시스템 호출 로그를 생성하는 감사기록 모듈과;

상기 생성된 시스템 호출 로그를 축약하는 BSM 축약 모듈과;

상기 축약된 로그 데이터를 정형화된 데이터로 변환시키는 SOM 학습 모듈과;

상기 정형화된 데이터 순서를 추상화된 HMM 모델로 만드는 HMM 학습 모듈과;

실제 수행된 시스템 호출 로그를 상기 추상화된 HMM 모델에 적용하여 침입여부를 판정하는 HMM 판정 모듈을 포함하여 이루어진 것을 특징으로 하는 은닉 마르코프 모델을 이용한 비정상행위 침입탐지 시스템

제 1 항에 있어서,

상기 BSM 축약 모듈은,

BSM 감사 데이터로부터 중요한 정보를 추출하는 정보 수집부와;

상기 추출된 정보의 크기를 줄여서 정규화시키는 정보 축약부를 포함하여 이루어진 것을 특징으로 하는 은닉 마르코프 모델을 이용한 비정상행위 침입탐지 시스템

제 1 항에 있어,

제 1 항에 있어서,

상기 SOM 학습 모듈은,

BSM으로부터 추출되어 정보의 크기가 정규화된 데이터를 입력받는 입력 계층부와;

상기 입력 데이터와 유사한 것으로 대표값이 결정되도록 가중치 갱신을 반복하는 은닉 계층부와;

상기 결정된 대표값을 출력하는 출력 계층부를 포함하여 이루어진 것을 특징으로 하는 은닉 마르코프 모델을 이용한 비정상행위 침입탐지 시스템

제 1 항에 있어,

상기 SOM 학습 모듈은,

SOM의 중요한 파일 리스트를 수정하여 중요 디렉토리와 파일로 구분함을 특징으로 하는 은닉 마르코프 모델을 이용한 비정상행위 침입탐지 시스템

제 1 항에 있어서,

상기 HMM 학습 모듈은,

상기 HMM 모델로 풀 매트릭스(Full Matrix)를 사용함을 특징으로 하는 은닉 마르코프 모델을 이용한 비정상행위 침입탐지 시스템

제 1 항에 있어서,

상기 HMM 학습 모듈은,

사용자 ID별 학습 데이터 생성 및 학습결과를 저장하고 학습 단계별로 학습결과를 저장함을 특징으로 하는 은닉 마르코프 모델을 이용한 비정상행위 침입탐지 시스템

BSM 감사 데이터로부터 중요한 정보를 추출하고 해당 추출된 정보의 크기를 줄여 정규화시키는 BSM 축약 과정과;

상기 축약된 다차원 정보를 SOM의 가중치 학습을 통해 저차원 정보로 변환하여 출력하는 SOM 학습 과정과;

상기 SOM에 의한 출력을 이용하여 HMM의 정상행위 모델링을 하는 HMM 학습 과정과;

상기 구축되어 있는 정상행위 모델을 근거로 사용자의 정상행위 여부를 판정하는 HMM 판정 과정을 포함하여 이루어진 것을 특징으로 하는 은닉 마르코프 모델을 이용한 비정상행위 침입탐지 방법

제 8 항에 있어서,

상기 SOM 학습 과정은,

가중치 벡터를 초기화하는 단계와;

입력 벡터를 가져오는 단계와;

상기 가중치 벡터와 입력 벡터를 이용해 유사도를 비교한 후 해당 유사도를 특징 맵에 저장하는 단계와;

상기 특징 맵이 가장 작을 때의 행렬 색인을 구하는 단계와;

상기 가중치 벡터의 상기 행렬 색인 번째 값에 대한 증감치를 구하는 단계와;

상기 가중치 벡터의 값에 상기 증감치를 더하여 갱신하는 단계와;

상기 갱신횟수가 입력 데이터의 수보다 커질 때까지 상기 가중치 갱신을 반복하는 단계를 포함하여 이루어진 것을 특징으로 하는 은닉 마르코프 모델을 이용한 비정상행위 침입탐지 방법

제 8 항에 있어서,

상기 HMM 학습 과정은,

행위 시퀀스가 들어오면 전방향 절차와 역방향 절차를 통해서 HMM 모델로부터 나왔을 확률값을 계산하는 단계와;

상기 확률값을 기반으로 Baum-Welch 재추정식을 이용해 평가값을 계산하는 단계와;

상기 평가값을 사용하여 상기 HMM 모델을 수정하는 단계와;

상기 수정횟수가 입력 데이터 수가 될 때까지 상기 HMM 모델 수정을 반복하는 단계를 포함하여 이루어진 것을 특징으로 하는 은닉 마르코프 모델을 이용한 비정상행위 침입탐지 방법