KR102029184B1 - Apparatus and method of analyzing pattern of wireless traffic - Google Patents
Apparatus and method of analyzing pattern of wireless traffic Download PDFInfo
- Publication number
- KR102029184B1 KR102029184B1 KR1020160165268A KR20160165268A KR102029184B1 KR 102029184 B1 KR102029184 B1 KR 102029184B1 KR 1020160165268 A KR1020160165268 A KR 1020160165268A KR 20160165268 A KR20160165268 A KR 20160165268A KR 102029184 B1 KR102029184 B1 KR 102029184B1
- Authority
- KR
- South Korea
- Prior art keywords
- pattern
- normal
- wireless traffic
- probability
- data frame
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/145—Network analysis or design involving simulating, designing, planning or modelling of a network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Small-Scale Networks (AREA)
Abstract
본 발명은 무선 트래픽의 패턴을 분석하는 장치 및 방법에 관한 것으로서, 무선 랜(LAN) 환경에서 발생할 수 있는 새로운 무선 트래픽 패턴의 정상 여부를 탐지하기 위해 패턴을 분석하여 확률적으로 해당 패턴이 정상 패턴인지 공격 패턴인지 판단하는 기술적 사상을 개시한다.The present invention relates to an apparatus and method for analyzing a pattern of wireless traffic, and to analyze whether the pattern is normal to detect whether a new wireless traffic pattern that may occur in a wireless LAN (LAN) environment is normal, and the pattern is probabilistic. Disclosed is a technical idea of determining whether an attack pattern is cognitive.
Description
본 발명은 무선 트래픽의 패턴을 분석하는 장치 및 방법에 관한 것으로서, 무선 랜(LAN) 환경에서 발생할 수 있는 새로운 무선 트래픽 패턴의 정상 여부를 탐지하기 위해 패턴을 분석하여 확률적으로 해당 패턴이 정상 패턴인지 공격 패턴인지 판단하는 기술적 사상을 개시한다.The present invention relates to an apparatus and method for analyzing a pattern of wireless traffic, and to analyze whether the pattern is normal to detect whether a new wireless traffic pattern that may occur in a wireless LAN (LAN) environment is normal, and the pattern is probabilistic. Disclosed is a technical idea of determining whether an attack pattern is cognitive.
트래픽은 전신, 전화 등의 통신 시설에서 통신의 흐름을 의미하는 것으로서, 크게 유선 트래픽과 무선 트래픽으로 분류될 수 있다.Traffic refers to the flow of communication in a communication facility such as a telegraph and a telephone, and can be classified into wired traffic and wireless traffic.
그 중에서 무선 트래픽은 통신 선로가 무선 채널로 대체된다는 점에서 매우 효율적인 시스템이나 무선 트래픽에 노이즈가 발생하거나 공격이 발생한 경우, 데이터의 신뢰도가 상당히 낮아질 수 있는 문제가 있다.Among them, the wireless traffic has a problem that the reliability of the data may be considerably lowered in the case of noise or an attack occurring in a highly efficient system or wireless traffic in that a communication line is replaced with a wireless channel.
오늘날의 무선 랜을 이용하는 기술은 이동성은 물론 전송 효율 특성의 향상으로 인하여 다양한 모바일 장치를 위한 네트워크 서비스 환경을 제공하고 있다. 그러나, 이러한 서비스 확장으로 인하여 보안 측면에서의 문제 또한 매우 심각하게 고려해야 할 사항이 되었다.Today's wireless LAN technology provides a network service environment for various mobile devices due to the improvement of mobility and transmission efficiency characteristics. However, due to the expansion of services, problems in terms of security are also very serious considerations.
무선 트래픽의 신뢰도 문제를 보완하기 위한 다양한 기술들 개발되고 있다.Various techniques have been developed to compensate for the reliability problem of wireless traffic.
일반적인 무선 침입 탐지 시스템은 트레이닝 단계에서 대량의 무선 트래픽을 수집하여 정상 모델을 만들고, 새로운 무선 트래픽이 감지되면 기존에 만들어진 정상 모델과 비교하여 정상모델에 없는 트래픽일 경우 이를 비정상적인 트래픽으로 판단한다. 그러나 이 방식은 실제로 감지한 트래픽이 정상적인 트래픽임에도 불구하고 비정상적인 것으로 판단하는 FPR(False Positive Rate) 값이 높아진다.The general wireless intrusion detection system collects a large amount of wireless traffic in the training stage to make a normal model. When new wireless traffic is detected, it compares with the existing normal model and determines that the traffic is not in the normal model as abnormal traffic. However, this method increases the value of False Positive Rate (FPR), which determines that the detected traffic is abnormal even though the detected traffic is normal traffic.
본 발명은 무선 랜 환경에서 발생할 수 있는 새로운 무선 트래픽 패턴의 정상 여부를 탐지하는 것을 목적으로 한다.An object of the present invention is to detect whether a new wireless traffic pattern that can occur in a wireless LAN environment is normal.
본 발명은 정상적인 트래픽임에도 불구하고 비정상적인 트래픽으로 분류될 확률을 줄이는 것을 목적으로 한다.The present invention aims to reduce the probability of being classified as abnormal traffic despite being normal traffic.
일실시예에 따른 무선 트래픽의 패턴 분석 장치는 무선 트래픽을 수신하고, 상기 수신된 무선 트래픽을 적어도 하나 이상의 패턴으로 분류하는 수신부, 트레이닝 기간 동안에 정상 모델로부터 생성된 N 그램 테이블을 참고하여, 상기 적어도 하나 이상의 패턴에 대한 정상 여부를 판단하는 새로운 패턴 검사부를 포함할 수 있다.According to an embodiment, an apparatus for analyzing a pattern of wireless traffic may include receiving at least one wireless traffic, classifying the received wireless traffic into at least one pattern, and referring to an N gram table generated from a normal model during a training period. It may include a new pattern checker for determining whether the at least one pattern is normal.
일실시예에 따른 무선 트래픽의 패턴 분석 장치는 상기 정상 모델에 N 그램 모델을 적용하여 상기 정상 모델에 존재하는 패턴으로부터 상기 N 그램 테이블을 생성하는 N-그램 테이블 생성부를 더 포함할 수 있다.The apparatus for analyzing a pattern of wireless traffic according to an embodiment may further include an N-gram table generator for generating the N gram table from a pattern existing in the normal model by applying an N gram model to the normal model.
일실시예에 따른 상기 새로운 패턴 검사부는, 크네세르-네이 스무딩(Kneser-Ney Smoothing)을 통해 상기 각 패턴에 대한 정상일 확률을 계산할 수 있다.According to an embodiment, the new pattern inspector may calculate a probability of normality for each pattern through Kneser-Ney Smoothing.
일실시예에 따른 상기 새로운 패턴 검사부는, 제1 데이터 프레임 다음에 제2 데이터 프레임이 위치하는 빈도를 고려하여 정상 여부를 판단할 수 있다.According to an embodiment, the new pattern checker may determine whether the second data frame is normal after the first data frame.
일실시예에 따른 상기 새로운 패턴 검사부는, 특정 데이터 프레임 다음에 올 수 있는 모든 데이터 프레임들의 빈도수의 합을 고려하여 정상 여부를 판단하는 무선 트래픽의 패턴 분석 장치.The new pattern checker according to an embodiment, the pattern analysis apparatus of the wireless traffic to determine whether the normal in consideration of the sum of the frequency of all data frames that can come after a specific data frame.
일실시예에 따른 상기 새로운 패턴 검사부는, 상기 분류된 패턴에서, 전체 프레임 중 특정 데이터 프레임이 나올 확률을 고려하여 정상 여부를 판단할 수 있다.The new pattern inspector according to an embodiment may determine whether the normal pattern is normal in consideration of the probability that a specific data frame of all the frames appears in the classified pattern.
일실시예에 따른 상기 새로운 패턴 검사부는, 상기 적어도 하나 이상의 패턴이 새로운 패턴인 경우, 크네세르-네이 스무딩(Kneser-Ney Smoothing)을 통해 상기 각 패턴에 대해 정상일 확률을 계산한 후, 특정 임계값 이상인 경우 상기 적어도 하나 이상의 패턴을 정상 패턴으로 판단할 수 있다.According to an embodiment, when the at least one or more patterns are new patterns, the new pattern checker calculates a probability that the patterns are normal for each pattern through Kneser-Ney Smoothing, and then a specific threshold value. In case of abnormality, the at least one pattern may be determined as a normal pattern.
일실시예에 따른 무선 트래픽의 패턴 분석 장치는 정상 모델로부터 패턴들을 분류하는 분류부, 상기 분류된 패턴들 중에서, 제1 데이터 프레임 다음에 제2 데이터 프레임이 위치하는 빈도를 계산하고, 상기 제1 데이터 프레임 다음에 올 수 있는 모든 데이터 프레임들의 빈도수의 합을 계산하며, 전체 프레임 중에서 상기 제1 프레임이 나올 확률을 계산하는 계산부, 및 상기 계산 결과를 고려하여 특정 임계값 이상인 경우 상기 적어도 하나 이상의 패턴을 정상 패턴으로 판단하여 정상 모델에 추가하여 개선시키는 개선부를 포함한다.According to an embodiment, an apparatus for analyzing a pattern of wireless traffic may include a classifier that classifies patterns from a normal model, and among the classified patterns, a frequency at which a second data frame is located after a first data frame, and calculates a frequency. A calculation unit for calculating a sum of frequencies of all data frames that may come after the data frame, and calculating a probability of the first frame coming out of all frames, and the calculation result in consideration of the calculation result; It includes an improvement that determines the pattern as a normal pattern and improves in addition to the normal model.
일실시예에 따른 무선 트래픽의 패턴 분석 방법은 정상 모델에 N 그램 모델을 적용하여 상기 정상 모델에 존재하는 패턴으로부터 N 그램 테이블을 생성하는 단계, 무선 트래픽을 수신하고, 상기 수신된 무선 트래픽을 적어도 하나 이상의 패턴으로 분류하는 단계, 및 상기 생성된 N 그램 테이블을 참고하여, 상기 적어도 하나 이상의 패턴에 대한 정상 여부를 판단하는 단계를 포함할 수 있다.According to an exemplary embodiment, a method of analyzing a pattern of wireless traffic may include generating an N gram table from a pattern existing in the normal model by applying an N gram model to a normal model, receiving wireless traffic, and at least receiving the received wireless traffic. The method may include classifying one or more patterns, and determining whether the at least one pattern is normal by referring to the generated N gram table.
일실시예에 따른 상기 정상 여부를 판단하는 단계는, 크네세르-네이 스무딩(Kneser-Ney Smoothing)을 통해 상기 각 패턴에 대한 확률을 계산하는 단계를 포함할 수 있다.The determining of the normality according to an embodiment may include calculating a probability for each pattern through Kneser-Ney Smoothing.
일실시예에 따른 상기 각 패턴에 대한 확률을 계산하는 단계는, 상기 적어도 하나 이상의 패턴이 새로운 패턴인 경우, 크네세르-네이 스무딩(Kneser-Ney Smoothing)을 통해 상기 각 패턴에 대해 정상일 확률을 계산한 후, 특정 임계값 이상인 경우 상기 적어도 하나 이상의 패턴을 정상 패턴으로 판단하는 단계를 포함할 수 있다.The calculating of the probability for each pattern according to an embodiment may include calculating a probability that the pattern is normal for each pattern through Kneser-Ney Smoothing when the at least one pattern is a new pattern. After that, the method may include determining the at least one or more patterns as a normal pattern when the threshold value is greater than or equal to a certain threshold value.
일실시예에 따른 상기 적어도 하나 이상의 패턴에 대한 정상 여부를 판단하는 단계는, 상기 분류된 패턴에서, 제1 데이터 프레임 다음에 제2 데이터 프레임이 위치하는 빈도를 고려하여 정상 여부를 판단하는 단계를 포함할 수 있다.The determining of whether the at least one pattern is normal according to an embodiment of the present disclosure may include determining whether the pattern is normal by considering a frequency at which a second data frame is located after a first data frame in the classified pattern. It may include.
일실시예에 따른 상기 적어도 하나 이상의 패턴에 대한 정상 여부를 판단하는 단계는, 상기 분류된 패턴에서, 특정 데이터 프레임 다음에 올 수 있는 모든 데이터 프레임들의 빈도수의 합을 고려하여 정상 여부를 판단하는 단계를 포함할 수 있다.The determining of whether the at least one pattern is normal according to an embodiment may include determining whether the pattern is normal by considering a sum of frequencies of all data frames that may come after a specific data frame in the classified pattern. It may include.
일실시예에 따른 상기 적어도 하나 이상의 패턴에 대한 정상 여부를 판단하는 단계는, 상기 분류된 패턴에서, 전체 프레임 중 특정 데이터 프레임이 나올 확률을 고려하여 정상 여부를 판단하는 단계를 포함할 수 있다.The determining of whether the at least one pattern is normal according to an embodiment may include determining whether the pattern is normal in consideration of the probability that a specific data frame of all the frames occurs in the classified pattern.
실시예들에 따르면, 무선 LAN 환경에서 새로운 패턴의 정상 여부를 판단하기 위해 무선 침입 탐지 시스템의 원천 기술로 활용될 수 있다.According to the embodiments, it may be utilized as a source technology of the wireless intrusion detection system to determine whether the new pattern is normal in the wireless LAN environment.
실시예들에 따르면, 무선 랜 환경에서 발생할 수 있는 새로운 무선 트래픽 패턴의 정상 여부를 탐지할 수 있다.According to the embodiments, it is possible to detect whether the new wireless traffic pattern that may occur in the WLAN environment is normal.
실시예들에 따르면, 정상적인 트래픽임에도 불구하고 비정상적인 트래픽으로 분류될 확률을 줄일 수 있다.According to embodiments, it is possible to reduce the probability of being classified as abnormal traffic despite being normal traffic.
도 1은 일실시예에 따른 무선 트래픽 패턴 분석 장치를 설명하는 도면이다.
도 2는 일실시예에 따른 무선 트래픽 패턴을 설명하는 도면이다.
도 3은 일실시예에 따른 무선 트래픽 패턴 분석 장치를 설명하는 도면이다.
도 4는 일실시예에 따른 무선 트래픽 패턴 분석 방법을 설명하는 도면이다.1 is a diagram illustrating an apparatus for analyzing a wireless traffic pattern, according to an exemplary embodiment.
2 illustrates a wireless traffic pattern according to an embodiment.
3 is a diagram illustrating an apparatus for analyzing a wireless traffic pattern, according to an exemplary embodiment.
4 is a diagram illustrating a method of analyzing a wireless traffic pattern, according to an exemplary embodiment.
이하에서, 실시예들을 첨부된 도면을 참조하여 상세하게 설명한다. 그러나, 이러한 실시예들에 의해 권리범위가 제한되거나 한정되는 것은 아니다. 각 도면에 제시된 동일한 참조 부호는 동일한 부재를 나타낸다.Hereinafter, embodiments will be described in detail with reference to the accompanying drawings. However, the scope of the present invention is not limited or limited by these embodiments. Like reference numerals in the drawings denote like elements.
아래 설명에서 사용되는 용어는, 연관되는 기술 분야에서 일반적이고 보편적인 것으로 선택되었으나, 기술의 발달 및/또는 변화, 관례, 기술자의 선호 등에 따라 다른 용어가 있을 수 있다. 따라서, 아래 설명에서 사용되는 용어는 기술적 사상을 한정하는 것으로 이해되어서는 안 되며, 실시예들을 설명하기 위한 예시적 용어로 이해되어야 한다.The terminology used in the description below has been selected to be general and universal in the art to which it relates, although other terms may vary depending on the development and / or change in technology, conventions, and preferences of those skilled in the art. Therefore, the terms used in the following description should not be understood as limiting the technical spirit, and should be understood as exemplary terms for describing the embodiments.
또한 특정한 경우는 출원인이 임의로 선정한 용어도 있으며, 이 경우 해당되는 설명 부분에서 상세한 그 의미를 기재할 것이다. 따라서 아래 설명에서 사용되는 용어는 단순한 용어의 명칭이 아닌 그 용어가 가지는 의미와 명세서 전반에 걸친 내용을 토대로 이해되어야 한다.In addition, in certain cases, there is a term arbitrarily selected by the applicant, and in this case, the meaning will be described in detail in the corresponding description. Therefore, the terms used in the following description should be understood based on the meanings of the terms and the contents throughout the specification, rather than simply the names of the terms.
도 1은 일실시예에 따른 무선 트래픽 패턴 분석 장치(100)를 설명하는 도면이다.1 is a diagram illustrating an
일실시예에 따른 무선 트래픽 패턴 분석 장치(100)는 무선 LAN 환경에서 발생할 수 있는 새로운 무선 트래픽 패턴의 정상 여부를 탐지하기 위해 패턴을 분석하여 확률적으로 해당 패턴이 정상 패턴인지 잠재적인 공격이 가능한 패턴인지 판단할 수 있다. The
이를 위해, 일실시예에 따른 무선 트래픽 패턴 분석 장치(100)는 수신부(110) 및 새로운 패턴 검사부 (120)를 포함할 수 있다.To this end, the
먼저, 일실시예에 따른 수신부(110)는 무선 트래픽을 수신하고, 수신된 무선 트래픽을 적어도 하나 이상의 패턴으로 분류할 수 있다. 일실시예에 따른 수신부(110)는 세션 제너레이터(111), 패턴 제너레이터(112), 및 패턴 카운터(113)을 이용해서 캡쳐된 프레임으로부터의 IEEE 802.11의 특징들이 포함된 프레임들을 적어도 하나 이상의 패턴으로 분류할 수 있다.First, the
다음으로, 일실시예에 따른 새로운 패턴 검사부 (120)는 트레이닝 기간 동안에 정상 모델로부터 생성된 N 그램 테이블을 참고하여, 적어도 하나 이상의 패턴에 대한 정상 여부를 판단할 수 있다.Next, the new
일실시예에 따른 새로운 패턴 검사부 (120)는 분류된 패턴에서, 제1 데이터 프레임 다음에 제2 데이터 프레임이 위치하는 빈도를 고려하여 정상 여부를 판단할 수 있다. 또한, 일실시예에 따른 새로운 패턴 검사부 (120)는 분류된 패턴에서, 특정 데이터 프레임 다음에 올 수 있는 모든 데이터 프레임들의 빈도수의 합을 고려하여 정상 여부를 판단할 수도 있다. 또한, 일실시예에 따른 새로운 패턴 검사부 (120)는 분류된 패턴에서, 전체 프레임 중 특정 데이터 프레임이 나올 확률을 고려하여 정상 여부를 판단할 수 있다. 또한, 일실시예에 따른 새로운 패턴 검사부 (120)는 적어도 하나 이상의 패턴이 새로운 패턴인 경우, 크네세르-네이 스무딩(Kneser-Ney Smoothing)을 통해 상기 각 패턴에 대해 정상일 확률을 계산한 후, 특정 임계값 이상인 경우 상기 적어도 하나 이상의 패턴을 정상 패턴으로 판단할 수 있다.The
기존 무선 침입 탐지 시스템은 트레이닝 단계에서 대량의 무선 트래픽을 수집하여 정상 모델을 만들고, 새로운 무선 트래픽이 감지되면 기존에 만들어진 정상 모델과 비교하여 정상모델에 없는 트래픽일 경우 이를 비정상적인 트래픽으로 판단하는 방식이다. 그러나 일실시예에 따른 무선 트래픽 패턴 분석 장치(100)는 트레이닝 단계 동안 정상 모델과 더불어 정상 무선 트래픽 패턴들의 N-Gram 테이블을 생성하여 이를 바탕으로 새로운 무선 트래픽 패턴이 감지되었을 때 FPR 값을 낮추기 위한 발명이다.Existing wireless intrusion detection system collects a large amount of wireless traffic in the training stage to make a normal model, and when new wireless traffic is detected, it compares with the existing normal model and judges it as abnormal traffic if it is not in the normal model. . However, the
이를 위해, 일실시예에 따른 무선 트래픽 패턴 분석 장치(100)는 정상 모델에 N 그램 모델을 적용하여 정상 모델로부터 N 그램 테이블을 생성하는 N-그램 테이블 생성부(150)를 더 포함할 수 있다.To this end, the
무선 트래픽은 프레임으로 구성되는데, 프레임의 흐름은 일반적으로 패턴을 가지고 있다. Wireless traffic consists of frames, which generally have a pattern.
무선 트래픽은 이하 도 2를 통해 보다 상세히 설명한다.Wireless traffic is described in more detail below with reference to FIG. 2.
도 2는 일실시예에 따른 무선 트래픽 패턴을 설명하는 도면이다.2 illustrates a wireless traffic pattern according to an embodiment.
도면부호 210에서 사각형 하나는 무선 프레임 하나를 뜻하며, 사각형 안의 내용은 프레임의 타입을 뜻한다. 예를 들면 인증(Auth) 프레임, 인증(Auth) 프레임, 연결요청(AssoReq) 프레임, 연결응답(AssoRes) 프레임, 데이터(Data) 프레임, 데이터(Data) 프레임, 인증해제(DeAuth) 프레임 등으로 흐름을 갖는다.In the
무선 트래픽을 수집하였다고 가정할 때 순차적인 프레임의 패턴 구성은 도면부호 220과 같다.Assuming that wireless traffic is collected, the pattern structure of the sequential frames is the same as 220.
패턴 길이를 4라고 하면, 4개의 프레임을 가지고 하나의 패턴을 만들 수 있다. 따라서 첫 번째 패턴(221)은 [Auth, Auth, AssoReq, AssoRes] 가 되며, 두 번째 패턴은 첫 번째 프레임 바로 다음 프레임부터 시작하여 4개의 프레임으로 두 번째 패턴을 만들 수 있다. 즉 두 번째 패턴(222)은 [Auth, AssoReq, AssoRes, Data] 이다. 같은 방법으로 수집된 마지막 프레임까지 패턴을 구성하면, 총 7개의 패턴이 구성될 수 있다. If the pattern length is 4, you can make a pattern with 4 frames. Accordingly, the
수신부(110)는 위에서 설명한 방법으로 트레이닝 기간 동안 만들어진 패턴을 모두 모아놓은 것을 정상적인 패턴으로 간주하여 정상 모델(Normal Model)이라고 정의할 수 있다. 또한, 정의된 정상 모델은 데이터베이스(140)에 기록 및 유지될 수 있다.Receiving
일실시예에 따른 무선 트래픽 패턴 분석 장치(100)는 정상 모델이 만들어지면 트레이닝 단계를 끝내고, 공격 트래픽 검출부(130)에서 검출 단계를 수행할 수 있다. 이 단계에서는 실시간으로 수집된 트래픽에 대해 구성된 패턴을 정상 모델에 존재하는 패턴들과 비교할 수 있다.The
일실시예에 따른 무선 트래픽 패턴 분석 장치(100)는 트레이닝 단계에서 만들어진 정상 모델을 바탕으로 생성된 N-그램 테이블을 참조하여 패턴의 정상 여부를 판단하기 때문에, 정상 모델에 존재하지 않는 새로운 패턴이 발견되면 정상일 수도 있는 패턴을 비정상 패턴으로 간주하는 비율을 낮출 수 있다.Since the
이러한 정상을 비정상으로 간주하는 비율을 오류양성률(False Positive Rate)이라고 한다. 기존의 오류양성률(False Positive Rate) 값을 감소시키기 위해 자연어처리 분야(음성인식, 기계 번역 등)에서 사용되는 기법인 N 그램 모델을 활용할 수 있다.The rate at which this normal is regarded as abnormal is called a false positive rate. In order to reduce the existing false positive rate, the N Gram model, which is a technique used in the field of natural language processing (speech recognition, machine translation, etc.), can be used.
다시 도 1을 참고하면, 새로운 패턴 검사부(120)는 N 그램 모델을 활용하여 비정상 패턴을 검출할 수 있다.Referring back to FIG. 1, the
구체적으로, N 그램은 i번째에 어떠한 사건이 일어날 확률을 이전의 i-1, i-2, … ,i-N+1번째 사건을 바탕으로 조건부 확률 값을 구하는 방법으로서, N=2일 경우 i-1번째 사건을 바탕으로 i번째 사건의 확률을 구하는 것을 뜻하며, N=3일 경우 i-1, i-2 번째 사건을 바탕으로 i번째 사건의 확률을 구하는 것을 뜻한다.Specifically, N gram is the i-th, i-2,... A conditional probability value is calculated based on the i-N + 1 th event. When N = 2, it means the probability of the i th event based on the i-1 th event. , i.e., the probability of the i th event based on the i-2 th event.
N 그램 테이블 생성부(150)는 이러한 N 그램 모델을 적용시켜 트레이닝 단계에서 N 그램 테이블을 생성할 수 있다.The N
또한, 새로운 패턴 검사부 (120)는 검출 단계에서 N 그램 테이블을 기반으로 새로운 패턴에 대해 정상일 확률 값을 구할 수 있다. 먼저 N 그램 테이블 생성 과정에 대해 설명하자면, 도 2의 무선 트래픽(210)을 참고할 수 있다.In addition, the
N 그램 테이블 생성부(150)는 트레이닝 단계에서 정상 모델이 생성된 후에 정상 모델에 존재하는 패턴을 기반으로 N 그램 테이블을 생성할 수 있다. The N
N=2 일 경우에는 이전 프레임 하나만 참고하기 때문에 첫번째 패턴 [Auth, Auth, AssoReq, AssoRes]에 대해 만들어지는 2-그램은 (Auth, Auth), (Auth, AssoReq), (AssoReq, AssoRes) 이다.When N = 2, since only the previous frame is referenced, 2-grams created for the first pattern [Auth, Auth, AssoReq, AssoRes] are (Auth, Auth), (Auth, AssoReq), and (AssoReq, AssoRes).
따라서 첫 번째 패턴에 대해 만들어지는 2-그램 테이블은 [표 1]과 같다.Thus, the 2-gram table created for the first pattern is shown in Table 1.
[표 1]에서 테이블 안의 숫자는 패턴이 발견된 수를 의미한다.In Table 1, the number in the table means the number of patterns found.
1st 프레임2 nd frame
1 st frame
두번째 패턴의 경우 [Auth, AssoReq, AssoRes, Data]이므로 만들어지는 2-gram은 (Auth, AssoReq), (AssoReq, AssoRes), (AssoRes, Data) 이며, 2-그램 테이블은 [표 2]와 같이 업데이트 된다.The second pattern is [Auth, AssoReq, AssoRes, Data], so the 2-gram created is (Auth, AssoReq), (AssoReq, AssoRes), (AssoRes, Data), and the 2-gram table is shown in [Table 2]. Is updated.
1st 프레임2 nd frame
1 st frame
같은 방법으로 모든 패턴에 대해 만들어지는 2-그램 테이블은 [표 3]과 같다.The 2-gram table created for all patterns in the same way is shown in Table 3.
1st 프레임2 nd frame
1 st frame
새로운 패턴 검사부(120)는 검출 과정에서 N 그램 테이블을 기반으로 기반으로 새로운 패턴에 대한 확률을 계산할 수 있다.The
새로운 패턴 검사부(120)는 위에서 설명한 방법대로 N 그램 테이블이 생성되면 검출 단계에서 테이블을 기반으로 새로운 패턴에 대해 정상 패턴일 확률 값을 구한다. 이를 설명하기 위해 [표 4]의 새로운 2-그램 테이블로 예를 들어 설명한다.When the N gram table is generated as described above, the
1st 프레임2 nd frame
1 st frame
정상 모델에 존재하지 않는 새로운 패턴 [Data, Data, Data, Deauth]가 관찰되었다고 가정해보면, 새로운 패턴 검사부(120)는 의 확률을 구할 수 있다. 만약, N=2일 경우에는 새로운 패턴 검사부(120)는 이전의 프레임만 고려하여 [수학식 1]과 같이 조건부 확률들을 곱하여 전체 확률을 구할 수 있다.Assuming that a new pattern [Data, Data, Data, Deauth] is observed that does not exist in the normal model, the
[수학식 1][Equation 1]
새로운 패턴 검사부(120)는 크네세르-네이 스무딩(Kneser-Ney Smoothing)을 통해 상기 각 패턴에 대한 확률을 계산할 수 있다.The new
크네세르-네이 스무딩(Kneser-Ney Smoothing)은 [수학식 2]와 같다.Kneser-Ney Smoothing is shown in [Equation 2].
[수학식 2][Equation 2]
따라서 는 [수학식 3]과 같이 계산된다.therefore Is calculated as shown in [Equation 3].
[수학식 3][Equation 3]
[수학식 3]에서 는 테이블에서 데이터 프레임 다음에 데이터 프레임이 오는 빈도를 뜻하므로, 예시 테이블을 보면 24이다. 또한, 는 값에 따라 정해지는 디스카운팅(Discounting) 값이며, 는 상수이다. 또한, 는 Data 프레임 다음에 올 수 있는 모든 프레임들의 빈도수의 합이므로, 34이다. 또한, 는 전체 프레임 중 Data 프레임이 나올 확률이다. In [Equation 3] Is the frequency of the data frame after the data frame in the table, so look at the example table. Also, Is A counting value based on the value. Is a constant. Also, Is 34 because the sum of the frequencies of all the frames that can follow the Data frame. Also, Is the probability that the data frame will come out of the entire frame.
도 같은 수식을 통해 확률 값을 계산해서 각각의 확률 값을 구한 뒤에 이를 다 곱해서 값을 구할 수 있다. Using the same formula, calculate the probability values, find each probability value, and multiply them You can get the value.
결국, 새로운 패턴 검사부(120)는 구해진 값이 일정 기준치(threshold) 값보다 크면, [Data, Data, Data, DeAuth] 패턴이 정상일 확률이 높다고 판단하여 정상 패턴으로 간주할 수 있다.As a result, if the obtained value is greater than the predetermined threshold value, the
도 3은 일실시예에 따른 무선 트래픽 패턴 분석 장치(300)를 설명하는 도면이다.3 is a diagram illustrating an
일실시예에 따른 무선 트래픽 패턴 분석 장치(300)는 분류부(310), 계산부(320), 및 개선부(330)를 포함할 수 있다.The apparatus for analyzing a
일실시예에 따른 분류부(310)는 정상 모델로부터 패턴들을 분류할 수 있다.The
일실시예에 따른 계산부(320)는 분류된 패턴들 중에서, 제1 데이터 프레임 다음에 제2 데이터 프레임이 위치하는 빈도를 계산하고, 상기 제1 데이터 프레임 다음에 올 수 있는 모든 데이터 프레임들의 빈도수의 합을 계산하며, 전체 프레임 중에서 상기 제1 프레임이 나올 확률을 계산할 수 있다.The
일실시예에 따른 개선부(330)는 계산 결과를 고려하여 패턴의 확률 값이 특정 임계값 이상인 경우 정상 패턴으로 판단하여 정상 모델에 추가하여 정상 모델을 개선시킬 수 있다.According to an embodiment, the
결국, 본 발명을 이용하면, 무선 LAN 환경에서 새로운 패턴의 정상 여부를 판단하기 위해 무선 침입 탐지 시스템의 원천 기술로 활용될 수 있다. 또한, 실시예들에 따르면, 무선 랜 환경에서 발생할 수 있는 새로운 무선 트래픽 패턴의 정상 여부를 탐지할 수 있고, 정상적인 트래픽임에도 불구하고 비정상적인 트래픽으로 분류될 확률을 줄일 수 있다.After all, using the present invention, it can be utilized as a source technology of the wireless intrusion detection system to determine the normality of the new pattern in the wireless LAN environment. In addition, according to embodiments, it is possible to detect whether a new wireless traffic pattern that may occur in a wireless LAN environment is normal, and even though it is normal traffic, it is possible to reduce the probability of being classified as abnormal traffic.
도 4는 일실시예에 따른 무선 트래픽 패턴 분석 방법을 설명하는 도면이다.4 is a diagram illustrating a method of analyzing a wireless traffic pattern, according to an exemplary embodiment.
본 발명은 트레이닝 단계 동안 정상 모델과 더불어 정상 무선 트래픽 패턴들의 N 그램 테이블을 생성하여 이를 바탕으로 새로운 무선 트래픽 패턴이 감지되었을 때 정상 패턴인지 비정상 패턴인지 판단하여 기존보다 오류양성률(False Positive Rate) 값을 낮추기 위한 발명이다.The present invention generates an N gram table of the normal wireless traffic patterns together with the normal model during the training phase, and based on this, when a new wireless traffic pattern is detected, it is determined whether it is a normal pattern or an abnormal pattern. It is an invention for lowering.
이를 위해, 일실시예에 따른 무선 트래픽 패턴 분석 방법은 정상 모델에 N 그램 모델을 적용하여 정상 모델에 존재하는 패턴으로부터 N 그램 테이블을 생성할 수 있다(단계 401). 일실시예에 따른 무선 트래픽 패턴 분석 방법은 각 패턴에 대한 확률을 계산하기 위해, 크네세르-네이 스무딩(Kneser-Ney Smoothing)을 통해 상기 각 패턴에 대한 확률을 계산할 수 있다.To this end, the wireless traffic pattern analysis method according to an embodiment may generate an N gram table from a pattern existing in the normal model by applying the N gram model to the normal model (step 401). The wireless traffic pattern analysis method according to an embodiment may calculate the probability for each pattern through Kneser-Ney Smoothing to calculate the probability for each pattern.
일실시예에 따른 무선 트래픽 패턴 분석 방법은 무선 트래픽을 수신하고, 상기 수신된 무선 트래픽을 적어도 하나 이상의 패턴으로 분류할 수 있다(단계 402).According to an exemplary embodiment, a method for analyzing a wireless traffic pattern may receive wireless traffic and classify the received wireless traffic into at least one or more patterns (step 402).
일실시예에 따른 무선 트래픽 패턴 분석 방법은 생성된 N 그램 테이블을 참고하여, 상기 적어도 하나 이상의 패턴에 대한 정상 여부를 판단할 수 있다(단계 403).The wireless traffic pattern analysis method according to an embodiment may determine whether the at least one pattern is normal by referring to the generated N gram table (step 403).
예를 들어, 일실시예에 따른 무선 트래픽 패턴 분석 방법은 적어도 하나 이상의 패턴에 대한 정상 여부를 판단하기 위해, 분류된 패턴에서 제1 데이터 프레임 다음에 제2 데이터 프레임이 위치하는 빈도를 고려하여 정상 여부를 판단할 수 있다. 또한, 분류된 패턴에서, 특정 데이터 프레임 다음에 올 수 있는 모든 데이터 프레임들의 빈도수의 합을 고려하여 정상 여부를 판단할 수 있고, 분류된 패턴에서, 전체 프레임 중 특정 데이터 프레임이 나올 확률을 고려하여 정상 여부를 판단할 수 있다. 뿐만 아니라, 적어도 하나 이상의 패턴이 새로운 패턴인 경우, 크네세르-네이 스무딩(Kneser-Ney Smoothing)을 통해 상기 각 패턴에 대해 정상일 확률을 계산한 후, 특정 임계값 이상인 경우 상기 적어도 하나 이상의 패턴을 정상 패턴으로 판단할 수 있다.For example, the method for analyzing a wireless traffic pattern according to an embodiment may be normal in consideration of the frequency at which a second data frame is located after a first data frame in a classified pattern to determine whether the at least one pattern is normal. It can be determined. In addition, in the classified pattern, it may be determined by considering the sum of the frequencies of all data frames that may come after the specific data frame.In the classified pattern, the probability of the specific data frame coming out of all the frames may be determined. It is possible to determine whether it is normal. In addition, when the at least one pattern is a new pattern, the probability of being normal for each of the patterns is calculated through Kneser-Ney Smoothing, and when the at least one pattern is above a certain threshold, the at least one pattern is normal. It can be judged by a pattern.
이러한 과정을 통해, 일실시예에 따른 무선 트래픽 패턴 분석 방법을 이용하면, 무선 LAN 환경에서 새로운 패턴의 정상 여부를 판단하기 위해 무선 침입 탐지 시스템의 원천 기술로 활용될 수 있다. 또한, 실시예들에 따르면, 무선 랜 환경에서 발생할 수 있는 새로운 무선 트래픽 패턴의 정상 여부를 탐지할 수 있고, 정상적인 트래픽임에도 불구하고 비정상적인 트래픽으로 분류될 확률을 줄일 수 있다.Through this process, using the wireless traffic pattern analysis method according to an embodiment, it can be used as a source technology of the wireless intrusion detection system to determine whether the new pattern is normal in the wireless LAN environment. In addition, according to embodiments, it is possible to detect whether a new wireless traffic pattern that may occur in a wireless LAN environment is normal, and even though it is normal traffic, it is possible to reduce the probability of being classified as abnormal traffic.
