• Journal of the Korea Society of Computer and Information
• /
• v.28 no.11
• /
• pp.89-101
• /
• 2023

In order to prevent damages caused by cyber-attacks on nations, businesses, and other entities, anomaly detection techniques for early detection of attackers have been consistently researched. Real-time reduction and false positive reduction are essential to promptly prevent external or internal intrusion attacks. In this study, we hypothesized that the type and frequency of attack events would influence the improvement of anomaly detection true positive rates and reduction of false positive rates. To validate this hypothesis, we utilized the 2015 login log dataset from the Los Alamos National Laboratory. Applying the preprocessed data to representative anomaly detection algorithms, we confirmed that using characteristics that simultaneously consider the type and frequency of attack events is highly effective in reducing false positives and execution time for anomaly detection.

• Journal of the Korea Convergence Society
• /
• v.12 no.2
• /
• pp.1-6
• /
• 2021

In the modern society, traffic problems are occurring as vehicle ownership increases. In particular, the incidence of highway traffic accidents is low, but the fatality rate is high. Therefore, a technology for detecting an abnormality in a vehicle is being studied. Among them, there is a vehicle anomaly detection technology using deep learning. This detects vehicle abnormalities such as a stopped vehicle due to an accident or engine failure. However, if an abnormality occurs on the road, it is possible to quickly respond to the driver's location. In this study, we propose a deep learning-based vehicle anomaly detection using road CCTV data. The proposed method preprocesses the road CCTV data. The pre-processing uses the background extraction algorithm MOG2 to separate the background and the foreground. The foreground refers to a vehicle with displacement, and a vehicle with an abnormality on the road is judged as a background because there is no displacement. The image that the background is extracted detects an object using YOLOv4. It is determined that the vehicle is abnormal.

• KIPS Transactions on Computer and Communication Systems
• /
• v.5 no.12
• /
• pp.471-480
• /
• 2016

Recently, the damage of cyber attack toward infra-system, national defence and security system is gradually increasing. In this situation, military recognizes the importance of cyber warfare, and they establish a cyber system in preparation, regardless of the existence of threaten. Thus, the study of Intrusion Detection System(IDS) that plays an important role in network defence system is required. IDS is divided into misuse and anomaly detection methods. Recent studies attempt to combine those two methods to maximize advantagesand to minimize disadvantages both of misuse and anomaly. The combination is called Hybrid IDS. Previous studies would not be inappropriate for near real-time network environments because they have computational complexity problems. It leads to the need of the study considering the structure of IDS that have high detection rate and low computational cost. In this paper, we proposed a Hybrid IDS which combines C4.5 decision tree(misuse detection method) and Weighted K-means algorithm (anomaly detection method) hierarchically. It can detect malicious network packets effectively with low complexity by applying mutual information and genetic algorithm based efficient feature selection technique. Also we construct upgraded the the hierarchical structure of IDS reusing feature weights in anomaly detection section. It is validated that proposed Hybrid IDS ensures high detection accuracy (98.68%) and performance at experiment section.

• Journal of Intelligence and Information Systems
• /
• v.15 no.4
• /
• pp.23-36
• /
• 2009

Network intrusion detection have been continuously improved by using data mining techniques. There are two kinds of methods in intrusion detection using data mining-supervised learning with class label and unsupervised learning without class label. In this paper we have studied the way of improving network intrusion detection accuracy by using LBG clustering algorithm which is one of unsupervised learning methods. The K-means method, that starts with random initial centroids and performs clustering based on the Euclidean distance, is vulnerable to noisy data and outliers. The nonuniform binary split algorithm uses binary decomposition without assigning initial values, and it is relatively fast. In this paper we applied the EM(Expectation Maximization) based LBG algorithm that incorporates the strength of two algorithms to intrusion detection. The experimental results using the KDD cup dataset showed that the accuracy of detection can be improved by using the LBG algorithm.

• Proceedings of the Korean Institute of Navigation and Port Research Conference
• /
• 2022.11a
• /
• pp.265-267
• /
• 2022

선박 기관시스템이 효율적이고 안이정적인 운용을 위해서는 실시간 상태 모니터링 기반의 이상탐지, 고장진단 더 나아가 고장예측에 따른 대응조치를 할 수 있는 기술이 필요하며 이를 상태기반 유지관리(Condition Based Maintenance, CBM)이라 지칭한다. 해당 기술을 개발 및 확보하기 위해서는 가장 우선적으로 기관시스템에 대한 다양한 고장 데이터가 확보되어야 하며 이후, 확보된 데이터에 대한 특징추출 등 전처리 알고리즘, 고장 진단 및 예측 알고리즘 등을 개발하여야 한다. 본 연구에서는 선박 추진용 엔진 및 발전기 엔진에 대한 상태기반 유지관리 기술의 개발현황과 향후 지속적인 연구 추진방향을 소개하고자 한다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2003.05c
• /
• pp.2025-2028
• /
• 2003

다양한 위협과 침입공격에 노출되어 있는 조직의 경우, 특정 제품에서 제공하는 한정된 침입탐지패턴의 한계를 극복하여 침입사건을 효과적으로 탐지하여 대응하기 위하여 이기종 침입탐지시스템 설치 및 운용이 요구된다. 이기종 침입탐지시스템 운용은 침입탐지 감사데이터 포맷이 제품별로 상이하고, 두개 제품 이상에 구현된 동일한 침입탐지 패턴이라도 설계의 차이점에 기인하여 오판률 가능성이 증가할 가능성이 있으며, 특히 탐지사건에 대한 대응으로 e-mail, SMS 등을 이용할 경우 중복 탐지로 인한 과도한 대응 등의 문제점이 있을 수 있으므로 이기종 침입탐지시스템 운영 환경에 적합한 기종간 통합 및 대응 모델과 관련 모듈 설계에 관한 연구가 필요하다 본 논문에서는 최근 연구되는 Aggregation 및 Correlation 개념을 적용하여 이기종 침입탐지시스템 운용 환경에서 침입탐지패턴 통합 및 대응을 위한 요구사항을 도출하고 통합 및 대응을 위한 IPMAC 모델 및 탐지알고리즘을 제시하여 관련 모듈을 설계 및 구현한 결과를 제안한다.

• Journal of the Korea Institute of Information and Communication Engineering
• /
• v.15 no.4
• /
• pp.765-772
• /
• 2011

In this paper, a simulation-based method is presented to dispose direction finders in three dimensional space for locating targets using the directional data. A direction finder(DF) is a military weapon that is used to find locations of targets that emit radio frequencies by operating two or more DFs simultaneously. If one or more DFs are operated in the air, the accuracy of location estimation can be enhanced by disposing them in a better configuration. By extending the line method, which is a well-known algorithm for 2-D location estimation, into 3-D space, the problem of 3-D location estimation is defined as an nonlinear programming form and solved analytically. Then the optimal disposition of DFs is considered with the presented method in which methods of simulation and search technique are combined. With the suggested algorithm for 3-D disposition of DFs, regions in which targets exist can be effectively covered so that the operation effect of DF be increased.

• Proceedings of the Korean Society of Computer Information Conference
• /
• 2022.07a
• /
• pp.81-84
• /
• 2022

제조 산업에서의 이상치 검출은 생산품의 품질과 운영비용을 절감하기 위한 중요한 요소로 최근 딥러닝을 사용하여 자동화되고 있다. 이상치 검출을 위한 딥러닝 기법에는 CNN이 있으며, CNN을 계층적으로 구성할 경우 단일 CNN 모델에 비해 상대적으로 성능의 향상을 보일 수 있다는 것이 많은 선행 연구에서 나타났다. 이에 MVTec-AD 데이터셋을 이용하여 계층 CNN이 다중 클래스 이상치 판별 문제에 대해 효과적인지를 탐구하고자 하였다. 실험 결과 단일 CNN의 정확도는 0.7715, 계층 CNN의 정확도는 0.7838로 다중 클래스 이상치 판별 문제에 있어 계층 CNN 방식 접근이 다중 클래스 이상치 탐지 문제에서 알고리즘의 성능을 향상할 수 있음을 확인할 수 있었다. 계층 CNN은 모델과 파라미터의 개수와 리소스의 사용이 단일 CNN에 비하여 기하급수적으로 증가한다는 단점이 존재한다. 이에 계층 CNN의 장점을 유지하며 사용 리소스를 절약하고자 하였고 K-means, GMM, 계층적 클러스터링 알고리즘을 통해 제작한 새로운 클래스를 이용해 계층 CNN을 구성하여 각각 정확도 0.7930, 0.7891, 0.7936의 결과를 얻을 수 있었다. 이를 통해 Clustering 알고리즘을 사용하여 적절히 물체를 분류할 경우 물체에 따른 개별 상태 판단 모델을 제작하는 것과 비슷하거나 더 좋은 성능을 내며 리소스 사용을 줄일 수 있음을 확인할 수 있었다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2008.05a
• /
• pp.935-938
• /
• 2008

DoS/DDoS 공격과 웜 공격으로 대표되는 트래픽 폭주 공격은 그 특성상 사전 차단이 어렵기 때문에 빠르고 정확한 탐지는 공격 탐지 시스템이 갖추어야 할 필수요건이다. 기존의 SNMP MIB 기반 트래픽 폭주공격 탐지 방법은 1 분 이상의 탐지 시간을 요구하였다. 본 논문은 SNMP MIB 객체의 상관 관계를 이용한 빠른 트래픽 폭주 공격 탐지 알고리즘을 제안한다. 또한 빠른 탐지 시간으로 발생되는 시스템의 부하와 탐지 트래픽을 최소화하는 방안도 함께 제시한다. 공격 탐지 방법은 3 단계로 구성되는데, 1 단계에서는 MIB 정보의 갱신주기를 바탕으로 탐지 시점을 결정하고, 2 단계에서는 MIB 정보간의 상관 관계를 이용하여 공격의 징후를 판단하고, 3 단계에서는 프로토콜 별 상세 분석을 통하여 공격 탐지뿐만 아니라 공격 유형까지 판단한다. 따라서 빠르고 정확하게 공격을 탐지할 수 있고, 공격 유형을 분류해 낼 수 있어 신속한 대처가 가능해 질 수있다.

• The Korean Journal of Applied Statistics
• /
• v.29 no.4
• /
• pp.699-706
• /
• 2016

Outlier detection methods without performing a test often do not succeed in detecting multiple outliers because they are structurally vulnerable to a masking effect or a swamping effect. This paper considers testing procedures supplemented to a clustering-based method of identifying the group with a minority of the observations as outliers. One of general steps is performing a variety of t-test on individual outlier-candidates. This paper proposes a sequential procedure for searching for outliers by changing cutoff values on a cluster tree and performing a test on a set of outlier-candidates. The proposed method is illustrated and compared to existing methods by an example and Monte Carlo studies.