KR20180042019A - 순환 신경망 기반 네트워크 패킷의 위험요소 분석 방법, 이를 수행하는 순환 신경망 기반 네트워크 패킷의 위험요소 분석 장치 - Google Patents

순환 신경망 기반 네트워크 패킷의 위험요소 분석 방법, 이를 수행하는 순환 신경망 기반 네트워크 패킷의 위험요소 분석 장치 Download PDF

Info

Publication number
KR20180042019A
KR20180042019A KR1020160134556A KR20160134556A KR20180042019A KR 20180042019 A KR20180042019 A KR 20180042019A KR 1020160134556 A KR1020160134556 A KR 1020160134556A KR 20160134556 A KR20160134556 A KR 20160134556A KR 20180042019 A KR20180042019 A KR 20180042019A
Authority
KR
South Korea
Prior art keywords
packet
neural network
risk
session
data characteristic
Prior art date
Application number
KR1020160134556A
Other languages
English (en)
Other versions
KR101927100B1 (ko
Inventor
윤상민
원용욱
Original Assignee
국민대학교산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 국민대학교산학협력단 filed Critical 국민대학교산학협력단
Priority to KR1020160134556A priority Critical patent/KR101927100B1/ko
Publication of KR20180042019A publication Critical patent/KR20180042019A/ko
Application granted granted Critical
Publication of KR101927100B1 publication Critical patent/KR101927100B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/044Recurrent networks, e.g. Hopfield networks
    • G06N3/0445
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • General Health & Medical Sciences (AREA)
  • Mathematical Physics (AREA)
  • Data Mining & Analysis (AREA)
  • Evolutionary Computation (AREA)
  • Biophysics (AREA)
  • Molecular Biology (AREA)
  • Biomedical Technology (AREA)
  • Artificial Intelligence (AREA)
  • General Physics & Mathematics (AREA)
  • Computational Linguistics (AREA)
  • Software Systems (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 순환 신경망 기반 네트워크 패킷의 위험요소 분석 기술에 관한 것으로, 송신단으로부터 세션에 있는 연속적인 제1 및 제2 패킷들을 입력받는 패킷 입력부, 상기 제1 패킷에 순환 신경망 모델을 적용하여 다음 패킷의 데이터 특성을 예측하고 상기 다음 패킷의 데이터 특성과 상기 제2 패킷의 데이터 특성 간의 유사도를 기초로 위험요소를 결정하는 제1 위험요소 결정부, 상기 유사도가 특정 기준 이하이면 상기 제2 패킷에 관한 위험성 분석을 수행하여 상기 위험요소를 재결정하는 제2 위험요소 결정부 및 상기 재결정이 진행되면 상기 제2 패킷에 관해 순환 신경망 학습을 수행하여 상기 순환 신경망 모델을 갱신하는 순환 신경망 학습부를 포함한다.

Description

순환 신경망 기반 네트워크 패킷의 위험요소 분석 방법, 이를 수행하는 순환 신경망 기반 네트워크 패킷의 위험요소 분석 장치{METHOD FOR ANALYZING RISK ELEMENT OF NETWORK PACKET BASED ON RECRUUENT NEURAL NETWORK AND APPARATUS ANALYZING THE SAME}
본 발명은 순환 신경망 기반 네트워크 패킷의 위험요소 분석 기술에 관한 것으로, 보다 상세하게는 각각의 장애상황들에 따른 순환 신경망 모델을 구현하고 학습하여 네트워크 패킷의 위험요소를 분석할 수 있는 순환 신경망 기반 네트워크 패킷의 위험요소 분석 장치에 관한 것이다.
종래의 네트워크 성능 및 장애감시 기술은 수신된 데이터의 크기 및 주파수 성분 모니터링을 통하여 전송성능 및 통신장애 유무만을 확인한다. 최근 사물인터넷(IoT, Internet of Things) 기반의 다양한 유무선 멀티미디어 서비스 출현으로 개방형 네트워크 형태로 진화함에 따라 바이러스 등과 같은 다양한 외부 침입으로부터의 위험이 지속적으로 증가하고 있다.
차세대 네트워크 망의 물리계층은 사물인터넷 기반 유무선 멀티미디어 서비스를 수용하는 대용량 광링크를 이용할 가능성이 높기 때문에 대용량 데이터의 안정적인 전송을 위해서 네트워크 망의 실시간 성능 감시가 필요하다.
한국공개특허 제10-2015-0110065호는 실행파일 모니터링 기반 악성코드 탐지 방법 및 시스템에 관한 것으로, 실행파일 모니터링 에이전트는 지역제어 네트워크 내부 또는 제어 센터와 지역제어 네트워크 사이에서 교환되는 패킷으로부터 실행파일 정보를 생성하여 악성코드 탐지 장치로 전송하고, 악성코드 탐지 장치는 수신된 실행파일 정보에 기초하여 해당 실행파일의 악성코드 감염 여부를 판단하는 기술을 개시한다.
한국공개특허 제10-2011-0057628호는 네트워크 상에서 수집된 악성 파일 정보 기반의 연관성 분석 장치 및 방법에 관한 것으로, 네트워크 상에서 수집된 정보들과 악성 코드 전파 경로 기반의 시나리오 정의 테이블과 악성 코드 특성 기반의 연관성 정의 테이블간의 연관성 비교를 통해 악성 파일로 의심된 관심 파일을 찾아낸 후 악성 파일로 의심된 관심 파일의 정보를 기반으로 감염 단말, 유포 서버, 감시 정보, 공격 대상 서버 및 공격 상황 정보를 파악하는 기술을 개시한다.
한국공개특허 제10-2015-0110065호 (2015.10.02) 한국공개특허 제10-2011-0057628호 (2011.06.01)
본 발명의 일 실시예는 각각의 장애상황들에 따른 순환 신경망 모델을 구현하고 데이터(또는 신호) 분석을 통해 학습된 순환 신경망 모델을 이용하여 네트워크 패킷의 위험요소를 분석할 수 있는 순환 신경망 기반 네트워크 패킷의 위험요소 분석 장치를 제공하고자 한다.
본 발명의 일 실시예는 각각의 장애상황들에 해당하는 순환 신경망 모델을 구현한 후 해당 네트워크가 구현된 순환 신경망 모델을 학습하게 할 수 있는 순환 신경망 기반 네트워크 패킷의 위험요소 분석 장치를 제공하고자 한다.
실시예들 중에서, 순환 신경망 기반 네트워크 패킷의 위험요소 분석 장치는 송신단으로부터 세션에 있는 연속적인 제1 및 제2 패킷들을 입력받는 패킷 입력부, 상기 제1 패킷에 순환 신경망 모델을 적용하여 다음 패킷의 데이터 특성을 예측하고 상기 다음 패킷의 데이터 특성과 상기 제2 패킷의 데이터 특성 간의 유사도를 기초로 위험요소를 결정하는 제1 위험요소 결정부, 상기 유사도가 특정 기준 이하이면 상기 제2 패킷에 관한 위험성 분석을 수행하여 상기 위험요소를 재결정하는 제2 위험요소 결정부 및 상기 재결정이 진행되면 상기 제2 패킷에 관해 순환 신경망 학습을 수행하여 상기 순환 신경망 모델을 갱신하는 순환 신경망 학습부를 포함한다.
상기 제1 위험요소 결정부는 상기 다음 패킷의 데이터 특성이 정상적인 것으로 예측되고 상기 유사도가 상기 특정 기준 이상이면 상기 세션을 안전한 것으로 결정할 수 있다.
상기 제1 위험요소 결정부는 상기 다음 패킷의 데이터 특성이 비정상적인 것으로 예측되고 상기 유사도가 상기 특정 기준 이상이면 상기 세션을 불안전한 것으로 결정할 수 있다. 상기 제1 위험요소 결정부는 상기 세션을 통해 과거의 특정 시간 동안 송수신되었던 패킷들에 관한 심층패킷분석(DPI, Deep Packet Inspection)을 수행하여 상기 세션을 검증할 수 있다.
상기 제2 위험요소 결정부는 상기 세션 전용의 가상 머신을 생성하고, 상기 가상 머신을 통해 상기 제1 및 제2 패킷들을 격리 실행하여 악성코드의 존재여부를 검출할 수 있다. 상기 제2 위험요소 결정부는 상기 격리 실행 전에 상기 가상 머신에 순환 신경망 학습 에이전트를 실행하여 상기 제2 패킷에 관한 데이터 특성을 추출할 수 있다.
상기 제2 위험요소 결정부는 상기 격리 실행 후에 상기 순환 신경망 학습 에이전트를 통해 상기 순환 신경망 학습부에 상기 악성코드의 존재여부와 상기 제2 패킷에 관한 데이터 특성을 제공할 수 있다. 상기 제2 위험요소 결정부는 상기 제1 및 제2 패킷들이 격리 실행될 때 나타나는 리소스 권한 요청내용 및 리소스 사용량 중 적어도 하나를 기초로 상기 악성코드가 존재할 가능성을 나타내는 악성코드 존재 확률을 산출할 수 있다. 상기 제2 위험요소 결정부는 상기 악성코드 존재 확률이 특정 기준을 초과하면 상기 악성코드가 존재하는 것으로 결정할 수 있다.
상기 순환 신경망 학습부는 상기 다음 패킷의 데이터 특성의 예측을 위해 상기 제2 패킷과 상기 재결정된 위험요소를 기초로 지도 학습(supervised learning)을 수행할 수 있다. 상기 순환 신경망 학습부는 순환 신경망 학습 에이전트를 통해 상기 제2 패킷에 관한 데이터 특성과 상기 재결정된 위험요소로서 상기 제1 및 제2 패킷들에 악성코드가 존재하는지 여부를 수신하여 상기 지도 학습을 수행할 수 있다.
상기 데이터 특성은 상기 패킷에 포함된 데이터의 압축 비트맵에 해당할 수 있다.
실시예들 중에서, 순환 신경망 기반 네트워크 패킷의 위험요소 분석 방법은 순환 신경망 기반 네트워크 패킷의 위험요소 분석 장치에서 수행된다. 상기 방법은 (a) 송신단으로부터 세션에 있는 연속적인 제1 및 제2 패킷들을 입력받는 단계, (b) 상기 제1 패킷에 순환 신경망 모델을 적용하여 다음 패킷의 데이터 특성을 예측하고 상기 다음 패킷의 데이터 특성과 상기 제2 패킷의 데이터 특성 간의 유사도를 기초로 위험요소를 결정하는 단계, (c) 상기 유사도가 특정 기준 이하이면 상기 제2 패킷에 관한 위험성 분석을 수행하여 상기 위험요소를 재결정하는 단계 및 (d) 상기 재결정이 진행되면 상기 제2 패킷에 관해 순환 신경망 학습을 수행하여 상기 순환 신경망 모델을 갱신하는 단계를 포함한다.
상기 (b) 단계는 상기 다음 패킷의 데이터 특성이 정상적인 것으로 예측되고 상기 유사도가 상기 특정 기준 이상이면 상기 세션을 안전한 것으로 결정하는 단계를 포함할 수 있다.
상기 (b) 단계는 상기 다음 패킷의 데이터 특성이 비정상적인 것으로 예측되고 상기 유사도가 상기 특정 기준 이상이면 상기 세션을 불안전한 것으로 결정하는 단계를 포함할 수 있다. 상기 (b) 단계는 상기 세션을 통해 과거의 특정 시간 동안 송수신되었던 패킷들에 관한 심층패킷분석(DPI, Deep Packet Inspection)을 수행하여 상기 세션을 검증하는 단계를 더 포함할 수 있다.
상기 (c) 단계는 상기 세션 전용의 가상 머신을 생성하고, 상기 가상 머신을 통해 상기 제1 및 제2 패킷들을 격리 실행하여 악성코드의 존재여부를 검출하는 단계를 포함할 수 있다. 상기 (c) 단계는 상기 격리 실행 전에 상기 가상 머신에 순환 신경망 학습 에이전트를 실행하여 상기 제2 패킷에 관한 데이터 특성을 추출하는 단계를 더 포함할 수 있다.
상기 (d) 단계는 상기 다음 패킷의 데이터 특성의 예측을 위해 상기 제2 패킷과 상기 재결정된 위험요소를 기초로 지도 학습(supervised learning)을 수행하는 단계를 포함할 수 있다. 상기 (d) 단계는 순환 신경망 학습 에이전트를 통해 상기 제2 패킷에 관한 데이터 특성과 상기 재결정된 위험요소로서 상기 제1 및 제2 패킷들에 악성코드가 존재하는지 여부를 수신하여 상기 지도 학습을 수행하는 단계를 더 포함할 수 있다.
개시된 기술은 다음의 효과를 가질 수 있다. 다만, 특정 실시예가 다음의 효과를 전부 포함하여야 한다거나 다음의 효과만을 포함하여야 한다는 의미는 아니므로, 개시된 기술의 권리범위는 이에 의하여 제한되는 것으로 이해되어서는 아니 될 것이다.
본 발명의 일 실시예에 따른 순환 신경망 기반 네트워크 패킷의 위험요소 분석 장치는 각각의 장애상황들에 따른 순환 신경망 모델을 구현하고 데이터(또는 신호) 분석을 통해 학습된 순환 신경망 모델을 이용하여 네트워크 패킷의 위험요소를 분석할 수 있다.
본 발명의 일 실시예에 따른 순환 신경망 기반 네트워크 패킷의 위험요소 분석 장치는 각각의 장애상황들에 해당하는 순환 신경망 모델을 구현한 후 해당 네트워크가 구현된 순환 신경망 모델을 학습하게 할 수 있다.
도 1은 본 발명의 일 실시예에 따른 순환 신경망 기반 네트워크 패킷의 위험요소 분석 시스템을 설명하는 도면이다.
도 2는 도 1에 있는 순환 신경망 기반 네트워크 패킷의 위험요소 분석 장치를 설명하는 블록도이다.
도 3은 순환 신경망 기반 네트워크 패킷의 위험요소 분석 과정을 상세하게 설명하는 순서도이다.
도 4는 순환 신경망 기반 네트워크 패킷의 위험요소 분석 과정을 요약적으로 설명하는 순서도이다.
본 발명에 관한 설명은 구조적 내지 기능적 설명을 위한 실시예에 불과하므로, 본 발명의 권리범위는 본문에 설명된 실시예에 의하여 제한되는 것으로 해석되어서는 아니 된다. 즉, 실시예는 다양한 변경이 가능하고 여러 가지 형태를 가질 수 있으므로 본 발명의 권리범위는 기술적 사상을 실현할 수 있는 균등물들을 포함하는 것으로 이해되어야 한다. 또한, 본 발명에서 제시된 목적 또는 효과는 특정 실시예가 이를 전부 포함하여야 한다거나 그러한 효과만을 포함하여야 한다는 의미는 아니므로, 본 발명의 권리범위는 이에 의하여 제한되는 것으로 이해되어서는 아니 될 것이다.
한편, 본 출원에서 서술되는 용어의 의미는 다음과 같이 이해되어야 할 것이다.
"제1", "제2" 등의 용어는 하나의 구성요소를 다른 구성요소로부터 구별하기 위한 것으로, 이들 용어들에 의해 권리범위가 한정되어서는 아니 된다. 예를 들어, 제1 구성요소는 제2 구성요소로 명명될 수 있고, 유사하게 제2 구성요소도 제1 구성요소로 명명될 수 있다.
어떤 구성요소가 다른 구성요소에 "연결되어"있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결될 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어"있다고 언급된 때에는 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다. 한편, 구성요소들 간의 관계를 설명하는 다른 표현들, 즉 "~사이에"와 "바로 ~사이에" 또는 "~에 이웃하는"과 "~에 직접 이웃하는" 등도 마찬가지로 해석되어야 한다.
단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한 복수의 표현을 포함하는 것으로 이해되어야 하고, "포함하다"또는 "가지다" 등의 용어는 실시된 특징, 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것이 존재함을 지정하려는 것이며, 하나 또는 그 이상의 다른 특징이나 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
각 단계들에 있어 식별부호(예를 들어, a, b, c 등)는 설명의 편의를 위하여 사용되는 것으로 식별부호는 각 단계들의 순서를 설명하는 것이 아니며, 각 단계들은 문맥상 명백하게 특정 순서를 기재하지 않는 이상 명기된 순서와 다르게 일어날 수 있다. 즉, 각 단계들은 명기된 순서와 동일하게 일어날 수도 있고 실질적으로 동시에 수행될 수도 있으며 반대의 순서대로 수행될 수도 있다.
본 발명은 컴퓨터가 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현될 수 있고, 컴퓨터가 읽을 수 있는 기록 매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록 장치를 포함한다. 컴퓨터가 읽을 수 있는 기록 매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 플로피 디스크, 광 데이터 저장 장치 등이 있으며, 또한, 캐리어 웨이브(예를 들어 인터넷을 통한 전송)의 형태로 구현되는 것도 포함한다. 또한, 컴퓨터가 읽을 수 있는 기록 매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어, 분산 방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수 있다.
여기서 사용되는 모든 용어들은 다르게 정의되지 않는 한, 본 발명이 속하는 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가진다. 일반적으로 사용되는 사전에 정의되어 있는 용어들은 관련 기술의 문맥상 가지는 의미와 일치하는 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한 이상적이거나 과도하게 형식적인 의미를 지니는 것으로 해석될 수 없다.
도 1은 본 발명의 일 실시예에 따른 순환 신경망 기반 네트워크 패킷의 위험요소 분석 시스템을 설명하는 도면이다.
도 1을 참조하면, 순환 신경망 기반 네트워크 패킷의 위험요소 분석 시스템(100)는 송신단(110), 수신단(120) 및 순환 신경망 기반 네트워크 패킷의 위험요소 분석 장치(130)를 포함한다.
송신단(OLT, Optical Line, Terminal)(110)은 통신 사업자에서 관리될 수 있는 송신 단말로, 예를 들어, 광 회선 단말로 패킷 교환 공중 데이터 망(PSPDN)에서 인터페이스 기능과 같은 광대역 서비스 접속 기능을 제공할 수 있다. 송신단(110)은 네트워크 망의 데이터(신호)를 수신단(120)으로 송신할 수 있다.
수신단(ONU, Optical Network Unit)(120)은 통신 서비스 수요자를 위한 수신 단말로, 예를 들어, 광망 종단 장치로 광통신망에서 광섬유를 통해 수신된 광신호를 전기신호로 변환하여 주고 사용자의 전기신호를 광신호로 변환시켜 줄 수 있다. 수신단(120)은 송신단(110)으로부터 데이터(신호)를 수신할 수 있다.
순환 신경망 기반 네트워크 패킷의 위험요소 분석 장치(130)는 순환 신경망 기반 네트워크 패킷의 위험요소 분석 서버를 구축하여 송신단(110)과 수신단(120) 사이에 위치되고, 송신단(110)에서 송신되는 데이터(신호)를 순환 신경망 모델을 통해 분석하여 바이러스 및 악성코드 등과 같은 위험요소를 검출할 수 있다. 여기에서, 순환 신경망(RNN, Recurrent Neural Network)은 인공 신경망(ANN, Artificial Neural Network)을 구성하는 유닛 사이의 연결이 방향성 사이클을 구성하는 신경망으로, 보다 구체적으로, 순환 신경망은 내부에 루프를 가진 네트워크를 의미하고, 송신단(110)에서 송신되는 데이터(신호)를 통해 루프를 끊임없이 갱신시킬 수 있다.
일 실시예에서, 순환 신경망 기반 네트워크 패킷의 위험요소 분석 장치(130)는 소프트웨어 기반 개방형 네트워크 망의 물리계층을 이용하여 각각의 장애상황에 따른 순환 신경망 모델을 구현할 수 있다. 순환 신경망 기반 네트워크 패킷의 위험요소 분석 장치(130)는 구현된 순환 신경망 모델을 네트워크 망의 송신단(110)과 수신단(120)에 적용하여 각각의 장애상황에 따른 패턴 학습을 수행할 수 있다. 보다 구체적으로, 순환 신경망 기반 네트워크 패킷의 위험요소 분석 장치(130)는 수신단(120)에서 수신된 데이터(신호)를 분석하고, 분석된 데이터(신호)를 학습된 순환 신경망 모델과 비교하여 바이러스 및 악성코드 등과 같은 위험요소를 검출할 수 있고, 전송성능 열화 또는 장애를 실시간으로 분석하고 감시를 수행할 수 있다.
도 2는 도 1에 있는 순환 신경망 기반 네트워크 패킷의 위험요소 분석 장치를 설명하는 블록도이다.
도 2를 참조하면, 순환 신경망 기반 네트워크 패킷의 위험요소 분석 장치(130)는 패킷 입력부(210), 제1 위험요소 결정부(220), 제2 위험요소 결정부(230), 순환 신경망 학습부(240) 및 제어부(250)를 포함한다.
패킷 입력부(210)는 송신단(110)과 수신단(120) 사이에 위치할 수 있고, 송신단(110)으로부터 세션에 있는 연속적인 제1 및 제2 패킷들을 입력 받을 수 있다. 일 실시예에서, 패킷 입력부(210)는 송신단(110)에서 수신단(120)으로 송신되는 연속적인 데이터(신호)를 입력 받을 수 있다. 다른 일 실시예에서, 패킷 입력부(210)는 송수신되는 연속적인 데이터(신호)를 복사하여 위험요소를 검출할 수 있다.
제1 위험요소 결정부(220)는 패킷 입력부(210)를 통해 입력 받은 제1 패킷에 순환 신경망 모델{RNN_h}을 적용하여 다음 패킷의 데이터 특성을 예측할 수 있고, 여기에서, 데이터 특성은 패킷에 포함된 데이터의 압축 비트맵에 해당할 수 있고, 압축 비트맵은 해시코드(Hash Code)를 압축하거나 비트 테이블 등과 같이 일부 데이터를 추출하고 압축함으로써 생성될 수 있다. 제1 위험요소 결정부(220)는 예측된 다음 패킷의 데이터 특성과 제2 패킷의 데이터 특성을 비교하여 유사도를 산출할 수 있고, 산출된 유사도를 기초로 위험요소를 결정할 수 있다.
제1 위험요소 결정부(220)는 다음 패킷의 정상여부를 예측할 수 있고, 다음 패킷의 데이터 특성과 제2 패킷의 데이터 특성 간의 유사도에 따라 세션의 상태를 결정할 수 있다. 일 실시예에서, 제1 위험요소 결정부(220)는 다음 패킷의 데이터 특성이 정상적인 것으로 예측되고 제2 패킷의 데이터 특성과의 유사도가 특정 기준 이상이면 세션을 안전한 것으로 결정할 수 있다.
다른 일 실시예에서, 제1 위험요소 결정부(220)는 다음 패킷의 데이터 특성이 비정상인 것으로 예측되고 제2 패킷의 데이터 특성과의 유사도가 특정 기준 이상이면 세션을 불안전한 것으로 결정할 수 있다. 보다 구체적으로, 제1 위험요소 결정부(220)는 다음 패킷의 데이터 특성이 비정상적인 것으로 예측되면 세션을 통해 과거의 특정 시간 동안 송수신되었던 패킷들에 관한 심층패킷분석을 수행하여 세션을 검증할 수 있다. 여기에서, 심층패킷분석(DPI, Deep Packet Inspection)은 인터넷을 통해 전송되는 데이터, 즉 패킷의 실제 내용까지 파악하고 분석하는 기술을 말한다. 예를 들어, 제1 위험요소 결정부(220)는 해당 세션에서 과거 1주일 동안 송수신되었던 패킷들을 수집할 수 있고, 수집된 패킷들을 심층적으로 분석하여 해당 세션 검증을 수행할 수 있다. 이러한 과정을 통해 제1 위험요소 결정부(220)는 다음 패킷의 데이터 특성이 비정상으로 예측되더라도 심층패킷분석 결과를 기초로 세션을 안전한 것으로 결정할 수 있다.
제2 위험요소 결정부(230)는 다음 패킷의 데이터 특성과 제2 패킷의 데이터 특성 간의 유사도가 특정 기준 이하이면 제2 패킷에 관한 위험성 분석을 수행하여 위험요소를 재결정할 수 있고, 제2 위험요소 결정부(230)는 위험요소를 재결정하기 위하여 세션 전용의 가상 머신{VM_s}을 생성할 수 있다.
제2 위험요소 결정부(230)는 생성된 가상 머신{VM_s}을 통해 제1 및 제2 패킷들을 격리하여 실행할 수 있고, 이러한 격리 실행과정을 통해 제2 위험요소 결정부(230)는 악성코드의 존재여부를 검출할 수 있다. 일 실시예에서, 제2 위험요소 결정부(230)는 제1 패킷과 제2 패킷을 격리 실행하기 전에 가상 머신{VM_s}에 순환 신경망 학습 에이전트를 실행하여 제2 패킷에 관한 데이터 특성을 추출할 수 있다.
제2 위험요소 결정부(230)는 제1 및 제2 패킷들을 격리하여 실행한 후에 순환 신경망 학습 에이전트를 통해 순환 신경망 학습부(240)에 악성코드의 존재여부와 제2 패킷에 관한 데이터 특성을 제공할 수 있고, 순환 신경망 학습부(240)는 제2 위험요소 결정부(230)로부터 제공된 악성코드 존재여부와 제2 패킷에 관한 데이터 특성을 저장하여 학습할 수 있다.
제2 위험요소 결정부(230)는 악성코드가 존재할 가능성을 나타내는 악성코드 존재 확률을 산출할 수 있다. 보다 구체적으로, 제2 위험요소 결정부(230)는 제1 및 제2 패킷들이 격리 실행될 때 나타나는 리소스 권한 요청내용 및 리소스 사용량 중 적어도 하나를 기초로 악성코드 존재 확률을 산출할 수 있다. 예를 들어, 제2 위험요소 결정부(230)는 [\\xxx.xxx.x.x에 액세스할 수 없습니다.] 또는 [이 네트워크 리소스를 사용할 권한이 없는 것 같습니다.] 등과 같은 내용을 포함하는 리소스 권한 요청내용이 추출되는 경우 악성코드가 존재할 가능성이 높다고 판단할 수 있고, 네트워크, CPU 또는 메모리 등의 리소스 사용량이 초과되면 악성코드가 존재할 가능성이 높다고 판단할 수 있다.
제2 위험요소 결정부(230)는 특정 기준에 따라 악성코드 존재여부를 결정할 수 있고, 악성코드 존재여부를 결정하는 특정 기준은 사용자에 의하여 기 설정될 수 있다. 보다 구체적으로, 제2 위험요소 결정부(230)는 악성코드 존재 확률이 특정 기준을 초과하면 악성코드가 존재하는 것으로 결정할 수 있다.
순환 신경망 학습부(240)는 제2 위험요소 결정부(230)에 의하여 위험요소 재결정 과정이 진행되면 제2 패킷에 관해 순환 신경망 학습을 수행하여 순환 신경망 모델을 갱신할 수 있다. 보다 구체적으로, 순환 신경망 학습부(240)는 다음 패킷의 데이터 특성의 예측을 위해 제2 패킷과 재결정된 위험요소를 기초로 지도 학습(Supervised Learning)을 수행할 수 있다. 순환 신경망 학습부(240)는 순환 신경망 학습 에이전트를 통해 제2 패킷에 관한 데이터 특성과 재결정된 위험요소로서 제1 및 제2 패킷들에 악성코드가 존재하는지 여부를 수신하여 지도 학습을 수행할 수 있다.
제어부(250)는 순환 신경망 기반 네트워크 패킷의 위험요소 분석 장치(130)의 전체적인 동작을 제어하고, 패킷 입력부(210), 제1 위험요소 결정부(220), 제2 위험요소 결정부(230) 및 순환 신경망 학습부(240) 간의 데이터 흐름을 제어할 수 있다.
도 3은 순환 신경망 기반 네트워크 패킷의 위험요소 분석 과정을 상세하게 설명하는 순서도이다.
패킷 입력부(210)는 송신단(110)으로부터 세션에 있는 패킷들을 입력 받을 수 있다. 보다 구체적으로, 패킷 입력부(210)는 송신단(110)과 수신단(120) 사이에서 세션에 존재하는 연속적인 패킷들, 즉 제1 및 제2 패킷들을 입력 받을 수 있다. 패킷 입력부(210)는 입력 받은 제1 및 제2 패킷들을 제1 위험요소 결정부(220)와 제2 위험요소 결정부(230)에 제공할 수 있다.
제1 위험요소 결정부(220)는 패킷 입력부(210)로부터 제공 받은 연속적인 패킷들의 패턴 특성을 분석하여 위험요소를 결정할 수 있다. 보다 구체적으로, 제1 위험요소 결정부(220)는 제1 패킷에 순환 신경망 모델을 적용하여 제1 패킷에 대한 패턴을 분석함으로써 다음 패킷의 데이터 특성을 예측할 수 있고, 여기에서, 데이터 특성은 패킷에 포함된 데이터의 압축 비트맵에 해당할 수 있고, 압축 비트맵은 해시코드(Hash Code)를 압축하여 생성하거나 비트 테이블의 일부 데이터를 추출하고 압축하여 생성할 수 있다. 제1 위험요소 결정부(220)는 예측된 다음 패킷의 데이터 특성을 제2 패킷의 데이터 특성과 비교하여 유사도를 측정할 수 있고, 제1 위험요소 결정부(220)는 유사도 결과를 기초로 위험요소를 결정할 수 있다.
일 실시예에서, 제1 위험요소 결정부(220)는 다음 패킷의 데이터 특성과 제2 패킷의 데이터 특성 간의 유사도가 특정 기준 이상이면 다음 패킷의 데이터 특성이 정상인 경우와 다음 패킷의 데이터 특성이 비정상인 경우로 구분할 수 있다(단계 S310). 제1 위험요소 결정부(220)는 제1 패킷에 순환 신경망 모델을 적용한 결과에 따라 다음 패킷의 데이터 특성이 정상인 것으로 예측할 수 있다(단계 S312). 제1 위험요소 결정부(220)는 유사도가 특정 기준 이상이고 다음 패킷의 데이터 특성이 정상으로 예측되면 해당 세션을 안전한 세션으로 결정할 수 있다(단계 S314). 예를 들어, 제1 위험요소 결정부(220)는 안전한 세션으로 결정된 세션을 통해 수신되는 복수의 데이터(신호)들은 악성코드가 없는 데이터라 분류할 수 있다.
다른 일 실시예에서, 제1 위험요소 결정부(220)는 제1 패킷에 순환 신경망 모델을 적용한 결과에 따라 다음 패킷의 데이터 특성이 비정상인 것으로 예측할 수 있다(단계 S316). 제1 위험요소 결정부(220)는 유사도가 특정 기준 이상이지만 다음 패킷의 데이터 특성이 비정상으로 예측되면 해당 세션에 대해 심층패킷분석(DPI, Deep Packet Inspection)을 수행할 수 있다(단계 S318).
보다 구체적으로, 제1 위험요소 결정부(220)는 세션을 통해 과거의 특정 시간 동안 송수신되었던 패킷들에 관한 심층패킷분석을 수행하여 세션을 검증할 수 있고, 여기에서, 심층패킷분석은 패킷의 패턴 특성을 분석하는 것뿐만 아니라 패킷 내부의 실제 내용까지 심층적으로 분석하는 작업을 말한다. 예를 들어, 제1 위험요소 결정부(220)는 현재 시점을 기준으로 과거 1주일 동안 해당 세션에서 송수신되었던 패킷들을 수집할 수 있고, 수집한 패킷들에 대해 심층패킷분석을 수행할 수 있다. 이러한 과정을 통해 제1 위험요소 결정부(220)는 과거 패킷들의 심층패킷분석 결과를 기초로 세션 검증을 수행할 수 있고, 세션을 안전한 세션 및 불안전한 세션 중 적어도 하나로 세션 상태를 결정할 수 있다.
제1 위험요소 결정부(220)는 다음 패킷의 데이터 특성이 비정상으로 예측되고 심층패킷분석을 수행하여 불안전한 세션으로 검증되면 해당 세션을 불안전한 세션으로 결정할 수 있다(단계 S320). 예를 들어, 제1 위험요소 결정부(220)는 불안전한 세션을 결정된 세션을 통해 수신되는 복수의 데이터(신호)들은 악성코드가 있는 데이터라 분류할 수 있다.
제2 위험요소 결정부(230)는 다음 패킷의 데이터 특성과 제2 패킷의 데이터 특성 간의 유사도가 특정 기준 이하이면 제2 패킷에 대한 위험도 분석을 수행할 수 있고, 위험요소를 다시 결정할 수 있다(단계 S322). 제2 위험요소 결정부(230)는 제2 패킷에 대한 위험도 분석을 수행하기 위해 세션 전용의 가상 머신{VM_s}을 생성할 수 있고, 예를 들어, 제1 세션은 제1 가상 머신{VM_s1}과만 연관될 수 있으며, 제2 세션은 제2 가상 머신{VM_s2}과만 연관될 수 있다(단계 S324).
제2 위험요소 결정부(230)는 생성된 가상 머신{VM_s}과 연동되는 순환 신경망 학습 에이전트를 실행하여 제2 패킷의 데이터 특성을 추출할 수 있다. 보다 구체적으로, 제2 위험요소 결정부(230)는 특정 세션과 연관된 가상 머신이 생성되면 가상 머신과 연동되는 순환 신경망 학습 에이전트{RNN_LA_s}를 생성할 수 있고, 가상 머신이 소멸되면 가상 머신과 연동되는 순환 신경망 학습 에이전트{RNN_LA_s}를 종료할 수 있다. 예를 들어, 제2 위험요소 결정부(230)는 제1 세션과 연관된 제1 가상 머신{VM_s1}을 생성하고, 제1 가상 머신{VM_s1}과 연동되는 제1 순환 신경망 학습 에이전트{RNN_LA_s1}를 생성한다. 여기에서, 순환 신경망 학습 에이전트는 순환 신경망 기반 네트워크 패킷의 위험요소 분석 장치(130)의 프로세스로 구현될 수 있다.
제2 위험요소 결정부(230)는 제1 및 제2 패킷들의 악성코드 존재여부를 검출할 수 있다. 보다 구체적으로, 제2 위험요소 결정부(230)는 생성된 가상 머신{VM_s}을 통해 제1 및 제2 패킷들을 격리시켜 실행함으로써 정확하게 악성코드의 존재여부를 검출할 수 있다. 예를 들어, 제2 위험요소 결정부(230)는 제1 패킷을 실행하여 제1 패킷에 대한 악성코드 존재여부를 검출할 수 있고, 제2 패킷을 실행하여 제2 패킷에 대한 악성코드 존재여부를 검출할 수 있다.
제2 위험요소 결정부(230)는 순환 신경망 학습 에이전트{RNN_LA_s}를 통해 순환 신경망 학습부(240)에 악성코드의 존재여부와 제2 패킷에 관한 데이터 특성을 제공할 수 있다. 보다 구체적으로, 제2 위험요소 결정부(230)는 제1 및 제2 패킷들이 격리되어 실행될 때 리소스 권한 요청내용을 기초로 악성코드 존재 확률을 산출할 수 있고, 리소스 사용량을 기초로 악성코드 존재 확률을 산출할 수 있다.
악성코드 존재 확률은 아래의 [수학식 1]을 통해 산출될 수 있다.
[수학식 1]
MC = RE + W
(여기에서, MC는 악성코드 존재 확률, RE는 리소스 권한 요청자의 수, W는 네트워크, 메모리 또는 CPU의 점유율들에 대한 편차(%)를 의미한다)
예를 들어, 제2 위험요소 결정부(230)는 메모리 사용량이 높지만 CPU 점유율은 낮은 경우 악성코드가 존재할 가능성이 높다고 판단할 수 있고, 메모리 사용량이 낮지만 CPU 점유율이 높은 경우 악성코드가 존재할 가능성이 높다고 판단할 수 있다. 즉, 제2 위험요소 결정부(230)는 네트워크, 메모리 또는 CPU의 점유율들에 대한 편차가 많이 나는 경우 악성코드 존재확률이 높다고 판단할 수 있다.
일 실시예에서, 제2 위험요소 결정부(230)는 악성코드 존재 확률이 특정 기준을 초과하지 않으면 악성코드가 존재하지 않는 것으로 결정할 수 있다(단계 S326). 보다 구체적으로, 제2 위험요소 결정부(230)는 악성코드 존재 확률을 기초로 제1 및 제2 패킷들에 악성코드가 존재하지 않는 것으로 결정되면 해당 세션이 안전한 것으로 결정할 수 있다.
다른 일 실시예에서, 제2 위험요소 결정부(230)는 악성코드 존재 확률이 특정 기준을 초과하면 악성코드가 존재하는 것으로 결정할 수 있다(단계 S328). 보다 구체적으로, 제2 위험요소 결정부(240)는 악성코드 존재 확률을 기초로 제1 및 제2 패킷들에 악성코드가 존재하는 것으로 결정되면 해당 세션이 불안전한 것으로 결정할 수 있다.
순환 신경망 학습부(240)는 제1 위험요소 결정부(220)와 제2 위험요소 결정부(230)를 통해 분석된 제1 및 제2 패킷들에 관한 위험요소 분석결과를 학습할 수 있다(단계 S330). 보다 구체적으로, 순환 신경망 학습부(240)는 제2 위험요소 결정부(230)를 통해 위험요소를 다시 결정하는 과정이 진행되면 제2 패킷에 관한 순환 신경망 학습을 수행할 수 있다. 순환 신경망 학습부(240)는 제2 패킷에 관한 순환 신경망 학습을 수행함으로써 순환 신경망 모델을 갱신할 수 있다. 예를 들어, 순환 신경망 학습부(240)는 제1 위험요소 결정부(220)를 통해 제1 패킷이 안전한 것으로 결정되면 제1 패킷에 대해 악성코드가 없는 패킷으로 학습을 수행할 수 있다.
순환 신경망 학습부(240)는 다음 패킷의 데이터 특성을 예측하기 위해 제2 패킷과 제2 위험요소 결정부(230)를 통해 재결정된 위험요소를 기초로 지도 학습(supervised learning)을 수행할 수 있다. 보다 구체적으로, 순환 신경망 학습부(240)는 순환 신경망 학습 에이전트를 통해 제2 패킷에 관한 데이터 특성과 재결정된 위험요소로서 제1 및 제2 패킷들에 악성코드가 존재하는지 여부를 수신하여 지도 학습을 수행할 수 있다. 순환 신경망 학습부(240)는 학습된 순환 신경망 모델을 다음 네트워크 패킷의 위험요소를 분석할 때 사용할 수 있다. 즉, 순환 신경망 기반 네트워크 패킷의 위험요소 분석 장치(130)는 세션에 있는 연속적인 패킷들의 특성과 학습된 순환 신경망 모델의 특성을 지속적으로 비교 분석함으로써 복수의 패킷들을 위험요소로부터 방어할 수 있고, 전송성능 열화, 장애원인 탐지 및 위험요소 분석을 통해 네트워크의 생존성과 신뢰성을 극대화 할 수 있다.
도 4는 순환 신경망 기반 네트워크 패킷의 위험요소 분석 과정을 요약적으로 설명하는 순서도이다.
도 4에서, 패킷 입력부(210)는 송신단(110)으로부터 세션에 있는 연속적인 제1 및 제2 패킷들을 입력 받을 수 있다(단계 S410).
제1 위험요소 결정부(220)는 제1 패킷에 순환 신경망 모델을 적용하여 다음 패킷의 데이터 특성을 예측할 수 있고, 다음 패킷의 데이터 특성과 제2 패킷의 데이터 특성 간의 유사도를 기초로 위험요소를 결정할 수 있다(단계 S420). 보다 구체적으로, 제1 위험요소 결정부(220)는 다음 패킷의 데이터 특성과 유사도에 따라 세션의 상태를 결정할 수 있다. 제1 위험요소 결정부(220)는 유사도가 특정 기준 이상이고 다음 패킷의 데이터 특성이 정상이면 세션을 안전한 것으로 결정할 수 있고, 그렇지 않으면 심층패킷분석을 추가로 수행하여 세션의 상태를 결정할 수 있다.
제2 위험요소 결정부(230)는 유사도가 특정 기준 이하이면 제2 패킷에 관한 위험성 분석을 수행하여 위험요소를 재결정할 수 있다(단계 S430). 보다 구체적으로, 제2 위험요소 결정부(230)는 제2 패킷에 관한 위험성 분석을 수행하기 위하여 세션 전용의 가상 머신을 생성할 수 있고, 생성된 가상 머신과 연동되는 순환 신경망 학습 에이전트를 생성할 수 있다. 제2 위험요소 결정부(230)는 순환 신경망 학습 에이전트를 통해 제1 및 제2 패킷들에 악성코드 존재여부를 검출할 수 있다.
순환 신경망 학습부(240)는 위험요소 재결정이 진행되면 제2 패킷에 관해 순환 신경망 학습을 수행하여 순환 신경망 모델을 갱신할 수 있다(단계 S440). 보다 구체적으로, 순환 신경망 학습부(240)는 제1 패킷과 제2 패킷에 대해 순환 신경망 학습을 수행할 수 있고, 학습된 순환 신경망을 이용하여 네트워크 패킷의 위험요소를 분석할 수 있다.
상기에서는 본 출원의 바람직한 실시예를 참조하여 설명하였지만, 해당 기술 분야의 숙련된 통상의 기술자는 하기의 특허 청구의 범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 출원을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.
100: 순환 신경망 기반 네트워크 패킷의 위험요소 분석 시스템
110: 송신단
120: 수신단
130: 순환 신경망 기반 네트워크 패킷의 위험요소 분석 장치
210: 패킷 입력부
220: 제1 위험요소 결정부
230: 제2 위험요소 결정부
240: 순환 신경망 학습부
250: 제어부

Claims (20)

  1. 송신단으로부터 세션에 있는 연속적인 제1 및 제2 패킷들을 입력받는 패킷 입력부;
    상기 제1 패킷에 순환 신경망 모델을 적용하여 다음 패킷의 데이터 특성을 예측하고 상기 다음 패킷의 데이터 특성과 상기 제2 패킷의 데이터 특성 간의 유사도를 기초로 위험요소를 결정하는 제1 위험요소 결정부;
    상기 유사도가 특정 기준 이하이면 상기 제2 패킷에 관한 위험성 분석을 수행하여 상기 위험요소를 재결정하는 제2 위험요소 결정부; 및
    상기 재결정이 진행되면 상기 제2 패킷에 관해 순환 신경망 학습을 수행하여 상기 순환 신경망 모델을 갱신하는 순환 신경망 학습부를 포함하는 순환 신경망 기반 네트워크 패킷의 위험요소 분석 장치.
  2. 제1항에 있어서, 상기 제1 위험요소 결정부는
    상기 다음 패킷의 데이터 특성이 정상적인 것으로 예측되고 상기 유사도가 상기 특정 기준 이상이면 상기 세션을 안전한 것으로 결정하는 것을 특징으로 하는 순환 신경망 기반 네트워크 패킷의 위험요소 분석 장치.
  3. 제1항에 있어서, 상기 제1 위험요소 결정부는
    상기 다음 패킷의 데이터 특성이 비정상적인 것으로 예측되고 상기 유사도가 상기 특정 기준 이상이면 상기 세션을 불안전한 것으로 결정하는 것을 특징으로 하는 순환 신경망 기반 네트워크 패킷의 위험요소 분석 장치.
  4. 제3항에 있어서, 상기 제1 위험요소 결정부는
    상기 세션을 통해 과거의 특정 시간 동안 송수신되었던 패킷들에 관한 심층패킷분석(DPI, Deep Packet Inspection)을 수행하여 상기 세션을 검증하는 것을 특징으로 하는 순환 신경망 기반 네트워크 패킷의 위험요소 분석 장치.
  5. 제1항에 있어서, 상기 제2 위험요소 결정부는
    상기 세션 전용의 가상 머신을 생성하고, 상기 가상 머신을 통해 상기 제1 및 제2 패킷들을 격리 실행하여 악성코드의 존재여부를 검출하는 것을 특징으로 하는 순환 신경망 기반 네트워크 패킷의 위험요소 분석 장치.
  6. 제5항에 있어서, 상기 제2 위험요소 결정부는
    상기 격리 실행 전에 상기 가상 머신에 순환 신경망 학습 에이전트를 실행하여 상기 제2 패킷에 관한 데이터 특성을 추출하는 것을 특징으로 하는 순환 신경망 기반 네트워크 패킷의 위험요소 분석 장치.
  7. 제6항에 있어서, 상기 제2 위험요소 결정부는
    상기 격리 실행 후에 상기 순환 신경망 학습 에이전트를 통해 상기 순환 신경망 학습부에 상기 악성코드의 존재여부와 상기 제2 패킷에 관한 데이터 특성을 제공하는 것을 특징으로 하는 순환 신경망 기반 네트워크 패킷의 위험요소 분석 장치.
  8. 제7항에 있어서, 상기 제2 위험요소 결정부는
    상기 제1 및 제2 패킷들이 격리 실행될 때 나타나는 리소스 권한 요청내용 및 리소스 사용량 중 적어도 하나를 기초로 상기 악성코드가 존재할 가능성을 나타내는 악성코드 존재 확률을 산출하는 것을 특징으로 하는 순환 신경망 기반 네트워크 패킷의 위험요소 분석 장치.
  9. 제8항에 있어서, 상기 제2 위험요소 결정부는
    상기 악성코드 존재 확률이 특정 기준을 초과하면 상기 악성코드가 존재하는 것으로 결정하는 것을 특징으로 하는 순환 신경망 기반 네트워크 패킷의 위험요소 분석 장치.
  10. 제1항에 있어서, 상기 순환 신경망 학습부는
    상기 다음 패킷의 데이터 특성의 예측을 위해 상기 제2 패킷과 상기 재결정된 위험요소를 기초로 지도 학습(supervised learning)을 수행하는 것을 특징으로 하는 순환 신경망 기반 네트워크 패킷의 위험요소 분석 장치.
  11. 제10항에 있어서, 상기 순환 신경망 학습부는
    순환 신경망 학습 에이전트를 통해 상기 제2 패킷에 관한 데이터 특성과 상기 재결정된 위험요소로서 상기 제1 및 제2 패킷들에 악성코드가 존재하는지 여부를 수신하여 상기 지도 학습을 수행하는 것을 특징으로 하는 순환 신경망 기반 네트워크 패킷의 위험요소 분석 장치.
  12. 제1항에 있어서, 상기 데이터 특성은
    상기 패킷에 포함된 데이터의 압축 비트맵에 해당하는 것을 특징으로 하는 순환 신경망 기반 네트워크 패킷의 위험요소 분석 장치.
  13. 순환 신경망 기반 네트워크 패킷의 위험요소 분석 장치에서 수행되는 순환 신경망 기반 네트워크 패킷의 위험요소 분석 방법에 있어서,
    (a) 송신단으로부터 세션에 있는 연속적인 제1 및 제2 패킷들을 입력받는 단계;
    (b) 상기 제1 패킷에 순환 신경망 모델을 적용하여 다음 패킷의 데이터 특성을 예측하고 상기 다음 패킷의 데이터 특성과 상기 제2 패킷의 데이터 특성 간의 유사도를 기초로 위험요소를 결정하는 단계;
    (c) 상기 유사도가 특정 기준 이하이면 상기 제2 패킷에 관한 위험성 분석을 수행하여 상기 위험요소를 재결정하는 단계; 및
    (d) 상기 재결정이 진행되면 상기 제2 패킷에 관해 순환 신경망 학습을 수행하여 상기 순환 신경망 모델을 갱신하는 단계를 포함하는 순환 신경망 기반 네트워크 패킷의 위험요소 분석 방법.
  14. 제13항에 있어서, 상기 (b) 단계는
    상기 다음 패킷의 데이터 특성이 정상적인 것으로 예측되고 상기 유사도가 상기 특정 기준 이상이면 상기 세션을 안전한 것으로 결정하는 단계를 포함하는 것을 특징으로 하는 순환 신경망 기반 네트워크 패킷의 위험요소 분석 방법.
  15. 제13항에 있어서, 상기 (b) 단계는
    상기 다음 패킷의 데이터 특성이 비정상적인 것으로 예측되고 상기 유사도가 상기 특정 기준 이상이면 상기 세션을 불안전한 것으로 결정하는 단계를 포함하는 것을 특징으로 하는 순환 신경망 기반 네트워크 패킷의 위험요소 분석 방법.
  16. 제15항에 있어서, 상기 (b) 단계는
    상기 세션을 통해 과거의 특정 시간 동안 송수신되었던 패킷들에 관한 심층패킷분석(DPI, Deep Packet Inspection)을 수행하여 상기 세션을 검증하는 단계를 더 포함하는 것을 특징으로 하는 순환 신경망 기반 네트워크 패킷의 위험요소 분석 방법.
  17. 제13항에 있어서, 상기 (c) 단계는
    상기 세션 전용의 가상 머신을 생성하고, 상기 가상 머신을 통해 상기 제1 및 제2 패킷들을 격리 실행하여 악성코드의 존재여부를 검출하는 단계를 포함하는 것을 특징으로 하는 순환 신경망 기반 네트워크 패킷의 위험요소 분석 방법.
  18. 제17항에 있어서, 상기 (c) 단계는
    상기 격리 실행 전에 상기 가상 머신에 순환 신경망 학습 에이전트를 실행하여 상기 제2 패킷에 관한 데이터 특성을 추출하는 단계를 더 포함하는 것을 특징으로 하는 순환 신경망 기반 네트워크 패킷의 위험요소 분석 방법.
  19. 제13항에 있어서, 상기 (d) 단계는
    상기 다음 패킷의 데이터 특성의 예측을 위해 상기 제2 패킷과 상기 재결정된 위험요소를 기초로 지도 학습(supervised learning)을 수행하는 단계를 포함하는 것을 특징으로 하는 순환 신경망 기반 네트워크 패킷의 위험요소 분석 방법.
  20. 제19항에 있어서, 상기 (d) 단계는
    순환 신경망 학습 에이전트를 통해 상기 제2 패킷에 관한 데이터 특성과 상기 재결정된 위험요소로서 상기 제1 및 제2 패킷들에 악성코드가 존재하는지 여부를 수신하여 상기 지도 학습을 수행하는 단계를 더 포함하는 것을 특징으로 하는 순환 신경망 기반 네트워크 패킷의 위험요소 분석 방법.
KR1020160134556A 2016-10-17 2016-10-17 순환 신경망 기반 네트워크 패킷의 위험요소 분석 방법, 이를 수행하는 순환 신경망 기반 네트워크 패킷의 위험요소 분석 장치 KR101927100B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020160134556A KR101927100B1 (ko) 2016-10-17 2016-10-17 순환 신경망 기반 네트워크 패킷의 위험요소 분석 방법, 이를 수행하는 순환 신경망 기반 네트워크 패킷의 위험요소 분석 장치

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020160134556A KR101927100B1 (ko) 2016-10-17 2016-10-17 순환 신경망 기반 네트워크 패킷의 위험요소 분석 방법, 이를 수행하는 순환 신경망 기반 네트워크 패킷의 위험요소 분석 장치

Publications (2)

Publication Number Publication Date
KR20180042019A true KR20180042019A (ko) 2018-04-25
KR101927100B1 KR101927100B1 (ko) 2018-12-10

Family

ID=62088738

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020160134556A KR101927100B1 (ko) 2016-10-17 2016-10-17 순환 신경망 기반 네트워크 패킷의 위험요소 분석 방법, 이를 수행하는 순환 신경망 기반 네트워크 패킷의 위험요소 분석 장치

Country Status (1)

Country Link
KR (1) KR101927100B1 (ko)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20210086220A (ko) * 2019-12-31 2021-07-08 아주대학교산학협력단 비정상 트래픽 패턴의 탐지 방법 및 장치
KR20220081480A (ko) * 2020-12-09 2022-06-16 디노플러스 (주) 딥러닝 기반 데이터 패킷처리 가속화 기술을 이용한 저지연 클라우드 서비스제공장치
KR20220150545A (ko) 2021-05-04 2022-11-11 엘아이지넥스원 주식회사 네트워크 공격 탐지 시스템 및 네트워크 공격 탐지 방법

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20090058533A (ko) * 2006-09-29 2009-06-09 알까뗄 루슨트 제2 유형의 퍼지 신경망을 사용하는 지능망 이상 검출
KR101621019B1 (ko) * 2015-01-28 2016-05-13 한국인터넷진흥원 시계열 통계 기반 공격의심 이상징후를 탐지하기 위한 방법
US20160299938A1 (en) * 2015-04-10 2016-10-13 Tata Consultancy Services Limited Anomaly detection system and method

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20090058533A (ko) * 2006-09-29 2009-06-09 알까뗄 루슨트 제2 유형의 퍼지 신경망을 사용하는 지능망 이상 검출
KR101621019B1 (ko) * 2015-01-28 2016-05-13 한국인터넷진흥원 시계열 통계 기반 공격의심 이상징후를 탐지하기 위한 방법
US20160299938A1 (en) * 2015-04-10 2016-10-13 Tata Consultancy Services Limited Anomaly detection system and method

Non-Patent Citations (4)

* Cited by examiner, † Cited by third party
Title
Araceli Barradas-Acosta et al., "Neural Network Based Attack Detection Algorithm", WSEAS Transactions on Computers, Volume 8 Issue 6 (2009.06.) *
Timothy J. O’Shea et al., "End-to-End Radio Traffic Sequence Recognition with Deep Recurrent Neural Networks", arXiv:1610.00564 (2016.10.03.) *
논문1:ACM *
논문2:arXiv *

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20210086220A (ko) * 2019-12-31 2021-07-08 아주대학교산학협력단 비정상 트래픽 패턴의 탐지 방법 및 장치
US11444876B2 (en) 2019-12-31 2022-09-13 Ajou University Industry-Academic Cooperation Foundation Method and apparatus for detecting abnormal traffic pattern
KR20220081480A (ko) * 2020-12-09 2022-06-16 디노플러스 (주) 딥러닝 기반 데이터 패킷처리 가속화 기술을 이용한 저지연 클라우드 서비스제공장치
KR20220150545A (ko) 2021-05-04 2022-11-11 엘아이지넥스원 주식회사 네트워크 공격 탐지 시스템 및 네트워크 공격 탐지 방법

Also Published As

Publication number Publication date
KR101927100B1 (ko) 2018-12-10

Similar Documents

Publication Publication Date Title
US11924048B2 (en) Anomaly detection in computer networks
US9158893B2 (en) System for finding code in a data flow
US10757135B2 (en) Bot characteristic detection method and apparatus
US20160021131A1 (en) Identifying stealth packets in network communications through use of packet headers
US20180302430A1 (en) SYSTEM AND METHOD FOR DETECTING CREATION OF MALICIOUS new USER ACCOUNTS BY AN ATTACKER
CN104601568A (zh) 虚拟化安全隔离方法和装置
CA3159619C (en) Packet processing method and apparatus, device, and computer-readable storage medium
KR101927100B1 (ko) 순환 신경망 기반 네트워크 패킷의 위험요소 분석 방법, 이를 수행하는 순환 신경망 기반 네트워크 패킷의 위험요소 분석 장치
US10225269B2 (en) Method and apparatus for detecting network attacks and generating attack signatures based on signature merging
WO2016080232A1 (ja) 悪性通信パターン抽出装置、悪性通信パターン抽出方法、および、悪性通信パターン抽出プログラム
EP2854362B1 (en) Software network behavior analysis and identification system
KR20130085570A (ko) 단말 중심 사이버 공격 방지 방법 및 그에 따른 단말 장치
JP2018518127A (ja) インライン・アクティブ・セキュリティ・デバイスによるパッシブセキュリティ分析
KR101378115B1 (ko) Pcre 기반 패턴 매칭 기법을 이용한 네트워크 침입 탐지 장치 및 방법
US10129277B1 (en) Methods for detecting malicious network traffic and devices thereof
KR102280845B1 (ko) 네트워크 내의 비정상 행위 탐지 방법 및 그 장치
CN106656966B (zh) 一种拦截业务处理请求的方法和装置
CN114553730B (zh) 一种应用识别方法、装置、电子设备及存储介质
CN107426136B (zh) 一种网络攻击的识别方法和装置
US20150180881A1 (en) Oam security authentication method and oam transmitting/ receiving devices
US10972500B2 (en) Detection system, detection apparatus, detection method, and detection program
WO2019047693A1 (zh) 一种进行WiFi网络安全监控的方法与设备
US11095651B2 (en) Communication apparatus and non-transitory computer readable storage medium
US20210234871A1 (en) Infection-spreading attack detection system and method, and program
KR20210059991A (ko) IoT 악성행위 분석 방법 및 이를 수행하기 위한 컴퓨팅 장치

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant