KR102001813B1 - Apparatus and method for detecting abnormal behavior of nonstandard protocol payload using deep neural network algorithm - Google Patents

Apparatus and method for detecting abnormal behavior of nonstandard protocol payload using deep neural network algorithm Download PDF

Info

Publication number
KR102001813B1
KR102001813B1 KR1020180157871A KR20180157871A KR102001813B1 KR 102001813 B1 KR102001813 B1 KR 102001813B1 KR 1020180157871 A KR1020180157871 A KR 1020180157871A KR 20180157871 A KR20180157871 A KR 20180157871A KR 102001813 B1 KR102001813 B1 KR 102001813B1
Authority
KR
South Korea
Prior art keywords
payload
module
data packet
mask pattern
learning
Prior art date
Application number
KR1020180157871A
Other languages
Korean (ko)
Inventor
문덕력
오미룡
강형구
Original Assignee
한국남동발전 주식회사
온시큐리티 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국남동발전 주식회사, 온시큐리티 주식회사 filed Critical 한국남동발전 주식회사
Priority to KR1020180157871A priority Critical patent/KR102001813B1/en
Application granted granted Critical
Publication of KR102001813B1 publication Critical patent/KR102001813B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/24Traffic characterised by specific attributes, e.g. priority or QoS
    • H04L47/2441Traffic characterised by specific attributes, e.g. priority or QoS relying on flow classification, e.g. using integrated services [IntServ]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers

Abstract

Disclosed is an apparatus to detect the abnormal behavior of nonstandard protocol payload by using a DNN algorithm. The abnormal behavior detecting apparatus includes: a data packet collecting module collecting a data packet in real time in accordance with a nonstandard protocol under an industrial control system environment; a data packet classification module outputting payload by parsing the data packet collected in real time by the data packet collecting module; a payload mask pattern generating module generating a payload mask pattern in relation to the payload outputted from the data packet classification module; a payload mask pattern application module applying the payload mask pattern generated by the payload mask pattern generating module to the payload of the data packet collected in real time by the data packet collecting module; a payload normalizing module normalizing the payload to which the payload mask pattern has been applied by the payload mask pattern application module; a learning data set generating module generating a learning data set for deep learning through a DNN algorithm by using the payload normalized by the payload normalizing module; and an abnormal behavior detecting module detecting the abnormal behavior of the nonstandard protocol data packet collected by the data packet collecting module by conducting deep learning based on the DNN algorithm by using the learning data set generated by the learning data set generating module.

Description

DNN 알고리즘을 이용한 비표준 프로토콜 페이로드 이상행위 탐지 장치 및 방법{APPARATUS AND METHOD FOR DETECTING ABNORMAL BEHAVIOR OF NONSTANDARD PROTOCOL PAYLOAD USING DEEP NEURAL NETWORK ALGORITHM}[0001] APPARATUS AND METHOD FOR DETECTING ABNORMAL BEHAVIOR OF NONSTANDARD PROTOCOL PAYLOAD USING DEEP NEURAL NETWORK ALGORITHM [0002]

본 발명의 개념에 따른 실시 예는 비표준 프로토콜 페이로드에 대한 이상행위를 탐지하는 기술에 관한 것으로서, 보다 구체적으로는 산업 제어 시스템 환경 하에 DNN 알고리즘을 이용하여 비표준 프로토콜의 페이로드를 학습하고 이를 통해 페이로드의 이상행위를 탐지하는 장치 및 방법에 관한 것이다. An embodiment according to the concept of the present invention relates to a technique for detecting anomalous behavior for a non-standard protocol payload, and more particularly, to a payload of a non-standard protocol using an DNN algorithm under an industrial control system environment, To an apparatus and method for detecting an abnormal behavior of a load.

산업제어시스템(Industrial Control System, ICS)은 전력, 가스, 수도, 교통 등의 국가 주요기반시설 및 산업분야에서 원거리에 산재 된 시스템의 효과적인 원격 모니터링 및 제어를 위해 필수적으로 사용되는 시스템이다.Industrial Control System (ICS) is an essential system for effective remote monitoring and control of distant systems in major national infrastructure and industrial sectors such as power, gas, water, and traffic.

기존의 일반 IT 시스템은 다양한 운영체제, 다양한 하드웨어 및 소프트웨어, 다양한 프로토콜을 사용하는 범용적 환경 특성을 갖고 보안위협에 따른 영향도가 상대적으로 낮은 반면에, 산업제어시스템은 외부와의 네트워크가 차단된 단방향 구조의 폐쇄적인 환경으로 구성되고, 자체 운영체제, 자체 하드웨어, 자체 소프트웨어 및 사업자 중심의 비표준 프로토콜을 사용하는 제한적 환경 특성을 갖는다.The existing general IT system has various operating systems, various hardware and software, universal environment characteristics using various protocols, and the influence of security threats is relatively low. On the other hand, the industrial control system is a one-way Structure, and has limited environmental characteristics using its own operating system, its own hardware, proprietary software, and proprietary non-standard protocols.

산업제어시스템은 그 동안 폐쇄적인 환경으로 구축되어 상대적으로 보안에 대해 안정적이라고 생각되어 왔으나 최근 스턱스넷 및 랜섬웨어 위협 등 알려지지 않은 보안 위협이 대두되고 있으며, 국가 기반산업으로서 그 파급효과가 매우 큰 점을 고려하여 전 세계적으로 산업제어시스템 보안위협에 대응하기 위한 기술개발에 관심을 가지고 있다. Industrial control systems have been established as closed environments and have been considered to be relatively stable against security. However, recently unknown security threats such as Stuxnet and Ransomware threats are emerging, It is interested in technology development to cope with industrial control system security threat around the world.

일반 IT 시스템이 개방형 네트워크에서 사양하는 프로토콜은 이미 알려져 있는 표준 사양이기에 데이터 패킷의 보안 위협 역시 적절하게 잘 대응되고 있으며. 기존의 알려진 보안 위협에 대해서는 블랙리스트(blacklist)를 생성하여 서로 공유하여 대처하고 있다.Since the protocol that the general IT system specifies in the open network is a standard specification that is already known, the security threat of the data packet is appropriately responded well. For known security threats, blacklists are created and shared with each other.

그러나, 산업제어시스템은 사업자 중심의 독자적인 프로토콜을 사용하고 있으며, 사업자가 자사의 프로토콜에 대한 규격(Specification)을 제공하지 않아 보안위협에 대한 대응방안 수립에 한계가 있는 상황이다.However, the industrial control system uses proprietary proprietary protocol, and since the provider does not provide specifications for its protocol, there are limitations in establishing countermeasures against security threats.

이에, 폐쇄적인 환경 하에서 비표준 프로토콜을 사용하는 산업 제어 시스템에서 데이터 패킷의 보안 위협에 적절하게 대응할 수 있는 방안이 요구된다.Accordingly, there is a need for a scheme capable of appropriately responding to security threats of data packets in an industrial control system using a non-standard protocol under a closed environment.

10-106765010-1067650 10-098728410-0987284

본 발명이 해결하고자 하는 기술적인 과제는 DNN 알고리즘을 이용한 비표준 프로토콜 페이로드 이상행위 탐지 장치를 제공하는 것이다.The present invention provides a non-standard protocol payload abnormality detection apparatus using a DNN algorithm.

본 발명이 해결하고자 하는 다른 기술적인 과제는 DNN 알고리즘을 이용한 비표준 프로토콜 페이로드 이상행위 탐지 방법을 제공하는 것이다. Another technical problem to be solved by the present invention is to provide a non-standard protocol payload abnormality detection method using the DNN algorithm.

상술한 본 발명의 목적에 따른 DNN 알고리즘을 이용한 비표준 프로토콜 페이로드 이상행위 탐지 장치는, 비표준 프로토콜의 데이터 패킷(data packet)을 실시간 수집하는 데이터 패킷 수집 모듈; 상기 데이터 패킷 수집 모듈에서 실시간 수집된 데이터 패킷을 파싱(parsing)하여 페이로드(payload)를 출력하는 데이터 패킷 분류 모듈; 상기 데이터 패킷 분류 모듈에서 출력된 페이로드에 대한 페이로드 마스크 패턴(payload mask pattern)을 생성하는 페이로드 마스크 패턴 생성 모듈; 상기 페이로드 마스크 패턴 생성 모듈에서 생성된 페이로드 마스크 패턴을 상기 데이터 패킷 수집 모듈에서 실시간 수집되는 데이터 패킷의 페이로드에 적용하는 페이로드 마스크 패턴 적용 모듈; 상기 페이로드 마스크 패턴 적용 모듈에 의해 페이로드 마스크 패턴이 적용된 페이로드를 정규화(normalization)하는 페이로드 정규화 모듈; 상기 페이로드 정규화 모듈에 의해 정규화된 페이로드를 이용하여 DNN(deep neural network) 알고리즘에 의한 딥러닝(deep learning)을 위한 학습 데이터 세트(learning data set)를 생성하는 학습 데이터 세트 생성 모듈; 상기 학습 데이터 세트 생성 모듈에서 생성된 학습 데이터 세트를 이용하여 DNN 알고리즘에 의한 딥러닝을 수행하여 상기 데이터 패킷 수집 모듈에서 실시간 수집되는 비표준 프로토콜의 데이터 패킷의 이상행위를 실시간 탐지하는 이상행위 탐지 모듈을 포함하도록 구성될 수 있다.An apparatus for detecting abnormal behavior of a non-standard protocol payload using a DNN algorithm according to the present invention includes a data packet collection module for collecting data packets of a non-standard protocol in real time; A data packet classification module for parsing a data packet collected in real time in the data packet collection module and outputting a payload; A payload mask pattern generation module for generating a payload mask pattern for the payload output from the data packet classification module; A payload mask pattern application module for applying a payload mask pattern generated by the payload mask pattern generation module to a payload of a data packet collected in real time in the data packet collection module; A payload normalization module for normalizing a payload to which a payload mask pattern is applied by the payload mask pattern application module; A learning data set generation module for generating a learning data set for deep learning by a deep neural network (DNN) algorithm using a payload normalized by the payload normalization module; An anomaly detection module for detecting in real time an abnormal behavior of a data packet of a nonstandard protocol collected in real time in the data packet collection module by performing a deep learning using the DNN algorithm using the learning data set generated by the learning data set generation module . ≪ / RTI >

여기서, 상기 학습 데이터 세트 생성 모듈은, 상기 산업 제어 시스템(industrial control system) 환경 하의 네트워크 상에서 데이터 패킷의 비표준 프로토콜 이상행위를 탐지하기 위한 학습 데이터 세트를 생성하도록 구성될 수 있다.Here, the learning data set generation module may be configured to generate a learning data set for detecting a non-standard protocol abnormal behavior of a data packet on a network under the industrial control system environment.

그리고 상기 데이터 패킷 분류 모듈은, 프로토콜(protocol) 별로 딥러닝을 수행할 수 있도록 상기 페이로드를 크기 별로 분류하여 출력하도록 구성될 수 있다.The data packet classification module may classify and output the payloads according to size so that deep processing can be performed for each protocol.

그리고 상기 데이터 패킷 분류 모듈은, 상기 페이로드의 크기(size) 별로 딥러닝을 수행할 수 있도록 상기 페이로드를 크기 별로 분류하여 출력하도록 구성될 수 있다.The data packet classification module may classify and output the payloads according to size so that deep-processing can be performed for each size of the payload.

상술한 본 발명의 다른 목적에 따른 DNN 알고리즘을 이용한 비표준 프로토콜 페이로드 이상행위 탐지 방법은, 데이터 패킷 수집 모듈이 비표준 프로토콜의 데이터 패킷(data packet)을 실시간 수집하는 단계; 데이터 패킷 분류 모듈이 상기 데이터 패킷 수집 모듈에서 실시간 수집된 데이터 패킷을 파싱(parsing)하여 페이로드(payload)를 출력하는 단계; 페이로드 마스크 패턴 생성 모듈이 상기 데이터 패킷 분류 모듈에서 출력된 페이로드에 대한 페이로드 마스크 패턴(payload mask pattern)을 생성하는 단계; 페이로드 마스크 패턴 적용 모듈이 상기 페이로드 마스크 패턴 생성 모듈에서 생성된 페이로드 마스크 패턴을 상기 데이터 패킷 수집 모듈에서 실시간 수집되는 데이터 패킷의 페이로드에 적용하는 단계; 페이로드 정규화 모듈이 상기 페이로드 마스크 패턴 적용 모듈에 의해 페이로드 마스크 패턴이 적용된 페이로드를 정규화(normalization)하는 단계; 학습 데이터 세트 생성 모듈이 상기 페이로드 정규화 모듈에 의해 정규화된 페이로드를 이용하여 DNN(deep neural network) 알고리즘에 의한 딥러닝을 위한 학습 데이터 세트(learning data set)를 생성하는 단계; 이상행위 탐지 모듈이 상기 학습 데이터 세트 생성 모듈에서 생성된 학습 데이터 세트를 이용하여 DNN 알고리즘에 의한 딥러닝을 수행하여 상기 데이터 패킷 수집 모듈에서 실시간 수집되는 비표준 프로토콜의 데이터 패킷의 이상행위를 실시간 탐지하는 단계를 포함하도록 구성될 수 있다.The non-standard protocol payload abnormal behavior detection method using the DNN algorithm according to another aspect of the present invention includes: collecting data packets of a non-standard protocol in real time; The data packet classification module parsing the data packet collected in real time in the data packet collection module to output a payload; The payload mask pattern generation module generating a payload mask pattern for the payload output from the data packet classification module; Applying a payload mask pattern application module to a payload of a data packet collected in real time in the data packet collection module; The payload normalization module normalizing the payload to which the payload mask pattern is applied by the payload mask pattern application module; Learning data set generation module generates a learning data set for deep learning by a deep neural network (DNN) algorithm using a payload normalized by the payload normalization module; The abnormal behavior detection module performs a deep learning operation using the DNN algorithm using the learning data set generated by the learning data set generation module to detect an abnormal behavior of a data packet of a nonstandard protocol collected in real time in the data packet collection module Step < / RTI >

여기서, 상기 학습 데이터 세트 생성 모듈이 상기 페이로드 정규화 모듈에 의해 정규화된 페이로드를 이용하여 DNN 알고리즘에 의한 딥러닝을 위한 학습 데이터 세트를 생성하는 단계는, 상기 산업 제어 시스템(industrial control system) 환경 하의 네트워크 상에서 데이터 패킷의 비표준 프로토콜 이상행위를 탐지하기 위한 학습 데이터 세트를 생성하도록 구성될 수 있다.Here, the step of generating the learning data set for deep learning by the DNN algorithm using the payload normalized by the payload normalization module may be performed by the learning data set generation module in the industrial control system environment May be configured to generate a set of learning data for detecting non-standard protocol anomalous behavior of data packets on the underlying network.

