Journal of the Korea Academia-Industrial cooperation Society (한국산학기술학회논문지)

The Korea Academia-Industrial cooperation Society (한국산학기술학회)
권호 표지
DOI QR코드

DOI QR Code

Design of NePID using Anomaly Traffic Analysis and Fuzzy Cognitive Maps

비정상 트래픽 분석과 퍼지인식도를 이용한 NePID 설계

  • Published : 2009.04.30
Download PDF
⟨ Previous Next ⟩

Abstract

The rapid growth of network based IT systems has resulted in continuous research of security issues. Probe intrusion detection is an area of increasing concerns in the internet community. Recently, a number of probe intrusion detection schemes have been proposed based on various technologies. However, the techniques, which have been applied in many systems, are useful only for the existing patterns of probe intrusion. They can not detect new patterns of probe intrusion. Therefore, it is necessary to develop a new Probe Intrusion Detection technology that can find new patterns of probe intrusion. In this paper, we proposed a new network based probe intrusion detector(NePID) using anomaly traffic analysis and fuzzy cognitive maps that can detect intrusion by the denial of services attack detection method utilizing the packet analyses. The probe intrusion detection using fuzzy cognitive maps capture and analyze the packet information to detect syn flooding attack. Using the result of the analysis of decision module, which adopts the fuzzy cognitive maps, the decision module measures the degree of risk of denial of service attack and trains the response module to deal with attacks. For the performance evaluation, the "IDS Evaluation Data Set" created by MIT was used. From the simulation we obtained the max-average true positive rate of 97.094% and the max-average false negative rate of 2.936%. The true positive error rate of the NePID is similar to that of Bernhard's true positive error rate.

IT 시스템 기반의 네트워크 환경의 급속한 발전은 지속적인 연구방향의 중요한 이슈의 결과이다. 침입시도 탐지는 관심분야의 하나인 것이다. 최근에 다양한 기술을 기반으로 하는 침입시도탐지들이 제안되고 있으나 이러한 기술은 여러 형태의 침입시도의 패턴 중에 한가지 형태 및 시스템에 적용이 가능한 것이다. 또한 새로운 형태 침입시도를 탐지하지 못하고 있다. 그러므로 새로운 형태를 인식하는 침입탐지 관련 기술이 요구되어 지고 있다. 본 연구에서는 퍼지인식도와 비정상 트래픽 분석을 이용한 네트워크 기반의 침입탐지기법(NePID)을 제안한다. 이 제안은 패킷 분석을 통하여 서비스거부공격과 유사한 침입시도를 탐지하는 것이다. 서비스거부공격은 침입시도의 형태를 나타내며 대표적인 공격으로는 syn flooding 공격이 있다 제안한 기법은 syn flooding을 탐지하기 위하여 패킷정보를 수집 및 분석한다. 또한 피지인식도와 비정상 트래픽 분석을 적용하여 판단모듈의 분석 결과를 토대로 기존의 서비스 거부 공격의 탐지 툴과의 비교분석을 하였으며 실험데이터로는 MIT Lincoln 연구실의 IDS 평가데이터 (KDD'99)를 이용하였다. 시뮬레이션 결과 최대평균 positive rate는 97.094% 탐지율과 negative rate는 2.936%을 얻었으며 이 결과치는 KDD'99의 우승자인 Bernard의 결과치와 유사한 수준의 값을 나타내었다.

Keywords

References

  1. Solar, "Designing and Attacking Port Scan Detection Tools", Phrack Magazine, Vol. 8, Issue 53, pp. 13-15, 1998.
  2. http://www.krcert.or.kr
  3. http://silicondefense.com
  4. R. Axelrod, "Structure of Decision: The Cognitive Maps of Political Elites," Princeton, NJ: Princeton University Press, 1976.
  5. J. Cannady, "Applying Neural Networks to Misuse Detection," In Proceedings of the 21st National Information System Security Conference, 1998.
  6. STRC, Intrusion Detection System and Detection Rates Report, KISA, 2007.
  7. L. Feinstein, D. Schnackenberg, R. Balupari, D. Kindred, "Statistical Approaches to DDoS Attack Detection and Response", DARPA Information Survivability Conference and Exposition, 2003.
  8. S. Y. Lee, "An Adaptive Probe Detection Model using Fuzzy Cognitive Maps", Ph. D. Dissertation, Daejeon University, 2003.
  9. S. Gibson, "The Strange Tale of the Denial of Service Attacks Agent GRC.COM", http://grc.com/dos/grcdos.htm
  10. S. A. Hofmeyr, S. Forrest, and A. Somayaji, "Intrusion detection using sequences of system calls," Journal of Computer Security, Vol. 6, pp.151-180, 1998. https://doi.org/10.3233/JCS-980109
  11. http://wireshark.com
  12. S. Savage., D. Wetherall, A. Karlin., "Practical Network Support for IP Trace back," In Proceedings of ACM SIG COMM, 2000.
  13. P. Ferguson, D. Sene, "Network Igress Filtering: Defeating Denial of Service Attacks Which Employ IP Source Address Spoofing," RFC 2827, 2000.
  14. K.C Chang, "Defending against Flooding-Based Distributed Denial of Service A Tutorial," IEEE Communications Magazine, 2002. https://doi.org/10.1109/MCOM.2002.1039856
  15. W. Lee, S. J. Stolfo., "A Framework for Constructing Features and Models for Intrusion Detection Systems," In Proceedings of the 5th ACM SIGKDD International Conference on Knowledge Discovery and Data Mining, 2000.
  16. C. L. Schuba, I. V. krsul, M. G. Kuhn., "Analysis of a Denial of Service Attack on TCP, "Proceedings of IEEE Symposium on Security and Privacy, pp.208 -223, 1997. https://doi.org/10.1109/SECPRI.1997.601338