An Aggregate Detection of Event Correlation using Fuzzy Control

An intrusion detection system shows different result over overall detection area according to its detection characteristics of inner detection algorithms or techniques. To expand detection areas, we requires an integrated detection which can be archived both by deploying a few detection systems which detect different detection areas and by combining their results. In addition to expand detection areas, we need to decrease the workload of security managers by false alarms and improve the correctness by minimizing false alerts which happen during the process of integration. In this paper, a method for aggregation detection use fuzzy inference to integrate a vague detection results which imply the characteristics of detection systems. Their analyzed detection characteristics are expressed as fuzzy membership functions and fuzzy rule bases which are applied through the process of fuzzy control. And, it integrate a vague decision results and minimize the number of false alerts by reflecting the characteristics of detection systems. Also it does minimize inference objects by applying thresholds decided through several experiments.

퍼지제어를 이용한 관련성 통합탐지

침입탐지시스템은 사용된 알고리즘이나 기법의 특성에 따라 여러 탐지영역에 대해서 상이한 탐지결과를 나타내게된다. 따라서 서로 다른 탐지영역을 갖는 여러 탐지시스템들의 결과를 통합함으로써 탐지영역을 넓힐 수 있는 통합탐지 방법이 필요하다. 또한 통합 시에 발생할 수 있는 수많은 잘못된 보고의 수를 최소화함으로써 보안 관리자의 업무부담을 줄이고 탐지결과의 정확성을 높일 필요가 있다. 이 논문에서는 시스템 사용행위에 대해서 각 탐지시스템들이 모호한 판정의 결과값을 내어놓는 경우 분석된 탐지시스템의 특성을 퍼지추론을 이용하여 통합탐지 한다. 분석된 탐지 특성은 퍼지제어의 과정에서 적용된 각 탐지시스템에 대한 소속함수와 제어규칙으로 표현한다. 그리고, 모호한 판정 값을 통합하고 잘못된 보고의 숫자를 최소화하였으며, 여러 번의 실험을 통해 결정된 임계값의 적용으로 추론의 적용대상이 최소화되도록 하였다.