Proceedings of the Korea Information Processing Society Conference (한국정보처리학회:학술대회논문집)
- 2002.11b
- /
- Pages.1159-1162
- /
- 2002
- /
- 2005-0011(pISSN)
- /
- 2671-7298(eISSN)
A Study of Finding Real attack from large amount of NIDS events
네트워크 기반 침입탐지시스템의 많은 이벤트 중에서 실제 위험 공격탐지를 위한 연구
- Lee, Eun-Young (Department of Computer Science, KAIST) ;
- Kim, Byung-Hak (Department of Computer Science, KAIST) ;
- Park, Chan-Il (Department of Computer Science, KAIST) ;
- Jeong, Sang-Gab (Department of Computer Science, KAIST) ;
- Lim, Chae-Ho (Department of Computer Science, KAIST) ;
- Lee, Kwang-Hyung (Department of Computer Science, KAIST)
- 이은영 (한국과학기술원 전산학과) ;
- 김병학 (한국과학기술원 전산학과) ;
- 박찬일 (한국과학기술원 전산학과) ;
- 정상갑 (한국과학기술원 전산학과) ;
- 임채호 (한국과학기술원 전산학과) ;
- 이광형 (한국과학기술원 전산학과)
- Published : 2002.11.15
Abstract
네트워크 기반의 IDS(Intrusion Detection System)가 개발된 이후 네트워크 패킷 정보를 분석하여 침입을 탐지하는 방법들이 연구되고 있다. 그러나 네트워크의 규모가 커지면서 NIDS 에서 발생하는 이벤트의 양이 증가하고 거짓 이벤트의 양도 따라 증가함으로써 이를 분석하는데 어려움이 있다. 본 논문은 많은 이벤트로부터 보다 위험성 있는 공격을 탐지하는 방법을 제시하고, 이를 현재 사용되고 있는 NIDS인 snort에 확장시켜 구현 하였다. 본 시스템은 침입자의 의도파악을 위하여 스캔과 같은 기본적인 이벤트를 관리한다. 또한 새로운 취약점에 대한 공격에 우선순위를 두어 오래된 공격방법보다 최근의 공격방법에 더 높은 우선순위를 부여한다. 전체 request 에서 공격이라 판단되는 request의 비율로써 사용자가 공격의도가 있는지를 파악한다.
Keywords