KR20230080974A - A hybrid anomaly detection method combining signature-based and behavior-based anomaly detection methods - Google Patents

A hybrid anomaly detection method combining signature-based and behavior-based anomaly detection methods Download PDF

Info

Publication number
KR20230080974A
KR20230080974A KR1020210168598A KR20210168598A KR20230080974A KR 20230080974 A KR20230080974 A KR 20230080974A KR 1020210168598 A KR1020210168598 A KR 1020210168598A KR 20210168598 A KR20210168598 A KR 20210168598A KR 20230080974 A KR20230080974 A KR 20230080974A
Authority
KR
South Korea
Prior art keywords
anomaly detection
hybrid
operating system
data generated
data
Prior art date
Application number
KR1020210168598A
Other languages
Korean (ko)
Other versions
KR102595383B9 (en
KR102595383B1 (en
Inventor
이문규
권희용
Original Assignee
인하대학교 산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 인하대학교 산학협력단 filed Critical 인하대학교 산학협력단
Priority to KR1020210168598A priority Critical patent/KR102595383B1/en
Publication of KR20230080974A publication Critical patent/KR20230080974A/en
Application granted granted Critical
Publication of KR102595383B1 publication Critical patent/KR102595383B1/en
Publication of KR102595383B9 publication Critical patent/KR102595383B9/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Artificial Intelligence (AREA)
  • General Health & Medical Sciences (AREA)
  • Biomedical Technology (AREA)
  • Biophysics (AREA)
  • Computational Linguistics (AREA)
  • Data Mining & Analysis (AREA)
  • Evolutionary Computation (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Molecular Biology (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Software Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Testing And Monitoring For Control Systems (AREA)

Abstract

시그니처 기반 이상 탐지 방법과 행위 기반 이상 탐지 방법을 조합한 하이브리드 이상 탐지 방법이 개시된다. 일 실시예에 따른 컴퓨터로 구현되는 하이브리드 이상 탐지 시스템에 의해 수행되는 하이브리드 이상 탐지 방법은, 동작 중인 시스템에서 생성된 데이터를 시그니처 기반의 이상 탐지 모델 및 행위 기반의 이상 탐지 모델로 구성된 하이브리드 이상 탐지 모델에 입력받는 단계; 상기 하이브리드 이상 탐지 모델을 이용하여 상기 동작 중인 시스템에서 생성된 데이터로부터 이상 탐지를 수행하는 단계; 및 상기 동작 중인 시스템에서 생성된 데이터와 상기 이상 탐지를 수행함에 따라 획득된 결과를 서버로 전달하는 단계를 포함할 수 있다.A hybrid anomaly detection method combining a signature-based anomaly detection method and a behavior-based anomaly detection method is disclosed. A hybrid anomaly detection method performed by a computer-implemented hybrid anomaly detection system according to an embodiment includes a hybrid anomaly detection model composed of a signature-based anomaly detection model and a behavior-based anomaly detection model using data generated in an operating system. Receiving input to; performing anomaly detection from data generated in the operating system using the hybrid anomaly detection model; and transmitting data generated in the operating system and a result obtained by performing the anomaly detection to a server.

Description

시그니처 기반 이상 탐지 방법과 행위 기반 이상 탐지 방법을 조합한 하이브리드 이상 탐지 방법{A HYBRID ANOMALY DETECTION METHOD COMBINING SIGNATURE-BASED AND BEHAVIOR-BASED ANOMALY DETECTION METHODS}Hybrid anomaly detection method combining signature-based anomaly detection method and behavior-based anomaly detection method

아래의 설명은 이상 탐지 기술에 관한 것이다.The description below relates to anomaly detection techniques.

현대 사회에서는 과거에 물리적으로 제어되던 주거 시설, 차량, 공장, 사회 인프라 등의 대상들이 네트워크에 연결되고 있다. 다양한 기기들이 네트워크에 연결됨으로써 효율적으로 관리 및 통제가 가능하게 되었지만, 기존에는 불가능했던 네트워크를 통한 공격의 위협들이 생겨나게 되었다. 이는 개개인의 프라이버시를 위협하기도 하지만, 사회 인프라와 같이 특수 목적 시스템에 대한 공격은 공공의 비용적 손실과 생명의 위협을 초래할 수 있다.In modern society, objects such as residential facilities, vehicles, factories, and social infrastructure that were physically controlled in the past are being connected to networks. As various devices are connected to the network, it is possible to efficiently manage and control it, but the threat of attack through the network, which was impossible in the past, has arisen. Although this threatens individual privacy, attacks on special purpose systems such as social infrastructure can cause costly losses and life threatening to the public.

이러한 위협을 차단하기 위해 시스템으로 공격이 침투하기 전, 네트워크 단에서 공격을 차단하는 어플리케이션들이 제공되었으나 공격자는 제로 데이 공격과 같이 발견되지 않은 공격을 사용하여 시스템에 대한 공격을 수행할 수 있기 때문에 공격의 탐지 및 차단을 네트워크 보안 솔루션에만 의존할 수 없다. 이에 따라, 시스템의 현재 상태를 파악하여 시스템이 정상 동작을 하고 있는지 또는 공격에 따른 이상 동작을 하고 있는지 탐지하는 연구가 진행되었다.In order to block these threats, applications that block attacks at the network level have been provided before the attack penetrates the system, but attackers can attack the system using undetected attacks such as zero-day attacks. detection and blocking cannot be relied solely on network security solutions. Accordingly, research has been conducted to detect whether the system is operating normally or abnormally due to an attack by grasping the current state of the system.

이와 같은 이상 동작 탐지 방법은 일반적으로 시그니처 기반 탐지 방법 (Signature-based anomaly detection)과 행위 기반 탐지 방법(Behavior-based anomaly detection)으로 분류된다. 시그니처 기반 탐지 방법은 알려진 공격 또는 정상 동작의 특징을 분석하여 이를 바탕으로 입력 데이터가 정상인지 이상 동작을 하고 있는지 판단한다. 행위 기반 탐지 방법은 정상 또는 비정상 동작의 행위를 분석하여 입력 데이터의 이상 동작 여부를 판단하는 방법이다.Such an anomaly detection method is generally classified into a signature-based anomaly detection method and a behavior-based anomaly detection method. The signature-based detection method analyzes the characteristics of a known attack or normal operation, and based on this, determines whether the input data is normal or abnormal. Behavior-based detection method is a method of determining whether an abnormal operation of input data is performed by analyzing a behavior of normal or abnormal operation.

일반적인 시스템은 대부분의 동작이 정상 동작이기 때문에, 정상 데이터의 양과 비교하여 이상 데이터의 양은 매우 적다. 따라서 이상 동작 탐지 연구들은 정상 데이터 또는 그 행위로부터 특징을 추출하여 이에 기반하여 이상 동작을 탐지하는 쪽으로 수행되었다.Since most operations in a general system are normal operations, the amount of abnormal data is very small compared to the amount of normal data. Therefore, abnormal behavior detection studies have been conducted toward detecting abnormal behavior based on feature extraction from normal data or its behavior.

시그니처 기반의 이상 탐지 방법과 행위 기반의 이상 탐지 방법을 직렬 연결하여 이상 동작 탐지 성능을 높이는, 하이브리드 이상 동작 탐지 방법 및 시스템을 제공할 수 있다.It is possible to provide a hybrid anomaly detection method and system that enhances anomaly detection performance by connecting a signature-based anomaly detection method and a behavior-based anomaly detection method in series.

사이버 공격으로 인한 이상 동작을 탐지하기 위해 통계적 필터링 기법과 오토인코더를 적용한 하이브리드 이상 탐지 방법 및 시스템을 제공할 수 있다. In order to detect abnormal behavior due to cyber attacks, a hybrid anomaly detection method and system applying statistical filtering techniques and autoencoders can be provided.

컴퓨터로 구현되는 하이브리드 이상 탐지 시스템에 의해 수행되는 하이브리드 이상 탐지 방법은, 동작 중인 시스템에서 생성된 데이터를 시그니처 기반의 이상 탐지 모델 및 행위 기반의 이상 탐지 모델로 구성된 하이브리드 이상 탐지 모델에 입력받는 단계; 상기 하이브리드 이상 탐지 모델을 이용하여 상기 동작 중인 시스템에서 생성된 데이터로부터 이상 탐지를 수행하는 단계; 및 상기 동작 중인 시스템에서 생성된 데이터와 상기 이상 탐지를 수행함에 따라 획득된 결과를 서버로 전달하는 단계를 포함할 수 있다.A hybrid anomaly detection method performed by a computer-implemented hybrid anomaly detection system includes receiving data generated from a system in operation into a hybrid anomaly detection model composed of a signature-based anomaly detection model and a behavior-based anomaly detection model; performing anomaly detection from data generated in the operating system using the hybrid anomaly detection model; and transmitting data generated in the operating system and a result obtained by performing the anomaly detection to a server.

상기 입력받는 단계는, 게이트웨이에서 현재 동작 중인 시스템에서 생성된 데이터를 전달받음에 따라 이상 탐지 과정을 시작하는 단계를 포함할 수 있다.The receiving of the input may include starting an anomaly detection process when the gateway receives data generated in a currently operating system.

상기 이상 탐지를 수행하는 단계는, 상기 동작 중인 시스템에서 생성된 데이터가 상기 하이브리드 이상 탐지 모델에 구성된 시그니처 기반의 이상 탐지 모델에 입력됨에 따라 시그니처 기반의 이상 탐지 동작을 수행하는 단계를 포함할 수 있다.The performing of the anomaly detection may include performing a signature-based anomaly detection operation as data generated by the operating system is input to a signature-based anomaly detection model configured in the hybrid anomaly detection model. .

상기 이상 탐지를 수행하는 단계는, 상기 시그니처 기반의 이상 탐지 모델을 이용하여 상기 동작 중인 시스템에서 생성된 데이터를 필터링 기준에 따라 정상 동작 또는 이상 동작으로 분류하는 단계를 포함할 수 있다. The performing of the anomaly detection may include classifying data generated by the operating system into a normal operation or an abnormal operation according to a filtering criterion using the signature-based anomaly detection model.

상기 이상 탐지를 수행하는 단계는, 상기 동작 중인 시스템에서 생성된 데이터가 상기 시그니처 기반의 이상 탐지 모델에 의해 이상 동작으로 분류될 경우, 이상 탐지 과정을 종료하고, 상기 동작 중인 시스템에서 생성된 데이터가 상기 시그니처 기반의 이상 탐지 모델에 의해 정상 동작으로 분류될 경우, 상기 동작 중인 시스템에서 생성된 데이터를 행위 기반 이상 탐지 모델로 전달하는 단계를 포함할 수 있다.The performing of the anomaly detection may include, when the data generated by the operating system is classified as an abnormal operation by the signature-based anomaly detection model, the anomaly detection process is terminated, and the data generated by the operating system The method may include forwarding data generated in the operating system to a behavior-based anomaly detection model when it is classified as a normal operation by the signature-based anomaly detection model.

상기 이상 탐지를 수행하는 단계는, 상기 동작 중인 시스템에서 생성된 데이터가 상기 하이브리드 이상 탐지 모델에 구성된 행위 기반 이상 탐지 모델에 입력됨에 따라 행위 기반의 이상 탐지 동작을 수행하는 단계를 포함할 수 있다.The performing of the anomaly detection may include performing a behavior-based anomaly detection operation as data generated by the operating system is input to a behavior-based anomaly detection model configured in the hybrid anomaly detection model.

상기 이상 탐지를 수행하는 단계는, 상기 동작 중인 시스템에서 생성된 데이터를 상기 행위 기반의 이상 탐지 모델을 이용하여 정상 동작 또는 이상 동작으로 분류하는 단계를 포함할 수 있다.The performing of the anomaly detection may include classifying data generated by the operating system into a normal operation or an abnormal operation by using the behavior-based anomaly detection model.

상기 이상 탐지를 수행하는 단계는, 시그니처 기반의 이상 탐지 모델을 통해 정상 동작으로 분류된 데이터에 대하여 오토인코더를 통해 인코딩 및 디코딩하여 출력된 새로운 입력 데이터를 획득하고, 상기 정상 동작으로 분류된 데이터와 상기 획득된 새로운 입력 데이터의 차이 정보를 계산하는 단계를 포함할 수 있다.The step of performing the anomaly detection may include obtaining new input data output by encoding and decoding through an autoencoder for data classified as normal operation through a signature-based anomaly detection model, and calculating difference information of the acquired new input data.

상기 이상 탐지를 수행하는 단계는, 상기 계산된 차이 정보를 정상 동작과 이상 동작을 분류하기 위한 임계값과 비교하여 상기 정상 동작으로 분류된 데이터의 최종 이상 여부를 판단하는 단계를 포함할 수 있다.The performing of the anomaly detection may include comparing the calculated difference information with a threshold value for classifying the normal operation and the abnormal operation to determine whether the data classified as the normal operation is finally abnormal.

상기 전달하는 단계는, 상기 동작 중인 시스템에서 생성된 데이터와 상기 이상 탐지를 수행하는 단계에서 판단된 이상 탐지 결과가 서버로 전달될 수 있다.In the transmitting, data generated by the operating system and an anomaly detection result determined in the anomaly detection may be transmitted to the server.

컴퓨터로 구현되는 하이브리드 이상 탐지 시스템은, 동작 중인 시스템에서 생성된 데이터를 시그니처 기반의 이상 탐지 모델 및 행위 기반의 이상 탐지 모델로 구성된 하이브리드 이상 탐지 모델에 입력받는 데이터 입력부; 상기 하이브리드 이상 탐지 모델을 이용하여 상기 동작 중인 시스템에서 생성된 데이터로부터 이상 탐지를 수행하는 이상 탐지 수행부; 및 상기 동작 중인 시스템에서 생성된 데이터와 상기 이상 탐지를 수행함에 따라 획득된 결과를 서버로 전달하는 결과 전달부를 포함할 수 있다. A hybrid anomaly detection system implemented by a computer includes a data input unit that receives data generated from an operating system into a hybrid anomaly detection model composed of a signature-based anomaly detection model and a behavior-based anomaly detection model; an anomaly detection unit configured to perform anomaly detection from data generated in the operating system using the hybrid anomaly detection model; and a result transfer unit for transferring data generated by the operating system and a result obtained by performing the abnormality detection to a server.

시그니처 기반 이상 탐지 방법과 행위 기반 이상 탐지 방법을 직렬 연결하여 사용함으로써, 이상 동작 탐지의 성능을 높일 수 있다. 즉, 단독으로 시그니처 또는 행위 기반 이상 탐지를 사용하는 경우 탐지하지 못하는 이상 동작을 서로 상호 보완하여 탐지할 수 있다. 이를 통해 이상 동작의 미탐을 줄임으로써, 시스템 동작의 안전성 및 신뢰도를 향상시킬 수 있다.By using the signature-based anomaly detection method and the behavior-based anomaly detection method in series, the performance of anomaly detection can be improved. That is, when signature or behavior-based anomaly detection is used alone, anomalies that cannot be detected can be mutually supplemented and detected. Through this, it is possible to improve the safety and reliability of system operation by reducing undetected abnormal operation.

도 1은 일 실시예에 따른 하이브리드 이상 탐지 시스템에서 하이브리드 이상 탐지 동작을 설명하기 위한 도면이다.
도 2는 일 실시예에 있어서, 하이브리드 이상 탐지 모델을 이용하여 하이브리드 이상 탐지 동작을 설명하기 위한 도면이다.
도 3은 일 실시예에 따른 하이브리드 이상 탐지 시스템의 구성을 설명하기 위한 블록도이다.
도 4는 일 실시예에 따른 하이브리드 이상 탐지 시스템에 의해 수행되는 하이브리드 이상 탐지 방법을 설명하기 위한 흐름도이다.1 is a diagram for explaining a hybrid anomaly detection operation in a hybrid anomaly detection system according to an exemplary embodiment.
2 is a diagram for explaining a hybrid anomaly detection operation using a hybrid anomaly detection model according to an embodiment.
3 is a block diagram illustrating a configuration of a hybrid anomaly detection system according to an exemplary embodiment.
4 is a flowchart illustrating a hybrid anomaly detection method performed by a hybrid anomaly detection system according to an exemplary embodiment.

이하, 실시예를 첨부한 도면을 참조하여 상세히 설명한다.Hereinafter, an embodiment will be described in detail with reference to the accompanying drawings.

도 1은 일 실시예에 따른 하이브리드 이상 탐지 시스템에서 하이브리드 이상 탐지 동작을 설명하기 위한 도면이다. 1 is a diagram for explaining a hybrid anomaly detection operation in a hybrid anomaly detection system according to an exemplary embodiment.

하이브리드 이상 탐지 시스템(100)은 컴퓨터로 구현되는 것으로서, 게이트웨이(101)에서 하이브리드 이상 탐지 알고리즘에 기초하여 동작되는 것일 수 있다. 이때, 하이브리드 이상 탐지 시스템(100)은 하이브리드 이상 탐지 알고리즘에 기초하여 이상 탐지를 수행할 수 있다. 예를 들면, 하이브리드 이상 탐지 시스템(100)은 게이트웨이(101)에서 플랫폼 또는 프로그램 형태로 구동될 수 있다.The hybrid anomaly detection system 100 is implemented by a computer and may be operated based on a hybrid anomaly detection algorithm in the gateway 101 . In this case, the hybrid anomaly detection system 100 may perform anomaly detection based on a hybrid anomaly detection algorithm. For example, the hybrid anomaly detection system 100 may be operated in the form of a platform or program in the gateway 101 .

게이트웨이(101)란 복수의 컴퓨터와 근거리 통신망 등을 상호 접속할 때 컴퓨터와 공중 통신망, LAN과 공중 통신망 등을 접속하는 장치를 가리킨다. 실시예에서는 게이트웨이(101)를 예를 들어 설명하나, 게이트웨이(101) 이외에도 라우터 등 데이터의 송수신을 가능하게 하는 네트워크 장비이면 적용이 가능하다. The gateway 101 refers to a device that connects a computer and a public communication network or a LAN and a public communication network when interconnecting a plurality of computers and a local area network. In the embodiment, the gateway 101 is described as an example, but other than the gateway 101, any network equipment capable of transmitting and receiving data, such as a router, can be applied.

시스템(102)에서 발생 또는 생성된 데이터가 게이트웨이(101)를 거쳐 데이터를 관리하기 위한 서버(103)로 전달될 수 있다. 예를 들면, 시스템은 게이트에웨이에 연결되어 있는 동작 중인 시스템을 의미할 수 있으며, 게이트웨이에 연결된 시스템들 중 공격자(104)에 의해 공격당하는 희생 시스템에 해당될 수 있다. 이때, 외부에 위치한 공격자(104)는 게이트웨이(101)를 통해 시스템을 공격하여 이상 동작을 발생시키려고 시도할 수 있다. 그리고 발생한 이상 동작에 의해 생성된 데이터는 게이트웨이(101)를 거치게 된다. 하이브리드 이상 탐지 시스템(100)은 하이브리드 이상 탐지 알고리즘에 기초하여 게이트웨이(101)를 거치는 이상 동작에 의해 생성된 데이터를 관찰하고, 관찰을 통해 현재 시스템이 이상 동작을 하고 있는지 판단할 수 있다.Data generated or generated in the system 102 may be transmitted to the server 103 for managing the data via the gateway 101 . For example, the system may refer to an operating system connected to the gateway, and may correspond to a victim system attacked by the attacker 104 among systems connected to the gateway. At this time, an external attacker 104 may attempt to cause an abnormal operation by attacking the system through the gateway 101 . Data generated by the abnormal operation passes through the gateway 101 . The hybrid anomaly detection system 100 observes data generated by the anomaly operation passing through the gateway 101 based on the hybrid anomaly detection algorithm, and determines whether the current system is operating anomaly through the observation.

하이브리드 이상 탐지 시스템(100)은 이상 동작 탐지를 수행하기 위해 다음의 과정이 선제적으로 수행될 수 있다. 하이브리드 이상 탐지 시스템(100)은 타겟 시스템의 정상 동작 과정에서 생성된 시계열 데이터 D를 수집할 수 있다. 이때, 수집되는 시계열 데이터 D는 정상 동작 과정에서 생성되는 시계열 데이터(이하, '정상 동작 데이터'로 기재하기로 함.)로써 다수의 속성을 포함할 수 있다. 일례로, 시스템의 데이터 획득 주기가 1초일 때, 단위 데이터가 n개의 데이터 속성을 가지며 w초 동안 수집된 데이터(정상 동작 데이터) D는 다음과 같이 표현될 수 있다.The hybrid anomaly detection system 100 may preemptively perform the following process in order to detect anomalies. The hybrid anomaly detection system 100 may collect time-series data D generated during normal operation of the target system. At this time, the collected time-series data D is time-series data generated during normal operation (hereinafter referred to as 'normal operation data') and may include a plurality of attributes. For example, when the data acquisition period of the system is 1 second, unit data has n data attributes and data (normal operating data) D collected for w seconds can be expressed as follows.

Figure pat00001
Figure pat00001

하이브리드 이상 탐지 시스템(100)은 정상 동작 데이터 D에 대해 통계적 분석을 수행하여, 시그니처 기반 이상 동작 탐지를 위한 정상 동작 데이터의 특징을 계산할 수 있다. 하이브리드 이상 탐지 시스템(100)은 시그니처 기반 이상 탐지 방법에서 사용될 필터링 기준을 설정하기 위해 정상 동작 데이터 D를 이용하여 평균, 표준편차, 최댓값, 최솟값 등과 같은 통계적 분석을 수행할 수 있다. 예를 들어, 하이브리드 이상 탐지 시스템(100)은 n(n은 자연수)개의 모든 속성값들에 대해 w(w는 자연수)초 동안 수집된 값의 표준편차인

Figure pat00002
를 계산할 수 있다(j=1,...,n). 그리고 w초 동안 연속된 정상 동작 데이터들의 표준편차의 하한과 상한인
Figure pat00003
Figure pat00004
를 계산하고, 계산된 표준편차를 필터링 기준으로 설정할 수 있다. The hybrid anomaly detection system 100 may perform statistical analysis on the normal motion data D to calculate characteristics of the normal motion data for signature-based abnormal motion detection. The hybrid anomaly detection system 100 may perform statistical analysis such as mean, standard deviation, maximum value, minimum value, etc. using normal operation data D to set filtering criteria to be used in the signature-based anomaly detection method. For example, the hybrid anomaly detection system 100 calculates the standard deviation of values collected for w (w is a natural number) seconds for all n (n is a natural number) attribute values.
Figure pat00002
can be calculated (j=1,...,n). And the lower and upper limits of the standard deviation of continuous normal operating data for w seconds.
Figure pat00003
and
Figure pat00004
, and the calculated standard deviation can be set as a filtering criterion.

하이브리드 이상 탐지 시스템(100)은 정상 동작 데이터 D를 사용하여, 행위 기반 이상 동작 탐지를 위한 정상 동작 행위의 특징을 추출할 수 있다. 하이브리드 이상 탐지 시스템(100)은 정상 동작 데이터로부터 행위 기반 이상 탐지 방법에 사용되는 정상 동작 행위의 특징을 추출하여 정상 동작과 이상 동작을 잘 분류하는 판단 기준과 임계값(Threshold)을 설정할 수 있다. 일례로, 행위 기반 탐지 방법에는 비지도 심층 학습 방법인 오토인코더(Autoencoder)가 사용될 수 있다. 오토인코더는 정상 동작 데이터를 심층 학습의 입력으로 제공하고, 출력으로 입력 데이터를 다시 복원하는 모델을 학습한다. 이후, 입력 데이터와 출력 데이터의 차이를 판단 기준으로 사용하여, 정상 데이터와 이상 데이터의 차이가 작은 경우 정상, 차이가 큰 경우 이상 동작으로 분류하는 임계값 θ를 설정한다.The hybrid anomaly detection system 100 may extract characteristics of a normal operating behavior for behavior-based abnormal behavior detection using the normal operating data D. The hybrid anomaly detection system 100 may set a criterion and a threshold to properly classify a normal operation from an abnormal operation by extracting characteristics of a normal operation behavior used in a behavior-based anomaly detection method from normal operation data. As an example, an autoencoder, which is an unsupervised deep learning method, may be used in an action-based detection method. An autoencoder provides normal operating data as input to deep learning, and learns a model that reconstructs the input data as output. Thereafter, using the difference between the input data and the output data as a criterion for judgment, a threshold value θ is set to classify the operation as normal when the difference between normal data and abnormal data is small and abnormal when the difference is large.

도 2를 참고하면, 하이브리드 이상 탐지 모델을 이용하여 하이브리드 이상 탐지 동작을 설명하기 위한 도면이다. 하이브리드 이상 탐지 시스템은 하이브리드 이상 탐지 알고리즘 기반의 하이브리드 이상 탐지 모델(200)을 구성할 수 있다. 하이브리드 이상 탐지 모델(200)은 시그니처 기반의 이상 탐지 모델(210) 및 행위 기반의 이상 탐지 모델(220)로 구성될 수 있다.Referring to FIG. 2 , it is a diagram for explaining a hybrid anomaly detection operation using a hybrid anomaly detection model. The hybrid anomaly detection system may configure a hybrid anomaly detection model 200 based on a hybrid anomaly detection algorithm. The hybrid anomaly detection model 200 may include a signature-based anomaly detection model 210 and a behavior-based anomaly detection model 220 .

게이트웨이에 위치한 하이브리드 시스템에서 하이브리드 이상 탐지 방법은 다음과 같은 순서로 수행될 수 있다. In the hybrid system located in the gateway, the hybrid anomaly detection method may be performed in the following order.

게이트웨이가 현재 동작하는 시스템에서 생성된 데이터를 전달받음에 따라 이상 탐지 과정이 시작될 수 있다. 예를 들면, 현재 동작하는 시스템이란 게이트웨이에 연결되어 동작 중인 시스템을 의미할 수 있다. 전달받은 데이터가 시그니처 기반의 이상 탐지 모델(210)에 입력될 수 있고, 시그니처 기반의 이상 탐지 모델에서 입력받은 데이터에 대한 필터링 과정이 수행될 수 있다. 이때, 시그니처 기반의 이상 탐지 모델(210)에서 입력받은 데이터가 필터링 기준에 따라 정상 동작 또는 이상 동작으로 분류될 수 있다. 시그니처 기반의 이상 탐지 모델(210)에서 입력받은 데이터가 이상 동작으로 분류된 경우, 이상 탐지 과정이 종료될 수 있고, 입력받은 데이터가 잠재적으로 정상 동작으로 분류된 경우, 행위 기반 이상 탐지 모델(220)로 입력받은 데이터(즉, 정상 동작으로 분류된 데이터)가 전달될 수 있다. As the gateway receives the data generated by the currently operating system, an anomaly detection process may begin. For example, the currently operating system may refer to a system that is connected to the gateway and is operating. The received data may be input to the signature-based anomaly detection model 210, and a filtering process may be performed on the data input from the signature-based anomaly detection model. In this case, data received from the signature-based anomaly detection model 210 may be classified as a normal operation or an abnormal operation according to a filtering criterion. When the input data in the signature-based anomaly detection model 210 is classified as an abnormal operation, the anomaly detection process may be terminated, and when the input data is classified as a potentially normal operation, the behavior-based anomaly detection model 220 ) (that is, data classified as normal operation) may be transmitted.

상세하게는, 시그니처 기반의 이상 탐지 모델(210)에서 입력받은 데이터는 필터링을 위해 설정된 기준에 따라 이상 여부가 판단될 수 있다. 일례로, 정상 여부 판정 대상인 입력받은 데이터(이하, '입력 데이터'로 기재하기로 함.) D'를 다음과 같이 가정하기로 한다. In detail, data received from the signature-based anomaly detection model 210 may be determined to be abnormal according to criteria set for filtering. As an example, it is assumed that input data (hereinafter referred to as 'input data') D' , which is a target for determining normality, is as follows.

Figure pat00005
Figure pat00005

필터링 기준으로 표준편차의 하한과 상한이 설정된 경우, 입력 데이터 D'의 n개의 속성값에 대한 표준편차

Figure pat00006
가 계산된 후,
Figure pat00007
의 값의 범위에 따라 정상 여부를 반환하는 술어논리(predicate)
Figure pat00008
가 계산될 수 있다. 즉
Figure pat00009
는 다음과 같다.Standard deviation for n attribute values of the input data D' when the lower and upper limits of the standard deviation are set as the filtering criteria
Figure pat00006
After is calculated,
Figure pat00007
Predicate logic that returns normality according to the range of values of
Figure pat00008
can be calculated. in other words
Figure pat00009
is as follows

Figure pat00010
Figure pat00010

다음으로 계산된

Figure pat00011
에 대하여
Figure pat00012
인 경우, 즉, n개의 속성 모두가 정상 범위인 경우, 입력 데이터 D'이 정상 동작으로 분류되고, 그렇지 않은 경우 이상 동작으로 분류될 수 있다. 이상 동작으로 분류된 경우, 이상 탐지 과정은 종료되고, 잠재적 정상 동작으로 분류된 경우, 미탐을 방지하기 위해 입력 데이터 D'에 대해 행위 기반 이상 탐지가 추가로 수행될 수 있다. calculated as
Figure pat00011
about
Figure pat00012
, that is, when all of the n attributes are in the normal range, the input data D' is classified as a normal operation, and otherwise classified as an abnormal operation. When the operation is classified as an abnormal operation, the anomaly detection process is terminated, and when the operation is classified as a potentially normal operation, behavior-based anomaly detection may be additionally performed on the input data D' to prevent detection.