그리고 상기 데이터 패킷 분류 모듈이 상기 데이터 패킷 수집 모듈에서 실시간 수집된 데이터 패킷을 파싱하여 페이로드를 출력하는 단계는, 프로토콜(protocol) 별로 딥러닝을 수행할 수 있도록 상기 페이로드를 크기 별로 분류하여 출력하도록 구성될 수 있다.The step of the data packet classification module parsing the data packet collected in real time in the data packet collection module and outputting the payload may include classifying the payload into sizes so as to perform deep- .

그리고 상기 데이터 패킷 분류 모듈이 상기 데이터 패킷 수집 모듈에서 실시간 수집된 데이터 패킷을 파싱하여 페이로드를 출력하는 단계는, 상기 페이로드의 크기(size) 별로 딥러닝을 수행할 수 있도록 상기 페이로드를 크기 별로 분류하여 출력하도록 구성될 수 있다.The step of the data packet classification module parsing a data packet collected in real time in the data packet collecting module to output a payload may further include the step of calculating the size of the payload so as to perform deep- And output it by classifying it.

본 발명의 일 실시 예에 따른 DNN 알고리즘을 이용한 비표준 프로토콜 페이로드 이상행위 탐지 장치 및 방법에 의하면, 비표준 프로토콜 데이터 패킷의 페이로드를 기반으로 DNN 알고리즘을 이용한 딥러닝을 수행하여 데이터 패킷의 이상행위를 실시간 탐지하도록 구성됨으로써, 비표준 프로토콜 데이터 패킷의 이상행위에 대해서 실시간으로 이상 여부를 판단하여 탐지할 수 있는 효과가 있다.According to an apparatus and method for detecting abnormal behavior of a non-standard protocol payload using a DNN algorithm according to an embodiment of the present invention, a deep run using a DNN algorithm is performed based on a payload of a non-standard protocol data packet, Real-time detection of an abnormal behavior of a non-standard protocol data packet is possible.

본 발명의 상세한 설명에서 인용되는 도면을 보다 충분히 이해하기 위하여 각 도면의 상세한 설명이 제공된다.
도 1은 본 발명의 일 실시 예에 따른 DNN 알고리즘을 이용한 비표준 프로토콜 페이로드 이상행위 탐지 장치의 모식도이다.
도 2는 본 발명의 일 실시 예에 따른 페이로드의 구성도이다.
도 3은 본 발명의 일 실시 예에 따른 DNN 알고리즘을 이용한 비표준 프로토콜 페이로드 이상행위 탐지 장치의 블록 구성도이다.
도 4 내지 도 8은 본 발명의 일 실시예에 따른 페이로드의 예시도이다.
도 9는 본 발명의 일 실시예에 따른 DNN 알고리즘을 이용한 비표준 프로토콜 페이로드 이상행위 탐지 방법의 흐름도이다.
DETAILED DESCRIPTION OF THE PREFERRED EMBODIMENTS In order to more fully understand the drawings recited in the detailed description of the present invention, a detailed description of each drawing is provided.
1 is a schematic diagram of a non-standard protocol payload anomaly detection apparatus using a DNN algorithm according to an embodiment of the present invention.
2 is a configuration diagram of a payload according to an embodiment of the present invention.
3 is a block diagram of an apparatus for detecting abnormal behavior of a non-standard protocol payload using a DNN algorithm according to an embodiment of the present invention.
4 to 8 are exemplary views of a payload according to an embodiment of the present invention.
9 is a flowchart of a non-standard protocol payload abnormality detection method using a DNN algorithm according to an embodiment of the present invention.

본 명세서에 개시되어 있는 본 발명의 개념에 따른 실시 예들에 대해서 특정한 구조적 또는 기능적 설명들은 단지 본 발명의 개념에 따른 실시 예들을 설명하기 위한 목적으로 예시된 것으로서, 본 발명의 개념에 따른 실시 예들은 다양한 형태들로 실시될 수 있으며 본 명세서에 설명된 실시 예들에 한정되지 않는다.It is to be understood that the specific structural or functional descriptions of embodiments of the present invention disclosed herein are only for the purpose of illustrating embodiments of the inventive concept, But may be embodied in many different forms and is not limited to the embodiments set forth herein.

본 발명의 개념에 따른 실시 예들은 다양한 변경들을 가할 수 있고 여러 가지 형태들을 가질 수 있으므로 실시 예들을 도면에 예시하고 본 명세서에 상세하게 설명하고자 한다. 그러나 이는 본 발명의 개념에 따른 실시 예들을 특정한 개시 형태들에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물, 또는 대체물을 포함한다.Embodiments in accordance with the concepts of the present invention are capable of various modifications and may take various forms, so that the embodiments are illustrated in the drawings and described in detail herein. It is not intended to be exhaustive or to limit the invention to the particular forms disclosed, but on the contrary, is intended to cover all modifications, equivalents, or alternatives falling within the spirit and scope of the invention.

제1 또는 제2 등의 용어는 다양한 구성 요소들을 설명하는데 사용될 수 있지만, 상기 구성 요소들은 상기 용어들에 의해 한정되어서는 안 된다. 상기 용어들은 하나의 구성 요소를 다른 구성 요소로부터 구별하는 목적으로만, 예컨대 본 발명의 개념에 따른 권리 범위로부터 이탈되지 않은 채, 제1구성요소는 제2구성요소로 명명될 수 있고, 유사하게 제2구성요소는 제1구성요소로도 명명될 수 있다.The terms first, second, etc. may be used to describe various elements, but the elements should not be limited by the terms. The terms are intended to distinguish one element from another, for example, without departing from the scope of the invention in accordance with the concepts of the present invention, the first element may be termed the second element, The second component may also be referred to as a first component.

어떤 구성요소가 다른 구성요소에 "연결되어" 있다거나 "접속되어" 있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어" 있다거나 "직접 접속되어" 있다고 언급된 때에는, 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다. 구성요소들 간의 관계를 설명하는 다른 표현들, 즉 "~사이에"와 "바로 ~사이에" 또는 "~에 이웃하는"과 "~에 직접 이웃하는" 등도 마찬가지로 해석되어야 한다.It is to be understood that when an element is referred to as being "connected" or "connected" to another element, it may be directly connected or connected to the other element, . On the other hand, when an element is referred to as being "directly connected" or "directly connected" to another element, it should be understood that there are no other elements in between. Other expressions that describe the relationship between components, such as "between" and "between" or "neighboring to" and "directly adjacent to" should be interpreted as well.

본 명세서에서 사용한 용어는 단지 특정한 실시 예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다.The terminology used herein is for the purpose of describing particular embodiments only and is not intended to be limiting of the invention. The singular expressions include plural expressions unless the context clearly dictates otherwise.

본 명세서에서, "포함한다" 또는 "갖는다" 등의 용어는 설명된 특징, 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.As used herein, the terms "comprise", "having", and the like are intended to specify that there are described features, integers, steps, operations, elements, parts or combinations thereof, , Steps, operations, components, parts, or combinations thereof, as a matter of principle.

다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미가 있다.Unless otherwise defined, all terms used herein, including technical or scientific terms, have the same meaning as commonly understood by one of ordinary skill in the art to which this invention belongs.

일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥상 가지는 의미와 일치하는 의미를 포함하는 것으로 해석되어야 하며, 본 명세서에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.Terms such as those defined in commonly used dictionaries should be construed to include meanings consistent with meaning in the context of the relevant art and, unless expressly defined herein, are to be construed in an ideal or overly formal sense It does not.

이하, 본 발명에 따른 바람직한 실시 예를 첨부된 도면을 참조하여 상세하게 설명한다.Hereinafter, preferred embodiments according to the present invention will be described in detail with reference to the accompanying drawings.

도 1은 본 발명의 일 실시 예에 따른 DNN 알고리즘을 이용한 비표준 프로토콜 페이로드 이상행위 탐지 장치의 모식도이고, 도 2는 본 발명의 일 실시 예에 따른 페이로드의 구성도이다.FIG. 1 is a schematic diagram of a non-standard protocol payload abnormality detection apparatus using a DNN algorithm according to an embodiment of the present invention, and FIG. 2 is a configuration diagram of a payload according to an embodiment of the present invention.

도 1을 참조하면, DNN 알고리즘을 이용한 비표준 프로토콜 페이로드 이상행위 탐지 장치(100)는 비표준 프로토콜의 데이터 패킷을 파싱하여 분석하고, 데이터 패킷의 페이로드(payload)를 추출하여 DNN(deep neural network) 알고리즘에 의한 딥러닝을 수행하여 잘 알려지지 않은 비표준 프로토콜의 데이터 패킷에 대해서도 이상행위를 탐지할 수 있도록 구성된다.Referring to FIG. 1, a non-standard protocol payload anomaly detection apparatus 100 using a DNN algorithm parses and analyzes data packets of a non-standard protocol, extracts a payload of a data packet, Algorithm is used to detect abnormal behavior of data packets of a non-standard protocol that are not well known.

프로토콜에 따라 데이터 패킷을 분류하는 것은 물론 페이로드의 크기별로 데이터 패킷을 분류하여 딥러닝을 수행하며, DNN 알고리즘을 이용하여 학습 데이터 세트를 생성하고 이를 이용하여 학습과 검증, 시험 등을 수행한다.Classifies data packets according to protocol, classifies data packets according to size of payload, performs deep learning, generates a learning data set using DNN algorithm, and performs learning, verification, and testing using the data set.

비표준 프로토콜은 매우 다양하고 알려져 있지 않는 경우도 있으므로, 비표준 프로토콜 별로 IDS(intrusion detection system) 규칙을 생성하여 보안 위협에 대응하는 것은 쉽지 않다. 본 발명에서는 비표준 프로토콜 데이터 패킷의 페이로드에 기반하여 비표준 프로토콜 데이터 패킷의 보안 위협을 판단하도록 구성된다.It is not easy to respond to security threats by creating IDS (Intrusion Detection System) rules for each nonstandard protocol, since nonstandard protocols are very diverse and unknown. The present invention is configured to determine a security threat of a non-standard protocol data packet based on a payload of a non-standard protocol data packet.

도 2는 LLC, UDP, TCP 등의 프로토콜 데이터 패킷을 예시하고 있으며, 여기서, LLC 헤더, UDP 헤더, TCP 헤더가 아닌 LLC 페이로드, UDP 페이로드, TCP 페이로드가 화이트리스트의 실시간 생성에 이용될 수 있음을 나타내고 있다.FIG. 2 illustrates protocol data packets such as LLC, UDP, and TCP. Here, an LLC payload, a UDP payload, and a TCP payload other than an LLC header, a UDP header, and a TCP header are used for real- Respectively.

도 3은 본 발명의 일 실시 예에 따른 DNN 알고리즘을 이용한 비표준 프로토콜 페이로드 이상행위 탐지 장치의 블록 구성도이다.3 is a block diagram of an apparatus for detecting abnormal behavior of a non-standard protocol payload using a DNN algorithm according to an embodiment of the present invention.

도 3을 참조하면, 본 발명의 일 실시 예에 DNN 알고리즘을 이용한 비표준 프로토콜 페이로드 이상행위 탐지 장치(100)는 데이터 패킷 수집 모듈(110), 데이터 패킷 분류 모듈(120), 페이로드 마스크 패턴 생성 모듈(130), 페이로드 마스크 패턴 적용 모듈(140), 페이로드 정규화 모듈(150), 학습 데이터 생성 모듈(160), 이상행위 탐지 모듈(170)을 포함하도록 구성될 수 있다.3, the non-standard protocol payload abnormal behavior detection apparatus 100 using the DNN algorithm includes a data packet collection module 110, a data packet classification module 120, a payload mask pattern generation A module 130, a payload mask pattern application module 140, a payload normalization module 150, a learning data generation module 160, and an abnormal behavior detection module 170.

이하, 세부적인 구성에 대하여 설명한다.Hereinafter, the detailed configuration will be described.

데이터 패킷 수집 모듈(110)은 비표준 프로토콜의 데이터 패킷(data packet)을 실시간 수집하도록 구성될 수 있으며, 이때, 산업 제어 시스템(industrial control system)의 폐쇄적인 네트워크 환경 하의 데이터 패킷을 수집하도록 구성될 수 있다.The data packet collection module 110 may be configured to collect data packets of a nonstandard protocol in real time and may be configured to collect data packets under the closed network environment of an industrial control system have.

데이터 패킷 분류 모듈(120)은 데이터 패킷 수집 모듈(110)에서 실시간 수집된 데이터 패킷을 파싱(parsing)하여 페이로드(payload)를 출력하도록 구성될 수 있다.The data packet classification module 120 may be configured to output a payload by parsing a data packet collected in real time in the data packet collection module 110. [

이때, 데이터 패킷 분류 모듈(120)은 프로토콜(protocol) 별로 딥러닝을 수행할 수 있도록 페이로드를 크기 별로 분류하여 출력하도록 구성될 수 있다.At this time, the data packet classification module 120 may classify and output payloads according to size so that deep processing can be performed for each protocol.

그리고 데이터 패킷 분류 모듈(120)은 페이로드의 크기(size) 별로 딥러닝을 수행할 수 있도록 페이로드를 크기 별로 분류하여 출력하도록 구성될 수 있다.The data packet classification module 120 may classify and output the payloads according to size so that deep-processing can be performed for each payload size.

페이로드 마스크 패턴 생성 모듈(130)은 데이터 패킷 분류 모듈(120)에서 출력된 페이로드에 대한 페이로드 마스크 패턴(payload mask pattern)을 생성하도록 구성될 수 있다.The payload mask pattern generation module 130 may be configured to generate a payload mask pattern for the payload output from the data packet classification module 120. [

페이로드 마스크 패턴 적용 모듈(140)은 페이로드 마스크 패턴 생성 모듈(130)에서 생성된 페이로드 마스크 패턴을 데이터 패킷 수집 모듈(110)에서 실시간 수집되는 데이터 패킷의 페이로드에 적용하도록 구성될 수 있다.The payload mask pattern application module 140 can be configured to apply the payload mask pattern generated in the payload mask pattern generation module 130 to the payload of the data packet collected in real time in the data packet collection module 110 .

