이기종 오토인코더를 이용한 IoBE의 네트워크 침입 탐지 방법 및 시스템
METHOD AND SYSTEM FOR NETWORK INTRUSION DETECTION IN INTERNET OF BLENDED ENVIRONMENT USING HETEROGENEOUS AUTOENCODER
특허 요약
본 개시의 기술적 사상에 의한 일 양태에 따른 네트워크 침입 탐지 시스템은, 상기 네트워크 침입 탐지 시스템에 포함된 머신러닝 기반의 복수의 이기종 모델을 학습하기 위한 데이터셋을 획득하는 데이터 수집부; 상기 획득된 데이터셋에 포함된 데이터 포인트들을 클러스터링하는 클러스터링 모듈; 클러스터링 결과에 기초하여, 상기 데이터 포인트들을 상기 복수의 모델 중 적어도 하나로 선택적으로 입력하는 라우팅 모듈; 입력된 데이터 포인트에 대한 상기 적어도 하나의 모델 각각의 재구성 손실에 기초하여 손실 함수를 정의하고, 정의된 손실 함수가 최소화되도록 상기 적어도 하나의 모델 각각의 업데이트를 수행하는 모델 학습부를 포함하고, 상기 모델 학습부는, 상기 데이터 포인트들에 대한 재구성 손실들의 손실 분포에 기초하여, 상기 적어도 하나의 모델 각각의 이상치 임계값을 설정한다.
청구항
번호청구항
1

네트워크 침입 탐지 시스템에 있어서,상기 네트워크 침입 탐지 시스템에 포함된 머신러닝 기반의 복수의 이기종 모델을 학습하기 위한 데이터셋을 획득하는 데이터 수집부;상기 획득된 데이터셋에 포함된 데이터 포인트들을 클러스터링하는 클러스터링 모듈;클러스터링 결과에 기초하여, 상기 데이터 포인트들을 상기 복수의 이기종 모델 중 적어도 하나로 선택적으로 입력하는 라우팅 모듈;입력된 데이터 포인트에 대한 상기 적어도 하나의 이기종 모델 각각의 재구성 손실에 기초하여 손실 함수를 정의하고, 정의된 손실 함수가 최소화되도록 상기 적어도 하나의 이기종 모델 각각의 업데이트를 수행하는 모델 학습부를 포함하고,상기 모델 학습부는,상기 데이터 포인트들에 대한 재구성 손실들의 손실 분포에 기초하여, 상기 적어도 하나의 이기종 모델 각각의 이상치 임계값(anomaly threshold)을 설정하고,상기 복수의 이기종 모델은 제1 모델과 제2 모델을 포함하고,상기 제1 모델은 합성곱 변이형 오토인코더(convolutional variational autoencoder(VAE))을 포함하고, 상기 제2 모델은 LSTM(long short term memory)-VAE을 포함하는,네트워크 침입 탐지 시스템.

2

제1항에 있어서, 상기 클러스터링 모듈은,상기 데이터 포인트들을 제1 그룹과 제2 그룹 중 적어도 하나로 분류하고,상기 라우팅 모듈은,상기 제1 그룹에 포함된 데이터 포인트를 상기 제1 모델로 입력하고, 상기 제2 그룹에 포함된 데이터 포인트를 상기 제2 모델로 입력하고, 상기 제1 그룹과 상기 제2 그룹에 각각 포함된 데이터 포인트를 상기 제1 모델과 상기 제2 모델로 각각 입력하는,네트워크 침입 탐지 시스템.

3

삭제

4

제2항에 있어서, 상기 클러스터링 모듈은, ST-DBSCAN(Spatiotemporal Density-Based Spatial Clustering of Applications with Noise) 알고리즘을 이용하여 상기 데이터 포인트들을 상기 제1 그룹과 상기 제2 그룹 중 적어도 하나로 분류하고,상기 제1 그룹은 상기 제2 그룹에 비해 상대적으로 큰 공간적 특성을 갖는,네트워크 침입 탐지 시스템.

