• Journal of Internet of Things and Convergence
• /
• v.9 no.1
• /
• pp.77-87
• /
• 2023

Applying various association rule mining algorithms to the network intrusion detection task involves two critical issues: too large size of generated rule set which is hard to be utilized for IoT systems and hardness of control of false negative/positive rates. In this research, we propose an association rule mining algorithm based on the newly defined measures called coverage and exclusion. Coverage shows how frequently a pattern is discovered among the transactions of a class and exclusion does how frequently a pattern is not discovered in the transactions of the other classes. We compare our algorithm experimentally with the Apriori algorithm which is the most famous algorithm using the public dataset called KDDcup99. Compared to Apriori, the proposed algorithm reduces the resulting rule set size by up to 93.2 percent while keeping accuracy completely. The proposed algorithm also controls perfectly the false negative/positive rates of the generated rules by parameters. Therefore, network analysts can effectively apply the proposed association rule mining to the network intrusion detection task by solving two issues.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2007.11a
• /
• pp.247-249
• /
• 2007

데이터 마이닝은 데이터 속에 숨겨져 있는 의미 있는 패턴을 찾아내는 것이다. 이러한 패턴들을 찾아내는 것은 데이터 마이닝에서 중요한 부분을 차지한다. 그러나 기존의 데이터 마이닝 방법들에 사용되는 데이터는 시간의 흐름에 데이터가 변하지 않는다는 특징을 가지고 있다. 시간의 흐름에 따라 변화하는 데이터의 특성을 고려해볼 때 변하지 않는 데이터에서 패턴을 찾아내는 것은 의미가 없는 일이다. 따라서 실시간으로 변하는 데이터의 특성을 고려하고 더불어 적합한 실시간 침입 탐지 방법이 필요하다. 따라서, 본 연구에서는 시간의 흐름에 따라 변하는 데이터에서 규칙을 발견하여 규칙 Set 을 생성하는 실시간 데이터 마이닝 기법을 이용하여 시간의 흐름에 따라 변하는 데이터에 대한 침입을 감시하기 위해 실시간 침입 탐지 시스템에 적용함으로써 보다 효율적으로 침입을 탐지하기 위한 방법을 제시한다.

• Proceedings of the Korea Inteligent Information System Society Conference
• /
• 2007.11a
• /
• pp.514-519
• /
• 2007

컴퓨터 네트워크 모니터링에 의한 보안장비는 많은 트래픽 자료를 분석하여, 이상유무를 판단하고, 대응해야 한다. 기존의 보안장비들은 이미 알려진 패턴에 대한 규칙을 이용하는 오용탐지방법(misuse detection)과 의미를 파악하기 어려운 많은 자료들을 제시하고 있는데 머물고 있다. 보다 나은 보안을 위해서는 정상적인 동작에서 벗어나는 이상징후를 탐지하여 침입을 탐지하는 이상탐지방법(anomaly detection)의 채용이 필요하고, 보안장비에서 제시되는 많은 트래픽 자료들은 보안전문가의 전문적인 분석이 필요하다. 본 연구에서는 데이터마이닝 기법을 이용한 이상탐지방법과 보안전문가의 전문적인 보안지식에 의한 분석, 대응, 관리를 위한 지식처리 기법을 사용할 수 있는 지능형 IPS(intrusion Detection System) 프레임워크를 제안한다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2004.05a
• /
• pp.1007-1010
• /
• 2004

본 논문에서는 분산 서비스거부 공격(DDoS)이 발생할 때 네트워크 트래픽의 특성을 분석하기 위해서 트래픽 비율분석법(TRA: Traffic Rate Analysis)을 제안하고 트래픽 비율분석법을 통해서 분석된 다양한 유형의 DDoS 공격의 특성을 기계학습(Machine Learning)을 이용해서 DDoS 공격의 탐지규칙을 생성하고 그 성능을 측정하였다. 트래픽 비율분석법은 감시대상 네트워크 트래픽에서 특정한 유형의 트래픽의 발생비율을 나타내며 TCP flag rate 와 Protocol rate 로 구분된다. 트래픽 비율분석법을 적용한 결과 각각의 DDoS 공격 유형에 따라서 매우 독특한 특성을 가짐을 발견하였다. 그리고, 분석된 데이터를 대상으로 세 개의 기계학습 방법(C4.5, CN2, Na?ve Bayesian Classifier)을 이용해서 DDoS 공격의 탐지규칙을 생성하여 DDoS 공격의 탐지에 적용했다. 실험결과, 본 논문에서 제안된 트래픽 비율분석법과 기계학습을 통한 DDoS 공격의 탐지방법은 매우 높은 수준의 성능을 나타냈다.

• Journal of Korea Multimedia Society
• /
• v.6 no.5
• /
• pp.778-787
• /
• 2003

Intrusion detection systems based on rules are not efficient for mutated attacks, because they need additional rules for the variations. In this paper, we propose an intrusion detection system using the time delay neural network. Packets on the network can be considered as gray images of which pixels represent bytes of them. Using this continuous packet images, we construct a neural network classifier that discriminates between normal and abnormal packet flows. The system deals well with various mutated attacks, as well as well known attacks.

• Journal of the Korean Society of Surveying, Geodesy, Photogrammetry and Cartography
• /
• v.30 no.4
• /
• pp.397-404
• /
• 2012

Jeju where concentrates on agriculture and tourism, conversion of outdoor culture into cultivation under structure happens actively for the purpose of increasing profit so continuous examination on house cultivation area is very important for this region. This paper is to suggest the effective image classification method using high resolution satellite image to detect the greenhouse. We carried out classification of greenhouse using the supervised classification and rule-based classification method about Formosat-2 images. Connecting result of two classification try to find accuracy improvement for greenhouse detection. Results about each classification method were calculated the accuracy by comparing with the result of visual detection. As a result, mahalanobis distance among the supervised methods was resulted in the highest detection. Also, it could be checked that detection accuracy was improved by tying with result of supervised method and result of rule-based classification. Therefore, it was expected that effective detection of greenhouse would be feasible if henceforward further study is performed in the process of connecting supervised classification and rule-based classification.

• Annual Conference on Human and Language Technology
• /
• 2010.10a
• /
• pp.3-8
• /
• 2010

본 연구에서는 일련의 연구에서 수집된 영작문 오류 유형의 정제된 자료를 토대로 연관 규칙을 생성하고, 학습을 통해서 효용성이 검증된 연관 규칙을 활용해서 영작문 데이터의 형태 통사 오류를 자동으로 탐지한다. 영작문 데이터에서 형태 통사 오류를 찾아내는 작업은 많은 시간과 자원이 소요되는 작업이므로 자동화가 필수적이다. 기존의 연구들이 통계적 모델을 활용한 어휘적 오류에 치중하거나 언어 이론적 틀에 근거한 통사 처리에 집중하는 반면에, 본 연구는 데이터 마이닝을 통해서 정제된 데이터에서 연관 규칙을 생성하고 이를 검증한 후 형태 통사 오류를 감지한다. 이전 연구들에서는 이론적 틀에 맞추어진 규칙 생성이나 언어 모델 생성을 위한 대량의 코퍼스 데이터와 같은 다량의 지식 베이스 생성이 필수적인데, 본 연구는 적은 양의 정제된 데이터를 활용한다. 영작문 오류 유형의 형태 통사 연관 규칙을 생성하기 위해서 Apriori 알고리즘을 활용하였다. 알고리즘을 통해서 생성된 연관 규칙 중 잘못된 규칙이 생성될 가능성이 있으므로, 상관성 검정, 코사인 유사도와 같은 규칙 효용성의 통계적 검증을 활용해서 타당한 규칙만을 학습하였다. 이를 통해서 축적된 연관 규칙들을 영작문 오류를 자동으로 탐지하는 실험에 활용하였다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2003.05a
• /
• pp.285-288
• /
• 2003

기존의 침입탐지 시스템은 오용탐지모델이 널리 사용되고 있다. 이 모델은 낮은 오판율(False Alarm rates)을 가지고 있으나 새로운 공격에 대해 전문가시스템(Expert Systems)에 의한 규칙추가를 필요로 하고, 그 규칙과 완전히 매칭되는 시그너처만 공격으로 탐지하므로 변형된 공격을 탐지하지 못한다는 문제점을 가지고 있다. 본 논문에서는 이러한 문제점을 보완하기 위해 주성분분석(Principle Component Analysis ; 이하 PCA)과 시간지연신경망(Time Delay Neural Network ; 이하 TDNN)을 이용한 침입탐지 시스템을 제안한다. 패킷은 PCA를 이용하여 주성분을 결정하고 패킷이미지패턴으로 만든다. 이 연속된 패킷이미지패턴을 시간지연신경망의 학습패턴으로 사용한다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2020.11a
• /
• pp.920-923
• /
• 2020

사이버 공격이 더욱 지능화됨에 따라 기존의 침입 탐지 시스템(Intrusion Detection System)은 기존의 저장된 패턴에서 벗어난 지능형 공격을 탐지하기에 적절하지 않다. 딥러닝(Deep Learning) 기반 침입 탐지는 새로운 탐지 규칙을 생성하는데 적절하다. 그 이유는 딥러닝은 데이터 학습을 통해 새로운 침입 규칙을 자체적으로 생성하기 때문이다. 침입 탐지 시스템 데이터 세트는 가장 널리 사용되는 KDD99 데이터와 LID-DS(Leipzig Intrusion Detection-Data Set)를 사용했다. 본 논문에서는 1차원 벡터를 이미지로 변환하고 CNN(Convolutional Neural Network)을 적용하여 두 데이터 세트에 대한 성능을 실험했다. 평가를 위해 Accuracy, Precision, Recall 및 F1-Score 지표를 측정했다. 그 결과 LID-DS 데이터 세트의 Accuracy가 KDD99 데이터 세트의 Accuracy 보다 약 8% 높은 것을 확인했다. 또한, 1차원 벡터에 대한 데이터를 Kibana를 사용하여 데이터를 시각화하여 대용량 데이터를 한눈에 보기 어려운 단점을 해결하는 방법을 제안한다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2008.11a
• /
• pp.1563-1566
• /
• 2008

본 논문에서는 데이터의 전처리과정으로 SNMP MIB 데이터에 대한 속성 부분집합의 선택 방법(attribute subset selection)을 사용하여 특징선택 및 축소(feature selection & reduction)를 실시하였다. 또한 데이터 마이닝의 대표적인 해석학적 분석 모델인 연관관계규칙기법(association rule mining)을 이용하여 트래픽 폭주 공격 및 공격유형별 SNMP MIB 데이터에 내재되어 있는 특징들을 규칙의 형태로 추출하여 분석하는 의미론적 심층해석을 실시하였다. 공격유형에 대한 패턴 규칙의 추출 및 분석은 공격이 발생한 프로토콜에 대해서만 서비스를 제한하고 관리할 수 있는 정책적 근거를 제공함으로써 보다 안정적인 네트워크 환경과 원활한 자원관리를 지원할 수 있다. 본 논문에서 제시한 트래픽 폭주 공격 및 공격유형별 데이터로부터의 자동적 특징의 규칙 추출 및 의미론적 해석방법은 침입탐지 시스템을 위한 새로운 방법론에 모멘텀을 제시할 수 있다는 긍정적인 가능성과 함께 침입탐지 및 대응시스템의 정책 수립을 지원할 수 있을 것으로 기대된다.