• 한국정보통신학회:학술대회논문집
• /
• 한국해양정보통신학회 2010년도 추계학술대회
• /
• pp.434-437
• /
• 2010

시그니처 기반 필터링(Signature based filtering)은 이미 알려진 공격으로부터 방어하는 방법으로, 침입방지 시스템을 통과하는 패킷의 페이로드와 시그니처라 불리는 공격 패턴들과 비교하여 같으면 그 패킷을 폐기한다. 그러나 시그니처의 개수가 증가함에 따라 하나의 들어온 패킷에 대하여 요구되는 패턴 매칭 시간은 증가하게 되어 패킷의 지연현상이 발생한다. 고성능 침입방지 시스템을 위해서는 보다 효율적인 패턴 매칭 알고리즘이 필요하며, 패턴 매칭의 수행 성능 향상을 위해 가장 중요한 부분은 처리해야 하는 패킷이 도착했을 때, 해당 패킷의 데이터를 룰의 시그니처와 비교하는 횟수를 줄이는데 있다. 이에 본 논문에서는 고성능 침입방지 시스템의 개발을 위해 기존의 제안된 시그니처 해싱 기반의 침입방지 시스템에 패킷 분류를 위한 다차원 검색을 튜플 공간이라는 이차원 공간을 이용하여 검색하는 튜플 공간 패킷 분류 알고리즘과 블룸 필터를 적용한 패턴 매칭 방법을 제안한다.

• 전기학회논문지
• /
• 제67권5호
• /
• pp.656-662
• /
• 2018

Pattern matching algorithm is widely used in many application fields such as bio-informatics, intrusion detection, etc. Among many string matching algorithms, KMP (Knuth-Morris-Pratt) algorithm is commonly used because of its fast execution time when using large texts. However, the processing speed of KMP algorithm is also limited when the text size increases significantly. In this paper, we propose a high throughput parallel KMP algorithm considering CPU-GPU memory hierarchy based on OpenCL in GPGPU (General Purpose computing on Graphic Processing Unit). We focus on the optimization for the allocation of work-times and work-groups, the local memory copy of the pattern data and the failure table, and the overlapping of the data transfer with the string matching operations. The experimental results show that the execution time of the optimized parallel KMP algorithm is about 3.6 times faster than that of the non-optimized parallel KMP algorithm.

• 한국통신학회논문지
• /
• 제33권11B호
• /
• pp.1020-1029
• /
• 2008

본 논문은 네트워크 침입 탐지 시스템에서 고속 패턴 매칭 알고리듬과 그 구조를 제안한다. 제안된 알고리듬은 실시간 입력 패킷에서 특정 패턴을 검사하며 정확한 문자열, 문자열 값의 범위, 그리고 문자열 값의 조합 등을 검색한다. 본 연구에서는 입력 패킷과 패턴은 동시에 겹치는 문자열들을 검색하기 위해 상태 전이 그래프로 모델링 하였으며 상태 전이 그래프는 구현 복잡도를 줄이기 위해 입력 임플리컨트 단위로 분할하였다. 제안된 패턴 매칭구조는 상태 전이 그래프와 입력된 문자열을 입력으로 사용한다. 제안된 패턴 매칭기는 VHDL 언어로 모델링하여 구현하였으며, 성능 분석을 통하여 제안된 기법의 적절성을 검증하였다.

• 한국정보통신학회:학술대회논문집
• /
• 한국해양정보통신학회 2004년도 춘계종합학술대회
• /
• pp.391-394
• /
• 2004

인터넷의 급속한 확장으로 인해 네트워크 공격기법의 패러다임의 변화가 시작되었으며 새로울 공격 형태가 나타나고 있으나 대부분의 침입 탐지 기술은 오용 탐지 기술을 기반으로 하는 시스템이주를 이루고 있어 알려진 공격 유형만을 탐지하고, 새로운 공격에 능동적인 대응이 어려운 실정이다. 이에 새로운 공격 유형에 대한 탐지력을 높이기 위해 인체 면역 메커니즘을 적용하려는 시도들이 나타나고 있다. 본 논문에서는 데이터 마이닝 기법을 이용하여 네트워크 패킷에 대한 정상 행위 프로파일을 생성하고 생성된 프로파일을 자기공간화 하여 인체면역계의 자기, 비자기 구분기능을 이용해 자기 인식 알고리즘을 구현하여 이상행위를 탐지하고자 한다. 자기인식 알고리즘의 하나인 Negative Selection Algorithm을 기반으로 anomaly detector를 생성하여 자기공간을 모니터하여 변화를 감지하고 이상행위를 검출한다. DARPA Network Dataset을 이용하여 시뮬레이션을 수행하여 침입 탐지율을 통해 알고리즘의 유효성을 검증한다.

• 한국융합학회논문지
• /
• 제9권7호
• /
• pp.1-7
• /
• 2018

데이터 전처리 기법 중 하나인 특징 선택은 대규모 데이터셋을 다루는 다양한 응용분야에서 주요 연구 분야 중 하나로 각광받고 있다. 특징 선택은 패턴 인식, 기계학습 및 데이터 마이닝에서 사용됐고, 최근에는 텍스트 분류, 이미지 검색, 침입 탐지 및 게놈 분석과 같은 다양한 분야에 널리 적용되고 있다. 제안 방법은 메타 휴리스틱 알고리즘 중의 하나인 유전 알고리즘을 기반으로 한다. 특징 부분 집합을 찾는 방법은 크게 필터(filter) 방법과 래퍼(wrapper) 방법이 있는데, 본 연구에서는 최적의 특징 부분 집합을 찾기 위해 실제 분류기를 사용한 평가를 하는 래퍼 방법을 사용한다. 실험에 사용한 훈련 데이터셋은 클래스 불균형이 심하여 희소클래스에 대한 분류 성능을 높이기 어렵다. SMOTE 기법을 적용한 훈련 데이터셋을 사용하여 특징 선택을 하고 다양한 기계학습 알고리즘을 사용하여 선택한 특징들의 성능을 평가한다.

• 인터넷정보학회논문지
• /
• 제13권2호
• /
• pp.41-49
• /
• 2012

스마트 폰 이용자의 급격한 증가에 따른 무선 네트워크의 지원 및 모바일 환경은 언제 어디서나 네트워크를 이용할 수 있게 되었다. 이러한 인터넷 망의 발달로 인해 네트워크 트래픽이 급증함으로써 네트워크를 통한 분산서비스 공격, 인터넷 웜, 이메일 바이러스 등의 다양한 악의적인 공격이 증가되고 이에 따른 패턴이 급격하게 증가하는 추세이다. 기존 연구에서 침입탐지시스템인 Snort 2.1.0 룰의 약 2,000개 패턴으로 M-바이트 점핑 윈도우 알고리즘을 적용한 결과를 분석하였다. 하지만 점핑 윈도우 알고리즘은 패턴의 길이와 수에 큰 영향을 받기 때문에 더 긴 패턴과 더 많은 패턴을 갖는 새로운 환경(Snort 2.9.0)에서 TCAM 룩업 횟수와 TCAM 메모리 크기에 대한 새로운 분석이 필요하다. 이 논문에서는 Snort-2.9.0 룰에서 약 8,100개의 패턴을 이용하여 윈도우 크기별 TCAM 룩업 횟수와 TCAM의 크기를 시뮬레이션 했고 그 결과를 분석하였다. Snort 2.1.0에서는 16-바이트 윈도우에서 9Mb의 TCAM이 최적을 효과를 낼 수 있는 반면, Snort 2.9.0에서는 16-바이트 윈도우에서 18Mb TCAM 4개를 캐스케이딩으로 연결할 경우 최적의 효과를 낼 수 있다.

• 정보처리학회논문지C
• /
• 제10C권7호
• /
• pp.857-866
• /
• 2003

사용자 비정상 행위를 탐지하기 위해서 기존의 연구들은 주로 통계적 기법을 이용해 왔다. 그러나 이들 연구들은 주로 사용자의 평균적인 행위를 분석하기 때문에 사용자의 비정상행위가 정확하게 탐지될 수 없다. 본 논문에서는 사용자의 정상행위를 모델링하는 새로운 클러스터링 방법을 제안한다. 클러스터링은 분석 환경에서 임의 개수의 빈발 영역을 식별할 수 있기 때문에 통계적 기법에서의 부정확한 모델링 방법을 개선할 수 있다. 빈발 공통 지식은 트랜잭션 단위로 발생되는 유사 데이터 객체들의 빈도수와 각 트랜잭션에 포함된 유사 데이터 객체들의 반복 비율로 나타낼 수 있다. 이와 더불어, 제안된 방법은 공통 지식을 축약된 프로파일로 유지하는 방법을 설명한다. 따라서 생성된 프로파일을 이용하여 온라인 트랜잭션에서의 비정상 행위를 쉽게 탐지할 수 있다.

• 전자공학회논문지
• /
• 제51권6호
• /
• pp.110-116
• /
• 2014

패턴 매칭 알고리즘은 컴퓨터 네트워크, 유비쿼터스 네트워크, 그리고 센서 네트워크 등을 위한 보안 프로그램에 주로 사용 된다. IT 기술의 발전과 함께 정보의 디지털화가 가속화되면서 네트워크를 통해 전달되는 데이터양이 급증하고 있다. 이에 따라 패턴 매칭 연산의 복잡도도 폭발적으로 증가하고 있다. 따라서 더 많은 패턴을 보다 빠르게 검색할 수 있는 고성능 알고리즘의 개발이 끊임없이 요구되고 있다. 본 논문은 서픽스 트리 기반 패턴 매칭 알고리즘을 새롭게 제안하여 대용량 패턴 매칭 연산의 성능을 높였다. 서픽스 트리는 사전에 정의된 복수 패턴들의 서픽스를 기반으로 생성된다. 이 트리에 쉬프트 노드 개념을 추가하여 기존 패턴 매칭 연산들 중 불필요한 연산의 수행 횟수를 줄였다. 결과적으로 제안하는 구조를 통해 기존 알고리즘 대비 24% 이상의 성능 향상을 이루었다.

• 정보처리학회논문지C
• /
• 제12C권4호
• /
• pp.503-510
• /
• 2005

수 기가비트 급의 네트워크 성능 저하 없이 모든 패킷의 페이로드를 검사하여 유해 패킷을 검출해 내기 위해서 일반 메모리보다 빠른 검색을 지원하는 TCAM을 이용한 고성능 패턴 매치 알고리즘을 제안한다. 본 논문에서 제안하는 고성능 패턴 매치 알고리즘은 페이로드내에서 m바이트의 문자열당 한 번의 TCAM 룩업을 수행하는 m-바이트 점핑 윈도우 기법을 이용하여 패킷의 페이로드당 TCAM 룩업 횟수를 줄여 페이로드 스캐닝 속도를 증가시킨다. 본 논문에서 제안한 방법과 TCAM 기반 슬라이딩 윈도우 패턴 매치 방법을 이용하여 페이로드 스캐닝 성능을 비교해 보고, 제안한 방법의 우수성을 시뮬레이션을 통해 보인다. 또한 m-바이트 점핑 윈도우 패턴 매치 알고리즘이 약 2천개의 패턴을 가지는 Snort 규칙을 이용한 시뮬레이션을 통해 9Mbit TCAM에서 10Gbps 이상의 페이로드 스캐닝 성능을 낼 수 있음을 보인다.

• 한국통신학회논문지
• /
• 제40권11호
• /
• pp.2169-2177
• /
• 2015

본 논문은 네트워크 침입 탐지 시스템에서 CAM 및 해시 구조 기반 알고리듬의 비용 한계를 극복하기 위해 RAM을 이용한다. RAM을 이용한 기존 알고리듬의 다중 엔트리 처리 시 실시간 처리속도 지연 문제를 보완한 새로운 패턴 매칭기를 제안한다. 제안된 패턴 매칭기는 Merge FSM 알고리듬을 적용하여 스테이트의 수를 줄이고, RAM을 사용하기 위해 스테이트 블록과 엔트리 블록을 포함한다. 입력된 문자열과 비교할 엔트리문자열이 여러개 존재할 때 엔트리 블록에서 입력된 문자열과 엔트리 문자열들을 동시에 비교한다. 제안된 패턴 매칭기는 Snort 2.9 규칙을 이용하여 검증하였다. 실험결과 기존 탐색 방법과 비교하여 메모리 접근 빈도가 15.8% 감소하였고, 전체 메모리 크기는 2.6% 증가하였으며, 처리속도는 47.1% 증가하였다.