KR101323074B1

KR101323074B1 - 제2 유형의 퍼지 신경망을 사용하는 지능망 이상 검출

Info

Publication number: KR101323074B1
Application number: KR1020097006465A
Authority: KR
Inventors: 치앙 예; 제레미 토우브; 알. 레온 상로니즈
Original assignee: 알까뗄 루슨트
Priority date: 2006-09-29
Filing date: 2007-09-29
Publication date: 2013-10-29
Also published as: KR20090058533A; EP2082555B1; CN101523848A; EP2082555A2; WO2008042824A2; ES2602802T3; CN101523848B; US20080083029A1; JP2010506460A; JP5405305B2; WO2008042824A3

Abstract

사설망(104)에서 지시되는 공격의 징후들을 추적하고, 공격의 징후들이 사라지기 시작할 때까지 네트워크 디바이스(100)에 의해 구현될 수 있는 단계적으로 확대되는 교정 액션(110)들을 제안하는, 제2 유형의 퍼지 신경망(112)을 구현하는 이상 검출기(102)와 인터페이스하는 네트워크 디바이스(100)(예를 들어, 층 3 이더넷 스위치)가 제공된다.

퍼지 신경망, 네트워크 통계치, 메트릭, 이상 검출

Description

제2 유형의 퍼지 신경망을 사용하는 지능망 이상 검출{INTELLIGENCE NETWORK ANOMALY DETECTION USING A TYPE Ⅱ FUZZY NEURAL NETWORK}

본 발명은 (사설망(private network)에서 지시되는) 공격/이상(attack/anomaly)의 징후(symptom)들을 식별하고, 공격/이상의 징후들이 사라지기 시작할 때까지, (네트워크 디바이스에 의해 구현될 수 있는) 단계적으로 확대되는 교정 액션(escalating corrective action)들을 제안하기 위해 제2 유형의 퍼지 신경망을 사용하기 위한 방법 및 이상 검출에 관한 것이다.

현재 네트워킹 디바이스들(예를 들어, 층 3의 이더넷 스위치)은 네트워크 이상들/공격들을 검출하고 교정하기 위해 사후 검토 기술(post mortem technique) 또는 예방 수단 기술(preventative measures technique) 중 하나를 종종 사용한다. 전자의 경우, 네트워킹 디바이스는 광범위한 양의 네트워크 통계치들을 수집하고, 그 후 조직화된 공격/이상들 또는 바람직하지 않은 네트워크 활동(activity)의 알려진 패턴들 또는 시그니쳐(signature)들을 식별하기 위해 이러한 정보를 외부 설비(facility)에 송신한다. 이러한 네트워크 통계치들을 수집하고, 계산하고 분석하는 것에 대한 요구사항들은 상당한 양의 고속처리(crunch) 및 조사 능력(capability)들을 요구하기 때문에, 이러한 외부 설비는, 이상/공격이 네트워크 를 이미 손상시킨 후에야 그것을 식별한다.

후자의 경우, 네트워킹 디바이스는 조직화된 공격들/이상들 또는 바람직하지 않은 네트워크 활동들의 알려진 패턴들 또는 시그니쳐들에 대응하는 필터 마스크들, 결정 트리(tree)들, 또는 복잡한 발견적 방법들(complicated heuristics)의 세트로 프로그램된다. 이러한 매커니즘들은 단지, 고정적이고 조직화된 공격들/이상들의 패턴들을 추적하는 것에 있어 상당히 효율적인 견고하고 고속인 규칙들을 사용함으로써 공격들/이상들을 인지한다. 식별되면, 네트워킹 디바이스는 위반하는 공격들/이상들의 징후들을 처리하기 위해 적절한 단계들을 취한다. 이러한 특정 기술은, 공격/이상이 엄격한 동작 범위를 갖고, 공지된 시그니쳐를 남기는 경우에 잘 작동한다.

일부 네트워킹 디바이스들은 네트워크 이상들/공격들을 검출하고 교정하기 위해 사후 검토 기술 및 예방 수단 기술의 조합을 사용한다. 최고로 손상시키고 인식할 수 있는(recognizable) 공격 방법들, 예를 들어, 서비스의 거절, 포트 스캐닝 등은 매우 독특한 시그니쳐들을 갖기 때문에, 이러한 유형의 네트워킹 디바이스는 다수의 이러한 공격들/이상들을 성공적으로 식별하고 교정할 수 있다. 예로서, 네트워크 관리자는, 엄격한 동작 범위를 표시하고, 공지된 시그니쳐를 남기는 공격/이상에 의해 야기된 문제들을 검출하고 교정하기 위해 필터 마스크들, 결정 트리들 또는 복잡한 발견적 방법들의 세트를 쉽게 프로그램할 수 있다. 그러나, 오늘날 일반적으로 사용되는 보다 새로운 유형들의 공격들/이상들은 예측가능한 방식으로 동작하지 않거나 또는 독특한 시그니쳐를 남기지 않는다. 예를 들어, 새로운 세대의 웜(worm)들이 존재하며, 이들 새로운 웜들은, 그들이 네트워크 내에서 이동(migrate)하여 복제(reproduce)됨에 따라, 웜들이 동작들을 변형하도록 하는 생물학적 알고리즘들을 사용하기 때문에, 웜들이 네트워크를 통해 이동할 때 쉽게 식별할 수 없는 활동 범위를 갖는다.

결과적으로, 이러한 잘 알려진 기술들은, 그들이 공격/이상을 인지하고, 공격/이상의 징후들을 교정하는 교정 액션들을 취할 수 있기 전에, 공격/이상의 원인에 대한 상세한 지식(intimate knowledge)에 의존하기 때문에 매우 잘 수행할 수 없다. 또한, 이러한 기술들은, (네트워크 관리자가, 그들이 처리하기를 원하는, 본질적으로, 새로운 부류의 공격으로서 공격의 각각의 정도를 렌더링하기를 원하는 공격의 각각의 정도를 구체적으로 정의하지 않는다면) 공격/이상의 정도에 관계없이 교정 액션들의 별개의 코스를 종종 취할 필요가 있다. 따라서, 공격/이상의 징후들이 사라지기 시작할 때까지 공격/이상(특히 변형가능한 웜들의 더 새로운 유형들 중 하나)을 검출하고 단계적으로 확대되는 액션들을 제안할 수 있는 새로운 기술의 필요성이 존재한다. 이러한 필요성 및 이외 필요성들은 본 발명의 이상 검출기 및 이상 검출방법에 의해 처리된다.
미국 특허 출원 공개 번호 2004/0250124 A1는 네트워크에 들어가는 트래픽의 속성을 측정하고, 공격을 검출하기 위해 적어도 하나의 퍼지 로직 알고리즘을 사용하여 그 속성을 분석하는 단계를 포함하는, 공격으로부터 네트워크를 보호하는 방법을 개재한다.

이상 탐지기 및 2가지 방법들이 독립 청구항 1, 7 및 11에 각각 언급된다. 본 발명은 공격의 징후들이 사라지기 시작할 때까지, 공격의 징후들을 추적하고 단계적으로 확대되는 교정 액션들을 제안할 수 있는 제2 유형의 퍼지 신경망을 사용하는 이상 검출기 및 방법을 포함한다. 일 실시예에서, 이상 검출기는 삼층으로 된(three-tiered) 제2 유형의 퍼지 신경망을 사용하고, 여기서 제1층(tier)은 네트워크 디바이스의 "건전성(health)"의 상이한 양태들에 대한 통계치들을 수집하고 0과 1 사이의 값들을 갖는 메트릭(metric)으로 그러한 수들을 처리하는 다중 멤버십 함수(multiple membership function)들 μ₁-μ_i을 갖는다. 제2층은 그들의 메트릭을 획득하고, 그 후 (수치적이 아닌 확률적) 러닝 합(running sum)을 출력하기 위해 선택된 멤버십 함수들 μ₁-μ_i과 각각 인터페이스하는 다중 가산 연산자(summer)들 Π₁-Π_m을 갖는다. 제3층(206)은, 네트워크 디바이스가 공격의 징후들을 처리하기 위해 따를 수 있는 액션의 특정 코스를 결정하기 위해, 선택된 가산 연산자들 Π₁-Π_m로부터의 합계를 집합(aggregate)시키고, (if-then-else 표 내에 위치된) 퍼지 로직 제어 규칙들과 비교되는 러닝 평균(running average)을 각각 계산하는 다중 애그리게이터(multiple aggregator)들 ∑₁-∑_K 을 갖는다.

첨부하는 도면들과 관련하여 취해질 때 다음의 상세 설명을 참조함으로써 본 발명의 보다 완전한 이해가 획득될 수 있다.

도 1은 본 발명에 따른, 사설망을 보호하는 기능을 하는 이상 검출기와 상호작용하는 네트워크 디바이스의 도면이다.

도 2는 본 발명의 일 실시예에 따른, 사설망을 보호하기 위해 3층으로 된 제2 유형의 퍼지 신경망을 사용하는 이상 검출기의 도면이다.

도 3은 본 발명의 일 실시예에 따른, 사설망을 보호하기 위해 3층으로 된 제 2 유형의 퍼지 신경망을 사용하는 이상 검출기에 의해 수행될 수 있는 기본 단계들을 도시하는 도면이다.

도 1을 참조하면, 본 발명에 따라, 공격의 징후들을 식별하고, 네트워크 디바이스(100)가 공격의 징후들을 처리하기 위해 따를 수 있는 단계적으로 확대되는 교정 액션들을 제안하는 이상 검출기(102)와 네트워크 디바이스(100)가 인터페이스할 수 있는 방법 설명에 도움이되도록 하기 위해 사용되는 도면이 도시된다. 이러한 예시적인 시나리오에서, 네트워크 디바이스(100)는 (네트워크 디바이스(100) 내에 위치될 수도 있는) 이상 검출기(102)와 인터페이스함으로써, 공중망(public network)(106)으로부터 시작되는 공격들 및 가능한 위협들로부터 사설망(104)을 보호할 수 있다. 또한, 네트워크 디바이스(100)는 이상 검출기(102)와 인터페이싱함으로써 그 자신의 사용자들로부터의 공격들 및 잠재적인 남용(abuse)들로부터 사설망(104)을 보호할 수 있다. 이상 검출기(102)가 네트워크 통계치들(108)을 수신하고, 그러한 네트워크 통계치들(108)을 처리하며, 그 후 사설망(104)을 보호하기 위해 네트워크 디바이스(100)에 의해 구현될 수 있는 교정 액션(들)(110)을 출력하는 방법을 설명하기 위해 다음에 상세한 설명이 제공된다.

새로운 네트워크 공격들(예를 들어, 변형가능한 웜들)의 성질(nature)이 종종 복잡하고, 대개 알수 없기 때문에, 이상 검출기(102)는 바람직한 이상 검출 처리에서의 적응성(adaptability)의 측정을 도입하기 위해 인공 지능을 사용한다. 일 실시예에서, 이상 검출기(102)는 제2 유형의 퍼지 신경망(112)(도 2 및 도 3에 도시됨)으로서 본원에 지칭되는 인공 지능의 형태를 사용함으로써 적응성의 이러한 측정을 가능하게 한다. 제2 유형의 퍼지 신경망(112)은, 공격의 징후들을 처리하기 위해 단계적으로 확대되는 교정 액션들(110)을 제안하기 전에 공격의 징후들을 식별하고 추적하도록, 수집된(collected) 네트워크 통계치들(108)로부터 취해진 부분적 지식을 사용할 수 있다. 따라서, 제2 유형의 퍼지 신경망(112)은, 공격을 검출하고, 공격의 징후들을 처리하는데 요구되는 교정 액션들(110)을 제안할 수 있기 전에 공격의 근본적인 원인을 추론할 필요는 없다.

제2 유형의 퍼지 신경망(112)은, 그의 학습(learning)에 대한 조건들은 복잡한 적응적 필터들보다 오히려 단순한 발견적 방법들에 기초한다는 점에서, 전통적인 신경망과는 상이하다. 이러한 단순한 발견적 방법들은 "퍼지니스(fuzziness)" 용어의 적응에 있어 정의되지 않은 수치 에러(numerical error)들을 허여한다. 그것은, 이상 검출기(102)로 하여금, 복잡한 적응적 필터들을 사용하는 전통적인 신경망에 의해 요구되는 데이터의 정밀도를 가질 필요없이 일반적인 경향을 발견함으로써 파악하기 어려운(elusive) 문제를 추적하도록 하는 이러한 "퍼지" 성질이다. 3층으로 된 제어 구조를 갖는 제2 유형의 퍼지 신경망(112)의 예시적인 실시예는 도 2 및 도 3에 대해 다음에 설명된다.

도 2를 참조하면, 본 발명에 따라, 공격의 징후들을 식별하고, 공격의 징후들이 사라지기 시작할 때까지 구현될 수 있는 단계적으로 확대되는 교정 액션들을 제안하기 위해, 이상 검출기(102)에 의해 사용되는 3층으로 된 제2 유형의 퍼지 신경망(112)의 도면이 도시된다. 도시된 바와 같이, 제1층(202)은 네트워크 디바이 스(100)의 "건전성"의 상이한 양태들에 관한 통계치들(108)을 수집하고 0과 1 사이에 있는 값들을 갖는 메트릭들로 그러한 수들을 처리하는 다중 멤버십 함수들 μ₁-μ_i을 갖는다. 제2층(204)은, 그들의 메트릭들을 획득하고, 그 후 (수치적이 아닌 확률적) 러닝 합을 처리/출력하는 선택된 멤버십 함수들 μ₁-μ_i과 각각 인터페이스하는 다중 가산 연산자들 Π₁-Π_m을 갖는다. 제3층(206)은, 공격의 징후들을 처리하기 위해 네트워크 디바이스(100)가 따를 수 있는 액션(110)의 코스를 결정하기 위해, 선택된 가산 연산자들 Π₁-Π_m로부터의 합계(sum)를 집합시키고, 대응하는 if-then-else 표(208₁ 및 208_k) 내에 위치된 퍼지 로직 제어 규칙들과 비교되는 러닝 평균을 각각 계산하는 다중 애그리게이터들 ∑₁-∑_K 을 갖는다. 구체적으로, 제3층(206)은, 개개의 애그리게이터들 ∑₁-∑_K로부터 러닝 평균을 각각 수신하고, 그 입력에 기초하여, if-then-else 분석을 수행하고, 그 후 네트워크 디바이스(100)가 공격의 징후들을 처리하도록 구현될 수 있는 액션(110)을 출력하는 다중 if-then-else 표들(208₁ 및 208_k)을 갖는다.

하나의 특정 어플리케이션에서, 각각의 멤버십 함수 μ₁-μ_i는 네트워크 디바이스(100)의 특정 양태들에 관한 통계치들(108)을 수집하고, 그 후 네트워크 디바이스(100)의 그 특정 양태의 "건전성"을 표시하는 단일 메트릭을 생성한다. 이러한 메트릭은 대응하는 멤버십 함수가 μ ε {0..1}로 표현될 수 있다는 것을 의 미하는 0과 1 사이의 스코어를 갖는다. 메트릭 스코어는, 네트워크 디바이스(100)가, 예를 들어, 특정 인터페이스를 통한 패킷들의 수, 특정 인터페이스를 통한 비트들의 수, 특정 인터페이스를 통한 http 접속들의 수 등을 일반적으로(currently) 수집하는, 이론상 최대치에 대한 네트워크 통계치의 프랙션(fraction)이다. 예를 들어, μ_i= 포트 A의 처리량 = (포트 A/초 당 송신된 비트들의 수)/(포트 A/초 당 링크 속도). 따라서, 전자(former)가 건전성의 우위 상태를 나타내기 때문에 메트릭의 더 낮은 스코어보다 더 높은 스코어가 더 바람직하다. 이해될 수 있는 바와 같이, 멤버십 함수가 그의 μ값에서 전달할 수 있는 양태 유형(네트워크 디바이스(100)와 연관된 통계치)이 무엇인지에 대한 제한은 없다. 또한, 네트워크 관리자가 멤버십 함수들 μ₁-μ_i을 더욱 정확히 정의할수록, 전체 이상 검출기(102)가 더 잘 작동할 것이다.

제2층(204)에서, 선택된 멤버십 함수들 μ₁-μ_i로부터의 메트릭들은 전체 스코어 μ_overall를 생성하기 위해 가산 연산자들 Π₁-Π_m중 하나에 의해 합해진다. 실제 개개의 멤버십 함수들 μ₁-μ_i은 상이한 방법들로 전체 스코어에 영향을 미칠 수 있기 때문이다. 가산 연산자들 Π₁-Π_m은 가중치들 "w"를 달리함에 따라 하나 이상의 개개의 멤버십 함수들 μ₁-μ_i을 모델링할 수 있어, 그들은 전체 스코어 μ_overall에 대해 원하는 보상 효과를 갖는다. 일례로, 이러한 전체 스코어 μ_overall는 다음과 같이 계산될 수 있다.

여기서,

w(i)= μ_i의 i번째 가중치

상기 수학식은 μ_i및 μ'_i의 가중치 부여된 기하 평균(weighted, geometric mean)을 생성하고, 여기에서, μ_i는 전체 스코어 μ_overall에 영향을 미치는 i번째 요소(factor)이고, μ'_i는 μ_i의 변화율, 즉, μ'_i=dμ_i/dt 이다.

제3층(206)에서, 가중치 부여된 기하 평균들(전체 스코어들 μ_overall) 중 선택된 것들은 애그리게이터들 ∑₁-∑_k 중 하나에 의해 합해지고, 그 결과는 if-then-else 액션들의 대응하는 표 208₁ 및 208_k과 비교된다. 도시된 바와 같이, 각각의 애그리게이터 ∑₁-∑_k는 단지 하나의 표 조합(table association)을 갖고, 각각의 표 208₁ 및 208_k는 특정 공격/이상을 찾아, 그 특정 공격/이상의 징후를 처리하도록 프로그램될 수 있다. 다음은 샘플 표 208₁ 및 208_k의 예시이다.

주의: 표 208₁ 및 208_k은 다중 액션들을 포함할 수도 있다. 예를 들어, (애그리게이터 1 > 임계치 1)이면, (액션 1 및 액션 2 및 액션 3)을 하고, 그렇지 않으면, (액션 4 및 액션 5)를 한다.

상술된 액션들(110)은 네트워킹 디바이스(100)가 공격/이상으로부터 스스로를 보호하기 위해 취할 수 있는 단계들이다. 예를 들어, 이상 검출기(102)는 현재 트래픽(traffic) 패턴에 기초하여, 즉, 정체(congestion)에 대한 그의 애그리게이터 ∑₁가 특정 임계치를 초과할 때, 네트워크 디바이스(100)에서의 특정 인터페이스에 대한 잠재적인 네트워크 정체를 검출할 수 있다. 이러한 애그리게이터의 합이 엄격한(severe) 임계치와 관대한(mild) 임계치 사이에 있는 경우, 애그리게이터 ∑₁에 의해 트리거된(triggerd) 액션(110)은 네트워킹 디바이스(100)가 낮은 DSCP(Differentiated Services Code Point) 우선순위로 모든 후속 트래픽을 마크하도록 할 것이다. 애그리게이터의 합이 엄격한 임계치를 초과하면, 그 후 애그리게이터 ∑₁에 의해 트리거된 액션(110)은 네트워킹 디바이스(100)가 정체 하의 인터페이스에 대한 후속 트래픽 모두를 드롭(drop)하도록 할 것이다.

다른 예에서, 네트워킹 디바이스(100)는 적은 수의 IP(Internet Protocol) 주소들로부터의 다수의 HTTP 중단들이 뒤따르는, 의심스럽게 다수의 HTTP(HyperText Transfer Protocol) 요청들을 예측 가능한 패턴 및 고정된 간격으로 목격(witness)할 수 있다. 이상 검출기(anomaly detector)(102)는 이러한 변수들 둘 다 집합시킴으로써 이러한 패턴을 추적하고, 그 후 네트워킹 디바이스(100)에 의해 구현될 수 있는 액션(110)을 출력함으로써 이러한 문제를 처리할 수 있다. 본 실시예에서, 네트워크 연산자는 이러한 특정 이상에 대한 선험적인 지식(priori knowledge)을 가지므로, 그들은 가산 연산자들 Π₁-Π_m, 애그리게이터들 Σ₁-Σ_k, if-then-else 표들(208₁ 및 208_k) 및/또는 멤버십 함수들 μ₁-μ_n 을 적절히 구성 (또한 멤버십 함수들μ₁-μ_n에 가중치 부여)할 수 있다고 가정된다. 대안적으로, 이상 검출기(102)는 예기치 않은 공격들/이상들을 검출하고 처리하는 데 사용될 수도 있다(이러한 특정한 능력은 아래에서 더욱 상세하게 논의된다).

표본적인 실시예로서, 3층으로 된 제2 유형의 퍼지 신경망(112)이 하나의 네트워킹 장비(100), 예를 들면 이미 통계치들의 방대한 어레이를 유지하는 층 3 이더넷 스위치(layer 3 Ethernet switch)(100) 상에 구현될 수 있다. 이러한 경우에, 제1층의 멤버십 함수들 μ₁-μ_i은 주기적으로 이들 통계들을 취하고 그들을 하나 이상의 제2층 가산 연산자들 Π₁-Π_m에 공급되는 메트릭들/프랙션들(metrics/fractions)로 변환할 수 있다. 예를 들면, 멤버십 함수들 중 하나인 μ₁은 초당 인터페이스를 통과하는 비트수에 관련되는 통계치를 취할 수 있고, 이러한 수를 포트 속도에 대하여 나누어 링크 이용(link utilization)을 나타낼 수 있는 {0..1} 사이의 메트릭/프랙션을 생성할 수 있다. 게다가, 제1 메트릭/프랙션 (μ₁)를 계산하기 위해, 제1층 멤버십 함수 μ₁은 또한 그 메트릭/프랙션의 시간에 대한 미분(μ₁´)을 계산한다. 이것을 달성하기 위하여, 멤버십 함수 μ₁는 예를 들어 연속적인 μ₁(t) 점들의 기울기를 계산하고, 삼각함수를 이용하여 각도 값을 추출하고, 그 각도를 2π에 대해 나눌 수도 있다.

그 후, 제2층 가산 연산자들 Π₁-Π_m은 각각, 고유한 메트릭들/프랙션들의 세트 μ₁-μ_i및 그들의 대응하는 메트릭들/프랙션들의 시간에 대한 미분 (μ₁´-μ_i´)을 수신하고, (예를 들면) 수학식 1에 기초하여 가중치 부여된 기하 평균 μ_overall을 계산한다. 원한다면, 가산 연산자들 Π₁-Π_m은 0과 1 사이의 수를 이용하여 메트릭들/프랙션들 μ₁-μ_i각각에 가중치 부여할 수 있다. 메트릭들/프랙션들 μ₁-μ_i의 할당된 가중치는 대응하는 멤버십 함수 μ₁-μ_i의 상대적인 중요성을 나타낸다. 예를 들면, 네트워크 정체(network congestion)의 추적이 요망될 때, 링크 이용은 TCP(Transmission Control Protocol) 접속들의 오픈(open) 횟수보다 높은 거듭제곱(power)으로 가중치 부여될 수 있다. 물론, 제2 유형의 퍼지 신경망(112)은 멤버십 함수들 μ₁-μ_i에 할당된 가중치들에 관계없이 수렴해야 한다. 그러나, 제2 유형의 퍼지 신경망(112)은 멤버십 함수들 μ₁-μ_i이 잘못 선택된(ill-chosen) 가중치들을 가지는 경우보다 멤버십 함수들 μ₁-μ_i이 적절하게 선택된 가중치들을 가진다면 더욱 빨리 적응할 것이다. 결국, 가산 연산자들 Π₁-Π_m은 그들의 출력들 μ_overalls를, 각각 수신된 μ_overalls를 집합시키고 (대응하는 if-then-else 표(208₁ 및 208_k)에 위치된) 퍼지 로직 제어 규칙들과 비교되는 러닝 평균을 계산하는 3층 애그리게이터들 Σ₁-Σ_k 중 선택된 하나에 공급하여, 네트워크 디바이스(100)가 공격의 징후들을 처리하도록 구현될 수 있는 액션(110)의 코스를 결정한다.

도 3은, 본 발명에 따라, 예시적인 3층으로 된 제2 유형의 퍼지 신경망(112)이 사설망(104)을 보호하는 것을 돕는 기능을 하는 방법을 상이한 방식으로 설명하기 위해 사용되는 도면이다. 단계 302에서, 제1층 엔티티들(202)은 통계치들을 수집하고 그들을 퍼지 로직 수학을 이용하여 조작될 수 있는 프랙션 값으로 처리함으로써 시스템 상태를 관찰하는 기능을 한다. 단계 304에서, 제2층 엔티티들(204)은 다양한 통계치들을 연결하는 기능을 하여 간섭들을 초래한다. 단계 306에서, 제3층 엔티티들(206)(오직 하나의 Σ₁과 하나의 if-then-else 표 208₁이 도시됨)은 선택된 제2층 엔티티들(204)로부터 수신된 헌치(hunche)들의 시리즈를 이용하여 네트워크 디바이스(100)가 사설망(104)을 보호하기 위해 어떤 액션(110)을 취할 수 있는지에 대하여 결정하는 기능을 한다.

제2 유형의 퍼지 신경망(112)을 이용하는 이점은 제2 유형의 퍼지 신경망(112)을 훈련시켜 미래의 공격들 및 네트워크 문제들에 대하여 학습시킬 수 있다는 것이다. 예를 들면, 네트워크 관리자가 공중망(106) 상의 새로운 웜 공격들의 빈발(rash)을 예상할 때, 그들은 의심되는 웜을 실험적인 네트워크 상에서 자유롭게 할 수 있고 이러한 메커니즘을 이용하여 공격의 패턴을 추적할 수 있다. 그리하여, 네트워크 관리자는 이러한 새롭게 학습된 패턴을 존속하고 있는(live) 이상 검출기(102)에 프로그램할 수 있고, 그 후 사설망(104)은 그러한 공격들에 대하여 백신접종될(inoculated) 수 있다. 연산자는 (1) 임박한 공격을 중단시킬(shut down) 수 있는 액션들을 이용하여 규칙 표들 208₁ - 208_k을 수정할 수 있고; 그리고/또는 (2) 제2층(204)이 관찰(observation)(들)을 평가하는 방식을 멤버십 함수(들) μ₁-μ_n를 업데이트(예를 들면, 관찰의 가중치를 부여)하거나 새로운 멤버십 함수(들)을 더함으로써 변경하는 2가지 방식으로 백신접종을 실행할 수 있다.

다른 예에서, 만약 네트워크 관리자가 제2 유형의 퍼지 신경망(112)이 새로운 공격/이상을 찾도록 훈련시키고자 한다면, 그들은 if-then-else 표들 중 하나인 208₁이 아무 액션도 취하지 않고 단순히 대응하는 애그리게이터 Σ₁로부터의 출력들을 관찰하도록 프로그램할 수 있다. 그 후, 그들은 특정한 새로운 공격/이상에 대하여 맞춰진 액션들의 특정한 세트를 설계할 수 있다. 게다가, 만약 제2 유형의 퍼지 신경망(112)이 특정한 위협들에 대하여 보호하도록 훈련된다면, 훈련 프로세스 자체가 퍼지 파라미터들의 수정들과 함께 이전에 보지 못한 공격들에 대하여 보호하는 것을 도울 수도 있다. 퍼지 신경망(112)에 대해 알려진 공격들과 연관된 동일한 구성요소들 중 일부를 공유하는 것만으로 이러한 예기치 않은 공격들이 "불량(bad)"한지 그리고 응답을 규정(enact)하는지가 결정될 수 있다. 이러한 구성요소들은 측정될 수 있고 용이하게 식별될 수 있으며(예를 들면 그들은 특정한 트래픽 유형의 초당 패킷들일 수 있다), 그들 중 더 많은 수의 메커니즘이 집합되고, 그 후, 식별될 수 있는 예기치 않은 공격들의 더 많은 유형들이 변화된다.

본 발명의 일 실시예가 첨부 도면들에서 예시되고 앞의 상세한 설명에서 설명되었지만, 본 발명이 개시된 실시예에 의하여 제한되지 않으며, 개시된 본 발명에서 벗어나지 않고 다수의 재구성, 수정들 및 대체들이 본 발명에 일어날 수 있다는 것 그리고 본 발명은 이하의 청구범위에 의해서 한정된다는 것이 이해되어야 한다.

Claims

이상 검출기(anomaly detector)(102)로서,

공격(attack)의 징후(symptom)들을 추적하고, 상기 공격의 상기 징후들이 사라지기 시작할 때까지 단계적으로 확대되는 교정 액션(escalating corrective action)들(110)을 제안하는 제어 구조(112)

를 포함하고,

상기 제어 구조는,

복수의 멤버십 함수들을 포함하는 제1층(tier)(202) - 각각의 멤버십 함수는 네트워크 통계치(108)를 수집하고, 상기 수집된 통계치를 상기 수집된 통계치의 이론적 최대치로 나누는 것인 메트릭(metric)으로 상기 수집된 통계치를 처리함 -

을 포함하며,

상기 제어 구조는,

복수의 가산 연산자(summer)들을 포함하는 제2층(204) - 각각의 가산 연산자는 상기 멤버십 함수들과 연관된 메트릭들의 고유한 세트를 수신하고, 상기 메트릭들의 고유한 세트 및 상기 고유한 세트의 상기 메트릭들 각각의 변화율(rate of change)에 기초하여 평균을 계산함 - ; 및

적어도 하나의 애그리게이터(aggregator) 및 적어도 하나의 표(table)(208₁, 208_k)를 포함하는 제3층(206) - 각각의 애그리게이터는 상기 계산된 평균들의 고유한 세트를 수신하고, 상기 계산된 평균들의 상기 고유한 세트를 합하며, 각각의 표는, 액션의 코스가 상기 공격의 징후들을 처리할 필요가 있는지 결정하기 위해 상기 합해진 계산된 평균들을 분석하는데 사용됨 -

에 의해 특징화되는 이상 검출기.
제1항에 있어서,

상기 수집된 네트워크 통계치는,

네트워크 디바이스에 대한 특정 인터페이스를 통한 패킷들의 수;

상기 네트워크 디바이스에 대한 특정 인터페이스를 통한 비트들의 수; 또는

상기 네트워크 디바이스에 대한 특정 인터페이스를 통한 HTTP 접속들의 수

를 포함하는 이상 검출기.
제1항에 있어서,

상기 각각의 가산 연산자는 가중치 부여된 기하 계산 평균(weighted geometric calculated average)인 평균을 계산하는 이상 검출기.
제1항에 있어서,

상기 공격은 복수의 생물학적 알고리즘들을 구현하는 변형 웜(transmuting worm)인 이상 검출기.
제1항에 있어서,

상기 공격은 예기치 않은 공격인 이상 검출기.
제1항에 있어서,

상기 공격은 예상된 공격인 이상 검출기.
공격의 징후를 처리하는 방법으로서,

복수의 네트워크 통계치들(108)을 수집하는 단계(302); 및

상기 수집된 네트워크 통계치를 상기 수집된 네트워크 통계치의 이론적 최대치로 나눈 프랙션(fraction)인 메트릭으로 상기 수집된 네트워크 통계치들 각각을 처리하는 단계(302)

를 포함하고,

상기 방법은,

상기 메트릭들의 고유한 세트 및 상기 메트릭들의 고유한 세트의 변화율에 기초한 복수의 평균들 각각을 계산하는 단계(304);

상기 계산된 평균들의 고유한 세트를 집합(aggregate)시키는 단계(306); 및

상기 공격의 징후를 처리하기 위한 액션을 결정하기 위해 상기 집합된 계산된 평균들을 if-then-else 결정 규칙들 표에서의 값들과 비교하는 단계(306)

에 의해 특징화되는 공격의 징후 처리 방법.
제7항에 있어서,

상기 비교하는 단계는, 상기 수집된 네트워크 통계치들, 상기 계산된 평균들 및/또는 상기 집합된 계산된 평균들을 검토한 후, 상기 공격의 징후를 더 잘 처리하기 위해 상기 if-then-else 결정 규칙들 표를 수정하는 단계를 더 포함하는 공격의 징후 처리 방법.
제7항에 있어서,

상기 수집된 네트워크 통계치들은,

상기 네트워크 디바이스에서의 특정 인터페이스를 통한 패킷들의 수;

상기 네트워크 디바이스에서의 특정 인터페이스를 통한 비트들의 수; 또는

상기 네트워크 디바이스에서의 특정 인터페이스를 통한 HTTP 접속들의 수

를 포함하는 공격의 징후 처리 방법.
제7항에 있어서,

상기 공격은 복수의 생물학적 알고리즘들을 구현하는 변형 웜인 공격의 징후 처리 방법.
네트워크 관리자가 새로운 이상을 식별한 후, 상기 새로운 이상과 관련된 하나 이상의 징후들을 처리하도록 하는 방법으로서,

복수의 네트워크 통계치들(108)을 수집하는 단계; 및

상기 수집된 네트워크 통계치를 상기 수집된 네트워크 통계치의 이론적 최대치로 나눈 프랙션인 메트릭으로 상기 수집된 네트워크 통계치 각각을 처리하는 단계

를 포함하고,

상기 방법은,

상기 메트릭들의 고유한 세트 및 상기 메트릭들의 고유한 세트의 변화율에 기초한 복수의 평균들 각각을 계산하는 단계;

상기 계산된 평균들의 고유한 세트를 집합시키는 단계;

상기 새로운 이상의 징후들을 식별하기 위해, 상기 수집된 네트워크 통계치들, 상기 계산된 평균들 및/또는 상기 집합된 평균을 모니터링하는 단계; 및

상기 새로운 이상의 징후들을 처리하기 위해 상기 집합된 평균에 기초하여 수행될 수 있는 하나 이상의 액션들을 포함하도록, if-then-else 결정 규칙들 표를 수정하는 단계

에 의해 특징화되는, 새로운 이상과 관련된 하나 이상의 징후들을 처리하는 방법.
제11항에 있어서,

상기 수집된 네트워크 통계치들, 상기 계산된 평균들 및/또는 상기 집합된 평균을 모니터링한 후, 하나 이상의 상기 수집된 통계치들을 가중하는 단계를 더 포함하는, 새로운 이상과 관련된 하나 이상의 징후들을 처리하는 방법.
제11항에 있어서,

상기 수집된 네트워크 통계치들은,

네트워크 디바이스에 대한 특정 인터페이스를 통한 패킷들의 수;

상기 네트워크 디바이스에 대한 특정 인터페이스를 통한 비트들의 수; 또는

상기 네트워크 디바이스에 대한 특정 인터페이스를 통한 HTTP 접속들의 수

를 포함하는, 새로운 이상과 관련된 하나 이상의 징후들을 처리하는 방법.
제11항에 있어서,

상기 새로운 이상은 복수의 생물학적 알고리즘들을 구현하는 변형 웜인, 새로운 이상과 관련된 하나 이상의 징후들을 처리하는 방법.
삭제
삭제
삭제
삭제