KR102661402B1 - AI-Based intrusion etection system and method - Google Patents

AI-Based intrusion etection system and method Download PDF

Info

Publication number
KR102661402B1
KR102661402B1 KR1020210172367A KR20210172367A KR102661402B1 KR 102661402 B1 KR102661402 B1 KR 102661402B1 KR 1020210172367 A KR1020210172367 A KR 1020210172367A KR 20210172367 A KR20210172367 A KR 20210172367A KR 102661402 B1 KR102661402 B1 KR 102661402B1
Authority
KR
South Korea
Prior art keywords
intrusion detection
result
artificial intelligence
signal
intrusion
Prior art date
Application number
KR1020210172367A
Other languages
Korean (ko)
Other versions
KR20230083915A (en
Inventor
이창훈
박종혁
엘제나 티데노바
석병진
Original Assignee
서울과학기술대학교 산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 서울과학기술대학교 산학협력단 filed Critical 서울과학기술대학교 산학협력단
Priority to KR1020210172367A priority Critical patent/KR102661402B1/en
Publication of KR20230083915A publication Critical patent/KR20230083915A/en
Application granted granted Critical
Publication of KR102661402B1 publication Critical patent/KR102661402B1/en

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • G06N20/20Ensemble learning
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Artificial Intelligence (AREA)
  • Data Mining & Analysis (AREA)
  • Evolutionary Computation (AREA)
  • Medical Informatics (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Mathematical Physics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

기 설정된 기계학습 알고리즘을 이용하여 특정 네트워크를 모니터링하며 상기 네트워크로부터 네트워크 신호를 획득하고, 획득한 상기 네트워크 신호를 분석하여 침입 탐지를 수행하고 침입 탐지 결과를 출력하는 침입 탐지 시스템에 대해 추가 보안을 수행하는 인공지능 기반 침입 탐지 시스템이 제공된다. 본 발명의 실시예에 따른 인공지능 기반 침입 탐지 시스템은, 상기 침입 탐지 시스템의 동작 원리를 탐색하고, 탐색 결과를 설명 가능한 인공지능(XAI)을 이용하여 분석한 결과인 특징 집합을 획득하는 동작 원리 분석부; 및 상기 침입 탐지 시스템으로부터 상기 네트워크 신호에 대한 상기 침입 탐지 결과를 획득하고, 상기 침입 탐지 결과에 대한 상기 특징 집합을 이용한 검증 분류를 수행하여 검증 분류 결과를 출력하며, 상기 침입 탐지 결과 또는 상기 검증 분류 결과 상기 네트워크 신호가 침입 신호인 경우 침입 탐지 경고를 출력하는 네트워크 침입 신호 처리부;를 포함한다.Additional security is performed on an intrusion detection system that monitors a specific network using a preset machine learning algorithm, acquires a network signal from the network, performs intrusion detection by analyzing the obtained network signal, and outputs the intrusion detection result. An artificial intelligence-based intrusion detection system is provided. The artificial intelligence-based intrusion detection system according to an embodiment of the present invention explores the operating principle of the intrusion detection system and acquires a feature set that is the result of analyzing the search results using explainable artificial intelligence (XAI). analysis department; and obtain the intrusion detection result for the network signal from the intrusion detection system, perform verification classification using the feature set on the intrusion detection result, and output a verification classification result, and the intrusion detection result or the verification classification. and a network intrusion signal processing unit that outputs an intrusion detection warning when the resulting network signal is an intrusion signal.

Description

인공지능 기반 침입 탐지 시스템 및 방법{AI-Based intrusion etection system and method}AI-Based intrusion detection system and method {AI-Based intrusion detection system and method}

본 발명은 인공지능 기반 침입 탐지 시스템 및 방법에 관한 것으로, 특히, 네트워크 신호를 검사하여 침입을 탐지하는 침입 탐지 시스템에 대하여 침입 탐지 결과에 대해 추가적인 검사를 수행하여 침입 신호를 검출하는 인공지능 기반 침입 탐지 시스템 및 방법에 관한 것이다.The present invention relates to an artificial intelligence-based intrusion detection system and method. In particular, the present invention relates to an artificial intelligence-based intrusion detection system that detects an intrusion by inspecting a network signal and performs an additional inspection on the intrusion detection result to detect an intrusion signal. It relates to detection systems and methods.

인공지능 기술이 급격히 발달하고 그 성능이 검증됨에 따라 다양한 인공지능 기술이 이미지 인식, 자연어 처리와 같은 분야뿐만 아니라 보안 분야에서도 성공적으로 적용되고 있다.As artificial intelligence technology develops rapidly and its performance is verified, various artificial intelligence technologies are being successfully applied not only in fields such as image recognition and natural language processing, but also in the security field.

보안 분야 중 네트워크 보안 분야에서는 인공지능 기술을 기반으로 구축되는 침입 탐지 시스템들이 제안 및 개발되고 있다. 그러나 최근 인공지능 학습 모델의 기능을 훼손하기 위한 악의적인 목적을 가지고 학습 데이터를 일부 변형하여 학습이 잘 수행되지 않도록 하는 적대적 공격이 등장하여 인공지능 모델을 기반으로 구축된 다양한 시스템에 대한 우려가 커지고 있다.In the network security field, intrusion detection systems built on artificial intelligence technology are being proposed and developed. However, recently, hostile attacks have emerged that modify some of the learning data to prevent learning from performing well with the malicious purpose of damaging the functionality of the artificial intelligence learning model, raising concerns about various systems built on artificial intelligence models. there is.

한국공개특허 제10-2020-0075912호Korean Patent Publication No. 10-2020-0075912

상기와 같은 종래 기술의 문제점을 해결하기 위해, 본 발명의 일 실시예는 설명 가능한 인공지능을 적용하여 네트워크 신호에 대한 침입 탐지 시스템의 분석 결과를 검증하여 공격 신호를 확인할 수 있는 인공지능 기반 침입 탐지 시스템 및 방법을 제공하고자 한다.In order to solve the problems of the prior art as described above, an embodiment of the present invention applies explainable artificial intelligence to verify the analysis results of the intrusion detection system for network signals and confirms the attack signal. We would like to provide a system and method.

위와 같은 과제를 해결하기 위한 본 발명의 일 측면에 따르면, 기 설정된 기계학습 알고리즘을 이용하여 특정 네트워크를 모니터링하며 상기 네트워크로부터 네트워크 신호를 획득하고, 획득한 상기 네트워크 신호를 분석하여 침입 탐지를 수행하고 침입 탐지 결과를 출력하는 침입 탐지 시스템에 대해 추가 보안을 수행하는 인공지능 기반 침입 탐지 시스템이 제공된다. 상기 인공지능 기반 침입 탐지 시스템은, 상기 침입 탐지 시스템의 동작 원리를 탐색하고, 탐색 결과를 설명 가능한 인공지능(XAI)을 이용하여 분석한 결과인 특징 집합을 획득하는 동작 원리 분석부; 및 상기 침입 탐지 시스템으로부터 상기 네트워크 신호에 대한 상기 침입 탐지 결과를 획득하고, 상기 침입 탐지 결과에 대한 상기 특징 집합을 이용한 검증 분류를 수행하여 검증 분류 결과를 출력하며, 상기 침입 탐지 결과 또는 상기 검증 분류 결과 상기 네트워크 신호가 침입 신호인 경우 침입 탐지 경고를 출력하는 네트워크 침입 신호 처리부;를 포함한다.According to one aspect of the present invention to solve the above problem, monitor a specific network using a preset machine learning algorithm, obtain a network signal from the network, and perform intrusion detection by analyzing the obtained network signal. An artificial intelligence-based intrusion detection system that performs additional security for the intrusion detection system that outputs intrusion detection results is provided. The artificial intelligence-based intrusion detection system includes an operation principle analysis unit that searches for the operating principle of the intrusion detection system and obtains a feature set that is the result of analyzing the search results using explainable artificial intelligence (XAI); and obtain the intrusion detection result for the network signal from the intrusion detection system, perform verification classification using the feature set on the intrusion detection result, and output a verification classification result, and the intrusion detection result or the verification classification. and a network intrusion signal processing unit that outputs an intrusion detection warning when the resulting network signal is an intrusion signal.

상기 동작 원리 분석부는, 학습용 데이터 셋을 획득하고, 데이터 셋을 상기 기 설정된 기계학습 알고리즘으로 학습하여 학습 결과를 획득하는 데이터 학습 모듈; 및 상기 설명 가능한 인공지능을 이용하여 상기 학습 결과를 분석하고, 분석 결과인 상기 특징 집합을 획득하는 특징 집합 획득 모듈;을 포함할 수 있다.The operation principle analysis unit includes a data learning module that acquires a learning data set and learns the data set using the preset machine learning algorithm to obtain a learning result; and a feature set acquisition module that analyzes the learning result using the explainable artificial intelligence and obtains the feature set that is a result of the analysis.

상기 기 설정된 기계학습 알고리즘은 SVM(Support Vector Machine) 알고리즘이며, 상기 설명 가능한 인공 지능 알고리즘은 라임(Local Interpretable Model-agnostic Explanations, LIME) 알고리즘일 수 있다.The preset machine learning algorithm may be a Support Vector Machine (SVM) algorithm, and the explainable artificial intelligence algorithm may be a Local Interpretable Model-agnostic Explanations (LIME) algorithm.

상기 네트워크 침입 신호 처리부는, 상기 침입 탐지 결과를 획득하고, 상기 침입 탐지 결과 상기 네트워크 신호가 정상 신호인 경우 상기 정상 신호에 대해 상기 설명 가능한 인공지능을 이용하여 분석을 수행하여 정상 신호 분석 결과를 생성하는 정상 신호 분석 모듈; 상기 특징 집합을 획득하고, 획득한 상기 특징 집합을 기준으로 상기 정상 신호 분석 결과가 상기 정상 신호인지 상기 침입 신호인지 최종 판단하는 상기 검증 분류를 수행하고 그 결과인 검증 분류 결과를 출력하는 정상 신호 최종 판단 모듈; 및 상기 침입 탐지 결과 또는 상기 검증 분류 결과, 상기 네트워크 신호가 상기 침입 신호로 판단되는 경우, 상기 침입 탐지 경고를 출력하는 침입 탐지 경고 출력 모듈;을 포함할 수 있다.The network intrusion signal processing unit obtains the intrusion detection result, and, if the network signal is a normal signal as a result of the intrusion detection, performs analysis on the normal signal using the explainable artificial intelligence to generate a normal signal analysis result. a normal signal analysis module; Obtaining the feature set, performing the verification classification to finally determine whether the normal signal analysis result is the normal signal or the intrusion signal based on the acquired feature set, and outputting the resulting verification classification result. judgment module; and an intrusion detection warning output module that outputs the intrusion detection warning when the network signal is determined to be the intrusion signal according to the intrusion detection result or the verification classification result.

상기 설명 가능한 인공 지능 알고리즘은 일 예로 라임(Local Interpretable Model-agnostic Explanations, LIME) 알고리즘일 수 있다.For example, the explainable artificial intelligence algorithm may be the Local Interpretable Model-agnostic Explanations (LIME) algorithm.

상기 검증 분류는, 상기 정상 신호 분석 결과의 주요 기준이 상기 특징 집합에 포함되는지 검증하여 분류할 수 있다.The verification classification can be performed by verifying whether the main criteria of the normal signal analysis result are included in the feature set.

본 발명의 일 측면에 따르면, 기 설정된 기계학습 알고리즘을 이용하여 특정 네트워크를 모니터링하며 상기 네트워크로부터 네트워크 신호를 획득하고, 획득한 상기 네트워크 신호를 분석하여 침입 탐지를 수행하고 침입 탐지 결과를 출력하는 침입 탐지 시스템에 대해 추가 보안을 수행하는 인공지능 기반 침입 탐지 방법이 제공된다.According to one aspect of the present invention, an intrusion that monitors a specific network using a preset machine learning algorithm, obtains a network signal from the network, performs intrusion detection by analyzing the obtained network signal, and outputs the intrusion detection result. An artificial intelligence-based intrusion detection method is provided that performs additional security over the detection system.

상기 인공지능 기반 침입 탐지 방법은, 동작 원리 분석부를 이용하여 상기 침입 탐지 시스템의 동작 원리를 탐색하고, 탐색 결과를 설명 가능한 인공지능(XAI)을 이용하여 분석한 결과인 특징 집합을 획득하는 단계; 및 네트워크 침입 신호 처리부를 이용하여 상기 침입 탐지 시스템으로부터 상기 네트워크 신호에 대한 상기 침입 탐지 결과를 획득하고, 상기 침입 탐지 결과에 대한 상기 특징 집합을 이용한 검증 분류를 수행하여 검증 분류 결과를 출력하며, 상기 침입 탐지 결과 또는 상기 검증 분류 결과 상기 네트워크 신호가 침입 신호인 경우 침입 탐지 경고를 출력하는 단계;를 포함한다.The artificial intelligence-based intrusion detection method includes the steps of searching for the operating principle of the intrusion detection system using an operating principle analysis unit and obtaining a feature set that is the result of analyzing the search results using explainable artificial intelligence (XAI); and obtains the intrusion detection result for the network signal from the intrusion detection system using a network intrusion signal processing unit, performs verification classification using the feature set for the intrusion detection result, and outputs the verification classification result, and outputting an intrusion detection warning if the network signal is an intrusion signal as a result of the intrusion detection or verification classification.

상기 특징 집합을 획득하는 단계는, 학습용 데이터 셋을 획득하고, 데이터 셋을 상기 기 설정된 기계학습 알고리즘으로 학습하여 학습 결과를 획득하는 단계; 및 상기 설명 가능한 인공지능을 이용하여 상기 학습 결과를 분석하고, 분석 결과인 상기 특징 집합을 획득하는 단계;를 포함할 수 있다.Obtaining the feature set includes acquiring a learning data set and learning the data set using the preset machine learning algorithm to obtain a learning result; and analyzing the learning results using the explainable artificial intelligence and obtaining the feature set that is a result of the analysis.

상기 기 설정된 기계학습 알고리즘은 SVM(Support Vector Machine) 알고리즘이며, 상기 설명 가능한 인공 지능 알고리즘은 라임(Local Interpretable Model-agnostic Explanations, LIME) 알고리즘일 수 있다.The preset machine learning algorithm may be a Support Vector Machine (SVM) algorithm, and the explainable artificial intelligence algorithm may be a Local Interpretable Model-agnostic Explanations (LIME) algorithm.

상기 침입 탐지 경고를 출력하는 단계는, 상기 침입 탐지 결과를 획득하고, 상기 침입 탐지 결과 상기 네트워크 신호가 정상 신호인 경우 상기 정상 신호에 대해 상기 설명 가능한 인공지능을 이용하여 분석을 수행하여 정상 신호 분석 결과를 생성하는 단계; 상기 특징 집합을 획득하고, 획득한 상기 특징 집합을 기준으로 상기 정상 신호 분석 결과가 상기 정상 신호인지 상기 침입 신호인지 최종 판단하는 상기 검증 분류를 수행하고 그 결과인 검증 분류 결과를 출력하는 단계; 및 상기 침입 탐지 결과 또는 상기 검증 분류 결과, 상기 네트워크 신호가 상기 침입 신호로 판단되는 경우, 상기 침입 탐지 경고를 출력하는 단계;를 포함할 수 있다.The step of outputting the intrusion detection warning includes obtaining the intrusion detection result, and if the network signal is a normal signal as a result of the intrusion detection, analyzing the normal signal using the explainable artificial intelligence to analyze the normal signal. generating results; Obtaining the feature set, performing the verification classification to finally determine whether the normal signal analysis result is the normal signal or the intrusion signal based on the acquired feature set, and outputting the resulting verification classification result; and outputting the intrusion detection warning when the intrusion detection result or the verification classification result determines that the network signal is the intrusion signal.

상기 설명 가능한 인공 지능 알고리즘은 일 예로 라임(Local Interpretable Model-agnostic Explanations, LIME) 알고리즘일 수 있다.For example, the explainable artificial intelligence algorithm may be the Local Interpretable Model-agnostic Explanations (LIME) algorithm.

상기 검증 분류는, 상기 정상 신호 분석 결과의 주요 기준이 상기 특징 집합에 포함되는지 검증하여 분류할 수 있다.The verification classification can be performed by verifying whether the main criteria of the normal signal analysis result are included in the feature set.

본 발명의 일 실시예에 따른 인공지능 기반 침입 탐지 시스템 및 방법은,기존의 패턴 인식 기반과 같이 룰-기준(Rule-based)으로 동작하는 침입 탐지 시스템보다 높은 정확도를 가지는 효과가 있다.The artificial intelligence-based intrusion detection system and method according to an embodiment of the present invention has the effect of having higher accuracy than an intrusion detection system that operates on a rule-based basis, such as existing pattern recognition-based systems.

또, 본 발명의 일 실시예에 따른 인공지능 기반 침입 탐지 시스템 및 방법은, 인공지능 자체에 대한 공격인 적대적 공격에 대한 대응을 수행함으로써 탐지 결과에 대한 신뢰성을 향상 시킬 수 있는 효과가 있다.In addition, the artificial intelligence-based intrusion detection system and method according to an embodiment of the present invention has the effect of improving the reliability of detection results by responding to hostile attacks, which are attacks against artificial intelligence itself.

도 1은 본 발명의 실시예에 따른 인공지능 기반 침입 탐지 시스템의 구성을 간단히 나타낸 도이다.
도 2는 도 1의 동작 원리 분석부에 대한 블록도이다.
도 3은 도 1의 네트워크 침입 신호 처리부에 대한 블록도이다.
도 4는 본 발명의 실시예에 따른 인공지능 기반 침입 탐지 방법을 나타낸 순서도이다.
도 5는 도 4의 단계 S11에 대한 순서도이다.
도 6은 도 4의 단계 S13에 대한 순서도이다.
도 7a는 본 발명에 대한 모의실험에서 구현된 SVM 분류기의 동작 과정을 나타낸 도이다.
도 7b는 본 발명에 대한 모의실험에서 사용된 특징 집합 S 추출 과정을 나타낸 도이다.
도 8은 본 발명의 모의실험 결과 획득한 특징 집합을 나타낸 도이다.
도 9는 본 발명의 모의실험에서 적대적 공격을 탐지하는 과정을 나타낸 도이다.Figure 1 is a diagram briefly illustrating the configuration of an artificial intelligence-based intrusion detection system according to an embodiment of the present invention.
Figure 2 is a block diagram of the operating principle analysis unit of Figure 1.
FIG. 3 is a block diagram of the network intrusion signal processing unit of FIG. 1.
Figure 4 is a flowchart showing an artificial intelligence-based intrusion detection method according to an embodiment of the present invention.
Figure 5 is a flow chart for step S11 of Figure 4.
Figure 6 is a flow chart for step S13 of Figure 4.
Figure 7a is a diagram showing the operation process of the SVM classifier implemented in the simulation experiment for the present invention.
Figure 7b is a diagram showing the feature set S extraction process used in the simulation experiment for the present invention.
Figure 8 is a diagram showing a set of features obtained as a result of a simulation experiment of the present invention.
Figure 9 is a diagram showing the process of detecting a hostile attack in a simulation of the present invention.

이하, 첨부한 도면을 참고로 하여 본 발명의 실시예에 대하여 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다. 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시예에 한정되지 않는다. 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 동일 또는 유사한 구성요소에 대해서는 동일한 참조부호를 붙였다.Hereinafter, with reference to the attached drawings, embodiments of the present invention will be described in detail so that those skilled in the art can easily implement the present invention. The present invention may be implemented in many different forms and is not limited to the embodiments described herein. In order to clearly explain the present invention in the drawings, parts not related to the description are omitted, and identical or similar components are given the same reference numerals throughout the specification.

이하에서는 설명의 편의상 "인공지능 학습을 무력화 하기 위해 고의적으로 제공하는 일부 변형한 학습 데이터"에 대하여 "침입 신호"로 정의하였으며, "침입 신호"를 입력하는 공격을 "적대적 공격"으로 정의하였다.Below, for convenience of explanation, “some modified learning data intentionally provided to neutralize artificial intelligence learning” is defined as an “intrusion signal,” and an attack that inputs an “intrusion signal” is defined as a “hostile attack.”

도 1은 본 발명의 실시예에 따른 인공지능 기반 침입 탐지 시스템의 구성을 간단히 나타낸 도이고, 도 2는 도 1의 동작 원리 분석부에 대한 블록도이며, 도 3은 도 1의 네트워크 침입 신호 처리부에 대한 블록도이다. 이하에서는 도 1 내지 도 3을 이용하여 본 발명의 일 실시예에 따른 인공지능 기반 침입 탐지 시스템에 대해 상세히 설명하도록 한다.Figure 1 is a diagram briefly showing the configuration of an artificial intelligence-based intrusion detection system according to an embodiment of the present invention, Figure 2 is a block diagram of the operating principle analysis unit of Figure 1, and Figure 3 is a network intrusion signal processing unit of Figure 1. This is a block diagram for: Hereinafter, an artificial intelligence-based intrusion detection system according to an embodiment of the present invention will be described in detail using FIGS. 1 to 3.

도 1을 살펴보면, 종래의 침입 탐지 시스템(2)은 침입 탐지를 위한 네트워크(3)와 연결되어 네트워크 신호를 획득하도록 형성된다. 침입 탐지 시스템(2)은 네트워크 신호를 획득한 후 분석하여 해당 네트워크 신호가 침입 신호인지 정상 신호인지 판단한다. 네트워크 신호 판단 결과, 해당 네트워크 신호가 침입 신호인 경우 침입 탐지 시스템(2)은 침입 경보를 출력하여 외부 관리자에게 현재 네트워크에 대한 공격이 수행되고 있다는 정보를 제공할 수 있다.Referring to Figure 1, a conventional intrusion detection system 2 is connected to a network 3 for intrusion detection and is formed to obtain a network signal. The intrusion detection system 2 acquires and analyzes the network signal to determine whether the network signal is an intrusion signal or a normal signal. As a result of network signal determination, if the network signal is an intrusion signal, the intrusion detection system 2 may output an intrusion alarm and provide information to an external administrator that an attack on the network is currently being performed.

이러한 침입 탐지 시스템(2)은 기 설정된 기계학습 알고리즘을 통해 네트워크 신호를 학습하고, 학습 결과를 이용하여 침입 신호와 정상 신호를 구분할 수 있다. 하지만, 상술한 바와 같이 최근 들어 인공지능 자체에 대한 공격을 수행하여 학습 결과에 대한 신뢰도를 감소시키는 공격이 발생하고 있다.This intrusion detection system 2 can learn network signals through a preset machine learning algorithm and distinguish between intrusion signals and normal signals using the learning results. However, as mentioned above, recently, there have been attacks that reduce the reliability of learning results by carrying out attacks on artificial intelligence itself.

이를 방지하기 위해 본 발명의 일 실시예에 따른 인공지능 기반 침입 탐지 시스템(1)은 기 설정된 기계학습 알고리즘을 이용하여 특정 네트워크(3)를 모니터링 하며 네트워크(3)로부터 네트워크 신호를 획득하고, 네트워크 신호를 분석하여 침입 탐지를 수행하며 침입 탐지 결과를 출력하는 침입 탐지 시스템(2)에 대한 추가 보안을 수행할 수 있도록 형성된다. 본 발명의 인공지능 기반 침입 탐지 시스템(1)은 이를 위해 도 1에 도시된 바와 같이 동작 원리 분석부(11) 및 네트워크 침입 신호 처리부(13)를 포함할 수 있다.To prevent this, the artificial intelligence-based intrusion detection system 1 according to an embodiment of the present invention monitors a specific network 3 using a preset machine learning algorithm, obtains a network signal from the network 3, and obtains a network signal from the network 3. It is configured to perform additional security for the intrusion detection system (2), which analyzes signals, performs intrusion detection, and outputs intrusion detection results. For this purpose, the artificial intelligence-based intrusion detection system 1 of the present invention may include an operation principle analysis unit 11 and a network intrusion signal processing unit 13, as shown in FIG. 1.

동작 원리 분석부(11)는 침입 탐지 시스템(2)의 동작 원리를 탐색하고, 탐색 결과를 설명 가능한 인공지능(XAI)을 이용하여 분석한 결과인 특징 집합을 획득하기 위해 형성된다. 동작 원리 분석부(11)는 이를 위해 도 2에 도시된 바와 같이 데이터 학습 모듈(111) 및 특징 집합 획득 모듈(113)을 포함할 수 있다.The operating principle analysis unit 11 is formed to search the operating principle of the intrusion detection system 2 and obtain a feature set that is the result of analyzing the search results using explainable artificial intelligence (XAI). For this purpose, the operating principle analysis unit 11 may include a data learning module 111 and a feature set acquisition module 113, as shown in FIG. 2 .

데이터 학습 모듈(111)은 학습용 데이터 셋을 획득하고, 학습용 데이터 셋을 기 설정된 기계학습 알고리즘으로 학습하여 학습 결과를 획득할 수 있따. 여기서, 기 설정된 기계학습 알고리즘은 상술한 침입 탐지 시스템(2)에서 사용하는 기계학습 알고리즘일 수 있다.The data learning module 111 can obtain a learning data set and obtain learning results by learning the learning data set using a preset machine learning algorithm. Here, the preset machine learning algorithm may be a machine learning algorithm used in the intrusion detection system 2 described above.

데이터 학습 모듈(111)은 동작 원리 분석부(11)에서 침입 탐지 시스템(2)의 동작 원리를 탐색하기 위해 데이터를 학습하는 구성이다. 검증하고자 하는 침입 탐지 시스템(2)과 동일한 기계학습 알고리즘을 사용하여 학습용 데이터 셋을 학습하여야 동일한 결과를 획득할 수 있기 때문에 데이터 학습 모듈(111)은 침입 탐지 시스템(2)과 동일한 기 설정된 기계학습 알고리즘을 사용할 수 있다.The data learning module 111 is a component that learns data from the operating principle analysis unit 11 to explore the operating principle of the intrusion detection system 2. Since the same results can be obtained only by learning the learning data set using the same machine learning algorithm as the intrusion detection system (2) to be verified, the data learning module 111 uses the same preset machine learning method as the intrusion detection system (2). Algorithms can be used.

특징 집합 획득 모듈(113)은 설명 가능한 인공지능을 이용하여 학습 결과를 분석하고, 분석 결과인 특징 집합을 획득할 수 있다. 설명 가능한 인공지능은 구체적으로 인공지능의 판단이 어떤 매커니즘으로 도출되었는지 확인이 불가능하다는 문제점을 극복하기 위한 인공지능 기술이다. 딥 러닝의 경우 복잡한 계층을 거치면서 특정 결과를 도출하게 된다. 딥 러닝 사용자들은 이러한 복잡한 계층을 통과하면서 어떤 매커니즘을 가지는지 판단하기 어렵기 때문에 기계학습 결과를 분석하는 과정에서 해당 결과를 이해하기 어렵다는 문제점이 존재한다. 이러한 문제점을 해결하기 위해 설명 가능한 인공지능 기술이 대두되고 있으며, 설명 가능한 인공지능 기술은 각 알고리즘 별로 서로 다른 장단점을 가지고 있으나 공통적으로는 사용자가 매커니즘을 개략적으로나마 이해할 수 있는 특정 결과물을 출력한다는 특징을 가진다.The feature set acquisition module 113 can analyze learning results using explainable artificial intelligence and obtain a feature set that is the result of the analysis. Explainable artificial intelligence is an artificial intelligence technology that aims to overcome the problem of being unable to confirm specifically by what mechanism artificial intelligence judgments were derived. In the case of deep learning, specific results are derived by going through complex layers. Because it is difficult for deep learning users to determine what mechanisms exist while passing through these complex layers, there is a problem in that it is difficult to understand the results in the process of analyzing machine learning results. To solve these problems, explainable artificial intelligence technology is emerging. Explainable artificial intelligence technology has different strengths and weaknesses for each algorithm, but has the common feature of outputting specific results that allow users to roughly understand the mechanism. have

즉, 본 발명에서 특징 집합 획득 모듈(113)은 학습용 데이터 셋에 기 설정된 기계학습 알고리즘을 적용하여 학습한 결과인 학습 결과에 대해 설명 가능한 인공지능을 적용하여 학습 결과를 도출하게 된 매커니즘과 관련된 특정 결과물을 획득할 수 있다. 여기서 특징 집합 획득 모듈(113)에서 획득하는 특정 결과물은, 특징 집합으로 표현될 수 있으며 이는 기 설정된 기계학습 알고리즘에서 학습 결과물을 도출하기 위한 특징들을 유추한 결과물일 수 있다.That is, in the present invention, the feature set acquisition module 113 is a specific mechanism related to the mechanism by which the learning result is derived by applying explainable artificial intelligence to the learning result, which is the result of learning by applying a preset machine learning algorithm to the learning data set. Results can be obtained. Here, a specific result obtained from the feature set acquisition module 113 may be expressed as a feature set, which may be a result of inferring features for deriving a learning result from a preset machine learning algorithm.

본 발명의 일 실시예에서는 침입 탐지 시스템(2)에서 사용하는 기 설정된 알고리즘은 SVM(Support Vector Machine) 알고리즘으로 설정하고, 특징 집합 획득 모듈(113)에서 사용하는 설명 가능한 인공지능 알고리즘(XAI)은 라임(Local Interpretable Model-agnostic Explanations, LIME) 알고리즘으로 설정하였지만, 본 발명은 반드시 이에 한정되는 것은 아니다.In one embodiment of the present invention, the preset algorithm used in the intrusion detection system 2 is set to the SVM (Support Vector Machine) algorithm, and the explainable artificial intelligence algorithm (XAI) used in the feature set acquisition module 113 is set to the SVM (Support Vector Machine) algorithm. Although it is set to the Local Interpretable Model-agnostic Explanations (LIME) algorithm, the present invention is not necessarily limited to this.

본 발명의 일 실시예에 따른 동작 원리 분석부(11)를 이용하여 특징 집합을 획득하면, 네트워크 침입 신호 처리부(13)는 특징 집합을 획득하여 침입 탐지 경고를 출력하도록 형성된다. 네트워크 침입 신호 처리부(13)는 침입 탐지 시스템(2)으로부터 네트워크 신호에 대한 침입 탐지 결과를 획득하고, 획득한 침입 탐지 결과에 대해 상술한 특징 집합을 이용하여 검증 분류를 수행하여 검증 분류 결과를 출력한다. 네트워크 침입 신호 처리부(13)는 침입 탐지 결과 또는 검증 분류 결과, 네트워크 신호가 침입 신호인 경우 침입 탐지 경고를 출력할 수 있다. 이를 위해 본 발명의 네트워크 침입 신호 처리부(13)는 도 3에 도시된 바와 같이 정상 신호 분석 모듈(131), 정상 신호 최종 판단 모듈(133) 및 침입 탐지 경고 출력 모듈(135)을 포함할 수 있다.When a feature set is acquired using the operating principle analysis unit 11 according to an embodiment of the present invention, the network intrusion signal processing unit 13 is configured to acquire the feature set and output an intrusion detection warning. The network intrusion signal processing unit 13 obtains the intrusion detection result for the network signal from the intrusion detection system 2, performs verification classification on the obtained intrusion detection result using the above-described feature set, and outputs the verification classification result. do. The network intrusion signal processing unit 13 may output an intrusion detection warning if the network signal is an intrusion signal as a result of intrusion detection or verification classification. To this end, the network intrusion signal processing unit 13 of the present invention may include a normal signal analysis module 131, a normal signal final judgment module 133, and an intrusion detection warning output module 135, as shown in FIG. 3. .

정상 신호 분석 모듈(131)은 침입 탐지 시스템(2)으로부터 특정 네트워크 신호에 대한 공격 여부 판단 결과인 침입 탐지 결과를 획득할 수 있다. 본 발명에서는 해당 네트워크 신호가 정상인 경우와 공격인 경우로 나뉘어 각각 정상 신호 및 침입 신호로 표현되며, 침입 탐지 결과는 정상 신호 또는 침입 신호를 포함할 수 있다.The normal signal analysis module 131 may obtain an intrusion detection result, which is a result of determining whether a specific network signal is attacked, from the intrusion detection system 2. In the present invention, the corresponding network signal is divided into a normal signal and an attack case and expressed as a normal signal and an intrusion signal, respectively, and the intrusion detection result may include a normal signal or an intrusion signal.

정상 신호 분석 모듈(131)은 침입 탐지 결과를 획득하면, 침입 탐지 결과가 포함하는 신호가 정상 신호인지 침입 신호인지 확인한다. 침입 신호인 경우, 정상 신호 분석 모듈(131)은 해당 신호를 후술되는 침입 탐지 경고 출력 모듈(135)로 전달하여 공격받는 상황을 알리도록 할 수 있다. 정상 신호인 경우, 정상 신호 분석 모듈(131)은 해당 정상 신호를 설명 가능한 인공지능을 이용하여 분석한 정상 신호 분석 결과를 생성할 수 있다.When the normal signal analysis module 131 obtains the intrusion detection result, it checks whether the signal included in the intrusion detection result is a normal signal or an intrusion signal. In the case of an intrusion signal, the normal signal analysis module 131 can transmit the signal to the intrusion detection warning output module 135, which will be described later, to notify the user of an attack situation. In the case of a normal signal, the normal signal analysis module 131 may generate a normal signal analysis result by analyzing the normal signal using artificial intelligence that can explain the normal signal.

설명 가능한 인공지능에 정상 신호를 대입하면 정상 신호 분석 결과가 생성된다. 여기서 정상 신호 분석 결과는 획득한 정상 신호에 대한 주요 특징 정보를 포함할 수 있으며, 본 발명에서는 상술한 바와 같이 설명 가능한 인공지능 알고리즘(XAI)은 라임(Local Interpretable Model-agnostic Explanations, LIME) 알고리즘으로 설정하였다.By substituting a normal signal into explainable artificial intelligence, a normal signal analysis result is generated. Here, the normal signal analysis result may include key characteristic information about the obtained normal signal, and in the present invention, as described above, the explainable artificial intelligence algorithm (XAI) is the Local Interpretable Model-agnostic Explanations (LIME) algorithm. set.

정상 신호 최종 판단 모듈(133)은 특징 집합을 획득하고, 정상 신호 분석 결과와 비교하여 검증 분류를 수행한다. 본 발명에서 특징 집합은 상술한 바와 같이 동작 원리 분석부(11)를 통해 획득된다. 동작 정상 신호 최종 판단 모듈(133)은 동작 원리 분석부(11)로부터 특징 집합을 획득하고, 정상 신호 분석 모듈(131)로부터 정상 신호 분석 결과를 획득하면, 두 정보를 비교하여 검증 분류를 수행할 수 있다.The normal signal final determination module 133 acquires a feature set and performs verification classification by comparing it with the normal signal analysis result. In the present invention, the feature set is obtained through the operation principle analysis unit 11 as described above. When the operation normal signal final judgment module 133 obtains a feature set from the operation principle analysis unit 11 and the normal signal analysis result from the normal signal analysis module 131, it compares the two information and performs verification classification. You can.

정상 신호 최종 판단 모듈(133)은 정상 신호가 정상 신호를 가장한 침입 신호인지, 실제 정상 신호인지 판단하기 위해 검증 분류를 수행한다. 여기서 검증 분류는 정상 신호 분석 결과에 포함된 주요 기준인 주요 특징 정보가 동작 원리 분석부(11)에서 획득된 특징 집합에 포함되는지 검증하여 분류하는 과정을 의미한다. The normal signal final judgment module 133 performs verification classification to determine whether the normal signal is an intrusion signal disguised as a normal signal or an actual normal signal. Here, verification classification refers to the process of classifying the main characteristic information, which is the main criterion included in the normal signal analysis result, by verifying whether it is included in the feature set obtained by the operation principle analysis unit 11.

상술한 바와 같이 동작 원리 분석부(11)는 외부의 공격 없이 학습 데이터를 기 설정된 기계학습 알고리즘을 이용하여 학습한 결과로부터 특징 집합을 도출해 냈다. 즉, 동작 원리 분석부(11)에서 도출해 낸 특징 집합은 외부 공격 없이 기 설정된 기계학습 알고리즘을 통한 학습 결과의 특징들을 모아놓은 집합이며, 외부 공격이 존재한다면, 특징 집합에 포함되지 않는 정보가 존재할 수 있다.As described above, the operation principle analysis unit 11 derived a feature set from the results of learning the training data using a preset machine learning algorithm without external attack. In other words, the feature set derived from the operation principle analysis unit 11 is a collection of features of learning results through a preset machine learning algorithm without external attack, and if an external attack exists, information not included in the feature set may exist. You can.

따라서, 정상 신호 최종 판단 모듈(133)은 검증 분류를 수행하여 정상 신호에서 획득된 주요 특징 정보가 특징 집합에 포함되는 지 확인하고, 그 결과인 검증 분류 결과를 출력하도록 형성된다. 여기서 특징 집합에 주요 특징 정보가 모두 포함되는 경우 정상 신호가 검증 분류 결과에 포함될 수 있고, 특징 집합에 주요 특징 정보 중 적어도 하나가 포함되지 않는 경우 침입 신호가 검증 분류 결과에 포함될 수 있다.Accordingly, the normal signal final judgment module 133 is configured to perform verification classification to check whether main feature information obtained from the normal signal is included in the feature set and to output the resulting verification classification result. Here, if the feature set includes all key feature information, a normal signal may be included in the verification classification result, and if the feature set does not include at least one of the key feature information, an intrusion signal may be included in the verification classification result.

침입 탐지 경고 출력 모듈(135)은 침입 신호를 획득하면, 침입 탐지 경고를 출력하도록 형성된다. 침입 탐지 경고 출력 모듈(135)은 침입 탐지 경고를 기 설정된 사용자 단말기, 소음, 디스플레이 등 다양한 방식으로 출력하여 현재 네트워크에 침입 또는 공격이 이루어지고 있다는 정보를 외부 사용자에게 전달할 수 있다.The intrusion detection warning output module 135 is configured to output an intrusion detection warning when an intrusion signal is obtained. The intrusion detection warning output module 135 outputs an intrusion detection warning in various ways, such as to a preset user terminal, noise, or display, and can deliver information that an intrusion or attack is currently occurring in the network to an external user.

침입 탐지 경고 출력 모듈(135)은 이를 위해 침입 신호를 획득하며, 획득하는 침입 신호는 침입 탐지 시스템(2)에서 획득한 침입 탐지 결과의 침입 신호이거나, 정상 신호 최종 판단 모듈(133)에서 획득한 검증 분류 결과의 침입 신호 일 수 있다.The intrusion detection warning output module 135 acquires an intrusion signal for this purpose, and the acquired intrusion signal is an intrusion signal of the intrusion detection result obtained from the intrusion detection system 2, or the intrusion signal obtained from the normal signal final judgment module 133. This may be a sign of intrusion into the verification classification results.

한편, 도 4 내지 도 6에는 본 발명의 실시예에 따른 인공지능 기반 침입 탐지 방법이 나타나고있다. 도 4는 본 발명의 실시예에 따른 인공지능 기반 침입 탐지 방법을 나타낸 순서도이고, 도 5는 도 4의 단계 S11에 대한 순서도이며, 도 6은 도 4의 단계 S13에 대한 순서도이다. 이하에서는 설명의 편의상 상술한 도 1 내지 도 3의 인공지능 기반 침입 탐지 시스템에서 본 발명이 수행되는 것으로 작성하였지만, 본 발명은 반드시 이에 한정되지는 않으며 침입 탐지 시스템으로부터 정보를 전달 받아 분석이 가능한 다양한 장치, 단말기 및 시스템에서 수행 가능함이 자명하다.Meanwhile, Figures 4 to 6 show an artificial intelligence-based intrusion detection method according to an embodiment of the present invention. FIG. 4 is a flowchart showing an artificial intelligence-based intrusion detection method according to an embodiment of the present invention, FIG. 5 is a flowchart for step S11 in FIG. 4, and FIG. 6 is a flowchart for step S13 in FIG. 4. Hereinafter, for convenience of explanation, the present invention is written as being performed in the artificial intelligence-based intrusion detection system of FIGS. 1 to 3, but the present invention is not necessarily limited thereto and can be used in various ways that can receive and analyze information from the intrusion detection system. It is obvious that it can be performed in devices, terminals, and systems.

종래의 침입 탐지 시스템은 침입 탐지를 위한 네트워크와 연결되어 네트워크 신호를 획득하도록 형성된다. 침입 탐지 시스템은 네트워크 신호를 획득한 후 분석하여 해당 네트워크 신호가 침입 신호인지 정상 신호인지 판단한다. 네트워크 신호 판단 결과, 해당 네트워크 신호가 침입 신호인 경우 침입 탐지 시스템은 침입 경보를 출력하여 외부 관리자에게 현재 네트워크에 대한 공격이 수행되고 있다는 정보를 제공할 수 있다.A conventional intrusion detection system is configured to acquire a network signal by connecting to a network for intrusion detection. The intrusion detection system acquires and analyzes network signals to determine whether the network signal is an intrusion signal or a normal signal. As a result of determining the network signal, if the network signal is an intrusion signal, the intrusion detection system can output an intrusion alarm and provide information to an external administrator that an attack is currently being performed on the network.

이러한 침입 탐지 시스템은 기 설정된 기계학습 알고리즘을 통해 네트워크 신호를 학습하고, 학습 결과를 이용하여 침입 신호와 정상 신호를 구분할 수 있다. 하지만, 상술한 바와 같이 최근 들어 인공지능 자체에 대한 공격을 수행하여 학습 결과에 대한 신뢰도를 감소시키는 공격이 발생하고 있다.This intrusion detection system learns network signals through a preset machine learning algorithm and can distinguish between intrusion signals and normal signals using the learning results. However, as mentioned above, recently, there have been attacks that reduce the reliability of learning results by carrying out attacks on artificial intelligence itself.

이를 방지하기 위해 본 발명의 일 실시예에 따른 인공지능 기반 침입 탐지 방법(10)은 기 설정된 기계학습 알고리즘을 이용하여 특정 네트워크를 모니터링 하며 네트워크로부터 네트워크 신호를 획득하고, 네트워크 신호를 분석하여 침입 탐지를 수행하며 침입 탐지 결과를 출력하는 침입 탐지 시스템에 대한 추가 보안을 수행할 수 있도록 형성된다. 본 발명의 인공지능 기반 침입 탐지 방법(10)은 이를 위해 도 4에 도시된 바와 같이 특징 집합을 획득하는 단계(S11) 및 침입 탐지 경고를 출력하는 단계(S13)를 포함할 수 있다.To prevent this, the artificial intelligence-based intrusion detection method 10 according to an embodiment of the present invention monitors a specific network using a preset machine learning algorithm, obtains a network signal from the network, and analyzes the network signal to detect the intrusion. It is formed to perform additional security for the intrusion detection system that performs and outputs intrusion detection results. The artificial intelligence-based intrusion detection method 10 of the present invention may include the step of acquiring a feature set (S11) and outputting an intrusion detection warning (S13), as shown in FIG. 4.

특징 집합을 획득하는 단계(S11)는 동작 원리 분석부를 이용하여 침입 탐지 시스템의 동작 원리를 탐색하고, 탐색 결과를 설명 가능한 인공지능(XAI)을 이용하여 분석한 결과인 특징 집합을 획득하기 위해 형성된다. 특징 집합을 획득하는 단계(S11)는 이를 위해 도 5에 도시된 바와 같이 학습 결과를 획득하는 단계(S111) 및 분석 결과인 특징 집합을 획득하는 단계(S113)를 포함할 수 있다.The step of acquiring a feature set (S11) is to explore the operating principle of the intrusion detection system using the operating principle analysis unit and obtain a feature set that is the result of analyzing the search results using explainable artificial intelligence (XAI). do. The step of acquiring a feature set (S11) may include a step of acquiring a learning result (S111) and a step of acquiring a feature set that is an analysis result (S113), as shown in FIG. 5.

학습 결과를 획득하는 단계(S111)는 학습용 데이터 셋을 획득하고, 학습용 데이터 셋을 기 설정된 기계학습 알고리즘으로 학습하여 학습 결과를 획득할 수 있따. 여기서, 기 설정된 기계학습 알고리즘은 상술한 침입 탐지 시스템에서 사용하는 기계학습 알고리즘일 수 있다.In the step of obtaining learning results (S111), a learning data set can be acquired, and the learning results can be obtained by learning the learning data set with a preset machine learning algorithm. Here, the preset machine learning algorithm may be a machine learning algorithm used in the above-described intrusion detection system.

학습 결과를 획득하는 단계(S111)는 특징 집합을 획득하는 단계(S11)에서 침입 탐지 시스템의 동작 원리를 탐색하기 위해 데이터를 학습하는 구성이다. 검증하고자 하는 침입 탐지 시스템과 동일한 기계학습 알고리즘을 사용하여 학습용 데이터 셋을 학습하여야 동일한 결과를 획득할 수 있기 때문에 학습 결과를 획득하는 단계(S111)는 침입 탐지 시스템과 동일한 기 설정된 기계학습 알고리즘을 사용할 수 있다.The step of acquiring learning results (S111) is a configuration of learning data to explore the operating principle of the intrusion detection system in the step of acquiring the feature set (S11). Since the same results can be obtained only by learning the learning data set using the same machine learning algorithm as the intrusion detection system to be verified, the step of obtaining the learning results (S111) uses the same preset machine learning algorithm as the intrusion detection system. You can.

분석 결과인 특징 집합을 획득하는 단계(S113)는 설명 가능한 인공지능을 이용하여 학습 결과를 분석하고, 분석 결과인 특징 집합을 획득할 수 있다. 설명 가능한 인공지능은 구체적으로 인공지능의 판단이 어떤 매커니즘으로 도출되었는지 확인이 불가능하다는 문제점을 극복하기 위한 인공지능 기술이다. 딥 러닝의 경우 복잡한 계층을 거치면서 특정 결과를 도출하게 된다. 딥 러닝 사용자들은 이러한 복잡한 계층을 통과하면서 어떤 매커니즘을 가지는지 판단하기 어렵기 때문에 기계학습 결과를 분석하는 과정에서 해당 결과를 이해하기 어렵다는 문제점이 존재한다. 이러한 문제점을 해결하기 위해 설명 가능한 인공지능 기술이 대두되고 있으며, 설명 가능한 인공지능 기술은 각 알고리즘 별로 서로 다른 장단점을 가지고 있으나 공통적으로는 사용자가 매커니즘을 개략적으로나마 이해할 수 있는 특정 결과물을 출력한다는 특징을 가진다.In the step of acquiring a feature set that is an analysis result (S113), the learning result can be analyzed using explainable artificial intelligence, and a feature set that is an analysis result can be obtained. Explainable artificial intelligence is an artificial intelligence technology that aims to overcome the problem of being unable to confirm specifically by what mechanism artificial intelligence judgments were derived. In the case of deep learning, specific results are derived by going through complex layers. Because it is difficult for deep learning users to determine what mechanisms exist while passing through these complex layers, there is a problem in that it is difficult to understand the results in the process of analyzing machine learning results. To solve these problems, explainable artificial intelligence technology is emerging. Explainable artificial intelligence technology has different strengths and weaknesses for each algorithm, but has the common feature of outputting specific results that allow users to roughly understand the mechanism. have

즉, 본 발명에서 분석 결과인 특징 집합을 획득하는 단계(S113)는 학습용 데이터 셋에 기 설정된 기계학습 알고리즘을 적용하여 학습한 결과인 학습 결과에 대해 설명 가능한 인공지능을 적용하여 학습 결과를 도출하게 된 매커니즘과 관련된 특정 결과물을 획득할 수 있다. 여기서 분석 결과인 특징 집합을 획득하는 단계(S113)에서 획득하는 특정 결과물은, 특징 집합으로 표현될 수 있으며 이는 기 설정된 기계학습 알고리즘에서 학습 결과물을 도출하기 위한 특징들을 유추한 결과물일 수 있다.That is, in the present invention, the step (S113) of acquiring a feature set that is an analysis result is to derive a learning result by applying explainable artificial intelligence to the learning result, which is the result of learning by applying a preset machine learning algorithm to the learning data set. Specific results related to the developed mechanism can be obtained. Here, the specific result obtained in the step of acquiring the feature set that is the analysis result (S113) may be expressed as a feature set, which may be the result of inferring features to derive a learning result from a preset machine learning algorithm.

본 발명의 일 실시예에서는 침입 탐지 시스템에서 사용하는 기 설정된 알고리즘은 SVM(Support Vector Machine) 알고리즘으로 설정하고, 분석 결과인 특징 집합을 획득하는 단계(S113)에서 사용하는 설명 가능한 인공지능 알고리즘(XAI)는 라임(Local Interpretable Model-agnostic Explanations, LIME) 알고리즘으로 설정하였지만, 본 발명은 반드시 이에 한정되는 것은 아니다.In one embodiment of the present invention, the preset algorithm used in the intrusion detection system is set to the SVM (Support Vector Machine) algorithm, and the explainable artificial intelligence algorithm (XAI) used in the step (S113) of acquiring the feature set that is the result of the analysis ) is set to the Local Interpretable Model-agnostic Explanations (LIME) algorithm, but the present invention is not necessarily limited to this.

본 발명의 일 실시예에 따른 특징 집합을 획득하는 단계(S11)를 이용하여 특징 집합을 획득하면, 침입 탐지 경고를 출력하는 단계(S13)는 특징 집합을 획득하여 침입 탐지 경고를 출력하도록 형성된다. 침입 탐지 경고를 출력하는 단계(S13)는 네트워크 침입 신호 처리부를 이용하여 침입 탐지 시스템으로부터 네트워크 신호에 대한 침입 탐지 결과를 획득하고, 획득한 침입 탐지 결과에 대해 상술한 특징 집합을 이용하여 검증 분류를 수행하여 검증 분류 결과를 출력한다. 침입 탐지 경고를 출력하는 단계(S13)는 침입 탐지 결과 또는 검증 분류 결과, 네트워크 신호가 침입 신호인 경우 침입 탐지 경고를 출력할 수 있다. 이를 위해 본 발명의 침입 탐지 경고를 출력하는 단계(S13)는 도 6에 도시된 바와 같이 정상 신호 분석 결과를 생성하는 단계(S131), 검증 분류 결과를 출력하는 단계(S133) 및 침입 탐지 경고를 출력하는 단계(S135)를 포함할 수 있다.If a feature set is acquired using the feature set acquisition step (S11) according to an embodiment of the present invention, the step (S13) of outputting an intrusion detection warning is configured to acquire the feature set and output an intrusion detection warning. . In the step of outputting an intrusion detection warning (S13), the intrusion detection result for the network signal is obtained from the intrusion detection system using the network intrusion signal processing unit, and the obtained intrusion detection result is verified and classified using the above-described feature set. Perform the verification and output the classification results. In the step S13 of outputting an intrusion detection warning, an intrusion detection warning may be output if the intrusion detection result or verification classification result or the network signal is an intrusion signal. To this end, the step of outputting an intrusion detection warning of the present invention (S13) includes a step of generating a normal signal analysis result (S131), a step of outputting a verification classification result (S133), and an intrusion detection warning, as shown in FIG. It may include an output step (S135).

정상 신호 분석 결과를 생성하는 단계(S131)는 침입 탐지 시스템으로부터 특정 네트워크 신호에 대한 공격 여부 판단 결과인 침입 탐지 결과를 획득할 수 있다. 본 발명에서는 해당 네트워크 신호가 정상인 경우와 공격인 경우로 나뉘어 각각 정상 신호 및 침입 신호로 표현되며, 침입 탐지 결과는 정상 신호 또는 침입 신호를 포함할 수 있다.In the step of generating a normal signal analysis result (S131), an intrusion detection result, which is a result of determining whether a specific network signal is attacked, can be obtained from the intrusion detection system. In the present invention, the corresponding network signal is divided into a normal signal and an attack case and expressed as a normal signal and an intrusion signal, respectively, and the intrusion detection result may include a normal signal or an intrusion signal.

정상 신호 분석 결과를 생성하는 단계(S131)는 침입 탐지 결과를 획득하면, 침입 탐지 결과가 포함하는 신호가 정상 신호인지 침입 신호인지 확인한다. 침입 신호인 경우, 정상 신호 분석 결과를 생성하는 단계(S131)는 해당 신호를 후술되는 침입 탐지 경고를 출력하는 단계(S135)로 전달하여 공격받는 상황을 알리도록 할 수 있다. 정상 신호인 경우, 정상 신호 분석 결과를 생성하는 단계(S131)는 해당 정상 신호를 설명 가능한 인공지능을 이용하여 분석한 정상 신호 분석 결과를 생성할 수 있다.In the step of generating a normal signal analysis result (S131), when the intrusion detection result is obtained, it is confirmed whether the signal included in the intrusion detection result is a normal signal or an intrusion signal. In the case of an intrusion signal, the step of generating a normal signal analysis result (S131) may transmit the signal to the step of outputting an intrusion detection warning (S135), which will be described later, to notify the user of an attack situation. In the case of a normal signal, the step of generating a normal signal analysis result (S131) may generate a normal signal analysis result analyzed using artificial intelligence that can explain the normal signal.

설명 가능한 인공지능에 정상 신호를 대입하면 정상 신호 분석 결과가 생성된다. 여기서 정상 신호 분석 결과는 획득한 정상 신호에 대한 주요 특징 정보를 포함할 수 있으며, 본 발명에서는 상술한 바와 같이 설명 가능한 인공지능 알고리즘(XAI)는 라임(Local Interpretable Model-agnostic Explanations, LIME) 알고리즘으로 설정하였다.By substituting a normal signal into explainable artificial intelligence, a normal signal analysis result is generated. Here, the normal signal analysis result may include key characteristic information about the obtained normal signal, and in the present invention, as described above, the explainable artificial intelligence algorithm (XAI) is the Local Interpretable Model-agnostic Explanations (LIME) algorithm. set.

검증 분류 결과를 출력하는 단계(S133)는 특징 집합을 획득하고, 정상 신호 분석 결과와 비교하여 검증 분류를 수행한다. 본 발명에서 특징 집합은 상술한 바와 같이 특징 집합을 획득하는 단계(S11)를 통해 획득된다. 동작 검증 분류 결과를 출력하는 단계(S133)는 특징 집합을 획득하는 단계(S11)로부터 특징 집합을 획득하고, 정상 신호 분석 결과를 생성하는 단계(S131)로부터 정상 신호 분석 결과를 획득하면, 두 정보를 비교하여 검증 분류를 수행할 수 있다.In the step of outputting the verification classification result (S133), a feature set is obtained and verification classification is performed by comparing it with the normal signal analysis result. In the present invention, the feature set is obtained through the feature set acquisition step (S11) as described above. The step of outputting the operation verification classification result (S133) obtains the feature set from the feature set acquisition step (S11) and obtains the normal signal analysis result from the step of generating the normal signal analysis result (S131), and the two information Verification classification can be performed by comparing .

검증 분류 결과를 출력하는 단계(S133)는 정상 신호가 정상 신호를 가장한 침입 신호인지, 실제 정상 신호인지 판단하기 위해 검증 분류를 수행한다. 여기서 검증 분류는 정상 신호 분석 결과에 포함된 주요 기준인 주요 특징 정보가 특징 집합을 획득하는 단계(S11)에서 획득된 특징 집합에 포함되는지 검증하여 분류하는 과정을 의미한다. In the step of outputting the verification classification result (S133), verification classification is performed to determine whether the normal signal is an intrusion signal disguised as a normal signal or an actual normal signal. Here, verification classification refers to the process of classification by verifying whether main feature information, which is the main criterion included in the normal signal analysis result, is included in the feature set obtained in the feature set acquisition step (S11).

상술한 바와 같이 특징 집합을 획득하는 단계(S11)는 외부의 공격 없이 학습 데이터를 기 설정된 기계학습 알고리즘을 이용하여 학습한 결과로부터 특징 집합을 도출해 냈다. 즉, 특징 집합을 획득하는 단계(S11)에서 도출해 낸 특징 집합은 외부 공격 없이 기 설정된 기계학습 알고리즘을 통한 학습 결과의 특징들을 모아놓은 집합이며, 외부 공격이 존재한다면, 특징 집합에 포함되지 않는 정보가 존재할 수 있다.As described above, in the step of acquiring a feature set (S11), a feature set was derived from the results of learning the learning data using a preset machine learning algorithm without external attack. In other words, the feature set derived in the step of acquiring the feature set (S11) is a collection of features from learning results through a preset machine learning algorithm without external attacks, and if an external attack exists, information that is not included in the feature set may exist.

따라서, 검증 분류 결과를 출력하는 단계(S133)는 검증 분류를 수행하여 정상 신호에서 획득된 주요 특징 정보가 특징 집합에 포함되는 지 확인하고, 그 결과인 검증 분류 결과를 출력하도록 형성된다. 여기서 특징 집합에 주요 특징 정보가 모두 포함되는 경우 정상 신호가 검증 분류 결과에 포함될 수 있고, 특징 집합에 주요 특징 정보 중 적어도 하나가 포함되지 않는 경우 침입 신호가 검증 분류 결과에 포함될 수 있다.Therefore, the step of outputting the verification classification result (S133) is configured to perform the verification classification to check whether the main feature information obtained from the normal signal is included in the feature set and output the verification classification result as a result. Here, if the feature set includes all key feature information, a normal signal may be included in the verification classification result, and if the feature set does not include at least one of the key feature information, an intrusion signal may be included in the verification classification result.

침입 탐지 경고를 출력하는 단계(S135)는 침입 신호를 획득하면, 침입 탐지 경고를 출력하도록 형성된다. 침입 탐지 경고를 출력하는 단계(S135)는 침입 탐지 경고를 기 설정된 사용자 단말기, 소음, 디스플레이 등 다양한 방식으로 출력하여 현재 네트워크에 침입 또는 공격이 이루어지고 있다는 정보를 외부 사용자에게 전달할 수 있다.The step of outputting an intrusion detection warning (S135) is configured to output an intrusion detection warning when an intrusion signal is obtained. In the step of outputting an intrusion detection warning (S135), the intrusion detection warning can be output in various ways, such as to a preset user terminal, noise, or display, to convey information that an intrusion or attack is currently occurring in the network to an external user.

침입 탐지 경고를 출력하는 단계(S135)는 이를 위해 침입 신호를 획득하며, 획득하는 침입 신호는 침입 탐지 시스템에서 획득한 침입 탐지 결과의 침입 신호이거나, 검증 분류 결과를 출력하는 단계(S133)에서 획득한 검증 분류 결과의 침입 신호 일 수 있다.The step of outputting an intrusion detection warning (S135) acquires an intrusion signal for this purpose, and the acquired intrusion signal is an intrusion signal of the intrusion detection result obtained from the intrusion detection system, or is obtained in the step of outputting the verification classification result (S133). This may be a sign of an intrusion into one verification classification result.

한편, 이하에서는 본 발명의 특정 실시예의 인공지능 기반 침입 탐지 시스템 및 방법에 대한 구체적인 설정 에 대해 설명하도록 한다. 상술한 바와 마찬가지로 아래 구성은 본 발명을 설명하기 위한 특정 실시예에 불가하기 때문에 본 발명은 아래와 같은 SVM 알고리즘 또는 LIME 알고리즘으로 반드시 한정되는 것은 아니다.Meanwhile, hereinafter, specific settings for the artificial intelligence-based intrusion detection system and method of a specific embodiment of the present invention will be described. As described above, since the configuration below cannot be used in a specific embodiment for explaining the present invention, the present invention is not necessarily limited to the SVM algorithm or LIME algorithm below.

이하에서는 기 설정된 기계학습 알고리즘으로 SVM을 사용하였으며, 설명 가능한 인공지능으로 라임(LIME) 알고리즘을 사용하였다. 또, 학습용 데이터 셋으로는 네트워크 보안 데이터 셋인 NSL-KDD를 이용하였으며, 데이터 셋의 각 특징들에 대해 데이터 전처리를 수행하였다. In the following, SVM was used as a preset machine learning algorithm, and the LIME algorithm was used as an explainable artificial intelligence. In addition, NSL-KDD, a network security data set, was used as the learning data set, and data preprocessing was performed for each feature of the data set.

데이터 전처리는 심볼릭 특징(protocol_type, flag, service)에 대해서는 One Hot 인코딩(One Hot Encoding)을 수행하였으며, 연속 특징(duration, src_bytes, dst_bytes)에 대해서는 스케일링(scaling)을 수행하였고, 이진 특징(binary feature)에 대해서는 전처리 과정 없이 이진 데이터를 바로 사용하였다. 데이터의 라벨링은 각 데이터 튜플에 대하여 정상 또는 공격 상태로 구분하여 수행하였다.For data preprocessing, One Hot Encoding was performed on symbolic features (protocol_type, flag, service), scaling was performed on continuous features (duration, src_bytes, dst_bytes), and binary features were performed. ), binary data was used directly without preprocessing. Data labeling was performed by categorizing each data tuple into normal or attack state.

학습 모델 구현에는 scikit-learn 라이브러리로 구현된 SMV 분류기를 사용하였으며, rbf 커널을 적용하였다. 세부 파라미터는 random_state=0이며 그 외 다른 파라미터는 scikit-learn의 기본 파라미터를 사용하였다.To implement the learning model, the SMV classifier implemented with the scikit-learn library was used, and the rbf kernel was applied. The detailed parameter is random_state=0, and other parameters used the default parameters of scikit-learn.

본 모의실험에서 구현된 SVM 분류기의 동작 과정은 도 7a에 도시된다.The operation process of the SVM classifier implemented in this simulation is shown in Figure 7a.

한편, LIME은 입력된 데이터 셋에서 각 데이터들에 대하여 지역적 특성을 설명하는 지역 조사(local exploration)를 생성한다. 이는 각 데이터에 대해 동작하기 때문에 대상 모델이 어떤 종류의 모델이라도 적용 가능한 설명 가능한 인공지능(XAI) 기법이다. 본 모의실험에서는 먼저 위에서 구성한 SVM 분류기 학습에 사용한 데이터 셋을 획득하고, 획득한 데이터 셋에 포함된 정상 상태의 데이터에 대하여 LIME을 적용하여 정상 데이터에 대한 지역적 특성을 추출하고 이를 특징 집합 S로 설정하였다. 모의실험에서는 특징 집합의 크기를 10으로 구성하여 진행하였으며, 특징 집합 S 추출 과정은 도 7b를 사용하였다.Meanwhile, LIME creates a local exploration that explains the regional characteristics of each data in the input data set. This is an explainable artificial intelligence (XAI) technique that can be applied to any type of target model because it operates on each data. In this simulation, we first acquire the data set used for learning the SVM classifier constructed above, and apply LIME to the data in the steady state included in the acquired data set to extract local characteristics of the normal data and set this as the feature set S. did. In the simulation, the size of the feature set was set to 10, and Figure 7b was used for the feature set S extraction process.

본 모의실험에서는 SVM 분류기의 데이터셋인 NSL-KDD에 포함된 1,000개의 데이터 레코드에 대하여 특징 집합 S 추출 과정을 수행한 결과, 표 8에 도시된 바와 같은 총 65개의 특징으로 구성된 특징 집합 S를 획득하였다.In this simulation, as a result of performing the feature set S extraction process on 1,000 data records included in NSL-KDD, a dataset of the SVM classifier, a feature set S consisting of a total of 65 features as shown in Table 8 was obtained. did.

상술한 도 7 및 도 8을 이용한 모의실험은 본 발명의 동작 원리 분석부(11) 또는 특징 집합을 획득하는 단계(S11)와 대응한다.The simulation experiment using FIGS. 7 and 8 described above corresponds to the step (S11) of acquiring the operation principle analysis unit 11 or feature set of the present invention.

다음으로, 본 모의실험에서는 특징 집합을 통한 적대적 공격 탐지 실험을 진행하였다. 본 모의실험을 위해 구축된 SVM 기반 침입 탐지 시스템에 대하여 적대적 공격이 수행되었다면, 공격 상태로 분류되어야 하는 데이터가 정상 상태로 오분류 될 수 있다. 이를 탐지하기 위한 기준으로 도 8에 있는 특징 집합을 획득하였다. 특징 집합 S는 정상 상태의 데이터의 지역적 특성을 포함한다. 이는 적대적 공격이 수행된 데이터의 특징은 특징 집합 S를 구성하는 특징과는 상이함을 의미하며, 이를 기반으로 SVM 기반 침입 탐지 시스템 판별 결과의 판별 기준이 된 특징이 특징 집합 S에 포함되어 있는지 확인하는 과정을 통해 적대적 공격을 탐지할 수 있다.Next, in this simulation, a hostile attack detection experiment was conducted using a feature set. If an adversarial attack is performed on the SVM-based intrusion detection system built for this simulation, data that should be classified as attacked may be misclassified as normal. As a standard for detecting this, the feature set shown in Figure 8 was obtained. The feature set S contains the local characteristics of the data in the steady state. This means that the characteristics of the data on which the hostile attack was performed are different from the characteristics that make up the feature set S, and based on this, check whether the features that became the discriminant criteria for the SVM-based intrusion detection system determination results are included in the feature set S. Through this process, hostile attacks can be detected.

이를 탐지 하는 과정이 도 9에 도시되어 있으며, 도 9의 line 7의 조건문을 통해 대상 데이터의 특징이 특징 집합 S에 포함되어 있는지를 확인하며 그 결과에 따라 정상 데이터인지 적대적 공격이 수행된 데이터인지 판별을 수행할 수 있다.The process of detecting this is shown in Figure 9. Through the conditional statement in line 7 of Figure 9, it is checked whether the characteristics of the target data are included in the feature set S, and depending on the result, it is determined whether it is normal data or data on which a hostile attack has been performed. Discrimination can be performed.

상술한 도 9를 이용한 모의실험은 본 발명의 네트워크 침입 신호 처리부(13) 또는 침입 탐지 경고를 출력하는 단계(S13)와 대응한다.The simulation using FIG. 9 described above corresponds to the step (S13) of outputting an intrusion detection warning or the network intrusion signal processing unit 13 of the present invention.

이상에서 본 발명의 일 실시예에 대하여 설명하였으나, 본 발명의 사상은 본 명세서에 제시되는 실시 예에 제한되지 아니하며, 본 발명의 사상을 이해하는 당업자는 동일한 사상의 범위 내에서, 구성요소의 부가, 변경, 삭제, 추가 등에 의해서 다른 실시 예를 용이하게 제안할 수 있을 것이나, 이 또한 본 발명의 사상범위 내에 든다고 할 것이다.Although one embodiment of the present invention has been described above, the spirit of the present invention is not limited to the embodiment presented in the present specification, and those skilled in the art who understand the spirit of the present invention can add components within the scope of the same spirit. , other embodiments can be easily proposed by change, deletion, addition, etc., but this will also be said to be within the scope of the present invention.

1: 인공지능 기반 침입 탐지 시스템
2: 침입 탐지 시스템
3: 네트워크
11: 동작 원리 분석부
13: 네트워크 침입 신호 처리부
111: 데이터 학습 모듈
113: 특정 집합 획득 모듈
131: 정상 신호 분석 모듈
133: 정상 신호 최종 판단 모듈
135: 침입 탐지 경고 출력 모듈1: Artificial intelligence-based intrusion detection system
2: Intrusion detection system
3: Network
11: Operation principle analysis section
13: Network intrusion signal processing unit
111: Data learning module
113: Specific set acquisition module
131: Normal signal analysis module
133: Normal signal final judgment module
135: Intrusion detection warning output module

Claims (12)

기 설정된 기계학습 알고리즘을 이용하여 특정 네트워크를 모니터링하며 상기 네트워크로부터 네트워크 신호를 획득하고, 획득한 상기 네트워크 신호를 분석하여 침입 탐지를 수행하고 침입 탐지 결과를 출력하는 침입 탐지 시스템에 대해 추가 보안을 수행하는 인공지능 기반 침입 탐지 시스템에 있어서,
상기 인공지능 기반 침입 탐지 시스템은,
상기 침입 탐지 시스템의 동작 원리를 탐색하고, 탐색 결과를 설명 가능한 인공지능(XAI)을 이용하여 분석한 결과인 특징 집합을 획득하는 동작 원리 분석부; 및
상기 침입 탐지 시스템으로부터 상기 네트워크 신호에 대한 상기 침입 탐지 결과를 획득하고, 상기 침입 탐지 결과에 대한 상기 특징 집합을 이용한 검증 분류를 수행하여 검증 분류 결과를 출력하며, 상기 침입 탐지 결과 또는 상기 검증 분류 결과 상기 네트워크 신호가 침입 신호인 경우 침입 탐지 경고를 출력하는 네트워크 침입 신호 처리부를 포함하고,
상기 네트워크 침입 신호 처리부는,
상기 침입 탐지 결과를 획득하고, 상기 침입 탐지 결과 상기 네트워크 신호가 정상 신호인 경우 상기 정상 신호에 대해 상기 설명 가능한 인공지능을 이용하여 분석을 수행하여 정상 신호 분석 결과를 생성하는 정상 신호 분석 모듈;
상기 특징 집합을 획득하고, 획득한 상기 특징 집합을 기준으로 상기 정상 신호 분석 결과가 상기 정상 신호인지 상기 침입 신호인지 최종 판단하는 상기 검증 분류를 수행하고 그 결과인 검증 분류 결과를 출력하는 정상 신호 최종 판단 모듈; 및
상기 침입 탐지 결과 또는 상기 검증 분류 결과, 상기 네트워크 신호가 상기 침입 신호로 판단되는 경우, 상기 침입 탐지 경고를 출력하는 침입 탐지 경고 출력 모듈;을 포함하는 인공지능 기반 침입 탐지 시스템.Additional security is performed on an intrusion detection system that monitors a specific network using a preset machine learning algorithm, acquires a network signal from the network, performs intrusion detection by analyzing the obtained network signal, and outputs the intrusion detection result. In an artificial intelligence-based intrusion detection system,
The artificial intelligence-based intrusion detection system,
An operating principle analysis unit that searches for the operating principles of the intrusion detection system and obtains a feature set that is the result of analyzing the search results using explainable artificial intelligence (XAI); and
Obtain the intrusion detection result for the network signal from the intrusion detection system, perform verification classification using the feature set on the intrusion detection result, and output a verification classification result, and the intrusion detection result or the verification classification result A network intrusion signal processing unit that outputs an intrusion detection warning when the network signal is an intrusion signal,
The network intrusion signal processing unit,
a normal signal analysis module that obtains the intrusion detection result and, when the network signal is a normal signal as a result of the intrusion detection, performs analysis on the normal signal using the explainable artificial intelligence to generate a normal signal analysis result;
Obtaining the feature set, performing the verification classification to finally determine whether the normal signal analysis result is the normal signal or the intrusion signal based on the acquired feature set, and outputting the resulting verification classification result. judgment module; and
An artificial intelligence-based intrusion detection system comprising: an intrusion detection warning output module that outputs the intrusion detection warning when the network signal is determined to be the intrusion signal as a result of the intrusion detection or verification classification. 제 1항에 있어서,
상기 동작 원리 분석부는,
학습용 데이터 셋을 획득하고, 데이터 셋을 상기 기 설정된 기계학습 알고리즘으로 학습하여 학습 결과를 획득하는 데이터 학습 모듈; 및
상기 설명 가능한 인공지능을 이용하여 상기 학습 결과를 분석하고, 분석 결과인 상기 특징 집합을 획득하는 특징 집합 획득 모듈;을 포함하는 인공지능 기반 침입 탐지 시스템.According to clause 1,
The operation principle analysis unit,
a data learning module that acquires a learning data set and learns the data set using the preset machine learning algorithm to obtain a learning result; and
An artificial intelligence-based intrusion detection system comprising a feature set acquisition module that analyzes the learning result using the explainable artificial intelligence and obtains the feature set as a result of the analysis. 제 2항에 있어서,
상기 기 설정된 기계학습 알고리즘은 SVM(Support Vector Machine) 알고리즘이며,
상기 설명 가능한 인공 지능 알고리즘은 라임(Local Interpretable Model-agnostic Explanations, LIME) 알고리즘인 인공지능 기반 침입 탐지 시스템.According to clause 2,
The preset machine learning algorithm is the SVM (Support Vector Machine) algorithm,
The explainable artificial intelligence algorithm is the Local Interpretable Model-agnostic Explanations (LIME) algorithm, an artificial intelligence-based intrusion detection system. 삭제delete 제 1항에 있어서,
상기 설명 가능한 인공 지능 알고리즘은 라임(Local Interpretable Model-agnostic Explanations, LIME) 알고리즘인 인공지능 기반 침입 탐지 시스템.According to clause 1,
The explainable artificial intelligence algorithm is the Local Interpretable Model-agnostic Explanations (LIME) algorithm, an artificial intelligence-based intrusion detection system. 제 1항에 있어서,
상기 검증 분류는, 상기 정상 신호 분석 결과의 주요 기준이 상기 특징 집합에 포함되는지 검증하여 분류하는 인공지능 기반 침입 탐지 시스템.According to clause 1,
The verification classification is an artificial intelligence-based intrusion detection system that classifies by verifying whether the main criteria of the normal signal analysis result are included in the feature set. 기 설정된 기계학습 알고리즘을 이용하여 특정 네트워크를 모니터링하며 상기 네트워크로부터 네트워크 신호를 획득하고, 획득한 상기 네트워크 신호를 분석하여 침입 탐지를 수행하고 침입 탐지 결과를 출력하는 침입 탐지 시스템에 대해 추가 보안을 수행하는 인공지능 기반 침입 탐지 방법에 있어서,
상기 인공지능 기반 침입 탐지 방법은,
동작 원리 분석부를 이용하여 상기 침입 탐지 시스템의 동작 원리를 탐색하고, 탐색 결과를 설명 가능한 인공지능(XAI)을 이용하여 분석한 결과인 특징 집합을 획득하는 단계; 및
네트워크 침입 신호 처리부를 이용하여 상기 침입 탐지 시스템으로부터 상기 네트워크 신호에 대한 상기 침입 탐지 결과를 획득하고, 상기 침입 탐지 결과에 대한 상기 특징 집합을 이용한 검증 분류를 수행하여 검증 분류 결과를 출력하며, 상기 침입 탐지 결과 또는 상기 검증 분류 결과 상기 네트워크 신호가 침입 신호인 경우 침입 탐지 경고를 출력하는 단계를 포함하고,
상기 침입 탐지 경고를 출력하는 단계는,
상기 침입 탐지 결과를 획득하고, 상기 침입 탐지 결과 상기 네트워크 신호가 정상 신호인 경우 상기 정상 신호에 대해 상기 설명 가능한 인공지능을 이용하여 분석을 수행하여 정상 신호 분석 결과를 생성하는 단계;
상기 특징 집합을 획득하고, 획득한 상기 특징 집합을 기준으로 상기 정상 신호 분석 결과가 상기 정상 신호인지 상기 침입 신호인지 최종 판단하는 상기 검증 분류를 수행하고 그 결과인 검증 분류 결과를 출력하는 단계; 및
상기 침입 탐지 결과 또는 상기 검증 분류 결과, 상기 네트워크 신호가 상기 침입 신호로 판단되는 경우, 상기 침입 탐지 경고를 출력하는 단계;를 포함하는 인공지능 기반 침입 탐지 방법.Additional security is performed on an intrusion detection system that monitors a specific network using a preset machine learning algorithm, acquires a network signal from the network, performs intrusion detection by analyzing the obtained network signal, and outputs the intrusion detection result. In an artificial intelligence-based intrusion detection method,
The artificial intelligence-based intrusion detection method is,
Searching for the operating principle of the intrusion detection system using an operating principle analysis unit, and obtaining a feature set that is the result of analyzing the search results using explainable artificial intelligence (XAI); and
Obtain the intrusion detection result for the network signal from the intrusion detection system using a network intrusion signal processing unit, perform verification classification using the feature set for the intrusion detection result, and output the verification classification result, and output the intrusion detection result. Outputting an intrusion detection warning if the network signal is an intrusion signal as a result of detection or verification classification,
The step of outputting the intrusion detection warning is,
Obtaining the intrusion detection result, and if the network signal is a normal signal as a result of the intrusion detection, performing analysis on the normal signal using the explainable artificial intelligence to generate a normal signal analysis result;
Obtaining the feature set, performing the verification classification to finally determine whether the normal signal analysis result is the normal signal or the intrusion signal based on the acquired feature set, and outputting the resulting verification classification result; and
An artificial intelligence-based intrusion detection method comprising: outputting the intrusion detection warning when the network signal is determined to be the intrusion signal according to the intrusion detection result or the verification classification result. 제 7항에 있어서,
상기 특징 집합을 획득하는 단계는,
학습용 데이터 셋을 획득하고, 데이터 셋을 상기 기 설정된 기계학습 알고리즘으로 학습하여 학습 결과를 획득하는 단계; 및
상기 설명 가능한 인공지능을 이용하여 상기 학습 결과를 분석하고, 분석 결과인 상기 특징 집합을 획득하는 단계;를 포함하는 인공지능 기반 침입 탐지 방법.According to clause 7,
The step of acquiring the feature set is,
Obtaining a learning data set and learning the data set using the preset machine learning algorithm to obtain a learning result; and
An artificial intelligence-based intrusion detection method comprising: analyzing the learning result using the explainable artificial intelligence, and obtaining the feature set as a result of the analysis. 제 8항에 있어서,
상기 기 설정된 기계학습 알고리즘은 SVM(Support Vector Machine) 알고리즘이며,
상기 설명 가능한 인공 지능 알고리즘은 라임(Local Interpretable Model-agnostic Explanations, LIME) 알고리즘인 인공지능 기반 침입 탐지 방법.According to clause 8,
The preset machine learning algorithm is the SVM (Support Vector Machine) algorithm,
The explainable artificial intelligence algorithm is an artificial intelligence-based intrusion detection method called the Local Interpretable Model-agnostic Explanations (LIME) algorithm. 삭제delete 제 7항에 있어서,
상기 설명 가능한 인공 지능 알고리즘은 라임(Local Interpretable Model-agnostic Explanations, LIME) 알고리즘인 인공지능 기반 침입 탐지 방법.According to clause 7,
The explainable artificial intelligence algorithm is an artificial intelligence-based intrusion detection method called the Local Interpretable Model-agnostic Explanations (LIME) algorithm. 제 7항에 있어서,
상기 검증 분류는, 상기 정상 신호 분석 결과의 주요 기준이 상기 특징 집합에 포함되는지 검증하여 분류하는 인공지능 기반 침입 탐지 방법.According to clause 7,
The verification classification is an artificial intelligence-based intrusion detection method that classifies by verifying whether the main criteria of the normal signal analysis result are included in the feature set.
KR1020210172367A 2021-12-03 2021-12-03 AI-Based intrusion etection system and method KR102661402B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020210172367A KR102661402B1 (en) 2021-12-03 2021-12-03 AI-Based intrusion etection system and method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020210172367A KR102661402B1 (en) 2021-12-03 2021-12-03 AI-Based intrusion etection system and method

Publications (2)

Publication Number Publication Date
KR20230083915A KR20230083915A (en) 2023-06-12
KR102661402B1 true KR102661402B1 (en) 2024-04-29

Family

ID=86770370

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020210172367A KR102661402B1 (en) 2021-12-03 2021-12-03 AI-Based intrusion etection system and method

Country Status (1)

Country Link
KR (1) KR102661402B1 (en)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2020061667A (en) 2018-10-10 2020-04-16 株式会社日立製作所 Network apparatus, method of processing packet, and program
KR102247181B1 (en) 2020-12-18 2021-05-03 주식회사 이글루시큐리티 Method and device for generating anomalous behavior detection model using learning data generated based on xai

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20160095856A (en) * 2015-02-04 2016-08-12 한국전자통신연구원 System and method for detecting intrusion intelligently based on automatic detection of new attack type and update of attack type
KR102225040B1 (en) * 2018-08-29 2021-03-09 한국과학기술원 Method and system for security information and event management based on artificial intelligence
KR102285838B1 (en) 2018-12-07 2021-08-05 동국대학교 산학협력단 Unsupervised deep learning based intrusion detection device and method

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2020061667A (en) 2018-10-10 2020-04-16 株式会社日立製作所 Network apparatus, method of processing packet, and program
KR102247181B1 (en) 2020-12-18 2021-05-03 주식회사 이글루시큐리티 Method and device for generating anomalous behavior detection model using learning data generated based on xai

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
Daniel L. Marino, Chathurika S. Wickramasinghe, Milos Manic, "An Adversarial Approach for Explainable AI in Intrusion Detection Systems"(2018.11.)*
Md Al-Imran, Kazi Jahidur Rahaman, Mohammad Rasel and Shamim H. Ripon, "An Analytical Evaluation of a Deep Learning Model to Detect Network Intrusion"(2021.07.)*
Shraddha Mane and Dattaraj Rao, "Explaining Network Intrusion Detection System Using Explainable AI Framework"(2021.03.)*

Also Published As

Publication number Publication date
KR20230083915A (en) 2023-06-12

Similar Documents

Publication Publication Date Title
CN110233849B (en) Method and system for analyzing network security situation
US10944767B2 (en) Identifying artificial artifacts in input data to detect adversarial attacks
Vinayakumar et al. Evaluating deep learning approaches to characterize and classify the DGAs at scale
CN109547423B (en) WEB malicious request deep detection system and method based on machine learning
CN108549814A (en) A kind of SQL injection detection method based on machine learning, database security system
KR102665757B1 (en) Apparatus and method for synchronization in docsis upstream system
CN109800304A (en) Processing method, device, equipment and the medium of case notes
KR20200118712A (en) Detecting Method for Cyber Threats using Machine Learning and Natural Language Processing
US20210157909A1 (en) Sample data generation apparatus, sample data generation method, and computer readable medium
Janet et al. Anti-phishing System using LSTM and CNN
CN116015703A (en) Model training method, attack detection method and related devices
CN112817877B (en) Abnormal script detection method and device, computer equipment and storage medium
KR20110067373A (en) The apparatus and method for recognizing image
CN112333128A (en) Web attack behavior detection system based on self-encoder
CN117176433A (en) Abnormal behavior detection system and method for network data
KR102661402B1 (en) AI-Based intrusion etection system and method
CN113918936A (en) SQL injection attack detection method and device
Wang et al. Malware detection using cnn via word embedding in cloud computing infrastructure
Nayak et al. Detection of hate speech in Social media memes: A comparative Analysis
Li et al. Target segmentation of industrial smoke image based on LBP Silhouettes coefficient variant (LBPSCV) algorithm
Samadzadeh et al. Evaluating Security Anomalies by Classifying Traffic Using a Multi-Layered Model
CN114707026A (en) Network model training method, character string detection method, device and electronic equipment
CN116010945A (en) Method, apparatus and computer readable storage medium for automatically detecting malicious code
Bera Modcgan: a multimodal approach to detect new malware
Zhou et al. Multimodal fraudulent website identification method based on heterogeneous model ensemble

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E90F Notification of reason for final refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant