KR102254142B1 - 폐쇄 네트워크에 대한 감시 및 정찰을 수행하는 방법 및 장치 - Google Patents

폐쇄 네트워크에 대한 감시 및 정찰을 수행하는 방법 및 장치 Download PDF

Info

Publication number
KR102254142B1
KR102254142B1 KR1020180117882A KR20180117882A KR102254142B1 KR 102254142 B1 KR102254142 B1 KR 102254142B1 KR 1020180117882 A KR1020180117882 A KR 1020180117882A KR 20180117882 A KR20180117882 A KR 20180117882A KR 102254142 B1 KR102254142 B1 KR 102254142B1
Authority
KR
South Korea
Prior art keywords
information
learning
learning model
terminal device
network
Prior art date
Application number
KR1020180117882A
Other languages
English (en)
Other versions
KR20200038151A (ko
Inventor
이화성
윤호상
신동일
신동규
신경일
Original Assignee
국방과학연구소
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 국방과학연구소 filed Critical 국방과학연구소
Priority to KR1020180117882A priority Critical patent/KR102254142B1/ko
Publication of KR20200038151A publication Critical patent/KR20200038151A/ko
Application granted granted Critical
Publication of KR102254142B1 publication Critical patent/KR102254142B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/145Network analysis or design involving simulating, designing, planning or modelling of a network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/16Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks using machine learning or artificial intelligence

Landscapes

  • Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Artificial Intelligence (AREA)
  • Evolutionary Computation (AREA)
  • Medical Informatics (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Data Mining & Analysis (AREA)
  • Databases & Information Systems (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Debugging And Monitoring (AREA)

Abstract

적군 측의 폐쇄 네트워크에 대한 감시 및 정찰을 수행하는 방법에 있어서, 네트워크에 연결되는 단말 장치에 관한 제1 정보를 수집하는 단계; 제1 정보에 대한 기계 학습(machine learning)에 의하여, 입력되는 정보의 속성을 분류하고, 중요도를 평가하는 학습 모델을 생성하는 단계; 단말 장치에 관하여 추가로 수집되는 제2 정보에 대한 기계 학습에 의하여, 제2 정보를 학습 모델에 학습시킴으로써 학습 모델을 업데이트하는 단계; 및 업데이트된 학습 모델에 의하여, 제1 정보 및 제2 정보를 속성 및 중요도 중 적어도 하나에 기초하여 선별하는 단계를 포함하는 방법이 제공된다.

Description

폐쇄 네트워크에 대한 감시 및 정찰을 수행하는 방법 및 장치{Method and apparatus of performing surveillance and reconnaissance for closed network}
본 개시는 폐쇄 네트워크에 대한 감시 및 정찰을 수행하는 방법 및 장치에 관한 것이다.
낮은 비용으로 높은 효율을 달성할 수 있는 사이버 공격에 대한 관심이 증대됨에 따라 ISR(intelligence, surveillance, reconnaissance)의 중요성이 부각되고 있다. 전쟁이 끝나지 않은 채로 북한군과 대치하고 있는 상황에서 북한군이 다수의 사이버 전력을 양성함에 따라 국내에서도 정보전에 대한 대비가 요구되고 있다.
지피지기이면 백전불태라는 손자병법에서부터 현대전의 ISR에 이르기까지, 전쟁에서 상대방과 자신에 대한 정보의 중요성은 항상 강조되어 왔다. 현대전이 정보전의 양상을 띠게 됨에 따라 상대방에 대한 감시 및 정찰을 수행하는 방식 역시 다양해지고 있다. 특히, 사이버 상에서 상대방 측의 네트워크에 진입하여 정보를 수집하고 분석함으로써 상대방에 대한 감시 및 정찰을 수행하기 위한 기술이 요구된다.
다양한 실시예들은 폐쇄 네트워크에 대한 감시 및 정찰을 수행하는 방법 및 장치를 제공하는데 있다. 본 개시가 이루고자 하는 기술적 과제는 상기된 바와 같은 기술적 과제들로 한정되지 않으며, 이하의 실시예들로부터 또 다른 기술적 과제들이 유추될 수 있다.
상술한 기술적 과제를 해결하기 위한 수단으로서, 본 개시의 일 측면에 따른 적군 측의 폐쇄 네트워크에 대한 감시 및 정찰을 수행하는 방법은, 상기 네트워크에 연결되는 단말 장치에 관한 제1 정보를 수집하는 단계; 상기 제1 정보에 대한 기계 학습(machine learning)에 의하여, 입력되는 정보의 속성을 분류하고, 중요도를 평가하는 학습 모델을 생성하는 단계; 상기 단말 장치에 관하여 추가로 수집되는 제2 정보에 대한 기계 학습에 의하여, 상기 제2 정보를 상기 학습 모델에 학습시킴으로써 상기 학습 모델을 업데이트하는 단계; 및 상기 업데이트된 학습 모델에 의하여, 상기 제1 정보 및 상기 제2 정보를 상기 속성 및 상기 중요도 중 적어도 하나에 기초하여 선별하는 단계를 포함할 수 있다.
본 개시의 다른 측면에 따른 적군 측의 폐쇄 네트워크에 대한 감시 및 정찰을 수행하는 장치는, 적어도 하나의 프로그램이 저장된 메모리; 및 상기 적어도 하나의 프로그램을 실행함으로써 상기 감시 및 정찰을 수행하는 프로세서를 포함하고, 상기 프로세서는, 상기 네트워크에 연결되는 단말 장치에 관한 제1 정보를 수집하고, 상기 제1 정보에 대한 기계 학습에 의하여, 입력되는 정보의 속성을 분류하고, 중요도를 평가하는 학습 모델을 생성하고, 상기 단말 장치에 관하여 추가로 수집되는 제2 정보에 대한 기계 학습에 의하여, 상기 제2 정보를 상기 학습 모델에 학습시킴으로써 상기 학습 모델을 업데이트하고, 상기 업데이트된 학습 모델에 의하여, 상기 제1 정보 및 상기 제2 정보를 상기 속성 및 상기 중요도 중 적어도 하나에 기초하여 선별할 수 있다.
본 개시에 따른 폐쇄 네트워크에 대한 감시 및 정찰을 수행하는 방법 및 장치에 의해 적군 측의 폐쇄 네트워크에 관한 정보가 수집되고 분석될 수 있다. 그에 따라, 전쟁이 끝나지 않은 상태에서 적군 측에 대해 정보전의 측면에서 우위를 점할 수 있다.
폐쇄 네트워크로부터 입력되는 정보를 처리하는 학습 모델이 점진적 학습 방식 등을 채용함에 따라 정보의 수집 및 분석에 소요되는 자원이 제한되는 환경에서도 폐쇄 네트워크에 대한 감시 및 정찰이 수행될 수 있다.
폐쇄 네트워크에 대한 감시 및 정찰이 정보의 수집 및 분석에 소요되는 자원이 제한되는 환경에서 수행될 수 있다는 점에서 감시 및 정찰 과정이 적군 측에 의해 발각되지 않을 수 있다.
도 1은 일부 실시예에 따른 적군 측의 폐쇄 네트워크에 대한 감시 및 정찰을 수행하는 시스템을 나타내는 도면이다.
도 2는 일부 실시예에 따른 적군 측의 폐쇄 네트워크에 대한 감시 및 정찰을 수행하는 방법을 나타내는 흐름도이다.
도 3은 일부 실시예에 따른 훈련 데이터 및 시험 데이터를 설명하기 위한 표를 나타내는 도면이다.
도 4는 일부 실시예에 따른 일괄 학습(batch learning) 방식을 설명하기 위한 도면이다.
도 5는 일부 실시예에 따른 점진적 학습(incremental learning) 방식을 설명하기 위한 도면이다.
도 6은 일부 실시예에 따른 일괄 학습 방식 및 점진적 학습 방식의 학습 결과를 설명하기 위한 표를 나타내는 도면이다.
도 7은 일부 실시예에 따른 메모리 사용량 제한이 변경됨에 따라 변경되는 일괄 학습 방식 및 점진적 학습 방식의 학습 결과를 설명하기 위한 표를 나타내는 도면이다.
도 8은 일부 실시예에 따른 메모리 사용량 제한이 변경됨에 따라 변경되는 일괄 학습 방식 및 점진적 학습 방식의 학습 결과를 설명하기 위한 그래프를 나타내는 도면이다.
도 9는 일부 실시예에 따른 훈련 데이터 및 시험 데이터에 대한 학습 결과에 대한 평가를 설명하기 위한 표를 나타내는 도면이다.
도 10은 일부 실시예에 따른 적군 측의 폐쇄 네트워크에 대한 감시 및 정찰을 수행하는 장치를 나타내는 블록도이다.
이하 첨부된 도면을 참조하면서 오로지 예시를 위한 실시예들을 상세히 설명하기로 한다. 하기 설명은 실시예들을 구체화하기 위한 것일 뿐 발명의 권리 범위를 제한하거나 한정하는 것이 아님은 물론이다. 상세한 설명 및 실시예로부터 당해 기술분야의 전문가가 용이하게 유추할 수 있는 것은 권리범위에 속하는 것으로 해석된다.
본 명세서에서 사용되는 '구성된다' 또는 '포함한다' 등의 용어는 명세서 상에 기재된 여러 구성 요소들, 또는 여러 단계들을 반드시 모두 포함하는 것으로 해석되지 않아야 하며, 그 중 일부 구성 요소들 또는 일부 단계들은 포함되지 않을 수도 있고, 또는 추가적인 구성 요소 또는 단계들을 더 포함할 수 있는 것으로 해석되어야 한다.
본 실시예들은 폐쇄 네트워크에 대한 감시 및 정찰을 수행하는 방법 및 장치에 관한 것으로서 이하의 실시예들이 속하는 기술 분야에서 통상의 지식을 가진 자에게 널리 알려져 있는 사항들에 관해서는 자세한 설명을 생략한다.
도 1은 일부 실시예에 따른 적군 측의 폐쇄 네트워크에 대한 감시 및 정찰을 수행하는 시스템을 나타내는 도면이다.
도 1을 참조하면, 적군 측의 폐쇄 네트워크(100)에 대한 감시 및 정찰을 수행하는 시스템(1)은 적군 측의 폐쇄 네트워크(100) 및 아군 측의 네트워크(200)를 포함할 수 있다.
폐쇄 네트워크(100)는 외부에서의 접근이 제한되는 네트워크를 의미할 수 있다. 예를 들면, 군용 인트라넷 등이 폐쇄 네트워크(100)에 해당할 수 있다.
네트워크(100)에는 단말 장치(110)를 포함하는 적어도 하나의 전자 장치들이 연결될 수 있다. 적어도 하나의 전자 장치들은 개인용 컴퓨터, 모바일 단말 및 테블릿 피씨(tablet PC) 등 프로그램을 저장하는 메모리 및 저장된 프로그램을 실행하는 프로세서를 포함하는 장치일 수 있다.
아군 측의 네트워크(200)에는 지휘통제 서버(210)가 연결될 수 있다. 지휘통제(C&C, command and control) 서버(210)는 정보전에 관해 아군 측의 사이버 전력을 지휘 및 통제하는 역할을 수행하는 서버일 수 있다. 서버(210)는 단말 장치(110)로부터 네트워크(100)에 대한 감시 및 정찰의 결과를 수신할 수 있다.
본 개시에 따른 적군 측의 폐쇄 네트워크(100)에 대한 감시 및 정찰을 수행하는 방법은 네트워크(100)에 연결되는 단말 장치(110)에 의해 수행되는 것으로서, 단말 장치(110)의 하드웨어 구성을 통해 동작하는 운영 체제의 일부 및 운영 체제 내부에서 동작하는 응용 소프트웨어 중 적어도 하나에 의해 구현될 수 있다.
폐쇄 네트워크(100)에 대한 외부에서의 접근이 제한된다는 점에서, 본 개시에 따른 방법을 수행하는 단말 장치(110)에 대해서는 폐쇄 네트워크(100)가 아닌 다른 경로를 통해 접근할 수 있다. 예를 들면, 단말 장치(110)와 연결되는 별도의 개방 네트워크가 있는 경우 개방 네트워크를 통해 단말 장치(110)에 침입할 수 있다.
네트워크(100)에 대한 감시 및 정찰은 네트워크(100)에 연결되는 적어도 하나의 전자 장치들에 대한 정보 수집, 수집된 정보에 대한 분석 및 분석 결과를 아군 측의 네트워크(200)에 연결되는 지휘통제 서버(210)에 전송하는 과정 등을 포함할 수 있다.
본 개시에 따른 감시 및 정찰을 수행하는 방법 및 장치에 의해 정찰기 또는 위성 등에 의한 물리적인 감시 및 정찰 외에도 사이버 공간 상에서의 감시 및 정찰이 수행될 수 있다는 점에서, 적군 측에 대한 감시 및 정찰 능력이 보다 개선될 수 있다.
도 2는 일부 실시예에 따른 적군 측의 폐쇄 네트워크에 대한 감시 및 정찰을 수행하는 방법을 나타내는 흐름도이다.
도 2를 참조하면, 네트워크(100)에 대한 감시 및 정찰을 수행하는 방법은 도 2에 도시되어 있는 단계들을 포함할 수 있다. 다만, 도 2에는 본 실시예와 관련된 단계들만이 도시되어 있을 뿐, 도 2에 도시된 단계들 외에 다른 범용적인 단계들이 네트워크(100)에 대한 감시 및 정찰을 수행하는 방법에 포함될 수 있다.
도 2에 도시된 단계들은 단말 장치(110)의 하드웨어 구성을 활용해 수행될 수 있다. 도 2에 도시된 단계들은 운영 체제의 일부 또는 운영 체제 내부에서 동작하는 응용 소프트웨어 등에 의해 구현될 수 있고, 운영 체제의 일부 또는 응용 소프트웨어 등은 폐쇄 네트워크(100) 외의 다른 경로를 통해 단말 장치(110)에 침투될 수 있다.
단말 장치(110)에 침투된 운영 체제의 일부 또는 응용 소프트웨어 등에 의해 도 2에 도시된 단계들이 단말 장치(110)의 하드웨어 구성을 이용해 수행된다는 점에서, 본 명세서 상에서 도 2에 도시된 단계들 내지 본 개시에 따른 방법을 수행하는 주체는 단말 장치(110) 자체인 것으로 해석될 수 있다.
단계 s210에서, 단말 장치(110)는 적군 측의 폐쇄 네트워크(100)에 연결되는 단말 장치(110)에 관한 제1 정보를 수집할 수 있다. 단말 장치(110)는 단말 장치(110)의 저장 장치에 저장된 정보 또는 폐쇄 네트워크(100)로부터 수집 가능한 정보 등을 대상으로 제1 정보를 수집할 수 있다.
제1 정보는 단말 장치(110)의 저장 장치에 저장된 정보 또는 폐쇄 네트워크(100)로부터 수집 가능한 정보 등의 원자료(raw data)일 수 있다. 이후 단계에서, 원자료로 수집되는 제1 정보로부터 특징이 추출될 수 있다.
단계 s220에서, 단말 장치(110)는 제1 정보에 대한 기계 학습(machine learning)에 의하여, 입력되는 정보의 속성을 분류하고, 중요도를 평가하는 학습 모델을 생성할 수 있다. 기계 학습에 의해 생성되는 학습 모델(learning model)은 적군 측의 폐쇄 네트워크(100)에 대한 감시 및 정찰의 중심적 역할을 수행하는 에이전트 모델(agent model)일 수 있다.
학습 모델을 생성하기 위한 기계 학습은 제1 정보 등을 포함하는 정보들을 입력받고, 입력되는 정보들의 특징들을 추출하며, 추출된 특징들로부터 패턴을 분석하는 과정을 의미할 수 있다. 기계 학습을 통해 생성된 학습 모델은 제1 정보의 특징을 추출하고, 추출된 특징으로부터 속성 및 중요도를 분석하는 과정을 반복함으로써 입력되는 정보의 속성을 분류하고, 중요도를 평가하는 알고리즘을 구비할 수 있다.
학습 모델을 생성하기 위한 기계 학습은 일괄 학습(batch learning) 방식 및 점진적 학습(incremental learning) 방식 중 적어도 하나에 따라 수행될 수 있다. 일괄 학습 방식 및 점진적 학습 방식에 관한 구체적인 내용은 후술할 도 3 및 도 4를 참조하여 설명될 수 있다.
학습 모델은 결정 트리(decision tree) 구조에 기초하여 입력되는 정보의 속성을 분류할 수 있다. 결정 트리 구조는 의사 결정의 규칙 및 결정의 결과들이 트리 구조로 도식화되는 의사 결정 구조를 의미할 수 있다. 학습 모델은 입력되는 정보를 분류 규칙 및 분류 결과를 거치는 일련의 과정을 통해 입력되는 정보의 속성을 분류할 수 있다.
예를 들면, 학습 모델은 입력되는 정보의 속성을 시스템 데이터, 프로세스 데이터 및 로그 데이터 중 어느 하나로 분류할 수 있다. 구체적으로, 학습 모델은 호스트 이름(host name) 및 호스트 정보 등은 시스템 데이터로 분류하고, 운영 체제 정보, 프로세스 이름(process name) 및 PID(process ID), 및 세션 정보 등은 프로세스 데이터로 분류하며, 키 로그 기록(key log data) 등은 로그 데이터로 분류할 수 있다.
학습 모델이 결정 트리 구조에 기초하여 입력되는 정보의 속성을 분류한다는 점에서, 분류 결과가 도출되는 과정이 분류 규칙에 의해 설명될 수 있어 분류 결과에 대한 이유가 명확히 제시될 수 있고, 분류 규칙을 참조하면 입력되는 정보가 어떠한 결과로 분류될 것인지에 대한 예측이 가능할 수 있다는 이점이 있을 수 있다.
학습 모델은 입력되는 정보의 중요도를 평가할 수 있다. 학습 모델은 결정 트리 구조에 기초하여 분류된 정보에 대하여 그 중요도를 평가할 수 있다. 분류된 정보에 대한 중요도의 평가는 소정의 기준에 근거하여 수행될 수 있다. 중요도 평가에 사용되는 기준은 정보 이론(information theory) 등의 분야에서 일반적으로 사용되는 수치화된 지표일 수 있다.
단계 s230에서, 단말 장치(110)는 단말 장치(110)에 관하여 추가로 수집되는 제2 정보에 대한 기계 학습에 의하여, 제2 정보를 학습 모델에 학습시킴으로써 학습 모델을 업데이트할 수 있다.
단말 장치(110)는 단말 장치(110)에 관하여 앞서 수집한 제1 정보와는 상이한 제2 정보를 수집할 수 있다. 제2 정보 역시 원자료 형태로 수집되는 단말 장치(110)의 저장 장치에 저장된 정보 또는 폐쇄 네트워크(100)로부터 수집 가능한 정보 등에 해당할 수 있다.
단말 장치(110)는 제2 정보에 대한 기계 학습에 의하여, 제2 정보를 학습 모델에 학습시킬 수 있다. 단말 장치(110)는 제1 정보에 대한 기계 학습에 의해 생성된 학습 모델을 제2 정보를 이용해 학습시킬 수 있다.
단말 장치(110)가 제2 정보를 이용해 학습 모델을 학습시킴에 따라 학습 모델은 업데이트(update)될 수 있다. 제1 정보로부터 생성된 입력되는 정보의 속성을 분류하고, 중요도를 평가하는 학습 모델의 알고리즘은 학습 모델이 제2 정보를 추가로 학습함으로써 보다 최적화될 수 있다. 그에 따라, 학습 모델이 속성을 분류하고 중요도를 평가하는 정확도 및 소요 시간 등을 포함하는 성능이 개선될 수 있다.
단말 장치(110)는 일괄 학습 방식에 따라 학습 모델을 학습시킬 수 있다. 일괄 학습 방식에 의하는 경우 학습 모델은 추가로 수집된 제2 정보 외에도 이미 학습된 제1 정보를 함께 학습할 수 있다. 따라서, 단말 장치(110)는 제1 정보 및 제2 정보를 학습 모델에 학습시켜 학습 모델을 업데이트할 수 있다. 일괄 학습 방식에 관한 구체적인 내용은 후술할 도 3을 참조하여 설명될 수 있다.
단말 장치(110)는 점진적 학습 방식에 따라 학습 모델을 학습시킬 수 있다. 점진적 학습 방식에 의하는 경우 학습 모델은 추가로 수집된 제2 정보만을 학습할 수 있다. 따라서, 단말 장치(110)는 제2 정보를 학습 모델에 학습시켜 학습 모델을 업데이트할 수 있다. 점진적 학습 방식에 관한 구체적인 내용은 후술할 도 4를 참조하여 설명될 수 있다.
단계 s240에서, 단말 장치(110)는 업데이트된 학습 모델에 의하여, 제1 정보 및 제2 정보를 속성 및 중요도 중 적어도 하나에 기초하여 선별할 수 있다. 단말 장치(110)는 제1 정보 및 제2 정보 중 선별된 정보만을 유지하고, 선별되지 않은 정보는 삭제할 수 있다.
일 예로, 선별하는 단계는 학습 모델에 의해 분류된 정보들의 특정 속성에 우선 순위를 부과하고, 높은 우선 순위를 갖는 정보들을 선별하는 단계를 포함할 수 있다. 다른 예로, 선별하는 단계는 학습 모델에 의해 평가된 중요도가 높은 정보들을 선별하는 단계를 포함할 수 있다.
구체적으로, 시스템 데이터가 높은 우선 순위를 갖도록 설정되는 경우 단말 장치(110)는 시스템 데이터로 분류된 정보들을 유지하고, 그 외에 프로세스 데이터 등으로 분류된 정보들을 삭제할 수 있다. 또는, 단말 장치(110)는 학습 모델에 의해 평가된 중요도의 수치를 기준으로 상대적으로 높은 중요도를 갖는 정보들만을 유지하고, 그 외의 정보들을 삭제할 수 있다.
제1 정보에 대한 기계 학습 및 제2 정보에 대한 기계 학습은 메모리 사용량 및 소요 시간 중 적어도 하나를 포함하는 자원이 제한된 조건에서 수행될 수 있다. 또한, 본 개시에 따른 방법 내지 도 2에 도시된 단계들은 짧은 시간 내에 적은 메모리를 사용하여 수행될 것이 요구된다.
본 개시에 따른 방법 내지 도 2에 도시된 단계들은, 이를 구현하는 응용 소프트웨어 등이 적군 측의 폐쇄 네트워크(100)에 연결되는 단말 장치(110)에 침입하고, 단말 장치(110)의 하드웨어 구성을 권한 없이 사용함에 따라 수행되므로, 폐쇄 네트워크(100) 내지 단말 장치(110)에 의해 발각되지 않을 것이 요구될 수 있다.
본 개시에 따른 방법 내지 도 2에 도시된 단계들이 폐쇄 네트워크(100) 내지 단말 장치(110)가 운용하는 침입 탐지 수단에 의해 발각되지 않기 위해서는 짧은 시간 내에 수행되어야 하고, 사용하는 메모리 용량이 적을 것이 요구될 수 있다. 따라서, 메모리 사용량 및 소요 시간 중 적어도 하나를 포함하는 자원이 제한될 수 있다.
단말 장치(110)가 속성 및 중요도에 기초하여 제1 정보 및 제2 정보를 선별하여 그 일부만을 유지함에 따라 단말 장치(110)의 메모리 사용량이 감소할 수 있다. 또한, 후술할 바와 같이, 점진적 학습 방식에 따라 기계 학습이 수행되는 경우 그에 소요되는 시간 및 메모리 사용량이 감소할 수 있다. 그에 따라, 도 2에 도시된 단계들을 구현하는 응용 소프트웨어 등이 폐쇄 네트워크(100) 내지 단말 장치(110)에 의해 발각될 위험이 감소할 수 있다.
도 2에 도시된 단계들에 더하여, 단말 장치(110)는 아군 측의 네트워크(200)와 통신이 가능해지는 경우 선별하는 단계의 결과를 아군 측의 네트워크(200) 상의 지휘통제 서버(210)에 전송할 수 있다. 선별하는 단계의 결과는 속성 및 중요도에 기초하여 삭제된 정보들을 외에 유지된 정보들을 의미할 수 있다.
폐쇄 네트워크(100)에 연결되는 단말 장치(110)에 대한 외부 통신망에서의 접근은 제한적일 수 있다. 따라서, 앞서 살핀 바와 같이 수집된 정보에 대해 우선 순위를 설정하여 선별하는 과정이 요구될 수 있다. 단말 장치(110)가 아군 측의 네트워크(200)와 통신이 가능해지는 경우 선별된 정보들을 지휘통제 서버(210)에 전송함에 따라, 폐쇄 네트워크(100)에 대한 외부 통신망에서의 접근이 제한적인 환경에서 보다 적절한 감시 및 정찰이 수행될 수 있다.
도 3은 일부 실시예에 따른 훈련 데이터 및 시험 데이터를 설명하기 위한 표를 나타내는 도면이다.
도 3을 참조하면, 본 개시에 따른 일괄 학습 방식 및 점진적 학습 방식을 비교하기 위한 실험에 사용되는 데이터로 KDD99 data set이 도시되어 있다. KDD99 data set은 데이터마이닝 대회 KDD CUP의 99년도 대회에서 사용된 데이터를 의미할 수 있다.
KDD99 data set은 침입 탐지 관련 실험 데이터로 자주 사용되는 것으로서 훈련 데이터(train data) 및 시험 데이터(test data)를 포함할 수 있다. 또한, 훈련 데이터 및 시험 데이터 각각의 인스턴스 개수(instance num)와 메모리 용량(size)이 제시되어 있다.
일괄 학습 방식 및 점진적 학습 방식을 비교하기 위한 실험 및 그 결과에 관한 구체적인 내용은 도 4 내지 도 9를 참조하여 설명될 수 있다.
도 4는 일부 실시예에 따른 일괄 학습(batch learning) 방식을 설명하기 위한 도면이다.
도 4를 참조하면, 일괄 학습 방식에 의하는 경우 훈련 데이터 및 시험 데이터가 모두 학습 대상이 되고, 그에 대한 학습을 통해 패턴이 생성될 수 있다. 또한, 생성된 패턴에 대해 훈련 데이터 및 시험 데이터 외의 신규 데이터(new data)가 있는 경우 신규 데이터 외에 기존에 학습된 훈련 데이터 및 시험 데이터도 다시 학습 대상이 될 수 있다.
따라서, 일괄 학습 방식에 의하는 경우, 새로운 학습 대상이 생길 때마다 기존에 학습한 대상과 새로운 학습 대상이 일괄적으로 학습되는 방식으로 학습 대상이 누적될 수 있다. 학습에 의해 생성되는 패턴은 누적되는 학습 대상에 의해 매번 업데이트될 수 있다.
본 개시에 따른 방법에 관하여 살펴보면, 도 2의 단계 s230에서 학습 모델을 업데이트 하는 경우, 추가로 수집된 제2 정보 외에도 단계 s220에서 이미 학습된 제1 정보에 대해서도 제2 정보와 함께 학습 모델에 학습시킴으로써 학습 모델을 업데이트하는 경우가 일괄 학습 방식에 해당할 수 있다.
일괄 학습 방식은 보다 안정적인 학습을 보장할 수 있다. 예를 들면, 추가로 수집된 정보가 매우 예외적인 정보인 경우, 추가로 수집된 정보만을 학습하는 경우에 비해 기존에 학습된 정보를 함께 학습하는 경우가 보다 실제에 가까운 패턴을 생성할 수 있다.
도 5는 일부 실시예에 따른 점진적 학습(incremental learning) 방식을 설명하기 위한 도면이다.
도 5를 참조하면, 점진적 학습에 의하는 경우 훈련 데이터에 대한 학습을 통해 패턴이 생성될 수 있다. 훈련 데이터에 의해 생성된 패턴은 시험 데이터만을 대상으로 하는 점진적 학습에 의해 업데이트될 수 있다. 또한, 신규 데이터가 있는 경우에도 기존에 학습된 훈련 데이터 및 시험 데이터 없이 신규 데이터만이 점진적 학습의 대상이 되고, 신규 데이터만에 대한 점진적 학습에 의해 패턴이 업데이트될 수 있다.
점진적 학습 방식은 일괄 학습 방식의 경우와는 달리, 일부 데이터에 대한 학습을 통해 패턴을 생성하고, 학습된 일부 데이터를 제외한 나머지 데이터에 대한 학습을 통해 생성된 패턴을 업데이트하는 방식으로 수행될 수 있다.
점진적 학습 방식을 통해 보다 효율적인 학습이 수행될 수 있다. 기존에 학습이 종료된 데이터가 패턴을 업데이트 하는 과정에서 사용되지 않을 수 있으므로 학습에 소요되는 시간 및 학습 과정에서의 메모리 사용량이 감소할 수 있다.
도 6은 일부 실시예에 따른 일괄 학습 방식 및 점진적 학습 방식의 학습 결과를 설명하기 위한 표를 나타내는 도면이다.
도 6을 참조하면, 사용 가능한 메모리가 1024 MB로 제한된 경우에 훈련 데이터 및 시험 데이터에 대한 학습 결과가 일괄 학습 방식 및 점진적 학습 방식에 관하여 제시되어 있다.
메모리 사용량은 약 1%의 차이만을 보여 양 방식에서 큰 차이가 발생하지 않았으나, 일괄 학습 방식은 147.941초가 소요된 반면 점진적 학습 방식은 80.655초가 소요된 점에 비추어, 소요 시간은 양 방식에서 다소 차이가 발생한다는 점이 제시되어 있다.
따라서, 사용 가능한 메모리가 1024 MB로서 비교적 여유 있는 경우일지라도, 일괄 학습 방식에 비해 점진적 학습 방식이 보다 적은 소요 시간을 가진다는 점이 확인될 수 있다.
도 7은 일부 실시예에 따른 메모리 사용량 제한이 변경됨에 따라 변경되는 일괄 학습 방식 및 점진적 학습 방식의 학습 결과를 설명하기 위한 표를 나타내는 도면이다.
도 7을 참조하면, 메모리 사용량 제한이 각각 900 MB, 800 MB, 700 MB, 650 MB, 600 MB 및 560 MB인 경우에 점진적 학습 방식에 따른 학습의 소요 시간 및 메모리 사용량이 도시되어 있다. 다만, 일괄 학습 방식의 경우 힙(heap) 공간 부족 등의 메모리 용량 부족으로 학습이 수행될 수 없었음이 도시되어 있다.
점진적 학습 방식의 경우 훈련 데이터 및 시험 데이터를 함께 학습하는 일괄 학습 방식과 달리, 훈련 데이터에 대한 학습 이후 시험 데이터에 대한 학습이 수행되므로 메모리 사용량이 900 MB 이하로 제한되는 경우에도 학습이 수행될 수 있다. 따라서, 점진적 학습 방식에 따른 학습은 본 개시에 따른 방법 등에서와 같은 메모리 사용량이 제한적인 환경에 보다 적합할 수 있다.
본 개시에 따른 폐쇄 네트워크(100)에 대한 감시 및 정찰을 수행하는 방법은 침입 탐지 수단에 의해 적발되지 않기 위해 짧은 시간 내에 학습이 수행되고, 학습 과정에서의 메모리 사용량이 적을 것을 요구할 수 있다. 점진적 학습 방식은 학습에 소요되는 시간이 작고, 메모리 사용량이 제한되는 환경에서도 적용될 수 있다는 점에서, 본 개시에 따른 방법을 구현하기에 적합할 수 있다.
도 8은 일부 실시예에 따른 메모리 사용량 제한이 변경됨에 따라 변경되는 일괄 학습 방식 및 점진적 학습 방식의 학습 결과를 설명하기 위한 그래프를 나타내는 도면이다.
도 8을 참조하면, 도 7에 도시된 표에서의 메모리 사용량 제한에 따른 학습 소요 시간이 그래프 상에 도시되어 있다. 점진적 학습 방식(810)의 경우 메모리 사용량이 제한될수록 학습에 소요되는 시간이 점차 증가할 수 있음이 도시되어 있다. 다만, 일괄 학습 방식(820)의 경우 메모리 사용량이 900 MB 이하로 제한되는 경우 학습이 수행되지 못할 수 있음이 그래프 상에 소요 시간이 0인 것으로 도시되어 있다.
도 9는 일부 실시예에 따른 훈련 데이터 및 시험 데이터에 대한 학습 결과에 대한 평가를 설명하기 위한 표를 나타내는 도면이다.
도 9를 참조하면, 일괄 학습 방식 및 점진적 학습 방식에 대하여 통계학적으로 도출된 지표들로서 TP(true positive) 비율, FP(false positive) 비율, 정밀도(precision) 및 트리크기가 도시되어 있다.
일괄 학습 방식 및 점진적 학습 방식에서 모두 99.2%에 달하는 정밀도를 보일 수 있음이 도시되어 있다. 다만, 결정 트리(decision tree) 기반의 분류 방식에서, 점진적 학습 방식에서의 트리의 크기가 일괄 학습 방식에서보다 작다는 점이 도시되어 있다.
동일한 훈련 데이터 및 시험 데이터에 대하여, 점진적 학습 방식에서 더 작은 크기의 트리로 데이터들을 분류했다는 것은 점진적 학습 방식에서 일괄 학습 방식에 비해 더 정제되고, 정확한 분류가 수행되었음을 의미할 수 있다.
도 10은 일부 실시예에 따른 적군 측의 폐쇄 네트워크에 대한 감시 및 정찰을 수행하는 장치를 나타내는 블록도이다.
도 10을 참조하면, 적군 측의 폐쇄 네트워크에 대한 감시 및 정찰을 수행하는 장치(1000)는 프로세서(1010) 및 메모리(1020)를 포함할 수 있다. 다만 이에 한정되는 것은 아니고, 도 10에 도시된 구성요소들 외에 다른 범용적인 구성요소들이 장치(1000)에 더 포함될 수 있다.
장치(1000)는 적군 측의 폐쇄 네트워크(100)에 연결되는 단말 장치(110)일 수 있다. 따라서, 이하에서 생략된 내용이라 하더라도 도 1 및 도 2의 단말 장치(110)에 관하여 이상에서 기술된 내용은 도 10의 장치(1000)에도 적용될 수 있다.
메모리(1020)는 적어도 하나의 프로그램을 저장할 수 있다. 프로세서(1010)는 메모리(1020)에 저장된 적어도 하나의 프로그램을 실행함으로써 적군 측의 폐쇄 네트워크에 대한 감시 및 정찰을 수행하는 방법을 구현할 수 있다.
프로세서(1010)는 다수의 논리 게이트들의 어레이로 구현될 수 있고, 범용적인 마이크로 프로세서와 마이크로 프로세서에서 실행될 수 있는 프로그램이 저장된 메모리의 조합으로 구현될 수도 있다. 또한, 프로세서(1010)는 복수 개의 프로세싱 엘리먼트들(processing elements)로 구성될 수도 있다.
예를 들면, 프로세서(1010)는 본 개시에 따른 방법을 구성하는 단계들 각각을 수행하는 프로세싱 엘리먼트를 다수 포함하는 방식으로 구현될 수 있다. 구체적으로, 프로세서(1010)는 정보를 수집하는 프로세싱 엘리먼트, 기계 학습을 수행하는 프로세싱 엘리먼트 및 정보를 분류하는 프로세싱 엘리먼트를 포함할 수 있다.
장치(1000)는 프로세서(1010) 및 메모리(1020)를 통해 적군 측의 폐쇄 네트워크에 대한 감시 및 정찰을 수행하는 방법을 구성하는 단계들을 수행할 수 있다.
장치(1000)는 네트워크에 연결되는 단말 장치에 관한 제1 정보를 수집할 수 있다.
장치(1000)는 제1 정보에 대한 기계 학습에 의하여, 입력되는 정보의 속성을 분류하고, 중요도를 평가하는 학습 모델을 생성할 수 있다.
장치(1000)는 단말 장치에 관하여 추가로 수집되는 제2 정보에 대한 기계 학습에 의하여, 제2 정보를 학습 모델에 학습시킴으로써 학습 모델을 업데이트할 수 있다.
장치(1000)는 업데이트된 학습 모델에 의하여, 제1 정보 및 제2 정보를 속성 및 중요도 중 적어도 하나에 기초하여 선별할 수 있다.
한편, 적군 측의 폐쇄 네트워크에 대한 감시 및 정찰을 수행하는 방법은 그 방법을 실행하는 명령어들을 포함하는 하나 이상의 프로그램이 기록된 컴퓨터로 읽을 수 있는 기록 매체에 기록될 수 있다.
기록 매체에 기록되는 적군 측의 폐쇄 네트워크에 대한 감시 및 정찰을 수행하는 방법은 네트워크에 연결되는 단말 장치에 관한 제1 정보를 수집하는 단계, 제1 정보에 대한 기계 학습(machine learning)에 의하여, 입력되는 정보의 속성을 분류하고, 중요도를 평가하는 학습 모델을 생성하는 단계, 단말 장치에 관하여 추가로 수집되는 제2 정보에 대한 기계 학습에 의하여, 제2 정보를 학습 모델에 학습시킴으로써 학습 모델을 업데이트하는 단계, 및 업데이트된 학습 모델에 의하여, 제1 정보 및 제2 정보를 속성 및 중요도 중 적어도 하나에 기초하여 선별하는 단계를 포함할 수 있다.
컴퓨터로 읽을 수 있는 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함될 수 있다. 프로그램 명령어의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드가 포함될 수 있다.
이상에서 실시예들에 대하여 상세하게 설명하였지만 본 발명의 권리범위는 이에 한정되는 것은 아니고 다음의 청구범위에서 정의하고 있는 본 발명의 기본 개념을 이용한 당업자의 여러 변형 및 개량 형태 또한 본 발명의 권리범위에 속한다.
1: 적군 측의 폐쇄 네트워크에 대한 감시 및 정찰을 수행하는 시스템
100: 적군 측의 폐쇄 네트워크
110: 단말 장치
200: 아군 측의 네트워크
210: 지휘통제 서버

Claims (11)

  1. 컴퓨터 시스템에 의해 수행되는 적군 측의 폐쇄 네트워크에 대한 감시 및 정찰을 수행하는 방법에 있어서,
    상기 네트워크에 연결되는 단말 장치에 관한 제1 정보를 수집하는 단계;
    상기 제1 정보에 대한 기계 학습(machine learning)에 의하여, 입력되는 정보의 속성을 분류하는 학습 모델을 생성하는 단계;
    상기 단말 장치에 관하여 추가로 수집되는 제2 정보에 대한 기계 학습에 의하여, 상기 제2 정보를 상기 학습 모델에 학습시킴으로써 상기 학습 모델을 업데이트하는 단계; 및
    상기 업데이트된 학습 모델에 의하여, 상기 제1 정보 및 상기 제2 정보를 상기 속성에 기초하여 선별하는 단계를 포함하고,
    상기 제1 정보에 대한 기계 학습 및 상기 제2 정보에 대한 기계 학습은 메모리 사용량 및 소요 시간 중 적어도 하나를 포함하는 자원이 제한된 조건에서 수행되는, 방법.
  2. 삭제
  3. 제 1항에 있어서,
    상기 학습 모델을 업데이트하는 단계는,
    일괄 학습(batch learning) 방식에 따라 상기 제1 정보 및 상기 제2 정보를 상기 학습 모델에 학습시키는 단계를 포함하는, 방법.
  4. 제 1항에 있어서,
    상기 학습 모델을 업데이트하는 단계는,
    점진적 학습(incremental learning) 방식에 따라 상기 제2 정보를 상기 학습 모델에 학습시키는 단계를 포함하는, 방법.
  5. 제 4항에 있어서,
    상기 점진적 학습 방식에 따른 상기 제2 정보에 대한 기계 학습은 메모리 사용량이 1024 MB 미만으로 제한되는 조건에서 수행되는, 방법.
  6. 제 1항에 있어서,
    상기 학습 모델은 결정 트리(decision tree) 구조에 기초하여 상기 입력되는 정보의 속성을 분류하는, 방법.
  7. 제 1항에 있어서,
    상기 학습 모델은 상기 입력되는 정보의 속성을 시스템 데이터, 프로세스 데이터 및 로그 데이터 중 어느 하나로 분류하는, 방법.
  8. 삭제
  9. 제 1항에 있어서,
    아군 측의 네트워크와 통신이 가능해지는 경우 상기 선별하는 단계의 결과를 상기 아군 측의 네트워크 상의 지휘통제 서버에 전송하는 단계를 더 포함하는, 방법.
  10. 적군 측의 폐쇄 네트워크에 대한 감시 및 정찰을 수행하는 방법이 컴퓨터 시스템에 의해 실행되기 위한 컴퓨터 프로그램이 기록된 컴퓨터로 판독 가능한 기록 매체에 있어서,
    상기 방법은,
    상기 네트워크에 연결되는 단말 장치에 관한 제1 정보를 수집하는 단계;
    상기 제1 정보에 대한 기계 학습에 의하여, 입력되는 정보의 속성을 분류하는 학습 모델을 생성하는 단계;
    상기 단말 장치에 관하여 추가로 수집되는 제2 정보에 대한 기계 학습에 의하여, 상기 제2 정보를 상기 학습 모델에 학습시킴으로써 상기 학습 모델을 업데이트하는 단계; 및
    상기 업데이트된 학습 모델에 의하여, 상기 제1 정보 및 상기 제2 정보를 상기 속성에 기초하여 선별하는 단계를 포함하고,
    상기 제1 정보에 대한 기계 학습 및 상기 제2 정보에 대한 기계 학습은 메모리 사용량 및 소요 시간 중 적어도 하나를 포함하는 자원이 제한된 조건에서 수행되는, 기록 매체.
  11. 적군 측의 폐쇄 네트워크에 대한 감시 및 정찰을 수행하는 장치에 있어서,
    적어도 하나의 프로그램이 저장된 메모리; 및
    상기 적어도 하나의 프로그램을 실행함으로써 상기 감시 및 정찰을 수행하는 프로세서를 포함하고,
    상기 프로세서는,
    상기 네트워크에 연결되는 단말 장치에 관한 제1 정보를 수집하고,
    상기 제1 정보에 대한 기계 학습에 의하여, 입력되는 정보의 속성을 분류하는 학습 모델을 생성하고,
    상기 단말 장치에 관하여 추가로 수집되는 제2 정보에 대한 기계 학습에 의하여, 상기 제2 정보를 상기 학습 모델에 학습시킴으로써 상기 학습 모델을 업데이트하고,
    상기 업데이트된 학습 모델에 의하여, 상기 제1 정보 및 상기 제2 정보를 상기 속성에 기초하여 선별하되,
    상기 제1 정보에 대한 기계 학습 및 상기 제2 정보에 대한 기계 학습은 메모리 사용량 및 소요 시간 중 적어도 하나를 포함하는 자원이 제한된 조건에서 수행되는, 장치.
KR1020180117882A 2018-10-02 2018-10-02 폐쇄 네트워크에 대한 감시 및 정찰을 수행하는 방법 및 장치 KR102254142B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020180117882A KR102254142B1 (ko) 2018-10-02 2018-10-02 폐쇄 네트워크에 대한 감시 및 정찰을 수행하는 방법 및 장치

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020180117882A KR102254142B1 (ko) 2018-10-02 2018-10-02 폐쇄 네트워크에 대한 감시 및 정찰을 수행하는 방법 및 장치

Publications (2)

Publication Number Publication Date
KR20200038151A KR20200038151A (ko) 2020-04-10
KR102254142B1 true KR102254142B1 (ko) 2021-05-20

Family

ID=70291880

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020180117882A KR102254142B1 (ko) 2018-10-02 2018-10-02 폐쇄 네트워크에 대한 감시 및 정찰을 수행하는 방법 및 장치

Country Status (1)

Country Link
KR (1) KR102254142B1 (ko)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101209509B1 (ko) * 2012-04-16 2012-12-07 삼성탈레스 주식회사 C4isr 체계, 특수정보체계 및 군사정보체계에서의 정보 보호를 위한 유전 알고리즘 기반의 침입 탐지 엔진 및 그 방법
JP5972401B2 (ja) * 2013-01-21 2016-08-17 三菱電機株式会社 攻撃分析システム及び連携装置及び攻撃分析連携方法及びプログラム
KR101814368B1 (ko) * 2017-07-27 2018-01-04 김재춘 빅데이터 및 인공지능을 이용한 정보 보안 네트워크 통합 관리 시스템 및 그 방법

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20170122548A (ko) * 2016-04-27 2017-11-06 한국전자통신연구원 비정상 프로세스의 연관 데이터 분석을 이용한 apt 공격 인지 방법 및 장치

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101209509B1 (ko) * 2012-04-16 2012-12-07 삼성탈레스 주식회사 C4isr 체계, 특수정보체계 및 군사정보체계에서의 정보 보호를 위한 유전 알고리즘 기반의 침입 탐지 엔진 및 그 방법
JP5972401B2 (ja) * 2013-01-21 2016-08-17 三菱電機株式会社 攻撃分析システム及び連携装置及び攻撃分析連携方法及びプログラム
KR101814368B1 (ko) * 2017-07-27 2018-01-04 김재춘 빅데이터 및 인공지능을 이용한 정보 보안 네트워크 통합 관리 시스템 및 그 방법

Also Published As

Publication number Publication date
KR20200038151A (ko) 2020-04-10

Similar Documents

Publication Publication Date Title
Choudhury et al. Comparative analysis of machine learning algorithms along with classifiers for network intrusion detection
Pirscoveanu et al. Analysis of malware behavior: Type classification using machine learning
CN109522716B (zh) 一种基于时序神经网络的网络入侵检测方法及装置
US10282542B2 (en) Information processing apparatus, information processing method, and computer readable medium
US9230102B2 (en) Apparatus and method for detecting traffic flooding attack and conducting in-depth analysis using data mining
Aung et al. An analysis of random forest algorithm based network intrusion detection system
CN104205111A (zh) 用以检测恶意软件的计算装置
CN111600919A (zh) 基于人工智能的web检测方法和装置
CN112800116A (zh) 一种业务数据的异常检测方法及装置
EP4002174A1 (en) Utilizing orchestration and augmented vulnerability triage for software security testing
CN110933104A (zh) 恶意命令检测方法、装置、设备及介质
Morales-Ortega et al. Native malware detection in smartphones with android OS using static analysis, feature selection and ensemble classifiers
CN115065545B (zh) 基于大数据威胁感知的安全防护构建方法及ai防护系统
CN116980162A (zh) 云审计的数据检测方法、装置、设备、介质及程序产品
Vaccari et al. eXplainable and reliable against adversarial machine learning in data analytics
Fenzl et al. In-vehicle detection of targeted CAN bus attacks
KR102254142B1 (ko) 폐쇄 네트워크에 대한 감시 및 정찰을 수행하는 방법 및 장치
Zoppi et al. On algorithms selection for unsupervised anomaly detection
Sartea et al. Secur-ama: active malware analysis based on monte carlo tree search for android systems
AbuOdeh et al. A novel AI-based methodology for identifying cyber attacks in honey pots
CN114201199B (zh) 基于信息安全大数据的防护升级方法及信息安全系统
Nasri et al. Android malware detection system using machine learning
Flores et al. Network anomaly detection by continuous hidden markov models: An evolutionary programming approach
CN113032774B (zh) 异常检测模型的训练方法、装置、设备及计算机存储介质
CN112653683A (zh) 基于大数据和云计算的数据流式处理方法及云服务器

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant