에 따라 다양하게 적용될 수 있으며, 일 예를 들자면, ICT 기반의 서비스를 이용할 경우, 방화벽, IDS, IPS 등의 보안 센서를 이용하며, 국가기반시설을 운영할 경우, SCADA 시스템에 사용되는 보안 센서를 이용하고 있다. 또한, 미리 설정된 상관도란, 관리자(외부)의 설정에 따라, 벡터화를 위한 특성치, 즉, 보안사고의 판단 규칙을 위해 상이하게 설정할 수 있다.
상기 과거 데이터 수집 단계(S200)는 상기 학습정보 생성부(200)에서 학습을 위해, 상기 보안 센서로부터 과거의 보안사고 데이터가 수집된다.
여기서, 과거의 보안사고 데이터는 네트워크 통신에서 발생 및 누적된 보안사고 정보를 의미한다.
상기 제 1 벡터화 단계(S300)는 상기 과거 데이터 수집 단계(S200)를 통해 수집된 과거의 보안사고 데이터를 상기 벡터 구성 단계(S100)에서 구성한 벡터 형식에 맞게 벡터화하여 학습 데이터를 생성한다.
상기 보안사고 영역 설정 단계(S400)는 상기 보안사고 영역 설정부(300)에서 상기 제 1 벡터화 단계(S300)에 의해 생성한 학습 데이터를 입력값으로 하여 학습을 수행한다.
또한, 상기 보안사고 영역 설정부(300)는 상기 보안사고 영역 설정 단계(S400)를 수행하여 상기 학습 단계(S300)를 통해 보안사고 징후 탐지를 위한 탐지 규칙을 설정하여, 보안사고의 영역을 설정할 수 있다.
즉, 상기 보안사고 영역 설정부(300)는 학습을 통해 보안사고의 영역을 식별하고 이를 바탕으로 보안사고의 영역을 설정할 수 있다. 도 2는 본 발명의 일 실시예에 따라 설정된 보안사고의 영역을 나타낸 예시도이다.
상기 보안사고 영역 설정부(300)는 상술한 바와 같이, SVDD(Support Vector Data Description)을 이용하여 학습을 수행하는 것이 바람직하다.
SVDD를 통해 학습을 수행할 경우, 벡터화된 학습 데이터를 벡터 영역에 타점하고, 그 점들을 이용하여 원을 만들 수 있다. 즉, 도 2와 같이, 보안사고의 영역을 설정할 수 있다.
종래의 SVDD의 통한 보안사고 검출 방법은, 학습이 끝난 후 결정된 벡터 영역에 새로운 행위(데이터)를 벡터화하여 타점하였을 때, 새로운 행위에 의한 타점이 결정된 벡터 영역, 즉, 원 위에 있으면 정상, 원 밖에 있으면 비정상으로 판단하게 된다.
이에 반면에, 본 발명의 시계열 기반 서포트 벡터의 추세분석기법을 이용한 보안사고 이상 징후 탐지 시스템은, 학습을 끝난 후 결정된 벡터 영역(보안사고의 영역)에 새로운 행위(데이터)를 벡터화하여 타점하였을 때, 결정된 벡터 영역에 가까워짐을 판단(추세분석기법)하여 보안사고이 일어나기 전, 보안사고의 이상 징후를 판단하게 된다.
상기 운영 데이터 수집 단계(S500)는 상기 운영정보 생성부(400)에서 네트워크 통신이 운영됨에 따라, 상기 보안 센서로부터 새로운 데이터가 수집된다.
더불어, 상기 운영정보 생성부(400)는 상기 제 2 벡터화 단계(S600)를 수행하여 상기 운영 데이터 수집 단계(S500)에 의해 수집된 새로운 데이터를 시계열 기반으로 분석하고 벡터 형식에 맞게 벡터화하여 운영 데이터를 생성한다.
이 때, 벡터 형식은 상기 벡터 구성 단계(S100)에서 구성한 벡터를 의미하며, 상기 운영정보 생성부(400)는 운영과정에서 입력되는 새로운 데이터를 상기 중앙 관리부(100)에서 구성한 벡터 형식에 맞게 벡터화하여 운영 데이터를 생성할 수 있으며, 도 2와 같이, 입력되는 운영 데이터가 시계열 기반으로 타점이 이루어질 수 있도록 시계열 기반 분석을 수행하는 것이 바람직하다.
상기 보안사고 징후 판단 단계(S700)는 상기 보안사고 징후 탐지부(500)에서 상기 제 2 벡터화 단계(S600)에 의해 생성된 운영 데이터가 상기 보안사고 영역 설정 단계(S400)에 의해 설정된 보안사고의 영역 주변 서포트 벡터일 경우, 보안사고의 징후가 있는 것으로 판단한다.
다시 말하자면, 상기 보안사고 징후 탐지부(500)는 도 2와 같이, 상기 보안사고 영역 설정 단계(S400)에 의해 설정한 보안사고의 영역을 바탕으로, 상기 제 2 벡터화 단계(S600)에서 생성한 운영 데이터를 시계열 기반으로 타점할 경우, 설정한 보안사고의 영역 주변 서포트 벡터에 해당할 경우, 보안사고의 징후가 있는 것으로 판단할 수 있다.
상기 보안사고 징후 탐지부(500)는 상기 제 2 벡터화 단계(S600)에서 생성한 운영 데이터가 상기 보안사고 영역 설정 단계(S400)에서 설정한 보안사고의 영역에서 미리 설정된 범위 이내에 포함되는 벡터일 경우, 보안사고의 징후가 있는 것으로 판단한다.
즉, 상기 보안사고 징후 탐지부(500)를 통해서, 상기 운영정보 생성부(400)에서 생성한 운영 데이터인 새롭게 수집된 데이터가 상기 보안사고 영역 설정부(300)에 의해 설정한 보안사고의 영역 주변 서포트 벡터, 즉, 보안사고의 영역에서 미리 설정된 범위 이내에 포함되는 벡터일 경우, 보안사고의 징후가 있는 것으로 판단할 수 있다. 이 때, 도 2와 같이, 운영 데이터를 시계열 기반으로 타점하여 설정한 보안사고의 영역으로 점차 가까워지는 것을 직관적으로 확인하여 용이하게 보안사고 징후를 탐지할 수 있다.
본 발명의 시계열 기반 서포트 벡터의 추세분석기법을 이용한 보안사고 이상 징후 탐지 방법은, 상기 보안사고 징후 판단 단계(S700)의 판단 결과에 따라, 보안사고의 징후가 있는 것으로 판단될 경우,
상기 과거 데이터 수집 단계(S200), 제 1 벡터화 단계(S300), 보안사고 영역 설정 단계(S400), 운영 데이터 수집 단계(S500), 제 2 벡터화 단계(S600) 및 보안사고 징후 판단 단계(S700)를 재수행(반복수행)함으로써, 보안사고의 징후가 있는 것으로 판단된 해당 운영 데이터를 새로운 학습 데이터로 업데이트시켜, 재학습을 통한 보안사고의 영역을 재설정할 수 있다.
다시 말하자면, 상기 중앙 관리부(100)는 상기 보안사고 징후 탐지부(500)에서 상기 보안사고 징후 판단 단계(S700)를 수행한 결과에 따라, 보안사고의 징후가 있는 것으로 판단될 경우,
보안사고의 징후가 있는 것으로 판단된 해당 운영 데이터를 분석하여 보안사고 여부를 명확하게 식별하는 것이 바람직하다.
보안사고인 것으로 판단될 경우, 해당 운영 데이터를 상기 학습정보 생성부(200)로 전달하여 새로운 학습 데이터로 업데이트시키고, 상기 보안사고 영역 설정부(300)에서 재학습을 통한 보안사고 영역을 재설정할 수 있다.
이를 통해서, 새로운 보안사고에 능동적으로 대처할 수 있어 효과적으로 보안사고의 징후를 탐지할 수 있는 장점이 있다.
이상과 같이 본 발명에서는 구체적인 구성 소자 등과 같은 특정 사항들과 한정된 실시예 도면에 의해 설명되었으나 이는 본 발명의 보다 전반적인 이해를 돕기 위해서 제공된 것 일 뿐, 본 발명은 상기의 일 실시예에 한정되는 것이 아니며, 본 발명이 속하는 분야에서 통상의 지식을 가진 자라면 이러한 기재로부터 다양한 수정 및 변형이 가능하다.
따라서, 본 발명의 사상은 설명된 실시예에 국한되어 정해져서는 아니 되며, 후술하는 특허 청구 범위뿐 아니라 이 특허 청구 범위와 균등하거나 등가적 변형이 있는 모든 것들은 본 발명 사상의 범주에 속한다고 할 것이다.
100 : 중앙 관리부
110 : 학습 정보 DB부 120 : 운영 정보 DB부
130 : 결과 DB부
200 : 학습정보 생성부
300 : 보안사고 영역 설정부
400 : 운영정보 생성부
500 : 보안사고 징후 탐지부

