1 |
1
인공 신경망을 가지는 컴퓨팅 장치에서 수행되는 방법에 있어서,수집된 패킷에서 추출된 복수의 특징들을 얻는 단계; 상기 복수의 특징들을 상기 인공 신경망에 입력하고, 상기 인공 신경망으로부터 출력된 데이터를 이용하여 상기 수집된 패킷이 가리키는 사이버 공격의 종류를 결정하는 단계를 포함하되,상기 인공 신경망은,제1 차원의 입력 층과, 상기 입력 층으로부터 출력된 값을 입력받는 상기 제1 차원보다 작은 제2 차원의 인코더 층과, 상기 인코더 층으로부터 출력된 값을 입력 받는 상기 제2 차원보다 작은 제3 차원의 표현(representation) 층과, 상기 표현 층으로부터 출력된 값을 직접 입력 받고, 각 클래스 별 확률을 출력하는 분류기 층을 포함하는 것이고,상기 복수의 특징들은, 기준 시간 동안의 동일 소스 IP에서 송신된 패킷들의 도착지 IP 개수와, 기준 시간 동안의 동일 도착지 IP로 송신된 패킷들의 소스 IP 개수와, 기준 시간 동안의 동일 소스 IP 및 동일 도착지 IP를 가지는 패킷들의 소스 포트 개수와, 기준 시간 동안의 동일 소스 IP 및 동일 도착지 IP를 가지는 패킷들의 도착지 포트 개수를 포함하는,사이버 공격 분류 방법
|
2 |
2
제1 항에 있어서,상기 수집된 패킷은, IoT(Internet of Things) 디바이스가 송신하거나, 상기 IoT 디바이스로 송신된 패킷들로 구성된 것인,사이버 공격 분류 방법
|
3 |
3
제1 항에 있어서,상기 복수의 특징들은, 기준 시간 동안의 동일 소스 IP에서 송신된 패킷들의 개수와, 기준 시간 동안의 동일 도착지 IP로 송신된 패킷들의 개수와, 기준 시간 동안의 동일 소스 IP의 동일 소스 포트에서 송신된 패킷들의 개수와, 기준 시간 동안의 동일 도착지 IP의 동일 도착지 포트에서 송신된 패킷들의 개수를 더 포함하는,사이버 공격 분류 방법
|
4 |
4
제3 항에 있어서,상기 복수의 특징들은, 기준 시간 동안의 동일 소스 IP의 동일 소스 포트에서 송신된 패킷들의 개수와, 기준 시간 동안의 동일 도착지 IP의 동일 도착지 포트에서 송신된 패킷들의 개수를 더 포함하는,사이버 공격 분류 방법
|
5 |
5
제1 항에 있어서,상기 복수의 특징들은, 단편화된 패킷의 개수를 더 포함하는, 사이버 공격 분류 방법
|
6 |
6
제1 항에 있어서,상기 복수의 특징들은, 상기 복수의 특징들이 가리키는 패킷이 TCP 프로토콜 패킷인 경우 세트 되는 TCP 윈도우 사이즈와, 상기 복수의 특징들이 가리키는 패킷이 전송 계층(transport layer)에 해당하는 경우 세트 되는 데이터 길이를 더 포함하는, 사이버 공격 분류 방법
|
7 |
7
제1 항에 있어서,상기 복수의 특징들은, 기준 시간 동안의 동일 소스 IP에서 송신된 데이터 사이즈와, 기준 시간 동안의 동일 도착지 IP로 송신된 데이터 사이즈를 더 포함하는,사이버 공격 분류 방법
|
8 |
8
제1 항에 있어서,상기 복수의 특징들은, TCP 프로토콜의 SYN 플래그가 세트 된 SYN 패킷의 비율을 더 포함하는,사이버 공격 분류 방법
|
9 |
9
제8 항에 있어서,상기 복수의 특징들은, 상기 SYN 패킷과 그 ACK 패킷의 개수 차이값을 더 포함하는,사이버 공격 분류 방법
|
10 |
10
제1 항에 있어서,상기 복수의 특징들은, ICMP 타입과, ICMP 코드를 더 포함하는,사이버 공격 분류 방법
|
11 |
11
제10 항에 있어서,상기 ICMP 타입은, one-hot 벡터 방식으로 표현된 7 차원 벡터로 표현되는 것이고,상기 ICMP 코드는, one-hot 벡터 방식으로 표현된 7 차원 벡터로 표현되는 것인,사이버 공격 분류 방법
|
12 |
12
제10 항에 있어서,상기 복수의 특징들은, 기준 시간 동안의 동일 소스 IP의 ICMP 패킷 비율과, 기준 시간 동안의 동일 도착지 IP의 ICMP 패킷 비율을 더 포함하는,사이버 공격 분류 방법
|
13 |
13
제1 항에 있어서,상기 복수의 특징들은, ARP 패킷의 OP(Opcode) 값을 더 포함하는,사이버 공격 분류 방법
|
14 |
14
제13 항에 있어서,ARP 패킷의 OP(Opcode) 값은, one-hot 벡터 방식으로 표현된 3 차원 벡터로 표현되는 것인,사이버 공격 분류 방법
|
15 |
15
제1 항에 있어서,상기 수집된 패킷은, IoT(Internet of Things) 디바이스가 송신하거나, 상기 IoT 디바이스로 송신된 패킷들로 구성된 것이고, 상기 분류기 층은,9개의 IoT 디바이스 대상 사이버 공격 종류 클래스 및 1개의 정상 클래스를 포함하는 총 10개의 클래스 별 확률을 출력하는 것이며, 상기 9개의 사이버 공격 종류 클래스는, 정찰(reconnaissance)-Host Discovery 클래스와,정찰-Port Scanning 클래스와,정찰-OS and Service Detection 클래스와,MITM(Man In The Middle)-ARP Spoofing Attack 클래스와, DoS(Denial of Service)-SYN Flooding Attack 클래스와, 미라이 봇넷 DDoS 공격(Mirai Botnet-DDoS)-UDP Flooding Attack 클래스와, 미라이 봇넷 DDoS 공격-HTTP Flooding Attack 클래스와, 미라이 봇넷 DDoS 공격-ACK Flooding Attack 클래스와, 미라이 봇넷 전파-Scan 0026# Brute-force 클래스를 포함하는,사이버 공격 분류 방법
|
16 |
16
제1 항에 있어서,상기 분류기 층은, 각 클래스 별 확률을 출력하되, 모든 클래스의 확률 합계가 1이 되도록 출력하는 소프트맥스 함수값을 출력하는 노드들로 구성되는 것이고, 상기 인공 신경망은,상기 분류기 층으로부터 상기 각 클래스 별 확률을 입력 받고, 사이버 공격의 종류를 가리키는 값을 출력하는 1개 노드로 구성된 출력 층을 더 포함하는, 사이버 공격 분류 방법
|
17 |
17
제1 항에 있어서,상기 분류기 층은,9개의 사이버 공격 종류 클래스 및 1개의 정상 클래스를 포함하는 총 10개의 클래스 별 확률을 출력하는 것이고, 상기 표현 층은,10 미만의 차원(dimension)을 가지는 것인,사이버 공격 분류 방법
|
18 |
18
수집된 패킷에 대한 정보로부터 복수의 특징들을 추출하는 특징 추출부;제1 차원의 입력 층과, 상기 입력 층으로부터 출력된 값을 입력받는 상기 제1 차원보다 작은 제2 차원의 인코더 층과, 상기 인코더 층으로부터 출력된 값을 입력 받는 상기 제2 차원보다 작은 제3 차원의 표현(representation) 층과, 상기 표현 층으로부터 출력된 값을 직접 입력 받고, 각 클래스 별 확률을 출력하는 분류기 층을 포함하는 인공 신경망; 및상기 복수의 특징들을 상기 인공 신경망에 입력하고, 상기 인공 신경망으로부터 출력된 데이터를 이용하여 상기 수집된 패킷이 가리키는 사이버 공격의 종류를 결정하는 사이버 공격 분류부를 포함하되, 상기 복수의 특징들은, 기준 시간 동안의 동일 소스 IP에서 송신된 패킷들의 도착지 IP 개수와, 기준 시간 동안의 동일 도착지 IP로 송신된 패킷들의 소스 IP 개수와, 기준 시간 동안의 동일 소스 IP 및 동일 도착지 IP를 가지는 패킷들의 소스 포트 개수와, 기준 시간 동안의 동일 소스 IP 및 동일 도착지 IP를 가지는 패킷들의 도착지 포트 개수를 포함하는,사이버 공격 분류 장치
|
19 |
19
컴퓨팅 장치에서 수행되는 방법에 있어서,수집된 패킷에서 추출된 복수의 특징들을 얻는 단계; 상기 복수의 특징들로 구성된 학습 데이터셋을 오토인코더 인공 신경망에 입력하여 상기 오토인코더 인공 신경망을 비지도 학습(unsupervised learning) 시키는 단계; 상기 학습된 오토인코더 인공 신경망의 제1 차원의 입력 층, 상기 제1 차원보다 작은 제2 차원의 인코더 층 및 상기 제2 차원보다 작은 제3 차원의 표현 층에 더하여 상기 표현 층으로부터 출력된 값을 직접 입력 받고, 각 클래스 별 확률을 출력하는 분류기 층을 더 포함하는 공격 분류 인공 신경망을 구성하는 단계; 및 상기 공격 분류 인공 신경망을 지도 학습(supervised learning) 시키는 단계를 포함하되,상기 복수의 특징들은,기준 시간 동안의 동일 소스 IP에서 송신된 패킷들의 도착지 IP 개수와, 기준 시간 동안의 동일 도착지 IP로 송신된 패킷들의 소스 IP 개수와, 기준 시간 동안의 동일 소스 IP 및 동일 도착지 IP를 가지는 패킷들의 소스 포트 개수와, 기준 시간 동안의 동일 소스 IP 및 동일 도착지 IP를 가지는 패킷들의 도착지 포트 개수를 포함하는, IoT 디바이스에 대한 사이버 공격 분류 모델 학습 방법
|
20 |
20
제19 항에 있어서,상기 인공 신경망은,상기 분류기 층으로부터 상기 각 클래스 별 확률을 입력 받고, 사이버 공격의 종류를 가리키는 값을 출력하는 1개 노드로 구성된 출력 층을 더 포함하고,상기 지도 학습 시키는 단계는, 오류 역전파(back-propagation)가 상기 표현 층과 상기 분류기 층 사이의 가중치까지만 일어나도록 지도 학습 시키는 단계를 포함하는, IoT 디바이스에 대한 사이버 공격 분류 모델 학습 방법
|
21 |
21
제19 항에 있어서,상기 복수의 특징들은, 기준 시간 동안의 동일 소스 IP에서 송신된 패킷들의 개수와, 기준 시간 동안의 동일 도착지 IP로 송신된 패킷들의 개수와, 기준 시간 동안의 동일 소스 IP의 동일 소스 포트에서 송신된 패킷들의 개수와, 기준 시간 동안의 동일 도착지 IP의 동일 도착지 포트에서 송신된 패킷들의 개수와, 기준 시간 동안의 동일 소스 IP의 동일 소스 포트에서 송신된 패킷들의 개수와, 기준 시간 동안의 동일 도착지 IP의 동일 도착지 포트에서 송신된 패킷들의 개수와, 단편화된 패킷의 개수와, 상기 복수의 특징들이 가리키는 패킷이 TCP 프로토콜 패킷인 경우 세트 되는 TCP 윈도우 사이즈와, 상기 복수의 특징들이 가리키는 패킷이 전송 계층(transport layer)에 해당하는 경우 세트 되는 데이터 길이와, 기준 시간 동안의 동일 소스 IP에서 송신된 데이터 사이즈와, 기준 시간 동안의 동일 도착지 IP로 송신된 데이터 사이즈와, TCP 프로토콜의 SYN 플래그가 세트 된 SYN 패킷의 비율과, 상기 SYN 패킷과 그 ACK 패킷의 개수 차이값과, ICMP 타입과, ICMP 코드와, 기준 시간 동안의 동일 소스 IP의 ICMP 패킷 비율과, 기준 시간 동안의 동일 도착지 IP의 ICMP 패킷 비율 및 ARP 패킷의 OP(Opcode) 값을 더 포함하는,IoT 디바이스에 대한 사이버 공격 분류 모델 학습 방법
|
22 |
22
변형된 오토 인코더 인공 신경망을 가지는 컴퓨팅 장치에서 수행되는 방법에 있어서,수집된 패킷에서 추출된 복수의 특징들을 얻는 단계; 및 상기 복수의 특징들을 상기 변형된 오토 인코더 인공 신경망에 입력하고, 상기 인공 신경망으로부터 출력된 데이터를 이용하여 상기 수집된 패킷이 가리키는 사이버 공격의 종류를 결정하는 단계를 포함하되,상기 복수의 특징들은, 기준 시간 동안의 동일 소스 IP에서 송신된 패킷들의 도착지 IP 개수와, 기준 시간 동안의 동일 도착지 IP로 송신된 패킷들의 소스 IP 개수와, 기준 시간 동안의 동일 소스 IP 및 동일 도착지 IP를 가지는 패킷들의 소스 포트 개수와, 기준 시간 동안의 동일 소스 IP 및 동일 도착지 IP를 가지는 패킷들의 도착지 포트 개수와, 기준 시간 동안의 동일 소스 IP에서 송신된 패킷들의 개수와, 기준 시간 동안의 동일 도착지 IP로 송신된 패킷들의 개수와, 기준 시간 동안의 동일 소스 IP의 동일 소스 포트에서 송신된 패킷들의 개수와, 기준 시간 동안의 동일 도착지 IP의 동일 도착지 포트에서 송신된 패킷들의 개수와, 기준 시간 동안의 동일 소스 IP의 동일 소스 포트에서 송신된 패킷들의 개수와, 기준 시간 동안의 동일 도착지 IP의 동일 도착지 포트에서 송신된 패킷들의 개수와, 단편화된 패킷의 개수와, 상기 복수의 특징들이 가리키는 패킷이 TCP 프로토콜 패킷인 경우 세트되는 TCP 윈도우 사이즈와, 상기 복수의 특징들이 가리키는 패킷이 전송 계층(transport layer)에 해당하는 경우 세트되는 데이터 길이와, 기준 시간 동안의 동일 소스 IP에서 송신된 데이터 사이즈와, 기준 시간 동안의 동일 도착지 IP로 송신된 데이터 사이즈와, TCP 프로토콜의 SYN 플래그가 세트 된 SYN 패킷의 비율과, 상기 SYN 패킷과 그 ACK 패킷의 개수 차이값과, ICMP 타입과, ICMP 코드와, 기준 시간 동안의 동일 소스 IP의 ICMP 패킷 비율과, 기준 시간 동안의 동일 도착지 IP의 ICMP 패킷 비율 및 ARP 패킷의 OP(Opcode) 값을 포함하고,상기 변형된 오토 인코더 인공 신경망은,제1 차원의 입력 층과, 상기 입력 층으로부터 출력된 값을 입력받는 상기 제1 차원보다 작은 제2 차원의 인코더 층과, 상기 인코더 층으로부터 출력된 값을 입력 받는 상기 제2 차원보다 작은 제3 차원의 표현(representation) 층과, 상기 표현 층으로부터 출력된 값을 직접 입력 받고, 각 클래스 별 확률을 출력하는 분류기 층을 포함하는 것인,사이버 공격 분류 방법
|