| 1 |
1
전자 장치에서 공격(attack)을 탐지하는 방법에 있어서,데이터 세트를 획득하는 단계;상기 데이터 세트에 대응되는 하나 이상의 데이터와 관련하여, 클러스터링 기법에 기초하여 상기 하나 이상의 데이터를 정상(normal) 또는 공격으로 분류하는 단계;상기 정상으로 분류된 데이터와 정상 클러스터(normal cluster) 간의 관계 및 상기 정상으로 분류된 데이터와 공격 클러스터(attack cluster) 간의 관계에 기초하여, 상기 정상으로 분류된 데이터 중 상기 공격이 존재하는지 여부를 검증하는 단계;상기 검증 결과 상기 정상으로 분류된 데이터 중 상기 공격이 존재한다고 판단되는 경우, 해당 데이터를 상기 공격으로 재 분류하는 단계; 및상기 공격으로 최종 분류된 데이터를 알려진 공격(known attack) 또는 알려지지 않은 공격(unknown attack)으로 분류하는 단계를 포함하는 공격 탐지 방법
|
| 2 |
2
제1항에 있어서,상기 데이터 세트에 대응되는 하나 이상의 데이터는 상기 데이터 세트가 포함하는 복수의 특징들 중 적어도 일부를 선택함으로써 생성되는 데이터인 것을 특징으로 하는 공격 탐지 방법
|
| 3 |
3
제2항에 있어서,상기 데이터 세트가 포함하는 복수의 특징들 중 일부를 제외시키는 동작을 반복적으로 수행함으로써 상기 복수의 특징들 중 적어도 일부가 선택되는 것을 특징으로 하는 공격 탐지 방법
|
| 4 |
4
제1항에 있어서,상기 클러스터링 기법은 상기 하나 이상의 데이터가 복수의 클러스터에 속하도록 하고, 그 속하는 정도를 소속도(membership)로 수치화하는 소프트 클러스터링 기법(soft-clustering method)에 대응되는 것을 특징으로 하는 공격 탐지 방법
|
| 5 |
5
제4항에 있어서,상기 소프트 클러스터링 기법은 상기 복수의 클러스터별로 대응되는 클러스터 중심(cluster center) 및 상기 소속도를 업데이트하는 과정을 반복적으로 수행함으로써, 미리 설정된 객체 함수(object function)를 최소화하는 상기 클러스터 중심 및 상기 소속도를 획득하는 기법에 대응되는 것을 특징으로 하는 공격 탐지 방법
|
| 6 |
6
제1항에 있어서,상기 공격이 존재하는지 여부를 검증하는 단계는상기 정상으로 분류된 데이터별로 상기 정상 클러스터에 대한 제1소속도 및 상기 공격 클러스터에 대한 제2소속도를 비교하는 단계; 및상기 비교 결과, 제1데이터에 대응되는 상기 제1소속도 및 상기 제2소속도 간의 차이가 미리 설정된 임계치 이하인 경우, 상기 제1데이터가 상기 공격인지 여부를 판단하는 단계를 포함하는 공격 탐지 방법
|
| 7 |
7
제6항에 있어서,상기 제1데이터가 상기 공격인지 여부를 판단하는 단계는상기 제1데이터와 상기 정상 클러스터에 대응되는 클러스터 중심 사이의 거리 및 상기 제1데이터와 상기 공격 클러스터에 대응되는 클러스터 중심 사이의 거리를 비교하는 단계를 포함하는 것을 특징으로 하는 공격 탐지 방법
|
| 8 |
8
제1항에 있어서,상기 알려진 공격 또는 상기 알려지지 않은 공격으로 분류하는 단계는이항 분산(binomial variance)을 일반화하는 지니(Gini) 인덱스를 사용하는 제1모델에 기초하여 상기 공격으로 최종 분류된 데이터가 상기 알려진 공격인지 여부를 판단하는 단계; 및경로 길이에 기반하여 계산되는 이상 점수(anomaly score)를 사용하는 제2모델에 기초하여 상기 공격으로 최종 분류된 데이터 중 상기 알려지지 않은 공격에 해당하는 데이터를 탐지하는 단계 중 적어도 하나를 포함하는 것을 특징으로 하는 공격 탐지 방법
|
| 9 |
9
제8항에 있어서,상기 제1모델은 회귀 및 분석 트리(Classification And Regression Tree, CART) 모델에 대응되는 것을 특징으로 하는 공격 탐지 방법
|
| 10 |
10
제8항에 있어서,상기 제2모델은 아이솔레이션 포레스트(Isolation Forest, iFOREST) 모델에 대응되는 것을 특징으로 하는 공격 탐지 방법
|
| 11 |
11
공격을 탐지하는 방법을 컴퓨터에서 실행시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 비일시적 기록매체에 있어서,상기 프로그램의 코드는,데이터 세트를 획득하는 코드;상기 데이터 세트에 대응되는 하나 이상의 데이터와 관련하여, 클러스터링 기법에 기초하여 상기 하나 이상의 데이터를 정상 또는 공격으로 분류하는 코드;상기 정상으로 분류된 데이터와 정상 클러스터 간의 관계 및 상기 정상으로 분류된 데이터와 공격 클러스터 간의 관계에 기초하여, 상기 정상으로 분류된 데이터 중 상기 공격이 존재하는지 여부를 검증하는 코드;상기 검증 결과 상기 정상으로 분류된 데이터 중 상기 공격이 존재한다고 판단되는 경우, 해당 데이터를 상기 공격으로 재 분류하는 코드; 및상기 공격으로 최종 분류된 데이터를 알려진 공격 또는 알려지지 않은 공격으로 분류하는 코드를 포함하는 컴퓨터로 읽을 수 있는 비일시적 기록매체
|
| 12 |
12
명령어를 저장하는 메모리와, 프로세서를 포함하고, 상기 프로세서는, 상기 메모리와 연결되어, 데이터 세트를 획득하고, 상기 데이터 세트에 대응되는 하나 이상의 데이터와 관련하여, 클러스터링 기법에 기초하여 상기 하나 이상의 데이터를 정상 또는 공격으로 분류하고, 상기 정상으로 분류된 데이터와 정상 클러스터 간의 관계 및 상기 정상으로 분류된 데이터와 공격 클러스터 간의 관계에 기초하여, 상기 정상으로 분류된 데이터 중 상기 공격이 존재하는지 여부를 검증하고, 상기 검증 결과 상기 정상으로 분류된 데이터 중 상기 공격이 존재한다고 판단되는 경우, 해당 데이터를 상기 공격으로 재 분류하고, 상기 공격으로 최종 분류된 데이터를 알려진 공격 또는 알려지지 않은 공격으로 분류하는 전자 장치
|
