• Review of KIISC
• /
• v.13 no.1
• /
• pp.68-76
• /
• 2003

네트웍 기반의 컴퓨터 보안이 컴퓨터 보안분야의 중요한 문제점으로 인식이 된 이래 네트웍 기반의 침입탐지 방법 중 클러스터링(Clustering)을 이용한 비정상 탐지기법(Anomaly detection)을 사용하는 시도들이 있었다. 네트웍 데이터 같은 대량의 데이터의 처리에 클러스터링을 통한 방법이 효과적인 결과를 나타내었음이 다수의 논문에서 제기되어왔으나 이 모델에서의 클러스터링 방법은 네트웍 정보로부터 추출한 정보들을 정상적인 클러스터들과 그렇지 않은 클러스터들 크게 두 집단으로 나누는 방법을 택했었는데 침입탐지율에서 만족할만한 결과를 얻지 못했었다. 본 논문에서 제안하고자 하는 모델에서는 이를 좀 더 세분화하여 네트웍 서비스(Network service)별로 정상적인 클러스터들과 그렇지 않은 클러스터들을 가지게되는 방법을 적용하여 기존 모델에서의 침입탐지율 결과의 개선을 도모해 보고자한다.

• Proceedings of the Korea Institutes of Information Security and Cryptology Conference
• /
• 2002.11a
• /
• pp.511-514
• /
• 2002

네트웍 환경에서의 침입이 중요한 보안상의 문제점이 된 이래로, 네트웍 기반의 침입탐지시스템중에서 비정상 침입탐지 (anomaly detection)의 방법 중 클러스터링을 이용한 시도들이 있었는데 기존의 방법이 네트웍 정보로부터 정상적인 클러스터들과 그렇지 않은 클러스터들 두 집단으로 크게 나누어 비교하는데 제안모델에서는 이를 좀 더 세분화하여 네트웍 서비스(network service)별로 정상적인 클러스터들과 그렇지 않은 클러스터들을 가지게 되는 방법으로 침입탐지율을 향상시켜 보고자 한다.

• The KIPS Transactions:PartC
• /
• v.10C no.6
• /
• pp.665-674
• /
• 2003

In this paper, we propose an approach to correlate alerts using a clustering analysis of data mining techniques in order to support intrusion detection system. Intrusion detection techniques are still far from perfect. Current intrusion detection systems cannot fully detect novel attacks. However, intrucsion detection techniques are still far from perfect. Current intrusion detection systems cannot fully detect novel attacks or variations of known attacks without generating a large amount of false alerts. In addition, all the current intrusion detection systems focus on low-level attacks or anomalies. Consequently, the intrusion detection systems to underatand the intrusion behind the alerts and take appropriate actions. The clustering analysis groups data objects into clusters such that objects belonging to the same cluster are similar, while those belonging to different ones are dissimilar. As using clustering technique, we can analyze alert data efficiently and extract high-level knowledgy about attacks. Namely, it is possible to classify new type of alert as well as existed. And it helps to understand logical steps and strategies behind series of attacks using sequences of clusters, and can potentially be applied to predict attacks in progress.

• Proceedings of the Korean Information Science Society Conference
• /
• 2002.04b
• /
• pp.37-39
• /
• 2002

본 논문은 SAN(storage area network)강에 네트워크-부착형 (network-attached) 저장 장치들을 직접 연결하여 화일 서버 없이 직접 데이터 전송이 가능한 SAN 기반의 리눅스 클러스터 공유 화일 시스템인 SANique$^{TM}$의 오류 탐지 기법 및 회복 기법에 대하여 기술한다. 클러스터 내의 노드 오류에 의해 발생하는 "split-brain"오류 상황 및 문제점을 공유 화일 시스템 환경 하에서 성의하고, 이 문제를 해결할 수 있는 오류 탐지기법을 제시한다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2009.11a
• /
• pp.701-702
• /
• 2009

무선 센서 네트워크가 배포된 지역에 대하여 주기적으로 감시 값을 수집해야 하는 경우 라우팅 방법으로 계층적인 형태의 라우팅 방법을 주로 사용한다. 계층적인 형태의 라우팅 방법에는 특히, 클러스터를 구성하여 클러스터 리더가 클러스터에 속한 다른 노드들로부터 값을 모아 베이스 스테이션으로 전송하는 클러스터 기반 라우팅 방법이 일반적이다. 클러스터 기반 라우팅 방법의 경우 센서 노드간의 보안 서비스를 위해 그룹 키를 사용하는 경우가 있는데, 이 경우 그룹 키를 알고 있는 노드가 복수개 존재하기 때문에 그룹 키의 오용 가능성이 존재한다. 본 논문에서는 오용된 그룹 키를 탐지하기 위해 지연 응답 방법을 이용한 오용된 그룹 키 탐지 방법을 제안한다.

• Journal of Internet Computing and Services
• /
• v.8 no.6
• /
• pp.43-53
• /
• 2007

Intrusion detection system(IDS) has recently evolved while combining signature-based detection approach with anomaly detection approach. Although signature-based IDS tools have been commonly used by utilizing machine learning algorithms, they only detect network intrusions with already known patterns, Ideal IDS tools should always keep the signature database of your detection system up-to-date. The system needs to generate the signatures to detect new possible attacks while monitoring and analyzing incoming network data. In this paper, we propose a new outlier cluster detection algorithm with density (or influence) function, Our method assumes that an outlier is a kind of cluster with similar instances instead of a single object in the context of network intrusion, Through extensive experiments using KDD 1999 Cup Intrusion Detection dataset. we show that the proposed method outperform the conventional outlier detection method using Euclidean distance function, specially when attacks occurs frequently.

• Convergence Security Journal
• /
• v.11 no.6
• /
• pp.25-30
• /
• 2011

MANET has a weak construction in security more because it is consisted of only moving nodes and doesn't have central management system. The DDoS attack is a serious attack among these attacks which threaten wireless network. The DDoS attack has various object and trick and become intelligent. In this paper, we propose the technique to raise DDoS detection rate by classifying abnormal traffic pattern. Cluster head performs sentinel agent after nodes which compose MANET are made into cluster. The decision tree is applied to detect abnormal traffic pattern after the sentinel agent collects all traffics and it judges traffic pattern and detects attack also. We confirm high attack detection rate of proposed detection technique in this study through experimentation.

• Journal of Korea Multimedia Society
• /
• v.7 no.4
• /
• pp.505-517
• /
• 2004

This paper overviews the design details of the cluster file system $\textrm{SANique}^{TM}$ on the SAN environment. $\textrm{SANique}^{TM}$ has the capability of transferring user data from shared SAN disk to client application without control of centralized file server. We, especially, focus on the characteristics and functions of recovery manager CRM of $\textrm{SANique}^{TM}$. The process component for failure detection and its overall procedure are described. We define the split-brain problem that cannot be easily detected in cluster file systems and also propose the recovery management method based on SAN disk in order to detect and solve the split-brain situation.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2000.10a
• /
• pp.645-648
• /
• 2000

병렬 오류인 메시지경합을 가진 메시지전달 프로그램은 비결정적인 수행결과를 보이므로, 이를 탐지하고 수정하는 것이 어렵다. 기존의 메시지경합 탐지 도구들은 메시지경합에 관련된 간접적인 정보를 제공하는 수준이며, 메시지경합의 원인을 자동으로 탐지하지 못한다. 그리고 탐지과정 중에 부가적인 메시지전달 작업이 발생하며, 대상 프로그램을 수정해야 하는 부담이 있다. 본 논문에서 제안된 탐지 도구는 리눅스 클러스터 시스템을 위한 병렬 프로그램의 메시지경합을 자동으로 탐지하여 직접적인 경합 정보를 제공한다. 그리고 탐지 엔진 부분을 리눅스 커널에 설치함으로써 경합 탐지를 위한 부가적인 메시지전달의 필요성을 제거하고, 대상 프로그램의 수정없이 경합을 탐지할 수 있는 투명성을 제공한다.

• Journal of the Korea Institute of Information Security & Cryptology
• /
• v.32 no.6
• /
• pp.1165-1170
• /
• 2022

In WSNs, a clustering algorithm groups sensor nodes on a unit called cluster and periodically selects a cluster head (CH) that acts as a communication relay on behalf of nodes in each cluster for the purpose of energy conservation and relay efficiency. Meanwhile, attack techniques also have emerged to intervene in the CH election process through compromised nodes (inside attackers) and have a fatal impact on network operation. However, existing countermeasures such as encryption key-based methods against outside attackers have a limitation to defend against such inside attackers. Therefore, we propose a statistical detection method that detects abnormal CH election behaviors occurs in a WSN cluster. We design two attack methods (Selfish and Greedy attacks) and our proposed defense method in WSNs with two clustering algorithms and conduct experiments to validate our proposed defense method works well against those attacks.