• Annual Conference of KIPS
• /
• 2017.11a
• /
• pp.295-298
• /
• 2017

기계 학습은 인간의 지능을 아직 일부만 모델링하여 활용하는 기술임에도 불구하고 다양한 기술 분야에서 새로운 가능성을 열어주는 미래 시장의 핵심이다. 상용 네트워크 보안 시스템은 특정 규칙들을 정해 놓고 규칙에 어긋난 정보에 대하여 보안 위험이 있을 수 있다고 판단을 한다. 하지만 규칙을 잘 정의해 놓은 시스템에서 보안 위험이라고 경보가 나는 경우의 80% 이상이 일반적으로 오탐이다. 상용 네트워크 보안 시스템에 기계 학습을 활용하면 사람이 규칙으로 정의하기 어려운 정보의 재내 의미를 스스로 학습하여 분류에 활용할 수 있다. 본 연구에서는 이처럼 네트워크 공격 중 이상 공격 탐지에 기계 학습을 활용한 연구들에 대해 살펴보도록 하겠다.

• Journal of Internet Computing and Services
• /
• v.19 no.1
• /
• pp.1-10
• /
• 2018

Network threats such as Internet worms and computer viruses have been significantly increasing. In particular, APTs(Advanced Persistent Threats) and ransomwares become clever and complex. IDSes(Intrusion Detection Systems) have performed a key role as information security solutions during last few decades. To use an IDS effectively, IDS rules must be written properly. An IDS rule includes a key signature and is incorporated into an IDS. If so, the network threat containing the signature can be detected by the IDS while it is passing through the IDS. However, it is challenging to find a key signature for a specific network threat. We first need to analyze a network threat rigorously, and write a proper IDS rule based on the analysis result. If we use a signature that is common to benign and/or normal network traffic, we will observe a lot of false alarms. In this paper, we propose a scheme that analyzes a network threat and extracts key signatures corresponding to the threat. Specifically, our proposed scheme quantifies the degree of correspondence between a network threat and a signature using the LDA(Latent Dirichlet Allocation) algorithm. Obviously, a signature that has significant correspondence to the network threat can be utilized as an IDS rule for detection of the threat.

• Proceedings of the Korea Institutes of Information Security and Cryptology Conference
• /
• 1998.12a
• /
• pp.443-453
• /
• 1998

본 논문에서는 Petri-net 형태로 침입탐지 규칙을 구성한다. 이것은 실시간 침입탐지가 가능하고 지연공격과 다중공격을 방어할 수 있다. 그리고, Petri-net의 플레이스에 퍼지값을 적용한다. 이 값은 침입의 진행에 따라 변경되며 침입을 판정하는 기준이 된다. 또한, 변형공격에 대응할 수 있도록 한다.

• The KIPS Transactions:PartC
• /
• v.12C no.7 s.103
• /
• pp.1007-1014
• /
• 2005

A generation of rules or patterns for detecting attacks from network is very difficult. Detection rules and patterns are usually generated by Expert's experiences that consume many man-power, management expense, time and so on. This paper proposes statistical methods that effectively detect intrusion and attacks without expert's experiences. The methods are to select useful measures in measures of network connection(session) and to detect attacks. We extracted the network session data of normal and each attack, and selected useful measures for detecting attacks using relative entropy. And we made probability patterns, and detected attacks using likelihood ratio testing. The detecting method controled detection rate and false positive rate using threshold. We evaluated the performance of the proposed method using KDD CUP 99 Data set. This paper shows the results that are to compare the proposed method and detection rules of decision tree algorithm. So we can know that the proposed methods are useful for detecting Intrusion and attacks.

• Journal of the Korea Institute of Information Security & Cryptology
• /
• v.12 no.5
• /
• pp.63-73
• /
• 2002

Recently, intrusions into a computer have been increased rapidly and also various intrusion methods have been developed. As a result. many researches have been performed to detect the activities of intruders effectively In this paper, a new association mining algorithm for anomaly network intrusion detection is proposed. For this purpose, the proposed algorithm is composed of two different phases: intra-packet association and inter-packet association. The performance of the proposed anomaly detection system is evaluated based on several experiment according to various system parameters in order to identify their practical ranges for maximizing its detection rate. As a result, an anomaly can be detected effectively.

• Proceedings of the Korean Society of Computer Information Conference
• /
• 2014.01a
• /
• pp.373-376
• /
• 2014

최근 모바일 기기 및 무선기기의 발달로 인하여 센서 네트워크가 다양한 분야에서 응용되고 있다. 따라서 센서에서 실시간으로 발생하는 스트리밍 데이터에서 이벤트를 감지하고 분석하는 것은 중요한 연구 분야로 부각되고 있다. 단순 이벤트의 발생 조건을 빠르게 판별하기 위해 비트맵 인덱스 기반 복합 이벤트 검출 기법 등 여러 가지 방법들이 사용되고 있지만, 아직까지 이기종 센서에서 발생하는 각기 다른 형태의 데이터를 융합하여 이벤트를 검출하는 복합 이벤트 처리에 대한 연구는 미비한 실정이다. 본 논문에서는 각기 다른 형태를 가지는 스트리밍 데이터에 멤버쉽 함수를 적용하여 퍼지화 함으로서 이기종 센서에서 발생하는 데이터를 융합 처리가능하며, Quine-Mccluskey 감축기법을 통하여 규칙의 신뢰도 및 속도가 향상된 의사결정을 하는 고속 이벤트 탐지기법을 제안한다.

• Journal of the Korea Institute of Information Security & Cryptology
• /
• v.30 no.3
• /
• pp.481-491
• /
• 2020

The malicious URLs which can be used for sending malicious codes and illegally acquiring private information is one of the biggest threat of information security field. Particularly, recent prevalence of smart-phone increases the possibility of the user's exposing to malicious URLs. Since the way of hiding the URL from the user is getting more sophisticated, it is getting harder to detect it. In this paper, after conducting a survey of the user experiences related to malicious URLs, we are proposing the rule-based malicious URL detection method. In addition, we have developed java library which can be applied to any other applications which need to handle the malicious URL. Each class of the library is implementation of a rule for detecting a characteristics of a malicious URL and the library itself is the set of rule which can have the chain of rule for deteciing more complicated situation and enhancing the accuracy. This kinds of rule based approach can enhance the extensibility considering the diversity of malicious URLs.

• Annual Conference of KIPS
• /
• 2003.11b
• /
• pp.1221-1224
• /
• 2003

본 논문은 RBR(Rule-Based Reasoning) 기법과 RBR 기법에 적용될 규칙에 대한 우선순위를 둠으로써 효율적인 네트워크 설정을 만드는 동시에 네트워크 장애 발생시 장애를 진단 검출복구하는 에이전트 시스템에 관한 연구이다. 논문에서 제시하는 시스템은 AS 내에서 동작하는 것을 원칙으로 하며 각 네트워크의 에이전트들은 우선 순위 장애 탐지 및 복구를 위해 우선 순위에 따라 규칙을 적용한다. 장애 발생시 진단 검출 복구를 위해 에이전트는 상호 협력하며 장애 검출 및 진단 도구로써 ping, traceroute 등을 이용한다.

• Annual Conference of KIPS
• /
• 2003.11c
• /
• pp.1859-1862
• /
• 2003

기존의 IDS는 침입 가능성이 있는 데이터에 대해 많은 양의 경보데이터를 발생시키고 이를 모두 로그의 형태로 저장한다. 이 때 대량의 로그 기록이 생성되는데, 이 대량의 로그가 기록된 데이터는 관리자가 실제로 위협적인 침입을 식별하고, 침입 행위에 신속하게 대응하는 것을 어렵게 한다. 따라서 이 논문에서는 IDS가 발생시킨 대량의 경보데이터를 규칙 기반 방법론을 적용하여 침입탐지에 필요한 데이터만 추출하여 로그에 기록함으로써 관리자가 IDS 관리를 효율적으로 할 수 있는 모델을 제시한다. 이 모델은 실시간으로 갱신되는 규칙에 의해 경보데이터 중 불필요한 것은 제거하고, 유사한 것은 통합함으로써 신속한 침입 탐지를 가능케 한다.

• Journal of the Korea Institute of Information Security & Cryptology
• /
• v.18 no.2
• /
• pp.97-105
• /
• 2008

The various mutations of the malicious codes are fast generated on the network. Also the behaviors of them become intelligent and the damage becomes larger step by step. In this paper, we suggest the method to select the useful measures for the detection of the codes. The method has the advantage of shortening the detection time by using header data without payloads and uses connection data that are composed of TCP/IP packets, and much information of each connection makes use of the measures. A naive estimator is applied to the probability distribution that are calculated by the histogram estimator to select the specific measures among 80 measures for the useful detection. The useful measures are then selected by using relative entropy. This method solves the problem that is to misclassify the measure values. We present the usefulness of the proposed method through the result of the detection experiment using the detection patterns based on the selected measures.