• Proceedings of the Korean Information Science Society Conference
• /
• 2001.10a
• /
• pp.664-666
• /
• 2001

침입탐지의 종류를 탐지 방법 측면에서 구분해보면 크게 이상탐지와 오용탐지로 나뉘어진다. 침입탐지의 주된 목적은 탐지오류를 줄이고 정확한 침입을 판가름하는데 있다. 그러나 기존의 이상탐지와 오용탐지 기법은 그 방법론상에 이미 판단오류 가능성을 내포하고 있다. 이상탐지는 정상적인 사용에 대한 템플릿을 기초로 하므로 불규칙적인 사용에 대처할 수 없고, 오용탐지는 침입 시나리오라는 템플릿에 기초하므로 알려지지 않은 침입에 무방비 상태인 문제가 있다. 침입의 주요 목적은 관리자의 권한을 얻는 것이며 그 상태에서 쉘을 얻은 후 원하는 바를 행하는 데 있을 것이다. 그러므로 그 상태를 얻으려는 프로세스와 추이와 결과를 모니터링하여 대처하면 호스트기반 침입의 근본적인 해결책이 될 수 있다. 그러므로 본 연구에서는 프로세스의 상태를 모니터링함으로써 컴퓨터시스템의 침입을 탐지하는 새로운 기술에 대해 제안하고 설명한다. 프로세스의 상태는 일반상태, 특권상태 관리자상태 등으로 구분되며, 시스템에 의해 부여된 실사용자ID, 유효ID, 실그룹ID, 유효그룹ID를 점검함으로써 이루어진다. 본 연구에서 모니터링에는 BSM을 사용하며, 호스트기반에서 사용한 프로세스의 상태 모니터링에 의한 침입탐지시스템 구현한다.

• Journal of the Korea Institute of Information Security & Cryptology
• /
• v.29 no.5
• /
• pp.1027-1037
• /
• 2019

Conventional cyber-attack detection solutions are generally based on signature-based or malicious behavior analysis so that have had difficulty in detecting unknown method-based attacks. Since the various information occurring all the time reflects the state of the system, by modeling it in a steady state and detecting an abnormal state, an unknown attack can be detected. Since a variety of system information occurs in a string form, word embedding, ie, techniques for converting strings into vectors preserving their order and semantics, can be used for modeling and detection. Novelty Detection, which is a technique for detecting a small number of abnormal data in a plurality of normal data, can be performed in order to detect an abnormal condition. This paper proposes a method to detect system anomaly by cyber attack using embedding and novelty detection.

• The Journal of Korean Institute of Communications and Information Sciences
• /
• v.34 no.3B
• /
• pp.311-317
• /
• 2009

The traditional network anomaly detection systems execute the threshold-based detection without considering dynamic network environments, which causes false positive and limits an effective resource utilization. To overcome the drawbacks, we present the adaptive network anomaly detection model based on artificial immune system (AIS) in centralized network. AIS is inspired from human immune system that has learning, adaptation and memory. In our proposed model, the interaction between dendritic cell and T-cell of human immune system is adopted. We design the main components, such as central node and router node, and define functions of them. The central node analyzes the anomaly information received from the related router nodes, decides response policy and sends the policy to corresponding nodes. The router node consists of detector module and responder module. The detector module perceives the anomaly depending on learning data and the responder module settles the anomaly according to the policy received from central node. Finally we evaluate the possibility of the proposed detection model through simulation.

• The Transactions of the Korea Information Processing Society
• /
• v.13 no.3
• /
• pp.130-139
• /
• 2024

Artificial intelligence models are being used to detect facility anomalies using physics data such as vibration, current, and temperature for predictive maintenance in the manufacturing industry. Since the types of facility anomalies, such as facility defects and failures, anomaly detection methods using autoencoder-based unsupervised learning models have been mainly applied. Normal or abnormal facility conditions can be effectively classified using the reconstruction error of the autoencoder, but there is a limit to identifying facility anomalies specifically. When facility anomalies such as unbalance, misalignment, and looseness occur, the facility vibration frequency shows a pattern different from the normal state in a specific frequency range. This paper presents an N-segmentation anomaly detection method that performs anomaly detection by dividing the entire vibration frequency range into N regions. Experiments on nine kinds of anomaly data with different frequencies and amplitudes using vibration data from a compressor showed better performance when N-segmentation was applied. The proposed method helps materialize them after detecting facility anomalies.

• Journal of the Korea Institute of Information and Communication Engineering
• /
• v.23 no.10
• /
• pp.1311-1319
• /
• 2019

Currently, the web environment is a commonly used area for sharing information and conducting business. It is becoming an attack point for external hacking targeting on personal information leakage or system failure. Conventional signature-based detection is used in cyber threat but signature-based detection has a limitation that it is difficult to detect the pattern when it is changed like polymorphism. In particular, injection attack is known to the most critical security risks based on web vulnerabilities and various variants are possible at any time. In this paper, we propose a novelty detection technique to detect abnormal state that deviates from the normal state on web-server log dataset(WSLD). The proposed method is a machine learning-based technique to detect a minor anomalous data that tends to be different from a large number of normal data after replacing strings in web-server log dataset with vectors using machine learning-based embedding algorithm.

• KNOM Review
• /
• v.22 no.3
• /
• pp.13-19
• /
• 2019

Network anomaly detection is a technology that collects information about flows on a network and detects malicious attacks occurring in a network in real time. In-band Network Telemetry (INT) technology provides more detailed information in real time, that is not provided by existing networks, such as hop latency and queue occupancy. In this paper, we propose the method to implement an anomaly detection system with higher performance by using INT as an input feature of machine learning and verify it through experiments.

• Proceedings of the Korean Institute of Navigation and Port Research Conference
• /
• 2022.06a
• /
• pp.95-97
• /
• 2022

다양한 소스에서 수집되고 연동되는 항로표지 상태 데이터에서의 이상탐지는 항로표지의 고장예측에 있어서 중요한 역할을 한다. 이 연구에서는 항로표지 고장예측 서비스를 위해 상태 데이터를 모델링하고 분석할 수 있는 기계학습 모델의 연구 방법을 소개한다.

• Annual Conference of KIPS
• /
• 2022.05a
• /
• pp.531-534
• /
• 2022

승차 공유, 카풀, 렌터카의 이용률이 증가하면서 많은 사용자가 동일한 차량에 로컬 액세스 할 수 있는 시나리오가 더욱 보편화됨에 따라 차량 네트워크에 대한 공격 가능성이 커지고 있다. 차량용 CAN Bus Network에 대한 DoS(Denial of Service), Fuzzy Attack 및 Replay Attack과 같은 공격은 일부 ECU(Electronic Controller Unit) 비활성 및 작동 불능 상태를 유발한다. 에어백, 제동 시스템과 같은 필수 시스템이 작동 불가 상태가 되어 운전자에게 치명적인 결과를 초래할 수 있다. 차량 네트워크 침입 탐지를 위하여 많은 연구가 진행되고 있으나, 기존 화이트리스트를 이용한 탐지 방법은 새로운 유형의 공격이 발생하거나 희소성이 높은 공격일 때 탐지하기 어렵다. 본 논문에서는 인공신경망 기반의 CAN 버스 네트워크 침입 탐지 기법을 제안한다. 제안하는 침입 탐지 기법은 2단계로 나누어 진다. 1단계에서 정상 패킷 분포를 학습한 VAE 모형이 이상 탐지를 수행한다. 이상 패킷으로 판정될 경우, 2단계에서 인코더로부터 추출된 잠재변수와 VAE의 재구성 오차를 이용하여 공격 유형을 분류한다. 분류 결과의 신뢰점수(Confidence score)가 임계치보다 낮을 경우 학습하지 않은 공격으로 판단한다. 본 연구 결과물은 정보보호 연구·개발 데이터 첼린지 2019 대회의 차량 이상징후 탐지 트랙에서 제공하는 정상 및 3종의 차량 공격시도 패킷 데이터를 대상으로 성능을 평가하였다. 실험을 통해 자동차 제조사의 규칙이나 정책을 사전에 정의하지 않더라도 낮은 오탐율로 비정상 패킷을 탐지해 낼 수 있음을 확인할 수 있다.

• Journal of the Korean Society of Marine Environment & Safety
• /
• v.27 no.1
• /
• pp.127-134
• /
• 2021

In this study, an anomaly detection (AD) algorithm was implemented to detect the failure of a marine air compressor. A lab-scale experiment was designed to produce fault datasets (time-series electric current measurements) for 10 failure modes of the air compressor. The results demonstrated that the temporal pattern of the datasets showed periodicity with a different period, depending on the failure mode. An AD model with a convolutional autoencoder was developed and trained based on a normal operation dataset. The reconstruction error was used as the threshold for AD. The reconstruction error was noted to be dependent on the AD model and hyperparameter tuning. The AD model was applied to the synthetic dataset, which comprised both normal and abnormal conditions of the air compressor for validation. The AD model exhibited good detection performance on anomalies showing periodicity but poor performance on anomalies resulting from subtle load changes in the motor.

• Proceedings of the KSRS Conference
• /
• 2009.03a
• /
• pp.101-104
• /
• 2009

기후 시스템에서 지구온난화는 세계적으로 매우 중요한 문제이고 이는 기후변화, 이상기온, 폭우, 가뭄 등의 문제를 초래한다. 특히 사막화는 전 세계적으로 10억 명 이상의 사람들에게 영향을 미치고 있다. 건조한 상태의 식생은 사막화되기 쉽기 때문에 식생의 수분상태는 사막화의 중요한 지표이다. 본 논문에서는 중국과 몽골 사막 주변영역에 대해 식생의 수분상태를 탐지하였다. 식생의 수분상태를 탐지하기 위해 1999년부터 2006년까지의 SPOT/VEGETATION 위성 이미지를 이용하여 정규화 수분지수(NDWI: Normalized Difference Water Index)를 산출하였다. 그 결과 1999년부터 2006년까지의 NDWI는 사막주변영역에서 감소하는 경향을 보였고, 그 영역은 몽골 고비사막 북동지역과 중국 타클라마칸 사막의 남동지역에 위치해 있었다.