• Proceedings of the Korea Multimedia Society Conference
• /
• 2001.11a
• /
• pp.662-665
• /
• 2001

기존의 규칙기반 침입탐지 시스템은 사후처리시 규칙 추가로 인하여 새로운 변종의 공격을 탐지하지 못한다. 본 논문에서는 규칙기반 시스템의 한계점을 극복하기 위하여, 시간지연 신경망(Time Delay Neural Network; 이하 TDNN) 침입탐지 시스템을 제안한다. 네트워크강의 패킷은 바이트 단위를 하나의 픽셀로 하는 0에서 255사이 값으로 이루어진 그레이 이미지로 볼 수 있다. 이러한 연속된 패킷이미지를 시간지연 신경망의 학습패턴으로 사용한다. 정상적인 흐름과 비정상적인 흐름에 대한 패킷 이미지를 학습하여 두 가지 클래스에 대한 신경망 분류기를 구현한다. 개발하는 침입탐지 시스템은 알려진 다양한 침입유형뿐만 아니라, 새로운 변종에 대해서도 분류기의 유연한 반응을 통하여 효과적으로 탐지할 수 있다.

• Proceedings of the Korean Information Science Society Conference
• /
• 2003.10c
• /
• pp.697-699
• /
• 2003

본 논문은 스트리밍 환경에서 서버의 고장을 빠르게 탐지하기 위해 동적임계점을 사용하고 이에 대한 성능을 분석한다. 제안된 기법은 스트리밍의 특성을 이용하여 질의 전송 시간을 결정하게 되는데 서버의 패킷도착 지연으로 인해 발생되는 질의 전송 시간의 증가를 최소화시키기 위해 패킷 지연도착 시간을 반영하지 않는 알고리즘을 적용하였다. 고장탐지에 대한 성능분석을 위해 스트리밍의 종류에 따라 질의 전송 시간이 다양하게 적용될 수 있기 때문에 다양한 스트리밍 자료를 활용하여 실험하였으며 제안된 기법의 성능을 검증하였다.

• The Journal of Korean Institute of Communications and Information Sciences
• /
• v.32 no.1C
• /
• pp.67-77
• /
• 2007

Virus throttling technique, one of many early worm detection techniques, detects Internet worm propagation by limiting connect requests within a certain ratio. The typical virus throttling controls the period of rate limiter autonomically by utilizing weighted average delay queue length to reduce connection delay time without hanving a large effect on worm detection time. In the existing virus throttling research, a minimum period of variable rate limiter is fired and a turning point which is a point that the period of rate limiter has been being decreased and starts to be increased is also fixed. However, these two performance factors have different effects on worm detection time and connection delay. In this paper, we analyze the effect of minimum period and turning point of variable rate limiter, and then propose an algorithm which determines values of performance factors by referencing current traffic pattern. Through deep experiments, it is verified that the proposed technique is more efficient in respect of reducing worm detection time and connection delay than the existing virus throttling which fixed the performance factors.

• Proceedings of the Korean Information Science Society Conference
• /
• 2003.04a
• /
• pp.187-189
• /
• 2003

본 논문은 스트리밍 환경에서 동적 임계점에 기반한 스트리밍 서버의 고장탐지와 Fail-Over 구조를 제안한다. 지속적이며 투명한 서비스를 사용자에게 지원하기 위해서는 서버 고장에 대한 서비스 중단 시점을 정확하고 빠르게 탐지해야 한다. 기존의 서버 고장탐지 방식은 고정된 시간, 즉 최대 서버 응답시간을 사용하여 서버의 고장을 탐지함으로써 네트워크 상태에 따라 고장탐지 시간이 증가하는 단점을 가진다. 임계점이 서버 응답지연시간을 초과하게 되면 서버에게 고장여부를 확인하기 위한 질의를 보내는데 제안된 기법은 이러한 임계점을 네트워크 상태에 따라 서버응답 지연시간의 변동에 동적으로 적응되도록 하는 방법이다. 동적 임계점을 사용하여 네트워크 상태에 가장 적합한 임계점을 찾을 수 있다는 것을 보이고 성능을 검증한다.

• Journal of Korea Multimedia Society
• /
• v.6 no.5
• /
• pp.778-787
• /
• 2003

Intrusion detection systems based on rules are not efficient for mutated attacks, because they need additional rules for the variations. In this paper, we propose an intrusion detection system using the time delay neural network. Packets on the network can be considered as gray images of which pixels represent bytes of them. Using this continuous packet images, we construct a neural network classifier that discriminates between normal and abnormal packet flows. The system deals well with various mutated attacks, as well as well known attacks.

• The KIPS Transactions:PartC
• /
• v.13C no.5 s.108
• /
• pp.559-566
• /
• 2006

Virus throttling technique, one of many early worm detection techniques, detects the Internet worm propagation by limiting the connect requests within a certain ratio. The typical virus throttling detects worm occurrence by monitoring the length of delay queue with the fixed period of rate limiter. In this paper, we propose an algorithm that controls the period of rate limiter autonomically by utilizing the weighted average delay queue length and suggest various period determination policies that use the weighted average delay queue length as an input parameter. Through deep experiments, it is verified that the proposed technique is able to lessen inconvenience of users by reducing the connection delay time with haying just little effect on worm detection time.

• The Journal of the Acoustical Society of Korea
• /
• v.19 no.5
• /
• pp.84-90
• /
• 2000

The bearing detection of radiated target noise is very important at underwater acoustic measurement and passive detection. It differs the arrival tines of received signal at each sensor. Therefore, the bearing can be obtained from the time delay. This paper proposes a new algorithm using the RLSL adaptive filter for TDE. The proposed method is particularly attractive when there is a limitation of priori information about the received signal spectra and when the delay is subject to variation. As the simulation results, it is shown that the proposed algorithm has better convergence characteristics and TDE speed, and so that the usefulness of proposed algorithm is confirmed.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2003.05a
• /
• pp.285-288
• /
• 2003

기존의 침입탐지 시스템은 오용탐지모델이 널리 사용되고 있다. 이 모델은 낮은 오판율(False Alarm rates)을 가지고 있으나 새로운 공격에 대해 전문가시스템(Expert Systems)에 의한 규칙추가를 필요로 하고, 그 규칙과 완전히 매칭되는 시그너처만 공격으로 탐지하므로 변형된 공격을 탐지하지 못한다는 문제점을 가지고 있다. 본 논문에서는 이러한 문제점을 보완하기 위해 주성분분석(Principle Component Analysis ; 이하 PCA)과 시간지연신경망(Time Delay Neural Network ; 이하 TDNN)을 이용한 침입탐지 시스템을 제안한다. 패킷은 PCA를 이용하여 주성분을 결정하고 패킷이미지패턴으로 만든다. 이 연속된 패킷이미지패턴을 시간지연신경망의 학습패턴으로 사용한다.

• The KIPS Transactions:PartC
• /
• v.12C no.6 s.102
• /
• pp.847-854
• /
• 2005

Since the propagation speed of the Internet worms is quite fast, worm detection in early propagation stage is very important for reducing the damage. Virus throttling technique, one of many early worm detection techniques, detects the Internet worm propagation by limiting the connection requests within a certain ratio.[6, 7] The typical throttling technique increases the possibility of false detection by treating destination IP addresses independently in their delay queue managements. In addition, it uses a simple decision strategy that determines a worn intrusion if the delay queue is overflown. This paper proposes a two dimensional delay queue management technique in which the sessions with the same destination IP are linked and thus a IP is not stored more than once. The virus throttling technique with the proposed delay queue management can reduce the possibility of false worm detection, compared with the typical throttling since the proposed technique never counts the number of a IP more than once when it chicks the length of delay queue. Moreover, this paper proposes a worm detection algorithm based on weighted average queue length for reducing worm detection time and the number of worm packets, without increasing the length of delay queue. Through deep experiments, it is verified that the proposed technique taking account of the length of past delay queue as well as current delay queue forecasts the worn propagation earlier than the typical iuぉ throttling techniques do.

• The Journal of the Acoustical Society of Korea
• /
• v.17 no.8
• /
• pp.25-33
• /
• 1998

본 논문에서는 한 쌍의 센서를 이용하여 미지의 수중 음향 신호의 시간지연의 차 (Time Delay Difference)를 추정하고 탐지하는 알고리즘을 다루고 있다. 전형적인 시간지연 차의 최적화 추정 기법은 두 신호의 상관관계(Cross Correlation)에 의한 ML(Maximum likelihood)추정으로 구할 수 있지만, 실제 수중 음향 환경 하에서 시간 지연뿐만 아니라 표 적의 이동에 의하여 발생하는 도플러 효과로 신호의 주파수도 변하게 된다. 이러한 신호 주 파수의 올바른 고려 없이 단순히 두 신호의 시간지연만을 추정하는 방법은 불가피한 에러를 생성하게 된다. 본 논문에서는 시시각각 변하는 시간지연의 차를 구하기 위한 준 최적화 기 법인 확률분포 함수의 Recursive Filter에 시간 지연 차와 도플러효과의 2차원 확률분포 함 수를 적용한 추정 알고리즘을 제안한다. 관측된 신호의 리샘플링(Resampling)을 통하여 도 플러 효과를 보상한 후 2차원 Conditional likelihood를 구하고 Projection과 Correction 과정 을 통하여 시간지연과 도플러 효과에 대한 사후확률을 구한다. 그리고 이러한 알고리즘을 가상 시나리오에 대한 모의실험을 통하여 평가한다.