• The Journal of the Korea institute of electronic communication sciences
• /
• v.11 no.6
• /
• pp.619-626
• /
• 2016

Intrusion detection model detects a intrusion when intrusion behaviour occurred. The model analyzes a variety of intrusion pattern and supports a modeling method to represent for a intrusion pattern efficiently. Particularly, the model defines classes of intrusion pattern and supports modeling method that detects a network level intrusion through multiple hosts for multiple intrusions. In this paper, proposes a multiple intrusion detection model that support a verification method for intrusion detection systems and verifies a safeness of proposed model and compares with other models.

• Proceedings of the Korea Institutes of Information Security and Cryptology Conference
• /
• 2001.11a
• /
• pp.157-160
• /
• 2001

지금까지 침입탐지 시스템에 대한 많은 연구와 개발이 수행되었음에도 불구하고 시스템에 불법적인 접속이나 공격방법은 역으로 침입탐지 시스템을 무력화시키거나 침입탐지 시스템의 취약성을 이용하는 등 지능화되고 다양해지고 있는 실정이다. 따라서 단일침입탐지 시스템으로 현재의 고도화되고 지능화된 침입과 공격들을 정확하게 탐지하거나 완벽하게 대응할 수 없다. 본 논문에서는 침입탐지 시스템의 취약점 분석과 더불어 단일 침입탐지 시스템의 단점을 보완하고자 침입탐지 감사자료의 다양화를 통한 다중센서 기반의 침입탐지 시스템에 대하여 제안하고자 한다.

• Proceedings of the Korea Institutes of Information Security and Cryptology Conference
• /
• 1998.12a
• /
• pp.443-453
• /
• 1998

본 논문에서는 Petri-net 형태로 침입탐지 규칙을 구성한다. 이것은 실시간 침입탐지가 가능하고 지연공격과 다중공격을 방어할 수 있다. 그리고, Petri-net의 플레이스에 퍼지값을 적용한다. 이 값은 침입의 진행에 따라 변경되며 침입을 판정하는 기준이 된다. 또한, 변형공격에 대응할 수 있도록 한다.

• Proceedings of the Korean Information Science Society Conference
• /
• 2003.04a
• /
• pp.392-394
• /
• 2003

침입이란 컴퓨터 자원의 무결성, 비밀성 및 가용성을 저해하고, 시스템의 보안정책을 파괴하는 행위로서, 지금까지 연구되어 온 호스트 기반, 다중 호스트 기반 및 네트워크 기반 침입탐지 시스템만으로는 침입이 발생한 사후에 판단, 추적이 어려우며, 침입 중 차단이 불가능하므로 대규모 분산 시스템에 대한 침입에 종합적으로 대응하기 어렵다. 따라서 본 글에서는 지능화된 공격에 자동대응이 가능하도록 하기 위해 공격의 심각도 및 피해정도 그리고 침입탐지시스템이 탐지능력의 신뢰도에 따라 대응 수준 및 대응방법이 결정되도록 하는 자동화된 침입대응 시스템 및 사용된 메커니즘에 대해 설명하고자 한다.

• The Transactions of the Korea Information Processing Society
• /
• v.5 no.4
• /
• pp.967-974
• /
• 1998

Access control scheme of the firewall systems protects the systems from threats by using the conventional discretionary access control mechanism. The discretionary access control mechanism is insufficient to control secure information flow on the multievel network. Thus, it is necessary to provide the mandatory access control mechanism to the firewall systems for the multilevel security environment. In this paper, we present a design scheme of the security mechanisms concerning the sensitivity label and the mandatory access control for securely processing the multilevel information.

• Journal of KIISE:Information Networking
• /
• v.30 no.3
• /
• pp.397-406
• /
• 2003

As the information technology grows interests in the intrusion detection system (IDS), which detects unauthorized usage, misuse by a local user and modification of important data, has been raised. In the field of anomaly-based IDS several artificial intelligence techniques such as hidden Markov model (HMM), artificial neural network, statistical techniques and expert systems are used to model network rackets, system call audit data, etc. However, there are undetectable intrusion types for each measure and modeling method because each intrusion type makes anomalies at individual measure. To overcome this drawback of single-measure anomaly detector, this paper proposes a multiple-measure intrusion detection method. We measure normal behavior by systems calls, resource usage and file access events and build up profiles for normal behavior with hidden Markov model, statistical method and rule-base method, which are integrated with a rule-based approach. Experimental results with real data clearly demonstrate the effectiveness of the proposed method that has significantly low false-positive error rate against various types of intrusion.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2002.11b
• /
• pp.893-896
• /
• 2002

네트워크 발달로 컴퓨터 시스템에 대한 접근이 용이해 지면서 호기심 또는 악의로 시스템을 침입 및 파괴하려는 다양한 형태의 침입 행위가 날로 증가하고 있다. 이러한 침입에 대비하여 대상 시스템에 대한 비 인가된 행위를 탐지 및 구별하고 이에 대응하는 기능을 가진 침입 탐지 시스템(IDS: Intrusion Detection System)에 대한 연구가 폭 넓게 진행되어 왔으며 다양한 형태의 IDS 들이 컴퓨터 및 네트워크 시스템에 적용되고 있다. 그러나 일반적인 IDS 는 단일 시스템에 대한 침입을 탐지하고 방어하는 것에 그 목적이 있으므로, 하나의 단위 네트워크 시스템을 효과적으로 보호하기 위해서는 단일 시스템에 대한 침입정보를 신속하게 상호 공유할 필요가 있다. 따라서 개별 Host 나 Network 장비에 분산되어 동작하는 다중의 IDS 에 대해서 통합 관리를 수행하는 통합 침입 관리시스템이 요구되어진다. 본 논문에서 제안하는 시스템은 각 IDS 들이 침입을 탐지하는 순간 이에 대한 정보를 수집하여 다른 IDS 들에게 침입에 대한 정보를 신속하게 전달하고, 정보의 종류와 수행 기능에 따른 요구사항을 프로토콜에 적절하게 반영 할 수 있는 시스템을 제안한다.

• Convergence Security Journal
• /
• v.1 no.1
• /
• pp.21-29
• /
• 2001

For multiple attacks through large networks e.g., internet, IDS had better be installed over several hosts and collect all the audit data from them with appropriate synthesis. We propose a new distributed intrusion detection system called SPIDER II which is the upgraded version of the previous standalone IDS - SPIDER I. As like the previous version, SPIDER II has been implemented on Linux Accel 6.1 in CNU C. After planting intrusion detection engines over several target hosts as active agents, the administration module of SPIDER II receives all the logs from agents and analyzes hem. For the world-wide standardization on IDS, SPIDER II is compatible with MITRE's CVE(Common Vulnerabilities and Exposures).

• Proceedings of the Korea Water Resources Association Conference
• /
• 2021.06a
• /
• pp.272-272
• /
• 2021

해안지역에서 염수침입을 저감하기 위한 지하댐은 전세계적으로 많이 사용되고 있으며, 일반적으로 염수를 포함하고 있는 지하수의 이동을 차단하는 역할을 한다. 이러한 차단으로 인해 지하댐 내 바다 방향으로 향해있는 영역과 해안 내륙에서의 오염물질과 염분의 축적이 발생될 수 있다. 기존의 염수칩입을 저감하기 위해 이용되는 지하댐의 연구는 대부분 불투수성으로 고려하여 수행되었으나 본 연구에서는 투수성 다공성 지하댐에 대한 효과를 수치적 기법을 이용하여 분석하였다. 이러한 투수성 다공성 지하댐은 해수위의 변화에 따라 염수와 담수의 흐름을 원활하게 할 수 있으며, 이로 인해 오염물질과 염분의 축적이 최소화 될 수 있을 것으로 기대할 수 있다. 본 연구에서는 상용 유동모의 및 해석 소프트웨인 ANSYS CFX 모형을 이용하여 투수성 다공성 지하댐의 유효높이와 유효폭 그리고 단일 그리고 다중 양수에 따른 염수침입의 특성을 분석하였으며, 이에 대한 지하댐의 최적 위치에 대한 분석을 수행하였다.

• The KIPS Transactions:PartA
• /
• v.12A no.2 s.92
• /
• pp.87-94
• /
• 2005

Pattern matching is one of critical parts of Network Intrusion Prevention Systems (NIPS) and computationally intensive. To handle a large number of attack signature fattens increasing everyday, a network intrusion prevention system requires a multi pattern matching method that can meet the line speed of packet transfer. In this paper, we analyze Snort, a widely used open source network intrusion prevention/detection system, and its pattern matching characteristics. A multi pattern matching method for NIPS should efficiently handle a large number of patterns with a wide range of pattern lengths and case insensitive patterns matches. It should also be able to process multiple input characters in parallel. We propose a multi pattern matching hardware accelerator based on Shift-OR pattern matching algorithm. We evaluate the performance of the pattern matching accelerator under various assumptions. The performance evaluation shows that the pattern matching accelerator can be more than 80 times faster than the fastest software multi-pattern matching method used in Snort.