네트워크 프로세서 기반 고성능 네트워크 침입 탐지 엔진에 관한 연구

조혜영(Hyeyoung Cho),김대영(Daeyoung Kim) 한국정보과학회 2006 정보과학회논문지 : 정보통신 Vol.33 No.2

초고속 인터넷 망이 빠른 속도로 구축이 되고, 네트워크에 대한 해커나 침입자들의 수가 급증함에 따라, 실시간 고속 패킷 처리가 가능한 네트워크 침입 탐지 시스템이 요구되고 있다. 본 논문에서는 일반적으로 소프트웨어 방식으로 구현된 침입 탐지 시스템을 고속의 패킷 처리에 뛰어난 성능을 가지고 있는 네트워크 프로세서를 이용하여 재설계 및 구현하였다. 제한된 자원과 기능을 가지는 다중 처리 프로세서(Multi-processing Processor)로 구성된 네트워크 프로세서에서 고성능 침입 탐지 시스템을 실현하기 위하여, 최적화된 자료구조와 알고리즘을 설계하였다. 그리고 더욱 효율적으로 침입 탐지 엔진을 스케줄링(scheduling)하기 위한 침입 탐지 엔진 할당 기법을 제안하였으며, 구현과 성능 분석을 통하여 제안된 기법의 적절성을 검증하였다. Recently with the explosive growth of Internet applications, the attacks of hackers on network are increasing rapidly and becoming more seriously. Thus information security is emerging as a critical factor in designing a network system and much attention is paid to Network Intrusion Detection System (NIDS), which detects hackers’ attacks on network and handles them properly. However, the performance of current intrusion detection system cannot catch the increasing rate of the Internet speed because most of the NIDSs are implemented by software. In this paper, we propose a new high performance network intrusion using Network Processor. To achieve fast packet processing and dynamic adaptation of intrusion patterns that are continuously added, a new high performance network intrusion detection system using Intel’s network processor, IXP1200, is proposed. Unlike traditional intrusion detection engines, which have been implemented by either software or hardware so far, we design an optimized architecture and algorithms, exploiting the features of network processor. In addition, for more efficient detection engine scheduling, we proposed task allocation methods on multi-processing processors. Through implementation and performance evaluation, we show the proprieties of the proposed approach.

Few-Shot Learning을 사용한 호스트 기반 침입 탐지 모델

박대경 ( Park Daekyeong ),신동일 ( Shin Dongil ),신동규 ( Shin Dongkyoo ),김상수 ( Kim Sangsoo ) 한국정보처리학회 2021 정보처리학회논문지. 소프트웨어 및 데이터 공학 Vol.10 No.7

현재 사이버 공격이 더욱 지능화됨에 따라 기존의 침입 탐지 시스템(Intrusion Detection System)은 저장된 패턴에서 벗어난 지능형 공격을 탐지하기 어렵다. 이를 해결하려는 방법으로, 데이터 학습을 통해 지능형 공격의 패턴을 분석하는 딥러닝(Deep Learning) 기반의 침입 탐지 시스템 모델이 등장했다. 침입 탐지 시스템은 설치 위치에 따라 호스트 기반과 네트워크 기반으로 구분된다. 호스트 기반 침입 탐지 시스템은 네트워크 기반 침입 탐지 시스템과 달리 시스템 내부와 외부를 전체적으로 관찰해야 하는 단점이 있다. 하지만 네트워크 기반 침입 탐지 시스템에서 탐지할 수 없는 침입을 탐지할 수 있는 장점이 있다. 따라서, 본 연구에서는 호스트 기반의 침입 탐지 시스템에 관한 연구를 수행했다. 호스트 기반의 침입 탐지 시스템 모델의 성능을 평가하고 개선하기 위해서 2018년에 공개된 호스트 기반 LID-DS(Leipzig Intrusion Detection-Data Set)를 사용했다. 해당 데이터 세트를 통한 모델의 성능 평가에 있어서 각 데이터에 대한 유사성을 확인하여 정상 데이터인지 비정상 데이터인지 식별하기 위해 1차원 벡터 데이터를 3차원 이미지 데이터로 변환하여 재구성했다. 또한, 딥러닝 모델은 새로운 사이버 공격 방법이 발견될 때마다 학습을 다시해야 한다는 단점이 있다. 즉, 데이터의 양이 많을수록 학습하는 시간이 오래 걸리기 때문에 효율적이지 못하다. 이를 해결하기 위해 본 논문에서는 적은 양의 데이터를 학습하여 우수한 성능을 보이는 Few-Shot Learning 기법을 사용하기 위해 Siamese-CNN(Siamese Convolutional Neural Network)을 제안한다. Siamese-CNN은 이미지로 변환한 각 사이버 공격의 샘플에 대한 유사성 점수에 의해 같은 유형의 공격인지 아닌지 판단한다. 정확성은 Few-Shot Learning 기법을 사용하여 정확성을 계산했으며, Siamese-CNN의 성능을 확인하기 위해 Vanilla-CNN(Vanilla Convolutional Neural Network)과 Siamese-CNN의 성능을 비교했다. Accuracy, Precision, Recall 및 F1-Score 지표를 측정한 결과, Vanilla-CNN 모델보다 본 연구에서 제안한 Siamese-CNN 모델의 Recall이 약 6% 증가한 것을 확인했다. As the current cyber attacks become more intelligent, the existing Intrusion Detection System is difficult for detecting intelligent attacks that deviate from the existing stored patterns. In an attempt to solve this, a model of a deep learning-based intrusion detection system that analyzes the pattern of intelligent attacks through data learning has emerged. Intrusion detection systems are divided into host-based and network-based depending on the installation location. Unlike network-based intrusion detection systems, host-based intrusion detection systems have the disadvantage of having to observe the inside and outside of the system as a whole. However, it has the advantage of being able to detect intrusions that cannot be detected by a network-based intrusion detection system. Therefore, in this study, we conducted a study on a host-based intrusion detection system. In order to evaluate and improve the performance of the host-based intrusion detection system model, we used the host-based Leipzig Intrusion Detection-Data Set (LID-DS) published in 2018. In the performance evaluation of the model using that data set, in order to confirm the similarity of each data and reconstructed to identify whether it is normal data or abnormal data, 1D vector data is converted to 3D image data. Also, the deep learning model has the drawback of having to re-learn every time a new cyber attack method is seen. In other words, it is not efficient because it takes a long time to learn a large amount of data. To solve this problem, this paper proposes the Siamese Convolutional Neural Network (Siamese-CNN) to use the Few-Shot Learning method that shows excellent performance by learning the little amount of data. Siamese-CNN determines whether the attacks are of the same type by the similarity score of each sample of cyber attacks converted into images. The accuracy was calculated using Few-Shot Learning technique, and the performance of Vanilla Convolutional Neural Network (Vanilla-CNN) and Siamese-CNN was compared to confirm the performance of Siamese-CNN. As a result of measuring Accuracy, Precision, Recall and F1-Score index, it was confirmed that the recall of the Siamese-CNN model proposed in this study was increased by about 6% from the Vanilla-CNN model.

실시간 네트워크 침입탐지 시스템을 위한 아웃라이어 클러스터 검출 기법

장재영 ( Jae-young Chang ),김한준 ( Han-joon Kim ),박종명 ( Jongmyoung Park ) 한국인터넷정보학회 2007 인터넷정보학회논문지 Vol.8 No.6