페이로드 정규화 모듈(150)은 페이로드 마스크 패턴 적용 모듈(140)에 의해 페이로드 마스크 패턴이 적용된 페이로드를 정규화(normalization)하도록 구성될 수 있다.The payload normalization module 150 may be configured to normalize the payload to which the payload mask pattern is applied by the payload mask pattern application module 140.

학습 데이터 세트 생성 모듈(160)은 페이로드 정규화 모듈(150)에 의해 정규화된 페이로드를 이용하여 DNN(deep neural network) 알고리즘에 의한 딥러닝을 위한 학습 데이터 세트(learning data set)를 생성하도록 구성될 수 있다.The learning data set generation module 160 is configured to generate a learning data set for deep learning by a deep neural network (DNN) algorithm using the payload normalized by the payload normalization module 150 .

여기서, 학습 데이터 세트 생성 모듈(160)은 산업 제어 시스템(industrial control system) 환경 하의 네트워크 상에서 데이터 패킷의 비표준 프로토콜 이상행위를 탐지하기 위한 학습 데이터 세트를 생성하도록 구성될 수 있다.Here, the learning data set generation module 160 may be configured to generate a learning data set for detecting non-standard protocol abnormal behavior of data packets on a network under an industrial control system environment.

이상행위 탐지 모듈(170)은 학습 데이터 세트 생성 모듈(160)에서 생성된 학습 데이터 세트를 이용하여 데이터 패킷 수집 모듈(110)에서 실시간 수집되는 비표준 프로토콜의 데이터 패킷의 딥러닝을 수행하도록 구성될 수 있다.The anomaly detection module 170 may be configured to perform a deep run of a data packet of a non-standard protocol collected in real time in the data packet collection module 110 using the learning data set generated by the learning data set generation module 160 have.

이상행위 탐지 모듈(170)은 딥러닝에 의해 데이터 패킷 수집 모듈(110)에서 실시간 수집되는 비표준 프로토콜의 데이터 패킷의 이상행위를 실시간 탐지하도록 구성될 수 있다. 별도의 IDS 규칙없이도 딥러닝에 의해 데이터 패킷의 이상행위를 탐지할 수 있다.The abnormal behavior detection module 170 may be configured to detect in real time an abnormal behavior of a data packet of a non-standard protocol collected in real time in the data packet collection module 110 by deep learning. An abnormal behavior of a data packet can be detected by deep running even without a separate IDS rule.

도 4 내지 도 8은 본 발명의 일 실시 예에 따른 페이로드의 예시도이다.4 to 8 are exemplary views of a payload according to an embodiment of the present invention.

도 4는 104 바이트(bytes)로 구성되는 페이로드가 예시되어 있다.Figure 4 illustrates a payload consisting of 104 bytes.

도 5에서는 위 페이로드에 대한 페이로드 마스크 패턴이다.In FIG. 5, it is a payload mask pattern for the payload.

도 6은 도 5의 페이로드 마스크 패턴을 도 4에 적용하여 다른 부분만 표시하고 있다. 페이로드 마스크 패턴을 적용하지 않으면, 딥러닝 후 예측을 수행할 때 그 결과의 의미를 확연히 구별하기 어려운 단점을 극복하기 위한 것이다.FIG. 6 shows only the different parts of the payload mask pattern of FIG. 5 by applying FIG. If the payload mask pattern is not applied, it is difficult to clearly distinguish the meaning of the result when the prediction is performed after the deep run.

도 7은 페이로드 마스크 패턴이 적용된 값들을 정규화한 것을 나타낸다. 도 6에서 '..'은 0으로 정규화하고, '..'이 아닌 0-255 사이의 값들은 255로 나누어 0 또는 1의 값으로 정규화한다.FIG. 7 shows normalization of values to which the payload mask pattern is applied. In FIG. 6, '..' is normalized to 0, and values between 0 and 255 other than '..' are divided by 255 and normalized to 0 or 1.

도 8은 학습 데이터 세트이다. 입력되는 데이터 패킷이 어느 클래스에 속하는지를 결정하는데, 데이터 패킷의 학습 데이터 세트에 대한 클래스를 1로 설정하고 페이로드 마스크 패턴을 수정하여 클래스 0으로 학습 데이터 세트를 생성할 수 있다.8 is a learning data set. To determine which class the input data packet belongs to, it is possible to set the class for the learning data set of the data packet to 1 and modify the payload mask pattern to generate the learning data set to class 0.

도 9는 본 발명의 일 실시 예에 따른 DNN 알고리즘을 이용한 비표준 프로토콜 페이로드 이상행위 탐지 방법의 흐름도이다.9 is a flowchart of a non-standard protocol payload abnormality detection method using a DNN algorithm according to an embodiment of the present invention.

도 9를 참조하면, 데이터 패킷 수집 모듈(110)이 비표준 프로토콜의 데이터 패킷(data packet)을 실시간 수집한다(S101).Referring to FIG. 9, the data packet collection module 110 collects a data packet of a non-standard protocol in real time (S101).

다음으로, 데이터 패킷 분류 모듈(120)이 데이터 패킷 수집 모듈(110)에서 실시간 수집된 데이터 패킷을 파싱(parsing)하여 페이로드(payload)를 출력한다(S102).Next, the data packet classification module 120 parses the data packet collected in real time in the data packet collection module 110 and outputs a payload (S102).

이때, 데이터 패킷 분류 모듈(120)은 프로토콜(protocol) 별로 딥러닝을 수행할 수 있도록 페이로드를 크기 별로 분류하여 출력하도록 구성될 수 있다.At this time, the data packet classification module 120 may classify and output payloads according to size so that deep processing can be performed for each protocol.

그리고 데이터 패킷 분류 모듈(120)은 페이로드의 크기(size) 별로 딥러닝을 수행할 수 있도록 페이로드를 크기 별로 분류하여 출력하도록 구성될 수 있다.The data packet classification module 120 may classify and output the payloads according to size so that deep-processing can be performed for each payload size.

다음으로, 페이로드 마스크 패턴 생성 모듈(130)이 데이터 패킷 분류 모듈(120)에서 출력된 페이로드에 대한 페이로드 마스크 패턴(payload mask pattern)을 생성한다(S103).Next, the payload mask pattern generation module 130 generates a payload mask pattern for the payload output from the data packet classification module 120 (S103).

다음으로, 페이로드 마스크 패턴 적용 모듈(140)이 페이로드 마스크 패턴 생성 모듈(130)에서 생성된 페이로드 마스크 패턴을 데이터 패킷 수집 모듈(110)에서 실시간 수집되는 데이터 패킷의 페이로드에 적용한다(S104).Next, the payload mask pattern application module 140 applies the payload mask pattern generated in the payload mask pattern generation module 130 to the payload of the data packet collected in real time in the data packet collection module 110 S104).

다음으로, 페이로드 정규화 모듈(150)이 페이로드 마스크 패턴 적용 모듈(140)에 의해 페이로드 마스크 패턴이 적용된 페이로드를 정규화(normalization)한다(S105).Next, the payload normalization module 150 normalizes the payload to which the payload mask pattern is applied by the payload mask pattern application module 140 (S105).

다음으로, 학습 데이터 세트 생성 모듈(160)이 페이로드 정규화 모듈(150)에 의해 정규화된 페이로드를 이용하여 DNN(deep neural network) 알고리즘에 의한 딥러닝을 위한 학습 데이터 세트(learning data set)를 생성한다(S106).Next, the learning data set generation module 160 generates a learning data set for deep learning by a deep neural network (DNN) algorithm using the payload normalized by the payload normalization module 150 (S106).

여기서, 학습 데이터 세트 생성 모듈(160)은 산업 제어 시스템(industrial control system) 환경 하의 네트워크 상에서 데이터 패킷의 비표준 프로토콜 이상행위를 탐지하기 위한 학습 데이터 세트를 생성하도록 구성될 수 있다.Here, the learning data set generation module 160 may be configured to generate a learning data set for detecting non-standard protocol abnormal behavior of data packets on a network under an industrial control system environment.

다음으로, 이상행위 탐지 모듈(170)이 학습 데이터 세트 생성 모듈(160)에서 생성된 학습 데이터 세트를 이용하여 DNN 알고리즘에 의한 딥러닝을 수행하여 데이터 패킷 수집 모듈(110)에서 실시간 수집되는 비표준 프로토콜의 데이터 패킷의 이상행위를 실시간 탐지한다(S107).Next, the abnormal behavior detection module 170 performs a deep learning using the DNN algorithm using the learning data set generated by the learning data set generation module 160, and transmits the non-standard protocol (Step S107).

이상 실시 예를 참조하여 설명하였지만, 해당 기술 분야의 숙련된 당업자는 하기의 청구범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.It will be understood by those skilled in the art that various modifications and variations can be made in the present invention without departing from the spirit and scope of the invention as defined in the following claims will be.

110: 데이터 패킷 수집 모듈
120: 데이터 패킷 분류 모듈
130: 페이로드 마스크 패턴 생성 모듈
140: 페이로드 마스크 패턴 적용 모듈
150: 페이로드 정규화 모듈
160: 학습 데이터 생성 모듈
170: 이상행위 탐지 모듈110: Data Packet Acquisition Module
120: Data packet classification module
130: payload mask pattern generation module
140: Payload mask pattern application module
150: payload normalization module
160: learning data generation module
170: abnormal behavior detection module

Claims (8)

