• Proceedings of the Korea Institutes of Information Security and Cryptology Conference
• /
• 2003.12a
• /
• pp.179-184
• /
• 2003

컴퓨터를 통한 침입을 탐지하기 위해서 많은 연구들이 오용탐지 기법을 개발하였다. 최근에는 오용 탐지 기법을 개선하기 위해서 비정상행위 탐지 기법에 관련된 연구들이 진행중이다. 본 논문에서는 클러스터링 기법을 응용한 새로운 네트워크 비정상행위 탐지 기법을 제안한다. 이를 위해서 정상 행위를 다양한 각도에서 분석될 수 있도록 네트워크 로그로부터 여러 특징들을 추출하고 각 특징에 대해서 클러스터링 알고리즘을 이용하여 정상행위 패턴을 생성한다. 제안된 방법에서는 정상행위 패턴 즉 클러스터를 축약된 프로파일로 생성하는 방법을 제시하며 제안된 방법의 성능을 평가하기 위해서 DARPA에서 수집된 네트워크 로그를 이용하였다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2003.05c
• /
• pp.1579-1582
• /
• 2003

점차 네트워크상의 침입 시도가 증가되고 다변화되어 침입탐지에 많은 어려움을 주고 있다. 시스템에 새로운 침입에 대한 탐지능력과 다량의 감사데이터의 효율적인 분석을 위해 데이터마이닝 기법이 적용된다. 침입탐지 방법 중 비정상행위 탐지는 모델링된 정상행위에서 벗어나는 행위들을 공격행위로 간주하는 기법이다. 비정상행위 탐지에서 정상행위 모델링을 하기 위해 연관규칙이나 빈발에피소드가 적용되었다. 그러나 이러한 기법들에서는 시간요소를 배제하거나 패턴들의 발생순서만을 다루기 때문에 정확하고 유용한 정보를 제공할 수 없다. 따라서 이 논문에서는 이 문제를 해결할 수 있는 시간연관규칙과 분류규칙을 이용한 비정상행위 탐지 모델을 제안하였다. 즉, 발생되는 패턴의 주기성과 달력표현을 이용, 유용한 시간지식표현을 갖는 시간연관규칙을 이용해 정상행위 프로파일을 생성하였고 이 프로파일에 의해 비정상행위로 간주되는 규칙들을 발견하고 보다 정확한 비정상행위 판별 여부를 결정하기 위해서 분류기법을 적용하였다.

• Review of KIISC
• /
• v.29 no.2
• /
• pp.29-35
• /
• 2019

CPS(Cyber Physical System)에 대한 사이버 공격이 다양해지고 고도화됨에 따라 시그니쳐에 기반한 악성행위 탐지는 한계가 있어 기계학습 기반의 정상행위 학습을 통한 비정상행위 탐지 기법이 많이 연구되고 있다. 그러나 CPS 보안 연구는 보안상의 이유로 CPS 데이터가 주로 외부에 공개되지 않으며 또한 실제 비정상행위를 가동 중인 CPS에 실험하는 것이 불가능하여 개발 기법의 검증이 어려운 문제가 있다. 이를 해결하기 위해 2015년 SUTD(Singapore University of Technology and Design)의 iTrust 연구소에서 SWaT(Secure Water Treatment) 테스트베드를 구성하고 36가지의 공격을 수행한 데이터셋을 공개하였다. 이후 국 내외에서 SWaT 테스트베드 데이터를 사용하여 다양한 보안 기법을 검증한 연구결과가 발표되고 있으며 CPS 보안에 기여하고 있다. 따라서 본 논문에서는 SWaT 테스트베드 데이터 및 SWaT 테스트베드 데이터에 기반한 비정상행위 탐지 연구를 분석한 내용을 설명하고, 이를 통해 CPS 비정상행위 탐지 설계의 주요 요소를 분석하여 제시하고자 한다.

• Proceedings of the Korea Institutes of Information Security and Cryptology Conference
• /
• 2003.12a
• /
• pp.101-106
• /
• 2003

인터넷 상에서의 대부분의 네트워크 공격은 공격의 목표가 되는 시스템에 단일 패킷만을 보냄으로써 공격이 이뤄질 수 없다. 그렇기 때문에 침입탐지시스템에서는 내부 네트워크로 들어오고 나가는 패킷들에 대한 일련의 순차성을 알아냄으로써 네트워크 공격을 탐지할 수 있다. 본 연구에서는 이러한 네트워크 패킷의 순차성을 이용하여 비정상행위에 대한 침입탐지 방법을 제안하였으며 또한 일부 비정상행위 탐지에서 사용하고 있는 시간을 기준으로 한 트랜잭션의 분할에서 오는 단점을 지적하고 그것을 보완하기 위하여 탐지 단위로서 사용자의 세션을 사용하였다. TCP/IP 네트워크에서의 사용자 세션 정보를 표현하기 위해서 여러 가지 정보가 사용자 행위 테이블로 표현되며 이러한 사용자 행위 테이블은 서비스 포트 별로 통계적인 정리가 가능하다. 또한 이렇게 정리된 서비스 포트별 정보에서는 확률을 기반으로 한 비정상 행위를 도출할 수 있으며, 이러한 비정상 행위도를 이용하여 침입 판단의 근거자료로 삼을 수 있음을 확인하였다.

• Proceedings of the Korean Information Science Society Conference
• /
• 1999.10c
• /
• pp.318-320
• /
• 1999

정보시스템의 보호를 위한 침입탐지의 방법으로 오용탐지와 비정상행위 탐지방법이 있다. 오용탐지의 경우는 알려진 침입 패턴을 이용하는 것으로 알려진 침입에 대해서는 아주 높은 탐지율을 나타내지만 알려지지 않은 침입이나 변형패턴에 대해서는 탐지할 수 없다는 단점이 있다. 반면 비정상행위 탐지는 정상행위 모델링을 통해 비정상패턴을 탐지하는 것으로 알려지지 않은 패턴에 대해서도 탐지할 수 있는 장점이 있는데 국내외적으로 아직까지 널리 연구되어 있지 않다. 본 논문에서는 BSM으로부터 얻은 다양한 정보를 추출하고 이러한 정보를 자기조직화 신경망을 이용하여 축약함으로써 고정된 크기의 순서정보로 변환하는 방법을 제안한다. 이렇게 생성된 고정크기의 순서정보는 비정상행위 탐지에 효과적으로 사용될 수 있을 것이다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2002.04b
• /
• pp.805-808
• /
• 2002

컴퓨터 시스템 및 네트워크에 대한 침입 공격의 방법 중 이미 알려진 형태의 공격에 대해서는 상대적으로 탐지가 용이하나 사용자의 비정상행위는 방법의 다양성 때문에 탐지가 매우 어렵다. 그러나, 사용자의 정상적인 행동은 몇 가지 소수의 형태로 특정 지어질 수 있다. 본 논문에서는 상대적으로 변화가 적은 정상 행위를 신경망으로 Modeling하여 이를 비정상 행위 탐지에 적용하는 기법을 제안한다. 이를 위하여 입력 영역을 지역화 하는 특성을 갖는 RBF(Radial-Basis-Fuction) 신경망에 대한 단일 Class의 학습방법을 제안하고, 이를 이용한 비정상 행위에 대한 공격의 탐지에 대한 적용 방안을 제시한다. 비정상 행위 탐지에 대한 적용 가능성을 검증하기 위하여 사용자가 키보드 입력 유형을 학습하고 이를 이용하여 타인의 ID와 Password를 도용한 경우의 탐지에 적용하였다.

• Journal of the Korea Institute of Information Security & Cryptology
• /
• v.12 no.4
• /
• pp.29-39
• /
• 2002

In general, the intrusion detection method of anomalous behaviors has high false alarm rate which contains false-positive and false-negative. To increase the sensitivity of intrusion detection, we propose a method of aggregate detection to reduce false alarm rate by using correlation between misuse activity detection sensors and anomalous ones. For each normal behavior and anomalous one, we produce the reflection rate between the result from one sensor and another in off-line. Then, we apply this rate to the result of real-time detection to reduce false alarm rate.

• The KIPS Transactions:PartC
• /
• v.8C no.5
• /
• pp.507-516
• /
• 2001

In this paper, we implement sequence-based anomaly detection sensor using SOM and HMM, and analyze what is important information in system call and how a threshold is decided. The new filtering and reduction rules of SOM reduces the input size of HMM. This gives real-time processing to HMM-based anomaly detection sensor. Also, we introduced an anomaly count into the sensor. Due to lessened sensibility, a user easily understand easily the detection information and false-positive was decreased. And the active coordination of the threshold value makes the detection sensor adapt according to the system condition.

• 한국IT서비스학회:학술대회논문집
• /
• 2010.05a
• /
• pp.475-478
• /
• 2010

최근 영상처리 기술이 발전함에 따라 비디오 영상 처리를 통한 비정상행위 탐지 기술에 대한 관심이 증가하고 있다. 하지만 대부분의 논문들은 하나의 카메라, 혹은 하나의 공간 내에서 이루어지는 비정상탐지 기법을 제안해 왔다. 본 논문에서는 기존의 비디오 마이닝을 이용한 영상처리 기술을 확장하여 공간과 카메라의 수에 제한이 없이 비정상행위를 탐지할 수 있는 방법을 프로그램 구현을 통해 제시한다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2002.11b
• /
• pp.965-968
• /
• 2002

침입탐지 시스템은 전산시스템을 보호하는 대표적인 수단으로, 오용탐지와 비정상행위탐지 방법으로 나눌 수 있는데, 다양화되는 침입에 대응하기 위해 비정상행위 탐지기법이 활발히 연구되고 있다. 비 정상행위기반 침임탐지 시스템에서는 정상행위 구축 방법에 따라 다양한 침입탐지율과 오류율을 보인다. 본 논문에서는 비정상행위기반 침입탐지시스템을 구축하였는데, 사용되는 대표적인 기계학습 방법인 동등 매칭(Equality Matching), 다층 퍼셉트론(Multi-Layer Perceptron), 은닉마르코프 모델(Hidden Markov Model)을 구현하고 그 성능을 비교하여 보았다. 실험결과 다층 퍼셉트론과 은닉마르코프모델이 높은 침입 탐지율과 낮은 false-positive 오류율을 내어 정상행위로 사용되는 시스템감사 데이터에 대한 정보의 특성을 잘 반영하여 모델링한다는 것을 알 수 있었다.