KR101923776B1 - 이상 데이터 분석을 통한 네트워크 침입 검출 장치 및 방법 - Google Patents

이상 데이터 분석을 통한 네트워크 침입 검출 장치 및 방법 Download PDF

Info

Publication number
KR101923776B1
KR101923776B1 KR1020160152657A KR20160152657A KR101923776B1 KR 101923776 B1 KR101923776 B1 KR 101923776B1 KR 1020160152657 A KR1020160152657 A KR 1020160152657A KR 20160152657 A KR20160152657 A KR 20160152657A KR 101923776 B1 KR101923776 B1 KR 101923776B1
Authority
KR
South Korea
Prior art keywords
system resource
resource information
information
feature
estimating
Prior art date
Application number
KR1020160152657A
Other languages
English (en)
Other versions
KR20180055957A (ko
Inventor
박진수
최동학
전유부
민세동
박두순
Original Assignee
순천향대학교 산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 순천향대학교 산학협력단 filed Critical 순천향대학교 산학협력단
Priority to KR1020160152657A priority Critical patent/KR101923776B1/ko
Publication of KR20180055957A publication Critical patent/KR20180055957A/ko
Application granted granted Critical
Publication of KR101923776B1 publication Critical patent/KR101923776B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3051Monitoring arrangements for monitoring the configuration of the computing system or of the computing system component, e.g. monitoring the presence of processing resources, peripherals, I/O links, software programs
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0876Network utilisation, e.g. volume of load or congestion level
    • H04L43/0888Throughput
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Environmental & Geological Engineering (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • Quality & Reliability (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 네트워크 침입 검출 장치 및 방법에 관한 것으로, 더욱 상세하게는 네트워크 침입 공격 중 하나인 분산 서비스 거부(Distribute Denial of Service: DDoS) 공격의 대표적인 형태인 플러드 공격(Flood Attack)에 따른 증상을 포함하는 시스템 자원정보들 중 둘 이상의 시스템 자원정보들을 이용하여 플러드 공격을 검출할 수 있는 이상 데이터 분석을 통한 네트워크 침입 검출 장치 및 방법에 관한 것이다.