본 발명의 일실시예에 따른 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 본 발명의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.Method according to an embodiment of the present invention can be implemented in the form of program instructions that can be executed by various computer means may be recorded on a computer readable medium. The computer readable medium may include program instructions, data files, data structures, etc. alone or in combination. Program instructions recorded on the media may be those specially designed and constructed for the purposes of the present invention, or they may be of the kind well-known and available to those having skill in the computer software arts. Examples of computer-readable recording media include magnetic media such as hard disks, floppy disks, and magnetic tape, optical media such as CD-ROMs, DVDs, and magnetic disks, such as floppy disks. Magneto-optical media, and hardware devices specifically configured to store and execute program instructions, such as ROM, RAM, flash memory, and the like. Examples of program instructions include not only machine code generated by a compiler, but also high-level language code that can be executed by a computer using an interpreter or the like. The hardware device described above may be configured to operate as one or more software modules to perform the operations of the present invention, and vice versa.
이상과 같이 본 발명은 비록 한정된 실시예와 도면에 의해 설명되었으나, 본 발명은 상기의 실시예에 한정되는 것은 아니며, 본 발명이 속하는 분야에서 통상의 지식을 가진 자라면 이러한 기재로부터 다양한 수정 및 변형이 가능하다.As described above, the present invention has been described by way of limited embodiments and drawings, but the present invention is not limited to the above embodiments, and those skilled in the art to which the present invention pertains various modifications and variations from such descriptions. This is possible.
그러므로, 본 발명의 범위는 설명된 실시예에 국한되어 정해져서는 아니 되며, 후술하는 특허청구범위뿐 아니라 이 특허청구범위와 균등한 것들에 의해 정해져야 한다.Therefore, the scope of the present invention should not be limited to the described embodiments, but should be determined not only by the claims below but also by the equivalents of the claims.
Claims (14)
트레이닝 기간 동안에 정상 모델로부터 생성된 N 그램 테이블을 참고하여, 상기 적어도 하나 이상의 패턴에 대한 정상 여부를 판단하는 새로운 패턴 검사부를 포함하고,
상기 새로운 패턴 검사부는,
상기 분류된 패턴에서, 제1 데이터 프레임 다음에 제2 데이터 프레임이 위치하는 빈도를 고려하여 정상 여부를 판단하고, 특정 데이터 프레임 다음에 올 수 있는 모든 데이터 프레임들의 빈도수의 합을 고려하여 정상 여부를 판단하는 무선 트래픽의 패턴 분석 장치.
A receiver configured to receive wireless traffic and classify the received wireless traffic into at least one pattern; And
A new pattern check unit that determines whether the at least one pattern is normal by referring to an N gram table generated from a normal model during a training period,
The new pattern inspection unit,
In the categorized pattern, it is determined whether the second data frame is located after the first data frame to determine whether it is normal. Device for pattern analysis of wireless traffic to determine.
상기 정상 모델에 N 그램 모델을 적용하여 상기 정상 모델에 존재하는 패턴으로부터 상기 N 그램 테이블을 생성하는 N-그램 테이블 생성부
를 더 포함하는 무선 트래픽의 패턴 분석 장치.
The method of claim 1,
N-gram table generator for generating the N gram table from the pattern existing in the normal model by applying the N gram model to the normal model
Pattern analysis apparatus for wireless traffic further comprising.
상기 새로운 패턴 검사부는,
크네세르-네이 스무딩(Kneser-Ney Smoothing)을 통해 상기 각 패턴에 대한 확률을 계산하는 무선 트래픽의 패턴 분석 장치.
The method of claim 1,
The new pattern inspection unit,
A pattern analysis apparatus for wireless traffic that calculates a probability for each pattern through Kneser-Ney Smoothing.
상기 새로운 패턴 검사부는,
상기 분류된 패턴에서, 전체 프레임 중 특정 데이터 프레임이 나올 확률을 고려하여 정상 여부를 판단하는 무선 트래픽의 패턴 분석 장치.
The method of claim 1,
The new pattern inspection unit,
In the classified pattern, the pattern analysis apparatus of the wireless traffic to determine whether the normal in consideration of the probability of a particular data frame out of the entire frame.
상기 새로운 패턴 검사부는,
상기 적어도 하나 이상의 패턴이 새로운 패턴인 경우, 크네세르-네이 스무딩(Kneser-Ney Smoothing)을 통해 상기 각 패턴에 대해 정상일 확률을 계산한 후, 특정 임계값 이상인 경우 상기 적어도 하나 이상의 패턴을 정상 패턴으로 판단하는 무선 트래픽의 패턴 분석 장치.
The method of claim 1,
The new pattern inspection unit,
When the at least one pattern is a new pattern, a probability of being normal for each of the patterns is calculated through Kneser-Ney Smoothing, and when the at least one pattern is greater than or equal to a certain threshold, the at least one pattern is converted into a normal pattern. Device for pattern analysis of wireless traffic to determine.
상기 분류된 패턴들 중에서, 제1 데이터 프레임 다음에 제2 데이터 프레임이 위치하는 빈도를 계산하고, 상기 제1 데이터 프레임 다음에 올 수 있는 모든 데이터 프레임들의 빈도수의 합을 계산하며, 전체 프레임 중에서 상기 제1 데이터 프레임이 나올 확률을 계산하는 계산부; 및
상기 계산 결과를 고려하여 패턴의 확률 값이 특정 임계값 이상인 경우 정상 패턴으로 판단하여 정상 모델에 추가하여 정상 모델을 개선시키는 개선부
를 포함하는 것을 특징으로 하는 무선트래픽의 패턴 분석 장치
A classification unit classifying patterns from a normal model;
Among the classified patterns, calculate a frequency at which a second data frame is located after a first data frame, calculate a sum of frequencies of all data frames that may come after the first data frame, and wherein A calculator configured to calculate a probability of the first data frame; And
Improvement unit for determining a normal pattern and improving the normal model in addition to the normal model when the probability value of the pattern is greater than a certain threshold in consideration of the calculation result
Pattern analysis apparatus for wireless traffic, comprising a
무선 트래픽을 수신하고, 상기 수신된 무선 트래픽을 적어도 하나 이상의 패턴으로 분류하는 단계; 및
상기 생성된 N 그램 테이블을 참고하여, 상기 적어도 하나 이상의 패턴에 대한 정상 여부를 판단하는 단계
를 포함하고,
상기 적어도 하나 이상의 패턴에 대한 정상 여부를 판단하는 단계는,
상기 분류된 패턴에서, 제1 데이터 프레임 다음에 제2 데이터 프레임이 위치하는 빈도를 고려하여 정상 여부를 판단하는 단계; 및
상기 분류된 패턴에서, 특정 데이터 프레임 다음에 올 수 있는 모든 데이터 프레임들의 빈도수의 합을 고려하여 정상 여부를 판단하는 단계를 포함하는 무선 트래픽의 패턴 분석 방법.
Generating an N gram table from a pattern present in the normal model by applying an N gram model to a normal model;
Receiving wireless traffic and classifying the received wireless traffic into at least one pattern; And
Determining whether the at least one pattern is normal by referring to the generated N gram table
Including,
Determining whether or not the at least one pattern is normal,
Determining whether the pattern is normal by considering a frequency at which the second data frame is located after the first data frame; And
In the classified pattern, determining whether or not normal by considering the sum of the frequency of all data frames that can come after a specific data frame.
상기 정상 여부를 판단하는 단계는,
크네세르-네이 스무딩(Kneser-Ney Smoothing)을 통해 상기 각 패턴에 대한 확률을 계산하는 단계
를 포함하는 무선 트래픽의 패턴 분석 방법.
The method of claim 9,
The determining of the normal state,
Computing the Probability for Each of the Patterns Through Kneser-Ney Smoothing
Pattern analysis method of wireless traffic comprising a.
상기 각 패턴에 대한 확률을 계산하는 단계는,
상기 적어도 하나 이상의 패턴이 새로운 패턴인 경우, 상기 크네세르-네이 스무딩(Kneser-Ney Smoothing)을 통해 상기 각 패턴에 대해 정상일 확률을 계산한 후, 특정 임계값 이상인 경우 상기 적어도 하나 이상의 패턴을 정상 패턴으로 판단하는 단계
를 포함하는 무선 트래픽의 패턴 분석 방법.
The method of claim 10,
Calculating the probability for each pattern,
When the at least one pattern is a new pattern, a probability of being normal for each of the patterns is calculated through Kneser-Ney Smoothing, and when the at least one pattern is greater than or equal to a certain threshold, the at least one pattern is normal. Steps to judge
Pattern analysis method of wireless traffic comprising a.
상기 적어도 하나 이상의 패턴에 대한 정상 여부를 판단하는 단계는,
상기 분류된 패턴에서, 전체 프레임 중 특정 데이터 프레임이 나올 확률을 고려하여 정상 여부를 판단하는 단계
를 포함하는 무선 트래픽의 패턴 분석 방법.
The method of claim 9,
Determining whether or not the at least one pattern is normal,
In the classified pattern, determining whether or not normal by considering a probability that a particular data frame of the entire frame is out;
Pattern analysis method of wireless traffic comprising a.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020160165268A KR102029184B1 (en) | 2016-12-06 | 2016-12-06 | Apparatus and method of analyzing pattern of wireless traffic |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020160165268A KR102029184B1 (en) | 2016-12-06 | 2016-12-06 | Apparatus and method of analyzing pattern of wireless traffic |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20180064859A KR20180064859A (en) | 2018-06-15 |
KR102029184B1 true KR102029184B1 (en) | 2019-10-07 |
Family
ID=62628988
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020160165268A KR102029184B1 (en) | 2016-12-06 | 2016-12-06 | Apparatus and method of analyzing pattern of wireless traffic |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR102029184B1 (en) |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101619414B1 (en) * | 2015-01-06 | 2016-05-10 | 한국인터넷진흥원 | System for detecting abnomal behaviors using personalized early use behavior pattern analsis |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100394539B1 (en) | 2001-03-02 | 2003-08-14 | 지정아 | Method for manufacturmg a drink mainly made from an Agaricus mushroom |
KR100745678B1 (en) * | 2005-12-08 | 2007-08-02 | 한국전자통신연구원 | Effective Intrusion Detection Device and the Method by Analyzing Traffic Patterns |
KR20080043643A (en) | 2006-11-14 | 2008-05-19 | 주식회사 대우일렉트로닉스 | Steam boiler |
KR101322037B1 (en) * | 2011-12-28 | 2013-10-28 | 한양대학교 산학협력단 | Method of providing efficient matching mechanism using index based on n-gram model generation in intrusion detection system |
-
2016
- 2016-12-06 KR KR1020160165268A patent/KR102029184B1/en active IP Right Grant
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101619414B1 (en) * | 2015-01-06 | 2016-05-10 | 한국인터넷진흥원 | System for detecting abnomal behaviors using personalized early use behavior pattern analsis |
Also Published As
Publication number | Publication date |
---|---|
KR20180064859A (en) | 2018-06-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9769190B2 (en) | Methods and apparatus to identify malicious activity in a network | |
US11526421B2 (en) | Dynamic experimentation evaluation system | |
US20110208679A1 (en) | Trouble pattern creating program and trouble pattern creating apparatus | |
US20170126724A1 (en) | Log analyzing device, attack detecting device, attack detection method, and program | |
US8065731B1 (en) | System and method for malware containment in communication networks | |
WO2015051638A1 (en) | Fault location method and device | |
JP6741810B2 (en) | Electronic device, method and computer-readable medium | |
US20160269902A1 (en) | Method And System For Monitoring And Processing Wireless Signals | |
US20210027769A1 (en) | Voice alignment method and apparatus | |
US20140156766A1 (en) | Method and apparatus for spam message detection | |
US10673979B2 (en) | User data sharing method and device | |
CN111163065A (en) | Abnormal user detection method and device | |
US20150248834A1 (en) | Real-time traffic detection | |
CN111611519B (en) | Method and device for detecting personal abnormal behaviors | |
CN110689885B (en) | Machine synthesized voice recognition method, device, storage medium and electronic equipment | |
CN114915479A (en) | Web attack phase analysis method and system based on Web log | |
CN104022879A (en) | Voice security verification method and apparatus | |
CN111341333B (en) | Noise detection method, noise detection device, medium, and electronic apparatus | |
CN107395695B (en) | Business pushing method and device | |
CN111523317A (en) | Voice quality inspection method and device, electronic equipment and medium | |
WO2015196377A1 (en) | Method and device for determining user identity category | |
KR102029184B1 (en) | Apparatus and method of analyzing pattern of wireless traffic | |
US11527091B2 (en) | Analyzing apparatus, control method, and program | |
CN110502432B (en) | Intelligent test method, device, equipment and readable storage medium | |
KR101816868B1 (en) | Apparatus and method for verifying rules for malware detection |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant |