KR20200095219A - 딥 러닝을 이용한 네트워크 공격 탐지 시스템 - Google Patents
딥 러닝을 이용한 네트워크 공격 탐지 시스템 Download PDFInfo
- Publication number
- KR20200095219A KR20200095219A KR1020190013036A KR20190013036A KR20200095219A KR 20200095219 A KR20200095219 A KR 20200095219A KR 1020190013036 A KR1020190013036 A KR 1020190013036A KR 20190013036 A KR20190013036 A KR 20190013036A KR 20200095219 A KR20200095219 A KR 20200095219A
- Authority
- KR
- South Korea
- Prior art keywords
- image information
- information
- deep learning
- network
- image
- Prior art date
Links
- 238000013135 deep learning Methods 0.000 title claims abstract description 63
- 238000001514 detection method Methods 0.000 claims abstract description 78
- 230000005540 biological transmission Effects 0.000 claims abstract description 35
- 238000000034 method Methods 0.000 claims abstract description 30
- 238000013136 deep learning model Methods 0.000 claims abstract description 29
- 238000012549 training Methods 0.000 claims description 37
- 230000003190 augmentative effect Effects 0.000 claims description 9
- 238000013527 convolutional neural network Methods 0.000 claims description 8
- 238000013528 artificial neural network Methods 0.000 claims description 5
- 230000000306 recurrent effect Effects 0.000 claims description 3
- 239000003623 enhancer Substances 0.000 claims description 2
- 238000004458 analytical method Methods 0.000 abstract description 7
- 238000011156 evaluation Methods 0.000 abstract description 7
- 238000010586 diagram Methods 0.000 description 14
- 230000006870 function Effects 0.000 description 5
- 238000012544 monitoring process Methods 0.000 description 5
- 238000006073 displacement reaction Methods 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 4
- 230000002708 enhancing effect Effects 0.000 description 3
- 230000003416 augmentation Effects 0.000 description 2
- 230000000903 blocking effect Effects 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 2
- 238000012806 monitoring device Methods 0.000 description 2
- 238000007794 visualization technique Methods 0.000 description 2
- 238000013473 artificial intelligence Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000008447 perception Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06T—IMAGE DATA PROCESSING OR GENERATION, IN GENERAL
- G06T2207/00—Indexing scheme for image analysis or image enhancement
- G06T2207/20—Special algorithmic details
- G06T2207/20081—Training; Learning
Landscapes
- Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- General Health & Medical Sciences (AREA)
- Mathematical Physics (AREA)
- Data Mining & Analysis (AREA)
- Evolutionary Computation (AREA)
- Biophysics (AREA)
- Molecular Biology (AREA)
- Biomedical Technology (AREA)
- Artificial Intelligence (AREA)
- General Physics & Mathematics (AREA)
- Computational Linguistics (AREA)
- Software Systems (AREA)
- Life Sciences & Earth Sciences (AREA)
- Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
본 발명은 호스트에서 전송하는 트래픽 세션 정보를 이용하여 이미지정보를 생성하고, 생성된 이미지정보를 증강한 후 딥 러닝 모델을 이용하여 학습하며, 학습된 딥 러닝 모델의 이미지정보에 근거하여 네트워크에서 발생하는 공격을 실시간으로 탐지하는 딥 러닝을 이용한 네트워크 공격 탐지 시스템 및 그 방법에 관한 것이다.
상기의 과제를 해결하기 위하여 본 발명에 따른 딥 러닝을 이용한 네트워크 공격 탐지 시스템은 네트워크 트래픽에 대한 세션정보 또는 네트워크 트래픽에 대한 이미지정보를 검출하여 송신하는 호스트; 상기 호스트에서 송신되는 세션정보를 수신하여 저장하고, 저장된 상기 세션정보를 군집시켜 송출하는 트래픽정보 송/수신부; 상기 트래픽정보 송/수신부에서 송신되는 트래픽정보를 이미지정보로 생성하고, 상기 호스트에서 송신되는 이미지정보를 수신하며, 생성된 이미지정보와 수신된 이미지정보가 학습용 또는 공격용인지를 판단하는 이미지생성 증강부; 상기 이미지생성 증강부의 판단 결과 이미지정보가 학습용인 경우, 학습용으로 판단된 이미지정보를 저장하고, 저장된 이미지정보를 딥 러딩 모델로 반복하여 학습하는 딥 러닝 모델 학습부; 및 상기 이미지생성 증강부의 판단 결과 이미지정보가 탐지용인 경우, 탐지용으로 판단된 이미지정보와 상기 딥 러닝 모델 학습부에서 학습된 이미지정보를 비교 분석하여 평가하는 딥 러닝 공격 탐지부를 포함하는 것을 특징으로 한다.
상기의 과제를 해결하기 위하여 본 발명에 따른 딥 러닝을 이용한 네트워크 공격 탐지 시스템은 네트워크 트래픽에 대한 세션정보 또는 네트워크 트래픽에 대한 이미지정보를 검출하여 송신하는 호스트; 상기 호스트에서 송신되는 세션정보를 수신하여 저장하고, 저장된 상기 세션정보를 군집시켜 송출하는 트래픽정보 송/수신부; 상기 트래픽정보 송/수신부에서 송신되는 트래픽정보를 이미지정보로 생성하고, 상기 호스트에서 송신되는 이미지정보를 수신하며, 생성된 이미지정보와 수신된 이미지정보가 학습용 또는 공격용인지를 판단하는 이미지생성 증강부; 상기 이미지생성 증강부의 판단 결과 이미지정보가 학습용인 경우, 학습용으로 판단된 이미지정보를 저장하고, 저장된 이미지정보를 딥 러딩 모델로 반복하여 학습하는 딥 러닝 모델 학습부; 및 상기 이미지생성 증강부의 판단 결과 이미지정보가 탐지용인 경우, 탐지용으로 판단된 이미지정보와 상기 딥 러닝 모델 학습부에서 학습된 이미지정보를 비교 분석하여 평가하는 딥 러닝 공격 탐지부를 포함하는 것을 특징으로 한다.
Description
본 발명은 딥 러닝을 이용한 네트워크 공격 탐지 시스템에 관한 것으로서, 더욱 상세하게는 호스트에서 전송하는 트래픽 세션 정보를 이용하여 이미지정보를 생성하고, 생성된 이미지정보를 증강한 후 딥 러닝 모델을 이용하여 학습하며, 학습된 딥 러닝 모델의 이미지정보에 근거하여 네트워크에서 발생하는 공격을 실시간으로 탐지하는 딥 러닝을 이용한 네트워크 공격 탐지 시스템 및 그 방법에 관한 것이다.
종래의 네트워크 트래픽을 이용한 네트워크 공격 탐지 기술은 패킷 내의 패턴을 비교 및 검사하여 공격 유무를 판단하거나 세션의 특성 정보와 연결 관계를 이용하여 공격 유무를 판단한다. 또한, 네트워크 공격 상황을 효율적으로 표출 및 인지하기 위해 트래픽 시각화 방법을 사용하는 것이 보편화되었다.
네트워크에서 특성 정보에 대한 공격을 탐지하기 위한 기술 중 하나로서, 등록특허공보 제10-0628329호에 네트워크 세션 특성 정보에 대한 공격 행위 탐지규칙 생성장치 및 그 방법이 개시되었다.
그러나 상기 기술은 패킷 내의 패턴을 비교 및 검사하기 위해 전송되는 개별 패킷을 모두 검사해야하므로 많은 부하가 발생하고, 새로운 공격유형에 대한 탐지가 불가능하다. 이에 더하여, 새로운 공격에 대한 패턴을 지속적으로 갱신해야하는 단점과 높은 오판율이 문제가 된다.
또한, 세션의 특성 정보를 연결하여 네트워크 공격을 탐지하는 기술 중의 하나로서, 등록특허공보 제10-1907752호에 인공지능을 이용하여 DDoS 공격을 탐지하는 소프트웨어 정의 네트워크 및 이에 포함되는 컨트롤러가 개시되었다.
상기 기술은 세션의 특성 정보와 연결 관계를 이용하는 방식으로서, 세션별로 군집된 패킷들의 특성을 통계적인 기법, 즉 빈도기반 위주로 판단하기 때문에 정상접속과 유사한 네트워크 공격 또는 네트워크 공격과 유사한 정상접속을 정확하게 구분 및 탐지하는 것이 불가능하다.
한편, 트래픽 시각화 방법은 목적 자체가 공격 탐지보다는 보안 상황을 효율적으로 인지하기 위한 것이기 때문에, 공격의 여부를 판단하는 것은 시스템보다는 사용자의 개인적 인지에 의해서 이루어지고 있는 실정이다.
본 발명은 상기 종래기술이 갖는 문제점을 해소하기 위하여 창출된 것으로서, 본 발명에서 해결하고자 하는 과제는, 검출장치로부터 트래픽에 대한 세션정보 또는 이미지정보를 수집하고, 수집된 세션정보를 이미지 정보로 생성하며, 수집된 이미지정보 또는 생성된 이미지정보를 학습된 이미지정보와 비교 평가하여 네트워크에서 발생하는 공격을 실시간으로 탐지할 수 있는 딥 러닝을 이용한 네트워크 공격 탐지 시스템을 제공하는 데 있다.
또한, 본 발명에서 해결하고자 하는 다른 과제는, 특정 송신지 IP 주소를 기준으로 세션들을 군집화하고 공격유형에 대한 레이블을 추가하거나 또는 트래픽의 공격 정보(군집된 세션들과 공격유형 레이블)를 이용하여 이미지와 좌표들을 생성 및 증강하여 딥 러닝 모델을 학습하고, 학습된 모델에 근거하여 네트워크에서 발생하는 공격을 실시간으로 탐지할 수 있는 딥 러닝을 이용한 네트워크 공격 탐지 시스템을 제공하는 데 있다.
상기의 과제를 해결하기 위하여 본 발명에 따른 딥 러닝을 이용한 네트워크 공격 탐지 시스템은 네트워크 트래픽에 대한 세션정보 또는 네트워크 트래픽에 대한 이미지정보를 검출하여 송신하는 호스트; 상기 호스트에서 송신되는 세션정보를 수신하여 저장하고, 저장된 상기 세션정보를 군집시켜 송출하는 트래픽정보 송/수신부; 상기 트래픽정보 송/수신부에서 송신되는 트래픽정보를 이미지정보로 생성하고, 상기 호스트에서 송신되는 이미지정보를 수신하며, 생성된 이미지정보와 수신된 이미지정보가 학습용 또는 공격용인지를 판단하는 이미지생성 증강부; 상기 이미지생성 증강부의 판단 결과 이미지정보가 학습용인 경우, 학습용으로 판단된 이미지정보를 저장하고, 저장된 이미지정보를 딥 러딩 모델로 반복하여 학습하는 딥 러닝 모델 학습부; 및 상기 이미지생성 증강부의 판단 결과 이미지정보가 탐지용인 경우, 탐지용으로 판단된 이미지정보와 상기 딥 러닝 모델 학습부에서 학습된 이미지정보를 비교 분석하여 평가하는 딥 러닝 공격 탐지부를 포함하는 것을 특징으로 한다.
여기서, 상기 트래픽정보 송/수신부는 상기 호스트에서 송신되는 세션정보를 수신하는 세션정보 수신모듈; 상기 세션정보 수신모듈에서 수신된 세션정보를 송신지 IP 주소를 기준으로 설정된 개수만큼 군집시키고, 군집된 설정 개수를 초과하는 경우 세션정보를 송출하는 세션 정보 송신모듈; 및 상기 딥 러닝 공격 탐지부에서 평가된 결과를 상기 호스트로 전송하는 탐지정보 송신모듈을 포함하고, 상기 세션정보는 수신시간, 송신지 IP 주소, 수신지 IP 주소, 송신지 포트번호, 수신지 포트번호 및 프로토콜 번호를 포함하는 것을 특징으로 한다.
또한, 상기 이미지생성 증강부는 상기 트래픽정보 송/수신부로부터 전송되는 세션정보를 수신하고, 수신된 세션정보에 근거하여 이미지정보를 생성하는 이미지정보 생성모듈; 상기 호스트에서 전송된 이미지정보 또는 상기 이미지정보 생성모듈에서 생성된 이미지정보가 탐지용인지 또는 훈련용인지를 판단하는 이미지정보 판단모듈; 및 상기 이미지정보 판단모듈에서 판단된 훈련용 이미지정보를 상기 세션정보에 근거하여 IP 주소 또는 포트번호를 회전 이동 또는 변위 이동시켜 복수의 이미지정보를 생성하는 이미지정보 증강모듈을 포함하는 것을 특징으로 한다.
또한, 상기 이미지정보 생성모듈(310)에서 생성되는 이미지정보는 기준 반지름에 대한 세션정보의 수신시간으로 산출되는 반지름, IP 주소의 호스트 주소로 산출되는 각도 및 IP 주소의 네트워크 주소로 산출되는 높이를 갖는 3차원 원통좌표의 평면 이미지인 것을 특징으로 한다.
또한, 상기 딥 러딩 모델은 합성곱 신경망(Convolutional Neural Network: CNN), 순환 신경망(Recurrent Neural Network: RNN), 제한 볼츠만 머신(Restricted Boltzmann Machine: RBM), 심층 신뢰 신경망(Deep Belief Network: DBN) 및 생성적 적대 신경망(Generative Adversarial Network: GAN) 중에서 선택되는 것을 특징으로 한다.
본 발명에 의하면, 딥 러닝에 의해 학습된 이미지정보와 탐지용 이미지정보를 비교 분석함으로써, 학습된 이미지정보를 통해 네트워크 공격패턴을 쉽게 탐지할 수 있는 장점이 있다.
또한, 시각화된 이미지정보를 이용함에 따라 네트워크의 트래픽 부하를 최소화할 수 있고, 네트워크 공격 탐지를 위한 시스템 구축에 소요되는 시간 및 비용을 절감할 수 있는 장점이 있다.
또한, 구축된 공격 탐지 시스템과 병행하여 운영할 수 있는 것으로서, 구축된 공격 탐지 시스템과의 연계를 통해 단점을 상호 보완하여 네트워크 공격을 효과적으로 차단할 수 있는 장점이 있다.
도 1은 본 발명에 따른 딥 러닝을 이용한 네트워크 공격 탐지 시스템의 개략적인 구성도.
도 2는 본 발명에 따른 딥 러닝을 이용한 네트워크 공격 탐지 시스템의 내부 기능별 블록 구성도.
도 3은 본 발명에 따른 딥 러닝을 이용한 네트워크 공격 탐지 시스템에 적용된 일 실시 예의 군집된 세션정보에 대한 데이터 테이블.
도 4는 본 발명에 따른 딥 러닝을 이용한 네트워크 공격 탐지 시스템에서 이용하는 이미지정보의 일 실시 예를 나타낸 도면.
도 5는 본 발명에 따른 딥 러닝을 이용한 네트워크 공격 탐지 시스템에서 이미지정보를 회전이동 방식으로 증강시켜 복수의 이미지정보를 생성하는 과정도.
도 5는 도 4에 나타낸 점들의 좌표에 대한 데이터 테이블.
도 6은 본 발명에 따른 딥 러닝을 이용한 네트워크 공격 탐지 시스템에서 이미지정보를 회전이동 방식으로 증강시켜 복수의 이미지정보를 생성하는 과정도.
도 7은 본 발명에 따른 딥 러닝을 이용한 네트워크 공격 탐지 시스템에서 이미지정보를 변위이동 방식으로 증강시켜 복수의 이미지정보를 생성하는 과정도.
도 8은 본 발명에 따른 딥 러닝을 이용한 네트워크 공격 탐지 시스템에서 3차원 점좌표를 갖는 이미지정보의 생성을 설명하기 위한 도면.
도 9는 본 발명에 따른 딥 러닝을 이용한 네트워크 공격 탐지 시스템에서 3차원 점좌표를 평면 이미지로 나타낸 도면.
도 10은 본 발명에 따른 딥 러닝을 이용한 네트워크 공격 탐지 시스템에서 IP 주소 평면, 호스트 평면 및 포트 평면에 표시되는 점좌표를 나타낸 도면.
도 2는 본 발명에 따른 딥 러닝을 이용한 네트워크 공격 탐지 시스템의 내부 기능별 블록 구성도.
도 3은 본 발명에 따른 딥 러닝을 이용한 네트워크 공격 탐지 시스템에 적용된 일 실시 예의 군집된 세션정보에 대한 데이터 테이블.
도 4는 본 발명에 따른 딥 러닝을 이용한 네트워크 공격 탐지 시스템에서 이용하는 이미지정보의 일 실시 예를 나타낸 도면.
도 5는 본 발명에 따른 딥 러닝을 이용한 네트워크 공격 탐지 시스템에서 이미지정보를 회전이동 방식으로 증강시켜 복수의 이미지정보를 생성하는 과정도.
도 5는 도 4에 나타낸 점들의 좌표에 대한 데이터 테이블.
도 6은 본 발명에 따른 딥 러닝을 이용한 네트워크 공격 탐지 시스템에서 이미지정보를 회전이동 방식으로 증강시켜 복수의 이미지정보를 생성하는 과정도.
도 7은 본 발명에 따른 딥 러닝을 이용한 네트워크 공격 탐지 시스템에서 이미지정보를 변위이동 방식으로 증강시켜 복수의 이미지정보를 생성하는 과정도.
도 8은 본 발명에 따른 딥 러닝을 이용한 네트워크 공격 탐지 시스템에서 3차원 점좌표를 갖는 이미지정보의 생성을 설명하기 위한 도면.
도 9는 본 발명에 따른 딥 러닝을 이용한 네트워크 공격 탐지 시스템에서 3차원 점좌표를 평면 이미지로 나타낸 도면.
도 10은 본 발명에 따른 딥 러닝을 이용한 네트워크 공격 탐지 시스템에서 IP 주소 평면, 호스트 평면 및 포트 평면에 표시되는 점좌표를 나타낸 도면.
이하 첨부된 도면을 참조하여 본 발명의 바람직한 실시 예를 더욱 상세하게 설명한다.
본 발명은 호스트에서 전송하는 트래픽 세션 정보를 이용하여 이미지정보를 생성하고, 생성된 이미지정보를 증강한 후 딥 러닝 모델을 이용하여 학습하며, 학습된 딥 러닝 모델의 이미지정보에 근거하여 네트워크에서 발생하는 공격을 실시간으로 탐지하는 딥 러닝을 이용한 네트워크 공격 탐지 시스템 및 그 방법에 관한 것이다.
도 1은 본 발명에 따른 딥 러닝을 이용한 네트워크 공격 탐지 시스템의 개략적인 구성도이고, 도 2는 본 발명에 따른 딥 러닝을 이용한 네트워크 공격 탐지 시스템의 내부 기능별 블록 구성을 나타낸 도면이다.
첨부된 도 1 및 도 2를 참조하면, 본 발명에 따른 딥 러닝을 이용한 네트워크 공격 탐지 시스템은 호스트(100), 트래픽 정보 송/수신부(200), 이미지 생성/증강부(300), 딥 러닝 모델 학습부(400) 및 딥 러닝 공격 탐지부(500)를 포함하여 이루어진다.
호스트(100)는 인터넷에 연결되어 트래픽의 의한 세션정보에 대해 공격 여부를 의뢰하는 단말기로서, 세션정보 송신장치(110)와 이미지정보 송신장치(120)를 포함하여 구성된다.
즉, 상기 호스트(100)는 네트워크의 트래픽을 상시적으로 보고하는 네트워크 트래픽 감시 장비 등으로부터 세션정보를 생성하고, 생성된 세션정보를 송신하는 세션정보 송신장치(110)와 네트워크 공격 상황을 효율적으로 표출한 이미지정보를 생성하고, 생성된 이미지정보를 송신하는 이미지정보 송신장치(120) 등으로 구성될 수 있다. 이때, 상기 네크워크 트래픽 감시 장비로는 라우터, 스위치, 트래픽 감시 소프트웨어 또는 트래픽 플로우 발생 소프트웨어 중에서 선택될 수 있다.
여기서, 상기 트래픽 플로우 발생 소프트웨어는 상기 네크워크 트래픽 감시 장비와 연계하여 트래픽으로부터 정보를 읽어들여 트래픽을 재현하는 프로그램 등을 의미한다.
이때, 상기 이미지정보 송신장치(120)에서 시각화된 이미지정보는 기준 반지름에 대한 세션정보의 수신시간으로 산출되는 반지름, IP 주소의 호스트 주소로 산출되는 각도 및 IP 주소의 네트워크 주소로 산출되는 높이를 갖는 3차원 원통좌표 이미지 또는 세션정보의 수신시간으로 산출되는 X좌표, IP 주소의 호스트 주소로 산출되는 Y좌표 및 IP 주소의 네트워크 주소로 산출되는 Z좌표로 표시되는 직교좌표 이미지로 이루어지는 것으로서, 상기 이미지정보를 생성하는 과정에 대해서는 후술한다.
상기 트래픽 정보 송/수신부(200)는 상기 호스트(100)에서 송신되는 세션정보를 수신하여 저장하고, 저장된 상기 세션정보를 군집시켜 송출하는 것으로서, 세션정보 수신모듈(210), 세션정보 송신모듈(220) 및 탐지정보 송신모듈(230)을 포함하여 구성된다.
세션정보 수신모듈(210)은 상기 검출장치(100)에서 송신되는 세션정보를 수신하는 기능을 수행한다.
이때, 세션정보는 수신시간, 송신지 IP 주소, 수신지 IP 주소, 송신지 포트번호, 수신지 포트번호 및 프로토콜 번호를 포함하여 이루어진다.
세션정보 송신모듈(220)은 상기 세션정보 수신모듈(210)에서 수신된 세션정보를 송신지 IP 주소를 기준으로 설정된 개수만큼 군집시키고, 군집된 설정 개수를 초과하는 경우 송출하는 기능을 수행하는 것으로서, 송출되는 군집된 세션정보는 이미지생성 증강부(300)로 전송된다.
도 3은 본 발명에 따른 딥 러닝을 이용한 네트워크 공격 탐지 시스템에 적용된 일 실시 예의 군집된 세션정보에 대한 데이터 테이블을 나타낸 것이다.
첨부된 도 3에서, PRT는 프로토콜 번호, SIP는 송신지 IP 주소, DIP는 수신지 IP 주소, SPT는 송신지 포트번호 및 DPT는 수신지 포트번호를 의미한다.
탐지정보 송신모듈(230)은 상기 딥 러닝 공격 탐지부(500)에서 평가된 결과를 상기 호스트(100)로 전송하는 기능을 수행한다.
이미지생성 증강부(300)는 상기 트래픽정보 송/수신부(200)에서 송신되는 트래픽정보를 이미지정보로 생성하고, 상기 호스트(100)에서 송신되는 이미지정보를 수신하며, 생성된 이미지정보와 수신된 이미지정보가 학습용 또는 공격용인지를 판단하는 기능을 수행하는 것으로서, 이미지정보 생성모듈(310), 이미지정보 판단모듈(320) 및 이미지정보 증강모듈(330)을 포함하여 이루어진다.
이미지정보 생성모듈(310)은 상기 트래픽정보 송/수신부(200)로부터 전송되는 세션정보를 수신하고, 수신된 세션정보에 근거하여 이미지정보를 생성한다.
도 4는 본 발명에 따른 딥 러닝을 이용한 네트워크 공격 탐지 시스템에서 이용하는 이미지정보의 일 실시 예를 나타낸 도면으로서, 상기 세션정보를 이용하여 이미지정보를 생성하는 과정에 대해서는 후술한다.
도 5는 도 4에 나타낸 점들의 좌표에 대한 데이터 테이블로서, 세션정보에서 프로토콜과 송신지 포트번호 및 수신지 포트번호를 (프로토콜식별자, (x좌표, y좌표, z좌표))형식으로 표기하여 일괄 기재한 데이터 테이블이다.
첨부된 도 5에서 제1열은 포트 평면에 '프로토콜식별자, (x좌표, y좌표, z좌표)'로 표현된 것이고, 제2열은 호스트 평면에 '호스트 x좌표, 호스트 y좌표, 호스트 z좌표'로 표현된 것이며, 제3열은 IP 주소 평면에 '[네트워크 x좌표, 네트워크 y좌표, 네트워크 z좌표]'로 표현한 것이다.
첨부된 도 5에 따르면, ICMP프로토콜을 사용하는 경우 수신지 포트번호가 2048이면, I,(x좌표, y좌표, z좌표)로 표현되고, TCP프로토콜을 사용하는 경우, 수신지 포트번호가 80이면, T,(x좌표, y좌표, z좌표)로 표현되며, UDP프로토콜을 사용하는 경우 수신지 포트번호가 53이면, U,(x좌표, y좌표, z좌표)로 표현된다.
또한, ICMP, TCP 및 UDP프로토콜을 제외한 프로토콜일 경우, E,(x좌표, y좌표, z좌표)로 표현된다.
또한, 상기 데이터 테이블에서 세션정보의 송신지 IP 주소와 수신지 IP 주소를 각각 16비트씩 분해하고, 상위 16비트를 네트워크 식별자로 변환하며, 하위 16비트를 호스트 식별자로 변환하여 표현하면, {호스트 x좌표, 호스트 y좌표, 호스트 z좌표 그리고 [네트워크 x좌표, 네트워크 y좌표, 네트워크 z좌표]}형식으로 표현할 수 있다.
예를 들어, IP 주소가 192.168.0.43라고 가정하면, -0.4070616,0,-0.5279634 [-0.4070616,0,-0.5279634]로 표현된다.
이미지정보 판단모듈(320)은 상기 호스트(100)에서 전송된 이미지정보 또는 상기 이미지정보 생성모듈(310)에서 생성된 이미지정보가 탐지용인지 또는 훈련용인지를 판단한다.
이때, 탐지용 이미지정보는 호스트(100)로부터 탐지요청 이벤트신호에 의해 결정되며, 훈련용 이미지정보는 호스트(100)로부터 훈련요청 이벤트신호에 의해 결정된다.
즉, 상기 호스트(100)에서 탐지요청 이벤트신호와 함께 전송된 이미지정보에 대해서는 탐지용 이미지정보로 판단하고 이를 딥 러닝 공격 탐지부(500)로 전송하며, 상기 호스트(100)에서 훈련요청 이벤트신호와 함께 전송된 이미지정보에 대해서는 훈련용 이미지정보로 판단하고 이를 딥 러닝 모델 학습부(400)로 전송하게 된다.
상기의 구성에서 호스트(100)에서 훈련요청 이벤트신호와 함께 전송된 이미지정보에 대해서는 훈련용 이미지정보로 판단된 경우, 훈련용 이미지정보를 확장하여 더욱 폭 넓게 이를 훈련시킬 필요성이 있다.
즉, 훈련용 이미지정보는 송신지 IP 주소, 수신지 IP 주소가 일정 범위에 한정되어 있고, 실제 공격은 훈련용 이미지정보보다 상대적으로 넓은 범위로 공격될 수 있기 때문에, 훈련용 이미지정보를 증강시켜 더욱 넓은 범위로 확장하여 훈련시켜야 한다.
이미지정보 증강모듈(330)은 상기 이미지정보 판단모듈(320)에서 판단된 훈련용 이미지정보를 상기 세션정보에 근거하여 IP 주소 또는 포트번호를 회전 이동 또는 변위 이동시켜 복수의 이미지정보를 생성하여 증강시키는 것으로서, 이미지정보의 증강은 회전이동 방식 또는 변위이동 방식 중 선택된 하나의 방식으로 이루어질 수 있다.
상기 회전이동 방식은 중점을 기준으로 대상 좌표점들의 각도를 회전하면서 이미지정보를 생성하는 방식으로서, 도 6은 본 발명에 따른 딥 러닝을 이용한 네트워크 공격 탐지 시스템에서 이미지정보를 회전이동 방식으로 증강시켜 복수의 이미지정보를 생성하는 과정을 나타낸 것으로서, 일 실시 예로 송신지 IP 주소의 네트워크 식별자를 15°씩 회전하고 호스트 식별자를 15°씩 회전하면서 이미지정보를 생성하면 576개의 이미지정보로 증강된다.
즉, 네트워크 식별자는 360/15의 계산식에 의해 총 24개가 산출되고, 호스트 식별자도 360/15의 계산식에 의해 총 24개가 산출되며, 산출된 24개의 네트워크 식별자에 대해 24개의 호스트 식별자를 포함하게 되어, 총 576개의 이미지정보가 생성되게 된다.
여기서, 회전각도를 더욱 세밀하게 조정하면 더욱 많은 이미지정보가 생성됨은 물론이다.
상기 변위이동 방식은 길이가 32비트인 IP 주소 또는 길이가 16비트인 포트번호의 비트를 몇 비트씩 이동시키면서 이미지를 생성하는 방법으로서, 도 7은 본 발명에 따른 딥 러닝을 이용한 네트워크 공격 탐지 시스템에서 이미지정보를 변위이동 방식으로 증강시켜 복수의 이미지정보를 생성하는 과정을 나타낸 것이다.
딥 러닝 모델 학습부(400)는 이미지생성 증강부(300)의 판단 결과 이미지정보가 학습용인 경우, 학습용으로 판단된 이미지정보를 저장하고, 저장된 이미지정보를 딥 러딩 모델로 반복하여 학습하는 기능을 수행하는 것으로서, 훈련용 이미지정보가 저장 관리되는 훈련용 이미지정보 저장모듈(410) 및 이미지정보를 이용하여 훈련시키는 딥 러닝 훈련모듈(420)을 포함하여 구성된다.
훈련용 이미지정보 저장모듈(410)에는 이미지정보 생성모듈(310)과 이미지 정보 증강 모듈(330)에서 증강 생성된 훈련용 이미지정보들이 저장 관리되는 데, 상기 훈련용 이미지정보는 공격 유형별 레이블에 따라 네트워크 공격 유형별로 저장되고, 저장된 이미지정보는 딥 러닝 모델을 훈련하는데 필요한 입력 데이터로 사용된다.
이때, 공격 유형별 레이블로는 호스트스캔(Host Scan) 공격, 포트스캔(Host Scan) 공격, DoS(Denial of Service) 공격, DDoS(Distributed Denial of Service) 공격, 스팸메일(Spam Mail), 악성소프트웨어(Malicious Software) 등이 있다. 또한, 정상적인 접근에 대해서도 유형별 레이블로 분류되어 저장 관리될 수 있다.
딥 러닝 훈련모듈(420)은 오픈소스용 딥 러닝 프레임워크들로부터 활용가능한 딥 러닝 모델을 이용하여 네트워크 공격 유형을 학습시킨다.
여기서, 오픈소스용 딥 러닝 프레임워크들은 TensorFlow, MXNet, Caffe, CNTK, 또는 Torch 중 적어도 하나를 포함하여 구성될 수 있다.
또한, 상기 딥 러닝 훈련모듈(420)은 균형적인 공격유형별로 이미지정보를 훈련시키기 위해 생성적 적대 신경망(Generative Adversarial Network: GAN)인 딥 러닝 모델과 네트워크 공격 분석을 위한 합성곱 신경망(Convolutional Neural Network: CNN)인 딥 러닝 모델을 포함하여 구성될 수 있으나, 상기에서 언급되지 않은 다른 딥 러닝 모델을 이용하는 것도 가능하다.
상기에서 딥 러닝 모델은 합성곱 신경망(Convolutional Neural Network: CNN), 순환 신경망(Recurrent Neural Network: RNN), 제한 볼츠만 머신(Restricted Boltzmann Machine: RBM), 심층 신뢰 신경망(Deep Belief Network: DBN), 생성적 적대 신경망(Generative Adversarial Network: GAN) 중 적어도 하나를 포함하여 구성될 수 있다.
딥 러닝 공격 탐지부(500)는 이미지생성 증강부(300)의 판단 결과 이미지정보가 탐지용인 경우, 탐지용으로 판단된 이미지정보와 상기 딥 러닝 모델 학습부(400)에서 학습된 이미지정보를 비교 분석하여 평가하는 것으로서, 딥 러닝 분석모듈(510)과 딥 러닝 평가모듈(520)을 포함하여 구성된다.
딥 러닝 분석모듈(510)은 이미지정보 판단 모듈(320)로부터 전달된 이미지정보를 딥 러닝 훈련모듈(420)에서 훈련된 딥 러닝 모델을 이용하여 네트워크 공격인지 정상적인 접속인지를 분석한다. 즉, 상기 딥 러닝 분석모듈(510)은 딥 러닝 훈련모듈(420)에서 훈련된 딥 러닝 모델과 이미지정보 판단 모듈(320)에서 전송된 탐지용 이미지정보를 비교하여 상기 탐지용 이미지정보를 분석한다.
상기 딥 러닝 평가모듈(520)은 상기 딥 러닝 분석모듈(510)에 의해 분석된 탐지용 이미지정보에 대한 공격 수준의 정도에 따라 평가하고, 평가에 대한 평점을 산출한다.
이때, 상기 평점은 임의의 입력값에 의해 설정되도록 구성될 수 있고, 필요에 따라 가변되도록 구성될 수 있다.
또한, 상기 공격 수준의 평가는 공격 유형별 레이블에 따라 다르게 구성될 수 있고, 그 결과를 학습용 이미지정보로 활용할 수 있도록 하기 위해 상기 이미지증강 생성부(300)의 이미지정보 증강모듈(330)로 전송되도록 구성될 수 있다.
또한, 상기 딥 러닝 평가모듈(520)에서 평가된 결과는 상기 트래픽정보 송/수신부(200)의 탐지정보 송신모듈(230)로 전송되도록 하여, 탐지정보 송신모듈(230)에 의해 호스트(100)에 제공될 수 있도록 구성된다.
한편, 호스트(100)의 이미지정보 송신장치(120)와 이미지생성 증강부(300)의 이미지정보 생성모듈(310)에서 세션정보를 이용하여 이미지정보를 생성하는 과정에 대해 설명한다.
세션정보에는 수신시간, 송신지 IP 주소, 수신지 IP 주소, 송신지 포트번호, 수신지 포트번호 및 프로토콜 번호가 포함된다.
이때, 본 발명에서 사용되는 이미지정보는 3차원 좌표를 갖는 이미지로부터 생성된다.
세션정보는 3차원 좌표에서 점(도트)으로 표시되는 데, 3차원 좌표에서 요구되는 좌표를 3차원 점좌표라 정의하면, 상기 3차원 점좌표로는 기준점으로부터의 반지름, 각도 및 높이에 대한 정보가 요구된다.
이때, 상기 3차원 점좌표의 반지름은 수신시간(또는 발생 빈도수)에 기초하여 산출되고, 각도는 송신지 IP 주소 또는 수신지 IP 주소의 호스트 주소 부분에 기초하여 산출되며, 높이는 송신지 IP 주소 또는 수신지 IP 주소의 네트워크 주소 부분에 기초하여 산출된다.
도 8은 본 발명에 따른 딥 러닝을 이용한 네트워크 공격 탐지 시스템에서 3차원 점좌표를 갖는 이미지정보의 생성을 설명하기 위한 도면이다.
첨부된 도 8을 참조하면, 3차원 점좌표에서 반지름은 공격 탐지를 시간 기준으로 트래픽 발생시간(수신시간)(t1)이고, 각도(θ1)는 기준 IP 주소(0.0.0.0)로부터 IP 주소의 호스트 주소를 216으로 나누고 2π를 곱하여 산출되며, 높이(h1)는 IP 주소의 네트워크 주소를 216으로 나누어서 산출된다.
이를 정리하면 다음의 수학식 1로 표현된다.
여기서, H1은 첫번째 세션정보의 IP 주소에서 호스트 주소와 네트워크 주소를 기준으로 하는 3차원 점좌표, r은 기준 참조원의 반지름, t1은 기준시간부터 수신시간, θ1은 기준 IP 주소와 이루는 각도, h1은 높이이다.
이때, 상기 기준 IP 주소는 a.b.c.d로 설정될 수 있고, IPv4인 B-class를 기준으로 IP 주소에서 왼쪽 2개의 옥텟(octet)은 네트워크 식별자이고, 오른쪽 2개의 옥텟은 호스트 식별자이다.
또한, 도 8에서의 제2의 3차원 점좌표(H2)는 IP 주소의 호스트 주소와 네트워크 주소를 기준으로 하는 다른 공격을 나타낸 것이다.
또한, 공격 감시를 시작한 시간(기준시간)부터 감시 종료 시점까지 연속적인 공격이 이루어진 경우, 3차원 점좌표(H1)는 선 또는 복수의 점으로 표현되고, 감시 시작부터 감시 종료 시점까지 1번의 공격이 이루어진 경우, 3차원 점좌표(H1)는 점으로 표현된다.
여기서, 상기 수학식 1로 표현된 3차원 점좌표의 이미지정보를 평면도 이미지정보로 나타내는 경우, 도 9와 같이 도시될 수 있다.
도 9는 본 발명에 따른 딥 러닝을 이용한 네트워크 공격 탐지 시스템에서 3차원 점좌표를 평면 이미지로 나타낸 도면이다.
첨부된 도 9는 3차원 점좌표의 높이를 생략하여 나타낸 것으로서, 군집된 세션정보 중에서 x번째 세션정보로 확장하면 3차원 점좌표는 다음의 수학식 2로 표현된다.
여기서, Hx은 x번째 세션정보의 IP 주소 중 호스트 주소를 기준으로 하는 3차원 점좌표, r은 기준 참조원의 반지름, tx는 x번째 세션정보에서 기준시간부터 수신시간, θHx는 x번째 세션정보의 호스트 주소와 기준 IP 주소가 이루는 각도이다.
한편, 본 발명에서는 평면 이미지를 이용하여 딥 러닝 모델을 학습하고, 학습된 딥 러닝 모델의 이미지정보에 근거하여 네트워크에서 발생하는 공격을 실시간으로 탐지하게 되는데, 3차원 점좌표를 평면 이미지로 변환하게 되면, 네트워크 주소(높이)에 대한 정보가 생략되게 된다.
즉, 세션정보의 IP 주소에서 호스트 주소가 동일한 경우에는 동일한 각도를 갖게 되어, 평면 이미지에 표현되는 점은 동일 반지름 상에 존재하게 된다.
이에, 본 발명에서는 IP 주소를 활용한 평면 좌표가 더 포함될 수 있다.
도 10은 본 발명에 따른 딥 러닝을 이용한 네트워크 공격 탐지 시스템에서 IP 주소 평면, 호스트 평면 및 포트 평면에 표시되는 점좌표를 나타낸 도면이다.
IP 주소의 호스트 주소를 이용한 점좌표(H1)는 수학식 2의 수식에 의해 산출된다.
첨부된 도 10을 참조하면, IP 주소(네트워크 주소와 호스트 주소를 모두 포함)를 이용한 평면 점좌표(Nx)는 다음의 수학식 3으로 표현된다.
여기서, Nx는 x번째 세션정보의 IP 주소에 대한 평면상의 점좌표, tx는 x번째 세션정보에 대한 기준시간부터 수신시간, θNx는 x번째 세션정보의 IP 주소와 기준 IP 주소가 이루는 각도이다.
상기 수학식 3에 따르면, IP 주소의 호스트 주소를 이용한 점좌표(Px)는 평면 이미지의 호스트 평면(HS)에 위치되고, IP 주소 전체를 이용한 점좌표(Nx)는 평면 이미지의 IP 주소 평면(IPS)에 위치되게 된다.
이에 더하여, 세션정보는 포트번호를 이용하여 점좌표로 표현될 수 있다.
세션정보의 포트번호를 이용한 점좌표는 다음의 수학식 4로 표현된다.
여기서, Px는 x번째 세션정보에서 포트번호에 대한 평면상의 점좌표, r는 기준 참조원의 반지름, θPx는 x번째 세션정보에서 포트번호에 대한 기준 IP 주소와 이루는 각도이다.
포트번호에 대한 평면상의 점좌표는 IP 주소 평면(IPS)에 위치되되, 기준 참조원의 원주상에 위치되게 된다.
이에, 1개의 세션정보는 호스트 주소로 표현되는 점좌표, IP 주소로 표현되는 점좌표 및 포트번호로 표현되는 점좌표로 평면 이미지에 표시된다.
따라서, 3개의 점좌표를 이용하여 세션정보를 다양하게 나타낼 수 있다.
또한, 상기의 세션정보가 시간의 경과에 의해 군집된 형태로 발생되면, 이는 평면 이미지에 군집된 점들로 표시되게 되고, 그 일예로 도 4에 도시된 바와 같이 표현된다.
필요에 의해서, 복수의 세션정보로 표시되는 각각의 점좌표들은 각각 다른 색상이 부여되도록 구성될 수 있으며, 1개의 세션정보에 의해 표현된 각각의 점은 동일 색상을 가지도록 구성될 수 있다.
아울러, 상기 수학식 2 내지 수학식 4를 이용하여 첨부된 도 5를 설명하면, 도 5의 데이터 테이블은 프로토콜 식별자와 함께 산출된 3차원 점좌표를 나타낸 것으로서, 그 형식은 {프로토콜식별자, (x좌표, y좌표, z좌표)}형식으로 표기된다.
즉, 수학식 2를 이용하여 첨부된 도 5의 데이터 테이블에서 세션정보의 송신지 IP 주소와 수신지 IP 주소를 각각 16비트씩 분해하고, 상위 16비트를 네트워크 식별자로 변환하며, 하위 16비트를 호스트 식별자로 변환하여 {호스트 x좌표, 호스트 y좌표, 호스트 z좌표 그리고 [네트워크 x좌표, 네트워크 y좌표, 네트워크 z좌표]}형식으로 표현할 수 있다.
또한, 수학식 3을 이용하여 IP 주소를 표현하는 경우, IP 주소가 192.168.0.43라고 가정하면, -0.4070616,0,-0.5279634와 [-0.4070616,0,-0.5279634]형식으로 표현된다.
또한, 수학식 4를 이용하여 포트번호를 표현하는 경우, 점좌표는 ICMP프로토콜을 사용하는 상태에서 수신지 포트번호가 2048일 경우, I,(-0.4070616,0,-0.5279634)로 표현되고, TCP프로토콜의 수신지 포트번호가 80일 경우, T,(-0.4070616,0,-0.5279634)로 표현되며, UDP프로토콜의 수신지 포트번호가 53일 경우, U,(-0.4070616,0,-0.5279634)로 표현된다. ICMP, TCP, UDP를 제외한 프로토콜일 경우 E,(-0.4070616,0,-0.5279634)로 표현된다.
이와 같이, 세션정보는 3차원 시각화된 이미지정보로 생성되고, 생성된 이미지정보를 통해 네트워크의 공격 패턴, 공격지의 IP,주소, 공격 대상의 IP 주소 등이 직관적으로 표시되어 공격 성향 및 상황 정보를 빠르게 인지할 수 있으며, 다수의 네트워크 트래픽 이벤트가 동시에 발생되는 상황에서도 개개의 네트워크 트래픽 이벤트에 대한 고유 의미가 유지된 채 표시됨으로써, 해당 공격 또는 피해의 시간 추이와 연속성을 표시 및 인지할 수 있는 장점이 있다.
본 발명에 의하면, 딥 러닝에 의해 학습된 이미지정보와 탐지용 이미지정보를 비교 분석함으로써, 학습된 이미지정보를 통해 네트워크 공격패턴을 쉽게 탐지할 수 있는 장점이 있다.
또한, 시각화된 이미지정보를 이용함에 따라 네트워크의 트래픽 부하를 최소화할 수 있고, 네트워크 공격 탐지를 위한 시스템 구축에 소요되는 시간 및 비용을 절감할 수 있는 장점이 있다.
또한, 구축된 공격 탐지 시스템과 병행하여 운영할 수 있는 것으로서, 구축된 공격 탐지 시스템과의 연계를 통해 단점을 상호 보완하여 네트워크 공격을 효과적으로 차단할 수 있는 장점이 있다.
이상에서 본 발명의 바람직한 실시 예를 설명하였으나, 본 발명의 권리범위는 이에 한정되지 아니하며 본 발명의 실시 예와 실질적으로 균등한 범위에 있는 것까지 본 발명의 권리범위가 미치는 것으로 이해되어야 하며, 본 발명의 정신을 벗어나지 않는 범위 내에서 당해 발명이 속하는 기술분야에서 통상의 지식을 가진 자에 의해 다양한 변형 실시가 가능하다.
100: 호스트 110: 세션정보 송신장치
120: 이미지정보 송신장치 200: 트래픽 정보 송/수신부
210: 세션정보 수신모듈 220: 세션정보 송신모듈
230: 탐지정보 송신모듈 300: 이미지 생성/증강부
310: 이미지정보 생성모듈 320: 이미지정보 판단모듈
330: 이미지정보 증강모듈 400: 딥 러닝 모델 학습부
410: 훈련용 이미지정보 저장모듈 420: 딥 러닝 훈련모듈
500: 딥 러닝 공격 탐지부 510: 딥 러닝 분석모듈
520: 딥 러닝 평가모듈
120: 이미지정보 송신장치 200: 트래픽 정보 송/수신부
210: 세션정보 수신모듈 220: 세션정보 송신모듈
230: 탐지정보 송신모듈 300: 이미지 생성/증강부
310: 이미지정보 생성모듈 320: 이미지정보 판단모듈
330: 이미지정보 증강모듈 400: 딥 러닝 모델 학습부
410: 훈련용 이미지정보 저장모듈 420: 딥 러닝 훈련모듈
500: 딥 러닝 공격 탐지부 510: 딥 러닝 분석모듈
520: 딥 러닝 평가모듈
Claims (5)
- 네트워크 트래픽에 대한 세션정보 또는 네트워크 트래픽에 대한 이미지정보를 검출하여 송신하는 호스트(100);
상기 호스트(100)에서 송신되는 세션정보를 수신하여 저장하고, 저장된 상기 세션정보를 군집시켜 송출하는 트래픽정보 송/수신부(200);
상기 트래픽정보 송/수신부(200)에서 송신되는 트래픽정보를 이미지정보로 생성하고, 상기 호스트(100)에서 송신되는 이미지정보를 수신하며, 생성된 이미지정보와 수신된 이미지정보가 학습용 또는 공격용인지를 판단하는 이미지생성 증강부(300);
상기 이미지생성 증강부(300)의 판단 결과 이미지정보가 학습용인 경우, 학습용으로 판단된 이미지정보를 저장하고, 저장된 이미지정보를 딥 러딩 모델로 반복하여 학습하는 딥 러닝 모델 학습부(400); 및
상기 이미지생성 증강부(300)의 판단 결과 이미지정보가 탐지용인 경우, 탐지용으로 판단된 이미지정보와 상기 딥 러닝 모델 학습부(400)에서 학습된 이미지정보를 비교 분석하여 평가하는 딥 러닝 공격 탐지부(500);
를 포함하는 것을 특징으로 하는 딥 러닝을 이용한 네트워크 공격 탐지 시스템.
- 청구항 1에 있어서,
상기 트래픽정보 송/수신부(200)는,
상기 호스트(100)에서 송신되는 세션정보를 수신하는 세션정보 수신모듈(210);
상기 세션정보 수신모듈(210)에서 수신된 세션정보를 송신지 IP 주소를 기준으로 설정된 개수만큼 군집시키고, 군집된 설정 개수를 초과하는 경우 세션정보를 송출하는 세션 정보 송신모듈(220); 및
상기 딥 러닝 공격 탐지부(500)에서 평가된 결과를 상기 호스트(100)로 전송하는 탐지정보 송신모듈(230)
을 포함하고,
상기 세션정보는,
수신시간, 송신지 IP 주소, 수신지 IP 주소, 송신지 포트번호, 수신지 포트번호 및 프로토콜 번호를 포함하는 것을 특징으로 하는 딥 러닝을 이용한 네트워크 공격 탐지 시스템.
- 청구항 1에 있어서,
상기 이미지생성 증강부(300)는,
상기 트래픽정보 송/수신부(200)로부터 전송되는 세션정보를 수신하고, 수신된 세션정보에 근거하여 이미지정보를 생성하는 이미지정보 생성모듈(310);
상기 호스트(100)에서 전송된 이미지정보 또는 상기 이미지정보 생성모듈(310)에서 생성된 이미지정보가 탐지용인지 또는 훈련용인지를 판단하는 이미지정보 판단모듈(320); 및
상기 이미지정보 판단모듈(320)에서 판단된 훈련용 이미지정보를 상기 세션정보에 근거하여 IP 주소 또는 포트번호를 회전 이동 또는 변위 이동시켜 복수의 이미지정보를 생성하는 이미지정보 증강모듈(330);
을 포함하는 것을 특징으로 하는 딥 러닝을 이용한 네트워크 공격 탐지 시스템.
- 청구항 3에 있어서,
상기 이미지정보 생성모듈(310)에서 생성되는 이미지정보는,
기준 반지름에 대한 세션정보의 수신시간으로 산출되는 반지름, IP 주소의 호스트 주소로 산출되는 각도 및 IP 주소의 네트워크 주소로 산출되는 높이를 갖는 3차원 원통좌표의 평면 이미지인 것을 특징으로 하는 딥 러닝을 이용한 네트워크 공격 탐지 시스템.
- 청구항 1에 있어서,
상기 딥 러딩 모델은,
합성곱 신경망(Convolutional Neural Network: CNN), 순환 신경망(Recurrent Neural Network: RNN), 제한 볼츠만 머신(Restricted Boltzmann Machine: RBM), 심층 신뢰 신경망(Deep Belief Network: DBN) 및 생성적 적대 신경망(Generative Adversarial Network: GAN) 중에서 선택되는 것을 특징으로 하는 딥 러닝을 이용한 네트워크 공격 탐지 시스템.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020190013036A KR102148283B1 (ko) | 2019-01-31 | 2019-01-31 | 딥 러닝을 이용한 네트워크 공격 탐지 시스템 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020190013036A KR102148283B1 (ko) | 2019-01-31 | 2019-01-31 | 딥 러닝을 이용한 네트워크 공격 탐지 시스템 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| KR20200095219A true KR20200095219A (ko) | 2020-08-10 |
| KR102148283B1 KR102148283B1 (ko) | 2020-08-26 |
Family
ID=72049496
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020190013036A KR102148283B1 (ko) | 2019-01-31 | 2019-01-31 | 딥 러닝을 이용한 네트워크 공격 탐지 시스템 |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR102148283B1 (ko) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112468439A (zh) * | 2020-10-28 | 2021-03-09 | 中国人民武装警察部队后勤学院 | 基于深度学习方法的物联网DDoS攻击流量检测系统 |
| KR20220084866A (ko) * | 2020-12-14 | 2022-06-21 | 한전케이디엔주식회사 | 생성적 적대 신경망을 활용해 미 발견 네트워크 침입 유형을 탐지하는 시스템 및 방법 |
| CN114978667A (zh) * | 2022-05-17 | 2022-08-30 | 安捷光通科技成都有限公司 | 一种基于图神经网络的SDN网络DDoS攻击检测方法 |
| CN115242421A (zh) * | 2022-03-28 | 2022-10-25 | 清华大学 | 基于网络空间地图的网络异常检测方法及装置 |
| KR20230032319A (ko) | 2021-08-30 | 2023-03-07 | 고려대학교 산학협력단 | 딥러닝 기반의 적대적 공격 탐지 장치 및 방법 |
| KR20230061932A (ko) | 2021-10-29 | 2023-05-09 | 한국전자통신연구원 | 다중 학습 모델을 이용한 5g 엣지 네트워크 침입 탐지 장치 및 이를 이용한 방법 |
| CN116599779A (zh) * | 2023-07-19 | 2023-08-15 | 中国电信股份有限公司江西分公司 | 一种增加网络安全性能的IPv6云转换方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100628329B1 (ko) | 2005-07-30 | 2006-09-27 | 한국전자통신연구원 | 네트워크 세션 특성 정보에 대한 공격 행위 탐지규칙 생성장치 및 그 방법 |
| KR101888683B1 (ko) * | 2017-07-28 | 2018-08-14 | 펜타시큐리티시스템 주식회사 | 비정상 트래픽을 탐지하는 방법 및 장치 |
| KR101907752B1 (ko) | 2016-10-17 | 2018-10-12 | 숭실대학교산학협력단 | 인공지능을 이용하여 DDoS 공격을 탐지하는 소프트웨어 정의 네트워크 및 이에 포함되는 컨트롤러 |
| KR20180120558A (ko) * | 2017-04-27 | 2018-11-06 | 주식회사 케이티 | 딥러닝 기반 통신망 장비의 장애 예측 시스템 및 방법 |
-
2019
- 2019-01-31 KR KR1020190013036A patent/KR102148283B1/ko active IP Right Grant
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100628329B1 (ko) | 2005-07-30 | 2006-09-27 | 한국전자통신연구원 | 네트워크 세션 특성 정보에 대한 공격 행위 탐지규칙 생성장치 및 그 방법 |
| KR101907752B1 (ko) | 2016-10-17 | 2018-10-12 | 숭실대학교산학협력단 | 인공지능을 이용하여 DDoS 공격을 탐지하는 소프트웨어 정의 네트워크 및 이에 포함되는 컨트롤러 |
| KR20180120558A (ko) * | 2017-04-27 | 2018-11-06 | 주식회사 케이티 | 딥러닝 기반 통신망 장비의 장애 예측 시스템 및 방법 |
| KR101888683B1 (ko) * | 2017-07-28 | 2018-08-14 | 펜타시큐리티시스템 주식회사 | 비정상 트래픽을 탐지하는 방법 및 장치 |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112468439A (zh) * | 2020-10-28 | 2021-03-09 | 中国人民武装警察部队后勤学院 | 基于深度学习方法的物联网DDoS攻击流量检测系统 |
| CN112468439B (zh) * | 2020-10-28 | 2023-10-24 | 中国人民武装警察部队后勤学院 | 基于深度学习方法的物联网DDoS攻击流量检测系统 |
| KR20220084866A (ko) * | 2020-12-14 | 2022-06-21 | 한전케이디엔주식회사 | 생성적 적대 신경망을 활용해 미 발견 네트워크 침입 유형을 탐지하는 시스템 및 방법 |
| KR20230032319A (ko) | 2021-08-30 | 2023-03-07 | 고려대학교 산학협력단 | 딥러닝 기반의 적대적 공격 탐지 장치 및 방법 |
| KR20230061932A (ko) | 2021-10-29 | 2023-05-09 | 한국전자통신연구원 | 다중 학습 모델을 이용한 5g 엣지 네트워크 침입 탐지 장치 및 이를 이용한 방법 |
| CN115242421A (zh) * | 2022-03-28 | 2022-10-25 | 清华大学 | 基于网络空间地图的网络异常检测方法及装置 |
| CN115242421B (zh) * | 2022-03-28 | 2024-06-04 | 清华大学 | 基于网络空间地图的网络异常检测方法及装置 |
| CN114978667A (zh) * | 2022-05-17 | 2022-08-30 | 安捷光通科技成都有限公司 | 一种基于图神经网络的SDN网络DDoS攻击检测方法 |
| CN114978667B (zh) * | 2022-05-17 | 2024-02-09 | 安捷光通科技成都有限公司 | 一种基于图神经网络的SDN网络DDoS攻击检测方法 |
| CN116599779A (zh) * | 2023-07-19 | 2023-08-15 | 中国电信股份有限公司江西分公司 | 一种增加网络安全性能的IPv6云转换方法 |
| CN116599779B (zh) * | 2023-07-19 | 2023-10-27 | 中国电信股份有限公司江西分公司 | 一种增加网络安全性能的IPv6云转换方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| KR102148283B1 (ko) | 2020-08-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR102148283B1 (ko) | 딥 러닝을 이용한 네트워크 공격 탐지 시스템 | |
| US10264007B2 (en) | Malware beaconing detection methods | |
| US11038906B1 (en) | Network threat validation and monitoring | |
| CN110602100B (zh) | Dns隧道流量的检测方法 | |
| Chin et al. | Selective packet inspection to detect DoS flooding using software defined networking (SDN) | |
| US20100262873A1 (en) | Apparatus and method for dividing and displaying ip address | |
| CN112383538B (zh) | 一种混合式高交互工业蜜罐系统及方法 | |
| EP3185164A2 (en) | System and method for detecting malicious code using visualization | |
| US8448189B2 (en) | Identifying intrusions into a network data processing system | |
| US20150350242A1 (en) | Apparatus and method of displaying network security situation | |
| US10681075B2 (en) | Detection of SSL / TLS malware beacons | |
| US11570190B2 (en) | Detection of SSL / TLS malware beacons | |
| CN111555988A (zh) | 一种基于大数据的网络资产测绘发现方法及装置 | |
| KR102083028B1 (ko) | 네트워크 침입탐지 시스템 | |
| KR20220032787A (ko) | 사이버 공격을 방어하기 위한 보안 방법 및 장치 | |
| US7469418B1 (en) | Deterring network incursion | |
| CN113268735A (zh) | 分布式拒绝服务攻击检测方法、装置、设备和存储介质 | |
| US8775613B2 (en) | Method and system for providing network monitoring, security event collection apparatus and service abnormality detection apparatus for network monitoring | |
| CN118233199A (zh) | 一种数据包识别方法、装置、设备及存储介质 | |
| Wang et al. | Defending DDoS attacks in software-defined networking based on legitimate source and destination IP address database | |
| CN104852921A (zh) | 网络设备防开放端口攻击测试系统及方法 | |
| CN106790010A (zh) | 基于Android系统的ARP攻击检测方法、装置及系统 | |
| Rajab et al. | Fast and evasive attacks: Highlighting the challenges ahead | |
| Wang et al. | Interactive wormhole detection and evaluation | |
| US11765188B2 (en) | Real-time detection of network attacks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| E701 | Decision to grant or registration of patent right | ||
| GRNT | Written decision to grant |