Description

이상 데이터 분석을 통한 네트워크 침입 검출 장치 및 방법{Apparatus and method for detecting network intrusion based on anomaly analysis}
본 발명은 네트워크 침입 검출 장치 및 방법에 관한 것으로, 더욱 상세하게는 네트워크 침입 공격 중 하나인 분산 서비스 거부(Distribute Denial of Service: DDoS) 공격의 대표적인 형태인 플러드 공격(Flood Attack)에 따른 증상을 포함하는 시스템 자원정보들 중 둘 이상의 시스템 자원정보들을 이용하여 플러드 공격을 검출할 수 있는 이상 데이터 분석을 통한 네트워크 침입 검출 장치 및 방법에 관한 것이다.
현재 언제 어디서나 인터넷에 접속할 수 있는 네트워크망이 구축됨에 따라 네트워크망을 통한 네트워크 침입(공격)이 빈번하게 발생되고 있으며, 이로 인한 네트워크 성능 저하, 시스템 마비, 시스템 성능 저하, 시스템 파손 등과 같은 피해가 발생되고 있다.
이러한 네트워크 침입 방법들 중 분산 서비스 거부 공격(DDoS)이 대표적인 네트워크 침입(공격) 방법일 것이다.
DDoS는 '분산 서비스 거부' 또는 '분산 서비스 거부 공격'이라고도 하며, 여러 대의 공격자를 분산 배치하여 동시에 동작하게 함으로써 특정 사이트를 공격하는 네트워크 침입 방법 중 하나이다.
통상 DDoS 공격 방식에는 플러드 공격, 에코(Echo) 요청 공격, 브로드 캐스트 공격 등이 있으며, 이중 대표적인 공격 방식이 플러드 공격 방식이다.
플러드 공격(또는 "트래픽 플러딩"이라 함)은 현재 검출된 가장 일반적인 네트워크 공격 중 하나이며, 매우 짧은 시간 내에 공격을 받는 컴퓨터, 서버, 시스템(이하 "피해 시스템"이라 함) 등의 자원을 소모시킨다.
트래픽 플러딩은 목표 시스템인 피해 시스템의 자원을 소모시키기 위해 정상 TCP 쓰리웨이 핸드쉐이크(Normal TCP 3-way handshake) 부분을 이용한다.
이러한 트래픽 플러딩을 검출하기 위한 종래 네트워크 침입 검출 장치는 멀티레벨 DDoS 검출 및 DDoS 공격에 대한 차단을 제공하기 위해 트래픽 엔트로피의 분석에 기반한 [Joseph Lee Rodgers, W. Alan Nicewander, Thirteen Ways to Look at the Correlation Coefficient, The American Statistician, Vol.42, No.1.,(Feb., 19988), pp.59-66]에 개시된 기술을 적용한다.
멀티쓰레드 방어 기술을 적용한 네트워크 침입 검출 장치는 큰 양의 데이터 처리에 적용되고 패킷손실을 줄이기 위해서 적용되고 있다.
다른 종래 네트워크 침입 검출 장치는 [Kejie Lu, Dapeng Wu, Jieyan Fan, Sinisa Todorovic and Antonio Nucci, Robust and efficient detection of DDoS attacks for large-scale internet, Computer Networks 51(2007, pp.5036-5056]에서 제안된 방식으로, 양방향 트래픽의 흐름을 관찰하여 공격징후를 나타내는 매치하지 않는 SYN 패킷들의 정도를 검사하는 방식이 적용되고 있다.
상술한 종래 플러드 공격 검출 기술이 적용된 침입 검출 장치는 전문적인 IP망에 대한 지식을 필요로 하므로 전문가에 의해서만 적용될 수 있어 네트워크 침입 검출 장치의 구축 및 유지보수 등에 많은 비용이 소요되는 문제점이 있다.
또한, 네트워크 침입 검출 장치의 구축 및 유지보수 등에 많은 비용이 소요됨에 따라 네트워크 침입 검출 장치를 구축하지 않는 경우가 많으며, 이로 인해 네트워크 침입에 따른 네트워크, 시스템, 컴퓨터 등의 고장, 성능 저하로 인한 피해가 커질 수 있는 문제점이 있었다.
[Joseph Lee Rodgers, W. Alan Nicewander, Thirteen Ways to Look at the Correlation Coefficient, The American Statistician, Vol.42, No.1.,(Feb., 19988), pp.59-66] [Kejie Lu, Dapeng Wu, Jieyan Fan, Sinisa Todorovic and Antonio Nucci, Robust and efficient detection of DDoS attacks for large-scale internet, Computer Networks 51(2007, pp.5036-5056]
따라서 본 발명의 목적은 네트워크 침입 공격 중 하나인 분산 서비스 거부(Distribute Denial of Service: DDoS) 공격의 대표적인 형태인 플러드 공격(Flood Attack)에 따른 증상을 포함하는 시스템 자원정보들 중 둘 이상의 시스템 자원정보들을 이용하여 플러드 공격을 검출할 수 있는 이상 데이터 분석을 통한 네트워크 침입 검출 장치 및 방법을 제공함에 있다.
