• 한국정보과학회:학술대회논문집
• /
• 한국정보과학회 2001년도 가을 학술발표논문집 Vol.28 No.2 (1)
• /
• pp.664-666
• /
• 2001

침입탐지의 종류를 탐지 방법 측면에서 구분해보면 크게 이상탐지와 오용탐지로 나뉘어진다. 침입탐지의 주된 목적은 탐지오류를 줄이고 정확한 침입을 판가름하는데 있다. 그러나 기존의 이상탐지와 오용탐지 기법은 그 방법론상에 이미 판단오류 가능성을 내포하고 있다. 이상탐지는 정상적인 사용에 대한 템플릿을 기초로 하므로 불규칙적인 사용에 대처할 수 없고, 오용탐지는 침입 시나리오라는 템플릿에 기초하므로 알려지지 않은 침입에 무방비 상태인 문제가 있다. 침입의 주요 목적은 관리자의 권한을 얻는 것이며 그 상태에서 쉘을 얻은 후 원하는 바를 행하는 데 있을 것이다. 그러므로 그 상태를 얻으려는 프로세스와 추이와 결과를 모니터링하여 대처하면 호스트기반 침입의 근본적인 해결책이 될 수 있다. 그러므로 본 연구에서는 프로세스의 상태를 모니터링함으로써 컴퓨터시스템의 침입을 탐지하는 새로운 기술에 대해 제안하고 설명한다. 프로세스의 상태는 일반상태, 특권상태 관리자상태 등으로 구분되며, 시스템에 의해 부여된 실사용자ID, 유효ID, 실그룹ID, 유효그룹ID를 점검함으로써 이루어진다. 본 연구에서 모니터링에는 BSM을 사용하며, 호스트기반에서 사용한 프로세스의 상태 모니터링에 의한 침입탐지시스템 구현한다.

• 한국정보과학회:학술대회논문집
• /
• 한국정보과학회 1999년도 가을 학술발표논문집 Vol.26 No.2 (3)
• /
• pp.318-320
• /
• 1999

정보시스템의 보호를 위한 침입탐지의 방법으로 오용탐지와 비정상행위 탐지방법이 있다. 오용탐지의 경우는 알려진 침입 패턴을 이용하는 것으로 알려진 침입에 대해서는 아주 높은 탐지율을 나타내지만 알려지지 않은 침입이나 변형패턴에 대해서는 탐지할 수 없다는 단점이 있다. 반면 비정상행위 탐지는 정상행위 모델링을 통해 비정상패턴을 탐지하는 것으로 알려지지 않은 패턴에 대해서도 탐지할 수 있는 장점이 있는데 국내외적으로 아직까지 널리 연구되어 있지 않다. 본 논문에서는 BSM으로부터 얻은 다양한 정보를 추출하고 이러한 정보를 자기조직화 신경망을 이용하여 축약함으로써 고정된 크기의 순서정보로 변환하는 방법을 제안한다. 이렇게 생성된 고정크기의 순서정보는 비정상행위 탐지에 효과적으로 사용될 수 있을 것이다.

• 한국정보보호학회:학술대회논문집
• /
• 한국정보보호학회 2003년도 동계학술대회
• /
• pp.179-184
• /
• 2003

컴퓨터를 통한 침입을 탐지하기 위해서 많은 연구들이 오용탐지 기법을 개발하였다. 최근에는 오용 탐지 기법을 개선하기 위해서 비정상행위 탐지 기법에 관련된 연구들이 진행중이다. 본 논문에서는 클러스터링 기법을 응용한 새로운 네트워크 비정상행위 탐지 기법을 제안한다. 이를 위해서 정상 행위를 다양한 각도에서 분석될 수 있도록 네트워크 로그로부터 여러 특징들을 추출하고 각 특징에 대해서 클러스터링 알고리즘을 이용하여 정상행위 패턴을 생성한다. 제안된 방법에서는 정상행위 패턴 즉 클러스터를 축약된 프로파일로 생성하는 방법을 제시하며 제안된 방법의 성능을 평가하기 위해서 DARPA에서 수집된 네트워크 로그를 이용하였다.

• 한국산업정보학회논문지
• /
• 제14권3호
• /
• pp.22-29
• /
• 2009

컴퓨터를 통해서 들어오는 다양한 형태의 침입을 효과적으로 탐지하기 위해서 이전에는 오용탐지 기법이 주로 이용되어 왔다. 오용탐지 기법은 이전에 알려지지 않은 침입 방법들을 효과적으로 탐지할 수 있기 때문이다. 하지만, 해당 기법에서는 정상적인 네트워크 접속 형태가 몇 가지 패턴으로 고정되어 있다고 가정한다. 이러한 이유 때문에 새로운 정상적인 네트워크 연결이 비정상행위로 탐지되기도 한다. 본 논문에서는 연관 마이닝 기법을 활용한 침입 탐지 방법을 제안한다. 논문에서 제안되는 방법은 패킷내 마이닝 단계와 패킷간 마이닝 두가지 단계로 구성된다. 제안된 방법의 성능은 대표적인 네트워크 침입 탐지 방법인 JAM과의 비교 실험을 통하여 평가하였다.

• 융합보안논문지
• /
• 제11권1호
• /
• pp.57-69
• /
• 2011

국방통합보안관제체계 내에는 자체 개발된 시스템을 포함하여 다양한 오용탐지 기반의 상용 침입탐지시스템들이 운용되고 있다. 오용탐지 방식에 기반해서 운용되는 침입탐지시스템의 경우 침입탐지 패턴의 업데이트 주기나 질적수준에 따라 서로 상이한 능력을 가지며, 이러한 상이성은 침입탐지시스템들 간의 통합과 협동탐지를 더욱 어렵게 만든다. 이에 본 논문에서는 국방통합보안관제체계 내에서 운용되는 이기종 침입탐지시스템들 간의 통합과 협업탐지를 위한 기반을 마련하기 위해 이기종 침입탐지시스템들이 새롭게 생성한 탐지규칙을 서로 전파하고 적용할 수 있는 기법을 제안하고, 구현 및 실험을 통해 제안된 탐지규칙 교환 기법의 국방환경 가능성을 입증한다.

• 정보처리학회논문지C
• /
• 제10C권5호
• /
• pp.525-532
• /
• 2003

이 논문은 모바일 에이전트를 이용해서 보안규칙을 관리하는 방안을 제시하였다. 침입탐지 시스템(IDS : Intrusion Detection System)은 침입탐지 모델을 기반으로 비정상적인 행위 탐지(anomaly detection)와 오용 침입탐지(misuse detection)로 구분할 수 있다. 오용 침입탐지(misuse detection)는 알려진 공격 방법과 시스템의 취약점들을 이용한 공격들은 탐지가 가능하지만, 알려지지 않은 새로운 공격을 탐지하지 못한다는 단점을 가지고 있다. 이에 본 논문에서는, 계속적으로 인터넷 상을 이동하는 모바일 에이전트를 이용해서 안전하게 보안규칙을 관리하는 방안을 오용탐지의 단점을 해결하는 방안으로 제시하였다. 이러한 모바일 에이전트 메커니즘을 이용해서 보안규칙을 관리하는 것은 침입탐지 분야에서는 새로운 시도이며, 모바일 에이전트를 이용해서 보안규칙을 관리하는 방법의 유효성을 증명하기 위해서 기존의 방식과 작업부하 데이터(workload data)를 수식적으로 비교하였고, NS-2(Network Simulator)를 이용하여 시간에 대하여 시뮬레이션을 수행하였다.

• 한국지능시스템학회논문지
• /
• 제12권6호
• /
• pp.531-536
• /
• 2002

본 연구는 유전자 알고리즘을 IDS에 적용된 오용 탐지 기법을 처음으로 제안하고 구현한 점에서 의미가 있다. 세계적인 대회인 KBD 콘테스트의 데이터를 사용하여 실험하였으며, 그에 따른 가능한 한 같은 환경 하에서 실험을 실시하였다. 실험은 레코드집합을 하나의 유전자로, 즉 하나의 공격패턴으로 간주하고 유전자 알고리즘을 활용하여 진화 시켜 침입 패턴,즉 침입 규칙(Rules)을 생성한다. 데이터 마이닝 기법중 분류(Classification)에 초점을 맞추어 분석과 실험을 하였다. 이 데이터를 중심으로 침입 패턴을 생성하였다. 즉, 오용탐지(Misuse Detection) 기법을 실험하였으며, 생성된 규칙은 침입데이터를 대표하는 규칙로 비정상 사용자와 정상 사용자를 분류하게 된다. 규칙은 "Time Based Traffic Model", "Host Based Traffic Model", "Content Model" 이 세가지 모듈에서 각각 상이한 침입 규칙을 생성하게 된다. 규칙 생성의 지속적인 업데이트가 힘든 오용탐지 기법에 지속적으로 성장하며 변화해 가는 규칙을 자동적으로 생성하는 시스템으로서, 생성된 규칙은 430M Test data 집합에서 테스트한 결과 평균 약 94.3%의 탐지율을 보였다. 테스트한 결과 평균 약 94.3%의 탐지율을 보였다.

• 중소기업융합학회논문지
• /
• 제2권2호
• /
• pp.1-6
• /
• 2012

본 논문에서는 침입탐지 방법 중 오용탐지모델에서 오용탐지율을 향상시키기 위하여 인간의 면역 시스템을 적용한 탐지자 생성 모델을 제안 한다. DARPA에서 제공된 sendmail 데이터에 대하여 10CV 방법을 이용하였다. 정상적인 시스템 호출을 비정상적인 시스템 호출로 판단하거나 비정상 시스템 호출을 정상적인 시스템 호출로 판단하는 오용 탐지율을 실험하고 분석하였다. 실험에서 임의의 비정상적인 시스템 호출만으로 생성된 탐지자와 임시 탐지자 중에서 정상적인 시스템 호출을 '비정상'이라고 판단하거나 비정상적인 시스템 호출을 '정상'이라고 판단하는 임시 탐지자를 제거한 탐지자를 생성하여 실험하였다. 실험에서 임의의 비정상 시스템 호출만을 탐지자로 선택한 오용탐지율보다 면역 시스템을 적용한 탐지자의 오용 탐지율이 0.3% 향상되었다.

• 인터넷정보학회논문지
• /
• 제7권3호
• /
• pp.119-132
• /
• 2006

지금까지 잘 알려진 네트워크 기반 보안 기법들은 공격에 수동적이고 우회한 공격이 가능하다는 취약점을 가지고 있어 인라인(in_line) 모드의 공격에 능동적 대응이 가능한 오용탐지 기반의 침입방지시스템의 출현이 불가피하다. 하지만 오용탐지 기반의 침입방지시스템은 탐지 규칙에 비례하여 과도한 오경보(False Alarm)를 발생시켜 정상적인 네트워크 흐름을 방해하는 잘못된 대응으로 이어질 수 있어 기존 침입탐지시스템보다 더 위험한 문제점을 갖고 있으며, 새로운 변형 공격에 대한 탐지가 미흡하다는 단점이 있다. 본 논문에서는 이러한 문제를 보완하기 위해 오용탐지 기반의 침입방지시스템과 Anomaly System 중의 하나인 서포트 벡터 머신(Support Vector Machines; 이하 SVM)을 이용한 침입방지시스템 기술을 제안한다. 침입 방지시스템의 탐지 패턴을 SVM을 이용하여 진성경보만을 처리하는 기법으로 실험결과 기존 침입방지시스템과 비교하여, 약 20% 개선된 성능결과를 보였으며, 제안한 침입방지시스템 기법을 통하여 오탐지를 최소화하고 새로운 변종 공격에 대해서도 효과적으로 탐지 가능함을 보였다.

• 한국정보통신학회논문지
• /
• 제7권5호
• /
• pp.978-985
• /
• 2003

시스템에서 사용 패턴의 다양화 때문에 비정상 행위 탐지 IDS를 구현하는 것은 오용탐지 IDS를 구현하는 것보다 많은 어려움이 있다. 따라서 상용화되어 있는 대부분의 IDS는 오용 탐지 방법에 의한 것이다. 그러나 이러한 오용 탐지 방법에 의한 IDS는 변형된 침입 패턴이 발생할 경우 탐지해내 지 못한다는 단점을 가지고 있다. 본 논문에서는 감사데이터간의 침입 관계를 가지고 침입을 탐지하기 위해 데이터 마이닝 기법을 적용한다. 분산되어 있는 IDS에서의 에이전트는 시스템을 감시할뿐만 아니라 로그데이터까지 수집할 수 있다. 침입탐지시스템의 핵심인 탐지정확도를 높이기 위해 긍정적 결함이 최소화 되어야 한다. 따라서 감사데이터 학습단계에서 변형된 침입 패턴을 예측하기 위해서 데이터 마이닝 알고리즘을 적용한다.