KR20210065493A - 네트워크 어노말리 탐지 방법 - Google Patents

네트워크 어노말리 탐지 방법 Download PDF

Info

Publication number
KR20210065493A
KR20210065493A KR1020190154290A KR20190154290A KR20210065493A KR 20210065493 A KR20210065493 A KR 20210065493A KR 1020190154290 A KR1020190154290 A KR 1020190154290A KR 20190154290 A KR20190154290 A KR 20190154290A KR 20210065493 A KR20210065493 A KR 20210065493A
Authority
KR
South Korea
Prior art keywords
anomaly
network
network packet
computer
data
Prior art date
Application number
KR1020190154290A
Other languages
English (en)
Inventor
곽종훈
이선로
Original Assignee
주식회사 티맥스티베로
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 티맥스티베로 filed Critical 주식회사 티맥스티베로
Priority to KR1020190154290A priority Critical patent/KR20210065493A/ko
Publication of KR20210065493A publication Critical patent/KR20210065493A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 개시의 일 실시예에 따라 컴퓨터 판독가능 저장 매체에 저장된 컴퓨터 프로그램이 개시된다. 상기 컴퓨터 프로그램은 하나 이상의 네트워크 패킷을 포함하는 네트워크 패킷 세트를 수신하는 동작; 상기 네트워크 패킷 세트를 이용하여 엔트로피 값을 연산하는 동작; 상기 엔트로피 값을 이용하여 상기 네트워크 패킷 세트에 관한 1차 어노말리 여부를 판단하는 동작; 상기 1차 어노말리 여부의 판단에 기초하여 하나 이상의 네트워크 함수를 포함하는 어노말리 모델을 이용하여 상기 네트워크 패킷 세트를 연산하는 동작; 및 상기 어노말리 모델의 출력을 이용하여 상기 네트워크 패킷 세트에 관한 2차 어노말리 여부를 판단하는 동작을 포함할 수 있다.

Description

네트워크 어노말리 탐지 방법 {METHOD TO DETECT NETWORK ANOMALY}
본 발명은 네트워크의 어노말리를 탐지하기 위한 것으로, 보다 구체적으로 네트워크 패킷을 이용하여 네트워크에 어노말리가 있는지 여부를 결정하는 방법에 관한 것이다.
네트워크와 관련된 분야의 기술이 발전하면서, 네트워크를 공격하는 트래픽을 감지하는 침입 탐지 시스템 (Intrusion Detection System, IDS)의 중요성이 대두되고 있다.
네트워크를 공격하는 트래픽을 감지하기 위하여 다양한 형태의 기술들이 접목되고 있다. 특히 고속 네트워크 환경에서 트래픽을 빠르게 처리하고 그리고 공격 트래픽을 정확하게 구별할 수 있는 기술들에 대한 연구 개발이 증가하고 있다.
또한, 웹 서비스를 더 안전하게 제공하고 웹 서비스를 이용한 공격을 탐지하고 방어하는 연구의 필요성이 증가하고 있으며, 다양한 웹 공격에 대해 신속하게 반응할 수 있고, 오 경보(false alarm)를 줄일 수 있도록 하는, 네트워크에 대한 침입 탐지 시스템에 대한 당업계의 니즈가 존재한다.
대한민국 공개특허 제2002-0072618호는 네트워크 기반 침입탐지 시스템에 관하여 개시한다.
본 개시는 전술한 배경기술에 대응하여 안출된 것으로, 네트워크 어노말리 탐지 방법을 제공하는 것을 목적으로 한다.
전술한 바와 같은 과제를 실현하기 위한 본 개시의 일 실시예에 따라, 컴퓨터 판독가능 저장 매체에 저장된 컴퓨터 프로그램으로서, 상기 컴퓨터 프로그램은 컴퓨팅 장치의 하나 이상의 프로세서에서 실행되는 경우 네트워크 어노말리 탐지 방법을 제공하기 위한 동작들을 수행하도록 하며 상기 동작들은, 하나 이상의 네트워크 패킷을 포함하는 네트워크 패킷 세트를 수신하는 동작; 상기 네트워크 패킷 세트를 이용하여 엔트로피 값을 연산하는 동작; 상기 엔트로피 값을 이용하여 상기 네트워크 패킷 세트에 관한 1차 어노말리 여부를 판단하는 동작; 상기 1차 어노말리 여부의 판단에 기초하여 하나 이상의 네트워크 함수를 포함하는 어노말리 모델을 이용하여 상기 네트워크 패킷 세트를 연산하는 동작; 및 상기 어노말리 모델의 출력을 이용하여 상기 네트워크 패킷 세트에 관한 2차 어노말리 여부를 판단하는 동작을 포함할 수 있다.
네트워크 어노말리 탐지 방법을 제공하기 위한 이하의 동작들을 수행하도록 하는 컴퓨터 프로그램 동작들의 대안적인 실시예에서, 상기 하나 이상의 네트워크 패킷은 사전 결정된 기준에 따라 데이터 센터에서 미러링 된 패킷일 수 있다.
네트워크 어노말리 탐지 방법을 제공하기 위한 이하의 동작들을 수행하도록 하는 컴퓨터 프로그램 동작들의 대안적인 실시예에서, 상기 네트워크 패킷 세트를 이용하여 엔트로피 값을 연산하는 동작은, 상기 하나 이상의 네트워크 패킷에 기초하여 네트워크 패킷 경로와 관련된 정보를 추출하는 동작; 및 상기 네트워크 패킷 경로와 관련된 정보를 이용하여 상기 엔트로피 값을 연산하는 동작을 포함할 수 있다.
네트워크 어노말리 탐지 방법을 제공하기 위한 이하의 동작들을 수행하도록 하는 컴퓨터 프로그램 동작들의 대안적인 실시예에서, 상기 네트워크 패킷 경로와 관련된 정보는 네트워크 패킷의 플로우 헤더에 포함된 소스 및 데스티네이션 중 적어도 하나와 관련된 정보를 포함할 수 있다.
네트워크 어노말리 탐지 방법을 제공하기 위한 이하의 동작들을 수행하도록 하는 컴퓨터 프로그램 동작들의 대안적인 실시예에서, 상기 엔트로피 값을 이용하여 상기 네트워크 패킷 세트에 관한 1차 어노말리 여부를 판단하는 동작은, 상기 엔트로피 값과 사전 결정된 1차 어노말리 임계 값을 비교하여 상기 1차 어노말리 여부를 판단하는 동작을 포함하고, 그리고 상기 1차 어노말리 임계 값은 정상 네트워크 패킷 세트들 중 사전 결정된 비율 이상의 정상 네트워크 패킷 세트들이 엔트로피 값에 의해 1차적으로 어노말리로 판단될 수 있도록 결정된 것일 수 있다.
네트워크 어노말리 탐지 방법을 제공하기 위한 이하의 동작들을 수행하도록 하는 컴퓨터 프로그램 동작들의 대안적인 실시예에서, 상기 1차 어노말리 여부의 판단에 기초하여 상기 네트워크 패킷 세트를 이용하여 하나 이상의 네트워크 함수를 포함하는 어노말리 모델을 연산하는 동작은, 상기 하나 이상의 네트워크 패킷의 흐름을 나타내는 플로우 데이터로 변환하는 동작; 및 상기 플로우 데이터를 상기 어노말리 모델의 입력으로 하여 연산하는 동작을 포함할 수 있다.
네트워크 어노말리 탐지 방법을 제공하기 위한 이하의 동작들을 수행하도록 하는 컴퓨터 프로그램 동작들의 대안적인 실시예에서, 상기 플로우 데이터는 상기 하나 이상의 네트워크 패킷의 크기, 길이, 개수 또는 이동 방향 중 적어도 하나를 이용하여 연산 된 것일 수 있다.
네트워크 어노말리 탐지 방법을 제공하기 위한 이하의 동작들을 수행하도록 하는 컴퓨터 프로그램 동작들의 대안적인 실시예에서, 상기 어노말리 모델은 하나 이상의 차원 축소 레이어 및 하나 이상의 차원 확장 레이어를 포함하고, 그리고 정상 네트워크 패킷 세트들을 이용하여 학습된 것일 수 있다.
네트워크 어노말리 탐지 방법을 제공하기 위한 이하의 동작들을 수행하도록 하는 컴퓨터 프로그램 동작들의 대안적인 실시예에서, 상기 어노말리 모델의 출력을 이용하여 상기 네트워크 패킷 세트에 관한 2차 어노말리 여부를 판단하는 동작은, 상기 어노말리 모델의 입력과 출력 간 오차 값과 사전 결정된 2차 어노말리 임계 값을 비교하여 상기 2차 어노말리 여부를 판단하는 동작을 포함할 수 있다.
네트워크 어노말리 탐지 방법을 제공하기 위한 이하의 동작들을 수행하도록 하는 컴퓨터 프로그램 동작들의 대안적인 실시예에서, 상기 2차 어노말리 임계 값은 정상 네트워크 패킷 세트들을 학습이 완료된 상기 어노말리 모델을 이용하여 연산하고, 상기 정상 네트워크 패킷 세트들 각각에 대한 상기 어노말리 모델의 입력과 출력 간의 오차 값들을 이용하여, 어노말리를 포함하지 않는 네트워크 패킷 세트를 상기 2차 어노말리 임계 값을 기준으로 하여 판별할 수 있도록 결정된 것일 수 있다.
네트워크 어노말리 탐지 방법을 제공하기 위한 이하의 동작들을 수행하도록 하는 컴퓨터 프로그램 동작들의 대안적인 실시예에서, 상기 2차 어노말리 여부에 따른 어노말리 판단의 정확도를 연산하는 동작; 및 상기 어노말리 판단의 정확도가 사전 결정된 임계 값 이하로 판단되는 경우, 상기 1차 어노말리 여부의 판단의 기초가 되는 1차 어노말리 임계 값 또는 상기 2차 어노말리 여부의 판단의 기초가 되는 2차 어노말리 임계 값 중 적어도 하나를 조정하는 동작을 더 포함할 수 있다.
네트워크 어노말리 탐지 방법을 제공하기 위한 이하의 동작들을 수행하도록 하는 컴퓨터 프로그램 동작들의 대안적인 실시예에서, 상기 네트워크 패킷 세트와 사전 저장된 어노말리 유형을 비교하여 상기 네트워크 패킷 세트에 관한 어노말리 여부를 판단하는 동작을 더 포함할 수 있다.
전술한 바와 같은 과제를 실현하기 위한 본 개시의 일 실시예에 따라 네트워크 어노말리 탐지를 위한 방법으로서, 하나 이상의 네트워크 패킷을 포함하는 네트워크 패킷 세트를 수신하는 단계; 상기 네트워크 패킷 세트를 이용하여 엔트로피 값을 연산하는 단계; 상기 엔트로피 값을 이용하여 상기 네트워크 패킷 세트에 관한 1차 어노말리 여부를 판단하는 단계; 상기 1차 어노말리 여부의 판단에 기초하여 하나 이상의 네트워크 함수를 포함하는 어노말리 모델을 이용하여 상기 네트워크 패킷 세트를 연산하는 단계; 및 상기 어노말리 모델의 출력을 이용하여 상기 네트워크 패킷 세트에 관한 2차 어노말리 여부를 판단하는 단계를 포함할 수 있다.
전술한 바와 같은 과제를 실현하기 위한 본 개시의 일 실시예에 따라 네트워크 어노말리 탐지를 위한 서버로서, 하나 이상의 코어를 포함하는 프로세서; 및 메모리를 포함하고, 상기 프로세서는, 하나 이상의 네트워크 패킷을 포함하는 네트워크 패킷 세트를 수신하고, 상기 네트워크 패킷 세트를 이용하여 엔트로피 값을 연산하고, 상기 엔트로피 값을 이용하여 상기 네트워크 패킷 세트에 관한 1차 어노말리 여부를 판단하고, 상기 1차 어노말리 여부의 판단에 기초하여 하나 이상의 네트워크 함수를 포함하는 어노말리 모델을 이용하여 상기 네트워크 패킷 세트를 연산하고, 그리고 상기 어노말리 모델의 출력을 이용하여 상기 네트워크 패킷 세트에 관한 2차 어노말리 여부를 판단할 수 있다.
본 개시는 네트워크 어노말리 탐지 방법을 제공할 수 있다.
도 1은 본 개시의 일 실시예에 따라 경우 네트워크 어노말리 탐지를 위한 동작을 수행하는 컴퓨팅 장치의 블록 구성도를 도시한 도면이다.
도 2는 본 개시의 일 실시예에 따른 어노말리 모델을 예시적으로 도시한 도면이다.
도 3은 본 개시의 일 실시예에 따른 경우 네트워크 어노말리 탐지 방법의 순서도이다.
도 4는 본 개시의 일 실시예에 따른 컴퓨팅 장치의 블록 구성도이다.
다양한 실시예들이 이제 도면을 참조하여 설명된다. 본 명세서에서, 다양한 설명들이 본 개시의 이해를 제공하기 위해서 제시된다. 그러나, 이러한 실시예들은 이러한 구체적인 설명 없이도 실행될 수 있음이 명백하다.
본 명세서에서 사용되는 용어 "컴포넌트", "모듈", "시스템" 등은 컴퓨터-관련 엔티티, 하드웨어, 펌웨어, 소프트웨어, 소프트웨어 및 하드웨어의 조합, 또는 소프트웨어의 실행을 지칭한다. 예를 들어, 컴포넌트는 프로세서상에서 실행되는 처리과정(procedure), 프로세서, 객체, 실행 스레드, 프로그램, 및/또는 컴퓨터일 수 있지만, 이들로 제한되는 것은 아니다. 예를 들어, 컴퓨팅 장치에서 실행되는 애플리케이션 및 컴퓨팅 장치 모두 컴포넌트일 수 있다. 하나 이상의 컴포넌트는 프로세서 및/또는 실행 스레드 내에 상주할 수 있다. 일 컴포넌트는 하나의 컴퓨터 내에 로컬화 될 수 있다. 일 컴포넌트는 2개 이상의 컴퓨터들 사이에 분배될 수 있다. 또한, 이러한 컴포넌트들은 그 내부에 저장된 다양한 데이터 구조들을 갖는 다양한 컴퓨터 판독가능한 매체로부터 실행할 수 있다. 컴포넌트들은 예를 들어 하나 이상의 데이터 패킷들을 갖는 신호(예를 들면, 로컬 시스템, 분산 시스템에서 다른 컴포넌트와 상호작용하는 하나의 컴포넌트로부터의 데이터 및/또는 신호를 통해 다른 시스템과 인터넷과 같은 네트워크를 통해 전송되는 데이터)에 따라 로컬 및/또는 원격 처리들을 통해 통신할 수 있다.
더불어, 용어 "또는"은 배타적 "또는"이 아니라 내포적 "또는"을 의미하는 것으로 의도된다. 즉, 달리 특정되지 않거나 문맥상 명확하지 않은 경우에, "X는 A 또는 B를 이용한다"는 자연적인 내포적 치환 중 하나를 의미하는 것으로 의도된다. 즉, X가 A를 이용하거나; X가 B를 이용하거나; 또는 X가 A 및 B 모두를 이용하는 경우, "X는 A 또는 B를 이용한다"가 이들 경우들 어느 것으로도 적용될 수 있다. 또한, 본 명세서에 사용된 "및/또는"이라는 용어는 열거된 관련 아이템들 중 하나 이상의 아이템의 가능한 모든 조합을 지칭하고 포함하는 것으로 이해되어야 한다.
또한, "포함한다" 및/또는 "포함하는"이라는 용어는, 해당 특징 및/또는 구성요소가 존재함을 의미하는 것으로 이해되어야 한다. 다만, "포함한다" 및/또는 "포함하는"이라는 용어는, 하나 이상의 다른 특징, 구성요소 및/또는 이들의 그룹의 존재 또는 추가를 배제하지 않는 것으로 이해되어야 한다. 또한, 달리 특정되지 않거나 단수 형태를 지시하는 것으로 문맥상 명확하지 않은 경우에, 본 명세서와 청구범위에서 단수는 일반적으로 "하나 또는 그 이상"을 의미하는 것으로 해석되어야 한다.
또한, "이상" 및/또는 "미만"은, "초과" 및/또는 "이하"로 해석될 수 있으며, 그 반대의 해석도 가능할 수 있다.
당업자들은 추가적으로 여기서 개시된 실시예들과 관련되어 설명된 다양한 예시 적 논리적 블록들, 구성들, 모듈들, 회로들, 수단들, 로직들, 및 알고리즘 단계들이 전자 하드웨어, 컴퓨터 소프트웨어, 또는 양쪽 모두의 조합들로 구현될 수 있음을 인식해야 한다. 하드웨어 및 소프트웨어의 상호교환성을 명백하게 예시하기 위해, 다양한 예시 적 컴포넌트들, 블록들, 구성들, 수단들, 로직들, 모듈들, 회로들, 및 단계들은 그들의 기능성 측면에서 일반적으로 위에서 설명되었다. 그러한 기능성이 하드웨어로 또는 소프트웨어로서 구현되는지 여부는 전반적인 시스템에 부과된 특정 어플리케이션(application) 및 설계 제한들에 달려 있다. 숙련된 기술자들은 각각의 특정 어플리케이션들을 위해 다양한 방법들로 설명된 기능성을 구현할 수 있다. 다만, 그러한 구현의 결정들이 본 개시내용의 영역을 벗어나게 하는 것으로 해석되어서는 안된다.
제시된 실시예들에 대한 설명은 본 개시의 기술 분야에서 통상의 지식을 가진 자가 본 발명을 이용하거나 또는 실시할 수 있도록 제공된다. 이러한 실시예들에 대한 다양한 변형들은 본 개시의 기술 분야에서 통상의 지식을 가진 자에게 명백할 것이다. 여기에 정의된 일반적인 원리들은 본 개시의 범위를 벗어남이 없이 다른 실시예들에 적용될 수 있다. 그리하여, 본 발명은 여기에 제시된 실시예들로 한정되는 것이 아니다. 본 발명은 여기에 제시된 원리들 및 신규한 특징들과 일관되는 최광의의 범위에서 해석되어야 할 것이다.
본 개시의 일 실시예에서 서버는 서버의 서버 환경을 수행하기 위한 다른 구성들이 포함될 수도 있다. 서버는 임의의 형태의 장치는 모두 포함할 수 있다. 서버는 디지털 기기로서, 랩탑 컴퓨터, 노트북 컴퓨터, 데스크톱 컴퓨터, 웹 패드, 이동 전화기와 같이 프로세서를 탑재하고 메모리를 구비한 연산 능력을 갖춘 디지털 기기일 수 있다. 서버는 서비스를 처리하는 웹 서버일 수 있다. 전술한 서버의 종류는 예시일 뿐이며 본 개시는 이에 제한되지 않는다.
도 1은 본 개시의 일 실시예에 따라 경우 네트워크 어노말리 탐지를 위한 동작을 수행하는 컴퓨팅 장치의 블록 구성도를 도시한 도면이다.
본 개시의 일 실시예에 따른 네트워크 어노말리 탐지를 위한 동작을 수행하는 컴퓨팅 장치(100)는 네트워크부(110), 프로세서(120) 및 메모리(130)를 포함할 수 있다.
프로세서(120)는 하나 이상의 네트워크 패킷을 포함하는 네트워크 패킷 세트를 수신할 수 있다. 네트워크 패킷은 컴퓨팅 장치가 전달하는 데이터의 형식화된 블록일 수 있다. 네트워크 패킷은 헤더 및 페이로드를 포함할 수 있다. 네트워크 패킷의 헤더는 패킷의 경로와 관련된 정보를 포함할 수 있다. 패킷의 경로와 관련된 정보는 소스 및 데스티네이션(destination)과 관련된 정보일 수 있다. 예를 들어, 네트워크 패킷의 헤더는 소스 IP(internet protocal) 주소, 소스 포트, 데스티네이션 IP 주소, 데스티네이션 포트 등에 관한 정보를 포함할 수 있다.
하나 이상의 네트워크 패킷은 사전 결정된 기준에 따라 데이터 센터에서 클라우드 서버로 미러링(mirroring) 된 패킷일 수 있다.
네트워크 패킷들을 미러링 하기 위한 사전 결정된 기준은 네트워크 패킷의 양 또는 종류 중 적어도 하나에 기초한 기준일 수 있다. 예를 들어, 사전 결정된 개수 이상의 네트워크 패킷들이 데이터 센터에 수신된 경우, 네트워크 스위치 또는 라우터는 사전 결정된 개수의 네트워크 패킷들을 클라우드 서버로 전송할 수 있다. 또는, 사전 결정된 네트워크 패킷의 종류에 속하는 네트워크 패킷들에 대해서만 네트워크 스위치 또는 라우터가 해당 네트워크 패킷을 미러링 한 네트워크 패킷들을 클라우드 서버로 전송할 수도 있다. 전술한 네트워크 패킷 전송에 관한 구체적인 기재는 예시일 뿐이며 본 개시는 이에 제한되지 않는다.
데이터 센터는 컴퓨터 시스템과 통신장비, 저장 장치인 스토리지 등이 설치된 시설일 수 있다. 데이터 센터는 기업에서 IT 제공에 필요한 장비들을 모아 놓고 관리하는 시설일 수 있다. 데이터 센터의 네트워크 스위치 또는 라우터 중 적어도 하나에서 데이터 센터에 송수신되거나 또는 이동하는 네트워크 패킷들을 실시간으로 미러링하여 클라우드 서버에 전송할 수 있다.
클라우드 서버는 애플리케이션 및 정보 처리 스토리지로써 사용되는 물리적 또는 가상 인프라 스트럭처일 수 있다. 본 개시의 일 실시예에 따른 컴퓨팅 장치(100)는 클라우드 서버이거나 또는 클라우드 서버에 포함된 컴퓨팅 장치일 수 있다. 다만, 이는 예시일 뿐이며 컴퓨팅 장치(100)는 데이터 센터에서 동작하는 컴퓨팅 장치이거나 또는 데이터 센터 외부에 위치한 별도의 컴퓨팅 장치일 수도 있다. 기업이 운영하는 데이터 센터의 규모가 점점 더 커지고 있고 복잡해지고 있다. 따라서, 클라우드 서버를 이용하여 데이터 센터의 네트워크들에 대한 어노말리를 판단함으로써, 데이터 센터의 서비스에 영향을 주지 않으면서(즉, 병목 현상 없이), 실시간으로 어노말리를 판단할 수 있다.
프로세서(120)는 하나 이상의 네트워크 패킷을 이용하여 네트워크 패킷들에 어노말리가 포함되어 있는지에 관하여 연산을 수행할 수 있다. 프로세서(120)는 데이터 센터로부터 미러링 된 하나 이상의 네트워크 패킷에 대한 어노말리 여부를 판단할 수 있다.
프로세서(120)는 본 개시의 실시예들에 따라 하나 이상의 네트워크 패킷에 어노말리가 포함되었는지 여부를 결정할 수 있다. 프로세서(120)는 본 개시의 실시예들의 두가지 방법 중 하나의 방법으로 하나 이상의 네트워크 패킷에 어노말리가 포함되었는지 여부를 결정할 수 있다. 또는, 프로세서(120)는 두가지 방법을 병렬적으로 이용하여 하나 이상의 네트워크 패킷에 어노말리가 포함되었는지 여부를 결정할 수 있다. 프로세서(120)는 두가지 방법 중 적어도 하나의 방법에 따라 하나 이상의 네트워크 패킷에 어노말리가 포함된 것으로 결정되는 경우, 하나 이상의 네트워크 패킷에 어노말리가 포함된 것으로 알림을 생성할 수 있다. 또는, 프로세서(120)는 두가지 방법 모두에 의해 하나 이상의 네트워크 패킷에 어노말리가 포함된 것으로 결정되는 경우에만, 하나 이상의 네트워크 패킷에 어노말리가 포함된 것으로 알림을 생성할 수 있다. 본 개시의 일 실시예에 따른 어노말리 판단 방법은 두가지의 어노말리 판단 방법을 병렬적으로 수행함으로써, 어노말리 네트워크(즉, 네트워크 침입)에 대한 잘못된 알림(false alarm)을 줄일 수 있다. 전술한 어노말리 여부를 결정하는 구체적인 방법은 예시일 뿐이며 본 개시는 이에 제한되지 않는다.
본 개시의 어노말리 판단은, 네트워크가 정상인지를 판단하는 것일 수도 있고, 또는 네트워크가 어노말리인지를 판단하는 것일 수도 있다.
이하에서는 정상 데이터를 이용하여 어노말리인 네트워크를 탐지하는 방법에 관하여 설명한다.
정상 데이터를 이용하여 어노말리 네트워크를 탐지하기 위하여 프로세서(120)는 정상 데이터를 이용하여 1차 어노말리 판단을 위한 기준인 1차 어노말리 임계 값을 결정할 수 있고, 그리고 정상 데이터를 이용하여 2차 어노말리 판단을 위한 기준인 2차 어노말리 임계 값을 결정할 수 있다. 프로세서(120)는 정상 데이터를 이용하여 결정된 1차 어노말리 임계 값 또는 2차 어노말리 임계 값 중 적어도 하나를 만족하지 않는 하나 이상의 네트워크 패킷은 정상 데이터가 아닌 어노말리 데이터, 즉, 어노말리 네트워크로 결정할 수 있다.
정상 데이터는 정상적인 네트워크 패킷, 또는 정상적인 네트워크 흐름을 의미할 수 있다. 즉, 정상 데이터는 어노말리 데이터를 포함하지 않는 데이터일 수 있다. 예를 들어, 정상 데이터는 네트워크 침입이 없는 정상적인 흐름의 네트워크일 수 있다.
어노말리 데이터는 정상적이지 않은 네트워크 패킷, 또는 정상적이지 않은 네트워크 흐름을 의미할 수 있다. 예를 들어, 어노말리 데이터는 네트워크 침입이 있거나, 오류가 발생한 경우의 네트워크 흐름일 수 있다. 전술한 어노말리에 관한 구체적인 기재는 예시일 뿐이며 본 개시는 이에 제한되지 않는다.
이하에서는 네트워크에 대한 1차 어노말리 판단 방법에 관하여 설명한다.
프로세서(120)는 1차 어노말리 판단을 위하여 네트워크 패킷 세트를 이용하여 엔트로피 값을 연산할 수 있다.
네트워크 패킷 세트는 하나 이상의 네트워크 패킷을 포함할 수 있다. 예를 들어, 네트워크 패킷 세트는 사전 결정된 개수의 네트워크 패킷을 포함할 수 있다. 네트워크 패킷 세트는 어노말리 판단 대상이 되는 하나 이상의 네트워크 패킷들의 집합일 수 있다.
본 개시의 일 실시예에 따라 프로세서(120)는 하나 이상의 네트워크 패킷에 기초하여 네트워크 패킷 경로와 관련된 정보를 추출할 수 있다. 네트워크 패킷 경로와 관련된 정보는 네트워크 패킷의 플로우 헤더에 포함된 소스 및 데스티네이션 중 적어도 하나와 관련된 정보를 포함할 수 있다. 예를 들어, 네트워크 패킷 경로와 관련된 정보는 플로우 헤더에 포함된 항목들인 소스 IP(Internet Protocol) 주소, 소스 포트, 데스티네이션 IP 주소, 데스티네이션 포트에 관한 정보일 수 있다. 전술한 네트워크 패킷 경로에 관한 구체적인 기재는 예시일 뿐이며 본 개시는 이에 제한되지 않는다.
본 개시의 일 실시예에 따라 프로세서(120)는 미러링된 네트워크 패킷들을 플로우 데이터로 변환할 수 있다. 플로우 데이터는 네트워크 흐름에 대한 양상을 나타내는 통계 값일 수 있다. 플로우 데이터는 네트워크 패킷 세트에 포함된 하나 이상의 네트워크 패킷들에 대한 통계 값일 수 있다. 플로우 데이터는 하나 이상의 네트워크 패킷의 크기, 길이, 개수 또는 이동 방향 중 적어도 하나를 이용하여 연산 된 데이터일 수 있다. 예를 들어, 플로우 데이터는 하나 이상의 네트워크 패킷들 중 포워드(forward) 방향의 네트워크 패킷들의 총 길이, 포워드 방향의 네트워크 패킷들의 전체 개수, 백워드(backward) 방향의 네트워크 패킷들의 총 길이, 백워드 방향의 네트워크 패킷들의 전체 개수, 네트워크 패킷들의 평균 사이드 등을 포함할 수 있다. 본 개시에서 포워드 방향은 소스에서 데스티네이션으로 이동하는 네트워크 패킷들의 방향일 수 있고, 백워드 방향은 데스티네이션에서 소스로 이동하는 네트워크 패킷들의 방향일 수도 있고, 또는 그 반대일 수도 있다. 프로세서(120)는 플로우 데이터의 플로우 헤더에 관한 정보를 추출할 수 있다. 프로세서(120)는 플로우 데이터에 대응되는 네트워크 패킷들에 대한 플로우 헤더의 정보를 추출할 수 있다. 프로세서(120)는 전술한 바와 같이 플로우 헤더의 네트워크 패킷 경로와 관련된 정보를 추출할 수 있다. 전술한 플로우 데이터 및 플로우 헤더에 관한 구체적인 기재는 예시일 뿐이며 본 개시는 이에 제한되지 않는다.
프로세서(120)는 네트워크 패킷 경로와 관련된 정보를 이용하여 엔트로피 값을 연산할 수 있다. 정보 엔트로피는 네트워크 패킷 세트에 포함된 정보의 기대 값일 수 있다. 네트워크 패킷 세트에 대한 불확실성이 작을수록 엔트로피 값이 작을 수 있고, 그리고 네트워크 패킷 세트에 대한 불확실성이 높을수록 엔트로피 값이 높을 수 있다.
프로세서(120)는 윈도우 단위로 엔트로피 값을 연산할 수 있다. 윈도우는 네트워크 패킷을 그룹핑하는 단위일 수 있다. 예를 들어, 윈도우는 타임 윈도우 또는 플로우 윈도우일 수 있다. 타임 윈도우는 프로세서(120)가 수신하는 네트워크 패킷을 시간 단위로 그룹핑하기 위한 단위일 수 있다. 예를 들어, 타임 윈도우의 크기가 5초에 대응될 수 있다. 프로세서(120)는 실시간으로 수신되는 하나 이상의 네트워크 패킷들을 5초 단위로 그룹핑하여 엔트로피 값을 연산할 수 있다. 플로우 윈도우는 프로세서(120)가 수신하는 네트워크 패킷을 사전 결정된 개수로 그룹핑하기 위한 단위일 수 있다. 예를 들어, 플로우 윈도우의 크기가 5일 수 있다. 프로세서(120)는 실시간으로 수신되는 하나 이상의 네트워크 패킷들을 5개로 단위로 그룹핑하여 엔트로피 값을 연산할 수 있다. 프로세서(120)는 윈도우에 포함된 네트워크 패킷들에 대한 네트워크 패킷 경로와 관련된 정보를 이용하여 엔트로피 값을 연산할 수 있다. 윈도우는 네트워크 패킷 세트와 동일한 단위일 수도 있고, 또는 네트워크 패킷 세트와 상이한 단위일 수도 있다. 예를 들어, 네트워크 패킷 세트에 포함된 하나 이상의 네트워크 패킷들은 하나의 윈도우 단위로 그룹핑될 수도 있고, 또는 복수의 윈도우 단위로 그룹핑될 수도 있다.
프로세서(120)는 네트워크 패킷 경로와 관련된 정보인 플로우 헤더에 포함된 항목들을 이용하여 엔트로피 값을 연산할 수 있다. 프로세서(120)는 플로우 헤더에 포함된 복수의 항목들 중 적어도 일부의 항목을 이용하여 엔트로피 값을 연산할 수 있다. 예를 들어, 엔트로피 값 H는
Figure pat00001
로 연산 될 수 있다. 엔트로피 값 H를 연산하기 위한 n은 윈도우에 나타난 사건의 개수일 수 있다. 엔트로피 값 H를 연산하기 위한
Figure pat00002
는 사건이 나타날 확률을 나타낼 수 있다. 전술한 엔트로피 값 H는 예시일 뿐이며 본 개시는 이에 제한되지 않는다.
예를 들어, 프로세서(120)는 플로우 헤더에 포함된 데스티네이션 포트를 이용하여 엔트로피 값을 연산할 수 있다. 프로세서(120)는 네트워크 패킷 세트의 플로우 헤더들 각각에 포함된 데스티네이션 포트 정보를 이용하여, 데스티네이션 포트들 각각과 관련된 네트워크 패킷의 수를 계수할 수 있다. 프로세서(120)는 네트워크 패킷 세트들에 포함된 하나 이상의 네트워크 패킷이 데스티네이션 포트들 각각을 데스티네이션으로 하는 확률을 연산할 수 있다. 예를 들어, 데스티네이션 포트 A를 데스티네이션으로 하는 네트워크 패킷은 네트워크 패킷 세트 중 0.4%일 수 있다. 프로세서(120)는 데스티네이션 포트들 각각에 관한 확률을 이용하여 엔트로피 값을 연산할 수 있다. 예를 들어, 엔트로피 값을 연산하기 위한 수식(
Figure pat00003
)에서 n은 사건의 개수, 즉, 네트워크 패킷 세트에 포함된 데스티네이션 포트들의 개수,
Figure pat00004
는 데스티네이션 포트들 각각에 대한 확률일 수 있다. 전술한 엔트로피 값의 연산에 관한 구체적인 기재는 예시일 뿐이며 본 개시는 이에 제한되지 않는다.
네트워크의 침입의 종류에 따라 관련된 플로우 헤더의 항목이 상이할 수 있다. 프로세서(120)는 감지하고자 하는 네트워크 침입의 종류에 따라 상이한 플로우 헤더의 항목에 관한 값들을 연산하여, 엔트로피 값을 연산할 수 있다. 예를 들어, 일반적인 DDoS(Distributed denial of service) 공격의 경우, 공격이 특정 포트에 집중되는 경향이 나타날 수 있다. 따라서, DDoS 공격 시, 데스티네이션 포트들에 대한 엔트로피가 낮아질 수 있다. 프로세서(120)는 DDoS 공격을 감지하기 위하여 플로우 헤더에 포함된 항목들 중 데스티네이션 포트에 관한 정보를 확인하여 엔트로피 값을 연산하고, 1차 어노말리 여부를 결정할 수 있다. 전술한 네트워크 침입에 관한 구체적인 기재는 예시일 뿐이며 본 개시는 이에 제한되지 않는다.
프로세서(120)는 연산 된 엔트로피 값을 정규화 할 수 있다. 프로세서(120)는 연산 된 엔트로피 값을 사건의 개수를 이용하여 정규화 할 수 있다. 예를 들어, (엔트로피 값 H)/(
Figure pat00005
) 연산을 통해 엔트로피 값을 정규화 할 수 있다. (
Figure pat00006
, n은 사건의 개수) 전술한 예시에서 엔트로피 값을 정규화 하기 위하여 데스티네이션 포트들의 개수를 n 값으로 하여 엔트로피 값을 정규화 할 수 있다. 전술한 엔트로피 값의 정규화에 관한 구체적인 기재는 예시일 뿐이며 본 개시는 이에 제한되지 않는다.
프로세서(120)는 엔트로피 값을 이용하여 네트워크 패킷 세트에 관한 1차 어노말리 여부를 판단할 수 있다. 또는, 프로세서(120)는 정규화된 엔트로피 값을 이용하여 네트워크 패킷 세트에 관한 1차 어노말리 여부를 판단할 수 있다. 전술한 바와 같이, 1차 어노말리 여부의 판단은 정상 데이터인지 여부를 판단하는 것일 수 있다. 1차 어노말리 판단은 네트워크 패킷 세트에 대한 정상 판단일 수 있다. 1차 어노말리 여부에 대한 검출을 통해 프로세서(120)는 네트워크 패킷 세트들을 정상 네트워크 패킷 세트와 비정상인 것으로 의심되는 네트워크 패킷 세트로 구분할 수 있다. 프로세서(120)는 1차 어노말리 여부에 대한 검출을 통해 비정상인 것으로 의심되는 네트워크 패킷 세트를 어노말리 모델을 이용하여 연산할 수 있다.
프로세서(120)는 엔트로피 값과 사전 결정된 1차 어노말리 임계 값을 비교하여 1차 어노말리 여부를 판단할 수 있다. 1차 어노말리 임계 값은 정상 네트워크 패킷 세트들 중 사전 결정된 비율 이상의 정상 네트워크 패킷 세트들이 엔트로피 값에 의해 1차적으로 어노말리로 판단될 수 있도록 결정된 값일 수 있다.
프로세서(120)는 1차 어노말리 임계 값을 설정하기 위하여, 복수의 정상 네트워크 패킷 세트들 각각에 대한 어노말리 값을 연산할 수 있다. 예를 들어, 복수의 정상 네트워크 패킷 세트들 각각에 대한 엔트로피 값이 '0.3, 0.3, 0.4, 0.3, 0.5, 0.6, 0.2, 0.3' 이고, 감지하기 위한 네트워크 침입 유형이 DDoS이어서 엔트로피 값이 낮을 경우 침입으로 판단하는 경우이고, 그리고 50% 미만의 정상 네트워크 패킷 세트들이 1차 어노말리 판단에서 정상인 것으로 판단될 수 있도록 하기 위하여, 임계 값을 '0.4'로 결정할 수 있다. 예를 들어, 정상 네트워크 패킷 세트들의 엔트로피 값을 연산하는 경우, 1차 어노말리 임계 값에 의해 50% 미만의 네트워크 패킷 세트들 만이 정상으로 결정될 수 있고, 그리고 나머지 50% 이상의 네트워크 패킷 세트들은 2차 어노말리 판단 방법에 의하여 다시 어노말리 여부의 판단이 수행될 수 있다. 즉, 나머지 50% 이상의 네트워크 패킷 세트들에 대해서는 1차 어노말리 판단에서 어노말리에 대한 판단을 보류하여, 2차 어노말리 판단 방법에 의해 어노말리 여부가 최종적으로 결정되도록 할 수 있다. 1차 어노말리 판단 방법인 엔트로피 연산에 의해 네트워크의 전반적인 공격 경향성만을 판단하도록 하기 위하여, 정상 네트워크 패킷 세트들 중 사전 결정된 비율 미만의 정상 네트워크 패킷 세트들만 1차 어노말리 임계 값에 의해 정상으로 판단되도록 할 수 있다. 프로세서(120)는 1차 어노말리 임계 값과 엔트로피 값을 비교하여 1차 어노말리 임계 값을 만족하지 못하는 네트워크 패킷 세트들은 2차 어노말리 판단 방법에 의해 판단되도록 할 수 있다. 전술한 1차 어노말리 임계 값 설정에 관한 구체적인 기재는 예시일 뿐이며 본 개시는 이에 제한되지 않는다.
프로세서(120)는 감지하고자 하는 어노말리 유형에 따라서 1차 어노말리 임계 값 이상의 정보 엔트로피 값을 가지는 네트워크 패킷 세트를 정상인 것으로 결정할 수도 있고, 또는 1차 어노말리 임계 값 미만의 정보 엔트로피 값을 가지는 네트워크 패킷 세트를 정상인 것으로 결정할 수도 있다. 예를 들어, DDoS 공격 감지의 경우 1차 어노말리 임계 값 이상의 정보 엔트로피 값을 가지는 네트워크 패킷 세트는 DDoS 공격이 없는 정상 네트워크로 판단할 수 있고, 그리고 1차 어노말리 임계 값 미만의 정보 엔트로피 값을 가지는 네트워크 패킷 세트는 2차 어노말리 판단 방법에 의해 다시 연산해야 할 것으로 결정할 수 있다. 프로세서(120)는 감지하고자 하는 어노말리 유형에 따라서 1차 어노말리 임계 값 이상의 정보 엔트로피 값을 가지는 네트워크 패킷 세트 또는 1차 어노말리 임계 값 미만의 정보 엔트로피 값을 가지는 네트워크 패킷 세트를 2차 어노말리 판단 방법에 의해 연산할 것으로 결정할 수 있다. 전술한 어노말리 판단 방법에 관한 구체적인 기재는 예시일 뿐이며 본 개시는 이에 제한되지 않는다.
이하에서는 네트워크에 대한 2차 어노말리 판단 방법에 관하여 설명한다.
프로세서(120)는 1차 어노말리 여부의 판단에 기초하여 하나 이상의 네트워크 함수를 포함하는 어노말리 모델을 이용하여 네트워크 패킷 세트를 연산할 수 있다. 프로세서(120)는 1차 어노말리 여부의 판단에서 정상 네트워크로 결정된 네트워크 패킷 세트를 제외한 나머지 네트워크 패킷 세트를 어노말리 모델을 이용하여 연산할 수 있다. 프로세서(120)는 1차 어노말리 판단에서 비정상인 것으로 의심되는 네트워크 패킷 세트를 어노말리 모델을 이용하여 연산할 수 있다. 프로세서(120)는 어노말리 모델의 출력을 이용하여 네트워크 패킷 세트에 관한 2차 어노말리 여부를 판단할 수 있다. 2차 어노말리 판단에 사용되는 네트워크 패킷 세트에 포함된 네트워크 패킷의 수는 1 차 어노말리 판단에 사용되는 네트워크 패킷 세트에 포함된 네트워크 패킷의 수와 같거나 상이할 수 있다. 2차 어노말리 판단은 네트워크 패킷 세트에 대한 비정상 판단일 수 있다.
프로세서(120)는 하나 이상의 네트워크 패킷을 네트워크의 흐름을 양상을 나타내는 플로우 데이터로 변환할 수 있다. 전술한 바와 같이, 플로우 데이터는 하나 이상의 네트워크 패킷의 크기, 길이, 개수 또는 이동 방향 중 적어도 하나를 이용하여 연산 된 데이터일 수 있다.
프로세서(120)는 플로우 데이터를 어노말리 모델의 입력으로 하여 연산할 수 있다. 프로세서(120)는 플로우 데이터에 포함된 항목들 각각을 어노말리 모델의 입력 레이어에 포함된 입력 노드들 각각에 대한 입력으로 하여 연산할 수 있다. 예를 들어, 플로우 데이터는 백워드 패킷의 총 길이, 백워드 패킷의 총 개수, 포워드 패킷들의 총 IAT(inter-arrival time, 도착 간격 시간), 포워드 패킷의 총 길이, 평균 패킷 사이즈에 대한 5개의 항목을 포함할 수 있다. 프로세서(120)는 플로우 데이터의 5개의 항목 값들을 입력 레이어에 포함된 제 1 입력 노드부터 제 5 입력 노드까지 각각에 대한 입력으로 하여 연산할 수 있다. 전술한 플로우 데이터에 관한 구체적인 기재는 예시일 뿐이며 본 개시는 이에 제한되지 않는다.
어노말리 모델은 하나 이상의 차원 축소 레이어 및 하나 이상의 차원 확장 레이어를 포함할 수 있다. 어노말리 모델은 예를 들어, 오토인코더(auto encoder)일 수 있다. 어노말리 모델은 예를 들어, 바닐라(vanilla) 오토인코더, 컨벌루셔널(convolutional) 오토인코더 등일 수 있으나, 본 개시는 이에 제한되지 않는다.
오토인코더(400)는 하나의 입력 레이어(410), 출력 레이어(450) 및 적어도 하나의 히든 레이어들을 포함하여 구성될 수 있다. 오토인코더(400)의 입력 레이어를 구성하는 노드들의 개수 및 출력 레이어를 구성하는 노드들의 개수는 동일할 수 있다. 오토인코더는 신경망 네트워크의 정의에 부합하면서, 비교사학습(unsupervised learning)모델에 사용가능한 네트워크 함수일 수 있다. 다시 말해서, 오토인코더는 주어진 입력 레이어에 주어진 입력을 재구성(reconstruct)하기 위해 설계될 수 있다. 일 실시예에서, 오토인코더(400)를 구성하는 히든 레이어들을 구성하는 노드들의 개수는 입력 레이어 또는 출력 레이어를 구성하는 노드들의 개수 보다 적을 수 있다. 즉, 오토인코더(400)를 구성하는 네트워크 함수는 입력 노드의 집합의 노드 개수 보다 적거나 같은 개수의 노드로 구성된 노드의 집합을 포함할 수 있다.
오토인코더(400)는 신경망 네트워크의 정의를 만족하면서, 적어도 하나 이상의 히든 레이어들을 포함할 수 있다. 오토인코더(400)를 구성하는 레이어들의 부분 집합은 그 자체로 신경망 네트워크의 정의를 만족할 수 있다. 예를 들어, 오토인코더(400)의 입력 레이어(410), 히든 레이어(420 및 430)의 집합은 하나의 신경망 네트워크로서 인식될 수 있다. 이 경우, 상기 부분을 인코더(400A)로 지칭할 수 있다. 유사하게, 오토인코더(400)의 히든 레이어(430 및 440) 및 출력 레이어(450)의 집합은 하나의 신경망 네트워크로서 인식될 수 있다. 이 경우, 상기 부분을 디코더(400B)로 지칭할 수 있다. 도 2에 도시된 바와 같이, 인코더(400A)의 출력 레이어는 디코더(400B)의 입력 레이어일 수 있다
오토인코더(400)는 입력 레이어(410)에 입력되는 데이터를 인코더(400A)가 인코더(400A)의 히든 레이어(420)를 거쳐 엔코딩하고, 이 결과를 디코더(400B)의 히든 레이어(440)를 거쳐 디코딩하는 기능을 수행할 수 있다. 인코더(400A) 및 디코더(400B)는 하나 이상의 히든 레이어들을 각각 포함할 수 있다.
이하에서는 어노말리 모델의 학습 방법에 관하여 설명한다.
어노말리 모델은 정상 네트워크 패킷 세트들을 이용하여 학습된 모델일 수 있다. 프로세서(120)는 정상 네트워크 패킷 세트들을 포함하는 학습 데이터 세트를 생성할 수 있다. 프로세서(120)는 정상 네트워크 패킷 세트들 각각에 대한 플로우 데이터들을 포함하는 학습 데이터 세트를 생성할 수 있다. 본 개시의 일 실시예에 따라 플로우 데이터를 이미지화 하여 컨벌루셔널 오토인코더의 입력으로 하여 연산을 할 수도 있다. 프로세서(120)는 원-핫 벡터를 이용하여 플로우 데이터를 벡터화 하거나 또는 이미지화 할 수 있다. 전술한 플로우 데이터에 관한 구체적인 기재는 예시일 뿐이며 본 개시는 이에 제한되지 않는다.
프로세서(120)는 학습 데이터 세트에 포함된 플로우 데이터들 각각을 어노말리 모델을 이용하여 연산하여 출력 값을 획득할 수 있다. 프로세서(120)는 어노말리 모델의 출력과 어노말리 모델의 입력 간의 오차를 역전파할 수 있다. 프로세서(120)는 어노말리 모델의 출력 레이어에서 입력 레이어 방향으로 오차를 역전파 하여 역전파에 따라 각 레이어의 각 노드들의 연결 가중치를 업데이트할 수 있다. 오토인코더의 입력과 출력 간의 오차를 복원 오차라고 할 수 있다. 복원 오차는 입력과 출력 간의 유클리디안(Euclidian) 거리, 평균제곱오차(MSE, Mean Squared Error), 이진 크로스 엔트로피(BCE, Binary Cross Entropy) 등을 이용하여 연산할 수 있으나 이는 예시일 뿐이며 본 개시는 이에 제한되지 않는다.
정상 데이터로 학습이 완료된 어노말리 모델은 정상 데이터가 입력되면 정상적으로 복원할 수 있으나, 어노말리 데이터가 입력되면 정상적으로 복원하지 못할 수 있다. 본 개시의 어노말리 모델은 정상 네트워크 패킷에 대한 플로우 데이터들을 이용하여 학습되었으므로, 어노말리 네트워크 패킷에 대한 플로우 데이터들이 입력되었을 경우, 정상적으로 복원이 불가능 할 수도 있다.
프로세서(120)는 어노말리 모델의 입력과 출력 간 오차 값과 사전 결정된 2차 어노말리 임계 값을 비교하여 2차 어노말리 여부를 판단할 수 있다. 프로세서(120)는 어노말리 모델을 이용하여 연산한 복원 오차와 사전 결정된 2차 어노말리 임계 값을 비교하여 네트워크 패킷 세트에 어노말리가 포함되어 있는지 여부를 결정할 수 있다.
2차 어노말리 임계 값은 정상 네트워크 패킷 세트들을 학습이 완료된 어노말리 모델을 이용하여 연산하고, 정상 네트워크 패킷 세트들 각각에 대한 어노말리 모델의 입력과 출력 간의 오차 값들을 이용하여, 어노말리를 포함하지 않는 네트워크 패킷 세트를 2차 어노말리 임계 값을 기준으로 하여 판별할 수 있도록 결정된 값일 수 있다.
프로세서(120)는 정상 데이터(즉, 정상 네트워크 패킷 세트)로 학습이 완료된 어노말리 모델에 복수의 정상 네트워크 패킷 세트들에 대한 플로우 데이터들을 입력으로 하여 연산을 수행할 수 있다. 프로세서(120)는 정상 네트워크 패킷 세트들 각각에 대한 복원 오차들을 연산할 수 있다. 프로세서(120)는 어노말리 모델에 입력된 플로우 데이터와 어노말리 모델을 이용하여 복원된 플로우 데이터 간의 차이인 복원 오차를 연산할 수 있다. 프로세서(120)는 복수의 정상 네트워크 패킷 세트들에 대한 복원 오차들의 평균값, 중앙값 또는 표준 편차 중 적어도 하나를 이용하여 제 2 어노말리 임계 값을 연산할 수 있다. 프로세서(120)는 어노말리 모델을 이용하여 정상 네트워크 패킷 세트들을 연산했을 때의 복원 오차들을 이용하여 제 2 어노말리 임계 값을 결정할 수 있다. 예를 들어, 프로세서(120)는 복수의 정상 네트워크 패킷 세트들에 대한 복원 오차들의 평균 값을 제 2 어노말리 임계 값으로 결정할 수 있다. 또는, 프로세서(120)는 복수의 정상 네트워크 패킷 세트들에 대한 복원 오차들의 중간 값과 표준 편차를 이용하여 제 2 어노말리 임계 값을 결정할 수 있다. 또는, 프로세서(120)는 복수의 정상 네트워크 패킷 세트들에 대한 복원 오차들의 중간 값에 표준 편차의 K배인 값을 더하여 제 2 어노말리 임계 값(제 2 어노말리 임계 값 = 복원 오차들의 중간 값 + K * 복원 오차들의 표준 편차)을 결정할 수 있다. 전술한 제 2 어노말리 임계 값에 관한 구체적인 기재는 예시일 뿐이며 본 개시는 이에 제한되지 않는다.
프로세서(120)는 1차 어노말리 여부의 판단에서 정상 네트워크로 결정된 네트워크 패킷 세트를 제외한 나머지 네트워크 패킷 세트들에 대한 플로우 데이터를 어노말리 모델을 이용하여 연산할 수 있다. 프로세서(120)는 어노말리 모델의 입력인 플로우 데이터와 어노말리 모델을 이용하여 연산한 출력인 복원된 플로우 데이터 간의 오차인, 복원 오차를 연산할 수 있다. 프로세서(120)는 전술한 바와 같이, 예를 들어, 입력과 출력 간의 유클리디안(Euclidian) 거리, 평균제곱오차(MSE, Mean Squared Error), 이진 크로스 엔트로피(BCE, Binary Cross Entropy) 등을 이용하여 복원 오차를 연산할 수 있다. 프로세서(120)는 제 2 어노말리 임계 값 보다 복원 오차가 큰 경우, 네트워크 패킷 세트가 어노말리를 포함하는 것으로 결정할 수 있다. 전술한 어노말리 판단 방법에 관한 구체적인 기재는 예시일 뿐이며 본 개시는 이에 제한되지 않는다.
본 개시의 일 실시예에 따라 어노말리 모델을 이용하여 네트워크 패킷 세트에 어노말리가 포함되었는지 여부를 결정함으로써, 새로운 어노말리 유형이 네트워크 패킷 세트에 포함된 경우에도 효과적인 어노말리 판단이 가능할 수 있다. 본 개시의 일 실시예에 따른 어노말리 네트워크를 탐지하는 방법은 네트워크 패킷의 헤더 부분의 분석을 통해 어노말리 여부를 결정하므로, 어노말리 여부를 결정하기 위한 분석 시간이 짧은 이점이 존재한다.
이하에서는 어노말리 판단 방법을 업데이트 하는 방법에 관하여 설명한다.
프로세서(120)는 어노말리 판단의 정확도를 연산할 수 있다. 프로세서(120)는 어노말리 여부를 알고 있는 네트워크 패킷 세트들을 전술한 방법으로 연산하여 어노말리 여부를 출력하고, 출력한 결과와 네트워크 패킷의 실제 어노말리 여부를 비교하여 어노말리 판단의 정확도를 연산할 수 있다. 프로세서(120)는 둘 이상의 네트워크 패킷 세트들 각각에 대하여 1차 어노말리 여부 및 2차 어노말리 여부의 판단을 통해, 어노말리 여부를 결정할 수 있다. 프로세서(120)는 둘 이상의 네트워크 패킷 세트들에 대해 결정된 어노말리 여부와 실제 어노말리 여부를 비교할 수 있다. 프로세서(120)는 연산을 통해 결정된 어노말리 여부와 실제 어노말리 여부의 매칭율이 높을수록 정확도가 높은 것으로 결정할 수 있다. 정확도는, 예를 들어, 둘 이상의 네트워크 패킷 세트들에 대해 결정된 어노말리 여부와 실제 어노말리 여부의 매칭률일 수 있다. 프로세서(120)는 어노말리 판단의 정확도가 사전 결정된 임계 값 이하로 판단되는 경우, 1차 어노말리 여부의 판단의 기초가 되는 1차 어노말리 임계 값 또는 2차 어노말리 여부의 판단의 기초가 되는 2차 어노말리 임계 값 중 적어도 하나를 조정할 수 있다. 예를 들어, 새로운 유형의 네트워크 공격이 있을 때, 기존에 설정한 어노말리 임계 값을 이용하여 네트워크 패킷 세트에 어노말리가 있는지 여부를 결정하는 경우, 잘못된 결과를 출력할 수 있다. 프로세서(120)는 어노말리 판단의 정확도를 어노말리 모델의 구축 이후에 검사할 수 있다. 프로세서(120)는 어노말리 모델의 구축 이후에 정확도가 떨어진다고 판단되는 경우, 새롭게 어노말리 모델을 학습시킬 수 있다. 또는, 프로세서(120)는 정상 네트워크 패킷 세트들을 이용하여 1차 어노말리 임계 값 또는 2차 어노말리 임계 값 중 적어도 하나를 다시 설정할 수 있다.
이하에서는 어노말리 데이터를 이용하여 어노말리인 네트워크를 탐지하는 방법에 관하여 설명한다.
프로세서(120)는 네트워크 패킷 세트와 사전 저장된 어노말리 유형을 비교하여 네트워크 패킷 세트에 관한 어노말리 여부를 판단할 수 있다. 메모리(130)에는 사전에 알고 있는 네트워크 침입 유형들에 대한 네트워크 패킷의 헤더 또는 페이로드 중 적어도 하나가 저장되어 있을 수 있다. 프로세서(120)는 네트워크 패킷 세트에 포함된 하나 이상의 네트워크 패킷 각각의 헤더 또는 페이로드 중 적어도 하나와 메모리(130)에 사전에 저장된 어노말리 유형의 네트워크 패킷 헤더 또는 페이로드를 비교하여, 일치하는 네트워크 패킷 헤더 또는 페이로드가 있을 경우, 해당 네트워크 패킷 세트가 어노말리를 포함하고 있는 것으로 결정할 수 있다. 전술한 어노말리 판단 방법에 관한 구체적인 기재는 예시일 뿐이며 본 개시는 이에 제한되지 않는다.
본 개시의 일 실시예에 따른 어노말리 네트워크를 탐지하는 방법은 헤더 뿐만 아니라 페이로드에 대한 분석도 함께 수행하므로, 페이로드를 통한 네트워크 침입도 감지할 수 있다. 또한, 이미 알고 있는 침입 유형에 대해서는 정확한 네트워크 침입 탐지가 가능하므로, 네트워크 침입 탐지의 정확도가 향상될 수 있다.
네트워크부(110)는 본 개시의 일 실시예에 따른 네트워크 어노말리 탐지를 위한 데이터 등을 다른 컴퓨팅 장치, 서버 등과 송수신할 수 있다. 네트워크부(110)는 네트워크 어노말리 탐지를 위하여 이기종 데이터베이스에 포함된 데이터들을 다른 컴퓨팅 장치, 서버 등과 송수신할 수 있다. 또한, 네트워크부(110)는 복수의 컴퓨팅 장치 사이의 통신을 가능하게 하여 복수의 컴퓨팅 장치 각각에서 네트워크 함수의 학습이 분산 수행되도록 할 수 있다. 네트워크부(110)는 복수의 컴퓨팅 장치 사이의 통신을 가능하게 하여 네트워크 함수를 사용한 네트워크 어노말리 탐지를 분산 처리하도록 할 수 있다.
본 개시의 일 실시예에 따른 네트워크부(110)는 공중전화 교환망 (PSTN: Public Switched Telephone Network), xDSL(x Digital Subscriber Line), RADSL(Rate Adaptive DSL), MDSL(Multi Rate DSL), VDSL(Very High Speed DSL), UADSL(Universal Asymmetric DSL), HDSL(High Bit Rate DSL) 및 근거리 통신망(LAN) 등과 같은 다양한 유선 통신 시스템들을 사용할 수 있다.
또한, 본 명세서에서 제시되는 네트워크부(110)는 CDMA(Code Division Multi Access), TDMA(Time Division Multi Access), FDMA(Frequency Division Multi Access), OFDMA(Orthogonal Frequency Division Multi Access), SC-FDMA(Single Carrier-FDMA) 및 다른 시스템들과 같은 다양한 무선 통신 시스템들을 사용할 수 있다.
본 개시에서 네트워크부(110)는 유선 및 무선 등과 같은 그 통신 양태를 가리지 않고 구성될 수 있으며, 단거리 통신망(PAN: Personal Area Network), 근거리 통신망(WAN: Wide Area Network) 등 다양한 통신망으로 구성될 수 있다. 또한, 상기 네트워크는 공지의 월드와이드웹(WWW: World Wide Web)일 수 있으며, 적외선(IrDA: Infrared Data Association) 또는 블루투스(Bluetooth)와 같이 단거리 통신에 이용되는 무선 전송 기술을 이용할 수도 있다.
본 명세서에서 설명된 기술들은 위에서 언급된 네트워크들뿐만 아니라, 다른 네트워크들에서도 사용될 수 있다.
프로세서(120)는 하나 이상의 코어로 구성될 수 있으며, 컴퓨팅 장치의 중앙 처리 장치(CPU: central processing unit), 범용 그래픽 처리 장치(GPGPU: general purpose graphics processing unit), 텐서 처리 장치(TPU: tensor processing unit) 등의 네트워크 어노말리 탐지, 딥러닝을 위한 프로세서를 포함할 수 있다. 프로세서(120)는 메모리(130)에 저장된 컴퓨터 프로그램을 판독하여 본 개시의 일 실시예에 따른 네트워크 어노말리 탐지를 수행할 수 있다. 본 개시의 일 실시예에 따라 프로세서(120)는 신경망의 학습을 위한 연산을 수행할 수 있다. 프로세서(120)는 딥러닝(DN: deep learning)에서 학습을 위한 입력 데이터의 처리, 입력 데이터에서의 피처 추출, 오차 계산, 역전파(backpropagation)를 이용한 신경망의 가중치 업데이트 등의 신경망의 학습을 위한 계산을 수행할 수 있다. 프로세서(120)의 CPU, GPGPU, 및 TPU 중 적어도 하나가 네트워크 함수의 학습을 처리할 수 있다. 예를 들어, CPU 와 GPGPU가 함께 네트워크 함수의 학습, 네트워크 함수를 이용한 네트워크 어노말리 탐지를 처리할 수 있다. 또한, 본 개시의 일 실시예에서 복수의 컴퓨팅 장치의 프로세서를 함께 사용하여 네트워크 함수의 학습, 네트워크 함수를 이용한 데네트워크 어노말리 탐지를 처리할 수 있다. 또한, 본 개시의 일 실시예에 따른 컴퓨팅 장치에서 수행되는 컴퓨터 프로그램은 CPU, GPGPU 또는 TPU 실행가능 프로그램일 수 있다.
본 개시의 일 실시예에 따르면, 메모리(130)는 프로세서(120)가 생성하거나 결정한 임의의 형태의 정보 및 네트워크부(110)가 수신한 임의의 형태의 정보를 저장할 수 있다.
본 개시의 일 실시예에 따르면, 메모리(130)는 플래시 메모리 타입(flash memory type), 하드디스크 타입(hard disk type), 멀티미디어 카드 마이크로 타입(multimedia card micro type), 카드 타입의 메모리(예를 들어 SD 또는 XD 메모리 등), 램(Random Access Memory, RAM), SRAM(Static Random Access Memory), 롬(Read-Only Memory, ROM), EEPROM(Electrically Erasable Programmable Read-Only Memory), PROM(Programmable Read-Only Memory), 자기 메모리, 자기 디스크, 광디스크 중 적어도 하나의 타입의 저장매체를 포함할 수 있다. 컴퓨팅 장치(100)는 인터넷(internet) 상에서 상기 메모리(130)의 저장 기능을 수행하는 웹 스토리지(web storage)와 관련되어 동작할 수도 있다. 전술한 메모리에 대한 기재는 예시일 뿐, 본 개시는 이에 제한되지 않는다.
데이터 구조는 본 개시의 일 실시예에 따른 컨텐츠의 처리 알고리즘에 대응되는 데이터를 저장할 수 있다.
본 개시의 일 실시예에 따라 데이터 구조를 저장한 컴퓨터 판독가능 매체가 개시된다.
데이터 구조는 데이터에 효율적인 접근 및 수정을 가능하게 하는 데이터의 조직, 관리, 저장을 의미할 수 있다. 데이터 구조는 특정 문제(예를 들어, 최단 시간으로 데이터 검색, 데이터 저장, 데이터 수정) 해결을 위한 데이터의 조직을 의미할 수 있다. 데이터 구조는 특정한 데이터 처리 기능을 지원하도록 설계된, 데이터 요소들 간의 물리적이거나 논리적인 관계로 정의될 수도 있다. 데이터 요소들 간의 논리적인 관계는 사용자가 생각하는 데이터 요소들 간의 연결관계를 포함할 수 있다. 데이터 요소들 간의 물리적인 관계는 컴퓨터 판독가능 저장매체(예를 들어, 하드 디스크)에 물리적으로 저장되어 있는 데이터 요소들 간의 실제 관계를 포함할 수 있다. 데이터 구조는 구체적으로 데이터의 집합, 데이터 간의 관계, 데이터에 적용할 수 있는 함수 또는 명령어를 포함할 수 있다. 효과적으로 설계된 데이터 구조를 통해 컴퓨팅 장치는 컴퓨팅 장치의 자원을 최소한으로 사용하면서 연산을 수행할 수 있다. 구체적으로 컴퓨팅 장치는 효과적으로 설계된 데이터 구조를 통해 연산, 읽기, 삽입, 삭제, 비교, 교환, 검색의 효율성을 높일 수 있다.
데이터 구조는 데이터 구조의 형태에 따라 선형 데이터 구조와 비선형 데이터 구조로 구분될 수 있다. 선형 데이터 구조는 하나의 데이터 뒤에 하나의 데이터만이 연결되는 구조일 수 있다. 선형 데이터 구조는 리스트(List), 스택(Stack), 큐(Queue), 데크(Deque)를 포함할 수 있다. 리스트는 내부적으로 순서가 존재하는 일련의 데이터 집합을 의미할 수 있다. 리스트는 연결 리스트(Linked List)를 포함할 수 있다. 연결 리스트는 각각의 데이터가 포인터를 가지고 한 줄로 연결되어 있는 방식으로 데이터가 연결된 데이터 구조일 수 있다. 연결 리스트에서 포인터는 다음이나 이전 데이터와의 연결 정보를 포함할 수 있다. 연결 리스트는 형태에 따라 단일 연결 리스트, 이중 연결 리스트, 원형 연결 리스트로 표현될 수 있다. 스택은 제한적으로 데이터에 접근할 수 있는 데이터 나열 구조일 수 있다. 스택은 데이터 구조의 한 쪽 끝에서만 데이터를 처리(예를 들어, 삽입 또는 삭제)할 수 있는 선형 데이터 구조일 수 있다. 스택에 저장된 데이터는 늦게 들어갈수록 빨리 나오는 데이터 구조(LIFO-Last in First Out)일 수 있다. 큐는 제한적으로 데이터에 접근할 수 있는 데이터 나열 구조로서, 스택과 달리 늦게 저장된 데이터일수록 늦게 나오는 데이터 구조(FIFO-First in First Out)일 수 있다. 데크는 데이터 구조의 양 쪽 끝에서 데이터를 처리할 수 있는 데이터 구조일 수 있다.
비선형 데이터 구조는 하나의 데이터 뒤에 복수개의 데이터가 연결되는 구조일 수 있다. 비선형 데이터 구조는 그래프(Graph) 데이터 구조를 포함할 수 있다. 그래프 데이터 구조는 정점(Vertex)과 간선(Edge)으로 정의될 수 있으며 간선은 서로 다른 두개의 정점을 연결하는 선을 포함할 수 있다. 그래프 데이터 구조 트리(Tree) 데이터 구조를 포함할 수 있다. 트리 데이터 구조는 트리에 포함된 복수개의 정점 중에서 서로 다른 두개의 정점을 연결시키는 경로가 하나인 데이터 구조일 수 있다. 즉 그래프 데이터 구조에서 루프(loop)를 형성하지 않는 데이터 구조일 수 있다.
본 명세서에 걸쳐, 연산 모델, 신경망, 네트워크 함수, 뉴럴 네트워크(neural network)는 동일한 의미로 사용될 수 있다. (이하에서는 신경망으로 통일하여 기술한다.) 데이터 구조는 신경망을 포함할 수 있다. 그리고 신경망을 포함한 데이터 구조는 컴퓨터 판독가능 매체에 저장될 수 있다. 신경망을 포함한 데이터 구조는 또한 신경망에 입력되는 데이터, 신경망의 가중치, 신경망의 하이퍼 파라미터, 신경망으로부터 획득한 데이터, 신경망의 각 노드 또는 레이어와 연관된 활성 함수, 신경망의 학습을 위한 손실 함수를 포함할 수 있다. 신경망을 포함한 데이터 구조는 상기 개시된 구성들 중 임의의 구성 요소들을 포함할 수 있다. 즉 신경망을 포함한 데이터 구조는 신경망에 입력되는 데이터, 신경망의 가중치, 신경망의 하이퍼 파라미터, 신경망으로부터 획득한 데이터, 신경망의 각 노드 또는 레이어와 연관된 활성 함수, 신경망의 트레이닝을 위한 손실 함수 등 전부 또는 이들의 임의의 조합을 포함하여 구성될 수 있다. 전술한 구성들 이외에도, 신경망을 포함한 데이터 구조는 신경망의 특성을 결정하는 임의의 다른 정보를 포함할 수 있다. 또한, 데이터 구조는 신경망의 연산 과정에 사용되거나 발생되는 모든 형태의 데이터를 포함할 수 있으며 전술한 사항에 제한되는 것은 아니다. 컴퓨터 판독가능 매체는 컴퓨터 판독가능 기록 매체 및/또는 컴퓨터 판독가능 전송 매체를 포함할 수 있다. 신경망은 일반적으로 노드라 지칭될 수 있는 상호 연결된 계산 단위들의 집합으로 구성될 수 있다. 이러한 노드들은 뉴런(neuron)들로 지칭될 수도 있다. 신경망은 적어도 하나 이상의 노드들을 포함하여 구성된다.
데이터 구조는 신경망에 입력되는 데이터를 포함할 수 있다. 신경망에 입력되는 데이터를 포함하는 데이터 구조는 컴퓨터 판독가능 매체에 저장될 수 있다. 신경망에 입력되는 데이터는 신경망 학습 과정에서 입력되는 학습 데이터 및/또는 학습이 완료된 신경망에 입력되는 입력 데이터를 포함할 수 있다. 신경망에 입력되는 데이터는 전처리(pre-processing)를 거친 데이터 및/또는 전처리 대상이 되는 데이터를 포함할 수 있다. 전처리는 데이터를 신경망에 입력시키기 위한 데이터 처리 과정을 포함할 수 있다. 따라서 데이터 구조는 전처리 대상이 되는 데이터 및 전처리로 발생되는 데이터를 포함할 수 있다. 전술한 데이터 구조는 예시일 뿐 본 개시는 이에 제한되지 않는다.
데이터 구조는 신경망에 입력되거나, 신경망에서 출력되는 데이터를 포함할 수 있다. 신경망에 입력되거나, 출력되는 데이터를 포함하는 데이터 구조는 컴퓨터 판독가능 매체에 저장될 수 있다. 컴퓨터 판독가능 매체에 저장된 데이터 구조는 신경망의 추론 과정에서 입력되는 데이터, 또는 신경망의 추론 결과 출력되는 출력 데이터를 포함할 수 있다. 또한, 데이터 구조는 특정한 데이터 가공 방법에 의하여 가공되는 데이터를 포함할 수 있으므로, 가공 전 후의 데이터를 포함할 수 있다. 따라서, 데이터 구조는 가공의 대상이 되는 데이터 및 데이터 가공 방법을 통해 가공된 데이터를 포함할 수 있다.
데이터 구조는 신경망의 가중치를 포함할 수 있다. (본 명세서에서 가중치, 파라미터는 동일한 의미로 사용될 수 있다.) 그리고 신경망의 가중치를 포함한 데이터 구조는 컴퓨터 판독가능 매체에 저장될 수 있다. 신경망은 복수개의 가중치를 포함할 수 있다. 가중치는 가변적일 수 있으며, 신경망이 원하는 기능을 수행하기 위해, 사용자 또는 알고리즘에 의해 가변 될 수 있다. 예를 들어, 하나의 출력 노드에 하나 이상의 입력 노드가 각각의 링크에 의해 상호 연결된 경우, 출력 노드는 상기 출력 노드와 연결된 입력 노드들에 입력된 값들 및 각각의 입력 노드들에 대응하는 링크에 설정된 파라미터에 기초하여 출력 노드 값을 결정할 수 있다. 전술한 데이터 구조는 예시일 뿐 본 개시는 이에 제한되지 않는다.
제한이 아닌 예로서, 가중치는 신경망 학습 과정에서 가변되는 가중치 및/또는 신경망 학습이 완료된 가중치를 포함할 수 있다. 신경망 학습 과정에서 가변되는 가중치는 학습 사이클이 시작되는 시점의 가중치 및/또는 학습 사이클 동안 가변되는 가중치를 포함할 수 있다. 신경망 학습이 완료된 가중치는 학습 사이클이 완료된 가중치를 포함할 수 있다. 따라서 신경망의 가중치를 포함한 데이터 구조는 신경망 학습 과정에서 가변되는 가중치 및/또는 신경망 학습이 완료된 가중치를 포함한 데이터 구조를 포함할 수 있다. 그러므로 상술한 가중치 및/또는 각 가중치의 조합은 신경망의 가중치를 포함한 데이터 구조에 포함되는 것으로 한다. 전술한 데이터 구조는 예시일 뿐 본 개시는 이에 제한되지 않는다.
신경망의 가중치를 포함한 데이터 구조는 직렬화(serialization) 과정을 거친 후 컴퓨터 판독가능 저장 매체(예를 들어, 메모리, 하드 디스크)에 저장될 수 있다. 직렬화는 데이터 구조를 동일하거나 다른 컴퓨팅 장치에 저장하고 나중에 다시 재구성하여 사용할 수 있는 형태로 변환하는 과정일 수 있다. 컴퓨팅 장치는 데이터 구조를 직렬화하여 네트워크를 통해 데이터를 송수신할 수 있다. 직렬화된 신경망의 가중치를 포함한 데이터 구조는 역직렬화(deserialization)를 통해 동일한 컴퓨팅 장치 또는 다른 컴퓨팅 장치에서 재구성될 수 있다. 신경망의 가중치를 포함한 데이터 구조는 직렬화에 한정되는 것은 아니다. 나아가 신경망의 가중치를 포함한 데이터 구조는 컴퓨팅 장치의 자원을 최소한으로 사용하면서 연산의 효율을 높이기 위한 데이터 구조(예를 들어, 비선형 데이터 구조에서 B-Tree, Trie, m-way search tree, AVL tree, Red-Black Tree)를 포함할 수 있다. 전술한 사항은 예시일 뿐 본 개시는 이에 제한되지 않는다.
데이터 구조는 신경망의 하이퍼 파라미터(Hyper-parameter)를 포함할 수 있다. 그리고 신경망의 하이퍼 파라미터를 포함한 데이터 구조는 컴퓨터 판독가능 매체에 저장될 수 있다. 하이퍼 파라미터는 사용자에 의해 가변되는 변수일 수 있다. 하이퍼 파라미터는 예를 들어, 학습률(learning rate), 비용 함수(cost function), 학습 사이클 반복 횟수, 가중치 초기화(Weight initialization)(예를 들어, 가중치 초기화 대상이 되는 가중치 값의 범위 설정), Hidden Unit 개수(예를 들어, 히든 레이어의 개수, 히든 레이어의 노드 수)를 포함할 수 있다. 전술한 데이터 구조는 예시일 뿐 본 개시는 이에 제한되지 않는다.
도 3은 본 개시의 일 실시예에 따른 경우 네트워크 어노말리 탐지 방법의 순서도이다.
컴퓨팅 장치(100)는 하나 이상의 네트워크 패킷을 포함하는 네트워크 패킷 세트를 수신(210)할 수 있다. 하나 이상의 네트워크 패킷은 사전 결정된 기준에 따라 데이터 센터에서 미러링 된 패킷일 수 있다.
컴퓨팅 장치(100)는 네트워크 패킷 세트를 이용하여 엔트로피 값을 연산(220)할 수 있다. 컴퓨팅 장치(100)는 하나 이상의 네트워크 패킷에 기초하여 네트워크 패킷 경로와 관련된 정보를 추출할 수 있다. 네트워크 패킷 경로와 관련된 정보는 네트워크 패킷의 플로우 헤더에 포함된 소스 및 데스티네이션 중 적어도 하나와 관련된 정보를 포함할 수 있다. 컴퓨팅 장치(100)는 네트워크 패킷 경로와 관련된 정보를 이용하여 엔트로피 값을 연산할 수 있다.
컴퓨팅 장치(100)는 엔트로피 값을 이용하여 네트워크 패킷 세트에 관한 1차 어노말리 여부를 판단(230)할 수 있다.
컴퓨팅 장치(100)는 엔트로피 값과 사전 결정된 1차 어노말리 임계 값을 비교하여 1차 어노말리 여부를 판단할 수 있다. 1차 어노말리 임계 값은 정상 네트워크 패킷 세트들 중 사전 결정된 비율 이상의 정상 네트워크 패킷 세트들이 엔트로피 값에 의해 1차적으로 어노말리로 판단될 수 있도록 결정된 값일 수 있다.
컴퓨팅 장치(100)는 1차 어노말리 여부의 판단에 기초하여 하나 이상의 네트워크 함수를 포함하는 어노말리 모델을 이용하여 상기 네트워크 패킷 세트를 연산(240)할 수 있다. 컴퓨팅 장치(100)는 하나 이상의 네트워크 패킷의 흐름을 나타내는 플로우 데이터로 변환할 수 있다. 플로우 데이터는 상기 하나 이상의 네트워크 패킷의 크기, 길이, 개수 또는 이동 방향 중 적어도 하나를 이용하여 연산 된 값일 수 있다.
컴퓨팅 장치(100)는 플로우 데이터를 상기 어노말리 모델의 입력으로 하여 연산할 수 있다. 어노말리 모델은 하나 이상의 차원 축소 레이어 및 하나 이상의 차원 확장 레이어를 포함하고, 그리고 정상 네트워크 패킷 세트들을 이용하여 학습된 모델일 수 있다.
컴퓨팅 장치(100)는 어노말리 모델의 출력을 이용하여 네트워크 패킷 세트에 관한 2차 어노말리 여부를 판단(250)할 수 있다. 컴퓨팅 장치(100)는 어노말리 모델의 입력과 출력 간 오차 값과 사전 결정된 2차 어노말리 임계 값을 비교하여 상기 2차 어노말리 여부를 판단할 수 있다. 2차 어노말리 임계 값은 정상 네트워크 패킷 세트들을 학습이 완료된 어노말리 모델을 이용하여 연산하고, 정상 네트워크 패킷 세트들 각각에 대한 어노말리 모델의 입력과 출력 간의 오차 값들을 이용하여, 어노말리를 포함하지 않는 네트워크 패킷 세트를 상기 2차 어노말리 임계 값을 기준으로 하여 판별할 수 있도록 결정된 값일 수 있다.
컴퓨팅 장치(100)는 2차 어노말리 여부에 따른 어노말리 판단의 정확도를 연산할 수 있다. 컴퓨팅 장치(100)는 어노말리 판단의 정확도가 사전 결정된 임계 값 이하로 판단되는 경우, 1차 어노말리 여부의 판단의 기초가 되는 1차 어노말리 임계 값 또는 2차 어노말리 여부의 판단의 기초가 되는 2차 어노말리 임계 값 중 적어도 하나를 조정할 수 있다.
컴퓨팅 장치(100)는 네트워크 패킷 세트와 사전 저장된 어노말리 유형을 비교하여 네트워크 패킷 세트에 관한 어노말리 여부를 판단할 수 있다.
본 개시의 일 실시예에 따른 네트워크 어노말리 탐지 방법은 다음과 같은 로직에 의해 구현될 수 있다.
하나 이상의 네트워크 패킷을 포함하는 네트워크 패킷 세트를 수신하기 위한 로직; 네트워크 패킷 세트를 이용하여 엔트로피 값을 연산하기 위한 로직; 상기 엔트로피 값을 이용하여 네트워크 패킷 세트에 관한 1차 어노말리 여부를 판단하기 위한 로직; 1차 어노말리 여부의 판단에 기초하여 하나 이상의 네트워크 함수를 포함하는 어노말리 모델을 이용하여 네트워크 패킷 세트를 연산하기 위한 로직; 및 어노말리 모델의 출력을 이용하여 네트워크 패킷 세트에 관한 2차 어노말리 여부를 판단하기 위한 로직에 의해 구현될 수 있다.
본 개시의 일 실시예에 따른 네트워크 어노말리 탐지 방법은 로직 뿐만 아니라, 상기와 같은 동작을 구현하는 모듈, 회로 또는 수단에 의해 구현될 수도 있다.
도 4는 본 개시의 일 실시예에 따른 컴퓨팅 장치의 블록 구성도이다.
도 4는 본 개시의 실시예들이 구현될 수 있는 예시적인 컴퓨팅 환경에 대한 간략하고 일반적인 개략도이다.
본 개시가 일반적으로 하나 이상의 컴퓨터 상에서 실행될 수 있는 컴퓨터 실행가능 명령어와 관련하여 전술되었지만, 당업자라면 본 개시가 기타 프로그램 모듈들과 결합되어 및/또는 하드웨어와 소프트웨어의 조합으로써 구현될 수 있다는 것을 잘 알 것이다.
일반적으로, 프로그램 모듈은 특정의 태스크를 수행하거나 특정의 추상 데이터 유형을 구현하는 루틴, 프로그램, 컴포넌트, 데이터 구조, 기타 등등을 포함한다. 또한, 당업자라면 본 개시의 방법이 단일-프로세서 또는 멀티프로세서 컴퓨터 시스템, 미니컴퓨터, 메인프레임 컴퓨터는 물론 퍼스널 컴퓨터, 핸드 헬드 컴퓨팅 장치, 마이크로프로세서-기반 또는 프로그램가능 가전 제품, 기타 등등(이들 각각은 하나 이상의 연관된 장치와 연결되어 동작할 수 있음)을 비롯한 다른 컴퓨터 시스템 구성으로 실시될 수 있다는 것을 잘 알 것이다.
본 개시의 설명된 실시예들은 또한 어떤 태스크들이 통신 네트워크를 통해 연결되어 있는 원격 처리 장치들에 의해 수행되는 분산 컴퓨팅 환경에서 실시될 수 있다. 분산 컴퓨팅 환경에서, 프로그램 모듈은 로컬 및 원격 메모리 저장 장치 둘 다에 위치할 수 있다.
컴퓨터는 통상적으로 다양한 컴퓨터 판독가능 매체를 포함한다. 컴퓨터에 의해 액세스 가능한 매체는 그 어떤 것이든지 컴퓨터 판독가능 매체가 될 수 있다. 컴퓨터 판독가능 매체는 휘발성 및 비휘발성 매체, 일시적(transitory) 및 비일시적(non-transitory) 매체, 이동식 및 비-이동식 매체를 포함한다. 제한이 아닌 예로서, 컴퓨터 판독가능 매체는 컴퓨터 판독가능 저장 매체 및 컴퓨터 판독가능 전송 매체를 포함할 수 있다. 컴퓨터 판독가능 저장 매체는 컴퓨터 판독가능 명령어, 데이터 구조, 프로그램 모듈 또는 기타 데이터와 같은 정보를 저장하는 임의의 방법 또는 기술로 구현되는 휘발성 및 비휘발성 매체, 일시적 및 비-일시적 매체, 이동식 및 비이동식 매체를 포함한다. 컴퓨터 저장 매체는 RAM, ROM, EEPROM, 플래시 메모리 또는 기타 메모리 기술, CD-ROM, DVD(digital video disk) 또는 기타 광 디스크 저장 장치, 자기 카세트, 자기 테이프, 자기 디스크 저장 장치 또는 기타 자기 저장 장치, 또는 컴퓨터에 의해 액세스될 수 있고 원하는 정보를 저장하는 데 사용될 수 있는 임의의 기타 매체를 포함하지만, 이에 한정되지 않는다.
컴퓨터 판독가능 전송 매체는 통상적으로 기타 전송 메커니즘(transport mechanism)과 같은 피변조 데이터 신호(modulated data signal)에 컴퓨터 판독가능 명령어, 데이터 구조, 프로그램 모듈 또는 기타 데이터 등을 구현하고 모든 정보 전달 매체를 포함한다. 피변조 데이터 신호라는 용어는 신호 내에 정보를 인코딩하도록 그 신호의 특성들 중 하나 이상을 설정 또는 변경시킨 신호를 의미한다. 제한이 아닌 예로서, 컴퓨터 판독가능 전송 매체는 유선 네트워크 또는 직접 배선 접속(direct-wired connection)과 같은 유선 매체, 그리고 음향, RF, 적외선, 기타 무선 매체와 같은 무선 매체를 포함한다. 상술된 매체들 중 임의의 것의 조합도 역시 컴퓨터 판독가능 전송 매체의 범위 안에 포함되는 것으로 한다.
컴퓨터(1102)를 포함하는 본 개시의 여러가지 측면들을 구현하는 예시적인 환경(1100)이 나타내어져 있으며, 컴퓨터(1102)는 처리 장치(1104), 시스템 메모리(1106) 및 시스템 버스(1108)를 포함한다. 시스템 버스(1108)는 시스템 메모리(1106)(이에 한정되지 않음)를 비롯한 시스템 컴포넌트들을 처리 장치(1104)에 연결시킨다. 처리 장치(1104)는 다양한 상용 프로세서들 중 임의의 프로세서일 수 있다. 듀얼 프로세서 및 기타 멀티프로세서 아키텍처도 역시 처리 장치(1104)로서 이용될 수 있다.
시스템 버스(1108)는 메모리 버스, 주변장치 버스, 및 다양한 상용 버스 아키텍처 중 임의의 것을 사용하는 로컬 버스에 추가적으로 상호 연결될 수 있는 몇 가지 유형의 버스 구조 중 임의의 것일 수 있다. 시스템 메모리(1106)는 판독 전용 메모리(ROM)(1110) 및 랜덤 액세스 메모리(RAM)(1112)를 포함한다. 기본 입/출력 시스템(BIOS)은 ROM, EPROM, EEPROM 등의 비휘발성 메모리(1110)에 저장되며, 이 BIOS는 시동 중과 같은 때에 컴퓨터(1102) 내의 구성요소들 간에 정보를 전송하는 일을 돕는 기본적인 루틴을 포함한다. RAM(1112)은 또한 데이터를 캐싱하기 위한 정적 RAM 등의 고속 RAM을 포함할 수 있다.
컴퓨터(1102)는 또한 내장형 하드 디스크 드라이브(HDD)(1114)(예를 들어, EIDE, SATA)-이 내장형 하드 디스크 드라이브(1114)는 또한 적당한 섀시(도시 생략) 내에서 외장형 용도로 구성될 수 있음-, 자기 플로피 디스크 드라이브(FDD)(1116)(예를 들어, 이동식 디스켓(1118)으로부터 판독을 하거나 그에 기록을 하기 위한 것임), 및 광 디스크 드라이브(1120)(예를 들어, CD-ROM 디스크(1122)를 판독하거나 DVD 등의 기타 고용량 광 매체로부터 판독을 하거나 그에 기록을 하기 위한 것임)를 포함한다. 하드 디스크 드라이브(1114), 자기 디스크 드라이브(1116) 및 광 디스크 드라이브(1120)는 각각 하드 디스크 드라이브 인터페이스(1124), 자기 디스크 드라이브 인터페이스(1126) 및 광 드라이브 인터페이스(1128)에 의해 시스템 버스(1108)에 연결될 수 있다. 외장형 드라이브 구현을 위한 인터페이스(1124)는 USB(Universal Serial Bus) 및 IEEE 1394 인터페이스 기술 중 적어도 하나 또는 그 둘 다를 포함한다.
이들 드라이브 및 그와 연관된 컴퓨터 판독가능 매체는 데이터, 데이터 구조, 컴퓨터 실행가능 명령어, 기타 등등의 비 휘발성 저장을 제공한다. 컴퓨터(1102)의 경우, 드라이브 및 매체는 임의의 데이터를 적당한 디지털 형식으로 저장하는 것에 대응한다. 상기에서의 컴퓨터 판독가능 매체에 대한 설명이 HDD, 이동식 자기 디스크, 및 CD 또는 DVD 등의 이동식 광 매체를 언급하고 있지만, 당업자라면 집 드라이브(zip drive), 자기 카세트, 플래쉬 메모리 카드, 카트리지, 기타 등등의 컴퓨터에 의해 판독가능한 다른 유형의 매체도 역시 예시 적인 운영 환경에서 사용될 수 있으며 또 임의의 이러한 매체가 본 개시의 방법들을 수행하기 위한 컴퓨터 실행가능 명령어를 포함할 수 있다는 것을 잘 알 것이다.
운영 체제(1130), 하나 이상의 애플리케이션 프로그램(1132), 기타 프로그램 모듈(1134) 및 프로그램 데이터(1136)를 비롯한 다수의 프로그램 모듈이 드라이브 및 RAM(1112)에 저장될 수 있다. 운영 체제, 애플리케이션, 모듈 및/또는 데이터의 전부 또는 그 일부분이 또한 RAM(1112)에 캐싱될 수 있다. 본 개시가 여러가지 상업적으로 이용가능한 운영 체제 또는 운영 체제들의 조합에서 구현될 수 있다는 것을 잘 알 것이다.
사용자는 하나 이상의 유선/무선 입력 장치, 예를 들어, 키보드(1138) 및 마우스(1140) 등의 포인팅 장치를 통해 컴퓨터(1102)에 명령 및 정보를 입력할 수 있다. 기타 입력 장치(도시 생략)로는 마이크, IR 리모콘, 조이스틱, 게임 패드, 스타일러스 펜, 터치 스크린, 기타 등등이 있을 수 있다. 이들 및 기타 입력 장치가 종종 시스템 버스(1108)에 연결되어 있는 입력 장치 인터페이스(1142)를 통해 처리 장치(1104)에 연결되지만, 병렬 포트, IEEE 1394 직렬 포트, USB 포트, IR 인터페이스, 기타 등등의 기타 인터페이스에 의해 연결될 수 있다.
모니터(1144) 또는 다른 유형의 디스플레이 장치도 역시 비디오 어댑터(1146) 등의 인터페이스를 통해 시스템 버스(1108)에 연결된다. 모니터(1144)에 부가하여, 컴퓨터는 일반적으로 스피커, 프린터, 기타 등등의 기타 주변 출력 장치(도시 생략)를 포함한다.
컴퓨터(1102)는 유선 및/또는 무선 통신을 통한 원격 컴퓨터(들)(1148) 등의 하나 이상의 원격 컴퓨터로의 논리적 연결을 사용하여 네트워크화 된 환경에서 동작할 수 있다. 원격 컴퓨터(들)(1148)는 워크스테이션, 컴퓨팅 디바이스 컴퓨터, 라우터, 퍼스널 컴퓨터, 휴대용 컴퓨터, 마이크로프로세서-기반 오락 기기, 피어 장치 또는 기타 통상의 네트워크 노드일 수 있으며, 일반적으로 컴퓨터(1102)에 대해 기술된 구성요소들 중 다수 또는 그 전부를 포함하지만, 간략함을 위해, 메모리 저장 장치(1150)만이 도시되어 있다. 도시되어 있는 논리적 연결은 근거리 통신망(LAN)(1152) 및/또는 더 큰 네트워크, 예를 들어, 원거리 통신망(WAN)(1154)에의 유선/무선 연결을 포함한다. 이러한 LAN 및 WAN 네트워킹 환경은 사무실 및 회사에서 일반적인 것이며, 인트라넷 등의 전사적 컴퓨터 네트워크(enterprise-wide computer network)를 용이하게 해주며, 이들 모두는 전세계 컴퓨터 네트워크, 예를 들어, 인터넷에 연결될 수 있다.
LAN 네트워킹 환경에서 사용될 때, 컴퓨터(1102)는 유선 및/또는 무선 통신 네트워크 인터페이스 또는 어댑터(1156)를 통해 로컬 네트워크(1152)에 연결된다. 어댑터(1156)는 LAN(1152)에의 유선 또는 무선 통신을 용이하게 해줄 수 있으며, 이 LAN(1152)은 또한 무선 어댑터(1156)와 통신하기 위해 그에 설치되어 있는 무선 액세스 포인트를 포함하고 있다. WAN 네트워킹 환경에서 사용될 때, 컴퓨터(1102)는 모뎀(1158)을 포함할 수 있거나, WAN(1154) 상의 통신 컴퓨팅 디바이스에 연결되거나, 또는 인터넷을 통하는 등, WAN(1154)을 통해 통신을 설정하는 기타 수단을 갖는다. 내장형 또는 외장형 및 유선 또는 무선 장치일 수 있는 모뎀(1158)은 직렬 포트 인터페이스(1142)를 통해 시스템 버스(1108)에 연결된다. 네트워크화 된 환경에서, 컴퓨터(1102)에 대해 설명된 프로그램 모듈들 또는 그의 일부분이 원격 메모리/저장 장치(1150)에 저장될 수 있다. 도시된 네트워크 연결이 예시 적인 것이며 컴퓨터들 사이에 통신 링크를 설정하는 기타 수단이 사용될 수 있다는 것을 잘 알 것이다.
컴퓨터(1102)는 무선 통신으로 배치되어 동작하는 임의의 무선 장치 또는 개체, 예를 들어, 프린터, 스캐너, 데스크톱 및/또는 휴대용 컴퓨터, PDA(portable data assistant), 통신 위성, 무선 검출가능 태그와 연관된 임의의 장비 또는 장소, 및 전화와 통신을 하는 동작을 한다. 이것은 적어도 Wi-Fi 및 블루투스 무선 기술을 포함한다. 따라서, 통신은 종래의 네트워크에서와 같이 미리 정의된 구조이거나 단순하게 적어도 2개의 장치 사이의 애드혹 통신(ad hoc communication)일 수 있다.
Wi-Fi(Wireless Fidelity)는 유선 없이도 인터넷 등으로의 연결을 가능하게 해준다. Wi-Fi는 이러한 장치, 예를 들어, 컴퓨터가 실내에서 및 실외에서, 즉 기지국의 통화권 내의 아무 곳에서나 데이터를 전송 및 수신할 수 있게 해주는 셀 전화와 같은 무선 기술이다. Wi-Fi 네트워크는 안전하고 신뢰성 있으며 고속인 무선 연결을 제공하기 위해 IEEE 802.11(a,b,g, 기타)이라고 하는 무선 기술을 사용한다. 컴퓨터를 서로에, 인터넷에 및 유선 네트워크(IEEE 802.3 또는 이더넷을 사용함)에 연결시키기 위해 Wi-Fi가 사용될 수 있다. Wi-Fi 네트워크는 비인가 2.4 및 5 GHz 무선 대역에서, 예를 들어, 11Mbps(802.11a) 또는 54 Mbps(802.11b) 데이터 레이트로 동작하거나, 양 대역(듀얼 대역)을 포함하는 제품에서 동작할 수 있다.
본 개시의 기술 분야에서 통상의 지식을 가진 자는 정보 및 신호들이 임의의 다양한 상이한 기술들 및 기법들을 이용하여 표현될 수 있다는 것을 이해할 것이다. 예를 들어, 위의 설명에서 참조될 수 있는 데이터, 지시들, 명령들, 정보, 신호들, 비트들, 심볼들 및 칩들은 전압들, 전류들, 전자기파들, 자기장들 또는 입자들, 광학장들 또는 입자들, 또는 이들의 임의의 결합에 의해 표현될 수 있다.
본 개시의 기술 분야에서 통상의 지식을 가진 자는 여기에 개시된 실시예들과 관련하여 설명된 다양한 예시적인 논리 블록들, 모듈들, 프로세서들, 수단들, 회로들 및 알고리즘 단계들이 전자 하드웨어, (편의를 위해, 여기에서 "소프트웨어"로 지칭되는) 다양한 형태들의 프로그램 또는 설계 코드 또는 이들 모두의 결합에 의해 구현될 수 있다는 것을 이해할 것이다. 하드웨어 및 소프트웨어의 이러한 상호 호환성을 명확하게 설명하기 위해, 다양한 예시적인 컴포넌트들, 블록들, 모듈들, 회로들 및 단계들이 이들의 기능과 관련하여 위에서 일반적으로 설명되었다. 이러한 기능이 하드웨어 또는 소프트웨어로서 구현되는지 여부는 특정한 애플리케이션 및 전체 시스템에 대하여 부과되는 설계 제약들에 따라 좌우된다. 본 개시의 기술 분야에서 통상의 지식을 가진 자는 각각의 특정한 애플리케이션에 대하여 다양한 방식들로 설명된 기능을 구현할 수 있으나, 이러한 구현 결정들은 본 개시의 범위를 벗어나는 것으로 해석되어서는 안 될 것이다.
여기서 제시된 다양한 실시예들은 방법, 장치, 또는 표준 프로그래밍 및/또는 엔지니어링 기술을 사용한 제조 물품(article)으로 구현될 수 있다. 용어 "제조 물품"은 임의의 컴퓨터-판독가능 장치로부터 액세스 가능한 컴퓨터 프로그램 또는 매체(media)를 포함한다. 예를 들어, 컴퓨터-판독가능 매체는 자기 저장 장치(예를 들면, 하드 디스크, 플로피 디스크, 자기 스트립, 등), 광학 디스크(예를 들면, CD, DVD, 등), 스마트 카드, 및 플래쉬 메모리 장치(예를 들면, EEPROM, 카드, 스틱, 키 드라이브, 등)를 포함하지만, 이들로 제한되는 것은 아니다. 또한, 여기서 제시되는 다양한 저장 매체는 정보를 저장하기 위한 하나 이상의 장치 및/또는 다른 기계-판독가능한 매체를 포함한다.
제시된 프로세스들에 있는 단계들의 특정한 순서 또는 계층 구조는 예시적인 접근들의 일례임을 이해하도록 한다. 설계 우선순위들에 기반하여, 본 개시의 범위 내에서 프로세스들에 있는 단계들의 특정한 순서 또는 계층 구조가 재배열될 수 있다는 것을 이해하도록 한다. 첨부된 방법 청구항들은 샘플 순서로 다양한 단계들의 엘리먼트들을 제공하지만 제시된 특정한 순서 또는 계층 구조에 한정되는 것을 의미하지는 않는다.
제시된 실시예들에 대한 설명은 임의의 본 개시의 기술 분야에서 통상의 지식을 가진 자가 본 개시를 이용하거나 또는 실시할 수 있도록 제공된다. 이러한 실시예들에 대한 다양한 변형들은 본 개시의 기술 분야에서 통상의 지식을 가진 자에게 명백할 것이다. 여기에 정의된 일반적인 원리들은 본 개시의 범위를 벗어남이 없이 다른 실시예들에 적용될 수 있다. 그리하여, 본 개시는 여기에 제시된 실시예들로 한정되는 것이 아니라, 여기에 제시된 원리들 및 신규한 특징들과 일관되는 최광의의 범위에서 해석되어야 할 것이다.

Claims (14)

  1. 컴퓨터 판독가능 저장 매체에 저장된 컴퓨터 프로그램으로서, 상기 컴퓨터 프로그램은 컴퓨팅 장치의 하나 이상의 프로세서에서 실행되는 경우 네트워크 어노말리 탐지 방법을 제공하기 위한 동작들을 수행하도록 하며 상기 동작들은,
    하나 이상의 네트워크 패킷을 포함하는 네트워크 패킷 세트를 수신하는 동작;
    상기 네트워크 패킷 세트를 이용하여 엔트로피 값을 연산하는 동작;
    상기 엔트로피 값을 이용하여 상기 네트워크 패킷 세트에 관한 1차 어노말리 여부를 판단하는 동작;
    상기 1차 어노말리 여부의 판단에 기초하여 하나 이상의 네트워크 함수를 포함하는 어노말리 모델을 이용하여 상기 네트워크 패킷 세트를 연산하는 동작; 및
    상기 어노말리 모델의 출력을 이용하여 상기 네트워크 패킷 세트에 관한 2차 어노말리 여부를 판단하는 동작;
    을 포함하는,
    컴퓨터 판독가능 저장 매체에 저장된 컴퓨터 프로그램.
  2. 제 1 항에 있어서,
    상기 하나 이상의 네트워크 패킷은 사전 결정된 기준에 따라 데이터 센터에서 미러링 된 패킷인,
    컴퓨터 판독가능 저장 매체에 저장된 컴퓨터 프로그램.
  3. 제 1 항에 있어서,
    상기 네트워크 패킷 세트를 이용하여 엔트로피 값을 연산하는 동작은,
    상기 하나 이상의 네트워크 패킷에 기초하여 네트워크 패킷 경로와 관련된 정보를 추출하는 동작; 및
    상기 네트워크 패킷 경로와 관련된 정보를 이용하여 상기 엔트로피 값을 연산하는 동작;
    을 포함하는,
    컴퓨터 판독가능 저장 매체에 저장된 컴퓨터 프로그램.
  4. 제 3 항에 있어서,
    상기 네트워크 패킷 경로와 관련된 정보는 네트워크 패킷의 플로우 헤더에 포함된 소스 및 데스티네이션 중 적어도 하나와 관련된 정보를 포함하는,
    컴퓨터 판독가능 저장 매체에 저장된 컴퓨터 프로그램.
  5. 제 1 항에 있어서,
    상기 엔트로피 값을 이용하여 상기 네트워크 패킷 세트에 관한 1차 어노말리 여부를 판단하는 동작은,
    상기 엔트로피 값과 사전 결정된 1차 어노말리 임계 값을 비교하여 상기 1차 어노말리 여부를 판단하는 동작;
    을 포함하고, 그리고
    상기 1차 어노말리 임계 값은 정상 네트워크 패킷 세트들 중 사전 결정된 비율 이상의 정상 네트워크 패킷 세트들이 엔트로피 값에 의해 1차적으로 어노말리로 판단될 수 있도록 결정된,
    컴퓨터 판독가능 저장 매체에 저장된 컴퓨터 프로그램.
  6. 제 1 항에 있어서,
    상기 1차 어노말리 여부의 판단에 기초하여 하나 이상의 네트워크 함수를 포함하는 어노말리 모델을 이용하여 상기 네트워크 패킷 세트를 연산하는 동작은,
    상기 하나 이상의 네트워크 패킷의 흐름을 나타내는 플로우 데이터로 변환하는 동작; 및
    상기 플로우 데이터를 상기 어노말리 모델의 입력으로 하여 연산하는 동작;
    을 포함하는,
    컴퓨터 판독가능 저장 매체에 저장된 컴퓨터 프로그램.
  7. 제 6 항에 있어서,
    상기 플로우 데이터는 상기 하나 이상의 네트워크 패킷의 크기, 길이, 개수 또는 이동 방향 중 적어도 하나를 이용하여 연산 된,
    컴퓨터 판독가능 저장 매체에 저장된 컴퓨터 프로그램.
  8. 제 1 항에 있어서,
    상기 어노말리 모델은 하나 이상의 차원 축소 레이어 및 하나 이상의 차원 확장 레이어를 포함하고, 그리고 정상 네트워크 패킷 세트들을 이용하여 학습된,
    컴퓨터 판독가능 저장 매체에 저장된 컴퓨터 프로그램.
  9. 제 1 항에 있어서,
    상기 어노말리 모델의 출력을 이용하여 상기 네트워크 패킷 세트에 관한 2차 어노말리 여부를 판단하는 동작은,
    상기 어노말리 모델의 입력과 출력 간 오차 값과 사전 결정된 2차 어노말리 임계 값을 비교하여 상기 2차 어노말리 여부를 판단하는 동작;
    을 포함하는,
    컴퓨터 판독가능 저장 매체에 저장된 컴퓨터 프로그램.
  10. 제 9 항에 있어서,
    상기 2차 어노말리 임계 값은 정상 네트워크 패킷 세트들을 학습이 완료된 상기 어노말리 모델을 이용하여 연산하고, 상기 정상 네트워크 패킷 세트들 각각에 대한 상기 어노말리 모델의 입력과 출력 간의 오차 값들을 이용하여, 어노말리를 포함하지 않는 네트워크 패킷 세트를 상기 2차 어노말리 임계 값을 기준으로 하여 판별할 수 있도록 결정된,
    컴퓨터 판독가능 저장 매체에 저장된 컴퓨터 프로그램.
  11. 제 1 항에 있어서,
    상기 2차 어노말리 여부에 따른 어노말리 판단의 정확도를 연산하는 동작; 및
    상기 어노말리 판단의 정확도가 사전 결정된 임계 값 이하로 판단되는 경우, 상기 1차 어노말리 여부의 판단의 기초가 되는 1차 어노말리 임계 값 또는 상기 2차 어노말리 여부의 판단의 기초가 되는 2차 어노말리 임계 값 중 적어도 하나를 조정하는 동작;
    을 더 포함하는,
    컴퓨터 판독가능 저장 매체에 저장된 컴퓨터 프로그램.
  12. 제 1 항에 있어서,
    상기 네트워크 패킷 세트와 사전 저장된 어노말리 유형을 비교하여 상기 네트워크 패킷 세트에 관한 어노말리 여부를 판단하는 동작;
    을 더 포함하는,
    컴퓨터 판독가능 저장 매체에 저장된 컴퓨터 프로그램.
  13. 네트워크 어노말리 탐지를 제공하기 위한 방법으로서,
    하나 이상의 네트워크 패킷을 포함하는 네트워크 패킷 세트를 수신하는 단계;
    상기 네트워크 패킷 세트를 이용하여 엔트로피 값을 연산하는 단계;
    상기 엔트로피 값을 이용하여 상기 네트워크 패킷 세트에 관한 1차 어노말리 여부를 판단하는 단계;
    상기 1차 어노말리 여부의 판단에 기초하여 하나 이상의 네트워크 함수를 포함하는 어노말리 모델을 이용하여 상기 네트워크 패킷 세트를 연산하는 단계; 및
    상기 어노말리 모델의 출력을 이용하여 상기 네트워크 패킷 세트에 관한 2차 어노말리 여부를 판단하는 단계;
    를 포함하는,
    네트워크 어노말리 탐지를 제공하기 위한 방법.
  14. 네트워크 어노말리 탐지를 제공하기 위한 서버로서,
    하나 이상의 코어를 포함하는 프로세서; 및
    메모리;
    를 포함하고,
    상기 프로세서는,
    하나 이상의 네트워크 패킷을 포함하는 네트워크 패킷 세트를 수신하고,
    상기 네트워크 패킷 세트를 이용하여 엔트로피 값을 연산하고,
    상기 엔트로피 값을 이용하여 상기 네트워크 패킷 세트에 관한 1차 어노말리 여부를 판단하고,
    상기 1차 어노말리 여부의 판단에 기초하여 하나 이상의 네트워크 함수를 포함하는 어노말리 모델을 이용하여 상기 네트워크 패킷 세트를 연산하고, 그리고
    상기 어노말리 모델의 출력을 이용하여 상기 네트워크 패킷 세트에 관한 2차 어노말리 여부를 판단하는,
    네트워크 어노말리 탐지를 제공하기 위한 서버.
KR1020190154290A 2019-11-27 2019-11-27 네트워크 어노말리 탐지 방법 KR20210065493A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020190154290A KR20210065493A (ko) 2019-11-27 2019-11-27 네트워크 어노말리 탐지 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020190154290A KR20210065493A (ko) 2019-11-27 2019-11-27 네트워크 어노말리 탐지 방법

Publications (1)

Publication Number Publication Date
KR20210065493A true KR20210065493A (ko) 2021-06-04

Family

ID=76391695

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020190154290A KR20210065493A (ko) 2019-11-27 2019-11-27 네트워크 어노말리 탐지 방법

Country Status (1)

Country Link
KR (1) KR20210065493A (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102370661B1 (ko) * 2021-07-02 2022-03-07 주식회사 모비젠 각 세대에 배치된 IoT기기들의 이상트래픽 탐지 방법 및 그 시스템
KR102386284B1 (ko) * 2021-07-19 2022-04-29 주식회사 샌즈랩 비정상 데이터 탐지를 위한 트리거 모듈

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102370661B1 (ko) * 2021-07-02 2022-03-07 주식회사 모비젠 각 세대에 배치된 IoT기기들의 이상트래픽 탐지 방법 및 그 시스템
KR102386284B1 (ko) * 2021-07-19 2022-04-29 주식회사 샌즈랩 비정상 데이터 탐지를 위한 트리거 모듈
KR102386282B1 (ko) * 2021-07-19 2022-05-10 주식회사 샌즈랩 비정상 데이터 탐지 시스템 및 방법
WO2023003067A1 (ko) * 2021-07-19 2023-01-26 주식회사 샌즈랩 비정상 데이터 탐지 시스템 및 방법

Similar Documents

Publication Publication Date Title
US10621027B2 (en) IT system fault analysis technique based on configuration management database
Palmieri et al. A distributed approach to network anomaly detection based on independent component analysis
KR101910926B1 (ko) It 시스템의 장애 이벤트를 처리하기 위한 기법
KR102279983B1 (ko) 딥러닝 알고리즘을 이용한 비지도 방식의 네트워크 침입 탐지 방법 및 이를 실행하기 위한 프로그램이 기록된 기록매체
KR102283523B1 (ko) 인공지능 서비스를 제공하기 위한 방법
Ortet Lopes et al. Towards effective detection of recent DDoS attacks: A deep learning approach
CN112348080A (zh) 基于工控异常检测的rbf改进方法、装置和设备
CN110113368B (zh) 一种基于子轨迹模式的网络行为异常检测方法
KR20210065493A (ko) 네트워크 어노말리 탐지 방법
KR20210098914A (ko) 데이터 분석 방법
Agrawal et al. Autoencoder for Design of Mitigation Model for DDOS Attacks via M‐DBNN
Almarshdi et al. Hybrid Deep Learning Based Attack Detection for Imbalanced Data Classification.
Bebeshko et al. Use of Neural Networks for Predicting Cyberattacks.
Chiba et al. A clever approach to develop an efficient deep neural network based IDS for cloud environments using a self-adaptive genetic algorithm
Sherubha et al. An Efficient Unsupervised Learning Approach for Detecting Anomaly in Cloud.
Jingjing et al. Intrusion Detection Model for Wireless Sensor Networks Based on MC‐GRU
Sandhya et al. Enhancing the Performance of an Intrusion Detection System Using Spider Monkey Optimization in IoT.
KR102624299B1 (ko) 연합 학습을 위한 지역 신경망 모델 학습 방법
KR20190030193A (ko) It 시스템의 장애 이벤트를 처리하기 위한 기법
Qin et al. Network traffic classification based on SD sampling and hierarchical ensemble learning
Vibhute et al. An LSTM‐based novel near‐real‐time multiclass network intrusion detection system for complex cloud environments
Xie et al. Research and application of intrusion detection method based on hierarchical features
KR20190038526A (ko) 구성정보 관리 데이터베이스 기반의 it 시스템 장애 분석 기법
Mol et al. Classification of Network Intrusion Attacks Using Machine Learning and Deep Learning^
US20150113645A1 (en) System and method for operating point and box enumeration for interval bayesian detection

Legal Events

Date Code Title Description
E601 Decision to refuse application