1 |
1
세션 특성 정보별로 분류된 네트워크 데이터를 상기 세션 특성 정보 및 정상 유형, 공격 유형 및 미지 유형 중 상기 네트워크 데이터가 속하는 네트워크 데이터 유형의 특성을 포함하는 입력 데이터 형식으로 변환하는 네트워크 세션 특성정보 추출부; 및 상기 입력 데이터 형식으로 변환된 네트워크 데이터에 분류 알고리즘을 적용하여 결정트리를 구성하고, 상기 결정트리의 최종노드에서 오류율을 기초로 상기 결정트리의 정확도를 생성하며, 상기 네트워크 데이터 유형의 특성, 상기 결정트리의 최적의 정보이득을 갖는 노드를 선택하기 위한 조건식 및 상기 정확도를 기초로 상기 네트워크 데이터 유형별로 패턴화된 탐지규칙을 생성하는 탐지규칙 자동 생성부;를 포함하는 것을 특징으로 하는 공격 행위 탐지 규칙 생성 장치
|
2 |
2
제 1 항에 있어서, 이전에 생성된 상기 탐지규칙과 새롭게 생성된 상기 탐지 규칙이 일치하는 경우 상기 각각의 네트워크 데이터 유형별 오류율은 상기 오류율에 상기 각각의 네트워크 데이터 유형만을 대상으로 한 오류율을 곱하여 생성하고, 상기 생성된 각각의 데이터 유형별 오류율을 기초로 상기 결정 트리의 정확도를 갱신하는 탐지규칙 검증 및 갱신부;를 더 포함하는 것을 특징으로 하는 공격 행위 탐지 규칙 생성 장치
|
3 |
3
제 1 항에 있어서, 세션 특성정보별로 분류된 네트워크 데이터가 소정의 범위 내에서 연속적인지 여부에 따라 연속형과 이산형으로 나누고, 연속형인 경우 소정의 임계값 범위를 기준으로 소정의 범위 내에서 이산형 데이터 값으로 구획화가 되는 경우 이산형 데이터로 변환한 후 상기 네트워크 데이터를 정상 행위, 공격 행위 및 미지 행위의 유형별로 분류하여 상기 알고리즘의 상기 입력 데이터 형식으로 변환하는 것을 특징으로 하는 공격 행위 탐지 규칙 생성 장치
|
4 |
4
제 1 항에 있어서, 상기 알고리즘은상기 세션 특성정보별로 분류된 네트워크 데이터의 분류별 빈도를 계산하고, 상기 계산된 빈도를 기초로 결정트리의 노드를 구성하며, 상기 각 노드별로 정보이득을 계산하여 최적의 정보이득을 갖는 노드를 선택하고최종 노드에서 상기 오류율을 기초로 상기 결정트리의 정확도를 계산하는 것을 특징으로 하는 공격 행위 탐지 규칙 생성 장치
|
5 |
5
제 1 항에 있어서, 상기 세션 특성정보는 세션 전체 통계 정보, 네트워크 프로토콜 연결 정보, 네트워크 프로토콜 헤더정보, 두 호스트 사이의 연결 정보 중 하나 이상을 포함하는 것을 특징으로 하는 공격 행위 탐지 규칙 생성 장치
|
6 |
6
네트워크 데이터를 세션 특성 정보별로 분류하는 단계;상기 분류된 상기 데이터를 상기 세션 특성 정보 및 정상 유형, 공격 유형 및 미지 유형 중 상기 네트워크 데이터가 속하는 네트워크 데이터 유형의 특성을 포함하는 입력 데이터 형식으로 변환하는 단계;상기 입력 데이터 형식으로 변환된 상기 데이터에 분류 알고리즘을 적용하여 결정트리를 구성하는 단계;상기 결정트리의 최종노드에서 오류율을 기초로 상기 결정트리의 정확도를 생성하는 단계;및상기 명칭, 상기 결정트리의 최적의 정보이득을 갖는 노드를 선택하기 위한 조건식, 및 상기 정확도를 기초로 상기 네트워크 데이터 유형별로 패턴화된 탐지규칙을 생성하는 단계;를 포함하는 것을 특징으로 하는 공격 행위 탐지 규칙 생성 방법
|
7 |
7
제 6 항에 있어서, 이전에 생성된 상기 탐지규칙과 새롭게 생성된 상기 탐지 규칙이 일치하는지 판단하는 단계; 상기 탐지 규칙이 일치하는 경우 상기 각각의 네트워크 데이터 유형별 오류율을 상기 오류율에 상기 각각의 네트워크 데이터 유형만을 대상으로 한 오류율을 곱하여 생성하는 단계;및상기 생성된 각각의 데이터 유형별 오류율을 기초로 상기 결정 트리의 정확도를 갱신하는 단계;를 더 포함하는 것을 특징으로 하는 공격 행위 탐지 규칙 생성 방법
|
8 |
8
제 6 항에 있어서, 세션 특성정보별로 분류된 네트워크 데이터가 소정의 범위 내에서 연속적인지 여부에 따라 연속형과 이산형으로 나누는 단계; 연속형인 경우 소정의 임계값 범위를 기준으로 소정의 범위 내에서 이산형 데이터 값으로 구획화가 되는 경우 이산형 데이터로 변환하는 단계;및상기 네트워크 데이터를 정상 행위, 공격 행위 및 미지 행위의 유형별로 분류하여 상기 알고리즘의 상기 입력 데이터 형식으로 변환하는 단계;를 더 포함하는 것을 특징으로 하는 공격 행위 탐지 규칙 생성 방법
|
9 |
9
제 6 항에 있어서, 상기 분류 알고리즘은상기 세션 특성정보별로 분류된 네트워크 데이터의 분류별 빈도를 계산하는 단계; 상기 계산된 빈도를 기초로 결정트리의 노드를 구성하는 단계;상기 각 노드별로 정보이득을 계산하여 최적의 정보이득을 갖는 노드를 선택하는 단계;및최종 노드에서 상기 오류율을 기초로 상기 결정트리의 정확도를 계산하는 단계;를 포함하는 것을 특징으로 하는 공격 행위 탐지 규칙 생성 방법
|
10 |
10
제 6 항 또는 제 9 항에 있어서, 상기 분류 알고리즘은확장된 C4
|
11 |
11
제 6 항에 있어서, 상기 세션 특성정보는 세션 전체 통계 정보, 네트워크 프로토콜 연결 정보, 네트워크 프로토콜 헤더정보, 두 호스트 사이의 연결 정보 중 하나 이상을 포함하는 것을 특징으로 하는 공격 행위 탐지 규칙 생성 방법
|