Journal of the Korea Institute of Information and Communication Engineering (한국정보통신학회논문지)

The Korea Institute of Information and Commucation Engineering (한국정보통신학회)
권호 표지

A Criterion on Profiling for Anomaly Detection

이상행위 탐지를 위한 프로파일링 기준

  • 조혁현 (여수대학교 정보기술학부) ;
  • 정희택 (여수대학교 정보기술학부) ;
  • 김민수 (전남대학교 컴퓨터정보학부) ;
  • 노봉남 (전남대학교 컴퓨터정보학부)
  • Published : 2003.06.01
Download PDF
⟨ Previous Next ⟩

Abstract

Internet as being generalized, intrusion detection system is needed to protect computer system from intrusions synthetically. We propose a criterion on profiling for intrusion detection system using anomaly detection. We present the cause of false positive on profiling and propose anomaly method to control this. Finally, we propose similarity function to decide whether anomaly action or not for user pattern using pattern database.

인터넷이 일반화되면서, 컴퓨터 시스템을 침입으로부터 효과적이면서 종합적으로 보호하기 위해 침입탐지 시스템이 필요하게 되었다. 본 연구에서는 이상행위 탐지를 기반으로 한 침입 탐지 시스템을 위한, 정상행위 프로파일링 기준을 제시한다. 프로파일링 과정에서 내재하고 있는 과탐지의 원인을 제시하고 이를 제어할 수 있는 침입 탐지 방안을 제안한다. 마지막으로, 사용자의 행위 패턴에 대해 정상행위 패턴 데이터베이스로부터 이상행위 여부를 판단할 수 있는 유사도 함수를 제안한다.

Keywords

References

  1. H Debar, M. Dacier, and A. Wespi, 'Towards a Taxonomy of Intrusion- Detection Systems', Research Report of IBM Research Division, Zurich Research Laboratory, Jan. 1998
  2. R. Heady, G. Luger, A. Maccabe, and M. Servilla, 'The architecture of a network level intrusion detection systems', Tech. Report, Computer Science Dept., Univ. of New Mexico, Aug. 1990
  3. R.G.Bace, Intrusion Detection, MacMillan Tech. Publishing, 2000
  4. Denning, D.E, 'An Intrusion-Detection Model', IEEE Transactions on Software Engineering, Vol.13, pp. 222-232, 1987 https://doi.org/10.1109/TSE.1987.232894
  5. C Kahn, P. A. Porras, S.Staniford-Chen, and B. Tung, 'A Common Intrusion Detection Framework', 1998
  6. A K. Gjosh, J. Wanken and F. Charron, 'Detection Anomalous and Unknown Intrusions Against Programs', In Proc. of the Annual Computer Security Application Conf., Scottsdale, AZ, Dec. 1998
  7. K. L. Fox, R. R. Henning, J. H Reed, and R. Simonian, 'A Neural Network Approach Towards Intrusion Detection', In Proc. of the 13th National Computer Security Conf., pp.125-134, Washington DC, Oct. 1990
  8. J. Frank, 'Artificial Intelligence and Intrusion Detection:Current and Future', In Proc. of the 17th Computer Security Corf., Oct. 1994
  9. S. A. Hofmeyr, 'An Immunological Model of Distributed Detection and its Application to Computer Security', Ph.D. Thesis, Univ. of New Mexico, May 1999
  10. W, Lee and S. J. Stolfo, 'Adaptive Intrusion Detection:a Data Mining Approach', Kluwer Academic Puh, 2000
  11. W, Lee, S. J. Stolfo and K.W. Mok, Algorithms for Mining system audit data, Data Mining, Rough Sets, and Granular Computing, T. Y. Lin, Y. Y. Yao, and L. A. Zadeh (eds), PhysicaVerlag, 2002
  12. W, Lee and S. J. Stolfo,'Data Mining approachs for intrusion detection', In Proc. of the 7th USENIX Security Symposium, San Antonio, TX, Jan. 1998
  13. W, Lee, S. J. Stolfo and K.W. Mok, 'A Data Mining Framework for Building Intrusion Detection Models', In Proc. of the 1999 IEEE Symposium on Security and Privacy, Oakland, CA, May 1999
  14. 오세훈, 이원석, '패킷간 연관 관계를 이용한 네트워크 비정상행위 탐지', 정보보호학회 논문지, 12권 5호, pp. 63-73, 2002
  15. 박정호, 오상현, 이원석, '데이터베이스 시스템에서 연관 규칙 탐사 기법을 이용한 비정상 행위 탐지', 정보처리학회 논문지, Vol. 9, No.6, pp.831-840, 2002 https://doi.org/10.3745/KIPSTC.2002.9C.6.831
  16. H. Mannila and H. Toivonen, 'Discovering generalized episodes using minimal occurrence', In Proc. of the 2nd Intel. Conf. on Knowledge Discovery in Databases and Data Mining, Portland, Oregon, Aug. 1996
  17. R. Agrawal, T. Imielinski and A. Swami, 'Mining association rules between sets of items in large databases', In Proc. of the ACM SIGMOD Conf. on Management of Data, pp. 207-216, 1993
  18. Jung-soo Park, Ming-syan Chen, and P. S. Yu, 'An effective hash-based algorithm for mining association rules', In Proc. of ACM SIGMOD Conf. on Management of Data, pp. 175-186, San Jose, California, May 1995