정보처리학회논문지:소프트웨어 및 데이터공학 (KIPS Transactions on Software and Data Engineering)

  • 제7권3호
  • /
  • Pages.99-106
  • /
  • 2018
  • /
  • 2287-5905(pISSN)
  • /
  • 2734-0503(eISSN)
한국정보처리학회 (Korea Information Processing Society)
권호 표지
DOI QR코드

DOI QR Code

사이버 감시정찰의 정보 분석에 적용되는 점진적 학습 방법과 일괄 학습 방법의 성능 비교

Comparison of Performance Between Incremental and Batch Learning Method for Information Analysis of Cyber Surveillance and Reconnaissance

  • 투고 : 2017.12.15
  • 심사 : 2018.01.28
  • 발행 : 2018.03.31
PDF 다운로드
⟨ 이전 논문 다음 논문 ⟩

초록

사이버 감시정찰은 공개된 인터넷, 아군 및 적군 네트워크에서 정보를 획득한다. 사이버 ISR에서 에이전트를 활용하여 데이터를 수집하고, 수집한 데이터를 C&C 서버에 전송하여 수집한 데이터를 분석 한 후 해당 분석 결과를 이용하여 의사결정에 도움을 줄 수 있다. 하지만 네트워크 구성에 따라 침투한 컴퓨터에 심어진 에이전트와 외부 네트워크에 존재하는 C&C 서버 간 정기적인 통신이 불가능하게 되는 경우가 존재한다. 이때 에이전트는 C&C 서버와 통신이 재개되는 짧은 순간에 데이터를 C&C 서버에 전달하고, 이를 받은 C&C 서버는 수집한 데이터를 분석한 후 다시 에이전트에게 명령을 내려야한다. 따라서 해당 문제를 해결하기 위해서는 짧은 시간 내에 빠르게 학습이 가능하며, 학습 과정에서 많은 자원을 소모하지 않고도 학습할 수 있어야한다. 본 연구에서는 점진적 학습 방법을 일괄 학습 방법과 비교하는 실험을 통해 우수성을 보여주고 있다. 점진적 학습 방법을 사용한 실험에서는 500M 이하의 메모리 리소스로 제한된 환경에서 학습소요시간을 10배 이상 단축시키는 결과를 보여 주었으나, 잘못 분류된 데이터를 재사용하여 학습 모델을 개선하는 실험에서는 재학습에 소요되는 시간이 200% 이상 증가하는 문제점이 발견되었다.

In the process of acquiring information through the cyber ISR (Intelligence Surveillance Reconnaissance) and research into the agent to help decision-making, periodic communication between the C&C (Command and Control) server and the agent may not be possible. In this case, we have studied how to effectively surveillance and reconnaissance. Due to the network configuration, agents planted on infiltrated computers can not communicate seamlessly with C&C servers. In this case, the agent continues to collect data continuously, and in order to analyze the collected data within a short time in When communication is possible with the C&C server, it can utilize limited resources and time to continue its mission without being discovered. This research shows the superiority of incremental learning method over batch method through experiments. At an experiment with the restricted memory of 500 mega bytes, incremental learning method shows 10 times decrease in learning time. But at an experiment with the reuse of incorrectly classified data, the required time for relearn takes twice more.

키워드

참고문헌

  1. Matthew M. Hurley, "For and from cyberspace: Conceptualizing cyber intelligence, surveillance, and reconnaissance," Air & Space Power Journal, Vol.26, No.6, pp.12-33, 2012.
  2. Hey-Jung Baek and Young-Tack Park, "The Study on Improvement of Cohesion of Clustering in Incremental Concept Learning," The KIPS Transactions: Part B, Vol.10, No.3, pp.297-304, 2003.
  3. P. Fuangkhon and T. Tanprasert, "An incremental learning algorithm for supervised neural network with contour preserving classification," Electrical Engineering/Electronics, Computer, Telecommunications and Information Technology, 2009. ECTI-CON 2009. 6th International Conference on, Vol.2, pp.740-743, 2009.
  4. Y. Freund, and R. E. Schapire, "Experiments with a new boosting algorithm," Icml, Vol.96, pp.148-156, 1996.
  5. W., Hu, W., Hu, and S. Maybank, "Adaboost-based algorithm for network intrusion detection," IEEE Transactions on Systems, Man, and Cybernetics, Part B (Cybernetics), Vol.38, No.2, pp.577-583, 2008. https://doi.org/10.1109/TSMCB.2007.914695
  6. T. G. Dietterich, "Ensemble methods in machine learning," Multiple Classifier Systems, Vol.1857 pp.1-15, 2000.
  7. A. Bifet, G. Holmes, R. Kirkby, and B. Pfahringer, "Moa: Massive online analysis," Journal of Machine Learning Research, Vol.11, pp.1601-1604, 2010.
  8. R. R. Ade and P. R. Deshmukh, "Methods for incremental learning: a survey," International Journal of Data Mining & Knowledge Management Process, Vol.3, No.4, pp.119-125, 2013. https://doi.org/10.5121/ijdkp.2013.3408
  9. G. I. Shin, D. I. Shin, D. K. Shin, and H. S. Yooun, "An Comparative Research of the Detection Rate of Intrusion Detection System Algorithms," in Proceedings of the Korea Information Processing Society Review 2017 Spring Conference, Vol.24, No.1, pp.223-226, 2017.
  10. H. J. Ji, D. K. Shin, D. I. Shin, Y. H. Kim, and D. H. Kim, "A Study on comparison of KDD CUP 99 and NSL-KDD using artificial neural network," in Proceedings of the Korea Information Processing Society Review 2017 Spring Conference, Vol.24, No.1, pp.211-213, 2017.
  11. M. A. M. Hasan, M. Nasser, B. Pal, and S. Ahmad, "Support vector machine and random forest modeling for intrusion detection system (IDS)," Journal of Intelligent Learning Systems and Applications, Vol.6, No.1, pp.45-52, 2014.
  12. M. E. Aminanto and K. Kim, "Deep learning-based feature selection for intrusion detection system in transport layer," in Proceedings of the Korea Institutes of Information Security and Cryptology Conference 2016 Summer, Vol.26, No.1, pp.740-743, 2016.
  13. A. A. Olusola, A. S. Oladele, and D. O. Abosede, "Analysis of KDD'99 intrusion detection dataset for selection of relevance features," Proceedings of the World Congress on Engineering and Computer Science, Vol.1, pp.20-22, 2010.
  14. H. G. Kayacik, A. N. Zincir-Heywood, and M. I. Heywood, "Selecting features for intrusion detection: A feature relevance analysis on KDD 99 intrusion detection datasets," in Proceedings of the Third Annual Conference on Privacy, Security and Trust, 2005.