KR102354467B1 - 패킷에 대한 판단 지연을 이용한 네트워크 침입탐지 시스템 - Google Patents

패킷에 대한 판단 지연을 이용한 네트워크 침입탐지 시스템 Download PDF

Info

Publication number
KR102354467B1
KR102354467B1 KR1020210083071A KR20210083071A KR102354467B1 KR 102354467 B1 KR102354467 B1 KR 102354467B1 KR 1020210083071 A KR1020210083071 A KR 1020210083071A KR 20210083071 A KR20210083071 A KR 20210083071A KR 102354467 B1 KR102354467 B1 KR 102354467B1
Authority
KR
South Korea
Prior art keywords
packet
class
intrusion
classifier
unit
Prior art date
Application number
KR1020210083071A
Other languages
English (en)
Inventor
박우길
김태훈
Original Assignee
영남대학교 산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 영남대학교 산학협력단 filed Critical 영남대학교 산학협력단
Priority to KR1020210083071A priority Critical patent/KR102354467B1/ko
Priority to PCT/KR2021/011914 priority patent/WO2022270678A1/ko
Application granted granted Critical
Publication of KR102354467B1 publication Critical patent/KR102354467B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/24Traffic characterised by specific attributes, e.g. priority or QoS
    • H04L47/2441Traffic characterised by specific attributes, e.g. priority or QoS relying on flow classification, e.g. using integrated services [IntServ]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/32Flow control; Congestion control by discarding or delaying data units, e.g. packets or frames
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Biomedical Technology (AREA)
  • Computational Linguistics (AREA)
  • Data Mining & Analysis (AREA)
  • Evolutionary Computation (AREA)
  • General Health & Medical Sciences (AREA)
  • Molecular Biology (AREA)
  • Biophysics (AREA)
  • Artificial Intelligence (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Software Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Computer Security & Cryptography (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer Hardware Design (AREA)

Abstract

본 발명은 복수의 패킷으로 구성된 네트워크에 대한 침입 여부를 탐지하는 침입탐지 시스템에 있어서, 인공 신경망을 이용하여 외부의 침입 여부에 따라 침입 여부 탐지 대상인 상기 패킷을 정상 클래스 또는 공격 클래스 중 어느 하나로 분류하는 분류기; 및 상기 패킷에 대한 상기 분류기의 분류결과와 실제 침입 여부가 일치하지 않는 경우를 학습하여, 상기 패킷을 판단 클래스 또는 판단보류 클래스 중 어느 하나로 판단하는 판단부를 포함하며, 상기 분류기는, 상기 판단부에서 상기 패킷이 상기 판단 클래스로 판단된 경우, 침입 여부에 따라 상기 패킷을 상기 정상 클래스 또는 상기 공격 클래스 중 어느 하나로 분류하고, 상기 패킷이 상기 판단보류 클래스인 경우, 상기 패킷 다음으로 수신되는 패킷을 분류할 때까지 상기 패킷에 대한 분류를 보류하여, 오분류 가능성을 줄여 침입 탐지 성능을 높이며, 실시간으로 침입 여부에 대한 탐지가 가능한 것을 특징으로 한다.

Description

패킷에 대한 판단 지연을 이용한 네트워크 침입탐지 시스템{Network intrusion detection system using deferred decision for packet}
본 발명은 외부에서 네트워크로 침입이 발생한 경우 침입 여부를 탐지하는 침입탐지 시스템에 관한 것이다.
기존 기계학습 기반 네트워크 침입탐지 시스템(Machine-learning-based network intrusion detection system, ML-NIDS)은 세션이 종료된 후 칩임 여부를 탐지한다. ML-NIDS은 네트워크 침입이 발생한 후에 침입 사실을 파악할 수 있으므로 실제 침입한 시점과 ML-NIDS가 침입을 탐지한 시점 간에는 시간차가 존재한다. 이는 ML-NIDS가 네트워크 침입을 실시간으로 파악할 수 없으므로 네트워크를 신속하고 안전하게 보호는데 많은 한계를 야기한다. 그러므로 네트워크에 침입이 발생하는 경우 ML-NIDS가 실시간으로 침입을 탐지하는 기술이 요구된다.
이를 위해 종래 ML-NIDS는 네트워크 침입 여부를 보다 빠르게 파악하기 위해 전체 세션에 대한 통계적인 특성을 피처로 사용하는 방법과 세션 내 일부 패킷을 피처로 이용하는 방법을 이용하였다. 그러나, 전체 세션에 대한 통계적인 특성을 피처로 사용하는 방법은 세션이 종료된 후에 탐지에 필요한 세션 피처를 생성하게 되므로 여전히 침입이 발생한 시점에 침입 여부를 탐지할 수 없다. 즉, 침입 탐지에 대한 지연을 제거하는 것은 불가능하다. 반면, 세션 내 일부 패킷을 피처로 이용하는 방법은 세션 전체에 대한 것이 아니라 처음 일부 패킷만을 이용하므로 높은 정확도로 공격을 탐지하는 것이 가능하다. 또한, 이러한 패킷 데이터 기반 방식은 세션이 종료될 때까지 기다리지 않고 일정 수의 패킷만을 수신하면 침입 탐지가 가능하다. 두 번째 방법은 종래보다 빠르게 공격을 탐지할 수 있으나, 이 역시도 침입 여부 판단에 대한 지연이 발생하는 것을 막는 것이 불가능하다. 그 이유는, 두 번째 방법은 침입이 발생한 시점에 바로 탐지할 수는 없고 반드시 일정 수의 패킷을 수신하여야만 탐지가 가능하기 때문이다.
한편, 침입 발생 시 지연 없이 빠르게 침입 여부를 탐지하기 위한 가장 간단한 방법은 수신하는 모든 패킷에 대해 침입 여부를 판단하는 것이다. 그러나, 이 방법은 침입탐지 성능이 매우 떨어지는 문제가 발생할 수 있다. 네트워크를 침입하는 공격 트래픽은 초기에 일반 정상 트래픽과 구분되지 않을 수 있기 때문이다. 오히려 세션 초기에는 침입하는 공격 트래픽이 정상 트래픽과 유사하지만 이후 실제 침입을 위한 시도가 진행되면서 정상 트래픽과 차이가 나는 경우도 있다. 따라서, 세션의 첫 패킷부터 공격 여부를 구별할 경우, 공격 타입에 따라서 공격 트래픽이 세션 초기에 정상 트래픽으로 잘못 분류되는 경우가 많아 오히려 침입탐지 성능이 매우 떨어지는 문제가 발생할 수 있다.
이를 해결하기 위한 가장 간단한 방법 중 하나는 정상으로 이미 판단된 세션에 속하는 모든 패킷에 대해 공격 여부를 매 패킷마다 탐지하는 것이다. 이 방법은 초기에 정상으로 분류되었던 세션에서 일정 수의 패킷이 전송된 이후에 공격이 발생한 것을 탐지할 수 있으므로 초기에 오분류되는 문제를 해결할 수 있고 실시간적으로 침입을 탐지할 수 있다. 그러나 정상 세션에 속하는 모든 패킷을 탐지하는 방법은, 전체 트래픽에서 정상 트래픽이 차지하는 비중은 매우 높아트래픽의 양이 많아 실제 ML-NIDS에 적용함에 있어 큰 제약이 있다. 또한, 최근 트래픽의 양이 끊임없이 폭증하고 있으며, 그에 따라 NIDS가 처리할 네트워크 대역폭도 수 기가 bps를 넘어 수백 기가 bps로 커지고 있다. 따라서 모든 정상 세션의 패킷을 조사하기 위해서는 현재 개발된NIDS 보다 매우 높은 처리 성능이 요구되며, 이는 기술적 측면에서도 해결이 상당히 어렵다.
따라서, 종래 NIDS는 처리해야 하는 트래픽의 양이 많아 탐지 성능이 저조한 문제, 공격받은 경우와 정상인 경우를 오분류하여 침입 여부를 탐지하는데 정확성이 떨어지는 문제, 실시간으로 침입 발생을 탐지하지 못하는 문제를 동시에 가진다. 이에 본 출원인은 처리해야 하는 트래픽의 양을 줄이고, 초기에 정상 트래픽과 구별이 어려운 공격 트래픽에 대한 판단을 보류함으로써 해당 패킷이 잘못 분류되는 것을 방지하고 실시간으로 탐지가 가능한 침입탐지 시스템에 대한 연구 개발을 진행하였다.
한국등록특허 제10-2083028호 한국공개특허 제10-2013-0006750호 한국등록특허 제10-1139913호
본 발명은 네트워크 침입탐지 시스템으로서, 외부에서 네트워크에 대한 침입이 발생한 경우 탐지의 정확성을 높이면서 실시간으로 침입 여부를 탐지할 수 있는 시스템을 제공하고자 한다.
본 발명이 해결하려는 과제들은 앞에서 언급한 과제들로 제한되지 않는다. 본 발명의 다른 과제 및 장점들은 아래 설명에 의해 더욱 분명하게 이해될 것이다.
상기 목적을 달성하기 위하여 본 발명은, 복수의 패킷으로 구성된 네트워크에 대한 침입 여부를 탐지하는 침입탐지 시스템에 있어서, 인공 신경망을 이용하여 외부의 침입 여부에 따라 침입 여부 탐지 대상인 상기 패킷을 정상 클래스 또는 공격 클래스 중 어느 하나로 분류하는 분류기; 및 상기 패킷에 대한 상기 분류기의 분류결과와 실제 침입 여부가 일치하지 않는 경우를 학습하여, 상기 패킷을 판단 클래스 또는 판단보류 클래스 중 어느 하나로 판단하는 판단부를 포함하며, 상기 분류기는, 상기 판단부에서 상기 패킷이 상기 판단 클래스로 판단된 경우, 침입 여부에 따라 상기 패킷을 상기 정상 클래스 또는 상기 공격 클래스 중 어느 하나로 분류하고, 상기 패킷이 상기 판단보류 클래스인 경우, 상기 패킷 다음으로 수신되는 패킷을 분류할 때까지 상기 패킷에 대한 분류를 보류하여, 개별 패킷마다 침입 여부를 판단함으로써 네트워크에 대한 침입 여부를 실시간으로 탐지하는 것을 특징으로 한다.
바람직하게, 상기 분류기에서 분류된 상기 패킷에 대한 분류 결과에 따라 상기 패킷을 처리하는 처리부를 더 포함하며, 상기 처리부는, 상기 분류기에서 상기 패킷이 상기 정상 클래스로 분류된 경우 상기 패킷을 포워딩하고, 상기 패킷이 상기 공격 클래스로 분류된 경우 상기 패킷을 폐기 처리할 수 있다.
바람직하게, 상기 분류기는, 상기 인공 신경망에 대한 입력으로 상기 패킷에 대한 피처를 생성하는 피쳐 생성부; 및 상기 피쳐에 대한 상기 인공 신경망의 출력에 따라 상기 패킷을 상기 정상 클래스 또는 상기 공격 클래스 중 어느 하나로 분류하는 분류부를 포함할 수 있다.
바람직하게, 상기 분류기에 마련되는 상기 인공 신경망은, 복수 개의 유닛(unit)이 순차적으로 연결되어 형성된 순환 신경망으로, 상기 유닛은 상기 패킷마다 마련되며, 상기 유닛은 전후 연결되어 입출력에 영향을 미칠 수 있다.
바람직하게, 상기 분류기는, 상기 판단부에서 상기 패킷이 상기 판단보류 클래스로 분류된 경우, 상기 패킷과 매칭되는 상기 유닛(unit n)의 입력은 상기 패킷의 피쳐와 이전 유닛(unit n+1)의 출력을 포함하여, 이전 패킷의 특성을 반영할 수 있다.
바람직하게, 상기 피쳐 생성부는, 상기 패킷의 데이터 중 헤더를 포함한 일정 크기의 데이터를 기준으로 하여 수신되는 상기 패킷마다 상기 피쳐를 독립적으로 생성할 수 있다.
바람직하게, 상기 판단부는, 상기 분류기의 분류 결과와 실제 침입 여부가 일치하지 않는 경우에 해당되는 상기 패킷을 학습하는 판단보류 학습모델; 및 상기 기준 데이터와 상기 패킷의 데이터를 비교하여 상기 패킷이 상기 판단 클래스에 속하는지 또는 상기 판단보류 클래스에 속하는지 분류하는 결정 모듈을 포함할 수 있다.
바람직하게, 상기 판단보류 학습모델은, 상기 패킷으로 구성된 임의의 학습 데이터를 상기 분류기에 대해 분류하여 상기 분류기의 분류 결과와 실제 침입 여부가 일치하지 않는 오분류 데이터를 추출하는 추출 모듈; 상기 오분류 데이터를 상기 판단보류 클래스로 지정하고, 상기 오분류 데이터를 상기 판단보류 클래스에 대해 단일 분류 학습시키는 학습 모듈; 및 상기 학습 데이터에 대해 상기 학습 모듈에서 학습된 단일 분류를 수행하는 단일 분류 모듈을 포함할 수 있다.
본 발명은 초기에 정상 트래픽인지 공격 트래픽인지 구분이 명확하지 않은 경우 정확한 분류가 가능할 때까지 탐지를 보류한다. 이를 통해 정상 트래픽이 공격 트래픽으로, 공격 트래픽이 정상 트래픽으로 잘못 분류되는 것을 방지하여 정확도 높은 침입 탐지가 가능하며, 실시간으로 침입 여부를 탐지할 수 있다.
본 발명에 따르면, 처리해야 하는 트래픽을 양을 줄임으로써 침입탐지 시스템의 수행 속도를 높일 수 있다. 본 발명은 전체 네트워크 트래픽의 대부분을 차지하는 정상 트래픽을 조기에 정상 트래픽으로 탐지하여 정상으로 분류된 트래픽에 대해서는 침입 여부를 탐지하지 않도록 하여 처리해야 하는 트래픽을 양을 줄일 수 있다. 또한, 매 패킷에 대한 침입 여부 판단을 수행하고 판단이 보류된 패킷 이후 특정 패킷의 트래픽이 정상 또는 공격으로 분류된 경우에는 이후 패킷에 대한 판단을 하지 않음으로써 처리할 트래픽을 양을 줄일 수 있는 장점을 갖는다.
본 발명은 패킷에 대해 분류기를 적용함에 있어서 패킷별로 해당 패킷의 특징이 반영된 피쳐를 이용하는데, 피쳐를 생성함에 있어서 전체 패킷의 바이트 값을 이용하지 않고, 일부 바이트 값 중 SIP, DIP, ID, Source Port 등을 제거한 값만을 이용하므로 피쳐의 크기를 줄일 수 있다.
도 1은 본 발명의 실시예에 따른 침입탐지 시스템의 구성도를 나타낸다.
도 2는 본 발명의 실시예에 따른 침입탐지 시스템과 종래 분류기가 복수 개의 패킷을 포함하는 세션이 공격 세션이라고 판단하는 과정을 나타낸다.
도 3은 본 발명의 실시예에 따른 분류기의 구성도를 나타낸다.
도 4는 본 발명의 실시예에 따른 판단보류 학습모델이 구축되는 과정을 나타낸다.
도 5는 본 발명의 실시예에 따른 침입탐지 시스템에서 침입 여부를 분류하는 과정을 나타낸다
이하, 첨부된 도면들에 기재된 내용들을 참조하여 본 발명을 상세히 설명한다. 다만, 본 발명이 예시적 실시예들에 의해 제한되거나 한정되는 것은 아니다. 각 도면에 제시된 동일 참조부호는 실질적으로 동일한 기능을 수행하는 부재를 나타낸다.
본 발명의 목적 및 효과는 하기의 설명에 의해서 자연스럽게 이해되거나 보다 분명해질 수 있으며, 하기의 기재만으로 본 발명의 목적 및 효과가 제한되는 것은 아니다. 또한, 본 발명을 설명함에 있어서 본 발명과 관련된 공지 기술에 대한 구체적인 설명이, 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략하기로 한다.
도 1은 본 발명의 실시예에 따른 침입탐지 시스템(1)의 구성도를 나타낸다. 침입탐지 시스템(1)은 복수의 패킷으로 구성된 네트워크에 대한 침입 여부를 탐지하는 시스템으로, 개별 패킷마다 침입 여부를 판단함으로써 네트워크에 대한 침입 여부를 실시간으로 탐지할 수 있다. 침입탐지 시스템(1)은판단부(10), 분류기(30) 및 처리부(50)를 포함할 수 있다.
판단부(10)는 패킷에 대한 분류기(30)의 분류 결과와 실제 침입 여부가 일치하지 않는 경우를 학습하여, 패킷을 판단 클래스 또는 판단보류 클래스 중 어느 하나로 판단할 수 있다. 즉, 판단부(10)는 초기에 수신되는 패킷에 대해 침입 여부를 판단할 때 오분류될 수 있는 세션들을 미리 기계학습을 통해 학습함으로써, 해당 패킷에 대한 정확한 판단이 가능할 때까지 판단을 보류할 수 있다.
판단부(10)는 판단보류 학습모델(110), 결정 모듈(130)을 포함할 수 있다. 판단보류 학습모델(110)은 분류기(30)의 분류 결과와 실제 침입 여부가 일치하지 않는 경우에 해당되는 패킷을 학습할 수 있다.
판단보류 학습모델(110)은 추출 모듈(1101), 학습 모듈(1130) 및 단일 분류 모듈(1105)을 포함할 수 있다. 추출 모듈(1101)은 패킷으로 구성된 임의의 학습 데이터를 분류기(30)에 대해 분류하여 분류기(30)의 분류 결과와 실제 침입 여부가 일치하지 않는 오분류 데이터를 추출할 수 있다. 학습 모듈(1103)은 오분류 데이터를 판단보류 클래스로 지정하고, 오분류 데이터를 판단보류 클래스에 대해 단일 분류 학습시킬 수 있다. 이때 학습 모듈(1103)은 one-class 분류기를 이용하여 오분류 데이터를 추출하고, 이를 판단보류 클래스로 분류할 수 있다. 단일 분류 모듈(1105)은 학습 데이터에 대해 학습 모듈(1103)에서 학습된 단일 분류를 수행하여 오분류된 데이터 트래픽과 유사한 트래픽을 갖는 패킷을 선별할 수 있다. 판단보류 학습모델(110)에 대한 설명은 이하 도 4 및 도 5에서 자세히 후술한다.
결정 모듈(130)은 기준 데이터와 패킷의 데이터를 비교하여 패킷이 판단 클래스에 속하는지 또는 판단보류 클래스에 속하는지 분류할 수 있다. 결정 모듈(130)에서 해당 패킷이 판단보류 클래스에 속하는 경우 이후 분류기(30)의 인공 신경망(330)에서 복수 회의 분류가 수행될 수 있다.
분류기(30)는 인공 신경망을 이용하여 외부의 침입 여부에 따라 침입 여부 탐지 대상인 패킷을 정상 클래스 또는 공격 클래스 중 어느 하나로 분류할 수 있다. 분류기(30)는 판단부(10)에서 패킷이 판단 클래스로 판단된 경우, 침입 여부에 따라 패킷을 정상 클래스 또는 공격 클래스 중 어느 하나로 분류하고, 패킷이 판단보류 클래스인 경우, 패킷 다음으로 수신되는 패킷을 분류할 때까지 패킷에 대한 분류를 보류할 수 있다.
분류기(30)는 피쳐 생성부(310), 인공신경망(330) 및 분류부(350)를 포함할 수 있다. 피쳐 생성부(310)는 인공 신경망(330)에 대한 입력으로 패킷에 대한 피처를 생성할 수 있다. 피쳐 생성부(310)는 패킷의 데이터 중 헤더를 포함한 일정 크기(n바이트)의 데이터를 기준으로 하여 수신되는 패킷마다 피쳐를 독립적으로 생성할 수 있다. 피쳐 생성부(310)는 피쳐 생성 시, 특정 세션에 의존적인 학습을 지양하기 위해서 생성된 피쳐에서 SIP, DIP, IP ID에 해당하는 값들을 제외하며, TCP, UDP 등 포트 번호를 갖는 경우 source port(혹은 역방향 패킷인 경우 destination port) 등을 제외할 수 있다. 피쳐의 전체 크기를 결정하는 값인 n은 학습 데이터에 따라 다르게 설정될 수 있으며, 학습 데이터를 기준으로 최적의 값으로 설정될 수 있다.
인공 신경망(330)은 복수 개의 유닛(3301)이 순차적으로 연결되어 형성된 순환 신경망일 수 있다. 유닛(3301)은 패킷마다 마련될 수 있으며, 복수 개의 유닛(3301)은 전후 연결되어 다음 유닛(3301)의 입출력에 영향을 미칠 수 있다. 판단부(10)에서 패킷이 판단보류 클래스로 분류된 경우, 해당 패킷과 매칭되는 유닛(unit n)의 입력은 해당 패킷의 피쳐와 이전 유닛(unit n-1)의 출력 정보를 포함할 수 있다.
분류부(350)는 피쳐에 대한 인공 신경망(330)의 출력에 따라 패킷을 정상 클래스 또는 공격 클래스 중 어느 하나로 분류할 수 있다. 인공 신경망(330)은 출력 부분에 DNN을 포함할 수 있으며, 분류부(350)에서 정상 클래스 또는 공격 클래스로 판단되는 대상은 유닛(3301) 분류와 DNN을 거친 출력일 수 있다.
처리부(50)는 과거에 수행된 침입 판단에서 정상으로 분류된 세션에 대해 whitelist로 저장된 정보와 침입으로 분류된 세션에 대해 blacklist로 저장된 정보를 이용하여 패킷에 대한 처리를 수행할 수 있다. 처리부(50)는 whitelist 또는 blacklist에서 수신된 패킷이 속하는 세션을 검색하여 수신된 패킷이 정상 패킷인지 또는 공격받은 패킷인지 분류하여 처리할 수 있다. 수신된 패킷이 정상으로 분류된 세션의 패킷과 동일한 경우 처리부(50)는 해당 패킷을 포워딩하고, 공격으로 분류된 세션의 패킷과 동일한 경우 처리부(50)는 해당 패킷을 폐기할 수 있다. 해당 패킷이 정상 또는 공격으로 명확히 판단된 경우에는 이후 추가적인 침입 여부 판단을 수행하지 않을 수 있다. 패킷이 정상인 경우에는 이후 수신되는 정상인 패킷들에 대해 추가적인 이중 판단을 수행하지 않으므로 침입탐지 시스템(1)이 처리해야 할 트래픽의 양을 줄일 수 있다. 반면, 해당 패킷이 공격 패킷으로 악성인 경우에는 DDoS 공격 등, 순간적으로 공격 트래픽이 폭증할 수 있는데, 해당 트래픽을 바로 폐기하므로 이때에도 처리해야 하는 트래픽의 양을 줄일 수 있다.
처리부(50)는 분류기(30)에서 분류된 패킷에 대한 분류 결과에 따라 패킷을 처리할 수 있다. 처리부(50)는 분류기(30)의 분류 결과로 해당 패킷이 정상 클래스에 속하는지 또는 공격 클래스에 속하는지에 따라 해당 패킷에 대한 처리를 다르게 수행한다. 해당 패킷이 정상 클래스로 분류되면, 처리부(50)는 패킷을 포워딩하고, 패킷이 공격 클래스로 분류되면, 처리부(50)는 패킷을 폐기 처리할 수 있다. 특정 세션에서 초반 패킷에 대한 클래스 분류가 이루어지지 않고 판단이 보류되는 경우에도, 결과적으로는 후반 패킷에 대한 클래스가 분류되므로, 분류부(350)의 분류 결과에 따라 처리부(50)는 해당 패킷을 처리 가능하다.
도 2는 본 발명의 실시예에 따른 침입탐지 시스템(1)과 종래 분류기가 복수 개의 패킷을 포함하는 세션을 공격 세션이라고 판단하는 과정을 비교하여 나타낸다. 도 2는 7개의 패킷으로 구성되며 공격 세션으로 분류된 특정 세션인 경우로 가정한다. ‘세션 피쳐기반 분류기’는 해당 세션이 종료한 후에 침입 여부에 대한 탐지가 가능하다. 도 2에서와 같이 1번 패킷에서 6번 패킷까지는 판단을 하지 않고, 마지막인 7번 패킷에서 세션이 종료된 후에 ‘공격’이라고 판단이 가능하다. 그러므로 세션 피쳐기반 분류기는 처리해야 하는 트래픽의 양이 많고, 실시간으로 침입 여부를 탐지할 수 없는 문제가 있다.
두 번째 ‘누적 패킷(1~t 패킷) 피쳐기반 분류기’는 1번 패킷에서 3번 패킷까지는 정상이라고 판단하다가 4번 패킷부터 공격이라고 판단한다. 이것은, 누적 패킷 분류기가 1번 패킷 ~ 3번 패킷에서는 틀리게 탐지를 하였고, 4번 패킷부터 올바르게 탐지를 하였음을 의미한다. 따라서, 이렇게 정상이라고 판단되다가 나중에 공격이라고 판단되는 결과가 계속되면, 초반에 정상이라는 판단에 대해 신뢰할 수 없고, 어떤 결과가 맞는지 알 수 없으므로 문제가 있다.
반면, 본 발명의 실시예인 세 번째 침입탐지 시스템은 각 세션에 대해 순차적으로 수신된 패킷을 이용하여 부분 세션 별로 피쳐를 생성하여 학습하고 이를 바탕으로 침입 여부를 판단한다. 본 발명의 실시예는 정확한 판단이 불가능한 패킷에 대해서는 판단을 보류하며, 정확한 판단이 가능한 경우에만 정상 또는 공격으로 판단을 수행한다. 도 2를 참고하면, 본 발명의 실시예에서 1번 패킷 ~ 3번 패킷은 침입탐지 시스템(1)에서 판단이 불가능하다고 판단하여 보류하였고, 4번 패킷에서 공격이라고 판단함을 확인할 수 있다. 즉, 본 발명은 정확한 판단이 가능할 때까지 임의적인 신뢰성 없는 판단을 하는 대신 판단을 보류함으로써 누적 패킷 피쳐기반 분류기보다 판단 결과에 대한 오분류를 줄이고 신뢰성을 높일 수 있다. 또한, 4번 패킷에서 공격으로 명확히 판단하면 4번 패킷은 폐기되고 이후 5번 내지 7번 패킷에 대해서는 판단을 수행하지 않으므로 세션 피쳐기반 분류기에 비해 처리해야 할 트래픽의 양을 줄일 수 있다.
이렇듯, 동일한 공격 세션에 대해서도 각 분류기의 판단 방법에 따라 공격이라고 판단하는 패킷의 순서가 상이할 수 있다. 도 2와 같이 본 발명이 가장 빠르게 공격 발생을 탐지하였으며, 정확도 또한 높음을 확인할 수 있다.
도 3은 본 발명의 실시예에 따른 분류기(30)의 구성도를 나타낸다.
분류기(30)는 각 패킷이 정상 패킷인지 공격 패킷인지를 판단하여 해당 패킷을 정상 클래스 또는 공격 클래스 중 어느 하나로 분류할 수 있다. 특히, 분류기(30)는 판단부(10)에서 해당 패킷에 대한 정확한 판단이 불가능한 경우에는 해당 패킷에 대한 판단을 보류하고 다음 패킷을 판단하는 것을 특징으로 한다. 다만 이때 이전 패킷에 대한 판단을 보류하고 다음 패킷에 대한 침입 여부를 판단할 수 있는 이유는, 본 발명의 분류기(30)가 이전 패킷들에서 공격에 대한 정보를 이용하기 때문이다. 다시 말하면, 세션에 대해서 개별 패킷별로 피쳐를 생성할 때, 이전 패킷과 무관한 독립적인 개별 피쳐만을 생성하여 활용하면 여러 패킷에 걸쳐 이루어진 공격의 특성을 탐지하기 어렵다. 그러므로, 패킷에 대한 침입 여부 판단은 독립적으로 수행되더라도 이전 패킷에 가해진 공격 특성은 다음 패킷 판단에 이용되도록 설계되어야 한다.
한편, 피쳐를 생성하는 방법에는 세션 별로 수신된 일정 개수의 패킷을 이용하여 부분적인 세션 피처를 생성하는 방법이 있다. 그러나 이 방법은 메모리 용량을 많이 차지하고 큰 프로세싱 파워가 요구되어 실제 구현하는 것은 불가능에 가깝다. 그 이유는, 특정 세션에 대해서 현재 k개의 패킷이 수신된 경우, k개 패킷에 대한 피처를 실시간적으로 생성하기 위해서는 k개 패킷을 모두 저장하고 있어야 하며, 새로운 패킷을 수신할 때마다 k개의 패킷을 모두 읽어 실시간적으로 피처를 생성하여야 하기 때문이다.
이에 본 발명의 실시예는 k번째 패킷에 대한 판단을 위해 k-1번째 패킷에 적용되는 유닛(3301)의 출력과 k번째 피쳐 데이터를 k번째 유닛(3301)의 입력으로 사용하도록 한다. 즉, 특정 패킷(k번째 패킷)을 판단함에 있어서, 바로 이전 패킷(k-1번째 패킷)에 대한 출력 정보를 이용하는 방법이다. 이렇듯 k-1번째 패킷에는 k-2번째 패킷 정보를 이용하고, k-2번째 패킷에는 k-3번째 패킷 정보를 이용하는 등 연쇄적으로 이루어지므로, k번째 패킷에 대한 판단은 1번째 패킷부터 k-1번째 패킷에 대한 정보를 모두 이용하여 누적된 세션의 특성을 포함하여 수행될 수 있다.
이를 위해 본 발명의 분류기(30)에 마련되는 인공 신경망(330)은 복수 개의 유닛(3301)이 순차적으로 연결되어 형성된 순환 신경망일 수 있다. 유닛(3301)은 세션에 포함된 패킷의 개수만큼 마련될 수 있으며, 그보다 많을 수 있다. 각 유닛(3301)은 패킷과 대응하여 1번 패킷에 대한 침입 여부 판단은 1번 유닛(3301)(unit n)에서 수행될 수 있다. 패킷에 대한 침입 여부 판단은 유닛(3301)을 중심으로 수행되며, 해당 패킷의 피쳐가 유닛(3301)에 입력값으로 입력되고, 그 출력으로 해당 패킷에 대한 정상/공격 여부가 판단될 수 있다.
도 3의 분류기(30)는 본 발명의 실시예로서 총 N개의 유닛(3301)로 구성된 LSTM과 각 유닛의 출력 부분에 DNN이 추가된 구조를 나타낸다. 이때 N은 학습 데이터를 기준으로 최적의 성능을 보여주는 값으로 설정될 수 있다. LSTM의 t번째 유닛(3301)은 t번째 패킷을 분류하는데 사용되며 마지막 N번째 유닛(3301)은 N번째 패킷뿐만 아니라 N번째 이후의 모든 패킷을 분류하는데 사용될 수 있다.
분류기(30)에서는 피쳐 생성부(310)에서 패킷별로 생성된 피쳐 xN는 해당 유닛 N에 입력으로서 입력될 수 있고, 그 출력으로 hN과 cN이 출력될 수 있다. 전술한 바와 같이 분류기(30)의 출력부분에 DNN이 포함될 수 있으므로, hN은 DNN을 거쳐 최종적으로 oN을 출력할 수 있다,
보다 상세하게 도 3을 참고하면, x1이 유닛 1에 입력되어 그 결과로 h1과 c1이 출력되는 과정을 확인할 수 있다. h1은 DNN을 거쳐 최종적으로 o1이 출력되며, o1은 해당 패킷에 대한 분류 결과로서 정상 패킷인지 아니면 공격 패킷인지를 나타낼 수 있다. 만일 o1이 정상 혹은 공격 패킷인 것으로 분류되면 이후 분류부(350)는 해당 패킷을 클래스에 따라 분류하고, 처리부(50)는 해당 패킷을 포워딩 또는 폐기하는 처리를 할 수 있다.
반면, 해당 패킷이 분류 불가한 경우라면 분류기(30)는 해당 패킷에 대한 판단을 보류하고 두 번째 패킷에 대한 분류를 시도할 수 있다. 이때, 유닛 2의 입력으로 2번 패킷의 피쳐인 x2와 유닛 1의 출력인 h1, c1이 사용될 수 있다. 즉, t-1번째 패킷에 대한 분류 결과가 ‘분류 불가’인 경우에는 다음 패킷인 t번째 패킷 수신 시 분류를 수행하기 위해서 ct-1, ht-1을 미리 저장하여 이용할 수 있다. 한다. 기본적으로 ct-1, ht-1은 1번 내지 t-1 패킷의 특성을 부분적으로 포함하고 있다. 따라서 모든 패킷에 대한 정보를 저장하지 않아도 과거에 수신되었던 모든 패킷의 특성을 반영한 피처를 생성할 수 있는 것이다. 특정 세션 내 t번째 패킷에 대한 피쳐(Ft)는 다음과 같이 정의될 수 있다.
Figure 112021073557431-pat00001
도 4는 본 발명의 실시예에 따른 판단보류 학습모델(110)이 구축되는 과정을 나타낸다. 판단보류 학습모델(110)은 세션 초기에 초반 패킷이 수신될 때, 정상 트래픽과 유사한 공격 트래픽이 정상으로 분류되는 것을 방지하기 위한 구성이다. 이를 위해 판단보류 학습모델(110)은 초기 공격 트래픽이 정상으로 오분류되는 세션 트래픽을 이용하여 분류기(30)를 학습한다. 이를 통해, 판단보류 학습모델(110)은 해당 패킷에 대한 공격 여부 판단을 바로 수행해야 할지 아니면 다음 패킷으로 판단을 보류할지를 결정할 수 있다.
판단보류 학습모델(110)은 여러 세션에 대해 t번째 패킷들로 구성된 데이터셋 Dt를 이용하여 분류기(30)를 학습하고, 임의의 학습 데이터를 해당 분류기(30)로 분류한 결과에서 오분류된 데이터들로만 구성된 데이터셋 Mt를 생성할 수 있다. M={Mt | t=1, 2, …, N }의 데이터셋에 대해 one-class 분류기를 사용하여 M을 학습할 수 있다. 본 발명의 실시예에서는 one-class 분류기로서 Deep-SVDD를 사용한 경우를 예시한다. Deep-SVDD는 Deep learning을 통해 피처 도메인을 최적의 도메인으로 매핑함으로써 해당 패킷이 어느 클래스에 속하는지 여부를 판단할 수 있으므로 오분류 확률 제어에 용이하다.
판단보류 학습모델(110)을 구축하는 방법은, 먼저, 1단계로 전체 학습데이터셋 T1과 T1에 속하는 모든 세션의 첫 번째 패킷으로만 구성되는 데이터셋 D1을 생성한다. T1과 D1을 사용하여 분류기(30)의 LSTM의 유닛 1을 학습한다. 학습 후 학습데이터셋 T1을 LSTM 유닛 1으로 분류한 후 오분류된 데이터로 구성된 오분류 데이터 M1을 생성한다. M1은 M1의 실제 클래스와 관계없이 일괄적으로 판단보류 클래스로 지정한다. M1을 이용하여 one-class 분류기인 Deep SVDD1을 학습한다. 이때 Deep SVDD는 one-class 분류기이기 때문에 판단보류 클래스 한 개로 구성된 데이터셋으로 학습될 수 있다. 유닛 1에 대해 학습된 D1을 Deep SVDD1으로 분류한다. 분류 결과 판단 보류로 분류되는 세션들로 구성된 데이터셋 T2를 새롭게 생성할 수 있다.
생성된 학습 데이터셋 T2를 이용하여 이전 과정과 유사하게 D2를 생성하고 이를 이용하여 LSTM의 유닛 2를 학습한다. 두 번째 과정부터 학습에 사용되는 D2에는 두 번째 패킷 피처인 x2뿐만 아니라 LSTM 유닛 1의 출력인 h1, c1도 포함됨에 주목한다. 이하는 첫 과정과 유사하게 학습데이터셋 T2에 대해서 LSTM 유닛 2로 분류한 후 오분류 데이터 M2를 얻고, M2를 판단보류 클래스로 지정한 후, M2를 이용하여 Deep SVDD2를 학습한다. 유닛 2로 학습된 D2를 Deep SVDD2로 분류한 후 판단보류로 분류되는 세션들로 구성된 데이터셋 T3를 구성한다. 이러한 과정을 통해 판단보류 학습모델(110)이 구축될 수 있다.
이를 보다 일반화하면 다음과 같이 정의될 수 있다. 학습 데이터셋 Tt(t>1)를 이용하여 Tt에 속하는 모든 세션에 대해 Dt를 생성하고, 이를 이용하여 LSTM의 유닛 t를 학습한다. 이때 학습에 사용되는 Dt는 해당 패킷의 피처 xt뿐만 아니라 LSTM 유닛 t의 출력인 ht-1, ct-1도 포함될 수 있다. 학습 데이터셋 Tt에 대해서 LSTM 유닛 t로 분류한 후 오분류 데이터 Mt를 얻는다. 해당 Mt를 판단보류 클래스로 지정하고 Mt를 이용하여 Deep SVDDt를 학습한다. 학습된 Dt를 Deep SVDDt로 분류한 후 판단보류로 분류되는 세션들로 구성된 데이터셋 Tt+1를 구성한다. 이러한 과정은 Mt가 공집합이 될 때까지 혹은 t=N까지 반복될 수 있다. 또한, N번째 이후에도 패킷이 있는 경우에는 DN에 모두 포함될 수 있다. 따라서 N번째 스텝에서 DN은 DN+1, DN+2, …을 모두 포함할 수 있다.
도 5는 본 발명의 실시예에 따른 침입탐지 시스템(1)에서 침입 여부를 분류하는 과정을 나타낸다.
먼저 수신된 패킷에 대해 해당 패킷이 속하는 정상 또는 공격 세션이 있는지 Whitelist 또는 Blacklist에서 검색한다. 도 5에서는 Whitelist에서 검색하는 단계를 먼저 도시하였으나, 순서에 제한되지 않고 Blacklist를 먼저 검사해도 무방하다. Whitelist에서 해당 패킷이 속하는 세션이 검출된 경우에는 해당 패킷을 포워딩하고, 검출되지 않은 경우에는 Blacklist에서 검색하여 세션이 검출되면 해당 패킷을 폐기한다. 만약 Whitelist 또는 Blacklist 둘 다에서 해당 패킷이 검출되지 않으면, 해당 패킷이 세션 테이블에 속하는지 검색한다. 해당 패킷이 세션 테이블에서 검출되지 않으면 분류기(30)에서 수행될 조건으로 c=0, h=0, t=1을 설정한다. 반면, 해당 패킷이 세션 테이블에서 검출되면 세션 정보로부터 ct-1, ht-1, t 값을 읽어온다.
다음 단계는 두 경우 모두 해당 패킷에 대한 피쳐 xt를 생성하고, xt,, ct-1, ht-1를 입력으로 하여 유닛 t에서 분류하고, xt,, ct-1, ht-1를 Deep SVDDt의 입력으로 하여 분류를 수행한다. 판단보류 클래스를 단일 분류로 하는 Deep SVDDt에서의 분류 결과, 해당 패킷이 분류 가능하면 침입 발생 여부에 따라 Whitelist 또는 Blacklist에 해당 패킷 또는 해당 세션의 정보를 추가한다. 정상 패킷인 경우 Whitelist에 추가하고 패킷을 포워딩하며, 공격 패킷인 경우 Blacklist에 추가한 후 패킷을 폐기한다. 반면, Deep SVDDt에서의 분류 결과, 해당 패킷이 분류 불가능하면, 해당 패킷의 순서에 따라 ct, ht, t를 업데이트하여 저장하거나 바로 저장하여 패킷을 포워딩한다.
이상에서 대표적인 실시예를 통하여 본 발명을 상세하게 설명하였으나, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자는 상술한 실시예에 대하여 본 발명의 범주에서 벗어나지 않는 한도 내에서 다양한 변형이 가능함을 이해할 것이다. 그러므로 본 발명의 권리 범위는 설명한 실시예에 국한되어 정해져서는 안 되며, 후술하는 특허청구범위뿐만 아니라 특허청구범위와 균등 개념으로부터 도출되는 모든 변경 또는 변형된 형태에 의하여 정해져야 한다.
1: 침입탐지 시스템
10: 판단부
110: 판단보류 학습모델
1101: 추출 모듈
1103: 학습 모듈
1105: 단일 분류 모듈
130: 결정 모듈
30: 분류기
310: 피쳐 생성부
330: 인공 신경망
3301: 유닛
350: 분류부
50: 처리부

Claims (8)

  1. 복수의 패킷으로 구성된 네트워크에 대한 침입 여부를 탐지하는 침입탐지 시스템에 있어서,
    인공 신경망을 이용하여 외부의 침입 여부에 따라 침입 여부 탐지 대상인 상기 패킷을 정상 클래스 또는 공격 클래스 중 어느 하나로 분류하는 분류기; 및
    상기 패킷에 대한 상기 분류기의 분류결과와 실제 침입 여부가 일치하지 않는 경우를 학습하여, 상기 패킷을 판단 클래스 또는 판단보류 클래스 중 어느 하나로 판단하는 판단부를 포함하며,
    상기 분류기는,
    인공 신경망으로 마련되고 상기 인공 신경망은 복수 개의 유닛(unit)이 순차적으로 연결되어 형성된 순환 신경망으로, 상기 유닛은 상기 패킷마다 마련되며, 상기 유닛은 전후 연결되어 입출력에 영향을 미치도록 구비되고,
    상기 판단부에서 상기 패킷이 상기 판단 클래스로 판단된 경우, 침입 여부에 따라 상기 패킷을 상기 정상 클래스 또는 상기 공격 클래스 중 어느 하나로 분류하고,
    상기 패킷이 상기 판단보류 클래스인 경우, 상기 패킷 다음으로 수신되는 패킷을 분류할 때까지 상기 패킷에 대한 분류를 보류하되, 각 유닛(unit n)에서 상기 패킷에 대한 피쳐와 이전 유닛(unit n+1)의 출력을 입력으로 이전 패킷의 특성을 반영하여 상기 정상 클래스 또는 상기 공격 클래스 중 어느 하나로 분류하며,
    개별 패킷마다 침입 여부를 판단함으로써 네트워크에 대한 침입 여부를 실시간으로 탐지할 수 있는 것을 특징으로 하는 침입탐지 시스템.
  2. 제 1 항에 있어서,
    상기 분류기에서 분류된 상기 패킷에 대한 분류 결과에 따라 상기 패킷을 처리하는 처리부를 더 포함하며,
    상기 처리부는,
    상기 분류기에서 상기 패킷이 상기 정상 클래스로 분류된 경우 상기 패킷을 포워딩하고, 상기 패킷이 상기 공격 클래스로 분류된 경우 상기 패킷을 폐기처리하는 것을 특징으로 하는 침입탐지 시스템.
  3. 제 1 항에 있어서,
    상기 분류기는,
    상기 인공 신경망에 대한 입력으로 상기 패킷에 대한 피처를 생성하는 피쳐 생성부; 및
    상기 피쳐에 대한 상기 인공 신경망의 출력에 따라 상기 패킷을 상기 정상 클래스 또는 상기 공격 클래스 중 어느 하나로 분류하는 분류부를 포함하는 것을 특징으로 하는 침입탐지 시스템.
  4. 삭제
  5. 삭제
  6. 제 3 항에 있어서,
    상기 피쳐 생성부는,
    상기 패킷의 데이터 중 헤더를 포함한 일정 크기의 데이터를 기준으로 하여 수신되는 상기 패킷마다 상기 피쳐를 독립적으로 생성하는 것을 특징으로 하는 침입탐지 시스템.
  7. 제 6 항에 있어서,
    상기 판단부는,
    상기 분류기의 분류 결과와 실제 침입 여부가 일치하지 않는 경우에 해당되는 상기 패킷을 학습하는 판단보류 학습모델; 및
    상기 기준 데이터와 상기 패킷의 데이터를 비교하여 상기 패킷이 상기 판단 클래스에 속하는지 또는 상기 판단보류 클래스에 속하는지 분류하는 결정 모듈을 포함하는 것을 특징으로 하는 침입탐지 시스템.
  8. 제 7 항에 있어서,
    상기 판단보류 학습모델은,
    상기 패킷으로 구성된 임의의 학습 데이터를 상기 분류기에 대해 분류하여 상기 분류기의 분류 결과와 실제 침입 여부가 일치하지 않는 오분류 데이터를 추출하는 추출 모듈;
    상기 오분류 데이터를 상기 판단보류 클래스로 지정하고, 상기 오분류 데이터를 상기 판단보류 클래스에 대해 단일 분류 학습시키는 학습 모듈; 및
    상기 학습 데이터에 대해 상기 학습 모듈에서 학습된 단일 분류를 수행하는 단일 분류 모듈을 포함하는 것을 특징으로 하는 침입탐지 시스템.
KR1020210083071A 2021-06-25 2021-06-25 패킷에 대한 판단 지연을 이용한 네트워크 침입탐지 시스템 KR102354467B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020210083071A KR102354467B1 (ko) 2021-06-25 2021-06-25 패킷에 대한 판단 지연을 이용한 네트워크 침입탐지 시스템
PCT/KR2021/011914 WO2022270678A1 (ko) 2021-06-25 2021-09-03 패킷에 대한 판단 지연을 이용한 네트워크 침입탐지 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020210083071A KR102354467B1 (ko) 2021-06-25 2021-06-25 패킷에 대한 판단 지연을 이용한 네트워크 침입탐지 시스템

Publications (1)

Publication Number Publication Date
KR102354467B1 true KR102354467B1 (ko) 2022-01-24

Family

ID=80049738

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020210083071A KR102354467B1 (ko) 2021-06-25 2021-06-25 패킷에 대한 판단 지연을 이용한 네트워크 침입탐지 시스템

Country Status (2)

Country Link
KR (1) KR102354467B1 (ko)
WO (1) WO2022270678A1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114500102A (zh) * 2022-03-09 2022-05-13 绍兴文理学院 一种基于抽样的边缘计算架构物联网入侵检测系统及方法

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101139913B1 (ko) 2009-11-25 2012-04-30 한국 한의학 연구원 판정불능집단을 함께 분류하는 패턴 분류방법
KR20130006750A (ko) 2011-06-20 2013-01-18 한국전자통신연구원 서비스 거부 공격 탐지 방법 및 장치
KR101553264B1 (ko) * 2014-12-11 2015-09-15 한국과학기술정보연구원 네트워크 침입방지 시스템 및 방법
KR20190081408A (ko) * 2017-12-29 2019-07-09 이화여자대학교 산학협력단 네트워크 침입 탐지 시스템 및 방법, 이를 수행하기 위한 기록매체
KR102083028B1 (ko) 2019-02-19 2020-02-28 유재선 네트워크 침입탐지 시스템

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101256671B1 (ko) * 2006-06-16 2013-04-19 주식회사 케이티 침입탐지시스템의 탐지성능 적합성 판정 방법 및 그기록매체
KR102014044B1 (ko) * 2019-02-18 2019-10-21 한국남동발전 주식회사 L2 패킷 차단이 가능한 침입 방지 시스템 및 방법

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101139913B1 (ko) 2009-11-25 2012-04-30 한국 한의학 연구원 판정불능집단을 함께 분류하는 패턴 분류방법
KR20130006750A (ko) 2011-06-20 2013-01-18 한국전자통신연구원 서비스 거부 공격 탐지 방법 및 장치
KR101553264B1 (ko) * 2014-12-11 2015-09-15 한국과학기술정보연구원 네트워크 침입방지 시스템 및 방법
KR20190081408A (ko) * 2017-12-29 2019-07-09 이화여자대학교 산학협력단 네트워크 침입 탐지 시스템 및 방법, 이를 수행하기 위한 기록매체
KR102083028B1 (ko) 2019-02-19 2020-02-28 유재선 네트워크 침입탐지 시스템

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114500102A (zh) * 2022-03-09 2022-05-13 绍兴文理学院 一种基于抽样的边缘计算架构物联网入侵检测系统及方法
CN114500102B (zh) * 2022-03-09 2024-02-13 绍兴文理学院 一种基于抽样的边缘计算架构物联网入侵检测系统及方法

Also Published As

Publication number Publication date
WO2022270678A1 (ko) 2022-12-29

Similar Documents

Publication Publication Date Title
US12045343B2 (en) System and method for heterogeneous transferred learning for enhanced cybersecurity threat detection
TWI673625B (zh) 統一資源定位符(url)攻擊檢測方法、裝置以及電子設備
CN109547423B (zh) 一种基于机器学习的web恶意请求深度检测系统及方法
US20210216831A1 (en) Efficient Machine Learning (ML) Model for Classification
JP2016191975A (ja) 機械学習装置
KR102354467B1 (ko) 패킷에 대한 판단 지연을 이용한 네트워크 침입탐지 시스템
CN111400707A (zh) 一种文件宏病毒检测方法、装置、设备及存储介质
CN115296919B (zh) 一种边缘网关对特殊流量包计算方法及系统
US11929969B2 (en) System and method for identifying spam email
CN112948578A (zh) 一种dga域名开集分类方法、装置、电子设备及介质
Sharma et al. A new hardware Trojan detection technique using class weighted XGBoost classifier
Jain Network traffic identification with convolutional neural networks
KR20190081408A (ko) 네트워크 침입 탐지 시스템 및 방법, 이를 수행하기 위한 기록매체
Ige et al. Deep Learning-Based Speech and Vision Synthesis to Improve Phishing Attack Detection through a Multi-layer Adaptive Framework
CN114285587B (zh) 域名鉴别方法和装置、域名分类模型的获取方法和装置
CN113536322A (zh) 一种基于对抗神经网络的智能合约可重入漏洞检测方法
KR101382787B1 (ko) 메모리 효율적인 결정적 유한 오토마타 구현을 위한 상태 감소 방법
US11647046B2 (en) Fuzzy inclusion based impersonation detection
CN115865425A (zh) 一种阶层式加密货币的挖矿行为识别方法及系统
Madwanna et al. YARS-IDS: A novel IDS for multi-class classification
US11349856B2 (en) Exploit kit detection
CN114930329A (zh) 训练模块的方法和防止捕获ai模块的方法
Idris et al. Negative selection algorithm in artificial immune system for spam detection
Bao et al. Towards Open-Set APT Malware Classification under Few-Shot Setting
Hossain et al. An Ensemble-based Machine Learning Approach for Botnet-Based DDoS Attack Detection

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant