KR20190083178A - 계층적 구조 학습을 통한 네트워크 트래픽의 지속적인 신호 트래픽 탐지 장치 및 방법 - Google Patents
계층적 구조 학습을 통한 네트워크 트래픽의 지속적인 신호 트래픽 탐지 장치 및 방법 Download PDFInfo
- Publication number
- KR20190083178A KR20190083178A KR1020180000785A KR20180000785A KR20190083178A KR 20190083178 A KR20190083178 A KR 20190083178A KR 1020180000785 A KR1020180000785 A KR 1020180000785A KR 20180000785 A KR20180000785 A KR 20180000785A KR 20190083178 A KR20190083178 A KR 20190083178A
- Authority
- KR
- South Korea
- Prior art keywords
- unit
- log
- signal traffic
- communication
- traffic
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
본 발명은 신호 트래픽 탐지 장치 및 방법에 관한 것으로, 특히 네트워크 상에서 발생되는 트래픽을 일정 주기로 계층화된 구조로 학습하고 동시에 학습된 트래픽 모델을 이용하여 신호 트래픽 의 존재 여부를 식별할 수 있도록 하는 계층적 구조 학습을 통한 네트워크 트래픽의 지속적인 신호 트래픽 탐지 장치 및 방법에 관한 것이다.
또한, 본 발명은 인터넷 환경에서 패킷 데이터를 수집하는 패킷 수집부; 상기 패킷 수집부에서 수집된 패킷 데이터의 특징 정보를 추출하여 통신 로그를 생성하는 통신 로그 생성부; 상기 통신 로그 생성부에서 생성한 통신 로그를 이용하여 특정 주기별로 단위 축약 로그를 생성하여 특정 시간 주기별 신호 트래픽 탐지 모델을 학습하는 신호 트래픽 학습부; 및 상기 통신 로그 생성부에서 생성된 통신 로그와 상기 신호 트래픽 학습부에서 생성된 단위 축약 로그와 학습된 신호 트래픽 탐지 모델을 이용하여 주기별 신호 트래픽을 탐지를 수행하는 신호 트래픽 탐지부를 포함하는 계층적 구조 학습을 통한 네트워크 트래픽의 지속적인 신호 트래픽 탐지 장치 및 방법을 제공한다.
또한, 본 발명은 인터넷 환경에서 패킷 데이터를 수집하는 패킷 수집부; 상기 패킷 수집부에서 수집된 패킷 데이터의 특징 정보를 추출하여 통신 로그를 생성하는 통신 로그 생성부; 상기 통신 로그 생성부에서 생성한 통신 로그를 이용하여 특정 주기별로 단위 축약 로그를 생성하여 특정 시간 주기별 신호 트래픽 탐지 모델을 학습하는 신호 트래픽 학습부; 및 상기 통신 로그 생성부에서 생성된 통신 로그와 상기 신호 트래픽 학습부에서 생성된 단위 축약 로그와 학습된 신호 트래픽 탐지 모델을 이용하여 주기별 신호 트래픽을 탐지를 수행하는 신호 트래픽 탐지부를 포함하는 계층적 구조 학습을 통한 네트워크 트래픽의 지속적인 신호 트래픽 탐지 장치 및 방법을 제공한다.
Description
본 발명은 신호 트래픽 탐지 장치 및 방법에 관한 것으로, 특히 네트워크 상에서 발생되는 트래픽을 일정 주기로 계층화된 구조로 학습하고 동시에 학습된 트래픽 모델을 이용하여 신호 트래픽의 존재 여부를 식별할 수 있도록 하는 계층적 구조 학습을 통한 네트워크 트래픽의 지속적인 신호 트래픽 탐지 장치 및 방법에 관한 것이다.
인터넷의 규모가 지속적으로 커지고 그 기술이 발전함에 따라 네트워크를 이용한 공격 또한 고도화되고 있다.
네트워크를 이용한 공격은 다량의 네트워크 트래픽을 발생시키는 서비스 거부를 포함하여 서비스의 제공 여부를 확인하는 정보 수집, 취약점을 식별하고 공격하는 트래픽과 주기적으로 특정 신호 통신을 시도하는 방법으로 발생될 수 있다.
최근 네트워크 보안에 있어 APT(Advanced Persistence Threat)와 같은 유형의 공격이 주요 보안 이슈가 되고 있다.
이러한 APT 공격은 방어자가 인지할 수 없는 적은 트래픽을 이용하여 장시간에 걸쳐 공격 대상 시스템을 공격한다.
침해된 시스템은 방어자의 감시 망을 우회하기 위해 내부 시스템에서 외부 시스템으로 주기적인 신호 트래픽을 통해 공격자와 통신을 수행하는 방식을 이용한다. 현재 네트워크 트래픽 분석 방법은 네트워크 단계에서 이러한 통신을 식별하는 것에 문제점을 가지고있다.
