1 |
1
홈(home) 내 복수의 전자 장치들의 복수의 로그 데이터들을 획득하는 단계;로그 데이터에 대한 학습 모델을 통해 상기 복수의 로그 데이터들 간의 연결성을 분석하여 상기 복수의 로그 데이터들이 정상 로그 데이터인지 및 비정상 로그 데이터인지 여부를 판단하는 단계; 및판단 결과에 기초하여 홈 네트워크 내 악성 사용자에 의한 악성 행위를 탐지하는 단계를 포함하는 악성 행위 탐지 방법
|
2 |
2
제1항에 있어서,상기 학습 모델은 수집될 로그 데이터를 정상 및 비정상 로그 데이터로 구분하는 기준인 악성 행위 탐지 방법
|
3 |
3
제1항에 있어서,상기 판단하는 단계는,상기 복수의 로그 데이터들에 대한 시계열 데이터 분석을 수행하여 상기 복수의 로그 데이터들 중에서 서로 연결 관계가 있는 복수의 로그 데이터쌍들 각각의 상기 연결성을 획득하는 단계;상기 학습 모델을 통해 상기 연결성이 상기 학습 모델의 정상 연결 기준 범위를 넘어서는지 여부를 분석하여 상기 연결성이 정상 연결인지 및 비정상 연결인지 여부를 판단하는 단계; 및정상 연결 및 비정상 연결에 대한 판단 결과에 기초하여 상기 연결성에 대응하는 로그 데이터쌍이 정상 로그 데이터인지 및 비정상 로그 데이터인지 여부를 판단하는 단계를 포함하는 악성 행위 탐지 방법
|
4 |
4
제3항에 있어서,상기 연결성은 상기 복수의 로그 데이터쌍들 각각의 source-destination 관계인 악성 행위 탐지 방법
|
5 |
5
제4항에 있어서,상기 연결성이 정상 연결인지 및 비정상 연결인지 여부를 판단하는 단계는,5-tuple 데이터를 통해 상기 source-destination 관계의 중요도 및 의미를 획득하여 상기 중요도 및 상기 의미를 정상 연결 및 비정상 연결에 대한 판단 동작에 반영하는 단계를 포함하는 악성 행위 탐지 방법
|
6 |
6
제3항에 있어서,상기 복수의 로그 데이터들이 정상 로그 데이터인지 및 비정상 로그 데이터인지 여부를 판단하는 단계는,상기 복수의 로그 데이터들을 JSON 파싱 및 일반화하여 그래프 데이터 베이스에 적합하게 가공하는 단계를 더 포함하는 악성 행위 탐지 방법
|
7 |
7
제1항에 있어서,상기 탐지하는 단계는,상기 복수의 로그 데이터들 중에서 비정상 로그 데이터가 존재하는 경우, 비정상 로그 데이터에 대응하는 전자 장치에 상기 악성 행위가 발생했다고 판단하여 상기 악성 행위를 탐지하는 단계를 포함하는 악성 행위 탐지 방법
|
8 |
8
제1항에 있어서,과거에 수집된 복수의 과거 로그 데이터들을 통해 상기 학습 모델을 생성하는 단계를 더 포함하는 악성 행위 탐지 방법
|
9 |
9
제8항에 있어서,상기 생성하는 단계는,Support-vector 머신을 통해 상기 복수의 과거 로그 데이터들에 대한 분류를 수행하고, ARIMA 및 TS-clustering 알고리즘을 통해 시계열 데이터 분석 및 예측을 수행하는 단계; 및수행 결과에 기초하여 정상 및 비정상 로그 데이터를 구분하는 기준인 상기 학습 모델을 생성하는 단계를 포함하는 악성 행위 탐지 방법
|
10 |
10
제1항에 있어서,상기 학습 모델은 상기 복수의 로그 데이터들을 통해 업데이트되는 악성 행위 탐지 방법
|
11 |
11
인스트럭션들을 포함하는 메모리; 및상기 인스트럭션들을 실행하기 위한 컨트롤러를 포함하고,상기 컨트롤러는,홈(home) 내 복수의 전자 장치들의 복수의 로그 데이터들을 획득하고, 로그 데이터에 대한 학습 모델을 통해 상기 복수의 로그 데이터들 간의 연결성을 분석하여 상기 복수의 로그 데이터들이 정상 로그 데이터인지 및 비정상 로그 데이터인지 여부를 판단하고, 판단 결과에 기초하여 홈 네트워크 내 악성 사용자에 의한 악성 행위를 탐지하는 악성 행위 탐지 장치
|
12 |
12
제11항에 있어서,상기 학습 모델은 수집될 로그 데이터를 정상 및 비정상 로그 데이터로 구분하는 기준인 악성 행위 탐지 장치
|
13 |
13
제11항에 있어서,상기 컨트롤러는,상기 복수의 로그 데이터들에 대한 시계열 데이터 분석을 수행하여 상기 복수의 로그 데이터들 중에서 서로 연결 관계가 있는 복수의 로그 데이터쌍들 각각의 상기 연결성을 획득하고, 상기 학습 모델을 통해 상기 연결성이 상기 학습 모델의 정상 연결 기준 범위를 넘어서는지 여부를 분석하여 상기 연결성이 정상 연결인지 및 비정상 연결인지 여부를 판단하고, 정상 연결 및 비정상 연결에 대한 판단 결과에 기초하여 상기 연결성에 대응하는 로그 데이터쌍이 정상 로그 데이터인지 및 비정상 로그 데이터인지 여부를 판단하는 악성 행위 탐지 장치
|
14 |
14
제13항에 있어서,상기 연결성은 상기 복수의 로그 데이터쌍들 각각의 source-destination 관계인 악성 행위 탐지 장치
|
15 |
15
제14항에 있어서,상기 컨트롤러는,5-tuple 데이터를 통해 상기 source-destination 관계의 중요도 및 의미를 획득하여 상기 중요도 및 상기 의미를 정상 연결 및 비정상 연결에 대한 판단 동작에 반영하는 악성 행위 탐지 방법
|
16 |
16
제13항에 있어서,상기 컨트롤러는,상기 복수의 로그 데이터들을 JSON 파싱 및 일반화하여 상기 그래프 데이터 베이스에 적합하게 가공하는 악성 행위 탐지 장치
|
17 |
17
제11항에 있어서,상기 컨트롤러는,상기 복수의 로그 데이터들 중에서 비정상 로그 데이터가 존재하는 경우, 비정상 로그 데이터에 대응하는 전자 장치에 상기 악성 행위가 발생했다고 판단하여 상기 악성 행위를 탐지하는 악성 행위 탐지 장치
|
18 |
18
제11항에 있어서,상기 컨트롤러는,과거에 수집된 복수의 과거 로그 데이터들을 통해 상기 학습 모델을 생성하는 악성 행위 탐지 장치
|
19 |
19
제18항에 있어서,상기 컨트롤러는,Support-vector 머신을 통해 상기 복수의 과거 로그 데이터들에 대한 분류를 수행하고, ARIMA 및 TS-clustering 알고리즘을 통해 시계열 데이터 분석 및 예측을 수행하고, 수행 결과에 기초하여 정상 및 비정상 로그 데이터를 구분하는 기준인 상기 학습 모델을 생성하는 악성 행위 탐지 장치
|
20 |
20
제11항에 있어서,상기 학습 모델은 상기 복수의 로그 데이터들을 통해 업데이트되는 악성 행위 탐지 장치
|