1 |
1
머신러닝을 이용한 악성 트래픽 탐지 방법에 있어서,네트워크 트래픽을 수집하는 단계;기 설정된 위협 탐지 패턴에 기초하여, 상기 수집된 네트워크 트래픽을 정상 트래픽 및 악성 트래픽으로 분류하는 단계;상기 분류된 악성 트래픽으로부터 상기 머신러닝을 위한 메인 데이터셋을 추출하는 단계;상기 메인 데이터셋으로부터 복수의 구성 항목으로 분류된 서브 데이터셋을 가공하는 단계;상기 메인 데이터셋 및 서브 데이터셋에 기초하여 상기 머신러닝을 수행하는 단계;상기 수행된 머신러닝에 따른 결과에 기초하여 새로운 위협 탐지 패턴을 생성하는 단계; 및상기 생성된 새로운 위협 탐지 패턴에 기초하여, 수신되는 네트워크 트래픽 중 악성 트래픽을 탐지하는 단계;를 포함하는 악성 트래픽 탐지 방법
|
2 |
2
제1항에 있어서,상기 서브 데이터셋은,호스트(host), 포트(port), 메서드(method), URI, 페이로드(payload) 및 헤더(header) 중 적어도 하나의 구성 항목을 포함하는 것을 특징으로 하는, 악성 트래픽 탐지 방법
|
3 |
3
제2항에 있어서,상기 URI, 페이로드 및 헤더는,상기 머신러닝에서 다른 구성 항목보다 가중치가 높게 부여되는 것을 특징으로 하는, 악성 트래픽 탐지 방법
|
4 |
4
제3항에 있어서,상기 URI은,상기 메인 데이터셋으로부터, 슬래쉬(/)에 기초하여 추출되고,상기 페이로드는,상기 메인 데이터셋으로부터, 특수문자를 기준으로 최소 8바이트(byte) 이상으로 구성되는 문자열에 기초하여 추출되며,상기 헤더는,상기 메인 데이터셋으로부터, 콜론(:)에 기초하여 추출되는 것을 특징으로 하는, 악성 트래픽 탐지 방법
|
5 |
5
제1항에 있어서,상기 생성된 새로운 위협 탐지 패턴에 대하여 정오탐 판단을 수행하는 단계; 및상기 정오탐 판단 결과에 기초하여, 상기 새로운 위협 탐지 패턴 및 상기 복수의 구성 항목에 부여된 가중치 중 적어도 하나를 조정하는 단계;를 더 포함하는 것을 특징으로 하는, 악성 트래픽 탐지 방법
|
6 |
6
머신러닝을 이용한 악성 트래픽 탐지 장치에 있어서,네트워크 트래픽을 수집하고, 기 설정된 위협 탐지 패턴에 기초하여, 상기 수집된 네트워크 트래픽을 정상 트래픽 및 악성 트래픽으로 분류하는 수신 모듈;상기 분류된 악성 트래픽으로부터 상기 머신러닝을 위한 메인 데이터셋을 추추ㅎ하고, 상기 메인 데이터셋으로부터 복수의 구성 항목으로 분류된 서브 데이터셋을 가공하며, 상기 메인 데이터셋 및 서브 데이터셋에 기초하여 상기 머신러닝을 수행하는 훈련 모듈; 및상기 수행된 머신러닝에 따른 결과에 기초하여 새로운 위협 탐지 패턴을 생성하는 생성 모듈;을 포함하는 악성 트래픽 탐지 장치
|
7 |
7
제1항 내지 제5항 중 어느 한 항의 방법을 실행시키기 위해 컴퓨터판독가능한 기록매체에 저장된 컴퓨터프로그램
|
8 |
8
제7항의 컴퓨터프로그램을 저장하는 컴퓨터판독가능한 기록매체
|