KR102651655B1 - 네트워크에 대한 침해 공격을 탐지하는 장치, 방법 및 컴퓨터 프로그램 - Google Patents
네트워크에 대한 침해 공격을 탐지하는 장치, 방법 및 컴퓨터 프로그램 Download PDFInfo
- Publication number
- KR102651655B1 KR102651655B1 KR1020210194486A KR20210194486A KR102651655B1 KR 102651655 B1 KR102651655 B1 KR 102651655B1 KR 1020210194486 A KR1020210194486 A KR 1020210194486A KR 20210194486 A KR20210194486 A KR 20210194486A KR 102651655 B1 KR102651655 B1 KR 102651655B1
- Authority
- KR
- South Korea
- Prior art keywords
- infringement
- attack
- artificial intelligence
- intelligence model
- payload
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims description 48
- 238000004590 computer program Methods 0.000 title claims description 11
- 238000013473 artificial intelligence Methods 0.000 claims abstract description 74
- 238000001514 detection method Methods 0.000 claims abstract description 66
- 238000004458 analytical method Methods 0.000 claims abstract description 20
- 239000013598 vector Substances 0.000 claims description 28
- 230000001364 causal effect Effects 0.000 claims description 14
- 239000000284 extract Substances 0.000 claims description 7
- 238000010586 diagram Methods 0.000 description 17
- 230000006872 improvement Effects 0.000 description 8
- 238000004891 communication Methods 0.000 description 7
- 230000006870 function Effects 0.000 description 5
- 239000011159 matrix material Substances 0.000 description 4
- 238000011176 pooling Methods 0.000 description 4
- 108091081062 Repeated sequence (DNA) Proteins 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 238000003491 array Methods 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000002596 correlated effect Effects 0.000 description 1
- 238000010219 correlation analysis Methods 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 230000003211 malignant effect Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 238000007781 pre-processing Methods 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000003252 repetitive effect Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 238000002604 ultrasonography Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
- H04L9/3213—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Theoretical Computer Science (AREA)
- Medical Informatics (AREA)
- Data Mining & Analysis (AREA)
- Evolutionary Computation (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Mathematical Physics (AREA)
- Artificial Intelligence (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
네트워크에 대한 침해 공격을 탐지하는 장치는 헤더 및 페이로드를 포함하는 패킷 데이터를 수집하는 수집부, 상기 수집한 패킷 데이터의 헤더 및 페이로드를 토큰화하고, 상기 토큰화된 헤더 및 페이로드를 임베딩하는 임베딩부, 상기 임베딩 결과에 기초하여 인공지능 모델을 학습시키는 학습부, 상기 인공지능 모델을 이용하여 대상 네트워크에 대한 침해 공격을 탐지하는 탐지부 및 상기 탐지된 침해 공격을 분석하는 분석부를 포함한다.
Description
본 발명은 네트워크에 대한 침해 공격을 탐지하는 장치, 방법 및 컴퓨터 프로그램에 관한 것이다.
설명가능한 인공지능 모델(eXplainable Artificail Intelligence, XAI)은 판단에 대한 이유를 사람이 이해할 수 있는 방식으로 제시한다. 설명가능한 인공지능 모델은 특정한 판단에 대해 알고리즘의 설계자도 이유를 설명할 수 없는 '블랙박스' 인공지능과 대비되는 개념이다. 설명가능한 인공지능 모델은 인공지능의 불확실한 의사 결정 과정을 해소함으로써 인공지능 모델에 대한 신뢰성을 높일 수 있다.
인공지능 모델을 이용한 네트워크 보안 시스템에 관한 연구가 활발하게 이루어지고 있다. 그러나, 종래의 보안 시스템은 판별 결과에 대한 근거와 해석 결과를 구체적으로 도출하는 기술은 미흡하였다.
또한, 인공지능 모델의 추론 결과에 기초하여 보안 시스템의 탐지 규칙을 개선하고, 오탐율의 저하 및 정탐율의 개선 여부를 정량적으로 분석할 필요가 있었다.
본 발명은 전술한 종래 기술의 문제점을 해결하기 위한 것으로서, 헤더 및 페이로드를 포함하는 패킷 데이터를 수집하고, 수집한 패킷 데이터의 헤더 및 페이로드를 토큰화하고, 토큰화된 헤더 및 페이로드를 임베딩하고, 임베딩 결과에 기초하여 인공지능 모델을 학습시키고, 인공지능 모델을 이용하여 대상 네트워크에 대한 침해 공격을 탐지하고, 탐지된 침해 공격을 분석하고자 한다.
트랜스포머 기반의 앙상블 모델 및 셀프 어텐션 기반의 설명 가능한 인공지능 모델을 이용하여 네트워크에 대한 침해 공격을 탐지하고 판별 근거를 분석하는 장치, 방법 및 컴퓨터 프로그램을 제공하고자 한다.
탐지된 네트워크에 대한 침해 공격과 다른 침해 공격 간의 상관관계 및 인과관계를 분석하는 침해 공격 탐지 장치, 방법 및 컴퓨터 프로그램을 제공하고자 한다.
다만, 본 실시예가 이루고자 하는 기술적 과제는 상기된 바와 같은 기술적 과제들로 한정되지 않으며, 또 다른 기술적 과제들이 존재할 수 있다.
상술한 기술적 과제를 달성하기 위한 수단으로서, 본 발명의 일 실시예는, 네트워크에 대한 침해 공격을 탐지하는 장치에 있어서, 헤더 및 페이로드를 포함하는 패킷 데이터를 수집하는 수집부, 상기 수집한 패킷 데이터의 헤더 및 페이로드를 토큰화하고, 상기 토큰화된 헤더 및 페이로드를 임베딩하는 임베딩부, 상기 임베딩 결과에 기초하여 인공지능 모델을 학습시키는 학습부, 상기 인공지능 모델을 이용하여 대상 네트워크에 대한 침해 공격을 탐지하는 탐지부 및 상기 탐지된 침해 공격을 분석하는 분석부를 포함할 수 있다.
일 실시예에서, 상기 임베딩부는 상기 토큰화된 헤더 및 페이로드의 임베딩 벡터를 도출하고, 상기 학습부는 상기 도출된 임베딩 벡터에 기초하여 상기 인공지능 모델을 학습시킬 수 있다.
일 실시예에서, 상기 학습부는 상기 임베딩 벡터에 대해 합성곱 연산을 수행하여 특징점을 추출하고, 상기 추출된 특징점에 기초하여 상기 인공지능 모델을 학습시킬 수 있다.
일 실시예에서, 상기 인공지능 모델은 상기 추출된 특징점에 기초하여 학습된 트랜스포머 기반의 앙상블 모델에 기초하여 침해 공격을 탐지하는 제 1 모델 및 상기 페이로드의 토큰별로 어텐션 가중치를 도출하는 셀프 어텐션 모델에 기초하여 상기 침해 공격의 판별 근거를 분석하는 설명 가능한 인공지능 모델인 제 2 모델을 포함할 수 있다.
일 실시예에서, 상기 학습부는 상기 도출된 어텐션 가중치에 기초하여 상기 페이로드의 토큰 중에서 위협 정보 토큰을 선정할 수 있다.
일 실시예에서, 상기 학습부는 상기 위협 정보 토큰의 위치 정보 및 상기 위협 정보 토큰의 어텐션 가중치 값을 더 도출할 수 있다.
일 실시예에서, 상기 학습부는 상기 위협 정보 토큰의 위치 정보 및 상기 위협 정보 토큰의 어텐션 가중치 값에 기초하여 상기 인공지능 모델의 탐지 규칙을 개선할 수 있다.
일 실시예에서, 상기 분석부는 상기 탐지된 침해 공격과 다른 침해 공격 간의 상관관계 및 인과관계 중 적어도 하나를 분석할 수 있다.
일 실시예에서, 상기 분석부는 연관 법칙 학습 기법에 기초하여 상기 탐지된 침해 공격과 동시간대에 발생한 다른 침해 공격 간의 상기 상관관계를 분석할 수 있다.
일 실시예에서, 상기 분석부는 시퀀스 추론 기법에 기초하여 상기 탐지된 침해 공격과 과거에 발생한 다른 침해 공격 간의 상기 인과관계를 분석할 수 있다.
본 발명의 다른 실시예는, 네트워크에 대한 침해 공격을 탐지하는 방법에 있어서, 헤더 및 페이로드를 포함하는 패킷 데이터를 수집하는 단계, 상기 수집한 패킷 데이터의 헤더 및 페이로드를 토큰화하는 단계, 상기 토큰화된 헤더 및 페이로드를 임베딩하는 단계, 상기 임베딩 결과에 기초하여 인공지능 모델을 학습시키는 단계, 상기 인공지능 모델을 이용하여 대상 네트워크에 대한 침해 공격을 탐지하는 단계 및 상기 탐지된 침해 공격을 분석하는 단계를 포함할 수 있다.
본 발명의 또 다른 실시예는, 네트워크에 대한 침해 공격을 탐지하는 명령어들의 시퀀스를 포함하는 컴퓨터 판독가능 기록매체에 저장된 컴퓨터 프로그램에 있어서, 상기 컴퓨터 프로그램은 컴퓨팅 장치에 의해 실행될 경우, 헤더 및 페이로드를 포함하는 패킷 데이터를 수집하고, 상기 수집한 패킷 데이터의 헤더 및 페이로드를 토큰화하고, 상기 토큰화된 헤더 및 페이로드를 임베딩하고, 상기 임베딩 결과에 기초하여 인공지능 모델을 학습시키고, 상기 인공지능 모델을 이용하여 대상 네트워크에 대한 침해 공격을 탐지하고, 상기 탐지된 침해 공격을 분석하도록 하는 명령어들의 시퀀스를 포함할 수 있다.
상술한 과제 해결 수단은 단지 예시적인 것으로서, 본 발명을 제한하려는 의도로 해석되지 않아야 한다. 상술한 예시적인 실시예 외에도, 도면 및 발명의 상세한 설명에 기재된 추가적인 실시예가 존재할 수 있다.
전술한 본 발명의 과제 해결 수단 중 어느 하나에 의하면, 본 발명은 헤더 및 페이로드를 포함하는 패킷 데이터를 수집하고, 수집한 패킷 데이터의 헤더 및 페이로드를 토큰화하고, 토큰화된 헤더 및 페이로드를 임베딩하고, 임베딩 결과에 기초하여 인공지능 모델을 학습시키고, 인공지능 모델을 이용하여 대상 네트워크에 대한 침해 공격을 탐지하고, 탐지된 침해 공격을 분석할 수 있다.
인공지능 모델의 탐지 규칙을 개선함으로써 네트워크에 대한 침해 공격을 보다 정확하고 효율적으로 탐지할 수 있다.
네트워크의 보안을 강화하고 침해 공격에 의한 피해가 발생하는 것을 방지할 수 있다.
도 1은 본 발명의 일 실시예에 따른 침해 공격 탐지 장치의 구성도이다.
도 2는 본 발명의 일 실시예에 따라 인공지능 모델을 학습시키는 방법을 설명하기 위한 예시적인 도면이다.
도 3은 본 발명의 일 실시예에 따라 인공지능 모델을 학습시키는 방법을 설명하기 위한 예시적인 도면이다.
도 4는 본 발명의 일 실시예에 따라 인공지능 모델을 학습시키는 방법을 설명하기 위한 예시적인 도면이다.
도 5는 본 발명의 일 실시예에 따른 앙상블 모델을 설명하기 위한 예시적인 도면이다.
도 6은 본 발명의 일 실시예에 따라 인공지능 모델의 탐지 규칙을 개선하는 방법을 설명하기 위한 예시적인 도면이다.
도 7은 본 발명의 일 실시예에 따라 탐지된 침해 공격과 다른 침해 공격 간의 인과관계를 분석하는 방법을 설명하기 위한 예시적인 도면이다.
도 8은 본 발명의 일 실시예에 따른 네트워크에 대한 침해 공격 탐지 방법의 순서도이다.
도 9는 본 발명의 일 실시예에 따른 침해 공격 탐지 장치에 의해 사용자에게 제공되는 인터페이스 화면의 예시적인 도면이다.
도 2는 본 발명의 일 실시예에 따라 인공지능 모델을 학습시키는 방법을 설명하기 위한 예시적인 도면이다.
도 3은 본 발명의 일 실시예에 따라 인공지능 모델을 학습시키는 방법을 설명하기 위한 예시적인 도면이다.
도 4는 본 발명의 일 실시예에 따라 인공지능 모델을 학습시키는 방법을 설명하기 위한 예시적인 도면이다.
도 5는 본 발명의 일 실시예에 따른 앙상블 모델을 설명하기 위한 예시적인 도면이다.
도 6은 본 발명의 일 실시예에 따라 인공지능 모델의 탐지 규칙을 개선하는 방법을 설명하기 위한 예시적인 도면이다.
도 7은 본 발명의 일 실시예에 따라 탐지된 침해 공격과 다른 침해 공격 간의 인과관계를 분석하는 방법을 설명하기 위한 예시적인 도면이다.
도 8은 본 발명의 일 실시예에 따른 네트워크에 대한 침해 공격 탐지 방법의 순서도이다.
도 9는 본 발명의 일 실시예에 따른 침해 공격 탐지 장치에 의해 사용자에게 제공되는 인터페이스 화면의 예시적인 도면이다.
아래에서는 첨부한 도면을 참조하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 본 발명의 실시예를 상세히 설명한다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시예에 한정되지 않는다. 그리고 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 유사한 부분에 대해서는 유사한 도면 부호를 붙였다.
명세서 전체에서, 어떤 부분이 다른 부분과 "연결"되어 있다고 할 때, 이는 "직접적으로 연결"되어 있는 경우뿐 아니라, 그 중간에 다른 소자를 사이에 두고 "전기적으로 연결"되어 있는 경우도 포함한다. 또한 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미하며, 하나 또는 그 이상의 다른 특징이나 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
본 명세서에 있어서 '부(部)'란, 하드웨어에 의해 실현되는 유닛(unit), 소프트웨어에 의해 실현되는 유닛, 양방을 이용하여 실현되는 유닛을 포함한다. 또한, 1 개의 유닛이 2 개 이상의 하드웨어를 이용하여 실현되어도 되고, 2 개 이상의 유닛이 1 개의 하드웨어에 의해 실현되어도 된다. 한편, '~부'는 소프트웨어 또는 하드웨어에 한정되는 의미는 아니며, '~부'는 어드레싱 할 수 있는 저장 매체에 있도록 구성될 수도 있고 하나 또는 그 이상의 프로세서들을 재생시키도록 구성될 수도 있다. 따라서, 일 예로서 '~부'는 소프트웨어 구성요소들, 객체지향 소프트웨어 구성요소들, 클래스 구성요소들 및 태스크 구성요소들과 같은 구성요소들과, 프로세스들, 함수들, 속성들, 프로시저들, 서브루틴들, 프로그램 코드의 세그먼트들, 드라이버들, 펌웨어, 마이크로코드, 회로, 데이터, 데이터베이스, 데이터 구조들, 테이블들, 어레이들 및 변수들을 포함한다. 구성요소들과 '~부'들 안에서 제공되는 기능은 더 작은 수의 구성요소들 및 '~부'들로 결합되거나 추가적인 구성요소들과 '~부'들로 더 분리될 수 있다. 뿐만 아니라, 구성요소들 및 '~부'들은 디바이스 또는 보안 멀티미디어카드 내의 하나 또는 그 이상의 CPU들을 재생시키도록 구현될 수도 있다.
이하에서 언급되는 "네트워크"는 단말들 및 서버들과 같은 각각의 노드 상호 간에 정보 교환이 가능한 연결 구조를 의미하는 것으로, 근거리 통신망(LAN: Local Area Network), 광역 통신망(WAN: Wide Area Network), 인터넷 (WWW: World Wide Web), 유무선 데이터 통신망, 전화망, 유무선 텔레비전 통신망 등을 포함한다. 무선 데이터 통신망의 일례에는 3G, 4G, 5G, 3GPP(3rd Generation Partnership Project), LTE(Long Term Evolution), WIMAX(World Interoperability for Microwave Access), 와이파이(Wi-Fi), 블루투스 통신, 적외선 통신, 초음파 통신, 가시광 통신(VLC: Visible Light Communication), 라이파이(LiFi) 등이 포함되나 이에 한정되지는 않는다.
본 명세서에 있어서 단말 또는 디바이스가 수행하는 것으로 기술된 동작이나 기능 중 일부는 해당 단말 또는 디바이스와 연결된 서버에서 대신 수행될 수도 있다. 이와 마찬가지로, 서버가 수행하는 것으로 기술된 동작이나 기능 중 일부도 해당 서버와 연결된 단말 또는 디바이스에서 수행될 수도 있다.
이하 첨부된 도면을 참고하여 본 발명의 일 실시예를 상세히 설명하기로 한다.
도 1은 본 발명의 일 실시예에 따른 침해 공격 탐지 장치의 구성도이다.
침해 공격 탐지 장치(100)는 예를 들어, 패킷 데이터에 포함되는 헤더 및 페이로드의 조합이 악성인지 여부를 판별함으로써 네트워크에 대한 침해 공격을 탐지할 수 있다.
침해 공격 탐지 장치(100)는 예를 들어, 탐지된 침해 공격의 패킷 데이터에 포함되는 헤더 및 페이로드를 분석하고, 분석 결과를 이용하여 장치의 탐지 성능을 점차 개선할 수 있다.
도 1을 참조하면, 침해 공격 탐지 장치(100)는 수집부(110), 임베딩부(120), 학습부(130), 탐지부(140) 및 분석부(150)를 포함할 수 있다.
수집부(110)는 헤더 및 페이로드를 포함하는 패킷 데이터를 수집할 수 있다.
일 실시예에서, 수집부(110)는 기설정된 기준에 기초하여 수집된 패킷 데이터를 정상 또는 악성으로 분류하고 레이블링할 수 있다. 침해 공격 탐지 장치(100)는 레이블링된 패킷 데이터를 이용하여 침해 공격을 탐지하는 인공지능 모델을 학습시킬 수 있다.
임베딩부(120)는 수집한 패킷 데이터의 헤더 및 페이로드를 토큰화할 수 있다. 임베딩부(120)는 예를 들어, N-GRAM, BPE 또는 WPE 중 어느 하나의 방식에 의하여 헤더 및 페이로드를 토큰화할 수 있다.
임베딩부(120)는 토큰화된 헤더 및 페이로드를 임베딩할 수 있다. 임베딩부(120)는 토큰화된 헤더 및 페이로드의 임베딩 벡터를 도출할 수 있다.
예를 들어, 임베딩부(120)는 센텐스피스(SentencePiece)를 이용하여 토큰화된 헤더 및 페이로드를 임베딩할 수 있다. 또는, 임베딩부(120)는 워드투벡(Word2vec) 및 패스트텍스트(FastText) 기법을 이용하여 토큰화된 헤더 및 페이로드를 임베딩할 수 있다.
학습부(130)는 임베딩 결과에 기초하여 인공지능 모델을 학습시킬 수 있다. 예를 들어, 학습부(130)는 1D-CNN 기법을 이용하여 인공지능 모델을 학습시킬 수 있다. 여기서, 인공지능 모델은 헤어 및 페이로드의 특징점에 기초하여 학습된 트랜스포머 기반의 앙상블 모델에 기초하여 침해 공격을 탐지하는 모델일 수 있다.
학습부(130)는 예를 들어, 도출된 헤더 및 페이로드의 임베딩 벡터에 기초하여 인공지능 모델을 학습시킬 수 있다. 학습부(130)는 임베딩 벡터에 대해 합성곱 연산을 수행하여 특징점을 추출할 수 있다. 학습부(130)는 추출된 특징점에 기초하여 인공지능 모델을 학습시킬 수 있다.
도 2 내지 도 4는 본 발명의 일 실시예에 따라 인공지능 모델을 학습시키는 방법을 설명하기 위한 예시적인 도면이다.
'wait for the video and don't rent it'라는 자연어 문장에 대하여 토큰화, 패딩 및 임베딩 처리를 수행하면 도 2에 도시된 것과 같은 문장 형태의 행렬이 도출된다. 도 2에서 n은 문장의 길이이고, k는 임베딩 벡터의 차원을 나타낼 수 있다.
1D-CNN 기법에 있어서, 커널의 너비는 임베딩 벡터의 차원(k)과 동일하게 설정되고, 커널의 높이는 유동적으로 설정될 수 있다. 따라서, 커널의 사이즈는 커널의 높이를 의미할 수 있다. 커널의 사이즈는 하이퍼파라미터 튜닝을 통해 실험적으로 가장 좋은 성능이 나오는 값이 사용될 수 있다.
도 3은 커널의 사이즈, 즉 커널의 높이를 2로 설정한 경우에 임베딩 벡터에 대해 합성곱 연산을 수행하여 특징점을 추출하는 방법을 예시적으로 도시한다.
도 3을 참조하면, 커널의 사이즈가 2인 경우에, 첫번째 스텝에서 'wait for'에 대해서 합성곱 연산을 수행하고, 두번째 스텝에서는 'for the'에 대해서 합성곱 연산을 수행하고, 세번째 스텝에서는 'the video'에 대해서 합성곱 연산을 수행하고, 네번째 스텝에서는 'video and'에 대해서 합성곱 연산을 수행할 수 있다. 마찬가지의 방식으로 임베딩 벡터 전체에 대해서 합성곱 연산을 수행할 수 있다.
1D-CNN 기법에 있어서, 임베딩 벡터에 대한 합성곱 연산을 수행한 후에 풀링(pooling)을 수행할 수 있다. 풀링(pooling)의 예로, 각 합성곱 연산으로부터 얻은 결과 벡터에서 가장 큰 값을 취하는 맥스 풀링(Max-pooling)을 수행할 수 있다.
도 4는 커널 사이즈가 2인 경우와 커널 사이즈가 3인 경우 각각에 있어서, 임베딩 벡터에 대해 합성곱 연산을 수행하고 맥스 풀링을 수행함으로써 특징점을 추출하는 것을 예시적으로 도시한다.
도 2 내지 4를 참조하여 설명한 바와 같이, 본 발명은 문장 자체가 아닌 특징점을 추출하고, 추출된 특징점에 기초하여 인공지능 모델을 학습시킴으로써 인공지능 모델의 학습 속도 및 정확도를 향상시킬 수 있다.
학습부(130)는 예를 들어, 1D-CNN 기법으로 추출된 특징점을 앙상블 모델에 적용하여 패킷 데이터의 정상 또는 악성 여부를 판별할 수 있다. 앙상블 모델은 패킷 데이터의 페이로드 데이터뿐 아니라 헤더 정보를 모델링에 활용할 수 있다. 또한, 앙상블 모델은 각 특징점에 따라 다른 모델의 구조를 적용하고, 산출되는 결과의 평균값을 이용하여 최종적으로 정상 또는 악성 여부를 판별할 수 있다.
도 5는 본 발명의 일 실시예에 따른 앙상블 모델의 구조를 설명하기 위한 예시적인 도면이다. 침해 공격 탐지 장치(100)는 도 5에 도시된 것과 같은 CMAE 모델을 이용하여 패킷 데이터의 정상 또는 악성 여부를 판별할 수 있다.
침해 공격 탐지 장치(100)는 CMAE 모델을 이용하여 정상 또는 악성 여부를 판별한 결과에 기초하여 침해 사고 발생 여부를 판단할 수 있다.
다른 실시예에서, 침해 공격 탐지 장치(100)는 데이터의 특성에 따라 전처리 방식 및 모델의 구조를 가변적으로 변경하여 학습을 진행 후 패킷 데이터의 정상 또는 악성 여부를 판별할 수 있다.
예를 들어, 침해 공격 탐지 장치(100)는 CMAE 모델을 이용하여 판별한 결과를 설명 가능한 인공지능 모델(eXplainable Artificial Intelligence, XAI)에 적용하고 판별 근거를 분석할 수 있다.
설명 가능한 인공지능 모델은 페이로드의 토큰별로 어텐션 가중치를 도출하는 셀프 어텐션 모델에 기초하여 침해 공격의 판별 근거를 분석할 수 있다.
셀프 어텐션 모델은, 문장 내에서 특정한 특징값(feature)이 문맥 내에서 어떤 특징값을 참조하고 있는지를 나타내는 어텐션 가중치(Attention weight)를 도출할 수 있다.
셀프 어텐션 모델을 이용하여 어텐션 가중치를 구하는 방법으로는 먼저, 각 인코더의 입력 벡터인 각 워드의 임베딩 값으로 세 개의 벡터를 만들고, 다른 행렬을 곱하여 각 단어에 대한 Q, K, V 벡터를 만든다. 셀프 어텐션의 경우에는 Q, K 및 V의 값이 모두 동일할 수 있다.
다음으로, 각 단어의 Q와 K의 내적을 계산하여 어텐션 값을 도출한다. 어텐션 값은 특정 위치에서 단어를 인코딩할 때 입력 문장의 다른 단어에 집중할 정도를 결정할 수 있다.
다음으로, 각 V 벡터에 어텐션 값을 곱하고 가중치 벡터를 더함으로써 셀프 어텐션 레이어의 출력을 생성할 수 있다. 구체적으로, 소프트맥스 함수를 이용하여 전체 값의 합이 1이 되는 확률 분포인 어텐션 분포(Attention Distribution)를 얻을 수 있다. 어텐션 분포의 각각의 값은 어텐션 가중치이다. 즉, 각각의 토큰이 어텐션 가중치를 가지게 되고, 도 5는 이것을 행렬의 형태로 시각화한 예시 도면이다.
학습부(130)는 셀프 어텐션 모델을 이용하여 도출된 어텐션 가중치에 기초하여 페이로드의 토큰 중에서 위협 정보 토큰을 선정할 수 있다. 예를 들어, 학습부(130)는 토큰화된 헤더 및 페이로드 중에서 어텐션 가중치의 값이 가장 높은 5 개의 토큰을 위협 정보 토큰으로 선정할 수 있다.
학습부(130)는 위협 정보 토큰의 위치 정보 및 위협 정보 토큰의 어텐션 가중치 값을 더 도출할 수 있다. 학습부(130)는 위협 정보 토큰의 위치 정보를 도출함으로써 페이로드에서 침해 공격을 구성하는 주요 부분이 어디에 위치하는지를 표시하고, 이에 의하여 인공지능 모델의 판별 근거를 제공할 수 있다.
학습부(130)는 위협 정보 토큰의 위치 정보 및 위협 정보 토큰의 어텐션 가중치 값에 기초하여 인공지능 모델의 탐지 규칙을 개선할 수 있다. 예를 들어, 학습부(130)는 인공지능 모델이 어텐션 가중치 값이 높은 위협 정보 토큰의 핵심 징후를 판별할 수 있도록 인공지능 모델의 탐지 규칙을 개선할 수 있다.
도 6은 본 발명의 일 실시예에 따라 인공지능 모델의 탐지 규칙을 개선하는 방법을 설명하기 위한 예시적인 도면이다.
도 6을 참조하면, 침해 공격 탐지 장치(100)는 위협 정보 토큰의 핵심 징후를 판별할 수 있도록 위협 정보 토큰의 위치 정보 및 위협 정보 토큰의 어텐션 가중치 값에 기초하여 인공지능 모델의 탐지 규칙을 개선할 수 있다.
침해 공격 탐지 장치(100)는 예를 들어, n 바이트 단위로 어텐션 가중치를 도출하고, 도 6에 도시된 바와 같이 어텐션 매트릭스를 시각화하여 위협 정보 토큰의 핵심 징후를 판별하는 데에 활용할 수 있다.
탐지부(140)는 인공지능 모델을 이용하여 대상 네트워크에 대한 침해 공격을 탐지할 수 있다. 예를 들어, 탐지부(140)는 대상 네트워크를 실시간 모니터링함으로써 대상 네트워크에 대한 침해 공격을 탐지할 수 있다.
분석부(150)는 탐지된 침해 공격을 분석할 수 있다. 분석부(150)는 탐지된 침해 공격과 다른 침해 공격 간의 상관관계 및 인과관계 중 적어도 하나를 분석할 수 있다.
분석부(150)는 예를 들어, 연관 법칙 학습 기법에 기초하여 탐지된 침해 공격과 동시간대에 발생한 다른 침해 공격 간의 상관관계를 분석할 수 있다. 연관 법칙 학습 기법으로는 예를 들어, Apriori, FP-Growth 중 어느 하나를 이용할 수 있다.
분석부(150)는 탐지된 침해 공격과 다른 침해 공견 간의 지지도, 신뢰도 및 향상도 중 적어도 하나 이상의 지표를 정량적으로 분석함으로써 두 침해 공격 간의 상관관계를 분석할 수 있다.
지지도는 예를 들어, 전체 위협 발생 수를 기준으로 두 침해 공격의 위협 판단 요소가 동시에 발생한 수의 비율로 도출될 수 있다.
신뢰도를 예를 들어, 탐지된 침해 공격의 위협 판단 요소의 발생 수를 기준으로 두 침해 공격의 위협 판단 요소가 동시에 발생한 수의 비율로 도출될 수 있다.
향상도는 예를 들어, 전체 위협 발생 수에 대한 다른 침해 공격의 위협 판단 요소의 발생 수를 기준으로 신뢰도의 비율로 도출될 수 있다.
예를 들어, 침해 공격 탐지 장치(100)는 특정 유형의 침해 공격이 인지가 되면, 동일한 유형의 침해 공격이 발생했던 과거의 내역을 분석할 수 있다. 침해 공격 탐지 장치(100)는 동일한 유형의 침해 공격과 병행하여 발생한 다른 침해 공격과의 상관성을 지지도, 신뢰도, 향상도 등의 정량적인 지표로 표현하고, 지표별로 높은 값을 보인 다른 침해 공격들을 분석할 수 있다.
침해 공격 탐지 장치(100)는 탐지된 침해 공격과 동시간대에 발생한 다른 침해 공격 간의 상관관계를 분석함으로써 어떤 위협 경보 요소들 중에서 사고가 될 가능성이 높은지 판단하는 근거를 제공할 수 있다.
분석부(150)는 예를 들어, 시퀀스 추론 기법에 기초하여 탐지된 침해 공격과 과거에 발생한 다른 침해 공격 간의 인과관계를 분석할 수 있다. 시퀀스 추론 기법은 예를 들어, Prefix-Span, Sequential Bayesian 중 어느 하나를 이용하여 침해 공격의 발생 시계열을 분석할 수 있다.
분석부(150)는 시퀀스 추론 기법에 기초하여 인과관계를 분석함으로써 새롭게 발생하는 침해 공격의 패턴을 추출 및 분석할 수 있다.
도 7은 본 발명의 일 실시예에 따라 탐지된 침해 공격과 과거에 발생한 다른 침해 공격 간의 인과관계를 분석하는 방법을 설명하기 위한 예시적인 도면이다.
도 7을 참조하면, 침해 공격 탐지 장치(100)는 시퀀스 추론 기법에 기초하여 반복 패턴 A 및 반복 패턴 B를 인식함으로써 탐지된 침해 공격과 과거에 발생한 다른 침해 공격 간의 인과관계를 분석할 수 있다.
예를 들어, 침해 공격 탐지 장치(100)는 탐지된 침해 공격과 높은 상관성을 갖는 다른 침해 공격들을 중심으로 반복적으로 발생한 침해 공격의 시퀀스를 분석할 수 있다. 침해 공격 탐지 장치(100)는 분석된 침해 공격의 시퀀스에서 반복되는 부분 시퀀스를 인지하고 추출할 수 있다. 이에 의하여, 높은 상관성을 가지는 다른 침해 공격의 원인을 분석하거나, 또는 여러 단계에 걸쳐 발생하는 보안 공격의 패턴을 추출할 수 있다.
또 다른 예를 들어, 침해 공격 탐지 장치(100)는 침해 공격에 의해 발생한 사고와 관련하여, 기관, 위협 공격 IP, 위협 피해 IP, 블랙리스트 IP, 공격 유형, 자산, 위협 공격 PORT, 위협 피해 PORT, 사고 피해 프로토콜, 탐지 규칙, 의도, 공격 국가, 피해 국가에 관한 정보를 수집하고, 데이터베이스를 구축할 수 있다.
침해 공격 탐지 장치(100)는 데이터베이스로부터 발생 빈도가 높은 항목의 집합을 추출할 수 있다. 예를 들어, 동시에 발생하는 빈도가 높은 시퀀스의 집합을 추출할 수 있다.
침해 공격 탐지 장치(100)는 데이터베이스를 이용하여 추출한 시퀀스의 지지도를 도출하고, 시퀀스의 원인(기관, 위협 공격 IP, 위협 피해 IP, 블랙리스트 IP, 자산, 위협 공격 PORT, 위협 피해 PORT, 사고 피해 프로토콜, 탐지 규칙, 의도, 공격 국가, 피해 국가)과 결과(공격 유형)를 기준으로 분류할 수 있다.
침해 공격 탐지 장치(100)는 기설정된 시간 간격으로 분석 결과를 업데이트할 수 있다.
침해 공격 탐지 장치(100)는 시퀀스 추론 기법에 기초하여 탐지된 침해 공격과 과거에 발생한 다른 침해 공격 간의 인과관계를 분석함으로써 새롭게 발생하는 사고가 될 가능성이 높은 침해 공격 패턴의 근거를 제공할 수 있다. 또한, 인과관계의 분석 결과를 이용하여 새롭게 발생하는 사고의 패턴에 대한 예측 정보를 제공할 수 있다.
도 8은 본 발명의 일 실시예에 따른 네트워크에 대한 침해 공격을 탐지하는 방법의 순서도이다. 도 8에 도시된 침해 공격 탐지 장치(100)에서 수행되는 네트워크에 대한 침해 공격을 탐지하는 방법(800)은 도 1에 도시된 실시예에 따라 침해 공격 탐지 장치(100)에 의해 시계열적으로 처리되는 단계들을 포함한다. 따라서, 이하 생략된 내용이라고 하더라도 도 1에 도시된 실시예에 따라 침해 공격 탐지 장치(100)에서 수행되는 네트워크에 대한 침해 공격을 탐지하는 방법에도 적용된다.
단계 S810에서 침해 공격 탐지 장치(100)는 헤더 및 페이로드를 포함하는 패킷 데이터를 수집할 수 있다.
단계 S820에서 침해 공격 탐지 장치(100)는 수집한 패킷 데이터의 헤더 및 페이로드를 토큰화하고, 토큰화된 헤더 및 페이로드를 임베딩할 수 있다.
단계 S830에서 침해 공격 탐지 장치(100)는 임베딩 결과에 기초하여 인공지능 모델을 학습시킬 수 있다.
단계 S840에서 침해 공격 탐지 장치(100)는 인공지능 모델을 이용하여 대상 네트워크에 대한 침해 공격을 탐지할 수 있다.
단계 S850에서 침해 공격 탐지 장치(100)는 탐지된 침해 공격을 분석할 수 있다.
상술한 설명에서, 단계 S810 내지 S850은 본 발명의 구현예에 따라서, 추가적인 단계들로 더 분할되거나, 더 적은 단계들로 조합될 수 있다. 또한, 일부 단계는 필요에 따라 생략될 수도 있고, 단계 간의 순서가 전환될 수도 있다.
도 9는 본 발명의 일 실시예에 따른 침해 공격 탐지 장치(100)에 의해 사용자에게 제공되는 인터페이스 화면의 예시적인 도면이다.
도 9의 (a)는 대상 네트워크에 대한 침해 공격의 탐지 결과를 사용자에게 제공하는 화면이다. 도 7의 (a)에 도시된 바와 같이, 페이로드에서 판별에 주요하게 작용한 부분이 하이라이팅 표시되어 제공되고, 판별 이유란에 각 부분의 위치 및 중요도를 계산한 결과가 제공될 수 있다.
도 9의 (b)는 탐지된 침해 공격과 동시간대에 발생한 다른 침해 공격 간의 상관관계를 분석한 결과를 제공하는 화면의 예시적인 도면이다. 상관관계를 분석한 결과는 위협 정보를 이루는 IP주소, 포트, 프로토콜 등의 세부 필드 간의 상관성 결과를 포함할 수 있다. 예를 들어, 상관관계를 분석할 기간은 사용자에 의해 설정될 수 있다.
도 9의 (c)는 탐지된 침해 공격과 과거에 발생한 다른 침해 공격 간의 인과관계를 분석한 결과를 제공하는 화면의 예시적인 도면이다. 인과관계를 분석한 결과는 반복되는 시퀀스의 정보 및 반복 시퀀스를 통해 파악된 침해 공격의 원인 정보를 포함할 수 있다.
침해 공격 탐지 장치(100)에 의해 사용자에게 제공되는 인터페이스 화면은 인공지능 모델의 탐지 규칙의 개선을 요청하는 화면을 포함할 수 있다. 침해 공격 탐지 장치(100)는 탐지 규칙의 개선을 요청받고, 탐지 규칙의 개선을 수행한 후에 개선 내용을 검증할 수 있다. 개선 내용은, 기존의 탐지 규칙을 이용하는 경우의 오탐율 및 정탐율과 수정된 탐지 규칙을 이용하는 경우의 오탐율 및 정탐율에 관한 정보를 포함할 수 있다.
도 1 내지 도 9를 통해 설명된 침해 공격 탐지 장치에서 네트워크에 대한 침해 공격을 탐지하는 방법은 컴퓨터에 의해 실행되는 매체에 저장된 컴퓨터 프로그램 또는 컴퓨터에 의해 실행 가능한 명령어를 포함하는 기록 매체의 형태로도 구현될 수 있다.
컴퓨터 판독 가능 매체는 컴퓨터에 의해 액세스될 수 있는 임의의 가용 매체일 수 있고, 휘발성 및 비휘발성 매체, 분리형 및 비분리형 매체를 모두 포함한다. 또한, 컴퓨터 판독가능 매체는 컴퓨터 저장 매체를 포함할 수 있다. 컴퓨터 저장 매체는 컴퓨터 판독가능 명령어, 데이터 구조, 프로그램 모듈 또는 기타 데이터와 같은 정보의 저장을 위한 임의의 방법 또는 기술로 구현된 휘발성 및 비휘발성, 분리형 및 비분리형 매체를 모두 포함한다.
전술한 본 발명의 설명은 예시를 위한 것이며, 본 발명이 속하는 기술분야의 통상의 지식을 가진 자는 본 발명의 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 쉽게 변형이 가능하다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해해야만 한다. 예를 들어, 단일형으로 설명되어 있는 각 구성 요소는 분산되어 실시될 수도 있으며, 마찬가지로 분산된 것으로 설명되어 있는 구성 요소들도 결합된 형태로 실시될 수 있다.
본 발명의 범위는 상기 상세한 설명보다는 후술하는 특허청구범위에 의하여 나타내어지며, 특허청구범위의 의미 및 범위 그리고 그 균등 개념으로부터 도출되는 모든 변경 또는 변형된 형태가 본 발명의 범위에 포함되는 것으로 해석되어야 한다.
100: 침해 공격 탐지 장치
110: 수집부
120: 임베딩부
130: 학습부
140: 탐지부
150: 분석부
110: 수집부
120: 임베딩부
130: 학습부
140: 탐지부
150: 분석부
Claims (20)
- 네트워크에 대한 침해 공격을 탐지하는 장치에 있어서,
헤더 및 페이로드를 포함하는 패킷 데이터를 수집하는 수집부;
상기 수집한 패킷 데이터의 헤더 및 페이로드를 토큰화하고, 상기 토큰화된 헤더 및 페이로드를 임베딩하는 임베딩부;
임베딩 결과에 기초하여 인공지능 모델을 학습시키는 학습부;
상기 인공지능 모델을 이용하여 대상 네트워크에 대한 침해 공격을 탐지하는 탐지부; 및
상기 탐지된 침해 공격을 분석하는 분석부
를 포함하고,
상기 임베딩부는 상기 토큰화된 헤더 및 페이로드의 임베딩 벡터를 도출하고,
상기 인공지능 모델은 상기 도출된 임베딩 벡터로부터 추출된 특징점에 기초하여 학습된 트랜스포머 기반의 앙상블 모델에 기초하여 침해 공격을 탐지하는 제 1 모델을 포함하는 것인, 침해 공격 탐지 장치.
- 제 1 항에 있어서,
상기 학습부는 상기 도출된 임베딩 벡터에 기초하여 상기 인공지능 모델을 학습시키는 것인, 침해 공격 탐지 장치.
- 제 2 항에 있어서,
상기 학습부는 상기 도출된 임베딩 벡터에 대해 합성곱 연산을 수행하여 상기 특징점을 추출하고, 상기 추출된 특징점에 기초하여 상기 인공지능 모델을 학습시키는 것인, 침해 공격 탐지 장치.
- 제 3 항에 있어서,
상기 인공지능 모델은 상기 페이로드의 토큰별로 어텐션 가중치를 도출하는 셀프 어텐션 모델에 기초하여 상기 침해 공격의 판별 근거를 분석하는 설명 가능한 인공지능 모델인 제 2 모델을 더 포함하는 것인, 침해 공격 탐지 장치.
- 제 4 항에 있어서,
상기 학습부는 상기 도출된 어텐션 가중치에 기초하여 상기 페이로드의 토큰 중에서 위협 정보 토큰을 선정하는 것인, 침해 공격 탐지 장치.
- 제 5 항에 있어서,
상기 학습부는 상기 위협 정보 토큰의 위치 정보 및 상기 위협 정보 토큰의 어텐션 가중치 값을 더 도출하는 것인, 침해 공격 탐지 장치.
- 제 6 항에 있어서,
상기 학습부는 상기 위협 정보 토큰의 위치 정보 및 상기 위협 정보 토큰의 어텐션 가중치 값에 기초하여 상기 인공지능 모델의 탐지 규칙을 개선하는 것인, 침해 공격 탐지 장치.
- 제 1 항에 있어서,
상기 분석부는 상기 탐지된 침해 공격과 다른 침해 공격 간의 상관관계 및 인과관계 중 적어도 하나를 분석하는 것인, 침해 공격 탐지 장치.
- 제 8 항에 있어서,
상기 분석부는 연관 법칙 학습 기법에 기초하여 상기 탐지된 침해 공격과 동시간대에 발생한 다른 침해 공격 간의 상기 상관관계를 분석하는 것인, 침해 공격 탐지 장치.
- 제 8 항에 있어서,
상기 분석부는 시퀀스 추론 기법에 기초하여 상기 탐지된 침해 공격과 과거에 발생한 다른 침해 공격 간의 상기 인과관계를 분석하는 것인, 침해 공격 탐지 장치.
- 네트워크에 대한 침해 공격을 탐지하는 방법에 있어서,
헤더 및 페이로드를 포함하는 패킷 데이터를 수집하는 단계;
상기 수집한 패킷 데이터의 헤더 및 페이로드를 토큰화하는 단계;
상기 토큰화된 헤더 및 페이로드를 임베딩하는 단계;
임베딩 결과에 기초하여 인공지능 모델을 학습시키는 단계;
상기 인공지능 모델을 이용하여 대상 네트워크에 대한 침해 공격을 탐지하는 단계; 및
상기 탐지된 침해 공격을 분석하는 단계
를 포함하고,
상기 토큰화된 헤더 및 페이로드의 임베딩 벡터를 도출하는 단계
를 더 포함하고,
상기 인공지능 모델은 상기 도출된 임베딩 벡터로부터 추출된 특징점에 기초하여 학습된 트랜스포머 기반의 앙상블 모델에 기초하여 침해 공격을 탐지하는 제 1 모델을 포함하는 것인, 침해 공격 탐지 방법.
- 제 11 항에 있어서,
상기 인공지능 모델을 학습시키는 단계는 상기 도출된 임베딩 벡터에 기초하여 상기 인공지능 모델을 학습시키는 것인, 침해 공격 탐지 방법.
- 제 12 항에 있어서,
상기 인공지능 모델을 학습시키는 단계는 상기 도출된 임베딩 벡터에 대해 합성곱 연산을 수행하여 상기 특징점을 추출하고, 상기 추출된 특징점에 기초하여 상기 인공지능 모델을 학습시키는 것인, 침해 공격 탐지 방법.
- 제 13 항에 있어서,
상기 인공지능 모델은 상기 페이로드의 토큰별로 어텐션 가중치를 도출하는 셀프 어텐션 모델에 기초하여 상기 침해 공격의 판별 근거를 분석하는 설명 가능한 인공지능 모델인 제 2 모델을 더 포함하는 것인, 침해 공격 탐지 방법.
- 제 14 항에 있어서,
상기 도출된 어텐션 가중치에 기초하여 상기 페이로드의 토큰 중에서 위협 정보 토큰을 선정하는 단계
를 더 포함하는 것인, 침해 공격 탐지 방법.
- 제 15 항에 있어서,
상기 위협 정보 토큰의 위치 정보 및 상기 위협 정보 토큰의 어텐션 가중치 값을 도출하는 단계
를 더 포함하는 것인, 침해 공격 탐지 방법.
- 제 16 항에 있어서,
상기 위협 정보 토큰의 위치 정보 및 상기 위협 정보 토큰의 어텐션 가중치 값에 기초하여 상기 인공지능 모델의 탐지 규칙을 개선하는 단계
를 더 포함하는 것인, 침해 공격 탐지 방법.
- 제 11 항에 있어서,
연관 법칙 학습 기법에 기초하여 상기 탐지된 침해 공격과 동시간대에 발생한 다른 침해 공격 간의 상관관계를 분석하는 단계
를 더 포함하는 것인, 침해 공격 탐지 방법.
- 제 11 항에 있어서,
시퀀스 추론 기법에 기초하여 상기 탐지된 침해 공격과 과거에 발생한 다른 침해 공격 간의 인과관계를 분석하는 단계
를 더 포함하는 것인, 침해 공격 탐지 방법.
- 네트워크에 대한 침해 공격을 탐지하는 명령어들의 시퀀스를 포함하는 컴퓨터 판독가능 기록매체에 저장된 컴퓨터 프로그램에 있어서,
상기 컴퓨터 프로그램은 컴퓨팅 장치에 의해 실행될 경우,
헤더 및 페이로드를 포함하는 패킷 데이터를 수집하고,
상기 수집한 패킷 데이터의 헤더 및 페이로드를 토큰화하고,
상기 토큰화된 헤더 및 페이로드를 임베딩하고,
임베딩 결과에 기초하여 인공지능 모델을 학습시키고,
상기 인공지능 모델을 이용하여 대상 네트워크에 대한 침해 공격을 탐지하고,
상기 탐지된 침해 공격을 분석하고,
상기 토큰화된 헤더 및 페이로드의 임베딩 벡터를 도출하도록 하는 명령어들의 시퀀스를 포함하고,
상기 인공지능 모델은 상기 도출된 임베딩 벡터로부터 추출된 특징점에 기초하여 학습된 트랜스포머 기반의 앙상블 모델에 기초하여 침해 공격을 탐지하는 제 1 모델을 포함하는, 컴퓨터 판독가능 기록매체에 저장된 컴퓨터 프로그램.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020210194486A KR102651655B1 (ko) | 2021-12-31 | 2021-12-31 | 네트워크에 대한 침해 공격을 탐지하는 장치, 방법 및 컴퓨터 프로그램 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020210194486A KR102651655B1 (ko) | 2021-12-31 | 2021-12-31 | 네트워크에 대한 침해 공격을 탐지하는 장치, 방법 및 컴퓨터 프로그램 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| KR20230046182A KR20230046182A (ko) | 2023-04-05 |
| KR102651655B1 true KR102651655B1 (ko) | 2024-03-29 |
Family
ID=85884310
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020210194486A KR102651655B1 (ko) | 2021-12-31 | 2021-12-31 | 네트워크에 대한 침해 공격을 탐지하는 장치, 방법 및 컴퓨터 프로그램 |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR102651655B1 (ko) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117240598B (zh) * | 2023-11-07 | 2024-02-20 | 国家工业信息安全发展研究中心 | 攻击检测方法、装置、终端设备及存储介质 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR102046789B1 (ko) * | 2019-04-05 | 2019-11-20 | 호서대학교 산학협력단 | 웹 어플리케이션에 대한 딥러닝 기반의 침입탐지 방법, 시스템 및 컴퓨터 프로그램 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101060733B1 (ko) * | 2008-12-22 | 2011-08-31 | 한국전자통신연구원 | 어플리케이션 프로토콜인식을 이용한 네트워크 침입탐지 방법 및 장치 |
| KR101768079B1 (ko) * | 2015-10-20 | 2017-08-14 | 에스케이플래닛 주식회사 | 침입탐지 오탐 개선을 위한 시스템 및 방법 |
| KR101814368B1 (ko) | 2017-07-27 | 2018-01-04 | 김재춘 | 빅데이터 및 인공지능을 이용한 정보 보안 네트워크 통합 관리 시스템 및 그 방법 |
-
2021
- 2021-12-31 KR KR1020210194486A patent/KR102651655B1/ko active IP Right Grant
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR102046789B1 (ko) * | 2019-04-05 | 2019-11-20 | 호서대학교 산학협력단 | 웹 어플리케이션에 대한 딥러닝 기반의 침입탐지 방법, 시스템 및 컴퓨터 프로그램 |
Also Published As
| Publication number | Publication date |
|---|---|
| KR20230046182A (ko) | 2023-04-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110233849B (zh) | 网络安全态势分析的方法及系统 | |
| CN112398779B (zh) | 一种网络流量数据分析方法及系统 | |
| CN112738015B (zh) | 一种基于可解释卷积神经网络cnn与图检测的多步攻击检测方法 | |
| CN112866023B (zh) | 网络检测、模型训练方法、装置、设备及存储介质 | |
| CN112491796B (zh) | 一种基于卷积神经网络的入侵检测及语义决策树量化解释方法 | |
| US20210182612A1 (en) | Real-time detection method and apparatus for dga domain name | |
| CN111783442A (zh) | 入侵检测方法、设备和服务器、存储介质 | |
| CN111600919B (zh) | 智能网络应用防护系统模型的构建方法和装置 | |
| CN112492059A (zh) | Dga域名检测模型训练方法、dga域名检测方法、装置及存储介质 | |
| CN112685738B (zh) | 一种基于多级投票机制的恶意混淆脚本静态检测方法 | |
| CN112333128B (zh) | 一种基于自编码器的Web攻击行为检测系统 | |
| KR20190070702A (ko) | 텍스트 마이닝 기반 보안 이벤트 자동 검증 시스템 및 방법 | |
| Zhang et al. | Cross-site scripting (XSS) detection integrating evidences in multiple stages | |
| CN106169050B (zh) | 一种基于网页知识发现的PoC程序提取方法 | |
| CN117614742B (zh) | 一种蜜点感知增强的恶意流量检测方法 | |
| Muslihi et al. | Detecting SQL injection on web application using deep learning techniques: a systematic literature review | |
| KR102651655B1 (ko) | 네트워크에 대한 침해 공격을 탐지하는 장치, 방법 및 컴퓨터 프로그램 | |
| CN116962047A (zh) | 一种可解释的威胁情报生成方法、系统及装置 | |
| Harbola et al. | Improved intrusion detection in DDoS applying feature selection using rank & score of attributes in KDD-99 data set | |
| CN109918901A (zh) | 实时检测基于Cache攻击的方法 | |
| CN117749499A (zh) | 一种网络信息系统场景下的恶意加密流量检测方法及系统 | |
| CN114169432B (zh) | 一种基于深度学习的跨站脚本攻击识别方法 | |
| Samadzadeh et al. | Evaluating Security Anomalies by Classifying Traffic Using a Multi-Layered Model | |
| Said et al. | Attention-based CNN-BiLSTM deep learning approach for network intrusion detection system in software defined networks | |
| CN112884069A (zh) | 一种对抗网络样本检测的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| G15R | Request for early publication | ||
| E902 | Notification of reason for refusal | ||
| E701 | Decision to grant or registration of patent right |