Journal of KIISE:Software and Applications (한국정보과학회논문지:소프트웨어및응용)

Korean Institute of Information Scientists and Engineers (한국정보과학회)
권호 표지

Application of Hidden Markov Model to Intrusion Detection System

침입탐지 시스템을 위한 은닉 마르코프 모델의 적용

  • 최종호 (연세대학교 컴퓨터과학과) ;
  • 조성배 (연세대학교 컴퓨터과학과)
  • Published : 2001.06.01
Download PDF
⟨ Previous Next ⟩

Abstract

정보통신 구조의 확산과 함께 전산시스템에 대한 침입과 피해가 증가되고 있으며 침입탐지 시스템에 대한 관심과 연구가 늘어나고 있다. 본 논문에서는 은닉 마르코프 모델(HMM)을 이용하여 사용자의 정상행위에서 생성된 이벤트ID 정보를 모델링한 후 사용자의 비정상행위를 탐지하는 침입탐지 시스템을 제안한다. 전처리를 거친 이벤트ID열은 전방향-역방향 절차와 Baum-Welch 재추정식을 이용하여 정상행위로 구축된다. 판정은 전방향 절차를 이용해서 판정하려는 열이 정상행위로부터 생성되었을 확률을 계산하며, 이 값을 임계값과 비교함으로써 수행된다. 실험을 통해 침입탐지를 위한 최적의 HMM 매개변수를 결정하고 사용자 구분이 없는 단일모델링, 사용자별 모델링, 사용자 그룹별 모델링 방식을 비교하여 정상행위 모델링 성능을 평가하였다. 실험결과 제안한 시스템이 발생한 침입을 적절히 탐지함을 확인할 수 있었지만, 신뢰도 높은 침입탐지 시스템의 구축을 위해서는 보다 정교한 모델의 클러스터링이 필요함을 알 수 있었다.

Keywords

References

  1. E. H. Spafford, Security Seminar, Department of Computer Science, Purdue University, January 1996
  2. 한국정보보호센터, 호스트기반 침입탐지시스템 개발에 관한 연구, 1998년 12월
  3. S. Kumar and E. H. Spafford, 'An application of pattern matching in intrusion detection,' Technical Report CSD-TR-94-013, 1994
  4. T. F. Lunt, 'A survey of intrusion detection techniques,' Computer & Security, vol. 12, no. 4, June 1993 https://doi.org/10.1016/0167-4048(93)90029-5
  5. T. Lane and C. E. Brodley, 'Temporal sequence learning and data reduction for anomaly detection,' ACM Trans. on Information and System Security, vol. 2, no. 3, pp. 295-331, August 1999 https://doi.org/10.1145/322510.322526
  6. A. K. Ghosh, A. Schwartz bard and M. Schatz, 'Learning program behavior profiles for intrusion detection,' Proc. Workshop on Intrusion Detection and Network Monitoring, Santa Clara, USA, April 1999
  7. C. Warrender, S. Forrest and B. Pearlmutter, 'Detecting intrusions using system calls:Alternative data models,' Proc. IEEE Symposium on Security and Privacy, May 1999 https://doi.org/10.1109/SECPRI.1999.766910
  8. H. Deba, M. Dacier and A. Wespi, 'Towards a taxonomy of intrusion-detection systems,' Computer Networks, vol. 31, pp. 805-822, 1999 https://doi.org/10.1016/S1389-1286(98)00017-6
  9. P. Porras and R. Kemmerer, 'Penetration state transition analysis - A rule-based intrusion detection approach,' Proc. 8th Annual Computer Security Applications Conf., pp. 220-229, November 1992
  10. P. Helman and G. Liepins, 'Statistical foundations of audit trail analysis for the detection of computer misuse,' IEEE Trans. on Software Engineering, vol. 19, no. 9, pp. 886~901, September 1993 https://doi.org/10.1109/32.241771
  11. P. Helman, G. Liepins and W. Richards, 'Foundations of intrusion detection,' Proc. Fifth Computer Security Foundations Workshop, pp. 114-120, Franconic, USA, June 1992 https://doi.org/10.1109/CSFW.1992.236783
  12. H. Iavitz et aI., 'Next generation intrusion detection expert system (NIDES) - 1. statistical algorithms rationale - 2. rationale for proposed resolver,' Technical Report A016-Rationales, SRI International, March 1993
  13. H. Vaccaro and G. Liepins, 'Detection of anomalous computer session activity,' Proc. 1989 IEEE Symposium on Research in Security and Privacy, pp. 280~289, 1989 https://doi.org/10.1109/SECPRI.1989.36302
  14. T. Spyrou and J. Darzentas, 'Intention modelling: Approximating computer user intentions for detection and prediction of intrusions,' Information Systems Security, pp. 39-335, Chapman & Hall, May 1996
  15. S. Forrest, S. A. Hofmeyr and A. Somayaji, 'Computer immunology,' CACM, vol. 40, no. 10, pp. 88-96, October 1997 https://doi.org/10.1145/262793.262811
  16. S. Forrest, S. A. Hofmeyr, A. Somayaji, and T. A. Longstaff, 'A Sense of Self for Unix Processes,' Proc. IEEE Symposium on Computer Security and Privacy, pp. 120-128, Los Alamos, USA, 1996 https://doi.org/10.1109/SECPRI.1996.502675
  17. Sunsoft, Solaris 2.5 Sunshield Basic Security Module Guide, 1995
  18. L. R. Rabiner, 'A tutorial on hidden Markov models and selected applications in speech recognition,' Proceedings of the IEEE, vol. 77, no. 2, pp. 257-286, February 1989 https://doi.org/10.1109/5.18626
  19. T. Dunigan and G. Hinkel, 'Intrusion detection and intrusion prevention on a large network: A case study,' Proc. Workshop on Intrusion Detection and Network Monitoring, Santa Clara, USA, April 1999