5

제4항에 있어서, 상기 모델 학습부는, 상기 제1 그룹에 포함되는 데이터 포인트들에 대한 상기 제1 모델의 손실 분포에 기초하여, 상기 제1 모델에 대한 제1 이상치 임계값을 설정하고,상기 제2 그룹에 포함된 데이터 포인트들에 대한 상기 제2 모델의 손실 분포에 기초하여, 상기 제2 모델에 대한 제2 이상치 임계값을 설정하는,네트워크 침입 탐지 시스템.

6

제5항에 있어서,상기 제1 모델과 제2 모델 중 적어도 하나로 입력되는 데이터 포인트에 기초하여, 네트워크 침입 여부를 탐지하는 네트워크 침입 탐지부를 더 포함하고,상기 네트워크 침입 탐지부는,상기 데이터 포인트가 입력된 적어도 하나의 모델로부터 출력되는 재구성 손실을, 상기 적어도 하나의 모델에 대해 설정된 이상치 임계값과 비교하고,비교 결과에 기초하여 상기 데이터 포인트가 네트워크 침입에 해당하는 비정상 데이터를 포함하는지 여부를 판단하는,네트워크 침입 탐지 시스템.

7

제6항에 있어서,상기 네트워크 침입 탐지부는,상기 재구성 손실이 상기 설정된 이상치 임계값을 초과하는 경우, 상기 데이터 포인트가 상기 비정상 데이터를 포함하는 것으로 판단하는,네트워크 침입 탐지 시스템.

8

제6항에 있어서,상기 네트워크 침입 탐지부는,상기 라우팅 모듈에 의해 상기 데이터 포인트가 상기 제1 모델로 입력된 경우, 상기 제1 모델로부터 출력되는 재구성 손실을 상기 제1 이상치 임계값과 비교하고,상기 데이터 포인트가 상기 제2 모델로 입력된 경우, 상기 제2 모델로부터 출력되는 재구성 손실을 상기 제2 이상치 임계값과 비교하고,상기 데이터 포인트가 상기 제1 모델과 상기 제2 모델 각각으로 입력된 경우, 상기 제1 모델 및 상기 제2 모델 각각으로부터 출력된 재구성 손실의 평균값을, 상기 제1 이상치 임계값과 상기 제2 이상치 임계값의 평균값과 비교하는,네트워크 침입 탐지 시스템.

9

네트워크 침입 탐지 시스템에 있어서,상기 네트워크 침입 탐지 시스템과 연결된 네트워크 시스템의 데이터셋을 획득하는 데이터 수집부;상기 획득된 데이터셋에 포함된 데이터 포인트를 클러스터링하는 클러스터링 모듈;클러스터링 결과에 기초하여, 상기 데이터 포인트를 머신러닝 기반의 복수의 이기종 모델 중 적어도 하나로 선택적으로 입력하는 라우팅 모듈; 및상기 데이터 포인트가 입력된 적어도 하나의 모델로부터 출력되는 재구성 손실에 기초하여, 상기 네트워크 시스템에 대한 침입 여부를 탐지하는 네트워크 침입 탐지부를 포함하고,상기 복수의 이기종 모델은 제1 모델과 제2 모델을 포함하고,상기 제1 모델은 합성곱 변이형 오토인코더(convolutional variational autoencoder(VAE))을 포함하고, 상기 제2 모델은 LSTM(long short term memory)-VAE을 포함하는,네트워크 침입 탐지 시스템.

10

제9항에 있어서,상기 클러스터링 모듈은,상기 데이터 포인트들을 제1 그룹과 제2 그룹 중 적어도 하나로 분류하고,상기 라우팅 모듈은,상기 제1 그룹에 포함된 데이터 포인트를 상기 제1 모델로 입력하고, 상기 제2 그룹에 포함된 데이터 포인트를 상기 제2 모델로 입력하고, 상기 제1 그룹과 상기 제2 그룹에 각각 포함된 데이터 포인트를 상기 제1 모델과 상기 제2 모델로 각각 입력하는,네트워크 침입 탐지 시스템.

11

삭제

12

제10항에 있어서,상기 클러스터링 모듈은, ST-DBSCAN(Spatiotemporal Density-Based Spatial Clustering of Applications with Noise) 알고리즘을 이용하여 상기 데이터 포인트들을 상기 제1 그룹과 상기 제2 그룹 중 적어도 하나로 분류하고,상기 제1 그룹은 상기 제2 그룹에 비해 상대적으로 큰 공간적 특성을 갖는,네트워크 침입 탐지 시스템.

13

제10항에 있어서,상기 네트워크 침입 탐지부는,상기 데이터 포인트가 입력된 적어도 하나의 모델로부터 출력되는 재구성 손실을, 상기 적어도 하나의 모델에 대해 설정된 이상치 임계값과 비교하고,비교 결과에 기초하여 상기 데이터 포인트가 네트워크 침입에 해당하는 비정상 데이터를 포함하는지 여부를 판단하는,네트워크 침입 탐지 시스템.

14

제13항에 있어서,상기 네트워크 침입 탐지부는,상기 재구성 손실이 상기 설정된 이상치 임계값을 초과하는 경우, 상기 데이터 포인트가 상기 비정상 데이터를 포함하는 것으로 판단하는,네트워크 침입 탐지 시스템.

15

제13항에 있어서,상기 네트워크 침입 탐지부는,상기 라우팅 모듈에 의해 상기 데이터 포인트가 상기 제1 모델로 입력된 경우, 상기 제1 모델로부터 출력되는 재구성 손실을 상기 제1 모델에 대해 설정된 제1 이상치 임계값과 비교하고,상기 데이터 포인트가 상기 제2 모델로 입력된 경우, 상기 제2 모델로부터 출력되는 재구성 손실을 상기 제2 모델에 대해 설정된 상기 제2 이상치 임계값과 비교하고,상기 데이터 포인트가 상기 제1 모델과 상기 제2 모델 각각으로 입력된 경우, 상기 제1 모델 및 상기 제2 모델 각각으로부터 출력된 재구성 손실의 평균값을, 상기 제1 이상치 임계값과 상기 제2 이상치 임계값의 평균값과 비교하는,네트워크 침입 탐지 시스템.

16

네트워크 시스템과 연결되는 네트워크 침입 탐지 시스템에 있어서,데이터셋을 획득하는 데이터 수집부;상기 획득된 데이터셋에 포함된 데이터 포인트들을 클러스터링하는 클러스터링 모듈;클러스터링 결과에 기초하여, 상기 데이터 포인트들을 머신러닝 기반의 복수의 이기종 모델 중 적어도 하나로 선택적으로 입력하는 라우팅 모듈;획득된 데이터셋이 입력되는 상기 복수의 이기종 모델 각각으로부터 출력되는 손실 분포에 기초하여, 네트워크 침입 여부의 판단을 위한 최적 임계값을 설정하는 모델 학습부; 및상기 모델 학습부에 의해 설정된 최적 임계값과, 상기 복수의 이기종 모델 각각으로부터 출력되는 최종 손실에 기초하여, 상기 네트워크 시스템에 대한 네트워크 침입 여부를 탐지하는 네트워크 침입 탐지부를 포함하고,상기 복수의 이기종 모델은 제1 모델과 제2 모델을 포함하고,상기 제1 모델은 합성곱 변이형 오토인코더(convolutional variational autoencoder(VAE))을 포함하고, 상기 제2 모델은 LSTM(long short term memory)-VAE을 포함하는,네트워크 침입 탐지 시스템.

17

제16항에 있어서,상기 모델 학습부는,상기 복수의 이기종 모델 각각의 손실 분포에 기초한 이상치 임계값을 각각 산출하고,산출된 이상치 임계값들 중 최대값을 상기 최적 임계값으로 설정하는,네트워크 침입 탐지 시스템.

18

제16항에 있어서,상기 네트워크 침입 탐지부는,상기 복수의 이기종 모델 각각의 최종 손실 중 최소값을 상기 최적 임계값과 비교하고,상기 최소값이 상기 최적 임계값을 초과하는 경우, 상기 복수의 이기종 모델로 입력된 데이터셋에 네트워크 침입과 관련된 비정상 데이터가 포함된 것으로 판단하는,네트워크 침입 탐지 시스템.

도면대표도면