Claims (7)

  1. 네트워크 통신에서 발생하는 데이터를 시계열 순에 따른 서포트 벡터로 구성하여 추세분석기법을 이용하여 사전에 보안사고의 징후를 탐지하는 시스템에 있어서,
    기설정된 보안 센서로부터 수집된 센싱값 및 기설정된 상관도를 이용하여, 데이터 벡터화를 위한 벡터를 구성하는 중앙 관리부(100);
    상기 중앙 관리부(100)의 제어에 따라, 상기 보안 센서로부터 과거의 보안사고 데이터를 수집하고 벡터 형식에 맞게 벡터화하여 학습 데이터를 생성하는 학습정보 생성부(200);
    상기 중앙 관리부(100)의 제어에 따라, 상기 학습정보 생성부(200)에서 생성한 학습 데이터를 입력값으로 하여 학습을 수행하고, 보안사고 징후 탐지를 위한 탐지 규칙을 설정하여 보안사고의 영역을 설정하는 보안사고 영역 설정부(300);
    상기 중앙 관리부(100)의 제어에 따라, 네트워크 통신이 운영됨에 따라, 상기 보안 센서로부터 새롭게 수집되는 데이터를 시계열 기반으로 분석하고 벡터 형식에 맞게 벡터화하여 운영 데이터를 생성하는 운영정보 생성부(400); 및
    상기 중앙 관리부(100)의 제어에 따라, 상기 운영정보 생성부(400)에서 생성한 운영 데이터가 상기 보안사고 영역 설정부(300)에서 설정한 보안사고의 영역 주변 서포트 벡터일 경우, 보안사고의 징후가 있는 것으로 판단하는 보안사고 징후 탐지부(500);
    를 포함하여 구성되는 것을 특징으로 하는 시계열 기반 서포트 벡터의 추세분석기법을 이용한 보안사고 이상 징후 탐지 시스템.
  2. 제 1항에 있어서,
    상기 보안사고 징후 탐지부(500)는
    상기 운영정보 생성부(400)에서 생성한 운영 데이터가 상기 보안사고 영역 설정부(300)에서 설정한 보안사고의 영역에서 기설정된 범위 이내에 포함되는 벡터일 경우, 보안사고의 징후가 있는 것으로 판단하는 것을 특징으로 하는 시계열 기반 서포트 벡터의 추세분석기법을 이용한 보안사고 이상 징후 탐지 시스템.
  3. 제 1항에 있어서,
    상기 중앙 관리부(100)는
    상기 학습정보 생성부(200)에서 생성한 학습 데이터를 데이터베이스화하여 저장 및 관리하는 학습 정보 DB부(110);
    상기 운영정보 생성부(400)에서 생성한 운영 데이터를 데이터베이스화하여 저장 및 관리하는 운영 정보 DB부(120); 및
    상기 보안사고 징후 탐지부(500)에서 판단한 보안사고 징후 탐지 결과 정보를 데이터베이스화하여 저장 및 관리하는 결과 DB부(130);
    를 더 포함하여 구성되는 것을 특징으로 하는 시계열 기반 서포트 벡터의 추세분석기법을 이용한 보안사고 이상 징후 탐지 시스템.
  4. 제 1항에 있어서,
    상기 중앙 관리부(100)는
    상기 보안사고 징후 탐지부(500)에서 보안사고의 징후가 있는 것으로 판단할 경우,
    해당 운영 데이터를 분석하여 보안사고 여부를 식별하며, 상기 학습정보 생성부(200)로 전달하여 새로운 학습 데이터로 업데이트시킴으로써, 상기 보안사고 영역 설정부(300)에서 재학습을 통한 보안사고의 영역을 재설정하는 것을 특징으로 하는 시계열 기반 서포트 벡터의 추세분석기법을 이용한 보안사고 이상 징후 탐지 시스템.
  5. 네트워크 통신에서 발생하는 데이터를 시계열 순에 따른 서포트 벡터로 구성하여 추세분석기법을 이용하여 사전에 보안사고의 징후를 탐지하는 방법에 있어서,
    기설정된 보안 센서로부터 수집된 센싱값 및 기설정된 상관도를 이용하여 데이터 벡터화를 위한 벡터를 구성하는 벡터 구성 단계(S100);
    학습을 위한 상기 보안 센서로부터 과거의 보안사고 데이터가 수집되는 과거 데이터 수집 단계(S200);
    상기 과거 데이터 수집 단계(S200)를 통해 수집된 과거의 보안사고 데이터를 상기 벡터 구성 단계(S100)에서 구성한 벡터 형식에 맞게 벡터화하여 학습 데이터를 생성하는 제 1 벡터화 단계(S300);
    상기 제 1 벡터화 단계(S300)에서 생성한 학습 데이터를 입력값으로 하여 학습을 수행하여, 보안사고 징후 탐지를 위한 탐지 규칙을 설정함으로써 보안사고의 영역을 설정하는 보안사고 영역 설정 단계(S400);
    네트워크 통신이 운영됨에 따라, 상기 보안 센서로부터 새로운 데이터가 수집되는 운영 데이터 수집 단계(S500);
    상기 운영 데이터 수집 단계(S500)에서 수집된 새로운 데이터를 시계열 기반으로 분석하고 벡터 형식에 맞게 벡터화하여 운영 데이터를 생성하는 제 2 벡터화 단계(S600); 및
    상기 제 2 벡터화 단계(S600)에서 생성한 운영 데이터가 상기 보안사고 영역 설정 단계(S400)에서 설정한 보안사고의 영역 주변 서포트 벡터일 경우, 보안사고의 징후가 있는 것으로 판단하는 보안사고 징후 판단 단계(S700);
    로 이루어지는 것을 특징으로 하는 시계열 기반 서포트 벡터의 추세분석기법을 이용한 보안사고 이상 징후 탐지 방법.
  6. 제 5항에 있어서,
    상기 시계열 기반 서포트 벡터의 추세분석기법을 이용한 보안사고 이상 징후 탐지 방법은
    상기 보안사고 징후 판단 단계(S700)의 판단 결과에 따라, 보안사고의 징후가 있는 것으로 판단될 경우,
    상기 과거 데이터 수집 단계(S200), 제 1 벡터화 단계(S300), 보안사고 영역 설정 단계(S400), 운영 데이터 수집 단계(S500), 제 2 벡터화 단계(S600) 및 보안사고 징후 판단 단계(S700)를 재수행함으로써,
    보안사고의 징후가 있는 것으로 판단된 해당 운영 데이터를 새로운 학습 데이터로 업데이트시켜, 재학습을 통한 보안사고의 영역을 재설정하는 것을 특징으로 하는 시계열 기반 서포트 벡터의 추세분석기법을 이용한 보안사고 이상 징후 탐지 방법.
  7. 제 5항에 있어서,
    상기 보안사고 징후 판단 단계(S700)는
    상기 제 2 벡터화 단계(S600)에서 생성한 운영 데이터가 상기 보안사고 영역 설정 단계(S400)에서 설정한 보안사고의 영역에서 기설정된 범위 이내에 포함되는 벡터일 경우, 보안사고의 징후가 있는 것으로 판단하는 것을 특징으로 하는 시계열 기반 서포트 벡터의 추세분석기법을 이용한 보안사고 이상 징후 탐지 방법.
KR1020150098481A 2015-07-10 2015-07-10 시계열 기반 서포트 벡터의 추세분석기법을 이용한 보안사고 이상 징후 탐지 시스템 및 그 방법 KR101563511B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020150098481A KR101563511B1 (ko) 2015-07-10 2015-07-10 시계열 기반 서포트 벡터의 추세분석기법을 이용한 보안사고 이상 징후 탐지 시스템 및 그 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020150098481A KR101563511B1 (ko) 2015-07-10 2015-07-10 시계열 기반 서포트 벡터의 추세분석기법을 이용한 보안사고 이상 징후 탐지 시스템 및 그 방법

Publications (1)

Publication Number Publication Date
KR101563511B1 true KR101563511B1 (ko) 2015-10-27

Family

ID=54428649

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020150098481A KR101563511B1 (ko) 2015-07-10 2015-07-10 시계열 기반 서포트 벡터의 추세분석기법을 이용한 보안사고 이상 징후 탐지 시스템 및 그 방법

Country Status (1)

Country Link
KR (1) KR101563511B1 (ko)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20180076753A (ko) * 2016-12-28 2018-07-06 주식회사 엘렉시 이상패턴 감지 시스템 및 방법
KR20180118869A (ko) 2017-04-24 2018-11-01 주식회사 피너스 통합 보안 이상징후 모니터링 시스템
KR20200040469A (ko) * 2018-10-10 2020-04-20 주식회사 케이티 건물 내 설비의 이상을 탐지하는 방법, 시스템 및 컴퓨터 프로그램
KR102247181B1 (ko) * 2020-12-18 2021-05-03 주식회사 이글루시큐리티 Xai에 기초하여 생성된 학습데이터를 이용한 이상행위탐지모델 생성방법 및 장치
KR102247179B1 (ko) * 2020-12-18 2021-05-04 주식회사 이글루시큐리티 이상행위탐지모델의 비지도 학습을 위한 xai 기반 정상학습데이터 생성방법 및 장치
WO2022055099A1 (ko) * 2020-09-11 2022-03-17 주식회사 뉴로클 이상 탐지 방법 및 이를 위한 장치
KR102614798B1 (ko) 2022-12-29 2023-12-15 전남대학교산학협력단 시계열 기반 전력 데이터의 이상 탐지 방법 및 이를 위한 장치

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20180076753A (ko) * 2016-12-28 2018-07-06 주식회사 엘렉시 이상패턴 감지 시스템 및 방법
KR102031123B1 (ko) * 2016-12-28 2019-11-08 주식회사 엘렉시 이상패턴 감지 시스템 및 방법
KR20180118869A (ko) 2017-04-24 2018-11-01 주식회사 피너스 통합 보안 이상징후 모니터링 시스템
KR20200040469A (ko) * 2018-10-10 2020-04-20 주식회사 케이티 건물 내 설비의 이상을 탐지하는 방법, 시스템 및 컴퓨터 프로그램
KR102285987B1 (ko) 2018-10-10 2021-08-04 주식회사 케이티 건물 내 설비의 이상을 탐지하는 방법, 시스템 및 컴퓨터 프로그램
WO2022055099A1 (ko) * 2020-09-11 2022-03-17 주식회사 뉴로클 이상 탐지 방법 및 이를 위한 장치
KR102247181B1 (ko) * 2020-12-18 2021-05-03 주식회사 이글루시큐리티 Xai에 기초하여 생성된 학습데이터를 이용한 이상행위탐지모델 생성방법 및 장치
KR102247179B1 (ko) * 2020-12-18 2021-05-04 주식회사 이글루시큐리티 이상행위탐지모델의 비지도 학습을 위한 xai 기반 정상학습데이터 생성방법 및 장치
KR102614798B1 (ko) 2022-12-29 2023-12-15 전남대학교산학협력단 시계열 기반 전력 데이터의 이상 탐지 방법 및 이를 위한 장치

Similar Documents

Publication Publication Date Title
KR101563511B1 (ko) 시계열 기반 서포트 벡터의 추세분석기법을 이용한 보안사고 이상 징후 탐지 시스템 및 그 방법
EP3206368A1 (en) Telemetry analysis system for physical process anomaly detection
US20150304346A1 (en) Apparatus and method for detecting anomaly of network
US8621629B2 (en) System, method, and computer software code for detecting a computer network intrusion in an infrastructure element of a high value target
SA516371432B1 (ar) طريقة لتوليد بيانات في سلسلة إمداد للزيت والغاز من أجل التوافق مع نظم خارجية
KR20090122235A (ko) 광역 감시를 위한 제한된 개수의 센서들의 공정한 배치 방법
KR101692982B1 (ko) 로그 분석 및 특징 자동 학습을 통한 위험 감지 및 접근제어 자동화 시스템
KR20160085033A (ko) 학습형 다중센서 재난감지 시스템과 그 방법
KR101750760B1 (ko) 스마트 홈 서비스의 비정상 행위 탐지 시스템 및 그 방법
EP2963552B1 (en) System analysis device and system analysis method
CN111178828A (zh) 一种建筑消防安全预警的方法和系统
WO2021064144A1 (en) Method and system for continuous estimation and representation of risk
KR101630850B1 (ko) 종합분석 기법을 기반으로 한 실시간 가스설비 자동 긴급차단장치
KR101281460B1 (ko) 통계적 공정 관리도를 이용하여 이상증후를 탐지하는 방법
KR20080079767A (ko) 대형 네트워크에서 실시간 사이버 침입에 대한 이벤트유형의 정형화 시스템 및 방법
CN105827611A (zh) 一种基于模糊推理的分布式拒绝服务网络攻击检测方法和系统
KR102152403B1 (ko) 데이터 패턴 분석을 이용한 비정상행위 탐지 장치 및 방법
Śliwiński Safety integrity level verification for safety-related functions with security aspects
Yuan et al. Integrated process safety and process security risk assessment of industrial cyber-physical systems in chemical plants
EP2802948B1 (en) System for fluid processing networks
CN117423201A (zh) 一种餐厅智能化消防状态监测方法及系统
CN103425064A (zh) 通过过程控制设备显示信息的方法和装置
CN110399537B (zh) 一种基于人工智能技术的警情时空预测方法
Sicard et al. Critical states distance filter based approach for detection and blockage of cyberattacks in industrial control systems
KR102417752B1 (ko) 산업 제어 시스템에서의 ai 기반 위협 탐지 시스템 및 그 방법

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20180813

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20190814

Year of fee payment: 5