• 제목/요약/키워드: 비정상행위기반탐지

검색결과 78건 처리시간 0.035초

기계학습 기법에 의한 비정상행위 탐지기반 IDS의 성능 평가 (Performance Evaluation of IDS based on Anomaly Detection Using Machine Learning Techniques)

  • 노영주;조성배
    • 한국정보처리학회:학술대회논문집
    • /
    • 한국정보처리학회 2002년도 추계학술발표논문집 (중)
    • /
    • pp.965-968
    • /
    • 2002
  • 침입탐지 시스템은 전산시스템을 보호하는 대표적인 수단으로, 오용탐지와 비정상행위탐지 방법으로 나눌 수 있는데, 다양화되는 침입에 대응하기 위해 비정상행위 탐지기법이 활발히 연구되고 있다. 비 정상행위기반 침임탐지 시스템에서는 정상행위 구축 방법에 따라 다양한 침입탐지율과 오류율을 보인다. 본 논문에서는 비정상행위기반 침입탐지시스템을 구축하였는데, 사용되는 대표적인 기계학습 방법인 동등 매칭(Equality Matching), 다층 퍼셉트론(Multi-Layer Perceptron), 은닉마르코프 모델(Hidden Markov Model)을 구현하고 그 성능을 비교하여 보았다. 실험결과 다층 퍼셉트론과 은닉마르코프모델이 높은 침입 탐지율과 낮은 false-positive 오류율을 내어 정상행위로 사용되는 시스템감사 데이터에 대한 정보의 특성을 잘 반영하여 모델링한다는 것을 알 수 있었다.

  • PDF

정상 스크립트 패턴에 기반한 비정상 스크립트 탐지 (Abnormal Scripts Detection based on Normal Scripts Patterns)

  • 백성규;위규범
    • 한국정보과학회:학술대회논문집
    • /
    • 한국정보과학회 2002년도 가을 학술발표논문집 Vol.29 No.2 (1)
    • /
    • pp.511-513
    • /
    • 2002
  • 본 논문은 악성 스크립트를 탐지하는 새로운 방법을 제안한다. 정보검색 기법을 이용하여 정상 스크립트들을 기능별로 구분하여 정상 행위를 정의함으로써, 정상 행위에서 벗어나는 경우에 악성이라고 판정한다. 소스 기반의 빠른 검색이 가능하며, 실시간 모니터링을 통한 비정상 스크립트의 탐지가 가능하다. 또한 새로운 악성 스크립트가 생성되는 경우에도 탐지가 가능하다는 장점을 가지고 있다.

  • PDF

COBWEB 을 사용한 비정상행위도 측정을 지원하는 네트워크기반 침입탐지시스템 설계 (A Design of Network Based IDS to Report Abnormal Behavior Level using COBWEB)

  • 이효승;원일용;이창훈
    • 한국정보처리학회:학술대회논문집
    • /
    • 한국정보처리학회 2002년도 춘계학술발표논문집 (하)
    • /
    • pp.845-848
    • /
    • 2002
  • 네트워크 기반 침입탐지시스템은 연속적으로 발생하는 패킷의 무손실 축소와 행위패턴을 정확히 모델링 할 수 있는 Event 의 생성이 전체성능을 결정하는 중요한 요인이 된다. 또한 공격이나 비정상 행위의 판별을 위해서는 효과적인 탐지모델의 구축이 필요하다. 본 논문은 네트워크기반에서 패킷을 분석해 비정상행위 수준을 관리자에게 보고하는 시스템의 설계에 관한 논문이다. 속성을 생성하고 선택하는 방법으로는 전문가의 경험을 바탕으로 결정하였고, 탐지모델구축은 COBWEB 클러스터링 기법을 사용하였다. 비정상행위 수준을 결정하기 위해 트레이닝 셋에 정상과 비정상의 비율을 두어 클러스터링 이후 탐지모드에서 새로운 온라인 Event 의 비정상 수준을 결정할 수 있게 하였다

  • PDF

네트워크기반 비정상행위 탐지모델 생성을 위한 비감독 학습 알고리즘 비교분석 (Comparative Analysis of Unsupervised Learning Algorithm for Generating Network based Anomaly Behaviors Detection Model)

  • 이효승;심철준;원일용;이창훈
    • 한국정보처리학회:학술대회논문집
    • /
    • 한국정보처리학회 2002년도 추계학술발표논문집 (중)
    • /
    • pp.869-872
    • /
    • 2002
  • 네트워크 기반 침입탐지시스템은 연속적으로 발생하는 패킷의 무손실 축소와, 패킷으로 정상 또는 비정상 행위패턴을 정확히 모델링한 모델 생성이 전체성능을 판단하는 중요한 요소가 된다. 네트워크 기반 비정상행위 판정 침입탐지시스템에서는 이러한 탐지모델 구축을 위해 주로 감독학습 알고리즘을 사용한다. 본 논문은 탐지모델 구축에 사용하는 감독 학습 방식이 가지는 문제점을 지적하고, 그에 대한 대안으로 비감독 학습방식의 학습알고리즘을 제안한다. 감독 학습을 사용하여 탐지모델을 구축하기 위해서는 정상행위의 패킷을 취합해야 하는 사전 부담이 있는 반면에 비감독 학습을 사용하게 되면 이러한 사전작업 없이 탐지모델을 구축할 수 있다. 본 논문에서는 비감독학습 알고리즘을 비교 분석하기 위해서 COBWEB, k-means, Autoclass 알고리즘을 사용했으며, 성능을 평가하기 위해서 비정상행위도(Abnormal Behavior Level)를 계산하여 에러율을 구하였다.

  • PDF

가중 특징 값을 고려한 러프 집합 기반 비정상 행위 탐지방법의 설계 및 평가 (Design and Evaluation of a Rough Set Based Anomaly Detection Scheme Considering Weighted Feature Values)

  • 배인한;이화주;이경숙
    • 한국멀티미디어학회논문지
    • /
    • 제9권8호
    • /
    • pp.1030-1036
    • /
    • 2006
  • 무선 네트워크의 급속한 확산과 이동 컴퓨팅 응용은 네트워크 보안에 대한 전망을 변화시켰다. 비정상 행위 탐지는 시스템으로 모니터 되는 알 수 없는 행위나 이상한 행위에 대한 패턴 인식 작업이다. 본 논문에서는 셀룰러 이동 망에서 유해한 내부 공격 위장자를 효율적으로 식별할 수 있는 효율적인 러프 집합 기반 비정상 행위 탐지 방법을 제안한다. 제안하는 비정상 행위 탐지 방법에서는 특징 값으로 사용자의 무선 응용 계층의 추적 데이터를 사용한다. 특징 값을 기초로, 이동 사용자의 사용 패턴이 러프 집합에 의해 얻어지고, 그리고 모바일의 비정상 행위는 가중 특징 값을 고려한 러프 소속 함수에 적용하여 효과적으로 탐지될 수 있다. 제안하는 방법의 성능은 모의실험으로 평가하였다. 모의실험 결과, 중요도에 따라 특징 속성에 다른 가중치를 부여하는 방법이 비정상 행위를 더 잘 탐지한다는 것을 확인하였다.

  • PDF

퍼지 추론을 이용한 은닉 마르코프 모델 기반 침입탐지 시스템의 성능향상 (Improving Intrusion Detection System based on Hidden Markov Model with Fuzzy Inference)

  • 정유석;박혁장;조성배
    • 한국정보과학회:학술대회논문집
    • /
    • 한국정보과학회 2001년도 봄 학술발표논문집 Vol.28 No.1 (A)
    • /
    • pp.766-768
    • /
    • 2001
  • 정보통신의 질적 양적 팽창과 더불어 컴퓨터 시스템에 대한 침입 또한 증가하고 있다. 침입탐지시스템은 이를 해결하기 위한 대표적인 수단으로, 최근 관련된 연구의 방향이 오용탐지 기법에서 비정상 행위탐지 기법으로 옮겨가고 있는 상황이다. HMM(Hiddem Markov Model)은 비정상행위탐지 기법에 사용되어 다양한 척도(measure)에 대한 정상행위를 효과적으로 모델링할 수 있는 방법이다. 다양한 척도의 결과값들로부터 침입을 판정하는 방법에 대한 연구는 미흡하다. 본 논문에서는 SOM(self organizing map)을 통해 축약된 데이터를 HMM으로 모델링한 비정상행위기반 침입탐지 시스템의 성능을 향상시키기 위해 퍼지 침입판정 방법을 제시한다. 실험결과 척도에 따른 결과들의 기계적 결합보다 향상된 결과를 얻었으며, 퍼지 관련 파라메터의 개선을 통해 더욱 좋은 효과를 기대할 수 있었다.

  • PDF

온라인 데이터 수집 기반 실시간 비정상 행위 탐지 (Real-time Abnormal Behavior Detection by Online Data Collection)

  • 이명철;김창수;김익균
    • 한국정보처리학회:학술대회논문집
    • /
    • 한국정보처리학회 2016년도 추계학술발표대회
    • /
    • pp.208-209
    • /
    • 2016
  • APT (Advanced Persistent Threat) 공격 사례가 증가하면서, 이러한 APT 공격을 해결하고자 이상 행위 탐지 기술 관련 연구가 활발히 진행되고 있다. 최근에는 APT 공격의 탐지율을 높이기 위해서 빅데이터 기술을 활용하여 다양한 소스로부터 대규모 데이터를 수집하여 실시간 분석하는 연구들이 시도되고 있다. 본 논문은 빅데이터 기술을 활용하여 기존 시스템들의 실시간 처리 및 분석 한계를 극복하기 위한 실시간 비정상 행위 탐지 시스템에서, 파일 시스템에 수집된 오프라인 데이터 기반이 아닌 온라인 수집 데이터 기반으로 실시간 비정상 행위를 탐지하여 실시간성을 제고하고 입출력 병목 문제로 인한 처리 성능 확장성 문제를 해결하는 방법 및 시스템에 대해서 제안한다.

비정상 행위 탐지를 위한 신경망 기반의 데이터 클러스터링 (Data Clustering using a Neural Network for Anomaly Detection)

  • 김인영;장병탁
    • 한국지능시스템학회:학술대회논문집
    • /
    • 한국퍼지및지능시스템학회 2000년도 춘계학술대회 학술발표 논문집
    • /
    • pp.31-34
    • /
    • 2000
  • 코호넨 자기조직 신경망을 사용하면 클러스터링뿐만 아니라 그 데이터가 할당된 클러스터의 대표값(Centroid)과의 거리 차이(Quantization Error)를 알아볼 수 있다 이를 이용하면 어떤 데이터가 정상적인 분포를 따르는지 정상적인 분포에서 벗어나는 비정상적인 데이터인지 알 수 있고, 유닉스 시스템 사용자의 명령어 사용 패턴에 적용하여 어떤 사용자의 명령어 사용 패턴이 정상적인 것인지 비정상적인 것인지 알 수 있다. 본 논문에서는 유닉스 시스템 사용자 8명의 명령어 패턴을 클러스터링한 후 Quantization Error를 이용하여 비정상 패턴을 탐지하는 오프라인에서의 비정상 행위를 탐지하는 시스템을 구현하였다. 그리고 통계적인 학습 방법을 적용한 비정상 패턴 탐지와의 비교를 통하여 두 가지 비정상 패턴 탐지 결과가 동일함을 확인하였다.

  • PDF

사용자 행위 클러스터링을 활용한 비정상 행위 탐지 (Anomaly Detection based on Clustering User's Behaviors)

  • 오상현;이원석
    • 한국정보처리학회논문지
    • /
    • 제7권8호
    • /
    • pp.2411-2420
    • /
    • 2000
  • 컴퓨터를 통한 침입을 효과적으로 탐지하기 위해서 많은 연구들이 오용탐지 기법을 개발하였다. 최근에는 오용 탐지 기법을 개선하기 위해서 비정상행위 탐지 기법에 관련된 연구들이 진행중이다. 이 논문에서는 비정상행위 탐지에서 사용자의 정상행위 패턴을 생성하기 위해 지지율에 기반한 새로운 클러스터링 알고리즘을 제시한다. 제시된 알고리즘에서는 사용자의 과거행위보다 최근행위에 보다 많은 비중을 두는 방법을 적용하였다. 한편, 사용자의 행위를 다양한 각도에서 분석될 수 있도록 사용자의 행위를 여러 판정요소로 분류하고 각 판정요소에 제시된 알고리즘을 이용하여 사용자의 정상행위 패턴을 생성한다. 결과적으로 사용자의 비정상행위가 효과적으로 탐지될 수 있다.

  • PDF

이동 무선망을 위한 비유사도 기반 비정상 행위 탐지 방법의 설계 및 평가 (Design and evaluation of a dissimilarity-based anomaly detection method for mobile wireless networks)

  • 이화주;배인한
    • Journal of the Korean Data and Information Science Society
    • /
    • 제20권2호
    • /
    • pp.387-399
    • /
    • 2009
  • 이동 무선망은인증의 절도와 침입에 의해 계속 고통을 받고 있다. 그러한 두 문제 모두 2가지 다른 방법: 오용 탐지 또는 비정상 행위 기반 탐지로 해결될 수 있다. 이 논문에서, 우리는 이동 무선망의 이동 패턴과 같은 정상 행위를 효율적으로 식별할 수 있는 비유사도 기반 방법을 제안한다. 제안하는 알고리즘에서, 정상 프로파일은 이동 무선망에서 이동 사용자들의 정상 이동 패턴으로부터 구축되어진다. 구축된 정상 프로파일로부터, 가중 비유사도 측정으로 비유사도가 계산되어진다. 만일 가중 비유사도 측정치가 시스템 매개변수인 비유사도 임계치보다 크면, 경고 메시지가 발생된다. 제안된 방법의 성능은 모의실험을 통하여 평가되었다. 그 결과, 제안하는 방법의 성능이 비유사도 측정을 사용하는다른 비정상 행위 탐지 방법의 성능 보다 우수함을 알 수 있었다.

  • PDF