The KIPS Transactions:PartC (정보처리학회논문지C)

Korea Information Processing Society (한국정보처리학회)
권호 표지
DOI QR코드

DOI QR Code

Selection of Detection Measures using Relative Entropy based on Network Connections

상대 복잡도를 이용한 네트워크 연결기반의 탐지척도 선정

  • 문길종 (전남대학교 정보보호협동과정) ;
  • 김용민 (여수대학교 정보기술학부) ;
  • 김동국 (전남대학교 전자컴퓨터정보통신공학부) ;
  • 노봉남 (전남대학교 전자컴퓨터정보통신공학부)
  • Published : 2005.12.01
Download PDF
⟨ Previous Next ⟩

Abstract

A generation of rules or patterns for detecting attacks from network is very difficult. Detection rules and patterns are usually generated by Expert's experiences that consume many man-power, management expense, time and so on. This paper proposes statistical methods that effectively detect intrusion and attacks without expert's experiences. The methods are to select useful measures in measures of network connection(session) and to detect attacks. We extracted the network session data of normal and each attack, and selected useful measures for detecting attacks using relative entropy. And we made probability patterns, and detected attacks using likelihood ratio testing. The detecting method controled detection rate and false positive rate using threshold. We evaluated the performance of the proposed method using KDD CUP 99 Data set. This paper shows the results that are to compare the proposed method and detection rules of decision tree algorithm. So we can know that the proposed methods are useful for detecting Intrusion and attacks.

최근 네트워크가 발전함에 따라 네트워크의 취약점을 이용한 침입과 공격이 많이 발생하고 있다. 네트워크에서 공격과 침입을 탐지하기 위해 규칙을 만들거나 패턴을 생성하는 것은 매우 어렵다. 대부분 전문가의 경험에 의해서 만들어지고, 많은 인력, 비용, 시간을 소비하고 있다. 본 논문에서는 전문가의 경험 없이 네트워크의 공격 행위를 효과적으로 탐지하기 위해서 네트워크 연결기반의 정보를 이용한 척도선정 기법과 탐지기법을 제안한다. 정상과 각 공격의 네트워크 연결 데이터를 추출하고, 상대 복잡도를 이용하여 복잡도의 임계값 설정함으로써 공격 탐지에 유용한 척도를 선정한다. 그리고 선정된 척도를 바탕으로 확률패턴을 생성하고 우도비 검증을 이용해 공격을 탐지한다. 이 탐지방법으로 임계값 조절에 따라 탐지율과 오탐율을 조절할 수 있었다. KDD CUP 99 데이터를 이용하여 공격행위를 분석, 분류하고, 결정트리 알고리즘의 규칙기반 탐지 결과와 비교함으로써 본 논문에서 제시한 기법이 유용함을 확인하였다.

Keywords

References

  1. D. E. Denning, 'An Intrusion-Detection Model,' IEEE Trans. on Software Engineering, No.2, Feb., 1987 https://doi.org/10.1109/TSE.1987.232894
  2. The third international Knowledge discovery and data mining tools competition dataset KDD99 CUP, http://kdd.ics.uci.edu/databases/kddcup99/kddcup99.html, 1998
  3. Smaha, Stephen E., 'Haystack: An Intrusion Detection System,' Proceedings of the Fourth Aerospace Computer Security Applications Conference, 1988 https://doi.org/10.1109/ACSAC.1988.113412
  4. S. Mukkamala and A. Sung, 'Identifying Significant Features for Network Forensic Analysis Using Artificial Intelligent Techniques,' Intl. of Digital Evidence. Vol. 1., 2003
  5. E. Eskin, A. Arnold, M, Prerau and L. Portnoy, 'A Geometric Framework for Unsupervised Anomaly Detection: Detecting Intrusions in Unlabeled Data,' Application of Data Mining in Computer Security, Kluwer., 2002
  6. Y. Liao and R. Vemuri, 'Using Text Categorization Techiques for Intrusion Detection,' the 11th USENIX Security Symposium, 2002
  7. Richard P.Lippmann and David J. Freid etc., 'Evaluating Intrusion Detection System:The 1998 DARPA off-line Intrusion Detection Evalution,' https://doi.org/10.1109/DISCEX.2000.821506
  8. W. Lee and D. Xiang, 'Information-Theoretic Measures for Anomaly Detection,' IEEE Symposium on Security and Privacy, 2001 https://doi.org/10.1109/SECPRI.2001.924294
  9. R. O. Duda, P. E. Hart and D. G. Stork, Pattern Classification 2nd edition, Wiley-INTERSCIENCE., 2001
  10. 진성해, '네트워크 침입 탐지를 위한 변형된 통계적 학습 모형,' 정보처리학회논문지C, 2003
  11. J.Ross Quinlan, C4.5: Programs for Machine Learing, Morgan Kaufmann Publishers