KR102148283B1 - System for detecting network attacks using deep learning - Google Patents

System for detecting network attacks using deep learning Download PDF

Info

Publication number
KR102148283B1
KR102148283B1 KR1020190013036A KR20190013036A KR102148283B1 KR 102148283 B1 KR102148283 B1 KR 102148283B1 KR 1020190013036 A KR1020190013036 A KR 1020190013036A KR 20190013036 A KR20190013036 A KR 20190013036A KR 102148283 B1 KR102148283 B1 KR 102148283B1
Authority
KR
South Korea
Prior art keywords
image information
information
deep learning
network
image
Prior art date
Application number
KR1020190013036A
Other languages
Korean (ko)
Other versions
KR20200095219A (en
Inventor
장범환
김병수
김정환
Original Assignee
(주)에이알씨엔에스
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)에이알씨엔에스 filed Critical (주)에이알씨엔에스
Priority to KR1020190013036A priority Critical patent/KR102148283B1/en
Publication of KR20200095219A publication Critical patent/KR20200095219A/en
Application granted granted Critical
Publication of KR102148283B1 publication Critical patent/KR102148283B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06TIMAGE DATA PROCESSING OR GENERATION, IN GENERAL
    • G06T2207/00Indexing scheme for image analysis or image enhancement
    • G06T2207/20Special algorithmic details
    • G06T2207/20081Training; Learning

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Artificial Intelligence (AREA)
  • Evolutionary Computation (AREA)
  • Health & Medical Sciences (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Biomedical Technology (AREA)
  • Biophysics (AREA)
  • Computational Linguistics (AREA)
  • Data Mining & Analysis (AREA)
  • Signal Processing (AREA)
  • General Health & Medical Sciences (AREA)
  • Molecular Biology (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 호스트에서 전송하는 트래픽 세션 정보를 이용하여 이미지정보를 생성하고, 생성된 이미지정보를 증강한 후 딥 러닝 모델을 이용하여 학습하며, 학습된 딥 러닝 모델의 이미지정보에 근거하여 네트워크에서 발생하는 공격을 실시간으로 탐지하는 딥 러닝을 이용한 네트워크 공격 탐지 시스템 및 그 방법에 관한 것이다.
상기의 과제를 해결하기 위하여 본 발명에 따른 딥 러닝을 이용한 네트워크 공격 탐지 시스템은 네트워크 트래픽에 대한 세션정보 또는 네트워크 트래픽에 대한 이미지정보를 검출하여 송신하는 호스트; 상기 호스트에서 송신되는 세션정보를 수신하여 저장하고, 저장된 상기 세션정보를 군집시켜 송출하는 트래픽정보 송/수신부; 상기 트래픽정보 송/수신부에서 송신되는 트래픽정보를 이미지정보로 생성하고, 상기 호스트에서 송신되는 이미지정보를 수신하며, 생성된 이미지정보와 수신된 이미지정보가 학습용 또는 공격용인지를 판단하는 이미지생성 증강부; 상기 이미지생성 증강부의 판단 결과 이미지정보가 학습용인 경우, 학습용으로 판단된 이미지정보를 저장하고, 저장된 이미지정보를 딥 러딩 모델로 반복하여 학습하는 딥 러닝 모델 학습부; 및 상기 이미지생성 증강부의 판단 결과 이미지정보가 탐지용인 경우, 탐지용으로 판단된 이미지정보와 상기 딥 러닝 모델 학습부에서 학습된 이미지정보를 비교 분석하여 평가하는 딥 러닝 공격 탐지부를 포함하는 것을 특징으로 한다.The present invention generates image information using traffic session information transmitted from a host, augments the generated image information, and then learns using a deep learning model, and is generated in a network based on the image information of the learned deep learning model. The present invention relates to a network attack detection system and method using deep learning for detecting an attack in real time.
In order to solve the above problems, a network attack detection system using deep learning according to the present invention includes: a host for detecting and transmitting session information for network traffic or image information for network traffic; A traffic information transmitter/receiver configured to receive and store session information transmitted from the host, and cluster and transmit the stored session information; An image generation enhancement unit that generates traffic information transmitted from the traffic information transmission/reception unit as image information, receives image information transmitted from the host, and determines whether the generated image information and the received image information are for learning or attack purposes. ; A deep learning model learning unit that stores image information determined for training, and learns by repeatedly learning the stored image information as a deep rudding model when the image information is determined for training by the image generation augmenting unit; And a deep learning attack detection unit that compares and evaluates the image information determined for detection with the image information learned by the deep learning model learning unit when the image information determined by the image generation augmenting unit is for detection. do.

Figure R1020190013036
Figure R1020190013036

Description

딥 러닝을 이용한 네트워크 공격 탐지 시스템{SYSTEM FOR DETECTING NETWORK ATTACKS USING DEEP LEARNING}Network attack detection system using deep learning {SYSTEM FOR DETECTING NETWORK ATTACKS USING DEEP LEARNING}

본 발명은 딥 러닝을 이용한 네트워크 공격 탐지 시스템에 관한 것으로서, 더욱 상세하게는 호스트에서 전송하는 트래픽 세션 정보를 이용하여 이미지정보를 생성하고, 생성된 이미지정보를 증강한 후 딥 러닝 모델을 이용하여 학습하며, 학습된 딥 러닝 모델의 이미지정보에 근거하여 네트워크에서 발생하는 공격을 실시간으로 탐지하는 딥 러닝을 이용한 네트워크 공격 탐지 시스템 및 그 방법에 관한 것이다.The present invention relates to a network attack detection system using deep learning, and more particularly, to generate image information using traffic session information transmitted from a host, augment the generated image information, and then learn using a deep learning model. And, it relates to a network attack detection system and method using deep learning that detects an attack occurring in a network in real time based on image information of the learned deep learning model.

종래의 네트워크 트래픽을 이용한 네트워크 공격 탐지 기술은 패킷 내의 패턴을 비교 및 검사하여 공격 유무를 판단하거나 세션의 특성 정보와 연결 관계를 이용하여 공격 유무를 판단한다. 또한, 네트워크 공격 상황을 효율적으로 표출 및 인지하기 위해 트래픽 시각화 방법을 사용하는 것이 보편화되었다.In the conventional network attack detection technology using network traffic, the presence or absence of an attack is determined by comparing and examining patterns in packets, or the presence or absence of an attack by using session characteristic information and a connection relationship. In addition, it has become common to use traffic visualization methods to efficiently express and recognize network attack conditions.

네트워크에서 특성 정보에 대한 공격을 탐지하기 위한 기술 중 하나로서, 등록특허공보 제10-0628329호에 네트워크 세션 특성 정보에 대한 공격 행위 탐지규칙 생성장치 및 그 방법이 개시되었다.As one of the technologies for detecting an attack on characteristic information in a network, an apparatus and method for generating an attack behavior detection rule on network session characteristic information are disclosed in Korean Patent Publication No. 10-0628329.

그러나 상기 기술은 패킷 내의 패턴을 비교 및 검사하기 위해 전송되는 개별 패킷을 모두 검사해야하므로 많은 부하가 발생하고, 새로운 공격유형에 대한 탐지가 불가능하다. 이에 더하여, 새로운 공격에 대한 패턴을 지속적으로 갱신해야하는 단점과 높은 오판율이 문제가 된다.However, in the above technology, since all individual packets transmitted to compare and inspect patterns in the packet must be inspected, a large load is generated, and detection of a new attack type is impossible. In addition to this, the disadvantage of having to continuously update the pattern for new attacks and the high false judgment rate becomes a problem.

또한, 세션의 특성 정보를 연결하여 네트워크 공격을 탐지하는 기술 중의 하나로서, 등록특허공보 제10-1907752호에 인공지능을 이용하여 DDoS 공격을 탐지하는 소프트웨어 정의 네트워크 및 이에 포함되는 컨트롤러가 개시되었다.In addition, as one of the technologies for detecting a network attack by connecting session characteristic information, a software defined network for detecting a DDoS attack using artificial intelligence and a controller included therein is disclosed in Korean Patent Publication No. 10-1907752.

상기 기술은 세션의 특성 정보와 연결 관계를 이용하는 방식으로서, 세션별로 군집된 패킷들의 특성을 통계적인 기법, 즉 빈도기반 위주로 판단하기 때문에 정상접속과 유사한 네트워크 공격 또는 네트워크 공격과 유사한 정상접속을 정확하게 구분 및 탐지하는 것이 불가능하다.The above technology is a method of using session characteristic information and connection relationship.Since the characteristics of packets clustered for each session are determined based on a statistical technique, that is, frequency-based, network attacks similar to normal access or normal access similar to network attacks are accurately classified. And it is impossible to detect.

한편, 트래픽 시각화 방법은 목적 자체가 공격 탐지보다는 보안 상황을 효율적으로 인지하기 위한 것이기 때문에, 공격의 여부를 판단하는 것은 시스템보다는 사용자의 개인적 인지에 의해서 이루어지고 있는 실정이다.On the other hand, since the purpose of the traffic visualization method itself is to recognize the security situation more efficiently than the detection of an attack, the determination of whether an attack is performed is based on the user's personal perception rather than the system.

KR 10-0628329 B1 (2006. 09. 19.)KR 10-0628329 B1 (2006. 09. 19.) KR 10-1907752 B1 (2018. 10. 05.)KR 10-1907752 B1 (2018. 10. 05.)

본 발명은 상기 종래기술이 갖는 문제점을 해소하기 위하여 창출된 것으로서, 본 발명에서 해결하고자 하는 과제는, 검출장치로부터 트래픽에 대한 세션정보 또는 이미지정보를 수집하고, 수집된 세션정보를 이미지 정보로 생성하며, 수집된 이미지정보 또는 생성된 이미지정보를 학습된 이미지정보와 비교 평가하여 네트워크에서 발생하는 공격을 실시간으로 탐지할 수 있는 딥 러닝을 이용한 네트워크 공격 탐지 시스템을 제공하는 데 있다.The present invention was created to solve the problems of the prior art, and the problem to be solved in the present invention is to collect session information or image information for traffic from a detection device, and generate the collected session information as image information. The objective is to provide a network attack detection system using deep learning that can detect an attack occurring in a network in real time by comparing and evaluating the collected image information or the generated image information with the learned image information.

또한, 본 발명에서 해결하고자 하는 다른 과제는, 특정 송신지 IP 주소를 기준으로 세션들을 군집화하고 공격유형에 대한 레이블을 추가하거나 또는 트래픽의 공격 정보(군집된 세션들과 공격유형 레이블)를 이용하여 이미지와 좌표들을 생성 및 증강하여 딥 러닝 모델을 학습하고, 학습된 모델에 근거하여 네트워크에서 발생하는 공격을 실시간으로 탐지할 수 있는 딥 러닝을 이용한 네트워크 공격 탐지 시스템을 제공하는 데 있다.In addition, another problem to be solved in the present invention is to cluster sessions based on a specific source IP address and add a label for an attack type or use attack information of traffic (clustered sessions and attack type labels). It is to provide a network attack detection system using deep learning that can generate and augment images and coordinates to learn a deep learning model, and detect an attack occurring in a network in real time based on the learned model.

상기의 과제를 해결하기 위하여 본 발명에 따른 딥 러닝을 이용한 네트워크 공격 탐지 시스템은 네트워크 트래픽에 대한 세션정보 또는 네트워크 트래픽에 대한 이미지정보를 검출하여 송신하는 호스트; 상기 호스트에서 송신되는 세션정보를 수신하여 저장하고, 저장된 상기 세션정보를 군집시켜 송출하는 트래픽정보 송/수신부; 상기 트래픽정보 송/수신부에서 송신되는 트래픽정보를 이미지정보로 생성하고, 상기 호스트에서 송신되는 이미지정보를 수신하며, 생성된 이미지정보와 수신된 이미지정보가 학습용 또는 공격용인지를 판단하는 이미지생성 증강부; 상기 이미지생성 증강부의 판단 결과 이미지정보가 학습용인 경우, 학습용으로 판단된 이미지정보를 저장하고, 저장된 이미지정보를 딥 러딩 모델로 반복하여 학습하는 딥 러닝 모델 학습부; 및 상기 이미지생성 증강부의 판단 결과 이미지정보가 탐지용인 경우, 탐지용으로 판단된 이미지정보와 상기 딥 러닝 모델 학습부에서 학습된 이미지정보를 비교 분석하여 평가하는 딥 러닝 공격 탐지부를 포함하는 것을 특징으로 한다.In order to solve the above problems, a network attack detection system using deep learning according to the present invention includes: a host for detecting and transmitting session information for network traffic or image information for network traffic; A traffic information transmitter/receiver configured to receive and store session information transmitted from the host, and cluster and transmit the stored session information; An image generation enhancement unit that generates traffic information transmitted from the traffic information transmission/reception unit as image information, receives image information transmitted from the host, and determines whether the generated image information and the received image information are for learning or attack purposes. ; A deep learning model learning unit that stores image information determined for training, and learns by repeatedly learning the stored image information as a deep rudding model when the image information is determined for training by the image generation augmenting unit; And a deep learning attack detection unit that compares and evaluates the image information determined for detection with the image information learned by the deep learning model learning unit when the image information determined by the image generation augmenting unit is for detection. do.

여기서, 상기 트래픽정보 송/수신부는 상기 호스트에서 송신되는 세션정보를 수신하는 세션정보 수신모듈; 상기 세션정보 수신모듈에서 수신된 세션정보를 송신지 IP 주소를 기준으로 설정된 개수만큼 군집시키고, 군집된 설정 개수를 초과하는 경우 세션정보를 송출하는 세션 정보 송신모듈; 및 상기 딥 러닝 공격 탐지부에서 평가된 결과를 상기 호스트로 전송하는 탐지정보 송신모듈을 포함하고, 상기 세션정보는 수신시간, 송신지 IP 주소, 수신지 IP 주소, 송신지 포트번호, 수신지 포트번호 및 프로토콜 번호를 포함하는 것을 특징으로 한다.Here, the traffic information transmitting/receiving unit comprises: a session information receiving module for receiving session information transmitted from the host; A session information transmission module configured to cluster the session information received by the session information receiving module as many as a set number based on a transmission destination IP address, and transmit session information when the clustered set number is exceeded; And a detection information transmission module for transmitting a result evaluated by the deep learning attack detection unit to the host, wherein the session information includes a reception time, a transmission destination IP address, a destination IP address, a transmission destination port number, and a destination port It characterized in that it includes a number and a protocol number.

또한, 상기 이미지생성 증강부는 상기 트래픽정보 송/수신부로부터 전송되는 세션정보를 수신하고, 수신된 세션정보에 근거하여 이미지정보를 생성하는 이미지정보 생성모듈; 상기 호스트에서 전송된 이미지정보 또는 상기 이미지정보 생성모듈에서 생성된 이미지정보가 탐지용인지 또는 훈련용인지를 판단하는 이미지정보 판단모듈; 및 상기 이미지정보 판단모듈에서 판단된 훈련용 이미지정보를 상기 세션정보에 근거하여 IP 주소 또는 포트번호를 회전 이동 또는 변위 이동시켜 복수의 이미지정보를 생성하는 이미지정보 증강모듈을 포함하는 것을 특징으로 한다.In addition, the image generation enhancement unit receives the session information transmitted from the traffic information transmission/reception unit, and an image information generation module for generating image information based on the received session information; An image information determination module for determining whether the image information transmitted from the host or the image information generated by the image information generation module is for detection or training; And an image information enhancement module configured to generate a plurality of image information by rotating or displacing an IP address or port number based on the session information on the training image information determined by the image information determination module. .

또한, 상기 이미지정보 생성모듈(310)에서 생성되는 이미지정보는 기준 반지름에 대한 세션정보의 수신시간으로 산출되는 반지름, IP 주소의 호스트 주소로 산출되는 각도 및 IP 주소의 네트워크 주소로 산출되는 높이를 갖는 3차원 원통좌표의 평면 이미지인 것을 특징으로 한다.In addition, the image information generated by the image information generation module 310 includes a radius calculated as a reception time of session information for a reference radius, an angle calculated as a host address of an IP address, and a height calculated as a network address of the IP address. It is characterized in that it is a plane image of three-dimensional cylindrical coordinates.

또한, 상기 딥 러딩 모델은 합성곱 신경망(Convolutional Neural Network: CNN), 순환 신경망(Recurrent Neural Network: RNN), 제한 볼츠만 머신(Restricted Boltzmann Machine: RBM), 심층 신뢰 신경망(Deep Belief Network: DBN) 및 생성적 적대 신경망(Generative Adversarial Network: GAN) 중에서 선택되는 것을 특징으로 한다.In addition, the deep ruding model is a convolutional neural network (CNN), a recurrent neural network (RNN), a restricted Boltzmann machine (RBM), a deep trust neural network (DBN), and It is characterized by being selected from a Generative Adversarial Network (GAN).

본 발명에 의하면, 딥 러닝에 의해 학습된 이미지정보와 탐지용 이미지정보를 비교 분석함으로써, 학습된 이미지정보를 통해 네트워크 공격패턴을 쉽게 탐지할 수 있는 장점이 있다.According to the present invention, by comparing and analyzing image information learned by deep learning with image information for detection, there is an advantage in that a network attack pattern can be easily detected through the learned image information.

또한, 시각화된 이미지정보를 이용함에 따라 네트워크의 트래픽 부하를 최소화할 수 있고, 네트워크 공격 탐지를 위한 시스템 구축에 소요되는 시간 및 비용을 절감할 수 있는 장점이 있다.In addition, by using the visualized image information, it is possible to minimize the traffic load of the network, and there is an advantage in that it is possible to reduce the time and cost required to construct a system for detecting a network attack.

또한, 구축된 공격 탐지 시스템과 병행하여 운영할 수 있는 것으로서, 구축된 공격 탐지 시스템과의 연계를 통해 단점을 상호 보완하여 네트워크 공격을 효과적으로 차단할 수 있는 장점이 있다.In addition, as it can be operated in parallel with the built attack detection system, it has the advantage of effectively blocking network attacks by complementing the shortcomings through linkage with the built attack detection system.

도 1은 본 발명에 따른 딥 러닝을 이용한 네트워크 공격 탐지 시스템의 개략적인 구성도.
도 2는 본 발명에 따른 딥 러닝을 이용한 네트워크 공격 탐지 시스템의 내부 기능별 블록 구성도.
도 3은 본 발명에 따른 딥 러닝을 이용한 네트워크 공격 탐지 시스템에 적용된 일 실시 예의 군집된 세션정보에 대한 데이터 테이블.
도 4는 본 발명에 따른 딥 러닝을 이용한 네트워크 공격 탐지 시스템에서 이용하는 이미지정보의 일 실시 예를 나타낸 도면.
도 5는 본 발명에 따른 딥 러닝을 이용한 네트워크 공격 탐지 시스템에서 이미지정보를 회전이동 방식으로 증강시켜 복수의 이미지정보를 생성하는 과정도.
도 5는 도 4에 나타낸 점들의 좌표에 대한 데이터 테이블.
도 6은 본 발명에 따른 딥 러닝을 이용한 네트워크 공격 탐지 시스템에서 이미지정보를 회전이동 방식으로 증강시켜 복수의 이미지정보를 생성하는 과정도.
도 7은 본 발명에 따른 딥 러닝을 이용한 네트워크 공격 탐지 시스템에서 이미지정보를 변위이동 방식으로 증강시켜 복수의 이미지정보를 생성하는 과정도.
도 8은 본 발명에 따른 딥 러닝을 이용한 네트워크 공격 탐지 시스템에서 3차원 점좌표를 갖는 이미지정보의 생성을 설명하기 위한 도면.
도 9는 본 발명에 따른 딥 러닝을 이용한 네트워크 공격 탐지 시스템에서 3차원 점좌표를 평면 이미지로 나타낸 도면.
도 10은 본 발명에 따른 딥 러닝을 이용한 네트워크 공격 탐지 시스템에서 IP 주소 평면, 호스트 평면 및 포트 평면에 표시되는 점좌표를 나타낸 도면.1 is a schematic configuration diagram of a network attack detection system using deep learning according to the present invention.
Figure 2 is a block diagram for each internal function of the network attack detection system using deep learning according to the present invention.
3 is a data table for clustered session information according to an embodiment applied to a network attack detection system using deep learning according to the present invention.
4 is a diagram showing an embodiment of image information used in a network attack detection system using deep learning according to the present invention.
5 is a process diagram of generating a plurality of image information by augmenting image information in a rotational movement method in a network attack detection system using deep learning according to the present invention.
5 is a data table for coordinates of points shown in FIG. 4.
6 is a process diagram of generating a plurality of image information by augmenting image information in a rotational movement method in a network attack detection system using deep learning according to the present invention.
7 is a process diagram of generating a plurality of image information by augmenting image information by a displacement movement method in a network attack detection system using deep learning according to the present invention.
8 is a view for explaining the generation of image information having 3D point coordinates in the network attack detection system using deep learning according to the present invention.
9 is a diagram showing three-dimensional point coordinates as a plane image in the network attack detection system using deep learning according to the present invention.
10 is a diagram illustrating point coordinates displayed on an IP address plane, a host plane, and a port plane in the network attack detection system using deep learning according to the present invention.

이하 첨부된 도면을 참조하여 본 발명의 바람직한 실시 예를 더욱 상세하게 설명한다.Hereinafter, exemplary embodiments of the present invention will be described in more detail with reference to the accompanying drawings.

본 발명은 호스트에서 전송하는 트래픽 세션 정보를 이용하여 이미지정보를 생성하고, 생성된 이미지정보를 증강한 후 딥 러닝 모델을 이용하여 학습하며, 학습된 딥 러닝 모델의 이미지정보에 근거하여 네트워크에서 발생하는 공격을 실시간으로 탐지하는 딥 러닝을 이용한 네트워크 공격 탐지 시스템 및 그 방법에 관한 것이다.The present invention generates image information using traffic session information transmitted from a host, augments the generated image information, and then learns using a deep learning model, and is generated in a network based on the image information of the learned deep learning model. The present invention relates to a network attack detection system and method using deep learning for detecting an attack in real time.

도 1은 본 발명에 따른 딥 러닝을 이용한 네트워크 공격 탐지 시스템의 개략적인 구성도이고, 도 2는 본 발명에 따른 딥 러닝을 이용한 네트워크 공격 탐지 시스템의 내부 기능별 블록 구성을 나타낸 도면이다.1 is a schematic configuration diagram of a network attack detection system using deep learning according to the present invention, and FIG. 2 is a diagram showing a block configuration for each internal function of a network attack detection system using deep learning according to the present invention.

첨부된 도 1 및 도 2를 참조하면, 본 발명에 따른 딥 러닝을 이용한 네트워크 공격 탐지 시스템은 호스트(100), 트래픽 정보 송/수신부(200), 이미지 생성/증강부(300), 딥 러닝 모델 학습부(400) 및 딥 러닝 공격 탐지부(500)를 포함하여 이루어진다.1 and 2, the network attack detection system using deep learning according to the present invention includes a host 100, a traffic information transmitting/receiving unit 200, an image generating/enhancing unit 300, a deep learning model. It comprises a learning unit 400 and a deep learning attack detection unit 500.

호스트(100)는 인터넷에 연결되어 트래픽의 의한 세션정보에 대해 공격 여부를 의뢰하는 단말기로서, 세션정보 송신장치(110)와 이미지정보 송신장치(120)를 포함하여 구성된다.The host 100 is a terminal connected to the Internet and requesting an attack on session information due to traffic, and includes a session information transmission device 110 and an image information transmission device 120.

즉, 상기 호스트(100)는 네트워크의 트래픽을 상시적으로 보고하는 네트워크 트래픽 감시 장비 등으로부터 세션정보를 생성하고, 생성된 세션정보를 송신하는 세션정보 송신장치(110)와 네트워크 공격 상황을 효율적으로 표출한 이미지정보를 생성하고, 생성된 이미지정보를 송신하는 이미지정보 송신장치(120) 등으로 구성될 수 있다. 이때, 상기 네크워크 트래픽 감시 장비로는 라우터, 스위치, 트래픽 감시 소프트웨어 또는 트래픽 플로우 발생 소프트웨어 중에서 선택될 수 있다.That is, the host 100 generates session information from a network traffic monitoring device that constantly reports network traffic, and efficiently monitors the network attack situation with the session information transmission device 110 that transmits the generated session information. It may be configured with an image information transmission device 120 that generates the expressed image information and transmits the generated image information. In this case, the network traffic monitoring equipment may be selected from a router, a switch, traffic monitoring software, or traffic flow generation software.

여기서, 상기 트래픽 플로우 발생 소프트웨어는 상기 네크워크 트래픽 감시 장비와 연계하여 트래픽으로부터 정보를 읽어들여 트래픽을 재현하는 프로그램 등을 의미한다.Here, the traffic flow generation software refers to a program for reproducing traffic by reading information from traffic in connection with the network traffic monitoring device.

이때, 상기 이미지정보 송신장치(120)에서 시각화된 이미지정보는 기준 반지름에 대한 세션정보의 수신시간으로 산출되는 반지름, IP 주소의 호스트 주소로 산출되는 각도 및 IP 주소의 네트워크 주소로 산출되는 높이를 갖는 3차원 원통좌표 이미지 또는 세션정보의 수신시간으로 산출되는 X좌표, IP 주소의 호스트 주소로 산출되는 Y좌표 및 IP 주소의 네트워크 주소로 산출되는 Z좌표로 표시되는 직교좌표 이미지로 이루어지는 것으로서, 상기 이미지정보를 생성하는 과정에 대해서는 후술한다.At this time, the image information visualized by the image information transmission device 120 is a radius calculated as a reception time of session information for a reference radius, an angle calculated as a host address of an IP address, and a height calculated as a network address of the IP address. A three-dimensional cylindrical coordinate image or an X-coordinate calculated as a reception time of session information, a Y-coordinate calculated as a host address of an IP address, and a Cartesian coordinate image expressed as a Z-coordinate calculated as a network address of the IP address. The process of generating image information will be described later.

상기 트래픽 정보 송/수신부(200)는 상기 호스트(100)에서 송신되는 세션정보를 수신하여 저장하고, 저장된 상기 세션정보를 군집시켜 송출하는 것으로서, 세션정보 수신모듈(210), 세션정보 송신모듈(220) 및 탐지정보 송신모듈(230)을 포함하여 구성된다.The traffic information transmitting/receiving unit 200 receives and stores session information transmitted from the host 100, and aggregates and transmits the stored session information, and includes a session information receiving module 210, a session information transmitting module ( 220) and a detection information transmission module 230.

세션정보 수신모듈(210)은 상기 검출장치(100)에서 송신되는 세션정보를 수신하는 기능을 수행한다.The session information receiving module 210 performs a function of receiving session information transmitted from the detection device 100.

이때, 세션정보는 수신시간, 송신지 IP 주소, 수신지 IP 주소, 송신지 포트번호, 수신지 포트번호 및 프로토콜 번호를 포함하여 이루어진다.At this time, the session information includes a reception time, a source IP address, a destination IP address, a source port number, a destination port number, and a protocol number.

세션정보 송신모듈(220)은 상기 세션정보 수신모듈(210)에서 수신된 세션정보를 송신지 IP 주소를 기준으로 설정된 개수만큼 군집시키고, 군집된 설정 개수를 초과하는 경우 송출하는 기능을 수행하는 것으로서, 송출되는 군집된 세션정보는 이미지생성 증강부(300)로 전송된다.The session information transmission module 220 clusters the session information received by the session information reception module 210 as many as a set number based on the transmission destination IP address, and transmits when the clustered set number is exceeded. , The clustered session information that is transmitted is transmitted to the image generation enhancement unit 300.

도 3은 본 발명에 따른 딥 러닝을 이용한 네트워크 공격 탐지 시스템에 적용된 일 실시 예의 군집된 세션정보에 대한 데이터 테이블을 나타낸 것이다.3 shows a data table for clustered session information according to an embodiment applied to a network attack detection system using deep learning according to the present invention.

첨부된 도 3에서, PRT는 프로토콜 번호, SIP는 송신지 IP 주소, DIP는 수신지 IP 주소, SPT는 송신지 포트번호 및 DPT는 수신지 포트번호를 의미한다.In the attached FIG. 3, PRT means a protocol number, SIP means a source IP address, DIP means a destination IP address, SPT means a source port number, and DPT means a destination port number.

탐지정보 송신모듈(230)은 상기 딥 러닝 공격 탐지부(500)에서 평가된 결과를 상기 호스트(100)로 전송하는 기능을 수행한다.The detection information transmission module 230 performs a function of transmitting the result evaluated by the deep learning attack detection unit 500 to the host 100.

이미지생성 증강부(300)는 상기 트래픽정보 송/수신부(200)에서 송신되는 트래픽정보를 이미지정보로 생성하고, 상기 호스트(100)에서 송신되는 이미지정보를 수신하며, 생성된 이미지정보와 수신된 이미지정보가 학습용 또는 공격용인지를 판단하는 기능을 수행하는 것으로서, 이미지정보 생성모듈(310), 이미지정보 판단모듈(320) 및 이미지정보 증강모듈(330)을 포함하여 이루어진다.The image generation enhancement unit 300 generates traffic information transmitted from the traffic information transmission/reception unit 200 as image information, receives image information transmitted from the host 100, and receives the generated image information and the received image information. As to perform a function of determining whether the image information is for learning or attack, it includes an image information generation module 310, an image information determination module 320, and an image information enhancement module 330.

이미지정보 생성모듈(310)은 상기 트래픽정보 송/수신부(200)로부터 전송되는 세션정보를 수신하고, 수신된 세션정보에 근거하여 이미지정보를 생성한다.The image information generation module 310 receives session information transmitted from the traffic information transmission/reception unit 200, and generates image information based on the received session information.

도 4는 본 발명에 따른 딥 러닝을 이용한 네트워크 공격 탐지 시스템에서 이용하는 이미지정보의 일 실시 예를 나타낸 도면으로서, 상기 세션정보를 이용하여 이미지정보를 생성하는 과정에 대해서는 후술한다.4 is a diagram showing an embodiment of image information used in a network attack detection system using deep learning according to the present invention, and a process of generating image information using the session information will be described later.

도 5는 도 4에 나타낸 점들의 좌표에 대한 데이터 테이블로서, 세션정보에서 프로토콜과 송신지 포트번호 및 수신지 포트번호를 (프로토콜식별자, (x좌표, y좌표, z좌표))형식으로 표기하여 일괄 기재한 데이터 테이블이다.5 is a data table for the coordinates of the points shown in FIG. 4, in which the protocol, transmission port number, and destination port number are expressed in the form of (protocol identifier, (x coordinate, y coordinate, z coordinate)). This is a data table that is collectively listed.

첨부된 도 5에서 제1열은 포트 평면에 '프로토콜식별자, (x좌표, y좌표, z좌표)'로 표현된 것이고, 제2열은 호스트 평면에 '호스트 x좌표, 호스트 y좌표, 호스트 z좌표'로 표현된 것이며, 제3열은 IP 주소 평면에 '[네트워크 x좌표, 네트워크 y좌표, 네트워크 z좌표]'로 표현한 것이다.In the attached FIG. 5, the first column is expressed as'protocol identifier, (x coordinate, y coordinate, z coordinate)' on the port plane, and the second column is'host x coordinate, host y coordinate, host z'on the host plane. It is expressed as'coordinate', and the third column is expressed as'[network x coordinate, network y coordinate, network z coordinate]' on the IP address plane.

첨부된 도 5에 따르면, ICMP프로토콜을 사용하는 경우 수신지 포트번호가 2048이면, I,(x좌표, y좌표, z좌표)로 표현되고, TCP프로토콜을 사용하는 경우, 수신지 포트번호가 80이면, T,(x좌표, y좌표, z좌표)로 표현되며, UDP프로토콜을 사용하는 경우 수신지 포트번호가 53이면, U,(x좌표, y좌표, z좌표)로 표현된다.According to the attached Fig. 5, when the ICMP protocol is used, when the destination port number is 2048, it is expressed as I, (x coordinate, y coordinate, z coordinate), and when using the TCP protocol, the destination port number is 80. In this case, it is expressed as T,(x coordinate, y coordinate, z coordinate), and if the destination port number is 53 when using the UDP protocol, it is expressed as U,(x coordinate, y coordinate, z coordinate).

또한, ICMP, TCP 및 UDP프로토콜을 제외한 프로토콜일 경우, E,(x좌표, y좌표, z좌표)로 표현된다.In addition, in the case of protocols excluding ICMP, TCP, and UDP protocols, it is expressed as E,(x coordinate, y coordinate, z coordinate).

또한, 상기 데이터 테이블에서 세션정보의 송신지 IP 주소와 수신지 IP 주소를 각각 16비트씩 분해하고, 상위 16비트를 네트워크 식별자로 변환하며, 하위 16비트를 호스트 식별자로 변환하여 표현하면, {호스트 x좌표, 호스트 y좌표, 호스트 z좌표 그리고 [네트워크 x좌표, 네트워크 y좌표, 네트워크 z좌표]}형식으로 표현할 수 있다.In addition, in the above data table, the source IP address and destination IP address of the session information are decomposed by 16 bits, the upper 16 bits are converted into a network identifier, and the lower 16 bits are converted into a host identifier. It can be expressed in the form of x coordinate, host y coordinate, host z coordinate, and [network x coordinate, network y coordinate, network z coordinate]}.

예를 들어, IP 주소가 192.168.0.43라고 가정하면, -0.4070616,0,-0.5279634 [-0.4070616,0,-0.5279634]로 표현된다.For example, assuming that the IP address is 192.168.0.43, it is expressed as -0.4070616,0,-0.5279634 [-0.4070616,0,-0.5279634].

이미지정보 판단모듈(320)은 상기 호스트(100)에서 전송된 이미지정보 또는 상기 이미지정보 생성모듈(310)에서 생성된 이미지정보가 탐지용인지 또는 훈련용인지를 판단한다.The image information determination module 320 determines whether the image information transmitted from the host 100 or the image information generated by the image information generation module 310 is for detection or training.

이때, 탐지용 이미지정보는 호스트(100)로부터 탐지요청 이벤트신호에 의해 결정되며, 훈련용 이미지정보는 호스트(100)로부터 훈련요청 이벤트신호에 의해 결정된다.At this time, the detection image information is determined by a detection request event signal from the host 100, and the training image information is determined by a training request event signal from the host 100.

즉, 상기 호스트(100)에서 탐지요청 이벤트신호와 함께 전송된 이미지정보에 대해서는 탐지용 이미지정보로 판단하고 이를 딥 러닝 공격 탐지부(500)로 전송하며, 상기 호스트(100)에서 훈련요청 이벤트신호와 함께 전송된 이미지정보에 대해서는 훈련용 이미지정보로 판단하고 이를 딥 러닝 모델 학습부(400)로 전송하게 된다.That is, the image information transmitted together with the detection request event signal from the host 100 is determined as image information for detection and transmitted to the deep learning attack detection unit 500, and the training request event signal from the host 100 The image information transmitted together with is determined as training image information and transmitted to the deep learning model learning unit 400.

상기의 구성에서 호스트(100)에서 훈련요청 이벤트신호와 함께 전송된 이미지정보에 대해서는 훈련용 이미지정보로 판단된 경우, 훈련용 이미지정보를 확장하여 더욱 폭 넓게 이를 훈련시킬 필요성이 있다.In the above configuration, when the image information transmitted together with the training request event signal from the host 100 is determined as training image information, there is a need to expand the training image information and train it more widely.

즉, 훈련용 이미지정보는 송신지 IP 주소, 수신지 IP 주소가 일정 범위에 한정되어 있고, 실제 공격은 훈련용 이미지정보보다 상대적으로 넓은 범위로 공격될 수 있기 때문에, 훈련용 이미지정보를 증강시켜 더욱 넓은 범위로 확장하여 훈련시켜야 한다.In other words, since the training image information is limited to a certain range of the source IP address and the destination IP address, and the actual attack can be attacked in a relatively wider range than the training image information, the training image information is enhanced. You need to expand and train to a wider range.

이미지정보 증강모듈(330)은 상기 이미지정보 판단모듈(320)에서 판단된 훈련용 이미지정보를 상기 세션정보에 근거하여 IP 주소 또는 포트번호를 회전 이동 또는 변위 이동시켜 복수의 이미지정보를 생성하여 증강시키는 것으로서, 이미지정보의 증강은 회전이동 방식 또는 변위이동 방식 중 선택된 하나의 방식으로 이루어질 수 있다.The image information enhancement module 330 rotates or displaces an IP address or port number based on the session information for training image information determined by the image information determination module 320 to generate a plurality of image information for enhancement. As a result, the enhancement of the image information may be performed in one of a rotational movement method or a displacement movement method.

상기 회전이동 방식은 중점을 기준으로 대상 좌표점들의 각도를 회전하면서 이미지정보를 생성하는 방식으로서, 도 6은 본 발명에 따른 딥 러닝을 이용한 네트워크 공격 탐지 시스템에서 이미지정보를 회전이동 방식으로 증강시켜 복수의 이미지정보를 생성하는 과정을 나타낸 것으로서, 일 실시 예로 송신지 IP 주소의 네트워크 식별자를 15°씩 회전하고 호스트 식별자를 15°씩 회전하면서 이미지정보를 생성하면 576개의 이미지정보로 증강된다.The rotational movement method is a method of generating image information while rotating the angles of target coordinate points based on the center point. FIG. 6 is a method of enhancing image information in a network attack detection system using deep learning according to the present invention by a rotational movement method. It shows the process of generating a plurality of image information. As an example, when the network identifier of the source IP address is rotated by 15° and the host identifier is rotated by 15°, the image information is augmented to 576 pieces of image information.

즉, 네트워크 식별자는 360/15의 계산식에 의해 총 24개가 산출되고, 호스트 식별자도 360/15의 계산식에 의해 총 24개가 산출되며, 산출된 24개의 네트워크 식별자에 대해 24개의 호스트 식별자를 포함하게 되어, 총 576개의 이미지정보가 생성되게 된다.That is, a total of 24 network IDs are calculated by the calculation formula of 360/15, and a total of 24 host IDs are calculated by the calculation formula of 360/15, and 24 host IDs are included for the calculated 24 network IDs. , A total of 576 image information is generated.

여기서, 회전각도를 더욱 세밀하게 조정하면 더욱 많은 이미지정보가 생성됨은 물론이다.Here, it goes without saying that if the rotation angle is more precisely adjusted, more image information is generated.

상기 변위이동 방식은 길이가 32비트인 IP 주소 또는 길이가 16비트인 포트번호의 비트를 몇 비트씩 이동시키면서 이미지를 생성하는 방법으로서, 도 7은 본 발명에 따른 딥 러닝을 이용한 네트워크 공격 탐지 시스템에서 이미지정보를 변위이동 방식으로 증강시켜 복수의 이미지정보를 생성하는 과정을 나타낸 것이다.The displacement movement method is a method of generating an image while moving bits of an IP address having a length of 32 bits or a port number having a length of 16 bits by several bits. FIG. 7 is a network attack detection system using deep learning according to the present invention. It shows the process of generating a plurality of image information by augmenting the image information in a displacement movement method.

딥 러닝 모델 학습부(400)는 이미지생성 증강부(300)의 판단 결과 이미지정보가 학습용인 경우, 학습용으로 판단된 이미지정보를 저장하고, 저장된 이미지정보를 딥 러딩 모델로 반복하여 학습하는 기능을 수행하는 것으로서, 훈련용 이미지정보가 저장 관리되는 훈련용 이미지정보 저장모듈(410) 및 이미지정보를 이용하여 훈련시키는 딥 러닝 훈련모듈(420)을 포함하여 구성된다.The deep learning model training unit 400 stores the image information determined for training when the image information is for training as a result of the determination of the image generation augmenting unit 300, and repeatedly learns the stored image information as a deep rudding model. As to be performed, it is configured to include a training image information storage module 410 for storing and managing training image information and a deep learning training module 420 for training using the image information.

훈련용 이미지정보 저장모듈(410)에는 이미지정보 생성모듈(310)과 이미지 정보 증강 모듈(330)에서 증강 생성된 훈련용 이미지정보들이 저장 관리되는 데, 상기 훈련용 이미지정보는 공격 유형별 레이블에 따라 네트워크 공격 유형별로 저장되고, 저장된 이미지정보는 딥 러닝 모델을 훈련하는데 필요한 입력 데이터로 사용된다. The training image information storage module 410 stores and manages training image information that is augmented and generated by the image information generation module 310 and the image information enhancement module 330. The training image information is stored according to a label for each attack type. It is stored for each network attack type, and the stored image information is used as input data necessary to train a deep learning model.

이때, 공격 유형별 레이블로는 호스트스캔(Host Scan) 공격, 포트스캔(Host Scan) 공격, DoS(Denial of Service) 공격, DDoS(Distributed Denial of Service) 공격, 스팸메일(Spam Mail), 악성소프트웨어(Malicious Software) 등이 있다. 또한, 정상적인 접근에 대해서도 유형별 레이블로 분류되어 저장 관리될 수 있다.At this time, labels by attack type include Host Scan attack, Host Scan attack, Denial of Service (DoS) attack, Distributed Denial of Service (DDoS) attack, Spam Mail, and malicious software ( Malicious Software). In addition, normal access can be classified by type and stored and managed.

딥 러닝 훈련모듈(420)은 오픈소스용 딥 러닝 프레임워크들로부터 활용가능한 딥 러닝 모델을 이용하여 네트워크 공격 유형을 학습시킨다.The deep learning training module 420 learns the type of network attack by using a deep learning model available from deep learning frameworks for open source.

여기서, 오픈소스용 딥 러닝 프레임워크들은 TensorFlow, MXNet, Caffe, CNTK, 또는 Torch 중 적어도 하나를 포함하여 구성될 수 있다.Here, the open source deep learning frameworks may include at least one of TensorFlow, MXNet, Caffe, CNTK, and Torch.

또한, 상기 딥 러닝 훈련모듈(420)은 균형적인 공격유형별로 이미지정보를 훈련시키기 위해 생성적 적대 신경망(Generative Adversarial Network: GAN)인 딥 러닝 모델과 네트워크 공격 분석을 위한 합성곱 신경망(Convolutional Neural Network: CNN)인 딥 러닝 모델을 포함하여 구성될 수 있으나, 상기에서 언급되지 않은 다른 딥 러닝 모델을 이용하는 것도 가능하다.In addition, the deep learning training module 420 includes a deep learning model that is a generative adversarial network (GAN) and a convolutional neural network for network attack analysis in order to train image information for each balanced attack type. : CNN), which is a deep learning model, but it is also possible to use other deep learning models not mentioned above.

상기에서 딥 러닝 모델은 합성곱 신경망(Convolutional Neural Network: CNN), 순환 신경망(Recurrent Neural Network: RNN), 제한 볼츠만 머신(Restricted Boltzmann Machine: RBM), 심층 신뢰 신경망(Deep Belief Network: DBN), 생성적 적대 신경망(Generative Adversarial Network: GAN) 중 적어도 하나를 포함하여 구성될 수 있다.In the above, the deep learning model is a Convolutional Neural Network (CNN), a Recurrent Neural Network (RNN), a Restricted Boltzmann Machine (RBM), a Deep Belief Network (DBN), and is generated. It may be configured to include at least one of a Generative Adversarial Network (GAN).

딥 러닝 공격 탐지부(500)는 이미지생성 증강부(300)의 판단 결과 이미지정보가 탐지용인 경우, 탐지용으로 판단된 이미지정보와 상기 딥 러닝 모델 학습부(400)에서 학습된 이미지정보를 비교 분석하여 평가하는 것으로서, 딥 러닝 분석모듈(510)과 딥 러닝 평가모듈(520)을 포함하여 구성된다.The deep learning attack detection unit 500 compares the image information determined for detection with the image information learned by the deep learning model learning unit 400 when the image information determined by the image generation enhancement unit 300 is for detection purposes. As analyzed and evaluated, it includes a deep learning analysis module 510 and a deep learning evaluation module 520.

딥 러닝 분석모듈(510)은 이미지정보 판단 모듈(320)로부터 전달된 이미지정보를 딥 러닝 훈련모듈(420)에서 훈련된 딥 러닝 모델을 이용하여 네트워크 공격인지 정상적인 접속인지를 분석한다. 즉, 상기 딥 러닝 분석모듈(510)은 딥 러닝 훈련모듈(420)에서 훈련된 딥 러닝 모델과 이미지정보 판단 모듈(320)에서 전송된 탐지용 이미지정보를 비교하여 상기 탐지용 이미지정보를 분석한다.The deep learning analysis module 510 analyzes whether the image information transmitted from the image information determination module 320 is a network attack or a normal connection by using the deep learning model trained in the deep learning training module 420. That is, the deep learning analysis module 510 analyzes the detection image information by comparing the deep learning model trained in the deep learning training module 420 with the detection image information transmitted from the image information determination module 320. .

상기 딥 러닝 평가모듈(520)은 상기 딥 러닝 분석모듈(510)에 의해 분석된 탐지용 이미지정보에 대한 공격 수준의 정도에 따라 평가하고, 평가에 대한 평점을 산출한다.The deep learning evaluation module 520 evaluates according to the level of attack on the detection image information analyzed by the deep learning analysis module 510 and calculates a rating for the evaluation.

이때, 상기 평점은 임의의 입력값에 의해 설정되도록 구성될 수 있고, 필요에 따라 가변되도록 구성될 수 있다.In this case, the rating may be configured to be set by an arbitrary input value, and may be configured to be varied as necessary.

또한, 상기 공격 수준의 평가는 공격 유형별 레이블에 따라 다르게 구성될 수 있고, 그 결과를 학습용 이미지정보로 활용할 수 있도록 하기 위해 상기 이미지증강 생성부(300)의 이미지정보 증강모듈(330)로 전송되도록 구성될 수 있다.In addition, the evaluation of the attack level may be configured differently according to the label for each attack type, and the result is transmitted to the image information enhancement module 330 of the image enhancement generator 300 in order to be used as image information for learning. Can be configured.

또한, 상기 딥 러닝 평가모듈(520)에서 평가된 결과는 상기 트래픽정보 송/수신부(200)의 탐지정보 송신모듈(230)로 전송되도록 하여, 탐지정보 송신모듈(230)에 의해 호스트(100)에 제공될 수 있도록 구성된다.In addition, the result evaluated by the deep learning evaluation module 520 is transmitted to the detection information transmission module 230 of the traffic information transmission/reception unit 200, and the host 100 by the detection information transmission module 230 It is structured to be provided on.

한편, 호스트(100)의 이미지정보 송신장치(120)와 이미지생성 증강부(300)의 이미지정보 생성모듈(310)에서 세션정보를 이용하여 이미지정보를 생성하는 과정에 대해 설명한다.Meanwhile, a process of generating image information using session information in the image information transmission device 120 of the host 100 and the image information generation module 310 of the image generation enhancement unit 300 will be described.

세션정보에는 수신시간, 송신지 IP 주소, 수신지 IP 주소, 송신지 포트번호, 수신지 포트번호 및 프로토콜 번호가 포함된다.Session information includes reception time, source IP address, destination IP address, source port number, destination port number, and protocol number.

이때, 본 발명에서 사용되는 이미지정보는 3차원 좌표를 갖는 이미지로부터 생성된다.At this time, the image information used in the present invention is generated from an image having three-dimensional coordinates.

세션정보는 3차원 좌표에서 점(도트)으로 표시되는 데, 3차원 좌표에서 요구되는 좌표를 3차원 점좌표라 정의하면, 상기 3차원 점좌표로는 기준점으로부터의 반지름, 각도 및 높이에 대한 정보가 요구된다.Session information is displayed as points (dots) in 3D coordinates. If the coordinates required in 3D coordinates are defined as 3D point coordinates, the 3D point coordinates are information on the radius, angle and height from the reference point. Is required.

이때, 상기 3차원 점좌표의 반지름은 수신시간(또는 발생 빈도수)에 기초하여 산출되고, 각도는 송신지 IP 주소 또는 수신지 IP 주소의 호스트 주소 부분에 기초하여 산출되며, 높이는 송신지 IP 주소 또는 수신지 IP 주소의 네트워크 주소 부분에 기초하여 산출된다.At this time, the radius of the 3D dot coordinate is calculated based on the reception time (or frequency of occurrence), the angle is calculated based on the source IP address or the host address portion of the destination IP address, and the height is the source IP address or It is calculated based on the network address portion of the destination IP address.

도 8은 본 발명에 따른 딥 러닝을 이용한 네트워크 공격 탐지 시스템에서 3차원 점좌표를 갖는 이미지정보의 생성을 설명하기 위한 도면이다.8 is a diagram for explaining the generation of image information having 3D point coordinates in the network attack detection system using deep learning according to the present invention.

첨부된 도 8을 참조하면, 3차원 점좌표에서 반지름은 공격 탐지를 시간 기준으로 트래픽 발생시간(수신시간)(t1)이고, 각도(θ1)는 기준 IP 주소(0.0.0.0)로부터 IP 주소의 호스트 주소를 216으로 나누고 2π를 곱하여 산출되며, 높이(h1)는 IP 주소의 네트워크 주소를 216으로 나누어서 산출된다.Referring to FIG. 8, in the 3D dot coordinate, the radius is the traffic occurrence time (reception time) (t 1 ) based on the attack detection time, and the angle (θ 1 ) is the IP address from the base IP address (0.0.0.0). It is calculated by dividing the host address of the address by 2 16 and multiplying it by 2π, and the height (h 1 ) is calculated by dividing the network address of the IP address by 2 16 .

이를 정리하면 다음의 수학식 1로 표현된다.In summary, it is expressed by the following Equation 1.

Figure 112019011749691-pat00001
Figure 112019011749691-pat00001

Figure 112019011749691-pat00002
Figure 112019011749691-pat00002

Figure 112019011749691-pat00003
Figure 112019011749691-pat00003

여기서, H1은 첫번째 세션정보의 IP 주소에서 호스트 주소와 네트워크 주소를 기준으로 하는 3차원 점좌표, r은 기준 참조원의 반지름, t1은 기준시간부터 수신시간, θ1은 기준 IP 주소와 이루는 각도, h1은 높이이다.Here, H 1 is a three-dimensional dot coordinate based on the host address and network address in the IP address of the first session information, r is the radius of the reference reference source, t 1 is the reception time from the reference time, θ 1 is the reference IP address and The angle formed, h 1 is the height.

이때, 상기 기준 IP 주소는 a.b.c.d로 설정될 수 있고, IPv4인 B-class를 기준으로 IP 주소에서 왼쪽 2개의 옥텟(octet)은 네트워크 식별자이고, 오른쪽 2개의 옥텟은 호스트 식별자이다.In this case, the reference IP address may be set to a.b.c.d, and based on the IPv4 B-class, the left two octets are the network identifiers, and the right two octets are the host identifiers.

또한, 도 8에서의 제2의 3차원 점좌표(H2)는 IP 주소의 호스트 주소와 네트워크 주소를 기준으로 하는 다른 공격을 나타낸 것이다.In addition, the second three-dimensional dot coordinate (H 2 ) in FIG. 8 represents another attack based on the host address of the IP address and the network address.

또한, 공격 감시를 시작한 시간(기준시간)부터 감시 종료 시점까지 연속적인 공격이 이루어진 경우, 3차원 점좌표(H1)는 선 또는 복수의 점으로 표현되고, 감시 시작부터 감시 종료 시점까지 1번의 공격이 이루어진 경우, 3차원 점좌표(H1)는 점으로 표현된다.In addition, when a continuous attack is made from the start of the attack monitoring (reference time) to the end of the monitoring, the three-dimensional point coordinate (H 1 ) is expressed as a line or multiple points, and one time from the start of monitoring to the end of monitoring. When an attack is made, the three-dimensional point coordinates (H 1 ) are expressed as points.

여기서, 상기 수학식 1로 표현된 3차원 점좌표의 이미지정보를 평면도 이미지정보로 나타내는 경우, 도 9와 같이 도시될 수 있다.Here, when the image information of the three-dimensional point coordinates expressed by Equation 1 is represented as plan view image information, it may be illustrated as shown in FIG. 9.

도 9는 본 발명에 따른 딥 러닝을 이용한 네트워크 공격 탐지 시스템에서 3차원 점좌표를 평면 이미지로 나타낸 도면이다.9 is a diagram showing three-dimensional point coordinates as a plane image in the network attack detection system using deep learning according to the present invention.

첨부된 도 9는 3차원 점좌표의 높이를 생략하여 나타낸 것으로서, 군집된 세션정보 중에서 x번째 세션정보로 확장하면 3차원 점좌표는 다음의 수학식 2로 표현된다.FIG. 9 shows the height of the 3D point coordinates by omitting the height of the 3D point coordinates. When expanded to the x-th session information among the clustered session information, the 3D point coordinates are expressed by the following equation (2).

Figure 112019011749691-pat00004
Figure 112019011749691-pat00004

Figure 112019011749691-pat00005
Figure 112019011749691-pat00005

여기서, Hx은 x번째 세션정보의 IP 주소 중 호스트 주소를 기준으로 하는 3차원 점좌표, r은 기준 참조원의 반지름, tx는 x번째 세션정보에서 기준시간부터 수신시간, θHx는 x번째 세션정보의 호스트 주소와 기준 IP 주소가 이루는 각도이다.Here, H x is a three-dimensional dot coordinate based on the host address among the IP addresses of the x-th session information, r is the radius of the reference reference source, t x is the reception time from the reference time in the x-th session information, θ Hx is x This is the angle between the host address of the second session information and the reference IP address.

한편, 본 발명에서는 평면 이미지를 이용하여 딥 러닝 모델을 학습하고, 학습된 딥 러닝 모델의 이미지정보에 근거하여 네트워크에서 발생하는 공격을 실시간으로 탐지하게 되는데, 3차원 점좌표를 평면 이미지로 변환하게 되면, 네트워크 주소(높이)에 대한 정보가 생략되게 된다.Meanwhile, in the present invention, a deep learning model is trained using a plane image, and an attack occurring in the network is detected in real time based on the image information of the learned deep learning model. The three-dimensional point coordinates are converted into a plane image. If so, information about the network address (height) is omitted.

즉, 세션정보의 IP 주소에서 호스트 주소가 동일한 경우에는 동일한 각도를 갖게 되어, 평면 이미지에 표현되는 점은 동일 반지름 상에 존재하게 된다.That is, when the host address is the same in the IP address of the session information, the same angle is obtained, and the point represented on the flat image exists on the same radius.

이에, 본 발명에서는 IP 주소를 활용한 평면 좌표가 더 포함될 수 있다.Accordingly, in the present invention, plane coordinates using an IP address may be further included.

도 10은 본 발명에 따른 딥 러닝을 이용한 네트워크 공격 탐지 시스템에서 IP 주소 평면, 호스트 평면 및 포트 평면에 표시되는 점좌표를 나타낸 도면이다.10 is a diagram showing point coordinates displayed on an IP address plane, a host plane, and a port plane in the network attack detection system using deep learning according to the present invention.

IP 주소의 호스트 주소를 이용한 점좌표(H1)는 수학식 2의 수식에 의해 산출된다.The dot coordinate (H 1 ) using the host address of the IP address is calculated by the formula of Equation 2.

첨부된 도 10을 참조하면, IP 주소(네트워크 주소와 호스트 주소를 모두 포함)를 이용한 평면 점좌표(Nx)는 다음의 수학식 3으로 표현된다.Referring to FIG. 10, a plane point coordinate (N x ) using an IP address (including both a network address and a host address) is expressed by Equation 3 below.

Figure 112019011749691-pat00006
Figure 112019011749691-pat00006

Figure 112019011749691-pat00007
Figure 112019011749691-pat00007

여기서, Nx는 x번째 세션정보의 IP 주소에 대한 평면상의 점좌표, tx는 x번째 세션정보에 대한 기준시간부터 수신시간, θNx는 x번째 세션정보의 IP 주소와 기준 IP 주소가 이루는 각도이다.Here, N x is the point coordinate on the plane of the IP address of the x-th session information, t x is the reception time from the reference time for the x-th session information, θ Nx is the IP address of the x-th session information and the reference IP address. Is the angle.

상기 수학식 3에 따르면, IP 주소의 호스트 주소를 이용한 점좌표(Px)는 평면 이미지의 호스트 평면(HS)에 위치되고, IP 주소 전체를 이용한 점좌표(Nx)는 평면 이미지의 IP 주소 평면(IPS)에 위치되게 된다.According to Equation 3, the dot coordinate Px using the host address of the IP address is located on the host plane HS of the flat image, and the dot coordinate Nx using the entire IP address is the IP address plane of the flat image ( IPS).

이에 더하여, 세션정보는 포트번호를 이용하여 점좌표로 표현될 수 있다.In addition, the session information can be expressed in dot coordinates using the port number.

세션정보의 포트번호를 이용한 점좌표는 다음의 수학식 4로 표현된다.The dot coordinate using the port number of the session information is expressed by Equation 4 below.

Figure 112019011749691-pat00008
Figure 112019011749691-pat00008

Figure 112019011749691-pat00009
Figure 112019011749691-pat00009

여기서, Px는 x번째 세션정보에서 포트번호에 대한 평면상의 점좌표, r는 기준 참조원의 반지름, θPx는 x번째 세션정보에서 포트번호에 대한 기준 IP 주소와 이루는 각도이다.Here, P x is the point coordinate on the plane for the port number in the x-th session information, r is the radius of the reference reference circle, and θ Px is the angle formed by the reference IP address for the port number in the x-th session information.

포트번호에 대한 평면상의 점좌표는 IP 주소 평면(IPS)에 위치되되, 기준 참조원의 원주상에 위치되게 된다.Point coordinates on the plane for the port number are located on the IP address plane (IPS), but on the circumference of the reference reference circle.

이에, 1개의 세션정보는 호스트 주소로 표현되는 점좌표, IP 주소로 표현되는 점좌표 및 포트번호로 표현되는 점좌표로 평면 이미지에 표시된다.Accordingly, one session information is displayed on a flat image in a point coordinate expressed by a host address, a point coordinate expressed by an IP address, and a point coordinate expressed by a port number.

따라서, 3개의 점좌표를 이용하여 세션정보를 다양하게 나타낼 수 있다.Therefore, it is possible to variously represent session information using three point coordinates.

또한, 상기의 세션정보가 시간의 경과에 의해 군집된 형태로 발생되면, 이는 평면 이미지에 군집된 점들로 표시되게 되고, 그 일예로 도 4에 도시된 바와 같이 표현된다.In addition, when the above session information is generated in a clustered form over time, it is displayed as clustered points on a flat image, and is represented as shown in FIG. 4 as an example.

필요에 의해서, 복수의 세션정보로 표시되는 각각의 점좌표들은 각각 다른 색상이 부여되도록 구성될 수 있으며, 1개의 세션정보에 의해 표현된 각각의 점은 동일 색상을 가지도록 구성될 수 있다.If necessary, each dot coordinates displayed by a plurality of session information may be configured to have a different color, and each dot represented by one session information may be configured to have the same color.

아울러, 상기 수학식 2 내지 수학식 4를 이용하여 첨부된 도 5를 설명하면, 도 5의 데이터 테이블은 프로토콜 식별자와 함께 산출된 3차원 점좌표를 나타낸 것으로서, 그 형식은 {프로토콜식별자, (x좌표, y좌표, z좌표)}형식으로 표기된다.In addition, referring to FIG. 5 attached by using Equations 2 to 4, the data table of FIG. 5 represents a three-dimensional point coordinate calculated together with a protocol identifier, and the format is {protocol identifier, (x Coordinates, y coordinates, z coordinates)} format.

즉, 수학식 2를 이용하여 첨부된 도 5의 데이터 테이블에서 세션정보의 송신지 IP 주소와 수신지 IP 주소를 각각 16비트씩 분해하고, 상위 16비트를 네트워크 식별자로 변환하며, 하위 16비트를 호스트 식별자로 변환하여 {호스트 x좌표, 호스트 y좌표, 호스트 z좌표 그리고 [네트워크 x좌표, 네트워크 y좌표, 네트워크 z좌표]}형식으로 표현할 수 있다.That is, in the data table of FIG. 5 attached using Equation 2, the source IP address and destination IP address of the session information are decomposed by 16 bits, the upper 16 bits are converted into a network identifier, and the lower 16 bits are It can be converted into a host identifier and expressed in the form of {host x coordinate, host y coordinate, host z coordinate, and [network x coordinate, network y coordinate, network z coordinate]}.

또한, 수학식 3을 이용하여 IP 주소를 표현하는 경우, IP 주소가 192.168.0.43라고 가정하면, -0.4070616,0,-0.5279634와 [-0.4070616,0,-0.5279634]형식으로 표현된다.In addition, when the IP address is expressed using Equation 3, assuming that the IP address is 192.168.0.43, it is expressed in the format of -0.4070616,0,-0.5279634 and [-0.4070616,0,-0.5279634].

또한, 수학식 4를 이용하여 포트번호를 표현하는 경우, 점좌표는 ICMP프로토콜을 사용하는 상태에서 수신지 포트번호가 2048일 경우, I,(-0.4070616,0,-0.5279634)로 표현되고, TCP프로토콜의 수신지 포트번호가 80일 경우, T,(-0.4070616,0,-0.5279634)로 표현되며, UDP프로토콜의 수신지 포트번호가 53일 경우, U,(-0.4070616,0,-0.5279634)로 표현된다. ICMP, TCP, UDP를 제외한 프로토콜일 경우 E,(-0.4070616,0,-0.5279634)로 표현된다.In addition, when expressing the port number using Equation 4, the dot coordinate is expressed as I,(-0.4070616,0,-0.5279634) when the destination port number is 2048 while using the ICMP protocol, and TCP If the destination port number of the protocol is 80, it is expressed as T,(-0.4070616,0,-0.5279634), and if the destination port number of the UDP protocol is 53, it is expressed as U,(-0.4070616,0,-0.5279634). Is expressed. For protocols excluding ICMP, TCP, and UDP, it is expressed as E,(-0.4070616,0,-0.5279634).

이와 같이, 세션정보는 3차원 시각화된 이미지정보로 생성되고, 생성된 이미지정보를 통해 네트워크의 공격 패턴, 공격지의 IP,주소, 공격 대상의 IP 주소 등이 직관적으로 표시되어 공격 성향 및 상황 정보를 빠르게 인지할 수 있으며, 다수의 네트워크 트래픽 이벤트가 동시에 발생되는 상황에서도 개개의 네트워크 트래픽 이벤트에 대한 고유 의미가 유지된 채 표시됨으로써, 해당 공격 또는 피해의 시간 추이와 연속성을 표시 및 인지할 수 있는 장점이 있다.In this way, the session information is generated as 3D visualized image information, and the attack pattern of the network, the IP address of the attack site, the IP address of the attack target, etc. are intuitively displayed through the generated image information to provide information on the attack tendency and situation. The advantage of being able to recognize and recognize the time trend and continuity of the attack or damage as it can be quickly recognized and displayed while maintaining the unique meaning of each network traffic event even when multiple network traffic events occur simultaneously There is this.

본 발명에 의하면, 딥 러닝에 의해 학습된 이미지정보와 탐지용 이미지정보를 비교 분석함으로써, 학습된 이미지정보를 통해 네트워크 공격패턴을 쉽게 탐지할 수 있는 장점이 있다.According to the present invention, by comparing and analyzing image information learned by deep learning with image information for detection, there is an advantage in that a network attack pattern can be easily detected through the learned image information.

또한, 시각화된 이미지정보를 이용함에 따라 네트워크의 트래픽 부하를 최소화할 수 있고, 네트워크 공격 탐지를 위한 시스템 구축에 소요되는 시간 및 비용을 절감할 수 있는 장점이 있다.In addition, by using the visualized image information, it is possible to minimize the traffic load of the network, and there is an advantage in that it is possible to reduce the time and cost required to construct a system for detecting a network attack.

또한, 구축된 공격 탐지 시스템과 병행하여 운영할 수 있는 것으로서, 구축된 공격 탐지 시스템과의 연계를 통해 단점을 상호 보완하여 네트워크 공격을 효과적으로 차단할 수 있는 장점이 있다.In addition, as it can be operated in parallel with the built attack detection system, it has the advantage of effectively blocking network attacks by complementing the shortcomings through linkage with the built attack detection system.

이상에서 본 발명의 바람직한 실시 예를 설명하였으나, 본 발명의 권리범위는 이에 한정되지 아니하며 본 발명의 실시 예와 실질적으로 균등한 범위에 있는 것까지 본 발명의 권리범위가 미치는 것으로 이해되어야 하며, 본 발명의 정신을 벗어나지 않는 범위 내에서 당해 발명이 속하는 기술분야에서 통상의 지식을 가진 자에 의해 다양한 변형 실시가 가능하다.Although the preferred embodiments of the present invention have been described above, the scope of the present invention is not limited thereto, and it should be understood that the scope of the present invention extends to the scope substantially equal to the embodiment of the present invention. Various modifications may be implemented by those of ordinary skill in the technical field to which the present invention pertains within the scope not departing from the spirit of the invention.

100: 호스트 110: 세션정보 송신장치
120: 이미지정보 송신장치 200: 트래픽 정보 송/수신부
210: 세션정보 수신모듈 220: 세션정보 송신모듈
230: 탐지정보 송신모듈 300: 이미지 생성/증강부
310: 이미지정보 생성모듈 320: 이미지정보 판단모듈
330: 이미지정보 증강모듈 400: 딥 러닝 모델 학습부
410: 훈련용 이미지정보 저장모듈 420: 딥 러닝 훈련모듈
500: 딥 러닝 공격 탐지부 510: 딥 러닝 분석모듈
520: 딥 러닝 평가모듈100: host 110: session information transmission device
120: image information transmission device 200: traffic information transmission/reception unit
210: session information receiving module 220: session information transmitting module
230: detection information transmission module 300: image generation/enhancer
310: image information generation module 320: image information determination module
330: image information augmentation module 400: deep learning model training unit
410: training image information storage module 420: deep learning training module
500: deep learning attack detection unit 510: deep learning analysis module
520: deep learning evaluation module

Claims (5)

네트워크 트래픽에 대한 세션정보 또는 네트워크 트래픽에 대한 이미지정보를 검출하여 송신하는 호스트(100);
상기 호스트(100)에서 송신되는 세션정보를 수신하여 저장하고, 저장된 상기 세션정보를 군집시켜 송출하는 트래픽정보 송/수신부(200);
상기 트래픽정보 송/수신부(200)에서 송신되는 트래픽정보를 이미지정보로 생성하고, 상기 호스트(100)에서 송신되는 이미지정보를 수신하며, 생성된 이미지정보와 수신된 이미지정보가 학습용 또는 공격용인지를 판단하는 이미지생성 증강부(300);
상기 이미지생성 증강부(300)의 판단 결과 이미지정보가 학습용인 경우, 학습용으로 판단된 이미지정보를 저장하고, 저장된 이미지정보를 딥 러딩 모델로 반복하여 학습하는 딥 러닝 모델 학습부(400); 및
상기 이미지생성 증강부(300)의 판단 결과 이미지정보가 탐지용인 경우, 탐지용으로 판단된 이미지정보와 상기 딥 러닝 모델 학습부(400)에서 학습된 이미지정보를 비교 분석하여 평가하는 딥 러닝 공격 탐지부(500);
를 포함하며,
상기 이미지생성 증강부(300)는,
상기 트래픽정보 송/수신부(200)로부터 전송되는 세션정보를 수신하고, 수신된 세션정보에 근거하여 이미지정보를 생성하는 이미지정보 생성모듈(310);
상기 호스트(100)에서 전송된 이미지정보 또는 상기 이미지정보 생성모듈(310)에서 생성된 이미지정보가 탐지용인지 또는 훈련용인지를 판단하는 이미지정보 판단모듈(320); 및
상기 이미지정보 판단모듈(320)에서 판단된 훈련용 이미지정보를 상기 세션정보에 근거하여 IP 주소 또는 포트번호를 회전 이동 또는 변위 이동시켜 복수의 이미지정보를 생성하는 이미지정보 증강모듈(330);
을 포함하는 것을 특징으로 하는 딥 러닝을 이용한 네트워크 공격 탐지 시스템.
A host 100 for detecting and transmitting session information for network traffic or image information for network traffic;
A traffic information transmitting/receiving unit 200 for receiving and storing session information transmitted from the host 100, and for clustering and transmitting the stored session information;
The traffic information transmitted from the traffic information transmitting/receiving unit 200 is generated as image information, the image information transmitted from the host 100 is received, and whether the generated image information and the received image information are for learning or attacking An image generation enhancer 300 to determine;
A deep learning model training unit 400 that stores image information determined for training and learns by repetitively learning the stored image information as a deep rudding model when the image information determined by the image generation augmenting unit 300 is for training; And
When the image information determined by the image generation augmenting unit 300 is for detection, a deep learning attack detection that compares and evaluates the image information determined for detection with the image information learned by the deep learning model learning unit 400 Part 500;
Including,
The image generation enhancement unit 300,
An image information generating module 310 for receiving session information transmitted from the traffic information transmitting/receiving unit 200 and generating image information based on the received session information;
An image information determination module 320 that determines whether the image information transmitted from the host 100 or the image information generated by the image information generation module 310 is for detection or training; And
An image information enhancement module 330 for generating a plurality of image information by rotating or displacing an IP address or port number based on the session information for training image information determined by the image information determination module 320;
Network attack detection system using deep learning, characterized in that it comprises a.
청구항 1에 있어서,
상기 트래픽정보 송/수신부(200)는,
상기 호스트(100)에서 송신되는 세션정보를 수신하는 세션정보 수신모듈(210);
상기 세션정보 수신모듈(210)에서 수신된 세션정보를 송신지 IP 주소를 기준으로 설정된 개수만큼 군집시키고, 군집된 설정 개수를 초과하는 경우 세션정보를 송출하는 세션 정보 송신모듈(220); 및
상기 딥 러닝 공격 탐지부(500)에서 평가된 결과를 상기 호스트(100)로 전송하는 탐지정보 송신모듈(230)
을 포함하고,
상기 세션정보는,
수신시간, 송신지 IP 주소, 수신지 IP 주소, 송신지 포트번호, 수신지 포트번호 및 프로토콜 번호를 포함하는 것을 특징으로 하는 딥 러닝을 이용한 네트워크 공격 탐지 시스템.
The method according to claim 1,
The traffic information transmission/reception unit 200,
A session information receiving module 210 for receiving session information transmitted from the host 100;
A session information transmission module 220 for clustering the session information received by the session information receiving module 210 as many as a set number based on a transmission destination IP address, and transmitting session information when the clustered set number is exceeded; And
A detection information transmission module 230 for transmitting the result evaluated by the deep learning attack detection unit 500 to the host 100
Including,
The session information,
A network attack detection system using deep learning, comprising: a reception time, a source IP address, a destination IP address, a source port number, a destination port number, and a protocol number.
삭제delete 청구항 1에 있어서,
상기 이미지정보 생성모듈(310)에서 생성되는 이미지정보는,
기준 반지름에 대한 세션정보의 수신시간으로 산출되는 반지름, IP 주소의 호스트 주소로 산출되는 각도 및 IP 주소의 네트워크 주소로 산출되는 높이를 갖는 3차원 원통좌표의 평면 이미지인 것을 특징으로 하는 딥 러닝을 이용한 네트워크 공격 탐지 시스템.
The method according to claim 1,
The image information generated by the image information generation module 310,
Deep learning, characterized in that it is a plane image of three-dimensional cylindrical coordinates having a radius calculated as a reception time of session information for a reference radius, an angle calculated as a host address of an IP address, and a height calculated as a network address of an IP address. Network attack detection system using.
청구항 1에 있어서,
상기 딥 러딩 모델은,
합성곱 신경망(Convolutional Neural Network: CNN), 순환 신경망(Recurrent Neural Network: RNN), 제한 볼츠만 머신(Restricted Boltzmann Machine: RBM), 심층 신뢰 신경망(Deep Belief Network: DBN) 및 생성적 적대 신경망(Generative Adversarial Network: GAN) 중에서 선택되는 것을 특징으로 하는 딥 러닝을 이용한 네트워크 공격 탐지 시스템.
The method according to claim 1,
The deep rudding model,
Convolutional Neural Network (CNN), Recurrent Neural Network (RNN), Restricted Boltzmann Machine (RBM), Deep Belief Network (DBN), and Generative Adversarial Neural Network Network: GAN) network attack detection system using deep learning, characterized in that selected.
KR1020190013036A 2019-01-31 2019-01-31 System for detecting network attacks using deep learning KR102148283B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020190013036A KR102148283B1 (en) 2019-01-31 2019-01-31 System for detecting network attacks using deep learning

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020190013036A KR102148283B1 (en) 2019-01-31 2019-01-31 System for detecting network attacks using deep learning

Publications (2)

Publication Number Publication Date
KR20200095219A KR20200095219A (en) 2020-08-10
KR102148283B1 true KR102148283B1 (en) 2020-08-26

Family

ID=72049496

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020190013036A KR102148283B1 (en) 2019-01-31 2019-01-31 System for detecting network attacks using deep learning

Country Status (1)

Country Link
KR (1) KR102148283B1 (en)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112468439B (en) * 2020-10-28 2023-10-24 中国人民武装警察部队后勤学院 Deep learning method-based DDoS attack flow detection system for Internet of things
KR102497737B1 (en) * 2020-12-14 2023-02-09 한전케이디엔주식회사 A system and method for detecting undetected network intrusions types using generative adversarial network
KR102609945B1 (en) 2021-08-30 2023-12-04 고려대학교 산학협력단 Device and method for detecting adversarial attacks in deep learning
KR102604380B1 (en) 2021-10-29 2023-11-23 한국전자통신연구원 Apparatus for detecting 5g edge network intrusion using multiple learning models and method using the same
CN114978667B (en) * 2022-05-17 2024-02-09 安捷光通科技成都有限公司 SDN network DDoS attack detection method based on graph neural network
CN116599779B (en) * 2023-07-19 2023-10-27 中国电信股份有限公司江西分公司 IPv6 cloud conversion method for improving network security performance

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101888683B1 (en) * 2017-07-28 2018-08-14 펜타시큐리티시스템 주식회사 Method and apparatus for detecting anomaly traffic

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100628329B1 (en) 2005-07-30 2006-09-27 한국전자통신연구원 Generation apparatus and method of detection rules for attack behavior based on information of network session
KR101907752B1 (en) 2016-10-17 2018-10-12 숭실대학교산학협력단 SDN capable of detection DDoS attacks using artificial intelligence and controller including the same
KR102418969B1 (en) * 2017-04-27 2022-07-11 주식회사 케이티 System and method for predicting communication apparatuses failure based on deep learning

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101888683B1 (en) * 2017-07-28 2018-08-14 펜타시큐리티시스템 주식회사 Method and apparatus for detecting anomaly traffic

Also Published As

Publication number Publication date
KR20200095219A (en) 2020-08-10

Similar Documents

Publication Publication Date Title
KR102148283B1 (en) System for detecting network attacks using deep learning
US10264007B2 (en) Malware beaconing detection methods
US11038906B1 (en) Network threat validation and monitoring
Burroughs et al. Analysis of distributed intrusion detection systems using Bayesian methods
US11310190B2 (en) Network anti-tampering system
Mohapatra et al. Handling of man-in-the-middle attack in wsn through intrusion detection system
US20100262873A1 (en) Apparatus and method for dividing and displaying ip address
US9871806B2 (en) Apparatus and method of displaying network security situation
CN110602100A (en) DNS tunnel flow detection method
CN112383538B (en) Hybrid high-interaction industrial honeypot system and method
CN110213254A (en) A kind of method and apparatus that Internet protocol IP packet is forged in identification
CN105812318B (en) For preventing method, controller and the system of attack in a network
CN111555988A (en) Big data-based network asset mapping and discovering method and device
Al-Duwairi et al. BotDigger: a fuzzy inference system for botnet detection
US7469418B1 (en) Deterring network incursion
US10681075B2 (en) Detection of SSL / TLS malware beacons
CN113268735B (en) Distributed denial of service attack detection method, device, equipment and storage medium
CN106790010A (en) ARP attack detection method, device and system based on Android system
Wang et al. Defending DDoS attacks in software-defined networking based on legitimate source and destination IP address database
US11570190B2 (en) Detection of SSL / TLS malware beacons
Chang et al. An efficient network attack visualization using security quad and cube
KR102083028B1 (en) System for detecting network intrusion
Choi et al. PCAV: Internet attack visualization on parallel coordinates
Song et al. A comprehensive approach to detect unknown attacks via intrusion detection alerts
CN115065519A (en) Distributed edge-end cooperative DDoS attack real-time monitoring method

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant