• Proceedings of the Korea Society for Simulation Conference
• /
• 2000.11a
• /
• pp.125-130
• /
• 2000

침입 탐지 시스템이 침입 행위를 탐지하기 위해서 시간에 대한 처리를 고려하지 않고는 침입을 탐지할 수 없는 경우(예 Denial of Service)가 존재한다. 즉 사건의 발생 시점에 대한 처리없이는 침입 탐지가 불가능하다. 본 논문에서는 시뮬레이션 모델을 통하여 시간에 관한 처리를 체계적으로 구성하고, 여러 가지 상황을 조성하여 반복적으로 실행함으로써 침입 탐지 시스템의 핵심 요소인 침입 판별을 효과적으로 수행할 수 있도록 하였다.

• Convergence Security Journal
• /
• v.1 no.1
• /
• pp.57-68
• /
• 2001

Computer security is considered important because of the side effect generated from the expansion of computer network and rapid increase of the use of computer. Intrusion Detection System(IDS) has been an active research area to reduce the risk from intruders. In this paper, the Hybrid Intrusion Detection System(HIDS) based biometric immuntiy collects and filters audit data by misuse detection is innate immune, and anomaly detection is acquirement immune in multi-hosts. Since, collect and detect audit data from one the system in molt-hosts, it is design and implement of the intrusion detection system which has the immuntiy the detection intrusion in one host possibly can detect in multi-hosts and in the method of misuses detection subsequently.

• Proceedings of the Korean Information Science Society Conference
• /
• 2002.10e
• /
• pp.571-573
• /
• 2002

네트워크 관련 기술들이 테라급으로 급속히 발전하고 있는데 비해, 상대적으로 네트워크의 발전 속도에 뒤지고 있는 네트워크 침입 탐지 시스템의 성능 향상을 위해서, 기존의 소프트웨어 방식으로 구현된 침입 탐지 시스템을 고속의 패킷 처리에 뛰어난 성능을 가지고 있는 네트워크 프로세서를 이용하여 재설계 및 구현하였다. 네트워크 침입 탐지 시스템에서 대부분의 수행시간을 차지하는 네트워크 패킷을 분류하고, 이상 패킷을 탐지하는 기능을 인텔의 IXP1200 네트워크 프로세서의 마이크로엔진이 고속으로 패킷을 처리하게 함으로써 네트워크 침입 탐지 시스템의 성능 향상을 도모하였다.

• Proceedings of the Korean Information Science Society Conference
• /
• 2001.10a
• /
• pp.643-645
• /
• 2001

최근 몇 년간에 이루어 진 네트웍 및 인터넷 시장의 발전과 더불어 성장한 시스템에 대한 침입 등은 이를 방어하기 위한 여러 도구의 개발을 가져왔단다. 이러한 도구들 중 침입탐지시스템은 시스템 방어에 핵심적인 역할을 하는데, 현재까지 이를 평가하기 위한 자동화된 온라인 평가도구는 없는 실정이다. 보안관련 학문 및 시장이 발달한 미국에서는 DARPA의 지원아래 관련된 연구가 진행되어 1998년과 1999년 대규모의 침입탐지시스템 평가가 이루어졌으나, 이때의 평가들은 당시의 침입 수준만을 고려한 것으로 새로운 침입 환경에 대한 확장은 용이하지 않기에, 급속도로 발전하는 침입 기술에 대응하기 위한 새로운 방법이 필요하다. 본 논문에서는 새로운 침입 환경에 적응적이며 실시간으로 다량의 침입에 대한 정량적 탐지성능을 측정하고 결과를 통계적으로 분석하여 출력할 수 있는 통계적인 침입탐지 평가도구를 개발한다.

• Journal of the Korea Institute of Information Security & Cryptology
• /
• v.16 no.3
• /
• pp.65-76
• /
• 2006

This paper deals with an effective algerian aimed at improving the port scan detection in an intrusion detection system (IDS). In particular, a detection correlation algerian is proposed to maximize the detection capability in the network-based IDS whereby the 'misuse' is flagged for analysis to establish intrusion profile in relation to the overall port scan detection process. In addition, we establish an appropriate system maintenance policy for port scan detection as preprocessor for improved port scan in IDS, thereby achieving minimum false positive in the misuse detection engine while enhancing the system performance.

• Annual Conference of KIPS
• /
• 2004.05a
• /
• pp.1091-1094
• /
• 2004

전통적인 호스트 기반 침입탐지시스템과 네트워크 기반 침입탐지시스템은 각각 로그 데이터나 패킷 정보에서 단일 공격을 탐지하고 침입경보를 생성한다. 그러므로, 기존의 침입탐지시스템들은 침입경보간의 상호 연관성에 대한 정보가 부족하게 되고, 다수의 거짓 침입경보를 발생시킨다. 이를 해결하기 위해, 본 논문에서는 추론 규칙을 이용하는 침입경보 연관관계 시스템을 제안한다. 제안한 시스템은 침입경보 수집기, 침입경보 전처리기, 침입경보 연관관계 분석기로 구성되어 있다. 침입경보 수집기는 각 침입탐지시스템으로부터 필터링 과정을 거쳐 전송된 침입경보를 받아 침입경보 데이터베이스에 저장한다. 침입경보 전처리기는 불필요한 침입경보를 줄임으로써 침입경보 연관관계 분석의 효율성을 높인다. 마지막으로, 침입경보 연관관계 분석기는 추론 규칙을 이용하여 침입경보간의 상호연관성을 파악한다.

• Proceedings of the Korean Information Science Society Conference
• /
• 2002.10c
• /
• pp.454-456
• /
• 2002

본 논문에서는 센서(센서 파일, 센서 데이터 등)를 이용한 침입 탐지 시스템인 SbIDS(Sensor based Intrusion Detection System)를 제안한다. 리눅스 시스템에 구현된 SbIDS는 호스트 기반 침입탐지 기법과 네트워크 기반 침입탐지 기법이 통합된 시스템으로, 일차적으로 커털 수준에서 침입을 감지하고 대응하는 KMOD 모듈과 이차적으로 네트워크 수준에서 침입을 감지하고 대응하는 NetMOD 모듈로 구성되어 있어 호스트 내에서의 침입과 네트워크를 통한 침입을 동시에 탐지할 수 있다. SbIDS를 이용한 침입 탐지를 위해 먼저 주요 디렉토리에는 센서 파일을, 주요 파일에는 센서 데이터를 설치한다. 그 다음, 침입자에 의해 센서가 접근될 때마다 위기 상황으로 보고 커널 수준과 네트워크 수줄에서 로그를 작성하며, 공격자를 식별하여 추적할 수 있고 침입으로 판단될 경우 해당 프로세스를 조기에 종료시킬 수 있도록 구현하였다.

• Journal of the Korea Computer Industry Society
• /
• v.3 no.7
• /
• pp.953-956
• /
• 2002

The threat to the network is increasing due to explosive increasing use of the Internet. Current IDS(Intrusion Detection System) detects intrusion and does individual response in small area network. It is important that construction of infra to do response in all system environment through sharing information between different network domains. This paper provides a policy-based IDS management architecture enabling management of intrusion detection systems. The IIDS(Integrated Intrusion Detection System) is composed of IDAs(Intrusion Detection Agents). We describe requirements in design and the elements of function.

• Proceedings of the Korean Information Science Society Conference
• /
• 2003.04a
• /
• pp.383-385
• /
• 2003

침입 탐지 시스템에 이상 탐지 기법(anormal detection)을 적용할 때 정상적인 시스템호출 순서에 대한 훈련이 필요하다. 이 때 발생하는 가장 큰 문제점중 하나는 침입 없는 훈련 데이터의 확보이다. 훈련 데이터에 침입이 있으면 이 침입을 정상으로 간주해서 이후에 같은 침입이 일어나도 이를 탐지해 내지 못하기 때문이다. 하지만, 침입 없는 훈련 데이터를 얻는 것은 매우 어렵다. 본 논문에서는 훈련 데이터에 침입이 포함되어 있더라도 효과적으로 침입을 탐지할 수 있는 시스템 호출 기반 침입 탐지 기법을 제안한다. 제안 기법은 훈련 데이터에 침입이 존재할 경우 침입 부분에서 빈도가 매우 적은 데이터들이 연속적으로 나타나는 성질을 이용한다. 이를 위해 훈련 데이터를 일정 개수씩 블록으로 묶은 뒤 평균 빈도를 계산해서 그 값이 임계치보다 작은 경우 이를 침입 데이터로 간주하여 훈련 데이터에서 제외하는 방법을 사용하였다. 실험 결과 블록 크기를 적절하게 잡았을 경우 기존의 Eskin 기법보다 향상된 결과를 얻을 수 있었다.

• Proceedings of the Korean Information Science Society Conference
• /
• 2001.10a
• /
• pp.646-648
• /
• 2001

최근의 침입이나 공격들은 광범위한 망의 이용과 긴 시간을 두고 공격을 행하는 추세로 발전하고 있다. 이러한 공격들에 대한 탐지 및 대응을 위하여 침입탐지 시스템들은 시스템에 걸쳐 있는 정보의 공유, 침입이나 공격에 적극 대응하기 위한 자원의 이용 등의 상호협력이 요구되고 있다. 본 논문에서는 시스템에서 기록하는 많은 종류의 로그 정보를 침입 탐지에 이용할 수 있는 정보만을 추출하고 분석하여 저장함으로써, 침입 탐지 시스템이 이용할 수 있게 하고, 다른 시스템에서 정보를 필요로 할 때 제공할 수 있으며, 또한 침입이라 간주되어지는 행위에 대하여 대응하기 위한 추적 및 정보 수집 그리고 접속 거부 등을 행하는 Agent 시스템의 설계 및 개발을 목적으로 한다. 이를 위해 리눅스 시스템 기반 하에서 로그를 기록하는 SYSLOG, 발생한 시스템 콜 정보를 기록하는 LSM, 망에서 시스템으로 들어오는 패킷을 분석하는 Pcap Library를 이용한 로그 등을 통합하는 과정을 설명하고, 침입탐지 시스템에 의해서 침입이라 판단되었을 경우, DART Agent가 그 경로를 역추적하고 여러 시스템에 걸쳐 있는 정보들을 수집하는 과정, 고리고 공격에 대한 대응을 하는 과정을 설명한다.