• Proceedings of the Korean Information Science Society Conference
• /
• 2000.04b
• /
• pp.238-240
• /
• 2000

침입탐지시스템은 침입탐지 기법에 따라 크게 오용탐지시스템과 비정상행위탐지시스템으로 나뉜다. 비정상 행위 탐지시스템은 정상사용행위를 모델링한 후 현재 관찰중인 행위가 정상에서 벗어나는지를 검사한다. 시스템 사용시 발생하는 각 이벤트는 동시에 여러 가지 정보를 담고있으므로 여러 각도에서 모델링될 수 있다. 따라서 여러 결과를 종합해서 판정의 안정성을 높을 수 있다. 본 논문에서는 이벤트의 시스템호출에 평가결과와 BSM감사정보 중 시스템호출관련 정보, 파일 접근관련 정보, 이 둘을 모두 고려한 정보를 통합한 평가결과를 투표방식으로 결합하여 판정하는 기법을 제안하였다. 실험결과 두 모델을 별도로 적용하는 경우보다 나아진 판정성능을 보여주었다.

• Proceedings of the Korean Information Science Society Conference
• /
• 2002.10c
• /
• pp.511-513
• /
• 2002

본 논문은 악성 스크립트를 탐지하는 새로운 방법을 제안한다. 정보검색 기법을 이용하여 정상 스크립트들을 기능별로 구분하여 정상 행위를 정의함으로써, 정상 행위에서 벗어나는 경우에 악성이라고 판정한다. 소스 기반의 빠른 검색이 가능하며, 실시간 모니터링을 통한 비정상 스크립트의 탐지가 가능하다. 또한 새로운 악성 스크립트가 생성되는 경우에도 탐지가 가능하다는 장점을 가지고 있다.

• The Transactions of the Korea Information Processing Society
• /
• v.7 no.8
• /
• pp.2411-2420
• /
• 2000

Far detecting variaus camputer intrusians effectively, many researches have develaped the misuse based intrusian detectian systems. Recently, warks related ta anamaly detectian, which have impraved the drawback .of misuse detectian technique, have been under focus. In this paper, a new clustering algarithm based an support constraint far generating user's narmal activity patterns in the anamaly detectian can praposed. It can grant a user's activity .observed recently ta mare weight than that .observed in the past. In order that a user's anamaly can be analyzed in variaus angles, a user's activity is classified by many measures, and far each .of them user's narmal patterns can be generated. by using the proposed algarithm. As a result, using generated narmal patterns, user's anamaly can be detected easily and effectively.

• Proceedings of the Korean Information Science Society Conference
• /
• 2001.04a
• /
• pp.766-768
• /
• 2001

정보통신의 질적 양적 팽창과 더불어 컴퓨터 시스템에 대한 침입 또한 증가하고 있다. 침입탐지시스템은 이를 해결하기 위한 대표적인 수단으로, 최근 관련된 연구의 방향이 오용탐지 기법에서 비정상 행위탐지 기법으로 옮겨가고 있는 상황이다. HMM(Hiddem Markov Model)은 비정상행위탐지 기법에 사용되어 다양한 척도(measure)에 대한 정상행위를 효과적으로 모델링할 수 있는 방법이다. 다양한 척도의 결과값들로부터 침입을 판정하는 방법에 대한 연구는 미흡하다. 본 논문에서는 SOM(self organizing map)을 통해 축약된 데이터를 HMM으로 모델링한 비정상행위기반 침입탐지 시스템의 성능을 향상시키기 위해 퍼지 침입판정 방법을 제시한다. 실험결과 척도에 따른 결과들의 기계적 결합보다 향상된 결과를 얻었으며, 퍼지 관련 파라메터의 개선을 통해 더욱 좋은 효과를 기대할 수 있었다.

• Journal of the Korea Institute of Information Security & Cryptology
• /
• v.12 no.5
• /
• pp.63-73
• /
• 2002

Recently, intrusions into a computer have been increased rapidly and also various intrusion methods have been developed. As a result. many researches have been performed to detect the activities of intruders effectively In this paper, a new association mining algorithm for anomaly network intrusion detection is proposed. For this purpose, the proposed algorithm is composed of two different phases: intra-packet association and inter-packet association. The performance of the proposed anomaly detection system is evaluated based on several experiment according to various system parameters in order to identify their practical ranges for maximizing its detection rate. As a result, an anomaly can be detected effectively.

• The KIPS Transactions:PartC
• /
• v.9C no.6
• /
• pp.831-840
• /
• 2002

Due to the advance of computer and communication technology, intrusions or crimes using a computer have been increased rapidly while tremendous information has been provided to users conveniently Specially, for the security of a database which stores important information such as the private information of a customer or the secret information of a company, several basic suity methods of a database management system itself or conventional misuse detection methods have been used. However, a problem caused by abusing the authority of an internal user such as the drain of secret information is more serious than the breakdown of a system by an external intruder. Therefore, in order to maintain the sorority of a database effectively, an anomaly defection technique is necessary. This paper proposes a method that generates the normal behavior profile of a user from the database log of the user based on an association mining method. For this purpose, the Information of a database log is structured by a semantically organized pattern tree. Consequently, an online transaction of a user is compared with the profile of the user, so that any anomaly can be effectively detected.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2001.10b
• /
• pp.1001-1004
• /
• 2001

현재 네트워크 기반의 침입 탐지는 대부분 오용 탐지 기법을 사용한다. 하지만 이는 알려지지 않은 침입을 탐지하는 능력이 떨어지는 기법으로서 이를 보완할 수 있는 비정상행위 탐지 기법을 찾는 것이 필요하다. 따라서 수집된 감사 자료로부터 정상행위를 프로파일링하고 침입임을 판정하는데 통계적인 기법을 사용하였다. 수집된 로그로부터 통계적인 방법으로 정상행위를 프로파일링하기 위해 우선 패킷으로부터 수집되는 감사 자료의 통계적인 특성을 대변하는 분포와 파라미터를 추정하고 카이스퀘어 검정법을 사용하여, 감사 자료가 가설하는 이론적인 분포의 특성을 가지고 있다고 판정되면 이를 정상행위의 기준으로 삼는다. 이후에 수집되는 감사자료를 감시하기 위해 추정된 분포와 파라미터를 따르고 있는지의 여부를 Kolmogorov-Smirnov 적합도 검정을 이용하여 판별하고, 이를 벗어나는 경우 침입으로 판정할 수 있도록 한다.

• Journal of KIISE:Software and Applications
• /
• v.28 no.6
• /
• pp.429-438
• /
• 2001

정보통신 구조의 확산과 함께 전산시스템에 대한 침입과 피해가 증가되고 있으며 침입탐지 시스템에 대한 관심과 연구가 늘어나고 있다. 본 논문에서는 은닉 마르코프 모델(HMM)을 이용하여 사용자의 정상행위에서 생성된 이벤트ID 정보를 모델링한 후 사용자의 비정상행위를 탐지하는 침입탐지 시스템을 제안한다. 전처리를 거친 이벤트ID열은 전방향-역방향 절차와 Baum-Welch 재추정식을 이용하여 정상행위로 구축된다. 판정은 전방향 절차를 이용해서 판정하려는 열이 정상행위로부터 생성되었을 확률을 계산하며, 이 값을 임계값과 비교함으로써 수행된다. 실험을 통해 침입탐지를 위한 최적의 HMM 매개변수를 결정하고 사용자 구분이 없는 단일모델링, 사용자별 모델링, 사용자 그룹별 모델링 방식을 비교하여 정상행위 모델링 성능을 평가하였다. 실험결과 제안한 시스템이 발생한 침입을 적절히 탐지함을 확인할 수 있었지만, 신뢰도 높은 침입탐지 시스템의 구축을 위해서는 보다 정교한 모델의 클러스터링이 필요함을 알 수 있었다.

• Proceedings of the Korean Information Science Society Conference
• /
• 2001.04a
• /
• pp.769-771
• /
• 2001

침입의 궁극적 목표는 루트 권한의 획득이라고 할 수 있는데 최근 유행하고 있는 버퍼플로우(Buffer Over flow)등이 대표적이다. 최근 날로 다양화되는 이런 침입방법들에 대응하기 위해 비정상행위 탐지기법 연구가 활발한데 대표적인 방법으로는 통계적 기법과 전문가시스템, 신경망 등을 들 수 있다. 본 논문에서 제안하는 침입탐지시스템은 권한 이동 관련 이벤트의 추출 기법을 이용하여 Solaris BSM 감사 기록에서 추출된 정보 이벤트들을 수집한 후 은닉 마르코프 모델(HMM)로 모델링하여 정상행위 모델들을 만든다. 추론 및 판정시에는 이미 만들어진 정상행위 모델을 사용하여 새로 입력된 사용자들의 시퀀스를 비교 평가하고, 이를 바탕으로 정상 권한이동과 침입시의 권한이동의 차이를 비교하여 침입여부를 판정한다. 실험결과 HMM만을 사용한 기존 시스템에 비해 유용함을 알 수 있었다.

• Journal of the Korea Institute of Information Security & Cryptology
• /
• v.10 no.4
• /
• pp.59-71
• /
• 2000

Due to the advance of computer and communication technology, intrusions or crimes using a computer have been increased rapidly while various information has been provided to users conveniently. As a results, many studies are necessary to detect the activities of intruders effectively. In this paper, a new association algorithm for the anomaly detection model is proposed in the process of generating user\`s normal patterns. It is that more recently observed behavior get more affection on the process of data mining. In addition, by clustering generated normal patterns for each use or a group of similar users, it is possible to identify the usual frequency of programs or command usage for each user or a group of uses. The performance of the proposed anomaly detection system has been tested on various system Parameters in order to identify their practical ranges for maximizing its detection rate.