Statistical Analysis Methods For Network Based Intrusion Detection

네트워크 기반의 침입을 탐지하기 위한 통계적 분석 기법

현재 네트워크 기반의 침입 탐지는 대부분 오용 탐지 기법을 사용한다. 하지만 이는 알려지지 않은 침입을 탐지하는 능력이 떨어지는 기법으로서 이를 보완할 수 있는 비정상행위 탐지 기법을 찾는 것이 필요하다. 따라서 수집된 감사 자료로부터 정상행위를 프로파일링하고 침입임을 판정하는데 통계적인 기법을 사용하였다. 수집된 로그로부터 통계적인 방법으로 정상행위를 프로파일링하기 위해 우선 패킷으로부터 수집되는 감사 자료의 통계적인 특성을 대변하는 분포와 파라미터를 추정하고 카이스퀘어 검정법을 사용하여, 감사 자료가 가설하는 이론적인 분포의 특성을 가지고 있다고 판정되면 이를 정상행위의 기준으로 삼는다. 이후에 수집되는 감사자료를 감시하기 위해 추정된 분포와 파라미터를 따르고 있는지의 여부를 Kolmogorov-Smirnov 적합도 검정을 이용하여 판별하고, 이를 벗어나는 경우 침입으로 판정할 수 있도록 한다.