The KIPS Transactions:PartC (정보처리학회논문지C)

Korea Information Processing Society (한국정보처리학회)
권호 표지

The Decision Method of A Threshold in Sequence-based Anomaly Detection Sensor

순서기반 비정상행위 탐지 센서의 임계치 결정 방법

  • 김용민 (전남대학교 대학원 전산통계학과 대학원) ;
  • 김민수 (전남대학교 정보보호협동과정 객원) ;
  • 김홍근 (한국정보보호진흥원 기술개발단장) ;
  • 노봉남 (전남대학교 컴퓨터정보학부)
  • Published : 2001.10.01
Download PDF
⟨ Previous Next ⟩

Abstract

In this paper, we implement sequence-based anomaly detection sensor using SOM and HMM, and analyze what is important information in system call and how a threshold is decided. The new filtering and reduction rules of SOM reduces the input size of HMM. This gives real-time processing to HMM-based anomaly detection sensor. Also, we introduced an anomaly count into the sensor. Due to lessened sensibility, a user easily understand easily the detection information and false-positive was decreased. And the active coordination of the threshold value makes the detection sensor adapt according to the system condition.

본 논문은 SOM과 HMM을 이용하여 시스템 호출 수준에서 순서기반의 비정상행위 탐지 센서를 구현하였다. 그리고, 시스템 호출에서 중요한 정보가 무엇이고 임계값은 어떻게 설정해야하는 지를 분석하였다. 본 논문에서 사용한 SOM의 새로운 필터링 규칙과 축약 규칙은 HMM의 입력 크기를 줄일 수 있었다. 이러한 축약은 HMM기반 비정상행위 탐지의 실시간 처리능력을 보장해 준다. 또한, 비정상행위 수라는 개념을 도입하여 HMM의 탐지결과에 대한 민감성을 둔화시켜서, 사용자가 탐지결과를 쉽게 이해하고 false-positive를 줄이는 효과가 있었다. 그리고, 능동적으로 threshold 값을 조정하여 시스템 상황에 따라 탐지센서가 적응할 수 있도록 하였다.

Keywords

References

  1. R. Buschkes, M. Borning, and D. Kesdogan, 'Transaction-based Anomaly Detection,' Proc. of the Workshop on Intrusion Detection and Network monitoring, USENIX, Apr., 1999
  2. D. E. Denning, 'An Intrusion-Detection Model,' IEEE Trans. on Software Engineering, No.2, Feb., 1987 https://doi.org/10.1109/TSE.1987.232894
  3. M. Esmaili, R. Safavi-Naini, and J. Pieprzyk, 'Intrusion Detection : a Survey,' ICCC '95, pp.409-414
  4. A. K. Ghosh, A. S. Schwartzbard and M. Shatz, 'Learning program behavior profiles for intrusion detection,' Proc. USENIX Workshop on IDS and Network Monitoring, April 1999
  5. T. Kohonen, 'The Self Organizing Map,' Proc. IEEE, Vol. 78, No.9, Sep., 1990, pp.1464-1480 https://doi.org/10.1109/5.58325
  6. S. Kumar, Classification and Detection of Computer Intrusions, Purdue University, Aug., 1995
  7. T. Lane and C.E. Brodly, 'An application of machine learning to anomaly detection,' 20th NJSSC, 1997
  8. T. F. Lunt, 'A Survery of Intrusion Detection Techniques,' Computer & Security, Vol.12, No.4, Jun., 1993 https://doi.org/10.1016/0167-4048(93)90029-5
  9. A. Mounji and B. L. Charlier, 'Continuous Assessment of a Unix Configuration : Integrating Intrusion Detection and Configuration Analysis,' Symposium on Network and Distributed System Security, IEEE, Feb., 1997
  10. L. R. Rabiner and B. H. Juang, 'An introduction to hidden Markov models,' IEEE ASSP Magazine, 1986
  11. L. R. Rabiner, 'A tutorial on hidden Markov models and selected applications in speech recognition,' Proc. of the IEEE, Vol.77, No.2, 1989 https://doi.org/10.1109/5.18626
  12. J. Ryan, M. Lin, 'Intrusion detection with neural networks,' AAAI workshop, 1997
  13. M. Sebring, E. Shellhouse, M. Hanna, and R. Whitehurst, 'Expert Systems in Intrusion Detection : A Case Study,' Proc. 11th National Computer Security Conference, Oct., 1988
  14. C. Warrender, S. Forrest and B. Pearlmutter, 'Detecting Intrusions Using System Calls : Alternative Data Models,' The 1999 IEEE Symposium on Security and Privacy, 1999 https://doi.org/10.1109/SECPRI.1999.766910
  15. Nong Ye, 'A Markov Chain Model of Temporal Behavior for Anomaly Detection,' Proc. of the 2000 IEEE Workshop on Information Assurance and Security, Jun., 2000
  16. W. Lee and D. Xiang, 'Information-Theoretic Measures for Anomaly Detection,' The 2001 IEEE Symposium on Security and Privacy, 2001 https://doi.org/10.1109/SECPRI.2001.924294
  17. J. Choy, S. Cho, 'Hidden Markov Model for Sequence Recognition in Intrusion Dectection System,' Proc. IEEE ICARDT '99, 1999
  18. 김민수, 은유진, 노봉남, 'UNIX 환경에서 퍼지 Petri net을 이용한 호스트 기반 침입 탐지 시스템 설계', 한국정보처리학회논문지, 제6권, 제7호, 1999
  19. 최종호, 조성배, '비정상행위 탐지기반의 침입탐지시스템을 위한 은닉 마르코프 모델을 사용한 행위 모델링과 탐지', '99 정보보호 우수논문집, 1999