상기와 같은 목적을 달성하기 위한 본 발명에 따른 이상 데이터 분석을 통한 네트워크 침입 검출 장치는: 정상상태에서의 네트워크 트래픽 데이터로부터 시스템 자원정보를 트레이닝 데이터로 수집하여 적어도 둘 이상의 시스템 자원정보의 상관관계에 따른 특징정보를 추출하고, 추출된 특징정보의 평균 및 분산에 의한 임계치를 추정하는 임계 추정부; 및 실시간 입력되는 네트워크 트래픽 데이터로부터 상기 시스템 자원정보를 공격 판단 대상 데이터인 테스트 데이터로서 수집하고, 상기 둘 이상의 시스템 자원정보에 대응하는 시스템 자원정보의 상관관계에 따른 특징정보를 추출하고, 추출된 특징정보의 확률값을 계산하여 미리 설정된 상기 임계치와 비교하여 플러드 공격 여부를 판단하는 플러드 공격 검출부를 포함하는 것을 특징으로 한다.
상기 임계 추정부는, 상기 네트워크 트래픽 데이터로부터 정상상태에서의 시스템 자원정보를 트레이닝 데이터로 생성 및 수집하는 트레이닝 데이터 생성부; 상기 시스템 자원정보들 중 적어도 둘 이상의 시스템 자원정보를 선택하여 전송하는 정보 선택부; 상기 선택된 둘 이상의 시스템 자원정보들을 입력받고, 입력된 상기 시스템 자원정보들 간의 상관관계를 포함하는 특징정보를 추출하는 특징 추출부; 상기 특징 추출부에서 추출된 상기 특징정보의 정규분포에 대한 평균 및 분산을 추정하여 출력하는 정규분포 추정부; 및 상기 평균 및 분산에 의해 임계치를 추정하는 임계치 추정부를 포함하는 것을 특징으로 한다.
상기 정보 선택부는, 상기 시스템 자원정보 중 두 개의 시스템 자원정보를 선택하되, 상기 선택된 시스템 자원정보는 CPU 사용률 및 TCP 처리량인 것을 특징으로 한다.
상기 임계치 추정부는, 상기 선택된 시스템 자원정보에 대한 증상에 따른 특징정보 각각에 대한 임계치를 계산하고, 계산된 특징정보 각각에 대한 임계치들 중 가장 작은 값을 가지는 임계치를 최종 임계치로 선택하는 것을 특징으로 한다.
상기 임계 추정부는, 상기 선택된 시스템 자원정보에 대한 증상에 따른 자원정보 값의 증감 방향으로 상기 계산된 평균 및 분산에 따른 모든 특징 데이터를 포함하지 않는 특징값 중 사용자로부터 선택받아 임계치로 추정하는 것을 특징으로 한다.
상기 플러드 공격 검출부는, 실시간 입력되는 네트워크 트래픽 데이터로부터 상기 시스템 자원정보를 공격 판단 대상 데이터인 테스트 데이터로서 수집하여 전송하는 테스트 데이터 생성부; 상기 테스트 데이터 생성부로부터 입력되는 테스트 데이터로부터 둘 이상의 시스템 자원정보를 선택하여 전송하는 정보 선택부; 상기 정보 선택부로부터 입력되는 상기 시스템 자원정보들 간의 상관관계를 포함하는 확률값을 계산하는 확률 계산부; 및 상기 확률값과 상기 임계치를 비교하여 플러드 공격 여부를 판단하는 공격 판단부를 포함하는 것을 특징으로 한다.
상기와 같은 목적을 달성하기 위한 본 발명에 따른 이상 데이터 분석을 통한 네트워크 침입 검출 방법은: 임계 추정부가 정상상태에서의 네트워크 트래픽 데이터로부터 시스템 자원정보를 트레이닝 데이터로 수집하여 적어도 둘 이상의 시스템 자원정보의 상관관계에 따른 특징정보를 추출하고, 추출된 특징정보의 평균 및 분산에 의한 임계치를 추정하는 임계치 추정 단계; 및 플러드 공격 검출부가 실시간 입력되는 네트워크 트래픽 데이터로부터 상기 시스템 자원정보를 공격 판단 대상 데이터인 테스트 데이터로 수집하고, 상기 둘 이상의 시스템 자원정보에 대응하는 시스템 자원정보의 상관관계에 따른 특징정보를 추출하고, 추출된 특징정보의 확률값을 계산하여 상기 미리 설정된 임계치와 비교하여 플러드 공격 여부를 판단하는 플러드 공격 판단 단계를 포함하는 것을 특징으로 한다.
상기 임계치 추정 단계는, 상기 정상상태에서의 네트워크 트래픽 데이터로부터 시스템 자원정보를 트레이닝 데이터로 생성 및 수집하는 트레이닝 데이터 생성 단계; 상기 시스템 자원정보들 중 적어도 둘 이상의 시스템 자원정보를 선택하여 전송하는 정보 선택 단계; 상기 선택된 둘 이상의 시스템 자원정보들을 입력받고, 입력된 상기 시스템 자원정보들 간의 상관관계를 포함하는 특징정보를 추출하는 특징 추출 단계; 특징 추출부에서 추출된 상기 특징정보의 정규분포에 대한 평균 및 분산을 추정하여 출력하는 정규분포 추정 단계; 및 상기 평균 및 분산에 의해 임계치를 추정하는 임계치 추정 단계를 포함하는 것을 특징으로 한다.
상기 정보 선택 단계는, 상기 시스템 자원정보 중 두 개의 시스템 자원정보를 선택하되, 상기 선택된 시스템 자원정보는 CPU 사용률 및 TCP 처리량인 것을 특징으로 한다.
상기 임계치 추정 단계는, 상기 선택된 시스템 자원정보에 대한 증상에 따른 특징정보 각각에 대한 임계치를 계산하고, 계산된 특징정보 각각에 대한 임계치들 중 가장 작은 값을 가지는 임계치를 최종 임계치로 선택하는 것을 특징으로 한다.
상기 임계치 추정 단계는, 임계 추정부가 상기 선택된 시스템 자원정보에 대한 증상의 증감 방향으로 상기 계산된 평균 및 분산에 따른 모든 특징 데이터를 포함하지 않는 특징값 중 사용자로부터 선택받아 임계치로 추정하는 것을 특징으로 한다.
본 발명은 플러드 공격에 따라 발생되는 피해 시스템의 증상들에 대한 증상정보를 이용하여 플러드 공격을 검출함으로써 IP망에 대한 전문적인 지식 없이도 네트워크 침입 검출 장치를 구축할 수 있고, 직접 유지보수 할 수 있으므로 구축비용 및 유지보수 비용을 최소화할 수 있는 효과를 갖는다.
또한, 본 발명은 플러드 공격에 따라 발생되는 증상을 포함하는 둘 이상의 시스템 자원정보들 중 둘 이상의 시스템 자원정보들에 대한 상관관계를 이용함으로써 보다 정확하고 빠르게 플러드 공격을 검출할 수 있는 효과를 갖는다.
도 1은 본 발명에 따른 이상 데이터 분석을 통한 네트워크 침입 검출 장치의 구성을 나타낸 도면이다.
도 2는 본 발명에 따른 이상 데이터 분석을 통한 네트워크 침입 검출 장치의 임계 추정부의 상세 구성을 나타낸 도면이다.
도 3은 본 발명에 따른 이상 데이터 분석을 통한 네트워크 침입 검출 장치의 플러드 공격 검출부의 상세 구성을 나타낸 도면이다.
도 4는 본 발명에 따른 이상 데이터 분석을 통한 네트워크 침입 검출 방법을 나타낸 흐름도이다.
도 5는 본 발명에 따른 이상 데이터 분석을 통한 네트워크 침입 검출 방법 중 임계치 추정 방법을 나타낸 흐름도이다.
도 6은 본 발명에 따른 이상 데이터 분석을 통한 네트워크 침입 검출 방법 중 플러드 공격 검출 방법을 나타낸 흐름도이다.
도 7은 본 발명의 일실시예에 따른 정상 데이터에 대한 기대 극대화 결과를 나타낸 도면이다.
도 8은 본 발명의 일실시예에 따른 정상 데이터에 대한 기대 극대화 결과 및 이상 데이터에 대한 확률값 계산결과를 동시에 나타낸 도면이다.
도 9는 본 발명의 일실시예에 따른 이상 데이터를 포함하는 시스템 자원정보에 따른 플러드 공격 검출 타이밍도를 나타낸 도면이다.
이하 첨부된 도면을 참조하여 본 발명에 따른 이상 데이터 분석을 통한 네트워크 침입 검출 장치의 구성 및 동작을 설명하고, 상기 장치에서의 네트워크 침입 검출 방법을 설명한다.
도 1은 본 발명에 따른 이상 데이터 분석을 통한 네트워크 침입 검출 장치의 구성을 나타낸 도면이다.
도 1을 참조하면, 본 발명에 따른 이상 데이터 분석을 통한 네트워크 침입 검출 장치는 임계 추정부(100) 및 플러드 공격 검출부(200)를 포함한다. 이외에도 네트워크 침입 검출 장치는 텍스트, 그래픽, 동영상 등을 표시할 수 있는 디스플레이 수단 및 사용자로부터 다양한 정보를 입력받는 입력 수단, 네트워크망에 접속한 다른 시스템들과의 통신에 의한 네트워크 트래픽 데이터를 출력하는 통신부 등을 더 포함할 수 있으나, 이러한 구성은 이 기술분야의 기술자에게 잘 알려진 자명한 구성이므로 도면에서는 생략하였다.
임계 추정부(100)는 네트워크 트래픽 데이터가 플러드 공격을 받고 있지 않는 정상상태에서 시스템 자원정보를 트레이닝 데이터로 수집하여 적어도 둘 이상의 시스템 자원정보의 상관관계에 따른 특징정보를 추출하고, 추출된 특징정보의 평균 및 분산에 의한 임계치를 추정한다. 임계치는 Training 데이터의 기대 극대화(Expectation Maximization: EM)로 추정된 정규분포의 평균(mean)과 분산(variance)정보의 평균값을 이용하여 추정한다. 즉, 정규분포의 68-95-99.7% rule을 기준으로
Figure 112016111878579-pat00001
를 만족하는 임계치값을 사용하게 되는데, variance가
Figure 112016111878579-pat00002
에 해당하는
Figure 112016111878579-pat00003
에서의
Figure 112016111878579-pat00004
값을 임계치 값으로 설정된다. 임계치 추정부(100)는 각각의 특징 데이터에 대해 임계치를 계산하며, 계산된 각 특징 데이터(TCP 처리량, CPU 처리량 등)의 임계치들 중 가장 낮은 값을 갖는 임계치를 선택한다. 예를 들어 TCP 처리량 및 CPU 처리량에 대한 임계치 중 낮은 값을 가지는 임계치를 선택한다.
플러드 공격 검출부(200)는 상기 임계 추정부(100)로부터 상기 임계치를 입력받아 설정하고 있으며, 실시간 입력되는 네트워크 트래픽 데이터로부터 상기 시스템 자원정보를 공격 판단 대상 데이터인 테스트 데이터로서 수집하고, 상기 둘 이상의 시스템 자원정보에 대응하는 시스템 자원정보의 상관관계에 따른 특징정보를 추출하고, 추출된 특징정보의 확률값을 계산하여 상기 미리 설정된 임계치와 비교하여 플러드 공격 여부를 판단한다. 여기서, 확률값은 확률밀도함수, fx(x)를 의미한다.
도 2는 본 발명에 따른 이상 데이터 분석을 통한 네트워크 침입 검출 장치의 임계 추정부의 상세 구성을 나타낸 도면이고, 도 7은 본 발명의 일실시예에 따른 정상 데이터에 대한 기대 극대화 결과를 나타낸 도면이다. 이하 도 2 및 도 7을 참조하여 설명한다.
임계 추정부(100)는 트레이닝 데이터 생성부(110), 정보 선택부(120), 특징 추출부(130), 정규분포 추정부(140) 및 임계치 추정부(150)를 포함한다.
트레이닝 데이터 생성부(110)는, 상기 정상상태에서의 네트워크 트래픽 데이터로부터 시스템 자원정보를 트레이닝 데이터로서 생성 및 수집한다.
정보 선택부(120)는 상기 시스템 자원정보들 중 적어도 둘 이상의 시스템 자원정보를 선택하여 전송한다. 상기 시스템 자원정보는 TCP 처리량(Throughput), 실시간 왕복 시간(Round Trip Time: RTT), CPU 처리량, 일치하지 않는 SYN 패킷번호, 웹사이트 연결 끊김 횟수 등이 될 수 있을 것이다. 상기 시스템 자원정보들은 상호 매우 밀접한 상관관계를 가지고 있다. 따라서 이하 설명에서는 플러드 공격 여부를 판단함에 있어, 둘 이상의 시스템 자원정보만을 선택하여 이용할 수 있을 것이다. 상기 선택되는 시스템 자원정보는 CPU 사용량 및 TCP 처리량인 것이 바람직할 것이다.
특징 추출부(130)는 상기 선택된 둘 이상의 시스템 자원정보들을 입력받고, 입력된 상기 시스템 자원정보들 간의 상관관계를 포함하는 특징정보를 추출하여 출력한다.
상기 특징정보는 K(선택된 시스템 자원정보 수) 차원 특징 공간에서 표현될 수 있고, 하기 수학식 1에 의해 K 차원 특징 공간에서 표현될 수 있고, 다변량 정규분포에 의해 설명될 수 있을 것이다.
Figure 112016111878579-pat00005
정규분포 추정부(140)는 상기 특징 추출부(130)에서 추출된 상기 특징정보의 정규분포에 대한 평균 및 분산을 추정하여 출력한다.
상기 정규분포 추청부(140)는 기대 극대화(Expectation Maximization: EM) 방법을 적용하여 평균 및 분산을 추정한다.
기대 극대화 방법(EM)은 기대 단계(E)와 극대화 단계(M)를 포함하여 평균 및 분산을 추정한다.
기대 단계는 파라미터(θ)의 현재 추정에 따라 X를 고려한 Z의 조건부 분포에 대하여 하기 수학식 2에 의해 로그 우도의 예상 값을 계산한다.
Figure 112016111878579-pat00006
극대화 단계는 하기 수학식 3에 의해 상기 수학식 2의 로그 우도의 예상 값을 극대화하는 파라미터를 계산한다.
Figure 112016111878579-pat00007
상기 정규분포 추정부(140)는 평균 및 분산이 계산되면 계산된 평균 및 분산에 기반하여 상기 특징 추출부(130)에서 추출된 특징정보들을 도 7과 같이 다차원 특징공간에 맵핑하고, 특징정보가 매핑된 도 7과 같은 다차원(2차원) 특징 공간을 디스플레이 수단에 표시하여 사용자에게 보여줄 수 있을 것이다.
임계치 추정부(150)는 상기 평균 및 분산에 의해 임계치를 추정하여 출력한다.
임계치 추정부(150)는 다차원 특징 공간에서 상기 선택된 시스템 자원정보의 증상에 따른 자원정보 값의 증감 방향으로 상기 정규분포 추정부에서 생성된 평균(m)을 기준으로 분산(d)을 초과하는 거리의 임의의 위치를 임계치로 추정한다. 이때, 임계치 추정부(150)는 사용자로부터 또는 직접 도 7에서 보이는 정상 데이터 특징정보 분포 영역(701)을 벗어난 지점을 임계치로 지정할 수 있을 것이다. 상기 자원정보 값이란 CPU 점유율 값, TCP 처리량 값, RTT 값 등을 의미한다.
도 7을 예를 들면, 임계치 추정부(150)는 정상 데이터 특징정보 분포 영역(701)에서 TCP 처리량이 감소하는 방향 및 CPU 사용량이 증가하는 방향인 좌우측 방향으로 일정 거리 떨어진 위치를 임계치로 결정할 수 있을 것이다. 또한, 임계치 추정부(150)는 상술한 바와 같이 상기 특징데이터 각각에 대해 계산되는 임계치 (TCP 처리량 임계치, CPU 사용량(처리량) 임계치) 중 낮은 값을 가지는 것을 선택한다.
도 3은 본 발명에 따른 이상 데이터 분석을 통한 네트워크 침입 검출 장치의 플러드 공격 검출부의 상세 구성을 나타낸 도면이고, 도 8은 본 발명의 일실시예에 따른 정상 데이터에 대한 기대 극대화 결과 및 이상 데이터에 대한 확률값 계산결과를 동시에 나타낸 도면이다. 이하 도 3 및 도 8을 참조하여 설명한다.
플러드 공격 검출부(200)는 테스트 데이터 생성부(210), 정보 선택부(220), 확률 계산부(230) 및 공격 판단부(240)를 포함한다.
테스트 데이터 생성부(210)는 실시간으로 입력되는 네트워크 트래픽 데이터로부터 상기 시스템 자원정보를 공격 판단 대상 데이터인 테스트 데이터로서 생성 및 수집하여 전송한다.
정보 선택부(220)는 상기 테스트 데이터 생성부(210)로부터 입력되는 테스트 데이터로부터 미리 설정되어 있는 둘 이상의 시스템 자원정보에 대한 선택정보(이하 "시스템 자원정보 선택 정보"라 함)에 의해 둘 이상의 시스템 자원정보를 선택하여 전송한다.
확률 계산부(230)는 상기 정보 선택부로부터 입력되는 상기 시스템 자원정보들 간의 상관관계인 특징정보를 추출하고, 특징정보를 상기 수학식 1에 적용하여 확률값(fx(x))을 계산한다.
공격 판단부(240)는 도 8에서 나타낸 바와 같이 임계치(802)가 임계치 설정 가능 영역(801)에 설정되므로, 입력되는 네트워크 트래픽 데이터의 확률값이 평균 및 분산에 의해 형성된 정상 데이터 분포 영역(803)에 형성되면 정상(Normal) 데이터로 판단하고, 확률값이 임계치를 벗어난 영역인 이상 데이터 판단 영역(804)에 위치하면 공격받아 이상 상태에 있는 이상(Anomaly) 데이터로 판단한다.
