• 제목/요약/키워드: Network intrusion detection systems

검색결과 227건 처리시간 0.023초

다양한 데이터 전처리 기법 기반 침입탐지 시스템의 이상탐지 정확도 비교 연구 (Comparative Study of Anomaly Detection Accuracy of Intrusion Detection Systems Based on Various Data Preprocessing Techniques)

  • 박경선;김강석
    • 정보처리학회논문지:소프트웨어 및 데이터공학
    • /
    • 제10권11호
    • /
    • pp.449-456
    • /
    • 2021
  • 침입 탐지 시스템(IDS: Intrusion Detection System)은 보안을 침해하는 이상 행위를 탐지하는 기술로서 비정상적인 조작을 탐지하고 시스템 공격을 방지한다. 기존의 침입탐지 시스템은 트래픽 패턴을 통계 기반으로 분석하여 설계하였다. 그러나 급속도로 성장하는 기술에 의해 현대의 시스템은 다양한 트래픽을 생성하기 때문에 기존의 방법은 한계점이 명확해졌다. 이런 한계점을 극복하기 위해 다양한 기계학습 기법을 적용한 침입탐지 방법의 연구가 활발히 진행되고 있다. 본 논문에서는 다양한 네트워크 환경의 트래픽을 시뮬레이션 장비에서 생성한 NGIDS-DS(Next Generation IDS Dataset)를 이용하여 이상(Anomaly) 탐지 정확도를 높일 수 있는 데이터 전처리 기법에 관한 비교 연구를 진행하였다. 데이터 전처리로 패딩(Padding)과 슬라이딩 윈도우(Sliding Window)를 사용하였고, 정상 데이터 비율과 이상 데이터 비율의 불균형 문제를 해결하기 위해 AAE(Adversarial Auto-Encoder)를 적용한 오버샘플링 기법 등을 적용하였다. 또한, 전처리된 시퀀스 데이터의 특징벡터를 추출할 수 있는 Word2Vec 기법 중 Skip-gram을 이용하여 탐지 정확도의 성능 향상을 확인하였다. 비교실험을 위한 모델로는 PCA-SVM과 GRU를 사용하였고, 실험 결과는 슬라이딩 윈도우, Skip-gram, AAE, GRU를 적용하였을 때, 더 좋은 성능을 보였다.

A Danger Theory Inspired Protection Approach for Hierarchical Wireless Sensor Networks

  • Xiao, Xin;Zhang, Ruirui
    • KSII Transactions on Internet and Information Systems (TIIS)
    • /
    • 제13권5호
    • /
    • pp.2732-2753
    • /
    • 2019
  • With the application of wireless sensor networks in the fields of ecological observation, defense military, architecture and urban management etc., the security problem is becoming more and more serious. Characteristics and constraint conditions of wireless sensor networks such as computing power, storage space and battery have brought huge challenges to protection research. Inspired by the danger theory in biological immune system, this paper proposes an intrusion detection model for wireless sensor networks. The model abstracts expressions of antigens and antibodies in wireless sensor networks, defines meanings and functions of danger signals and danger areas, and expounds the process of intrusion detection based on the danger theory. The model realizes the distributed deployment, and there is no need to arrange an instance at each sensor node. In addition, sensor nodes trigger danger signals according to their own environmental information, and do not need to communicate with other nodes, which saves resources. When danger is perceived, the model acquires the global knowledge through node cooperation, and can perform more accurate real-time intrusion detection. In this paper, the performance of the model is analyzed including complexity and efficiency, and experimental results show that the model has good detection performance and reduces energy consumption.

B-Corr Model for Bot Group Activity Detection Based on Network Flows Traffic Analysis

  • Hostiadi, Dandy Pramana;Wibisono, Waskitho;Ahmad, Tohari
    • KSII Transactions on Internet and Information Systems (TIIS)
    • /
    • 제14권10호
    • /
    • pp.4176-4197
    • /
    • 2020
  • Botnet is a type of dangerous malware. Botnet attack with a collection of bots attacking a similar target and activity pattern is called bot group activities. The detection of bot group activities using intrusion detection models can only detect single bot activities but cannot detect bots' behavioral relation on bot group attack. Detection of bot group activities could help network administrators isolate an activity or access a bot group attacks and determine the relations between bots that can measure the correlation. This paper proposed a new model to measure the similarity between bot activities using the intersections-probability concept to define bot group activities called as B-Corr Model. The B-Corr model consisted of several stages, such as extraction feature from bot activity flows, measurement of intersections between bots, and similarity value production. B-Corr model categorizes similar bots with a similar target to specify bot group activities. To achieve a more comprehensive view, the B-Corr model visualizes the similarity values between bots in the form of a similar bot graph. Furthermore, extensive experiments have been conducted using real botnet datasets with high detection accuracy in various scenarios.

퍼지 로직을 이용한 느린 포트스캔 공격 탐지 및 대응 기법 (A Slow Portscan Attack Detection and Countermove Mechanism based on Fuzzy Logic)

  • 김재광;윤광호;이승훈;정제희;이지형
    • 한국지능시스템학회논문지
    • /
    • 제18권5호
    • /
    • pp.679-684
    • /
    • 2008
  • 느린 포트스캔 공격 탐지는 네트워크 보안에서 중요한 분야 중 하나이다. 본 논문에서는 퍼지 룰을 이용한 비정상 트래픽 컨트롤 프레임워크를 이용한 느린 포트스캔 공격을 탐지하고 대응하는 방법을 제안한다. 비정상 트래픽 컨트롤 프레임워크는 침입차단 시스템으로 동작하면서 의심 단계의 네트워크 트래픽을 대응하는 기능을 가진다. 본 논문에서 제안하는 방법은 공격 혹은 공격 의심 트래픽에 대해 단계적 대응을 한다. 먼저 의심 단계에 있는 트래픽에 대해 대역폭을 줄여 서비스를 하다가 최종적으로 공격으로 판명되면 트래픽을 차단한다. 본 논문에서는 제안한 방법을 프레임워크에 구축하고 실험을 통해 느린 포트스캔 공격에 효과적임을 보인다.

유전자알고리즘을 적용한 침입탐지시스템 (Using Genetic Algorithms for Intrusion Detection Systems)

  • 양지홍;김명준;한명묵
    • 한국정보과학회:학술대회논문집
    • /
    • 한국정보과학회 2002년도 가을 학술발표논문집 Vol.29 No.2 (1)
    • /
    • pp.517-519
    • /
    • 2002
  • 침입탐지 시스템은 정밀성자 적응성, 그리고 확장성을 필요로 한다. 이와 같은 조건을 포함하면서 복잡한 Network 환경에서 중요하고 기밀성이 유지되어야 할 리소스를 보호하기 위해, 우리는 더욱 구조적이며 지능적인 IDS(Intrusion Detection Systems) 개발의 필요성이 요구되고 있다. 본 연구는 데이터 마이닝(Data mining)을 통해 입 패턴, 즉 침입 규칙(Rules)을 생성한다. 데이터 마이닝 기법 중 분류(Classification)에 초점을 맞추어 분석과 실험을 하였으며, 사용된 데이터는 KDD데이터이다. 이 데이터를 중심으로 침입 규칙을 생성하였다. 규칙생성에는 유전자알고리즘(Genetic Algorithm : GAs)을 적용하였다. 즉, 오용탐지(Misuse Detection) 기법을 실험하였으며, 생성된 규칙은 침입데이터를 대표하는 규칙으로 비정상 사용자와 정상 사용자를 분류하게 된다. 규칙은 "Time Based Traffic Model", "Host Based Traffic Model", "Content Model" 이 세 가지 모듈에서 각각 상이한 침입 규칙을 생성하게 된다. 본 시스템에서 도출된 침입 규칙은 430M Test data set에서 테스트한 결과 평균 약94.3%의 성능 평가 결과를 얻어 만족할 만한 성과를 보였다.의 성능 평가 결과를 얻어 만족할 만한 성과를 보였다.

  • PDF

웹 어플리케이션 특성 분석을 통한 공격 분류 (Attack Categorization based on Web Application Analysis)

  • 서정석;김한성;조상현;차성덕
    • 한국정보과학회논문지:정보통신
    • /
    • 제30권1호
    • /
    • pp.97-116
    • /
    • 2003
  • 최근 웹 서비스의 증가와 한께 엘 서비스에 대한 공격과 피 피해 규모는 증가하고 있다. 그러나 웹 서비스에 대한 공격은 다른 인터넷 공격들과 성격이 다르고 그에 대한 연구 또한 부족한 현실이다. 더욱이 기존의 침입 탐지 시스템들도 낄 서비스를 보호하는데 적합하지 않다. 이 연구에서는 먼저 웹 공격들을 공격 발생 원인과 공격 탐지 관점에서 분류하고, 마지막으로 위험성 분석을 통하여 웹 공격들을 분류하였다. 이를 통해 엘 서비스를 보호하기 적합한 웹 서비스 특화된 침입 탐지 시스템을 설계, 개발하는데 도움을 주고자 한다.

네트워크 데이터 모델링을 위한 효과적인 성분 선택 (Effective Feature Selection Model for Network Data Modeling)

  • 김호인;조재익;이인용;문종섭
    • 방송공학회논문지
    • /
    • 제13권1호
    • /
    • pp.92-98
    • /
    • 2008
  • 네트워크 데이터 모델링은 침입 탐지 시스템의 성능 평가, 네트워크 모니터링, 네트워크 데이터 분석 기법 연구에 있어서 반드시 필요한 연구이다. 네트워크 데이터의 모델링에는 반드시 네트워크의 실제 데이터를 분석하고, 분석된 데이터를 이용하여 효과적으로 데이터를 구성하여야만, 실제 네트워크 데이터의 충분한 정보를 모델링 된 데이터에 반영할 수 있다. 본 연구에서는 대규모의 네트워크 데이터에서 실제 네트워크에서 사용 가능한 모든 성분에 대해 수량화하였으며, 수량화 된 데이터를 통계적 분석방법을 통하여 모델링 데이터에서 가장 효과적인 분류 기준으로 작용할 수 있는 성분을 분석하였다.

O/S 정보를 이용한 침입탐지 처리성능 향상에 관한 시스템 설계 및 구현 (Designing and Realization of the System for the Improvement of Processing Capability of Intrusion Detection by Using O/S Information)

  • 손만경;이동휘;김귀남
    • 융합보안논문지
    • /
    • 제6권2호
    • /
    • pp.91-99
    • /
    • 2006
  • 네트워크의 속도가 빨라지고 인터넷의 보편화로 인하여 웜, 이메일 바이러스 등 악의적인 공격이 급증하였으며. 네트워크의 악의적인 공격에 대한 방어로 기존의 방화벽을 비롯하여 최근 침입방지시스템에 이르기까지 수많은 방어기법이 생겨났다. 또한 악의적인 공격의 형태가 바뀜과 동시에 방어의 기법도 달라지게 된다. 가장 대표적인 방어 기법으로 Snort를 들 수 있으며 공격형태가 바뀜에 따라 Snort의 Rules 파일이 증가하게 된다. 따라서 탐지수행능력이 점점 떨어지게 된다. 본 논문에서는 Snort의 Rule 파일을 O/S별로 구분하여 처리성능 향상을 위한 구조를 제안하고 설계 및 구현한다. 이 시스템은 Snort의 기본 구성보다 처리성능을 향상시킬 수 있다.

  • PDF

다양한 연동 구조를 통한 보안 시스템의 성능 비교 (Performance Comparison of Security System with Various Collaboration Architecture)

  • 김희완;서희석
    • 한국컴퓨터산업학회논문지
    • /
    • 제5권2호
    • /
    • pp.235-242
    • /
    • 2004
  • e-비즈니스의 급격한 발전으로 인하여 네트워크 상의 보안이 중요한 이슈로 부각되고 있다. 대표적인 보안 시스템인 침입 탐지 시스템(IDS)은 네트워크 상의 침입 시도를 탐지하는 역할을 수행한다. 현재의 침입은 광범위해지고, 복잡하게 되어 한 침입 탐지 시스템이 독립적으로 네트워크의 침입을 판단하기 어렵게 되었다. 그래서 본 논문에서는 여러 침입 탐지 시스템을 네트워크상에 배치하려고, 이들이 서로 정보를 공유하면서 공격자에 효과적으로 대처하며 침입을 탐지하도록 하였다. 각 에이전트들이 침입을 탐지하기 위한 연동 방법은 블랙 보드 구조(Blackboard Architecture)와 계약망 프로토콜(Contract Net Protocol)을 사용하였다 본 논문에서는 보안 에이전트들이 블랙 보드 구조를 사용한 경우와 계약망 프로토콜을 사용한 경우의 성능을 비교해 효과적인 방법을 제안할 것이다.

  • PDF

자가적응모듈과 퍼지인식도가 적용된 하이브리드 침입시도탐지모델 (An Hybrid Probe Detection Model using FCM and Self-Adaptive Module)

  • 이세열
    • 디지털산업정보학회논문지
    • /
    • 제13권3호
    • /
    • pp.19-25
    • /
    • 2017
  • Nowadays, networked computer systems play an increasingly important role in our society and its economy. They have become the targets of a wide array of malicious attacks that invariably turn into actual intrusions. This is the reason computer security has become an essential concern for network administrators. Recently, a number of Detection/Prevention System schemes have been proposed based on various technologies. However, the techniques, which have been applied in many systems, are useful only for the existing patterns of intrusion. Therefore, probe detection has become a major security protection technology to detection potential attacks. Probe detection needs to take into account a variety of factors ant the relationship between the various factors to reduce false negative & positive error. It is necessary to develop new technology of probe detection that can find new pattern of probe. In this paper, we propose an hybrid probe detection using Fuzzy Cognitive Map(FCM) and Self Adaptive Module(SAM) in dynamic environment such as Cloud and IoT. Also, in order to verify the proposed method, experiments about measuring detection rate in dynamic environments and possibility of countermeasure against intrusion were performed. From experimental results, decrease of false detection and the possibilities of countermeasures against intrusions were confirmed.