1 |
1
공격 탐지 방법에 있어서,샘플 네트워크 트래픽을 수집하는 단계;상기 샘플 네트워크 트래픽을 수집함에 따라 클러스터링 엔진에서 군집 지능 머신 러닝 알고리즘을 기반으로 기설정된 유사도에 포함되는 샘플 네트워크 트래픽들에 대한 클러스터링을 수행하는 단계;상기 샘플 네트워크 트래픽들에 대한 클러스터링을 수행함에 따른 클러스터링 결과를 탐지 엔진에서 학습하고, 상기 학습된 탐지 엔진으로 실제 네트워크 트래픽을 실시간으로 감시 및 공격 탐지하는 단계; 및 상기 공격 탐지를 수행함에 따라 적응형 탐지 엔진에서 오탐지된 트래픽들을 상기 군집 지능 머신 러닝 알고리즘을 기반으로 샘플링하고, 상기 샘플링된 트래픽들을 공격 혹은 정상 트래픽으로 라벨링(Labeling)하여 상기 클러스터링 엔진으로 피드백을 전달하는 단계를 포함하고, 상기 학습된 탐지 엔진으로 실제 네트워크 트래픽을 실시간으로 감시 및 공격 탐지하는 단계는,의사결정 트리(Decision Tree)를 사용하여 상기 탐지 엔진을 학습하고, 상기 클러스터링된 클러스터링 결과로부터 공격 클러스터와 정상 클러스터로 구분하고, 상기 의사결정 트리로 학습된 탐지 엔진을 활용하여 상기 실제 네트워크 트래픽을 실시간으로 감시 및 공격 탐지를 수행하고, 상기 실제 네트워크 트래픽을 실시간으로 감시 및 공격 탐지를 수행함에 따른 누적된 탐지 결과를 잘못 탐지된 공격 트래픽과 오인 탐지된 정상 트래픽으로 구분하고 분석하는 단계를 포함하고,상기 샘플링된 트래픽들을 공격 혹은 정상 트래픽으로 라벨링(Labeling)하여 상기 클러스터링 엔진으로 피드백을 전달하는 단계는,상기 클러스터링 엔진에서 상기 피드백을 전달받음에 따라 상기 전달된 피드백을 상기 군집 지능 머신 러닝 알고리즘에 반영하는 단계를 포함하는 공격 탐지 방법
|
2 |
2
삭제
|
3 |
3
제1항에 있어서, 상기 샘플 네트워크 트래픽을 수집함에 따라 클러스터링 엔진에서 군집 지능 머신 러닝 알고리즘을 기반으로 기설정된 유사도에 포함되는 샘플 네트워크 트래픽들에 대한 클러스터링을 수행하는 단계는,상기 군집 지능 머신 러닝 알고리즘으로 ACA(Ant Clustering Algorithm)을 사용하는 것을 포함하고, 상기 ACA는, 상기 수집된 샘플 네트워크 트래픽을 가상의 2차원 공간에 무작위로 배치하고, 실제 클러스터링을 수행할 개미들을 같은 공간에 무작위로 배치하고, 상기 개미들이 위치한 현재 위치에서 무작위로 이동하고, 상기 개미들이 위치한 현재 위치에 트래픽 데이터가 있는지를 판단하여 상기 트래픽 데이터가 있다면, 미리 설정된 픽업(Pick Up) 확률에 기초하여 상기 트래픽 데이터를 운반하고, 상기 트래픽 데이터를 운반하고 있는 개미가 무작위로 이동된 위치가 비어있다면, 미리 설정된 드롭(Drop) 확률과 상기 개미가 위치한 현재 위치의 주위를 트래픽 데이터들과 운반하고 있는 트래픽 데이터의 연관성을 확인하여 상기 트래픽 데이터를 위치에 내려놓는 것을 특징으로 하는 공격 탐지 방법
|
4 |
4
제3항에 있어서, 상기 샘플 네트워크 트래픽을 수집함에 따라 클러스터링 엔진에서 군집 지능 머신 러닝 알고리즘을 기반으로 기설정된 유사도에 포함되는 샘플 네트워크 트래픽들에 대한 클러스터링을 수행하는 단계는,상기 개미들의 이동, 상기 트래픽 데이터의 운반 및 상기 트래픽 데이터의 내려놓음의 동작을 일정 횟수를 반복하여 가상의 2차원 공간에 배치된 네트워크 트래픽을 클러스터링하는 단계를 포함하는 공격 탐지 방법
|
5 |
5
제1항에 있어서, 상기 샘플 네트워크 트래픽을 수집함에 따라 클러스터링 엔진에서 군집 지능 머신 러닝 알고리즘을 기반으로 기설정된 유사도에 포함되는 샘플 네트워크 트래픽들에 대한 클러스터링을 수행하는 단계는,상기 군집 지능 머신 러닝 알고리즘으로 개선된 DCA(Dual-ant Clustering Algorithm)을 사용하는 것을 포함하고, 일정한 크기의 클러스터를 형성하기 위하여 상기 클러스터를 관리할 관리 개미를 생성하는 것을 포함하고, 상기 관리 개미는,상기 관리 개미의 클러스터 소속 데이터들의 정보를 계산하고, 상기 관리 개미의 클러스터의 내부를 이동하면서 상기 관리 개미의 클러스터 소속 데이터들의 기설정된 반경에 위치한 상기 관리 개미의 클러스터에 소속되지 않은 미소속 데이터들을 확인하고, 상기 관리 개미의 클러스터의 정보와 상기 미소속 데이터의 연관성을 계산하여 상기 미소속 데이터를 상기 관리 개미의 클러스터로 편입할 것인지 여부를 결정하는 단계를 포함하는 공격 탐지 방법
|
6 |
6
제5항에 있어서, 상기 샘플 네트워크 트래픽을 수집함에 따라 클러스터링 엔진에서 군집 지능 머신 러닝 알고리즘을 기반으로 기설정된 유사도에 포함되는 샘플 네트워크 트래픽들에 대한 클러스터링을 수행하는 단계는,상기 관리 개미 이외의 다른 관리 개미의 클러스터에 소속된 데이터를 편입하기 위하여 상기 관리 개미의 클러스터와 상기 관리 개미 이외의 다른 관리 개미의 클러스터를 병합하고(cluster fusion), 상기 관리 개미 이외의 다른 관리 개미를 제거하고, 상기 병합된 클러스터의 데이터 중 상기 관리 개미의 클러스터의 정보와 연관성이 적은 데이터를 상기 관리 개미의 클러스터에 편입하지 않는 단계를 포함하는 공격 탐지 방법
|
7 |
7
삭제
|
8 |
8
삭제
|
9 |
9
공격 탐지 방법을 실행시키기 위하여 컴퓨터 판독 가능한 기록 매체에 저장된 컴퓨터 프로그램에 있어서,상기 공격 탐지 방법은, 샘플 네트워크 트래픽을 수집하는 단계;상기 샘플 네트워크 트래픽을 수집함에 따라 클러스터링 엔진에서 군집 지능 머신 러닝 알고리즘을 기반으로 기설정된 유사도에 포함되는 샘플 네트워크 트래픽들에 대한 클러스터링을 수행하는 단계;상기 샘플 네트워크 트래픽들에 대한 클러스터링을 수행함에 따른 클러스터링 결과를 탐지 엔진에서 학습하고, 상기 학습된 탐지 엔진으로 실제 네트워크 트래픽을 실시간으로 감시 및 공격 탐지하는 단계; 및 상기 공격 탐지를 수행함에 따라 적응형 탐지 엔진에서 오탐지된 트래픽들을 상기 군집 지능 머신 러닝 알고리즘을 기반으로 샘플링하고, 상기 샘플링된 트래픽들을 공격 혹은 정상 트래픽으로 라벨링(Labeling)하여 상기 클러스터링 엔진으로 피드백을 전달하는 단계를 포함하고, 상기 학습된 탐지 엔진으로 실제 네트워크 트래픽을 실시간으로 감시 및 공격 탐지하는 단계는,의사결정 트리(Decision Tree)를 사용하여 상기 탐지 엔진을 학습하고, 상기 클러스터링된 클러스터링 결과로부터 공격 클러스터와 정상 클러스터로 구분하고, 상기 의사결정 트리로 학습된 탐지 엔진을 활용하여 상기 실제 네트워크 트래픽을 실시간으로 감시 및 공격 탐지를 수행하고, 상기 실제 네트워크 트래픽을 실시간으로 감시 및 공격 탐지를 수행함에 따른 누적된 탐지 결과를 잘못 탐지된 공격 트래픽과 오인 탐지된 정상 트래픽으로 구분하고 분석하는 단계를 포함하고,상기 샘플링된 트래픽들을 공격 혹은 정상 트래픽으로 라벨링(Labeling)하여 상기 클러스터링 엔진으로 피드백을 전달하는 단계는,상기 클러스터링 엔진에서 상기 피드백을 전달받음에 따라 상기 전달된 피드백을 상기 군집 지능 머신 러닝 알고리즘에 반영하는 단계를 포함하는 것을 특징으로 하는 컴퓨터 판독 가능한 기록 매체에 저장된 컴퓨터 프로그램
|
10 |
10
공격 탐지 시스템에 있어서,샘플 네트워크 트래픽을 수집함에 따라 클러스터링 엔진에서 군집 지능 머신 러닝 알고리즘을 기반으로 기설정된 유사도에 포함되는 샘플 네트워크 트래픽들에 대한 클러스터링을 수행하는 클러스터링 엔진;상기 샘플 네트워크 트래픽들에 대한 클러스터링을 수행함에 따른 클러스터링 결과에 대한 탐지 엔진을 학습하고, 상기 학습된 탐지 엔진으로 실제 네트워크 트래픽을 실시간으로 감시 및 공격 탐지하는 탐지 엔진; 및 상기 공격 탐지를 수행함에 따라 오탐지된 트래픽들을 상기 군집 지능 머신 러닝 알고리즘을 기반으로 샘플링하고, 상기 샘플링된 트래픽들을 공격 혹은 정상 트래픽으로 라벨링(Labeling)하여 상기 클러스터링 엔진으로 피드백을 전달하는 적응형 탐지 엔진을 포함하고, 상기 탐지 엔진은, 의사결정 트리(Decision Tree)를 사용하여 상기 탐지 엔진을 학습하고, 상기 클러스터링된 클러스터링 결과로부터 공격 클러스터와 정상 클러스터로 구분하고, 상기 의사결정 트리로 학습된 탐지 엔진을 활용하여 상기 실제 네트워크 트래픽을 실시간으로 감시 및 공격 탐지를 수행하고, 상기 실제 네트워크 트래픽을 실시간으로 감시 및 공격 탐지를 수행함에 따른 누적된 탐지 결과를 잘못 탐지된 공격 트래픽과 오인 탐지된 정상 트래픽으로 구분하고 분석하는 것을 포함하고,상기 적응형 탐지 엔진은, 상기 클러스터링 엔진에서 상기 피드백을 전달받음에 따라 상기 전달된 피드백을 상기 군집 지능 머신 러닝 알고리즘에 반영하는 것을 포함하는 공격 탐지 시스템
|
11 |
11
삭제
|
12 |
12
제10항에 있어서, 상기 클러스터링 엔진은,상기 군집 지능 머신 러닝 알고리즘으로 ACA(Ant Clustering Algorithm)을 사용하는 것을 포함하고, 상기 ACA는, 상기 수집된 샘플 네트워크 트래픽을 가상의 2차원 공간에 무작위로 배치하고, 실제 클러스터링을 수행할 개미들을 같은 공간에 무작위로 배치하고, 상기 개미들이 위치한 현재 위치에서 무작위로 이동하고, 상기 개미들이 위치한 현재 위치에 트래픽 데이터가 있는지를 판단하여 상기 트래픽 데이터가 있다면, 미리 설정된 픽업(Pick Up) 확률에 기초하여 상기 트래픽 데이터를 운반하고, 상기 트래픽 데이터를 운반하고 있는 개미가 무작위로 이동된 위치가 비어있다면, 미리 설정된 드롭(Drop) 확률과 상기 개미가 위치한 현재 위치의 주위를 트래픽 데이터들과 운반하고 있는 트래픽 데이터의 연관성을 확인하여 상기 트래픽 데이터를 위치에 내려놓고, 상기 개미들의 이동, 상기 트래픽 데이터의 운반 및 상기 트래픽 데이터의 내려놓음의 동작을 일정 횟수를 반복하여 가상의 2차원 공간에 배치된 네트워크 트래픽을 클러스터링하는 것을 특징으로 하는 공격 탐지 시스템
|
13 |
13
제10항에 있어서, 상기 클러스터링 엔진은,상기 군집 지능 머신 러닝 알고리즘으로 개선된 DCA(Dual-ant Clustering Algorithm)을 사용하는 것을 포함하고, 일정한 크기의 클러스터를 형성하기 위하여 상기 클러스터를 관리할 관리 개미를 생성하는 것을 포함하고, 상기 관리 개미는,상기 관리 개미의 클러스터 소속 데이터들의 정보를 계산하고, 상기 관리 개미의 클러스터의 내부를 이동하면서 상기 관리 개미의 클러스터 소속 데이터들의 기설정된 반경에 위치한 상기 관리 개미의 클러스터에 소속되지 않은 미소속 데이터들을 확인하고, 상기 관리 개미의 클러스터의 정보와 상기 미소속 데이터의 연관성을 계산하여 상기 미소속 데이터를 상기 관리 개미의 클러스터로 편입할 것인지 여부를 결정하고, 상기 관리 개미 이외의 다른 관리 개미의 클러스터에 소속된 데이터를 편입하기 위하여 상기 관리 개미의 클러스터와 상기 관리 개미 이외의 다른 관리 개미의 클러스터를 병합하고(cluster fusion), 상기 관리 개미 이외의 다른 관리 개미를 제거하고, 상기 병합된 클러스터의 데이터 중 상기 관리 개미의 클러스터의 정보와 연관성이 적은 데이터를 상기 관리 개미의 클러스터에 편입하지 않는 것을 특징으로 하는 공격 탐지 시스템
|
14 |
14
삭제
|
15 |
15
삭제
|