1 |
1
패킷 데이터에 대한 사이버 공격을 방어하기 위한 공격 방어 방법에 있어서,IPS(intrusion prevention system)로부터 출력되는 복수의 패킷 데이터들을 수신하는 단계;상기 복수의 패킷 데이터들을 대표하는 하나 이상의 대표 특징 필드에 기초하여 상기 복수의 패킷 데이터들을 군집화하는 단계; 및군집화 결과에 기초하여 패킷 데이터가 정상인지 비정상인지 여부를 결정하는 상기 IPS의 룰을 학습하는 단계를 포함하는 공격 방어 방법
|
2 |
2
제1항에 있어서,상기 군집화하는 단계는,상기 복수의 패킷 데이터들 각각의 복수의 특징 필드들을 추출하는 단계;주성분 분석에 기초하여 상기 복수의 특징 필드들 중에서 상기 대표 특징 필드를 결정하는 단계; 및상기 대표 특징 필드가 반영된 DBSCAN 알고리즘에 기초하여 상기 복수의 패킷 데이터들을 군집화하는 단계를 포함하는 공격 방어 방법
|
3 |
3
제2항에 있어서,상기 추출하는 단계는,상기 복수의 패킷 데이터들 각각의 구조를 csv 형식으로 변경하는 단계; 및변경된 복수의 패킷 데이터들 각각의 로그에서 상기 복수의 특징 필드들을 추출하는 단계를 포함하는 공격 방어 방법
|
4 |
4
제2항에 있어서,상기 결정하는 단계는,상관 계수 행렬을 이용하여 상기 복수의 특징 필드들 각각의 누적 기여율(cumulative proportion) 및 표준 편차(standard deviation)을 계산하는 단계; 및계산 결과에 기초하여 상기 복수의 특징 필드들 중에서 누적 기여율 및 표준 편차가 높은 하나 이상의 특징 필드를 상기 대표 특징 필드로 결정하는 단계를 포함하는 공격 방어 방법
|
5 |
5
제4항에 있어서,상기 대표 특징 필드의 누적 기여율은 0
|
6 |
6
제4항에 있어서,상기 대표 특징 필드의 표준 편차는 0
|
7 |
7
제2항에 있어서,상기 DBSCAN 알고리즘에 기초하여 상기 복수의 패킷 데이터들을 군집화하는 단계는,상기 DBSCAN 알고리즘의 minPts 및 eps 반경을 조절하여 상기 대표 특징 필드에 따라 상기 복수의 패킷 데이터들을 정상 군집 및 비정상 군집 중에서 적어도 하나로 군집화하는 단계를 포함하는 공격 방어 방법
|
8 |
8
제1항에 있어서,상기 학습하는 단계는,상기 비정상 군집으로 군집화된 패킷 데이터를 이용하여 상기 룰을 학습하는 단계를 포함하는 공격 방어 방법
|
9 |
9
제2항에 있어서,상기 복수의 특징 필드들은 패킷 데이터의 로그에 포함된 특징 필드로, time stamp 필드, port 필드, payload 필드, up link 필드, down link 필드, 전송 디바이스 ID 필드인 공격 방어 방법
|
10 |
10
제1항에 있어서,학습된 룰에 기초하여 수신될 패킷 데이터에 대한 공격을 방어하는 단계를 더 포함하는 공격 방어 방법
|
11 |
11
패킷 데이터에 대한 사이버 공격을 방어하기 위한 공격 방어 장치에 있어서,인스트럭션들을 포함하는 메모리; 및상기 인스트럭션들을 실행하기 위한 프로세서를 포함하고,상기 프로세서는,IPS(intrusion prevention system) 중에서 적어도 하나로부터 출력되는 복수의 패킷 데이터들을 수신하고, 상기 복수의 패킷 데이터들을 대표하는 하나 이상의 대표 특징 필드에 기초하여 상기 복수의 패킷 데이터들을 군집화하고, 군집화 결과에 기초하여 패킷 데이터가 정상인지 비정상인지 여부를 결정하는 상기 IPS의 룰을 학습하는 공격 방어 장치
|
12 |
12
제11항에 있어서,상기 프로세서는,상기 복수의 패킷 데이터들 각각의 복수의 특징 필드들을 추출하고, 주성분 분석에 기초하여 상기 복수의 특징 필드들 중에서 상기 대표 특징 필드를 결정하고, 상기 대표 특징 필드가 반영된 DBSCAN 알고리즘에 기초하여 상기 복수의 패킷 데이터들을 군집화하는 공격 방어 장치
|
13 |
13
제12항에 있어서,상기 프로세서는,상기 복수의 패킷 데이터들 각각의 구조를 csv 형식으로 변경하고, 변경된 복수의 패킷 데이터들 각각의 로그에서 상기 복수의 특징 필드들을 추출하는 공격 방어 장치
|
14 |
14
제12항에 있어서,상기 프로세서는,상관 계수 행렬을 이용하여 상기 복수의 특징 필드들 각각의 누적 기여율(cumulative proportion) 및 표준 편차(standard deviation)을 계산하고, 계산 결과에 기초하여 상기 복수의 특징 필드들 중에서 누적 기여율 및 표준 편차가 높은 하나 이상의 특징 필드를 상기 대표 특징 필드로 결정하는 공격 방어 장치
|
15 |
15
제14항에 있어서,상기 대표 특징 필드의 누적 기여율은 0
|
16 |
16
제14항에 있어서,상기 대표 특징 필드의 표준 편차는 0
|
17 |
17
제12항에 있어서,상기 프로세서는,상기 DBSCAN 알고리즘의 minPts 및 eps 반경을 조절하여 상기 복수의 패킷 데이터들을 정상 군집 및 비정상 군집 중에서 적어도 하나로 군집화하는 공격 방어 장치
|
18 |
18
제11항에 있어서,상기 프로세서는,상기 비정상 군집으로 군집화된 패킷 데이터를 이용하여 상기 룰을 학습하는 공격 방어 장치
|
19 |
19
제12항에 있어서,상기 복수의 특징 필드들은 패킷 데이터의 로그에 포함된 특징 필드로, time stamp 필드, port 필드, payload 필드, up link 필드, down link 필드, 전송 디바이스 ID 필드인 공격 방어 장치
|
20 |
20
제11항에 있어서,상기 프로세서는,학습된 룰에 기초하여 수신될 패킷 데이터에 대한 공격을 방어하는 공격 방어 장치
|