KR101964148B1 - 기계 학습 기반으로 이상 행위를 분석하는 유무선 공유기 및 그 방법 - Google Patents

기계 학습 기반으로 이상 행위를 분석하는 유무선 공유기 및 그 방법 Download PDF

Info

Publication number
KR101964148B1
KR101964148B1 KR1020170035830A KR20170035830A KR101964148B1 KR 101964148 B1 KR101964148 B1 KR 101964148B1 KR 1020170035830 A KR1020170035830 A KR 1020170035830A KR 20170035830 A KR20170035830 A KR 20170035830A KR 101964148 B1 KR101964148 B1 KR 101964148B1
Authority
KR
South Korea
Prior art keywords
information
wireless
router
abnormal
status information
Prior art date
Application number
KR1020170035830A
Other languages
English (en)
Other versions
KR20180107789A (ko
Inventor
류동주
정동섭
Original Assignee
(주)휴네시온
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)휴네시온 filed Critical (주)휴네시온
Priority to KR1020170035830A priority Critical patent/KR101964148B1/ko
Publication of KR20180107789A publication Critical patent/KR20180107789A/ko
Application granted granted Critical
Publication of KR101964148B1 publication Critical patent/KR101964148B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/04Processing captured monitoring data, e.g. for logfile generation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]

Abstract

본 발명은 유무선 공유기를 통해 송수신되는 무선신호 및 상태정보를 이용하여 정상 행위와 이상 행위 유형을 반복적으로 학습하고 이를 기반으로 유무선 공유기의 상태 및 무선신호를 탐지 및 분석함으로써 유무선 공유기에 대한 공격을 효과적으로 차단할 수 있는 기계 학습 기반으로 이상 행위를 분석하는 유무선 공유기 및 그 방법에 대한 것이다.
본 발명에 따른 기계 학습 기반으로 이상 행위를 분석하는 유무선 공유기는, 유무선 공유기의 정상 행위 및 이상 행위 유형을 반복적으로 학습하고 이를 기반으로 유무선 공유기의 이상 행위 여부를 판단하는 유무선 공유기로서, 상기 유무선 공유기가 송수신하는 무선신호 및 상기 유무선 공유기의 상태정보를 주기적으로 수집하는 정보 수집부, 상기 수집된 무선신호 및 상태정보를 분석하여 상기 유무선 공유기의 동작이 이상 행위인지 여부를 판단하는 정보 분석부, 그리고 상기 유무선 공유기의 동작이 이상 행위인 경우 보안 정책을 수행하는 보안 처리부를 포함하고, 상기 정보 분석부가, 상기 수집된 무선신호 및 상태정보를 분석하여 이상 행위 여부를 분석하고 정상 행위 및 이상 행위 유형을 반복적으로 학습하는 기계 학습 엔진과 연동하여 동작하는 것을 특징으로 한다.

Description

기계 학습 기반으로 이상 행위를 분석하는 유무선 공유기 및 그 방법{WIRE AND WIRELESS ACCESS POINT FOR ANALYZING ABNORMAL ACTION BASED ON MACHINE LEARNING AND METHOD THEREOF}
본 발명은 기계 학습 기반으로 이상 행위를 분석하는 유무선 공유기 및 그 방법에 대한 것으로, 더욱 상세하게는 유무선 공유기를 통해 송수신되는 무선신호 및 상태정보를 이용하여 정상 행위와 이상 행위 유형을 반복적으로 학습하고 이를 기반으로 유무선 공유기의 상태 및 무선신호를 탐지 및 분석함으로써 유무선 공유기에 대한 공격을 효과적으로 차단할 수 있는 기계 학습 기반으로 이상 행위를 분석하는 유무선 공유기 및 그 방법에 대한 것이다.
최근 들어 모바일 디바이스의 사용이 빈번해지고 스마트 TV나 셋톱박스 등이 가정 내에 보편적으로 사용됨에 따라 대부분의 사용자 단말기들이 네트워크를 통해 서비스를 이용할 수 있는 형태로 진화하고 있다. 이에 따라, 사무실 뿐만 아니라 가정 내에서도 다양한 단말기들을 서로 연결하거나 특히 외부 인터넷 망에 연결하기 위하여 유무선 공유기를 사용하고 있다.
한편, 이와 같이 대부분의 사용자 단말기들이 유무선 네트워크에 연결되고 사용자 단말기에 중요한 사용자 정보(개인 정보, 카드와 같은 결제 정보 등)가 저장됨에 따라, 네트워크를 통해 사용자 단말기에 접근하여 사용자 단말기의 정상 동작을 방해하거나 사용자 정보를 빼 내가는 악성행위 역시 다양화되어 가고 있는 추세이다.
이러한 악성행위를 차단하기 위하여 스마트 폰이나 컴퓨터, 노트북 등에 다양한 백신 프로그램이나 방화벽 등을 설치하고는 있으나, 유무선 공유기에 연결되는 사용자 단말기가 다양화하다 보니 보안에 취약한 사용자 단말기가 발생하게 된다. 이로 인해, 해당 단말기가 악성행위에 노출될 경우 네트워크를 통해 서로 연결된 댁내의 다른 사용자 단말기 역시 위험에 노출될 수 있는 문제점이 있었다.
예를 들어, 2016년 11월에 상하이 교통 대학, 사우스 플로리다 대학 및 매사추세츠 보스턴 대학의 공동 연구를 통해 개발된 '윈드토커(Wind Talker)'라는 기술의 경우 와이파이 핫스팟에 연결된 사용자가 입력하는 암호나 PIN 코드 등 개인정보를 훔칠 수 있는 가능성을 보여주고 있다. 이 기술에 의하면, 와이파이 프로토콜의 일부 와이파이 신호 상태를 제공하는 무선신호 패턴인 CSI(Channel State Information)를 통해, 와이파이 핫스팟에 연결된 스마트 폰의 사용자가 터치스크린에 입력하는 패턴과 키보드 타이핑을 읽을 수 있다. 구체적으로, 사용자가 스마트 폰 앱이나 잠금화면 등으로 PIN 번호나 암호를 입력할 때 사용자의 손가락 움직임을 따라 스마트 폰에서 발생하는 와이파이 신호가 변화하고 손가락 움직임 데이터가 와이파이 신호에 새겨지게 된다. 따라서 해커가 운용하는 가짜 와이파이 핫스팟에 접속하거나 해커가 공용 와이파이 핫스팟을 제어할 경우 스마트 폰에 입력되는 비밀번호 등 개인정보가 쉽게 유출될 수 있게 된다.
또 다른 예로, 2016년 10월 미라이 봇넷(Mirai botnet)으로 IoT(Internet Of Things) 기기들을 공격하여 미국 동부권 전역이 DDOS(Distributed Denial Of Service) 공격으로 마비되기도 하였다. 또한, 2016년 11월 도이치 텔레콤의 미라이 변종 디바이스의 DDOS 공격으로 인해 100~200만대의 IoT 라우터가 파괴되기도 하였다.
이와 같이, 현재 유무선 공유기 및 펌웨어의 악성코드에 대한 취약점들이 내포되어진 상황에서 유무선 공유기를 통한 전송 기법에 대한 방어 및 분석 기술은 매우 취약한 상태이다. 특히, 임베디드 시스템 및 악성코드의 이상 행위 분석에 대한 연구가 진행되고는 있으나, 대부분 상태정보를 통한 판단이나 시그니처 및 행위 분석을 위주로 연구가 진행되고 있다. 따라서 유무선 공유기에 대한 공격 방법 및 악성코드가 빠르게 진화하고 있는 상황에서 이에 적절하게 대응하기 어렵고, 유무선 공유기의 상태 및 무선신호를 통해 정상 행위인지 이상 행위인지 정확히 분석 및 판단하는 것이 어려운 문제점이 있었다.
본 발명은 이러한 문제점을 해결하기 위하여 제시된 것으로, 본 발명의 목적은 유무선 공유기의 상태 및 무선신호의 정상 행위와 이상 행위 여부에 대하여 반복적으로 학습함으로써 유무선 공유기에 대한 공격을 효과적으로 탐지 및 방어할 수 있는 기계 학습 기반으로 이상 행위를 분석하는 유무선 공유기 및 그 방법을 제공하는 것이다.
또한, 본 발명의 다른 목적은 유무선 공유기의 상태 및 무선신호의 이상 행위 여부에 대한 기계 학습을 반복 수행함으로써 유무선 공유기에 대한 이상 행위 및 공격을 빠르고 정확하게 판단할 수 있는 기계 학습 기반으로 이상 행위를 분석하는 유무선 공유기 및 그 방법을 제공하는 것이다.
또한, 본 발명의 또 다른 목적은 유무선 공유기에 대한 공격 유형을 지속적으로 반복 학습함으로써 점차 진화하는 다양한 악성 행위 및 유무선 공유기에 대한 공격 유형에 효과적으로 대응할 수 있는 기계 학습 기반으로 이상 행위를 분석하는 유무선 공유기 및 그 방법을 제공하는 것이다.
상기 목적을 달성하기 위하여, 본 발명에 따라 기계 학습 기반으로 이상 행위를 분석하는 유무선 공유기는, 유무선 공유기의 정상 행위 및 이상 행위 유형을 반복적으로 학습하고 이를 기반으로 유무선 공유기의 이상 행위 여부를 판단하는 유무선 공유기로서, 상기 유무선 공유기가 송수신하는 무선신호 및 상기 유무선 공유기의 상태정보를 주기적으로 수집하는 정보 수집부, 상기 수집된 무선신호 및 상태정보를 분석하여 상기 유무선 공유기의 동작이 이상 행위인지 여부를 판단하는 정보 분석부, 그리고 상기 유무선 공유기의 동작이 이상 행위인 경우 보안 정책을 수행하는 보안 처리부를 포함하고, 상기 정보 분석부가, 상기 수집된 무선신호 및 상태정보를 분석하여 이상 행위 여부를 분석하고 정상 행위 및 이상 행위 유형을 반복적으로 학습하는 기계 학습 엔진과 연동하여 동작하는 것을 특징으로 한다.
바람직하게는, 상기 기계 학습 엔진이, 하나 이상의 상기 유무선 공유기와 통신 연결되고, 각 유무선 공유기로부터 수집된 무선신호 및 상태정보를 수신하여 각 유무선 공유기의 이상 행위 여부를 분석하고, 상기 분석 결과를 반복 학습한다.
또한, 상기 상태정보는, 상기 유무선 공유기의 시스템 자원 및 네트워크 상태에 대한 상태정보를 포함한다.
또한, 상기 정보 분석부는, 상기 유무선 공유기의 정상 동작 상태에 대하여 정의된 정상 기준값 및 상기 유무선 공유기의 이상 동작 상태에 대하여 정의된 이상 기준값 중 하나 이상과 상기 수집된 상태정보를 비교하여 상기 유무선 공유기의 상태를 판단한다. 이때, 상기 기계 학습 엔진은, 상기 유무선 공유기의 이상 행위 여부에 따라 상기 수집된 상태정보를 상기 정상 기준값 및 이상 기준값 중 하나 이상에 반영한다.
또한, 상기의 다른 목적을 달성하기 위하여, 본 발명에 따른 기계 학습 기반으로 유무선 공유기의 이상 행위를 분석하는 방법은, 유무선 공유기의 정상 행위 및 이상 행위 유형을 반복적으로 학습하고 이를 기반으로 유무선 공유기의 이상 행위 여부를 판단하는 방법으로서, 상기 유무선 공유기가 송수신하는 무선신호 및 상기 유무선 공유기의 상태정보를 주기적으로 수집하는 단계, 상기 수집된 무선신호 및 상태정보를 분석하여 상기 유무선 공유기의 이상 행위 여부 및 이상 행위 유형을 판단하는 단계, 상기 유무선 공유기의 동작이 이상 행위인 경우 보안 정책을 수행하는 단계, 그리고 기계 학습 엔진을 통해 상기 분석 및 판단 결과를 이용하여 상기 유무선 공유기의 정상 행위 및 이상 행위 유형을 반복적으로 학습하는 단계를 포함하는 것을 특징으로 한다.
