• Title/Summary/Keyword: 비정상행위기반탐지

Search Result 78, Processing Time 0.029 seconds

Abnormaly Intrusion Detection Using Instance Based Learning (인스턴스 기반의 학습을 이용한 비정상 행위 탐지)

  • Hong, Seong-Kil;Won, Il-Yong;Song, Doo-Heon;Lee, Chang-Hun
    • Annual Conference of KIPS
    • /
    • 2003.05c
    • /
    • pp.2001-2004
    • /
    • 2003
  • 비정상 행위의 탐지를 위한 침입탐지 시스템의 성능을 좌우하는 가장 큰 요인들은 패킷의 손실없는 수집과 해당 도메인에 알맞은 분류 기법이라 할 수 있다. 본 논문에서는 기존의 탐지엔진에 적용된 알고리즘의 부류에서 벗어나 Instance 기반의 알고리즘인 IBL(Instance Based Learning)을 선택하여 학습시간의 단축과 패턴생성에 따른 분류근거의 명확성을 고려였다. 또한, 기존 IBL에 포함되어 있는 Symbolic value 의 거리계산 방식에서 네트워크의 로우 데이터인 패킷을 처리하는데 따르는 문제를 해결하기 위해 VDM(Value Difference Matrix)을 사용함으로써 탐지률을 향상시킬 수 있었다. Symbolic value간의 거리계산에 따른 성능향상의 정도를 알아보기 위해 VDM 적용 유무에 따른 실험결과와 탐지엔진에 적용되었던 알고리즘들인 COWEB 과 C4.5를 이용한 결과를 비교분석 하였다.

  • PDF

A Portscan Attack Detection Mechanism based on Fuzzy Logic for Abnormal Traffic Control Framework (비정상 트래픽 제어 프레임워크를 위한 퍼지 로직 기반의 포트스캔 공격 탐지 기법)

  • Kim, Jae-Gwang;Lee, Ji-Hyeong
    • Proceedings of the Korean Institute of Intelligent Systems Conference
    • /
    • 2007.11a
    • /
    • pp.357-361
    • /
    • 2007
  • 비정상 트래픽 제어 프레임워크에 적용된 비정상 트래픽 제어 기술은 침입, 분산서비스거부 공격, 포트스캔 공격과 같은 비정상 행위의 트래픽을 제어하는 공격 대응 방법이다. 이 대응 방법은 비정상 행위에 대한 true-false 방식의 공격 대응 방법이 가지는 높은 오탐율(false-positive rate)을 낮출 수 있다는 장점이 있지만, 공격 지속시간에만 의존하여 비정상 트래픽을 판단하기 때문에, 공격에 대한 신속한 대응을 하지 못한다는 한계를 가지고 있다. 이에 본 논문에서는 비정상 트래픽 제어 프레임워크에 퍼지 로직을 적용하여 신속한 공격 대응이 가능한 포트스캔 공격 탐지 기법을 제안한다.

  • PDF

Performance Improvement of Infusion Detection System based on Hidden Markov Model through Privilege Flows Modeling (권한이동 모델링을 통한 은닉 마르코프 모델 기반 침입탐지 시스템의 성능 향상)

  • 박혁장;조성배
    • Journal of KIISE:Information Networking
    • /
    • v.29 no.6
    • /
    • pp.674-684
    • /
    • 2002
  • Anomaly detection techniques have teen devised to address the limitations of misuse detection approach for intrusion detection. An HMM is a useful tool to model sequence information whose generation mechanism is not observable and is an optimal modeling technique to minimize false-positive error and to maximize detection rate, However, HMM has the short-coming of login training time. This paper proposes an effective HMM-based IDS that improves the modeling time and performance by only considering the events of privilege flows based on the domain knowledge of attacks. Experimental results show that training with the proposed method is significantly faster than the conventional method trained with all data, as well as no loss of recognition performance.

HTTP Traffic Based Anomaly Detection System (HTTP 트래픽 기반의 비정상행위 탐지 시스템)

  • Kim Hyo-Nam;Jang Sung-Min;Won Yu-Hun
    • Proceedings of the Korean Information Science Society Conference
    • /
    • 2006.06c
    • /
    • pp.313-315
    • /
    • 2006
  • 최근 인터넷 공격은 웹 서비스 환경에서 다양한 공격 유형들이 인터넷상에서 나타나고 있는 실정이다. 특히 인터넷 웜이나 기타 알려지지 않은 공격이 대중을 이루고 있어 기존의 정보 보호 기술로는 한계에 다다르고 있으며 이미 알려진 공격을 탐지하는 오용탐지 기술로는 적절하게 대응하기 어려워진 상태이다. 또한, 웹 서비스 이용이 확대되고 사용자 요구에 맞게 변화하면서 인터넷상의 노출된 웹 서비스는 공격자들에게 있어 주공격 대상이 되고 있다. 본 논문에서는 웹 기반의 트래픽 유형을 분석하고 각 유형에 따른 이상 징후를 파악할 수 있는 비정상 탐지 모델을 정의하여 정상 트래픽 모델과 비교함으로써 현재 트래픽의 이상 정도를 평가하고 탐지 및 규칙생성, 추가하는 HTTP 트래픽 기반의 비정상행위 탐지 시스템을 설계하고 구현하였다.

  • PDF

A Study on VR Device User Authentication Model based on User Behavior using Anomaly Detection Model (이상 탐지 모델을 활용한 사용자 행위 기반의 VR기기 사용자 인증 모델 연구)

  • Woo-Jin Jeon;Hyoung-Shick Kim
    • Annual Conference of KIPS
    • /
    • 2024.05a
    • /
    • pp.856-858
    • /
    • 2024
  • VR 기술의 발전은 다양한 분야에서 사용자에게 몰입감 있는 가상 현실 경험을 제공하지만, VR기기 내부에 사용자의 생체 데이터 및 금융정보와 같은 민감한 정보들이 저장되어 새로운 보안 문제를 야기하고 있다. 이에 따라 PIN, 패스워드 등과 같은 기존의 인증 방식이 VR 기기에 적용되고 있지만 이들은 shoulder-surfing attack 공격 취약하며 VR 환경에서 사용하기에 불편한 인터페이스를 가지고 있다. 따라서 본 논문에서는 이상 탐지 모델을 활용하여 외부 추론 공격에 강인하며 VR 환경에 적합한 사용자 행위 기반의 VR기기 사용자 인증 모델을 구현한다. 특정 task를 수행하는 동안 사용자의 행위 데이터를 수집 및 feature 데이터를 추출하고, 정상으로 라벨링 된 사용자의 데이터로 이상 탐지 머신러닝 모델들을 학습 후 정상 데이터와 비정상 데이터를 이용하여 인증 모델의 성능을 평가하였다. OC-SVM이 87.72%의 F1-score로 세 모델 중 가장 높은 성능을 보임을 확인하였으며, 향후 인증 모델 성능 향상을 위한 계획을 제시하였다.

Rank Correlation Coefficient of Energy Data for Identification of Abnormal Sensors in Buildings (에너지 데이터의 순위상관계수 기반 건물 내 오작동 기기 탐지)

  • Kim, Naeon;Jeong, Sihyun;Jang, Boyeon;Kim, Chong-Kwon
    • Journal of KIISE
    • /
    • v.44 no.4
    • /
    • pp.417-422
    • /
    • 2017
  • Anomaly detection is the identification of data that do not conform to a normal pattern or behavior model in a dataset. It can be utilized for detecting errors among data generated by devices or user behavior change in a social network data set. In this study, we proposed a new approach using rank correlation coefficient to efficiently detect abnormal data in devices of a building. With the increased push for energy conservation, many energy efficiency solutions have been proposed over the years. HVAC (Heating, Ventilating and Air Conditioning) system monitors and manages thousands of sensors such as thermostats, air conditioners, and lighting in large buildings. Currently, operators use the building's HVAC system for controlling efficient energy consumption. By using the proposed approach, it is possible to observe changes of ranking relationship between the devices in HVAC system and identify abnormal behavior in social network.

A Study on Similarity Comparison for File DNA-Based Metamorphic Malware Detection (파일 DNA 기반의 변종 악성코드 탐지를 위한 유사도 비교에 관한 연구)

  • Jang, Eun-Gyeom;Lee, Sang Jun;Lee, Joong In
    • Journal of the Korea Society of Computer and Information
    • /
    • v.19 no.1
    • /
    • pp.85-94
    • /
    • 2014
  • This paper studied the detection technique using file DNA-based behavior pattern analysis in order to minimize damage to user system by malicious programs before signature or security patch is released. The file DNA-based detection technique was applied to defend against zero day attack and to minimize false detection, by remedying weaknesses of the conventional network-based packet detection technique and process-based detection technique. For the file DNA-based detection technique, abnormal behaviors of malware were splitted into network-related behaviors and process-related behaviors. This technique was employed to check and block crucial behaviors of process and network behaviors operating in user system, according to the fixed conditions, to analyze the similarity of behavior patterns of malware, based on the file DNA which process behaviors and network behaviors are mixed, and to deal with it rapidly through hazard warning and cut-off.

인터넷 뱅킹 보안을 위한 웹 공격의 탐지 및 분류

  • Park, Jae-Chul
    • Review of KIISC
    • /
    • v.18 no.5
    • /
    • pp.62-72
    • /
    • 2008
  • 인터넷 뱅킹은 인터넷을 통해 금융 업무를 처리하는 시스템으로, 시 공간적 제약이 없어 이용자가 크게 증가하고 있지만 인터넷을 기반으로 한 웹 공격으로 인하여 많은 위협을 받고 있다. 인터넷 뱅킹은 서비스를 제공하는 은행에 따라 사용자 인터페이스와 처리 방법이 매우 다양하므로, 인터넷 뱅킹 시스템을 목표로 한 웹 공격을 탐지하기 위해서는 해당 인터넷 뱅킹 서비스의 특징을 반영할 수 있는 고유의 패턴을 생성해야 한다. 본 논문에서는 서열 정렬 알고리즘을 이용하여 인터넷 뱅킹 이용에 대한 정상 및 비정상 패턴을 자동으로 생성하여 웹 공격을 탐지하고 분석하는 방법을 제안한다. 제시한 방법의 성능 평가를 위하여, 모의 인터넷 뱅킹 프로그램을 설치한 후 정상적인 이용과 웹 공격을 시도한 자료를 구분하여 수집하고 유사도를 측정하였다. 실험결과 제안된 기법이 오탐율이 낮고 탐지 성능 또한 뛰어남을 확인하였다. 그리고 전문가의 도움 없이 정상 패턴과 비정상 패턴을 생성할 수 있어 효율적으로 변형된 공격이나 새로운 공격을 차단하고 비정상 행위에 판단에 대한 근거를 제시할 수 있음을 보였다.

Anomaly Detection and Learning of Program Behaviors with Evolutionary Neural Networks (진화신경망을 이용한 프로그램 행위학습 및 비정상행위탐지)

  • 한상준;조성배
    • Proceedings of the Korean Information Science Society Conference
    • /
    • 2004.04a
    • /
    • pp.262-264
    • /
    • 2004
  • 시스템 호출 감사자료기반 기계학습기법을 사용한 프로그램 행위 학습방법은 효과적인 호스트기반 침입탐지 방법이며, 특히 신경망은 기존 연구 중 가장 좋은 성능을 보였다. 하지만 보통의 신경망은 그 구조를 찾기 위한 방법이 알려져 있지 않아 침입탐지에 효과적인 구조를 찾기 위해서는 많은 시간이 요구된다. 본 논문에서는 기존 신경망 기반 침입탐지시스템의 단점을 보완하고 성능을 향상시키기 위해 진화신경망을 이용한 방법을 제안한다. 진화 신경망은 신경망의 구조와 가중치를 동시에 학습하기 때문에 일반 신경망보다 빠른 시간 내에 더 좋은 성능의 신경망을 얻을 수 있다는 장점이 있다. 1999년의 DARPA IDEVAL자료로 실험한 결과 기존의 연구보다 좋은 성능을 보여 진화신경망이 침입탐지에 효과적임을 확인할 수 있었다.

  • PDF

A Detection Mechanism of Portscan Attacks based on Fuzzy Logic for an Abnormal Traffic Control Framework (비정상 트래픽 제어 프레임워크를 위한 퍼지로직 기반의 포트스캔 공격 탐지기법)

  • Kim, Jae-Kwang;Kim, Ka-Eul;Ko, Kwang-Sun;Kang, Yong-Hyeog;Eom, Young-Ik
    • Annual Conference of KIPS
    • /
    • 2005.05a
    • /
    • pp.1185-1188
    • /
    • 2005
  • 비정상 행위에 대한 true/false 방식의 공격 탐지 및 대응방법은 높은 오탐지율(false-positive)을 나타내기 때문에 이를 대체할 새로운 공격 탐지방법과 공격 대응방법이 연구되고 있다. 대표적인 연구로는 트래픽 제어 기술을 이용한 단계적 대응방법으로, 이 기술은 비정상 트래픽에 대해 단계적으로 대응함으로써 공격의 오탐지로 인하여 정상 서비스를 이용하는 트래픽이 차단되지 않도록 하는 기술이다. 비정상 트래픽 중 포트스캔 공격은 네트워크 기반 공격을 위해 공격대상 호스트의 서비스 포트를 찾아내는 공격으로 이 공격을 탐지하기 위해서는 일정 시간동안 특정 호스트의 특정 포트에 보내지는 패킷 수를 모니터링 하여 임계치와 비교하는 방식의 true/false 방식의 공격 탐지방법이 주로 사용되었다. 비정상 트래픽 제어 프레임워크(Abnormal Traffic Control Framework)는 true/false 방식의 공격 탐지방법을 이용하여 공격이 탐지되었을 때, 처음에는 트래픽 제어로 대응하고 같은 공격이 재차 탐지되었을때, 차단하여 기존의 true-false 방식의 공격 탐지 및 대응방법이 가지는 높은 오탐지율을 낮춘다. 하지만 포트스캔 공격의 특성상, 공격이 탐지된 후 바로 차단하지 못하였을 경우, 이미 공격자가 원하는 모든 정보를 유출하게 되는 문제가 있다. 본 논문에서는 기존의 True/False 방식의 포트스캔 공격 탐지방법에 퍼지 로직 개념을 추가하여 공격 탐지의 정확성을 높이고 기존의 탐지방법을 이용하였을 때보다 신속한 트래픽 제어 및 차단을 할 수 있는 방법을 제안한다.

  • PDF