KR102290039B1 - IoT 기기의 이상 행위 모니터링 방법 및 그 장치 - Google Patents

IoT 기기의 이상 행위 모니터링 방법 및 그 장치 Download PDF

Info

Publication number
KR102290039B1
KR102290039B1 KR1020200176184A KR20200176184A KR102290039B1 KR 102290039 B1 KR102290039 B1 KR 102290039B1 KR 1020200176184 A KR1020200176184 A KR 1020200176184A KR 20200176184 A KR20200176184 A KR 20200176184A KR 102290039 B1 KR102290039 B1 KR 102290039B1
Authority
KR
South Korea
Prior art keywords
iot devices
behavior
cluster
display data
abnormal
Prior art date
Application number
KR1020200176184A
Other languages
English (en)
Inventor
오성택
고웅
김홍근
이재혁
Original Assignee
한국인터넷진흥원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국인터넷진흥원 filed Critical 한국인터넷진흥원
Priority to KR1020200176184A priority Critical patent/KR102290039B1/ko
Priority to US17/208,889 priority patent/US20220191113A1/en
Application granted granted Critical
Publication of KR102290039B1 publication Critical patent/KR102290039B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/142Network analysis or design using statistical or mathematical methods
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/906Clustering; Classification
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/21Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
    • G06F18/213Feature extraction, e.g. by transforming the feature space; Summarisation; Mappings, e.g. subspace methods
    • G06F18/2135Feature extraction, e.g. by transforming the feature space; Summarisation; Mappings, e.g. subspace methods based on approximation criteria, e.g. principal component analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/23Clustering techniques
    • G06F18/232Non-hierarchical techniques
    • G06F18/2321Non-hierarchical techniques using statistics or function optimisation, e.g. modelling of probability density functions
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q50/00Information and communication technology [ICT] specially adapted for implementation of business processes of specific business sectors, e.g. utilities or tourism
    • G06Q50/10Services
    • GPHYSICS
    • G16INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
    • G16YINFORMATION AND COMMUNICATION TECHNOLOGY SPECIALLY ADAPTED FOR THE INTERNET OF THINGS [IoT]
    • G16Y30/00IoT infrastructure
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/04Processing captured monitoring data, e.g. for logfile generation
    • H04L43/045Processing captured monitoring data, e.g. for logfile generation for graphical visualisation of monitoring data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/06Generation of reports
    • H04L43/062Generation of reports related to network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • GPHYSICS
    • G16INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
    • G16YINFORMATION AND COMMUNICATION TECHNOLOGY SPECIALLY ADAPTED FOR THE INTERNET OF THINGS [IoT]
    • G16Y40/00IoT characterised by the purpose of the information processing
    • G16Y40/10Detection; Monitoring
    • GPHYSICS
    • G16INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
    • G16YINFORMATION AND COMMUNICATION TECHNOLOGY SPECIALLY ADAPTED FOR THE INTERNET OF THINGS [IoT]
    • G16Y40/00IoT characterised by the purpose of the information processing
    • G16Y40/50Safety; Security of things, users, data or systems

Landscapes

  • Engineering & Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Computing Systems (AREA)
  • Business, Economics & Management (AREA)
  • Artificial Intelligence (AREA)
  • Evolutionary Biology (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Computer Security & Cryptography (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Evolutionary Computation (AREA)
  • Health & Medical Sciences (AREA)
  • Databases & Information Systems (AREA)
  • Tourism & Hospitality (AREA)
  • Probability & Statistics with Applications (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Economics (AREA)
  • General Business, Economics & Management (AREA)
  • Medical Informatics (AREA)
  • Strategic Management (AREA)
  • Primary Health Care (AREA)
  • Marketing (AREA)
  • Human Resources & Organizations (AREA)
  • Mathematical Analysis (AREA)
  • Mathematical Optimization (AREA)
  • Mathematical Physics (AREA)
  • Pure & Applied Mathematics (AREA)
  • Algebra (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Debugging And Monitoring (AREA)

Abstract

본 발명은 IoT 기기의 이상 행위 모니터링 방법 및 그 장치에 관한 것이다. 본 발명의 일 실시예에 따른 IoT 기기의 이상 행위 모니터링 방법은, 컴퓨팅 장치에 의해 수행되는 방법에 있어서, 복수의 IoT 기기들의 행위를 나타내는 트래픽 데이터에 기초하여, 복수의 IoT 기기 각각의 행위마다 행위의 이상 여부를 판단하는 단계, 상기 트래픽 데이터 및 상기 판단의 결과에 기초하여, 상기 복수의 IoT 기기 각각의 행위를 클러스터링하는 단계 및 상기 판단의 결과에 기초하여 구분된 정상 행위 클러스터와 이상 행위 클러스터가 서로 다른 평면에 디스플레이되도록, 상기 클러스터링의 결과 형성된 복수의 클러스터에 대한 디스플레이 데이터를 생성하는 단계를 포함할 수 있다.

