KR20220160849A - System for blocking external intrusion using smart home iot and method thereof - Google Patents
System for blocking external intrusion using smart home iot and method thereof Download PDFInfo
- Publication number
- KR20220160849A KR20220160849A KR1020210068999A KR20210068999A KR20220160849A KR 20220160849 A KR20220160849 A KR 20220160849A KR 1020210068999 A KR1020210068999 A KR 1020210068999A KR 20210068999 A KR20210068999 A KR 20210068999A KR 20220160849 A KR20220160849 A KR 20220160849A
- Authority
- KR
- South Korea
- Prior art keywords
- access
- iot
- access log
- external intrusion
- log data
- Prior art date
Links
- 230000000903 blocking effect Effects 0.000 title claims abstract description 26
- 238000000034 method Methods 0.000 title claims abstract description 19
- 230000002265 prevention Effects 0.000 claims abstract description 56
- 238000001514 detection method Methods 0.000 claims abstract description 25
- 230000002159 abnormal effect Effects 0.000 claims abstract description 18
- 238000007637 random forest analysis Methods 0.000 claims description 21
- 238000003066 decision tree Methods 0.000 claims description 14
- 239000000284 extract Substances 0.000 claims description 10
- 238000004891 communication Methods 0.000 claims description 7
- 238000000605 extraction Methods 0.000 claims description 5
- 238000010586 diagram Methods 0.000 description 11
- 239000012535 impurity Substances 0.000 description 9
- 238000013139 quantization Methods 0.000 description 6
- 230000006870 function Effects 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 3
- 238000013473 artificial intelligence Methods 0.000 description 2
- 238000004422 calculation algorithm Methods 0.000 description 2
- 238000010438 heat treatment Methods 0.000 description 2
- 239000000523 sample Substances 0.000 description 2
- 238000004378 air conditioning Methods 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 230000015556 catabolic process Effects 0.000 description 1
- 238000012508 change request Methods 0.000 description 1
- 230000007423 decrease Effects 0.000 description 1
- 238000006731 degradation reaction Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000009545 invasion Effects 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000000611 regression analysis Methods 0.000 description 1
- 238000012549 training Methods 0.000 description 1
- 238000005406 washing Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
-
- G—PHYSICS
- G16—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
- G16Y—INFORMATION AND COMMUNICATION TECHNOLOGY SPECIALLY ADAPTED FOR THE INTERNET OF THINGS [IoT]
- G16Y10/00—Economic sectors
- G16Y10/80—Homes; Buildings
-
- G—PHYSICS
- G16—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
- G16Y—INFORMATION AND COMMUNICATION TECHNOLOGY SPECIALLY ADAPTED FOR THE INTERNET OF THINGS [IoT]
- G16Y30/00—IoT infrastructure
- G16Y30/10—Security thereof
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/2803—Home automation networks
- H04L12/283—Processing of data at an internetworking point of a home automation network
- H04L12/2834—Switching of information between an external network and a home network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
- H04L63/306—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information intercepting packet switched data communications, e.g. Web, Internet or IMS communications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
- H04L63/308—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information retaining data, e.g. retaining successful, unsuccessful communication attempts, internet access, or e-mail, internet telephony, intercept related information or call content
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Software Systems (AREA)
- Automation & Control Theory (AREA)
- Technology Law (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Architecture (AREA)
- Civil Engineering (AREA)
- Structural Engineering (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Development Economics (AREA)
- Economics (AREA)
- General Business, Economics & Management (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
본 발명은 스마트홈 IoT를 이용한 외부 침입 차단 시스템 및 그 방법에 관한 것으로, 더욱 상세하게는 접근 로그 요소를 경량화된 침입 탐지 모델에 적용하여 외부 침입자 여부를 확인하고, 외부 침입자인 경우, 보안 기능을 수행하여 자동으로 외부 침입을 탐지하는 스마트홈 IoT를 이용한 외부 침입 차단 시스템 및 그 방법에 관한 것이다. The present invention relates to an external intrusion prevention system and method using smart home IoT, and more particularly, by applying an access log element to a lightweight intrusion detection model to determine whether an external intruder is present, and in the case of an external intruder, a security function is provided. It relates to an external intrusion blocking system and method using smart home IoT that automatically detects external intrusion by performing
오늘날의 사물인터넷(Internet of Things, 이하 "IoT"로 명명한다.)은 다양한 형태의 사물에 네트워크 기능이 탑재되어 인간과 사물, 데이터를 연결하고 있고, 우리의 실생활에서는 IoT, 인공지능(AI, Artificial Intelligence)등의 기술을 활용한 스마트 홈 시스템을 통해 더 안전하고, 편리하게 변화하고 있다. Today's Internet of Things (hereinafter referred to as "IoT") is equipped with network functions in various types of things to connect humans, objects, and data, and in our real life, IoT, artificial intelligence (AI, The smart home system using technologies such as Artificial Intelligence) is changing to become safer and more convenient.
스마트 홈 시스템은 IoT를 기반으로 하여 자동화 서비스를 제공하고 현재 우리의 생활에 다양하게 적용되어 사용자가 외부에 있더라도 에어컨, 난방, 조명 조절부터 가스밸브 잠금, 누전기 차단, 콘센트 차단 등의 작업들을 원격제어가 가능하게 한다. The smart home system provides automation services based on IoT and is applied in various ways to our lives today, even if the user is outside, remotely performing tasks such as air conditioning, heating, and lighting control, gas valve locking, leakage current blocking, and outlet blocking. make control possible.
스마트 홈 시스템은 기존서버와 통신사 클라우드 센터(Cloud Center) 서버를 함께 사용하여 통신사 클라우드 센터 서버는 집 내부 실시간 상태를 보고하고 집안 기기를 무선으로 작동될 수 있도록 한다. The smart home system uses the existing server and the cloud center server of the telecommunications company together, and the cloud center server of the telecommunications company reports the real-time status inside the house and enables the home devices to be operated wirelessly.
이와 같이, 스마트 홈 시스템을 활용함으로써 생활의 편의성은 높아졌으나 이러한 IoT기술의 발전에 따라 이를 악용하는 사례도 늘어나고 있다.In this way, the convenience of life has increased by utilizing the smart home system, but with the development of these IoT technologies, cases of abuse are increasing.
특히, IoT 기기와 집 내부의 데이터가 연동됨으로써 보안이 취약해져 해킹의 위험성이 높아진다는 문제점이 있고, 이로 인하여 사생활 침해 등의 상황이 발생할 수 있다.In particular, there is a problem that security is weakened by interlocking IoT devices with data inside the house, increasing the risk of hacking, and this may cause situations such as invasion of privacy.
이처럼, 해킹범죄는 증가하는 반면 현재 상용화된 IoT 디바이스의 솔루션들은 주로 데이터를 암호화하여 정보를 은닉하는 방식을 채택하고 있어 계정이 탈취되는 경우 대응책이 없다. As such, while hacking crimes are increasing, currently commercialized IoT device solutions mainly adopt a method of hiding information by encrypting data, so there is no countermeasure in case an account is stolen.
이를 방지하기 위하여, 홈 게이트웨이나 추가적인 디바이스를 통해 기존의 스마트 홈 IoT의 보안 솔루션을 제공하고 있으나, 이를 적용하기 위한 비용이 발생하여 사용자가 쉽게 접근하기 어려운 문제점이 있다. In order to prevent this, the existing smart home IoT security solution is provided through a home gateway or an additional device, but there is a problem that it is difficult for users to access easily due to the cost of applying it.
또한, 기존의 IoT 디바이스에서 사용하는 AI 경량화 알고리즘은 적은 자원에 최적화되어 스마트 홈과 같은 다양한 디바이스에서 대량 데이터가 발생하는 경우 성능 저하가 발생할 수 있다. In addition, AI lightweight algorithms used in existing IoT devices are optimized for small resources, and performance degradation may occur when large amounts of data are generated in various devices such as smart homes.
본 발명의 배경이 되는 기술은 대한민국 국내공개특허 10-2019-0048587호 (2019.05.09 공개)에 개시되어 있다.The background technology of the present invention is disclosed in Korean Patent Publication No. 10-2019-0048587 (published on May 9, 2019).
본 발명이 이루고자 하는 기술적 과제는 접근 로그 요소를 경량화된 침입 탐지 모델에 적용하여 외부 침입자 여부를 확인하고, 외부 침입자인 경우, 보안 기능을 수행하여 자동으로 외부 침입을 탐지하는 스마트홈 IoT를 이용한 외부 침입 차단 시스템 및 그 방법에 관한 것이다.The technical problem to be achieved by the present invention is to apply the access log element to a lightweight intrusion detection model to check whether there is an external intruder, and in the case of an external intruder, to perform a security function to automatically detect an external intrusion using smart home IoT. It relates to an intrusion prevention system and method therefor.
이러한 기술적 과제를 이루기 위한 본 발명의 실시예에 따르면, 스마트홈 IoT 기반의 외부 침입 차단 시스템을 이용한 외부 침입 차단 방법에 있어서, IoT 허브에 하나 이상의 IoT 디바이스가 네트워크 연결된 상태에서, 접근 요청자가 사용자 단말기를 통하여 상기 IoT 허브에 연결된 상기 IoT 디바이스에 대한 접근을 요청하면, 상기 외부 침입 차단 시스템은 상기 접근 요청자의 상기 IoT 디바이스의 접근 로그 데이터를 상기 IoT 허브로부터 수신하는 단계, 상기 접근 로그 데이터로부터 중요도가 높은 접근 로그 요소를 추출하는 단계, 그리고 상기 추출된 중요도가 높은 접근 로그 요소를 침입 탐지 모델에 적용하여 상기 접근 요청자의 접근 로그 데이터가 정상 로그인지 여부를 판단하고, 상기 접근 요청자의 접근 로그 데이터가 비정상 로그인 것으로 판단되면 네트워크 연결을 초기화하는 단계를 포함한다. According to an embodiment of the present invention for achieving this technical problem, in the external intrusion blocking method using a smart home IoT-based external intrusion blocking system, in a state in which one or more IoT devices are networked to an IoT hub, an access requestor uses a user terminal If access to the IoT device connected to the IoT hub is requested through Extracting high access log elements, and applying the extracted access log elements with high importance to an intrusion detection model to determine whether the access requestor's access log data is a normal login, and the access requestor's access log data and initializing a network connection when it is determined that the login is abnormal.
상기 외부 침입 차단 시스템은 허가된 사용자가 상기 IoT 디바이스에 네트워크 접근한 접근 로그 데이터를 IoT 허브로부터 전송받아 수집하는 단계를 더 포함할 수 있다. The external intrusion prevention system may further include receiving and collecting access log data of network access to the IoT device by the authorized user from the IoT hub.
상기 접근 로그 데이터는, 접근 상세시간(Time-stamp), 사용자 아이디(User ID), 접근한 IoT 디바이스명(Access Internet of Things device), 요청된 IoT 디바이스에 대한 조작 명령(Action), 사용자 단말기 디바이스명(User terminal device), 접근 IP, 포트(Port) 및 프로토콜(Protocol) 중에서 적어도 하나의 요소를 포함할 수 있다. The access log data includes access detailed time (time-stamp), user ID (User ID), accessed IoT device name (Access Internet of Things device), requested operation command for the IoT device (Action), and user terminal device It may include at least one element among a user terminal device, an access IP, a port, and a protocol.
상기 접근 로그 요소를 추출하는 단계는, 허가된 사용자의 수집된 접근 로그 데이터를 의사결정나무의 지니 계수에 적용하여, 각 접근 로그 요소의 중요도를 계산하여 중요도가 높은 순서대로 하나 이상의 접근 로그 요소를 추출할 수 있다. The step of extracting the access log elements includes applying the collected access log data of authorized users to the Gini coefficient of the decision tree, calculating the importance of each access log element, and selecting one or more access log elements in order of importance. can be extracted.
상기 침입 탐지 모델은, 랜덤 포레스트(Random Forest)를 기반으로 구현되며, 상기 랜덤 포레스트 모델의 가중치는 양자화 처리되어 경량화될 수 있다. The intrusion detection model is implemented based on a random forest, and weights of the random forest model may be quantized to reduce weight.
상기 접근 요청자에 대하여 상기 비정상 로그인인 것으로 판단된 횟수가 2번째 이상 N번째 이하인 경우, 관리계정을 초기화하고 해당 IP를 차단하고, 상기 비정상 로그인인 것으로 판단된 횟수가 N+1번째 이상인 경우, 펌웨어를 초기화하고, 허가된 사용자에 대응하는 사용자 단말기로 비밀번호 변경 요청을 하는 단계를 더 포함할 수 있다. If the number of times that the access requester is judged to be the abnormal login is the 2nd or more and the Nth or less, the management account is initialized and the corresponding IP is blocked, and if the number of times the abnormal login is determined to be the N+1th or more, the firmware Initializing and requesting a password change to a user terminal corresponding to an authorized user may be further included.
본 발명의 다른 실시예에 따르면, 스마트홈 IoT를 이용한 외부 침입 차단 시스템에 있어서, IoT 허브에 하나 이상의 IoT 디바이스가 네트워크 연결된 상태에서, 접근 요청자가 사용자 단말기를 통하여 상기 IoT 허브에 연결된 상기 IoT 디바이스에 대한 접근을 요청하면, 상기 외부 침입 차단 시스템은 상기 접근 요청자의 상기 IoT 디바이스의 접근 로그 데이터를 상기 IoT 허브로부터 수신하는 통신부, 상기 접근 로그 데이터로부터 중요도가 높은 접근 로그 요소를 추출하는 추출부, 그리고 상기 추출된 중요도가 높은 접근 로그 요소를 침입 탐지 모델에 적용하여 상기 접근 요청자의 접근 로그 데이터가 정상 로그인지 여부를 판단하고, 상기 접근 요청자의 접근 로그 데이터가 비정상 로그인 것으로 판단되면 네트워크 연결을 초기화하는 제어부를 포함한다. According to another embodiment of the present invention, in the external intrusion prevention system using smart home IoT, in a state where one or more IoT devices are network-connected to an IoT hub, an access requestor accesses the IoT device connected to the IoT hub through a user terminal. When access is requested, the external intrusion prevention system includes a communication unit that receives the access log data of the IoT device of the access requester from the IoT hub, an extraction unit that extracts an access log element of high importance from the access log data, and Applying the extracted access log elements of high importance to an intrusion detection model to determine whether the access requestor's access log data is a normal login, and if the access requester's access log data is determined to be an abnormal login, initialize the network connection includes a control unit.