비표준 프로토콜의 데이터 패킷(data packet)을 실시간 수집하는 데이터 패킷 수집 모듈;
상기 데이터 패킷 수집 모듈에서 실시간 수집된 데이터 패킷을 파싱(parsing)하여 페이로드(payload)를 출력하는 데이터 패킷 분류 모듈;
상기 데이터 패킷 분류 모듈에서 출력된 페이로드에 대한 페이로드 마스크 패턴(payload mask pattern)을 생성하는 페이로드 마스크 패턴 생성 모듈;
상기 페이로드 마스크 패턴 생성 모듈에서 생성된 페이로드 마스크 패턴을 상기 데이터 패킷 수집 모듈에서 실시간 수집되는 데이터 패킷의 페이로드에 적용하는 페이로드 마스크 패턴 적용 모듈;
상기 페이로드 마스크 패턴 적용 모듈에 의해 페이로드 마스크 패턴이 적용된 페이로드를 정규화(normalization)하는 페이로드 정규화 모듈;
상기 페이로드 정규화 모듈에 의해 정규화된 페이로드를 이용하여 DNN(deep neural network) 알고리즘에 의한 딥러닝(deep learning)을 위한 학습 데이터 세트(learning data set)를 생성하는 학습 데이터 세트 생성 모듈;
상기 학습 데이터 세트 생성 모듈에서 생성된 학습 데이터 세트를 이용하여 DNN 알고리즘에 의한 딥러닝을 수행하여 상기 데이터 패킷 수집 모듈에서 실시간 수집되는 비표준 프로토콜의 데이터 패킷의 이상행위를 시험 및 검증하고, 시험 및 검증 결과에 따라 이상 행위를 예측하여 실시간 탐지하는 이상행위 탐지 모듈을 포함하고,
상기 학습 데이터 세트 생성 모듈은,
산업 제어 시스템(industrial control system) 환경 하의 네트워크 상에서 데이터 패킷의 비표준 프로토콜 이상행위를 탐지하기 위한 학습 데이터 세트를 생성하도록 구성되고,
상기 데이터 패킷 분류 모듈은,
프로토콜(protocol) 별로 딥러닝을 수행할 수 있도록 상기 페이로드를 크기 별로 분류하여 출력하도록 구성되고,
상기 데이터 패킷 분류 모듈은,
상기 페이로드의 크기(size) 별로 딥러닝을 수행할 수 있도록 상기 페이로드를 크기 별로 분류하여 출력하도록 구성되며,
상기 페이로드 마스크 패턴 생성 모듈은,
상기 이상행위 탐지 모듈의 딥러닝 수행 후 이상행위의 예측 시, 예측의 결과를 명확하게 구별할 수 있도록 하기 위해 페이로드 마스크 패턴을 생성하도록 구성되고,
상기 페이로드 정규화 모듈은,
상기 페이로드 마스크 패턴 적용 모듈에 의해 페이로드 마스크 패턴이 적용된 페이로드에서 상기 페이로드 마스크 패턴과 동일한 데이터는 0으로 정규화하고 상기 페이로드 마스크 패턴과 동일하지 않은 0 내지 255 사이의 값들은 255로 나누어 0 또는 1의 값으로 정규화하도록 구성되고,
상기 학습 데이터 세트 생성 모듈은,
상기 데이터 패킷 수집 모듈에서 실시간 수집된 데이터 패킷에 대해 학습 데이터 세트를 생성하는 경우 해당 학습 데이터 세트의 클래스를 1로 설정하고 클래스 1로 설정된 학습 데이터 세트에서 상기 페이로드 마스크 패턴을 수정하여 학습 데이터 세트를 클래스 0으로 설정하여 학습 데이터 세트를 실시간 누적 생성 및 갱신하도록 구성되는 것을 특징으로 하는 DNN 알고리즘을 이용한 비표준 프로토콜 페이로드 이상행위 탐지 장치.A data packet collection module for collecting data packets of a nonstandard protocol in real time;
A data packet classification module for parsing a data packet collected in real time in the data packet collection module and outputting a payload;
A payload mask pattern generation module for generating a payload mask pattern for the payload output from the data packet classification module;
A payload mask pattern application module for applying a payload mask pattern generated by the payload mask pattern generation module to a payload of a data packet collected in real time in the data packet collection module;
A payload normalization module for normalizing a payload to which a payload mask pattern is applied by the payload mask pattern application module;
A learning data set generation module for generating a learning data set for deep learning by a deep neural network (DNN) algorithm using a payload normalized by the payload normalization module;
Testing and verifying an abnormal behavior of a data packet of a non-standard protocol collected in real time in the data packet collecting module by performing a deep learning using the DNN algorithm using the learning data set generated by the learning data set generating module, And an abnormal behavior detection module for detecting the abnormal behavior in real time according to the result,
Wherein the learning data set generation module comprises:
And generating a learning data set for detecting non-standard protocol anomalous behavior of data packets on a network under an industrial control system environment,
Wherein the data packet classification module comprises:
Classifying the payloads according to size so as to perform deep learning for each protocol,
Wherein the data packet classification module comprises:
And classifying and outputting the payload according to size so that deep running can be performed for each size of the payload,
The payload mask pattern generation module includes:
A payload mask pattern is generated so that a prediction result can be clearly distinguished at the time of predicting an abnormal behavior after deep running of the abnormal behavior detection module,
Wherein the payload normalization module comprises:
Wherein the payload mask pattern application module normalizes the payload mask pattern data to 0 in the payload to which the payload mask pattern is applied and divides the values between 0 and 255 that are not identical to the payload mask pattern by 255 0.0 > 0 < / RTI > or 1,
Wherein the learning data set generation module comprises:
When the learning data set is generated for the data packet collected in real time by the data packet collection module, the class of the learning data set is set to 1 and the payload mask pattern is modified in the learning data set set to class 1, Is set to class 0 so as to accumulate and update the learning data set in real time in real time. The non-standard protocol payload abnormality detection device using the DNN algorithm. 삭제delete 삭제delete 삭제delete 데이터 패킷 수집 모듈이 비표준 프로토콜의 데이터 패킷(data packet)을 실시간 수집하는 단계;
데이터 패킷 분류 모듈이 상기 데이터 패킷 수집 모듈에서 실시간 수집된 데이터 패킷을 파싱(parsing)하여 페이로드(payload)를 출력하는 단계;
페이로드 마스크 패턴 생성 모듈이 상기 데이터 패킷 분류 모듈에서 출력된 페이로드에 대한 페이로드 마스크 패턴(payload mask pattern)을 생성하는 단계;
페이로드 마스크 패턴 적용 모듈이 상기 페이로드 마스크 패턴 생성 모듈에서 생성된 페이로드 마스크 패턴을 상기 데이터 패킷 수집 모듈에서 실시간 수집되는 데이터 패킷의 페이로드에 적용하는 단계;
페이로드 정규화 모듈이 상기 페이로드 마스크 패턴 적용 모듈에 의해 페이로드 마스크 패턴이 적용된 페이로드를 정규화(normalization)하는 단계;
학습 데이터 세트 생성 모듈이 상기 페이로드 정규화 모듈에 의해 정규화된 페이로드를 이용하여 DNN(deep neural network) 알고리즘에 의한 딥러닝을 위한 학습 데이터 세트(learning data set)를 생성하는 단계;
이상행위 탐지 모듈이 상기 학습 데이터 세트 생성 모듈에서 생성된 학습 데이터 세트를 이용하여 DNN 알고리즘에 의한 딥러닝을 수행하여 상기 데이터 패킷 수집 모듈에서 실시간 수집되는 비표준 프로토콜의 데이터 패킷의 이상행위를 시험 및 검증하고, 시험 및 검증 결과에 따라 이상 행위를 예측하여 실시간 탐지하는 단계를 포함하고,
상기 학습 데이터 세트 생성 모듈이 상기 페이로드 정규화 모듈에 의해 정규화된 페이로드를 이용하여 DNN 알고리즘에 의한 딥러닝을 위한 학습 데이터 세트를 생성하는 단계는,
산업 제어 시스템(industrial control system) 환경 하의 네트워크 상에서 데이터 패킷의 비표준 프로토콜 이상행위를 탐지하기 위한 학습 데이터 세트를 생성하도록 구성되고,
상기 데이터 패킷 분류 모듈이 상기 데이터 패킷 수집 모듈에서 실시간 수집된 데이터 패킷을 파싱하여 페이로드를 출력하는 단계는,
프로토콜(protocol) 별로 딥러닝을 수행할 수 있도록 상기 페이로드를 크기 별로 분류하여 출력하도록 구성되고,
상기 데이터 패킷 분류 모듈이 상기 데이터 패킷 수집 모듈에서 실시간 수집된 데이터 패킷을 파싱하여 페이로드를 출력하는 단계는,
상기 페이로드의 크기(size) 별로 딥러닝을 수행할 수 있도록 상기 페이로드를 크기 별로 분류하여 출력하도록 구성되고,
상기 페이로드 마스크 패턴 생성 모듈이 상기 데이터 패킷 분류 모듈에서 출력된 페이로드에 대한 페이로드 마스크 패턴을 생성하는 단계는,
상기 이상행위 탐지 모듈의 딥러닝 수행 후 이상행위의 예측 시, 예측의 결과를 명확하게 구별할 수 있도록 하기 위해 페이로드 마스크 패턴을 생성하도록 구성되고,
상기 페이로드 정규화 모듈이 상기 페이로드 마스크 패턴 적용 모듈에 의해 페이로드 마스크 패턴이 적용된 페이로드를 정규화하는 단계는,
상기 페이로드 마스크 패턴 적용 모듈에 의해 페이로드 마스크 패턴이 적용된 페이로드에서 상기 페이로드 마스크 패턴과 동일한 데이터는 0으로 정규화하고 상기 페이로드 마스크 패턴과 동일하지 않은 0 내지 255 사이의 값들은 255로 나누어 0 또는 1의 값으로 정규화하도록 구성되고,
상기 학습 데이터 세트 생성 모듈이 상기 페이로드 정규화 모듈에 의해 정규화된 페이로드를 이용하여 DNN(deep neural network) 알고리즘에 의한 딥러닝을 위한 학습 데이터 세트(learning data set)를 생성하는 단계는,
상기 데이터 패킷 수집 모듈에서 실시간 수집된 데이터 패킷에 대해 학습 데이터 세트를 생성하는 경우 해당 학습 데이터 세트의 클래스를 1로 설정하고 클래스 1로 설정된 학습 데이터 세트에서 상기 페이로드 마스크 패턴을 수정하여 학습 데이터 세트를 클래스 0으로 설정하여 학습 데이터 세트를 실시간 누적 생성 및 갱신하도록 구성되는 것을 특징으로 하는 DNN 알고리즘을 이용한 비표준 프로토콜 페이로드 이상행위 탐지 방법.Collecting a data packet of a non-standard protocol in real time;
The data packet classification module parsing the data packet collected in real time in the data packet collection module to output a payload;
The payload mask pattern generation module generating a payload mask pattern for the payload output from the data packet classification module;
Applying a payload mask pattern application module to a payload of a data packet collected in real time in the data packet collection module;
The payload normalization module normalizing the payload to which the payload mask pattern is applied by the payload mask pattern application module;
Learning data set generation module generates a learning data set for deep learning by a deep neural network (DNN) algorithm using a payload normalized by the payload normalization module;
The abnormal behavior detection module performs a deep learning by using the DNN algorithm using the learning data set generated by the learning data set generation module to test and verify an abnormal behavior of a data packet of a nonstandard protocol collected in real time in the data packet collection module And real-time detection of the abnormal behavior according to the test and verification result,
Wherein the learning data set generation module generates a learning data set for deep learning by the DNN algorithm using the payload normalized by the payload normalization module,
And generating a learning data set for detecting non-standard protocol anomalous behavior of data packets on a network under an industrial control system environment,
Wherein the data packet classification module parses a data packet collected in real time in the data packet collection module to output a payload,
Classifying the payloads according to size so as to perform deep learning for each protocol,
Wherein the data packet classification module parses a data packet collected in real time in the data packet collection module to output a payload,
And classifying and outputting the payloads according to size so that deep running can be performed for each size of the payload,
Wherein the payload mask pattern generation module generates a payload mask pattern for a payload output from the data packet classification module,
A payload mask pattern is generated so that a prediction result can be clearly distinguished at the time of predicting an abnormal behavior after deep running of the abnormal behavior detection module,
Wherein the payload normalization module normalizes the payload to which the payload mask pattern is applied by the payload mask pattern application module,
Wherein the payload mask pattern application module normalizes the payload mask pattern data to 0 in the payload to which the payload mask pattern is applied and divides the values between 0 and 255 that are not identical to the payload mask pattern by 255 0.0 > 0 < / RTI > or 1,
Wherein the learning data set generation module generates a learning data set for deep learning by a deep neural network (DNN) algorithm using a payload normalized by the payload normalization module,
When the learning data set is generated for the data packet collected in real time by the data packet collection module, the class of the learning data set is set to 1 and the payload mask pattern is modified in the learning data set set to class 1, Is set to class 0 so as to accumulate and update the learning data set in real time. The non-standard protocol payload abnormal behavior detection method using the DNN algorithm. 삭제delete 삭제delete 삭제delete
KR1020180157871A 2018-12-10 2018-12-10 Apparatus and method for detecting abnormal behavior of nonstandard protocol payload using deep neural network algorithm KR102001813B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020180157871A KR102001813B1 (en) 2018-12-10 2018-12-10 Apparatus and method for detecting abnormal behavior of nonstandard protocol payload using deep neural network algorithm

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020180157871A KR102001813B1 (en) 2018-12-10 2018-12-10 Apparatus and method for detecting abnormal behavior of nonstandard protocol payload using deep neural network algorithm

Publications (1)

Publication Number Publication Date
KR102001813B1 true KR102001813B1 (en) 2019-07-18

Family

ID=67469243

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020180157871A KR102001813B1 (en) 2018-12-10 2018-12-10 Apparatus and method for detecting abnormal behavior of nonstandard protocol payload using deep neural network algorithm

Country Status (1)

Country Link
KR (1) KR102001813B1 (en)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102139138B1 (en) * 2020-04-27 2020-07-30 (주) 앤앤에스피 An ICS header profiling system for private Industrial Control System protocol
KR102139140B1 (en) * 2020-04-27 2020-07-30 (주) 앤앤에스피 A tag data profiling system for private Industrial Control System protocol
CN111786986A (en) * 2020-06-29 2020-10-16 华中科技大学 Numerical control system network intrusion prevention system and method
CN113381998A (en) * 2021-06-08 2021-09-10 上海天旦网络科技发展有限公司 Deep learning-based application protocol auxiliary analysis system and method
KR102345152B1 (en) * 2020-12-04 2022-01-04 한국서부발전 주식회사 Anomaly detection system using reliability evaluation of power plant contro network asset
US11601353B2 (en) 2020-11-12 2023-03-07 Electronics And Telecommunications Research Institute Device identification apparatus and method based on network behavior

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100987284B1 (en) 2008-09-12 2010-10-12 주식회사 엔씨소프트 Apparatus and method of creating white-list of search-engine
KR101067650B1 (en) 2009-11-09 2011-09-29 한국과학기술원 System for constructing whitelist
JP2013009185A (en) * 2011-06-24 2013-01-10 Nippon Telegr & Teleph Corp <Ntt> Communication monitoring system and method, communication monitoring device, virtual host device, and communication monitoring program
KR101860395B1 (en) * 2017-06-23 2018-07-02 한국남동발전 주식회사 Apparatus and method for detecting abnormal behavior of industrial control system based on whitelist for nonstandard protocol

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100987284B1 (en) 2008-09-12 2010-10-12 주식회사 엔씨소프트 Apparatus and method of creating white-list of search-engine
KR101067650B1 (en) 2009-11-09 2011-09-29 한국과학기술원 System for constructing whitelist
JP2013009185A (en) * 2011-06-24 2013-01-10 Nippon Telegr & Teleph Corp <Ntt> Communication monitoring system and method, communication monitoring device, virtual host device, and communication monitoring program
KR101860395B1 (en) * 2017-06-23 2018-07-02 한국남동발전 주식회사 Apparatus and method for detecting abnormal behavior of industrial control system based on whitelist for nonstandard protocol

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102139138B1 (en) * 2020-04-27 2020-07-30 (주) 앤앤에스피 An ICS header profiling system for private Industrial Control System protocol
KR102139140B1 (en) * 2020-04-27 2020-07-30 (주) 앤앤에스피 A tag data profiling system for private Industrial Control System protocol
CN111786986A (en) * 2020-06-29 2020-10-16 华中科技大学 Numerical control system network intrusion prevention system and method
US11601353B2 (en) 2020-11-12 2023-03-07 Electronics And Telecommunications Research Institute Device identification apparatus and method based on network behavior
KR102345152B1 (en) * 2020-12-04 2022-01-04 한국서부발전 주식회사 Anomaly detection system using reliability evaluation of power plant contro network asset
CN113381998A (en) * 2021-06-08 2021-09-10 上海天旦网络科技发展有限公司 Deep learning-based application protocol auxiliary analysis system and method

Similar Documents

Publication Publication Date Title
KR102001813B1 (en) Apparatus and method for detecting abnormal behavior of nonstandard protocol payload using deep neural network algorithm
Meidan et al. N-baiot—network-based detection of iot botnet attacks using deep autoencoders
Agarwal et al. Hybrid approach for detection of anomaly network traffic using data mining techniques
KR101538709B1 (en) Anomaly detection system and method for industrial control network
EP2517437B1 (en) Intrusion detection in communication networks
KR101860395B1 (en) Apparatus and method for detecting abnormal behavior of industrial control system based on whitelist for nonstandard protocol
CN110086810B (en) Passive industrial control equipment fingerprint identification method and device based on characteristic behavior analysis
Yang et al. iFinger: Intrusion detection in industrial control systems via register-based fingerprinting
WO2014066166A2 (en) Method and apparatus for monitoring network traffic
KR102001812B1 (en) Apparatus and method of making whitelist for communication among devices using k-means algorithm
CN111709034A (en) Machine learning-based industrial control environment intelligent safety detection system and method
CN110839042B (en) Flow-based self-feedback malicious software monitoring system and method
Mubarak et al. Industrial datasets with ICS testbed and attack detection using machine learning techniques
Kim et al. A novel vulnerability analysis approach to generate fuzzing test case in industrial control systems
Marino et al. Data-driven correlation of cyber and physical anomalies for holistic system health monitoring
Vugrin et al. Cyber threat modeling and validation: port scanning and detection
Yang et al. A new methodology for anomaly detection of attacks in IEC 61850-based substation system
KR20170081543A (en) Apparatus and method for detecting symptom based on context information
CN112153081A (en) Method for detecting abnormal state of industrial network
KR101383069B1 (en) Apparatus and method for detecting anomalous state of network
Sapozhnikova et al. Intrusion detection system based on data mining technics for industrial networks
Leao et al. Machine learning-based false data injection attack detection and localization in power grids
Yu et al. Mining anomaly communication patterns for industrial control systems
Atkison et al. Feature Extraction Optimization for Network Intrusion Detection in Control System Networks.
Bhale et al. ML for IEEE 802.15. 4e/TSCH: Energy Efficient Approach to Detect DDoS Attack Using Machine Learning

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant