| 1 |
1
네트워크 공격 탐지 시스템으로서, 네트워크 장비를 통해 수집되는 패킷에 기초하여 플로우 단위의 패킷 플로우를 생성하고 상기 패킷 플로우에 대해 전처리를 수행하는 패킷 처리부;상기 패킷 처리부에 연결되고, 상기 패킷 처리부에 의해 전처리된 상기 패킷 플로우에 대해 기계학습 모델을 기반으로 패킷 플로우 임베딩을 도출하는 기계학습 모델부; 및상기 기계학습 모델부에 연결되고, 상기 패킷 플로우 임베딩에 기초하여 원천 탐지를 위한 군집화 분석을 수행하는 군집화 모델부를 포함하는 네트워크 공격 탐지 시스템
|
| 2 |
2
제1항에 있어서, 상기 패킷 처리부는상기 네트워크 장비에 연결되고 상기 네트워크 장비를 통해 송수신되는 상기 패킷을 수집하는 패킷 수집부;상기 패킷 수집부에 연결되고, 상기 패킷 수집부에 의해 수집된 상기 패킷의 헤더 필드 정보에 기초하여 상기 패킷을 1차적으로 분류하는 패킷 분류부;상기 패킷 분류부에 연결되고, 상기 패킷 분류부에 의해 상기 1차적으로 분류된 패킷에 대해 패킷 플로우별로 2차적으로 분류하는 패킷 플로우 분류부; 및상기 패킷 플로우 분류부에 연결되고, 상기 패킷 플로우 분류부에 의해 상기 2차적으로 분류된 패킷 플로우에 대해 전처리를 수행하는 패킷 전처리부를 포함하는 네트워크 공격 탐지 시스템
|
| 3 |
3
제2항에 있어서, 상기 헤더 필드 정보는 소스 아이피 주소(source IP address), 목적지 아이피 주소(destination IP address), 소스 포트 번호(source port number) 및 목적지 포트 번호(destination port number)를 포함하는 네트워크 공격 탐지 시스템
|
| 4 |
4
제2항에 있어서, 상기 패킷 분류부는 상기 헤더 필드 정보에 기초하여 TCP(transmission control protocol) 패킷 및 UDP(user datagram protocol) 패킷을 1차적으로 분류하는 네트워크 공격 탐지 시스템
|
| 5 |
5
제2항에 있어서, 상기 패킷 플로우 분류부는 상기 1차적으로 분류된 패킷에 대해 소스 아이피 주소, 목적지 아이피 주소, 소스 포트 번호 및 목적지 포트 번호가 공통된 패킷의 송수신을 나타내는 상기 패킷 플로우별로 2차원적으로 분류하는 네트워크 공격 탐지 시스템
|
| 6 |
6
제2항에 있어서, 상기 패킷 플로우는 10개의 패킷으로 구성되고, 상기 패킷은 160 바이트의 길이를 갖는 네트워크 공격 탐지 시스템
|
| 7 |
7
제6항에 있어서, 상기 패킷 플로우는 10×160의 행렬 형태를 갖는 네트워크 공격 탐지 시스템
|
| 8 |
8
제7항에 있어서, 상기 패킷 전처리부는상기 패킷 플로우에 대해 임베딩을 찾기 위한 상기 기계학습 모델을 학습하는 단계인지 여부를 판단하고,상기 패킷 플로우에 대해 임베딩을 찾기 위한 상기 기계학습 모델을 학습하는 단계인 것으로 판단되면, 상기 패킷 플로우의 맥 주소, 소스 아이피 주소, 목적지 아이피 주소, 소스 포트 번호 및 목적지 포트 번호에 대해 임의의 값으로 변환하는 랜덤화 처리를 수행하고,상기 랜덤화 처리된 상기 패킷 플로우에 대해 사전 설정된 크기의 행렬 형태로 변경하는 네트워크 공격 탐지 시스템
|
| 9 |
9
제8항에 있어서, 상기 사전 설정된 크기의 행렬 형태는 40×40의 행렬 형태를 포함하는 네트워크 공격 탐지 시스템
|
| 10 |
10
제7항에 있어서, 상기 패킷 전처리부는상기 패킷 플로우에 대해 임베딩을 찾기 위한 상기 기계학습 모델을 사용하는 단계인지 여부를 판단하고,상기 패킷 플로우에 대해 상기 기계학습 모델을 사용하는 단계인 것으로 판단되면, 상기 패킷 플로우에 대해 사전 설정된 크기의 행렬 형태로 변경하는 네트워크 공격 탐지 시스템
|
| 11 |
11
제10항에 있어서, 상기 사전 설정된 크기의 행렬 형태는 40×40의 행렬 형태를 포함하는 네트워크 공격 탐지 시스템
|
| 12 |
12
제1항에 있어서, 상기 기계학습 모델부는 상기 패킷의 공간적 특징을 추출할 수 있는 합성곱 신경망 및 시간적 특징을 추출할 수 있는 순환 신경망을 결합한 상기 기계학습 모델을 사용하는 네트워크 공격 탐지 시스템
|
| 13 |
13
제12항에 있어서, 상기 기계학습 모델부는상기 전처리된 패킷 플로우를 이용하여 상기 기계학습 모델에 해당하는 임베딩 모델을 학습하는 패킷 플로우 임베딩 모델 학습부; 및상기 패킷 플로우 임베딩 모델 학습부에 연결되고, 상기 패킷 플로우 임베딩 모델 학습부에 의해 학습된 상기 임베딩 모델을 사용하여 새로운 패킷 플로우에 대해 임베딩 처리를 수행하여 패킷 플로우 임베딩을 생성하는 패킷 플로우 임베딩 생성부를 포함하는 네트워크 공격 탐지 시스템
|
| 14 |
14
제13항에 있어서, 상기 패킷 플로우 임베딩 모델 학습부는 상기 패킷 플로우와 상기 패킷 플로우의 공격 성향 여부 또는 공격 방식 라벨 쌍을 사용하여 상기 임베딩 모델을 학습하는 네트워크 공격 탐지 시스템
|
| 15 |
15
제13항에 있어서, 상기 임베딩 모델은상기 패킷 플로우에 대해 공간적 정보를 추출하고, 상기 공간적 정보를 포함하는 임베딩을 도출하는 합성곱 신경망부;상기 합성곱 신경망부에 연결되고, 상기 순환 신경망을 사용하여 상기 임베딩에 대해 시간적 정보를 추출하고, 상기 공간적 정보 및 상기 시간적 정보를 포함하는 상기 임베딩을 도출하는 순환 신경망부; 및상기 순환 신경망부에 연결되고, 상기 임베딩에 대해 차원 축소 처리를 수행하는 차원 축소부를 포함하는 네트워크 공격 탐지 시스템
|
| 16 |
16
제15항에 있어서, 상기 순환 신경망은 LSTM(long short-term memory) 신경망을 포함하는 네트워크 공격 탐지 시스템
|
| 17 |
17
제15항에 있어서, 상기 차원 축소부는 주성분 분석 알고리즘을 이용하여 상기 차원 축소 처리를 수행하는 네트워크 공격 탐지 시스템
|
| 18 |
18
제13항에 있어서, 상기 군집화 모델부는상기 패킷 플로우 임베딩 생성부에 의해 생성된 상기 패킷 플로우 임베딩을 원천 정보로서 사용하여 군집화 모델을 학습하는 군집화 모델 학습부; 및상기 군집화 모델 학습부에 연결되고, 상기 군집화 모델 학습부에 의해 학습된 상기 군집화 모델을 사용하여 새로운 패킷 플로우에 대해 원천 탐지를 수행하는 군집 분석부를 포함하는 네트워크 공격 탐지 시스템
|
| 19 |
19
제18항에 있어서, 상기 군집화 모델 학습부는 k-평균 알고리즘을 사용하여 벡터 거리 기반 유사도로 군집화를 수행하는 네트워크 공격 탐지 시스템
|
| 20 |
20
제18항에 있어서, 상기 군집화 모델 학습부는 사전 설정된 개수의 군집 중심점을 설정하고, 상기 패킷 플로우 임베딩을 가장 유사한 군집 중심점으로 할당하고, 상기 패킷 플로우 임베딩과 중심점 간의 거리 차이가 최소화되도록 사전 설정된 개수의 클러스터를 각각 이동시키는 학습 과정을 수행하여 상기 군집화 모델을 학습하는 네트워크 공격 탐지 시스템
|
| 21 |
21
제18항에 있어서, 상기 군집 분석부는 상기 군집화 모델을 사용하여 상기 새로운 패킷 플로우에 대해 유사한 패킷 플로우 임베딩으로 이루어진 군집을 검출하고, 상기 새로운 패킷 플로우를 상기 검출된 군집과 유사한 원천으로 분류하는 네트워크 공격 탐지 시스템
|
| 22 |
22
네트워크 공격 탐지 시스템에서의 네트워크 공격 탐지 방법으로서,상기 네트워크 공격 탐지 시스템의 패킷 처리부에서, 네트워크 장비를 통해 수집되는 패킷에 기초하여 플로우 단위의 패킷 플로우를 생성하여 전처리를 수행하는 단계;상기 네트워크 공격 탐지 시스템의 기계학습 모델부에서, 상기 전처리된 패킷 플로우에 대해 기계학습 모델을 기반으로 패킷 플로우 임베딩을 도출하는 단계; 및상기 네트워크 공격 탐지 시스템의 군집화 모델부에서, 상기 패킷 플로우 임베딩에 기초하여 원천 탐지를 위한 군집화 분석을 수행하는 단계를 포함하는 네트워크 공격 탐지 방법
|
| 23 |
23
제22항에 있어서, 상기 패킷 플로우를 생성하는 단계는상기 네트워크 장비를 통해 송수신되는 상기 패킷을 수집하는 단계;상기 패킷의 헤더 필드 정보에 기초하여 상기 패킷을 1차적으로 분류하는 단계;상기 1차적으로 분류된 패킷에 대해 패킷 플로우별로 2차적으로 분류하는 단계; 및상기 2차적으로 분류된 상기 패킷 플로우에 대해 전처리를 수행하는 단계를 포함하는 네트워크 공격 탐지 방법
|
| 24 |
24
제23항에 있어서, 상기 헤더 필드 정보는 소스 아이피 주소, 목적지 아이피 주소, 소스 포트 번호 및 목적지 포트 번호를 포함하는 네트워크 공격 탐지 방법
|
| 25 |
25
제23항에 있어서, 상기 패킷을 1차적으로 분류하는 단계는상기 헤더 필드 정보에 기초하여 TCP 패킷 및 UDP 패킷을 1차적으로 분류하는 단계를 포함하는 네트워크 공격 탐지 방법
|
| 26 |
26
제23항에 있어서, 상기 1차적으로 분류된 패킷에 대해 패킷 플로우별로 2차적으로 분류하는 단계는상기 1차적으로 분류된 패킷에 대해 소스 아이피 주소, 목적지 아이피 주소, 소스 포트 번호 및 목적지 포트 번호가 공통된 패킷의 송수신을 나타내는 상기 패킷 플로우별로 2차적으로 분류하는 단계를 포함하는 네트워크 공격 탐지 방법
|
| 27 |
27
제23항에 있어서, 상기 패킷 플로우는 10개의 패킷으로 구성되고, 상기 패킷은 160 바이트의 길이를 갖는 네트워크 공격 탐지 방법
|
| 28 |
28
제27항에 있어서, 상기 패킷 플로우는 10×160의 행렬 형태를 갖는 네트워크 공격 탐지 방법
|
| 29 |
29
제28항에 있어서, 상기 2차적으로 분류된 상기 패킷 플로우에 대해 전처리를 수행하는 단계는상기 패킷 플로우에 대해 임베딩을 찾기 위한 상기 기계학습 모델을 학습하는 단계인지 여부를 판단하는 단계;상기 패킷 플로우에 대해 임베딩을 찾기 위한 상기 기계학습 모델을 학습하는 단계인 것으로 판단되면, 상기 패킷 플로우의 맥 주소, 소스 아이피 주소, 목적지 아이피 주소, 소스 포트 번호 및 목적지 포트 번호에 대해 임의의 값으로 변환하는 랜덤화 처리를 수행하는 단계; 및상기 랜덤화 처리된 상기 패킷 플로우에 대해 사전 설정된 크기의 행렬 형태로 변경하는 단계를 포함하는 네트워크 공격 탐지 방법
|
| 30 |
30
제29항에 있어서, 상기 사전 설정된 크기의 행렬 형태는 40×40의 행렬 형태를 포함하는 네트워크 공격 탐지 방법
|
| 31 |
31
제28항에 있어서, 상기 2차적으로 분류된 상기 패킷 플로우에 대해 전처리를 수행하는 단계는상기 패킷 플로우에 대해 임베딩을 찾기 위한 상기 기계학습 모델을 사용하는 단계인지 여부를 판단하는 단계; 및상기 패킷 플로우에 대해 임베딩을 찾기 위한 상기 기계학습 모델을 사용하는 단계인 것으로 판단되면, 상기 패킷 플로우에 대해 사전 설정된 크기의 행렬 형태로 변경하는 단계를 포함하는 네트워크 공격 탐지 방법
|
| 32 |
32
제31항에 있어서, 상기 사전 설정된 크기의 행렬 형태는 40×40의 행렬 형태를 포함하는 네트워크 공격 탐지 방법
|
| 33 |
33
제22항에 있어서, 상기 전처리된 패킷 플로우에 대해 기계학습 모델을 기반으로 패킷 플로우 임베딩을 도출하는 단계는상기 패킷의 공간적 특징을 추출할 수 있는 합성곱 신경망 및 시간적 특징을 추출할 수 있는 순환 신경망을 결합한 상기 기계학습 모델을 사용하여 상기 패킷 플로우 임베딩을 도출하는 단계를 포함하는 네트워크 공격 탐지 방법
|
| 34 |
34
제33항에 있어서, 상기 패킷 플로우 임베딩을 도출하는 단계는상기 전처리된 패킷 플로우를 사용하여 상기 기계학습 모델에 해당하는 임베딩 모델을 학습하는 단계; 및상기 학습된 임베딩 모델을 사용하여 새로운 패킷 플로우에 대해 임베딩 처리를 수행하여 상기 패킷 플로우 임베딩을 생성하는 단계를 포함하는 네트워크 공격 탐지 방법
|
| 35 |
35
제34항에 있어서, 상기 전처리된 패킷 플로우를 이용하여 상기 기계학습 모델에 해당하는 임베딩 모델을 학습하는 단계는상기 패킷 플로우와 상기 패킷 플로우의 공격 성향 여부 또는 공격 방식 라벨 쌍을 사용하여 상기 임베딩 모델을 학습하는 단계를 포함하는 네트워크 공격 탐지 방법
|
| 36 |
36
제34항에 있어서, 상기 전처리된 패킷 플로우를 이용하여 상기 기계학습 모델에 해당하는 임베딩 모델을 학습하는 단계는상기 패킷 플로우에 대해 공간적 정보를 추출하여 상기 공간적 정보를 포함하는 임베딩을 도출하는 단계;상기 순환 신경망을 사용하여 상기 임베딩에 대해 시간적 정보를 추출하여 상기 공간적 정보 및 상기 시간적 정보를 포함하는 상기 임베딩을 도출하는 단계; 및상기 임베딩에 대해 차원 축소 처리를 수행하는 단계를 포함하는 네트워크 공격 탐지 방법
|
| 37 |
37
제36항에 있어서, 상기 순환 신경망은 LSTM 신경망을 포함하는 네트워크 공격 탐지 방법
|
| 38 |
38
제36항에 있어서, 상기 임베딩에 대해 차원 축소 처리를 수행하는 단계는주성분 분석 알고리즘을 이용하여 상기 차원 축소 처리를 수행하는 단계를 포함하는 네트워크 공격 탐지 방법
|
| 39 |
39
제34항에 있어서, 상기 패킷 플로우 임베딩에 기초하여 원천 탐지를 위한 군집화 분석을 수행하는 단계는상기 패킷 플로우 임베딩을 원천 정보로서 사용하여 군집화 모델을 학습하는 단계; 및상기 학습된 군집화 모델을 사용하여 새로운 패킷 플로우에 대해 원천 탐지를 수행하는 단계를 포함하는 네트워크 공격 탐지 방법
|
| 40 |
40
제39항에 있어서, 상기 군집화 모델을 학습하는 단계는k-평균 알고리즘을 사용하여 벡터 거리 기반 유사도로 군집화를 수행하는 단계를 포함하는 네트워크 공격 탐지 방법
|
| 41 |
41
제39항에 있어서, 상기 군집화 모델을 학습하는 단계는사전 설정된 개수의 군집 중심점을 설정하는 단계;상기 패킷 플로우 임베딩을 가장 유사한 군집 중심점으로 할당하는 단계; 및상기 패킷 플로우 임베딩과 중심점 간의 거리 차이가 최소화되도록 사전 설정된 개수의 클러스터를 각각 이동시키는 단계를 포함하는 네트워크 공격 탐지 방법
|
| 42 |
42
제39항에 있어서, 상기 학습된 군집화 모델을 사용하여 새로운 패킷 플로우에 대해 원천 탐지를 수행하는 단계는상기 학습된 군집화 모델을 사용하여 상기 새로운 패킷 플로우에 대해 유사한 패킷 플로우 임베딩으로 이루어진 군집을 검출하는 단계; 및상기 새로운 패킷 플로우를 상기 검출된 군집과 유사한 원천으로 분류하는 단계를 포함하는 네트워크 공격 탐지 방법
|