이와 같이 본 발명에 따르면, 침입 탐지 모델의 경량화를 통해 보안 기능을 제공하고, IoT 네트워크에 추가적인 단말기를 부착하지 않고도 침입을 탐지할 수 있으므로, 사용자의 추가적인 비용부담이 줄어든다. 또한, 자동으로 IoT 기기 해킹을 방지하므로, 사용자가 직접 해킹 방지 매뉴얼을 통해 대응해야 할 번거로움이 없어질 수 있다. 그리고, 침입 탐지 모델을 통해 침입 탐지 시 자동으로 외부 침입자의 접근을 차단함으로써, 사용자의 해킹 피해를 최소화할 수 있다. As described above, according to the present invention, a security function is provided through lightening of an intrusion detection model and intrusion can be detected without attaching an additional terminal to the IoT network, thereby reducing the user's additional cost burden. In addition, since hacking of IoT devices is automatically prevented, users do not have to deal with hacking prevention manuals themselves. In addition, when an intrusion is detected through an intrusion detection model, the access of an external intruder is automatically blocked, thereby minimizing the user's hacking damage.
도 1은 본 발명의 실시예에 따른 스마트홈 IoT를 이용한 외부 침입 차단 시스템을 설명하기 위한 도면이다.
도 2는 본 발명의 실시예에 따른 스마트홈 IoT를 이용한 외부 침입 차단 시스템의 구성을 설명하기 위한 도면이다.
도 3a는 랜덤 포레스트를 설명하기 위한 예시도이다.
도 3b는 도 3a를 이용하여 정확도를 측정한 결과를 나타내는 예시도이다.
도 4는 본 발명의 실시예에 따른 스마트홈 IoT 기반의 외부 침입 차단 시스템을 이용한 외부 침입 차단 방법을 설명하기 위한 순서도이다.
도 5는 도 4의 S420 단계를 설명하기 위한 예시도이다.
도 6a 및 도 6b는 랜덤 포레스트 모델의 양자화를 설명하기 위한 예시도이다.1 is a diagram for explaining an external intrusion prevention system using a smart home IoT according to an embodiment of the present invention.
2 is a diagram for explaining the configuration of an external intrusion prevention system using smart home IoT according to an embodiment of the present invention.
3A is an exemplary diagram for explaining a random forest.
Figure 3b is an exemplary view showing the result of measuring the accuracy using Figure 3a.
4 is a flowchart illustrating a method for blocking external intrusion using a smart home IoT-based external intrusion blocking system according to an embodiment of the present invention.
5 is an exemplary diagram for explaining step S420 of FIG. 4 .
6A and 6B are exemplary diagrams for explaining quantization of a random forest model.
아래에서는 첨부한 도면을 참조하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 본 발명의 실시 예를 상세히 설명한다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시예에 한정되지 않는다. 그리고 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며 명세서 전체를 통하여 유사한 부분에 대해서는 유사한 도면 부호를 붙였다.Hereinafter, embodiments of the present invention will be described in detail so that those skilled in the art can easily practice with reference to the accompanying drawings. However, the present invention may be embodied in many different forms and is not limited to the embodiments described herein. In addition, in order to clearly explain the present invention in the drawings, parts irrelevant to the description are omitted, and similar reference numerals are attached to similar parts throughout the specification.
명세서 전체에서, 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다.Throughout the specification, when a certain component is said to "include", it means that it may further include other components without excluding other components unless otherwise stated.
그러면 첨부한 도면을 참고로 하여 본 발명의 실시 예에 대하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다.Then, with reference to the accompanying drawings, an embodiment of the present invention will be described in detail so that those skilled in the art can easily practice it.
이하에서는 도 1을 이용하여 본 발명의 실시예에 따른 스마트홈 IoT를 이용한 외부 침입 차단 시스템을 설명한다.Hereinafter, an external intrusion prevention system using a smart home IoT according to an embodiment of the present invention will be described using FIG. 1 .
도 1은 본 발명의 실시예에 따른 스마트홈 IoT를 이용한 외부 침입 차단 시스템을 설명하기 위한 도면이다.1 is a diagram for explaining an external intrusion prevention system using a smart home IoT according to an embodiment of the present invention.
도 1에서 나타낸 바와 같이, 본 발명의 실시예에 따른 외부 침입 차단 시스템(100)은 사용자 단말기(200), IoT 허브(300) 및 IoT 디바이스(400)와 네트워크로 연결된다. As shown in FIG. 1, the external
먼저, 본 발명의 실시예에 따른 외부 침입 차단 시스템(100)은 컴퓨터나 네트워크 상에서의 접근 로그 데이터를 분석하여 침입여부를 탐지 및 대응하는 자동화 시스템으로서, 사용자 단말기(200)를 이용하여 접속한 IoT 디바이스(400)의 접근 로그 데이터를 IoT 허브(300)를 통해 수신하고, 접근 로그 데이터 중에서 중요도에 따라 추출된 접근 로그 요소를 침입 탐지 모델에 적용하여 외부 침입자 여부를 판단하며, 외부 침입자인 경우 네트워크 연결을 초기화한다. First, the external
이와 같이, 외부 침입 차단 시스템(100)은 Dos, U2R, R2L, Probe 공격 종류를 포함하는 KDDCUP99 데이터셋(Dataset)을 이용한 침입 탐지 모델을 통해 외부 침입자로부터의 공격을 방지하기 위한 시스템으로 구현될 수 있다. In this way, the external
다음으로, 사용자 단말기(200)는 사용자에 의해 IoT 디바이스(400)의 동작을 제어하기 위한 IoT 디바이스(400)의 접근 로그 데이터를 IoT 허브(300)에 전송한다. Next, the
이때, 사용자 단말기(200)는 휴대가 가능한 사용자 단말기로서, 노트북 컴퓨터, 스마트 패드 또는 스마트폰 등과 같이 유선 또는 무선으로 네트워크에 접속하여 정보를 주고받을 수 있는 기기로 구현될 수 있으며, 사용자 단말기(400)가 스마트폰 또는 스마트패드로 구현된 경우에는 기 설치된 어플리케이션을 통하여 외부 침입 차단 시스템(100)에 접속할 수 있다. At this time, the
다음으로, IoT 허브(300)는 하나 이상의 IoT 디바이스(400)와 네트워크로 연결되며, 사용자 단말기(200)로부터 전송받은 IoT 디바이스에 네트워크 접근한 접근 로그 데이터를 저장한다.Next, the IoT
여기서, IoT 허브(300)는 외부 침입 차단 시스템(100)과 일체화되어 구현될 수 있다. Here, the IoT
다음으로, IoT 디바이스(400)는 실내에 구비되는 조명 기기, 에어컨, 냉장고, 세탁기 및 난방 기기 중에서 적어도 하나를 포함하고, IoT 허브(300)와 네트워크 연결된다. Next, the IoT
이하에서는 도 2를 이용하여 본 발명의 실시예에 따른 스마트홈 IoT를 이용한 외부 침입 차단 시스템의 구성을 설명한다.Hereinafter, the configuration of an external intrusion prevention system using smart home IoT according to an embodiment of the present invention will be described with reference to FIG. 2 .
도 2는 본 발명의 실시예에 따른 스마트홈 IoT를 이용한 외부 침입 차단 시스템(100)의 구성을 설명하기 위한 도면이다. 2 is a diagram for explaining the configuration of an external
도 2에서 나타낸 바와 같이, 본 발명의 실시예에 따른 스마트홈 IoT를 이용한 외부 침입 차단 시스템(100)은 통신부(110), 추출부(120) 및 제어부(130)를 포함한다. As shown in FIG. 2 , the external
먼저, IoT 허브(300)와 하나 이상의 IoT 디바이스(400)가 네트워크 연결된 상태에서 접근 요청자가 사용자 단말기(200)를 통하여 IoT 허브(300)에 연결된 IoT 디바이스(400)에 대한 접근 로그 데이터를 요청한다.First, in a state where the IoT
그러면, 통신부(110)는 접근 요청자의 IoT 디바이스(400)의 접근 로그 데이터를 IoT 허브(300)로부터 수신한다. Then, the
이때, 사용자 단말기(200)는 IoT 디바이스(400)의 동작을 제어하기 위한 IoT 디바이스(400)의 접근 로그 데이터를 IoT 허브(300)에 전송한다.At this time, the
그리고, 접근 로그 데이터는 접근 상세시간(Time-stamp), 사용자 아이디(User ID), 접근한 IoT 디바이스명(Access Internet of Things device), 요청된 IoT 디바이스에 대한 조작 명령(Action), 사용자 단말기 디바이스명(User terminal device), 접근 IP, 포트(Port) 및 프로토콜(Protocol) 중에서 적어도 하나의 요소를 포함한다.In addition, the access log data includes access detailed time (time-stamp), user ID (User ID), accessed IoT device name (Access Internet of Things device), requested operation command for the IoT device (Action), and user terminal device It includes at least one element among user terminal device, access IP, port, and protocol.
또한, 통신부(110)는 허가된 사용자가 IoT 디바이스(400)에 네트워크 접근한 접근 로그 데이터를 수집하여 IoT 허브(300)로 전송할 수 있다. In addition, the
다음으로, 추출부(120)는 접근 로그 데이터로부터 중요도가 높은 접근 로그 요소를 추출한다.Next, the
이때, 추출부(120)는 허가된 사용자의 수집된 접근 로그 데이터를 의사결정나무의 지니 계수(Gini's coefficient)에 적용하여, 각 접근 로그 요소의 중요도를 계산하여 중요도가 높은 순서대로 하나 이상의 접근 로그 요소를 추출할 수 있다. At this time, the
다음으로, 제어부(130)는 추출된 중요도가 높은 접근 로그 요소를 침입 탐지 모델에 적용하여 상기 접근 요청자의 접근 로그 데이터가 정상 로그인지 여부를 판단한다.Next, the
그리고, 상기 접근 요청자의 접근 로그 데이터가 비정상 로그인 것으로 판단될 경우, 제어부(130)는 IoT 허브(300)와 IoT 디바이스(400) 사이의 네트워크 연결을 초기화한다. And, when it is determined that the access log data of the access requester is an abnormal login, the
그리고, 상기 접근 요청자에 대하여 상기 비정상 로그인인 것으로 판단된 횟수가 2번째 이상 N번째 이하인 경우, 제어부(130)는 관리계정을 초기화하고 해당 IP를 차단할 수 있다.And, if the number of times it is determined that the access requester has been abnormally logged in is from the second to the Nth, the
또한, 상기 비정상 로그인인 것으로 판단된 횟수가 N+1번째 이상인 경우, 제어부(130)는 펌웨어를 초기화하고, 허가된 사용자에 대응하는 사용자 단말기(200)로 비밀번호 변경 요청을 할 수 있다. In addition, if the number of times it is determined that the abnormal login is equal to or greater than the N+1th time, the
그리고, 침입 탐지 모델은 랜덤 포레스트(Random Forest)를 기반으로 구현되며, 랜덤 포레스트 모델의 가중치는 양자화 처리되어 경량화된다. In addition, the intrusion detection model is implemented based on a random forest, and weights of the random forest model are quantized and lightened.
이때, 랜덤 포레스트는 머신러닝 알고리즘 중에서 데이터 분류에 사용되는 앙상블 기법이며, 원본 데이터를 무작위로 추출하여 여러 개의 의사결정나무에서 학습을 수행하여 평균 예측치(회귀 분석)에 의해 데이터를 분류한다. At this time, random forest is an ensemble technique used for data classification among machine learning algorithms, and randomly extracts original data, performs learning on several decision trees, and classifies data by average predicted value (regression analysis).
즉, 본 발명의 실시예에 따른 침입 탐지 모델은 랜덤 포레스트를 기반으로 구축하여 외부 침입자와 사용자의 분류를 수행하여 외부 침입자의 여부를 판단한다. That is, the intrusion detection model according to an embodiment of the present invention is built based on a random forest and classifies an external intruder and a user to determine whether there is an external intruder.
도 3a는 랜덤 포레스트를 설명하기 위한 예시도이고, 도 3b는 도 3a를 이용하여 정확도를 측정한 결과를 나타내는 예시도이다. 3A is an exemplary diagram for explaining a random forest, and FIG. 3B is an exemplary diagram illustrating a result of measuring accuracy using FIG. 3A.
도 3a에서 나타낸 바와 같이, 랜덤 포레스트는 7개의 파라미터를 사용하며, 의사결정트리의 개수와 각 트리의 최대 깊이에 따라 정확도가 달라진다.As shown in FIG. 3A, the random forest uses 7 parameters, and the accuracy varies depending on the number of decision trees and the maximum depth of each tree.
따라서, 도 3b에서 나타낸 바와 같이, 의사결정트리의 개수가 12개이고, 각 트리의 최대 깊이가 5인 경우의 정확도가 0.884848로 가장 우수함을 알 수 있었으나, 사용자에 의해 적용된 학습 데이터에 따라 달라질 수 있다. Therefore, as shown in FIG. 3B, when the number of decision trees is 12 and the maximum depth of each tree is 5, it can be seen that the accuracy is the best at 0.884848, but it may vary depending on the learning data applied by the user. .
이하에서는 도 4를 이용하여 본 발명의 실시예에 따른 스마트홈 IoT 기반의 외부 침입 차단 시스템(100)을 이용한 외부 침입 차단 방법을 설명한다.Hereinafter, an external intrusion blocking method using the smart home IoT-based external
도 4는 본 발명의 실시예에 따른 스마트홈 IoT 기반의 외부 침입 차단 시스템을 이용한 외부 침입 차단 방법을 설명하기 위한 순서도이다.4 is a flowchart illustrating a method for blocking external intrusion using a smart home IoT-based external intrusion blocking system according to an embodiment of the present invention.
먼저, 외부 침입 차단 시스템(100)은 허가된 사용자가 IoT 디바이스(400)에 네트워크 접근한 접근 로그 데이터를 IoT 허브(300)로부터 전송받아 수집한다(S410).First, the external
즉, 허가된 사용자가 자신의 사용자 단말기(200)를 이용하여 IoT 허브(300)에 IoT 디바이스(400)에 네트워크 접근 요청을 하면, IoT 허브(300)는 사용자로부터 수신한 접근 로그 데이터를 외부 침입 차단 시스템(100)로 전달한다.That is, when an authorized user makes a network access request to the
여기서, 외부 침입 차단 시스템(100)은 접근 상세시간(Time-stamp), 사용자 아이디(User ID), 접근한 IoT 디바이스명(Access Internet of Things device), 요청된 IoT 디바이스에 대한 조작 명령(Action), 사용자 단말기 디바이스명(User terminal device), 접근 IP, 포트(Port) 및 프로토콜(Protocol) 중에서 적어도 하나의 요소를 포함한 접근 로그 데이터를 IoT 허브(300)로부터 전송받아 수집할 수 있다.Here, the external
다음으로, 외부 침입 차단 시스템(100)은 S410 단계에서 수집된 접근 로그 데이터를 의사결정나무의 지니 계수에 적용하여, 각 접근 로그 요소의 중요도를 계산하여 중요도가 높은 순서대로 하나 이상의 접근 로그 요소를 추출한다(S420).Next, the external
이때, 외부 침입 차단 시스템(100)은 의사결정나무에서 지니 계수를 통해 의사결정나무에서 각 노드의 불순도를 계산하여 허가된 사용자의 수집된 접근 로그 데이터 중에서 중요도가 낮은 접근 로그 요소를 제거할 수 있다.At this time, the external
여기서, 지니 계수는 의사결정나무에서 노드를 구성하는 데이터의 불순도를 검출하기 위한 계수로, 다음의 수학식 1을 이용하여 불순도를 계산할 수 있다. Here, the Gini coefficient is a coefficient for detecting the impurity of data constituting a node in the decision tree, and the impurity can be calculated using
여기서, K는 데이터의 클래스의 개수이고, 는 각 샘플이 해당 클래스에 속할 확률을 나타낸다.Here, K is the number of classes of data, represents the probability that each sample belongs to that class.
이때, 본 발명의 실시예에서는 외부 침입 여부를 확인하는 것이므로, K에 대한 데이터의 클래스의 개수는 허가된 사용자와 허가되지 않은 외부의 침입자에 대해 2개가 될 수 있다.At this time, in the embodiment of the present invention, since external intrusion is checked, the number of classes of data for K may be two for an authorized user and an unauthorized external intruder.
수학식 1을 통해 계산된 지니 계수를 기반으로 다음 노드에서 지니 계수가 낮아질 경우, 데이터의 순도는 높아짐을 알 수 있다. Based on the Gini coefficient calculated through
그리고, 외부 침입 차단 시스템(100)은 접근 로그 요소의 중요도를 계산하기 위해서 먼저 다음의 수학식 2를 통해 의사결정나무의 노드에 대한 중요도를 계산한다.In addition, the external
여기서, 는 노드의 중요도이고, 는 부모 노드의 가중치 불순도이고, 및 은 자식 노드들의 가중치 불순도이다. here, is the importance of the node, is the weight impurity of the parent node, and is the weight impurity of child nodes.
수학식 2에 나타낸 것처럼, 노드의 중요도는 부모 노드의 가중치 불순도에서 자식 노드들의 가중치 불순도의 합을 뺀 것으로, 의사결정나무는 노드 중요도를 최대화 하는 요소를 기준으로 자식 노드를 분기하며, 특정 노드에서의 노드 중요도 값이 클수록 불순도가 감소된다.As shown in
그리고, 외부 침입 차단 시스템(100)은 다음의 수학식 3을 이용하여 접근 로그 요소의 중요도를 다음의 수학식 3을 통해 연산한다. Then, the external
여기서, 은 각각의 접근 로그 요소의 중요도이고, 은 모든 노드의 중요도이고, 은 해당 요소를 기준으로 분리된 모든 노드의 중요도의 합이다. here, is the importance of each access log element, is the importance of all nodes, is the sum of the importance of all nodes separated based on the corresponding element.
즉, 접근 로그 데이터 중 각각의 접근 로그 요소의 중요도는 해당 요소를 기준으로 분리된 모든 노드의 중요도의 합을 모든 노드의 중요도로 나눈 값이 된다. That is, the importance of each access log element in the access log data is a value obtained by dividing the sum of the importance of all nodes separated based on the corresponding element by the importance of all nodes.
이를 통해, 외부 침입 차단 시스템(100)은 접근 로그 데이터를 의사결정나무의 지니 계수를 통해 각 접근 로그 요소의 중요도를 계산하여 중요도가 낮은 접근 로그 요소를 제거하고, 중요도가 높은 순서대로 하나 이상의 접근 로그 요소를 추출한다. Through this, the external
도 5는 도 4의 S420 단계를 설명하기 위한 예시도이다.5 is an exemplary diagram for explaining step S420 of FIG. 4 .
도 5에서 나타낸 바와 같이, 외부 침입 차단 시스템(100)은 접근 로그 데이터를 의사결정나무의 지니 계수를 통해 불순도를 계산하고, 각 접근 로그 요소 별로 중요도를 계산한다.As shown in FIG. 5, the external
도 5의 예에서 보는 바와 같이, 접근 상세시간의 중요도는 0.552792이고, 접근 IP의 중요도는 0.182973이며, 사용자 단말기 디바이스명의 중요도는 0.152349이고, 접근한 IoT 디바이스명의 중요도는 0.95485이며, 요청된 IoT 디바이스에 대한 조작 명령의 중요도는 0.016401일 수 있다. As shown in the example of FIG. 5, the importance of access detail time is 0.552792, the importance of access IP is 0.182973, the importance of user terminal device name is 0.152349, the importance of accessed IoT device name is 0.95485, and the requested IoT device The importance of the operation command for may be 0.016401.
따라서, 외부 침입 차단 시스템(100)은 접근 로그 데이터 중에서 중요도가 높은 접근 상세시간, 접근 IP, 사용자 단말기 디바이스명, 접근한 IoT 디바이스명 및 요청된 IoT 디바이스(400)에 대한 조작 명령 중에서 하나 이상의 접근 로그 요소를 추출할 수 있다.Therefore, the external
이와 같이 S410과 S420 단계를 통하여 접근 로그 요소 별 중요도가 결정된 상태에서, 외부 침입 차단 시스템(100)은 접근 로그 요소 별 중요도를 이용하여 IoT 허브(300)에 접근한 접근 요청자가 허가된 사용자인지 외부의 침입자인지 판단하게 된다. In this way, in the state in which the importance of each access log element is determined through steps S410 and S420, the external
이하에서는 S430 단계 내지 S480 단계를 통하여 외부 침입 차단 시스템(100)이 IoT 네트워크에 접근을 요청하는 자가 허가된 사용자인지 외부의 침입자인지를 구별하는 방법에 대하여 설명한다. Hereinafter, a method for the external
다음으로, IoT 허브(300)과 하나 이상의 IoT 디바이스(400)가 네트워크 연결된 상태에서, 외부 침입 차단 시스템(100)은 사용자 단말기로부터 IoT 디바이스의 동작을 제어하기 위한 IoT 디바이스(400)의 접근 로그 데이터를 IoT 허브(300)를 통해 수신한다(S430).Next, in a state in which the
즉, S430 단계는 IoT 허브(300)에 접근한 접근 요청자로부터 접근 로그 데이터를 IoT 허브(300)를 통해 수신한다. That is, in step S430, access log data is received from the access requester who has accessed the
다음으로, 외부 침입 차단 시스템(100)은 접근 로그 데이터로부터 중요도가 높은 접근 로그 요소를 추출한다(S440).Next, the external
여기서, 외부 침입 차단 시스템(100)은 S420 단계를 통해 계산된 접근 로그 요소의 중요도에 따라 접근 로그 데이터로부터 중요도가 높은 접근 로그 요소를 추출할 수 있다. Here, the external
예를 들어, 접근 로그 요소의 중요도가 접근 상세시간이 가장 높다고 가정하면, 외부 침입 차단 시스템(100)은 접근 로그 데이터 중에서 접근 상세시간에 대한 접근 로그 요소를 추출한다.For example, assuming that the access detail time is the highest in importance of the access log element, the external
다음으로, 외부 침입 차단 시스템(100)은 S420 단계에서 추출된 중요도가 높은 접근 로그 요소를 침입 탐지 모델에 적용하여 접근 요청자의 접근 로그 데이터가 정상 로그인지 여부를 판단한다.Next, the external
즉, 외부 침입 차단 시스템(100)은 S420 단계를 통해 계산된 각 접근 로그 요소의 중요도를 통해 추출된 중요도가 높은 접근 로그 요소를 침입 탐지 모델에 적용하여 접근 요청자의 접근 로그 데이터가 정상 로그인지 여부를 판단할 수 있다. That is, the external
여기서, 침입 탐지 모델은 랜덤 포레스트(Random Forest)를 기반으로 구현되며, 랜덤 포레스트 모델의 가중치는 양자화 처리되어 경량화될 수 있다. Here, the intrusion detection model is implemented based on a random forest, and weights of the random forest model can be quantized and lightened.
여기서, 양자화는 크기가 32b비트(bit)로 비교적 사이즈가 큰 형태의 실수(float)를 크기가 작은 8비트(bit)의 이산형(int) 값으로 치환하는 것을 나타낸다.Here, quantization refers to substituting a relatively large real number (float) of 32b bits in size with a discrete int value of
이때, 랜덤포레스트 모델은 실수 값을 사용하여 학습 및 구현할 수 있으므로, 실수 값을 이용하여 양자화 처리할 수 있다. In this case, since the random forest model can be learned and implemented using real values, quantization can be performed using real values.
도 6a 및 도 6b는 랜덤 포레스트 모델의 양자화를 설명하기 위한 예시도이다.6A and 6B are exemplary diagrams for explaining quantization of a random forest model.
도 6a에서 나타낸 바와 같이, 랜덤포레스트 모델을 경량화하기 위해 침입 탐지 모델은 실수로 표현되어 있는 학습 데이터와 학습이 완료된 모델의 상태값(가중치, 노드의 상태)를 양자화 처리함으로써 연산 및 판단 처리 과정을 경량화시킬 수 있다.As shown in FIG. 6A, in order to lighten the random forest model, the intrusion detection model quantizes the training data represented by real numbers and the state values (weights, node states) of the model that has been trained, thereby performing calculation and judgment processing. can be lightened.
또한, 양자화는 일정 범위 내의 실수 값은 특정 값으로 리턴하는 매핑을 통해 이루어지며 최대한 정확도에 영향을 미치지 않는 범위에서 데이터의 분포에 따라 범위가 정할 수 있다.In addition, quantization is performed through mapping in which real values within a certain range are returned as specific values, and the range may be determined according to the distribution of data within a range that does not affect accuracy as much as possible.
이를 통해, 랜덤 포레스트 모델이 전체적으로 저비트로 압축되어 크기는 줄어들면서 동시에 정밀도는 유지할 수 있다.Through this, the random forest model is compressed to a low bit as a whole, reducing the size while maintaining precision.
따라서, 도 6b에서 나타낸 바와 같이, 원래의 가중치의 범위가 -0.3에서 -0.25인 경우, 양자화 처리되어 경량화된 가중치는 -0.2가 되고, 원래의 가중치의 범위가 -0.25에서 -0.1인 경우, 양자화 처리되어 경량화된 가중치는 -0.1가 되며, 원래의 가중치의 범위가 -0.1에서 0.1인 경우, 양자화 처리되어 경량화된 가중치는 0이 되고, 원래의 가중치의 범위가 1.0에서 1.5인 경우, 양자화 처리되어 경량화된 가중치는 0.25가 되며, 원래의 가중치의 범위가 1.5에서 2.5인 경우, 양자화 처리되어 경량화된 가중치는 2가 된다.Therefore, as shown in FIG. 6B, when the original weight range is -0.3 to -0.25, the quantized weight is -0.2, and when the original weight range is -0.25 to -0.1, quantization is performed. The processed and weighted weight is -0.1, and when the range of the original weight is -0.1 to 0.1, the quantized and lightened weight is 0, and when the range of the original weight is 1.0 to 1.5, the quantized The reduced weight becomes 0.25, and when the range of the original weight is 1.5 to 2.5, the quantized weight becomes 2.
다음으로, 외부 침입 차단 시스템(100)은 랜덤 포레스트를 기반으로 하는 침입 탐지 모델을 이용하여 접근 요청자의 접근 로그 데이터가 정상 로그인지 여부를 판단할 수 있다.Next, the external
여기서, IoT 허브에 접근한 접근 요청자의 접근 로그 데이터가 정상 로그인 것으로 판단된 경우, 외부 침입 차단 시스템(100)은 사용자가 IoT 디바이스(400)의 동작을 제어하도록 사용자 단말기(200)와 IoT 디바이스(300)와 연결한다(S450).Here, when it is determined that the access log data of the access requester who has accessed the IoT hub is a normal log-in, the external
만일, IoT 허브에 접근한 접근 요청자의 접근 로그 데이터가 비정상 로그인 것으로 판단된 경우, 비정상로그 검출 횟수를 검출한다.If it is determined that the access log data of the access requester accessing the IoT hub is an abnormal login, the number of abnormal logs detected is detected.
이때, 접근 요청자의 접근 로그 데이터가 최초로 비정상 로그인 것으로 판단되면, 외부 침입 차단 시스템(100)은 네트워크 연결을 초기화할 수 있다(S460).At this time, if it is determined that the access log data of the access requester is an abnormal login for the first time, the external
즉, 접근 요청자의 접근 로그 데이터가 비정상 로그인 것으로 검출한 횟수가 1번인경우, 외부 침입 차단 시스템(100)은 IoT 허브(300)와 IoT 디바이스(400) 사이의 IoT 네트워크 연결을 초기화한다.That is, if the number of times that the access log data of the access requester is detected as abnormal login is 1, the external
그리고, 접근 요청자에 대하여 비정상 로그인인 것으로 판단된 횟수가 2번째 이상 N번째 이하인 경우, 외부 침입 차단 시스템(100)은 관리계정을 초기화하고 해당 IP를 차단한다(S470).Then, if the number of times that it is determined that the access requester is abnormally logged in is from the second to the Nth, the external
이때, N이 5라고 가정하면, 접근 요청자에 대하여 비정상 로그인인 것으로 판단된 횟수가 2번째 이상 5번째 이하인 경우, 외부 침입 차단 시스템(100)은 관리계정을 초기화하고 해당 IP를 차단한다.At this time, assuming that N is 5, if the number of times it is determined that the access requester is abnormally logged in is 2 or more and 5 or less, the external
만일, 접근 요청자에 대하여 비정상 로그인인 것으로 판단된 횟수가 N+1번째 이상인 경우, 외부 침입 차단 시스템(100)은 펌웨어를 초기화하고, 허가된 사용자에 대응하는 사용자 단말기(200)로 비밀번호 변경 요청을 한다(S480).If the number of times it is determined that the access requester has been logged in abnormally is N+1th or more, the external
즉, 접근 요청자에 대하여 비정상 로그인인 것으로 판단된 횟수가 6번째 이상인 경우, 외부 침입 차단 시스템(100)은 펌웨어를 초기화하고, 허가된 사용자에 대응하는 사용자 단말기(200)로 비밀번호 변경 요청을 한다.That is, when the number of times that the access requester is determined to be an abnormal login is 6 or more, the external
이와 같이 본 발명의 실시예에 따르면, 침입 탐지 모델의 경량화를 통해 보안 기능을 제공하고, IoT 네트워크에 추가적인 단말기를 부착하지 않고도 침입을 탐지할 수 있으므로, 사용자의 추가적인 비용부담이 줄어든다. 또한, 자동으로 IoT 기기 해킹을 방지하므로, 사용자가 직접 해킹 방지 매뉴얼을 통해 대응해야 할 번거로움이 없어질 수 있다. 그리고, 침입 탐지 모델을 통해 침입 탐지 시 자동으로 외부 침입자의 접근을 차단함으로써, 사용자의 해킹 피해를 최소화할 수 있다. As described above, according to an embodiment of the present invention, a security function is provided through a light weight intrusion detection model, and intrusion can be detected without attaching an additional terminal to the IoT network, thereby reducing the user's additional cost burden. In addition, since hacking of IoT devices is automatically prevented, users do not have to deal with hacking prevention manuals themselves. In addition, when an intrusion is detected through an intrusion detection model, the access of an external intruder is automatically blocked, thereby minimizing the user's hacking damage.
본 발명은 도면에 도시된 실시예를 참고로 설명되었으나 이는 예시적인 것에 불과하며, 본 기술 분야의 통상의 지식을 가진 자라면 이로부터 다양한 변형 및 균등한 다른 실시예가 가능하다는 점을 이해할 것이다. 따라서, 본 발명의 진정한 기술적 보호 범위는 첨부된 특허청구범위의 기술적 사상에 의하여 정해져야 할 것이다.Although the present invention has been described with reference to the embodiments shown in the drawings, this is only exemplary, and those skilled in the art will understand that various modifications and equivalent other embodiments are possible therefrom. Therefore, the true technical scope of protection of the present invention should be determined by the technical spirit of the appended claims.
100: 외부 침입 차단 시스템,
110: 통신부,
120: 추출부,
130: 제어부,
200: 사용자 단말기,
300: IoT 허브,
400: IoT 디바이스100: external intrusion prevention system, 110: communication department,
120: extraction unit, 130: control unit,
200: user terminal, 300: IoT hub,
400: IoT device
Claims (12)
IoT 허브에 하나 이상의 IoT 디바이스가 네트워크 연결된 상태에서, 접근 요청자가 사용자 단말기를 통하여 상기 IoT 허브에 연결된 상기 IoT 디바이스에 대한 접근을 요청하면, 상기 외부 침입 차단 시스템은 상기 접근 요청자의 상기 IoT 디바이스의 접근 로그 데이터를 상기 IoT 허브로부터 수신하는 단계,
상기 접근 로그 데이터로부터 중요도가 높은 접근 로그 요소를 추출하는 단계,
상기 추출된 중요도가 높은 접근 로그 요소를 침입 탐지 모델에 적용하여 상기 접근 요청자의 접근 로그 데이터가 정상 로그인지 여부를 판단하는 단계, 그리고
상기 접근 요청자의 접근 로그 데이터가 비정상 로그인 것으로 판단되면 네트워크 연결을 초기화하는 단계를 포함하는 외부 침입 차단 방법. In the external intrusion blocking method using a smart home IoT-based external intrusion blocking system,
In a state in which one or more IoT devices are network-connected to an IoT hub, when an access requester requests access to the IoT device connected to the IoT hub through a user terminal, the external intrusion prevention system provides access to the IoT device of the access requestor. Receiving log data from the IoT hub;
Extracting an access log element of high importance from the access log data;
Applying the extracted access log elements of high importance to an intrusion detection model to determine whether the access log data of the access requestor is a normal login; and
External intrusion blocking method comprising the step of initializing a network connection when it is determined that the access log data of the access requester is an abnormal login.
상기 외부 침입 차단 시스템은 허가된 사용자가 상기 IoT 디바이스에 네트워크 접근한 접근 로그 데이터를 IoT 허브로부터 전송받아 수집하는 단계를 더 포함하는 외부 침입 차단 방법. According to claim 1,
The external intrusion blocking system further comprises receiving and collecting access log data of network access to the IoT device by an authorized user from an IoT hub.
상기 접근 로그 데이터는,
접근 상세시간(Time-stamp), 사용자 아이디(User ID), 접근한 IoT 디바이스명(Access Internet of Things device), 요청된 IoT 디바이스에 대한 조작 명령(Action), 사용자 단말기 디바이스명(User terminal device), 접근 IP, 포트(Port) 및 프로토콜(Protocol) 중에서 적어도 하나의 요소를 포함하는 외부 침입 차단 방법. According to claim 1,
The access log data,
Access detailed time (Time-stamp), user ID (User ID), accessed IoT device name (Access Internet of Things device), requested IoT device operation command (Action), user terminal device name (User terminal device) , an access IP, a port (Port), and an external intrusion blocking method including at least one element among protocols (Protocol).
상기 접근 로그 요소를 추출하는 단계는,
허가된 사용자의 수집된 접근 로그 데이터를 의사결정나무의 지니 계수에 적용하여, 각 접근 로그 요소의 중요도를 계산하여 중요도가 높은 순서대로 하나 이상의 접근 로그 요소를 추출하는 외부 침입 차단 방법. According to claim 1,
Extracting the access log element,
An external intrusion prevention method that applies the collected access log data of authorized users to the Gini coefficient of the decision tree, calculates the importance of each access log element, and extracts one or more access log elements in order of importance.
상기 침입 탐지 모델은,
랜덤 포레스트(Random Forest)를 기반으로 구현되며,
상기 랜덤 포레스트 모델의 가중치는 양자화 처리되어 경량화된 외부 침입 차단 방법. According to claim 1,
The intrusion detection model,
It is implemented based on a random forest,
Weights of the random forest model are quantized and lightweight external intrusion blocking method.
상기 접근 요청자에 대하여 상기 비정상 로그인인 것으로 판단된 횟수가 2번째 이상 N번째 이하인 경우, 관리계정을 초기화하고 해당 IP를 차단하고,
상기 비정상 로그인인 것으로 판단된 횟수가 N+1번째 이상인 경우, 펌웨어를 초기화하고, 허가된 사용자에 대응하는 사용자 단말기로 비밀번호 변경 요청을 하는 단계를 더 포함하는 외부 침입 차단 방법. According to claim 1,
If the number of times that the access requester is determined to be the abnormal login is from the 2nd to the Nth, the management account is initialized and the corresponding IP is blocked,
External intrusion blocking method further comprising the step of initializing firmware and requesting a password change to a user terminal corresponding to an authorized user when the number of times it is determined that the abnormal login is N+1th or more.
IoT 허브에 하나 이상의 IoT 디바이스가 네트워크 연결된 상태에서, 접근 요청자가 사용자 단말기를 통하여 상기 IoT 허브에 연결된 상기 IoT 디바이스에 대한 접근을 요청하면, 상기 외부 침입 차단 시스템은 상기 접근 요청자의 상기 IoT 디바이스의 접근 로그 데이터를 상기 IoT 허브로부터 수신하는 통신부,
상기 접근 로그 데이터로부터 중요도가 높은 접근 로그 요소를 추출하는 추출부, 그리고
상기 추출된 중요도가 높은 접근 로그 요소를 침입 탐지 모델에 적용하여 상기 접근 요청자의 접근 로그 데이터가 정상 로그인지 여부를 판단하고, 상기 접근 요청자의 접근 로그 데이터가 비정상 로그인 것으로 판단되면 네트워크 연결을 초기화하는 제어부를 포함하는 외부 침입 차단 시스템. In the external intrusion prevention system using smart home IoT,
In a state in which one or more IoT devices are network-connected to an IoT hub, when an access requester requests access to the IoT device connected to the IoT hub through a user terminal, the external intrusion prevention system provides access to the IoT device of the access requestor. A communication unit receiving log data from the IoT hub;
An extractor for extracting an access log element of high importance from the access log data, and
Applying the extracted access log elements of high importance to an intrusion detection model to determine whether the access requestor's access log data is a normal login, and if the access requester's access log data is determined to be an abnormal login, initialize the network connection An external intrusion prevention system including a control unit.
상기 통신부는,
허가된 사용자가 상기 IoT 디바이스에 네트워크 접근한 접근 로그 데이터를 IoT 허브로부터 전송받아 수집하는 외부 침입 차단 시스템. According to claim 7,
The communication department,
An external intrusion prevention system for receiving and collecting access log data of network access to the IoT device by an authorized user from an IoT hub.
상기 접근 로그 데이터는,
접근 상세시간(Time-stamp), 사용자 아이디(User ID), 접근한 IoT 디바이스명(Access Internet of Things device), 요청된 IoT 디바이스에 대한 조작 명령(Action), 사용자 단말기 디바이스명(User terminal device), 접근 IP, 포트(Port) 및 프로토콜(Protocol) 중에서 적어도 하나의 요소를 포함하는 외부 침입 차단 시스템. According to claim 7,
The access log data,
Access detailed time (Time-stamp), user ID (User ID), accessed IoT device name (Access Internet of Things device), requested IoT device operation command (Action), user terminal device name (User terminal device) , Access IP, port (Port) and protocol (Protocol), an external intrusion prevention system including at least one element.
상기 추출부는,
허가된 사용자의 수집된 접근 로그 데이터를 의사결정나무의 지니 계수에 적용하여, 각 접근 로그 요소의 중요도를 계산하여 중요도가 높은 순서대로 하나 이상의 접근 로그 요소를 추출하는 외부 침입 차단 시스템. According to claim 7,
The extraction part,
An external intrusion prevention system that applies the collected access log data of authorized users to the Gini coefficient of the decision tree, calculates the importance of each access log element, and extracts one or more access log elements in order of importance.
상기 침입 탐지 모델은,
랜덤 포레스트(Random Forest)를 기반으로 구현되며,
상기 랜덤 포레스트 모델의 가중치는 양자화 처리되어 경량화된 외부 침입 차단 시스템. According to claim 7,
The intrusion detection model,
It is implemented based on a random forest,
Weights of the random forest model are quantized and lightweight external intrusion prevention system.
상기 제어부는,
상기 접근 요청자에 대하여 상기 비정상 로그인인 것으로 판단된 횟수가 2번째 이상 N번째 이하인 경우, 관리계정을 초기화하고 해당 IP를 차단하고,
상기 비정상 로그인인 것으로 판단된 횟수가 N+1번째 이상인 경우, 펌웨어를 초기화하고, 허가된 사용자에 대응하는 사용자 단말기로 비밀번호 변경 요청을 하는 외부 침입 차단 시스템.
According to claim 7,
The control unit,
If the number of times that the access requester is determined to be the abnormal login is from the 2nd to the Nth, the management account is initialized and the corresponding IP is blocked,
An external intrusion prevention system for initializing firmware and requesting a password change to a user terminal corresponding to an authorized user when the number of times it is determined that the abnormal login is N+1th or more.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020210068999A KR102534204B1 (en) | 2021-05-28 | 2021-05-28 | System for blocking external intrusion using smart home iot and method thereof |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020210068999A KR102534204B1 (en) | 2021-05-28 | 2021-05-28 | System for blocking external intrusion using smart home iot and method thereof |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20220160849A true KR20220160849A (en) | 2022-12-06 |
KR102534204B1 KR102534204B1 (en) | 2023-05-18 |
Family
ID=84407531
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020210068999A KR102534204B1 (en) | 2021-05-28 | 2021-05-28 | System for blocking external intrusion using smart home iot and method thereof |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR102534204B1 (en) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101849670B1 (en) * | 2017-10-23 | 2018-04-17 | (주)경인씨엔에스 | System for managing internet of things device using network monitoring |
KR20190027122A (en) * | 2017-09-06 | 2019-03-14 | 전북대학교산학협력단 | Apparatus and method for analyzing network attack pattern |
KR102055843B1 (en) * | 2018-11-28 | 2020-01-22 | 주식회사 이글루시큐리티 | Event-based Security Rule Real-time Optimization System and Its Method |
KR20200068101A (en) * | 2018-11-28 | 2020-06-15 | 콘텔라 주식회사 | Apparatus and method for detecting abnormal IoT terminal |
-
2021
- 2021-05-28 KR KR1020210068999A patent/KR102534204B1/en active IP Right Grant
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20190027122A (en) * | 2017-09-06 | 2019-03-14 | 전북대학교산학협력단 | Apparatus and method for analyzing network attack pattern |
KR101849670B1 (en) * | 2017-10-23 | 2018-04-17 | (주)경인씨엔에스 | System for managing internet of things device using network monitoring |
KR102055843B1 (en) * | 2018-11-28 | 2020-01-22 | 주식회사 이글루시큐리티 | Event-based Security Rule Real-time Optimization System and Its Method |
KR20200068101A (en) * | 2018-11-28 | 2020-06-15 | 콘텔라 주식회사 | Apparatus and method for detecting abnormal IoT terminal |
Also Published As
Publication number | Publication date |
---|---|
KR102534204B1 (en) | 2023-05-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106789935B (en) | Terminal abnormity detection method | |
US10296739B2 (en) | Event correlation based on confidence factor | |
Pan et al. | Context aware intrusion detection for building automation systems | |
CN111274583A (en) | Big data computer network safety protection device and control method thereof | |
KR20170128300A (en) | Methods and systems for automated anonymous crowdsourcing of characterized device behaviors | |
KR102234514B1 (en) | Artificial intelligence method and system for integrated it monitoring | |
CN109347880A (en) | A kind of safety protecting method, apparatus and system | |
CN113168469B (en) | System and method for behavioral threat detection | |
KR101750760B1 (en) | System and method for anomaly behavior detection of smart home service | |
CN112839017A (en) | Network attack detection method and device, equipment and storage medium thereof | |
KR20210155244A (en) | A method of secure monitoring for multi network devices | |
US10476754B2 (en) | Behavior-based community detection in enterprise information networks | |
CN108667642B (en) | Risk equalizer of server based on risk assessment | |
CN110061854A (en) | A kind of non-boundary network intelligence operation management method and system | |
KR102534204B1 (en) | System for blocking external intrusion using smart home iot and method thereof | |
CN116962052A (en) | Network security monitoring method, apparatus, device, medium and computer program product | |
CN116418591A (en) | Intelligent computer network safety intrusion detection system | |
KR102433831B1 (en) | System and method for supporting decision for security management | |
CN112822683B (en) | Method for detecting illegal external connection by using mobile network | |
CN113726724B (en) | Method and gateway for evaluating and detecting security risk of home network environment | |
KR20230085692A (en) | Method and apparatus for detecting abnormal behavior of IoT system | |
CN113168468B (en) | System and method for behavioral threat detection | |
CN113726810A (en) | Intrusion detection system | |
CN112866172A (en) | Safety protection method and device, smart home system and computer readable medium | |
KR102665210B1 (en) | A anomaly detection system for cloud device based on xai and a method for anomaly detection |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant |