The KIPS Transactions:PartC (정보처리학회논문지C)

Korea Information Processing Society (한국정보처리학회)
권호 표지
DOI QR코드

DOI QR Code

Communication Models and Performance Evaluation for the Delivery of Data and Policy in a Hybrid-Type Intrusion Detection System

혼합형 침입 탐지 시스템에서 데이터 및 정책 전달 통신 모델과 성능 평가

  • 장정숙 (대구가톨릭대학교 대학원 컴퓨터정보통신공학부) ;
  • 전용희 (대구가톨릭대학교 컴퓨터정보통신공학부) ;
  • 장종수 (한국전자통신연구원 정보보호연구본부 네트워크보안연구부 보안게이트웨이 연구팀) ;
  • 손승원 (한국전자통신연구원 정보보호연구본부 네트워크보안연구부)
  • Published : 2003.10.01
Download PDF
⟨ Previous Next ⟩

Abstract

Much research efforts are being exerted for the study of intrusion detection system(IDS). However little work has been for the communication medels and performance eveluation of the IDS. Here we present a communication framework for doing hybrid intrusion detection in which agents are used for local intrusion detections with a centralized data anaysis componenta for a global intrusion detection at multiple domains environment. We also assume the combination of host-based and network-based intrusion detection systems in the oberall framework. From the local domain, a set of information such as alert, and / or log data are reported to the upper level. At the root of the hierarchy, there is a global manager where data coalescing is performed. The global manager delivers a security policy to its lower levels as the result of aggregation and correlation of intrusion detection alerts. In this paper, we model the communication mechanisms for the hybrid IDS and develop a simular using OPNET modeller for the performance evaluation of transmission capabillities for the delivery of data and policy. We present and compare simulation results based on several scenarios focuding on communication delay.

침입 탐지 시스템에 대하여 많은 연구 노력들이 진행되고 있다. 그러나 침입 탐지 시스템의 모델과 성능 평가에 대한 작업은 거의 찾아 볼 수 없다. 본 논문에서는 지역적인 침입 탐지를 위한 에이전트들과 전역적인 침입 탐지를 위한 집중 데이터 분석 컴포넌트를 가지고 있는 다중 도메인 환경에서 혼합 침입 탐지를 위한 통신 프레임워크를 제안한다. 또한 전체적인 프레임워크에서 호스트 기반과 네트워크 기반 침입 탐지 시스템의 결합을 가정한다. 지역 도메인에서 경보와 로그 데이터 같은 정보 집합은 상위 레벨로 보고 된다. 계위의 루트에는 데이터 합동을 수행하는 전역 매니저가 있다. 전역 매니저는 침입 탐지 경보의 집합과 상호관련의 결과로 보안 정책을 하위 레벨로 전달하게 된다. 본 논문에서는 혼합 침입 탐지 시스템을 위한 통심 메커니즘을 모델링하고 데이터 및 정책 전달을 위한 전송 능력의 성능 평가를 위하여 OPNET 모델러를 이용한 시뮬레이터를 개발한다. 여러 가지 시나리오에 기반하여 통신 지연에 초점을 두고 모의실험 결과를 제시하고 비교한다.

Keywords

References

  1. Eugene H. Spafford and Diego Zamboni, 'Intrusion detection using autonomous agents,' Computer Networks, 34(4), pp.547-570, October, 2000 https://doi.org/10.1016/S1389-1286(00)00136-5
  2. Rajeev Gopalakrishna, A Framework for Distributed Intrusion Detection using Interest-Driven Cooperating Agents, CERIAS Tech. Report 2001-44, Purdue University, 2001
  3. http://www.ietf.org/html.charters/ipsp·charter.html
  4. http://www.ietf.org/html.charters/idwg-charter.html, 'Internet Draft'
  5. M. Stevens, Policy Framework Internet Draft, draft-ietfpolicy-framework-05.txt, Sep., 1999
  6. http://www.ietf.org RFC 2748(COPS)
  7. http://www.ietf.org/internet-drafts/draft-ietf-idwg-idmef-xml-10.txt
  8. H. Debar and A. Wespi, 'Aggregation and Correlation of Intrusion-Detection Alerts,' AID 2001, LNCS 2212, pp. 85-103, 2001
  9. S. Snapp, J. Brentano and G. Dias et al., 'DIDS (Distributed Intrusion Detection System) : motivation, architecture, and an early prototype,' In Proceedings of the 14th National Computer Security Conference, October, 1991
  10. Phillip A. Porras and Peter G. Neumann. 'EMERALD: event monitoring enabling responses to anomalous live disturbances,' In 1997 National Information Systems Security Conference, Oct., 1997
  11. S. Staniford-Chen, S. Cheung, R. Crawford, M. Dilger, J. Frank, J. Hoagland, K. Levitt, C. Wee, R. Yip and D. Zerkle, 'GrIDS-a graph based intrusion detection system for large networks,' In Proceedings of the 19th National Infermation Systems Security Conference, September, 1996