• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2002년도 추계학술발표논문집 (중)
• /
• pp.1031-1034
• /
• 2002

본 논문에서는 커널수준의 침입탐지를 위한 동적 침입탐지 규칙 변경 기법을 제안한다. 제안하는 기법은 침입탐지 규칙은 규칙타입 프로토콜 타입, 패킷 헤더와 패킷 페이로드에 대한 검사를 수행하기 위한 규칙들로 세분화하여 LVR로 표현하고 이들 LVR이 계층적으로 구성된 IDRL로 관리한다. 침입탐지는 IDRL을 이용하여 수행하며, 규칙에 대한 변경은 변경된 규칙에 대한 LVR을 구성하고 LV를 이용한 포인터 변경을 이용하여 IDRL에 반영하는 방법이다. 제안하는 기법은 IDRL을 이용한 침입탐지와 탐지규칙의 변경을 IDRL에 최소한의 비용으로 수행하고, LVR을 이용하여 침입탐지 규칙을 디스크와 메모리에 동일한 형태로 저장 및 관리하여 탐지규칙 초기화 비용과 변경 비용을 최소화할 수 있다. 이를 통하여 보다 안전한 커널 수준에서의 네트워크 보안을 위한 효율적인 동적 침입탐지 규칙 변경을 지원할 수 있다는 장점을 가진다.

• 한국정보과학회:학술대회논문집
• /
• 한국정보과학회 2003년도 가을 학술발표논문집 Vol.30 No.2 (1)
• /
• pp.706-708
• /
• 2003

침입탐지 시스템 중 하나인 오용탐지 시스템은 축적된 침입패턴 정보를 이용하기 때문에 새로운 침입에 대하여 새로운 정의가 필요하다. 이러한 문제점을 극복하여 새로운 침입에 대하여 일일이 정의하지 않고 자동으로 새로운 규칙을 생성하도록 하는 것이 좀 더 바람직하다. 본 논문에서는 새로운 규칙을 찾기 위한 방법으로 생물의 진화과정을 모델링한 유전자 알고리즘(GA)을 이용하였다. GA는 계산에 의존한 방법에 비하여 전역적인 해를 구할 때 더 효율적이다. GA를 이용하여 규칙을 자동 생성하고 침입을 탐지할 수 있는 규칙을 찾아가는 방식을 제안하였다. 실험 결과에서는 GA를 이용하여 자동 생성된 규칙으로 40~60%의 탐지율로 침입을 탐지할 수 있다는 것을 확인하였다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2002년도 추계학술발표논문집 (중)
• /
• pp.975-978
• /
• 2002

본 연구는 네트워크 기반 침입탐지 시스템(NIDS)의 우회공격 방지를 위한 적응적 규칙 추정 알고리즘(ARE; Adaptive Rule Estimation)을 제안한다. 네트워크 기반 침입탐지 시스템에서 가장 많이 사용하는 침입탐지 방법은 규칙 기반의 패턴 매칭 기법이며, 이 방법은 삽입과 삭제에 의한 우회 공격에 많은 취약성을 가지고 있다. 본 연구에서는 이러한 삽입과 삭제에 의한 우회 공격을 방지 하고자 하는 취지에서 제안된 알고리즘이다. 적응적 규칙 추정에 의한 침입 탐지 알고리즘은 두 개의 과정으로 구성되며, 전처리 부분에서는 최적의 규칙을 선택하고, 주처리 부분에서 적응적으로 규칙 패턴의 변형된 위치를 찾아서 비교 판단하는 과정으로 이루어져 있다. 제안된 적응적 규칙 추정 알고리즘은 기존의 규칙 기반 패턴 매칭에서 우회공격이 가능한 것들이 탐지되며, 미탐지 확률을 줄일 수 있다.

• 한국지능시스템학회:학술대회논문집
• /
• 한국퍼지및지능시스템학회 2000년도 춘계학술대회 학술발표 논문집
• /
• pp.303-306
• /
• 2000

본 논문에서는 선박에서 화재탐지를 위해서 규칙 기반 추론과 사례 기반 추론을 통합하는 방법에 대해서 논의하였다. 규칙은 어떤 영역에서 광범위한 경향을 표현하는데 적합하며 사례는 규칙에서 예외적인 상황을 다루는데 적합하다는 점에서 규칙과 사례는 상호 보완적이라 할 수 있다. 즉 어떤 행동이 충분히 반복되면 자연스럽게 규칙이 되며, 잘 확립된 규칙이 있다면 사례를 먼저 추론할 필요가 없다. 그러나 규칙이 실패하게 되면 실패를 만회하기 위해서 사례를 생성하는 것이 하나의 대안이 될 수 있다. 본 논문에서는 일반적인 화재탐지 지식은 규칙으로 표현하고, 예외적인 화재탐지 지식은 사례로 표현함으로써 규칙과 사례가 서로 보완적인 역할을 할 수 있는 통합 방법을 제안하였다. 또한 기존의 규칙 기반 FFES(Fire Fighting Expert System)와 사례기반 추론에 의해 확장된 C-FFES(Combined-Fire Fighting Expert System)를 비교를 통해, 제안한 접근 방법이 화재 탐지율을 향상시킴을 보였다.

• 한국정보과학회:학술대회논문집
• /
• 한국정보과학회 2012년도 한국컴퓨터종합학술대회논문집 Vol.39 No.1(C)
• /
• pp.304-306
• /
• 2012

IDS는 네트워크를 통해 외부에서 들어오는 공격을 감지하고 차단하는 시스템으로 Snort는 대표적으로 널리 이용되고 있는 비상업적 IDS이다. Snort는 서버로 들어오는 패킷과 침입탐지 규칙을 비교하여 네트워크 공격을 탐지한다. 네트워크 공격이 다양해지고 인터넷 사용이 증가하면서 탐지할 대상이 많아졌기 때문에 Snort의 성능을 유지하기 어려워지고 있다. 따라서 소프트웨어적으로 탐지엔진의 알고리즘을 성능을 향상시키거나 하드웨어적으로 패킷처리 능력을 향상시키는 연구가 진행되고 있다. 본 논문에서는 소프트웨어나 하드웨어적인 성능 향상과는 달리 침입탐지 규칙에 기반하여 이를 좀 더 명확하고 효율적으로 정하고 관리하여 Snort의 성능을 향상시키는 접근방법을 제안하였다. 이를 위해 우선적으로 Snort의 침입탐지 규칙에 대해 분석하였고 그 중 개선할 수 있는 Snort 규칙에 대해서 새로운 침입탐지 규칙을 제안을 하였다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2003년도 춘계학술발표논문집 (하)
• /
• pp.2173-2176
• /
• 2003

본 논문에서는 네트워크 기반 분산 침입탐지 시스템을 위한 커널 수준 침입탐지 기법을 제안한다. 제안하는 기법은 탐지분석으로 침입탐지 과정을 분리하고 침입탐지 규칙 생성 요구에 대한 침입탐지 자료구조로의 변환을 사용자 응용 프로그램 수준에서 수행하며 생성된 자료구조의 포인터 연결을 커널 수준에서 수행한다. 침입탐지 규칙 변경은 노드를 삭제하지 않고 삭제표시만 수행하고 새로운 노드를 추가하는 삭제마크 띤 노드추가 방식 통하여 수행한다 제안하는 기법은 탐지과정의 분리를 통해 분산 네트워크 환경에 효율적으로 적용할 수 있으며 커널기반 침입탐지 방식을 사용하여 사용자 응용 프로그램으로 동작하는 에이전트기반의 침입탐지 기법에 비해 탐지속도가 빠르다. 침입탐지 규칙 변경은 삭제마크 및 노드추가 방식을 통해서 규칙변경과 침입탐지를 동시에 수행하기 위한 커널의 부하를 줄일 수 있다. 이를 통해 다양한 네트워크 공격에 대하여 신속하게 대응할 수 있다. 그러므로, 서비스거부 공격과 같이 네트워크 과부하가 발생하는 환경에서도 신속한 침입탐지와 탐지효율을 증가시킬 수 있다는 장점을 가진다.

• 인터넷정보학회논문지
• /
• 제20권2호
• /
• pp.9-19
• /
• 2019

인터넷을 통한 서비스 및 사용자가 급격하게 증가하고 있다. 이에 따라 사이버 공격도 증가하고 있으며, 정보 유출, 금전적 피해 등이 발생하고 있다. 정부, 공공기관, 회사 등은 이렇게 급격한 사이버 공격 중 알려진 악성코드에 대응하기 위하여 시그니처 기반의 탐지규칙을 이용한 보안 시스템을 사용하고 있지만, 시그니처 기반의 탐지규칙을 생성하고 검증하는 데 오랜 시간이 걸린다. 이런 문제를 해결하기 위하여 본 논문에서는 잠재 디리클레 할당 알고리즘을 통한 시그니처 추출과 트래픽 분석 기술 등을 이용하여 시그니처 기반의 탐지규칙 생성 및 검증 시스템을 제안하고 개발하였다. 개발한 시스템을 실험한 결과, 기존보다 훨씬 신속하고, 정확하게 탐지규칙을 생성하고 검증하였다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2015년도 춘계학술발표대회
• /
• pp.380-383
• /
• 2015

오용 탐지모델 기반의 침입탐지시스템은 새로운 사이버 공격을 탐지하기 위해 지속적으로 탐지규칙을 생성해야 한다. 공격에 대한 특징을 정확히 식별하지 못하고 탐지규칙을 생성할 경우 많은 false positive를 발생시키며, 이로 인해 침해사고 대응시간이 늦어진다. 본 논문에서는 침입탐지시스템에서 탐지된 이벤트의 true positive와 false positive 데이터를 Keyword Tree의 node에 경로를 지나가는 횟수를 누적하는 값을 포함시킨 자료구조를 기반으로 비교분석하여 false positive를 감소시킬 수 있는 탐지규칙 패턴 생성 기법을 제안한다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2003년도 춘계학술발표논문집 (하)
• /
• pp.1579-1582
• /
• 2003

점차 네트워크상의 침입 시도가 증가되고 다변화되어 침입탐지에 많은 어려움을 주고 있다. 시스템에 새로운 침입에 대한 탐지능력과 다량의 감사데이터의 효율적인 분석을 위해 데이터마이닝 기법이 적용된다. 침입탐지 방법 중 비정상행위 탐지는 모델링된 정상행위에서 벗어나는 행위들을 공격행위로 간주하는 기법이다. 비정상행위 탐지에서 정상행위 모델링을 하기 위해 연관규칙이나 빈발에피소드가 적용되었다. 그러나 이러한 기법들에서는 시간요소를 배제하거나 패턴들의 발생순서만을 다루기 때문에 정확하고 유용한 정보를 제공할 수 없다. 따라서 이 논문에서는 이 문제를 해결할 수 있는 시간연관규칙과 분류규칙을 이용한 비정상행위 탐지 모델을 제안하였다. 즉, 발생되는 패턴의 주기성과 달력표현을 이용, 유용한 시간지식표현을 갖는 시간연관규칙을 이용해 정상행위 프로파일을 생성하였고 이 프로파일에 의해 비정상행위로 간주되는 규칙들을 발견하고 보다 정확한 비정상행위 판별 여부를 결정하기 위해서 분류기법을 적용하였다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2005년도 추계학술발표대회 및 정기총회
• /
• pp.965-968
• /
• 2005

본 논문에서는 보안 정책 및 규칙에 기반을 둔 네트워크 포트 기반의 오용침입 탐지 기능 및 센서 객체 기반의 이상침입 탐지 기능을 갖춘 리눅스 서버 시스템을 제안 및 구현한다. 제안한 시스템은 먼저 시스템에 사용하는 보안 정책에 따른 규칙을 수립한다. 이러한 규칙에 따라 정상적인 포트들과 알려진 공격에 사용되고 있는 포트번호들을 커널에서 동적으로 관리하면서, 등록되지 않은 새로운 포트에도 이상탐지를 위해 공격 유형에 대하여 접근제어 규칙을 적용하여 이상 침입으로 판단될 경우 접근을 차단한다. 알려지지 않은 이상침입 탐지를 위해서는 주요 디렉토리마다 센서 파일을, 주요 파일마다 센서 데이터를 설정하여 센서 객체가 접근될 때마다 감사로그를 기록하면서, 이들 센서 객체에 대해 불법적인 접근이 발생하면 해당 접근을 불허한다. 본 시스템은 보안정책별 규칙에 따라 다단계로 구축하여 특정 침입에 대한 더욱 향상된 접근제어를 할 수 있다.