• Journal of the Korea Institute of Information Security & Cryptology
• /
• v.29 no.5
• /
• pp.1027-1037
• /
• 2019

Conventional cyber-attack detection solutions are generally based on signature-based or malicious behavior analysis so that have had difficulty in detecting unknown method-based attacks. Since the various information occurring all the time reflects the state of the system, by modeling it in a steady state and detecting an abnormal state, an unknown attack can be detected. Since a variety of system information occurs in a string form, word embedding, ie, techniques for converting strings into vectors preserving their order and semantics, can be used for modeling and detection. Novelty Detection, which is a technique for detecting a small number of abnormal data in a plurality of normal data, can be performed in order to detect an abnormal condition. This paper proposes a method to detect system anomaly by cyber attack using embedding and novelty detection.

• Journal of the Korea Institute of Information and Communication Engineering
• /
• v.23 no.10
• /
• pp.1311-1319
• /
• 2019

Currently, the web environment is a commonly used area for sharing information and conducting business. It is becoming an attack point for external hacking targeting on personal information leakage or system failure. Conventional signature-based detection is used in cyber threat but signature-based detection has a limitation that it is difficult to detect the pattern when it is changed like polymorphism. In particular, injection attack is known to the most critical security risks based on web vulnerabilities and various variants are possible at any time. In this paper, we propose a novelty detection technique to detect abnormal state that deviates from the normal state on web-server log dataset(WSLD). The proposed method is a machine learning-based technique to detect a minor anomalous data that tends to be different from a large number of normal data after replacing strings in web-server log dataset with vectors using machine learning-based embedding algorithm.

• Journal of the Korean Institute of Intelligent Systems
• /
• v.13 no.3
• /
• pp.266-274
• /
• 2003

This paper considers an incremental support vector learning for the abnormality detection problems. One of the most well-known support vector learning methods for abnormality detection is the so-called SVDD(support vector data description), which seeks the strategy of utilizing balls defined on the kernel feature space in order to distinguish a set of normal data from all other possible abnormal objects. The major concern of this paper is to modify the SVDD into the direction of utilizing the relation between the optimal solution and incrementally given training data. After a thorough review about the original SVDD method, this paper establishes an incremental method for finding the optimal solution based on certain observations on the Lagrange dual problems. The applicability of the presented incremental method is illustrated via a design example.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2022.05a
• /
• pp.531-534
• /
• 2022

승차 공유, 카풀, 렌터카의 이용률이 증가하면서 많은 사용자가 동일한 차량에 로컬 액세스 할 수 있는 시나리오가 더욱 보편화됨에 따라 차량 네트워크에 대한 공격 가능성이 커지고 있다. 차량용 CAN Bus Network에 대한 DoS(Denial of Service), Fuzzy Attack 및 Replay Attack과 같은 공격은 일부 ECU(Electronic Controller Unit) 비활성 및 작동 불능 상태를 유발한다. 에어백, 제동 시스템과 같은 필수 시스템이 작동 불가 상태가 되어 운전자에게 치명적인 결과를 초래할 수 있다. 차량 네트워크 침입 탐지를 위하여 많은 연구가 진행되고 있으나, 기존 화이트리스트를 이용한 탐지 방법은 새로운 유형의 공격이 발생하거나 희소성이 높은 공격일 때 탐지하기 어렵다. 본 논문에서는 인공신경망 기반의 CAN 버스 네트워크 침입 탐지 기법을 제안한다. 제안하는 침입 탐지 기법은 2단계로 나누어 진다. 1단계에서 정상 패킷 분포를 학습한 VAE 모형이 이상 탐지를 수행한다. 이상 패킷으로 판정될 경우, 2단계에서 인코더로부터 추출된 잠재변수와 VAE의 재구성 오차를 이용하여 공격 유형을 분류한다. 분류 결과의 신뢰점수(Confidence score)가 임계치보다 낮을 경우 학습하지 않은 공격으로 판단한다. 본 연구 결과물은 정보보호 연구·개발 데이터 첼린지 2019 대회의 차량 이상징후 탐지 트랙에서 제공하는 정상 및 3종의 차량 공격시도 패킷 데이터를 대상으로 성능을 평가하였다. 실험을 통해 자동차 제조사의 규칙이나 정책을 사전에 정의하지 않더라도 낮은 오탐율로 비정상 패킷을 탐지해 낼 수 있음을 확인할 수 있다.

• Proceedings of the Korean Information Science Society Conference
• /
• 2001.10a
• /
• pp.664-666
• /
• 2001

침입탐지의 종류를 탐지 방법 측면에서 구분해보면 크게 이상탐지와 오용탐지로 나뉘어진다. 침입탐지의 주된 목적은 탐지오류를 줄이고 정확한 침입을 판가름하는데 있다. 그러나 기존의 이상탐지와 오용탐지 기법은 그 방법론상에 이미 판단오류 가능성을 내포하고 있다. 이상탐지는 정상적인 사용에 대한 템플릿을 기초로 하므로 불규칙적인 사용에 대처할 수 없고, 오용탐지는 침입 시나리오라는 템플릿에 기초하므로 알려지지 않은 침입에 무방비 상태인 문제가 있다. 침입의 주요 목적은 관리자의 권한을 얻는 것이며 그 상태에서 쉘을 얻은 후 원하는 바를 행하는 데 있을 것이다. 그러므로 그 상태를 얻으려는 프로세스와 추이와 결과를 모니터링하여 대처하면 호스트기반 침입의 근본적인 해결책이 될 수 있다. 그러므로 본 연구에서는 프로세스의 상태를 모니터링함으로써 컴퓨터시스템의 침입을 탐지하는 새로운 기술에 대해 제안하고 설명한다. 프로세스의 상태는 일반상태, 특권상태 관리자상태 등으로 구분되며, 시스템에 의해 부여된 실사용자ID, 유효ID, 실그룹ID, 유효그룹ID를 점검함으로써 이루어진다. 본 연구에서 모니터링에는 BSM을 사용하며, 호스트기반에서 사용한 프로세스의 상태 모니터링에 의한 침입탐지시스템 구현한다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2012.11a
• /
• pp.884-887
• /
• 2012

전력시스템은 외부 망과 독립적으로 운영되는 폐쇄 망에서 점차 외부 망과의 연계됨으로써 외부 요소에 의한 위협, 다차원적인 시스템 취약성에 노출되고 있다. 서비스 거부 공격은 전력시스템에 매우 치명적이기 때문에 가장 중요한 가용성을 확실히 보장하기 위한 시스템과 네트워크의 운영 및 관리를 통한 보안 대책이 필요하게 되었다. 기존의 네트워크 트래픽만으로 분석하여 이상징후를 탐지하는 방식에 한계가 있기 때문에 본 논문에서는 전력시스템의 네트워크 상태와 엔드 시스템 상태 특성을 실시간 모니터링하고 분석하여 비정상 네트워크 접근을 탐지할 수 있는 시스템을 설계하였다.

• Proceedings of the Korean Information Science Society Conference
• /
• 2003.10a
• /
• pp.88-90
• /
• 2003

비정상 행위와 정상행위를 구별하여 침입을 탐지하는 기법 중 오토마타를 이용해 정상 행위를 프로파일링 하는 기법이 연구되어왔다. 최근엔 다중 서열 정합(multiple sequence alignment)방법을 이용하여 오토마타 생성을 자동화하는 방법이 소개되었다. 그러나 이 방법은 시스템 콜의 서열을 정열하기 위해 추가적인 상태가 들어가게 때문에 오토마타가 너무 커지는 단점이 있다. 본 논문에서는 유전자 알고리즘을 이용하여 정상 서열을 인식하는 오토마타를 생성하는 방법을 제안한다.

• Proceedings of the Korean Institute of Information and Commucation Sciences Conference
• /
• 2001.05a
• /
• pp.720-723
• /
• 2001

현재 인터넷 환경에서 크래킹은 보편화되어 있다. 이러한 크래킹을 탐지하거나 방어하기 위한 기법들은 대부분 기존의 불법 침입 유형을 분석하여 대응 알고리즘을 개발하는 것이 대부분이다. 현재 알려진 침입 탐지 기법은 비정상 탐지(Anomaly Detection)와 오용 탐지(Misuse Detection)로 분류할 수 있는데, 전자는 통계적 방법, 특징 추출 등을 이용하며, 후자는 조건부 화률, 전문가 시스템, 상태 전이 분석, 패턴 매칭 둥을 적용한다. 본 연구에서는 상태전이 기반의 연관 마이닝 기법을 이용한 침입 시나리오 탐지 알고리즘을 제안한다. 이를 위해 본 연구에서는 의사결정지원시스템에서 많이 적용한 연관 마이닝 기법을 여러 가지 불법 침입과 연관된 상태 정보를 분석할 수 있는 수정된 상태전이 알고리즘을 제시한다.

• Journal of Aerospace System Engineering
• /
• v.18 no.3
• /
• pp.41-47
• /
• 2024

Recently, as the practical application and commercialization of unmanned aerial vehicles (UAVs) is pursued, interest in ensuring the safety of the UAV is increasing. Because UAV accidents can result in property damage and loss of life, it is important to develop technology to prevent accidents. For this reason, a technique to detect the abnormal flight state of UAVs has been developed based on the AutoEncoder model. However, the existing detection technique is limited in terms of performance and real-time processing. In this paper, we propose a U-Net based abnormal flight detection technique. In the proposed technique, abnormal flight is detected based on the increasing rate of Mahalanobis distance for the reconstruction error obtained from the U-Net model. Through simulation experiments, it can be shown that the proposed detection technique has superior detection performance compared to the existing detection technique, and can operate in real-time in an on-board environment.

• Proceedings of the Korean Information Science Society Conference
• /
• 2006.06c
• /
• pp.313-315
• /
• 2006

최근 인터넷 공격은 웹 서비스 환경에서 다양한 공격 유형들이 인터넷상에서 나타나고 있는 실정이다. 특히 인터넷 웜이나 기타 알려지지 않은 공격이 대중을 이루고 있어 기존의 정보 보호 기술로는 한계에 다다르고 있으며 이미 알려진 공격을 탐지하는 오용탐지 기술로는 적절하게 대응하기 어려워진 상태이다. 또한, 웹 서비스 이용이 확대되고 사용자 요구에 맞게 변화하면서 인터넷상의 노출된 웹 서비스는 공격자들에게 있어 주공격 대상이 되고 있다. 본 논문에서는 웹 기반의 트래픽 유형을 분석하고 각 유형에 따른 이상 징후를 파악할 수 있는 비정상 탐지 모델을 정의하여 정상 트래픽 모델과 비교함으로써 현재 트래픽의 이상 정도를 평가하고 탐지 및 규칙생성, 추가하는 HTTP 트래픽 기반의 비정상행위 탐지 시스템을 설계하고 구현하였다.