KR102285838B1 - 비감독형 딥러닝 기반의 침입탐지 장치 및 방법 - Google Patents

비감독형 딥러닝 기반의 침입탐지 장치 및 방법 Download PDF

Info

Publication number
KR102285838B1
KR102285838B1 KR1020180156976A KR20180156976A KR102285838B1 KR 102285838 B1 KR102285838 B1 KR 102285838B1 KR 1020180156976 A KR1020180156976 A KR 1020180156976A KR 20180156976 A KR20180156976 A KR 20180156976A KR 102285838 B1 KR102285838 B1 KR 102285838B1
Authority
KR
South Korea
Prior art keywords
data
learning
normal
intrusion
abnormal
Prior art date
Application number
KR1020180156976A
Other languages
English (en)
Other versions
KR20200075912A (ko
Inventor
김준태
이대범
Original Assignee
동국대학교 산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 동국대학교 산학협력단 filed Critical 동국대학교 산학협력단
Priority to KR1020180156976A priority Critical patent/KR102285838B1/ko
Publication of KR20200075912A publication Critical patent/KR20200075912A/ko
Application granted granted Critical
Publication of KR102285838B1 publication Critical patent/KR102285838B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • G06N20/10Machine learning using kernel methods, e.g. support vector machines [SVM]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Evolutionary Computation (AREA)
  • Data Mining & Analysis (AREA)
  • Artificial Intelligence (AREA)
  • Computing Systems (AREA)
  • Mathematical Physics (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Biomedical Technology (AREA)
  • Biophysics (AREA)
  • Computational Linguistics (AREA)
  • Computer Hardware Design (AREA)
  • Molecular Biology (AREA)
  • Medical Informatics (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Alarm Systems (AREA)
  • Image Analysis (AREA)

Abstract

본 발명은 비감독형 딥러닝 기반의 침입탐지 장치에 관한 것으로, 정상 데이터와 비정상 데이터의 불균형을 조절하는 전처리를 수행하는 데이터 전처리부; 상기 전처리된 정상 데이터와 비정상 데이터를 바탕으로 특징을 추출해 학습데이터를 생성하는 학습데이터 생성부; 및 상기 생성된 학습데이터를 바탕으로 학습되어 침입을 탐지하는 탐지부;를 포함한다.

Description

비감독형 딥러닝 기반의 침입탐지 장치 및 방법{Unsupervised deep learning based intrusion detection device and method}
본 발명은 비감독형 딥러닝 기반의 침입탐지 장치 및 방법에 관한 것이다.
최근 사물인터넷과 다양한 웨어러블 기기들이 등장하면서 인터넷 기술은 보다 편리하게 정보를 얻고 업무를 수행하는데 기여하고 있다.
하지만 인터넷 기술이 다양한 부분에 이용되면서 공격에 노출되는 지점(Attack Surface)이 늘어나고 있으며, 개인정보 획득, 위조, 사이버 테러 등 부당한 이익을 취하기 위한 목적의 네트워크 침입 시도역시 증가하고 있고, 시간이 지남에 따라 공격수 법이 지능화되는 추세를 보이고 있어 이에 대응하기 위한 다양한 방법을 모색하고 있다.
이런 침입을 대응하기 위한 방법에는 방화벽과 침입탐지 장치 등이 있으며, 방화벽은 침입으로 의심되는 패킷을 차단하는 역할을 하지만 모든 침입을 차단할 수 없기 때문에 침입탐지 장치에 대한 관심이 더욱 커지고 있다.
침입탐지 장치는 네트워크에서 발생하는 이벤트를 모니터링하고 침입 흔적을 분석하고 침입을 관리자에게 알리고 적정한 대응을 하는 역할을 수행하는 것으로, 최근에는 침입탐지 장치에 머신러닝 기술을 적용해 장치가 스스로 학습하고 정상 상태와 다른 정황을 탐지하는 방향으로 고도화되고 있는데 이런 종래기술은 아래와 같은 것이 있다.
[1] 조성래, 성행남, 안병혁. "SVM과 인공 신경망을 이용한 침입탐지 효과 비교 연구" Journal of the Korea Academia-Industrial cooperation Society. 2016.
그러나 종래기술의 경우 데이터 전처리하는 과정에서 정상 데이터와 비정상 데이터를 그대로 전처리하여 트래픽 데이터가 들어 왔을 때 정상 데이터가 비정상 데이터보다 월등히 많아서 새로운 트래픽 데이터는 모두 정상 데이터로 분류되는 문제점이 있다.
본 발명이 해결하고자 하는 기술적 과제는, 정상 데이터와 비정상 데이터의 비율을 효율적으로 조절할 수 있는 비감독형 딥러닝 기반의 침입탐지 장치를 제공하는 데 있다.
본 발명이 해결하고자 하는 다른 기술적 과제는, 정상 데이터와 비정상 데이터를 효율적으로 분류할 수 있는 비감독형 딥러닝 기반의 침입탐지 장치를 제공하는데 있다.
상기와 같은 기술적 과제를 해결하기 위해, 본 발명의 바람직한 일 측면에 따르면, 정상 데이터와 비정상 데이터의 불균형을 조절하는 전처리를 수행하는 데이터 전처리부; 상기 전처리된 정상 데이터와 비정상 데이터를 바탕으로 특징을 추출해 학습데이터를 생성하는 학습데이터 생성부; 및 상기 생성된 학습데이터를 바탕으로 학습되어 침입을 탐지하는 탐지부;를 포함하는 비감독형 딥러닝 기반의 침입탐지 장치를 제공한다.
여기서, 상기 전처리부는 오버샘플링, 언더샘플링, SMOTE 및 가중치 조절 중 적어도 어느 하나를 통해 상기 정상 데이터와 비정상 데이터의 불균형을 조절할 수 있다.
여기서, 상기 학습데이터 생성부는 최근접 이웃 분류(k-NN, k-Nearest Neighbor), 서포트 벡터 머신(SVM, support vector machine) 및 디시전 트리(Decision Tree) 중 적어도 어느 하나를 통해 상기 특징을 추출해 상기 학습데이터를 생성할 수 있다.
여기서, 상기 탐지부는 최근접 이웃 분류(k-NN, k-Nearest Neighbor), 서포트 벡터 머신(SVM, support vector machine) 및 디시전 트리(Decision Tree) 중 적어도 어느 하나로 상기 학습될 수 있다.
본 발명의 바람직한 다른 측면에 따르면, 비감독형 딥러닝 기반의 침입탐지 장치가 침입탐지하는 방법에 있어서, 정상 데이터와 비정상 데이터의 불균형을 조절하는 전처리를 수행하는 단계; 상기 전처리된 정상 데이터와 비정상 데이터를 바탕으로 특징을 추출해 학습데이터를 생성하는 단계; 및 상기 생성된 학습데이터를 바탕으로 학습되어 침입을 탐지하는 단계;를 포함하는 비감독형 딥러닝 기반의 침입탐지 방법을 제공한다.
여기서, 상기 전처리부는 오버샘플링, 언더샘플링, SMOTE 및 가중치 조절 중 적어도 어느 하나를 통해 상기 정상 데이터와 비정상 데이터의 불균형을 조절할 수 있다.
여기서, 상기 학습데이터 생성부는 최근접 이웃 분류(k-NN, k-Nearest Neighbor), 서포트 벡터 머신(SVM, support vector machine) 및 디시전 트리(Decision Tree) 중 적어도 어느 하나를 통해 상기 특징을 추출해 상기 학습데이터를 생성할 수 있다.
여기서, 상기 탐지부는 최근접 이웃 분류(k-NN, k-Nearest Neighbor), 서포트 벡터 머신(SVM, support vector machine) 및 디시전 트리(Decision Tree) 중 적어도 어느 하나로 상기 학습될 수 있다.
본 발명의 바람직한 또 다른 측면에 따르면, 비감독형 딥러닝 기반의 침입탐지 방법을 실행하기 위하여 컴퓨터가 판독 가능한 기록매체에 저장된 컴퓨터 프로그램을 제공한다.
본 발명은 데이터 전처리과정에서 불균형을 조절하여 정상 데이터와 비정상 데이터의 비율을 효율적으로 조절할 수 있는 효과가 있다.
또한, 본 발명은 정상 데이터와 비정상 데이터를 효율적으로 분류할 수 있는 효과가 있다.
도 1은 본 발명의 일 실시예에 따른 비감독형 딥러닝 기반의 침입탐지 장치의 구성도이다.
도 2는 본 발명의 일 실시예에 따른 비감독형 딥러닝 기반의 침입탐지 장치의 전처리부를 통해 전처리한 정상 데이터와 비정상 데이터를 설명하기 위한 표이다.
도 3 내지 도 7은 본 발명의 일 실시예에 따른 비감독형 딥러닝 기반의 침입탐지 장치의 탐지부를 통해 침입을 탐지해 분류한 결과표이다.
도 8은 본 발명의 다른 실시예에 따른 비감독형 딥러닝 기반의 침입탐지 방법의 순서도이다.
본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시 예를 가질 수 있는바, 특정 실시 예들을 도면에 예시하고 상세한 설명에 상세하게 설명하고자 한다. 그러나 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.
제1, 제2 등과 같이 서수를 포함하는 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 해당 구성요소들은 이와 같은 용어들에 의해 한정되지는 않는다. 이 용어들은 하나의 구성요소들을 다른 구성요소로부터 구별하는 목적으로만 사용된다.
어떤 구성요소가 다른 구성요소에 '연결되어' 있다거나, 또는 '접속되어' 있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 '직접 연결되어' 있다거나, '직접 접속되어' 있다고 언급된 때에는, 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다.
본 출원에서 사용한 용어는 단지 특정한 실시 예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, '포함한다' 또는 '가지다' 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
도 1은 본 발명의 일 실시예에 따른 비감독형 딥러닝 기반의 침입탐지 장치의 구성도이다.
도 1을 참조하면, 비감독형 딥러닝 기반의 침입탐지 장치(100)는 입력부(110), 데이터 전처리부(120), 전처리 DB(130), 학습데이터 생성부(140), 학습데이터 DB(150) 및 탐지부(160)를 포함한다.
입력부(110)는 네트워크를 통해 트래픽 데이터를 입력 받는다.
전처리부(120)는 입력부(110)를 통해 입력된 트래픽 데이터를 오버샘플링(over sampling), 언더샘플링(under sampling), SMOTE(Synthetic Minority Over sampling) 및 가중치 조절 중 적어도 어느 하나를 통해 트래픽 데이터에서 정상 데이터와 비정상 데이터의 불균형을 조절한다.
일반적으로 트래픽 데이터에서 정상 데이터가 비정상 데이터 보다 월등히 많기 때문에 오버샘플링(over sampling), 언더샘플링(under sampling), SMOTE(Synthetic Minority Over sampling) 및 가중치 조절 중 적어도 어느 하나를 통해 그 차이를 좁힐 수 있다.
전처리 DB(130)는 입력부(110)를 통해 입력된 트래픽 데이터와 데이터 전처리부(120)에서 전처리한 정상 데이터와 비정상 데이터를 구분해 저장한다.
학습데이터 생성부(140)는 전처리부(120)가 전처리한 정상 데이터와 비정상 데이터 또는 전처리 DB(130)에 저장된 전처리된 정상 데이터와 비정상 데이터를 바탕으로 최근접 이웃 분류(k-NN, k-Nearest Neighbor), 서포트 벡터 머신(SVM, support vector machine) 및 디시전 트리(Decision Tree) 중 적어도 어느 하나를 통해 특징을 추출해 학습데이터를 생성한다. 여기서, SVM은 Wrapper방식의 SVM와 GeneticSearch로 특징을 추출하며. k-NN은 Wrapper방식의 k-NN과 GeneticSearch로 특징을 추출하고, Decision Tree는 Wrapper방식의 Decision Tree와 GeneticSearch, ANTSearch 및 PSOSearch로 특징을 추출한다.
학습데이터 DB(150)는 학습데이터 생성부(130)를 통해 생성된 학습데이터를 저장한다.
탐지부(160)는 학습데이터 DB(150)에 저장된 학습데이터를 바탕으로 학습되어 입력부(110)를 통해 입력된 네트워크 트래픽 데이터로부터 침입을 탐지한다. 여기서, 탐지부(160)는 최근접 이웃 분류(k-NN, k-Nearest Neighbor), 서포트 벡터 머신(SVM, support vector machine) 및 디시전 트리(Decision Tree) 중 적어도 어느 하나로 학습될 수 있다. 또한, 탐지부(160)는 트래픽 데이터의 특색에 따라 학습데이터를 선택할 수 있다.
도 2는 본 발명의 일 실시예에 따른 비감독형 딥러닝 기반의 침입탐지 장치의 전처리부를 통해 전처리한 정상 데이터와 비정상 데이터를 설명하기 위한 표이다.
도 2를 참조하면, 입력부(110)는 대용량 데이터인 UNSW-NB15 데이터 셋의 데이터를 입력 받는다. UNSW-NB15 데이터 셋은 45개의 특징과 1개의 정상 데이터와 9종류의 공격 데이터(Exploits, Reconnaissance, DoS, Generic, Shellcode, Fuzzers, Worms, Backdoor)로 이뤄진 비정상 데이터로 구성되며, 정상 데이터와 비정상 데이터의 표준편차는 217.93%로 불균형 비율이 높다.
전처리부(120)는 입력부(110)를 통해 입력된 UNSW-NB15 데이터 셋의 데이터를 인스턴스 수가 적은 비정상 데이터는 모두 사용하고 인스턴스 수가 큰 정상 데이터의 인스턴스 수를 1/2, 1/4, 1/8, 1/16 및 1/32로 줄이는 언더 샘플링을 통해 전처리하여 정상 데이터와 비정상 데이터의 불균형을 조절해 정상 데이터의 인스턴스 수를 1/32로 줄여 불균형 비율을 2.83%로 줄인다.
도 3 내지 도 7은 본 발명의 일 실시예에 따른 비감독형 딥러닝 기반의 침입탐지 장치의 탐지부를 통해 침입을 탐지해 분류한 결과표이다.
도 3은 입력부(110)는 UNSW-NB15 데이터 셋의 데이터를 입력 받은 후 전처리부(120)를 통해 정상 데이터의 인스턴스 수를 1/32로 줄이는 언더 샘플링을 통해 전처리하여 정상 데이터와 비정상 데이터의 불균형을 조절한 데이터를 학습데이터 생성부(140)가 Wrapper방식의 SVM과 GeneticSearch로 특징 33개 추출하여 학습데이터를 생성해 이를 바탕으로 탐지부(160)가 학습한 후, 입력부(110)를 통해 입력된 UNSW-NB15 데이터 셋의 데이터에서 침입을 탐지해 분류한 것이다.
도 4는 입력부(110)는 UNSW-NB15 데이터 셋의 데이터를 입력 받은 후 전처리부(120)를 통해 정상 데이터의 인스턴스 수를 1/32로 줄이는 언더 샘플링을 통해 전처리하여 정상 데이터와 비정상 데이터의 불균형을 조절한 데이터를 학습데이터 생성부(140)가 Wrapper방식의 k-NN과 GeneticSearch로 특징 15개 추출하여 학습데이터를 생성해 이를 바탕으로 탐지부(160)가 학습한 후, 입력부(110)를 통해 입력된 UNSW-NB15 데이터 셋의 데이터에서 침입을 탐지해 분류한 것이다.
도 5는 입력부(110)는 UNSW-NB15 데이터 셋의 데이터를 입력 받은 후 전처리부(120)를 통해 정상 데이터의 인스턴스 수를 1/32로 줄이는 언더 샘플링을 통해 전처리하여 정상 데이터와 비정상 데이터의 불균형을 조절한 데이터를 학습데이터 생성부(140)가 Wrapper방식의 Decision Tree와 GeneticSearch로 특징 20개 추출하여 학습데이터를 생성해 이를 바탕으로 탐지부(160)가 학습한 후, 입력부(110)를 통해 입력된 UNSW-NB15 데이터 셋의 데이터에서 침입을 탐지해 분류한 것이다.
도 6은 입력부(110)는 UNSW-NB15 데이터 셋의 데이터를 입력 받은 후 전처리부(120)를 통해 정상 데이터의 인스턴스 수를 1/32로 줄이는 언더 샘플링을 통해 전처리하여 정상 데이터와 비정상 데이터의 불균형을 조절한 데이터를 학습데이터 생성부(140)가 Wrapper방식의 Decision Tree와 ANTSearch로 특징 16개 추출하여 학습데이터를 생성해 이를 바탕으로 탐지부(160)가 학습한 후, 입력부(110)를 통해 입력된 UNSW-NB15 데이터 셋의 데이터에서 침입을 탐지해 분류한 것이다.
도 7은 입력부(110)는 UNSW-NB15 데이터 셋의 데이터를 입력 받은 후 전처리부(120)를 통해 정상 데이터의 인스턴스 수를 1/32로 줄이는 언더 샘플링을 통해 전처리하여 정상 데이터와 비정상 데이터의 불균형을 조절한 데이터를 학습데이터 생성부(140)가 Wrapper방식의 Decision Tree와 PSOSearch로 특징 15개 추출하여 학습데이터를 생성해 이를 바탕으로 탐지부(160)가 학습한 후, 입력부(110)를 통해 입력된 UNSW-NB15 데이터 셋의 데이터에서 침입을 탐지해 분류한 것이다.
도 3 내지 도 7을 참조하면, 학습데이터 생성부(140)가 Wrapper방식의 SVM과 GeneticSearch, k-NN과 GeneticSearch, Decision Tree와 GeneticSearch, Decision Tree와 ANTSearch 및 Decision Tree와 PSOSearch로 특징을 추출하여 학습데이터를 생성해 이를 바탕으로 탐지부(160)가 SVM, k-NN 및 Decision Tree로 학습하여 입력부(110)를 통해 입력된 UNSW-NB15 데이터 셋의 데이터에서 침입을 탐지해 분류한 결과 Decision Tree와 PSOSearch로 특징을 추출하여 Decision Tree로 학습한 탐지부(160)가 ROC Area 평균값이 0.981로 가장 높아 침입을 탐지해 분류하는 데 가장 효과적인 것을 확인 할 수 있다.
또한, 종래기술인 조성래, 성행남, 안병혁. "SVM과 인공 신경망을 이용한 침입탐지 효과 비교 연구" Journal of the Korea Academia-Industrial cooperation Society. 2016.의 정상 데이터와 비정상 데이터의 불균형을 조절하지 않고 이를 바탕으로 침입을 분류하는 것보다 전처리부(120)를 통해 정상 데이터와 비정상 데이터의 불균형을 조절하여 이를 바탕으로 특징을 추출해 학습데이터를 생성하여 이를 바탕으로 탐지부(160)를 학습시켜 침입을 분류하는 것이 SVM 방법으로 탐지부(160)를 학습시킨 것을 제외하고 모두 적은 특징만으로 더 높은 침입탐지 분류 정확도를 가지는 것을 확인 할 수 있다.
도 8은 본 발명의 다른 실시예에 따른 비감독형 딥러닝 기반의 침입탐지 방법의 순서도이다.
도 8을 참조하면, S810단계에서는 전처리부(120)가 입력부(110)를 통해 입력 받은 네트워크 트래픽 데이터에서 정상 데이터와 비정상 데이터의 불균형을 조절하는 전처리를 수행한다.
S820단계에서는 학습데이터 생성부(140)가 전처리부(120)를 통해 전처리된 정상 데이터와 비정상 데이터를 바탕으로 특징을 추출해 학습데이터를 생성한다.
S830단계에서는 탐지부(160)가 학습데이터 생성부(140)를 통해 생성된 학습데이터를 바탕으로 학습되어 침입을 탐지한다.
이상에서 본 발명에 따른 실시 예들이 설명되었으나, 이는 예시적인 것에 불과하며, 본 발명의 속하는 기술분야에서 통상의 지식을 가진 자라면 이로부터 다양한 변형 및 균등한 범위의 실시예가 가능하다는 점을 이해할 것이다. 따라서 본 발명의 진정한 기술적 보호범위는 다음의 청구범위에 의해서 정해져야할 것이다.
110 : 입력부 120 : 전처리부
130 : 전처리 DB 140 : 학습데이터 생성부
150 : 학습데이터 DB 160 : 탐지부

Claims (11)

  1. 트래픽 데이터의 상대적으로 인스턴스 수가 큰 정상 데이터와 상대적으로 인스턴스 수가 적은 비정상 데이터의 차이를 좁혀 불균형을 조절하는 전처리를 수행하는 데이터 전처리부;
    상기 트래픽 데이터와 상기 데이터 전처리부에서 전처리한 상기 정상 데이터와 상기 비정상 데이터를 구분하여 저장하는 전처리 DB;
    상기 전처리된 정상 데이터와 비정상 데이터를 바탕으로 특징을 추출해 학습데이터를 생성하는 학습데이터 생성부; 및
    상기 생성된 학습데이터를 바탕으로 학습되어 침입을 탐지하는 탐지부;를 포함하고,
    상기 전처리부는 상기 정상데이터를 1/32로 줄이는 언더샘플링을 수행하고,
    상기 학습데이터 생성부는 디시전 트리(Decision Tree) 및 PSOSearch로 특징을 추출하여 상기 학습데이터를 생성하고,
    상기 탐지부는 디시전 트리(Decision Tree)로 상기 학습된 것을 특징으로 하는 비감독형 딥러닝 기반의 침입탐지 장치.
  2. 삭제
  3. 삭제
  4. 삭제
  5. 트래픽 데이터의 상대적으로 인스턴스 수가 큰 정상 데이터와 상대적으로 인스턴스 수가 적은 비정상 데이터의 차이를 좁혀 불균형을 조절하는 전처리를 수행하는 단계;
    상기 트래픽 데이터와 상기 전처리를 수행하는 단계에서 전처리한 상기 정상 데이터와 상기 비정상 데이터를 구분하여 저장하는 단계;
    상기 전처리된 정상 데이터와 비정상 데이터를 바탕으로 특징을 추출해 학습데이터를 생성하는 단계; 및
    상기 생성된 학습데이터를 바탕으로 학습되어 침입을 탐지하는 단계;를 포함하고,
    상기 전처리를 수행하는 단계는 상기 정상데이터를 1/32로 줄이는 언더샘플링을 수행하고,
    상기 학습데이터를 생성하는 단계는 디시전 트리(Decision Tree) 및 PSOSearch로 특징을 추출하여 상기 학습데이터를 생성하고,
    상기 침입을 탐지하는 단계는 디시전 트리(Decision Tree)로 상기 학습하는 것을 특징으로 하는 비감독형 딥러닝 기반의 침입탐지 방법.
  6. 삭제
  7. 삭제
  8. 삭제
  9. 제5항의 비감독형 딥러닝 기반의 침입탐지 방법을 실행하기 위하여 컴퓨터가 판독 가능한 기록매체에 저장된 컴퓨터 프로그램.
  10. 삭제
  11. 삭제
KR1020180156976A 2018-12-07 2018-12-07 비감독형 딥러닝 기반의 침입탐지 장치 및 방법 KR102285838B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020180156976A KR102285838B1 (ko) 2018-12-07 2018-12-07 비감독형 딥러닝 기반의 침입탐지 장치 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020180156976A KR102285838B1 (ko) 2018-12-07 2018-12-07 비감독형 딥러닝 기반의 침입탐지 장치 및 방법

Publications (2)

Publication Number Publication Date
KR20200075912A KR20200075912A (ko) 2020-06-29
KR102285838B1 true KR102285838B1 (ko) 2021-08-05

Family

ID=71400953

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020180156976A KR102285838B1 (ko) 2018-12-07 2018-12-07 비감독형 딥러닝 기반의 침입탐지 장치 및 방법

Country Status (1)

Country Link
KR (1) KR102285838B1 (ko)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102381925B1 (ko) * 2020-07-31 2022-03-31 경희대학교 산학협력단 개인화된 감정 인식을 위한 강인한 화자 적응 모델링 방법 및 그 장치
KR102661402B1 (ko) 2021-12-03 2024-04-29 서울과학기술대학교 산학협력단 인공지능 기반 침입 탐지 시스템 및 방법

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20170048109A1 (en) * 2015-08-14 2017-02-16 Accenture Global Services Limited Core network analytics system

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20160095856A (ko) * 2015-02-04 2016-08-12 한국전자통신연구원 새로운 공격 유형의 자동 탐지 및 공격 유형 모델 갱신을 통한 지능형 침입 탐지 시스템 및 방법

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20170048109A1 (en) * 2015-08-14 2017-02-16 Accenture Global Services Limited Core network analytics system

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
Russell W. Walter, "Methods to Address Extreme Class Imbalance in Machine Learning Based Network Intrusion Detection Systems"(2016.03.)

Also Published As

Publication number Publication date
KR20200075912A (ko) 2020-06-29

Similar Documents

Publication Publication Date Title
Asad et al. Deepdetect: detection of distributed denial of service attacks using deep learning
Bartos et al. Optimized invariant representation of network traffic for detecting unseen malware variants
Rashid et al. Machine and deep learning based comparative analysis using hybrid approaches for intrusion detection system
Subba et al. Enhancing performance of anomaly based intrusion detection systems through dimensionality reduction using principal component analysis
KR100738537B1 (ko) 네트워크 침입 탐지 시스템 및 그 탐지 방법
Kirubavathi Venkatesh et al. HTTP botnet detection using adaptive learning rate multilayer feed-forward neural network
Aamir et al. Machine learning classification of port scanning and DDoS attacks: A comparative analysis
KR102285838B1 (ko) 비감독형 딥러닝 기반의 침입탐지 장치 및 방법
Ramamoorthi et al. Real time detection and classification of DDoS attacks using enhanced SVM with string kernels
Jiang et al. An approach to detect remote access trojan in the early stage of communication
Jabbar et al. Intelligent network intrusion detection using alternating decision trees
Kumar et al. Evaluation of ensemble machine learning methods in mobile threat detection
Rasymas et al. Detection of phishing URLs by using deep learning approach and multiple features combinations
Chavan et al. Ddos attack detection and botnet prevention using machine learning
Verma et al. DoS/DDoS attack detection using machine learning: A review
Turčaník et al. Intrusion detection by artificial neural networks
Safitri et al. Analyzing machine learning-based feature selection for botnet detection
Mitsuhashi et al. Detection of dga-based malware communications from doh traffic using machine learning analysis
Hossain et al. Efficient feature selection for detecting botnets based on network traffic and behavior analysis
Pastrana et al. Anomalous web payload detection: evaluating the resilience of 1-grams based classifiers
Chahar et al. Significance of hybrid feature selection technique for intrusion detection systems
Chen et al. An autonomic detection and protection system for denial of service attack
Kumar et al. A network-based framework for mobile threat detection
Datta et al. idam: A distributed mud framework for mitigation of volumetric attacks in iot networks
Khandare et al. A Survey on HTTP Flooding—A Distributed Denial of Service Attack

Legal Events

Date Code Title Description
AMND Amendment
E601 Decision to refuse application
AMND Amendment
E902 Notification of reason for refusal
AMND Amendment
X701 Decision to grant (after re-examination)
GRNT Written decision to grant