• Journal of the Korea Institute of Information and Communication Engineering
• /
• v.15 no.5
• /
• pp.1066-1072
• /
• 2011

In the method to analyze the relationship in the system call orders, the normal system call orders are divided into a certain size of system call orders to generates gene and use them as the detectors. In the method to consider the system call parameters, the mean and standard deviation of the parameter lengths are used as the detectors. The attack of which system call order is normal but the parameter values are changed, such as the format string attack, cannot be detected by the method that considers only the system call orders, whereas the model that considers only the system call parameters has the drawback of high positive defect rate because of the information obtained from the interval where the attack has not been initiated, since the parameters are considered individually. To solve these problems, it is necessary to develop a more efficient learning and detecting method that groups the continuous system call orders and parameters as the approach that considers various characteristics of system call related to attacking simultaneously. In this article, we detected the anomaly of the system call orders and parameters by applying the temporal concept to the system call orders and parameters in order to improve the rate of positive defect, that is, the misjudgment of anomaly as normality. The result of the experiment where the DARPA data set was employed showed that the proposed method improved the positive defect rate by 13% in the system call order model where time was considered in comparison with that of the model where time was not considered.

• Journal of the Korea Institute of Information and Communication Engineering
• /
• v.13 no.11
• /
• pp.2341-2348
• /
• 2009

An intrusion detection technique based on host consider system call sequence or system call arguments. These two ways are suitable when system call sequence or order and length of system call arguments are out of order. However, there are two disadvantages which a false positive rate and a false negative rate are high. In this paper we propose the T-N2SCD detection model based on Time Window in order to reduce false positive rate and false negative rate. Data for using this experiment is provided from DARPA. As experimental results, the proposed model showed that the false positive rate and the false negative rate are lowest at an interval of 1000ms than at different intervals.

• Proceedings of the Korean Information Science Society Conference
• /
• 1999.10c
• /
• pp.306-308
• /
• 1999

사회분야 전반이 전산화되면서 전산시스템에 대한 효과적인 침입방지와 탐지가 중요한 문제로 대두되었다. 침입행위도 정상사용행위와 마찬가지로 전산시스템 서비스를 사용하므로 호출된 서비스의 순서로 나타난다. 본 논문에서는 정상사용행위에 대한 서비스 호출순서를 모델링 한 후 사용자의 사용패턴을 정상행위와 비교해서 비정상행위(anomaly)를 탐지하는 접근방식을 사용한다. 정상 행위 모델링에는 순서정보를 통계적으로 모델링하고 펴가하는데 널리 쓰이고 있는 HMM(Hidden Markov Model)을 사용하였다. Sun사의 BSM 모듈로 얻어진 3명 사용자의 사용로그에 대하여 본 시스템을 적용한 결과, 학습되지 않은 u2r 침입에 대해 2.95%의 false-positive 오류에서 100%의 탐지율을 보여주었다.

• Journal of the Korea Institute of Information Security & Cryptology
• /
• v.10 no.1
• /
• pp.39-52
• /
• 2000

컴퓨터망의 확대 및 컴퓨터 이용의 급격한 증가에 따른 부작용으로 컴퓨터 보안 문제가 중요하게 대두되고 있다. 이에 따라 침입자들로부터 침입을 줄이기 위한 침입탐지시스템에 관한 연구가 활발하다. 본 논문에서는 컴퓨터 면역 시스템을 바탕으로 한 새로운 IDS 모델을 제안하고, 이를 설계하고 프로토타입을 구현하는 그 타당성을 보인다. 제안한 모델에서 IDS들은 여러 컴퓨터에 분산되고, 분산된 IDS들 중 어느 하나가 특권 프로세스(Privilege process)에 의해 발생된 시스템 호출 순서 중 비정상적인 시스템 호출을 탐지한 경우 이를 다른 IDS들과 서로 동적으로 공유하여 새로운 침입에 대한 면역력을 향상시킨다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2000.04a
• /
• pp.573-576
• /
• 2000

프로그램 언어의 수행순서는 종속성으로 인해 결정된다. 병렬 수행을 위해서는 수행 단위 사이의 종속성을 제거해야 한다. 함수 간의 종속성을 발생시키는 주요 요인으로는 전역 변수가 있다. 본 논문의 자동 병렬 수행 시스템은 순차 C언어 프로그램을 병렬 수행하여 순차 C언어 프로그램과 동일한 결과를 내게 한다. 전역 변수를 위한 프레임이 프로세서 내의 지역 메모리에 할당되며 전역 변수의 최종 결정 값을 프로세서 간에 메시지로 전달하고 복사하여 전역변수의 부작용이 발생하지 않도록 한다. 또한 피호출 함수가 수행중인 호출 함수에서는 최종 결정된 전역 변수의 값을 피호출 함수로부터 받아오기까지는 전역 변수를 참조할 수 없고 봉쇄 상태가 되는데 피호출 함수가 복귀하지 않아도 전역 변수에 대해 더 이상의 값 변경이 없음을 알게 되면 곧바로 그 값을 호출 프로세서에 전달함으로써 전역 변수 참조로 인한 수행 지연을 최대한 줄이는 방법을 제안한다.

• Journal of KIISE
• /
• v.44 no.11
• /
• pp.1125-1129
• /
• 2017

LSTM(Long Short-term Memory) is a kind of RNN(Recurrent Neural Network) in which a next-state is updated by remembering the previous states. The information of calling a sequence in a malware can be defined as system call function that is called at each time. In this paper, we use calling sequences of system calls in malware codes as input for malware classification to utilize the feature remembering previous states via LSTM. We run an experiment to show that our method can classify malware and measure accuracy by changing the length of system call sequences.

• Proceedings of the Korean Institute of Navigation and Port Research Conference
• /
• 2022.11a
• /
• pp.360-361
• /
• 2022

전자 해도 정보 시스템(ECDIS: Electronic Chart and Display Infomation System)에서 항로의 기준선에서 선박이 떨어져 있는 거리인 항로 이탈 거리(XTD: Cross Track Distance)를 구하기 위해서는 선박이 변침점 간의 몇 번째 경로에 있는지 판단해야 한다. 본 논문에서는 변침점 간 경로상의 순서를 파악하기 위하여 기존의 알고리즘과 수학적으로 같으며 계산량을 줄이는 새로운 접근법을 제시하였다. 그 결과로 기존보다 삼각함수 호출 수를 75%로 줄였다.

• The KIPS Transactions:PartC
• /
• v.8C no.5
• /
• pp.507-516
• /
• 2001

In this paper, we implement sequence-based anomaly detection sensor using SOM and HMM, and analyze what is important information in system call and how a threshold is decided. The new filtering and reduction rules of SOM reduces the input size of HMM. This gives real-time processing to HMM-based anomaly detection sensor. Also, we introduced an anomaly count into the sensor. Due to lessened sensibility, a user easily understand easily the detection information and false-positive was decreased. And the active coordination of the threshold value makes the detection sensor adapt according to the system condition.

• Proceedings of the Korean Information Science Society Conference
• /
• 2000.04b
• /
• pp.238-240
• /
• 2000

침입탐지시스템은 침입탐지 기법에 따라 크게 오용탐지시스템과 비정상행위탐지시스템으로 나뉜다. 비정상 행위 탐지시스템은 정상사용행위를 모델링한 후 현재 관찰중인 행위가 정상에서 벗어나는지를 검사한다. 시스템 사용시 발생하는 각 이벤트는 동시에 여러 가지 정보를 담고있으므로 여러 각도에서 모델링될 수 있다. 따라서 여러 결과를 종합해서 판정의 안정성을 높을 수 있다. 본 논문에서는 이벤트의 시스템호출에 평가결과와 BSM감사정보 중 시스템호출관련 정보, 파일 접근관련 정보, 이 둘을 모두 고려한 정보를 통합한 평가결과를 투표방식으로 결합하여 판정하는 기법을 제안하였다. 실험결과 두 모델을 별도로 적용하는 경우보다 나아진 판정성능을 보여주었다.

• Proceedings of the Korean Society of Computer Information Conference
• /
• 2009.01a
• /
• pp.369-372
• /
• 2009

컴퓨터의 확대 및 컴퓨터 이용의 급격한 증가에 따른 부작용으로 컴퓨터 보안문제가 중요하게 대두되고 있다. 이에 따라 침입자들로부터 침입을 줄이기 위한 침입탐지시스템에 관한 연구가 활발하다. 더욱이 보안을 요구하는 시스템들의 환경이 다양하여 그에 적합한 보안정책을 수립하여 관리하기가 어려워지고 있다. 따라서 침입자들로부터 위험을 줄이기 위해 침입탐지 및 대응 위한 보안정책기반 모텔에 관한 연구가 활발하다. 본 논문은 오늘날의 정보통용용에서 침입 탐지요구사항의 복잡한 문제를 해결하기 위한 침입탐지 메카니즘의 설계 방안을 제시한다. 탐지대상을 특권프로세스가 수행할 때 발생하는 시스템 호출 순서 중 비정상적인 시스템 호출을 탐지하여 이를 분산된 각각의 침입탐지 시스템들아 서로 동적으로 공유하여 침입에 대한 대응력을 향상시키는 침입탐지시스템을 설계하고 프로토타입으로 구현하고자 한다.