Journal of KIISE:Information Networking (한국정보과학회논문지:정보통신)

Korean Institute of Information Scientists and Engineers (한국정보과학회)
권호 표지

(Effective Intrusion Detection Integrating Multiple Measure Models)

다중척도 모델의 결합을 이용한 효과적 인 침입탐지

  • 한상준 (연세대학교 컴퓨터과학과) ;
  • 조성배 (연세대학교 컴퓨터과학과)
  • Published : 2003.06.01
Download PDF
⟨ Previous Next ⟩

Abstract

As the information technology grows interests in the intrusion detection system (IDS), which detects unauthorized usage, misuse by a local user and modification of important data, has been raised. In the field of anomaly-based IDS several artificial intelligence techniques such as hidden Markov model (HMM), artificial neural network, statistical techniques and expert systems are used to model network rackets, system call audit data, etc. However, there are undetectable intrusion types for each measure and modeling method because each intrusion type makes anomalies at individual measure. To overcome this drawback of single-measure anomaly detector, this paper proposes a multiple-measure intrusion detection method. We measure normal behavior by systems calls, resource usage and file access events and build up profiles for normal behavior with hidden Markov model, statistical method and rule-base method, which are integrated with a rule-based approach. Experimental results with real data clearly demonstrate the effectiveness of the proposed method that has significantly low false-positive error rate against various types of intrusion.

정보통신기술이 발전함에 따라 내부자의 불법적인 시스템 사용이나 외부 침입자에 의한 중요 정보의 유출 및 조작을 알아내는 침입탐지시스템에 대한 연구가 활발히 이루어지고 있다. 이제까지는 네트워크 패킷, 시스템 호출 감사자료 등의 척도에 은닉 마르코프 모델, 인공 신경망, 통계적 방법 등의 모델링 방법을 적용하는 연구가 이루어졌다. 그러나 사용하는 척도와 모델링 방법에 따라 취약점이 있어 탐지하지 못하는 침입이 많은데 이는 침입의 형태에 따라 흔적을 남기는 척도가 다르기 때문이다. 본 논문에서는 이러한 단일척도 침입탐지시스템의 단점을 보완하기 위해 시스템 호출, 프로세스의 자원점유율, 파일 접근이벤트 등의 세 가지 척도에 대하여 은닉 마르코프 모델, 통계적 방법, 규칙기반 방법을 사용하여 모델링한 후, 그 결과를 규칙기반 방법으로 결합하는 침입탐지 방법을 제안한다. 실험결과 다양한 침입 패턴에 대하여 다중척도 결합방법이 매우 낮은 false-positive 오류율을 보여 그 가능성을 확인할 수 있었다.

Keywords

References

  1. CERTCC-KR, 한국정보보호진흥원, http://www.certcc.or.kr, 2002
  2. H.S. Vaccaro and G.E. Liepins, 'Detection of anomalous computer session activity,' In Proceedings of IEEE Symposium on Research in Security and Privacy, pp. 280-289, 1989 https://doi.org/10.1109/SECPRI.1989.36302
  3. T. F. Lunt, 'A survey of intrusion detection techniques,' Computers & Security, vol. 12, no. 4, pp. 405-418, June 1993 https://doi.org/10.1016/0167-4048(93)90029-5
  4. C. Dowel and P. Ramstedt, 'The computer watch data reduction tool,' In Proceedings of the 13th National Computer Security Conference, pp. 99-108, Washington DC, USA, October 1990
  5. T. Heberlein, G. Dias, K. Levitt, B. Mukherjee, J. Wood, and D. Wolber, 'A network security monitor,' In Proceedings of the 1990 IEEE Symposium on Research in Security and Privacy, pp. 296-304, Los Alamitos, CA, USA, 1990 https://doi.org/10.1109/RISP.1990.63859
  6. S. Staniford-Chen, S. Cheung, R. Crawford, M. Dilger, J. Frank, J. Hoagland, K. Levitt, C. Wee, R. Yip, and D. Zerkle. 'GrIDS-A graph based intrusion detection system for large networks,' In Proceedings of the 19th National Information Systems Security Conference, vol. 1, pp. 361-370, October, 1996
  7. T. F. Lunt, A. Tamaru, F. Gilham, R. Jagannathan, C. Jalali, and P. G. Neuman, 'A real-time intrusion-detection expert system (IDES),' Technical Report Project 6784, CSL, SRI International, Computer Science Laboratory, SRI International, February 1992
  8. Anderson, Lunt, Javits, Tamaru and Valdes, 'Detecting unusual program behavior using the statistical components of NIDES,' NIDES Technical Report, SRI International, May 1995
  9. P. A. Porras and P. G. Neumann, 'EMERALD: Event monitoring enabling responses to anomalous live disturbances,' In Proceedings of the 20th National Information Systems Security Conference, pp. 353-365, Baltimore, Maryland, USA, October 1997
  10. H. Debar, M. Becker and D. Siboni, 'A neural network component for an intrusion detection system,' In Proceedings of 1992 IEEE Computer Society Symposium on Research in Security and Privacy, pp. 240-250, Oakland, CA, May 1992 https://doi.org/10.1109/RISP.1992.213257
  11. C. Warrender, S. Forrest and B. Pearlmutter, 'Detecting intrusion using calls: Alternative data models,' In Proceedings of IEEE Symposium on Security and Privacy, pp. 133-145, May 1999
  12. 박혁장, 조성배, '권한이동 모델링을 통한 은닉 마르코프 모델 기반 침입탐지 시스템의 성능 향상', 정보과학회 논문지: 정보통신, 제29권 제6호, pp. 674-684, 2002
  13. 최종호, 조성배, '침임탐지 시스템을 위한 은닉 마르코프 모델의 적용', 정보과학회 논문지: 소프트웨어 및 응용, 제28권, 제6호, pp. 429-438, June 2001
  14. L.R. Rabiner, 'A tutorial on hidden Markov models and selected applications in speech recognition,' Proceedings of the IEEE, vol. 77, no. 2, pp. 257-286, 1989 https://doi.org/10.1109/5.18626
  15. J. Choy and S.-B. Cho, 'Intrusion detection by combining multiple hidden Markov moedls,' Lecture Notes in Artificial Intelligence, vol. 1886, pp. 829, 2000
  16. H.S. Javitz and A. Valdes, 'The SRI IDES statistical anomaly detector,' NIDES Technical Report, SRI International, 1991
  17. A.G. Amoroso, Fundamentals of Computer Security Technology, PTR Prentice Hall, New Jersy, 1994
  18. N. A. Macmillan and C. D. Creelman, Detection Theory : A User's Guide, Cambridge University Press, Cambridge, 1991