| 1 |
1
네트워크 침입 탐지 시스템으로서,네트워크 장비에 연결되어 상기 네트워크 장비를 통해 송수신되는 패킷을 수집하는 패킷 수집부;상기 패킷 수집부에 연결되고, 상기 패킷에 전처리를 수행하여 패킷 플로우를 생성하는 패킷 전처리부; 및상기 패킷 전처리부에 연결되고, 상기 패킷 플로우에 임베딩을 수행하고, 상기 임베딩된 패킷 플로우에 기초하여 네트워크 공격 여부를 탐지하는 모델을 학습하고, 상기 학습된 모델을 사용하여 새로이 수집되는 패킷에 대한 공격 여부 또는 공격 유형을 탐지한 결과를 도출하는 기계학습 모델부를 포함하는 네트워크 침입 탐지 시스템
|
| 2 |
2
제1항에 있어서, 상기 패킷 수집부는 데이터베이스를 포함하고,상기 패킷 수집부는상기 패킷의 맥(media access control, MAC) 주소, 아이피 주소(IP address), 및 트랜스포트 레벨 프로토콜(transport level protocol)을 확인하여 상기 패킷을 구분하고, 상기 구분된 패킷을 상기 데이터베이스에 저장하는 네트워크 침입 탐지 시스템
|
| 3 |
3
제1항에 있어서, 상기 패킷 수집부는 상기 패킷을 순차적인 흐름으로 분석하기 위해 상기 패킷의 패킷 헤더 정보에 기초하여 상기 패킷을 분류하는 네트워크 침입 탐지 시스템
|
| 4 |
4
제3항에 있어서, 상기 패킷 수집부는 상기 패킷 헤더 정보를 기준으로 상기 패킷의 송신자 및 수신자가 동일한 패킷의 흐름을 나타내는 플로우에 해당하는 패킷을 분류하는 네트워크 침입 탐지 시스템
|
| 5 |
5
제4항에 있어서, 상기 패킷 수집부는 상기 패킷의 소스 아이피 주소(source IP address), 목적지 아이피 주소(destination IP address), 소스 포트 번호(source port number), 목적지 포트 번호(destination port number), 및 트랜스포트 레벨 프로토콜의 필드가 동일한 패킷을 상기 송신자와 상기 수신자가 동일한 패킷으로 간주하여 동일한 플로우에 해당하는 패킷으로 분류하는 네트워크 침입 탐지 시스템
|
| 6 |
6
제1항에 있어서, 상기 패킷 플로우는 복수의 패킷으로 구성되고 상기 복수의 패킷 각각이 소정의 길이를 갖는 네트워크 침입 탐지 시스템
|
| 7 |
7
제6항에 있어서, 상기 패킷 플로우는 20개의 패킷으로 구성되고, 상기 복수의 패킷 각각은 800 바이트의 길이를 갖는 네트워크 침입 탐지 시스템
|
| 8 |
8
제7항에 있어서, 상기 패킷 플로우는 20×800의 크기의 행렬 형태로 구성되는 네트워크 침입 탐지 시스템
|
| 9 |
9
제6항에 있어서, 상기 패킷 전처리부는 상기 패킷의 소스 아이피 주소, 목적지 아이피 주소, 소스 맥 주소 및 목적지 맥 주소를 사전 설정된 값으로 대체하는 네트워크 침입 탐지 시스템
|
| 10 |
10
제1항에 있어서, 상기 기계학습 모델부는상기 패킷 플로우에 기초하여 상기 패킷을 구성하는 바이트들에 대한 바이트 임베딩을 생성하는 바이트 임베딩 처리부;상기 바이트 임베딩 처리부에 연결되고, 상기 바이트 임베딩을 종합하여 상기 패킷에 대한 패킷 임베딩을 생성하는 패킷 임베딩 처리부;상기 패킷 임베딩 처리부에 연결되고, 상기 패킷 임베딩에 기초하여 상기 패킷 플로우에 대한 플로우 임베딩을 생성하는 플로우 임베딩 처리부; 및상기 플로우 임베딩 처리부에 연결되고, 상기 플로우 임베딩에 기초하여 상기 패킷 플로우를 분류하는 패킷 플로우 분류 처리부를 포함하는 네트워크 침입 탐지 시스템
|
| 11 |
11
제10항에 있어서, 상기 바이트 임베딩 처리부는 상기 패킷을 구성하고 있는 바이트 정보를 반영한 상기 바이트 임베딩을 생성하는 네트워크 침입 탐지 시스템
|
| 12 |
12
제11항에 있어서, 상기 바이트 임베딩 처리부는단순 임베딩 부분 및 상기 바이트 임베딩에 위치 정보를 추가하는 위치 정보 인코딩 부분;상기 패킷을 구성하는 상기 바이트들의 관계를 파악하고 상기 바이트들 각각의 문맥 정보를 포함하는 임베딩을 찾아내는 멀티 헤드 어텐션을 수행하는 멀티 헤드 어텐션(multi-head attention) 부분; 및상기 멀티 헤드 어텐션을 통해 출력되는 상기 바이트 임베딩을 비선형 변환시키는 전결합 층을 포함하는 네트워크 침입 탐지 시스템
|
| 13 |
13
제12항에 있어서, 상기 바이트 임베딩 처리부는 상기 위치 정보 인코딩을 통해 상기 패킷의 바이트의 순서 정보를 유지시키는 네트워크 침입 탐지 시스템
|
| 14 |
14
제12항에 있어서, 상기 바이트 임베딩 처리부는 상기 멀티 헤드 어텐션을 통해 상기 바이트 임베딩 처리부에 입력되는 입력 값 사이의 관계를 파악하는 네트워크 침입 탐지 시스템
|
| 15 |
15
제12항에 있어서, 상기 패킷 임베딩 처리부는 애디티브 어텐션(additive attention)을 사용하여 상기 패킷 임베딩을 생성하는 네트워크 침입 탐지 시스템
|
| 16 |
16
제15항에 있어서, 상기 애디티브 어텐션은 전결합 층 및 소프트 맥스 함수로 구성되는 네트워크 침입 탐지 시스템
|
| 17 |
17
제10항에 있어서, 상기 플로우 임베딩 처리부는 애디티브 어텐션을 사용하여 상기 플로우 임베딩을 생성하는 네트워크 침입 탐지 시스템
|
| 18 |
18
제10항에 있어서, 상기 플로우 임베딩 처리부는 전결합 층 및 소프트 맥스 함수를 사용하여 상기 플로우 임베딩을 생성하는 네트워크 침입 탐지 시스템
|
| 19 |
19
제10항에 있어서, 상기 패킷 플로우 분류 처리부는 상기 플로우 임베딩을 사용하여 패킷 플로우의 공격 여부 또는 공격 유형의 탐지를 수행하는 네트워크 침입 탐지 시스템
|
| 20 |
20
제19항에 있어서, 상기 패킷 플로우 분류 처리부는 전결합 층 및 소프트 맥스 함수에 상기 플로우 임베딩을 통과시켜 공격 여부 또는 공격 유형의 탐지를 수행하는 네트워크 침입 탐지 시스템
|
| 21 |
21
네트워크 침입 탐지 시스템에서의 네트워크 침입 탐지 방법으로서,상기 네트워크 침입 탐지 시스템의 패킷 수집부에서, 네트워크 장비를 통해 송수신되는 패킷을 수집하는 단계;상기 네트워크 침입 탐지 시스템의 패킷 전처리부에서, 상기 패킷에 전처리를 수행하여 패킷 플로우를 생성하는 단계;상기 네트워크 침입 탐지 시스템의 기계학습 모델부에서, 상기 패킷 플로우에 임베딩을 수행하여 네트워크 공격 여부를 탐지하는 모델을 학습하는 단계; 및상기 기계학습 모델부에서, 상기 학습된 모델을 사용하여 새로이 수집되는 패킷에 대한 공격 여부 또는 공격 유형을 탐지한 결과를 도출하는 단계를 포함하는 네트워크 침입 탐지 방법
|
| 22 |
22
제21항에 있어서, 상기 패킷 수집부는 데이터베이스를 포함하고,상기 패킷을 수집하는 단계는상기 패킷의 맥 주소, 아이피 주소, 및 트랜스포트 레벨 프로토콜을 확인하여 상기 패킷을 구분하는 단계; 및상기 구분된 패킷을 상기 데이터베이스에 저장하는 단계를 포함하는 네트워크 침입 탐지 방법
|
| 23 |
23
제21항에 있어서, 상기 패킷을 수집하는 단계는상기 패킷을 순차적인 흐름으로 분석하기 위해 상기 패킷의 패킷 헤더 정보에 기초하여 상기 패킷을 분류하는 단계를 포함하는 네트워크 침입 탐지 방법
|
| 24 |
24
제23항에 있어서, 상기 패킷을 분류하는 단계는상기 패킷 헤더 정보를 기준으로 상기 패킷의 송신자 및 수신자가 동일한 패킷의 흐름을 나타내는 플로우에 해당하는 패킷을 분류하는 단계를 포함하는 네트워크 침입 탐지 방법
|
| 25 |
25
제24항에 있어서, 상기 패킷을 분류하는 단계는상기 패킷의 소스 아이피 주소, 목적지 아이피 주소, 소스 포트 번호, 목적지 포트 번호, 및 트랜스포트 레벨 프로토콜의 필드가 동일한 패킷을 상기 송신자와 상기 수신자가 동일한 패킷으로 간주하여 동일한 플로우에 해당하는 패킷으로 분류하는 단계를 포함하는 네트워크 침입 탐지 방법
|
| 26 |
26
제21항에 있어서, 상기 패킷 플로우는 복수의 패킷으로 구성되고 상기 복수의 패킷 각각이 소정의 길이를 갖는 네트워크 침입 탐지 방법
|
| 27 |
27
제26항에 있어서, 상기 패킷 플로우는 20개의 패킷으로 구성되고, 상기 복수의 패킷 각각은 800 바이트의 길이를 갖는 네트워크 침입 탐지 방법
|
| 28 |
28
제27항에 있어서, 상기 패킷 플로우는 20×800의 크기의 행렬 형태로 구성되는 네트워크 침입 탐지 방법
|
| 29 |
29
제26항에 있어서, 상기 패킷에 전처리부를 수행하여 패킷 플로우를 생성하는 단계는상기 패킷의 소스 아이피 주소, 목적지 아이피 주소, 소스 맥 주소 및 목적지 맥 주소를 사전 설정된 값으로 대체하는 단계를 포함하는 네트워크 침입 탐지 방법
|
| 30 |
30
제21항에 있어서, 상기 기계학습 모델부는 바이트 임베딩 처리부, 패킷 임베딩 처리부, 플로우 임베딩 처리부 및 패킷 플로우 분류 처리부를 포함하고,상기 패킷 플로우를 임베딩으로 변환하여 네트워크 공격 여부를 탐지하는 모델을 학습하는 단계는상기 바이트 임베딩 처리부에서, 상기 패킷 플로우에 기초하여 상기 패킷을 구성하는 바이트들에 대한 바이트 임베딩을 생성하는 단계;상기 패킷 임베딩 처리부에서, 상기 바이트 임베딩을 종합하여 상기 패킷에 대한 패킷 임베딩을 생성하는 단계;상기 플로우 임베딩 처리부에서, 상기 패킷 임베딩에 기초하여 상기 패킷 플로우에 대한 플로우 임베딩을 생성하는 단계; 및상기 패킷 플로우 분류 처리부에서, 상기 플로우 임베딩에 기초하여 상기 패킷 플로우를 분류하는 단계를 포함하는 네트워크 침입 탐지 방법
|
| 31 |
31
제30항에 있어서, 상기 바이트 임베딩을 생성하는 단계는상기 패킷을 구성하고 있는 바이트 정보를 반영한 상기 바이트 임베딩을 생성하는 단계를 포함하는 네트워크 침입 탐지 방법
|
| 32 |
32
제31항에 있어서, 상기 바이트 임베딩 처리부는단순 임베딩 부분 및 상기 바이트 임베딩에 위치 정보를 추가하는 위치 정보 인코딩 부분;상기 패킷을 구성하는 상기 바이트들의 관계를 파악하고 상기 바이트들 각각의 문맥 정보를 포함하는 임베딩을 찾아내는 멀티 헤드 어텐션을 수행하는 멀티 헤드 어텐션 부분; 및상기 멀티 헤드 어텐션을 통해 출력되는 상기 바이트 임베딩을 비선형 변환시키는 전결합 층을 포함하는 네트워크 침입 탐지 방법
|
| 33 |
33
제32항에 있어서, 상기 바이트 임베딩을 생성하는 단계는상기 위치 정보 인코딩을 통해 상기 패킷의 바이트의 순서 정보를 유지시키는 단계를 포함하는 네트워크 침입 탐지 방법
|
| 34 |
34
제32항에 있어서, 상기 바이트 임베딩을 생성하는 단계는상기 멀티 헤드 어텐션을 통해 상기 바이트 임베딩 처리부에 입력되는 입력 값 사이의 관계를 파악하는 단계를 포함하는 네트워크 침입 탐지 방법
|
| 35 |
35
제32항에 있어서, 상기 패킷 임베딩을 생성하는 단계는애디티브 어텐션을 사용하여 상기 패킷 임베딩을 생성하는 단계를 포함하는 네트워크 침입 탐지 방법
|
| 36 |
36
제35항에 있어서, 상기 패킷 임베딩을 생성하는 단계는전결합 층 및 소프트 맥스 함수를 사용하여 상기 패킷 임베딩을 생성하는 단계를 포함하는 네트워크 침입 탐지 방법
|
| 37 |
37
제30항에 있어서, 상기 플로우 임베딩을 생성하는 단계는애디티브 어텐션을 사용하여 상기 플로우 임베딩을 생성하는 단계를 포함하는 네트워크 침입 탐지 방법
|
| 38 |
38
제30항에 있어서, 상기 플로우 임베딩을 생성하는 단계는전결합 층 및 소프트 맥스 함수를 사용하여 상기 플로우 임베딩을 생성하는 단계를 포함하는 네트워크 침입 탐지 방법
|
| 39 |
39
제30항에 있어서, 상기 패킷 플로우를 분류하는 단계는상기 플로우 임베딩을 사용하여 패킷 플로우의 공격 여부 또는 공격 유형의 탐지를 수행하는 단계를 포함하는 네트워크 침입 탐지 방법
|
| 40 |
40
제39항에 있어서, 상기 패킷 플로우를 분류하는 단계는전결합 층 및 소프트 맥스 함수에 상기 플로우 임베딩을 통과시켜 공격 여부 또는 공격 유형의 탐지를 수행하는 단계를 포함하는 네트워크 침입 탐지 방법
|
