Abstract
As the information technology grows interests in the intrusion detection system (IDS), which detects unauthorized usage, misuse by a local user and modification of important data, has been raised. In the field of anomaly-based IDS several artificial intelligence techniques such as hidden Markov model (HMM), artificial neural network, statistical techniques and expert systems are used to model network rackets, system call audit data, etc. However, there are undetectable intrusion types for each measure and modeling method because each intrusion type makes anomalies at individual measure. To overcome this drawback of single-measure anomaly detector, this paper proposes a multiple-measure intrusion detection method. We measure normal behavior by systems calls, resource usage and file access events and build up profiles for normal behavior with hidden Markov model, statistical method and rule-base method, which are integrated with a rule-based approach. Experimental results with real data clearly demonstrate the effectiveness of the proposed method that has significantly low false-positive error rate against various types of intrusion.
정보통신기술이 발전함에 따라 내부자의 불법적인 시스템 사용이나 외부 침입자에 의한 중요 정보의 유출 및 조작을 알아내는 침입탐지시스템에 대한 연구가 활발히 이루어지고 있다. 이제까지는 네트워크 패킷, 시스템 호출 감사자료 등의 척도에 은닉 마르코프 모델, 인공 신경망, 통계적 방법 등의 모델링 방법을 적용하는 연구가 이루어졌다. 그러나 사용하는 척도와 모델링 방법에 따라 취약점이 있어 탐지하지 못하는 침입이 많은데 이는 침입의 형태에 따라 흔적을 남기는 척도가 다르기 때문이다. 본 논문에서는 이러한 단일척도 침입탐지시스템의 단점을 보완하기 위해 시스템 호출, 프로세스의 자원점유율, 파일 접근이벤트 등의 세 가지 척도에 대하여 은닉 마르코프 모델, 통계적 방법, 규칙기반 방법을 사용하여 모델링한 후, 그 결과를 규칙기반 방법으로 결합하는 침입탐지 방법을 제안한다. 실험결과 다양한 침입 패턴에 대하여 다중척도 결합방법이 매우 낮은 false-positive 오류율을 보여 그 가능성을 확인할 수 있었다.