• 한국컴퓨터산업학회논문지
• /
• 제6권5호
• /
• pp.715-724
• /
• 2005

최근 들어 폐쇄 환경에서 동작하던 많은 주요 시스템들이 웹 서비스를 제공하면서 호스트는 물론 제공되는 웹기반의 서비스들이 쉽게 공격의 주요 대상이 되고 있다. 뿐만 아니라 웹 컨텐츠나 어플리케이션의 다양성은 새로운 공격 기술을 개발하는 원인이 되기도 한다. 반면 기존의 오용기반 탐지 기법으로는 공격 기술의 발전 속도를 따라가지 못할 뿐더러 새로운 보안 위협을 처리하는 능력이 없다. 따라서 기존의 공격 유형과 함께 새롭게 개발되는 공격과 침입을 탐지하고 대처할 수 있는 기술이 연구되고 개발되고 있다. 본 논문에서는 HTTP 트래픽 패턴과 패킷 정보를 분석하여 HTTP 트래픽 모델에서의 비정상 행위 발생을 실험하였으며, 그 실험 결과를 적용하여 비정상행위를 탐지 가능한 HTTP 트래픽 모델을 설계하고 구현하였다.

• 한국정보과학회논문지:정보통신
• /
• 제29권6호
• /
• pp.674-684
• /
• 2002

기존 침입탐지시스템에서는 구현의 용이성 때문에 오용침입탐지 기법이 주로 사용되었지만, 새로운 침입에 대처하기 위해서는 궁극적으로 비정상행위탐지 기법이 요구된다. 그 중 HMM기법은 생성메커니즘을 알 수 없는 이벤트들을 모델링하고 평가하는 도구로서 다른 침입탐지기법에 비해 침입탐지율이 높은 장점이 있다. 하지만 높은 성능에 비해 정상행위 모델링 시간이 오래 걸리는 단점이 있는데, 본 논문에는 실제 해킹에 사용되고 있는 다양한 침입패턴을 분석하여 권한이동시의 이벤트 추출방법을 이용한 모델링 기법을 제안하였고 이를 통하여 모델링 시간과 False-Positive 오류를 줄일 수 있는 지 평가해 보았다. 실험결과 전체 이벤트 모델링에 비해 탐지율이 증가하였고 시간 또한 단축됨을 알 수 있었다.

• 한국정보과학회:학술대회논문집
• /
• 한국정보과학회 2003년도 봄 학술발표논문집 Vol.30 No.1 (A)
• /
• pp.449-451
• /
• 2003

인터넷 인구의 확산과 개방된 시스템 환경속에서 네트웍과 시스템에 대한 침해사고 건수가 날로 증가하고 있는 가운데 최근 국내 인터넷망 대부분이 다운되는 등 그 피해 규모도 점차 막대해지고 있다. 이에 따라 침해 사고에 대해 사고 발생 즉시 민첩하게 대응하여 피해를 최소화하고, 더 나아가서는 사고를 미연에 방지하기 위한 보안 관련 시스템들에 관한 연구가 활발히 진행되고 있다. 본 연구에서는 보안관련 솔루션 중에 하나인 침입탐지시스템(IDS: Intrusion Detection System)에 대해 살펴보고, IDS의 탐지방식 중 비정상탐지(Anomaly Detection)분야에 은닉 마르코프 모델(HMM: Hidden Markov Model)을 적용하여 사용자별로 명령어 사용 패턴을 프로파일링하는 HMM 기반 비정상 침입탐지 시스템을 제안하고자 한다. 실험결과 자신의 데이터에 대해서는 평균 93% 이상의 만족할만한 탐지 정확도를 보였고, 다른 사용자의 데이터에 대해서는 모델마다 다소 차이를 나타냈다.

• International Journal of Control, Automation, and Systems
• /
• 제1권4호
• /
• pp.453-458
• /
• 2003

The anomaly-detection algorithm based on negative selection of T cells is representative model among self-recognition methods and it has been applied to computer immune systems in recent years. In immune systems, T cells are produced through both positive and negative selection. Positive selection is the process used to determine a MHC receptor that recognizes self-molecules. Negative selection is the process used to determine an antigen receptor that recognizes antigen, or the nonself cell. In this paper, we propose a novel self-recognition algorithm based on the positive selection of T cells. We indicate the effectiveness of the proposed algorithm by change-detection simulation of some infected data obtained from cell changes and string changes in the self-file. We also compare the self-recognition algorithm based on positive selection with the anomaly-detection algorithm.

• 디지털콘텐츠학회 논문지
• /
• 제19권4호
• /
• pp.789-799
• /
• 2018

이 논문에서는 이러한 산업 단지 시스템에서의 비정상적인 동작이 일어날 때, 시간 계열의 데이터를 분석하기 위하여 Big 데이터를 이용한 접근을 기반으로 하는 머신 러닝을 보여줍니다. Long Short-Term Memory (LSTM) 네트워크는 향상된 RNN버전으로서 입증되었으며 많은 작업에 유용한 도움이 되었습니다. 이 LSTM 기반 모델은 시간적 패턴뿐만 아니라 더 높은 레벨의 시간적 특징을 학습 한 다음, 미래의 데이터를 예측하기 위해 예측 단계에 사용됩니다. 예측 오차는 예측 인자에 의해 예측 된 결과와 실제 예상되는 값의 차이입니다. 오차 분포 추정 모델은 가우스 분포를 사용하여 관찰 스코어의 이상을 계산합니다. 이러한 방식으로, 우리는 하나의 비정상적 데이터의 개념에서 집단적인 비정상적 데이터 개념으로 바뀌어 갑니다. 이 작업은 실패를 최소화하고 제조품질을 향상시키는 Smart Factory의 모니터링 및 관리를 지원할 수 있습니다.

• Smart Structures and Systems
• /
• 제29권1호
• /
• pp.77-91
• /
• 2022

Various monitoring systems have been implemented in civil infrastructure to ensure structural safety and integrity. In long-term monitoring, these systems generate a large amount of data, where anomalies are not unusual and can pose unique challenges for structural health monitoring applications, such as system identification and damage detection. Therefore, developing efficient techniques is quite essential to recognize the anomalies in monitoring data. In this study, several machine learning techniques are explored and implemented to detect and classify various types of data anomalies. A field dataset, which consists of one month long acceleration data obtained from a long-span cable-stayed bridge in China, is employed to examine the machine learning techniques for automated data anomaly detection. These techniques include the statistic-based pattern recognition network, spectrogram-based convolutional neural network, image-based time history convolutional neural network, image-based time-frequency hybrid convolution neural network (GoogLeNet), and proposed ensemble neural network model. The ensemble model deliberately combines different machine learning models to enhance anomaly classification performance. The results show that all these techniques can successfully detect and classify six types of data anomalies (i.e., missing, minor, outlier, square, trend, drift). Moreover, both image-based time history convolutional neural network and GoogLeNet are further investigated for the capability of autonomous online anomaly classification and found to effectively classify anomalies with decent performance. As seen in comparison with accuracy, the proposed ensemble neural network model outperforms the other three machine learning techniques. This study also evaluates the proposed ensemble neural network model to a blind test dataset. As found in the results, this ensemble model is effective for data anomaly detection and applicable for the signal characteristics changing over time.

• 전기전자학회논문지
• /
• 제24권2호
• /
• pp.403-408
• /
• 2020

태양광 발전은 특성상 간헐성과 불확실성이 항상 존재하기 때문에 정확한 예측은 어려우며, 실시간 발전량 진단을 위한 이상감지 기술이 중요하다. 본 논문에서는 다양한 파라미터의 상관관계를 도출하고 최근접 이웃 알고리즘을 적용하여 정상데이터와 비정상데이터를 분류한다. 두 분류의 결과는 발전 시스템의 결함에 의한 아웃라이어와 구름 등에 의해 단기간 동안 발생하는 부분 음영 및 전체 음영의 일시적인 전력손실을 보여준다. 100kW 발전소 데이터를 대상으로 머신러닝 분석을 수행하여 테스트 결과를 산출하였으며 실제 이상치와 이상치 후보지를 검증하였다.

• ETRI Journal
• /
• 제38권6호
• /
• pp.1145-1152
• /
• 2016

Because the nodes in a wireless sensor network (WSN) are mobile and the network is highly dynamic, monitoring every node at all times is impractical. As a result, an intruder can attack the network easily, thus impairing the system. Hence, detecting anomalies in the network is very essential for handling efficient and safe communication. To overcome these issues, in this paper, we propose a rule-based anomaly detection technique using roaming honeypots. Initially, the honeypots are deployed in such a way that all nodes in the network are covered by at least one honeypot. Honeypots check every new connection by letting the centralized administrator collect the information regarding the new connection by slowing down the communication with the new node. Certain predefined rules are applied on the new node to make a decision regarding the anomality of the node. When the timer value of each honeypot expires, other sensor nodes are appointed as honeypots. Owing to this honeypot rotation, the intruder will not be able to track a honeypot to impair the network. Simulation results show that this technique can efficiently handle the anomaly detection in a WSN.

• Smart Structures and Systems
• /
• 제32권3호
• /
• pp.179-193
• /
• 2023

This study explores an alternative to the existing centralized process for data anomaly detection in modern Internet of Things (IoT)-based structural health monitoring (SHM) systems. An edge intelligence framework is proposed for the early detection and classification of various data anomalies facilitating quality enhancement of acquired data before transmitting to a central system. State-of-the-art deep neural network pruning techniques are investigated and compared aiming to significantly reduce the network size so that it can run efficiently on resource-constrained edge devices such as wireless smart sensors. Further, depthwise separable convolution (DSC) is invoked, the integration of which with advanced structural pruning methods exhibited superior compression capability. Last but not least, quantization-aware training (QAT) is adopted for faster processing and lower memory and power consumption. The proposed edge intelligence framework will eventually lead to reduced network overload and latency. This will enable intelligent self-adaptation strategies to be employed to timely deal with a faulty sensor, minimizing the wasteful use of power, memory, and other resources in wireless smart sensors, increasing efficiency, and reducing maintenance costs for modern smart SHM systems. This study presents a theoretical foundation for the proposed framework, the validation of which through actual field trials is a scope for future work.

• KSII Transactions on Internet and Information Systems (TIIS)
• /
• 제18권5호
• /
• pp.1301-1316
• /
• 2024

In modern warfare, missiles play a pivotal role but typically spend the majority of their lifecycle in long-term storage or standby mode, making it difficult to detect failures. Preemptive detection of missiles that will fail is crucial to preventing severe consequences, including safety hazards and mission failures. This study proposes a contamination-based stacking ensemble model, employing the local outlier factor (LOF), to detect such missiles. The proposed model creates multiple base LOF models with different contamination values and combines their anomaly scores to achieve a robust anomaly detection. A comparative performance analysis was conducted between the proposed model and the traditional single LOF model, using production-related inspection data from missiles deployed in the military. The experimental results showed that, with the contamination parameter set to 0.1, the proposed model exhibited an increase of approximately 22 percentage points in accuracy and 71 percentage points in F1-score compared to the single LOF model. This approach enables the preemptive identification of potential failures, undetectable through traditional statistical quality control methods. Consequently, it contributes to lower missile failure rates in real battlefield scenarios, leading to significant time and cost savings in the military industry.