Apparatus and Method for Detecting Attack based on Measuring Networking Behavior Abnormalities in Symbolic Spaces

• Main Authors: KWON HYEOK CHAN, CHUNG BYUNG HO
• Format: Patent
• Language: English; Korean
• Published: 06.07.2023
• Subjects: CALCULATING; COMPUTER SYSTEMS BASED ON SPECIFIC COMPUTATIONAL MODELS; COMPUTING; COUNTING; ELECTRIC COMMUNICATION TECHNIQUE; ELECTRICITY; PHYSICS; TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHICCOMMUNICATION

Disclosed are a device and method for detecting attacks based on abnormalities in networking behavior in symbolic space. The method for detecting attacks based on measuring the abnormality of networking behavior in the symbolic space of the present invention comprises the steps of: creating a profile based on the transmission address of a flow received from a network; measuring the abnormality of behavior on the network of a device corresponding to the transmission address of the flow and mapping the measured behavior abnormality to behavior symbols in the symbolic space; generating a behavior symbol sequence pattern in which behavior symbols are sequentially connected for each profile; and detecting whether there is an attack and a device involved in the attack based on an output of an abnormal behavior prediction model that uses the behavior symbol sequence pattern as input. The purpose of the present invention is to effectively detect ransomware attack attempts from the network level to medical (IoMT) devices and prevent the spread thereof. 심볼릭 공간에서의 네트워킹 행위 이상도 측정 기반 공격 탐지 장치 및 방법이 개시된다. 본 발명의 심볼릭 공간에서의 네트워킹 행위 이상도 측정 기반 공격 탐지 방법은, 네트워크로부터 수신된 플로우의 송신 주소를 기준으로 프로파일을 생성하는 단계, 플로우의 송신 주소에 상응하는 기기의 네트워크 상의 행위 이상도를 측정하고, 측정된 행위 이상도를 심볼릭 공간의 행위 심볼로 매핑하는 단계, 프로파일별로 행위 심볼이 순차적으로 연결된 행위 심볼 시퀀스 패턴을 생성하는 단계; 및 행위 심볼 시퀀스 패턴을 입력으로 하는 이상 행위 예측 모델의 출력을 기반으로 공격 여부 및 공격에 연관된 기기를 탐지하는 단계를 포함할 수 있다.