KR102582663B1 - Method For Managing Network And Network Management System - Google Patents
Method For Managing Network And Network Management System Download PDFInfo
- Publication number
- KR102582663B1 KR102582663B1 KR1020230022036A KR20230022036A KR102582663B1 KR 102582663 B1 KR102582663 B1 KR 102582663B1 KR 1020230022036 A KR1020230022036 A KR 1020230022036A KR 20230022036 A KR20230022036 A KR 20230022036A KR 102582663 B1 KR102582663 B1 KR 102582663B1
- Authority
- KR
- South Korea
- Prior art keywords
- network
- artificial intelligence
- management system
- network management
- log data
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/16—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks using machine learning or artificial intelligence
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/0464—Convolutional networks [CNN, ConvNet]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/04—Processing captured monitoring data, e.g. for logfile generation
- H04L43/045—Processing captured monitoring data, e.g. for logfile generation for graphical visualisation of monitoring data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
Abstract
본 개시의 네트워크 관리 방법은, 적어도 하나의 프로세서 및 적어도 하나의 메모리를 포함하는 네트워크 관리 시스템을 이용하여 네트워크를 관리하는 방법으로서, 상기 네트워크 관리 시스템에 의해, 상기 메모리에 로딩된 네트워크 로그 데이터를 적어도 하나의 기준으로 그룹핑하여 복수의 그룹 데이터를 생성하는 단계; 상기 네트워크 관리 시스템에 의해, 상기 복수의 그룹 데이터 각각으로부터 소정의 특성 값(feature value)을 추출하는 단계; 상기 네트워크 관리 시스템에 의해, 상기 추출된 특성 값을 소정의 시각화 기법을 이용해 시각화하여 이미지 표현(image representation)을 생성하는 단계; 상기 네트워크 관리 시스템에 의해, 인공지능 모델로 하여금 상기 이미지 표현을 분석하게 하여 인공지능 모델을 훈련시키는 단계; 및 상기 네트워크 관리 시스템에 의해, 상기 인공지능 모델로 하여금 학습한 결과물을 기초로 네트워크 상태를 판단하도록 하는 단계를 포함한다.The network management method of the present disclosure is a method of managing a network using a network management system including at least one processor and at least one memory, wherein at least network log data loaded into the memory is stored by the network management system. Generating a plurality of group data by grouping them based on one criterion; extracting, by the network management system, a predetermined feature value from each of the plurality of group data; generating an image representation by visualizing the extracted characteristic values using a predetermined visualization technique, by the network management system; training an artificial intelligence model by causing the network management system to analyze the image representation; And a step of allowing the artificial intelligence model to determine a network state based on a learned result by the network management system.
Description
본 개시는 네트워크 관리 방법 및 네트워크 관리 시스템에 관한 것으로, 구체적으로 사용자 또는 인공지능 모델이 이미지 표현을 모니터링하는 것으로 손쉽고 정확하게 네트워크를 관리하는 방법 및 그것을 수행하는 네트워크 관리 시스템에 관한 것이다.This disclosure relates to a network management method and a network management system, and specifically to a method of easily and accurately managing a network by monitoring image representation by a user or an artificial intelligence model, and a network management system that performs the same.
일반적으로 네트워크 관리(Network Management)란 네트워크 상태를 실시간으로 감시하여 네트워크 요소들의 구성, 성능, 장애에 관한 정보를 수집하고 그에 따라 네트워크를 운용 및 유지보수하는 것을 말한다. 네트워크 관리 시스템은 네트워크 요소들에 대한 형상 정보와 서비스 정보 등과 같은 관리 정보를 저장하고, 유사시에 시스템 관리자에게 관리 정보를 제공한다.In general, network management refers to monitoring the network status in real time to collect information on the configuration, performance, and failure of network elements, and operating and maintaining the network accordingly. The network management system stores management information such as configuration information and service information about network elements, and provides management information to the system manager in times of emergency.
네트워크 관리 분야에서는 네트워크를 구성하는 요소인 교환기, 전송장치, 가입자 장치, 전화국, 건물, 안테나 등을 노드(node)라고 부른다. 네트워크 관리 시스템은 노드의 운용 상태를 모니터링하고 노드들 간의 원활한 데이터 통신을 위해 네트워크를 흐르는 트래픽(traffic)을 관리 및 제어한다. 시스템 관리자는 네트워크 관리 시스템의 네트워크 상태를 나타내는 모니터링 화면을 통해 네트워크의 현재 상태를 확인하고 필요시에 대응 조치를 취한다.In the field of network management, the elements that make up a network, such as exchanges, transmission devices, subscriber devices, telephone offices, buildings, and antennas, are called nodes. The network management system monitors the operating status of nodes and manages and controls traffic flowing through the network for smooth data communication between nodes. The system administrator checks the current status of the network through the monitoring screen that displays the network status of the network management system and takes countermeasures when necessary.
그러나, 종래기술의 네트워크 관리 시스템은 2차원 형태의 대시보드와 한정된 종류의 텍스트 정보만을 나타내고 있어, 단순히 특정 시점의 특정 상황만을 인식할 수 있는 정도에 그치고 있다. 그로 인해, 종래기술에서는 실시간으로 시간이 지남에 따라 네트워크 상태가 급 변화하는 모습을 모니터링할 수 없고, 시스템 관리 시스템의 모니터링 화면의 표시로부터 시스템 관리자가 네트워크 상태를 직관적으로 파악하기 어려우며, 특정 트래픽에 대한 직관적인 분석이 곤란하고, 네트워크 상태에 대한 정밀한 상태 진단 정보를 제공하지 않는 등의 문제점이 있었다.However, the network management system of the prior art only displays a two-dimensional dashboard and limited types of text information, and is limited to recognizing only a specific situation at a specific point in time. As a result, in the prior art, it is not possible to monitor rapid changes in network status over time in real time, it is difficult for system managers to intuitively understand the network status from the display of the monitoring screen of the system management system, and it is difficult to monitor specific traffic There were problems such as difficulty in intuitive analysis of the network status and not providing precise status diagnosis information on the network status.
더욱이, 종래기술에서는 시스템 관리자의 경험과 숙련도를 통해 이와 같은 문제점을 해결해왔다. 하지만, 최근 네트워크 환경이 급속도로 확장되고 있어, 경험이 많고 숙련도가 높은 시스템 관리자를 구하는 것이 매우 어려워 졌다. 따라서, 시스템 관리자에 의해 네트워크를 점검 및 감시하는 것은 적은 관리 비용, 정확도 및 신속도를 확보하는데 커다란 한계가 있었다. 나아가, 인간의 인식 능력은 컨디션이나 감정에 따라 부정확해지는 면이 있으므로, 시스템 관리자의 실수가 일어날 위험성이 내재되어 있다는 단점이 있다. 그에 따라, 시스템 관리자에게 의존적이지 않은 네트워크 관리 방법 및 네트워크 관리 시스템 기술이 요구되고 있다.Moreover, in the prior art, such problems have been solved through the experience and skill of the system administrator. However, recently the network environment has been rapidly expanding, and it has become very difficult to find an experienced and highly skilled system administrator. Therefore, checking and monitoring the network by a system administrator had great limitations in securing low management costs, accuracy, and speed. Furthermore, since human cognitive abilities tend to be inaccurate depending on conditions or emotions, there is an inherent risk that system administrators will make mistakes. Accordingly, there is a demand for network management methods and network management system technologies that are not dependent on system administrators.
본 개시의 과제는 네트워크 관리 방법 및 그것을 수행하는 네트워크 관리 시스템을 제공함으로써, 사용자 또는 인공지능 모델이 이미지 표현을 모니터링하는 것으로 손쉽고 정확하게 네트워크를 관리할 수 있는 새로운 방안을 제공하는 것이다.The task of the present disclosure is to provide a new method by which a user or an artificial intelligence model can easily and accurately manage a network by monitoring image representation by providing a network management method and a network management system that performs the same.
본 개시의 일 형태에 의하면, 본 개시의 네트워크 방법은, 적어도 하나의 프로세서 및 적어도 하나의 메모리를 포함하는 네트워크 관리 시스템을 이용하여 네트워크를 관리하는 방법으로서, 상기 네트워크 관리 시스템에 의해, 상기 메모리에 로딩된 네트워크 로그 데이터로부터 소정의 특성 값(feature value)을 추출하는 단계; 상기 네트워크 관리 시스템에 의해, 상기 추출된 특성 값을 소정의 시각화 기법을 이용해 시각화하여 이미지 표현(image representation)을 생성하는 단계; 상기 네트워크 관리 시스템에 의해, 인공지능 모델로 하여금 상기 이미지 표현을 분석하게 하여 인공지능 모델을 훈련시키는 단계; 및 상기 네트워크 관리 시스템에 의해, 상기 인공지능 모델로 하여금 학습한 결과물을 기초로 네트워크 상태를 판단하도록 하는 단계를 포함한다.According to one form of the present disclosure, the network method of the present disclosure is a method of managing a network using a network management system including at least one processor and at least one memory, wherein the network management system stores the memory extracting a predetermined feature value from the loaded network log data; generating an image representation by visualizing the extracted characteristic values using a predetermined visualization technique, by the network management system; training an artificial intelligence model by causing the network management system to analyze the image representation; And a step of allowing the artificial intelligence model to determine a network state based on a learned result by the network management system.
다른 일 실시예에서, 상기 메모리에 로딩된 네트워크 로그 데이터로부터 소정의 특성 값(feature value)을 추출하는 단계는, 상기 네트워크 로그 데이터를 적어도 하나의 기준으로 그룹핑하여 복수의 그룹 데이터를 생성하고, 상기 생성된 복수의 그룹 데이터로부터 소정의 특성 값(feature value)을 추출하는 단계를 포함할 수 있다.In another embodiment, the step of extracting a predetermined feature value from the network log data loaded into the memory includes grouping the network log data based on at least one criterion to generate a plurality of group data, It may include extracting a predetermined feature value from the generated plurality of group data.
일 실시예에서, 상기 적어도 하나의 기준은, 로컬 기계의 IP 주소, 시간 창(time window) 및 서브네트워크 중 적어도 하나를 포함할 수 있다.In one embodiment, the at least one criterion may include at least one of a local machine's IP address, a time window, and a subnetwork.
일 실시예에서, 상기 시각화 기법은 하이브 플롯(hive plot) 및 평행 좌표 플롯(parallel coordinates plot) 중 적어도 하나를 포함할 수 있다.In one embodiment, the visualization technique may include at least one of a hive plot and a parallel coordinates plot.
일 실시예에서, 상기 시각화 기법은 하이브 플롯이고, 상기 추출된 특성 값을 소정의 시각화 기법을 이용해 시각화하여 이미지 표현을 생성하는 단계는, 상기 추출된 특성 값을 곡선 링크로 표현한 이미지 표현을 분석 창에 표시하는 단계를 포함할 수 있다.In one embodiment, the visualization technique is a hive plot, and the step of generating an image representation by visualizing the extracted feature values using a predetermined visualization technique includes displaying an image representation of the extracted feature values as a curved link in an analysis window. It may include the step of displaying .
일 실시예에서, 상기 하이브 플롯을 표현하기 위한 정보는, 시간, 프로토콜, 소스 IP, 소스 포트, 데스티네이션 IP, 데스티네이션 포트, 프레임 길이, TCP SYN 플래그 및 TCP ACK 플래그를 포함할 수 있다.In one embodiment, information for representing the hive plot may include time, protocol, source IP, source port, destination IP, destination port, frame length, TCP SYN flag, and TCP ACK flag.
일 실시예에서, 상기 네트워크 관리 시스템에 의해, 상기 메모리에 로딩된 네트워크 로그 데이터로부터 소정의 특성 값(feature value)을 추출하는 단계는, 상기 네트워크 로그 데이터 중 수치형 특성 값을 전체 값 또는 패킷 크기로 나누어 고정 비율로 축소 변환하는 단계를 포함할 수 있다.In one embodiment, the step of extracting a predetermined feature value from the network log data loaded into the memory by the network management system includes converting the numeric feature value among the network log data into a total value or a packet size. It may include the step of reducing and converting to a fixed ratio by dividing by .
일 실시예에서, 네트워크 관리 시스템에 의해, 상기 메모리에 로딩된 네트워크 로그 데이터로부터 소정의 특성 값(feature value)을 추출하는 단계는, 상기 네트워크 로그 데이터 중 범주형 특성 값을 소정 범위 내 정수 값으로 변환 후 상기 범주형 특성 값의 유효한 값(valid value)의 개수로 나누어 고정 비율로 축소 변환하는 단계를 포함할 수 있다.In one embodiment, the step of extracting a predetermined feature value from network log data loaded into the memory by a network management system includes converting a categorical feature value among the network log data into an integer value within a predetermined range. After conversion, the step of reducing the categorical characteristic value to a fixed ratio by dividing it by the number of valid values may be included.
일 실시예에서, 네트워크 관리 시스템에 의해, 상기 메모리에 로딩된 네트워크 로그 데이터로부터 소정의 특성 값(feature value)을 추출하는 단계는, 상기 네트워크 로그 데이터에서 IP 주소를 소정 범위 내 정수로 무작위(random)하게 변환한 후, 범주형 특성 값의 유효한 값의 개수로 나누어 고정 비율로 축소 변환하는 단계를 포함할 수 있다.In one embodiment, the step of extracting a predetermined feature value from the network log data loaded into the memory by a network management system includes randomizing the IP address from the network log data to an integer within a predetermined range. ), it may include the step of dividing by the number of valid values of the categorical characteristic value and reducing it to a fixed ratio.
일 실시예에서, 상기 인공지능 모델은, CNN(convolutional Neural Network), Transformer 및 SSL(Successive Subspace Learning) 중 적어도 하나에 기반할 수 있다.In one embodiment, the artificial intelligence model may be based on at least one of a convolutional neural network (CNN), a transformer, and successive subspace learning (SSL).
일 실시예에서, 상기 인공지능 모델로 하여금 학습한 결과물을 기초로 네트워크 상태를 판단하도록 하는 단계는, 상기 인공지능 모델로 하여금 네트워크 트래픽을 분석하도록 하는 단계; 상기 인공지능 모델로 하여금 트래픽을 분석한 결과를 기초로 사용자의 또는 사용자의 네트워크 이용 패턴을 정의하도록 하는 단계; 및 트래픽의 이상 변화를 감지하기 위해 상기 인공지능 모델로 하여금 네트워크 상태를 모니터링하도록 하는 단계를 포함할 수 있다.In one embodiment, the step of having the artificial intelligence model determine a network state based on a learned result includes having the artificial intelligence model analyze network traffic; allowing the artificial intelligence model to define a user's or user's network usage pattern based on a result of analyzing traffic; And it may include having the artificial intelligence model monitor network status to detect abnormal changes in traffic.
일 실시예에서, 상기 인공지능 모델로 하여금 학습한 결과물을 기초로 네트워크 상태를 판단하도록 하는 단계는, 상기 인공지능 모델로 하여금 네트워크 이상 변화에서 보안 위협을 자동 탐지하도록 하는 단계; 상기 인공지능 모델로 하여금 네트워크 이상 변화에서 위험성을 평가하도록 하는 단계; 및 상기 인공지능 모델로 하여금 네트워크 이상 변화에서 해킹이 의심스러운 활동을 감지한 것에 대응하여 상기 의심스러운 활동을 보고하도록 하는 단계를 포함할 수 있다.In one embodiment, the step of having the artificial intelligence model determine a network state based on a learned result includes having the artificial intelligence model automatically detect a security threat from abnormal changes in the network; allowing the artificial intelligence model to evaluate risks from network abnormal changes; And it may include having the artificial intelligence model report the suspicious activity in response to detection of suspicious activity by hacking in an abnormal change in the network.
본 개시의 일 형태에 의하면, 본 개시의 네트워크 관리 시스템은, 네트워크를 관리하는 네트워크 관리 시스템으로서, 적어도 하나의 프로세서; 적어도 하나의 메모리; 및 네트워크 로그 데이터를 저장하도록 구성된 적어도 하나의 비휘발성 저장 유닛을 포함하고, 상기 프로세서는, 상기 네트워크 로그 데이터로부터 소정의 특성 값을 추출하고, 상기 추출된 특성 값을 소정의 시각화 기법을 이용해 시각화하여 이미지 표현(image representation)을 생성하며, 인공지능 모델로 하여금 상기 이미지 표현을 분석하게 하여 인공지능 모델을 훈련시키고, 상기 인공지능 모델로 하여금 학습한 결과물을 기초로 네트워크 상태를 판단하도록 한다.According to one form of the present disclosure, a network management system of the present disclosure is a network management system that manages a network, including at least one processor; at least one memory; and at least one non-volatile storage unit configured to store network log data, wherein the processor extracts a predetermined characteristic value from the network log data, and visualizes the extracted characteristic value using a predetermined visualization technique. It generates an image representation, trains the artificial intelligence model by having the artificial intelligence model analyze the image representation, and allows the artificial intelligence model to determine the network state based on the learned results.
일 실시예에서, 상기 프로세서는, 상기 네트워크 로그 데이터로부터 적어도 하나의 기준으로 그룹핑하여 복수의 그룹 데이터를 생성하고, 상기 생성된 복수의 그룹 데이터 각각으로부터 소정의 특성 값을 추출할 수 있다.In one embodiment, the processor may generate a plurality of group data by grouping the network log data based on at least one criterion, and extract a predetermined characteristic value from each of the generated plurality of group data.
일 실시예에서, 상기 시각화 기법은 하이브 플롯(hive plot) 및 평행 좌표 플롯(parallel coordinates plot) 중 적어도 하나를 포함할 수 있다.In one embodiment, the visualization technique may include at least one of a hive plot and a parallel coordinates plot.
일 실시예에서, 상기 프로세서는, 상기 하이브 플롯을 통해 상기 추출된 특성 값을 복수의 곡선으로 표현한 이미지 표현을 생성하고 상기 생성된 이미지 표현을 분석 창에 표시하도록 구성될 수 있다.In one embodiment, the processor may be configured to generate an image representation representing the extracted characteristic values as a plurality of curves through the hive plot and display the generated image representation in an analysis window.
일 실시예에서, 상기 하이브 플롯을 표현하기 위한 정보는, 시간, 프로토콜, 소스 IP, 소스 포트, 데스티네이션 IP, 데스티네이션 포트, 프레임 길이, TCP SYN 플래그, TCP ACK 플래그를 포함할 수 있다.In one embodiment, information for representing the hive plot may include time, protocol, source IP, source port, destination IP, destination port, frame length, TCP SYN flag, and TCP ACK flag.
일 실시예에서, 상기 프로세서는, 상기 네트워크 로그 데이터 중 수치형 특성 값을 패킷 크기로 나누어 고정 비율로 축소 변환하고, 상기 네트워크 로그 데이터에서 범주형 특성 값을 소정 범위 내 정수 값으로 변환 후 상기 범주형 특성 값의 유효한 값(valid value)의 개수로 나누어 고정 비율로 축소 변환하며, 상기 네트워크 로그 데이터에서 IP 주소를 소정 범위 내 정수로 무작위(random)하게 변환한 후, 상기 범주형 특성 값의 유효한 값의 개수로 나누어 고정 비율로 축소 변환하도록 구성될 수 있다.In one embodiment, the processor reduces and converts the numeric characteristic values in the network log data into a fixed ratio by dividing them by the packet size, converts the categorical characteristic values in the network log data into integer values within a predetermined range, and then converts the numerical characteristic values in the network log data into integer values within a predetermined range. The type characteristic value is divided by the number of valid values and converted to a fixed ratio, and the IP address in the network log data is randomly converted to an integer within a predetermined range, and then the categorical characteristic value is converted to a valid value. It can be configured to reduce and convert to a fixed ratio by dividing by the number of values.
본 개시의 일 실시예에 의하면, 본 개시의 네트워크 관리 방법은 네트워크 정보를 시각화하여 이미지 표현으로 표현함으로써, 사용자가 시각화된 이미지 표현으로 직관적으로 네트워크 상태 체크할 수 있고, 실시간으로 변화되는 이미지 표현을 관찰하는 것으로 손쉽게 네트워크 상태를 모니터링할 수 있다. 이처럼, 본 개시의 네트워크 관리 방법은, 인간이 해석할 수 있는 이미지 표현을 사용함으로써, 인공지능 모듈이 네트워크 사용자 또는 관리자에게 유용한 피드백을 제공할 수 있으며, 반대로 네트워크 사용자 또는 관리자가 인공지능 모듈에게 피드백을 제공할 수 있다.According to an embodiment of the present disclosure, the network management method of the present disclosure visualizes network information and expresses it as an image representation, so that the user can intuitively check the network status with the visualized image representation and image representation that changes in real time. You can easily monitor network status by observing. In this way, the network management method of the present disclosure uses image representations that can be interpreted by humans, so that the artificial intelligence module can provide useful feedback to the network user or administrator, and conversely, the network user or administrator can provide feedback to the artificial intelligence module. can be provided.
더욱이, 본 개시의 네트워크 관리 방법은, 분석 윈도우에 나타낸 복수의 그룹 데이터들 간의 중복되는 IP 주소가 무작위하게 인코딩됨으로써, 소스 IP 또는 데스티네이션 IP의 주소 값을 다양한 값으로 변환시킬 수 있는 바, 일종의 데이터 증강(data augmentation) 효과를 볼 수 있다. 이러한 인코딩 방식은, 인공지능 모델을 위한 학습용 데이터 양을 효과적으로 증가시키고 인공지능 모델의 적응 능력(generalizability)을 향상시켜준다.Moreover, the network management method of the present disclosure can convert the address value of the source IP or destination IP into various values by randomly encoding overlapping IP addresses between a plurality of group data shown in the analysis window, a kind of You can see the effect of data augmentation. This encoding method effectively increases the amount of training data for artificial intelligence models and improves the generalizability of artificial intelligence models.
도 1은, 본 개시의 일 실시예에 따른 네트워크 관리 시스템의 구성들을 나타낸 개념도이다.
도 2는, 본 개시의 일 실시예에 따른 네트워크 관리 방법의 단계들을 나타낸 순서도이다.
도 3은, 본 개시의 일 실시예에 따른 네트워크 관리 방법의 네트워크 로그 데이터의 원시 특성 값을 나타낸 표이다.
도 4는, 본 개시의 일 실시예에 따른 네트워크 관리 방법의 네트워크 로그 데이터의 원시 특성 값을 변환하는 식을 나타낸 표이다.
도 5는, 본 개시의 일 실시예에 따른 네트워크 관리 방법의 네트워크 로그 데이터의 변환된 특성 값을 나타낸 표이다.
도 6은, 본 개시의 일 실시예에 따른 네트워크 관리 방법의 네트워크 로그 데이터의 IP 주소의 원시 특성 값을 변환하는 과정을 나타낸 표들이다.
도 7은, 본 개시의 일 실시예에 따른 네트워크 관리 방법의 네트워크 로그 데이터의 변환된 특성 값과 매칭되는 좌표의 기호를 나타낸 표이다.
도 8은, 본 개시의 일 실시예에 따른 네트워크 관리 방법의 하이브 플롯에서 사용되는 좌표이다.
도 9는, 본 개시의 일 실시예에 따른 네트워크 관리 방법의 하이브 플롯을 통해 이미지 표현이 생성되는 과정을 나타낸 좌표들이다.
도 10은, 본 개시의 일 실시예에 따른 네트워크 관리 방법의 평행 좌표 플롯 기법을 통해 생성된 좌표이다.1 is a conceptual diagram showing the configuration of a network management system according to an embodiment of the present disclosure.
Figure 2 is a flowchart showing steps of a network management method according to an embodiment of the present disclosure.
FIG. 3 is a table showing raw characteristic values of network log data of a network management method according to an embodiment of the present disclosure.
FIG. 4 is a table showing a formula for converting raw characteristic values of network log data in a network management method according to an embodiment of the present disclosure.
Figure 5 is a table showing converted characteristic values of network log data of a network management method according to an embodiment of the present disclosure.
Figure 6 is a table showing the process of converting the raw characteristic value of the IP address of network log data in the network management method according to an embodiment of the present disclosure.
FIG. 7 is a table showing symbols of coordinates matching converted characteristic values of network log data of a network management method according to an embodiment of the present disclosure.
Figure 8 is a coordinate used in a hive plot of a network management method according to an embodiment of the present disclosure.
Figure 9 is coordinates showing the process of generating an image representation through a hive plot of a network management method according to an embodiment of the present disclosure.
Figure 10 shows coordinates generated through a parallel coordinate plot technique of the network management method according to an embodiment of the present disclosure.
본 개시의 이점들과 특징들 그리고 이들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나 본 개시는 이하에서 개시되는 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 것이며, 본 실시예들은 단지 본 개시의 개시가 완전하도록 하며 본 개시가 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려 주기 위해 제공되는 것이며, 본 개시는 청구항의 범주에 의해 정의될 뿐이다.The advantages and features of the present disclosure and methods for achieving them will become clear with reference to the embodiments described in detail below in conjunction with the accompanying drawings. However, the present disclosure is not limited to the embodiments disclosed below and will be implemented in various different forms, and the embodiments are merely intended to ensure that the disclosure of the present disclosure is complete and that those skilled in the art It is provided to fully inform the person of the scope of the invention, and the present disclosure is defined only by the scope of the claims.
본 명세서에서 사용되는 용어는 단지 특정한 실시예를 설명하기 위해 사용되는 것으로 본 개시를 한정하려는 의도에서 사용된 것이 아니다. 예를 들어, 단수로 표현된 구성 요소는 문맥상 명백하게 단수만을 의미하지 않는다면 복수의 구성 요소를 포함하는 개념으로 이해되어야 한다. 또한, 본 개시의 명세서에서, '포함하다' 또는 '가지다' 등의 용어는 명세서 상에 기재된 특징, 숫자, 단계, 동작, 구성 요소, 부분품 또는 이들을 조합한 것이 존재함을 지정하려는 것일 뿐이고, 이러한 용어의 사용에 의해 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성 요소, 부분품 또는 이들을 조합한 것들의 존재 또는 부가 가능성이 배제되는 것은 아니다.The terminology used herein is only used to describe specific embodiments and is not intended to limit the disclosure. For example, a component expressed in the singular should be understood as a concept that includes plural components unless the context clearly indicates only the singular. In addition, in the specification of the present disclosure, terms such as 'include' or 'have' are only intended to designate the presence of features, numbers, steps, operations, components, parts, or combinations thereof described in the specification, and such The use of the term does not exclude the presence or addition of one or more other features, numbers, steps, operations, components, parts or combinations thereof.
덧붙여, 다르게 정의되지 않는 한 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 개시가 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가진다.Additionally, unless otherwise defined, all terms used herein, including technical or scientific terms, have the same meaning as commonly understood by a person of ordinary skill in the technical field to which this disclosure pertains.
일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥상 가지는 의미와 일치하는 의미가 있는 것으로 해석되어야 하며, 본 개시의 명세서에서 명백하게 정의하지 않는 한 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.Terms such as those defined in commonly used dictionaries should be interpreted as having a meaning consistent with the meaning in the context of the related technology, and unless clearly defined in the specification of the present disclosure, they shall be interpreted in an ideal or excessively formal sense. It doesn't work.
이하, 첨부된 도면을 참조하여 본 개시의 실시예를 보다 상세히 설명한다. 다만, 이하의 설명에서는 본 개시의 요지를 불필요하게 흐릴 우려가 있는 경우, 널리 알려진 기능이나 구성에 관한 구체적 설명은 생략하기로 한다.Hereinafter, embodiments of the present disclosure will be described in more detail with reference to the attached drawings. However, in the following description, detailed descriptions of well-known functions or configurations will be omitted if there is a risk of unnecessarily obscuring the gist of the present disclosure.
도 1은, 본 개시의 일 실시예에 따른 네트워크 관리 시스템(100)의 구성들을 나타낸 개념도이다. 그리고, 도 2는, 본 개시의 일 실시예에 따른 네트워크 관리 방법의 단계들을 나타낸 순서도이다.FIG. 1 is a conceptual diagram showing the configurations of a
도 1 및 도 2를 참조하면, 본 개시의 일 실시예에 따른 네트워크 관리 방법은, 적어도 하나의 프로세서(111), 적어도 하나의 메모리(112), 및 비휘발성 저장 유닛(113)을 포함하는 네트워크 관리 시스템(100)을 이용하여 네트워크를 관리하는 방법이다. 여기서, 네트워크 관리 시스템(100)은, 컴퓨팅 시스템, 프로그램이 실행되고 있는 하드웨어 및 하드웨어에서 실행되는 소프트웨어를 포함한다. 또한, 네트워크 관리 시스템(100)은, 네트워크를 통해 서로 또는 다른 서버와 네트워크 연결된 통신 유닛(도시하지 않음), 스토리지 또는 데이터베이스 등의 하드웨어를 포함할 수 있다.1 and 2, a network management method according to an embodiment of the present disclosure includes a network including at least one processor 111, at least one
여기서, 프로세서(111)는 메모리(112) 또는 비휘발성 저장 유닛(113) 중에서 적어도 하나에 저장된 프로그램 명령(program command)을 실행할 수 있다. 여기서, 프로그램 명령은, 인공지능 모델로 하여금 이미지 표현을 분석하게 하여 학습하거나 분석된 내용으로 네트워크 상태를 판단하도록 하는 명령을 포함할 수 있다.Here, the processor 111 may execute a program command stored in at least one of the
또한, 프로세서(111)는 중앙 처리 장치(central processing unit, CPU) 및 그래픽 처리 장치(graphics processing unit, GPU) 중 어느 하나 이상일 수 있다. 프로세서(111)는 본 발명의 실시예에 따른 방법들이 수행되는 전용의 프로세서를 의미할 수 있다.Additionally, the processor 111 may be one or more of a central processing unit (CPU) and a graphics processing unit (GPU). The processor 111 may refer to a dedicated processor on which methods according to embodiments of the present invention are performed.
예를 들어, 메모리(112)는 읽기 전용 메모리(read only memory, ROM) 및 랜덤 액세스 메모리(random access memory, RAM) 중에서 적어도 하나로 구성될 수 있다.For example, the
예를 들어, 비휘발성 저장 유닛(113)은, 프로세서(111)에 의해 구동되는 다수의 응용 프로그램(application program) 또는 애플리케이션(application), 프로세서(111)가 읽어 드릴 수 있는 데이터들 및 명령어들을 저장할 수 있다. 예를 들면, 비휘발성 저장 유닛(113)은 네트워크 로그 데이터를 저장하도록 구성될 수 있다. 예를 들어, 비휘발성 저장 유닛(113)은 HDD(Hard Disk Drive), SSD(Solid State Disk), SDD(Silicon Disk Drive), ROM, RAM, EPROM, 플래시 드라이브, 하드 드라이브, 네트워크를 이용한 클라우드 등과 같은 다양한 저장 공간을 포함할 수 있다.For example, the
본 개시의 일 실시예에 따른 네트워크 관리 방법은 네트워크 관리 시스템(100)에 의해, 메모리(112)에 로딩된 네트워크 로그 데이터로부터 소정의 특성 값(feature value)을 추출하는 단계(M01)를 포함한다.A network management method according to an embodiment of the present disclosure includes a step (M01) of extracting a predetermined feature value from network log data loaded into the
구체적으로, 네트워크 로그 데이터는, 네트워크상에서의 트래픽, 장치, 애플리케이션 등의 활동에 대한 기록을 의미한다. 예를 들면, 네트워크 로그 데이터는, 시간, 프로토콜, 소스 IP, 소스 포트, 데스티네이션 IP, 데스티네이션 포트, 프레임 길이, TCP SYN 플래그 및 TCP ACK 플래그를 포함한다. 예를 들면, 네트워크 로그 데이터는, 네트워크 메타 정보로서, 패킷 기준으로 패킷 크기, 시간 정보 등을 포함할 수 있다. 예를 들면, 네트워크 로그 데이터는, 네트워크 메타 정보로서, 세션 기준으로 시간의 기간, 초당 평균 패킷, 패킷 크기 등을 포함할 수 있다.Specifically, network log data refers to records of activities such as traffic, devices, and applications on a network. For example, network log data includes time, protocol, source IP, source port, destination IP, destination port, frame length, TCP SYN flag, and TCP ACK flag. For example, network log data is network meta information and may include packet size, time information, etc. on a packet basis. For example, network log data is network meta information and may include a period of time based on a session, average packets per second, packet size, etc.
네트워크 로그 데이터는 사용자가 네트워크 상태를 모니터링할 수 있는 다양한 정보를 포함한다. 또한, 이러한 네트워크 정보는 로그 레코드 형태로 관리할 수 있으며 쉽고 빠르게 검색할 수 있도록 텍스트 파일로 비휘발성 저장 유닛에 저장될 수 있다.Network log data contains a variety of information that allows users to monitor network status. Additionally, this network information can be managed in the form of log records and stored in non-volatile storage units as text files for quick and easy retrieval.
일 실시예에 따른 네트워크를 관리하는 방법의 네트워크 로그 데이터는 원시 네트워크 캡쳐(packet capture Access Point, PCAP) 방식으로 네트워크에서 수집된 데이터일 수 있다. 다른 일 실시예에 따른 네트워크를 관리하는 방법의 네트워크 로그 데이터는 응용 프로그램 계층(상위 계층)의 소정의 프로토콜을 통하여 네트워크에서 수집된 데이터일 수 있다. 예를 들면, 응용 프로그램 계층의 소정의 프로토콜은 SNMP(Simple Network Management Protocol)일 수 있다. 여기서, SNMP는 네트워크 상의 호스트가 어떤 구조로 이루고 있는지에 대한 구성 파악이 가능하다. 또한, SNMP는 네트워크 노드 간에서 사용량, IP 주소, 에러율, 속도 및 응답시간 등에 대한 네트워크 통계정보 수집이 가능하다.Network log data in a method for managing a network according to an embodiment may be data collected from the network using a raw network capture (packet capture access point, PCAP) method. Network log data in a network management method according to another embodiment may be data collected from the network through a predetermined protocol of the application layer (upper layer). For example, a given protocol at the application layer may be Simple Network Management Protocol (SNMP). Here, SNMP can determine the structure of hosts on the network. Additionally, SNMP can collect network statistical information on usage, IP address, error rate, speed, and response time between network nodes.
본 개시의 다른 일 실시예에 따른 네트워크를 관리하는 방법의 메모리(112)에 로딩된 네트워크 로그 데이터로부터 소정의 특성 값(feature value)을 추출하는 단계(M01)는, 네트워크 로그 데이터를 적어도 하나의 기준으로 그룹핑하여 복수의 그룹 데이터를 생성하는 단계를 포함한다.The step (M01) of extracting a predetermined feature value from network log data loaded in the
예를 들면, 네트워크 관리 시스템에 의해, 네트워크 로그 데이터는 네트워크 공격에 대해 다각도의 감지가 가능하도록 다양한 기준으로 네트워크 로그 데이터를 그룹핑될 수 있다. 예를 들면, 네트워크 로그 데이터를 그룹핑하기 위해 적용되는 적어도 하나의 기준은, 로컬 기계의 IP 주소, 시간 창(time window) 및 서브네트워크 중 적어도 하나를 포함할 수 있다.For example, by a network management system, network log data may be grouped by various criteria to enable multi-faceted detection of network attacks. For example, at least one criterion applied to group network log data may include at least one of the IP address of the local machine, time window, and subnetwork.
또한, 본 개시의 다른 일 실시예에 따른 네트워크를 관리하는 방법은, 상기 생성된 복수의 그룹 데이터 각각으로부터 소정의 특성 값을 추출할 수 있다.Additionally, a method for managing a network according to another embodiment of the present disclosure may extract a predetermined characteristic value from each of the plurality of generated group data.
도 3은, 본 개시의 일 실시예에 따른 네트워크 관리 방법의 네트워크 로그 데이터의 원시 특성 값을 나타낸 표이다.FIG. 3 is a table showing raw characteristic values of network log data of a network management method according to an embodiment of the present disclosure.
도 1 및 도 2와 함께 도 3을 참조하면, 본 개시의 네트워크 관리 방법은, 네트워크 관리 시스템(100)에 의해, 메모리(112)에 로딩된 네트워크 로그 데이터로부터 소정의 원시 특성 값(feature value)을 추출할 수 있다. 예를 들면, 도 3의 표와 같이, 본 개시의 네트워크 관리 방법은, 네트워크 관리 시스템(100)에 의해, 네트워크 로그 데이터로부터 각 윈도우별 시간, 하위 계층의 프로토콜, 소스 IP, 소스 포트, 데스티네이션 IP, 데스티네이션 포트, 프레임 길이, TCP SYN 플래그 및 TCP ACK 플래그 정보에 해당하는 원시 특성 값으로 추출할 수 있다.Referring to FIG. 3 along with FIGS. 1 and 2 , the network management method of the present disclosure is to obtain, by the
도 3의 표에서는 네트워크 로그 데이터에서 추출한 원시 특성 값을 2차원 테이블 형태의 릴레이션(relation)으로 표현하였다. 예를 들면, 상기 하위 계층의 프로토콜은 TCP 또는 UDP일 수 있다. 예를 들면, TCP 제어 플래그(TCP control flag)는 CWR(Congestion Window Reduced), ECE(ECN Echo), URG(Urgent), ACK(Acknowledgement), PSH(Push), RST(Reset), 및 SYN (Synchronize), FIN (Finish)의 제어 플래그 필드들을 포함할 수 있다. 이 중, 본 개시의 네트워크 관리 방법은, 네트워크 로그 데이터로부터 TCP SYN 플래그 및 TCP ACK 플래그 각각의 원시 특성 값을 추출할 수 있다. 예를 들면, 프레임 길이는 패킷 크기일 수 있다.In the table in Figure 3, raw characteristic values extracted from network log data are expressed as a relationship in the form of a two-dimensional table. For example, the lower layer protocol may be TCP or UDP. For example, TCP control flags include Congestion Window Reduced (CWR), ECN Echo (ECE), Urgent (URG), Acknowledgment (ACK), Push (PSH), Reset (RST), and Synchronize (SYN). ), may include control flag fields of FIN (Finish). Among these, the network management method of the present disclosure can extract raw characteristic values of each of the TCP SYN flag and TCP ACK flag from network log data. For example, the frame length may be the packet size.
도 4는, 본 개시의 일 실시예에 따른 네트워크 관리 방법의 네트워크 로그 데이터의 원시 특성 값을 변환하는 식을 나타낸 표이다. 그리고, 도 5는, 본 개시의 일 실시예에 따른 네트워크 관리 방법의 네트워크 로그 데이터의 변환된 특성 값을 나타낸 표이다.FIG. 4 is a table showing a formula for converting raw characteristic values of network log data in a network management method according to an embodiment of the present disclosure. And, Figure 5 is a table showing converted characteristic values of network log data of the network management method according to an embodiment of the present disclosure.
도 1 내지 도 3과 함께 도 4 및 도 5를 참조하면, 본 개시의 일 실시예에 따른 네트워크 관리 방법은, 네트워크 관리 시스템(100)에 의해, 각 윈도우별 시간, 프로토콜, 소스 IP, 소스 포트, 데스티네이션 IP, 데스티네이션 포트, 프레임 길이, TCP SYN 플래그 및 TCP ACK 플래그 정보 각각의 원시 특성 값을 도 4의 표의 각 항목에 나타낸 소정의 식으로 연산하여 도 5의 표에서와 같이 소정 범위의 숫자로 변환할 수 있다. 예를 들면, 상기 소정 범위는 0 내지 1일 수 있다.Referring to FIGS. 4 and 5 along with FIGS. 1 to 3, the network management method according to an embodiment of the present disclosure is to configure the time, protocol, source IP, and source port for each window by the
네트워크 관리 시스템(100)에 의해, 메모리(112)에 로딩된 네트워크 로그 데이터로부터 소정의 특성 값(feature value)을 추출하는 단계(M01)는, 네트워크 로그 데이터 중 수치형 특성 값(numerical feature)을 0 내지 1 범위로 변환하기 위해 고정 비율로 축소(scaling)시킬 수 있다. 예를 들면, 네트워크 관리 시스템(100)에 의해, 메모리(112)에 로딩된 네트워크 로그 데이터로부터 소정의 특성 값(feature value)을 추출하는 단계(M01)는, 네트워크 로그 데이터 중 수치형 특성 값(numerical feature)을 패킷 크기로 나누어 고정 비율로 축소 변환하는 단계를 포함할 수 있다The step (M01) of extracting a predetermined feature value from the network log data loaded into the
예를 들면, 도 3의 표에서 수치형 특성 값은, 시간 정보에 해당할 수 있다. 예를 들면, 상기 시간 정보는 패킷 도착시간(packet arrival time)일 수 있다. 수치형 특성 값은 0 내지 1 범위로 변환하기 위해 고정 비율로 축소시킬 수 있다. 예를 들어, 도 5의 표에서와 같이, 패킷 크기(packet size)를 65535바이트(byte) 단위로 할 경우, 500바이트인 패킷은 패킷 크기 값을 500/65535 = 0.01526로 변환할 수 있다. 패킷 도착시간은 분석 윈도우의 시작점을 기준으로 T=600초 단위로 변환할 수 있다.For example, the numeric characteristic values in the table of FIG. 3 may correspond to time information. For example, the time information may be packet arrival time. Numeric characteristic values can be scaled down by a fixed ratio to convert to a range of 0 to 1. For example, as shown in the table of FIG. 5, when the packet size is set to 65535 bytes, a packet of 500 bytes can be converted into a packet size value of 500/65535 = 0.01526. Packet arrival time can be converted to T=600 seconds based on the starting point of the analysis window.
여기서, '분석 윈도우'는 네트워크 로그 데이터의 수많은 정보들 중, 인공지능 모듈이 한번에 분석하는 데이터 범위를 의미한다. 예를 들면, 인공지능 모듈의 분석 윈도우는, 2차원 테이블 형태의 원시 특성 값에서 100행 내지 1000행의 데이터를 한번에 분석하도록 구성될 수 있다.Here, the 'analysis window' refers to the data range that the artificial intelligence module analyzes at once among the numerous information in the network log data. For example, the analysis window of the artificial intelligence module may be configured to analyze 100 to 1000 rows of data at once from raw characteristic values in the form of a two-dimensional table.
예를 들어, 네트워크 관리 시스템(100)에 의해, 윈도우 내 최초 패킷보다 120초 후 도착한 패킷 시간 정보는 120을 600으로 나눠 0.2로 변환시킬 수 있다. 변환에 사용하는 축소 비율은 시스템 하이퍼파라미터(hyperparameter)로 취급하는 경우, 하이퍼파라미터 모델 튜닝(hyperparameter tuning) 과정에서 최적화할 수 있다. 여기서, 하이퍼파라미터는, 신경망에서 각 층의 뉴런 수, 배치 크기, 매개변수 갱신 시의 학습률과 가중치 감소 등을 말한다.For example, by the
네트워크 관리 시스템(100)에 의해, 메모리(112)에 로딩된 네트워크 로그 데이터로부터 소정의 특성 값(feature value)을 추출하는 단계(M01)는, 네트워크 로그 데이터에서 범주형 특성 값을 소정 범위 내 정수 값으로 변환 후, 상기 범주형 특성 값의 유효한 값(valid value)의 개수로 나누어 고정 비율로 축소 변환하는 단계를 포함할 수 있다.The step (M01) of extracting a predetermined feature value from the network log data loaded into the
예를 들면, 네트워크 관리 시스템(100)에 의해, 메모리(112)에 로딩된 네트워크 로그 데이터로부터 소정의 특성 값(feature value)을 추출하는 단계(M01)는, 유효한 값(valid value)이 N개 있는 범주형 특성 값을 0 내지 (N-1)의 정수 값으로 변환 후, (N-1)으로 나누어 0 내지 1 범위로 변환하는 단계를 포함할 수 있다. 예를 들어 포트 값(port value)의 패킷은 사이즈가 65535 bytes이고, 0 내지 65535 범위의 정수의 개수(N)는 65536이다. 따라서, 포트 값 443은, 패킷의 유효한 값의 개수가 65536임으로 443를 65535로 나누어 0.00676으로 변환한다. 예를 들면, 도 3의 표에서 범주형 특성 값은, 소스 포트, 데스티네이션 포트 및 프레임 길이에 해당할 수 있다. 예를 들면, 소스 포트, 데스티네이션 포트 및 프레임 길이 각각의 특성 값은 유효한 값의 개수(N)가 65536임으로 65535로 나누어 축소 변환할 수 있다.For example, in the step M01 of extracting a predetermined feature value from the network log data loaded into the
도 6은, 본 개시의 일 실시예에 따른 네트워크 관리 방법의 네트워크 로그 데이터의 IP 주소의 원시 특성 값을 변환하는 과정을 나타낸 표들이다.Figure 6 is a table showing the process of converting the raw characteristic value of the IP address of network log data in the network management method according to an embodiment of the present disclosure.
도 3 및 도 5와 함께 도 6을 참조하면, 네트워크 관리 시스템(100)에 의해, 메모리(112)에 로딩된 네트워크 로그 데이터로부터 소정의 특성 값(feature value)을 추출하는 단계(M01)는, 네트워크 로그 데이터에서 IP 주소를 소정 범위 내 정수로 무작위(random)하게 변환한 후, 범주형 특성 값의 유효한 값의 개수로 나누어 고정 비율로 축소 변환하는 단계를 포함한다.Referring to FIG. 6 along with FIGS. 3 and 5, the step (M01) of extracting a predetermined feature value from the network log data loaded into the
네트워크 로그 데이터에서 IP 주소를 소정 범위 내 정수로 무작위(random)하게 변환한 후, 범주형 특성 값의 유효한 값의 개수로 나누어 고정 비율로 축소 변환하는 단계는, 세부적으로, 네트워크 관리 시스템(100)에 의해 네트워크 로그 데이터에서 중복된 IP 주소를 제거한 구분 값(distinct value)을 추출하는 단계, 추출한 구분 값(distinct value)에서 IP 주소를 소정 범위 내 정수로 무작위(random)하게 변환하는 단계, 및 변환된 값을 앞서 서술한 범주형 특성 값과 같이 유효한 값의 개수(N)에서 (N-1)로 나누어 축소 변환하는 단계를 포함할 수 있다.The step of randomly converting IP addresses from network log data into integers within a predetermined range and then dividing them by the number of valid values of categorical characteristic values to reduce them to a fixed ratio is, in detail, the
한편, 소스 IP 및 데스티네이션 IP의 주소의 유효 값의 개수가 천문학적으로 크기 때문에, 종래기술에서는 일반 범주형 변환으로는 하이브 플롯 축으로 표현하기 어려운 한계가 있었다. 따라서, 본 개시의 네트워크 관리 방법은, IP 주소를 소정 범위 내 정수로 무작위(random)하게 변환하는 단계를 포함함으로써, IP 주소와 같이 유효 값의 개수가 많은 데이터도 하이브 플롯 축으로 표현할 수 있는 장점이 있다.Meanwhile, because the number of valid values of the addresses of the source IP and destination IP is astronomically large, there was a limitation in the prior art that it was difficult to express it with a hive plot axis using general categorical transformation. Therefore, the network management method of the present disclosure includes the step of randomly converting an IP address into an integer within a predetermined range, so that data with a large number of valid values, such as an IP address, can be expressed on a hive plot axis. There is.
예를 들면, 도 6의 표에서와 같이, 네트워크 관리 시스템(100)에 의해, IP 주소의 원시 특성 값들에서 중복된 IP 주소를 제거하여 5개의 IP 주소의 구분 값(distinct value)을 추출할 수 있다.For example, as shown in the table of FIG. 6, the
예를 들면, 도 6의 표에서와 같이, 네트워크 관리 시스템(100)에 의해, 추출된 5개의 IP 주소의 구분 값(distinct value)을 유효한 값의 개수가 5개임으로, 5개의 IP 주소 각각을 0 내지 4 중 어느 하나의 정수로 무작위하게(random) 지정할 수 있다.For example, as shown in the table of FIG. 6, since the number of valid values for the five IP addresses extracted by the
예를 들면, 도 6의 표에서와 같이, 네트워크 관리 시스템(100)에 의해, 5개의 IP 주소 각각의 0 내지 4의 정수로 무작위하게 지정된 값은 4(N-1) 값으로 나누어 최종적으로 0 내지 1 범위의 특성 값을 추출할 수 있다.For example, as shown in the table of FIG. 6, by the
또한, 인공지능 모듈의 학습용 데이터셋(data sets)에 있는 IP 주소에 대한 과적합(overfitting)을 방지하기 위해 IP 주소 형태의 정보는 0 내지 (N-1) 범위 내의 무작위 정수(random integer)로 인코딩한 후, 일반 범주형 특성 값과 동일하게 축소 변환시킨다. 여기서, IP 주소 형태의 정보의 유효한 값의 개수(N)는 분석 윈도우에 존재하는 구분 값(distinct value)의 개수일 수 있다. 여기서, '구분 값(distinct value)'은 분석 윈도우의 전체 IP 주소 값 중 중복된 값들을 배제한 IP 주소 값들을 의미한다. 예를 들어, 도 6에서와 같이, 분석 윈도우에 원시 특성 값의 소스 IP 및 데스티네이션 IP의 주소 값들 중, 중복되는 IP 주소 값을 배제할 경우, 5가지 유형의 다른 주소 값 형태로 취합할 수 있으므로, 유효한 값의 개수는 5라고 할 수 있다. 그리고, 취합된 5가지 유형의 주소 값들 각각 마다 0 내지 4 중 어느 하나의 무작위하게 정수를 부여한다. 그리고, 네트워크 로그 데이터의 소스 IP 또는 데스티네이션 IP의 주소 값들 각각을 해당 유형의 IP의 주소에 부여된 정수로 변환하고, 이렇게 변환된 정수 값들을 다시 4(N-1)로 나누어 축소 변환시킨다.Additionally, to prevent overfitting of IP addresses in the learning data sets of the artificial intelligence module, information in the form of IP addresses is converted to a random integer within the range of 0 to (N-1). After encoding, it is reduced and converted to be the same as the general categorical feature value. Here, the number (N) of valid values of information in the form of an IP address may be the number of distinct values existing in the analysis window. Here, 'distinct value' refers to IP address values excluding duplicate values among all IP address values in the analysis window. For example, as shown in Figure 6, when overlapping IP address values are excluded among the source IP and destination IP address values of the raw characteristic values in the analysis window, five types of different address values can be collected. Therefore, the number of valid values can be said to be 5. And, an integer from 0 to 4 is randomly assigned to each of the five types of address values collected. Then, each of the address values of the source IP or destination IP of the network log data is converted into an integer assigned to the address of the IP of the corresponding type, and the converted integer values are again divided by 4 (N-1) to reduce the conversion.
본 개시의 네트워크 관리 방법은, 분석 윈도우에 나타낸 원시 특성 값들 간의 중복되는 IP 주소가 무작위하게 인코딩됨으로써, 소스 IP 또는 데스티네이션 IP의 주소 값을 다양한 값으로 변환시킬 수 있는 바, 일종의 데이터 증강(data augmentation) 효과를 볼 수 있다. 이러한 인코딩 방식은, 인공지능 모델을 위한 학습용 데이터 양을 효과적으로 증가시키고 인공지능 모델의 적응 능력(generalizability)을 향상시켜준다.The network management method of the present disclosure can convert the address value of the source IP or destination IP into various values by randomly encoding overlapping IP addresses between the raw characteristic values shown in the analysis window, a type of data augmentation (data augmentation effect can be seen. This encoding method effectively increases the amount of training data for artificial intelligence models and improves the generalizability of artificial intelligence models.
도 7은, 본 개시의 일 실시예에 따른 네트워크 관리 방법의 네트워크 로그 데이터의 변환된 특성 값과 매칭되는 좌표의 기호를 나타낸 표이다. 도 8은, 본 개시의 일 실시예에 따른 네트워크 관리 방법의 하이브 플롯에서 사용되는 좌표이다. 그리고, 도 9는, 본 개시의 일 실시예에 따른 네트워크 관리 방법의 하이브 플롯을 통해 이미지 표현이 생성되는 과정을 나타낸 좌표들이다.FIG. 7 is a table showing symbols of coordinates matching converted characteristic values of network log data of a network management method according to an embodiment of the present disclosure. Figure 8 is a coordinate used in a hive plot of a network management method according to an embodiment of the present disclosure. And, Figure 9 is coordinates showing the process of creating an image representation through a hive plot of the network management method according to an embodiment of the present disclosure.
도 7 내지 도 9를 참조하면, 본 개시의 네트워크 관리 방법은 네트워크 관리 시스템(100)에 의해, 상기 추출된 특성 값(축소 변환된 값)을 소정의 시각화 기법을 이용해 시각화하여 이미지 표현(image representation)을 생성하는 단계(M02)를 포함한다.Referring to FIGS. 7 to 9, the network management method of the present disclosure visualizes the extracted characteristic value (reduced value) using a predetermined visualization technique by the
따라서, 본 개시의 네트워크 관리 방법은 네트워크 정보를 시각화하여 이미지 표현으로 표현함으로써, 사용자가 시각화된 이미지 표현으로 직관적으로 네트워크 상태 체크할 수 있고, 실시간으로 변화되는 이미지 표현을 관찰하는 것으로 손쉽게 네트워크 상태를 모니터링할 수 있다. 이처럼, 본 개시의 네트워크 관리 방법은, 인간이 해석할 수 있는 이미지 표현을 사용함으로써, 인공지능 모듈이 네트워크 사용자 또는 관리자에게 유용한 피드백을 제공할 수 있으며, 반대로 네트워크 사용자 또는 관리자가 인공지능 모듈에게 피드백을 제공할 수 있다.Therefore, the network management method of the present disclosure visualizes network information and expresses it in an image representation, so that users can intuitively check the network status with the visualized image representation, and easily check the network status by observing the image representation that changes in real time. It can be monitored. In this way, the network management method of the present disclosure uses image representations that can be interpreted by humans, so that the artificial intelligence module can provide useful feedback to the network user or administrator, and conversely, the network user or administrator can provide feedback to the artificial intelligence module. can be provided.
본 개시의 네트워크 관리 방법은, 네트워크 관리 시스템(100)에 의해, 추출된 특성 값을 시각화 기법으로 시각화할 수 있습니다. 예를 들어, 네트워크 로그 데이터 세트들을 서로 비교하거나, 시간 경과에 따른 데이터 변화를 추적하거나, 데이터 분포를 표시할 수 있습니다.The network management method of the present disclosure can visualize characteristic values extracted by the
예를 들면, 시각화 기법은, 하이브 플롯(hive plot) 및 평행 좌표 플롯(parallel coordinates plot) 중 적어도 하나를 포함할 수 있다. 여기서, 하이브 플롯 기법으로 처리된 이미지 표현은, 특성 값들의 항목들 각각을 축으로 설정된 좌표에표시하고, 상기 특성 값들을 하나의 선으로 이은 곡선 링크로 표현된다. 예를 들면, 본 개시의 하이 플롯 기법으로 이미지 표현을 생성하는 방법은, 도 8에서와 같이 표의 각 행 항목 각각을 그래프의 소정 각도로 회전된 복수의 축으로 설정할 수 있다. 예를 들면, 도 5의 1열의 Time은 도 7의 A1에 해당하며 좌표의 3시 방향(12시 방향을 0도로 봤을 때 약 90도 각도) 축에 표시할 수 있다. 이와 같은 방식으로, Protocol은 B항목으로 도 8의 좌표에서 1시 20분 방향(약 40도 각도) 축에 표시할 수 있고, Source IP는 C항목으로 도 8의 좌표에서 12시 방향(약 0도 각도) 축에 표시할 수 있으며, Source Port는 D항목으로 도 8의 좌표에서 10시 40분(약 320도 각도) 방향 축에 표시할 수 있고, Destination IP는 E항목으로 도 8의 좌표에서 9시(약 270도 각도) 방향 축에 표시할 수 있으며, Destination Port는 F항목으로 도 8의 좌표에서 7시 20분(약 220도 각도) 방향 축에 표시할 수 있고, Frame Length는 G항목으로 도 8의 좌표에서 6시(약 180도 각도) 방향 축에 표시할 수 있으며, TCP ACK 플래그는 I항목으로 도 8의 좌표에서 5시(약 150도 각도) 방향 축에 표시할 수 있다.For example, the visualization technique may include at least one of a hive plot and a parallel coordinates plot. Here, the image representation processed using the hive plot technique displays each item of characteristic values at coordinates set as axes, and is expressed as a curved link connecting the characteristic values with a single line. For example, in the method of generating an image representation using the high plot technique of the present disclosure, each row item of a table can be set as a plurality of axes of the graph rotated at a predetermined angle, as shown in FIG. 8. For example, Time in column 1 of FIG. 5 corresponds to A1 in FIG. 7 and can be displayed on the 3 o'clock coordinate axis (approximately 90 degrees when 12 o'clock is viewed as 0 degrees). In this way, the Protocol can be displayed at the 1:20 direction (approximately 40 degrees angle) in the coordinates of Figure 8 as the B item, and the Source IP can be displayed at the 12 o'clock direction (approximately 0 degrees) in the coordinates of Figure 8 as the C item. degree angle), the Source Port can be displayed on the direction axis at 10:40 (approximately 320 degrees angle) in the coordinates of Figure 8 as the D item, and the Destination IP can be displayed in the coordinates of Figure 8 as the E item. It can be displayed on the 9 o'clock (approximately 270 degree angle) direction axis, Destination Port can be displayed on the 7:20 (approximately 220 degree angle) direction axis in the coordinates of Figure 8 as the F item, and Frame Length is the G item. It can be displayed on the 6 o'clock (about 180 degree angle) direction axis in the coordinates of Figure 8, and the TCP ACK flag can be displayed on the 5 o'clock (about 150 degree angle) direction axis in the coordinates of Figure 8 as an I item.
그리고, 도 5의 표에 나타낸 각 열에 해당하는 행 항목들(A1~I1) 각각의 특성 값들을 복수의 축 항목에 표시한 후, 도 9에서와 같이 복수의 축 위에 상기 복수의 축 항목에 특성 값들(A1~I1)을 이어서 곡선 링크를 생성하는 것으로 이루어질 수 있다.Then, after displaying the characteristic values of each of the row items (A1 to I1) corresponding to each column shown in the table of FIG. 5 on a plurality of axis items, the characteristics are displayed on the plurality of axis items as shown in FIG. 9. This can be done by connecting the values (A1 to I1) to create a curved link.
예를 들면, 본 개시의 네트워크 관리 방법은, 도 5의 표의 1 내지 4열의 변환된 특성 값들(A1~I1, A2~I2, A3~I3, A4~I4) 각각을 하이브 플롯 기법을 이용해 시각화하여 곡선 링크로 표현한 후, 4개의 곡선 링크들을 중첩시키는 것으로 이미지 표현을 생성할 수 있다.For example, the network management method of the present disclosure visualizes each of the converted characteristic values (A1 to I1, A2 to I2, A3 to I3, and A4 to I4) in columns 1 to 4 of the table in FIG. 5 using a hive plot technique. After expressing with curved links, an image representation can be created by overlapping four curved links.
도 10은, 본 개시의 일 실시예에 따른 네트워크 관리 방법의 평행 좌표 플롯 기법을 통해 생성된 좌표이다.Figure 10 shows coordinates generated through a parallel coordinate plot technique of the network management method according to an embodiment of the present disclosure.
도 10을 참조하면, 평행 좌표 플롯은, 여러 열을 갖는 테이블 형식 데이터 또는 행렬 데이터를 시각화하는데 유용하다. 예를 들면, 도 10에서와 같이, 표의 각 행 항목 각각을 그래프의 축 항목으로 만들고 1 내지 4열 각각의 행에 있는 값들을 서로 직선으로 연결한 이미지 표현을 생성할 수 있다. 평행 좌표 플롯은 이미 공지된 기법임으로, 여기서는 구체적인 설명은 생략하기로 한다.Referring to Figure 10, parallel coordinate plots are useful for visualizing tabular or matrix data with multiple columns. For example, as shown in Figure 10, an image representation can be created by making each row item of a table an axis item of a graph and connecting the values in each row of columns 1 to 4 with straight lines. Since the parallel coordinate plot is an already known technique, detailed description will be omitted here.
한편, 본 개시의 네트워크 관리 방법은, 네트워크 관리 시스템(100)에 의해, 인공지능 모델로 하여금 상기 이미지 표현을 분석하게 하여 인공지능 모델을 훈련시키는 단계(M03)를 포함한다. 상기 인공지능 모델은 예를 들면, 합성곱 신경망(convolutional Neural Network, CNN), 트랜스포머(Transformer) 및 연속 부분 공간 학습(Successive Subspace Learning, SSL) 중 적어도 하나에 기반할 수 있다.Meanwhile, the network management method of the present disclosure includes a step (M03) of training an artificial intelligence model by having the
예를 들면, 인공지능 모델은 합성곱 신경망 알고리즘에 기반할 수 있다. 합성곱 신경망(CNN)은 시각적 영상을 분석하는 데 사용되는 다층의 피드-포워드(feed-forward)적인 인공신경망의 한 종류이다. 합성곱 신경망(CNN)은 인공신경망에 적용하여 이미지를 효과적으로 처리할 수 있는 심층 신경망 기법으로 행렬로 표현된 필터의 각 요소가 데이터 처리에 적합하도록 자동으로 학습되는 과정을 통해 이미지를 분류하는 기법이다.For example, an artificial intelligence model may be based on a convolutional neural network algorithm. Convolutional neural network (CNN) is a type of multi-layer feed-forward artificial neural network used to analyze visual images. Convolutional Neural Network (CNN) is a deep neural network technique that can effectively process images by applying it to artificial neural networks. It is a technique that classifies images through a process in which each element of the filter expressed in a matrix is automatically learned to be suitable for data processing. .
예를 들면, 인공지능 모델은 연속 부분 공간 학습(Successive Subspace Learning, SSL) 알고리즘에 기반할 수 있다. 여기서, 연속 부분 공간 학습(SSL) 알고리즘은, 데이터 단위의 고유한 통계 속성을 기반으로 하는 경량 비감독 기능으로 학습하는 알고리즘을 의미한다. 특히, 연속 부분 공간 학습 알고리즘은, 작은 크기의 데이터 세트에서 좋은 퍼포먼스를 발휘한다. 이러한 연속 부분 공간 학습은 비지도 기능 학습이 가능하고, 매개 변수의 수가 DNN, CNN 보다 작으며, 역전파 없이 계산이 가능하기 때문에 계산 효율이 높고, 복잡한 모델 최적화가 불필요하며, CPU 기반 학습 및 서비스를 제공하고, 계산 복잡도를 대폭 감소시키고, 낮은 메모리를 요구하는 등의 장점을 가지고 있다.For example, an artificial intelligence model may be based on the Successive Subspace Learning (SSL) algorithm. Here, the continuous subspace learning (SSL) algorithm refers to an algorithm that learns with a lightweight unsupervised function based on the unique statistical properties of data units. In particular, continuous subspace learning algorithms demonstrate good performance on small-sized data sets. This continuous subspace learning enables unsupervised function learning, the number of parameters is smaller than that of DNN and CNN, calculation is possible without backpropagation, so computational efficiency is high, complex model optimization is unnecessary, and CPU-based learning and services are provided. It has advantages such as greatly reducing computational complexity and requiring low memory.
따라서, 본 개시의 네트워크 관리 방법은, 연속 부분 공간 학습(Successive Subspace Learning, SSL) 인공지능 모델로 하여금 이미지 표현을 분석하게 하여 인공지능 모델을 훈련시킴으로써, 실시간으로 우수한 신뢰성과 높은 성능의 구현이 가능하고, 전력 소비량이 작은 이점이 있다.Therefore, the network management method of the present disclosure trains the artificial intelligence model by having the Successive Subspace Learning (SSL) artificial intelligence model analyze the image expression, enabling the implementation of excellent reliability and high performance in real time. It has the advantage of low power consumption.
예를 들면, 인공지능 모델은 트랜스포머 알고리즘에 기반할 수 있다. 여기서, 트랜스포머는 "자기지도(self-supervised) 학습"이 가능하다. 또한, 트랜스포머는 라벨링된 대규모 데이터 세트로 신경망을 훈련할 필요가 없다. 즉, 트랜스포머는 요소들 사이의 패턴을 수학적으로 찾아낼 수 있어, 반드시 라벨링된 대규모 데이터 세트로 학습할 필요가 없다. 따라서, 트랜스포머는 라벨링되지 않은 수조 개의 이미지 데이터를 사용해 학습 데이터로 사용할 수 있다.For example, an artificial intelligence model may be based on a transformer algorithm. Here, the transformer is capable of “self-supervised learning.” Additionally, Transformer eliminates the need to train neural networks on large labeled data sets. In other words, Transformers can mathematically find patterns between elements, without necessarily having to be trained on large labeled data sets. Therefore, Transformers can use trillions of unlabeled image data as training data.
본 개시의 네트워크 관리 방법은, 네트워크 관리 시스템(100)에 의해, 인공지능 모델로 하여금 학습한 결과물을 기초로 네트워크 상태를 판단하도록 하는 단계(M04)를 포함한다.The network management method of the present disclosure includes a step (M04) of having the
또한, 인공지능 모델로 하여금 학습한 결과물을 기초로 네트워크 상태를 판단하도록 하는 단계(M04)는, 상기 인공지능 모델로 하여금 네트워크 트래픽을 분석하도록 하는 단계를 포함한다.In addition, the step (M04) of having the artificial intelligence model determine the network state based on the learned result includes the step of having the artificial intelligence model analyze network traffic.
인공지능 모델로 하여금 학습한 결과물을 기초로 네트워크 상태를 판단하도록 하는 단계(M04)는, 상기 인공지능 모델로 하여금 트래픽을 분석한 결과를 기초로 사용자의 또는 사용자의 네트워크 이용 패턴을 정의하도록 하는 단계를 포함할 수 있다.The step (M04) of having the artificial intelligence model determine the network status based on the learned results is the step of having the artificial intelligence model define the user's or user's network usage pattern based on the results of analyzing the traffic. may include.
인공지능 모델로 하여금 학습한 결과물을 기초로 네트워크 상태를 판단하도록 하는 단계(M04)는, 트래픽의 이상 변화를 감지하기 위해 상기 인공지능 모델로 하여금 네트워크 상태를 모니터링하도록 하는 단계를 포함할 수 있다.The step of having the artificial intelligence model determine the network status based on the learned results (M04) may include having the artificial intelligence model monitor the network status to detect abnormal changes in traffic.
한편, 상기 인공지능 모델로 하여금 학습한 결과물을 기초로 네트워크 상태를 판단하도록 하는 단계(M04)는, 상기 인공지능 모델로 하여금 네트워크 이상 변화에서 보안 위협을 자동 탐지하도록 하는 단계를 포함할 수 있다.Meanwhile, the step (M04) of having the artificial intelligence model determine the network state based on the learned results may include having the artificial intelligence model automatically detect security threats from abnormal changes in the network.
상기 인공지능 모델로 하여금 학습한 결과물을 기초로 네트워크 상태를 판단하도록 하는 단계(M04)는, 상기 인공지능 모델로 하여금 네트워크 이상 변화에서 위험성을 평가하도록 하는 단계를 포함할 수 있다.The step (M04) of having the artificial intelligence model determine the network state based on the learned result may include having the artificial intelligence model evaluate the risk from abnormal changes in the network.
상기 인공지능 모델로 하여금 학습한 결과물을 기초로 네트워크 상태를 판단하도록 하는 단계(M04)는, 상기 인공지능 모델로 하여금 네트워크 이상 변화에서 해킹이 의심스러운 활동을 감지한 것에 대응하여 상기 의심스러운 활동을 보고하도록 하는 단계를 포함할 수 있다.The step (M04) of having the artificial intelligence model determine the network status based on the learned results causes the artificial intelligence model to detect the suspicious activity by hacking in abnormal changes in the network. It may include steps to report.
한편, 본 개시의 네트워크 관리 시스템(100)은 앞서 서술한 네트워크 관리 방법에 따라 네트워크를 관리하도록 구성될 수 있다. 본 개시의 네트워크 관리 시스템(100)은 적어도 하나의 프로세서(111), 적어도 하나의 메모리(112), 및 네트워크 로그 데이터를 저장하도록 구성된 적어도 하나의 비휘발성 저장 유닛(113)을 포함한다. 앞서 네트워크 관리 시스템(100)의 프로세서(111), 메모리(112) 및 비휘발성 저장 유닛(113)에 대해 설명하였으므로, 이에 대한 자세한 설명은 생략한다.Meanwhile, the
본 개시의 네트워크 관리 시스템(100)의 프로세서(111)는, 네트워크 로그 데이터로부터 소정의 특성 값을 추출하록 구성된다. 프로세서(111)는 상기 추출된 특성 값을 소정의 시각화 기법을 이용해 시각화하여 이미지 표현(image representation)을 생성하도록 구성된다. 프로세서(111)는 인공지능 모델로 하여금 상기 이미지 표현을 분석하게 하여 인공지능 모델을 훈련시키도록 구성된다. 프로세서(111)는 상기 인공지능 모델로 하여금 학습한 결과물을 기초로 네트워크 상태를 판단하도록 구성된다.The processor 111 of the
본 개시의 다른 일 실시예에 따른 네트워크 관리 시스템은 네트워크 로그 데이터로부터 적어도 하나의 기준으로 그룹핑하여 복수의 그룹 데이터를 생성하고, 생성된 복수의 그룹 데이터로부터 소정의 특성 값을 추출하도록 구성될 수 있다.A network management system according to another embodiment of the present disclosure may be configured to generate a plurality of group data by grouping network log data based on at least one criterion and extract a predetermined characteristic value from the generated plurality of group data. .
상기 시각화 기법은 하이브 플롯(hive plot) 및 평행 좌표 플롯(parallel coordinates plot) 중 적어도 하나를 포함할 수 있다.The visualization technique may include at least one of a hive plot and a parallel coordinates plot.
예를 들면, 도 9에서와 같이, 프로세서(111)는, 상기 하이브 플롯 기법을 통해 상기 추출된 특성 값을 복수의 곡선으로 표현한 이미지 표현을 생성하고 상기 생성된 이미지 표현을 분석 창에 표시하도록 구성될 수 있다.For example, as shown in FIG. 9, the processor 111 is configured to generate an image representation expressing the extracted characteristic values as a plurality of curves through the hive plot technique and display the generated image representation in the analysis window. It can be.
상기 하이브 플롯을 표현하기 위한 정보는, 시간, 프로토콜, 소스 IP, 소스 포트, 데스티네이션 IP, 데스티네이션 포트, 프레임 길이, TCP SYN 플래그, TCP ACK 플래그를 포함할 수 있다.Information for expressing the hive plot may include time, protocol, source IP, source port, destination IP, destination port, frame length, TCP SYN flag, and TCP ACK flag.
프로세서(111)는, 네트워크 로그 데이터 중 수치형 특성 값을 패킷 크기로 나누어 고정 비율로 축소 변환하도록 구성될 수 있다.The processor 111 may be configured to reduce and convert a numerical characteristic value among network log data into a fixed ratio by dividing it by the packet size.
프로세서(111)는, 네트워크 로그 데이터에서 범주형 특성 값을 소정 범위 내 정수 값으로 변환 후 상기 범주형 특성 값의 유효한 값(valid value)의 개수로 나누어 고정 비율로 축소 변환하도록 구성될 수 있다.The processor 111 may be configured to convert a categorical characteristic value in network log data into an integer value within a predetermined range, then divide the categorical characteristic value by the number of valid values and reduce the conversion to a fixed ratio.
프로세서(111)는, 네트워크 로그 데이터에서 IP 주소를 소정 범위 내 정수로 무작위(random)하게 변환한 후, 상기 범주형 특성 값의 유효한 값의 개수로 나누어 고정 비율로 축소 변환하도록 구성될 수 있다.The processor 111 may be configured to randomly convert an IP address in network log data into an integer within a predetermined range and then divide it by the number of valid values of the categorical characteristic value to reduce the conversion to a fixed ratio.
이상과 같이 실시예들이 비록 한정된 도면에 의해 설명되었으나, 해당 기술분야에서 통상의 지식을 가진 자라면 상기를 기초로 다양한 기술적 수정 및 변형을 적용할 수 있다. 예를 들어, 설명된 기술들이 설명된 방법과 다른 순서로 수행되거나, 및/또는 설명된 시스템, 구조, 장치, 회로 등의 구성요소들이 설명된 방법과 다른 형태로 결합 또는 조합되거나, 다른 구성요소 또는 균등물에 의하여 대치되거나 치환되더라도 적절한 결과가 달성될 수 있다.Although the embodiments have been described with limited drawings as described above, those skilled in the art can apply various technical modifications and variations based on the above. For example, the described techniques are performed in a different order than the described method, and/or components of the described system, structure, device, circuit, etc. are combined or combined in a different form than the described method, or other components are used. Alternatively, appropriate results may be achieved even if substituted or substituted by an equivalent.
그러므로, 다른 구현들, 다른 실시예들 및 특허청구범위와 균등한 것들도 후술하는 특허청구범위의 범위에 속한다.Therefore, other implementations, other embodiments, and equivalents of the claims also fall within the scope of the claims described below.
100: 네트워크 관리 시스템
111: 프로세서
112: 메모리
113: 비휘발성 저장 장치100: Network management system
111: processor
112: memory
113: Non-volatile storage device
Claims (18)
상기 네트워크 관리 시스템에 의해, 상기 메모리에 로딩된 네트워크 로그 데이터로부터 소정의 특성 값(feature value)을 추출하는 단계;
상기 네트워크 관리 시스템에 의해, 상기 추출된 특성 값을 소정의 시각화 기법을 이용해 시각화하여 이미지 표현(image representation)을 생성하는 단계;
상기 네트워크 관리 시스템에 의해, 인공지능 모델로 하여금 상기 이미지 표현을 분석하게 하여 인공지능 모델을 훈련시키는 단계; 및
상기 네트워크 관리 시스템에 의해, 상기 인공지능 모델로 하여금 학습한 결과물을 기초로 네트워크 상태를 판단하도록 하는 단계를 포함하며,
상기 메모리에 로딩된 네트워크 로그 데이터로부터 소정의 특성 값을 추출하는 단계는 상기 네트워크 로그 데이터를 적어도 하나의 기준으로 그룹핑하여 복수의 그룹 데이터를 생성하고, 상기 생성된 복수의 그룹 데이터로부터 소정의 특성 값을 추출하는 단계를 포함하고,
상기 생성된 복수의 그룹 데이터로부터 소정의 특성 값을 추출하는 단계는,
상기 네트워크 로그 데이터 중 수치형 특성 값을 전체 값 또는 패킷 크기로 나누어 고정 비율로 축소 변환하는 단계와,
상기 네트워크 로그 데이터 중 범주형 특성 값을 소정 범위 내 정수 값으로 변환 후 상기 범주형 특성 값의 유효한 값(valid value)의 개수로 나누어 고정 비율로 축소 변환하는 단계와,
상기 네트워크 로그 데이터 중 IP 주소를 소정 범위 내 정수로 무작위(random)하게 변환한 후, 범주형 특성 값의 유효한 값의 개수로 나누어 고정 비율로 축소 변환하는 단계를 포함하는,
네트워크 관리 방법.A method of managing a network using a network management system including at least one processor and at least one memory, comprising:
extracting, by the network management system, a predetermined feature value from network log data loaded into the memory;
generating an image representation by visualizing the extracted characteristic values using a predetermined visualization technique, by the network management system;
training an artificial intelligence model by causing the network management system to analyze the image representation; and
A step of having the artificial intelligence model determine a network state based on a learned result by the network management system,
The step of extracting a predetermined characteristic value from the network log data loaded into the memory generates a plurality of group data by grouping the network log data based on at least one criterion, and extracts a predetermined characteristic value from the generated plurality of group data. Including the step of extracting,
The step of extracting a predetermined characteristic value from the generated plurality of group data includes,
A step of reducing and converting numerical characteristic values of the network log data into a fixed ratio by dividing them by the total value or packet size;
Converting categorical characteristic values among the network log data into integer values within a predetermined range and then dividing them by the number of valid values of the categorical characteristic values to reduce and convert them to a fixed ratio;
Comprising the step of randomly converting IP addresses among the network log data into integers within a predetermined range, and then dividing them by the number of valid values of categorical characteristic values and reducing them to a fixed ratio.
How to manage your network.
상기 적어도 하나의 기준은,
로컬 기계의 IP 주소, 시간 창(time window) 및 서브네트워크 중 적어도 하나를 포함하는,
네트워크 관리 방법.According to paragraph 1,
At least one of the above criteria is,
Containing at least one of the IP address of the local machine, a time window, and a subnetwork,
How to manage your network.
상기 시각화 기법은
하이브 플롯(hive plot) 및 평행 좌표 플롯(parallel coordinates plot) 중 적어도 하나를 포함하는,
네트워크 관리 방법.According to paragraph 1,
The visualization technique is
Containing at least one of a hive plot and a parallel coordinates plot,
How to manage your network.
상기 시각화 기법은 하이브 플롯이고,
상기 추출된 특성 값을 소정의 시각화 기법을 이용해 시각화하여 이미지 표현을 생성하는 단계는,
상기 추출된 특성 값을 곡선 링크로 표현한 이미지 표현을 분석 창에 표시하는 단계를 포함하는,
네트워크 관리 방법.According to paragraph 4,
The visualization technique is Hive Plot,
The step of generating an image representation by visualizing the extracted feature values using a predetermined visualization technique,
Including displaying an image representation of the extracted characteristic value as a curved link in an analysis window,
How to manage your network.
상기 하이브 플롯을 표현하기 위한 정보는,
시간, 프로토콜, 소스 IP, 소스 포트, 데스티네이션 IP, 데스티네이션 포트, 프레임 길이, TCP SYN 플래그 및 TCP ACK 플래그를 포함하는,
네트워크 관리 방법.According to clause 5,
Information for expressing the hive plot is:
Including time, protocol, source IP, source port, destination IP, destination port, frame length, TCP SYN flag, and TCP ACK flag,
How to manage your network.
상기 인공지능 모델은,
CNN(convolutional Neural Network), Transformer 및 SSL(Successive Subspace Learning) 중 적어도 하나에 기반하는,
네트워크 관리 방법.According to paragraph 1,
The artificial intelligence model is,
Based on at least one of CNN (convolutional neural network), Transformer, and SSL (Successive Subspace Learning),
How to manage your network.
상기 인공지능 모델로 하여금 학습한 결과물을 기초로 네트워크 상태를 판단하도록 하는 단계는,
상기 인공지능 모델로 하여금 네트워크 트래픽을 분석하도록 하는 단계;
상기 인공지능 모델로 하여금 트래픽을 분석한 결과를 기초로 사용자의 또는 사용자의 네트워크 이용 패턴을 정의하도록 하는 단계; 및
트래픽의 이상 변화를 감지하기 위해 상기 인공지능 모델로 하여금 네트워크 상태를 모니터링하도록 하는 단계를 포함하는,
네트워크 관리 방법.According to paragraph 1,
The step of having the artificial intelligence model determine the network state based on the learned result is,
allowing the artificial intelligence model to analyze network traffic;
allowing the artificial intelligence model to define a user's or user's network usage pattern based on a result of analyzing traffic; and
Including having the artificial intelligence model monitor network status to detect abnormal changes in traffic,
How to manage your network.
상기 인공지능 모델로 하여금 학습한 결과물을 기초로 네트워크 상태를 판단하도록 하는 단계는,
상기 인공지능 모델로 하여금 네트워크 이상 변화에서 보안 위협을 자동 탐지하도록 하는 단계;
상기 인공지능 모델로 하여금 네트워크 이상 변화에서 위험성을 평가하도록 하는 단계; 및
상기 인공지능 모델로 하여금 네트워크 이상 변화에서 해킹이 의심스러운 활동을 감지한 것에 대응하여 상기 의심스러운 활동을 보고하도록 하는 단계를 포함하는,
네트워크 관리 방법.According to paragraph 1,
The step of having the artificial intelligence model determine the network state based on the learned result is,
allowing the artificial intelligence model to automatically detect security threats from network abnormal changes;
allowing the artificial intelligence model to evaluate risks from network abnormal changes; and
Including the step of causing the artificial intelligence model to report suspicious activity in response to detection of suspicious activity by hacking in an abnormal change in the network,
How to manage your network.
적어도 하나의 프로세서;
적어도 하나의 메모리; 및
네트워크 로그 데이터를 저장하도록 구성된 적어도 하나의 비휘발성 저장 유닛을 포함하고,
상기 프로세서는,
상기 네트워크 로그 데이터로부터 소정의 특성 값을 추출하고,
상기 추출된 특성 값을 소정의 시각화 기법을 이용해 시각화하여 이미지 표현(image representation)을 생성하고,
인공지능 모델로 하여금 상기 이미지 표현을 분석하게 하여 인공지능 모델을 훈련시키며, 또한
상기 인공지능 모델로 하여금 학습한 결과물을 기초로 네트워크 상태를 판단하도록 구성되고,
상기 상기 네트워크 로그 데이터로부터 소정의 특성 값을 추출하는 것은, 상기 네트워크 로그 데이터로부터 적어도 하나의 기준으로 그룹핑하여 복수의 그룹 데이터를 생성하고, 상기 복수의 그룹 데이터 각각으로부터 소정의 특성 값을 추출하는 것을 포함하며,
상기 복수의 그룹 데이터 각각으로부터 소정의 특성 값을 추출하는 것은,
상기 네트워크 로그 데이터 중 수치형 특성 값을 패킷 크기로 나누어 고정 비율로 축소 변환하고,
상기 네트워크 로그 데이터에서 범주형 특성 값을 소정 범위 내 정수 값으로 변환 후 상기 범주형 특성 값의 유효한 값(valid value)의 개수로 나누어 고정 비율로 축소 변환하며,
상기 네트워크 로그 데이터에서 IP 주소를 소정 범위 내 정수로 무작위하게 변환한 후, 상기 범주형 특성 값의 유효한 값의 개수로 나누어 고정 비율로 축소 변환하는 것을 포함하는,
네트워크 관리 시스템.As a network management system that manages a network,
at least one processor;
at least one memory; and
At least one non-volatile storage unit configured to store network log data,
The processor,
Extracting predetermined characteristic values from the network log data,
Visualize the extracted feature values using a predetermined visualization technique to create an image representation,
Trains the artificial intelligence model by having the artificial intelligence model analyze the image representation, and also trains the artificial intelligence model.
It is configured to determine the network status based on the results learned by the artificial intelligence model,
Extracting a predetermined characteristic value from the network log data includes generating a plurality of group data by grouping the network log data based on at least one criterion and extracting a predetermined characteristic value from each of the plurality of group data. Includes,
Extracting a predetermined characteristic value from each of the plurality of group data includes:
Numeric characteristic values among the network log data are reduced and converted to a fixed ratio by dividing them by the packet size,
Converting the categorical characteristic value in the network log data to an integer value within a predetermined range and then dividing it by the number of valid values of the categorical characteristic value to reduce and convert it to a fixed ratio,
Including randomly converting IP addresses in the network log data into integers within a predetermined range, and then dividing them by the number of valid values of the categorical characteristic values and reducing them to a fixed ratio.
Network management system.
상기 시각화 기법은
하이브 플롯(hive plot) 및 평행 좌표 플롯(parallel coordinates plot) 중 적어도 하나를 포함하는,
네트워크 관리 시스템.According to clause 13,
The visualization technique is
Containing at least one of a hive plot and a parallel coordinates plot,
Network management system.
상기 프로세서는,
상기 하이브 플롯을 통해 상기 추출된 특성 값을 복수의 곡선으로 표현한 이미지 표현을 생성하고 상기 생성된 이미지 표현을 분석 창에 표시하도록 구성된,
네트워크 관리 시스템.According to clause 15,
The processor,
Configured to generate an image representation expressing the extracted characteristic values as a plurality of curves through the hive plot and display the generated image representation in an analysis window,
Network management system.
상기 하이브 플롯을 표현하기 위한 정보는,
시간, 프로토콜, 소스 IP, 소스 포트, 데스티네이션 IP, 데스티네이션 포트, 프레임 길이, TCP SYN 플래그, TCP ACK 플래그를 포함하는,
네트워크 관리 시스템.According to clause 16,
Information for expressing the hive plot is:
Including time, protocol, source IP, source port, destination IP, destination port, frame length, TCP SYN flag, TCP ACK flag,
Network management system.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020230022036A KR102582663B1 (en) | 2023-02-20 | 2023-02-20 | Method For Managing Network And Network Management System |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020230022036A KR102582663B1 (en) | 2023-02-20 | 2023-02-20 | Method For Managing Network And Network Management System |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| KR102582663B1 true KR102582663B1 (en) | 2023-09-26 |
Family
ID=88190877
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020230022036A KR102582663B1 (en) | 2023-02-20 | 2023-02-20 | Method For Managing Network And Network Management System |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR102582663B1 (en) |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101893475B1 (en) | 2018-03-14 | 2018-10-04 | 마인드서프 주식회사 | method of providing network status monitor based on artificial intelligence for multi-layer representation |
| KR20210086220A (en) * | 2019-12-31 | 2021-07-08 | 아주대학교산학협력단 | Method and apparatus for anomaly detection of traffic pattern |
-
2023
- 2023-02-20 KR KR1020230022036A patent/KR102582663B1/en active IP Right Grant
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101893475B1 (en) | 2018-03-14 | 2018-10-04 | 마인드서프 주식회사 | method of providing network status monitor based on artificial intelligence for multi-layer representation |
| KR20210086220A (en) * | 2019-12-31 | 2021-07-08 | 아주대학교산학협력단 | Method and apparatus for anomaly detection of traffic pattern |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11546359B2 (en) | Multidimensional clustering analysis and visualizing that clustered analysis on a user interface | |
| JP6545819B2 (en) | Integrated discovery of communities and roles in corporate networks | |
| Hsieh et al. | Detection DDoS attacks based on neural-network using Apache Spark | |
| Ibrahim et al. | A comparison study for intrusion database (Kdd99, Nsl-Kdd) based on self organization map (SOM) artificial neural network | |
| Depren et al. | An intelligent intrusion detection system (IDS) for anomaly and misuse detection in computer networks | |
| Cui et al. | A session-packets-based encrypted traffic classification using capsule neural networks | |
| CN103078897A (en) | System for implementing fine grit classification and management of Web services | |
| He et al. | Deep-feature-based autoencoder network for few-shot malicious traffic detection | |
| Hung et al. | A botnet detection system based on machine-learning using flow-based features | |
| Pham et al. | Lightweight Convolutional Neural Network Based Intrusion Detection System. | |
| Guo et al. | CATH: an effective method for detecting denial-of-service attacks in software defined networks | |
| CN108713310A (en) | Method and system for information security data in online and transmission to be compressed and optimized | |
| Lai et al. | F1ow-based anomaly detection using multilayer perceptron in software defined networks | |
| Han et al. | An effective encrypted traffic classification method based on pruning convolutional neural networks for cloud platform | |
| CN110365659A (en) | A kind of building method of network invasion monitoring data set under small sample scene | |
| Meng et al. | Netgpt: Generative pretrained transformer for network traffic | |
| KR102582663B1 (en) | Method For Managing Network And Network Management System | |
| Singhal et al. | State of the art review of network traffic classification based on machine learning approach | |
| Wang et al. | Sessionvideo: A novel approach for encrypted traffic classification via 3D-CNN model | |
| CN116319583A (en) | Encryption network traffic classification method based on GCNN and MoE | |
| Bulavas | Investigation of network intrusion detection using data visualization methods | |
| Yin et al. | Tor Traffic’s Representation and Classification Based on Packet Timing Characteristics | |
| Gu et al. | Online internet traffic classification based on proximal SVM | |
| Ezeh et al. | An SDN controller-based framework for anomaly detection using a GAN ensemble algorithm | |
| Aliakbarian et al. | Optimal supervised feature extraction in internet traffic classification |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| E701 | Decision to grant or registration of patent right | ||
| GRNT | Written decision to grant |