1 |
1
제1 데이터 마이닝부; 알고리즘 선택부; 키 속성 데이터 결정부; 및 제2 데이터 마이닝부를 포함하는 공격 탐지 장치가 수행하는 공격 탐지 방법에 있어서,상기 제1 데이터 마이닝부가 복수의 마이닝 알고리즘들에 후보 속성 데이터들을 입력 데이터로 이용하여 제1 데이터 마이닝을 수행하는 단계;상기 알고리즘 선택부가 상기 제1 데이터 마이닝의 결과에 기초하여 상기 복수의 마이닝 알고리즘들 중 하나의 결정 트리 알고리즘을 선택하는 단계;상기 키 속성 데이터 결정부가 선택된 결정 트리 알고리즘을 이용하여 상기 후보 속성 데이터들 중 적어도 하나의 키 속성 데이터를 결정하는 단계; 및상기 제2 데이터 마이닝부가 상기 제1 데이터 마이닝에서 사용한 마이닝 알고리즘들과 동일한 마이닝 알고리즘들에 상기 키 속성 데이터를 입력 데이터로 이용하여 제2 데이터 마이닝을 수행하는 단계를 포함하고,상기 마이닝 알고리즘들은,상기 후보 속성 데이터들을 트리 구조로 나타내며, 결정 트리 분류기(decision tree classifier)로 분류된 트리(Tree) 타입 마이닝 알고리즘 중 적어도 하나를 포함하며,상기 결정 트리 알고리즘을 선택하는 단계는, 상기 트리 타입 마이닝 알고리즘 중 하나의 결정 트리 알고리즘을 선택하고, 상기 키 속성 데이터를 결정하는 단계는,상기 결정 트리 알고리즘의 트리 구조에 따라 적어도 하나의 후보 속성 데이터를 특정 레벨의 후보 속성 데이터로 설정하며, 특정 레벨의 후보 속성 데이터를 공격 상태 검출에 사용되는 핵심 속성인 키 속성 데이터로 결정하는 공격 탐지 방법
|
2 |
2
삭제
|
3 |
3
제1항에 있어서,상기 키 속성 데이터를 결정하는 단계는,상기 키 속성 데이터 결정부가 상기 트리 구조에서 복수의 레벨에 대응하는 후보 속성 데이터들 중 기준 레벨 이상의 후보 속성 데이터를 키 속성 데이터로 결정하는 공격 탐지 방법
|
4 |
4
제1항에 있어서,상기 공격 탐지 장치는 데이터 속성 선택부; 및 데이터 수집부를 더 포함하고,상기 공격 탐지 방법은상기 데이터 속성 선택부가 공격 요구 사항에 기초하여 데이터 속성을 선택하는 단계; 및상기 데이터 수집부가 상기 선택한 데이터 속성에 대응하는 후보 속성 데이터를 수집하는 단계를 더 포함하는 공격 탐지 방법
|
5 |
5
제1항에 있어서,상기 후보 속성 데이터는, 정상 상태의 시스템에서 수집한 정상 상태 데이터, 및 공격 상태의 시스템에서 수집한 공격 상태 데이터를 포함하는 공격 탐지 방법
|
6 |
6
제5항에 있어서,상기 공격 탐지 장치는 시스템 공격부를 더 포함하고,상기 공격 탐지 방법은상기 시스템 공격부가 임의로 시스템에 공격을 수행하는 단계를 더 포함하고, 상기 공격 상태는, 상기 시스템이 상기 공격을 수행하는 단계에 의하여 공격받는 상태인 공격 탐지 방법
|
7 |
7
제1항에 있어서, 상기 제1 데이터 마이닝을 수행하는 단계는,상기 제1 데이터 마이닝부가 상기 복수의 마이닝 알고리즘들과 상기 후보 속성 데이터를 이용하여 시스템의 공격 여부를 판단하고, 판단 결과에 기초하여 상기 마이닝 알고리즘의 공격 상태 탐지율을 결정하는 공격 탐지 방법
|
8 |
8
제7항에 있어서, 상기 결정 트리 알고리즘을 선택하는 단계는, 상기 알고리즘 선택부가 상기 복수의 마이닝 알고리즘들에 포함된 트리 타입 마이닝 알고리즘들 중 공격 상태 탐지율이 가장 높은 결정 트리 알고리즘을 선택하는 공격 탐지 방법
|
9 |
9
제1항, 제3항 내지 제8항 중 어느 한 항의 방법을 실행하기 위한 프로그램이 기록된 컴퓨터에서 판독 할 수 있는 기록 매체
|
10 |
10
복수의 마이닝 알고리즘들에 후보 속성 데이터들을 입력 데이터로 이용하여 제1 데이터 마이닝을 수행하는 제1 데이터 마이닝부;상기 제1 데이터 마이닝의 결과에 기초하여 상기 복수의 마이닝 알고리즘들 중 하나의 결정 트리 알고리즘을 선택하는 알고리즘 선택부;선택된 결정 트리 알고리즘을 이용하여 상기 후보 속성 데이터들 중 키 속성 데이터를 결정하는 키 속성 데이터 결정부; 및 상기 제1 데이터 마이닝에서 사용한 마이닝 알고리즘들과 동일한 마이닝 알고리즘들에 상기 키 속성 데이터를 입력 데이터로 이용하여 제2 데이터 마이닝을 수행하는 제2 데이터 마이닝부를 포함하고,상기 마이닝 알고리즘들은,상기 후보 속성 데이터들을 트리 구조로 나타내며, 결정 트리 분류기(decision tree classifier)로 분류된 트리(Tree) 타입 마이닝 알고리즘 중 적어도 하나를 포함하며,상기 알고리즘 선택부는, 상기 트리 타입 마이닝 알고리즘 중 하나의 결정 트리 알고리즘을 선택하고, 상기 키 속성 데이터 결정부는,상기 결정 트리 알고리즘의 트리 구조에 따라 적어도 하나의 후보 속성 데이터를 특정 레벨의 후보 속성 데이터로 설정하며, 특정 레벨의 후보 속성 데이터를 공격 상태 검출에 사용되는 핵심 속성인 키 속성 데이터로 결정하는 공격 탐지 장치
|
11 |
11
삭제
|
12 |
12
제10항에 있어서,상기 키 속성 데이터 결정부는,상기 트리 구조에서 복수의 레벨에 대응하는 후보 속성 데이터들 중 기준 레벨 이상의 후보 속성 데이터를 키 속성 데이터로 결정하는 공격 탐지 장치
|
13 |
13
제10항에 있어서,공격 요구 사항에 기초하여 데이터 속성을 선택하는 데이터 속성 선택부; 및선택한 데이터 속성에 대응하는 후보 속성 데이터를 수집하는 데이터 수집부를 더 포함하는 공격 탐지 장치
|
14 |
14
제10항에 있어서,상기 후보 속성 데이터는, 정상 상태의 시스템에서 수집한 정상 상태 데이터, 및 공격 상태의 시스템에서 수집한 공격 상태 데이터를 포함하는 공격 탐지 장치
|
15 |
15
제14항에 있어서,임의로 시스템에 공격을 수행하는 시스템 공격부를 더 포함하고, 상기 공격 상태는, 상기 시스템이 상기 시스템 공격부에 의하여 공격받는 상태인 공격 탐지 장치
|
16 |
16
제10항에 있어서, 상기 제1 데이터 마이닝부는,상기 복수의 마이닝 알고리즘들과 상기 후보 속성 데이터를 이용하여 시스템의 공격 여부를 판단하고, 판단 결과에 기초하여 상기 마이닝 알고리즘의 공격 상태 탐지율을 결정하는 공격 탐지 장치
|
17 |
17
제16항에 있어서, 상기 알고리즘 선택부는, 상기 복수의 마이닝 알고리즘들에 포함된 트리 타입 마이닝 알고리즘들 중 공격 상태 탐지율이 가장 높은 결정 트리 알고리즘을 선택하는 공격 탐지 장치
|