KR102595383B1 - A hybrid anomaly detection method combining signature-based and behavior-based anomaly detection methods - Google Patents

A hybrid anomaly detection method combining signature-based and behavior-based anomaly detection methods Download PDF

Info

Publication number
KR102595383B1
KR102595383B1 KR1020210168598A KR20210168598A KR102595383B1 KR 102595383 B1 KR102595383 B1 KR 102595383B1 KR 1020210168598 A KR1020210168598 A KR 1020210168598A KR 20210168598 A KR20210168598 A KR 20210168598A KR 102595383 B1 KR102595383 B1 KR 102595383B1
Authority
KR
South Korea
Prior art keywords
anomaly detection
normal operation
data
hybrid
behavior
Prior art date
Application number
KR1020210168598A
Other languages
Korean (ko)
Other versions
KR102595383B9 (en
KR20230080974A (en
Inventor
이문규
권희용
Original Assignee
인하대학교 산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 인하대학교 산학협력단 filed Critical 인하대학교 산학협력단
Priority to KR1020210168598A priority Critical patent/KR102595383B1/en
Publication of KR20230080974A publication Critical patent/KR20230080974A/en
Application granted granted Critical
Publication of KR102595383B1 publication Critical patent/KR102595383B1/en
Publication of KR102595383B9 publication Critical patent/KR102595383B9/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Artificial Intelligence (AREA)
  • General Health & Medical Sciences (AREA)
  • Biomedical Technology (AREA)
  • Biophysics (AREA)
  • Computational Linguistics (AREA)
  • Data Mining & Analysis (AREA)
  • Evolutionary Computation (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Molecular Biology (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Software Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Testing And Monitoring For Control Systems (AREA)

Abstract

시그니처 기반 이상 탐지 방법과 행위 기반 이상 탐지 방법을 조합한 하이브리드 이상 탐지 방법이 개시된다. 일 실시예에 따른 컴퓨터로 구현되는 하이브리드 이상 탐지 시스템에 의해 수행되는 하이브리드 이상 탐지 방법은, 동작 중인 시스템에서 생성된 데이터를 시그니처 기반의 이상 탐지 모델 및 행위 기반의 이상 탐지 모델로 구성된 하이브리드 이상 탐지 모델에 입력받는 단계; 상기 하이브리드 이상 탐지 모델을 이용하여 상기 동작 중인 시스템에서 생성된 데이터로부터 이상 탐지를 수행하는 단계; 및 상기 동작 중인 시스템에서 생성된 데이터와 상기 이상 탐지를 수행함에 따라 획득된 결과를 서버로 전달하는 단계를 포함할 수 있다.A hybrid anomaly detection method combining a signature-based anomaly detection method and a behavior-based anomaly detection method is disclosed. A hybrid anomaly detection method performed by a computer-implemented hybrid anomaly detection system according to an embodiment is a hybrid anomaly detection model consisting of a signature-based anomaly detection model and a behavior-based anomaly detection model using data generated from an operating system. Step of receiving input; performing anomaly detection from data generated in the operating system using the hybrid anomaly detection model; and transmitting data generated by the operating system and results obtained by performing the abnormality detection to a server.

Description

시그니처 기반 이상 탐지 방법과 행위 기반 이상 탐지 방법을 조합한 하이브리드 이상 탐지 방법{A HYBRID ANOMALY DETECTION METHOD COMBINING SIGNATURE-BASED AND BEHAVIOR-BASED ANOMALY DETECTION METHODS}Hybrid anomaly detection method combining signature-based anomaly detection method and behavior-based anomaly detection method {A HYBRID ANOMALY DETECTION METHOD COMBINING SIGNATURE-BASED AND BEHAVIOR-BASED ANOMALY DETECTION METHODS}

아래의 설명은 이상 탐지 기술에 관한 것이다.The explanation below is about anomaly detection technology.

현대 사회에서는 과거에 물리적으로 제어되던 주거 시설, 차량, 공장, 사회 인프라 등의 대상들이 네트워크에 연결되고 있다. 다양한 기기들이 네트워크에 연결됨으로써 효율적으로 관리 및 통제가 가능하게 되었지만, 기존에는 불가능했던 네트워크를 통한 공격의 위협들이 생겨나게 되었다. 이는 개개인의 프라이버시를 위협하기도 하지만, 사회 인프라와 같이 특수 목적 시스템에 대한 공격은 공공의 비용적 손실과 생명의 위협을 초래할 수 있다.In modern society, objects such as residential facilities, vehicles, factories, and social infrastructure that were physically controlled in the past are being connected to networks. As various devices are connected to the network, efficient management and control has become possible, but threats of attacks through the network, which were previously impossible, have emerged. This threatens individual privacy, but attacks on special-purpose systems such as social infrastructure can result in public cost losses and threats to life.

이러한 위협을 차단하기 위해 시스템으로 공격이 침투하기 전, 네트워크 단에서 공격을 차단하는 어플리케이션들이 제공되었으나 공격자는 제로 데이 공격과 같이 발견되지 않은 공격을 사용하여 시스템에 대한 공격을 수행할 수 있기 때문에 공격의 탐지 및 차단을 네트워크 보안 솔루션에만 의존할 수 없다. 이에 따라, 시스템의 현재 상태를 파악하여 시스템이 정상 동작을 하고 있는지 또는 공격에 따른 이상 동작을 하고 있는지 탐지하는 연구가 진행되었다.In order to block these threats, applications that block attacks at the network level before the attack penetrates the system have been provided, but attackers can attack the system using undetected attacks such as zero-day attacks. Detection and blocking cannot rely solely on network security solutions. Accordingly, research has been conducted to determine the current state of the system and detect whether the system is operating normally or is operating abnormally due to an attack.

이와 같은 이상 동작 탐지 방법은 일반적으로 시그니처 기반 탐지 방법 (Signature-based anomaly detection)과 행위 기반 탐지 방법(Behavior-based anomaly detection)으로 분류된다. 시그니처 기반 탐지 방법은 알려진 공격 또는 정상 동작의 특징을 분석하여 이를 바탕으로 입력 데이터가 정상인지 이상 동작을 하고 있는지 판단한다. 행위 기반 탐지 방법은 정상 또는 비정상 동작의 행위를 분석하여 입력 데이터의 이상 동작 여부를 판단하는 방법이다.Such abnormal behavior detection methods are generally classified into signature-based anomaly detection and behavior-based anomaly detection. The signature-based detection method analyzes the characteristics of known attacks or normal operations and determines whether the input data is normal or malfunctioning based on this. The behavior-based detection method is a method of determining whether input data operates abnormally by analyzing normal or abnormal operation behavior.

일반적인 시스템은 대부분의 동작이 정상 동작이기 때문에, 정상 데이터의 양과 비교하여 이상 데이터의 양은 매우 적다. 따라서 이상 동작 탐지 연구들은 정상 데이터 또는 그 행위로부터 특징을 추출하여 이에 기반하여 이상 동작을 탐지하는 쪽으로 수행되었다.Since most operations in a typical system are normal operations, the amount of abnormal data is very small compared to the amount of normal data. Therefore, abnormal behavior detection studies have been conducted to extract features from normal data or its behavior and detect abnormal behavior based on this.

시그니처 기반의 이상 탐지 방법과 행위 기반의 이상 탐지 방법을 직렬 연결하여 이상 동작 탐지 성능을 높이는, 하이브리드 이상 동작 탐지 방법 및 시스템을 제공할 수 있다.A hybrid abnormal behavior detection method and system can be provided that improves abnormal behavior detection performance by serially connecting a signature-based abnormality detection method and a behavior-based abnormality detection method.

사이버 공격으로 인한 이상 동작을 탐지하기 위해 통계적 필터링 기법과 오토인코더를 적용한 하이브리드 이상 탐지 방법 및 시스템을 제공할 수 있다. To detect abnormal behavior caused by cyber attacks, a hybrid anomaly detection method and system applying statistical filtering techniques and autoencoders can be provided.

컴퓨터로 구현되는 하이브리드 이상 탐지 시스템에 의해 수행되는 하이브리드 이상 탐지 방법은, 동작 중인 시스템에서 생성된 데이터를 시그니처 기반의 이상 탐지 모델 및 행위 기반의 이상 탐지 모델로 구성된 하이브리드 이상 탐지 모델에 입력받는 단계; 상기 하이브리드 이상 탐지 모델을 이용하여 상기 동작 중인 시스템에서 생성된 데이터로부터 이상 탐지를 수행하는 단계; 및 상기 동작 중인 시스템에서 생성된 데이터와 상기 이상 탐지를 수행함에 따라 획득된 결과를 서버로 전달하는 단계를 포함할 수 있다.The hybrid anomaly detection method performed by a computer-implemented hybrid anomaly detection system includes the steps of receiving data generated from an operating system as input to a hybrid anomaly detection model consisting of a signature-based anomaly detection model and a behavior-based anomaly detection model; performing anomaly detection from data generated in the operating system using the hybrid anomaly detection model; and transmitting data generated by the operating system and results obtained by performing the abnormality detection to a server.

상기 입력받는 단계는, 게이트웨이에서 현재 동작 중인 시스템에서 생성된 데이터를 전달받음에 따라 이상 탐지 과정을 시작하는 단계를 포함할 수 있다.The input receiving step may include starting an anomaly detection process as the gateway receives data generated from a system currently in operation.

상기 이상 탐지를 수행하는 단계는, 상기 동작 중인 시스템에서 생성된 데이터가 상기 하이브리드 이상 탐지 모델에 구성된 시그니처 기반의 이상 탐지 모델에 입력됨에 따라 시그니처 기반의 이상 탐지 동작을 수행하는 단계를 포함할 수 있다.The step of performing the anomaly detection may include performing a signature-based anomaly detection operation as data generated in the operating system is input to a signature-based anomaly detection model configured in the hybrid anomaly detection model. .

상기 이상 탐지를 수행하는 단계는, 상기 시그니처 기반의 이상 탐지 모델을 이용하여 상기 동작 중인 시스템에서 생성된 데이터를 필터링 기준에 따라 정상 동작 또는 이상 동작으로 분류하는 단계를 포함할 수 있다. The step of performing the anomaly detection may include classifying data generated in the operating system as normal operation or abnormal operation according to filtering criteria using the signature-based anomaly detection model.

상기 이상 탐지를 수행하는 단계는, 상기 동작 중인 시스템에서 생성된 데이터가 상기 시그니처 기반의 이상 탐지 모델에 의해 이상 동작으로 분류될 경우, 이상 탐지 과정을 종료하고, 상기 동작 중인 시스템에서 생성된 데이터가 상기 시그니처 기반의 이상 탐지 모델에 의해 정상 동작으로 분류될 경우, 상기 동작 중인 시스템에서 생성된 데이터를 행위 기반 이상 탐지 모델로 전달하는 단계를 포함할 수 있다.In the step of performing the anomaly detection, if the data generated in the operating system is classified as an abnormal operation by the signature-based anomaly detection model, the anomaly detection process is terminated, and the data generated in the operating system is When classified as normal operation by the signature-based anomaly detection model, the step may include transmitting data generated in the operating system to the behavior-based anomaly detection model.

상기 이상 탐지를 수행하는 단계는, 상기 동작 중인 시스템에서 생성된 데이터가 상기 하이브리드 이상 탐지 모델에 구성된 행위 기반 이상 탐지 모델에 입력됨에 따라 행위 기반의 이상 탐지 동작을 수행하는 단계를 포함할 수 있다.The performing of the anomaly detection may include performing a behavior-based anomaly detection operation as data generated in the operating system is input to a behavior-based anomaly detection model configured in the hybrid anomaly detection model.

상기 이상 탐지를 수행하는 단계는, 상기 동작 중인 시스템에서 생성된 데이터를 상기 행위 기반의 이상 탐지 모델을 이용하여 정상 동작 또는 이상 동작으로 분류하는 단계를 포함할 수 있다.The step of performing the anomaly detection may include classifying data generated in the operating system as normal operation or abnormal operation using the behavior-based anomaly detection model.

상기 이상 탐지를 수행하는 단계는, 시그니처 기반의 이상 탐지 모델을 통해 정상 동작으로 분류된 데이터에 대하여 오토인코더를 통해 인코딩 및 디코딩하여 출력된 새로운 입력 데이터를 획득하고, 상기 정상 동작으로 분류된 데이터와 상기 획득된 새로운 입력 데이터의 차이 정보를 계산하는 단계를 포함할 수 있다.The step of performing the anomaly detection includes obtaining new input data output by encoding and decoding data classified as normal operation through an autoencoder through a signature-based anomaly detection model, and outputting data classified as normal operation and It may include calculating difference information of the obtained new input data.

상기 이상 탐지를 수행하는 단계는, 상기 계산된 차이 정보를 정상 동작과 이상 동작을 분류하기 위한 임계값과 비교하여 상기 정상 동작으로 분류된 데이터의 최종 이상 여부를 판단하는 단계를 포함할 수 있다.The step of performing the abnormality detection may include comparing the calculated difference information with a threshold for classifying normal operation and abnormal operation to determine whether the data classified as normal operation is finally abnormal.

상기 전달하는 단계는, 상기 동작 중인 시스템에서 생성된 데이터와 상기 이상 탐지를 수행하는 단계에서 판단된 이상 탐지 결과가 서버로 전달될 수 있다.In the transmitting step, data generated in the operating system and an anomaly detection result determined in the anomaly detection step may be transmitted to the server.

컴퓨터로 구현되는 하이브리드 이상 탐지 시스템은, 동작 중인 시스템에서 생성된 데이터를 시그니처 기반의 이상 탐지 모델 및 행위 기반의 이상 탐지 모델로 구성된 하이브리드 이상 탐지 모델에 입력받는 데이터 입력부; 상기 하이브리드 이상 탐지 모델을 이용하여 상기 동작 중인 시스템에서 생성된 데이터로부터 이상 탐지를 수행하는 이상 탐지 수행부; 및 상기 동작 중인 시스템에서 생성된 데이터와 상기 이상 탐지를 수행함에 따라 획득된 결과를 서버로 전달하는 결과 전달부를 포함할 수 있다. The hybrid anomaly detection system implemented by a computer includes a data input unit that receives data generated from an operating system into a hybrid anomaly detection model consisting of a signature-based anomaly detection model and a behavior-based anomaly detection model; an anomaly detection unit that performs anomaly detection from data generated in the operating system using the hybrid anomaly detection model; and a result transmission unit that transmits data generated by the operating system and results obtained by performing the abnormality detection to a server.

시그니처 기반 이상 탐지 방법과 행위 기반 이상 탐지 방법을 직렬 연결하여 사용함으로써, 이상 동작 탐지의 성능을 높일 수 있다. 즉, 단독으로 시그니처 또는 행위 기반 이상 탐지를 사용하는 경우 탐지하지 못하는 이상 동작을 서로 상호 보완하여 탐지할 수 있다. 이를 통해 이상 동작의 미탐을 줄임으로써, 시스템 동작의 안전성 및 신뢰도를 향상시킬 수 있다.By using a signature-based anomaly detection method and a behavior-based anomaly detection method in series, the performance of abnormal behavior detection can be improved. In other words, abnormal behavior that cannot be detected when using signature or behavior-based anomaly detection alone can be detected by complementing each other. Through this, the safety and reliability of system operation can be improved by reducing the detection of abnormal operations.

도 1은 일 실시예에 따른 하이브리드 이상 탐지 시스템에서 하이브리드 이상 탐지 동작을 설명하기 위한 도면이다.
도 2는 일 실시예에 있어서, 하이브리드 이상 탐지 모델을 이용하여 하이브리드 이상 탐지 동작을 설명하기 위한 도면이다.
도 3은 일 실시예에 따른 하이브리드 이상 탐지 시스템의 구성을 설명하기 위한 블록도이다.
도 4는 일 실시예에 따른 하이브리드 이상 탐지 시스템에 의해 수행되는 하이브리드 이상 탐지 방법을 설명하기 위한 흐름도이다.1 is a diagram illustrating a hybrid anomaly detection operation in a hybrid anomaly detection system according to an embodiment.
Figure 2 is a diagram for explaining a hybrid anomaly detection operation using a hybrid anomaly detection model, according to an embodiment.
Figure 3 is a block diagram for explaining the configuration of a hybrid anomaly detection system according to an embodiment.
Figure 4 is a flowchart illustrating a hybrid anomaly detection method performed by a hybrid anomaly detection system according to an embodiment.

이하, 실시예를 첨부한 도면을 참조하여 상세히 설명한다.Hereinafter, embodiments will be described in detail with reference to the accompanying drawings.

도 1은 일 실시예에 따른 하이브리드 이상 탐지 시스템에서 하이브리드 이상 탐지 동작을 설명하기 위한 도면이다. 1 is a diagram illustrating a hybrid anomaly detection operation in a hybrid anomaly detection system according to an embodiment.

하이브리드 이상 탐지 시스템(100)은 컴퓨터로 구현되는 것으로서, 게이트웨이(101)에서 하이브리드 이상 탐지 알고리즘에 기초하여 동작되는 것일 수 있다. 이때, 하이브리드 이상 탐지 시스템(100)은 하이브리드 이상 탐지 알고리즘에 기초하여 이상 탐지를 수행할 수 있다. 예를 들면, 하이브리드 이상 탐지 시스템(100)은 게이트웨이(101)에서 플랫폼 또는 프로그램 형태로 구동될 수 있다.The hybrid anomaly detection system 100 may be implemented by a computer and may be operated based on a hybrid anomaly detection algorithm in the gateway 101. At this time, the hybrid anomaly detection system 100 may perform anomaly detection based on a hybrid anomaly detection algorithm. For example, the hybrid anomaly detection system 100 may be run in the gateway 101 in the form of a platform or program.

게이트웨이(101)란 복수의 컴퓨터와 근거리 통신망 등을 상호 접속할 때 컴퓨터와 공중 통신망, LAN과 공중 통신망 등을 접속하는 장치를 가리킨다. 실시예에서는 게이트웨이(101)를 예를 들어 설명하나, 게이트웨이(101) 이외에도 라우터 등 데이터의 송수신을 가능하게 하는 네트워크 장비이면 적용이 가능하다. The gateway 101 refers to a device that connects a computer and a public communication network, a LAN and a public communication network, etc. when interconnecting a plurality of computers and a local area network. In the embodiment, the gateway 101 is used as an example, but any network device other than the gateway 101, such as a router, can be applied.

시스템(102)에서 발생 또는 생성된 데이터가 게이트웨이(101)를 거쳐 데이터를 관리하기 위한 서버(103)로 전달될 수 있다. 예를 들면, 시스템은 게이트에웨이에 연결되어 있는 동작 중인 시스템을 의미할 수 있으며, 게이트웨이에 연결된 시스템들 중 공격자(104)에 의해 공격당하는 희생 시스템에 해당될 수 있다. 이때, 외부에 위치한 공격자(104)는 게이트웨이(101)를 통해 시스템을 공격하여 이상 동작을 발생시키려고 시도할 수 있다. 그리고 발생한 이상 동작에 의해 생성된 데이터는 게이트웨이(101)를 거치게 된다. 하이브리드 이상 탐지 시스템(100)은 하이브리드 이상 탐지 알고리즘에 기초하여 게이트웨이(101)를 거치는 이상 동작에 의해 생성된 데이터를 관찰하고, 관찰을 통해 현재 시스템이 이상 동작을 하고 있는지 판단할 수 있다.Data generated or generated in the system 102 may be transmitted to the server 103 for managing the data through the gateway 101. For example, the system may refer to an operating system connected to a gateway, and may correspond to a victim system attacked by the attacker 104 among systems connected to the gateway. At this time, an external attacker 104 may attack the system through the gateway 101 and attempt to cause abnormal operation. And the data generated due to the abnormal operation that occurred passes through the gateway 101. The hybrid anomaly detection system 100 can observe data generated by abnormal operations passing through the gateway 101 based on a hybrid anomaly detection algorithm, and determine whether the current system is operating abnormally through the observation.

하이브리드 이상 탐지 시스템(100)은 이상 동작 탐지를 수행하기 위해 다음의 과정이 선제적으로 수행될 수 있다. 하이브리드 이상 탐지 시스템(100)은 타겟 시스템의 정상 동작 과정에서 생성된 시계열 데이터 D를 수집할 수 있다. 이때, 수집되는 시계열 데이터 D는 정상 동작 과정에서 생성되는 시계열 데이터(이하, '정상 동작 데이터'로 기재하기로 함.)로써 다수의 속성을 포함할 수 있다. 일례로, 시스템의 데이터 획득 주기가 1초일 때, 단위 데이터가 n개의 데이터 속성을 가지며 w초 동안 수집된 데이터(정상 동작 데이터) D는 다음과 같이 표현될 수 있다.The hybrid anomaly detection system 100 may preemptively perform the following process to perform abnormal behavior detection. The hybrid anomaly detection system 100 can collect time series data D generated during the normal operation of the target system. At this time, the collected time series data D is time series data generated during normal operation (hereinafter referred to as 'normal operation data') and may include a number of properties. For example, when the data acquisition cycle of the system is 1 second, the unit data has n data attributes, and the data (normal operation data) D collected for w seconds can be expressed as follows.

하이브리드 이상 탐지 시스템(100)은 정상 동작 데이터 D에 대해 통계적 분석을 수행하여, 시그니처 기반 이상 동작 탐지를 위한 정상 동작 데이터의 특징을 계산할 수 있다. 하이브리드 이상 탐지 시스템(100)은 시그니처 기반 이상 탐지 방법에서 사용될 필터링 기준을 설정하기 위해 정상 동작 데이터 D를 이용하여 평균, 표준편차, 최댓값, 최솟값 등과 같은 통계적 분석을 수행할 수 있다. 예를 들어, 하이브리드 이상 탐지 시스템(100)은 n(n은 자연수)개의 모든 속성값들에 대해 w(w는 자연수)초 동안 수집된 값의 표준편차인 를 계산할 수 있다(j=1,...,n). 그리고 w초 동안 연속된 정상 동작 데이터들의 표준편차의 하한과 상한인 를 계산하고, 계산된 표준편차를 필터링 기준으로 설정할 수 있다. The hybrid anomaly detection system 100 may perform statistical analysis on the normal operation data D and calculate characteristics of the normal operation data for signature-based abnormal operation detection. The hybrid anomaly detection system 100 may perform statistical analysis such as mean, standard deviation, maximum value, minimum value, etc. using normal operation data D to set filtering criteria to be used in the signature-based anomaly detection method. For example, the hybrid anomaly detection system 100 is the standard deviation of values collected for w (w is a natural number) seconds for all n (n is a natural number) attribute values. can be calculated (j=1,...,n). And the lower and upper limits of the standard deviation of continuous normal operation data for w seconds are and You can calculate and set the calculated standard deviation as the filtering standard.

하이브리드 이상 탐지 시스템(100)은 정상 동작 데이터 D를 사용하여, 행위 기반 이상 동작 탐지를 위한 정상 동작 행위의 특징을 추출할 수 있다. 하이브리드 이상 탐지 시스템(100)은 정상 동작 데이터로부터 행위 기반 이상 탐지 방법에 사용되는 정상 동작 행위의 특징을 추출하여 정상 동작과 이상 동작을 잘 분류하는 판단 기준과 임계값(Threshold)을 설정할 수 있다. 일례로, 행위 기반 탐지 방법에는 비지도 심층 학습 방법인 오토인코더(Autoencoder)가 사용될 수 있다. 오토인코더는 정상 동작 데이터를 심층 학습의 입력으로 제공하고, 출력으로 입력 데이터를 다시 복원하는 모델을 학습한다. 이후, 입력 데이터와 출력 데이터의 차이를 판단 기준으로 사용하여, 정상 데이터와 이상 데이터의 차이가 작은 경우 정상, 차이가 큰 경우 이상 동작으로 분류하는 임계값 θ를 설정한다.The hybrid abnormality detection system 100 can use normal operation data D to extract characteristics of normal operation behavior for behavior-based abnormality detection. The hybrid anomaly detection system 100 can extract characteristics of normal operation behavior used in a behavior-based anomaly detection method from normal operation data and set judgment criteria and thresholds to properly classify normal operation and abnormal operation. For example, Autoencoder, an unsupervised deep learning method, can be used in a behavior-based detection method. The autoencoder provides normal operation data as input for deep learning, and learns a model that restores the input data as output. Afterwards, the difference between the input data and the output data is used as a judgment standard to set a threshold θ that classifies the operation as normal if the difference between normal data and abnormal data is small, and as abnormal if the difference is large.

도 2를 참고하면, 하이브리드 이상 탐지 모델을 이용하여 하이브리드 이상 탐지 동작을 설명하기 위한 도면이다. 하이브리드 이상 탐지 시스템은 하이브리드 이상 탐지 알고리즘 기반의 하이브리드 이상 탐지 모델(200)을 구성할 수 있다. 하이브리드 이상 탐지 모델(200)은 시그니처 기반의 이상 탐지 모델(210) 및 행위 기반의 이상 탐지 모델(220)로 구성될 수 있다.Referring to FIG. 2, it is a diagram to explain a hybrid anomaly detection operation using a hybrid anomaly detection model. The hybrid anomaly detection system may configure a hybrid anomaly detection model 200 based on a hybrid anomaly detection algorithm. The hybrid anomaly detection model 200 may be composed of a signature-based anomaly detection model 210 and a behavior-based anomaly detection model 220.

게이트웨이에 위치한 하이브리드 시스템에서 하이브리드 이상 탐지 방법은 다음과 같은 순서로 수행될 수 있다. In a hybrid system located at the gateway, the hybrid anomaly detection method can be performed in the following order.

게이트웨이가 현재 동작하는 시스템에서 생성된 데이터를 전달받음에 따라 이상 탐지 과정이 시작될 수 있다. 예를 들면, 현재 동작하는 시스템이란 게이트웨이에 연결되어 동작 중인 시스템을 의미할 수 있다. 전달받은 데이터가 시그니처 기반의 이상 탐지 모델(210)에 입력될 수 있고, 시그니처 기반의 이상 탐지 모델에서 입력받은 데이터에 대한 필터링 과정이 수행될 수 있다. 이때, 시그니처 기반의 이상 탐지 모델(210)에서 입력받은 데이터가 필터링 기준에 따라 정상 동작 또는 이상 동작으로 분류될 수 있다. 시그니처 기반의 이상 탐지 모델(210)에서 입력받은 데이터가 이상 동작으로 분류된 경우, 이상 탐지 과정이 종료될 수 있고, 입력받은 데이터가 잠재적으로 정상 동작으로 분류된 경우, 행위 기반 이상 탐지 모델(220)로 입력받은 데이터(즉, 정상 동작으로 분류된 데이터)가 전달될 수 있다. As the gateway receives data generated by the currently operating system, the anomaly detection process can begin. For example, a currently operating system may refer to a system that is operating while connected to a gateway. The received data may be input to the signature-based anomaly detection model 210, and a filtering process may be performed on the input data in the signature-based anomaly detection model. At this time, data input from the signature-based anomaly detection model 210 may be classified as normal operation or abnormal operation according to filtering criteria. If the input data is classified as an abnormal behavior in the signature-based anomaly detection model 210, the anomaly detection process may be terminated, and if the input data is classified as a potentially normal behavior, the behavior-based anomaly detection model (220) ) (i.e., data classified as normal operation) may be transmitted.

상세하게는, 시그니처 기반의 이상 탐지 모델(210)에서 입력받은 데이터는 필터링을 위해 설정된 기준에 따라 이상 여부가 판단될 수 있다. 일례로, 정상 여부 판정 대상인 입력받은 데이터(이하, '입력 데이터'로 기재하기로 함.) D'를 다음과 같이 가정하기로 한다. In detail, data received from the signature-based anomaly detection model 210 may be determined to be abnormal according to criteria set for filtering. For example, the input data (hereinafter referred to as 'input data') D' , which is the subject of normality determination, is assumed as follows.

필터링 기준으로 표준편차의 하한과 상한이 설정된 경우, 입력 데이터 D'의 n개의 속성값에 대한 표준편차 가 계산된 후, 의 값의 범위에 따라 정상 여부를 반환하는 술어논리(predicate) 가 계산될 수 있다. 즉 는 다음과 같다.When the lower and upper limits of standard deviation are set as filtering criteria, the standard deviation for n attribute values of input data D' After is calculated, Predicate logic that returns whether or not it is normal depending on the value range of can be calculated. in other words is as follows:

다음으로 계산된 에 대하여 인 경우, 즉, n개의 속성 모두가 정상 범위인 경우, 입력 데이터 D'이 정상 동작으로 분류되고, 그렇지 않은 경우 이상 동작으로 분류될 수 있다. 이상 동작으로 분류된 경우, 이상 탐지 과정은 종료되고, 잠재적 정상 동작으로 분류된 경우, 미탐을 방지하기 위해 입력 데이터 D'에 대해 행위 기반 이상 탐지가 추가로 수행될 수 있다. calculated as about That is, if all n attributes are in the normal range, the input data D' may be classified as normal operation, otherwise, it may be classified as abnormal operation. If classified as an abnormal operation, the abnormality detection process is terminated, and if classified as a potential normal operation, behavior-based abnormality detection may be additionally performed on the input data D' to prevent false detection.

시그니처 기반의 이상 탐지 모델(210)에서 전달된 데이터가 행위 기반의 이상 탐지 모델(220)에 입력됨에 따라 이상 탐지 과정이 수행될 수 있다. 입력된 데이터가 행위 기반의 이상 탐지 모델(220)의 행위 기반 이상 탐지 알고리즘의 입력으로 전달될 수 있다. 행위 기반의 이상 탐지 알고리즘에 따라 입력된 데이터가 정상 동작 또는 이상 동작으로 분류될 수 있다. An anomaly detection process may be performed as data transmitted from the signature-based anomaly detection model 210 is input into the behavior-based anomaly detection model 220. The input data may be transmitted as an input to the behavior-based anomaly detection algorithm of the behavior-based anomaly detection model 220. Depending on the behavior-based anomaly detection algorithm, the input data can be classified as normal or abnormal operation.

상세하게는, 잠재적 정상으로 분류된 데이터(정상 동작으로 분류된 데이터)가 행위 기반의 이상 탐지 모델(220)에 입력되어 행위 기반 이상 탐지가 수행될 수 있다. 예를 들면, 상기 기술된 비지도 심층 학습 방법 중 하나인 오토인코더가 행위 기반 이상 탐지를 위해 사용될 수 있다. 이상 탐지를 위해 입력 데이터 D'이 오토인코더에 입력되면, 오토인코더는 입력 데이터 D'을 인코딩 및 디코딩하여 새로운 입력 데이터 D''을 출력하며, D'D''의 차이를 계산한다. 예를 들어, 평균 제곱 오차(Mean Squared Error; MSE)가 두 데이터의 차이()를 계산하기 위해 사용될 수 있다. 다음으로 행위 기반 이상 탐지 알고리즘에 의해 계산된 거리(Distance)는 정상 동작과 이상 동작을 분류하기 위한 임계값 θ와 비교되어 입력 데이터 D'의 최종 이상 여부 R이 다음과 같이 판단될 수 있다.In detail, data classified as potentially normal (data classified as normal operation) may be input into the behavior-based anomaly detection model 220 to perform behavior-based anomaly detection. For example, an autoencoder, one of the unsupervised deep learning methods described above, can be used for behavior-based anomaly detection. When input data D' is input to the autoencoder for anomaly detection, the autoencoder encodes and decodes the input data D ', outputs new input data D'' , and calculates the difference between D' and D'' . For example, Mean Squared Error (MSE) is the difference between two pieces of data ( ) can be used to calculate Next, the distance calculated by the behavior-based anomaly detection algorithm is compared with the threshold θ for classifying normal operation and abnormal operation, and the final abnormality R of the input data D' can be determined as follows.

이러한 이상 탐지 과정이 수행됨에 따라 이상 탐지 과정이 종료될 수 있다. 데이터 및 이상 탐지 결과가 서버로 전달될 수 있다. 입력 데이터 D'과 시그니처 기반의 이상 탐지 동작과 행위 기반의 이상 탐지 동작을 통해 정상 동작인지 이상 동작인지 분류된 결과가 서버로 전달되며, 하이브리드 이상 탐지 과정은 종료된다. As this anomaly detection process is performed, the anomaly detection process may be terminated. Data and anomaly detection results may be transmitted to the server. Through the input data D' and the signature-based anomaly detection operation and behavior-based anomaly detection operation, the results classified as normal or abnormal operation are delivered to the server, and the hybrid anomaly detection process is completed.

도 3은 일 실시예에 따른 하이브리드 이상 탐지 시스템의 구성을 설명하기 위한 블록도이고, 도 4는 일 실시예에 따른 하이브리드 이상 탐지 시스템에 의해 수행되는 하이브리드 이상 탐지 방법을 설명하기 위한 흐름도이다.FIG. 3 is a block diagram for explaining the configuration of a hybrid anomaly detection system according to an embodiment, and FIG. 4 is a flowchart for explaining a hybrid anomaly detection method performed by the hybrid anomaly detection system according to an embodiment.

하이브리드 이상 탐지 시스템(100)의 프로세서는 데이터 입력부(310), 이상 탐지 수행부(320) 및 결과 전달부(330)를 포함할 수 있다. 이러한 프로세서의 구성요소들은 하이브리드 이상 탐지 시스템에 저장된 프로그램 코드가 제공하는 제어 명령에 따라 프로세서에 의해 수행되는 서로 다른 기능들(different functions)의 표현들일 수 있다. 프로세서 및 프로세서의 구성요소들은 도 4의 하이브리드 이상 탐지 방법이 포함하는 단계들(410 내지 430)을 수행하도록 하이브리드 이상 탐지 시스템을 제어할 수 있다. 이때, 프로세서 및 프로세서의 구성요소들은 메모리가 포함하는 운영체제의 코드와 적어도 하나의 프로그램의 코드에 따른 명령(instruction)을 실행하도록 구현될 수 있다. The processor of the hybrid anomaly detection system 100 may include a data input unit 310, an anomaly detection performance unit 320, and a result delivery unit 330. These processor components may be expressions of different functions performed by the processor according to control instructions provided by program code stored in the hybrid anomaly detection system. The processor and its components may control the hybrid anomaly detection system to perform steps 410 to 430 included in the hybrid anomaly detection method of FIG. 4. At this time, the processor and its components may be implemented to execute instructions according to the code of an operating system included in the memory and the code of at least one program.

프로세서는 하이브리드 이상 탐지 방법을 위한 프로그램의 파일에 저장된 프로그램 코드를 메모리에 로딩할 수 있다. 예를 들면, 하이브리드 이상 탐지 시스템에서 프로그램이 실행되면, 프로세서는 운영체제의 제어에 따라 프로그램의 파일로부터 프로그램 코드를 메모리에 로딩하도록 하이브리드 이상 탐지 시스템을 제어할 수 있다. 이때, 데이터 입력부(310), 이상 탐지 수행부(320) 및 결과 전달부(330) 각각은 메모리에 로딩된 프로그램 코드 중 대응하는 부분의 명령을 실행하여 이후 단계들(410 내지 430)을 실행하기 위한 프로세서의 서로 다른 기능적 표현들일 수 있다.The processor may load the program code stored in the file of the program for the hybrid anomaly detection method into memory. For example, when a program is executed in a hybrid anomaly detection system, the processor can control the hybrid anomaly detection system to load program code from the program file into memory under the control of the operating system. At this time, the data input unit 310, the abnormality detection performance unit 320, and the result delivery unit 330 each execute the command of the corresponding portion of the program code loaded in the memory to execute the subsequent steps 410 to 430. may be different functional expressions of the processor for

단계(410)에서 데이터 입력부(310)는 동작 중인 시스템에서 생성된 데이터를 시그니처 기반의 이상 탐지 모델 및 행위 기반의 이상 탐지 모델로 구성된 하이브리드 이상 탐지 모델에 입력받을 수 있다. 데이터 입력부(310)는 게이트웨이에서 현재 동작 중인 시스템에서 생성된 데이터를 전달받음에 따라 이상 탐지 과정을 시작할 수 있다. In step 410, the data input unit 310 may receive data generated from an operating system into a hybrid anomaly detection model consisting of a signature-based anomaly detection model and a behavior-based anomaly detection model. The data input unit 310 may begin an abnormality detection process by receiving data generated from a system currently in operation at the gateway.

단계(420)에서 이상 탐지 수행부(320)는 하이브리드 이상 탐지 모델을 이용하여 동작 중인 시스템에서 생성된 데이터로부터 이상 탐지를 수행할 수 있다. 이상 탐지 수행부(320)는 동작 중인 시스템에서 생성된 데이터가 하이브리드 이상 탐지 모델에 구성된 시그니처 기반의 이상 탐지 모델에 입력됨에 따라 시그니처 기반의 이상 탐지 동작을 수행할 수 있다. 이상 탐지 수행부(320)는 시그니처 기반의 이상 탐지 모델을 이용하여 동작 중인 시스템에서 생성된 데이터를 필터링 기준에 따라 정상 동작 또는 이상 동작으로 분류할 수 있다. 이상 탐지 수행부(320)는 동작 중인 시스템에서 생성된 데이터가 이상 동작으로 분류될 경우, 이상 탐지 과정을 종료하고, 동작 중인 시스템에서 생성된 데이터가 정상 동작으로 분류될 경우, 동작 중인 시스템에서 생성된 데이터를 행위 기반 이상 탐지 모델로 전달할 수 있다. 이상 탐지 수행부(320)는 동작 중인 시스템에서 생성된 데이터가 하이브리드 이상 탐지 모델에 구성된 행위 기반 이상 탐지 모델에 입력됨에 따라 행위 기반의 이상 탐지 동작을 수행할 수 있다. 이상 탐지 수행부(320)는 동작 중인 시스템에서 생성된 데이터를 행위 기반의 이상 탐지 모델을 이용하여 정상 동작 또는 이상 동작으로 분류할 수 있다. 이상 탐지 수행부(320)는 시그니처 기반의 이상 탐지 모델을 통해 정상 동작으로 분류된 데이터에 대하여 오토인코더를 통해 인코딩 및 디코딩하여 출력된 새로운 입력 데이터를 획득하고, 정상 동작으로 분류된 데이터와 상기 획득된 새로운 입력 데이터의 차이 정보를 계산할 수 있다. 이상 탐지 수행부(320)는 계산된 차이 정보를 정상 동작과 이상 동작을 분류하기 위한 임계값과 비교하여 정상 동작으로 분류된 데이터의 최종 이상 여부를 판단할 수 있다.In step 420, the anomaly detection unit 320 may perform anomaly detection from data generated in an operating system using a hybrid anomaly detection model. The anomaly detection performing unit 320 may perform a signature-based anomaly detection operation as data generated from an operating system is input to a signature-based anomaly detection model configured in a hybrid anomaly detection model. The anomaly detection unit 320 may use a signature-based anomaly detection model to classify data generated from an operating system into normal operation or abnormal operation according to filtering criteria. If the data generated in the operating system is classified as an abnormal operation, the anomaly detection performance unit 320 terminates the anomaly detection process, and if the data generated in the operating system is classified as a normal operation, the abnormality detection process is terminated. The data can be passed to a behavior-based anomaly detection model. The anomaly detection performing unit 320 may perform a behavior-based anomaly detection operation as data generated from an operating system is input to a behavior-based anomaly detection model configured in a hybrid anomaly detection model. The anomaly detection unit 320 may classify data generated from an operating system into normal operation or abnormal operation using a behavior-based anomaly detection model. The anomaly detection unit 320 acquires new input data output by encoding and decoding data classified as normal operation through an autoencoder through a signature-based anomaly detection model, and obtains data classified as normal operation and the above. The difference information of the new input data can be calculated. The anomaly detection unit 320 may determine whether the data classified as normal operation is ultimately abnormal by comparing the calculated difference information with a threshold value for classifying normal operation and abnormal operation.

단계(430)에서 결과 전달부(330)는 동작 중인 시스템에서 생성된 데이터와 이상 탐지를 수행함에 따라 획득된 결과를 서버로 전달할 수 있다. 결과 전달부(330)는 현재 동작 중인 시스템에서 생성된 데이터와 이상 탐지를 수행하는 과정에서 판단된 이상 탐지 결과를 서버로 전달할 수 있다. 이에, 하이브리드 이상 탐지 과정이 종료될 수 있다. In step 430, the result transmission unit 330 may transmit the data generated in the operating system and the results obtained by performing abnormality detection to the server. The result transmission unit 330 may transmit data generated from a currently operating system and anomaly detection results determined in the process of performing anomaly detection to the server. Accordingly, the hybrid anomaly detection process may be terminated.

이상에서 설명된 장치는 하드웨어 구성요소, 소프트웨어 구성요소, 및/또는 하드웨어 구성요소 및 소프트웨어 구성요소의 조합으로 구현될 수 있다. 예를 들어, 실시예들에서 설명된 장치 및 구성요소는, 예를 들어, 프로세서, 콘트롤러, ALU(arithmetic logic unit), 디지털 신호 프로세서(digital signal processor), 마이크로컴퓨터, FPGA(field programmable gate array), PLU(programmable logic unit), 마이크로프로세서, 또는 명령(instruction)을 실행하고 응답할 수 있는 다른 어떠한 장치와 같이, 하나 이상의 범용 컴퓨터 또는 특수 목적 컴퓨터를 이용하여 구현될 수 있다. 처리 장치는 운영 체제(OS) 및 상기 운영 체제 상에서 수행되는 하나 이상의 소프트웨어 애플리케이션을 수행할 수 있다. 또한, 처리 장치는 소프트웨어의 실행에 응답하여, 데이터를 접근, 저장, 조작, 처리 및 생성할 수도 있다. 이해의 편의를 위하여, 처리 장치는 하나가 사용되는 것으로 설명된 경우도 있지만, 해당 기술분야에서 통상의 지식을 가진 자는, 처리 장치가 복수 개의 처리 요소(processing element) 및/또는 복수 유형의 처리 요소를 포함할 수 있음을 알 수 있다. 예를 들어, 처리 장치는 복수 개의 프로세서 또는 하나의 프로세서 및 하나의 콘트롤러를 포함할 수 있다. 또한, 병렬 프로세서(parallel processor)와 같은, 다른 처리 구성(processing configuration)도 가능하다.The device described above may be implemented with hardware components, software components, and/or a combination of hardware components and software components. For example, devices and components described in embodiments may include, for example, a processor, a controller, an arithmetic logic unit (ALU), a digital signal processor, a microcomputer, a field programmable gate array (FPGA), etc. , may be implemented using one or more general-purpose or special-purpose computers, such as a programmable logic unit (PLU), a microprocessor, or any other device capable of executing and responding to instructions. A processing device may execute an operating system (OS) and one or more software applications that run on the operating system. Additionally, a processing device may access, store, manipulate, process, and generate data in response to the execution of software. For ease of understanding, a single processing device may be described as being used; however, those skilled in the art will understand that a processing device includes multiple processing elements and/or multiple types of processing elements. It can be seen that it may include. For example, a processing device may include a plurality of processors or one processor and one controller. Additionally, other processing configurations, such as parallel processors, are possible.

소프트웨어는 컴퓨터 프로그램(computer program), 코드(code), 명령(instruction), 또는 이들 중 하나 이상의 조합을 포함할 수 있으며, 원하는 대로 동작하도록 처리 장치를 구성하거나 독립적으로 또는 결합적으로(collectively) 처리 장치를 명령할 수 있다. 소프트웨어 및/또는 데이터는, 처리 장치에 의하여 해석되거나 처리 장치에 명령 또는 데이터를 제공하기 위하여, 어떤 유형의 기계, 구성요소(component), 물리적 장치, 가상 장치(virtual equipment), 컴퓨터 저장 매체 또는 장치에 구체화(embody)될 수 있다. 소프트웨어는 네트워크로 연결된 컴퓨터 시스템 상에 분산되어서, 분산된 방법으로 저장되거나 실행될 수도 있다. 소프트웨어 및 데이터는 하나 이상의 컴퓨터 판독 가능 기록 매체에 저장될 수 있다.Software may include a computer program, code, instructions, or a combination of one or more of these, which may configure a processing unit to operate as desired, or may be processed independently or collectively. You can command the device. Software and/or data may be used on any type of machine, component, physical device, virtual equipment, computer storage medium or device to be interpreted by or to provide instructions or data to a processing device. It can be embodied in . Software may be distributed over networked computer systems and stored or executed in a distributed manner. Software and data may be stored on one or more computer-readable recording media.

실시예에 따른 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 실시예를 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. The method according to the embodiment may be implemented in the form of program instructions that can be executed through various computer means and recorded on a computer-readable medium. The computer-readable medium may include program instructions, data files, data structures, etc., singly or in combination. Program instructions recorded on the medium may be specially designed and configured for the embodiment or may be known and available to those skilled in the art of computer software. Examples of computer-readable recording media include magnetic media such as hard disks, floppy disks, and magnetic tapes, optical media such as CD-ROMs and DVDs, and magnetic media such as floptical disks. -Includes optical media (magneto-optical media) and hardware devices specifically configured to store and execute program instructions, such as ROM, RAM, flash memory, etc. Examples of program instructions include machine language code, such as that produced by a compiler, as well as high-level language code that can be executed by a computer using an interpreter, etc.

이상과 같이 실시예들이 비록 한정된 실시예와 도면에 의해 설명되었으나, 해당 기술분야에서 통상의 지식을 가진 자라면 상기의 기재로부터 다양한 수정 및 변형이 가능하다. 예를 들어, 설명된 기술들이 설명된 방법과 다른 순서로 수행되거나, 및/또는 설명된 시스템, 구조, 장치, 회로 등의 구성요소들이 설명된 방법과 다른 형태로 결합 또는 조합되거나, 다른 구성요소 또는 균등물에 의하여 대치되거나 치환되더라도 적절한 결과가 달성될 수 있다.As described above, although the embodiments have been described with limited examples and drawings, various modifications and variations can be made by those skilled in the art from the above description. For example, the described techniques are performed in a different order than the described method, and/or components of the described system, structure, device, circuit, etc. are combined or combined in a different form than the described method, or other components are used. Alternatively, appropriate results may be achieved even if substituted or substituted by an equivalent.

그러므로, 다른 구현들, 다른 실시예들 및 특허청구범위와 균등한 것들도 후술하는 특허청구범위의 범위에 속한다.Therefore, other implementations, other embodiments, and equivalents of the claims also fall within the scope of the claims described below.

Claims (11)

컴퓨터로 구현되는 하이브리드 이상 탐지 시스템에 의해 수행되는 하이브리드 이상 탐지 방법에 있어서,
동작 중인 시스템에서 생성된 데이터를 시그니처 기반의 이상 탐지 모델 및 행위 기반의 이상 탐지 모델로 구성된 하이브리드 이상 탐지 모델에 입력받는 단계;
상기 하이브리드 이상 탐지 모델을 이용하여 상기 동작 중인 시스템에서 생성된 데이터로부터 이상 탐지를 수행하는 단계; 및
상기 동작 중인 시스템에서 생성된 데이터와 상기 이상 탐지를 수행함에 따라 획득된 결과를 서버로 전달하는 단계
를 포함하고,
정상 동작 과정의 시계열 데이터를 수집하고, 상기 수집된 정상 동작 과정의 시계열 데이터에 대한 통계적 분석을 수행하여 시그니처 기반의 이상 탐지를 위한 정상 데이터의 특징을 계산하고, 상기 정상 동작 과정의 시계열 데이터를 사용하여 행위 기반 이상 동작 탐지를 위한 정상 동작 행위의 특징을 추출하는 선제적 과정을 수행하는 단계를 더 포함하고,
상기 선제적 과정을 수행하는 단계는,
상기 통계적 분석을 통해 상기 수집된 정상 동작 과정의 시계열 데이터에서 표준편차의 하한과 상한을 필터링 기준으로 설정하고, 상기 추출된 정상 동작 행위의 특징을 이용하여 정상 동작과 이상 동작을 분류하는 판단 기준과 임계값을 설정하는 단계를 포함하고,
상기 이상 탐지를 수행하는 단계는,
상기 하이브리드 이상 탐지 모델에 구성된 상기 시그니처 기반의 이상 탐지 모델을 이용하여 상기 동작 중인 시스템에서 생성된 데이터를 상기 설정된 필터링 기준에 따라 정상 동작 또는 이상 동작으로 분류하고, 상기 동작 중인 시스템에서 생성된 데이터가 상기 시그니처 기반의 이상 탐지 모델에 의해 정상 동작으로 분류될 경우, 상기 동작 중인 시스템에서 생성된 데이터를 상기 행위 기반의 이상 탐지 모델을 이용하여 정상 동작 또는 이상 동작으로 분류하고, 상기 시그니처 기반의 이상 탐지 모델을 통해 정상 동작으로 분류된 데이터에 대하여 오토인코더를 통해 인코딩 및 디코딩하여 출력된 새로운 입력 데이터를 획득하고, 상기 정상 동작으로 분류된 데이터와 상기 획득된 새로운 입력 데이터에 대한 평균 제곱 오차 계산을 통해 차이 정보를 획득하고, 상기 획득된 차이 정보를 상기 설정된 임계값과 비교하여 상기 정상 동작으로 분류된 데이터의 최종 이상 여부를 판단하는 단계
를 포함하는 하이브리드 이상 탐지 방법.In a hybrid anomaly detection method performed by a computer-implemented hybrid anomaly detection system,
Inputting data generated from an operating system into a hybrid anomaly detection model consisting of a signature-based anomaly detection model and a behavior-based anomaly detection model;
performing anomaly detection from data generated in the operating system using the hybrid anomaly detection model; and
A step of transmitting data generated from the operating system and results obtained by performing the abnormality detection to a server.
Including,
Collect time series data of the normal operation process, perform statistical analysis on the collected time series data of the normal operation process, calculate the characteristics of the normal data for signature-based anomaly detection, and use the time series data of the normal operation process. It further includes performing a preemptive process of extracting characteristics of normal operation behavior for behavior-based abnormal behavior detection,
The step of performing the preemptive process is,
Through the statistical analysis, the lower and upper limits of the standard deviation are set as filtering criteria in the time series data of the collected normal operation process, and the judgment criteria for classifying normal operation and abnormal operation using the extracted characteristics of the normal operation behavior are provided. Including setting a threshold,
The step of performing the abnormality detection is,
Using the signature-based anomaly detection model configured in the hybrid anomaly detection model, data generated in the operating system is classified as normal operation or abnormal operation according to the set filtering criteria, and the data generated in the operating system is classified as normal operation or abnormal operation. When classified as normal operation by the signature-based anomaly detection model, data generated from the operating system is classified as normal operation or abnormal operation using the behavior-based anomaly detection model, and abnormality detection is performed based on the signature. Data classified as normal operation through the model are encoded and decoded through an autoencoder to obtain new input data output, and the mean square error is calculated for the data classified as normal operation and the obtained new input data. Obtaining difference information and comparing the obtained difference information with the set threshold to determine whether the data classified as normal operation has a final abnormality.
Hybrid anomaly detection method including. 제1항에 있어서,
상기 입력받는 단계는,
게이트웨이에서 현재 동작 중인 시스템에서 생성된 데이터를 전달받음에 따라 이상 탐지 과정을 시작하는 단계
를 포함하는 하이브리드 이상 탐지 방법.According to paragraph 1,
The input step is,
The step of starting the anomaly detection process as the gateway receives data generated from the currently operating system.
Hybrid anomaly detection method including. 제1항에 있어서,
상기 이상 탐지를 수행하는 단계는,
상기 동작 중인 시스템에서 생성된 데이터가 상기 하이브리드 이상 탐지 모델에 구성된 시그니처 기반의 이상 탐지 모델에 입력됨에 따라 시그니처 기반의 이상 탐지 동작을 수행하는 단계
를 포함하는 하이브리드 이상 탐지 방법.According to paragraph 1,
The step of performing the abnormality detection is,
Performing a signature-based anomaly detection operation as data generated in the operating system is input to the signature-based anomaly detection model configured in the hybrid anomaly detection model.
Hybrid anomaly detection method including. 삭제delete 제1항에 있어서,
상기 이상 탐지를 수행하는 단계는,
상기 동작 중인 시스템에서 생성된 데이터가 상기 시그니처 기반의 이상 탐지 모델에 의해 이상 동작으로 분류될 경우, 이상 탐지 과정을 종료하고, 상기 동작 중인 시스템에서 생성된 데이터가 상기 시그니처 기반의 이상 탐지 모델에 의해 정상 동작으로 분류될 경우, 상기 동작 중인 시스템에서 생성된 데이터를 행위 기반 이상 탐지 모델로 전달하는 단계
를 포함하는 하이브리드 이상 탐지 방법.According to paragraph 1,
The step of performing the abnormality detection is,
If the data generated in the operating system is classified as an abnormal operation by the signature-based anomaly detection model, the anomaly detection process is terminated, and the data generated in the operating system is classified as an abnormal operation by the signature-based anomaly detection model. If classified as normal operation, transferring data generated from the operating system to a behavior-based anomaly detection model
Hybrid anomaly detection method including. 제1항에 있어서,
상기 이상 탐지를 수행하는 단계는,
상기 동작 중인 시스템에서 생성된 데이터가 상기 하이브리드 이상 탐지 모델에 구성된 행위 기반 이상 탐지 모델에 입력됨에 따라 행위 기반의 이상 탐지 동작을 수행하는 단계
를 포함하는 하이브리드 이상 탐지 방법.According to paragraph 1,
The step of performing the abnormality detection is,
Performing a behavior-based anomaly detection operation as data generated from the operating system is input to a behavior-based anomaly detection model configured in the hybrid anomaly detection model.
Hybrid anomaly detection method including. 삭제delete 삭제delete 삭제delete 제1항에 있어서,
상기 전달하는 단계는,
현재 동작 중인 시스템에서 생성된 데이터와 상기 이상 탐지를 수행하는 단계에서 판단된 이상 탐지 결과를 서버로 전달하는 단계
를 포함하는 하이브리드 이상 탐지 방법.According to paragraph 1,
The delivery step is,
A step of transmitting the data generated from the currently operating system and the anomaly detection result determined in the anomaly detection step to the server.
Hybrid anomaly detection method including. 컴퓨터로 구현되는 하이브리드 이상 탐지 시스템에 있어서,
동작 중인 시스템에서 생성된 데이터를 시그니처 기반의 이상 탐지 모델 및 행위 기반의 이상 탐지 모델로 구성된 하이브리드 이상 탐지 모델에 입력받는 데이터 입력부;
상기 하이브리드 이상 탐지 모델을 이용하여 상기 동작 중인 시스템에서 생성된 데이터로부터 이상 탐지를 수행하는 이상 탐지 수행부; 및
상기 동작 중인 시스템에서 생성된 데이터와 상기 이상 탐지를 수행함에 따라 획득된 결과를 서버로 전달하는 결과 전달부
를 포함하고,
상기 하이브리드 이상 탐지 시스템은,
정상 동작 과정의 시계열 데이터를 수집하고, 상기 수집된 정상 동작 과정의 시계열 데이터에 대한 통계적 분석을 수행하여 시그니처 기반의 이상 탐지를 위한 정상 데이터의 특징을 계산하고, 상기 정상 동작 과정의 시계열 데이터를 사용하여 행위 기반 이상 동작 탐지를 위한 정상 동작 행위의 특징을 추출하는 선제적 과정을 수행하는 동작을 더 포함하고,
상기 선제적 과정을 수행하는 동작은,
상기 통계적 분석을 통해 상기 수집된 정상 동작 과정의 시계열 데이터에서 표준편차의 하한과 상한을 필터링 기준으로 설정하고, 상기 추출된 정상 동작 행위의 특징을 이용하여 정상 동작과 이상 동작을 분류하는 판단 기준과 임계값을 설정하는 것을 포함하고,
상기 이상 탐지 수행부는,
상기 하이브리드 이상 탐지 모델에 구성된 상기 시그니처 기반의 이상 탐지 모델을 이용하여 상기 동작 중인 시스템에서 생성된 데이터를 상기 설정된 필터링 기준에 따라 정상 동작 또는 이상 동작으로 분류하고, 상기 동작 중인 시스템에서 생성된 데이터가 상기 시그니처 기반의 이상 탐지 모델에 의해 정상 동작으로 분류될 경우, 상기 동작 중인 시스템에서 생성된 데이터를 상기 행위 기반의 이상 탐지 모델을 이용하여 정상 동작 또는 이상 동작으로 분류하고, 상기 시그니처 기반의 이상 탐지 모델을 통해 정상 동작으로 분류된 데이터에 대하여 오토인코더를 통해 인코딩 및 디코딩하여 출력된 새로운 입력 데이터를 획득하고, 상기 정상 동작으로 분류된 데이터와 상기 획득된 새로운 입력 데이터에 대한 평균 제곱 오차 계산을 통해 차이 정보를 획득하고, 상기 획득된 차이 정보를 상기 설정된 임계값과 비교하여 상기 정상 동작으로 분류된 데이터의 최종 이상 여부를 판단하는
하이브리드 이상 탐지 시스템.
In a computer-implemented hybrid anomaly detection system,
A data input unit that receives data generated from an operating system into a hybrid anomaly detection model consisting of a signature-based anomaly detection model and a behavior-based anomaly detection model;
an anomaly detection unit that performs anomaly detection from data generated in the operating system using the hybrid anomaly detection model; and
A result transmission unit that transmits the data generated by the operating system and the results obtained by performing the abnormality detection to the server.
Including,
The hybrid anomaly detection system,
Collect time series data of the normal operation process, perform statistical analysis on the collected time series data of the normal operation process, calculate the characteristics of the normal data for signature-based anomaly detection, and use the time series data of the normal operation process. It further includes an operation of performing a preemptive process to extract characteristics of normal operation behavior for behavior-based abnormal behavior detection,
The operation of performing the preemptive process is,
Through the statistical analysis, the lower and upper limits of the standard deviation are set as filtering criteria in the time series data of the collected normal operation process, and the judgment criteria for classifying normal operation and abnormal operation using the extracted characteristics of the normal operation behavior are provided. Including setting a threshold,
The abnormality detection unit,
Using the signature-based anomaly detection model configured in the hybrid anomaly detection model, data generated in the operating system is classified as normal operation or abnormal operation according to the set filtering criteria, and the data generated in the operating system is classified as normal operation or abnormal operation. When classified as normal operation by the signature-based anomaly detection model, data generated from the operating system is classified as normal operation or abnormal operation using the behavior-based anomaly detection model, and abnormality detection is performed based on the signature. Data classified as normal operation through the model are encoded and decoded through an autoencoder to obtain new input data output, and the mean square error is calculated for the data classified as normal operation and the obtained new input data. Obtaining difference information and comparing the obtained difference information with the set threshold to determine whether the data classified as normal operation is ultimately abnormal.
Hybrid anomaly detection system.
KR1020210168598A 2021-11-30 2021-11-30 A hybrid anomaly detection method combining signature-based and behavior-based anomaly detection methods KR102595383B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020210168598A KR102595383B1 (en) 2021-11-30 2021-11-30 A hybrid anomaly detection method combining signature-based and behavior-based anomaly detection methods

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020210168598A KR102595383B1 (en) 2021-11-30 2021-11-30 A hybrid anomaly detection method combining signature-based and behavior-based anomaly detection methods

Publications (3)

Publication Number Publication Date
KR20230080974A KR20230080974A (en) 2023-06-07
KR102595383B1 true KR102595383B1 (en) 2023-10-27
KR102595383B9 KR102595383B9 (en) 2024-01-11

Family

ID=86762050

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020210168598A KR102595383B1 (en) 2021-11-30 2021-11-30 A hybrid anomaly detection method combining signature-based and behavior-based anomaly detection methods

Country Status (1)

Country Link
KR (1) KR102595383B1 (en)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102024142B1 (en) * 2018-06-21 2019-09-23 주식회사 넷앤드 A access control system for detecting and controlling abnormal users by users’ pattern of server access
KR102271740B1 (en) * 2020-09-11 2021-07-02 주식회사 뉴로클 Method and apparatus for anomaly detection

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102024142B1 (en) * 2018-06-21 2019-09-23 주식회사 넷앤드 A access control system for detecting and controlling abnormal users by users’ pattern of server access
KR102271740B1 (en) * 2020-09-11 2021-07-02 주식회사 뉴로클 Method and apparatus for anomaly detection

Also Published As

Publication number Publication date
KR102595383B9 (en) 2024-01-11
KR20230080974A (en) 2023-06-07

Similar Documents

Publication Publication Date Title
US10902117B1 (en) Framework for classifying an object as malicious with machine learning for deploying updated predictive models
CN106656981B (en) Network intrusion detection method and device
TWI547823B (en) Method and system for analyzing malicious code, data processing apparatus and electronic apparatus
Ou et al. The design and implementation of host-based intrusion detection system
EP2040435B1 (en) Intrusion detection method and system
JP6348656B2 (en) Malware-infected terminal detection device, malware-infected terminal detection system, malware-infected terminal detection method, and malware-infected terminal detection program
WO2016082284A1 (en) Modbus tcp communication behaviour anomaly detection method based on ocsvm dual-profile model
WO2006071985A2 (en) Threat scoring system and method for intrusion detection security networks
CN111049680A (en) Intranet transverse movement detection system and method based on graph representation learning
CN111600919A (en) Web detection method and device based on artificial intelligence
CN113094707B (en) Lateral movement attack detection method and system based on heterogeneous graph network
CN117220920A (en) Firewall policy management method based on artificial intelligence
KR20200068608A (en) Method of defending an attack to defend against cyber attacks on packet data and apparatuses performing the same
CN111709021B (en) Attack event identification method based on mass alarms and electronic device
CN111104670B (en) APT attack identification and protection method
KR102595383B1 (en) A hybrid anomaly detection method combining signature-based and behavior-based anomaly detection methods
US20230087309A1 (en) Cyberattack identification in a network environment
CN116418591A (en) Intelligent computer network safety intrusion detection system
CN113162904B (en) Power monitoring system network security alarm evaluation method based on probability graph model
CN115373834A (en) Intrusion detection method based on process call chain
Tian et al. Network attack path reconstruction based on similarity computation
KR20210141198A (en) Network security system that provides security optimization function of internal network
Ukil Application of Kolmogorov complexity in anomaly detection
CN117544420B (en) Fusion system safety management method and system based on data analysis
JP7460242B2 (en) KNOWLEDGE CREATION DEVICE, CONTROL METHOD, AND PROGRAM

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
G170 Re-publication after modification of scope of protection [patent]