• KSII Transactions on Internet and Information Systems (TIIS)
• /
• v.11 no.8
• /
• pp.4043-4060
• /
• 2017

Network Intrusion Detection (NID), an important topic in the field of information security, can be viewed as a pattern recognition problem. The existing pattern recognition methods can achieve a good performance when the number of training samples is large enough. However, modern network attacks are diverse and constantly updated, and the training samples have much smaller size. Furthermore, to improve the learning ability of SVM, the research of kernel functions mainly focus on the selection, construction and improvement of kernel functions. Nonetheless, in practice, there are no theories to solve the problem of the construction of kernel functions perfectly. In this paper, we effectively integrate the advantages of the radial basis function kernel and the polynomial kernel on the notion of the game theory and propose a novel kernel SVM algorithm with game theory for NID, called GTNID-SVM. The basic idea is to exploit the game theory in NID to get a SVM classifier with better learning ability and generalization performance. To the best of our knowledge, GTNID-SVM is the first algorithm that studies ensemble kernel function with game theory in NID. We conduct empirical studies on the DARPA dataset, and the results demonstrate that the proposed approach is feasible and more effective.

• KSII Transactions on Internet and Information Systems (TIIS)
• /
• v.16 no.12
• /
• pp.3889-3903
• /
• 2022

To address the problem of low detection accuracy due to training noise caused by mislabeling when Tri-training for network intrusion detection (NID), we propose a Tri-training algorithm based on cross entropy and K-nearest neighbors (TCK) for network intrusion detection. The proposed algorithm uses cross-entropy to replace the classification error rate to better identify the difference between the practical and predicted distributions of the model and reduce the prediction bias of mislabeled data to unlabeled data; K-nearest neighbors are used to remove the mislabeled data and reduce the number of mislabeled data. In order to verify the effectiveness of the algorithm proposed in this paper, experiments were conducted on 12 UCI datasets and NSL-KDD network intrusion datasets, and four indexes including accuracy, recall, F-measure and precision were used for comparison. The experimental results revealed that the TCK has superior performance than the conventional Tri-training algorithms and the Tri-training algorithms using only cross-entropy or K-nearest neighbor strategy.

• Journal of KIISE:Information Networking
• /
• v.31 no.4
• /
• pp.363-374
• /
• 2004

In this paper, we propose an in-line mode NIDS using network processors(NPs) that achieve performance comparable to ASIC and flexibility comparable to general-purpose processors. Even if many networking applications using NPs have been proposed, we cannot find any NP applications to NIDS in the literature. The proposed NIDS supports packet payload inspection detecting attacks, as well as packet filtering and traffic metering. In particular, we separate the filtering and metering functions from the complicated and time-consuming operations of the deep packet inspection function using two-level searching scheme, thus we can improve the performance, stability, and scalability of In-line mode system. We also implement a proto-type based on a PC platform and the Agere PayloadPlus (APP) 2.5G NP solution, and present a payload inspection algorithm to apply APP NP.

• Proceedings of the Korea Multimedia Society Conference
• /
• 2002.05d
• /
• pp.951-954
• /
• 2002

최근의 침입탐지시스템(IDS: Intrusion Detection System) 기술동향은 Misuse 방식의 규칙 데이터베이스 변경에 대한 한계성 때문에 Anomaly 방식의 NIDS(Network IDS)에 대한 연구가 고려되고 있다. 현재 국내에서 개발된 기존의 제품들은 대부분 Misuse 방식을 채택하고 있으며, 향후 국제 경쟁력을 갖추기 위해서는 Anomaly 방식의 기술 연구가 필요하다. 본 연구에서는 본 연구실에서 개발한 NIDS를 기반으로 연관 마이닝을 이용한 비정상 탐지 문제, 내부 정보 유출 차단 등에 대한 통합된 시스템 설계 방향을 제시하여 국가기관이나 기업이 보다 안전하게 침입을 관리할 수 있는 IPS(Intrusion Prevention System) 시스템을 설계한다.

• Review of KIISC
• /
• v.13 no.1
• /
• pp.22-31
• /
• 2003

NIDS(Network Intrusion Detection System)은 실시간에 침입을 탐지하는 방안을 제시하는 시스템이지만 침입에 대한 탐지보다 더 많은 false positives 정보를 발생시키고 있다. 많은 false positives로부터 실제 침입을 찾아내는 것은 NIDS를 효율적으로 운영하기 위해서 필요한 새로운 일이 되고 있다. 본 논문은 NIDS에서의 false positive를 줄이기 위한 동적인 중요도 계산 모델을 제시한다. 제안된 방법은 공격의 4가지 특성(공격 의도, 공격자의 지식정도, 공격의 영향 그리고 공격의 성공 가능성)을 이용한다. 만약 공격자가 공격의 의도가 크거나 많은 지식을 가지고 있다면, 보통의 경우보다 공격에 성공할 확률이 높다. 또한 공격의 대상이 특정 공격에 취약하거나 특정 공격이 대상 시스템에 미칠 영향이 큰 경우에는 더욱더 중요한 공격이 된다고 할 수 있다. 이런 4가지의 특성을 이용하여 제시한 본 논문은 결과는 상당히 많은 부분에 대한 false positives를 줄이는 효과를 가지고 왔으며, 또한 공격에 대한 중요도의 정확성을 향상시켜서 NIDS의 관리를 쉽게 할 수 있도록 한다.

• Proceedings of the Korea Institutes of Information Security and Cryptology Conference
• /
• 2003.12a
• /
• pp.53-59
• /
• 2003

정보통신 인프라의 발달과 인터넷을 통한 멀티미디어 서비스 및 대용량 데이터의 처리 증가는 조직의 네트워크 환경의 고속화를 가져왔다. 이러한 네트워크 환경의 변화는 조직으로 유입되는 비정상적인 행위/사건을 감시하는 네트워크 기반 침입탐지시스템(Network-based intrusion detection system, NIDS)의 필요조건의 변화를 동반한다. 즉, 기존 NIDS 연구는 비정상적인 행위/사건의 정확한 판단과 이에 대한 대응기술에 초점이 맞추어졌으나, 최근에는 이와 더불어 고속 네트워크 환경에서의 NIDS 성능저하를 최소화하기 위한 가용성 화보 기술에 대해 연구가 활발히 진행되고 있다. 따라서 본 논문에서는 고속 네트워크 환경에서 NIDS의 정상적인 운영을 위해 성능에 절대적인 영향을 미치는 요소를 결정하고, 각 요소별 효율적인 설계 원리를 제시한다.

• Journal of the Korea Society of Computer and Information
• /
• v.8 no.3
• /
• pp.156-162
• /
• 2003

With the network environment and user's application service increasing information protection and private information protection fields are very important fields. But it is necessary detection methodology to unspecified unknown signal, information increasing and various information media. Therefore in this thesis, we design NIDS that classify others information for detection of the unknown signal as the unauthenticated signal or illegal outer access, etc. proposed NIDS design used Synopsys Ver. 1999 and VHDL. The proposed NIDS system is practical in the system performance and cost for the individually existed NIDS, and utilized a part of system resources.

• Proceedings of the Korean Information Science Society Conference
• /
• 2003.04a
• /
• pp.389-391
• /
• 2003

최근 인터넷 사용이 증가하고, 인터넷에 대한 접속이 손쉬워 지고, 인터넷 상에서 손쉽게 해킹 도구를 획득할 수 있게 됨에 따라서 네트워크 침해 사고가 급증하고 있다. 이런 상황에서 IDS(Intrusion Detection System)은 이러한 문제론 해결하기 위한 하나의 대안으로 제시되고, 실제 사용되고 있다. 그런데 침입 탐지시스템이 보고하는 공격은 실제 시스템이나 네트워크에 있어서 공격으로 처리되지 않아도 될 보고들이 존재하게 된다. 이를 줄여서 실제 관리자들이 더욱 정확한 침입에 대한 경고를 접하여 신속하게 대응할 수 있도록 할 수 있다. 이를 위해서 본 논문에서는 지역 망 내에 존재하는 대상 시스템들의 정보를 이용하도록 한다. 이를 이용하는 방법으로 호스트 취약점 분석 모듈을 이용하는 방법과 에이전트를 각 호스트에 설치하여 호스트의 정보를 수집하고, 이를 미리 정의된 패턴과 함께 침입 탐지 시스템의 공격 판단에 사용하는 방법을 제시한다. 이를 통해서 침입 판단의 정확도를 높이고 관리자의 업무 효율을 높이도록 한다.

• The KIPS Transactions:PartC
• /
• v.11C no.3
• /
• pp.319-326
• /
• 2004

To help network intrusion detection systems(NIDSs) keep up with the demands of today's networks, that we the increasing network throughput and amount of attacks, a radical new approach in hardware and software system architecture is required. In this paper, we propose a Network Processor(NP) based In-Line mode NIDS that supports the packet payload inspection detecting the malicious behaviors, as well as the packet filtering and the traffic metering. In particular, we separate the filtering and metering functions from the deep packet inspection function using two-level searching scheme, thus the complicated and time-consuming operation of the deep packet inspection function does not hinder or flop the basic operations of the In-line mode system. From a proto-type NP-based NIDS implemented at a PC platform with an x86 processor running Linux, two Gigabit Ethernet ports, and 2.5Gbps Agere PayloadPlus(APP) NP solution, the experiment results show that our proposed scheme can reliably filter and meter the full traffic of two gigabit ports at the first level even though it can inspect the packet payload up to 320 Mbps in real-time at the second level, which can be compared to the performance of general-purpose processor based Inspection. However, the simulation results show that the deep packet searching is also possible up to 2Gbps in wire speed when we adopt 10Gbps APP solution.

• Proceedings of the Korean Information Science Society Conference
• /
• 2004.10a
• /
• pp.481-483
• /
• 2004

NIDS(Network Intrusion Detection System)는 공격 탐지 과정에서 대량의 로그가 발생하게 되는데 일반적인 침입탐지 시스템에서 탐지되어 하루에 남는 로그만으로도 시스템에 막대한 양을 차지한다 이러한 문제점은 관리자에게 많은 부담을 줄뿐만 아니라 그렇게 남겨진 로그에는 오탐율(False Positive) 비율이 높기 때문에 관리자가 실제로 위협적인 침입을 식별하고, 침입 행위에 대한 빠른 대응을 어렵게 만든다. 그러므로 NIDS와 특정 호스트가 가지고 있는 보안상 취약한 부분을 비교하여 판단할 수 있는 침입탐지시스템을 선택, 운용하는 것은 관리측면이나 대응측면에서 매우 중요한 일이라고 할 수 있다. 본 논문에서는 NIDS와 해당 호스트 취약점 정보를 이용해 작성된 데이터베이스(HVIDB : Host Vulnerability Information Database)를 이용하여 호스트의 취약성에 관한 로그만을 최종 경고해줌으로써 오탐율의 양을 감소시키고 호스트 보안성의 향상과 관리자가 로그분석 등의 IDS 업무를 효과적으로 할 수 있는 모델을 제시한다.