• Annual Conference of KIPS
• /
• 2002.11b
• /
• pp.1031-1034
• /
• 2002

본 논문에서는 커널수준의 침입탐지를 위한 동적 침입탐지 규칙 변경 기법을 제안한다. 제안하는 기법은 침입탐지 규칙은 규칙타입 프로토콜 타입, 패킷 헤더와 패킷 페이로드에 대한 검사를 수행하기 위한 규칙들로 세분화하여 LVR로 표현하고 이들 LVR이 계층적으로 구성된 IDRL로 관리한다. 침입탐지는 IDRL을 이용하여 수행하며, 규칙에 대한 변경은 변경된 규칙에 대한 LVR을 구성하고 LV를 이용한 포인터 변경을 이용하여 IDRL에 반영하는 방법이다. 제안하는 기법은 IDRL을 이용한 침입탐지와 탐지규칙의 변경을 IDRL에 최소한의 비용으로 수행하고, LVR을 이용하여 침입탐지 규칙을 디스크와 메모리에 동일한 형태로 저장 및 관리하여 탐지규칙 초기화 비용과 변경 비용을 최소화할 수 있다. 이를 통하여 보다 안전한 커널 수준에서의 네트워크 보안을 위한 효율적인 동적 침입탐지 규칙 변경을 지원할 수 있다는 장점을 가진다.

• Proceedings of the Korean Information Science Society Conference
• /
• 2003.10a
• /
• pp.706-708
• /
• 2003

침입탐지 시스템 중 하나인 오용탐지 시스템은 축적된 침입패턴 정보를 이용하기 때문에 새로운 침입에 대하여 새로운 정의가 필요하다. 이러한 문제점을 극복하여 새로운 침입에 대하여 일일이 정의하지 않고 자동으로 새로운 규칙을 생성하도록 하는 것이 좀 더 바람직하다. 본 논문에서는 새로운 규칙을 찾기 위한 방법으로 생물의 진화과정을 모델링한 유전자 알고리즘(GA)을 이용하였다. GA는 계산에 의존한 방법에 비하여 전역적인 해를 구할 때 더 효율적이다. GA를 이용하여 규칙을 자동 생성하고 침입을 탐지할 수 있는 규칙을 찾아가는 방식을 제안하였다. 실험 결과에서는 GA를 이용하여 자동 생성된 규칙으로 40~60%의 탐지율로 침입을 탐지할 수 있다는 것을 확인하였다.

• Annual Conference of KIPS
• /
• 2002.11b
• /
• pp.975-978
• /
• 2002

본 연구는 네트워크 기반 침입탐지 시스템(NIDS)의 우회공격 방지를 위한 적응적 규칙 추정 알고리즘(ARE; Adaptive Rule Estimation)을 제안한다. 네트워크 기반 침입탐지 시스템에서 가장 많이 사용하는 침입탐지 방법은 규칙 기반의 패턴 매칭 기법이며, 이 방법은 삽입과 삭제에 의한 우회 공격에 많은 취약성을 가지고 있다. 본 연구에서는 이러한 삽입과 삭제에 의한 우회 공격을 방지 하고자 하는 취지에서 제안된 알고리즘이다. 적응적 규칙 추정에 의한 침입 탐지 알고리즘은 두 개의 과정으로 구성되며, 전처리 부분에서는 최적의 규칙을 선택하고, 주처리 부분에서 적응적으로 규칙 패턴의 변형된 위치를 찾아서 비교 판단하는 과정으로 이루어져 있다. 제안된 적응적 규칙 추정 알고리즘은 기존의 규칙 기반 패턴 매칭에서 우회공격이 가능한 것들이 탐지되며, 미탐지 확률을 줄일 수 있다.

• Proceedings of the Korean Institute of Intelligent Systems Conference
• /
• 2000.05a
• /
• pp.303-306
• /
• 2000

본 논문에서는 선박에서 화재탐지를 위해서 규칙 기반 추론과 사례 기반 추론을 통합하는 방법에 대해서 논의하였다. 규칙은 어떤 영역에서 광범위한 경향을 표현하는데 적합하며 사례는 규칙에서 예외적인 상황을 다루는데 적합하다는 점에서 규칙과 사례는 상호 보완적이라 할 수 있다. 즉 어떤 행동이 충분히 반복되면 자연스럽게 규칙이 되며, 잘 확립된 규칙이 있다면 사례를 먼저 추론할 필요가 없다. 그러나 규칙이 실패하게 되면 실패를 만회하기 위해서 사례를 생성하는 것이 하나의 대안이 될 수 있다. 본 논문에서는 일반적인 화재탐지 지식은 규칙으로 표현하고, 예외적인 화재탐지 지식은 사례로 표현함으로써 규칙과 사례가 서로 보완적인 역할을 할 수 있는 통합 방법을 제안하였다. 또한 기존의 규칙 기반 FFES(Fire Fighting Expert System)와 사례기반 추론에 의해 확장된 C-FFES(Combined-Fire Fighting Expert System)를 비교를 통해, 제안한 접근 방법이 화재 탐지율을 향상시킴을 보였다.

• Proceedings of the Korean Information Science Society Conference
• /
• 2012.06c
• /
• pp.304-306
• /
• 2012

IDS는 네트워크를 통해 외부에서 들어오는 공격을 감지하고 차단하는 시스템으로 Snort는 대표적으로 널리 이용되고 있는 비상업적 IDS이다. Snort는 서버로 들어오는 패킷과 침입탐지 규칙을 비교하여 네트워크 공격을 탐지한다. 네트워크 공격이 다양해지고 인터넷 사용이 증가하면서 탐지할 대상이 많아졌기 때문에 Snort의 성능을 유지하기 어려워지고 있다. 따라서 소프트웨어적으로 탐지엔진의 알고리즘을 성능을 향상시키거나 하드웨어적으로 패킷처리 능력을 향상시키는 연구가 진행되고 있다. 본 논문에서는 소프트웨어나 하드웨어적인 성능 향상과는 달리 침입탐지 규칙에 기반하여 이를 좀 더 명확하고 효율적으로 정하고 관리하여 Snort의 성능을 향상시키는 접근방법을 제안하였다. 이를 위해 우선적으로 Snort의 침입탐지 규칙에 대해 분석하였고 그 중 개선할 수 있는 Snort 규칙에 대해서 새로운 침입탐지 규칙을 제안을 하였다.

• Annual Conference of KIPS
• /
• 2003.05c
• /
• pp.2173-2176
• /
• 2003

본 논문에서는 네트워크 기반 분산 침입탐지 시스템을 위한 커널 수준 침입탐지 기법을 제안한다. 제안하는 기법은 탐지분석으로 침입탐지 과정을 분리하고 침입탐지 규칙 생성 요구에 대한 침입탐지 자료구조로의 변환을 사용자 응용 프로그램 수준에서 수행하며 생성된 자료구조의 포인터 연결을 커널 수준에서 수행한다. 침입탐지 규칙 변경은 노드를 삭제하지 않고 삭제표시만 수행하고 새로운 노드를 추가하는 삭제마크 띤 노드추가 방식 통하여 수행한다 제안하는 기법은 탐지과정의 분리를 통해 분산 네트워크 환경에 효율적으로 적용할 수 있으며 커널기반 침입탐지 방식을 사용하여 사용자 응용 프로그램으로 동작하는 에이전트기반의 침입탐지 기법에 비해 탐지속도가 빠르다. 침입탐지 규칙 변경은 삭제마크 및 노드추가 방식을 통해서 규칙변경과 침입탐지를 동시에 수행하기 위한 커널의 부하를 줄일 수 있다. 이를 통해 다양한 네트워크 공격에 대하여 신속하게 대응할 수 있다. 그러므로, 서비스거부 공격과 같이 네트워크 과부하가 발생하는 환경에서도 신속한 침입탐지와 탐지효율을 증가시킬 수 있다는 장점을 가진다.

• Journal of Internet Computing and Services
• /
• v.20 no.2
• /
• pp.9-19
• /
• 2019

Service and users over the Internet are increasing rapidly. Cyber attacks are also increasing. As a result, information leakage and financial damage are occurring. Government, public agencies, and companies are using security systems that use signature-based detection rules to respond to known malicious codes. However, it takes a long time to generate and validate signature-based detection rules. In this paper, we propose and develop signature based detection rule generation and verification systems using the signature extraction scheme developed based on the LDA(latent Dirichlet allocation) algorithm and the traffic analysis technique. Experimental results show that detection rules are generated and verified much more quickly than before.

• Annual Conference of KIPS
• /
• 2015.04a
• /
• pp.380-383
• /
• 2015

오용 탐지모델 기반의 침입탐지시스템은 새로운 사이버 공격을 탐지하기 위해 지속적으로 탐지규칙을 생성해야 한다. 공격에 대한 특징을 정확히 식별하지 못하고 탐지규칙을 생성할 경우 많은 false positive를 발생시키며, 이로 인해 침해사고 대응시간이 늦어진다. 본 논문에서는 침입탐지시스템에서 탐지된 이벤트의 true positive와 false positive 데이터를 Keyword Tree의 node에 경로를 지나가는 횟수를 누적하는 값을 포함시킨 자료구조를 기반으로 비교분석하여 false positive를 감소시킬 수 있는 탐지규칙 패턴 생성 기법을 제안한다.

• Annual Conference of KIPS
• /
• 2003.05c
• /
• pp.1579-1582
• /
• 2003

점차 네트워크상의 침입 시도가 증가되고 다변화되어 침입탐지에 많은 어려움을 주고 있다. 시스템에 새로운 침입에 대한 탐지능력과 다량의 감사데이터의 효율적인 분석을 위해 데이터마이닝 기법이 적용된다. 침입탐지 방법 중 비정상행위 탐지는 모델링된 정상행위에서 벗어나는 행위들을 공격행위로 간주하는 기법이다. 비정상행위 탐지에서 정상행위 모델링을 하기 위해 연관규칙이나 빈발에피소드가 적용되었다. 그러나 이러한 기법들에서는 시간요소를 배제하거나 패턴들의 발생순서만을 다루기 때문에 정확하고 유용한 정보를 제공할 수 없다. 따라서 이 논문에서는 이 문제를 해결할 수 있는 시간연관규칙과 분류규칙을 이용한 비정상행위 탐지 모델을 제안하였다. 즉, 발생되는 패턴의 주기성과 달력표현을 이용, 유용한 시간지식표현을 갖는 시간연관규칙을 이용해 정상행위 프로파일을 생성하였고 이 프로파일에 의해 비정상행위로 간주되는 규칙들을 발견하고 보다 정확한 비정상행위 판별 여부를 결정하기 위해서 분류기법을 적용하였다.

• Annual Conference of KIPS
• /
• 2005.11a
• /
• pp.965-968
• /
• 2005

본 논문에서는 보안 정책 및 규칙에 기반을 둔 네트워크 포트 기반의 오용침입 탐지 기능 및 센서 객체 기반의 이상침입 탐지 기능을 갖춘 리눅스 서버 시스템을 제안 및 구현한다. 제안한 시스템은 먼저 시스템에 사용하는 보안 정책에 따른 규칙을 수립한다. 이러한 규칙에 따라 정상적인 포트들과 알려진 공격에 사용되고 있는 포트번호들을 커널에서 동적으로 관리하면서, 등록되지 않은 새로운 포트에도 이상탐지를 위해 공격 유형에 대하여 접근제어 규칙을 적용하여 이상 침입으로 판단될 경우 접근을 차단한다. 알려지지 않은 이상침입 탐지를 위해서는 주요 디렉토리마다 센서 파일을, 주요 파일마다 센서 데이터를 설정하여 센서 객체가 접근될 때마다 감사로그를 기록하면서, 이들 센서 객체에 대해 불법적인 접근이 발생하면 해당 접근을 불허한다. 본 시스템은 보안정책별 규칙에 따라 다단계로 구축하여 특정 침입에 대한 더욱 향상된 접근제어를 할 수 있다.