[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

KR101414061B1 - 침입탐지규칙 간의 유사도 측정 장치 및 그 방법 - Google Patents

침입탐지규칙 간의 유사도 측정 장치 및 그 방법 Download PDF

Info

Publication number
KR101414061B1
KR101414061B1 KR20130101205A KR20130101205A KR101414061B1 KR 101414061 B1 KR101414061 B1 KR 101414061B1 KR 20130101205 A KR20130101205 A KR 20130101205A KR 20130101205 A KR20130101205 A KR 20130101205A KR 101414061 B1 KR101414061 B1 KR 101414061B1
Authority
KR
South Korea
Prior art keywords
detection
detection rule
similarity
rule
rules
Prior art date
Application number
KR20130101205A
Other languages
English (en)
Inventor
이재승
한유정
배병철
오형근
손기욱
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR20130101205A priority Critical patent/KR101414061B1/ko
Application granted granted Critical
Publication of KR101414061B1 publication Critical patent/KR101414061B1/ko
Priority to US14/909,580 priority patent/US20160197957A1/en
Priority to PCT/KR2014/006318 priority patent/WO2015030363A1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 침입탐지시스템에서 사용하는 침입탐지규칙의 유사도를 점검하여, 침입탐지규칙간의 포함관계를 파악하고, 포함관계를 파악한 결과를 토대로 침입탐지 유사도를 측정하는 장치 및 그 방법에 관한 것이다. 침입탐지규칙 간의 유사도 측정 장치는 복수개의 탐지규칙을 일정한 형태로 변형하는 정규화부, 변형된 복수개의 탐지규칙 중 제1 탐지규칙과 제2 탐지규칙을 각각 탐지규칙 헤더와 탐지규칙 옵션으로 구분하는 구분부, 제1 탐지규칙의 탐지규칙 헤더와 제2 탐지규칙의 탐지규칙 헤더의 포함관계를 판단하고, 제1 탐지규칙의 탐지규칙 옵션과 제2 탐지규칙의 탐지규칙 옵션의 포함관계를 판단하는 관계 연산부 및 탐지규칙 헤더의 포함관계와 탐지규칙 옵션의 포함관계를 토대로 탐지규칙 간의 유사도를 측정하는 유사도 측정부를 포함한다.

Description

침입탐지규칙 간의 유사도 측정 장치 및 그 방법{APPARATUS AND METHOD FOR MEASURING IDS RULE SIMILARITY}
본 발명은 침입탐지규칙 간의 유사도 측정 장치 및 그 방법에 관한 것으로, 특히 침입탐지시스템(Intrusion Detection System, IDS)에서 사용하는 침입탐지규칙의 유사도를 점검하여, 침입탐지규칙간의 포함관계를 파악하고, 포함관계를 파악한 결과를 토대로 침입탐지 유사도를 측정하는 장치 및 그 방법에 관한 것이다.
종래의 탐지규칙 간의 유사도를 점검하는 방법은 탐지규칙을 단순한 문자열로 간주하고, 문자열 비교를 통해 탐지규칙 간의 중복여부를 파악하였다. 이와 같은 방법은 탐지규칙에 의미없는 공백이 포함되어 있어도 서로 다른 탐지규칙으로 판단하는 문제점이 있다. 또한, 단순하게 문자열을 비교하여 탐지규칙 간의 중복여부를 파악하는 것은 탐지규칙의 주요 특성인 탐지범위를 비교하지 못해 실질적인 탐지규칙 간의 유사도를 판단할 수 없다.
예를 들어, 한국등록특허 제10-0912541호 "인터넷 프로토콜 버전 4/인터넷프로토콜 버전 6 혼합망에서의 침입탐지규칙 통합관리 장치 및 방법"은 외부로부터 수신된 침입탐지규칙에 포함된 인터넷 프로토콜 버전 4 주소 및 인터넷 프로토콜 버전 6 주소 간의 연관성을 분석하고, 분석된 결과를 이용하여 상기 수신된 침입탐지규칙을 자동 변환한 후 변환된 침입탐지규칙을 해당 데이터베이스에 저장하고, 변환된 침입탐지규칙 및 연관성 정보를 통합 관리하는 기술에 관하여 기재하고 있습니다.
현재는 상기 특허와 같이 침입탐지규칙을 통합관리하는 기술이 존재하나, 탐지규칙의 유사도를 판단하는 점검 도구들이 존재하지 않으며, 이를 위해서는 해당 분야의 전문가가 직접 점검해야 하는 상황이다.
본 발명의 목적은 침입탐지시스템(Intrusion Detection System, IDS)에서 사용하는 침입탐지규칙의 유사도를 점검하여, 침입탐지규칙간의 포함관계를 파악하고, 포함관계를 파악한 결과를 토대로 침입탐지 유사도를 측정하는 장치 및 그 방법을 제공하는 것이다.
상기한 목적을 달성하기 위한 본 발명에 따른 침입탐지규칙 간의 유사도 측정 방법은
유사도 측정 장치 내 저장된 복수개의 탐지규칙을 일정한 형태로 변형하는 단계; 변형된 복수개의 탐지규칙 중 제1 탐지규칙과 제2 탐지규칙을 각각 탐지규칙 헤더와 탐지규칙 옵션으로 구분하는 단계; 상기 제1 탐지규칙의 탐지규칙 헤더와 상기 제2 탐지규칙의 탐지규칙 헤더의 포함관계를 판단하는 단계; 상기 제1 탐지규칙의 탐지규칙 옵션과 상기 제2 탐지규칙의 탐지규칙 옵션의 포함관계를 판단하는 단계; 및 탐지규칙 헤더의 포함관계와 탐지규칙 옵션의 포함관계를 토대로 탐지규칙 간의 유사도를 측정하는 단계를 포함한다.
이 때, 상기 탐지규칙 간의 유사도를 측정하는 단계는 상기 제1 탐지규칙의 탐지규칙 헤더와 옵션을 구성하는 적어도 하나의 구성값과 상기 제2 탐지규칙의 탐지규칙 헤더와 옵션을 구성하는 적어도 하나의 구성값을 비교하고, 총 비교 개수와 구성값이 일치하는 개수의 비율을 이용하여 상기 탐지규칙 간의 유사도를 측정하는 것을 특징으로 한다.
이 때, 상기 탐지규칙 간의 유사도를 측정하는 단계는
상기 제1 탐지규칙의 탐지규칙 옵션을 구성하는 적어도 하나의 구성값과 상기 제2 탐지규칙의 탐지규칙 옵션을 구성하는 적어도 하나의 구성값을 비교하고, 총 비교 개수와 구성값이 일치하는 개수의 비율을 이용하여 상기 탐지규칙 간의 유사도를 측정하는 것을 특징으로 한다.
이 때, 상기 제1 탐지규칙과 상기 제2 탐지규칙 각각의 옵션은 콘텐츠와 수식어를 포함하는 것을 특징으로 한다.
이 때, 상기 탐지규칙 헤더의 범위는 동작, 프로토콜, 출발지 아이피, 출발지 포트, 탐지 방향, 목적지 아이피, 목적지 포트를 이용하여 산출하는 것을 특징으로 한다.
또한, 본 발명의 일실시예에 따른 침입탐지규칙 간의 유사도 측정 장치는
복수개의 탐지규칙을 일정한 형태로 변형하는 정규화부; 변형된 복수개의 탐지규칙 중 제1 탐지규칙과 제2 탐지규칙을 각각 탐지규칙 헤더와 탐지규칙 옵션으로 구분하는 구분부; 상기 제1 탐지규칙의 탐지규칙 헤더와 상기 제2 탐지규칙의 탐지규칙 헤더의 포함관계를 판단하고, 상기 제1 탐지규칙의 탐지규칙 옵션과 상기 제2 탐지규칙의 탐지규칙 옵션의 포함관계를 판단하는 관계 연산부; 및 탐지규칙 헤더의 포함관계와 탐지규칙 옵션의 포함관계를 토대로 탐지규칙 간의 유사도를 측정하는 유사도 측정부를 포함한다.
이 때, 상기 유사도 측정부는 상기 제1 탐지규칙의 탐지규칙 헤더를 구성하는 적어도 하나의 구성값과 상기 제2 탐지규칙의 탐지규칙 헤더를 구성하는 적어도 하나의 구성값을 비교하고, 총 비교 개수와 구성값이 일치하는 개수의 비율을 이용하여 상기 탐지규칙 간의 유사도를 측정하는 것을 특징으로 한다.
이 때, 상기 유사도 측정부는 상기 제1 탐지규칙의 탐지규칙 옵션을 구성하는 적어도 하나의 구성값과 상기 제2 탐지규칙의 탐지규칙 옵션을 구성하는 적어도 하나의 구성값을 비교하고, 총 비교 개수와 구성값이 일치하는 개수의 비율을 이용하여 상기 탐지규칙 간의 유사도를 측정하는 것을 특징으로 한다.
이 때, 상기 제1 탐지규칙과 상기 제2 탐지규칙 각각의 옵션은 콘텐츠와 수식어를 포함하는 것을 특징으로 한다.
이 때, 상기 탐지규칙 헤더의 범위는 동작, 프로토콜, 출발지 아이피, 출발지 포트, 탐지 방향, 목적지 아이피, 목적지 포트를 이용하여 산출하는 것을 특징으로 한다.
이 때, 상기 탐지규칙 옵션의 범위는 탐지대상 문자열에 해당하는 콘텐츠와 정규표현식으로 결정하는 것을 특징으로 한다.
이 때, 상기 유사도 측정부는 상기 탐지규칙 옵션의 구성값 중 수식어를 사전식으로 값을 비교하여 전체 비교 개수와 일치 개수의 비율로 표현하는 것을 특징으로 한다.
이 때, 상기 유사도 측정부는 상기 수식어에 대한 가중치를 설정할 수 있는 것을 특징으로 한다.
본 발명에 따르면, 침입탐지시스템(Intrusion Detection System, IDS)에서 사용하는 침입탐지규칙의 유사도를 점검하여, 침입탐지규칙간의 포함관계를 파악하고, 포함관계를 파악한 결과를 토대로 침입탐지 유사도를 측정할 수 있다.
이를 통해 본 발명은 수많은 침입탐지규칙에 대한 유사도 검사를 자동으로 수행하여 침입탐지규칙에 대한 최적화를 수행할 수 있으며, 최적화된 침입탐지규칙을 이용하여 침입탐지시스템의 탐지범위를 향상시킬 수 있다. 또한, 본 발명은 침입탐지규칙에 대한 유사도 검사를 자동으로 수행함으로써, 수동 점검 시 발생 가능한 오류를 제거할 수 있으며, 현실적인 탐지규칙 점검 도구로 활용 가능하다.
도 1은 본 발명의 실시예에 따른 침입탐지규칙 간의 유사도 측정 장치를 개략적으로 나타내는 구성도이다.
도 2는 본 발명의 실시예에 따른 탐지규칙의 일반적인 형태를 나타내는 도면이다.
도 3은 본 발명의 실시예에 따른 정규화된 탐지규칙을 나타내는 도면이다.
도 4는 본 발명의 실시예에 따른 탐지규칙을 변환하기 전과 변환한 후를 나타내는 도면이다.
도 5는 본 발명의 실시예에 따른 탐지규칙의 포함관계를 판단하는 코드를 나타내는 도면이다.
도 6은 본 발명의 실시예에 따른 탐지규칙의 포함관계를 판단하는 코드를 이용하여 포함관계를 판단하는 예를 나타내는 도면이다.
도 7 내지 도 9는 본 발명의 실시예에 따른 탐지규칙간의 포함관계를 나타내는 도면이다.
도 9는 본 발명의 실시예에 따른 침입탐지규칙 간의 유사도 측정 장치에 적용되는 참고도이다.
도 10은 본 발명의 실시예에 따른 시스템의 침입탐지규칙 간의 유사도를 측정하는 방법을 나타내는 흐름도이다.
본 발명을 첨부된 도면을 참조하여 상세히 설명하면 다음과 같다. 여기서, 반복되는 설명, 본 발명의 요지를 불필요하게 흐릴 수 있는 공지 기능, 및 구성에 대한 상세한 설명은 생략한다. 본 발명의 실시형태는 당 업계에서 평균적인 지식을 가진 자에게 본 발명을 보다 완전하게 설명하기 위해서 제공되는 것이다. 따라서, 도면에서의 요소들의 형상 및 크기 등은 보다 명확한 설명을 위해 과장될 수 있다.
이하, 본 발명에 따른 바람직한 실시예 따른 침입탐지시스템(Intrusion Detection System, IDS)에서 사용하는 침입탐지규칙의 유사도를 점검하여, 침입탐지규칙간의 포함관계를 파악하고, 포함관계를 파악한 결과를 토대로 침입탐지 유사도를 측정하는 장치 및 그 방법에 대하여 첨부한 도면을 참조하여 상세하게 설명한다.
도 1은 본 발명의 실시예에 따른 침입탐지규칙 간의 유사도 측정 장치를 개략적으로 나타내는 구성도이다. 또한, 도 2 내지 도 9는 본 발명의 실시예에 따른 침입탐지규칙 간의 유사도 측정 장치에 적용되는 참고도이다.
도 1을 참고하면, 침입탐지규칙 간의 유사도 측정 장치는 규칙 저장부(100), 정규화부(200), 구분부(300), 관계 연산부(400) 및 유사도 측정부(500)를 포함한다.
저장부(100)는 침입탐지시스템(Intrusion Detection System, IDS) 별 서로 다른 침입탐지규칙(이하, "탐지규칙"라고도 함)을 포함한다.
정규화부(200)는 저장부(100) 내 위치하는 탐지규칙들을 일정한 형태로 변형하는 정규화 과정을 수행한다.
구분부(300)는 일정한 형대로 변형된 탐지규칙들 각각을 탐지규칙 헤더와 탐지규칙 옵션으로 구분한다.
예를 들어, 탐지규칙의 일반적인 형태는 도 2와 같다.
탐지규칙 헤더는 탐지할 패킷에 대한 처리 동작을 기술하는 것으로, 동작(action), 프로토콜(protocol), 출발지 아이피(IP), 출발지 포트(Port), 탐지 방향(direction), 목적지 아이피(IP), 목적지 포트(Port)를 포함한다.
탐지규칙 헤더의 주요 범위는 동작, 프로토콜, 출발지 아이피, 출발지 포트, 탐지 방향, 목적지 아이피, 목적지 포트를 이용하여 산출할 수 있다. 구체적으로, 프로토콜은 문자열 비교를 통해 탐지규칙 헤더가 탐지할 수 있는 주요 범위를 산출한다. 출발지 아이피, 출발지 포트, 목적지 아이피, 목적지 포트의 각 항목은 정수 범위 형태로 표현하여 범위를 산정하고, 나머지 항목은 단순 비교를 통한 포함관계를 직관적으로 산출할 수 있다.
탐지규칙 옵션의 주요 범위는 탐지 대상 문자열에 해당하는 콘텐츠(content), 정규표현식(이하 "pcre'라고도 함)으로 결정한다. 탐지규칙 옵션의 오프셋(offset), 거리(distance), 깊이(depth), within 등과 같은 수정자(Modifier)는 필요시 유사도 산출에 사용할 수 있다. 여기서, 수정자는 해당 값의 존재유무, 값의 범위 등을 사전식으로 비교하여 유사도를 산출하는데 적용된다.
탐지 대상 문자열에 해당하는 콘텐츠(content)의 범위는 콘텐츠가 지정하고 있는 문자열을 기준으로 산정한다. 예를 들어, content:"abc"가 지정되어 있으면, "abc" 값을 그대로 이용한다. 탐지대상 문자열에 해당하는 pcre의 범위는 pcre를 이용해 생성할 수 있는 부분 문자열로 변환한 후, 생성된 부분 문자열을 이용하여 범위로 지정한다. pcre가 '.', '+', '*', '[]' 등과 같이 무한대의 부분 문자열을 생성하는 문법을 가지고 있을 경우에는 미리 설정된 개수의 부분 문자열을 생성하여 콘텐츠와 동일하게 범위를 산정한다. 예를 들어, 탐지규칙에 pcre:"/a+bc/"가 있다면, content:"abc", content:"aabc", content:"abbc", content:"acbc", ... 의 형태로 부분 문자열을 생성한다.
이와 같이, 부분 문자열을 생성하는 방식은 알파벳 순서, 알파벳 역순서, 임의의 부분 문자열 순서 등 필요에 따라 생성할 수 있다. 또한, 생성하는 부분 문자열의 개수는 기본적으로 10,000개를 선정할 수 있지만, 시스템의 성능에 따라 사용자가 선택적으로 지정한다.
정규화부(200)에서 일정한 형대로 변형된 탐지규칙들 즉, 정규화된 탐지규칙들 각각은 도 3과 같다.
정규화된 탐지규칙은 탐지규칙 아이디(ID), 구분자, 탐지 문자열 형태로 기술된다.
도 3을 참고하면, 123은 탐지규칙을 유일하게 구분하는 아이디이다. c는 탐지규칙 옵션의 콘텐츠를 의미하며 큰따옴표("")로 감싼 형태로 표현된다. p는 탐지규칙 옵션의 pcre를 의미하며 탐지규칙에 기술된 형태 그대로 사용한다.
탐지규칙 헤더와 탐지규칙 옵션 각각에 해당하는 범위를 계산하는 경우에는 탐지규칙의 p에 해당하는 값을 모두 문자열로 변환한다. P에 해당하는 값을 문자열로 변환하는 형태는 도 4와 같다. 이때, pcre가 생성하는 부분 문자열의 개수가 무한대이면, 기본적으로 10,000개만 변환한다. 필요시 사용자가 지정한 개수만큼 변환한다.
도 4를 참고하면, 탐지규칙이 125, p, /a?d/인 경우에는 탐지규칙의 옵션이 pcre를 의미하므로, p에 해당하는 값을 모두 문자열 즉, 125, c, "d" 또는 125, c, "ad"와 같이 변환한다. 또한, 탐지규칙이 126, p, /http[s]/인 경우에는 탐지규칙의 옵션이 pcre를 의미하므로, p에 해당하는 값을 모두 문자열 즉, 126, c, "http" 또는 126, c, "https"와 같이 변환한다.
본 발명의 실시예에 따른 침입탐지규칙 간의 유사도 측정 장치는 정규화된 탐지규칙들간의 포함관계를 판단하고, 판단한 결과를 토대로 탐지규칙간의 유사도를 측정할 수 있다. 여기서, 포함관계를 판단하는 방법은 변환 후 탐지규칙에 대해서 변환 전 탐지규칙과 포함관계를 판단한다. 단, 동일한 탐지규칙 아이디(ID)은 제외한다.
따라서, 각 항목은 다음과 같은 조합으로 탑지규칙의 옵션을 비교한다. 도 4에서 탐지규칙 아이디가 123인 경우, 123을 제외한 나머지 124, 125, 126, 127, 128과 포함관계를 계산한다.
탐지규칙 옵션의 문자열 간의 포함 여부를 판단하는 방법은 탐지규칙의 콘텐츠를 정규표현 검색의 값으로 이용하여 다른 탐지규칙의 콘텐츠가 검색되는가를 확인한다.
예를 들어, 도 4에서의 123 규칙과 126 규칙간의 포함관계를 판단하는 코드는 도 5와 같다. 여기서, 코드는 perl을 이용한다. 포함관계를 판단한 결과, 123이 126을 포함하는 결과를 도출할 수 있다. 즉, 123 ⊇ 126 인 관계이다.
탐지규칙 옵션의 콘텐츠에는 16 진수 값(Hex 값)이 문자열에 포함된 경우가 있다. 이와 같은 경우에는 문자열과 문자열의 비교(content-content의 비교)는 모든 문자열을 16 진수 값으로 변환한 후 비교해야 한다. 또한, 문자열과 정규표현식의 비교(content-pcre의 비교)는 문자열에 포함된 16 진수 값을 모두 문자열(10 진수 값)로 변환한 후 비교한다. 예를 들어, 16진수 |20|을 포함하는 abc|20|과 공백문자를 가진 "abc "의 포함관계를 판단하기 위해서는 도 6과 같은 코드를 사용한다.
도 6을 참고하면, "abc|20|"는 |41 42 43 20|으로 변환하고, "abc "는 /41 42 43 20/으로 변환한다. 여기서, 16진수 사이의 공백은 없어도 된다.
탐지규칙 옵션의 콘텐츠에는 16 진수 값(Hex 값)이 문자열에 포함하고, 문자열과 정규표현식의 비교일 경우에는 콘텐츠의 16진수 값을 모두 문자값으로 변환한 후, 정규표현식과 포함관계를 계산해야 한다.
관계 연산부(400)는 구분부(300)에서 구분한 탐지규칙 헤더와 탐지규칙 옵션의 포함관계를 판단한다.
구체적으로, 관계 연산부(400)는 탐지규칙 헤더의 포함관계를 판단한다. 이때, 관계 연산부(400)는 이전에 구분된 탐지규칙 헤더의 각 항목의 범위를 비교하여 산출한다. 필요 시 항목의 일부분만 비교한다.
도 7을 참고하면, 탐지규칙 R1과 탐지규칙 R2의 경우에는 R1 ⊆ R2와 같은 포함관계를 가지는 것으로 판단한다.
다음, 관계 연산부(400)는 탐지규칙 옵션의 포함관계를 판단한다. 이때, 관계 연산부(400)는 탐지규칙 옵션이 포함하는 콘텐츠(content), pcre의 포함관계 판단과, 탐지규칙 옵션에 포함된 세부 옵션 항목의 포함관계를 판단한다.
탐지규칙 옵션에 포함된 세부 옵션 항목의 포함관계를 판단하는 방법은 구분부(300)에서 구분된 각 세부 옵션 항목의 범위를 비교하여 포함관계를 판단한다. 필요 시 항목의 일부분만을 비교하고, 비교시 항목에 따라 가중치를 두어 계산할 수 있다.
탐지규칙 옵션에 포함된 콘텐츠(content), pcre의 포함관계 판단하는 방법은 구분부(300)에서 생성한 부분 문자열을 이용하여 포함관계를 판단한다. 여기서, 포함관계를 판단한는 것은 하나의 탐지규칙의 콘텐츠 값을 정규표현식의 값으로 이용하여, 다른 탐지규칙의 콘텐츠 값이 검색되는가를 이용하여 판단한다.
도 8을 참고하면, 탐지규칙 R1과 탐지규칙 R2의 경우에는 R2 ⊆ R1와 같은 포함관계를 가지는 것으로 판단한다.
반면에, 도 9를 참고하면, 탐지규칙 R1과 탐지규칙 R2의 경우에는 R1 ⊆ R2와 같은 포함관계를 가지는 것으로 판단한다.
유사도 측정부(500)는 탐지규칙 헤더와 탐지규칙 옵션의 포함관계를 연속된 값으로 표현하고, 이를 토대로 탐지규칙간 유사도를 측정한다.
구체적으로, 유사도 측정부(500)는 탐지규칙 헤더와 탐지규칙 옵션의 포함관계 여부를 탐지규칙 R1과 탐지규칙 R2간의 포함관계없음(0) 또는 포함관계있음(1)로 나타낼 수 있다. 또한, 탐지규칙 R1과 탐지규칙 R2간의 유사도 정도는 0과 1 사이의 실수에 해당하는 포함관계 정도로 표현할 수 있다.
탐지규칙 유사도를 측정하는 방법은 관계 연산부(400)에서 판단한 탐지규칙 헤더와 탐지규칙 옵션의 포함관계를 판단하는 방법에서 비교 항목 대비 일치 항목의 비율로 표현한다. 예를 들어, 각 항목을 비교하여 모든 항목이 포함관계인 경우 즉, 모든 항목이 일치하는 경우 1로 판단한다. 반면에, 모든 항목 중 일부 항목이 일치할 경우 전체 비교 항목 대비 일치하는 일부 항목의 비율 값으로 표현할 수 있다. 이때, 비교 항목별로 가중치를 둘 수 있다.
탐지규칙 헤더의 유사도는 탐지규칙 헤더를 구성하는 각 값을 비교하고, 전체 비교 개수와 비교한 결과가 일치하는 개수의 비율로 표현한다. 예를 들어 비교 개수가 N개이고, 비교한 결과가 일치하는 개수가 M개이면, 탐지규칙 헤더의 유사도는 M/N의 값으로 표현한다.
탐지규칙 옵션의 유사도는 탐지규칙 헤더의 유사도를 측정하는 방법과 유사한다. 탐지규칙 옵션 중 콘텐츠와 콘텐츠간의 비교는 문자열의 거리를 측정하는 알고리즘 예를 들어 Jaro-Winkler 알고리즘을 이용하여 0과 1사이의 값으로 표현할 수 있다.
문자열의 거리를 측정하여 포함관계를 판단할 경우, 두 탐지규칙간의 포함관계는 0과 1사이의 값을 가지게 되며, 이를 이용하여 두 탐지규칙이 얼마나 유사한 가를 판단할 수 있다. 예를 들어, 0.5의 수치는 두 탐지규칙이 50% 정도 비슷한 가를 나타낸다. 마찬가지로 콘텐츠와 pcre 간의 비교 또는 pcre와 pcre 간의 비교도 문자열 거리를 측정할 수 있다.
나머지 탐지규칙 옵션의 수식어(Modifier)는 사전식으로 값을 비교하여 전체 비교 개수와 일치 개수의 비율로 표현한다. 필요한 경우 각 수식어(Modifier)에 대한 가중치를 설정할 수 있다.
다음, 침입탐지규칙 간의 유사도를 측정하는 방법을 도 10을 참조하여 상세하게 설명한다.
도 10은 본 발명의 실시예에 따른 시스템의 침입탐지규칙 간의 유사도를 측정하는 방법을 나타내는 흐름도이다.
먼저, 침입탐지규칙 간의 유사도 측정 장치(이하 "유사도 측정 장치"라고 함)는 침입탐지시스템(Intrusion Detection System, IDS) 별 서로 다른 침입탐지규칙(이하, "탐지규칙"라고도 함)을 포함한다.
도 10을 참고하면, 유사도 측정 장치는 복수개의 탐지규칙을 일정한 형태로 변형하는 정규화 과정을 수행한다(S100). 여기서, 정규화된 탐지규칙은 탐지규칙 아이디(ID), 구분자, 탐지 문자열 형태로 기술된다. 도 3을 참고하면, 123은 탐지규칙을 유일하게 구분하는 아이디이다. c는 탐지규칙 옵션의 콘텐츠를 의미하며 큰따옴표("")로 감싼 형태로 표현된다. p는 탐지규칙 옵션의 pcre를 의미하며 탐지규칙에 기술된 형태 그대로 사용한다.
유사도 측정 장치는 S100 단계와 같이 일정한 형태로 변형된 복수개의 탐지규칙 예를 들어, 제1 탐지규칙과 제2 탐지규칙을 각각 탐지규칙 헤더와 탐지규칙 옵션으로 구분한다(S200). 여기서, 탐지규칙은 도 2와 같이, 탐지규칙 헤더와 탐지규칙 옵션으로 구분될 수 있다.
탐지규칙 헤더의 주요 범위는 동작, 프로토콜, 출발지 아이피, 출발지 포트, 탐지 방향, 목적지 아이피, 목적지 포트를 이용하여 산출한다.
또한, 탐지규칙 옵션의 주요 범위는 탐지 대상 문자열에 해당하는 콘텐츠(content), pcre로 결정한다. 탐지규칙 옵션의 오프셋(offset), 거리(distance), 깊이(depth), within 등과 같은 수정자(Modifier)는 필요시 유사도 산출에 사용할 수 있다. 여기서, 수정자는 해당 값의 존재유무, 값의 범위 등을 사전식으로 비교하여 유사도를 산출하는데 적용된다.
유사도 측정 장치는 S300 단계에서 구분한 제1 탐지규칙의 탐지규칙 헤더와 제2 탐지규칙의 탐지규칙 헤더의 포함관계를 판단한다(S300).
유사도 측정 장치는 S300 단계에서 구분한 제1 탐지규칙의 탐지규칙 옵션과 제2 탐지규칙의 탐지규칙 옵션의 포함관계를 판단한다(S400).
탐지규칙 옵션의 문자열 간의 포함 여부를 판단하는 방법은 탐지규칙의 콘텐츠를 정규표현 검색의 값으로 이용하여 다른 탐지규칙의 콘텐츠가 검색되는가를 확인한다.
예를 들어, 도 4에서의 123 규칙과126 규칙간의 포함관계를 판단하는 코드는 도 5와 같다. 여기서, 코드는 pcre을 이용한다. 포함관계를 판단한 결과, 123이 126을 포함하는 결과를 도출할 수 있다. 즉, 123 ⊇ 126 인 관계이다.
탐지규칙 옵션의 콘텐츠에는 16 진수 값(Hex 값)이 문자열에 포함된 경우가 있다. 이와 같은 경우에는 문자열과 문자열의 비교(content-content의 비교)는 모든 문자열을 16 진수 값으로 변환한 후 비교해야 한다. 또한, 문자열과 정규표현식의 비교(content-pcre의 비교)는 문자열에 포함된 16 진수 값을 모두 문자열(10 진수 값)로 변환한 후 비교한다. 예를 들어, 16진수 |20|을 포함하는 abc|20|과 공백문자를 가진 "abc "의 포함관계를 판단하기 위해서는 도 6과 같은 코드를 사용한다.
도 6을 참고하면, "abc|20|"는 |41 42 43 20|으로 변환하고, "abc "는 /41 42 43 20/으로 변환한다. 여기서, 16진수 사이의 공백은 없어도 된다.
탐지규칙 옵션의 콘텐츠에는 16 진수 값(Hex 값)이 문자열에 포함하고, 문자열과 정규표현식의 비교일 경우에는 콘텐츠의 16진수 값을 모두 문자값으로 변환한 후, 정규표현식과 포함관계를 계산해야 한다.
유사도 측정 장치는 S300 단계 및 S400 단계에서 판단한 탐지규칙 헤더와 탐지규칙 옵션의 포함관계를 연속된 값으로 표현하고, 이를 토대로 탐지규칙간의 유사도를 측정한다(S500).
구체적으로, 유사도 측정 장치는 전체 비교 항목 대비 일치하는 일부 항목의 비율로 탐지규칙 헤더와 탐지규칙 옵션의 포함관계를 나타낸다. 예를 들어, 각 항목을 비교하여 모든 항목이 일치하는 경우 1로 판단한다. 반면에, 모든 항목 중 일부 항목이 일치할 경우 전체 비교 항목 대비 일치 항목의 비율 값으로 표현할 수 있다. 이때, 비교 항목별로 가중치를 둘 수 있다.
탐지규칙 헤더의 유사도는 탐지규칙 헤더를 구성하는 각 값을 비교하고, 전체 비교 개수와 비교한 결과가 일치하는 개수의 비율로 표현한다. 예를 들어 비교 개수가 N개이고, 비교한 결과가 일치하는 개수가 M개이면, 탐지규칙 헤더의 유사도는 M/N의 값으로 표현한다.
탐지규칙 옵션의 유사도는 제1 탐지규칙의 항목과 제2 탐지규칙의 항목을 비교하고, 비교 결과 즉, 전체 비교대상 항목의 개수 대비 일치하는 항목의 개수로 표현한다.
추가적으로, 탐지규칙 옵션 중 콘텐츠와 콘텐츠간의 비교 결과는 문자열의 거리를 측정하는 알고리즘 예를 들어, Jaro-Winkler 알고리즘을 이용하여 0과 1사이의 값으로 표현할 수 있다. 이때, 탐지규칙 옵션 중 Pcre 가 포함된 비교 과정에는 상기 알고리즘을 이용할 수 없다.
이와 같이, 본 발명은 수많은 침입탐지규칙에 대한 유사도 검사를 자동으로 수행하여 침입탐지규칙에 대한 최적화를 수행할 수 있으며, 최적화된 침입탐지규칙을 이용하여 침입탐지시스템의 탐지범위를 향상시킬 수 있다. 또한, 본 발명은 침입탐지규칙에 대한 유사도 검사를 자동으로 수행함으로써, 수동 점검 시 발생 가능한 오류를 제거할 수 있으며, 현실적인 탐지규칙 점검 도구로 활용 가능하다.
이상에서와 같이 도면과 명세서에서 최적의 실시예가 개시되었다. 여기서 특정한 용어들이 사용되었으나, 이는 단지 본 발명을 설명하기 위한 목적에서 사용된 것이지 의미 한정이나 특허청구범위에 기재된 본 발명의 범위를 제한하기 위하여 사용된 것은 아니다. 그러므로, 본 기술 분야의 통상의 지식을 가진자라면 이로부터 다양한 변형 및 균등한 타 실시예가 가능하다는 점을 이해할 것이다. 따라서, 본 발명의 진정한 기술적 보호범위는 첨부된 특허청구범위의 기술적 사상에 의해 정해져야 할 것이다.
100; 저장부
200; 정규화부
300; 구분부
400; 관계 연산부
500; 유사도 측정부

Claims (14)

  1. 유사도 측정 장치 내 저장된 복수개의 탐지규칙을 일정한 형태로 변형하는 단계;
    변형된 복수개의 탐지규칙 중 제1 탐지규칙과 제2 탐지규칙을 각각 탐지규칙 헤더와 탐지규칙 옵션으로 구분하는 단계;
    상기 제1 탐지규칙의 탐지규칙 헤더와 상기 제2 탐지규칙의 탐지규칙 헤더의 포함관계를 판단하는 단계;
    상기 제1 탐지규칙의 탐지규칙 옵션과 상기 제2 탐지규칙의 탐지규칙 옵션의 포함관계를 판단하는 단계; 및
    탐지규칙 헤더의 포함관계와 탐지규칙 옵션의 포함관계를 토대로 탐지규칙 간의 유사도를 측정하는 단계
    를 포함하는 침입탐지규칙 간의 유사도 측정 방법.
  2. 청구항 1에 있어서,
    상기 탐지규칙 간의 유사도를 측정하는 단계는
    상기 제1 탐지규칙의 탐지규칙 헤더를 구성하는 적어도 하나의 구성값과 상기 제2 탐지규칙의 탐지규칙 헤더를 구성하는 적어도 하나의 구성값을 비교하고, 총 비교 개수와 구성값이 일치하는 개수의 비율을 이용하여 상기 탐지규칙 간의 유사도를 측정하는 것을 특징으로 하는 침입탐지규칙 간의 유사도 측정 방법.
  3. 청구항 1에 있어서,
    상기 탐지규칙 간의 유사도를 측정하는 단계는
    상기 제1 탐지규칙의 탐지규칙 옵션을 구성하는 적어도 하나의 구성값과 상기 제2 탐지규칙의 탐지규칙 옵션을 구성하는 적어도 하나의 구성값을 비교하고, 총 비교 개수와 구성값이 일치하는 개수의 비율을 이용하여 상기 탐지규칙 간의 유사도를 측정하는 것을 특징으로 하는 침입탐지규칙 간의 유사도 측정 방법.
  4. 청구항 3에 있어서,
    상기 제1 탐지규칙과 상기 제2 탐지규칙 각각의 옵션은 콘텐츠와 수식어를 포함하는 것을 특징으로 하는 침입탐지규칙 간의 유사도 측정 방법.
  5. 청구항 1에 있어서,
    상기 탐지규칙 헤더의 범위는 동작, 프로토콜, 출발지 아이피, 출발지 포트, 탐지 방향, 목적지 아이피, 목적지 포트를 이용하여 산출하는 것을 특징으로 하는 침입탐지규칙 간의 유사도 측정 방법.
  6. 청구항 1에 있어서,
    상기 탐지규칙 옵션의 범위는 탐지대상 문자열에 해당하는 콘텐츠와 정규표현식으로 결정하는 것을 특징으로 하는 침입탐지규칙 간의 유사도 측정 방법.
  7. 복수개의 탐지규칙을 일정한 형태로 변형하는 정규화부;
    변형된 복수개의 탐지규칙 중 제1 탐지규칙과 제2 탐지규칙을 각각 탐지규칙 헤더와 탐지규칙 옵션으로 구분하는 구분부;
    상기 제1 탐지규칙의 탐지규칙 헤더와 상기 제2 탐지규칙의 탐지규칙 헤더의 포함관계를 판단하고, 상기 제1 탐지규칙의 탐지규칙 옵션과 상기 제2 탐지규칙의 탐지규칙 옵션의 포함관계를 판단하는 관계 연산부; 및
    탐지규칙 헤더의 포함관계와 탐지규칙 옵션의 포함관계를 토대로 탐지규칙 간의 유사도를 측정하는 유사도 측정부
    를 포함하는 침입탐지규칙 간의 유사도 측정 장치.
  8. 청구항 7에 있어서,
    상기 유사도 측정부는
    상기 제1 탐지규칙의 탐지규칙 헤더를 구성하는 적어도 하나의 구성값과 상기 제2 탐지규칙의 탐지규칙 헤더를 구성하는 적어도 하나의 구성값을 비교하고, 총 비교 개수와 구성값이 일치하는 개수의 비율을 이용하여 상기 탐지규칙 간의 유사도를 측정하는 것을 특징으로 하는 침입탐지규칙 간의 유사도 측정 장치.
  9. 청구항 7에 있어서,
    상기 유사도 측정부는
    상기 제1 탐지규칙의 탐지규칙 옵션을 구성하는 적어도 하나의 구성값과 상기 제2 탐지규칙의 탐지규칙 옵션을 구성하는 적어도 하나의 구성값을 비교하고,
    총 비교 개수와 구성값이 일치하는 개수의 비율을 이용하여 상기 탐지규칙 간의 유사도를 측정하는 것을 특징으로 하는 침입탐지규칙 간의 유사도 측정 장치.
  10. 청구항 9에 있어서,
    상기 제1 탐지규칙과 상기 제2 탐지규칙 각각의 옵션은 콘텐츠와 수식어를 포함하는 것을 특징으로 하는 침입탐지규칙 간의 유사도 측정 장치.
  11. 청구항 7에 있어서,
    상기 탐지규칙 헤더의 범위는 동작, 프로토콜, 출발지 아이피, 출발지 포트, 탐지 방향, 목적지 아이피, 목적지 포트를 이용하여 산출하는 것을 특징으로 하는 침입탐지규칙 간의 유사도 측정 장치.
  12. 청구항 7에 있어서,
    상기 탐지규칙 옵션의 범위는 탐지대상 문자열에 해당하는 콘텐츠와 정규표현식으로 결정하는 것을 특징으로 하는 침입탐지규칙 간의 유사도 측정 장치.
  13. 청구항 7에 있어서,
    상기 유사도 측정부는
    상기 탐지규칙 옵션의 구성값 중 수식어를 사전식으로 값을 비교하여 전체 비교 개수와 일치 개수의 비율로 표현하는 것을 특징으로 하는 침입탐지규칙 간의 유사도 측정 장치.
  14. 청구항 13에 있어서,
    상기 유사도 측정부는
    상기 수식어에 대한 가중치를 설정할 수 있는 것을 특징으로 하는 침입탐지규칙 간의 유사도 측정 장치.
KR20130101205A 2013-08-26 2013-08-26 침입탐지규칙 간의 유사도 측정 장치 및 그 방법 KR101414061B1 (ko)

Priority Applications (3)

Application Number Priority Date Filing Date Title
KR20130101205A KR101414061B1 (ko) 2013-08-26 2013-08-26 침입탐지규칙 간의 유사도 측정 장치 및 그 방법
US14/909,580 US20160197957A1 (en) 2013-08-26 2014-07-14 Apparatus for measuring similarity between intrusion detection rules and method therefor
PCT/KR2014/006318 WO2015030363A1 (ko) 2013-08-26 2014-07-14 침입탐지규칙 간의 유사도 측정 장치 및 그 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR20130101205A KR101414061B1 (ko) 2013-08-26 2013-08-26 침입탐지규칙 간의 유사도 측정 장치 및 그 방법

Publications (1)

Publication Number Publication Date
KR101414061B1 true KR101414061B1 (ko) 2014-07-04

Family

ID=51740871

Family Applications (1)

Application Number Title Priority Date Filing Date
KR20130101205A KR101414061B1 (ko) 2013-08-26 2013-08-26 침입탐지규칙 간의 유사도 측정 장치 및 그 방법

Country Status (3)

Country Link
US (1) US20160197957A1 (ko)
KR (1) KR101414061B1 (ko)
WO (1) WO2015030363A1 (ko)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20170089324A (ko) * 2016-01-26 2017-08-03 에스케이텔레콤 주식회사 시스템 이상 탐지 장치 및 방법
KR102125463B1 (ko) * 2019-08-12 2020-06-23 지니언스(주) 단말의 식별 및 분류를 위한 데이터 제공 장치 및 방법
KR102125461B1 (ko) * 2019-08-12 2020-06-23 지니언스(주) 단말의 식별 및 분류를 위한 데이터 처리 장치 및 방법
KR20240002503A (ko) 2022-06-29 2024-01-05 인하대학교 산학협력단 부대 환경의 유사율을 반영한 경계 시스템의 연합학습 방법 및 시스템

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10735438B2 (en) * 2016-01-06 2020-08-04 New York University System, method and computer-accessible medium for network intrusion detection
KR20180070247A (ko) * 2016-12-16 2018-06-26 주식회사 페타바이코리아 네트워크 침입 탐지 규칙을 생성하는 방법 및 장치

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5621889A (en) 1993-06-09 1997-04-15 Alcatel Alsthom Compagnie Generale D'electricite Facility for detecting intruders and suspect callers in a computer installation and a security system including such a facility
KR100459767B1 (ko) 2002-06-29 2004-12-03 한국전자통신연구원 하이브리드 신경망을 이용한 침입 탐지 시스템 및 그 침입탐지 방법
US20060072541A1 (en) 2004-09-28 2006-04-06 Vivian Pecus Network management system & method
KR20130081140A (ko) * 2012-01-06 2013-07-16 한남대학교 산학협력단 패턴 매칭을 통한 네트워크 침입 탐지 장치

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040193943A1 (en) * 2003-02-13 2004-09-30 Robert Angelino Multiparameter network fault detection system using probabilistic and aggregation analysis
US8347375B2 (en) * 2003-10-03 2013-01-01 Enterasys Networks, Inc. System and method for dynamic distribution of intrusion signatures
US7685637B2 (en) * 2004-06-14 2010-03-23 Lionic Corporation System security approaches using sub-expression automata
US7596809B2 (en) * 2004-06-14 2009-09-29 Lionic Corporation System security approaches using multiple processing units
US20060168329A1 (en) * 2004-11-30 2006-07-27 Sensory Networks, Inc. Apparatus and method for acceleration of electronic message processing through pre-filtering
KR100833488B1 (ko) * 2005-11-25 2008-05-29 한국전자통신연구원 침해 규칙 저장 방법 및 장치
WO2007103397A2 (en) * 2006-03-07 2007-09-13 The Regents Of The University Of California Pattern matching technique for high throughput network processing
US20070289013A1 (en) * 2006-06-08 2007-12-13 Keng Leng Albert Lim Method and system for anomaly detection using a collective set of unsupervised machine-learning algorithms
KR100772523B1 (ko) * 2006-08-01 2007-11-01 한국전자통신연구원 패턴을 이용하는 침입 탐지 장치 및 그 방법
US20090125470A1 (en) * 2007-11-09 2009-05-14 Juniper Networks, Inc. System and Method for Managing Access Control Lists
US8321958B1 (en) * 2008-07-30 2012-11-27 Next It Corporation Detecting presence of a subject string in a target string and security event qualification based on prior behavior by an end user of a computer system

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5621889A (en) 1993-06-09 1997-04-15 Alcatel Alsthom Compagnie Generale D'electricite Facility for detecting intruders and suspect callers in a computer installation and a security system including such a facility
KR100459767B1 (ko) 2002-06-29 2004-12-03 한국전자통신연구원 하이브리드 신경망을 이용한 침입 탐지 시스템 및 그 침입탐지 방법
US20060072541A1 (en) 2004-09-28 2006-04-06 Vivian Pecus Network management system & method
KR20130081140A (ko) * 2012-01-06 2013-07-16 한남대학교 산학협력단 패턴 매칭을 통한 네트워크 침입 탐지 장치

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20170089324A (ko) * 2016-01-26 2017-08-03 에스케이텔레콤 주식회사 시스템 이상 탐지 장치 및 방법
KR102372329B1 (ko) * 2016-01-26 2022-03-08 에스케이텔레콤 주식회사 시스템 이상 탐지 장치 및 방법
KR102125463B1 (ko) * 2019-08-12 2020-06-23 지니언스(주) 단말의 식별 및 분류를 위한 데이터 제공 장치 및 방법
KR102125461B1 (ko) * 2019-08-12 2020-06-23 지니언스(주) 단말의 식별 및 분류를 위한 데이터 처리 장치 및 방법
KR20240002503A (ko) 2022-06-29 2024-01-05 인하대학교 산학협력단 부대 환경의 유사율을 반영한 경계 시스템의 연합학습 방법 및 시스템

Also Published As

Publication number Publication date
WO2015030363A1 (ko) 2015-03-05
US20160197957A1 (en) 2016-07-07

Similar Documents

Publication Publication Date Title
KR101414061B1 (ko) 침입탐지규칙 간의 유사도 측정 장치 및 그 방법
US20200082083A1 (en) Apparatus and method for verifying malicious code machine learning classification model
CN111290784B (zh) 适用于大规模样本的程序源代码相似度检测方法
CN110505179B (zh) 一种网络异常流量的检测方法及系统
JP5518301B2 (ja) 情報処理装置
US20080263021A1 (en) Methods of object search and recognition
US10169208B1 (en) Similarity scoring of programs
JP6004080B2 (ja) データ処理装置及びデータ処理方法
CN103955518A (zh) 一种检测物谱图与数据库谱图的匹配方法
Epp et al. Anomaly-based web application firewall using http-specific features and one-class svm
WO2018121145A1 (zh) 段落向量化的方法和装置
KR101448550B1 (ko) 트래픽 분류 장치 및 방법
CN112667750A (zh) 一种报文类别的确定、识别方法及装置
CN114553591A (zh) 随机森林模型的训练方法、异常流量检测方法及装置
CN108007912B (zh) 光谱修正分析装置、修正分析方法以及药品真伪判定系统
Yan et al. Principal Component Analysis Based Network Traffic Classification.
WO2023035362A1 (zh) 用于模型训练的污染样本数据的检测方法及装置
KR102081867B1 (ko) 역 색인 구성 방법, 역 색인을 이용한 유사 데이터 검색 방법 및 장치
CN117827952A (zh) 一种数据关联分析方法、装置、设备及介质
CN114372497A (zh) 多模态安全数据分类方法和分类系统
CN114024912A (zh) 一种基于改造chameleon算法的网络流量应用识别分析方法及系统
EP2793145A2 (en) Computer device for minimizing computer resources for database accesses
CN109858713A (zh) 证券分析师预测准确性的评价方法及装置
CN107995239B (zh) 光谱数据优化方法及系统
US20240303979A1 (en) System and method for reducing false positives in object detection frameworks

Legal Events

Date Code Title Description
A201 Request for examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20170406

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20180406

Year of fee payment: 5