• 한국컴퓨터정보학회논문지
• /
• 제8권1호
• /
• pp.103-113
• /
• 2003

프로그램 행위 침입 탐지 기법은 데몬 프로그램이나 루트 권한으로 실행되는 프로그램이 발생시키는 시스템 호출들을 분석하고 프로파일을 구축하여 침입을 효과적으로 탐지한다 시스템 호출을 이용한 이상 탐지는 단지 그 프로세스가 이상(anomaly)임을 탐지할 뿐 그 프로세스에 의해 영향을 받는 여러 부분에 대해서는 탐지하지 못하는 문제점을 갖는다. 이러한 문제점을 개선하는 방법이 베이지안 확률값 이용하여 여러 프로세스의 시스템 호출간의 관계를 표현하고, 베이지안 네트워크를 이용한 어플리케이션의 행위 프로파일링에 의해 이상 탐지 정보를 제공한다. 본 논문은 여러 침입 탐지 모델들의 문제점들을 극복하면서 이상 침입 탐지를 효율적으로 수행할 수 있는 베이지안 네트워크를 이용한 침입 탐지 방법을 제안한다 행위의 전후 관계를 이용한 정상 행위를 간결하게 프로파일링하며, 변형되거나 새로운 행위에 대해서도 탐지가 가능하다. 제안한 정상행위 프로파일링 기법을 UNM 데이터를 이용하여 시뮬레이션하였다.

• KSII Transactions on Internet and Information Systems (TIIS)
• /
• 제9권3호
• /
• pp.1173-1192
• /
• 2015

The Support Vector Data Description (SVDD) has achieved great success in anomaly detection, directly finding the optimal ball with a minimal radius and center, which contains most of the target data. The SVDD has some limited classification capability, because the hyper-sphere, even in feature space, can express only a limited region of the target class. This paper presents an anomaly detection algorithm for mitigating the limitations of the conventional SVDD by finding the minimum volume enclosing ellipsoid in the feature space. To evaluate the performance of the proposed approach, we tested it with intrusion detection applications. Experimental results show the prominence of the proposed approach for anomaly detection compared with the standard SVDD.

• 한국컴퓨터정보학회논문지
• /
• 제9권1호
• /
• pp.37-43
• /
• 2004

컴퓨터 네트워크의 확대 및 인터넷 이용의 급속한 증가에 따라 컴퓨터 보안문제가 중요하게 되었다 따라서 침입자들로부터 위험을 줄이기 위해 침입탐지 시스템에 관한 연구가 진행되고 있다. 본 논문에서는 네트워크 기반의 이상 침입 탐지를 위하여 뉴로-퍼지 기법을 적용하고자 한다 불확실성을 처리하는 퍼지 이론을 이상 침입 탐지영역에 도입하여 적용함으로써 오용 탐지의 한계성을 극복하여 알려지지 않은 침입탐지를 하고자 한다.

• 정보처리학회논문지C
• /
• 제11C권5호
• /
• pp.595-604
• /
• 2004

컴퓨터 네트워크의 확대 및 인터넷 이용의 급격한 증가에 따른 최근의 정보통신 기반구조는 컴퓨터 시스템의 네트워크를 통한 연결로 다양한 서비스를 제공하고 있다. 특히 인터넷은 개방형 구조를 가지고 있어 서비스 품질의 보장과 네트워크의 관리가 어렵고, 기반구조의 취약성으로 인하여 타인으로부터의 해킹 및 정보유출 둥의 위협으로부터 노출되어 있다. 보안 위협에 대한 능동적인 대처 및 침입 이후에 동일한 또는 유사한 유형의 사건 발생에 대해 실시간 대응할 수 있는 방법이 중요하게 되었으며 이러한 해결책으로서 침임 탐지 시스템에 대한 연구가 활발히 진행되고 있다. 본 논문에서는 지도학습 알고리즘이 의한 침입탐지 시스템의 성능을 향상시키기 위해서 불확실성을 해결하기 위한 방법인 퍼지를 적용한 뉴로-퍼지 모델의 이상 침입 탐지 시스템에 대해서 연구한다. 즉, 신경망 학습의 전달함수를 불확실성을 해결하기 위한 퍼지 멤버쉽 함수로 수정하여 지도학습을 수행하였다. 제안한 뉴로-퍼지기법을 DARPA 침입 데이터를 이용하여 오용 탐지의 한계성을 극복한 네트워크기반의 이상침입 탐지에 적용하여 성능을 검증하였다.

• Journal of Information Processing Systems
• /
• 제1권1호
• /
• pp.14-21
• /
• 2005

Even though mainly statistical methods have been used in anomaly network intrusion detection, to detect various attack types, machine learning based anomaly detection was introduced. Machine learning based anomaly detection started from research applying traditional learning algorithms of artificial intelligence to intrusion detection. However, detection rates of these methods are not satisfactory. Especially, high false positive and repeated alarms about the same attack are problems. The main reason for this is that one packet is used as a basic learning unit. Most attacks consist of more than one packet. In addition, an attack does not lead to a consecutive packet stream. Therefore, with grouping of related packets, a new approach of group-based learning and detection is needed. This type of approach is similar to that of multiple-instance problems in the artificial intelligence community, which cannot clearly classify one instance, but classification of a group is possible. We suggest group generation algorithm grouping related packets, and a learning algorithm based on a unit of such group. To verify the usefulness of the suggested algorithm, 1998 DARPA data was used and the results show that our approach is quite useful.

• 한국컴퓨터정보학회논문지
• /
• 제11권5호
• /
• pp.157-164
• /
• 2006

최근에는 대부분의 인터넷 공격은 악성코드(Malware)에 의한 잘 알려지지 않은 제로데이 공격 형태가 주류를 이루고 있으며, 이미 알려진 공격유형들에 대해서 탐지하는 오용탐지 기술로는 이러한 공격에 대응하기가 어려운 실정이다. 또한, 다양한 공격 패턴들이 인터넷상에 나타나고 있기 때문에 기존의 정보 보호 기술로는 한계에 다다르게 되었고, 웹기반 서비스가 보편화됨에 따라 인터넷상에 노출된 웹 서비스가 주공격 대상이 되고 있다. 본 논문은 인터넷상의 트래픽 유형을 분류하고, 각 유형에 따른 이상 징후를 탐지하고 분석할 수 있는 비정상행위공격 탐지기술(Anomaly Intrusion Detection Technologies)을 포함하고 있는 위협관리 시스템(Threat Management System)을 제안한다.

• 한국정보통신학회논문지
• /
• 제7권3호
• /
• pp.544-551
• /
• 2003

인터넷이 일반화되면서, 컴퓨터 시스템을 침입으로부터 효과적이면서 종합적으로 보호하기 위해 침입탐지 시스템이 필요하게 되었다. 본 연구에서는 이상행위 탐지를 기반으로 한 침입 탐지 시스템을 위한, 정상행위 프로파일링 기준을 제시한다. 프로파일링 과정에서 내재하고 있는 과탐지의 원인을 제시하고 이를 제어할 수 있는 침입 탐지 방안을 제안한다. 마지막으로, 사용자의 행위 패턴에 대해 정상행위 패턴 데이터베이스로부터 이상행위 여부를 판단할 수 있는 유사도 함수를 제안한다.

• 한국산업정보학회논문지
• /
• 제14권3호
• /
• pp.22-29
• /
• 2009

컴퓨터를 통해서 들어오는 다양한 형태의 침입을 효과적으로 탐지하기 위해서 이전에는 오용탐지 기법이 주로 이용되어 왔다. 오용탐지 기법은 이전에 알려지지 않은 침입 방법들을 효과적으로 탐지할 수 있기 때문이다. 하지만, 해당 기법에서는 정상적인 네트워크 접속 형태가 몇 가지 패턴으로 고정되어 있다고 가정한다. 이러한 이유 때문에 새로운 정상적인 네트워크 연결이 비정상행위로 탐지되기도 한다. 본 논문에서는 연관 마이닝 기법을 활용한 침입 탐지 방법을 제안한다. 논문에서 제안되는 방법은 패킷내 마이닝 단계와 패킷간 마이닝 두가지 단계로 구성된다. 제안된 방법의 성능은 대표적인 네트워크 침입 탐지 방법인 JAM과의 비교 실험을 통하여 평가하였다.

• 한국정보전자통신기술학회논문지
• /
• 제5권3호
• /
• pp.158-163
• /
• 2012

본 논문에서 나이브 베이지안 알고리즘, 데이터 마이닝, Fuzzy logic을 이용하여 이상 공격과 오용 공격을 탐지하는 하이브리드 침입탐지시스템인 FHIDS(Fuzzy logic based Hybrid Intrusion Detection System)을 설계하였다. 본 논문에서 설계한 FHIDS의 NB-AAD(Naive Bayesian based Anomaly Attack Detection)기법은 나이브 베이지안 알고리즘을 이용해 이상 공격을 탐지하고, DM-MAD(Data Mining based Misuse Attack Detection)기법은 데이터 마이닝 알고리즘을 이용하여 패킷들의 연관 규칙을 분석하여 새로운 규칙기반 패턴을 생성하거나 변형된 규칙 기반 패턴을 추출함으로써, 새로운 공격이나 변형된 공격을 탐지한다. 그리고 FLD(Fuzzy Logic based Decision)은 NB-AAD과 DM-MAD의 결과를 이용하여 정상인지 공격인지를 판별한다. 즉, FHIDS는 이상과 오용공격을 탐지 가능하며 False Positive 비율을 감소시키고, 변형 공격 탐지율을 개선한 하이브리드 공격탐지시스템이다.

• 대한전자공학회:학술대회논문집
• /
• 대한전자공학회 2006년도 하계종합학술대회
• /
• pp.207-208
• /
• 2006

Intrusion detection technology is highlighted in order to establish a safe information-oriented environment. Intrusion detection system can be categorized into anomaly detection and misuse detection according to intrusion detection pattern. In this paper, we propose an architecture to make up for the defect of conventional anomaly intrusion detection. This architecture reduces additional resource consumption and cost by placing the agent in the strategic location in Internet.