Description

IoT 기기의 이상 행위 모니터링 방법 및 그 장치{METHOD AND APPARATUS FOR MONITORING ABNORMAL IoT DEVICE}
본 발명은 IoT 기기의 이상 행위 모니터링 방법 및 그 장치에 관한 것이다. 보다 구체적으로, 본 발명은 복수의 IoT 기기들의 행위를 나타내는 트래픽 데이터에 기초하여, 복수의 IoT 기기 각각의 행위를 클러스터링하고, 클러스터링의 결과 형성된 클러스터를 디스플레이하는 방법 및 그 장치에 관한 것이다.
사물 인터넷(IoT, Internet of Things)이란, 인터넷에 연결되어 동작하는 기기를 의미한다. 이러한, IoT 관련 기술은 인터넷 기술의 발전에 따라, 기술의 적용 범위가 확대되고 있는 추세이다.
IoT 기기가 안정적으로 기능을 수행하기 위해서는, IoT 기기의 보안과 관련된 기술이 필수적으로 요구된다. 이러한, IoT 기기의 보안과 관련된 종래 기술은, 잘 알려진 IoT 기기에 대한 위협을 탐지하는 시그니처 기반의 탐지 기술이 있으나, 시그니처 기반의 탐지 기술은 알려진 위협에만 원활하게 동작할 뿐, 수시로 변화되고 진화하는 새로운 보안 위협에 대응하기는 어려운 문제가 있다.
또한, 머신 러닝 알고리즘에 의해 트래픽 데이터의 이상 행위를 탐지하는 기술 또한 시도되고 있다. 다만, 이러한 기술들은 개별 IoT 기기의 이상 행위를 탐지하는데 그칠 뿐, 네트워크에 연결된 복수의 IoT 기기의 이상 행위를 직관적으로 모니터링하지 못한다.
따라서, 네트워크에 연결된 복수의 IoT 기기의 이상 행위를 직관적으로 모니터링하는 기술이 요구된다.
한국 등록특허 제 10-2143593호 "오토인코더 기반 IoT 기기의 이상징후 탐지 방법 및 그 시스템"
본 발명의 몇몇 실시예들이 해결하고자 하는 기술적 과제는, 네트워크에 연결된 복수의 IoT 기기의 이상 행위를 직관적으로 모니터링하는 방법 및 장치를 제공하는 것이다.
본 발명의 몇몇 실시예들이 해결하고자 하는 다른 기술적 과제는, IoT 기기의 이상 행위를 사용자가 즉각적으로 확인할 수 있는 방법 및 장치를 제공하는 것이다.
본 발명의 몇몇 실시예들이 해결하고자 하는 또 다른 기술적 과제는, 클러스터에 의해 유사 유형으로 구분된 IoT 기기의 이상 행위들을 식별할 수 있는 방법 및 장치를 제공하는 것이다.
본 발명의 기술적 과제들은 이상에서 언급한 기술적 과제로 제한되지 않으며, 언급되지 않은 또 다른 기술적 과제들은 아래의 기재로부터 본 발명의 기술분야에서의 통상의 기술자에게 명확하게 이해될 수 있을 것이다.
상기 기술적 과제를 해결하기 위한 본 발명의 일 실시예에 따른 IoT 기기의 이상 행위 모니터링 방법은, 컴퓨팅 장치에 의해 수행되는 방법에 있어서, 복수의 IoT 기기들의 행위를 나타내는 트래픽 데이터에 기초하여, 복수의 IoT 기기 각각의 행위마다 행위의 이상 여부를 판단하는 단계, 상기 트래픽 데이터 및 상기 판단의 결과에 기초하여, 상기 복수의 IoT 기기 각각의 행위를 클러스터링하는 단계 및 상기 판단의 결과에 기초하여 구분된 정상 행위 클러스터와 이상 행위 클러스터가 서로 다른 평면에 디스플레이되도록, 상기 클러스터링의 결과 형성된 복수의 클러스터에 대한 디스플레이 데이터를 생성하는 단계를 포함할 수 있다.
일 실시예에서, 상기 클러스터링하는 단계는, 상기 트래픽 데이터 및 상기 판단의 결과에 기초하여, 상기 복수의 IoT 기기 각각의 행위에 대응되는 벡터를 생성하는 단계, 상기 생성된 벡터의 차원을 미리 결정된 차원으로 축소하는 단계 및 차원 축소된 벡터에 기초하여, 상기 복수의 IoT 기기 각각의 행위를 클러스터링하는 단계를 포함할 수 있다.
여기서, 상기 트래픽 데이터로부터 트래픽의 출발지 또는 도착지와 관련된 국가 정보를 추출하는 단계를 더 포함하거나 상기 트래픽 데이터로부터 트래픽의 출발지 또는 도착지와 관련된 포트 정보를 추출하는 단계를 더 포함하거나 상기 트래픽 데이터에 포함된 프로토콜 정보를 원 핫 인코딩(one-hot encoding)하는 단계를 더 포함할 수 있다. 이때, 상기 포트 정보를 추출하는 단계는, 상기 포트의 유형이 잘 알려진 포트(well-known port)인 경우, 상기 포트의 포트 번호를 상기 포트 정보로서 결정하고, 상기 포트의 유형이 등록 포트(registered port) 또는 동적 포트(dynamic port)인 경우, 미리 결정된 문자열을 상기 포트 정보로서 결정하는 단계를 포함할 수도 있다.
일 실시예에서, 상기 생성된 벡터의 차원을 미리 결정된 차원으로 축소하는 단계는, PCA(Principal Components Analysis)를 이용하여, 상기 벡터의 차원을 2차원으로 축소하는 단계를 포함할 수 있다.
일 실시예에서, 상기 차원 축소된 벡터에 기초하여, 상기 복수의 IoT 기기 각각의 행위를 클러스터링하는 단계는, DBSCAN(Density-Based Spatial Clustering of Applications with Noise)을 이용하여, 상기 복수의 IoT 기기 각각의 행위를 클러스터링하는 단계를 포함할 수 있다.
일 실시예에서, 상기 복수의 IoT 기기로부터 획득된 트래픽 데이터에 기초하여, 복수의 IoT 기기 각각의 행위마다 행위의 이상 여부를 판단하는 단계는, 상기 복수의 IoT 기기 각각의 행위마다 행위의 이상 여부를 나타내는 스코어를 생성하는 단계를 포함하고, 상기 복수의 클러스터에 대한 디스플레이 데이터를 생성하는 단계는, 상기 복수의 IoT 기기 각각의 행위에 대응되는 상기 차원 축소된 벡터 및 상기 스코어를 3차원 공간에 표현하는 디스플레이 데이터를 생성하는 단계를 포함할 수 있다. 여기서, 상기 복수의 클러스터에 대한 디스플레이 데이터를 생성하는 단계는, 상기 정상 행위 클러스터는 상기 3차원 공간 내에서 z 축의 값이 양인 공간에 표시되고, 상기 이상 행위 클러스터는 상기 3차원 공간 내에서 z 축의 값이 음인 공간에 표현되도록 하는 디스플레이 데이터를 생성하는 단계를 포함할 수도 있다.
일 실시예에서, 상기 복수의 클러스터에 대한 디스플레이 데이터를 생성하는 단계는, 클러스터에 포함된 IoT 기기의 행위 각각을 나타내는 인디케이터를 생성하는 단계를 포함할 수 있다. 여기서, 상기 인디케이터를 생성하는 단계는, 상기 클러스터에 포함된 IoT 기기의 행위 각각의 유지 시간에 기초하여 상기 IoT 기기의 행위를 나타내는 인디케이터를 하이라이팅하는 디스플레이 데이터를 생성하는 단계를 포함하거나 상기 클러스터에 최초로 포함된 IoT 기기의 행위를 나타내는 인디케이터를 하이라이팅하는 디스플레이 데이터를 생성하는 단계를 포함할 수도 있다.
일 실시예에서, 상기 복수의 클러스터에 대한 디스플레이 데이터를 생성하는 단계는, 클러스터에 단위 시간당 최초로 포함된 IoT 기기의 행위의 개수에 기초하여, 상기 클러스터를 하이라이팅하는 디스플레이 데이터를 생성하는 단계를 포함하거나 상기 이상 행위 클러스터에 최초로 포함된 IoT 기기의 행위가 존재하는 경우, 상기 이상 행위 클러스터를 하이라이팅하는 디스플레이 데이터를 생성하는 단계를 포함할 수 있다.
일 실시예에서, 미리 결정된 시간 간격 마다, 상기 복수의 클러스터에 대한 디스플레이 데이터를 재생성하는 단계를 더 포함할 수 있다. 여기서, 상기 복수의 클러스터에 대한 디스플레이 데이터를 재생성하는 단계는, 상기 복수의 클러스터에 대한 디스플레이 데이터의 변화 과정을 점진적으로 표현하는 단계를 포함할 수도 있다.
본 발명의 다른 실시예에 따른 IoT 기기의 이상 행위 모니터링 장치는, 프로세서, 네트워크 인터페이스, 메모리 및 상기 메모리에 로드(load)되고, 상기 프로세서에 의해 실행되는 컴퓨터 프로그램을 포함하되, 상기 컴퓨터 프로그램은, 복수의 IoT 기기들의 행위를 나타내는 트래픽 데이터에 기초하여, 복수의 IoT 기기 각각의 행위마다 행위의 이상 여부를 판단하는 단계, 상기 트래픽 데이터 및 상기 판단의 결과에 기초하여, 상기 복수의 IoT 기기 각각의 행위를 클러스터링하는 단계 및 상기 판단의 결과에 기초하여 구분된 정상 행위 클러스터와 이상 행위 클러스터가 서로 다른 평면에 디스플레이되도록, 상기 클러스터링의 결과 형성된 복수의 클러스터를 디스플레이하는 단계를 포함할 수 있다.
본 발명의 또 다른 실시예에 따른 컴퓨터 판독 가능한 기록 매체는, 프로세서에 의해 실행 가능한 컴퓨터 프로그램 명령어들을 포함하는, IoT 기기의 이상 행위를 모니터링하기 위한 컴퓨터 프로그램으로서, 상기 컴퓨터 프로그램 명령어들이 컴퓨팅 디바이스의 프로세서에 의해 실행되는 경우에, 복수의 IoT 기기들의 행위를 나타내는 트래픽 데이터에 기초하여, 복수의 IoT 기기 각각의 행위마다 행위의 이상 여부를 판단하는 단계, 상기 트래픽 데이터 및 상기 판단의 결과에 기초하여, 상기 복수의 IoT 기기 각각의 행위를 클러스터링하는 단계 및 상기 판단의 결과에 기초하여 구분된 정상 행위 클러스터와 이상 행위 클러스터가 서로 다른 평면에 디스플레이되도록, 상기 클러스터링의 결과 형성된 복수의 클러스터를 디스플레이하는 단계를 포함하는, 동작들을 수행하는 컴퓨터 프로그램이 기록될 수 있다.
도 1은 본 발명의 일 실시예에 따른 IoT 기기의 이상 행위 모니터링 시스템을 설명하기 위한 도면이다.
도 2는 본 발명의 다른 실시예에 따른 IoT 기기의 이상 행위 모니터링 방법을 설명하기 위한 도면이다.
도 3은 도 2를 참조하여 설명된 IoT 기기의 이상 행위 모니터링 방법의 일부 동작을 보다 구체적으로 설명하기 위한 도면이다.
도 4는 본 발명의 몇몇 실시예에서 참조될 수 있는 트래픽 데이터를 보다 구체적으로 설명하기 위한 도면이다.
도 5 및 도 6은 도 2를 참조하여 설명된 IoT 기기의 행위 이상 여부 판단의 결과를 보다 구체적으로 설명하기 위한 도면이다.
도 7은 도 2를 참조하여 설명된 클러스터링의 기준을 보다 구체적으로 설명하기 위한 도면이다.
도 8은 도 2를 참조하여 설명된 복수의 클러스터에 대한 디스플레이 화면의 일례를 설명하기 위한 도면이다.
도 9 내지 도 11은 도 8을 참조하여 설명된 복수의 클러스터에 대한 디스플레이 화면의 변화를 보다 구체적으로 설명하기 위한 도면이다.
도 12는 도 2을 참조하여 설명된 복수의 클러스터에 대한 디스플레이 화면의 다른 일례를 설명하기 위한 도면이다.
도 13은 본 발명의 또 다른 실시예에 따른 IoT 기기의 이상 행위 모니터링 장치를 설명하기 위한 도면이다.
도 14는 본 발명의 몇몇 실시예에 따른 IoT 기기의 이상 행위 모니터링 장치의 하드웨어 구성을 설명하기 위한 도면이다.
이하, 첨부된 도면을 참조하여 본 발명의 실시예들을 상세히 설명한다. 본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나 본 발명의 기술적 사상은 이하의 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 이하의 실시예들은 본 발명의 기술적 사상을 완전하도록 하고, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 본 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명의 기술적 사상은 청구항의 범주에 의해 정의될 뿐이다.
각 도면의 구성요소들에 참조부호를 부가함에 있어서, 동일한 구성요소들에 대해서는 비록 다른 도면상에 표시되더라도 가능한 한 동일한 부호를 가지도록 하고 있음에 유의해야 한다. 또한, 본 발명을 설명함에 있어, 관련된 공지 구성 또는 기능에 대한 구체적인 설명이 본 발명의 요지를 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명은 생략한다.
다른 정의가 없다면, 본 명세서에서 사용되는 모든 용어(기술 및 과학적 용어를 포함)는 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 공통적으로 이해될 수 있는 의미로 사용될 수 있다. 또 일반적으로 사용되는 사전에 정의되어 있는 용어들은 명백하게 특별히 정의되어 있지 않는 한 이상적으로 또는 과도하게 해석되지 않는다. 본 명세서에서 사용된 용어는 실시예들을 설명하기 위한 것이며 본 발명을 제한하고자 하는 것은 아니다. 본 명세서에서, 단수형은 문구에서 특별히 언급하지 않는 한 복수형도 포함한다.
또한, 본 발명의 구성 요소를 설명하는 데 있어서, 제1, 제2, A, B, (a), (b) 등의 용어를 사용할 수 있다. 이러한 용어는 그 구성 요소를 다른 구성 요소와 구별하기 위한 것일 뿐, 그 용어에 의해 해당 구성 요소의 본질이나 차례 또는 순서 등이 한정되지 않는다. 어떤 구성 요소가 다른 구성요소에 "연결", "결합" 또는 "접속"된다고 기재된 경우, 그 구성 요소는 그 다른 구성요소에 직접적으로 연결되거나 또는 접속될 수 있지만, 각 구성 요소 사이에 또 다른 구성 요소가 "연결", "결합" 또는 "접속"될 수도 있다고 이해되어야 할 것이다.
이하, 본 발명의 몇몇 실시예들에 대하여 첨부된 도면에 따라 상세하게 설명한다.
도 1은 본 발명의 일 실시예에 따른 IoT 기기의 이상 행위 모니터링 시스템을 설명하기 위한 도면이다. 도 1을 참조하면, IoT 기기의 이상 행위 모니터링 시스템은 IoT 기기(100), IoT 기기 이상 행위 판단 장치(200), IoT 기기 이상 행위 모니터링 장치(300) 및 사용자 단말(400)을 포함할 수 있다. 도 1에 개시된 IoT 기기의 이상 행위 모니터링 시스템 각각의 구성 요소들은 기능적으로 구분되는 기능 요소들을 나타낸 것으로서, 어느 하나 이상의 구성 요소가 실제 물리적 환경에서는 서로 통합되어 구현될 수 있다. 이하, IoT 기기의 이상 행위 모니터링 시스템의 구성 요소에 대해 보다 구체적으로 설명하기로 한다.
이러한 IoT 기기(100)에는, 예컨대 냉장고(100a), 에어컨(100b), 로봇 청소기(100c), 및 드론(100d) 등이 포함될 수 있다. 다만, 본 실시예에서 네트워크에 연결될 수 있는 IoT 기기(100)는 도 1에 도시된 기기들에 한정되는 것은 아니고, 통신 장치를 이용하여 네트워크에 접속할 수 있는 모든 기기들이 IoT 기기(100)에 포함될 수 있음을 유의해야 한다.
다음으로, IoT 기기 이상 행위 판단 장치(200)는 네트워크에 연결된 복수의 IoT 기기(100)들이 네트워크 상에서 행하는 다양한 행위들에 수반되어 송수신되는 트래픽 데이터를 수집하고, 이를 기초로 복수의 IoT 기기(100) 각각의 행위마다 행위의 이상 여부를 판단할 수 있다.
또한, IoT 기기 이상 행위 판단 장치(200)는 판단의 결과를 IoT 기기 이상 행위 모니터링 장치(300)에 전송할 수 있다. 다만, 도 1에 도시된 것과 달리 IoT 기기 이상 행위 판단 장치(200)는 IoT 기기 이상 행위 모니터링 장치(300)에 포함되어 구현될 수도 있음을 유의해야 한다.
다음으로, IoT 기기 이상 행위 모니터링 장치(300)는 네트워크에 연결된 복수의 IoT 기기(100)들이 네트워크 상에서 행하는 다양한 행위들에 수반되어 송수신되는 트래픽 데이터를 수신할 수 있다. 또한, IoT 기기 이상 행위 판단 장치(200)로부터 행위 이상 여부 판단의 결과를 수신할 수도 있다.
또한, IoT 기기 이상 행위 모니터링 장치(300)는 복수의 IoT 기기(100) 및 IoT 기기 이상 행위 판단 장치(200)로부터 수신된 데이터들에 기초하여, 복수의 IoT 기기(100) 각각의 행위를 클러스터링할 수 있다.
또한, IoT 기기 이상 행위 모니터링 장치(300)는 IoT 기기 이상 행위 판단 장치(200)로부터 수신된 행위 이상 여부 판단의 결과에 기초하여 구분된 정상 행위 클러스터와 이상 행위 클러스터가 서로 다른 평면에 디스플레이되도록, 클러스터링의 결과 형성된 복수의 클러스터에 대한 디스플레이 데이터를 생성할 수 있다.
또한, IoT 기기 이상 행위 모니터링 장치(300)는 생성된 디스플레이 데이터를 사용자 단말(400)에 전송할 수 있다.
다음으로, 사용자 단말(400)은 IoT 기기 이상 행위 모니터링 장치(300)로부터 디스플레이 데이터를 수신할 수 있다. 또한, 사용자 단말(400)은 수신된 디스플레이 데이터를 디스플레이 화면에 디스플레이할 수도 있다.
사용자 단말(400)은 디스플레이 데이터를 디스플레이하기 위해 웹 브라우저(Web browser) 또는 전용 애플리케이션이 설치되어 있을 수 있다. 본 발명의 몇몇 실시예에서 참조될 수 있는 사용자 단말(400)은 IoT 기기 이상 행위 모니터링 장치(300)로부터 전송된 디스플레이 데이터를 출력할 수 있는 장치라면, 어떠한 장치라도 허용될 수 있다. 예를 들어, 본 발명의 몇몇 실시예에서 참조될 수 있는 사용자 단말(400)은 데스크탑(400a, Desktop), 워크스테이션(Workstation), 서버(Server), 랩탑(Laptop), 태블릿(400c, Tablet), 스마트폰(400b, Smart Phone) 또는 패블릿(Phablet) 중 어느 하나가 될 수 있으나, 이에 한정되지 않고, 휴대용 멀티미디어 플레이어(Portable Multimedia Player, PMP), 개인용 휴대 단말기(Personal Digital Assistants, PDA) 또는 전자책 단말기(E-Book Reader) 등과 같은 형태의 장치가 될 수도 있다.
도 1에 도시된 사용자 단말(400)은 IoT 기기 이상 행위 모니터링 장치(300)로부터 수신된 디스플레이 데이터를 출력하는데 그치고 있으나, 본 발명이 이에 한정되는 것은 아니다. 예를 들어, 사용자 단말(400)은 네트워크에 연결된 복수의 IoT 기기(100)들로부터 트래픽 데이터를 수신하여, IoT 기기 이상 행위 탐지 장치(200) 및 IoT 기기 이상 행위 모니터링 장치(300)가 수행하는 동작들을 직접 수행할 수도 있음을 유의해야 한다.
앞서 설명된 도 1에서는 생략되었으나, ISP(Internet Service Provider)에서 할당해주는 하나의 IP를 이용하여 여러 대의 IoT 기기(100)가 네트워크에 접속할 수 있도록 해 주는 공유기 및 패킷을 감시하고 선택적으로 차단하는 방화벽 등과 같은 통상적인 장치들이 본 실시예에 따른 IoT 기기 이상 행위 모니터링 시스템에 포함될 수 있음은 통상의 기술자에게 자명한 사항이므로, 이와 관련된 구체적인 설명은 생략하기로 한다.
이상, 도 1을 참조하여 본 발명의 일 실시예에 따른 IoT 기기의 이상 행위 모니터링 시스템에 대해 설명하였다. 도 1에 도시된 IoT 기기의 이상 행위 모니터링 장치(300)가 수행하는 보다 구체적인 동작들은 추후 명세서의 기재를 통해 보다 구체화될 것이다.
이하, 도 2 내지 도 12를 참조하여 본 발명의 다른 실시예에 따른 IoT 기기의 이상 행위 모니터링 방법에 대해 구체적으로 설명하기로 한다. 본 실시예에 따른 IoT 기기의 이상 행위 모니터링 방법은 컴퓨팅 장치에 의하여 수행될 수 있다. 예컨대, 본 실시예에 따른 IoT 기기의 이상 행위 모니터링 방법은 도 1에 도시된 IoT 기기의 이상 행위 모니터링 장치(300)에 의하여 수행될 수 있다. 또한, 본 실시예에 따른 방법은 제1 컴퓨팅 장치와 제2 컴퓨팅 장치에 의하여 나뉘어 수행될 수 있다. 이하, 본 실시예에 따른 방법의 각 동작을 수행함에 있어서, 그 주체의 기재가 생략되면, 그 주체는 상기 컴퓨팅 장치인 것으로 해석될 수 있을 것이다.
도 2를 참조하면 단계 S100에서, 복수의 IoT 기기들의 행위를 나타내는 트래픽 데이터에 기초하여, 복수의 IoT 기기 각각의 행위마다 행위의 이상 여부가 판단된다. 여기서, IoT 기기들의 행위란 IoT 기기들이 네트워크에 연결되어 수행하는 동작을 의미한다. 구체적인 예를 들어, 네트워크에 연결, 파일의 전송 및 데이터 요청 등을 포함할 수 있다. 또한, 트래픽 데이터란, IoT 기기가 송수신하는 패킷을 포함할 수 있다. 이와 관련된 보다 구체적인 설명을 위해 도 4를 참조하여 설명하기로 한다.
도 4를 참조하면, IoT 기기의 행위의 이상 여부를 판단하는데 이용될 수 있는 트래픽 데이터(11)가 도시된 것을 확인할 수 있다. 예를 들어, 트래픽 데이터(11)에는 아웃바운드 패킷(Outbound Packet)의 총계, 아웃바운드 패킷의 최대값과 최소값의 차이, 아웃바운드 패킷의 수, 인바운드 패킷(Inbound Packet)의 총계, 인바운드 패킷의 최대값과 최소값의 차이, 인바운드 패킷의 수 등이 포함될 수 있다. 트래픽 데이터(11)에 포함될 수 있는 다른 유형의 정보의 예는 도 4를 참조하여 이해될 수 있을 것이다. 다시 도 2를 참조하여 설명하기로 한다.
단계 S100과 관련된 몇몇 실시예에서, 복수의 IoT 기기 각각의 행위마다 행위의 이상 여부를 나타내는 스코어가 생성될 수 있다. 이러한 스코어는, 시그니처 기반의 탐지 기술에 의해 결정된 스코어일 수 있다. 또한, 이러한 스코어는 인공 지능 기술이 적용된 인공 신경 모델에 트래픽 데이터를 입력하여 출력된 스코어일 수도 있다. 즉, 네트워크에 연결된 개별 IoT 기기들의 행위마다 행위 이상 여부를 판단할 수 있는 모든 공지된 기술들이 본 실시예에 적용될 수 있다. 이하, 도 5 및 도 6을 참조하여 스코어 기반의 IoT 기기의 행위 이상 여부 판단의 결과를 보다 구체적으로 설명하기로 한다.
도 5를 참조하면, IoT 기기 명칭(12)별로 행위의 이상 여부를 나타내는 스코어(13)가 도시된 것을 확인할 수 있다. 이때, 스코어(13)에 기초하여, 행위 이상 여부 판단의 결과(21)가 도시된 것을 확인할 수 있다. 또한, 도 6을 참조하면, IoT 기기 명칭(12)이 "SMU_device"인 IoT 기기의 각각의 행위에 대하여, 각 행위의 시간(15), 이상 여부를 나타내는 스코어(13) 및 행위 이상 여부 판단의 결과(21)를 나타내는 문자열이 기록된 예시적인 모습이 도시되어 있다.
도 5 및 도 6에 도시된 스코어(13)는 인공 신경 모델에 트래픽 데이터를 입력하여 출력된 것일 수 있다. 예를 들어, 범용 트래픽 데이터로 학습된 오토 인코더 중 인코더 부분을 채택하고, SVDD(Support Vector Data Description) 함수를 손실 함수로 적용하여 채택된 오토 인코더를 정상 트래픽 데이터로 학습시킨 모델에 트래픽 데이터를 입력하면 스코어(13)가 출력된다. 이러한, 스코어(13)는, 0을 초과하는지 여부를 기준으로 하여 IoT 기기의 이상 행위를 판단할 수 있다. 예를 들어, 0을 초과하면 이상 행위로, 0 미만이면 정상 행위로 판단할 수 있다. 다시 도 2를 참조하여 설명하기로 한다.
다음으로 단계 S200에서, 트래픽 데이터 및 행위 이상 여부 판단의 결과에 기초하여, 복수의 IoT 기기 각각의 행위가 클러스터링된다. 이와 관련된 보다 구체적인 설명을 위해 도 3을 참조하여 설명하기로 한다.
도 3을 참조하면 단계 S210에서, 트래픽 데이터 및 행위 이상 여부 판단의 결과에 기초하여, 복수의 IoT 기기 각각의 행위에 대응되는 벡터가 생성된다. 본 단계에서 참조될 수 있는 트래픽 데이터에 관한 구체적인 설명을 위해 도 7을 참조하여 설명하기로 한다. 도 7을 참조하면, 출발지 IP(22), 출발지 포트(23), 도착지 IP(24), 도착지 포트(25) 및 프로토콜(26)이 트래픽 데이터에 포함될 수 있다. 다시 도 3을 참조하여 설명하기로 한다.
단계 S210과 관련된 몇몇 실시예에서, 복수의 IoT 기기 각각의 행위에 대응되는 벡터를 생성하기 위해, 트래픽 데이터로부터 몇몇 정보들이 추출될 수 있다.
일 예를 들어, 트래픽 데이터로부터 트래픽의 출발지 또는 도착지와 관련된 국가 정보가 추출될 수 있다. 이때, 국가 정보는 데이터 처리와 통신을 목적으로 결정된 국가 코드를 의미할 수 있다. 다른 예를 들어, 트래픽 데이터로부터 트래픽의 출발지 또는 도착지와 관련된 포트 정보가 추출될 수도 있다. 이때, 포트의 유형이 IANA(International Assigned Numbers Authority)에 의해 지정된 잘 알려진 포트(well-known ports; 예컨대 0-1023)인 경우, 포트의 포트 번호를 포트 정보로 결정할 수 있다. 포트의 유형이 등록 포트(registered port;1024-49151) 또는 동적 포트(dynamic port; 49152-65535)인 경우, 미리 결정된 문자열(예컨대 "etc")을 포트 정보로 결정할 수 있다. 또 다른 예를 들어, 트래픽 데이터로부터 프로토콜 정보가 추출될 수도 있다. 이러한, 프로토콜 정보는 원 핫 인코딩에 의해 미리 결정된 문자열이 프로토콜에 대응되도록 결정될 수 있다.
다음으로 단계 S220에서, 생성된 벡터의 차원이 미리 결정된 차원으로 축소된다. 앞서 도 7을 참조하여 설명된 예시에 따르면, 6차원의 벡터가 생성되고, 이러한 고차원의 벡터가 차원의 축소 없이 클러스터링의 기준이 될 수도 있다. 다만, 클러스터링의 결과 형성된 복수의 클러스터를 사용자가 직관적으로 모니터링하기 위해서는 2차원 내지 3차원의 벡터로 변환하는 것이 요구된다.
단계 S220과 관련된 몇몇 실시예에서, 생성된 벡터의 차원을 미리 결정된 차원으로 축소하기 위해 PCA(Principal Components Analysis)를 이용하여, 벡터의 차원을 축소할 수 있다. PCA는 고차원의 데이터를 저차원의 데이터로 축소시키는 차원 축소 방법 중 하나로써, 이와 관련된 구체적인 내용은 기술 분야 통상의 기술자에게 자명한 사항이므로, 구체적인 설명을 생략하기로 한다. 예시된 PCA 외에도 고차원의 벡터를 저차원의 벡터로 축소할 수 있는 모든 기술들이 본 발명에 적용될 수 있음을 유의해야 한다.
다음으로 단계 S230에서, 축소된 벡터에 기초하여, 복수의 IoT 기기 각각의 행위가 클러스터링된다. 단계 S230과 관련된 몇몇 실시예에서, 복수의 IoT 기기 각각의 행위를 클러스터링하기 위해서, DBSCAN(Density-Based Spatial Clustering of Applications with Noise)을 이용할 수 있다. DBSCAN은 밀도 기반의 클러스터링 방법으로써, 기준 반경(Epsilon) 및 군집내 최소 벡터 개수에 기초하여 클러스터링하는 방법이다. 이와 관련된 구체적인 내용은 기술 분야 통상의 기술자에게 자명한 사항이므로, 보다 구체적인 설명은 생략하기로 한다. 또한, 예시된 DBSCAN 외에도 축소된 복수의 벡터를 클러스터링할 수 있는 모든 기술들이 본 발명에 적용될 수 있음을 유의해야 한다. 다시 도 2를 참조하여 설명하기로 한다.
다음으로 단계 S300에서, 행위 이상 여부 판단의 결과에 기초하여 구분된 정상 행위 클러스터와 이상 행위 클러스터가 서로 다른 평면에 디스플레이되도록, 클러스터링의 결과 형성된 복수의 클러스터에 대한 디스플레이 데이터가 생성된다.
단계 S300과 관련된 몇몇 실시예에서, 복수의 IoT 기기 각각의 행위에 대응되는 차원 축소된 벡터가 2차원 공간에 표현되고, 클러스터링의 결과 형성된 클러스터도 2차원 공간에 표현될 수 있다. 예를 들어, 앞서 도 7을 참조하여 설명된 예시에 따른 6차원 벡터가 2차원으로 축소되고, 축소된 벡터가 2차원 공간에 표현될 수 있다. 다른 예를 들어, 앞서 도 7을 참조하여 설명된 예시에 따른 벡터 항목 중 행위 이상 여부 판단의 결과 항목을 제외한 5차원의 벡터가 2차원으로 축소되고, 축소된 벡터가 2차원 공간에 표현될 수 있다. 이때, 행위 이상 여부 판단의 결과에 기초하여 구분된 정상 행위 클러스터와 이상 행위 클러스터가 서로 다른 평면에 구분되어 디스플레이될 수 있다. 이와 관련된 구체적인 예시를 설명하기 위하여, 도 8을 참조하기로 한다.
도 8을 참조하면, (+) 평면(30)에는 제1 클러스터(31)가 표현될 수 있고, (-) 평면(40)에는 제2 클러스터(41)가 표현될 수 있다. 각 클러스터들은 복수의 IoT 기기 각각의 행위에 대응되는 차원 축소된 벡터가 클러스터링된 결과를 디스플레이한 것이다. 이때, 행위 이상 여부 판단의 결과에 기초하여 구분된 정상 행위 클러스터와 이상 행위 클러스터가 서로 다른 평면에 구분되어 디스플레이된다.
예를 들어, (+) 평면(30)에는 복수의 IoT 기기 각각의 행위 중 정상 행위에 대응되는 차원 축소된 벡터가 클러스터링된 결과가 표현될 수 있으며, (-) 평면(40)에는 복수의 IoT 기기 각각의 행위 중 이상 행위에 대응되는 차원 축소된 벡터가 클러스터링된 결과가 표현될 있다. 이때, 제1 클러스터(31)는 정상 행위 클러스터이며, 제2 클러스터(41)는 이상 행위 클러스터일 수 있다.
단계 S300과 관련된 다른 몇몇 실시예에서, 복수의 IoT 기기 각각의 행위에 대응되는 차원 축소된 벡터가 3차원 공간에 표현되고, 클러스터링의 결과 형성된 클러스터도 3차원 공간에 표현될 수 있다. 예를 들어, 앞서 도 7을 참조하여 설명된 예시에 따른 6차원 벡터가 3차원으로 축소되고, 축소된 벡터가 3차원 공간에 표현될 수 있다. 다른 예를 들어, 앞서 도 7을 참조하여 설명된 예시에 따른 벡터 항목 중 행위 이상 여부 판단의 결과 항목을 제외한 5차원의 벡터가 2차원으로 축소되고, 행위 이상 여부 판단의 결과에 따라 하나의 차원이 추가되어 3차원 공간에 표현될 수 있다. 이때, 행위 이상 여부 판단의 결과는 스코어에 의해 3차원 공간 상 어느 하나의 축에 표현될 수 있다. 이와 관련된 구체적인 예시를 설명하기 위하여, 도 12를 참조하기로 한다.
도 12를 참조하면, 3차원 공간(50) 상에 복수의 IoT 기기 각각의 행위에 대응되는 인디케이터(53)가 표현될 수 있다. 이때, 상기 3차원 공간(50)의 z축(51) 값은, 행위의 이상 여부 판단 결과에 대응될 수 있다. 예를 들어, 정상 행위 클러스터는 3차원 공간(50) 내에서 z축(51)의 값이 양인 공간에 표현되고, 이상 행위 클러스터는 3차원 공간(50) 내에서 z축(51)의 값이 음인 공간에 표현되도록 디스플레이할 수 있다.
앞서 설명된 단계 S300에 따르면, 이상 행위 클러스터와 정상 행위 클러스터가 시각적으로 구분되어 디스플레이됨으로써, 사용자는 직관적으로 네트워크에 연결된 복수의 IoT 기기의 행위들을 모니터링할 수 있다.
이하, 복수의 IoT 기기의 행위들을 사용자가 보다 직관적으로 모니터링하는데 도움을 주는 인디케이터 및 클러스터와 관련된 실시예들을 설명하기로 한다.
단계 S300과 관련된 또 다른 몇몇 실시예에서, 클러스터에 포함된 IoT 기기의 행위 각각을 나타내는 인디케이터가 함께 디스플레이될 수 있다. 도 8을 참조하면, 제1 클러스터(31) 및 제2 클러스터(41)에 포함된 인디케이터들 외에도, 클러스터들에 포함되지 않은 인디케이터들을 확인할 수 있다. 본 실시예에 따르면, IoT 기기의 행위 각각을 나타내는 인디케이터를 클러스터와 함께 디스플레이함으로써, 사용자에게 보다 직관적인 정보를 제공할 수 있다.
단계 S300과 관련된 또 다른 몇몇 실시예에서, 클러스터에 포함된 IoT 기기의 행위 각각의 유지 시간에 기초하여, IoT 기기의 행위를 나타내는 인디케이터를 하이라이팅할 수 있다. 예를 들어, 이상 행위 클러스터에 포함된 IoT 기기의 행위의 유지 시간에 기초하여, 인디케이터가 하이라이팅될 수 있다. 다른 예를 들어, 정상 행위 클러스터에 포함된 IoT 기기의 행위의 유지 시간에 기초하여, 인디케이터가 하이라이팅될 수도 있다. 이때, 인디케이터의 하이라이팅에는, 인디케이터의 크기 증가, 인디케이터 색상의 채도 증가 및 인디케이터 외곽선의 굵기 증가 등 디스플레이되는 오브젝트를 하이라이팅하는 공지된 모든 기술이 적용될 수 있다. 다른 실시예에서, 클러스터에 최초로 포함된 IoT 기기의 행위를 나타내는 인디케이터를 하이라이팅할 수 있다. 예를 들어, 이상 행위 클러스터에 최초 포함된 인디케이터가 하이라이팅될 수 있다. 다른 예를 들어, 정상 행위 클러스터에 최초 포함된 인디케이터가 하이라이팅될 수도 있다. 이때, 인디케이터의 하이라이팅과 관련된 설명은 앞서 설명된 내용을 참조하면 이해될 수 있을 것이다.
단계 S300과 관련된 또 다른 몇몇 실시예에서, 클러스터에 단위 시간당 최초로 포함된 IoT 기기의 행위의 개수에 기초하여, 클러스터를 하이라이팅할 수 있다. 즉, 클러스터에 포함된 행위의 변화량에 기초하여, 클러스터를 하이라이팅할 수 있다. 예를 들어, 이상 행위 클러스터에 포함된 인디케이터의 변화량이 기준 수치 이상인 경우, 클러스터를 하이라이팅할 수 있다. 다른 예를 들어, 정상 행위 클러스터에 포함된 인디케이터의 변화량이 기준 수치 이상인 경우, 클러스터를 하이라이팅할 수도 있다. 이때, 클러스터의 하이라이팅과 관련된 설명은 앞서 설명된 인디케이터의 하이라이팅과 관련된 설명을 참조하면 이해될 수 있을 것이다. 다른 실시예에서, 이상 행위 클러스터에 최초로 포함된 IoT 기기의 행위가 존재하는 경우, 이상 행위 클러스터를 하이라이팅할 수도 있다. 이때, 클러스터의 하이라이팅과 관련된 설명은 앞서 설명된 내용을 참조하면 이해될 수 있을 것이다.
앞서 설명된 인디케이터 및 클러스터와 관련된 실시예들에 따르면, 클러스터에 포함된 유지 시간에 기초하여 인디케이터를 하이라이팅함으로써, 특정 IoT 기기의 행위에 포커스하여 모니터링할 수 있다. 또한, 클러스터에 최초 포함된 인디케이터가 존재하는 경우 인디케이터 또는 클러스터를 하이라이팅함으로써, 최초 발생된 IoT 기기의 행위에 대해 포커스하여 모니터링할 수도 있다. 나아가, 클러스터에 포함된 인디케이터의 변화량에 기초하여 클러스터를 하이라이팅함으로써, 클러스터에 포함된 속성이 유사한 IoT 기기의 행위들의 증감을 직관적으로 모니터링할 수 있다. 예를 들어, 이상 행위 클러스터에 포함된 IoT 기기 군 또는 제품 군에 대한 취약점 악용 공격 등을 직관적으로 모니터링할 수 있다.
앞서 설명된 단계 S300에 따르면, 복수의 IoT 기기의 행위들을 모니터링함으로써, 이상 행위에 대응되는 적절한 대응을 수행할 수 있다. 예를 들어, 특정 기기 군 또는 제품 군에 관한 네트워크를 격리하거나 전원을 종료할 수 있다. 또한, 특정 기기 군 또는 제품 군에 대한 패치 업데이트를 요청할 수도 있다.
다음으로 단계 S400에서, 미리 결정된 시간 간격마다 복수의 클러스터에 대한 디스플레이 데이터가 재생성된다. 보다 구체적으로 설명하면, 미리 결정된 시간 간격마다 네트워크에 연결된 복수의 IoT 기기들의 행위를 나타내는 트래픽 데이터가 수집되고, 이를 기초로 앞서 설명된 단계 S100 내지 S300의 동작이 수행됨으로써, 복수의 클러스터에 대한 디스플레이 데이터가 재생성될 수 있다.
단계 S400과 관련된 몇몇 실시예에서, 미리 결정된 시간 간격마다 수집된 트래픽 데이터에만 기초하여, 단계 S100 내지 S300의 동작이 수행될 수 있다.
다른 몇몇 실시예에서, 당해 시간 간격에 수집된 트래픽 데이터뿐만 아니라 과거 시간 간격에 수집된 트래픽 데이터를 모두 고려하여, 단계 S100 내지 S300의 동작이 수행될 수도 있다. 여기서, 과거 시간 간격에 수집된 트래픽 데이터는 당해 시간 간격으로부터 기준 시간 간격 이상이 되는 경우, 단계 S100 내지 S300의 동작에서 배제된다. 본 실시예에 따르면, 복수의 클러스터에 대한 디스플레이 데이터의 변화 과정이 점진적으로 표현될 수 있다.
이하, 도 9 내지 도 11을 참조하여, 트래픽 데이터의 변화에 따라 복수의 클러스터에 대한 디스플레이 화면의 변화를 구체적으로 설명하기로 한다. 설명의 편의를 위해 이하에서, 미리 결정된 시간 간격마다 수집된 트래픽 데이터에만 기초하여 디스플레이 데이터를 재생성하는 실시예에 따라 설명하기로 한다. 다만, 본 발명이 이에 한정되는 것은 아님을 유의해야 한다.
도 8을 참조하면, (+) 평면(30)에 제1 클러스터(31) 및 (-) 평면(40)에 제2 클러스터(41)를 확인할 수 있다. 이때, 제1 클러스터(31)는 제1 인디케이터(33) 및 제2 인디케이터(35)를 포함하고, 제2 클러스터(41)는 제3 인디케이터(43)를 포함한다. (-) 평면(40)에 제4 인디케이터(45)는 어떠한 클러스터에도 포함되지 않는다. 이때, 도 8에 도시된 도면을 과거 시간 간격에 수집된 트래픽 데이터에 기초하여 디스플레이된 화면이라 가정하고, 이하 도 9 내지 도 11에 도시된 도면을 당해 시간 간격에 수집된 트래픽 데이터에 기초하여 디스플레이된 화면이라 가정하기로 한다.
도 9를 참조하면 도 8과 달리, 변화된 제1 클러스터(33a)는 클러스터의 크기가 축소되었으며, 변화된 제1 인디케이터(33a)는 여전히 변화된 제 1클러스터(33a)에 포함되는 반면에, 제2 인디케이터는 (+) 평면(30)에서 제외되었다. 또한, 변화된 제2 클러스터(41a)는 클러스터의 크기가 확대되었으며, 변화된 제4 인디케이터(45a)는 변화된 제2 클러스터(41a)에 포함된다. 도 9를 참조하여 설명된 것처럼, 수집되는 트래픽 데이터의 변화에 따라 표현되는 인디케이터들의 위치가 변화되고, 인디케이터들의 위치 변화에 따라 클러스터의 크기 또한 변화된다. 예를 들어, (+) 평면(30)에 정상 행위 인디케이터들이 표현되고, (-)평면(40)에 이상 행위 인디케이터들이 표현되는 경우, 당해 시간 간격에 수집된 트래픽 데이터에서 IoT 기기의 이상 행위가 증가한 것으로 사용자가 판단할 수 있다.
도 10을 참조하면 도 8과 달리, 다른 변화된 제2 클러스터(41b)가 (+) 평면(30)에 도시된 것을 확인할 수 있다. 예를 들어, (+) 평면(30)에 정상 행위 인디케이터들이 표현되고, (-)평면(40)에 이상 행위 인디케이터들이 표현되는 경우, 과거 시간 간격에 이상 행위로 판단된 IoT 기기의 행위들이 당해 시간 간격에 정상 행위로 변화된 것을 사용자가 판단할 수 있다. 이에 반해, 도 11을 참조하면 도 8과 달리, 다른 변화된 제1 클러스터(31b)가 (-) 평면(40)에 도시된 것을 확인할 수 있다. 예를 들어, (+) 평면(30)에 정상 행위 인디케이터들이 표현되고, (-)평면(40)에 이상 행위 인디케이터들이 표현되는 경우, 과거 시간 간격에 정상 행위로 판단된 IoT 기기의 행위들이 당해 시간 간격에 이상 행위로 변화된 것을 사용자가 판단할 수 있다.
지금까지 도 2 내지 도 12를 참조하여, 본 발명의 다른 실시예에 따른 IoT 기기의 이상 행위 모니터링 방법 및 그 응용분야에 대해서 설명하였다. 본 실시예에 따르면, 네트워크에 연결된 IoT 기기의 이상 행위를 직관적으로 모니터링할 수 있다. 또한, 트래픽 데이터의 변화에 기초하여 복수의 IoT 기기 각각의 행위들을 다시 클러스터링하고, 클러스터링의 결과 형성된 클러스터에 기초하여 디스플레이 데이터를 재생성함으로써, 네트워크에 연결된 IoT 기기 각각의 행위 추이에 대해서도 모니터링할 수도 있다.
이하, 도 13 내지 도 14를 참조하여 본 발명의 또 다른 실시예에 따른 IoT 기기의 이상 행위 모니터링 장치에 대하여 설명하기로 한다.
도 13을 참조하면, IoT 기기의 이상 행위 모니터링 장치(300)는 이상 행위 판단부(310), 클러스터링부(320), 디스플레이 데이터 생성부(330) 및 디스플레이 데이터 재생성부(340)를 포함할 수 있다. 도 13에 개시된 IoT 기기의 이상 행위 모니터링 장치(300) 각각의 구성 요소들은 기능적으로 구분되는 기능 요소들을 나타낸 것으로서, 어느 하나 이상의 구성 요소가 실제 물리적 환경에서는 서로 통합되어 구현될 수 있다. 이하, IoT 기기의 이상 행위 모니터링 장치(300)의 구성 요소에 대해 보다 구체적으로 설명하기로 한다.
이상 행위 판단부(310)는 복수의 IoT 기기들의 행위를 나타내는 트래픽 데이터에 기초하여, 복수의 IoT 기기 각각의 행위마다 행위의 이상 여부를 판단할 수 있다. 이러한, 이상 행위 판단부(310)가 수행하는 보다 구체적인 동작들은 도 2를 참조하여 설명된 단계 S100에 대한 설명을 참조하면 구체화될 수 있을 것이다.
클러스터링부(320)는 트래픽 데이터 및 행위 이상 여부 판단의 결과에 기초하여, 복수의 IoT 기기 각각의 행위를 클러스터링할 수 있다. 이러한, 클러스터링부(320)가 수행하는 보다 구체적인 동작들은 도 2를 참조하여 설명된 단계 S200에 대한 설명을 참조하면 구체화될 수 있을 것이다.
디스플레이 데이터 생성부(330)는 행위 이상 여부 판단의 결과에 기초하여 구분된 정상 행위 클러스터와 이상 행위 클러스터가 서로 다른 평면에 디스플레이되도록, 클러스터링의 결과 형성된 복수의 클러스터에 대한 디스플레이 데이터를 생성할 수 있다. 이러한, 디스플레이 데이터 생성부(330)가 수행하는 보다 구체적인 동작들은 도 2를 참조하여 설명된 단계 S300에 대한 설명을 참조하면 구체화될 수 있을 것이다.
디스플레이 데이터 재생성부(340)는 미리 결정된 시간 간격마다, 복수의 클러스터에 대한 디스플레이 데이터를 재생성할 수 있다. 이러한, 디스플레이 데이터 재생성부(340)가 수행하는 보다 구체적인 동작들은 도 2를 참조하여 설명된 단계 S400에 대한 설명을 참조하면 구체화될 수 있을 것이다.
이하, 도 14를 참조하여 본 발명의 또 다른 실시예에 따른 IoT 기기의 이상 행위 모니터링 장치(300)의 하드웨어 구성을 보다 구체적으로 설명하기로 한다.
컴퓨팅 장치(1500)는 하나 이상의 프로세서(1510), 버스(1550), 통신 인터페이스(1570), 프로세서(1510)에 의하여 수행되는 컴퓨터 프로그램(1591)을 로드(load)하는 메모리(1530)와, 컴퓨터 프로그램(1591)을 저장하는 스토리지(1590)를 포함할 수 있다. 다만, 도 14에는 본 발명의 실시예와 관련 있는 구성 요소들 만이 도시되어 있다. 따라서, 본 발명이 속한 기술분야의 통상의 기술자라면 도 14에 도시된 구성요소들 외에 다른 범용적인 구성 요소들이 더 포함될 수 있음을 알 수 있다.
프로세서(1510)는 컴퓨팅 장치(1500)의 각 구성의 전반적인 동작을 제어한다. 프로세서(1510)는 CPU(Central Processing Unit), MPU(Micro Processor Unit), MCU(Micro Controller Unit), GPU(Graphic Processing Unit) 또는 본 발명의 기술 분야에 잘 알려진 임의의 형태의 프로세서를 포함하여 구성될 수 있다. 또한, 프로세서(1510)는 본 발명의 실시예들에 따른 방법을 실행하기 위한 적어도 하나의 애플리케이션 또는 프로그램에 대한 연산을 수행할 수 있다. 컴퓨팅 장치(1500)는 하나 이상의 프로세서를 구비할 수 있다.
메모리(1530)는 각종 데이터, 명령 및/또는 정보를 저장한다. 메모리(1530)는 본 발명의 실시예들에 따른 방법을 실행하기 위하여 스토리지(1590)로부터 하나 이상의 프로그램(1591)을 로드 할 수 있다. 메모리(1530)는 RAM과 같은 휘발성 메모리로 구현될 수 있을 것이나, 본 발명의 기술적 범위가 이에 한정되는 것은 아니다.
버스(1550)는 컴퓨팅 장치(1500)의 구성 요소 간 통신 기능을 제공한다. 버스(1550)는 주소 버스(Address Bus), 데이터 버스(Data Bus) 및 제어 버스(Control Bus) 등 다양한 형태의 버스로 구현될 수 있다.
통신 인터페이스(1570)는 컴퓨팅 장치(1500)의 유무선 인터넷 통신을 지원한다. 또한, 통신 인터페이스(1570)는 인터넷 통신 외의 다양한 통신 방식을 지원할 수도 있다. 이를 위해, 통신 인터페이스(1570)는 본 발명의 기술 분야에 잘 알려진 통신 모듈을 포함하여 구성될 수 있다.
몇몇 실시예들에 따르면, 통신 인터페이스(1570)는 생략될 수도 있다.
스토리지(1590)는 상기 하나 이상의 프로그램(1591)과 각종 데이터를 비임시적으로 저장할 수 있다.
스토리지(1590)는 ROM(Read Only Memory), EPROM(Erasable Programmable ROM), EEPROM(Electrically Erasable Programmable ROM), 플래시 메모리 등과 같은 비휘발성 메모리, 하드 디스크, 착탈형 디스크, 또는 본 발명이 속하는 기술 분야에서 잘 알려진 임의의 형태의 컴퓨터로 읽을 수 있는 기록 매체를 포함하여 구성될 수 있다.
컴퓨터 프로그램(1591)은 메모리(1530)에 로드 될 때 프로세서(1510)로 하여금 본 발명의 다양한 실시예에 따른 방법/동작을 수행하도록 하는 하나 이상의 인스트럭션들을 포함할 수 있다. 즉, 프로세서(1510)는 상기 하나 이상의 인스트럭션들을 실행함으로써, 본 발명의 다양한 실시예에 따른 방법/동작들을 수행할 수 있다.
위와 같은 경우, 컴퓨팅 장치(1500)를 통해 본 발명의 또 다른 실시예에 따른 IoT 기기의 이상 행위 모니터링 장치가 구현될 수 있다.
지금까지 도 1 내지 도 14를 참조하여 본 발명의 다양한 실시예들 및 그 실시예들에 따른 효과들을 언급하였다. 본 발명의 기술적 사상에 따른 효과들은 이상에서 언급한 효과들로 제한되지 않으며, 언급되지 않은 또 다른 효과들은 아래의 기재로부터 통상의 기술자에게 명확하게 이해될 수 있을 것이다.
지금까지 도 1 내지 도 14를 참조하여 설명된 본 발명의 기술적 사상은 컴퓨터가 읽을 수 있는 매체 상에 컴퓨터가 읽을 수 있는 코드로 구현될 수 있다. 상기 컴퓨터로 읽을 수 있는 기록 매체는, 예를 들어 이동형 기록 매체(CD, DVD, 블루레이 디스크, USB 저장 장치, 이동식 하드 디스크)이거나, 고정식 기록 매체(ROM, RAM, 컴퓨터 구비 형 하드 디스크)일 수 있다. 상기 컴퓨터로 읽을 수 있는 기록 매체에 기록된 상기 컴퓨터 프로그램은 인터넷 등의 네트워크를 통하여 다른 컴퓨팅 장치에 전송되어 상기 다른 컴퓨팅 장치에 설치될 수 있고, 이로써 상기 다른 컴퓨팅 장치에서 사용될 수 있다.
이상에서, 본 발명의 실시예를 구성하는 모든 구성 요소들이 하나로 결합되거나 결합되어 동작하는 것으로 설명되었다고 해서, 본 발명의 기술적 사상이 반드시 이러한 실시예에 한정되는 것은 아니다. 즉, 본 발명의 목적 범위 안에서라면, 그 모든 구성요소들이 하나 이상으로 선택적으로 결합하여 동작할 수도 있다.
도면에서 동작들이 특정한 순서로 도시되어 있지만, 반드시 동작들이 도시된 특정한 순서로 또는 순차적 순서로 실행 되어야만 하거나 또는 모든 도시 된 동작들이 실행 되어야만 원하는 결과를 얻을 수 있는 것으로 이해되어서는 안 된다. 특정 상황에서는, 멀티태스킹 및 병렬 처리가 유리할 수도 있다. 더욱이, 위에 설명한 실시예들에서 다양한 구성들의 분리는 그러한 분리가 반드시 필요한 것으로 이해되어서는 안 되고, 설명된 프로그램 컴포넌트들 및 시스템들은 일반적으로 단일 소프트웨어 제품으로 함께 통합되거나 다수의 소프트웨어 제품으로 패키지 될 수 있음을 이해하여야 한다.
이상 첨부된 도면을 참조하여 본 발명의 실시예들을 설명하였지만, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 그 기술적 사상이나 필수적인 특징을 변경하지 않고서 본 발명이 다른 구체적인 형태로도 실시될 수 있다는 것을 이해할 수 있다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적인 것이 아닌 것으로 이해해야만 한다. 본 발명의 보호 범위는 아래의 청구범위에 의하여 해석되어야 하며, 그와 동등한 범위 내에 있는 모든 기술 사상은 본 발명에 의해 정의되는 기술적 사상의 권리범위에 포함되는 것으로 해석되어야 할 것이다.

Claims (19)

  1. 컴퓨팅 장치에 의해 수행되는 방법에 있어서,
    복수의 IoT 기기들의 행위를 나타내는 트래픽 데이터에 기초하여, 복수의 IoT 기기 각각의 행위마다 행위의 이상 여부를 판단하는 단계;
    상기 트래픽 데이터 및 상기 판단의 결과에 기초하여, 상기 복수의 IoT 기기 각각의 행위를 클러스터링하는 단계; 및
    상기 판단의 결과에 기초하여 구분된 정상 행위 클러스터와 이상 행위 클러스터가 서로 다른 평면에 디스플레이되도록, 상기 클러스터링의 결과 형성된 복수의 클러스터에 대한 디스플레이 데이터를 생성하는 단계를 포함하되,
    상기 디스플레이 데이터를 생성하는 단계는,
    상기 복수의 클러스터에 포함된 상기 복수의 IoT 기기의 행위 각각을 3차원 공간 내에 서로 다른 위치를 가지는 각각의 인디케이터로 구분하여 나타내는 디스플레이 데이터를 생성하는 단계를 포함하고,
    상기 3차원 공간 내에서 상기 각각의 인디케이터의 위치는, 상기 복수의 IoT 기기 각각의 행위의 이상 여부를 나타내는 스코어에 적어도 부분적으로 기초하여 결정되고,
    상기 정상 행위 클러스터에 대응되는 인디케이터는, 상기 3차원 공간 내에서 z축의 값이 양인 공간에 표현되고, 상기 이상 행위 클러스터에 대응되는 인디케이터는 상기 3차원 공간 내에서 z축의 값이 음인 공간에 표현되는,
    IoT 기기의 이상 행위 모니터링 방법.
  2. 제1 항에 있어서,
    상기 클러스터링하는 단계는,
    상기 트래픽 데이터 및 상기 판단의 결과에 기초하여, 상기 복수의 IoT 기기 각각의 행위에 대응되는 벡터를 생성하는 단계;
    상기 생성된 벡터의 차원을 미리 결정된 차원으로 축소하는 단계; 및
    차원 축소된 벡터에 기초하여, 상기 복수의 IoT 기기 각각의 행위를 클러스터링하는 단계를 포함하는,
    IoT 기기의 이상 행위 모니터링 방법.
  3. 제2 항에 있어서,
    상기 트래픽 데이터로부터 트래픽의 출발지 또는 도착지와 관련된 국가 정보를 추출하는 단계를 더 포함하는,
    IoT 기기의 이상 행위 모니터링 방법.
  4. 제2 항에 있어서,
    상기 트래픽 데이터로부터 트래픽의 출발지 또는 도착지와 관련된 포트 정보를 추출하는 단계를 더 포함하는,
    IoT 기기의 이상 행위 모니터링 방법.
  5. 제4 항에 있어서,
    상기 포트 정보를 추출하는 단계는,
    상기 포트의 유형이 잘 알려진 포트(well-known port)인 경우, 상기 포트의 포트 번호를 상기 포트 정보로서 결정하고, 상기 포트의 유형이 등록 포트(registered port) 또는 동적 포트(dynamic port)인 경우, 미리 결정된 문자열을 상기 포트 정보로서 결정하는 단계를 포함하는,
    IoT 기기의 이상 행위 모니터링 방법.
  6. 제2 항에 있어서,
    상기 트래픽 데이터에 포함된 프로토콜 정보를 원 핫 인코딩(one-hot encoding)하는 단계를 더 포함하는,
    IoT 기기의 이상 행위 모니터링 방법.
  7. 제2 항에 있어서,
    상기 생성된 벡터의 차원을 미리 결정된 차원으로 축소하는 단계는,
    PCA(Principal Components Analysis)를 이용하여, 상기 벡터의 차원을 2차원으로 축소하는 단계를 포함하는,
    IoT 기기의 이상 행위 모니터링 방법.
  8. 제2 항에 있어서,
    상기 차원 축소된 벡터에 기초하여, 상기 복수의 IoT 기기 각각의 행위를 클러스터링하는 단계는,
    DBSCAN(Density-Based Spatial Clustering of Applications with Noise)을 이용하여, 상기 복수의 IoT 기기 각각의 행위를 클러스터링하는 단계를 포함하는,
    IoT 기기의 이상 행위 모니터링 방법.
  9. 제2 항에 있어서,
    상기 복수의 IoT 기기로부터 획득된 트래픽 데이터에 기초하여, 복수의 IoT 기기 각각의 행위마다 행위의 이상 여부를 판단하는 단계는,
    상기 복수의 IoT 기기 각각의 행위마다 행위의 이상 여부를 나타내는 스코어를 생성하는 단계를 포함하고,
    상기 복수의 클러스터에 대한 디스플레이 데이터를 생성하는 단계는,
    상기 복수의 IoT 기기 각각의 행위에 대응되는 상기 차원 축소된 벡터 및 상기 스코어를 3차원 공간에 표현하는 디스플레이 데이터를 생성하는 단계를 포함하는,
    IoT 기기의 이상 행위 모니터링 방법.
  10. 삭제
  11. 삭제
  12. 제1 항에 있어서,
    상기 각각의 인디케이터로 구분하여 나타내는 디스플레이 데이터를 생성하는 단계는,
    상기 클러스터에 포함된 IoT 기기의 행위 각각의 유지 시간에 기초하여 상기 IoT 기기의 행위를 나타내는 인디케이터를 하이라이팅하는 디스플레이 데이터를 생성하는 단계를 포함하는,
    IoT 기기의 이상 행위 모니터링 방법.
  13. 제1 항에 있어서,
    상기 각각의 인디케이터로 구분하여 나타내는 디스플레이 데이터를 생성하는 단계는,
    상기 클러스터에 최초로 포함된 IoT 기기의 행위를 나타내는 인디케이터를 하이라이팅하는 디스플레이 데이터를 생성하는 단계를 포함하는,
    IoT 기기의 이상 행위 모니터링 방법.
  14. 제1 항에 있어서,
    상기 복수의 클러스터에 대한 디스플레이 데이터를 생성하는 단계는,
    클러스터에 단위 시간당 최초로 포함된 IoT 기기의 행위의 개수에 기초하여, 상기 클러스터를 하이라이팅하는 디스플레이 데이터를 생성하는 단계를 포함하는,
    IoT 기기의 이상 행위 모니터링 방법.
  15. 제1 항에 있어서,
    상기 복수의 클러스터에 대한 디스플레이 데이터를 생성하는 단계는,
    상기 이상 행위 클러스터에 최초로 포함된 IoT 기기의 행위가 존재하는 경우, 상기 이상 행위 클러스터를 하이라이팅하는 디스플레이 데이터를 생성하는 단계를 포함하는,
    IoT 기기의 이상 행위 모니터링 방법.
  16. 제1 항에 있어서,
    미리 결정된 시간 간격마다, 상기 복수의 클러스터에 대한 디스플레이 데이터를 재생성하는 단계를 더 포함하는,
    IoT 기기의 이상 행위 모니터링 방법.
  17. 제16 항에 있어서,
    상기 복수의 클러스터에 대한 디스플레이 데이터를 재생성하는 단계는,
    상기 복수의 클러스터에 대한 디스플레이 데이터의 변화 과정을 점진적으로 표현하는 단계를 포함하는,
    IoT 기기의 이상 행위 모니터링 방법.
  18. 프로세서;
    네트워크 인터페이스;
    메모리; 및
    상기 메모리에 로드(load)되고, 상기 프로세서에 의해 실행되는 컴퓨터 프로그램을 포함하되,
    상기 컴퓨터 프로그램은,
    복수의 IoT 기기들의 행위를 나타내는 트래픽 데이터에 기초하여, 복수의 IoT 기기 각각의 행위마다 행위의 이상 여부를 판단하는 인스트럭션;
    상기 트래픽 데이터 및 상기 판단의 결과에 기초하여, 상기 복수의 IoT 기기 각각의 행위를 클러스터링하는 인스트럭션; 및
    상기 판단의 결과에 기초하여 구분된 정상 행위 클러스터와 이상 행위 클러스터가 서로 다른 평면에 디스플레이되도록, 상기 클러스터링의 결과 형성된 복수의 클러스터에 대한 디스플레이 데이터를 생성하는 인스트럭션을 포함하되,
    상기 디스플레이 데이터를 생성하는 인스트럭션은,
    상기 복수의 클러스터에 포함된 상기 복수의 IoT 기기의 행위 각각을 3차원 공간 내에 서로 다른 위치를 가지는 각각의 인디케이터로 구분하여 나타내는 디스플레이 데이터를 생성하는 인스트럭션을 포함하고,
    상기 3차원 공간 내에서 상기 각각의 인디케이터의 위치는, 상기 복수의 IoT 기기 각각의 행위의 이상 여부를 나타내는 스코어에 적어도 부분적으로 기초하여 결정되고,
    상기 정상 행위 클러스터에 대응되는 인디케이터는, 상기 3차원 공간 내에서 z축의 값이 양인 공간에 표현되고, 상기 이상 행위 클러스터에 대응되는 인디케이터는 상기 3차원 공간 내에서 z축의 값이 음인 공간에 표현되는,
    IoT 기기의 이상 행위 모니터링 장치.
  19. 프로세서에 의해 실행 가능한 컴퓨터 프로그램 명령어들을 포함하는, IoT 기기의 이상 행위를 모니터링하기 위한 컴퓨터 프로그램으로서, 상기 컴퓨터 프로그램 명령어들이 컴퓨팅 디바이스의 프로세서에 의해 실행되는 경우에,
    복수의 IoT 기기들의 행위를 나타내는 트래픽 데이터에 기초하여, 복수의 IoT 기기 각각의 행위마다 행위의 이상 여부를 판단하는 단계;
    상기 트래픽 데이터 및 상기 판단의 결과에 기초하여, 상기 복수의 IoT 기기 각각의 행위를 클러스터링하는 단계; 및
    상기 판단의 결과에 기초하여 구분된 정상 행위 클러스터와 이상 행위 클러스터가 서로 다른 평면에 디스플레이되도록, 상기 클러스터링의 결과 형성된 복수의 클러스터에 대한 디스플레이 데이터를 생성하는 단계를 포함하되,
    상기 디스플레이 데이터를 생성하는 단계는,
    상기 복수의 클러스터에 포함된 상기 복수의 IoT 기기의 행위 각각을 3차원 공간 내에 서로 다른 위치를 가지는 각각의 인디케이터로 구분하여 나타내는 디스플레이 데이터를 생성하는 단계를 포함하고,
    상기 3차원 공간 내에서 상기 각각의 인디케이터의 위치는, 상기 복수의 IoT 기기 각각의 행위의 이상 여부를 나타내는 스코어에 적어도 부분적으로 기초하여 결정되고,
    상기 정상 행위 클러스터에 대응되는 인디케이터는, 상기 3차원 공간 내에서 z축의 값이 양인 공간에 표현되고, 상기 이상 행위 클러스터에 대응되는 인디케이터는 상기 3차원 공간 내에서 z축의 값이 음인 공간에 표현되는,
    컴퓨터 판독 가능한 기록 매체.
KR1020200176184A 2020-12-16 2020-12-16 IoT 기기의 이상 행위 모니터링 방법 및 그 장치 KR102290039B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020200176184A KR102290039B1 (ko) 2020-12-16 2020-12-16 IoT 기기의 이상 행위 모니터링 방법 및 그 장치
US17/208,889 US20220191113A1 (en) 2020-12-16 2021-03-22 Method and apparatus for monitoring abnormal iot device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020200176184A KR102290039B1 (ko) 2020-12-16 2020-12-16 IoT 기기의 이상 행위 모니터링 방법 및 그 장치

Publications (1)

Publication Number Publication Date
KR102290039B1 true KR102290039B1 (ko) 2021-08-13

Family

ID=77313507

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020200176184A KR102290039B1 (ko) 2020-12-16 2020-12-16 IoT 기기의 이상 행위 모니터링 방법 및 그 장치

Country Status (2)

Country Link
US (1) US20220191113A1 (ko)
KR (1) KR102290039B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102469664B1 (ko) * 2021-11-02 2022-11-23 주식회사 케이사인 이상 행위 탐지 방법 및 시스템

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115186158B (zh) * 2022-07-18 2023-04-18 山东云天安全技术有限公司 一种异常数据确定方法、电子设备及存储介质
CN118054971B (zh) * 2024-04-11 2024-06-21 南京中科齐信科技有限公司 一种基于工业网络通信行为智能分析的隔离系统

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101383069B1 (ko) * 2013-05-27 2014-04-08 한국전자통신연구원 네트워크 이상상태 탐지 장치 및 방법
KR101893475B1 (ko) * 2018-03-14 2018-10-04 마인드서프 주식회사 멀티레이어 시각화 표현을 위한 인공지능 기반의 네트워크 모니터링 방법
KR102044224B1 (ko) * 2017-11-03 2019-12-05 한림대학교 산학협력단 산업용 사물 인터넷에 기반한 산업 기기의 실행 실패 검출 시스템
KR20200033091A (ko) * 2018-09-19 2020-03-27 주식회사맥데이타 네트워크에 대한 인공지능 기반 이상 징후 검출 방법, 장치 및 시스템
US20200120004A1 (en) * 2018-10-10 2020-04-16 Cisco Technology, Inc. Classification of iot devices based on their network traffic
KR102143593B1 (ko) 2019-10-18 2020-08-11 주식회사 모비젠 오토인코더 기반 IoT기기의 이상징후 탐지 방법 및 그 시스템

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10404727B2 (en) * 2016-03-25 2019-09-03 Cisco Technology, Inc. Self organizing learning topologies
US10805324B2 (en) * 2017-01-03 2020-10-13 General Electric Company Cluster-based decision boundaries for threat detection in industrial asset control system
US20180212989A1 (en) * 2017-01-20 2018-07-26 1088211 B.C. Ltd. System and method for monitoring, capturing and reporting network activity
EP3811221A4 (en) * 2018-07-20 2021-07-07 Huawei Technologies Co., Ltd. APPARATUS AND METHOD FOR DETECTION OF ANOMALY IN A SET OF DATA AND ASSOCIATED COMPUTER PROGRAM PRODUCT
US10834106B2 (en) * 2018-10-03 2020-11-10 At&T Intellectual Property I, L.P. Network security event detection via normalized distance based clustering
US11121953B2 (en) * 2019-06-11 2021-09-14 Arris Enterprises Llc Access point performance monitoring and anomaly detection based on temporal and spatial anomalies
KR102291869B1 (ko) * 2019-12-31 2021-08-19 아주대학교산학협력단 비정상 트래픽 패턴의 탐지 방법 및 장치
US11601445B2 (en) * 2020-03-31 2023-03-07 Forescout Technologies, Inc. Clustering enhanced analysis
US11575697B2 (en) * 2020-04-30 2023-02-07 Kyndryl, Inc. Anomaly detection using an ensemble of models
US11108621B1 (en) * 2020-05-29 2021-08-31 Accedian Networks Inc. Network performance metrics anomaly detection

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101383069B1 (ko) * 2013-05-27 2014-04-08 한국전자통신연구원 네트워크 이상상태 탐지 장치 및 방법
KR102044224B1 (ko) * 2017-11-03 2019-12-05 한림대학교 산학협력단 산업용 사물 인터넷에 기반한 산업 기기의 실행 실패 검출 시스템
KR101893475B1 (ko) * 2018-03-14 2018-10-04 마인드서프 주식회사 멀티레이어 시각화 표현을 위한 인공지능 기반의 네트워크 모니터링 방법
KR20200033091A (ko) * 2018-09-19 2020-03-27 주식회사맥데이타 네트워크에 대한 인공지능 기반 이상 징후 검출 방법, 장치 및 시스템
KR102189829B1 (ko) * 2018-09-19 2020-12-11 주식회사 맥데이타 네트워크 보안 모니터링 방법, 네트워크 보안 모니터링 장치 및 시스템
US20200120004A1 (en) * 2018-10-10 2020-04-16 Cisco Technology, Inc. Classification of iot devices based on their network traffic
KR102143593B1 (ko) 2019-10-18 2020-08-11 주식회사 모비젠 오토인코더 기반 IoT기기의 이상징후 탐지 방법 및 그 시스템

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102469664B1 (ko) * 2021-11-02 2022-11-23 주식회사 케이사인 이상 행위 탐지 방법 및 시스템

Also Published As

Publication number Publication date
US20220191113A1 (en) 2022-06-16

Similar Documents

Publication Publication Date Title
KR102290039B1 (ko) IoT 기기의 이상 행위 모니터링 방법 및 그 장치
US20150293994A1 (en) Enhanced graph traversal
CN113420073A (zh) 基于改进的孤立森林的异常样本检测方法及相关设备
CN113312361B (zh) 轨迹查询方法、装置、设备、存储介质及计算机程序产品
CN102402479B (zh) 用于静态分析的中间表示结构
CN111193633B (zh) 异常网络连接的检测方法及装置
US20180189416A1 (en) Method and apparatus for visualizing relations between incident resources
US20170149800A1 (en) System and method for information security management based on application level log analysis
KR102131029B1 (ko) 사물인터넷 디바이스 식별 방법 및 시스템
CN112463432A (zh) 基于指标数据的巡检方法、装置及系统
JP4504346B2 (ja) トラブル要因検出プログラム、トラブル要因検出方法およびトラブル要因検出装置
US20130322682A1 (en) Profiling Activity Through Video Surveillance
US20210157928A1 (en) Information processing apparatus, information processing method, and program
EP3975112A1 (en) Object detection device, object detection method, program, and recording medium
US20210279633A1 (en) Algorithmic learning engine for dynamically generating predictive analytics from high volume, high velocity streaming data
CN108345791B (zh) 处理器安全检测方法、系统及检测装置
CN116303100A (zh) 一种基于大数据平台的文件集成测试方法及系统
US20210092159A1 (en) System for the prioritization and dynamic presentation of digital content
Alghawli Computer Vision Technology for Fault Detection Systems Using Image Processing.
KR102122095B1 (ko) Ai컴패니언의 상황인지, 현황 및 표현 정보를 통신프로토콜을 이용하여 모니터링하는 인터페이스 시스템 및 그 방법
KR20220048233A (ko) 비정상 이벤트 탐지 방법, 그리고 이를 구현하기 위한 장치
US20200104234A1 (en) Event log processing
US10362062B1 (en) System and method for evaluating security entities in a computing environment
JP2019145079A (ja) 異常監視装置、異常監視方法および異常監視プログラム
US20190018959A1 (en) Diagnosis device, diagnosis method, and non-transitory recording medium

Legal Events

Date Code Title Description
GRNT Written decision to grant