Proceedings of the Korea Contents Association Conference (한국콘텐츠학회:학술대회논문집)
- 2005.11a
- /
- Pages.529-532
- /
- 2005
Intrusion Detection based on Clustering a Data Stream
데이터 스트림 클러스터링을 이용한 침임탐지
- Oh Sang-Hyun (Java Information Tech.) ;
- Kang Jin-Suk (Kunsan National Univ.) ;
- Byun Yung-Cheol (Cheju National Univ.)
- Published : 2005.11.01
Abstract
In anomaly intrusion detection, how to model the normal behavior of activities performed by a user is an important issue. To extract the normal behavior as a profile, conventional data mining techniques are widely applied to a finite audit data set. However, these approaches can only model the static behavior of a user in the audit data set This drawback can be overcome by viewing the continuous activities of a user as an audit data stream. This paper proposes a new clustering algorithm which continuously models a data stream. A set of features is used to represent the characteristics of an activity. For each feature, the clusters of feature values corresponding to activities observed so far in an audit data stream are identified by the proposed clustering algorithm for data streams. As a result, without maintaining any historical activity of a user physically, new activities of the user can be continuously reflected to the on-going result of clustering.
비정상행위 탐지를 위해서는 사용자의 정상적인 행위 모델링이 중요한 이슈가 된다. 이러한 정상적인 행위를 간략한 프로파일로 생성하기 위해서 기존의 데이터 마이닝 기법들은 주로 고정된 데이터 집합을 이용하였다. 하지만 이러한 접근 방법들은 단순히 사용자 행위의 정적인 면만을 모델링 할 수 있다. 이러한 단점을 극복하기 위해서 사용자의 행위를 연속된 데이터 스트림으로 처리해야 한다. 본 논문에서는 데이터 스트림을 모델링하는 새로운 클러스터링 방법을 제안한다. 이를 위해서, 사용자의 행위의 특성을 표현하는 다양한 특징들로 분류한다. 따라서 각 특징에 대해, 제안된 클러스터링 알고리즘을 이용하여 지금까지 관찰된 특징 값들을 기반으로 클러스터 탐색하게 된다. 결과적으로 사용자의 과거 행위들을 유지할 필요 없이 사용자의 새로운 행위를 클러스터링 결과에 연속적으로 반영될 수 있다.
Keywords