| 1 |
1
오토인코더의 은닉층 정보를 기반으로 하는 계층적 네트워크 침입탐지 시스템을 이용한 계층적 네트워크 침입탐지 방법에 있어서, 학습용 정상 데이터가 수집된 상태에서, 상기 학습용 정상 데이터를 기준으로 정규화하여 전처리를 수행하는 단계,상기 전처리된 학습용 정상 데이터를 인코더와 디코더를 포함하는 오토인코더(Autoencoder)에 입력하여 복원 데이터를 출력하는 단계, 상기 전처리된 학습용 정상 데이터와 상기 복원 데이터를 이용하여 복원 오차를 연산하는 단계,상기 복원 오차 값이 최소화되도록 상기 오토인코더를 학습시키는 단계,학습이 완료된 상기 오토인코더의 계층적 정보를 추출하는 단계,상기 학습용 정상 데이터에 대한 압축 데이터, 복원 데이터, 인코더에 포함된 L개의 은닉층 각각에 대한 출력값을 이용하여 상기 학습용 정상 데이터에 대한 임계값을 설정하는 단계,대상이 되는 네트워크 데이터를 오토인코더에 입력한 상태에서, 상기 네트워크 데이터에 대한 압축 데이터, 복원 데이터, 상기 인코더에 포함된 L개의 은닉층 각각에 대한 출력값의 이상 점수를 연산하는 단계, 그리고상기 임계값과 상기 이상 점수를 이용하여 상기 네트워크 데이터에 대한 침입탐지 여부를 판단하는 단계를 포함하는 계층적 네트워크 침입탐지 방법
|
| 2 |
2
제1항에 있어서, 상기 전처리된 학습용 정상 데이터를 오토인코더에 입력하여 복원 데이터를 출력하는 단계는, 상기 전처리된 학습용 정상 데이터를 인코더(Encoder)에 입력하여 압축 데이터를 출력하는 단계, 그리고 상기 압축 데이터를 디코더(Decoder)에 입력하여 복원 데이터를 출력하는 단계를 포함하는 계층적 네트워크 침입탐지 방법
|
| 3 |
3
제1항에 있어서, 상기 복원 오차를 연산하는 단계는, 학습과정을 위해 전처리된 학습용 정상 데이터와 전처리된 학습용 정상 데이터에 대한 디코더의 복원 데이터, 그리고 MSE (Mean Squared Error) 손실함수를 이용하여 복원 오차를 연산하는 계층적 네트워크 침입탐지 방법:여기서, 는 손실함수이고, 은 전처리된 학습용 정상 데이터 셋, 은 전처리된 학습용 정상 데이터 셋에 대한 복원 데이터, 은 학습용 정상 데이터 셋의 데이터 샘플 개수, 은 의 번째 샘플, 은 의 번째 샘플을 나타낸다
|
| 4 |
4
제1항에 있어서, 상기 오토인코더를 학습시키는 단계는,상기 전처리된 학습용 정상 데이터를 인코더의 입력 데이터로 설정하고, 압축 데이터를 인코더의 출력 데이터로 설정하여 인코더를 학습시키는 단계,상기 압축 데이터를 디코더의 입력 데이터로 설정하고, 복원 데이터를 디코더의 출력 데이터로 설정하여 디코더를 학습시키는 단계, 그리고 상기 전처리된 학습용 정상 데이터와 상기 복원 데이터의 오차 값을 이용하여 복원 오차 값이 최소가 되도록 상기 오토인코더를 학습시키는 단계를 포함하는 계층적 네트워크 침입탐지 방법
|
| 5 |
5
제1항에 있어서, 상기 임계값을 설정하는 단계는,상기 학습용 정상 데이터에 대한 압축 데이터, 복원 데이터, 상기 인코더에 포함된 L개의 은닉층 각각에 대한 출력값의 이상 점수를 기준으로 하고, 상기 인코더에 포함된 L개의 은닉층 중 마지막 L번째 은닉층을 제외한 나머지 은닉층들 각각에 대하여 정상 데이터에 대한 오경보율을 최소화하도록 임계값을 설정하고, 마지막 L번째 은닉층에 대하여 비정상 데이터에 대한 탐지율을 최대화하도록 임계값을 설정하는 계층적 네트워크 침입탐지 방법
|
| 6 |
6
제1항에 있어서, 상기 이상 점수를 연산하는 단계는,다음의 수학식을 이용하여 상기 네트워크 데이터에 대한 압축 데이터의 이상 점수를 연산하는 계층적 네트워크 침입탐지 방법:여기서, 은 임의의 입력된 네트워크 데이터에 대한 이상 점수고, 는 마할라노비스 거리(Mahalanobis distance, MD)의 측정 값이며, 은 네트워크 데이터에 대한 인코더의 압축데이터이고, 은 학습용 정상 데이터가 입력된 인코더의 압축 데이터 평균이며, 은 학습용 정상 데이터의 압축 데이터 공분산이며, 는 전치(Transpose) 행렬을 나타낸다
|
| 7 |
7
제1항에 있어서, 상기 이상 점수를 연산하는 단계는,다음의 수학식을 이용하여 상기 네트워크 데이터에 대한 복원 데이터와의 이상점수를 연산하는데 사용하는 복원오차를 연산하는 계층적 네트워크 침입탐지 방법:여기서, 은 이상점수 연산에 사용되는 복원 오차이고, 은 복원 오차를 구하는 위치를 의미하며, 일 경우 디코더의 출력 부분, 일 경우 인코더의 번째 은닉층 부분, 는 전처리된 입력 데이터 샘플, 은 에 대한 복원 데이터, 은 번째 은닉층까지의 연산을 나타낸다
|
| 8 |
8
제7항에 있어서, 상기 이상 점수를 연산하는 단계는,다음의 수학식을 이용하여 상기 네트워크 데이터에 대한 이상점수 연산을 위한 변수를 연산하는 계층적 네트워크 침입탐지 방법:여기서, 은 학습용 정상 데이터 셋에 대한 입력 데이터와 복원 데이터의 오차값에 해당하는 복원 오차의 평균이고, 은 학습용 정상 데이터 셋과 학습용 정상 데이터 셋의 복원 데이터 셋의 복원오차 에 대하여 평균이 0이 되도록 선형이동한 을 특이값 분해 연산을 통해 구해지는 우특이 벡터이며, 은 상기 특이값 분해 연산을 통해 구해지는 특이값을 나타내며, 상기 변수들은 학습된 오토인코더의 계층적 정보를 추출하는 과정에서 수집된다
|
| 9 |
9
제8항에 있어서, 상기 이상 점수를 연산하는 단계는,다음의 수학식을 이용하여 상기 네트워크 데이터에 대한 디코더의 출력값의 이상점수를 연산하는 계층적 네트워크 침입탐지 방법:여기서, 은 Normalized L1-norm의 측정값이고, 는 입력 데이터 샘플과 상기 입력데이터에 대한 복원데이터의 오차값인 복원 오차이며, 은 학습용 정상 데이터 셋에 대한 입력 데이터와 복원 데이터의 오차값에 해당하는 복원 오차의 평균이다
|
| 10 |
10
제1항에 있어서, 상기 이상 점수를 연산하는 단계는,다음의 수학식을 이용하여 상기 네트워크 데이터에 대한 이상점수 연산을 위한 변수를 연산하는 계층적 네트워크 침입탐지 방법:여기서, 은 학습용 정상 데이터 셋에 대한 번째 은닉층의 복원 오차의 평균이고, 은 학습용 정상 데이터 셋의 번째 은닉층의 복원오차 에 대하여 평균이 0이 되도록 선형이동한 를 특이값 분해 연산을 통해 구해지는 우특이 벡터이며, 은 상기 특이값 분해 연산을 통해 구해지는 특이값을 나타내며, 상기 변수들은 학습된 오토인코더의 계층적 정보를 추출하는 과정에서 수집된다
|
| 11 |
11
제10항에 있어서, 상기 이상 점수를 연산하는 단계는,다음의 수학식을 통해 상기 네트워크 데이터에 대한 상기 인코더에 포함된 L개의 은닉층 각각에 대한 출력값의 이상 점수를 연산하는 계층적 네트워크 침입탐지 방법:여기서, m은 3이상인 값이고, 은 네트워크 데이터를 인코더에 입력 시 번째 은닉층에서 출력된 출력값과 복원 데이터를 인코더에 입력 시 번째 은닉층에서 출력된 출력값의 오차값에 해당하는 복원 오차이며, 은 학습용 정상 데이터 셋에 대한 번째 은닉층의 복원 오차의 평균이다
|
| 12 |
12
제1항에 있어서, 상기 침입탐지 여부를 판단하는 단계는,압축 데이터, 복원 데이터, 상기 인코더에 포함된 L개의 은닉층 각각에서의 네트워크 데이터에 대한 이상 점수가 상기 학습용 정상 데이터에 대한 임계값보다 큰 경우, 상기 네트워크 데이터를 비정상 데이터로 탐지하고,압축 데이터에서의 네트워크 데이터의 이상 점수가 압축 데이터를 통해 설정된 임계값보다 작거나 같은 경우, 상기 디코더로 이동하고, 상기 복원 데이터에서의 네트워크 데이터에 대한 이상 점수가 상기 복원 데이터를 통해 설정된 임계값보다 작거나 같은 경우, 상기 인코더에 포함된 번째 은닉층으로 이동하고, 번째 은닉층에서의 네트워크 데이터에 대한 이상 점수가 번째 은닉층에서의 임계값보다 작거나 같은 경우, 상기 인코더에 포함된 +1번째 은닉층으로 이동하여 상기 인코더에 포함된 L개의 은닉층 각각에 대하여 이상 점수와 임계값을 비교하여 단계적으로 네트워크 데이터에 대한 침입탐지 여부를 판단하는 계층적 네트워크 침입탐지 방법
|
| 13 |
13
제12항에 있어서, 상기 침입탐지 여부를 판단하는 단계는,상기 인코더에 포함된 L개의 은닉층 중 마지막 L번째 은닉층에서의 네트워크 데이터에 대한 이상 점수가 상기 마지막 L번째 은닉층에서의 임계값보다 작거나 같은 경우에만, 상기 네트워크 데이터를 정상으로 판단하는 계층적 네트워크 침입탐지 방법
|
| 14 |
14
오토인코더의 은닉층 정보를 기반으로 하는 계층적 네트워크 침입탐지 시스템에 있어서, 학습용 정상 데이터가 수집된 상태에서, 상기 학습용 정상 데이터를 기준으로 정규화하여 전처리를 수행하는 전처리부,상기 전처리된 학습용 정상 데이터를 인코더와 디코더를 포함하는 오토인코더(Autoencoder)에 입력하여 복원 데이터를 출력하고, 상기 전처리된 학습용 정상 데이터와 상기 복원 데이터를 이용하여 복원 오차를 연산하며, 상기 복원 오차 값이 최소화되도록 상기 오토인코더를 학습시키는 학습부, 학습이 완료된 상기 오토인코더의 계층적 정보를 추출하고, 압축 데이터, 복원 데이터, 상기 인코더에 포함된 L개의 은닉층 각각에 대한 출력값을 이용하여 상기 학습용 정상 데이터에 대한 임계값을 설정하는 설정부,대상이 되는 네트워크 데이터를 오토인코더에 입력한 상태에서, 상기 압축 데이터, 상기 복원 데이터, 상기 인코더에 포함된 L개의 은닉층 각각에 대한 출력값의 이상 점수를 연산하는 연산부, 그리고상기 이상 점수와 상기 임계값을 이용하여 상기 네트워크 데이터에 대한 침입탐지 여부를 판단하는 제어부를 포함하는 계층적 네트워크 침입탐지 시스템
|
| 15 |
15
제14항에 있어서, 상기 학습부는, 상기 전처리된 학습용 정상 데이터를 인코더(Encoder)에 입력하여 압축 데이터를 출력하고, 상기 압축 데이터를 디코더(Decoder)에 입력하여 복원 데이터를 출력하는 계층적 네트워크 침입탐지 시스템
|
| 16 |
16
제14항에 있어서, 상기 학습부는, 학습과정을 위해 전처리된 학습용 정상 데이터와 전처리된 학습용 정상 데이터에 대한 디코더의 복원 데이터, 그리고 MSE (Mean Squared Error) 손실함수를 이용하여 복원 오차를 연산하는 계층적 네트워크 침입탐지 시스템:여기서, 는 손실함수이고, 은 전처리된 학습용 정상 데이터 셋, 은 전처리된 학습용 정상 데이터 셋에 대한 복원 데이터, 은 학습용 정상 데이터 셋의 데이터 샘플 개수, 은 의 번째 샘플, 은 의 번째 샘플을 나타낸다
|
| 17 |
17
제14항에 있어서,상기 학습부는, 상기 전처리된 학습용 정상 데이터를 인코더의 입력 데이터로 설정하고, 압축 데이터를 인코더의 출력데이터로 설정하여 인코더를 학습시키고, 상기 압축 데이터를 디코더의 입력 데이터로 설정하고, 복원 데이터를 디코더의 출력데이터로 설정하여 디코더를 학습시키며, 상기 전처리된 학습용 정상 데이터와 상기 복원 데이터의 오차 값을 이용하여 복원 오차 값이 최소가 되도록 상기 오토인코더를 학습시키는 계층적 네트워크 침입탐지 시스템
|
| 18 |
18
제14항에 있어서, 상기 설정부는, 상기 학습용 정상 데이터에 대한 압축 데이터, 복원 데이터, 상기 인코더에 포함된 L개의 은닉층 각각에 대한 출력값의 이상 점수를 기준으로 하고, 상기 인코더에 포함된 L개의 은닉층 중 마지막 L번째 은닉층을 제외한 나머지 은닉층들 각각에 대하여 정상 데이터에 대한 오경보율을 최소화하도록 임계값을 설정하고, 상기 마지막 L번째 은닉층에 대하여 비정상 데이터에 대한 탐지율을 최대화하도록 임계값을 설정하는 계층적 네트워크 침입탐지 시스템
|
| 19 |
19
제14항에 있어서, 상기 연산부는, 다음의 수학식을 이용하여 상기 압축 데이터에서의 상기 네트워크 데이터에 대한 이상 점수를 연산하는 계층적 네트워크 침입탐지 시스템:여기서, 은 임의의 입력된 네트워크 데이터에 대한 이상 점수고, 는 마할라노비스 거리(Mahalanobis distance, MD)의 측정 값이며, 은 네트워크 데이터에 대한 인코더의 압축데이터이고, 은 학습용 정상 데이터가 입력된 인코더의 압축 데이터 평균이며, 은 학습용 정상 데이터의 압축 데이터 공분산이며, 는 전치(Transpose) 행렬을 나타낸다
|
| 20 |
20
제14항에 있어서, 다음의 수학식을 이용하여 상기 네트워크 데이터에 대한 복원 데이터와의 이상점수를 연산하는데 사용하는 복원오차를 연산하는 계층적 네트워크 침입탐지 시스템:여기서, 은 이상점수 연산에 사용되는 복원 오차이고, 은 복원 오차를 구하는 위치를 의미하며, 일 경우 디코더의 출력 부분, 일 경우 인코더의 번째 은닉층 부분, 는 전처리된 입력 데이터 샘플, 은 에 대한 복원 데이터, 은 번째 은닉층까지의 연산을 나타낸다
|
| 21 |
21
제20항에 있어서, 상기 이상 점수를 연산하는 단계는,다음의 수학식을 이용하여 상기 네트워크 데이터에 대한 이상점수 연산을 위한 변수를 연산하는 계층적 네트워크 침입탐지 시스템:여기서, 은 학습용 정상 데이터 셋에 대한 입력 데이터와 복원 데이터의 오차값에 해당하는 복원 오차의 평균이고, 은 학습용 정상 데이터 셋과 학습용 정상 데이터 셋의 복원 데이터 셋의 복원오차 에 대하여 평균이 0이 되도록 선형이동한 을 특이값 분해 연산을 통해 구해지는 우특이 벡터이며, 은 상기 특이값 분해 연산을 통해 구해지는 특이값을 나타내며, 상기 변수들은 학습된 오토인코더의 계층적 정보를 추출하는 과정에서 수집된다
|
| 22 |
22
제21항에 있어서, 상기 이상 점수를 연산하는 단계는,다음의 수학식을 이용하여 상기 네트워크 데이터에 대한 디코더의 출력값의 이상점수를 연산하는 계층적 네트워크 침입탐지 방법:여기서, 은 Normalized L1-norm의 측정값이고, 는 입력 데이터 샘플과 상기 입력데이터에 대한 복원데이터의 오차값인 복원 오차이며, 은 학습용 정상 데이터 셋에 대한 입력 데이터와 복원 데이터의 오차값에 해당하는 복원 오차의 평균이다
|
| 23 |
23
제14항에 있어서, 상기 이상 점수를 연산하는 단계는,다음의 수학식을 이용하여 상기 네트워크 데이터에 대한 이상점수 연산을 위한 변수를 연산하는 계층적 네트워크 침입탐지 방법:여기서, 은 학습용 정상 데이터 셋에 대한 번째 은닉층의 복원 오차의 평균이고, 은 학습용 정상 데이터 셋의 번째 은닉층의 복원오차 에 대하여 평균이 0이 되도록 선형이동한 를 특이값 분해 연산을 통해 구해지는 우특이 벡터이며, 은 상기 특이값 분해 연산을 통해 구해지는 특이값을 나타내며, 상기 변수들은 학습된 오토인코더의 계층적 정보를 추출하는 과정에서 수집된다
|
| 24 |
24
제23항에 있어서, 다음의 수학식을 통해 상기 네트워크 데이터에 대한 상기 인코더에 포함된 L개의 은닉층 각각에 대한 출력값의 이상 점수를 연산하는 계층적 네트워크 침입탐지 시스템:여기서, m은 3이상인 값이고, 은 네트워크 데이터를 인코더에 입력 시 번째 은닉층에서 출력된 출력값과 복원 데이터를 인코더에 입력 시 번째 은닉층에서 출력된 출력값의 오차값에 해당하는 복원 오차이며, 은 학습용 정상 데이터 셋에 대한 번째 은닉층의 복원 오차의 평균이다
|
| 25 |
25
제14항에 있어서, 상기 제어부는, 압축 데이터, 복원 데이터, 상기 인코더에 포함된 L개의 은닉층 각각에서의 네트워크 데이터에 대한 이상 점수가 상기 학습용 정상 데이터에 대한 임계값보다 큰 경우, 상기 네트워크 데이터를 비정상 데이터로 탐지하고, 압축 데이터에서의 네트워크 데이터의 이상 점수가 압축 데이터를 통해 설정된 임계값보다 작거나 같은 경우, 상기 디코더로 이동하고, 상기 복원 데이터에서의 네트워크 데이터에 대한 이상 점수가 상기 복원 데이터를 통해 설정된 임계값보다 작거나 같은 경우, 상기 인코더에 포함된 번째 은닉층으로 이동하고, 번째 은닉층에서의 네트워크 데이터에 대한 이상 점수가 번째 은닉층에서의 임계값보다 작거나 같은 경우, 상기 인코더에 포함된 +1번째 은닉층으로 이동하여 상기 인코더에 포함된 L개의 은닉층 각각에 대하여 이상 점수와 임계값을 비교하여 단계적으로 네트워크 데이터에 대한 침입탐지 여부를 판단하는 계층적 네트워크 침입탐지 시스템
|
| 26 |
26
제25항에 있어서,상기 제어부는, 상기 인코더에 포함된 L개의 은닉층 중 마지막 L번째 은닉층에서의 네트워크 데이터에 대한 이상 점수가 상기 마지막 L번째 은닉층에서의 임계값보다 작거나 같은 경우에만, 상기 네트워크 데이터를 정상으로 판단하는 계층적 네트워크 침입탐지 시스템
|
