KR102285838B1 - 비감독형 딥러닝 기반의 침입탐지 장치 및 방법 - Google Patents
비감독형 딥러닝 기반의 침입탐지 장치 및 방법 Download PDFInfo
- Publication number
- KR102285838B1 KR102285838B1 KR1020180156976A KR20180156976A KR102285838B1 KR 102285838 B1 KR102285838 B1 KR 102285838B1 KR 1020180156976 A KR1020180156976 A KR 1020180156976A KR 20180156976 A KR20180156976 A KR 20180156976A KR 102285838 B1 KR102285838 B1 KR 102285838B1
- Authority
- KR
- South Korea
- Prior art keywords
- data
- learning
- normal
- intrusion
- abnormal
- Prior art date
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 48
- 238000013135 deep learning Methods 0.000 title claims abstract description 21
- 238000000034 method Methods 0.000 title description 18
- 230000002159 abnormal effect Effects 0.000 claims abstract description 38
- 238000007781 pre-processing Methods 0.000 claims abstract description 26
- 238000003066 decision tree Methods 0.000 claims description 23
- 238000004590 computer program Methods 0.000 claims description 2
- 238000012706 support-vector machine Methods 0.000 description 20
- 239000000284 extract Substances 0.000 description 13
- 230000000694 effects Effects 0.000 description 4
- 238000013528 artificial neural network Methods 0.000 description 2
- 230000000052 comparative effect Effects 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000004260 weight control Methods 0.000 description 2
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
- G06N20/10—Machine learning using kernel methods, e.g. support vector machines [SVM]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Evolutionary Computation (AREA)
- Data Mining & Analysis (AREA)
- Artificial Intelligence (AREA)
- Computing Systems (AREA)
- Mathematical Physics (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Life Sciences & Earth Sciences (AREA)
- Biomedical Technology (AREA)
- Biophysics (AREA)
- Computational Linguistics (AREA)
- Computer Hardware Design (AREA)
- Molecular Biology (AREA)
- Medical Informatics (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Alarm Systems (AREA)
- Image Analysis (AREA)
Abstract
본 발명은 비감독형 딥러닝 기반의 침입탐지 장치에 관한 것으로, 정상 데이터와 비정상 데이터의 불균형을 조절하는 전처리를 수행하는 데이터 전처리부; 상기 전처리된 정상 데이터와 비정상 데이터를 바탕으로 특징을 추출해 학습데이터를 생성하는 학습데이터 생성부; 및 상기 생성된 학습데이터를 바탕으로 학습되어 침입을 탐지하는 탐지부;를 포함한다.
Description
본 발명은 비감독형 딥러닝 기반의 침입탐지 장치 및 방법에 관한 것이다.
최근 사물인터넷과 다양한 웨어러블 기기들이 등장하면서 인터넷 기술은 보다 편리하게 정보를 얻고 업무를 수행하는데 기여하고 있다.
하지만 인터넷 기술이 다양한 부분에 이용되면서 공격에 노출되는 지점(Attack Surface)이 늘어나고 있으며, 개인정보 획득, 위조, 사이버 테러 등 부당한 이익을 취하기 위한 목적의 네트워크 침입 시도역시 증가하고 있고, 시간이 지남에 따라 공격수 법이 지능화되는 추세를 보이고 있어 이에 대응하기 위한 다양한 방법을 모색하고 있다.
이런 침입을 대응하기 위한 방법에는 방화벽과 침입탐지 장치 등이 있으며, 방화벽은 침입으로 의심되는 패킷을 차단하는 역할을 하지만 모든 침입을 차단할 수 없기 때문에 침입탐지 장치에 대한 관심이 더욱 커지고 있다.
침입탐지 장치는 네트워크에서 발생하는 이벤트를 모니터링하고 침입 흔적을 분석하고 침입을 관리자에게 알리고 적정한 대응을 하는 역할을 수행하는 것으로, 최근에는 침입탐지 장치에 머신러닝 기술을 적용해 장치가 스스로 학습하고 정상 상태와 다른 정황을 탐지하는 방향으로 고도화되고 있는데 이런 종래기술은 아래와 같은 것이 있다.
[1] 조성래, 성행남, 안병혁. "SVM과 인공 신경망을 이용한 침입탐지 효과 비교 연구" Journal of the Korea Academia-Industrial cooperation Society. 2016.
그러나 종래기술의 경우 데이터 전처리하는 과정에서 정상 데이터와 비정상 데이터를 그대로 전처리하여 트래픽 데이터가 들어 왔을 때 정상 데이터가 비정상 데이터보다 월등히 많아서 새로운 트래픽 데이터는 모두 정상 데이터로 분류되는 문제점이 있다.
본 발명이 해결하고자 하는 기술적 과제는, 정상 데이터와 비정상 데이터의 비율을 효율적으로 조절할 수 있는 비감독형 딥러닝 기반의 침입탐지 장치를 제공하는 데 있다.
본 발명이 해결하고자 하는 다른 기술적 과제는, 정상 데이터와 비정상 데이터를 효율적으로 분류할 수 있는 비감독형 딥러닝 기반의 침입탐지 장치를 제공하는데 있다.
상기와 같은 기술적 과제를 해결하기 위해, 본 발명의 바람직한 일 측면에 따르면, 정상 데이터와 비정상 데이터의 불균형을 조절하는 전처리를 수행하는 데이터 전처리부; 상기 전처리된 정상 데이터와 비정상 데이터를 바탕으로 특징을 추출해 학습데이터를 생성하는 학습데이터 생성부; 및 상기 생성된 학습데이터를 바탕으로 학습되어 침입을 탐지하는 탐지부;를 포함하는 비감독형 딥러닝 기반의 침입탐지 장치를 제공한다.
여기서, 상기 전처리부는 오버샘플링, 언더샘플링, SMOTE 및 가중치 조절 중 적어도 어느 하나를 통해 상기 정상 데이터와 비정상 데이터의 불균형을 조절할 수 있다.
여기서, 상기 학습데이터 생성부는 최근접 이웃 분류(k-NN, k-Nearest Neighbor), 서포트 벡터 머신(SVM, support vector machine) 및 디시전 트리(Decision Tree) 중 적어도 어느 하나를 통해 상기 특징을 추출해 상기 학습데이터를 생성할 수 있다.
여기서, 상기 탐지부는 최근접 이웃 분류(k-NN, k-Nearest Neighbor), 서포트 벡터 머신(SVM, support vector machine) 및 디시전 트리(Decision Tree) 중 적어도 어느 하나로 상기 학습될 수 있다.
본 발명의 바람직한 다른 측면에 따르면, 비감독형 딥러닝 기반의 침입탐지 장치가 침입탐지하는 방법에 있어서, 정상 데이터와 비정상 데이터의 불균형을 조절하는 전처리를 수행하는 단계; 상기 전처리된 정상 데이터와 비정상 데이터를 바탕으로 특징을 추출해 학습데이터를 생성하는 단계; 및 상기 생성된 학습데이터를 바탕으로 학습되어 침입을 탐지하는 단계;를 포함하는 비감독형 딥러닝 기반의 침입탐지 방법을 제공한다.
여기서, 상기 전처리부는 오버샘플링, 언더샘플링, SMOTE 및 가중치 조절 중 적어도 어느 하나를 통해 상기 정상 데이터와 비정상 데이터의 불균형을 조절할 수 있다.
여기서, 상기 학습데이터 생성부는 최근접 이웃 분류(k-NN, k-Nearest Neighbor), 서포트 벡터 머신(SVM, support vector machine) 및 디시전 트리(Decision Tree) 중 적어도 어느 하나를 통해 상기 특징을 추출해 상기 학습데이터를 생성할 수 있다.
여기서, 상기 탐지부는 최근접 이웃 분류(k-NN, k-Nearest Neighbor), 서포트 벡터 머신(SVM, support vector machine) 및 디시전 트리(Decision Tree) 중 적어도 어느 하나로 상기 학습될 수 있다.
본 발명의 바람직한 또 다른 측면에 따르면, 비감독형 딥러닝 기반의 침입탐지 방법을 실행하기 위하여 컴퓨터가 판독 가능한 기록매체에 저장된 컴퓨터 프로그램을 제공한다.
본 발명은 데이터 전처리과정에서 불균형을 조절하여 정상 데이터와 비정상 데이터의 비율을 효율적으로 조절할 수 있는 효과가 있다.
또한, 본 발명은 정상 데이터와 비정상 데이터를 효율적으로 분류할 수 있는 효과가 있다.
도 1은 본 발명의 일 실시예에 따른 비감독형 딥러닝 기반의 침입탐지 장치의 구성도이다.
도 2는 본 발명의 일 실시예에 따른 비감독형 딥러닝 기반의 침입탐지 장치의 전처리부를 통해 전처리한 정상 데이터와 비정상 데이터를 설명하기 위한 표이다.
도 3 내지 도 7은 본 발명의 일 실시예에 따른 비감독형 딥러닝 기반의 침입탐지 장치의 탐지부를 통해 침입을 탐지해 분류한 결과표이다.
도 8은 본 발명의 다른 실시예에 따른 비감독형 딥러닝 기반의 침입탐지 방법의 순서도이다.
도 2는 본 발명의 일 실시예에 따른 비감독형 딥러닝 기반의 침입탐지 장치의 전처리부를 통해 전처리한 정상 데이터와 비정상 데이터를 설명하기 위한 표이다.
도 3 내지 도 7은 본 발명의 일 실시예에 따른 비감독형 딥러닝 기반의 침입탐지 장치의 탐지부를 통해 침입을 탐지해 분류한 결과표이다.
도 8은 본 발명의 다른 실시예에 따른 비감독형 딥러닝 기반의 침입탐지 방법의 순서도이다.
본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시 예를 가질 수 있는바, 특정 실시 예들을 도면에 예시하고 상세한 설명에 상세하게 설명하고자 한다. 그러나 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.
제1, 제2 등과 같이 서수를 포함하는 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 해당 구성요소들은 이와 같은 용어들에 의해 한정되지는 않는다. 이 용어들은 하나의 구성요소들을 다른 구성요소로부터 구별하는 목적으로만 사용된다.
어떤 구성요소가 다른 구성요소에 '연결되어' 있다거나, 또는 '접속되어' 있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 '직접 연결되어' 있다거나, '직접 접속되어' 있다고 언급된 때에는, 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다.
본 출원에서 사용한 용어는 단지 특정한 실시 예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, '포함한다' 또는 '가지다' 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
도 1은 본 발명의 일 실시예에 따른 비감독형 딥러닝 기반의 침입탐지 장치의 구성도이다.
도 1을 참조하면, 비감독형 딥러닝 기반의 침입탐지 장치(100)는 입력부(110), 데이터 전처리부(120), 전처리 DB(130), 학습데이터 생성부(140), 학습데이터 DB(150) 및 탐지부(160)를 포함한다.
입력부(110)는 네트워크를 통해 트래픽 데이터를 입력 받는다.
전처리부(120)는 입력부(110)를 통해 입력된 트래픽 데이터를 오버샘플링(over sampling), 언더샘플링(under sampling), SMOTE(Synthetic Minority Over sampling) 및 가중치 조절 중 적어도 어느 하나를 통해 트래픽 데이터에서 정상 데이터와 비정상 데이터의 불균형을 조절한다.
일반적으로 트래픽 데이터에서 정상 데이터가 비정상 데이터 보다 월등히 많기 때문에 오버샘플링(over sampling), 언더샘플링(under sampling), SMOTE(Synthetic Minority Over sampling) 및 가중치 조절 중 적어도 어느 하나를 통해 그 차이를 좁힐 수 있다.
전처리 DB(130)는 입력부(110)를 통해 입력된 트래픽 데이터와 데이터 전처리부(120)에서 전처리한 정상 데이터와 비정상 데이터를 구분해 저장한다.
학습데이터 생성부(140)는 전처리부(120)가 전처리한 정상 데이터와 비정상 데이터 또는 전처리 DB(130)에 저장된 전처리된 정상 데이터와 비정상 데이터를 바탕으로 최근접 이웃 분류(k-NN, k-Nearest Neighbor), 서포트 벡터 머신(SVM, support vector machine) 및 디시전 트리(Decision Tree) 중 적어도 어느 하나를 통해 특징을 추출해 학습데이터를 생성한다. 여기서, SVM은 Wrapper방식의 SVM와 GeneticSearch로 특징을 추출하며. k-NN은 Wrapper방식의 k-NN과 GeneticSearch로 특징을 추출하고, Decision Tree는 Wrapper방식의 Decision Tree와 GeneticSearch, ANTSearch 및 PSOSearch로 특징을 추출한다.
학습데이터 DB(150)는 학습데이터 생성부(130)를 통해 생성된 학습데이터를 저장한다.
탐지부(160)는 학습데이터 DB(150)에 저장된 학습데이터를 바탕으로 학습되어 입력부(110)를 통해 입력된 네트워크 트래픽 데이터로부터 침입을 탐지한다. 여기서, 탐지부(160)는 최근접 이웃 분류(k-NN, k-Nearest Neighbor), 서포트 벡터 머신(SVM, support vector machine) 및 디시전 트리(Decision Tree) 중 적어도 어느 하나로 학습될 수 있다. 또한, 탐지부(160)는 트래픽 데이터의 특색에 따라 학습데이터를 선택할 수 있다.
도 2는 본 발명의 일 실시예에 따른 비감독형 딥러닝 기반의 침입탐지 장치의 전처리부를 통해 전처리한 정상 데이터와 비정상 데이터를 설명하기 위한 표이다.
도 2를 참조하면, 입력부(110)는 대용량 데이터인 UNSW-NB15 데이터 셋의 데이터를 입력 받는다. UNSW-NB15 데이터 셋은 45개의 특징과 1개의 정상 데이터와 9종류의 공격 데이터(Exploits, Reconnaissance, DoS, Generic, Shellcode, Fuzzers, Worms, Backdoor)로 이뤄진 비정상 데이터로 구성되며, 정상 데이터와 비정상 데이터의 표준편차는 217.93%로 불균형 비율이 높다.
전처리부(120)는 입력부(110)를 통해 입력된 UNSW-NB15 데이터 셋의 데이터를 인스턴스 수가 적은 비정상 데이터는 모두 사용하고 인스턴스 수가 큰 정상 데이터의 인스턴스 수를 1/2, 1/4, 1/8, 1/16 및 1/32로 줄이는 언더 샘플링을 통해 전처리하여 정상 데이터와 비정상 데이터의 불균형을 조절해 정상 데이터의 인스턴스 수를 1/32로 줄여 불균형 비율을 2.83%로 줄인다.
도 3 내지 도 7은 본 발명의 일 실시예에 따른 비감독형 딥러닝 기반의 침입탐지 장치의 탐지부를 통해 침입을 탐지해 분류한 결과표이다.
도 3은 입력부(110)는 UNSW-NB15 데이터 셋의 데이터를 입력 받은 후 전처리부(120)를 통해 정상 데이터의 인스턴스 수를 1/32로 줄이는 언더 샘플링을 통해 전처리하여 정상 데이터와 비정상 데이터의 불균형을 조절한 데이터를 학습데이터 생성부(140)가 Wrapper방식의 SVM과 GeneticSearch로 특징 33개 추출하여 학습데이터를 생성해 이를 바탕으로 탐지부(160)가 학습한 후, 입력부(110)를 통해 입력된 UNSW-NB15 데이터 셋의 데이터에서 침입을 탐지해 분류한 것이다.
도 4는 입력부(110)는 UNSW-NB15 데이터 셋의 데이터를 입력 받은 후 전처리부(120)를 통해 정상 데이터의 인스턴스 수를 1/32로 줄이는 언더 샘플링을 통해 전처리하여 정상 데이터와 비정상 데이터의 불균형을 조절한 데이터를 학습데이터 생성부(140)가 Wrapper방식의 k-NN과 GeneticSearch로 특징 15개 추출하여 학습데이터를 생성해 이를 바탕으로 탐지부(160)가 학습한 후, 입력부(110)를 통해 입력된 UNSW-NB15 데이터 셋의 데이터에서 침입을 탐지해 분류한 것이다.
도 5는 입력부(110)는 UNSW-NB15 데이터 셋의 데이터를 입력 받은 후 전처리부(120)를 통해 정상 데이터의 인스턴스 수를 1/32로 줄이는 언더 샘플링을 통해 전처리하여 정상 데이터와 비정상 데이터의 불균형을 조절한 데이터를 학습데이터 생성부(140)가 Wrapper방식의 Decision Tree와 GeneticSearch로 특징 20개 추출하여 학습데이터를 생성해 이를 바탕으로 탐지부(160)가 학습한 후, 입력부(110)를 통해 입력된 UNSW-NB15 데이터 셋의 데이터에서 침입을 탐지해 분류한 것이다.
도 6은 입력부(110)는 UNSW-NB15 데이터 셋의 데이터를 입력 받은 후 전처리부(120)를 통해 정상 데이터의 인스턴스 수를 1/32로 줄이는 언더 샘플링을 통해 전처리하여 정상 데이터와 비정상 데이터의 불균형을 조절한 데이터를 학습데이터 생성부(140)가 Wrapper방식의 Decision Tree와 ANTSearch로 특징 16개 추출하여 학습데이터를 생성해 이를 바탕으로 탐지부(160)가 학습한 후, 입력부(110)를 통해 입력된 UNSW-NB15 데이터 셋의 데이터에서 침입을 탐지해 분류한 것이다.
도 7은 입력부(110)는 UNSW-NB15 데이터 셋의 데이터를 입력 받은 후 전처리부(120)를 통해 정상 데이터의 인스턴스 수를 1/32로 줄이는 언더 샘플링을 통해 전처리하여 정상 데이터와 비정상 데이터의 불균형을 조절한 데이터를 학습데이터 생성부(140)가 Wrapper방식의 Decision Tree와 PSOSearch로 특징 15개 추출하여 학습데이터를 생성해 이를 바탕으로 탐지부(160)가 학습한 후, 입력부(110)를 통해 입력된 UNSW-NB15 데이터 셋의 데이터에서 침입을 탐지해 분류한 것이다.
도 3 내지 도 7을 참조하면, 학습데이터 생성부(140)가 Wrapper방식의 SVM과 GeneticSearch, k-NN과 GeneticSearch, Decision Tree와 GeneticSearch, Decision Tree와 ANTSearch 및 Decision Tree와 PSOSearch로 특징을 추출하여 학습데이터를 생성해 이를 바탕으로 탐지부(160)가 SVM, k-NN 및 Decision Tree로 학습하여 입력부(110)를 통해 입력된 UNSW-NB15 데이터 셋의 데이터에서 침입을 탐지해 분류한 결과 Decision Tree와 PSOSearch로 특징을 추출하여 Decision Tree로 학습한 탐지부(160)가 ROC Area 평균값이 0.981로 가장 높아 침입을 탐지해 분류하는 데 가장 효과적인 것을 확인 할 수 있다.
또한, 종래기술인 조성래, 성행남, 안병혁. "SVM과 인공 신경망을 이용한 침입탐지 효과 비교 연구" Journal of the Korea Academia-Industrial cooperation Society. 2016.의 정상 데이터와 비정상 데이터의 불균형을 조절하지 않고 이를 바탕으로 침입을 분류하는 것보다 전처리부(120)를 통해 정상 데이터와 비정상 데이터의 불균형을 조절하여 이를 바탕으로 특징을 추출해 학습데이터를 생성하여 이를 바탕으로 탐지부(160)를 학습시켜 침입을 분류하는 것이 SVM 방법으로 탐지부(160)를 학습시킨 것을 제외하고 모두 적은 특징만으로 더 높은 침입탐지 분류 정확도를 가지는 것을 확인 할 수 있다.
도 8은 본 발명의 다른 실시예에 따른 비감독형 딥러닝 기반의 침입탐지 방법의 순서도이다.
도 8을 참조하면, S810단계에서는 전처리부(120)가 입력부(110)를 통해 입력 받은 네트워크 트래픽 데이터에서 정상 데이터와 비정상 데이터의 불균형을 조절하는 전처리를 수행한다.
S820단계에서는 학습데이터 생성부(140)가 전처리부(120)를 통해 전처리된 정상 데이터와 비정상 데이터를 바탕으로 특징을 추출해 학습데이터를 생성한다.
S830단계에서는 탐지부(160)가 학습데이터 생성부(140)를 통해 생성된 학습데이터를 바탕으로 학습되어 침입을 탐지한다.
이상에서 본 발명에 따른 실시 예들이 설명되었으나, 이는 예시적인 것에 불과하며, 본 발명의 속하는 기술분야에서 통상의 지식을 가진 자라면 이로부터 다양한 변형 및 균등한 범위의 실시예가 가능하다는 점을 이해할 것이다. 따라서 본 발명의 진정한 기술적 보호범위는 다음의 청구범위에 의해서 정해져야할 것이다.
110 : 입력부 120 : 전처리부
130 : 전처리 DB 140 : 학습데이터 생성부
150 : 학습데이터 DB 160 : 탐지부
130 : 전처리 DB 140 : 학습데이터 생성부
150 : 학습데이터 DB 160 : 탐지부
Claims (11)
- 트래픽 데이터의 상대적으로 인스턴스 수가 큰 정상 데이터와 상대적으로 인스턴스 수가 적은 비정상 데이터의 차이를 좁혀 불균형을 조절하는 전처리를 수행하는 데이터 전처리부;
상기 트래픽 데이터와 상기 데이터 전처리부에서 전처리한 상기 정상 데이터와 상기 비정상 데이터를 구분하여 저장하는 전처리 DB;
상기 전처리된 정상 데이터와 비정상 데이터를 바탕으로 특징을 추출해 학습데이터를 생성하는 학습데이터 생성부; 및
상기 생성된 학습데이터를 바탕으로 학습되어 침입을 탐지하는 탐지부;를 포함하고,
상기 전처리부는 상기 정상데이터를 1/32로 줄이는 언더샘플링을 수행하고,
상기 학습데이터 생성부는 디시전 트리(Decision Tree) 및 PSOSearch로 특징을 추출하여 상기 학습데이터를 생성하고,
상기 탐지부는 디시전 트리(Decision Tree)로 상기 학습된 것을 특징으로 하는 비감독형 딥러닝 기반의 침입탐지 장치.
- 삭제
- 삭제
- 삭제
- 트래픽 데이터의 상대적으로 인스턴스 수가 큰 정상 데이터와 상대적으로 인스턴스 수가 적은 비정상 데이터의 차이를 좁혀 불균형을 조절하는 전처리를 수행하는 단계;
상기 트래픽 데이터와 상기 전처리를 수행하는 단계에서 전처리한 상기 정상 데이터와 상기 비정상 데이터를 구분하여 저장하는 단계;
상기 전처리된 정상 데이터와 비정상 데이터를 바탕으로 특징을 추출해 학습데이터를 생성하는 단계; 및
상기 생성된 학습데이터를 바탕으로 학습되어 침입을 탐지하는 단계;를 포함하고,
상기 전처리를 수행하는 단계는 상기 정상데이터를 1/32로 줄이는 언더샘플링을 수행하고,
상기 학습데이터를 생성하는 단계는 디시전 트리(Decision Tree) 및 PSOSearch로 특징을 추출하여 상기 학습데이터를 생성하고,
상기 침입을 탐지하는 단계는 디시전 트리(Decision Tree)로 상기 학습하는 것을 특징으로 하는 비감독형 딥러닝 기반의 침입탐지 방법.
- 삭제
- 삭제
- 삭제
- 제5항의 비감독형 딥러닝 기반의 침입탐지 방법을 실행하기 위하여 컴퓨터가 판독 가능한 기록매체에 저장된 컴퓨터 프로그램.
- 삭제
- 삭제
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020180156976A KR102285838B1 (ko) | 2018-12-07 | 2018-12-07 | 비감독형 딥러닝 기반의 침입탐지 장치 및 방법 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020180156976A KR102285838B1 (ko) | 2018-12-07 | 2018-12-07 | 비감독형 딥러닝 기반의 침입탐지 장치 및 방법 |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20200075912A KR20200075912A (ko) | 2020-06-29 |
KR102285838B1 true KR102285838B1 (ko) | 2021-08-05 |
Family
ID=71400953
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020180156976A KR102285838B1 (ko) | 2018-12-07 | 2018-12-07 | 비감독형 딥러닝 기반의 침입탐지 장치 및 방법 |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR102285838B1 (ko) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR102381925B1 (ko) * | 2020-07-31 | 2022-03-31 | 경희대학교 산학협력단 | 개인화된 감정 인식을 위한 강인한 화자 적응 모델링 방법 및 그 장치 |
KR102661402B1 (ko) | 2021-12-03 | 2024-04-29 | 서울과학기술대학교 산학협력단 | 인공지능 기반 침입 탐지 시스템 및 방법 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20170048109A1 (en) * | 2015-08-14 | 2017-02-16 | Accenture Global Services Limited | Core network analytics system |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20160095856A (ko) * | 2015-02-04 | 2016-08-12 | 한국전자통신연구원 | 새로운 공격 유형의 자동 탐지 및 공격 유형 모델 갱신을 통한 지능형 침입 탐지 시스템 및 방법 |
-
2018
- 2018-12-07 KR KR1020180156976A patent/KR102285838B1/ko active IP Right Grant
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20170048109A1 (en) * | 2015-08-14 | 2017-02-16 | Accenture Global Services Limited | Core network analytics system |
Non-Patent Citations (1)
Title |
---|
Russell W. Walter, "Methods to Address Extreme Class Imbalance in Machine Learning Based Network Intrusion Detection Systems"(2016.03.) |
Also Published As
Publication number | Publication date |
---|---|
KR20200075912A (ko) | 2020-06-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Asad et al. | Deepdetect: detection of distributed denial of service attacks using deep learning | |
Bartos et al. | Optimized invariant representation of network traffic for detecting unseen malware variants | |
Rashid et al. | Machine and deep learning based comparative analysis using hybrid approaches for intrusion detection system | |
Subba et al. | Enhancing performance of anomaly based intrusion detection systems through dimensionality reduction using principal component analysis | |
KR100738537B1 (ko) | 네트워크 침입 탐지 시스템 및 그 탐지 방법 | |
Kirubavathi Venkatesh et al. | HTTP botnet detection using adaptive learning rate multilayer feed-forward neural network | |
Aamir et al. | Machine learning classification of port scanning and DDoS attacks: A comparative analysis | |
KR102285838B1 (ko) | 비감독형 딥러닝 기반의 침입탐지 장치 및 방법 | |
Ramamoorthi et al. | Real time detection and classification of DDoS attacks using enhanced SVM with string kernels | |
Jiang et al. | An approach to detect remote access trojan in the early stage of communication | |
Jabbar et al. | Intelligent network intrusion detection using alternating decision trees | |
Kumar et al. | Evaluation of ensemble machine learning methods in mobile threat detection | |
Rasymas et al. | Detection of phishing URLs by using deep learning approach and multiple features combinations | |
Chavan et al. | Ddos attack detection and botnet prevention using machine learning | |
Verma et al. | DoS/DDoS attack detection using machine learning: A review | |
Turčaník et al. | Intrusion detection by artificial neural networks | |
Safitri et al. | Analyzing machine learning-based feature selection for botnet detection | |
Mitsuhashi et al. | Detection of dga-based malware communications from doh traffic using machine learning analysis | |
Hossain et al. | Efficient feature selection for detecting botnets based on network traffic and behavior analysis | |
Pastrana et al. | Anomalous web payload detection: evaluating the resilience of 1-grams based classifiers | |
Chahar et al. | Significance of hybrid feature selection technique for intrusion detection systems | |
Chen et al. | An autonomic detection and protection system for denial of service attack | |
Kumar et al. | A network-based framework for mobile threat detection | |
Datta et al. | idam: A distributed mud framework for mitigation of volumetric attacks in iot networks | |
Khandare et al. | A Survey on HTTP Flooding—A Distributed Denial of Service Attack |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
AMND | Amendment | ||
E601 | Decision to refuse application | ||
AMND | Amendment | ||
E902 | Notification of reason for refusal | ||
AMND | Amendment | ||
X701 | Decision to grant (after re-examination) | ||
GRNT | Written decision to grant |