KR20190048264A - Apparatus and method for detecting anomalous signs using machine learning based on packet analysis - Google Patents

Apparatus and method for detecting anomalous signs using machine learning based on packet analysis Download PDF

Info

Publication number
KR20190048264A
KR20190048264A KR1020170143062A KR20170143062A KR20190048264A KR 20190048264 A KR20190048264 A KR 20190048264A KR 1020170143062 A KR1020170143062 A KR 1020170143062A KR 20170143062 A KR20170143062 A KR 20170143062A KR 20190048264 A KR20190048264 A KR 20190048264A
Authority
KR
South Korea
Prior art keywords
machine learning
packet
packets
analysis system
collected
Prior art date
Application number
KR1020170143062A
Other languages
Korean (ko)
Inventor
한욱연
Original Assignee
주식회사 윈스
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 윈스 filed Critical 주식회사 윈스
Priority to KR1020170143062A priority Critical patent/KR20190048264A/en
Publication of KR20190048264A publication Critical patent/KR20190048264A/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • Medical Informatics (AREA)
  • Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Data Mining & Analysis (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • General Physics & Mathematics (AREA)
  • Artificial Intelligence (AREA)
  • Evolutionary Computation (AREA)
  • Computer Hardware Design (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

The present invention relates to an apparatus for detecting an anomalous sign using packet processing-based machine learning and a method thereof. Moreover, according to the present invention, an apparatus for detecting an anomalous sign using packet processing-based machine learning comprises: a packet collector for collecting packets transmitted and received between a router and a client; and a machine learning analysis system for analyzing the packets collected by the packet collector to classify the packets according to sessions, performing machine learning by using the data for each session excluding a time at which an event occurred on a computer of the client as a training set, and detecting an anomalous sign in newly collected packets using a result of the performed machine learning.

Description

패킷 분석 기반의 기계 학습을 활용한 이상 징후 탐지 장치 및 방법{Apparatus and method for detecting anomalous signs using machine learning based on packet analysis}TECHNICAL FIELD The present invention relates to an apparatus and method for detecting anomalous symptoms using machine learning based on packet analysis,

본 발명은 패킷 분석 기반의 기계 학습을 활용한 이상 징후 탐지 장치 및 방법에 관한 것이다.The present invention relates to an apparatus and method for detecting anomaly symptoms using machine learning based on packet analysis.

인터넷을 통한 웜, 스캐닝, 서비스 거부 공격(Denial of Service attack, DoS) 등의 네트워크 공격은 네트워크 자원을 낭비하여 사용자에게 제공되는 서비스의 질과 보안의 강도를 하락시키는 위협적인 존재이다. Network attacks such as worms, scanning, denial of service attacks (DoS) through the Internet are a threat that wastes network resources and degrades the quality of service and security provided to users.

2000년에 발생한 Amazon, CNN, Yahoo, Ebay 같은 유명 사이트를 마비시킨 사례나, 2001년 Microsoft Domain Name System(DNS) 서버와 연결된 라우터가 분산 서비스 거부 공격을 받아 라우터의 과부하로 인해 한동안 웹 접속서비스가 마비된 사건이 대표적인 사례로 볼 수 있다. 따라서 이러한 네트워크 공격을 높은 정확도로 탐지하는 기법을 개발하는 것은 시급한 문제이다.In 2001, when a router connected to a Microsoft Domain Name System (DNS) server was attacked by distributed denial-of-service attacks and the router was overloaded for some time, the Web access service Paralysis can be seen as a representative example. Therefore, it is an urgent problem to develop a technique to detect such network attacks with high accuracy.

이상 징후(anomalous events)란 네트워크 공격의 일련의 과정 및 결과에서 추출할 수 있는 트래픽 특성을 지칭한다. 이상징후의 일례로는 높은 대역폭, 정상 트래픽과는 다른 IP의 분포 혹은 포트 번호의 분포 등이 있다. Anomalous events are traffic characteristics that can be extracted from a series of processes and results of a network attack. An example of anomalous indications is high bandwidth, distribution of IP different from normal traffic, or distribution of port numbers.

이상 징후는 네트워크 공격을 탐지하는 데에 적합한 단서를 제공하며, 따라서 이러한 이상 징후를 높은 정확도로 탐지하는 것은 네트워크 공격에 기민하게 대처하는 데에 일조할 수 있다.Abnormal indications provide a good clue to detecting network attacks, so detecting these anomalies with high accuracy can help to respond aggressively to network attacks.

현재까지 이상 징후를 효율적으로 탐지하기 위한 기법이 다수 제안되었다. 기존 연구는 일반적으로 트래픽 볼륨에 대한 관찰을 바탕으로, 트래픽 볼륨에 특징적인 변화가 나타날 시에 이를 이상징후로서 탐지한다. 트래픽 볼륨이란 단위시간당 패킷수, 단위시간 당 패킷의 크기의 변화량 등을 시간순으로 관측한 데이터를 의미한다. 대표적인 연구로 시계열 예측, 주성분 분석, 신호 분석을 이용한 이상 징후 탐지 기법이 있다. 이러한 기존 기술은 미탐율과 오탐율이 높거나, 시간복잡도가 높다는 단점이 있다.So far, many techniques have been proposed to efficiently detect abnormal symptoms. Existing research is based on observations on traffic volumes, and typically detects abnormal changes in traffic volume as an indication. The traffic volume is data obtained by observing, in chronological order, the number of packets per unit time, the amount of change in packet size per unit time, and the like. Representative studies include time-series prediction, principal component analysis, and signal anomaly detection. These existing technologies have disadvantages such as high detection rate, false detection rate, and high time complexity.

공개번호 10-2011-0067264호Public number 10-2011-0067264 공개번호 10-2017-0081543호Publication No. 10-2017-0081543 등록번호 10-1585342호Registration No. 10-1585342

본 발명은 상기와 같은 필요를 충족시키기 위하여 안출된 것으로, 패킷을 수집하여 패킷을 세션별 데이터 형태로 분류한 후에 분류된 세션별 데이터를 훈련 집합으로 하여 기계 학습을 수행한 후에 기계 학습된 결과를 이용하여 이상 징후를 탐지하도록 하는 패킷 분석 기반의 기계 학습을 활용한 이상 징후 탐지 장치 및 방법을 제공하는 데 있다.The present invention has been conceived to satisfy the above-mentioned needs. The present invention provides a method and apparatus for collecting packets, classifying packets into session-specific data types, And to provide a device and method for detecting anomalous symptoms using machine learning based on packet analysis for detecting anomalous symptoms.

본 발명의 장치는 라우터와 클라이언트 컴퓨터간에 송수신되는 패킷을 수집하는 패킷 수집기; 및 상기 패킷 수집기에서 수집된 패킷들을 분석하여 패킷들을 세션별로 분류하고, 클라이언트 컴퓨터에서 이벤트가 발생된 시간을 제외한 세션별 데이터를 훈련집합으로 하여 기계학습을 수행한 후에 수행된 기계 학습의 결과를 이용하여 새롭게 수집된 패킷의 이상 징후를 탐지하는 기계 학습 분석 시스템을 포함한다.The apparatus includes a packet collector for collecting packets transmitted and received between a router and a client computer; And analyzing the packets collected by the packet collector to classify the packets according to the sessions, and using the result of the machine learning performed after the machine learning by using the session-specific data excluding the time at which the event occurred at the client computer as a training set And a machine learning analysis system that detects anomalous indications of newly collected packets.

또한, 본 발명의 장치의 상기 패킷 수집기는 PCAP(Packet Capture) 기반 패킷 필터링을 이용하여 라우터와 클라이언트 컴퓨터간에 송수신되는 패킷을 수집한다.In addition, the packet collector of the apparatus of the present invention collects packets transmitted and received between a router and a client computer using PCAP (Packet Capture) based packet filtering.

또한, 본 발명의 장치의 상기 기계 학습 분석 시스템은 이상치 탐지(outlier detection) 알고리즘을 기계 학습의 학습 모델로 사용한다.Also, the machine learning analysis system of the apparatus of the present invention uses an outlier detection algorithm as a learning model of machine learning.

또한, 본 발명의 장치의 상기 기계 학습 분석 시스템은 상기 패킷 수집기에서 수집된 패킷들을 수신하는 패킷 수집부; 상기 패킷 수집부에서 수집된 패킷들을 분석하여 패킷들을 세션별로 분류하는 패킷 분리부; 상기 클라이언트 컴퓨터에서 발생된 이벤트를 수집하고 이벤트의 발생 시간을 기록하는 이벤트 수집부; 상기 이벤트 수집부에서 수집한 이벤트의 발생 시간을 제외한 시간의 세션별 데이터를 훈련집합으로 하여 기계학습을 수행하는 기계 학습부; 및 상기 기계 학습부에서 수행된 기계 학습의 결과를 이용하여 새롭게 수집된 패킷의 이상 징후를 탐지하는 이상 징후 탐지부를 포함한다.Further, the machine learning analysis system of the apparatus of the present invention may further comprise: a packet collecting unit for receiving the packets collected in the packet collector; A packet separator for analyzing the packets collected by the packet collector and classifying the packets according to sessions; An event collecting unit collecting an event generated by the client computer and recording an occurrence time of the event; A machine learning unit for performing machine learning using session-specific data of a time excluding a generation time of an event collected by the event collection unit as a training set; And an abnormal symptom detection unit for detecting an abnormal symptom of a newly collected packet using the result of the machine learning performed by the machine learning unit.

또한, 본 발명의 장치의 상기 기계 학습부는 시작지 어드레스와 도착지 어드레스를 포함하여 사용자 행동을 기계 학습에 포함시키고, 프레임을 활용하여 서비스 기준에 따라 발생하는 패킷량을 기계 학습에 포함시키며, 플래그 상에 정상적인 핸드 쉐이킹을 기계 학습에 포함시킨다.Further, the machine learning unit of the apparatus of the present invention includes user's action in the machine learning including the start address and the destination address, and uses the frame to include the amount of packets generated according to the service standard in the machine learning, To include normal handshaking in machine learning.

또한, 본 발명의 장치의 상기 기계 학습부는 격리 포레스트(Isolation Forest) 알고리즘과 원클라스 서포트 벡터 머신(One Class Support Vector Machine)을 학습 모델로 하여 기계 학습을 수행하고, 상기 이상 징후 탐지부는 상기 기계 학습부에서 수행된 격리 포레스트(Isolation Forest) 알고리즘을 이용한 기계 학습의 결과를 이용하여 새롭게 수집된 패킷의 유사도와 상기 기계 학습부에서 수행된 원클라스 서포트 벡터 머신(One Class Support Vector Machine)을 이용한 기계 학습의 결과를 이용하여 새롭게 수집된 패킷의 유사도의 평균을 이용하여 이상 징후를 탐지한다.In addition, the machine learning unit of the apparatus of the present invention performs machine learning using an isolation forest algorithm and a one-class support vector machine as a learning model, and the abnormality symptom detection unit performs the machine learning And the machine learning using the one class support vector machine performed in the machine learning unit using the result of the machine learning using the isolation forest algorithm performed in the machine learning unit And the average of the similarity of the newly collected packets is used to detect an abnormal symptom.

한편, 본 발명의 장치는 (A) 패킷 수집기가 라우터와 클라이언트 컴퓨터간에 송수신되는 패킷을 수집하는 단계; (B) 기계 학습 분석 시스템이 상기 패킷 수집기에서 수집된 패킷들을 분석하여 패킷들을 세션별로 분류하는 단계; (C) 상기 기계 학습 분석 시스템이 클라이언트 컴퓨터에서 이벤트가 발생된 시간을 제외한 세션별 데이터를 훈련집합으로 하여 기계학습을 수행하는 단계; 및 (D) 상기 기계 학습 분석 시스템이 수행된 기계 학습의 결과를 이용하여 새롭게 수집된 패킷의 이상 징후를 탐지하는 단계를 포함한다.According to another aspect of the present invention, there is provided an apparatus comprising: (A) collecting packets transmitted and received between a router and a client computer; (B) analyzing packets collected by the machine learning analysis system in the packet collector and classifying the packets by session; (C) performing the machine learning using the machine learning analysis system as a training set of session-specific data excluding a time at which an event is generated in the client computer; And (D) detecting an abnormality of a newly collected packet using the result of the machine learning performed by the machine learning analysis system.

또한, 본 발명의 방법의 상기 (C) 단계에서 상기 기계 학습 분석 시스템은 이상치 탐지(outlier detection) 알고리즘을 기계 학습의 학습 모델로 사용한다.Further, in the step (C) of the method of the present invention, the machine learning analysis system uses an outlier detection algorithm as a learning model of machine learning.

또한, 본 발명의 방법의 상기 (C) 단계에서 상기 기계 학습 분석 시스템은 시작지 어드레스와 도착지 어드레스를 포함하여 사용자 행동을 기계 학습에 포함시키고, 프레임을 활용하여 서비스 기준에 따라 발생하는 패킷량을 기계 학습에 포함시키며, 플래그 상에 정상적인 핸드 쉐이킹을 기계 학습에 포함시킨다.In addition, in the step (C) of the method of the present invention, the machine learning analysis system may include a user action in the machine learning including a start address and a destination address, and use a frame to calculate an amount of packets generated according to a service criterion Include in machine learning and include normal handshaking on the flag into machine learning.

또한, 본 발명의 방법의 상기 (C) 단계에서 상기 기계 학습 분석 시스템은 격리 포레스트(Isolation Forest) 알고리즘과 원클라스 서포트 벡터 머신(One Class Support Vector Machine)을 학습 모델로 하여 기계 학습을 수행하고, 상기 (D) 단계에서 상기 기계 학습 분석 시스템은 수행된 격리 포레스트(Isolation Forest) 알고리즘을 이용한 기계 학습의 결과를 이용하여 새롭게 수집된 패킷의 유사도와 상기 기계 학습부에서 수행된 원클라스 서포트 벡터 머신(One Class Support Vector Machine)을 이용한 기계 학습의 결과를 이용하여 새롭게 수집된 패킷의 유사도의 평균을 이용하여 이상 징후를 탐지한다.In the step (C) of the method of the present invention, the machine learning analysis system performs machine learning using an isolation forest algorithm and a one-class support vector machine as a learning model, In the step (D), the machine learning analysis system calculates the degree of similarity of the newly collected packet using the result of the machine learning using the isolation forest algorithm, and the difference between the degree of similarity of the newly collected packet and the circle class support vector machine One Class Support Vector Machine) is used to detect anomalous indices using the average of similarities of newly collected packets.

상기와 같은 본 발명은 패킷을 수집하여 패킷을 세션별 데이터 형태로 분류한 후에 분류된 세션별 데이터를 훈련 집합으로 하여 기계 학습을 수행한 후에 기계 학습된 결과를 이용하여 이상 징후를 탐지하도록 하여 탐지율을 높다.The present invention as described above collects packets, classifies packets into session-specific data types, performs machine learning using the classified data for each session as a training set, and then detects an abnormal symptom using the machine learning result, High.

도 1은 본 발명의 바람직한 일 실시예에 따른 패킷 분석 기반의 기계 학습을 활용한 이상 징후 탐지 장치의 구성도이다.
도 2는 도 1에 이용되는 격리 포레스트 알고리즘을 설명하기 위한 도면이다.
도 3은 도 1에 이용되는 원클라스 서포트 벡터 머신을 설명하기 위한 도면이다.
도 4는 도 1의 기계 학습 분석 시스템의 내부 구성도이다.
도 5는 본 발명의 바람직한 일 실시예에 따른 패킷 분석 기반의 기계 학습을 활용한 이상 징후 탐지 방법의 흐름도이다.FIG. 1 is a block diagram of an abnormal symptom detecting apparatus using machine learning based on packet analysis according to a preferred embodiment of the present invention.
FIG. 2 is a diagram for explaining an isolation forest algorithm used in FIG. 1; FIG.
Fig. 3 is a diagram for explaining a circle class support vector machine used in Fig. 1. Fig.
4 is an internal configuration diagram of the machine learning analysis system of FIG.
5 is a flowchart of an abnormal symptom detection method using machine learning based on packet analysis according to a preferred embodiment of the present invention.

본 발명과 본 발명의 동작상의 이점 및 본 발명의 실시에 의하여 달성되는 목적을 설명하기 위하여 이하에서는 본 발명의 바람직한 실시예를 예시하고 이를 참조하여 살펴본다.BRIEF DESCRIPTION OF THE DRAWINGS The above and other objects, features and advantages of the present invention will become more apparent from the following detailed description of the present invention when taken in conjunction with the accompanying drawings.

먼저, 본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로서, 본 발명을 한정하려는 의도가 아니며, 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함할 수 있다. 또한 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 명세서 상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.First, the terminology used in the present application is used only to describe a specific embodiment, and is not intended to limit the present invention, and the singular expressions may include plural expressions unless the context clearly indicates otherwise. Also, in this application, the terms "comprise", "having", and the like are intended to specify that there are stated features, integers, steps, operations, elements, parts or combinations thereof, But do not preclude the presence or addition of features, numbers, steps, operations, components, parts, or combinations thereof.

본 발명을 설명함에 있어서, 관련된 공지 구성 또는 기능에 대한 구체적인 설명이 본 발명의 요지를 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명은 생략한다.In the following description of the present invention, a detailed description of known functions and configurations incorporated herein will be omitted when it may make the subject matter of the present invention rather unclear.

도 1은 본 발명의 바람직한 일 실시예에 따른 패킷 분석 기반의 기계 학습을 활용한 이상 징후 탐지 장치의 구성도이다.FIG. 1 is a block diagram of an abnormal symptom detecting apparatus using machine learning based on packet analysis according to a preferred embodiment of the present invention.

도 1을 참조하면, 본 발명의 바람직한 일 실시예에 따른 패킷 분석 기반의 기계 학습을 활용한 이상 징후 탐지 장치는 라우터(10), 패킷 수집기(20), 침입 차단 장치(30), 스위치(40), 클라이언트 컴퓨터(51, 52, 53) 및 기계 학습 분석 시스템(60)을 포함하고 있다.Referring to FIG. 1, an apparatus for detecting anomalous symptoms using machine learning based on packet analysis according to a preferred embodiment of the present invention includes a router 10, a packet collector 20, an intrusion blocking device 30, a switch 40 ), Client computers (51, 52, 53) and a machine learning analysis system (60).

여기에서, 라우터(10)는 내부망과 외부망 사이에 데이터 패킷을 라우팅하는 종래의 라우팅 디바이스일 수 있다.Here, the router 10 may be a conventional routing device that routes data packets between the internal network and the external network.

이러한 라우터(10)는 패킷의 목적지(또는 도착지) 어드레스를 검사하고 그 패킷이 발송되어질 그 다음 라우터를 결정한다. 이 프로세스는 메시지 내의 각 패킷에 대해 반복되어진다. 단일의 메시지에 대응하는 패킷들이 소스 클라이언트 컴퓨터로부터 목적지 컴퓨터를 향하여 수많은 상이한 경로 상으로 전송되도록, 프로세스는 일반적으로 각 패킷에 대해 독립적으로 수행된다.This router 10 checks the destination (or destination) address of the packet and determines the next router to which the packet is to be sent. This process is repeated for each packet in the message. The process is generally performed independently for each packet such that packets corresponding to a single message are transmitted over a number of different paths from the source client computer to the destination computer.

그리고, 패킷 수집기(20)는 내부망과 외부망 사이에 전송되는 패킷을 수집하여 기계 학습 분석 시스템(60)으로 전송한다.The packet collector 20 collects packets transmitted between the internal network and the external network, and transmits the collected packets to the machine learning analysis system 60.

이때, 패킷 수집기(20)는 PCAP(Packet Capture) 기반 패킷 필터링을 이용하여 네트워크 동작과 관련된 ARP(Address Resolution Protocol), DHCP(Dynamic Host Configuration Protocol), SIP(Session Initiation Protocol), RTP(Real-time Transport Protocol) 패킷 등을 수집한다. At this time, the packet collector 20 uses ARP (Address Resolution Protocol), DHCP (Dynamic Host Configuration Protocol), SIP (Session Initiation Protocol), RTP Transport Protocol) packets.

물론, 패킷 수집기(20)는 이러한 방법 이외 인라인(inline) 방식, 미러링 포트(mirroring port)를 통해 패킷을 수집하는 미러링 방식, 네트워크 탭(network tap) 또는 탭 드라이버(tap driver)를 통해 패킷을 수집하는 탭 방식을 통해 패킷을 수집할 수 있다. Of course, the packet collector 20 may collect packets through an inline method, a mirroring method for collecting packets through a mirroring port, a network tap or a tap driver, The packet can be collected through the tap method.

패킷 수집기(20)는 인바운드(inbound) 방향과 아웃바운드(outbound) 방향을 구분하여 패킷의 송수신 방향을 확인할 수 있다.The packet collector 20 can distinguish the inbound direction and the outbound direction and confirm the transmission / reception direction of the packet.

이처럼 패킷 수집기(20)는 추출된 패킷을 일정 시간 단위로 PCAP(Packet CAPture) 포맷 형태의 파일로 묶어서 기계 학습 분석 시스템(60)으로 전송한다.As described above, the packet collector 20 bundles the extracted packets into a file in the form of a PCAP (Packet Capture) format in units of a predetermined time, and transmits the packets to the machine learning analysis system 60.

다음으로, 침입 차단 장치(30)는 일반적으로 그 네트워크에 도착하는 패킷을 검사하는 작업을 행하는 컴퓨터로서, 패킷들이 그 네트워크 내부에서 분배될 수 있도록 인가될 것인가를 결정한다. Next, the intruder 30 is a computer that typically performs the task of inspecting packets arriving at the network, and determines whether packets are to be authorized to be distributed within the network.

침입 차단 장치(30)는 원하지 않는 접근에 대항하여 시스템을 보호하는데 매우 효과적일 수 있지만, 이러한 보호가 절대 완전한 것은 아니며 비인가된 패킷이 네트워크에 도입될 수 있다. Intrusion blocking device 30 may be very effective at protecting the system against unwanted access, but such protection is never complete and unauthorized packets may be introduced into the network.

그리고, 스위치(40)는 해당 기술분야에 공지된 바와 같은 종래의 허브 디바이스(예, 이더넷 허브)이다.And, the switch 40 is a conventional hub device (e.g., an Ethernet hub) as is known in the art.

한 패킷이 침입 차단 장치(30)를 통하여 통과한 후, 그것은 스위치(40)에 의하여 네트워크 상의 적절한 컴퓨터로 발송되어야 한다. After a packet has passed through the intruder 30, it must be routed by the switch 40 to the appropriate computer on the network.

스위치(40)가 그 패킷을 수신할 때, 그 스위치(40)는 다른 라우팅 장치와 동일한 방식으로 목적지 어드레스를 결정하도록 패킷을 처리해야 한다. When the switch 40 receives the packet, the switch 40 must process the packet to determine the destination address in the same manner as other routing devices.

패킷을 발송하는 것에 부가하여, 스위치(40)는 어떤 것을 거절하거나 재발송하고 다른 것은 통과하게 하는 침입 차단 장치(30)의 기능과 유사한 기능을 수행한다. In addition to dispatching the packet, the switch 40 performs a function similar to that of the intruder 30, which rejects or retransmits something and makes the other pass.

그렇게 함으로써, 스위치(40)는 네트워크 내부의 패킷의 흐름을 제어한다. 네트워크 상의 컴퓨터들이 스위치(40)를 통하여 서로간에 연결되기 때문에, 스위치(40)는 그것이 연결된 각 컴퓨터에 출입하는 패킷 흐름을 제어할 수 있다. 따라서, 비인가된 패킷이 침입 차단 장치(30)를 통하여 통과하더라도, 패킷은 스위치(40)의 액세스 규칙을 만족한 후에야 네트워크 내부에서 한 장치로부터 다른 장치로 전송될 수 있다.By doing so, the switch 40 controls the flow of packets inside the network. Because the computers on the network are connected to each other via the switch 40, the switch 40 can control the flow of packets to and from each computer to which it is connected. Thus, even if the unauthorized packet passes through the intruder 30, the packet can be transmitted from one device to another device within the network only after satisfying the access rule of the switch 40. [

다음으로, 클라이언트 컴퓨터(51, 52, 53)는 종래의 태블릿, 노트북, 랩탑 또는 데스크탑 컴퓨터와 같은 네트워크 서비스를 요구할 수 있는 임의 유형의 컴퓨팅 디바이스일 수 있다.Next, the client computers 51, 52, 53 may be any type of computing device that may require network services, such as conventional tablet, notebook, laptop or desktop computers.

이와 같은 클라이언트 컴퓨터(51, 52, 53)는 스위치(40)에 결합되어 있으며, 스위치(40)를 통하여 내부 또는 외부와 통신한다.These client computers 51, 52, and 53 are coupled to the switch 40 and communicate internally or externally via the switch 40.

이처럼 클라이언트 컴퓨터(51, 52, 53)는 서로 통신할 수 있고, 패킷 스위칭 프로토콜을 이용하여 다른 네트워크 상의 컴퓨터와 통신할 수 있다. (위에서 언급된 바와 같이, " 컴퓨터" 는 다양한 유형의 네트워크 장치를 포함한다.) As such, the client computers 51, 52, 53 can communicate with each other and can communicate with computers on other networks using a packet switching protocol. (As mentioned above, " computer " includes various types of network devices.)

패킷 스위칭 프로토콜은 두개의 컴퓨터 사이에 보내지는 정보가 패킷으로 나뉘어지도록 요청한다. The packet switching protocol requests that information sent between two computers be divided into packets.

그리고 나서, 이 패킷들은 컴퓨터들 사이에서 전송된다. 패킷 스위칭 프로토콜을 이용하는 네트워크는 물리적 연결 대신에 두 컴퓨터 간의 가상 연결을 구축These packets are then transmitted between the computers. A network that uses packet-switched protocols establishes a virtual connection between two computers instead of a physical connection.

할 수 있다. can do.

두개의 컴퓨터 사이에 전송되는 정보가 패킷들로 나뉘어지기 때문에, 소스(또는 시작지, 출발지)와 목적지(또는 도착지) 사이의 컴퓨터들은 패킷을 어디로 보내야 할지 결정할 방법을 가지고 있어야 한다. Since the information transmitted between the two computers is divided into packets, the computers between the source (or origin) and the destination (or destination) must have a way to determine where to send the packet.

따라서, 각 패킷은 목적지 어드레스를 가진다. 많은 네트워크에서, IP(Internet Protocol) 어드레스 또는 TCP/IP(Transport Control Protocol/Internet Protocol) 어드레스가 사용된다. Thus, each packet has a destination address. In many networks, an Internet Protocol (IP) address or a Transport Control Protocol / Internet Protocol (TCP / IP) address is used.

이와 같은 클라이언트 컴퓨터(51, 52, 53)는 각종 침입 탐지 장치가 설치되어 있는데, 클라이언트 컴퓨터(51, 52, 53)는 각종 침입이 탐지되면 침입 탐지 이벤트를 발생시켜 기계 학습 분석 시스템(60)으로 전송한다.Various intrusion detection devices are installed in the client computers 51, 52 and 53. When various intrusions are detected, the client computers 51, 52 and 53 generate intrusion detection events and transmit them to the machine learning analysis system 60 send.

한편, 기계 학습 분석 시스템(60)은 패킷 수집기(20)에서 미러링되어 전송된 전체 패킷을 세션(session) 단위로 나누어 분류한다.On the other hand, the machine learning analysis system 60 divides all the packets transmitted and mirrored in the packet collector 20 into sessions.

그리고, 기계 학습 분석 시스템(60)은 클라이언트 컴퓨터(51, 52, 53)에서 전송된 침입 탐지 이벤트를 수집하여, 이벤트가 발생된 시간(즉, 시작 시간과 마치는 시간)을 기록한다.The machine learning analysis system 60 collects intrusion detection events transmitted from the client computers 51, 52, and 53, and records the time at which the event occurred (that is, the time at which the start time and the end time are completed).

이와 같은 기계 학습 분석 시스템(60)은 클라이언트 컴퓨터(51, 52, 53)에서 전송된 침입 탐지 이벤트의 발생된 시간을 제외한 시간의 세션별 데이터를 훈련 집합으로 하여 기계 학습을 수행한다.The machine learning analysis system 60 performs the machine learning by using the session-specific data of the time except for the generated time of the intrusion detection event transmitted from the client computers 51, 52 and 53 as a training set.

이때 기계 학습 분석 시스템(60)이 사용하는 기계 학습의 학습 모델은 이상치 탐지(outlier detection) 알고리즘이 있으며, 이상치 탐지(outlier detection)알고리즘은 현재 가지고 있는 값들 중에서 이상치를 판별해는 방법이다.In this case, the learning model of the machine learning used by the machine learning analysis system 60 is an outlier detection algorithm, and the outlier detection algorithm is a method of discriminating anomalies from the values currently possessed.

이러한 이상치 탐지 알고리즘의 일예로, 격리 포레스트(Isolation Forest) 알고리즘과 원클라스 서포트 벡터 머신(One Class Support Vector Machine)이 있다.An example of such an outlier detection algorithm is an isolation forest algorithm and a one-class support vector machine.

여기에서 격리 포레스트 알고리즘은 도 2에 도시된 바와 같이, 특징을 무작위로 선택한 다음 선택한 특징의 최대 값과 최소값 사이의 분할 값을 무작위로 선택하여 관측치를 분리한다. Here, the quarantine forest algorithm randomly selects a feature, as shown in FIG. 2, and then separates the observation by randomly selecting a split value between the maximum value and the minimum value of the selected feature.

정상적인 값과 예외적이 값을 구분하기 위해 몇 가지 조건만 사용하여 예외적인 값을 분리하는 알고리즘이다.An algorithm that separates exceptional values using only a few conditions to distinguish between normal and exceptional values.

그리고, 원클라스 서포트 벡터 머신은 도 3에 도시된 바와 같이, 데이터를 하나의 클래스로 군집하고, 이 클래스를 벗어나는 이상치를 검출하는 알고리즘이다. As shown in Fig. 3, the circle class support vector machine is an algorithm for clustering data into one class and detecting an abnormal value that deviates from this class.

데이터를 고차원으로 매핑하여 선형 분류 평면과 가장 거리가 먼 선을 선택하는 알고리즘이다.It is an algorithm that maps data to a higher dimension and selects a line that is farthest from the linear classification plane.

이와 같이 기계 학습 분석 시스템(60)은 훈련 집합을 이용하여 기계 학습을 진행하고 패킷 수집기(20)에서 새로운 패킷이 수집되면 패킷을 세션별 데이터 형태로 분류한 후에 각 세션별 유사도에 대한 점수에 따라 이상 징후를 탐지한다.As described above, the machine learning analysis system 60 proceeds to machine learning using a training set. When a new packet is collected in the packet collector 20, the machine learning analysis system 60 classifies the packets into session-based data types, It detects abnormal symptoms.

이때, 기계 학습 분석 시스템(60)은 복수의 학습 모델을 사용하여 이러한 과정을 수행할 수 있으며, 그 결과를 종합하여 이상 여부를 판단한다.At this time, the machine learning analysis system 60 can perform such a process using a plurality of learning models, and the results are integrated to determine the abnormality.

일예로 기계 학습 분석 시스템(60)은 각 학습 모델이 산출한 유사도의 평균을 산출하여 이상 여부를 판단하며, 유사한 경우에는 훈련 데이터에 추가한다.For example, the machine learning analysis system 60 calculates an average of the degrees of similarity calculated by each learning model to determine an abnormality, and in a similar case, adds the training data.

이때, 사용되는 특징점이 아래 표 1에 도시되어 있다.At this time, the minutiae used are shown in Table 1 below.

(표 1)(Table 1)

Figure pat00001
Figure pat00001

표 1을 참조하면, 기계 학습 분석 시스템(60)은 시작지 어드레스(Src_ip)와 도착지 어드레스(dst_ip)를 포함하여 사용자 행동을 기계 학습에 포함시킨다.Referring to Table 1, the machine learning analysis system 60 includes the user's action in the machine learning, including the start address Src_ip and the destination address dst_ip.

또한, 기계 학습 분석 시스템(60)은 프레임을 활용하여 서비스 기준(dst port + Protocol)에 따라 발생하는 패킷량을 기계 학습에 포함시킨다.In addition, the machine learning analysis system 60 utilizes a frame to include the amount of packets generated according to the service standard (dst port + Protocol) in the machine learning.

또한, 기계 학습 분석 시스템(60)은 플래그(Flag) 상에 정상적인 핸드 쉐이킹(접속 또는 해제)을 기계 학습에 포함시킨다.Further, the machine learning analysis system 60 includes normal handshaking (connection or release) on the flag (Flag) in the machine learning.

도 4는 도 1의 기계 학습 분석 시스템의 내부 구성도이다.4 is an internal configuration diagram of the machine learning analysis system of FIG.

도 4를 참조하면, 도 1의 기계 학습 분석 시스템은 패킷 수집부(100), 패킷 분리부(110), 이벤트 수집부(120), 훈련 데이터 설정부(130), 기계 학습부(140) 및 이상 징후 탐지부(150)를 구비하고 있다.Referring to FIG. 4, the machine learning analysis system of FIG. 1 includes a packet collecting unit 100, a packet separating unit 110, an event collecting unit 120, a training data setting unit 130, a machine learning unit 140, And an abnormality symptom detection unit 150.

상기 패킷 수집부(100)는 패킷 수집기(20)에서 미러링되어 전송된 전체 패킷을 수신하여 수집한다.The packet collecting unit 100 receives and collects the entire packets that are mirrored and transmitted in the packet collector 20.

그리고, 패킷 분리부(110)는 패킷 수집기(20)에서 미러링되어 전송된 전체 패킷을 세션(session) 단위로 나누어 분류한다.The packet separator 110 classifies all packets transmitted by mirroring in the packet collector 20 into sessions.

이처럼 패킷 분리부(110)는 패킷 수집부(100)에서 수집된 패킷들을 분석하여 패킷들을 세션(session)별로 분류하고, 동일한 세션 내에서 방향별로 패킷이 수집된 시작시간과 마지막 시간을 기록한다. The packet separator 110 analyzes the packets collected by the packet collector 100 and classifies the packets according to sessions. The packet separator 110 records the start time and the end time of the collected packets in the same session.

패킷 분리부(110)는 패킷의 TCP/IP 헤더를 분석하여 5튜플(소스 IP, 소스 port, 목적지 IP, 목적지 IP, 사용 중인 프로토콜)을 확인하고, 5튜플(5 tuples)을 기초로 세션을 분류할 수 있다. 예를 들어, 동일한 5튜플을 갖는 패킷은 동일한 세션으로 분류할 수 있다.The packet separator 110 analyzes the TCP / IP header of the packet to identify 5 tuples (source IP, source port, destination IP, destination IP, and protocol in use), and determines a session based on 5 tuples Can be classified. For example, a packet with the same 5 tuples can be classified as the same session.

이때, 패킷 분리부(110)는 인바운드 방향의 패킷과 아웃바운드 방향의 패킷은 동일한 세션으로 분류한다. 즉, 5튜플에서 소스(source)와 목적지(destination) 방향이 반대인 패킷들도 동일한 세션으로 분류한다.At this time, the packet separator 110 classifies the packet in the inbound direction and the packet in the outbound direction into the same session. In other words, packets with opposite source and destination directions in 5 tuples are classified as the same session.

다음으로, 이벤트 수집부(120)는 클라이언트 컴퓨터(51, 52, 53)에서 전송된 침입 탐지 이벤트를 수집하여, 이벤트가 발생된 시간(즉, 시작 시간과 마치는 시간)을 기록한다.Next, the event collecting unit 120 collects the intrusion detection events transmitted from the client computers 51, 52, and 53, and records the time at which the event occurred (i.e., the time to complete the start time).

이와 같은 상황에서 훈련 데이터 설정부(130)는 클라이언트 컴퓨터(51, 52, 53)에서 전송된 침입 탐지 이벤트의 발생된 시간을 제외한 시간의 세션별 데이터를 훈련 집합의 훈련 데이터로 설정한다.In this situation, the training data setting unit 130 sets the session-specific data of the time excluding the generated time of the intrusion detection event transmitted from the client computers 51, 52, and 53 as the training data of the training set.

이에 따라, 기계 학습부(140)는 훈련 데이터 설정부(130)에서 설정된 훈련 집합의 훈련 데이터를 이용하여 기계 학습을 수행한다.Accordingly, the machine learning unit 140 performs the machine learning using the training data of the training set set in the training data setting unit 130. [

이때 기계 학습부(140)가 사용하는 기계 학습의 학습 모델은 이상치 탐지(outlier detection) 알고리즘이 있으며, 이상치 탐지(outlier detection)는 현재 가지고 있는 값들 중에서 이상치를 판별해는 방법이다.In this case, the learning model of the machine learning used by the machine learning unit 140 is an outlier detection algorithm, and outlier detection is a method of determining an outlier among the values currently possessed by the machine learning unit 140.

이러한 이상치 탐지 알고리즘의 일예로, 격리 포레스트(Isolation Forest) 알고리즘과 원클라스 서포트 벡터 머신(One Class Support Vector Machine)이 있다.An example of such an outlier detection algorithm is an isolation forest algorithm and a one-class support vector machine.

이와 같이 기계 학습부(140)가 훈련 데이터를 이용하여 학습을 진행하고 패킷 수집부(100)에서 새로운 패킷이 수집되면 새롭게 수집된 패킷을 세션별 데이터 형태로 분류한 후에 이상 징후 탐지부(150)는 각 세션별 유사도에 대한 점수에 따라 이상 징후를 탐지한다.When the new packet is collected in the packet collecting unit 100, the machine learning unit 140 classifies the newly collected packet into a session-specific data form, and then the abnormality symptom detecting unit 150 detects the abnormality, Detects anomalous indices according to the score of similarity for each session.

이때, 이상 징후 탐지부(150)는 복수의 학습 모델을 사용하여 이러한 과정을 수행할 수 있으며, 그 결과를 종합하여 이상 여부를 판단한다.At this time, the abnormality symptom detection unit 150 can perform this process using a plurality of learning models, and judges whether there is an abnormality by synthesizing the results.

일예로 이상 징후 탐지부(150)는 각 학습 모델이 산출한 유사도의 평균을 산출하여 이상 여부를 판단하며, 유사한 경우에는 훈련 데이터 설정부(130)를 통하여 훈련 집합에 훈련 데이터로 추가하도록 한다. 이때, 사용되는 특징점이 표 1에 도시되어 있다.For example, the abnormality symptom detection unit 150 calculates an average of similarities calculated by each learning model to determine an abnormality, and if so, adds the training data to the training set through the training data setting unit 130. At this time, the feature points used are shown in Table 1.

도 5는 본 발명의 바람직한 일 실시예에 따른 패킷 분석 기반의 기계 학습을 활용한 이상 징후 탐지 방법의 흐름도이다.5 is a flowchart of an abnormal symptom detection method using machine learning based on packet analysis according to a preferred embodiment of the present invention.

도 5를 참조하면, 본 발명의 바람직한 일 실시예에 따른 패킷 분석 기반의 기계 학습을 활용한 이상 징후 탐지 방법은 먼저 기계 학습 분석 시스템(60)은 패킷 수집기(20)에서 미러링되어 전송된 전체 패킷을 수집하여(S100), 세션(session) 단위로 나누어 분류한다(S102).Referring to FIG. 5, in the method of detecting anomaly symptom using machine learning based on packet analysis according to the preferred embodiment of the present invention, the machine learning analysis system 60 first calculates the total number of packets transmitted in the packet collector 20, (S100), and classifies them into sessions (S102).

그리고, 기계 학습 분석 시스템(60)은 클라이언트 컴퓨터(51, 52, 53)에서 전송된 침입 탐지 이벤트를 수집하여(S200), 이벤트가 발생된 시간(즉, 시작시간과 마치는 시간)을 기록한다(S202).Then, the machine learning analysis system 60 collects the intrusion detection events transmitted from the client computers 51, 52 and 53 (S200) and records the time at which the event occurred (that is, the time to complete the start time) S202).

이와 같은 기계 학습 분석 시스템(60)은 클라이언트 컴퓨터(51, 52, 53)에서 전송된 침입 탐지 이벤트의 발생된 시간을 제외한 시간의 세션별 데이터를 훈련 데이터로 설정하여(S300) 기계 학습을 수행한다(S302).The machine learning analysis system 60 sets the session data for each session excluding the time of occurrence of the intrusion detection event transmitted from the client computers 51, 52 and 53 as training data (S300) and performs machine learning (S302).

이때 기계 학습 분석 시스템(60)이 사용하는 기계 학습의 학습 모델은 이상치 탐지(outlier detection) 알고리즘이 있으며, 이상치 탐지(outlier detection)는 현재 가지고 있는 값들 중에서 이상치를 판별해는 방법이다.In this case, the learning model of the machine learning used by the machine learning analysis system 60 is an outlier detection algorithm, and the outlier detection is a method of discriminating anomalies from the values currently possessed.

이와 같이 기계 학습 분석 시스템(60)은 훈련 데이터를 이용하여 학습을 진행하고 패킷 수집기(20)에서 새로운 패킷이 수집되면(S304) 패킷을 세션별 데이터 형태로 분류한 후에(S306) 각 세션별 유사도에 대한 접수에 따라 이상 징후를 탐지한다(S308).In this way, the machine learning analysis system 60 proceeds to the learning using the training data, and when new packets are collected in the packet collector 20 (S304), the machine learning analysis system 60 classifies the packets into data types per session (S306) An abnormal symptom is detected (S308).

이때, 기계 학습 분석 시스템(60)은 복수의 학습 모델을 사용하여 이러한 과정을 수행할 수 있으며, 그 결과를 종합하여 이상 여부를 판단한다.At this time, the machine learning analysis system 60 can perform such a process using a plurality of learning models, and the results are integrated to determine the abnormality.

일예로 기계 학습 분석 시스템(60)은 각 학습 모델이 산출한 유사도의 평균을 산출하여 이상 여부를 판단하며, 유사한 경우에는 훈련 데이터에 추가한다(S310). 이때, 사용되는 특징점이 표 1에 도시되어 있다.For example, the machine learning analysis system 60 calculates an average of the degrees of similarity calculated by each learning model to determine an abnormality, and in a similar case, adds the training data to the training data (S310). At this time, the feature points used are shown in Table 1.

상기와 같은 본 발명은 패킷을 수집하여 패킷을 세션별 데이터 형태로 정제한 후에 정제된 세션별 데이터를 훈련 집합으로 하여 기계학습을 수행한 후에 학습된 결과를 이용하여 이상 징후를 탐지하도록 하여 탐지율을 높이고 있다.The present invention as described above collects packets to purify packets into session-specific data types, then performs machine learning using the refined session-specific data as a training set, and then uses the learned results to detect an abnormal symptom, It is increasing.

이상의 설명은 본 발명의 기술 사상을 예시적으로 설명한 것에 불과한 것으로서, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 다양한 수정 및 변형이 가능할 것이다. 따라서 본 발명에 기재된 실시예들은 본 발명의 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시예에 의하여 본 발명의 기술 사상이 한정되는 것은 아니다. 본 발명의 보호 범위는 아래의 청구범위에 의해서 해석되어야 하며, 그와 동등한 범위 내에 있는 모든 기술 사상은 본 발명의 권리범위에 포함되는 것으로 해석되어야 할 것이다.The foregoing description is merely illustrative of the technical idea of the present invention, and various changes and modifications may be made by those skilled in the art without departing from the essential characteristics of the present invention. Therefore, the embodiments of the present invention are not intended to limit the scope of the present invention but to limit the scope of the present invention. The scope of protection of the present invention should be construed according to the following claims, and all technical ideas within the scope of equivalents thereof should be construed as being included in the scope of the present invention.

10 : 라우터 20 : 패킷 수집기
30 : 침입 차단 장치 40 : 스위치
51, 52,53 : 클라이언트 컴퓨터 60 : 기계 학습 분석 시스템
100 : 패킷 수집부 110 : 패킷 분리부
120 : 이벤트 수집부 130 : 훈련 데이터 설정부
140 : 기계 학습부 150 : 이상 징후 탐지부10: router 20: packet collector
30: Intrusion blocking device 40: Switch
51, 52, 53: client computer 60: machine learning analysis system
100: packet collecting unit 110: packet separating unit
120: Event collecting unit 130: Training data setting unit
140: machine learning unit 150: abnormal symptom detection unit

Claims (10)

라우터와 클라이언트 컴퓨터간에 송수신되는 패킷을 수집하는 패킷 수집기; 및
상기 패킷 수집기에서 수집된 패킷들을 분석하여 패킷들을 세션별로 분류하고, 클라이언트 컴퓨터에서 이벤트가 발생된 시간을 제외한 세션별 데이터를 훈련집합으로 하여 기계학습을 수행한 후에 수행된 기계 학습의 결과를 이용하여 새롭게 수집된 패킷의 이상 징후를 탐지하는 기계 학습 분석 시스템을 포함하는 패킷 분석 기반의 기계 학습을 활용한 이상 징후 탐지 장치.A packet collector for collecting packets transmitted and received between a router and a client computer; And
Analyzing the packets collected by the packet collector to classify the packets according to the sessions, and using the result of the machine learning performed after performing the machine learning using the session-specific data excluding the time at which the event occurred at the client computer as a training set Anomalous Signs Detection Utilizing Machine Learning Based on Packet Analysis Containing Machine Learning Analysis System to Detect Abnormal Signals of Newly Collected Packets. 청구항 1항에 있어서,
상기 패킷 수집기는 PCAP(Packet Capture) 기반 패킷 필터링을 이용하여 라우터와 클라이언트 컴퓨터간에 송수신되는 패킷을 수집하는 패킷 분석 기반의 기계 학습을 활용한 이상 징후 탐지 장치.The method according to claim 1,
Wherein the packet collector is based on a packet analysis based on machine learning that collects packets transmitted and received between a router and a client computer using PCAP (Packet Capture) based packet filtering. 청구항 1항에 있어서,
상기 기계 학습 분석 시스템은 이상치 탐지(outlier detection) 알고리즘을 기계 학습의 학습 모델로 사용하는 패킷 분석 기반의 기계 학습을 활용한 이상 징후 탐지 장치.The method according to claim 1,
The machine learning analysis system uses an outlier detection algorithm as a learning model of machine learning. 청구항 1항에 있어서,
상기 기계 학습 분석 시스템은
상기 패킷 수집기에서 수집된 패킷들을 수신하는 패킷 수집부;
상기 패킷 수집부에서 수집된 패킷들을 분석하여 패킷들을 세션별로 분류하는 패킷 분리부;
상기 클라이언트 컴퓨터에서 발생된 이벤트를 수집하고 이벤트의 발생 시간을 기록하는 이벤트 수집부;
상기 이벤트 수집부에서 수집한 이벤트의 발생 시간을 제외한 시간의 세션별 데이터를 훈련집합으로 하여 기계학습을 수행하는 기계 학습부; 및
상기 기계 학습부에서 수행된 기계 학습의 결과를 이용하여 새롭게 수집된 패킷의 이상 징후를 탐지하는 이상 징후 탐지부를 포함하는 패킷 분석 기반의 기계 학습을 활용한 이상 징후 탐지 장치.The method according to claim 1,
The machine learning analysis system
A packet collector for receiving the packets collected by the packet collector;
A packet separator for analyzing the packets collected by the packet collector and classifying the packets according to sessions;
An event collecting unit collecting an event generated by the client computer and recording an occurrence time of the event;
A machine learning unit for performing machine learning using session-specific data of a time excluding a generation time of an event collected by the event collection unit as a training set; And
And an abnormal symptom detection unit for detecting an abnormal symptom of a newly collected packet using the result of the machine learning performed by the machine learning unit. 청구항 4항에 있어서,
상기 기계 학습부는 시작지 어드레스와 도착지 어드레스를 포함하여 사용자 행동을 기계 학습에 포함시키고, 프레임을 활용하여 서비스 기준에 따라 발생하는 패킷량을 기계 학습에 포함시키며, 플래그 상에 정상적인 핸드 쉐이킹을 기계 학습에 포함시키는 패킷 분석 기반의 기계 학습을 활용한 이상 징후 탐지 장치.The method of claim 4,
The machine learning unit includes the user's action in the machine learning including the start address and the destination address, and uses the frame to include the amount of packets generated according to the service criterion in the machine learning, and performs normal handshaking on the flag Anomaly detection device using packet analysis based machine learning. 청구항 4항에 있어서,
상기 기계 학습부는 격리 포레스트(Isolation Forest) 알고리즘과 원클라스 서포트 벡터 머신(One Class Support Vector Machine)을 학습 모델로 하여 기계 학습을 수행하고,
상기 이상 징후 탐지부는 상기 기계 학습부에서 수행된 격리 포레스트(Isolation Forest) 알고리즘을 이용한 기계 학습의 결과를 이용하여 새롭게 수집된 패킷의 유사도와 상기 기계 학습부에서 수행된 원클라스 서포트 벡터 머신(One Class Support Vector Machine)을 이용한 기계 학습의 결과를 이용하여 새롭게 수집된 패킷의 유사도의 평균을 이용하여 이상 징후를 탐지하는 패킷 분석 기반의 기계 학습을 활용한 이상 징후 탐지 장치.The method of claim 4,
The machine learning unit performs machine learning using an isolation forest algorithm and a one-class support vector machine as a learning model,
The abnormality symptom detection unit detects the similarity of the newly collected packets using the result of the machine learning using the isolation forest algorithm performed by the machine learning unit and the one class of the one class support vector machine An anomalous symptom detection system using machine learning based on packet analysis to detect anomalous indices using the average of similarity of newly collected packets using the results of machine learning using Support Vector Machine. (A) 패킷 수집기가 라우터와 클라이언트 컴퓨터간에 송수신되는 패킷을 수집하는 단계;
(B) 기계 학습 분석 시스템이 상기 패킷 수집기에서 수집된 패킷들을 분석하여 패킷들을 세션별로 분류하는 단계;
(C) 상기 기계 학습 분석 시스템이 클라이언트 컴퓨터에서 이벤트가 발생된 시간을 제외한 세션별 데이터를 훈련집합으로 하여 기계학습을 수행하는 단계; 및
(D) 상기 기계 학습 분석 시스템이 수행된 기계 학습의 결과를 이용하여 새롭게 수집된 패킷의 이상 징후를 탐지하는 단계를 포함하는 패킷 분석 기반의 기계 학습을 활용한 이상 징후 탐지 방법.(A) collecting packets transmitted and received between a router and a client computer by a packet collector;
(B) analyzing packets collected by the machine learning analysis system in the packet collector and classifying the packets by session;
(C) performing the machine learning using the machine learning analysis system as a training set of session-specific data excluding a time at which an event is generated in the client computer; And
(D) detecting an abnormality of a newly collected packet using the result of the machine learning performed by the machine learning analysis system. 청구항 7항에 있어서,
상기 (C) 단계에서 상기 기계 학습 분석 시스템은 이상치 탐지(outlier detection) 알고리즘을 기계 학습의 학습 모델로 사용하는 패킷 분석 기반의 기계 학습을 활용한 이상 징후 탐지 방법.The method of claim 7,
In the step (C), the machine learning analysis system uses an outlier detection algorithm as a learning model of machine learning, and uses a machine learning based on packet analysis to detect an abnormal symptom. 청구항 7항에 있어서,
상기 (C) 단계에서 상기 기계 학습 분석 시스템은 시작지 어드레스와 도착지 어드레스를 포함하여 사용자 행동을 기계 학습에 포함시키고, 프레임을 활용하여 서비스 기준에 따라 발생하는 패킷량을 기계 학습에 포함시키며, 플래그 상에 정상적인 핸드 쉐이킹을 기계 학습에 포함시키는 패킷 분석 기반의 기계 학습을 활용한 이상 징후 탐지 방법.The method of claim 7,
In the step (C), the machine learning analysis system includes a user action in a machine learning including a start address and a destination address, and includes a packet amount generated in accordance with a service reference in a machine learning using a frame, Anomaly detection using packet analysis based machine learning to incorporate normal handshaking into machine learning. 청구항 7항에 있어서,
상기 (C) 단계에서 상기 기계 학습 분석 시스템은 격리 포레스트(Isolation Forest) 알고리즘과 원클라스 서포트 벡터 머신(One Class Support Vector Machine)을 학습 모델로 하여 기계 학습을 수행하고,
상기 (D) 단계에서 상기 기계 학습 분석 시스템은 수행된 격리 포레스트(Isolation Forest) 알고리즘을 이용한 기계 학습의 결과를 이용하여 새롭게 수집된 패킷의 유사도와 상기 기계 학습부에서 수행된 원클라스 서포트 벡터 머신(One Class Support Vector Machine)을 이용한 기계 학습의 결과를 이용하여 새롭게 수집된 패킷의 유사도의 평균을 이용하여 이상 징후를 탐지하는 패킷 분석 기반의 기계 학습을 활용한 이상 징후 탐지 방법.The method of claim 7,
In the step (C), the machine learning analysis system performs machine learning using an isolation forest algorithm and a one-class support vector machine as a learning model,
In the step (D), the machine learning analysis system calculates the degree of similarity of the newly collected packet using the result of the machine learning using the isolation forest algorithm, and the difference between the degree of similarity of the newly collected packet and the circle class support vector machine Anomalous Sign Detection Using Machine Learning Based on Packet Analysis to Detect Abnormal Signals Using the Mean of Similarity of Newly Collected Packets Using the Results of Machine Learning Using One Class Support Vector Machine.
KR1020170143062A 2017-10-31 2017-10-31 Apparatus and method for detecting anomalous signs using machine learning based on packet analysis KR20190048264A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020170143062A KR20190048264A (en) 2017-10-31 2017-10-31 Apparatus and method for detecting anomalous signs using machine learning based on packet analysis

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020170143062A KR20190048264A (en) 2017-10-31 2017-10-31 Apparatus and method for detecting anomalous signs using machine learning based on packet analysis

Publications (1)

Publication Number Publication Date
KR20190048264A true KR20190048264A (en) 2019-05-09

Family

ID=66545318

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020170143062A KR20190048264A (en) 2017-10-31 2017-10-31 Apparatus and method for detecting anomalous signs using machine learning based on packet analysis

Country Status (1)

Country Link
KR (1) KR20190048264A (en)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102168780B1 (en) * 2019-12-31 2020-10-22 충남대학교 산학협력단 Access point identification method and system using machine learning
KR20210092464A (en) * 2020-01-16 2021-07-26 주식회사 윈스 Apparatus and method for analyzing network traffic using artificial intelligence
KR102295348B1 (en) * 2020-11-16 2021-09-03 주식회사 케이사인 Method for Analyzing and Detecting Security Threat of Operational Technology Data
KR20210111667A (en) * 2020-03-03 2021-09-13 충북대학교 산학협력단 Server and method and system for controlment hidden cameras in accommodations
KR102325629B1 (en) * 2020-09-18 2021-11-11 국민대학교산학협력단 Anomaly detecting method and anomaly detecting apparatus
KR20220151050A (en) 2021-05-04 2022-11-14 엘아이지넥스원 주식회사 Network intrusion detection system and network intrusion detection method

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20110067264A (en) 2009-12-14 2011-06-22 성균관대학교산학협력단 Anomalous event detection apparatus and method
KR101585342B1 (en) 2014-09-30 2016-01-14 한국전력공사 Apparatus and method for detecting abnormal behavior
KR20170081543A (en) 2016-01-04 2017-07-12 한국전자통신연구원 Apparatus and method for detecting symptom based on context information

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20110067264A (en) 2009-12-14 2011-06-22 성균관대학교산학협력단 Anomalous event detection apparatus and method
KR101585342B1 (en) 2014-09-30 2016-01-14 한국전력공사 Apparatus and method for detecting abnormal behavior
KR20170081543A (en) 2016-01-04 2017-07-12 한국전자통신연구원 Apparatus and method for detecting symptom based on context information

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102168780B1 (en) * 2019-12-31 2020-10-22 충남대학교 산학협력단 Access point identification method and system using machine learning
KR20210092464A (en) * 2020-01-16 2021-07-26 주식회사 윈스 Apparatus and method for analyzing network traffic using artificial intelligence
KR20210111667A (en) * 2020-03-03 2021-09-13 충북대학교 산학협력단 Server and method and system for controlment hidden cameras in accommodations
KR102325629B1 (en) * 2020-09-18 2021-11-11 국민대학교산학협력단 Anomaly detecting method and anomaly detecting apparatus
KR102295348B1 (en) * 2020-11-16 2021-09-03 주식회사 케이사인 Method for Analyzing and Detecting Security Threat of Operational Technology Data
KR20220151050A (en) 2021-05-04 2022-11-14 엘아이지넥스원 주식회사 Network intrusion detection system and network intrusion detection method

Similar Documents

Publication Publication Date Title
KR20190048264A (en) Apparatus and method for detecting anomalous signs using machine learning based on packet analysis
US20200344246A1 (en) Apparatus, system and method for identifying and mitigating malicious network threats
US20230336527A1 (en) Efficient Packet Capture for Cyber Threat Analysis
EP2953298B1 (en) Log analysis device, information processing method and program
CN108632224B (en) APT attack detection method and device
CN111181901B (en) Abnormal flow detection device and abnormal flow detection method thereof
US20150341380A1 (en) System and method for detecting abnormal behavior of control system
US10218731B2 (en) Method and system for data breach and malware detection
CN109962891A (en) Monitor method, apparatus, equipment and the computer storage medium of cloud security
US20050210533A1 (en) Packet Sampling Flow-Based Detection of Network Intrusions
US20140047543A1 (en) Apparatus and method for detecting http botnet based on densities of web transactions
JP2012508476A (en) Network abnormal flow analysis device and method
Wei et al. Profiling and Clustering Internet Hosts.
KR20190050521A (en) Apparatus and method for detecting anomalous signs using profiling-based machine learning
Ogawa et al. Malware originated http traffic detection utilizing cluster appearance ratio
CN105681487A (en) Method and device for detecting NAT device
JP3760919B2 (en) Unauthorized access prevention method, apparatus and program
Nguyen A scheme for building a dataset for intrusion detection systems
CN114172881A (en) Network security verification method, device and system based on prediction
KR20190048273A (en) Apparatus and method for detecting anomalous signs using profiling-based statistical learning
KR20040085266A (en) Network Intrusion Detection System with double buffer and the operating method
Kushwah et al. An approach to meta-alert generation for anomalous tcp traffic
CN118138374B (en) Network security protection method and system based on cloud computing
KR20100041533A (en) Network management method
Noguchi et al. Discriminating DRDoS Packets using Time Interval Analysis