The KIPS Transactions:PartC (정보처리학회논문지C)

Korea Information Processing Society (한국정보처리학회)
권호 표지
DOI QR코드

DOI QR Code

Alert Correlation Analysis based on Clustering Technique for IDS

클러스터링 기법을 이용한 침입 탐지 시스템의 경보 데이터 상관관계 분석

  • 신문선 (충북대학교 대학원 전자계산학과) ;
  • 문호성 (가림정보기술) ;
  • 류근호 (충북대학교 전기전자및 컴퓨터공학부) ;
  • 장종수 (한국전자통신연구원)
  • Published : 2003.10.01
Download PDF
⟨ Previous Next ⟩

Abstract

In this paper, we propose an approach to correlate alerts using a clustering analysis of data mining techniques in order to support intrusion detection system. Intrusion detection techniques are still far from perfect. Current intrusion detection systems cannot fully detect novel attacks. However, intrucsion detection techniques are still far from perfect. Current intrusion detection systems cannot fully detect novel attacks or variations of known attacks without generating a large amount of false alerts. In addition, all the current intrusion detection systems focus on low-level attacks or anomalies. Consequently, the intrusion detection systems to underatand the intrusion behind the alerts and take appropriate actions. The clustering analysis groups data objects into clusters such that objects belonging to the same cluster are similar, while those belonging to different ones are dissimilar. As using clustering technique, we can analyze alert data efficiently and extract high-level knowledgy about attacks. Namely, it is possible to classify new type of alert as well as existed. And it helps to understand logical steps and strategies behind series of attacks using sequences of clusters, and can potentially be applied to predict attacks in progress.

이 논문에서는 침입 탐지 시스템의 탐지 효율을 높이기 위해 데이터 마이닝의 클러스터링 기법을 이용하여 경보 데이터를 그룹화하고 그 결과를 이용하여 경보 데이터의 상관 관계를 분석하는 방법을 제안하였다. 즉 클러스터링 기법을 이용하여 경보데이터를 사용자가 원하는 개수의 그룹으로 분류하고, 생성된 경보 데이터 클러스터 모델을 이용하여 새로운 경보 데이터을 분류할 수 있도록 하였다. 또한, 결과 클러스터의 생성 원인이 되는 이전의 경보의 분포 데이터를 저장 관리하여 클러스터 간의 시퀀스를 생성하였고, 생성된 각각의 클러스터 시퀀스를 통합하여 클러스터들의 시퀀스를 추출하여 발생한 경보 이후의 향후 발생 가능한 경보 타입을 예측하기 위한방법을 제공하였다. 이는 과거에 탐지된 공격의 형태 뿐만 아니라 새로운 혹은 변형된 경보의 분류나 분석에도 이용 가능하다. 또한 생성된 클러스터간의 생성 원인의 분석에 의한 클러스터 간의 순차적인 관계의 추출을 통해 사용자가 공격의 순차적 구조나 탐지된 각 공격 이면에 감추어진 전략을 이해하는데 도움을 주며 현재의 경보 이후에 발생 가능한 경보들을 얘측할 수 있다.

Keywords

References

  1. A. Valdes and K. Skinner, 'Probabilistic alert correlation,' In Proceedings of the 4th International Symposium on Recent Advances in Intrusion Detection (RAID 2001), pp. 54-68, 2001
  2. S. Staniford, J. A. Hoagland and J. M. McAlerney, 'Practical automated detection of stealthy portscans,' To appear in Journal of Computer Security, 2000 https://doi.org/10.3233/JCS-2002-101-205
  3. H. Debar and A. Wespi, 'Aggregation and correlation of intrusion-detection alerts,' In Recent Advances in Intrusion Detection, number 2212 in Lecture Notes in Computer Science, pp.85-103, 2001
  4. O. Dain and R. K. Cunningham, 'Fusing a heterogeneous alert stream into scenarios,' In Proceedings of the 2001 ACM Workshop on Data Mining for Security Applications, pp.1-13, Nov., 2001
  5. Fred Cuppens, 'Managing Alerts in a Multi-Intrusion Detection Environment,' In Proceedings of the third International Symposium on Recent Advances in Intrusion Detection (RAID 2000), Toulouse, France, 2000 https://doi.org/10.1109/ACSAC.2001.991518
  6. Periklis Andritsos, 'Data Clustering Techniques,' Qualifying Oral Examination Paper, 2001
  7. Sudipto Guha, Rajeev Rastogi and Kyuseok Shim, 'CURE : An Efficient Clustering Algorithm for Large Databases,' In Proceedings of the International Conference on Management of Data, (SIGMOD), SIGMOD Record, Seattle, WA, USA, 14, ACM Press, Vo1.27(2), pp.73-84, Jun., 1998
  8. Sudipto Guha, Rajeev Rastogi and Kyuseok Shim, 'ROCK : A Robust Clustering Algorithm for Categorical Atributes,' In Proceedings of the 15th International Confererence on Data Engineering, (lCDE), Sydney. Australia, 2326, IEEE Press, pp.512-521. Mar., 1999 https://doi.org/10.1109/ICDE.1999.754967
  9. KDD99 Cup, http://kdd.ics.uci.edu/databases/kddcup99/kddcup99.html, 1999
  10. DARPA 1998 intrusion detection evaluation datasets, http://ideval.ll.mit.edu
  11. D. Curry and H. Debar, 'Intrusion detection message exchange format data model and extensible markup language (xml) document type definition,' Internet Draft, draft-ietf-idwg-idmef-xml-0.3.txt, Feb., 2001
  12. W. Lee, S. J. Stolfo and K. W. Mok, 'A Data Mining Framework for Building Intrusion Detection Models,' In Proceedings of the third International Symposium on Recent Advances in Intrusion Detection (RAID 1999), 1999 https://doi.org/10.1109/SECPRI.1999.766909
  13. W. Lee and S. J. Stolfo, 'Data mining approaches for intrusion detection,' In Proceedings of the 7th USENIX Security Symposium, 1998
  14. Ho Sung Moon, Eun Hee Kim, Moon Sun Shin, Keun Ho Ryu, Jinoh Kim, 'Implementation of Security Policy Server's Alert Analyzer,' ICIS, Aug., 2002
  15. Moon Sun Shin, Ho Sung Moon, Keun Ho Ryu, Ki Young Kim, Jinoh Kim, 'Applying Data Mining Techniques to Analyze Alert Data,' APWeb03, Xian, China, Apr., 2003
  16. Myung Jin Lee, Moon Sun Shin, Ho Sung Moon, Keun Ho Ryu, 'Design and Implementation of Alert Analyzer with Mining Engine, IDEAL03, HongKong, China, Mar., 2003
  17. 박상길, 김진오, 장종수, '보안네트워크 프레임워크에서 이기종의 침입 탐지 시스템 연동을 위한 정보데이터 처리', 제19회 한국정보처리학회 춘계학술발표대회논문집, 제10권 제1호, pp.2169-2172