• 정보보호학회논문지
• /
• 제28권6호
• /
• pp.1489-1497
• /
• 2018

웹 애플리케이션 서비스의 종류가 다양해짐과 동시에 사이버 위협이 급증하여 침입탐지에 대한 연구가 계속되고 있다. 기존의 단일 방어체계에서 다단계 보안으로 진행됨에 따라 대량의 보안이벤트 연관성을 분석하여 명확한 침입에 대해 대응하고 있다. 그러나 대상시스템의 OS, 서비스, 웹 애플리케이션 종류 및 버전을 실시간으로 점검하기 어려운 측면이 있고, 네트워크 기반의 보안장비에서 발생하는 침입탐지 이벤트만으로는 대상지의 취약여부와 공격의 성공여부를 확인 할 수 없는 문제점과 연관성 분석이 되지 않은 위협의 사각지대가 발생할 수 있다. 본 논문에서는 침입탐지이벤트의 유효성을 검증하기 위한 기법을 제안한다. 제안된 기법은 공격에 상응하는 대상시스템의 반응을 사상(mapping)하여 응답트래픽을 추출하고, TF-IDF를 통해 라인(line)기반으로 가중치를 환산하고 높은 수치부터 순차적으로 확인하여 대상시스템의 취약여부와 유효성이 높은 침입탐지이벤트를 검출하였다.

• 정보처리학회논문지C
• /
• 제10C권6호
• /
• pp.705-710
• /
• 2003

최근 대부분의 정보 교류가 네트워크 환경 기반에서 이루어지고 있다. 때문에 외부의 침입으로부터 시스템을 보호해 주는 네트워크 침입 탐지 기술에 대한 연구가 매우 중요한 문제로 대두되고 있다. 하지만 시스템에 대한 침입 기술은 날로 새로워지고 더욱 정교화 되고 있어 이에 대한 대비가 절실한 실정이다. 현재 대부분의 침입 탐지 시스템은 이미 알려진 외부의 침입으로부터의 경험 데이터를 이용하여 침입 유형에 효과적으로 대처하지 못하게 된다. 따라서, 본 논문에서는 통계적 학습 이론과 우도비검정 통계량을 이용하여 새로운 침입 유형까지 탐지해 낼 수 있는 변형된 통계적 학습 모형을 제안하였다. 즉, 기존의 정상적인 네트워크 사용에서 벗어나는 형태들에 대한 모형화를 통하여 시스템에 대한 침입 탐지를 수행하였다. KDD Cup-99 Task 데이터를 이용하여 정상적인 네트워크 사용을 벗어나는 새로운 침입을 제안 모형이 효과적으로 탐지함을 확인하였다.

• 한국정보과학회논문지:정보통신
• /
• 제32권3호
• /
• pp.301-309
• /
• 2005

시스템 호출 감사자료기반 기계학습기법을 사용한 프로그램 행위 학습방법은 효과적인 호스트 기반 침입탐지 방법이며, 규칙 학습, 신경망, 통계적 방법, 은닉 마크로프 모델 등의 방법이 대표적이다. 그 중에서 신경망은 시스템 호출 시퀀스를 학습하는데 있어 적합하다고 알려져 있는데, 실제 문제에 적용하여 좋은 성능을 내기 위해서는 그 구조를 결정하는 것이 중요하다 하지만 보통의 신경망은 그 구조를 찾기 위한 방법이 알려져 있지 않아 침입탐지에 효과적인 구조를 찾기 위해서는 많은 시간이 요구된다. 본 논문에서는 기존 신경망 기반 침입탐지시스템의 단점을 보완하고 성능을 향상시키기 위해 진화신경망을 이용한 방법을 제안한다. 진화 신경망은 신경망의 구조와 가중치를 동시에 학습하기 때문에 일반 신경망보다 빠른 시간에 더 좋은 성능의 신경망을 얻을 수 있다는 장점이 있다. 1999년의 DARPA IDEVAL 자료로 실험한 결과 기존의 연구보다 좋은 탐지율을 보여 진화신경망이 침입탐지에 효과적임을 확인할 수 있었다.

• 한국컴퓨터정보학회논문지
• /
• 제5권4호
• /
• pp.69-75
• /
• 2000

본 논문에서는 삽입 공격과 배제 공격을 탐지할 수 있는 네트워크 침입 탐지 시스템의 모델을 제시하였다. 이를 위해, 먼저 네트워크 침입 탐지 시스템에 대한 공격들을 살펴보았으며, 이들 공격의 탐지에 필요한 정보들을 세 가지 관점에서 분류하였다. 분류된 정보는 탐지를 위한 초기 설정 단계와 실행 단계에서 각각 사용하였다. 제시한 모델은 네트워크 침입 탐지 시스템이 각종 운영체제들의 동작 특성에 대한 정보를 데이터베이스에 유지 및 관리하고 있으며 데이터베이스로부터 테이블을 생성하고, 탐지 시에 이를 참조함으로써 목적지 시스템의 동작을 정확히 예측할 수 있게 된다. 또한, 제시된 모델에서 필요로 하는 데이터베이스와 테이블에 관련된 오버헤더는 별로 크지 않을 것이라 추정할 수 있다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2003년도 춘계학술발표논문집 (하)
• /
• pp.2173-2176
• /
• 2003

본 논문에서는 네트워크 기반 분산 침입탐지 시스템을 위한 커널 수준 침입탐지 기법을 제안한다. 제안하는 기법은 탐지분석으로 침입탐지 과정을 분리하고 침입탐지 규칙 생성 요구에 대한 침입탐지 자료구조로의 변환을 사용자 응용 프로그램 수준에서 수행하며 생성된 자료구조의 포인터 연결을 커널 수준에서 수행한다. 침입탐지 규칙 변경은 노드를 삭제하지 않고 삭제표시만 수행하고 새로운 노드를 추가하는 삭제마크 띤 노드추가 방식 통하여 수행한다 제안하는 기법은 탐지과정의 분리를 통해 분산 네트워크 환경에 효율적으로 적용할 수 있으며 커널기반 침입탐지 방식을 사용하여 사용자 응용 프로그램으로 동작하는 에이전트기반의 침입탐지 기법에 비해 탐지속도가 빠르다. 침입탐지 규칙 변경은 삭제마크 및 노드추가 방식을 통해서 규칙변경과 침입탐지를 동시에 수행하기 위한 커널의 부하를 줄일 수 있다. 이를 통해 다양한 네트워크 공격에 대하여 신속하게 대응할 수 있다. 그러므로, 서비스거부 공격과 같이 네트워크 과부하가 발생하는 환경에서도 신속한 침입탐지와 탐지효율을 증가시킬 수 있다는 장점을 가진다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2020년도 춘계학술발표대회
• /
• pp.490-493
• /
• 2020

오늘날 정보통신 기술이 급격하게 발달하면서 IT 인프라에서 보안의 중요성이 높아졌고 동시에 APT(Advanced Persistent threat)처럼 고도화되고 다양한 형태의 공격이 증가하고 있다. 점점 더 고도화되는 공격을 조기에 방어하거나 예측하는 것은 매우 중요한 문제이며, NIDS(Network-based Intrusion Detection System) 관련 데이터 분석만으로는 빠르게 변형하는 공격을 방어하지 못하는 경우가 많이 보고되고 있다. 따라서 HIDS(Host-based Intrusion Detection System) 데이터 분석을 통해서 위와 같은 공격을 방어하는데 현재는 침입탐지 시스템에서 생성된 데이터가 주로 사용된다. 하지만 데이터가 많이 부족하여 과거에 생성된 DARPA(Defense Advanced Research Projects Agency) 침입 탐지 평가 데이터 세트인 KDD(Knowledge Discovery and Data Mining) 같은 데이터로 연구를 하고 있어 현대 컴퓨터 시스템 특정을 반영한 데이터의 비정상행위 탐지에 대한 연구가 많이 부족하다. 본 논문에서는 기존에 사용되었던 데이터 세트에서 결여된 스레드 정보, 메타 데이터 및 버퍼 데이터를 포함하고 있으면서 최근에 생성된 LID-DS(Leipzig Intrusion Detection-Data Set) 데이터를 이용한 분석 비교 연구를 통해 앞으로 호스트 기반 침입 탐지 데이터 시스템의 나아갈 새로운 연구 방향을 제시한다.

• 한국지능정보시스템학회:학술대회논문집
• /
• 한국지능정보시스템학회 2001년도 The Pacific Aisan Confrence On Intelligent Systems 2001
• /
• pp.298-309
• /
• 2001

This research aims to unravel the significant features of the human immune system, which would be successfully employed for a novel network intrusion detection model. Several salient features of the human immune system, which detects intruding pathogens, are carefully studied and the possibility and the advantages of adopting these features for network intrusion detection are reviewed and assessed.

• 디지털콘텐츠학회 논문지
• /
• 제10권3호
• /
• pp.479-484
• /
• 2009

무선 네트워크 사용이 증가하면서 무선 네트워크의 보안 시스템의 중요성이 부각되고 있는 실정이다. MANET은 이동 노드만으로 구성되어 있기 때문에 공격이 발생해도 그에 대한 탐지나 대응이 어렵다. 그리고 노드들의 이동성 때문에 유선 네트워크 환경에서 사용하던 보안 시스템을 그대로 적용하기에는 어려움이 많다. 따라서 이러한 환경에서 공격자의 악의적인 공격으로부터 시스템을 보호하고 즉각적으로 대처해야만 한다. 본 논문에서는 악의적인 공격을 탐지하고 자원의 효율적 사용을 위해서 클러스터를 헤드를 이용한 침입탐지 시스템을 제안한다. 보다 정확한 침입탐지를 위해 규칙들의 집합을 정의하고 일치 여부를 판단하는 방법을 이용하였다. 제안한 방법의 성능 평가를 위해서 blackhole, message negligence, jamming 공격을 이용하였다.

• 한국정보통신학회:학술대회논문집
• /
• 한국해양정보통신학회 2001년도 춘계종합학술대회
• /
• pp.676-679
• /
• 2001

침입 탐지 시스템은 침입 판정과 감사 자료(audit data) 수집 분야에서 많은 연구가 진행되고 있다. 침입 판정은 주어진 일련의 행위들이 침입인지 아닌지를 정확히 판정해야하고 감사 자료 수집에서는 침입 판정에 필요한 자료만을 정확히 수집하는 능력이 필요하다. 최근에 이러한 문제점을 해결하기 위해 규칙기반 시스템과 신경망등의 인공지능적인 방법들이 도입되고 있다. 하지만 이러한 방법들은 단일 호스트 구조로 되어있거나 새로운 침입 패턴이 발생했을 때 탐지하지 못하는 단점이 존재한다. 본 논문에서는 분산된 이기종 간의 호스트에서 사용자의 행위를 추출하여 패턴을 검색, 예측할 수 있는 데이터 마이닝을 적용하여 실시간으로 침입을 탐지하는 방법을 제안하고자 한다.

• 한국컴퓨터정보학회논문지
• /
• 제8권1호
• /
• pp.103-113
• /
• 2003

프로그램 행위 침입 탐지 기법은 데몬 프로그램이나 루트 권한으로 실행되는 프로그램이 발생시키는 시스템 호출들을 분석하고 프로파일을 구축하여 침입을 효과적으로 탐지한다 시스템 호출을 이용한 이상 탐지는 단지 그 프로세스가 이상(anomaly)임을 탐지할 뿐 그 프로세스에 의해 영향을 받는 여러 부분에 대해서는 탐지하지 못하는 문제점을 갖는다. 이러한 문제점을 개선하는 방법이 베이지안 확률값 이용하여 여러 프로세스의 시스템 호출간의 관계를 표현하고, 베이지안 네트워크를 이용한 어플리케이션의 행위 프로파일링에 의해 이상 탐지 정보를 제공한다. 본 논문은 여러 침입 탐지 모델들의 문제점들을 극복하면서 이상 침입 탐지를 효율적으로 수행할 수 있는 베이지안 네트워크를 이용한 침입 탐지 방법을 제안한다 행위의 전후 관계를 이용한 정상 행위를 간결하게 프로파일링하며, 변형되거나 새로운 행위에 대해서도 탐지가 가능하다. 제안한 정상행위 프로파일링 기법을 UNM 데이터를 이용하여 시뮬레이션하였다.