바람직하게는, 상기 기계 학습 엔진이, 하나 이상의 상기 유무선 공유기와 통신 연결되고, 각 유무선 공유기로부터 수집된 무선신호 및 상태정보를 수신하여 각 유무선 공유기의 이상 행위 여부를 분석하고, 상기 분석 결과를 반복 학습한다.
또한, 상기 유무선 공유기의 이상 행위 여부 및 이상 행위 유형을 판단하는 단계가, 상기 유무선 공유기의 정상 동작 상태에 대하여 정의된 정상 기준값, 상기 유무선 공유기의 이상 동작 상태에 대하여 정의된 이상 기준값, 정상 행위의 공통 기준 패턴 및 블랙리스트 중 하나 이상과 상기 수집된 무선신호 및 상태정보를 비교하는 단계와, 기존의 학습 데이터와 상기 수집된 무선신호 및 상태정보를 비교하는 단계를 포함한다.
더욱 바람직하게는, 상기 유무선 공유기의 정상 행위 및 이상 행위 유형을 반복적으로 학습하는 단계가, 무선신호의 분석 결과, 통신 채널의 상태, 상기 유무선 공유기의 이상 행위 유형 및 정보를 누적 저장하는 단계를 포함한다.
또한, 상기의 또 다른 목적을 달성하기 위하여, 본 발명에 따른 기계 학습 기반의 유무선 공유기 이상 행위 분석 시스템은, 유무선 공유기의 정상 행위 및 이상 행위 유형을 반복적으로 학습하고 이를 기반으로 유무선 공유기의 이상 행위 여부를 판단하는 기계 학습 기반의 유무선 공유기 이상 행위 분석 시스템으로서, 상기 유무선 공유기가 송수신하는 무선신호 및 상기 유무선 공유기의 상태정보를 주기적으로 수집하는 정보 수집부, 상기 수집된 무선신호 및 상태정보를 분석하여 상기 유무선 공유기의 동작이 이상 행위인지 여부를 판단하는 정보 분석부 및 상기 유무선 공유기의 동작이 이상 행위인 경우 보안 정책을 수행하는 보안 처리부를 포함하는 하나 이상의 유무선 공유기, 그리고 상기 각 유무선 공유기와 통신 연결되고, 상기 수집된 무선신호 및 상태정보를 분석하여 이상 행위 여부를 분석하고 정상 행위 및 이상 행위 유형을 반복적으로 학습하는 기계 학습 엔진을 포함하는 보안 관리 서버를 포함하는 것을 특징으로 한다.
바람직하게는, 상기 기계 학습 엔진이, 상기 각 유무선 공유기로부터 수집된 무선신호 및 상태정보를 수신하여 각 유무선 공유기의 이상 행위 여부를 분석하고, 상기 분석 결과를 반복 학습한다.
이상 설명한 바대로, 본 발명에 따른 기계 학습 기반으로 이상 행위를 분석하는 유무선 공유기 및 그 방법은 유무선 공유기의 상태 및 무선신호를 탐지 및 분석함으로써 유무선 공유기에 대한 공격을 효과적으로 탐지 및 방어할 수 있다.
또한, 무선신호의 정상행위 및 이상행위 여부, 그리고 그 유형을 반복적으로 학습함으로써 유무선 공유기에 대한 위 또는 공격을 빠르고 정확하게 판단함으로써 유무선 공유기에 대한 공격에 효과적으로 대처할 수 있다.
또한, 유무선 공유기에 대한 공격 유형을 지속적으로 학습하여 악성 행위에 대한 보안 체계를 진화시킴으로써 점차 진화하는 다양한 악성 행위 및 공격 유형에 효과적으로 대응할 수 있다.
도 1은 본 발명에 따른 기계 학습 기반으로 이상 행위를 분석하는 유무선 공유기의 구성도이다.
도 2는 본 발명에 따른 기계 학습 엔진의 동작을 설명하기 위한 흐름도이다.
도 3은 본 발명에 따라 기계 학습 기반으로 유무선 공유기의 이상 행위를 분석하는 과정의 흐름도이다.
이하에서는, 첨부한 도면을 참조하여 본 발명의 장점, 특징 및 바람직한 실시예에 대하여 상세히 설명한다.
도 1은 본 발명에 따른 기계 학습 기반으로 이상 행위를 분석하는 유무선 공유기의 구성도이다. 도 1에 도시한 바와 같이, 본 발명에 따른 유무선 공유기(100)는, 통신부(110), 제어부(120), 저장부(130), 정보 수집부(140), 정보 분석부(150) 및 보안 처리부(160)를 포함한다. 도 1에서는 본 발명의 특징을 설명하기 위하여 유무선 공유기(100)의 일부 구성만을 도시하였으며, 도 1에 도시한 구성 외에도 일반적인 유무선 공유기의 동작을 위한 구성이 포함될 수 있음은 물론이다. 또한, 도 1에 도시한 정보 수집부(140), 정보 분석부(150) 및 보안 처리부(160)는 본 발명의 특징을 설명하기 위하여 기능적으로 구분하여 도시한 것으로, 실제로 각 구성부는 서로 분리 또는 통합된 형태로 구성될 수 있으며, 유무선 공유기(100)의 다른 구성부에 포함된 형태로 구성될 수도 있다. 또한, 상기 각 구성부들은 프로그램 또는 S/W(Software) 형태로 구성되거나, 회로 또는 칩셋 등 H/W(Hardware) 형태로 구성될 수도 있으며, S/W와 H/W가 복합된 형태로 구성될 수도 있다.
유무선 공유기(100)는 유선 또는 무선으로 연결된 단말기(미도시)를 외부 네트워크에 연결하여 데이터 패킷을 송수신하는 기능을 수행한다. 유무선 공유기(100)에 연결되는 단말기는 스마트 폰, 태블릿 PC, 스마트 워치 등의 모바일 디바이스, 스마트 TV, 셋톱박스, 노트북, 데스크탑 컴퓨터 등 네트워크에 연결되어 관련 기능을 제공할 수 있는 다양한 단말기를 포함한다. 유무선 공유기(100)는 정보 수집부(140), 정보 분석부(150) 및 보안 처리부(160)를 통해 무선신호 및 유무선 공유기의 상태정보를 수집 및 분석하고 이상 행위 또는 악성 행위 등을 탐지하여 그에 따른 보안 정책을 수행한다. 또한, 유무선 공유기(100)는 보안 관리 서버(200)와 통신 연결되어 수집된 무선신호 및 상태정보를 제공하고, 보안 관리 서버의 기계 학습 엔진(210)을 통해 무선신호 및 상태정보의 분석 및 이상 행위 여부를 반복적으로 학습한다.
유무선 공유기(100)의 정보 수집부(140), 정보 분석부(150) 및 보안 처리부(160)는 유무선 공유기의 내부에 에이전트(Agent) 형태로 구성될 수도 있고, 별도의 물리적 또는 H/W적으로 독립된 형태로 구성될 수도 있다.
여기서, 에이전트란 특정 목적에 대하여 작업을 수행하는 자율적 프로세스로서, OS/네트워크 등의 안에서 동작할 수 있다. 또한, 에이전트는 다른 에이전트와 정보 교환 및 통신을 통해 문제를 해결할 수 있다. 따라서 정보 수집부(140), 정보 분석부(150) 및 보안 처리부(160)는 유무선 공유기(100)의 하나의 구성요소로서 구성되지만 유무선 공유기의 다른 구성요소와는 독립적으로 동작하여 유무선 공유기의 무선신호 및 상태정보를 수집 및 분석하고 악성 행위나 악성코드/악성파일을 탐지 및 차단할 수 있다. 정보 수집부(140), 정보 분석부(150) 및 보안 처리부(160)는 각 구성부 간 또는 유무선 공유기(100)의 다른 구성부와 데이터 버스(data bus)와 같은 장치 내부의 데이터 통신 인터페이스를 통해 데이터를 송수신할 수 있다.
한편, 정보 수집부(140), 정보 분석부(150) 및 보안 처리부(160)는 물리적 또는 H/W적으로 독립된 형태로 구성될 수도 있으며, 이 경우 상기 각 구성부들은 유무선 공유기(100)와 USB 등 연결 단자나 SoC(System On Chip) 등의 다양한 인터페이스를 통해 연결될 수 있다.
통신부(110)는 유선 또는 무선으로 통신 연결된 단말기에 IP를 할당하고 외부 네트워크를 통신 연결하여 데이터(패킷)를 송수신할 수 있도록 한다.
제어부(120)는 유무선 공유기(100)의 각 구성부의 동작을 제어한다. 구체적으로, 제어부(120)는 통신부(110)의 IP 할당 및 데이터 송수신 동작을 제어하거나, 제조사 서버 또는 업데이트 서버(미도시) 등과 연동하여 유무선 공유기의 펌웨어나 S/W(Software)를 업데이트한다. 또한, 제어부(120)는 펌웨어의 무결성 및 위변조 여부를 검증함으로써 악성코드가 유입되거나 악성 펌웨어가 유무선 공유기에 설치되는 것을 방지할 수 있다. 펌웨어의 무결성 및 위변조 검증은 해쉬(Hash) 알고리즘, CRC 32(Cyclic Redundancy Check 32) 또는 전자서명을 이용한 인증 등 다양한 방법이 사용될 수 있다.
저장부(130)는 유무선 공유기(100)의 동작에 필요한 데이터, 펌웨어 또는 S/W 등을 저장한다.
정보 수집부(140)는 유무선 공유기(100)가 송수신하는 무선신호, 유무선 공유기의 시스템 자원 및 각종 변경 이력 등 상태정보를 주기적으로 수집한다. 구체적으로, 정보 수집부(140)는 통신부(110)를 통해 송수신되는 무선신호 및 데이터를 수집한다. 또한, 정보 수집부(140)는 유무선 공유기의 시스템 자원(CPU, 메모리, 저장공간)의 사용량 및 점유율을 주기적으로 모니터링하고, 통신부(110)를 통한 송수신 데이터 트래픽을 주기적으로 모니터링한다. 정보 수집부(140)는 유무선 공유기(100) 내부에서 데이터 값을 추출하기 위하여 시스템 정보인 CPU 사용량이나 메모리 사용량 등이 기록/저장된 디렉토리를 탐색할 수 있다.
한편, 정보 수집부(140)에 의해 수집되는 상태정보는 시스템 및 네트워크 상태정보와 보안 이벤트 정보를 포함할 수 있다.
시스템 및 네트워크 상태정보는 시스템 자원에 대한 상태정보와 네트워크 자원에 대한 상태정보를 포함할 수 있다. 시스템 상태정보는, 예를 들어 CPU 사용량, 메모리(RAM) 사용량, 저장공간(Disk) 사용량 등을 포함할 수 있다. 또한, 네트워크 상태정보는, 예를 들어 외부로부터 유무선 공유기(100)로 수신되는 데이터의 수신 바이트 수 및 수신 패킷 수, 유무선 공유기로부터 외부로 송신되는 데이터의 송신 바이트 수 및 송신 패킷 수를 포함할 수 있다. 정보 수집부(140)는 유무선 공유기(100)의 시스템 자원의 사용 상태를 모니터링하거나, 유무선 공유기의 시스템 자원의 사용량 정보가 저장되는 저장부(130)의 디렉토리를 탐색함으로써 시스템 상태정보를 수집할 수 있다. 또한, 정보 수집부(140)는 유무선 공유기(100)의 통신부(110)를 통한 송수신 데이터의 트래픽을 모니터링함으로써 네트워크 상태정보를 수집할 수 있다.
또한, 상태정보 중 보안 이벤트 정보는 펌웨어 해쉬(Hash) 및 루트킷(Rootkit) 정보, 스캔 공격 정보, 시스템 DOS(Denial Of Service) 공격 정보, 네트워크 DOS 공격 정보 및 DNS 파밍(Pharming) 공격 정보 등을 포함할 수 있다. 펌웨어 해쉬 및 루트킷 정보는 무결성 검사 결과, 해쉬 알고리즘 및 해쉬값 등의 정보를 포함할 수 있다. 스캔 공격 정보는 스캔 공격 유형 및 스캔 대상 정보 등을 포함할 수 있다. 스캔 공격은 IP 스캔을 통한 공격 및 포트 스캔을 통한 공격으로 구분할 수 있다. 시스템 DOS 공격 정보는 시스템 공격 유형, 발생량 및 시스템 정보를 포함할 수 있으며, 네트워크 DOS 공격 정보는 네트워크 공격 유형, 목적지 IP 주소, 서비스 포트 번호 및 발생량을 포함할 수 있다. 그리고 DNS 파밍 공격 정보는 파밍 IP 주소 및 접속 URL 정보를 포함할 수 있다. 파밍 IP 주소는 파밍 공격을 통해 접속을 유도하려는 IP 주소를 나타내고, 접속 URL 정보는 사용자가 접속을 시도한 URL 정보를 나타낸다.
정보 수집부(140)는 유무선 공유기(100)의 시스템 자원 및 각종 변경 이력 등을 모니터링 및 수집하고 이를 통해 각종 외부 공격 및 내부 악성코드 감염에 의한 이상 동작, 즉 보안 이벤트 정보를 수집할 수 있다. 또한, 정보 수집부(140)는 유무선 공유기(100)가 사전에 정의된 행위 명령 이외의 행위를 할 경우 이를 수집 및 비교 분석함으로써 보안 이벤트 정보를 수집할 수도 있다. 예를 들어, 펌웨어 해쉬 및 루트킷 정보의 경우, 정보 수집부(140)는 제어부(120)에 의한 펌웨어 무결성 검사 결과를 수집하는 방식으로 정보를 수집할 수 있다.
정보 수집부(140)에 의해 수집된 무선신호 및 상태정보는 정보 분석부(150) 및 보안 관리 서버(200)에 제공된다.
정보 분석부(150)는 정보 수집부(140)가 수집한 무선신호 및 상태정보를 분석하여 유무선 공유기(100)의 이상 행위 여부를 판단한다. 구체적으로, 정보 분석부(150)는 정보 수집부(140)가 수집한 무선신호 및 상태정보를 통해 유무선 공유기(100)가 정상 행위인지, 즉 정상 동작하고 있는지 또는 이상 행위인지 여부를 판단한다. 정보 분석부(150)는 보안 관리 서버(200), 특히 보안 관리 서버의 기계 학습 엔진(210)과 연동하여 유무선 공유기의 이상 행위 여부를 판단한다. 기계 학습 엔진(210)은 유무선 공유기(100)의 무선신호 및 상태정보, 그리고 이상 행위 판단 결과 등을 누적하여 저장 및 학습하고 다른 보안 정보 서버에서 제공되는 보안 정보를 지속적으로 학습함으로써 유무선 공유기의 상태에 대한 정확한 판단이 가능하다. 정보 분석부(150)는 이러한 기계 학습 엔진(210)과 연동하여 수집된 정보를 분석하여 유무선 공유기의 상태를 판단하고, 이러한 분석 및 판단 과정을 반복 학습함으로써 판단의 정확도를 지속적으로 향상시킬 수 있다.
정보 분석부(150)와 기계 학습 엔진(210)은 수집된 무선신호 및 상태정보와 정상 기준값을 비교함으로써 유무선 공유기(100)의 동작이 정상 행위인지 이상 행위인지를 판단할 수 있다. 정상 기준값은 유무선 공유기의 동작을 정상 행위로 판단할 수 있는 기준값으로 상태정보의 각 종류별로 범위 또는 임계값의 형태로 정의될 수 있다. 예를 들어, CPU 사용량(점유율)에 대하여 정상 기준값으로 1~10%가 정의될 수 있다. 정상 기준값은 이외에도 메모리 사용량, 트래픽(In/Out Bound), 세션(Session) 등 다양한 시스템/네트워크 자원에 대하여 정의될 수 있다. 한편, 정상 기준값 이외에 유무선 공유기의 동작을 이상 행위로 판단할 수 있는 이상 기준값을 정의할 수도 있다. 예를 들어, CPU 사용량(점유율)에 대하여 이상 기준값으로 25$가 정의될 수 있다. 따라서 정보 분석부(150)와 기계 학습 엔진(210)은 수집된 상태정보 중 CPU 사용량이 10% 이하이면 유무선 공유기의 동작을 정상 행위로 판단하고, 25%를 넘는 경우 이상 행위로 판단할 수 있다. 정보 분석부(150)와 기계 학습 엔진(210)은 수집된 무선신호 및 상태정보와 정상 기준값(또는 이상 기준값)을 비교하여 유무선 공유기의 상태를 판단하고, 유무선 공유기(100)의 동작이 정상 행위인지 이상행위인지에 따라 그 결과를 정상 기준값(또는 이상 기준값)에 반영함으로써 기계 학습을 수행할 수도 있다.
한편, 정보 분석부(150) 및 기계 학습 엔진(210)은 시그니처(Signature) 기반의 룰셋(Rule Set)을 이용하여 악성코드를 탐지/인식할 수 있다. 시그니처는 정책 위반, 취약한 상태, 침입과 관련되었을 수 있는 활동을 나타내는 작업의 상태 또는 패턴이다. 시그니처에 관한 정보로는 속성, 설명 텍스트가 포함될 수 있으며, 파일의 확장자를 포함할 수 있다. 한편, 시그니처 기반 룰셋은 기존의 침입 차단 시스템(IPS: Intrusion Prevention System)의 PCRE(Perl Compatible Regular Expressions) 룰셋과 유사하게 구성될 수 있다. 일반적으로 기존의 악성코드는 파일 확장자를 변경하여 시스템을 속이면서 유입된다. 또한, 악성코드/파일 그 자체를 위와 같이 확장자를 변경하거나, 위와 같은 확장자를 갖는 파일 안에 악성코드를 감추고 유입되기도 한다. 예를 들어, 운영체제로 윈도우즈를 사용하는 시스템의 경우 .exe 확장자로 변경하여 유입을 시도하지만 Patch 형태(.pat 확장자)로 변경하기도 한다. 또한, 위와 같은 확장자 이외에도 문서 파일 형태(.pdf, .hwp, .doc 등)로 변경하기도 한다. 이러한 확장자를 갖는 파일이 시스템 내부로 들어오게 되면 확장자와 관계없이 업데이트나 기타 설정들이 실행되어 악성코드가 시스템에 감염되게 된다. 한편, 유무선 공유기의 경우 대부분 리눅스 운영체제를 사용하므로 위와 같은 확장자의 파일이 전혀 대입되지 않는다. 따라서 정보 분석부(150)와 기계 학습 엔진(210)은 이러한 확장자가 정의된 시그니처 기반의 룰셋을 이용하여 통신부(110)를 통해 송수신되는 데이터를 모니터링 및 분석한다. 또한, 정보 분석부(150) 및 기계 학습 엔진(210)은 이러한 분석 과정을 반복적으로 학습함으로써 악성 파일을 효과적으로 탐지하게 된다.
실시예에 따라, 정보 분석부(150)는 기계 학습 엔진(210)으로부터 획득되는 분석 결과 및 기계 학습 결과를 그대로 적용하지 않고, 해당 유무선 공유기(100)의 고유한 환경이나 상태를 반영할 수도 있다. 예를 들어, 보안 관리 서버(200)가 다수의 유무선 공유기(100)와 통신 연결되어 기계 학습 엔진(210)이 유무선 공유기들로부터 전송되는 무선신호 및 상태정보를 분석하고 이를 반복적으로 학습할 경우, 기계 학습 엔진을 통해 도출되는 분석 결과 및 학습 결과는 각 유무선 공유기의 현재 환경 및 상태가 정확히 반영되지 않을 수도 있다. 즉, 특정 유무선 공유기(100)가 연결된 네트워크가 부하로 인해 속도가 저하될 수도 있고 유무선 공유기의 사용 기간이 늘어나면서 성능 저하가 발생할 수 있다. 따라서 유무선 공유기(100)의 무선신호 및 상태정보를 획일적으로 판단하지 않고, 정보 분석부(150)가 기계 학습 엔진(210)의 분석 결과에 해당 유무선 공유기의 현재 환경 및 상태를 반영(예를 들어 가중치를 부여)할 수도 있다. 또한, 실시예에 따라 보안 관리 서버(200)의 기계 학습 엔진(210)이 각 유무선 공유기(100)의 무선신호 및 상태정보를 통해 각 유무선 공유기의 현재 환경 및 상태를 분석하고 이를 반영하여 유무선 공유기의 상태를 판단할 수도 있다.
한편, 실시예에 따라 정보 분석부(150)가 보안 관리 서버(200)의 기계 학습 엔진(210)과 연동하지 않고 자체적으로 무선신호 및 상태정보를 분석하여 유무선 공유기의 상태를 판단하고 반복적으로 학습을 수행할 수도 있다.
보안 처리부(160)는 정보 분석부(150)의 분석 결과에 따라 그에 따른 조안 정책을 수행한다. 구체적으로, 정보 분석부(150)의 분석 결과 유무선 공유기(100)의 동작이 이상 행위로 판단되는 경우, 즉 악성코드/악성파일 감염 또는 악성행위가 탐지되는 경우 그에 따른 보안 정책을 수행한다. 구체적으로, 정보 분석부(150)의 분석 결과 악성코드/악성파일의 송수신이 감지되는 경우, 보안 처리부(150)는 해당 데이터/파일을 감염 이전 상태로 복구를 시도하고 복구가 불가능한 경우 별도 공간에 격리하거나 삭제할 수 있다. 또한, 보안 처리부(160)는 악성 행위의 유형에 따라 유무선 공유기(100)를 재부팅, 초기화, 펌웨어 등의 재설치 등을 수행할 수도 있다. 예를 들어, 정보 분석부(150)의 분석 결과 악성파일이 유입되어 펌웨어의 취약점을 공격한 것으로 판단되는 경우, 보안 처리부(160)는 악성파일을 삭제하기 위해 유무선 공유기(100)를 재부팅하고 원래의 설치 파일 복원 기능을 수행할 수 있다. 또한, 유무선 공유기(100)가 주변의 공유기나 단말기 등 외부기기와 접속이 이루어지지 않은 상태에서 스스로 특정 행위를 하는 경우(사전 정의된 행동 이외의 행위 명령 등), 보안 처리부(160)는 유무선 공유기가 외부로 악성 공격을 수행하는 것으로 판단하여 모든 활동을 강제로 중지 시키고 신뢰된 기존의 운영체제 및 설정 파일을 복원 또는 초기화 과정을 수행할 수 있다. 보안 처리부(160)가 수행하는 보안 정책은 저장부(130) 또는 별도의 데이터베이스에 저장될 수 있다. 또한, 보안 처리부(160)는 정보 분석부(150) 및 기계 학습 엔진의 분석 결과에 따라 수행할 보안 정책을 보안 관리 서버(200)로부터 수신할 수도 있다.
보안 처리부(160)는 보안 정책을 수행한 후 보안 처리 결과를 저장부(130)에 로그 파일 형태로 저장하거나, 보안 관리 서버(200)로 전송할 수 있다. 보안 처리 결과는 악성 행위/이상 행위의 종류 및 정보, 발생 시간, 실행한 보안 정책 정보 및 처리 결과(삭제/격리/재설치, 처리 성공/실패 등) 등을 포함할 수 있다.
한편, 보안 처리부(160)는 정보 분석부(150)의 분석 결과 유무선 공유기(100)의 동작이 정상 행위인지 이상 행위인지 여부를 유무선 공유기의 별도 출력장치(미도시)를 통해 출력할 수 있다. 출력장치는 유무선 공유기가 정상 상태일 때와 비정상 상태일 때 이를 사용자가 식별 가능하도록 (시각 또는 청각) 정보를 출력하며, 디스플레이, 유무선 공유기의 상태에 따라 다른 색을 발광하는 LED 램프, 유무선 공유기가 이상 행위를 할 경우 경고음을 출력하는 스피커 중 하나 이상이 사용될 수 있다. 실시예에 따라 출력장치는 정보 수집부(140)가 수집한 상태정보(예를 들어 시스템 상태정보)를 사용자가 확인할 수 있도록 UI(User Interface)를 구성하여 출력할 수도 있다.
보안 관리 서버(200)는 유무선 공유기(100)와 통신 연결되며 정보 수집부(140)가 수집한 유무선 공유기의 무선신호 및 상태정보를 수신하여 이를 분석하고 분석 결과를 지속적/반복적으로 학습한다. 보안 관리 서버(200)는 복수의 유무선 공유기(100)와 통신 연결될 수 있다. 보안 관리 서버(200)는 기계 학습 엔진(210) 및 보안 정보 데이터베이스(220)를 포함한다.
기계 학습 엔진(210)은 유무선 공유기(100)의 정보 수집부(140)가 수집한 무선신호 및 상태정보를 수신하고, 정보 분석부(150)와 연동하여 수집된 정보를 분석하여 유무선 공유기의 동작이 정상 행위인지 이상 행위인지, 그리고 이상 행위인 경우 그 유형 등을 판단한다. 또한, 기계 학습 엔진(210)은 이러한 분석 및 판단 결과, 즉 이상 행위와 정상 행위의 유형을 반영하고 반복적으로 기계 학습(Machine Learning)함으로써 유무선 공유기의 동작/상태에 대한 판단의 정확도를 향상시킨다. 구체적으로, 기계 학습 엔진(210)은 정보 수집부(140)에서 수집한 무선신호 및 상태정보와 정상 기준값(또는 이상 기준값)을 비교하여 유무선 공유기가 정상 행위를 수행하는지 이상 행위를 수행하는지, 또한 이상 행위의 경우 그 행위 유형을 판단할 수 있다. 또한, 기계 학습 엔진(210)은 분석 결과 정상 행위인지 이상 행위인지에 따라 수집된 무선신호 및 상태정보를 정상 기준값(또는 이상 기준값)에 반영하는 형태로 학습을 수행할 수 있다.
무선 L2 단에서 발생하는 무선신호, 즉 노트북이나 스마트 폰 등 단말기가 유무선 공유기(100)에 접속할 때 발생하는 무선신호 또는 유무선 공유기가 자신의 무선 영역에 단말기의 접속을 유도하기 위하여 발생하는 비콘 메시지(Beacon Message) 등 무선신호의 경우 일반적인 신호 분석으로는 악성 행위 여부 등의 판단이 어렵다. 따라서 기계 학습 엔진(210)이 이러한 무선신호 등에 대한 기계 학습을 반복함으로써 악성 코드 또는 악성 행위를 무선 L2 단에서 사전에 차단할 수 있도록 한다. 또한, 유무선 공유기(100)의 상태정보, 예를 들어 시스템/네트워크 자원(CPU, 트래픽 등)을 단순하게 판단할 경우 이상 행위에 대한 판단 오류가 발생할 가능성이 커질 수 있다. 기계 학습 엔진(210)은 유무선 공유기(100)의 정상 행위와 이상 행위의 유형과, 정상 행위 또는 이상 행위일 때의 각각의 상태정보(예를 들어 CPU 사용량, 트래픽 등), 각 상태정보 간의 연관 관계 및 변화(예를 들어 CPU 사용량과 트래픽의 변화 상태 등), 무선신호 분석 결과 등 다양한 정보를 반복적으로 학습함으로써 유무선 공유기의 동작이 이상 행위인지 여부를 정확하게 판단할 수 있다. 따라서 유무선 공유기(100)의 상태를 정확하게 판단하고 무선신호의 미세한 변화도 정확하게 감지하여 이상 행위/악성 행위에 효과적으로 대응할 수 있다.
한편, 기계 학습 엔진(210)은 오픈소스(Open Source) 라이브러리, 엔진 및 API(Application Programming Interface) 등을 사용할 수 있다. 예를 들어, 기계 학습 엔진(210)은 'Spark' 또는 'mahout'와 같은 라이브러리나, 구글의 'TensorFlow'와 같은 학습 엔진, IBM의 'WATSON'과 같은 API 등을 사용할 수 있다.
보안 정보 데이터베이스(220)는 기계 학습 엔진(210)의 분석 및 판단을 위한 기준값 및 학습 결과를 저장한다. 구체적으로, 보안 정보 데이터베이스(220)는 유무선 공유기(100)의 정상 행위 또는 이상 행위에 해당하는 무선신호 및 상태정보 등을 누적하여 저장할 수 있다. 또한, 보안 정보 데이터베이스(220)는 유무선 공유기의 정상 기준값 및 이상 기준값을 저장할 수 있다. 보안 정보 데이터베이스(220)에 저장되는 정상 기준값 및 이상 기준값은 기계 학습 엔진(210)의 분석 및 학습 결과가 반영되면서 변경/업데이트될 수 있다. 또한, 보안 정보 데이터베이스(220)는 각 유무선 공유기(100)의 보안 처리 결과와 보안 정책을 저장할 수도 있다.
도 2는 본 발명에 따른 기계 학습 엔진의 동작을 설명하기 위한 흐름도로서, 정보 수집부에서 수집한 정보를 이용하여 기계 학습 엔진이 유무선 공유기의 이상 행위 여부를 분석하고 기계 학습을 수행하는 과정을 도시한 도이다. 이하에서는, 도 2를 참조하여 본 발명에 따른 기계 학습 엔진의 동작에 대하여 설명한다.
정보 수집부(140)는 유무선 공유기의 정보, 즉 무선신호 및 상태정보를 수집한다(ST210). 정보 수집부(140)에 의해 수집된 정보는 정보 분석부(150) 및 기계 학습 엔진(210)에 제공된다.
기계 학습 엔진(210)은 정보 수집부(140)에 의해 수집된 정보를 이용하여 유무선 공유기(100)의 이상 행위 여부를 판단 및 분석하고 분석 결과를 반영한다.
먼저, 기계 학습 엔진(210)은 정보 수집부(140)에 의해 수집된 정보에 대하여 통계 및 룰을 이용하여 비교 및 탐지하고 학습 모델을 분석 및 탐지한다(ST220, ST230). 구체적으로, 기계 학습 엔진(210)은 보안 정보 데이터베이스(220)에 저장된 정보 중 정상 기준값/이상 기준값, 정상 행위 공통 기준 패턴, 블랙리스트 등과 정보 수집부(140)에 의해 수집된 정보를 비교하여 유무선 공유기의 이상 행위 여부를 판단할 수 있다. 또한, 기계 학습 엔진(210)은 보안 정보 데이터베이스(220)에 저장된 기존의 학습 데이터, 예를 들어 사전 공통/이상 반응 행동 및 정책 학습 데이터와, 정보 수집부(140)에 의해 수집된 정보를 비교하여 유무선 공유기의 이상 행위 여부를 판단할 수 있다.
또한, 기계 학습 엔진(210)은 이상 행위 정보를 누적하여 저장하고 기계 학습 기반의 모델링 학습을 수행한다(ST240, ST250). 구체적으로, 기계 학습 엔진(210)은 무선신호의 분석 결과, 통신 채널의 상태, 유무선 공유기의 이상 행위 유형 및 정보 등을 누적하여 보안 정보 데이터베이스(220)에 저장한다. 또한, 기계 학습 데이터베이스(210)는 ST220 및 ST230 단계에서의 비교/분석 과정 및 그 결과와 이상 행위 정보 등을 반복적으로 학습한다.
기계 학습 엔진(210)은 ST220 내지 ST250 단계를 통해 통신 연결된 유무선 공유기(100)의 정보를 분석하고 분석 과정 및 결과를 반복적으로 학습함으로써 유무선 공유기의 이상 행위 여부 및 그 유형을 정확히 판단할 수 있으며, 미세한 신호 및 상태정보의 변화를 통해서도 유무선 공유기의 상태 변화 및 이상 행위/악성 행위를 탐지할 수 있게 된다.
도 3은 본 발명에 따라 기계 학습 기반으로 유무선 공유기의 이상 행위를 분석하는 과정의 흐름도이다. 이하에서는, 도 3을 참조하여 본 발명에 따른 기계 학습 기반으로 유무선 공유기의 이상 행위를 분석하는 과정에 대하여 설명한다.
정보 수집부(140)는 유무선 공유기(100)의 정보, 즉 유무선 공유기를 통해 송수신되는 무선신호 및 유무선 공유기의 상태정보를 주기적으로 수집한다(ST310). 수집된 정보는 정보 분석부(150) 및 보안 관리 서버(200)의 기계 학습 엔진(210)에 제공된다.
정보 분석부(150)와 기계 학습 엔진(210)은 정보 수집부(140)에 의해 수집된 정보를 분석하여 이상 행위 여부를 판단한다(ST320). 구체적으로, 정보 분석부(150)와 기계 학습 엔진(210)은 유무선 공유기(100)를 통해 송수신되는 무선신호를 신호 분석하거나, 유무선 공유기의 상태정보와 정상 기준값/이상 기준값을 비교하거나, 시그니처 기반의 룰셋을 이용하여 유무선 공유기를 통해 송수신되는 파일/데이터에 악성 코드가 포함되어 있는지 여부를 분석한다. 정보 분석부(150)와 기계 학습 엔진(210)은 이러한 분석을 통해 유무선 공유기(100)의 동작이 정상 행위인지 또는 이상 행위인지를 판단하고, 이상 행위인 경우 그 유형 등을 판단한다.
ST320 단계의 분석 결과 정상 행위인 경우 기계 학습 엔진(210)은 정보 수집부(140)가 수집한 정보 및 분석 결과를 보안 정보 데이터베이스(220)에 저장 및 반영하고 분석 과정 및 결과를 학습한다(ST350).
한편, ST320 단계의 분석 결과 이상 행위인 경우, 보안 처리부(160)는 이상 행위의 유형에 따라 보안 정책을 수행한다(ST340). 또한, 보안 처리부(160)는 보안 정책을 수행한 결과, 즉 보안 처리 결과를 저장부(130)에 저장하고 보안 관리 서버(200)에 전송한다.
기계 학습 엔진(210)은 정보 수집부(140)가 수집한 정보 및 분석 결과, 이상 행위 유형 및 보안 처리 결과 등을 보안 정보 데이터베이스(220)에 저장 및 반영하고 분석/처리 과정 및 결과를 학습한다(ST350).
기계 학습 엔진(210)은 통신 연결된 각 유무선 공유기(100)에 대하여 ST320 내지 ST350 단계를 반복적으로 수행하면서 무선신호의 분석, 상태정보의 분석 및 판단, 정상 행위/이상 행위의 패턴 및 유형에 대하여 반복적으로 학습한다. 이를 통해, 기계 학습 엔진(210)을 고도화하여 각 유무선 공유기(100)의 이상 행위 여부 및 이상 행위 유형을 효과적으로 탐지/판단할 수 있다.
한편, 상기에서는 본 발명의 구성이 유무선 공유기에 적용된 실시예를 중심으로 설명하였으나, 유무선 공유기 이외에도 유무선 게이트웨이 또는 다양한 네트워크 장비에 적용될 수 있음은 물론이다.
본 발명의 바람직한 실시예에 대해 특정 용어들을 사용하여 기재하였으나, 그러한 기재는 오로지 본 발명을 설명하기 위한 것이며, 다음의 청구범위의 기술적 사상 및 범위로부터 이탈되지 않는 범위 내에서 다양하게 변경될 수 있는 것으로 이해되어야 한다.
100: 유무선 공유기 110: 통신부
120: 제어부 130: 저장부
140: 정보 수집부 150: 정보 분석부
160: 보안 처리부 200: 보안 관리 서버
210: 기계 학습 엔진 220: 보안 정보 데이터베이스

Claims (11)

  1. 유무선 공유기의 정상 행위 및 이상 행위 유형을 반복적으로 학습하고 이를 기반으로 유무선 공유기의 이상 행위 여부를 판단하는 유무선 공유기로서,
    상기 유무선 공유기가 송수신하는 무선신호 및 상기 유무선 공유기의 상태정보를 주기적으로 수집하는 정보 수집부;
    상기 수집된 무선신호 및 상태정보를 분석하여 상기 유무선 공유기의 동작이 이상 행위인지 여부를 판단하는 정보 분석부; 및
    상기 유무선 공유기의 동작이 이상 행위인 경우 보안 정책을 수행하는 보안 처리부를 포함하고,
    상기 정보 분석부가, 상기 수집된 무선신호 및 상태정보를 분석하여 이상 행위 여부를 분석하고 정상 행위 및 이상 행위 유형을 반복적으로 학습하는 기계 학습 엔진과 연동하여 동작하고,
    상기 기계 학습 엔진이, 하나 이상의 상기 유무선 공유기와 통신 연결되고, 각 유무선 공유기로부터 수집된 무선신호 및 상태정보를 수신하여 각 유무선 공유기의 이상 행위 여부를 분석하고, 상기 분석 결과를 반복 학습하고,
    상기 상태정보가, 상기 유무선 공유기의 시스템 자원에 대한 상태정보인 시스템 상태정보, 상기 유무선 공유기의 네트워크 자원에 대한 상태정보인 네트워크 상태정보 및 상기 유무선 공유기의 외부 공격 여부 및 악성행위에 대한 정보인 보안 이벤트 정보를 포함하고,
    상기 시스템 상태정보가 CPU 사용량, 메모리 사용량 및 저장공간 사용량을 포함하고, 상기 네트워크 상태정보가 외부로부터 상기 유무선 공유기로 수신되는 데이터의 수신 바이트수 및 수신 패킷수, 상기 유무선 공유기로부터 외부로 송신되는 데이터의 송신 바이트수 및 송신 패킷수를 포함하고, 상기 보안 이벤트 정보가 펌웨어 해쉬(Hash) 및 루트킷(Rootkit) 정보, 스캔 공격 정보, 시스템 DOS(Denial Of Service) 공격 정보, 네트워크 DOS 공격 정보 및 DNS 파밍(Pharming) 공격 정보 중 하나 이상을 포함하고,
    상기 정보 분석부와 상기 기계 학습 엔진이, 상기 유무선 공유기의 정상 동작 상태에 대하여 정의된 정상 기준값 및 상기 유무선 공유기의 이상 동작 상태에 대하여 정의된 이상 기준값 중 하나 이상과 상기 수집된 무선 신호와 상태정보를 비교하여 상기 유무선 공유기의 상태를 판단하고,
    상기 기계 학습 엔진이, 상기 판단 결과 상기 유무선 공유기의 이상 행위 여부에 따라 상기 수집된 상태정보를 상기 정상 기준값 및 이상 기준값 중 하나 이상에 반영함으로써 기계 학습을 수행하되, 상기 유무선 공유기의 정상 행위와 이상 행위의 유형, 상기 유무선 공유기의 정상 행위와 이상 행위일 때의 CPU 사용량과 트래픽을 포함하는 상태정보, 상기 CPU 사용량과 상기 트래픽의 변화 상태를 포함하는 각 상태정보 간의 연관 관계와 변화 및 상기 무선신호의 분석 결과를 반복적으로 학습하고,
    상기 정보 분석부가, 상기 기계 학습 엔진으로부터 획득되는 분석 결과 및 기계 학습 결과에 상기 유무선 공유기의 현재 환경 및 상태를 반영한 가중치를 부여하고,
    상기 기계 학습 엔진이, 각 유무선 공유기의 무선신호 및 상태정보를 통해 각 유무선 공유기의 현재 환경 및 상태를 분석하고 분석결과를 반영하여 각 유무선 공유기의 상태를 판단하고,
    상기 정보 분석부와 상기 기계 학습 엔진이, 악성코드를 유입하기 위해 변경되는 파일의 확장자 정보가 정의된 시그니처 기반의 룰셋을 이용하여 상기 유무선 공유기를 통해 송수신되는 데이터를 모니터링 및 분석하고, 상기 분석 과정을 반복적으로 학습하는 것을 특징으로 하는 기계 학습 기반으로 이상 행위를 분석하는 유무선 공유기.
  2. 삭제
  3. 삭제
  4. 삭제
  5. 삭제
  6. 유무선 공유기의 정상 행위 및 이상 행위 유형을 반복적으로 학습하고 이를 기반으로 유무선 공유기의 이상 행위 여부를 판단하는 방법으로서,
    상기 유무선 공유기가 송수신하는 무선신호 및 상기 유무선 공유기의 상태정보를 주기적으로 수집하는 단계;
    상기 수집된 무선신호 및 상태정보를 분석하여 상기 유무선 공유기의 이상 행위 여부 및 이상 행위 유형을 판단하는 단계;
    상기 유무선 공유기의 동작이 이상 행위인 경우 보안 정책을 수행하는 단계; 및
    기계 학습 엔진을 통해 상기 분석 및 판단 결과를 이용하여 상기 유무선 공유기의 정상 행위 및 이상 행위 유형을 반복적으로 학습하는 단계를 포함하고,
    상기 기계 학습 엔진이, 하나 이상의 상기 유무선 공유기와 통신 연결되고, 각 유무선 공유기로부터 수집된 무선신호 및 상태정보를 수신하여 각 유무선 공유기의 이상 행위 여부를 분석하고, 상기 분석 결과를 반복 학습하고,
    상기 상태정보가, 상기 유무선 공유기의 시스템 자원에 대한 상태정보인 시스템 상태정보, 상기 유무선 공유기의 네트워크 자원에 대한 상태정보인 네트워크 상태정보 및 상기 유무선 공유기의 외부 공격 여부 및 악성행위에 대한 정보인 보안 이벤트 정보를 포함하고,
    상기 시스템 상태정보가 CPU 사용량, 메모리 사용량 및 저장공간 사용량을 포함하고, 상기 네트워크 상태정보가 외부로부터 상기 유무선 공유기로 수신되는 데이터의 수신 바이트수 및 수신 패킷수, 상기 유무선 공유기로부터 외부로 송신되는 데이터의 송신 바이트수 및 송신 패킷수를 포함하고, 상기 보안 이벤트 정보가 펌웨어 해쉬(Hash) 및 루트킷(Rootkit) 정보, 스캔 공격 정보, 시스템 DOS(Denial Of Service) 공격 정보, 네트워크 DOS 공격 정보 및 DNS 파밍(Pharming) 공격 정보 중 하나 이상을 포함하고,
    상기 유무선 공유기의 이상 행위 여부 및 이상 행위 유형을 판단하는 단계가,
    상기 유무선 공유기의 정상 동작 상태에 대하여 정의된 정상 기준값, 상기 유무선 공유기의 이상 동작 상태에 대하여 정의된 이상 기준값, 정상 행위의 공통 기준 패턴 및 블랙리스트 중 하나 이상과 상기 수집된 무선신호 및 상태정보를 비교하는 단계; 및
    기존의 학습 데이터와 상기 수집된 무선신호 및 상태정보를 비교하는 단계를 포함하고,
    상기 유무선 공유기의 정상 행위 및 이상 행위 유형을 반복적으로 학습하는 단계가,
    상기 판단 결과 상기 유무선 공유기의 이상 행위 여부에 따라 상기 수집된 상태정보를 상기 정상 기준값 및 이상 기준값 중 하나 이상에 반영함으로써 기계 학습을 수행하되, 상기 유무선 공유기의 정상 행위와 이상 행위의 유형, 상기 유무선 공유기의 정상 행위와 이상 행위일 때의 CPU 사용량과 트래픽을 포함하는 상태정보, 상기 CPU 사용량과 상기 트래픽의 변화 상태를 포함하는 각 상태정보 간의 연관 관계와 변화 및 상기 무선신호의 분석 결과를 반복적으로 학습하는 단계를 포함하고,
    상기 유무선 공유기의 이상 행위 여부 및 이상 행위 유형을 판단하는 단계가,
    상기 기계 학습 엔진으로부터 획득되는 분석 결과 및 기계 학습 결과에 상기 유무선 공유기의 현재 환경 및 상태를 반영한 가중치를 부여하는 단계; 및
    악성코드를 유입하기 위해 변경되는 파일의 확장자 정보가 정의된 시그니처 기반의 룰셋을 이용하여 상기 유무선 공유기를 통해 송수신되는 데이터를 모니터링 및 분석하고, 상기 분석 과정을 반복적으로 학습하는 단계를 포함하고,
    상기 기계 학습 엔진이, 각 유무선 공유기의 무선신호 및 상태정보를 통해 각 유무선 공유기의 현재 환경 및 상태를 분석하고 분석결과를 반영하여 각 유무선 공유기의 상태를 판단하는 것을 특징으로 하는 기계 학습 기반으로 유무선 공유기의 이상 행위를 분석하는 방법.
  7. 삭제
  8. 삭제
  9. 삭제
  10. 유무선 공유기의 정상 행위 및 이상 행위 유형을 반복적으로 학습하고 이를 기반으로 유무선 공유기의 이상 행위 여부를 판단하는 기계 학습 기반의 유무선 공유기 이상 행위 분석 시스템으로서,
    상기 유무선 공유기가 송수신하는 무선신호 및 상기 유무선 공유기의 상태정보를 주기적으로 수집하는 정보 수집부, 상기 수집된 무선신호 및 상태정보를 분석하여 상기 유무선 공유기의 동작이 이상 행위인지 여부를 판단하는 정보 분석부 및 상기 유무선 공유기의 동작이 이상 행위인 경우 보안 정책을 수행하는 보안 처리부를 포함하는 하나 이상의 유무선 공유기; 및
    상기 각 유무선 공유기와 통신 연결되고, 상기 수집된 무선신호 및 상태정보를 분석하여 이상 행위 여부를 분석하고 정상 행위 및 이상 행위 유형을 반복적으로 학습하는 기계 학습 엔진을 포함하는 보안 관리 서버를 포함하고,
    상기 기계 학습 엔진이, 하나 이상의 상기 유무선 공유기와 통신 연결되고, 각 유무선 공유기로부터 수집된 무선신호 및 상태정보를 수신하여 각 유무선 공유기의 이상 행위 여부를 분석하고, 상기 분석 결과를 반복 학습하고,
    상기 상태정보가, 상기 유무선 공유기의 시스템 자원에 대한 상태정보인 시스템 상태정보, 상기 유무선 공유기의 네트워크 자원에 대한 상태정보인 네트워크 상태정보 및 상기 유무선 공유기의 외부 공격 여부 및 악성행위에 대한 정보인 보안 이벤트 정보를 포함하고,
    상기 시스템 상태정보가 CPU 사용량, 메모리 사용량 및 저장공간 사용량을 포함하고, 상기 네트워크 상태정보가 외부로부터 상기 유무선 공유기로 수신되는 데이터의 수신 바이트수 및 수신 패킷수, 상기 유무선 공유기로부터 외부로 송신되는 데이터의 송신 바이트수 및 송신 패킷수를 포함하고, 상기 보안 이벤트 정보가 펌웨어 해쉬(Hash) 및 루트킷(Rootkit) 정보, 스캔 공격 정보, 시스템 DOS(Denial Of Service) 공격 정보, 네트워크 DOS 공격 정보 및 DNS 파밍(Pharming) 공격 정보 중 하나 이상을 포함하고,
    상기 정보 분석부와 상기 기계 학습 엔진이, 상기 유무선 공유기의 정상 동작 상태에 대하여 정의된 정상 기준값 및 상기 유무선 공유기의 이상 동작 상태에 대하여 정의된 이상 기준값 중 하나 이상과 상기 수집된 무선 신호와 상태정보를 비교하여 상기 유무선 공유기의 상태를 판단하고,
    상기 기계 학습 엔진이, 상기 판단 결과 상기 유무선 공유기의 이상 행위 여부에 따라 상기 수집된 상태정보를 상기 정상 기준값 및 이상 기준값 중 하나 이상에 반영함으로써 기계 학습을 수행하되, 상기 유무선 공유기의 정상 행위와 이상 행위의 유형, 상기 유무선 공유기의 정상 행위와 이상 행위일 때의 CPU 사용량과 트래픽을 포함하는 상태정보, 상기 CPU 사용량과 상기 트래픽의 변화 상태를 포함하는 각 상태정보 간의 연관 관계와 변화 및 상기 무선신호의 분석 결과를 반복적으로 학습하고,
    상기 정보 분석부가, 상기 기계 학습 엔진으로부터 획득되는 분석 결과 및 기계 학습 결과에 상기 유무선 공유기의 현재 환경 및 상태를 반영한 가중치를 부여하고,
    상기 기계 학습 엔진이, 각 유무선 공유기의 무선신호 및 상태정보를 통해 각 유무선 공유기의 현재 환경 및 상태를 분석하고 분석결과를 반영하여 각 유무선 공유기의 상태를 판단하고,
    상기 정보 분석부와 상기 기계 학습 엔진이, 악성코드를 유입하기 위해 변경되는 파일의 확장자 정보가 정의된 시그니처 기반의 룰셋을 이용하여 상기 유무선 공유기를 통해 송수신되는 데이터를 모니터링 및 분석하고, 상기 분석 과정을 반복적으로 학습하는 것을 특징으로 하는 기계 학습 기반의 유무선 공유기 이상 행위 분석 시스템.
  11. 삭제
KR1020170035830A 2017-03-22 2017-03-22 기계 학습 기반으로 이상 행위를 분석하는 유무선 공유기 및 그 방법 KR101964148B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020170035830A KR101964148B1 (ko) 2017-03-22 2017-03-22 기계 학습 기반으로 이상 행위를 분석하는 유무선 공유기 및 그 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020170035830A KR101964148B1 (ko) 2017-03-22 2017-03-22 기계 학습 기반으로 이상 행위를 분석하는 유무선 공유기 및 그 방법

Publications (2)

Publication Number Publication Date
KR20180107789A KR20180107789A (ko) 2018-10-04
KR101964148B1 true KR101964148B1 (ko) 2019-04-02

Family

ID=63862908

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020170035830A KR101964148B1 (ko) 2017-03-22 2017-03-22 기계 학습 기반으로 이상 행위를 분석하는 유무선 공유기 및 그 방법

Country Status (1)

Country Link
KR (1) KR101964148B1 (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111907559A (zh) * 2020-06-29 2020-11-10 中铁第一勘察设计院集团有限公司 铁路信号车地信息查询显示方法
KR20210142443A (ko) * 2020-05-18 2021-11-25 국방과학연구소 사이버 공간에서 실시간 공격 탐지를 위한 시간에 따른 지속적인 적응형 학습을 제공하는 방법 및 시스템

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102234448B1 (ko) * 2020-07-01 2021-04-01 (주)현선디스플레이 디스플레이 장치의 실시간 관리시스템 및 이를 이용한 관리방법
KR102391342B1 (ko) * 2020-11-10 2022-04-28 주식회사 에스지 광케이블 해킹 감시 시스템 및 이를 이용한 해킹 감시 방법
US20220377005A1 (en) * 2021-05-24 2022-11-24 Cisco Technology, Inc. Safety net engine for machine learning-based network automation
KR102468193B1 (ko) * 2022-01-21 2022-11-17 퀀텀테크엔시큐 주식회사 IP-Cam 모니터링 방법 및 장치

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20070054067A (ko) * 2005-11-22 2007-05-28 충남대학교산학협력단 무선 액세스 포인트 장치 및 그를 이용한 네트워크 트래픽침입탐지 및 차단방법
KR100947211B1 (ko) * 2008-02-21 2010-03-11 주식회사 조은시큐리티 능동형 보안 감사 시스템

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20210142443A (ko) * 2020-05-18 2021-11-25 국방과학연구소 사이버 공간에서 실시간 공격 탐지를 위한 시간에 따른 지속적인 적응형 학습을 제공하는 방법 및 시스템
KR102405799B1 (ko) * 2020-05-18 2022-06-07 국방과학연구소 사이버 공간에서 실시간 공격 탐지를 위한 시간에 따른 지속적인 적응형 학습을 제공하는 방법 및 시스템
CN111907559A (zh) * 2020-06-29 2020-11-10 中铁第一勘察设计院集团有限公司 铁路信号车地信息查询显示方法
CN111907559B (zh) * 2020-06-29 2022-09-06 中铁第一勘察设计院集团有限公司 铁路信号车地信息查询显示方法

Also Published As

Publication number Publication date
KR20180107789A (ko) 2018-10-04

Similar Documents

Publication Publication Date Title
US10902117B1 (en) Framework for classifying an object as malicious with machine learning for deploying updated predictive models
KR101964148B1 (ko) 기계 학습 기반으로 이상 행위를 분석하는 유무선 공유기 및 그 방법
US10095866B2 (en) System and method for threat risk scoring of security threats
KR101689298B1 (ko) 보안이벤트 자동 검증 방법 및 장치
Kruegel et al. Alert verification determining the success of intrusion attempts
KR101377014B1 (ko) 면역 데이터베이스 기반의 악성코드 진단 방법 및 시스템
US8381303B2 (en) System and method for attack and malware prevention
WO2015149663A1 (zh) 一种智能电网嵌入式设备网络攻击诱捕系统和诱捕方法
US11328056B2 (en) Suspicious event analysis device and related computer program product for generating suspicious event sequence diagram
EP2517437A1 (en) Intrusion detection in communication networks
CN108369541B (zh) 用于安全威胁的威胁风险评分的系统和方法
US11258812B2 (en) Automatic characterization of malicious data flows
JP6341964B2 (ja) 悪意のあるコンピュータシステムを検出するシステム及び方法
EP3281114A1 (en) Cyber security system and method using intelligent agents
KR101923054B1 (ko) 시그니쳐 기반으로 악성행위를 자체 탐지하는 유무선 게이트웨이 및 그 탐지 방법
WO2015178002A1 (ja) 情報処理装置、情報処理システム及び通信履歴解析方法
KR101922594B1 (ko) 상태정보 모니터링을 통해 상태를 탐지하는 유무선 공유기, 유무선 공유기의 상태 탐지 장치 및 그 방법
KR101153115B1 (ko) 해킹 툴을 탐지하는 방법, 서버 및 단말기
CN114697049B (zh) WebShell检测方法及装置
EP1751651A1 (en) Method and systems for computer security
CN115396233A (zh) 一种海量终端蜜罐自动化部署与撤销的方法和装置
Oh et al. Detection of Malware for Android Smartphones

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant