- 본 기술은 병원 네트워크 상의 네트워크 트래픽을 분석하여, AI 기반으로 의료기기의 이상행위 및 위협을 탐지하기 위한 엔진 기술을 제공함
- 본 기술은 다음의 두 가지 세부 기술로 구성되며, 세부 기술별 기술이전이 가능함
세부기술 1) 시계열 행위 이상도 측정 및 패턴 기호화 기술 (알고리즘, 라이브러리)
세부기술 2) 의료기기 넷플로우 이상 행위 탐지 엔진
- 세부기술 1(시계열 행위 이상도 측정 및 패턴 기호화 기술)은 네트워크 시계열을 AI로 학습/분석하여 이상행위를 탐지하는 모듈이다. 이를 위해 네트워크 행위를 패턴 기호화하고 이를 학습하여 탐지하는 방식으로 동작한다.
- 세부기술 2(의료기기 넷플로우 이상 행위 탐지 엔진 기술)은 다중센서 입력 데이터 처리, 네트워크 트래픽 처리/분석/DB 관리 및 멀티프로세싱/pubsub 기반 다중 탐지모듈 실행 환경 등을 제공한다.
- 현재 상급종합병원의 경우 기관별 차이가 있지만 보통 8천~3만여 개의 의료기기가 설치 및 운용중이고, 그 기기 대다수는 네트워크에 연결되어 서비스되고 있으나, 많은 보안 취약성에 노출되어 있음
- 병원에 설치된 의료기기 중 상당수는 제작된 지 10년이 넘은 고가의 장비로 구형 운영체제가 탑재된 경우가 많음. 또한 사람의 생명, 건강이 직결된 의료기기의 특성상 고가용성이 요구되기 때문에 운영체제/소프트웨어의 패치/업데이트, 백신 등 보안 모듈의 추가 설치 등이 자유롭지 않은 문제가 있음.
- 실제로 의료기관의 경우 많은 공격이 상대적으로 보안에 취약한 의료기기를 공격한 후, EMR 서버 등 병원 깊숙한 곳까지 침투하는 공격이 성공하고 있으며, 이를 통해 랜섬웨어가 침투 및 확산되고 있음
- 이러한 의료기기의 특성에 따라 의료기기에 비 침습적으로 의료기기 네트워크 상에서의 트래픽을 분석하여 네트워크의 이상행위 및 위협을 탐지하여 대응하는 기술이 필요함
- 본 기술의 목적은 병원 커넥티드 의료기기의 기능?성능 가용성을 훼손하지 않으면서, 네트워크 트래픽 분석 기반으로 해킹, 멀웨어, 랜섬웨어 등의 위협 및 이를 통한 의료기기의 이상행위를 탐지하는 기술임.
- 병원 의료기기 네트워크 넷플로우 이상행위 탐지 엔진
- 다중 네트워크 센싱 데이터 처리, pub/sub 기반 멀티 프로세싱 구조, 확장형 다중 탐지모듈 멀티 실행환경 제공
- 의료기기 네트워크 행위(트래픽)를 3D symbolic behavior fingerprint 형태로 변환후 학습, 분석하여 의료기기 이상행위를 탐지
- 3D symbolic behavior fingerprint에는 네트워크 친숙성(familiarity), 주기성(periodicity), 불확실성(entropy) 피쳐를 반영
- 병원 실 의료기기 네트워크에서 추출한 데이터를 기반으로 시험/검증 수행
본 기술은 병원 네트워크 상의 네트워크 트래픽을 분석하여, AI 기반으로 의료기기의 이상행위 및 위협을 탐지하기 위한 엔진으로, 다음의 세부기술로 구성됨
(1) 시계열 행위 이상도 측정 및 패턴 기호화 기술 (알고리즘, 라이브러리)
(2) 의료기기 넷플로우 이상 행위 탐지 엔진
A. 기술명: 시계열 행위 이상도 측정 및 패턴 기호화 기술
- 네트워크 트래픽 분석 기반 3D 패턴 기호화
- 네트워크 친숙성 피쳐 생성을 위한 ip2vec 모델 생성
- 네트워크 친숙성, 주기성, 불확실성 피쳐 추출 및 3가지 피쳐가 융합된 3D symbolic behavior fingerprint 생성
- 네트워크 시계열 학습?분석을 통한 이상 행위 탐지 모델 (LSTM, GRU)
B. 기술명 : 의료기기 넷플로우 이상행위 탐지 엔진
- 의료기기 이상행위 탐지 엔진 플랫폼
- 다중센서 입력 데이터 처리 (argus flow, snort/suricata log)
- 네트워크 트래픽 전처리, 통계 분석, DB(redis) 관리
- 멀티프로세싱, pub/sub 기반 plug-in 형태의 다중 탐지모듈 멀티 실행 환경
A. 기술명: 시계열 행위 이상도 측정 및 패턴 기호화 기술
- 소스 프로그램
- 시험용 데이터 셋
- 기술 문서 (시험 결과서 등)
- 특허
B. 기술명 : 의료기기 넷플로우 이상행위 탐지 엔진
- 소스 프로그램
- 시험용 데이터 셋
- 기술 문서 (시험 결과서 등)
- 특허
* 상세 목록은 기술이전계획서 부속자료 참조
- 제품의 용도: 병원 커넥티드 의료기기 해킹, 랜섬웨어 등 위협 탐지, 다양한 융합산업의 네트워크 분석 기반 이상행위/위협 탐지, AI 기반 네트워크 트래픽 분석 등
- 적용분야: 병원 커넥티드 의료기기 침입방지, 보안관리?관제 시스템 등, 다양한 융합산업네트워크 이상징후 탐지 및 랜섬웨어 대응 등