KR102596977B1 - 다중 인공지능 모델을 이용한 보안 관제 시스템, 장치,방법 및 프로그램 - Google Patents

다중 인공지능 모델을 이용한 보안 관제 시스템, 장치,방법 및 프로그램 Download PDF

Info

Publication number
KR102596977B1
KR102596977B1 KR1020230095816A KR20230095816A KR102596977B1 KR 102596977 B1 KR102596977 B1 KR 102596977B1 KR 1020230095816 A KR1020230095816 A KR 1020230095816A KR 20230095816 A KR20230095816 A KR 20230095816A KR 102596977 B1 KR102596977 B1 KR 102596977B1
Authority
KR
South Korea
Prior art keywords
security
model
classification
result
features
Prior art date
Application number
KR1020230095816A
Other languages
English (en)
Inventor
정일옥
이시종
우태혁
송태균
최우빈
박중현
강혜지
권혁우
이창식
김승진
Original Assignee
주식회사 이글루코퍼레이션
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 이글루코퍼레이션 filed Critical 주식회사 이글루코퍼레이션
Application granted granted Critical
Publication of KR102596977B1 publication Critical patent/KR102596977B1/ko

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/25Integrating or interfacing systems involving database management systems
    • G06F16/254Extract, transform and load [ETL] procedures, e.g. ETL data flows in data warehouses
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/28Databases characterised by their database models, e.g. relational or object models
    • G06F16/284Relational databases
    • G06F16/285Clustering or classification
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/95Retrieval from the web
    • G06F16/953Querying, e.g. by the use of web search engines
    • G06F16/9538Presentation of query results
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Databases & Information Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Data Mining & Analysis (AREA)
  • Software Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Artificial Intelligence (AREA)
  • Biomedical Technology (AREA)
  • Biophysics (AREA)
  • Computational Linguistics (AREA)
  • Evolutionary Computation (AREA)
  • General Health & Medical Sciences (AREA)
  • Molecular Biology (AREA)
  • Computing Systems (AREA)
  • Mathematical Physics (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

본 개시는 다중 인공지능 모델을 이용한 보안 관제 시스템에 관한 것으로, 수집된 보안 이벤트에 대하여 추출된 복수의 피처를 기반으로 분류형 모델로부터 분류된 결과를 획득하고, 설명형 모델로부터 설명된 결과를 획득하고, 분류 결과와 설명 결과를 생성형 모델에 학습하여 보안 담당자에게 신뢰성 있는 결과 데이터를 제공할 수 있다.

Description

다중 인공지능 모델을 이용한 보안 관제 시스템, 장치, 방법 및 프로그램 {Systems, devices, methods and programs for controlling security using multiple artificial intelligence models}
본 개시는 보안 관제 시스템에 관한 것으로, 보다 상세하게는 다중 인공지능 모델을 이용하여 보안을 관제하는 시스템에 관한 것이다.
최근 들어, 다양한 분야에 인공지능 모델이 적용되고 있으며, 보안 관제 분야에도 인공지능 모델을 적용하는 시도가 진행되고 있다.
인공지능 모델은 학습한 결과를 기반으로 결과값을 출력하지만, 보안 담당자의 입장에서는 인공지능 모델을 통해 출력된 결과값을 완벽하게 신뢰하지 못한다는 문제점이 있으며, 보안 담당자가 인공지능 모델이 결과값을 출력한 원인과 과정에 정확히 알지 못하고 신뢰하지 못한다는 데 그 이유가 있다.
따라서, 인공지능 모델의 판단 기준을 보안 담당자가 이해할 수 있도록 한다면, 보안 담당자가 인공지능 모델의 보안 관제 결과를 신뢰할 수 있을 것으로 기대되지만, 현재로서는 이러한 기술이 공개되어 있지 않은 실정이다.
미국 등록특허공보 제10,599,857호(공개일: 2019년 02월 28일) 미국 등록특허공보 제11,411,973호(공개일: 2020년 03월 05일)
Chen, L., Xu, S., Zhu, L. et al. A deep learning based method for extracting semantic information from patent documents. Scientometrics 125, 289-312 (2020). Souili, A., Cavallucci, D., & Rousselot, F. (2015). Natural Language Processing (NLP): A solution for knowledge extraction from patent unstructured data. Procedia Engineering, 131, 635-643.
본 개시에 개시된 실시예는 다중 인공지능 모델을 이용한 보안 관제 시스템을 제공하는데 그 목적이 있다.
본 개시가 해결하고자 하는 과제들은 이상에서 언급된 과제로 제한되지 않으며, 언급되지 않은 또 다른 과제들은 아래의 기재로부터 통상의 기술자에게 명확하게 이해될 수 있을 것이다.
상술한 과제를 해결하기 위한 본 개시의 일 실시예에 따른 다중 인공지능 모델을 이용한 보안 관제 장치는, 통신부; 하나 이상의 인스트럭션과 보안 이벤트 모니터링을 위한 분류형 모델, 설명형 모델 및 생성형 모델을 포함하는 인공지능 모델이 저장된 저장부; 및 상기 저장부에 저장된 상기 인스트럭션을 실행하며, 상기 통신부를 통해 수집되는 보안 이벤트를 상기 인공지능 모델을 이용하여 모니터링 하는 하나 이상의 프로세서를 포함하며, 상기 프로세서는, 상기 수집된 보안 이벤트에서 복수의 피처(Feature)를 추출하고, 상기 추출된 복수의 피처를 상기 분류형 모델에 입력하고, 상기 분류형 모델이 상기 복수의 피처에 대하여 분류한 결과(이하, '분류 결과')를 획득하고, 상기 추출된 복수의 피처를 상기 설명형 모델에 입력하고, 상기 설명형 모델이 상기 복수의 피처에 대하여 설명한 결과(이하, '설명 결과')를 획득하고, 상기 분류 결과 및 상기 설명 결과를 기반으로 제1 결과 데이터를 생성하고, 상기 생성된 제1 결과 데이터를 기반으로 상기 생성형 모델을 학습하고, 상기 생성형 모델을 통해 출력된 제2 결과 데이터를 획득할 수 있다.
또한, 상기 프로세서는, 상기 수집된 보안 이벤트를 전처리하고, 상기 전처리된 보안 이벤트에서 추출된 상기 복수의 피처를 상기 분류형 모델에 입력하고, 상기 복수의 피처는 상기 보안 이벤트의 특징을 나타내는 데이터로, 상기 보안 이벤트의 ID, 상기 보안 이벤트의 발생 시간, 상기 보안 이벤트의 발생 위치, 상기 보안 이벤트의 유형 및 상기 보안 이벤트의 대상 중 적어도 하나의 특징을 포함하고, 상기 분류형 모델은 상기 복수의 피처를 학습하여 상기 보안 이벤트에 대한 예측 결과를 출력할 수 있다.
또한, 상기 프로세서는, 상기 전처리된 보안 이벤트에서 추출된 상기 복수의 피처 및 상기 분류형 모델로부터 획득한 상기 분류 결과를 상기 설명형 모델에 입력하고, 상기 설명형 모델은 상기 복수의 피처 및 상기 분류 결과를 학습하여 상기 설명 결과를 출력할 수 있다.
또한, 상기 설명형 모델은, 상기 학습한 결과를 기반으로, 상기 보안 이벤트가 발생한 원인을 설명하고, 상기 복수의 피처 및 상기 분류 결과를 함께 분석하여 상기 분류형 모델이 상기 보안 이벤트를 상기 분류 결과와 같이 분류한 이유를 설명할 수 있다.
또한, 상기 복수의 피처는 상기 보안 이벤트의 특징을 나타내는 데이터로, 상기 보안 이벤트의 ID, 상기 보안 이벤트의 발생 시간, 상기 보안 이벤트의 발생 위치, 상기 보안 이벤트의 유형, 상기 보안 이벤트의 대상, 상기 보안 이벤트에 대한 소스, 상기 보안 이벤트에 대한 설명 및 상기 보안 이벤트에 대한 데이터를 포함할 수 있다.
또한, 상기 설명형 모델은, 상기 분류형 모델이 상기 분류 결과와 같이 분류하는데 상기 복수의 피처 각각이 영향을 미친 정도를 의미하는 상기 복수의 피처 각각에 대한 중요도를 산출할 수 있다.
또한, 상기 분류 결과는, 상기 보안 이벤트에 대하여 예측한 결과를 포함하고, 상기 설명 결과는, 상기 보안 이벤트가 발생한 원인에 대한 설명, 상기 분류형 모델이 상기 보안 이벤트를 상기 분류 결과와 같이 분류한 원인에 대한 설명 및 상기 복수의 피처 각각에 대하여 산출된 중요도를 포함하고, 상기 프로세서는, 상기 분류 결과 및 상기 설명 결과를 포함하는 상기 제1 결과 데이터를 기반으로, 상기 생성형 모델에 입력하기 위한 프롬프트를 생성하고, 상기 생성된 프롬프트를 상기 생성형 모델에 입력할 수 있다.
또한, 상기 생성형 모델은 상기 입력된 프롬프트에 대하여 제2 결과 데이터를 출력하며, 상기 제2 결과 데이터는, 상기 보안 이벤트에 대한 설명, 상기 보안 이벤트에 대한 특징, 상기 보안 이벤트의 중요도, 상기 보안 이벤트가 중요한 이유 및 상기 보안 이벤트에 대한 대응 방법을 포함할 수 있다.
또한, 상기 제2 결과 데이터는 텍스트, 이미지, 영상 및 오디오 중 적어도 하나를 포함할 수 있다.
또한, 상기 보안 관제 장치는, 상기 보안 이벤트의 수집으로부터 상기 분류형 모델, 상기 설명형 모델 및 상기 생성형 모델의 순서로 출력값을 획득하며, 상기 분류형 모델 및 상기 설명형 모델은 상기 생성형 모델보다 더 많은 데이터가 학습 데이터로 입력되고, 상기 분류형 모델 및 상기 설명형 모델은 상기 생성형 모델보다 더 많은 테스트 데이터로 검증되는 것을 특징으로 한다.
또한, 상기 프로세서는, 상기 제2 결과 데이터를 상기 설명형 모델에 입력하여 상기 제2 결과 데이터가 보안 담당자에게 설명이 가능하도록 생성되었는지 검증할 수 있다.
또한, 상술한 과제를 해결하기 위한 본 개시의 일 실시예에 따른 다중 인공지능 모델을 이용한 보안 관제 방법은, 보안 관제 장치에 의해 수행되는 방법으로, 보안 이벤트를 수집하는 단계; 상기 수집된 보안 이벤트에서 복수의 피처(Feature)를 추출하는 단계; 상기 추출된 복수의 피처를 분류형 모델에 입력하고, 상기 분류형 모델이 상기 복수의 피처에 대하여 분류한 결과(이하, '분류 결과')를 획득하는 단계; 상기 추출된 복수의 피처를 상기 설명형 모델에 입력하고, 상기 설명형 모델이 상기 복수의 피처에 대하여 설명한 결과(이하, '설명 결과')를 획득하는 단계; 상기 분류 결과 및 상기 설명 결과를 기반으로 제1 결과 데이터를 생성하는 단계; 상기 생성된 제1 결과 데이터를 기반으로 상기 생성형 모델을 학습하는 단계; 및 상기 생성형 모델을 통해 출력된 제2 결과 데이터를 획득하는 단계를 포함한다.
상술한 과제를 해결하기 위한 본 개시의 일 실시예에 따른 다중 인공지능 모델을 이용한 보안 관제 시스템은, 통신부; 분류형 모델, 설명형 모델 및 생성형 모델이 저장된 저장부; 및 통신부를 통해 수집되는 보안 이벤트에서 복수의 피처를 추출하고, 상기 복수의 피처를 상기 분류형 모델에 입력하여 상기 복수의 피처에 대하여 분류한 분류 결과를 획득하고, 상기 복수의 피처를 상기 설명형 모델에 입력하여 상기 복수의 피처에 대하여 설명한 설명 결과를 획득하고, 상기 분류 결과 및 상기 설명 결과를 기반으로 제1 결과 데이터를 생성하고, 상기 제1 결과 데이터를 상기 생성형 모델에 입력하여 제2 결과 데이터를 획득하는 프로세서를 포함한다.
또한, 상기 프로세서는, 상기 보안 이벤트를 전처리하고, 상기 전처리된 보안 이벤트에서 추출된 상기 복수의 피처를 상기 분류형 모델에 입력하고, 상기 복수의 피처는 상기 보안 이벤트의 특징을 나타내는 데이터로, 상기 보안 이벤트의 ID, 상기 보안 이벤트의 발생 시간, 상기 보안 이벤트의 발생 위치, 상기 보안 이벤트의 유형 및 상기 보안 이벤트의 대상 중 적어도 하나의 특징을 포함하고, 상기 분류형 모델은 상기 복수의 피처를 학습하여 상기 보안 이벤트에 대한 예측 결과를 출력할 수 있다.
또한, 상기 프로세서는, 상기 전처리된 보안 이벤트에서 추출된 상기 복수의 피처 및 상기 분류형 모델로부터 획득한 상기 분류 결과를 상기 설명형 모델에 입력하고, 상기 설명형 모델은 상기 복수의 피처 및 상기 분류 결과를 학습하여 상기 설명 결과를 출력할 수 있다.
또한, 상기 설명형 모델은, 상기 학습한 결과를 기반으로, 상기 보안 이벤트가 발생한 원인을 설명하고, 상기 복수의 피처 및 상기 분류 결과를 함께 분석하여 상기 분류형 모델이 상기 보안 이벤트를 상기 분류 결과와 같이 분류한 이유를 설명할 수 있다.
또한, 상기 복수의 피처는 상기 보안 이벤트의 특징을 나타내는 데이터로, 상기 보안 이벤트의 ID, 상기 보안 이벤트의 발생 시간, 상기 보안 이벤트의 발생 위치, 상기 보안 이벤트의 유형, 상기 보안 이벤트의 대상, 상기 보안 이벤트에 대한 소스, 상기 보안 이벤트에 대한 설명 및 상기 보안 이벤트에 대한 데이터를 포함할 수 있다.
또한, 상기 설명형 모델은, 상기 분류형 모델이 상기 분류 결과와 같이 분류하는데 상기 복수의 피처 각각이 영향을 미친 정도를 의미하는 상기 복수의 피처 각각에 대한 중요도를 산출할 수 있다.
또한, 상기 분류 결과는, 상기 보안 이벤트에 대하여 예측한 결과를 포함하고, 상기 설명 결과는, 상기 보안 이벤트가 발생한 원인에 대한 설명, 상기 분류형 모델이 상기 보안 이벤트를 상기 분류 결과와 같이 분류한 원인에 대한 설명 및 상기 복수의 피처 각각에 대하여 산출된 중요도를 포함하고, 상기 프로세서는, 상기 분류 결과 및 상기 설명 결과를 포함하는 상기 제1 결과 데이터를 기반으로, 상기 생성형 모델에 입력하기 위한 프롬프트를 생성하고,상기 생성된 프롬프트를 상기 생성형 모델에 입력할 수 있다.
또한, 상기 생성형 모델은 상기 입력된 프롬프트에 대하여 제2 결과 데이터를 출력하며, 상기 제2 결과 데이터는, 상기 보안 이벤트에 대한 설명, 상기 보안 이벤트에 대한 특징, 상기 보안 이벤트의 중요도, 상기 보안 이벤트가 중요한 이유 및 상기 보안 이벤트에 대한 대응 방법을 포함할 수 있다.
또한, 상기 제2 결과 데이터는 텍스트, 이미지, 영상 및 오디오 중 적어도 하나를 포함할 수 있다.
또한, 상기 보안 관제 장치는, 상기 보안 이벤트의 수집으로부터 상기 분류형 모델, 상기 설명형 모델 및 상기 생성형 모델의 순서로 출력값을 획득하며, 상기 분류형 모델 및 상기 설명형 모델은 상기 생성형 모델보다 더 많은 데이터가 학습 데이터로 입력되고, 상기 분류형 모델 및 상기 설명형 모델은 상기 생성형 모델보다 더 많은 테스트 데이터로 검증된다.
또한, 상기 프로세서는, 상기 제2 결과 데이터를 상기 설명형 모델에 입력하여 상기 제2 결과 데이터가 보안 담당자에게 설명이 가능하도록 생성되었는지 검증할 수 있다.
상술한 과제를 해결하기 위한 본 개시의 일 실시예에 따른 보안 관제 서버는, 통신부; 분류형 모델, 설명형 모델 및 생성형 모델이 저장된 저장부; 및 통신부를 통해 수집되는 보안 이벤트에서 복수의 피처를 추출하고, 상기 복수의 피처를 상기 분류형 모델에 입력하여 상기 복수의 피처에 대한 분류 결과를 획득하고, 상기 복수의 피처를 상기 설명형 모델에 입력하여 상기 복수의 피처에 대한 설명 결과를 획득하고, 상기 분류 결과 및 상기 설명 결과를 기반으로 제1 결과 데이터를 생성하고, 상기 제1 결과 데이터를 상기 생성형 모델에 학습시켜 제2 결과 데이터를 획득하는 프로세서를 포함한다.
또한, 상기 분류형 모델은 상기 보안 이벤트의 특징을 나타내는 복수의 피처를 학습하여 상기 보안 이벤트를 정상 이벤트 또는 비정상 이벤트로 분류하고, 상기 설명형 모델은 상기 복수의 피처 및 상기 분류 결과를 학습하여 상기 분류형 모델이 상기 보안 이벤트를 상기 분류 결과와 같이 분류한 이유를 설명할 수 있다.
또한, 상기 설명형 모델은, 상기 분류형 모델이 상기 분류 결과와 같이 분류하는데 상기 복수의 피처 각각이 영향을 미친 정도(이하, '영향도')를 산출할 수 있다.
또한, 상기 프로세서는, 상기 분류 결과 및 상기 설명 결과를 포함하는 상기 제1 결과 데이터를 기반으로, 상기 생성형 모델에 입력하기 위한 프롬프트를 생성하고, 상기 생성된 프롬프트를 상기 생성형 모델에 입력하고, 상기 생성형 모델은 상기 입력된 프롬프트에 대하여 제2 결과 데이터를 출력하고, 상기 제2 결과 데이터는 상기 보안 이벤트에 대한 설명, 상기 보안 이벤트에 대한 특징, 상기 보안 이벤트의 중요도, 상기 보안 이벤트가 중요한 이유 및 상기 보안 이벤트에 대한 대응 방법을 포함할 수 있다.
또한, 상기 프로세서는, 상기 분류 결과 및 상기 설명 결과를 포함하는 상기 제1 결과 데이터를 기반으로, 상기 생성형 모델에 입력하기 위한 프롬프트를 생성하고, 상기 생성된 프롬프트를 상기 생성형 모델에 입력하고, 상기 제2 결과 데이터를 미리 학습된 검증 모델에 입력하여 상기 제2 결과 데이터가 보안 담당자가 이해할 수 있도록 생성되었는지를 의미하는 완성도를 산출하고, 기 설정된 완성도에 부합하지 못하는 경우, 상기 프롬프트를 재생성하도록 제어할 수 있다.
이 외에도, 본 개시를 구현하기 위한 실행하기 위한 컴퓨터 판독 가능한 기록 매체에 저장된 컴퓨터 프로그램이 더 제공될 수 있다.
이 외에도, 본 개시를 구현하기 위한 방법을 실행하기 위한 컴퓨터 프로그램을 기록하는 컴퓨터 판독 가능한 기록 매체가 더 제공될 수 있다.
본 개시의 전술한 과제 해결 수단에 의하면, 다중 인공지능 모델을 이용한 보안 관제 시스템을 제공하는 효과를 제공한다.
본 개시의 효과들은 이상에서 언급된 효과로 제한되지 않으며, 언급되지 않은 또 다른 효과들은 아래의 기재로부터 통상의 기술자에게 명확하게 이해될 수 있을 것이다.
도 1은 본 개시의 실시예에 따른 다중 인공지능 모델을 이용한 보안 관제 시스템의 개략도이다.
도 2는 본 개시의 실시예에 따른 다중 인공지능 모델을 이용한 보안 관제 장치의 블록도이다.
도 3 및 도 4는 본 개시의 실시예에 따른 다중 인공지능 모델을 이용한 보안 관제 방법의 흐름도이다.
도 5는 분류형 모델, 설명형 모델 및 생성형 모델 각각의 동작을 예시한 도면이다.
도 6은 분류 결과와 설명 결과를 기반으로 생성형 모델을 위한 프롬프트를 생성하는 것을 예시한 도면이다.
도 7은 생성형 모델을 통해 생성된 제2 결과 데이터가 보안 담당자에게 설명이 가능하도록 생성되었는지 검증하는 프로세스를 예시한 도면이다.
도 8은 ANN (Artificial Neural Network) 모델을 예시한 도면이다.
도 9 및 도 10은 CNN (Convolutional Neural Network) 모델을 예시한 도면이다.
도 11은 DNN (Deep Neural Network) 모델을 예시한 도면이다.
도 12는 RNN (Recurrent Neural Network) 모델을 예시한 도면이다.
도 13 및 도 14는 DBN (Deep Belief Network) 모델을 예시한 도면이다.
도 15는 DQN (Deep Q-Network)을 예시한 도면이다.
도 16은 BM (Boltzmann Machine)을 예시한 도면이다.
도 17은 (RBM Restricted Boltzmann Machine)을 예시한 도면이다.
도 18은 본 개시의 실시예에 따른 보안 관제 시스템의 블록도이다.
본 개시 전체에 걸쳐 동일 참조 부호는 동일 구성요소를 지칭한다. 본 개시가 실시예들의 모든 요소들을 설명하는 것은 아니며, 본 개시가 속하는 기술분야에서 일반적인 내용 또는 실시예들 간에 중복되는 내용은 생략한다. 명세서에서 사용되는 ‘부, 모듈, 부재, 블록’이라는 용어는 소프트웨어 또는 하드웨어로 구현될 수 있으며, 실시예들에 따라 복수의 '부, 모듈, 부재, 블록'이 하나의 구성요소로 구현되거나, 하나의 '부, 모듈, 부재, 블록'이 복수의 구성요소들을 포함하는 것도 가능하다.
명세서 전체에서, 어떤 부분이 다른 부분과 "연결"되어 있다고 할 때, 이는 직접적으로 연결되어 있는 경우뿐 아니라, 간접적으로 연결되어 있는 경우를 포함하고, 간접적인 연결은 무선 통신망을 통해 연결되는 것을 포함한다.
또한, 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다.
명세서 전체에서, 어떤 부재가 다른 부재 "상에" 위치하고 있다고 할 때, 이는 어떤 부재가 다른 부재에 접해 있는 경우뿐 아니라 두 부재 사이에 또 다른 부재가 존재하는 경우도 포함한다.
제1, 제2 등의 용어는 하나의 구성요소를 다른 구성요소로부터 구별하기 위해 사용되는 것으로, 구성요소가 전술된 용어들에 의해 제한되는 것은 아니다.
단수의 표현은 문맥상 명백하게 예외가 있지 않는 한, 복수의 표현을 포함한다.
각 단계들에 있어 식별부호는 설명의 편의를 위하여 사용되는 것으로 식별부호는 각 단계들의 순서를 설명하는 것이 아니며, 각 단계들은 문맥상 명백하게 특정 순서를 기재하지 않는 이상 명기된 순서와 다르게 실시될 수 있다.
이하 첨부된 도면들을 참고하여 본 개시의 작용 원리 및 실시예들에 대해 설명한다.
본 명세서에서 '본 개시에 따른 보안 관제 장치'는 연산처리를 수행하여 사용자에게 결과를 제공할 수 있는 다양한 장치들이 모두 포함된다. 예를 들어, 본 개시에 따른 보안 관제 장치는, 컴퓨터, 서버 장치 및 휴대용 단말기를 모두 포함하거나, 또는 어느 하나의 형태가 될 수 있다.
여기에서, 상기 컴퓨터는 예를 들어, 웹 브라우저가 탑재된 노트북, 데스크톱, 랩톱, 태블릿 PC, 슬레이트 PC 등을 포함할 수 있다.
상기 서버 장치는 외부 장치와 통신을 수행하여 정보를 처리하는 서버로써, 애플리케이션 서버, 컴퓨팅 서버, 데이터베이스 서버, 파일 서버, 게임 서버, 메일 서버, 프록시 서버 및 웹 서버 등을 포함할 수 있다.
상기 휴대용 단말기는 예를 들어, 휴대성과 이동성이 보장되는 무선 통신 장치로서, PCS, GSM, PDC(Personal Digital Cellular), PHS(Personal Handyphone System), PDA(Personal Digital Assistant), IMT(International Mobile Telecommunication)-2000, CDMA(Code Division Multiple Access)-2000, W-CDMA(W-Code Division Multiple Access), WiBro(Wireless Broadband Internet) 단말, 스마트폰(Smart Phone) 등과 같은 모든 종류의 핸드헬드(Handheld) 기반의 무선 통신 장치와 시계, 반지, 팔찌, 발찌, 목걸이, 안경, 콘택트 렌즈, 또는 머리 착용형 장치(head-mounted-device(HMD) 등과 같은 웨어러블 장치를 포함할 수 있다.
본 개시에 따른 인공지능과 관련된 기능은 프로세서와 저장부를 통해 동작된다. 프로세서는 하나 또는 복수의 프로세서로 구성될 수 있다. 이때, 하나 또는 복수의 프로세서는 CPU, AP, DSP(Digital Signal Processor) 등과 같은 범용 프로세서, GPU, VPU(Vision Processing Unit)와 같은 그래픽 전용 프로세서 또는 NPU와 같은 인공지능 전용 프로세서일 수 있다. 하나 또는 복수의 프로세서는, 저장부에 저장된 기 정의된 동작 규칙 또는 인공지능 모델에 따라, 입력 데이터를 처리하도록 제어한다. 또는, 하나 또는 복수의 프로세서가 인공지능 전용 프로세서인 경우, 인공지능 전용 프로세서는, 특정 인공지능 모델의 처리에 특화된 하드웨어 구조로 설계될 수 있다.
기 정의된 동작 규칙 또는 인공지능 모델은 학습을 통해 만들어진 것을 특징으로 한다. 여기서, 학습을 통해 만들어진다는 것은, 기본 인공지능 모델이 학습 알고리즘에 의하여 다수의 학습 데이터들을 이용하여 학습됨으로써, 원하는 특성(또는, 목적)을 수행하도록 설정된 기 정의된 동작 규칙 또는 인공지능 모델이 만들어짐을 의미한다. 이러한 학습은 본 개시에 따른 인공지능이 수행되는 기기 자체에서 이루어질 수도 있고, 별도의 서버 및/ 또는 시스템을 통해 이루어 질 수도 있다. 학습 알고리즘의 예로는, 지도형 학습, 비지도 형 학습, 준지도형 학습 또는 강화 학습이 있으나, 전술한 예에 한정되지 않는다.
인공지능 모델은, 복수의 신경망 레이어들로 구성될 수 있다. 복수의 신경망 레이어들 각각은 복수의 가중치들을 갖고 있으며, 이전 레이어의 연산 결과와 복수의 가중치들 간의 연산을 통해 신경 망 연산을 수행한다. 복수의 신경망 레이어들이 갖고 있는 복수의 가중치들은 인공지능 모델의 학습 결과에 의해 최적화될 수 있다. 예를 들어, 학습 과정 동안 인공지능 모델에서 획득한 로스 값 또는 코스트 값이 감소 또는 최소화되도록 복수의 가중치들이 갱신될 수 있다. 인공 신경망은 심층 신경망(DNN: Deep Neural Network)를 포함할 수 있으며, 예를 들어, CNN (Convolutional Neural Network), DNN (Deep Neural Network), RNN (Recurrent Neural Network), RBM (Restricted Boltzmann Machine), DBN (Deep Belief Network), BRDNN(Bidirectional Recurrent Deep Neural Network) 또는 심층 Q-네트워크 등이 있으나, 전술한 예에 한정되지 않는다.
본 개시의 예시적인 실시예에 따르면, 프로세서는 인공지능을 구현할 수 있다. 인공지능이란 사람의 신경세포(biological neuron)를 모사하여 기계가 학습하도록 하는 인공신경망 기반의 기계 학습법을 의미한다. 인공지능의 방법론에는 학습 방식에 따라 훈련데이터로서 입력데이터와 출력데이터가 같이 제공됨으로써 문제(입력 데이터)의 해답(출력 데이터)이 정해져 있는 지도학습(supervised learning), 및 출력데이터 없이 입력데이터만 제공되어 문제(입력 데이터)의 해답(출력 데이터)이 정해지지 않는 비지도학습(unsupervised learning), 및 현재의 상태에서 어떤 행동을 취할 때마다 외부 환경에서 보상이 주어지는데, 이러한 보상을 최대화하는 방향으로 학습을 진행하는 강화학습(reinforcement learning)으로 구분될 수 있다. 또한, 인공지능의 방법론은 학습 모델의 구조인 아키텍처에 따라 구분될 수도 있는데, 널리 이용되는 딥러닝 기술의 아키텍처는, 합성곱신경망, 순환신경망, 트랜스포머, 생성적 대립 신경망 등으로 구분될 수 있다.
본 장치는 인공지능 모델을 포함할 수 있다. 인공지능 모델은 하나의 인공지능 모델일 수 있고, 복수의 인공지능 모델로 구현될 수도 있다. 인공지능 모델은 뉴럴 네트워크(또는 인공 신경망)로 구성될 수 있으며, 기계학습과 인지과학에서 생물학의 신경을 모방한 통계학적 학습 알고리즘을 포함할 수 있다. 뉴럴 네트워크는 시냅스의 결합으로 네트워크를 형성한 인공 뉴런(노드)이 학습을 통해 시냅스의 결합 세기를 변화시켜, 문제 해결 능력을 가지는 모델 전반을 의미할 수 있다. 뉴럴 네트워크의 뉴런은 가중치 또는 바이어스의 조합을 포함할 수 있다. 뉴럴 네트워크는 하나 이상의 뉴런 또는 노드로 구성된 하나 이상의 레이어를 포함할 수 있다. 예시적으로, 장치는 input layer, hidden layer, output layer를 포함할 수 있다. 장치를 구성하는 뉴럴 네트워크는 뉴런의 가중치를 학습을 통해 변화시킴으로써 임의의 입력으로부터 예측하고자 하는 결과를 추론할 수 있다.
프로세서는 뉴럴 네트워크를 생성하거나, 뉴럴 네트워크를 훈련(train, 또는 학습(learn)하거나, 수신되는 입력 데이터를 기초로 연산을 수행하고, 수행 결과를 기초로 정보 신호를 생성하거나, 뉴럴 네트워크를 재훈련할 수 있다. 뉴럴 네트워크의 모델들은 GoogleNet, AlexNet, VGG Network 등과 같은 CNN, R-CNN, RPN, RNN, S-DNN, S-SDNN, Deconvolution Network, DBN, RBM, Fully Convolutional Network, LSTM Network, Classification Network 등 다양한 종류의 모델들을 포함할 수 있으나 이에 제한되지는 않는다. 프로세서는 뉴럴 네트워크의 모델들에 따른 연산을 수행하기 위한 하나 이상의 프로세서를 포함할 수 있다. 예를 들어 뉴럴 네트워크는 심층 뉴럴 네트워크를 포함할 수 있다.
뉴럴 네트워크는 CNN, RNN, 퍼셉트, 다층 퍼셉트론, FF(Feed Forward), RBF(Radial Basis Network), DFF(Deep Feed Forward), LSTM(Long Short Term Memory), GRU(Gated Recurrent Unit), AE(Auto Encoder), VAE(Variational Auto Encoder), DAE(Denoising Auto Encoder), SAE(Sparse Auto Encoder), MC(Markov Chain), HN(Hopfield Network), BM(Boltzmann Machine), RBM(Restricted Boltzmann Machine), DBN(Depp Belief Network), DCN(Deep Convolutional Network), DN(Deconvolutional Network), DCIGN(Deep Convolutional Inverse Graphics Network), GAN(Generative Adversarial Network), LSM(Liquid State Machine), ELM(Extreme Learning Machine), ESN(Echo State Network), DRN(Deep Residual Network), DNC(Differentiable Neural Computer), NTM(Neural Turning Machine), CN(Capsule Network), KN(Kohonen Network) 및 AN(Attention Network)를 포함할 수 있으나 이에 한정되는 것이 아닌 임의의 뉴럴 네트워크를 포함할 수 있음은 통상의 기술자가 이해할 것이다.
본 개시의 예시적인 실시예에 따르면, 프로세서는 GoogleNet, AlexNet, VGG Network 등과 같은 CNN(Convolution Neural Network), R-CNN(Region with Convolution Neural Network), RPN(Region Proposal Network), RNN(Recurrent Neural Network), S-DNN(Stacking-based deep Neural Network), S-SDNN(State-Space Dynamic Neural Network), Deconvolution Network, DBN(Deep Belief Network), RBM(Restrcted Boltzman Machine), Fully Convolutional Network, LSTM(Long Short-Term Memory) Network, Classification Network, Generative Modeling, eXplainable AI, Continual AI, Representation Learning, AI for Material Design, 자연어 처리를 위한 BERT, SP-BERT, MRC/QA, Text Analysis, Dialog System, GPT-3, GPT-4, 비전 처리를 위한 Visual Analytics, Visual Understanding, Video Synthesis, ResNet 데이터 지능을 위한 Anomaly Detection, Prediction, Time-Series Forecasting, Optimization, Recommendation, Data Creation 등 다양한 인공지능 구조 및 알고리즘을 이용할 수 있으며, 이에 제한되지 않는다. 이하, 첨부된 도면을 참조하여 본 개시의 실시예를 상세하게 설명한다.
도 1은 본 개시의 실시예에 따른 다중 인공지능 모델을 이용한 보안 관제 시스템(10)의 개략도이다.
최근 들어, 인공지능 모델을 보안 관제 분야에 적용하려는 시도가 이어지고 있다. 하지만, 보안 담당자의 입장에서는 인공지능 모델이 생성한 보안 관제 결과가 어떠한 방식으로 생성되었는지 알 수 없기 때문에 이를 완벽하게 신뢰하지 못하고 있다는 문제점이 있다.
본 개시의 실시예 다른 보안 관제 시스템(10)은 도 1과 같이 다중 인공지능 모델을 이용함으로써, 보안 관제에 대한 결과를 제공하는 것은 물론 보안 담당자에게 보안 관제 결과를 설명하는 정보들을 제공함으로써, 기존의 문제점을 해결하고자 한다.
아래에서는, 다른 도면들을 참조하여 본 개시의 실시예에 따른 다중 인공지능 모델을 이용한 보안 관제 시스템(10), 장치(100), 방법 및 프로그램에 관하여 상세하게 설명하도록 한다.
도 2는 본 개시의 실시예에 따른 다중 인공지능 모델을 이용한 보안 관제 장치(100)의 블록도이다.
도 2를 참조하면, 본 개시의 실시예에 따른 다중 인공지능 모델을 이용한 보안 관제 장치(100)는 프로세서(110), 통신부(120) 및 저장부(130)를 포함한다.
일 실시예로, 보안 관제 장치(100)는 서버 장치를 포함할 수 있으며, 보안 관제 서버로 구현될 수 있다.
다만, 몇몇 실시예에서 보안 관제 장치(100)는 도 2에 도시된 구성요소보다 더 적은 수의 구성요소나 더 많은 구성요소를 포함할 수도 있다.
프로세서(110)는 본 장치(100) 내의 구성요소들의 동작을 제어하기 위한 알고리즘 또는 알고리즘을 재현한 프로그램에 대한 데이터를 저장하는 저장부(130), 및 저장부(130)에 저장된 데이터를 이용하여 전술한 동작을 수행하는 적어도 하나의 프로세서(110)로 구현될 수 있다. 이때, 저장부(130)와 프로세서(110)는 각각 별개의 칩으로 구현될 수 있다. 또는, 저장부(130)와 프로세서(110)는 단일 칩으로 구현될 수도 있다.
또한, 프로세서(110)는 이하의 도면에서 설명되는 본 개시에 따른 다양한 실시 예들을 본 장치(100) 상에서 구현하기 위하여, 위에서 살펴본 구성요소들을 중 어느 하나 또는 복수를 조합하여 제어할 수 있다.
프로세서(110)는 상기 응용 프로그램과 관련된 동작 외에도, 통상적으로 본 장치(100)의 전반적인 동작을 제어할 수 있다. 프로세서(110)는 위에서 살펴본 구성요소들을 통해 입력 또는 출력되는 신호, 데이터, 정보 등을 처리하거나 저장부(130)에 저장된 응용 프로그램을 구동함으로써, 사용자에게 적절한 정보 또는 기능을 제공 또는 처리할 수 있다.
또한, 프로세서(110)는 저장부(130)에 저장된 응용 프로그램을 구동하기 위하여, 본 장치(100)의 구성요소들 중 적어도 일부를 제어할 수 있다. 나아가, 프로세서(110)는 상기 응용 프로그램의 구동을 위하여, 본 장치(100)에 포함된 구성요소들 중 적어도 둘 이상을 서로 조합하여 동작 시킬 수 있다.
통신부(120)는 보안 관제 장치(100)를 하나 이상의 네트워크에 연결하는 하나 이상의 모듈을 포함할 수 있다.
통신부(120)는 외부 장치와 통신을 가능하게 하는 하나 이상의 구성 요소를 포함할 수 있으며, 예를 들어, 방송 수신 모듈, 유선통신 모듈, 무선통신 모듈, 근거리 통신 모듈, 위치정보 모듈 중 적어도 하나를 포함할 수 있다.
유선 통신 모듈은, 지역 통신(Local Area Network; LAN) 모듈, 광역 통신(Wide Area Network; WAN) 모듈 또는 부가가치 통신(Value Added Network; VAN) 모듈 등 다양한 유선 통신 모듈뿐만 아니라, USB(Universal Serial Bus), HDMI(High Definition Multimedia Interface), DVI(Digital Visual Interface), RS-232(recommended standard232), 전력선 통신, 또는 POTS(plain old telephone service) 등 다양한 케이블 통신 모듈을 포함할 수 있다.
무선 통신 모듈은 와이파이(Wifi) 모듈, 와이브로(Wireless broadband) 모듈 외에도, GSM(global System for Mobile Communication), CDMA(Code Division Multiple Access), WCDMA(Wideband Code Division Multiple Access), UMTS(universal mobile telecommunications system), TDMA(Time Division Multiple Access), LTE(Long Term Evolution), 4G, 5G, 6G 등 다양한 무선 통신 방식을 지원하는 무선 통신 모듈을 포함할 수 있다.
무선 통신 모듈은 통신 신호를 송신하는 안테나 및 송신기(Transmitter)를 포함하는 무선 통신 인터페이스를 포함할 수 있다. 또한, 무선 통신 모듈은 프로세서(110)의 제어에 따라 무선 통신 인터페이스를 통해 프로세서(110)로부터 출력된 디지털 제어 신호를 아날로그 형태의 무선 신호로 변조하는 신호 변환 모듈을 더 포함할 수 있다.
근거리 통신 모듈은 근거리 통신(Short range communication)을 위한 것으로서, 블루투스(Bluetooth??), RFID(Radio Frequency Identification), 적외선 통신(Infrared Data Association; IrDA), UWB(Ultra-Wideband), ZigBee, NFC(Near Field Communication), Wi-Fi(Wireless-Fidelity), Wi-Fi Direct, Wireless USB(Wireless Universal Serial Bus) 기술 중 적어도 하나를 이용하여, 근거리 통신을 지원할 수 있다.
저장부(130)는 본 장치(100)의 다양한 기능을 지원하는 데이터를 저장할 수 있다. 저장부(130)는 본 장치(100)에서 구동되는 다수의 응용 프로그램(application program 또는 애플리케이션(application)), 본 장치(100)의 동작을 위한 데이터들, 명령어들을 저장할 수 있다. 이러한 응용 프로그램 중 적어도 일부는, 본 장치(100)의 기본적인 기능을 위하여 존재할 수 있다. 한편, 응용 프로그램은, 저장부(130)에 저장되고, 장치(100)에 설치되어, 프로세서(110)에 의하여 동작(또는 기능)을 수행하도록 구동될 수 있다.
저장부(130)는 본 장치(100)의 다양한 기능을 지원하는 데이터와, 프로세서(110)의 동작을 위한 프로그램을 저장할 수 있고, 입/출력되는 데이터들(예를 들어, 음악 파일, 정지영상, 동영상 등)이 저장될 수 있고, 본 장치(100)에서 구동되는 다수의 응용 프로그램(application program 또는 애플리케이션(application)), 본 장치(100)의 동작을 위한 데이터들, 명령어들을 저장할 수 있다. 이러한 응용 프로그램 중 적어도 일부는, 무선 통신을 통해 외부 서버로부터 다운로드 될 수 있다.
이러한, 저장부(130)는 플래시 메모리 타입(flash memory type), 하드디스크 타입(hard disk type), SSD 타입(Solid State Disk type), SDD 타입(Silicon Disk Drive type), 멀티미디어 카드 마이크로 타입(multimedia card micro type), 카드 타입의 메모리(예를 들어 SD 또는 XD 저장부(130) 등), 램(random access memory; RAM), SRAM(static random access memory), 롬(read-only memory; ROM), EEPROM(electrically erasable programmable read-only memory), PROM(programmable read-only memory), 자기 메모리, 자기 디스크 및 광디스크 중 적어도 하나의 타입의 저장매체를 포함할 수 있다. 또한, 저장부(130)는 본 장치(100)와는 분리되어 있으나, 유선 또는 무선으로 연결된 데이터베이스가 될 수도 있다.
또한, 저장부(130)는 보안 관제 장치(100)를 위한 복수의 프로세스를 구비할 수 있다.
도 3 및 도 4는 본 개시의 실시예에 따른 다중 인공지능 모델을 이용한 보안 관제 방법의 흐름도이다.
도 5는 분류형 모델(131), 설명형 모델(132) 및 생성형 모델(133) 각각의 동작을 예시한 도면이다.
각 모델에 대하여 개략적으로 설명하면, 분류형 모델(131)은 인공지능이 어떤 기준에 따라 특정 행위를 이상 또는 정상 상태로 탐지했는지 분류해주는 모델이며, 설명형 모델(132)는 SHAP 등과 같은 알고리즘이나 기존의 패턴 기반으로 인공지능 예측 결과에 대하여 설명해주는 모델이고, 생성형 모델(133)은 특정 보안 데이터에 대해 AI 모델이 판단한 근거를 알려주는 자연어 형태의 설명을 토대로 알려주는 온라인 서비스일 수 있다.
프로세서(110)는 분류형 모델(131)을 통해 공격 여부를 판단하고, 기존 시그니처 기반의 분석과 비교하고, 설명형 모델(132)를 통해 설명 가능한 AI를 통해 설명을 획득하고, 탐지 가능한 장비 및 공격에 대한 설명과 대응방안을 획득할 수 있다.
프로세서(110)는 생성형 모델(133)을 통해서 해당 공격은 어떤 취약점을 이용한 공격인지, Cyber Kill Chain 기반의 대응방안, MITRE ATT&CK 기반의 설명, 관련 탐지정책(Snort Rule, Sigma Rule)을 생성한 결과를 획득할 수 있게 된다.
도 3 내지 도 5를 참조하여 본 개시의 실시예에 따른 다중 인공지능 모델을 이용한 보안 관제 방법의 프로세스를 설명하도록 한다.
프로세서(110)가 통신부(120)를 통해 보안 이벤트를 수집하고, 수집된 보안 이벤트에서 복수의 피처를 추출한다. (S100)
프로세서(110)는 수집된 보안 이벤트를 전처리하고, 전처리된 보안 이벤트에서 복수의 피처(Feature)를 추출할 수 있다. 복수의 피처를 추출하는 동작 또한 전처리에 해당되므로 전처리 동작에 대해서 한정되는 것은 아니다.
피처 추출은 TF-IDF 등과 같은 워드 임배딩 방법과 도메인 지식의 패턴 추출 방법을 사용할 수 있다.
몇몇 실시예에서, 저장부(130)는 이벤트 분류 알고리즘이 저장될 수 있으며, 프로세서(110)는 이벤트 분류 알고리즘을 이용하여 통신부(120)를 통해 수집되는 이벤트를 분류하고, 보안 관제에 해당하는 이벤트만 보안 이벤트로 분류할 수 있다.
일 실시예로, 보안 관제 장치(100)는 보안 이벤트에서 피처를 추출하는 피처 추출부를 더 포함할 수 있으며, 피처 추출부 또는 저장부(130)는 보안 이벤트에서 피처를 추출하기 위한 알고리즘이 저장되어 있을 수 있다.
프로세서(110)가 피처 추출부를 제어하여 복수의 피처를 추출하는 방법은 다양한 방법이 적용될 수 있으며, 일 실시예로, 감시 대상 보안 장치의 특징, 보안 트랜드, 보안 담당자로부터 입력된 보안 키워드, 각 보안 키워드에 설정된 보안 등급 중 적어도 하나를 기반으로 보안 이벤트에서 피처를 추출할 수 있다.
따라서, 피처 추출부는 항상 동일한 방법으로 피처를 추출하는 것으로 한정되는 것은 아니며, 상기 설명한 바와 같이 실시예에 따라 상황에 맞게 유동적으로 피처를 추출할 수도 있다.
또한, 몇몇 실시예에서, 피처 추출부는 생성형 모델(133)로부터 생성된 제2 결과 데이터에서 적어도 하나의 키워드를 추출할 수 있으며, 기 설정된 시간 동안 추출된 키워드를 상기 보안 키워드를 설정할 수도 있고, 각 키워드마다 보안 중요도를 산출할 수도 있다.
복수의 피처는 보안 이벤트의 특징을 나타내는 데이터로, 보안 이벤트의 ID, 보안 이벤트의 발생 시간, 보안 이벤트의 발생 위치, 보안 이벤트의 유형 및 보안 이벤트의 대상 중 적어도 하나의 특징을 포함할 수 있다.
프로세서(110)가 추출한 복수의 피처를 분류형 모델(131)에 입력하고, 분류 결과를 획득한다. (S200)
프로세서(110)는 상기 추출된 복수의 피처를 분류형 모델(131)에 입력하고, 분류형 모델(131)이 복수의 피처에 대하여 분류한 결과(이하, '분류 결과')를 획득할 수 있다.
상세하게는, 프로세서(110)는 전처리된 보안 이벤트에서 추출된 복수의 피처 또는 전처리된 복수의 피처를 분류형 모델(131)에 입력하여 학습시키고, 분류형 모델(131)은 학습 결과로 분류 결과를 출력할 수 있다.
프로세서(110)가 추출한 복수의 피처를 설명형 모델(132)에 입력하고, 설명 결과를 획득한다. (S300)
프로세서(110)는 상기 추출된 복수의 피처를 설명형 모델(132)에 입력하고, 설명형 모델(132)이 복수의 피처에 대하여 설명한 결과(이하, '설명 결과')를 획득할 수 있다.
상세하게는, 프로세서(110)는 전처리된 보안 이벤트에서 추출된 복수의 피처 또는 전처리된 복수의 피처를 설명형 모델(132)에 입력하여 학습시키고, 설명형 모델(132)은 학습 결과로 설명 결과를 출력할 수 있다.
프로세서(110)가 S200의 분류 결과 및 S300의 설명 결과를 기반으로 제1 결과 데이터를 생성한다. (S400)
일 실시예로, 프로세서(110)는 분류 결과, 설명 결과와 복수의 피처를 기반으로 제1 결과 데이터를 생성할 수 있다.
본 개시의 실시예에서, 보안 관제 장치(100)는 복수의 인공지능 모델을 순차적으로 이용함으로써, 과제를 해결할 수 있다.
상세하게는, 분류형 모델(131)은 복수의 피처를 학습하여 보안 이벤트에 대한 예측 결과를 출력할 수 있으며, 이때 예측 결과는 보안 이벤트의 정상 이벤트 또는 비정상 이벤트 여부를 포함할 수 있다.
프로세서(110)는 분류형 모델(131)을 통해 생성된 분류 결과를 설명형 모델(132)에 입력할 수 있다.
설명형 모델(132)은 복수의 피처 및 분류 결과를 학습하여 상기 설명 결과를 출력할 수 있다.
상세하게는, 설명형 모델(132)은 복수의 피처 및 분류형 모델(131)이 생성한 분류 결과를 학습하고, 학습된 결과를 기반으로 상기 분류 결과가 나오게 된 다양한 이유를 데이터로 설명한다.
설명형 모델(132)의 알고리즘으로는 SHAP 또는 LIME 등이 사용될 수 있다.
즉, 설명형 모델(132)는 분류형 모델(131)이 어떤 기준에 따라 특정 행위(이벤트)를 이상 또는 정상으로 탐지했는지 설명할 수 있다.
또한, 설명형 모델(132)은 복수의 피처 및 분류 결과를 함께 분석하여, 분류형 모델(131)이 상기 보안 이벤트를 상기 분류 결과와 같이 분류한 이유에 대하여 설명할 수 있다.
즉, 설명형 모델(132)이 설명한 설명 결과는 보안 이벤트가 발생한 원인에 대한 설명, 분류형 모델(131)이 분류 결과와 같이 분류한 이유에 대한 설명을 포함할 수 있다.
본 개시의 실시예에서, 복수의 피처는 보안 이벤트의 특징을 나타내는 데이터로, 보안 이벤트의 ID, 보안 이벤트의 발생 시간, 보안 이벤트의 발생 위치, 보안 이벤트의 유형, 보안 이벤트의 대상, 보안 이벤트에 대한 소스, 보안 이벤트에 대한 설명 및 보안 이벤트에 대한 데이터를 포함할 수 있다.
보안 이벤트의 ID는 보안 이벤트의 고유 식별자로, 보안 이벤트를 식별하는데 사용될 수 있고, 보안 이벤트 시간은 보안 이벤트가 발생한 시간을 추적하는데 사용될 수 있고, 보안 이벤트의 소스는 보안 이벤트의 원인을 식별하는데 사용될 수 있다. 보안 이벤트의 유형, 설명 및 데이터는 보안 이벤트의 세부 정보를 식별/제공하는데 사용될 수 있다.
일 실시예로, 설명형 모델(132)은 설명에 대한 대응방안을 제시할 수 있다.
설명형 모델(132)은 분류형 모델(131)의 분류 결과에 대해서 설명하고, 기존의 시그니쳐 기반
설명형 모델(132)은 보안 이벤트 로그를 관리함으로써 보안 이벤트에 대한 정보를 수집하고 저장할 수 있으며, 보안 이벤트 로그를 관리함으로써 보안 이벤트를 추적하고 분석할 수 있다.
설명형 모델(132)은 보안 분석 도구를 이용하여 보안 이벤트를 분석하고 조사할 수 있으며, 보안 분석 도구를 사용함으로써 보안 이벤트를 보다 신속하고 쉽게 분석할 수 있다.
설명형 모델(132)은 보안 침해 케이스에 따른 대응 방안이 저장되어 있으며, 보안 이벤트에 대한 대응 방안을 포함하는 설명 결과를 생성할 수 있다.
일 실시예로, 설명형 모델(132)은 분류형 모델(131)이 상기 분류 결과와 같이 분류하는데 복수의 피처 각각이 미친 정도를 의미하는 상기 복수의 피처 각각에 대한 중요도를 산출할 수 있다.
프로세서(110)가 제1 결과 데이터를 기반으로 생성형 모델(133)을 학습시킨다. (S500)
도 6은 분류 결과와 설명 결과를 기반으로 생성형 모델(133)을 위한 프롬프트를 생성하는 것을 예시한 도면이다.
전술한 실시예와 도 6을 참조하면, 분류형 모델(131)이 생성한 분류 결과는 보안 이벤트에 대하여 예측한 결과를 포함하고, 설명형 모델(132)이 생성한 설명 결과는 보안 이벤트가 발생한 원인에 대한 설명, 분류형 모델(131)이 보안 이벤트를 분류 결과와 같이 분류한 이유에 대한 설명 및 복수의 피처 각각에 대하여 산출된 중요도를 포함할 수 있다.
프로세서(110)는 위와 같은 분류 결과, 설명 결과를 포함하는 제1 결과 데이터를 기반으로, 생성형 모델(133)에 입력하기 위한 프롬프트를 생성할 수 있으며, 생성된 프롬프트를 생성형 모델(133)에 입력한다.
생성형 모델(133)은 기존 콘텐츠에 대한 학습을 토대로 새로운 콘텐츠를 생성할 수 있다.
일 실시예로, 도 5를 참조하면 프로세서(110)는 분류 결과와 설명 결과를 전처리하고, 전처리된 데이터에 대하여 프롬프트 엔지니어링을 진행하여 설명형 모델(132)에 입력하기 위한 프롬프트를 생성할 수 있다.
몇몇 실시예에서, 보안 관제 장치(100)는 제1 결과 데이터를 기반으로 프롬프트를 생성하기 위해 미리 학습된 프롬프트 생성 모델을 더 포함할 수 있다.
그리고, 프롬프트 생성 모델은 생성된 프롬프트에 대한 보안 담당자 또는 설명형 모델(132)로부터의 피드백을 학습하고, 학습된 결과를 기반으로 업데이트된 프롬프트를 출력할 수도 있다.
프로세서(110)는 프롬프트와 보안 이벤트에 대하여 출력된 복수의 피처를 함께 생성형 모델(133)에 입력할 수도 있다.
프로세서(110)가 생성형 모델(133)로부터 보안 이벤트에 대한 제2 결과 데이터를 획득한다. (S600)
생성형 모델(133)은 입력된 프롬프트에 대하여 제2 결과 데이터를 출력하며, 제2 결과 데이터는 보안 이벤트에 대한 설명, 보안 이벤트에 대한 특징, 보안 이벤트의 중요도, 보안 이벤트가 중요한 이유 및 보안 이벤트에 대한 대응 방법 중 적어도 하나를 포함할 수 있다.
보안 이벤트에 대한 특징은 보안 이벤트를 식별하고 설명하는데 사용되는 데이터 포인트이고, 보안 이벤트에 대한 설명은 보안 이벤트가 무엇을 의미하는지 왜 중요한 이벤트인지에 관한 설명일 수 있고, 대응 방법은 보안 이벤트를 완화하거나 방지하기 위한 방법일 수 있다.
보안 이벤트에 대한 특징은 해당 보안 이벤트에 대하여 주의할 점, 해당 보안 이벤트의 과거 이력에 의한 피해, 해당 보안 이벤트가 다른 보안 이벤트와 다른점 등을 포함할 수 있다.
보안 이벤트에 대한 정보는 보안 담당자에게 해당 보안 이벤트를 설명하기 위한 정보를 포함하고 있다.
보안 이벤트에 대한 중요도는 해당 보안 이벤트가 감시 대상 자산에게 중요한 정도를 의미하며, 위험도나 심각도를 의미할 수도 있다.
생성형 모델(133)이 생성하는 제2 결과 데이터는 텍스트, 이미지, 영상 및 오디오 중 적어도 하나를 포함할 수 있으며, 생성형 모델(133)은 보안 담당자를 위해 자연어 처리를 통해서 제2 결과 데이터를 생성할 수 있다.
자연어 처리는 컴퓨터가 인간의 언어를 이해, 생성, 조작할 수 있도록 하는 인공지능으로, 인간이 텍스트, 음성 언어를 이해하는 방식으로 언어를 처리하는 것을 의미한다.
기계 학습은 데이터에서 패턴을 식별하고 예측 모델을 만드는데 사용되는 기술로, 기계 학습은 보안 이벤트를 식별하고 설명하는데 사용하 수 있으며, 빅데이터 분석은 대규모 데이터 세트에서 패턴을 식별하고 통찰력을 얻는데 사용되는 기술로, 빅데이터 분석은 보안 이벤트를 식별하고 설명하는데 사용할 수 있다.
즉, 프로세서(110)는 생성형 모델(133)이 자연어 처리를 통해 제2 결과 데이터를 생성하도록 할 수 있다.
생성형 모델(133)은 제2 결과 데이터를 생성하는 과정에서 동시에 자연어 처리 프로세스를 진행함으로써, 자연어 처리된 제2 결과 데이터를 생성할 수도 있고, 몇몇 실시예에서, 생성형 모델(133)은 제2 결과 데이터를 생성한 후에 자연어 처리 프로세스를 거쳐서 제3 결과 데이터를 생성할 수도 있다.
상술한 실시예에 따르면, 보안 관제 장치(100)는 보안 이벤트의 수집으로부터 분류형 모델(131), 설명형 모델(132) 및 생성형 모델(133)의 순서로 출력값(결과값)을 획득하며, 분류형 모델(131) 및 설명형 모델(132)은 생성형 모델(133)보다 더 많은 데이터가 학습 데이터로 입력되고, 분류형 모델(131) 및 설명형 모델(132)은 생성형 모델(133)보다 더 많은 테스트 데이터로 검증되는 것을 특징으로 한다.
도 7은 생성형 모델(133)을 통해 생성된 제2 결과 데이터가 보안 담당자에게 설명이 가능하도록 생성되었는지 검증하는 프로세스를 예시한 도면이다.
도 7을 참조하면, 본 개시의 실시예에 따른 보안 관제 장치(100)는 생성형 모델(133)이 생성한 제2 결과 데이터가 보안 담당자에게 충분하게 설명이 가능하도록 생성되었는지 검증/확인할 수 있다.
프로세서(110)는 생성형 모델(133)을 통해 생성된 제2 결과 데이터를 미리 학습된 검증 모델(134)에 입력하고, 검증 모델(134)의 검증 결과를 기반으로 제2 결과 데이터가 보안 담당자에게 설명이 가능하도록 생성되었는지 확인할 수 있다.
일 실시예로, 검증 모델(134)은 제2 결과 데이터가 보안 담당자에게 어느 정도의 설명이 가능할 지 완성도를 산출할 수 있으며, 기 설정된 완성도에 부합하지 않는 경우 프로세서(110)는 도 7과 같이 프롬프트 재생성을 요청할 수 있다.
검증 모델(134)은 기 설정된 완성도에 부합하지 않는 경우, 제2 결과 데이터에서 어느 부분이 기 설정된 완성도에 부합하지 못하는지 산출할 수 있다.
몇몇 실시예에서, 검증 모델(134)은 제2 결과 데이터를 제2 결과 데이터의 내용을 기반으로 복수의 부분 데이터로 분할할 수 있으며, 분할된 복수의 부분 데이터 각각에 대하여 보안 담당자에 대한 완성도를 산출할 수 있다. 이는, 분할된 복수의 부분 데이터 각각이 보안 담당자가 이해할 수 있는 내용인지 완성도를 산출하는 것을 의미하며, 검증 모델(134)은 보안 담당자가 완벽하게 이해할 수 있는 내용이라고 판단되면 100점에 가까운 점수를 산출할 수 있다. (100점 만점으로 가정)
검증 모델(134)은 복수의 분할된 부분 데이터 중에서 기 설정된 완성도에 부합하지 않는 부분에 대하여 완성도가 부족한 원인을 파악할 수 있으며, 이를 기반으로 완성도가 부족한 부분의 완성도가 상승되도록 프롬프트 재생성을 요청할 수 있다.
일 실시예로, 프로세서(110)는 제2 결과 데이터가 전달되어야 하는 보안 담당자의 정보를 기반으로 제2 결과 데이터에 대한 완성도를 산출할 수 있다.
프로세서(110)는 저장부(130)에 저장되어 있는 보안 담당자의 전문 분야, 경력, 보안 관제 장치(100) 이용 내역, 이용 기간을 기반으로 제2 결과 데이터에 대한 상기 완성도를 산출할 수 있다.
예를 들어, 해당 보안 담당자가 제2 결과 데이터와 관련된 내용을 알 수 있는 전문 분야에 해당하고, 보안 관제 장치(100) 이용 내역을 확인한 결과 제2 결과 데이터와 관련되었거나 유사도가 있는 보안 이벤트의 케이스를 경험하였다면, 검증 모델(134)은 제2 결과 데이터에 대한 완성도를 높게 산출함으로써, 생성형 모델(133)이 생성한 제2 결과 데이터가 해당 보안 담당자에게 충분하게 설명이 가능하도록 생성된 것으로 판단할 수 있다.
반대로, 해당 보안 담당자가 제2 결과 데이터와 관련된 내용을 이해하기 어려운 전문 분야에 해당하고, 보안 관제 장치(100) 이용 내역을 확인한 결과 제2 결과 데이터와 관련되었거나 유사도가 있는 보안 이벤트의 케이스를 경험하지 못하였거나 경험한 횟수가 적다면, 검증 모델(134)은 제2 결과 데이터에 대한 완성도를 낮게 산출함으로써, 생성형 모델(133)이 생성한 제2 결과 데이터가 해당 보안 담당자에게 충분하게 설명이 가능하도록 생성되지 못한 것으로 판단할 수 있다.
그리고, 프로세서(110)는 제2 결과 데이터 내에서 해당 보안 담당자가 이해할 수 없을 것으로 판단되는 부분에 대하여 보다 상세하거나, 해당 보안 담당자가 이해할 수 있는 표현이 포함되도록 요청하는 프롬프트로 재생성을 요청함으로써, 다시 생성된 제2 결과 데이터가 해당 보안 담당자에게 충분히 설명이 가능하게 생성되도록 할 수 있다.
몇몇 실시예에서, 검증 모델(134)은 설명형 모델(132)이 적용될 수 있다.
이상으로 설명한 본 개시의 실시예에 따른 다중 인공지능 모델을 이용한 보안 관제 시스템(10), 장치(100), 방법은 다중 인공지능 모델이 내놓은 답변(결과)을 비교, 확인함으로써 보안 담당자와 보안 담당 조직의 보안 역량을 향상시킬 수 있다.
아래에서는 본 발명의 실시예에 적용 가능한 인공지능 모델들에 대해서 설명하도록 한다.
도 8은 ANN (Artificial Neural Network) 모델을 예시한 도면이다.
도 8을 참조하면, ANN 모델에 예시되어 있다.
머신러닝의 한 분야인 딥러닝은 인공신경망 (Artificial Neural Network)을 기초로 하며, 인공신경망이라 불리는 ANN은 사람의 신경망 원리와 구조를 모방하여 만든 기계학습 알고리즘이다.
인공신경망(ANN)은 인간의 신경망 원리와 인간의 뉴런 구조를 모방하여 만든 기계학습 모델(알고리즘)으로 모든 비선형 함수를 학습하고, 모든 입력을 출력에 매핑하는 가중치를 학습할 수 있는 능력이 있다.
인공신경망(ANN)은 다수의 입력 데이터를 받는 입력층(Input), 데이터의 출력을 담당하는 출력층(Output), 입력층과 출력층 사이에 존재하는 은닉층(Hidden Layer)로 구성되며, 은닉층은 활성화 함수를 사용하여 최적의 가중치(weight)와 Bias를 찾는 역할을 한다.
도 9 및 도 10은 CNN (Convolutional Neural Network) 모델을 예시한 도면이다.
도 9를 참조하면, CNN 모델이 예시되어 있다.
CNN (Convolutional Neural Network, 합성곱 신경망)은 DNN에서 이미지나 영상과 같은 데이터 처리 과정에서 발생하는 문제점들을 보완한 것이다. CNN은 입력 계층, 출력 계층 그리고 그 사이에 여러 개의 은닉 계층으로 구성된다.
CNN은 크게 두가지로 분류되며, 하나는 특징을 추출하는 Feature Extraction 다른 하나는 Feature Extraction을 통과한 이후에 결과값을 도출해주는 Classification이다. 이때, Convolution Layer와 Pooling Layer가 섞여있는 것이 Feature Extraction이고, Fully-Connected Layer로 이루어진 것이 Classification이다.
인간의 시신경 구조를 모방한 기술로 특징맵을 생성하는 필터까지도 학습이 가능해 비전(vision) 분야에서 성능이 우수하며, 이미지를 인식하기 위해 패턴을 찾는데 특히 융용하다. 또한, CNN은 데이터를 직접 학습하고 패턴을 사용해 이미지를 분류할 수 있기 때문에 자율주행 자동차, 얼굴 인식과 같은 객체 인식이나 Computer vision이 필요한 분야에서 활용도가 높다.
도 11은 DNN (Deep Neural Network) 모델을 예시한 도면이다.
도 11을 참조하면, DNN 모델이 예시되어 있다.
DNN은 ANN의 문제를 해결하기 위해 입력층(Input Layer)와 출력층(Output Layer) 사이에 은닉층이 3개 이상 구성되도록 하는 학습 방법이다.
컴퓨터가 스스로 분류 레이블을 만들어내고 공간을 왜곡하고 데이터를 구분하는 과정을 반복하여 최적의 구분선을 도출해낸다. 많은 데이터와 반복 학습이 필요하며 사전 학습과 오류 역전파 기법을 통해 현재 널리 사용되고 있으며, DNN을 응용한 알고리즘은 CNN, RNN 등이 있다.
도 12는 RNN (Recurrent Neural Network) 모델을 예시한 도면이다.
도 12를 참조하면, RNN 모델이 예시되어 있다.
순환신경망(RNN)은 순차 데이터나 시계열 데이터를 이용하는 인공 신경망 유형으로, 언어 변환, 자연어 처리(nlp), 음성 인식, 이미지 캡션과 같은 순서 문제나 시간 문제에 흔히 사용된다.
그리고 Siri, 음성 검색, Google 번역과 같이 널리 쓰이는 애플리케이션에도 통합되어 있으며, 피드포워드 및 컨볼루션 신경망(CNN)처럼 순환 신경망은 학습하는데 훈련 데이터를 활용한다. 기존의 딥 신경망에서는 입력과 출력이 상호 독립적이라고 가정하지만, 순환 신경망의 출력은 시퀀스 내의 이전 요소에 의존한다.
순환 신경망의 또 다른 특징은 네트워크의 각 계층에서 매개변수를 공유한다는 것이며, 피드포워드 네트워크는 각 노드에서 여러 다른 가중치를 갖지만, 순환 신경망은 네트워크의 각 계층 내에서 같은 가중치 매개변수를 공유한다. 즉, 강화 학습을 촉진하기 위해 역전파 및 기울기 하강 프로세스를 진행하는 동안 이 가중치가 계속 조정된다.
도 13 및 도 14는 DBN (Deep Belief Network) 모델을 예시한 도면이다.
도 13 및 도 14를 참조하면, DBN 모델이 예시되어 있다.
심층 신뢰 신경망(Deep Belief Network, DBN)이란 기계학습에서 사용되는 그래프 생성 모형(generative graphical model)으로, 딥 러닝에서는 잠재변수(latent variable)의 다중계층으로 이루어진 심층 신경망을 의미한다. DBN은 계층 간에는 연결이 있지만 계층 내의 유닛 간에는 연결이 없다는 특징이 있다.
DBN은 생성 모형이라는 특성상 선행학습에 사용될 수 있고, 선행학습을 통해 초기 가중치를 학습한 후 역전파 혹은 다른 판별 알고리즘을 통해 가중치의 미조정을 할 수 있다. 이러한 특성은 훈련용 데이터가 적을 때 굉장히 유용한데, 이는 훈련용 데이터가 적을수록 가중치의 초기값이 결과적인 모델에 끼치는 영향이 세지기 때문이다.
선행학습된 가중치 초기값은 임의로 설정된 가중치 초기값에 비해 최적의 가중치에 가깝게 되고 이는 미조정 단계의 성능과 속도향상을 가능하게 한다.
DBN은 비지도 방식으로 계층마다 학습을 진행하는데 이때 각각의 계층은 보통 RBM의 형태를 띄고 있다. RBM들을 쌓아 올리면서 DBN을 훈련시키는 방법에 대한 설명은 아래에 제공 되어 있다. RBM은 에너지 기반의 생성 모형으로 가시 유닛과 은닉 유닛으로 이루어진 무방향 이분 그래프 형태이다. 가시 유닛들과 은닉 유닛들 사이에만 연결이 존재한다.
RBM이 훈련되고 나면 다른 RBM이 그 위에 쌓아 올려짐으로써 다중 계층 모형을 형성한다. RBM이 쌓아 올려질 때마다, 이미 훈련된 RBM의 최상위 계층이 새로 쌓이는 RBM의 입력으로 쓰인다. 이 입력을 이용하여 새 RBM이 훈련되고, 원하는 만큼의 계층이 쌓일 때까지 해당 과정이 반복된다.
도 15는 DQN (Deep Q-Network)을 예시한 도면이다.
도 15를 참조하면, DQN이 예시되어 있다.
DQN은 CNN(Convolution Neural Network)을 이용하여 Q 함수를 학습하는 강화학습 기법이다. Q 함수는 강화학습에서 상태-액션 조합의 질을 계산하는 함수를 말한다.
DQN은 Q-learning 의 한계점을 극복하기 위하여 출현되었다. Q-learning은 에이전트가 특정 상황에서 특정 행동을 하라는 최적의 정책을 배우는 것으로, 현재 상태로부터 시작하여 모든 연속적인 단계들을 거쳤을 때 전체 보상의 예측값을 극대화시킨다. 하지만, 이러한 Q-learning은 실제로 실행시켜 보면 잘 동작하지 않는 경우가 빈번하다. 순차적인 샘플 데이터 간의 상관관계(Correlation)로 인해 학습이 어렵고 예측한 값을 비교해야 하는 값(Target)이 안정되어 있지 않다는 문제점이 있다. 이러한 이유들로 인하여 실제로 Q-learning이 잘 동작하지 않게 된다
DQN은 이러한 Q-learning의 한계점을 극복하기 위하여 다음과 같은 기법들을 사용한다. 먼저, 경험 재생 버퍼(Experience Replay Buffer)를 사용하며, 목표값 신경망(Target Neural Network)과 예측값 신경망(Predict Neural Network)으로 네트워크를 분리한다. 경험 재생 버퍼는 순차적인 샘플 데이터간의 상관관계를 해결하기 위하여 사용된다. 에이전트의 상태가 변경된 즉시 훈련시키지 않고 일정 수의 샘플이 수집될 동안 기다리게 된다. 후에 일정한 수의 샘플이 버퍼에 쌓이게 되면, 무작위로 샘플을 추출해서 미니배치를 이용해 학습을 한다.
이때 하나의 샘플에는 상태, 행동, 보상, 다음 상태가 저장된다. 여러 개의 샘플로 학습을 수행한 결과들을 모두 수렴해서 결과를 내기 때문에 상관 관계 문제를 해결할 수 잇다. 또한, 하나의 네트워크를 사용하면 목표 Q값이 계속 변경되므로 목표값이 변하는 것을 막기 위해 목표값을 출력으로 도출하는 목표값 신경망과 Q값을 예측하는 신경망을 분리한다. 이때 두개의 네트워크는 가중치 파라미터를 제외한 모든 것이 같은 네트워크로 정의해 준다. 예측한 Q값의 안정된 수렴을 위하여, 목표값 신경망은 계속 업데이트하는 것이 아니라 주기적으로 한 번씩 업데이트시키는 것이 바람직하다.
도 16은 BM (Boltzmann Machine)을 예시한 도면이다.
도 17은 RBM (Restricted Boltzmann Machine)을 예시한 도면이다.
도 16을 참조하면, BM이 예시되어 있고, 도 17을 참조하면, RBM이 예시되어 있다.
볼츠만 머신(BM)은 통계물리학의 에너지 개념을 도입한 마르코프 모델의 일종으로, 에너지와 확률의 은유 관게를 활용하여 노드들이 가질 수 있는 값들의 집합에 대한 확률분포를 정의한 신경 모델이다. 은닉층과 가시층으로 나누어진 노드와 노드 사이를 잇는 간선으로 구성된다.
은닉층간, 가시층간 노드의 가중치를 0으로 설정하면 제한적 볼츠만 머신(RBM)이 된다. 제한적 볼츠만 머신(RBM)은 더 깊은 신경망을 갖고, 가시 유닛이 관찰되고 고정되었을 때 은닉 유닛을 추론하는 마르코프 연쇄 몬테카를로 방법 (MCMC) 과정이 단 한번에 끝난다는 이점이 있다. 이 모델은 심층신뢰망 (DBN, Deep Belief Network)의 기본 뼈대가 된다.
도 18은 본 개시의 실시예에 따른 보안 관제 시스템(10)의 블록도이다.
도 18에 도시된 보안 관제 서버(200)는 도 2를 통해 설명한 보안 관제 장치가 서버 장치를 포함하도록 구성된 것일 수 있다.
보안 관제 서버(200)는 프로세서(210), 통신부(220) 및 저장부(230)를 포함할 수 있으며, 프로세서(210)은 프로세서(110)과 대응되는 구성이고, 통신부(220)은 통신부(120)과 대응되는 구서이고, 저장부(230)는 저장부(130)와 대응되는 구성이다.
클라이언트 장치(300)는 보안 관제 서버(200)에서 다중 인공지능 모델을 이용하여 생성한 결과 데이터를 수신하는 장치로, 보안 관제 서버(200)로부터 수신된 결과 데이터를 보안 자산에 적용하여 보안 피해를 사전에 방지할 수 있도록 할 수 있다.
클라이언트 장치(300)는 중앙처리장치(310), 수신부, 저장부(330) 및 웹클라이언트(340)를 포함한다.
저장부(330)는 중앙처리장치(310)가 프로세스를 수행하기 위한 인스트럭션이 저장될 수 있다.
중앙처리장치(310)는 클라이언트 장치(300)의 CPU, 프로세서를 의미하며, 통신부(320), 저장부(330) 및 웹클라이언트(340)와 같은 클라이언트 장치(300) 내 구성들을 제어할 수 있다.
통신부(320)의 기본적인 기능은 이미 전술하였으므로 상세한 설명은 생략하도록 한다.
통신부(320)는 보안 관제 서버(200)에서 생성된 제2 결과 데이터를 수신할 수 있다.
웹클라이언트(340)(Web-Client)는 통신부(320)를 통해 수신된 제2 결과 데이터를 보안 자산에 적용할 수 있다.
일 실시예로, 통신부(320)는 보안 관제 서버(200)에서 생성된 제1 결과 데이터 및 제2 결과 데이터 중에서 적어도 하나를 수신할 수 있다.
저장부(330)는 보안 관제 서버(200)로부터 수신된 제2 결과 데이터를 보안 자산에 적용하는 알고리즘이 저장될 수 있다. 일 실시예로, 저장부(330)는 인공지능 모델이 저장되어 있을 수 있으며, 인공지능 모델은 수신된 제2 결과 데이터를 분석하고 분석된 결과를 통해 제2 결과 데이터에 상응하는 대응책을 보안 자산에 적용함으로써, 클라이언트의 보안 자산에 피해가 발생하지 않도록 할 수 있다.
몇몇 실시예에서, 통신부(320)는 보안 관제 서버(200)에서 생성된 제1 결과 데이터 또는 제1 결과 데이터를 기반으로 생성된 프롬프트를 수신할 수 있으며, 저장부(330)에 생성형 모델이 저장되어 있을 수 있다.
중앙처리장치(310)는 웹클라이언트(340)를 제어하여 제1 결과 데이터를 기반으로 생성형 모델에 입력하기 위한 프롬프트를 생성하고, 생성된 프롬프트를 생성형 모델에 입력하여 제2 결과 데이터를 획득할 수 있다.
또는, 중앙처리장치(310)는 웹클라이언트(340)를 제어하여 프롬프트를 생성형 모델에 입력하여 제2 결과 데이터를 획득할 수 있다.
중앙처리장치(310)는 제2 결과 데이터에 상응하는 대응책을 보안 자산에 적용하고 기 설정된 시간 후에 보안 자산에 이상 상태, 공격이 발생하지 않은 경우, 제2 결과 데이터에 상응하는 대응책에 의해 보안 관제가 성공한 것으로 판단할 수 있다.
클라이언트 장치(300)는 통신부(320), 저장부(330), 통신부(320)를 통해 보안 관제 서버(200)로부터 수신되는 제1 결과 데이터 및 제2 결과 데이터 중 적어도 하나를 보안 자산에 적용하는 웹클라이언트(340) 및 중앙처리장치(310)를 포함할 수 있다.
이때, 보안 관제 서버(200)는 통신부(320)(120)를 통해 수집되는 보안 이벤트에서 추출된 복수의 피처를 분류형 모델에 입력하여 복수의 피처에 대한 분류 결과를 획득하고, 복수의 피처를 설명형 모델에 입력하여 복수의 피처에 대한 설명 결과를 획득하고, 분류 결과 및 설명 결과를 기반으로 제1 결과 데이터를 생성하고, 제1 결과 데이터를 생성형 모델에 입력하여 제2 결과 데이터를 획득하고, 획득한 제2 결과 데이터를 클라이언트 장치(300)로 전송할 수 있다.
이외에 보안 관제 서버(200)의 동작은 전술한 보안 관제 장치의 동작과 동일하므로, 중복되는 설명은 생략하도록 한다.
이상에서 전술한 본 개시의 일 실시예에 따른 방법은, 하드웨어인 서버와 결합되어 실행되기 위해 프로그램(또는 어플리케이션)으로 구현되어 매체에 저장될 수 있다.
상기 전술한 프로그램은, 상기 컴퓨터가 프로그램을 읽어 들여 프로그램으로 구현된 상기 방법들을 실행시키기 위하여, 상기 컴퓨터의 프로세서(CPU)가 상기 컴퓨터의 장치 인터페이스를 통해 읽힐 수 있는 C, C++, JAVA, 기계어 등의 컴퓨터 언어로 코드화된 코드(Code)를 포함할 수 있다. 이러한 코드는 상기 방법들을 실행하는 필요한 기능들을 정의한 함수 등과 관련된 기능적인 코드(Functional Code)를 포함할 수 있고, 상기 기능들을 상기 컴퓨터의 프로세서가 소정의 절차대로 실행시키는데 필요한 실행 절차 관련 제어 코드를 포함할 수 있다. 또한, 이러한 코드는 상기 기능들을 상기 컴퓨터의 프로세서가 실행시키는데 필요한 추가 정보나 미디어가 상기 컴퓨터의 내부 또는 외부 메모리의 어느 위치(주소 번지)에서 참조되어야 하는지에 대한 메모리 참조관련 코드를 더 포함할 수 있다. 또한, 상기 컴퓨터의 프로세서가 상기 기능들을 실행시키기 위하여 원격(Remote)에 있는 어떠한 다른 컴퓨터나 서버 등과 통신이 필요한 경우, 코드는 상기 컴퓨터의 통신 모듈을 이용하여 원격에 있는 어떠한 다른 컴퓨터나 서버 등과 어떻게 통신해야 하는지, 통신 시 어떠한 정보나 미디어를 송수신해야 하는지 등에 대한 통신 관련 코드를 더 포함할 수 있다.
상기 저장되는 매체는, 레지스터, 캐쉬, 메모리 등과 같이 짧은 순간 동안 데이터를 저장하는 매체가 아니라 반영구적으로 데이터를 저장하며, 기기에 의해 판독(reading)이 가능한 매체를 의미한다. 구체적으로는, 상기 저장되는 매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 플로피디스크, 광 데이터 저장장치 등이 있지만, 이에 제한되지 않는다. 즉, 상기 프로그램은 상기 컴퓨터가 접속할 수 있는 다양한 서버 상의 다양한 기록매체 또는 사용자의 상기 컴퓨터상의 다양한 기록매체에 저장될 수 있다. 또한, 상기 매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어, 분산방식으로 컴퓨터가 읽을 수 있는 코드가 저장될 수 있다.
본 개시의 실시예와 관련하여 설명된 방법 또는 알고리즘의 단계들은 하드웨어로 직접 구현되거나, 하드웨어에 의해 실행되는 소프트웨어 모듈로 구현되거나, 또는 이들의 결합에 의해 구현될 수 있다. 소프트웨어 모듈은 RAM(Random Access Memory), ROM(Read Only Memory), EPROM(Erasable Programmable ROM), EEPROM(Electrically Erasable Programmable ROM), 플래시 메모리(Flash Memory), 하드 디스크, 착탈형 디스크, CD-ROM, 또는 본 개시가 속하는 기술 분야에서 잘 알려진 임의의 형태의 컴퓨터 판독가능 기록매체에 상주할 수도 있다.
이상, 첨부된 도면을 참조로 하여 본 개시의 실시예를 설명하였지만, 본 개시가 속하는 기술분야의 통상의 기술자는 본 개시가 그 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 실시될 수 있다는 것을 이해할 수 있을 것이다. 그러므로, 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며, 제한적이 아닌 것으로 이해해야만 한다.
10: 다중 인공지능 모델을 이용한 보안 관제 시스템
100: 보안 관제 장치
110: 프로세서
120: 통신부
130: 저장부
131: 분류형 모델
132: 설명형 모델
133: 생성형 모델

Claims (30)

  1. 통신부;
    분류형 모델, 설명형 모델 및 생성형 모델이 저장된 저장부; 및
    상기 통신부를 통해 수집되는 보안 이벤트에서 복수의 피처를 추출하고,
    상기 복수의 피처를 상기 분류형 모델에 입력하여 상기 복수의 피처에 대한 분류 결과를 획득하고,
    상기 복수의 피처를 상기 설명형 모델에 입력하여 상기 복수의 피처에 대한 설명 결과를 획득하고,
    상기 분류 결과 및 상기 설명 결과를 기반으로 제1 결과 데이터를 생성하고,
    상기 제1 결과 데이터를 기반으로 상기 생성형 모델에 입력하기 위한 프롬프트를 생성하고,
    상기 생성된 프롬프트를 상기 생성형 모델에 입력하여 제2 결과 데이터를 획득하고,
    상기 제2 결과 데이터를 상기 설명형 모델에 입력하여 상기 제2 결과 데이터가 보안 담당자에게 설명이 가능하도록 생성되었는지 검증하고,
    상기 보안 담당자의 전문 분야를 기반으로 상기 제2 결과 데이터가 상기 보안 담당자에게 설명이 가능한 정도를 수치화한 완성도를 산출하고,
    상기 완성도가 기 설정된 조건을 만족하지 못하는 경우, 상기 프롬프트의 재생성을 요청하는 프로세서를 포함하는,
    다중 인공지능 모델을 이용한 보안 관제 장치.
  2. 제1항에 있어서,
    상기 프로세서는,
    상기 수집된 보안 이벤트를 전처리하고,
    상기 전처리된 보안 이벤트에서 추출된 상기 복수의 피처를 상기 분류형 모델에 입력하고,
    상기 복수의 피처는 상기 보안 이벤트의 특징을 나타내는 데이터로, 상기 보안 이벤트의 ID, 상기 보안 이벤트의 발생 시간, 상기 보안 이벤트의 발생 위치, 상기 보안 이벤트의 유형 및 상기 보안 이벤트의 대상 중 적어도 하나의 특징을 포함하고,
    상기 분류형 모델은 상기 복수의 피처를 학습하여 상기 보안 이벤트에 대한 예측 결과를 출력하는 것을 특징으로 하는,
    다중 인공지능 모델을 이용한 보안 관제 장치.
  3. 제2항에 있어서,
    상기 프로세서는,
    상기 전처리된 보안 이벤트에서 추출된 상기 복수의 피처 및 상기 분류형 모델로부터 획득한 상기 분류 결과를 상기 설명형 모델에 입력하고,
    상기 설명형 모델은 상기 복수의 피처 및 상기 분류 결과를 학습하여 상기 설명 결과를 출력하는 것을 특징으로 하는,
    다중 인공지능 모델을 이용한 보안 관제 장치.
  4. 제3항에 있어서,
    상기 설명형 모델은,
    상기 학습한 결과를 기반으로, 상기 보안 이벤트가 발생한 원인을 설명하고,
    상기 복수의 피처 및 상기 분류 결과를 함께 분석하여 상기 분류형 모델이 상기 보안 이벤트를 상기 분류 결과와 같이 분류한 이유를 설명하는 것을 특징으로 하는,
    다중 인공지능 모델을 이용한 보안 관제 장치.
  5. 제4항에 있어서,
    상기 복수의 피처는 상기 보안 이벤트의 특징을 나타내는 데이터로, 상기 보안 이벤트의 ID, 상기 보안 이벤트의 발생 시간, 상기 보안 이벤트의 발생 위치, 상기 보안 이벤트의 유형, 상기 보안 이벤트의 대상, 상기 보안 이벤트에 대한 소스, 상기 보안 이벤트에 대한 설명 및 상기 보안 이벤트에 대한 데이터를 포함하는,
    다중 인공지능 모델을 이용한 보안 관제 장치.
  6. 제5항에 있어서,
    상기 설명형 모델은,
    상기 분류형 모델이 상기 분류 결과와 같이 분류하는데 상기 복수의 피처 각각이 영향을 미친 정도를 의미하는 상기 복수의 피처 각각에 대한 중요도를 산출하는,
    다중 인공지능 모델을 이용한 보안 관제 장치.
  7. 제6항에 있어서,
    상기 분류 결과는, 상기 보안 이벤트에 대하여 예측한 결과를 포함하고,
    상기 설명 결과는, 상기 보안 이벤트가 발생한 원인에 대한 설명, 상기 분류형 모델이 상기 보안 이벤트를 상기 분류 결과와 같이 분류한 원인에 대한 설명 및 상기 복수의 피처 각각에 대하여 산출된 중요도를 포함하고,
    상기 프로세서는,
    상기 분류 결과 및 상기 설명 결과를 포함하는 상기 제1 결과 데이터를 기반으로, 상기 생성형 모델에 입력하기 위한 프롬프트를 생성하고,
    상기 생성된 프롬프트를 상기 생성형 모델에 입력하는,
    다중 인공지능 모델을 이용한 보안 관제 장치.
  8. 제7항에 있어서,
    상기 생성형 모델은 상기 입력된 프롬프트에 대하여 상기 제2 결과 데이터를 출력하며,
    상기 제2 결과 데이터는,
    상기 보안 이벤트에 대한 설명, 상기 보안 이벤트에 대한 특징, 상기 보안 이벤트의 중요도, 상기 보안 이벤트가 중요한 이유 및 상기 보안 이벤트에 대한 대응 방법을 포함하는,
    다중 인공지능 모델을 이용한 보안 관제 장치.
  9. 제8항에 있어서,
    상기 제2 결과 데이터는 텍스트, 이미지, 영상 및 오디오 중 적어도 하나를 포함하는,
    다중 인공지능 모델을 이용한 보안 관제 장치.
  10. 제9항에 있어서,
    상기 보안 관제 장치는,
    상기 보안 이벤트의 수집으로부터 상기 분류형 모델, 상기 설명형 모델 및 상기 생성형 모델의 순서로 출력값을 획득하며,
    상기 분류형 모델 및 상기 설명형 모델은 상기 생성형 모델보다 더 많은 데이터가 학습 데이터로 입력되고,
    상기 분류형 모델 및 상기 설명형 모델은 상기 생성형 모델보다 더 많은 테스트 데이터로 검증되는 것을 특징으로 하는,
    다중 인공지능 모델을 이용한 보안 관제 장치.
  11. 삭제
  12. 보안 관제 장치에 의해 수행되는 방법으로,
    통신부를 통해 수집되는 보안 이벤트에서 복수의 피처를 추출하는 단계;
    상기 복수의 피처를 분류형 모델에 입력하여 상기 복수의 피처에 대한 분류 결과를 획득하는 단계;
    상기 복수의 피처를 설명형 모델에 입력하여 상기 복수의 피처에 대한 설명 결과를 획득하고,
    상기 분류 결과 및 상기 설명 결과를 기반으로 제1 결과 데이터를 생성하고,
    상기 제1 결과 데이터를 기반으로 생성형 모델에 입력하기 위한 프롬프트를 생성하고,
    상기 생성된 프롬프트를 상기 생성형 모델에 입력하여 제2 결과 데이터를 획득하는 단계;
    상기 제2 결과 데이터를 상기 설명형 모델에 입력하여 상기 제2 결과 데이터가 보안 담당자에게 설명이 가능하도록 생성되었는지 검증하는 단계;
    상기 보안 담당자의 전문 분야를 기반으로 상기 제2 결과 데이터가 상기 보안 담당자에게 설명이 가능한 정도를 수치화한 완성도를 산출하는 단계; 및
    상기 완성도가 기 설정된 조건을 만족하지 못하는 경우, 상기 프롬프트의 재생성을 요청하는 단계를 포함하는,
    다중 인공지능 모델을 이용한 보안 관제 방법.
  13. 하드웨어인 컴퓨터와 결합되어, 제12항의 방법을 실행시키기 위한 프로그램이 저장된 컴퓨터 판독 가능한 기록매체.
  14. 통신부;
    분류형 모델, 설명형 모델 및 생성형 모델이 저장된 저장부; 및
    상기 통신부를 통해 수집되는 보안 이벤트에서 복수의 피처를 추출하고,
    상기 복수의 피처를 상기 분류형 모델에 입력하여 상기 복수의 피처에 대한 분류 결과를 획득하고,
    상기 복수의 피처를 상기 설명형 모델에 입력하여 상기 복수의 피처에 대한 설명 결과를 획득하고,
    상기 분류 결과 및 상기 설명 결과를 기반으로 제1 결과 데이터를 생성하고,
    상기 제1 결과 데이터를 기반으로 상기 생성형 모델에 입력하기 위한 프롬프트를 생성하고,
    상기 생성된 프롬프트를 상기 생성형 모델에 입력하여 제2 결과 데이터를 획득하고,
    상기 제2 결과 데이터를 상기 설명형 모델에 입력하여 상기 제2 결과 데이터가 보안 담당자에게 설명이 가능하도록 생성되었는지 검증하고,
    상기 보안 담당자의 전문 분야를 기반으로 상기 제2 결과 데이터가 상기 보안 담당자에게 설명이 가능한 정도를 수치화한 완성도를 산출하고,
    상기 완성도가 기 설정된 조건을 만족하지 못하는 경우, 상기 프롬프트의 재생성을 요청하는 프로세서를 포함하는,
    다중 인공지능 모델을 이용한 보안 관제 시스템.
  15. 제14항에 있어서,
    상기 프로세서는,
    상기 수집된 보안 이벤트를 전처리하고,
    상기 전처리된 보안 이벤트에서 추출된 상기 복수의 피처를 상기 분류형 모델에 입력하고,
    상기 복수의 피처는 상기 보안 이벤트의 특징을 나타내는 데이터로, 상기 보안 이벤트의 ID, 상기 보안 이벤트의 발생 시간, 상기 보안 이벤트의 발생 위치, 상기 보안 이벤트의 유형 및 상기 보안 이벤트의 대상 중 적어도 하나의 특징을 포함하고,
    상기 분류형 모델은 상기 복수의 피처를 학습하여 상기 보안 이벤트에 대한 예측 결과를 출력하는 것을 특징으로 하는,
    다중 인공지능 모델을 이용한 보안 관제 시스템.
  16. 제15항에 있어서,
    상기 프로세서는,
    상기 전처리된 보안 이벤트에서 추출된 상기 복수의 피처 및 상기 분류형 모델로부터 획득한 상기 분류 결과를 상기 설명형 모델에 입력하고,
    상기 설명형 모델은 상기 복수의 피처 및 상기 분류 결과를 학습하여 상기 설명 결과를 출력하는 것을 특징으로 하는,
    다중 인공지능 모델을 이용한 보안 관제 시스템.
  17. 제16항에 있어서,
    상기 설명형 모델은,
    상기 학습한 결과를 기반으로, 상기 보안 이벤트가 발생한 원인을 설명하고,
    상기 복수의 피처 및 상기 분류 결과를 함께 분석하여 상기 분류형 모델이 상기 보안 이벤트를 상기 분류 결과와 같이 분류한 이유를 설명하는 것을 특징으로 하는,
    다중 인공지능 모델을 이용한 보안 관제 시스템.
  18. 제17항에 있어서,
    상기 복수의 피처는 상기 보안 이벤트의 특징을 나타내는 데이터로, 상기 보안 이벤트의 ID, 상기 보안 이벤트의 발생 시간, 상기 보안 이벤트의 발생 위치, 상기 보안 이벤트의 유형, 상기 보안 이벤트의 대상, 상기 보안 이벤트에 대한 소스, 상기 보안 이벤트에 대한 설명 및 상기 보안 이벤트에 대한 데이터를 포함하는,
    다중 인공지능 모델을 이용한 보안 관제 시스템.
  19. 제18항에 있어서,
    상기 설명형 모델은,
    상기 분류형 모델이 상기 분류 결과와 같이 분류하는데 상기 복수의 피처 각각이 영향을 미친 정도를 의미하는 상기 복수의 피처 각각에 대한 중요도를 산출하는,
    다중 인공지능 모델을 이용한 보안 관제 시스템.
  20. 제19항에 있어서,
    상기 분류 결과는, 상기 보안 이벤트에 대하여 예측한 결과를 포함하고,
    상기 설명 결과는, 상기 보안 이벤트가 발생한 원인에 대한 설명, 상기 분류형 모델이 상기 보안 이벤트를 상기 분류 결과와 같이 분류한 원인에 대한 설명 및 상기 복수의 피처 각각에 대하여 산출된 중요도를 포함하고,
    상기 프로세서는,
    상기 분류 결과 및 상기 설명 결과를 포함하는 상기 제1 결과 데이터를 기반으로, 상기 생성형 모델에 입력하기 위한 프롬프트를 생성하고,
    상기 생성된 프롬프트를 상기 생성형 모델에 입력하는,
    다중 인공지능 모델을 이용한 보안 관제 시스템.
  21. 제20항에 있어서,
    상기 생성형 모델은 상기 입력된 프롬프트에 대하여 상기 제2 결과 데이터를 출력하며,
    상기 제2 결과 데이터는,
    상기 보안 이벤트에 대한 설명, 상기 보안 이벤트에 대한 특징, 상기 보안 이벤트의 중요도, 상기 보안 이벤트가 중요한 이유 및 상기 보안 이벤트에 대한 대응 방법을 포함하는,
    다중 인공지능 모델을 이용한 보안 관제 시스템.
  22. 제21항에 있어서,
    상기 제2 결과 데이터는 텍스트, 이미지, 영상 및 오디오 중 적어도 하나를 포함하는,
    다중 인공지능 모델을 이용한 보안 관제 시스템.
  23. 제22항에 있어서,
    상기 프로세서는,
    상기 보안 이벤트의 수집으로부터 상기 분류형 모델, 상기 설명형 모델 및 상기 생성형 모델의 순서로 출력값을 획득하며,
    상기 분류형 모델 및 상기 설명형 모델은 상기 생성형 모델보다 더 많은 데이터가 학습 데이터로 입력되고,
    상기 분류형 모델 및 상기 설명형 모델은 상기 생성형 모델보다 더 많은 테스트 데이터로 검증되는 것을 특징으로 하는,
    다중 인공지능 모델을 이용한 보안 관제 시스템.
  24. 삭제
  25. 통신부;
    분류형 모델, 설명형 모델 및 생성형 모델이 저장된 저장부; 및
    상기 통신부를 통해 수집되는 보안 이벤트에서 복수의 피처를 추출하고,
    상기 복수의 피처를 상기 분류형 모델에 입력하여 상기 복수의 피처에 대한 분류 결과를 획득하고,
    상기 복수의 피처를 상기 설명형 모델에 입력하여 상기 복수의 피처에 대한 설명 결과를 획득하고,
    상기 분류 결과 및 상기 설명 결과를 기반으로 제1 결과 데이터를 생성하고,
    상기 제1 결과 데이터를 기반으로 상기 생성형 모델에 입력하기 위한 프롬프트를 생성하고,
    상기 생성된 프롬프트를 상기 생성형 모델에 입력하여 제2 결과 데이터를 획득하고,
    상기 제2 결과 데이터를 상기 설명형 모델에 입력하여 상기 제2 결과 데이터가 보안 담당자에게 설명이 가능하도록 생성되었는지 검증하고,
    상기 보안 담당자의 전문 분야를 기반으로 상기 제2 결과 데이터가 상기 보안 담당자에게 설명이 가능한 정도를 수치화한 완성도를 산출하고,
    상기 완성도가 기 설정된 조건을 만족하지 못하는 경우, 상기 프롬프트의 재생성을 요청하는 프로세서를 포함하는,
    보안 관제 서버.
  26. 제25항에 있어서,
    상기 분류형 모델은 상기 보안 이벤트의 특징을 나타내는 복수의 피처를 학습하여 상기 보안 이벤트를 정상 이벤트 또는 비정상 이벤트로 분류하고,
    상기 설명형 모델은 상기 복수의 피처 및 상기 분류 결과를 학습하여 상기 분류형 모델이 상기 보안 이벤트를 상기 분류 결과와 같이 분류한 이유를 설명하는,
    보안 관제 서버.
  27. 제26항에 있어서,
    상기 설명형 모델은,
    상기 분류형 모델이 상기 분류 결과와 같이 분류하는데 상기 복수의 피처 각각이 영향을 미친 정도(이하, '영향도')를 산출하는,
    보안 관제 서버.
  28. 제27항에 있어서,
    상기 제2 결과 데이터는 상기 보안 이벤트에 대한 설명, 상기 보안 이벤트에 대한 특징, 상기 보안 이벤트의 중요도, 상기 보안 이벤트가 중요한 이유 및 상기 보안 이벤트에 대한 대응 방법을 포함하는,
    보안 관제 서버.
  29. 삭제
  30. 제25항에 있어서,
    상기 프로세서는,
    상기 제2 결과 데이터를 복수의 부분 데이터로 분할하고, 상기 분할된 복수의 부분 데이터 각각에 대하여 상기 보안 담당자에 대한 완성도를 산출하는 것을 특징으로 하는,
    보안 관제 서버.
KR1020230095816A 2023-07-20 2023-07-24 다중 인공지능 모델을 이용한 보안 관제 시스템, 장치,방법 및 프로그램 KR102596977B1 (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR1020230094626 2023-07-20
KR20230094626 2023-07-20

Publications (1)

Publication Number Publication Date
KR102596977B1 true KR102596977B1 (ko) 2023-11-02

Family

ID=88747527

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020230095816A KR102596977B1 (ko) 2023-07-20 2023-07-24 다중 인공지능 모델을 이용한 보안 관제 시스템, 장치,방법 및 프로그램

Country Status (1)

Country Link
KR (1) KR102596977B1 (ko)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100599857B1 (ko) 2002-12-31 2006-07-12 제일모직주식회사 반도체 봉지용 액상 에폭시 수지 조성물
US11411973B2 (en) 2018-08-31 2022-08-09 Forcepoint, LLC Identifying security risks using distributions of characteristic features extracted from a plurality of events
KR20230076938A (ko) * 2021-11-23 2023-06-01 호서대학교 산학협력단 효율적인 악성 위협 탐지를 위한 valuable alert 선별 방법

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100599857B1 (ko) 2002-12-31 2006-07-12 제일모직주식회사 반도체 봉지용 액상 에폭시 수지 조성물
US11411973B2 (en) 2018-08-31 2022-08-09 Forcepoint, LLC Identifying security risks using distributions of characteristic features extracted from a plurality of events
KR20230076938A (ko) * 2021-11-23 2023-06-01 호서대학교 산학협력단 효율적인 악성 위협 탐지를 위한 valuable alert 선별 방법

Non-Patent Citations (4)

* Cited by examiner, † Cited by third party
Title
Chen, L., Xu, S., Zhu, L. et al. A deep learning based method for extracting semantic information from patent documents. Scientometrics 125, 289-312 (2020).
Mika Ayenson, "Exploring the Future of Security with ChatGPT"(2023.03.)* *
Mingze Gao, "The Advance of GPTs and Language Model in Cyber Security"(2023.07.11.)* *
Souili, A., Cavallucci, D., & Rousselot, F. (2015). Natural Language Processing (NLP): A solution for knowledge extraction from patent unstructured data. Procedia Engineering, 131, 635-643.

Similar Documents

Publication Publication Date Title
Sreedevi et al. Application of cognitive computing in healthcare, cybersecurity, big data and IoT: A literature review
US20140324747A1 (en) Artificial continuously recombinant neural fiber network
JP7225395B2 (ja) 動的再構成訓練コンピュータアーキテクチャ
Sree et al. Real-world application of machine learning and deep learning
US11954202B2 (en) Deep learning based detection of malicious shell scripts
US20230085991A1 (en) Anomaly detection and filtering of time-series data
Amin et al. Cyber security and beyond: Detecting malware and concept drift in AI-based sensor data streams using statistical techniques
Shi et al. A novel unsupervised real‐time damage detection method for structural health monitoring using machine learning
KR102591769B1 (ko) 언어 모델을 기반으로 질의 응답 네트워크를 활용한 인적성 검사의 문제 생성 방법 및 서버
Mohanty et al. The application of intelligent and soft-computing techniques to software engineering problems: a review
Nugraha et al. Oversampling based on generative adversarial networks to overcome imbalance data in predicting fraud insurance claim: 10.48129/kjs. splml. 19119
Nithya et al. A comprehensive survey of machine learning: Advancements, applications, and challenges
Aishath Murshida et al. Survey on artificial intelligence
US20230418958A1 (en) Scalable, data-driven digital marketplace providing a standardized secured data system for interlinking sensitive risk-related data, and method thereof
KR102596977B1 (ko) 다중 인공지능 모델을 이용한 보안 관제 시스템, 장치,방법 및 프로그램
Matinkhah et al. Emerging artificial intelligence application: reinforcement learning issues on current internet of things
Xu et al. A new method for constructing granular neural networks based on rule extraction and extreme learning machine
Sharma et al. A BPSO and deep learning based hybrid approach for android feature selection and malware detection
Cortez Data mining with multilayer perceptrons and support vector machines
US20220269991A1 (en) Evaluating reliability of artificial intelligence
Barbieri et al. A Tiny Transformer-Based Anomaly Detection Framework for IoT Solutions
US20220012613A1 (en) System and method for evaluating machine learning model behavior over data segments
Meng et al. Supervised robustness-preserving data-free neural network pruning
McCarthy et al. Predictive Models Using Neural Networks
US20210149986A1 (en) Computer architecture for multi-domain probability assessment capability for course of action analysis

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
A107 Divisional application of patent
GRNT Written decision to grant