KR102619905B1 - Apparatus and method for preventing abnormal data access based on artificial intelligence - Google Patents

Apparatus and method for preventing abnormal data access based on artificial intelligence Download PDF

Info

Publication number
KR102619905B1
KR102619905B1 KR1020210187704A KR20210187704A KR102619905B1 KR 102619905 B1 KR102619905 B1 KR 102619905B1 KR 1020210187704 A KR1020210187704 A KR 1020210187704A KR 20210187704 A KR20210187704 A KR 20210187704A KR 102619905 B1 KR102619905 B1 KR 102619905B1
Authority
KR
South Korea
Prior art keywords
data
traffic
abnormal
target data
hacking
Prior art date
Application number
KR1020210187704A
Other languages
Korean (ko)
Other versions
KR20230097834A (en
Inventor
조용범
Original Assignee
주식회사 딥이티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 딥이티 filed Critical 주식회사 딥이티
Priority to KR1020210187704A priority Critical patent/KR102619905B1/en
Publication of KR20230097834A publication Critical patent/KR20230097834A/en
Application granted granted Critical
Publication of KR102619905B1 publication Critical patent/KR102619905B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning

Landscapes

  • Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Artificial Intelligence (AREA)
  • Medical Informatics (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Evolutionary Computation (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Data Mining & Analysis (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

인공지능 기반의 비정상적 데이터 접근 방지 장치 및 방법이 개시되며, 본원의 일 실시예에 따른 인공지능 기반의 비정상적 데이터 접근 방지 방법은, 소정의 데이터 서버로 접근하는 대상 데이터를 수집하는 단계, 상기 대상 데이터를 미리 학습된 인공지능 기반의 탐지 모델에 입력하여 상기 대상 데이터로부터 비정상 트래픽을 감지하는 단계 및 상기 비정상 트래픽이 감지되면, 상기 데이터 서버와 연계된 데이터의 전송을 중단하고, 상기 대상 데이터를 미리 설정된 버퍼에 저장하는 단계를 포함할 수 있다.An artificial intelligence-based abnormal data access prevention device and method are disclosed, and the artificial intelligence-based abnormal data access prevention method according to an embodiment of the present application includes the steps of collecting target data accessing a predetermined data server, the target data Detecting abnormal traffic from the target data by inputting it into a pre-trained artificial intelligence-based detection model; and when the abnormal traffic is detected, stopping transmission of data associated with the data server and sending the target data to a preset It may include storing in a buffer.

Description

인공지능 기반의 비정상적 데이터 접근 방지 장치 및 방법{APPARATUS AND METHOD FOR PREVENTING ABNORMAL DATA ACCESS BASED ON ARTIFICIAL INTELLIGENCE}Device and method for preventing abnormal data access based on artificial intelligence {APPARATUS AND METHOD FOR PREVENTING ABNORMAL DATA ACCESS BASED ON ARTIFICIAL INTELLIGENCE}

본원은 인공지능 기반의 비정상적 데이터 접근 방지 장치 및 방법에 관한 것이다.This application relates to devices and methods for preventing abnormal data access based on artificial intelligence.

최근 인공지능 기술의 발전에 힘입어 사이버 공격자들은 새로운 형태의 지능화된 알고리즘을 활용한 신종 사이버 공격과 자동화 기술을 활용하여 사이버 보안 공격을 시도하고 있으며, 이렇듯 점점 고도화되고 다양해지는 사이버 공격에 효율적으로 대응하기에 기존의 보안 솔루션들은 많은 한계를 보이고 있다.Thanks to recent advances in artificial intelligence technology, cyber attackers are attempting cyber security attacks using new cyber attacks and automation technologies using new types of intelligent algorithms, and are effectively responding to increasingly sophisticated and diverse cyber attacks. Therefore, existing security solutions have many limitations.

이와 관련하여, 네트워크 기반 침입탐지(Network-Based Intrusion Detection: NIDS)는 인가되지 않은 사용자가 정보자원에 불법으로 접근하거나, 정보자원을 고갈시키는 행위를 검출하고 이에 대처하는 것을 말한다. 현재 사용하고 있는 대부분의 솔루션은 시그니처 및 룰 기반의 시나리오에 기반하여 공격을 차단하는 수준에 그치고 있으며, 이러한 방식은 비교적 높은 정확도를 보이기는 하나 각종 공격을 분석하여 패턴을 만들기 위하여 전문가가 투입되어야 하며, 유지보수 비용이 지속적으로 발생하는 한계가 있고, 기존 패턴을 우회하거나 변형된 공격을 감지하기 어려운 단점이 있다.In this regard, Network-Based Intrusion Detection (NIDS) refers to detecting and responding to actions by unauthorized users illegally accessing or depleting information resources. Most solutions currently in use are limited to blocking attacks based on signature and rule-based scenarios. Although this method shows relatively high accuracy, experts must be brought in to analyze various attacks and create patterns. , there are limitations in that maintenance costs are continuously incurred, and it is difficult to bypass existing patterns or detect modified attacks.

또한, 정상적인 네트워크 사용자들에 대한 통계 데이터를 확보한 후 해당 범위를 벗어나면 침입이 발생했다고 하는 통계적 기반의 비정상 행위 탐지(Statistics-Based Anomaly Detection) 기법도 사용되고 있으나, 최근 사이버 위협이 고도화, 자동화, 지능화됨에 따라서 네트워크 상에서 발생되는 모든 행위로부터 위협을 식별하고 실시간으로 관리하는 것은 매우 어려운 일이다.In addition, the Statistics-Based Anomaly Detection technique is also used, which secures statistical data on normal network users and then claims that an intrusion has occurred when the scope is exceeded. However, recent cyber threats have become more advanced, automated, and As intelligence becomes more sophisticated, it is very difficult to identify threats from all actions occurring on the network and manage them in real time.

한편, 이와 같이 사이버 위협에 능동적으로 대비하기 위해서 보안 분야에 인공지능을 접목하려는 시도가 이루어지고 있으며, 보안 분야에서 인공지능은 네트워크 위협 분석, 취약점 분석, 악성코드 분석, 실시간 탐지 및 대응 등의 다양한 탐지 및 방어 기능을 획기적으로 향상시킬 수 있을 것으로 기대되고 있다.Meanwhile, in order to actively prepare for cyber threats, attempts are being made to incorporate artificial intelligence in the security field. In the security field, artificial intelligence is used in various fields such as network threat analysis, vulnerability analysis, malware analysis, and real-time detection and response. It is expected that detection and defense functions can be dramatically improved.

본원의 배경이 되는 기술은 한국등록특허공보 제10-2313414호에 개시되어 있다.The technology behind this application is disclosed in Korean Patent Publication No. 10-2313414.

본원은 전술한 종래 기술의 문제점을 해결하기 위한 것으로서, 서버 등 불특정 다수로부터 공격당할 가능성이 있는 시스템에 해킹 시도가 발생하거나 비정상적인 트래픽이 감지되는 경우, 인공지능 기반 탐지 모델이 이를 감지해 비정상적 데이터의 접근을 차단하는 인공지능 기반의 비정상적 데이터 접근 방지 장치 및 방법을 제공하려는 것을 목적으로 한다.This application is intended to solve the problems of the prior art described above. When a hacking attempt occurs or abnormal traffic is detected in a system that is likely to be attacked by an unspecified number of people, such as a server, an artificial intelligence-based detection model detects this and retrieves abnormal data. The purpose is to provide artificial intelligence-based abnormal data access prevention devices and methods that block access.

다만, 본원의 실시예가 이루고자 하는 기술적 과제는 상기된 바와 같은 기술적 과제들로 한정되지 않으며, 또 다른 기술적 과제들이 존재할 수 있다.However, the technical challenges sought to be achieved by the embodiments of the present application are not limited to the technical challenges described above, and other technical challenges may exist.

상기한 기술적 과제를 달성하기 위한 기술적 수단으로서, 본원의 일 실시예에 따른 인공지능 기반의 비정상적 데이터 접근 방지 방법은, 소정의 데이터 서버로 접근하는 대상 데이터를 수집하는 단계, 상기 대상 데이터를 미리 학습된 인공지능 기반의 탐지 모델에 입력하여 상기 대상 데이터로부터 비정상 트래픽을 감지하는 단계 및 상기 비정상 트래픽이 감지되면, 상기 데이터 서버와 연계된 데이터의 전송을 중단하고, 상기 대상 데이터를 미리 설정된 버퍼에 저장하는 단계를 포함할 수 있다.As a technical means for achieving the above-described technical problem, an artificial intelligence-based abnormal data access prevention method according to an embodiment of the present application includes the steps of collecting target data accessing a predetermined data server, and learning the target data in advance. Detecting abnormal traffic from the target data by inputting it into an artificial intelligence-based detection model; and when the abnormal traffic is detected, stopping transmission of data associated with the data server and storing the target data in a preset buffer. It may include steps.

또한, 상기 탐지 모델은, 트랜스포머(Transformer) 알고리즘 기반의 모델일 수 있다.Additionally, the detection model may be a model based on a Transformer algorithm.

또한, 본원의 일 실시예에 따른 인공지능 기반의 비정상적 데이터 접근 방지 방법은, 해킹 트래픽 및 상기 해킹 트래픽의 전후 트래픽 변화를 포함하는 학습 데이터에 기초하여 상기 탐지 모델을 학습시키는 단계를 포함할 수 있다.In addition, the artificial intelligence-based abnormal data access prevention method according to an embodiment of the present application may include the step of training the detection model based on learning data including hacking traffic and changes in traffic before and after the hacking traffic. .

또한, 본원의 일 실시예에 따른 인공지능 기반의 비정상적 데이터 접근 방지 방법은, 상기 버퍼에 저장된 상기 대상 데이터에 대한 상세 분석을 통해 상기 대상 데이터가 상기 데이터 서버에 대한 해킹 시도와 연계된 데이터인지 여부를 결정하는 단계를 포함할 수 있다.In addition, the artificial intelligence-based abnormal data access prevention method according to an embodiment of the present application determines whether the target data is data linked to a hacking attempt on the data server through detailed analysis of the target data stored in the buffer. It may include a step of determining.

또한, 본원의 일 실시예에 따른 인공지능 기반의 비정상적 데이터 접근 방지 방법은, 상기 대상 데이터가 상기 해킹 시도와 무관한 데이터인 것으로 결정되면, 중단된 데이터 전송을 재개하는 단계를 포함할 수 있다.In addition, the artificial intelligence-based abnormal data access prevention method according to an embodiment of the present application may include the step of resuming interrupted data transmission when it is determined that the target data is data unrelated to the hacking attempt.

또한, 본원의 일 실시예에 따른 인공지능 기반의 비정상적 데이터 접근 방지 방법은, 상기 대상 데이터가 상기 해킹 시도에 대응하는 데이터인 것으로 결정되면, 미리 설정된 사용자 단말로 경고 신호를 전송하는 단계를 포함할 수 있다.In addition, the artificial intelligence-based abnormal data access prevention method according to an embodiment of the present application may include the step of transmitting a warning signal to a preset user terminal when it is determined that the target data is data corresponding to the hacking attempt. You can.

또한, 본원의 일 실시예에 따른 인공지능 기반의 비정상적 데이터 접근 방지 방법은, 상기 대상 데이터가 상기 해킹 시도에 대응하는 데이터인 것으로 결정되면, 상기 대상 데이터를 전송한 전송 주체에 대한 정보를 추적하는 단계를 포함할 수 있다.In addition, the artificial intelligence-based abnormal data access prevention method according to an embodiment of the present application tracks information about the transmitting subject who transmitted the target data when it is determined that the target data is data corresponding to the hacking attempt. May include steps.

한편, 본원의 일 실시예에 따른 인공지능 기반의 비정상적 데이터 접근 방지 장치는, 소정의 데이터 서버로 접근하는 대상 데이터를 수집하는 수집부, 상기 대상 데이터를 미리 학습된 인공지능 기반의 탐지 모델에 입력하여 상기 대상 데이터로부터 비정상 트래픽을 감지하는 감지부 및 상기 비정상 트래픽이 감지되면, 상기 데이터 서버와 연계된 데이터의 전송을 중단하고, 상기 대상 데이터를 미리 설정된 버퍼에 저장하는 제어부를 포함할 수 있다.Meanwhile, an artificial intelligence-based abnormal data access prevention device according to an embodiment of the present application includes a collection unit that collects target data accessing a predetermined data server, and inputs the target data into a previously learned artificial intelligence-based detection model. It may include a detection unit that detects abnormal traffic from the target data, and a control unit that stops transmission of data associated with the data server when the abnormal traffic is detected and stores the target data in a preset buffer.

또한, 본원의 일 실시예에 따른 인공지능 기반의 비정상적 데이터 접근 방지 장치는, 해킹 트래픽 및 상기 해킹 트래픽의 전후 트래픽 변화를 포함하는 학습 데이터에 기초하여 상기 탐지 모델을 학습시키는 학습부를 포함할 수 있다.In addition, the artificial intelligence-based abnormal data access prevention device according to an embodiment of the present application may include a learning unit that trains the detection model based on learning data including hacking traffic and changes in traffic before and after the hacking traffic. .

또한, 본원의 일 실시예에 따른 인공지능 기반의 비정상적 데이터 접근 방지 장치는, 상기 버퍼에 저장된 상기 대상 데이터에 대한 상세 분석을 통해 상기 대상 데이터가 상기 데이터 서버에 대한 해킹 시도와 연계된 데이터인지 여부를 결정하는 분석부를 포함할 수 있다.In addition, the artificial intelligence-based abnormal data access prevention device according to an embodiment of the present application determines whether the target data is data linked to a hacking attempt on the data server through detailed analysis of the target data stored in the buffer. It may include an analysis unit that determines .

또한, 상기 제어부는, 상기 대상 데이터가 상기 해킹 시도와 무관한 데이터인 것으로 결정되면, 중단된 데이터 전송을 재개할 수 있다.Additionally, if the control unit determines that the target data is data unrelated to the hacking attempt, it may resume interrupted data transmission.

또한, 상기 제어부는, 상기 대상 데이터가 상기 해킹 시도에 대응하는 데이터인 것으로 결정되면, 미리 설정된 사용자 단말로 경고 신호를 전송할 수 있다.Additionally, if the control unit determines that the target data is data corresponding to the hacking attempt, it may transmit a warning signal to a preset user terminal.

또한, 상기 제어부는, 상기 대상 데이터가 상기 해킹 시도에 대응하는 데이터인 것으로 결정되면, 상기 대상 데이터를 전송한 전송 주체에 대한 정보를 추적할 수 있다.Additionally, if the control unit determines that the target data is data corresponding to the hacking attempt, the control unit may track information about the transmitting entity that transmitted the target data.

상술한 과제 해결 수단은 단지 예시적인 것으로서, 본원을 제한하려는 의도로 해석되지 않아야 한다. 상술한 예시적인 실시예 외에도, 도면 및 발명의 상세한 설명에 추가적인 실시예가 존재할 수 있다.The above-described means of solving the problem are merely illustrative and should not be construed as intended to limit the present application. In addition to the exemplary embodiments described above, additional embodiments may be present in the drawings and detailed description of the invention.

전술한 본원의 과제 해결 수단에 의하면, 서버 등 불특정 다수로부터 공격당할 가능성이 있는 시스템에 해킹 시도가 발생하거나 비정상적인 트래픽이 감지되는 경우, 인공지능 기반 탐지 모델이 이를 감지해 비정상적 데이터의 접근을 차단하는 인공지능 기반의 비정상적 데이터 접근 방지 장치 및 방법을 제공할 수 있다.According to the above-described means of solving the problem of this institute, when a hacking attempt occurs or abnormal traffic is detected in a system that is likely to be attacked by an unspecified number of people, such as a server, an artificial intelligence-based detection model detects this and blocks access to abnormal data. It is possible to provide devices and methods for preventing abnormal data access based on artificial intelligence.

다만, 본원에서 얻을 수 있는 효과는 상기된 바와 같은 효과들로 한정되지 않으며, 또 다른 효과들이 존재할 수 있다.However, the effects that can be obtained herein are not limited to the effects described above, and other effects may exist.

도 1은 본원의 일 실시예에 따른 인공지능 기반의 비정상적 데이터 접근 방지 장치를 포함하는 인공지능 기반의 보안 시스템의 개략적인 구성도이다.
도 2는 인공지능 기반의 탐지 모델을 설명하기 위한 개념도이다.
도 3은 본원의 일 실시예에 따른 인공지능 기반의 비정상적 데이터 접근 방지 장치의 개략적인 구성도이다.
도 4는 본원의 일 실시예에 따른 인공지능 기반의 비정상적 데이터 접근 방지 방법에 대한 동작 흐름도이다.
도 5는 대상 데이터에 대한 상세 분석 결과에 따른 후속 조치를 수행하는 프로세스에 대한 세부 동작 흐름도이다.1 is a schematic configuration diagram of an artificial intelligence-based security system including an artificial intelligence-based abnormal data access prevention device according to an embodiment of the present application.
Figure 2 is a conceptual diagram to explain an artificial intelligence-based detection model.
Figure 3 is a schematic configuration diagram of an artificial intelligence-based abnormal data access prevention device according to an embodiment of the present application.
Figure 4 is an operation flowchart of an artificial intelligence-based abnormal data access prevention method according to an embodiment of the present application.
Figure 5 is a detailed operation flowchart of a process for performing follow-up actions according to the results of detailed analysis of target data.

아래에서는 첨부한 도면을 참조하여 본원이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 본원의 실시예를 상세히 설명한다. 그러나 본원은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시예에 한정되지 않는다. 그리고 도면에서 본원을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 유사한 부분에 대해서는 유사한 도면 부호를 붙였다.Below, with reference to the attached drawings, embodiments of the present application will be described in detail so that those skilled in the art can easily implement them. However, the present application may be implemented in various different forms and is not limited to the embodiments described herein. In order to clearly explain the present application in the drawings, parts that are not related to the description are omitted, and similar reference numerals are assigned to similar parts throughout the specification.

본원 명세서 전체에서, 어떤 부분이 다른 부분과 "연결"되어 있다고 할 때, 이는 "직접적으로 연결"되어 있는 경우뿐 아니라, 그 중간에 다른 소자를 사이에 두고 "전기적으로 연결" 또는 "간접적으로 연결"되어 있는 경우도 포함한다. Throughout this specification, when a part is said to be “connected” to another part, this means not only “directly connected” but also “electrically connected” or “indirectly connected” with another element in between. "Includes cases where it is.

본원 명세서 전체에서, 어떤 부재가 다른 부재 "상에", "상부에", "상단에", "하에", "하부에", "하단에" 위치하고 있다고 할 때, 이는 어떤 부재가 다른 부재에 접해 있는 경우뿐 아니라 두 부재 사이에 또 다른 부재가 존재하는 경우도 포함한다.Throughout this specification, when a member is said to be located “on”, “above”, “at the top”, “below”, “at the bottom”, or “at the bottom” of another member, this means that a member is located on another member. This includes not only cases where they are in contact, but also cases where another member exists between two members.

본원 명세서 전체에서, 어떤 부분이 어떤 구성 요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성 요소를 제외하는 것이 아니라 다른 구성 요소를 더 포함할 수 있는 것을 의미한다.Throughout the specification of the present application, when a part "includes" a certain component, this means that it may further include other components rather than excluding other components unless specifically stated to the contrary.

본원은 인공지능 기반의 비정상적 데이터 접근 방지 장치 및 방법에 관한 것이다.This application relates to devices and methods for preventing abnormal data access based on artificial intelligence.

도 1은 본원의 일 실시예에 따른 인공지능 기반의 비정상적 데이터 접근 방지 장치를 포함하는 인공지능 기반의 보안 시스템의 개략적인 구성도이다.1 is a schematic configuration diagram of an artificial intelligence-based security system including an artificial intelligence-based abnormal data access prevention device according to an embodiment of the present application.

도 1을 참조하면, 본원의 일 실시예에 따른 인공지능 기반의 보안 시스템(10)은, 본원의 일 실시예에 따른 인공지능 기반의 비정상적 데이터 접근 방지 장치(100)(이하, '데이터 접근 방지 장치(100)'라 한다.), 데이터 서버(200), 접근 디바이스(300) 및 사용자 단말(400)을 포함할 수 있다.Referring to FIG. 1, the artificial intelligence-based security system 10 according to an embodiment of the present application is an artificial intelligence-based abnormal data access prevention device 100 (hereinafter referred to as 'data access prevention') according to an embodiment of the present application. It may include a 'device 100'), a data server 200, an access device 300, and a user terminal 400.

데이터 접근 방지 장치(100), 데이터 서버(200), 접근 디바이스(300) 및 사용자 단말(400) 상호간은 네트워크(20)를 통해 통신할 수 있다. 네트워크(20)는 단말들 및 서버들과 같은 각각의 노드 상호간에 정보 교환이 가능한 연결 구조를 의미하는 것으로, 이러한 네트워크(20)의 일 예에는, 3GPP(3rd Generation Partnership Project) 네트워크, LTE(Long Term Evolution) 네트워크, 5G 네트워크, WIMAX(World Interoperability for Microwave Access) 네트워크, 인터넷(Internet), LAN(Local Area Network), Wireless LAN(Wireless Local Area Network), WAN(Wide Area Network), PAN(Personal Area Network), wifi 네트워크, 블루투스(Bluetooth) 네트워크, 위성 방송 네트워크, 아날로그 방송 네트워크, DMB(Digital Multimedia Broadcasting) 네트워크 등이 포함되나 이에 한정되지는 않는다.The data access prevention device 100, the data server 200, the access device 300, and the user terminal 400 may communicate with each other through the network 20. The network 20 refers to a connection structure that allows information exchange between nodes such as terminals and servers. Examples of such networks 20 include the 3rd Generation Partnership Project (3GPP) network, Long Term Evolution) network, 5G network, WIMAX (World Interoperability for Microwave Access) network, Internet, LAN (Local Area Network), Wireless LAN (Wireless Local Area Network), WAN (Wide Area Network), PAN (Personal Area) Network), wifi network, Bluetooth network, satellite broadcasting network, analog broadcasting network, DMB (Digital Multimedia Broadcasting) network, etc., but are not limited thereto.

본원의 실시예에 관한 설명에서 데이터 서버(200)는 데이터 접근 방지 장치(100)에 의해 비정상적 데이터 접근이 모니터링 되는 보호 대상 타겟을 의미하는 것일 수 있다. 달리 말해, 본원에서 개시하는 데이터 접근 방지 장치(100)는 데이터 서버(200)에 접근하고자 하는 데이터 전송 주체 및 이에 따라 전송되는 데이터(트래픽)를 모니터링 하여 해킹 시도, 악의적 소프트웨어(멀웨어, 랜섬웨어 등) 전송 시도 등의 비정상적 데이터 접근을 지속적으로 모니터링 하고, 이에 대한 조치를 즉각적으로 수행하도록 설계될 수 있다.In the description of the embodiment of the present application, the data server 200 may mean a protected target whose abnormal data access is monitored by the data access prevention device 100. In other words, the data access prevention device 100 disclosed herein monitors data transmitters who want to access the data server 200 and the data (traffic) transmitted accordingly to prevent hacking attempts, malicious software (malware, ransomware, etc.) ) It can be designed to continuously monitor abnormal data access, such as transmission attempts, and take immediate action.

또한, 본원의 실시예에 관한 설명에서 접근 디바이스(300)는 데이터 서버(200)로의 접근을 위하여 데이터 서버(200) 측으로 전송되는 소정의 데이터를 송신한 주체에 대응하는 디바이스일 수 있다.Additionally, in the description of the embodiment of the present application, the access device 300 may be a device corresponding to the subject who transmitted predetermined data transmitted to the data server 200 for access to the data server 200.

보다 구체적으로, 본원에서 개시하는 데이터 접근 방지 장치(100)는 데이터 서버(200)를 향하여 전송되는 각종 데이터를 전송 주체 별로 분석하여 각각의 접근 디바이스(300)를 정상 접근 디바이스(301) 및 비정상 접근 디바이스(302)로 구분하고, 정상 접근 디바이스(301)의 데이터 서버(200)에 대한 접근만을 선택적으로 허용하도록 동작할 수 있다. 한편, 데이터 접근 방지 장치(100)는 이하에서 상세히 설명하는 바와 같이 비정상적 데이터가 감지되면, 해당 데이터(대상 데이터)를 전송한 비정상 접근 디바이스(302) 및/또는 비정상 접근 디바이스(302)를 조작하는 비정상적 데이터 전송 주체(1)에 대한 정보(예를 들면, 접속 경로, IP, 디바이스 정보 등)를 추정하도록 동작할 수 있다.More specifically, the data access prevention device 100 disclosed herein analyzes various data transmitted toward the data server 200 for each transmitting entity and classifies each access device 300 as a normal access device 301 and an abnormal access device. It can be divided into devices 302 and operate to selectively allow only normal access devices 301 to access the data server 200. Meanwhile, as described in detail below, when abnormal data is detected, the data access prevention device 100 operates the abnormal access device 302 and/or the abnormal access device 302 that transmitted the data (target data). It may operate to estimate information (eg, access path, IP, device information, etc.) about the abnormal data transmission subject 1.

또한, 본원의 실시예에 관한 설명에서 사용자 단말(400)은 데이터 접근 방지 장치(100)가 비정상적 데이터 접근을 감지하거나 해킹 시도 등이 발생한 것으로 판단하는 경우, 해당 상황에 대한 알림/경고 신호를 데이터 접근 방지 장치(100)로부터 수신하도록 구비되는 디바이스일 수 있다. 예를 들어, 사용자 단말(400)은 데이터 서버(200)에 대한 관리/운영 주체(관리자 등)가 보유한 디바이스일 수 있다.In addition, in the description of the embodiment of the present application, when the data access prevention device 100 detects abnormal data access or determines that a hacking attempt has occurred, the user terminal 400 sends a notification/warning signal for the situation. It may be a device equipped to receive information from the access prevention device 100. For example, the user terminal 400 may be a device owned by a management/operation entity (administrator, etc.) for the data server 200.

접근 디바이스(300) 및/또는 사용자 단말(400)은 예를 들면, 스마트폰(Smartphone), 스마트패드(SmartPad), 태블릿 PC등과 PCS(Personal Communication System), GSM(Global System for Mobile communication), PDC(Personal Digital Cellular), PHS(Personal Handyphone System), PDA(Personal Digital Assistant), IMT(International Mobile Telecommunication)-2000, CDMA(Code Division Multiple Access)-2000, W-CDMA(W-Code Division Multiple Access), Wibro(Wireless Broadband Internet) 단말기 같은 모든 종류의 무선 통신 장치일 수 있다.The access device 300 and/or the user terminal 400 include, for example, a smartphone, a SmartPad, a tablet PC, a personal communication system (PCS), a global system for mobile communication (GSM), and a PDC. (Personal Digital Cellular), PHS (Personal Handyphone System), PDA (Personal Digital Assistant), IMT (International Mobile Telecommunication)-2000, CDMA (Code Division Multiple Access)-2000, W-CDMA (W-Code Division Multiple Access) , It can be any type of wireless communication device, such as a Wibro (Wireless Broadband Internet) terminal.

이하에서는 데이터 접근 방지 장치(100)의 구체적인 기능 및 동작에 대하여 설명하도록 한다.Hereinafter, specific functions and operations of the data access prevention device 100 will be described.

데이터 접근 방지 장치(100)는 데이터 서버(200)로 접근하는 대상 데이터를 수집할 수 있다. 예를 들어, 대상 데이터는 접근 디바이스(300)로부터 데이터 서버(200)로 전송되는 각종 네트워크 신호, 패킷, 파일, 접속 신호 등을 폭넓게 포함하는 개념일 수 있다.The data access prevention device 100 can collect target data accessing the data server 200. For example, target data may be a concept that broadly includes various network signals, packets, files, connection signals, etc. transmitted from the access device 300 to the data server 200.

또한, 수집된 대상 데이터를 미리 학습된 인공지능 기반의 탐지 모델에 입력하여 대상 데이터로부터 비정상 트래픽을 감지할 수 있다.Additionally, abnormal traffic can be detected from the target data by inputting the collected target data into a pre-trained artificial intelligence-based detection model.

도 2는 인공지능 기반의 탐지 모델을 설명하기 위한 개념도이다.Figure 2 is a conceptual diagram to explain an artificial intelligence-based detection model.

도 2를 참조하면, 데이터 접근 방지 장치(100)가 보유한 인공지능 기반의 탐지 모델은 트랜스포머(Transformer) 알고리즘 기반의 모델일 수 있다. 참고로, 본원의 실시예에 관한 설명에서 인공지능 기반의 탐지 모델은 'Identify AI' 등으로 달리 지칭될 수 있다.Referring to FIG. 2, the artificial intelligence-based detection model possessed by the data access prevention device 100 may be a model based on a Transformer algorithm. For reference, in the description of the embodiments of the present application, the artificial intelligence-based detection model may be referred to differently as 'Identify AI', etc.

여기서, 트랜스포머(Transformer) 알고리즘은 종래의 seq2seq 아키텍쳐와 같이 인코더에서 입력 시퀀스를 입력받고, 디코더에서 출력 시퀀스를 출력하는 인코더-디코더 구조를 포함할 수 있다. 다만, 종래의 seq2seq 아키텍쳐와 달리 인코더 및 디코더가 복수개 마련될 수 있다. 또한, Transformer 알고리즘은 인코더와 디코더를 연결하지 않고 내부에서만 Attention 알고리즘을 사용하며, LSTM이나 GRU 같은 RNN이 아니라 Attention 신경망으로만 이루어져 있다는 특징을 갖는다.Here, the Transformer algorithm may include an encoder-decoder structure that receives an input sequence from an encoder and outputs an output sequence from a decoder, like the conventional seq2seq architecture. However, unlike the conventional seq2seq architecture, a plurality of encoders and decoders may be provided. In addition, the Transformer algorithm uses the Attention algorithm only internally without connecting the encoder and decoder, and has the characteristic of being composed only of an Attention neural network, not a RNN such as LSTM or GRU.

다만, 본원에서 개시하는 데이터 접근 방지 장치(100)의 인공지능 기반의 탐지 모델의 유형은 전술한 트랜스포머(Transformer) 알고리즘에만 한정되는 것은 아니며, 본원의 구현예에 따라 LSTM(Long-Short Term Memory) 알고리즘, Attention 알고리즘, BERT 등 종래에 이미 공지되었거나 향후 개발되는 다양한 시계열 분석 알고리즘 모델이 적용될 수 있다.However, the type of artificial intelligence-based detection model of the data access prevention device 100 disclosed herein is not limited to the above-described Transformer algorithm, and according to the implementation example of the present application, LSTM (Long-Short Term Memory) Various time series analysis algorithm models, such as Algorithm, Attention Algorithm, and BERT, which are already known or developed in the future, can be applied.

이와 관련하여, 데이터 접근 방지 장치(100)는 해킹 트래픽 및 해킹 트래픽의 전후 트래픽 변화를 포함하는 학습 데이터에 기초하여 인공지능 기반의 탐지 모델(트랜스포머 모델)을 학습시킬 수 있다.In this regard, the data access prevention device 100 may learn an artificial intelligence-based detection model (transformer model) based on learning data including hacking traffic and changes in traffic before and after the hacking traffic.

예를 들어, 해킹 트래픽은 인공지능 기반의 탐지 모델의 구축을 위하여 비정상적인 트래픽을 포함하도록 미리 준비(확보)된 데이터일 수 있으며, 탐지 모델의 구축을 위한 학습 데이터는 해킹 트래픽이 발생한 시점 전후의 정상 트래픽을 해킹 트래픽과 시계열적으로 함께 포함하도록 수집됨으로써, 탐지 모델이 트래픽의 시계열적 특성으로부터 정상 트래픽과 해킹 트래픽을 구분할 수 있게 학습되도록 할 수 있다.For example, hacking traffic may be data prepared (secured) in advance to include abnormal traffic in order to build an artificial intelligence-based detection model, and the learning data for building a detection model is normal before and after the time the hacking traffic occurred. By collecting traffic to include hacking traffic and hacking traffic in a time-series manner, a detection model can be learned to distinguish between normal traffic and hacking traffic based on the time-series characteristics of the traffic.

보다 구체적으로 도 2를 참조하면, 데이터 접근 방지 장치(100)는 해킹 트래픽 및 해킹 트래픽의 전후 트래픽 변화를 포함하는 시계열 데이터인 학습 데이터를 수집하고, 수집된 학습 데이터의 데이터 타입을 변환하는 트랜스포머 모듈에 기초하여 탐지 모델을 학습시킬 수 있다.More specifically, referring to FIG. 2, the data access prevention device 100 collects learning data, which is time series data including hacking traffic and changes in traffic before and after the hacking traffic, and a transformer module that converts the data type of the collected learning data. Based on this, a detection model can be trained.

달리 말해, 데이터 접근 방지 장치(100)의 탐지 모델은 학습 데이터로서 수집된 해킹 트래픽의 시계열적인 특성을 개별적으로 비교하여 해킹 트래픽의 의미를 파악하도록 반복 학습될 수 있다.In other words, the detection model of the data access prevention device 100 can be repeatedly learned to understand the meaning of the hacking traffic by individually comparing the time series characteristics of the hacking traffic collected as learning data.

또한, 본원의 일 실시예에 따르면, 데이터 접근 방지 장치(100)가 보유한 탐지 모델은 미리 설정된 모니터링 주기에 기초하여 대상 데이터를 분석하도록 구현될 수 있다. 예를 들어, 모니터링 주기는 실시간 Anti-hack 성능을 보장하도록 수 초(second) 단위로 설정될 수 있으나, 이에만 한정되는 것은 아니다. 이와 관련하여 본원의 구현예에 따라 탐지 모델이 대상 데이터에 대한 분석을 수행하는 시간적 단위인 모니터링 주기는 데이터 서버(200)에 대하여 데이터를 전송하는 접근 디바이스(300)의 수, 데이터 서버(200)의 스토리지, 용량 등을 기초로 하여 가변되는 것일 수 있다.Additionally, according to an embodiment of the present application, the detection model possessed by the data access prevention device 100 may be implemented to analyze target data based on a preset monitoring cycle. For example, the monitoring cycle can be set in seconds to ensure real-time anti-hack performance, but is not limited to this. In this regard, the monitoring cycle, which is a time unit in which the detection model performs analysis on target data according to the implementation example of the present application, is the number of access devices 300 that transmit data to the data server 200, the data server 200 It may be variable based on storage, capacity, etc.

예를 들어 도 2를 참조하면, 트랜스포머 모듈(Model Transformer, View Transformer)에 의해 전환되는 데이터 타입은 모델 데이터(Model data, D1), 놈 데이터(Norm data, D2), 뷰 데이터(View data, D3) 등의 타입을 포함할 수 있다.For example, referring to Figure 2, the data types converted by the transformer module (Model Transformer, View Transformer) are model data (D1), norm data (Norm data, D2), and view data (View data, D3). ) may include types such as.

이와 관련하여, 모델 데이터(D1)는 탐지 모델이 구동되는 어플리케이션에서 사용되는 기본 데이터 형식을 나타내고, 놈 데이터(D2)는 모델 데이터를 정규화(normalized)한 데이터 형식을 나타내고, 뷰 데이터(D3)는 양식 필드(form filed)를 채우기 위한 데이터 형식으로서 사용자가 데이터를 제출하는 데이터 형식을 나타낸다.In this regard, model data (D1) represents the basic data format used in the application in which the detection model is driven, norm data (D2) represents the data format in which the model data is normalized, and view data (D3) represents the data format used in the application in which the detection model is driven. It is a data format for filling a form field and indicates the data format in which the user submits data.

또한, 데이터 접근 방지 장치(100)는 전술한 인공지능 기반의 탐지 모델에 기초하여 비정상 트래픽이 감지되면, 데이터 서버(200)와 연계된 데이터의 전송을 중단하고, 수집된 대상 데이터를 미리 설정된 버퍼(미도시)에 저장할 수 있다.In addition, when abnormal traffic is detected based on the above-described artificial intelligence-based detection model, the data access prevention device 100 stops transmission of data associated with the data server 200 and stores the collected target data in a preset buffer. It can be saved at (not shown).

달리 말해, 본원에서 개시하는 데이터 접근 방지 장치(100)는 인공지능 기반의 탐지 모델에 기초하여 데이터 서버(200)로 비정상적으로 접근하려는 징후가 감지되면, 해당 연결을 지연시켜 보안성을 유지할 뿐만 아니라, 감지된 데이터(대상 데이터)를 버퍼에 별도로 저장하여 이하에서 설명하는 트래픽 상세 분석을 수행할 수 있는 상태에 놓이도록 할 수 있다. 예시적으로, 데이터 접근 방지 장치(100)는 비정상 트래픽이 감지된 대상 데이터를 복사(Copy)한 후 버퍼에 저장(기록)할 수 있다.In other words, the data access prevention device 100 disclosed herein not only maintains security by delaying the connection when signs of abnormal access to the data server 200 are detected based on an artificial intelligence-based detection model. , the sensed data (target data) can be stored separately in a buffer so that it can be placed in a state where detailed traffic analysis, as described below, can be performed. As an example, the data access prevention device 100 may copy target data for which abnormal traffic is detected and then store (record) it in a buffer.

즉, 데이터 접근 방지 장치(100)는 비정상 트래픽의 발생 유무를 단순히 감지하는 것이 아니라, 비정상 트래픽이 포함된 데이터(대상 데이터) 자체를 데이터 서버(200)와 독립적으로 마련되는 저장 공간(버퍼)에 저장함으로써 비정상 트래픽을 포함하는 데이터(대상 데이터)가 데이터 서버(200)를 향하는 물리적인 경로를 차단할 수 있는 이점이 있다.In other words, the data access prevention device 100 does not simply detect the occurrence of abnormal traffic, but rather stores the data containing the abnormal traffic (target data) in a storage space (buffer) provided independently from the data server 200. There is an advantage in that the physical path of data containing abnormal traffic (target data) toward the data server 200 can be blocked by storing it.

또한, 데이터 접근 방지 장치(100)는 비정상 트래픽이 감지되어 버퍼에 일시적으로 저장된 대상 데이터에 대한 상세 분석을 통해 대상 데이터가 데이터 서버(200)에 대한 해킹 시도와 연계된 데이터인지 여부를 최종 결정할 수 있다.In addition, the data access prevention device 100 detects abnormal traffic and performs a detailed analysis of the target data temporarily stored in the buffer to finally determine whether the target data is data linked to a hacking attempt on the data server 200. there is.

달리 말해, 데이터 접근 방지 장치(100)는 인공지능 기반의 탐지 모델에 기반하여 감지된 비정상 트래픽에 대응하는 대상 데이터를 데이터 서버(200)와 분리된 버퍼에 1차적으로 저장한 후, 트래픽 상세 분석을 통해 해당 데이터가 데이터 서버(200)에 대한 해킹 등의 악의적 목적을 가지고 전송된 데이터인지 여부를 2차적으로 검증할 수 있다.In other words, the data access prevention device 100 primarily stores target data corresponding to abnormal traffic detected based on an artificial intelligence-based detection model in a buffer separate from the data server 200, and then performs detailed traffic analysis. Through this, it is possible to secondarily verify whether the data is transmitted for malicious purposes such as hacking the data server 200.

즉, 본원에서 개시하는 데이터 접근 방지 장치(100)는 트랜스포머 알고리즘 등에 기반하여 학습되어 입력되는 시계열 데이터에 대한 특성을 분석하도록 구축된 탐지 모델을 통해 시계열적 특성이 비정상적인 것으로 판단되는 대상 데이터를 감지하여 기 구축된 버퍼 측에 저장하고, 버퍼에 저장된 대상 데이터의 트래픽 특성을 보다 상세하게 분석함으로써 해킹 발생 여부를 구체적으로 판단할 수 있다.In other words, the data access prevention device 100 disclosed herein detects target data whose time series characteristics are judged to be abnormal through a detection model built to analyze the characteristics of time series data that is learned and input based on a transformer algorithm, etc. By storing it in a pre-built buffer and analyzing the traffic characteristics of the target data stored in the buffer in more detail, it is possible to specifically determine whether hacking has occurred.

또한, 본원의 일 실시예에 따르면, 데이터 접근 방지 장치(100)는 비정상 트래픽이 감지되어 버퍼에 저장된 대상 데이터에 대한 트래픽 상세 분석이 수행되는 동안 해당 대상 데이터를 전송한 접근 디바이스(300)뿐만 아니라, 해당 접근 디바이스(300) 외의 나머지 접근 디바이스(300)의 데이터 서버(200)에 대한 데이터 전송 프로세스를 중단(정지)할 수 있다. 이와 관련하여, 데이터 접근 방지 장치(100)는 트래픽 상세 분석이 수행되는 시점에 대응하여 데이터 서버(200)로 데이터를 전송 중이거나 데이터 전송을 시도하는 모든 접근 디바이스(300)에 대하여 비정상 트래픽 감지에 따른 트래픽 상세 분석이 수행되는 동안 각 디바이스로부터의 데이터 전송이 일시적으로 중단됨을 안내하는 신호(메시지)를 전송할 수 있다.In addition, according to an embodiment of the present application, the data access prevention device 100 detects abnormal traffic and performs detailed traffic analysis on the target data stored in the buffer, as well as the access device 300 that transmitted the target data. , the data transmission process for the data server 200 of the remaining access devices 300 other than the corresponding access device 300 may be stopped (stopped). In this regard, the data access prevention device 100 detects abnormal traffic for all access devices 300 that are transmitting or attempting to transmit data to the data server 200 in response to the time when detailed traffic analysis is performed. A signal (message) may be transmitted informing that data transmission from each device is temporarily suspended while detailed traffic analysis is performed.

이어서, 데이터 접근 방지 장치(100)는 트래픽 상세 분석 결과 대상 데이터가 데이터 서버(200)에 대한 해킹 시도와 무관한 데이터인 것으로 결정되면, 중단된 데이터 전송을 재개할 수 있다. 또한, 본원의 일 실시예에 따르면, 대상 데이터가 데이터 서버(200)에 대한 해킹 시도와 무관한 것으로 판단됨에 따라 데이터 전송이 재개되는 경우, 데이터 접근 방지 장치(100)는 데이터 서버(200)로 데이터를 전송 중이거나 데이터 전송을 시도하는 모든 접근 디바이스(300)에 데이터 전송이 재개 또는 개시될 수 있는 상태로 전환됨을 안내하는 신호(메시지)를 전송할 수 있다.Subsequently, if the data access prevention device 100 determines that the target data is data unrelated to the hacking attempt on the data server 200 as a result of detailed traffic analysis, it may resume the interrupted data transmission. In addition, according to an embodiment of the present application, when data transmission is resumed as the target data is determined to be unrelated to the hacking attempt on the data server 200, the data access prevention device 100 is connected to the data server 200. A signal (message) informing all access devices 300 that are transmitting data or attempting to transmit data that data transmission is switched to a state in which data transmission can be resumed or initiated may be transmitted.

이와 달리, 트래픽 상세 분석 결과 대상 데이터가 데이터 서버(200)에 대한 해킹 시도에 대응하는 데이터인 것으로 결정되면 데이터 접근 방지 장치(100)는 미리 설정된 사용자 단말(400)로 경고 신호를 전송할 수 있다.In contrast, if the target data is determined to be data corresponding to a hacking attempt on the data server 200 as a result of detailed traffic analysis, the data access prevention device 100 may transmit a warning signal to the preset user terminal 400.

또한, 데이터 접근 방지 장치(100)는 대상 데이터를 전송한 전송 주체에 대한 정보(예를 들면, 비정상적 데이터 전송 주체 (1) 또는 비정상 접근 디바이스(302)에 대한 정보 등)를 추적할 수 있다. 예를 들면, 데이터 접근 방지 장치(100)는 대상 데이터에 포함된 헤더 정보, 전송/접속 경로 정보 등을 획득하여 로그 정보로서 저장하거나 사용자 단말(400)로 해당 정보를 전송할 수 있다.Additionally, the data access prevention device 100 may track information about the transmitter who transmitted the target data (for example, information about the abnormal data transmitter 1 or the abnormal access device 302, etc.). For example, the data access prevention device 100 may acquire header information, transmission/access path information, etc. included in the target data and store them as log information or transmit the information to the user terminal 400.

다른 예로, 트래픽 상세 분석 결과 대상 데이터가 데이터 서버(200)에 대한 해킹 시도에 대응하는 데이터인 것으로 결정되면 데이터 접근 방지 장치(100)는 대상 데이터를 전송한 접근 디바이스(300)를 비정상 접근 디바이스(302)로 간주하여 비정상 접근 디바이스(302)에 대한 정보를 획득하기 위한 소정의 데이터를 비정상 접근 디바이스(302) 측으로 역방향 전송하도록 동작할 수 있다.As another example, as a result of detailed traffic analysis, if it is determined that the target data is data corresponding to a hacking attempt on the data server 200, the data access prevention device 100 connects the access device 300 that transmitted the target data to an abnormal access device ( 302), it may operate to reversely transmit predetermined data for obtaining information about the abnormal access device 302 to the abnormal access device 302.

도 3은 본원의 일 실시예에 따른 인공지능 기반의 비정상적 데이터 접근 방지 장치의 개략적인 구성도이다.Figure 3 is a schematic configuration diagram of an artificial intelligence-based abnormal data access prevention device according to an embodiment of the present application.

도 3을 참조하면, 데이터 접근 방지 장치(100)는 학습부(110), 수집부(120), 감지부(130), 분석부(140) 및 제어부(150)를 포함할 수 있다.Referring to FIG. 3, the data access prevention device 100 may include a learning unit 110, a collection unit 120, a detection unit 130, an analysis unit 140, and a control unit 150.

학습부(110)는 해킹 트래픽 및 해킹 트래픽의 전후 트래픽 변화를 포함하는 학습 데이터에 기초하여 인공지능 기반의 탐지 모델을 학습시킬 수 있다.The learning unit 110 may learn an artificial intelligence-based detection model based on learning data including hacking traffic and changes in traffic before and after the hacking traffic.

수집부(120)는 데이터 서버(200)로 접근하는 대상 데이터를 수집할 수 있다.The collection unit 120 may collect target data accessing the data server 200.

감지부(130)는 대상 데이터를 미리 학습된 인공지능 기반의 탐지 모델에 입력하여 대상 데이터로부터 비정상 트래픽을 감지할 수 있다.The detection unit 130 may detect abnormal traffic from the target data by inputting the target data into a previously learned artificial intelligence-based detection model.

분석부(140)는 버퍼에 저장된 대상 데이터에 대한 상세 분석(트래픽 상세 분석)을 통해 대상 데이터가 데이터 서버(200)에 대한 해킹 시도와 연계된 데이터인지 여부를 결정할 수 있다.The analysis unit 140 may determine whether the target data is data linked to a hacking attempt on the data server 200 through detailed analysis (detailed traffic analysis) of the target data stored in the buffer.

제어부(150)는 감지부(130)에 의해 비정상 트래픽이 감지되면, 데이터 서버(200)와 연계된 데이터의 전송을 중단할 수 있다.When abnormal traffic is detected by the detection unit 130, the control unit 150 may stop transmission of data associated with the data server 200.

또한, 제어부(150)는 감지부(130)에 의해 비정상 트래픽이 감지되면, 수집된 해당 대상 데이터를 미리 설정된 버퍼에 저장할 수 있다.Additionally, when abnormal traffic is detected by the detection unit 130, the control unit 150 may store the collected target data in a preset buffer.

또한, 제어부(150)는 대상 데이터가 분석부(140)에 의해 해킹 시도와 무관한 데이터인 것으로 결정되면, 앞서 중단된 데이터 전송을 재개할 수 있다.Additionally, if the target data is determined by the analysis unit 140 to be unrelated to the hacking attempt, the control unit 150 may resume previously interrupted data transmission.

또한, 제어부(150)는 대상 데이터가 분석부(140)에 의해 해킹 시도에 대응하는 데이터인 것으로 결정되면, 미리 설정된 사용자 단말(400)로 경고 신호를 전송할 수 있다.Additionally, if the target data is determined by the analysis unit 140 to be data corresponding to a hacking attempt, the control unit 150 may transmit a warning signal to the preset user terminal 400.

또한, 제어부(150)는 대상 데이터가 분석부(140)에 의해 해킹 시도에 대응하는 데이터인 것으로 결정되면, 대상 데이터를 전송한 전송 주체(1)에 대한 정보를 추적할 수 있다.Additionally, if the target data is determined by the analysis unit 140 to be data corresponding to a hacking attempt, the control unit 150 may track information about the transmitting entity 1 that transmitted the target data.

이하에서는 상기에 자세히 설명된 내용을 기반으로, 본원의 동작 흐름을 간단히 살펴보기로 한다.Below, we will briefly look at the operation flow of the present application based on the details described above.

도 4는 본원의 일 실시예에 따른 인공지능 기반의 비정상적 데이터 접근 방지 방법에 대한 동작 흐름도이다.Figure 4 is an operation flowchart of an artificial intelligence-based abnormal data access prevention method according to an embodiment of the present application.

도 4에 도시된 본원의 일 실시예에 따른 인공지능 기반의 비정상적 데이터 접근 방지 방법은 앞서 설명된 데이터 접근 방지 장치(100)에 의하여 수행될 수 있다. 따라서, 이하 생략된 내용이라고 하더라도 데이터 접근 방지 장치(100)에 대하여 설명된 내용은 인공지능 기반의 비정상적 데이터 접근 방지 방법에 대한 설명에도 동일하게 적용될 수 있다.The artificial intelligence-based abnormal data access prevention method according to an embodiment of the present application shown in FIG. 4 can be performed by the data access prevention device 100 described above. Therefore, even if the content is omitted below, the content described regarding the data access prevention device 100 can be equally applied to the explanation of the artificial intelligence-based abnormal data access prevention method.

도 4를 참조하면, 단계 S11에서 학습부(110)는 해킹 트래픽 및 해킹 트래픽의 전후 트래픽 변화를 포함하는 학습 데이터에 기초하여 인공지능 기반의 탐지 모델을 학습시킬 수 있다.Referring to FIG. 4, in step S11, the learning unit 110 may learn an artificial intelligence-based detection model based on learning data including hacking traffic and changes in traffic before and after the hacking traffic.

본원의 일 실시예에 따르면, 단계 S11에서 학습부(110)가 구축하는 탐지 모델은 트랜스포머(Transformer) 알고리즘 기반의 모델일 수 있다.According to an embodiment of the present application, the detection model built by the learning unit 110 in step S11 may be a model based on a Transformer algorithm.

다음으로, 단계 S12에서 수집부(120)는 데이터 서버(200)로 접근하는 대상 데이터를 수집할 수 있다.Next, in step S12, the collection unit 120 may collect target data accessing the data server 200.

다음으로, 단계 S13에서 감지부(130)는 대상 데이터를 미리 학습된 인공지능 기반의 탐지 모델에 입력하여 대상 데이터로부터 비정상 트래픽을 감지할 수 있다.Next, in step S13, the detection unit 130 may detect abnormal traffic from the target data by inputting the target data into a previously learned artificial intelligence-based detection model.

만일, 단계 S13에서 비정상 트래픽이 감지되면, 단계 S14에서 제어부(150)는, 데이터 서버(200)와 연계된 데이터의 전송을 중단할 수 있다.If abnormal traffic is detected in step S13, the control unit 150 may stop transmission of data associated with the data server 200 in step S14.

다음으로, 단계 S15에서 제어부(150)는 수집된 대상 데이터를 미리 설정된 버퍼에 저장할 수 있다.Next, in step S15, the control unit 150 may store the collected target data in a preset buffer.

상술한 설명에서, 단계 S11 내지 S15는 본원의 구현예에 따라서, 추가적인 단계들로 더 분할되거나, 더 적은 단계들로 조합될 수 있다. 또한, 일부 단계는 필요에 따라 생략될 수도 있고, 단계 간의 순서가 변경될 수도 있다.In the above description, steps S11 to S15 may be further divided into additional steps or combined into fewer steps, depending on the implementation of the present disclosure. Additionally, some steps may be omitted or the order between steps may be changed as needed.

도 5는 대상 데이터에 대한 상세 분석 결과에 따른 후속 조치를 수행하는 프로세스에 대한 세부 동작 흐름도이다.Figure 5 is a detailed operation flowchart of a process for performing follow-up actions according to the results of detailed analysis of target data.

도 5에 도시된 대상 데이터에 대한 상세 분석 결과에 따른 후속 조치를 수행하는 프로세스는 앞서 설명된 데이터 접근 방지 장치(100)에 의하여 수행될 수 있다. 따라서, 이하 생략된 내용이라고 하더라도 데이터 접근 방지 장치(100)에 대하여 설명된 내용은 도 5에 대한 설명에도 동일하게 적용될 수 있다.The process of performing follow-up actions according to the detailed analysis results for the target data shown in FIG. 5 may be performed by the data access prevention device 100 described above. Therefore, even if the content is omitted below, the content described with respect to the data access prevention device 100 can be equally applied to the description of FIG. 5.

도 5를 참조하면, 단계 S21에서 분석부(140)는 버퍼에 저장된 대상 데이터에 대한 트래픽 상세 분석을 수행할 수 있다.Referring to FIG. 5, in step S21, the analysis unit 140 may perform detailed traffic analysis on target data stored in the buffer.

다음으로, 단계 S22에서 분석부(140)는 트래픽 상세 분석 결과 대상 데이터가 데이터 서버(200)에 대한 해킹 시도와 연계된 데이터인지 여부를 최종 결정할 수 있다.Next, in step S22, the analysis unit 140 may finally determine whether the target data as a result of detailed traffic analysis is data linked to a hacking attempt on the data server 200.

만일, 단계 S22에서 대상 데이터가 상기 해킹 시도와 무관한 데이터인 것으로 결정되면, 단계 S23에서 제어부(150)는 중단된 데이터 서버(200)와 연계된 데이터 전송을 재개할 수 있다.If it is determined in step S22 that the target data is data unrelated to the hacking attempt, the control unit 150 may resume data transmission associated with the interrupted data server 200 in step S23.

반대로, 단계 S22에서 대상 데이터가 데이터 서버(200)에 대한 해킹 시도에 대응하는 데이터인 것으로 결정되면, 단계 S241에서 제어부(150)는 미리 설정된 사용자 단말(400)로 경고 신호를 전송할 수 있다.Conversely, if it is determined in step S22 that the target data is data corresponding to a hacking attempt on the data server 200, the control unit 150 may transmit a warning signal to the preset user terminal 400 in step S241.

다음으로, 단계 S242에서 제어부(150)는 대상 데이터를 전송한 전송 주체(1)에 대한 정보를 추적할 수 있다.Next, in step S242, the control unit 150 can track information about the transmitting subject 1 that transmitted the target data.

상술한 설명에서, 단계 S21 내지 S242는 본원의 구현예에 따라서, 추가적인 단계들로 더 분할되거나, 더 적은 단계들로 조합될 수 있다. 또한, 일부 단계는 필요에 따라 생략될 수도 있고, 단계 간의 순서가 변경될 수도 있다.In the above description, steps S21 to S242 may be further divided into additional steps or combined into fewer steps, depending on the implementation of the present disclosure. Additionally, some steps may be omitted or the order between steps may be changed as needed.

본원의 일 실시예에 따른 인공지능 기반의 비정상적 데이터 접근 방지 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 본 발명의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.The artificial intelligence-based abnormal data access prevention method according to an embodiment of the present application may be implemented in the form of program instructions that can be executed through various computer means and recorded on a computer-readable medium. The computer-readable medium may include program instructions, data files, data structures, etc., singly or in combination. Program instructions recorded on the medium may be specially designed and constructed for the present invention or may be known and usable by those skilled in the art of computer software. Examples of computer-readable recording media include magnetic media such as hard disks, floppy disks, and magnetic tapes, optical media such as CD-ROMs and DVDs, and magnetic media such as floptical disks. -Includes optical media (magneto-optical media) and hardware devices specifically configured to store and execute program instructions, such as ROM, RAM, flash memory, etc. Examples of program instructions include machine language code, such as that produced by a compiler, as well as high-level language code that can be executed by a computer using an interpreter, etc. The hardware devices described above may be configured to operate as one or more software modules to perform the operations of the present invention, and vice versa.

또한, 전술한 인공지능 기반의 비정상적 데이터 접근 방지 방법은 기록 매체에 저장되는 컴퓨터에 의해 실행되는 컴퓨터 프로그램 또는 애플리케이션의 형태로도 구현될 수 있다.Additionally, the artificial intelligence-based abnormal data access prevention method described above may also be implemented in the form of a computer program or application executed by a computer stored in a recording medium.

전술한 본원의 설명은 예시를 위한 것이며, 본원이 속하는 기술분야의 통상의 지식을 가진 자는 본원의 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 쉽게 변형이 가능하다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해해야만 한다. 예를 들어, 단일형으로 설명되어 있는 각 구성 요소는 분산되어 실시될 수도 있으며, 마찬가지로 분산된 것으로 설명되어 있는 구성 요소들도 결합된 형태로 실시될 수 있다.The description of the present application described above is for illustrative purposes, and those skilled in the art will understand that the present application can be easily modified into other specific forms without changing its technical idea or essential features. Therefore, the embodiments described above should be understood in all respects as illustrative and not restrictive. For example, each component described as unitary may be implemented in a distributed manner, and similarly, components described as distributed may also be implemented in a combined form.

본원의 범위는 상기 상세한 설명보다는 후술하는 특허청구범위에 의하여 나타내어지며, 특허청구범위의 의미 및 범위 그리고 그 균등 개념으로부터 도출되는 모든 변경 또는 변형된 형태가 본원의 범위에 포함되는 것으로 해석되어야 한다.The scope of the present application is indicated by the claims described below rather than the detailed description above, and all changes or modified forms derived from the meaning and scope of the claims and their equivalent concepts should be construed as being included in the scope of the present application.

10: 인공지능 기반의 보안 시스템
100: 인공지능 기반의 비정상적 데이터 접근 방지 장치
110: 학습부
120: 수집부
130: 감지부
140: 분석부
150: 제어부
200: 데이터 서버
300: 접근 디바이스
400: 사용자 단말
20: 네트워크
1: 비정상적 데이터 전송 주체10: Artificial intelligence-based security system
100: Artificial intelligence-based abnormal data access prevention device
110: Learning Department
120: Collection department
130: detection unit
140: analysis department
150: control unit
200: data server
300: Access device
400: User terminal
20: Network
1: Abnormal data transmission subject

Claims (15)

인공지능 기반의 비정상적 데이터 접근 방지 방법에 있어서,
해킹 트래픽 및 상기 해킹 트래픽의 전후 트래픽 변화를 포함하는 학습 데이터에 기초하여 인공지능 기반의 탐지 모델을 학습시키는 단계;
소정의 데이터 서버로 접근하는 대상 데이터를 수집하는 단계;
상기 대상 데이터를 상기 탐지 모델에 입력하여 상기 대상 데이터로부터 비정상 트래픽을 감지하는 단계; 및
상기 비정상 트래픽이 감지되면, 상기 데이터 서버와 연계된 데이터의 전송을 중단하고, 상기 대상 데이터를 미리 설정된 버퍼에 저장하는 단계,
를 포함하되,
상기 탐지 모델은,
트랜스포머(Transformer) 알고리즘 기반의 모델인 것을 특징으로 하고,
상기 탐지 모델을 학습시키는 단계는,
상기 해킹 트래픽 및 상기 해킹 트래픽이 발생한 시점 전후의 정상 트래픽을 시계열적으로 포함하는 상기 학습 데이터 및 상기 학습 데이터의 데이터 타입을 변환하는 상기 트랜스포머 알고리즘에 기초하여, 상기 해킹 트래픽의 시계열적 특성을 상기 정상 트래픽의 시계열적 특성과 비교하여 상기 대상 데이터의 시계열적 특성으로부터 정상 트래픽 및 해킹 트래픽을 구분할 수 있도록 상기 탐지 모델을 학습시키는 것을 특징으로 하고,
상기 비정상 트래픽을 감지하는 단계는,
상기 탐지 모델을 통해 시계열적 특성이 비정상적인 것으로 판단되는 상기 대상 데이터를 상기 비정상 트래픽으로 감지하는 것을 특징으로 하는 것인, 비정상적 데이터 접근 방지 방법.In an artificial intelligence-based abnormal data access prevention method,
Learning an artificial intelligence-based detection model based on learning data including hacking traffic and changes in traffic before and after the hacking traffic;
Collecting target data accessed by a predetermined data server;
Inputting the target data into the detection model to detect abnormal traffic from the target data; and
When the abnormal traffic is detected, stopping transmission of data associated with the data server and storing the target data in a preset buffer;
Including,
The detection model is,
It is characterized as a model based on the Transformer algorithm,
The step of learning the detection model is,
Based on the learning data including the hacking traffic and normal traffic before and after the hacking traffic occurs in time series, and the transformer algorithm that converts the data type of the learning data, the time-series characteristics of the hacking traffic are converted into the normal traffic. Characterized by training the detection model to distinguish normal traffic and hacking traffic from the time series characteristics of the target data by comparing them with the time series characteristics of the traffic,
The step of detecting the abnormal traffic is,
A method for preventing abnormal data access, characterized by detecting the target data whose time series characteristics are determined to be abnormal through the detection model as the abnormal traffic. 삭제delete 삭제delete 제1항에 있어서,
상기 버퍼에 저장된 상기 대상 데이터에 대한 상세 분석을 통해 상기 대상 데이터가 상기 데이터 서버에 대한 해킹 시도와 연계된 데이터인지 여부를 결정하는 단계,
를 더 포함하는 것인, 비정상적 데이터 접근 방지 방법.According to paragraph 1,
Determining whether the target data is data linked to a hacking attempt on the data server through detailed analysis of the target data stored in the buffer,
A method for preventing abnormal data access, further comprising: 제4항에 있어서,
상기 대상 데이터가 상기 해킹 시도와 무관한 데이터인 것으로 결정되면, 중단된 데이터 전송을 재개하는 단계,
를 더 포함하는 것인, 비정상적 데이터 접근 방지 방법.According to paragraph 4,
If the target data is determined to be unrelated to the hacking attempt, resuming interrupted data transmission;
A method for preventing abnormal data access, further comprising: 제4항에 있어서,
상기 대상 데이터가 상기 해킹 시도에 대응하는 데이터인 것으로 결정되면, 미리 설정된 사용자 단말로 경고 신호를 전송하는 단계,
를 더 포함하는 것인, 비정상적 데이터 접근 방지 방법.According to paragraph 4,
If it is determined that the target data is data corresponding to the hacking attempt, transmitting a warning signal to a preset user terminal;
A method for preventing abnormal data access, further comprising: 제4항에 있어서,
상기 대상 데이터가 상기 해킹 시도에 대응하는 데이터인 것으로 결정되면, 상기 대상 데이터를 전송한 전송 주체에 대한 정보를 추적하는 단계,
를 더 포함하는 것인, 비정상적 데이터 접근 방지 방법.According to paragraph 4,
If it is determined that the target data is data corresponding to the hacking attempt, tracking information about the transmitting entity that transmitted the target data,
A method for preventing abnormal data access, further comprising: 인공지능 기반의 비정상적 데이터 접근 방지 장치에 있어서,
해킹 트래픽 및 상기 해킹 트래픽의 전후 트래픽 변화를 포함하는 학습 데이터에 기초하여 인공지능 기반의 탐지 모델을 학습시키는 학습부;
소정의 데이터 서버로 접근하는 대상 데이터를 수집하는 수집부;
상기 대상 데이터를 상기 탐지 모델에 입력하여 상기 대상 데이터로부터 비정상 트래픽을 감지하는 감지부; 및
상기 비정상 트래픽이 감지되면, 상기 데이터 서버와 연계된 데이터의 전송을 중단하고, 상기 대상 데이터를 미리 설정된 버퍼에 저장하는 제어부,
를 포함하되,
상기 탐지 모델은,
트랜스포머(Transformer) 알고리즘 기반의 모델인 것을 특징으로 하고,
상기 학습부는,
상기 해킹 트래픽 및 상기 해킹 트래픽이 발생한 시점 전후의 정상 트래픽을 시계열적으로 포함하는 상기 학습 데이터 및 상기 학습 데이터의 데이터 타입을 변환하는 상기 트랜스포머 알고리즘에 기초하여, 상기 해킹 트래픽의 시계열적 특성을 상기 정상 트래픽의 시계열적 특성과 비교하여 상기 대상 데이터의 시계열적 특성으로부터 정상 트래픽 및 해킹 트래픽을 구분할 수 있도록 상기 탐지 모델을 학습시키고,
상기 감지부는,
상기 탐지 모델을 통해 상기 시계열적 특성이 비정상적인 것으로 판단되는 상기 대상 데이터를 상기 비정상 트래픽으로 감지하는 것인, 비정상적 데이터 접근 방지 장치.In artificial intelligence-based abnormal data access prevention device,
A learning unit that trains an artificial intelligence-based detection model based on learning data including hacking traffic and changes in traffic before and after the hacking traffic;
a collection unit that collects target data accessed by a predetermined data server;
a detection unit that inputs the target data into the detection model and detects abnormal traffic from the target data; and
When the abnormal traffic is detected, a control unit that stops transmission of data associated with the data server and stores the target data in a preset buffer;
Including,
The detection model is,
It is characterized as a model based on the Transformer algorithm,
The learning department,
Based on the learning data including the hacking traffic and normal traffic before and after the hacking traffic occurs in time series, and the transformer algorithm that converts the data type of the learning data, the time-series characteristics of the hacking traffic are converted into the normal traffic. Learning the detection model to distinguish normal traffic and hacking traffic from the time series characteristics of the target data by comparing them with the time series characteristics of the traffic,
The sensing unit,
Abnormal data access prevention device for detecting the target data whose time series characteristics are determined to be abnormal through the detection model as the abnormal traffic. 삭제delete 삭제delete 제8항에 있어서,
상기 버퍼에 저장된 상기 대상 데이터에 대한 상세 분석을 통해 상기 대상 데이터가 상기 데이터 서버에 대한 해킹 시도와 연계된 데이터인지 여부를 결정하는 분석부,
를 더 포함하는 것인, 비정상적 데이터 접근 방지 장치.According to clause 8,
An analysis unit that determines whether the target data is data linked to a hacking attempt on the data server through detailed analysis of the target data stored in the buffer;
An abnormal data access prevention device that further includes a. 제11항에 있어서,
상기 제어부는,
상기 대상 데이터가 상기 해킹 시도와 무관한 데이터인 것으로 결정되면, 중단된 데이터 전송을 재개하는 것인, 비정상적 데이터 접근 방지 장치.According to clause 11,
The control unit,
An abnormal data access prevention device that resumes interrupted data transmission when it is determined that the target data is data unrelated to the hacking attempt. 제11항에 있어서,
상기 제어부는,
상기 대상 데이터가 상기 해킹 시도에 대응하는 데이터인 것으로 결정되면, 미리 설정된 사용자 단말로 경고 신호를 전송하는 것인, 비정상적 데이터 접근 방지 장치.According to clause 11,
The control unit,
An abnormal data access prevention device that transmits a warning signal to a preset user terminal when it is determined that the target data is data corresponding to the hacking attempt. 제11항에 있어서,
상기 제어부는,
상기 대상 데이터가 상기 해킹 시도에 대응하는 데이터인 것으로 결정되면, 상기 대상 데이터를 전송한 전송 주체에 대한 정보를 추적하는 것인, 비정상적 데이터 접근 방지 장치.According to clause 11,
The control unit,
If the target data is determined to be data corresponding to the hacking attempt, an abnormal data access prevention device that tracks information about the transmitter who transmitted the target data. 제1항, 제4항 내지 제7항 중 어느 한 항의 방법을 컴퓨터에서 실행하기 위한 프로그램을 기록한 컴퓨터에서 판독 가능한 기록매체.A computer-readable recording medium recording a program for executing the method of any one of claims 1, 4 to 7 on a computer.
KR1020210187704A 2021-12-24 2021-12-24 Apparatus and method for preventing abnormal data access based on artificial intelligence KR102619905B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020210187704A KR102619905B1 (en) 2021-12-24 2021-12-24 Apparatus and method for preventing abnormal data access based on artificial intelligence

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020210187704A KR102619905B1 (en) 2021-12-24 2021-12-24 Apparatus and method for preventing abnormal data access based on artificial intelligence

Publications (2)

Publication Number Publication Date
KR20230097834A KR20230097834A (en) 2023-07-03
KR102619905B1 true KR102619905B1 (en) 2024-01-04

Family

ID=87157360

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020210187704A KR102619905B1 (en) 2021-12-24 2021-12-24 Apparatus and method for preventing abnormal data access based on artificial intelligence

Country Status (1)

Country Link
KR (1) KR102619905B1 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102606713B1 (en) * 2023-07-13 2023-11-30 주식회사 이글루코퍼레이션 Apparatus, method, system and program for integrated security control for monitoring Kubernetes cluster

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101814368B1 (en) * 2017-07-27 2018-01-04 김재춘 Information security network integrated management system using big data and artificial intelligence, and a method thereof
KR102205430B1 (en) * 2019-08-05 2021-01-20 에스케이텔레콤 주식회사 Learning method using artificial neural network

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20180115883A (en) * 2017-04-14 2018-10-24 한국전자통신연구원 Method and apparatus for traffic detour for server protection

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101814368B1 (en) * 2017-07-27 2018-01-04 김재춘 Information security network integrated management system using big data and artificial intelligence, and a method thereof
KR102205430B1 (en) * 2019-08-05 2021-01-20 에스케이텔레콤 주식회사 Learning method using artificial neural network

Also Published As

Publication number Publication date
KR20230097834A (en) 2023-07-03

Similar Documents

Publication Publication Date Title
Otoum et al. DL‐IDS: a deep learning–based intrusion detection framework for securing IoT
Mishra et al. Internet of things applications, security challenges, attacks, intrusion detection, and future visions: A systematic review
Heidari et al. Internet of Things intrusion detection systems: a comprehensive review and future directions
Moudoud et al. Prediction and detection of fdia and ddos attacks in 5g enabled iot
US11606368B2 (en) Threat control method and system
Zeng et al. Senior2local: A machine learning based intrusion detection method for vanets
Lawal et al. Security analysis of network anomalies mitigation schemes in IoT networks
Lee et al. A review on honeypot-based botnet detection models for smart factory
Malik et al. An improved deep belief network IDS on IoT-based network for traffic systems
de Souza et al. Intrusion detection and prevention in fog based IoT environments: A systematic literature review
Thapa et al. Malicious traffic classification using long short-term memory (LSTM) model
Nuaimi et al. Intelligent approaches toward intrusion detection systems for Industrial Internet of Things: A systematic comprehensive review
Mozaffari et al. Learning based anomaly detection in critical cyber-physical systems
Shang et al. Discovering unknown advanced persistent threat using shared features mined by neural networks
Otoum et al. On securing iot from deep learning perspective
KR102619905B1 (en) Apparatus and method for preventing abnormal data access based on artificial intelligence
Quincozes et al. An extended evaluation on machine learning techniques for Denial-of-Service detection in Wireless Sensor Networks
Alem et al. A novel bi-anomaly-based intrusion detection system approach for industry 4.0
Kadri et al. Survey and classification of Dos and DDoS attack detection and validation approaches for IoT environments
Gangula et al. A comprehence study of DDoS attack detecting algorithm using GRU-BWFA classifier
Dadi et al. Enhanced intrusion detection system based on autoencoder network and support vector machine
Bhargava et al. A comprehensive study of IoT security risks in building a secure smart city
Huang et al. Farsighted risk mitigation of lateral movement using dynamic cognitive honeypots
Vähäkainu et al. Cyberattacks Against Critical Infrastructure Facilities and Corresponding Countermeasures
Ma et al. ELD: Adaptive detection of malicious nodes under mix-energy-depleting-attacks using edge learning in IoT networks

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right