• Proceedings of the Korean Institute of Information and Commucation Sciences Conference
• /
• v.9 no.2
• /
• pp.860-862
• /
• 2005

상용화되어 있는 대부분의 IDS는 오용 탐지 방법에 의한 것이다. 그러나 이러한 오용 탐지 방법에 의한 IDS는 침입패턴이 다양화되고 변형되기 때문에 긍정적 결함이 발생한다는 단점을 가지고 있다. 본 논문에서는 감사데이터간의 침입관계를 가지고 침입을 탐지하기 위해 데이터 마이닝 기법을 적용하여 침입 탐지 시 발생하는 긍정적 결함을 최소화 하였다. 따라서 감사데이터 학습단계에서 변형된 침입 패턴을 예측하기 위해서 데이터 마이닝 알고리즘을 적용한다.

• Proceedings of the Korean Information Science Society Conference
• /
• 2003.04a
• /
• pp.470-472
• /
• 2003

상용화되어 있는 대부분의 IDS는 오용 탐지 방법에 의한 것이다. 그러나 이러한 오용 탐지 방법에 의한 IDS는 침입패턴이 다양화되고 변형되기 때문에 긍정적 결함이 발생한다는 단점을 가지고 있다. 본 논문에서는 감사데이터간의 침입 관계를 가지고 침입을 탐지하기 위해 데이터 마이닝 기법을 적용하여 침입 탐지 시 발생하는 긍정적 결항을 최소화 하였다. 따라서 감사데이터 학습단계에서 변형된 침입 패턴을 예측하기 위해서 데이터 마이닝 알고리즘을 적응한다.

• Proceedings of the Korea Institutes of Information Security and Cryptology Conference
• /
• 2001.11a
• /
• pp.166-169
• /
• 2001

광범위한 인터넷의 발달은 우리의 생활을 윤택하게 해주었지만, 불법적인 침입, 자료 유출 등 범죄도 늘었다. 이에 따라 불법적인 침입을 막는 침입탐지기술도 많이 발전하게 되었다. 침입탐지기술은 크게 오용탐지방법과 비정상적인 행위 탐지 방법으로 나눌 수 있다. 본 논문에서는 비정상적인 행위 탐지 방법의 긍정적 결함을 줄이기 위한 방법으로 유사도 측정 알고리즘을 사용한 방법을 제시하고자 한다.

• The KIPS Transactions:PartC
• /
• v.10C no.6
• /
• pp.717-726
• /
• 2003

In this paper, we analyze the associated rule based deductive algorithm which creates the rules automatically for intrusion detection from the vast packet data. Based on the result, we also suggest the deductive algorithm which creates the rules of intrusion pattern fast in order to apply the intrusion detection systems. The deductive algorithm proposed is designed suitable to the concept of clustering which classifies and deletes the large data. This algorithm has direct relation with the method of pattern generation and analyzing module of the intrusion detection system. This can also extend the appication range and increase the detection speed of exiting intrusion detection system as the rule database is constructed for the pattern management of the intrusion detection system. The proposed pattern generation technique of the deductive algorithm is used to the algorithm is used to the algorithm which can be changed by the supporting rate of the data created from the intrusion detection system. Fanally, we analyze the possibility of the speed improvement of the rule generation with the algorithm simulation.

• Journal of the Korea Institute of Information Security & Cryptology
• /
• v.13 no.4
• /
• pp.151-159
• /
• 2003

Internet as being generalized, intrusion detection system is needed to protect computer system from intrusions synthetically. We propose an intrusion detection method to identify and control the contradiction on self-explanation that happen at profiling process of anomaly detection methodology. Because many patterns can be created on profiling process with association method, we present effective application plan through clustering for rules. Finally, we propose similarity function to decide whether anomaly action or not for user pattern using clustered pattern database.

• Proceedings of the Korean Information Science Society Conference
• /
• 2001.04b
• /
• pp.205-207
• /
• 2001

웹 상의 HTML 문서들은 수시로 변경되고 있으며, 정보를 검색하는 웹사이트 또한 예외는 아니다. 다수의 웹 검색엔진들의 결과를 통합하는 메타 검색엔진은 각 검색엔진의 정보 변경에 민감해야 된다. 본 논문은, 수시로 변경되는 검색엔진들의 HTML 문서 정보를 메타 검색 엔진에 반영하기 위해, 자동적으로 검색엔진들의 질의 형태 변경과 검색 엔진의 검색 결과 HTML 문서의 구조 변경 탐지는 질의 결과가 반복되는 HTML 태그(tags) 문서 구조를 패턴(pattern)으로 이용한다. 패턴 발견 알고리즘은 문자열에서 규칙적으로 발생하는 패턴을 찾아내는 Jaak Vilo 알고리즘을 기반으로 HTML 문서를 처리할 수 있도록 확장하였다. 발견된 HTML 문서 패턴과 기존의 검색 엔진 HTML 페이지의 구조적 패턴 정보를 비교하여 문서 구조 변경을 탐지한다.

• 한국IT서비스학회:학술대회논문집
• /
• 2008.05a
• /
• pp.594-599
• /
• 2008

침입탐지에 있어서 사용자 로그 분석은 중요한 주제로서, 기존의 연구들에서 클러스터링 기법들을 사용하여 저장된 사용자 로그들을 분석해왔다. 하지만, 이러한 방법은 고정된 사용자 패턴 분석에는 효율적이지만, 로그 스트림과 같이 무한히 생성되어 사용자 패턴이 변화하는 경우 변화하는 패턴을 분석할 수 없다. 본 연구에서는 무한히 생성되는 사용자 로그 스트림을 대상으로 실시간 침입탐지 방법을 제시한다. 사용자로그의 정보는 사용자 행동에 대한 특성값으로 표현되어, 이러한 특성값들에 대해 실시간 데이터 스트림 클러스터링을 수행하여 이들을 클러스터로 분류한다. 각 클러스터는 사용자의 정상로그에 대한 특성값을 반영하게 되며, 그 결과 과거 사용자 로그에 대한 저장없이 새로운 로그 스트림을 지속적으로 분석할 수 있다. 결과적으로 사용자의 비정상행동을 실시간으로 탐지할 수 있으며, 이를 실험을 통해 평가하였다.

• Proceedings of the Korean Information Science Society Conference
• /
• 2001.10a
• /
• pp.640-642
• /
• 2001

침입 탐지 시스템의 초점이 호스트와 운영체제 탐지에서 네트워크 탐지로 옮겨가고 있고 단순만 오용 탐지 기법에서 이를 개선한 지능적인 비정상 행위 탐지 기법에 관한 연구들이 진행되고 있다. 이러한 연구들 중에는 네트워크 프로토콜의 트래픽 특성을 이용하여 비표준 포트의 사용이나 표준 포트에 대한 비표준 방법에 의한 침입을 탐지하고자 하는 노력도 있다. 본 연구에서는 실시간으로 패턴 매칭이 가능하고, 적응력이 뛰어난 신경망 알고리즘을 이용하여 네트워크 서비스들에 대한 트래픽을 수집, 특성에 따라 분석.클러스터링하고 그 결과를 바탕으로 보다 향상된 침입 탐지가 가능한 시스템을 제안한다.

• Journal of KIISE
• /
• v.43 no.6
• /
• pp.718-723
• /
• 2016

In streaming data analysis, detecting concept drift accurately is important to maintain the performance of classification model. Error rates are usually used for concept drift detection. However, by describing prediction results with only binary values of 0 or 1, useful information about a behavior pattern of a classifier can be lost. In this paper, we propose an effective concept drift detection method which describes performance pattern of a classifier by utilizing probability estimates for class prediction and detects a significant change in a classifier behavior. Experimental results on synthetic and real streaming data show the efficiency of the proposed method for detecting the occurrence of concept drift.

• Journal of the Korea Institute of Information Security & Cryptology
• /
• v.16 no.1
• /
• pp.115-122
• /
• 2006

The most methods for intrusion detection are based on the misuse detection which accumulates hewn intrusion information and makes a decision of an attack against any behavior data. However it is very difficult to detect a new or modified aoack with only the collected patterns of attack behaviors. Therefore, if considering that the method of anomaly behavior detection actually has a high false detection rate, a new approach is required for very huge intrusion patterns based on sequence. The approach can improve a possibility for intrusion detection of known attacks as well as modified and unknown attacks in addition to the similarity measurement of intrusion patterns. This paper proposes a method which applies the multiple sequence alignments technique to the similarity matching of the sequence based intrusion patterns. It enables the statistical analysis of sequence patterns and can be implemented easily. Also, the method reduces the number of detection alerts and false detection for attacks according to the changes of a sequence size.