이를 수학식으로 표현하면 공격 판단부(240)는 상기 확률값(fx(x))과 상기 임계 추정부(100)로부터 입력되는 임계치(ε)에 의해 하기 수학식 4와 같이 비교하여 플러드 공격 여부를 판단한다.
Figure 112016111878579-pat00008
도 4는 본 발명에 따른 이상 데이터 분석을 통한 네트워크 침입 검출 방법을 나타낸 흐름도이다.
도 4를 참조하면 임계 추정부(100)는 정상상태에서 네트워크 트래픽 데이터로부터 시스템 자원정보를 트레이닝 데이터로서 생성 및 수집하여 적어도 둘 이상의 시스템 자원정보의 상관관계에 따른 특징정보를 추출하고, 추출된 특징정보의 평균 및 분산에 의한 임계치를 추정한다(S111).
플러드 공격 검출부(200)는 실시간으로 입력되는 네트워크 트래픽 데이터로부터 상기 시스템 자원정보를 공격 판단 대상 데이터인 테스트 데이터로서 수집하고, 상기 둘 이상의 시스템 자원정보에 대응하는 시스템 자원정보의 상관관계에 따른 특징정보를 추출하고, 추출된 특징정보의 확률값을 계산하여 상기 미리 설정된 임계치와 비교하여 플러드 공격 여부를 판단한다(S113).
도 5는 본 발명에 따른 이상 데이터 분석을 통한 네트워크 침입 검출 방법 중 임계치 추정 방법을 나타낸 흐름도로 두 개의 시스템 자원정보를 적용하는 경우를 나타낸 흐름도이다.
도 5를 참조하면, 임계 추정부(100)의 트레이닝 데이터 생성부(110)는 정상상태의 상기 네트워크 트래픽 데이터로부터 시스템 자원정보를 트레이닝 데이터로서 생성 및 수집하여 정보 선택부(120)로 전송한다(S211).
정보 선택부(120)는 상기 시스템 자원정보들 중 미리 설정되거나 사용자에 의해 선택된 적어도 둘 이상의 시스템 자원정보를 선택하여 특징 추출부(130)로 전송한다(S213).
특징 추출부(130)는 상기 선택된 둘 이상의 시스템 자원정보들을 입력받고, 입력된 상기 시스템 자원정보들 간의 상관관계를 포함하는 특징정보를 추출하여 정규분포 추정부(140)로 전송한다(S215).
정규분포 추정부(140)는 상기 특징 추출부(130)에서 추출된 상기 특징정보의 정규분포에 대한 평균 및 분산을 추정하여 임계치 추정부(150)로 전송한다(S217).
임계치 추정부(150)는 상기 평균 및 분산에 의해 임계치를 추정하여 플러드 공격 검출부(200)로 전송한다(S219).
도 6은 본 발명에 따른 이상 데이터 분석을 통한 네트워크 침입 검출 방법 중 플러드 공격 검출 방법을 나타낸 흐름도이고, 도 9는 본 발명의 일실시예에 따른 이상 데이터를 포함하는 시스템 자원정보에 따른 플러드 공격 검출 타이밍도를 나타낸 도면이다. 이하 도 6 및 도 9를 참조하여 설명한다.
플러드 공격 검출부(200)의 테스트 데이터 생성부(210)는 네트워크로부터 실시간으로 입력되는 네트워크 트래픽 데이터로부터 상기 시스템 자원정보를 공격 판단 대상 데이터인 테스트 데이터로서 생성 및 수집한다(S311).
테스트 데이터가 생성 및 수집되기 시작하면 정보 선택부(220)는 시스템 자원정보들 중 미리 설정되어 있는 선택된 시스템 자원정보 선택정보를 로드하여 상기 테스트 데이터 생성부(210)로부터 입력되는 시스템 자원정보들 중 상기 로드된 적어도 둘 이상의 시스템 자원정보 선택 정보에 대응하는 시스템 자원정보를 선택하여 확률 계산부(230)로 전송한다(S313).
확률 계산부(230)는 상기 정보 선택부(220)로부터 입력되는 상기 시스템 자원정보들 간의 상관관계를 포함하는 특징정보를 추출하고, 추출된 특징정보의 확률값을 계산하여 공격 판단부(240)로 전송한다(S315, S317).
공격 판단부(240)는 계산된 확률값이 임계 추정부(100)로부터 입력되는 임계치보다 작은지를 검사하고(S319), 작으면 현재 시스템이 공격 받고 있는 것으로 결정하고(S321), 확률값이 임계치 이상이면 입력되는 네트워크 트래픽이 정상 트래픽인 것으로 결정한다(S323).
공격 판단부(240)는 도 9에서 보이는 바와 같이 TCP 처리량이 급감하고, CPU 사용량이 증가하는 구간에서 공격이 정확하게 검출됨을 알 수 있다.
한편, 본 발명은 전술한 전형적인 바람직한 실시예에만 한정되는 것이 아니라 본 발명의 요지를 벗어나지 않는 범위 내에서 여러 가지로 개량, 변경, 대체 또는 부가하여 실시할 수 있는 것임은 당해 기술분야에서 통상의 지식을 가진 자라면 용이하게 이해할 수 있을 것이다. 이러한 개량, 변경, 대체 또는 부가에 의한 실시가 이하의 첨부된 특허청구범위의 범주에 속하는 것이라면 그 기술사상 역시 본 발명에 속하는 것으로 보아야 한다.
100: 임계 추정부 110: 트레이닝 데이터 생성부
120: 2차정보 선택부 130: 특징 추출부
140: 정규분포 추정부 150: 임계치 추정부
200: 플러드 공격 검출부 210: 테스트 데이터 생성부
220: 2차정보 선택부 230: 특징 추출부
240: 확률 계산부 250:공격 판단부

Claims (11)

  1. 정상상태에서의 네트워크 트래픽 데이터로부터 시스템 자원정보를 트레이닝 데이터로 수집하여 적어도 둘 이상의 시스템 자원정보의 상관관계에 따른 특징정보를 추출하고, 추출된 특징정보의 평균 및 분산에 의한 임계치를 추정하는 임계 추정부; 및
    실시간 입력되는 네트워크 트래픽 데이터로부터 상기 시스템 자원정보를 공격 판단 대상 데이터인 테스트 데이터로서 수집하고, 상기 둘 이상의 시스템 자원정보에 대응하는 시스템 자원정보의 상관관계에 따른 특징정보를 추출하고, 추출된 특징정보의 확률값을 계산하여 미리 설정된 상기 임계치와 비교하여 플러드 공격 여부를 판단하는 플러드 공격 검출부를 포함하되,
    상기 임계 추정부는,
    상기 네트워크 트래픽 데이터로부터 정상상태에서의 시스템 자원정보를 트레이닝 데이터로 생성 및 수집하는 트레이닝 데이터 생성부;
    상기 시스템 자원정보들 중 적어도 둘 이상의 시스템 자원정보를 선택하여 전송하는 정보 선택부;
    상기 선택된 둘 이상의 시스템 자원정보들을 입력받고, 입력된 상기 시스템 자원정보들 간의 상관관계를 포함하는 특징정보를 추출하는 특징 추출부;
    상기 특징 추출부에서 추출된 상기 특징정보의 정규분포에 대한 평균 및 분산을 추정하여 출력하는 정규분포 추정부; 및
    상기 평균 및 분산에 의해 임계치를 추정하는 임계치 추정부를 포함하고,
    상기 임계 추정부는,
    상기 선택된 시스템 자원정보에 대한 증상의 증감 방향으로 상기 계산된 평균 및 분산에 따른 모든 특징 데이터를 포함하지 않는 특징값 중 사용자로부터 선택받아 임계치로 추정하는 것을 특징으로 하는 이상 데이터 분석을 통한 네트워크 침입 검출 장치.
  2. 삭제
  3. 제1항에 있어서,
    상기 정보 선택부는,
    상기 시스템 자원정보 중 두 개의 시스템 자원정보를 선택하되,
    상기 선택된 시스템 자원정보는 CPU 사용률 및 TCP 처리량인 것을 특징으로 하는 이상 데이터 분석을 통한 네트워크 침입 검출 장치.
  4. 삭제
  5. 삭제
  6. 제1항에 있어서,
    상기 플러드 공격 검출부는,
    실시간 입력되는 네트워크 트래픽 데이터로부터 상기 시스템 자원정보를 공격 판단 대상 데이터인 테스트 데이터로서 수집하여 전송하는 테스트 데이터 생성부;
    상기 테스트 데이터 생성부로부터 입력되는 테스트 데이터로부터 둘 이상의 시스템 자원정보를 선택하여 전송하는 정보 선택부;
    상기 정보 선택부로부터 입력되는 상기 시스템 자원정보들 간의 상관관계를 포함하는 확률값을 계산하는 확률 계산부; 및
    상기 확률값과 상기 임계치를 비교하여 플러드 공격 여부를 판단하는 공격 판단부를 포함하는 것을 특징으로 하는 이상 데이터 분석을 통한 네트워크 침입 검출 장치.
  7. 임계 추정부가 정상상태에서의 네트워크 트래픽 데이터로부터 시스템 자원정보를 트레이닝 데이터로 수집하여 적어도 둘 이상의 시스템 자원정보의 상관관계에 따른 특징정보를 추출하고, 추출된 특징정보의 평균 및 분산에 의한 임계치를 추정하는 임계치 추정 단계; 및
    플러드 공격 검출부가 실시간 입력되는 네트워크 트래픽 데이터로부터 상기 시스템 자원정보를 공격 판단 대상 데이터인 테스트 데이터로 수집하고, 상기 둘 이상의 시스템 자원정보에 대응하는 시스템 자원정보의 상관관계에 따른 특징정보를 추출하고, 추출된 특징정보의 확률값을 계산하여 상기 미리 설정된 임계치와 비교하여 플러드 공격 여부를 판단하는 플러드 공격 판단 단계를 포함하되,
    상기 임계치 추정 단계는,
    상기 정상상태에서의 네트워크 트래픽 데이터로부터 시스템 자원정보를 트레이닝 데이터로 생성 및 수집하는 트레이닝 데이터 생성 단계;
    상기 시스템 자원정보들 중 적어도 둘 이상의 시스템 자원정보를 선택하여 전송하는 정보 선택 단계;
    상기 선택된 둘 이상의 시스템 자원정보들을 입력받고, 입력된 상기 시스템 자원정보들 간의 상관관계를 포함하는 특징정보를 추출하는 특징 추출 단계;
    특징 추출부에서 추출된 상기 특징정보의 정규분포에 대한 평균 및 분산을 추정하여 출력하는 정규분포 추정 단계; 및
    상기 평균 및 분산에 의해 임계치를 추정하는 임계치 추정 단계를 포함하고,
    상기 임계치 추정 단계는,
    임계 추정부가 상기 선택된 시스템 자원정보에 대한 증상의 증감 방향으로 상기 계산된 평균 및 분산에 따른 모든 특징 데이터를 포함하지 않는 특징값 중 사용자로부터 선택받아 임계치로 추정하는 것을 특징으로 하는 이상 데이터 분석을 통한 네트워크 침입 검출 방법.
  8. 삭제
  9. 제7항에 있어서,
    상기 정보 선택 단계는,
    상기 시스템 자원정보 중 두 개의 시스템 자원정보를 선택하되,
    상기 선택된 시스템 자원정보는 CPU 사용률 및 TCP 처리량인 것을 특징으로 하는 이상 데이터 분석을 통한 네트워크 침입 검출 방법.
  10. 삭제
  11. 삭제
KR1020160152657A 2016-11-16 2016-11-16 이상 데이터 분석을 통한 네트워크 침입 검출 장치 및 방법 KR101923776B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020160152657A KR101923776B1 (ko) 2016-11-16 2016-11-16 이상 데이터 분석을 통한 네트워크 침입 검출 장치 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020160152657A KR101923776B1 (ko) 2016-11-16 2016-11-16 이상 데이터 분석을 통한 네트워크 침입 검출 장치 및 방법

Publications (2)

Publication Number Publication Date
KR20180055957A KR20180055957A (ko) 2018-05-28
KR101923776B1 true KR101923776B1 (ko) 2018-11-29

Family

ID=62451384

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020160152657A KR101923776B1 (ko) 2016-11-16 2016-11-16 이상 데이터 분석을 통한 네트워크 침입 검출 장치 및 방법

Country Status (1)

Country Link
KR (1) KR101923776B1 (ko)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109379341B (zh) * 2018-09-21 2022-02-01 国网湖南省电力有限公司 一种基于行为分析的反弹型远控木马网络流量检测方法
CN114338206B (zh) * 2021-12-31 2024-05-07 曙光网络科技有限公司 Ddos攻击检测方法、装置、设备以及存储介质

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20160088006A1 (en) * 2014-09-23 2016-03-24 Chaitali GUPTA Predictive model for anomaly detection and feedback-based scheduling
KR101621019B1 (ko) * 2015-01-28 2016-05-13 한국인터넷진흥원 시계열 통계 기반 공격의심 이상징후를 탐지하기 위한 방법

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2007002838A2 (en) * 2005-06-29 2007-01-04 Trustees Of Boston University Whole-network anomaly diagnosis
KR101623071B1 (ko) * 2015-01-28 2016-05-31 한국인터넷진흥원 공격의심 이상징후 탐지 시스템

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20160088006A1 (en) * 2014-09-23 2016-03-24 Chaitali GUPTA Predictive model for anomaly detection and feedback-based scheduling
KR101621019B1 (ko) * 2015-01-28 2016-05-13 한국인터넷진흥원 시계열 통계 기반 공격의심 이상징후를 탐지하기 위한 방법

Also Published As

Publication number Publication date
KR20180055957A (ko) 2018-05-28

Similar Documents

Publication Publication Date Title
CN110620759B (zh) 基于多维关联的网络安全事件危害指数评估方法及其系统
CN105553998B (zh) 一种网络攻击异常检测方法
Suresh et al. Evaluating machine learning algorithms for detecting DDoS attacks
Lee et al. DDoS attack detection method using cluster analysis
KR100942456B1 (ko) 클라우드 컴퓨팅을 이용한 DDoS 공격 탐지 및 차단 방법 및 서버
Thapngam et al. Distributed Denial of Service (DDoS) detection by traffic pattern analysis
Labib et al. An application of principal component analysis to the detection and visualization of computer network attacks
US20120159623A1 (en) Method and apparatus for monitoring and processing dns query traffic
CN111049680B (zh) 一种基于图表示学习的内网横向移动检测系统及方法
CN111935170A (zh) 一种网络异常流量检测方法、装置及设备
KR100826884B1 (ko) 보안큐브를 이용한 네트워크 상태 표시장치 및 방법
CN110365674B (zh) 一种预测网络攻击面的方法、服务器和系统
KR101250899B1 (ko) 응용계층 분산 서비스 거부 공격 탐지 및 차단 장치 및 그 방법
Juvonen et al. An efficient network log anomaly detection system using random projection dimensionality reduction
CN112839017A (zh) 一种网络攻击检测方法及其装置、设备和存储介质
KR101923776B1 (ko) 이상 데이터 분석을 통한 네트워크 침입 검출 장치 및 방법
KR100950079B1 (ko) 은닉마코프 모델을 이용한 확률적인 네트워크 이상징후탐지 장치 및 그 방법
Vieira et al. Model order selection and eigen similarity based framework for detection and identification of network attacks
US7447723B2 (en) Method for fast relevance discovery in time series
Zolotukhin et al. Data mining approach for detection of DDoS attacks utilizing SSL/TLS protocol
Wang et al. HTTP-SoLDiER: An HTTP-flooding attack detection scheme with the large deviation principle
Tian et al. A transductive scheme based inference techniques for network forensic analysis
David et al. Blind automatic malicious activity detection in honeypot data
Tufa et al. Detecting DDoS attack using adaptive boosting with software defined network in cloud computing environment
Badis et al. Toward a source detection of botclouds: a pca-based approach

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right