• Proceedings of the KAIS Fall Conference
• /
• 2010.05a
• /
• pp.451-454
• /
• 2010

침입탐지란 컴퓨터와 네트워크 자원에 대한 유해한 침입 행동을 식별하고 대응하는 과정이다. 점차적으로 시스템에 대한 침입의 유형들이 복잡해지고 전문적으로 이루어지면서 빠르고 정확한 대응을 할 수 있는 시스템이 요구되고 있다. 이에 대용량의 데이터를 분석하여 의미 있는 정보를 추출하는 데이터 마이닝 기법을 적용하여 지능적이고 자동화된 탐지 및 경보데이터 패턴 분석에 이용할 수 있다. 본 논문에서는 경보데이터 패턴 분석을 위해 시퀀스패턴기법을 적용한 경보데이터 마이닝 엔진을 구축한다. 구현된 경보데이터 마이닝 시스템은 기존의 시퀀스 패턴 알고리즘인 PrefixSpan 알고리즘을 확장 구현하여 경보데이터의 빈발 경보시퀀스 분석과 빈발 공격시퀀스 분석에 활용할 수 있다.

• Proceedings of the KAIS Fall Conference
• /
• 2009.05a
• /
• pp.764-767
• /
• 2009

이 논문에서는 데이터마이닝의 클러스터링을 이용한 경보 데이터 축약기법을 제안한다. 제안된 클러스터링 기반 경보데이터 축약기법은 데이터간의 유사성을 이용한 경보 데이터의 그룹화를 통해 생성된 모델을 이용하여 새로운 경보 데이터에 대한 분류를 자동화할 수 있다. 이것은 과거에 탐지된 공격의 형태뿐만 아니라 새로운 혹은 변형된 경보의 분류나 분석에도 이용할 수 있다. 또한 생성된 클러스터의 생성 원인의 분석을 이용한 클러스터 간의 시퀀스의 추출을 통해 사용자가 공격의 순차적인 구조나 그 이면에 감추어진 전략을 이해하는데 도움을 주며, 현재의 경보 이후에 발생 가능한 경보들을 예측할 수 있다.

• The KIPS Transactions:PartC
• /
• v.10C no.6
• /
• pp.665-674
• /
• 2003

In this paper, we propose an approach to correlate alerts using a clustering analysis of data mining techniques in order to support intrusion detection system. Intrusion detection techniques are still far from perfect. Current intrusion detection systems cannot fully detect novel attacks. However, intrucsion detection techniques are still far from perfect. Current intrusion detection systems cannot fully detect novel attacks or variations of known attacks without generating a large amount of false alerts. In addition, all the current intrusion detection systems focus on low-level attacks or anomalies. Consequently, the intrusion detection systems to underatand the intrusion behind the alerts and take appropriate actions. The clustering analysis groups data objects into clusters such that objects belonging to the same cluster are similar, while those belonging to different ones are dissimilar. As using clustering technique, we can analyze alert data efficiently and extract high-level knowledgy about attacks. Namely, it is possible to classify new type of alert as well as existed. And it helps to understand logical steps and strategies behind series of attacks using sequences of clusters, and can potentially be applied to predict attacks in progress.

• Proceedings of the Korean Society of Computer Information Conference
• /
• 2022.07a
• /
• pp.303-304
• /
• 2022

본 논문에서는 재난위기경보관리시스템 구축을 위해 행정안전부가 구축중인 재난안전데이터 공유 플랫폼의 데이터를 연동하기 위한 기반 및 기술을 제안한다. 국가 R&D로 수행중인 재난위기경보관리시스템은 위기경보 수준을 판단하기 위해 필요한 데이터를 수집, 위기경보 수준 자동분석, 위기경보 수준 판단 및 표출하는 기능을 구현하였다. 그러나 실제 운영하기 위해서는 국가재난정보관리시스템(NDMS)내에서 운영할 수 있도록 재난안전데이터 공유 플랫폼의 데이터 연동을 위한 방안에 대해 연구하였다.

• Journal of the Korea Society of Computer and Information
• /
• v.28 no.1
• /
• pp.55-63
• /
• 2023

In this paper, we propose a function and service of the Disaster Crisis Alert Management System that automatically analyzes the situation judgment criteria to issue a disaster crisis alert and a plan to operate in the National Disaster Management System(NDMS). In the event of a disaster, a crisis alert(interest-caution-alert-serious) is issued according to the crisis alert level. In order to automatically analyze and determine the crisis alert level, first, data collection, crisis alert level analysis, crisis alert level judgment, and disaster crisis alert management system that expresses the crisis alert level by spatial scale(province, city, district) were implemented. The crisis alert level was analyzed and expressed in two ways by applying the intelligent crisis alert level(determination of regional sensitivity, risk level, and crisis alert level) and the crisis alert standard of the crisis management manual(province-level standard setting). Second, standard metadata, linkage of situation information of target) and API standards for data provision are presented to jointly utilize data linkage and crisis alert data of the disaster and safety data sharing platform so that it can be operated within the NDMS.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2003.05c
• /
• pp.2169-2172
• /
• 2003

네트웍을 이용한 외부의 침입을 탐지하기 위해 침입탐지시스템이 1980년대부터 연구되었다. 침입탐지 시스템은 침입을 발견하면 경보데이터나 로그데이터를 생성하는데 서로 상이한 데이터 집합으로 인해 별도의 데이터 매핑이 필요한 문제점을 해결하고자 IETF 의 침입탐지 관련 그룹인 IDWG 에서 IDMEF를 제안하였다. 본 논문에서는 이러한 IDMEF 형식을 지원하는 경보데이터 구조를 설계하고, 이를 통하여 상위의 보안제어서버에서 상이한 침입탐지 시스템으로부터의 경보데이터를 저장, 관리할 수 있는 방법을 제공한다 이러한 기본적인 경보데이터 관리 이외에 저장된 경보데이터를 통한 공격자 정보 추출, 피해 호스트 정보 추출등의 부가적인 방법 또한 제공한다.

• Journal of the Korea Academia-Industrial cooperation Society
• /
• v.12 no.1
• /
• pp.459-466
• /
• 2011

In this paper, we proposed a data mining framework for the management of alerts in order to improve the performance of the intrusion detection systems. The proposed alert data mining framework performs alert correlation analysis by using mining tasks such as axis-based association rule, axis-based frequent episodes and order-based clustering. It also provides the capability of classify false alarms in order to reduce false alarms. We also analyzed the characteristics of the proposed system through the implementation and evaluation of the proposed system. The proposed alert data mining framework performs not only the alert correlation analysis but also the false alarm classification. The alert data mining framework can find out the unknown patterns of the alerts. It also can be applied to predict attacks in progress and to understand logical steps and strategies behind series of attacks using sequences of clusters and to classify false alerts from intrusion detection system. The final rules that were generated by alert data mining framework can be used to the real time response of the intrusion detection system.

• Proceedings of the Korean Information Science Society Conference
• /
• 2004.10a
• /
• pp.307-309
• /
• 2004

침입탐지시스템에서 발생되는 오 경보는 false positive 와 false negative 로 구분된다. false positive는 실제적인 공격은 아니지만 공격이라고 오인하여 경보를 발생시켜 시스템의 효율성을 떨어뜨리기 때문에 false positive 패턴에 대한 분석이 필요하다. 오 경보 데이터는 시간이 지남에 따라 데이터의 양뿐만 아니라 데이터 패턴의 특성 또한 변하게 된다 따라서 새로운 데이터가 추가될 때마다 오 경보 데이터의 패턴을 분석할 수 있는 도구가 필요하다. 이 논문에서는 오 경보 데이터로부터 false positive 의 패턴을 분석할 수 있는 프레임워크에 대해서 기술한다. 우리의 프레임워크는 시간이 지남에 따라 변하는 데이터의 패턴 특성을 분석할 수 있도록 하기 위해 점진적 연관규칙 기법을 적용한다. 이 프레임워크를 통해서 false positive 패턴 특성의 변화를 효율적으로 관리 할 수 있다.

• Proceedings of the Korean Information Science Society Conference
• /
• 2004.04a
• /
• pp.247-249
• /
• 2004

IDS에서 발생되는 경보의 수는 최근 인터넷 애플리케이션의 발달로 인하여 급격히 증가하고 있으며. 그로 인해 오 경보의 수도 함께 증가하고 있다. 발생된 경보들은 침입탐지 시스템의 성능저하와 alert flooding 의 원인이 된다. 따라서 이 논문에서는 다량의 경보 중에서 오 경보(False Alarm)의 발생을 감소시킬 수 있는 오 경보 분류 모델을 제안한다. 제안된 오 경보 분류 모델은 데이터 마이닝 기법들 중에서 분류 기법을 기반으로 구현되었다. 실험 을 통해서 IDS에서 발생하는 경보 중에서 정상데이터이나 공격으로 잘못 판단하여 발생하는 False Positive의 발생율이 현저히 감소됨을 확인할 수 있었다. 제안된 오 경보 분류 모델은 경보메시지 축약의 효과가 있으며 침입탐지 시스템의 탐지율을 높이는데 활용될 수 있다.

• Proceedings of the KAIS Fall Conference
• /
• 2009.05a
• /
• pp.734-737
• /
• 2009

최근 침입 탐지 시스템으로부터 생성되는 대량의 경보데이터에 대한 관리와 경보상관관계 분석 결과를 침입탐지시스템의 능동적인 대응에 활용하고자 하는 연구가 많이 시도되고 있다. 기존의 침입 탐지 시스템은 알려진 공격 형태를 탐지하는 것은 가능하지만 변형된 형태의 공격이나 새로운 형태의 공격의 탐지는 어렵다. 이 논문에서는 침입 탐지시스템의 체계적인 경보데이터관리 및 경보데이터 상관관계 분석을 위하여 데이터마이닝 기법을 적용한 경보 데이터 마이닝 프레임워크를 제안한다.