KR102083028B1 - System for detecting network intrusion - Google Patents

System for detecting network intrusion Download PDF

Info

Publication number
KR102083028B1
KR102083028B1 KR1020190019075A KR20190019075A KR102083028B1 KR 102083028 B1 KR102083028 B1 KR 102083028B1 KR 1020190019075 A KR1020190019075 A KR 1020190019075A KR 20190019075 A KR20190019075 A KR 20190019075A KR 102083028 B1 KR102083028 B1 KR 102083028B1
Authority
KR
South Korea
Prior art keywords
packet
detection
attack
module
network
Prior art date
Application number
KR1020190019075A
Other languages
Korean (ko)
Inventor
유재선
Original Assignee
유재선
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 유재선 filed Critical 유재선
Priority to KR1020190019075A priority Critical patent/KR102083028B1/en
Application granted granted Critical
Publication of KR102083028B1 publication Critical patent/KR102083028B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Abstract

According to an embodiment of the present invention, a network intrusion detection system comprises: an attack packet detection unit for detecting an attack packet among arbitrary packets entering a lower layer unit network connected to a gateway of a network using determination reference data of any one of pre-registered pattern data and learning data to be learned; and a detection information transmission unit for transmitting information related to the detected attack packet to the gateway and other lower layer unit networks. When a packet processed in real time is referred to as a high speed packet and a packet not processed in real time is referred to as a low speed packet, attack packet detection and detection information transmission may be performed differently depending on whether an incoming packet is a high speed packet or a low speed packet.

Description

네트워크 침입탐지 시스템{System for detecting network intrusion}System for detecting network intrusion

본 발명은 네트워크 침입탐지 시스템으로서, 네트워크를 통해 공격하는 침입을 탐지하는 네트워크 침입탐지 시스템에 관한 것이다.The present invention relates to a network intrusion detection system, the network intrusion detection system for detecting intrusions attacking through the network.

오늘날 네트워크의 기술의 발전과 사용자의 증가로 정보화 사회로 발전하고 있는 반면, 네트워크를 통해 다른 사용자들에게 바이러스를 유포하거나, 공격하는 부정적인 측면도 증가하고 있다.Today, with the development of network technology and the increase of users, the information society has been developed, but the negative side of spreading or attacking viruses to other users through the network is also increasing.

예를 들어, 도 1은 종래 기술에 의한 무선 네트워크에서 발생하는 2계층 서비스 거부 공격을 설명하기 위한 그림이다.For example, FIG. 1 is a diagram illustrating a two-layer denial of service attack occurring in a wireless network according to the prior art.

도 1에서 정상 단말(12)은 무선랜 액세스 포인트(11)와 정상적으로 연결이 맺어진 상태에 있다. 이때 공격자(13)가 나타나 무선상의 패킷을 분석하여 현재 연결되어 있는 정상 단말(12)과 액세스 포인트(11)의 MAC 주소를 알아낸 후, 80211 관리 프레임중 연결을 종료하게 만드는 메시지인 단절(disassociation) 메시지를 위조하여, 액세스 포인트(11)가 정상 단말(12)에게 보내는 것처럼 정상 단말(12)에게 보내면 정상 단말(12)은 연결이 끊어지게 되며, 이 메시지를 계속 받는 경우 이 단말은 액세스 포인트(11)와 연결을 할 수 없게 된다.In FIG. 1, the normal terminal 12 is normally connected to the WLAN access point 11. At this time, the attacker 13 appears to analyze the packet on the radio to find the MAC address of the normal terminal 12 and the access point 11 currently connected, disconnection (disassociation) which is a message to terminate the connection in the 80211 management frame Forging a message and sending it to the normal terminal 12 as if the access point 11 sends it to the normal terminal 12, the normal terminal 12 is disconnected, if the terminal continues to receive this message is the access point You cannot connect with (11).

한편, 이와 같은 네트워크의 침입을 탐지하는 위해 제시된 것이 침입 탐지 시스템(intrusion detection system)이다. 침입 탐지 시스템은 네트워크의 비정상적인 행위, 오용 등을 실시간으로 탐지하는 시스템이다.On the other hand, what is proposed to detect such intrusion of the network is an intrusion detection system (intrusion detection system). Intrusion detection system is a system that detects abnormal behavior and misuse of network in real time.

네트워크 침입 탐지 기술은 크게 오용 탐지(misuse detection)와 비정상행위 탐지(anomaly detection)로 구분될 수 있다.Network intrusion detection technology can be largely divided into misuse detection and abnormal detection.

먼저, 오용 탐지 기술은 이미 알려진 공격 패턴에 대한 시그너쳐(signature)나 룰셋(rule set)을 생성하고, 그 생성된 시그너쳐 또는 룰셋에 일치하는 패턴을 확인함으로써, 공격을 탐지하는 기술이다. 이러한 오용 탐지 기술은 패턴 매칭, 전문가 시스템, 상태 전이 모델, 키 스토로크 모니터링 등이 있다.First, a misuse detection technique is a technique for detecting an attack by generating a signature or rule set for an already known attack pattern and identifying a pattern matching the generated signature or rule set. Such misuse detection techniques include pattern matching, expert systems, state transition models, and keystroke monitoring.

그리고 비정상행위 탐지 기술은 정상행위에 대한 정상 프로파일을 생성하고, 그 생성된 정상 프로파일을 벗어나는 행위들을 공격으로서 간주하는 기술로써, 통계적 방법, 신경망 기법, 예측 가능 패턴 생성 등의 기법 등이 존재한다.The abnormal behavior detection technology generates a normal profile for normal behavior and considers behaviors outside the generated normal profile as an attack, and there are methods such as statistical methods, neural network techniques, and predictable pattern generation.

그러나 일반적인 침입 탐지 기술은 오용 또는 비정상행위를 탐지하기 위해서는 사전 데이터가 필요함은 물론, 사전 데이터에서 벗어나는 오용 또는 비정상행위를 탐지할 수 없다.However, general intrusion detection technology requires advance data to detect misuse or abnormality, and cannot detect misuse or abnormality that deviates from the prior data.

예를 들어, 오용 탐지 기술에는 이미 알려진 공격 패턴에 대한 시그너쳐 또는 룰셋을 생성하기 위한 사전 데이터가 필요하며, 또한, 시그너쳐 또는 룰셋을 벗어나는 패턴에 대해서는 탐지할 수 없다.For example, misuse detection techniques require advance data for generating signatures or rulesets for known attack patterns, and cannot detect patterns outside signatures or rulesets.

또한, 비정상행위 탐지 기술에서는 사전 데이터에 의존하여 비정상행위를 탐지하기 위한 정상 프로파일을 생성하기 때문에 사전 데이터에 탐지 기준이 의존적이며, 정상 프로파일을 생성하기 위한 학습 과정에 많은 학습 데이터가 필요하다.In addition, since abnormal behavior detection technology generates a normal profile for detecting abnormal behavior based on prior data, detection criteria depend on prior data, and much learning data is required in the learning process for generating the normal profile.

한편, 기존에는 네트워크를 통하여 전송된 고속 패킷을 처리하는 경우 패킷 누수가 발생하여 모든 패킷을 포함하는 트래픽에 대한 침입탐지를 수행하지 못하는 문제점이 있었다. 또한, 이를 극복하기 위하여 네트워크 트래픽을 분산시키는 방법(공개특허: 10-2010-0022446, ‘상호 협력적인 다중 서버를 통한 침입탐지장치 및 방법 그리고 침입탐지 통제 장치 및 방법’)이 제시되었으나 상기 분산 방법도 처리되어야 할 트래픽 자체를 줄이지는 못하는 문제점이 존재한다.On the other hand, when processing a high-speed packet transmitted through the network in the past there was a problem that can not perform intrusion detection for traffic including all packets due to packet leaks. In addition, to overcome this problem, a method of distributing network traffic (Patent No. 10-2010-0022446, 'Intrusion detection apparatus and method through mutual cooperation and multiple servers and intrusion detection control apparatus and method') has been proposed. There is also a problem that does not reduce the traffic itself to be processed.

한국공개특허 10-2010-0022446Korea Patent Publication 10-2010-0022446

본 발명의 기술적 과제는 네트워크에서의 공격 패킷 침입 탐지의 정확성 및 효율성을 꾀할 수 있는 네트워크에서의 공격 패킷 침입 탐지 시스템을 제공하는데 있다.An object of the present invention is to provide an attack packet intrusion detection system in a network that can achieve the accuracy and efficiency of attack packet intrusion detection in a network.

본 발명의 실시 형태는 미리 등록된 패턴 데이터, 학습되는 학습 데이터 중 어느 하나의 판단 기준 데이터를 이용하여, 네트워크의 게이트웨이에 연결된 하위 계층 단위 네트워크에 유입되는 임의의 패킷 중에서 공격 패킷을 탐지하는 공격 패킷 탐지부; 및 상기 탐지된 공격 패킷의 관련 정보를 상기 게이트웨이 및 다른 하위 계층 단위 네트워크에 전달하는 탐지정보 전달부;를 포함하며, 실시간으로 처리되는 패킷을 고속 패킷이라 하고 실시간 처리되지 않는 패킷을 저속 패킷이라 할 때, 유입되는 패킷이 고속 패킷인지 저속 패킷인지 여부에 따라서 공격 패킷 탐지와 탐지정보 전달을 다르게 수행할 수 있다.According to an embodiment of the present invention, an attack packet that detects an attack packet among arbitrary packets flowing into a lower layer unit network connected to a gateway of a network using decision criterion data of any one of pre-registered pattern data and learned data. Detection unit; And a detection information transfer unit for transmitting related information of the detected attack packet to the gateway and another lower layer unit network, wherein a packet processed in real time is referred to as a high speed packet and a packet not processed in real time is referred to as a low speed packet. When the incoming packet is a high speed packet or a low speed packet, attack packet detection and detection information transmission may be performed differently.

상기 공격 패킷 탐지부는, 유입되는 패킷이 고속 패킷인지 저속 패킷인지 여부에 따라서 판단 기준 데이터를 다르게 결정하며, 상기 탐지정보 전달부는, 유입되는 패킷이 고속 패킷인 경우 탐지된 공격 패킷의 관련 정보를 상기 게이트웨이 및 다른 하위 계층 단위 네트워크에 단계별로 추가 전달할 수 있다.The attack packet detector may determine different determination criteria data according to whether the incoming packet is a high speed packet or a low speed packet, and the detection information transfer unit may determine related information of the detected attack packet when the incoming packet is a high speed packet. Additional step-by-step delivery can be made to gateways and other lower-layer unit networks.

상기 공격 패킷 탐지부는, 패턴 데이터가 미리 등록된 패턴 DB; 유입되는 패킷을 학습하여 공격 패킷을 탐지하는 학습 데이터 기준 탐지 모듈; 유입되는 패킷을 패턴 DB와 비교하여 공격 패킷을 탐지하는 패턴 데이터 기준 탐지 모듈; 유입되는 패킷이 고속 패킷인지 저속 패킷인지 판단하는 패킷 유입 속도 판단 모듈; 및 유입되는 패킷이 고속 패킷인지 저속 패킷인지 여부에 따라서 공격 패킷을 탐지하는 판단 기준 데이터를 다르게 적용하는 탐지 구동 모듈;을 포함할 수 있다.The attack packet detection unit may include a pattern DB in which pattern data is registered in advance; A learning data reference detection module for detecting an attack packet by learning an incoming packet; A pattern data reference detection module for detecting an attack packet by comparing an incoming packet with a pattern DB; A packet inflow rate determining module for determining whether an incoming packet is a high speed packet or a low speed packet; And a detection driving module for differently applying the criterion data for detecting the attack packet according to whether the incoming packet is a high speed packet or a low speed packet.

상기 학습 데이터 기준 탐지 모듈은, 네트워크 상의 적어도 하나 이상의 패킷을 캡쳐하는 패킷 캡쳐 모듈; 상기 패킷 캡쳐 모듈에서 캡쳐된 각 패킷의 특성에 따른 특성 값을 제공하는 전처리 모듈; 및 전처리 모듈로부터 제공되는 상기 각 특성 값에 따른 패턴을 상이한 두 개의 패턴 집합으로 구분하고, 상기 각 패턴 집합 중 원소가 많은 패턴 집합을 기준 집합으로 선택하여 네트워크 침입을 탐지하는 학습 엔진 모듈;을 포함할 수 있다.The learning data reference detection module includes: a packet capture module for capturing at least one packet on a network; A preprocessing module for providing a characteristic value according to the characteristic of each packet captured by the packet capture module; And a learning engine module for dividing a pattern according to each characteristic value provided from a preprocessing module into two different pattern sets, and selecting a pattern set having many elements from each pattern set as a reference set to detect network intrusion. can do.

