• Proceedings of the Korean Society of Computer Information Conference
• /
• 2018.07a
• /
• pp.123-126
• /
• 2018

자율 주행 자동차는 다수의 센서와 ECU 등으로 구성된 분산 시스템이다. 이 시스템은 다양한 시간적 제약사항들을 갖는 자율주행 응용들을 구동하며 각 응용들에 대한 시간적 제약사항 위반을 탐지해야한다. 이러한 분산 시스템에서 응용들 간의 통신을 위해 사용되는 미들웨어들 중 대표적인 것은 DDS이다. DDS는 높은 확장성을 지원하는 발행-구독 통신 모델을 기반으로 하며, 실시간성을 고려한 다양한 QoS 정책들을 제공한다. 하지만 DDS는 자율주행 응용이 요구하는 시간적 제약사항들 중 deadline과 correlation 제약 사항에 대한 위반 여부를 탐지하지 못한다. 본 논문은 DDS 기반 시스템에서 deadline과 correlation 제약 사항 위반 여부를 런타임에서 탐지하는 기법을 제안한다. 본 연구진은 제안된 기법을 DDS의 구현들 중 하나인 Vortex 사의 OpenSplice 기반 시스템에 구현하였다. 실험을 통해 검증한 결과, deadline과 correlation 제약 사항에 대한 위반 여부를 적은 오버헤드와 함께 성공적으로 탐지하였다.

• Journal of KIISE:Information Networking
• /
• v.29 no.6
• /
• pp.674-684
• /
• 2002

Anomaly detection techniques have teen devised to address the limitations of misuse detection approach for intrusion detection. An HMM is a useful tool to model sequence information whose generation mechanism is not observable and is an optimal modeling technique to minimize false-positive error and to maximize detection rate, However, HMM has the short-coming of login training time. This paper proposes an effective HMM-based IDS that improves the modeling time and performance by only considering the events of privilege flows based on the domain knowledge of attacks. Experimental results show that training with the proposed method is significantly faster than the conventional method trained with all data, as well as no loss of recognition performance.

• Proceedings of the Korea Multimedia Society Conference
• /
• 2001.11a
• /
• pp.662-665
• /
• 2001

기존의 규칙기반 침입탐지 시스템은 사후처리시 규칙 추가로 인하여 새로운 변종의 공격을 탐지하지 못한다. 본 논문에서는 규칙기반 시스템의 한계점을 극복하기 위하여, 시간지연 신경망(Time Delay Neural Network; 이하 TDNN) 침입탐지 시스템을 제안한다. 네트워크강의 패킷은 바이트 단위를 하나의 픽셀로 하는 0에서 255사이 값으로 이루어진 그레이 이미지로 볼 수 있다. 이러한 연속된 패킷이미지를 시간지연 신경망의 학습패턴으로 사용한다. 정상적인 흐름과 비정상적인 흐름에 대한 패킷 이미지를 학습하여 두 가지 클래스에 대한 신경망 분류기를 구현한다. 개발하는 침입탐지 시스템은 알려진 다양한 침입유형뿐만 아니라, 새로운 변종에 대해서도 분류기의 유연한 반응을 통하여 효과적으로 탐지할 수 있다.

• Proceedings of the Korean Information Science Society Conference
• /
• 2003.10c
• /
• pp.697-699
• /
• 2003

본 논문은 스트리밍 환경에서 서버의 고장을 빠르게 탐지하기 위해 동적임계점을 사용하고 이에 대한 성능을 분석한다. 제안된 기법은 스트리밍의 특성을 이용하여 질의 전송 시간을 결정하게 되는데 서버의 패킷도착 지연으로 인해 발생되는 질의 전송 시간의 증가를 최소화시키기 위해 패킷 지연도착 시간을 반영하지 않는 알고리즘을 적용하였다. 고장탐지에 대한 성능분석을 위해 스트리밍의 종류에 따라 질의 전송 시간이 다양하게 적용될 수 있기 때문에 다양한 스트리밍 자료를 활용하여 실험하였으며 제안된 기법의 성능을 검증하였다.

• Convergence Security Journal
• /
• v.7 no.1
• /
• pp.63-75
• /
• 2007

Most of computer systems to be connected to network have been exposed to some network attacks and became to targets of system attack. System managers have established the IDS to prevent the system attacks over network. The previous IDS have decided intrusions detecting the requested connection packets more than critical values in order to detect attacks. This techniques have False Positive possibilities and have difficulties to detect the slow scan increasing the time between sending scan probes and the coordinated scan originating from multiple hosts. We propose the port scan detection rules detecting the RST/ACK flag packets to request some abnormal connections and design the data structures capturing some of packets. This proposed system is decreased a False Positive possibility and can detect the slow scan, because a few data can be maintained for long times. This system can also detect the coordinated scan effectively detecting the RST/ACK flag packets to be occurred the target system.

• The Journal of Korean Institute of Communications and Information Sciences
• /
• v.31 no.2C
• /
• pp.208-218
• /
• 2006

In this paper, we introduce the creation methods of attack detection model using data mining technologies that can classify the latest attack types, and can detect the modification of existing attacks as well as the novel attacks. Also, we evaluate comparatively these attack detection models in the view of detection accuracy and detection time. As the important factors for creating detection models, there are data, attribute, and detection algorithm. Thus, we used NetFlow data gathered at the real network, and KDD Cup 1999 data for the experiment in large quantities. And for attribute selection, we used a heuristic method and a theoretical method using decision tree algorithm. We evaluate comparatively detection models using a single supervised/unsupervised data mining approach and a combined supervised data mining approach. As a result, although a combined supervised data mining approach required more modeling time, it had better detection rate. All models using data mining techniques could detect the attacks within 1 second, thus these approaches could prove the real-time detection. Also, our experimental results for anomaly detection showed that our approaches provided the detection possibility for novel attack, and especially SOM model provided the additional information about existing attack that is similar to novel attack.

• Journal of the Korea Academia-Industrial cooperation Society
• /
• v.12 no.11
• /
• pp.5208-5213
• /
• 2011

In this paper, we proposed a new direction finding(DF) technology using TDOA(time-difference of arrival) and PDOA(phase difference of arriving signal) method. The proposed technology has a good DF accuracy without DF ambiguity. TDOA or PDOA technology is used to the most of intelligence systems in 21 century. The principle of TDOA is to receive a signal with two parallel antennas, measure the time difference of arrival signal, and converse the time difference to the direction of incident signal. Those technology make a DF system small size but the DF accuracy is low into short antenna installation distance. The principle of PDOA is similar to TDOA except measuring the phase difference of arrival signal, These technology get a good DF accuracy in short antenna installation distance but have a DF ambiguity. The proposed DF method is simulated into DF system operation environment with noise, and has a good DF accuracy.

• Journal of the Korea Society for Simulation
• /
• v.19 no.2
• /
• pp.17-28
• /
• 2010

Since a homing torpedo system consists of various subsystems, organic interactions of which dictate the performance of the torpedo system, it is necessary to estimate the effects of individual subsystems in order to obtain an optimized design of the overall system. This paper attempts to gain some insight into the detection mechanism of a torpedo run, and analyze the relative importance of various parameters of a torpedo system. A database for the analysis was generated using a simulation model based on the combined discrete event and discrete time architecture. Multiple search schemes, including the snake-search method, were applied to the torpedo model, and some parameters of the torpedo were found to be stochastic. We then analyzed the effectiveness of torpedo’s detection capability according to the torpedo speed, the target speed, and the maximum detection range.

• Proceedings of the Korean Information Science Society Conference
• /
• 2002.10c
• /
• pp.4-6
• /
• 2002

네트워크의 광역화와 새로운 공격 유형의 발생으로 침입 탐지 시스템에서 새로운 시퀀스의 추가나 침입탐지 모델 구축의 수동적인 접근부분이 문제가 되고 있다. 특히 기존의 침입탐지 시스템들은 대량의 네트워크 하부구조를 가진 네트워크 정보를 수집 및 분석하는데 있어 각각 전담 시스템들이 담당하고 있다. 따라서 침입탐지 시스템에서 증가하는 많은 양의 감사데이터를 분석하여 다양한 공격 유형들에 대해서 능동적으로 대처할 수 있도록 하는 것이 필요하다. 최근, 침입 탐지 시스템에 데이터 마이닝 기법을 적용하여 능동적인 침입탐지시스템을 구축하고자 하는 연구들이 활발히 이루어지고 있다. 이 논문에서는 대량의 감사 데이터를 정확하고 효율적으로 분석하기 위한 마이닝 시스템을 설계하고 구현한다. 감사데이터는 트랜잭션데이터베이스와는 다른 특성을 가지는 데이터이므로 이를 고려한 마이닝 시스템을 설계하였다. 구현된 마이닝 시스템은 연관규칙 기법을 이용하여 감사데이터 속성간의 연관성을 탐사하고, 빈발 에피소드 기법을 적용하여 주어진 시간 내에서 상호 연관성 있게 발생한 이벤트들을 모음으로써 연속적인 시간간격 내에서 빈번하게 발생하는 사건들의 발견과 알려진 사건에서 시퀀스의 행동을 예측하거나 기술할 수 있는 규칙을 생성한 수 있다. 감사데이터의 마이닝 결과 생성된 규칙들은 능동적인 보안정책을 구축하는데 활용필 수 있다. 또한 데이터양의 감소로 침입 탐지시간을 최소화하는데도 기여한 것이다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2020.11a
• /
• pp.370-373
• /
• 2020

본 연구는 파일기반 악성파일 탐지시간을 줄이는 알고리즘 사용에 대해 기술하고 있다. 기존 탐지방식은 파일의 시그니처 값에 대한 유사도를 단순히 비교하는 것에만 그쳐 오탐율이 높거나 새롭게 생성되는 악성파일을 대응할 수 없는 제한점이 있다. 또한 정확도를 높이고자 딥 러닝을 통한 탐지방식이 제안되고 있으나 이 또한 동적분석으로 진행이 되기 때문에 시간이 오래 걸리는 제한이 있다. 그래서 우리는 이를 보완하는 VP Tree 탐지를 제안한다. 이 방법은 시그니처 값이 아닌 다차원에서의 해시 값의 데이터 위치를 기반으로 거리를 척도 한다. 유클리드 거리 법, 맨해튼 거리법이 사용되며 삼각부등식의 만족하는 기준으로 K-NN 이 생성이 되며, K-NN 을 이진 트리로 구성하여 인덱스를 통한 탐지를 진행하기에 기존 방법들을 보완할 수 있는 대안점이 될 수 있으며, 악성파일과 정상파일이 섞여 존재하는 총 3 만개의 데이터를 대상으로 악성파일 탐지 테스트를 진행하였으며 기본 방식에 비해 약 15~20%정도 속도가 단축된다는 것을 입증했다.