• Annual Conference on Human and Language Technology
• /
• 2013.10a
• /
• pp.39-44
• /
• 2013

본 논문은 바이오 문서에서의 정보추출 시스템 개발에 대한 것이다. 이 시스템의 목표는 바이오 관련 문서에서 바이오 이벤트의 발생을 탐지하고 이벤트의 타입 및 이벤트에 관여된 필수 논항을 채우는 구문요소를 인식하는 것이다. 우리는 두 개의 별도의 단계를 이용하는 시스템 구성을 사용한다. 첫 단계에서는 SVM을 사용하여 이벤트의 발생 및 이벤트의 타입을 결정한다. 두 번째 단계에서는 이벤트의 논항을 채우는 참여자를 인식하는 작업을 한다. 본 논문은 단계 1에서 사용되는 SVM의 피쳐 리스트의 개발에 대한 문제를 다룬다. 본 논문에서 제안하는 피쳐 리스트를 사용하여 좋은 성능을 가지는 첫 단계에 대한 모듈을 얻을 수 있음을 관찰하였다.

• Proceedings of the Korean Information Science Society Conference
• /
• 2000.04b
• /
• pp.238-240
• /
• 2000

침입탐지시스템은 침입탐지 기법에 따라 크게 오용탐지시스템과 비정상행위탐지시스템으로 나뉜다. 비정상 행위 탐지시스템은 정상사용행위를 모델링한 후 현재 관찰중인 행위가 정상에서 벗어나는지를 검사한다. 시스템 사용시 발생하는 각 이벤트는 동시에 여러 가지 정보를 담고있으므로 여러 각도에서 모델링될 수 있다. 따라서 여러 결과를 종합해서 판정의 안정성을 높을 수 있다. 본 논문에서는 이벤트의 시스템호출에 평가결과와 BSM감사정보 중 시스템호출관련 정보, 파일 접근관련 정보, 이 둘을 모두 고려한 정보를 통합한 평가결과를 투표방식으로 결합하여 판정하는 기법을 제안하였다. 실험결과 두 모델을 별도로 적용하는 경우보다 나아진 판정성능을 보여주었다.

• Electronics and Telecommunications Trends
• /
• v.23 no.4
• /
• pp.61-71
• /
• 2008

최근 이루어지는 사이버 공격들의 형태가 점점 더 다양해지고 공격의 전파 속도가 빨라짐에 따라 기존의 침임 탐지 기법으로는 이러한 공격을 신속하게 탐지하고 차단하기에는 한계가 있다. 이와 같은 문제점을 해결하기 위해서 최근에 네트워크 보안 이벤트 시각화 기술에 대한 연구가 활발히 진행되고 있다. 네트워크 보안 이벤트 시각화 기술은 네트워크 상에서 발생되는 방대한 양의 이벤트를 실시간으로 시각화함으로써 네트워크 공격의 탐지, 알려지지 않은 공격 패턴 분류, 네트워크 이상 상태의 발견 등 네트워크 보안 상황을 관리자가 직관적으로 인지할 수 있도록 하는 기술이다. 본 고에서는 보안 이벤트 시각화 기술을 유선 네트워크와 무선 네트워크로 구분하여, 각각의 네트워크 환경에서 현재 개발되고 있는 기술의 동향과 앞으로의 발전 방향에 대해서 다루도록 한다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2014.04a
• /
• pp.680-683
• /
• 2014

최근 스마트폰의 보급과 더불어 소셜 네트워크 서비스의 사용자가 급증하였다. 그 중 트위터는 개방적인 네트워크 구조로 인한 정보의 빠른 확산성을 가지고 있다. 또한 트위터 사용자들은 주로 자신들이 경험하거나 겪은 일들을 글로 작성하여 다른 사용자들과 공유한다. 따라서 그들이 남긴 데이터를 수집하고 분석할 수 있다면 트위터를 이벤트 탐지의 도구로써 활용하는 것이 가능하다. 이에 본 논문에서는 트위터를 이용하여 이벤트를 탐지하는 시스템을 제안한다. 실험을 위해 6개월간 수집한 트윗을 이용하였으며 분석을 위해 트윗 발생량에 관한 각종 수치들을 제시하였다. 이를 이용하여 이벤트 후보지역들을 선별하였고 실험 결과 최종 90%의 탐지율로 이벤트 지역들을 추출하였다.

• The Journal of the Korea Contents Association
• /
• v.14 no.11
• /
• pp.39-49
• /
• 2014

Cyber threats on the Internet are tremendously increasing and their techniques are also evolving constantly. Intrusion Detection System (IDS) is one of the powerful solutions for detecting and analyzing the cyber attacks in realtime. Most organizations deploy it into their networks and operate it for security monitoring and response service. However, IDS has a fatal problem in that it raises a large number of alerts and most of them are false positives. In order to cope with this problem, many approaches have been proposed for the purpose of automatically identifying whether the IDS alerts are caused by real attacks or not. In this paper, we present an alert verification method based on correlation analysis between vulnerability inspection results for real systems that should be protected and the IDS alerts. In addition, we carry out practical experiments to demonstrate the effectiveness of the proposed verification method using two types of real data, i.e., the IDS alerts and the vulnerability inspection results.

• Journal of KIISE:Information Networking
• /
• v.29 no.6
• /
• pp.674-684
• /
• 2002

Anomaly detection techniques have teen devised to address the limitations of misuse detection approach for intrusion detection. An HMM is a useful tool to model sequence information whose generation mechanism is not observable and is an optimal modeling technique to minimize false-positive error and to maximize detection rate, However, HMM has the short-coming of login training time. This paper proposes an effective HMM-based IDS that improves the modeling time and performance by only considering the events of privilege flows based on the domain knowledge of attacks. Experimental results show that training with the proposed method is significantly faster than the conventional method trained with all data, as well as no loss of recognition performance.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2002.11b
• /
• pp.1159-1162
• /
• 2002

네트워크 기반의 IDS(Intrusion Detection System)가 개발된 이후 네트워크 패킷 정보를 분석하여 침입을 탐지하는 방법들이 연구되고 있다. 그러나 네트워크의 규모가 커지면서 NIDS 에서 발생하는 이벤트의 양이 증가하고 거짓 이벤트의 양도 따라 증가함으로써 이를 분석하는데 어려움이 있다. 본 논문은 많은 이벤트로부터 보다 위험성 있는 공격을 탐지하는 방법을 제시하고, 이를 현재 사용되고 있는 NIDS인 snort에 확장시켜 구현 하였다. 본 시스템은 침입자의 의도파악을 위하여 스캔과 같은 기본적인 이벤트를 관리한다. 또한 새로운 취약점에 대한 공격에 우선순위를 두어 오래된 공격방법보다 최근의 공격방법에 더 높은 우선순위를 부여한다. 전체 request 에서 공격이라 판단되는 request의 비율로써 사용자가 공격의도가 있는지를 파악한다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2015.04a
• /
• pp.680-682
• /
• 2015

최근 스마트폰의 보급으로 소셜 네트워크 서비스를 이용하는 사용자들이 급증하였다. 그 중 트위터는 정보의 빠른 전파력과 확산성으로 인해 현실에서 발생한 이벤트를 탐지하는 도구로 활용하는 것이 가능하다. 따라서 트위터 사용자 개개인을 하나의 센서로 가정하고 그들이 작성한 트윗 텍스트를 분석한다면 이벤트 탐지의 도구로써 활용할 수 있다. 이와 관련된 연구들은 이벤트 발생 위치를 추적하기 위해 GPS좌표를 이용하지만 트위터 사용자들이 위치정보 공개에 회의적인 점을 감안하면 명확한 한계점으로 제시될 수 있다. 이에 본 논문에서는 트위터에서 제공하는 위치정보를 이용하지 않고, 트윗 텍스트에서 위치정보를 추적하는 방법을 제시하였다. 트윗 텍스트에서 키워드간의 관계를 고려하여 이벤트의 사실여부를 결정하였으며, 실험을 통해 기존 매체들보다 빠른 탐지를 보임으로써 제안된 시스템의 필요성을 보였다.

• Journal of the Korea Academia-Industrial cooperation Society
• /
• v.13 no.1
• /
• pp.355-363
• /
• 2012

The Integration of multi-agent architecture and blackboard architecture may lead to a new architecture to cope with new application areas which need some good and strong points of both the architectures. This paper suggests an integrated architecture of blackboard architecture and multi-agent architecture by using event-based implicit invocation pattern and a blackboard event detection mechanism based on Rete network. From the viewpoints of weak couplings of system components and flexible control of knowledge source agents, it is desirable to use the event-based implicit invocation pattern in the integrated architecture. But the pattern itself does not concern the performance of the architecture, and it is very critical to the performance of the integrated architecture to detect efficiently the blackboard events which can activate knowledge source agents which can contribute to the problem-solving processes of the integrated architecture. The integrated architecture suggested in this paper uses a blackboard event detection mechanism based on Rete network to detect efficiently blackboard events which can activate knowledge source agents.

• Journal of Internet Computing and Services
• /
• v.11 no.6
• /
• pp.73-86
• /
• 2010

In proportion to the rapid increase in the number of Web users, web attack techniques are also getting more sophisticated. Therefore, we need not only to detect Web attack based on the log analysis but also to extract web attack events from audit information such as Web firewall, Web IDS and system logs for detecting abnormal Web behaviors. In this paper, web attack detection system was designed and implemented based on integrated web audit data for detecting diverse web attack by generating integrated log information generated from W3C form of IIS log and web firewall/IDS log. The proposed system analyzes multiple web sessions and determines its correlation between the sessions and web attack efficiently. Therefore, proposed system has advantages on extracting the latest web attack events efficiently by designing and implementing the multiple web session and log correlation analysis actively.