• Proceedings of the Korea Information Processing Society Conference
• /
• 2003.05c
• /
• pp.2049-2052
• /
• 2003

인터넷의 급속한 발전으로 인한 유용성 이면에는, 공공 시스템에 대한 악의적인 침입에 따른 피해가 날로 증가되고 있다. 이에 대비하기 위한 침입 탐지 시스템들이 소개되고 있으나, 공격의 형태가 다양하게 변화되고 있기 때문에 침입탐지 시스템도 이에 대비할 수 있도록 지속적인 연구 노력이 필요하다. 최근의 다양한 연구노력 중에는 데이터 마이닝 기법을 이용하여 침입자의 정보를 분석하는 연구가 활발히 진행되고 있다. 본 논문에서는 데이터 마이닝 기법을 사용하여 KDD CUP 99의 훈련 집합(Training Set)을 기반으로 효과적인 분류를 하기 위한 모델을 제시하였다. 제시된 모델에서는 휴리스틱을 적용하여 효과적으로 필요한 데이터를 생성할 수 있었으며, 또한 각 공격 유형마다 분류자를 두어 보다 정확하고 효율적인 탐지가 가능하도록 하였다.

• Proceedings of the Korea Multimedia Society Conference
• /
• 2003.05b
• /
• pp.314-317
• /
• 2003

기존의 침입탐지 시스템에서는 오용탐지모델이 널리 사용되고 있다. 이 모델은 낮은 오판율(False Alarm rates)을 가지고 있으나, 새로운 공격에 대해 전문가시스템(Expert Systems)에 의한 규칙추가를 필요로 한다. 그리고 그 규칙과 완전히 일치되는 시그너처만 공격으로 탐지하므로 변형된 공격을 탐지하지 못한다는 문제점을 가지고 있다 본 논문에서는 이러한 문제점을 보완하기 위해 주성분분석(Principle Component Analysis; 이하 PCA)과 서포트 벡터 머신(Support Vector Machines; 이하 SVM)을 이용한 침입탐지 시스템을 제안한다. 네트워크 상의 패킷은 PCA를 이용하여 결정된 주성분 공간에서 해석되고, 정상적인 흐름과 비정상적인 흐름에 대한 패킷이미지패턴으로 정규화 된다. 이러한 두 가지 클래스에 대한 SVM 분류기를 구현한다. 개발하는 침입탐지 시스템은 알려진 다양한 침입유형뿐만 아니라, 새로운 변종에 대해서도 분류기의 유연한 반응을 통하여 효과적으로 탐지할 수 있다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2010.11a
• /
• pp.1324-1326
• /
• 2010

본 논문은 고성능망에서 침입 탐지를 위한 침입 탐지 시스템의 효율적인 병렬 구조를 제안한다. 최근 네트워크 인프라의 급속한 성장에 의해 가정까지 광 통신 인프라가 깔리는 고성능망 시대가 되었다. 급격한 인프라의 발달은 스트리밍 서비스와 같은 콘텐츠 서비스의 질을 향상시켰지만, 트래픽이 기존 보안 장치들의 허용 용량을 넘어서게 되어 단일 보안 제품이 트래픽 전체를 감당할 수 없게 되었다. 따라서 고성능망의 침입 탐지를 위해 효율적으로 기존의 침입 탐지 시스템을 연계하기 위한 연구가 진행되고 있다. 본 논문에서는 서비스와 공격 빈도를 기반으로 트래픽을 분류함으로써 효율적인 트래픽 분산 기법을 제시한다.

• The KIPS Transactions:PartC
• /
• v.10C no.3
• /
• pp.295-304
• /
• 2003

Currently security researchers focus on protection of program and data from malicious users and accidents. Therefore, many firewalls and intrusion detection systems have been developed commercially. The intrusion tolerance is a new concept that is the last line of defense for the information survivability. It emphasizes availability and integrity to provide critical system services continuously even when system is compromised. In this paper, we classify current intrusion tolerant technologies from the point of view of program and data. Furthermore, we propose an integrated framework that supports intrusion tolerance of program and data.

• The Journal of the Institute of Internet, Broadcasting and Communication
• /
• v.19 no.1
• /
• pp.1-8
• /
• 2019

Among the methods for extracting the most appropriate information from a large amount of log data, there is a method using inductive inference. In this paper, we use SVM (Support Vector Machine), which is an excellent classification method for inductive inference, in order to determine the ranking of intrusion logs in digital forensic analysis. For this purpose, the logs of the training log set are classified into intrusion logs and normal logs. The associated words are extracted from each classified set to generate a related word dictionary, and each log is expressed as a vector based on the generated dictionary. Next, the logs are learned using the SVM. We classify test logs into normal logs and intrusion logs by using the log set extracted through learning. Finally, the recommendation orders of intrusion logs are determined to recommend intrusion logs to the forensic analyst.

• Proceedings of the Korea Multimedia Society Conference
• /
• 2002.05d
• /
• pp.930-935
• /
• 2002

본 논문은 불법 침입 탐지를 위한 정보시스템 구축에 있어 많은 연구가 진행되고 있는 침입 탐지 시스템(IDS: Intrusion Detection System)중 네트워크 기반의 오용(Misuse) 탐지 모델을 이용하여 침입 탐지 시스템을 설계 및 구현하였다. 구현된 침입 탐지 시스템은 K4 인증 기준을 모델로 삼았으며, 탐지하는 시그너쳐의 분류상 Content, DoS, Probing을 대상으로 설계되었으며, 원격으로 시스템의 관리와 감독이 가능하도록 구현하였다.

• Proceedings of the Korean Information Science Society Conference
• /
• 2002.10e
• /
• pp.571-573
• /
• 2002

네트워크 관련 기술들이 테라급으로 급속히 발전하고 있는데 비해, 상대적으로 네트워크의 발전 속도에 뒤지고 있는 네트워크 침입 탐지 시스템의 성능 향상을 위해서, 기존의 소프트웨어 방식으로 구현된 침입 탐지 시스템을 고속의 패킷 처리에 뛰어난 성능을 가지고 있는 네트워크 프로세서를 이용하여 재설계 및 구현하였다. 네트워크 침입 탐지 시스템에서 대부분의 수행시간을 차지하는 네트워크 패킷을 분류하고, 이상 패킷을 탐지하는 기능을 인텔의 IXP1200 네트워크 프로세서의 마이크로엔진이 고속으로 패킷을 처리하게 함으로써 네트워크 침입 탐지 시스템의 성능 향상을 도모하였다.

• Proceedings of the Korean Information Science Society Conference
• /
• 2007.06d
• /
• pp.21-24
• /
• 2007

ESM 에서 보안이벤트 분석기술에는 실시간 보안이벤트 필터링 기술, 보안이벤트 상호연관분석기술, 보안이벤트 시각화 분석기술이 활용되고 있다. 기존 보안이벤트 분석기술에서 탐지하지 못하는 미탐을 감소시키고 침입 탐지율을 향상시키기 위하여 보안이벤트 프로파일링 기술을 접목한 침입추론 기술을 제안한다. 보안이벤트를 네트워크 분류, 호스트 분류, 웹 이벤트 분류로 유형을 구분하고 각각을 프로파일링 하여 네트워크 공격의 Anomaly와 웹 어플리케이션 공격을 탐지할 수 있다.

• KIPS Transactions on Software and Data Engineering
• /
• v.8 no.12
• /
• pp.483-490
• /
• 2019

In the Network Intrusion Detection System (NIDS), the function of classification is very important, and detection performance depends on various features. Recently, a lot of research has been carried out on deep learning, but network intrusion detection system experience slowing down problems due to the large volume of traffic and a high dimensional features. Therefore, we do not use deep learning as a classification, but as a preprocessing process for feature extraction and propose a research method from which classifications can be made based on extracted features. A stacked AutoEncoder, which is a representative unsupervised learning of deep learning, is used to extract features and classifications using the Random Forest classification algorithm. Using the data collected in the IOT environment, the performance was more than 99% when normal and attack traffic are classified into multiclass, and the performance and detection rate were superior even when compared with other models such as AE-RF and Single-RF.

• Proceedings of the Korean Institute of Information and Commucation Sciences Conference
• /
• 2022.10a
• /
• pp.131-132
• /
• 2022

We generate classifications and scenarios for intrusions based on 3D LiDAR Data. Research was conducted to analyze and diversify various actual intrusion cases to establish a system that can recognize objects and identify and guard data on intrusion. By generating and simulating basic scenarios for cars, people, animals, natural objects and etc, we create a classification scheme necessary to build and evaluate systems for intrusion. Based on the finally constructed scenario, we add variables for vehicles and surrounding objects to diversify scenarios, and lay the foundation for building accurate and automated alerting systems for future intrusions.