Learning Method for minimize false positive in IDS

침입탐지시스템에서 긍정적 결함을 최소화하기 위한 학습 방법

  • 정종근 (호남대학교 컴퓨터공학과) ;
  • 김철원 (호남대학교 컴퓨터공학과)
  • Published : 2003.10.01

Abstract

The implementation of abnormal behavior detection IDS is more difficult than the implementation of misuse behavior detection IDS because usage patterns are various. Therefore, most of commercial IDS is misuse behavior detection IDS. However, misuse behavior detection IDS cannot detect system intrusion in case of modified intrusion patterns occurs. In this paper, we apply data mining so as to detect intrusion with only audit data related in intrusion among many audit data. The agent in the distributed IDS can collect log data as well as monitoring target system. False positive should be minimized in order to make detection accuracy high, that is, core of intrusion detection system. So We apply data mining algorithm for prediction of modified intrusion pattern in the level of audit data learning.

시스템에서 사용 패턴의 다양화 때문에 비정상 행위 탐지 IDS를 구현하는 것은 오용탐지 IDS를 구현하는 것보다 많은 어려움이 있다. 따라서 상용화되어 있는 대부분의 IDS는 오용 탐지 방법에 의한 것이다. 그러나 이러한 오용 탐지 방법에 의한 IDS는 변형된 침입 패턴이 발생할 경우 탐지해내 지 못한다는 단점을 가지고 있다. 본 논문에서는 감사데이터간의 침입 관계를 가지고 침입을 탐지하기 위해 데이터 마이닝 기법을 적용한다. 분산되어 있는 IDS에서의 에이전트는 시스템을 감시할뿐만 아니라 로그데이터까지 수집할 수 있다. 침입탐지시스템의 핵심인 탐지정확도를 높이기 위해 긍정적 결함이 최소화 되어야 한다. 따라서 감사데이터 학습단계에서 변형된 침입 패턴을 예측하기 위해서 데이터 마이닝 알고리즘을 적용한다.

Keywords

References

  1. R. Buschkes, M. Borning, and D. Kesdogan, Transaction based Anomaly Detection' Proc.of the Workshop on Intrusion Detection and Network monitoring, USENIX, Apr., 1999
  2. Anup K. Ghosh, 'Learning Program Behavior Profiles for Intrusion Detection', Proc. of the Workshop on Intrusion Detection and Network Monitoring, April., 1999
  3. Samuel I. Schaen, 'Network Auditing: Issues and Recommendations', IEEE 7th Computer Security Applications Conference, pp.66-79, Dec., 1991
  4. T. Lane, 'Filtering technique for rapid user classification', In Proceedings of the AAAI98/ICML98 Joint Workshop on AI Approaches to Time series Analysis, 1998
  5. U. Fayyad, G. Piatetsky-Shapiro and P. Smyth, 'The KDD process of extracting useful knowledge from volumesof data', Communications of the ACM, 39(11):27-34, Nov., 1996 https://doi.org/10.1145/240455.240464
  6. W. Lee, S. J. Stolfo and K. W. Mok, 'Mining Audit data to build Intrusion Detection Models', In proceeding of the 4th International Conference on Knowledge Discovery and Data Mining, New York, NY, Aug., 1998
  7. 정종근, 이윤배, '새로운 침입 패턴을 위한 데이터마이닝 침입탐지시스템 설계', 대한전자공학회 논문지, 제39권 TE편 제1호 pp.77-87, 3, 2002
  8. 한국전자통신연구원, '인터넷보안 기술/ 시장보고서', 12, 2001
  9. Abdelaziz Mounji, Baudouin Le Charlier, Denis Zampunieris and Naji Habra, 'Distributed Audit Trail Analysis', Proc. 2000
  10. P. Proctor, 'Audit Reduction and Misuse Detection in Heterogeneous Environment; Framework and Application', Proc 10th Annual Computer Security Applications Conference, Dec., 1994
  11. Cheri Dowell and Paul Ramstedt. 'The Computer Watch data reduction tool', In Proceedings of the 13th National Computer Security Conference, PP.99-108, Washington DC, Oct., 1990