1 |
1
보안장비로부터 Syslog(System Log) 및 SNMP(Simple Network Management Protocol)을 이용하여 이벤트로그를 포함하는 인공지능 모델의 학습에 필요한 데이터를 수집하고, 수집된 데이터의 이벤트 필드 및 포맷을 정규화 및 분류하여 표준화된 데이터셋을 생성하는 데이터 수집장치;상기 데이터 수집장치가 생성한 표준화된 데이터셋으로부터 특성 데이터를 추출하고 텍스트 기반 인공지능 학습을 위해 필요한 자연어 처리를 멀티 프로세싱 기반으로 신속하게 전처리하여 학습데이터셋, 검증데이터셋 및 테스트데이터셋을 생성하는 데이터 전처리장치; 및상기 데이터 전처리장치로부터 학습데이터셋, 검증데이터셋 및 테스트데이터셋을 전송받아 인공지능 모델을 학습시키고, 상기 인공지능 모델을 이용하여 보안장비로부터 수집되는 보안위협 데이터의 이상행위를 탐지하는 이상행위 탐지장치;를 포함하고,상기 데이터 수집장치는,상기 보안장비로부터 수집된 TXT, XLS 및 TSV 데이터의 파일 포맷을 CSV 포맷으로 변환하는 포맷변환부;상기 포맷변환부가 변환한 데이터를 기 정의된 구분자에 기초하여 개별 필드의 단위로 정규화하여, 후보 특성 필드를 선정하는 데이터 정규화부; 및상기 데이터 정규화부가 정규화한 데이터를 분류 체계 테이블에 정의한 이벤트 유형 및 탐지명 그룹별로 학습 데이터를 분류하고, 데이터를 다시 학습/검증/테스트 중 어느 하나의 그룹으로 데이터셋을 생성하는 데이터 분류부;를 포함하고,상기 보안장비는,ESM(Enterprise Security Management), SIEM(Security Information 0026# Event Management), IDS(Intrusion Detection System), 머신러닝 솔루션(machine learning solution) 중 적어도 하나를 포함하고,상기 후보 특성 필드는,탐지시작시간, 출발지주소, 목적지주소, 목적지포트, 패킹방향, 프로토콜, 이벤트유형, 탐지명, 패킷길이, 레이블 및 페이로드 중 어느 하나 이상을 포함하는 것을 특징으로 하는 인공지능 기반 보안위협 이상행위 탐지 시스템
|
2 |
2
삭제
|
3 |
3
삭제
|
4 |
4
제1항에 있어서,상기 데이터 전처리장치는,상기 데이터 수집장치로부터 전송받은 표준화된 데이터셋으로부터 디코딩, 불필요한 데이터 제거 및 페이로드 정규화 등을 수행하는 데이터 가공 처리부;상기 데이터 가공 처리부로부터 데이터를 전송받아 데이터 범위가 임의로 설정한 기준값 보다 큰 특성 값을 사전에 정의한 값으로 변환(Transformation)하여 데이터 스케일링을 조정하는 특성정보 변환부; 및상기 데이터 가공 처리부와 특성정보 변환부가 전처리한 특성 정보를 벡터로 표현하고, 상기 벡터화 된 데이터의 앞뒤 단어 및 문맥 정보를 사전에 학습시켜 학습데이터셋, 검증데이터셋 및 테스트데이터셋을 생성하는 자연어 사전학습부;를 포함하는 것을 특징으로 하는 인공지능 기반 보안위협 이상행위 탐지 시스템
|
5 |
5
제1항에 있어서,이상행위 탐지장치는,상기 데이터 전처리장치가 생성한 학습데이터셋을 통해 복수의 인공지능 모델의 학습을 수행하고, 검증 및 테스트 데이터셋을 통해 복수의 인공지능 모델 중 가장 성능이 높은 인공지능 모델을 선정하여 저장하는 인공지능 모델학습부;보안장비로부터 보안위협 데이터가 수집되면, 상기 인공지능 모델학습부에 저장된 인공지능 모델 중 어느 하나를 선택하는 인공지능 모델선택부;상기 인공지능 모델선택부가 선택한 모델을 통해 상기 보안위협 데이터의 정탐 또는 오탐 여부를 자동 판단하여 예측결과 정보를 생성하고, 정탐일 경우 실제 위협을 주는 이상행위 정보를 사용자에게 알려주는 인공지능 모델예측부; 및상기 인공지능 모델예측부가 생성한 예측결과 정보를 저장하고, 재학습 시 예측결과 정보를 상기 인공지능 모델학습부로 전송해주는 이력관리부;를 포함하는 것을 특징으로 하는 인공지능 기반 보안위협 이상행위 탐지 시스템
|
6 |
6
제5항에 있어서,상기 인공지능 모델학습부는,인공지능 모델의 하이퍼 파라미터를 최적화시키는 Bayesian Optimizer기법을 사용하여, 복수의 인공지능 모델의 AUC 점수를 측정하여 가장 성능이 높은 인공지능 모델을 선정 및 저장하는 것을 특징으로 하는 인공지능 기반 보안위협 이상행위 탐지 시스템
|
7 |
7
데이터 수집장치가 보안장비로부터 Syslog(System Log) 및 SNMP(Simple Network Management Protocol)을 이용하여 이벤트로그를 포함하는 인공지능 모델의 학습에 필요한 데이터를 수집하고, 수집된 데이터의 이벤트 필드 및 포맷을 정규화 및 분류하여 표준화된 데이터셋을 생성하는 A단계;데이터 전처리장치가 상기 데이터 수집장치가 생성한 표준화된 데이터셋으로부터 특성 데이터를 추출하고 텍스트 기반 인공지능 학습을 위해 필요한 자연어 처리를 멀티 프로세싱 기반으로 데이터를 신속하게 전처리하여 학습데이터셋, 검증데이터셋 및 테스트데이터셋을 생성하는 B단계; 및이상행위 탐지장치가 상기 데이터 전처리장치로부터 가공 처리된 데이터셋을 전송받아 인공지능 모델을 학습시키고, 상기 인공지능 모델을 이용하여 보안장비로부터 수집되는 보안위협 데이터의 이상행위를 탐지하는 C단계;를 포함하고,상기 A단계는,포맷변환부가 상기 보안장비로부터 수집된 데이터를 CSV 포맷으로 변환하는 단계;데이터 정규화부가 상기 포맷변환부가 변환한 데이터를 기 정의된 구분자에 기초하여 개별 필드 단위로 정규화하고, 후보 특성 필드를 선정하는 단계; 및데이터 분류부가 상기 데이터 정규화부가 정규화한 데이터를 분류 체계 테이블에 정의한 이벤트 유형 및 탐지명 그룹별로 학습데이터를 분류하고, 데이터를 다시 학습/검증/테스트 중 어느 하나의 그룹으로 분류하여 데이터셋을 생성하는 단계;를 포함하고,상기 보안장비는,ESM(Enterprise Security Management), SIEM(Security Information 0026# Event Management), IDS(Intrusion Detection System), 머신러닝 솔루션(machine learning solution) 중 적어도 하나를 포함하고,상기 후보 특성 필드는,탐지시작시간, 출발지주소, 목적지주소, 목적지포트, 패킹방향, 프로토콜, 이벤트유형, 탐지명, 패킷길이, 레이블 및 페이로드 중 어느 하나 이상을 포함하는 것을 특징으로 하는 인공지능 기반 보안위협 이상행위 탐지 시스템을 이용한 이상행위 탐지 방법
|
8 |
8
삭제
|
9 |
9
삭제
|
10 |
10
제7항에 있어서,상기 B단계는,데이터 가공 처리부가 디코딩, 불필요한 데이터 제거 및 페이로드 정규화 등을 수행하는 단계;특성정보 변환부가 상기 데이터 가공 처리부로부터 데이터를 전송받아 데이터 범위가 임의로 설정한 기준값 보다 큰 특성 값을 사전에 정의한 값으로 변환(Transformation)하여 데이터 스케일링을 조정하는 단계; 및자연어 사전학습부가 상기 데이터 가공 처리부와 특성정보 변환부가 전처리한 특성 정보를 벡터로 표현하고, 상기 벡터화 된 데이터의 앞뒤 단어 및 문맥 정보를 사전에 학습시켜 학습데이터셋, 검증데이터셋 및 테스트데이터셋을 생성하는 단계;를 포함하는 것을 특징으로 하는 인공지능 기반 보안위협 이상행위 탐지 시스템을 이용한 이상행위 탐지 방법
|
11 |
11
제7항에 있어서,상기 C단계는,인공지능 모델학습부가 상기 데이터 전처리장치가 생성한 학습데이터셋을 통해 복수의 인공지능 모델의 학습을 수행하고, 검증 및 테스트 데이터셋을 통해 복수의 인공지능 모델 중 가장 성능이 높은 인공지능 모델을 선정하여 저장하는 단계;인공지능 모델선택부가 보안장비로부터 보안위협 데이터가 수집되면, 상기 인공지능 모델학습부에 저장된 인공지능 모델 중 어느 하나를 선택하는 단계;인공지능 모델예측부가 상기 인공지능 모델선택부가 선택한 모델을 통해 상기 보안위협 데이터의 정탐 또는 오탐 여부를 자동 판단하여 예측결과 정보를 생성하고, 정탐일 경우 실제 위협을 주는 이상행위 정보를 사용자에게 알려주는 단계; 및이력관리부가 상기 인공지능 모델예측부가 생성한 예측결과 정보를 저장하고, 재학습 시 예측결과 정보를 상기 인공지능 모델학습부로 전송해주는 단계;를 포함하는 것을 특징으로 하는 인공지능 기반 보안위협 이상행위 탐지 시스템을 이용한 이상행위 탐지 방법
|
12 |
12
제11항에 있어서,상기 인공지능 모델학습부는,인공지능 모델의 하이퍼 파라미터를 최적화시키는 Bayesian Optimizer기법을 사용하여, 복수의 인공지능 모델의 AUC 점수를 측정하여 가장 성능이 높은 인공지능 모델을 선정 및 저장하는 것을 특징으로 하는 인공지능 기반 보안위협 이상행위 탐지 시스템을 이용한 이상행위 탐지 방법
|