• ETRI Journal
• /
• 제34권2호
• /
• pp.288-291
• /
• 2012

In this letter, a new online anomaly detection approach for software systems is proposed. The novelty of the proposed approach is to apply a new semantic kernel function for a support vector machine (SVM) classifier to detect fault-suspicious execution paths at runtime in a reasonable amount of time. The kernel uses a new sequence matching algorithm to measure similarities among program execution paths in a customized feature space whose dimensions represent the largest common subpaths among the execution paths. To increase the precision of the SVM classifier, each common subpath is given weights according to its ability to discern executions as correct or anomalous. Experiment results show that compared with the known kernels, the proposed SVM kernel will improve the time overhead of online anomaly detection by up to 170%, while improving the precision of anomaly alerts by up to 140%.

• 한국음향학회지
• /
• 제41권2호
• /
• pp.199-209
• /
• 2022

일반적인 비정상 탐지 알고리즘은 사전 데이터를 이용하여 학습된다. 따라서 시간에 따른 정상 데이터의 특징이 변화되는 경우에 기존의 배치 학습 기반 알고리즘의 성능 저하가 불가피하다. 본 논문에서는 정상 데이터의 점진적 특징 변화를 고려할 수 있는 온라인 비정상 탐지 알고리즘을 제안한다. 제안하는 알고리즘은 단일 클래스 분류 모델에 기반하며 오프라인 및 온라인 단계의 학습 과정을 포함한다. 제안된 알고리즘의 오프라인 학습 단계에서는 사전 데이터가 잠재 공간의 중심에 근접하도록 학습하고, 이후 온라인 학습단계에서는 신규 데이터에 의한 점진적 잠재 공간의 중심을 갱신하고, 갱신된 중심을 기준으로 계속 학습을 진행한다. 공개된 수중 음향 데이터를 이용한 실험결과 제안된 온라인 비정상 탐지 알고리즘은 점진적 중심 갱신 및 학습을 위해 단지 2 % 정도의 추가 학습시간이 소요되는 것으로 확인되었다. 반면에 시변 정상데이터가 수신되는 경우에 오프라인 학습 모델과 비교하여 19.10 % 개선된 Area Under the receiver operating characteristic Curve(AUC) 성능을 보였다.

• Journal of Communications and Networks
• /
• 제12권4호
• /
• pp.375-381
• /
• 2010

A flooding attack, such as DoS or Worm, can be easily created or even downloaded from the Internet, thus, it is one of the main threats to servers on the Internet. This paper presents an online real-time network response system, which can determine whether a LAN is suffering from a flooding attack within a very short time unit. The detection engine of the system is based on the incremental mining of fuzzy association rules from network packets, in which membership functions of fuzzy variables are optimized by a genetic algorithm. The incremental mining approach makes the system suitable for detecting, and thus, responding to an attack in real-time. This system is evaluated by 47 flooding attacks, only one of which is missed, with no false positives occurring. The proposed online system belongs to anomaly detection, not misuse detection. Moreover, a mechanism for dynamic firewall updating is embedded in the proposed system for the function of eliminating suspicious connections when necessary.

• Smart Structures and Systems
• /
• 제30권6호
• /
• pp.661-671
• /
• 2022

Stayed cables are the key components for transmitting loads in cable-stayed bridges. Therefore, it is very important to evaluate the cable force condition to ensure bridge safety. An online condition assessment and anomaly localization method is proposed for cables based on the spatiotemporal correlation of grouped cable forces. First, an anomaly sensitive feature index is obtained based on the distribution characteristics of grouped cable forces. Second, an adaptive anomaly detection method based on the k-nearest neighbor rule is used to perform dissimilarity measurements on the extracted feature index, and such a method can effectively remove the interference of environment factors and vehicle loads on online condition assessment of the grouped cable forces. Furthermore, an online anomaly isolation and localization method for stay cables is established, and the complete decomposition contributions method is used to decompose the feature matrix of the grouped cable forces and build an anomaly isolation index. Finally, case studies were carried out to validate the proposed method using an in-service cable-stayed bridge equipped with a structural health monitoring system. The results show that the proposed approach is sensitive to the abnormal distribution of grouped cable forces and is robust to the influence of interference factors. In addition, the proposed approach can also localize the cables with abnormal cable forces online, which can be successfully applied to the field monitoring of cables for cable-stayed bridges.

• International Journal of Internet, Broadcasting and Communication
• /
• 제14권2호
• /
• pp.109-118
• /
• 2022

Workers' anomalous trajectories allow us to detect emergency situations in the workplace, such as accidents of workers, security threats, and fire. In this work, we develop a scheme to detect abnormal trajectories of workers using the edit distance on real sequence (EDR) and density method. Our anomaly detection scheme consists of two phases: offline phase and online phase. In the offline phase, we design a method to determine the algorithm parameters: distance threshold and density threshold using accumulated trajectories. In the online phase, an input trajectory is detected as normal or abnormal. To achieve this objective, neighbor density of the input trajectory is calculated using the distance threshold. Then, the input trajectory is marked as an anomaly if its density is less than the density threshold. We also evaluate performance of the proposed scheme based on the MIT Badge dataset in this work. The experimental results show that over 80 % of anomalous trajectories are detected with a precision of about 70 %, and F1-score achieves 74.68 %.

• Journal of the Korean Data and Information Science Society
• /
• 제21권6호
• /
• pp.1125-1136
• /
• 2010

최근에 이동 객체 추적 장치로부터 얻어진 추적 스트림에 대한 온라인 비정상 행위 감시에 대한 요구가 증가하고 있다. 제한된 공간 비용 내에서 고속 데이터 처리의 요구사항에 기인하여 이 문제는 흥미를 끌고 있다. 이 논문에서, 우리는 모바일 애드 혹 망에서 모바일 장치의 위성항법장치 로그로부터 이동특징 정보를 계산하여 정상 프로파일을 구축하고, 모바일 장치의 현재 이동 특징 정보와 정상 프로파일내의 이동 특징 정보간의 퍼지 비유사도를 계산한다. 그 계산된 퍼지 비유사도를 기초로 그 모바일 장치의 비정상 행위를 효율적으로 탐지하는 퍼지 비정상 행위 탐지 알고리즘을 제안한다. 그리고 모의실험을 통하여 제안한 알고리즘의 성능을 평가한다.

• Smart Structures and Systems
• /
• 제29권1호
• /
• pp.77-91
• /
• 2022

Various monitoring systems have been implemented in civil infrastructure to ensure structural safety and integrity. In long-term monitoring, these systems generate a large amount of data, where anomalies are not unusual and can pose unique challenges for structural health monitoring applications, such as system identification and damage detection. Therefore, developing efficient techniques is quite essential to recognize the anomalies in monitoring data. In this study, several machine learning techniques are explored and implemented to detect and classify various types of data anomalies. A field dataset, which consists of one month long acceleration data obtained from a long-span cable-stayed bridge in China, is employed to examine the machine learning techniques for automated data anomaly detection. These techniques include the statistic-based pattern recognition network, spectrogram-based convolutional neural network, image-based time history convolutional neural network, image-based time-frequency hybrid convolution neural network (GoogLeNet), and proposed ensemble neural network model. The ensemble model deliberately combines different machine learning models to enhance anomaly classification performance. The results show that all these techniques can successfully detect and classify six types of data anomalies (i.e., missing, minor, outlier, square, trend, drift). Moreover, both image-based time history convolutional neural network and GoogLeNet are further investigated for the capability of autonomous online anomaly classification and found to effectively classify anomalies with decent performance. As seen in comparison with accuracy, the proposed ensemble neural network model outperforms the other three machine learning techniques. This study also evaluates the proposed ensemble neural network model to a blind test dataset. As found in the results, this ensemble model is effective for data anomaly detection and applicable for the signal characteristics changing over time.

• 정보보호학회논문지
• /
• 제25권5호
• /
• pp.1097-1114
• /
• 2015

빠르게 성장한 게임 시장의 규모에 따라 게임봇, 게임핵, 골드파밍, 사설서버, 시스템 해킹, 네트워크 해킹, 계정도용 등과 같은 게임을 이용한 여러 불법 행위가 증가해 왔다. 이러한 불법 행위를 예방 및 탐지하기 위해 게임 보안 솔루션들이 존재하지만 각 게임마다의 특징이 존재하기 때문에 부정행위로부터 보호하는 것에는 어려움이 있다. 또한 게임 보안은 게임의 기획과 조화되는 게임 보안 솔루션 및 탐지 방법들이 필요하다. 본 연구에서는 최근 온라인 게임에서의 보안 관련 연구에 대한 동향을 조사하였다. 온라인 게임에서의 부정행위를 분류하였고, 온라인 게임에서의 각 특징에 따른 부정행위 예방 및 탐지 방법을 분류하였다.

• 정보처리학회논문지C
• /
• 제9C권6호
• /
• pp.831-840
• /
• 2002

컴퓨터와 통신 기술의 발달고 사용자에게 많은 정보가 편리하게 제공되는 반면, 컴퓨터 침입 및 범죄로 인한 피해가 증가하고 있다. 특히, 고객 개인 정보, 기업 기밀과 같은 주요 정보가 저장되어 있는 데이터베이스의 보안을 위해서 데이터베이스 관리 시스템의 기본적인 보안 기능 및 기존의 오용 탐지 모델이 사용되고 있다. 하지만, 다양한 시스템 침입 유형에 대한 분석 격과에 따르면 외부 침입자에 의한 시스템 파괴보다는 내부 사용자에 의한 기밀 정보 유출과 같은 권한 오용 행위에 의한 손실이 더 큰 문제가 되고 있다. 따라서, 효과적으로 데이터베이스 보안을 유지하기 위해서 사용자의 비정상 행위 판정 기술에 대한 연구가 필요하다. 본 논문에서는, 연관 규칙 마이닝 방법을 이용하여 데이터베이스 로그로부터 사용자 정상 행위 프로파일을 생성하는 방법을 제안한다. 이를 위해서 데이터베이스 로그를 의미적인 패턴 트리로 구조화하여 생성된 정상 행위 프로파일을 온라인에서 발생된 해당 사용자의 트랜잭션과 비교하여 온라인 데이터베이스 작업에 대한 비정상 행위 여부를 탐지할 수 있다. 다양한 실험을 통해 제시된 알고리즘의 효용성을 분석하고 결과를 제시하였다

• 정보처리학회논문지C
• /
• 제10C권7호
• /
• pp.857-866
• /
• 2003

사용자 비정상 행위를 탐지하기 위해서 기존의 연구들은 주로 통계적 기법을 이용해 왔다. 그러나 이들 연구들은 주로 사용자의 평균적인 행위를 분석하기 때문에 사용자의 비정상행위가 정확하게 탐지될 수 없다. 본 논문에서는 사용자의 정상행위를 모델링하는 새로운 클러스터링 방법을 제안한다. 클러스터링은 분석 환경에서 임의 개수의 빈발 영역을 식별할 수 있기 때문에 통계적 기법에서의 부정확한 모델링 방법을 개선할 수 있다. 빈발 공통 지식은 트랜잭션 단위로 발생되는 유사 데이터 객체들의 빈도수와 각 트랜잭션에 포함된 유사 데이터 객체들의 반복 비율로 나타낼 수 있다. 이와 더불어, 제안된 방법은 공통 지식을 축약된 프로파일로 유지하는 방법을 설명한다. 따라서 생성된 프로파일을 이용하여 온라인 트랜잭션에서의 비정상 행위를 쉽게 탐지할 수 있다.