• 융합정보논문지
• /
• 제9권3호
• /
• pp.134-139
• /
• 2019

현대 사회의 발전이 급속하게 진행됨에 따라 이를 뒷받침 하는 사회 전반의 기술들도 전보다 한층 진보되고 지능화되고 있다. 특히 보안 분야에서도 기존의 공격보다 더 정교하고 지능화된 공격들이 새로 생성되고 있고 그 피해 상황도 전보다 몇 배나 크게 발생되고 있다. 기존의 침입에 대한 분류체계를 현시점에 맞게 재정립하고 분류할 필요가 있고, 현재 작동하고 있는 침입탐지 및 감지 시스템들에 이런 분류체계를 적용하여 지능화된 침입에 능동적으로 대응하여 침입 피해를 최소화하는 것이 요구되고 있다. 본 논문에서는 현재 지능적인 공격에 의해 발생하는 침입 유형을 분석하여, 목적하는 시스템의 서비스 안전성, 신뢰성, 가용성을 보장하기 위한 새로운 침입 상황분류 모델을 제안하고, 이 분류 모델을 사용하여 조기에 침입을 감지하여 침입 피해를 최소화하고 보다 능동적인 대응이 가능한 스마트한 침입 인지 시스템을 설계하고 구현하는 연구에 토대를 마련한다.

• Journal of Information Processing Systems
• /
• 제1권1호
• /
• pp.9-13
• /
• 2005

Computer security has become a critical issue with the rapid development of business and other transaction systems over the Internet. The application of artificial intelligence, machine learning and data mining techniques to intrusion detection systems has been increasing recently. But most research is focused on improving the classification performance of a classifier. Selecting important features from input data leads to simplification of the problem, and faster and more accurate detection rates. Thus selecting important features is an important issue in intrusion detection. Another issue in intrusion detection is that most of the intrusion detection systems are performed by off-line and it is not a suitable method for a real-time intrusion detection system. In this paper, we develop the real-time intrusion detection system, which combines an on-line feature extraction method with the Least Squares Support Vector Machine classifier. Applying the proposed system to KDD CUP 99 data, experimental results show that it has a remarkable feature extraction and classification performance compared to existing off-line intrusion detection systems.

• 한국정보과학회논문지:데이타베이스
• /
• 제34권6호
• /
• pp.473-482
• /
• 2007

네트워크 기반의 침입탐지시스템에서는 수집된 패킷데이타의 분석을 통해 침입인지 정상행위 인지를 판단하여 경보를 발생 시키며 이런 경보데이타의 양은 기하급수적으로 증가하고 있다. 보안관리자는 이러한 대량의 경보데이타들을 분석하고 통합 관리하여 네트워크 보안레벨을 진단하거나 시간에 따른 적절한 대응을 하는데 유용하게 사용하여야 한다. 그러나 오경보의 비율이 너무 높아 경보 데이터들간의 상관관계 분석이나 고수준의 의미 분석에 어려움이 많으므로 분석결과에 대한 신뢰성이나 분석의 효율성이 낮아지는 문제점을 가진다. 이 논문에서는 데이타 마이닝의 분류 기법을 적용하여 오경보율을 최소화하는 방법을 제안한다. 결정트리기반의 분류 기법을 오경보 분류 모델로 적용하여 오경보들 중 실제는 공격이 아님에도 불구하고 공격이라 판단된 오경보를 정상으로 분류할 수 있는 경보 데이타 분류 모델을 설계하고 구현한다. 구현된 경보데이타 분류 모델은 오경보율을 최소화하므로 경보데이타의 분석 및 통합을 통해 경보메시지의 축약 및 침입탐지시스템의 탐지율을 높이는데 활용될 수 있다.

• 한국전자통신학회논문지
• /
• 제19권1호
• /
• pp.249-256
• /
• 2024

기계학습 기반의 침입탐지 방법론들은 분류하고자 하는 각 클래스에 대해 균등한 많은 학습 데이터가 필요하며, 탐지 또는 분류하려는 공격유형의 추가 시 시스템을 모두 재학습해야 하는 문제점을 가지고 있다. 본 논문에서는 특징학습과 계층분류 방법을 이용하여, 비교적 적은 학습 데이터를 이용한 분류 문제 및 데이터 불균형 문제를 해결하고, 새로운 공격유형의 추가가 쉬운 침입탐지 방법론을 제안하고자 한다. 제안된 시스템은 KDD 침입탐지 데이터를 이용한 실험으로 가능성을 검증하였다.

• 인터넷정보학회논문지
• /
• 제4권2호
• /
• pp.69-80
• /
• 2003

프로그램 행위 침입 탐지 기법은 데몬 프로그램이나 루트 권한으로 실행되는 프로그램이 발생시키는 시스템 호출들을 분석하고 프로파일을 구축하여 변형된 공격을 효과적으로 탐지한다. 본 논문에서는 베이지안 네트워크와 다중 서열 정렬을 이용하여 여러 프로세스의 시스템 호출간의 관계를 표현하고, 프로그램 행위를 모델링하여 변형된 이상 침입 행위를 분류함으로써 이상행위를 탐지한다. 제안한 기법을 UNM 데이터를 이용한 시뮬레이션을 수행하였다.

• 한국산업정보학회논문지
• /
• 제8권1호
• /
• pp.75-82
• /
• 2003

인터넷의 대중화로 인한 네트워크의 급속한 팽창으로 보안관리가 중요하게 인식되고 있다. 특히, 이상패킷을 이용한 공격들은 비정상적인 패킷들을 통하여 침입탐지 시스템이나 침입차단 시스템을 우회하여 공격하기 때문에 탐지해 내기가 어렵다. 본 논문에서는 이상패킷을 이용한 공격들을 실시간에 효율적으로 탐지할 수 있는 네트워크 기반의 침입탐지 시스템을 설계하고 구현한다. 침입탐지 시스템을 설계하기 위하여 먼저 침입 탐지를 위한 패턴을 분류하고 이를 기반으로 해싱기법이 적용된 룰트리를 생성한다. 생성된 룰트리를 기반으로 제안한 시스템은 이상패킷 공격을 효율적으로 실시간에 탐지한다.

• International Journal of Computer Science & Network Security
• /
• 제24권1호
• /
• pp.107-118
• /
• 2024

With the seamless growth of the technology, network usage requirements are expanding day by day. The majority of electronic devices are capable of communication, which strongly requires a secure and reliable network. Network-based intrusion detection systems (NIDS) is a new method for preventing and alerting computers and networks from attacks. Machine Learning is an emerging field that provides a variety of ways to implement effective network intrusion detection systems (NIDS). Bagging and Boosting are two ensemble ML techniques, renowned for better performance in the learning and classification process. In this paper, the study provides a detailed literature review of the past work done and proposed a novel ensemble approach to develop a NIDS system based on the voting method using bagging and boosting ensemble techniques. The test results demonstrate that the ensemble of bagging and boosting through voting exhibits the highest classification accuracy of 99.98% and a minimum false positive rate (FPR) on both datasets. Although the model building time is average which can be a tradeoff by processor speed.

• KSII Transactions on Internet and Information Systems (TIIS)
• /
• 제11권10호
• /
• pp.5132-5148
• /
• 2017

Cyber attacks are evolving commensurate with recent developments in information security technology. Intrusion detection systems collect various types of data from computers and networks to detect security threats and analyze the attack information. The large amount of data examined make the large number of computations and low detection rates problematic. Feature selection is expected to improve the classification performance and provide faster and more cost-effective results. Despite the various feature selection studies conducted for intrusion detection systems, it is difficult to automate feature selection because it is based on the knowledge of security experts. This paper proposes a feature selection technique to overcome the performance problems of intrusion detection systems. Focusing on feature selection, the first phase of the proposed system aims at constructing a feature subset using a sequential forward floating search (SFFS) to downsize the dimension of the variables. The second phase constructs a classification model with the selected feature subset using a random forest classifier (RFC) and evaluates the classification accuracy. Experiments were conducted with the NSL-KDD dataset using SFFS-RF, and the results indicated that feature selection techniques are a necessary preprocessing step to improve the overall system performance in systems that handle large datasets. They also verified that SFFS-RF could be used for data classification. In conclusion, SFFS-RF could be the key to improving the classification model performance in machine learning.

• 정보처리학회논문지:컴퓨터 및 통신 시스템
• /
• 제2권6호
• /
• pp.279-290
• /
• 2013

디지털 포렌식에서의 로그 데이터는 사용자의 과거 행적에 대한 추적을 목적으로 대용량의 형태로 저장된다는 특성을 가지고 있다. 이러한 대용량의 로그 데이터를 단서가 없이 수동으로 분석하는 절차는 조사관들에게는 어려운 일이다. 본 논문에서는 포렌식 분석을 하는 조사관들에게 믿을 만한 증거를 추천하기 위하여 대용량의 로그 집합으로부터 해킹 흔적을 추출하는 텍스트 마이닝 기술을 제안한다. 학습 단계에서는 훈련 로그 집합을 대상으로 전처리를 한 후, Apriori 알고리즘을 이용하여 침입 흔적 연관 단어를 추출하고, 신뢰도와 지지도를 병합하여 각 연관단어의 침입 흔적 확률을 계산한다. 또한, 침입 흔적 확률의 정확도를 높이기 위하여 스팸 메일의 여과에 사용된 Robinson의 신뢰도 계산 방법을 이용하여 확률에 가중치를 추가하며, 최종적으로 침입 흔적 연관 단어 지식 베이스를 구축한다. 테스트 단계에서는 연관 단어 지식 베이스를 기반으로 테스트 로그 집합에 대해 피셔(Fisher)의 역 카이제곱 분류 알고리즘을 적용하여 침입 흔적 로그일 확률과 정상 로그일 확률을 계산하고, 이를 병합하여 침입 흔적 로그를 추출한다. 추출된 로그를 조사관에게 침입 흔적이 있는 로그로서 추천한다. 제안한 방법은 비구조화된 대용량의 로그 데이터를 대상으로 데이터의 의미를 명확하게 분석할 수 있는 학습 방법을 사용함으로써 데이터의 모호성으로 인해 발생하는 정확도 저하 문제를 보완할 수 있으며, 피셔의 역 카이제곱 분류 알고리즘을 이용하여 추천함으로써 오분류율(false positive)을 감소시키고 수동으로 증거를 추출하는 번거로움을 줄일 수 있다는 장점을 갖는다.

• KSII Transactions on Internet and Information Systems (TIIS)
• /
• 제12권8호
• /
• pp.4021-4037
• /
• 2018

In network intrusion detection research, two characteristics are generally considered vital to building efficient intrusion detection systems (IDSs): an optimal feature selection technique and robust classification schemes. However, the emergence of sophisticated network attacks and the advent of big data concepts in intrusion detection domains require two more significant aspects to be addressed: employing an appropriate big data computing framework and utilizing a contemporary dataset to deal with ongoing advancements. As such, we present a comprehensive approach to building an efficient IDS with the aim of strengthening academic anomaly detection research in real-world operational environments. The proposed system has the following four characteristics: (i) it performs optimal feature selection using information gain and branch-and-bound algorithms; (ii) it employs machine learning techniques for classification, namely, Logistic Regression, Naïve Bayes, and Random Forest; (iii) it introduces bulk synchronous parallel processing to handle the computational requirements of large-scale networks; and (iv) it utilizes a real-time contemporary dataset generated by the Information Security Centre of Excellence at the University of Brunswick (ISCX-UNB) to validate its efficacy. Experimental analysis shows the effectiveness of the proposed framework, which is able to achieve high accuracy, low computational cost, and reduced false alarms.