네트워크 트래픽의 분석을 통한 비정상 트래픽(Anomaly Traffic)을 식별하는 방법은 크게 시그니처 기반의 식별 방법과 트래픽의 양(Volume)을 이용한 식별 방법이 있다.
시그니처 기반의 식별 방법은 미리 정의된 시그니처를 이용하여 비정상 트래픽을 식별하는 방법이다.
트래픽의 양을 이용한 식별 방법은 정상적인 트래픽 양을 기준으로 임계치(Threshold)를 생성하고, 생성된 임계치를 넘어서는 트래픽을 비정상으로 식별한다.
그러나 기존에 비정상 트래픽을 식별하는 시그니처 기반의 식별 방법의 경우, 시그니처를 확보한 이후에 대응이 가능하여 알려지지 않는 트래픽에 대한 대응이 빠르게 이루어지지 않는 문제점을 가지고있다.
트래픽 양을 이용한 식별 방법은 네트워크 환경과 시간 조건(업무시간, 주말 등)에 따라 트래픽 양의 변화량이 크기 때문에 소량으로 발생되는 신호 트래픽에 대한 식별이 어려운 문제가 있다.
상기와 같은 문제점을 해결하기 위하여 안출된 본 발명은 특정 주기로 발생되는 신호 트래픽을 식별하기 위해 다양한 주기로 수집된 트래픽 정보와 계층적(Multi-Layer) 학습 구조를 이용하여 신호 트래픽을 식별하고, 네트워크 트래픽을 효율적으로 모니터링 할 수 있도록 하는 계층적 구조 학습을 통한 네트워크 트래픽의 지속적인 신호 트래픽 탐지 장치 및 방법을 제공하는 데 있다.
상기와 같은 본 발명의 장치는 인터넷 환경에서 패킷 데이터를 수집하는 패킷 수집부; 상기 패킷 수집부에서 수집된 패킷 데이터의 특징 정보를 추출하여 통신 로그를 생성하는 통신 로그 생성부; 상기 통신 로그 생성부에서 생성한 통신 로그를 이용하여 특정 주기별로 단위 축약 로그를 생성하여 특정 시간 주기별 신호 트래픽 탐지 모델을 학습하는 신호 트래픽 학습부; 및 상기 통신 로그 생성부에서 생성된 통신 로그와 상기 신호 트래픽 학습부에서 생성된 단위 축약 로그와 학습된 신호 트래픽 탐지 모델을 이용하여 주기별 신호 트래픽을 탐지를 수행하는 신호 트래픽 탐지부를 포함한다.
또한, 본 발명의 장치의 상기 통신 로그 생성부가 패킷 데이터에서 추출하는 특징 정보는 프로토콜(Protocol), 포트(Port), 패킷의 길이, 통신량, IP Header 의 TTL(Time To Live) 및 IP ID(Identification)를 포함한다.
또한, 본 발명의 장치의 상기 통신 로그 생성부는 1분 단위의 통신 로그를 생성하며, 상기 신호 트래픽 학습부는 1분 단위의 상기 통신 로그 생성부에서 생성한 통신 로그를 입력 받아 10개의 통신 로그를 이용하여 10분 단위의 10분 단위 축약 로그를 형성하고, 10분 단위의 단위 축약 로그 6개를 이용하여 1시간 단위 축약 로그를 생성하며, 6개의 1시간 단위 축약 로그를 이용하여 6시간 단위 축약 로그를 생성하며, 6시간 단위 축약 로그 4개를 이용하여 1일 단위 축약 로그를 생성한다.
또한, 본 발명의 장치의 상기 신호 트래픽 학습부는 단위 축약 로그를 생성하는 과정에서 연속적인 분 단위 통신이 이루어지는 경우, 해당 통신 패턴 정보를 추출하여 단위 시간 주기별 통신 유형을 학습하며, 이와 같은 학습 과정을 각 분/시간/일 별로 반복한다.
한편, 본 발명의 방법은 (A) 인터넷 환경에서 패킷 데이터를 수집하는 패킷 수집부; (B) 통신 로그 생성부가 상기 패킷 수집부에서 수집된 패킷 데이터의 특징 정보를 추출하여 통신 로그를 생성하는 단계; (C) 신호 트래픽 학습부가 상기 통신 로그 생성부에서 생성한 통신 로그를 이용하여 특정 주기별로 단위 축약 로그를 생성하여 특정 시간 주기별 신호 트래픽 탐지 모델을 학습하는 단계; 및 (D) 신호 트래픽 탐지부가 상기 통신 로그 생성부에서 생성된 통신 로그와 상기 신호 트래픽 학습부에서 생성된 단위 축약 로그와 학습된 신호 트래픽 탐지 모델을 이용하여 주기별 신호 트래픽을 탐지를 수행하는 단계를 포함한다.
또한, 본 발명의 방법의 상기 (B) 단계에서 상기 통신 로그 생성부가 패킷 데이터에서 추출하는 특징 정보는 프로토콜(Protocol), 포트(Port), 패킷의 길이, 통신량, IP Header 의 TTL(Time To Live) 및 IP ID(Identification)를 포함한다.
또한, 본 발명이 방법의 상기 (B) 단계에서 상기 통신 로그 생성부는 1분 단위의 통신 로그를 생성하며, 상기 (C) 단계에서 상기 신호 트래픽 학습부는 1분 단위의 상기 통신 로그 생성부에서 생성한 통신 로그를 입력 받아 10개의 통신 로그를 이용하여 10분 단위의 10분 단위 축약 로그를 형성하고, 10분 단위의 단위 축약 로그 6개를 이용하여 1시간 단위 축약 로그를 생성하며, 6개의 1시간 단위 축약 로그를 이용하여 6시간 단위 축약 로그를 생성하며, 6시간 단위 축약 로그 4개를 이용하여 1일 단위 축약 로그를 생성한다.
또한, 본 발명의 방법의 상기 (C) 단계에서 상기 신호 트래픽 학습부는 단위 축약 로그를 생성하는 과정에서 연속적인 분 단위 통신이 이루어지는 경우, 해당 통신 패턴 정보를 추출하여 단위 시간 주기별 통신 유형을 학습하며, 이와 같은 학습 과정을 각 분/시간/일 별로 반복한다.
상기와 같은 본 발명에 따르면, 네트워크 상에서 발생되는 트래픽을 일정 주기로 계층화된 구조로 학습하고 동시에 학습된 트래픽 모델을 이용하여 신호 트래픽 의 존재 여부를 식별할 수 있다.
또한, 본 발명은 특정 주기로 발생되는 신호 트래픽을 식별하기 위해 다양한 주기로 수집된 트래픽 정보와 계층적(Multi-Layer) 학습 구조를 이용하여 신호 트래픽을 식별하고, 네트워크 트래픽을 효율적으로 모니터링 할 수 있도록 한다.
도 1은 본 발명의 바람직한 일 실시예에 따른 계층적 구조 학습을 통한 네트워크 트래픽의 지속적인 신호 트래픽 탐지 장치의 구성도이다.
도 2는 신호 트래픽 학습부가 통신 로그 생성부에서 생성한 통신 로그를 전달받아 단위 축약 로그를 생성하는 과정을 보여주는 도면이다.
도 3은 본 발명의 바람직한 일 실시예에 따른 계층적 구조 학습을 통한 네트워크 트래픽의 지속적인 신호 트래픽 탐지 방법의 흐름도이다.
도 2는 신호 트래픽 학습부가 통신 로그 생성부에서 생성한 통신 로그를 전달받아 단위 축약 로그를 생성하는 과정을 보여주는 도면이다.
도 3은 본 발명의 바람직한 일 실시예에 따른 계층적 구조 학습을 통한 네트워크 트래픽의 지속적인 신호 트래픽 탐지 방법의 흐름도이다.
본 발명은 다양한 변환을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 이하에서는 특정 실시예들을 첨부된 도면을 기초로 상세히 설명하고자 한다.
이하의 실시예는 본 명세서에서 기술된 방법, 장치 및/또는 시스템에 대한 포괄적인 이해를 돕기 위해 제공된다. 그러나 이는 예시에 불과하며 본 발명은 이에 제한되지 않는다.
본 발명의 실시예들을 설명함에 있어서, 본 발명과 관련된 공지기술에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략하기로 한다. 그리고, 후술되는 용어들은 본 발명에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다. 상세한 설명에서 사용되는 용어는 단지 본 발명의 실시 예들을 기술하기 위한 것이며, 결코 제한적이어서는 안 된다. 명확하게 달리 사용되지 않는 한, 단수 형태의 표현은 복수 형태의 의미를 포함한다. 본 설명에서, "포함" 또는 "구비"와 같은 표현은 어떤 특성들, 숫자들, 단계들, 동작들, 요소들, 이들의 일부 또는 조합을 가리키기 위한 것이며, 기술된 것 이외에 하나 또는 그 이상의 다른 특성, 숫자, 단계, 동작, 요소, 이들의 일부 또는 조합의 존재 또는 가능성을 배제하도록 해석되어서는 안 된다.
또한, 제1, 제2 등의 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되는 것은 아니며, 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다.
도 1은 본 발명의 바람직한 일 실시예에 따른 계층적 구조 학습을 통한 네트워크 트래픽의 지속적인 신호 트래픽 탐지 장치의 구성도이다.
도 1을 참조하면, 본 발명의 바람직한 일 실시예에 따른 계층적 구조 학습을 통한 네트워크 트래픽의 지속적인 신호 트래픽 탐지 장치는 패킷 수집부(100), 통신 로그 생성부(200), 신호 트래픽 학습부(300) 및 신호 트래픽 탐지부(400)로 이루어져 있다.
상기 패킷 수집부(100)는 인터넷 환경에서 신호 트래픽 분석을 위해 실시간으로 패킷 데이터를 수집하여 처리하는 기능을 담당한다.
다음으로, 상기 통신 로그 생성부(200)는 실시간으로 수집되는 고용량의 패킷 데이터를 효율적으로 저장하고 사용하기 위해 통신 로그를 생성한다.
이때, 통신 로그 생성부(200)는 수집된 패킷 데이터의 패킷 정보 중 신호 트래픽 분석에 필요한 특징 정보를 추출하여 저장한다.
여기에서, 통신 로그 생성부(200)가 패킷 정보 중 신호 트래픽 분석을 위해 추출한 특징 정보는 프로토콜(Protocol), 포트(Port), 패킷의 길이, 통신량, IP Header의 TTL(Time To Live), IP ID(Identification) 등을 포함하며, TCP 프로토콜 패킷인 경우 추가적으로 TCP 플래그(Flags) 정보를 추출하여 학습 데이터로 활용하도록 한다.
한편, 신호 트래픽 학습부(300)는 통신 로그 생성부(200)에서 생성한 통신 로그를 전달받아 전달받은 통신 로그를 이용하여 특정 주기 별로 단위 축약 로그를 생성한다.
이와 관련하여 도 2는 신호 트래픽 학습부(300)가 통신 로그 생성부(200)에서 생성한 통신 로그를 전달받아 단위 축약 로그를 생성하는 과정을 보여주는 도면이다.
도 2를 참조하면, 신호 트래픽 학습부(300)는 (a)에 도시된 1분 단위의 통신 로그 생성부(200)에서 생성한 통신 로그를 입력 받아 10개의 통신 로그를 이용하여 (b)에 도시된 바와 같이 10분 단위의 10분 단위 축약 로그를 형성한다.
그리고, 신호 트래픽 학습부(300)는 10분 단위의 단위 축약 로그 6개를 이용하여 (c)에 도시된 1시간 단위 축약 로그를 생성하며, 계속하여 6개의 1시간 단위 축약 로그를 이용하여 (d)에 도시된 6시간 단위 축약 로그를 생성하며, 6시간 단위 축약 로그 4개를 이용하여 (e)에 도시된 1일 단위 축약 로그를 생성한다.
상기 신호 트래픽 학습부(300)는 이와 같이 생성된 각각의 단위 축약 로그를 이용하여 특정 시간 주기(분, 시간, 일)별 신호 트래픽 탐지 모델을 학습한다.
이때, 신호 트래픽 학습부(300)는 패킷 데이터의 패킷 정보 중에서 특징 정보를 식별하여 특정 주기 별로 단위 축약 로그를 학습하게 되는데, 학습하는 특징 정보는 통신 로그 생성부(200)에서 확인된 프로토콜(Protocol), 포트(Port), 패킷의 길이, 통신량, IP Header 의 TTL(Time To Live)과 IP ID(Identification)를 추출한 후에 가공(TTL, IP ID 의 기본 동작 특성을 이용한 정상성 확인)하여 사용한다.
여기에서 TCP 프로토콜 패킷인 경우 추가적으로 TCP 플래그(Flags) 정보를 식별하여 학습 데이터로 활용한다.
상기 신호 트래픽 학습부(300)는 단위 축약 로그를 생성하는 과정에서 연속적인 분 단위 통신이 이루어지는 경우, 해당 통신 패턴 정보를 추출하여 단위 시간 주기별 통신 유형을 학습한다. 위와 같은 학습 과정을 각 분/시간/일 별로 반복한다.
다음으로, 신호 트래픽 탐지부(400)는 특정 시간 주기 별로 생성되는 통신 로그와, 단위 축약 로그와 학습된 신호 트래픽 탐지 모델을 이용하여 주기별 신호 트래픽을 탐지를 수행한다.
일반적으로, 신호 트래픽의 통신 패턴은 일정 주기를 가진 분 단위 또는 시간 단위의 통신으로 이루어 진다. 여기에서, 신호 트래픽은 특정 주기를 가지고 특정 호스트에 접근하는 공격으로 인해 발생된 트래픽을 의미한다.
이러한 상황에서 상기 신호 트래픽 탐지부(400)에서는 신호 트래픽 학습부(300)에서 생성된 계층적 형태의 학습 모델을 이용하여 통신 패턴을 식별하고 주기적인 통신을 감지한다.
또한 상기 신호 트래픽 탐지부(400)는 별도로 추출하여 관리하는 통신 패턴의 비정형 형태의 통신을 탐지/식별하여 알려지지 않은 통신 패턴을 확인하여 이를 탐지한다.
도 3은 본 발명의 바람직한 일 실시예에 따른 계층적 구조 학습을 통한 네트워크 트래픽의 지속적인 신호 트래픽 탐지 방법의 흐름도이다.
도 3을 참조하면, 본 발명의 바람직한 일 실시예에 따른 계층적 구조 학습을 통한 네트워크 트래픽의 지속적인 신호 트래픽 탐지 방법은 먼저, 패킷 수집부가 인터넷 환경에서 신호 트래픽 분석을 위해 실시간으로 패킷 데이터를 수집하여 처리하는 기능을 담당한다(S100).
이후에, 통신 로그 생성부가 실시간으로 수집되는 고용량의 패킷 데이터를 효율적으로 저장하고 사용하기 위해 통신 로그를 생성한다(S200).
이때, 통신 로그 생성부는 수집된 패킷 데이터의 패킷 정보 중 신호 트래픽 분석에 필요한 특징 정보를 추출하여 저장한다.
여기에서, 통신 로그 생성부가 패킷 정보 중 신호 트래픽 분석을 위해 추출한 특징 정보는 프로토콜(Protocol), 포트(Port), 패킷의 길이, 통신량, IP Header의 TTL(Time To Live), IP ID(Identification) 등을 포함하며, TCP 프로토콜 패킷인 경우 추가적으로 TCP 플래그(Flags) 정보를 추출하여 학습 데이터로 활용하도록 한다.
다음으로, 신호 트래픽 학습부는 통신 로그 생성부에서 생성한 통신 로그를 전달받아 전달받은 통신 로그를 이용하여 특정 주기 별로 단위 축약 로그를 생성하여, 생성된 각각의 단위 축약 로그를 이용하여 특정 시간 주기(분, 시간, 일)별 신호 트래픽 탐지 모델을 학습한다(S300)
이때, 신호 트래픽 학습부는 1분 단위의 통신 로그 생성부에서 생성한 통신 로그를 입력 받아 10개의 통신 로그를 이용하여 10분 단위의 10분 단위 축약 로그를 형성한다.
그리고, 신호 트래픽 학습부는 10분 단위의 단위 축약 로그 6개를 이용하여 1시간 단위 축약 로그를 생성하며, 계속하여 6개의 1시간 단위 축약 로그를 이용하여 6시간 단위 축약 로그를 생성하며, 6시간 단위 축약 로그 4개를 이용하여 1일 단위 축약 로그를 생성한다.
상기 신호 트래픽 학습부는 패킷 데이터의 패킷 정보 중에서 특징 정보를 식별하여 특정 주기 별로 단위 축약 로그를 학습하게 되는데, 학습하는 특징 정보는 통신 로그 생성부에서 확인된 프로토콜(Protocol), 포트(Port), 패킷의 길이, 통신량, IP Header 의 TTL(Time To Live) 과 IP ID(Identification) 를 추출한 후에 가공(TTL, IP ID 의 기본 동작 특성을 이용한 정상성 확인)하여 사용한다.
여기에서 TCP 프로토콜 패킷인 경우 추가적으로 TCP 플래그(Flags) 정보를 식별하여 학습 데이터로 활용한다.
상기 신호 트래픽 학습부는 단위 축약 로그를 생성하는 과정에서 연속적인 분 단위 통신이 이루어지는 경우, 해당 통신 패턴 정보를 추출하여 단위 시간 주기별 통신 유형을 학습한다. 위와 같은 학습 과정을 각 분/시간/일 별로 반복한다.
다음으로, 신호 트래픽 탐지부는 특정 시간 주기 별로 생성되는 통신 로그와, 단위 축약 로그와 학습된 신호 트래픽 탐지 모델을 이용하여 주기별 신호 트래픽을 탐지를 수행한다(S400).
일반적으로, 신호 트래픽의 통신 패턴은 일정 주기를 가진 분 단위 또는 시간 단위의 통신으로 이루어 진다. 여기에서, 신호 트래픽은 특정 주기를 가지고 특정 호스트에 접근하는 공격으로 인해 발생된 트래픽을 의미한다.
이러한 상황에서 상기 신호 트래픽 탐지부에서는 신호 트래픽 학습부에서 생성된 계층적 형태의 학습 모델을 이용하여 통신 패턴을 식별하고 주기적인 통신을 감지한다.
또한 상기 신호 트래픽 탐지부(400)는 별도로 추출하여 관리하는 통신 패턴의 비정형 형태의 통신을 탐지/식별하여 알려지지 않은 통신 패턴을 확인하여 이를 탐지한다.
상기와 같은 본 발명에 따르면, 네트워크 상에서 발생되는 트래픽을 일정 주기로 계층화된 구조로 학습하고 동시에 학습된 트래픽 모델을 이용하여 신호 트래픽의 존재 여부를 식별할 수 있다.
또한, 본 발명은 특정 주기로 발생되는 신호 트래픽을 식별하기 위해 다양한 주기로 수집된 트래픽 정보와 계층적 (Multi-Layer) 학습 구조를 이용하여 신호 트래픽을 식별하고, 네트워크 트래픽을 효율적으로 모니터링 할 수 있도록 한다.
이상의 설명은 본 발명의 기술 사상을 예시적으로 설명한 것에 불과한 것으로서, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 다양한 수정 및 변형이 가능할 것이다.
따라서 본 발명에 기재된 실시예들은 본 발명의 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시예에 의하여 본 발명의 기술 사상이 한정되는 것은 아니다. 본 발명의 보호 범위는 아래의 청구범위에 의해서 해석되어야 하며, 그와 동등한 범위 내에 있는 모든 기술 사상은 본 발명의 권리범위에 포함되는 것으로 해석되어야 할 것이다.
100 : 패킷 수집부 200 : 통신 로그 생성부
300 : 신호 트래픽 학습부 400 : 신호 트래픽 탐지부
300 : 신호 트래픽 학습부 400 : 신호 트래픽 탐지부
Claims (8)
- 인터넷 환경에서 패킷 데이터를 수집하는 패킷 수집부;
상기 패킷 수집부에서 수집된 패킷 데이터의 특징 정보를 추출하여 통신 로그를 생성하는 통신 로그 생성부;
상기 통신 로그 생성부에서 생성한 통신 로그를 이용하여 특정 주기별로 단위 축약 로그를 생성하여 특정 시간 주기별 신호 트래픽 탐지 모델을 학습하는 신호 트래픽 학습부; 및
상기 통신 로그 생성부에서 생성된 통신 로그와 상기 신호 트래픽 학습부에서 생성된 단위 축약 로그와 학습된 신호 트래픽 탐지 모델을 이용하여 주기별 신호 트래픽을 탐지를 수행하는 신호 트래픽 탐지부를 포함하는 계층적 구조 학습을 통한 네트워크 트래픽의 지속적인 신호 트래픽 탐지 장치. - 청구항 1항에 있어서,
상기 통신 로그 생성부가 패킷 데이터에서 추출하는 특징 정보는 프로토콜(Protocol), 포트(Port), 패킷의 길이, 통신량, IP Header 의 TTL(Time To Live) 및 IP ID(Identification)를 포함하는 계층적 구조 학습을 통한 네트워크 트래픽의 지속적인 신호 트래픽 탐지 장치. - 청구항 1항에 있어서,
상기 통신 로그 생성부가 1분 단위의 통신 로그를 생성하며,
상기 신호 트래픽 학습부는 1분 단위의 상기 통신 로그 생성부에서 생성한 통신 로그를 입력 받아 10개의 통신 로그를 이용하여 10분 단위의 10분 단위 축약 로그를 형성하고, 10분 단위의 단위 축약 로그 6개를 이용하여 1시간 단위 축약 로그를 생성하며, 6개의 1시간 단위 축약 로그를 이용하여 6시간 단위 축약 로그를 생성하며, 6시간 단위 축약 로그 4개를 이용하여 1일 단위 축약 로그를 생성하는 계층적 구조 학습을 통한 네트워크 트래픽의 지속적인 신호 트래픽 탐지 장치. - 청구항 1항에 있어서,
상기 신호 트래픽 학습부는 단위 축약 로그를 생성하는 과정에서 연속적인 분 단위 통신이 이루어지는 경우, 해당 통신 패턴 정보를 추출하여 단위 시간 주기별 통신 유형을 학습하며, 이와 같은 학습 과정을 각 분/시간/일 별로 반복하는 계층적 구조 학습을 통한 네트워크 트래픽의 지속적인 신호 트래픽 탐지 장치. - (A) 인터넷 환경에서 패킷 데이터를 수집하는 패킷 수집부;
(B) 통신 로그 생성부가 상기 패킷 수집부에서 수집된 패킷 데이터의 특징 정보를 추출하여 통신 로그를 생성하는 단계;
(C) 신호 트래픽 학습부가 상기 통신 로그 생성부에서 생성한 통신 로그를 이용하여 특정 주기별로 단위 축약 로그를 생성하여 특정 시간 주기별 신호 트래픽 탐지 모델을 학습하는 단계; 및
(D) 신호 트래픽 탐지부가 상기 통신 로그 생성부에서 생성된 통신 로그와 상기 신호 트래픽 학습부에서 생성된 단위 축약 로그와 학습된 신호 트래픽 탐지 모델을 이용하여 주기별 신호 트래픽을 탐지를 수행하는 단계를 포함하는 계층적 구조 학습을 통한 네트워크 트래픽의 지속적인 신호 트래픽 탐지 방법. - 청구항 5항에 있어서,
상기 (B) 단계에서 상기 통신 로그 생성부가 패킷 데이터에서 추출하는 특징 정보는 프로토콜(Protocol), 포트(Port), 패킷의 길이, 통신량, IP Header 의 TTL(Time To Live) 및 IP ID(Identification)를 포함하는 계층적 구조 학습을 통한 네트워크 트래픽의 지속적인 신호 트래픽 탐지 방법. - 청구항 5항에 있어서,
상기 (B) 단계에서 상기 통신 로그 생성부는 1분 단위의 통신 로그를 생성하며,
상기 (C) 단계에서 상기 신호 트래픽 학습부는 1분 단위의 상기 통신 로그 생성부에서 생성한 통신 로그를 입력 받아 10개의 통신 로그를 이용하여 10분 단위의 10분 단위 축약 로그를 형성하고, 10분 단위의 단위 축약 로그 6개를 이용하여 1시간 단위 축약 로그를 생성하며, 6개의 1시간 단위 축약 로그를 이용하여 6시간 단위 축약 로그를 생성하며, 6시간 단위 축약 로그 4개를 이용하여 1일 단위 축약 로그를 생성하는 계층적 구조 학습을 통한 네트워크 트래픽의 지속적인 신호 트래픽 탐지 방법. - 청구항 5항에 있어서,
상기 (C) 단계에서 상기 신호 트래픽 학습부는 단위 축약 로그를 생성하는 과정에서 연속적인 분 단위 통신이 이루어지는 경우, 해당 통신 패턴 정보를 추출하여 단위 시간 주기별 통신 유형을 학습하며, 이와 같은 학습 과정을 각 분/시간/일 별로 반복하는 계층적 구조 학습을 통한 네트워크 트래픽의 지속적인 신호 트래픽 탐지 방법.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020180000785A KR102037192B1 (ko) | 2018-01-03 | 2018-01-03 | 계층적 구조 학습을 통한 네트워크 트래픽의 지속적인 신호 트래픽 탐지 장치 및 방법 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020180000785A KR102037192B1 (ko) | 2018-01-03 | 2018-01-03 | 계층적 구조 학습을 통한 네트워크 트래픽의 지속적인 신호 트래픽 탐지 장치 및 방법 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| KR20190083178A true KR20190083178A (ko) | 2019-07-11 |
| KR102037192B1 KR102037192B1 (ko) | 2019-10-29 |
Family
ID=67254366
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020180000785A KR102037192B1 (ko) | 2018-01-03 | 2018-01-03 | 계층적 구조 학습을 통한 네트워크 트래픽의 지속적인 신호 트래픽 탐지 장치 및 방법 |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR102037192B1 (ko) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR102177998B1 (ko) * | 2019-11-28 | 2020-11-12 | (주)시큐레이어 | 기계 학습 모델에 기반하여 SYN Flood 공격을 탐지하기 위한 학습 방법, 전처리 방법 및 이를 이용한 학습 장치, 전처리 장치 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20140126651A (ko) * | 2013-04-23 | 2014-10-31 | (주)나루씨큐리티 | 내부망공격 탐지장치 및 방법 |
| KR20150076613A (ko) | 2013-12-27 | 2015-07-07 | 호서대학교 산학협력단 | Apt 공격 분석을 위한 의심파일 및 추적정보 수집 방법 |
| KR101538709B1 (ko) * | 2014-06-25 | 2015-07-29 | 아주대학교산학협력단 | 산업제어 네트워크를 위한 비정상 행위 탐지 시스템 및 방법 |
| KR20150091775A (ko) * | 2014-02-04 | 2015-08-12 | 한국전자통신연구원 | 비정상 행위 탐지를 위한 네트워크 트래픽 분석 방법 및 시스템 |
| KR101621019B1 (ko) | 2015-01-28 | 2016-05-13 | 한국인터넷진흥원 | 시계열 통계 기반 공격의심 이상징후를 탐지하기 위한 방법 |
| KR101623068B1 (ko) | 2015-01-28 | 2016-05-20 | 한국인터넷진흥원 | 네트워크 트래픽 수집 및 분석 시스템 |
| KR101623071B1 (ko) * | 2015-01-28 | 2016-05-31 | 한국인터넷진흥원 | 공격의심 이상징후 탐지 시스템 |
-
2018
- 2018-01-03 KR KR1020180000785A patent/KR102037192B1/ko active IP Right Grant
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20140126651A (ko) * | 2013-04-23 | 2014-10-31 | (주)나루씨큐리티 | 내부망공격 탐지장치 및 방법 |
| KR20150076613A (ko) | 2013-12-27 | 2015-07-07 | 호서대학교 산학협력단 | Apt 공격 분석을 위한 의심파일 및 추적정보 수집 방법 |
| KR20150091775A (ko) * | 2014-02-04 | 2015-08-12 | 한국전자통신연구원 | 비정상 행위 탐지를 위한 네트워크 트래픽 분석 방법 및 시스템 |
| KR101538709B1 (ko) * | 2014-06-25 | 2015-07-29 | 아주대학교산학협력단 | 산업제어 네트워크를 위한 비정상 행위 탐지 시스템 및 방법 |
| KR101621019B1 (ko) | 2015-01-28 | 2016-05-13 | 한국인터넷진흥원 | 시계열 통계 기반 공격의심 이상징후를 탐지하기 위한 방법 |
| KR101623068B1 (ko) | 2015-01-28 | 2016-05-20 | 한국인터넷진흥원 | 네트워크 트래픽 수집 및 분석 시스템 |
| KR101623071B1 (ko) * | 2015-01-28 | 2016-05-31 | 한국인터넷진흥원 | 공격의심 이상징후 탐지 시스템 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR102177998B1 (ko) * | 2019-11-28 | 2020-11-12 | (주)시큐레이어 | 기계 학습 모델에 기반하여 SYN Flood 공격을 탐지하기 위한 학습 방법, 전처리 방법 및 이를 이용한 학습 장치, 전처리 장치 |
Also Published As
| Publication number | Publication date |
|---|---|
| KR102037192B1 (ko) | 2019-10-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109600363B (zh) | 一种物联网终端网络画像及异常网络访问行为检测方法 | |
| US10721243B2 (en) | Apparatus, system and method for identifying and mitigating malicious network threats | |
| CN110495138B (zh) | 工业控制系统及其网络安全的监视方法 | |
| US10015188B2 (en) | Method for mitigation of cyber attacks on industrial control systems | |
| US9860278B2 (en) | Log analyzing device, information processing method, and program | |
| Perdisci et al. | Alarm clustering for intrusion detection systems in computer networks | |
| CN107360145B (zh) | 一种多节点蜜罐系统及其数据分析方法 | |
| US20140047543A1 (en) | Apparatus and method for detecting http botnet based on densities of web transactions | |
| WO2020118375A1 (en) | Apparatus and process for detecting network security attacks on iot devices | |
| CN110138770B (zh) | 一种基于物联网威胁情报生成和共享系统及方法 | |
| CN109104438B (zh) | 窄带物联网中的僵尸网络预警方法、装置及可读存储介质 | |
| WO2013053407A1 (en) | A method and a system to detect malicious software | |
| WO2005026900A2 (en) | Method and system for displaying network security incidents | |
| US20170208083A1 (en) | Network management device at network edge | |
| EP3242240B1 (en) | Malicious communication pattern extraction device, malicious communication pattern extraction system, malicious communication pattern extraction method and malicious communication pattern extraction program | |
| CN105959290A (zh) | 攻击报文的检测方法及装置 | |
| US11546356B2 (en) | Threat information extraction apparatus and threat information extraction system | |
| CN110768946A (zh) | 一种基于布隆过滤器的工控网络入侵检测系统及方法 | |
| CN113114618B (zh) | 一种基于流量分类识别的物联网设备入侵检测的方法 | |
| CN112688932A (zh) | 蜜罐生成方法、装置、设备及计算机可读存储介质 | |
| US11863584B2 (en) | Infection spread attack detection device, attack origin specification method, and program | |
| Bernieri et al. | Kingfisher: An industrial security framework based on variational autoencoders | |
| Giacinto et al. | Alarm clustering for intrusion detection systems in computer networks | |
| KR20190083178A (ko) | 계층적 구조 학습을 통한 네트워크 트래픽의 지속적인 신호 트래픽 탐지 장치 및 방법 | |
| CN111371917B (zh) | 一种域名检测方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A201 | Request for examination | ||
| A302 | Request for accelerated examination | ||
| E902 | Notification of reason for refusal | ||
| E701 | Decision to grant or registration of patent right | ||
| GRNT | Written decision to grant |