KR20220160849A - System for blocking external intrusion using smart home iot and method thereof - Google Patents

System for blocking external intrusion using smart home iot and method thereof Download PDF

Info

Publication number
KR20220160849A
KR20220160849A KR1020210068999A KR20210068999A KR20220160849A KR 20220160849 A KR20220160849 A KR 20220160849A KR 1020210068999 A KR1020210068999 A KR 1020210068999A KR 20210068999 A KR20210068999 A KR 20210068999A KR 20220160849 A KR20220160849 A KR 20220160849A
Authority
KR
South Korea
Prior art keywords
access
iot
access log
external intrusion
log data
Prior art date
Application number
KR1020210068999A
Other languages
Korean (ko)
Other versions
KR102534204B1 (en
Inventor
신용태
황윤영
이필원
배수환
김수진
송진수
Original Assignee
숭실대학교산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 숭실대학교산학협력단 filed Critical 숭실대학교산학협력단
Priority to KR1020210068999A priority Critical patent/KR102534204B1/en
Publication of KR20220160849A publication Critical patent/KR20220160849A/en
Application granted granted Critical
Publication of KR102534204B1 publication Critical patent/KR102534204B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • GPHYSICS
    • G16INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
    • G16YINFORMATION AND COMMUNICATION TECHNOLOGY SPECIALLY ADAPTED FOR THE INTERNET OF THINGS [IoT]
    • G16Y10/00Economic sectors
    • G16Y10/80Homes; Buildings
    • GPHYSICS
    • G16INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
    • G16YINFORMATION AND COMMUNICATION TECHNOLOGY SPECIALLY ADAPTED FOR THE INTERNET OF THINGS [IoT]
    • G16Y30/00IoT infrastructure
    • G16Y30/10Security thereof
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/2803Home automation networks
    • H04L12/283Processing of data at an internetworking point of a home automation network
    • H04L12/2834Switching of information between an external network and a home network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/306Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information intercepting packet switched data communications, e.g. Web, Internet or IMS communications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/308Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information retaining data, e.g. retaining successful, unsuccessful communication attempts, internet access, or e-mail, internet telephony, intercept related information or call content
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Software Systems (AREA)
  • Automation & Control Theory (AREA)
  • Technology Law (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Architecture (AREA)
  • Civil Engineering (AREA)
  • Structural Engineering (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Development Economics (AREA)
  • Economics (AREA)
  • General Business, Economics & Management (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

The present invention relates to an external intrusion blocking system using smart home IoT and a method thereof. In accordance with the present invention, the external intrusion blocking method using the external intrusion blocking system based on smart home IoT, includes: a step in which in a state in which at least one IoT device is network-connected to an IoT hub, when an access requester requests access to the IoT device connected to the IoT hub through a user terminal, an external intrusion blocking system receives access log data of the IoT device from the IoT hub; a step in which an access log component with high significance is extracted from the access log data; a step in which the extracted access log component with high significance is applied to an intrusion detection model to determine whether the access log data of the access requester is a normal log; and a step in which when the access log data of the access requester is determined as an abnormal log-in, the network connection is initialized. In accordance with the present invention, the external intrusion blocking system can provide a security function through the lightening of an intrusion detection model, and can detect an intrusion without having an additional terminal attached to an IoT network, thereby reducing an additional cost burden on a user. Moreover, the external intrusion blocking system can automatically prevent IoT device hacking, thereby eliminating inconvenience in which a user needs to personally take action through a hacking prevention manual.

Description

스마트홈 IoT를 이용한 외부 침입 차단 시스템 및 그 방법{SYSTEM FOR BLOCKING EXTERNAL INTRUSION USING SMART HOME IOT AND METHOD THEREOF}External intrusion prevention system and method using smart home IoT {SYSTEM FOR BLOCKING EXTERNAL INTRUSION USING SMART HOME IOT AND METHOD THEREOF}

본 발명은 스마트홈 IoT를 이용한 외부 침입 차단 시스템 및 그 방법에 관한 것으로, 더욱 상세하게는 접근 로그 요소를 경량화된 침입 탐지 모델에 적용하여 외부 침입자 여부를 확인하고, 외부 침입자인 경우, 보안 기능을 수행하여 자동으로 외부 침입을 탐지하는 스마트홈 IoT를 이용한 외부 침입 차단 시스템 및 그 방법에 관한 것이다. The present invention relates to an external intrusion prevention system and method using smart home IoT, and more particularly, by applying an access log element to a lightweight intrusion detection model to determine whether an external intruder is present, and in the case of an external intruder, a security function is provided. It relates to an external intrusion blocking system and method using smart home IoT that automatically detects external intrusion by performing

오늘날의 사물인터넷(Internet of Things, 이하 "IoT"로 명명한다.)은 다양한 형태의 사물에 네트워크 기능이 탑재되어 인간과 사물, 데이터를 연결하고 있고, 우리의 실생활에서는 IoT, 인공지능(AI, Artificial Intelligence)등의 기술을 활용한 스마트 홈 시스템을 통해 더 안전하고, 편리하게 변화하고 있다. Today's Internet of Things (hereinafter referred to as "IoT") is equipped with network functions in various types of things to connect humans, objects, and data, and in our real life, IoT, artificial intelligence (AI, The smart home system using technologies such as Artificial Intelligence) is changing to become safer and more convenient.

스마트 홈 시스템은 IoT를 기반으로 하여 자동화 서비스를 제공하고 현재 우리의 생활에 다양하게 적용되어 사용자가 외부에 있더라도 에어컨, 난방, 조명 조절부터 가스밸브 잠금, 누전기 차단, 콘센트 차단 등의 작업들을 원격제어가 가능하게 한다. The smart home system provides automation services based on IoT and is applied in various ways to our lives today, even if the user is outside, remotely performing tasks such as air conditioning, heating, and lighting control, gas valve locking, leakage current blocking, and outlet blocking. make control possible.

스마트 홈 시스템은 기존서버와 통신사 클라우드 센터(Cloud Center) 서버를 함께 사용하여 통신사 클라우드 센터 서버는 집 내부 실시간 상태를 보고하고 집안 기기를 무선으로 작동될 수 있도록 한다. The smart home system uses the existing server and the cloud center server of the telecommunications company together, and the cloud center server of the telecommunications company reports the real-time status inside the house and enables the home devices to be operated wirelessly.

이와 같이, 스마트 홈 시스템을 활용함으로써 생활의 편의성은 높아졌으나 이러한 IoT기술의 발전에 따라 이를 악용하는 사례도 늘어나고 있다.In this way, the convenience of life has increased by utilizing the smart home system, but with the development of these IoT technologies, cases of abuse are increasing.

특히, IoT 기기와 집 내부의 데이터가 연동됨으로써 보안이 취약해져 해킹의 위험성이 높아진다는 문제점이 있고, 이로 인하여 사생활 침해 등의 상황이 발생할 수 있다.In particular, there is a problem that security is weakened by interlocking IoT devices with data inside the house, increasing the risk of hacking, and this may cause situations such as invasion of privacy.

이처럼, 해킹범죄는 증가하는 반면 현재 상용화된 IoT 디바이스의 솔루션들은 주로 데이터를 암호화하여 정보를 은닉하는 방식을 채택하고 있어 계정이 탈취되는 경우 대응책이 없다. As such, while hacking crimes are increasing, currently commercialized IoT device solutions mainly adopt a method of hiding information by encrypting data, so there is no countermeasure in case an account is stolen.

이를 방지하기 위하여, 홈 게이트웨이나 추가적인 디바이스를 통해 기존의 스마트 홈 IoT의 보안 솔루션을 제공하고 있으나, 이를 적용하기 위한 비용이 발생하여 사용자가 쉽게 접근하기 어려운 문제점이 있다. In order to prevent this, the existing smart home IoT security solution is provided through a home gateway or an additional device, but there is a problem that it is difficult for users to access easily due to the cost of applying it.

또한, 기존의 IoT 디바이스에서 사용하는 AI 경량화 알고리즘은 적은 자원에 최적화되어 스마트 홈과 같은 다양한 디바이스에서 대량 데이터가 발생하는 경우 성능 저하가 발생할 수 있다. In addition, AI lightweight algorithms used in existing IoT devices are optimized for small resources, and performance degradation may occur when large amounts of data are generated in various devices such as smart homes.

본 발명의 배경이 되는 기술은 대한민국 국내공개특허 10-2019-0048587호 (2019.05.09 공개)에 개시되어 있다.The background technology of the present invention is disclosed in Korean Patent Publication No. 10-2019-0048587 (published on May 9, 2019).

본 발명이 이루고자 하는 기술적 과제는 접근 로그 요소를 경량화된 침입 탐지 모델에 적용하여 외부 침입자 여부를 확인하고, 외부 침입자인 경우, 보안 기능을 수행하여 자동으로 외부 침입을 탐지하는 스마트홈 IoT를 이용한 외부 침입 차단 시스템 및 그 방법에 관한 것이다.The technical problem to be achieved by the present invention is to apply the access log element to a lightweight intrusion detection model to check whether there is an external intruder, and in the case of an external intruder, to perform a security function to automatically detect an external intrusion using smart home IoT. It relates to an intrusion prevention system and method therefor.

이러한 기술적 과제를 이루기 위한 본 발명의 실시예에 따르면, 스마트홈 IoT 기반의 외부 침입 차단 시스템을 이용한 외부 침입 차단 방법에 있어서, IoT 허브에 하나 이상의 IoT 디바이스가 네트워크 연결된 상태에서, 접근 요청자가 사용자 단말기를 통하여 상기 IoT 허브에 연결된 상기 IoT 디바이스에 대한 접근을 요청하면, 상기 외부 침입 차단 시스템은 상기 접근 요청자의 상기 IoT 디바이스의 접근 로그 데이터를 상기 IoT 허브로부터 수신하는 단계, 상기 접근 로그 데이터로부터 중요도가 높은 접근 로그 요소를 추출하는 단계, 그리고 상기 추출된 중요도가 높은 접근 로그 요소를 침입 탐지 모델에 적용하여 상기 접근 요청자의 접근 로그 데이터가 정상 로그인지 여부를 판단하고, 상기 접근 요청자의 접근 로그 데이터가 비정상 로그인 것으로 판단되면 네트워크 연결을 초기화하는 단계를 포함한다. According to an embodiment of the present invention for achieving this technical problem, in the external intrusion blocking method using a smart home IoT-based external intrusion blocking system, in a state in which one or more IoT devices are networked to an IoT hub, an access requestor uses a user terminal If access to the IoT device connected to the IoT hub is requested through Extracting high access log elements, and applying the extracted access log elements with high importance to an intrusion detection model to determine whether the access requestor's access log data is a normal login, and the access requestor's access log data and initializing a network connection when it is determined that the login is abnormal.

상기 외부 침입 차단 시스템은 허가된 사용자가 상기 IoT 디바이스에 네트워크 접근한 접근 로그 데이터를 IoT 허브로부터 전송받아 수집하는 단계를 더 포함할 수 있다. The external intrusion prevention system may further include receiving and collecting access log data of network access to the IoT device by the authorized user from the IoT hub.

상기 접근 로그 데이터는, 접근 상세시간(Time-stamp), 사용자 아이디(User ID), 접근한 IoT 디바이스명(Access Internet of Things device), 요청된 IoT 디바이스에 대한 조작 명령(Action), 사용자 단말기 디바이스명(User terminal device), 접근 IP, 포트(Port) 및 프로토콜(Protocol) 중에서 적어도 하나의 요소를 포함할 수 있다. The access log data includes access detailed time (time-stamp), user ID (User ID), accessed IoT device name (Access Internet of Things device), requested operation command for the IoT device (Action), and user terminal device It may include at least one element among a user terminal device, an access IP, a port, and a protocol.

상기 접근 로그 요소를 추출하는 단계는, 허가된 사용자의 수집된 접근 로그 데이터를 의사결정나무의 지니 계수에 적용하여, 각 접근 로그 요소의 중요도를 계산하여 중요도가 높은 순서대로 하나 이상의 접근 로그 요소를 추출할 수 있다. The step of extracting the access log elements includes applying the collected access log data of authorized users to the Gini coefficient of the decision tree, calculating the importance of each access log element, and selecting one or more access log elements in order of importance. can be extracted.

상기 침입 탐지 모델은, 랜덤 포레스트(Random Forest)를 기반으로 구현되며, 상기 랜덤 포레스트 모델의 가중치는 양자화 처리되어 경량화될 수 있다. The intrusion detection model is implemented based on a random forest, and weights of the random forest model may be quantized to reduce weight.

상기 접근 요청자에 대하여 상기 비정상 로그인인 것으로 판단된 횟수가 2번째 이상 N번째 이하인 경우, 관리계정을 초기화하고 해당 IP를 차단하고, 상기 비정상 로그인인 것으로 판단된 횟수가 N+1번째 이상인 경우, 펌웨어를 초기화하고, 허가된 사용자에 대응하는 사용자 단말기로 비밀번호 변경 요청을 하는 단계를 더 포함할 수 있다. If the number of times that the access requester is judged to be the abnormal login is the 2nd or more and the Nth or less, the management account is initialized and the corresponding IP is blocked, and if the number of times the abnormal login is determined to be the N+1th or more, the firmware Initializing and requesting a password change to a user terminal corresponding to an authorized user may be further included.

본 발명의 다른 실시예에 따르면, 스마트홈 IoT를 이용한 외부 침입 차단 시스템에 있어서, IoT 허브에 하나 이상의 IoT 디바이스가 네트워크 연결된 상태에서, 접근 요청자가 사용자 단말기를 통하여 상기 IoT 허브에 연결된 상기 IoT 디바이스에 대한 접근을 요청하면, 상기 외부 침입 차단 시스템은 상기 접근 요청자의 상기 IoT 디바이스의 접근 로그 데이터를 상기 IoT 허브로부터 수신하는 통신부, 상기 접근 로그 데이터로부터 중요도가 높은 접근 로그 요소를 추출하는 추출부, 그리고 상기 추출된 중요도가 높은 접근 로그 요소를 침입 탐지 모델에 적용하여 상기 접근 요청자의 접근 로그 데이터가 정상 로그인지 여부를 판단하고, 상기 접근 요청자의 접근 로그 데이터가 비정상 로그인 것으로 판단되면 네트워크 연결을 초기화하는 제어부를 포함한다. According to another embodiment of the present invention, in the external intrusion prevention system using smart home IoT, in a state where one or more IoT devices are network-connected to an IoT hub, an access requestor accesses the IoT device connected to the IoT hub through a user terminal. When access is requested, the external intrusion prevention system includes a communication unit that receives the access log data of the IoT device of the access requester from the IoT hub, an extraction unit that extracts an access log element of high importance from the access log data, and Applying the extracted access log elements of high importance to an intrusion detection model to determine whether the access requestor's access log data is a normal login, and if the access requester's access log data is determined to be an abnormal login, initialize the network connection includes a control unit.

이와 같이 본 발명에 따르면, 침입 탐지 모델의 경량화를 통해 보안 기능을 제공하고, IoT 네트워크에 추가적인 단말기를 부착하지 않고도 침입을 탐지할 수 있으므로, 사용자의 추가적인 비용부담이 줄어든다. 또한, 자동으로 IoT 기기 해킹을 방지하므로, 사용자가 직접 해킹 방지 매뉴얼을 통해 대응해야 할 번거로움이 없어질 수 있다. 그리고, 침입 탐지 모델을 통해 침입 탐지 시 자동으로 외부 침입자의 접근을 차단함으로써, 사용자의 해킹 피해를 최소화할 수 있다. As described above, according to the present invention, a security function is provided through lightening of an intrusion detection model and intrusion can be detected without attaching an additional terminal to the IoT network, thereby reducing the user's additional cost burden. In addition, since hacking of IoT devices is automatically prevented, users do not have to deal with hacking prevention manuals themselves. In addition, when an intrusion is detected through an intrusion detection model, the access of an external intruder is automatically blocked, thereby minimizing the user's hacking damage.

도 1은 본 발명의 실시예에 따른 스마트홈 IoT를 이용한 외부 침입 차단 시스템을 설명하기 위한 도면이다.
도 2는 본 발명의 실시예에 따른 스마트홈 IoT를 이용한 외부 침입 차단 시스템의 구성을 설명하기 위한 도면이다.
도 3a는 랜덤 포레스트를 설명하기 위한 예시도이다.
도 3b는 도 3a를 이용하여 정확도를 측정한 결과를 나타내는 예시도이다.
도 4는 본 발명의 실시예에 따른 스마트홈 IoT 기반의 외부 침입 차단 시스템을 이용한 외부 침입 차단 방법을 설명하기 위한 순서도이다.
도 5는 도 4의 S420 단계를 설명하기 위한 예시도이다.
도 6a 및 도 6b는 랜덤 포레스트 모델의 양자화를 설명하기 위한 예시도이다.1 is a diagram for explaining an external intrusion prevention system using a smart home IoT according to an embodiment of the present invention.
2 is a diagram for explaining the configuration of an external intrusion prevention system using smart home IoT according to an embodiment of the present invention.
3A is an exemplary diagram for explaining a random forest.
Figure 3b is an exemplary view showing the result of measuring the accuracy using Figure 3a.
4 is a flowchart illustrating a method for blocking external intrusion using a smart home IoT-based external intrusion blocking system according to an embodiment of the present invention.
5 is an exemplary diagram for explaining step S420 of FIG. 4 .
6A and 6B are exemplary diagrams for explaining quantization of a random forest model.

아래에서는 첨부한 도면을 참조하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 본 발명의 실시 예를 상세히 설명한다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시예에 한정되지 않는다. 그리고 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며 명세서 전체를 통하여 유사한 부분에 대해서는 유사한 도면 부호를 붙였다.Hereinafter, embodiments of the present invention will be described in detail so that those skilled in the art can easily practice with reference to the accompanying drawings. However, the present invention may be embodied in many different forms and is not limited to the embodiments described herein. In addition, in order to clearly explain the present invention in the drawings, parts irrelevant to the description are omitted, and similar reference numerals are attached to similar parts throughout the specification.

명세서 전체에서, 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다.Throughout the specification, when a certain component is said to "include", it means that it may further include other components without excluding other components unless otherwise stated.

그러면 첨부한 도면을 참고로 하여 본 발명의 실시 예에 대하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다.Then, with reference to the accompanying drawings, an embodiment of the present invention will be described in detail so that those skilled in the art can easily practice it.

이하에서는 도 1을 이용하여 본 발명의 실시예에 따른 스마트홈 IoT를 이용한 외부 침입 차단 시스템을 설명한다.Hereinafter, an external intrusion prevention system using a smart home IoT according to an embodiment of the present invention will be described using FIG. 1 .

도 1은 본 발명의 실시예에 따른 스마트홈 IoT를 이용한 외부 침입 차단 시스템을 설명하기 위한 도면이다.1 is a diagram for explaining an external intrusion prevention system using a smart home IoT according to an embodiment of the present invention.

도 1에서 나타낸 바와 같이, 본 발명의 실시예에 따른 외부 침입 차단 시스템(100)은 사용자 단말기(200), IoT 허브(300) 및 IoT 디바이스(400)와 네트워크로 연결된다. As shown in FIG. 1, the external intrusion prevention system 100 according to an embodiment of the present invention is connected to the user terminal 200, the IoT hub 300 and the IoT device 400 through a network.

먼저, 본 발명의 실시예에 따른 외부 침입 차단 시스템(100)은 컴퓨터나 네트워크 상에서의 접근 로그 데이터를 분석하여 침입여부를 탐지 및 대응하는 자동화 시스템으로서, 사용자 단말기(200)를 이용하여 접속한 IoT 디바이스(400)의 접근 로그 데이터를 IoT 허브(300)를 통해 수신하고, 접근 로그 데이터 중에서 중요도에 따라 추출된 접근 로그 요소를 침입 탐지 모델에 적용하여 외부 침입자 여부를 판단하며, 외부 침입자인 경우 네트워크 연결을 초기화한다. First, the external intrusion blocking system 100 according to an embodiment of the present invention is an automated system that detects and responds to intrusion by analyzing access log data on a computer or network, and is an IoT accessed using a user terminal 200. The access log data of the device 400 is received through the IoT hub 300, and access log elements extracted according to importance are applied to an intrusion detection model to determine whether an external intruder is present, and in the case of an external intruder, the network initialize the connection

이와 같이, 외부 침입 차단 시스템(100)은 Dos, U2R, R2L, Probe 공격 종류를 포함하는 KDDCUP99 데이터셋(Dataset)을 이용한 침입 탐지 모델을 통해 외부 침입자로부터의 공격을 방지하기 위한 시스템으로 구현될 수 있다. In this way, the external intrusion prevention system 100 can be implemented as a system for preventing attacks from external intruders through an intrusion detection model using the KDDCUP99 dataset including Dos, U2R, R2L, and Probe attack types. have.

다음으로, 사용자 단말기(200)는 사용자에 의해 IoT 디바이스(400)의 동작을 제어하기 위한 IoT 디바이스(400)의 접근 로그 데이터를 IoT 허브(300)에 전송한다. Next, the user terminal 200 transmits access log data of the IoT device 400 for controlling the operation of the IoT device 400 by the user to the IoT hub 300.

이때, 사용자 단말기(200)는 휴대가 가능한 사용자 단말기로서, 노트북 컴퓨터, 스마트 패드 또는 스마트폰 등과 같이 유선 또는 무선으로 네트워크에 접속하여 정보를 주고받을 수 있는 기기로 구현될 수 있으며, 사용자 단말기(400)가 스마트폰 또는 스마트패드로 구현된 경우에는 기 설치된 어플리케이션을 통하여 외부 침입 차단 시스템(100)에 접속할 수 있다. At this time, the user terminal 200 is a portable user terminal, and may be implemented as a device capable of exchanging information by connecting to a network wired or wirelessly, such as a notebook computer, smart pad, or smartphone, and the user terminal 400 ) is implemented as a smart phone or smart pad, it is possible to access the external intrusion prevention system 100 through a pre-installed application.

다음으로, IoT 허브(300)는 하나 이상의 IoT 디바이스(400)와 네트워크로 연결되며, 사용자 단말기(200)로부터 전송받은 IoT 디바이스에 네트워크 접근한 접근 로그 데이터를 저장한다.Next, the IoT hub 300 is connected to one or more IoT devices 400 through a network, and stores access log data of network access to the IoT device transmitted from the user terminal 200 .

여기서, IoT 허브(300)는 외부 침입 차단 시스템(100)과 일체화되어 구현될 수 있다. Here, the IoT hub 300 may be implemented integrally with the external intrusion prevention system 100 .

다음으로, IoT 디바이스(400)는 실내에 구비되는 조명 기기, 에어컨, 냉장고, 세탁기 및 난방 기기 중에서 적어도 하나를 포함하고, IoT 허브(300)와 네트워크 연결된다. Next, the IoT device 400 includes at least one of a lighting device, an air conditioner, a refrigerator, a washing machine, and a heating device provided indoors, and is network-connected to the IoT hub 300.

이하에서는 도 2를 이용하여 본 발명의 실시예에 따른 스마트홈 IoT를 이용한 외부 침입 차단 시스템의 구성을 설명한다.Hereinafter, the configuration of an external intrusion prevention system using smart home IoT according to an embodiment of the present invention will be described with reference to FIG. 2 .

도 2는 본 발명의 실시예에 따른 스마트홈 IoT를 이용한 외부 침입 차단 시스템(100)의 구성을 설명하기 위한 도면이다. 2 is a diagram for explaining the configuration of an external intrusion prevention system 100 using smart home IoT according to an embodiment of the present invention.

도 2에서 나타낸 바와 같이, 본 발명의 실시예에 따른 스마트홈 IoT를 이용한 외부 침입 차단 시스템(100)은 통신부(110), 추출부(120) 및 제어부(130)를 포함한다. As shown in FIG. 2 , the external intrusion prevention system 100 using smart home IoT according to an embodiment of the present invention includes a communication unit 110, an extraction unit 120, and a control unit 130.

먼저, IoT 허브(300)와 하나 이상의 IoT 디바이스(400)가 네트워크 연결된 상태에서 접근 요청자가 사용자 단말기(200)를 통하여 IoT 허브(300)에 연결된 IoT 디바이스(400)에 대한 접근 로그 데이터를 요청한다.First, in a state where the IoT hub 300 and one or more IoT devices 400 are connected to the network, an access requestor requests access log data for the IoT device 400 connected to the IoT hub 300 through the user terminal 200. .

그러면, 통신부(110)는 접근 요청자의 IoT 디바이스(400)의 접근 로그 데이터를 IoT 허브(300)로부터 수신한다. Then, the communication unit 110 receives the access log data of the IoT device 400 of the access requester from the IoT hub 300.

이때, 사용자 단말기(200)는 IoT 디바이스(400)의 동작을 제어하기 위한 IoT 디바이스(400)의 접근 로그 데이터를 IoT 허브(300)에 전송한다.At this time, the user terminal 200 transmits access log data of the IoT device 400 for controlling the operation of the IoT device 400 to the IoT hub 300.

그리고, 접근 로그 데이터는 접근 상세시간(Time-stamp), 사용자 아이디(User ID), 접근한 IoT 디바이스명(Access Internet of Things device), 요청된 IoT 디바이스에 대한 조작 명령(Action), 사용자 단말기 디바이스명(User terminal device), 접근 IP, 포트(Port) 및 프로토콜(Protocol) 중에서 적어도 하나의 요소를 포함한다.In addition, the access log data includes access detailed time (time-stamp), user ID (User ID), accessed IoT device name (Access Internet of Things device), requested operation command for the IoT device (Action), and user terminal device It includes at least one element among user terminal device, access IP, port, and protocol.

또한, 통신부(110)는 허가된 사용자가 IoT 디바이스(400)에 네트워크 접근한 접근 로그 데이터를 수집하여 IoT 허브(300)로 전송할 수 있다. In addition, the communication unit 110 may collect access log data of network access to the IoT device 400 by the authorized user and transmit the collected data to the IoT hub 300 .

다음으로, 추출부(120)는 접근 로그 데이터로부터 중요도가 높은 접근 로그 요소를 추출한다.Next, the extractor 120 extracts an access log element having a high importance from the access log data.

이때, 추출부(120)는 허가된 사용자의 수집된 접근 로그 데이터를 의사결정나무의 지니 계수(Gini's coefficient)에 적용하여, 각 접근 로그 요소의 중요도를 계산하여 중요도가 높은 순서대로 하나 이상의 접근 로그 요소를 추출할 수 있다. At this time, the extraction unit 120 applies the collected access log data of the authorized user to the Gini's coefficient of the decision tree, calculates the importance of each access log element, and calculates the importance of one or more access logs in order of importance. elements can be extracted.

다음으로, 제어부(130)는 추출된 중요도가 높은 접근 로그 요소를 침입 탐지 모델에 적용하여 상기 접근 요청자의 접근 로그 데이터가 정상 로그인지 여부를 판단한다.Next, the control unit 130 determines whether the access log data of the access requester is a normal login by applying the extracted access log element having a high importance to the intrusion detection model.

그리고, 상기 접근 요청자의 접근 로그 데이터가 비정상 로그인 것으로 판단될 경우, 제어부(130)는 IoT 허브(300)와 IoT 디바이스(400) 사이의 네트워크 연결을 초기화한다. And, when it is determined that the access log data of the access requester is an abnormal login, the control unit 130 initializes the network connection between the IoT hub 300 and the IoT device 400.

그리고, 상기 접근 요청자에 대하여 상기 비정상 로그인인 것으로 판단된 횟수가 2번째 이상 N번째 이하인 경우, 제어부(130)는 관리계정을 초기화하고 해당 IP를 차단할 수 있다.And, if the number of times it is determined that the access requester has been abnormally logged in is from the second to the Nth, the control unit 130 may initialize the management account and block the corresponding IP.

또한, 상기 비정상 로그인인 것으로 판단된 횟수가 N+1번째 이상인 경우, 제어부(130)는 펌웨어를 초기화하고, 허가된 사용자에 대응하는 사용자 단말기(200)로 비밀번호 변경 요청을 할 수 있다. In addition, if the number of times it is determined that the abnormal login is equal to or greater than the N+1th time, the controller 130 may initialize the firmware and request a password change to the user terminal 200 corresponding to the authorized user.

그리고, 침입 탐지 모델은 랜덤 포레스트(Random Forest)를 기반으로 구현되며, 랜덤 포레스트 모델의 가중치는 양자화 처리되어 경량화된다. In addition, the intrusion detection model is implemented based on a random forest, and weights of the random forest model are quantized and lightened.

이때, 랜덤 포레스트는 머신러닝 알고리즘 중에서 데이터 분류에 사용되는 앙상블 기법이며, 원본 데이터를 무작위로 추출하여 여러 개의 의사결정나무에서 학습을 수행하여 평균 예측치(회귀 분석)에 의해 데이터를 분류한다. At this time, random forest is an ensemble technique used for data classification among machine learning algorithms, and randomly extracts original data, performs learning on several decision trees, and classifies data by average predicted value (regression analysis).

즉, 본 발명의 실시예에 따른 침입 탐지 모델은 랜덤 포레스트를 기반으로 구축하여 외부 침입자와 사용자의 분류를 수행하여 외부 침입자의 여부를 판단한다. That is, the intrusion detection model according to an embodiment of the present invention is built based on a random forest and classifies an external intruder and a user to determine whether there is an external intruder.

도 3a는 랜덤 포레스트를 설명하기 위한 예시도이고, 도 3b는 도 3a를 이용하여 정확도를 측정한 결과를 나타내는 예시도이다. 3A is an exemplary diagram for explaining a random forest, and FIG. 3B is an exemplary diagram illustrating a result of measuring accuracy using FIG. 3A.

도 3a에서 나타낸 바와 같이, 랜덤 포레스트는 7개의 파라미터를 사용하며, 의사결정트리의 개수와 각 트리의 최대 깊이에 따라 정확도가 달라진다.As shown in FIG. 3A, the random forest uses 7 parameters, and the accuracy varies depending on the number of decision trees and the maximum depth of each tree.

따라서, 도 3b에서 나타낸 바와 같이, 의사결정트리의 개수가 12개이고, 각 트리의 최대 깊이가 5인 경우의 정확도가 0.884848로 가장 우수함을 알 수 있었으나, 사용자에 의해 적용된 학습 데이터에 따라 달라질 수 있다. Therefore, as shown in FIG. 3B, when the number of decision trees is 12 and the maximum depth of each tree is 5, it can be seen that the accuracy is the best at 0.884848, but it may vary depending on the learning data applied by the user. .

이하에서는 도 4를 이용하여 본 발명의 실시예에 따른 스마트홈 IoT 기반의 외부 침입 차단 시스템(100)을 이용한 외부 침입 차단 방법을 설명한다.Hereinafter, an external intrusion blocking method using the smart home IoT-based external intrusion blocking system 100 according to an embodiment of the present invention will be described using FIG. 4 .

도 4는 본 발명의 실시예에 따른 스마트홈 IoT 기반의 외부 침입 차단 시스템을 이용한 외부 침입 차단 방법을 설명하기 위한 순서도이다.4 is a flowchart illustrating a method for blocking external intrusion using a smart home IoT-based external intrusion blocking system according to an embodiment of the present invention.

먼저, 외부 침입 차단 시스템(100)은 허가된 사용자가 IoT 디바이스(400)에 네트워크 접근한 접근 로그 데이터를 IoT 허브(300)로부터 전송받아 수집한다(S410).First, the external intrusion prevention system 100 receives and collects access log data of network access to the IoT device 400 by an authorized user from the IoT hub 300 (S410).

즉, 허가된 사용자가 자신의 사용자 단말기(200)를 이용하여 IoT 허브(300)에 IoT 디바이스(400)에 네트워크 접근 요청을 하면, IoT 허브(300)는 사용자로부터 수신한 접근 로그 데이터를 외부 침입 차단 시스템(100)로 전달한다.That is, when an authorized user makes a network access request to the IoT device 400 to the IoT hub 300 using his/her user terminal 200, the IoT hub 300 transmits the access log data received from the user to external intrusion. forward to the interception system (100).

여기서, 외부 침입 차단 시스템(100)은 접근 상세시간(Time-stamp), 사용자 아이디(User ID), 접근한 IoT 디바이스명(Access Internet of Things device), 요청된 IoT 디바이스에 대한 조작 명령(Action), 사용자 단말기 디바이스명(User terminal device), 접근 IP, 포트(Port) 및 프로토콜(Protocol) 중에서 적어도 하나의 요소를 포함한 접근 로그 데이터를 IoT 허브(300)로부터 전송받아 수집할 수 있다.Here, the external intrusion prevention system 100 includes access detailed time (time-stamp), user ID (User ID), accessed IoT device name (Access Internet of Things device), and operation command (Action) for the requested IoT device. , User terminal device name (User terminal device), access IP, access (Port) and protocol (Protocol), including at least one element of the access log data can be received from the IoT hub 300 and collected.

다음으로, 외부 침입 차단 시스템(100)은 S410 단계에서 수집된 접근 로그 데이터를 의사결정나무의 지니 계수에 적용하여, 각 접근 로그 요소의 중요도를 계산하여 중요도가 높은 순서대로 하나 이상의 접근 로그 요소를 추출한다(S420).Next, the external intrusion prevention system 100 applies the access log data collected in step S410 to the Gini coefficient of the decision tree, calculates the importance of each access log element, and selects one or more access log elements in order of high importance. Extract (S420).

이때, 외부 침입 차단 시스템(100)은 의사결정나무에서 지니 계수를 통해 의사결정나무에서 각 노드의 불순도를 계산하여 허가된 사용자의 수집된 접근 로그 데이터 중에서 중요도가 낮은 접근 로그 요소를 제거할 수 있다.At this time, the external intrusion prevention system 100 calculates the impurity of each node in the decision tree through the Gini coefficient in the decision tree, and removes the access log element of low importance from the collected access log data of the authorized user. have.

여기서, 지니 계수는 의사결정나무에서 노드를 구성하는 데이터의 불순도를 검출하기 위한 계수로, 다음의 수학식 1을 이용하여 불순도를 계산할 수 있다. Here, the Gini coefficient is a coefficient for detecting the impurity of data constituting a node in the decision tree, and the impurity can be calculated using Equation 1 below.

Figure pat00001
Figure pat00001

여기서, K는 데이터의 클래스의 개수이고,

Figure pat00002
는 각 샘플이 해당 클래스에 속할 확률을 나타낸다.Here, K is the number of classes of data,
Figure pat00002
represents the probability that each sample belongs to that class.

이때, 본 발명의 실시예에서는 외부 침입 여부를 확인하는 것이므로, K에 대한 데이터의 클래스의 개수는 허가된 사용자와 허가되지 않은 외부의 침입자에 대해 2개가 될 수 있다.At this time, in the embodiment of the present invention, since external intrusion is checked, the number of classes of data for K may be two for an authorized user and an unauthorized external intruder.

수학식 1을 통해 계산된 지니 계수를 기반으로 다음 노드에서 지니 계수가 낮아질 경우, 데이터의 순도는 높아짐을 알 수 있다. Based on the Gini coefficient calculated through Equation 1, when the Gini coefficient decreases at the next node, it can be seen that the purity of the data increases.

그리고, 외부 침입 차단 시스템(100)은 접근 로그 요소의 중요도를 계산하기 위해서 먼저 다음의 수학식 2를 통해 의사결정나무의 노드에 대한 중요도를 계산한다.In addition, the external intrusion prevention system 100 first calculates the importance of the node of the decision tree through the following Equation 2 in order to calculate the importance of the access log element.

Figure pat00003
Figure pat00003

여기서,

Figure pat00004
는 노드의 중요도이고,
Figure pat00005
는 부모 노드의 가중치 불순도이고,
Figure pat00006
Figure pat00007
은 자식 노드들의 가중치 불순도이다. here,
Figure pat00004
is the importance of the node,
Figure pat00005
is the weight impurity of the parent node,
Figure pat00006
and
Figure pat00007
is the weight impurity of child nodes.

수학식 2에 나타낸 것처럼, 노드의 중요도는 부모 노드의 가중치 불순도에서 자식 노드들의 가중치 불순도의 합을 뺀 것으로, 의사결정나무는 노드 중요도를 최대화 하는 요소를 기준으로 자식 노드를 분기하며, 특정 노드에서의 노드 중요도 값이 클수록 불순도가 감소된다.As shown in Equation 2, the importance of a node is obtained by subtracting the sum of the weight impurity of child nodes from the weight impurity of the parent node. The higher the node importance value at a node, the lower the impurity.

그리고, 외부 침입 차단 시스템(100)은 다음의 수학식 3을 이용하여 접근 로그 요소의 중요도를 다음의 수학식 3을 통해 연산한다. Then, the external intrusion prevention system 100 calculates the importance of the access log element through Equation 3 below.

Figure pat00008
Figure pat00008

여기서,

Figure pat00009
은 각각의 접근 로그 요소의 중요도이고,
Figure pat00010
은 모든 노드의 중요도이고,
Figure pat00011
은 해당 요소를 기준으로 분리된 모든 노드의 중요도의 합이다. here,
Figure pat00009
is the importance of each access log element,
Figure pat00010
is the importance of all nodes,
Figure pat00011
is the sum of the importance of all nodes separated based on the corresponding element.

즉, 접근 로그 데이터 중 각각의 접근 로그 요소의 중요도는 해당 요소를 기준으로 분리된 모든 노드의 중요도의 합을 모든 노드의 중요도로 나눈 값이 된다. That is, the importance of each access log element in the access log data is a value obtained by dividing the sum of the importance of all nodes separated based on the corresponding element by the importance of all nodes.

이를 통해, 외부 침입 차단 시스템(100)은 접근 로그 데이터를 의사결정나무의 지니 계수를 통해 각 접근 로그 요소의 중요도를 계산하여 중요도가 낮은 접근 로그 요소를 제거하고, 중요도가 높은 순서대로 하나 이상의 접근 로그 요소를 추출한다. Through this, the external intrusion prevention system 100 calculates the importance of each access log element through the Gini coefficient of the decision tree for the access log data, removes the access log element of low importance, and removes one or more access log elements in order of high importance. Extract log elements.

도 5는 도 4의 S420 단계를 설명하기 위한 예시도이다.5 is an exemplary diagram for explaining step S420 of FIG. 4 .

도 5에서 나타낸 바와 같이, 외부 침입 차단 시스템(100)은 접근 로그 데이터를 의사결정나무의 지니 계수를 통해 불순도를 계산하고, 각 접근 로그 요소 별로 중요도를 계산한다.As shown in FIG. 5, the external intrusion prevention system 100 calculates the impurity of the access log data through the Gini coefficient of the decision tree, and calculates the importance for each access log element.

도 5의 예에서 보는 바와 같이, 접근 상세시간의 중요도는 0.552792이고, 접근 IP의 중요도는 0.182973이며, 사용자 단말기 디바이스명의 중요도는 0.152349이고, 접근한 IoT 디바이스명의 중요도는 0.95485이며, 요청된 IoT 디바이스에 대한 조작 명령의 중요도는 0.016401일 수 있다. As shown in the example of FIG. 5, the importance of access detail time is 0.552792, the importance of access IP is 0.182973, the importance of user terminal device name is 0.152349, the importance of accessed IoT device name is 0.95485, and the requested IoT device The importance of the operation command for may be 0.016401.

따라서, 외부 침입 차단 시스템(100)은 접근 로그 데이터 중에서 중요도가 높은 접근 상세시간, 접근 IP, 사용자 단말기 디바이스명, 접근한 IoT 디바이스명 및 요청된 IoT 디바이스(400)에 대한 조작 명령 중에서 하나 이상의 접근 로그 요소를 추출할 수 있다.Therefore, the external intrusion prevention system 100 accesses one or more of access detailed time, access IP, user terminal device name, accessed IoT device name, and operation command for the requested IoT device 400, which are of high importance among access log data. Log elements can be extracted.

이와 같이 S410과 S420 단계를 통하여 접근 로그 요소 별 중요도가 결정된 상태에서, 외부 침입 차단 시스템(100)은 접근 로그 요소 별 중요도를 이용하여 IoT 허브(300)에 접근한 접근 요청자가 허가된 사용자인지 외부의 침입자인지 판단하게 된다. In this way, in the state in which the importance of each access log element is determined through steps S410 and S420, the external intrusion prevention system 100 determines whether the access requester who has accessed the IoT hub 300 is an authorized user or an external intrusion prevention system 100 using the importance of each access log element. to determine whether an intruder is

이하에서는 S430 단계 내지 S480 단계를 통하여 외부 침입 차단 시스템(100)이 IoT 네트워크에 접근을 요청하는 자가 허가된 사용자인지 외부의 침입자인지를 구별하는 방법에 대하여 설명한다. Hereinafter, a method for the external intrusion prevention system 100 to distinguish whether a person requesting access to the IoT network is an authorized user or an external intruder through steps S430 to S480 will be described.

다음으로, IoT 허브(300)과 하나 이상의 IoT 디바이스(400)가 네트워크 연결된 상태에서, 외부 침입 차단 시스템(100)은 사용자 단말기로부터 IoT 디바이스의 동작을 제어하기 위한 IoT 디바이스(400)의 접근 로그 데이터를 IoT 허브(300)를 통해 수신한다(S430).Next, in a state in which the IoT hub 300 and one or more IoT devices 400 are connected to the network, the external intrusion prevention system 100 uses the access log data of the IoT device 400 to control the operation of the IoT device from the user terminal. is received through the IoT hub 300 (S430).

즉, S430 단계는 IoT 허브(300)에 접근한 접근 요청자로부터 접근 로그 데이터를 IoT 허브(300)를 통해 수신한다. That is, in step S430, access log data is received from the access requester who has accessed the IoT hub 300 through the IoT hub 300.

다음으로, 외부 침입 차단 시스템(100)은 접근 로그 데이터로부터 중요도가 높은 접근 로그 요소를 추출한다(S440).Next, the external intrusion prevention system 100 extracts an access log element of high importance from the access log data (S440).

여기서, 외부 침입 차단 시스템(100)은 S420 단계를 통해 계산된 접근 로그 요소의 중요도에 따라 접근 로그 데이터로부터 중요도가 높은 접근 로그 요소를 추출할 수 있다. Here, the external intrusion prevention system 100 may extract an access log element of high importance from the access log data according to the importance of the access log element calculated through step S420.

예를 들어, 접근 로그 요소의 중요도가 접근 상세시간이 가장 높다고 가정하면, 외부 침입 차단 시스템(100)은 접근 로그 데이터 중에서 접근 상세시간에 대한 접근 로그 요소를 추출한다.For example, assuming that the access detail time is the highest in importance of the access log element, the external intrusion prevention system 100 extracts an access log element for the access detail time from access log data.

다음으로, 외부 침입 차단 시스템(100)은 S420 단계에서 추출된 중요도가 높은 접근 로그 요소를 침입 탐지 모델에 적용하여 접근 요청자의 접근 로그 데이터가 정상 로그인지 여부를 판단한다.Next, the external intrusion prevention system 100 determines whether the access log data of the access requester is a normal log-in by applying the access log element of high importance extracted in step S420 to the intrusion detection model.

즉, 외부 침입 차단 시스템(100)은 S420 단계를 통해 계산된 각 접근 로그 요소의 중요도를 통해 추출된 중요도가 높은 접근 로그 요소를 침입 탐지 모델에 적용하여 접근 요청자의 접근 로그 데이터가 정상 로그인지 여부를 판단할 수 있다. That is, the external intrusion prevention system 100 applies the access log element with high importance extracted through the importance of each access log element calculated in step S420 to the intrusion detection model to determine whether the access log data of the access requestor is normal login. can judge

여기서, 침입 탐지 모델은 랜덤 포레스트(Random Forest)를 기반으로 구현되며, 랜덤 포레스트 모델의 가중치는 양자화 처리되어 경량화될 수 있다. Here, the intrusion detection model is implemented based on a random forest, and weights of the random forest model can be quantized and lightened.

여기서, 양자화는 크기가 32b비트(bit)로 비교적 사이즈가 큰 형태의 실수(float)를 크기가 작은 8비트(bit)의 이산형(int) 값으로 치환하는 것을 나타낸다.Here, quantization refers to substituting a relatively large real number (float) of 32b bits in size with a discrete int value of small size 8 bits (bit).

이때, 랜덤포레스트 모델은 실수 값을 사용하여 학습 및 구현할 수 있으므로, 실수 값을 이용하여 양자화 처리할 수 있다. In this case, since the random forest model can be learned and implemented using real values, quantization can be performed using real values.

도 6a 및 도 6b는 랜덤 포레스트 모델의 양자화를 설명하기 위한 예시도이다.6A and 6B are exemplary diagrams for explaining quantization of a random forest model.

도 6a에서 나타낸 바와 같이, 랜덤포레스트 모델을 경량화하기 위해 침입 탐지 모델은 실수로 표현되어 있는 학습 데이터와 학습이 완료된 모델의 상태값(가중치, 노드의 상태)를 양자화 처리함으로써 연산 및 판단 처리 과정을 경량화시킬 수 있다.As shown in FIG. 6A, in order to lighten the random forest model, the intrusion detection model quantizes the training data represented by real numbers and the state values (weights, node states) of the model that has been trained, thereby performing calculation and judgment processing. can be lightened.

또한, 양자화는 일정 범위 내의 실수 값은 특정 값으로 리턴하는 매핑을 통해 이루어지며 최대한 정확도에 영향을 미치지 않는 범위에서 데이터의 분포에 따라 범위가 정할 수 있다.In addition, quantization is performed through mapping in which real values within a certain range are returned as specific values, and the range may be determined according to the distribution of data within a range that does not affect accuracy as much as possible.

이를 통해, 랜덤 포레스트 모델이 전체적으로 저비트로 압축되어 크기는 줄어들면서 동시에 정밀도는 유지할 수 있다.Through this, the random forest model is compressed to a low bit as a whole, reducing the size while maintaining precision.

따라서, 도 6b에서 나타낸 바와 같이, 원래의 가중치의 범위가 -0.3에서 -0.25인 경우, 양자화 처리되어 경량화된 가중치는 -0.2가 되고, 원래의 가중치의 범위가 -0.25에서 -0.1인 경우, 양자화 처리되어 경량화된 가중치는 -0.1가 되며, 원래의 가중치의 범위가 -0.1에서 0.1인 경우, 양자화 처리되어 경량화된 가중치는 0이 되고, 원래의 가중치의 범위가 1.0에서 1.5인 경우, 양자화 처리되어 경량화된 가중치는 0.25가 되며, 원래의 가중치의 범위가 1.5에서 2.5인 경우, 양자화 처리되어 경량화된 가중치는 2가 된다.Therefore, as shown in FIG. 6B, when the original weight range is -0.3 to -0.25, the quantized weight is -0.2, and when the original weight range is -0.25 to -0.1, quantization is performed. The processed and weighted weight is -0.1, and when the range of the original weight is -0.1 to 0.1, the quantized and lightened weight is 0, and when the range of the original weight is 1.0 to 1.5, the quantized The reduced weight becomes 0.25, and when the range of the original weight is 1.5 to 2.5, the quantized weight becomes 2.

다음으로, 외부 침입 차단 시스템(100)은 랜덤 포레스트를 기반으로 하는 침입 탐지 모델을 이용하여 접근 요청자의 접근 로그 데이터가 정상 로그인지 여부를 판단할 수 있다.Next, the external intrusion prevention system 100 may determine whether the access log data of the access requestor is a normal login by using an intrusion detection model based on a random forest.

여기서, IoT 허브에 접근한 접근 요청자의 접근 로그 데이터가 정상 로그인 것으로 판단된 경우, 외부 침입 차단 시스템(100)은 사용자가 IoT 디바이스(400)의 동작을 제어하도록 사용자 단말기(200)와 IoT 디바이스(300)와 연결한다(S450).Here, when it is determined that the access log data of the access requester who has accessed the IoT hub is a normal log-in, the external intrusion prevention system 100 allows the user to control the operation of the IoT device 400 by using the user terminal 200 and the IoT device ( 300) and connected (S450).

만일, IoT 허브에 접근한 접근 요청자의 접근 로그 데이터가 비정상 로그인 것으로 판단된 경우, 비정상로그 검출 횟수를 검출한다.If it is determined that the access log data of the access requester accessing the IoT hub is an abnormal login, the number of abnormal logs detected is detected.

이때, 접근 요청자의 접근 로그 데이터가 최초로 비정상 로그인 것으로 판단되면, 외부 침입 차단 시스템(100)은 네트워크 연결을 초기화할 수 있다(S460).At this time, if it is determined that the access log data of the access requester is an abnormal login for the first time, the external intrusion prevention system 100 may initialize the network connection (S460).

즉, 접근 요청자의 접근 로그 데이터가 비정상 로그인 것으로 검출한 횟수가 1번인경우, 외부 침입 차단 시스템(100)은 IoT 허브(300)와 IoT 디바이스(400) 사이의 IoT 네트워크 연결을 초기화한다.That is, if the number of times that the access log data of the access requester is detected as abnormal login is 1, the external intrusion prevention system 100 initializes the IoT network connection between the IoT hub 300 and the IoT device 400.

그리고, 접근 요청자에 대하여 비정상 로그인인 것으로 판단된 횟수가 2번째 이상 N번째 이하인 경우, 외부 침입 차단 시스템(100)은 관리계정을 초기화하고 해당 IP를 차단한다(S470).Then, if the number of times that it is determined that the access requester is abnormally logged in is from the second to the Nth, the external intrusion prevention system 100 initializes the management account and blocks the corresponding IP (S470).

이때, N이 5라고 가정하면, 접근 요청자에 대하여 비정상 로그인인 것으로 판단된 횟수가 2번째 이상 5번째 이하인 경우, 외부 침입 차단 시스템(100)은 관리계정을 초기화하고 해당 IP를 차단한다.At this time, assuming that N is 5, if the number of times it is determined that the access requester is abnormally logged in is 2 or more and 5 or less, the external intrusion prevention system 100 initializes the management account and blocks the corresponding IP.

만일, 접근 요청자에 대하여 비정상 로그인인 것으로 판단된 횟수가 N+1번째 이상인 경우, 외부 침입 차단 시스템(100)은 펌웨어를 초기화하고, 허가된 사용자에 대응하는 사용자 단말기(200)로 비밀번호 변경 요청을 한다(S480).If the number of times it is determined that the access requester has been logged in abnormally is N+1th or more, the external intrusion prevention system 100 initializes the firmware and sends a password change request to the user terminal 200 corresponding to the authorized user. Do (S480).

즉, 접근 요청자에 대하여 비정상 로그인인 것으로 판단된 횟수가 6번째 이상인 경우, 외부 침입 차단 시스템(100)은 펌웨어를 초기화하고, 허가된 사용자에 대응하는 사용자 단말기(200)로 비밀번호 변경 요청을 한다.That is, when the number of times that the access requester is determined to be an abnormal login is 6 or more, the external intrusion prevention system 100 initializes the firmware and requests a password change to the user terminal 200 corresponding to the authorized user.

이와 같이 본 발명의 실시예에 따르면, 침입 탐지 모델의 경량화를 통해 보안 기능을 제공하고, IoT 네트워크에 추가적인 단말기를 부착하지 않고도 침입을 탐지할 수 있으므로, 사용자의 추가적인 비용부담이 줄어든다. 또한, 자동으로 IoT 기기 해킹을 방지하므로, 사용자가 직접 해킹 방지 매뉴얼을 통해 대응해야 할 번거로움이 없어질 수 있다. 그리고, 침입 탐지 모델을 통해 침입 탐지 시 자동으로 외부 침입자의 접근을 차단함으로써, 사용자의 해킹 피해를 최소화할 수 있다. As described above, according to an embodiment of the present invention, a security function is provided through a light weight intrusion detection model, and intrusion can be detected without attaching an additional terminal to the IoT network, thereby reducing the user's additional cost burden. In addition, since hacking of IoT devices is automatically prevented, users do not have to deal with hacking prevention manuals themselves. In addition, when an intrusion is detected through an intrusion detection model, the access of an external intruder is automatically blocked, thereby minimizing the user's hacking damage.

본 발명은 도면에 도시된 실시예를 참고로 설명되었으나 이는 예시적인 것에 불과하며, 본 기술 분야의 통상의 지식을 가진 자라면 이로부터 다양한 변형 및 균등한 다른 실시예가 가능하다는 점을 이해할 것이다. 따라서, 본 발명의 진정한 기술적 보호 범위는 첨부된 특허청구범위의 기술적 사상에 의하여 정해져야 할 것이다.Although the present invention has been described with reference to the embodiments shown in the drawings, this is only exemplary, and those skilled in the art will understand that various modifications and equivalent other embodiments are possible therefrom. Therefore, the true technical scope of protection of the present invention should be determined by the technical spirit of the appended claims.

100: 외부 침입 차단 시스템, 110: 통신부,
120: 추출부, 130: 제어부,
200: 사용자 단말기, 300: IoT 허브,
400: IoT 디바이스100: external intrusion prevention system, 110: communication department,
120: extraction unit, 130: control unit,
200: user terminal, 300: IoT hub,
400: IoT device

Claims (12)

스마트홈 IoT 기반의 외부 침입 차단 시스템을 이용한 외부 침입 차단 방법에 있어서,
IoT 허브에 하나 이상의 IoT 디바이스가 네트워크 연결된 상태에서, 접근 요청자가 사용자 단말기를 통하여 상기 IoT 허브에 연결된 상기 IoT 디바이스에 대한 접근을 요청하면, 상기 외부 침입 차단 시스템은 상기 접근 요청자의 상기 IoT 디바이스의 접근 로그 데이터를 상기 IoT 허브로부터 수신하는 단계,
상기 접근 로그 데이터로부터 중요도가 높은 접근 로그 요소를 추출하는 단계,
상기 추출된 중요도가 높은 접근 로그 요소를 침입 탐지 모델에 적용하여 상기 접근 요청자의 접근 로그 데이터가 정상 로그인지 여부를 판단하는 단계, 그리고
상기 접근 요청자의 접근 로그 데이터가 비정상 로그인 것으로 판단되면 네트워크 연결을 초기화하는 단계를 포함하는 외부 침입 차단 방법. In the external intrusion blocking method using a smart home IoT-based external intrusion blocking system,
In a state in which one or more IoT devices are network-connected to an IoT hub, when an access requester requests access to the IoT device connected to the IoT hub through a user terminal, the external intrusion prevention system provides access to the IoT device of the access requestor. Receiving log data from the IoT hub;
Extracting an access log element of high importance from the access log data;
Applying the extracted access log elements of high importance to an intrusion detection model to determine whether the access log data of the access requestor is a normal login; and
External intrusion blocking method comprising the step of initializing a network connection when it is determined that the access log data of the access requester is an abnormal login. 제1항에 있어서,
상기 외부 침입 차단 시스템은 허가된 사용자가 상기 IoT 디바이스에 네트워크 접근한 접근 로그 데이터를 IoT 허브로부터 전송받아 수집하는 단계를 더 포함하는 외부 침입 차단 방법. According to claim 1,
The external intrusion blocking system further comprises receiving and collecting access log data of network access to the IoT device by an authorized user from an IoT hub. 제1항에 있어서,
상기 접근 로그 데이터는,
접근 상세시간(Time-stamp), 사용자 아이디(User ID), 접근한 IoT 디바이스명(Access Internet of Things device), 요청된 IoT 디바이스에 대한 조작 명령(Action), 사용자 단말기 디바이스명(User terminal device), 접근 IP, 포트(Port) 및 프로토콜(Protocol) 중에서 적어도 하나의 요소를 포함하는 외부 침입 차단 방법. According to claim 1,
The access log data,
Access detailed time (Time-stamp), user ID (User ID), accessed IoT device name (Access Internet of Things device), requested IoT device operation command (Action), user terminal device name (User terminal device) , an access IP, a port (Port), and an external intrusion blocking method including at least one element among protocols (Protocol). 제1항에 있어서,
상기 접근 로그 요소를 추출하는 단계는,
허가된 사용자의 수집된 접근 로그 데이터를 의사결정나무의 지니 계수에 적용하여, 각 접근 로그 요소의 중요도를 계산하여 중요도가 높은 순서대로 하나 이상의 접근 로그 요소를 추출하는 외부 침입 차단 방법. According to claim 1,
Extracting the access log element,
An external intrusion prevention method that applies the collected access log data of authorized users to the Gini coefficient of the decision tree, calculates the importance of each access log element, and extracts one or more access log elements in order of importance. 제1항에 있어서,
상기 침입 탐지 모델은,
랜덤 포레스트(Random Forest)를 기반으로 구현되며,
상기 랜덤 포레스트 모델의 가중치는 양자화 처리되어 경량화된 외부 침입 차단 방법. According to claim 1,
The intrusion detection model,
It is implemented based on a random forest,
Weights of the random forest model are quantized and lightweight external intrusion blocking method. 제1항에 있어서,
상기 접근 요청자에 대하여 상기 비정상 로그인인 것으로 판단된 횟수가 2번째 이상 N번째 이하인 경우, 관리계정을 초기화하고 해당 IP를 차단하고,
상기 비정상 로그인인 것으로 판단된 횟수가 N+1번째 이상인 경우, 펌웨어를 초기화하고, 허가된 사용자에 대응하는 사용자 단말기로 비밀번호 변경 요청을 하는 단계를 더 포함하는 외부 침입 차단 방법. According to claim 1,
If the number of times that the access requester is determined to be the abnormal login is from the 2nd to the Nth, the management account is initialized and the corresponding IP is blocked,
External intrusion blocking method further comprising the step of initializing firmware and requesting a password change to a user terminal corresponding to an authorized user when the number of times it is determined that the abnormal login is N+1th or more. 스마트홈 IoT를 이용한 외부 침입 차단 시스템에 있어서,
IoT 허브에 하나 이상의 IoT 디바이스가 네트워크 연결된 상태에서, 접근 요청자가 사용자 단말기를 통하여 상기 IoT 허브에 연결된 상기 IoT 디바이스에 대한 접근을 요청하면, 상기 외부 침입 차단 시스템은 상기 접근 요청자의 상기 IoT 디바이스의 접근 로그 데이터를 상기 IoT 허브로부터 수신하는 통신부,
상기 접근 로그 데이터로부터 중요도가 높은 접근 로그 요소를 추출하는 추출부, 그리고
상기 추출된 중요도가 높은 접근 로그 요소를 침입 탐지 모델에 적용하여 상기 접근 요청자의 접근 로그 데이터가 정상 로그인지 여부를 판단하고, 상기 접근 요청자의 접근 로그 데이터가 비정상 로그인 것으로 판단되면 네트워크 연결을 초기화하는 제어부를 포함하는 외부 침입 차단 시스템. In the external intrusion prevention system using smart home IoT,
In a state in which one or more IoT devices are network-connected to an IoT hub, when an access requester requests access to the IoT device connected to the IoT hub through a user terminal, the external intrusion prevention system provides access to the IoT device of the access requestor. A communication unit receiving log data from the IoT hub;
An extractor for extracting an access log element of high importance from the access log data, and
Applying the extracted access log elements of high importance to an intrusion detection model to determine whether the access requestor's access log data is a normal login, and if the access requester's access log data is determined to be an abnormal login, initialize the network connection An external intrusion prevention system including a control unit. 제7항에 있어서,
상기 통신부는,
허가된 사용자가 상기 IoT 디바이스에 네트워크 접근한 접근 로그 데이터를 IoT 허브로부터 전송받아 수집하는 외부 침입 차단 시스템. According to claim 7,
The communication department,
An external intrusion prevention system for receiving and collecting access log data of network access to the IoT device by an authorized user from an IoT hub. 제7항에 있어서,
상기 접근 로그 데이터는,
접근 상세시간(Time-stamp), 사용자 아이디(User ID), 접근한 IoT 디바이스명(Access Internet of Things device), 요청된 IoT 디바이스에 대한 조작 명령(Action), 사용자 단말기 디바이스명(User terminal device), 접근 IP, 포트(Port) 및 프로토콜(Protocol) 중에서 적어도 하나의 요소를 포함하는 외부 침입 차단 시스템. According to claim 7,
The access log data,
Access detailed time (Time-stamp), user ID (User ID), accessed IoT device name (Access Internet of Things device), requested IoT device operation command (Action), user terminal device name (User terminal device) , Access IP, port (Port) and protocol (Protocol), an external intrusion prevention system including at least one element. 제7항에 있어서,
상기 추출부는,
허가된 사용자의 수집된 접근 로그 데이터를 의사결정나무의 지니 계수에 적용하여, 각 접근 로그 요소의 중요도를 계산하여 중요도가 높은 순서대로 하나 이상의 접근 로그 요소를 추출하는 외부 침입 차단 시스템. According to claim 7,
The extraction part,
An external intrusion prevention system that applies the collected access log data of authorized users to the Gini coefficient of the decision tree, calculates the importance of each access log element, and extracts one or more access log elements in order of importance. 제7항에 있어서,
상기 침입 탐지 모델은,
랜덤 포레스트(Random Forest)를 기반으로 구현되며,
상기 랜덤 포레스트 모델의 가중치는 양자화 처리되어 경량화된 외부 침입 차단 시스템. According to claim 7,
The intrusion detection model,
It is implemented based on a random forest,
Weights of the random forest model are quantized and lightweight external intrusion prevention system. 제7항에 있어서,
상기 제어부는,
상기 접근 요청자에 대하여 상기 비정상 로그인인 것으로 판단된 횟수가 2번째 이상 N번째 이하인 경우, 관리계정을 초기화하고 해당 IP를 차단하고,
상기 비정상 로그인인 것으로 판단된 횟수가 N+1번째 이상인 경우, 펌웨어를 초기화하고, 허가된 사용자에 대응하는 사용자 단말기로 비밀번호 변경 요청을 하는 외부 침입 차단 시스템.
According to claim 7,
The control unit,
If the number of times that the access requester is determined to be the abnormal login is from the 2nd to the Nth, the management account is initialized and the corresponding IP is blocked,
An external intrusion prevention system for initializing firmware and requesting a password change to a user terminal corresponding to an authorized user when the number of times it is determined that the abnormal login is N+1th or more.
KR1020210068999A 2021-05-28 2021-05-28 System for blocking external intrusion using smart home iot and method thereof KR102534204B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020210068999A KR102534204B1 (en) 2021-05-28 2021-05-28 System for blocking external intrusion using smart home iot and method thereof

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020210068999A KR102534204B1 (en) 2021-05-28 2021-05-28 System for blocking external intrusion using smart home iot and method thereof

Publications (2)

Publication Number Publication Date
KR20220160849A true KR20220160849A (en) 2022-12-06
KR102534204B1 KR102534204B1 (en) 2023-05-18

Family

ID=84407531

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020210068999A KR102534204B1 (en) 2021-05-28 2021-05-28 System for blocking external intrusion using smart home iot and method thereof

Country Status (1)

Country Link
KR (1) KR102534204B1 (en)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101849670B1 (en) * 2017-10-23 2018-04-17 (주)경인씨엔에스 System for managing internet of things device using network monitoring
KR20190027122A (en) * 2017-09-06 2019-03-14 전북대학교산학협력단 Apparatus and method for analyzing network attack pattern
KR102055843B1 (en) * 2018-11-28 2020-01-22 주식회사 이글루시큐리티 Event-based Security Rule Real-time Optimization System and Its Method
KR20200068101A (en) * 2018-11-28 2020-06-15 콘텔라 주식회사 Apparatus and method for detecting abnormal IoT terminal

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20190027122A (en) * 2017-09-06 2019-03-14 전북대학교산학협력단 Apparatus and method for analyzing network attack pattern
KR101849670B1 (en) * 2017-10-23 2018-04-17 (주)경인씨엔에스 System for managing internet of things device using network monitoring
KR102055843B1 (en) * 2018-11-28 2020-01-22 주식회사 이글루시큐리티 Event-based Security Rule Real-time Optimization System and Its Method
KR20200068101A (en) * 2018-11-28 2020-06-15 콘텔라 주식회사 Apparatus and method for detecting abnormal IoT terminal

Also Published As

Publication number Publication date
KR102534204B1 (en) 2023-05-18

Similar Documents

Publication Publication Date Title
CN106789935B (en) Terminal abnormity detection method
US10296739B2 (en) Event correlation based on confidence factor
Pan et al. Context aware intrusion detection for building automation systems
CN111274583A (en) Big data computer network safety protection device and control method thereof
KR20170128300A (en) Methods and systems for automated anonymous crowdsourcing of characterized device behaviors
KR102234514B1 (en) Artificial intelligence method and system for integrated it monitoring
CN109347880A (en) A kind of safety protecting method, apparatus and system
CN113168469B (en) System and method for behavioral threat detection
KR101750760B1 (en) System and method for anomaly behavior detection of smart home service
CN112839017A (en) Network attack detection method and device, equipment and storage medium thereof
KR20210155244A (en) A method of secure monitoring for multi network devices
US10476754B2 (en) Behavior-based community detection in enterprise information networks
CN108667642B (en) Risk equalizer of server based on risk assessment
CN110061854A (en) A kind of non-boundary network intelligence operation management method and system
KR102534204B1 (en) System for blocking external intrusion using smart home iot and method thereof
CN116962052A (en) Network security monitoring method, apparatus, device, medium and computer program product
CN116418591A (en) Intelligent computer network safety intrusion detection system
KR102433831B1 (en) System and method for supporting decision for security management
CN112822683B (en) Method for detecting illegal external connection by using mobile network
CN113726724B (en) Method and gateway for evaluating and detecting security risk of home network environment
KR20230085692A (en) Method and apparatus for detecting abnormal behavior of IoT system
CN113168468B (en) System and method for behavioral threat detection
CN113726810A (en) Intrusion detection system
CN112866172A (en) Safety protection method and device, smart home system and computer readable medium
KR102665210B1 (en) A anomaly detection system for cloud device based on xai and a method for anomaly detection

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant