• 정보보호학회논문지
• /
• 제13권3호
• /
• pp.135-144
• /
• 2003

침입탐지시스템은 사용된 알고리즘이나 기법의 특성에 따라 여러 탐지영역에 대해서 상이한 탐지결과를 나타내게된다. 따라서 서로 다른 탐지영역을 갖는 여러 탐지시스템들의 결과를 통합함으로써 탐지영역을 넓힐 수 있는 통합탐지 방법이 필요하다. 또한 통합 시에 발생할 수 있는 수많은 잘못된 보고의 수를 최소화함으로써 보안 관리자의 업무부담을 줄이고 탐지결과의 정확성을 높일 필요가 있다. 이 논문에서는 시스템 사용행위에 대해서 각 탐지시스템들이 모호한 판정의 결과값을 내어놓는 경우 분석된 탐지시스템의 특성을 퍼지추론을 이용하여 통합탐지 한다. 분석된 탐지 특성은 퍼지제어의 과정에서 적용된 각 탐지시스템에 대한 소속함수와 제어규칙으로 표현한다. 그리고, 모호한 판정 값을 통합하고 잘못된 보고의 숫자를 최소화하였으며, 여러 번의 실험을 통해 결정된 임계값의 적용으로 추론의 적용대상이 최소화되도록 하였다.

• 한국정보보호학회:학술대회논문집
• /
• 한국정보보호학회 2001년도 종합학술발표회논문집
• /
• pp.381-384
• /
• 2001

개개의 침입탐지 시스템에서 탐지한 경보(alert) 자료의 공유를 쉽게 하기 위해서, IETF(Internet Engineering Task Force)에서는 IDEF(Intrusion Detection Exchange Format)모델을 제안하였다[1]. 특히, IDEF는 최근에 관심이 모아지고 있는 다수의 침입탐지 시스템(이하 ‘통합 침입탐지 시스템’)을 통합 관리하는 방식에서 각 단말 침입 탐지시스템의 침입 경보자료의 수집 관리를 용이하게 할 수 있다. 그러나, 통합 침입탐지 시스템에서 개개의 침입 탐지 시스템에서 발견하지 못하는 침입을 판단하거나 판단의 정확성을 높이기 위해서는 기존의 IDEF에 추가적인 자료가 요구되어 진다. 본 논문에서는 통합 침입탐지 시스템의 상위 시스템에서 수집된 경보 자료를 IDEF의 관계형 데이터베이스 스키마로 변환하는 방식을 제시하였다. 그리고, 통합 침입탐지시스템에서 추가적으로 필요한 자료에 의거하여 DDoS공격탐지에 필요한 자료형을 IDEF에 확장하였다.

• 정보보호학회논문지
• /
• 제12권4호
• /
• pp.29-39
• /
• 2002

침입행위에 대한 비정상행위 탐지방법은 탐지에 대한 오판율이 높게 나타난다. 즉, 실제 침입이 아닌데 침입으로 판정하는 과탐지와 실제 침입인데 탐지하지 못하는 미탐지에 대한 오판율의 경우이다. 침입탐지의 민감도를 향상시키기 위하여 오용행위 및 비정상행위 탐지센서들 사이의 관련성을 이용하여 오판율을 감소하는 통합탐지의 방법을 연구하였다. 정상행위 및 비정상행위에 대해 하나의 탐지센서로부터의 결과가 다른 탐지센서에 의한 결과와 어떠한 관련성을 갖고 있는지의 반영비율을 오프라인에서 생성하고, 이를 실시간에 탐지된 결과에 적용하여 오판율을 감소하도록 하였다.

• 한국정보과학회:학술대회논문집
• /
• 한국정보과학회 2002년도 가을 학술발표논문집 Vol.29 No.2 (1)
• /
• pp.532-534
• /
• 2002

호스트나 네트워크에 여러 개의 탐지 센서가 설치된 경우, 각 탐지센서들은 고유의 탐지영 역과 타 센서들과의 중첩되는 탐지영역에 대한 각각의 탐지정도를 결합하여 각 센서의 최종 결과값으로 제시한다. 이러한 경우 여러 센서들이 동일한 판정의 결과를 제시하지 않고 판정이 모호한 결과를 갖는 경우 각 탐지센서 판정결과의 조율은 불가피하다. 본 논문에서는 이러한 다중 탐지센서들의 모호한 판정 간들에 대해서 퍼지제어를 이용한 통합된 형태의 탐지 판정간을 추론하는 방법을 제안한다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2003년도 춘계학술발표논문집 (하)
• /
• pp.2025-2028
• /
• 2003

다양한 위협과 침입공격에 노출되어 있는 조직의 경우, 특정 제품에서 제공하는 한정된 침입탐지패턴의 한계를 극복하여 침입사건을 효과적으로 탐지하여 대응하기 위하여 이기종 침입탐지시스템 설치 및 운용이 요구된다. 이기종 침입탐지시스템 운용은 침입탐지 감사데이터 포맷이 제품별로 상이하고, 두개 제품 이상에 구현된 동일한 침입탐지 패턴이라도 설계의 차이점에 기인하여 오판률 가능성이 증가할 가능성이 있으며, 특히 탐지사건에 대한 대응으로 e-mail, SMS 등을 이용할 경우 중복 탐지로 인한 과도한 대응 등의 문제점이 있을 수 있으므로 이기종 침입탐지시스템 운영 환경에 적합한 기종간 통합 및 대응 모델과 관련 모듈 설계에 관한 연구가 필요하다 본 논문에서는 최근 연구되는 Aggregation 및 Correlation 개념을 적용하여 이기종 침입탐지시스템 운용 환경에서 침입탐지패턴 통합 및 대응을 위한 요구사항을 도출하고 통합 및 대응을 위한 IPMAC 모델 및 탐지알고리즘을 제시하여 관련 모듈을 설계 및 구현한 결과를 제안한다.

• 융합보안논문지
• /
• 제11권1호
• /
• pp.57-69
• /
• 2011

국방통합보안관제체계 내에는 자체 개발된 시스템을 포함하여 다양한 오용탐지 기반의 상용 침입탐지시스템들이 운용되고 있다. 오용탐지 방식에 기반해서 운용되는 침입탐지시스템의 경우 침입탐지 패턴의 업데이트 주기나 질적수준에 따라 서로 상이한 능력을 가지며, 이러한 상이성은 침입탐지시스템들 간의 통합과 협동탐지를 더욱 어렵게 만든다. 이에 본 논문에서는 국방통합보안관제체계 내에서 운용되는 이기종 침입탐지시스템들 간의 통합과 협업탐지를 위한 기반을 마련하기 위해 이기종 침입탐지시스템들이 새롭게 생성한 탐지규칙을 서로 전파하고 적용할 수 있는 기법을 제안하고, 구현 및 실험을 통해 제안된 탐지규칙 교환 기법의 국방환경 가능성을 입증한다.

• 대한공간정보학회지
• /
• 제13권2호
• /
• pp.3-12
• /
• 2005

토지피복 변화탐지는 광범위한 지역을 일정한 주기로 변화 과정에 대해 묘사할 수 있다는 장점 때문에, 군사적, 행정적, 연구적 측면에서 중요한 의미를 갖는다. 변화탐지 시, 어떤 방법을 사용하여 변화탐지를 할 것인가는 중요한 의사결정 사항이다. 또한 변화/비변화에 대한 임계값 설정 역시 중요하다. 지금까지 변화탐지 방법을 선택할 때, 주로 사용자의 경험에 따라, 또는 사용자의 변화탐지 대상에 따라 변화탐지 방법을 선택하였으며, 임계값의 설정 역시 경험적, 실험적으로 결정하는 경우가 많았다. 이러한 경우, 변화탐지 연구 사례 중에서 정확도가 높았던 변화탐지 방법을 선택하는 과정과 임계값 선택과정을 지원할 수 있는 시스템의 필요성이 제기되었다. 또한, 변화탐지 방법 간의 탐지결과에 차이가 있기 때문에 변화탐지 방법 간의 특성을 통합하여 특정 변화탐지 대상에 상관없이 정확도 및 시각적 효과를 향상시킬 수 있는 변화탐지 통합분석 역시 필요하게 되었다. 이에 본 연구에서는 변화탐지 방법과 임계값 선택에 있어서 의사결정을 지원하고, 변화탐지 사례를 제공하는 변화탐지 의사결정과정을 제안하고, 각 변화탐지의 특성을 통합하는 변화탐지 통합분석 방법을 제안 평가하고자 한다.

• 한국통신학회논문지
• /
• 제29권7C호
• /
• pp.985-996
• /
• 2004

최근 해마다 급증하는 보안 사고를 해결하기 위한 방안으로써, 침입탐지 시스템이 부각되고 있다. 하지만, 현재와 같은 대규모 네트워크 환경에서는 지역적인 침입탐지 시스템으로 다양한 형태의 침입을 탐지하는 데에 많은 문제점을 가지고 있다. 이에 침입탐지 구성 요소들을 분산시키거나 계층적으로 구성하기 위한 연구와 표준화된 통합 프로토콜의 개발 및 침입탐지 시스템들 간에 교환되는 메시지의 표준화된 형식을 정의하는 연구가 활발히 진행되고 있다. 본 논문에서는 이기종 침입탐지 시스템간의 표준화된 침입탐지 정보 교환을 위하여 표준화된 메시지 형식 및 프로토콜을 사용하며, 통합된 침입탐지 정보들에 대한 상호 연관성 분석을 통하여 보다 효율적인 관리와 분석을 수행할 수 있는 통합 침입탐지 시스템을 설계 및 구현한다. 본 논문에서 제안한 시스템에서는 분산된 침입탐지 시스템들의 효율적인 운용을 위하여 정책 프로파일을 정의ㆍ교환하고, 이기종 시스템간의 상호 인증을 위하여 PKI를 이용한다. 이러한 설계를 기반으로 Snort로부터 수집한 침입탐지 데이터를 IDMEF 형식의 메시지로 변환하여 BEEP 기반의 IDXP 프로토콜을 사용하여 송수신하고 이를 다시 통합 판정이 가능한 정보로 변환하기 위한 통합 침입탐지 시스템의 프로토타입을 구현하여 성능을 분석한다.

• 정보와 통신
• /
• 제21권9호
• /
• pp.75-90
• /
• 2004

기존의 정보통신 보안 인프라 강화를 위하여 많은 개별 보안 시스템들이 활용된다. 침입차단, 침입탐지, 그리고 가상사설망 장비들을 설치하여 보안성을 향상 시켰는데, 이로 인하여 각 보안 시스템 간의 정책 충돌이 발생하기도 하여 보안상 효율성이 떨어지기도 하고, 여러 보안 시스템들을 관리하여야 하는 관리상의 복잡성과 비용상의 문제점이 존재한다. 이를 해결하기 위하여 침입탐지, 침입차단, 그리고 가상사설망 기능을 통합하여 제공하는 통합 보안 엔진 개념이 부각되었으며, 이러한 통합 보안 엔진 기능을 라우터에 탑재하여 정보통신 인프라의 보안성을 강화시킨다. 본 논문에서는 통합 보안 엔진을 라우터나 스위치 등과 같은 네트워크 노드에 탑재하여 안전한 네트워킹이 가능하도록 하는 보안 프레임웍을 소개한다. 또한, 침입탐지, 침입차단, 가상사설망 기능을 통합하여 제공하는 라우터용 통합 보안엔진의 구조를 소개하고, 이를 위해 구현된 핵심 기능을 기술한다. 이러한 통합 보안 엔진이 탑재된 보안 라우터와 기존의 보안 기능이 있는 상용 라우터와의 비교를 통하여 통합 보안 엔진이 탑재된 보안 라우터 시스템의 효율성을 설명한다.

• 한국시뮬레이션학회:학술대회논문집
• /
• 한국시뮬레이션학회 2002년도 추계학술대회 논문집
• /
• pp.23-28
• /
• 2002

최근에 분산 시스템과 같이 이기종의 컴퓨팅 환경을 효율적으로 통합하는 방법에 관한 다양한 연구가 진행되고 있다. 네트워크 보안에서는 각 보안 시스템들이 효율적인 침입탐지와 차단을 위해서 분산화되고 있으며 분산된 보안 시스템들을 조정하고 통합하기 위해서 분산인공지능(Distributed Artificial Intelligence)의 개념을 도입하고 있다. 본 논문에서는 분산침입탐지 시스템(Distributed Intrusion Detection System)과 침입차단 시스템(firewall)이 계약망 프로토콜(Contract Net Protocol)에 의해 상호 연동하여 외부 네트워크에서 유입된 패킷의 정보를 통해 침입을 탐지하고 차단하는 네트워크 보안 모델을 설계하였다. 본 연구진이 구성하고 있는 시뮬레이션 환경에서는 네트워크에 존재하는 다양한 보안 모델들을 계층적으로 구성하기 위해 DEVS 방법론을 사용하였다. 보안 시스템의 연동은 계약망 프로토콜에 의해 이루어지는데 네트워크에 분산되어 있는 각각의 전문성을 가진 침입탐지 에이전트들이 중앙 콘솔에 비드(bid)글 제출하고 중앙 콘솔은 최상의 비드를 제출한 에이전트를 선택하여 침입을 탐지하게 된다. 그리고 탐지된 정보를 참조하여 침입차단 시스템은 능동적으로 침입을 차단하게 된다. 이와 같은 모델의 설계를 통해서 기존의 침입탐지 시스템들이 탐지하지 못한 침임을 탐지하게 되고 보안시스템에서의 오류발생빈도를 감소시키며 탐지의 속도를 향상시킬 수 있다.