상기 탐지 구동 모듈은, 유입되는 패킷이 고속 패킷인 경우 패턴 데이터 기준 탐지 모듈을 구동하여 공격 패킷을 탐지하며, 유입되는 패킷이 저속 패킷인 경우 학습 데이터 기준 탐지 모듈을 구동하여 공격 패킷을 탐지할 수 있다.The detection driving module detects an attack packet by driving a pattern data reference detection module when the incoming packet is a high speed packet, and detects an attack packet by driving a learning data reference detection module when the incoming packet is a low speed packet. have.

상기 탐지 구동 모듈은, 유입되는 패킷이 고속 패킷인 경우, 패턴 데이터 기준 탐지 모듈을 구동하여 공격 패킷을 1차 탐지하여 1차 탐지정보를 생성한 후, 학습 데이터 기준 탐지 모듈을 구동하여 공격 패킷을 2차 탐지하여 2차 탐지 정보를 생성할 수 있다.When the incoming packet is a high-speed packet, the detection driving module drives the pattern data reference detection module to generate the first detection information by first detecting the attack packet, and then drives the training data reference detection module to generate the attack packet. Secondary detection can be used to generate secondary detection information.

상기 탐지정보 전달부는, 유입되는 패킷이 고속 패킷인 경우 상기 1차 탐지 정보를 상기 게이트웨이 및 다른 하위 계층 단위 네트워크에 실시간으로 1차 전달한 후, 상기 2차 탐지 정보를 상기 게이트웨이 및 다른 하위 계층 단위 네트워크에 2차 전달할 수 있다.The detection information transmitter, if the incoming packet is a high-speed packet, first forwards the primary detection information to the gateway and the other lower layer unit network in real time, and then transmits the second detection information to the gateway and the other lower layer unit network. Can be passed on to the secondary.

본 발명의 실시 형태에 따르면 고속 패킷이라 할지라도 네트워크에서의 공격 패킷 침입 탐지의 정확성 및 효율성을 꾀할 수 있다.According to the embodiment of the present invention, even the high speed packet can achieve the accuracy and efficiency of attack packet intrusion detection in the network.

도 1은 네트워크 공격을 도시한 그림.
도 2는 본 발명의 실시예에 따른 네트워크 침입탐지 시스템을 도시한 구성도.
도 3은 본 발명의 실시예에 따른 공격 패킷 탐지부의 구성 블록도.
도 4는 본 발명의 실시예에 따른 학습 데이터 기준 탐지 모듈의 구성 블록도.
도 5는 본 발명의 실시예에 따라 패킷 속도별 공격 패킷 탐지 방식과 전달 방식이 달라지는 모습을 도시한 그림.
도 6은 본 발명의 실시예에 따라 고속 패킷일 경우 추가 탐지가 이루어지는 모습을 도시한 그림.
도 7은 본 발명의 실시예에 따라 고속 패킷일 경우 추가 전달이 이루어지는 모습을 도시한 그림.1 illustrates a network attack.
Figure 2 is a block diagram showing a network intrusion detection system according to an embodiment of the present invention.
3 is a block diagram of an attack packet detector according to an embodiment of the present invention;
4 is a block diagram of a learning data reference detection module according to an embodiment of the present invention;
5 is a diagram illustrating a state in which an attack packet detection method and a delivery method for each packet rate are changed according to an embodiment of the present invention.
6 is a diagram illustrating a state in which additional detection is performed in the case of a high speed packet according to an embodiment of the present invention.
7 is a diagram illustrating a state in which additional delivery is performed in case of a high speed packet according to an embodiment of the present invention.

이하, 본 발명의 장점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나 본 발명은, 이하에서 개시되는 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 것이며, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것으로, 본 발명은 청구항의 범주에 의해 정의될 뿐이다. 또한, 본 발명을 설명함에 있어 관련된 공지 기술 등이 본 발명의 요지를 흐리게 할 수 있다고 판단되는 경우 그에 관한 자세한 설명은 생략하기로 한다.Advantages and features of the present invention, and methods for achieving them will be apparent with reference to the embodiments described below in detail with reference to the accompanying drawings. However, the present invention is not limited to the embodiments disclosed below, but may be implemented in various forms, and is provided to fully inform the scope of the invention to those skilled in the art. The invention is defined only by the scope of the claims. In addition, in describing the present invention, when it is determined that related related technologies and the like may obscure the gist of the present invention, detailed description thereof will be omitted.

도 2는 본 발명의 실시예에 따른 네트워크 침입탐지 시스템을 도시한 구성도이며, 도 3은 본 발명의 실시예에 따른 공격 패킷 탐지부의 구성 블록도이며, 도 4는 본 발명의 실시예에 따른 학습 데이터 기준 탐지 모듈의 구성 블록도이며, 도 5는 본 발명의 실시예에 따라 패킷 속도별 공격 패킷 탐지 방식과 전달 방식이 달라지는 모습을 도시한 그림이며, 도 6은 본 발명의 실시예에 따라 고속 패킷일 경우 추가 탐지가 이루어지는 모습을 도시한 그림이며, 도 7은 본 발명의 실시예에 따라 고속 패킷일 경우 추가 전달이 이루어지는 모습을 도시한 그림이다.2 is a block diagram showing a network intrusion detection system according to an embodiment of the present invention, Figure 3 is a block diagram of an attack packet detection unit according to an embodiment of the present invention, Figure 4 is according to an embodiment of the present invention 5 is a block diagram illustrating a configuration of a training data reference detection module, and FIG. 5 is a diagram illustrating how an attack packet detection method and a transmission method differ according to packet speeds according to an embodiment of the present invention, and FIG. 6 is according to an embodiment of the present invention. In the case of a high speed packet, an additional detection is performed. FIG. 7 is a diagram illustrating an additional delivery in the case of a high speed packet according to an embodiment of the present invention.

네트워크 특히 홈 네트워크를 통해 상호 연결되어 사용되는 다양한 디지털 기기는 댁외 또는 댁내에서 접근되어 활용되기 때문에 중간 매개체인 홈 게이트웨이에서의 침입 탐지(보안 취약성 분석) 뿐만 아니라 홈 게이트웨이에 연결된 하위 계층 단위 네트워크에서의 침입 탐지도 아울러 요구된다. 여기서 하위계층 단위 네트워크란 하나의 댁내 망을 형성하고 홈 서버에 연결된 단위 홈 네트워크를 의미하는 것으로 쉽게 말하면 하나의 가정에 있는 여러 홈 기기가 연결되어 이루어진 네트워크를 의미한다.Because various digital devices interconnected through the network, especially the home network, are accessed and utilized outside or inside the home, not only intrusion detection (security vulnerability analysis) in the intermediate gateway home gateway, but also in the lower layer network connected to the home gateway. Intrusion detection is also required. Here, the lower layer unit network refers to a unit home network that forms one home network and is connected to a home server. In other words, the lower layer unit network refers to a network in which several home devices in one home are connected.

기존의 침입 탐지 모델은 중앙 집중 형태의 침입 탐지를 수행하기 때문에 특히 하위 계층 단위 네트워크에서의 침입 탐지에 문제가 발생한다. 특히, 공격 패킷이 탐지되면 하위 계층 단위 네트워크에 이를 전파할 필요가 있는데, 실시간으로 처리되는 고속 패킷에서 공격 패킷이 발견되면 이를 하위 계층 단위 네트워크에 전달할 필요가 있다.The existing intrusion detection model performs centralized intrusion detection, which is particularly problematic for intrusion detection in lower layer networks. In particular, when an attack packet is detected, it is necessary to propagate it to a lower layer network, and when an attack packet is found in a high speed packet processed in real time, it needs to be delivered to the lower layer network.

본 발명은 이러한 문제를 해결하기 위해 하위 계층 단위로 독립적으로 침입을 탐지함과 동시에 패킷 속도에 따라서 격 패킷 탐지와 탐지정보 전달을 다르게 수행하도록 한다.In order to solve this problem, the present invention independently detects an intrusion in a lower layer unit and simultaneously performs different packet detection and detection information transmission according to the packet rate.

즉, 본 발명은 고속 패킷일 때는, 학습 데이터를 이용하지 않고 미리 등록된 패턴 데이터(예컨대, 시그너쳐 또는 룰셋 패턴)을 활용하여 공격 패킷 여부를 신속히 파악하여 이를 하위 계층에 신속하게 전파하도록 한다. 나아가, 고속 패킷일 때는 1차적으로 패턴 데이터(예컨대, 시그너쳐 또는 룰셋 패턴)을 활용하여 공격 패킷 여부를 신속히 파악하여 전파하고, 1차 전파 후에 2차적으로 학습 데이터를 이용하여 공격 패킷 여부를 파악한 후 하위 계층에 2차 전파하도록 한다.That is, in the present invention, when the packet is a high-speed packet, it is possible to quickly detect whether an attack packet is made by using pattern data (for example, signature or ruleset pattern) registered in advance without using the training data, and to quickly propagate it to lower layers. Furthermore, in the case of a high speed packet, first, pattern data (for example, signature or ruleset pattern) is used to quickly identify and propagate the attack packet, and after the first propagation, the second packet is used to learn whether the attack packet is second. Secondary propagation to lower layers.

이를 위하여 본 발명의 네트워크 침입탐지 시스템은, 도 2에 도시한 바와 같이, 판단 기준 데이터를 이용하여 네트워크의 게이트웨이에 연결된 하위 계층 단위 네트워크에 유입되는 임의의 패킷 중에서 공격 패킷을 탐지하는 공격 패킷 탐지부(100)와, 탐지된 공격 패킷의 관련 정보를 하위 계층 단위 네트워크에 전달하는 탐지정보 전달부(200)를 포함한다. 이러한 공격 패킷 탐지부(100)와 탐지정보 전달부(200)는, 셋탑박스, 교환기 등의 네트워크 중계기 등에 기능이 구비될 수 있다. 이하 상술하기로 한다.To this end, the network intrusion detection system of the present invention, as shown in Figure 2, the attack packet detection unit for detecting the attack packet from any packet flowing into the lower layer unit network connected to the gateway of the network using the determination reference data And a detection information transmission unit 200 for transmitting the related information of the detected attack packet to the lower layer unit network. The attack packet detection unit 100 and the detection information transmission unit 200 may be provided with a function such as a set-top box, a network repeater such as a switch. This will be described below.

1. 공격 패킷 탐지1. Attack packet detection

공격 패킷 탐지부(100)는, 미리 등록된 패턴 데이터, 학습되는 학습 데이터 중에서 어느 하나의 판단 기준 데이터를 이용하여, 네트워크의 게이트웨이에 연결된 하위 계층 단위 네트워크에 유입되는 임의의 패킷 중에서 공격 패킷을 탐지한다. 즉, 실시간으로 처리되는 패킷을 고속 패킷이라 하고 실시간 처리되지 않는 패킷을 저속 패킷이라 할 때, 유입되는 패킷이 고속 패킷인지 저속 패킷인지 여부에 따라서 공격 패킷 탐지를 다르게 수행하도록 한다. 유입되는 패킷이 고속 패킷인지 저속 패킷인지 여부에 따라서 판단 기준 데이터를 결정한다.The attack packet detection unit 100 detects the attack packet from any packet flowing into the lower layer unit network connected to the gateway of the network, by using any one of the reference data registered in advance and the learning data to be learned. do. That is, when a packet processed in real time is called a high speed packet and a packet not processed in real time is called a low speed packet, attack packet detection is performed differently depending on whether an incoming packet is a high speed packet or a low speed packet. The determination reference data is determined according to whether the incoming packet is a high speed packet or a low speed packet.

공격 패킷 탐지부(100)는, 도 3에 도시한 바와 같이 패턴 DB(110), 패턴 데이터 기준 탐지 모듈(130), 학습 데이터 기준 탐지 모듈(140), 패킷 유입 속도 판단 모듈(120), 및 탐지 구동 모듈(150)을 포함할 수 있다.Attack packet detection unit 100, as shown in Figure 3, the pattern DB 110, pattern data reference detection module 130, training data reference detection module 140, packet inflow rate determination module 120, and Detection drive module 150 may be included.

패턴 DB(110)는, 패턴 데이터가 미리 등록된 데이터베이스이다. 이미 알려진 공격 패턴에 대한 시그너쳐(signature)나 룰셋(rule set)을 등의 패턴 데이터가 저장되어 있는 데이터베이스이다.The pattern DB 110 is a database in which pattern data is registered in advance. A database that stores pattern data such as signatures and rule sets for known attack patterns.

패턴 데이터 기준 탐지 모듈(130)은, 유입되는 패킷을 패턴 DB(110)와 비교하여 공격 패킷을 탐지하는 모듈이다. 유입되는 패킷의 패턴이 시그너쳐 또는 룰셋 등의 공격 패턴에 일치하는 패턴을 확인함으로써, 공격을 탐지하는 모듈이다.The pattern data reference detection module 130 is a module that detects an attack packet by comparing the incoming packet with the pattern DB 110. This module detects an attack by checking a pattern in which an incoming packet matches an attack pattern such as a signature or a ruleset.

학습 데이터 기준 탐지 모듈(140)은, 유입되는 패킷을 학습하여 공격 패킷을 탐지하는 모듈이다. 이러한 학습 데이터 기준 탐지 모듈(140)은, 도 4에 도시한 바와 같이, 패킷 캡쳐 모듈(141), 전처리 모듈(142), 및 학습 엔진 모듈(143)을 포함할 수 있다.The training data reference detection module 140 is a module that detects an attack packet by learning an incoming packet. As illustrated in FIG. 4, the training data reference detection module 140 may include a packet capture module 141, a preprocessing module 142, and a learning engine module 143.

패킷 캡쳐 모듈(141)은, 네트워크 상의 적어도 하나 이상의 패킷을 캡쳐한다. 즉, 네트워크 상의 패킷을 무작위 또는 소정 시간 동안 캡쳐한다. 패킷 캡쳐 모듈(141)은 네트워크 침입 탐지 시스템의 대상이 네트워크 또는 호스트인지 여부에 따라 네트워크 상의 패킷을 캡쳐한다.The packet capture module 141 captures at least one packet on the network. That is, packets on the network are captured for random or predetermined time. The packet capture module 141 captures packets on the network depending on whether the target of the network intrusion detection system is a network or a host.

전처리 모듈(142)은, 패킷 캡쳐 모듈(141)에서 캡쳐된 각 패킷의 특성에 따른 특성 값을 제공하는데, 패킷 캡쳐 모듈(141)에서 캡쳐한 패킷을 학습하기 위한 포맷으로 변환한다. 즉, 전처리 모듈(142)은, 학습 엔진 모듈(143)이 캡쳐되는 패킷을 기반으로 학습 과정을 수행할 수 있도록 패킷의 정보를 전처리한다. 일례를 들어, 전처리 모듈(142)은, 캡쳐되는 TCP/IP 패킷의 각 필드 특성에 상응하는 특성 값으로 변환 처리한다. The preprocessing module 142 provides a property value according to the characteristics of each packet captured by the packet capture module 141, and converts the packet captured by the packet capture module 141 into a format for learning. That is, the preprocessing module 142 preprocesses the information of the packet so that the learning engine module 143 may perform the learning process based on the captured packet. For example, the preprocessing module 142 converts the characteristic value corresponding to each field characteristic of the TCP / IP packet to be captured.

학습 엔진 모듈(143)은, 전처리 모듈(142)로부터 제공되는 상기 각 특성 값에 따른 패턴을 상이한 두 개의 패턴 집합으로 구분하고, 각 패턴 집합 중 원소가 많은 패턴 집합을 기준 집합으로 선택하여 네트워크 침입을 탐지한다. 즉, 전처리 모듈(142)로부터 제공되는 각 패킷의 특성 값을 학습하여, 네트워크 침입을 탐지한다. 학습 엔진 모듈(143)은 통계적 학습 이론(Statistical Learning Theory)을 기반으로 각 패킷의 특성 값에 따라 정상 집합과 비정상 집합으로 구분하고, 정상 집합으로부터 기준 프로파일을 도출한다.The learning engine module 143 divides the pattern according to each characteristic value provided from the preprocessing module 142 into two different pattern sets, selects a pattern set having many elements among each pattern set as a reference set, and invades the network. Detect That is, the network intrusion is detected by learning characteristic values of each packet provided from the preprocessing module 142. The learning engine module 143 divides the normal set and the abnormal set according to the characteristic value of each packet based on statistical learning theory, and derives a reference profile from the normal set.

이러한, 학습은 네트워크 침입을 탐지하기 위한 사전 데이터가 없는 상태에서 수신되는 패킷의 패턴에 따라 두 개의 상이한 집합인 정상 집합과 비정상 집합으로 구분하고, 이들 집합을 구분하는 초월면을 패턴 원소가 극히 적은 집합으로 수렵시키고, 하나의 집합으로부터 네트워크 침입을 탐지하는 기준 프로파일을 생성한다.The learning is divided into two different sets, a normal set and an abnormal set, according to the pattern of packets received in the absence of prior data for detecting network intrusion. And create a baseline profile that detects network intrusions from a set.

그리고, 캡쳐되는 패킷의 특성 값에 따른 패턴과 기준 프로파일을 비교하여 네트워크 침입 여부를 탐지한다. 이때, 초기 소정 시간동안 학습 과정을 거쳐 기준 프로파일을 도출하고, 지속적으로 캡쳐되는 패킷의 특성 값에 따라 기준 프로파일을 갱신하거나, 소정 주기마다 학습 과정을 거쳐 기준 프로파일을 갱신할 수 있다.The network intrusion is detected by comparing the pattern according to the characteristic value of the packet to be captured with the reference profile. In this case, the reference profile may be derived through a learning process for an initial predetermined time, and the reference profile may be updated according to a characteristic value of a packet which is continuously captured, or the reference profile may be updated through a learning process every predetermined period.

패킷 유입 속도 판단 모듈(120)는, 유입되는 패킷이 고속 패킷인지 저속 패킷인지 판단한다. 예를 들어, 유입되는 패킷이 미리 설정된 기준 속도보다 빠른 주기로서 유입되는 경우 고속 패킷으로 판단하며, 기준 속도보다 느린 주기로서 유입되는 경우 저속 패킷으로 판단한다.The packet inflow rate determination module 120 determines whether an incoming packet is a high speed packet or a low speed packet. For example, when an incoming packet flows in a cycle faster than a predetermined reference speed, it is determined to be a high speed packet.

탐지 구동 모듈(150)은, 유입되는 패킷이 고속 패킷인지 저속 패킷인지 여부에 따라서 공격 패킷을 탐지하는 판단 기준 데이터를 다르게 적용한다.The detection driving module 150 applies different determination criteria data for detecting an attack packet according to whether an incoming packet is a high speed packet or a low speed packet.

탐지 구동 모듈(150)은, 유입되는 패킷이 고속 패킷인지 저속 패킷인지 여부에 따라서 다음과 같이 두 가지 방식으로 공격 패킷을 탐지하도록 한다.The detection driving module 150 detects attack packets in two ways according to whether the incoming packet is a high speed packet or a low speed packet.

첫 번째 방식은, 도 5에 도시한 바와 같이 유입되는 패킷이 고속 패킷인 경우 패턴 데이터 기준 탐지 모듈(130)을 구동하여 공격 패킷을 탐지하며, 유입되는 패킷이 저속 패킷인 경우 학습 데이터 기준 탐지 모듈(140)을 구동하여 공격 패킷을 탐지하도록 한다. 이는 고속 패킷의 경우 공격 패킷을 학습할 시간이 부족하기 때문에 신속한 공격 패킷 판단을 위해 미리 등록된 패턴 데이터를 활용하여 공격 패킷을 탐지하도록 패턴 데이터 기준 탐지 모듈(130)을 구동시키는 것이다. 반면에, 저속 패킷의 경우 공격 패킷을 학습할 시간이 충분하기 때문에 정확한 공격 패킷 판단을 위해 학습 데이터를 활용하여 공격 패킷을 탐지하도록 학습 데이터 기준 탐지 모듈(140)을 구동시키는 것이다.The first method detects an attack packet by driving the pattern data reference detection module 130 when the incoming packet is a high speed packet, as shown in FIG. 5, and learning data reference detection module when the incoming packet is a low speed packet. 140 to detect the attack packet. This is because the fast packet lacks time to learn the attack packet, thereby driving the pattern data reference detection module 130 to detect the attack packet using the pre-registered pattern data in order to determine the attack packet. On the other hand, since the slow packet has enough time to learn the attack packet, the training data reference detection module 140 is driven to detect the attack packet by using the training data for accurate attack packet determination.

탐지 구동 모듈(150)의 공격 패킷을 탐지하는 다른 두 번째 방식은, 도 6에 도시한 바와 같이 유입되는 패킷이 고속 패킷인 경우, 패턴 데이터 기준 탐지 모듈(130)을 구동하여 공격 패킷을 1차 탐지하여 1차 탐지정보를 생성한 후, 1차 탐지정보를 상기 게이트웨이 및 다른 하위 계층 단위 네트워크로의 전달이 이루어지고 나면 학습 데이터 기준 탐지 모듈(140)을 구동하여 공격 패킷을 2차 탐지하여 2차 탐지 정보를 생성하는 것이다. 고속 패킷일 때 패턴 데이터를 우선적으로 활용하여 신속하게 1차 공격 패킷 탐지를 한 후, 좀 더 정확한 공격 패킷 탐지를 위하여 학습 데이터를 이용하여 2차 공격 패킷을 탐지하는 것이다.As another second method of detecting an attack packet of the detection driving module 150, when the incoming packet is a high speed packet, as shown in FIG. 6, the pattern data reference detection module 130 is driven to primary the attack packet. After detecting and generating the primary detection information, after the primary detection information is transmitted to the gateway and other lower layer unit networks, the training data reference detection module 140 is driven to detect the attack packet secondly. To generate car detection information. In case of high speed packet, first attack packet is detected by using pattern data first and then second attack packet is detected using training data for more accurate attack packet detection.

2. 탐지정보 전달2. Delivery of detection information

공격 패킷이 탐지되면 하위 계층 단위 네트워크에 이를 전파할 필요가 있는데, 실시간으로 처리되는 고속 패킷에서 공격 패킷이 발견되면 이를 하위 계층 단위 네트워크에 전달하도록 한다.When an attack packet is detected, it is necessary to propagate it to a lower layer network. When an attack packet is found in a high speed packet processed in real time, the attack packet is transmitted to a lower layer network.

이를 위해, 탐지정보 전달부(200)는, 탐지된 공격 패킷의 관련 정보를 상기 게이트웨이 및 다른 하위 계층 단위 네트워크에 전달한다. 특히 본 발명은, 실시간으로 처리되는 패킷을 고속 패킷이라 하고 실시간 처리되지 않는 패킷을 저속 패킷이라 할 때, 유입되는 패킷이 고속 패킷인지 저속 패킷인지 여부에 따라서 탐지정보 전달을 다르게 수행하도록 한다.To this end, the detection information transmitting unit 200 transmits the related information of the detected attack packet to the gateway and another lower layer unit network. Particularly, in the present invention, when a packet processed in real time is referred to as a high speed packet, and a packet not processed in real time is referred to as a low speed packet, the detection information is transferred differently depending on whether the incoming packet is a high speed packet or a low speed packet.

즉, 탐지정보 전달부(200)는, 유입되는 패킷이 고속 패킷인 경우 탐지된 공격 패킷의 관련 정보를 게이트웨이 및 다른 하위 계층 단위 네트워크에 단계별로 추가 전달하도록 한다.That is, the detection information transmitting unit 200 may additionally transmit the related information of the detected attack packet to the gateway and another lower layer unit network step by step when the incoming packet is a high speed packet.

예를 들어, 도 7에 도시한 바와 같이 유입되는 패킷이 고속 패킷인 경우 1차 탐지 정보를 게이트웨이 및 다른 하위 계층 단위 네트워크에 실시간으로 1차 전달한 후, 2차 탐지 정보를 게이트웨이 및 다른 하위 계층 단위 네트워크에 2차 전달하도록 한다. 이는, 고속 패킷의 경우, 패턴 데이터를 이용하여 신속히 탐지되는 1차 탐지 정보를 신속하게 1차 전파하고, 정확한 탐지를 위해 학습 데이터를 이용한 2차 탐지 정보를 후속 조치로서 2차 전파하기 위함이다.For example, as shown in FIG. 7, when the incoming packet is a high-speed packet, the primary detection information is first delivered to the gateway and other lower layer unit networks in real time, and the secondary detection information is transmitted to the gateway and other lower layer units. Secondary delivery to the network. This is to rapidly propagate primary detection information quickly detected using pattern data in the case of a high speed packet, and to secondary propagate secondary detection information using learning data as a follow-up measure for accurate detection.

상술한 본 발명의 설명에서의 실시예는 여러가지 실시가능한 예중에서 당업자의 이해를 돕기 위하여 가장 바람직한 예를 선정하여 제시한 것으로, 이 발명의 기술적 사상이 반드시 이 실시예만 의해서 한정되거나 제한되는 것은 아니고, 본 발명의 기술적 사상을 벗어나지 않는 범위내에서 다양한 변화와 변경 및 균등한 타의 실시예가 가능한 것이다.The embodiments in the above description of the present invention are presented by selecting the most preferred examples to help those skilled in the art from the various possible examples, and the technical spirit of the present invention is not necessarily limited or limited only by the embodiments. In addition, various changes, modifications, and other equivalent embodiments may be made without departing from the technical spirit of the present invention.

100:공격 패킷 탐지부
200:탐지정보 전달부100: attack packet detector
200: detection information transmission unit

Claims (7)

미리 등록된 패턴 데이터, 학습되는 학습 데이터 중 어느 하나의 판단 기준 데이터를 이용하여, 네트워크의 게이트웨이에 연결된 하위 계층 단위 네트워크에 유입되는 임의의 패킷 중에서 공격 패킷을 탐지하는 공격 패킷 탐지부; 및
상기 탐지된 공격 패킷의 관련 정보를 상기 게이트웨이 및 다른 하위 계층 단위 네트워크에 전달하는 탐지정보 전달부;를 포함하며,
실시간으로 처리되는 패킷을 고속 패킷이라 하고 실시간 처리되지 않는 패킷을 저속 패킷이라 할 때, 유입되는 패킷이 고속 패킷인지 저속 패킷인지 여부에 따라서 공격 패킷 탐지와 탐지정보 전달을 다르게 수행하고,
상기 공격 패킷 탐지부는, 유입되는 패킷이 고속 패킷인지 저속 패킷인지 여부에 따라서 판단 기준 데이터를 다르게 결정하며,상기 탐지정보 전달부는, 유입되는 패킷이 고속 패킷인 경우 탐지된 공격 패킷의 관련 정보를 상기 게이트웨이 및 다른 하위 계층 단위 네트워크에 단계별로 추가 전달하고,
상기 공격 패킷 탐지부는, 패턴 데이터가 미리 등록된 패턴 DB; 유입되는 패킷을 학습하여 공격 패킷을 탐지하는 학습 데이터 기준 탐지 모듈; 유입되는 패킷을 패턴 DB와 비교하여 공격 패킷을 탐지하는 패턴 데이터 기준 탐지 모듈; 유입되는 패킷이 고속 패킷인지 저속 패킷인지 판단하는 패킷 유입 속도 판단 모듈; 및 유입되는 패킷이 고속 패킷인지 저속 패킷인지 여부에 따라서 공격 패킷을 탐지하는 판단 기준 데이터를 다르게 적용하는 탐지 구동 모듈;을 포함하며,
상기 학습 데이터 기준 탐지 모듈은, 네트워크 상의 적어도 하나 이상의 패킷을 캡쳐하는 패킷 캡쳐 모듈; 상기 패킷 캡쳐 모듈에서 캡쳐된 각 패킷의 특성에 따른 특성 값을 제공하는 전처리 모듈; 및 전처리 모듈로부터 제공되는 상기 각 특성 값에 따른 패턴을 상이한 두 개의 패턴 집합으로 구분하고, 상기 각 패턴 집합 중 원소가 많은 패턴 집합을 기준 집합으로 선택하여 네트워크 침입을 탐지하는 학습 엔진 모듈;을 포함하는 네트워크 침입탐지 시스템.
An attack packet detection unit detecting an attack packet among arbitrary packets flowing into a lower layer unit network connected to a gateway of a network by using the determination reference data of any one of pre-registered pattern data and learned data; And
And a detection information transfer unit for transmitting the related information of the detected attack packet to the gateway and another lower layer unit network.
When a packet processed in real time is referred to as a high speed packet and a packet not processed in real time is referred to as a low speed packet, attack packet detection and detection information transmission are performed differently depending on whether an incoming packet is a high speed packet or a low speed packet.
The attack packet detector may determine different judgment criterion data according to whether an incoming packet is a high speed packet or a low speed packet, and the detection information transfer unit may determine related information of the detected attack packet when the incoming packet is a high speed packet. Step-by-step forwarding to gateways and other lower-tier unit networks,
The attack packet detection unit may include a pattern DB in which pattern data is registered in advance; A learning data reference detection module for detecting an attack packet by learning an incoming packet; A pattern data reference detection module for detecting an attack packet by comparing an incoming packet with a pattern DB; A packet inflow rate determining module for determining whether an incoming packet is a high speed packet or a low speed packet; And a detection driving module for differently applying the criterion data for detecting the attack packet according to whether the incoming packet is a high speed packet or a low speed packet.
The learning data reference detection module includes: a packet capture module for capturing at least one packet on a network; A preprocessing module for providing a characteristic value according to the characteristic of each packet captured by the packet capture module; And a learning engine module for dividing a pattern according to each characteristic value provided from a preprocessing module into two different pattern sets, and detecting a network intrusion by selecting a pattern set having many elements among each pattern set as a reference set. Network intrusion detection system.
삭제delete 삭제delete 삭제delete 청구항 1에 있어서, 상기 탐지 구동 모듈은,
유입되는 패킷이 고속 패킷인 경우 패턴 데이터 기준 탐지 모듈을 구동하여 공격 패킷을 탐지하며, 유입되는 패킷이 저속 패킷인 경우 학습 데이터 기준 탐지 모듈을 구동하여 공격 패킷을 탐지하도록 하는 네트워크 침입탐지 시스템.
The method of claim 1, wherein the detection drive module,
A network intrusion detection system that detects an attack packet by driving a pattern data reference detection module when the incoming packet is a high speed packet, and detects an attack packet by driving a training data reference detection module when the incoming packet is a low speed packet.
청구항 1에 있어서, 상기 탐지 구동 모듈은,
유입되는 패킷이 고속 패킷인 경우, 패턴 데이터 기준 탐지 모듈을 구동하여 공격 패킷을 1차 탐지하여 1차 탐지정보를 생성한 후, 학습 데이터 기준 탐지 모듈을 구동하여 공격 패킷을 2차 탐지하여 2차 탐지 정보를 생성함을 특징으로 하는 네트워크 침입탐지 시스템.
The method of claim 1, wherein the detection drive module,
When the incoming packet is a high speed packet, the pattern data reference detection module is driven to first detect the attack packet to generate the first detection information, and then the training data reference detection module is driven to detect the second attack packet to the secondary. A network intrusion detection system characterized by generating detection information.
청구항 6에 있어서, 상기 탐지정보 전달부는,
유입되는 패킷이 고속 패킷인 경우 상기 1차 탐지 정보를 상기 게이트웨이 및 다른 하위 계층 단위 네트워크에 실시간으로 1차 전달한 후, 상기 2차 탐지 정보를 상기 게이트웨이 및 다른 하위 계층 단위 네트워크에 2차 전달함을 특징으로 하는 네트워크 침입탐지 시스템.The method according to claim 6, wherein the detection information transmission unit,
When the incoming packet is a high-speed packet, the first detection information is first transmitted to the gateway and the other lower layer unit network in real time, and the second detection information is secondly transmitted to the gateway and the other lower layer unit network. Network intrusion detection system characterized in that.
KR1020190019075A 2019-02-19 2019-02-19 System for detecting network intrusion KR102083028B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020190019075A KR102083028B1 (en) 2019-02-19 2019-02-19 System for detecting network intrusion

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020190019075A KR102083028B1 (en) 2019-02-19 2019-02-19 System for detecting network intrusion

Publications (1)

Publication Number Publication Date
KR102083028B1 true KR102083028B1 (en) 2020-02-28

Family

ID=69638270

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020190019075A KR102083028B1 (en) 2019-02-19 2019-02-19 System for detecting network intrusion

Country Status (1)

Country Link
KR (1) KR102083028B1 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102354467B1 (en) 2021-06-25 2022-01-24 영남대학교 산학협력단 Network intrusion detection system using deferred decision for packet
KR20230086976A (en) 2021-12-09 2023-06-16 국방과학연구소 Improved network intrusion detection method and system through hybrid feature selection and data balancing

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20100022446A1 (en) 2007-01-18 2010-01-28 Novo Nordisk A/S Use of Peptides in Combination with Surgical Intervention for the Treatment of Obesity
US20140196113A1 (en) * 2011-08-08 2014-07-10 Zte Corporation Secure on-demand supply method and system and traffic type acquisition method
KR20180062318A (en) * 2016-11-30 2018-06-08 숭실대학교산학협력단 SYSTEM AND METHOD FOR DDoS DETECTION BASED ON SVM-SOM COMBINATION

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20100022446A1 (en) 2007-01-18 2010-01-28 Novo Nordisk A/S Use of Peptides in Combination with Surgical Intervention for the Treatment of Obesity
US20140196113A1 (en) * 2011-08-08 2014-07-10 Zte Corporation Secure on-demand supply method and system and traffic type acquisition method
KR20180062318A (en) * 2016-11-30 2018-06-08 숭실대학교산학협력단 SYSTEM AND METHOD FOR DDoS DETECTION BASED ON SVM-SOM COMBINATION

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102354467B1 (en) 2021-06-25 2022-01-24 영남대학교 산학협력단 Network intrusion detection system using deferred decision for packet
WO2022270678A1 (en) * 2021-06-25 2022-12-29 영남대학교 산학협력단 Network intrusion detection system using determination delay for packets
KR20230086976A (en) 2021-12-09 2023-06-16 국방과학연구소 Improved network intrusion detection method and system through hybrid feature selection and data balancing

Similar Documents

Publication Publication Date Title
US11201882B2 (en) Detection of malicious network activity
Yu et al. An efficient SDN-based DDoS attack detection and rapid response platform in vehicular networks
US11038906B1 (en) Network threat validation and monitoring
Lu et al. Clustering botnet communication traffic based on n-gram feature selection
KR20200033092A (en) An apparatus for network monitoring based on edge computing and method thereof, and system
CN104836702A (en) Host network abnormal behavior detection and classification method under large flow environment
Saxena et al. General study of intrusion detection system and survey of agent based intrusion detection system
CN109768981B (en) Network attack defense method and system based on machine learning under SDN architecture
CN106357660B (en) Method and device for detecting forged source IP in DDOS defense system
CN106534068B (en) Method and device for cleaning counterfeit source IP in DDOS defense system
CN104796405B (en) Rebound connecting detection method and apparatus
Amoli et al. Unsupervised network intrusion detection systems for zero-day fast-spreading attacks and botnets
Andropov et al. Network anomaly detection using artificial neural networks
KR102083028B1 (en) System for detecting network intrusion
Janabi et al. Convolutional neural network based algorithm for early warning proactive system security in software defined networks
CN109743314A (en) Monitoring method, device, computer equipment and its storage medium of Network Abnormal
CN108574673A (en) ARP message aggression detection method and device applied to gateway
Xie et al. Machine learning-based security active defence model-security active defence technology in the communication network
Turcato et al. A cloud-based method for detecting intrusions in profinet communication networks based on anomaly detection
Nguyen et al. Towards improving explainability, resilience and performance of cybersecurity analysis of 5G/IoT networks (work-in-progress paper)
Khosroshahi et al. Detection of sources being used in ddos attacks
Tahmasebi et al. A novel feature-based DDoS detection and mitigation scheme in SDN controller using queueing theory
TWI744545B (en) Decentralized network flow analysis approach and system for malicious behavior detection
CN109729084B (en) Network security event detection method based on block chain technology
Nakahara et al. Malware Detection for IoT Devices using Automatically Generated White List and Isolation Forest.

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant