KR102604380B1 - 다중 학습 모델을 이용한 5g 엣지 네트워크 침입 탐지 장치 및 이를 이용한 방법 - Google Patents
다중 학습 모델을 이용한 5g 엣지 네트워크 침입 탐지 장치 및 이를 이용한 방법 Download PDFInfo
- Publication number
- KR102604380B1 KR102604380B1 KR1020210146690A KR20210146690A KR102604380B1 KR 102604380 B1 KR102604380 B1 KR 102604380B1 KR 1020210146690 A KR1020210146690 A KR 1020210146690A KR 20210146690 A KR20210146690 A KR 20210146690A KR 102604380 B1 KR102604380 B1 KR 102604380B1
- Authority
- KR
- South Korea
- Prior art keywords
- data
- learning
- learning model
- network
- dataset
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 55
- 238000001514 detection method Methods 0.000 claims abstract description 80
- 238000013473 artificial intelligence Methods 0.000 claims abstract description 49
- 238000007781 pre-processing Methods 0.000 claims abstract description 47
- 238000002372 labelling Methods 0.000 claims abstract description 38
- 238000000605 extraction Methods 0.000 claims description 15
- 238000011897 real-time detection Methods 0.000 claims description 11
- 230000005641 tunneling Effects 0.000 claims description 9
- 230000003321 amplification Effects 0.000 claims description 8
- 238000003199 nucleic acid amplification method Methods 0.000 claims description 8
- 230000002159 abnormal effect Effects 0.000 claims description 7
- 238000010606 normalization Methods 0.000 claims description 7
- 230000002265 prevention Effects 0.000 claims description 6
- 238000000746 purification Methods 0.000 claims description 5
- 238000007493 shaping process Methods 0.000 claims description 2
- 238000004458 analytical method Methods 0.000 description 13
- 238000013480 data collection Methods 0.000 description 10
- 238000010586 diagram Methods 0.000 description 10
- 238000013500 data storage Methods 0.000 description 9
- 238000013135 deep learning Methods 0.000 description 8
- 238000012545 processing Methods 0.000 description 8
- 238000005516 engineering process Methods 0.000 description 6
- 230000005856 abnormality Effects 0.000 description 4
- 238000004140 cleaning Methods 0.000 description 4
- 238000001914 filtration Methods 0.000 description 3
- 238000012544 monitoring process Methods 0.000 description 3
- 206010000117 Abnormal behaviour Diseases 0.000 description 2
- 238000010223 real-time analysis Methods 0.000 description 2
- 238000011160 research Methods 0.000 description 2
- 238000013256 Gubra-Amylin NASH model Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000003012 network analysis Methods 0.000 description 1
- 230000003252 repetitive effect Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 238000012549 training Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/02—Capturing of monitoring data
- H04L43/026—Capturing of monitoring data using flow identification
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Physics & Mathematics (AREA)
- Medical Informatics (AREA)
- Evolutionary Computation (AREA)
- General Physics & Mathematics (AREA)
- Mathematical Physics (AREA)
- Data Mining & Analysis (AREA)
- Artificial Intelligence (AREA)
- Computer Hardware Design (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
다중 학습 모델을 이용한 5G 엣지 네트워크 침입 탐지 장치 및 이를 이용한 방법이 개시된다. 본 발명의 일실시예에 따른 5G 엣지 네트워크 침입 탐지 방법은 5G 엣지 네트워크를 기반으로 대용량 로우(RAW) 데이터를 수집하는 단계; 상기 대용량 로우 데이터에 대해 데이터 라벨링 기반의 전처리 프로세스를 수행하여 학습 데이터셋을 생성하는 단계; 인공지능 기반의 다중 학습 모델을 기반으로 상기 학습 데이터셋에 대한 다층 구조의 인공지능 학습을 수행하는 단계; 및 상기 다중 학습 모델을 통해 탐지된 침입 탐지 결과를 사용자 대시보드로 제공하는 단계를 포함한다.
Description
본 발명은 5G 엣지 네트워크 침입 탐지 기술에 관한 것으로, 특히 5G 엣지 네트워크의 신뢰성있는 네트워크 서비스를 보장하고, 빈번히 발생되는 네트워크 위협과 공격을 탐지하기 위해 인공지능 학습을 이용하여 사이버 위협과 공격을 탐지하고 분석하기 위한 기술에 관한 것이다.
현재 지능형 사이버 표적 공격은 공격자가 장기간에 걸쳐서 다양한 신종 변종된 공격 기법을 활용하고 있고, 이는 기업망이나 조직에 상당한 위협으로 대두되고 있고 이를 탐지하기 위한 다양한 보안 시스템과 솔루션이 개발되고 있다.
대부분의 보안 관제 센터의 관제 솔루션은 수집되는 원천 보안 이벤트에 대해서 필터링, 시나리오 분석, 영향도 분석 등을 통해 자동적으로 침해 위협 사고를 탐지하거나, 분석대상이 되는 이벤트를 탐지하여 관제 센터 운용 요원에 의해 수동적으로 분석을 하고 있다. 그러나, 통상의 관제 솔루션들은 IDS/IPS 시스템에서 생성되는 보안 이벤트의 양이 방대하고, 실제 분석을 위한 관제 요원에 의해 분석을 수행하더라고 오탐으로 결정되는 경우가 많은 상황이다. 또한, 통상적인 보안 관제 센터 및 SIEM 솔루션은 대량으로 수집되고 발생하는 보안 이벤트 로그에 대해서 관제 요원에 의해 수동적으로 분석되고 있는데, 이는 대량의 보안 이벤트로 인해 분석 및 관제에 많은 한계를 보이고 있다. 특히, 전통적인 룰기반의 시스템은 과거의 분석된 데이터가 검색의 어려움과 시간상의 문제로 인해 활용되지 않고 있다. 이를 해결하기 위해서는 수동적인 관제와 분석이 아닌 다양한 데이터의 학습을 통하여 침해 위협 사고를 분석하고 탐지하기 위한 보안 인텔리젼스의 구축이 필요하고. 이를 이용하여 자동적으로 필요한 보안 이벤트를 필터링하고, 과거 사고와의 연관 관계를 분석하여 침해 위협을 탐지하기 위한 기술이 필요한 상황이다.
최근, 인공지능 및 머신러닝 분야에서는 시스템 또는 데이터 내의 주요 변화를 분석하고 감지함으로써 이상 징후 발생을 예측하는 이상 징후 검출 기법을 보안을 비롯한 다양한 분야에 적용하기 위한 다각화된 연구들이 수행되고 있다. 대표적인 이상 징후 검출 기법은 정상 상태의 포괄적인 정보를 토대로 정상에 대해 벗어남 정도(비정상도)를 판단함으로써 새로운 이상 징후를 검출한다. 이러한 방법은 이상 징후에 대한 정보가 필요하지 않기 때문에 범용적으로 활용될 수 있다.
하지만, 높은 복잡도의 시스템 및 데이터로부터 정상 상태를 완벽하게 파악하는 것은 매우 어렵기 때문에 높은 검출 성능을 얻기 어려워 주된 방법론으로 사용될 수 없었다. 최근 연구에서 주어진 시스템 상태 데이터로부터 스스로 패턴을 학습하는 딥러닝 (Deep Learning)을 적용함으로써 정상 행위의 학습 정확도를 높였으며, 이에 따라 검출 성능도 향상을 얻는 것이 가능해졌다.
본 발명의 목적은 네트워크 보안장비와 네트워크 플로우 수집 장비에서 발생하는 보안 로그, 보안이벤트 및 네트워크 플로우를 수집하고, 다양한 인공지능 학습을 이용하여 생성된 모델을 기반으로 다중 모델 기반으로 데이터의 이상 징후와 사이버 위협을 탐지하는 것이다.
또한, 본 발명의 목적은 네트워크 플로우와 보안장비에서 발생되는 보안 이벤트를 기반으로 상호학습을 위한 데이터셋을 생성하여 대량의 네트워크 플로우 데이터 내에서도 사이버 위협과 공격 패턴을 인지하고 탐지하는 것이다.
상기한 목적을 달성하기 위한 본 발명에 따른 5G 엣지 네트워크 침입 탐지 방법은 5G 엣지 네트워크를 기반으로 대용량 로우(RAW) 데이터를 수집하는 단계; 상기 대용량 로우 데이터에 대해 데이터 라벨링 기반의 전처리 프로세스를 수행하여 학습 데이터셋을 생성하는 단계; 인공지능 기반의 다중 학습 모델을 기반으로 상기 학습 데이터셋에 대한 다층 구조의 인공지능 학습을 수행하는 단계; 및 상기 다중 학습 모델을 통해 탐지된 침입 탐지 결과를 사용자 대시보드로 제공하는 단계를 포함한다.
이 때, 대용량 로우 데이터는 IPS(INTRUSION PREVENTION SYSTEM) 및 IDS(INTRUSION DETECTION SYSTEM) 기반의 보안데이터 및 네트워크 플로우 데이터를 포함하고, 상기 보안데이터와 상기 네트워크 플로우 데이터는 각각 분리되어 저장될 수 있다.
이 때, 다중 학습 모델은 지도 학습을 수행하는 제1 학습 모델, 준지도 학습을 수행하는 제2 학습 모델 및 상기 제1 학습 모델과 상기 제2 학습 모델의 출력 값을 기반으로 학습을 수행하는 제3 학습 모델을 포함할 수 있다.
이 때, 다층 구조의 인공지능 학습은 상기 제1 학습 모델과 상기 제2 학습 모델로 구성되는 선행 학습 레이어 및 상기 제3 학습 모델로 구성되는 후행 학습 레이어를 기반으로 수행될 수 있다.
이 때, 후행 학습 레이어는 상기 선행 학습 레이어에 포함된 복수개의 학습 모델들의 출력 값을 어레이 데이터로 하는 학습 데이터셋을 이용하여 학습을 수행할 수 있다.
이 때, 제1 학습 모델은 상기 전처리 프로세스를 통해 라벨링된 데이터로 구성된 제1 학습 데이터셋으로 학습하고, 상기 제2 학습 모델은 상기 제1 학습 데이터셋과 상기 전처리 프로세스를 통해 라벨링되지 않은 데이터로 구성된 제2 학습 데이터셋을 함께 이용하여 학습할 수 있다.
이 때, 제1 학습 데이터셋은 상기 네트워크 플로우 데이터 중 상기 보안데이터의 소스 IP와 목적지 IP에 상응하는 네트워크 플로우에 해당하는 제1 라벨링 데이터 및 상기 라벨링되지 않은 데이터를 상기 제1 라벨링 데이터와의 유사도를 고려하여 라벨링한 제2 라벨링 데이터를 포함할 수 있다.
이 때, 전처리 프로세스는 데이터 정제, 데이터 특징 추출, 연관 데이터 확장, 데이터 인코딩, 데이터 정형화 및 데이터 증폭을 수행할 수 있다.
이 때, 전처리 프로세스를 통해 추출되는 데이터 특징은 네트워크 연결 특징, 네트워크 포트 특징, 네트워크 프로토콜 특징, HTTP 헤더 정보 특징, GTP 터널링 정보 특징, 플로우 INTERVAL 정보 특징, 플로우 패킷 카운트 정보 특징 및 플로우 바이트 정보 특징을 포함할 수 있다.
이 때, 사용자 대시보드는 실시간 탐지 현황, 실시간 수집 현황 및 시간대별 비정상 데이터 탐지 현황을 제공할 수 있다.
또한, 본 발명의 일실시예에 따른 5G 엣지 네트워크 침입 탐지 장치는, 5G 엣지 네트워크를 기반으로 대용량 로우(RAW) 데이터를 수집하고, 상기 대용량 로우 데이터에 대해 데이터 라벨링 기반의 전처리 프로세스를 수행하여 학습 데이터셋을 생성하고, 인공지능 기반의 다중 학습 모델을 기반으로 상기 학습 데이터셋에 대한 다층 구조의 인공지능 학습을 수행하고, 상기 다중 학습 모델을 통해 탐지된 침입 탐지 결과를 사용자 대시보드로 제공하는 프로세서; 및 상기 대용량 로우 데이터를 저장하는 메모리를 포함한다.
이 때, 대용량 로우 데이터는 IPS(INTRUSION PREVENTION SYSTEM) 및 IDS(INTRUSION DETECTION SYSTEM) 기반의 보안데이터 및 네트워크 플로우 데이터를 포함하고, 상기 보안데이터와 상기 네트워크 플로우 데이터는 각각 분리되어 저장될 수 있다.
이 때, 다중 학습 모델은 지도 학습을 수행하는 제1 학습 모델, 준지도 학습을 수행하는 제2 학습 모델 및 상기 제1 학습 모델과 상기 제2 학습 모델의 출력 값을 기반으로 학습을 수행하는 제3 학습 모델을 포함할 수 있다.
이 때, 다층 구조의 인공지능 학습은 상기 제1 학습 모델과 상기 제2 학습 모델로 구성되는 선행 학습 레이어 및 상기 제3 학습 모델로 구성되는 후행 학습 레이어를 기반으로 수행될 수 있다.
이 때, 후행 학습 레이어는 상기 선행 학습 레이어에 포함된 복수개의 학습 모델들의 출력 값을 어레이 데이터로 하는 학습 데이터셋을 이용하여 학습을 수행할 수 있다.
이 때, 제1 학습 모델은 상기 전처리 프로세스를 통해 라벨링된 데이터로 구성된 제1 학습 데이터셋으로 학습하고, 상기 제2 학습 모델은 상기 제1 학습 데이터셋과 상기 전처리 프로세스를 통해 라벨링되지 않은 데이터로 구성된 제2 학습 데이터셋을 함께 이용하여 학습할 수 있다.
이 때, 제1 학습 데이터셋은 상기 네트워크 플로우 데이터 중 상기 보안데이터의 소스 IP와 목적지 IP에 상응하는 네트워크 플로우에 해당하는 제1 라벨링 데이터 및 상기 라벨링되지 않은 데이터를 상기 제1 라벨링 데이터와의 유사도를 고려하여 라벨링한 제2 라벨링 데이터를 포함할 수 있다.
이 때, 전처리 프로세스는 데이터 정제, 데이터 특징 추출, 연관 데이터 확장, 데이터 인코딩, 데이터 정형화 및 데이터 증폭을 수행할 수 있다.
이 때, 전처리 프로세스를 통해 추출되는 데이터 특징은 네트워크 연결 특징, 네트워크 포트 특징, 네트워크 프로토콜 특징, HTTP 헤더 정보 특징, GTP 터널링 정보 특징, 플로우 INTERVAL 정보 특징, 플로우 패킷 카운트 정보 특징 및 플로우 바이트 정보 특징을 포함할 수 있다.
이 때, 사용자 대시보드는 실시간 탐지 현황, 실시간 수집 현황 및 시간대별 비정상 데이터 탐지 현황을 제공할 수 있다.
본 발명에 따르면, 네트워크 보안장비와 네트워크 플로우 수집 장비에서 발생하는 보안 로그, 보안이벤트 및 네트워크 플로우를 수집하고, 다양한 인공지능 학습을 이용하여 생성된 모델을 기반으로 다중 모델 기반으로 데이터의 이상 징후와 사이버 위협을 탐지할 수 있다.
또한, 본 발명은 네트워크 플로우와 보안장비에서 발생되는 보안 이벤트를 기반으로 상호학습을 위한 데이터셋을 생성하여 대량의 네트워크 플로우 데이터 내에서도 사이버 위협과 공격 패턴을 인지하고 탐지할 수 있다.
도 1은 본 발명의 일실시예에 따른 다중 학습 모델을 이용한 5G 엣지 네트워크 침입 탐지 방법을 나타낸 동작 흐름도이다.
도 2는 본 발명에 따른 다중 학습 모델을 이용한 5G 엣지 네트워크 침입 탐지 시스템의 일 예를 나타낸 도면이다.
도 3은 본 발명에 따른 데이터 수집 및 데이터 전처리를 위한 상세한 구성의 일 예를 나타낸 도면이다.
도 4는 본 발명에 따른 네트워크 데이터 특징 추출을 위한 상세한 구성의 일 예를 나타낸 도면이다.
도 5는 본 발명에 따른 학습 및 탐지를 위한 상세한 구성의 일 예를 나타낸 도면이다.
도 6은 본 발명에 따른 지도/준지도 학습 모델에 의한 다중 모델 학습 과정의 일 예를 나타낸 도면이다.
도 7은 본 발명에 따른 다층 구조에 의한 인공지능 모델 탐지 엔진 구조의 일 예를 나타낸 도면이다.
도 8은 본 발명에 따른 인공지능 학습 모델을 위한 메타데이터 저장소의 일 예를 나타낸 도면이다.
도 9는 본 발명에 따른 사용자 대시보드의 일 예를 나타낸 도면이다.
도 10은 본 발명의 일실시예에 따른 다중 학습 모델을 이용한 5G 엣지 네트워크 침입 탐지 장치를 나타낸 도면이다.
도 2는 본 발명에 따른 다중 학습 모델을 이용한 5G 엣지 네트워크 침입 탐지 시스템의 일 예를 나타낸 도면이다.
도 3은 본 발명에 따른 데이터 수집 및 데이터 전처리를 위한 상세한 구성의 일 예를 나타낸 도면이다.
도 4는 본 발명에 따른 네트워크 데이터 특징 추출을 위한 상세한 구성의 일 예를 나타낸 도면이다.
도 5는 본 발명에 따른 학습 및 탐지를 위한 상세한 구성의 일 예를 나타낸 도면이다.
도 6은 본 발명에 따른 지도/준지도 학습 모델에 의한 다중 모델 학습 과정의 일 예를 나타낸 도면이다.
도 7은 본 발명에 따른 다층 구조에 의한 인공지능 모델 탐지 엔진 구조의 일 예를 나타낸 도면이다.
도 8은 본 발명에 따른 인공지능 학습 모델을 위한 메타데이터 저장소의 일 예를 나타낸 도면이다.
도 9는 본 발명에 따른 사용자 대시보드의 일 예를 나타낸 도면이다.
도 10은 본 발명의 일실시예에 따른 다중 학습 모델을 이용한 5G 엣지 네트워크 침입 탐지 장치를 나타낸 도면이다.
본 발명을 첨부된 도면을 참조하여 상세히 설명하면 다음과 같다. 여기서, 반복되는 설명, 본 발명의 요지를 불필요하게 흐릴 수 있는 공지 기능, 및 구성에 대한 상세한 설명은 생략한다. 본 발명의 실시형태는 당 업계에서 평균적인 지식을 가진 자에게 본 발명을 보다 완전하게 설명하기 위해서 제공되는 것이다. 따라서, 도면에서의 요소들의 형상 및 크기 등은 보다 명확한 설명을 위해 과장될 수 있다.
이하, 본 발명에 따른 바람직한 실시예를 첨부된 도면을 참조하여 상세하게 설명한다.
본 발명에서는 네트워크 보안장비와 네트워크 플로우 수집 장비에서 발생하는 보안 로그, 보안이벤트 및 네트워크 플로우를 수집하고, 다양한 인공지능 학습을 이용하여 학습 모델을 생성하고, 생성된 학습 모델을 기반으로 다중 모델 기반으로 데이터의 이상징후와 사이버 위협을 탐지하기 위한 기술을 포함하고 있다.
기존 룰과 정책 기반의 다양한 네트워크 보안장비에서 사이버 침해위협이 가능함에도 불구하고, 지속적으로 늘어나는 데이터 트래픽과 공격자들의 새로운 공격 패턴 및 방법이 등장함에 따라, 기존 네트워크 분석 및 탐지 방법은 5G와 같은 네트워크에서는 한계점이 드러나고 있다. 이를 극복하기 위해서는 기존 보안 관제 센터(SOC)에서 네트워크 트래픽, 보안장비 로그 및 보안이벤트를 분석하는 방법을 기계적으로 학습하고 이를 자동화함으로써 향후 발생하는 유사한 공격과 위협에 대해서 실시간으로 분석하고 탐지하는 것이 필수적이다. 따라서, 딥러닝 기술의 다양한 모델을 적용한 인공지능기반 네트워크 침입 분석 및 탐지 시스템에 대한 요구가 증가하고 있다.
이를 위해, IDS/IPS 보안 이벤트와 로그 데이터를 수집하기 위한 데이터 수집 및 저장, 수집된 데이터를 학습용 데이터로 만들기 위한 데이터 전처리, 인공지능 알고리즘을 기반으로 인공지능기반 학습 및 실시간 탐지를 하기 위한 인공지능기반 학습 및 탐지, 그리고 분석되고 탐지된 결과를 사용자에게 제공할 수 있다.
특히, 네트워크 플로우와 보안장비에서 발생되는 보안 이벤트를 기반으로 상호 학습을 위한 데이터셋을 생성하여, 라벨링이 된 네트워크 플로우와 라벨링이 되지 않은 네트워크 플로우를 준지도학습 기법을 이용하여 학습함으로써 대량의 네트워크 플로우 데이터 내에서도 사이버 위협과 공격 패턴을 인지하고 탐지할 수 있다.
이러한 기술을 통해 향후 인공지능이 적용되는 보안 관제 솔루션 분야의 5G 엣지 네트워크의 이상행위 탐지를 위한 솔루션에 적용할 수 있는 효과가 있다.
도 1은 본 발명의 일실시예에 따른 다중 학습 모델을 이용한 5G 엣지 네트워크 침입 탐지 방법을 나타낸 동작 흐름도이다.
도 1을 참조하면, 본 발명의 일실시예에 따른 다중 학습 모델을 이용한 5G 엣지 네트워크 침입 탐지 방법은 5G 엣지 네트워크를 기반으로 대용량 로우(RAW) 데이터를 수집한다(S110).
이 때, 대용량 로우 데이터는 IPS(INTRUSION PREVENTION SYSTEM) 및 IDS(INTRUSION DETECTION SYSTEM) 기반의 보안데이터 및 네트워크 플로우 데이터를 포함하고, 보안데이터와 네트워크 플로우 데이터는 각각 분리되어 저장될 수 있다.
예를 들어, 도 2를 참조하면, 본 발명의 일실시예에 따른 다중 학습 모델을 이용한 5G 엣지 네트워크 침입 탐지 시스템은 크게 데이터 수집 처리 플랫폼(210), 인공지능 학습 엔진(220) 및 사용자 대시보드(230)로 구성될 수 있다.
데이터 수집 처리 플랫폼(210)은 실제 데이터를 수집하기 위한 데이터 수집부, 수집된 데이터를 파싱하고 저장하기 위한 데이터 처리부, 파싱된 데이터가 저장되는 네트워크 플로우 데이터 저장부 및 IDS/IPS 보안이벤트 데이터 저장부로 구성될 수 있다.
이하에서는 도 3에 도시된 데이터 수집부(310)를 참조하여 대용량 로우 데이터를 수집 및 저장하는 과정을 보다 상세하게 설명하도록 한다.
도 3을 참조하면, 데이터 수집부(310)의 데이터 배치 수집기와 데이터 실시간 수집기는 레거시 보안장비인 IDS/IPS에서 발생하는 보안 로그와 보안 이벤트, 네트워크 플로우 수집기에서 발생하는 네트워크 플로우를 수집할 수 있다.
이 때, 데이터 배치 수집기는 데이터 수집 스케줄러에 의해 주기적으로 각 보안 장비에서 발생하는 로그와 보안 이벤트 및 네트워크 플로우를 수집할 수 있다.
이 때, 데이터 실시간 수집기는 실시간으로 발생되는 로그와 플로우 등의 정보를 수집할 수 있다.
이와 같은 과정으로 수집된 각각의 데이터는 정해진 포맷에 의해 데이터 파서를 통해 파싱될 수 있고, 데이터 저장기를 통해 파싱된 데이터를 각각의 정해진 데이터 저장소에 저장할 수 있다. 즉, IDS/IPS와 같은 보안 장비에서 발생되는 보안 이벤트와, 네트워크 플로우 수집기에 의해 발생되는 네트워크 플로우는 데이터 저장기를 통해서 각각 데이터 저장소 1과 데이터 저장소 2로 나뉘어 저장될 수 있고, 저장된 데이터는 추후 데이터 검색기를 통해 외부에서 쿼리되고 조회될 수 있다.
또한, 본 발명의 일실시예에 따른 다중 학습 모델을 이용한 5G 엣지 네트워크 침입 탐지 방법은 대용량 로우 데이터에 대해 데이터 라벨링 기반의 전처리 프로세스를 수행하여 학습 데이터셋을 생성한다(S120).
예를 들어, 도 2를 참조하면, 인공지능 학습 엔진(220)은 수집된 데이터 접속부, 데이터 전처리부, 인공지능 학습부, 실시간 탐지부로 구성될 수 있다. 또한, 인공지능 학습 엔진(220)은 각 부서의 동작을 위해 필요한 데이터 또는 출력 데이터 등을 저장하는 학습 데이터셋 저장소, 학습 모델 저장소, 메타데이터 저장소, 탐지 결과 저장소를 포함할 수 있다.
이 때, 데이터 접속부는 데이터 수집 처리 플랫폼(210)의 데이터 저장소에서 데이터를 검색하고 조회하여 가져오는 역할을 수행할 수 있다.
이 때, 데이터 전처리부는 가져온 데이터에 대한 전처리를 수행하여 인공지능 학습을 위한 데이터셋으로 생성할 수 있다.
이 때, 인공지능 학습부는 전처리를 통해 생성된 학습 데이터셋을 다양한 인공지능 알고리즘으로 학습하고, 학습 모델을 생성하여 저장하는 역할을 수행할 수 있다.
이 때, 실시간 탐지부는 학습된 모델을 기반으로 실시간으로 들어오는 데이터를 탐지하고 분석할 수 있다.
그리고, 데이터 저장을 위해서는 라벨링된 데이터가 저장되는 데이터셋 저장소, 인공지능 알고리즘에 의해 학습된 모델이 저장되는 모델 저장소, 데이터셋, 전처리 데이터, 학습 모델등의 메타데이터가 저장되는 메타데이터 저장소, 그리고 학습 모델에 의해 탐지되는 탐지 결과가 저장되는 탐지결과 저장소로 구성된다.
또한, 도 2에 도시된 인공지능 학습 엔진(220)은 메타데이터 저장소를 포함할 수 있는데, 메타데이터 저장소는 도 8과 같은 구조로 구성될 수 있다.
도 8을 참조하면, 메타데이터 저장소에는 도 2에 도시된 인공지능 학습 엔진(220)과 이를 구성하는 데이터 전처리부에서 수행중인 태스크 ID, 현재 완료된 라벨링 데이터셋의 컨피그레이션 정보, 완료된 전처리 리스트 정보, 완료된 학습모델 리스트 정보, 현재 활성화되어 실행중인 학습모델 리스트 정보와 데이터셋 별 세부 파라미터, 전처리 별 세부 파라미터, 모델 별 세부 파라미터 정보가 JSON 형태로 저장될 수 있다.
이 때, 전처리 프로세스는 데이터 정제, 데이터 특징 추출, 연관 데이터 확장, 데이터 인코딩, 데이터 정형화 및 데이터 증폭을 수행할 수 있다.
이하에서는 도 3에 도시된 데이터 전처리부(320)를 참조하여 전처리 프로세스를 보다 상세하게 설명하도록 한다.
도 3에 도시된 데이터 전처리부(320)는 데이터 정제기, 데이터 특징 추출기, 연관 데이터 확장부, 데이터 인코딩부, 데이터 정형화부 및 데이터 증폭부으로 구성될 수 있고, 이에 대한 처리 수행 후 그 결과가 학습 데이터셋으로 저장될 수 있다.
이 때, 전처리 프로세스를 통해 추출되는 데이터 특징은 네트워크 연결 특징, 네트워크 포트 특징, 네트워크 프로토콜 특징, HTTP 헤더 정보 특징, GTP 터널링 정보 특징, 플로우 INTERVAL 정보 특징, 플로우 패킷 카운트 정보 특징 및 플로우 바이트 정보 특징을 포함할 수 있다.
예를 들어, 도 4를 참조하면, 먼저 데이터 정제부에서는 수집되는 네트워크 플로우 데이터(401)에서 플로우의 소스 IP와 목적지 IP가 모두 내부 IP이거나, 연속적으로 반복적인 데이터 등에 대해서 정제(필터링)을 수행할 수 있다.
이 후, 데이터 특징 추출기(410)는 이를 구성하는 다양한 특징 추출부를 통해 데이터 특징을 추출할 수 있다.
네트워크 연결 특징 추출부는 네트워크의 소스 IP와 목적지 IP 간의 연결 정보를 추출할 수 있고, 네트워크 포트 특징 추출부는 소스 포트와 목적지 포트 간의 분포를 추출할 수 있고, 네트워크 프로토콜 특징 추출부는 네트워크 플로우 내의 프로토콜 별 특징을 추출할 수 있고, HTTP 헤더 정보 특징 추출부는 HTTP의 헤더정보 상의 Request 정보와 Response 정보를 추출할 수 있다.
이 때, 5G gNB 와 UDF간에는 GTP 터널링을 수행하게 되는 되는데, GTP 터널링 정보 특징 추출부를 통해 터널링 헤더를 제거한 본래의 소스 IP와 목적지 IP의 유형에 대한 정보를 추출할 수 있다.
또한, 플로우 INTERVAL 특징 추출부는 네트워크 플로우 별로 생겨나는 Interval에 대한 전후 값을 추출할 수 있고, 플로우 패킷 카운트 정보 추출부는 플로우와 단위 윈도우 내의 패킷의 수를 추출하여 PPS(Packet Per Second)를 추출할 수 있고, 플로우 바이트 정보 추출부는 플로우와 단위 윈도우 내의 바이트의 양을 추출하여 BPS(Byte Per Second)를 추출할 수 있다.
이 후, 연관 데이터 확장부에서는 과거 공격 이력과 위치 정보 등이 추가될 수 있다.
이렇게 추출된 각 특징값들은 데이터 임베딩부에 의해 벡터로 임베딩된 후 데이터 정형화부에서 Min Max Normalization을 수행함으로써 전처리된 데이터(402)로 출력될 수 있다.
또한, 본 발명의 일실시예에 따른 다중 학습 모델을 이용한 5G 엣지 네트워크 침입 탐지 방법은 인공지능 기반의 다중 학습 모델을 기반으로 학습 데이터셋에 대한 다층 구조의 인공지능 학습을 수행한다(S130).
이 때, 다중 학습 모델은 지도 학습을 수행하는 제1 학습 모델, 준지도 학습을 수행하는 제2 학습 모델 및 제1 학습 모델과 제2 학습 모델의 출력 값을 기반으로 학습을 수행하는 제3 학습 모델을 포함할 수 있다.
이 때, 제1 학습 모델은 전처리 프로세스를 통해 라벨링된 데이터로 구성된 제1 학습 데이터셋으로 학습하고, 제2 학습 모델은 제1 학습 데이터셋과 전처리 프로세스를 통해 라벨링되지 않은 데이터로 구성된 제2 학습 데이터셋을 함께 이용하여 학습할 수 있다.
예를 들어, 도 5를 참조하면, 본 발명의 일실시예에 따른 5G 엣지 네트워크 침입 탐지 장치는 학습 및 탐지를 위한 인공지능 학습 엔진(510)을 포함할 수 있다. 도 5에 도시된 인공지능 학습 엔진(510)은 딥러닝 알고리즘을 적용한 지도학습 엔진부, 비지도학습 엔진부, 준지도학습 엔진부와 함께 학습 모델 실행부, 탐지 결과 분석 저장부, 학습 모델 저장소로 구성될 수 있다.
지도학습 엔진부는 전처리 프로세스에 의해 생성된 학습 데이터셋 중 라벨링된 학습 데이터셋에 대한 다양한 모델을 학습하기 위한 학습 엔진부에 상응할 수 있다. 예를 들어, CNN, LSTM, DNN 인공지능 알고리즘을 활용하여 입력되는 파라미터 값에 의해 다양한 모델을 학습할 수 있다.
비지도 학습 엔진부는 라벨링되지 않은 학습 데이터셋에 대해서 클러스터링을 수행하기 위한 학습 엔진부에 상응할 수 있다.
준지도학습 엔진부는 라벨링된 데이터와 라벨링되지 않은 데이터를 함께 학습하기 위한 학습 엔진부에 상응할 수 있다.
학습 모델 실행부는 각각의 학습 엔진부에서 생성된 학습 모델을 이용하여 실시간으로 수집되는 데이터를 분석하고 위협을 탐지하는 역할을 수행할 수 있다.
탐지 결과 분석 저장부는 학습 모델 실행부에 의한 분석 결과와 탐지 로그를 저장할 수 있고, 학습 모델 저장소는 각각의 학습 엔진부에서 생성된 학습 모델을 저장할 수 있다.
이 때, 제1 학습 데이터셋은 네트워크 플로우 데이터 중 보안데이터의 소스 IP와 목적지 IP에 상응하는 네트워크 플로우에 해당하는 제1 라벨링 데이터 및 라벨링되지 않은 데이터를 제1 라벨링 데이터와의 유사도를 고려하여 라벨링한 제2 라벨링 데이터를 포함할 수 있다.
이에 대한 상세한 설명은 도 6을 기반으로 지도/준지도 학습 모델에 의한 다중 모델 학습 과정을 설명하면서 추가하도록 한다.
도 6을 참조하면, 먼저 네트워크 보안장비인 IDS/IPS에서 수집된 보안 이벤트(610)에 대해서 통상적인 AI 기반의 정오탐 탐지 방법으로 정탐 보안 이벤트(TRUE POSITIVE ALERT)(611)만을 추출하여(S602) 저장할 수 있다.
또한, 네트워크 플로우 수집기를 통해 수집된 네트워크 플로우 데이터 중 정탐으로 인지된 보안 이벤트에 소스 IP와 목적지 IP에 해당되는 네트워크 플로우(621)에 대해 위협 데이터로 라벨링을 수행할 수 있다(S604).
이 때, 대용량의 네트워크 플로우 데이터의 경우, 보안 이벤트의 소스 IP와 목적지 IP에 해당되지 않는 네트워크 플로우(622)가 존재할 수 있는데, 이러한 네트워크 플로우(622)에 대해서는 명시적으로 라벨링을 수행하지 않을 수 있다. 대신 이 중 일부에 대해서는 정상으로 라벨링 한다.
이 때, 라벨링이 되지 않은 네트워크 플로우 데이터는 Unlabelled 데이터(622)로 저장될 수 있고, 라벨링이 완료된 데이터는 네트워크 플로우 라벨링 데이터셋(630)에 저장될 수 있다.
이 후, 유사도 기반 Pseudo 라벨링 과정(S606)을 수행할 수 있다.
이 때, 유사도 기반 Pseudo 라벨링은 라벨링이 되지 않은 데이터(622)를 네트워크 플로우 라벨링 데이터셋(630)에 저장된 라벨링된 데이터와 비교하여 유사도를 기준으로 라벨링을 수행하는 과정에 상응할 수 있다. 예를 들어, 라벨링되지 않은 데이터(622)와 유사도가 가장 높은 라벨링된 데이터의 라벨링 값으로 라벨링을 수행할 수 있다.
이렇게 유사도 기반 Pseudo 라벨링 과정을 통해 라벨링된 데이터와 네트워크 플로우 라벨링 데이터셋(630)에 저장된 명시적으로 라벨링된 데이터에 대해서 지도학습을 수행하여 학습 모델을 생성할 수 있다(S608).
또한, 라벨링되지 않은 데이터(622)와 라벨링된 데이터를 함께 이용하여 준지도학습을 수행하고, 이에 상응하는 학습 모델을 생성할 수 있다(S610).
이 후, 지도학습에 의해 학습된 모델에 의한 탐지 결과와 준지도 학습에 의해 학습된 모델에 의한 탐지 결과를 비교하는 과정을 통해 학습 데이터셋을 추가할 수 있다(S612).
예를 들어, 두 모델들 간의 탐지 결과가 동일한 경우의 데이터를 필터링하고 필터링된 학습 데이터셋을 다시 네트워크 플로우 라벨링 데이터셋(630)에 추가하는 과정을 반복하여 수행할 수 있다.
이 때, 다층 구조의 인공지능 학습은 제1 학습 모델과 제2 학습 모델로 구성되는 선행 학습 레이어 및 제3 학습 모델로 구성되는 후행 학습 레이어를 기반으로 수행될 수 있다.
이 때, 후행 학습 레이어는 선행 학습 레이어에 포함된 복수개의 학습 모델들의 출력 값을 어레이 데이터로 하는 학습 데이터셋을 이용하여 학습을 수행할 수 있다.
예를 들어, 도 7을 참조하면, 수집된 대용량 로우 데이터에 대해서 데이터 정제 및 증폭을 먼저 수행하고, 정제된 데이터에 대해서 데이터 특징을 추출할 수 있다. 이렇게 추출된 데이터에 대해서 데이터 라벨링을 수행할 수 있다.
이 때, 공격적인 위협 데이터로 라벨링이 된 데이터의 경우, 정상 데이터와 비교하였을 때 그 비율이 현저히 낮으므로 GAN 모델을 이용하여 데이터를 증폭할 수 있다.
이와 같은 전처리 프로세스를 통해 생성된 학습 데이터셋에 대해서 선행 딥러닝 레이어(Front Deep Learning Layer)(710)에서는 지도학습 알고리즘(CNN, LSTM, RNN)을 이용해서 다양한 모델을 생성할 수 있다. 또한, 지도학습과 비지도학습(Auto-encoder)을 병행하는 준지도학습도 함께 수행하여 보다 다양한 학습 모델을 생성할 수 있다.
이 후, 후행 딥러닝 레이어(2nd Deep Learning Layer)(720)는 선행 딥러닝 레이어(710)에서 생성된 학습 모델들에 의해 최종적으로 출력되는 output 값을 또 하나의 array 데이터로 생성할 수 있다. 이렇게 생성된 array 데이터를 DNN을 이용하여 학습하는 학습 모델을 생성할 수 있고, 그 결과를 최종적인 침입 탐지 분석 결과로 저장할 수 있다.
또한, 본 발명의 일실시예에 따른 다중 학습 모델을 이용한 5G 엣지 네트워크 침입 탐지 방법은 다중 학습 모델을 통해 탐지된 침입 탐지 결과를 사용자 대시보드로 제공한다(S140).
예를 들어, 도 2를 참조하면, 사용자 대시보드(230)는 학습된 탐지결과를 실시간으로 모니터링하기 위한 모니터링 UI, 데이터 라벨링을 요청하고 관리하기 위한 데이터 라벨링 UI, 학습 데이터셋에 대해 데이터 전처리를 수행하기 위한 데이터 전처리 UI, 인공지능 학습을 수행하고 구성하기 위한 모델 학습 UI, 생성된 모델을 관리하고 실시간 적용하기 위한 모델 관리 UI, 실시간 분석과 탐지 결과를 관리하기 위한 실시간 분석 탐지 UI 로 구성될 수 있다.
이 때, 사용자 대시보드는 실시간 탐지 현황, 실시간 수집 현황 및 시간대별 비정상 데이터 탐지 현황을 제공할 수 있다.
예를 들어, 도 9는 본 발명에 따른 다중 학습 모델 기반의 네트워크 침입 탐지를 위한 사용자 대시보드 화면의 일 예를 나타낸 것이다.
도 9를 참조하면, 모니터링 화면에서는 다양한 모델에 의해 탐지되는 네트워크 데이터의 실시간 탐지 현황과 실시간 수집 현황, 시간대별 비정상 데이터 탐지 현황을 나타낼 수 있다.
이상에서 살펴본 바와 같이 본 발명은 IDS/IPS 보안이벤트와 네트워크 플로우를 수집하여 5G 엣지 네트워크의 이상행위 탐지할 수 있다. 이를 위해, 네트워크 플로우와 보안장비에서 발생되는 보안 이벤트를 기반으로 상호 학습을 위한 학습 데이터셋을 생성하고, 라벨링이 된 네트워크 플로우와 라벨링이 되지 않은 네트워크 플로우를 준지도학습 기법을 이용하여 학습함으로써 대량의 네트워크 플로우 데이터 내에서도 사이버 위협과 공격 패턴을 인지하고 탐지할 수 있다.
이와 같은 5G 엣지 네트워크 침입 탐지 방법을 통해 네트워크 보안장비와 네트워크 플로우 수집 장비에서 발생하는 보안 로그, 보안이벤트 및 네트워크 플로우를 수집하고, 다양한 인공지능 학습을 이용하여 생성된 모델을 기반으로 다중 모델 기반으로 데이터의 이상 징후와 사이버 위협을 탐지할 수 있다.
또한, 네트워크 플로우와 보안장비에서 발생되는 보안 이벤트를 기반으로 상호학습을 위한 데이터셋을 생성하여 대량의 네트워크 플로우 데이터 내에서도 사이버 위협과 공격 패턴을 인지하고 탐지할 수 있다.
도 10은 본 발명의 일실시예에 따른 다중 학습 모델을 이용한 5G 엣지 네트워크 침입 탐지 장치를 나타낸 도면이다.
도 10을 참조하면, 본 발명의 일실시예에 따른 다중 학습 모델을 이용한 5G 엣지 네트워크 침입 탐지 장치는 컴퓨터로 읽을 수 있는 기록매체와 같은 컴퓨터 시스템에서 구현될 수 있다. 도 10에 도시된 바와 같이, 컴퓨터 시스템(1000)은 버스(1020)를 통하여 서로 통신하는 하나 이상의 프로세서(1010), 메모리(1030), 사용자 입력 장치(1040), 사용자 출력 장치(1050) 및 스토리지(1060)를 포함할 수 있다. 또한, 컴퓨터 시스템(1000)은 네트워크(1080)에 연결되는 네트워크 인터페이스(1070)를 더 포함할 수 있다. 프로세서(1010)는 중앙 처리 장치 또는 메모리(1030)나 스토리지(1060)에 저장된 프로세싱 인스트럭션들을 실행하는 반도체 장치일 수 있다. 메모리(1030) 및 스토리지(1060)는 다양한 형태의 휘발성 또는 비휘발성 저장 매체일 수 있다. 예를 들어, 메모리는 ROM(1031)이나 RAM(1032)을 포함할 수 있다.
프로세서(1010)는 5G 엣지 네트워크를 기반으로 대용량 로우(RAW) 데이터를 수집한다.
이 때, 대용량 로우 데이터는 IPS(INTRUSION PREVENTION SYSTEM) 및 IDS(INTRUSION DETECTION SYSTEM) 기반의 보안데이터 및 네트워크 플로우 데이터를 포함하고, 보안데이터와 네트워크 플로우 데이터는 각각 분리되어 저장될 수 있다.
또한, 프로세서(1010)는 대용량 로우 데이터에 대해 데이터 라벨링 기반의 전처리 프로세스를 수행하여 학습 데이터셋을 생성한다.
이 때, 전처리 프로세스는 데이터 정제, 데이터 특징 추출, 연관 데이터 확장, 데이터 인코딩, 데이터 정형화 및 데이터 증폭을 수행할 수 있다.
이 때, 전처리 프로세스를 통해 추출되는 데이터 특징은 네트워크 연결 특징, 네트워크 포트 특징, 네트워크 프로토콜 특징, HTTP 헤더 정보 특징, GTP 터널링 정보 특징, 플로우 INTERVAL 정보 특징, 플로우 패킷 카운트 정보 특징 및 플로우 바이트 정보 특징을 포함할 수 있다.
또한, 프로세서(1010)는 인공지능 기반의 다중 학습 모델을 기반으로 학습 데이터셋에 대한 다층 구조의 인공지능 학습을 수행한다.
이 때, 다중 학습 모델은 지도 학습을 수행하는 제1 학습 모델, 준지도 학습을 수행하는 제2 학습 모델 및 제1 학습 모델과 제2 학습 모델의 출력 값을 기반으로 학습을 수행하는 제3 학습 모델을 포함할 수 있다.
이 때, 다층 구조의 인공지능 학습은 제1 학습 모델과 제2 학습 모델로 구성되는 선행 학습 레이어 및 제3 학습 모델로 구성되는 후행 학습 레이어를 기반으로 수행될 수 있다.
이 때, 후행 학습 레이어는 선행 학습 레이어에 포함된 복수개의 학습 모델들의 출력 값을 어레이 데이터로 하는 학습 데이터셋을 이용하여 학습을 수행할 수 있다.
이 때, 제1 학습 모델은 전처리 프로세스를 통해 라벨링된 데이터로 구성된 제1 학습 데이터셋으로 학습하고, 제2 학습 모델은 제1 학습 데이터셋과 전처리 프로세스를 통해 라벨링되지 않은 데이터로 구성된 제2 학습 데이터셋을 함께 이용하여 학습할 수 있다.
이 때, 제1 학습 데이터셋은 네트워크 플로우 데이터 중 보안데이터의 소스 IP와 목적지 IP에 상응하는 네트워크 플로우에 해당하는 제1 라벨링 데이터 및 라벨링되지 않은 데이터를 제1 라벨링 데이터와의 유사도를 고려하여 라벨링한 제2 라벨링 데이터를 포함할 수 있다.
또한, 프로세서(1010)는 다중 학습 모델을 통해 탐지된 침입 탐지 결과를 사용자 대시보드로 제공한다.
이 때, 사용자 대시보드는 실시간 탐지 현황, 실시간 수집 현황 및 시간대별 비정상 데이터 탐지 현황을 제공할 수 있다.
따라서, 본 발명의 실시예는 컴퓨터로 구현된 방법이나 컴퓨터에서 실행 가능한 명령어들이 기록된 비일시적인 컴퓨터에서 읽을 수 있는 매체로 구현될 수 있다. 컴퓨터에서 읽을 수 있는 명령어들이 프로세서에 의해서 수행될 때, 컴퓨터에서 읽을 수 있는 명령어들은 본 발명의 적어도 한 가지 측면에 따른 방법을 수행할 수 있다.
이와 같은 5G 엣지 네트워크 침입 탐지 장치를 이용함으로써 네트워크 보안장비와 네트워크 플로우 수집 장비에서 발생하는 보안 로그, 보안이벤트 및 네트워크 플로우를 수집하고, 다양한 인공지능 학습을 이용하여 생성된 모델을 기반으로 다중 모델 기반으로 데이터의 이상 징후와 사이버 위협을 탐지할 수 있다.
또한, 네트워크 플로우와 보안장비에서 발생되는 보안 이벤트를 기반으로 상호학습을 위한 데이터셋을 생성하여 대량의 네트워크 플로우 데이터 내에서도 사이버 위협과 공격 패턴을 인지하고 탐지할 수 있다.
이상에서와 같이 본 발명에 따른 다중 학습 모델을 이용한 5G 엣지 네트워크 침입 탐지 장치 및 이를 이용한 방법은 상기한 바와 같이 설명된 실시예들의 구성과 방법이 한정되게 적용될 수 있는 것이 아니라, 상기 실시예들은 다양한 변형이 이루어질 수 있도록 각 실시예들의 전부 또는 일부가 선택적으로 조합되어 구성될 수도 있다.
210: 데이터 수집 처리 플랫폼 220: 인공지능 학습 엔진
230: 사용자 대시보드 301: 보안장비 IDS/IPS
302: 네트워크 플로우 수집기 310: 데이터 수집기
320: 데이터 전처리기 401: 네트워크 플로우 데이터
402: 전처리된 데이터 410: 데이터 특징 추출기
500: 학습 데이터셋 510: 인공지능 학습 엔진
610: IDS/IPS 보안 이벤트 611: TRUE POSITIVE ALERT
630: 네트워크 플로우 라벨링 데이터셋 710: 선행 학습 레이어
720: 후행 학습 레이어 1000: 컴퓨터 시스템
1010: 프로세서 1020: 버스
1030: 메모리 1031: 롬
1032: 램 1040: 사용자 입력 장치
1050: 사용자 출력 장치 1060: 스토리지
1070: 네트워크 인터페이스 1080: 네트워크
230: 사용자 대시보드 301: 보안장비 IDS/IPS
302: 네트워크 플로우 수집기 310: 데이터 수집기
320: 데이터 전처리기 401: 네트워크 플로우 데이터
402: 전처리된 데이터 410: 데이터 특징 추출기
500: 학습 데이터셋 510: 인공지능 학습 엔진
610: IDS/IPS 보안 이벤트 611: TRUE POSITIVE ALERT
630: 네트워크 플로우 라벨링 데이터셋 710: 선행 학습 레이어
720: 후행 학습 레이어 1000: 컴퓨터 시스템
1010: 프로세서 1020: 버스
1030: 메모리 1031: 롬
1032: 램 1040: 사용자 입력 장치
1050: 사용자 출력 장치 1060: 스토리지
1070: 네트워크 인터페이스 1080: 네트워크
Claims (20)
- 5G 엣지 네트워크를 기반으로 대용량 로우(RAW) 데이터를 수집하는 단계;
상기 대용량 로우 데이터에 대해 데이터 라벨링 기반의 전처리 프로세스를 수행하여 학습 데이터셋을 생성하는 단계;
인공지능 기반의 다중 학습 모델을 기반으로 상기 학습 데이터셋에 대한 다층 구조의 인공지능 학습을 수행하는 단계; 및
상기 다중 학습 모델을 통해 탐지된 침입 탐지 결과를 사용자 대시보드로 제공하는 단계
를 포함하고,
상기 다중 학습 모델은
지도 학습을 수행하는 제1 학습 모델, 준지도 학습을 수행하는 제2 학습 모델 및 상기 제1 학습 모델과 상기 제2 학습 모델의 출력 값을 기반으로 학습을 수행하는 제3 학습 모델을 포함하고,
상기 제1 학습 모델은 상기 전처리 프로세스를 통해 라벨링된 데이터로 구성된 제1 학습 데이터셋으로 학습하고, 상기 제2 학습 모델은 상기 제1 학습 데이터셋과 상기 전처리 프로세스를 통해 라벨링되지 않은 데이터로 구성된 제2 학습 데이터셋을 함께 이용하여 학습하되,
상기 제1 학습 데이터셋은
상기 대용량 로우 데이터에 포함되는 네트워크 플로우 데이터 중 보안데이터의 소스 IP와 목적지 IP에 상응하는 네트워크 플로우에 해당하는 제1 라벨링 데이터 및 상기 라벨링되지 않은 데이터를 상기 제1 라벨링 데이터와의 유사도를 고려하여 라벨링한 제2 라벨링 데이터를 포함하는 것을 특징으로 하는 5G 엣지 네트워크 침입 탐지 방법. - 청구항 1에 있어서,
상기 대용량 로우 데이터는 IPS(INTRUSION PREVENTION SYSTEM) 및 IDS(INTRUSION DETECTION SYSTEM) 기반의 보안데이터 및 네트워크 플로우 데이터를 포함하고, 상기 보안데이터와 상기 네트워크 플로우 데이터는 각각 분리되어 저장되는 것을 특징으로 하는 5G 엣지 네트워크 침입 탐지 방법. - 삭제
- 청구항 1에 있어서,
상기 다층 구조의 인공지능 학습은
상기 제1 학습 모델과 상기 제2 학습 모델로 구성되는 선행 학습 레이어 및 상기 제3 학습 모델로 구성되는 후행 학습 레이어를 기반으로 수행되는 것을 특징으로 하는 5G 엣지 네트워크 침입 탐지 방법. - 청구항 4에 있어서,
상기 후행 학습 레이어는
상기 선행 학습 레이어에 포함된 복수개의 학습 모델들의 출력 값을 어레이 데이터로 하는 학습 데이터셋을 이용하여 학습을 수행하는 것을 특징으로 하는 5G 엣지 네트워크 침입 탐지 방법. - 삭제
- 삭제
- 청구항 1에 있어서,
상기 전처리 프로세스는
데이터 정제, 데이터 특징 추출, 연관 데이터 확장, 데이터 인코딩, 데이터 정형화 및 데이터 증폭을 수행하는 것을 특징으로 하는 5G 엣지 네트워크 침입 탐지 방법. - 청구항 8에 있어서,
상기 전처리 프로세스를 통해 추출되는 데이터 특징은
네트워크 연결 특징, 네트워크 포트 특징, 네트워크 프로토콜 특징, HTTP 헤더 정보 특징, GTP 터널링 정보 특징, 플로우 INTERVAL 정보 특징, 플로우 패킷 카운트 정보 특징 및 플로우 바이트 정보 특징을 포함하는 것을 특징으로 하는 5G 엣지 네트워크 침입 탐지 방법. - 청구항 1에 있어서,
상기 사용자 대시보드는
실시간 탐지 현황, 실시간 수집 현황 및 시간대별 비정상 데이터 탐지 현황을 제공하는 것을 특징으로 하는 5G 엣지 네트워크 침입 탐지 방법. - 5G 엣지 네트워크를 기반으로 대용량 로우(RAW) 데이터를 수집하고, 상기 대용량 로우 데이터에 대해 데이터 라벨링 기반의 전처리 프로세스를 수행하여 학습 데이터셋을 생성하고, 인공지능 기반의 다중 학습 모델을 기반으로 상기 학습 데이터셋에 대한 다층 구조의 인공지능 학습을 수행하고, 상기 다중 학습 모델을 통해 탐지된 침입 탐지 결과를 사용자 대시보드로 제공하는 프로세서; 및
상기 대용량 로우 데이터를 저장하는 메모리
를 포함하고,
상기 다중 학습 모델은
지도 학습을 수행하는 제1 학습 모델, 준지도 학습을 수행하는 제2 학습 모델 및 상기 제1 학습 모델과 상기 제2 학습 모델의 출력 값을 기반으로 학습을 수행하는 제3 학습 모델을 포함하고,
상기 제1 학습 모델은 상기 전처리 프로세스를 통해 라벨링된 데이터로 구성된 제1 학습 데이터셋으로 학습하고, 상기 제2 학습 모델은 상기 제1 학습 데이터셋과 상기 전처리 프로세스를 통해 라벨링되지 않은 데이터로 구성된 제2 학습 데이터셋을 함께 이용하여 학습하되,
상기 제1 학습 데이터셋은
상기 대용량 로우 데이터에 포함되는 네트워크 플로우 데이터 중 보안데이터의 소스 IP와 목적지 IP에 상응하는 네트워크 플로우에 해당하는 제1 라벨링 데이터 및 상기 라벨링되지 않은 데이터를 상기 제1 라벨링 데이터와의 유사도를 고려하여 라벨링한 제2 라벨링 데이터를 포함하는 것을 특징으로 하는 5G 엣지 네트워크 침입 탐지 장치. - 청구항 11에 있어서,
상기 대용량 로우 데이터는 IPS(INTRUSION PREVENTION SYSTEM) 및 IDS(INTRUSION DETECTION SYSTEM) 기반의 보안데이터 및 네트워크 플로우 데이터를 포함하고, 상기 보안데이터와 상기 네트워크 플로우 데이터는 각각 분리되어 저장되는 것을 특징으로 하는 5G 엣지 네트워크 침입 탐지 장치. - 삭제
- 청구항 11에 있어서,
상기 다층 구조의 인공지능 학습은
상기 제1 학습 모델과 상기 제2 학습 모델로 구성되는 선행 학습 레이어 및 상기 제3 학습 모델로 구성되는 후행 학습 레이어를 기반으로 수행되는 것을 특징으로 하는 5G 엣지 네트워크 침입 탐지 장치. - 청구항 14에 있어서,
상기 후행 학습 레이어는
상기 선행 학습 레이어에 포함된 복수개의 학습 모델들의 출력 값을 어레이 데이터로 하는 학습 데이터셋을 이용하여 학습을 수행하는 것을 특징으로 하는 5G 엣지 네트워크 침입 탐지 장치. - 삭제
- 삭제
- 청구항 11에 있어서,
상기 전처리 프로세스는
데이터 정제, 데이터 특징 추출, 연관 데이터 확장, 데이터 인코딩, 데이터 정형화 및 데이터 증폭을 수행하는 것을 특징으로 하는 5G 엣지 네트워크 침입 탐지 장치. - 청구항 18에 있어서,
상기 전처리 프로세스를 통해 추출되는 데이터 특징은
네트워크 연결 특징, 네트워크 포트 특징, 네트워크 프로토콜 특징, HTTP 헤더 정보 특징, GTP 터널링 정보 특징, 플로우 INTERVAL 정보 특징, 플로우 패킷 카운트 정보 특징 및 플로우 바이트 정보 특징을 포함하는 것을 특징으로 하는 5G 엣지 네트워크 침입 탐지 장치. - 청구항 11에 있어서,
상기 사용자 대시보드는
실시간 탐지 현황, 실시간 수집 현황 및 시간대별 비정상 데이터 탐지 현황을 제공하는 것을 특징으로 하는 5G 엣지 네트워크 침입 탐지 장치.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020210146690A KR102604380B1 (ko) | 2021-10-29 | 2021-10-29 | 다중 학습 모델을 이용한 5g 엣지 네트워크 침입 탐지 장치 및 이를 이용한 방법 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020210146690A KR102604380B1 (ko) | 2021-10-29 | 2021-10-29 | 다중 학습 모델을 이용한 5g 엣지 네트워크 침입 탐지 장치 및 이를 이용한 방법 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| KR20230061932A KR20230061932A (ko) | 2023-05-09 |
| KR102604380B1 true KR102604380B1 (ko) | 2023-11-23 |
Family
ID=86408632
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020210146690A KR102604380B1 (ko) | 2021-10-29 | 2021-10-29 | 다중 학습 모델을 이용한 5g 엣지 네트워크 침입 탐지 장치 및 이를 이용한 방법 |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR102604380B1 (ko) |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR102068622B1 (ko) * | 2019-03-14 | 2020-01-21 | 차수정 | 이기종 네트워크 보안시스템을 위한 빅데이타 분석기반의 지능형 장애예측 시스템 |
| KR102313843B1 (ko) * | 2020-10-29 | 2021-10-15 | 한국인터넷진흥원 | 다중 기계 학습 기반 악성 url 예측 방법, 그리고 이를 구현하기 위한 장치 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR102148283B1 (ko) | 2019-01-31 | 2020-08-26 | (주)에이알씨엔에스 | 딥 러닝을 이용한 네트워크 공격 탐지 시스템 |
-
2021
- 2021-10-29 KR KR1020210146690A patent/KR102604380B1/ko active IP Right Grant
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR102068622B1 (ko) * | 2019-03-14 | 2020-01-21 | 차수정 | 이기종 네트워크 보안시스템을 위한 빅데이타 분석기반의 지능형 장애예측 시스템 |
| KR102313843B1 (ko) * | 2020-10-29 | 2021-10-15 | 한국인터넷진흥원 | 다중 기계 학습 기반 악성 url 예측 방법, 그리고 이를 구현하기 위한 장치 |
Also Published As
| Publication number | Publication date |
|---|---|
| KR20230061932A (ko) | 2023-05-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN113645232B (zh) | 一种面向工业互联网的智能化流量监测方法、系统及存储介质 | |
| CN106789964A (zh) | 云资源池数据安全检测方法及系统 | |
| EP2936772B1 (en) | Network security management | |
| CN112560029A (zh) | 基于智能分析技术的网站内容监测和自动化响应防护方法 | |
| CN109218321A (zh) | 一种网络入侵检测方法及系统 | |
| CN104022924A (zh) | 一种http通信内容检测的方法 | |
| KR20210115991A (ko) | 시계열 데이터 분석을 이용한 네트워크 이상징후 탐지 방법 및 장치 | |
| CN115134250B (zh) | 一种网络攻击溯源取证方法 | |
| CN106951776A (zh) | 一种主机异常检测方法和系统 | |
| CN110519231A (zh) | 一种跨域数据交换监管系统及方法 | |
| Wang et al. | An unknown protocol syntax analysis method based on convolutional neural network | |
| CN110839042A (zh) | 一种基于流量的自反馈恶意软件监测系统和方法 | |
| Werner et al. | Near real-time intrusion alert aggregation using concept-based learning | |
| CN114189367A (zh) | 一种基于知识图谱的安全日志分析系统 | |
| Ebrahimi et al. | Automatic attack scenario discovering based on a new alert correlation method | |
| KR102604380B1 (ko) | 다중 학습 모델을 이용한 5g 엣지 네트워크 침입 탐지 장치 및 이를 이용한 방법 | |
| CN111339050A (zh) | 一种基于大数据平台集中安全审计的方法及系统 | |
| CN111709021B (zh) | 一种基于海量告警的攻击事件识别方法及电子装置 | |
| WO2024051017A1 (zh) | 基于分布式的网站篡改检测系统及方法 | |
| Lam | Detecting unauthorized network intrusion based on network traffic using behavior analysis techniques | |
| Xiao et al. | Alert verification based on attack classification in collaborative intrusion detection | |
| Liao et al. | Research on network intrusion detection method based on deep learning algorithm | |
| Xu | Research on network intrusion detection method based on machine learning | |
| Pandeeswari et al. | Analysis of Intrusion Detection Using Machine Learning Techniques | |
| de la Torre-Abaitua et al. | A parameter-free method for the detection of web attacks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| E902 | Notification of reason for refusal | ||
| E701 | Decision to grant or registration of patent right |