• Proceedings of the Korean Information Science Society Conference
• /
• 2003.04a
• /
• pp.470-472
• /
• 2003

상용화되어 있는 대부분의 IDS는 오용 탐지 방법에 의한 것이다. 그러나 이러한 오용 탐지 방법에 의한 IDS는 침입패턴이 다양화되고 변형되기 때문에 긍정적 결함이 발생한다는 단점을 가지고 있다. 본 논문에서는 감사데이터간의 침입 관계를 가지고 침입을 탐지하기 위해 데이터 마이닝 기법을 적용하여 침입 탐지 시 발생하는 긍정적 결항을 최소화 하였다. 따라서 감사데이터 학습단계에서 변형된 침입 패턴을 예측하기 위해서 데이터 마이닝 알고리즘을 적응한다.

• Journal of Internet Computing and Services
• /
• v.22 no.3
• /
• pp.27-35
• /
• 2021

With the development of the Internet, various IT technologies such as IoT, Cloud, etc. have been developed, and various systems have been built in countries and companies. Because these systems generate and share vast amounts of data, they needed a variety of systems that could detect threats to protect the critical data contained in the system, which has been actively studied to date. Typical techniques include anomaly detection and misuse detection, and these techniques detect threats that are known or exhibit behavior different from normal. However, as IT technology advances, so do technologies that threaten systems, and these methods of detection. Advanced Persistent Threat (APT) attacks national or companies systems to steal important information and perform attacks such as system down. These threats apply previously unknown malware and attack technologies. Therefore, in this paper, we propose a hybrid intrusion detection system that combines anomaly detection and misuse detection to detect unknown threats. Two detection techniques have been applied to enable the detection of known and unknown threats, and by applying machine learning, more accurate threat detection is possible. In misuse detection, we applied Classification based on Association Rule(CBA) to generate rules for known threats, and in anomaly detection, we used One-Class SVM(OCSVM) to detect unknown threats. Experiments show that unknown threat detection accuracy is about 94%, and we confirm that unknown threats can be detected.

• Proceedings of the Korean Information Science Society Conference
• /
• 2001.10a
• /
• pp.640-642
• /
• 2001

침입 탐지 시스템의 초점이 호스트와 운영체제 탐지에서 네트워크 탐지로 옮겨가고 있고 단순만 오용 탐지 기법에서 이를 개선한 지능적인 비정상 행위 탐지 기법에 관한 연구들이 진행되고 있다. 이러한 연구들 중에는 네트워크 프로토콜의 트래픽 특성을 이용하여 비표준 포트의 사용이나 표준 포트에 대한 비표준 방법에 의한 침입을 탐지하고자 하는 노력도 있다. 본 연구에서는 실시간으로 패턴 매칭이 가능하고, 적응력이 뛰어난 신경망 알고리즘을 이용하여 네트워크 서비스들에 대한 트래픽을 수집, 특성에 따라 분석.클러스터링하고 그 결과를 바탕으로 보다 향상된 침입 탐지가 가능한 시스템을 제안한다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2009.11a
• /
• pp.603-604
• /
• 2009

무선 센서 네트워크에서 키 관리는 센서노드들 간의 안전한 통신을 위해 필요하다. 초경량, 저전력, 단거리의 통신 제약을 갖는 센서노드들은 공격자에 의해 보다 쉽게 키가 노출 될 수 있다. 특히 확률적 키 분배 방식을 사용하는 환경에서는 키가 공격자에 의해 노출 될 경우 정상적인 센서노드간의 통신에 잘못된 정보를 삽입 할 수 있어 무선 센서 네트워크의 기능에 치명적인 영향을 준다. 이때 공격자에 의해 노출되어 악용된 키를 오용키(Misused Key)라고 하며, 본 논문에서는 토큰(token)을 사용하여 기존의 방법보다 에너지 효율적인 토큰 오용키 탐지 기법을 제안한다.

• Journal of the Korea Society of Computer and Information
• /
• v.11 no.5 s.43
• /
• pp.157-164
• /
• 2006

The Recently, most of Internet attacks are zero-day types of the unknown attacks by Malware. Using already known Misuse Detection Technology is hard to cope with these attacks. Also, the existing information security technology reached the limits because of various attack's patterns over the Internet, as web based service became more affordable, web service exposed to the internet becomes main target of attack. This paper classifies the traffic type over the internet and suggests the Threat Management System(TMS) including the anomaly intrusion detection technologies which can detect and analyze the anomaly sign for each traffic type.

• Proceedings of the Korea Institutes of Information Security and Cryptology Conference
• /
• 2001.11a
• /
• pp.166-169
• /
• 2001

광범위한 인터넷의 발달은 우리의 생활을 윤택하게 해주었지만, 불법적인 침입, 자료 유출 등 범죄도 늘었다. 이에 따라 불법적인 침입을 막는 침입탐지기술도 많이 발전하게 되었다. 침입탐지기술은 크게 오용탐지방법과 비정상적인 행위 탐지 방법으로 나눌 수 있다. 본 논문에서는 비정상적인 행위 탐지 방법의 긍정적 결함을 줄이기 위한 방법으로 유사도 측정 알고리즘을 사용한 방법을 제시하고자 한다.

• Proceedings of the Korean Information Science Society Conference
• /
• 2004.04a
• /
• pp.829-831
• /
• 2004

컴퓨터 네트워크의 확대 및 인터넷 이용의 급속한 증가에 따라 컴퓨터 보안문제가 중요하게 되었다. 따라서 침입자들로부터 위험을 줄이기 위해 침입탐지 시스템에 관한 연구가 진행되고 있다. 본 논문에서는 네트워크 기반의 이상 침입탐지를 위하여 뉴로-퍼지 기법을 적용하고자 한다. 불확실성을 처리하는 퍼지 이론을 이상 침입 탐지영역에 도입하여 적용함으로써 오용 탐지의 한계성을 극복하여 알려지지 않은 침입 탐지를 하고자 한다.

• Proceedings of the Korean Information Science Society Conference
• /
• 2005.11a
• /
• pp.85-87
• /
• 2005

프로그래밍 기술과 인터넷 통신의 발달로 인하여 보안성이 검증되지 않은 다양한 프로그램들이 생성되고 쉽게 유포되어 보안 취약성으로 인해 야기되는 다양한 문제의 심각성이 더해가고 있다. 따라서 사용자가 보안상 안전하게 사용할 수 있는 소프트웨어 인증절차가 필수적으로 요구되고 있는데, 이를 해결하기 위해 소프트웨어 안전성 평가에 대한 연구가 진행 중이지만, 기존의 방법들은 특정 영역에 한정적이어서 일반적인 소프트웨어의 보안성 평가(security evaluation) 방법으로써 부적합하다. 뿐만 아니라 기존의 시스템들은 단순 패턴매칭에 기반을 두고 있어 오용탐지가 크고 정확성이 떨어진다는 문제점을 가지고 있다. 따라서 본 논문에서는 이러한 문제점들을 해결하기 위해 악성프로그램 코드의 구조와 흐름을 분석하여 규칙으로 정의하고 그 규칙에 따라 검사 대상 프로그램 코드에서 악성코드와 취약점 흐름을 탐지하는 규칙 기반의 소프트웨어 보안성 검증 시스템 프로토타입을 제안한다. 제안한 검증 시스템의 프로토타입은 악성코드와 소프트웨어 취약성을 동시에 탐지하여 보안성을 평가함으로써 범용적인 소프트웨어 평가에 활용 가능할 것이다.

• Proceedings of the Korean Information Science Society Conference
• /
• 2002.10c
• /
• pp.517-519
• /
• 2002

침입탐지 시스템은 정밀성자 적응성, 그리고 확장성을 필요로 한다. 이와 같은 조건을 포함하면서 복잡한 Network 환경에서 중요하고 기밀성이 유지되어야 할 리소스를 보호하기 위해, 우리는 더욱 구조적이며 지능적인 IDS(Intrusion Detection Systems) 개발의 필요성이 요구되고 있다. 본 연구는 데이터 마이닝(Data mining)을 통해 입 패턴, 즉 침입 규칙(Rules)을 생성한다. 데이터 마이닝 기법 중 분류(Classification)에 초점을 맞추어 분석과 실험을 하였으며, 사용된 데이터는 KDD데이터이다. 이 데이터를 중심으로 침입 규칙을 생성하였다. 규칙생성에는 유전자알고리즘(Genetic Algorithm : GAs)을 적용하였다. 즉, 오용탐지(Misuse Detection) 기법을 실험하였으며, 생성된 규칙은 침입데이터를 대표하는 규칙으로 비정상 사용자와 정상 사용자를 분류하게 된다. 규칙은 "Time Based Traffic Model", "Host Based Traffic Model", "Content Model" 이 세 가지 모듈에서 각각 상이한 침입 규칙을 생성하게 된다. 본 시스템에서 도출된 침입 규칙은 430M Test data set에서 테스트한 결과 평균 약94.3%의 성능 평가 결과를 얻어 만족할 만한 성과를 보였다.의 성능 평가 결과를 얻어 만족할 만한 성과를 보였다.

• Journal of the Korea Institute of Information Security & Cryptology
• /
• v.12 no.5
• /
• pp.63-73
• /
• 2002

Recently, intrusions into a computer have been increased rapidly and also various intrusion methods have been developed. As a result. many researches have been performed to detect the activities of intruders effectively In this paper, a new association mining algorithm for anomaly network intrusion detection is proposed. For this purpose, the proposed algorithm is composed of two different phases: intra-packet association and inter-packet association. The performance of the proposed anomaly detection system is evaluated based on several experiment according to various system parameters in order to identify their practical ranges for maximizing its detection rate. As a result, an anomaly can be detected effectively.