KR20210073391A - 머신러닝을 이용한 악성 트래픽 탐지 방법, 장치, 이를 위한 컴퓨터 프로그램 및 컴퓨터 판독가능한 기록매체 - Google Patents

머신러닝을 이용한 악성 트래픽 탐지 방법, 장치, 이를 위한 컴퓨터 프로그램 및 컴퓨터 판독가능한 기록매체 Download PDF

Info

Publication number
KR20210073391A
KR20210073391A KR1020190164186A KR20190164186A KR20210073391A KR 20210073391 A KR20210073391 A KR 20210073391A KR 1020190164186 A KR1020190164186 A KR 1020190164186A KR 20190164186 A KR20190164186 A KR 20190164186A KR 20210073391 A KR20210073391 A KR 20210073391A
Authority
KR
South Korea
Prior art keywords
traffic
machine learning
malicious traffic
dataset
data set
Prior art date
Application number
KR1020190164186A
Other languages
English (en)
Other versions
KR102304324B1 (ko
Inventor
진철규
김동화
김용현
이동환
Original Assignee
국방과학연구소
주식회사 윈스
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 국방과학연구소, 주식회사 윈스 filed Critical 국방과학연구소
Priority to KR1020190164186A priority Critical patent/KR102304324B1/ko
Publication of KR20210073391A publication Critical patent/KR20210073391A/ko
Application granted granted Critical
Publication of KR102304324B1 publication Critical patent/KR102304324B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/24Traffic characterised by specific attributes, e.g. priority or QoS
    • H04L47/2441Traffic characterised by specific attributes, e.g. priority or QoS relying on flow classification, e.g. using integrated services [IntServ]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL

Landscapes

  • Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • Medical Informatics (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Evolutionary Computation (AREA)
  • Data Mining & Analysis (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Artificial Intelligence (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

머신러닝을 이용한 악성 트래픽 탐지 방법이 개시된다. 본 발명의 악성 트래픽 탐지 방법은 네트워크 트래픽을 수집하는 단계, 기 설정된 위협 탐지 패턴에 기초하여, 수집된 네트워크 트래픽을 정상 트래픽 및 악성 트래픽으로 분류하는 단계, 분류된 악성 트래픽으로부터 머신러닝을 위한 메인 데이터셋을 추출하는 단계, 메인 데이터셋으로부터 복수의 구성 항목으로 분류된 서브 데이터셋을 가공하는 단계, 메인 데이터셋 및 서브 데이터셋에 기초하여 머신러닝을 수행하는 단계, 수행된 머신러닝에 따른 결과에 기초하여 새로운 위협 탐지 패턴을 생성하는 단계 및, 생성된 새로운 위협 탐지 패턴에 기초하여, 수신되는 네트워크 트래픽 중 악성 트래픽을 탐지하는 단계를 포함한다.

Description

머신러닝을 이용한 악성 트래픽 탐지 방법, 장치, 이를 위한 컴퓨터 프로그램 및 컴퓨터 판독가능한 기록매체 {METHOD AND APPARATUS FOR DETECTING MALICIOUS TRAFFIC USING MACHINE LEARNING, COMPUTER PROGRAM AND COMPUTER-READABLE RECORD MEDIUN FOR THE SAME}
본 발명은 머신러닝을 이용한 악성 트래픽 탐지 방법, 장치, 이를 위한 컴퓨터 프로그램 및 컴퓨터 판독가능한 기록매체에 관한 것으로, 보다 상세하게는 수집된 악성 트래픽으로부터 머신 러닝을 위한 데이터셋 추출이 가능한 악성 트래픽 탐지 방법, 장치, 이를 위한 컴퓨터 프로그램 및 컴퓨터 판독가능한 기록매체에 관한 것이다.
매년 다양한 소프트웨어의 취약점이 공개되고, 수 만 가지의 공개된 취약점을 기반으로 전세계적으로 다양한 공격들이 일어나고 있다. 많은 보안 전문가들이 발 빠르게 탐지 패턴을 개발하여, 공개된 취약점을 활용한 악성 트래픽을 차단하고 있다.
그러나, 하나의 취약점이 공개되면, 수많은 변종 취약점이 등장하게 된다. 변종 악성 트래픽이 기존 탐지 패턴에 의해 탐지되지 않는다면 많은 인적자원이 투입되어 모니터링 및 패턴 개발이 이루어져야 한다. 이 경우, 많은 시간과 기술 또한 필요하며, 인적자원 부족으로 제시간에 적절한 대응이 이루어지지 못할 수도 있다.
본 발명의 목적은 기존 탐지된 악성 트래픽을 활용하여 인공지능에 의한 학습을 하기 위한 최적의 데이터셋 추출 기법의 알고리즘을 제공하는 데에 있다.
상술한 목적을 달성하기 위한 본 발명의 일 실시 예에 따른 머신러닝을 이용한 악성 트래픽 탐지 방법은 네트워크 트래픽을 수집하는 단계, 기 설정된 위협 탐지 패턴에 기초하여, 상기 수집된 네트워크 트래픽을 정상 트래픽 및 악성 트래픽으로 분류하는 단계, 상기 분류된 악성 트래픽으로부터 상기 머신러닝을 위한 메인 데이터셋을 추출하는 단계, 상기 메인 데이터셋으로부터 복수의 구성 항목으로 분류된 서브 데이터셋을 가공하는 단계, 상기 메인 데이터셋 및 서브 데이터셋에 기초하여 상기 머신러닝을 수행하는 단계, 상기 수행된 머신러닝에 따른 결과에 기초하여 새로운 위협 탐지 패턴을 생성하는 단계 및, 상기 생성된 새로운 위협 탐지 패턴에 기초하여, 수신되는 네트워크 트래픽 중 악성 트래픽을 탐지하는 단계를 포함한다.
이때, 상기 서브 데이터셋은 호스트(host), 포트(port), 메서드(method), URI, 페이로드(payload) 및 헤더(header) 중 적어도 하나의 구성 항목을 포함할 수 있다.
또한, 상기 URI, 페이로드 및 헤더는 상기 머신러닝에서 다른 구성 항목보다 가중치가 높게 부여될 수 있다.
또한, 상기 URI은 상기 메인 데이터셋으로부터, 슬래쉬(/)에 기초하여 추출되고, 상기 페이로드는 상기 메인 데이터셋으로부터, 특수문자를 기준으로 최소 8바이트(byte) 이상으로 구성되는 문자열에 기초하여 추출되며, 상기 헤더는 상기 메인 데이터셋으로부터, 콜론(:)에 기초하여 추출될 수 있다.
또한, 상기 악성 트래픽 탐지 방법은 상기 생성된 새로운 위협 탐지 패턴에 대하여 정오탐 판단을 수행하는 단계 및, 상기 정오탐 판단 결과에 기초하여, 상기 새로운 위협 탐지 패턴 및 상기 복수의 구성 항목에 부여된 가중치 중 적어도 하나를 조정하는 단계를 더 포함할 수 있다.
한편, 본 발명의 일 실시 예에 따른 머신러닝을 이용한 악성 트래픽 탐지 장치는 네트워크 트래픽을 수집하고, 기 설정된 위협 탐지 패턴에 기초하여, 상기 수집된 네트워크 트래픽을 정상 트래픽 및 악성 트래픽으로 분류하는 수신 모듈, 상기 분류된 악성 트래픽으로부터 상기 머신러닝을 위한 메인 데이터셋을 추추ㅎ하고, 상기 메인 데이터셋으로부터 복수의 구성 항목으로 분류된 서브 데이터셋을 가공하며, 상기 메인 데이터셋 및 서브 데이터셋에 기초하여 상기 머신러닝을 수행하는 훈련 모듈 및, 상기 수행된 머신러닝에 따른 결과에 기초하여 새로운 위협 탐지 패턴을 생성하는 생성 모듈을 포함한다.
또한, 상기 악성 트래픽 탐지 방법을 실행시키기 위한 컴퓨터판독가능한 기록매체에 저장된 컴퓨터프로그램이 제공될 수 있다.
또한, 상기 컴퓨터프로그램을 저장하는 컴퓨터판독가능한 기록매체가 제공될 수 있다.
본 발명에 따르면, 기존 발견된 악성 트래픽으로부터 인공지능에 의해 훈련 가능한 데이터 셋을 추출하고, 이에 의해 향후 발생할 신규 및 변종 악성 트래픽에 의한 공격을 탐지할 수 있게 된다.
도 1은 본 발명의 일 실시 예에 따른 악성 트래픽 탐지 장치의 각 구성을 간략히 도시한 블록도,
도 2는 본 발명의 일 실시 예에 따른 악성 트래픽 탐지 방법을 설명하기 위한 흐름도,
도 3은 본 발명의 다른 실시 예에 따른 악성 트래픽 탐지 방법을 간략히 설명하기 위한 흐름도이다.
먼저, 본 명세서 및 청구범위에서 사용되는 용어는 본 발명의 다양한 실시 예들에서의 기능을 고려하여 일반적인 용어들을 선택하였다. 하지만, 이러한 용어들은 당 분야에 종사하는 기술자의 의도나 법률적 또는 기술적 해석 및 새로운 기술의 출현 등에 따라 달라질 수 있다. 또한, 일부 용어는 출원인이 임의로 선정한 용어일 수 있다. 이러한 용어에 대해서는 본 명세서에서 정의된 의미로 해석될 수 있으며, 구체적인 용어 정의가 없으면 본 명세서의 전반적인 내용 및 당해 기술 분야의 통상적인 기술 상식을 토대로 해석될 수도 있다.
또한, 본 명세서에 첨부된 각 도면에 기재된 동일한 참조 번호 또는 부호는 실질적으로 동일한 기능을 수행하는 부품 또는 구성요소를 나타낸다. 설명 및 이해의 편의를 위해서 서로 다른 실시 예들에서도 동일한 참조번호 또는 부호를 사용하여 설명하도록 한다. 즉, 복수의 도면에서 동일한 참조 번호를 가지는 구성 요소를 모두 도시하고 있다고 하더라도, 복수의 도면들이 하나의 실시 예를 의미하는 것은 아니다.
또한, 본 명세서 및 청구범위에서는 구성요소들 간의 구별을 위하여 '제1', '제2' 등과 같이 서수를 포함하는 용어가 사용될 수 있다. 이러한 서수는 동일 또는 유사한 구성 요소들을 서로 구별하기 위하여 사용하는 것이며, 이러한 서수 사용으로 인하여 용어의 의미가 한정 해석되어서는 안될 것이다. 일 예로, 이러한 서수와 결합된 구성 요소는 그 숫자에 의해 사용 순서나 배치 순서 등이 제한 해석되어서는 안된다. 필요에 따라서는, 각 서수들은 서로 교체되어 사용될 수도 있다.
본 명세서에서 단수의 표현은 문맥상 명백하게 다름을 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, '포함하다' 또는 '구성하다' 등의 용어는 명세서 상에 기재된 특징, 숫자, 단계, 동작, 구성 요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성 요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
또한, 본 발명의 실시 예에서, 어떤 부분이 다른 부분과 연결되어 있다고 할 때, 이는 직접적인 연결뿐 아니라, 다른 매체를 통한 간접적인 연결의 경우도 포함한다. 또한 어떤 부분이 어떤 구성 요소를 포함한다는 의미는, 특별히 반대되는 기재가 없는 한 다른 구성 요소를 제외하는 것이 아니라 다른 구성 요소를 더 포함할 수 있다는 것을 의미한다.
이하, 첨부된 도면을 참조하여 본 발명을 더욱 구체적으로 설명하기로 한다.
도 1은 본 발명의 일 실시 예에 따른 악성 트래픽 탐지 장치의 각 구성을 간략히 도시한 블록도이다.
본 발명의 악성 트래픽 탐지 장치(100)는 수신모듈(110), 훈련모듈(120) 및 탐지모듈(130)을 포함한다.
수신모듈(110)은 실시간으로 유입되는 네트워크 트래픽(traffic)을 수신하고, 기 저장된 위협 탐지 패턴을 이용하여 수신된 네트워크 트래픽을 정상 트래픽과 악성 트래픽으로 분류할 수 있다.
트래픽은 정의상으로는 일정 시간 내에 네트워크 상에서 움직이는 데이터의 양을 의미하나, 일반적으로 데이터의 전송 단위를 의미하는 패킷(packet)의 의미와 혼용되어 쓰이므로, 여기서는 후자의 의미로 사용하는 것으로 정의한다.
수신모듈(110)은 수신된 트래픽으로부터 분류된 악성 트래픽을 훈련모듈(120)로 전달할 수 있다. 이때, 수신모듈(110)은 수신된 트래픽을 임의로 정의한 증적 단위로 수집하고, 증적 단위로 수집된 트래픽으로부터 정상 트래픽 및 악성 트래픽을 구분하여 분류할수 있다.
훈련모듈(120)은 수신모듈(110)로부터 수신된 악성 트래픽의 악성 트래픽 탐지 패턴으로부터 머신 러닝을 위한 메인 데이터셋(main dataset)을 추출할 수 있다.
메인 데이터셋은 머신 러닝을 진행할 때 가장 신뢰도가 높은 데이터셋으로 정의될 수 있다.
훈련모듈(120)은 메인 데이터셋을 기반으로 서브 데이터셋을 가공할 수 있으며, 서브 데이터셋은 메인 데이터셋을 구성하는 각 구성 항목에 따라 분류된 데이터셋일 수 있다.
도 1에 도시된 바와 같이, 서브 데이터셋은 호스트(host), 포트(port), 메서드(method), URI, 페이로드(payload) 및 헤더(header) 중 적어도 하나의 구성 항목을 포함할 수 있다. 다만, 이하 실시 예에서는 서브 데이터셋이 호스트, 포트, 메서드, URI, 페이로드 및 헤더를 모두 포함하는 것으로 한다.
서브 데이터셋은 머신러닝에 있어, 악성 트래픽에 대한 신뢰도가 가장 높은 구성 항목인 URI, 페이로드 및 헤더의 가중치를 타 구성 항목보다 높게 선정할 수 있다.
훈련 모듈(120)은 메인 데이터셋으로부터, 슬래쉬(/)에 기초하여 URI를 추출할 수 있다.
또한, 훈련 모듈(120)은 메인 데이터셋으로부터, 특수문자를 기준으로 최소 8바이트(byte) 이상으로 구성되는 문자열에 기초하여 페이로드를 추출할 수 있다.
또한, 훈련 모듈(120)은 메인 데이터셋으로부터, 콜론(:)에 기초하여 헤더를 추출할 수 있다.
훈련 모듈(120)은 메인 데이터셋 및 상기 가공된 서브 데이터셋에 대하여, 머신러닝을 수행할 수 있다.
즉, 훈련 모듈(120)은 악성 트래픽 탐지 알고리즘을 통해 탐지된 네트워크 트래픽을 각 구조별로 분류하고, 머신러닝에 활용될 수 있는 실용적인 데이터셋으로 분류하게 된다.
탐지모듈(130)은 악성 트래픽을 탐지하는 모듈이다.
탐지모듈(130)은 훈련 모듈(120)에서 훈련된 데이터셋에 기초하여, 메인 데이터셋을 포함하는 패턴 및 메인 데이터셋을 포함하지 않는 패턴의 두 가지 새로운 탐지 패턴을 생성할 수 있다. 탐지모듈(130)은 생성된 두 가지 탐지 패턴에 기초하여, 수신된 네트워크 트래픽 중에서 정상 트래픽 및 악성 트래픽을 구분할 수 있다.
또한, 탐지모듈(130)은 생성된 새로운 위협 탐지 패턴에 대하여, 정오탐 판단을 수행할 수 있다. 탐지모듈(130)은 정오탐 판단 결과에 기초하여, 새로운 위협 탐지 패턴 및 복수의 구성 항목에 부여된 가중치 중 적어도 하나를 조정할 수 있다(세부사항 조정).
이러한, 조정 작업은 반복적으로 수행될 수 있으며, 이러한 조정 작업이 반복 수행될수록 머신러닝에 의한 위협 탐지 패턴의 고도화가 진행될 수 있다.
도 2는 본 발명의 일 실시 예에 따른 악성 트래픽 탐지 방법을 설명하기 위한 흐름도이다.
먼저, 네트워크 트래픽을 수집한다(S210).
이후, 기 설정된 위협 탐지 패턴에 기초하여, 수집된 네트워크 트래픽을 정상 트래픽 및 악성 트래픽으로 분류한다(S220).
이후, 분류된 악성 트래픽으로부터 머신러닝을 위한 메인 데이터셋을 추출한다(S230).
이후, 메인 데이터셋으로부터 복수의 구성 항목으로 분류된 서브 데이터셋을 가공한다(S240). 이때, 서브 데이터셋은, 호스트, 포트, 메서드, URI, 페이로드 및 헤더 중 적어도 하나의 구성 항목을 포함할 수 있다. 또한, URI, 페이로드 및 헤더는 머신러닝에서 다른 구성 항목보다 가중치가 높게 부여될 수 있다.
또한, URI는 메인 데이터셋으로부터, 슬래쉬(/)에 기초하여 추출될 수 있다. 페이로드는, 메인 데이터셋으로부터, 특수문자를 기준으로 최소 8바이트 이상으로 구성되는 문자열에 기초하여 추출될 수 있다. 헤더는 메인 데이터셋으로부터, 콜론(:)에 기초하여 추출될 수 있다.
이후, 메인 데이터셋 및 서브 데이터셋에 기초하여 머신러닝을 수행한다(S250).
이후, 수행된 머신러닝에 따른 결과에 기초하여 새로운 위협 탐지 패턴을 생성한다(S260).
이때, 생성된 새로운 위협 탐지 패턴에 대하여 정오탐 판단을 수행하고, 정오탐 판단 결과에 기초하여, 새로운 위협 탐지 패턴 및 복수의 구성 항목에 부여된 가중치 중 적어도 하나를 조정할 수도 있다.
이후, 생성된 새로운 위협 탐지 패턴에 기초하여, 수신되는 네트워크 트래픽 중 악성 트래픽을 탐지한다(S270).
도 3은 본 발명의 다른 실시 예에 따른 악성 트래픽 탐지 방법을 간략히 설명하기 위한 흐름도이다.
먼저, 트래픽을 실시간으로 수신한 후(S310), 수신된 트래픽을 기 설정된 증적단위로 수집할 수 있다(S320).
이후, 기 저장된 위협 탐지 패턴에 기초하여, 수집된 트래픽이 악성 트래픽인지 여부를 판단할 수 있다(S330). 수집된 트래픽이 정상 트래픽이라고 판단된 경우(S330:N) 트래픽을 계속적으로 수신하고, 수집된 트래픽이 악성 트래픽이라고 판단된 경우(S330:Y) 악성 트래픽으로부터 머신러닝을 위한 메인 데이터셋을 추출한다(S340).
추출된 메인 데이터셋으로부터 호스트, 포트, 메서드, URI, 페이로드 및 헤더 등의 6단계 구성항목으로 분류된 서브 데이터셋을 추출할 수 있고(S350), 추출된 서브 데이터셋을 각 목적에 맞게 적합한 문자열로 재분류할 수 있다(S360).
이후, 메인 데이터셋 및 서브 데이터셋을 활용하여, 새로운 악성 트래픽 탐지 패턴을 생성하고(S370), 생성된 새로운 악성 트래픽 탐지 패턴의 정오탐 판단을 수행한다(S380).
새로운 악성 트래픽 탐지 패턴에 의해 악성 트래픽이 정상 탐지되지 않으면(S380:N), 메인 데이터셋을 추출하는 과정을 다시 수행하고, 악성 트래픽이 정상 탐지되면, 악성 트래픽 탐지 패턴 및 서브 데이터셋의 6단계 구성항목에 부여된 가중치 등 세부사항을 조정하는 과정을 거친다(S390).
상술한 다양한 실시 예에 따른 머신러닝을 이용한 악성 트래픽 탐지 방법은 프로그램으로 구현되어 다양한 기록 매체에 저장될 수 있다. 즉, 각종 프로세서에 의해 처리되어 상술한 악성 트래픽 탐지 방법을 실행할 수 있는 컴퓨터 프로그램이 기록 매체에 저장된 상태로 사용될 수도 있다.
일 예로, ⅰ)네트워크 트래픽을 수집하는 단계, ⅱ)기 설정된 위협 탐지 패턴에 기초하여, 수집된 네트워크 트래픽을 정상 트래픽 및 악성 트래픽으로 분류하는 단계, ⅲ)분류된 악성 트래픽으로부터 머신러닝을 위한 메인 데이터셋을 추출하는 단계, ⅳ)메인 데이터셋으로부터 복수의 구성 항목으로 분류된 서브 데이터셋을 가공하는 단계, ⅴ)메인 데이터셋 및 서브 데이터셋에 기초하여 머신러닝을 수행하는 단계, ⅵ) 수행된 머신러닝에 따른 결과에 기초하여 새로운 위협 탐지 패턴을 생성하는 단계 및, ⅶ) 생성된 새로운 위협 탐지 패턴에 기초하여, 수신되는 네트워크 트래픽 중 악성 트래픽을 탐지하는 단계를 수행하는 프로그램이 저장된 비일시적 판독 가능 매체(non-transitory computer readable medium)가 제공될 수 있다.
한편, 이상에서는 본 발명의 바람직한 실시 예에 대하여 도시하고 설명하였지만, 본 발명은 상술한 특정의 실시 예에 한정되지 아니하며, 청구범위에서 청구하는 본 발명의 요지를 벗어남이 없이 당해 발명이 속하는 기술분야에서 통상의 지식을 가진 자에 의해 다양한 변형실시가 가능한 것은 물론이고, 이러한 변형실시들은 본 발명의 기술적 사상이나 전망으로부터 개별적으로 이해되어져서는 안될 것이다.
100: 악성 트래픽 탐지 장치 110: 수신 모듈
120: 훈련 모듈 130: 탐지 모듈

Claims (8)

  1. 머신러닝을 이용한 악성 트래픽 탐지 방법에 있어서,
    네트워크 트래픽을 수집하는 단계;
    기 설정된 위협 탐지 패턴에 기초하여, 상기 수집된 네트워크 트래픽을 정상 트래픽 및 악성 트래픽으로 분류하는 단계;
    상기 분류된 악성 트래픽으로부터 상기 머신러닝을 위한 메인 데이터셋을 추출하는 단계;
    상기 메인 데이터셋으로부터 복수의 구성 항목으로 분류된 서브 데이터셋을 가공하는 단계;
    상기 메인 데이터셋 및 서브 데이터셋에 기초하여 상기 머신러닝을 수행하는 단계;
    상기 수행된 머신러닝에 따른 결과에 기초하여 새로운 위협 탐지 패턴을 생성하는 단계; 및
    상기 생성된 새로운 위협 탐지 패턴에 기초하여, 수신되는 네트워크 트래픽 중 악성 트래픽을 탐지하는 단계;를 포함하는 악성 트래픽 탐지 방법.
  2. 제1항에 있어서,
    상기 서브 데이터셋은,
    호스트(host), 포트(port), 메서드(method), URI, 페이로드(payload) 및 헤더(header) 중 적어도 하나의 구성 항목을 포함하는 것을 특징으로 하는, 악성 트래픽 탐지 방법.
  3. 제2항에 있어서,
    상기 URI, 페이로드 및 헤더는,
    상기 머신러닝에서 다른 구성 항목보다 가중치가 높게 부여되는 것을 특징으로 하는, 악성 트래픽 탐지 방법.
  4. 제3항에 있어서,
    상기 URI은,
    상기 메인 데이터셋으로부터, 슬래쉬(/)에 기초하여 추출되고,
    상기 페이로드는,
    상기 메인 데이터셋으로부터, 특수문자를 기준으로 최소 8바이트(byte) 이상으로 구성되는 문자열에 기초하여 추출되며,
    상기 헤더는,
    상기 메인 데이터셋으로부터, 콜론(:)에 기초하여 추출되는 것을 특징으로 하는, 악성 트래픽 탐지 방법.
  5. 제1항에 있어서,
    상기 생성된 새로운 위협 탐지 패턴에 대하여 정오탐 판단을 수행하는 단계; 및
    상기 정오탐 판단 결과에 기초하여, 상기 새로운 위협 탐지 패턴 및 상기 복수의 구성 항목에 부여된 가중치 중 적어도 하나를 조정하는 단계;를 더 포함하는 것을 특징으로 하는, 악성 트래픽 탐지 방법.
  6. 머신러닝을 이용한 악성 트래픽 탐지 장치에 있어서,
    네트워크 트래픽을 수집하고, 기 설정된 위협 탐지 패턴에 기초하여, 상기 수집된 네트워크 트래픽을 정상 트래픽 및 악성 트래픽으로 분류하는 수신 모듈;
    상기 분류된 악성 트래픽으로부터 상기 머신러닝을 위한 메인 데이터셋을 추추ㅎ하고, 상기 메인 데이터셋으로부터 복수의 구성 항목으로 분류된 서브 데이터셋을 가공하며, 상기 메인 데이터셋 및 서브 데이터셋에 기초하여 상기 머신러닝을 수행하는 훈련 모듈; 및
    상기 수행된 머신러닝에 따른 결과에 기초하여 새로운 위협 탐지 패턴을 생성하는 생성 모듈;을 포함하는 악성 트래픽 탐지 장치.
  7. 제1항 내지 제5항 중 어느 한 항의 방법을 실행시키기 위해 컴퓨터판독가능한 기록매체에 저장된 컴퓨터프로그램.
  8. 제7항의 컴퓨터프로그램을 저장하는 컴퓨터판독가능한 기록매체.
KR1020190164186A 2019-12-10 2019-12-10 머신러닝을 이용한 악성 트래픽 탐지 방법, 장치, 이를 위한 컴퓨터 프로그램 및 컴퓨터 판독가능한 기록매체 KR102304324B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020190164186A KR102304324B1 (ko) 2019-12-10 2019-12-10 머신러닝을 이용한 악성 트래픽 탐지 방법, 장치, 이를 위한 컴퓨터 프로그램 및 컴퓨터 판독가능한 기록매체

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020190164186A KR102304324B1 (ko) 2019-12-10 2019-12-10 머신러닝을 이용한 악성 트래픽 탐지 방법, 장치, 이를 위한 컴퓨터 프로그램 및 컴퓨터 판독가능한 기록매체

Publications (2)

Publication Number Publication Date
KR20210073391A true KR20210073391A (ko) 2021-06-18
KR102304324B1 KR102304324B1 (ko) 2021-09-24

Family

ID=76623496

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020190164186A KR102304324B1 (ko) 2019-12-10 2019-12-10 머신러닝을 이용한 악성 트래픽 탐지 방법, 장치, 이를 위한 컴퓨터 프로그램 및 컴퓨터 판독가능한 기록매체

Country Status (1)

Country Link
KR (1) KR102304324B1 (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114079579A (zh) * 2021-10-21 2022-02-22 北京天融信网络安全技术有限公司 一种恶意加密流量检测方法及装置
KR102443811B1 (ko) * 2021-11-12 2022-09-19 주식회사 에프원시큐리티 인공지능 자가학습형 웹방화벽 서비스 제공 시스템 및 방법

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101606088B1 (ko) * 2014-12-29 2016-04-04 주식회사 시큐아이 악성 코드 탐지 방법 및 장치
KR101949338B1 (ko) * 2018-11-13 2019-02-18 (주)시큐레이어 기계 학습 모델에 기반하여 페이로드로부터 sql 인젝션을 탐지하는 방법 및 이를 이용한 장치
KR20190102744A (ko) * 2018-02-27 2019-09-04 아주대학교산학협력단 악성코드를 탐지하기 위한 방법 및 장치

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101606088B1 (ko) * 2014-12-29 2016-04-04 주식회사 시큐아이 악성 코드 탐지 방법 및 장치
KR20190102744A (ko) * 2018-02-27 2019-09-04 아주대학교산학협력단 악성코드를 탐지하기 위한 방법 및 장치
KR101949338B1 (ko) * 2018-11-13 2019-02-18 (주)시큐레이어 기계 학습 모델에 기반하여 페이로드로부터 sql 인젝션을 탐지하는 방법 및 이를 이용한 장치

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114079579A (zh) * 2021-10-21 2022-02-22 北京天融信网络安全技术有限公司 一种恶意加密流量检测方法及装置
CN114079579B (zh) * 2021-10-21 2024-03-15 北京天融信网络安全技术有限公司 一种恶意加密流量检测方法及装置
KR102443811B1 (ko) * 2021-11-12 2022-09-19 주식회사 에프원시큐리티 인공지능 자가학습형 웹방화벽 서비스 제공 시스템 및 방법

Also Published As

Publication number Publication date
KR102304324B1 (ko) 2021-09-24

Similar Documents

Publication Publication Date Title
CN109714322B (zh) 一种检测网络异常流量的方法及其系统
CN106357618B (zh) 一种Web异常检测方法和装置
CN109005145B (zh) 一种基于自动特征抽取的恶意url检测系统及其方法
CN109117634B (zh) 基于网络流量多视图融合的恶意软件检测方法及系统
Cucchiarelli et al. Algorithmically generated malicious domain names detection based on n-grams features
Ning et al. Capjack: Capture in-browser crypto-jacking by deep capsule network through behavioral analysis
CN109309630A (zh) 一种网络流量分类方法、系统及电子设备
Piskozub et al. Malalert: Detecting malware in large-scale network traffic using statistical features
EP3608845B1 (en) System and method for using a user-action log to learn to classify encrypted traffic
Zhao et al. Evaluating and improving adversarial attacks on DNN-based modulation recognition
KR102304324B1 (ko) 머신러닝을 이용한 악성 트래픽 탐지 방법, 장치, 이를 위한 컴퓨터 프로그램 및 컴퓨터 판독가능한 기록매체
CN107360145A (zh) 一种多节点蜜罐系统及其数据分析方法
CN113268735B (zh) 分布式拒绝服务攻击检测方法、装置、设备和存储介质
CN108512841A (zh) 一种基于机器学习的智能防御系统及防御方法
CN111786951B (zh) 流量数据特征提取方法、恶意流量识别方法及网络系统
Chandre et al. Intrusion prevention system using convolutional neural network for wireless sensor network
CN117113262A (zh) 网络流量识别方法及其系统
KR20190028880A (ko) 봇넷 탐지 시스템을 학습하기 위한 학습 데이터를 생성하는 방법 및 그 장치
KR102620130B1 (ko) APT (Advanced Persistent Threat) 공격 탐지 방법 및 장치
JP2019148882A (ja) トラヒック特徴情報抽出装置、トラヒック特徴情報抽出方法、及びトラヒック特徴情報抽出プログラム
CN1223941C (zh) 一种基于相关特征聚类的层次入侵检测系统
US9398040B2 (en) Intrusion detection system false positive detection apparatus and method
RU172615U1 (ru) Устройство выявления низкоинтенсивных атак "отказ в обслуживании"
CN112235242A (zh) 一种c&c信道检测方法及系统
CN116155572A (zh) 一种基于集成学习的加密流量网络入侵检测方法

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant