• Title, Summary, Keyword: 비정상행위

Search Result 158, Processing Time 0.047 seconds

SWaT 테스트베드 데이터 셋 및 비정상행위 탐지 동향

  • Kwon, Sungmoon;Shon, Taeshik
    • Review of KIISC
    • /
    • v.29 no.2
    • /
    • pp.29-35
    • /
    • 2019
  • CPS(Cyber Physical System)에 대한 사이버 공격이 다양해지고 고도화됨에 따라 시그니쳐에 기반한 악성행위 탐지는 한계가 있어 기계학습 기반의 정상행위 학습을 통한 비정상행위 탐지 기법이 많이 연구되고 있다. 그러나 CPS 보안 연구는 보안상의 이유로 CPS 데이터가 주로 외부에 공개되지 않으며 또한 실제 비정상행위를 가동 중인 CPS에 실험하는 것이 불가능하여 개발 기법의 검증이 어려운 문제가 있다. 이를 해결하기 위해 2015년 SUTD(Singapore University of Technology and Design)의 iTrust 연구소에서 SWaT(Secure Water Treatment) 테스트베드를 구성하고 36가지의 공격을 수행한 데이터셋을 공개하였다. 이후 국 내외에서 SWaT 테스트베드 데이터를 사용하여 다양한 보안 기법을 검증한 연구결과가 발표되고 있으며 CPS 보안에 기여하고 있다. 따라서 본 논문에서는 SWaT 테스트베드 데이터 및 SWaT 테스트베드 데이터에 기반한 비정상행위 탐지 연구를 분석한 내용을 설명하고, 이를 통해 CPS 비정상행위 탐지 설계의 주요 요소를 분석하여 제시하고자 한다.

Anomaly Detection using Temporal Association Rules and Classification (시간연관규칙과 분류규칙을 이용한 비정상행위 탐지 기법)

  • Lee, Hohn-Gyu;Lee, Yang-Woo;Kim, Lyong;Seo, Sung-Bo;Ryu, Keun-Ho;Park, Jin-Soo
    • Proceedings of the Korea Information Processing Society Conference
    • /
    • /
    • pp.1579-1582
    • /
    • 2003
  • 점차 네트워크상의 침입 시도가 증가되고 다변화되어 침입탐지에 많은 어려움을 주고 있다. 시스템에 새로운 침입에 대한 탐지능력과 다량의 감사데이터의 효율적인 분석을 위해 데이터마이닝 기법이 적용된다. 침입탐지 방법 중 비정상행위 탐지는 모델링된 정상행위에서 벗어나는 행위들을 공격행위로 간주하는 기법이다. 비정상행위 탐지에서 정상행위 모델링을 하기 위해 연관규칙이나 빈발에피소드가 적용되었다. 그러나 이러한 기법들에서는 시간요소를 배제하거나 패턴들의 발생순서만을 다루기 때문에 정확하고 유용한 정보를 제공할 수 없다. 따라서 이 논문에서는 이 문제를 해결할 수 있는 시간연관규칙과 분류규칙을 이용한 비정상행위 탐지 모델을 제안하였다. 즉, 발생되는 패턴의 주기성과 달력표현을 이용, 유용한 시간지식표현을 갖는 시간연관규칙을 이용해 정상행위 프로파일을 생성하였고 이 프로파일에 의해 비정상행위로 간주되는 규칙들을 발견하고 보다 정확한 비정상행위 판별 여부를 결정하기 위해서 분류기법을 적용하였다.

  • PDF

Anomaly Intrusion Detection based on Clustering in Network Environment (클러스터링 기법을 활용한 네트워크 비정상행위 탐지)

  • 오상현;이원석
    • Proceedings of the Korea Institutes of Information Security and Cryptology Conference
    • /
    • /
    • pp.179-184
    • /
    • 2003
  • 컴퓨터를 통한 침입을 탐지하기 위해서 많은 연구들이 오용탐지 기법을 개발하였다. 최근에는 오용 탐지 기법을 개선하기 위해서 비정상행위 탐지 기법에 관련된 연구들이 진행중이다. 본 논문에서는 클러스터링 기법을 응용한 새로운 네트워크 비정상행위 탐지 기법을 제안한다. 이를 위해서 정상 행위를 다양한 각도에서 분석될 수 있도록 네트워크 로그로부터 여러 특징들을 추출하고 각 특징에 대해서 클러스터링 알고리즘을 이용하여 정상행위 패턴을 생성한다. 제안된 방법에서는 정상행위 패턴 즉 클러스터를 축약된 프로파일로 생성하는 방법을 제시하며 제안된 방법의 성능을 평가하기 위해서 DARPA에서 수집된 네트워크 로그를 이용하였다.

  • PDF

Anomaly Intrusion Detection Using Sequential Properties of Packets (패킷 순차성을 이용한 비정상행위 침입 탐지)

  • 홍동호;유황빈
    • Proceedings of the Korea Institutes of Information Security and Cryptology Conference
    • /
    • /
    • pp.101-106
    • /
    • 2003
  • 인터넷 상에서의 대부분의 네트워크 공격은 공격의 목표가 되는 시스템에 단일 패킷만을 보냄으로써 공격이 이뤄질 수 없다. 그렇기 때문에 침입탐지시스템에서는 내부 네트워크로 들어오고 나가는 패킷들에 대한 일련의 순차성을 알아냄으로써 네트워크 공격을 탐지할 수 있다. 본 연구에서는 이러한 네트워크 패킷의 순차성을 이용하여 비정상행위에 대한 침입탐지 방법을 제안하였으며 또한 일부 비정상행위 탐지에서 사용하고 있는 시간을 기준으로 한 트랜잭션의 분할에서 오는 단점을 지적하고 그것을 보완하기 위하여 탐지 단위로서 사용자의 세션을 사용하였다. TCP/IP 네트워크에서의 사용자 세션 정보를 표현하기 위해서 여러 가지 정보가 사용자 행위 테이블로 표현되며 이러한 사용자 행위 테이블은 서비스 포트 별로 통계적인 정리가 가능하다. 또한 이렇게 정리된 서비스 포트별 정보에서는 확률을 기반으로 한 비정상 행위를 도출할 수 있으며, 이러한 비정상 행위도를 이용하여 침입 판단의 근거자료로 삼을 수 있음을 확인하였다.

  • PDF

Network Anomaly Detection based on Association among Packets (패킷간 연관 관계를 이용한 네트워크 비정상행위 탐지)

  • 오상현;이원석
    • Journal of the Korea Institute of Information Security & Cryptology
    • /
    • v.12 no.5
    • /
    • pp.63-73
    • /
    • 2002
  • Recently, intrusions into a computer have been increased rapidly and also various intrusion methods have been developed. As a result. many researches have been performed to detect the activities of intruders effectively In this paper, a new association mining algorithm for anomaly network intrusion detection is proposed. For this purpose, the proposed algorithm is composed of two different phases: intra-packet association and inter-packet association. The performance of the proposed anomaly detection system is evaluated based on several experiment according to various system parameters in order to identify their practical ranges for maximizing its detection rate. As a result, an anomaly can be detected effectively.

A Study of Anomaly Detection Method Using Bayesian Network (베이지안 네트워크를 이용한 비정상행위 탐지 기법 연구)

  • Cheong, Il-An;Kim, Min-Soo;Noh, Bong-Nam
    • Proceedings of the Korea Information Processing Society Conference
    • /
    • /
    • pp.1061-1064
    • /
    • 2001
  • 일반적으로 비정상행위를 탐지하는데 통계적인 기법을 사용하여 왔다. 본 논문에서는 통계적인 기법의 단점을 보완하기 위해 베이지안 네트워크(Bayesian Network)의 장점들을 이용한 비정상행위에 대한 판정 및 분석에 효과적인 방법을 연구하고자 한다. 리눅스 시스템의 감사자료(LSM audit data)로부터 사용자의 정상행위에 대해 베이지안 네트워크 학습에 효율적인 Sparse Candidate 알고리즘을 사용하고, 감사자료의 일부가 결여되어 있는 경우에도 추론이 가능하도록 Gibbs Sampling 방법을 적용하여 시스템 사용자의 비정상행위를 판정하는데 도움이 되도록 한다.

  • PDF

Abnomalous Behavior Detection Technique Using Multi angle and Multi view Video Mining (다각도 다중시점 상에서의 비디오 마이닝을 통한 비정상행위 탐지기법)

  • Shin, Joo-Hahn;Kim, Ki-Ho;Oh, Se-In;Lee, Won-Suk
    • 한국IT서비스학회:학술대회논문집
    • /
    • /
    • pp.524-527
    • /
    • 2009
  • 최근 감시, 상황판단, 정보전달에 있어서 비디오 영상의 사용이 점점 증가하고 있다. 그러나 비디오 영상에 나타나는 객체들의 비정상행위를 탐지하는 것은 사용자에게 의존한다. 따라서 사용자가 비정상 행위를 놓치기 쉽고, 상황에 대한 대처가 늦어진다는 문제가 발생한다. 이러한 점을 개선하기 위해 실시간 영상 마이닝 기법을 이용한 비정상행위 탐지법이 연구되었으나, 제약 조건이 심하고, 불필요하게 추적되는 데이터가 많아 효율이 떨어진다는 단점이 있다. 본 논문에서는 이러한 단점을 개선하여 3차원 환경에서의 객체의 추적에 대한 정확도를 높이고 일반적인 상황에서도 적용이 가능한 비디오 마이닝을 이용한 비정상 행위 탐지 기법을 제안한다.

  • PDF

Abnormalous Behavior Detection Using Video Mining in Multi-spaces (다공간 상에서의 비디오 마이닝을 통한 비정상행위 탐지기법)

  • Shin, Joo-Hahn;Lee, Won-Suk
    • 한국IT서비스학회:학술대회논문집
    • /
    • /
    • pp.475-478
    • /
    • 2010
  • 최근 영상처리 기술이 발전함에 따라 비디오 영상 처리를 통한 비정상행위 탐지 기술에 대한 관심이 증가하고 있다. 하지만 대부분의 논문들은 하나의 카메라, 혹은 하나의 공간 내에서 이루어지는 비정상탐지 기법을 제안해 왔다. 본 논문에서는 기존의 비디오 마이닝을 이용한 영상처리 기술을 확장하여 공간과 카메라의 수에 제한이 없이 비정상행위를 탐지할 수 있는 방법을 프로그램 구현을 통해 제시한다.

  • PDF

Anormal Behavior Detection Using RBF Neural Network (RBF 신경망을 이용한 비정상 행위의 탐지 기법)

  • Kim, H.T.;Kim, Y.H.;Lee, K.S.;Kang, J.M.;Won, Y.
    • Proceedings of the Korea Information Processing Society Conference
    • /
    • /
    • pp.805-808
    • /
    • 2002
  • 컴퓨터 시스템 및 네트워크에 대한 침입 공격의 방법 중 이미 알려진 형태의 공격에 대해서는 상대적으로 탐지가 용이하나 사용자의 비정상행위는 방법의 다양성 때문에 탐지가 매우 어렵다. 그러나, 사용자의 정상적인 행동은 몇 가지 소수의 형태로 특정 지어질 수 있다. 본 논문에서는 상대적으로 변화가 적은 정상 행위를 신경망으로 Modeling하여 이를 비정상 행위 탐지에 적용하는 기법을 제안한다. 이를 위하여 입력 영역을 지역화 하는 특성을 갖는 RBF(Radial-Basis-Fuction) 신경망에 대한 단일 Class의 학습방법을 제안하고, 이를 이용한 비정상 행위에 대한 공격의 탐지에 대한 적용 방안을 제시한다. 비정상 행위 탐지에 대한 적용 가능성을 검증하기 위하여 사용자가 키보드 입력 유형을 학습하고 이를 이용하여 타인의 ID와 Password를 도용한 경우의 탐지에 적용하였다.

  • PDF

The Decision Method of A Threshold in Sequence-based Anomaly Detection Sensor (순서기반 비정상행위 탐지 센서의 임계치 결정 방법)

  • Kim, Yong-Min;Kim, Min-Su;Kim, Hong-Geun;No, Bong-Nam
    • The KIPS Transactions:PartC
    • /
    • v.8C no.5
    • /
    • pp.507-516
    • /
    • 2001
  • In this paper, we implement sequence-based anomaly detection sensor using SOM and HMM, and analyze what is important information in system call and how a threshold is decided. The new filtering and reduction rules of SOM reduces the input size of HMM. This gives real-time processing to HMM-based anomaly detection sensor. Also, we introduced an anomaly count into the sensor. Due to lessened sensibility, a user easily understand easily the detection information and false-positive was decreased. And the active coordination of the threshold value makes the detection sensor adapt according to the system condition.

  • PDF