KR102091076B1 - 지도학습기반의 경보분석과 비지도학습기반의 이상행위탐지 기법을 혼용한 지능형 보안관제 시스템 및 그 방법 - Google Patents

지도학습기반의 경보분석과 비지도학습기반의 이상행위탐지 기법을 혼용한 지능형 보안관제 시스템 및 그 방법 Download PDF

Info

Publication number
KR102091076B1
KR102091076B1 KR1020190044237A KR20190044237A KR102091076B1 KR 102091076 B1 KR102091076 B1 KR 102091076B1 KR 1020190044237 A KR1020190044237 A KR 1020190044237A KR 20190044237 A KR20190044237 A KR 20190044237A KR 102091076 B1 KR102091076 B1 KR 102091076B1
Authority
KR
South Korea
Prior art keywords
learning
data
unit
supervised learning
result
Prior art date
Application number
KR1020190044237A
Other languages
English (en)
Inventor
유재혁
신윤섭
Original Assignee
주식회사 이글루시큐리티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 이글루시큐리티 filed Critical 주식회사 이글루시큐리티
Priority to KR1020190044237A priority Critical patent/KR102091076B1/ko
Application granted granted Critical
Publication of KR102091076B1 publication Critical patent/KR102091076B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Medical Informatics (AREA)
  • Evolutionary Computation (AREA)
  • Data Mining & Analysis (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Artificial Intelligence (AREA)
  • Testing And Monitoring For Control Systems (AREA)

Abstract

본 발명은 지능형 보안관제 시스템 및 그 방법에 관한 것으로, 보다 상세하게는 지도학습기반의 경보분석과 비지도학습기반의 이상행위탐지를 모두 제공하고, 이를 출발지와 목적지 아이피 기준으로 전체이벤트를 장시간 분석해 최상의 예측력을 제공하고 이벤트를 시간의 흐름, 공격단계별로 분석해 보안관제자에게 빠른 공격인지 및 대응을 제공하는 지도학습기반의 경보분석과 비지도학습기반의 이상행위탐지 기법을 혼용한 지능형 보안관제 시스템 및 그 방법에 관한 것이다.

Description

지도학습기반의 경보분석과 비지도학습기반의 이상행위탐지 기법을 혼용한 지능형 보안관제 시스템 및 그 방법 {Intelligent security control system and method using mixed map alert analysis and non-supervised learning based abnormal behavior detection method}
본 발명은 지능형 보안관제 시스템 및 그 방법에 관한 것으로, 보다 상세하게는 지도학습기반의 경보분석과 비지도학습기반의 이상행위탐지를 모두 제공하고, 이를 출발지와 목적지 아이피 기준으로 전체이벤트를 장시간 분석해 최상의 예측력을 제공하고 이벤트를 시간의 흐름, 공격단계별로 분석해 보안관제자에게 빠른 공격인지 및 대응을 제공하는 지도학습기반의 경보분석과 비지도학습기반의 이상행위탐지 기법을 혼용한 지능형 보안관제 시스템 및 그 방법에 관한 것이다.
정보 통신 기술의 발달은 현대인들에게 많은 편리함을 가져다줬지만 최근 들어 대량의 개인정보가 유출되고, 대규모의 시스템 장애가 발생하는 등 보안관련사고의 발생 빈도 역시 증가하는 추세이다. 이러한 위협에 대응하기 위한 일환으로 빅데이터 처리 기술을 기반으로 한 위협 탐지·대응 시스템인 TMS, ESM 등이 있으며, 최근에는 SIEM(Security Information and Event Management, 보안 정보 및 이벤트 관리)으로 통합되고 있다.
SIEM은 각종 보안 장비, 네트워크 인프라, 서버/스토리지 장비 및 서비스 응용들로부터 생성되는 로그, 패킷 등 대량의 로그, 이벤트를 수집하고 이들의 연관성 분석을 통해 보안 위협을 관리하는 솔루션이다. 일반적으로 SIEM을 통한 보안 분석은 공격패턴인 시그니처를 기반으로 생성된 룰을 통해 이뤄지기 때문에 패턴을 분석할 때 임계치 이하의 행위나 패턴 이외의 행위는 탐지하지 못하는 문제가 발생한다.
도 1은, 네트워크 침입방지 시스템의 구성도로 한국등록특허공보 제 10 - 1553264호(2015.09.09)에 개시되어 있다. 이 발명은 여러 개의 모듈로 구성된 네트워크 침입방지 시스템에 대한 발명으로 시스템을 구성하는 모듈 중 하나인 침입방지실행모듈에 시그니처 데이터를 미리 저장시킴과 동시에 수신된 패킷의 처리를 위임함으로써 HOF(Head-Of- Flow dealy)나 플로우 테이블 조회 병목 문제와 같이 모듈이 물리적으로 분리되었을 때 발생하는 문제를 해결한 발명이다.
하지만 앞서 말한 것처럼 시그니처 일치 여부를 이용해 공격 유무를 판단하는 방식은 임계치 이하의 행위나 패턴 이외의 행위는 탐지하지 못하는 문제가 있는데, 2017년 발생했던 워너크라이(WannaCry) 사태는 기존의 공격형태와 달리 알려진 형태와 알려지지 않은 형태의 공격이 결합된 형태였기 때문에 매우 빠른 속도로 확산 되었고, 그 피해 역시 컸던 사건이다. 이처럼 최근 발생하는 고도화된 위협에 대응할 수 있는 방어수단이 없는 상황을 해결하기 위해 사전에 위협을 예측하고, 이미 진행된 공격을 찾아 공격 확산을 막고, 유사 공격을 차단하기 위한 전략으로 인공지능을 이용한 선제적 침해 탐지·대응 전략이 그 해결책으로 부상하고 있다.
한국등록특허공보 제10-1553264호(2015.09.09)
본 발명은 앞서 본 종래 기술의 문제점을 해결하기 위하여 안출된 것으로, 본 발명의 목적은 보안관제 시스템 및 그 방법에 있어 인공지능을 이용한 선제적 침해 탐지·대응 전략을 제공하는 것이다.
본 발명의 다른 목적은 기계학습 방법 중 하나인 지도학습을 통해 과거 경보에 대한 분석 시나리오 기반 데이터와 사고처리내역을 학습하여 신규로 발생하는 경보에 대해 예측해 분석에 대한 우선순위를 제공하는 것이다.
본 발명의 또 다른 목적은 기계학습 방법 중 하나인 비지도학습을 통해 관제중인 네트워크에서 발생한 비정상 행위를 학습하여 신규로 발생하는 비정상 행위를 탐지해 제로데이 공격과 같은 알려지지 않은 공격의 탐지를 가능하게 하는 것이다.
본 발명의 또 다른 목적은 지도학습을 이용한 경보분석과 비지도학습 이용한 비정상 행위 탐지를 통해 발생하는 보안이벤트를 장시간 분석해 최상의 예측력을 제공하고 이벤트를 시간의 흐름, 공격단계별로 분석해 보안관제자에게 빠른 공격인지 및 대응을 할 수 있도록 하는 보안관제 시스템 및 그 방법을 제공하는 것이다.
본 발명은 앞서 본 목적을 달성하기 위해서 다음과 같은 구성을 가진 실시예에 의해서 구현된다.
본 발명의 일 실시예에 따른 지도학습기반의 경보분석과 비지도학습기반의 이상행위탐지 기법을 혼용한 지능형 보안관제 시스템은 기계학습에 필요한 데이터를 수집하는 데이터 수집부와, 수집한 데이터를 기계학습용 데이터로 변환하는 데이터 전처리부와, 변환된 데이터를 이용해 지도학습과 비지도학습을 진행하고 위험도를 산출하는 인공지능부와, 산출해낸 위험도를 분석하고 종합하는 결과 분석부와, 종합한 결과를 위험도를 기준으로 사용자에게 알려주는 결과 출력부와, 각종 데이터를 저장하는 DB 저장소를 포함하여 지도학습에 의한 경보분석과 비지도학습에 의한 비정상 행위 탐지를 특징으로 한다.
본 발명의 다른 실시예에 따르면, 본 발명에 따른 지도학습기반의 경보분석과 비지도학습기반의 이상행위탐지 기법을 혼용한 지능형 보안관제 시스템에 있어 상기 인공지능부는 데이터 전처리부에서 전달받은 데이터를 지도학습용과 비지도학습용으로 분류하는 학습데이터 분류부와, 지도학습을 진행하는 지도학습부와, 비지도학습을 진행하는 비지도학습부와, 지도학습과 비지도학습의 결과를 처리하는 학습결과 처리부를 포함하는 것을 특징으로 한다.
본 발명의 또 다른 실시예에 따르면, 본 발명에 따른 지도학습기반의 경보분석과 비지도학습기반의 이상행위탐지 기법을 혼용한 지능형 보안관제 시스템에 있어 상기 지도학습부는 분류된 지도학습용 데이터에 따라 지도학습 알고리즘을 선택하는 지도학습 알고리즘 선택부와, 선택된 알고리즘을 이용해 지도학습을 진행하는 지도학습 진행부와, 지도학습의 결과로 생성된 예측모델을 평가하는 예측 모델 평가부를 포함하는 것을 특징으로 한다.
본 발명의 또 다른 실시예에 따르면, 본 발명에 따른 지도학습기반의 경보분석과 비지도학습기반의 이상행위탐지 기법을 혼용한 지능형 보안관제 시스템에 있어 상기 비지도학습부는 분류된 비지도학습용 데이터에 따라 비지도학습 알고리즘을 선택하는 비지도학습 알고리즘 선택부와, 선택된 알고리즘을 이용해 비지도학습을 진행하는 비지도학습 진행부와, 비지도학습의 결과로 생성된 이상치 탐지모델을 평가하는 이상치 탐지모델 평가부를 포함하는 것을 특징으로 한다.
본 발명의 또 다른 실시예에 따르면, 본 발명에 따른 지도학습기반의 경보분석과 비지도학습기반의 이상행위탐지 기법을 혼용한 지능형 보안관제 시스템에 있어상기 학습결과 처리부는 각 경보에 대한 사고처리와 스코어를 제공하는 지도학습결과 처리부와, 이상치 유형에 따른 위협 스코어를 제공하는 비지도학습결과 처리부를 포함하는 것을 특징으로 한다.
본 발명의 또 다른 실시예에 따르면, 본 발명에 따른 지도학습기반의 경보분석과 비지도학습기반의 이상행위탐지 기법을 혼용한 지능형 보안관제 시스템에 있어 상기 데이터 전처리부는 지도학습용과 비지도학습용 데이터를 생성해내는 학습데이터 생성부와, 생성된 학습데이터를 인공지능부로 전송하는 학습데이터 전송부를 포함하는 것을 특징으로 한다.
본 발명의 또 다른 실시예에 따르면, 본 발명에 따른 지도학습기반의 경보분석과 비지도학습기반의 이상행위탐지 기법을 혼용한 지능형 보안관제 시스템에 있어 상기 학습데이터 생성부는 수집한 데이터에서 불필요한 데이터를 제거하는 데이터 정제부와, 일관된 데이터를 형성하는 데이터 통합부와, 중복되거나 불필요하게 나열된 데이터를 축소하는 데이터 축소부와, 데이터의 잡음을 제거하기 위해 데이터를 교정하는 데이터 변환부를 포함하는 것을 특징으로 한다.
본 발명의 또 다른 실시예에 따르면, 본 발명에 따른 지도학습기반의 경보분석과 비지도학습기반의 이상행위탐지 기법을 혼용한 지능형 보안관제 시스템에 있어상기 결과분석부는 지도학습과 비지도학습의 결과를 출발지와 목적지 기준으로 분류하는 학습결과 분류부와, 출발지 아이피 기준결과를 분석하는 출발지 아이피 기준결과 분석부와, 목적지 아이피 기준결과를 분석하는 목적지 아이피 기준결과 분석부와, 모든 결과를 종합하는 학습 결과 종합부를 포함하는 것을 특징으로 한다.
본 발명의 또 다른 실시예에 따르면, 본 발명에 따른 지도학습기반의 경보분석과 비지도학습기반의 이상행위탐지 기법을 혼용한 지능형 보안관제 시스템에 있어결과 출력부는 종합한 학습 결과를 위험도를 기준으로 시각화 하여 사용자에게 알려주는 결과 시각화부와, 학습 결과의 정오탐 및 미탐 여부를 피드백해 다음 학습데이터로 사용할 수 있게 하는 피드백부를 포함하는 것을 특징으로 한다.
본 발명의 또 다른 실시예에 따르면, 본 발명에 따른 지도학습기반의 경보분석과 비지도학습기반의 이상행위탐지 기법을 혼용한 지능형 보안관제 시스템에 있어상기 결과 시각화부는 경보분석과 비정상행위 탐지 결과에 대해 장기간 시계열분
석을 통해 지속적 공격에 대한 정보를 시각화 해서 제공하는 시계열 분석부와, 경
보분석과 비정상행위 탐지 결과에 대해 공격단계별로 분석을 시각화 해서 제공하는 공격
단계 분석부를 포함하는 것을 특징으로 한다.
본 발명의 또 다른 실시예에 따르면, 본 발명에 따른 지도학습기반의 경보분석과 비지도학습기반의 이상행위탐지 기법을 혼용한 지능형 보안관제 시스템에 있어상기 데이터 수집부는 DB 저장소에서 데이터를 수신받는 데이터 수신부와, 신받은 데이터 중에서 지도학습용 데이터만 수집하는 지도학습용 데이터 수집부와, 수신받은 데이터 중에서 비지도학습용 데이터만 수집하는 비지도학습용 데이터 수집부와, 수집한 데이터를 데이터 전처리부로 전송하는 데이터 전송부를 포함하는 것을 특징으로 한다.
본 발명의 또 다른 실시예에 따르면, 본 발명에 따른 지도학습기반의 경보분석과 비지도학습기반의 이상행위탐지 기법을 혼용한 지능형 보안관제 시스템에 있어상기 DB 저장소에 저장되는 데이터는 전처리함수, 탐지결과, 설정정보, 필터 정보, 메타데이터, 학습데이터, 모델정보, 알고리즘, 각종 보안관련 데이터를 포함하는 것을 특징으로 한다.
본 발명은 앞서 본 실시예와 하기에 설명할 구성과 결합, 사용관계에 의해 다음과 같은 효과를 얻을 수 있다.
본 발명은 보안관제 시스템 및 그 방법에 있어 인공지능을 이용한 선제적 침해 탐지·대응 전략을 제공하는 것이다.
본 발명은 기계학습 방법 중 하나인 지도학습을 통해 과거 경보에 대한 분석 시나리오 기반 데이터와 사고처리내역을 학습하여 신규로 발생하는 경보에 대해 예측해 분석에 대한 우선순위를 제공하는 것이다.
본 발명은 기계학습 방법 중 하나인 비지도학습을 통해 관제중인 네트워크에서 발생한 비정상 행위를 학습하여 신규로 발생하는 비정상 행위를 탐지해 제로데이 공격과 같은 알려지지 않은 공격의 탐지를 가능하게 하는 것이다.
본 발명은 지도학습을 이용한 경보분석과 비지도학습 이용한 비정상 행위 탐지를 통해 발생하는 보안이벤트를 장시간 분석해 최상의 예측력을 제공하고 이벤트를 시간의 흐름, 공격단계별로 분석해 보안관제자에게 빠른 공격인지 및 대응을 할 수 있도록 하는 보안관제 시스템 및 그 방법을 제공하는 것이다.
도 1은 종래 기술인 네트워크 침입방지 시스템의 구성도
도 2는 본 발명의 일 실시예에 따른 지능형 보안관제 시스템의 블럭도
도 3은 데이터 수집부의 세부구성도
도 4는 데이터 전처리부의 세부구성도
도 5는 인공지능부의 세부구성도
도 6은 결과 분석부의 세부구성도
도 7는 결과 출력부의 세부구성도
도 8은 본 발명의 일 실시예에 따른 지능형 보안관제 방법의 블럭도
도 9는 데이터 수집단계의 세부구성을 도시한 블럭도
도 10은 데이터 변환단계의 세부구성을 도시한 블럭도
도 11은 기계학습 진행단계의 세부구성을 도시한 블럭도
도 12는 결과 분석 단계의 세부구성을 도시한 블럭도
도 13은 결과 출력 단계의 세부구성을 도시한 블럭도
도 14는 본 발명의 일 실시예에 따른 지능형 보안관제 시스템이 화면에 구현된 예를 나타낸 도면
이하에서는 본 발명에 따른 지도학습기반의 경보분석과 비지도학습기반의 이상행위탐지 기법을 혼용한 지능형 보안관제 시스템 및 그 방법의 바람직한 실시예들을 첨부된 도면을 참조하여 상세히 설명한다.
상기 지도학습과 비지도학습은 기계학습(머신러닝, Machine Learning)의 한 종류로 기계학습은 '데이터를 이용해서 컴퓨터를 학습시키는 방법론'으로 기계학습의 핵심은 데이터의 표현(Representation of data instances)과 이들에 대한 평가를 위한 함수, 생성된 모형이 새로운 데이터에도 그대로 적용될 수 있도록 하는 일반화(Generalization)이다.
기계학습은 크게 지도학습, 비지도학습, 강화학습 3가지로 분류된다. 지도학습은 학습데이터에 레이블(Label, 명시적인 정답)이 주어진 상태로 컴퓨터를 학습시키는 방법으로 학습진행 이후에 학습된 알고리즘이 얼마나 정확히 예측하는지를 평가한다. 비지도학습은 학습데이터에 대한 레이블이 주어지지 않고, 데이터 그 자체의 형태로 컴퓨터를 학습시키는 방법으로 학습이 진행된 후에 데이터의 숨겨진 특징이나 구조를 발견하는데 사용된다. 강화학습은 과업을 달성하는 주체인 에이전트가 주어진 환경에 대해 어떤 행동을 취하고 이로부터 어떤 보상을 얻으면서 학습을 진행한다. 이때, 에이전트는 보상을 최대화하도록 학습이 진행되는데, 앞서 살펴본 지도학습과 비지도학습은 데이터가 주어진 정적인 상태에서 학습이 진행됐다면, 강화학습은 데이터를 수집하는 과정까지 포함하는 동적인 상태에서 학습이 진행된다고 볼 수 있다. 본 발명은 3가지 기계학습 방법 중 지도학습과 비지도학습을 이용한 발명으로 지도학습기반의 경보분석과 비지도학습기반의 이상행위탐지 기법을 혼용한 지능형 보안관제 시스템 및 그 방법에 관한 발명이다.
도 2는 본 발명의 일 실시예에 따른 지도학습기반의 경보분석과 비지도학습기반의 이상행위탐지 기법을 혼용한 지능형 보안관제 시스템을 개략적으로 나타낸 블록이고, 도 3은 데이터 수집부의 세부구성도이고, 도 4는 데이터 전처리부의 세부구성도이고. 도 5는 인공지능부의 세부구성도이고, 도 6은 결과 분석부의 세부구성도이고, 도 7은 결과 출력부의 세부구성도이다.
도 2를 참조하여 살펴보면 본 발명인 지도학습기반의 경보분석과 비지도학습기반의 이상행위탐지 기법을 혼용한 지능형 보안관제 시스템은, 기계학습에 필요한 소스데이터를 수집하는 데이터 수집부(10)와, 수집한 소스데이터를 기계학습용 데이터로 변환하는 데이터 전처리부(20)와, 변환된 데이터를 이용해 지도학습과 비지도학습을 진행하고 위험도를 산출하는 인공지능부(30)와, 산출해낸 위험도를 분석하고 종합하는 결과 분석부(50)와, 종합한 결과를 위험도를 기준으로 사용자에게 알려주는 결과 출력부(70)와, 각종 데이터를 저장하는 DB저장소(80)를 포함한다.
도 3을 참조하여 살펴보면 상기 데이터 수집부(10)는 지도학습과 비지도학습에 필요한 학습용 데이터를 생성하는데 필요한 소스데이터를 수집하는 역할을 하며 데이터 수신부(11)와, 지도학습용 데이터 수집부(13)와, 비지도학습용 데이터 수집부(15)와, 데이터 전송부(17)를 포함한다.
상기 데이터 수신부(11)는 상기 DB 저장소(80)에서 지도학습과 비지도학습에 필요한 소스데이터를 수신하는 역할을 한다. 상기 데이터 수신부(11)에서 수신받는 소스데이터의 종류는 크게 원시데이터, 글로벌 위협정보, 취약점 진단 정보로 나뉘어진다. 원시데이터의 종류로는 네트워크 데이터, 로그데이터, 패킷 데이터가 있고, 글로벌 위협정보로는 국내 위협정보 데이터, 2개의 공개 출처정보(OSINT, Open Source Intelligence)에서 제공받는 해외위협 데이터, 악성코드 데이터, 랜섬웨어 데이터, 정보 보안 취약점 표준코드(CVE, Common Vulnerabilities and Exposures)데이터가 있고, 취약점 진단 정보는 관제중인 네트워크의 서버, 네트워크, 보안장비, 소프트웨어, 라이브러리의 취약점 진단 데이터를 포함한다.
상기 지도학습용 데이터 수집부(13)는 상기 데이터 수신부(11)에서 수신받은 소스데이터 중 지도학습에 필요한 데이터만 따로 수집하는 역할을 한다. 상기 지도학습용 데이터 수집부(13)가 수집하는 소스데이터의 종류는 과거 경보에 대한 데이터와 사고처리 내역(Label)을 포함한다.
상기 비지도학습용 데이터 수집부(15)는 상기 데이터 수신부(11)에서 수신받은 소스데이터 중 비지도학습에 필요한 데이터만 따로 수집하는 역할을 한다. 상기 비지도학습용 데이터 수집부(15)가 수집하는 소스데이터의 종류는 수집하는 데이터의 종류로는 방화벽 로그, 웹 로그와 같은 각종 로그 데이터를 포함하며, 여기서 말하는 로그 데이터란 시스템의 모든 기록을 담고 있는 데이터로 성능, 오류, 경고 및 운영 정보 등의 중요 정보가 특별한 형태의 기준에 따라 숫자와 기호 등으로 이루어진 데이터를 지칭한다.
상기 데이터 전송부(17)은 상기 지도학습용 데이터 수집부(13)과 상기 비지도학습용 데이터 수집부(15)에서 각각 수집한 소스데이터들을 상기 데이터 전처리부(20)로 전송하는 역할을 한다.
도 4를 참조하여 살펴보면 상기 데이터 전처리부(20)는 상기 데이터 수집부(10)에서 수집한 소스데이터를 지도학습과 비지도학습에 사용할 수 있는 형태로 변경한 뒤 기계학습을 진행하는 인공지능부(30)로 전송해주는 역할을 하며 학습데이터 생성부(21)와, 학습데이터 전송부(23)를 포함한다.
상기 학습데이터 생성부(21)는 상기 데이터 수집부(10)에서 수집한 데이터가 품질이 불완전하고 분석 작업의 결과에 영향을 미치는 잡음(Noise)이 섞이거나 서로 모순된 내용을 담고 있어 일관성을 잃는 경우가 많기 때문에 이를 제거 또는 수정해 최대한 소스데이터의 정확성을 높이고, 중용성이 현저하게 낮은 데이터가 과도하게 많이 포함된 경우 이들을 적절히 축소시켜 관리와 사용에 용이하도록 지도학습과 비지도학습에 사용할 수 있도록 전처리(Preprocessing)를 해주는 역할을 하며, 학습데이터 정제부(211)와, 학습데이터 통합부(213)와, 학습데이터 축소부(215)와, 학습데이터 변환부(217)를 포함한다.
상기 학습데이터 정제부는(211) 수집한 소스데이터에서 결측치를 채워넣고, 잡음(Noise)이 있는 소스데이터를 평활화하고 이상치를 식별해 데이터를 교정하는 역할을 한다.
상기 학습데이터 통합부(213)는 소스데이터가 일관된 데이터를 형성하도록 여러 소스로부터의 데이터들을 결합하는 역할을 하며, 데이터 통합 작업에는 메타데이터, 상관성분석, 데이터 충돌탐지와 의미적 이질성의 해소 등이 포함된다.
상기 학습데이터 축소부(215)는 중복되거나 불필요하게 나열된 데이터를 분석의 효율성을 높이기 위한 작업으로 데이터의 크기 자체를 줄이면서도 고유한 특성은 최대한 유지하도록 만드는 역할을 하며, 데이터 큐브 집계(Data Cube Aggregation), 속성 부분집합(Subset)의 선택, 차원 축소 (Dimensionality Reduction), 수량축소(Numerosity Reduction), 표본채취(Sampling) 등의 방법을 포함한다.
상기 학습데이터 변환부(217)는 평활화(Smoothing), 집계(Aggregation), 일반화(Generalization), 정규화(Normalization), 속성생성(Attribute Construction) 등을 통해 소스데이터를 변환하는 역할을 한다.
상기 학습데이터 전송부(23)은 상기 학습데이터 전처리부(21)에서 생성된 기계학습용 데이터를 상기 인공지능부(30)로 전송하는 역할을 한다.
도 5를 참조하여 살펴보면 상기 인공지능부(30)는 데이터 전처리부에서 전달받은 기계학습용으로 변환된 데이터를 이용해 지도학습과 비지도학습을 진행하고, 지도학습과 비지도학습의 결과를 처리하는 역할을 하며, 학습데이터 분류부(31)와, 지도학습부(33)와, 비지도학습부(35)와, 학습결과 처리부(37)를 포함한다.
상기 학습데이터 분류부(31)는 상기 데이터 전처리부(20)에서 전송된 기계학습용 데이터들을 지도학습용과 비지도학습용으로 분류한 뒤 지도학습부(33)와 비지도학습부(35)로 전송하는 역할을 한다.
상기 지도학습부(33)는 상기 학습데이터 분류부(31)에서 전송된 지도학습용 데이터를 이용해 지도학습을 진행하고, 지도학습의 결과로 생성된 모델을 평가하는 역할을 하며, 지도학습 알고리즘 선택부(331)와, 지도학습 진행부(333)와, 예측모델 평가부(335)를 포함한다.
상기 지도학습 알고리즘 선택부(331)는 상기 학습데이터 분류부(31)에서 전송된 지도학습용 데이터의 종류를 바탕으로 지도학습에 사용할 알고리즘을 선택하며, 선택되는 알고리즘의 종류에는 k-최근접 이웃(k-Nearest Neighbors), 선형 회귀(Linear Regression), 로지스틱 회귀(Logistic Regression), 서포트 벡터 머신(SVM, Suppor Vector Machine), 의사 결정 나무(Decission Tree), 무작위 숲(Random Forest), 신경망(Neural Network) 알고리즘을 포함하고, 이 외에 다른 지도학습 알고리즘도 사용할 수 있다.
상기 지도학습 진행부(333)은 상기 지도학습 알고리즘 선택부(331)에서 선택된 지도학습용 알고리즘과 상기 학습데이터 분류부(31)에서 제공받은 학습데이터를 이용해 지도학습을 진행한다. 먼저 선택된 알고리즘을 토대로 여러개의 가설 집합을 학습용 데이터 중 일부를 훈련용 데이터로 사용해 학습시켜 가설 집합마다 최적의 모델 찾아낸다. 찾아낸 여러 개의 모델들을 훈련에 사용한 데이터를 제외한 나머지 데이터 중 일부를 평가용 데이터로 사용해 학습시켜 가장 최적의 모델을 선정한다.
상기 예측모델 평가부(335)는 상기 지도학습 진행부(333)에서 선정한 최적의 예측모델을 평가하는 역할을 하며, 상기 지도학습 진행부에서 사용된 훈련용과 평가용 데이터를 제외한 나머지 데이터를 이용해 선정된 모델을 테스트해서 해당 모델이 실전에서 얼마나 잘 작동하는지 검증한다.
상기 비지도학습부(35)는 상기 학습데이터 분류부(31)에서 전송된 비지도학습용 데이터를 이용해 비지도학습을 진행하고, 비지도학습의 결과로 생성된 모델을 평가하는 역할을 하며, 비지도학습 알고리즘 선택부(351)와, 비지도학습 진행부(353)와, 이상치 탐지모델 평가부(355)를 포함한다.
상기 비지도학습 알고리즘 선택부(351)는 상기 학습데이터 분류부(31)에서 전송된 비지도학습용 데이터를 바탕으로 비지도학습에 사용할 알고리즘을 선택하며, 선택되는 알고리즘의 종류에는 군집화(Clustering), 시각화(Visualiztion), 차원 축소(Dimensionality Reduction), 연관 규칙 학습(Association Rule Learning) 알고리즘이 있으며, 이 외에 다른 비지도학습 알고리즘도 사용할 수 있다.
상기 비지도학습 진행부(353)는 상기 비지도학습 알고리즘 선택부(351)에서 선택된 알고리즘과 상기 학습데이터 분류부(31)에서 제공받은 학습데이터를 이용해 비지도학습을 진행한다. 비지도학습 알고리즘의 종류마다 진행과정이 상이하므로 대표적인 군집화 알고리즘인 k-평균(k-Means) 알고리즘의 진행과정만 설명하도록 한다. 먼저, 제공받은 학습데이터중 임의의 데이터를 k개 선택해 군집의 중심으로 설정한다. 그 다음 군집의 중심 위치가 바뀌지 않을때까지 점들을 가장 가까운 군집 중심 위치에 할당하고, 군집 중심 위치를 군집별 평균 위치로 재설정 하는 단계를 반복한다.
상기 이상치 탐지모델 평가부(355)는 상기 비지도학습 진행부(353)에서 진행된 비지도학습의 결과인 이상치 탐지모델을 평가하며, 비지도학습 알고리즘의 종류마다 평가하는 방법 역시 상이하므로 상기 비지도학습 진행부(353)에서 예를 들었던 k-평균(k-Means) 알고리즘의 결과를 평가하는 방법을 예로 설명한다. k-평균(k-Means) 알고리즘을 평가하는 방법은 k-평균(k-Means) 알고리즘을 통해 생성된 각각의 군집들을 형성하는 구성 데이터 사이의 거리를 제곱한 다음 이 값들의 합을 구하여 평가하게 된다. 이 때, 이 합의 크기가 작을수록 품질이 좋다고 평가한다.
상기 지도학습 진행부(33)과 비지도학습 진행부(35)의 결과를 평가하는 방법이 다른 이유는 비지도학습은 지도학습과 달리 정답(Label)이 존재하지 않기 때문에 제공받은 데이터를 학습해 결과를 예측할 수 없는 대신에 해당 데이터에서 패턴을 발견하고, 숨겨진 구조를 찾아내는 것이 비지도학습의 목적이기 때문이다.
상기 학습결과 처리부(37)는 지도학습과 비지도학습을 통해 얻어진 각각의 예측결과나 탐지결과를 처리하는 역할을 하며, 지도학습결과 처리부(371)와, 비지도학습결과 처리부(373)을 포함한다.
상기 지도학습결과 처리부(371)는 지도학습을 통해 생성된 예측모델을 이용해 각 경보에 대한 사고처리와 스코어를 제공하는 역할을 한다.
상기 비지도학습결과 처리부(373)은 비지도학습을 통해 생성된 이상치 탐지모델을 이용해 감지한 이상치 유형에 따른 위협 스코어를 제공하는 역할을 한다.
도 6을 참조하여 살펴보면 상기 결과분석부(50)는 지도학습과 비지도학습의 결과를 기준 위치에 따라 분석 후 종합하는 역할을 하며, 학습결과 분류부(51)와, 출발지 아이피 기준결과 분석부(53)와, 목적지 아이피 기준 결과 분석부(55)와, 학습 결과 종합부(57)를 포함한다.
상기 학습결과 분류부(51)는 상기 학습결과 처리부(37)에서 처리된 지도학습과 비지도학습의 결과를 출발지와 목적지 아이피 기준으로 분류하는 역할을 한다.
상기 출발지 아이피 기준결과 분석부(53)는 상기 학습결과 분류부(51)에서 분류된 출발지 아이피를 기준으로 한 지도학습과 비지도학습의 결과를 취합한 다음 분석하는 역할을 한다.
상기 목적지 아이피 기준결과 분석부(55)는 상기 학습결과 분류부(51)에서 분류한 목적지 아이피를 기준으로 한 지도학습과 비지도학습의 결과를 취합한 다음 분석하는 역할을 한다.
상기 학습 결과 종합부(57)는 상기 출발지 아이피 기준결과 분석부(53)와 상기 목적지 아이피 기준결과 분석부(55)의 분석한 결과를 종합해 전체 자산에 대한 위험도를 분석하는 역할을 한다.
도 7을 참조하여 살펴보면 상기 결과 출력부(70)는 상기 결과분석부(50)에서 종합한 학습결과를 사용자에게 알려주고, 해당 결과에 대해 정오탐 및 미탐 여부를 피드백 받는 역할을 하며, 결과 시각화부(71)와, 피드백부(73)를 포함한다.
상기 결과 시각화부(71)는 상기 결과분석부(50)에서 제공한 경보분석과 비정상행위 탐지결과를 위험도 기준으로 각각의 결과를 시각화하여 사용자에게 알려주는 역할을 하며, 시계열 분석부(711)와, 공격단계 분석부(713)를 포함한다.
상기 시계열 분석부(711)는 상기 결과분석부(50)에서 제공한 경보분석과 비정상행위 탐지 결과를 장기간의 시계열 분석을 통해 지속적인 공격에 대한 정보를 시각화해서 사용자에게 제공하는 역할을 한다.
상기 공격단계 분석부(713)는 상기 결과분석부(50)에서 제공한 경보분석과 비정상행위 탐지결과를 공격단계별로 분석한 다음 이를 시각화해서 사용자에게 제공하는 역할을 한다.
상기 피드백부(73)는 상기 결과 시각화부(71)에서 사용자에게 제공한 결과에 대해 정오탐 및 미탐 여부를 피드백 받고, 피드백 받은 결과를 다음 기계학습에 사용할 수 있도록 DB저장소(80)에 저장하는 역할을 한다.
상기 DB저장소(80)는 각종 데이터들이 저장장치에 저장되는 곳으로 저장되는 데이터의 종류에는 지도학습결과, 비지도학습결과, 출발지 아이피 기준결과, 목적지 아이피 기준결과, 기계학습 종합결과, 시계열 분석 결과, 공격단계 분석결과를 포함하고, 전처리함수, 탐지결과, 설정정보, 필터정보, 메타데이터, 학습데이터, 모델정보, 알고리즘, 각종 보안관련 데이터를 추가로 포함하는 것을 특징으로 하는데이터들의 종류는 전처리함수, 탐지결과, 설정정보, 필터정보, 메타데이터, 학습데이터, 모델정보, 알고리즘 및 각종 보안관련데이터를 포함한다.
도 8은 본 발명의 일 실시예에 따른 지도학습기반의 경보분석과 비지도학습기반의 이상행위탐지 기법을 혼용한 지능형 보안관제 방법을 개략적으로 나타낸 블록도 이고, 도 9는 데이터 수집단계의 세부구성을 도시한 블럭도이고, 도 10은 데이터 변환단계의 세부구성을 도시한 블럭도이고, 도 11은 기계학습 진행단계의 세부구성을 도시한 블럭도이고, 도 12는 결과 분석 단계의 세부구성을 도시한 블럭도이고, 도 13은 결과 출력 단계의 세부구성을 도시한 블럭도이다.
도 8을 참조하여 살펴보면 본 발명인 지도학습기반의 경보분석과 비지도학습기반의 이상행위탐지 기법을 혼용한 지능형 보안관제방법은, 기계학습에 필요한 데이터를 수집하는 데이터 수집단계(S10)와, 수집한 데이터를 기계학습용 데이터로 변환하는 데이터 전처리 단계(S20)와, 변환된 데이터를 이용해 지도학습과 비지도학습을 진행하고 위험도를 산출하는 기계학습 진행단계(S30)와, 산출해낸 위험도를 분석하고 종합하는 결과 분석 단계(S50)와, 종합한 결과를 위험도를 기준으로 사용자에게 알려주는 결과 출력 단계(S70)와, 각종 결과 데이터를 저장하는 DB 저장단계(S80)를 포함한다.
도 9를 참조하여 살펴보면 상기 데이터 수집단계(S10)는 상기 데이터 전처리 단계(S20)에서 지도학습과 비지도학습에 필요한 학습용 데이터를 생성하는 필요한 소스데이터를 수집하는 역할을 하는 단계이며, 데이터 수신단계(S11)와, 지도학습용 데이터 수집단계(S13)와, 지도학습용 데이터 수집단계(S15)와, 데이터 전송단계(S17)를 포함한다.
상기 데이터 수신단계(S11)는 상기 DB 저장소(80)에서 지도학습과 비지도학습에 필요한 소스데이터를 수신받는 단계이며, 수신받는 소스데이터의 종류는 크게 원시데이터, 글로벌 위협정보, 취약점 진단 정보로 나뉘어진다. 원시데이터의 종류로는 네트워크 데이터, 로그데이터, 패킷 데이터가 있고, 글로벌 위협정보로는 국내 위협정보 데이터, 2개의 공개 출처정보(OSINT, Open Source Intelligence)에서 제공받는 해외위협 데이터, 악성코드 데이터, 랜섬웨어 데이터, 정보 보안 취약점 표준코드(CVE, Common Vulnerabilities and Exposures)데이터가 있고, 취약점 진단 정보는 관제중인 네트워크의 서버, 네트워크, 보안장비, 소프트웨어, 라이브러리의 취약점 진단 데이터를 포함한다.
상기 지도학습용 데이터 수집단계(S13)는 상기 데이터 수신단계(S11)에서 수신받은 소스데이터 중에서 지도학습용 데이터만 따로 수집하는 단계이며, 상기 지도학습용 데이터 수집단계(S13)에서 수집하는 소스데이터의 종류는 과거 경보에 대한 데이터와 사고처리 내역인 레이블(Label)을 포함한다.
상기 비지도학습용 데이터 수집단계(S15)는 상기 데이터 수신단계(S11)에서 수신받은 소스데이터 중에서 비지도학습용 데이터만 따로 수집하는 단계이며, 상기 비지도학습용 데이터 수집단계(S15)에서 수집하는 소스데이터의 종류는 방화벽 로그, 웹로그와 같은 각종 로그 데이터를 포함하며, 여기서 말하는 로그 데이터란 시스템의 모든 기록을 담고 있는 데이터로 성능, 오류, 경고 및 운영 정보 등의 중요 정보가 특별한 형태의 기준에 따라 숫자와 기호 등으로 이루어진 데이터를 지칭한다.
상기 데이터 전송단계(S17)는 상기 지도학습용 데이터 수집단계(S13)와 비지도학습용 데이터 수집단계(S15)에서 수집한 소스데이터를 상기 데이터 전처리부(20)로 전송하는 역할을 한다.
도 10을 참조하여 살펴보면 상기 데이터 전처리단계(S20)는 상기 데이터 수집단계(S10)에서 수집한 소스데이터를 지도학습과 비지도학습에 사용할 수 있는 형태로 변경한 뒤 기계학습을 진행하는 인공지능부(30)으로 전송해주는 단계이며, 학습데이터 생성단계(S21)와, 학습데이터 전송단계(S23)를 포함한다.
상기 학습데이터 생성단계(S21)는 상기 데이터 수집단계(S10)에서 수집한 데이터가 품질이 불완전하고 분석 작업의 결과에 영향을 미치는 잡음(Noise)이 섞이거나 서로 모순된 내용을 담고 있어 일관성을 잃는 경우가 많기 때문에 이를 제거 또는 수정해 최대한 소스데이터의 정확성을 높이고, 중용성이 현저하게 낮은 데이터가 과도하게 많이 포함된 경우 이들을 적절히 축소시켜 관리와 사용에 용이하도록 지도학습과 비지도학습에 사용할 수 있도록 전처리(Preprocessing)를 하는 단계이며, 학습데이터 정제단계(S211)와, 학습데이터 통합단계(S213)와, 학습데이터 축소단계(S215)와, 학습데이터 변환단계(S217)를 포함한다.
상기 학습데이터 정제단계(S211)는 상기 데이터 수집단계(S10)에서 수집한 소스데이터에서 결측치를 채워넣고, 잡음(Noise)이 있는 소스데이터를 평활화하고 이상치를 식별해 데이터를 교정하는 단계이며, 데이터 통합 작업에는 메타데이터, 상관성분석, 데이터 충돌탐지와 의미적 이질성의 해소 등이 포함된다.
상기 학습데이터 통합단계(S213)는 소스데이터가 일관된 데이터를 형성하도록 여러 소스로부터의 데이터들을 결합하는 역할을 하는 단계이다.
상기 학습데이터 축소단계(215)는 중복되거나 불필요하게 나열된 데이터를 분석의 효율성을 높이기 위해 데이터의 크기 자체를 줄이면서도 고유한 특성은 최대한 유지하도록 만드는 단계이며, 데이터 큐브 집계(Data Cube Aggregation), 속성 부분집합(Subset)의 선택, 차원 축소(Dimensionality reduction), 수량축소(Numerosity Reduction), 표본채취(Sampling) 등의 방법을 포함한다.
상기 학습데이터 변환단계(S217)는 평활화(Smoothing), 집계(Aggregation), 일반화(Generalization), 정규화(Normalization), 속성생성(Attribute Construction)등의 기법을 사용해 소스데이터를 변환하는 단계이다.
일관된 데이터를 형성하는 학습데이터 통합단계(S213)와, 중복되거나 불필요하게 나열된 데이터를 축소하는 학습데이터 축소단계(S215)와, 데이터의 잡음을 제거하기 위해 데이터를 교정하는 데이터 변환단계(S217)를 포함한다.
상기 학습데이터 전송단계(S23)는 상기 학습데이터 전처리단계(S21)에서 생성된 기계학습용 학습 데이터를 상기 인공지능부(30)로 전송하는 단계이다.
도 11을 참조하여 살펴보면 상기 기계학습 진행단계(S30)는 데이터 전처리 단계(S20)를 통해 기계학습용으로 변환된 데이터를 전달받아 지도학습과 비지도학습을 진행하고, 지도학습과 비지도학습의 결과로 생성된 결과를 처리하는 단계이며, 학습데이터 분류 단계(S31)와, 지도학습단계(S33)와, 비지도학습단계(S35)와, 학습결과 처리단계(S37)를 포함한다.
상기 학습데이터 분류 단계(S31)는 상기 데이터 전처리단계(20)에서 기계학습용으로 변환된 학습데이터들을 수신한 뒤 지도학습용과 비지도학습용 데이터로 분류해 비지도학습부(33)와 비지도학습부(35)로 전송하는 역할을 한다.
상기 지도학습 단계(S33)는 상기 학습 데이터 분류단계(S31)를 통해 전송받은 지도학습용 데이터를 이용해 지도학습을 진행하고, 지도학습의 결과로 생성된 예측모델을 평가하는 단계이며, 지도학습 알고리즘 선택단계(S331)와, 지도학습 진행단계(S333)와, 예측 모델 평가단계(S335)를 포함한다.
상기 지도학습 알고리즘 선택단계(S331)는 상기 학습 데이터 분류단계(S31)를 통해 전송받은 지도학습용 데이터의 종류를 바탕으로 지도학습 진행단계(S333)에서 사용할 지도학습 알고리즘을 선택하는 단계이며, 선택되는 알고리즘의 종류에는 k-최근접 이웃(k-Nearest Neighbors), 선형 회귀(Linear Regression), 로지스틱 회귀(Logistic Regression), 서포트 벡터 머신(SVM, Suppor Vector Machine), 의사 결정 나무(Decission Tree), 무작위 숲(Random Forest), 신경망(Neural Network) 알고리즘을 포함하고, 이 외에 다른 지도학습 알고리즘도 사용할 수 있다.
상기 지도학습 진행단계(S333)는 상기 지도학습 알고리즘 선택단계(S331)에서 선택된 지도학습용 알고리즘과 상기 학습데이터 분류단계(S31)에서 제공받은 학습데이터를 이용해 지도학습을 진행하는 단계이다. 먼저 선택된 알고리즘을 토대로 여러개의 가설 집합을 학습용 데이터 중 일부를 훈련용 데이터로 사용해 학습시켜 가설 집합마다 최적의 모델 찾아낸다. 찾아낸 여러 개의 모델들을 훈련에 사용한 데이터를 제외한 나머지 데이터 중 일부를 평가용 데이터로 사용해 학습시켜 가장 최적의 모델을 선정한다.
상기 예측모델 평가단계(S335)는 상기 지도학습 진행단계(S333)에서 선정한 최적의 예측모델을 평가하며, 상기 지도학습 진행단계(S333)에서 사용된 훈련용과 평가용 데이터를 제외한 나머지 데이터를 이용해 선정된 모델을 테스트해서 해당 모델이 실전에서 얼마나 잘 작동하는지 검증하는 단계이다.
상기 비지도학습단계(S35)는 상기 학습 데이터 분류단계(S31)를 통해 전송받은 비지도학습용 데이터를 이용해 비지도학습을 진행하고, 비지도학습의 결과로 생성된 이상치 탐지모델을 평가하는 단계이며, 비지도학습 알고리즘 선택단계(S351)와, 비지도학습 진행단계(S353)와, 이상치 탐지모델 평가단계(S355)를 포함한다.
상기 비지도학습 알고리즘 선택단계(S351)는 상기 학습 데이터 분류단계(S31)를 통해 전송받은 비지도학습용 데이터의 종류를 바탕으로 비지도학습 진행단계(S353)에서 사용할 지도학습 알고리즘을 선택하는 단계이며, 선택되는 알고리즘의 종류에는 군집화(Clustering), 시각화(Visualiztion), 차원 축소(Dimensionality Reduction), 연관 규칙 학습(Association Rule Learning) 알고리즘이 있으며, 이 외에 다른 비지도학습 알고리즘도 사용할 수 있다.
상기 비지도학습 진행단계(S353)는 상기 비지도학습 알고리즘 선택단계(S351)에서 선택된 비지도학습용 알고리즘과 상기 학습데이터 분류단계(S31)에서 제공받은 학습데이터를 이용해 비지도학습을 진행하는 단계이다. 비지도학습 알고리즘의 종류마다 진행과정이 상이하므로 대표적인 군집화 알고리즘인 k-평균(k-Means) 알고리즘의 진행과정만 설명하도록 한다. 먼저, 제공받은 학습데이터중 임의의 데이터를 k개 선택해 군집의 중심으로 설정한다. 그 다음 군집의 중심 위치가 바뀌지 않을때까지 점들을 가장 가까운 군집 중심 위치에 할당하고, 군집 중심 위치를 군집별 평균 위치로 재설정 하는 단계를 반복한다.
상기 이상치 탐지모델 평가단계(S355)는 상기 비지도학습 진행단계(S353)에서 진행된 비지도학습의 결과인 이상치 탐지모델을 평가하며, 비지도학습 알고리즘의 종류마다 평가하는 방법 역시 상기 비지도학습 진행단계(S353)에서 예를 들었던 k-평균(k-Means) 알고리즘의 결과를 평가하는 방법을 예로 설명한다. k-평균(k-Means) 알고리즘을 평가하는 방법은 k-평균(k-Means) 알고리즘을 통해 생성된 각각의 군집들을 형성하는 구성 데이터 사이의 거리를 제곱한 다음 이 값들의 합을 구하여 평가하게 된다. 이 때, 이 합의 크기가 작을수록 품질이 좋다고 평가한다.
상기 학습결과 처리단계(S37)는 지도학습과 비지도학습을 통해 얻어진 각각의 예측결과나 탐지결과를 처리하는 역할을 하며, 지도학습결과 처리단계(S371)와, 비지도학습결과 처리단계(S373)를 포함한다.
상기 지도학습결과 처리단계(S371)는 상기 지도학습단계(S33)를 통해 생성된 예측모델을 통해 각 경보에 대한 사고처리와 스코어를 제공하는 단계이다.
상기 비지도학습결과 처리단계(S373)는 상기 비지도학습단계(S35)를 통해 생성된 이상치 탐지모델을 이용해 감지한 이상치 유형에 따른 위협 스코어를 제공하는 단계이다.
도 12를 참조하여 살펴보면 상기 결과분석단계(S50)는 기계학습 단계(S30)를 통해 생성된 지도학습과 비지도학습의 결과를 기준 위치에 따라 분석 후 종합하는 단계이며, 학습결과 분류단계(S51)와, 출발지 아이피 기준결과 분석단계(S53)와, 목적지 아이피 기준결과 분석단계(S55)와, 학습 결과 종합단계(S57)를 포함한다.
상기 학습결과 분류단계(S51)는 상기 학습결과 처리단계(S37)에서 처리된 지도학습과 비지도학습의 결과를 출발지와 목적지 아이피 기준으로 분류하는 단계이다.
상기 출발지 아이피 기준결과 분석단계(S53)는 상기 학습결과 분류단계(S51)에서 출발지 아이피를 기준으로 분류한 지도학습과 비지도학습의 결과를 취합한 다음 분석하는 단계이다.
상기 목적지 아이피 기준결과 분석단계(S55)는 상기 학습결과 분류단계(S51)에서 목적지 아이피를 기준으로 분류한 지도학습과 비지도학습의 결과를 취합한 다음 분석하는 단계이다.
상기 학습결과 종합단계(S57)는 상기 출발지 아이피 기준결과 분석단계(S53)와 상기 목적지 아이피 기준결과 분석단계(S55)에서 분석한 결과를 종합해 전체 자산에 대한 위험도를 분석하는 역할을 한다.
도 13을 참조하여 살펴보면 상기 결과 출력단계(S70)는 상기 결과분석단계(S50)를 통해 종합한 학습 결과를 사용자에게 알려주고, 해당 결과에 대해 정오탐 및 미탐 여부를 피드백 받는 단계이며, 결과 시각화단계(S71)와, 피드백 단계(S73)를 포함한다.
상기 결과 시각화단계(S71)는 상기 결과분석단계(S50)에서 제공한 경보분석과 비정상행위 탐지결과를 위험도 기준으로 각각의 결과를 시각화하여 사용자에게 알려주는 단계이며, 시계열 분석단계(S711)와, 공격단계 분석단계(S713)를 포함한다.
상기 시계열 분석단계(S711)는 상기 결과 분석단계(S50)에서 제공한 경보분석과 비정상행위 탐지결과를 장기간의 시계열 분석을 통해 지속적인 공격에 대한 정보를 시각화해서 사용자에게 제공하는 단계이다.
상기 공격단계 분석단계(713)는 상기 결과 분석단계(S50)에서 제공한 경보분석과 비정상행위 탐지결과를 공격단계별로 분석한 다음 이를 시각화해서 사용자에게 제공하는 단계이다.
상기 DB 저장단계(S80)는 각종 데이터들이 저장장치에 저장되는 단계이며, 저장장치에 저장되는 데이터의 종류에는 지도학습결과, 비지도학습결과, 출발지 아이피 기준결과, 목적지 아이피 기준결과, 기계학습 종합결과, 시계열 분석 결과, 공격단계 분석결과를 포함하고, 전처리함수, 탐지결과, 설정정보, 필터정보, 메타데이터, 학습데이터, 모델정보, 알고리즘, 각종 보안관련 데이터가 저장되는 것을 추가로 포함한다.
10: 데이터 수집부
11: 데이터 수신부 13: 지도학습용 데이터 수집부
15: 비지도학습용 데이터 수집부 17: 데이터 전송부
20: 데이터 전처리부
21: 학습데이터 생성부 211: 데이터 정제부
213: 데이터 통합부 215: 데이터 축소부
217: 데이터 변환부 23: 학습데이터 전송부
30: 인공지능부
31: 학습데이터 분류부 33: 지도학습부
331: 지도학습 알고리즘 선택부 333: 지도학습 진행부
335: 예측모델 평가부 35: 비지도학습부
351: 비지도학습 알고리즘 선택부 353: 비지도학습 진행부
355: 이상치 탐지모델 평가부 37: 학습결과 처리부
371: 지도학습 결과 처리부 373: 비지도학습 결과 처리부
50: 결과 분석부
51: 학습결과 분류부 53: 출발지 아이피 기준결과 분석부
55: 목적지 아이피 기준결과 분석부 57: 학습결과 종합부
70: 결과 출력부 71: 결과 시각화부
711: 시계열 분석부 713: 공격단계 분석부
73: 결과 피드백부
80: DB 저장소

Claims (24)

  1. 기계학습에 필요한 데이터를 수집하는 데이터 수집부와, 상기 데이터 수집부와 연결되어 상기 데이터 수집부가 수집한 데이터를 기계학습용 데이터로 변환하는 데이터 전처리부와, 상기 데이터 전처리부와 연결되어 상기 데이터 전처리부에 의해 변환된 데이터를 이용해 지도학습에 의한 경보분석 및 비지도학습에 의한 비정상 행위 탐지를 진행하고 그 결과를 처리하는 인공지능부와, 상기 인공지능부와 연결되어 상기 지도학습에 의한 경보분석과 상기 비지도학습에 의한 비정상 행위 탐지 결과를 분류해 분석하고 이를 종합하는 결과 분석부와, 상기 결과 분석부와 연결되어 상기 결과 분석부가 종합한 결과를 사용자에게 알려주는 결과 출력부와, 각종 데이터를 저장하는 DB 저장소를 포함하고,
    상기 인공지능부는, 상기 데이터 전처리부에서 전달받은 기계학습용으로 변환된 데이터를 지도학습용과 비지도학습용으로 분류하는 학습데이터 분류부와, 상기 학습데이터 분류부와 연결되어 지도학습용 데이터를 이용해 경보분석을 수행하는 지도학습부와, 상기 학습데이터 분류부와 연결되어 비지도학습용 데이터를 이용해 비정상 행위 탐지를 수행하는 비지도학습부와, 상기 지도학습부 및 상기 비지도학습부와 연결되어 상기 지도학습부와 상기 비지도학습부의 결과를 처리하는 학습결과 처리부를 포함하며,
    상기 학습결과 처리부는, 상기 지도학습부와 연결되어 각 경보에 대한 사고처리와 스코어를 제공하는 지도학습결과 처리부와, 상기 비지도학습부와 연결되어 이상치 유형에 따른 위협 스코어를 제공하는 비지도학습결과 처리부를 포함하고,
    상기 결과 분석부는, 상기 지도학습결과 처리부에 의한 사고처리와 스코어 및 상기 비지도학습결과 처리부에 의한 위협 스코어를, 출발지와 목적지 기준으로 종합하여,
    지도학습에 의한 경보 분석과 비지도학습에 의한 비정상 행위 탐지가 동시에 이루어지는 1차 분석을 진행하고, 1차 분석 결과들을 종합하는 2차 분석을 진행함으로써 오탐 및 미탐을 최소화하는, 지도학습기반의 경보분석과 비지도학습기반의 이상행위탐지 기법을 혼용한 지능형 보안관제 시스템.
  2. 삭제
  3. 제1항에 있어서,
    상기 지도학습부는 분류된 지도학습용 데이터에 따라 지도학습 알고리즘을 선택하는 지도학습 알고리즘 선택부와, 선택된 알고리즘을 이용해 지도학습을 진행하는 지도학습 진행부와, 지도학습의 결과로 생성된 예측모델을 평가하는 예측모델 평가부를 포함하는 것을 특징으로 하는, 지도학습기반의 경보분석과 비지도학습기반의 이상행위탐지 기법을 혼용한 지능형 보안관제 시스템.
  4. 제1항에 있어서,
    상기 비지도학습부는 분류된 비지도학습용 데이터에 따라 비지도학습 알고리즘을 선택하는 비지도학습 알고리즘 선택부와, 선택된 알고리즘을 이용해 비지도학습을 진행하는 비지도학습 진행부와, 비지도학습의 결과로 생성된 이상치 탐지모델을 평가하는 이상치 탐지모델 평가부를 포함하는 것을 특징으로 하는, 지도학습기반의 경보분석과 비지도학습기반의 이상행위탐지 기법을 혼용한 지능형 보안관제 시스템.
  5. 삭제
  6. 제1항에 있어서,
    상기 데이터 전처리부는 지도학습용과 비지도학습용 데이터를 생성해내는 학습데이터 생성부와, 생성된 학습데이터를 인공지능부로 전송하는 학습데이터 전송부를 포함하는 것을 특징으로 하는, 지도학습기반의 경보분석과 비지도학습기반의 이상행위탐지 기법을 혼용한 지능형 보안관제 시스템.
  7. 제6항에 있어서,
    상기 학습데이터 생성부는 데이터 수집부에서 수집한 데이터에서 불필요한 데이터를 제거하는 학습데이터 정제부와, 일관된 데이터를 형성하는 학습데이터 통합부와, 중복되거나 불필요하게 나열된 데이터를 축소하는 학습데이터 축소부와, 데이터의 잡음을 제거하기 위해 데이터를 교정하는 학습데이터 변환부를 포함하는 것을 특징으로 하는, 지도학습기반의 경보분석과 비지도학습기반의 이상행위탐지 기법을 혼용한 지능형 보안관제 시스템.
  8. 제1항에 있어서,
    상기 결과 분석부는 인공지능부에서 생성된 지도학습과 비지도학습의 결과를 출발지와 목적지 기준으로 분류하는 학습결과 분류부와, 출발지 아이피 기준결과를 분석하는 출발지 아이피 기준결과 분석부와, 목적지 아이피 기준결과를 분석하는 목적지 아이피 기준결과 분석부와, 모든 결과를 종합하는 학습결과 종합부를 포함하는 것을 특징으로 하는, 지도학습기반의 경보분석과 비지도학습기반의 이상행위탐지 기법을 혼용한 지능형 보안관제 시스템.
  9. 제1항에 있어서,
    상기 결과 출력부는 결과분석부에서 종합한 결과를 위험도를 기준으로 시각화하여 사용자에게 알려주는 결과 시각화부와, 학습 결과의 정오탐 및 미탐 여부를 피드백해 다음 학습데이터로 사용할 수 있게 하는 결과 피드백부를 포함하는 것을 특징으로 하는, 지도학습기반의 경보분석과 비지도학습기반의 이상행위탐지 기법을 혼용한 지능형 보안관제 시스템.
  10. 제9항에 있어서,
    상기 결과 시각화부는 경보분석과 비정상행위 탐지결과에 대해 장기간 시계열분석을 통해 지속적 공격에 대한 정보를 시각화 해서 제공하는 시계열 분석부와, 경보분석과 비정상행위 탐지결과에 대해 공격단계별로 분석을 시각화 해서 제공하는 공격단계 분석부를 포함하는 것을 특징으로 하는, 지도학습기반의 경보분석과 비지도학습기반의 이상행위탐지 기법을 혼용한 지능형 보안관제 시스템.
  11. 제1항에 있어서,
    상기 데이터 수집부는 데이터들이 저장되어 있는 DB 저장소에서 데이터를 수신받는 데이터 수신부와, 수신받은 데이터 중에서 지도학습용 데이터만 수집하는 지도학습용 데이터 수집부와, 수신받은 데이터 중에서 비지도학습용 데이터만 수집하는 비지도학습용 데이터 수집부와, 수집한 데이터를 데이터 전처리부로 전송하는 데이터 전송부를 포함하는 것을 특징으로 하는, 지도학습기반의 경보분석과 비지도학습기반의 이상행위탐지 기법을 혼용한 지능형 보안관제 시스템.
  12. 제1항에 있어서,
    상기 DB 저장소는 각종 데이터들이 저장장치에 저장되는 곳으로 저장되는 데이터의 종류에는 지도학습결과, 비지도학습결과, 출발지 아이피 기준결과, 목적지 아이피 기준결과, 기계학습 종합결과, 시계열 분석 결과, 공격단계 분석결과를 포함하고, 전처리함수, 탐지결과, 설정정보, 필터정보, 메타데이터, 학습데이터, 모델정보, 알고리즘, 각종 보안관련 데이터를 추가로 포함하는 것을 특징으로 하는, 지도학습기반의 경보분석과 비지도학습기반의 이상행위탐지 기법을 혼용한 지능형 보안관제 시스템.
  13. 데이터 수집부가 기계학습에 필요한 데이터를 수집하는 데이터 수집단계와, 상기 데이터 수집단계 이후에, 데이터 전처리부가 상기 데이터 수집부와 연결되어 상기 데이터 수집부가 수집한 데이터를 기계학습용 데이터로 변환하는 데이터 전처리 단계와, 상기 데이터 전처리 단계 이후에, 인공지능부가 상기 데이터 전처리부와 연결되어 상기 데이터 전처리부에 의해 변환된 데이터를 이용해 지도학습에 의한 경보분석 및 비지도학습에 의한 비정상 행위 탐지를 진행하고 그 결과를 처리하는 기계학습 진행단계와, 상기 기계학습 진행단계 이후에, 결과 분석부가 상기 인공지능부와 연결되어 상기 지도학습에 의한 경보분석과 상기 비지도학습에 의한 비정상 행위 탐지 결과를 분류해 분석하고 이를 종합하는 결과 분석 단계와, 상기 결과 분석 단계 이후에, 결과 출력부가 상기 결과 분석부와 연결되어 상기 결과 분석부가 종합한 결과를 사용자에게 알려주는 결과 출력 단계와, 상기 결과 출력 단계 이후에, DB 저장소가 각종 데이터를 저장하는 DB 저장 단계를 포함하고,
    상기 기계학습 진행단계는, 학습데이터 분류부가 상기 데이터 전처리부에서 전달받은 기계학습용으로 변환된 데이터를 지도학습용과 비지도학습용으로 분류하는 학습데이터 분류 단계와, 상기 학습데이터 분류 단계 이후에, 지도학습부가 상기 학습데이터 분류부와 연결되어 지도학습용 데이터를 이용해 경보분석을 수행하는 지도학습단계와, 상기 학습데이터 분류 단계 이후에, 비지도학습부가 상기 학습데이터 분류부와 연결되어 비지도학습용 데이터를 이용해 비정상 행위 탐지를 수행하는 비지도학습단계와, 상기 지도학습단계 및 상기 비지도학습단계 이후에, 학습결과 처리부가 상기 지도학습부 및 상기 비지도학습부와 연결되어 상기 지도학습부와 상기 비지도학습부의 결과를 처리하는 학습결과 처리단계를 포함하며,
    상기 학습결과 처리단계는, 지도학습결과 처리부가 상기 지도학습부와 연결되어 각 경보에 대한 사고처리와 스코어를 제공하는 지도학습결과 처리단계와, 비지도학습결과 처리부가 상기 비지도학습부와 연결되어 이상치 유형에 따른 위협 스코어를 제공하는 비지도학습결과 처리단계를 포함하고,
    상기 결과 분석단계는, 상기 지도학습결과 처리부에 의한 사고처리와 스코어 및 상기 비지도학습결과 처리부에 의한 위협 스코어를, 출발지와 목적지 기준으로 종합하여,
    지도학습에 의한 경보 분석과 비지도학습에 의한 비정상 행위 탐지가 동시에 이루어지는 1차 분석을 진행하고, 1차 분석 결과들을 종합하는 2차 분석을 진행함으로써 오탐 및 미탐을 최소화하는, 지도학습기반의 경보분석과 비지도학습기반의 이상행위탐지 기법을 혼용한 지능형 보안관제 방법.
  14. 삭제
  15. 제13항에 있어서,
    상기 지도학습 단계는, 지도학습 알고리즘 선택부가 분류된 지도학습용 데이터에 따라 지도학습 알고리즘을 선택하는 지도학습 알고리즘 선택단계와, 상기 지도학습 알고리즘 선택단계 이후에, 지도학습 진행부가 선택된 알고리즘을 이용해 지도학습을 진행하는 지도학습 진행단계와, 상기 지도학습 진행단계 이후에, 예측모델 평가부가 지도학습의 결과로 생성된 예측모델을 평가하는 예측모델 평가단계를 포함하는 것을 특징으로 하는, 지도학습기반의 경보분석과 비지도학습기반의 이상행위탐지 기법을 혼용한 지능형 보안관제 방법.
  16. 제13항에 있어서,
    상기 비지도학습단계는, 비지도학습 알고리즘 선택부가 분류된 비지도학습용 데이터에 따라 비지도학습 알고리즘을 선택하는 비지도학습 알고리즘 선택단계와, 비지도학습 알고리즘 선택단계 이후에, 비지도학습 진행부가 선택된 알고리즘을 이용해 비지도학습을 진행하는 비지도학습 진행단계와, 상기 비지도학습 진행단계 이후에, 이상치 탐지모델 평가부가 비지도학습의 결과로 생성된 이상치 탐지모델을 평가하는 이상치 탐지모델 평가단계를 포함하는 것을 특징으로 하는, 지도학습기반의 경보분석과 비지도학습기반의 이상행위탐지 기법을 혼용한 지능형 보안관제 방법.
  17. 삭제
  18. 제13항에 있어서,
    상기 데이터 전처리단계는, 학습데이터 생성부가 지도학습용과 비지도학습용 데이터를 생성해내는 학습데이터 생성단계와, 상기 학습데이터 생성단계 이후에, 학습데이터 전송부가 생성된 학습데이터를 인공지능부로 전송하는 학습데이터 전송단계를 포함하는 것을 특징으로 하는, 지도학습기반의 경보분석과 비지도학습기반의 이상행위탐지 기법을 혼용한 지능형 보안관제 방법.
  19. 제18항에 있어서,
    상기 학습데이터 생성단계는, 학습데이터 정제부가 데이터 수집단계에서 수집한 데이터에서 불필요한 데이터를 제거하는 학습데이터 정제단계와, 상기 학습데이터 정제단계 이후에, 학습데이터 통합부가 일관된 데이터를 형성하는 학습데이터 통합단계와, 상기 학습데이터 통합단계 이후에, 학습데이터 축소부가 중복되거나 불필요하게 나열된 데이터를 축소하는 학습데이터 축소단계와, 상기 학습데이터 축소단계 이후에, 학습데이터 변환부가 데이터의 잡음을 제거하기 위해 데이터를 교정하는 학습데이터 변환단계를 포함하는 것을 특징으로 하는, 지도학습기반의 경보분석과 비지도학습기반의 이상행위탐지 기법을 혼용한 지능형 보안관제 방법.
  20. 제13항에 있어서,
    상기 결과 분석단계는, 학습결과 분류부가 기계학습 진행단계를 통해 생성된 지도학습과 비지도학습의 결과를 출발지와 목적지 기준으로 분류하는 학습결과 분류단계와, 상기 학습결과 분류단계 이후에, 출발지 아이피 기준결과 분석부가 출발지 아이피 기준결과를 분석하는 출발지 아이피 기준결과 분석단계와, 상기 학습결과 분류단계 이후에, 목적지 아이피 기준결과 분석부가 목적지 아이피 기준결과를 분석하는 목적지 아이피 기준결과 분석단계와, 상기 출발지 아이피 기준결과 분석단계 및 상기 목적지 아이피 기준결과 분석단계 이후에, 학습결과 종합부가 모든 결과를 종합하는 학습결과 종합단계를 포함하는 것을 특징으로 하는, 지도학습기반의 경보분석과 비지도학습기반의 이상행위탐지 기법을 혼용한 지능형 보안관제 방법.
  21. 제13항에 있어서,
    상기 결과 출력단계는, 결과 출력부가 결과분석단계를 통해 종합한 학습 결과를 위험도를 기준으로 시각화 하여 사용자에게 알려주는 결과 시각화단계와, 학습 결과의 정오탐 및 미탐 여부를 피드백해 다음 학습데이터로 사용할 수 있게 하는 결과 피드백단계를 포함하는 것을 특징으로 하는, 지도학습기반의 경보분석과 비지도학습기반의 이상행위탐지 기법을 혼용한 지능형 보안관제 방법.
  22. 제21항에 있어서,
    상기 결과 시각화단계는, 시계열 분석부가 경보분석과 비정상행위 탐지결과에 대해 장기간 시계열분석을 통해 지속적 공격에 대한 정보를 시각화 해서 제공하는 시계열 분석단계와, 공격단계 분석부가 경보분석과 비정상행위 탐지결과에 대해 공격단계별로 분석을 시각화 해서 제공하는 공격단계 분석단계를 포함하는 것을 특징으로 하는, 지도학습기반의 경보분석과 비지도학습기반의 이상행위탐지 기법을 혼용한 지능형 보안관제 방법.
  23. 제13항에 있어서,
    상기 데이터 수집단계는, 데이터 수신부가 데이터들이 저장되어 있는 DB 저장소에서 데이터를 수신받는 데이터 수신단계와, 상기 데이터 수신단계 이후에, 지도학습용 데이터 수집부가 수신받은 데이터 중에서 지도학습용 데이터만 수집하는 지도학습용 데이터 수집단계와, 상기 데이터 수신단계 이후에, 비지도학습용 데이터 수집부가 수신받은 데이터 중에서 비지도학습용 데이터만 수집하는 비지도학습용 데이터 수집단계와, 상기 지도학습용 데이터 수집단계 및 상기 비지도학습용 데이터 수집단계 이후에, 데이터 전송부가 수집한 데이터를 데이터 전처리부로 전송하는 데이터 전송단계를 포함하는 것을 특징으로 하는, 지도학습기반의 경보분석과 비지도학습기반의 이상행위탐지 기법을 혼용한 지능형 보안관제 방법.
  24. 삭제
KR1020190044237A 2019-04-16 2019-04-16 지도학습기반의 경보분석과 비지도학습기반의 이상행위탐지 기법을 혼용한 지능형 보안관제 시스템 및 그 방법 KR102091076B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020190044237A KR102091076B1 (ko) 2019-04-16 2019-04-16 지도학습기반의 경보분석과 비지도학습기반의 이상행위탐지 기법을 혼용한 지능형 보안관제 시스템 및 그 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020190044237A KR102091076B1 (ko) 2019-04-16 2019-04-16 지도학습기반의 경보분석과 비지도학습기반의 이상행위탐지 기법을 혼용한 지능형 보안관제 시스템 및 그 방법

Publications (1)

Publication Number Publication Date
KR102091076B1 true KR102091076B1 (ko) 2020-03-20

Family

ID=69958240

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020190044237A KR102091076B1 (ko) 2019-04-16 2019-04-16 지도학습기반의 경보분석과 비지도학습기반의 이상행위탐지 기법을 혼용한 지능형 보안관제 시스템 및 그 방법

Country Status (1)

Country Link
KR (1) KR102091076B1 (ko)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102247181B1 (ko) * 2020-12-18 2021-05-03 주식회사 이글루시큐리티 Xai에 기초하여 생성된 학습데이터를 이용한 이상행위탐지모델 생성방법 및 장치
KR20210152825A (ko) * 2020-06-09 2021-12-16 주식회사 토브데이터 데이터 비식별화 위험도 분석을 위한 방법 및 그 시스템
CN114553560A (zh) * 2022-02-25 2022-05-27 国网山东省电力公司临沂供电公司 一种基于大数据技术的网络安全告警智能分析平台
FR3116917A1 (fr) * 2020-12-01 2022-06-03 Orange Procédé de détermination de classifieurs pour la détection d’attaques dans un réseau de communication, dispositif de détermination associé
KR20220139044A (ko) 2021-04-07 2022-10-14 엘아이지넥스원 주식회사 비지도 학습과 지도 학습을 이용한 고장 진단 방법 및 장치
KR20230011117A (ko) 2021-07-13 2023-01-20 서강대학교산학협력단 자기 지도 학습을 기반으로 한 시계열 데이터의 이상탐지 시스템 및 이상 탐지 방법
KR20230111831A (ko) 2022-01-19 2023-07-26 연세대학교 산학협력단 인공면역 알고리즘을 활용한 데이터의 다중분류 이상감지 시스템 및 그 방법

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20040012285A (ko) * 2002-08-02 2004-02-11 한국정보보호진흥원 은닉 마르코프 모델을 이용한 비정상행위 침입탐지 시스템및 방법
KR101553264B1 (ko) 2014-12-11 2015-09-15 한국과학기술정보연구원 네트워크 침입방지 시스템 및 방법
KR20180062318A (ko) * 2016-11-30 2018-06-08 숭실대학교산학협력단 SVM-SOM 결합 기반 DDoS 탐지 시스템 및 방법

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20040012285A (ko) * 2002-08-02 2004-02-11 한국정보보호진흥원 은닉 마르코프 모델을 이용한 비정상행위 침입탐지 시스템및 방법
KR101553264B1 (ko) 2014-12-11 2015-09-15 한국과학기술정보연구원 네트워크 침입방지 시스템 및 방법
KR20180062318A (ko) * 2016-11-30 2018-06-08 숭실대학교산학협력단 SVM-SOM 결합 기반 DDoS 탐지 시스템 및 방법

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20210152825A (ko) * 2020-06-09 2021-12-16 주식회사 토브데이터 데이터 비식별화 위험도 분석을 위한 방법 및 그 시스템
KR102345750B1 (ko) * 2020-06-09 2022-01-03 주식회사 토브데이터 데이터 비식별화 위험도 분석을 위한 방법 및 그 시스템
FR3116917A1 (fr) * 2020-12-01 2022-06-03 Orange Procédé de détermination de classifieurs pour la détection d’attaques dans un réseau de communication, dispositif de détermination associé
EP4009584A1 (fr) * 2020-12-01 2022-06-08 Orange Procédé de détermination de classifieurs pour la détection d'attaques dans un réseau de communication, dispositif de détermination associé
KR102247181B1 (ko) * 2020-12-18 2021-05-03 주식회사 이글루시큐리티 Xai에 기초하여 생성된 학습데이터를 이용한 이상행위탐지모델 생성방법 및 장치
KR20220139044A (ko) 2021-04-07 2022-10-14 엘아이지넥스원 주식회사 비지도 학습과 지도 학습을 이용한 고장 진단 방법 및 장치
KR102570576B1 (ko) 2021-04-07 2023-08-25 엘아이지넥스원 주식회사 비지도 학습과 지도 학습을 이용한 고장 진단 방법 및 장치
KR20230011117A (ko) 2021-07-13 2023-01-20 서강대학교산학협력단 자기 지도 학습을 기반으로 한 시계열 데이터의 이상탐지 시스템 및 이상 탐지 방법
KR20230111831A (ko) 2022-01-19 2023-07-26 연세대학교 산학협력단 인공면역 알고리즘을 활용한 데이터의 다중분류 이상감지 시스템 및 그 방법
CN114553560A (zh) * 2022-02-25 2022-05-27 国网山东省电力公司临沂供电公司 一种基于大数据技术的网络安全告警智能分析平台
CN114553560B (zh) * 2022-02-25 2024-01-30 国网山东省电力公司临沂供电公司 一种基于大数据技术的网络安全告警智能分析平台

Similar Documents

Publication Publication Date Title
KR102091076B1 (ko) 지도학습기반의 경보분석과 비지도학습기반의 이상행위탐지 기법을 혼용한 지능형 보안관제 시스템 및 그 방법
CN113965404B (zh) 一种网络安全态势自适应主动防御系统及方法
US11336669B2 (en) Artificial intelligence cyber security analyst
CN110620759B (zh) 基于多维关联的网络安全事件危害指数评估方法及其系统
CN115996146B (zh) 数控系统安全态势感知与分析系统、方法、设备及终端
Dou et al. Pc 2 a: predicting collective contextual anomalies via lstm with deep generative model
CN113904881B (zh) 一种入侵检测规则误报处理方法和装置
CN117879970B (zh) 一种网络安全防护方法及系统
Yassin et al. Signature-Based Anomaly intrusion detection using Integrated data mining classifiers
Snehi et al. Global intrusion detection environments and platform for anomaly-based intrusion detection systems
CN117692345A (zh) 一种基于人工智能的it运营方法及系统
Dalal et al. Next-generation cyber attack prediction for IoT systems: leveraging multi-class SVM and optimized CHAID decision tree
CN110149303B (zh) 一种党校的网络安全预警方法及预警系统
CN109871711B (zh) 海洋大数据共享分发风险控制模型及方法
Shen et al. Prior knowledge based advanced persistent threats detection for IoT in a realistic benchmark
CN115659351B (zh) 一种基于大数据办公的信息安全分析方法、系统及设备
KR102609592B1 (ko) IoT 시스템의 비정상행위 탐지 방법 및 그 장치
Salazar et al. Monitoring approaches for security and safety analysis: application to a load position system
Babouche et al. An adaptive attack prediction framework in cyber-physical systems
Mughaid et al. Enhancing cybersecurity in scada iot systems: A novel machine learning-based approach for man-in-the-middle attack detection
Protic et al. WK-FNN design for detection of anomalies in the computer network traffic
Kabaivanov et al. Hybrid deep-learning analysis for cyber anomaly detection
Reddy et al. An intelligent security framework for cyber-physical systems in smart city
Konda et al. AI and IoT based Intrusion Detection System for Cybersecurity
CN118174958B (zh) 流量分类方法、装置、电子设备、存储介质和程序产品

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant