KR20220084866A - 생성적 적대 신경망을 활용해 미 발견 네트워크 침입 유형을 탐지하는 시스템 및 방법 - Google Patents

생성적 적대 신경망을 활용해 미 발견 네트워크 침입 유형을 탐지하는 시스템 및 방법 Download PDF

Info

Publication number
KR20220084866A
KR20220084866A KR1020200174779A KR20200174779A KR20220084866A KR 20220084866 A KR20220084866 A KR 20220084866A KR 1020200174779 A KR1020200174779 A KR 1020200174779A KR 20200174779 A KR20200174779 A KR 20200174779A KR 20220084866 A KR20220084866 A KR 20220084866A
Authority
KR
South Korea
Prior art keywords
network
image data
data
service
unit
Prior art date
Application number
KR1020200174779A
Other languages
English (en)
Other versions
KR102497737B1 (ko
Inventor
조효석
최윤형
이유정
Original Assignee
한전케이디엔주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한전케이디엔주식회사 filed Critical 한전케이디엔주식회사
Priority to KR1020200174779A priority Critical patent/KR102497737B1/ko
Publication of KR20220084866A publication Critical patent/KR20220084866A/ko
Application granted granted Critical
Publication of KR102497737B1 publication Critical patent/KR102497737B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/04Processing captured monitoring data, e.g. for logfile generation
    • H04L43/045Processing captured monitoring data, e.g. for logfile generation for graphical visualisation of monitoring data

Landscapes

  • Engineering & Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • General Health & Medical Sciences (AREA)
  • Mathematical Physics (AREA)
  • Biophysics (AREA)
  • Evolutionary Computation (AREA)
  • Biomedical Technology (AREA)
  • Molecular Biology (AREA)
  • Artificial Intelligence (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • General Physics & Mathematics (AREA)
  • Computational Linguistics (AREA)
  • Software Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Hardware Design (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명에 따른 생성적 적대 신경망을 활용해 미 발견 네트워크 침입 유형을 탐지하는 시스템에 있어서, 침임 탐지 서비스를 받고자 하는 서비스 시스템; 상기 침입 탐지 서비스를 받고자 하는 서비스 네트워크; 상기 서비스 시스템 또는 서비스 네트워크에서 발생하는 네트워크 트래픽 정보를 실시간으로 수신하는 네트워크 트래픽 수신부; 상기 네트워크 트래픽 수신부가 수신한 네트워크 트래픽 정보를 실제 이미지 데이터로 변환 하는 이미지 변환부; 실제 존재하는 데이터가 아닌 실제와 유사한 가상의 침입 탐지 데이터로 가상 이미지 데이터를 생성하는 가상 이미지 데이터 생성부; 상기 실제 이미지 데이터와 가상 이미지 데이터 모두에 대한 진위 여부를 감별하는 데이터 감별부; 및 상기 데이터 감별부가 감별한 결과를 도식화하고 결과를 서비스 대상인 상기 서비스 시스템과 서비스 네트워크로 제공하는 시각화부;를 포함하여 지금까지 발견되지 않은 네트워크 공격 유형을 만들고, 이를 탐지하는 환경을 자동화함으로써 네트워크 공격 탐지 능력을 스스로 향상시킬 수 있는 효과가 있다.

Description

생성적 적대 신경망을 활용해 미 발견 네트워크 침입 유형을 탐지하는 시스템 및 방법{A SYSTEM AND METHOD FOR DETECTING UNDETECTED NETWORK INTRUSIONS TYPES USING GENERATIVE ADVERSARIAL NETWORK}
본 발명은 생성적 적대 신경망을 활용해 미 발견 네트워크 침입 유형을 탐지하는 시스템 및 방법에 관한 것으로써, 더욱 상세하게는 생성적 적대 신경망(Generative Adversarial Network, 이하 GAN)을 이용해 정상 네트워크 트래픽과 유사한 새로운 침입 유형 트래픽을 자동적으로 생성해 이를 정상·비정상 네트워크 트래픽과 더한 후, 분류하는 작업을 반복적으로 수행하면서 새로운 형태의 네트워크 침입을 탐지하는 능력을 자동적·지속적으로 강화 할 수 있는 생성적 적대 신경망을 활용해 미 발견 네트워크 침입 유형을 탐지하는 시스템 및 방법에 관한 것이다.
과거의 네트워크 침입 유형은 지금처럼 복잡하지 않았고, 공격 기법 또한 그리 정교하지 않아 방화벽이나 IDS와 같은 단순 방어 시스템만 있어도 보안 위협에 대응이 가능했으며, 정화함 보다는 통계적 가능성을 배경으로 하는 인공지능 기술과 확실한 판단을 요구하는 정보보안 분야에서 인공지능은 굳이 필요하지 않았다.
이러한 이유에도 최근 네트워크 보안 분야에서 인공지능 기술은 기존의 전통적인 방어 수단으로 더 이상 대응이 어려울 만큼 진화하는 네트워크 공격 기법에 대응하기 위한 새로운 대안으로 자리잡고 있다.
확실한 판단을 요구하는 보안 분야에서 인공지능의 불확실성을 가능한 해소하기 위해 관리자나 운영자가 정상 또는 비정상(공격) 네트워크 트래픽을 확인한 데이터를 기반으로 진행되는 '지도학습' 위주로 적용되고 있다.
하지만, 지도학습 형태의 인공지능 기술은 정상·비정상이 확인된 과거의 데이터를 가지고 학습한 모델을 바탕으로 새로운 네트워크 트래픽에 대한 정상·비정상 여부를 분류하는 방식이기 때문에, 이미 알려진 비정상(또는 공격) 유형의 네트워크 트래픽을 탐지하는 능력을 뛰어나지만, 새로운 형태의 공격 유형에 대한 트래픽을 분류하기에는 한계가 있다.
네트워크 공격은 다양한 변종 기법과 새로운 유형의 공격 방식으로 계속 진화하고 있으며, 이 공격들에 효과적으로 대응하는 것이 정보 보안 전문가들의 가장 큰 숙제이며, 이를 위해서는 과거의 데이터를 기반으로 하되, 실제 공격 유형과 유사한 다양한 형태의 새로운 공격 유형의 네트워크 트래픽을 자동으로 생성해 분류할 수 있는 시스템이 필요한 실정이다.
대한민국 공개특허공보 제10-2016-0095856호(2016. 08. 12)
상술한 한계를 극복하고 필요를 충족시키기 위해 본 발명은 인공지능 기술인 GAN을 이용해 정상 네트워크 트래픽과 유사한 새로운 침입 유형 트래픽을 자동적으로 생성해 이를 정상·비정상 네트워크 트래픽과 더한 후, 분류하는 작업을 반복적으로 수행하면서 해로운 형태의 네트워크 침임을 탐지하는 능력을 자동적으로 강화할 수 있는 생성적 적대 신경망을 활용해 미 발견 네트워크 침입 유형을 탐지하는 시스템 및 방법을 제공하는데 목적이 있다.
상술한 목적을 달성하기 위해 본 발명에 따른 생성적 적대 신경망을 활용해 미 발견 네트워크 침입 유형을 탐지하는 시스템에 있어서, 침임 탐지 서비스를 받고자 하는 서비스 시스템; 상기 침입 탐지 서비스를 받고자 하는 서비스 네트워크; 상기 서비스 시스템 또는 서비스 네트워크에서 발생하는 네트워크 트래픽 정보를 실시간으로 수신하는 네트워크 트래픽 수신부; 상기 네트워크 트래픽 수신부가 수신한 네트워크 트래픽 정보를 실제 이미지 데이터로 변환 하는 이미지 변환부; 실제 존재하는 데이터가 아닌 실제와 유사한 가상의 침입 탐지 데이터로 가상 이미지 데이터를 생성하는 가상 이미지 데이터 생성부; 상기 실제 이미지 데이터와 가상 이미지 데이터 모두에 대한 진위 여부를 감별하는 데이터 감별부; 및 상기 데이터 감별부가 감별한 결과를 도식화하고 결과를 서비스 대상인 상기 서비스 시스템과 서비스 네트워크로 제공하는 시각화부;를 포함하는 것을 특징으로 한다.
바람직하게 상술한 목적을 달성하기 위해 본 발명에 따른 생성적 적대 신경망을 활용해 미 발견 네트워크 침입 유형을 탐지하는 시스템의 이미지 변환부는 상기 네트워크 트래픽 정보의 패킷(Packet)을 구성하는 페이로드에 있는 페이로드 데이터를 "Word To Vector" 방식으로 생성적 적대 신경망이 이해할 수 있도록 수치화 시켜 실제 이미지 데이터로 변환하는 것을 특징으로 한다.
바람직하게 상술한 목적을 달성하기 위해 본 발명에 따른 생성적 적대 신경망을 활용해 미 발견 네트워크 침입 유형을 탐지하는 시스템의 가상 이미지 데이터 생성부는 가상 이미지 데이터를 생성하기 위해 상기 데이터 감별부가 이전 시퀀스(sequence)에서 감별한 결과를 고려하여 가상의 침입 탐지 데이터를 만들기 위해 학습하는 것을 특징으로 한다.
더욱 바람직하게 상술한 목적을 달성하기 위해 본 발명에 따른 생성적 적대 신경망을 활용해 미 발견 네트워크 침입 유형을 탐지하는 시스템의 데이터 감별부는 상기 이미지 변환부에 의해 변환된 실제 이미지 데이터와 상기 가상 이미지 데이터 생성부에 의해 생성된 가상 이미지 데이터를 취합한 후, 학습된 인공지능 모델의 학습에 사용된 실제 이미지 데이터 패턴을 분석해, 해당 패턴에 따라 취합한 상기 실제 이미지 데이터와 가상 이미지 데이터를 감별하는 것을 특징으로 한다.
다른 실시예로써 상술한 목적을 달성하기 위해 본 발명에 따른 생성적 적대 신경망을 활용해 미 발견 네트워크 침입 유형을 탐지하는 방법에 있어서, (a) 네트워크 트래픽 수신부가 침임 탐지 서비스를 받고자 하는 서비스 시스템(110) 또는 서비스 네트워크에서 발생하는 네트워크 트래픽 정보를 실시간으로 수신하는 단계; (b) 이미지 변환부가 상기 네트워크 트래픽 수신부에서 전달되는 네트워크 트래픽 정보를 이용해 인공지능 알고리즘이 학습할 수 있는 실제 이미지 데이터로 변환하는 단계; (c) 가상 이미지 데이터 생성부가 실제와 유사한 가상의 침입 탐지를 위한 가상 이미지 데이터를 생성하는 단계; (d) 상기 데이터 감별부가 실제 이미지 데이터와 가상 이미지 데이터에 대한 진위 여부를 판단하는 단계; (e) 데이터 감별부가 실제 이미지 데이터와 가상 이미지 데이터에 대한 진위 여부를 판단하는 단계; (f) 시각화부는 상기 데이터 감별부에서 감별한 결과를 도식화하여 시각화하고, 결과를 상기 서비스 시스템과 서비스 네트워크로 제공하는 단계;;를 포함하는 것을 특징으로 한다.
바람직하게 상술한 목적을 달성하기 위해 본 발명에 따른 생성적 적대 신경망을 활용해 미 발견 네트워크 침입 유형을 탐지하는 방법 (e)단계에서 상기 데이터 감별부가 학습된 인공지능 모델의 학습에 사용된 실제 이미지 데이터 패턴을 분석해, 해당 패턴에 따라 취합한 상기 실제 이미지 데이터와 가상 이미지 데이터를 감별하는 것을 특징으로 한다.
본 발명에 따른 생성적 적대 신경망을 활용해 미 발견 네트워크 침입 유형을 탐지하는 시스템 및 방법은 지금까지 발견되지 않은 네트워크 공격 유형을 만들고, 이를 탐지하는 환경을 자동화함으로써 네트워크 공격 탐지 능력을 스스로 향상시킬 수 있는 효과가 있다.
또한, 본 발명에 따른 생성적 적대 신경망을 활용해 미 발견 네트워크 침입 유형을 탐지하는 시스템 및 방법은 독자적으로 네트워크 침입을 탐지할 수 있으며, 또한 기존 네트워크 침입 탐지 시스템에 추가되어 해당 시스템의 기능을 보강하는 형태로 운영할 수 있는 효과가 있다.
또한, 본 발명에 따른 생성적 적대 신경망을 활용해 미 발견 네트워크 침입 유형을 탐지하는 시스템 및 방법은 인공지능 모델의 학습을 위해 사용하는 네트워크 데이터는 관리자나 운영자가 답을 정해 놓고 가공된 데이터가 아니라, 네트워크상에 존재하는 대량의 모든 트래픽을 바로 사용해 인공지능 스스로 학습하기 때문에 더욱 효과적으로 시스템을 구현할 수 있는 효과가 있다.
도 1은 본 발명에 따른 생성적 적대 신경망을 활용해 미 발견 네트워크 침입 유형을 탐지하는 시스템의 블록도 이다.
도 2는 본 발명에 따른 생성적 적대 신경망을 활용해 미 발견 네트워크 침입 유형을 탐지하는 시스템에서 실제 이미지 데이터를 이용해 이를 수치화하고 군집화하여 인공지능 모델을 만드는 것을 설명하기 위한 도면이다.
도 3은 본 발명에 따른 생성적 적대 신경망을 활용해 미 발견 네트워크 침입 유형을 탐지하는 방법의 플로우차트이다.
도 4는 본 발명에 따른 생성적 적대 신경망을 활용해 미 발견 네트워크 침입 유형을 탐지하는 방법의 DB화 방법의 플로우차트이다.
도 5는 본 발명에 따른 생성적 적대 신경망을 활용해 미 발견 네트워크 침입 유형을 탐지하는 방법에서 데이터 전처리 방법의 상세 플로우차트이다.
본 명세서 및 청구범위에 사용된 용어나 단어는 통상적이거나 사전적인 의미로 한정하여 해석되어서는 아니 되며, 발명자는 그 자신의 발명을 가장 최선의 방법으로 설명하기 위해 용어의 개념을 적절하게 정의할 수 있다는 원칙에 입각하여, 본 발명의 기술적 사상에 부합하는 의미와 개념으로 해석되어야만 한다.
따라서, 본 명세서에 기재된 실시예와 도면에 도시된 구성은 본 발명의 가 장 바람직한 일 실시예에 불과할 뿐이고 본 발명의 기술적 사상을 모두 대변하는 것은 아니므로, 본 출원시점에 있어서 이들을 대체할 수 있는 다양한 균등물과 변형예들이 있을 수 있음을 이해하여야 한다.
이하, 첨부된 도면을 참조하여 본 발명에 따른 생성적 적대 신경망을 활용해 미 발견 네트워크 침입 유형을 탐지하는 시스템에 대해 상세히 설명한다.
도 1은 본 발명에 따른 생성적 적대 신경망을 활용한 미 발견 네트워크 침입 유형을 탐지하는 시스템의 블록도 이다.
도 1에 도시된 바와 같이 본 발명에 따른 생성적 적대 신경망을 활용해 미 발견 네트워크 침입 유형을 탐지하는 시스템은 서비스 시스템(110), 서비스 네트워크(120), 네트워크 트래픽 수신부(130), 이미지 변환부(140), 가상 이미지 데이터 생성부(150), 데이터 감별부(160), 및 시각화부(170)를 포함한다.
상기 서비스 시스템(110)는 본 발명에 따른 생성적 적대 신경망을 활용해 미 발견 네트워크 침입 유형을 탐지하는 서비스를 받고자 하는 시스템이다.
마찬가지로, 상기 서비스 네트워크(120)는 본 발명에 따른 생성적 적대 신경망을 활용해 미 발견 네트워크 침입 유형을 탐지하는 서비스를 받고자 네트워크이다.
상기 네트워크 트래픽 수신부(130)는 상기 서비스 시스템(110) 또는 상기 서비스 네트워크(120)에서 발생하는 네트워크 트래픽 정보를 실시간으로 수신하는 구성이다.
상기 네트워크 트래픽 수신부(130)는 상기 서비스 시스템(110) 또는 상기 서비스 네트워크(120)에서 수신한 네트워크 트래픽 정보를 상기 이미지 변환부(140)로 전달하고 저장한다.
한편, 상기 네트워크 트래픽 정보는 기본적으로 인터넷 상에 돌아다니는 모든 데이터를 말하며, 이를 패킷이라고 한다.
상기 패킷(Packet)은 패키지(Package)와 덩어리를 뜻하는 버킷(Bucket)의 합성어로, 인터넷 상에서 데이터를 주고받을 때 데이터가 일정 크기보다 클 경우 적당한 크기로 잘라 네트워크를 통해 전송하는데 이 묶음을 말한다.
즉, 상기 패킷(Packet)은 네트워크를 통해 전송하기 쉽도록 자른 데이터의 전송 단위이다.
보다 구체적으로 패킷은 간단히 "Data Packet = Header + Data(Payload) + Tail"형태를 지니는데, 상기 Header는 수신처의 인터넷 주소와 순서 등이 기록되어 있고, 상기 Tail에는 오류 정보가 기록되어 있었다.
본 발명에서는 페이로드(payload)에 있는 데이터를 가지고 침입 여부를 판단하는 학습을 자동으로 수행한다.
상기 이미지 변환부(140)는 상기 네트워크 트래픽 수신부(130)에서 전달되는 네트워크 트래픽 정보를 이용해 인공지능 알고리즘이 학습할 수 있는 최적의 데이터인 이미지 데이터로 변환한다.
상기 이미지 변환부(140)는 "Word To Vector" 방식 등 데이터의 형태에 따라 다양한 형태로 사용 가능하다.
한편, 본 발명에서 말하는 이미지는 일반적으로 흔히 생각하는 그림이 아닌 상기 페이로드(payload)에 있는 데이터 즉, 페이로드 데이터를 인공지능 모델이 이해할 수 있도록 수치화시킨 데이터를 말한다.
상기 수치화시킨 데이터는 상기 페이로드 데이터에 있는 특정한 문자(공격문자)의 반복 횟수가 될 수 있고, 특정한 문자(공격문자)들 사이의 거리를 나타낼 수도 있다.
네트워크 공격은 네트워크 패킷 데이터를 이용해 공격하며 그 유형은 매우 다양하다. 이러한 유형은 국정원에서 국가 차원의 공격 유형을 만들고, 각 행정부처에 존재하는 사이버 보안관제 센터에서도 만든다.
에너지 분야 공기업은 산업부의 영향을 받기 때문에 산업부 사이버 보안관제 센터에서 정의한 공격 유형을 사용하며, 본 발명 또한 산업부와 국정원에서 만든 공격 유형을 대상으로 하고 있다.
물론 각 기업이나 보안관제 제품을 생산하는 업체에서 만들기도 하지만 대부분 상위 기관에서 만든 유형을 편집해 사용한다.
상술한 바와 같이 다양한 형태의 공격 유형에 대해 그 유형에서 나타나는 특정 문자의 빈도수나 특정 문자들 사이의 거리를 수치화해 이미지 데이터를 만들고 있다.
상기 이미지 변환부(140)에 의해 상기 네트워크 트래픽 수신부(130)에서 전달되는 네트워크 트래픽 정보를 이용해 인공지능 알고리즘이 학습할 수 있는 최적의 데이터인 이미지 데이터로 변환된 상태는 아래의 [표 1]과 같을 수 있다.
2. 2. 2. 0. 1.0488278 1.056263 0.7597104 2. 0.7003366 0.78502715 1.0091248 0.71942884 0. 0.82707363 1.031182 0.6744879 1^M
0.9682332 2. 2. 0. 1.01779 0.95491135 0.7194433 2. 0.70200163 0.8353117 0.94830054 0.7439148 0. 0.80252534 0.8993441 0.6703645 1^M
0.9682332 2. 2. 0. 1.01779 2. 0.713479 1.1102833 0.6413943 0.8353117 0.94830054 0.703838 0. 0.8044252 0.8993441 0.64295757 1^M
0.9682332 2. 2. 0. 1.01779 2. 0.7194433 1.1102833 0.75359005 0.8353117 0.94830054 0.703838 0. 0.7892828 0.8993441 0.75035995 1^M
2. 2. 2. 0. 1.0488278 1.056263 0.77702236 2. 0.7003366 0.78502715 1.0091248 0.7217012 0. 0.8080466 1.031182 0.6744879 1^M
2. 1.1365895 2. 0. 0.9806293 1.0023578 0.91741335 1.0499628 0.8835612 0.78502715 0.8929321 0.79431415 0. 0.8307875 0.9577202 0.75188684 1^M
0.9682332 2. 1.0570022 0. 2. 0.96169907 0.8284959 1.1102833 0.83699673 0.78502715 0.94830054 0.7560764 0. 0.8244322 0.9577202 0.798124 1^M
0.9682332 2. 2. 0. 1.01779 2. 0.7194433 1.1102833 0.75359005 0.8353117 0.94830054 0.703838 0. 0.7892828 0.8993441 0.75035995 1^M
0.9682332 2. 2. 0. 1.01779 2. 0.7194433 1.1102833 0.75359005 0.8353117 0.94830054 0.703838 0. 0.7892828 0.8993441 0.75035995 1^M
0.9682332 2. 2. 0. 1.01779 1.0013722 0.70126694 2. 0.7277234 0.76816434 0.94830054 0.7395296 0. 0.7892828 0.8993441 0.7742419 1^M
문자는 인간의 언어를 표현하는 방법이고 컴퓨터는 0과 1만 이해하는 기계이다 보니, 문자를 기반으로 데이터를 처리하기 위해서는 이를 수치화하고 이 숫자를 이진법으로 표현해 컴퓨터에 넣어 줘야 더 정확하고 빠른 결과를 도출할 수 있다.문자 자체를 직접 입력으로 해서 모델을 학습해도 결과는 나오지만 속도와 정확도가 많이 떨어지기 때문에 본 발명에서 이미지 변환부(140)에 의한 이미지 데이터 변환 과정이 필요하다.
상기 가상 이미지 데이터 생성부(150)는 새로운 네트워크 침입 탐지 유형의 데이터를 생성하는 구성으로, 여기서 생성되는 데이터는 실제로 존재하는 데이터가 아닌 실제와 유사한 가상의 침입 탐지 데이터를 의미한다.
한편, 상기 가상 이미지 데이터 생성부(150)는 가상의 데이터를 생성하기 위해서 상기 데이터 감별부(160)가 이전 시퀀스(sequence)에서 감별한 결과를 고려하여 더 완벽한 가상의 침입 탐지 데이터를 만들기 위해 학습한다.
상기 이미지 변환부(140)를 통해 출력되는 변환된 실제 이미지 데이터는 실제 네트워크 트래픽을 기반으로 변환된 데이터이다.
상기 가상 이미지 데이터 생성부(150)를 통해 생성되어 출력되는 가상의 침임 탐지 데이터는 실제 침입 데이터와 유사한 가상의 데이터로 새로운 유형의 침입 탐지 데이터 이다.
상기 데이터 감별부(160)는 상기 이미지 변환부(140)에 의해 변환된 실제 이미지 데이터와 상기 가상 이미지 데이터 생성부(150)에 의해 생성된 가상 이미지 데이터를 취합하여, 상기 실제 이미지 데이터와 가상 이미지 데이터 모두에 대한 진위 여부를 감별한다.
보다 구체적으로, 상기 데이터 감별부(160)는 학습된 인공지능 모델이 학습에 사용된 실제 이미지 데이터 패턴을 분석해, 해당 패턴에 따라 상기 실제 이미지 데이터와 가상 이미지 데이터를 감별한다.
참고로, 인공지능 모델의 판단은 그 어떤 수식으로도 설명할 수 없으며, 검증을 통해 가짜를 가짜라고 한 횟수와 가짜를 진짜라고 한 횟수를 이용해 정확도를 계산하고 그 결과로 이 인공지능 모델은 특정 정확도의 확률로 가상 이미지 데이터를 가짜라고 한다고 모델을 판단한다.
상기 데이터 감별부(160)는 감별 결과를 출력단에 있는 시각화부(170)에 전달하여, 해당 시각화부(170)가 감별한 결과를 도식화하도록 한다.
상기 시각화부(170)는 언급한 바와 같이 본 발명에 따른 생성적 적대 신경망을 활용해 미 발견 네트워크 침입 유형을 탐지하는 시스템의 데이터 감별부(160)에서 감별한 결과를 도식화하고 결과를 서비스 대상인 상기 서비스 시스템(110)과 서비스 네트워크(120)로 제공한다.
본 발명에 따른 생성적 적대 신경망을 활용해 미 발견 네트워크 침입 유형을 탐지하는 시스템은 실제 이미지 데이터를 이용해 이를 수치화하고 군집화하여 도 2a에 도시된 바와 같이 인공지능 모델을 만들 수 있다.
네트워크 공격 유형별로 이렇게 군집화가 나오도록 하는 것이 비지도 학습의 일종인 클러스터 인공지능 모델 학습 방법이다.
이렇게 학습된 모델에 가상 이미지 데이터를 입력하면 도 2b에 도시된 바와 같은 이미지가 생성된다.
도 2b에서 A부분과 같이 가상 이미지 데이터로만 만들어진 군집을 찾아서 해당 데이터를 다시 문자로 된 페이로드 데이터로 변환하여 운영자가 분석해 실제 네트워크 침입 탐지 공격이면 새로운 침입탐지 유형으로 분류한다.
종합하면, 본 발명은 상술한 바와 같이 가상 이미지 데이터가 A부분과 같이 군집을 이루는 부분을 찾아내어 이를 바탕으로 운영자가 공격 유형의 여부를 판단하는 것이다.
다른 실시예로써 상술한 바와 같은 구성을 갖는 생성적 적대 신경망을 활용해 미 발견 네트워크 침입 유형을 탐지하는 시스템에 의한 탐지 방법에 대해 설명한다.
상기 네트워크 트래픽 수신부(130)는 상기 서비스 시스템(110) 또는 상기 서비스 네트워크(120)에서 발생하는 네트워크 트래픽 정보를 실시간으로 수신하는 단계를 수행한다(S100).
다음으로 데이터 전처리 단계로써, 상기 이미지 변환부(140)는 상기 네트워크 트래픽 수신부(130)에서 전달되는 네트워크 트래픽 정보를 이용해 인공지능 알고리즘이 학습할 수 있는 최적의 데이터인 이미지 데이터로 변환하는 단계를 수행한다(S200).
특히, 도 4에 도시된 바와 같이 상기 S100단계에서 서비스 대상 시스템에서 File이나 DB의 형태로 데이터를 제공하고, 수신기는 상기 S200단계에서 다양한 형태의 데이터 타입에서 인공지능 모델 학습을 위해 하나의 일관된 데이터 타입으로 변환하여 DB에 저장한다.
상기 S200 단계에서 트래픽 정보의 누락정보 제거, 정규화 및 단어 사이의 거리를 계산하는 것과 같은 전처리 단계를 수행한다.
또한, 도 5에 도시된 바와 같이 이미지(인공지능 모델 학습을 위해 필요한 수치화된 데이터)로 변화하는 부분에 대한 흐름으로 수신되어 인공지능 모델 학습을 위해 한 자지 방법으로 변환된 데이터에 대해, 해당 데이터를 정제(오류 수정)하는 부분과 정규화하는 부분을 각각 거쳐 인공지능 알고리즘의 하나인 Word2Vec 등을 활용해 수치화하는 부분을 거처 최종적으로 인공지능 모델 학습을 위한 최종 이미지 데이터를 생성한다.
상기 가상 이미지 데이터 생성부(150)는 새로운 네트워크 침입 탐지 유형의 데이터를 생성하는 구성으로, 실제로 존재하는 데이터가 아닌 실제와 유사한 가상의 침입 탐지를 위한 가상 이미지 데이터를 생성하는 단계를 수행한다(S300).
상기 가상 이미지 데이터 생성부(150)가 상기 S300 단계에서 생성하는 가상의 침입 탐지 데이터는 상기 이미지 변환부(140)에서 인공지능 알고리즘이 학습할 수 있도록 변환한 형태의 데이터인 것이 바람직하다.
그래야만, 상기 가상 이미지 데이터 생성부(150)가 생성하는 가상의 침입 탐지 데이터를 상기 이미지 변환부(140)에서 인공지능 알고리즘이 학습할 수 있도록 변환한 데이터와 취합할 수 있기 때문이다.
이후, 상기 데이터 감별부(160)는 우선 상기 이미지 변환부(140)에 의해 변환된 실제 이미지 데이터와 상기 가상 이미지 데이터 생성부(150)에 의해 생성된 가상 이미지 데이터를 취합하는 단계를 수행한다(S400).
다음으로 상기 데이터 감별부(160)는 상술한 바와 같이 취합된 실제 이미지 데이터와 가상 이미지 데이터 모두에 대한 진위 여부를 판단하는 단계를 수행한다(S500).
마지막으로 상기 시각화부(170)는 상기 데이터 감별부(160)에서 감별한 결과를 도식화하여 시각화하는 단계를 수행한다(S600).
이후, 상기 시각화부(170)는 도식화하여 시각화한 결과를 서비스 대상인 상기 서비스 시스템(110)과 서비스 네트워크(120)로 제공하는 단계를 수행하는 것이 바람직하다.
이상에서는 본 발명에 대한 기술사상을 첨부 도면과 함께 서술하였지만 이는 본 발명의 바람직한 실시 예를 예시적으로 설명한 것이지 본 발명을 한정하는 것은 아니다. 또한 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 누구나 본 발명의 기술적 사상의 범주를 이탈하지 않는 범위 내에서 다양한 변형 및 모방이 가능함은 명백한 사실이다.
110 : 서비스 시스템
120 : 서비스 네트워크
130 : 네트워크 트래픽 수신부
140 : 이미지 변환부
150 : 가상 이미지 데이터 생성부
160 : 데이터 감별부
170 : 시각화부

Claims (7)

  1. 생성적 적대 신경망을 활용해 미 발견 네트워크 침입 유형을 탐지하는 시스템에 있어서,
    침임 탐지 서비스를 받고자 하는 서비스 시스템;
    상기 침입 탐지 서비스를 받고자 하는 서비스 네트워크;
    상기 서비스 시스템 또는 서비스 네트워크에서 발생하는 네트워크 트래픽 정보를 실시간으로 수신하는 네트워크 트래픽 수신부;
    상기 네트워크 트래픽 수신부가 수신한 네트워크 트래픽 정보를 실제 이미지 데이터로 변환 하는 이미지 변환부;
    실제 존재하는 데이터가 아닌 실제와 유사한 가상의 침입 탐지 데이터로 가상 이미지 데이터를 생성하는 가상 이미지 데이터 생성부;
    상기 실제 이미지 데이터와 가상 이미지 데이터 모두에 대한 진위 여부를 감별하는 데이터 감별부; 및
    상기 데이터 감별부가 감별한 결과를 도식화하고 결과를 서비스 대상인 상기 서비스 시스템과 서비스 네트워크로 제공하는 시각화부;를 포함하는 것을 특징으로 하는 생성적 적대 신경망을 활용해 미 발견 네트워크 침입 유형을 탐지하는 시스템.
  2. 제 2항에 있어서,
    상기 이미지 변환부는
    상기 네트워크 트래픽 정보의 패킷(Packet)을 구성하는 페이로드에 있는 페이로드 데이터를 "Word To Vector" 방식으로 생성적 적대 신경망이 이해할 수 있도록 수치화 시켜 실제 이미지 데이터로 변환하는 것을 특징으로 하는 생성적 적대 신경망을 활용해 미 발견 네트워크 침입 유형을 탐지하는 시스템.
  3. 제 2항에 있어서,
    상기 가상 이미지 데이터 생성부는
    가상 이미지 데이터를 생성하기 위해 상기 데이터 감별부가 이전 시퀀스(sequence)에서 감별한 결과를 고려하여 가상의 침입 탐지 데이터를 만들기 위해 학습하는 것을 특징으로 하는 생성적 적대 신경망을 활용해 미 발견 네트워크 침입 유형을 탐지하는 시스템.
  4. 제 3항에 있어서,
    상기 데이터 감별부는
    상기 이미지 변환부에 의해 변환된 실제 이미지 데이터와 상기 가상 이미지 데이터 생성부에 의해 생성된 가상 이미지 데이터를 취합한 후, 학습된 인공지능 모델의 학습에 사용된 실제 이미지 데이터 패턴을 분석해, 해당 패턴에 따라 취합한 상기 실제 이미지 데이터와 가상 이미지 데이터를 감별하는 것을 특징으로 하는 생성적 적대 신경망을 활용해 미 발견 네트워크 침입 유형을 탐지하는 시스템.
  5. 생성적 적대 신경망을 활용해 미 발견 네트워크 침입 유형을 탐지하는 방법에 있어서,
    (a) 네트워크 트래픽 수신부가 침임 탐지 서비스를 받고자 하는 서비스 시스템(110) 또는 서비스 네트워크에서 발생하는 네트워크 트래픽 정보를 실시간으로 수신하는 단계;
    (b) 이미지 변환부가 상기 네트워크 트래픽 수신부에서 전달되는 네트워크 트래픽 정보를 이용해 인공지능 알고리즘이 학습할 수 있는 실제 이미지 데이터로 변환하는 단계;
    (c) 가상 이미지 데이터 생성부가 실제와 유사한 가상의 침입 탐지를 위한 가상 이미지 데이터를 생성하는 단계;
    (e) 데이터 감별부가 실제 이미지 데이터와 가상 이미지 데이터에 대한 진위 여부를 판단하는 단계;
    (f) 시각화부는 상기 데이터 감별부에서 감별한 결과를 도식화하여 시각화하고, 결과를 상기 서비스 시스템과 서비스 네트워크로 제공하는 단계;를 포함하는 것을 특징으로 하는 생성적 적대 신경망을 활용해 미 발견 네트워크 침입 유형을 탐지하는 방법.
  6. 제 5항에 있어서,
    상기 (c)단계와 (e)단계 사이에
    (d) 상기 데이터 감별부가 실제 이미지 데이터와 가상 이미지 데이터에 대한 진위 여부를 판단하는 단계;를 더 포함하는 것을 특징으로 하는 생성적 적대 신경망을 활용해 미 발견 네트워크 침입 유형을 탐지하는 방법.
  7. 제 6항에 있어서,
    상기 (e)단계에서
    상기 데이터 감별부가 학습된 인공지능 모델의 학습에 사용된 실제 이미지 데이터 패턴을 분석해, 해당 패턴에 따라 취합한 상기 실제 이미지 데이터와 가상 이미지 데이터를 감별하는 것을 특징으로 하는 생성적 적대 신경망을 활용해 미 발견 네트워크 침입 유형을 탐지하는 방법.
KR1020200174779A 2020-12-14 2020-12-14 생성적 적대 신경망을 활용해 미 발견 네트워크 침입 유형을 탐지하는 시스템 및 방법 KR102497737B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020200174779A KR102497737B1 (ko) 2020-12-14 2020-12-14 생성적 적대 신경망을 활용해 미 발견 네트워크 침입 유형을 탐지하는 시스템 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020200174779A KR102497737B1 (ko) 2020-12-14 2020-12-14 생성적 적대 신경망을 활용해 미 발견 네트워크 침입 유형을 탐지하는 시스템 및 방법

Publications (2)

Publication Number Publication Date
KR20220084866A true KR20220084866A (ko) 2022-06-21
KR102497737B1 KR102497737B1 (ko) 2023-02-09

Family

ID=82221518

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020200174779A KR102497737B1 (ko) 2020-12-14 2020-12-14 생성적 적대 신경망을 활용해 미 발견 네트워크 침입 유형을 탐지하는 시스템 및 방법

Country Status (1)

Country Link
KR (1) KR102497737B1 (ko)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20160095856A (ko) 2015-02-04 2016-08-12 한국전자통신연구원 새로운 공격 유형의 자동 탐지 및 공격 유형 모델 갱신을 통한 지능형 침입 탐지 시스템 및 방법
KR20200077307A (ko) * 2018-12-20 2020-06-30 펜타시큐리티시스템 주식회사 Cae 기반으로 비정상적인 트래픽을 탐지하는 방법 및 장치
KR20200095219A (ko) * 2019-01-31 2020-08-10 (주)에이알씨엔에스 딥 러닝을 이용한 네트워크 공격 탐지 시스템
KR20200120970A (ko) * 2019-04-03 2020-10-23 조선대학교산학협력단 Gan 기반 딥러닝 모델을 이용한 이미지 생성 방법 및 장치

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20160095856A (ko) 2015-02-04 2016-08-12 한국전자통신연구원 새로운 공격 유형의 자동 탐지 및 공격 유형 모델 갱신을 통한 지능형 침입 탐지 시스템 및 방법
KR20200077307A (ko) * 2018-12-20 2020-06-30 펜타시큐리티시스템 주식회사 Cae 기반으로 비정상적인 트래픽을 탐지하는 방법 및 장치
KR20200095219A (ko) * 2019-01-31 2020-08-10 (주)에이알씨엔에스 딥 러닝을 이용한 네트워크 공격 탐지 시스템
KR20200120970A (ko) * 2019-04-03 2020-10-23 조선대학교산학협력단 Gan 기반 딥러닝 모델을 이용한 이미지 생성 방법 및 장치

Also Published As

Publication number Publication date
KR102497737B1 (ko) 2023-02-09

Similar Documents

Publication Publication Date Title
CN112953924B (zh) 网络异常流量检测方法、系统、存储介质、终端及应用
Le et al. Data analytics on network traffic flows for botnet behaviour detection
Amarasinghe et al. Improving user trust on deep neural networks based intrusion detection systems
Vidal et al. Alert correlation framework for malware detection by anomaly-based packet payload analysis
Dhakar et al. A novel data mining based hybrid intrusion detection framework
Landress A hybrid approach to reducing the false positive rate in unsupervised machine learning intrusion detection
CN113901448A (zh) 基于卷积神经网络和轻量级梯度提升机的入侵检测方法
Ojugo et al. An Empirical Evaluation On Comparative Machine Learning Techniques For Detection of The Distributed Denial of Service (DDoS) Attacks
CN112866278B (zh) 一种基于大数据的计算机网络信息安全防护系统
Nathiya et al. An effective way of cloud intrusion detection system using decision tree, support vector machine and Naïve bayes algorithm
Samadzadeh et al. Evaluating Security Anomalies by Classifying Traffic Using Deep Learning
KR20220150545A (ko) 네트워크 공격 탐지 시스템 및 네트워크 공격 탐지 방법
Miller et al. The impact of different botnet flow feature subsets on prediction accuracy using supervised and unsupervised learning methods
KR102497737B1 (ko) 생성적 적대 신경망을 활용해 미 발견 네트워크 침입 유형을 탐지하는 시스템 및 방법
Bui et al. One-class fusion-based learning model for anomaly detection
Unal et al. Detection of DDOS attacks in network traffic using deep learning
Islam et al. Real-time detection schemes for memory DoS (M-DoS) attacks on cloud computing applications
Fries Evolutionary optimization of a fuzzy rule-based network intrusion detection system
Jeyanna et al. A network intrusion detection system using clustering and outlier detection
Sakhai et al. Modern cybersecurity solution using supervised machine learning
Thanh A novel approach for intrusion detection based on deep belief network
Tabia et al. Handling IDS'reliability in alert correlation: A Bayesian network-based model for handling IDS's reliability and controlling prediction/false alarm rate tradeoffs
Belej et al. Development of a network attack detection system based on hybrid neuro-fuzzy algorithms.
Xiong et al. An Anomaly Detection Framework for System Logs Based on Ensemble Learning
Alyasiri et al. Applying Cartesian Genetic Programming to Evolve Rules for Intrusion Detection System.

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right