KR102497737B1 - A system and method for detecting undetected network intrusions types using generative adversarial network - Google Patents

A system and method for detecting undetected network intrusions types using generative adversarial network Download PDF

Info

Publication number
KR102497737B1
KR102497737B1 KR1020200174779A KR20200174779A KR102497737B1 KR 102497737 B1 KR102497737 B1 KR 102497737B1 KR 1020200174779 A KR1020200174779 A KR 1020200174779A KR 20200174779 A KR20200174779 A KR 20200174779A KR 102497737 B1 KR102497737 B1 KR 102497737B1
Authority
KR
South Korea
Prior art keywords
image data
network
data
service
unit
Prior art date
Application number
KR1020200174779A
Other languages
Korean (ko)
Other versions
KR20220084866A (en
Inventor
조효석
최윤형
이유정
Original Assignee
한전케이디엔주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한전케이디엔주식회사 filed Critical 한전케이디엔주식회사
Priority to KR1020200174779A priority Critical patent/KR102497737B1/en
Publication of KR20220084866A publication Critical patent/KR20220084866A/en
Application granted granted Critical
Publication of KR102497737B1 publication Critical patent/KR102497737B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/04Processing captured monitoring data, e.g. for logfile generation
    • H04L43/045Processing captured monitoring data, e.g. for logfile generation for graphical visualisation of monitoring data

Landscapes

  • Engineering & Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • General Health & Medical Sciences (AREA)
  • Mathematical Physics (AREA)
  • Biophysics (AREA)
  • Evolutionary Computation (AREA)
  • Biomedical Technology (AREA)
  • Molecular Biology (AREA)
  • Artificial Intelligence (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • General Physics & Mathematics (AREA)
  • Computational Linguistics (AREA)
  • Software Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명에 따른 생성적 적대 신경망을 활용해 미 발견 네트워크 침입 유형을 탐지하는 시스템에 있어서, 침임 탐지 서비스를 받고자 하는 서비스 시스템; 상기 침입 탐지 서비스를 받고자 하는 서비스 네트워크; 상기 서비스 시스템 또는 서비스 네트워크에서 발생하는 네트워크 트래픽 정보를 실시간으로 수신하는 네트워크 트래픽 수신부; 상기 네트워크 트래픽 수신부가 수신한 네트워크 트래픽 정보를 실제 이미지 데이터로 변환 하는 이미지 변환부; 실제 존재하는 데이터가 아닌 실제와 유사한 가상의 침입 탐지 데이터로 가상 이미지 데이터를 생성하는 가상 이미지 데이터 생성부; 상기 실제 이미지 데이터와 가상 이미지 데이터 모두에 대한 진위 여부를 감별하는 데이터 감별부; 및 상기 데이터 감별부가 감별한 결과를 도식화하고 결과를 서비스 대상인 상기 서비스 시스템과 서비스 네트워크로 제공하는 시각화부;를 포함하여 지금까지 발견되지 않은 네트워크 공격 유형을 만들고, 이를 탐지하는 환경을 자동화함으로써 네트워크 공격 탐지 능력을 스스로 향상시킬 수 있는 효과가 있다.A system for detecting an undiscovered network intrusion type using a generative adversarial network according to the present invention, comprising: a service system that wants to receive an intrusion detection service; a service network to receive the intrusion detection service; a network traffic receiver for receiving network traffic information generated in the service system or service network in real time; an image converter converting the network traffic information received by the network traffic receiver into actual image data; a virtual image data generating unit that generates virtual image data using virtual intrusion detection data similar to actual data rather than real data; a data discriminating unit that discriminates whether the real image data and the virtual image data are authentic; and a visualization unit that charts the result of the discrimination by the data discrimination unit and provides the result to the service system and service network, which are service targets, by creating a network attack type that has not been discovered so far and automating an environment for detecting it. It has the effect of improving the detection ability by itself.

Figure R1020200174779
Figure R1020200174779

Description

생성적 적대 신경망을 활용해 미 발견 네트워크 침입 유형을 탐지하는 시스템 및 방법{A SYSTEM AND METHOD FOR DETECTING UNDETECTED NETWORK INTRUSIONS TYPES USING GENERATIVE ADVERSARIAL NETWORK}A SYSTEM AND METHOD FOR DETECTING UNDETECTED NETWORK INTRUSIONS TYPES USING GENERATIVE ADVERSARIAL NETWORK}

본 발명은 생성적 적대 신경망을 활용해 미 발견 네트워크 침입 유형을 탐지하는 시스템 및 방법에 관한 것으로써, 더욱 상세하게는 생성적 적대 신경망(Generative Adversarial Network, 이하 GAN)을 이용해 정상 네트워크 트래픽과 유사한 새로운 침입 유형 트래픽을 자동적으로 생성해 이를 정상·비정상 네트워크 트래픽과 더한 후, 분류하는 작업을 반복적으로 수행하면서 새로운 형태의 네트워크 침입을 탐지하는 능력을 자동적·지속적으로 강화 할 수 있는 생성적 적대 신경망을 활용해 미 발견 네트워크 침입 유형을 탐지하는 시스템 및 방법에 관한 것이다.The present invention relates to a system and method for detecting an undiscovered network intrusion type using a generative adversarial network, and more particularly, to a new, similar to normal network traffic using a generative adversarial network (GAN). Utilize generative adversarial networks that can automatically and continuously strengthen the ability to detect new types of network intrusions by automatically generating intrusion-type traffic, adding it to normal/abnormal network traffic, and then repeatedly classifying it. It relates to a system and method for detecting undiscovered network intrusion types.

과거의 네트워크 침입 유형은 지금처럼 복잡하지 않았고, 공격 기법 또한 그리 정교하지 않아 방화벽이나 IDS와 같은 단순 방어 시스템만 있어도 보안 위협에 대응이 가능했으며, 정화함 보다는 통계적 가능성을 배경으로 하는 인공지능 기술과 확실한 판단을 요구하는 정보보안 분야에서 인공지능은 굳이 필요하지 않았다.In the past, network intrusion types were not as complex as they are today, and attack techniques were not so sophisticated that security threats could be responded to with simple defense systems such as firewalls or IDS. Artificial intelligence was not necessary in the field of information security, which requires clear judgment.

이러한 이유에도 최근 네트워크 보안 분야에서 인공지능 기술은 기존의 전통적인 방어 수단으로 더 이상 대응이 어려울 만큼 진화하는 네트워크 공격 기법에 대응하기 위한 새로운 대안으로 자리잡고 있다.Despite this reason, artificial intelligence technology in the field of network security has recently become a new alternative to respond to network attack techniques that are evolving to the extent that traditional defense methods are no longer able to respond.

확실한 판단을 요구하는 보안 분야에서 인공지능의 불확실성을 가능한 해소하기 위해 관리자나 운영자가 정상 또는 비정상(공격) 네트워크 트래픽을 확인한 데이터를 기반으로 진행되는 '지도학습' 위주로 적용되고 있다.In order to resolve the uncertainty of artificial intelligence as much as possible in the security field that requires clear judgment, 'supervised learning' is mainly applied based on data from which administrators or operators have confirmed normal or abnormal (attack) network traffic.

하지만, 지도학습 형태의 인공지능 기술은 정상·비정상이 확인된 과거의 데이터를 가지고 학습한 모델을 바탕으로 새로운 네트워크 트래픽에 대한 정상·비정상 여부를 분류하는 방식이기 때문에, 이미 알려진 비정상(또는 공격) 유형의 네트워크 트래픽을 탐지하는 능력을 뛰어나지만, 새로운 형태의 공격 유형에 대한 트래픽을 분류하기에는 한계가 있다. However, artificial intelligence technology in the form of supervised learning is a method of classifying whether new network traffic is normal or abnormal based on a model learned from past data of which normal or abnormality has been confirmed, so that known abnormalities (or attacks) It has an excellent ability to detect types of network traffic, but has limitations in classifying traffic for new types of attacks.

네트워크 공격은 다양한 변종 기법과 새로운 유형의 공격 방식으로 계속 진화하고 있으며, 이 공격들에 효과적으로 대응하는 것이 정보 보안 전문가들의 가장 큰 숙제이며, 이를 위해서는 과거의 데이터를 기반으로 하되, 실제 공격 유형과 유사한 다양한 형태의 새로운 공격 유형의 네트워크 트래픽을 자동으로 생성해 분류할 수 있는 시스템이 필요한 실정이다.Network attacks continue to evolve with various variant techniques and new types of attack methods, and effectively responding to these attacks is the biggest task for information security experts. There is a need for a system that can automatically generate and classify network traffic of various types of new attacks.

대한민국 공개특허공보 제10-2016-0095856호(2016. 08. 12)Republic of Korea Patent Publication No. 10-2016-0095856 (2016. 08. 12)

상술한 한계를 극복하고 필요를 충족시키기 위해 본 발명은 인공지능 기술인 GAN을 이용해 정상 네트워크 트래픽과 유사한 새로운 침입 유형 트래픽을 자동적으로 생성해 이를 정상·비정상 네트워크 트래픽과 더한 후, 분류하는 작업을 반복적으로 수행하면서 해로운 형태의 네트워크 침임을 탐지하는 능력을 자동적으로 강화할 수 있는 생성적 적대 신경망을 활용해 미 발견 네트워크 침입 유형을 탐지하는 시스템 및 방법을 제공하는데 목적이 있다.In order to overcome the above limitations and meet the needs, the present invention uses GAN, an artificial intelligence technology, to automatically generate new intrusion-type traffic similar to normal network traffic, add it to normal/abnormal network traffic, and then classify it repeatedly. The purpose of this study is to provide a system and method for detecting undiscovered types of network intrusions using generative adversarial networks that can automatically enhance the ability to detect harmful types of network intrusions while performing.

상술한 목적을 달성하기 위해 본 발명에 따른 생성적 적대 신경망을 활용해 미 발견 네트워크 침입 유형을 탐지하는 시스템에 있어서, 침임 탐지 서비스를 받고자 하는 서비스 시스템; 상기 침입 탐지 서비스를 받고자 하는 서비스 네트워크; 상기 서비스 시스템 또는 서비스 네트워크에서 발생하는 네트워크 트래픽 정보를 실시간으로 수신하는 네트워크 트래픽 수신부; 상기 네트워크 트래픽 수신부가 수신한 네트워크 트래픽 정보를 실제 이미지 데이터로 변환 하는 이미지 변환부; 실제 존재하는 데이터가 아닌 실제와 유사한 가상의 침입 탐지 데이터로 가상 이미지 데이터를 생성하는 가상 이미지 데이터 생성부; 상기 실제 이미지 데이터와 가상 이미지 데이터 모두에 대한 진위 여부를 감별하는 데이터 감별부; 및 상기 데이터 감별부가 감별한 결과를 도식화하고 결과를 서비스 대상인 상기 서비스 시스템과 서비스 네트워크로 제공하는 시각화부;를 포함하는 것을 특징으로 한다.In order to achieve the above object, a system for detecting an undiscovered network intrusion type using a generative adversarial network according to the present invention includes: a service system that wants to receive an intrusion detection service; a service network to receive the intrusion detection service; a network traffic receiver for receiving network traffic information generated in the service system or service network in real time; an image converter converting the network traffic information received by the network traffic receiver into actual image data; a virtual image data generating unit that generates virtual image data using virtual intrusion detection data similar to actual data rather than real data; a data discriminating unit that discriminates whether the real image data and the virtual image data are authentic; and a visualization unit for plotting the result discriminated by the data discrimination unit and providing the result to the service system and service network, which are service targets.

바람직하게 상술한 목적을 달성하기 위해 본 발명에 따른 생성적 적대 신경망을 활용해 미 발견 네트워크 침입 유형을 탐지하는 시스템의 이미지 변환부는 상기 네트워크 트래픽 정보의 패킷(Packet)을 구성하는 페이로드에 있는 페이로드 데이터를 "Word To Vector" 방식으로 생성적 적대 신경망이 이해할 수 있도록 수치화 시켜 실제 이미지 데이터로 변환하는 것을 특징으로 한다.Preferably, the image conversion unit of the system for detecting an undiscovered network intrusion type by using the generative adversarial network according to the present invention to achieve the above object It is characterized by converting the load data into actual image data by digitizing it so that the generative adversarial neural network can understand it using the "Word To Vector" method.

바람직하게 상술한 목적을 달성하기 위해 본 발명에 따른 생성적 적대 신경망을 활용해 미 발견 네트워크 침입 유형을 탐지하는 시스템의 가상 이미지 데이터 생성부는 가상 이미지 데이터를 생성하기 위해 상기 데이터 감별부가 이전 시퀀스(sequence)에서 감별한 결과를 고려하여 가상의 침입 탐지 데이터를 만들기 위해 학습하는 것을 특징으로 한다.Preferably, in order to achieve the above object, the virtual image data generation unit of the system for detecting an undiscovered network intrusion type using the generative adversarial network according to the present invention to generate virtual image data. ), it is characterized in that it learns to create virtual intrusion detection data in consideration of the results discriminated in.

더욱 바람직하게 상술한 목적을 달성하기 위해 본 발명에 따른 생성적 적대 신경망을 활용해 미 발견 네트워크 침입 유형을 탐지하는 시스템의 데이터 감별부는 상기 이미지 변환부에 의해 변환된 실제 이미지 데이터와 상기 가상 이미지 데이터 생성부에 의해 생성된 가상 이미지 데이터를 취합한 후, 학습된 인공지능 모델의 학습에 사용된 실제 이미지 데이터 패턴을 분석해, 해당 패턴에 따라 취합한 상기 실제 이미지 데이터와 가상 이미지 데이터를 감별하는 것을 특징으로 한다.More preferably, in order to achieve the above object, the data discrimination unit of the system for detecting an undiscovered network intrusion type using the generative adversarial network according to the present invention uses the real image data converted by the image conversion unit and the virtual image data After collecting the virtual image data generated by the generator, analyzing the actual image data pattern used for learning the learned artificial intelligence model, and discriminating the collected real image data and virtual image data according to the pattern to be

다른 실시예로써 상술한 목적을 달성하기 위해 본 발명에 따른 생성적 적대 신경망을 활용해 미 발견 네트워크 침입 유형을 탐지하는 방법에 있어서, (a) 네트워크 트래픽 수신부가 침임 탐지 서비스를 받고자 하는 서비스 시스템(110) 또는 서비스 네트워크에서 발생하는 네트워크 트래픽 정보를 실시간으로 수신하는 단계; (b) 이미지 변환부가 상기 네트워크 트래픽 수신부에서 전달되는 네트워크 트래픽 정보를 이용해 인공지능 알고리즘이 학습할 수 있는 실제 이미지 데이터로 변환하는 단계; (c) 가상 이미지 데이터 생성부가 실제와 유사한 가상의 침입 탐지를 위한 가상 이미지 데이터를 생성하는 단계; (d) 상기 데이터 감별부가 실제 이미지 데이터와 가상 이미지 데이터에 대한 진위 여부를 판단하는 단계; (e) 데이터 감별부가 실제 이미지 데이터와 가상 이미지 데이터에 대한 진위 여부를 판단하는 단계; (f) 시각화부는 상기 데이터 감별부에서 감별한 결과를 도식화하여 시각화하고, 결과를 상기 서비스 시스템과 서비스 네트워크로 제공하는 단계;;를 포함하는 것을 특징으로 한다.As another embodiment, in the method of detecting an undiscovered network intrusion type using the generative adversarial network according to the present invention to achieve the above object, (a) a service system in which a network traffic receiver wants to receive an intrusion detection service ( 110) or receiving network traffic information generated in the service network in real time; (b) converting, by an image conversion unit, into actual image data that can be learned by an artificial intelligence algorithm using network traffic information transmitted from the network traffic reception unit; (c) generating virtual image data for virtual intrusion detection similar to real by a virtual image data generating unit; (d) determining whether the real image data and the virtual image data are authentic or false by the data discrimination unit; (e) determining whether the real image data and the virtual image data are authentic by the data discrimination unit; (f) the visualization unit visualizes the results discriminated by the data discrimination unit, and provides the results to the service system and the service network;

바람직하게 상술한 목적을 달성하기 위해 본 발명에 따른 생성적 적대 신경망을 활용해 미 발견 네트워크 침입 유형을 탐지하는 방법 (e)단계에서 상기 데이터 감별부가 학습된 인공지능 모델의 학습에 사용된 실제 이미지 데이터 패턴을 분석해, 해당 패턴에 따라 취합한 상기 실제 이미지 데이터와 가상 이미지 데이터를 감별하는 것을 특징으로 한다.Preferably, in step (e) of the method of detecting an undiscovered network intrusion type using the generative hostile neural network according to the present invention to achieve the above object, the actual image used for learning the artificial intelligence model learned by the data discrimination unit It is characterized in that the data pattern is analyzed and the real image data and the virtual image data collected according to the pattern are discriminated.

본 발명에 따른 생성적 적대 신경망을 활용해 미 발견 네트워크 침입 유형을 탐지하는 시스템 및 방법은 지금까지 발견되지 않은 네트워크 공격 유형을 만들고, 이를 탐지하는 환경을 자동화함으로써 네트워크 공격 탐지 능력을 스스로 향상시킬 수 있는 효과가 있다.The system and method for detecting an undiscovered network intrusion type using a generative adversarial network according to the present invention can self-improve network attack detection capabilities by creating a hitherto undiscovered network attack type and automating the detection environment. There is an effect.

또한, 본 발명에 따른 생성적 적대 신경망을 활용해 미 발견 네트워크 침입 유형을 탐지하는 시스템 및 방법은 독자적으로 네트워크 침입을 탐지할 수 있으며, 또한 기존 네트워크 침입 탐지 시스템에 추가되어 해당 시스템의 기능을 보강하는 형태로 운영할 수 있는 효과가 있다.In addition, the system and method for detecting an undiscovered network intrusion type using a generative adversarial network according to the present invention can independently detect network intrusion, and can also be added to an existing network intrusion detection system to enhance the function of the system. There is an effect that can be operated in the form of

또한, 본 발명에 따른 생성적 적대 신경망을 활용해 미 발견 네트워크 침입 유형을 탐지하는 시스템 및 방법은 인공지능 모델의 학습을 위해 사용하는 네트워크 데이터는 관리자나 운영자가 답을 정해 놓고 가공된 데이터가 아니라, 네트워크상에 존재하는 대량의 모든 트래픽을 바로 사용해 인공지능 스스로 학습하기 때문에 더욱 효과적으로 시스템을 구현할 수 있는 효과가 있다.In addition, in the system and method for detecting an undiscovered network intrusion type using a generative adversarial network according to the present invention, network data used for learning an artificial intelligence model is not processed data for which an administrator or operator has set an answer, but However, since artificial intelligence learns on its own by immediately using all traffic existing on the network, it has the effect of implementing the system more effectively.

도 1은 본 발명에 따른 생성적 적대 신경망을 활용해 미 발견 네트워크 침입 유형을 탐지하는 시스템의 블록도 이다.
도 2는 본 발명에 따른 생성적 적대 신경망을 활용해 미 발견 네트워크 침입 유형을 탐지하는 시스템에서 실제 이미지 데이터를 이용해 이를 수치화하고 군집화하여 인공지능 모델을 만드는 것을 설명하기 위한 도면이다.
도 3은 본 발명에 따른 생성적 적대 신경망을 활용해 미 발견 네트워크 침입 유형을 탐지하는 방법의 플로우차트이다.
도 4는 본 발명에 따른 생성적 적대 신경망을 활용해 미 발견 네트워크 침입 유형을 탐지하는 방법의 DB화 방법의 플로우차트이다.
도 5는 본 발명에 따른 생성적 적대 신경망을 활용해 미 발견 네트워크 침입 유형을 탐지하는 방법에서 데이터 전처리 방법의 상세 플로우차트이다.
1 is a block diagram of a system for detecting an undiscovered network intrusion type using a generative adversarial network according to the present invention.
2 is a diagram for explaining how an artificial intelligence model is created by quantifying and clustering actual image data in a system for detecting undiscovered network intrusion types using a generative adversarial neural network according to the present invention.
3 is a flowchart of a method for detecting an undiscovered network intrusion type using a generative adversarial network according to the present invention.
4 is a flowchart of a method of creating a database of a method of detecting an undiscovered network intrusion type using a generative hostile neural network according to the present invention.
5 is a detailed flowchart of a data preprocessing method in a method of detecting an undiscovered network intrusion type using a generative adversarial network according to the present invention.

본 명세서 및 청구범위에 사용된 용어나 단어는 통상적이거나 사전적인 의미로 한정하여 해석되어서는 아니 되며, 발명자는 그 자신의 발명을 가장 최선의 방법으로 설명하기 위해 용어의 개념을 적절하게 정의할 수 있다는 원칙에 입각하여, 본 발명의 기술적 사상에 부합하는 의미와 개념으로 해석되어야만 한다. The terms or words used in this specification and claims should not be construed as being limited to ordinary or dictionary meanings, and the inventors may appropriately define the concept of terms in order to explain their invention in the best way. Based on the principle that there is, it should be interpreted as meaning and concept consistent with the technical spirit of the present invention.

따라서, 본 명세서에 기재된 실시예와 도면에 도시된 구성은 본 발명의 가 장 바람직한 일 실시예에 불과할 뿐이고 본 발명의 기술적 사상을 모두 대변하는 것은 아니므로, 본 출원시점에 있어서 이들을 대체할 수 있는 다양한 균등물과 변형예들이 있을 수 있음을 이해하여야 한다.Therefore, since the embodiments described in this specification and the configurations shown in the drawings are only one of the most preferred embodiments of the present invention and do not represent all of the technical ideas of the present invention, they can be substituted at the time of this application It should be understood that there may be many equivalents and variations.

이하, 첨부된 도면을 참조하여 본 발명에 따른 생성적 적대 신경망을 활용해 미 발견 네트워크 침입 유형을 탐지하는 시스템에 대해 상세히 설명한다.Hereinafter, a system for detecting an undiscovered network intrusion type using a generative adversarial network according to the present invention will be described in detail with reference to the accompanying drawings.

도 1은 본 발명에 따른 생성적 적대 신경망을 활용한 미 발견 네트워크 침입 유형을 탐지하는 시스템의 블록도 이다.1 is a block diagram of a system for detecting an undiscovered network intrusion type using a generative adversarial network according to the present invention.

도 1에 도시된 바와 같이 본 발명에 따른 생성적 적대 신경망을 활용해 미 발견 네트워크 침입 유형을 탐지하는 시스템은 서비스 시스템(110), 서비스 네트워크(120), 네트워크 트래픽 수신부(130), 이미지 변환부(140), 가상 이미지 데이터 생성부(150), 데이터 감별부(160), 및 시각화부(170)를 포함한다.As shown in FIG. 1, the system for detecting an undiscovered network intrusion type using the generative adversarial network according to the present invention includes a service system 110, a service network 120, a network traffic receiving unit 130, and an image conversion unit. 140, a virtual image data generating unit 150, a data discrimination unit 160, and a visualization unit 170.

상기 서비스 시스템(110)는 본 발명에 따른 생성적 적대 신경망을 활용해 미 발견 네트워크 침입 유형을 탐지하는 서비스를 받고자 하는 시스템이다.The service system 110 is a system that wants to receive a service for detecting an undiscovered network intrusion type using the generative adversarial network according to the present invention.

마찬가지로, 상기 서비스 네트워크(120)는 본 발명에 따른 생성적 적대 신경망을 활용해 미 발견 네트워크 침입 유형을 탐지하는 서비스를 받고자 네트워크이다.Similarly, the service network 120 is a network for receiving a service for detecting an undiscovered network intrusion type using the generative adversarial network according to the present invention.

상기 네트워크 트래픽 수신부(130)는 상기 서비스 시스템(110) 또는 상기 서비스 네트워크(120)에서 발생하는 네트워크 트래픽 정보를 실시간으로 수신하는 구성이다.The network traffic receiver 130 is a component that receives network traffic information generated in the service system 110 or the service network 120 in real time.

상기 네트워크 트래픽 수신부(130)는 상기 서비스 시스템(110) 또는 상기 서비스 네트워크(120)에서 수신한 네트워크 트래픽 정보를 상기 이미지 변환부(140)로 전달하고 저장한다.The network traffic receiving unit 130 transfers the network traffic information received from the service system 110 or the service network 120 to the image conversion unit 140 and stores it.

한편, 상기 네트워크 트래픽 정보는 기본적으로 인터넷 상에 돌아다니는 모든 데이터를 말하며, 이를 패킷이라고 한다.Meanwhile, the network traffic information basically refers to all data traveling on the Internet, and is referred to as a packet.

상기 패킷(Packet)은 패키지(Package)와 덩어리를 뜻하는 버킷(Bucket)의 합성어로, 인터넷 상에서 데이터를 주고받을 때 데이터가 일정 크기보다 클 경우 적당한 크기로 잘라 네트워크를 통해 전송하는데 이 묶음을 말한다.The packet is a compound word of a package and a bucket, which means a lump. When data is exchanged over the Internet, if the data is larger than a certain size, it is cut into appropriate sizes and transmitted over the network. .

즉, 상기 패킷(Packet)은 네트워크를 통해 전송하기 쉽도록 자른 데이터의 전송 단위이다.That is, the packet is a transmission unit of data cut to be easily transmitted through a network.

보다 구체적으로 패킷은 간단히 "Data Packet = Header + Data(Payload) + Tail"형태를 지니는데, 상기 Header는 수신처의 인터넷 주소와 순서 등이 기록되어 있고, 상기 Tail에는 오류 정보가 기록되어 있었다.More specifically, the packet simply has the form of "Data Packet = Header + Data (Payload) + Tail". The header contains the Internet address and order of the destination, and error information is recorded in the tail.

본 발명에서는 페이로드(payload)에 있는 데이터를 가지고 침입 여부를 판단하는 학습을 자동으로 수행한다.In the present invention, learning to determine intrusion is automatically performed using data in the payload.

상기 이미지 변환부(140)는 상기 네트워크 트래픽 수신부(130)에서 전달되는 네트워크 트래픽 정보를 이용해 인공지능 알고리즘이 학습할 수 있는 최적의 데이터인 이미지 데이터로 변환한다.The image conversion unit 140 converts the network traffic information transmitted from the network traffic reception unit 130 into image data, which is optimal data for the artificial intelligence algorithm to learn.

상기 이미지 변환부(140)는 "Word To Vector" 방식 등 데이터의 형태에 따라 다양한 형태로 사용 가능하다.The image conversion unit 140 can be used in various forms depending on the type of data, such as a “Word To Vector” method.

한편, 본 발명에서 말하는 이미지는 일반적으로 흔히 생각하는 그림이 아닌 상기 페이로드(payload)에 있는 데이터 즉, 페이로드 데이터를 인공지능 모델이 이해할 수 있도록 수치화시킨 데이터를 말한다.On the other hand, the image referred to in the present invention generally refers to data in the payload (payload), that is, data obtained by digitizing the payload data so that the artificial intelligence model can understand, rather than a commonly thought picture.

상기 수치화시킨 데이터는 상기 페이로드 데이터에 있는 특정한 문자(공격문자)의 반복 횟수가 될 수 있고, 특정한 문자(공격문자)들 사이의 거리를 나타낼 수도 있다.The digitized data may be the number of repetitions of specific characters (attack characters) in the payload data, or may indicate the distance between specific characters (attack characters).

네트워크 공격은 네트워크 패킷 데이터를 이용해 공격하며 그 유형은 매우 다양하다. 이러한 유형은 국정원에서 국가 차원의 공격 유형을 만들고, 각 행정부처에 존재하는 사이버 보안관제 센터에서도 만든다. Network attacks attack using network packet data, and the types are very diverse. These types of attacks are created by the National Intelligence Service at the national level and also by the Cyber Security Control Center in each administrative department.

에너지 분야 공기업은 산업부의 영향을 받기 때문에 산업부 사이버 보안관제 센터에서 정의한 공격 유형을 사용하며, 본 발명 또한 산업부와 국정원에서 만든 공격 유형을 대상으로 하고 있다.Because public enterprises in the energy sector are affected by the Ministry of Trade, Industry and Energy, they use attack types defined by the Ministry of Trade, Industry and Energy's Cyber Security Control Center, and the present invention also targets attack types created by the Ministry of Industry and the National Intelligence Service.

물론 각 기업이나 보안관제 제품을 생산하는 업체에서 만들기도 하지만 대부분 상위 기관에서 만든 유형을 편집해 사용한다.Of course, each company or the company that produces the security control product makes it, but most of them edit and use the type created by the higher authority.

상술한 바와 같이 다양한 형태의 공격 유형에 대해 그 유형에서 나타나는 특정 문자의 빈도수나 특정 문자들 사이의 거리를 수치화해 이미지 데이터를 만들고 있다.As described above, for various types of attacks, image data is created by quantifying the frequency of specific characters appearing in the type or the distance between specific characters.

상기 이미지 변환부(140)에 의해 상기 네트워크 트래픽 수신부(130)에서 전달되는 네트워크 트래픽 정보를 이용해 인공지능 알고리즘이 학습할 수 있는 최적의 데이터인 이미지 데이터로 변환된 상태는 아래의 [표 1]과 같을 수 있다.[Table 1] and [Table 1] can be the same

2. 2. 2. 0. 1.0488278 1.056263 0.7597104 2. 0.7003366 0.78502715 1.0091248 0.71942884 0. 0.82707363 1.031182 0.6744879 1^M
0.9682332 2. 2. 0. 1.01779 0.95491135 0.7194433 2. 0.70200163 0.8353117 0.94830054 0.7439148 0. 0.80252534 0.8993441 0.6703645 1^M
0.9682332 2. 2. 0. 1.01779 2. 0.713479 1.1102833 0.6413943 0.8353117 0.94830054 0.703838 0. 0.8044252 0.8993441 0.64295757 1^M
0.9682332 2. 2. 0. 1.01779 2. 0.7194433 1.1102833 0.75359005 0.8353117 0.94830054 0.703838 0. 0.7892828 0.8993441 0.75035995 1^M
2. 2. 2. 0. 1.0488278 1.056263 0.77702236 2. 0.7003366 0.78502715 1.0091248 0.7217012 0. 0.8080466 1.031182 0.6744879 1^M
2. 1.1365895 2. 0. 0.9806293 1.0023578 0.91741335 1.0499628 0.8835612 0.78502715 0.8929321 0.79431415 0. 0.8307875 0.9577202 0.75188684 1^M
0.9682332 2. 1.0570022 0. 2. 0.96169907 0.8284959 1.1102833 0.83699673 0.78502715 0.94830054 0.7560764 0. 0.8244322 0.9577202 0.798124 1^M
0.9682332 2. 2. 0. 1.01779 2. 0.7194433 1.1102833 0.75359005 0.8353117 0.94830054 0.703838 0. 0.7892828 0.8993441 0.75035995 1^M
0.9682332 2. 2. 0. 1.01779 2. 0.7194433 1.1102833 0.75359005 0.8353117 0.94830054 0.703838 0. 0.7892828 0.8993441 0.75035995 1^M
0.9682332 2. 2. 0. 1.01779 1.0013722 0.70126694 2. 0.7277234 0.76816434 0.94830054 0.7395296 0. 0.7892828 0.8993441 0.7742419 1^M1^M
0.9682332 2. 2. 0. 1.01779 0.95491135 0.7194433 2. 0.70200163 0.8353117 0.94830054 0.7439148 0. 0.80252534 0.8993441 0.6703^M645
0.9682332 2. 2. 0. 1.01779 2. 0.713479 1.1102833 0.6413943 0.8353117 0.94830054 0.703838 0. 0.8044252 0.8993441 0.64295757 1^M
0.9682332 2. 2. 0. 1.01779 2. 0.7194433 1.1102833 0.75359005 0.8353117 0.94830054 0.703838 0. 0.7892828 0.8993441 0.75035995 1^
1^M
2. 1.1365895 2. 0. 0.9806293 1.0023578 0.91741335 1.0499628 0.8835612 0.78502715 0.8929321 0.79431415 0^ 0.8307875 0.95784518 0.95784512
0.9682332 2. 1.0570022 0. 2. 0.96169907 0.8284959 1.1102833 0.83699673 0.78502715 0.94830054 0.7560764 0^0.
0.9682332 2. 2. 0. 1.01779 2. 0.7194433 1.1102833 0.75359005 0.8353117 0.94830054 0.703838 0. 0.7892828 0.8993441 0.75035995 1^
0.9682332 2. 2. 0. 1.01779 2. 0.7194433 1.1102833 0.75359005 0.8353117 0.94830054 0.703838 0. 0.7892828 0.8993441 0.75035995 1^
0.9682332 2. 2. 0. 1.01779 1.0013722 0.70126694 2. 0.7277234 0.76816434 0.94830054 0.7395296 0. 0.7892828 0.8993441 0.7742419

문자는 인간의 언어를 표현하는 방법이고 컴퓨터는 0과 1만 이해하는 기계이다 보니, 문자를 기반으로 데이터를 처리하기 위해서는 이를 수치화하고 이 숫자를 이진법으로 표현해 컴퓨터에 넣어 줘야 더 정확하고 빠른 결과를 도출할 수 있다.문자 자체를 직접 입력으로 해서 모델을 학습해도 결과는 나오지만 속도와 정확도가 많이 떨어지기 때문에 본 발명에서 이미지 변환부(140)에 의한 이미지 데이터 변환 과정이 필요하다.Since characters are a way to express human language and computers are machines that understand only 0 and 1, in order to process data based on characters, it is necessary to digitize it and express this number in binary and put it into a computer to obtain more accurate and faster results. Even if the character itself is used as a direct input to learn the model, the result is obtained, but the speed and accuracy are greatly reduced, so the image data conversion process by the image conversion unit 140 is required in the present invention.

상기 가상 이미지 데이터 생성부(150)는 새로운 네트워크 침입 탐지 유형의 데이터를 생성하는 구성으로, 여기서 생성되는 데이터는 실제로 존재하는 데이터가 아닌 실제와 유사한 가상의 침입 탐지 데이터를 의미한다.The virtual image data generation unit 150 is a component that generates data of a new network intrusion detection type, and the data generated here means virtual intrusion detection data similar to actual data, not data that actually exists.

한편, 상기 가상 이미지 데이터 생성부(150)는 가상의 데이터를 생성하기 위해서 상기 데이터 감별부(160)가 이전 시퀀스(sequence)에서 감별한 결과를 고려하여 더 완벽한 가상의 침입 탐지 데이터를 만들기 위해 학습한다.On the other hand, the virtual image data generator 150 learns to create more perfect virtual intrusion detection data in consideration of the result of discrimination in the previous sequence by the data discrimination unit 160 in order to generate virtual data. do.

상기 이미지 변환부(140)를 통해 출력되는 변환된 실제 이미지 데이터는 실제 네트워크 트래픽을 기반으로 변환된 데이터이다.The converted actual image data output through the image conversion unit 140 is data converted based on actual network traffic.

상기 가상 이미지 데이터 생성부(150)를 통해 생성되어 출력되는 가상의 침임 탐지 데이터는 실제 침입 데이터와 유사한 가상의 데이터로 새로운 유형의 침입 탐지 데이터 이다.The virtual intrusion detection data generated and output through the virtual image data generator 150 is virtual data similar to actual intrusion data, and is a new type of intrusion detection data.

상기 데이터 감별부(160)는 상기 이미지 변환부(140)에 의해 변환된 실제 이미지 데이터와 상기 가상 이미지 데이터 생성부(150)에 의해 생성된 가상 이미지 데이터를 취합하여, 상기 실제 이미지 데이터와 가상 이미지 데이터 모두에 대한 진위 여부를 감별한다.The data discriminating unit 160 collects the real image data converted by the image conversion unit 140 and the virtual image data generated by the virtual image data generating unit 150, the real image data and the virtual image data. Determine the authenticity of all data.

보다 구체적으로, 상기 데이터 감별부(160)는 학습된 인공지능 모델이 학습에 사용된 실제 이미지 데이터 패턴을 분석해, 해당 패턴에 따라 상기 실제 이미지 데이터와 가상 이미지 데이터를 감별한다. More specifically, the data discrimination unit 160 analyzes the pattern of real image data used for learning by the learned artificial intelligence model, and discriminates the real image data from the virtual image data according to the pattern.

참고로, 인공지능 모델의 판단은 그 어떤 수식으로도 설명할 수 없으며, 검증을 통해 가짜를 가짜라고 한 횟수와 가짜를 진짜라고 한 횟수를 이용해 정확도를 계산하고 그 결과로 이 인공지능 모델은 특정 정확도의 확률로 가상 이미지 데이터를 가짜라고 한다고 모델을 판단한다.For reference, the judgment of the artificial intelligence model cannot be explained by any formula, and through verification, the accuracy is calculated using the number of fakes as fake and the number of fakes as real, and as a result, this artificial intelligence model has a specific The model determines that the virtual image data is fake with a probability of accuracy.

상기 데이터 감별부(160)는 감별 결과를 출력단에 있는 시각화부(170)에 전달하여, 해당 시각화부(170)가 감별한 결과를 도식화하도록 한다.The data discrimination unit 160 transfers the discrimination result to the visualization unit 170 at the output stage, and the visualization unit 170 makes the discrimination result graphically.

상기 시각화부(170)는 언급한 바와 같이 본 발명에 따른 생성적 적대 신경망을 활용해 미 발견 네트워크 침입 유형을 탐지하는 시스템의 데이터 감별부(160)에서 감별한 결과를 도식화하고 결과를 서비스 대상인 상기 서비스 시스템(110)과 서비스 네트워크(120)로 제공한다.As mentioned above, the visualization unit 170 diagrams the result discriminated by the data discriminating unit 160 of the system for detecting an undiscovered network intrusion type using the generative adversarial network according to the present invention, and displays the result to the service target. It is provided to the service system 110 and the service network 120.

본 발명에 따른 생성적 적대 신경망을 활용해 미 발견 네트워크 침입 유형을 탐지하는 시스템은 실제 이미지 데이터를 이용해 이를 수치화하고 군집화하여 도 2a에 도시된 바와 같이 인공지능 모델을 만들 수 있다.The system for detecting undiscovered network intrusion types using the generative adversarial neural network according to the present invention can create an artificial intelligence model as shown in FIG. 2a by quantifying and clustering them using actual image data.

네트워크 공격 유형별로 이렇게 군집화가 나오도록 하는 것이 비지도 학습의 일종인 클러스터 인공지능 모델 학습 방법이다.Clustering by type of network attack is a method of learning a cluster artificial intelligence model, which is a kind of unsupervised learning.

이렇게 학습된 모델에 가상 이미지 데이터를 입력하면 도 2b에 도시된 바와 같은 이미지가 생성된다.When virtual image data is input to the model learned in this way, an image as shown in FIG. 2B is generated.

도 2b에서 A부분과 같이 가상 이미지 데이터로만 만들어진 군집을 찾아서 해당 데이터를 다시 문자로 된 페이로드 데이터로 변환하여 운영자가 분석해 실제 네트워크 침입 탐지 공격이면 새로운 침입탐지 유형으로 분류한다.As shown in part A in FIG. 2B, a cluster made of only virtual image data is found, and the corresponding data is converted back into character payload data, and the operator analyzes it.

종합하면, 본 발명은 상술한 바와 같이 가상 이미지 데이터가 A부분과 같이 군집을 이루는 부분을 찾아내어 이를 바탕으로 운영자가 공격 유형의 여부를 판단하는 것이다.In summary, the present invention, as described above, finds a part in which the virtual image data is clustered, such as part A, and based on this, the operator determines whether there is an attack type.

다른 실시예로써 상술한 바와 같은 구성을 갖는 생성적 적대 신경망을 활용해 미 발견 네트워크 침입 유형을 탐지하는 시스템에 의한 탐지 방법에 대해 설명한다. As another embodiment, a detection method by a system for detecting an undiscovered network intrusion type using a generative adversarial network having the above configuration will be described.

상기 네트워크 트래픽 수신부(130)는 상기 서비스 시스템(110) 또는 상기 서비스 네트워크(120)에서 발생하는 네트워크 트래픽 정보를 실시간으로 수신하는 단계를 수행한다(S100).The network traffic receiver 130 performs a step of receiving network traffic information generated in the service system 110 or the service network 120 in real time (S100).

다음으로 데이터 전처리 단계로써, 상기 이미지 변환부(140)는 상기 네트워크 트래픽 수신부(130)에서 전달되는 네트워크 트래픽 정보를 이용해 인공지능 알고리즘이 학습할 수 있는 최적의 데이터인 이미지 데이터로 변환하는 단계를 수행한다(S200).Next, as a data pre-processing step, the image conversion unit 140 converts the network traffic information transmitted from the network traffic reception unit 130 into image data, which is optimal data for the artificial intelligence algorithm to learn. Do (S200).

특히, 도 4에 도시된 바와 같이 상기 S100단계에서 서비스 대상 시스템에서 File이나 DB의 형태로 데이터를 제공하고, 수신기는 상기 S200단계에서 다양한 형태의 데이터 타입에서 인공지능 모델 학습을 위해 하나의 일관된 데이터 타입으로 변환하여 DB에 저장한다.In particular, as shown in FIG. 4, the service target system provides data in the form of a file or DB in step S100, and the receiver provides one consistent data for AI model learning in various types of data in step S200. Convert to type and save to DB.

상기 S200 단계에서 트래픽 정보의 누락정보 제거, 정규화 및 단어 사이의 거리를 계산하는 것과 같은 전처리 단계를 수행한다.In step S200, preprocessing steps such as removing missing information of traffic information, normalization, and calculating the distance between words are performed.

또한, 도 5에 도시된 바와 같이 이미지(인공지능 모델 학습을 위해 필요한 수치화된 데이터)로 변화하는 부분에 대한 흐름으로 수신되어 인공지능 모델 학습을 위해 한 자지 방법으로 변환된 데이터에 대해, 해당 데이터를 정제(오류 수정)하는 부분과 정규화하는 부분을 각각 거쳐 인공지능 알고리즘의 하나인 Word2Vec 등을 활용해 수치화하는 부분을 거처 최종적으로 인공지능 모델 학습을 위한 최종 이미지 데이터를 생성한다.In addition, as shown in FIG. 5, for data received as a flow for a part that changes to an image (digitized data required for artificial intelligence model learning) and converted by a single method for artificial intelligence model learning, the corresponding data After going through refining (error correction) and normalization, and digitizing using Word2Vec, one of the artificial intelligence algorithms, the final image data for artificial intelligence model learning is finally generated.

상기 가상 이미지 데이터 생성부(150)는 새로운 네트워크 침입 탐지 유형의 데이터를 생성하는 구성으로, 실제로 존재하는 데이터가 아닌 실제와 유사한 가상의 침입 탐지를 위한 가상 이미지 데이터를 생성하는 단계를 수행한다(S300).The virtual image data generation unit 150 is a component that generates data of a new network intrusion detection type, and performs a step of generating virtual image data for detecting virtual intrusion that is similar to reality rather than actually existing data (S300). ).

상기 가상 이미지 데이터 생성부(150)가 상기 S300 단계에서 생성하는 가상의 침입 탐지 데이터는 상기 이미지 변환부(140)에서 인공지능 알고리즘이 학습할 수 있도록 변환한 형태의 데이터인 것이 바람직하다.It is preferable that the virtual intrusion detection data generated by the virtual image data generation unit 150 in step S300 is data converted by the image conversion unit 140 so that the artificial intelligence algorithm can learn it.

그래야만, 상기 가상 이미지 데이터 생성부(150)가 생성하는 가상의 침입 탐지 데이터를 상기 이미지 변환부(140)에서 인공지능 알고리즘이 학습할 수 있도록 변환한 데이터와 취합할 수 있기 때문이다.Only then can the virtual intrusion detection data generated by the virtual image data generator 150 be combined with the data converted by the image conversion unit 140 so that the artificial intelligence algorithm can learn.

이후, 상기 데이터 감별부(160)는 우선 상기 이미지 변환부(140)에 의해 변환된 실제 이미지 데이터와 상기 가상 이미지 데이터 생성부(150)에 의해 생성된 가상 이미지 데이터를 취합하는 단계를 수행한다(S400).Thereafter, the data discrimination unit 160 first performs a step of combining the actual image data converted by the image conversion unit 140 and the virtual image data generated by the virtual image data generation unit 150 ( S400).

다음으로 상기 데이터 감별부(160)는 상술한 바와 같이 취합된 실제 이미지 데이터와 가상 이미지 데이터 모두에 대한 진위 여부를 판단하는 단계를 수행한다(S500).Next, the data discriminating unit 160 performs a step of determining authenticity for both real image data and virtual image data collected as described above (S500).

마지막으로 상기 시각화부(170)는 상기 데이터 감별부(160)에서 감별한 결과를 도식화하여 시각화하는 단계를 수행한다(S600).Finally, the visualization unit 170 performs a step of visualizing the result of discrimination by the data discrimination unit 160 by drawing a diagram (S600).

이후, 상기 시각화부(170)는 도식화하여 시각화한 결과를 서비스 대상인 상기 서비스 시스템(110)과 서비스 네트워크(120)로 제공하는 단계를 수행하는 것이 바람직하다.Then, it is preferable that the visualization unit 170 performs a step of providing the result of the visualization of the diagram to the service system 110 and the service network 120, which are service targets.

이상에서는 본 발명에 대한 기술사상을 첨부 도면과 함께 서술하였지만 이는 본 발명의 바람직한 실시 예를 예시적으로 설명한 것이지 본 발명을 한정하는 것은 아니다. 또한 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 누구나 본 발명의 기술적 사상의 범주를 이탈하지 않는 범위 내에서 다양한 변형 및 모방이 가능함은 명백한 사실이다.In the above, the technical idea of the present invention has been described together with the accompanying drawings, but this is an illustrative example of a preferred embodiment of the present invention, but does not limit the present invention. In addition, it is obvious that various modifications and imitations can be made by anyone having ordinary knowledge in the technical field to which the present invention belongs without departing from the scope of the technical idea of the present invention.

110 : 서비스 시스템
120 : 서비스 네트워크
130 : 네트워크 트래픽 수신부
140 : 이미지 변환부
150 : 가상 이미지 데이터 생성부
160 : 데이터 감별부
170 : 시각화부110: service system
120: service network
130: network traffic receiving unit
140: image conversion unit
150: virtual image data generation unit
160: data identification unit
170: visualization unit

Claims (7)

생성적 적대 신경망을 활용해 미 발견 네트워크 침입 유형을 탐지하는 시스템에 있어서,
침입 탐지 서비스를 받고자 하는 서비스 시스템;
상기 침입 탐지 서비스를 받고자 하는 서비스 네트워크;
상기 서비스 시스템 또는 서비스 네트워크에서 발생하는 네트워크 트래픽 정보를 실시간으로 수신하는 네트워크 트래픽 수신부;
상기 네트워크 트래픽 수신부가 수신한 네트워크 트래픽 정보를 실제 이미지 데이터로 변환 하는 이미지 변환부;
실제 존재하는 데이터가 아닌 실제와 유사한 가상의 침입 탐지 데이터로 가상 이미지 데이터를 생성하는 가상 이미지 데이터 생성부;
상기 실제 이미지 데이터와 가상 이미지 데이터 모두에 대한 진위 여부를 감별하는 데이터 감별부; 및
상기 데이터 감별부가 감별한 결과를 도식화하고 결과를 서비스 대상인 상기 서비스 시스템과 서비스 네트워크로 제공하는 시각화부;를 포함하되,
상기 가상 이미지 데이터 생성부는
가상 이미지 데이터를 생성하기 위해 상기 데이터 감별부가 이전 시퀀스(sequence)에 대해 상기 이미지 변환부에 의해 변환된 실제 이미지 데이터와 상기 가상 이미지 데이터 생성부에 의해 생성된 가상 이미지 데이터를 취합한 후, 학습된 인공지능 모델의 학습에 사용된 실제 이미지 데이터 패턴을 분석해, 해당 패턴에 따라 취합한 상기 실제 이미지 데이터와 가상 이미지 데이터를 감별한 결과를 고려하여, 실제 침입 데이터와 유사한 가상의 데이터로 새로운 침입 탐지 데이터인 가상의 침입 탐지 데이터를 만들기 위해 학습하는 것을 특징으로 하는 생성적 적대 신경망을 활용해 미 발견 네트워크 침입 유형을 탐지하는 시스템.
In a system for detecting an undiscovered network intrusion type using a generative adversarial network,
service systems that wish to receive intrusion detection services;
a service network to receive the intrusion detection service;
a network traffic receiver for receiving network traffic information generated in the service system or service network in real time;
an image converter converting the network traffic information received by the network traffic receiver into actual image data;
a virtual image data generating unit that generates virtual image data using virtual intrusion detection data similar to actual data rather than actual data;
a data discriminating unit that discriminates whether the real image data and the virtual image data are authentic; and
A visualization unit for plotting the results of the discrimination by the data discrimination unit and providing the results to the service system and service network, which are service targets,
The virtual image data generating unit
In order to generate virtual image data, the data discrimination unit collects the actual image data converted by the image conversion unit for the previous sequence and the virtual image data generated by the virtual image data generation unit, and then learns New intrusion detection data with virtual data similar to real intrusion data, considering the result of analyzing the real image data pattern used for learning the artificial intelligence model and discriminating the real image data and virtual image data collected according to the pattern A system for detecting undiscovered network intrusion types using a generative adversarial network, characterized in that it learns to create virtual intrusion detection data.
 제 1항에 있어서,
상기 이미지 변환부는
상기 네트워크 트래픽 정보의 패킷(Packet)을 구성하는 페이로드에 있는 페이로드 데이터를 "Word To Vector" 방식으로 생성적 적대 신경망이 이해할 수 있도록 수치화 시켜 실제 이미지 데이터로 변환하는 것을 특징으로 하는 생성적 적대 신경망을 활용해 미 발견 네트워크 침입 유형을 탐지하는 시스템.
According to claim 1,
The image conversion unit
Generative adversarial, characterized in that the payload data in the payload constituting the packet of the network traffic information is converted into actual image data by digitizing it so that the generative adversarial neural network can understand it in a "Word To Vector" method A system that uses neural networks to detect types of undiscovered network intrusions.
 삭제delete 삭제delete 생성적 적대 신경망을 활용해 미 발견 네트워크 침입 유형을 탐지하는 방법에 있어서,
(a) 네트워크 트래픽 수신부가 탐지 서비스를 받고자 하는 서비스 시스템(110) 또는 서비스 네트워크에서 발생하는 네트워크 트래픽 정보를 실시간으로 수신하는 단계;
(b) 이미지 변환부가 상기 네트워크 트래픽 수신부에서 전달되는 네트워크 트래픽 정보를 이용해 인공지능 알고리즘이 학습할 수 있는 실제 이미지 데이터로 변환하는 단계;
(c) 가상 이미지 데이터 생성부가 실제와 유사한 가상의 침입 탐지를 위한 가상 이미지 데이터를 생성하는 단계;
(e) 데이터 감별부가 실제 이미지 데이터와 가상 이미지 데이터에 대한 진위 여부를 판단하는 단계;
(f) 시각화부는 상기 데이터 감별부에서 감별한 결과를 도식화하여 시각화하고, 결과를 상기 서비스 시스템과 서비스 네트워크로 제공하는 단계;를 포함되,
상기 (c)단계에서
상기 가상 이미지 데이터 생성부는
가상 이미지 데이터를 생성하기 위해 상기 데이터 감별부가 이전 시퀀스(sequence)에 대해 상기 이미지 변환부에 의해 변환된 실제 이미지 데이터와 상기 가상 이미지 데이터 생성부에 의해 생성된 가상 이미지 데이터를 취합한 후, 학습된 인공지능 모델의 학습에 사용된 실제 이미지 데이터 패턴을 분석해, 해당 패턴에 따라 취합한 상기 실제 이미지 데이터와 가상 이미지 데이터를 감별한 결과를 고려하여, 실제 침입 데이터와 유사한 가상의 데이터로 새로운 침입 탐지 데이터인 가상의 침입 탐지 데이터를 만들기 위해 학습 하는 것을 특징으로 하는 것을 특징으로 하는 생성적 적대 신경망을 활용해 미 발견 네트워크 침입 유형을 탐지하는 방법.
In the method of detecting an undiscovered network intrusion type using a generative adversarial network,
(a) receiving, in real time, network traffic information generated in the service system 110 or the service network to receive the detection service by the network traffic receiving unit;
(b) converting, by an image conversion unit, into actual image data that can be learned by an artificial intelligence algorithm using network traffic information transmitted from the network traffic reception unit;
(c) generating virtual image data for virtual intrusion detection similar to real by a virtual image data generating unit;
(e) determining whether the real image data and the virtual image data are authentic by the data discrimination unit;
(f) visualizing and visualizing the results discriminated by the data discriminating unit by the visualization unit, and providing the results to the service system and the service network;
In step (c) above
The virtual image data generating unit
In order to generate virtual image data, the data discrimination unit collects the actual image data converted by the image conversion unit for the previous sequence and the virtual image data generated by the virtual image data generation unit, and then learns New intrusion detection data with virtual data similar to real intrusion data, considering the result of analyzing the real image data pattern used for learning the artificial intelligence model and discriminating the real image data and virtual image data collected according to the pattern A method of detecting an undiscovered network intrusion type using a generative adversarial network, characterized in that it learns to create virtual intrusion detection data.
 제 5항에 있어서,
상기 (c)단계와 (e)단계 사이에
(d) 상기 데이터 감별부가 실제 이미지 데이터와 가상 이미지 데이터에 대한 진위 여부를 판단하는 단계;를 더 포함하는 것을 특징으로 하는 생성적 적대 신경망을 활용해 미 발견 네트워크 침입 유형을 탐지하는 방법.
According to claim 5,
Between steps (c) and (e)
The method of detecting an undiscovered network intrusion type using a generative adversarial network, further comprising: (d) determining whether the data discriminating unit is authentic to the real image data and the virtual image data.
 제 6항에 있어서,
상기 (e)단계에서
상기 데이터 감별부가 학습된 인공지능 모델의 학습에 사용된 실제 이미지 데이터 패턴을 분석해, 해당 패턴에 따라 취합한 상기 실제 이미지 데이터와 가상 이미지 데이터를 감별하는 것을 특징으로 하는 생성적 적대 신경망을 활용해 미 발견 네트워크 침입 유형을 탐지하는 방법.According to claim 6,
In step (e) above
The data discrimination unit analyzes the actual image data pattern used for learning the learned artificial intelligence model and discriminates between the real image data and the virtual image data collected according to the pattern. Discovery How to detect types of network intrusions.
KR1020200174779A 2020-12-14 2020-12-14 A system and method for detecting undetected network intrusions types using generative adversarial network KR102497737B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020200174779A KR102497737B1 (en) 2020-12-14 2020-12-14 A system and method for detecting undetected network intrusions types using generative adversarial network

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020200174779A KR102497737B1 (en) 2020-12-14 2020-12-14 A system and method for detecting undetected network intrusions types using generative adversarial network

Publications (2)

Publication Number Publication Date
KR20220084866A KR20220084866A (en) 2022-06-21
KR102497737B1 true KR102497737B1 (en) 2023-02-09

Family

ID=82221518

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020200174779A KR102497737B1 (en) 2020-12-14 2020-12-14 A system and method for detecting undetected network intrusions types using generative adversarial network

Country Status (1)

Country Link
KR (1) KR102497737B1 (en)

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20160095856A (en) 2015-02-04 2016-08-12 한국전자통신연구원 System and method for detecting intrusion intelligently based on automatic detection of new attack type and update of attack type
KR102169255B1 (en) * 2018-12-20 2020-10-23 펜타시큐리티시스템 주식회사 Method and apparatus for detecting abnormal traffic based on convolutional autoencoder
KR102148283B1 (en) * 2019-01-31 2020-08-26 (주)에이알씨엔에스 System for detecting network attacks using deep learning
KR102283416B1 (en) * 2019-04-03 2021-07-28 조선대학교산학협력단 A method and apparatus for generating image using GAN based deep learning model

Also Published As

Publication number Publication date
KR20220084866A (en) 2022-06-21

Similar Documents

Publication Publication Date Title
Karatas et al. Deep learning in intrusion detection systems
CN112738015B (en) Multi-step attack detection method based on interpretable convolutional neural network CNN and graph detection
US11038906B1 (en) Network threat validation and monitoring
US9716644B2 (en) Systems and methods for content type classification
Le et al. Data analytics on network traffic flows for botnet behaviour detection
AU2021275768A1 (en) Cyber security for instant messaging across platforms
EP3469770A1 (en) Spam classification system based on network flow data
Kachavimath et al. Distributed denial of service attack detection using naïve bayes and k-nearest neighbor for network forensics
CN110611640A (en) DNS protocol hidden channel detection method based on random forest
Srinivasan et al. Enhancing the security in cyber-world by detecting the botnets using ensemble classification based machine learning
CN113705604A (en) Botnet flow classification detection method and device, electronic equipment and storage medium
Hostiadi et al. Hybrid model for bot group activity detection using similarity and correlation approaches based on network traffic flows analysis
Hasan et al. An Explainable Ensemble Deep Learning Approach for Intrusion Detection in Industrial Internet of Things
Nathiya et al. An effective way of cloud intrusion detection system using decision tree, support vector machine and Naïve bayes algorithm
Harbola et al. Improved intrusion detection in DDoS applying feature selection using rank & score of attributes in KDD-99 data set
CN112866278B (en) Computer network information safety protection system based on big data
Ahn et al. Hawkware: network intrusion detection based on behavior analysis with ANNs on an IoT device
Miller et al. The impact of different botnet flow feature subsets on prediction accuracy using supervised and unsupervised learning methods
KR102497737B1 (en) A system and method for detecting undetected network intrusions types using generative adversarial network
CN117118761A (en) Deep defense system and method for penetrating intelligent automobile information security
Samadzadeh et al. Evaluating Security Anomalies by Classifying Traffic Using Deep Learning
Krivchenkov et al. Using machine learning for DoS attacks diagnostics
CN113688385B (en) Lightweight distributed intrusion detection method
Friji et al. Efficient network representation for GNN-based intrusion detection
Branitskiy et al. Network anomaly detection based on an ensemble of adaptive binary classifiers

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right