시그니처 기반의 이상 탐지 모델(210)에서 전달된 데이터가 행위 기반의 이상 탐지 모델(220)에 입력됨에 따라 이상 탐지 과정이 수행될 수 있다. 입력된 데이터가 행위 기반의 이상 탐지 모델(220)의 행위 기반 이상 탐지 알고리즘의 입력으로 전달될 수 있다. 행위 기반의 이상 탐지 알고리즘에 따라 입력된 데이터가 정상 동작 또는 이상 동작으로 분류될 수 있다. As the data transferred from the signature-based anomaly detection model 210 is input to the behavior-based anomaly detection model 220, an anomaly detection process may be performed. The input data may be transferred as an input to a behavior-based anomaly detection algorithm of the behavior-based anomaly detection model 220 . According to the behavior-based anomaly detection algorithm, input data may be classified as a normal operation or an abnormal operation.

상세하게는, 잠재적 정상으로 분류된 데이터(정상 동작으로 분류된 데이터)가 행위 기반의 이상 탐지 모델(220)에 입력되어 행위 기반 이상 탐지가 수행될 수 있다. 예를 들면, 상기 기술된 비지도 심층 학습 방법 중 하나인 오토인코더가 행위 기반 이상 탐지를 위해 사용될 수 있다. 이상 탐지를 위해 입력 데이터 D'이 오토인코더에 입력되면, 오토인코더는 입력 데이터 D'을 인코딩 및 디코딩하여 새로운 입력 데이터 D''을 출력하며, D'D''의 차이를 계산한다. 예를 들어, 평균 제곱 오차(Mean Squared Error; MSE)가 두 데이터의 차이(

Figure pat00013
)를 계산하기 위해 사용될 수 있다. 다음으로 행위 기반 이상 탐지 알고리즘에 의해 계산된 거리(Distance)는 정상 동작과 이상 동작을 분류하기 위한 임계값 θ와 비교되어 입력 데이터 D'의 최종 이상 여부 R이 다음과 같이 판단될 수 있다.In detail, data classified as potentially normal (data classified as normal operation) may be input to the behavior-based anomaly detection model 220 to perform behavior-based anomaly detection. For example, an autoencoder, which is one of the above-described unsupervised deep learning methods, may be used for behavior-based anomaly detection. When input data D' is input to the autoencoder for anomaly detection, the autoencoder encodes and decodes the input data D ' to output new input data D'' , and calculates the difference between D' and D'' . For example, the mean squared error (MSE) is the difference between the two data (
Figure pat00013
) can be used to calculate Next, the distance calculated by the behavior-based anomaly detection algorithm is compared with a threshold value θ for classifying normal and abnormal operations, and final abnormality R of the input data D' can be determined as follows.

Figure pat00014
Figure pat00014

이러한 이상 탐지 과정이 수행됨에 따라 이상 탐지 과정이 종료될 수 있다. 데이터 및 이상 탐지 결과가 서버로 전달될 수 있다. 입력 데이터 D'과 시그니처 기반의 이상 탐지 동작과 행위 기반의 이상 탐지 동작을 통해 정상 동작인지 이상 동작인지 분류된 결과가 서버로 전달되며, 하이브리드 이상 탐지 과정은 종료된다. As this abnormality detection process is performed, the abnormality detection process may end. Data and anomaly detection results may be delivered to the server. Through the input data D' , signature-based anomaly detection operation, and behavior-based anomaly detection operation, the result classified as normal or abnormal operation is delivered to the server, and the hybrid anomaly detection process is terminated.

도 3은 일 실시예에 따른 하이브리드 이상 탐지 시스템의 구성을 설명하기 위한 블록도이고, 도 4는 일 실시예에 따른 하이브리드 이상 탐지 시스템에 의해 수행되는 하이브리드 이상 탐지 방법을 설명하기 위한 흐름도이다.3 is a block diagram illustrating a configuration of a hybrid anomaly detection system according to an embodiment, and FIG. 4 is a flowchart illustrating a hybrid anomaly detection method performed by the hybrid anomaly detection system according to an embodiment.

하이브리드 이상 탐지 시스템(100)의 프로세서는 데이터 입력부(310), 이상 탐지 수행부(320) 및 결과 전달부(330)를 포함할 수 있다. 이러한 프로세서의 구성요소들은 하이브리드 이상 탐지 시스템에 저장된 프로그램 코드가 제공하는 제어 명령에 따라 프로세서에 의해 수행되는 서로 다른 기능들(different functions)의 표현들일 수 있다. 프로세서 및 프로세서의 구성요소들은 도 4의 하이브리드 이상 탐지 방법이 포함하는 단계들(410 내지 430)을 수행하도록 하이브리드 이상 탐지 시스템을 제어할 수 있다. 이때, 프로세서 및 프로세서의 구성요소들은 메모리가 포함하는 운영체제의 코드와 적어도 하나의 프로그램의 코드에 따른 명령(instruction)을 실행하도록 구현될 수 있다. The processor of the hybrid anomaly detection system 100 may include a data input unit 310 , an anomaly detection execution unit 320 and a result delivery unit 330 . Components of the processor may represent different functions performed by the processor according to control instructions provided by program codes stored in the hybrid anomaly detection system. The processor and components of the processor may control the hybrid anomaly detection system to perform steps 410 to 430 included in the hybrid anomaly detection method of FIG. 4 . In this case, the processor and components of the processor may be implemented to execute instructions according to the code of an operating system included in the memory and the code of at least one program.

프로세서는 하이브리드 이상 탐지 방법을 위한 프로그램의 파일에 저장된 프로그램 코드를 메모리에 로딩할 수 있다. 예를 들면, 하이브리드 이상 탐지 시스템에서 프로그램이 실행되면, 프로세서는 운영체제의 제어에 따라 프로그램의 파일로부터 프로그램 코드를 메모리에 로딩하도록 하이브리드 이상 탐지 시스템을 제어할 수 있다. 이때, 데이터 입력부(310), 이상 탐지 수행부(320) 및 결과 전달부(330) 각각은 메모리에 로딩된 프로그램 코드 중 대응하는 부분의 명령을 실행하여 이후 단계들(410 내지 430)을 실행하기 위한 프로세서의 서로 다른 기능적 표현들일 수 있다.The processor may load the program code stored in the file of the program for the hybrid anomaly detection method into the memory. For example, when a program is executed in the hybrid anomaly detection system, the processor may control the hybrid anomaly detection system to load a program code from a file of the program into a memory under the control of an operating system. At this time, the data input unit 310, the anomaly detection unit 320, and the result delivery unit 330 each execute a command of a corresponding part of the program code loaded into the memory to execute subsequent steps 410 to 430. There may be different functional representations of the processor for

단계(410)에서 데이터 입력부(310)는 동작 중인 시스템에서 생성된 데이터를 시그니처 기반의 이상 탐지 모델 및 행위 기반의 이상 탐지 모델로 구성된 하이브리드 이상 탐지 모델에 입력받을 수 있다. 데이터 입력부(310)는 게이트웨이에서 현재 동작 중인 시스템에서 생성된 데이터를 전달받음에 따라 이상 탐지 과정을 시작할 수 있다. In step 410, the data input unit 310 may receive data generated by the operating system into a hybrid anomaly detection model composed of a signature-based anomaly detection model and a behavior-based anomaly detection model. The data input unit 310 may start an anomaly detection process as the gateway receives data generated by the currently operating system.

단계(420)에서 이상 탐지 수행부(320)는 하이브리드 이상 탐지 모델을 이용하여 동작 중인 시스템에서 생성된 데이터로부터 이상 탐지를 수행할 수 있다. 이상 탐지 수행부(320)는 동작 중인 시스템에서 생성된 데이터가 하이브리드 이상 탐지 모델에 구성된 시그니처 기반의 이상 탐지 모델에 입력됨에 따라 시그니처 기반의 이상 탐지 동작을 수행할 수 있다. 이상 탐지 수행부(320)는 시그니처 기반의 이상 탐지 모델을 이용하여 동작 중인 시스템에서 생성된 데이터를 필터링 기준에 따라 정상 동작 또는 이상 동작으로 분류할 수 있다. 이상 탐지 수행부(320)는 동작 중인 시스템에서 생성된 데이터가 이상 동작으로 분류될 경우, 이상 탐지 과정을 종료하고, 동작 중인 시스템에서 생성된 데이터가 정상 동작으로 분류될 경우, 동작 중인 시스템에서 생성된 데이터를 행위 기반 이상 탐지 모델로 전달할 수 있다. 이상 탐지 수행부(320)는 동작 중인 시스템에서 생성된 데이터가 하이브리드 이상 탐지 모델에 구성된 행위 기반 이상 탐지 모델에 입력됨에 따라 행위 기반의 이상 탐지 동작을 수행할 수 있다. 이상 탐지 수행부(320)는 동작 중인 시스템에서 생성된 데이터를 행위 기반의 이상 탐지 모델을 이용하여 정상 동작 또는 이상 동작으로 분류할 수 있다. 이상 탐지 수행부(320)는 시그니처 기반의 이상 탐지 모델을 통해 정상 동작으로 분류된 데이터에 대하여 오토인코더를 통해 인코딩 및 디코딩하여 출력된 새로운 입력 데이터를 획득하고, 정상 동작으로 분류된 데이터와 상기 획득된 새로운 입력 데이터의 차이 정보를 계산할 수 있다. 이상 탐지 수행부(320)는 계산된 차이 정보를 정상 동작과 이상 동작을 분류하기 위한 임계값과 비교하여 정상 동작으로 분류된 데이터의 최종 이상 여부를 판단할 수 있다.In step 420, the anomaly detection unit 320 may perform anomaly detection from data generated in the operating system using a hybrid anomaly detection model. The anomaly detection unit 320 may perform a signature-based anomaly detection operation as data generated by the operating system is input to the signature-based anomaly detection model configured in the hybrid anomaly detection model. The anomaly detection unit 320 may classify data generated in the operating system into normal operation or abnormal operation according to filtering criteria using a signature-based anomaly detection model. The anomaly detection unit 320 terminates the anomaly detection process when the data generated by the operating system is classified as an abnormal operation, and when the data generated by the operating system is classified as a normal operation, the abnormal operation is generated by the operating system. The collected data can be passed to a behavior-based anomaly detection model. The anomaly detection unit 320 may perform behavior-based anomaly detection as data generated by the operating system is input to the behavior-based anomaly detection model configured in the hybrid anomaly detection model. The anomaly detection unit 320 may classify data generated by the operating system into normal operation or abnormal operation using a behavior-based anomaly detection model. The anomaly detection unit 320 obtains new input data that is output by encoding and decoding data classified as normal operation through an autoencoder through a signature-based anomaly detection model, and acquires data classified as normal operation and the obtained data. The difference information of the new input data can be calculated. The anomaly detection unit 320 compares the calculated difference information with a threshold value for classifying a normal operation and an abnormal operation to determine whether data classified as a normal operation is finally abnormal.

단계(430)에서 결과 전달부(330)는 동작 중인 시스템에서 생성된 데이터와 이상 탐지를 수행함에 따라 획득된 결과를 서버로 전달할 수 있다. 결과 전달부(330)는 현재 동작 중인 시스템에서 생성된 데이터와 이상 탐지를 수행하는 과정에서 판단된 이상 탐지 결과를 서버로 전달할 수 있다. 이에, 하이브리드 이상 탐지 과정이 종료될 수 있다. In step 430, the result transmission unit 330 may transmit the data generated in the operating system and the result obtained by performing the anomaly detection to the server. The result transfer unit 330 may transmit the data generated in the currently operating system and the abnormality detection result determined in the process of performing the abnormality detection to the server. Thus, the hybrid anomaly detection process may end.

이상에서 설명된 장치는 하드웨어 구성요소, 소프트웨어 구성요소, 및/또는 하드웨어 구성요소 및 소프트웨어 구성요소의 조합으로 구현될 수 있다. 예를 들어, 실시예들에서 설명된 장치 및 구성요소는, 예를 들어, 프로세서, 콘트롤러, ALU(arithmetic logic unit), 디지털 신호 프로세서(digital signal processor), 마이크로컴퓨터, FPGA(field programmable gate array), PLU(programmable logic unit), 마이크로프로세서, 또는 명령(instruction)을 실행하고 응답할 수 있는 다른 어떠한 장치와 같이, 하나 이상의 범용 컴퓨터 또는 특수 목적 컴퓨터를 이용하여 구현될 수 있다. 처리 장치는 운영 체제(OS) 및 상기 운영 체제 상에서 수행되는 하나 이상의 소프트웨어 애플리케이션을 수행할 수 있다. 또한, 처리 장치는 소프트웨어의 실행에 응답하여, 데이터를 접근, 저장, 조작, 처리 및 생성할 수도 있다. 이해의 편의를 위하여, 처리 장치는 하나가 사용되는 것으로 설명된 경우도 있지만, 해당 기술분야에서 통상의 지식을 가진 자는, 처리 장치가 복수 개의 처리 요소(processing element) 및/또는 복수 유형의 처리 요소를 포함할 수 있음을 알 수 있다. 예를 들어, 처리 장치는 복수 개의 프로세서 또는 하나의 프로세서 및 하나의 콘트롤러를 포함할 수 있다. 또한, 병렬 프로세서(parallel processor)와 같은, 다른 처리 구성(processing configuration)도 가능하다.The devices described above may be implemented as hardware components, software components, and/or a combination of hardware components and software components. For example, devices and components described in the embodiments may include, for example, a processor, a controller, an arithmetic logic unit (ALU), a digital signal processor, a microcomputer, a field programmable gate array (FPGA) , a programmable logic unit (PLU), microprocessor, or any other device capable of executing and responding to instructions. A processing device may run an operating system (OS) and one or more software applications running on the operating system. A processing device may also access, store, manipulate, process, and generate data in response to execution of software. For convenience of understanding, there are cases in which one processing device is used, but those skilled in the art will understand that the processing device includes a plurality of processing elements and/or a plurality of types of processing elements. It can be seen that it can include. For example, a processing device may include a plurality of processors or a processor and a controller. Other processing configurations are also possible, such as parallel processors.

소프트웨어는 컴퓨터 프로그램(computer program), 코드(code), 명령(instruction), 또는 이들 중 하나 이상의 조합을 포함할 수 있으며, 원하는 대로 동작하도록 처리 장치를 구성하거나 독립적으로 또는 결합적으로(collectively) 처리 장치를 명령할 수 있다. 소프트웨어 및/또는 데이터는, 처리 장치에 의하여 해석되거나 처리 장치에 명령 또는 데이터를 제공하기 위하여, 어떤 유형의 기계, 구성요소(component), 물리적 장치, 가상 장치(virtual equipment), 컴퓨터 저장 매체 또는 장치에 구체화(embody)될 수 있다. 소프트웨어는 네트워크로 연결된 컴퓨터 시스템 상에 분산되어서, 분산된 방법으로 저장되거나 실행될 수도 있다. 소프트웨어 및 데이터는 하나 이상의 컴퓨터 판독 가능 기록 매체에 저장될 수 있다.Software may include a computer program, code, instructions, or a combination of one or more of the foregoing, which configures a processing device to operate as desired or processes independently or collectively. You can command the device. Software and/or data may be any tangible machine, component, physical device, virtual equipment, computer storage medium or device, intended to be interpreted by or provide instructions or data to a processing device. can be embodied in Software may be distributed on networked computer systems and stored or executed in a distributed manner. Software and data may be stored on one or more computer readable media.

실시예에 따른 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 실시예를 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. The method according to the embodiment may be implemented in the form of program instructions that can be executed through various computer means and recorded on a computer readable medium. The computer readable medium may include program instructions, data files, data structures, etc. alone or in combination. Program commands recorded on the medium may be specially designed and configured for the embodiment or may be known and usable to those skilled in computer software. Examples of computer-readable recording media include magnetic media such as hard disks, floppy disks and magnetic tapes, optical media such as CD-ROMs and DVDs, and magnetic media such as floptical disks. - includes hardware devices specially configured to store and execute program instructions, such as magneto-optical media, and ROM, RAM, flash memory, and the like. Examples of program instructions include high-level language codes that can be executed by a computer using an interpreter, as well as machine language codes such as those produced by a compiler.

이상과 같이 실시예들이 비록 한정된 실시예와 도면에 의해 설명되었으나, 해당 기술분야에서 통상의 지식을 가진 자라면 상기의 기재로부터 다양한 수정 및 변형이 가능하다. 예를 들어, 설명된 기술들이 설명된 방법과 다른 순서로 수행되거나, 및/또는 설명된 시스템, 구조, 장치, 회로 등의 구성요소들이 설명된 방법과 다른 형태로 결합 또는 조합되거나, 다른 구성요소 또는 균등물에 의하여 대치되거나 치환되더라도 적절한 결과가 달성될 수 있다.As described above, although the embodiments have been described with limited examples and drawings, those skilled in the art can make various modifications and variations from the above description. For example, the described techniques may be performed in an order different from the method described, and/or components of the described system, structure, device, circuit, etc. may be combined or combined in a different form than the method described, or other components may be used. Or even if it is replaced or substituted by equivalents, appropriate results can be achieved.

그러므로, 다른 구현들, 다른 실시예들 및 특허청구범위와 균등한 것들도 후술하는 특허청구범위의 범위에 속한다.Therefore, other implementations, other embodiments, and equivalents of the claims are within the scope of the following claims.

Claims (11)

컴퓨터로 구현되는 하이브리드 이상 탐지 시스템에 의해 수행되는 하이브리드 이상 탐지 방법에 있어서,
동작 중인 시스템에서 생성된 데이터를 시그니처 기반의 이상 탐지 모델 및 행위 기반의 이상 탐지 모델로 구성된 하이브리드 이상 탐지 모델에 입력받는 단계;
상기 하이브리드 이상 탐지 모델을 이용하여 상기 동작 중인 시스템에서 생성된 데이터로부터 이상 탐지를 수행하는 단계; 및
상기 동작 중인 시스템에서 생성된 데이터와 상기 이상 탐지를 수행함에 따라 획득된 결과를 서버로 전달하는 단계
를 포함하는 하이브리드 이상 탐지 방법.In the hybrid anomaly detection method performed by a hybrid anomaly detection system implemented by a computer,
receiving data generated from the operating system into a hybrid anomaly detection model composed of a signature-based anomaly detection model and a behavior-based anomaly detection model;
performing anomaly detection from data generated in the operating system using the hybrid anomaly detection model; and
Delivering data generated in the operating system and a result obtained by performing the anomaly detection to a server
Hybrid anomaly detection method comprising a. 제1항에 있어서,
상기 입력받는 단계는,
게이트웨이에서 현재 동작 중인 시스템에서 생성된 데이터를 전달받음에 따라 이상 탐지 과정을 시작하는 단계
를 포함하는 하이브리드 이상 탐지 방법.According to claim 1,
In the step of receiving the input,
The step of starting the anomaly detection process as the gateway receives the data generated by the currently operating system.
Hybrid anomaly detection method comprising a. 제1항에 있어서,
상기 이상 탐지를 수행하는 단계는,
상기 동작 중인 시스템에서 생성된 데이터가 상기 하이브리드 이상 탐지 모델에 구성된 시그니처 기반의 이상 탐지 모델에 입력됨에 따라 시그니처 기반의 이상 탐지 동작을 수행하는 단계
를 포함하는 하이브리드 이상 탐지 방법.According to claim 1,
The step of performing the abnormality detection,
Performing a signature-based anomaly detection operation as data generated by the operating system is input to a signature-based anomaly detection model configured in the hybrid anomaly detection model.
Hybrid anomaly detection method comprising a. 제3항에 있어서,
상기 이상 탐지를 수행하는 단계는,
상기 시그니처 기반의 이상 탐지 모델을 이용하여 상기 동작 중인 시스템에서 생성된 데이터를 필터링 기준에 따라 정상 동작 또는 이상 동작으로 분류하는 단계
를 포함하는 하이브리드 이상 탐지 방법.According to claim 3,
The step of performing the abnormality detection,
Classifying data generated in the running system into normal operation or abnormal operation according to filtering criteria using the signature-based anomaly detection model.
Hybrid anomaly detection method comprising a. 제4항에 있어서,
상기 이상 탐지를 수행하는 단계는,
상기 동작 중인 시스템에서 생성된 데이터가 상기 시그니처 기반의 이상 탐지 모델에 의해 이상 동작으로 분류될 경우, 이상 탐지 과정을 종료하고, 상기 동작 중인 시스템에서 생성된 데이터가 상기 시그니처 기반의 이상 탐지 모델에 의해 정상 동작으로 분류될 경우, 상기 동작 중인 시스템에서 생성된 데이터를 행위 기반 이상 탐지 모델로 전달하는 단계
를 포함하는 하이브리드 이상 탐지 방법.According to claim 4,
The step of performing the abnormality detection,
When the data generated by the operating system is classified as an abnormal operation by the signature-based anomaly detection model, the anomaly detection process is terminated, and the data generated by the operating system is detected by the signature-based anomaly detection model. If it is classified as a normal operation, transferring data generated from the operating system to a behavior-based anomaly detection model.
Hybrid anomaly detection method comprising a. 제1항에 있어서,
상기 이상 탐지를 수행하는 단계는,
상기 동작 중인 시스템에서 생성된 데이터가 상기 하이브리드 이상 탐지 모델에 구성된 행위 기반 이상 탐지 모델에 입력됨에 따라 행위 기반의 이상 탐지 동작을 수행하는 단계
를 포함하는 하이브리드 이상 탐지 방법.According to claim 1,
The step of performing the abnormality detection,
Performing a behavior-based anomaly detection operation as the data generated by the operating system is input to a behavior-based anomaly detection model configured in the hybrid anomaly detection model.
Hybrid anomaly detection method comprising a. 제6항에 있어서,
상기 이상 탐지를 수행하는 단계는,
상기 동작 중인 시스템에서 생성된 데이터를 상기 행위 기반의 이상 탐지 모델을 이용하여 정상 동작 또는 이상 동작으로 분류하는 단계
를 포함하는 하이브리드 이상 탐지 방법.According to claim 6,
The step of performing the abnormality detection,
classifying data generated by the operating system into normal operation or abnormal operation using the behavior-based anomaly detection model;
Hybrid anomaly detection method comprising a. 제7항에 있어서,
상기 이상 탐지를 수행하는 단계는,
시그니처 기반의 이상 탐지 모델을 통해 정상 동작으로 분류된 데이터에 대하여 오토인코더를 통해 인코딩 및 디코딩하여 출력된 새로운 입력 데이터를 획득하고, 상기 정상 동작으로 분류된 데이터와 상기 획득된 새로운 입력 데이터의 차이 정보를 계산하는 단계
를 포함하는 하이브리드 이상 탐지 방법.According to claim 7,
The step of performing the abnormality detection,
Obtain new input data output by encoding and decoding through an autoencoder for data classified as normal operation through a signature-based anomaly detection model, and obtain difference information between the data classified as normal operation and the obtained new input data. steps to calculate
Hybrid anomaly detection method comprising a. 제8항에 있어서,
상기 이상 탐지를 수행하는 단계는,
상기 계산된 차이 정보를 정상 동작과 이상 동작을 분류하기 위한 임계값과 비교하여 상기 정상 동작으로 분류된 데이터의 최종 이상 여부를 판단하는 단계
를 포함하는 하이브리드 이상 탐지 방법.According to claim 8,
The step of performing the abnormality detection,
Comparing the calculated difference information with a threshold value for classifying a normal operation and an abnormal operation to determine whether or not the data classified as normal operation is finally abnormal.
Hybrid anomaly detection method comprising a. 제1항에 있어서,
상기 전달하는 단계는,
현재 동작 중인 시스템에서 생성된 데이터와 상기 이상 탐지를 수행하는 단계에서 판단된 이상 탐지 결과를 서버로 전달하는 단계
를 포함하는 하이브리드 이상 탐지 방법.According to claim 1,
The conveying step is
Transmitting the data generated in the currently operating system and the abnormality detection result determined in the abnormality detection step to the server
Hybrid anomaly detection method comprising a. 컴퓨터로 구현되는 하이브리드 이상 탐지 시스템에 있어서,
동작 중인 시스템에서 생성된 데이터를 시그니처 기반의 이상 탐지 모델 및 행위 기반의 이상 탐지 모델로 구성된 하이브리드 이상 탐지 모델에 입력받는 데이터 입력부;
상기 하이브리드 이상 탐지 모델을 이용하여 상기 동작 중인 시스템에서 생성된 데이터로부터 이상 탐지를 수행하는 이상 탐지 수행부; 및
상기 동작 중인 시스템에서 생성된 데이터와 상기 이상 탐지를 수행함에 따라 획득된 결과를 서버로 전달하는 결과 전달부
를 포함하는 하이브리드 이상 탐지 시스템.
In a hybrid anomaly detection system implemented by a computer,
a data input unit that receives data generated from the operating system into a hybrid anomaly detection model composed of a signature-based anomaly detection model and a behavior-based anomaly detection model;
an anomaly detection unit configured to perform anomaly detection from data generated in the operating system using the hybrid anomaly detection model; and
Result delivery unit for delivering the data generated by the operating system and the result obtained by performing the anomaly detection to the server.
A hybrid anomaly detection system comprising a.
KR1020210168598A 2021-11-30 2021-11-30 A hybrid anomaly detection method combining signature-based and behavior-based anomaly detection methods KR102595383B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020210168598A KR102595383B1 (en) 2021-11-30 2021-11-30 A hybrid anomaly detection method combining signature-based and behavior-based anomaly detection methods

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020210168598A KR102595383B1 (en) 2021-11-30 2021-11-30 A hybrid anomaly detection method combining signature-based and behavior-based anomaly detection methods

Publications (3)

Publication Number Publication Date
KR20230080974A true KR20230080974A (en) 2023-06-07
KR102595383B1 KR102595383B1 (en) 2023-10-27
KR102595383B9 KR102595383B9 (en) 2024-01-11

Family

ID=86762050

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020210168598A KR102595383B1 (en) 2021-11-30 2021-11-30 A hybrid anomaly detection method combining signature-based and behavior-based anomaly detection methods

Country Status (1)

Country Link
KR (1) KR102595383B1 (en)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102024142B1 (en) * 2018-06-21 2019-09-23 주식회사 넷앤드 A access control system for detecting and controlling abnormal users by users’ pattern of server access
KR102271740B1 (en) * 2020-09-11 2021-07-02 주식회사 뉴로클 Method and apparatus for anomaly detection

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102024142B1 (en) * 2018-06-21 2019-09-23 주식회사 넷앤드 A access control system for detecting and controlling abnormal users by users’ pattern of server access
KR102271740B1 (en) * 2020-09-11 2021-07-02 주식회사 뉴로클 Method and apparatus for anomaly detection

Also Published As

Publication number Publication date
KR102595383B9 (en) 2024-01-11
KR102595383B1 (en) 2023-10-27

Similar Documents

Publication Publication Date Title
US10902117B1 (en) Framework for classifying an object as malicious with machine learning for deploying updated predictive models
US10599851B2 (en) Malicious code analysis method and system, data processing apparatus, and electronic apparatus
WO2016082284A1 (en) Modbus tcp communication behaviour anomaly detection method based on ocsvm dual-profile model
JP6348656B2 (en) Malware-infected terminal detection device, malware-infected terminal detection system, malware-infected terminal detection method, and malware-infected terminal detection program
CN113472721B (en) Network attack detection method and device
CN103955645B (en) The detection method of malicious process behavior, apparatus and system
CN111274583A (en) Big data computer network safety protection device and control method thereof
US20160248788A1 (en) Monitoring apparatus and method
US20090245109A1 (en) Methods, systems and computer program products for detecting flow-level network traffic anomalies via abstraction levels
CN107070889B (en) Unified security defense system based on cloud platform
US11074345B2 (en) Rootkit detection system
US20200389476A1 (en) Method and arrangement for detecting anomalies in network data traffic
US10819717B2 (en) Malware infected terminal detecting apparatus, malware infected terminal detecting method, and malware infected terminal detecting program
KR20160119678A (en) Method and apparatus for detecting malicious web traffic using machine learning technology
US10587629B1 (en) Reducing false positives in bot detection
KR20200068608A (en) Method of defending an attack to defend against cyber attacks on packet data and apparatuses performing the same
Ghaeini et al. Zero residual attacks on industrial control systems and stateful countermeasures
KR102595383B1 (en) A hybrid anomaly detection method combining signature-based and behavior-based anomaly detection methods
US20230087309A1 (en) Cyberattack identification in a network environment
CN116418591A (en) Intelligent computer network safety intrusion detection system
CN115086081B (en) Escape prevention method and system for honeypots
KR102018443B1 (en) System and method for detecting network intrusion, computer readable medium for performing the method
CN111565377B (en) Security monitoring method and device applied to Internet of things
Tian et al. Network attack path reconstruction based on similarity computation
CN113162904A (en) Power monitoring system network security alarm evaluation method based on probability graph model

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
G170 Re-publication after modification of scope of protection [patent]