• Proceedings of the Korean Information Science Society Conference
• /
• 2012.06a
• /
• pp.425-427
• /
• 2012

본 논문에서는 상황인지 시스템에서 규칙들간에 발생하는 충돌을 실행 이전에 탐지하기 위한 기법을 소개한다. 사용자가 새로운 규칙을 입력하면, 이벤트, 조건, 액션 정보를 단계적으로 분석하여, 동일한 이벤트가 상이한 서비스를 요구하는 규칙들을 탐지한다. 이는 실행 중에 발생되는 충돌을 감소시킴으로써, 동적 충돌 탐지 및 해결 대상을 감소시킨다. 제안된 기법은 규칙 기반 상황인지 미들웨어 상에 구현되었다.

• Proceedings of the Korea Institutes of Information Security and Cryptology Conference
• /
• 1995.11a
• /
• pp.91-104
• /
• 1995

본 논문은 UNIX 시스템에서 불법행위를 막을 수 있는 규칙 베이스 전문가 시스템의 설계에 관한 연구이다 먼저 해킹의 유형과 예방 대책에 대한 연구와 아울러 침입 탐지 기법들을 소개하였다. 본 논문에서의 설계된 시스템은 오용 탐지 기법을 적용한 상태전이 분석 침입 탐지의 규칙 베이스 전문가 시스템이다. 기존의 규칙 베이스 시스템이 침입 시나로오에 대한 원시 감사 레코드를 패턴 매칭하는 반면 상태전이 분석 시스템은 상태 변화에 관한 분석에 초점을 둠으로써 시스템의 보안 침해를 받기 직전의 임박한(Impending) 위험에 신속히 대처할 수 있다. 따라서 이러한 분석 기법을 국내에서 개발된 주 전산기 타이컴II의 감사 메카니즘과 연관시켜 규칙 베이스 침입 탐지 시스템을 설계하는 방안을 제시하고자 한다.

• Journal of the Korea Computer Industry Society
• /
• v.5 no.8
• /
• pp.781-790
• /
• 2004

This paper describes intrusion detection rule mangement using mobile agents. Intrusion detection can be divided into anomaly detection and misuse detection. Misuse detection is best suited for reliably detecting known use patterns. Misuse detection systems can detect many or all known attack patterns, but they are of little use for as yet unknown attack methods. Therefore, the introduction of mobile agents to provide computational security by constantly moving around the Internet and propagating rules is presented as a solution to misuse detection. This work presents a new approach for detecting intrusions, in which mobile agent mechanisms are used for security rules propagation. To evaluate the proposed appraoch, we compared the workload data between a rules propagation method using a mobile agent and a conventional method. Also, we simulated a rules management using NS-2(Network Simulator) with respect to time.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2001.10b
• /
• pp.919-922
• /
• 2001

최근 인터넷의 확산에 따라 여러 가지 침해사고 발생이 증가하고 있어서 시스템을 안전하게 관리하기 위한 노력들이 행해지고 있다. 본 논문에서는 NFR의 N-code언어를 이용하여 Shieh 모델의 침입패턴을 탐지할 수 있는 규칙 기반 침입 탐지를 설계 및 구현한다. 제안하는 침입 탐지는 웹 기반에서 Shieh 침입 탐지 모델을 N-code 언어로 변환하여 침입 탐지여부를 쉽게 발견한다. 그리고 다양한 규칙들을 정의하고 이를 바탕으로 하여 취약점을 보완할 수 있도록 침입 탐지 시스템을 구현한다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2002.11a
• /
• pp.327-330
• /
• 2002

네트워크와 컴퓨터시스템의 보안을 강화하기 위해서는 보안상의 취약성이 발견되는 대로 파악하고 점검해 주어야 한다. 그러나 대부분의 네트워크기반 침입탐지 시스템은 취약성을 파악하기 위해서는 국내외 관련 사이트들을 수동적인 방법으로 검색하기 때문에, 취약성 규칙을 갱신하는 것은 매우 어렵다. 본 논문에서는 에이전트가 스스로 관련 사이트에서 취약성 정보를 검색하여 새로운 취약성 정보를 추출한 후, Snort의 최적 규칙 형태로 변환하고 취약성 규칙을 갱신해주게 된다. 본 에이전트에 의해 갱신된 취약성 규칙 DB는 많은 규칙이 추가될지라도 침입을 탐지하는 속도가 떨어지지 않고, 확장성 및 이식성이 용이하다는 특징을 가진다.

• Proceedings of the Korea Multimedia Society Conference
• /
• 2001.11a
• /
• pp.662-665
• /
• 2001

기존의 규칙기반 침입탐지 시스템은 사후처리시 규칙 추가로 인하여 새로운 변종의 공격을 탐지하지 못한다. 본 논문에서는 규칙기반 시스템의 한계점을 극복하기 위하여, 시간지연 신경망(Time Delay Neural Network; 이하 TDNN) 침입탐지 시스템을 제안한다. 네트워크강의 패킷은 바이트 단위를 하나의 픽셀로 하는 0에서 255사이 값으로 이루어진 그레이 이미지로 볼 수 있다. 이러한 연속된 패킷이미지를 시간지연 신경망의 학습패턴으로 사용한다. 정상적인 흐름과 비정상적인 흐름에 대한 패킷 이미지를 학습하여 두 가지 클래스에 대한 신경망 분류기를 구현한다. 개발하는 침입탐지 시스템은 알려진 다양한 침입유형뿐만 아니라, 새로운 변종에 대해서도 분류기의 유연한 반응을 통하여 효과적으로 탐지할 수 있다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2003.11c
• /
• pp.1347-1350
• /
• 2003

최근에 들어서 Web Pgae 및 서버에 악의적인 사용자들로 하여금 많은 피해가 발생하고 있다. 본 논문에서는 연관규칙을 이용한 침입탐지 시스템을 구현함으로써 해킹 및 부정사용자를 방지하여 시스템의 가용성, 효율성을 높이고 안정적인 운용을 제공한다. 그리고 연관규칙의 신뢰성을 높이기 위하여 가중치 개념을 사용하여 효율적인 침입탐지 시스템 구현을 제시하였다.

• Journal of the Korea Institute of Information and Communication Engineering
• /
• v.11 no.12
• /
• pp.2287-2297
• /
• 2007

The proposed ANIDS(Advanced Network Intrusion Detection System) which is network-based IDS using Association Rule Mining, collects the packets on the network, analyze the associations of the packets, generates the pattern graph by using the highly associated packets using Association Rule Mining, and detects the intrusion by using the generated pattern graph. ANIDS consists of PMM(Packet Management Module) collecting and managing packets, PGGM(Pattern Graph Generate Module) generating pattern graphs, and IDM(Intrusion Detection Module) detecting intrusions. Specially, PGGM finds the candidate packets of Association Rule large than $Sup_{min}$ using Apriori algorithm, measures the Confidence of Association Rule, and generates pattern graph of association rules large than $Conf_{min}$. ANIDS reduces the false positive by using pattern graph even before finalizing the new pattern graph, the pattern graph which is being generated is compared with the existing one stored in DB. If they are the same, we can estimate it is an intrusion. Therefore, this paper can reduce the speed of intrusion detection and the false positive and increase the detection ratio of intrusion.

• Journal of the Korea Institute of Information Security & Cryptology
• /
• v.18 no.3
• /
• pp.79-88
• /
• 2008

On the internet, the NIDS(Network Intrusion Detection System) has been widely deployed to protect the internal network. The NIDS builds a set of rules with analysis results on illegal packets and filters them using the rules, thus protecting the internal system. The number of rules is ever increasing as the attacks are becoming more widespread and well organized these days. As a result, the performance degradation has been found severe in the rule application fer the NIDS. In this paper, we propose a multiple pattern matching scheme to improve rule application performance. Then we compare our algorithm with Wu-Mantel algorithm which is known to do high performance multi-pattern matching.

• Journal of the Korean Institute of Intelligent Systems
• /
• v.14 no.4
• /
• pp.451-456
• /
• 2004

Signature based intrusion detection system (IDS), having stored rules for detecting intrusions at the library, judges whether new inputs are intrusion or not by matching them with the new inputs. However their policy has two restrictions generally. First, when they couldn't make rules against new intrusions, false negative (FN) errors may are taken place. Second, when they made a lot of rules for maintaining diversification, the amount of resources grows larger proportional to their amount. In this paper, we propose the learning algorithm which can evolve the competent of anomaly detectors having the ability to detect anomalous attacks by genetic algorithm. The anomaly detectors are the population be composed of by following the negative selection procedure of the biological immune system. To show the effectiveness of proposed system, we apply the learning algorithm to the artificial network environment, which is a computer security system.