• Journal of Information Processing Systems
• /
• 제15권1호
• /
• pp.137-150
• /
• 2019

Although the research of immune-based anomaly detection technology has made some progress, there are still some defects which have not been solved, such as the loophole problem which leads to low detection rate and high false alarm rate, the exponential relationship between training cost of mature detectors and size of self-antigens. This paper proposed an intrusion detection method based on changes of antibody concentration in immune response to improve and solve existing problems of immune based anomaly detection technology. The method introduces blood relative and blood family to classify antibodies and antigens and simulate correlations between antibodies and antigens. Then, the method establishes dynamic evolution models of antigens and antibodies in intrusion detection. In addition, the method determines concentration changes of antibodies in the immune system drawing the experience of cloud model, and divides the risk levels to guide immune responses. Experimental results show that the method has better detection performance and adaptability than traditional methods.

• Journal of information and communication convergence engineering
• /
• 제7권1호
• /
• pp.7-12
• /
• 2009

The advanced computer network and Internet technology enables connectivity of computers through an open network environment. Despite the growing numbers of security threats to networks, most intrusion detection identifies security attacks mainly by detecting misuse using a set of rules based on past hacking patterns. This pattern matching has a high rate of false positives and can not detect new hacking patterns, making it vulnerable to previously unidentified attack patterns and variations in attack and increasing false negatives. Intrusion detection and prevention technologies are thus required. We proposed a network based hybrid Probe Intrusion Detection model using Fuzzy cognitive maps (PIDuF) that detects intrusion by DoS (DDoS and PDoS) attack detection using packet analysis. A DoS attack typically appears as a probe and SYN flooding attack. SYN flooding using FCM model captures and analyzes packet information to detect SYN flooding attacks. Using the result of decision module analysis, which used FCM, the decision module measures the degree of danger of the DoS and trains the response module to deal with attacks. For the performance evaluation, the "IDS Evaluation Data Set" created by MIT was used. From the simulation we obtained the max-average true positive rate of 97.064% and the max-average false negative rate of 2.936%. The true positive error rate of the PIDuF is similar to that of Bernhard's true positive error rate.

• 제어로봇시스템학회:학술대회논문집
• /
• 제어로봇시스템학회 2005년도 ICCAS
• /
• pp.1577-1580
• /
• 2005

With remarkable growth of using Internet, attempts to try intrusions on network are now increasing. Intrusion Detection System is a security system which detects and copes illegal intrusions. Especially with increasing dispersive attacks through network, concerns for this Distributed Intrusion Detection are also rising. The previous Intrusion Detection System has difficulty in coping cause it detects intrusions only on particular network and only same segment. About same attacks, system lacks capacity of combining information and related data. Also it lacks cooperations against intrusions. Systematic and general security controls can make it possible to detect intrusions and deal with intrusions and predict. This paper considers Distributed Intrusion Detection preventing attacks and suggests the way sending active packets between nodes safely and performing in corresponding active node certainly. This study suggested improved E-IDS system which prevents service attacks and also studied sending messages safely by encoding. Encoding decreases security attacks in active network. Also described effective ways of dealing intrusions when misuses happens thorough case study. Previous network nodes can't deal with hacking and misuses happened in the middle nodes at all, cause it just encodes ends. With above suggested ideas, problems caused by security services can be improved.

• 한국정보통신학회논문지
• /
• 제7권5호
• /
• pp.978-985
• /
• 2003

시스템에서 사용 패턴의 다양화 때문에 비정상 행위 탐지 IDS를 구현하는 것은 오용탐지 IDS를 구현하는 것보다 많은 어려움이 있다. 따라서 상용화되어 있는 대부분의 IDS는 오용 탐지 방법에 의한 것이다. 그러나 이러한 오용 탐지 방법에 의한 IDS는 변형된 침입 패턴이 발생할 경우 탐지해내 지 못한다는 단점을 가지고 있다. 본 논문에서는 감사데이터간의 침입 관계를 가지고 침입을 탐지하기 위해 데이터 마이닝 기법을 적용한다. 분산되어 있는 IDS에서의 에이전트는 시스템을 감시할뿐만 아니라 로그데이터까지 수집할 수 있다. 침입탐지시스템의 핵심인 탐지정확도를 높이기 위해 긍정적 결함이 최소화 되어야 한다. 따라서 감사데이터 학습단계에서 변형된 침입 패턴을 예측하기 위해서 데이터 마이닝 알고리즘을 적용한다.

• 정보처리학회논문지C
• /
• 제13C권3호
• /
• pp.295-302
• /
• 2006

침입탐지 시스템은 실시간으로 공격행위에 대하여 다량의 경보를 기록한다. 이들 경보 중에는 실제 공격 경보뿐만 아니라 공격으로 잘못 탐지하여 발생된 오 경보들도 있다. 오 경보는 침입탐지 시스템의 효율성을 저하시키는 주요요인이 되므로, 이 논문에서는 오경보 분석을 위한 프레임워크를 제안한다. 또한 지속적으로 증가하는 오 경보를 분석하기 위해 점진적 데이터 마이닝 기법을 적용한다. 제안한 오경보 분석 프레임워크는 GUI, DB Manager, Alert Preprocessor, False Alarm Analyzer로 구성되어 있다. 우리는 실험을 통해 증가하는 오경보를 분석하고, 분석된 오경보 규칙을 침입탐지 시스템에 적용하여 오 경보가 감소됨을 확인하였다.

• 한국컴퓨터정보학회논문지
• /
• 제11권3호
• /
• pp.231-237
• /
• 2006

퍼베이시브 컴퓨팅 환경은 미국 표준화 기구인 NIST와 IBM이 함께 추진하고 있는 개념으로써 유비쿼터스와 유사한 의미이나, 개념적으로만 쓰이는 유비쿼터스와는 대조적으로 IBM에서 추진하는 하나의 사업적 상품명으로 취급되고 있다. 이러한 환경에 기초하여 침입탐지용 모바일 에이전트에 대한 연구가 함께 진행 중이다. 이 논문에서는 침입탐지를 위한 모바일 에이전트에 대한 연구를 다룬 후, 침입 탐지에 있어서 다중 모바일 에이전트를 기반으로 이동중의 모바일 에이전트를 이용한 침입 탐지 시나리오를 제안한다. 이를 통해 침입 탐지에 있어서 무결성 이동성의 과정에서 발생하는 침입 탐지 문제를 해결할 수 있었다.

• 정보보호학회논문지
• /
• 제18권1호
• /
• pp.49-57
• /
• 2008

본 논문에서는 구조적으로 분산 침입탐지시스템의 구조를 계승하면서 동시에 홈네트워크의 환경을 최대한 고려하여 HNHDIDS(Home Network Hierarchical Distributed Intrusion Detection System)로 명명된 새로운 계층적 분산 침입탐지 시스템을 제안한다. 제안된 시스템은 단일 클래스 support vector machine(support vector data description)과 지역적 에이전트(agent)들을 계층적으로 결합한 구조로써, 홈네트워크의 환경을 위하여 최적화되었다. 만족스러운 침입 탐지율과 안전한 FNR(false negative rate) 수치 등을 실험을 통하여 확인함으로써 제안된 시스템이 홈네트워크 환경에 적합함을 검증하였다.

• 한국인터넷방송통신학회논문지
• /
• 제13권3호
• /
• pp.9-15
• /
• 2013

최근 침입 탐지 시스템은 공격의 수가 극적으로 증가하고 있기 때문에 컴퓨터 네트워크 시스템에서 아주 중요한 기술이다. 어려운 침입에 대한 감시데이터를 분석하기 때문에 침입 탐지 방법의 대부분은 실시간적으로 침입을 탐지하지 않는다. 네트워크 침입 탐지 시스템은 개별 사용자, 그룹, 원격 호스트와 전체 시스템의 활동을 모니터링하고 그들이 발생할 때, 내부와 외부 모두에서 의심 보안 위반을 탐지하는 데 사용한다. 그것은 시간이 지남에 따라 사용자의 행동 패턴을 학습하고 이러한 패턴에서 벗어나는 행동을 감지한다. 본 논문에서 알려진 시스템의 취약점 및 침입 시나리오에 대한 정보를 인코딩하는 데 사용할 수 있는 규칙 기반 구성 요소를 사용한다. 두 가지 방법을 통합하는 것은 침입 탐지 시스템 권한이 있는 사용자 또는 센서 침입 탐지 시스템 (IDS)에서 데이터를 수집 RFM 분석 방법론 및 모니터링을 사용하여 비정상적인 사용자 (권한이 없는 사용자)에 의해 침입뿐만 아니라 오용을 탐지하기위한 포괄적인 시스템을 만든다.

• 융합보안논문지
• /
• 제17권1호
• /
• pp.31-38
• /
• 2017

네트워크를 통한 사이버 공격 기법들이 다양화, 고급화 되면서 간단한 규칙 기반의 침입 탐지/방지 시스템으로는 지능형 지속 위협(Advanced Persistent Threat: APT) 공격과 같은 새로운 형태의 공격을 찾아내기가 어렵다. 기존에 알려지지 않은 형태의 공격 방식을 탐지하는 이상행위 탐지(anomaly detection)를 위한 해결책으로 최근 기계학습 기법을 침입탐지 시스템에 도입한 연구들이 많다. 기계학습을 이용하는 경우, 사용하는 특징 집합에 침입탐지 시스템의 효율성과 성능이 크게 좌우된다. 일반적으로, 사용하는 특징이 많을수록 침입탐지 시스템의 정확성은 높아지는 반면 탐지를 위해 소요되는 시간이 많아져 긴급성을 요하는 경우 문제가 된다. 논문은 이러한 두 가지 조건을 동시에 충족하는 특징 집합을 찾고자 다목적 유전자 알고리즘을 제안하고 인공신경망에 기반한 네트워크 침입탐지 시스템을 설계한다. 제안한 방법의 성능 평가를 위해 NSL_KDD 데이터를 대상으로 이전에 제안된 방법들과 비교한다.

• 한국정보과학회논문지:정보통신
• /
• 제33권2호
• /
• pp.113-130
• /
• 2006

초고속 인터넷 망이 빠른 속도로 구축이 되고, 네트워크에 대한 해커나 침입자들의 수가 급증함에 따라, 실시간 고속 패킷 처리가 가능한 네트워크 침입 탐지 시스템이 요구되고 있다. 본 논문에서는 일반적으로 소프트웨어 방식으로 구현된 침입 탐지 시스템을 고속의 패킷 처리에 뛰어난 성능을 가지고 있는 네트워크 프로세서를 이용하여 재설계 및 구현하였다. 제한된 자원과 기능을 가지는 다중 처리 프로세서(Multi-processing Processor)로 구성된 네트워크 프로세서에서 고성능 침입 탐지 시스템을 실현하기 위하여, 최적화된 자료구조와 알고리즘을 설계하였다. 그리고 더욱 효율적으로 침입 탐지 엔진을 스케줄링(scheduling)하기 위한 침입 탐지 엔진 할당 기법을 제안하였으며, 구현과 성능 분석을 통하여 제안된 기법의 적절성을 검증하였다.