KR102619905B1 - Apparatus and method for preventing abnormal data access based on artificial intelligence - Google Patents
Apparatus and method for preventing abnormal data access based on artificial intelligence Download PDFInfo
- Publication number
- KR102619905B1 KR102619905B1 KR1020210187704A KR20210187704A KR102619905B1 KR 102619905 B1 KR102619905 B1 KR 102619905B1 KR 1020210187704 A KR1020210187704 A KR 1020210187704A KR 20210187704 A KR20210187704 A KR 20210187704A KR 102619905 B1 KR102619905 B1 KR 102619905B1
- Authority
- KR
- South Korea
- Prior art keywords
- data
- traffic
- abnormal
- target data
- hacking
- Prior art date
Links
- 230000002159 abnormal effect Effects 0.000 title claims abstract description 91
- 238000013473 artificial intelligence Methods 0.000 title claims abstract description 59
- 238000000034 method Methods 0.000 title claims abstract description 30
- 230000002265 prevention Effects 0.000 claims abstract description 67
- 238000001514 detection method Methods 0.000 claims abstract description 55
- 230000005540 biological transmission Effects 0.000 claims abstract description 24
- 238000004458 analytical method Methods 0.000 claims description 33
- 238000012549 training Methods 0.000 claims description 2
- 238000010586 diagram Methods 0.000 description 6
- 230000009471 action Effects 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 3
- 238000012544 monitoring process Methods 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 238000004891 communication Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 238000013528 artificial neural network Methods 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 238000004883 computer application Methods 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 230000000779 depleting effect Effects 0.000 description 1
- 230000009474 immediate action Effects 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 230000001151 other effect Effects 0.000 description 1
- 238000011897 real-time detection Methods 0.000 description 1
- 238000012731 temporal analysis Methods 0.000 description 1
- 238000000700 time series analysis Methods 0.000 description 1
- 238000012038 vulnerability analysis Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Artificial Intelligence (AREA)
- Medical Informatics (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Evolutionary Computation (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Mathematical Physics (AREA)
- Data Mining & Analysis (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
인공지능 기반의 비정상적 데이터 접근 방지 장치 및 방법이 개시되며, 본원의 일 실시예에 따른 인공지능 기반의 비정상적 데이터 접근 방지 방법은, 소정의 데이터 서버로 접근하는 대상 데이터를 수집하는 단계, 상기 대상 데이터를 미리 학습된 인공지능 기반의 탐지 모델에 입력하여 상기 대상 데이터로부터 비정상 트래픽을 감지하는 단계 및 상기 비정상 트래픽이 감지되면, 상기 데이터 서버와 연계된 데이터의 전송을 중단하고, 상기 대상 데이터를 미리 설정된 버퍼에 저장하는 단계를 포함할 수 있다.An artificial intelligence-based abnormal data access prevention device and method are disclosed, and the artificial intelligence-based abnormal data access prevention method according to an embodiment of the present application includes the steps of collecting target data accessing a predetermined data server, the target data Detecting abnormal traffic from the target data by inputting it into a pre-trained artificial intelligence-based detection model; and when the abnormal traffic is detected, stopping transmission of data associated with the data server and sending the target data to a preset It may include storing in a buffer.
Description
본원은 인공지능 기반의 비정상적 데이터 접근 방지 장치 및 방법에 관한 것이다.This application relates to devices and methods for preventing abnormal data access based on artificial intelligence.
최근 인공지능 기술의 발전에 힘입어 사이버 공격자들은 새로운 형태의 지능화된 알고리즘을 활용한 신종 사이버 공격과 자동화 기술을 활용하여 사이버 보안 공격을 시도하고 있으며, 이렇듯 점점 고도화되고 다양해지는 사이버 공격에 효율적으로 대응하기에 기존의 보안 솔루션들은 많은 한계를 보이고 있다.Thanks to recent advances in artificial intelligence technology, cyber attackers are attempting cyber security attacks using new cyber attacks and automation technologies using new types of intelligent algorithms, and are effectively responding to increasingly sophisticated and diverse cyber attacks. Therefore, existing security solutions have many limitations.
이와 관련하여, 네트워크 기반 침입탐지(Network-Based Intrusion Detection: NIDS)는 인가되지 않은 사용자가 정보자원에 불법으로 접근하거나, 정보자원을 고갈시키는 행위를 검출하고 이에 대처하는 것을 말한다. 현재 사용하고 있는 대부분의 솔루션은 시그니처 및 룰 기반의 시나리오에 기반하여 공격을 차단하는 수준에 그치고 있으며, 이러한 방식은 비교적 높은 정확도를 보이기는 하나 각종 공격을 분석하여 패턴을 만들기 위하여 전문가가 투입되어야 하며, 유지보수 비용이 지속적으로 발생하는 한계가 있고, 기존 패턴을 우회하거나 변형된 공격을 감지하기 어려운 단점이 있다.In this regard, Network-Based Intrusion Detection (NIDS) refers to detecting and responding to actions by unauthorized users illegally accessing or depleting information resources. Most solutions currently in use are limited to blocking attacks based on signature and rule-based scenarios. Although this method shows relatively high accuracy, experts must be brought in to analyze various attacks and create patterns. , there are limitations in that maintenance costs are continuously incurred, and it is difficult to bypass existing patterns or detect modified attacks.
또한, 정상적인 네트워크 사용자들에 대한 통계 데이터를 확보한 후 해당 범위를 벗어나면 침입이 발생했다고 하는 통계적 기반의 비정상 행위 탐지(Statistics-Based Anomaly Detection) 기법도 사용되고 있으나, 최근 사이버 위협이 고도화, 자동화, 지능화됨에 따라서 네트워크 상에서 발생되는 모든 행위로부터 위협을 식별하고 실시간으로 관리하는 것은 매우 어려운 일이다.In addition, the Statistics-Based Anomaly Detection technique is also used, which secures statistical data on normal network users and then claims that an intrusion has occurred when the scope is exceeded. However, recent cyber threats have become more advanced, automated, and As intelligence becomes more sophisticated, it is very difficult to identify threats from all actions occurring on the network and manage them in real time.
한편, 이와 같이 사이버 위협에 능동적으로 대비하기 위해서 보안 분야에 인공지능을 접목하려는 시도가 이루어지고 있으며, 보안 분야에서 인공지능은 네트워크 위협 분석, 취약점 분석, 악성코드 분석, 실시간 탐지 및 대응 등의 다양한 탐지 및 방어 기능을 획기적으로 향상시킬 수 있을 것으로 기대되고 있다.Meanwhile, in order to actively prepare for cyber threats, attempts are being made to incorporate artificial intelligence in the security field. In the security field, artificial intelligence is used in various fields such as network threat analysis, vulnerability analysis, malware analysis, and real-time detection and response. It is expected that detection and defense functions can be dramatically improved.
본원의 배경이 되는 기술은 한국등록특허공보 제10-2313414호에 개시되어 있다.The technology behind this application is disclosed in Korean Patent Publication No. 10-2313414.
본원은 전술한 종래 기술의 문제점을 해결하기 위한 것으로서, 서버 등 불특정 다수로부터 공격당할 가능성이 있는 시스템에 해킹 시도가 발생하거나 비정상적인 트래픽이 감지되는 경우, 인공지능 기반 탐지 모델이 이를 감지해 비정상적 데이터의 접근을 차단하는 인공지능 기반의 비정상적 데이터 접근 방지 장치 및 방법을 제공하려는 것을 목적으로 한다.This application is intended to solve the problems of the prior art described above. When a hacking attempt occurs or abnormal traffic is detected in a system that is likely to be attacked by an unspecified number of people, such as a server, an artificial intelligence-based detection model detects this and retrieves abnormal data. The purpose is to provide artificial intelligence-based abnormal data access prevention devices and methods that block access.
다만, 본원의 실시예가 이루고자 하는 기술적 과제는 상기된 바와 같은 기술적 과제들로 한정되지 않으며, 또 다른 기술적 과제들이 존재할 수 있다.However, the technical challenges sought to be achieved by the embodiments of the present application are not limited to the technical challenges described above, and other technical challenges may exist.
상기한 기술적 과제를 달성하기 위한 기술적 수단으로서, 본원의 일 실시예에 따른 인공지능 기반의 비정상적 데이터 접근 방지 방법은, 소정의 데이터 서버로 접근하는 대상 데이터를 수집하는 단계, 상기 대상 데이터를 미리 학습된 인공지능 기반의 탐지 모델에 입력하여 상기 대상 데이터로부터 비정상 트래픽을 감지하는 단계 및 상기 비정상 트래픽이 감지되면, 상기 데이터 서버와 연계된 데이터의 전송을 중단하고, 상기 대상 데이터를 미리 설정된 버퍼에 저장하는 단계를 포함할 수 있다.As a technical means for achieving the above-described technical problem, an artificial intelligence-based abnormal data access prevention method according to an embodiment of the present application includes the steps of collecting target data accessing a predetermined data server, and learning the target data in advance. Detecting abnormal traffic from the target data by inputting it into an artificial intelligence-based detection model; and when the abnormal traffic is detected, stopping transmission of data associated with the data server and storing the target data in a preset buffer. It may include steps.
또한, 상기 탐지 모델은, 트랜스포머(Transformer) 알고리즘 기반의 모델일 수 있다.Additionally, the detection model may be a model based on a Transformer algorithm.
또한, 본원의 일 실시예에 따른 인공지능 기반의 비정상적 데이터 접근 방지 방법은, 해킹 트래픽 및 상기 해킹 트래픽의 전후 트래픽 변화를 포함하는 학습 데이터에 기초하여 상기 탐지 모델을 학습시키는 단계를 포함할 수 있다.In addition, the artificial intelligence-based abnormal data access prevention method according to an embodiment of the present application may include the step of training the detection model based on learning data including hacking traffic and changes in traffic before and after the hacking traffic. .
또한, 본원의 일 실시예에 따른 인공지능 기반의 비정상적 데이터 접근 방지 방법은, 상기 버퍼에 저장된 상기 대상 데이터에 대한 상세 분석을 통해 상기 대상 데이터가 상기 데이터 서버에 대한 해킹 시도와 연계된 데이터인지 여부를 결정하는 단계를 포함할 수 있다.In addition, the artificial intelligence-based abnormal data access prevention method according to an embodiment of the present application determines whether the target data is data linked to a hacking attempt on the data server through detailed analysis of the target data stored in the buffer. It may include a step of determining.
또한, 본원의 일 실시예에 따른 인공지능 기반의 비정상적 데이터 접근 방지 방법은, 상기 대상 데이터가 상기 해킹 시도와 무관한 데이터인 것으로 결정되면, 중단된 데이터 전송을 재개하는 단계를 포함할 수 있다.In addition, the artificial intelligence-based abnormal data access prevention method according to an embodiment of the present application may include the step of resuming interrupted data transmission when it is determined that the target data is data unrelated to the hacking attempt.
또한, 본원의 일 실시예에 따른 인공지능 기반의 비정상적 데이터 접근 방지 방법은, 상기 대상 데이터가 상기 해킹 시도에 대응하는 데이터인 것으로 결정되면, 미리 설정된 사용자 단말로 경고 신호를 전송하는 단계를 포함할 수 있다.In addition, the artificial intelligence-based abnormal data access prevention method according to an embodiment of the present application may include the step of transmitting a warning signal to a preset user terminal when it is determined that the target data is data corresponding to the hacking attempt. You can.
또한, 본원의 일 실시예에 따른 인공지능 기반의 비정상적 데이터 접근 방지 방법은, 상기 대상 데이터가 상기 해킹 시도에 대응하는 데이터인 것으로 결정되면, 상기 대상 데이터를 전송한 전송 주체에 대한 정보를 추적하는 단계를 포함할 수 있다.In addition, the artificial intelligence-based abnormal data access prevention method according to an embodiment of the present application tracks information about the transmitting subject who transmitted the target data when it is determined that the target data is data corresponding to the hacking attempt. May include steps.
한편, 본원의 일 실시예에 따른 인공지능 기반의 비정상적 데이터 접근 방지 장치는, 소정의 데이터 서버로 접근하는 대상 데이터를 수집하는 수집부, 상기 대상 데이터를 미리 학습된 인공지능 기반의 탐지 모델에 입력하여 상기 대상 데이터로부터 비정상 트래픽을 감지하는 감지부 및 상기 비정상 트래픽이 감지되면, 상기 데이터 서버와 연계된 데이터의 전송을 중단하고, 상기 대상 데이터를 미리 설정된 버퍼에 저장하는 제어부를 포함할 수 있다.Meanwhile, an artificial intelligence-based abnormal data access prevention device according to an embodiment of the present application includes a collection unit that collects target data accessing a predetermined data server, and inputs the target data into a previously learned artificial intelligence-based detection model. It may include a detection unit that detects abnormal traffic from the target data, and a control unit that stops transmission of data associated with the data server when the abnormal traffic is detected and stores the target data in a preset buffer.
또한, 본원의 일 실시예에 따른 인공지능 기반의 비정상적 데이터 접근 방지 장치는, 해킹 트래픽 및 상기 해킹 트래픽의 전후 트래픽 변화를 포함하는 학습 데이터에 기초하여 상기 탐지 모델을 학습시키는 학습부를 포함할 수 있다.In addition, the artificial intelligence-based abnormal data access prevention device according to an embodiment of the present application may include a learning unit that trains the detection model based on learning data including hacking traffic and changes in traffic before and after the hacking traffic. .
또한, 본원의 일 실시예에 따른 인공지능 기반의 비정상적 데이터 접근 방지 장치는, 상기 버퍼에 저장된 상기 대상 데이터에 대한 상세 분석을 통해 상기 대상 데이터가 상기 데이터 서버에 대한 해킹 시도와 연계된 데이터인지 여부를 결정하는 분석부를 포함할 수 있다.In addition, the artificial intelligence-based abnormal data access prevention device according to an embodiment of the present application determines whether the target data is data linked to a hacking attempt on the data server through detailed analysis of the target data stored in the buffer. It may include an analysis unit that determines .
또한, 상기 제어부는, 상기 대상 데이터가 상기 해킹 시도와 무관한 데이터인 것으로 결정되면, 중단된 데이터 전송을 재개할 수 있다.Additionally, if the control unit determines that the target data is data unrelated to the hacking attempt, it may resume interrupted data transmission.
또한, 상기 제어부는, 상기 대상 데이터가 상기 해킹 시도에 대응하는 데이터인 것으로 결정되면, 미리 설정된 사용자 단말로 경고 신호를 전송할 수 있다.Additionally, if the control unit determines that the target data is data corresponding to the hacking attempt, it may transmit a warning signal to a preset user terminal.
또한, 상기 제어부는, 상기 대상 데이터가 상기 해킹 시도에 대응하는 데이터인 것으로 결정되면, 상기 대상 데이터를 전송한 전송 주체에 대한 정보를 추적할 수 있다.Additionally, if the control unit determines that the target data is data corresponding to the hacking attempt, the control unit may track information about the transmitting entity that transmitted the target data.
상술한 과제 해결 수단은 단지 예시적인 것으로서, 본원을 제한하려는 의도로 해석되지 않아야 한다. 상술한 예시적인 실시예 외에도, 도면 및 발명의 상세한 설명에 추가적인 실시예가 존재할 수 있다.The above-described means of solving the problem are merely illustrative and should not be construed as intended to limit the present application. In addition to the exemplary embodiments described above, additional embodiments may be present in the drawings and detailed description of the invention.
전술한 본원의 과제 해결 수단에 의하면, 서버 등 불특정 다수로부터 공격당할 가능성이 있는 시스템에 해킹 시도가 발생하거나 비정상적인 트래픽이 감지되는 경우, 인공지능 기반 탐지 모델이 이를 감지해 비정상적 데이터의 접근을 차단하는 인공지능 기반의 비정상적 데이터 접근 방지 장치 및 방법을 제공할 수 있다.According to the above-described means of solving the problem of this institute, when a hacking attempt occurs or abnormal traffic is detected in a system that is likely to be attacked by an unspecified number of people, such as a server, an artificial intelligence-based detection model detects this and blocks access to abnormal data. It is possible to provide devices and methods for preventing abnormal data access based on artificial intelligence.
다만, 본원에서 얻을 수 있는 효과는 상기된 바와 같은 효과들로 한정되지 않으며, 또 다른 효과들이 존재할 수 있다.However, the effects that can be obtained herein are not limited to the effects described above, and other effects may exist.
도 1은 본원의 일 실시예에 따른 인공지능 기반의 비정상적 데이터 접근 방지 장치를 포함하는 인공지능 기반의 보안 시스템의 개략적인 구성도이다.
도 2는 인공지능 기반의 탐지 모델을 설명하기 위한 개념도이다.
도 3은 본원의 일 실시예에 따른 인공지능 기반의 비정상적 데이터 접근 방지 장치의 개략적인 구성도이다.
도 4는 본원의 일 실시예에 따른 인공지능 기반의 비정상적 데이터 접근 방지 방법에 대한 동작 흐름도이다.
도 5는 대상 데이터에 대한 상세 분석 결과에 따른 후속 조치를 수행하는 프로세스에 대한 세부 동작 흐름도이다.1 is a schematic configuration diagram of an artificial intelligence-based security system including an artificial intelligence-based abnormal data access prevention device according to an embodiment of the present application.
Figure 2 is a conceptual diagram to explain an artificial intelligence-based detection model.
Figure 3 is a schematic configuration diagram of an artificial intelligence-based abnormal data access prevention device according to an embodiment of the present application.
Figure 4 is an operation flowchart of an artificial intelligence-based abnormal data access prevention method according to an embodiment of the present application.
Figure 5 is a detailed operation flowchart of a process for performing follow-up actions according to the results of detailed analysis of target data.
아래에서는 첨부한 도면을 참조하여 본원이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 본원의 실시예를 상세히 설명한다. 그러나 본원은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시예에 한정되지 않는다. 그리고 도면에서 본원을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 유사한 부분에 대해서는 유사한 도면 부호를 붙였다.Below, with reference to the attached drawings, embodiments of the present application will be described in detail so that those skilled in the art can easily implement them. However, the present application may be implemented in various different forms and is not limited to the embodiments described herein. In order to clearly explain the present application in the drawings, parts that are not related to the description are omitted, and similar reference numerals are assigned to similar parts throughout the specification.
본원 명세서 전체에서, 어떤 부분이 다른 부분과 "연결"되어 있다고 할 때, 이는 "직접적으로 연결"되어 있는 경우뿐 아니라, 그 중간에 다른 소자를 사이에 두고 "전기적으로 연결" 또는 "간접적으로 연결"되어 있는 경우도 포함한다. Throughout this specification, when a part is said to be “connected” to another part, this means not only “directly connected” but also “electrically connected” or “indirectly connected” with another element in between. "Includes cases where it is.
본원 명세서 전체에서, 어떤 부재가 다른 부재 "상에", "상부에", "상단에", "하에", "하부에", "하단에" 위치하고 있다고 할 때, 이는 어떤 부재가 다른 부재에 접해 있는 경우뿐 아니라 두 부재 사이에 또 다른 부재가 존재하는 경우도 포함한다.Throughout this specification, when a member is said to be located “on”, “above”, “at the top”, “below”, “at the bottom”, or “at the bottom” of another member, this means that a member is located on another member. This includes not only cases where they are in contact, but also cases where another member exists between two members.
본원 명세서 전체에서, 어떤 부분이 어떤 구성 요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성 요소를 제외하는 것이 아니라 다른 구성 요소를 더 포함할 수 있는 것을 의미한다.Throughout the specification of the present application, when a part "includes" a certain component, this means that it may further include other components rather than excluding other components unless specifically stated to the contrary.
본원은 인공지능 기반의 비정상적 데이터 접근 방지 장치 및 방법에 관한 것이다.This application relates to devices and methods for preventing abnormal data access based on artificial intelligence.
도 1은 본원의 일 실시예에 따른 인공지능 기반의 비정상적 데이터 접근 방지 장치를 포함하는 인공지능 기반의 보안 시스템의 개략적인 구성도이다.1 is a schematic configuration diagram of an artificial intelligence-based security system including an artificial intelligence-based abnormal data access prevention device according to an embodiment of the present application.
도 1을 참조하면, 본원의 일 실시예에 따른 인공지능 기반의 보안 시스템(10)은, 본원의 일 실시예에 따른 인공지능 기반의 비정상적 데이터 접근 방지 장치(100)(이하, '데이터 접근 방지 장치(100)'라 한다.), 데이터 서버(200), 접근 디바이스(300) 및 사용자 단말(400)을 포함할 수 있다.Referring to FIG. 1, the artificial intelligence-based security system 10 according to an embodiment of the present application is an artificial intelligence-based abnormal data access prevention device 100 (hereinafter referred to as 'data access prevention') according to an embodiment of the present application. It may include a 'device 100'), a data server 200, an access device 300, and a user terminal 400.
데이터 접근 방지 장치(100), 데이터 서버(200), 접근 디바이스(300) 및 사용자 단말(400) 상호간은 네트워크(20)를 통해 통신할 수 있다. 네트워크(20)는 단말들 및 서버들과 같은 각각의 노드 상호간에 정보 교환이 가능한 연결 구조를 의미하는 것으로, 이러한 네트워크(20)의 일 예에는, 3GPP(3rd Generation Partnership Project) 네트워크, LTE(Long Term Evolution) 네트워크, 5G 네트워크, WIMAX(World Interoperability for Microwave Access) 네트워크, 인터넷(Internet), LAN(Local Area Network), Wireless LAN(Wireless Local Area Network), WAN(Wide Area Network), PAN(Personal Area Network), wifi 네트워크, 블루투스(Bluetooth) 네트워크, 위성 방송 네트워크, 아날로그 방송 네트워크, DMB(Digital Multimedia Broadcasting) 네트워크 등이 포함되나 이에 한정되지는 않는다.The data
본원의 실시예에 관한 설명에서 데이터 서버(200)는 데이터 접근 방지 장치(100)에 의해 비정상적 데이터 접근이 모니터링 되는 보호 대상 타겟을 의미하는 것일 수 있다. 달리 말해, 본원에서 개시하는 데이터 접근 방지 장치(100)는 데이터 서버(200)에 접근하고자 하는 데이터 전송 주체 및 이에 따라 전송되는 데이터(트래픽)를 모니터링 하여 해킹 시도, 악의적 소프트웨어(멀웨어, 랜섬웨어 등) 전송 시도 등의 비정상적 데이터 접근을 지속적으로 모니터링 하고, 이에 대한 조치를 즉각적으로 수행하도록 설계될 수 있다.In the description of the embodiment of the present application, the data server 200 may mean a protected target whose abnormal data access is monitored by the data
또한, 본원의 실시예에 관한 설명에서 접근 디바이스(300)는 데이터 서버(200)로의 접근을 위하여 데이터 서버(200) 측으로 전송되는 소정의 데이터를 송신한 주체에 대응하는 디바이스일 수 있다.Additionally, in the description of the embodiment of the present application, the access device 300 may be a device corresponding to the subject who transmitted predetermined data transmitted to the data server 200 for access to the data server 200.
보다 구체적으로, 본원에서 개시하는 데이터 접근 방지 장치(100)는 데이터 서버(200)를 향하여 전송되는 각종 데이터를 전송 주체 별로 분석하여 각각의 접근 디바이스(300)를 정상 접근 디바이스(301) 및 비정상 접근 디바이스(302)로 구분하고, 정상 접근 디바이스(301)의 데이터 서버(200)에 대한 접근만을 선택적으로 허용하도록 동작할 수 있다. 한편, 데이터 접근 방지 장치(100)는 이하에서 상세히 설명하는 바와 같이 비정상적 데이터가 감지되면, 해당 데이터(대상 데이터)를 전송한 비정상 접근 디바이스(302) 및/또는 비정상 접근 디바이스(302)를 조작하는 비정상적 데이터 전송 주체(1)에 대한 정보(예를 들면, 접속 경로, IP, 디바이스 정보 등)를 추정하도록 동작할 수 있다.More specifically, the data
또한, 본원의 실시예에 관한 설명에서 사용자 단말(400)은 데이터 접근 방지 장치(100)가 비정상적 데이터 접근을 감지하거나 해킹 시도 등이 발생한 것으로 판단하는 경우, 해당 상황에 대한 알림/경고 신호를 데이터 접근 방지 장치(100)로부터 수신하도록 구비되는 디바이스일 수 있다. 예를 들어, 사용자 단말(400)은 데이터 서버(200)에 대한 관리/운영 주체(관리자 등)가 보유한 디바이스일 수 있다.In addition, in the description of the embodiment of the present application, when the data
접근 디바이스(300) 및/또는 사용자 단말(400)은 예를 들면, 스마트폰(Smartphone), 스마트패드(SmartPad), 태블릿 PC등과 PCS(Personal Communication System), GSM(Global System for Mobile communication), PDC(Personal Digital Cellular), PHS(Personal Handyphone System), PDA(Personal Digital Assistant), IMT(International Mobile Telecommunication)-2000, CDMA(Code Division Multiple Access)-2000, W-CDMA(W-Code Division Multiple Access), Wibro(Wireless Broadband Internet) 단말기 같은 모든 종류의 무선 통신 장치일 수 있다.The access device 300 and/or the user terminal 400 include, for example, a smartphone, a SmartPad, a tablet PC, a personal communication system (PCS), a global system for mobile communication (GSM), and a PDC. (Personal Digital Cellular), PHS (Personal Handyphone System), PDA (Personal Digital Assistant), IMT (International Mobile Telecommunication)-2000, CDMA (Code Division Multiple Access)-2000, W-CDMA (W-Code Division Multiple Access) , It can be any type of wireless communication device, such as a Wibro (Wireless Broadband Internet) terminal.
이하에서는 데이터 접근 방지 장치(100)의 구체적인 기능 및 동작에 대하여 설명하도록 한다.Hereinafter, specific functions and operations of the data
데이터 접근 방지 장치(100)는 데이터 서버(200)로 접근하는 대상 데이터를 수집할 수 있다. 예를 들어, 대상 데이터는 접근 디바이스(300)로부터 데이터 서버(200)로 전송되는 각종 네트워크 신호, 패킷, 파일, 접속 신호 등을 폭넓게 포함하는 개념일 수 있다.The data
또한, 수집된 대상 데이터를 미리 학습된 인공지능 기반의 탐지 모델에 입력하여 대상 데이터로부터 비정상 트래픽을 감지할 수 있다.Additionally, abnormal traffic can be detected from the target data by inputting the collected target data into a pre-trained artificial intelligence-based detection model.
도 2는 인공지능 기반의 탐지 모델을 설명하기 위한 개념도이다.Figure 2 is a conceptual diagram to explain an artificial intelligence-based detection model.
도 2를 참조하면, 데이터 접근 방지 장치(100)가 보유한 인공지능 기반의 탐지 모델은 트랜스포머(Transformer) 알고리즘 기반의 모델일 수 있다. 참고로, 본원의 실시예에 관한 설명에서 인공지능 기반의 탐지 모델은 'Identify AI' 등으로 달리 지칭될 수 있다.Referring to FIG. 2, the artificial intelligence-based detection model possessed by the data
여기서, 트랜스포머(Transformer) 알고리즘은 종래의 seq2seq 아키텍쳐와 같이 인코더에서 입력 시퀀스를 입력받고, 디코더에서 출력 시퀀스를 출력하는 인코더-디코더 구조를 포함할 수 있다. 다만, 종래의 seq2seq 아키텍쳐와 달리 인코더 및 디코더가 복수개 마련될 수 있다. 또한, Transformer 알고리즘은 인코더와 디코더를 연결하지 않고 내부에서만 Attention 알고리즘을 사용하며, LSTM이나 GRU 같은 RNN이 아니라 Attention 신경망으로만 이루어져 있다는 특징을 갖는다.Here, the Transformer algorithm may include an encoder-decoder structure that receives an input sequence from an encoder and outputs an output sequence from a decoder, like the conventional seq2seq architecture. However, unlike the conventional seq2seq architecture, a plurality of encoders and decoders may be provided. In addition, the Transformer algorithm uses the Attention algorithm only internally without connecting the encoder and decoder, and has the characteristic of being composed only of an Attention neural network, not a RNN such as LSTM or GRU.
다만, 본원에서 개시하는 데이터 접근 방지 장치(100)의 인공지능 기반의 탐지 모델의 유형은 전술한 트랜스포머(Transformer) 알고리즘에만 한정되는 것은 아니며, 본원의 구현예에 따라 LSTM(Long-Short Term Memory) 알고리즘, Attention 알고리즘, BERT 등 종래에 이미 공지되었거나 향후 개발되는 다양한 시계열 분석 알고리즘 모델이 적용될 수 있다.However, the type of artificial intelligence-based detection model of the data
이와 관련하여, 데이터 접근 방지 장치(100)는 해킹 트래픽 및 해킹 트래픽의 전후 트래픽 변화를 포함하는 학습 데이터에 기초하여 인공지능 기반의 탐지 모델(트랜스포머 모델)을 학습시킬 수 있다.In this regard, the data
예를 들어, 해킹 트래픽은 인공지능 기반의 탐지 모델의 구축을 위하여 비정상적인 트래픽을 포함하도록 미리 준비(확보)된 데이터일 수 있으며, 탐지 모델의 구축을 위한 학습 데이터는 해킹 트래픽이 발생한 시점 전후의 정상 트래픽을 해킹 트래픽과 시계열적으로 함께 포함하도록 수집됨으로써, 탐지 모델이 트래픽의 시계열적 특성으로부터 정상 트래픽과 해킹 트래픽을 구분할 수 있게 학습되도록 할 수 있다.For example, hacking traffic may be data prepared (secured) in advance to include abnormal traffic in order to build an artificial intelligence-based detection model, and the learning data for building a detection model is normal before and after the time the hacking traffic occurred. By collecting traffic to include hacking traffic and hacking traffic in a time-series manner, a detection model can be learned to distinguish between normal traffic and hacking traffic based on the time-series characteristics of the traffic.
보다 구체적으로 도 2를 참조하면, 데이터 접근 방지 장치(100)는 해킹 트래픽 및 해킹 트래픽의 전후 트래픽 변화를 포함하는 시계열 데이터인 학습 데이터를 수집하고, 수집된 학습 데이터의 데이터 타입을 변환하는 트랜스포머 모듈에 기초하여 탐지 모델을 학습시킬 수 있다.More specifically, referring to FIG. 2, the data
달리 말해, 데이터 접근 방지 장치(100)의 탐지 모델은 학습 데이터로서 수집된 해킹 트래픽의 시계열적인 특성을 개별적으로 비교하여 해킹 트래픽의 의미를 파악하도록 반복 학습될 수 있다.In other words, the detection model of the data
또한, 본원의 일 실시예에 따르면, 데이터 접근 방지 장치(100)가 보유한 탐지 모델은 미리 설정된 모니터링 주기에 기초하여 대상 데이터를 분석하도록 구현될 수 있다. 예를 들어, 모니터링 주기는 실시간 Anti-hack 성능을 보장하도록 수 초(second) 단위로 설정될 수 있으나, 이에만 한정되는 것은 아니다. 이와 관련하여 본원의 구현예에 따라 탐지 모델이 대상 데이터에 대한 분석을 수행하는 시간적 단위인 모니터링 주기는 데이터 서버(200)에 대하여 데이터를 전송하는 접근 디바이스(300)의 수, 데이터 서버(200)의 스토리지, 용량 등을 기초로 하여 가변되는 것일 수 있다.Additionally, according to an embodiment of the present application, the detection model possessed by the data
예를 들어 도 2를 참조하면, 트랜스포머 모듈(Model Transformer, View Transformer)에 의해 전환되는 데이터 타입은 모델 데이터(Model data, D1), 놈 데이터(Norm data, D2), 뷰 데이터(View data, D3) 등의 타입을 포함할 수 있다.For example, referring to Figure 2, the data types converted by the transformer module (Model Transformer, View Transformer) are model data (D1), norm data (Norm data, D2), and view data (View data, D3). ) may include types such as.
이와 관련하여, 모델 데이터(D1)는 탐지 모델이 구동되는 어플리케이션에서 사용되는 기본 데이터 형식을 나타내고, 놈 데이터(D2)는 모델 데이터를 정규화(normalized)한 데이터 형식을 나타내고, 뷰 데이터(D3)는 양식 필드(form filed)를 채우기 위한 데이터 형식으로서 사용자가 데이터를 제출하는 데이터 형식을 나타낸다.In this regard, model data (D1) represents the basic data format used in the application in which the detection model is driven, norm data (D2) represents the data format in which the model data is normalized, and view data (D3) represents the data format used in the application in which the detection model is driven. It is a data format for filling a form field and indicates the data format in which the user submits data.
또한, 데이터 접근 방지 장치(100)는 전술한 인공지능 기반의 탐지 모델에 기초하여 비정상 트래픽이 감지되면, 데이터 서버(200)와 연계된 데이터의 전송을 중단하고, 수집된 대상 데이터를 미리 설정된 버퍼(미도시)에 저장할 수 있다.In addition, when abnormal traffic is detected based on the above-described artificial intelligence-based detection model, the data
달리 말해, 본원에서 개시하는 데이터 접근 방지 장치(100)는 인공지능 기반의 탐지 모델에 기초하여 데이터 서버(200)로 비정상적으로 접근하려는 징후가 감지되면, 해당 연결을 지연시켜 보안성을 유지할 뿐만 아니라, 감지된 데이터(대상 데이터)를 버퍼에 별도로 저장하여 이하에서 설명하는 트래픽 상세 분석을 수행할 수 있는 상태에 놓이도록 할 수 있다. 예시적으로, 데이터 접근 방지 장치(100)는 비정상 트래픽이 감지된 대상 데이터를 복사(Copy)한 후 버퍼에 저장(기록)할 수 있다.In other words, the data
즉, 데이터 접근 방지 장치(100)는 비정상 트래픽의 발생 유무를 단순히 감지하는 것이 아니라, 비정상 트래픽이 포함된 데이터(대상 데이터) 자체를 데이터 서버(200)와 독립적으로 마련되는 저장 공간(버퍼)에 저장함으로써 비정상 트래픽을 포함하는 데이터(대상 데이터)가 데이터 서버(200)를 향하는 물리적인 경로를 차단할 수 있는 이점이 있다.In other words, the data
또한, 데이터 접근 방지 장치(100)는 비정상 트래픽이 감지되어 버퍼에 일시적으로 저장된 대상 데이터에 대한 상세 분석을 통해 대상 데이터가 데이터 서버(200)에 대한 해킹 시도와 연계된 데이터인지 여부를 최종 결정할 수 있다.In addition, the data
달리 말해, 데이터 접근 방지 장치(100)는 인공지능 기반의 탐지 모델에 기반하여 감지된 비정상 트래픽에 대응하는 대상 데이터를 데이터 서버(200)와 분리된 버퍼에 1차적으로 저장한 후, 트래픽 상세 분석을 통해 해당 데이터가 데이터 서버(200)에 대한 해킹 등의 악의적 목적을 가지고 전송된 데이터인지 여부를 2차적으로 검증할 수 있다.In other words, the data
즉, 본원에서 개시하는 데이터 접근 방지 장치(100)는 트랜스포머 알고리즘 등에 기반하여 학습되어 입력되는 시계열 데이터에 대한 특성을 분석하도록 구축된 탐지 모델을 통해 시계열적 특성이 비정상적인 것으로 판단되는 대상 데이터를 감지하여 기 구축된 버퍼 측에 저장하고, 버퍼에 저장된 대상 데이터의 트래픽 특성을 보다 상세하게 분석함으로써 해킹 발생 여부를 구체적으로 판단할 수 있다.In other words, the data
또한, 본원의 일 실시예에 따르면, 데이터 접근 방지 장치(100)는 비정상 트래픽이 감지되어 버퍼에 저장된 대상 데이터에 대한 트래픽 상세 분석이 수행되는 동안 해당 대상 데이터를 전송한 접근 디바이스(300)뿐만 아니라, 해당 접근 디바이스(300) 외의 나머지 접근 디바이스(300)의 데이터 서버(200)에 대한 데이터 전송 프로세스를 중단(정지)할 수 있다. 이와 관련하여, 데이터 접근 방지 장치(100)는 트래픽 상세 분석이 수행되는 시점에 대응하여 데이터 서버(200)로 데이터를 전송 중이거나 데이터 전송을 시도하는 모든 접근 디바이스(300)에 대하여 비정상 트래픽 감지에 따른 트래픽 상세 분석이 수행되는 동안 각 디바이스로부터의 데이터 전송이 일시적으로 중단됨을 안내하는 신호(메시지)를 전송할 수 있다.In addition, according to an embodiment of the present application, the data
이어서, 데이터 접근 방지 장치(100)는 트래픽 상세 분석 결과 대상 데이터가 데이터 서버(200)에 대한 해킹 시도와 무관한 데이터인 것으로 결정되면, 중단된 데이터 전송을 재개할 수 있다. 또한, 본원의 일 실시예에 따르면, 대상 데이터가 데이터 서버(200)에 대한 해킹 시도와 무관한 것으로 판단됨에 따라 데이터 전송이 재개되는 경우, 데이터 접근 방지 장치(100)는 데이터 서버(200)로 데이터를 전송 중이거나 데이터 전송을 시도하는 모든 접근 디바이스(300)에 데이터 전송이 재개 또는 개시될 수 있는 상태로 전환됨을 안내하는 신호(메시지)를 전송할 수 있다.Subsequently, if the data
이와 달리, 트래픽 상세 분석 결과 대상 데이터가 데이터 서버(200)에 대한 해킹 시도에 대응하는 데이터인 것으로 결정되면 데이터 접근 방지 장치(100)는 미리 설정된 사용자 단말(400)로 경고 신호를 전송할 수 있다.In contrast, if the target data is determined to be data corresponding to a hacking attempt on the data server 200 as a result of detailed traffic analysis, the data
또한, 데이터 접근 방지 장치(100)는 대상 데이터를 전송한 전송 주체에 대한 정보(예를 들면, 비정상적 데이터 전송 주체 (1) 또는 비정상 접근 디바이스(302)에 대한 정보 등)를 추적할 수 있다. 예를 들면, 데이터 접근 방지 장치(100)는 대상 데이터에 포함된 헤더 정보, 전송/접속 경로 정보 등을 획득하여 로그 정보로서 저장하거나 사용자 단말(400)로 해당 정보를 전송할 수 있다.Additionally, the data
다른 예로, 트래픽 상세 분석 결과 대상 데이터가 데이터 서버(200)에 대한 해킹 시도에 대응하는 데이터인 것으로 결정되면 데이터 접근 방지 장치(100)는 대상 데이터를 전송한 접근 디바이스(300)를 비정상 접근 디바이스(302)로 간주하여 비정상 접근 디바이스(302)에 대한 정보를 획득하기 위한 소정의 데이터를 비정상 접근 디바이스(302) 측으로 역방향 전송하도록 동작할 수 있다.As another example, as a result of detailed traffic analysis, if it is determined that the target data is data corresponding to a hacking attempt on the data server 200, the data
도 3은 본원의 일 실시예에 따른 인공지능 기반의 비정상적 데이터 접근 방지 장치의 개략적인 구성도이다.Figure 3 is a schematic configuration diagram of an artificial intelligence-based abnormal data access prevention device according to an embodiment of the present application.
도 3을 참조하면, 데이터 접근 방지 장치(100)는 학습부(110), 수집부(120), 감지부(130), 분석부(140) 및 제어부(150)를 포함할 수 있다.Referring to FIG. 3, the data
학습부(110)는 해킹 트래픽 및 해킹 트래픽의 전후 트래픽 변화를 포함하는 학습 데이터에 기초하여 인공지능 기반의 탐지 모델을 학습시킬 수 있다.The
수집부(120)는 데이터 서버(200)로 접근하는 대상 데이터를 수집할 수 있다.The
감지부(130)는 대상 데이터를 미리 학습된 인공지능 기반의 탐지 모델에 입력하여 대상 데이터로부터 비정상 트래픽을 감지할 수 있다.The
분석부(140)는 버퍼에 저장된 대상 데이터에 대한 상세 분석(트래픽 상세 분석)을 통해 대상 데이터가 데이터 서버(200)에 대한 해킹 시도와 연계된 데이터인지 여부를 결정할 수 있다.The
제어부(150)는 감지부(130)에 의해 비정상 트래픽이 감지되면, 데이터 서버(200)와 연계된 데이터의 전송을 중단할 수 있다.When abnormal traffic is detected by the
또한, 제어부(150)는 감지부(130)에 의해 비정상 트래픽이 감지되면, 수집된 해당 대상 데이터를 미리 설정된 버퍼에 저장할 수 있다.Additionally, when abnormal traffic is detected by the
또한, 제어부(150)는 대상 데이터가 분석부(140)에 의해 해킹 시도와 무관한 데이터인 것으로 결정되면, 앞서 중단된 데이터 전송을 재개할 수 있다.Additionally, if the target data is determined by the
또한, 제어부(150)는 대상 데이터가 분석부(140)에 의해 해킹 시도에 대응하는 데이터인 것으로 결정되면, 미리 설정된 사용자 단말(400)로 경고 신호를 전송할 수 있다.Additionally, if the target data is determined by the
또한, 제어부(150)는 대상 데이터가 분석부(140)에 의해 해킹 시도에 대응하는 데이터인 것으로 결정되면, 대상 데이터를 전송한 전송 주체(1)에 대한 정보를 추적할 수 있다.Additionally, if the target data is determined by the
이하에서는 상기에 자세히 설명된 내용을 기반으로, 본원의 동작 흐름을 간단히 살펴보기로 한다.Below, we will briefly look at the operation flow of the present application based on the details described above.
도 4는 본원의 일 실시예에 따른 인공지능 기반의 비정상적 데이터 접근 방지 방법에 대한 동작 흐름도이다.Figure 4 is an operation flowchart of an artificial intelligence-based abnormal data access prevention method according to an embodiment of the present application.
도 4에 도시된 본원의 일 실시예에 따른 인공지능 기반의 비정상적 데이터 접근 방지 방법은 앞서 설명된 데이터 접근 방지 장치(100)에 의하여 수행될 수 있다. 따라서, 이하 생략된 내용이라고 하더라도 데이터 접근 방지 장치(100)에 대하여 설명된 내용은 인공지능 기반의 비정상적 데이터 접근 방지 방법에 대한 설명에도 동일하게 적용될 수 있다.The artificial intelligence-based abnormal data access prevention method according to an embodiment of the present application shown in FIG. 4 can be performed by the data
도 4를 참조하면, 단계 S11에서 학습부(110)는 해킹 트래픽 및 해킹 트래픽의 전후 트래픽 변화를 포함하는 학습 데이터에 기초하여 인공지능 기반의 탐지 모델을 학습시킬 수 있다.Referring to FIG. 4, in step S11, the
본원의 일 실시예에 따르면, 단계 S11에서 학습부(110)가 구축하는 탐지 모델은 트랜스포머(Transformer) 알고리즘 기반의 모델일 수 있다.According to an embodiment of the present application, the detection model built by the
다음으로, 단계 S12에서 수집부(120)는 데이터 서버(200)로 접근하는 대상 데이터를 수집할 수 있다.Next, in step S12, the
다음으로, 단계 S13에서 감지부(130)는 대상 데이터를 미리 학습된 인공지능 기반의 탐지 모델에 입력하여 대상 데이터로부터 비정상 트래픽을 감지할 수 있다.Next, in step S13, the
만일, 단계 S13에서 비정상 트래픽이 감지되면, 단계 S14에서 제어부(150)는, 데이터 서버(200)와 연계된 데이터의 전송을 중단할 수 있다.If abnormal traffic is detected in step S13, the
다음으로, 단계 S15에서 제어부(150)는 수집된 대상 데이터를 미리 설정된 버퍼에 저장할 수 있다.Next, in step S15, the
상술한 설명에서, 단계 S11 내지 S15는 본원의 구현예에 따라서, 추가적인 단계들로 더 분할되거나, 더 적은 단계들로 조합될 수 있다. 또한, 일부 단계는 필요에 따라 생략될 수도 있고, 단계 간의 순서가 변경될 수도 있다.In the above description, steps S11 to S15 may be further divided into additional steps or combined into fewer steps, depending on the implementation of the present disclosure. Additionally, some steps may be omitted or the order between steps may be changed as needed.
도 5는 대상 데이터에 대한 상세 분석 결과에 따른 후속 조치를 수행하는 프로세스에 대한 세부 동작 흐름도이다.Figure 5 is a detailed operation flowchart of a process for performing follow-up actions according to the results of detailed analysis of target data.
도 5에 도시된 대상 데이터에 대한 상세 분석 결과에 따른 후속 조치를 수행하는 프로세스는 앞서 설명된 데이터 접근 방지 장치(100)에 의하여 수행될 수 있다. 따라서, 이하 생략된 내용이라고 하더라도 데이터 접근 방지 장치(100)에 대하여 설명된 내용은 도 5에 대한 설명에도 동일하게 적용될 수 있다.The process of performing follow-up actions according to the detailed analysis results for the target data shown in FIG. 5 may be performed by the data
도 5를 참조하면, 단계 S21에서 분석부(140)는 버퍼에 저장된 대상 데이터에 대한 트래픽 상세 분석을 수행할 수 있다.Referring to FIG. 5, in step S21, the
다음으로, 단계 S22에서 분석부(140)는 트래픽 상세 분석 결과 대상 데이터가 데이터 서버(200)에 대한 해킹 시도와 연계된 데이터인지 여부를 최종 결정할 수 있다.Next, in step S22, the
만일, 단계 S22에서 대상 데이터가 상기 해킹 시도와 무관한 데이터인 것으로 결정되면, 단계 S23에서 제어부(150)는 중단된 데이터 서버(200)와 연계된 데이터 전송을 재개할 수 있다.If it is determined in step S22 that the target data is data unrelated to the hacking attempt, the
반대로, 단계 S22에서 대상 데이터가 데이터 서버(200)에 대한 해킹 시도에 대응하는 데이터인 것으로 결정되면, 단계 S241에서 제어부(150)는 미리 설정된 사용자 단말(400)로 경고 신호를 전송할 수 있다.Conversely, if it is determined in step S22 that the target data is data corresponding to a hacking attempt on the data server 200, the
다음으로, 단계 S242에서 제어부(150)는 대상 데이터를 전송한 전송 주체(1)에 대한 정보를 추적할 수 있다.Next, in step S242, the
상술한 설명에서, 단계 S21 내지 S242는 본원의 구현예에 따라서, 추가적인 단계들로 더 분할되거나, 더 적은 단계들로 조합될 수 있다. 또한, 일부 단계는 필요에 따라 생략될 수도 있고, 단계 간의 순서가 변경될 수도 있다.In the above description, steps S21 to S242 may be further divided into additional steps or combined into fewer steps, depending on the implementation of the present disclosure. Additionally, some steps may be omitted or the order between steps may be changed as needed.
본원의 일 실시예에 따른 인공지능 기반의 비정상적 데이터 접근 방지 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 본 발명의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.The artificial intelligence-based abnormal data access prevention method according to an embodiment of the present application may be implemented in the form of program instructions that can be executed through various computer means and recorded on a computer-readable medium. The computer-readable medium may include program instructions, data files, data structures, etc., singly or in combination. Program instructions recorded on the medium may be specially designed and constructed for the present invention or may be known and usable by those skilled in the art of computer software. Examples of computer-readable recording media include magnetic media such as hard disks, floppy disks, and magnetic tapes, optical media such as CD-ROMs and DVDs, and magnetic media such as floptical disks. -Includes optical media (magneto-optical media) and hardware devices specifically configured to store and execute program instructions, such as ROM, RAM, flash memory, etc. Examples of program instructions include machine language code, such as that produced by a compiler, as well as high-level language code that can be executed by a computer using an interpreter, etc. The hardware devices described above may be configured to operate as one or more software modules to perform the operations of the present invention, and vice versa.
또한, 전술한 인공지능 기반의 비정상적 데이터 접근 방지 방법은 기록 매체에 저장되는 컴퓨터에 의해 실행되는 컴퓨터 프로그램 또는 애플리케이션의 형태로도 구현될 수 있다.Additionally, the artificial intelligence-based abnormal data access prevention method described above may also be implemented in the form of a computer program or application executed by a computer stored in a recording medium.
전술한 본원의 설명은 예시를 위한 것이며, 본원이 속하는 기술분야의 통상의 지식을 가진 자는 본원의 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 쉽게 변형이 가능하다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해해야만 한다. 예를 들어, 단일형으로 설명되어 있는 각 구성 요소는 분산되어 실시될 수도 있으며, 마찬가지로 분산된 것으로 설명되어 있는 구성 요소들도 결합된 형태로 실시될 수 있다.The description of the present application described above is for illustrative purposes, and those skilled in the art will understand that the present application can be easily modified into other specific forms without changing its technical idea or essential features. Therefore, the embodiments described above should be understood in all respects as illustrative and not restrictive. For example, each component described as unitary may be implemented in a distributed manner, and similarly, components described as distributed may also be implemented in a combined form.
본원의 범위는 상기 상세한 설명보다는 후술하는 특허청구범위에 의하여 나타내어지며, 특허청구범위의 의미 및 범위 그리고 그 균등 개념으로부터 도출되는 모든 변경 또는 변형된 형태가 본원의 범위에 포함되는 것으로 해석되어야 한다.The scope of the present application is indicated by the claims described below rather than the detailed description above, and all changes or modified forms derived from the meaning and scope of the claims and their equivalent concepts should be construed as being included in the scope of the present application.
10: 인공지능 기반의 보안 시스템
100: 인공지능 기반의 비정상적 데이터 접근 방지 장치
110: 학습부
120: 수집부
130: 감지부
140: 분석부
150: 제어부
200: 데이터 서버
300: 접근 디바이스
400: 사용자 단말
20: 네트워크
1: 비정상적 데이터 전송 주체10: Artificial intelligence-based security system
100: Artificial intelligence-based abnormal data access prevention device
110: Learning Department
120: Collection department
130: detection unit
140: analysis department
150: control unit
200: data server
300: Access device
400: User terminal
20: Network
1: Abnormal data transmission subject
Claims (15)
해킹 트래픽 및 상기 해킹 트래픽의 전후 트래픽 변화를 포함하는 학습 데이터에 기초하여 인공지능 기반의 탐지 모델을 학습시키는 단계;
소정의 데이터 서버로 접근하는 대상 데이터를 수집하는 단계;
상기 대상 데이터를 상기 탐지 모델에 입력하여 상기 대상 데이터로부터 비정상 트래픽을 감지하는 단계; 및
상기 비정상 트래픽이 감지되면, 상기 데이터 서버와 연계된 데이터의 전송을 중단하고, 상기 대상 데이터를 미리 설정된 버퍼에 저장하는 단계,
를 포함하되,
상기 탐지 모델은,
트랜스포머(Transformer) 알고리즘 기반의 모델인 것을 특징으로 하고,
상기 탐지 모델을 학습시키는 단계는,
상기 해킹 트래픽 및 상기 해킹 트래픽이 발생한 시점 전후의 정상 트래픽을 시계열적으로 포함하는 상기 학습 데이터 및 상기 학습 데이터의 데이터 타입을 변환하는 상기 트랜스포머 알고리즘에 기초하여, 상기 해킹 트래픽의 시계열적 특성을 상기 정상 트래픽의 시계열적 특성과 비교하여 상기 대상 데이터의 시계열적 특성으로부터 정상 트래픽 및 해킹 트래픽을 구분할 수 있도록 상기 탐지 모델을 학습시키는 것을 특징으로 하고,
상기 비정상 트래픽을 감지하는 단계는,
상기 탐지 모델을 통해 시계열적 특성이 비정상적인 것으로 판단되는 상기 대상 데이터를 상기 비정상 트래픽으로 감지하는 것을 특징으로 하는 것인, 비정상적 데이터 접근 방지 방법.In an artificial intelligence-based abnormal data access prevention method,
Learning an artificial intelligence-based detection model based on learning data including hacking traffic and changes in traffic before and after the hacking traffic;
Collecting target data accessed by a predetermined data server;
Inputting the target data into the detection model to detect abnormal traffic from the target data; and
When the abnormal traffic is detected, stopping transmission of data associated with the data server and storing the target data in a preset buffer;
Including,
The detection model is,
It is characterized as a model based on the Transformer algorithm,
The step of learning the detection model is,
Based on the learning data including the hacking traffic and normal traffic before and after the hacking traffic occurs in time series, and the transformer algorithm that converts the data type of the learning data, the time-series characteristics of the hacking traffic are converted into the normal traffic. Characterized by training the detection model to distinguish normal traffic and hacking traffic from the time series characteristics of the target data by comparing them with the time series characteristics of the traffic,
The step of detecting the abnormal traffic is,
A method for preventing abnormal data access, characterized by detecting the target data whose time series characteristics are determined to be abnormal through the detection model as the abnormal traffic.
상기 버퍼에 저장된 상기 대상 데이터에 대한 상세 분석을 통해 상기 대상 데이터가 상기 데이터 서버에 대한 해킹 시도와 연계된 데이터인지 여부를 결정하는 단계,
를 더 포함하는 것인, 비정상적 데이터 접근 방지 방법.According to paragraph 1,
Determining whether the target data is data linked to a hacking attempt on the data server through detailed analysis of the target data stored in the buffer,
A method for preventing abnormal data access, further comprising:
상기 대상 데이터가 상기 해킹 시도와 무관한 데이터인 것으로 결정되면, 중단된 데이터 전송을 재개하는 단계,
를 더 포함하는 것인, 비정상적 데이터 접근 방지 방법.According to paragraph 4,
If the target data is determined to be unrelated to the hacking attempt, resuming interrupted data transmission;
A method for preventing abnormal data access, further comprising:
상기 대상 데이터가 상기 해킹 시도에 대응하는 데이터인 것으로 결정되면, 미리 설정된 사용자 단말로 경고 신호를 전송하는 단계,
를 더 포함하는 것인, 비정상적 데이터 접근 방지 방법.According to paragraph 4,
If it is determined that the target data is data corresponding to the hacking attempt, transmitting a warning signal to a preset user terminal;
A method for preventing abnormal data access, further comprising:
상기 대상 데이터가 상기 해킹 시도에 대응하는 데이터인 것으로 결정되면, 상기 대상 데이터를 전송한 전송 주체에 대한 정보를 추적하는 단계,
를 더 포함하는 것인, 비정상적 데이터 접근 방지 방법.According to paragraph 4,
If it is determined that the target data is data corresponding to the hacking attempt, tracking information about the transmitting entity that transmitted the target data,
A method for preventing abnormal data access, further comprising:
해킹 트래픽 및 상기 해킹 트래픽의 전후 트래픽 변화를 포함하는 학습 데이터에 기초하여 인공지능 기반의 탐지 모델을 학습시키는 학습부;
소정의 데이터 서버로 접근하는 대상 데이터를 수집하는 수집부;
상기 대상 데이터를 상기 탐지 모델에 입력하여 상기 대상 데이터로부터 비정상 트래픽을 감지하는 감지부; 및
상기 비정상 트래픽이 감지되면, 상기 데이터 서버와 연계된 데이터의 전송을 중단하고, 상기 대상 데이터를 미리 설정된 버퍼에 저장하는 제어부,
를 포함하되,
상기 탐지 모델은,
트랜스포머(Transformer) 알고리즘 기반의 모델인 것을 특징으로 하고,
상기 학습부는,
상기 해킹 트래픽 및 상기 해킹 트래픽이 발생한 시점 전후의 정상 트래픽을 시계열적으로 포함하는 상기 학습 데이터 및 상기 학습 데이터의 데이터 타입을 변환하는 상기 트랜스포머 알고리즘에 기초하여, 상기 해킹 트래픽의 시계열적 특성을 상기 정상 트래픽의 시계열적 특성과 비교하여 상기 대상 데이터의 시계열적 특성으로부터 정상 트래픽 및 해킹 트래픽을 구분할 수 있도록 상기 탐지 모델을 학습시키고,
상기 감지부는,
상기 탐지 모델을 통해 상기 시계열적 특성이 비정상적인 것으로 판단되는 상기 대상 데이터를 상기 비정상 트래픽으로 감지하는 것인, 비정상적 데이터 접근 방지 장치.In artificial intelligence-based abnormal data access prevention device,
A learning unit that trains an artificial intelligence-based detection model based on learning data including hacking traffic and changes in traffic before and after the hacking traffic;
a collection unit that collects target data accessed by a predetermined data server;
a detection unit that inputs the target data into the detection model and detects abnormal traffic from the target data; and
When the abnormal traffic is detected, a control unit that stops transmission of data associated with the data server and stores the target data in a preset buffer;
Including,
The detection model is,
It is characterized as a model based on the Transformer algorithm,
The learning department,
Based on the learning data including the hacking traffic and normal traffic before and after the hacking traffic occurs in time series, and the transformer algorithm that converts the data type of the learning data, the time-series characteristics of the hacking traffic are converted into the normal traffic. Learning the detection model to distinguish normal traffic and hacking traffic from the time series characteristics of the target data by comparing them with the time series characteristics of the traffic,
The sensing unit,
Abnormal data access prevention device for detecting the target data whose time series characteristics are determined to be abnormal through the detection model as the abnormal traffic.
상기 버퍼에 저장된 상기 대상 데이터에 대한 상세 분석을 통해 상기 대상 데이터가 상기 데이터 서버에 대한 해킹 시도와 연계된 데이터인지 여부를 결정하는 분석부,
를 더 포함하는 것인, 비정상적 데이터 접근 방지 장치.According to clause 8,
An analysis unit that determines whether the target data is data linked to a hacking attempt on the data server through detailed analysis of the target data stored in the buffer;
An abnormal data access prevention device that further includes a.
상기 제어부는,
상기 대상 데이터가 상기 해킹 시도와 무관한 데이터인 것으로 결정되면, 중단된 데이터 전송을 재개하는 것인, 비정상적 데이터 접근 방지 장치.According to clause 11,
The control unit,
An abnormal data access prevention device that resumes interrupted data transmission when it is determined that the target data is data unrelated to the hacking attempt.
상기 제어부는,
상기 대상 데이터가 상기 해킹 시도에 대응하는 데이터인 것으로 결정되면, 미리 설정된 사용자 단말로 경고 신호를 전송하는 것인, 비정상적 데이터 접근 방지 장치.According to clause 11,
The control unit,
An abnormal data access prevention device that transmits a warning signal to a preset user terminal when it is determined that the target data is data corresponding to the hacking attempt.
상기 제어부는,
상기 대상 데이터가 상기 해킹 시도에 대응하는 데이터인 것으로 결정되면, 상기 대상 데이터를 전송한 전송 주체에 대한 정보를 추적하는 것인, 비정상적 데이터 접근 방지 장치.According to clause 11,
The control unit,
If the target data is determined to be data corresponding to the hacking attempt, an abnormal data access prevention device that tracks information about the transmitter who transmitted the target data.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020210187704A KR102619905B1 (en) | 2021-12-24 | 2021-12-24 | Apparatus and method for preventing abnormal data access based on artificial intelligence |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020210187704A KR102619905B1 (en) | 2021-12-24 | 2021-12-24 | Apparatus and method for preventing abnormal data access based on artificial intelligence |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20230097834A KR20230097834A (en) | 2023-07-03 |
KR102619905B1 true KR102619905B1 (en) | 2024-01-04 |
Family
ID=87157360
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020210187704A KR102619905B1 (en) | 2021-12-24 | 2021-12-24 | Apparatus and method for preventing abnormal data access based on artificial intelligence |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR102619905B1 (en) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR102606713B1 (en) * | 2023-07-13 | 2023-11-30 | 주식회사 이글루코퍼레이션 | Apparatus, method, system and program for integrated security control for monitoring Kubernetes cluster |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101814368B1 (en) * | 2017-07-27 | 2018-01-04 | 김재춘 | Information security network integrated management system using big data and artificial intelligence, and a method thereof |
KR102205430B1 (en) * | 2019-08-05 | 2021-01-20 | 에스케이텔레콤 주식회사 | Learning method using artificial neural network |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20180115883A (en) * | 2017-04-14 | 2018-10-24 | 한국전자통신연구원 | Method and apparatus for traffic detour for server protection |
-
2021
- 2021-12-24 KR KR1020210187704A patent/KR102619905B1/en active IP Right Grant
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101814368B1 (en) * | 2017-07-27 | 2018-01-04 | 김재춘 | Information security network integrated management system using big data and artificial intelligence, and a method thereof |
KR102205430B1 (en) * | 2019-08-05 | 2021-01-20 | 에스케이텔레콤 주식회사 | Learning method using artificial neural network |
Also Published As
Publication number | Publication date |
---|---|
KR20230097834A (en) | 2023-07-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Otoum et al. | DL‐IDS: a deep learning–based intrusion detection framework for securing IoT | |
Mishra et al. | Internet of things applications, security challenges, attacks, intrusion detection, and future visions: A systematic review | |
Heidari et al. | Internet of Things intrusion detection systems: a comprehensive review and future directions | |
Moudoud et al. | Prediction and detection of fdia and ddos attacks in 5g enabled iot | |
US11606368B2 (en) | Threat control method and system | |
Zeng et al. | Senior2local: A machine learning based intrusion detection method for vanets | |
Lawal et al. | Security analysis of network anomalies mitigation schemes in IoT networks | |
Lee et al. | A review on honeypot-based botnet detection models for smart factory | |
Malik et al. | An improved deep belief network IDS on IoT-based network for traffic systems | |
de Souza et al. | Intrusion detection and prevention in fog based IoT environments: A systematic literature review | |
Thapa et al. | Malicious traffic classification using long short-term memory (LSTM) model | |
Nuaimi et al. | Intelligent approaches toward intrusion detection systems for Industrial Internet of Things: A systematic comprehensive review | |
Mozaffari et al. | Learning based anomaly detection in critical cyber-physical systems | |
Shang et al. | Discovering unknown advanced persistent threat using shared features mined by neural networks | |
Otoum et al. | On securing iot from deep learning perspective | |
KR102619905B1 (en) | Apparatus and method for preventing abnormal data access based on artificial intelligence | |
Quincozes et al. | An extended evaluation on machine learning techniques for Denial-of-Service detection in Wireless Sensor Networks | |
Alem et al. | A novel bi-anomaly-based intrusion detection system approach for industry 4.0 | |
Kadri et al. | Survey and classification of Dos and DDoS attack detection and validation approaches for IoT environments | |
Gangula et al. | A comprehence study of DDoS attack detecting algorithm using GRU-BWFA classifier | |
Dadi et al. | Enhanced intrusion detection system based on autoencoder network and support vector machine | |
Bhargava et al. | A comprehensive study of IoT security risks in building a secure smart city | |
Huang et al. | Farsighted risk mitigation of lateral movement using dynamic cognitive honeypots | |
Vähäkainu et al. | Cyberattacks Against Critical Infrastructure Facilities and Corresponding Countermeasures | |
Ma et al. | ELD: Adaptive detection of malicious nodes under mix-energy-depleting-attacks using edge learning in IoT networks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right |