• 한국인터넷방송통신학회논문지
• /
• 제20권3호
• /
• pp.1-7
• /
• 2020

증가하는 사이버공격에 대응하기 위하여 머신러닝을 적용한 자동화된 침입탐지기술이 연구되고 있다. 최근 연구결과에 따르면, 순환형 학습모델을 적용한 침입탐지기술이 높은 탐지성능을 보여주는 것으로 확인되었다. 하지만 단순한 순환형 모델을 적용하는 것은 통신이 중첩된 환경일수록 연관된 통신의 특성을 반영하기 어려워 탐지성능이 저하될 수 있다. 본 논문에서는 이 같은 문제점을 해결하고자 세션관리모듈을 설계하여 LSTM(Long Short-Term Memory) 순환형 모델에 적용하였다. 실험을 위하여 CSE-CIC-IDS 2018 데이터 셋을 사용하였으며, 정상통신비율을 증가시켜 악성통신의 연관성을 낮추었다. 실험결과 통신연관성을 파악하기 힘든 환경에서도 제안하는 모델은 높은 탐지성능을 유지할 수 있음을 확인하였다.

• 디지털융복합연구
• /
• 제16권5호
• /
• pp.399-406
• /
• 2018

인공지능을 이용한 침입탐지 연구는 KDDCup99 데이터 세트를 사용하여 많은 연구가 이루어졌다. 이전 연구에서 SMO(SVM)알고리즘의 성능이 우수하다고 알려져 있다. 하지만 훈련에 사용되지 않은 새로운 침입유형의 침입탐지연구는 미비하다. 본 논문에서는 웨카(weka)의 SMO와 KDDCup99 훈련 데이터 세트인 kddcup.data.gz의 인스턴스를 이용하여 모델을 생성하였다. corrected.gz 파일의 인스턴스 중 기존 침입(292,300개)과 새로운 침입(18,729개)을 테스트하였다. 일반적으로 훈련에 사용되지 않은 침입 라벨은 테스트 되지 않기 때문에 새로운 침입라벨을 normal.로 변경하여 테스트하였다. 새로운 침입 18,729개의 인스턴스 중 1,827개는 침입으로 분류하였다. 새로운 침입으로 분류한 1,827개의 인스턴스는 buffer_overflow. 3개, neptune. 392개, portsweep. 164개, ipsweep. 9개, back. 511개, imap. 1개, satan. 개, 645 개, nmap. 102개로 분류되었다.

• 한국정보보호학회:학술대회논문집
• /
• 한국정보보호학회 2001년도 종합학술발표회논문집
• /
• pp.348-352
• /
• 2001

본 논문은 다양한 침입행위를 탐지하고 보안시스템의 효율적 관리를 보장하는 국방전산망과 같은 대규모 네트워크 환경에 적합한 계층적 구조의 통합보안관리시스템 모델에 대한 연구이다. 전산망 위협요소 및 공격유형에 따른 취약점을 분석하여 필요한 전산망 보호기술을 판단하고 침입차단/탐지시스템, 안티바이러스 시스템, 취약점분석 시스템 등의 보안시스템과 상호연동 모델을 분석하여, 도출된 요구사항을 기반으로 대규모 조직에 적합한 계층구조의 통합보안관리시스템의 구축 방안을 제시하였다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2002년도 추계학술발표논문집 (중)
• /
• pp.869-872
• /
• 2002

네트워크 기반 침입탐지시스템은 연속적으로 발생하는 패킷의 무손실 축소와, 패킷으로 정상 또는 비정상 행위패턴을 정확히 모델링한 모델 생성이 전체성능을 판단하는 중요한 요소가 된다. 네트워크 기반 비정상행위 판정 침입탐지시스템에서는 이러한 탐지모델 구축을 위해 주로 감독학습 알고리즘을 사용한다. 본 논문은 탐지모델 구축에 사용하는 감독 학습 방식이 가지는 문제점을 지적하고, 그에 대한 대안으로 비감독 학습방식의 학습알고리즘을 제안한다. 감독 학습을 사용하여 탐지모델을 구축하기 위해서는 정상행위의 패킷을 취합해야 하는 사전 부담이 있는 반면에 비감독 학습을 사용하게 되면 이러한 사전작업 없이 탐지모델을 구축할 수 있다. 본 논문에서는 비감독학습 알고리즘을 비교 분석하기 위해서 COBWEB, k-means, Autoclass 알고리즘을 사용했으며, 성능을 평가하기 위해서 비정상행위도(Abnormal Behavior Level)를 계산하여 에러율을 구하였다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2007년도 추계학술발표대회
• /
• pp.1172-1173
• /
• 2007

웹 어플리케이션의 프로그래밍 오류를 이용한 침입이 대부분의 공격 수단으로 이용되고 있다. 본 논문에서는 웹 어플리케이션의 동작으로 인한 취약점을 분석 후 기계학습 기법을 이용하여 웹 해킹공격 패턴을 비교, 분석하며 새로운 공격시도를 학습하는 지능형 침입 탐지 시스템 모델을 제안한다.

• 한국정보과학회논문지:데이타베이스
• /
• 제34권6호
• /
• pp.473-482
• /
• 2007

네트워크 기반의 침입탐지시스템에서는 수집된 패킷데이타의 분석을 통해 침입인지 정상행위 인지를 판단하여 경보를 발생 시키며 이런 경보데이타의 양은 기하급수적으로 증가하고 있다. 보안관리자는 이러한 대량의 경보데이타들을 분석하고 통합 관리하여 네트워크 보안레벨을 진단하거나 시간에 따른 적절한 대응을 하는데 유용하게 사용하여야 한다. 그러나 오경보의 비율이 너무 높아 경보 데이터들간의 상관관계 분석이나 고수준의 의미 분석에 어려움이 많으므로 분석결과에 대한 신뢰성이나 분석의 효율성이 낮아지는 문제점을 가진다. 이 논문에서는 데이타 마이닝의 분류 기법을 적용하여 오경보율을 최소화하는 방법을 제안한다. 결정트리기반의 분류 기법을 오경보 분류 모델로 적용하여 오경보들 중 실제는 공격이 아님에도 불구하고 공격이라 판단된 오경보를 정상으로 분류할 수 있는 경보 데이타 분류 모델을 설계하고 구현한다. 구현된 경보데이타 분류 모델은 오경보율을 최소화하므로 경보데이타의 분석 및 통합을 통해 경보메시지의 축약 및 침입탐지시스템의 탐지율을 높이는데 활용될 수 있다.

• 인터넷정보학회논문지
• /
• 제2권4호
• /
• pp.41-53
• /
• 2001

고가용 E-Business 모델을 위해 구축된 다중 분산 웹 클러스터 모델은 구조적 특성상 내부 시스템 노드들이 노출되어 있으며, 불법적인 3자에 의한 고의적인 방해와 공격으로 정상적인 작업수행이 불가능할 가능성을 지니고 있다. 따라서 구성된 시스템 노드들을 보호하고 불법적인 사용자로부터의 정보유출과 부당한 서비스 요구를 효과적으로 대응할 수 있는 보안 시스템이 필요하다. 제안한 분산 침입 탐지 시스템은 SC-Server의 공유메모리를 기반으로 SC-Agent간의 유기적인 제어를 통하여 개방된 네트워크 상에 분산되어 있는 시스템 노드에 대한 불법적인 요구나 자원 접근을 탐지하는 기술이다. 분산 침입 탐지시스템은 불법적인 침입을 탐지하기 위하여 일차적으로 Detection Agent를 이용한 작업요구 패킷의 검사를 수행하며, 이후 작업이 진행되었을 때 Monitoring Agent를 통하여 작업과정을 관찰하며 허용되지 않는 자원의 접근 및 요구가 발생하였을 때, 다른 시스템 노드와의 긴밀한 협조작업을 통해 침입여부를 판단한다.

• 융합보안논문지
• /
• 제22권3호
• /
• pp.101-110
• /
• 2022

다양한 분야에서 인공지능을 활용한 사례가 증가하면서 침입탐지 분야 또한 다양한 이슈를 인공지능을 통해 해결하려는 시도가 증가하고 있다. 하지만, 머신러닝을 통한 예측된 결과에 관한 이유를 설명하거나 추적할 수 없는 블랙박스 기반이 대부분으로 이를 활용해야 하는 보안 전문가에게 어려움을 주고 있다. 이러한 문제를 해결하고자 다양한 분야에서 머신러닝의 결정을 해석하고 이해하는데 도움이 되는 설명 가능한 AI(XAI)에 대한 연구가 증가하고 있다. 이에 본 논문에서는 머신러닝 기반의 침입탐지 예측 결과에 대한 신뢰성을 강화하기 위한 설명 가능한 AI를 제안한다. 먼저, XGBoost를 통해 침입탐지 모델을 구현하고, SHAP을 활용하여 모델에 대한 설명을 구현한다. 그리고 기존의 피처 중요도와 SHAP을 활용한 결과를 비교 분석하여 보안 전문가가 결정을 수행하는데 신뢰성을 제공한다. 본 실험을 위해 PKDD2007 데이터셋을 사용하였으며 기존의 피처 중요도와 SHAP Value에 대한 연관성을 분석하였으며, 이를 통해 SHAP 기반의 설명 가능한 AI가 보안 전문가들에게 침입탐지 모델의 예측 결과에 대한 신뢰성을 주는데 타당함을 검증하였다.

• 한국콘텐츠학회논문지
• /
• 제3권4호
• /
• pp.38-47
• /
• 2003

분산 문제 해결 방법은 문제 해결 능력을 갖는 knowledge-sources(KS'S)들이 분산되지만 느슨한 연결을 유지하며 서로 협력하여 문제를 해결하는 수단을 제공한다. 계약망 프로토콜(Contract Net Protocol)은 이러한 분산 문제 해결 분야에서 KS 간의 통신과 제어를 위해 제안된 방법이다. 역할의 분담은 협상 과정에 의해서 결정이 되며 협상의 결과 주어진 역할을 수행하게 된다. 본 논문에서는 분산 침입 탐지 시스템 (Distributed Intrusion Detection System)의 침입 성능을 향상시키며, 침입 차단 시스템(firewall)과의 통신을 위해서 계약망프로토콜을 사용하여 연동하는 방법을 소개한다. IDS와 firewall의 모델을 계층적으로 구성하기 위해서 DEVS (Discrete Event system Specification) 방법론을 사용하였다. 각 침입 탐지 에이전트는 계약망 프로토콜을 사용하여 침입을 탐지하게 된다. 침입 탐지의 내용은 바로 방화벽에 알려지고 방화벽은 이러한 침입 사실을 바탕으로 유해 트래픽이 네트워크로 유입되는 것을 막는다. 즉 한 침입 탐지 시스템이 침입을 탐지하게 되면 이를 침입 차단 시스템에 알리게되어 해당 침입 패킷을 차단하게 된다. 이러한 방법을 사용하여 네트워크의 피해를 막게 된다.

• 한국시뮬레이션학회:학술대회논문집
• /
• 한국시뮬레이션학회 2004년도 춘계학술대회 논문집
• /
• pp.20-24
• /
• 2004

광범위한 네트워크의 연결과 이를 이용하는 조직이나 개인의 증가로 인터넷은 정보를 교환하고 거래를 수행하는 주요한 수단이 된 반면에 해커나 바이러스의 침입 또한 증가하여 공격에 쉽게 노출되어있다. 이러한 보안상의 문제점을 해결하기 위하여 컴퓨터나 네트워크 시스템의 활동을 감시할 수 있는 침입 탐지 시스템(IDS)과 같은 보안 요소를 도입하였으며, 탐지에 대한 성능을 향상시키기 위하여 네트워크를 기반으로 하는 다중 침입 탐지 시스템을 응용하여 네트워크에 분산된 에이전트들 중에서 발생된 침입에 알맞은 에이전트를 선택하도록 하여 침입 탐지를 효과적으로 할 수 있게 하였다. 본 연구에서는 보안 시스템의 연동을 위하여 계약망 프로토콜을 적용하였다. 계약망 프로토콜은 분산된 에이전트들 중에서 입찰과정을 통하여 최상의 에이전트를 선택하는데 이때, 에이전트를 선택하는 과정에 있어서 퍼지 규칙 기반 시스템을 적용한 퍼지 컨트롤러를 설계하여 시뮬레이션 한다.