KR101693405B1 - Ldfgb 알고리즘을 이용한 비정상 침입 탐지 장치 및 방법 - Google Patents

Ldfgb 알고리즘을 이용한 비정상 침입 탐지 장치 및 방법 Download PDF

Info

Publication number
KR101693405B1
KR101693405B1 KR1020140168643A KR20140168643A KR101693405B1 KR 101693405 B1 KR101693405 B1 KR 101693405B1 KR 1020140168643 A KR1020140168643 A KR 1020140168643A KR 20140168643 A KR20140168643 A KR 20140168643A KR 101693405 B1 KR101693405 B1 KR 101693405B1
Authority
KR
South Korea
Prior art keywords
node
abnormal
cluster
intrusion detection
algorithm
Prior art date
Application number
KR1020140168643A
Other languages
English (en)
Other versions
KR20160064710A (ko
Inventor
김성열
은상남
진치국
Original Assignee
건국대학교 산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 건국대학교 산학협력단 filed Critical 건국대학교 산학협력단
Priority to KR1020140168643A priority Critical patent/KR101693405B1/ko
Publication of KR20160064710A publication Critical patent/KR20160064710A/ko
Application granted granted Critical
Publication of KR101693405B1 publication Critical patent/KR101693405B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

LDFGB 알고리즘을 이용하여 데이터 노드의 분포 상황을 차별화하고, 이상점를 식별하기 위해 로컬 편차 팩터를 사용하여 검출율(탐지율) 및 긍정 오류 비율을 개선하도록 한 LDFGB 알고리즘을 이용한 비정상 침입 탐지 장치 및 방법이 제시된다. 제시된 LDFGB 알고리즘을 이용한 비정상 침입 탐지 장치 및 방법은 복수의 데이터를 각각 노드로 설정하고, 설정된 노드에 대해 유클리디언 거리 알고리즘을 이용하여 각 노드 간 거리를 산출하는 산출부; 산출부에서 산출한 노드 간 거리를 근거로 그래프 기반 알고리즘을 수행하여 클러스터링을 생성하는 클러스터링부; 및 클러스터링부에서 생성한 클러스터링에 대해 LDFGB 알고리즘을 수행하여 악성 노드를 탐지하는 탐지부를 포함한다.

Description

LDFGB 알고리즘을 이용한 비정상 침입 탐지 장치 및 방법{APPARATUS AND METHOD FOR DETECTING ANOMALY INTRUSION USING LOCAL DEVIATION FACTOR GRAPH BASED ALGORITHM}
본 발명은 LDFGB 알고리즘을 이용한 비정상 침입 탐지 장치 및 방법에 관한 것으로, 더욱 상세하게는 인터넷상에서 비정상 침입을 탐지하는 LDFGB 알고리즘을 이용한 비정상 침입 탐지 장치 및 방법에 대한 것이다.
인터넷 기술의 발달로 점점 더 많은 위험 요소가 인터넷상에 발생하고 있다. 그에 따라, 인터넷상에서 위험 요소를 예방하기 위한 인터넷 보안 기술이 중요한 이슈가 되고 있다.
인터넷 보안 기술 중에서 침입 탐지 기술은 가장 중요한 기술이다. 즉, 침입 탐지 기술은 인터넷상에서 외부로부터의 비정상적인 침입(공격)을 감지하는 기술로, 대부분의 인터넷 보안 기술은 침입 탐지로부터 시작한다.
침입 탐지 기술은 알려지거나 알려지지 않은 침입(공격)을 빠르고 효과적으로 탐지하기 위해 다양한 방법이 연구되고 있다. 1987년에 Denning은 알려지거나 알려지지 않은 침입(공격)을 탐지할 수 있는 최초의 비정상 침입 탐지 모델을 소개했다. 이후, 머신 러닝(machine learning), 면역학(immunological), 데이터 마이닝(data mining) 등과 같은 다양한 비정상 침입 탐지 기술이 개발되었다.
비정상 침입 탐지 기술 중에서 가장 널리 사용되고 있는 기술은 데이터 마이닝 기술이다. 데이터 마이닝 기술은 인터넷을 통해 유입되는 데이터들을 이용하여 데이터 모델을 생성하고, 생성된 데이터 모델을 이용하여 비정상 침입을 탐지한다. 이러한 데이터 마이닝 기술은 성공적인 침입 탐지를 위해 클러스터링 알고리즘(clustering algorithm)을 사용한다.
클러스터링 알고리즘은 유사한(동일한) 특성을 갖는 노드들을 그룹으로 그룹화하는 작업이다. 이때, 클러스터링 알고리즘을 통해 동일한 그룹(즉, 클러스터)으로 분류된 노드들은 다른 그룹(즉, 클러스터)의 노드들보다 더 유사한 특성(동일한 특성)을 갖는다.
다양한 클러스터링 알고리즘 중에서 비정상 침입 탐지에 대중적으로 사용되는 알고리즘은 K-수단 알고리즘(K-means algorithm)이다. K-수단 알고리즘은 유사한 데이터 세트를 같은 클러스터로 분류하고, 유사하지 않은 데이터를 다른 클러스터로 분류한다. K-수단 알고리즘을 이용하는 경우, 사용자가 클러스터 k의 수를 설정해야한다. 이때, 사용자는 클러스터 K의 수를 설정하기 위해서 데이터에 대한 기본 지식이 있어야 하기 때문에, 데이터에 대한 지식이 없는 경우 K-수단 알고리즘을 이용하기 어려운 문제점이 있다.
이외의 클러스터링 알고리즘들도 몇몇 단점을 갖는다. 예를 들면, 담금질 기법(simulated annealing)과 클러스터링 알고리즘의 결합시 많은 트레이닝 데이터를 필요로 한다. 클러스터링 알고리즘의 이용을 위해 많은 트레이닝 데이터를 사용하는 경우 데이터 처리를 위한 자원이 과잉 소비되는 문제점이 있다.
이에, 최근에는 연구자들은 과도한 자원 소모를 방지하기 위한 클러스터링 알고리즘을 연구하고 있다. 자원 소모를 방지하는 다양한 클러스터링 알고리즘 중에서 효과적인 알고리즘 중 하나는 그래프 기반 클러스터링 알고리즘이다. 예를 들어, PBS(predictive block sampling) 알고리즘은 근사 함수에 기초한 데이터 포인트의 유사도를 측정한다. 하지만, PBS 알고리즘은 탐지율이 상대적으로 낮아 비정상 침입 탐지 기술에 사용하기 어려운 문제점이 있다. LDC(linear discriminant classifiers) 알고리즘은 비정상 침입의 탐지 속도를 향상시키지만, 데이터 노드의 분포 상황을 정확하고 포괄적으로 분석하지 못하는 문제점이 있다.
그래프 기반 클러스터 알고리즘(Graph-Base Cluster Algorithm)은 클러스터링 알고리즘의 일종으로, 데이터 세트를 복수의 클러스터로 자동 분류하는데 일반적으로 사용된다. 그래프 기반 클러스터 알고리즘은 클러스터링 정밀도의 파라미터 설정을 통해 클러스터링 결과를 제어한다. 그래프 기반 클러스터 알고리즘은 데이터 집합의 기록을 노드로 포장하고, 노드는 완전한 무방향 그래프의 정점으로 처리된다. 이때, 그래프 기반 클러스터 알고리즘은 엣지(edge)의 가중치를 이용하여 노드 간 거리값을 처리하며, 유클리디언 거리(Euclidean distance) 함수를 이용하여 산출한다.
그래프 기반 클러스터 알고리즘은 유클리디언 거리 함수를 이용하여 산출한 거리값을 이용하여 거리 행렬을 구성한다. 그래프 기반 클러스터 알고리즘은 임계값(δ)을 클러스터 정밀도(Cluster Precision)의 파라미터(α)를 이용하여 산출한다.
그래프 기반 클러스터 알고리즘은 모든 그래프를 가로지르고, 노드 사이에 엣지가 있는 노드들을 동일한 클러스터로 분류한다. 그에 따라, 그래프 기반 클러스터 알고리즘은 복수의 하위 그래프를 생성하고, 각각의 하위 그래프는 클러스터를 나타낸다. 이후, 그래프 기반 클러스터 알고리즘은 생성한 그래프를 이용하여 이상점을 처리한다.
이러한, 그래프 기반 클러스터 알고리즘은 수십년가 사용되고 있지만, 침입 탐지를 위해 사용되는 경우 두 가지 단점이 존재한다. 첫번째로 그래프 기반 클러스터 알고리즘은 단지 임계값에 의해 정상 클러스터와 비정상 클러스터를 구별하기 때문에 클러스터링 정밀도가 낮다. 두번째로, 그래프 기반 클러스터 알고리즘은 이상점을 표시하기 위한 적절한 방법을 제공하지 않고 이상점을 버린다. 이러한 이유로, 그래프 기반 클러스터 알고리즘은 높은 탐지율을 달성하지 못하는 문제점이 있다.
한국공개특허 제10-2004-0012285호(명칭: 은닉 마르코프 모델을 이용한 비정상행위 침입탐지 시스템 및 방법)
본 발명은 상기한 종래의 문제점을 해결하기 위해 제안된 것으로, LDFGB 알고리즘(LOCAL DEVIATION FACTOR GRAPH BASED ALGORITHM)을 이용하여 데이터 노드의 분포 상황을 차별화하고, 이상점(Outlier)를 식별하기 위해 로컬 편차 팩터를 사용하여 검출율(탐지율) 및 긍정 오류 비율을 개선하도록 한 LDFGB 알고리즘을 이용한 비정상 침입 탐지 장치 및 방법을 제공하는 것을 목적으로 한다.
상기한 목적을 달성하기 위하여 본 발명의 실시예에 따른 LDFGB 알고리즘을 이용한 비정상 침입 탐지 장치는, 복수의 데이터를 각각 노드로 설정하고, 설정된 노드에 대해 유클리디언 거리 알고리즘을 이용하여 각 노드 간 거리를 산출하는 산출부; 산출부에서 산출한 노드 간 거리를 근거로 그래프 기반 알고리즘을 수행하여 클러스터링을 생성하는 클러스터링부; 및 클러스터링부에서 생성한 클러스터링에 대해 LDFGB 알고리즘을 수행하여 악성 노드를 탐지하는 탐지부를 포함한다.
산출부는, 산출한 각 노드 간 거리를 근거로 거리 행렬을 생성한다.
클러스터링부는, 거리 행렬의 최대값 및 최소값의 차이값과 클러스터 정밀도를 곱한 값과, 거리 행렬의 최소값을 합산한 값을 임계값으로 산출한다.
클러스터링부는, 노드 간 거리를 근거로 형성된 그래프에서 임계값보다 큰 모든 엣지를 제거한 횡 그래프에 포함된 노드들을 동일한 클러스터로 분류하고, 횡 그래프에 포함되지 않은 노드들을 이상점으로 처리한다.
탐지부는, 클러스터링부에서 생성한 클러스터들을 내림차순으로 정렬하고, 노멀 클러스터, 의심 클러스터 및 비정상 클러스터를 초기화하고, 데이터 세트의 개수와 정상 비정상 비율의 백분위를 곱한값과 각 클러스터를 비교하여 각 클러스터에 포함된 노드를 정상 클러스터(CN), 의심 클러스터(CS) 및 비정상 클러스터(CA) 중에 하나로 분류한다.
탐지부는, 각각의 대상 노드의 노드 지역 편차 계수를 산출하고, 가장 큰 노드 지역 편차 계수를 갖는 대상 노드를 비정상 클러스터로 분류하고, 나머지 대상 노드들을 정상 클러스터로 분류한다.
탐지부는, 정상 클러스터로 분류된 대상 노드를 정상으로 분류하고, 비정상 클러스터로 분류된 대상 노드를 비정상으로 분류한다.
탐지부는, 노드 로컬 편차율을 노드 로컬 편차 영향 레이트로 나눈 값을 로드 지역 편차 계수로 산출한다.
탐지부는, 노드와 노드의 질량 중심 사이의 거리, 원심이 노드이고 반경이 K로 된 원에 포함된 노드의 개수를 이용하여 노드 로컬 편차율을 산출하고, 노드 로컬 편차율 및 노드 K 거리 이웃을 근거로 노드 로컬 편차 영향 레이트를 산출한다.
상기한 목적을 달성하기 위하여 본 발명의 실시예에 따른 LDFGB 알고리즘을 이용한 비정상 침입 탐지 방법은, 비정상 침입 탐지 장치에 의해, 복수의 데이터 및 유클리디언 거리 알고리즘을 이용하여 노드 간 거리를 산출하는 단계; 비정상 침입 탐지 장치에 의해, 산출한 노드 간 거리를 근거로 그래프 기반 알고리즘을 수행하여 클러스터링을 생성하는 단계; 및 비정상 침입 탐지 장치에 의해, 생성한 클러스터링에 대해 LDFGB 알고리즘을 수행하여 악성 노드를 탐지하는 단계를 포함한다.
노드 간 거리를 산출하는 단계에서는, 비정상 침입 탐지 장치에 의해, 산출한 노드 간 거리를 근거로 거리 행렬을 생성한다.
클러스터링을 생성하는 단계는, 비정상 침입 탐지 장치에 의해, 클러스터 정밀도를 입력받는 단계; 비정상 침입 탐지 장치에 의해, 복수의 노드를 이용하여 그래프를 생성하는 단계; 비정상 침입 탐지 장치에 의해, 클러스터 정밀도 및 거리 행렬을 근거로 임계값을 산출하는 단계; 비정상 침입 탐지 장치에 의해, 생성한 그래프에서 임계값보다 큰 엣지를 제거하는 단계; 비정상 침입 탐지 장치에 의해, 엣지를 제거하는 단계에서 엣지가 제거된 횡 그래프에 포함된 노드들을 동일한 클러스터로 분류하는 단계; 및 비정상 침입 탐지 장치에 의해, 횡 그래프에 포함되지 않은 노드들을 이상점으로 처리하는 단계를 포함한다.
임계값을 산출하는 단계에서는, 비정상 침입 탐지 장치에 의해, 거리 행렬의 최대값 및 최소값의 차이값과 클러스터 정밀도를 곱한 값과, 거리 행렬의 최소값을 합산한 값을 임계값으로 산출한다.
악성 노드를 탐지하는 단계는, 비정상 침입 탐지 장치에 의해, 클러스터링을 생성하는 단계에서 생성된 클러스터들을 내림차순으로 정렬하는 단계; 비정상 침입 탐지 장치에 의해, 노멀 클러스터, 의심 클러스터 및 비정상 클러스터를 초기화하는 단계; 및 비정상 침입 탐지 장치에 의해, 정렬된 클러스터들에 대해 데이터 세트의 개수와 정상 비정상 비율의 백분위를 곱한값과 각 클러스터를 비교하여 각 클러스터에 포함된 노드를 정상 클러스터(CN), 의심 클러스터(CS) 및 비정상 클러스터(CA) 중에 하나로 분류하는 단계를 포함한다.
악성 노드를 탐지하는 단계는, 비정상 침입 탐지 장치에 의해, 분류하는 단계에서 의심 클러스터로 분류된 대상 노드들의 노드 지역 편차 계수를 산출하는 단계; 비정상 침입 탐지 장치에 의해, 산출한 노드 지역 편차 계수가 가장 큰 대상 노드를 비정상 클러스터로 분류하는 단계; 및 비정상 침입 탐지 장치에 의해, 비정상 클러스터로 분류되지 않은 대상 노드들을 정상 클러스터로 분류하는 단계를 더 포함한다.
악성 노드를 탐지하는 단계는, 비정상 침입 탐지 장치에 의해, 정상 클러스터로 분류된 노드들을 정상으로 분류하는 단계; 및 비정상 침입 탐지 장치에 의해, 비정상 클러스터로 분류된 노드들을 비정상으로 분류하는 단계를 더 포함한다.
노드 지역 편차 계수를 산출하는 단계에서는, 비정상 침입 탐지 장치에 의해, 노드 로컬 편차율을 노드 로컬 편차 영향 레이트로 나눈 값을 로드 지역 편차 계수로 산출한다.
노드 지역 편차 계수를 산출하는 단계는, 비정상 침입 탐지 장치에 의해, 노드와 노드의 질량 중심 사이의 거리, 원심이 노드이고 반경이 K로 된 원에 포함된 노드의 개수를 이용하여 노드 로컬 편차율을 산출하는 단계; 및 비정상 침입 탐지 장치에 의해, 노드 로컬 편차율 및 노드 K 거리 이웃을 근거로 노드 로컬 편차 영향 레이트를 산출하는 단계를 포함한다.
본 발명에 의하면, LDFGB 알고리즘을 이용한 비정상 침입 탐지 장치 및 방법은 LDFGB 알고리즘을 이용하여 데이터 노드의 분포 상황을 차별화하고, 이상점를 식별하기 위해 로컬 편차 팩터를 사용함으로써, 비정상 침입 탐지의 검출율(탐지율) 및 긍정 오류 비율을 향상시킬 수 있는 효과가 있다.
또한, LDFGB 알고리즘을 이용한 비정상 침입 탐지 장치 및 방법은 LDFGB 알고리즘을 이용하여 데이터 노드의 분포 상황을 차별화하고, 이상점를 식별하기 위해 로컬 편차 팩터를 사용함으로써, 비정상 침입에 해당하는 다양한 형태의 클러스터를 탐지할 수 있고, 알려지지 않거나 알려진 비정상 침입(즉, 공격)의 탐지율(검출율)을 향상시킬 수 있는 효과가 있다.
또한, LDFGB 알고리즘을 이용한 비정상 침입 탐지 장치 및 방법은 클러스터 정밀도의 파라미터에 따른 데이터 세트의 초기 파티션을 얻기 위해 그래프 기반 클러스터 알고리즘을 사용하고, 그래프 기반 클러스터 알고리즘의 결과를 처리하기 위해 이상점 탐지 알고리즘을 사용함으로써, 비정상 침입에 대한 탐지율과 긍정 오류 비율을 개선할 수 있는 효과가 있다.
또한, LDFGB 알고리즘을 이용한 비정상 침입 탐지 장치 및 방법은 클러스터 정밀도(α)의 조정을 통해 과도한 클러스터의 생성을 방지함으로써, 비정상 침입 탐지를 위한 데이터 처리에서 자원이 과잉 소비되는 종래의 문제점을 해결할 수 있다.
도 1은 본 발명의 실시예에 따른 LDFGB 알고리즘을 이용한 비정상 침입 탐지 장치를 설명하기 위한 블록도.
도 2는 도 1의 산출부를 설명하기 위한 도면.
도 3은 도 1의 클러스터링부를 설명하기 위한 도면.
도 4 내지 도 6은 도 1의 탐지부를 설명하기 위한 도면.
도 7은 본 발명의 실시예에 따른 LDFGB 알고리즘을 이용한 비정상 침입 탐지 방법을 설명하기 위한 흐름도.
도 8은 도 7의 노드 간 거리를 산출하는 단계를 설명하기 위한 도면.
도 9는 도 7의 클러스터를 생성하는 단계를 설명하기 위한 도면.
도 10은 도 7의 악성 노드를 탐지하는 단계를 설명하기 위한 도면.
도 11 내지 도 17은 본 발명의 실시예에 따른 LDFGB 알고리즘을 이용한 비정상 침입 탐지 장치 및 방법과 종래의 LDC 알고리즘을 이용한 비정상 침입 탐지 기술의 성능을 비교 설명하기 위한 도면.
이하, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 본 발명의 기술적 사상을 용이하게 실시할 수 있을 정도로 상세히 설명하기 위하여, 본 발명의 가장 바람직한 실시예를 첨부 도면을 참조하여 설명하기로 한다. 우선 각 도면의 구성요소들에 참조부호를 부가함에 있어서, 동일한 구성요소들에 대해서는 비록 다른 도면상에 표시되더라도 가능한 한 동일한 부호를 가지도록 하고 있음에 유의해야 한다. 또한, 본 발명을 설명함에 있어, 관련된 공지 구성 또는 기능에 대한 구체적인 설명이 본 발명의 요지를 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명은 생략한다.
이하, 본 발명의 실시예에 따른 LDFGB 알고리즘을 이용한 비정상 침입 탐지 장치를 첨부된 도면을 참조하여 상세하게 설명하면 아래와 같다. 도 1은 본 발명의 실시예에 따른 LDFGB 알고리즘을 이용한 비정상 침입 탐지 장치를 설명하기 위한 블록도이다. 도 2는 도 1의 산출부를 설명하기 위한 도면이고, 도 3은 도 1의 클러스터링부를 설명하기 위한 도면이고, 도 4 내지 도 6은 도 1의 탐지부를 설명하기 위한 도면이다.
LDFGB 알고리즘을 이용한 비정상 침입 탐지 장치 및 방법에서는 높은 탐지율을 달성하기 위해, 라벨 처리에서 로컬 편차 팩터에 기초한 이상치 검출 방법을 이용하여 개선된 그래프 기반 클러스터링 알고리즘을 제안한다. 이 방법은 주로 경계상의 데이터를 더욱 정확히 분류하고, 정상 클러스터와 비정상 클러스터 사이의 차이를 증가시키는 방법에 초점을 맞추고 있다.
이를 위해, 도 1에 도시된 바와 같이, LDFGB 알고리즘을 이용한 비정상 침입 탐지 장치(100)는 산출부(120), 클러스터링부(140), 탐지부(160)를 포함하여 구성된다.
산출부(120)는 침입 탐지 대상인 복수의 데이터를 입력받는다.산출부(120)는 입력된 복수의 데이터를 각각 노드로 설정한다. 산출부(120)는 설정된 노드에 대해 유클리디언 거리 알고리즘을 이용하여 각 노드 간 거리를 산출한다. 즉, 산출부(120)는 하기의 수학식 1(즉, 유클리디언 거리(Euclidean distance) 함수)를 이용하여 노드 간 거리(d(i,j))를 산출한다.
Figure 112014115942584-pat00001
산출부(120)는 산출한 노드 간 거리를 이용하여 거리 행렬(도 2 참조)을 생성한다.
클러스터링부(140)는 산출부(120)에서 산출한 노드 간 거리를 근거로 그래프 기반 알고리즘을 수행하여 클러스터를 생성한다. 이때, 클러스터링부(140)에서 사용하는 그래프 기반 알고리즘의 플로우은 도 3에 도시된 바와 같으며, 이를 상세하게 설명하면 아래와 같다.
클러스터링부(140)는 클러스터 정밀도(Cluster Precision)를 입력받는다. 클러스터링부(140)는 산출부(120)에서 설정된 복수의 노드를 이용하여 그래프를 생성한다. 클러스터링부(140)는 입력된 클러스터 정밀도 및 산출부(120)에서 생성한 거리 행렬을 이용하여 임계값(δ)을 산출한다. 이때, 클러스터링부(140)는 하기의 수학식 2를 이용하여 임계값(δ)을 산출한다.
Figure 112014115942584-pat00002
여기서, dismin은 거리 행렬에서 최소값이고, dismax는 거리 행렬에서 최대값이다. 클러스터 정밀도(Cluster Precision)는 사용자에 의해 입력되는 값이다.
클러스터링부(140)는 노드 간에 형성되는 그래프에서 임계값(δ)보다 큰 모든 엣지를 제거한다. 클러스터링부(140)는 횡 그래프에 포함된 노드들을 동일한 클러스터로 분류하고, 횡 그래프를 서브 그래프로 정의한다. 클러스터링부(140)는 이외의 노드들을 이상점(Outlier)로 처리한다. 클러스터링부(140)는 모든 노드들에 대한 이상점 처리가 완료되면 복수의 클러스터(C1, C2, ... Cn) 및 이상점(Outlier)을 출력한다.
탐지부(160)는 클러스터링부(140)에서 생성한 클러스터에 대해 LDFGB 알고리즘을 수행하여 악성 노드를 탐지하기 위해 하기와 같이 정의한다.
정의 1: 이상점(Outlier)
이상점은 지역의 밀도와 관련하여, 자신의 로컬 지역에 상대적으로 외곽에 있는 개체로 정의한다. 이때, 이상점은 악성 노드를 의미한다. 예를 들어, 도 4에 도시된 바와 같이, 노드들이 밀집되어 밀도가 높은 로컬 지역(C1, C2)을 형성하는 경우, 로컬 지역(C1, C2)에서 상대적으로 외곽에 위치한 노드(O1, O2)를 이상점으로 정의한다.
정의 2: 노드(p)의 K 거리(K distance of an object p)
노드(p)의 K 거리는 양의 정수 K에 대해 k-distance(p)로 표시된다. 노드(p)와 노드(o∈D) 사이의 거리는 d(p,o)로 표시한다. 이때, 노드(p)의 K 거리는 하기의 수학식 3의 조건을 만족한다.
Figure 112014115942584-pat00003
예를 들어, 도 5에 도시된 바와 같이, 노드들이 분포되고 K가 2인 경우, 노드(O)와 노드(a)의 거리는 노드(O)와 노드(c)의 거리와 같고, 노드(O)와 노드(e)의 거리는 노드(O)와 노드(c)의 거리 미만이고, 노드(O)와 노드(b)의 거리는 노드(O)와 노드(c)의 거리를 초과하고, 노드(O)와 노드(d)의 거리는 노드(O)와 노드(c)의 거리를 초과한다. 그에 따라, 노드(p)의 K 거리는 노드(a), 노드(c), 노드(e)가 된다.
정의 3: 노드 K 거리 이웃(k-distance neighborhood of an object)
노드 K 거리 이웃은 정의된 노드(p)의 K 거리를 감안할 때, 노드(p)부터 다른 노드의 거리가 노드(p)의 K 거리보다 작은 모든 노드를 포함한다. 이때, 하기의 수학식 4를 만족하는 경우, 해당 노드(q)를 노드(p)의 K 가까운 이웃(k-nearest neighbors of p)으로 정의한다.
Figure 112014115942584-pat00004
정의 4: 노드 로컬 편차율(local deviation rate of an object)
노드 로컬 편차율은 노드(p)의 K 거리가 주어지고, 노드(p)는 반경 K인 원의 중심으로 가정한다. 이 원한에 있는 모든 노드들은 노드(p)의 k 거리 이웃이다. 노드(p)는 이 원의 질량 중심이므로, 로컬 편차율(LDR)은 하기의 수학식 5와 같이 정의된다.
Figure 112014115942584-pat00005
여기서, dis(p,p')는 노드(p)와 노드(p')의 질량 중심 사이의 거리이고, Nk -distance(p)는 원심이 노드(P)로 되고, 반경이 K로 된 원에서 노드의 개수를 의미한다.
정의 5: 노드 로컬 편차 영향 레이트(local deviation influence rate of an object)
노드 로컬 편차 영향 레이트는 노드 K 거리 이웃(Nk - distance(p)) 및 로컬 편차율(LDR)을 감안하면 하기의 수학식 6과 같이 정의된다.
Figure 112014115942584-pat00006
정의 6: 노드 지역 편차 계수(local deviation factor of an object)
노드 지역 편차 계수는 로컬 편차율(LDR) 및 노드 로컬 편차 영향 레이트(LDIR)을 감안하면 하기의 수학식 7과 같이 정의된다. 이때, 노드 지역 편차 계수는 이상점(Outlier)을 탐지하는데 사용된다. 여기서, 노드 지역 편차 계수가 높은 값인 경우 이상점일 확률이 높은 것을 의미하고, 노드 지역 편차 계수가 낮은 값인 경우 해당 노드 인근의 밀도가 높은 것을 의미한다.
Figure 112014115942584-pat00007
탐지부(160)는 LDFGB 알고리즘을 이용하여 이상점을 탐지한다. 이를 도 6을 참조하여 설명하면 아래와 같다.
제1단계(Step1)로, 탐지부(160)는 클러스터링부(140)에서 생성한 클러스터들(C1, C2, ..., Cn)을 내림차순으로 정렬한다.
제2단계(Step2)로, 탐지부(160)는 클러스터의 구분을 위해 노멀 클러스터(CN; normal clusters), 의심 클러스터(CS; suspicious clusters) 및 비정상 클러스터(CA; abnormal clusters)를 초기화한다. 여기서, 의심 클러스터는 다음 단계에서 처리해야하는 데이터 세트를 의미한다.
제3단계(Step3)로, 탐지부(160)는 데이터 세트의 개수(M)와 정상 비정상 비율의 백분위(λ1, λ2, 여기서, λ1와 λ2의 합은 1이다.)를 곱한값과 각 클러스터를 비교하여 각 클러스터에 포함된 노드를 정상 클러스터(CN), 의심 클러스터(CS) 및 비정상 클러스터(CA)로 분류한다. 이때, 정상 동작의 횟수가 침입 행동의 횟수보다 훨씬 큰 것을 전제로 충족해야하기 때문에, λ1 >> λ2의 조건을 충족해야한다. 이때, 전제 조건을 만족하지 않는 경우, 외각 포인트는 버려지지 않고 비정상 클러스터로 분류된다.
제4단계(Step4)로, 탐지부(160)는 상술한 수학식 5 내지 수학식 7을 이용하여 각각의 대상 노드(p)의 노드 지역 편차 계수(LDF)를 산출한다. 이때, 여기서 대상 노드(p)는 의심 클러스터(CS)로 분류된 클러스터에 포함된 노드를 의미한다. 탐지부(160)는 산출한 대상 노드(p)들의 노드 지역 편차 계수(LDF)를 근거로 내림차순으로 배열한다. 탐지부(160)는 가장 큰 노드 지역 편차 계수(LDF)를 갖는 대상 노드를 비정상 클러스터(CA)로 분류하고, 나머지 대상 노드들을 정상 클러스터(CN)로 분류한다.
제5단계(Step5)로, 탐지부(160)는 정상 클러스터(CN)에 포함된 노드를 정상(normal)으로 분류하고, 비정상 클러스터(CA)에 포함된 노드들을 비정상(abnormal)으로 분류한다. 탐지부(160)는 모든 노드에 대한 분류가 완료되면 탐지를 종료한다.
이하, 본 발명의 실시예에 따른 LDFGB 알고리즘을 이용한 비정상 침입 탐지 방법을 첨부된 도면을 참조하여 상세하게 설명하면 아래와 같다. 도 7은 본 발명의 실시예에 따른 LDFGB 알고리즘을 이용한 비정상 침입 탐지 방법을 설명하기 위한 흐름도이다. 도 8은 도 7의 노드 간 거리를 산출하는 단계를 설명하기 위한 도면이고, 도 9는 도 7의 클러스터를 생성하는 단계를 설명하기 위한 도면이고, 도 10은 도 7의 악성 노드를 탐지하는 단계를 설명하기 위한 도면이다.
LDFGB 알고리즘을 이용한 비정상 침입 탐지 장치(100; 이하, 비정상 침입 탐지 장치(100))는 칩입 탐지 대상인 복수의 데이터들 및 유클리디언 거리(Euclidean distance) 함수(즉, 수학식 1)를 이용하여 노드 간 거리를 산출한다(S100). 이를 첨부된 도 8을 참조하여 설명하면 아래와 같다.
비정상 침입 탐지 장치(100)는 침입 탐지 대상인 복수의 데이터를 입력받는다(S110).
비정상 침입 탐지 장치(100)는 입력된 복수의 데이터를 각각 노드로 설정한다(S130).
비정상 침입 탐지 장치(100)는 설정한 각 노드에 대해 유클리디언 거리 함수(즉, 수학식 1)를 이용하여 각 노드 간 거리(d(i,j))를 산출한다(S150).
이후, 비정상 침입 탐지 장치(100)는 산출한 각 노드 간 거리를 근거로 거리 행렬을 생성한다(S170).
비정상 침입 탐지 장치(100)는 기산출한 노드 간 거리를 근거로 그래프 기반 알고리즘을 수행하여 클러스터를 생성한다(S200). 이를 첨부된 도 9를 참조하여 설명하면 아래와 같다.
비정상 침입 탐지 장치(100)는 클러스터 정밀도(Cluster Precision)를 입력받는다(S210).
비정상 침입 탐지 장치(100)는 기설정된 복수의 노드를 이용하여 그래프를 생성한다(S220).
비정상 침입 탐지 장치(100)는 입력된 클러스터 정밀도 및 기생성한 거리 행렬을 이용하여 임계값(δ)을 산출한다(S230). 이때, 비정상 침입 탐지 장치(100)는 거리 행렬의 최소값 및 최대값과 클러스터 정밀도를 근거로 임계값(δ)을 산출한다.
비정상 침입 탐지 장치(100)는 노드 간에 형성되는 그래프에서 임계값(δ)보다 큰 모든 엣지를 제거한다(S240).
비정상 침입 탐지 장치(100)는 횡 그래프에 포함된 노드들을 동일한 클러스터로 분류하고(S250), 횡 그래프를 서브 그래프로 정의한다(S260).
비정상 침입 탐지 장치(100)는 이외의 노드들(즉, 횡 그래프에 포함되지 않은 노드들)을 이상점(Outlier)으로 처리한다(S270). 그에 따라, 비정상 침입 탐지 장치(100)는 복수의 클러스터((C1, C2, ... Cn) 및 이상점을 출력한다.
비정상 침입 탐지 장치(100)는 상기 생성한 클러스터에 대해 LDFGB 알고리즘을 수행하여 악성 노드를 탐지한다(S300). 이를 첨부된 도 10을 참조하여 설명하며 아래와 같다.
비정상 침입 탐지 장치(100)는 기생성한 클러스터들을 내림차순으로 정렬한다(S310).
비정상 침입 탐지 장치(100)는 클러스터 구분을 위해 노멀 클러스터(CN), 의심 클러스터(CS) 및 비정상 클러스터(CA)를 초기화한다(S320).
비정상 침입 탐지 장치(100)는 내림차순으로 정렬한 클러스터들에 대해 데이터 세트의 개수(M)와 정상 비정상 비율의 백분위(λ1, λ2, 여기서, λ1와 λ2의 합은 1)를 곱한값과 각 클러스터를 비교하여 각 클러스터에 포함된 노드를 정상 클러스터(CN), 의심 클러스터(CS) 및 비정상 클러스터(CA) 중에 하나로 분류한다(S330). 이때, 정상 동작의 횟수가 침입 행동의 횟수보다 훨씬 큰 것을 전제로 충족해야하기 때문에, λ1 >> λ2의 조건을 충족해야한다. 여기서, 전제 조건을 만족하지 않는 경우, 외각 포인트는 버려지지 않고 비정상 클러스터로 분류된다.
비정상 침입 탐지 장치(100)는 각각의 대상 노드(p)의 노드 지역 편차 계수(LDF)를 산출한다(S340). 이때, 비정상 침입 탐지 장치(100)는 상술한 수학식 5 내지 수학식 7을 이용하여 대상 노드(p)의 노드 지역 편차 계수(LDF)를 산출한다. 여기서, 대상 노드(p)는 의심 클러스터(CS)로 분류된 클러스터에 포함된 노드를 의미한다.
비정상 침입 탐지 장치(100)는 산출한 대상 노드(p)의 노드 지역 편차 계수(LDF)를 근거로 대상 노드들을 내림차순으로 배열한다(S350).
비정상 침입 탐지 장치(100)는 가장 큰 노드 지역 편차 계수(LDF)를 갖는 대상 노드를 비정상 클러스터(CA)로 분류한다(S360).
비정상 침입 탐지 장치(100)는 나머지 대상 노드들을 정상 클러스터(CN)로 분류한다(S370).
비정상 침입 탐지 장치(100)는 정상 클러스터(CN)에 포함된 노드를 정상(normal)으로 분류한다(S380).
비정상 침입 탐지 장치(100)는 비정상 클러스터(CA)에 포함된 노드들을 비정상(abnormal)으로 분류한다(S390). 탐지부(160)는 모든 노드에 대한 분류가 완료되면 탐지를 종료한다.
이하, 본 발명의 실시예에 따른 LDFGB 알고리즘을 이용한 비정상 침입 탐지 장치 및 방법에 따른 실험 결과를 첨부된 도면을 참조하여 설명하면 아래와 같다. 도 11 내지 도 17은 본 발명의 실시예에 따른 LDFGB 알고리즘을 이용한 비정상 침입 탐지 장치 및 방법과 종래의 LDC 알고리즘을 이용한 비정상 침입 탐지 기술의 성능을 비교 설명하기 위한 도면이다.
LDFGB 알고리즘을 이용한 비정상 침입 탐지 장치 및 방법의 성능을 평가하기 위해, 도 11에 도시된 2차원 인공 데이터 세트를 이용하여 실험한 결과를 예로 들어 설명한다.
도 12에서는 데이터 노드들이 두가지 상황으로 분포하는 것을 도시한다. 이러한 분포를 형성한 데이터 노드들이 침입 탐지 대상인 경우, 종래의 LDC 알고리즘은 두 가기 종류의 상황을 구별하지 못한다. 그에 반해, LDFGB 알고리즘을 이용한 비정상 침입 탐지 장치 및 방법에서는 K 값을 조정하여 도시된 두 가지 종류의 상황을 구별할 수 있다. 따라서, LDFGB 알고리즘을 이용한 비정상 침입 탐지 장치 및 방법은 종래의 LDC 알고리즘에 비해 비정상 침입 탐지 성능이 우수함을 알 수 있다.
알려지지 않은 침입을 탐지하는 알고리즘의 능력을 평가하기 위해, 트레이닝 데이터 세트에서 무작위로 10000개의 샘플을 선택하고, 트레이닝 데이터 세트와 다른 유형의 침입 샘플을 2500개를 무작위로 선택한다. 도 13에서는 클러스터 정밀도(α)의 조정에 따른 클러스터링 결과를 도시한다. 여기서, 클러스터 정밀도의 조정에 따른 클러스터 개수의 변경을 참고하면, 비교적 큰 클러스터 정밀도(α)는 적은 수의 클러스터로 연결된다.
결과적으로, 과도한 데이터는 하나의 큰 클래스로 분류된다. 그리고, 대부분의 비정상 침입은 이러한 상황에서 검출할 수 없다.
한편, 작은 클러스터 정밀도(α)에서 분류는 과도한 클러스터를 생성할 수 있다.
따라서, LDFGB 알고리즘을 이용한 비정상 침입 탐지 장치 및 방법은 클러스터 정밀도(α)의 조정을 통해 과도한 클러스터의 생성을 방지하여 데이터 처리를 위한 자원이 과잉 소비되는 문제점을 해결할 수 있다.
도 14는 종래의 LDC 알고리즘을 이용한 비정상 침입 검출 기술의 성능을 도시하고, 도 15는 본 발명의 실시예에 따른 LDFGB 알고리즘을 이용한 비정상 침입 탐지 장치 및 방법의 성능을 도시한 도면이다. 여기서, 도 14 및 도 15에서는 KDD 99 데이터 세트를 이용한 침입 탐지에 따른 검출율(Detection rate; 탐지율)과 정상 비정상 비율(False positive rate)를 도시한다.
그래프 베이스 알고리즘에서 최선의 상황은 모든 데이터가 9개의 서브 세트들로 나누어지는 것이므로, 클러스터 정밀도(α)를 0.05로 고정한다. 정상 동작은 침입 동작의 수에 비해 훨씬 더 크다는 비정상 침입 탐지의 전제를 만족하기 위해, 매개변수 λ1 및 λ2가 각각 (0.9 , 1.0) and (0.0 ,0.1)인 상태에서 시험한다. 마지막으로, 변수(K)의 값을 변경하고, 그룹 3에서 이러한 구성 모델들을 테스트한다. 이때, 실험 결과를 통해 k=9, λ1=0.95 and λ2=0.05일 때, LDFGB 알고리즘을 이용한 비정상 침입 탐지 장치 및 방법의 성능이 최대인 것을 알 수 있다.
또한, 도 14 및 도 15를 참조하면, LDFGB 알고리즘을 이용한 비정상 침입 탐지 장치 및 방법은 동일한 K값일 때, LDC 알고리즘을 이용한 비정상 침입 탐지 기술보다 성능(즉, 검출율 및 정상 비정상 비율)이 향상되는 것을 알 수 있다. 여기서, 도 16 및 도 17을 통해서도 LDFGB 알고리즘을 이용한 비정상 침입 탐지 장치 및 방법은 종래의 LDC 알고리즘을 이용한 비정상 침입 탐지 기술에 비해 성능이 향상되는 것을 알 수 있다.
이를 통해, 파라미터 K는 이 알고리즘의 성능에 중요한 인자임을 알 수 있으며, 상대적으로 큰 K 값은 많은 고립된 포인트가 정상으로 분류되는 원인이 될 수도 있기 때문에, 너무 큰 K 값을 설정하지 않는다. 한편, 비교적 작은 K 값은 큰 LDF 값을 갖는 최대 기록으로 이어진다. 따라서, 의심 클러스터에서 비정상 데이터를 분리할 수 없다. 이러한 상황들 모두는 클러스터 정밀도를 감소시킨다.
상술한 바와 같이, LDFGB 알고리즘을 이용한 비정상 침입 탐지 장치 및 방법은 LDFGB 알고리즘을 이용하여 데이터 노드의 분포 상황을 차별화하고, 이상점를 식별하기 위해 로컬 편차 팩터를 사용함으로써, 비정상 침입 탐지의 검출율(탐지율) 및 긍정 오류 비율을 향상시킬 수 있는 효과가 있다.
또한, LDFGB 알고리즘을 이용한 비정상 침입 탐지 장치 및 방법은 LDFGB 알고리즘을 이용하여 데이터 노드의 분포 상황을 차별화하고, 이상점를 식별하기 위해 로컬 편차 팩터를 사용함으로써, 비정상 침입에 해당하는 다양한 형태의 클러스터를 탐지할 수 있고, 알려지지 않거나 알려진 비정상 침입(즉, 공격)의 탐지율(검출율)을 향상시킬 수 있는 효과가 있다.
또한, LDFGB 알고리즘을 이용한 비정상 침입 탐지 장치 및 방법은 클러스터 정밀도의 파라미터에 따른 데이터 세트의 초기 파티션을 얻기 위해 그래프 기반 클러스터 알고리즘을 사용하고, 그래프 기반 클러스터 알고리즘의 결과를 처리하기 위해 이상점 탐지 알고리즘을 사용함으로써, 비정상 침입에 대한 탐지율과 긍정 오류 비율을 개선할 수 있는 효과가 있다.
또한, LDFGB 알고리즘을 이용한 비정상 침입 탐지 장치 및 방법은 클러스터 정밀도(α)의 조정을 통해 과도한 클러스터의 생성을 방지함으로써, 비정상 침입 탐지를 위한 데이터 처리에서 자원이 과잉 소비되는 종래의 문제점을 해결할 수 있다.
이상에서 본 발명에 따른 바람직한 실시예에 대해 설명하였으나, 다양한 형태로 변형이 가능하며, 본 기술분야에서 통상의 지식을 가진자라면 본 발명의 특허청구범위를 벗어남이 없이 다양한 변형예 및 수정예를 실시할 수 있을 것으로 이해된다.
100: LDFGB 알고리즘을 이용한 비정상 침입 탐지 장치
120: 산출부
140: 클러스터링부
160: 탐지부

Claims (18)

  1. 복수의 데이터를 각각 노드로 설정하고, 설정된 노드에 대해 유클리디언 거리 알고리즘(EUCLIDEAN DISTANCE ALGORITHM)을 이용하여 각 노드 간 거리를 산출하는 산출부;
    상기 산출부에서 산출한 노드 간 거리를 근거로 그래프 기반 알고리즘을 수행하여 클러스터링을 생성하는 클러스터링부; 및
    상기 클러스터링부에서 생성한 클러스터링에 대해 LDFGB 알고리즘(LOCAL DEVIATION FACTOR GRAPH BASED ALGORITHM)을 수행하여 악성 노드를 탐지하는 탐지부를 포함하고,
    상기 산출부는 상기 산출한 각 노드 간 거리를 근거로 거리 행렬을 생성하고,
    상기 클러스터링부는 상기 거리 행렬의 최대값 및 최소값의 차이값과 클러스터 정밀도를 곱한 값과, 상기 거리 행렬의 최소값을 합산한 값을 임계값으로 산출하는 것을 특징으로 하는 LDFGB 알고리즘을 이용한 비정상 침입 탐지 장치.
  2. 삭제
  3. 삭제
  4. 청구항 1에 있어서,
    상기 클러스터링부는,
    상기 노드 간 거리를 근거로 형성된 그래프에서 상기 임계값보다 큰 모든 엣지를 제거한 횡 그래프에 포함된 노드들을 동일한 클러스터로 분류하고, 횡 그래프에 포함되지 않은 노드들을 이상점으로 처리하는 것을 특징으로 하는 LDFGB 알고리즘을 이용한 비정상 침입 탐지 장치.
  5. 청구항 1에 있어서,
    상기 탐지부는,
    상기 클러스터링부에서 생성한 클러스터들을 내림차순으로 정렬하고, 노멀 클러스터, 의심 클러스터 및 비정상 클러스터를 초기화하고, 데이터 세트의 개수와 정상 비정상 비율의 백분위를 곱한값과 각 클러스터를 비교하여 각 클러스터에 포함된 노드를 노멀 클러스터(CN), 의심 클러스터(CS) 및 비정상 클러스터(CA) 중에 하나로 분류하는 것을 특징으로 하는 LDFGB 알고리즘을 이용한 비정상 침입 탐지 장치.
  6. 청구항 5에 있어서,
    상기 탐지부는,
    각각의 대상 노드의 노드 지역 편차 계수를 산출하고, 가장 큰 노드 지역 편차 계수를 갖는 대상 노드를 비정상 클러스터로 분류하고, 나머지 대상 노드들을 노멀 클러스터로 분류하는 것을 특징으로 하는 LDFGB 알고리즘을 이용한 비정상 침입 탐지 장치.
  7. 청구항 6에 있어서,
    상기 탐지부는,
    상기 노멀 클러스터로 분류된 대상 노드를 정상으로 분류하고, 상기 비정상 클러스터로 분류된 대상 노드를 비정상으로 분류하는 것을 특징으로 하는 LDFGB 알고리즘을 이용한 비정상 침입 탐지 장치.
  8. 청구항 6에 있어서,
    상기 탐지부는,
    노드 로컬 편차율을 노드 로컬 편차 영향 레이트로 나눈 값을 로드 지역 편차 계수로 산출하는 것을 특징으로 하는 LDFGB 알고리즘을 이용한 비정상 침입 탐지 장치.
  9. 청구항 8에 있어서,
    상기 탐지부는,
    노드와 노드의 질량 중심 사이의 거리, 원심이 노드이고 반경이 K로 된 원에 포함된 노드의 개수를 이용하여 노드 로컬 편차율을 산출하고, 상기 노드 로컬 편차율 및 노드 K 거리 이웃을 근거로 노드 로컬 편차 영향 레이트를 산출하는 것을 특징으로 하는 LDFGB 알고리즘을 이용한 비정상 침입 탐지 장치.
  10. 비정상 침입 탐지 장치에 의해, 복수의 데이터 및 유클리디언 거리 알고리즘(EUCLIDEAN DISTANCE ALGORITHM)을 이용하여 노드 간 거리를 산출하는 단계;
    상기 비정상 침입 탐지 장치에 의해, 상기 산출한 노드 간 거리를 근거로 그래프 기반 알고리즘을 수행하여 클러스터링을 생성하는 단계; 및
    상기 비정상 침입 탐지 장치에 의해, 상기 생성한 클러스터링에 대해 LDFGB 알고리즘(LOCAL DEVIATION FACTOR GRAPH BASED ALGORITHM)을 수행하여 악성 노드를 탐지하는 단계를 포함하고,
    상기 노드 간 거리를 산출하는 단계에서는 상기 산출한 노드 간 거리를 근거로 거리 행렬을 생성하고,
    상기 클러스터링을 생성하는 단계에서는 상기 거리 행렬의 최대값 및 최소값의 차이값과 클러스터 정밀도를 곱한 값과, 상기 거리 행렬의 최소값을 합산한 값을 임계값으로 산출하는 것을 특징으로 하는 LDFGB 알고리즘을 이용한 비정상 침입 탐지 방법.
  11. 삭제
  12. 청구항 10에 있어서,
    상기 클러스터링을 생성하는 단계는,
    상기 비정상 침입 탐지 장치에 의해, 클러스터 정밀도를 입력받는 단계;
    상기 비정상 침입 탐지 장치에 의해, 상기 복수의 노드를 이용하여 그래프를 생성하는 단계;
    상기 비정상 침입 탐지 장치에 의해, 상기 클러스터 정밀도 및 상기 거리 행렬을 근거로 임계값을 산출하는 단계;
    상기 비정상 침입 탐지 장치에 의해, 상기 생성한 그래프에서 상기 임계값보다 큰 엣지를 제거하는 단계;
    상기 비정상 침입 탐지 장치에 의해, 상기 엣지를 제거하는 단계에서 엣지가 제거된 횡 그래프에 포함된 노드들을 동일한 클러스터로 분류하는 단계; 및
    상기 비정상 침입 탐지 장치에 의해, 상기 횡 그래프에 포함되지 않은 노드들을 이상점으로 처리하는 단계를 포함하는 것을 특징으로 하는 LDFGB 알고리즘을 이용한 비정상 침입 탐지 방법.
  13. 삭제
  14. 청구항 10에 있어서,
    상기 악성 노드를 탐지하는 단계는,
    상기 비정상 침입 탐지 장치에 의해, 상기 클러스터링을 생성하는 단계에서 생성된 클러스터들을 내림차순으로 정렬하는 단계;
    상기 비정상 침입 탐지 장치에 의해, 노멀 클러스터, 의심 클러스터 및 비정상 클러스터를 초기화하는 단계; 및
    상기 비정상 침입 탐지 장치에 의해, 상기 정렬된 클러스터들에 대해 데이터 세트의 개수와 정상 비정상 비율의 백분위를 곱한값과 각 클러스터를 비교하여 각 클러스터에 포함된 노드를 노멀 클러스터(CN), 의심 클러스터(CS) 및 비정상 클러스터(CA) 중에 하나로 분류하는 단계를 포함하는 것을 특징으로 하는 LDFGB 알고리즘을 이용한 비정상 침입 탐지 방법.
  15. 청구항 14에 있어서,
    상기 악성 노드를 탐지하는 단계는,
    상기 비정상 침입 탐지 장치에 의해, 상기 분류하는 단계에서 의심 클러스터로 분류된 대상 노드들의 노드 지역 편차 계수를 산출하는 단계;
    상기 비정상 침입 탐지 장치에 의해, 상기 산출한 노드 지역 편차 계수가 가장 큰 대상 노드를 비정상 클러스터로 분류하는 단계; 및
    상기 비정상 침입 탐지 장치에 의해, 상기 비정상 클러스터로 분류되지 않은 대상 노드들을 노멀 클러스터로 분류하는 단계를 더 포함하는 것을 특징으로 하는 LDFGB 알고리즘을 이용한 비정상 침입 탐지 방법.
  16. 청구항 15에 있어서,
    상기 악성 노드를 탐지하는 단계는,
    상기 비정상 침입 탐지 장치에 의해, 노멀 클러스터로 분류된 노드들을 정상으로 분류하는 단계; 및
    상기 비정상 침입 탐지 장치에 의해, 비정상 클러스터로 분류된 노드들을 비정상으로 분류하는 단계를 더 포함하는 것을 특징으로 하는 LDFGB 알고리즘을 이용한 비정상 침입 탐지 방법.
  17. 청구항 15에 있어서,
    상기 노드 지역 편차 계수를 산출하는 단계에서는,
    상기 비정상 침입 탐지 장치에 의해, 노드 로컬 편차율을 노드 로컬 편차 영향 레이트로 나눈 값을 로드 지역 편차 계수로 산출하는 것을 특징으로 하는 LDFGB 알고리즘을 이용한 비정상 침입 탐지 방법.
  18. 청구항 17에 있어서,
    상기 노드 지역 편차 계수를 산출하는 단계는,
    상기 비정상 침입 탐지 장치에 의해, 노드와 노드의 질량 중심 사이의 거리, 원심이 노드이고 반경이 K로 된 원에 포함된 노드의 개수를 이용하여 노드 로컬 편차율을 산출하는 단계; 및
    상기 비정상 침입 탐지 장치에 의해, 상기 노드 로컬 편차율 및 노드 K 거리 이웃을 근거로 노드 로컬 편차 영향 레이트를 산출하는 단계를 포함하는 것을 특징으로 하는 LDFGB 알고리즘을 이용한 비정상 침입 탐지 방법.
KR1020140168643A 2014-11-28 2014-11-28 Ldfgb 알고리즘을 이용한 비정상 침입 탐지 장치 및 방법 KR101693405B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020140168643A KR101693405B1 (ko) 2014-11-28 2014-11-28 Ldfgb 알고리즘을 이용한 비정상 침입 탐지 장치 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020140168643A KR101693405B1 (ko) 2014-11-28 2014-11-28 Ldfgb 알고리즘을 이용한 비정상 침입 탐지 장치 및 방법

Publications (2)

Publication Number Publication Date
KR20160064710A KR20160064710A (ko) 2016-06-08
KR101693405B1 true KR101693405B1 (ko) 2017-01-05

Family

ID=56193686

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020140168643A KR101693405B1 (ko) 2014-11-28 2014-11-28 Ldfgb 알고리즘을 이용한 비정상 침입 탐지 장치 및 방법

Country Status (1)

Country Link
KR (1) KR101693405B1 (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108985065A (zh) * 2018-07-20 2018-12-11 武汉理工大学 应用改进的马氏距离计算方法进行固件漏洞检测的方法及***
EP3739475A1 (en) 2019-05-17 2020-11-18 Universitat Politécnica De Catalunya A computer implemented method, a system and computer programs for anomaly detection using network analysis

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11194915B2 (en) 2017-04-14 2021-12-07 The Trustees Of Columbia University In The City Of New York Methods, systems, and media for testing insider threat detection systems
KR102185190B1 (ko) * 2018-12-12 2020-12-01 한국전자통신연구원 머신러닝을 이용한 이상징후 탐지 방법 및 시스템
KR102597616B1 (ko) * 2021-07-23 2023-11-02 주식회사 에스투더블유 전자 상거래에서의 이상 거래 탐지를 위한 클러스터링 방법 및 시스템
CN117851959B (zh) * 2024-03-07 2024-05-28 中国人民解放军国防科技大学 基于fhgs的动态网络子图异常检测方法、装置和设备
CN117952565B (zh) * 2024-03-25 2024-06-18 山东天意装配式建筑装备研究院有限公司 基于bim模型的装配式建筑智能管理方法及***

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101186400B1 (ko) * 2010-11-11 2012-09-27 한양대학교 산학협력단 그래프 기반 아웃라이어 검출 방법 및 장치

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20040012285A (ko) 2002-08-02 2004-02-11 한국정보보호진흥원 은닉 마르코프 모델을 이용한 비정상행위 침입탐지 시스템및 방법
KR20110004101A (ko) * 2009-07-07 2011-01-13 주식회사 케이티 계층적 클러스터링을 이용하여 비정상 트래픽을 분석하는 방법 및 장치

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101186400B1 (ko) * 2010-11-11 2012-09-27 한양대학교 산학협력단 그래프 기반 아웃라이어 검출 방법 및 장치

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108985065A (zh) * 2018-07-20 2018-12-11 武汉理工大学 应用改进的马氏距离计算方法进行固件漏洞检测的方法及***
CN108985065B (zh) * 2018-07-20 2022-03-11 武汉理工大学 应用改进的马氏距离计算方法进行固件漏洞检测的方法及***
EP3739475A1 (en) 2019-05-17 2020-11-18 Universitat Politécnica De Catalunya A computer implemented method, a system and computer programs for anomaly detection using network analysis

Also Published As

Publication number Publication date
KR20160064710A (ko) 2016-06-08

Similar Documents

Publication Publication Date Title
KR101693405B1 (ko) Ldfgb 알고리즘을 이용한 비정상 침입 탐지 장치 및 방법
Ahmed et al. Feature selection–based detection of covert cyber deception assaults in smart grid communications networks using machine learning
Salih et al. Evaluation of classification algorithms for intrusion detection system: A review
Zaman et al. Evaluation of machine learning techniques for network intrusion detection
Jia et al. Certified robustness of nearest neighbors against data poisoning and backdoor attacks
Syarif et al. Unsupervised clustering approach for network anomaly detection
Kawai et al. Improved malgan: Avoiding malware detector by leaning cleanware features
Sharma et al. A novel multi-classifier layered approach to improve minority attack detection in IDS
Jang et al. Mal-netminer: malware classification based on social network analysis of call graph
Ellers et al. Privacy attacks on network embeddings
EP2953062A1 (en) Learning method, image processing device and learning program
JP5973636B1 (ja) 異常ベクトル検出装置および異常ベクトル検出プログラム
Li et al. 3dfed: Adaptive and extensible framework for covert backdoor attack in federated learning
Mhawi et al. Proposed Hybrid CorrelationFeatureSelectionForestPanalizedAttribute Approach to advance IDSs
Muttaqien et al. Increasing performance of IDS by selecting and transforming features
Agrawal et al. Evaluating machine learning classifiers to detect android malware
CN105224954B (zh) 一种基于Single-pass去除小话题影响的话题发现方法
Zhao et al. Customer churn prediction based on feature clustering and nonparallel support vector machine
KR101394591B1 (ko) 네트워크의 침입을 탐지하는 방법, 시스템 및 컴퓨터 판독 가능한 기록 매체
KR102102517B1 (ko) 최적화 계산 장치 및 방법
Edwin Singh et al. WOA-DNN for Intelligent Intrusion Detection and Classification in MANET Services.
Vengertsev et al. Anomaly detection in graph: unsupervised learning, graph-based features and deep architecture
Mohseni et al. A density-based undersampling approach to intrusion detection
JP6659120B2 (ja) 情報処理装置、情報処理方法、およびプログラム
Liu et al. Pre-trained encoders in self-supervised learning improve secure and privacy-preserving supervised learning

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right