The Journal of Korean Institute of Communications and Information Sciences (한국통신학회논문지)

The Korean Institute of Commucations and Information Sciences (한국통신학회)
권호 표지

An Adaptive Anomaly Detection Model Design based on Artificial Immune System in Central Network

중앙 집중형 망에서 인공면역체계 기반의 적응적 망 이상 상태 탐지 모델 설계

  • 유경민 (전북대학교 컴퓨터공학과 차세대통신망 연구실) ;
  • 양원혁 (전북대학교 컴퓨터공학과 차세대통신망 연구실) ;
  • 이상열 (전북대학교 컴퓨터공학과 차세대통신망 연구실) ;
  • 정혜련 (전북대학교 컴퓨터공학과 차세대통신망 연구실) ;
  • 소원호 (순천대학교 컴퓨터교육과) ;
  • 김영천 (전북대학교 영상정보신기술연구소)
  • Published : 2009.03.31
Download PDF
⟨ Previous Next ⟩

Abstract

The traditional network anomaly detection systems execute the threshold-based detection without considering dynamic network environments, which causes false positive and limits an effective resource utilization. To overcome the drawbacks, we present the adaptive network anomaly detection model based on artificial immune system (AIS) in centralized network. AIS is inspired from human immune system that has learning, adaptation and memory. In our proposed model, the interaction between dendritic cell and T-cell of human immune system is adopted. We design the main components, such as central node and router node, and define functions of them. The central node analyzes the anomaly information received from the related router nodes, decides response policy and sends the policy to corresponding nodes. The router node consists of detector module and responder module. The detector module perceives the anomaly depending on learning data and the responder module settles the anomaly according to the policy received from central node. Finally we evaluate the possibility of the proposed detection model through simulation.

기존의 망 이상 상태 탐지 시스템들은 주로 정상 상태의 시스템 사용률 등과 같은 통계 값으로 결정된 임계값을 기반으로 탐지하기 때문에 이상 상태임에도 불구하고 정상 상태와 비슷한 시스템 통계 값을 가지면 탐지하지 못하는 문제점이 있다. 이러한 단점들을 해결하기 위하여 본 논문에서는 인간면역체계의 학습, 적응, 기억 능력등의 특성을 이용하는 인공면역체계 기반의 적응적 망 이상 상태 탐지 모델을 제안한다. 이를 위하여 인간면역 시스템의 수지상 세포 (Dendritic Cell)와 T 세포 사이의 상호 작용을 이용한 탐지 모델을 설계하고 각 구성 요소 및 기능을 정의한다. 중앙 집중 제어 노드는 각 라우터 노드로부터 전달받은 정보를 분석하여 대응 방법을 해당 라우터들에게 전달한다. 또한 라우터 노드는 학습을 통해 얻어진 데이터를 기반으로 이상 상태를 탐지할 뿐만 아니라 중앙 집중 제어 노드로부터 전달받은 정보를 이용하여 이상 상태를 처리한다. 최종적으로 제안된 이상 상태탐지 모델의 타당성을 검증하기 위하여 구성 모듈을 설계하고 flooding 공격에 대한 시뮬레이션을 수행한다.

Keywords

References

  1. 김영선, 'BcN의 기술적 이슈와 전망,' 한국정보통신기술협회, 2005
  2. F. Gonzalez, 'A Study of Artificial Immune Systems Applied to Anomaly Detection,' Dissertation for Ph. D degree, 2003
  3. J. Kim, W. O. Wilson, U. Aickelin, and J. McLeod, 'Cooperative Automated Worm Response and Detection ImmuNe Algorithm (CARDINAL) Inspired by T-Cell Immunity and Tolerance,' LNCS 3627, pp. 168-181, 2005
  4. K. Luther, R. Bye, T. Alpcan, A. Muller and S. Albayrak, 'A Cooperative AIS Framework for Intrusion Detection,' In Proceeding of ICC '07, pp.1409-1416, June 2007
  5. 하기룡, 이도헌, '인공면역체계와 기계학습,' 정보과학회지, 제25권 제 3호, pp. 76-82, 2007
  6. Fabricio Sergio de Paulo and Paulo Licio de Geus, 'Attack Evidence Detection, Recovery, and Signature Extraction with ADENOIDS,' ICT 2004, LNCS 3124, pp. 1083-1092, 2004
  7. M. S. Abadeh, J. Habibi, M. Daneshi, M. Jalali and M. Khezrzadeh, 'Intrusion Detection using a Hybridization of Evolutionary Fuzzy Systems and Artificial Immune Systems,' In the Proceeding of CEC 2007, pp. 3547-3553, Sept. 2007