최근의 네트워크 침입탐지 시스템은 기존의 시그너처(또는 패턴) 기반 탐지 기법에 비정상행위 탐지 기법이 새롭게 결합되면서 더욱 발전되고 있다. 일반적으로 시그너처 기반 침입 탐지 시스템들은 기계학습 알고리즘을 활용함에도 불구하고 사전에 이미 알려진 침입 패턴만을 탐지할 수 있었다. 이상적인 네트워크 침입탐지 시스템을 구축하기 위해서는 침입 패턴이 저장된 시그너처 데이터베이스를 항상 최신의 정보로 유지해야 한다. 따라서 시스템은 유입되는 네트워크 데이터를 모니터링하고 분석하는 과정에서 새로운 공격에 대한 시그너처를 생성할 수 있는 기능이 필요하다. 본 논문에서는 이를 위해 밀도(또는 영향력) 함수를 이용한 새로운 아웃라이어 클러스터 검출 알고리즘을 제안한다. 제안된 알고리즘에서는 네트워크 침입 패턴을 하나의 객체가 아닌 유사 인스턴스들의 집합 형태인 아웃라이어 클러스터로 가정하였다. 본 논문에서는 KDD 1999 Cup 침입탐지 데이터 집합을 이용한 실험을 수행하여, 침입이 자주 발생하는 상황에서 본 논문의 방법이 유클리디언 거리를 이용한 기존의 아웃라이어 탐지 기법에 비해서 좋은 성능을 보임을 증명하였다. Intrusion detection system(IDS) has recently evolved while combining signature-based detection approach with anomaly detection approach. Although signature-based IDS tools have been commonly used by utilizing machine learning algorithms, they only detect network intrusions with already known patterns. Ideal IDS tools should always keep the signature database of your detection system up-to-date. The system needs to generate the signatures to detect new possible attacks while monitoring and analyzing incoming network data. In this paper, we propose a new outlier cluster detection algorithm with density (or influence) function. Our method assumes that an outlier is a kind of cluster with similar instances instead of a single object in the context of network intrusion. Through extensive experiments using KDD 1999 Cup Intrusion Detection dataset, we show that the proposed method outperform the conventional outlier detection method using Euclidean distance function, specially when attacks occurs frequently.

베이지안 네트워크 개선을 통한 탐지율 향상의 IDS 모델

최보민(Bomin Choi),이정식(Jungsik Lee),한명묵(Myung-Mook Han) 한국지능시스템학회 2014 한국지능시스템학회논문지 Vol.24 No.5

최근 보안 분야에서는 네트워크 패킷이나 로그와 같은 네트워크 정보를 수집하고 분석함으로써 네트워크 위협에 대응할 수 있는 침입탐지 시스템에 대한 연구를 활발히 진행되고 있다. 특히, 베이지안 네트워크는 주어진 몇 몇 자료만으로도 정확도 높은 침입에 대한 추론이 가능한 이점으로 이를 이용한 침입탐지 시스템의 모델링 기법들이 이전에도 진행되어 왔다. 그러나 이전 연구들에서는 네트워크 패킷간의 복잡성 문제와 이용되는 패킷 데이터의 연속성 문제를 반영하지 못하고 있기 때문에 높은 탐지정확도 산출에 한계가 있다. 따라서 본 논문에서는 이전 모델들이 갖는 문제들의 개선을 통하여 탐지율을 향상시키기 위해 K-means 클러스터링 기반의 두 가지 방법론을 제안한다. 첫 번째로는 K-means 클러스터링 기반의 정교한 노드구간 범위를 설정방법을 제안하여 연속성 데이터 처리 문제를 개선할 수 있다. 또한 두 번째로는 K-means 클러스터링 기반으로 산출된 가중치를 학습에 적용하여 보다 견고한 CPT를 산출하여 탐지성능을 향상 시킬 수 있다. 제안하는 방법론들의 성능을 입증하기 위하여 방법론 모두를 적용한 K_WTAN_EM에 대한 탐지율을 이전 모델들과 비교 실험을 수행하였다. 실험 결과 제안하는 모델의 탐지율이 이전의 순수베이지안 네트워크기반(NBN) 모델 보다는 약 7.78%의 향상도를 보였고 트리확장 수수베이지안 네트워크(TAN) 모델 보다는 약 5.24%의 향상도를 산출하여 제안하는 방법의 우수성을 입증하였다. In recent days, a study of the intrusion detection system collecting and analyzing network data, packet or logs, has been actively performed to response the network threats in computer security fields. In particular, Bayesian network has advantage of the inference functionality which can infer with only some of provided data, so studies of the intrusion system based on Bayesian network have been conducted in the prior. However, there were some limitations to calculate high detection performance because it didn`t consider the problems as like complexity of the relation among network packets or continuous input data processing. Therefore, in this paper we proposed two methodologies based on K-menas clustering to improve detection rate by reforming the problems of prior models. At first, it can be improved by sophisticatedly setting interval range of nodes based on K-means clustering. And for the second, it can be improved by calculating robust CPT through applying weighted-leaning based on K-means clustering, too. We conducted the experiments to prove performance of our proposed methodologies by comparing K_WTAN_EM applied to proposed two methodologies with prior models. As the results of experiment, the detection rate of proposed model is higher about 7.78% than existing NBN(Naive Bayesian Network) IDS model, and is higher about 5.24% TAN(Tree Augmented Bayesian Network) IDS mode and then we could prove excellence our proposing ideas.

LDA를 활용한 네트워크 위협 시그니처 추출기법

이성일 ( Sungil Lee ),이수철 ( Suchul Lee ),이준락 ( Jun-rak Lee ),염흥열 ( Heung-youl Youm ) 한국인터넷정보학회 2018 인터넷정보학회논문지 Vol.19 No.1

인터넷 웜, 컴퓨터 바이러스 등 네트워크에 위협적인 악성트래픽이 증가하고 있다. 특히 최근에는 지능형 지속 위협 공격 (APT: Advanced Persistent Threat), 랜섬웨어 등 수법이 점차 고도화되고 그 복잡성(Complexity)이 증대되고 있다. 지난 몇 년간 침입탐지시스템(IDS: Intrusion Detection System)은 네트워크 보안 솔루션으로서 중추적 역할을 수행해왔다. 침입탐지시스템의 효과적 활용을 위해서는 탐지규칙(Rule)을 적절히 작성하여야 한다. 탐지규칙은 탐지하고자 하는 악성트래픽의 핵심 시그니처를 포함하며, 시그니처를 포함한 악성트래픽이 침입탐지시스템을 통과할 경우 해당 악성트래픽을 탐지하도록 한다. 그러나 악성트래픽의 핵심 시그니처를 찾는 일은 쉽지 않다. 먼저 악성트래픽에 대한 분석이 선행되어야 하며, 분석결과를 바탕으로 해당 악성트래픽에서만 발견되는 비트패턴을 시그니처로 사용해야 한다. 만약 정상 트래픽에서 흔히 발견되는 비트패턴을 시그니처로 사용하면 수많은 오탐(誤探)을 발생시키게 될 것이다. 본고에서는 네트워크 트래픽을 분석하여 핵심 시그니처를 추출하는 기법을 제안한다. 제안 기법은 LDA(Latent Dirichlet Allocation) 알고리즘을 활용하여, 어떠한 네트워크 트래픽에 포함된 시그니처가 해당 트래픽을 얼마나 대표하는지를 정량화한다. 대표성이 높은 시그니처는 해당 네트워크 트래픽을 탐지할 수 있는 침입탐지시스템의 탐지규칙으로 활용될 수 있다. Network threats such as Internet worms and computer viruses have been significantly increasing. In particular, APTs(Advanced Persistent Threats) and ransomwares become clever and complex. IDSes(Intrusion Detection Systems) have performed a key role as information security solutions during last few decades. To use an IDS effectively, IDS rules must be written properly. An IDS rule includes a key signature and is incorporated into an IDS. If so, the network threat containing the signature can be detected by the IDS while it is passing through the IDS. However, it is challenging to find a key signature for a specific network threat. We first need to analyze a network threat rigorously, and write a proper IDS rule based on the analysis result. If we use a signature that is common to benign and/or normal network traffic, we will observe a lot of false alarms. In this paper, we propose a scheme that analyzes a network threat and extracts key signatures corresponding to the threat. Specifically, our proposed scheme quantifies the degree of correspondence between a network threat and a signature using the LDA(Latent Dirichlet Allocation) algorithm. Obviously, a signature that has significant correspondence to the network threat can be utilized as an IDS rule for detection of the threat.

Snort 기반 탐지 규칙의 유사성 분석 프로그램 개발 및 활용

조호성,오성일,이인복,박희진,나중채 한국차세대컴퓨팅학회 2015 한국차세대컴퓨팅학회 논문지 Vol.11 No.1

네트워크를 이용한 공격이 점점 다양해지고 정밀해지면서 침입 탐지 시스템에서 사용하는 탐지규칙도 많아지고 복 잡해지고 있다. 하지만 탐지규칙을 효율적으로 통합하고 관리하기가 어려워 중복되거나 유사한 탐지규칙의 수가 급 속히 늘어나고 있으며, 이는 침입 탐지 시스템의 효율성을 크게 저하하는 원인이 되고 있다. 본 논문에서는 탐지규 칙의 유사도를 측정하는 프로그램을 개발하고 이를 이용하여 대표적인 침입탐지 시스템인 Snort에서 사용되는 탐 지규칙의 유사성을 분석한다. 유사도 측정 프로그램은 최장 공통부분 문자열 알고리즘과 서열 정렬 알고리즘을 사용 하여 중복되거나 유사한 탐지규칙을 찾는다. 분석 결과, Snort의 탐지규칙 5,843개에서 중복되거나 비슷한 탐지규 칙 1,377개를 찾았고 이들을 유사성에 따라 분류하였다. 또한, 탐지규칙 세 개를 개별적으로 분석하고 개선안을 제 시하였다. Network attacks become more and more diverse and precise, and thus detection rules also become numerous and complicated in network intrusion detection systems. Since, however, the detection rules are difficult to unify and manage efficiently, duplicate or similar rules are increasing. Moreover, these rules reduce the performance of the intrusion detection systems. In this paper, we develop a program for evaluating the similarity of detection rules and analyze, using the program, the similarity of detection rules used in Snort, a representative intrusion detection system. The program finds duplicate or similar rules based on a longest common subsequence algorithm and a sequence alignment algorithm. In our analysis, we found 1,377 duplicate or similar detection rules among 5,843 rules of Snort and classified the duplicate or similar rules according to their similarities. Furthermore, we analyze three rules individually and propose improvements on them.

고성능 침입탐지 및 대응 시스템의 구현 및 성능 평가

김형주,박대철,Kim, Hyeong-Ju,Park, Dae-Chul 한국정보처리학회 2004 정보처리학회논문지 C : 정보통신,정보보안 Vol.11 No.2

최근 정보통신기반이 급속히 발달하고 사용자가 늘어남에 여러가지 사이버 공격이 늘어나고 있다. 침해사고를 예방하고 효과적인 대응방법이 마련된 침입탐지시스템들은 저속 환경에서의 실시간 분석에 적합하도록 설계되고 구현되었기 때문에, 증가하는 트래픽 양을 처리하는데 어려움이 있다. 또한, 기가비트 이더넷(Gigabit Ethernet) 환경과 같은 고속 네트워크 환경이 현실화되므로 대용량의 데이터를 처리할 수 있는 효과적인 보안 분석 기법들이 필요하다. 본 논문에서는 고속 네트워크 환경에 필요한 침입탐지 및 그 대응 방법에 위한 고속 침입탐지 메커니즘 적용 시스템을 제안한다 이는 패킷 헤더 기반의 패턴 매칭 기능과 시스템 커널 영역에서 수행되는 패킷 데이터 기반의 패턴 매칭 기능을 통해서, 고속 네트워크 환경에 적합한 침입탐지 메커니즘을 제안하며, 시스템의 성능을 기존 운용 시스템과 비교 분석함으로써, 제안한 침입탐지 메커니즘이 트래픽 처리성능면에서 최대 20배까지 우수했다. Recently, the growth of information infrastructure is getting fatter and faster. At the same time, the security accidents are increasing together. We have problem that do not handle traffic because we have the Intrusion Detection Systems in low speed environment. In order to overcome this, we need effective security analysis techniques that ran Processed data of high-capacity because high speed network environment. In this paper we proposed the Gigabit Intrusion Detection System for coordinated security function such as intrusion detection, response on the high speed network. We suggested the detection mechanism in high speed network environment that have pattern matching function based packet header and based packet data that is proceeded in system kernel area, we are shown that this mechanism was excellent until maximum 20 times than existing system in traffic processing performance.

전자무역 : 전자무역의 글로벌 네트워크 개방시스템 상호연결 활용에 관한 연구

정분도 ( Boon Do Jeong ),윤봉주 ( Bong Ju Yun ) 한국통상정보학회 2014 통상정보연구 Vol.16 No.1

현재 활용되고 있는 OSI(Open System Interconnection) 체재하의 무역 관련 물류정보화 시스템으로는 항공관제시스템, 항만운영정보시스템, 해운·선원정보시스템, 수출입일괄처리시스템 등이 있는데 이들 시스템들은 우리나라 물류 관련 산업의 운영체계를 보다 편리하고 효율적으로 개선시키는데 많은 부문에 기여하고 있다. 그렇지만 운영 측면에서는 전자문서의 폭발적인 송수신 폭주로 네트워크의 기술적인 문제점들이 적잖게 노출되어 있다. 우리나라가 물류의 정보중심지로 성장하기 위해서는 글로벌 체재속의 IT기술 중 네트워크를 이용한 제어기법들을 충분히 활용하여야 할 때이며 수출입 물류체계를 한층 더 신속 및 정밀화시켜 고도화 단계로 성장시켜야 할 때이다. 따라서 본 논문의 핵심은 OSI 체재하의 전자무역 네트워크의 효율적인 운영을 위하여 부문별 종합 네트워크와 데이터 단위전송의 침입탐지시스템 등의 관리방법 등을 제시하고자 한다. 본 논문에서는 네트워크 기능 배분에 따른 조직과 인력의 조정, 사무의 위임전결 등 내부조직의 합리화 방안과 관련법규의 정비 등은 연구범위에 포함하지 않았다. 그러므로 본 논문은 OSI 체재하의 무역 관련 네트워크를 실무적 관점에서 살펴보고, 향후 해석적 기초를 제시하는데 그 목적을 두었다. A trade logistic informatization system under Open Systems Interconnection (OSI) includes a Port Management Information System, a Maritime Information System, and an Export and Import Batch Processing System. These have made a great contribution in the creation of more convenient and efficient management for the logistics industries in our country. However, this management is exposed to the technological problems of networks due to the explosive use in the sending and receiving of e-documents. For our country to grow as a center for port and logistic information, we should make the best use of the control systems using networks and further advance the export and import logistic systems. Therefore, this study aims to propose management systems for a composite network and an invasion detection system for efficient management of an e-trade network under OSI. Methods to rationalize the internal organizations such as coordination of organizations and human resources according to alloted network functions, commissions and arbitrary decisions, and reorganization of relevant regulations are not discussed here. This study looked at trade network under OSI from the aspect of practical business affairs and presented a basis for further interpretation.

IOT 환경에서의 오토인코더 기반 특징 추출을 이용한 네트워크 침입탐지 시스템

이주화,박기현 한국정보처리학회 2019 정보처리학회논문지. 소프트웨어 및 데이터 공학 Vol.8 No.12

In the Network Intrusion Detection System (NIDS), the function of classification is very important, and detection performance depends on various features. Recently, a lot of research has been carried out on deep learning, but network intrusion detection system experience slowing down problems due to the large volume of traffic and a high dimensional features. Therefore, we do not use deep learning as a classification, but as a preprocessing process for feature extraction and propose a research method from which classifications can be made based on extracted features. A stacked AutoEncoder, which is a representative unsupervised learning of deep learning, is used to extract features and classifications using the Random Forest classification algorithm. Using the data collected in the IOT environment, the performance was more than 99% when normal and attack traffic are classified into multiclass, and the performance and detection rate were superior even when compared with other models such as AE-RF and Single-RF. 네트워크 침입 탐지 시스템(NIDS)에서 분류의 기능은 상당히 중요하며 탐지 성능은 다양한 특징에 따라 달라진다. 최근 딥러닝에 대한 연구가 많이 이루어지고 있으나 네트워크 침입탐지 시스템에서는 많은 수의 트래픽과 고차원의 특징으로 인하여 속도가 느려지는 문제점이 있다. 따라서 딥러닝을 분류에 사용하는 것이 아니라 특징 추출을 위한 전처리 과정으로 사용하며 추출한 특징을 기반으로 분류하는 연구 방법을 제안한다. 딥러닝의 대표적인 비지도 학습인 Stacked AutoEncoder를 사용하여 특징을 추출하고 Random Forest 분류 알고리즘을 사용하여 분류한 결과 분류 성능과 탐지 속도의 향상을 확인하였다. IOT 환경에서 수집한 데이터를 이용하여 정상 및 공격트래픽을 멀티클래스로 분류하였을 때 99% 이상의 성능을 보였으며, AE-RF, Single-RF와 같은 다른 모델과 비교하였을 때도 성능 및 탐지속도가 우수한 것으로 나타났다.

Network Intrusion Detection System Using Feature Extraction Based on AutoEncoder in IOT environment

( Joohwa Lee ),( Keehyun Park ) 한국정보처리학회 2019 정보처리학회논문지. 소프트웨어 및 데이터 공학 Vol.8 No.12

네트워크 침입 탐지 시스템(NIDS)에서 분류의 기능은 상당히 중요하며 탐지 성능은 다양한 특징에 따라 달라진다. 최근 딥러닝에 대한 연구가 많이 이루어지고 있으나 네트워크 침입탐지 시스템에서는 많은 수의 트래픽과 고차원의 특징으로 인하여 속도가 느려지는 문제점이 있다. 따라서 딥러닝을 분류에 사용하는 것이 아니라 특징 추출을 위한 전처리 과정으로 사용하며 추출한 특징을 기반으로 분류하는 연구 방법을 제안한다. 딥러닝의 대표적인 비지도 학습인 Stacked AutoEncoder를 사용하여 특징을 추출하고 Random Forest 분류 알고리즘을 사용하여 분류한 결과분류 성능과 탐지 속도의 향상을 확인하였다. IOT 환경에서 수집한 데이터를 이용하여 정상 및 공격트래픽을 멀티클래스로 분류하였을 때 99%이상의 성능을 보였으며, AE-RF, Single-RF와 같은 다른 모델과 비교하였을 때도 성능 및 탐지속도가 우수한 것으로 나타났다. In the Network Intrusion Detection System (NIDS), the function of classification is very important, and detection performance depends on various features. Recently, a lot of research has been carried out on deep learning, but network intrusion detection system experience slowing down problems due to the large volume of traffic and a high dimensional features. Therefore, we do not use deep learning as a classification, but as a preprocessing process for feature extraction and propose a research method from which classifications can be made based on extracted features. A stacked AutoEncoder, which is a representative unsupervised learning of deep learning, is used to extract features and classifications using the Random Forest classification algorithm. Using the data collected in the IOT environment, the performance was more than 99% when normal and attack traffic are classified into multiclass, and the performance and detection rate were superior even when compared with other models such as AE-RF and Single-RF.