1 |
1
컴퓨터를 포함하는 연산처리수단에 의하여 실행되는 프로그램 형태로 이루어지는 기계학습을 이용한 고속의 네트워크 침입탐지 방법에 있어서,상기 연산처리수단에서, 네트워크로 유입되는 패킷이 수신되는 패킷 수신 단계(S100);상기 패킷 수신 단계(S100)에 의해 상기 수신된 패킷이 세션 내 기설정된 소정 순번의 패킷에 해당하는지 판단하는 순번 판단 단계(S200);상기 순번 판단 단계(S200)의 판단 결과에 따라, 상기 패킷 수신 단계(S100)에 의해 수신된 패킷이 세션 내 기설정된 소정 순번의 패킷에 해당할 경우, 상기 수신된 패킷에 기저장된 알고리즘을 적용하여 고정된 소정 개수의 특성을 추출하고, 기설정된 기계학습을 이용한 패킷 기반 분류기에서 추출한 특성들을 적용하여 네트워크로의 공격 패킷인지를 판단하여 분류하는 제1 분류 단계(S300);상기 패킷 기반 분류기로부터 결과 데이터로 수신된 분류 스코어를 이용하여, 상기 분류 스코어가 소정값 이상인지 판단하는 정확도 판단 단계(S400);상기 정확도 판단 단계(S400)의 판단 결과에 따라, 상기 분류 스코어가 소정값 이상일 경우, 상기 수신된 패킷을 침입으로 최종 판단하여 차단하는 통신 차단 단계(S500);상기 순번 판단 단계(S200)의 판단 결과에 따라, 상기 패킷 수신 단계(S100)에 의해 수신된 패킷이 세션 내 기설정된 소정 순번의 패킷에 해당하지 않거나, 상기 정확도 판단 단계(S400)의 판단 결과에 따라 상기 분류 스코어가 소정값 미만일 경우, 상기 수신된 패킷을 수집하여 2차 분류를 위한 통계 데이터로 생성하는 데이터 생성 단계(S600);상기 수신된 패킷에 의한 네트워크를 허용하는 통신 허용 단계(S700);상기 수신된 패킷이 포함된 세션의 종료 여부를 판단하는 세션 종료 판단 단계(S800);상기 세션 종료 판단 단계(S800)의 판단 결과에 따라 세션 종료가 이루어질 경우, 상기 데이터 생성 단계(S600)에서 생성한 상기 통계 데이터를 이용하여 특성을 추출하는 특성 추출 단계(S900);기설정된 기계학습을 이용한 세션 기반 분류기에서 상기 특성 추출 단계(S900)에서 추출한 특성을 적용하여 네트워크로의 공격 패킷인지를 판단하여 분류하는 제2 분류 단계(S1000); 및상기 제2 분류 단계(S1000)의 분류 결과에 따라, 각각의 공격 패킷과 정상 패킷으로 수집하여 저장 및 관리하는 후처리 단계(S1100);를 포함하여 구성되는 것을 특징으로 하는 기계학습을 이용한 고속의 네트워크 침입탐지 방법
|
2 |
2
제 1항에 있어서,상기 순번 판단 단계(S200)는네트워크로 유입되는 세션의 첫 번째 순번을 소정 순번으로 설정하는 것을 특징으로 하는 기계학습을 이용한 고속의 네트워크 침입탐지 방법
|
3 |
3
제 1항에 있어서,상기 제1 분류 단계(S300)는사전에 네트워크로 수신된 패킷들에 대해서 피처 셀렉션 알고리즘을 적용하여 다수의 특성을 추출하고, 각 특성 별 상관관계값을 기반으로 특정한 특성을 선택하여, 선택한 특성들을 상기 기계학습을 이용한 패킷 기반 분류기에 적용하여 수신되는 분류 스코어를 측정하는 과정을 반복 수행하여, 분류 스코어가 가장 최대가 되는 특성의 수를 결정하여 상기 소정 개수를 설정하는 것을 특징으로 하는 기계학습을 이용한 고속의 네트워크 침입탐지 방법
|
4 |
4
제 1항에 있어서,상기 정확도 판단 단계(S400)는사전에 네트워크로 수신된 패킷들에 대해서 상기 기계학습을 이용한 패킷 기반 분류기와 상기 기계학습을 이용한 세션 기반 분류기를 이용하여 네트워크로의 공격 패킷인지를 판단하여 분류한 결과를 학습 데이터 셋으로 적용하여, 선형 탐색을 통해서 분류 결과를 정밀 분석하여, 가장 높은 분류 정확도를 갖는 상기 분류 스코어를 상기 소정값으로 설정하는 것을 특징으로 하는 기계학습을 이용한 고속의 네트워크 침입탐지 방법
|
5 |
5
제 1항에 있어서,상기 세션 종료 판단 단계(S800)는상기 수신된 패킷이 포함된 세션의 타입에 따라 세션의 종료 여부를 판단하는 것을 특징으로 하는 기계학습을 이용한 고속의 네트워크 침입탐지 방법
|
6 |
6
제 1항에 있어서,상기 제2 분류 단계(S1000)의 기계학습을 이용한 세션 기반 분류기는사전에 네트워크로 수신된 패킷들 중 상기 기계학습을 이용한 패킷 기반 분류기에 적용하여 수신된 분류 스코어가 상기 소정값 미만인 경우에만 학습 데이터 셋으로 설정하는 것을 특징으로 하는 기계학습을 이용한 고속의 네트워크 침입탐지 방법
|