KR20230046182A - Apparatus, method and computer program for detecting attack on network - Google Patents
Apparatus, method and computer program for detecting attack on network Download PDFInfo
- Publication number
- KR20230046182A KR20230046182A KR1020210194486A KR20210194486A KR20230046182A KR 20230046182 A KR20230046182 A KR 20230046182A KR 1020210194486 A KR1020210194486 A KR 1020210194486A KR 20210194486 A KR20210194486 A KR 20210194486A KR 20230046182 A KR20230046182 A KR 20230046182A
- Authority
- KR
- South Korea
- Prior art keywords
- attack
- artificial intelligence
- intrusion
- intelligence model
- payload
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims description 47
- 238000004590 computer program Methods 0.000 title claims description 10
- 238000013473 artificial intelligence Methods 0.000 claims abstract description 70
- 238000001514 detection method Methods 0.000 claims abstract description 70
- 238000004458 analytical method Methods 0.000 claims abstract description 16
- 239000013598 vector Substances 0.000 claims description 24
- 230000001364 causal effect Effects 0.000 claims description 16
- 230000009545 invasion Effects 0.000 claims description 10
- 239000000284 extract Substances 0.000 claims description 6
- 238000010586 diagram Methods 0.000 description 13
- 238000004891 communication Methods 0.000 description 8
- 230000006870 function Effects 0.000 description 5
- 239000011159 matrix material Substances 0.000 description 4
- 238000011176 pooling Methods 0.000 description 4
- 208000024891 symptom Diseases 0.000 description 3
- 108091081062 Repeated sequence (DNA) Proteins 0.000 description 2
- 238000003491 array Methods 0.000 description 1
- 238000010219 correlation analysis Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 230000003211 malignant effect Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 238000007781 pre-processing Methods 0.000 description 1
- 230000003252 repetitive effect Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 238000012549 training Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
- H04L9/3213—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Data Mining & Analysis (AREA)
- Evolutionary Computation (AREA)
- Medical Informatics (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Mathematical Physics (AREA)
- Artificial Intelligence (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
Description
본 발명은 네트워크에 대한 침해 공격을 탐지하는 장치, 방법 및 컴퓨터 프로그램에 관한 것이다.The present invention relates to an apparatus, method and computer program for detecting an intrusion attack on a network.
설명가능한 인공지능 모델(eXplainable Artificail Intelligence, XAI)은 판단에 대한 이유를 사람이 이해할 수 있는 방식으로 제시한다. 설명가능한 인공지능 모델은 특정한 판단에 대해 알고리즘의 설계자도 이유를 설명할 수 없는 '블랙박스' 인공지능과 대비되는 개념이다. 설명가능한 인공지능 모델은 인공지능의 불확실한 의사 결정 과정을 해소함으로써 인공지능 모델에 대한 신뢰성을 높일 수 있다.Explainable AI models (eXplainable Artificial Intelligence, XAI) give reasons for judgments in a way that humans can understand. An explainable artificial intelligence model is a concept contrasted with 'black box' artificial intelligence, in which even the designer of the algorithm cannot explain the reason for a particular decision. Explainable artificial intelligence models can increase the reliability of artificial intelligence models by resolving the uncertain decision-making process of artificial intelligence.
인공지능 모델을 이용한 네트워크 보안 시스템에 관한 연구가 활발하게 이루어지고 있다. 그러나, 종래의 보안 시스템은 판별 결과에 대한 근거와 해석 결과를 구체적으로 도출하는 기술은 미흡하였다.Research on network security systems using artificial intelligence models is being actively conducted. However, the conventional security system lacks a technique for specifically deriving the basis for the discrimination result and the analysis result.
또한, 인공지능 모델의 추론 결과에 기초하여 보안 시스템의 탐지 규칙을 개선하고, 오탐율의 저하 및 정탐율의 개선 여부를 정량적으로 분석할 필요가 있었다.In addition, it was necessary to improve the detection rules of the security system based on the inference results of the artificial intelligence model, and quantitatively analyze whether the false positive rate and the true positive rate were improved.
본 발명은 전술한 종래 기술의 문제점을 해결하기 위한 것으로서, 헤더 및 페이로드를 포함하는 패킷 데이터를 수집하고, 수집한 패킷 데이터의 헤더 및 페이로드를 토큰화하고, 토큰화된 헤더 및 페이로드를 임베딩하고, 임베딩 결과에 기초하여 인공지능 모델을 학습시키고, 인공지능 모델을 이용하여 대상 네트워크에 대한 침해 공격을 탐지하고, 탐지된 침해 공격을 분석하고자 한다.The present invention is to solve the problems of the prior art described above, and collects packet data including headers and payloads, tokenizes the headers and payloads of the collected packet data, and tokenizes the headers and payloads. Embedding, learning an artificial intelligence model based on the embedding results, detecting an intrusion attack on the target network using the artificial intelligence model, and analyzing the detected intrusion attack.
트랜스포머 기반의 앙상블 모델 및 셀프 어텐션 기반의 설명 가능한 인공지능 모델을 이용하여 네트워크에 대한 침해 공격을 탐지하고 판별 근거를 분석하는 장치, 방법 및 컴퓨터 프로그램을 제공하고자 한다.It is intended to provide a device, method, and computer program that detects an intrusion attack on a network and analyzes the basis for discrimination using a transformer-based ensemble model and a self-attention-based explainable artificial intelligence model.
탐지된 네트워크에 대한 침해 공격과 다른 침해 공격 간의 상관관계 및 인과관계를 분석하는 침해 공격 탐지 장치, 방법 및 컴퓨터 프로그램을 제공하고자 한다.It is intended to provide an intrusion attack detection device, method, and computer program that analyzes the correlation and causal relationship between an intrusion attack on a detected network and other intrusion attacks.
다만, 본 실시예가 이루고자 하는 기술적 과제는 상기된 바와 같은 기술적 과제들로 한정되지 않으며, 또 다른 기술적 과제들이 존재할 수 있다.However, the technical problem to be achieved by the present embodiment is not limited to the technical problems described above, and other technical problems may exist.
상술한 기술적 과제를 달성하기 위한 수단으로서, 본 발명의 일 실시예는, 네트워크에 대한 침해 공격을 탐지하는 장치에 있어서, 헤더 및 페이로드를 포함하는 패킷 데이터를 수집하는 수집부, 상기 수집한 패킷 데이터의 헤더 및 페이로드를 토큰화하고, 상기 토큰화된 헤더 및 페이로드를 임베딩하는 임베딩부, 상기 임베딩 결과에 기초하여 인공지능 모델을 학습시키는 학습부, 상기 인공지능 모델을 이용하여 대상 네트워크에 대한 침해 공격을 탐지하는 탐지부 및 상기 탐지된 침해 공격을 분석하는 분석부를 포함할 수 있다.As a means for achieving the above-mentioned technical problem, an embodiment of the present invention is an apparatus for detecting an intrusion attack on a network, a collection unit for collecting packet data including a header and a payload, the collected packets An embedding unit that tokenizes the header and payload of data and embeds the tokenized header and payload, a learning unit that learns an artificial intelligence model based on the embedding result, and a target network using the artificial intelligence model. It may include a detection unit that detects an intrusion attack on the system and an analyzer that analyzes the detected intrusion attack.
일 실시예에서, 상기 임베딩부는 상기 토큰화된 헤더 및 페이로드의 임베딩 벡터를 도출하고, 상기 학습부는 상기 도출된 임베딩 벡터에 기초하여 상기 인공지능 모델을 학습시킬 수 있다.In an embodiment, the embedding unit may derive embedding vectors of the tokenized header and payload, and the learning unit may train the artificial intelligence model based on the derived embedding vectors.
일 실시예에서, 상기 학습부는 상기 임베딩 벡터에 대해 합성곱 연산을 수행하여 특징점을 추출하고, 상기 추출된 특징점에 기초하여 상기 인공지능 모델을 학습시킬 수 있다.In one embodiment, the learning unit may extract feature points by performing a convolution operation on the embedding vector, and may train the artificial intelligence model based on the extracted feature points.
일 실시예에서, 상기 인공지능 모델은 상기 추출된 특징점에 기초하여 학습된 트랜스포머 기반의 앙상블 모델에 기초하여 침해 공격을 탐지하는 제 1 모델 및 상기 페이로드의 토큰별로 어텐션 가중치를 도출하는 셀프 어텐션 모델에 기초하여 상기 침해 공격의 판별 근거를 분석하는 설명 가능한 인공지능 모델인 제 2 모델을 포함할 수 있다.In one embodiment, the artificial intelligence model includes a first model for detecting an intrusion attack based on a transformer-based ensemble model learned based on the extracted feature points and a self-attention model for deriving an attention weight for each token of the payload. It may include a second model, which is an explainable artificial intelligence model that analyzes the basis for discrimination of the infringement attack based on .
일 실시예에서, 상기 학습부는 상기 도출된 어텐션 가중치에 기초하여 상기 페이로드의 토큰 중에서 위협 정보 토큰을 선정할 수 있다.In an embodiment, the learning unit may select a threat information token from tokens of the payload based on the derived attention weight.
일 실시예에서, 상기 학습부는 상기 위협 정보 토큰의 위치 정보 및 상기 위협 정보 토큰의 어텐션 가중치 값을 더 도출할 수 있다.In an embodiment, the learning unit may further derive location information of the threat information token and an attention weight value of the threat information token.
일 실시예에서, 상기 학습부는 상기 위협 정보 토큰의 위치 정보 및 상기 위협 정보 토큰의 어텐션 가중치 값에 기초하여 상기 인공지능 모델의 탐지 규칙을 개선할 수 있다.In an embodiment, the learning unit may improve a detection rule of the artificial intelligence model based on location information of the threat information token and an attention weight value of the threat information token.
일 실시예에서, 상기 분석부는 상기 탐지된 침해 공격과 다른 침해 공격 간의 상관관계 및 인과관계 중 적어도 하나를 분석할 수 있다.In one embodiment, the analyzer may analyze at least one of a correlation and a causal relationship between the detected intrusion attack and other intrusion attacks.
일 실시예에서, 상기 분석부는 연관 법칙 학습 기법에 기초하여 상기 탐지된 침해 공격과 동시간대에 발생한 다른 침해 공격 간의 상기 상관관계를 분석할 수 있다.In an embodiment, the analyzer may analyze the correlation between the detected invasion attack and another invasion attack occurring at the same time based on an association law learning technique.
일 실시예에서, 상기 분석부는 시퀀스 추론 기법에 기초하여 상기 탐지된 침해 공격과 과거에 발생한 다른 침해 공격 간의 상기 인과관계를 분석할 수 있다.In one embodiment, the analysis unit may analyze the causal relationship between the detected invasion attack and other invasion attacks that have occurred in the past based on a sequence reasoning technique.
본 발명의 다른 실시예는, 네트워크에 대한 침해 공격을 탐지하는 방법에 있어서, 헤더 및 페이로드를 포함하는 패킷 데이터를 수집하는 단계, 상기 수집한 패킷 데이터의 헤더 및 페이로드를 토큰화하는 단계, 상기 토큰화된 헤더 및 페이로드를 임베딩하는 단계, 상기 임베딩 결과에 기초하여 인공지능 모델을 학습시키는 단계, 상기 인공지능 모델을 이용하여 대상 네트워크에 대한 침해 공격을 탐지하는 단계 및 상기 탐지된 침해 공격을 분석하는 단계를 포함할 수 있다.Another embodiment of the present invention is a method for detecting an intrusion attack on a network, comprising: collecting packet data including headers and payloads; tokenizing headers and payloads of the collected packet data; Embedding the tokenized header and payload, learning an artificial intelligence model based on the embedding result, detecting an intrusion attack on a target network using the artificial intelligence model, and the detected intrusion attack It may include the step of analyzing.
본 발명의 또 다른 실시예는, 네트워크에 대한 침해 공격을 탐지하는 명령어들의 시퀀스를 포함하는 컴퓨터 판독가능 기록매체에 저장된 컴퓨터 프로그램에 있어서, 상기 컴퓨터 프로그램은 컴퓨팅 장치에 의해 실행될 경우, 헤더 및 페이로드를 포함하는 패킷 데이터를 수집하고, 상기 수집한 패킷 데이터의 헤더 및 페이로드를 토큰화하고, 상기 토큰화된 헤더 및 페이로드를 임베딩하고, 상기 임베딩 결과에 기초하여 인공지능 모델을 학습시키고, 상기 인공지능 모델을 이용하여 대상 네트워크에 대한 침해 공격을 탐지하고, 상기 탐지된 침해 공격을 분석하도록 하는 명령어들의 시퀀스를 포함할 수 있다.Another embodiment of the present invention is a computer program stored on a computer readable recording medium containing a sequence of instructions for detecting an intrusion attack on a network, the computer program comprising a header and a payload when executed by a computing device. Collecting packet data including, tokenizing headers and payloads of the collected packet data, embedding the tokenized headers and payloads, learning an artificial intelligence model based on the embedding results, It may include a sequence of instructions for detecting an intrusion attack on a target network using an artificial intelligence model and analyzing the detected intrusion attack.
상술한 과제 해결 수단은 단지 예시적인 것으로서, 본 발명을 제한하려는 의도로 해석되지 않아야 한다. 상술한 예시적인 실시예 외에도, 도면 및 발명의 상세한 설명에 기재된 추가적인 실시예가 존재할 수 있다.The above-described means for solving the problems is only illustrative and should not be construed as limiting the present invention. In addition to the exemplary embodiments described above, there may be additional embodiments described in the drawings and detailed description.
전술한 본 발명의 과제 해결 수단 중 어느 하나에 의하면, 본 발명은 헤더 및 페이로드를 포함하는 패킷 데이터를 수집하고, 수집한 패킷 데이터의 헤더 및 페이로드를 토큰화하고, 토큰화된 헤더 및 페이로드를 임베딩하고, 임베딩 결과에 기초하여 인공지능 모델을 학습시키고, 인공지능 모델을 이용하여 대상 네트워크에 대한 침해 공격을 탐지하고, 탐지된 침해 공격을 분석할 수 있다.According to any one of the problem solving means of the present invention described above, the present invention collects packet data including headers and payloads, tokenizes the headers and payloads of the collected packet data, and tokenizes the headers and payloads. It is possible to embed the load, train an artificial intelligence model based on the embedding result, detect an intrusion attack on the target network using the artificial intelligence model, and analyze the detected intrusion attack.
인공지능 모델의 탐지 규칙을 개선함으로써 네트워크에 대한 침해 공격을 보다 정확하고 효율적으로 탐지할 수 있다.By improving the detection rules of the artificial intelligence model, intrusion attacks on the network can be detected more accurately and efficiently.
네트워크의 보안을 강화하고 침해 공격에 의한 피해가 발생하는 것을 방지할 수 있다.It can strengthen the security of the network and prevent damage caused by intrusion attacks.
도 1은 본 발명의 일 실시예에 따른 침해 공격 탐지 장치의 구성도이다.
도 2는 본 발명의 일 실시예에 따라 인공지능 모델을 학습시키는 방법을 설명하기 위한 예시적인 도면이다.
도 3은 본 발명의 일 실시예에 따라 인공지능 모델을 학습시키는 방법을 설명하기 위한 예시적인 도면이다.
도 4는 본 발명의 일 실시예에 따라 인공지능 모델을 학습시키는 방법을 설명하기 위한 예시적인 도면이다.
도 5는 본 발명의 일 실시예에 따른 앙상블 모델을 설명하기 위한 예시적인 도면이다.
도 6은 본 발명의 일 실시예에 따라 인공지능 모델의 탐지 규칙을 개선하는 방법을 설명하기 위한 예시적인 도면이다.
도 7은 본 발명의 일 실시예에 따라 탐지된 침해 공격과 다른 침해 공격 간의 인과관계를 분석하는 방법을 설명하기 위한 예시적인 도면이다.
도 8은 본 발명의 일 실시예에 따른 네트워크에 대한 침해 공격 탐지 방법의 순서도이다.
도 9는 본 발명의 일 실시예에 따른 침해 공격 탐지 장치에 의해 사용자에게 제공되는 인터페이스 화면의 예시적인 도면이다.1 is a block diagram of an infringement attack detection device according to an embodiment of the present invention.
2 is an exemplary diagram for explaining a method of learning an artificial intelligence model according to an embodiment of the present invention.
3 is an exemplary diagram for explaining a method of learning an artificial intelligence model according to an embodiment of the present invention.
4 is an exemplary diagram for explaining a method of learning an artificial intelligence model according to an embodiment of the present invention.
5 is an exemplary diagram for explaining an ensemble model according to an embodiment of the present invention.
6 is an exemplary diagram for explaining a method of improving a detection rule of an artificial intelligence model according to an embodiment of the present invention.
7 is an exemplary diagram for explaining a method of analyzing a causal relationship between a detected invasion attack and another invasion attack according to an embodiment of the present invention.
8 is a flowchart of a method for detecting an intrusion attack on a network according to an embodiment of the present invention.
9 is an exemplary view of an interface screen provided to a user by an infringement attack detection device according to an embodiment of the present invention.
아래에서는 첨부한 도면을 참조하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 본 발명의 실시예를 상세히 설명한다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시예에 한정되지 않는다. 그리고 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 유사한 부분에 대해서는 유사한 도면 부호를 붙였다.Hereinafter, embodiments of the present invention will be described in detail so that those skilled in the art can easily practice the present invention with reference to the accompanying drawings. However, the present invention may be embodied in many different forms and is not limited to the embodiments described herein. And in order to clearly explain the present invention in the drawings, parts irrelevant to the description are omitted, and similar reference numerals are attached to similar parts throughout the specification.
명세서 전체에서, 어떤 부분이 다른 부분과 "연결"되어 있다고 할 때, 이는 "직접적으로 연결"되어 있는 경우뿐 아니라, 그 중간에 다른 소자를 사이에 두고 "전기적으로 연결"되어 있는 경우도 포함한다. 또한 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미하며, 하나 또는 그 이상의 다른 특징이나 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.Throughout the specification, when a part is said to be "connected" to another part, this includes not only the case where it is "directly connected" but also the case where it is "electrically connected" with another element interposed therebetween. . In addition, when a part "includes" a certain component, this means that it may further include other components, not excluding other components, unless otherwise stated, and one or more other characteristics. However, it should be understood that it does not preclude the possibility of existence or addition of numbers, steps, operations, components, parts, or combinations thereof.
본 명세서에 있어서 '부(部)'란, 하드웨어에 의해 실현되는 유닛(unit), 소프트웨어에 의해 실현되는 유닛, 양방을 이용하여 실현되는 유닛을 포함한다. 또한, 1 개의 유닛이 2 개 이상의 하드웨어를 이용하여 실현되어도 되고, 2 개 이상의 유닛이 1 개의 하드웨어에 의해 실현되어도 된다. 한편, '~부'는 소프트웨어 또는 하드웨어에 한정되는 의미는 아니며, '~부'는 어드레싱 할 수 있는 저장 매체에 있도록 구성될 수도 있고 하나 또는 그 이상의 프로세서들을 재생시키도록 구성될 수도 있다. 따라서, 일 예로서 '~부'는 소프트웨어 구성요소들, 객체지향 소프트웨어 구성요소들, 클래스 구성요소들 및 태스크 구성요소들과 같은 구성요소들과, 프로세스들, 함수들, 속성들, 프로시저들, 서브루틴들, 프로그램 코드의 세그먼트들, 드라이버들, 펌웨어, 마이크로코드, 회로, 데이터, 데이터베이스, 데이터 구조들, 테이블들, 어레이들 및 변수들을 포함한다. 구성요소들과 '~부'들 안에서 제공되는 기능은 더 작은 수의 구성요소들 및 '~부'들로 결합되거나 추가적인 구성요소들과 '~부'들로 더 분리될 수 있다. 뿐만 아니라, 구성요소들 및 '~부'들은 디바이스 또는 보안 멀티미디어카드 내의 하나 또는 그 이상의 CPU들을 재생시키도록 구현될 수도 있다.In this specification, a "unit" includes a unit realized by hardware, a unit realized by software, and a unit realized using both. Further, one unit may be realized using two or more hardware, and two or more units may be realized by one hardware. On the other hand, '~ unit' is not limited to software or hardware, and '~ unit' may be configured to be in an addressable storage medium or configured to reproduce one or more processors. Therefore, as an example, '~unit' refers to components such as software components, object-oriented software components, class components, and task components, processes, functions, properties, and procedures. , subroutines, segments of program code, drivers, firmware, microcode, circuitry, data, databases, data structures, tables, arrays and variables. Functions provided within components and '~units' may be combined into smaller numbers of components and '~units' or further separated into additional components and '~units'. In addition, components and '~units' may be implemented to play one or more CPUs in a device or a secure multimedia card.
이하에서 언급되는 "네트워크"는 단말들 및 서버들과 같은 각각의 노드 상호 간에 정보 교환이 가능한 연결 구조를 의미하는 것으로, 근거리 통신망(LAN: Local Area Network), 광역 통신망(WAN: Wide Area Network), 인터넷 (WWW: World Wide Web), 유무선 데이터 통신망, 전화망, 유무선 텔레비전 통신망 등을 포함한다. 무선 데이터 통신망의 일례에는 3G, 4G, 5G, 3GPP(3rd Generation Partnership Project), LTE(Long Term Evolution), WIMAX(World Interoperability for Microwave Access), 와이파이(Wi-Fi), 블루투스 통신, 적외선 통신, 초음파 통신, 가시광 통신(VLC: Visible Light Communication), 라이파이(LiFi) 등이 포함되나 이에 한정되지는 않는다.The "network" referred to below refers to a connection structure capable of exchanging information between nodes such as terminals and servers, such as a local area network (LAN) and a wide area network (WAN). , the Internet (WWW: World Wide Web), wired and wireless data communications networks, telephone networks, and wired and wireless television communications networks. Examples of wireless data communication networks include 3G, 4G, 5G, 3rd Generation Partnership Project (3GPP), Long Term Evolution (LTE), World Interoperability for Microwave Access (WIMAX), Wi-Fi, Bluetooth communication, infrared communication, ultrasonic communication, visible light communication (VLC: Visible Light Communication), LiFi, and the like, but are not limited thereto.
본 명세서에 있어서 단말 또는 디바이스가 수행하는 것으로 기술된 동작이나 기능 중 일부는 해당 단말 또는 디바이스와 연결된 서버에서 대신 수행될 수도 있다. 이와 마찬가지로, 서버가 수행하는 것으로 기술된 동작이나 기능 중 일부도 해당 서버와 연결된 단말 또는 디바이스에서 수행될 수도 있다.In this specification, some of the operations or functions described as being performed by a terminal or device may be performed instead by a server connected to the terminal or device. Likewise, some of the operations or functions described as being performed by the server may also be performed in a terminal or device connected to the corresponding server.
이하 첨부된 도면을 참고하여 본 발명의 일 실시예를 상세히 설명하기로 한다.Hereinafter, an embodiment of the present invention will be described in detail with reference to the accompanying drawings.
도 1은 본 발명의 일 실시예에 따른 침해 공격 탐지 장치의 구성도이다. 1 is a block diagram of an infringement attack detection device according to an embodiment of the present invention.
침해 공격 탐지 장치(100)는 예를 들어, 패킷 데이터에 포함되는 헤더 및 페이로드의 조합이 악성인지 여부를 판별함으로써 네트워크에 대한 침해 공격을 탐지할 수 있다.The intrusion
침해 공격 탐지 장치(100)는 예를 들어, 탐지된 침해 공격의 패킷 데이터에 포함되는 헤더 및 페이로드를 분석하고, 분석 결과를 이용하여 장치의 탐지 성능을 점차 개선할 수 있다.The intrusion
도 1을 참조하면, 침해 공격 탐지 장치(100)는 수집부(110), 임베딩부(120), 학습부(130), 탐지부(140) 및 분석부(150)를 포함할 수 있다.Referring to FIG. 1 , an intrusion
수집부(110)는 헤더 및 페이로드를 포함하는 패킷 데이터를 수집할 수 있다.The
일 실시예에서, 수집부(110)는 기설정된 기준에 기초하여 수집된 패킷 데이터를 정상 또는 악성으로 분류하고 레이블링할 수 있다. 침해 공격 탐지 장치(100)는 레이블링된 패킷 데이터를 이용하여 침해 공격을 탐지하는 인공지능 모델을 학습시킬 수 있다.In one embodiment, the
임베딩부(120)는 수집한 패킷 데이터의 헤더 및 페이로드를 토큰화할 수 있다. 임베딩부(120)는 예를 들어, N-GRAM, BPE 또는 WPE 중 어느 하나의 방식에 의하여 헤더 및 페이로드를 토큰화할 수 있다.The embedding
임베딩부(120)는 토큰화된 헤더 및 페이로드를 임베딩할 수 있다. 임베딩부(120)는 토큰화된 헤더 및 페이로드의 임베딩 벡터를 도출할 수 있다.The embedding
예를 들어, 임베딩부(120)는 센텐스피스(SentencePiece)를 이용하여 토큰화된 헤더 및 페이로드를 임베딩할 수 있다. 또는, 임베딩부(120)는 워드투벡(Word2vec) 및 패스트텍스트(FastText) 기법을 이용하여 토큰화된 헤더 및 페이로드를 임베딩할 수 있다.For example, the embedding
학습부(130)는 임베딩 결과에 기초하여 인공지능 모델을 학습시킬 수 있다. 예를 들어, 학습부(130)는 1D-CNN 기법을 이용하여 인공지능 모델을 학습시킬 수 있다. 여기서, 인공지능 모델은 헤어 및 페이로드의 특징점에 기초하여 학습된 트랜스포머 기반의 앙상블 모델에 기초하여 침해 공격을 탐지하는 모델일 수 있다.The
학습부(130)는 예를 들어, 도출된 헤더 및 페이로드의 임베딩 벡터에 기초하여 인공지능 모델을 학습시킬 수 있다. 학습부(130)는 임베딩 벡터에 대해 합성곱 연산을 수행하여 특징점을 추출할 수 있다. 학습부(130)는 추출된 특징점에 기초하여 인공지능 모델을 학습시킬 수 있다.The
도 2 내지 도 4는 본 발명의 일 실시예에 따라 인공지능 모델을 학습시키는 방법을 설명하기 위한 예시적인 도면이다.2 to 4 are exemplary diagrams for explaining a method of learning an artificial intelligence model according to an embodiment of the present invention.
'wait for the video and don't rent it'라는 자연어 문장에 대하여 토큰화, 패딩 및 임베딩 처리를 수행하면 도 2에 도시된 것과 같은 문장 형태의 행렬이 도출된다. 도 2에서 n은 문장의 길이이고, k는 임베딩 벡터의 차원을 나타낼 수 있다. When tokenization, padding, and embedding are performed on the natural language sentence 'wait for the video and don't rent it', a sentence-type matrix as shown in FIG. 2 is derived. In FIG. 2, n may represent the length of a sentence, and k may represent the dimension of an embedding vector.
1D-CNN 기법에 있어서, 커널의 너비는 임베딩 벡터의 차원(k)과 동일하게 설정되고, 커널의 높이는 유동적으로 설정될 수 있다. 따라서, 커널의 사이즈는 커널의 높이를 의미할 수 있다. 커널의 사이즈는 하이퍼파라미터 튜닝을 통해 실험적으로 가장 좋은 성능이 나오는 값이 사용될 수 있다.In the 1D-CNN technique, the width of the kernel is set equal to the dimension (k) of the embedding vector, and the height of the kernel can be set flexibly. Accordingly, the size of the kernel may mean the height of the kernel. As for the size of the kernel, a value that gives the best performance experimentally through hyperparameter tuning can be used.
도 3은 커널의 사이즈, 즉 커널의 높이를 2로 설정한 경우에 임베딩 벡터에 대해 합성곱 연산을 수행하여 특징점을 추출하는 방법을 예시적으로 도시한다.3 exemplarily illustrates a method of extracting feature points by performing a convolution operation on an embedding vector when the size of the kernel, that is, the height of the kernel is set to 2.
도 3을 참조하면, 커널의 사이즈가 2인 경우에, 첫번째 스텝에서 'wait for'에 대해서 합성곱 연산을 수행하고, 두번째 스텝에서는 'for the'에 대해서 합성곱 연산을 수행하고, 세번째 스텝에서는 'the video'에 대해서 합성곱 연산을 수행하고, 네번째 스텝에서는 'video and'에 대해서 합성곱 연산을 수행할 수 있다. 마찬가지의 방식으로 임베딩 벡터 전체에 대해서 합성곱 연산을 수행할 수 있다.Referring to FIG. 3, when the size of the kernel is 2, a convolution operation is performed on 'wait for' in the first step, a convolution operation is performed on 'for the' in the second step, and a convolution operation is performed on 'for the' in the third step. A convolution operation may be performed on 'the video', and a convolution operation may be performed on 'video and' in the fourth step. In the same way, the convolution operation can be performed on the entire embedding vector.
1D-CNN 기법에 있어서, 임베딩 벡터에 대한 합성곱 연산을 수행한 후에 풀링(pooling)을 수행할 수 있다. 풀링(pooling)의 예로, 각 합성곱 연산으로부터 얻은 결과 벡터에서 가장 큰 값을 취하는 맥스 풀링(Max-pooling)을 수행할 수 있다.In the 1D-CNN technique, pooling may be performed after performing a convolution operation on an embedding vector. As an example of pooling, max-pooling, which takes the largest value from the resulting vector obtained from each convolution operation, can be performed.
도 4는 커널 사이즈가 2인 경우와 커널 사이즈가 3인 경우 각각에 있어서, 임베딩 벡터에 대해 합성곱 연산을 수행하고 맥스 풀링을 수행함으로써 특징점을 추출하는 것을 예시적으로 도시한다.FIG. 4 exemplarily illustrates extraction of feature points by performing a convolution operation on an embedding vector and max pooling in cases where the kernel size is 2 and the kernel size is 3, respectively.
도 2 내지 4를 참조하여 설명한 바와 같이, 본 발명은 문장 자체가 아닌 특징점을 추출하고, 추출된 특징점에 기초하여 인공지능 모델을 학습시킴으로써 인공지능 모델의 학습 속도 및 정확도를 향상시킬 수 있다.As described with reference to FIGS. 2 to 4 , the present invention can improve the learning speed and accuracy of the artificial intelligence model by extracting feature points other than sentences themselves and training the artificial intelligence model based on the extracted feature points.
학습부(130)는 예를 들어, 1D-CNN 기법으로 추출된 특징점을 앙상블 모델에 적용하여 패킷 데이터의 정상 또는 악성 여부를 판별할 수 있다. 앙상블 모델은 패킷 데이터의 페이로드 데이터뿐 아니라 헤더 정보를 모델링에 활용할 수 있다. 또한, 앙상블 모델은 각 특징점에 따라 다른 모델의 구조를 적용하고, 산출되는 결과의 평균값을 이용하여 최종적으로 정상 또는 악성 여부를 판별할 수 있다.For example, the
도 5는 본 발명의 일 실시예에 따른 앙상블 모델의 구조를 설명하기 위한 예시적인 도면이다. 침해 공격 탐지 장치(100)는 도 5에 도시된 것과 같은 CMAE 모델을 이용하여 패킷 데이터의 정상 또는 악성 여부를 판별할 수 있다.5 is an exemplary diagram for explaining the structure of an ensemble model according to an embodiment of the present invention. The intrusion
침해 공격 탐지 장치(100)는 CMAE 모델을 이용하여 정상 또는 악성 여부를 판별한 결과에 기초하여 침해 사고 발생 여부를 판단할 수 있다.The intrusion
다른 실시예에서, 침해 공격 탐지 장치(100)는 데이터의 특성에 따라 전처리 방식 및 모델의 구조를 가변적으로 변경하여 학습을 진행 후 패킷 데이터의 정상 또는 악성 여부를 판별할 수 있다.In another embodiment, the intrusion
예를 들어, 침해 공격 탐지 장치(100)는 CMAE 모델을 이용하여 판별한 결과를 설명 가능한 인공지능 모델(eXplainable Artificial Intelligence, XAI)에 적용하고 판별 근거를 분석할 수 있다.For example, the infringement
설명 가능한 인공지능 모델은 페이로드의 토큰별로 어텐션 가중치를 도출하는 셀프 어텐션 모델에 기초하여 침해 공격의 판별 근거를 분석할 수 있다.The explainable artificial intelligence model can analyze the basis for discrimination of infringement attacks based on the self-attention model that derives the attention weight for each token of the payload.
셀프 어텐션 모델은, 문장 내에서 특정한 특징값(feature)이 문맥 내에서 어떤 특징값을 참조하고 있는지를 나타내는 어텐션 가중치(Attention weight)를 도출할 수 있다.The self-attention model may derive an attention weight representing which feature value a specific feature in a sentence refers to in a context.
셀프 어텐션 모델을 이용하여 어텐션 가중치를 구하는 방법으로는 먼저, 각 인코더의 입력 벡터인 각 워드의 임베딩 값으로 세 개의 벡터를 만들고, 다른 행렬을 곱하여 각 단어에 대한 Q, K, V 벡터를 만든다. 셀프 어텐션의 경우에는 Q, K 및 V의 값이 모두 동일할 수 있다.To obtain the attention weight using the self-attention model, first, three vectors are created with the embedding value of each word, which is the input vector of each encoder, and then multiplied by another matrix to create Q, K, and V vectors for each word. In the case of self-attention, the values of Q, K, and V may all be the same.
다음으로, 각 단어의 Q와 K의 내적을 계산하여 어텐션 값을 도출한다. 어텐션 값은 특정 위치에서 단어를 인코딩할 때 입력 문장의 다른 단어에 집중할 정도를 결정할 수 있다.Next, the attention value is derived by calculating the dot product of Q and K of each word. The attention value can determine the degree to which other words in the input sentence are focused when encoding a word at a particular position.
다음으로, 각 V 벡터에 어텐션 값을 곱하고 가중치 벡터를 더함으로써 셀프 어텐션 레이어의 출력을 생성할 수 있다. 구체적으로, 소프트맥스 함수를 이용하여 전체 값의 합이 1이 되는 확률 분포인 어텐션 분포(Attention Distribution)를 얻을 수 있다. 어텐션 분포의 각각의 값은 어텐션 가중치이다. 즉, 각각의 토큰이 어텐션 가중치를 가지게 되고, 도 5는 이것을 행렬의 형태로 시각화한 예시 도면이다.Next, the output of the self-attention layer can be generated by multiplying each V vector by an attention value and adding a weight vector. Specifically, an attention distribution, which is a probability distribution in which the sum of all values becomes 1, can be obtained by using the softmax function. Each value of the attention distribution is an attention weight. That is, each token has an attention weight, and FIG. 5 is an exemplary diagram visualizing this in the form of a matrix.
학습부(130)는 셀프 어텐션 모델을 이용하여 도출된 어텐션 가중치에 기초하여 페이로드의 토큰 중에서 위협 정보 토큰을 선정할 수 있다. 예를 들어, 학습부(130)는 토큰화된 헤더 및 페이로드 중에서 어텐션 가중치의 값이 가장 높은 5 개의 토큰을 위협 정보 토큰으로 선정할 수 있다.The
학습부(130)는 위협 정보 토큰의 위치 정보 및 위협 정보 토큰의 어텐션 가중치 값을 더 도출할 수 있다. 학습부(130)는 위협 정보 토큰의 위치 정보를 도출함으로써 페이로드에서 침해 공격을 구성하는 주요 부분이 어디에 위치하는지를 표시하고, 이에 의하여 인공지능 모델의 판별 근거를 제공할 수 있다.The
학습부(130)는 위협 정보 토큰의 위치 정보 및 위협 정보 토큰의 어텐션 가중치 값에 기초하여 인공지능 모델의 탐지 규칙을 개선할 수 있다. 예를 들어, 학습부(130)는 인공지능 모델이 어텐션 가중치 값이 높은 위협 정보 토큰의 핵심 징후를 판별할 수 있도록 인공지능 모델의 탐지 규칙을 개선할 수 있다.The
도 6은 본 발명의 일 실시예에 따라 인공지능 모델의 탐지 규칙을 개선하는 방법을 설명하기 위한 예시적인 도면이다.6 is an exemplary diagram for explaining a method of improving a detection rule of an artificial intelligence model according to an embodiment of the present invention.
도 6을 참조하면, 침해 공격 탐지 장치(100)는 위협 정보 토큰의 핵심 징후를 판별할 수 있도록 위협 정보 토큰의 위치 정보 및 위협 정보 토큰의 어텐션 가중치 값에 기초하여 인공지능 모델의 탐지 규칙을 개선할 수 있다. Referring to FIG. 6 , the compromise
침해 공격 탐지 장치(100)는 예를 들어, n 바이트 단위로 어텐션 가중치를 도출하고, 도 6에 도시된 바와 같이 어텐션 매트릭스를 시각화하여 위협 정보 토큰의 핵심 징후를 판별하는 데에 활용할 수 있다.The intrusion
탐지부(140)는 인공지능 모델을 이용하여 대상 네트워크에 대한 침해 공격을 탐지할 수 있다. 예를 들어, 탐지부(140)는 대상 네트워크를 실시간 모니터링함으로써 대상 네트워크에 대한 침해 공격을 탐지할 수 있다.The
분석부(150)는 탐지된 침해 공격을 분석할 수 있다. 분석부(150)는 탐지된 침해 공격과 다른 침해 공격 간의 상관관계 및 인과관계 중 적어도 하나를 분석할 수 있다.The
분석부(150)는 예를 들어, 연관 법칙 학습 기법에 기초하여 탐지된 침해 공격과 동시간대에 발생한 다른 침해 공격 간의 상관관계를 분석할 수 있다. 연관 법칙 학습 기법으로는 예를 들어, Apriori, FP-Growth 중 어느 하나를 이용할 수 있다.For example, the
분석부(150)는 탐지된 침해 공격과 다른 침해 공견 간의 지지도, 신뢰도 및 향상도 중 적어도 하나 이상의 지표를 정량적으로 분석함으로써 두 침해 공격 간의 상관관계를 분석할 수 있다.The
지지도는 예를 들어, 전체 위협 발생 수를 기준으로 두 침해 공격의 위협 판단 요소가 동시에 발생한 수의 비율로 도출될 수 있다.The degree of support may be derived, for example, as a ratio of the number of simultaneous occurrences of threat determination factors of two intrusion attacks based on the total number of occurrences of threats.
신뢰도를 예를 들어, 탐지된 침해 공격의 위협 판단 요소의 발생 수를 기준으로 두 침해 공격의 위협 판단 요소가 동시에 발생한 수의 비율로 도출될 수 있다.For example, the reliability may be derived as a ratio of the number of simultaneously occurring threat factors of two intrusion attacks based on the number of occurrences of threat factors of the detected intrusion attack.
향상도는 예를 들어, 전체 위협 발생 수에 대한 다른 침해 공격의 위협 판단 요소의 발생 수를 기준으로 신뢰도의 비율로 도출될 수 있다.The degree of improvement may be derived as a ratio of reliability based on, for example, the number of occurrences of threat determination factors of other intrusion attacks to the total number of occurrences of threats.
예를 들어, 침해 공격 탐지 장치(100)는 특정 유형의 침해 공격이 인지가 되면, 동일한 유형의 침해 공격이 발생했던 과거의 내역을 분석할 수 있다. 침해 공격 탐지 장치(100)는 동일한 유형의 침해 공격과 병행하여 발생한 다른 침해 공격과의 상관성을 지지도, 신뢰도, 향상도 등의 정량적인 지표로 표현하고, 지표별로 높은 값을 보인 다른 침해 공격들을 분석할 수 있다.For example, when a specific type of intrusion attack is recognized, the intrusion
침해 공격 탐지 장치(100)는 탐지된 침해 공격과 동시간대에 발생한 다른 침해 공격 간의 상관관계를 분석함으로써 어떤 위협 경보 요소들 중에서 사고가 될 가능성이 높은지 판단하는 근거를 제공할 수 있다.The intrusion
분석부(150)는 예를 들어, 시퀀스 추론 기법에 기초하여 탐지된 침해 공격과 과거에 발생한 다른 침해 공격 간의 인과관계를 분석할 수 있다. 시퀀스 추론 기법은 예를 들어, Prefix-Span, Sequential Bayesian 중 어느 하나를 이용하여 침해 공격의 발생 시계열을 분석할 수 있다.For example, the
분석부(150)는 시퀀스 추론 기법에 기초하여 인과관계를 분석함으로써 새롭게 발생하는 침해 공격의 패턴을 추출 및 분석할 수 있다.The
도 7은 본 발명의 일 실시예에 따라 탐지된 침해 공격과 과거에 발생한 다른 침해 공격 간의 인과관계를 분석하는 방법을 설명하기 위한 예시적인 도면이다.7 is an exemplary diagram for explaining a method of analyzing a causal relationship between a detected invasion attack and another invasion attack that occurred in the past according to an embodiment of the present invention.
도 7을 참조하면, 침해 공격 탐지 장치(100)는 시퀀스 추론 기법에 기초하여 반복 패턴 A 및 반복 패턴 B를 인식함으로써 탐지된 침해 공격과 과거에 발생한 다른 침해 공격 간의 인과관계를 분석할 수 있다.Referring to FIG. 7 , the intrusion
예를 들어, 침해 공격 탐지 장치(100)는 탐지된 침해 공격과 높은 상관성을 갖는 다른 침해 공격들을 중심으로 반복적으로 발생한 침해 공격의 시퀀스를 분석할 수 있다. 침해 공격 탐지 장치(100)는 분석된 침해 공격의 시퀀스에서 반복되는 부분 시퀀스를 인지하고 추출할 수 있다. 이에 의하여, 높은 상관성을 가지는 다른 침해 공격의 원인을 분석하거나, 또는 여러 단계에 걸쳐 발생하는 보안 공격의 패턴을 추출할 수 있다.For example, the intrusion
또 다른 예를 들어, 침해 공격 탐지 장치(100)는 침해 공격에 의해 발생한 사고와 관련하여, 기관, 위협 공격 IP, 위협 피해 IP, 블랙리스트 IP, 공격 유형, 자산, 위협 공격 PORT, 위협 피해 PORT, 사고 피해 프로토콜, 탐지 규칙, 의도, 공격 국가, 피해 국가에 관한 정보를 수집하고, 데이터베이스를 구축할 수 있다.As another example, the intrusion
침해 공격 탐지 장치(100)는 데이터베이스로부터 발생 빈도가 높은 항목의 집합을 추출할 수 있다. 예를 들어, 동시에 발생하는 빈도가 높은 시퀀스의 집합을 추출할 수 있다.The intrusion
침해 공격 탐지 장치(100)는 데이터베이스를 이용하여 추출한 시퀀스의 지지도를 도출하고, 시퀀스의 원인(기관, 위협 공격 IP, 위협 피해 IP, 블랙리스트 IP, 자산, 위협 공격 PORT, 위협 피해 PORT, 사고 피해 프로토콜, 탐지 규칙, 의도, 공격 국가, 피해 국가)과 결과(공격 유형)를 기준으로 분류할 수 있다.The infringement
침해 공격 탐지 장치(100)는 기설정된 시간 간격으로 분석 결과를 업데이트할 수 있다.The intrusion
침해 공격 탐지 장치(100)는 시퀀스 추론 기법에 기초하여 탐지된 침해 공격과 과거에 발생한 다른 침해 공격 간의 인과관계를 분석함으로써 새롭게 발생하는 사고가 될 가능성이 높은 침해 공격 패턴의 근거를 제공할 수 있다. 또한, 인과관계의 분석 결과를 이용하여 새롭게 발생하는 사고의 패턴에 대한 예측 정보를 제공할 수 있다.The intrusion
도 8은 본 발명의 일 실시예에 따른 네트워크에 대한 침해 공격을 탐지하는 방법의 순서도이다. 도 8에 도시된 침해 공격 탐지 장치(100)에서 수행되는 네트워크에 대한 침해 공격을 탐지하는 방법(800)은 도 1에 도시된 실시예에 따라 침해 공격 탐지 장치(100)에 의해 시계열적으로 처리되는 단계들을 포함한다. 따라서, 이하 생략된 내용이라고 하더라도 도 1에 도시된 실시예에 따라 침해 공격 탐지 장치(100)에서 수행되는 네트워크에 대한 침해 공격을 탐지하는 방법에도 적용된다.8 is a flowchart of a method for detecting an intrusion attack on a network according to an embodiment of the present invention. A
단계 S810에서 침해 공격 탐지 장치(100)는 헤더 및 페이로드를 포함하는 패킷 데이터를 수집할 수 있다.In step S810, the intrusion
단계 S820에서 침해 공격 탐지 장치(100)는 수집한 패킷 데이터의 헤더 및 페이로드를 토큰화하고, 토큰화된 헤더 및 페이로드를 임베딩할 수 있다.In step S820, the intrusion
단계 S830에서 침해 공격 탐지 장치(100)는 임베딩 결과에 기초하여 인공지능 모델을 학습시킬 수 있다.In step S830, the intrusion
단계 S840에서 침해 공격 탐지 장치(100)는 인공지능 모델을 이용하여 대상 네트워크에 대한 침해 공격을 탐지할 수 있다.In step S840, the intrusion
단계 S850에서 침해 공격 탐지 장치(100)는 탐지된 침해 공격을 분석할 수 있다.In step S850, the intrusion
상술한 설명에서, 단계 S810 내지 S850은 본 발명의 구현예에 따라서, 추가적인 단계들로 더 분할되거나, 더 적은 단계들로 조합될 수 있다. 또한, 일부 단계는 필요에 따라 생략될 수도 있고, 단계 간의 순서가 전환될 수도 있다.In the above description, steps S810 to S850 may be further divided into additional steps or combined into fewer steps, depending on an embodiment of the present invention. Also, some steps may be omitted as needed, and the order of steps may be switched.
도 9는 본 발명의 일 실시예에 따른 침해 공격 탐지 장치(100)에 의해 사용자에게 제공되는 인터페이스 화면의 예시적인 도면이다.9 is an exemplary view of an interface screen provided to a user by the intrusion
도 9의 (a)는 대상 네트워크에 대한 침해 공격의 탐지 결과를 사용자에게 제공하는 화면이다. 도 7의 (a)에 도시된 바와 같이, 페이로드에서 판별에 주요하게 작용한 부분이 하이라이팅 표시되어 제공되고, 판별 이유란에 각 부분의 위치 및 중요도를 계산한 결과가 제공될 수 있다.9(a) is a screen for providing a user with a detection result of an intrusion attack on a target network. As shown in (a) of FIG. 7 , a part of the payload that has played a major role in the determination is highlighted and displayed, and a result of calculating the location and importance of each part may be provided in the reason for determination.
도 9의 (b)는 탐지된 침해 공격과 동시간대에 발생한 다른 침해 공격 간의 상관관계를 분석한 결과를 제공하는 화면의 예시적인 도면이다. 상관관계를 분석한 결과는 위협 정보를 이루는 IP주소, 포트, 프로토콜 등의 세부 필드 간의 상관성 결과를 포함할 수 있다. 예를 들어, 상관관계를 분석할 기간은 사용자에 의해 설정될 수 있다.9(b) is an exemplary view of a screen providing a result of analyzing a correlation between a detected intrusion attack and another intrusion attack occurring at the same time. The correlation analysis result may include a correlation result between detailed fields such as an IP address, a port, and a protocol constituting the threat information. For example, a period for analyzing the correlation may be set by the user.
도 9의 (c)는 탐지된 침해 공격과 과거에 발생한 다른 침해 공격 간의 인과관계를 분석한 결과를 제공하는 화면의 예시적인 도면이다. 인과관계를 분석한 결과는 반복되는 시퀀스의 정보 및 반복 시퀀스를 통해 파악된 침해 공격의 원인 정보를 포함할 수 있다.9(c) is an exemplary view of a screen providing a result of analyzing a causal relationship between a detected intrusion attack and another intrusion attack that occurred in the past. The result of analyzing the causal relationship may include repeated sequence information and cause information of an infringement attack identified through the repeated sequence.
침해 공격 탐지 장치(100)에 의해 사용자에게 제공되는 인터페이스 화면은 인공지능 모델의 탐지 규칙의 개선을 요청하는 화면을 포함할 수 있다. 침해 공격 탐지 장치(100)는 탐지 규칙의 개선을 요청받고, 탐지 규칙의 개선을 수행한 후에 개선 내용을 검증할 수 있다. 개선 내용은, 기존의 탐지 규칙을 이용하는 경우의 오탐율 및 정탐율과 수정된 탐지 규칙을 이용하는 경우의 오탐율 및 정탐율에 관한 정보를 포함할 수 있다.The interface screen provided to the user by the intrusion
도 1 내지 도 9를 통해 설명된 침해 공격 탐지 장치에서 네트워크에 대한 침해 공격을 탐지하는 방법은 컴퓨터에 의해 실행되는 매체에 저장된 컴퓨터 프로그램 또는 컴퓨터에 의해 실행 가능한 명령어를 포함하는 기록 매체의 형태로도 구현될 수 있다.The method for detecting an intrusion attack on a network in the intrusion attack detection device described with reference to FIGS. 1 to 9 may be in the form of a computer program stored in a medium executed by a computer or a recording medium including instructions executable by a computer. can be implemented
컴퓨터 판독 가능 매체는 컴퓨터에 의해 액세스될 수 있는 임의의 가용 매체일 수 있고, 휘발성 및 비휘발성 매체, 분리형 및 비분리형 매체를 모두 포함한다. 또한, 컴퓨터 판독가능 매체는 컴퓨터 저장 매체를 포함할 수 있다. 컴퓨터 저장 매체는 컴퓨터 판독가능 명령어, 데이터 구조, 프로그램 모듈 또는 기타 데이터와 같은 정보의 저장을 위한 임의의 방법 또는 기술로 구현된 휘발성 및 비휘발성, 분리형 및 비분리형 매체를 모두 포함한다.Computer readable media can be any available media that can be accessed by a computer and includes both volatile and nonvolatile media, removable and non-removable media. Also, computer readable media may include computer storage media. Computer storage media includes both volatile and nonvolatile, removable and non-removable media implemented in any method or technology for storage of information such as computer readable instructions, data structures, program modules or other data.
전술한 본 발명의 설명은 예시를 위한 것이며, 본 발명이 속하는 기술분야의 통상의 지식을 가진 자는 본 발명의 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 쉽게 변형이 가능하다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해해야만 한다. 예를 들어, 단일형으로 설명되어 있는 각 구성 요소는 분산되어 실시될 수도 있으며, 마찬가지로 분산된 것으로 설명되어 있는 구성 요소들도 결합된 형태로 실시될 수 있다.The above description of the present invention is for illustrative purposes, and those skilled in the art can understand that it can be easily modified into other specific forms without changing the technical spirit or essential features of the present invention. will be. Therefore, the embodiments described above should be understood as illustrative in all respects and not limiting. For example, each component described as a single type may be implemented in a distributed manner, and similarly, components described as distributed may be implemented in a combined form.
본 발명의 범위는 상기 상세한 설명보다는 후술하는 특허청구범위에 의하여 나타내어지며, 특허청구범위의 의미 및 범위 그리고 그 균등 개념으로부터 도출되는 모든 변경 또는 변형된 형태가 본 발명의 범위에 포함되는 것으로 해석되어야 한다.The scope of the present invention is indicated by the following claims rather than the detailed description above, and all changes or modifications derived from the meaning and scope of the claims and equivalent concepts should be construed as being included in the scope of the present invention. do.
100: 침해 공격 탐지 장치
110: 수집부
120: 임베딩부
130: 학습부
140: 탐지부
150: 분석부100: intrusion attack detection device
110: collection unit
120: embedding unit
130: learning unit
140: detection unit
150: analysis unit
Claims (20)
헤더 및 페이로드를 포함하는 패킷 데이터를 수집하는 수집부;
상기 수집한 패킷 데이터의 헤더 및 페이로드를 토큰화하고, 상기 토큰화된 헤더 및 페이로드를 임베딩하는 임베딩부;
임베딩 결과에 기초하여 인공지능 모델을 학습시키는 학습부;
상기 인공지능 모델을 이용하여 대상 네트워크에 대한 침해 공격을 탐지하는 탐지부; 및
상기 탐지된 침해 공격을 분석하는 분석부
를 포함하는 것인, 침해 공격 탐지 장치.
A device for detecting an intrusion attack on a network,
a collection unit that collects packet data including a header and a payload;
an embedding unit that tokenizes headers and payloads of the collected packet data and embeds the tokenized headers and payloads;
A learning unit for learning an artificial intelligence model based on an embedding result;
a detection unit that detects an intrusion attack on a target network using the artificial intelligence model; and
An analysis unit that analyzes the detected infringement attack
To include, intrusion attack detection device.
상기 임베딩부는 상기 토큰화된 헤더 및 페이로드의 임베딩 벡터를 도출하고,
상기 학습부는 상기 도출된 임베딩 벡터에 기초하여 상기 인공지능 모델을 학습시키는 것인, 침해 공격 탐지 장치.
According to claim 1,
The embedding unit derives an embedding vector of the tokenized header and payload,
Wherein the learning unit learns the artificial intelligence model based on the derived embedding vector.
상기 학습부는 상기 임베딩 벡터에 대해 합성곱 연산을 수행하여 특징점을 추출하고, 상기 추출된 특징점에 기초하여 상기 인공지능 모델을 학습시키는 것인, 침해 공격 탐지 장치.
According to claim 2,
Wherein the learning unit extracts feature points by performing a convolution operation on the embedding vector, and learns the artificial intelligence model based on the extracted feature points.
상기 인공지능 모델은 상기 추출된 특징점에 기초하여 학습된 트랜스포머 기반의 앙상블 모델에 기초하여 침해 공격을 탐지하는 제 1 모델 및 상기 페이로드의 토큰별로 어텐션 가중치를 도출하는 셀프 어텐션 모델에 기초하여 상기 침해 공격의 판별 근거를 분석하는 설명 가능한 인공지능 모델인 제 2 모델을 포함하는 것인, 침해 공격 탐지 장치.
According to claim 3,
The artificial intelligence model is based on a first model that detects an infringement attack based on a transformer-based ensemble model learned based on the extracted feature points and a self-attention model that derives an attention weight for each token of the payload. An intrusion attack detection device comprising a second model, which is an explainable artificial intelligence model that analyzes the basis for discrimination of an attack.
상기 학습부는 상기 도출된 어텐션 가중치에 기초하여 상기 페이로드의 토큰 중에서 위협 정보 토큰을 선정하는 것인, 침해 공격 탐지 장치.
According to claim 4,
Wherein the learning unit selects a threat information token from tokens of the payload based on the derived attention weight.
상기 학습부는 상기 위협 정보 토큰의 위치 정보 및 상기 위협 정보 토큰의 어텐션 가중치 값을 더 도출하는 것인, 침해 공격 탐지 장치.
According to claim 5,
Wherein the learning unit further derives location information of the threat information token and an attention weight value of the threat information token.
상기 학습부는 상기 위협 정보 토큰의 위치 정보 및 상기 위협 정보 토큰의 어텐션 가중치 값에 기초하여 상기 인공지능 모델의 탐지 규칙을 개선하는 것인, 침해 공격 탐지 장치.
According to claim 6,
wherein the learning unit improves a detection rule of the artificial intelligence model based on location information of the threat information token and an attention weight value of the threat information token.
상기 분석부는 상기 탐지된 침해 공격과 다른 침해 공격 간의 상관관계 및 인과관계 중 적어도 하나를 분석하는 것인, 침해 공격 탐지 장치.
According to claim 1,
Wherein the analysis unit analyzes at least one of a correlation and a causal relationship between the detected intrusion attack and other intrusion attacks.
상기 분석부는 연관 법칙 학습 기법에 기초하여 상기 탐지된 침해 공격과 동시간대에 발생한 다른 침해 공격 간의 상기 상관관계를 분석하는 것인, 침해 공격 탐지 장치.
According to claim 8,
Wherein the analysis unit analyzes the correlation between the detected intrusion attack and another intrusion attack occurring at the same time based on a correlation law learning technique.
상기 분석부는 시퀀스 추론 기법에 기초하여 상기 탐지된 침해 공격과 과거에 발생한 다른 침해 공격 간의 상기 인과관계를 분석하는 것인, 침해 공격 탐지 장치.
According to claim 8,
Wherein the analysis unit analyzes the causal relationship between the detected invasion attack and other invasion attacks that occurred in the past based on a sequence inference technique.
헤더 및 페이로드를 포함하는 패킷 데이터를 수집하는 단계;
상기 수집한 패킷 데이터의 헤더 및 페이로드를 토큰화하는 단계;
상기 토큰화된 헤더 및 페이로드를 임베딩하는 단계;
임베딩 결과에 기초하여 인공지능 모델을 학습시키는 단계;
상기 인공지능 모델을 이용하여 대상 네트워크에 대한 침해 공격을 탐지하는 단계; 및
상기 탐지된 침해 공격을 분석하는 단계
를 포함하는 것인, 침해 공격 탐지 방법.
A method for detecting an intrusion attack on a network,
Collecting packet data including header and payload;
Tokenizing headers and payloads of the collected packet data;
embedding the tokenized header and payload;
Learning an artificial intelligence model based on the embedding result;
detecting an intrusion attack on a target network using the artificial intelligence model; and
Analyzing the detected infringement attack
To include, intrusion attack detection method.
상기 토큰화된 헤더 및 페이로드의 임베딩 벡터를 도출하는 단계
를 더 포함하고,
상기 인공지능 모델을 학습시키는 단계는 상기 도출된 임베딩 벡터에 기초하여 상기 인공지능 모델을 학습시키는 것인, 침해 공격 탐지 방법.
According to claim 11,
Deriving an embedding vector of the tokenized header and payload
Including more,
Wherein the step of learning the artificial intelligence model is learning the artificial intelligence model based on the derived embedding vector.
상기 인공지능 모델을 학습시키는 단계는 상기 임베딩 벡터에 대해 합성곱 연산을 수행하여 특징점을 추출하고, 상기 추출된 특징점에 기초하여 상기 인공지능 모델을 학습시키는 것인, 침해 공격 탐지 방법.
According to claim 12,
In the step of learning the artificial intelligence model, a feature point is extracted by performing a convolution operation on the embedding vector, and the artificial intelligence model is trained based on the extracted feature point.
상기 인공지능 모델은 상기 추출된 특징점에 기초하여 학습된 트랜스포머 기반의 앙상블 모델에 기초하여 침해 공격을 탐지하는 제 1 모델 및 상기 페이로드의 토큰별로 어텐션 가중치를 도출하는 셀프 어텐션 모델에 기초하여 상기 침해 공격의 판별 근거를 분석하는 설명 가능한 인공지능 모델인 제 2 모델을 포함하는 것인, 침해 공격 탐지 방법.
According to claim 13,
The artificial intelligence model is based on a first model that detects an infringement attack based on a transformer-based ensemble model learned based on the extracted feature points and a self-attention model that derives an attention weight for each token of the payload. A method for detecting intrusion attacks, including a second model, which is an explainable artificial intelligence model that analyzes the discrimination basis of an attack.
상기 도출된 어텐션 가중치에 기초하여 상기 페이로드의 토큰 중에서 위협 정보 토큰을 선정하는 단계
를 더 포함하는 것인, 침해 공격 탐지 방법.
15. The method of claim 14,
Selecting a threat information token from tokens of the payload based on the derived attention weight
To further include, infringement attack detection method.
상기 위협 정보 토큰의 위치 정보 및 상기 위협 정보 토큰의 어텐션 가중치 값을 도출하는 단계
를 더 포함하는 것인, 침해 공격 탐지 방법.
According to claim 15,
Deriving location information of the threat information token and an attention weight value of the threat information token
To further include, infringement attack detection method.
상기 위협 정보 토큰의 위치 정보 및 상기 위협 정보 토큰의 어텐션 가중치 값에 기초하여 상기 인공지능 모델의 탐지 규칙을 개선하는 단계
를 더 포함하는 것인, 침해 공격 탐지 방법.
17. The method of claim 16,
Improving a detection rule of the artificial intelligence model based on location information of the threat information token and an attention weight value of the threat information token.
To further include, infringement attack detection method.
연관 법칙 학습 기법에 기초하여 상기 탐지된 침해 공격과 동시간대에 발생한 다른 침해 공격 간의 상관관계를 분석하는 단계
를 더 포함하는 것인, 침해 공격 탐지 방법.
According to claim 11,
Analyzing a correlation between the detected intrusion attack and other intrusion attacks occurring at the same time based on a correlation law learning technique
To further include, infringement attack detection method.
시퀀스 추론 기법에 기초하여 상기 탐지된 침해 공격과 과거에 발생한 다른 침해 공격 간의 인과관계를 분석하는 단계
를 더 포함하는 것인, 침해 공격 탐지 방법.
According to claim 11,
Analyzing a causal relationship between the detected intrusion attack and other intrusion attacks that occurred in the past based on a sequence reasoning technique
To further include, infringement attack detection method.
상기 컴퓨터 프로그램은 컴퓨팅 장치에 의해 실행될 경우,
헤더 및 페이로드를 포함하는 패킷 데이터를 수집하고,
상기 수집한 패킷 데이터의 헤더 및 페이로드를 토큰화하고,
상기 토큰화된 헤더 및 페이로드를 임베딩하고,
임베딩 결과에 기초하여 인공지능 모델을 학습시키고,
상기 인공지능 모델을 이용하여 대상 네트워크에 대한 침해 공격을 탐지하고,
상기 탐지된 침해 공격을 분석하도록 하는 명령어들의 시퀀스를 포함하는, 컴퓨터 판독가능 기록매체에 저장된 컴퓨터 프로그램.A computer program stored on a computer readable recording medium comprising a sequence of instructions for detecting an intrusion attack on a network,
When the computer program is executed by a computing device,
Collect packet data including header and payload;
Tokenize headers and payloads of the collected packet data;
Embedding the tokenized header and payload;
Train an artificial intelligence model based on the embedding result,
Detect an intrusion attack on the target network using the artificial intelligence model,
A computer program stored on a computer readable recording medium comprising a sequence of instructions for analyzing the detected compromise attack.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020210194486A KR102651655B1 (en) | 2021-12-31 | 2021-12-31 | Apparatus, method and computer program for detecting attack on network |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020210194486A KR102651655B1 (en) | 2021-12-31 | 2021-12-31 | Apparatus, method and computer program for detecting attack on network |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20230046182A true KR20230046182A (en) | 2023-04-05 |
KR102651655B1 KR102651655B1 (en) | 2024-03-29 |
Family
ID=85884310
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020210194486A KR102651655B1 (en) | 2021-12-31 | 2021-12-31 | Apparatus, method and computer program for detecting attack on network |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR102651655B1 (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117240598A (en) * | 2023-11-07 | 2023-12-15 | 国家工业信息安全发展研究中心 | Attack detection method, attack detection device, terminal equipment and storage medium |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20100073135A (en) * | 2008-12-22 | 2010-07-01 | 한국전자통신연구원 | Intrusion detection method and apparatus using application protocol inference |
KR20170046001A (en) * | 2015-10-20 | 2017-04-28 | 에스케이플래닛 주식회사 | System and method for improvement invasion detection |
KR101814368B1 (en) | 2017-07-27 | 2018-01-04 | 김재춘 | Information security network integrated management system using big data and artificial intelligence, and a method thereof |
KR102046789B1 (en) * | 2019-04-05 | 2019-11-20 | 호서대학교 산학협력단 | Deep-learning-based intrusion detection method, system and computer program for web applications |
-
2021
- 2021-12-31 KR KR1020210194486A patent/KR102651655B1/en active IP Right Grant
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20100073135A (en) * | 2008-12-22 | 2010-07-01 | 한국전자통신연구원 | Intrusion detection method and apparatus using application protocol inference |
KR20170046001A (en) * | 2015-10-20 | 2017-04-28 | 에스케이플래닛 주식회사 | System and method for improvement invasion detection |
KR101814368B1 (en) | 2017-07-27 | 2018-01-04 | 김재춘 | Information security network integrated management system using big data and artificial intelligence, and a method thereof |
KR102046789B1 (en) * | 2019-04-05 | 2019-11-20 | 호서대학교 산학협력단 | Deep-learning-based intrusion detection method, system and computer program for web applications |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117240598A (en) * | 2023-11-07 | 2023-12-15 | 国家工业信息安全发展研究中心 | Attack detection method, attack detection device, terminal equipment and storage medium |
CN117240598B (en) * | 2023-11-07 | 2024-02-20 | 国家工业信息安全发展研究中心 | Attack detection method, attack detection device, terminal equipment and storage medium |
Also Published As
Publication number | Publication date |
---|---|
KR102651655B1 (en) | 2024-03-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110233849B (en) | Method and system for analyzing network security situation | |
Zhang et al. | A multiple-layer representation learning model for network-based attack detection | |
CN112866023B (en) | Network detection method, model training method, device, equipment and storage medium | |
CN109450842A (en) | A kind of network malicious act recognition methods neural network based | |
Idrissi et al. | An unsupervised generative adversarial network based-host intrusion detection system for internet of things devices | |
Zhang et al. | Cross-site scripting (XSS) detection integrating evidences in multiple stages | |
CN113704328B (en) | User behavior big data mining method and system based on artificial intelligence | |
Gonaygunta | Machine learning algorithms for detection of cyber threats using logistic regression | |
Muslihi et al. | Detecting SQL injection on web application using deep learning techniques: a systematic literature review | |
CN117220920A (en) | Firewall policy management method based on artificial intelligence | |
Silva et al. | A statistical analysis of intrinsic bias of network security datasets for training machine learning mechanisms | |
KR102651655B1 (en) | Apparatus, method and computer program for detecting attack on network | |
Al-Shabi | Design of a network intrusion detection system using complex deep neuronal networks | |
CN114826681A (en) | DGA domain name detection method, system, medium, equipment and terminal | |
Sekar et al. | Prediction of distributed denial of service attacks in SDN using machine learning techniques | |
CN109918901A (en) | The method that real-time detection is attacked based on Cache | |
CN117240632A (en) | Attack detection method and system based on knowledge graph | |
CN116962047A (en) | Interpretable threat information generation method, system and device | |
CN116827656A (en) | Network information safety protection system and method thereof | |
Samadzadeh et al. | Evaluating Security Anomalies by Classifying Traffic Using a Multi-Layered Model | |
CN114169432A (en) | Cross-site scripting attack identification method based on deep learning | |
Said et al. | Attention-based CNN-BiLSTM deep learning approach for network intrusion detection system in software defined networks | |
Sundaram et al. | Improving Performance of Intrusion Detection Using ALO Selected Features and GRU Network | |
Jan et al. | Effective intrusion detection in IoT environment: deep learning approach | |
Ibrahim et al. | On the security of deep learning novelty detection |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
G15R | Request for early publication | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right |