KR102671668B1 - 제로 데이 멀웨어를 방어하기 위한 상호작용 방법 및 이를 위한 장치 - Google Patents
제로 데이 멀웨어를 방어하기 위한 상호작용 방법 및 이를 위한 장치 Download PDFInfo
- Publication number
- KR102671668B1 KR102671668B1 KR1020220157667A KR20220157667A KR102671668B1 KR 102671668 B1 KR102671668 B1 KR 102671668B1 KR 1020220157667 A KR1020220157667 A KR 1020220157667A KR 20220157667 A KR20220157667 A KR 20220157667A KR 102671668 B1 KR102671668 B1 KR 102671668B1
- Authority
- KR
- South Korea
- Prior art keywords
- performance
- iot
- iot device
- performance iot
- data
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 25
- 230000002452 interceptive effect Effects 0.000 title abstract 2
- 238000001514 detection method Methods 0.000 claims abstract description 36
- 238000013135 deep learning Methods 0.000 claims abstract description 18
- 238000004891 communication Methods 0.000 claims abstract description 17
- 230000003993 interaction Effects 0.000 claims description 43
- 230000006870 function Effects 0.000 claims description 11
- 238000010586 diagram Methods 0.000 description 8
- 230000007123 defense Effects 0.000 description 3
- 230000004913 activation Effects 0.000 description 2
- 230000006399 behavior Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000014509 gene expression Effects 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 238000012549 training Methods 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 238000013528 artificial neural network Methods 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 238000004140 cleaning Methods 0.000 description 1
- 238000001816 cooling Methods 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000007103 stamina Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- G—PHYSICS
- G16—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
- G16Y—INFORMATION AND COMMUNICATION TECHNOLOGY SPECIALLY ADAPTED FOR THE INTERNET OF THINGS [IoT]
- G16Y10/00—Economic sectors
- G16Y10/75—Information technology; Communication
-
- G—PHYSICS
- G16—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
- G16Y—INFORMATION AND COMMUNICATION TECHNOLOGY SPECIALLY ADAPTED FOR THE INTERNET OF THINGS [IoT]
- G16Y30/00—IoT infrastructure
- G16Y30/10—Security thereof
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- Virology (AREA)
- Economics (AREA)
- General Business, Economics & Management (AREA)
- Development Economics (AREA)
- Accounting & Taxation (AREA)
- Business, Economics & Management (AREA)
- Computer And Data Communications (AREA)
Abstract
제로 데이 멀웨어를 방어하기 위한 상호작용 방법 및 이를 위한 장치가 개시된다. 딥러닝 기반 제로 데이 멀웨어(zero-day malware)의 탐지모델을 탑재하여 운용할 수 있는 적어도 하나의 고성능 IoT(Internet of Thing) 장치와 탐지모델을 탑재하여 운용할 수 없는 복수의 저성능 IoT 장치들로 구성된 IoT 네트워크 시스템에 포함된 고성능 IoT 장치는, 복수의 저성능 IoT 장치들과 통신을 수행하는 통신부 및 복수의 저성능 IoT 장치들로부터 IoT 네트워크 데이터가 각각 수신되면 수신된 IoT 네트워크 데이터 각각을 기 저장된 IoT 네트워크 데이터와의 유사도를 비교하여 데이터 타입을 정의하고, 정의된 데이터 타입 중 기 저장된 데이터 타입과 다른 데이터 타입이 존재하는 경우, 새로운 제로 데이 멀웨어의 시그니처(signature)를 해당 데이터 타입과 관련된 저성능 IoT 장치로 제공할 확률을 산출하며, 산출된 확률에 따라 시그니처를 해당 저성능 IoT 장치로 전송시키는 제어부를 포함한다.
Description
본 발명은 제로 데이 멀웨어(zero-day malware)를 방어하기 위한 기술에 관한 것으로, 더욱 상세하게는 IoT(Internet of Thing) 네트워크 상에서 제로 데이 멀웨어에 대한 방어를 지원하는 제로 데이 멀웨어를 방어하기 위한 상호작용 방법 및 이를 위한 장치에 관한 것이다.
제로 데이 멀웨어(zero-day malware)는 방어자가 미리 알지 못하는 악성 행위를 탑재한 멀웨어로써, 방어자가 악성 행위의 특징을 미리 파악할 수 없다는 관점에서 매우 힘든 부분이 있다.
이러한 문제를 해결하기 위해 종래에는 딥러닝(deep learning) 기반의 탐지 시스템을 이용하여 제로 데이 멀웨어 탐지를 하였다. 하지만 종래의 딥러닝 기반의 탐지 시스템은 하나의 장치 내에서 제로 데이 멀웨어를 탐지하여 방어하는데 초점이 맞추어져 있어서, IoT 네트워크 상에서의 방어책으로는 적합하지 않은 문제가 있다.
따라서 IoT 네트워크 상에서 제로 데이 멀웨어에 대한 방어 시스템의 구축이 필요한 실정이다.
본 발명이 해결하고자 하는 과제는, IoT 네트워크 상에서 제로 데이 멀웨어를 딥러닝 기반으로 탐지하여 방어하기 위한 IoT 장치들 간의 상호작용을 지원하는 제로 데이 멀웨어를 방어하기 위한 상호작용 방법 및 이를 위한 장치를 제공하는 것이다.
상기 과제를 해결하기 위해 본 발명에 따른 딥러닝 기반 제로 데이 멀웨어(zero-day malware)의 탐지모델을 탑재하여 운용할 수 있는 적어도 하나의 고성능 IoT(Internet of Thing) 장치와 상기 탐지모델을 탑재하여 운용할 수 없는 복수의 저성능 IoT 장치들로 구성된 IoT 네트워크 시스템에 포함된 고성능 IoT 장치는, 상기 복수의 저성능 IoT 장치들과 통신을 수행하는 통신부 및 상기 복수의 저성능 IoT 장치들로부터 IoT 네트워크 데이터가 각각 수신되면 상기 수신된 IoT 네트워크 데이터 각각을 기 저장된 IoT 네트워크 데이터와의 유사도를 비교하여 데이터 타입을 정의하고, 상기 정의된 데이터 타입 중 기 저장된 데이터 타입과 다른 데이터 타입이 존재하는 경우, 새로운 제로 데이 멀웨어의 시그니처(signature)를 해당 데이터 타입과 관련된 저성능 IoT 장치로 제공할 확률을 산출하며, 상기 산출된 확률에 따라 상기 시그니처를 해당 저성능 IoT 장치로 전송시키는 제어부를 포함한다.
또한 상기 복수의 저성능 IoT 장치들로부터 수신된 IoT 네트워크 데이터 및 자체적으로 수집한 IoT 네트워크 데이터를 학습 데이터로 이용하여 상기 탐지모델을 학습시키는 학습부를 더 포함하는 것을 특징으로 한다.
또한 상기 제어부는, 상기 다른 데이터 타입의 개수가 많은 IoT 네트워크 데이터를 전송한 저성능 IoT 장치일수록 상기 시그니처가 더 많이 제공되도록 제어하는 것을 특징으로 한다.
또한 상기 제어부는, 하기 수학식을 이용하여 상기 확률을 산출하는 것을 특징으로 한다.
[수학식]
여기서 Pk는 시그니처를 저성능 IoT 장치로 제공할 확률을 의미하고, P0는 초기 확률값을 의미하며, Ak는 k번째 저성능 IoT 장치가 전송한 IoT 네트워크 데이터들의 서로 다른 데이터 타입의 개수를 의미한다.
본 발명에 따른 딥러닝 기반 제로 데이 멀웨어의 탐지모델을 탑재하여 운용할 수 있는 복수의 고성능 IoT 장치들로 구성된 IoT 네트워크 시스템에 포함된 고성능 IoT 장치는, 복수의 고성능 IoT 장치들과 통신을 수행하는 통신부 및 새로운 제로 데이 멀웨어의 시그니처를 다른 고성능 IoT 장치들로 전송하는 기브(give) 작업과 다른 고성능 IoT 장치들로부터 새로운 제로 데이 멀웨어의 시그니처를 수신하는 테이크(take) 작업 중 적어도 하나가 수행되면 IoT 네트워크 상에서 상기 기브 작업과 상기 테이크 작업을 수행한 모든 고성능 IoT 장치의 ID 정보를 공유하고, 상기 공유된 ID 정보를 기반으로 섀플리 밸류(Shapley value)를 산출하며, 상기 산출된 섀플리 밸류를 이용하여 다음 번 테이크 작업이 수행될 확률을 산출하고, 상기 산출된 확률을 기반으로 다음 번 테이크 작업이 수행되도록 제어하는 제어부를 포함한다.
또한 상기 제어부는, 상기 섀플리 밸류를 산출하기 위한 주기인 타임슬롯을 정의하고, 각 타임슬롯 동안 상기 기브 작업과 상기 테이크 작업이 수행되며, 상기 타임슬롯이 끝날 때마다 상기 섀플리 밸류를 산출하는 것을 특징으로 한다.
또한 상기 제어부는, 상기 기브 작업을 더 많이 수행할수록 상기 다음 번 테이크 작업이 수행될 확률이 커지도록 제어하는 것을 특징으로 한다.
또한 상기 제어부는, 하기 수학식을 이용하여 상기 섀플리 밸류를 산출하는 것을 특징으로 한다.
[수학식]
여기서 Wj는 섀플리 밸류를 의미하고, C는 기브 작업과 테이크 작업에 참여한 고성능 IoT 장치들의 부분 집합들로 구성된 집합을 의미하며, U는 u개의 고성능 IoT 장치들로 구성된 리스트를 의미하고, f는 기브 작업과 테이크 작업에 참여한 고성능 IoT 장치들의 부분 집합에 부여하는 특성함수(characteristic function)를 의미한다.
또한 상기 제어부는, 하기 수학식을 이용하여 상기 다음 번 테이크 작업이 수행될 확률을 산출하는 것을 특징으로 한다.
[수학식]
여기서 Pj는 다음 번 테이크 작업이 수행될 확률을 의미하고, P0는 초기 확률값을 의미한다.
또한 상기 제어부는, 상기 기브 작업을 수행할 때, 자체적으로 수집한 제로 데이 멀웨어와 관련된 데이터를 상기 다른 고성능 IoT 장치로 더 전송하고, 상기 테이크 작업을 수행할 때, 상기 다른 고성능 IoT 장치들이 자체적으로 수집한 제로 데이 멀웨어와 관련된 데이터를 더 수신하는 것을 특징으로 한다.
본 발명에 따른 딥러닝 기반 제로 데이 멀웨어의 탐지모델을 탑재하여 운용할 수 있는 적어도 하나의 고성능 IoT 장치와 상기 탐지모델을 탑재하여 운용할 수 없는 복수의 저성능 IoT 장치들로 구성된 IoT 네트워크 시스템에서 수행되는 상호작용 방법은, 상기 고성능 IoT 장치가 상기 복수의 저성능 IoT 장치들로부터 IoT 네트워크 데이터를 각각 수신하는 단계, 상기 고성능 IoT 장치가 상기 수신된 IoT 네트워크 데이터 각각을 기 저장된 IoT 네트워크 데이터와의 유사도를 비교하여 데이터 타입을 정의하는 단계, 상기 고성능 IoT 장치가 상기 정의된 데이터 타입 중 기 저장된 데이터 타입과 다른 데이터 타입이 존재하는 경우, 새로운 제로 데이 멀웨어의 시그니처를 해당 데이터 타입과 관련된 저성능 IoT 장치로 제공할 확률을 산출하는 단계 및 상기 고성능 IoT 장치가 상기 산출된 확률에 따라 상기 시그니처를 해당 저성능 IoT 장치로 전송하는 단계를 포함한다.
본 발명에 따른 딥러닝 기반 제로 데이 멀웨어의 탐지모델을 탑재하여 운용할 수 있는 복수의 고성능 IoT 장치들로 구성된 IoT 네트워크 시스템에서 수행되는 상호작용 방법은, 상기 고성능 IoT 장치가 새로운 제로 데이 멀웨어의 시그니처를 다른 고성능 IoT 장치들로 전송하는 기브 작업과 다른 고성능 IoT 장치들로부터 새로운 제로 데이 멀웨어의 시그니처를 수신하는 테이크 작업 중 적어도 하나를 수행하는 단계, 상기 고성능 IoT 장치가 IoT 네트워크 상에서 상기 기브 작업과 상기 테이크 작업을 수행한 모든 고성능 IoT 장치의 ID 정보를 공유하는 단계, 상기 고성능 IoT 장치가 상기 공유된 ID 정보를 기반으로 섀플리 밸류를 산출하는 단계, 상기 고성능 IoT 장치가 상기 산출된 섀플리 밸류를 이용하여 다음 번 테이크 작업이 수행될 확률을 산출하는 단계 및 상기 고성능 IoT 장치가 상기 산출된 확률을 기반으로 다음 번 테이크 작업을 수행하는 단계를 포함한다.
본 발명의 실시예에 따르면, 딥러닝 기반 제로 데이 멀웨어의 탐지 모델을 탑재하여 운용할 수 있는 복수의 고성능 IoT 장치들과 운용할 수 없는 복수의 저성능 IoT 장치들로 구분하고, 저성능 IoT 장치들이 고성능 IoT 장치들의 탐지기능을 이용하여 제로 데이 멀웨어의 탐지에 참여할 수 있도록 지원함으로써, 저성능 IoT 장치들에서도 제로 데이 멀웨어에 대한 대처를 할 수 있도록 도와준다.
또한 고성능 IoT 장치들끼리 섀플리 밸류를 기반으로 새로운 제로 데이 멀웨어의 시그니처를 공유함으로써, 제로 데이 멀웨어의 탐지율을 향상시켜 IoT 네트워크의 보안성을 높일 수 있다.
도 1은 본 발명의 실시예에 따른 IoT 네트워크 시스템을 설명하기 위한 구성도이다.
도 2는 본 발명의 실시예에 따른 제1 고성능 IoT 장치를 설명하기 위한 블록도이다.
도 3은 본 발명의 실시예에 따른 제어부를 설명하기 위한 블록도이다.
도 4는 본 발명의 실시예에 따른 고성능 IoT 장치와 복수의 저성능 IoT 장치들 간의 상호작용 방법을 설명하기 위한 순서도이다.
도 5는 본 발명의 실시예에 따른 복수의 고성능 IoT 장치들 간의 상호작용 방법을 설명하기 위한 순서도이다.
도 6은 본 발명의 실시예에 따른 컴퓨팅 장치를 설명하기 위한 블록도이다.
도 2는 본 발명의 실시예에 따른 제1 고성능 IoT 장치를 설명하기 위한 블록도이다.
도 3은 본 발명의 실시예에 따른 제어부를 설명하기 위한 블록도이다.
도 4는 본 발명의 실시예에 따른 고성능 IoT 장치와 복수의 저성능 IoT 장치들 간의 상호작용 방법을 설명하기 위한 순서도이다.
도 5는 본 발명의 실시예에 따른 복수의 고성능 IoT 장치들 간의 상호작용 방법을 설명하기 위한 순서도이다.
도 6은 본 발명의 실시예에 따른 컴퓨팅 장치를 설명하기 위한 블록도이다.
아래에서는 첨부한 도면을 참고로 하여 본 발명의 실시예에 대하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시예에 한정되지 않는다. 그리고 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 유사한 부분에 대해서는 유사한 도면 부호를 붙였다.
본 명세서 및 도면(이하 '본 명세서')에서, 동일한 구성요소에 대해서 중복된 설명은 생략한다.
또한 본 명세서에서, 어떤 구성요소가 다른 구성요소에 '연결되어' 있다거나 '접속되어' 있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에 본 명세서에서, 어떤 구성요소가 다른 구성요소에 '직접 연결되어' 있다거나 '직접 접속되어' 있다고 언급된 때에는, 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다.
또한, 본 명세서에서 사용되는 용어는 단지 특정한 실시예를 설명하기 위해 사용되는 것으로써, 본 발명을 한정하려는 의도로 사용되는 것이 아니다.
또한 본 명세서에서, 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함할 수 있다.
또한 본 명세서에서, '포함하다' 또는 '가지다' 등의 용어는 명세서에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품, 또는 이들을 조합한 것이 존재함을 지정하려는 것일 뿐, 하나 또는 그 이상의 다른 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 할 것이다.
또한 본 명세서에서, '및/또는' 이라는 용어는 복수의 기재된 항목들의 조합 또는 복수의 기재된 항목들 중의 어느 항목을 포함한다. 본 명세서에서, 'A 또는 B'는, 'A', 'B', 또는 'A와 B 모두'를 포함할 수 있다.
또한 본 명세서에서, 본 발명의 요지를 흐리게 할 수 있는 공지 기능 및 구성에 대한 상세한 설명은 생략될 것이다.
도 1은 본 발명의 실시예에 따른 IoT 네트워크 시스템을 설명하기 위한 구성도이다.
도 1을 참조하면, IoT 네트워크 시스템(300)은 IoT 네트워크 상에서 제로 데이 멀웨어를 딥러닝 기반으로 탐지하여 방어하기 위한 IoT 장치들 간의 상호작용을 지원한다. 여기서 IoT 장치는 사물인터넷을 이용하는 모든 장치로써, 각종 전자제품, 홈 기기, 커넥티드 카(Connected Car) 등이 포함할 수 있다. IoT 네트워크 시스템(300)은 복수의 고성능 IoT 장치(100) 및 복수의 저성능 IoT 장치(200)을 포함한다. 여기서 고성능 IoT 장치(100) 및 저성능 IoT 장치(200)는 딥러닝 기반 제로 데이 멀웨어의 탐지모델을 탑재하여 운용할 수 있는지 여부를 기준으로 구분될 수 있다. 즉 고성능 IoT 장치(100)는 탐지모델을 탑재하여 운용이 가능한 장치이고, 저성능 IoT 장치(200)는 탐지모델을 탑재하여 운용이 불가능한 장치로 정의할 수 있다.
고성능 IoT 장치(100)는 IoT 네트워크 상에 복수개(100a, 100b, 100c, 100d)가 포함된다. 각 고성능 IoT 장치(100)는 인접한 고성능 IoT 장치 및 저성능 IoT 장치와 통신을 수행하면서 IoT 네트워크 데이터를 송수신한다. 예를 들어 제1 고성능 IoT 장치(100a)는 인접하는 제2 고성능 IoT 장치(100b), 제3 고성능 IoT 장치(100c) 내지 제u 고성능 IoT 장치(u은 자연수)(100d)와 통신을 수행할 수 있다. 또한 제1 고성능 IoT 장치(100a)는 제1 저성능 IoT 장치(200a), 제2 저성능 IoT 장치(200b) 내지 제n 저성능 IoT 장치(n은 자연수)(200c)와 통신을 수행할 수 있다. 이를 통해 각 고성능 IoT 장치(100)는 송수신되는 IoT 네트워크 데이터를 기반으로 탐지모델을 학습한다. 또한 각 고성능 IoT 장치(100)는 학습된 탐지모델을 통해 탐지된 새로운 제로 데이 멀웨어의 시그니처(signature)를 다른 IoT 장치들과 공유함으로써, IoT 네트워크 시스템(300)에 포함된 모든 IoT 장치들이 제로 데이 멀웨어에 대한 방어 능력이 향상되도록 지원한다.
저성능 IoT 장치(200)는 IoT 네트워크 상에 복수개(200a, 200b, 200c, 200d)가 포함된다. 각 저성능 IoT 장치(200)는 적어도 하나의 고성능 IoT 장치와 통신을 수행한다. 이때 저성능 IoT 장치(200)는 실시간 또는 주기적으로 IoT 네트워크 데이터를 수집하고, 수집된 IoT 네트워크 데이터를 적어도 하나의 고성능 IoT 장치에 전송한다. 이때 저성능 IoT 장치(200)는 수집된 IoT 네트워크 데이터 전체를 전송하거나, 수집된 IoT 네트워크 데이터 중 서로 다른 데이터 타입을 가지는 IoT 네트워크 데이터를 선별한 후, 선별된 데이터를 전송할 수 있다. 저성능 IoT 장치(200)는 IoT 네트워크 데이터를 전송한 보상으로 해당 데이터를 전송한 고성능 IoT 장치로부터 새로운 제로 데이 멀웨어의 시그니처를 제공받는다. 예를 들어 제1 저성능 IoT 장치(200a)는 수집한 IoT 네트워크 데이터를 제1 고성능 IoT 장치(100a)로 전송하면 제1 고성능 IoT 장치(100a)로부터 해당 IoT 네트워크 데이터의 가치에 상응하는 새로운 제로 데이 멀웨어의 시그니처를 수신받을 수 있다. 저성능 IoT 장치(200)는 수신된 시그니처와 기 저장된 시그니처들을 이용하여 독자적으로 제로 데이 멀웨어를 탐지한다. 이를 통해 저성능 IoT 장치(200)는 제로 데이 멀웨어에 대한 대응을 빠르게 수행할 수 있다.
한편 도면에서는 복수의 저성능 IoT 장치들(200a, 200b, 200c)이 하나의 고성능 IoT 장치(100a)하고만 통신을 수행하는 것과 같이 도시되어 있지만 이에 한정하지 않고, 다양한 고성능 IoT 장치들(100b, 100c, 100d)과 통신을 수행할 수 있다.
이하 제1 고성능 IoT 장치(100a)에 대한 설명을 하지만 해당 설명은 나머지 고성능 IoT 장치들(100b, 100c, 100d)에도 적용되는 내용이므로, 나머지 고성능 IoT 장치들(100b, 100c, 100d)에 대한 설명은 생략하기로 한다.
도 2는 본 발명의 실시예에 따른 제1 고성능 IoT 장치를 설명하기 위한 블록도이고, 도 3은 본 발명의 실시예에 따른 제어부를 설명하기 위한 블록도이다.
도 1 내지 도 3을 참조하면, 제1 고성능 IoT 장치(100a)는 통신부(10) 및 제어부(30)를 포함하고, 구동부(50) 및 저장부(70)를 더 포함할 수 있다.
통신부(10)는 다른 고성능 IoT 장치들(100b, 100c, 100d) 및 복수의 저성능 IoT 장치들(200)과 통신을 수행한다. 통신부(10)는 다른 고성능 IoT 장치들(100b, 100c, 100d)로부터 새로운 제로 데이 멀웨어의 시그니처와 자체적으로 수집한 제로 데이 멀웨어와 관련된 데이터를 수신하고, 새로운 제로 데이 멀웨어의 시그니처와 자체적으로 수집한 제로 데이 멀웨어와 관련된 데이터를 다른 고성능 IoT 장치들(100b, 100c, 100d)로 전송한다. 여기서 제로 데이 멀웨어와 관련된 데이터는 IoT 네트워크 데이터, 데이터 타입 종류, ID 정보 등이 포함될 수 있다. 통신부(10)는 복수의 저성능 IoT 장치들(200a, 200b, 200c)로부터 IoT 네트워크 데이터를 수신하고, 새로운 제로 데이 멀웨어의 시그니처를 복수의 저성능 IoT 장치들(200a, 200b, 200c)로 전송한다.
제어부(30)는 제1 고성능 IoT 장치(100a)의 전반적인 제어를 수행한다. 제어부(30)는 학습부(31), 제1 상호작용부(32) 및 제2 상호작용부(33)를 포함한다.
학습부(31)는 딥러닝 기반 제로 데이 멀웨어의 탐지모델(75)을 학습시킨다. 여기서 탐지모델(75)은 신층신경망(deep neural network, DNN)을 포함하는 모델로써, 비지도형 학습(unsupervised learning)을 수행한다. 입력층, 복수의 은닉층, 출력층을 포함할 수 있다. 입력층은 제로 데이 멀웨어와 관련된 데이터가 학습용 입력 데이터로 입력되고, 입력된 학습용 입력 데이터를 은닉층으로 전달한다. 각 은닉층은 복수의 은닉 노드를 포함하고, 복수의 은닉 노드 각각은 입력 데이터에 가중치가 적용된 값을 입력받고, 입력된 값을 모두 합산한 후, 합산된 값에 대해 활성화함수에 따른 연산을 수행하여 해당 은닉 노드값을 산출한다. 이때 산출된 은닉 노드값은 다음 은닉층의 입력 데이터로 사용된다. 출력층은 복수의 은닉층을 통해 연산된 은닉 노드값에 대응되는 제로 데이 멀웨어의 예측값을 출력한다. 이러한 탐지모델(75)의 구조를 기반으로 학습부(31)는 활성화함수에 따른 연산 과정을 통해 출력된 예측값이 학습용 입력 데이터에 대응하는 정답값(미리 알고 있음)에 가까워지도록 학습을 시킨다. 학습부(31)는 기 설정된 횟수만큼 상술된 학습을 반복 수행할 수 있다. 기 설정된 횟수는 사용자가 원하는 평가 지표를 만족하는 결과값이 출력되기 위한 최소의 횟수일 수 있다.
또한 학습부(31)는 다른 고성능 IoT 장치들(100b, 100c, 100d)로부터 수신된 제로 데이 멀웨어와 관련된 데이터 또는 복수의 저성능 IoT 장치들(200a, 200b, 200c)로부터 수신된 IoT 네트워크 데이터를 학습용 입력 데이터로 사용하여 지속적인 학습을 수행할 수 있다.
제1 상호작용부(32)는 저성능 IoT 장치(200)와의 상호작용을 지원한다. 제1 상호작용부(32)는 복수의 저성능 IoT 장치(200a, 200b, 200c)로부터 IoT 네트워크 데이터가 각각 수신되면 수신된 IoT 네트워크 데이터 각각을 기 저장된 IoT 네트워크 데이터와의 유사도를 비교하여 데이터 타입을 정의한다. 예를 들어 제1 상호작용부(32)는 IoT 네트워크 데이터 D1을 기 저장된 IoT 네트워크 데이터 D2와 비교하는 경우, 데이터 내용에서 서로 다른 부분이 기 설정된 기준을 초과하면 D1과 D2가 서로 다른 데이터 타입이라고 판단하여 D1을 D2와 다른 데이터 타입으로 정의한다. 여기서 기 설정된 기준은 70%~95%일 수 있으나, 이에 한정하지 않는다.
제1 상호작용부(32)는 정의된 데이터 타입 중 기 저장된 데이터 타입과 다른 데이터 타입이 존재하는 경우, 새로운 제로 데이 멀웨어의 시그니처를 해당 데이터 타입과 관련된 저성능 IoT 장치로 제공할 확률을 산출한다. 즉 제1 상호작용부(32)는 다른 데이터 타입을 가지는 IoT 네트워크 데이터를 전송한 저성능 IoT 장치로 시그니처를 제공할 확률을 [수학식 1]과 같이 산출할 수 있다. 이때 n개의 저성능 IoT 장치가 전송한 IoT 네트워크 데이터들의 서로 다른 데이터 타입의 개수를 각각 A1, A2, …, An이고, 시그니처를 제공할 저성능 IoT 장치를 Lk이며, 시그니처를 제공하는 고성능 IoT 장치가 R개의 새로운 제로 데이 멀웨어의 시그니처를 구비한다고 가정한다.
여기서 Pk는 시그니처를 저성능 IoT 장치로 제공할 확률을 의미하고, P0는 초기 확률값을 의미하며, Ak는 k번째 저성능 IoT 장치가 전송한 IoT 네트워크 데이터들의 서로 다른 데이터 타입의 개수를 의미한다.
제1 상호작용부(32)는 [수학식 1]을 기반으로 저성능 IoT 장치 Lk에 새로운 제로 데이 멀웨어의 시그니처를 PkхR개 만큼 제공한다. 즉 제1 상호작용부(32)는 다른 데이터 타입의 개수가 많은 IoT 네트워크 데이터를 전송한 저성능 IoT 장치일수록 시그니처가 더 많이 제공되도록 제어한다.
제2 상호작용부(33)는 다른 고성능 IoT 장치(100b, 100c, 100d)와의 상호작용을 지원한다. 즉 제2 상호작용부(33)는 다른 고성능 IoT 장치들이 서로 협력(coalition)하여 자신들이 가지고 있는 제로 데이 멀웨어의 시그니처들을 공유한다. 이때 공유하는 과정은 기브(give) 작업과 테이크(take) 작업으로 구분할 수 있다. 기브 작업은 새로운 제로 데이터 멀웨어의 시그니처를 다른 고성능 IoT 장치들로 전송하는 작업을 의미하고, 테이크 작업은 다른 고성능 IoT 장치들로부터 새로운 제로 데이터 멀웨어의 시그니처를 수신하는 것을 작업을 의미한다. 예를 들어 두 개의 고성능 IoT 장치가 서로에게 기브 작업을 수행하면 결과적으로 두 개의 고성능 IoT 장비는 기브 작업과 테이크 작업을 동시에 수행하게 되며, 두 개의 고성능 IoT 장치 간에 협력이 성립되었다고 판단할 수 있다.
제2 상호작용부(33)는 기브 작업을 수행할 때, 자체적으로 수집한 제로 데이 멀웨어와 관련된 데이터를 다른 고성능 IoT 장치들(100b, 100c, 100d)로 더 전송할 수 있다. 또한 제2 상호작용부(33)는 테이크 작업을 수행할 때, 다른 고성능 IoT 장치들이 자체적으로 수집한 제로 데이 멀웨어와 관련된 데이터를 더 수신할 수 있다. 제로 데이 멀웨어와 관련된 데이터는 IoT 네트워크 데이터, 데이터 타입 종류, ID 정보 등이 포함될 수 있다.
제2 상호작용부(33)는 IoT 네트워크 상에서 기브 작업과 테이크 작업 중 적어도 하나가 수행되면 기브 작업과 테이크 작업을 수행한 모든 고성능 IoT 장치의 ID(identification) 정보를 공유한다. 제2 상호작용부(33)는 공유된 ID 정보를 기반으로 섀플리 밸류(Shapley value)를 산출한다. 여기서 제2 상호작용부(33)는 섀플리 밸류를 산출하기 위한 주기인 타임슬롯(time slot)을 정의한다. 제2 상호작용부(33)는 각 타임슬롯 동안 기브 작업과 테이크 작업이 수행되고, 타임슬롯이 끝날 때마다 섀플리 밸류를 산출할 수 있다. 제2 상호작용부(33)는 [수학식 2]와 같이 섀플리 밸류를 산출할 수 있다.
여기서 Wj는 섀플리 밸류를 의미하고, C는 기브 작업과 테이크 작업에 참여한 고성능 IoT 장치들의 부분 집합들로 구성된 집합을 의미하며, U는 u개의 고성능 IoT 장치들로 구성된 리스트를 의미하고, f는 기브 작업과 테이크 작업에 참여한 고성능 IoT 장치들의 부분 집합에 부여하는 특성함수(characteristic function)를 의미한다.
제2 상호작용부(33)는 산출된 섀플리 밸류를 이용하여 다음 번 테이크 작업이 수행될 확률을 산출한다. 제2 상호작용부(33)는 [수학식 3]과 같이 다음 번 테이크 작업이 수행될 확률을 산출할 수 있다.
여기서 Pj는 다음 번 테이크 작업이 수행될 확률을 의미하고, P0는 초기 확률값을 의미한다.
제2 상호작용부(33)는 산출된 확률을 기반으로 다음 번 테이크 작업이 수행되도록 제어한다. 즉 제2 상호작용부(33)는 기브 작업을 더 많이 수행할수록 다음 번 타임슬롯에서 테이크 작업이 수행될 확률이 커지도록 제어할 수 있다.
구동부(50)는 제1 고성능 IoT 장치(100a)가 가지고 있는 고유의 기능을 수행한다. 예를 들어 제1 고성능 IoT 장치(100a)가 로봇 청소기인 경우, 구동부(50)는 청소 기능을 수행할 수 있고, 제1 고성능 IoT 장치(100a)가 에어컨인 경우, 구동부(50)는 냉방 기능을 수행할 수 있다.
저장부(70)는 제1 고성능 IoT 장치(100a)가 구동하기 위한 프로그램 또는 알고리즘이 저장된다. 저장부(70)는 딥러닝 기반 제로 데이 멀웨어의 탐지모델(75)이 저장된다. 저장부(70)는 제로 데이 멀웨어와 관련된 데이터 및 제로 데이 멀웨어의 시그니처가 저장된다. 저장부(70)는 데이터 타입과 관련된 데이터 및 고성능 IoT 장치들의 ID 정보가 저장된다. 저장부(70)는 플래시 메모리 타입(flash memory type), 하드디스크 타입(hard disk type), 미디어 카드 마이크로 타입(multimedia card micro type), 카드 타입의 메모리(예를 들어 SD 또는 XD 메모리 등), 램(Random Access Memory, RAM), SRAM(Static Random Access Memory), 롬(Read-Only Memory, ROM), EEPROM(Electrically Erasable Programmable Read-Only Memory), PROM(Programmable Read-Only Memory), 자기메모리, 자기 디스크 및 광디스크 중 적어도 하나의 저장매체를 포함할 수 있다.
한편 도면에서는 도시되지 않았지만, 제1 고성능 IoT 장치(100a)는 사용자 입력을 입력받는 입력부(미도시), 현재 상태 및 사용자 인터페이스를 출력하는 출력부(미도시) 등을 더 포함할 수 있다.
도 4는 본 발명의 실시예에 따른 고성능 IoT 장치와 복수의 저성능 IoT 장치들 간의 상호작용 방법을 설명하기 위한 순서도이다.
도 4를 참조하면, 상호작용 방법은 딥러닝 기반 제로 데이 멀웨어의 탐지 모델을 탑재하여 운용할 수 있는 복수의 고성능 IoT 장치들과 운용할 수 없는 복수의 저성능 IoT 장치들로 구분한다. 상호작용 방법은 저성능 IoT 장치들이 고성능 IoT 장치들의 탐지기능을 이용하여 제로 데이 멀웨어의 탐지에 참여할 수 있도록 지원한다. 이를 통해 상호작용 방법은 저성능 IoT 장치들에서도 제로 데이 멀웨어에 대한 대처를 할 수 있도록 도와준다.
S110 단계에서, 제1 저성능 IoT 장치(200a) 및 제2 저성능 IoT 장치(200b) 각각은 IoT 네트워크 데이터를 수집한다. 여기서 IoT 네트워크 데이터는 IoT 통신을 수행하면서 수집되는 네트워크 데이터를 의미한다.
S120 단계에서, 제1 저성능 IoT 장치(200a) 및 제2 저성능 IoT 장치(200b) 각각은 수집된 IoT 네트워크 데이터를 제1 고성능 IoT 장치(100a)로 전송한다.
S130 단계에서, 제1 고성능 IoT 장치(100a)는 수집된 IoT 네트워크 데이터 각각에 대한 데이터 타입을 정의한다. 제1 고성능 IoT 장치(100a)는 수신된 IoT 네트워크 데이터 각각을 기 저장된 IoT 네트워크 데이터와의 유사도를 비교하여 데이터 타입을 정의한다.
S140 단계에서, 제1 고성능 IoT 장치(100a)는 제로 데이 멀웨어의 시그니처를 제공할 확률을 산출한다. 제1 고성능 IoT 장치(100a)는 정의된 데이터 타입 중 기 저장된 데이터 타입과 다른 데이터 타입이 존재하는 경우, 새로운 제로 데이 멀웨어의 시그니처를 해당 데이터 타입과 관련된 저성능 IoT 장치로 제공할 확률을 산출한다. 제1 고성능 IoT 장치(100a)는 상술된 [수학식 1]을 이용하여 저성능 IoT 장치로 제공할 확률을 산출할 수 있다. 여기서 제1 고성능 IoT 장치(100a)는 다른 데이터 타입의 개수가 많은 IoT 네트워크 데이터를 전송한 저성능 IoT 장치일수록 높은 확률값을 산출한다.
S150 단계에서, 제1 고성능 IoT 장치(100a)는 산출된 확률에 따라 시그니처를 해당 저성능 IoT 장치로 전송한다. 이때 제1 고성능 IoT 장치(100a)는 다른 데이터 타입의 개수가 많은 IoT 네트워크 데이터를 전송한 저성능 IoT 장치일수록 시그니처를 더 많이 제공할 수 있다.
도 5는 본 발명의 실시예에 따른 복수의 고성능 IoT 장치들 간의 상호작용 방법을 설명하기 위한 순서도이다.
도 5를 참조하면, 상호작용 방법은 고성능 IoT 장치들(100a, 100b, 100c)끼리 섀플리 밸류를 기반으로 새로운 제로 데이 멀웨어의 시그니처를 공유함으로써, 제로 데이 멀웨어의 탐지율을 향상시켜 IoT 네트워크의 보안성을 높일 수 있다.
S210 단계에서, 복수의 고성능 IoT 장치들(100a, 100b, 100c)은 기브 작업과 테이크 작업을 수행한다. 여기서 기브 작업은 새로운 제로 데이 멀웨어의 시그니처를 다른 고성능 IoT 장치들로 전송하는 작업을 의미하고, 테이크 작업은 다른 고성능 IoT 장치로부터 새로운 제로 데이 멀웨어의 시그니처를 수신하는 작업을 의미한다. 여기서 각 고성능 IoT 장치들(100a, 100b, 100c)은 섀플리 밸류를 산출하기 위한 주기인 타임슬롯을 정의한다. 타임슬롯은 해당 시간 동안 기브 작업과 테이크 작업이 수행된다.
S220 단계에서, 복수의 고성능 IoT 장치들(100a, 100b, 100c)은 기브 작업과 테이크 작업을 수행한 고성능 IoT 장치의 ID 정보를 공유한다. 이때 복수의 고성능 IoT 장치들(100a, 100b, 100c)은 IoT 네트워크 상에서 기브 작업과 테이크 작업을 수행한 모든 고성능 IoT 장치의 ID 정보를 공유할 수 있다.
S230 단계에서, 각 고성능 IoT 장치들(100a, 100b, 100c)은 섀플리 밸류를 산출한다. 각 고성능 IoT 장치들(100a, 100b, 100c)은 공유된 ID 정보를 기반으로 자신의 섀플리 밸류를 산출할 수 있다. 각 고성능 IoT 장치들(100a, 100b, 100c)은 상술된 [수학식 2]를 이용하여 섀플리 밸류를 산출할 수 있다.
S240 단계에서, 각 고성능 IoT 장치들(100a, 100b, 100c)은 다음 번 타임슬롯에서의 테이크 작업이 수행될 확률을 산출한다. 각 고성능 IoT 장치들(100a, 100b, 100c)은 산출된 섀플리 밸류를 이용하여 자신의 다음 번 테이크 작업이 수행될 확률을 산출할 수 있다. 각 고성능 IoT 장치들(100a, 100b, 100c)은 상술된 [수학식 3]을 이용하여 다음 번 테이크 작업이 수행될 확률을 산출할 수 있다.
S250 단계에서, 복수의 고성능 IoT 장치들(100a, 100b, 100c)은 산출된 테이크 작업이 수행될 확률 기반으로 기브 작업과 테이크 작업을 수행한다. 이때 이전 타임슬롯에서 기브 작업을 많이 수행한 고성능 IoT 장치일수록 다른 고성능 IoT 장치들보다 더 많은 테이크 작업을 수행할 수 있다.
S260 단계에서, 복수의 고성능 IoT 장치들(100a, 100b, 100c)은 S220 단계로 분기하여 S220 단계에서 S250 단계를 반복 수행한다.
도 6은 본 발명의 실시예에 따른 컴퓨팅 장치를 설명하기 위한 블록도이다.
도 6을 참조하면, 컴퓨팅 장치(TN100)는 본 명세서에서 기술된 장치(예를 들면 고성능 IoT 장치, 저성능 IoT 장치 등) 일 수 있다.
컴퓨팅 장치(TN100)는 적어도 하나의 프로세서(TN110), 송수신 장치(TN120), 및 메모리(TN130)를 포함할 수 있다. 또한, 컴퓨팅 장치(TN100)는 저장 장치(TN140), 입력 인터페이스 장치(TN150), 출력 인터페이스 장치(TN160) 등을 더 포함할 수 있다. 컴퓨팅 장치(TN100)에 포함된 구성 요소들은 버스(bus)(TN170)에 의해 연결되어 서로 통신을 수행할 수 있다.
프로세서(TN110)는 메모리(TN130) 및 저장 장치(TN140) 중에서 적어도 하나에 저장된 프로그램 명령(program command)을 실행할 수 있다. 프로세서(TN110)는 중앙 처리 장치(CPU: central processing unit), 그래픽 처리 장치(GPU: graphics processing unit), 또는 본 발명의 실시예에 따른 방법들이 수행되는 전용의 프로세서를 의미할 수 있다. 프로세서(TN110)는 본 발명의 실시예와 관련하여 기술된 절차, 기능, 및 방법 등을 구현하도록 구성될 수 있다. 프로세서(TN110)는 컴퓨팅 장치(TN100)의 각 구성 요소를 제어할 수 있다.
메모리(TN130) 및 저장 장치(TN140) 각각은 프로세서(TN110)의 동작과 관련된 다양한 정보를 저장할 수 있다. 메모리(TN130) 및 저장 장치(TN140) 각각은 휘발성 저장 매체 및 비휘발성 저장 매체 중에서 적어도 하나로 구성될 수 있다. 예를 들어, 메모리(TN130)는 읽기 전용 메모리(ROM: read only memory) 및 랜덤 액세스 메모리(RAM: random access memory) 중에서 적어도 하나로 구성될 수 있다.
송수신 장치(TN120)는 유선 신호 또는 무선 신호를 송신 또는 수신할 수 있다. 송수신 장치(TN120)는 네트워크에 연결되어 통신을 수행할 수 있다.
한편, 본 발명의 실시예는 지금까지 설명한 장치 및/또는 방법을 통해서만 구현되는 것은 아니며, 본 발명의 실시예의 구성에 대응하는 기능을 실현하는 프로그램 또는 그 프로그램이 기록된 기록 매체를 통해 구현될 수도 있으며, 이러한 구현은 상술한 실시예의 기재로부터 본 발명이 속하는 기술 분야의 통상의 기술자라면 쉽게 구현할 수 있는 것이다.
이상에서 본 발명의 실시예에 대하여 상세하게 설명하였지만 본 발명의 권리범위는 이에 한정되는 것은 아니고 다음의 청구범위에서 정의하고 있는 본 발명의 기본 개념을 이용한 통상의 기술자의 여러 변형 및 개량 형태 또한 본 발명의 권리범위에 속하는 것이다.
10: 통신부
30: 제어부
31: 학습부
32: 제1 상호작용부
33: 제2 상호작용부
50: 구동부
70: 저장부
75: 탐지모델
100: 고성능 IoT 장치
200: 저성능 IoT 장치
300: IoT 네트워크 시스템
30: 제어부
31: 학습부
32: 제1 상호작용부
33: 제2 상호작용부
50: 구동부
70: 저장부
75: 탐지모델
100: 고성능 IoT 장치
200: 저성능 IoT 장치
300: IoT 네트워크 시스템
Claims (12)
- 딥러닝 기반 제로 데이 멀웨어(zero-day malware)의 탐지모델을 탑재하여 운용할 수 있는 적어도 하나의 고성능 IoT(Internet of Thing) 장치와 상기 탐지모델을 탑재하여 운용할 수 없는 복수의 저성능 IoT 장치들로 구성된 IoT 네트워크 시스템에 포함된 고성능 IoT 장치에 있어서,
상기 복수의 저성능 IoT 장치들과 통신을 수행하는 통신부; 및
상기 복수의 저성능 IoT 장치들로부터 IoT 네트워크 데이터가 각각 수신되면 상기 수신된 IoT 네트워크 데이터 각각을 기 저장된 IoT 네트워크 데이터와의 유사도를 비교하여 데이터 타입을 정의하고, 상기 정의된 데이터 타입 중 기 저장된 데이터 타입과 다른 데이터 타입이 존재하는 경우, 새로운 제로 데이 멀웨어의 시그니처(signature)를 해당 데이터 타입과 관련된 저성능 IoT 장치로 제공할 확률을 산출하며, 상기 산출된 확률에 따라 상기 시그니처를 해당 저성능 IoT 장치로 전송시키는 제어부;
를 포함하는 고성능 IoT 장치. - 제 1항에 있어서,
상기 복수의 저성능 IoT 장치들로부터 수신된 IoT 네트워크 데이터 및 자체적으로 수집한 IoT 네트워크 데이터를 학습 데이터로 이용하여 상기 탐지모델을 학습시키는 학습부;
를 더 포함하는 것을 특징으로 하는 고성능 IoT 장치. - 제 1항에 있어서,
상기 제어부는,
상기 다른 데이터 타입의 개수가 많은 IoT 네트워크 데이터를 전송한 저성능 IoT 장치일수록 상기 시그니처가 더 많이 제공되도록 제어하는 것을 특징으로 하는 고성능 IoT 장치. - 제 1항에 있어서,
상기 제어부는,
하기 수학식을 이용하여 상기 확률을 산출하는 것을 특징으로 하는 고성능 IoT 장치.
[수학식]
(여기서 Pk는 시그니처를 저성능 IoT 장치로 제공할 확률을 의미하고, P0는 초기 확률값을 의미하며, Ak는 k번째 저성능 IoT 장치가 전송한 IoT 네트워크 데이터들의 서로 다른 데이터 타입의 개수를 의미함) - 딥러닝 기반 제로 데이 멀웨어의 탐지모델을 탑재하여 운용할 수 있는 복수의 고성능 IoT 장치들로 구성된 IoT 네트워크 시스템에 포함된 고성능 IoT 장치에 있어서,
복수의 고성능 IoT 장치들과 통신을 수행하는 통신부; 및
새로운 제로 데이 멀웨어의 시그니처를 다른 고성능 IoT 장치들로 전송하는 기브(give) 작업과 다른 고성능 IoT 장치들로부터 새로운 제로 데이 멀웨어의 시그니처를 수신하는 테이크(take) 작업 중 적어도 하나가 수행되면 IoT 네트워크 상에서 상기 기브 작업과 상기 테이크 작업을 수행한 모든 고성능 IoT 장치의 ID 정보를 공유하고, 상기 공유된 ID 정보를 기반으로 섀플리 밸류(Shapley value)를 산출하며, 상기 산출된 섀플리 밸류를 이용하여 다음 번 테이크 작업이 수행될 확률을 산출하고, 상기 산출된 확률을 기반으로 다음 번 테이크 작업이 수행되도록 제어하는 제어부;
를 포함하는 고성능 IoT 장치. - 제 5항에 있어서,
상기 제어부는,
상기 섀플리 밸류를 산출하기 위한 주기인 타임슬롯을 정의하고, 각 타임슬롯 동안 상기 기브 작업과 상기 테이크 작업이 수행되며, 상기 타임슬롯이 끝날 때마다 상기 섀플리 밸류를 산출하는 것을 특징으로 하는 고성능 IoT 장치. - 제 5항에 있어서,
상기 제어부는,
상기 기브 작업을 더 많이 수행할수록 상기 다음 번 테이크 작업이 수행될 확률이 커지도록 제어하는 것을 특징으로 하는 고성능 IoT 장치. - 제 5항에 있어서,
상기 제어부는,
하기 수학식을 이용하여 상기 섀플리 밸류를 산출하는 것을 특징으로 하는 고성능 IoT 장치.
[수학식]
(여기서 Wj는 섀플리 밸류를 의미하고, C는 기브 작업과 테이크 작업에 참여한 고성능 IoT 장치들의 부분 집합들로 구성된 집합을 의미하며, U는 u개의 고성능 IoT 장치들로 구성된 리스트를 의미하고, f는 기브 작업과 테이크 작업에 참여한 고성능 IoT 장치들의 부분 집합에 부여하는 특성함수(characteristic function)를 의미함) - 제 8항에 있어서,
상기 제어부는,
하기 수학식을 이용하여 상기 다음 번 테이크 작업이 수행될 확률을 산출하는 것을 특징으로 하는 고성능 IoT 장치.
[수학식]
(여기서 Pj는 다음 번 테이크 작업이 수행될 확률을 의미하고, P0는 초기 확률값을 의미함) - 제 5항에 있어서,
상기 제어부는,
상기 기브 작업을 수행할 때, 자체적으로 수집한 제로 데이 멀웨어와 관련된 데이터를 상기 다른 고성능 IoT 장치로 더 전송하고,
상기 테이크 작업을 수행할 때, 상기 다른 고성능 IoT 장치들이 자체적으로 수집한 제로 데이 멀웨어와 관련된 데이터를 더 수신하는 것을 특징으로 하는 고성능 IoT 장치. - 딥러닝 기반 제로 데이 멀웨어의 탐지모델을 탑재하여 운용할 수 있는 적어도 하나의 고성능 IoT 장치와 상기 탐지모델을 탑재하여 운용할 수 없는 복수의 저성능 IoT 장치들로 구성된 IoT 네트워크 시스템에서 수행되는 상호작용 방법에 있어서,
상기 고성능 IoT 장치가 상기 복수의 저성능 IoT 장치들로부터 IoT 네트워크 데이터를 각각 수신하는 단계;
상기 고성능 IoT 장치가 상기 수신된 IoT 네트워크 데이터 각각을 기 저장된 IoT 네트워크 데이터와의 유사도를 비교하여 데이터 타입을 정의하는 단계;
상기 고성능 IoT 장치가 상기 정의된 데이터 타입 중 기 저장된 데이터 타입과 다른 데이터 타입이 존재하는 경우, 새로운 제로 데이 멀웨어의 시그니처를 해당 데이터 타입과 관련된 저성능 IoT 장치로 제공할 확률을 산출하는 단계; 및
상기 고성능 IoT 장치가 상기 산출된 확률에 따라 상기 시그니처를 해당 저성능 IoT 장치로 전송하는 단계;
를 포함하는 상호작용 방법. - 딥러닝 기반 제로 데이 멀웨어의 탐지모델을 탑재하여 운용할 수 있는 복수의 고성능 IoT 장치들로 구성된 IoT 네트워크 시스템에서 수행되는 상호작용 방법에 있어서,
상기 고성능 IoT 장치가 새로운 제로 데이 멀웨어의 시그니처를 다른 고성능 IoT 장치들로 전송하는 기브 작업과 다른 고성능 IoT 장치들로부터 새로운 제로 데이 멀웨어의 시그니처를 수신하는 테이크 작업 중 적어도 하나를 수행하는 단계;
상기 고성능 IoT 장치가 IoT 네트워크 상에서 상기 기브 작업과 상기 테이크 작업을 수행한 모든 고성능 IoT 장치의 ID 정보를 공유하는 단계;
상기 고성능 IoT 장치가 상기 공유된 ID 정보를 기반으로 섀플리 밸류를 산출하는 단계;
상기 고성능 IoT 장치가 상기 산출된 섀플리 밸류를 이용하여 다음 번 테이크 작업이 수행될 확률을 산출하는 단계; 및
상기 고성능 IoT 장치가 상기 산출된 확률을 기반으로 다음 번 테이크 작업을 수행하는 단계;
를 포함하는 상호작용 방법.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020220157667A KR102671668B1 (ko) | 2022-11-22 | 2022-11-22 | 제로 데이 멀웨어를 방어하기 위한 상호작용 방법 및 이를 위한 장치 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020220157667A KR102671668B1 (ko) | 2022-11-22 | 2022-11-22 | 제로 데이 멀웨어를 방어하기 위한 상호작용 방법 및 이를 위한 장치 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| KR20240075567A KR20240075567A (ko) | 2024-05-29 |
| KR102671668B1 true KR102671668B1 (ko) | 2024-06-03 |
Family
ID=91278103
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020220157667A KR102671668B1 (ko) | 2022-11-22 | 2022-11-22 | 제로 데이 멀웨어를 방어하기 위한 상호작용 방법 및 이를 위한 장치 |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR102671668B1 (ko) |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20220102706A (ko) | 2021-01-13 | 2022-07-21 | 한국전력공사 | 사이버 공격 탐지 장치 및 방법 |
-
2022
- 2022-11-22 KR KR1020220157667A patent/KR102671668B1/ko active IP Right Grant
Also Published As
| Publication number | Publication date |
|---|---|
| KR20240075567A (ko) | 2024-05-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111460443B (zh) | 一种联邦学习中数据操纵攻击的安全防御方法 | |
| Han et al. | Reinforcement learning for autonomous defence in software-defined networking | |
| CN108549940B (zh) | 基于多种对抗样例攻击的智能防御算法推荐方法及系统 | |
| Sethi et al. | Handling adversarial concept drift in streaming data | |
| CN110505241B (zh) | 一种网络攻击面检测方法及系统 | |
| Farooqui et al. | Game theory models for communication between agents: a review | |
| Li et al. | Explainable intelligence-driven defense mechanism against advanced persistent threats: A joint edge game and AI approach | |
| CN110839031B (zh) | 一种基于强化学习的恶意用户行为智能检测系统 | |
| Pauna et al. | Qrassh-a self-adaptive ssh honeypot driven by q-learning | |
| Zhao et al. | CAN bus intrusion detection based on auxiliary classifier GAN and out-of-distribution detection | |
| CN111131199B (zh) | 业务攻击流量清洗控制方法、装置、服务器及存储介质 | |
| Bernieri et al. | Kingfisher: An industrial security framework based on variational autoencoders | |
| CN112671739A (zh) | 分布式系统的节点性质识别方法 | |
| EP4060572A1 (en) | Computer-implemented method for accelerating convergence in the training of generative adversarial networks (gan) to generate synthetic network traffic, and computer programs of same | |
| KR102671668B1 (ko) | 제로 데이 멀웨어를 방어하기 위한 상호작용 방법 및 이를 위한 장치 | |
| Wang et al. | Vulnerability of deep learning model based anomaly detection in vehicle network | |
| CN110598794A (zh) | 一种分类对抗的网络攻击检测方法及系统 | |
| CN117235742A (zh) | 一种基于深度强化学习的智能化渗透测试方法与系统 | |
| Bera et al. | Deterring adversarial learning in penetration testing by exploiting domain adaptation theory | |
| CN117150566A (zh) | 面向协作学习的鲁棒训练方法及装置 | |
| Weerasinghe et al. | Deep learning based game-theoretical approach to evade jamming attacks | |
| Kang et al. | A transfer learning based abnormal can bus message detection system | |
| Kanellopoulos et al. | Bounded rationality in byzantine sensors under attacks | |
| Zan et al. | Adversarial attacks on cooperative multi-agent deep reinforcement learning: a dynamic group-based adversarial example transferability method | |
| Rishu et al. | Enhancing exfiltration path analysis using reinforcement learning |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| E701 | Decision to grant or registration of patent right | ||
| GRNT | Written decision to grant |