KR102609592B1 - IoT 시스템의 비정상행위 탐지 방법 및 그 장치 - Google Patents

IoT 시스템의 비정상행위 탐지 방법 및 그 장치 Download PDF

Info

Publication number
KR102609592B1
KR102609592B1 KR1020210174117A KR20210174117A KR102609592B1 KR 102609592 B1 KR102609592 B1 KR 102609592B1 KR 1020210174117 A KR1020210174117 A KR 1020210174117A KR 20210174117 A KR20210174117 A KR 20210174117A KR 102609592 B1 KR102609592 B1 KR 102609592B1
Authority
KR
South Korea
Prior art keywords
characteristic information
information
network
gateway
packet
Prior art date
Application number
KR1020210174117A
Other languages
English (en)
Other versions
KR20230085692A (ko
Inventor
백윤흥
김현준
안선우
하회리
Original Assignee
서울대학교산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 서울대학교산학협력단 filed Critical 서울대학교산학협력단
Priority to KR1020210174117A priority Critical patent/KR102609592B1/ko
Publication of KR20230085692A publication Critical patent/KR20230085692A/ko
Application granted granted Critical
Publication of KR102609592B1 publication Critical patent/KR102609592B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/044Recurrent networks, e.g. Hopfield networks
    • G06N3/0442Recurrent networks, e.g. Hopfield networks characterised by memory or gating, e.g. long short-term memory [LSTM] or gated recurrent units [GRU]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/045Combinations of networks
    • G06N3/0455Auto-encoder networks; Encoder-decoder networks
    • GPHYSICS
    • G16INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
    • G16YINFORMATION AND COMMUNICATION TECHNOLOGY SPECIALLY ADAPTED FOR THE INTERNET OF THINGS [IoT]
    • G16Y30/00IoT infrastructure
    • G16Y30/10Security thereof
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/142Network analysis or design using statistical or mathematical methods
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/026Capturing of monitoring data using flow identification

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mathematical Physics (AREA)
  • Computer Hardware Design (AREA)
  • Biophysics (AREA)
  • Computational Linguistics (AREA)
  • Molecular Biology (AREA)
  • General Health & Medical Sciences (AREA)
  • Evolutionary Computation (AREA)
  • Health & Medical Sciences (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Artificial Intelligence (AREA)
  • Biomedical Technology (AREA)
  • Data Mining & Analysis (AREA)
  • Pure & Applied Mathematics (AREA)
  • Mathematical Analysis (AREA)
  • Mathematical Optimization (AREA)
  • Probability & Statistics with Applications (AREA)
  • Algebra (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

IoT 시스템의 비정상행위 탐지 방법 및 그 장치가 개시된다. 비정상행위탐지장치는 패킷 트래픽 패턴을 기반으로 네트워크 특징정보를 파악하고, 디바이스 내 패킷의 처리 과정에서 발생한 시스템 콜 시퀀스를 기반으로 디바이스 특징정보를 파악한 후 네트워크 특징정보와 디바이스 특징정보를 결합한 통합 특징정보를 비정상예측모델에 입력하여 비정상행위를 판별한다.

Description

IoT 시스템의 비정상행위 탐지 방법 및 그 장치{Method and apparatus for detecting abnormal behavior of IoT system}
본 발명의 실시 예는 IoT(Internet of Things) 시스템에 대한 악의적인 공격 등을 파악하기 위한 비정상행위 탐지 방법 및 그 장치에 관한 것이다.
최근 IoT(Internet of Things) 플랫폼 시장의 규모가 꾸준히 성장하고 있다. IoT 기술이 상용화된 이후로 꾸준히 IoT 기기들이 보급되고 있고 많은 사람이 실생활에서 IoT 기기들을 활용하고 있다. IoT 기기들은 사람들의 생활과 직접적으로 관련되어 있기 때문에 기기들에 보안 이슈가 발생하면 치명적일 수 있다. 최근 개발되는 많은 IoT 기기들과 IoT AP(Application Processor)들은 다양한 IoT 플랫폼 서비스를 제공하기 위해 점점 성능이 높고 다양한 프로그램을 구동할 수 있는 범용성 CPU를 탑재하고 있으며, 해당 기기들에 비정상행위 탐지 소프트웨어를 추가하여 보안성을 향상할 수 있다.
IoT 환경에서 IoT 디바이스들을 보호하기 위해 무선 로컬 게이트웨이에 탑재되어 게이트웨이를 지나가는 패킷을 감시하고 연결된 IoT 디바이스들을 보호하는 네트워크 침입 탐지 시스템(NIDS, Network Intrusion Detection System)이 개발되었다. NIDS는 네트워크 시스템의 네트워크 트래픽을 모니터링하여 비정상 행위를 탐지하는 방어 솔루션이다. NIDS는 딥러닝 모델 기술을 활용하여 대상 네트워크 시스템의 정상 트래픽 패턴을 학습하여 비정상 상태를 판단하도록 설계되어 높은 탐지 성능을 달성할 수 있다. 그러나 기존의 NIDS는 트래픽모방공격(traffic mimicry attack)에 취약한 단점이 있다. 트래픽모방공격에 사용되는 패킷은 트래픽 패턴만 분석하면 정상이라고 판단되지만 디바이스에 도달한 다음에 페이로드가 복호화되어 실행될 때 악의적 행위를 수행한다. 해당 공격을 비정상행위로 판단할 근거를 찾지 못하는 기존의 NIDS들은 해당 공격에 대한 탐지 성능이 낮다.
본 발명의 실시 예가 이루고자 하는 기술적 과제는, IoT 시스템의 IoT 디바이스들을 보호하기 위하여 트래픽모방공격을 포함한 악의적 공격 등의 비정상 행위를 탐지하는 방법 및 그 장치를 제공하는 데 있다.
상기의 기술적 과제를 달성하기 위한, 본 발명의 실시 예에 따른 IoT 시스템의 비정상행위 탐지 방법의 일 예는, 비정상행위탐지장치가 수행하는 비정상행위 탐지 방법에 있어서, 패킷 트래픽 패턴을 기반으로 네트워크 특징정보를 파악하는 단계; 디바이스 내 패킷의 처리 과정에서 발생한 시스템 콜 시퀀스를 기반으로 디바이스 특징정보를 파악하는 단계; 및 상기 네트워크 특징정보와 상기 디바이스 특징정보를 결합한 통합 특징정보를 비정상예측모델에 입력하여 비정상행위를 판별하는 단계;를 포함한다.
상기의 기술적 과제를 달성하기 위한, 본 발명의 실시 예에 따른 IoT 시스템의 일 예는, 패킷 트래픽 패턴을 기반으로 네트워크 특징정보를 추출하는 게이트웨이; 및 상기 게이트웨이로부터 전달받은 패킷의 처리 과정에서 발생한 시스템 콜 시퀀스를 기반으로 디바이스 특징정보를 추출하는 적어도 하나 이상의 디바이스;를 포함하고, 상기 게이트웨이는 상기 디바이스로부터 수신한 디바이스 특징정보와 상기 네트워크 특징정보를 결합한 통합 특징정보를 비정상예측모델에 입력하여 비정상행위를 판별한다.
본 발명의 실시 예에 따르면, IoT 디바이스들이 연결된 로컬 게이트웨이로 각 IoT 디바이스의 행위 정보를 전송하고, 디바이스 행위 정보와 게이트웨이를 지나가는 패킷을 분석하여 얻은 네트워크 행위 정보를 결합하여 전체 IoT 시스템의 비정상행위를 판단할 수 있다. 본 실시 예는 네트워크 공격뿐만 아니라 트래픽모방공격(traffic mimicry attack)(정상적인 네트워크 패턴과 유사한 네트워크 패턴을 생성하지만, 패킷이 디바이스에 도달하여 페이로드가 복호화된 다음에 실행되어 악의적 행위를 수행하는 공격)도 탐지할 수 있다.
도 1은 본 발명의 실시 예에 따른 비정상행위탐지장치의 일 예를 도시한 도면,
도 2는 본 발명의 실시 예에 따른 IoT 시스템의 일 예를 도시한 도면,
도 3은 본 발명의 실시 예에 따른 IoT 시스템의 비정상행위 탐지 방법의 일 예를 도시한 흐름도,
도 4는 본 발명의 실시 예에 따른 네트워크 특징정보의 생성 방법의 일 예를 도시한 도면,
도 5는 본 발명의 실시 예에 따른 디바이스 특징정보의 생성 방법의 일 예를 도시한 도면,
도 6은 본 발명이 실시 예에 따른 디바이스 특징정보를 인공지능모델을 이용하여 생성하는 방법의 일 예를 도시한 도면,
도 7은 본 발명의 실시 예에 따른 비정상행위 탐지를 위한 IoT 시스템의 상세 구성의 일 예를 도시한 도면,
도 8은 본 발명의 실시 예에 따른 네트워크 식별정보와 디바이스 식별정보를 맵핑하는 방법의 일 예를 도시한 도면, 그리고,
도 9는 본 발명의 실시 예에 따른 게이트웨이의 비정상탐지부의 상세 구성을 도시한 도면이다.
이하에서, 첨부된 도면들을 참조하여 본 발명의 실시 예에 따른 IoT 시스템의 비정상행위 탐지 방법 및 그 장치에 대해 상세히 설명한다.
도 1은 본 발명의 실시 예에 따른 비정상행위탐지장치의 일 예를 도시한 도면이다.
도 1을 참조하면, 비정상행위탐지장치(100)는 게이트웨이 및 IoT 디바이스로 구성되는 IoT 시스템에 송수신되는 패킷(110)을 분석하여 얻은 네트워크 특징정보와 IoT 디바이스 내 패킷 처리 과정에서 추출한 디바이스 특징정보를 결합한 통합 특징정보를 기초로 트래픽모방공격을 포함한 비정상행위를 탐지(120)하여 출력한다.
비정상행위를 탐지하는 비정상행위탐지장치(100)는 도 2의 게이트웨이(200) 또는 IoT 디바이스(210,212)의 일부로 구현되거나 또는 별개의 장치로 구현될 수 있다. 예를 들어, 비정상행위탐지장치(100)는 게이트웨이(200)와 유선 또는 무선으로 연결되는 별개의 장치로 구현될 수 있다. 다만 이하에서는 설명의 편의를 위하여 비정상행위탐지장치(100)가 게이트웨이(200)와 IoT 디바이스(210,212)의 일부로 구현된 경우를 가정하여 설명한다.
도 2는 본 발명의 실시 예에 따른 IoT 시스템의 일 예를 도시한 도면이다.
도 2를 참조하면, IoT 시스템은 게이트웨이(200) 및 적어도 하나 이상의 IoT 디바이스(210,212)를 포함한다. 게이트웨이(200)는 적어도 하나 이상의 IoT 디바이스(210,212)와 외부망(예를 들어, 인터넷 등) 사이에 위치하여 패킷을 송수신하는 역할을 수행하는 장치이다. 게이트웨이(200)와 IoT 디바이스(210,212)는 유선 또는 무선으로 연결될 수 있다. 게이트웨이(200)와 적어도 하나 이상의 IoT 디바이스(210,212)로 구성되는 IoT 시스템은 이미 널리 알려진 구조이므로 이에 대한 상세한 설명은 생략한다. 본 실시 예에 따른 비정상행위탐지장치(100)는 소프트웨어로 구현되어 게이트웨이(200) 및 IoT 디바이스(210,212)의 메모리에 탑재된 후 게이트웨이(200) 및 IoT 디바이스(210,212)의 프로세서에 의해 수행될 수 있다. 따라서 이하에서는 비정상행위의 탐지 수행의 주체를 게이트웨이 또는 IoT 디바이스(210,212)로 표시하여 설명한다.
도 3은 본 발명의 실시 예에 따른 IoT 시스템의 비정상행위 탐지 방법의 일 예를 도시한 흐름도이다.
도 2 및 도 3을 참조하면, 게이트웨이(200)는 패킷을 수신하면 패킷 트래픽 패턴을 기반으로 네트워크 특징정보를 파악한다(S300). 패킷 트래픽 패턴은 전체 패킷 크기, 패킷 수, 패킷 지터 등 다양한 값으로 정의될 수 있으며 이러한 패킷 트래픽 패턴을 기반으로 네트워크 특징정보를 정의할 수 있다. 네트워크 특징정보를 생성하는 방법의 일 예가 도 4에 도시되어 있다.
패킷을 전달받은 적어도 하나 이상의 IoT 디바이스(210,212)(이하, '디바이스'라 함)는 패킷 처리 과정에서 발생한 시스템 콜 시퀀스(system call sequence)를 기반으로 디바이스 특징정보를 파악한다(S310). 각 디바이스(210,212)가 디바이스 특징정보를 파악하는 구체적인 방법에 대해서는 도 5 및 도 6에서 다시 살펴본다.
게이트웨이(200)는 네트워크 특징정보와 디바이스 특징정보를 결합한 통합 특징정보를 기 정의된 비정상예측모델에 입력하여 비정상행위를 탐지한다(S320). 비정상예측모델은 통합 특징정보를 입력받으면 비정상행위 유무에 대한 예측값을 출력하도록 훈련된 딥러닝모델이다. 비정상예측모델은 종래의 다양한 신경망 네트워크 등으로 구현될 수 있다. 게이트웨이(200)에 연결된 복수의 디바이스(210,212)가 존재하면, 네트워크 특징정보와 복수의 디바이스 특징정보를 결합한 통합 특징정보의 크기가 커지므로 통합 특징정보의 차원을 적절히 축소하여 비정상예측모델을 통해 비정상행위를 탐지할 수 있으며, 이에 대한 예가 도 9에 도시되어 있다.
게이트웨이(200)가 패킷에 대한 네트워크 특징정보를 파악하고, 게이트웨이에 연결된 각 디바이스(210,212)가 디바이스 특징정보를 파악한다. 즉, 네트워크 특징정보의 생성주체과 디바이스 특징정보의 생성주체가 서로 상이할 수 있다. 이 경우, 게이트웨이(200)는 각 디바이스(210,212)로부터 수신한 디바이스 특징정보가 어떤 네트워크 특징정보와 매칭되어야 하는지 파악할 필요가 있다. 이를 위해 게이트웨이(200)와 각 디바이스(210,212)는 패킷에 특징식별정보를 부가하여 서로 송수신할 수 있다. 이에 대해서는 도 8에서 다시 살펴본다.
도 4는 본 발명의 실시 예에 따른 네트워크 특징정보의 생성 방법의 일 예를 도시한 도면이다.
도 4를 참조하면, 네트워크 특징정보(420)는 패킷 트래픽 패턴을 정의하는 패킷 크기, 패킷 수, 패킷 지터 등의 정보로 구성될 수 있다. 게이트웨이(200)는 패킷 플로우 단위로 네트워크 특징정보의 생성에 사용되는 패킷 크기나 패킷 수 등의 패킷 트래픽 패턴의 통계정보(400)를 저장 관리한다. 새로운 패킷(410)이 수신되면, 게이트웨이(200)는 패킷(410)이 속한 플로우를 식별한 후 해당 플로우의 패킷 크기, 패킷 수, 패킷 지터 등의 패킷 트래픽 패턴의 통계정보(400)를 갱신하고 이를 기초로 네트워크 특징정보(420)를 생성한다. 새로운 플로우의 패킷이 수신되면, 게이트웨이(200)는 새로운 플로우에 대한 패킷 트래픽 패턴의 통계정보를 만들어 저장 관리한다. 본 실시 예는 이해를 돕기 위한 하나의 예일 뿐 패킷 트래픽 패턴을 나타내는 네트워크 특징정보에 포함되는 정보의 종류와 수는 실시 예에 따라다양하게 변형될 수 있다.
도 5는 본 발명의 실시 예에 따른 디바이스 특징정보의 생성 방법의 일 예를 도시한 도면이다.
도 5를 참조하면, 게이트웨이(200)로부터 패킷을 수신한 디바이스(210)는 패킷을 처리하는 프로세스를 파악하고(S500), 해당 프로세스의 시스템 콜 시퀀스를 수집한다(S510).
디바이스(210)는 시스템 콜 시퀀스를 이용하여 디바이스 특징정보를 생성한다(S520). 일 실시 예로, 디바이스(210)는 패킷의 처리에 사용된 시스템 콜 시퀀스 전체를 디바이스 특징정보로 사용할 수 있다. 그러나 이 경우 디바이스 특징정보의 크기가 커지는 단점이 있다.
다른 실시 예로, 디바이스(210)는 시스템 콜 시퀀스의 통계정보를 디바이스 특징정보로 생성할 수 있다. 예를 들어, 디바이스는 시스템 콜의 종류 및 호출 횟수를 포함하는 통계정보를 디바이스 특징정보로 생성할 수 있다. 시스템 콜 시퀀스로부터 추출 가능한 통계정보의 종류와 개수는 실시 예에 따라 다양하므로, 디바이스 특징정보로 사용되는 통계정보는 시스템 콜의 종류와 호출 횟수로 한정되는 것은 아니며 이 외의 다른 다양한 정보가 사용될 수 있다.
또 다른 실시 예로, 디바이스(210)는 시스템 콜 시컨스를 입력받아 다음 시스템 콜을 예측하는 인공지능모델의 출력값 중 일부를 디바이스 특징정보로 생성할 수 있다. 이에 대해서는 도 6에서 다시 살펴본다.
도 6은 본 발명이 실시 예에 따른 디바이스 특징정보를 인공지능모델을 이용하여 생성하는 방법의 일 예를 도시한 도면이다.
도 6을 참조하면, 디바이스(200)는 시스템 콜 시퀀스(610)에 대한 다음 시스템 콜(620)을 예측하여 출력하는 인공지능모델(600)을 포함할 수 있다. 인공지능모델(600)은 시스템 콜 시퀀스를 포함하는 학습데이터를 기반으로 지도학습방법을 통해 다음 시스템 콜을 예측하도록 훈련될 수 있다. 인공지능모델(600)의 학습 및 생성 방법 그 자체는 이미 널리 알려진 기술이므로 이에 대한 설명은 생략한다.
본 실시 예에서 사용되는 시스템 콜 시퀀스는 시계열 데이터이므로, 본 실시 예의 인공지능모델(600)은 시계열 데이터 분석에 효율적인 RNN(Recurrent Neural Networks) 등으로 구현될 수 있다. 일 예로, 인공지능모델(600)은 LSTM(Long Short-Term Memory Model)로 구현될 수 있다.
도 7은 본 발명의 실시 예에 따른 비정상행위 탐지를 위한 IoT 시스템의 상세 구성의 일 예를 도시한 도면이다.
도 7을 참조하면, 게이트웨이(200)는 게이트웨이매니저(GM), 네트워크특징추출부(NFE) 및 비정상탐지부(AD)를 포함하고, 디바이스는 디바이스매니저(DM), 디바이스특징추출부(DFE)를 포함한다.
게이트웨이(200)와 디바이스(210) 사이의 패킷 송수신은 게이트웨이매니저와 디바이스매니저 사이에서 수행된다. 게이트웨이매니저는 패킷을 수신하면 적어도 하나 이상의 디바이스(210,212)에 패킷을 전달한다. 예를 들어, 게이트웨이매니저는 패킷의 종류에 따라 패킷을 전체 디바이스에 모두 전송하거나 일부 디바이스에 전송할 수 있다. 본 실시 예는 설명의 편의를 위하여 게이트웨이매니저를 패킷의 송수신 주체로 기재하고 있으나, 일반적으로 패킷의 송수신은 게이트웨이의 OS(operating system)가 수행하며, 게이트웨이매니저는 패킷의 포워딩 과정 중간에 개입하여(예를 들어, hooking)하여 특징식별정보를 추가 또는 삭제하는 역할만을 수행할 수도 있다.
게이트웨이(200)의 네트워크특징추출부는 게이트웨이매니저가 수신한 패킷의 트래픽 패턴을 기반으로 네트워크 특징정보를 파악한다. 네트워크 특징정보를 파악하는 방법의 일 예가 도 4에 도시되어 있다.
디바이스(210)의 디바이스특징추출부는 게이트웨이(200)로부터 수신한 패킷을 처리하는 포트번호와 이에 대응하는 프로세스의 시스템 콜 시퀀스를 수집하고 이를 기초로 디바이스 특징정보를 파악한다. 디바이스 특징정보를 파악하는 방법의 일 예가 도 5 및 도 6에 도시되어 있다.
게이트웨이(200)의 게이트웨이매니저는 네트워크 특징정보 및 디바이스 특징정보를 결합한 통합 특징정보를 비정상탐지부로 전송한다. 패킷이 복수의 디바이스로 전송된 경우에, 게이트웨이매니저는 해당 패킷에 대하여 복수의 디바이스로부터 복수의 디바이스 특징정보를 수신하고, 네트워크 식별정보와 복수의 디바이스 특징정보를 결합한 통합 특징정보를 생성한다.
비정상탐지부는 기 정의된 비정상예측모델에 통합 특징정보를 입력하여 비정상행위의 유무를 탐지한다. 비정상탐지부는 비정상행위가 탐지되면 이를 사용자 단말 등으로 출력할 수 있다. 이 외에도, 비정상탐지부는 비정상행위의 탐지 사실을 다양한 방법으로 알릴 수 있으며 특정 방법으로 한정되는 것은 아니다. 비정상탐지부는 통합 특징정보의 차원을 축소하여 비정상행위를 탐지할 수 있으며 이에 대한 예가 도 9에 도시되어 있다.
도 8은 본 발명의 실시 예에 따른 네트워크 식별정보와 디바이스 식별정보를 맵핑하는 방법의 일 예를 도시한 도면이다.
도 7 및 도 8을 함께 참조하면, 게이트웨이(200)에서 생성되는 네트워크 특징정보와 디바이스에서 생성되는 디바이스 특징정보 사이의 맵핑을 위하여 게이트웨이매니저와 디바이스매니저는 패킷에 특징식별정보(특징ID)를 부가하여 송수신한다.
게이트웨이(200)의 게이트웨이매니저는 외부망으로부터 패킷을 수신하면 패킷에 고유의 특징식별정보를 부가하여 디바이스매니저로 전송하고, 디바이스매니저로부터 특징식별정보가 부가된 패킷을 수신하면 패킷에서 특징식별정보를 제거한 후 이를 외부망으로 전송하거나 처리한다. 일 예로, 특징식별정보는 패킷의 타임스탬프 필드에 삽입될 수 있다.
디바이스(210)의 디바이스매니저는 게이트웨이(200)로부터 특징식별정보가 부가된 패킷을 수신하면 패킷에서 특징식별정보를 제거한 후 종래의 패킷 처리 방법에 따라 처리한다. 디바이스매니저는 패킷에 특징식별정보를 부가하여 게이트웨이로 전송한다.
게이트웨이(200)의 게이트웨이매니저에는 각 패킷을 수신할 때마다 생성되는 복수의 네트워크 특징정보를 각 패킷에 부여한 특징식별정보와 맵핑하여 저장 관리할 수 있다. 게이트웨이매니저는 적어도 하나 이상의 디바이스(210,212)로부터 디바이스 특징정보와 특징식별정보를 포함하는 패킷을 수신하면 디바이스 특징정보를 특징식별정보와 맵핑하여 저장 관리할 수 있다.
게이트웨이매니저는 네트워크 특징정보의 특징식별정보와 디바이스 특징정보의 특징식별정보를 기초로 두 특징정보를 매칭할 수 있다. 예를 들어, 게이트웨이매니저는 제1 특징식별정보를 가진 네트워크 특징정보(810)와 제1 특징식별정보를 가진 적어도 하나 이상의 디바이스 특징정보(820,830)를 결합하여 제1 통합특징정보(800)를 생성하고, 제N 특징식별정보를 기준으로 네트워크 특징정보(860)와 디바이스 특징정보(870,880)를 결합하여 제N 통합특징정보(850)를 생성할 수 있다.
도 9는 본 발명의 실시 예에 따른 게이트웨이의 비정상탐지부의 상세 구성을 도시한 도면이다.
도 9를 참조하면, 게이트웨이(200)의 비정상탐지부는 차원축소부(910), 군집화부(930), 비정상예측모델(950,960)을 포함한다.
차원축소부(910)는 통합 특징정보(900)에 포함한 벡터의 차원(즉, 특징정보의 수)을 축소한다. 도 8에서 살핀 바와 같이 통합 특징정보(910)는 네트워크 특징정보와 복수의 디바이스 특징정보로 구성된다. 디바이스의 개수가 많으면 그에 따라 통합 특징정보(910)의 크기가 커지며 또한 디바이스 특징정보의 개수에 따라 통합 특징정보의 크기가 매번 달라질 수 있다. 이에 차원축소부(910)는 통합 특징정보 중 디바이스 특징정보의 차원을 축소하여 일정 크기의 통합 특징정보를 만든다.
예를 들어, 도 8의 예에서 제1 통합 특징정보(800)가 네트워크 특징정보(810)와 N개의 디바이스 특징정보(820,830)로 구성된 경우에, 차원축소부(910)는 N개의 디바이스 특징정보(820,830)의 벡터 차원(즉, 특징정보의 수)을 축소한다. 차원축소부(910)는 벡터 차원을 축소하는 종래의 다양한 알고리즘으로 구현될 수 있다. 예를 들어, 차원축소부(910)는 PCA(Principal component analysis) 알고리즘으로 구현될 수 있다.
군집화부(930)는 차원 축소된 통합 특징정보(920)를 군집화알고리즘을 이용하여 복수 개의 군집(940)으로 분류한다. 예를 들어, 군집화부(930)는 계층적 군집화(hierarchical clustering)을 이용하여 서로 관련이 있는 특징들을 묶어 군집(cluster)을 형성할 수 있다. 특징정보를 복수의 군집으로 군집화하는 다양한 종래의 군집화 알고리즘이 본 실시 예에 적용될 수 있다. 관련이 있는 정보들을 묶는 군집화 방법 그 자체는 이미 널리 알려져 있으므로 군집화 방법 그 자체에 대한 추가적인 설명은 생략한다.
비정상예측모델은 적어도 하나 군집에 대한 제1 오토인코더(auteo encoder) 네트워크(950)와 제1 오토인코더 네트워크(950)의 출력값을 입력으로 받아 비정상행위 여부의 결과값을 출력하는 제2 오토인터 네트워크(960)로 구성될 수 있다. 여기서, 제1 오토인코더 네트워크(950)는 군집화부(930)에 의해 분류된 모든 군집(940)에 대하여 생성되는 것이 아니라 군집 중 디바이스 특징정보와 네트워크 특징정보를 모두 포함하는 군집(942,944,946)에 대해서만 생성한다. 비정상탐지부는 제1 오토인코더 네트워크(950)의 각 출력값(952,954,956)을 입력받은 제2 오토인코더 네트워크(960)의 출력값(970)과 기 정의된 임계값을 비교하여 비정상행위 유무를 판별한다. 일 실시 예로, 오토인코더 네트워크(950,960)의 출력값은 RMSE(root mean square error)일 수 있다.
본 발명의 각 실시 예는 또한 컴퓨터로 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록장치를 포함한다. 컴퓨터가 읽을 수 있는 기록매체의 예로는 ROM, RAM, CD-ROM, SSD, 광데이터 저장장치 등이 있다. 또한 컴퓨터가 읽을 수 있는 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어 분산방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수 있다.
이제까지 본 발명에 대하여 그 바람직한 실시 예들을 중심으로 살펴보았다. 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자는 본 발명이 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 변형된 형태로 구현될 수 있음을 이해할 수 있을 것이다. 그러므로 개시된 실시 예들은 한정적인 관점이 아니라 설명적인 관점에서 고려되어야 한다. 본 발명의 범위는 전술한 설명이 아니라 특허청구범위에 나타나 있으며, 그와 동등한 범위 내에 있는 모든 차이점은 본 발명에 포함된 것으로 해석되어야 할 것이다.

Claims (9)

  1. 비정상행위탐지장치가 수행하는 비정상행위 탐지 방법에 있어서,
    게이트웨이에서 패킷 트래픽 패턴을 기반으로 플로우 단위의 네트워크 특징정보를 파악하고, 상기 네트워크 특징정보를 특징식별정보와 맵핑하여 저장하는 단계;
    상기 게이트웨이에 연결된 복수의 디바이스에서 각각 디바이스 내 패킷의 처리 과정에서 발생한 시스템 콜 시퀀스를 기반으로 디바이스 특징정보를 파악하는 단계; 및
    상기 게이트웨이에서 파악된 네트워크 특징정보와 상기 복수의 디바이스에서 각각 파악된 복수의 디바이스 특징정보를 결합한 통합특징정보를 비정상예측모델에 입력하여 비정상행위를 판별하는 단계;를 포함하고,
    각 디바이스는 상기 게이트웨이로부터 특징식별정보를 포함한 패킷을 수신하면 상기 디바이스 특징정보를 포함한 패킷에 상기 특징식별정보를 부가하여 상기 게이트웨이로 전송하고,
    상기 통합특징정보는 동일 특징식별정보를 가진 네트워크 특징정보와 디바이스 특징정보를 결합하여 생성되는 것을 특징으로 하는 IoT 시스템의 비정상행위 탐지 방법.
  2. 제 1항에 있어서, 상기 네트워크 특징정보를 파악하는 단계는,
    패킷 플로우 단위로 패킷 트래픽 패턴의 통계정보에 상기 패킷의 정보를 반영한 정보를 상기 네트워크 특징정보로 생성하는 단계;를 포함하는 것을 특징으로 하는 IoT 시스템의 비정상행위 탐지 방법.
  3. 제 1항에 있어서, 상기 디바이스 특징정보를 파악하는 단계는,
    패킷을 처리하는 프로세스의 시스템 콜 시퀀스를 수집하는 단계;
    상기 시스템 콜 시퀀스의 통계정보 또는 상기 시스템 콜 시퀀스를 기 학습된 LSTM 모델에 입력하여 예측된 시스템 콜을 상기 디바이스 특징정보로 생성하는 단계;를 포함하는 것을 특징으로 하는 IoT 시스템의 비정상행위 탐지 방법.
  4. 제 1항에 있어서, 상기 판별하는 단계는,
    상기 통합 특징정보에서 상기 디바이스의 특징정보의 차원을 차원축소알고리즘을 이용하여 축소하는 단계;
    차원 축소된 디바이스의 특징정보와 상기 네트워크 특징정보를 군집알고리즘을 이용하여 복수 개의 군집으로 분류하는 단계;
    상기 복수 개의 군집 중 디바이스 특징정보와 네트워크 특징정보를 모두 포함하는 군집에 대한 제1 오토인코더 네트워크를 생성하는 단계;
    적어도 하나 이상의 오토인코더 네트워크의 출력값을 입력으로 하는 제2 오토인코더 네트워크를 생성하는 단계;
    상기 제2 오토인코더 네트워크의 출력값이 기 정의된 임계값보다 크면 비정상이라고 판단하는 단계;를 포함하는 것을 특징으로 하는 IoT 시스템의 비정상행위 탐지 방법.
  5. 패킷 트래픽 패턴을 기반으로 플로우 단위의 네트워크 특징정보를 추출하는 게이트웨이; 및
    상기 게이트웨이로부터 전달받은 패킷의 처리 과정에서 발생한 시스템 콜 시퀀스를 기반으로 디바이스 특징정보를 추출하는 복수의 디바이스;를 포함하고,
    상기 게이트웨이는 상기 복수의 디바이스로부터 수신한 복수의 디바이스 특징정보와 상기 네트워크 특징정보를 결합한 통합특징정보를 비정상예측모델에 입력하여 비정상행위를 판별하고,
    상기 복수의 디바이스 각각은 상기 게이트웨이로부터 특징식별정보를 포함한 패킷을 수신하면 디바이스 특징정보를 포함한 패킷에 상기 특징식별정보를 부가하여 상기 게이트웨이로 전송하고,
    상기 통합특징정보는 동일 특징식별정보를 가진 네트워크 특징정보와 디바이스 특징정보를 결합하여 생성되는 것을 특징으로 하는 IoT 시스템.
  6. 제 5항에 있어서, 상기 게이트웨이는,
    패킷에 특징식별자를 추가하여 상기 디바이스로 전송하고, 상기 디바이스로부터 특징식별자가 추가된 패킷을 수신하는 게이트웨이매니저;
    상기 패킷을 기반으로 네트워크 특징정보를 추출하는 네트워크특징추출부; 및
    상기 통합 특징정보를 비정상예측모델에 입력하여 비정상 유무를 판별하는 비정상판별부;를 포함하고,
    상기 게이트웨이매니저는, 상기 디바이스로부터 수신한 패킷에 포함된 특징식별자를 이용하여 상기 패킷에 포함된 디바이스 특징정보와 매칭되는 네트워크 특징정보를 파악하여 통합 특징정보를 생성하는 것을 특징으로 하는 IoT 시스템.
  7. 제 6항에 있어서, 상기 비정상판별부는,
    차원축소알고리즘을 이용하여 상기 통합 특징정보에 포함된 디바이스 특징정보의 차원을 축소하는 차원축소부;
    차원 축소된 통합 특징정보에 포함된 특징을 복수의 군집으로 분류하는 군집화부; 및
    상기 복수의 군집 중 디바이스 특징정보와 네트워크 특징정보가 모두 존재하는 군집에 대한 각각의 제1 오토인코더 네트워크의 출력값을 제2 오토인코더 네트워크에 입력하여 얻은 결과값과 기 정의된 임계값을 비교하여 비정상유무를 판단하는 인공신경망학습부;를 포함하는 것을 특징으로 하는 IoT 시스템.
  8. 제 5항에 있어서, 상기 디바이스는,
    상기 게이트웨이로부터 수신한 패킷에 포함된 특징식별자를 제거하는 디바이스매니저; 및
    상기 패킷을 처리하는 프로세스의 시스템 콜 시퀀스를 수집하는 디바이스특징추출부;를 포함하고,
    상기 디바이스특징추출부는 상기 시스템 콜 시퀀스의 종류별 호출 횟수를 포함하는 통계정보 또는 LSTM 모델을 활용하여 다음 시스템 콜을 예측한 값을 디바이스 특징정보로 생성하고, 상기 디바이스 특징정보를 포함하는 패킷에 상기 특징식별자를 추가하여 상기 게이트웨이로 전송하는 것을 특징으로 하는 IoT 시스템.
  9. 제 1항 내지 제 4항 중 어느 한 항에 기재된 방법을 수행하기 위한 컴퓨터 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체.
KR1020210174117A 2021-12-07 2021-12-07 IoT 시스템의 비정상행위 탐지 방법 및 그 장치 KR102609592B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020210174117A KR102609592B1 (ko) 2021-12-07 2021-12-07 IoT 시스템의 비정상행위 탐지 방법 및 그 장치

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020210174117A KR102609592B1 (ko) 2021-12-07 2021-12-07 IoT 시스템의 비정상행위 탐지 방법 및 그 장치

Publications (2)

Publication Number Publication Date
KR20230085692A KR20230085692A (ko) 2023-06-14
KR102609592B1 true KR102609592B1 (ko) 2023-12-04

Family

ID=86745061

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020210174117A KR102609592B1 (ko) 2021-12-07 2021-12-07 IoT 시스템의 비정상행위 탐지 방법 및 그 장치

Country Status (1)

Country Link
KR (1) KR102609592B1 (ko)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117763547B (zh) * 2023-12-21 2024-08-20 北京航空航天大学 一种恶意应用程序检测方法、系统及电子设备

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102135024B1 (ko) * 2019-11-25 2020-07-20 한국인터넷진흥원 IoT 디바이스에 대한 사이버 공격의 종류를 식별하는 방법 및 그 장치

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100949808B1 (ko) * 2007-12-07 2010-03-30 한국전자통신연구원 P2p 트래픽 관리 장치 및 그 방법
KR20200067044A (ko) * 2018-12-03 2020-06-11 한국전자통신연구원 악성 파일 탐지 방법 및 장치
KR20200075725A (ko) * 2019-07-26 2020-06-26 한국인터넷진흥원 복수개의 디바이스 정보 종합 분석을 통한 디바이스 이상 징후 탐지 방법 및 그 장치
KR102281819B1 (ko) * 2019-10-01 2021-07-26 주식회사 씨티아이랩 오토인코더 앙상블 기반 이상행위 탐지 방법 및 시스템

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102135024B1 (ko) * 2019-11-25 2020-07-20 한국인터넷진흥원 IoT 디바이스에 대한 사이버 공격의 종류를 식별하는 방법 및 그 장치

Also Published As

Publication number Publication date
KR20230085692A (ko) 2023-06-14

Similar Documents

Publication Publication Date Title
Gao et al. A distributed network intrusion detection system for distributed denial of service attacks in vehicular ad hoc network
CN108429651B (zh) 流量数据检测方法、装置、电子设备及计算机可读介质
US20070289013A1 (en) Method and system for anomaly detection using a collective set of unsupervised machine-learning algorithms
US20170374091A1 (en) Digital immune system for intrusion detection on data processing systems and networks
Khedr et al. FMDADM: A multi-layer DDoS attack detection and mitigation framework using machine learning for stateful SDN-based IoT networks
US10476753B2 (en) Behavior-based host modeling
KR102091076B1 (ko) 지도학습기반의 경보분석과 비지도학습기반의 이상행위탐지 기법을 혼용한 지능형 보안관제 시스템 및 그 방법
CN109218321A (zh) 一种网络入侵检测方法及系统
US10367842B2 (en) Peer-based abnormal host detection for enterprise security systems
Vidal et al. Alert correlation framework for malware detection by anomaly-based packet payload analysis
CN113904881B (zh) 一种入侵检测规则误报处理方法和装置
US10931706B2 (en) System and method for detecting and identifying a cyber-attack on a network
CN110768946A (zh) 一种基于布隆过滤器的工控网络入侵检测系统及方法
Landress A hybrid approach to reducing the false positive rate in unsupervised machine learning intrusion detection
US10476754B2 (en) Behavior-based community detection in enterprise information networks
KR102609592B1 (ko) IoT 시스템의 비정상행위 탐지 방법 및 그 장치
Sharma et al. An overview of flow-based anomaly detection
Sukhwani et al. A survey of anomaly detection techniques and hidden markov model
CN113765896A (zh) 基于人工智能的物联网实现系统及方法
Khandelwal et al. Machine learning methods leveraging ADFA-LD dataset for anomaly detection in linux host systems
CN112235242A (zh) 一种c&c信道检测方法及系统
Anushiya et al. A comparative study on intrusion detection systems for secured communication in internet of things
CN116527307A (zh) 一种基于社区发现的僵尸网络检测算法
Afza et al. Intrusion detection learning algorithm through network mining
Stiawan et al. IoT botnet attack detection using deep autoencoder and artificial neural networks

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant