Convergence Security Journal (융합보안논문지)

Korea convergence Security Association (한국융합보안학회)
권호 표지

A Study on Distributed Cooperation Intrusion Detection Technique based on Region

영역 기반 분산협력 침입탐지 기법에 관한 연구

  • 양환석 (중부대학교/정보보호학과) ;
  • 유승재 (중부대학교/정보보호학과)
  • Received : 2014.11.27
  • Accepted : 2014.12.24
  • Published : 2014.12.30
Download PDF
⟨ Previous Next ⟩

Abstract

MANET can quickly build a network because it is configured with only the mobile node and it is very popular today due to its various application range. However, MANET should solve vulnerable security problem that dynamic topology, limited resources of each nodes, and wireless communication by the frequent movement of nodes have. In this paper, we propose a domain-based distributed cooperative intrusion detection techniques that can perform accurate intrusion detection by reducing overhead. In the proposed intrusion detection techniques, the local detection and global detection is performed after network is divided into certain size. The local detection performs on all the nodes to detect abnormal behavior of the nodes and the global detection performs signature-based attack detection on gateway node. Signature DB managed by the gateway node accomplishes periodic update by configuring neighboring gateway node and honeynet and maintains the reliability of nodes in the domain by the trust management module. The excellent performance is confirmed through comparative experiments of a multi-layer cluster technique and proposed technique in order to confirm intrusion detection performance of the proposed technique.

MANET은 이동 노드들로만 구성되어 신속하게 네트워크를 구축할 수 있으며, 그 활용 범위가 다양하여 현재까지 많은 인기를 끌고 있다. 하지만 노드들의 잦은 이동으로 인한 동적인 토폴로지와 각 노드들의 제한된 자원 그리고 무선통신이 갖는 보안의 취약성이 MANET이 해결해야 할 큰 문제이다. 본 논문에서는 오버헤드를 줄이면서 정확한 침입탐지를 수행할 수 있는 영역 기반 분산협력 침입탐지 기법을 제안하였다. 제안한 침입탐지 기법에서는 네트워크를 일정한 크기로 분할 한 후 로컬 탐지와 전역 탐지가 수행된다. 로컬 탐지는 노드들의 비정상 행위를 탐지하기 위해 모든 노드에서 수행되고, 전역 탐지는 게이트웨이 노드에서 시그너처 기반 공격 탐지가 이루어지게 된다. 게이트웨이 노드에서 관리되는 시그너처 DB는 이웃 게이트웨이 노드와 허니넷을 구성하여 주기적인 업데이트가 이루어지고, 신뢰 관리 모듈에 의해 영역내의 노드들에 대한 신뢰도를 유지하였다. 제안한 기법의 침입탐지 성능을 확인하기 위하여 다중 계층 클러스터 기법과 비교 실험을 통해 우수한 성능을 확인할 수 있었다.

Keywords

References

  1. A. Patwardham, J. Parker, A. Joshi, A. Karygiannis, M. Iorga, "Secure Routing and Intrusion Detection in Ad Hoc Networks," Third IEEE International Conference on Pervasive Computing and Communications, pp 191-199, 2005.
  2. L. Buttyan, J. P. Hubaux, "Stimulating Cooperation in Self-Organizing Mobile Ad Hoc Networks," ACM Journal for Mobile Networks (MONET), pp.570-592, 2003.
  3. Fogla, P. and Lee, W., "Evading network anomaly detection systems: formal reasoning and practical techniques. In Proc of. ACM Conference on Computer and Communications Security (CCS), pp.59-68, 2006.
  4. A. Rajaram, S. Palaniswami, "Malicious node detection system for mobile ad hoc networks," IJCSIT International Journal of Computer Science and Information Technologies, pp.77-85, 2010.
  5. D. Sterne, P. Balasubramanyam, D. Carman, B. Wilson, R. Talpade, C. Ko, R. Balupari, C. Tseng, T. Bowen, K. Levitt, J. Rowe, "A general cooperative intrusion detection architecture for manets," Proceedings of the 3rd IEEE IWIA, pp. 57-70, 2005.
  6. N. Nasser, Y. Chen, "Enhanced Intrusion Detection System for Discovering Malicious Nodes in Mobile Ad Hoc Networks," ICC '07. IEEE International Conference on Communications, pp.1154-1159, 2007.
  7. P.M. Mafra, V. Moll, J.S. Fraga, A.O. Santin, "Octopus-IIDS: An anomaly based intelligent intrusion detection system," ISCC, Italy, pp.405-410, 2010.