- 본 이전기술은 유무선 네트워크 환경에서 정상 네트워크 트래픽으로 위장하여 기존 정보보호 체계를 우회하는 비정상적인 은닉 통신채널을 인공지능 기술을 이용하여 탐지하는 기술로서, 네트워크 기반 지능형 침해탐지·대응 솔루션으로 활용할 수 있음
- 또한, 보안성이 높은 분산 환경에서 데이터 보호를 위해 데이터의 공유나 유출이 극도로 제한되는 환경에서 학습 데이터의 편차를 최소화하고 전체 시스템의 탐지 성능을 제고하기 위해 연합학습(Federated Learning)을 통해 네트워크 침해위협을 탐지하는 기술임
- 따라서, 본 이전기술은 유무선 네트워크의 트래픽을 바탕으로 네트워크 침해위협을 분석·탐지하기 위한 AI 기반 지능형 네트워크 침해위협 탐지 기술로서, (1) 네트워크 트래픽 데이터 실시간 수집 및 메타데이터 생성 기술, 생성된 네트워크 메타데이터를 활용하여 인공지능 기반의 침해위협 탐지 기술로서 세부적으로 (2) 연합학습 기반 네트워크 침해위협 탐지 기술과 (3) 지능형 비정상/은닉 통신채널 탐지 기술, 그리고 사용자를 위한 (4) 웹 기반 네트워크 침해위협 실시간 모니터링 기술로 구성됨
높은 보안성이 요구되는 네트워크 환경에서 침해위협을 탐지하기 위해 네트워크 트래픽 데이터를 실시간 수집하고, 이로부터 메타데이터를 생성한 다음 비정상/은닉 통신 채널이나 네트워크 침해위협을 탐지하는 것을 목적으로 하는 기술임
- 본 기술은 네트워크 플로우 데이터에 대해 딥러닝 기술을 이용해 학습하고, 학습된 모델을 기반으로 실시간으로 네트워크 침해위협 및 비정상/은닉 통신채널을 탐지하기 위한 기술로서, 네트워크 트래픽에 대한 데이터 전처리, 다중 딥러닝 학습, 모델 생성, 학습 모델 기반 공격 징후 판단을 위한 기술로 구성됨
- 본 기술은 네트워크 트래픽 데이터(pcap)를 실시간 수집하여 L3 플로우 정보, L4 통계 정보 및 L7 DPI 정보로부터 네트워크 메타데이터를 생성하는 기술을 포함하고 있음
- 본 기술은 분산 환경에서 인공지능 기반 침해위협 탐지 모델의 학습 과정에서 발생하는 데이터 프라이버시 및 서버의 학습 오버헤드 문제를 해결하기 위해, 학습 노드에서 학습한 정보만을 중앙 서버로 전송함으로써 민감 및 중요 정보의 공유 및 전송 과정없이 침해위협 탐지모델을 생성할 수 있는 연합학습 기술을 포함하고 있음
- 본 기술에서 제공하는 연합학습 기반 침해위협 탐지 모델(머신러닝 1종: FedXGB + 딥러닝 6종: TABNET, MHAN, GAN, DNN, CNN, LSTM)은 네트워크 침해위협 및 비정상 행위를 탐지하며, 분산 환경에서 대규모 데이터셋으로 확장 가능한 FedXGB, 자체 어텐션 기반 학습 특징 추출에 최적화된 TABNET, 특징 간 연계성 파악으로 복잡한 침해위협 분석에 용이한 MHAN(Multi-Head Attention Network)이 적합하기에 상황 및 위협 특성에 따라 선택적 적용하여 사용 가능함
- 본 기술은 연합학습에 참여하는 학습 노드의 관리, 학습 파라미터 및 학습 알고리즘 관리, 학습 모델의 관리 및 탐지 모델 시험을 위한 사용자 UI를 포함하고 있음
- 본 기술은 네트워크 트래픽의 특성을 미세 조정하여 기존 정보보호 체계를 우회하는 비정상/은닉 통신채널 탐지 기술을 포함하고 있음
- 본 기술에서 제공하는 비정상/은닉 통신채널 탐지 기술은 네트워크 플로우 내 패킷 및 바이트 통계 데이터 등의 일부 컬럼만 사용함으로써 연산과 메모리 부담을 줄일 수 있으므로, 비정상/은닉 통신채널 탐지에 특화된 고속 피쳐 추출 기능을 제공함으로써 수집/저장/학습 비용을 절감하고 페이로드 미수집 특성으로 개인정보 및 규제 대응에 유리한 특성을 가지고 있음
- 본 기술에서 제공되는 비정상/은닉 통신 채널 탐지 모델(머신러닝 모델 3종: LGBM/XGB/RF + 딥러닝 모델 3종: MLP/LSTM/MemAE)은 Covert Timing Channel을 탐지하며, 저사양/고속 요구에는 트리계열, 시계열 패턴에는 LSTM, 라벨 데이터가 희소한 환경에는 MemAE가 적합하며, 상황별 선택 및 조합이 가능하고 트리계열은 SHAP 기반 설명 가능성으로 운영 및 감사에 유리함
본 이전기술은 유무선 네트워크의 트래픽을 바탕으로 네트워크 침해위협을 분석·탐지하기 위한 AI 기반 지능형 네트워크 침해위협 탐지 기술로서, (1) 네트워크 트래픽 데이터 실시간 수집 및 메타데이터 생성 기술, 생성된 네트워크 메타데이터를 활용하여 인공지능 기반의 침해위협 탐지 기술로서 세부적으로 (2) 연합학습 기반 네트워크 침해위협 탐지 기술과 (3) 지능형 비정상/은닉 통신채널 탐지 기술, 그리고 사용자를 위한 (4) 웹 기반 네트워크 침해위협 실시간 모니터링 기술로 구성됨
A. 기술명 : 네트워크 트래픽 실시간 수집 및 메타데이터 생성 기술
- 네트워크 데이터(pcap) 실시간 수집 및 저장 기술
- 네트워크 데이터 기반 통합 특징 인자(메타데이터) 생성 기술
B. 기술명 : 연합학습 기반 네트워크 침해위협 탐지 기술
- 네트워크 침해위협 탐지를 위한 특징 추출 및 학습용 데이터 전처리 기술
- 연합학습 기반 노드 관리 및 탐지 다중 모델 학습 관리 기술
* TABNET, MHAN, FedXGB, GAN, DNN, CNN, LSTM
- 실시간 네트워크 침해위협 탐지 기술
- 네트워크 침해위협 학습 플랫폼 사용자 인터페이스 프로그램 (대시보드)
C. 기술명 : 지능형 비정상/은닉 통신채널 탐지 기술
- 비정상/은닉 통신 채널 탐지를 위한 특징 추출 및 학습용 데이터 전처리 기술
- 비정상/은닉 통신 채널 탐지 다중 AI 모델 학습 및 생성 기술
* LGBM, RF, XGB, MLP, LSTM, Semi-MemAE
- 비정상/은닉 통신 채널 실시간 탐지 기술
D. 기술명 : 네트워크 침해위협 실시간 모니터링 기술
- 웹 기반 네트워크 트래픽 데이터 시각화 기능
- 다중 AI(연합학습, 비정상/은닉 통신 채널) 탐지 결과 시각화 기능
A. 기술명: 네트워크 트래픽 실시간 수집 및 메타데이터 생성 기술
- 프로그램 (소스코드 및 바이너리) :
o 5G 트래픽 수집 전처리 도구
- 문서
o 5G 네트워크 데이터 실시간 전처리 상세설계서
o 5G 지능형 네트워크 이상 탐지 및 시각화 기술 시험 절차 및 결과서
- 특허
o PR20241296KR, TCP 플래그 카운트 히스토그램을 이용한 NetFlow 모니터링에서의 은닉 채널 특징 추출 방법
o PR20241347KR, 연합학습 기반의 침해위협 탐지 모델 생성을 위한 노드 선정 방법 및 장치
B. 기술명 : 연합학습 기반 네트워크 침해위협 탐지 기술
- 프로그램 (소스코드 및 바이너리) :
o 연합학습 기반 침해위협 탐지 모델 학습 엔진
- 문서
o 연합학습 기반 네트워크 침해위협 탐지 서브시스템 상세 설계서
o 5G 지능형 네트워크 이상 탐지 및 시각화 기술 시험 절차 및 결과서
- 특허
o PR20241347KR, 연합학습 기반의 침해위협 탐지 모델 생성을 위한 노드 선정 방법 및 장치
C. 기술명 : 지능형 비정상/은닉 통신채널 탐지 기술
- 프로그램 (소스코드 및 바이너리) :
o 네트워크 플로우 기반 은닉채널 탐지 모델 학습 및 테스트 프로그램
- 문서
o 지능형 비정상/은닉채널 탐지 서브시스템 상세설계서
o 5G 지능형 네트워크 이상 탐지 및 시각화 기술 시험 절차 및 결과서
- 특허
o PR20241296KR, TCP 플래그 카운트 히스토그램을 이용한 NetFlow 모니터링에서의 은닉 채널 특징 추출 방법
D. 기술명 : 네트워크 침해위협 실시간 모니터링 기술
- 프로그램 (소스코드 및 바이너리) :
o 5G 단말 모니터링 도구
- 문서
o 5G 단말 모니터링 도구 상세설계서
o 5G 지능형 네트워크 이상 탐지 및 시각화 기술 시험 절차 및 결과서
본 이전기술을 활용한 솔루션 개발 및 적용을 통해 높은 보안성으로 인해 도메인 간 데이터의 공유나 유출이 극도로 제한되는 분산 환경에서 침해위협 탐지 성능을 제고할 수 있을 것으로 기대됨
- 또한, 기존 정보보호 체계나 지능형 네트워크 침해대응 솔루션을 우회하려는 비정상/은닉 통신채널 공격의 탐지를 통해 사이버위협의 미탐을 최소화하고 침해대응 효과를 제고할 수 있을 것으로 기대됨