The KIPS Transactions:PartC (정보처리학회논문지C)

Korea Information Processing Society (한국정보처리학회)
권호 표지
DOI QR코드

DOI QR Code

Design and Implementation of the Intrusion Detection Pattern Algorithm Based on Data Mining

데이터 마이닝 기반 침입탐지 패턴 알고리즘의 설계 및 구현

  • 이상훈 (국방대학교 전산정보학과) ;
  • 소진 (공군 정비창)
  • Published : 2003.10.01
Download PDF
⟨ Previous Next ⟩

Abstract

In this paper, we analyze the associated rule based deductive algorithm which creates the rules automatically for intrusion detection from the vast packet data. Based on the result, we also suggest the deductive algorithm which creates the rules of intrusion pattern fast in order to apply the intrusion detection systems. The deductive algorithm proposed is designed suitable to the concept of clustering which classifies and deletes the large data. This algorithm has direct relation with the method of pattern generation and analyzing module of the intrusion detection system. This can also extend the appication range and increase the detection speed of exiting intrusion detection system as the rule database is constructed for the pattern management of the intrusion detection system. The proposed pattern generation technique of the deductive algorithm is used to the algorithm is used to the algorithm which can be changed by the supporting rate of the data created from the intrusion detection system. Fanally, we analyze the possibility of the speed improvement of the rule generation with the algorithm simulation.

본 논문에서 우리는 방대한 패킷 데이터로부터 침입탐지를 위한 규칙들을 자동으로 생성하는 방법으로 기존 연관규칙을 연역적 알고리즘을 분석하고, 그 결과를 기반으로 침입탐지 시스템에 적용되기 위한 침입 패턴 규칙들을 빠르게 생성할 수 있도록 연연적 알고리즘을 제안하였다. 본 논문에서 제안한고 있는 연역적 알고리즘은 대량의 데이터를 항목별로 분류하고 제거하는 클러스터링 개념에 적합하도록 설계하였다. 이 알고리즘은 적용될 침입탐지 시스템 패턴 생성 및 분석 모듈 방식에 직접적으로 연계되어 있으며, 이것은 침입탐지 시스템에 관한 패턴관리를 위한 규칙 데이터베이스를 구축함으로서 응용범위의 확장은 물론 기존 침입탐지 시스템의 탐지속도를 높일 수 있다. 제안된 연역적 알고리즘의 패텅 생성 기법은 침입탐지 시스템에서 생성되는 데이터의 지원율에 따라 적절히 변경될 수 있는 알고리즘을 사용하였으며, 이 기법에 의한 규칙 생성율의 향상에 따른 규칙생성 속도개선 가능성에 대해 알고리즘 시뮬레이션을 통하여 분석하였다.

Keywords

References

  1. 이경하 외, '네트워크 패킷 정보를 기반으로한 보안 관리', 한국정보과학회논문지, Vol.25, No.12, pp.1405-1412, Dec., 1998
  2. 김화수, '지능정보시스템 개론', 국방대학교, May, 2001
  3. Tamas Abraham, 'IDDM : Intrusion Detection using Data Mining Techniques,' In Information Technology Division Electronics & Surveillance Research Laboratory, 2001
  4. W. Lee and S. J. Stolfo. 'Data mining approaches for intrusion detection,' In In Proceedings of the 1998 USENIX Security Symposium. 1998
  5. Ramakrishnan Srikant, Rakesh Agrawal, 'Mining Generalized Association Rules,' Proceedings of the 21st VLDB Conference, IBM Almaden Research Center, 1995
  6. Kristin R. Nauta and Frank Lieble, 'Offline Network lntrution Detection; Mining tcpdump Data to Identify,' In http://www.sas.com/service/library/onlinedoc/itsv/intrusion.pdf, 1999
  7. Eric Bloedorn 외 'Data Mining for Network Intrusion Detection ; How to Get Started,' The MITRE Corporation, In http://www.afcea.org/pastevents/db2001/BIoedorn_files/frame.htm, 2001
  8. Wenke Lee, Salvatore J. Stolfo, Kui W. Mok, 'A Data Mining Framework for Building Intrusion Detection Models,' IEEE Symposium on Security and Privacy, In http://citeseer.nj.nec.com/154973.html, 1999 https://doi.org/10.1109/SECPRI.1999.766909
  9. http://www.snort.org/
  10. http://www.tcpdump.org/
  11. Paul E. Proctor, 'The Practical Intrusion Detection Handbook,' Prentice Hall PTR, www.phptr.com, Feb., 2000