1 |
1
적어도 하나의 프로그램 및 이상 행위 예측 모델이 기록된 메모리; 및프로그램을 실행하는 프로세서를 포함하며,프로그램은,네트워크로부터 수신된 플로우의 송신 주소를 기준으로 프로파일을 생성하는 단계;플로우의 송신 주소에 상응하는 기기의 네트워크 상의 행위 이상도를 측정하고, 측정된 행위 이상도를 심볼릭 공간의 행위 심볼로 매핑하는 단계; 프로파일별로 행위 심볼이 순차적으로 연결된 행위 심볼 시퀀스 패턴을 생성하는 단계; 및행위 심볼 시퀀스 패턴을 입력으로 하는 이상 행위 예측 모델의 출력을 기반으로 공격 여부 및 공격에 연관된 기기를 탐지하는 단계를 수행하는, 심볼릭 공간에서의 네트워킹 행위 이상도 측정 기반 공격 탐지 장치
|
2 |
2
제1 항에 있어서, 행위 이상도는, 그 측정 지표로, 행위 주기도, 행위 친숙도 및 행위 엔트로피 중 적어도 하나를 포함하고, 프로그램은, 매핑하는 단계에서, 행위 주기도, 행위 친숙도 및 행위 엔트로피 각각에 대해 심볼릭 공간의 행위 심볼로 매핑하는, 심볼릭 공간에서의 네트워킹 행위 이상도 측정 기반 공격 탐지 장치
|
3 |
3
제2 항에 있어서, 프로그램은,매핑하는 단계에서, 플로우 크기, 플로우 지속 시간 및 플로우들 간의 도착 시간차를 기반으로 행위 주기 심볼 및 행위 빈도 심볼을 생성하는 단계; 및행위 주기 심볼 및 행위 빈도 심볼을 결합하여 행위 주기도 심볼을 생성하는 단계를 수행하는, 심볼릭 공간에서의 네트워킹 행위 이상도 측정 기반 공격 탐지 장치
|
4 |
4
제2 항에 있어서, 메모리에는, 정상 상태의 네트워크 플로우 데이터셋을 기반으로 미리 생성된 네트워크 친숙도 모델이 더 기록되고, 프로그램은,매핑하는 단계에서, 플로우로부터 추출된 적어도 하나의 키값이 네트워크 친숙도 모델 사전을 존재하는지의 여부에 따라 행위 친숙도를 측정하는 단계; 및측정된 친숙도를 심볼에 매핑하는 단계를 수행하는, 심볼릭 공간에서의 네트워킹 행위 이상도 측정 기반 공격 탐지 장치
|
5 |
5
제2 항에 있어서, 프로그램은,매핑하는 단계에서, 포트 스캐닝 엔트로피 및 타겟 스캐닝 엔트로피를 측정하는 단계; 측정된 포트 스캐닝 엔트로피 및 타겟 스캐닝 엔트로피 각각을 심볼에 매핑하는 단계; 및매핑된 두 개의 심볼들을 결합하여 두 개의 문자 크기의 엔트로피 심볼을 생성하는 단계를 수행하되, 심볼릭 공간에서의 네트워킹 행위 이상도 측정 기반 공격 탐지 장치
|
6 |
6
제2 항에 있어서, 프로그램은,행위 심볼 시퀀스 패턴을 생성하는 단계에서, 행위 주기도 심볼, 행위 친숙도 심볼 및 행위 엔트로피 심볼을 결합하여 3차원 행위 심볼을 생성하는 단계; 및생성된 3차원 행위 심볼을 해당 프로파일의 행위 심볼 시퀀스에 추가하는 단계를 수행하는, 심볼릭 공간에서의 네트워킹 행위 이상도 측정 기반 공격 탐지 장치
|
7 |
7
제1 항에 있어서, 이상 행위 예측 모델은, 프로파일 별 행위 심볼 시퀀스 패턴에 정상 상태 또는 이상 상태 중 하나가 라벨링된 훈련 데이터 셋을 기반으로 미리 학습된 것인, 심볼릭 공간에서의 네트워킹 행위 이상도 측정 기반 공격 탐지 장치
|
8 |
8
제1 항에 있어서, 프로그램은,탐지하는 단계에서, 행위 심볼 시퀀스 패턴을 이상 행위 예측 모델의 입력 데이터로 전처리하는 단계를 더 수행하되, 전처리하는 단계는, 행위 심볼 시퀀스를 숫자 리스트로 변환하는 단계;변환된 행위 심볼 시퀀스를 이상 행위 예측 모델의 훈련 데이터로 사용된 행위 심볼 시퀀스의 길이와 동일해지도록 제로 패딩하는 단계; 및제로 패딩된 행위 심볼 시퀀스를 워드임베딩하여 이상 행위 예측 모델의 입력 데이터 포맷으로 변환하는 단계를 포함하는, 심볼릭 공간에서의 네트워킹 행위 이상도 측정 기공반 랜섬웨어 공격 탐지 장치
|
9 |
9
제1 항에 있어서, 프로그램은,탐지하는 단계에서, 행위 심볼 시퀀스 패턴을 입력한 이상 행위 예측 모델로부터 스코어를 획득하는 단계;스코어가 소정 임계치 이상인지를 판단하는 단계; 및소정 임계치 이상일 경우 공격 출현을 탐지하고, 프로파일을 기반으로 공격 또는 감염 기기 중 적어도 하나를 식별하는 단계를 수행하는, 심볼릭 공간에서의 네트워킹 행위 이상도 측정 기반 공격 탐지 장치
|
10 |
10
네트워크로부터 수신된 플로우의 송신 주소를 기준으로 프로파일을 생성하는 단계;플로우의 송신 주소에 상응하는 기기의 네트워크 상의 행위 이상도를 측정하고, 측정된 행위 이상도를 심볼릭 공간의 행위 심볼로 매핑하는 단계; 프로파일별로 행위 심볼이 순차적으로 연결된 행위 심볼 시퀀스 패턴을 생성하는 단계; 및행위 심볼 시퀀스 패턴을 입력으로 하는 이상 행위 예측 모델의 출력을 기반으로 공격 여부 및 공격에 연관된 기기를 탐지하는 단계를 포함하는, 심볼릭 공간에서의 네트워킹 행위 이상도 측정 기반 공격 탐지 방법
|
11 |
11
제10 항에 있어서, 행위 이상도는, 그 측정 지표로, 행위 주기도, 행위 친숙도 및 행위 엔트로피 중 적어도 하나를 포함하고, 매핑하는 단계는, 행위 주기도, 행위 친숙도 및 행위 엔트로피 각각에 대해 심볼릭 공간의 행위 심볼로 매핑하는, 심볼릭 공간에서의 네트워킹 행위 이상도 측정 기반 공격 탐지 방법
|
12 |
12
제11 항에 있어서, 매핑하는 단계는, 플로우 크기, 플로우 지속 시간 및 플로우들 간의 도착 시간차를 기반으로 행위 주기 심볼 및 행위 빈도 심볼을 생성하는 단계; 및행위 주기 심볼 및 행위 빈도 심볼을 결합하여 행위 주기도 심볼을 생성하는 단계를 포함하는, 심볼릭 공간에서의 네트워킹 행위 이상도 측정 기반 공격 탐지 방법
|
13 |
13
제11 항에 있어서, 매핑하는 단계는, 플로우로부터 추출된 적어도 하나의 키값이 네트워크 친숙도 모델 사전을 존재하는지의 여부에 따라 행위 친숙도를 측정하는 단계; 및측정된 행위 친숙도를 심볼에 매핑하는 단계를 포함하되, 네트워크 친숙도 모델은,정상 상태의 네트워크 플로우 데이터셋을 기반으로 미리 생성된 것인, 심볼릭 공간에서의 네트워킹 행위 이상도 측정 기반 공격 탐지 방법
|
14 |
14
제11 항에 있어서, 매핑하는 단계는, 포트 스캐닝 엔트로피 및 타겟 스캐닝 엔트로피를 측정하는 단계; 측정된 포트 스캐닝 엔트로피 및 타겟 스캐닝 엔트로피 각각을 심볼에 매핑하는 단계; 및매핑된 두 개의 심볼들을 결합하여 두 개의 문자 크기의 엔트로피 심볼을 생성하는 단계를 포함하는, 심볼릭 공간에서의 네트워킹 행위 이상도 측정 기반 공격 탐지 방법
|
15 |
15
제11 항에 있어서, 행위 심볼 시퀀스 패턴을 생성하는 단계는, 행위 주기도 심볼, 행위 친숙도 심볼 및 행위 엔트로피 심볼을 결합하여 3차원 행위 심볼을 생성하는 단계; 및생성된 3차원 행위 심볼을 해당 프로파일의 행위 심볼 시퀀스에 추가하는 단계를 포함하는, 심볼릭 공간에서의 네트워킹 행위 이상도 측정 기반 공격 탐지 방법
|
16 |
16
제10 항에 있어서, 이상 행위 예측 모델은, 프로파일 별 행위 심볼 시퀀스 패턴에 정상 상태 또는 이상 상태 중 하나가 라벨링된 훈련 데이터 셋을 기반으로 미리 학습된 것인, 심볼릭 공간에서의 네트워킹 행위 이상도 측정 기반 공격 탐지 방법
|
17 |
17
제10 항에 있어서, 탐지하는 단계는, 행위 심볼 시퀀스 패턴을 이상 행위 예측 모델의 입력 데이터로 전처리하는 단계를 더 포함하되, 전처리하는 단계는, 행위 심볼 시퀀스를 숫자 리스트로 변환하는 단계;변환된 행위 심볼 시퀀스를 이상 행위 예측 모델의 훈련 데이터로 사용된 행위 심볼 시퀀스의 길이와 동일해지도록 제로 패딩하는 단계; 및제로 패딩된 행위 심볼 시퀀스를 워드임베딩하여 이상 행위 예측 모델의 입력 데이터 포맷으로 변환하는 단계를 포함하는, 심볼릭 공간에서의 네트워킹 행위 이상도 측정 기공반 랜섬웨어 공격 탐지 방법
|
18 |
18
제10 항에 있어서, 탐지하는 단계는, 행위 심볼 시퀀스 패턴을 입력한 이상 행위 예측 모델로부터 스코어를 획득하는 단계;스코어가 소정 임계치 이상인지를 판단하는 단계; 및소정 임계치 이상일 경우 공격 출현을 탐지하고, 프로파일을 기반으로 공격 또는 감염 기기 중 적어도 하나를 식별하는 단계를 포함하는, 심볼릭 공간에서의 네트워킹 행위 이상도 측정 기반 공격 탐지 방법
|
19 |
19
네트워크로부터 수신된 플로우의 송신 주소를 기준으로 프로파일을 생성하는 단계;플로우의 송신 주소에 상응하는 기기의 네트워크 상의 행위 이상도를 측정하고, 측정된 행위 이상도를 심볼릭 공간의 행위 심볼로 매핑하는 단계; 프로파일별로 행위 심볼이 순차적으로 연결된 행위 심볼 시퀀스 패턴을 생성하는 단계; 프로파일 별 행위 심볼 시퀀스 패턴에 정상 상태 또는 이상 상태 중 하나가 라벨링된 훈련 데이터 셋을 생성하는 단계; 및훈련 데이터 셋으로 이상 행위 예측 모델을 학습시키는 단계를 수행하는, 심볼릭 공간에서의 네트워킹 행위 이상도 측정 기반 공격 탐지를 위한 모델 학습 방법
|
20 |
20
제19 항에 있어서, 학습시키는 단계는,훈련 데이터 셋에 포함된 행위 심볼 시퀀스 패턴을 이상 행위 예측 모델의 입력 데이터로 전처리하는 단계를 더 포함하되, 전처리하는 단계는, 행위 심볼 시퀀스를 숫자 리스트로 변환하는 단계;변환된 행위 심볼 시퀀스를 최대 행위 심볼 시퀀스의 길이와 동일해지도록 제로 패딩하는 단계; 및제로 패딩된 행위 심볼 시퀀스를 워드임베딩하여 이상 행위 예측 모델의 입력 데이터 포맷으로 변환하는 단계를 포함하는, 심볼릭 공간에서의 네트워킹 행위 이상도 측정 기반 공격 탐지를 위한 모델 학습 방법
|