KR20090041198A - 추이성분 필터링을 이용한 시계열 모델 기반의 네트워크공격 탐지 방법 - Google Patents

추이성분 필터링을 이용한 시계열 모델 기반의 네트워크공격 탐지 방법 Download PDF

Info

Publication number
KR20090041198A
KR20090041198A KR1020070106782A KR20070106782A KR20090041198A KR 20090041198 A KR20090041198 A KR 20090041198A KR 1020070106782 A KR1020070106782 A KR 1020070106782A KR 20070106782 A KR20070106782 A KR 20070106782A KR 20090041198 A KR20090041198 A KR 20090041198A
Authority
KR
South Korea
Prior art keywords
time series
base component
trend
model
network
Prior art date
Application number
KR1020070106782A
Other languages
English (en)
Inventor
차명석
심원태
김우한
Original Assignee
한국정보보호진흥원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국정보보호진흥원 filed Critical 한국정보보호진흥원
Priority to KR1020070106782A priority Critical patent/KR20090041198A/ko
Priority to US11/941,215 priority patent/US20090106839A1/en
Publication of KR20090041198A publication Critical patent/KR20090041198A/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2151Time stamp

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 네트워크 공격 탐지 방법에 관한 것으로써, 더욱 상세하게는, 시계열 데이터로부터 추이성분 필터링을 통해 네트워크 공격과는 관련성이 적은 추이성분을 제거함으로써, 예측오류를 최소화하면서, 간편하고 정밀하게 네트워크 공격을 탐지할 수 있는 네트워크 공격 탐지 방법에 관한 것이다. 본 발명의 일 실시예에 따른 네트워크 공격 탐지 방법은, (a) 시계열 데이터의 추이성분을 제거하여 기저성분을 추출하는 단계; 및 (b) 상기 기저성분에 대해 시계열 모델을 적용하여 이상 징후를 탐지하는 단계를 포함한다. 본 발명에 따른 네트워크 공격 탐지 방법은 네트워크 트래픽의 정상적인 모델을 개발하여, 해당 모델에 위배적인 현상에 대해서 이상징후로 판별하며, 시계열 데이터의 선형추이(Linear trend), 계절추이(Seasonal trend)와 반복추이(Cyclic trend) 성분을 필터링하여 제거함으로써, 간편하고 정밀한 네트워크 공격 탐지를 수행할 수 있는 효과가 있다.
시계열 분석, 시그널 처리, 추이성분 필터, 네트워크 공격 탐지

Description

추이성분 필터링을 이용한 시계열 모델 기반의 네트워크 공격 탐지 방법 {METHOD FOR DETECTING NETWORK ATTACK BASED ON TIME SERIES MODEL USING THE TREND FILTERING}
본 발명은 네트워크 공격 탐지 방법에 관한 것으로써, 더욱 상세하게는, 시계열 데이터로부터 추이성분 필터링을 통해 네트워크 공격과는 관련성이 적은 추이성분을 제거함으로써, 예측오류를 최소화하면서, 간편하고 정밀하게 네트워크 공격을 탐지할 수 있는 네트워크 공격 탐지 방법에 관한 것이다.
많은 기업들은 보안위협의 진화로부터 정보시스템을 보호하기 위해 침입차단시스템(Firewall), 바이러스월, 침입탐지시스템(IDS), 침입방지시스템(IPS)과 같은 다양한 보안 솔루션들을 통합보안관리(ESM) 시스템을 기반으로 전사적으로 통합하여 운영 중이다. 또한 근래 알려지지 않은 소프트웨어 취약점을 이용한 제로데이(Zero-day) 공격 탐지에 대한 필요성이 대두되고 있으며, 현재 프로토콜 행위분석과 네트워크 트래픽 비율을 이용하여 이상징후(Anomaly)를 탐지하는 침입방지시스템이 시장에 등장하고 있다. 이와 같은 보안 관리의 복잡성의 증가는 많은 문제점을 야기하고 있으며, 그중 중요한 이슈가 되고 있는 오탐지(False Positive)에 의한 보안이벤트의 홍수는 가트너 그룹에서 지적한 바와 같이 범용되고 있는 시그니처 기반 침입탐지시스템이나 침입방지시스템을 막논하고 보안 인프라를 무용지물로 만들 수 있는 심각한 문제임이 분명하다.
시계열분석에서 다루고자하는 데이터들은 시간의 흐름에 따라 순서대로 관측되므로 시간의 영향을 받게 된다. 이와 같이 시간의 흐름에 따라 일정한 간격으로 관측된 데이터를 시계열 데이터라 한다. 시계열 데이터의 특징은 한 시점에서 관측된 자료는 그 이전의 관측된 자료들에 의존한다는 것이다. 시계열 데이터는 불규칙요인과 추이요인을 포함하고 있으며, 추이요인은 선형추이요인과 계절요인, 순환요인으로 나눌 수 있다. 불규칙요인(Irregular component)은 시간에 따른 규칙적인 움직임과는 무관하게 임의의 원인에 의해 나타나는 변동을 의미하며, 시간이 경과함에 따라 관측 값이 지속적으로 증가하거나 감소하는 추세를 갖는 경우의 변동요인을 선형추이요인(linear trend component)이라 한다. 시간에 따른 추세변화보다는 계절에 따른 변동만을 갖는 경우가 있으며, 계절의 주기적인 변동요인에 의한 변동을 계절요인(Seasonal component)이라 한다. 계절요인과 같이 주기적인 변화를 가지나 계절에 의한 변동이 아니라 주기가 긴 경우의 변동으로 순환요인(Cyclical component)이 있다.
일반적으로 네트워크 관리자들은 네트워크 이상징후를 탐지하기 위해 NMS(Network Management System)을 이용하여 네트워크 트래픽 통계 데이터의 히스토그램(Histogram)을 관찰하며, 경험에 비추어 현상의 이상여부를 판단한다. 상용 NMS는 SNMP를 이용하여 네트워크 장비에서 MIB(Management Information Base) 데이 터를 질의하여 수신하며, 네트워크 이상징후를 판별하기 위해 임계값을 이용한 간단한 규칙을 설정할 수 있는 기능을 제공한다. 하지만 이러한 규칙을 설정하는데 있어서 네트워크 관리자의 경험에 절대적으로 의존적이며, 많은 오류를 발생시키는 문제가 있다.
또한, 일반적으로 시계열 데이터는 전술한 선형추이(Linear trend), 계절추이(Seasonal trend)와 반복추이(Cyclic trend) 성분을 포함하며, 이러한 요소를 예측하는 것은 매우 복잡하여 많은 예측오류를 생성하는 문제점이 있다.
본 발명의 목적은 오탐지(False Positive)와 미탐지(False Negative)를 최소화하여 정밀한 네트워크 공격을 탐지할 수 있는 네트워크 공격 탐지 방법을 제공하는 것이다.
본 발명의 다른 목적은 네트워크 트래픽의 정상적인 모델을 개발하여, 해당 모델에 위배적인 현상에 대해서 이상징후로 판별하며, 시계열 데이터의 선형추이(Linear trend), 계절추이(Seasonal trend)와 반복추이(Cyclic trend) 성분을 필터링하여 제거함으로써, 간편하고 정밀한 네트워크 공격 탐지 방법을 제공하는 것이다.
전술한 목적을 달성하기 위한 본 발명의 일 실시예에 따른 네트워크 공격 탐지 방법은, (a) 시계열 데이터의 추이성분을 제거하여 기저성분을 추출하는 단계; 및 (b) 상기 기저성분에 대해 시계열 모델을 적용하여 이상 징후를 탐지하는 단계를 포함한다.
상기 (a) 단계에서, 시그널 필터를 이용하여 상기 추이성분을 제거할 수 있으며, 상기 시그널 필터는 고대역 통과필터로 구성될 수 있다.
상기 (b) 단계는, (b1) 상기 시계열 모델의 예측값을 기준으로 신뢰도 범위를 산정하여 정상범위를 설정하는 단계; 및 (b2) 상기 기저성분의 시계열이 상기 정상범위를 이탈하는 경우 이상 징후로 판단하는 단계를 포함할 수 있다.
상기 시계열 모델은 ARMA 모델로 구성될 수 있다.
상기 (a)와 (b) 단계 사이에는, 상기 기저성분의 시계열의 시간에 따른 일정한 편차를 분석하여 시계열 모델을 선정하는 단계; 및 자기상관계수 및 편자기상관계수에 기반하여 상기 시계열 모델의 파라미터를 결정하는 단계가 더 포함될 수 있다.
본 발명에 따른 네트워크 공격 탐지 방법은 네트워크 트래픽의 정상적인 모델을 개발하여, 해당 모델에 위배적인 현상에 대해서 이상징후로 판별하며, 시계열 데이터의 선형추이(Linear trend), 계절추이(Seasonal trend)와 반복추이(Cyclic trend) 성분을 필터링하여 제거함으로써, 간편하고 정밀한 네트워크 공격 탐지를 수행할 수 있는 효과가 있다.
이하에서는 첨부한 도면을 참조하여 본 발명의 바람직한 실시예들에 따른 네트워크 공격 탐지 방법에 대해서 상세하게 설명한다.
도 1은 본 발명의 일 실시예에 따른 네트워크 공격 탐지 방법을 도시한 순서도이다.
도 1을 참조하면, ISP(internet service provider) 네트워크로부터 공격 탐지를 수행하고자 하는 부분인 네트워크 트래픽 데이터 시계열을 수집한다(S110).
도 2는 네트워크 트래픽 시계열도를 도시한 그래프이며, 일 예로써, 국내 ISP 백본(Backbone)의 IX(Internet eXchange)구간, 국제구간, 내부구간의 링크(Link)들에서 수집되며, BPS(Bit Per-Second)와 PPS(Packet Per-Second) 데이터를 5분 주기로 각 링크에서 수집하여 오라클 데이터베이스에 저장하여 분석에 사용한 그래프를 나타낸다.
네트워크 트래픽은 매일 아침부터 점차적으로 증가하며, 저녁시간이 되면서 반대로 감소하여 새벽녘에 가장 작은 수치를 보이고, 이러한 현상은 매일 반복적인 추이를 보인다. 따라서, 상기 네트워크 BPS/PPS 데이터는 일정한 주기로 측정된 스칼라(Scalar) 관측 값으로써 시간에만 영향을 받는 단일변수시계열(Univariate Time Series)로써 정의할 수 있다.
도 2에 도시된 바와 같이, 해당 시계열은 매일 유사한 반복적 추이(Cyclic trend)를 나타내며, 이러한 추이성분(Trend component)은 예측이 매우 복잡하여, 시계열 예측에 있어서 많은 오류를 발생시키는 원인이 된다.
도 1을 재참조하면, 상기 네트워크 트래픽 데이터 시계열을 수집한 이후(S110), 상기 네트워크 트래픽 데이터 시계열을 시그널 필터를 이용하여 상기 추이성분을 제거한다(S120).
네트워크 트래픽 데이터 시계열은 기저성분(Residual component)과 추이성분(Trend component)의 두 가지 부분으로 구성된다. 상기 추이성분은 반복적 추이, 계절적 추이와 선형추이를 모두 포함한다.
네트워크 공격은 짧은 시간동안 네트워크 트래픽에 영향을 주는 특성을 가지며, 이러한 현상은 네트워크 트래픽 데이터 시계열의 기저성분에서 발견된다. 또한 전술한 바와 같이 추이성분을 예측하는 부분은 예측의 오류와 복잡성을 발생시키는 주요 원인이므로, 본 발명에서는 시그널 필터를 사용하여 추이성분을 제거함으로써, 기저성분에 대한 시계열 분석 모델을 통해서 이상징후를 탐지한다.
상기 시그널 필터는 고대역 통과필터(High-pass filter), 대역 통과필터(Band-pass filter), 저대역 통과필터(Low-pass filter)로 분류될 수 있다. 이하에서는 설명의 편의를 위해, 고대역 통과필터를 사용하여 기저성분을 추출하는 방법에 대해 설명하나, 이에 제한되지 않고, 기저성분의 추출을 위해 대역 통과필터(Band-pass filter), 저대역 통과필터(Low-pass filter)도 사용될 수 있다.
도 3은 본래의 네트워크 트래픽 데이터 시계열을 도시한 그래프이며, 도 4는 네트워크 트래픽 데이터 시계열을 고대역 통과필터로 필터링한 출력결과를 도시한 그래프이다.
상기 고대역 통과필터는 특별히 제한적이지 않으나, 버터워스 필터(butterworth filter), 체비세프 필터(chebyshev filter), 또는 타원 필터(elliptic filter) 등으로부터 선택될 수 있다. 상기 버터워스 필터는 네트워크 트래픽 시계열을 대상에 대해 롤오프(Roll-off)가 가장 작은 출력을 나타내며, 하기의 식과 같이 표현된다.
Figure 112007075847675-PAT00001
여기서, n 은 필터의 차수, ωc 는 컷오프(cutoff) 주파수, G0는 DC 이득(gain)을 나타낸다.
상기 시그널 필터를 이용하여 네트워크 트래픽 데이터 시계열의 기저성분을 추출한 후에는(S120), 기저성분 시계열의 특성을 분석하여 적합한 시계열 모델을 선정한다(S122). 기저성분 시계열은 시간에 따른 추이성분이 전혀 없고, 일정한 편차를 보이는 정상성을 나타낸다. 상기 시계열 모델은 특별히 제한적이지 않으며, 일 예로써, ARMA(Auto Regressive and Moving Average) 모델이 단기예측을 위해 사용될 수 있다.
상기 ARMA 모델은 하기의 식과 같이 표현된다.
Figure 112007075847675-PAT00002
여기서, αt 는 자동 회귀 계수(modulus), βt 는 이동 평균 계수(modulus), yt 는 ARMA 프로세스(process), δt 는 백색 잡음을 나타낸다.
일반적으로 ARMA 모델은 ARMA(p,q)로써 표현되며, 여기서, p는 자동 회귀(Auto Regressive)의 차수이며, q는 이동 평균(Moving Average)의 차수이다.
상기 두 차수 p, q 는 기저성분 시계열의 특성, 예를 들어, 자기상관계수(AutoCorrelation Function, ACF) 및 편자기상관계수(Partial AutoCorrelation Function, PACF)를 확인하여 결정한다. 여기서, 자기상관계수는 시계열 yt 와 yt -k 간의 상관계수이며, 편자기상관계수는 yt 와 yt -k 사이에 존재하는 yt -1, yt -2, ..., yt-k-1 의 상호 상관관계를 제거한 후의 yt와 yt -k간의 상관계수이다.
도 5는 기저성분 시계열의 자기상관의 분포를 도시한 그래프이며, 도 6은 기저성분 시계열의 편자기상관의 분포를 도시한 그래프이다.
상기 ARMA 모델로써, 자동 회귀 특성과 이동 평균 특성을 모두 갖는 시계열에 적합한 유형인 ARMA(1,1) 모델이 채택될 수 있다.
다음으로, 상기 수학식 2의 계수들(coefficients)의 추정은, 예를 들어, 모멘트법(Moments method), 최우추정법(Maximum Likelihood Method), 최소자승법(Least Square)을 사용할 수 있다.
상기 ACF, PACF에 기반한 시계열 모델의 파라미터를 결정한 후에는(S124), 기저성분의 독립성과 기저성분의 정규성을 검토하여, 상기 시계열 모델의 적합성을 검증할 수 있다(S126).
계속하여, 상기 시계열 모델을 기저성분에 대해 적용하여(S130), 이상 징후를 탐지한다(S140). 상기 이상 징후를 탐지하는 단계(S140)는, 상기 시계열 모델의 예측값을 기준으로 신뢰도 범위를 산정하여 정상범위를 설정하는 단계 및 상기 기저성분의 시계열이 상기 정상범위를 이탈하는 경우, 이상 징후로 판단하는 단계를 포함할 수 있다.
이하에서는, 도 7 내지 도 11을 참조하여, 시계열 모델의 적합성에 대해 살펴본다.
도 7은 테스트 대상 ISP 네트워크 트래픽 데이터를 도시한 그래프이다.
도 7을 참조하면, t1, t2, t3의 구간에서 급격한 증가와 급격한 하락을 보이는 세 번의 이상 징후를 확인할 수 있다.
도 8은 본 발명의 일 실시예에 따라 고대역 통과 필터를 도 7에 도시한 ISP 네트워크 트래픽 데이터의 일부에 적용한 결과 그래프이며, 도 9는 본 발명의 일 실시예에 따른 ARMA 모델에 의해 설정된 정상범위를 도시한 그래프이다. 도 9에서, ARMA 모델은 예측값(X1)을 기준으로 신뢰도 범위, 여기서는 95%를 산정하여, t1 구간 내에서 정상 범위(Y1)를 설정한다. 도 8과 도 9의 블럭 부분을 비교하면, 기저성분의 시계열은 급격한 상승 이후 정상 상태로 회복하면서, ARMA 모델에 의해 예측된 정상 범위(Y1) 내에 존재한다. 즉, 본 발명의 일 실시예에 따른 ARMA 모델은 이상징후 발생의 탐지 뿐만 아니라, 이상징후 발생 후의 시계열의 정상 범위(Y1)도 정확하게 예측할 수 있다.
도 10은 본 발명의 일 실시예에 따라 고대역 통과 필터를 도 7에 도시한 ISP 네트워크 트래픽 데이터의 일부에 적용한 결과 그래프이며, 도 11는 본 발명의 일 실시예에 따른 ARMA 모델에 의해 설정된 정상범위를 도시한 그래프이다. 도 11에서, ARMA 모델은 예측값(X2)을 기준으로 신뢰도 범위, 여기서는 95%를 산정하여, t3 구간 내에서 정상 범위(Y2)를 설정한다. 도 10과 도 11의 블럭 부분을 비교하면, 기저성분의 시계열은 급격한 감소 이후 정상 상태로 회복하면서, ARMA 모델에 의해 예측된 정상 범위(Y2) 내에 존재한다.
상기한 본 발명의 바람직한 실시예는 예시의 목적을 위해 개시된 것이고, 본 발명에 대한 통상의 지식을 가지는 당업자라면 본 발명의 사상과 범위 안에서 다양한 수정, 변경, 부가가 가능할 것이며, 이러한 수정, 변경 및 부가는 하기의 특허청구범위에 속하는 것으로 보아야 할 것이다.
도 1은 본 발명의 일 실시예에 따른 네트워크 공격 탐지 방법을 도시한 순서도이다.
도 2는 네트워크 트래픽 시계열도를 도시한 그래프이다.
도 3은 본래의 네트워크 트래픽 데이터 시계열을 도시한 그래프이다.
도 4는 네트워크 트래픽 데이터 시계열을 고대역 통과필터로 필터링한 출력결과를 도시한 그래프이다.
도 5는 기저성분 시계열의 자기상관의 분포를 도시한 그래프이다.
도 6은 기저성분 시계열의 편자기상관의 분포를 도시한 그래프이다.
도 7은 테스트 대상 ISP 네트워크 트래픽 데이터를 도시한 그래프이다.
도 8은 본 발명의 일 실시예에 따라 고대역 통과 필터를 도 7에 도시한 ISP 네트워크 트래픽 데이터의 일부에 적용한 결과 그래프이다.
도 9는 본 발명의 일 실시예에 따른 ARMA 모델에 의해 설정된 정상범위를 도시한 그래프이다.
도 10은 본 발명의 일 실시예에 따라 고대역 통과 필터를 도 7에 도시한 ISP 네트워크 트래픽 데이터의 일부에 적용한 결과 그래프이다.
도 11는 본 발명의 일 실시예에 따른 ARMA 모델에 의해 설정된 정상범위를 도시한 그래프이다.

Claims (6)

  1. 네트워크 트래픽 데이터 시계열을 분석하여, 네트워크 공격을 탐지하는 방법으로서,
    (a) 시계열 데이터의 추이성분을 제거하여 기저성분을 추출하는 단계; 및
    (b) 상기 기저성분에 대해 시계열 모델을 적용하여 이상 징후를 탐지하는 단계를 포함하는 것을 특징으로 하는 네트워크 공격 탐지 방법.
  2. 제 1 항에 있어서, 상기 (a) 단계는,
    시그널 필터를 이용하여 상기 추이성분을 제거하는 것을 특징으로 하는 네트워크 공격 탐지 방법.
  3. 제 2 항에 있어서, 상기 시그널 필터는 고대역 통과필터인 것을 특징으로 하는 네트워크 공격 탐지 방법.
  4. 제 1 항에 있어서, 상기 (b) 단계는,
    (b1) 상기 시계열 모델의 예측값을 기준으로 신뢰도 범위를 산정하여 정상범 위를 설정하는 단계; 및
    (b2) 상기 기저성분의 시계열이 상기 정상범위를 이탈하는 경우 이상 징후로 판단하는 단계를 포함하는 것을 특징으로 하는 네트워크 공격 탐지 방법.
  5. 제 1 항에 있어서, 상기 시계열 모델은 ARMA 모델인 것을 특징으로 하는 네트워크 공격 탐지 방법.
  6. 제 1 항에 있어서, 상기 (a)와 (b) 단계 사이에,
    상기 기저성분의 시계열의 시간에 따른 일정한 편차를 분석하여 시계열 모델을 선정하는 단계; 및
    자기상관계수 및 편자기상관계수에 기반하여 상기 시계열 모델의 파라미터를 결정하는 단계를 더 포함하는 것을 특징으로 하는 네트워크 공격 탐지 방법.
KR1020070106782A 2007-10-23 2007-10-23 추이성분 필터링을 이용한 시계열 모델 기반의 네트워크공격 탐지 방법 KR20090041198A (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020070106782A KR20090041198A (ko) 2007-10-23 2007-10-23 추이성분 필터링을 이용한 시계열 모델 기반의 네트워크공격 탐지 방법
US11/941,215 US20090106839A1 (en) 2007-10-23 2007-11-16 Method for detecting network attack based on time series model using the trend filtering

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020070106782A KR20090041198A (ko) 2007-10-23 2007-10-23 추이성분 필터링을 이용한 시계열 모델 기반의 네트워크공격 탐지 방법

Publications (1)

Publication Number Publication Date
KR20090041198A true KR20090041198A (ko) 2009-04-28

Family

ID=40564855

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020070106782A KR20090041198A (ko) 2007-10-23 2007-10-23 추이성분 필터링을 이용한 시계열 모델 기반의 네트워크공격 탐지 방법

Country Status (2)

Country Link
US (1) US20090106839A1 (ko)
KR (1) KR20090041198A (ko)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101677008B1 (ko) * 2015-11-20 2016-11-17 (주)엔키아 Tsd 기반 데이터 예측 방법
KR102167278B1 (ko) * 2019-04-25 2020-10-21 (주)엔키아 로버스트를 이용하는 tsd 기반 데이터 예측 방법
WO2023101036A1 (ko) * 2021-11-30 2023-06-08 주식회사 필드솔루션 펌프의 효율을 예측하는 방법

Families Citing this family (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20140172852A1 (en) * 2012-12-07 2014-06-19 Cpacket Networks Inc. Apparatus, System, and Method for Reducing Data to Facilitate Identification and Presentation of Data Variations
US8572746B2 (en) * 2010-01-21 2013-10-29 The Regents Of The University Of California Predictive blacklisting using implicit recommendation
US20110296009A1 (en) * 2010-05-27 2011-12-01 Victor Baranov System and method for wavelets-based adaptive mobile advertising fraud detection
US8737204B2 (en) 2011-05-02 2014-05-27 Telefonaktiebolaget Lm Ericsson (Publ) Creating and using multiple packet traffic profiling models to profile packet flows
US8817655B2 (en) 2011-10-20 2014-08-26 Telefonaktiebolaget Lm Ericsson (Publ) Creating and using multiple packet traffic profiling models to profile packet flows
EP2587751A1 (en) 2011-10-24 2013-05-01 TELEFONAKTIEBOLAGET LM ERICSSON (publ) Method and arrangement for data clustering
US10277693B2 (en) * 2015-06-04 2019-04-30 Twitter, Inc. Trend detection in a messaging platform
US20180004958A1 (en) * 2016-07-01 2018-01-04 Hewlett Packard Enterprise Development Lp Computer attack model management
CN107317701A (zh) * 2017-06-13 2017-11-03 电子科技大学 一种基于经验模态分解的网络流量异常检测方法
CN111327449A (zh) * 2018-12-17 2020-06-23 中国移动通信集团北京有限公司 一种网络异常的确定方法、装置、设备及介质
CN110266552B (zh) * 2019-08-15 2020-04-21 华为技术有限公司 流量异常检测的方法、模型训练方法和装置
CN113157758A (zh) * 2020-01-07 2021-07-23 微软技术许可有限责任公司 定制化异常检测
CN112445842A (zh) * 2020-11-20 2021-03-05 北京思特奇信息技术股份有限公司 一种基于时间序列数据的异常值检测方法和系统
CN112818297B (zh) * 2021-02-05 2024-02-20 国网安徽省电力有限公司合肥供电公司 一种云环境下数据异常检测方法
CN114944831A (zh) * 2022-05-12 2022-08-26 中国科学技术大学先进技术研究院 多周期时间序列数据分解方法、装置、设备及存储介质
CN114648102B (zh) * 2022-05-24 2022-08-05 华东交通大学 火灾报警方法、系统、可读存储介质及计算机设备
US11693958B1 (en) * 2022-09-08 2023-07-04 Radiant Security, Inc. Processing and storing event data in a knowledge graph format for anomaly detection

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3948389B2 (ja) * 2002-10-24 2007-07-25 富士ゼロックス株式会社 通信分析装置
US7540029B1 (en) * 2003-04-16 2009-05-26 Bbn Technologies Corp. Methods and systems for reducing the spread of files on a network
KR20080066653A (ko) * 2005-06-29 2008-07-16 트러스티스 오브 보스턴 유니버시티 완전한 네트워크 변칙 진단을 위한 방법 및 장치와 트래픽피쳐 분포를 사용하여 네트워크 변칙들을 검출하고분류하기 위한 방법

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101677008B1 (ko) * 2015-11-20 2016-11-17 (주)엔키아 Tsd 기반 데이터 예측 방법
KR102167278B1 (ko) * 2019-04-25 2020-10-21 (주)엔키아 로버스트를 이용하는 tsd 기반 데이터 예측 방법
WO2023101036A1 (ko) * 2021-11-30 2023-06-08 주식회사 필드솔루션 펌프의 효율을 예측하는 방법

Also Published As

Publication number Publication date
US20090106839A1 (en) 2009-04-23

Similar Documents

Publication Publication Date Title
KR20090041198A (ko) 추이성분 필터링을 이용한 시계열 모델 기반의 네트워크공격 탐지 방법
Simmross-Wattenberg et al. Anomaly detection in network traffic based on statistical inference and\alpha-stable modeling
KR100561628B1 (ko) 통계적 분석을 이용한 네트워크 수준에서의 이상 트래픽감지 방법
Viinikka et al. Time series modeling for IDS alert management
US10944784B2 (en) Identifying a potential DDOS attack using statistical analysis
Marnerides et al. Traffic anomaly diagnosis in Internet backbone networks: A survey
Celenk et al. Predictive network anomaly detection and visualization
US8774023B2 (en) Method and system for detecting changes in network performance
JP2010531553A (ja) ネットワーク異常検出のための統計的方法およびシステム
WO2007055222A1 (ja) ネットワーク異常検知方法およびネットワーク異常検知システム
JP2006067569A (ja) ネットワークにおけるネットワーク異常を検出する方法及びシステム
US20220046042A1 (en) Scanner probe detection
KR20110048112A (ko) Uri 타입 기반 디도스 공격 탐지 및 대응 장치
CN113518057B (zh) 分布式拒绝服务攻击的检测方法、装置及其计算机设备
JP2018147172A (ja) 異常検知装置、異常検知方法及びプログラム
CN114338372B (zh) 网络信息安全监控方法及系统
JP2008193221A (ja) アプリケーション分類方法、ネットワーク異常検知方法、アプリケーション分類プログラム、ネットワーク異常検知プログラム、アプリケーション分類装置、ネットワーク異常検知装置
US20190007285A1 (en) Apparatus and Method for Defining Baseline Network Behavior and Producing Analytics and Alerts Therefrom
KR101187023B1 (ko) 네트워크 비정상 트래픽 분석시스템
CN111526109B (zh) 自动检测web威胁识别防御系统的运行状态的方法及装置
Celenk et al. Anomaly prediction in network traffic using adaptive Wiener filtering and ARMA modeling
JP2021527873A (ja) プロトコルに依存しない異常検出
CN114499917B (zh) Cc攻击检测方法及cc攻击检测装置
KR20110035336A (ko) 비정상 트래픽 탐지 방법 및 이를 이용한 네트워크 관리 시스템
Kopylova et al. Mutual information applied to anomaly detection

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E601 Decision to refuse application