• Journal of the Korea Convergence Society
• /
• v.9 no.11
• /
• pp.15-21
• /
• 2018

In this study, we try to detect anomalies on the network intrusion detection system by learning only one class. We use KDD CUP 1999 dataset, an intrusion detection dataset, which is used to evaluate classification performance. One class classification is one of unsupervised learning methods that classifies attack class by learning only normal class. When using unsupervised learning, it difficult to achieve relatively high classification efficiency because it does not use negative instances for learning. However, unsupervised learning has the advantage for classifying unlabeled data. In this study, we use one class classifiers based on support vector machines and density estimation to detect new unknown attacks. The test using the classifier based on density estimation has shown relatively better performance and has a detection rate of about 96% while maintaining a low FPR for the new attacks.

• The KIPS Transactions:PartC
• /
• v.19C no.3
• /
• pp.185-190
• /
• 2012

The recent trends in malwares show the most widely used for the distribution of malwares that the targeted computer is infected while the user is accessing to the website, without being aware of the fact that, in which the harmful codes are concealed. In this thesis, we propose a new malicious web page detection system based on a real time analysis of normal/abnormal behaviors in client-side. By means of this new approach, it is not only the limitation of conventional methods can be overcome, but also the risk of infection from malwares is mitigated.

• Proceedings of the Korea Institutes of Information Security and Cryptology Conference
• /
• 2002.11a
• /
• pp.144-146
• /
• 2002

현재 침입탐지 시스템은 인터넷의 확장과 더불어 네트워크 보안을 보장하기 위한 광범위한 수단으로 이용되고 있다. 이러한 탐지 시스템중 신경망의 적용은 분산된 네트워크와 다양한 공격환경하의 오용탐지와 비정상행위 탐지에 좋은 응용이 되고 있다. 본 연구에서는 RBF-신경망을 이용한 침입탐지 시스템이 가지고 있는 단점 중 하나인 학습데이터의 공격과 정상의 비율에 따라 탐지 율의 차이가 큰 것에 착안, 보다 자동화되고 안정된 학습을 위한 데이터 결정 알고리즘을 제안한다.

• 한국IT서비스학회:학술대회논문집
• /
• 2009.11a
• /
• pp.511-515
• /
• 2009

최근 정보기술의 발달과 함께 지속적으로 다양해지고 빨라지는 침입 방법에 대처하기 위해 정보를 보호하기 위한 새로운 방법이 요구되고 있는 실정이다. 이를 해결하기 위해 제안된 방법 중 하나가 네트워크 패킷 데이터에 대한 실시간 데이터 스트림 마이닝 알고리즘 기반의 비정상행위 탐지 기법이다. 이는 현재 발생하고 있는 패턴이 기존 패턴과 다를 경우 비정상행위로 간주되고 사용자에게 알려주는 방법으로, 지금까지 없었던 새로운 형태의 침입에도 대처할 수 있는 능동적인 방어법이라고 할 수 있다. 그러나 이 방법에서 네트워크 패킷 데이터 정보만을 통해 얻어낼 수 있는 정보에는 한계가 있다. 따라서, 본 논문에서는 보다 높은 정확도의 비정상행위 판정을 위한 다양한 환경의 로그들을 추출하여 처리에 적합한 형태로 변환하는 전처리 시스템을 제안한다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2003.05c
• /
• pp.2057-2060
• /
• 2003

현재 구현중인 침입탐지 시스템인 Secure Fortress에 대해 그 특성과 구조에 대해서 살펴보고 시스템의 개선을 위해 새로운 침입탐지 기술인 유전알고리즘, 신경망, 면역시스템을 조사 및 분석하여 연구 동향이나 발전 가능성 등의 요소에 비추어 개선 방향을 정한다. 유전 알고리즘은 다윈의 자연선택설을 바탕으로 선택, 재생 및 교배, 돌연변이의 과정을 통해 솔루션을 도출하는 방식이며 면역시스템은 생물학적인 면역 체계에서처럼 시스템이 스스로를 보호한다는 개념에서 출발하여 유닉스의 시스템 콜을 이용하여 시스템 프로세스 중심의 지식베이스를 구성하고 침입행위를 규정한다. 또한 신경망은 감시대상이 되는 요소에 따라 통계정보를 등급화 하는 일련의 과정을 통해 비정상적인 행위를 초기 학습 후 시스템에 순응하는 기술을 사용하여 고정적인 규칙에서 탈피한 여러 가지 장점을 갖는다 차후에는 이 알고리즘의 도입을 위한 서비스별 침입대상 요소 선정 등의 준비 작업이 필요하다.

• Journal of Internet Computing and Services
• /
• v.21 no.6
• /
• pp.57-69
• /
• 2020

As more people share their opinions in online communities, such as Internet portals and social networking services, more opinions are manipulated for the benefit of particular individuals and groups. In particular, when manipulations occur for political purposes, they influence election results as well as government policies and the quality of life. This type of manipulation has targeted the general public, and their analysis and detection has also focused on such manipulation. However, to more efficiently spread propaganda, recent manipulations have targeted common interest groups(e.g., a group of those interested in real estate) and propagated information whose content and style are customized to those groups. This work characterizes such manipulations on common interest groups and proposes method to detect manipulations. To this end, we collected and analyzed opinions posted on 10 common interest groups before and after an election. As a result, we found that manipulations on common interest groups indeed occurred and were gradually increasing toward the election date. We also proposed a detection system that examines individual opinions, their authors, and their collaborators. Using the collected opinions, we demonstrated that the proposed system can accurately classify more than 90% of manipulated opinions and that many of these opinions were posted by multiple collaborators. We believe that regular audits of opinions using the proposed system can quickly isolate manipulations and decrease their impact. Moreover, the proposed features can be used to identify manipulations in domains other than politics.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2001.04a
• /
• pp.425-428
• /
• 2001

알려지지 않은 악성 코드의 수행을 막는 방법으로 프로그램의 실행 환경을 제한하는 '샌드박스' 기법이 많이 쓰여져 왔다. 코드의 비정상 행위를 탐지하는 이 방식은 얼마나 다양한 샌드박스들을 두는가에 따라 적용성(configurability)과 편리성(ease of use) 간의 양면성 (trade-off)을 가진다. 기존의 MAPbox는 이 두 가지를 동시에 만족시키기 위해 프로그램의 종류별로 샌드박스를 두는 클래스별 샌드박스 적용 기법을 사용한다[3]. 그러나, 이 방법은 정적으로 클래스들이 결정되므로 적용성에 한계가 있다. 본 논문에서는 MAPbox의 개념에 동적 클래스 생성 기능을 추가함으로써 적용성을 높이는 기법을 소개하고 실제로 구현한다. MAPbox에 비해 적용성이 높아진 예로 MAPbox에서는 정상행위이지만 비정상행위로 판단되는 경우가 제안된 기법을 통해 올바르게 판단됨을 보인다.

• Journal of the Korea Institute of Information and Communication Engineering
• /
• v.23 no.10
• /
• pp.1311-1319
• /
• 2019

Currently, the web environment is a commonly used area for sharing information and conducting business. It is becoming an attack point for external hacking targeting on personal information leakage or system failure. Conventional signature-based detection is used in cyber threat but signature-based detection has a limitation that it is difficult to detect the pattern when it is changed like polymorphism. In particular, injection attack is known to the most critical security risks based on web vulnerabilities and various variants are possible at any time. In this paper, we propose a novelty detection technique to detect abnormal state that deviates from the normal state on web-server log dataset(WSLD). The proposed method is a machine learning-based technique to detect a minor anomalous data that tends to be different from a large number of normal data after replacing strings in web-server log dataset with vectors using machine learning-based embedding algorithm.

• Proceedings of the Korean Information Science Society Conference
• /
• 2005.11a
• /
• pp.130-132
• /
• 2005

초고속 네트워크의 폭발적인 확산과 함께 네트워크 침입 사례 또한 증가하고 있다. 이를 검출하기 위한 방안으로 침입 탐지 시스템에 대한 관심과 연구 또한 증가하고 있다. 네트워크 침입을 탐지위한 방법으로 기존의 알려진 공격을 찾는 오용 탐지와 비정상적인 행위를 탐지하는 방법이 존재한다. 본 논문에서는 이를 혼합한 하이브리드 형태의 새로운 침입 탐지 시스템을 제안한다. 기존의 혼합된 방식과는 다르게 네트워크 데이터의 모델링과 탐지를 위해 가우시안 혼합 모델을 사용한다. 가우시안 혼합 모델에 기반한 침입 탐지 시스템의 성능을 평가하기 위해 DARPA'99 데이터에 적용하여 실험하였다. 실험 결과 정상과 공격은 확연히 구분되는 결과를 나타내었으며, 공격 간의 분류도 상당 수 가능하였다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2022.05a
• /
• pp.33-36
• /
• 2022

이벤트 로그(Event Log)는 윈도우 운영체제에서 시스템 로그를 기록하는 형식으로 시스템 운영에 대한 정보를 체계적으로 관리한다. 이벤트는 시스템 자체 또는 사용자의 특정 행위로 인해 발생할 수 있고, 그러한 이벤트 로그는 시스템의 시작과 종료뿐만 아니라 기업 보안 감사, 악성코드 탐지 등 행위의 근거로 사용될 수 있다. 본 논문에서는 PC 종료 관련 실험을 통해 이벤트 로그와 ID를 분석하였다. 분석 결과를 통해 PC의 정상 및 비정상 종료 여부를 판단하여, 현장 압수·수색 시 해당 저장매체에 대해 선별압수·매체압수의 해당 여부 식별이 가능하다. 본 연구는 현장수사관이 디지털증거 압수·수색 시 절차적 적법성과 증거능력 확보의 근거 활용에 기여할 수 있다.