• Journal of Korea Society of Industrial Information Systems
• /
• v.14 no.3
• /
• pp.22-29
• /
• 2009

In previous work, anomaly-based intrusion detection techniques have been widely used to effectively detect various intrusions into a computer. This is because the anomaly-based detection techniques can effectively handle previously unknown intrusion methods. However, most of the previous work assumed that the normal network connections are fixed. For this reason, a new network connection may be regarded as an anomalous event. This paper proposes a new anomaly detection method based on an association-mining algorithm. The proposed method is composed of two phases: intra-packet association mining and inter-packet association mining. The performances of the proposed method are comparatively verified with JAM, which is a conventional representative intrusion detection method.

• Proceedings of the Korean Institute of Intelligent Systems Conference
• /
• 2007.11a
• /
• pp.357-361
• /
• 2007

비정상 트래픽 제어 프레임워크에 적용된 비정상 트래픽 제어 기술은 침입, 분산서비스거부 공격, 포트스캔 공격과 같은 비정상 행위의 트래픽을 제어하는 공격 대응 방법이다. 이 대응 방법은 비정상 행위에 대한 true-false 방식의 공격 대응 방법이 가지는 높은 오탐율(false-positive rate)을 낮출 수 있다는 장점이 있지만, 공격 지속시간에만 의존하여 비정상 트래픽을 판단하기 때문에, 공격에 대한 신속한 대응을 하지 못한다는 한계를 가지고 있다. 이에 본 논문에서는 비정상 트래픽 제어 프레임워크에 퍼지 로직을 적용하여 신속한 공격 대응이 가능한 포트스캔 공격 탐지 기법을 제안한다.

• Journal of the Institute of Electronics Engineers of Korea SC
• /
• v.48 no.5
• /
• pp.25-30
• /
• 2011

This paper present a method for abnormal traffic behavior, or trajectory, detection in static traffic surveillance camera with user-defined trajectories. The method computes the abnormality of moving object with a trajectory of the object and user-defined trajectories. Because of using user-define based information, the presented method have more accurate and faster performance than models need a learning about normal behaviors. The method also have adaptation process of assigned rule, so it can handle scene variation for more robust performance. The experimental results show that our method can detect abnormal traffic behaviors in various situation.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2001.10b
• /
• pp.1017-1020
• /
• 2001

침입탐지시스템에 대한 수많은 방법들이 제시되고 있지만, 가장 핵심적이라고 한 수 있는 침입에 대한 패턴을 어떻게 정의하고 탐지해 낼 것이며, 알려지지 않은 비정상적인 행위에 대한 패턴을 탐지하는 것에 대한 연구가 미흡하다. 이에 본 논문에서는 알려지지 않은 침입 행위를 판별하는데 있어서 유한오토마타를 이용하여 시스템 콜에 대한 패턴을 정의하고, 정의된 패턴을 유전자 알고리즘을 이용하여 비정상적인 침입 행위를 판별한 수 있도록 새로운 패턴들을 유전자 조작을 통하여 생성하여 알려지지 않은 침입 패턴에 대해서도 침입탐지시스템에 이를 적용하여 침입을 탐지찬 수 있는 방안에 대해 연구하였다.

• Proceedings of the Korean Information Science Society Conference
• /
• 2006.10c
• /
• pp.616-620
• /
• 2006

한 해에도 수많은 해킹 사고가 발생하고 있고, 이 중에서 웹 해킹이 차지하는 비율은 급격하게 증가하고 있다. 또한 최근의 해킹 동향을 분석해 보았을 때 웹 해킹의 비율은 더욱 증가할 것이라고 예상된다. HTTP 프로토콜을 이용한 공격의 특성 상 정상행위와 비정상 행위의 구분이 어렵다. 따라서 웹 서비스에 특화된 침입탐지 시스템이 요구된다. 또한 웹 사이트 관리자는 빠른 탐지와 대응을 위해 이상 행위에 대한 신속하고 정확한 인식을 필요로 한다. 본 논문에서는 이러한 필요성을 기반으로 Location-based Visualization Tool을 제안한다. 웹 사용 현황 및 이상행위에 대해 시각적인 정보를 제공하기 위해 웹 서버의 access log를 분석하여 이상 행위를 탐지하였고, IP정보를 기반으로 지역 정보의 시각화를 구현하였다.

• Journal of Internet Computing and Services
• /
• v.9 no.6
• /
• pp.27-35
• /
• 2008

With the proliferation of wireless devices, mobile ad-hoc networking (MANETS) has become a very exciting and important technology. However, MANET is more vulnerable than wired networking. Existing security mechanisms designed for wired networks have to be redesigned in this new environment. In this paper, we discuss the problem of anomaly detection in MANET. The focus of our research is on techniques for automatically constructing anomaly detection models that are capable of detecting new or unseen attacks. We propose a new anomaly detection method for MANETs. The proposed method performs cross-feature analysis on the basis of Rough sets to capture the inter-feature correlation patterns in normal traffic. The performance of the proposed method is evaluated through a simulation. The results show that the performance of the proposed method is superior to the performance of Huang method that uses cross-feature based on the probability of feature attribute value. Accordingly, we know that the proposed method effectively detects anomalies.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2001.10b
• /
• pp.923-926
• /
• 2001

침입 탐지 기법에 있어서 finite automata 를 통해 정상 행위를 프로파일링 하는 연구들이 많이 진행되어 왔으나, 자동으로 간결한 형태의 오토마타를 생성하는 것이 매우 어려웠다. 이 논문에서는 많은 침입 탐지 기법의 데이터 소스로 사용되고 있는 시스템 콜을 이용하여 자동으로 finite automata 를 생성하고, 여기에 언어 압축 알고리즘을 이용하여 오토마타를 압축하고 일반화 시킴으로써 다양한 프로세스의 행위들을 프로파일링 하도록 하였다. 제안된 알고리즘을 통해 모델링한 후 정상 행위와 비정상 행위를 가지고 실험을 한 결과 이들 사이에는 많은 수치적인 차이가 있음을 발견하였고, 이 결과를 바탕으로 침입을 탐지하는 것도 충분히 가능함을 알 수 있었다.

• Proceedings of the Korean Information Science Society Conference
• /
• 2002.10c
• /
• pp.664-666
• /
• 2002

침입 탐지 시스템 연구에서 정상 행위와 비정상 행위를 구별하기 위한 방법으로 시스템 콜 시퀀스를 이용하는 방법들이 많이 소개되었다. 그 중에서도 정상적인 시스템 콜 시퀀스를 프로파일링 하는데 있어서 오토마타를 이용하는 방법들이 제안되었다. 그러나 정상적인 시스템 콜 시퀀스의 오토마타를 생성하는데 있어서 수동적으로 생성하는 방법이 대부분이었고, 자동적으로 생성하는 방법도 제안되었다. 본 논문에서는 시스템 콜 시퀀스에 대한 오토마타를 자동으로 생성하는 방법을 제안한다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2002.11b
• /
• pp.949-952
• /
• 2002

비정상 행위를 탐지하는 네트워크 기반 침입탐지 시스템은 다른 네트워크 환경에서도 같은 학습정확도와 탐지 성능을 보여야 한다. 그러나 학습을 통한 패턴생성 알고리즘의 특성에 따라 정확도의 불일치가 나타날 수 있으며, 이에 따른 탐지 성능 또한 네트워크 환경에 따라 다르게 보고될 수 있는 가능성을 가진다. 본 논문은 침입탐지를 위한 학습 알고리즘으로 Instance 기반의 알고리즘인 IBL(Instance Based Learning)을 선택하여 학습시간의 단축과 패턴생성에 따른 분류근거의 명확성을 고려하였으며, 학습 환경 즉, 네트워크 환경의 차이에서 나타날 수 있는 정확도의 저하를 고려하여 COBWEB 과 C4.5 로 구성된 평가 요소를 침입탐지 모델에 추가함으로써 네트워크 보안관리자에게 좀더 유연한 비정상 행위 수준 탐지결과를 보고할 수 있게 하였다.

• Journal of the Korea Institute of Information Security & Cryptology
• /
• v.10 no.4
• /
• pp.59-71
• /
• 2000

Due to the advance of computer and communication technology, intrusions or crimes using a computer have been increased rapidly while various information has been provided to users conveniently. As a results, many studies are necessary to detect the activities of intruders effectively. In this paper, a new association algorithm for the anomaly detection model is proposed in the process of generating user\`s normal patterns. It is that more recently observed behavior get more affection on the process of data mining. In addition, by clustering generated normal patterns for each use or a group of similar users, it is possible to identify the usual frequency of programs or command usage for each user or a group of uses. The performance of the proposed anomaly detection system has been tested on various system Parameters in order to identify their practical ranges for maximizing its detection rate.