KR102168496B1 - Environmental Analysis and Correction System for Transfer Learning and Its Method - Google Patents

Environmental Analysis and Correction System for Transfer Learning and Its Method Download PDF

Info

Publication number
KR102168496B1
KR102168496B1 KR1020200052412A KR20200052412A KR102168496B1 KR 102168496 B1 KR102168496 B1 KR 102168496B1 KR 1020200052412 A KR1020200052412 A KR 1020200052412A KR 20200052412 A KR20200052412 A KR 20200052412A KR 102168496 B1 KR102168496 B1 KR 102168496B1
Authority
KR
South Korea
Prior art keywords
environment
learning
security
imitation
difference
Prior art date
Application number
KR1020200052412A
Other languages
Korean (ko)
Inventor
김세중
박혜진
Original Assignee
주식회사 이글루시큐리티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 이글루시큐리티 filed Critical 주식회사 이글루시큐리티
Priority to KR1020200052412A priority Critical patent/KR102168496B1/en
Application granted granted Critical
Publication of KR102168496B1 publication Critical patent/KR102168496B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/145Network analysis or design involving simulating, designing, planning or modelling of a network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Artificial Intelligence (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Data Mining & Analysis (AREA)
  • Evolutionary Computation (AREA)
  • Medical Informatics (AREA)
  • Mathematical Physics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

The present invention relates to an environmental analysis and correction system for transfer learning and a method thereof. More particularly, the environmental analysis and correction system comprises: an environment learning unit which learns different security environments to generate an imitation environment that imitates the security environment; an environment difference analysis unit which analyzes differences between the imitation environments generated by the environment learning unit and extracts a correction value between the security environments; and a machine learning unit which derives a predicted value that is a result of determination on a security event through machine learning. Accordingly, by trying to reconsider the difference between two different security environments, even if a label created in a different security environment is learned, a corrected prediction result that matches the security environment in which a security event occurs is derived.

Description

전이 학습을 위한 환경분석 및 보정시스템과 그 방법{Environmental Analysis and Correction System for Transfer Learning and Its Method}Environmental Analysis and Correction System for Transfer Learning and Its Method {Environmental Analysis and Correction System for Transfer Learning and Its Method}

본 발명은 전이 학습을 위한 환경분석 및 보정시스템과 그 방법에 관한 것으로, 더욱 상세하게는, 서로 다른 보안환경을 학습하여 상기 보안환경을 모방한 모방환경을 생성하는 환경학습부와, 상기 환경학습부로부터 생성된 모방환경들의 차이점을 분석하여 상기 보안환경 사이의 보정값을 추출하는 환경차이 분석부 및 기계학습을 통해 보안이벤트에 대한 판단결과인 예측값을 도출하는 기계학습부를 포함하여 보안환경에서 발생한 데이터를 학습하고 다른 보안환경에서 발생한 보안로그를 통해 보안이벤트 발생여부를 판단하는 전이 학습을 통한 보안이벤트 기계학습에 대하여 서로 다른 두 보안환경의 차이를 재고려하도록 함으로써 다른 보안환경에서 생성된 레이블을 학습하더라도 보안이벤트가 발생하는 보안환경에 부합하는 보정된 예측결과를 도출하도록 하는 전이 학습을 위한 환경분석 및 보정시스템과 그 방법에 관한 것이다. The present invention relates to an environment analysis and correction system for transfer learning and a method thereof, and more particularly, an environment learning unit that learns different security environments to create an imitation environment that mimics the security environment, and the environment learning Including an environment difference analysis unit that analyzes the difference between the imitation environments generated from the wealth and extracts a correction value between the security environments, and a machine learning unit that derives a predicted value that is a judgment result of a security event through machine learning. For security event machine learning through transfer learning that learns data and judges whether security events occur through security logs generated in different security environments, labels created in different security environments are reconsidered. It relates to an environment analysis and correction system for transfer learning and a method thereof to derive a corrected prediction result suitable for the security environment in which a security event occurs even if it is learned.

지도학습 방식의 머신러닝(기계학습) 모델은, 사용자가 지정한 데이터에 대한 정답(레이블)을 학습데이터로 하여 학습 성능을 최적화 할 수 있으며, 레이블이 지정되어 있기 때문에 기계학습을 통한 모델에 대한 검증도 상대적으로 용이한 편이다. 그러나, 보안이벤트가 발생하는 보안관제 환경에서는 지도학습을 실행하기 위해 필요한 레이블 자체를 모으는 것이 어렵다. 보안 데이터가 발생하는 각각의 보안환경에 따라 보안이벤트에 대한 사용자의 판단이 달라지기 때문이며, 따라서 각각의 상이한 환경에 맞춘 학습데이터를 생성할 필요가 있다.Supervised learning-based machine learning (machine learning) models can optimize learning performance by using correct answers (labels) for user-specified data as learning data, and because they are labeled, the model is verified through machine learning. It is also relatively easy. However, in a security control environment in which a security event occurs, it is difficult to collect the label itself required to perform supervised learning. This is because the user's judgment on the security event varies according to each security environment in which the security data occurs, and therefore, it is necessary to generate learning data tailored to each different environment.

이러한 한계점으로 인해, 보안관제 분야에서는 머신러닝 시스템을 적용하는 것이 어려워 기계학습 시스템을 구축하는 것에 매우 오랜 시간이 걸리게 되며, 보안관제의 중심이 되는 곳에서 전문가가 데이터를 살펴볼 수 없어 환경에 따라 보안관제 전문가가 따로 레이블을 생성하고 기계학습을 수행하도록 해야 하는 어려움이 있었다.Due to these limitations, it is difficult to apply a machine learning system in the field of security control, and it takes a very long time to build a machine learning system, and because experts cannot look at the data at the center of security control, security depending on the environment There was a difficulty in having a control expert create a separate label and perform machine learning.

종래에는 이러한 한계점을 극복하기 위하여, 한 환경에서 발생한 데이터에 레이블을 부여하고, 학습데이터를 다른 환경으로 옮겨 기계학습에 사용하는 전이 학습(Transfer Learning)이 제안되었으나, 한 보안환경에서 공격이라고 판단되는 이벤트가 다른 보안환경에서는 공격이라고 판단되지는 않는 보안관제 환경에서는 전이학습의 효율성을 발휘하기 어려운 문제가 있다. 도 1은 이러한 종래의 전이학습이 보안관제 환경에 적용되는 것을 도시한 예시이다. In the past, in order to overcome these limitations, transfer learning, which is used for machine learning by labeling data generated in one environment and moving the learning data to another environment, has been proposed. There is a problem that it is difficult to demonstrate the efficiency of transfer learning in a security control environment where events are not judged as attacks in other security environments. 1 is an example showing that such conventional transfer learning is applied to a security control environment.

도 1을 참고하면, 서로 다른 네트워크 대역폭을 가진 보안환경에 초당 1GB의 분산서비스 거부 공격(DDos)가 발생하는 경우, 발생하는 이벤트 데이터는 동일하지만 10GBpsdml 대역폭을 가진 네트워크는 이를 처리할 능력이 충분하므로 공격이라고 판단하지 않고, 이를 무시하는 이벤트로 대체될 수 있다. 그러나, 위의 1GBps의 대역폭을 가진 보안환경에서 생성된 레이블을 이용하여 10GBps 대역폭의 네트워크에서 전이학습을 실시한 경우, 같은 인풋에 대해 같은 예측결과를 내놓는 기계학습의 특성 상 잘못된 보안이벤트 예측을 도출하게 된다.Referring to FIG. 1, when a 1 GB distributed denial of service attack (DDos) per second occurs in a security environment with different network bandwidths, the event data that occurs is the same, but a network with 10 GBpsdml bandwidth has sufficient capacity to handle this. It can be replaced with an event that does not judge it as an attack and ignores it. However, when transfer learning is performed in a 10GBps bandwidth network using a label created in the above security environment with a bandwidth of 1GBps, it is possible to derive an incorrect security event prediction due to the nature of machine learning that produces the same prediction result for the same input. do.

따라서, 서로 다른 두 보안환경 사이의 차이를 이해하고, 전이학습이 수행되는 보안환경에 맞추어 학습데이터를 생성한 보안환경에서의 보안이벤트를 재고려하는 시스템이 요구되고 있다.Therefore, there is a need for a system that understands the difference between two different security environments and tries to reconsider the security events in the security environment in which the learning data is generated according to the security environment in which transfer learning is performed.

한국등록특허공보 제10-1503701호(2015.03.12)Korean Registered Patent Publication No. 10-1503701 (2015.03.12)

본 발명은 상기와 같은 문제점을 해결하고자 안출된 것으로,The present invention was devised to solve the above problems,

본 발명의 목적은, 서로 다른 보안환경을 학습하여 상기 보안환경을 모방한 모방환경을 생성하는 환경학습부와, 상기 환경학습부로부터 생성된 모방환경들의 차이점을 분석하여 상기 보안환경 사이의 보정값을 추출하는 환경차이 분석부 및 기계학습을 통해 보안이벤트에 대한 판단결과인 예측값을 도출하는 기계학습부를 포함하되, 상기 환경학습부는 기계학습을 위한 학습데이터가 생성되는 제1보안환경과 보안이벤트가 발생하는 제2보안환경을 학습하고 모방하여 제1모방환경과 제2모방환경을 생성하고, 상기 환경차이 분석부는 상기 제1모방환경과 제2모방환경의 차이점을 기계학습에 따라 학습하여 보안환경에서 발생한 데이터를 학습하고 다른 보안환경에서 발생한 보안로그를 통해 보안이벤트 발생여부를 판단하는 전이 학습을 통한 보안이벤트 기계학습에 대하여 서로 다른 두 보안환경의 차이를 재고려하도록 함으로써 다른 보안환경에서 생성된 레이블을 학습하더라도 보안이벤트가 발생하는 보안환경에 부합하는 보정된 예측결과를 도출하도록 하는 전이 학습을 위한 환경분석 및 보정시스템을 제공하는 것이다.An object of the present invention is an environment learning unit that learns different security environments to create an imitation environment that mimics the security environment, and a correction value between the security environments by analyzing differences between the imitation environments generated from the environment learning unit. And a machine learning unit that derives a predicted value, which is a determination result of a security event through machine learning, and an environment difference analysis unit that extracts a first security environment and a security event in which learning data for machine learning is generated. The generated second security environment is learned and imitated to create a first imitation environment and a second imitation environment, and the environment difference analysis unit learns the difference between the first imitation environment and the second imitation environment according to machine learning. Security event through transfer learning, which learns the data generated in the security environment and judges whether or not a security event occurs through a security log generated in a different security environment. For machine learning, the difference between two different security environments is considered. It is to provide an environment analysis and correction system for transfer learning to derive a corrected prediction result suitable for the security environment in which a security event occurs even if the label is learned.

본 발명의 목적은, 상기 환경학습부는 상기 각 보안환경의 정보를 입력받는 환경정보 입력부, 페이크 보안환경을 생성하는 환경생성 네트워크 및 상기 환경정보 입력부를 통해 입력받은 보안환경의 정보를 통해 상기 페이크 보안환경과 실제 보안환경을 판별하는 환경판별 네트워크를 포함하여, 상기 환경생성 네트워크와 환경판별 네트워크는 생성적 적대 신경망을 구성하여 모방환경을 생성하여 실제 보안환경과 같은 가상의 환경을 통해 전이학습의 오차를 줄이는 전이 학습을 위한 환경분석 및 보정시스템을 제공하는 것이다.It is an object of the present invention to provide the environment learning unit through an environment information input unit receiving information on each security environment, an environment creation network that creates a fake security environment, and the security environment information input through the environment information input unit. Including the environment determination network that determines the environment and the actual security environment, the environment generation network and the environment determination network constitute a generative hostile neural network to create an imitation environment, and the error of transfer learning through a virtual environment like the real security environment. It is to provide an environmental analysis and correction system for transfer learning that reduces the amount of energy.

본 발명의 목적은, 상기 환경학습부는 제1보안환경과 제2보안환경으로부터 상기 각 보안환경의 정보를 전달받아 상기 환경정보 입력부에 입력함으로써 모방환경을 생성하여 각 보안환경의 정보를 전달받음으로써 용이하게 모방환경을 생성하는 전이 학습을 위한 환경분석 및 보정시스템을 제공하는 것이다.An object of the present invention is that the environment learning unit receives the information of each security environment from the first security environment and the second security environment and inputs the information to the environment information input unit, thereby creating an imitation environment and receiving the information of each security environment. It is to provide an environment analysis and correction system for transfer learning that easily creates an imitation environment.

본 발명의 목적은, 상기 환경학습부는 전이학습을 위한 학습데이터가 생성되는 제1보안환경 및 보안이벤트가 발생하는 제2보안환경에 전송 및/또는 설치되어 상기 각 보안환경 내에서 보안환경을 학습하고 회수되어 모방환경을 생성하여 모방환경 생성에 있어서 보안성이 증대되는 전이 학습을 위한 환경분석 및 보정시스템을 제공하는 것이다.An object of the present invention is that the environment learning unit is transmitted and/or installed in a first security environment in which learning data for transfer learning is generated and a second security environment in which a security event occurs to learn a security environment in each of the security environments. It is to provide an environment analysis and correction system for transfer learning that is recovered and generated to create an imitation environment to increase security in creating an imitation environment.

본 발명의 목적은, 환경차이 분석부는 상기 환경학습부에서 생성한 제1모방환경과 제2모방환경의 정보를 입력받는 모방환경 입력부, 상기 제1모방환경과 제2모방환경의 차이점을 기계학습을 통해 학습하는 환경차이 학습부를 포함하여 전이학습이 수행되는 두 보안환경간의 차이점 분석을 통해 전이학습 시 결과예측의 오차를 최소화하는 전이 학습을 위한 환경분석 및 보정시스템을 제공하는 것이다.It is an object of the present invention to provide an environment difference analysis unit to learn a difference between the first and second mimic environments and the first and second mimic environments generated by the environment learning unit. This is to provide an environment analysis and correction system for transfer learning that minimizes the error in predicting results during transfer learning through the analysis of differences between the two security environments in which transfer learning is performed, including the environment difference learning unit that is learned through the transfer learning.

본 발명의 목적은, 상기 환경차이 학습부는 노이즈 생성 네트워크와 노이즈 판별 네트워크를 포함하고, 상기 노이즈 생성 네트워크와 노이즈 판별 네트워크는 생성적 적대 신경망을 구성하여 상기 제1모방환경과 제2모방환경의 차이점을 도출하는 전이 학습을 위한 환경분석 및 보정시스템을 제공하는 것이다.An object of the present invention is that the environment difference learning unit includes a noise generating network and a noise discriminating network, and the noise generating network and the noise discriminating network constitute a generative adversarial neural network, so that the difference between the first mimic environment and the second mimic environment It is to provide an environmental analysis and correction system for transfer learning to derive.

본 발명의 목적은, 상기 노이즈 생성 네트워크는 제1모방환경의 정보를 노이즈를 통해 변형하여 페이크 모방환경을 생성하고, 상기 노이즈 판별 네트워크는 상기 페이크 모방환경과 제2모방환경을 판별하며, 상기 노이즈 생성 네트워크의 노이즈가 상기 각 모방환경의 차이점으로 정의되는 전이 학습을 위한 환경분석 및 보정시스템을 제공하는 것이다.An object of the present invention is that the noise generating network generates a fake imitation environment by transforming information of the first imitation environment through noise, and the noise determination network determines the fake imitation environment and the second imitation environment, and the noise It is to provide an environment analysis and correction system for transfer learning in which the noise of the generation network is defined as the difference between each of the imitation environments.

본 발명의 목적은, 환경차이 분석부는 상기 환경차이 학습부에서 도출된 상기 차이점으로부터 보정값을 추출하는 보정값 추출모듈을 더 포함하고, 상기 보정값 추출모듈은 상기 차이점으로 정의된 노이즈를 역산하여 보정값을 추출함으로써 각 보안환경의 차이를 보정하는 전이 학습을 위한 환경분석 및 보정시스템을 제공하는 것이다.An object of the present invention, the environmental difference analysis unit further comprises a correction value extraction module for extracting a correction value from the difference derived from the environmental difference learning unit, the correction value extraction module by inverting the noise defined as the difference It is to provide an environment analysis and correction system for transfer learning that corrects the difference in each security environment by extracting the correction value.

본 발명의 목적은, 상기 전이 학습을 위한 환경분석 및 보정시스템은 제2보안환경의 로그와 제1보안환경으로부터 생성된 학습데이터를 수집하고 전처리하는 데이터수집부를 더 포함하고, 기계학습부는 상기 데이터수집부로부터 전송되는 제1보안환경으로부터 생성된 학습데이터를 기반으로 제2보안환경의 로그에 대해 전이학습을 수행함으로써 상이한 두 보안환경에서의 전이학습이 가능한 전이 학습을 위한 환경분석 및 보정시스템을 제공하는 것이다.An object of the present invention is that the environment analysis and correction system for transfer learning further includes a data collection unit for collecting and pre-processing the log of the second security environment and learning data generated from the first security environment, and the machine learning unit An environment analysis and correction system for transfer learning that enables transfer learning in two different security environments by performing transfer learning on the log of the second security environment based on the learning data generated from the first security environment transmitted from the collection unit. To provide.

본 발명의 목적은, 상기 기계학습부는 전처리된 로그로부터 위협요소 판단 필드를 추출하는 변수추출모듈, 전처리된 로그에 대하여 복수의 알고리즘 중 적어도 하나의 알고리즘을 선택하는 알고리즘선택모듈, 선택한 알고리즘 또는 알고리즘의 조합을 이용하여 기계학습을 수행하는 학습모듈 및 상기 학습모듈로부터 추출된 예측값을 보정하는 예측값 보정모듈을 포함하되, 상기 예측값 보정모듈은 노이즈로부터 추출된 보정값을 통해 상기 예측값을 보정하는 전이 학습을 위한 환경분석 및 보정시스템을 제공하는 것이다.An object of the present invention is that the machine learning unit includes a variable extraction module for extracting a threat factor determination field from a preprocessed log, an algorithm selection module for selecting at least one of a plurality of algorithms for the preprocessed log, and the selected algorithm or algorithm. A learning module for performing machine learning using a combination, and a prediction value correction module for correcting the predicted value extracted from the learning module, wherein the predicted value correction module performs transfer learning to correct the predicted value through the correction value extracted from noise. It is to provide an environmental analysis and correction system for

본 발명은 앞서 본 목적을 달성하기 위해서 다음과 같은 구성을 가진 실시예에 의해서 구현된다.The present invention is implemented by an embodiment having the following configuration in order to achieve the above object.

본 발명의 일 실시예에 따르면, 본 발명은, 서로 다른 보안환경을 학습하여 상기 보안환경을 모방한 모방환경을 생성하는 환경학습부와, 상기 환경학습부로부터 생성된 모방환경들의 차이점을 분석하여 상기 보안환경 사이의 보정값을 추출하는 환경차이 분석부 및 기계학습을 통해 보안이벤트에 대한 판단결과인 예측값을 도출하는 기계학습부를 포함하는 것을 특징으로 한다.According to an embodiment of the present invention, the present invention analyzes differences between an environment learning unit that learns different security environments to create an imitation environment that mimics the security environment, and an imitation environment created from the environment learning unit. And a machine learning unit that derives a predicted value, which is a determination result of a security event through machine learning, and an environment difference analysis unit that extracts a correction value between the security environments.

본 발명의 일 실시예에 따르면, 상기 환경학습부는 기계학습을 위한 학습데이터가 생성되는 제1보안환경과 보안이벤트가 발생하는 제2보안환경을 학습하고 모방하여 제1모방환경과 제2모방환경을 생성하고, 상기 환경차이 분석부는 상기 제1모방환경과 제2모방환경의 차이점을 기계학습에 따라 학습하는 것을 특징으로 한다.According to an embodiment of the present invention, the environment learning unit learns and imitates a first security environment in which learning data for machine learning is generated and a second security environment in which a security event occurs. And the environment difference analysis unit is characterized in that it learns a difference between the first imitation environment and the second imitation environment according to machine learning.

본 발명의 일 실시예에 따르면, 본 발명은, 상기 환경학습부는 상기 각 보안환경의 정보를 입력받는 환경정보 입력부, 페이크 보안환경을 생성하는 환경생성 네트워크 및 상기 환경정보 입력부를 통해 입력받은 보안환경의 정보를 통해 상기 페이크 보안환경과 실제 보안환경을 판별하는 환경판별 네트워크를 포함하여, 상기 환경생성 네트워크와 환경판별 네트워크는 생성적 적대 신경망을 구성하여 모방환경을 생성하는 것을 특징으로 한다.According to an embodiment of the present invention, the environment learning unit provides an environment information input unit receiving information of each security environment, an environment creation network generating a fake security environment, and a security environment input through the environment information input unit. Including an environment determination network that determines the fake security environment and the actual security environment through the information of, the environment generation network and the environment determination network constitute a generative hostile neural network to create an imitation environment.

본 발명의 일 실시예에 따르면, 본 발명은, 상기 환경학습부는 제1보안환경과 제2보안환경으로부터 상기 각 보안환경의 정보를 전달받아 상기 환경정보 입력부에 입력함으로써 모방환경을 생성하는 것을 특징으로 한다.According to an embodiment of the present invention, the environment learning unit generates an imitation environment by receiving information of each security environment from the first security environment and the second security environment and inputting the information to the environment information input unit. To do.

본 발명의 일 실시예에 따르면, 본 발명은, 상기 환경학습부는 전이학습을 위한 학습데이터가 생성되는 제1보안환경 및 보안이벤트가 발생하는 제2보안환경에 전송 및/또는 설치되어 상기 각 보안환경 내에서 보안환경을 학습하고 회수되어 모방환경을 생성하는 것을 특징으로 한다.According to an embodiment of the present invention, the environment learning unit is transmitted and/or installed in a first security environment in which learning data for transfer learning is generated and a second security environment in which a security event occurs. It is characterized in that the security environment is learned and retrieved from within the environment to create an imitation environment.

본 발명의 일 실시예에 따르면, 본 발명은, 환경차이 분석부는 상기 환경학습부에서 생성한 제1모방환경과 제2모방환경의 정보를 입력받는 모방환경 입력부, 상기 제1모방환경과 제2모방환경의 차이점을 기계학습을 통해 학습하는 환경차이 학습부를 포함하는 것을 특징으로 한다.According to an embodiment of the present invention, in the present invention, the environment difference analysis unit is an imitation environment input unit receiving information of the first imitation environment and the second imitation environment generated by the environment learning unit, and the first imitation environment and the second It characterized in that it includes an environment difference learning unit that learns the difference in the imitation environment through machine learning.

본 발명의 일 실시예에 따르면, 본 발명은, 상기 환경차이 학습부는 노이즈 생성 네트워크와 노이즈 판별 네트워크를 포함하고, 상기 노이즈 생성 네트워크와 노이즈 판별 네트워크는 생성적 적대 신경망을 구성하여 상기 제1모방환경과 제2모방환경의 차이점을 도출하는 것을 특징으로 한다.According to an embodiment of the present invention, in the present invention, the environment difference learning unit includes a noise generating network and a noise discriminating network, and the noise generating network and the noise discriminating network constitute a generative adversarial neural network to form the first imitation environment. It is characterized by deriving the difference between the second and the second imitation environment.

본 발명의 일 실시예에 따르면, 본 발명은, 상기 노이즈 생성 네트워크는 제1모방환경의 정보를 노이즈를 통해 변형하여 페이크 모방환경을 생성하고, 상기 노이즈 판별 네트워크는 상기 페이크 모방환경과 제2모방환경을 판별하며, 상기 노이즈 생성 네트워크의 노이즈가 상기 각 모방환경의 차이점으로 정의되는 것을 특징으로 한다.According to an embodiment of the present invention, in the present invention, the noise generating network generates a fake copying environment by transforming information of the first copying environment through noise, and the noise discriminating network is the fake copying environment and the second copying. An environment is determined, and noise of the noise generating network is defined as a difference between each of the imitation environments.

본 발명의 일 실시예에 따르면, 본 발명은, 환경차이 분석부는 상기 환경차이 학습부에서 도출된 상기 차이점으로부터 보정값을 추출하는 보정값 추출모듈을 더 포함하고, 상기 보정값 추출모듈은 상기 차이점으로 정의된 노이즈를 역산하여 보정값을 추출하는 것을 특징으로 한다.According to an embodiment of the present invention, the present invention further comprises a correction value extraction module for extracting a correction value from the difference derived from the environmental difference learning unit, the environmental difference analysis unit, the correction value extraction module It characterized in that the correction value is extracted by inverting the noise defined as.

본 발명의 일 실시예에 따르면, 본 발명은, 상기 전이 학습을 위한 환경분석 및 보정시스템은 제2보안환경의 로그와 제1보안환경으로부터 생성된 학습데이터를 수집하고 전처리하는 데이터수집부를 더 포함하고, 기계학습부는 상기 데이터수집부로부터 전송되는 제1보안환경으로부터 생성된 학습데이터를 기반으로 제2보안환경의 로그에 대해 전이학습을 수행하는 것을 특징으로 한다.According to an embodiment of the present invention, the environment analysis and correction system for transfer learning further includes a data collection unit for collecting and pre-processing the log of the second security environment and the learning data generated from the first security environment. And, the machine learning unit is characterized in that it performs transfer learning on the log of the second security environment based on the learning data generated from the first security environment transmitted from the data collection unit.

본 발명의 일 실시예에 따르면, 본 발명은, 상기 기계학습부는 전처리된 로그로부터 위협요소 판단 필드를 추출하는 변수추출모듈, 전처리된 로그에 대하여 복수의 알고리즘 중 적어도 하나의 알고리즘을 선택하는 알고리즘선택모듈 및 선택한 알고리즘 또는 알고리즘의 조합을 이용하여 기계학습을 수행하는 학습모듈을 포함하는 것을 특징으로 한다.According to an embodiment of the present invention, the machine learning unit includes a variable extraction module for extracting a threat factor determination field from a preprocessed log, and an algorithm selection for selecting at least one of a plurality of algorithms for a preprocessed log. And a learning module that performs machine learning using a module and a selected algorithm or a combination of algorithms.

본 발명의 일 실시예에 따르면, 본 발명은, 상기 기계학습부는 상기 학습모듈로부터 추출된 예측값을 보정하는 예측값 보정모듈을 더 포함하되, 상기 예측값 보정모듈은 노이즈로부터 추출된 보정값을 통해 상기 예측값을 보정하는 것을 특징으로 한다.According to an embodiment of the present invention, the machine learning unit further comprises a prediction value correction module for correcting the predicted value extracted from the learning module, wherein the predicted value correction module is the predicted value through the correction value extracted from noise. It is characterized in that to correct.

본 발명은 앞서 본 실시예와 하기에 설명할 구성과 결합, 사용관계에 의해 다음과 같은 효과를 얻을 수 있다.The present invention can obtain the following effects by the configuration, combination, and use relationship that will be described below with the present embodiment.

본 발명은, 서로 다른 보안환경을 학습하여 상기 보안환경을 모방한 모방환경을 생성하는 환경학습부와, 상기 환경학습부로부터 생성된 모방환경들의 차이점을 분석하여 상기 보안환경 사이의 보정값을 추출하는 환경차이 분석부 및 기계학습을 통해 보안이벤트에 대한 판단결과인 예측값을 도출하는 기계학습부를 포함하되, 상기 환경학습부는 기계학습을 위한 학습데이터가 생성되는 제1보안환경과 보안이벤트가 발생하는 제2보안환경을 학습하고 모방하여 제1모방환경과 제2모방환경을 생성하고, 상기 환경차이 분석부는 상기 제1모방환경과 제2모방환경의 차이점을 기계학습에 따라 학습하여 보안환경에서 발생한 데이터를 학습하고 다른 보안환경에서 발생한 보안로그를 통해 보안이벤트 발생여부를 판단하는 전이 학습을 통한 보안이벤트 기계학습에 대하여 서로 다른 두 보안환경의 차이를 재고려하도록 함으로써 다른 보안환경에서 생성된 레이블을 학습하더라도 보안이벤트가 발생하는 보안환경에 부합하는 보정된 예측결과를 도출하도록 하는 전이 학습을 위한 환경분석 및 보정시스템을 제공하는 효과를 가진다.The present invention extracts a correction value between the security environments by analyzing differences between the environment learning unit that creates an imitation environment that mimics the security environment by learning different security environments, and the imitation environment generated from the environment learning unit. And a machine learning unit that derives a predicted value that is a result of determining a security event through machine learning, and the environment learning unit generates a first security environment in which learning data for machine learning is generated and a security event. It learns and imitates the second security environment to create a first imitation environment and a second imitation environment, and the environment difference analysis unit learns the difference between the first imitation environment and the second imitation environment according to machine learning. For security event machine learning through transfer learning that learns data and judges whether security events occur through security logs generated in different security environments, labels created in different security environments are reconsidered. Even if it learns, it has the effect of providing an environment analysis and correction system for transfer learning to derive a corrected prediction result suitable for the security environment in which a security event occurs.

본 발명은, 상기 환경학습부는 상기 각 보안환경의 정보를 입력받는 환경정보 입력부, 페이크 보안환경을 생성하는 환경생성 네트워크 및 상기 환경정보 입력부를 통해 입력받은 보안환경의 정보를 통해 상기 페이크 보안환경과 실제 보안환경을 판별하는 환경판별 네트워크를 포함하여, 상기 환경생성 네트워크와 환경판별 네트워크는 생성적 적대 신경망을 구성하여 모방환경을 생성하여 실제 보안환경과 같은 가상의 환경을 통해 전이학습의 오차를 줄이는 효과가 있다.In the present invention, the environment learning unit includes an environment information input unit for receiving information on each security environment, an environment creation network for creating a fake security environment, and the fake security environment through information on the security environment input through the environment information input unit. Including the environment determination network that determines the actual security environment, the environment creation network and the environment determination network form a generative hostile neural network to create an imitation environment to reduce the error of transfer learning through a virtual environment like the real security environment. It works.

본 발명은, 상기 환경학습부는 제1보안환경과 제2보안환경으로부터 상기 각 보안환경의 정보를 전달받아 상기 환경정보 입력부에 입력함으로써 모방환경을 생성하여 각 보안환경의 정보를 전달받음으로써 용이하게 모방환경을 생성하는 전이 학습을 위한 환경분석 및 보정시스템을 제공하는 효과를 수반한다.In the present invention, the environment learning unit receives the information of each security environment from the first security environment and the second security environment and inputs the information to the environment information input unit, thereby creating an imitation environment and receiving the information of each security environment. It entails the effect of providing an environment analysis and correction system for transfer learning that creates an imitation environment.

본 발명은, 상기 환경학습부는 전이학습을 위한 학습데이터가 생성되는 제1보안환경 및 보안이벤트가 발생하는 제2보안환경에 전송 및/또는 설치되어 상기 각 보안환경 내에서 보안환경을 학습하고 회수되어 모방환경을 생성하여 모방환경 생성에 있어서 보안성이 증대되는 효과를 제공한다.In the present invention, the environment learning unit is transmitted and/or installed in a first security environment in which learning data for transfer learning is generated and a second security environment in which a security event occurs, and learns and recovers the security environment in each of the security environments. As a result, an imitation environment is created, providing an effect of increasing security in creating an imitation environment.

본 발명은, 환경차이 분석부는 상기 환경학습부에서 생성한 제1모방환경과 제2모방환경의 정보를 입력받는 모방환경 입력부, 상기 제1모방환경과 제2모방환경의 차이점을 기계학습을 통해 학습하는 환경차이 학습부를 포함하여 전이학습이 수행되는 두 보안환경간의 차이점 분석을 통해 전이학습 시 결과예측의 오차를 최소화하는 전이 학습을 위한 환경분석 및 보정시스템을 제공하는 효과를 가진다.In the present invention, the environment difference analysis unit is an imitation environment input unit receiving information on the first and second imitation environments generated by the environment learning unit, and the difference between the first and second imitation environments is determined through machine learning. It has the effect of providing an environment analysis and correction system for transfer learning that minimizes the error in predicting results during transfer learning by analyzing differences between the two security environments in which transfer learning is performed including the learning environment difference learning unit.

본 발명은, 상기 환경차이 학습부는 노이즈 생성 네트워크와 노이즈 판별 네트워크를 포함하고, 상기 노이즈 생성 네트워크와 노이즈 판별 네트워크는 생성적 적대 신경망을 구성하여 상기 제1모방환경과 제2모방환경의 차이점을 도출하는 전이 학습을 위한 환경분석 및 보정시스템을 제공하는 효과를 도출한다.In the present invention, the environment difference learning unit includes a noise generating network and a noise discrimination network, and the noise generating network and the noise discriminating network constitute a generative adversarial neural network to derive the difference between the first and second mimic environments. It derives the effect of providing an environmental analysis and correction system for transfer learning.

본 발명은, 상기 노이즈 생성 네트워크는 제1모방환경의 정보를 노이즈를 통해 변형하여 페이크 모방환경을 생성하고, 상기 노이즈 판별 네트워크는 상기 페이크 모방환경과 제2모방환경을 판별하며, 상기 노이즈 생성 네트워크의 노이즈가 상기 각 모방환경의 차이점으로 정의된다.In the present invention, the noise generating network generates a fake copying environment by transforming information of the first copying environment through noise, the noise discrimination network discriminates the fake copying environment and the second copying environment, and the noise generating network The noise of is defined as the difference between each of the imitation environments.

본 발명은, 환경차이 분석부는 상기 환경차이 학습부에서 도출된 상기 차이점으로부터 보정값을 추출하는 보정값 추출모듈을 더 포함하고, 상기 보정값 추출모듈은 상기 차이점으로 정의된 노이즈를 역산하여 보정값을 추출함으로써 각 보안환경의 차이를 보정하는 전이 학습을 위한 환경분석 및 보정시스템을 제공하는 효과를 가진다.In the present invention, the environmental difference analysis unit further includes a correction value extraction module for extracting a correction value from the difference derived from the environmental difference learning unit, the correction value extraction module inversely calculating the noise defined as the difference It has the effect of providing an environment analysis and correction system for transfer learning that corrects the difference in each security environment by extracting.

본 발명은, 상기 전이 학습을 위한 환경분석 및 보정시스템은 제2보안환경의 로그와 제1보안환경으로부터 생성된 학습데이터를 수집하고 전처리하는 데이터수집부를 더 포함하고, 기계학습부는 상기 데이터수집부로부터 전송되는 제1보안환경으로부터 생성된 학습데이터를 기반으로 제2보안환경의 로그에 대해 전이학습을 수행함으로써 상이한 두 보안환경에서의 전이학습이 가능한 효과가 있다.In the present invention, the environment analysis and correction system for transfer learning further includes a data collection unit for collecting and pre-processing a log of a second security environment and learning data generated from the first security environment, and the machine learning unit includes the data collection unit. Transfer learning is possible in two different security environments by performing transfer learning on the log of the second security environment based on the learning data generated from the first security environment transmitted from the system.

본 발명은, 상기 기계학습부는 전처리된 로그로부터 위협요소 판단 필드를 추출하는 변수추출모듈, 전처리된 로그에 대하여 복수의 알고리즘 중 적어도 하나의 알고리즘을 선택하는 알고리즘선택모듈, 선택한 알고리즘 또는 알고리즘의 조합을 이용하여 기계학습을 수행하는 학습모듈 및 상기 학습모듈로부터 추출된 예측값을 보정하는 예측값 보정모듈을 포함하되, 상기 예측값 보정모듈은 노이즈로부터 추출된 보정값을 통해 상기 예측값을 보정하는 전이 학습을 위한 환경분석 및 보정시스템을 제공하는 효과를 수반한다.In the present invention, the machine learning unit comprises a variable extraction module for extracting a threat factor determination field from a preprocessed log, an algorithm selection module for selecting at least one of a plurality of algorithms for the preprocessed log, and a selected algorithm or a combination of algorithms. A learning module that performs machine learning by using and a prediction value correction module that corrects the predicted value extracted from the learning module, wherein the predicted value correction module is an environment for transfer learning that corrects the predicted value through the correction value extracted from noise. It entails the effect of providing an analysis and correction system.

도 1은 이러한 종래의 전이학습이 보안관제 환경에 적용되는 것을 도시한 예시 도면
도 2는 본 발명의 바람직한 일 실시예에 따른 전이 학습을 위한 환경분석 및 보정시스템(1)의 블록도
도 3은 생성적 적대 신경망(GAN)에서 페이크 이미지 또는 페이크 모방환경을 생성하는 것을 도시한 도면
도 4는 본 발명의 일 실시예에 따른 환경정보 입력부(31)의 블록도
도 5는 본 발명의 일 실시예에 따른 환경학습부(30)에서 모방환경을 생성하는 것을 도시한 도면
도 6은 본 발명의 다른 일 실시예에 따라 모방환경을 생성하는 것을 도시한 도면
도 7은 본 발명의 일 실시예에 따른 환경차이 학습부(53)의 블록도
도 8은 본원발명의 환경차이 학습부(53)에서 제1모방환경과 제2모방환경의 차이점을 학습하는 것을 도시한 도면
도 9는 회기 신경망의 구조를 도시한 도면
도 10은 본 발명의 일 실시예에 따른 이미지생성부(2315)의 블록도
도 11은 본 발명의 바람직한 일 실시예에 따른 생성자 네트워크(231)에서 페이크 이미지를 생성하는 단계(S)의 순서도
도 12는 각 단계에서의 데이터 또는 이미지에 대한 정보의 흐름을 도시한 도면
도 13은 상기 매칭단계(S20)에서 기계학습에 따른 기하학적 변형(Tθ) 연산에 대한 파라미터(θ)를 통해 옷 이미지의 기하학적 변형을 연산하는 과정
도 14는 본 발명에 따른 이미지 생성단계(S30)에서 결과이미지(~Ii)가 생성되는 과정을 도시한 도면
도 15는 본 발명의 일 실시예에 따른 판별자 네트워크(233)가 데이터를 학습하는 것을 도시한 도면1 is an exemplary diagram showing that such conventional transfer learning is applied to a security control environment
2 is a block diagram of an environment analysis and correction system 1 for transfer learning according to a preferred embodiment of the present invention
3 is a diagram showing the generation of a fake image or a fake mimic environment in a generative hostile neural network (GAN)
4 is a block diagram of an environment information input unit 31 according to an embodiment of the present invention
5 is a diagram showing the creation of an imitation environment in the environment learning unit 30 according to an embodiment of the present invention
6 is a diagram illustrating creating an imitation environment according to another embodiment of the present invention
7 is a block diagram of an environment difference learning unit 53 according to an embodiment of the present invention
FIG. 8 is a diagram showing the learning of the difference between the first imitation environment and the second imitation environment in the environment difference learning unit 53 of the present invention
9 is a diagram showing the structure of a regression neural network
10 is a block diagram of an image generator 2315 according to an embodiment of the present invention
11 is a flowchart of the step (S) of generating a fake image in the creator network 231 according to an embodiment of the present invention
12 is a diagram showing the flow of information on data or images in each step
13 is a process of calculating a geometrical transformation of a clothing image through a parameter θ for a geometrical transformation (T θ ) calculation according to machine learning in the matching step (S20)
14 is a diagram showing a process in which a result image (~I i ) is generated in an image generation step (S30) according to the present invention
15 is a diagram illustrating that the discriminator network 233 learns data according to an embodiment of the present invention

이하에서는 본 발명에 따른 전이 학습을 위한 환경분석 및 보정시스템 및 그 방법의 바람직한 실시 예들을 첨부된 도면을 참고하여 상세히 설명한다. 하기에서 본 발명을 설명함에 있어 공지의 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략하도록 한다. 특별한 정의가 없는 한 본 명세서의 모든 용어는 본 발명이 속하는 기술분야의 통상의 지식을 가진 기술자가 이해하는 당해 용어의 일반적 의미와 동일하고 만약 본 명세서에서 사용된 용어의 의미와 충돌하는 경우에는 본 명세서에서 사용된 정의에 따른다.Hereinafter, preferred embodiments of the environment analysis and correction system and method for transfer learning according to the present invention will be described in detail with reference to the accompanying drawings. In the following description of the present invention, if it is determined that a detailed description of a known function or configuration may unnecessarily obscure the subject matter of the present invention, a detailed description thereof will be omitted. Unless otherwise defined, all terms in this specification are the same as the general meanings of the terms understood by those of ordinary skill in the art to which the present invention belongs, and in case of conflict with the meanings of terms used in the present specification, the present disclosure According to the definitions used in the specification.

명세서 전체에서, 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니고, 다른 구성요소 또한 더 포함할 수 있는 것을 의미하며, 명세서에 기재된 "~부","~모듈" 등의 용어는 적어도 하나 이상의 기능이나 동작을 처리하는 단위를 의미하고, 이는 하드웨어나 소프트웨어 또는 하드웨어와 소프트웨어의 결합으로 구현될 수 있다. 이하, 첨부한 도면을 참조하여 본 발명의 바람직한 실시예를 설명함으로써 본 발명을 상세히 설명한다.Throughout the specification, when a part "includes" a certain component, this does not exclude other components unless otherwise stated, it means that other components may also be included. Terms such as "~ unit" and "~ module" described herein mean units that process at least one or more functions or operations, which may be implemented by hardware or software or a combination of hardware and software. Hereinafter, the present invention will be described in detail by describing a preferred embodiment of the present invention with reference to the accompanying drawings.

도 2는 본 발명의 바람직한 일 실시예에 따른 전이 학습을 위한 환경분석 및 보정시스템(1)의 블록도이다. 도 2를 참고하면, 전이 학습을 위한 환경분석 및 보정시스템(1)은 보안환경에서 발생한 데이터를 학습하고 다른 보안환경에서 발생한 보안로그를 통해 보안이벤트 발생여부를 판단하는 전이 학습을 통한 보안이벤트 기계학습에 대하여 서로 다른 두 보안환경의 차이를 재고려하도록 함으로써 다른 보안환경에서 생성된 레이블을 학습하더라도 보안이벤트가 발생하는 보안환경에 부합하는 보정된 예측결과를 도출하도록 하는 것을 특징으로 한다. 상기 전이 학습을 위한 환경분석 및 보정시스템(1)은 데이터수집부(10), 환경학습부(30), 환경차이 분석부(50) 및 기계학습부(70)를 포함한다. 본 발명이 서로 다른 보안환경 간의 차이를 학습함으로써 보정된 예측결과를 도출하므로, 전이학습을 위한 학습데이터인 레이블이 생성되는 보안환경을 제1보안환경이라 정의하고, 보안이벤트가 발생하며 본 발명에 따른 전이 학습을 위한 환경분석 및 보정시스템(1)이 설치되어 전이학습을 통해 보안이벤트의 예측값을 도출하는 보안환경을 제2보안환경이라고 정의하도록 한다.2 is a block diagram of an environment analysis and correction system 1 for transfer learning according to a preferred embodiment of the present invention. 2, the environment analysis and correction system 1 for transfer learning is a security event machine through transfer learning that learns data generated in a security environment and determines whether a security event occurs through a security log generated in another security environment. It is characterized in that by reconsidering the difference between two different security environments for learning, even if a label created in a different security environment is learned, a corrected prediction result suitable for a security environment in which a security event occurs is derived. The environment analysis and correction system 1 for transfer learning includes a data collection unit 10, an environment learning unit 30, an environment difference analysis unit 50, and a machine learning unit 70. Since the present invention derives a corrected prediction result by learning the difference between different security environments, the security environment in which the label, which is the learning data for transfer learning, is generated is defined as the first security environment, and a security event occurs. The environment analysis and correction system 1 for transfer learning according to this is installed to define a security environment that derives predicted values of security events through transfer learning as a second security environment.

상기 데이터수집부(10)는 보안환경을 이루는 보안장비 및/또는 보안시스템으로부터 전달되는 로그를 수집하고 정규 형식으로 변환하여 가공하며, 전이학습의 학습데이터가 되는 레이블을 수집하도록 구비된다. 보안장비와 보안시스템은 네트워크 및/또는 정보 자산을 내외부 위협으로부터 보호하기 위하여 작동하는 기계, 시스템, 소프트웨어 등을 지칭하며, 위험관리시스템(RMS), 위협관리시스템(TMS), 침입탐지시스템(IDS) 등의 보안시스템도 가능하고, 방화벽(Firewall) 등의 기기일 수도 있다. 상기 데이터수집부(10)는 로그수집모듈(11), 전처리모듈(13) 및 학습데이터 입력모듈(15)을 포함한다.The data collection unit 10 is provided to collect a log transmitted from a security device and/or a security system constituting a security environment, convert it into a regular format, and process it, and collect a label that becomes learning data for transfer learning. Security equipment and security systems refer to machines, systems, software, etc. that operate to protect network and/or information assets from internal and external threats. Risk Management System (RMS), Threat Management System (TMS), Intrusion Detection System (IDS) A security system such as) is also possible, and it may be a device such as a firewall. The data collection unit 10 includes a log collection module 11, a preprocessing module 13, and a learning data input module 15.

상기 로그수집모듈(11)은 보안장비로부터 전달되는 로그를 수집하는 기능을 한다. 로그란 시스템의 기록을 담고 있는 데이터로, 로그 데이터 분석을 통하여 외부로부터의 침입 감지 및 추적, 시스템 성능관리 등이 가능하다. 웹 로그, 웹탑 로그 등이 존재하며, 보안로그는 각 개체에 대해 설정한 보안정책에 정의된 대로 각 이벤트를 기록한다.The log collection module 11 functions to collect logs transmitted from security equipment. Log is data containing system records, and through log data analysis, intrusion detection and tracking from outside, system performance management, etc. are possible. There are web logs and webtop logs, and the security log records each event as defined in the security policy set for each object.

상기 전처리모듈(13)은 상기 로그수집모듈(11)이 수집한 로그를 정규 형식으로 변환하거나 가공한다. 예를 들면, 로그는 출발지 IP정보(source IP), 목적지 IP(destination IP) 정보, 출발지 포트(source port) 정보, 목적지 포트(destination port) 정보, 호스트(host) 정보, 페이로드(payload) 정보, HTTP 레퍼러(hypertext transfer protocol referer) 정보 및 보안이벤트의 개수 정보 중 적어도 하나를 포함할 수 있다. The pre-processing module 13 converts or processes the logs collected by the log collection module 11 into a regular format. For example, the log includes source IP information, destination IP information, source port information, destination port information, host information, payload information. , HTTP referrer (hypertext transfer protocol referer) information and information on the number of security events may be included.

상기 전처리모듈(13)에서는 상기 수집한 로그를 정규 형식으로 변환한다. 일예로, 정규화된 로그는 Time, Type, SentIP, DestIP, Payload 등을 비롯한 필드를 포함하는 데이터로 구성될 수 있다. 이때, Time은 이벤트의 탐지시각, Type은 이벤트의 유형, SentIP는 출발지 IP, DestIP는 이벤트의 목적지 IP, Payload는 로그에 담긴 공격의 정보가 될 수 있다. 상기 로그 및 정규화된 로그가 포함하고 있는 정보 및/또는 필드는 예시적인 사항이며, 보안관제에 필요한 다른 정보 및/또는 필드를 포함할 수 있는 것을 알 수 있다. 수집된 데이터는 상기 정보들 중 일부를 결여할 수 있으며, 중복하여 포함할 수도 있고, 필드의 값의 유형이 다를수도 있다. 이에 따라 상기 전처리모듈(13)은 정규 형식으로 변환함과 동시에 결여된 값을 채우거나, 중복된 값을 지우는 등의 데이터 정제를 할 수도 있다. 이후 상기 전처리모듈(13)은 전처리된 로그를 기계학습부로 전송할 수 있다.The preprocessing module 13 converts the collected log into a regular format. As an example, the normalized log may be composed of data including fields including Time, Type, SentIP, DestIP, and Payload. At this time, Time may be the detection time of the event, Type may be the type of the event, SentIP may be the source IP, DestIP may be the destination IP of the event, and Payload may be the attack information contained in the log. It can be seen that the information and/or fields included in the log and the normalized log are exemplary and may include other information and/or fields required for security control. The collected data may lack some of the above information, may include overlapping information, and may have different types of field values. Accordingly, the preprocessing module 13 may perform data purification such as filling in missing values or erasing duplicate values while converting to a regular format. Thereafter, the preprocessing module 13 may transmit the preprocessed log to the machine learning unit.

상기 학습데이터 입력모듈(15)은 기계학습을 위한 학습데이터가 생성되는 제1보안환경에서 생성된 레이블을 입력받도록 구비될 수 있다. 전이학습을 포함하는 지도학습의 수행을 위해서는 초기 인풋되는 데이터에 해당 데이터가 갖는 정답(레이블)이 부여되며, 학습데이터를 기계학습을 통해 학습하여 보안이벤트를 판단하는 모델을 통해 보안이벤트에 대한 예측값을 도출하게 된다.The learning data input module 15 may be provided to receive a label generated in a first security environment in which learning data for machine learning is generated. In order to perform supervised learning including transfer learning, the correct answer (label) of the corresponding data is given to the initially input data, and the predicted value for security events through a model that determines security events by learning the learning data through machine learning. Is derived.

이하는 도 2 내지 도 6을 참고하여 상기 환경학습부(30)를 설명하도록 한다. 도 2를 참고하면, 상기 환경학습부는 서로 다른 보안환경을 학습하여 상기 보안환경을 모방한 모방환경을 생성하며, 바람직하게는 기계학습을 위한 학습데이터가 생성되는 제1보안환경과 보안이벤트가 발생하는 제2보안환경을 학습하고 모방하여 제1모방환경과 제2모방환경을 생성한다. 상기 환경학습부(30)는 환경정보 입력부(31), 환경생성 네트워크(33) 및 환경판별 네트워크(35)를 포함하며, 본 발명의 바람직한 일 실시예에서는, 상기 환경생성 네트워크(33)와 환경판별 네트워크(35)가 생성적 적대 신경망(GAN)을 구성하여 모방환경을 생성하도록 구비될 수 있다.Hereinafter, the environment learning unit 30 will be described with reference to FIGS. 2 to 6. 2, the environment learning unit learns different security environments to create an imitation environment that mimics the security environment, and preferably, a first security environment and a security event in which learning data for machine learning is generated are generated. It learns and imitates the second security environment to create a first imitation environment and a second imitation environment. The environment learning unit 30 includes an environment information input unit 31, an environment generation network 33, and an environment determination network 35. In a preferred embodiment of the present invention, the environment generation network 33 and the environment The discrimination network 35 may be provided to construct a generative hostile neural network (GAN) to create an imitation environment.

도 3은 생성적 적대 신경망(GAN)에서 페이크 이미지 또는 페이크 모방환경을 생성하는 것을 도시한 도면이다. 도 3을 참고하면, 생성적 적대 신경망(GAN)은 생성자 네트워크와 판별자 네트워크로 구성되며, 페이크 이미지를 생성하여 판별자 네트워크에서 학습을 진행하도록 한다. 생성자 네트워크에서 랜덤 노이즈를 통해 학습데이터와 유사한 페이크 이미지를 생성하고, 판별자 네트워크는 제시된 이미지가 학습데이터에 존재하는 데이터인지 확률을 연산한다. 이러한 과정이 반복시행되면, 생성적 적대 신경망을 통해서 실제와 구분이 가지 않는 모방된 이미지가 도출된다. 본 발명의 바람직한 일 실시예에 따른 환경학습부(30)는, 기계학습을 위한 학습데이터가 생성되는 제1보안환경과 보안이벤트가 발생하는 제2보안환경 사이의 차이점을 학습하기 위하여, 생성적 적대 신경망을 통해 제1보안환경과 제2보안환경을 모방하여 제1모방환경과 제2모방환경을 생성하게 된다.3 is a diagram illustrating the generation of a fake image or a fake mimic environment in a generative hostile neural network (GAN). Referring to FIG. 3, a generative hostile neural network (GAN) is composed of a generator network and a discriminator network, and a fake image is generated to perform learning in the discriminator network. The generator network generates a fake image similar to the training data through random noise, and the discriminator network calculates the probability that the presented image is data present in the training data. When this process is repeated, an imitation image that is indistinguishable from the real is derived through a generative hostile neural network. In order to learn the difference between the first security environment in which learning data for machine learning is generated and the second security environment in which the security event occurs, the environment learning unit 30 according to a preferred embodiment of the present invention is Through the hostile neural network, the first and second security environments are imitated to create the first and second imitation environments.

도 4는 본 발명의 일 실시예에 따른 환경정보 입력부(31)의 블록도이다. 도 2 및 도 4를 참고하면, 상기 환경정보 입력부(31)는 후술하는 환경생성 네트워크(33)와 환경판별 네트워크(35)에서 상호작용을 통해 모방환경을 생성할 수 있도록, 보안환경의 정보를 입력하도록 구비될 수 있다. 생성적 적대 신경망에서 모방 이미지를 생성하는 과정에는 이미지의 특징적인 부분을 팩터로 삼아 페이크 이미지와 비교하고 판별함으로써 페이크 이미지의 생성과 판별을 발전시키는 과정이 포함되는데, 이와 같이 보안환경에서도 보안환경의 특징이 되는 요소를 팩터로 삼도록 하여 모방환경을 생성할 수 있도록 한다. 상기 환경정보 입력부(31)에 의해 입력되고 팩터로 삼아지는 특징적인 부분은 네트워크 대역폭, 네트워크에 연결된 노드, 공격자 IP, 사이트 일 접속자 수, 일일 접속수, 평균 다운로드 및 업로드 사이즈 등이 될 수 있으며, 상기 열거한 요소 이외에도 네트워크의 보안환경을 특징지을 수 있다면 환경정보 입력부(31)에 의해 모방환경을 생성하는 요소로 될 수 있다. 상기 환경정보 입력부(31)는 제1환경정보 입력모듈(311)과 제2환경정보 입력모듈(313)을 포함할 수 있다.4 is a block diagram of an environment information input unit 31 according to an embodiment of the present invention. 2 and 4, the environment information input unit 31 stores information on the security environment so that the environment creation network 33 and the environment determination network 35 to be described later can create an imitation environment through interaction. It may be provided to input. The process of creating an imitation image in a generative adversarial neural network includes the process of developing the creation and identification of a fake image by comparing and discriminating against the fake image by taking the characteristic part of the image as a factor. It is possible to create an imitation environment by taking the characteristic element as a factor. Characteristic parts inputted by the environment information input unit 31 and taken as a factor may be network bandwidth, nodes connected to the network, attacker IP, daily site visitor, daily access, average download and upload size, etc. In addition to the above-listed elements, if the security environment of the network can be characterized, it may be an element that creates an imitation environment by the environment information input unit 31. The environment information input unit 31 may include a first environment information input module 311 and a second environment information input module 313.

상기 제1환경정보 입력모듈(311)은 레이블이 부여되어 기계학습을 위한 학습데이터가 생성되는 제1보안환경의 환경정보를 전송받아 입력받고, 상기 제2환경정보 입력모듈(313)은 보안이벤트가 발생하는 제2보안환경의 환경정보를 전송받고 입력받는다. The first environment information input module 311 receives and receives environment information of a first security environment in which a label is assigned to generate learning data for machine learning, and the second environment information input module 313 receives a security event. The environment information of the second security environment in which is generated is transmitted and input.

상기 환경생성 네트워크(33)는 난수로부터 페이크 보안환경을 생성하도록 구비된다 상기 환경생성 네트워크(33)는 후술하는 환경판별 네트워크(35)와 함께 생성적 적대 신경망(GAN)을 구성하며, 페이크 보안환경을 생성하여 후술하는 환경판별 네트워크(35)에서 학습을 진행하도록 한다. 이때, 상기 환경생성 네트워크(33)에서 페이크 보안환경을 생성하는 것은, 페이크 이미지에 대응되는 보안환경 구조를 생성하는 것을 지칭하며, 상기 환경정보 입력모듈(31)을 통해 입력된 환경정보로부터 파생된 정보로 구성된다. 즉, 상술한 환경정보 입력모듈(31)의 환경정보인 네트워크 대역폭, 네트워크에 연결된 노드, 공격자 IP, 사이트 일 접속자 수, 일일 접속수, 평균 다운로드 및 업로드 사이즈 등의 데이터 세트와 대응되는 보안환경 구조를 생성하는 것이다.The environment generation network 33 is provided to create a fake security environment from random numbers. The environment generation network 33 forms a generative hostile neural network (GAN) together with the environment determination network 35 to be described later, and a fake security environment Is generated to perform learning in an environment determination network 35 to be described later. In this case, creating a fake security environment in the environment creation network 33 refers to creating a security environment structure corresponding to a fake image, and is derived from environment information input through the environment information input module 31. It consists of information. That is, the security environment structure corresponding to the data set such as the network bandwidth, which is the environmental information of the environmental information input module 31, the node connected to the network, the attacker IP, the number of daily visitors to the site, the number of daily accesses, and the average download and upload size. Is to create.

상기 환경판별 네트워크(35)는 환경정보 입력부(31)를 통해 입력받은 보안환경의 정보를 통해 상기 페이크 보안환경과 실제 보안환경을 판별한다. 상기 환경판별 네트워크(35)는 보안환경의 정보를 기반으로 하여 제시된 모방환경이 환경정보 입력부(31)를 통해 입력받은 보안환경에 해당하는지 판별하여 학습을 수행한다. 학습 수행이 반복되면 상기 환경생성 네트워크(33)와 환경판별 네트워크(35)는 제1보안환경 및 제2보안환경과 구분이 불가능한 제1모방환경과 제2모방환경을 생성하게 된다. 상기 생성된 모방환경은 차이점 분석을 위한 기계학습의 인풋데이터가 됨으로써, 시간에 따라 변화할 수 있는 서로 다른 보안환경 간의 차이점이 학습되도록 한다.The environment determination network 35 determines the fake security environment and the actual security environment through information on the security environment input through the environment information input unit 31. The environment determination network 35 determines whether the proposed imitation environment corresponds to the security environment input through the environment information input unit 31 based on the information of the security environment, and performs learning. When the learning is repeated, the environment creation network 33 and the environment determination network 35 generate a first imitation environment and a second imitation environment indistinguishable from the first security environment and the second security environment. The generated imitation environment becomes input data for machine learning for difference analysis, so that differences between different security environments that may change over time are learned.

도 5는 본 발명의 일 실시예에 따른 환경학습부(30)에서 모방환경을 생성하는 것을 도시한 도면이고, 도 6은 본 발명의 다른 일 실시예에 따라 모방환경을 생성하는 것을 도시한 도면이다. 먼저, 도 5를 참고하면, 제1보안환경(환경 A)과 제2보안환경(환경 B)으로부터 각 보안환경의 정보가 환경학습부(30)로 전달되고, 환경학습부에서는 전달된 보안환경의 정보를 통해 제1모방환경(모방환경 A')과 제2모방환경(모방환경 B')를 생성할 수 있다. 상술한 바와 같은 네트워크 대역폭, 네트워크에 연결된 노드 등의 정보가 전송되어야 하며, 상기 환경정보의 전송은 프로그램, 명령어, 스크립트 등을 통해 수행될 수 있다.5 is a diagram illustrating the creation of an imitation environment in the environment learning unit 30 according to an embodiment of the present invention, and FIG. 6 is a diagram illustrating the generation of an imitation environment according to another embodiment of the present invention to be. First, referring to FIG. 5, information of each security environment is transmitted from the first security environment (environment A) and the second security environment (environment B) to the environment learning unit 30, and the security environment transmitted from the environment learning unit. A first imitation environment (imitation environment A') and a second imitation environment (imitation environment B') can be created through the information of. Information such as a network bandwidth and a node connected to the network as described above should be transmitted, and the transmission of the environmental information may be performed through programs, commands, scripts, and the like.

도 6을 참고하면, 본 발명의 다른 실시예에 있어서는, 환경학습부(30)로부터 제1보안환경과 제2보안환경으로 환경생성 네트워크(33)와 환경판별 네트워크(35)가 전송되고, 각 보안환경 내에서 수행되어 각 보안환경 내에서 모방환경을 생성하도록 수행될 수 있다. 모방학습이 끝나게 되면, 상기 환경생성 네트워크(33)와 환경판별 네트워크(35)는 각 보안환경에서 회수되어 중앙 서버 등에서 모방환경을 생성할 수 있다.Referring to FIG. 6, in another embodiment of the present invention, the environment creation network 33 and the environment determination network 35 are transmitted from the environment learning unit 30 to the first security environment and the second security environment. It can be performed within a security environment to create an imitation environment within each security environment. When the imitation learning is finished, the environment creation network 33 and the environment determination network 35 may be retrieved from each security environment, and an imitation environment may be generated by a central server or the like.

다시 도 2를 참고하면, 상기 환경차이 분석부(50)는 상기 환경학습부(30)로부터 생성된 모방환경들의 차이점을 분석하여 상기 보안환경 사이의 보정값을 추출한다. 본 발명의 바람직한 일 실시예에서는, 생성된 상기 제1모방환경과 제2모방환경의 차이점을 기계학습에 따라 학습하며, 새로운 생성적 적대 신경망(GAN)을 통하여 차이점을 도출할 수 있다. 상기 환경차이 분석부(50)는 모방환경 입력부(51), 환경차이 학습부(53) 및 보정값 추출모듈(55)을 포함한다.Referring back to FIG. 2, the environment difference analysis unit 50 analyzes differences between the imitation environments generated by the environment learning unit 30 and extracts a correction value between the security environments. In a preferred embodiment of the present invention, differences between the generated first and second imitation environments are learned according to machine learning, and the differences may be derived through a new generative hostile neural network (GAN). The environment difference analysis unit 50 includes an imitation environment input unit 51, an environment difference learning unit 53, and a correction value extraction module 55.

상기 모방환경 입력부(51)는 상기 환경학습부(30)가 제1보안환경과 제2보안환경을 학습한 후 생성한 제1모방환경과 제2모방환경의 정보를 입력받을 수 있다. 상기 환경학습부(30)의 환경생성 네트워크(33) 및 환경판별 네트워크(35)로부터 생성된 제1모방환경과 제2모방환경은, 상술한 것과 같은 네트워크 대역폭, 네트워크에 연결된 노드, 공격자 IP 등의 보안환경의 구조를 가지므로, 모방환경 입력부(51)에서는 모방환경의 상기 정보들을 입력받아 환경차이 학습부(53)에서 각 모방환경 간의 차이를 학습할 수 있도록 한다.The imitation environment input unit 51 may receive information on the first imitation environment and the second imitation environment generated after the environment learning unit 30 learns the first security environment and the second security environment. The first and second imitation environments generated from the environment creation network 33 and the environment determination network 35 of the environment learning unit 30 are the network bandwidth as described above, a node connected to the network, an attacker IP, etc. Since it has a structure of a security environment of, the imitation environment input unit 51 receives the information of the imitation environment and enables the environment difference learning unit 53 to learn the difference between each imitation environment.

도 7은 본 발명의 일 실시예에 따른 환경차이 학습부(53)의 블록도이다. 도 2 및 도 7을 참고하면, 상기 환경차이 학습부(53)는, 제1모방환경과 제2모방환경의 차이점을 기계학습을 통해 학습하며, 바람직하게는 생성적 적대 신경망을 통해 학습함으로써 차이점을 정의할 수 있다. 상기 환경차이 학습부(53)는 노이즈 생성 네트워크(531)와 노이즈 판별 네트워크(533)를 포함하며, 상기 노이즈 생성 네트워크(531)와 노이즈 판별 네트워크(533)가 생성적 적대 신경망(GAN)을 구성하여 모방환경간의 차이점을 정의하도록 구비될 수 있다.7 is a block diagram of an environment difference learning unit 53 according to an embodiment of the present invention. 2 and 7, the environment difference learning unit 53 learns the difference between the first mimic environment and the second mimic environment through machine learning, and preferably learns the difference by learning through a generative adversarial neural network. Can be defined. The environment difference learning unit 53 includes a noise generating network 531 and a noise discrimination network 533, and the noise generating network 531 and the noise discrimination network 533 constitute a generative hostile neural network (GAN). Thus, it can be provided to define differences between the imitation environments.

도 8은 본원발명의 환경차이 학습부(53)에서 제1모방환경과 제2모방환경의 차이점을 학습하는 것을 도시한 도면이다. 도 8을 참고하면, 상기 노이즈 생성 네트워크(531)는 후술하는 노이즈 판별 네트워크(533)와 함께 생성적 적대 신경망(GAN)을 구성하며, 페이크 모방환경을 생성하여 후술하는 환경판별 네트워크(35)에서 학습을 진행하도록 하고, 제1모방환경의 정보를 노이즈를 통해 변형하여 페이크 모방환경을 생성한다. 이때, 상기 노이즈 생성 네트워크(531)에서 페이크 모방환경을 생성하는 것은, 페이크 이미지에 대응되는 모방환경의 보안환경 구조를 생성하는 것을 지칭하며, 상기 모방환경 입력모듈(51)을 통해 입력된 모방환경으로부터 파생된 정보로 구성된다. 즉, 상술한 모방환경의 환경정보인 네트워크 대역폭, 네트워크에 연결된 노드, 공격자 IP, 사이트 일 접속자 수, 일일 접속수, 평균 다운로드 및 업로드 사이즈 등의 데이터 세트와 대응되는 모방환경의 보안환경 구조를 생성하는 것이다. FIG. 8 is a diagram illustrating that the environment difference learning unit 53 of the present invention learns the difference between the first imitation environment and the second imitation environment. Referring to FIG. 8, the noise generation network 531 constitutes a generative hostile neural network (GAN) together with a noise determination network 533 to be described later, and generates a fake mimic environment in the environment determination network 35 to be described later. Learning proceeds, and a fake copying environment is created by transforming the information of the first copying environment through noise. In this case, the generation of the fake imitation environment in the noise generating network 531 refers to creating a security environment structure of the imitation environment corresponding to the fake image, and the imitation environment input through the imitation environment input module 51 It consists of information derived from In other words, it creates the security environment structure of the imitation environment corresponding to the data set such as the network bandwidth, which is the environmental information of the imitation environment, the node connected to the network, the attacker IP, the number of daily visitors to the site, the number of daily accesses, and the average download and upload size. Is to do.

상술한 환경생성 네트워크(33)에서와는 달리, 노이즈 생성 네트워크(531)는 단순히 난수로부터 페이크 모방환경을 생성하는 것이 아니라, 노이즈를 통해 제1모방환경의 보안환경에 대한 정보를 변형시킴으로써 제2모방환경과 유사한 페이크 모방환경을 생성한다. 여기서 노이즈는 보안환경의 정보를 변경할 수 있도록 구비된 연산값 또는 난수를 지칭하는데, 네트워크 대역폭의 경우에는 X10의 노이즈가 적용되면 1GBps의 대역폭을 가지는 제1모방환경을 10GBps의 대역폭을 가지는 페이크 모방환경으로 변형할 수 있으며, 공격자 IP나 접속환경 등의 경우에도 이와 같이 제1모방환경이 변형될 수 있다. 본 발명의 일 실시예에서, 각 보안환경은 모니터링하는 IP가 다를 수 있는데, 공격자 IP의 경우 아래와 같이 노이즈가 반영되어 변경된 IP를 요소로 갖는 페이크 모방환경이 생성될 수 있다.Unlike in the environment generation network 33 described above, the noise generation network 531 does not simply create a fake copying environment from random numbers, but transforms the information about the security environment of the first copying environment through noise. Create a fake imitation environment similar to Here, noise refers to an operation value or a random number provided to change the information of the security environment.In the case of network bandwidth, when X10 noise is applied, the first imitation environment with a bandwidth of 1 GBps and a fake imitation environment with a bandwidth of 10 GBps In the case of an attacker's IP or access environment, the first imitation environment can be changed as described above. In one embodiment of the present invention, each security environment may have a different IP to be monitored. In the case of an attacker's IP, noise may be reflected to create a fake environment having the changed IP as an element as follows.

1.1.1.1 (수치화)-> 16843009 (+노이즈)-> 16843010 (+1) (재변환)->1.1.1.21.1.1.1 (Numericalization) -> 16843009 (+ Noise) -> 16843010 (+1) (Reconversion) -> 1.1.1.2

또한, 각 보안환경별로 접속환경이 다른 경우에는 일일 접속수, 평균 로그인 횟수, 다운로드 및 업로드 용량 등에 노이즈가 적용되어 페이크 모방환경이 생성된다.In addition, when the connection environment is different for each security environment, noise is applied to the number of daily connections, average number of logins, download and upload capacity, etc. to create a fake environment.

상기 노이즈 판별 네트워크(533)는 모방환경 입력부(51)를 통해 입력받은 모방환경의 보안환경 정보를 통해 상기 페이크 모방환경과 제2모방환경을 판별한다. 상기 노이즈 판별 네트워크(533)는 입력된 제2모방환경의 정보를 기반으로 하여 제시된 페이크 모방환경이 제2모방환경 해당하는지 판별하여 학습을 수행한다. 학습 수행이 반복되면 상기 노이즈 생성 네트워크(531)와 노이즈 판별 네트워크(533)는 제2모방환경과 구분이 불가능한 페이크 모방환경을 생성하게 된다. 이때, 노이즈 생성 네트워크(531)에서 노이즈는 제1모방환경과 제2모방환경의 차이점을 모방하여 제1모방환경에 변형을 가한다고 볼 수 있으므로, 상기 노이즈가 제1모방환경과 제2모방환경의 차이점으로 정의된다.The noise determination network 533 determines the fake imitation environment and the second imitation environment based on security environment information of the imitation environment input through the imitation environment input unit 51. The noise determination network 533 performs learning by determining whether the proposed fake imitation environment corresponds to the second imitation environment based on the inputted second imitation environment information. When the learning is repeated, the noise generating network 531 and the noise discriminating network 533 generate a fake copying environment that cannot be distinguished from the second copying environment. At this time, since noise in the noise generating network 531 can be considered to apply a transformation to the first imitation environment by imitating the difference between the first imitation environment and the second imitation environment, the noise is the first imitation environment and the second imitation environment. Is defined as the difference.

다시 도 7 및 도 8을 참고하면, 상기 보정값 추출모듈(55)은 상기 환경차이 학습부에서 도출된 상기 차이점으로부터 보정값을 추출한다. 보정값 추출모듈(55)은 차이점으로 정의된 노이즈로부터 보정값을 추출하되, 노이즈를 역산하여 보정값을 추출한다. 노이즈를 역산한다는 것은, 노이즈가 제1모방환경을 변형시킨 수치로부터 해당 수치를 역산하여 보정값을 추출하는 것을 의미한다. 다만, 보정값의 적용은 단순히 수치값의 변화를 다시 적용하는 것이 아니라, 예측값에 대하여 파라미터로 작용하게 된다. 후술하는 기계학습부(70)에서 도출되는 예측모델에 의한 예측값은 보안로그가 공격이나 여타 이벤트에 속할 확률로 표현될 수 있는데, 상기 보정값 추출모듈(55)에서 파라미터로 작용하여 예측값을 보정하게 된다.Referring back to FIGS. 7 and 8, the correction value extraction module 55 extracts a correction value from the difference derived from the environmental difference learning unit. The correction value extraction module 55 extracts a correction value from noise defined as a difference, and extracts the correction value by inverting the noise. Inverting the noise means extracting a correction value by inverting the corresponding value from the value in which the noise transforms the first imitation environment. However, the application of the correction value does not simply apply the change in the numerical value again, but acts as a parameter for the predicted value. The predicted value by the prediction model derived from the machine learning unit 70 to be described later can be expressed as a probability that the security log belongs to an attack or other event, and the correction value extraction module 55 acts as a parameter to correct the predicted value. do.

다시 도 2를 참고하면, 상기 기계학습부(70)는 기계학습을 통해 보안이벤트에 대한 판단결과인 예측값을 도출한다. 기계학습부(70)는 상술한 데이터수집부(10)로부터 제공받은 데이터로부터 기계학습 알고리즘을 사용하여 주기적 또는 실시간으로 보안이벤트에 대한 예측모델을 도출한다. 상기 기계학습부(70)는 변수추출모듈(71), 알고리즘 선택모듈(73), 학습모듈(75) 및 예측값 보정모듈(77)을 포함한다.Referring back to FIG. 2, the machine learning unit 70 derives a predicted value, which is a result of determining a security event through machine learning. The machine learning unit 70 derives a predictive model for a security event periodically or in real time by using a machine learning algorithm from the data provided from the data collection unit 10 described above. The machine learning unit 70 includes a variable extraction module 71, an algorithm selection module 73, a learning module 75, and a predicted value correction module 77.

상기 변수추출모듈(71)은 파라미터를 입력받고 제공받은 전처리된 로그로부터 위협요소 판단 필드를 추출할 수 있다. 상기 파라미터는 사용자를 통해 입력될 수 있으며, 시스템이 적합한 파라미터를 스스로 판단하여 입력할 수도 있다. 또한, 상기 파라미터가 입력되는 경로로서의 인터페이스는 명령 줄 인터페이스(CLI)일 수 있으며, 파라미터 입력에 사용되는 다른 공지된 또는 공지될 인터페이스도 가능하다.The variable extraction module 71 may receive a parameter and extract a threat factor determination field from the received preprocessed log. The parameter may be input through a user, and the system may determine and input a suitable parameter by itself. In addition, the interface as a path through which the parameter is input may be a command line interface (CLI), and other known or known interfaces used for parameter input are also possible.

입력되는 상기 파라미터는 상기 전처리된 로그의 필드 이름, 필드 데이터 형식을 포함할 수 있다. 로그 필드 이름이란 Time, Type, SentIP 등과 같이 정규화된 로그에 저장된 데이터가 어떤 것에 대한 데이터인가를 나타내는 지표이다. 필드 데이터 형식이란 해당 필드 내에 저장된 데이터가 가진 형식을 말하는데, 넘버(Number) 형식과 스트링(String) 형식을 포함한다. 넘버 형식은 시스템상에서 숫자로 인식되는 데이터 형식으로, 어떤 DNS 주소에 어떤 IP에서 몇번을 접속 신청하였는지를 나타내는 트래픽 등이 그 예가 될 수 있다. 스트링 형식은 시스템상에서 문자로 인식되는 데이터 형식으로, 페이로드가 수반하는 악성코드가 실행시키는 파일명이 그 예가 될 수 있다. 상기 변수추출모듈(71)은 상기 파라미터가 입력되면 입력된 파라미터에 따라 제공받은 전처리된 로그에서 기계학습 과정의 기준이 되는 필드를 추출한다.The input parameter may include a field name and a field data format of the preprocessed log. The log field name is an index indicating what data is stored in the normalized log, such as Time, Type, and SentIP. The field data format refers to the format of the data stored in the field, and includes the number format and the string format. The number format is a data format that is recognized as a number on the system, and an example is traffic indicating which DNS address, which IP, and how many times the connection request was made. The string format is a data format that is recognized as a character on the system, and the name of a file executed by a malicious code accompanying a payload can be an example. When the parameter is input, the variable extraction module 71 extracts a field serving as a reference for the machine learning process from the preprocessed log provided according to the input parameter.

상기 알고리즘선택모듈(73)은 전처리된 로그에 대하여 기계학습을 수행할 때 사용될 복수의 알고리즘 중 적어도 하나의 알고리즘을 선택한다. 본 발명에서는 전이학습이 수행되고, 전이학습은 지도학습(Supervised Learning)에 해당되므로, 지도학습에 사용되는 알고리즘, 즉 최근접 이웃, 선형모델, 랜덤 포레스트 등의 알고리즘이 선택될 수 있으며, 상술한 알고리즘을 제외한 알고리즘이나 알고리즘의 조합이 사용될 수도 있다.The algorithm selection module 73 selects at least one of a plurality of algorithms to be used when machine learning is performed on the preprocessed log. In the present invention, since transfer learning is performed and transfer learning corresponds to supervised learning, an algorithm used for supervised learning, that is, an algorithm such as a nearest neighbor, a linear model, or a random forest can be selected. Algorithms other than algorithms or combinations of algorithms may be used.

상기 학습모듈(75)은 선택한 알고리즘 또는 알고리즘의 조합을 이용하여 기계학습을 수행하고 예측모델을 도출한다. 본 발명의 학습모듈(75)은 전이학습을 수행하며, 제1보안환경에서 생성된 학습데이터를 사용하여 제1보안환경과 다른 환경인 제2보안환경의 보안로그를 가지고 학습을 수행한다. 상기 학습모듈(75)에 의해 도출된 예측모델은 보안로그가 보안이벤트에 해당될 예측값을 도출하게 되는데, 다른 보안환경을 기준으로 학습이 진행되었기 때문에 제2보안환경의 현실과 맞지 않는 점이 존재하고, 따라서 예측값의 보정이 필요하다.The learning module 75 performs machine learning using a selected algorithm or a combination of algorithms and derives a prediction model. The learning module 75 of the present invention performs transfer learning, and performs learning with the security log of the second security environment, which is an environment different from the first security environment, using the learning data generated in the first security environment. The prediction model derived by the learning module 75 derives the predicted value that the security log will correspond to the security event, and there is a point that does not match the reality of the second security environment because the learning was conducted based on the other security environment. Therefore, correction of the predicted value is required.

상기 예측값 보정모듈(77)은 상기 학습모듈(75)로부터 추출된 예측값을 보정한다. 예측값 보정모듈(77)은 제1모방환경과 제2모방환경의 차이점에 해당하는 노이즈로부터 추출된 보정값을 통해 예측값을 보정하게 되는데, 보정값의 적용은 단순히 수치값의 변화를 다시 적용하는 것이 아니라, 보정값이 예측값에 대하여 파라미터로 작용하여 예측값을 보정하게 된다.The predicted value correction module 77 corrects the predicted value extracted from the learning module 75. The predicted value correction module 77 corrects the predicted value through the correction value extracted from the noise corresponding to the difference between the first and second copying environments. The application of the correction value is simply reapplying the change in the numerical value. Rather, the correction value acts as a parameter for the predicted value to correct the predicted value.

상술한 구성요소의 결합관계에 따라 보안환경에서 발생한 데이터를 학습하고 다른 보안환경에서 발생한 보안로그를 통해 보안이벤트 발생여부를 판단하는 전이 학습을 통한 보안이벤트 기계학습에 대하여 서로 다른 두 보안환경의 차이를 재고려하도록 함으로써 다른 보안환경에서 생성된 레이블을 학습하더라도 보안이벤트가 발생하는 보안환경에 부합하는 보정된 예측결과를 도출하도록 하는 전이 학습을 위한 환경분석 및 보정시스템(1)이 구현된다. 이하에서는 본 발명의 일 실시예에 따른 전이 학습을 위한 환경분석 및 보정방법(S)을 설명하도록 한다.The difference between two different security environments for security event machine learning through transfer learning, which learns data generated in a security environment according to the combination of the above-described components and determines whether a security event occurs through a security log generated in another security environment. The environment analysis and correction system (1) for transfer learning is implemented so that even if a label created in another security environment is learned by reconsidering, a corrected prediction result corresponding to the security environment in which a security event occurs is derived. Hereinafter, an environmental analysis and correction method (S) for transfer learning according to an embodiment of the present invention will be described.

도 9는 본 발명의 바람직한 일 실시예에 따른 전이 학습을 위한 환경분석 및 보정방법(S)의 흐름도이다. 도 9를 참고하면, 전이 학습을 위한 환경분석 및 보정방법(S)은 보안환경에서 발생한 데이터를 학습하고 다른 보안환경에서 발생한 보안로그를 통해 보안이벤트 발생여부를 판단하는 전이 학습을 통한 보안이벤트 기계학습에 대하여 서로 다른 두 보안환경의 차이를 재고려하도록 함으로써 다른 보안환경에서 생성된 레이블을 학습하더라도 보안이벤트가 발생하는 보안환경에 부합하는 보정된 예측결과를 도출하도록 하는 것을 특징으로 한다. 상기 전이 학습을 위한 환경분석 및 보정방법(S1)은 데이터수집단계(S10), 환경학습단계(S30), 환경차이 분석단계(S50) 및 기계학습단계(S70)를 포함한다. 9 is a flowchart of an environment analysis and correction method (S) for transfer learning according to an embodiment of the present invention. 9, the environment analysis and correction method (S) for transfer learning is a security event machine through transfer learning that learns data generated in a security environment and determines whether a security event occurs through a security log generated in another security environment. It is characterized in that by reconsidering the difference between two different security environments for learning, even if a label created in a different security environment is learned, a corrected prediction result suitable for a security environment in which a security event occurs is derived. The environment analysis and correction method (S1) for transfer learning includes a data collection step (S10), an environment learning step (S30), an environment difference analysis step (S50), and a machine learning step (S70).

상기 데이터수집단계(S10)는 보안환경을 이루는 보안장비 및/또는 보안시스템으로부터 전달되는 로그를 수집하고 정규 형식으로 변환하여 가공하며, 전이학습의 학습데이터가 되는 레이블을 수집한다. 상기 데이터수집단계(S10)는 로그수집단계(S11), 전처리단계(S13) 및 학습데이터 입력단계(S15)를 포함한다.In the data collection step (S10), logs transmitted from the security equipment and/or the security system constituting the security environment are collected, converted into a regular format, processed, and a label used as learning data for transfer learning is collected. The data collection step (S10) includes a log collection step (S11), a preprocessing step (S13), and a learning data input step (S15).

상기 로그수집단계(S11)는 보안장비로부터 전달되는 로그를 수집하며, 웹 로그, 웹탑 로그 등이 존재하며, 보안로그는 각 개체에 대해 설정한 보안정책에 정의된 대로 각 이벤트를 기록한다.In the log collection step (S11), logs transmitted from the security equipment are collected, and there are web logs, webtop logs, etc., and the security logs record each event as defined in the security policy set for each entity.

상기 전처리단계(S13)는 상기 로그수집단계(S11)에서 수집한 로그를 정규 형식으로 변환하거나 가공한다. 수집된 데이터는 상기 정보들 중 일부를 결여할 수 있으며, 중복하여 포함할 수도 있고, 필드의 값의 유형이 다를수도 있다. 이에 따라 상기 전처리단계(S13)에서는 정규 형식으로 변환함과 동시에 결여된 값을 채우거나, 중복된 값을 지우는 등의 데이터 정제를 할 수도 있다. 이후 상기 전처리단계(S13)은 전처리된 로그를 기계학습부로 전송할 수 있다.The pre-processing step (S13) converts or processes the log collected in the log collection step (S11) into a regular format. The collected data may lack some of the above information, may include overlapping information, and may have different types of field values. Accordingly, in the pre-processing step (S13), data may be refined, such as filling in missing values or erasing duplicate values while converting to a regular format. Thereafter, in the preprocessing step S13, the preprocessed log may be transmitted to the machine learning unit.

상기 학습데이터 입력단계(S15)는 기계학습을 위한 학습데이터가 생성되는 제1보안환경에서 생성된 레이블을 입력받는다. 전이학습을 포함하는 지도학습의 수행을 위해서는 초기 인풋되는 데이터에 해당 데이터가 갖는 정답(레이블)이 부여되며, 학습데이터를 기계학습을 통해 학습하여 보안이벤트를 판단하는 모델을 통해 보안이벤트에 대한 예측값을 도출하게 된다. 상기 학습데이터 입력단계(S15)는 로그수집단계(S11), 전처리단계(S13)와는 독립적으로 수행될 수 있으며, 따라서 학습데이터 입력단계(S15)가 먼저 수행되어도 무방하다.In the learning data input step (S15), a label generated in a first security environment in which learning data for machine learning is generated is input. In order to perform supervised learning including transfer learning, the correct answer (label) of the corresponding data is given to the initially input data, and the predicted value for security events through a model that determines security events by learning the learning data through machine learning. Is derived. The learning data input step S15 may be performed independently of the log collection step S11 and the preprocessing step S13, and therefore, the learning data input step S15 may be performed first.

상기 환경학습단계(S30)는 서로 다른 보안환경을 학습하여 상기 보안환경을 모방한 모방환경을 생성하며, 바람직하게는 기계학습을 위한 학습데이터가 생성되는 제1보안환경과 보안이벤트가 발생하는 제2보안환경을 학습하고 모방하여 제1모방환경과 제2모방환경을 생성한다. 상기 환경학습단계(S30)는 환경정보 입력단계(S31), 모방환경 생성단계(S33) 및 모방환경 판별단계(S35)를 포함하며, 본 발명의 바람직한 일 실시예에서는, 생성적 적대 신경망(GAN) 내애서 상기 모방환경 생성단계(S33) 및 모방환경 판별단계(S35)가 수행된다.In the environment learning step (S30), a first security environment in which learning data for machine learning is generated and a first security event in which learning data for machine learning are generated and a first security event are generated by learning different security environments. 2 Learn and imitate the security environment to create the first and second imitation environments. The environmental learning step (S30) includes an environment information input step (S31), an imitation environment generation step (S33), and an imitation environment determination step (S35), and in a preferred embodiment of the present invention, a generative hostile neural network (GAN) ) The imitation environment creation step (S33) and the imitation environment determination step (S35) are performed in the inner.

상기 환경정보 입력단계(S31)는 후술하는 모방환경 생성단계(S33) 및 모방환경 판별단계(S35)에서 상호작용을 통해 모방환경을 생성할 수 있도록, 보안환경의 정보를 입력하는 단계이다. 생성적 적대 신경망에서 모방 이미지를 생성하는 과정에는 이미지의 특징적인 부분을 팩터로 삼아 페이크 이미지와 비교하고 판별함으로써 페이크 이미지의 생성과 판별을 발전시키는 과정이 포함되는데, 이와 같이 보안환경에서도 보안환경의 특징이 되는 요소를 팩터로 삼도록 하여 모방환경을 생성할 수 있도록 한다. 따라서, 상기 환경정보 입력단계(S31)에서 네트워크 대역폭, 네트워크에 연결된 노드, 공격자 IP, 사이트 일 접속자 수, 일일 접속수, 평균 다운로드 및 업로드 사이즈 등이 입력되며, 상기 열거한 요소 이외에도 네트워크의 보안환경을 특징지을 수 있다면 모방환경을 생성하는 요소로 될 수 있다. The environmental information input step (S31) is a step of inputting information on the security environment so that the imitation environment can be created through interaction in the imitation environment creation step (S33) and the imitation environment determination step (S35) to be described later. The process of creating an imitation image in a generative adversarial neural network includes the process of developing the creation and identification of a fake image by comparing and discriminating against the fake image by taking the characteristic part of the image as a factor. It is possible to create an imitation environment by taking the characteristic element as a factor. Therefore, in the environmental information input step (S31), the network bandwidth, the node connected to the network, the attacker IP, the number of daily visitors to the site, the number of daily accesses, the average download and upload size, etc. are input. In addition to the above-listed factors, the network security environment If it can be characterized, it can be an element that creates an imitation environment.

상기 모방환경 생성단계(S33)는 난수로부터 페이크 보안환경을 생성한다. 상기 모방환경 생성단계(S33)는 후술하는 모방환경 판별단계(S35)와 함께 생성적 적대 신경망(GAN)에서 수행되며, 페이크 보안환경을 생성하여 모방환경 판별단계(S35)에서 판별을 위한 학습을 진행하도록 한다. 이때, 상기 모방환경 생성단계(S33)에서 페이크 보안환경을 생성하는 것은, 페이크 이미지에 대응되는 보안환경 구조를 생성하는 것을 지칭하며, 생성되는 페이크 보안환경은 환경정보로부터 파생된 정보로 구성된다. The imitation environment generating step (S33) creates a fake security environment from a random number. The imitation environment generation step (S33) is performed in a generative hostile neural network (GAN) together with the imitation environment determination step (S35) to be described later, and learning for discrimination in the imitation environment determination step (S35) by creating a fake security environment Let's proceed. In this case, creating a fake security environment in the imitation environment creation step S33 refers to creating a security environment structure corresponding to a fake image, and the created fake security environment is composed of information derived from environment information.

상기 모방환경 판별단계(S35)는 환경정보 입력단계(S31)에서 입력받은 보안환경의 정보를 통해 상기 페이크 보안환경과 실제 보안환경을 판별한다. 상기 모방환경 판별단계(S35)는 보안환경의 정보를 기반으로 하여 제시된 모방환경이 입력받은 보안환경에 해당하는지 판별하여 학습을 수행한다. 학습 수행이 반복되면 상기 환경생성 네트워크(33)와 환경판별 네트워크(35)는 제1보안환경 및 제2보안환경과 구분이 불가능한 제1모방환경과 제2모방환경을 생성하게 되고, 상기 생성된 모방환경은 차이점 분석을 위한 기계학습의 인풋데이터가 됨으로써, 시간에 따라 변화할 수 있는 서로 다른 보안환경 간의 차이점이 학습되도록 한다.In the imitation environment determination step (S35), the fake security environment and the actual security environment are determined based on the security environment information input in the environment information input step (S31). The imitation environment determination step (S35) performs learning by determining whether the proposed imitation environment corresponds to the input security environment based on the information on the security environment. When the learning is repeated, the environment creation network 33 and the environment determination network 35 generate a first and second imitation environments that are indistinguishable from the first security environment and the second security environment. The imitation environment becomes input data for machine learning for difference analysis, so that differences between different security environments that can change over time are learned.

상기 환경차이 분석단계(S50)는 상기 환경학습단계(S30)로부터 생성된 모방환경들의 차이점을 분석하여 상기 보안환경 사이의 보정값을 추출한다. 본 발명의 바람직한 일 실시예에서는, 생성된 상기 제1모방환경과 제2모방환경의 차이점을 기계학습에 따라 학습하며, 새로운 생성적 적대 신경망(GAN)을 통하여 차이점을 도출할 수 있다. 상기 환경차이 분석단계(S50)는 모방환경 입력단계(S51), 환경차이 학습단계(S53) 및 보정값 추출단계(S55)를 포함한다.In the environment difference analysis step S50, a correction value between the security environments is extracted by analyzing differences between the imitation environments generated from the environment learning step S30. In a preferred embodiment of the present invention, differences between the generated first and second imitation environments are learned according to machine learning, and the differences may be derived through a new generative hostile neural network (GAN). The environmental difference analysis step (S50) includes an imitation environment input step (S51), an environment difference learning step (S53), and a correction value extraction step (S55).

상기 모방환경 입력단계(S51)는 상기 환경학습단계(S30)에서 제1보안환경과 제2보안환경을 학습한 후 생성한 제1모방환경과 제2모방환경의 정보를 입력받는다. 상기 환경학습부(30)의 환경생성 네트워크(33) 및 환경판별 네트워크(35)로부터 생성된 제1모방환경과 제2모방환경은, 상술한 것과 같은 네트워크 대역폭, 네트워크에 연결된 노드, 공격자 IP 등의 보안환경의 구조를 가지므로, 모방환경 입력단계(S51)에서는 모방환경의 상기 정보들을 입력받아 환경차이 학습단계(S53)에서 각 모방환경 간의 차이를 학습할 수 있도록 한다.In the imitation environment input step (S51), information on the first imitation environment and the second imitation environment generated after learning the first security environment and the second security environment in the environment learning step (S30) is received. The first and second imitation environments generated from the environment creation network 33 and the environment determination network 35 of the environment learning unit 30 are the network bandwidth as described above, a node connected to the network, an attacker IP, etc. Since it has the structure of the security environment of, in the imitation environment input step (S51), the information of the imitation environment is input so that the difference between each imitation environment can be learned in the environment difference learning step (S53).

도 10은 본 발명의 일 실시예에 따른 환경차이 학습부(53)의 블록도이다. 도 9 및 도 10을 참고하면, 상기 환경차이 학습단계(S53)는, 제1모방환경과 제2모방환경의 차이점을 기계학습을 통해 학습하며, 바람직하게는 생성적 적대 신경망을 통해 학습함으로써 차이점을 정의할 수 있다. 상기 환경차이 학습단계(S53)는 노이즈 생성단계(S531)와 노이즈 판별단계(S533)를 포함하며, 상기 노이즈 생성단계(S531)와 노이즈 판별단계(S533)는 생성적 적대 신경망(GAN)에서 수행되어 모방환경간의 차이점을 정의하도록 구비될 수 있다.10 is a block diagram of an environment difference learning unit 53 according to an embodiment of the present invention. 9 and 10, in the environment difference learning step (S53), the difference between the first mimic environment and the second mimic environment is learned through machine learning, preferably by learning through a generative adversarial neural network. Can be defined. The environmental difference learning step (S53) includes a noise generation step (S531) and a noise determination step (S533), and the noise generation step (S531) and noise determination step (S533) are performed by a generative hostile neural network (GAN). Can be provided to define differences between the imitating environments.

상기 노이즈 생성단계(S531)는 후술하는 노이즈 판단계(S533)와 함께 생성적 적대 신경망(GAN)에서 수행되며, 페이크 모방환경을 생성하고, 제1모방환경의 정보를 노이즈를 통해 변형하여 페이크 모방환경을 생성한다. 이때, 상기 노이즈 생성단계(S531)에서 페이크 모방환경을 생성하는 것은, 페이크 이미지에 대응되는 모방환경의 보안환경 구조를 생성하는 것을 지칭하며, 상기 모방환경 입력단계(S51)를 통해 입력된 모방환경으로부터 파생된 정보로 구성된다. The noise generation step (S531) is performed in a generative hostile neural network (GAN) together with a noise determination system (S533) to be described later, creates a fake mimic environment, and transforms the information of the first mimic environment through noise to mimic fake Create the environment. In this case, generating a fake imitation environment in the noise generation step (S531) refers to creating a security environment structure of the imitation environment corresponding to the fake image, and the imitation environment input through the imitation environment input step (S51). It consists of information derived from

상기 노이즈 판별단계(S533)는 모방환경 입력단계(S51)를 통해 입력받은 모방환경의 보안환경 정보를 통해 상기 페이크 모방환경과 제2모방환경을 판별한다. 상기 노이즈 판별단계(S533)는 입력된 제2모방환경의 정보를 기반으로 하여 제시된 페이크 모방환경이 제2모방환경에 해당하는지 판별하여 학습을 수행한다. 학습 수행이 반복되면 상기 노이즈 생성 네트워크(531)와 노이즈 판별 네트워크(533)는 제2모방환경과 구분이 불가능한 페이크 모방환경을 생성하게 되는데, 노이즈 생성단계(S531)에서의 노이즈는 제1모방환경과 제2모방환경의 차이점을 모방하여 제1모방환경에 변형을 가한다고 볼 수 있으므로, 상기 노이즈가 제1모방환경과 제2모방환경의 차이점으로 정의된다.In the noise determination step S533, the fake imitation environment and the second imitation environment are determined based on the security environment information of the imitation environment input through the imitation environment input step S51. In the noise determination step (S533), learning is performed by determining whether the proposed fake imitation environment corresponds to the second imitation environment based on the inputted second imitation environment information. When the learning is repeated, the noise generating network 531 and the noise discriminating network 533 generate a fake copying environment that is indistinguishable from the second copying environment, and the noise in the noise generating step S531 is the first copying environment. Since it can be seen that a deformation is applied to the first imitation environment by imitating the difference between the first and second imitation environments, the noise is defined as the difference between the first and second imitation environments.

상기 보정값 추출단계(S55)는 상기 환경차이 학습부에서 도출된 상기 차이점으로부터 보정값을 추출한다. 보정값 추출단계(S55)는 차이점으로 정의된 노이즈로부터 보정값을 추출하되, 노이즈를 역산하여 보정값을 추출한다.In the correction value extraction step S55, a correction value is extracted from the difference derived from the environmental difference learning unit. In the correction value extraction step S55, a correction value is extracted from noise defined as a difference, and the correction value is extracted by inverting the noise.

상기 데이터수집단계(S10)는 제1보안환경에서의 학습데이터와 제2보안환경에서의 보안로그를 수집하고 전처리하는 것으로, 제1보안환경과 제2보안환경을 학습하여 차이점을 분석하는 환경정보 학습단계(S30) 및 환경차이 분석단계(S50)와는 독립적으로 수행될 수 있다. 따라서, 데이터수집단계(S10)가 환경정보 학습단계(S30) 및 환경차이 분석단계(S50)보다 먼저 수행되거나 늦게 수행되도 무방하고, 같은 시스템 내에서 동시에 수행될 수도 있다.The data collection step (S10) is to collect and pre-process the learning data in the first security environment and the security log in the second security environment, and learn environmental information to analyze the differences by learning the first security environment and the second security environment. It may be performed independently of the learning step (S30) and the environmental difference analysis step (S50). Accordingly, the data collection step (S10) may be performed earlier or later than the environmental information learning step (S30) and the environment difference analysis step (S50), and may be performed simultaneously within the same system.

다시 도 9를 참고하면, 상기 기계학습단계(S70)는 기계학습을 통해 보안이벤트에 대한 판단결과인 예측값을 도출한다. 기계학습단계(S70)는 상술한 데이터수집단계(S10)로부터 제공받은 데이터로부터 기계학습 알고리즘을 사용하여 주기적 또는 실시간으로 보안이벤트에 대한 예측모델을 도출한다. 상기 기계학습단계(S70)는 변수추출단계(S71), 알고리즘 선택단계(S73), 학습단계(S75) 및 예측값 보정단계(S77)를 포함한다.Referring back to FIG. 9, in the machine learning step (S70), a predicted value, which is a determination result of a security event, is derived through machine learning. The machine learning step (S70) derives a predictive model for a security event periodically or in real time using a machine learning algorithm from the data provided from the above-described data collection step (S10). The machine learning step (S70) includes a variable extraction step (S71), an algorithm selection step (S73), a learning step (S75), and a predicted value correction step (S77).

상기 변수추출단계(S71)는 파라미터를 입력받고 제공받은 전처리된 로그로부터 위협요소 판단 필드를 추출하는 단계이다. 상기 파라미터는 사용자를 통해 입력될 수 있으며, 시스템이 적합한 파라미터를 스스로 판단하여 입력할 수도 있다. 또한, 상기 파라미터가 입력되는 경로로서의 인터페이스는 명령 줄 인터페이스(CLI)일 수 있으며, 파라미터 입력에 사용되는 다른 공지된 또는 공지될 인터페이스도 가능하다. 상기 변수추출단계(S71)는 상기 파라미터가 입력되면 입력된 파라미터에 따라 제공받은 전처리된 로그에서 기계학습 과정의 기준이 되는 필드를 추출한다.The variable extraction step (S71) is a step of receiving a parameter and extracting a threat factor determination field from the received preprocessed log. The parameter may be input through a user, and the system may determine and input a suitable parameter by itself. In addition, the interface as a path through which the parameter is input may be a command line interface (CLI), and other known or known interfaces used for parameter input are also possible. In the variable extraction step S71, when the parameter is input, a field serving as a reference for the machine learning process is extracted from the preprocessed log provided according to the input parameter.

상기 알고리즘선택단계(S73)는 전처리된 로그에 대하여 기계학습을 수행할 때 사용될 복수의 알고리즘 중 적어도 하나의 알고리즘을 선택한다. 본 발명에서는 전이학습이 수행되고, 전이학습은 지도학습(Supervised Learning)에 해당되므로, 지도학습에 사용되는 알고리즘, 즉 최근접 이웃, 선형모델, 랜덤 포레스트 등의 알고리즘이 선택될 수 있으며, 상술한 알고리즘을 제외한 알고리즘이나 알고리즘의 조합이 사용될 수도 있다.The algorithm selection step (S73) selects at least one algorithm from among a plurality of algorithms to be used when machine learning is performed on the preprocessed log. In the present invention, since transfer learning is performed and transfer learning corresponds to supervised learning, an algorithm used for supervised learning, that is, an algorithm such as a nearest neighbor, a linear model, or a random forest can be selected. Algorithms other than algorithms or combinations of algorithms may be used.

상기 학습단계(S75)는 선택한 알고리즘 또는 알고리즘의 조합을 이용하여 기계학습을 수행하고 예측모델을 도출한다. 본 발명의 학습단계(S75)는 전이학습을 수행하며, 제1보안환경에서 생성된 학습데이터를 사용하여 제1보안환경과 다른 환경인 제2보안환경의 보안로그를 가지고 학습을 수행한다. 상기 학습단계(S75)에서 도출된 예측모델은 보안로그가 보안이벤트에 해당될 예측값을 도출하게 되는데, 다른 보안환경을 기준으로 학습이 진행되었기 때문에 제2보안환경의 현실과 맞지 않는 점이 존재하고, 따라서 예측값의 보정이 필요하다.In the learning step (S75), machine learning is performed using a selected algorithm or a combination of algorithms and a prediction model is derived. In the learning step S75 of the present invention, transfer learning is performed, and learning is performed with the security log of the second security environment, which is an environment different from the first security environment, using the learning data generated in the first security environment. The predictive model derived in the learning step (S75) derives the predicted value that the security log will correspond to the security event, but there is a point inconsistent with the reality of the second security environment because the learning was conducted based on another security environment. Therefore, it is necessary to correct the predicted value.

상기 예측값 보정단계(S77)는 상기 학습단계(S75)에서 추출된 예측값을 보정한다. 예측값 보정단계(S77)는 제1모방환경과 제2모방환경의 차이점에 해당하는 노이즈로부터 추출된 보정값을 통해 예측값을 보정하게 되는데, 보정값의 적용은 단순히 수치값의 변화를 다시 적용하는 것이 아니라, 보정값이 예측값에 대하여 파라미터로 작용하여 예측값을 보정하게 된다.In the predicted value correction step (S77), the predicted value extracted in the learning step (S75) is corrected. In the predicted value correction step (S77), the predicted value is corrected through the correction value extracted from the noise corresponding to the difference between the first imitation environment and the second imitation environment. The application of the correction value is simply reapplying the change in the numerical value. Rather, the correction value acts as a parameter for the predicted value to correct the predicted value.

이상의 상세한 설명은 본 발명을 예시하는 것이다. 또한, 전술한 내용은 본 발명의 바람직한 실시 형태를 나타내어 설명하는 것이며, 본 발명은 다양한 다른 조합, 변경 및 환경에서 사용할 수 있다. 즉 본 명세서에 개시된 발명의 개념의 범위, 저술한 개시 내용과 균등한 범위 및/또는 당업계의 기술 또는 지식의 범위내에서 변경 또는 수정이 가능하다. 저술한 실시예는 본 발명의 기술적 사상을 구현하기 위한 최선의 상태를 설명하는 것이며, 본 발명의 구체적인 적용 분야 및 용도에서 요구되는 다양한 변경도 가능하다. 따라서 이상의 발명의 상세한 설명은 개시된 실시 상태로 본 발명을 제한하려는 의도가 아니다. 또한 첨부된 청구범위는 다른 실시 상태도 포함하는 것으로 해석되어야 한다.The detailed description above is illustrative of the present invention. In addition, the above description shows and describes preferred embodiments of the present invention, and the present invention can be used in various other combinations, modifications and environments. That is, changes or modifications may be made within the scope of the concept of the invention disclosed in the present specification, the scope equivalent to the disclosed contents, and/or the skill or knowledge of the art. The above-described embodiments describe the best state for implementing the technical idea of the present invention, and various changes required in the specific application fields and uses of the present invention are possible. Therefore, the detailed description of the invention is not intended to limit the invention to the disclosed embodiment. In addition, the appended claims should be construed as including other embodiments.

1: 전이 학습을 위한 환경분석 및 보정시스템
10: 데이터수집부 11: 로그수집모듈
13: 전처리모듈 15: 학습데이터 입력모듈
30: 환경학습부 31: 환경정보 입력부
33: 환경생성 네트워크 35: 환경판별 네트워크
50: 환경차이 분석부 51: 모방환경 입력부
53: 환경차이 학습부 531: 노이즈 생성 네트워크
535: 노이즈 판별 네트워크 55: 보정값 추출모듈
70: 기계학습부
71: 변수추출모듈 73: 알고리즘 선택모듈
75: 학습모듈 77: 예측값 보정모듈1: Environment analysis and correction system for transfer learning
10: data collection unit 11: log collection module
13: Pre-processing module 15: Learning data input module
30: environment learning unit 31: environment information input unit
33: environment creation network 35: environment determination network
50: environmental difference analysis unit 51: imitation environment input unit
53: environmental difference learning unit 531: noise generating network
535: noise determination network 55: correction value extraction module
70: Machine Learning Department
71: variable extraction module 73: algorithm selection module
75: learning module 77: predicted value correction module

Claims (20)

서로 다른 보안환경을 학습하여 상기 보안환경을 모방한 모방환경을 생성하는 환경학습부와, 상기 환경학습부로부터 생성된 모방환경들의 차이점을 분석하여 상기 보안환경 사이의 보정값을 추출하는 환경차이 분석부 및 기계학습을 통해 보안이벤트에 대한 판단결과인 예측값을 도출하는 기계학습부를 포함하되,
상기 환경학습부는 각 보안환경의 정보를 입력받는 환경정보 입력부, 페이크 보안환경을 생성하는 환경생성 네트워크 및 상기 환경정보 입력부를 통해 입력받은 보안환경의 정보를 통해 상기 페이크 보안환경과 실제 보안환경을 판별하는 환경판별 네트워크를 포함하고,
상기 환경생성 네트워크와 환경판별 네트워크는 생성적 적대 신경망을 구성하여 상기 복수의 보안환경을 학습하고 모방하여 모방환경을 생성하고,
상기 환경차이 분석부는 상기 모방환경 사이의 차이점을 기계학습에 따라 학습하는 것을 특징으로 하는 전이 학습을 위한 환경분석 및 보정시스템.Environment difference analysis that extracts a correction value between the security environments by analyzing differences between the environment learning unit that learns different security environments to create an imitation environment that mimics the security environment and the imitation environments that are generated from the environment learning unit It includes a machine learning unit that derives a predicted value, which is a result of judgment on a security event, through sub and machine learning
The environment learning unit determines the fake security environment and the actual security environment through the environment information input unit receiving information of each security environment, an environment creation network that creates a fake security environment, and the security environment information input through the environment information input unit. Including the network to determine the environment,
The environment creation network and the environment determination network form a generative hostile neural network to learn and imitate the plurality of security environments to create an imitation environment,
The environment difference analysis unit learns differences between the imitation environments according to machine learning. 제1항에 있어서, 상기 환경학습부는 기계학습을 위한 학습데이터가 생성되는 제1보안환경과 보안이벤트가 발생하는 제2보안환경을 학습하고 모방하여 제1모방환경과 제2모방환경을 생성하는 것을 특징으로 하는 전이 학습을 위한 환경분석 및 보정시스템.The method of claim 1, wherein the environment learning unit learns and imitates a first security environment in which learning data for machine learning is generated and a second security environment in which a security event occurs to generate a first imitation environment and a second imitation environment. Environment analysis and correction system for transfer learning, characterized in that. 삭제delete 제2항에 있어서, 상기 환경학습부는 제1보안환경과 제2보안환경으로부터 상기 각 보안환경의 정보를 전달받아 상기 환경정보 입력부에 입력함으로써 모방환경을 생성하는 것을 특징으로 하는 전이 학습을 위한 환경분석 및 보정시스템.The environment for transfer learning according to claim 2, wherein the environment learning unit receives information of each security environment from the first security environment and the second security environment and inputs the information to the environment information input unit to create an imitation environment. Analysis and calibration system. 제2항에 있어서, 상기 환경학습부는 전이학습을 위한 학습데이터가 생성되는 제1보안환경 및 보안이벤트가 발생하는 제2보안환경에 전송 및/또는 설치되어 상기 각 보안환경 내에서 보안환경을 학습하고 회수되어 모방환경을 생성하는 것을 특징으로 하는 전이 학습을 위한 환경분석 및 보정시스템.The method of claim 2, wherein the environment learning unit is transmitted and/or installed in a first security environment in which learning data for transfer learning is generated and a second security environment in which a security event occurs to learn the security environment in each of the security environments. Environment analysis and correction system for transfer learning, characterized in that to generate an imitation environment after being recovered. 제2항에 있어서, 환경차이 분석부는 상기 환경학습부에서 생성한 제1모방환경과 제2모방환경의 정보를 입력받는 모방환경 입력부, 상기 제1모방환경과 제2모방환경의 차이점을 기계학습을 통해 학습하는 환경차이 학습부를 포함하는 것을 특징으로 하는 전이 학습을 위한 환경분석 및 보정시스템.The machine learning of claim 2, wherein the environment difference analysis unit is an imitation environment input unit receiving information on the first and second imitation environments generated by the environment learning unit, and the difference between the first and second imitation environments. Environment analysis and correction system for transfer learning, characterized in that it comprises an environment difference learning unit to learn through. 제6항에 있어서, 상기 환경차이 학습부는 노이즈 생성 네트워크와 노이즈 판별 네트워크를 포함하고, 상기 노이즈 생성 네트워크와 노이즈 판별 네트워크는 생성적 적대 신경망을 구성하여 상기 제1모방환경과 제2모방환경의 차이점을 도출하는 것을 특징으로 하는 전이 학습을 위한 환경분석 및 보정시스템.The method of claim 6, wherein the environment difference learning unit comprises a noise generating network and a noise discriminating network, and the noise generating network and the noise discriminating network constitute a generative adversarial neural network to form a difference between the first and second mimic environments. Environment analysis and correction system for transfer learning, characterized in that to derive. 제7항에 있어서, 상기 노이즈 생성 네트워크는 제1모방환경의 정보를 노이즈를 통해 변형하여 페이크 모방환경을 생성하고, 상기 노이즈 판별 네트워크는 상기 페이크 모방환경과 제2모방환경을 판별하며,
상기 노이즈 생성 네트워크의 노이즈가 상기 각 모방환경의 차이점으로 정의되는 것을 특징으로 하는 전이 학습을 위한 환경분석 및 보정시스템.The method of claim 7, wherein the noise generating network generates a fake copying environment by transforming information of the first copying environment through noise, and the noise discrimination network discriminates the fake copying environment and the second copying environment,
Environment analysis and correction system for transfer learning, characterized in that the noise of the noise generating network is defined as a difference between each of the imitation environments. 제8항에 있어서, 환경차이 분석부는 상기 환경차이 학습부에서 도출된 상기 차이점으로부터 보정값을 추출하는 보정값 추출모듈을 더 포함하고, 상기 보정값 추출모듈은 상기 차이점으로 정의된 노이즈를 역산하여 보정값을 추출하는 것을 특징으로 하는 전이 학습을 위한 환경분석 및 보정시스템.The method of claim 8, wherein the environmental difference analysis unit further comprises a correction value extraction module for extracting a correction value from the difference derived from the environmental difference learning unit, and the correction value extraction module inverts noise defined as the difference Environment analysis and correction system for transfer learning, characterized in that extracting the correction value. 제1항 내지 제2항, 제4항 내지 제9항 중 어느 한 항에 있어서, 상기 전이 학습을 위한 환경분석 및 보정시스템은 제2보안환경의 로그와 제1보안환경으로부터 생성된 학습데이터를 수집하고 전처리하는 데이터수집부를 더 포함하고,
기계학습부는 상기 데이터수집부로부터 전송되는 제1보안환경으로부터 생성된 학습데이터를 기반으로 제2보안환경의 로그에 대해 전이학습을 수행하는 것을 특징으로 하는 전이 학습을 위한 환경분석 및 보정시스템.The method of any one of claims 1 to 2 and 4 to 9, wherein the environment analysis and correction system for transfer learning includes a log of the second security environment and learning data generated from the first security environment. Further comprising a data collection unit to collect and pre-process,
An environment analysis and correction system for transfer learning, characterized in that the machine learning unit performs transfer learning on the log of the second security environment based on the learning data generated from the first security environment transmitted from the data collection unit. 제10항에 있어서, 상기 기계학습부는 전처리된 로그로부터 위협요소 판단 필드를 추출하는 변수추출모듈, 전처리된 로그에 대하여 복수의 알고리즘 중 적어도 하나의 알고리즘을 선택하는 알고리즘선택모듈 및 선택한 알고리즘 또는 알고리즘의 조합을 이용하여 기계학습을 수행하는 학습모듈을 포함하는 것을 특징으로 하는 전이 학습을 위한 환경분석 및 보정시스템.The method of claim 10, wherein the machine learning unit comprises a variable extraction module for extracting a threat factor determination field from a preprocessed log, an algorithm selection module for selecting at least one of a plurality of algorithms for the preprocessed log, and the selected algorithm or algorithm. Environment analysis and correction system for transfer learning, characterized in that it comprises a learning module that performs machine learning using a combination. 제11항에 있어서, 상기 기계학습부는 상기 학습모듈로부터 추출된 예측값을 보정하는 예측값 보정모듈을 더 포함하되,
상기 예측값 보정모듈은 노이즈로부터 추출된 보정값을 통해 상기 예측값을 보정하는 것을 특징으로 하는 전이 학습을 위한 환경분석 및 보정시스템.The method of claim 11, wherein the machine learning unit further comprises a prediction value correction module for correcting a prediction value extracted from the learning module,
The predicted value correction module is an environment analysis and correction system for transfer learning, characterized in that correcting the predicted value through a correction value extracted from noise. 서로 다른 보안환경을 학습하여 상기 보안환경을 모방한 모방환경을 생성하는 환경학습단계, 상기 환경학습단계로부터 생성된 모방환경들의 차이점을 분석하여 상기 보안환경 사이의 보정값을 추출하는 환경차이 분석단계, 보안 로그와 학습데이터를 수집하고 전처리하는 데이터수집단계 및 기계학습을 통해 보안이벤트에 대한 판단결과인 예측값을 도출하는 기계학습단계를 포함하되,
상기 환경학습단계는 상기 각 보안환경의 정보를 입력받는 환경정보 입력단계, 페이크 보안환경을 생성하는 모방환경 생성단계 및 상기 환경정보 입력단계에서 입력받은 보안환경의 정보를 통해 상기 페이크 보안환경과 실제 보안환경을 판별하는 모방환경 판별단계를 포함하고,
상기 모방환경 생성단계와 모방환경 판별단계는 생성적 적대 신경망에서 수행되어 복수의 보안환경을 학습하고 모방하여 모방환경을 생성하고,
상기 환경차이 분석단계는 상기 모방환경 사이의 차이점을 기계학습에 따라 학습하는 것을 특징으로 하는 전이 학습을 위한 환경분석 및 보정방법.An environment learning step of learning different security environments to create an imitation environment that mimics the security environment, and an environment difference analysis step of extracting a correction value between the security environments by analyzing differences between the imitation environments created from the environment learning step , Including a data collection step of collecting and preprocessing security logs and learning data, and a machine learning step of deriving a predicted value, which is a judgment result of a security event through machine learning,
In the environmental learning step, the fake security environment and the actual security environment information received in the environment information input step of receiving the information of each security environment, the imitation environment creation step of creating a fake security environment, and the environment information input step Including an imitation environment determination step of determining a security environment,
The imitation environment creation step and the imitation environment determination step are performed in a generative hostile neural network to learn and imitate a plurality of security environments to create an imitation environment,
The environment difference analysis step is an environment analysis and correction method for transfer learning, characterized in that learning the difference between the imitation environments according to machine learning. 제13항에 있어서, 상기 환경학습단계는 기계학습을 위한 학습데이터가 생성되는 제1보안환경과 보안이벤트가 발생하는 제2보안환경을 학습하고 모방하여 제1모방환경과 제2모방환경을 생성하는 것을 특징으로 하는 전이 학습을 위한 환경분석 및 보정방법.The method of claim 13, wherein the environment learning step creates a first imitation environment and a second imitation environment by learning and imitating a first security environment in which learning data for machine learning is generated and a second security environment in which a security event occurs. Environment analysis and correction method for transfer learning, characterized in that to. 삭제delete 제14항에 있어서, 환경차이 분석단계는 상기 환경학습단계에서 생성한 제1모방환경과 제2모방환경의 정보를 입력받는 모방환경 입력단계, 상기 제1모방환경과 제2모방환경의 차이점을 기계학습을 통해 학습하는 환경차이 학습단계 및 상기 환경차이 학습단계에서 학습된 상기 차이점으로부터 보정값을 추출하는 보정값 추출단계를 포함하고,
상기 보정값 추출단계는 상기 차이점으로 정의된 노이즈를 역산하여 보정값을 추출하는 것을 특징으로 하는 전이 학습을 위한 환경분석 및 보정방법.The method of claim 14, wherein the environment difference analysis step comprises: an imitation environment input step in which information on the first imitation environment and the second imitation environment generated in the environment learning step is input, and a difference between the first and second imitation environments. An environment difference learning step of learning through machine learning and a correction value extraction step of extracting a correction value from the difference learned in the environment difference learning step,
In the step of extracting the correction value, the correction value is extracted by inverting the noise defined as the difference. 제16항에 있어서, 상기 환경차이 학습단계는 노이즈 생성단계와 노이즈 판별단계를 포함하고, 상기 노이즈 생성단계와 노이즈 판별단계는 생성적 적대 신경망에서 수행되어 상기 제1모방환경과 제2모방환경의 차이점을 도출하며,
상기 노이즈 생성단계는 제1모방환경의 정보를 노이즈를 통해 변형하여 페이크 모방환경을 생성하고, 상기 노이즈 판별단계는 상기 페이크 모방환경과 제2모방환경을 판별하며,
상기 노이즈 생성단계에서의 노이즈가 상기 각 모방환경의 차이점으로 정의되는 것을 특징으로 하는 전이 학습을 위한 환경분석 및 보정방법.The method of claim 16, wherein the learning of environmental differences comprises a noise generating step and a noise discriminating step, and the noise generating step and the noise discriminating step are performed in a generative adversarial neural network, Draw the difference,
In the noise generation step, information of the first imitation environment is transformed through noise to create a fake imitation environment, and in the noise determination step, the fake imitation environment and the second imitation environment are determined,
Environment analysis and correction method for transfer learning, characterized in that the noise in the noise generation step is defined as a difference between each of the imitation environments. 제17항에 있어서, 상기 환경차이 학습단계는 상기 차이점으로 정의된 노이즈로부터 보정값을 추출하는 보정값 추출단계를 더 포함하고, 상기 보정값 추출단계는 상기 차이점으로 정의된 노이즈를 역산하여 보정값을 추출하는 것을 특징으로 하는 전이 학습을 위한 환경분석 및 보정방법.The method of claim 17, wherein the environmental difference learning step further comprises a correction value extraction step of extracting a correction value from the noise defined as the difference, and the correction value extraction step is a correction value by inverting the noise defined as the difference. Environment analysis and correction method for transfer learning, characterized in that to extract. 제13항 내지 제14항, 제16항 내지 제18항 중 어느 한 항에 있어서, 기계학습단계는 상기 데이터수집단계에서 수집된 제1보안환경으로부터 생성된 학습데이터를 기반으로 제2보안환경의 로그에 대해 전이학습을 수행하며,
전처리된 로그로부터 위협요소 판단 필드를 추출하는 변수추출단계, 전처리된 로그에 대하여 복수의 알고리즘 중 적어도 하나의 알고리즘을 선택하는 알고리즘선택단계 및 선택한 알고리즘 또는 알고리즘의 조합을 이용하여 기계학습을 수행하는 학습단계를 포함하는 것을 특징으로 하는 전이 학습을 위한 환경분석 및 보정방법.The method according to any one of claims 13 to 14 and 16 to 18, wherein the machine learning step is performed based on the learning data generated from the first security environment collected in the data collection step. Transfer learning is performed on the log,
Learning to perform machine learning using the variable extraction step of extracting the threat factor determination field from the preprocessed log, the algorithm selection step of selecting at least one of a plurality of algorithms for the preprocessed log, and the selected algorithm or a combination of algorithms Environment analysis and correction method for transfer learning, characterized in that it comprises a step. 제19항에 있어서, 상기 기계학습단계는 상기 학습단계로부터 추출된 예측값을 보정하는 예측값 보정단계를 더 포함하되,
상기 예측값 보정단계는 노이즈로부터 추출된 보정값을 통해 상기 예측값을 보정하는 것을 특징으로 하는 전이 학습을 위한 환경분석 및 보정방법.The method of claim 19, wherein the machine learning step further comprises a prediction value correction step of correcting the prediction value extracted from the learning step,
The predicted value correction step is an environmental analysis and correction method for transfer learning, characterized in that correcting the predicted value using a correction value extracted from noise.
KR1020200052412A 2020-04-29 2020-04-29 Environmental Analysis and Correction System for Transfer Learning and Its Method KR102168496B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020200052412A KR102168496B1 (en) 2020-04-29 2020-04-29 Environmental Analysis and Correction System for Transfer Learning and Its Method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020200052412A KR102168496B1 (en) 2020-04-29 2020-04-29 Environmental Analysis and Correction System for Transfer Learning and Its Method

Publications (1)

Publication Number Publication Date
KR102168496B1 true KR102168496B1 (en) 2020-10-22

Family

ID=73035530

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020200052412A KR102168496B1 (en) 2020-04-29 2020-04-29 Environmental Analysis and Correction System for Transfer Learning and Its Method

Country Status (1)

Country Link
KR (1) KR102168496B1 (en)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102355772B1 (en) 2021-03-26 2022-01-25 김태우 Composite Panel Assembly for Photovoltaic Panel and Thermal Collector
KR20220081135A (en) 2020-12-08 2022-06-15 국민대학교산학협력단 Apparatus and method for detecting object
KR20220104368A (en) 2021-01-18 2022-07-26 서강대학교산학협력단 Transfer learning method for time series data classification based on similarity
KR20220165073A (en) 2021-06-07 2022-12-14 숭실대학교산학협력단 Method for on-device android malware detection using transfer learning based adaptive model, recording medium and device for performing the method

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101503701B1 (en) 2014-04-30 2015-03-20 (주)아이비즈소프트웨어 Method and Apparatus for Protecting Information Based on Big Data
KR101623071B1 (en) * 2015-01-28 2016-05-31 한국인터넷진흥원 System for detecting attack suspected anomal event
KR102089688B1 (en) * 2019-04-12 2020-04-24 주식회사 이글루시큐리티 Artificial Intelligence-Based Security Event Analysis System and Its Method Using Semi-Supervised Machine Learning

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101503701B1 (en) 2014-04-30 2015-03-20 (주)아이비즈소프트웨어 Method and Apparatus for Protecting Information Based on Big Data
KR101623071B1 (en) * 2015-01-28 2016-05-31 한국인터넷진흥원 System for detecting attack suspected anomal event
KR102089688B1 (en) * 2019-04-12 2020-04-24 주식회사 이글루시큐리티 Artificial Intelligence-Based Security Event Analysis System and Its Method Using Semi-Supervised Machine Learning

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20220081135A (en) 2020-12-08 2022-06-15 국민대학교산학협력단 Apparatus and method for detecting object
KR20220104368A (en) 2021-01-18 2022-07-26 서강대학교산학협력단 Transfer learning method for time series data classification based on similarity
KR102355772B1 (en) 2021-03-26 2022-01-25 김태우 Composite Panel Assembly for Photovoltaic Panel and Thermal Collector
KR20220165073A (en) 2021-06-07 2022-12-14 숭실대학교산학협력단 Method for on-device android malware detection using transfer learning based adaptive model, recording medium and device for performing the method

Similar Documents

Publication Publication Date Title
KR102168496B1 (en) Environmental Analysis and Correction System for Transfer Learning and Its Method
Rahman et al. Internet of things intrusion detection: Centralized, on-device, or federated learning?
Thangavelu et al. DEFT: A distributed IoT fingerprinting technique
US20240022595A1 (en) Method for sharing cybersecurity threat analysis and defensive measures amongst a community
US20210273957A1 (en) Cyber security for software-as-a-service factoring risk
Sharma et al. Distblocknet: A distributed blockchains-based secure sdn architecture for iot networks
US20210360027A1 (en) Cyber Security for Instant Messaging Across Platforms
Xu et al. Data-driven network intelligence for anomaly detection
US20230012220A1 (en) Method for determining likely malicious behavior based on abnormal behavior pattern comparison
CN111488577A (en) Vulnerability exploiting method and device based on artificial intelligence
CN114679292B (en) Honeypot identification method, device, equipment and medium based on network space mapping
Ravi et al. Deep learning feature fusion approach for an intrusion detection system in SDN-based IoT networks
CN114448654B (en) Block chain-based distributed trusted audit security evidence storing method
CN114330544A (en) Method for establishing business flow abnormity detection model and abnormity detection method
CN112560029A (en) Website content monitoring and automatic response protection method based on intelligent analysis technology
US11750621B2 (en) Learning of malicious behavior vocabulary and threat detection through behavior matching
CN106302533A (en) Big data safety management system and method
CN112468439B (en) Deep learning method-based DDoS attack flow detection system for Internet of things
CN116668192B (en) Network user behavior anomaly detection method and system
CN116828087A (en) Information security system based on block chain connection
CN114900362A (en) Extensible network attack detection method based on behavior diagram and Weisfeiler Lehman algorithm
Sajani et al. Analysing and Monitoring of Network IDS Using Intrusion Detection
Ring Burbeck Adaptive real-time anomaly detection for safeguarding critical networks
CN112417462B (en) Network security vulnerability tracking method and system
Emran et al. A system architecture for computer intrusion detection

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant