• Proceedings of the Korea Society for Simulation Conference
• /
• 1999.10a
• /
• pp.81-86
• /
• 1999

본 연구는 DEVS 모델링 및 시뮬레이션을 이용한 침입 탐지 기법의 성능평가를 주목적으로 한다. 최근 컴퓨터망의 확대와 컴퓨터 이용의 급격한 증가에 따른 부작용으로 컴퓨터 보안 문제가 중요하게 대두되고 있으며 이러한 추세에 따라 해커들로부터의 침입을 줄이기 위한 침입 탐지 시스템에 관한 연구가 활발히 진행되고 있다. 한편, 침입 탐지 기법으로 전문가 시스템, 신경망, 유전자 알고리즘 등 인공지능 기법을 이용한 다양한 시도가 이루어지고 있으나 이러한 기법들에 대한 성능평가는 대부분 실제 시스템의 구축을 통해서만 다루어 왔다. 따라서, 이를 극복하기 위하여 시뮬레이션 기법의 도입을 통한 성능평가 방법이 요청된다. 따라서, 본 연구에서는 엔진 베이스 모델링을 통하여 일반적인 침입 탐지 시스템을 설계하고 침입 탐지 기법의 하나인 유전자 알고리즘을 적용하여 시뮬레이션 테스트를 수행함으로써 DEVS 모델링 및 시뮬레이션을 이용한 성능평가의 타당성을 검증한다.

• The Journal of the Acoustical Society of Korea
• /
• v.43 no.4
• /
• pp.445-454
• /
• 2024

To detect underwater targets using sonar, sonar performance analysis that reflects the ocean environment and sonar characteristics must be performed. Sonar performance modeling of passive and monostatic sonar can be performed relatively quickly even considering the ocean environment. However, since bistatic and multistatic sonar performance modeling require higher computational complexity and much more time than passive or monostatic sonar cases, they have been performed by simplifying or not considering the ocean environment. In thisstudy, the effects of reverberation and ocean environment in bistatic sonar performance were analyzed using the bistatic reverberation modeling in the Ulleung Basin of the East Sea. As the sonar operation depth approaches the sound channel axis, the influence of the bathymetry on sound propagation is reduced, and the reverberation limited environment is formed only at short distances. Finally, it was confirmed that similar trends appeared through comparison between the simplified and elaborately calculated sonar performance modeling results.

• Journal of KIISE:Information Networking
• /
• v.29 no.6
• /
• pp.674-684
• /
• 2002

Anomaly detection techniques have teen devised to address the limitations of misuse detection approach for intrusion detection. An HMM is a useful tool to model sequence information whose generation mechanism is not observable and is an optimal modeling technique to minimize false-positive error and to maximize detection rate, However, HMM has the short-coming of login training time. This paper proposes an effective HMM-based IDS that improves the modeling time and performance by only considering the events of privilege flows based on the domain knowledge of attacks. Experimental results show that training with the proposed method is significantly faster than the conventional method trained with all data, as well as no loss of recognition performance.

• Journal of KIISE:Software and Applications
• /
• v.28 no.6
• /
• pp.429-438
• /
• 2001

정보통신 구조의 확산과 함께 전산시스템에 대한 침입과 피해가 증가되고 있으며 침입탐지 시스템에 대한 관심과 연구가 늘어나고 있다. 본 논문에서는 은닉 마르코프 모델(HMM)을 이용하여 사용자의 정상행위에서 생성된 이벤트ID 정보를 모델링한 후 사용자의 비정상행위를 탐지하는 침입탐지 시스템을 제안한다. 전처리를 거친 이벤트ID열은 전방향-역방향 절차와 Baum-Welch 재추정식을 이용하여 정상행위로 구축된다. 판정은 전방향 절차를 이용해서 판정하려는 열이 정상행위로부터 생성되었을 확률을 계산하며, 이 값을 임계값과 비교함으로써 수행된다. 실험을 통해 침입탐지를 위한 최적의 HMM 매개변수를 결정하고 사용자 구분이 없는 단일모델링, 사용자별 모델링, 사용자 그룹별 모델링 방식을 비교하여 정상행위 모델링 성능을 평가하였다. 실험결과 제안한 시스템이 발생한 침입을 적절히 탐지함을 확인할 수 있었지만, 신뢰도 높은 침입탐지 시스템의 구축을 위해서는 보다 정교한 모델의 클러스터링이 필요함을 알 수 있었다.

• Proceedings of the Korean Information Science Society Conference
• /
• 2000.04b
• /
• pp.238-240
• /
• 2000

침입탐지시스템은 침입탐지 기법에 따라 크게 오용탐지시스템과 비정상행위탐지시스템으로 나뉜다. 비정상 행위 탐지시스템은 정상사용행위를 모델링한 후 현재 관찰중인 행위가 정상에서 벗어나는지를 검사한다. 시스템 사용시 발생하는 각 이벤트는 동시에 여러 가지 정보를 담고있으므로 여러 각도에서 모델링될 수 있다. 따라서 여러 결과를 종합해서 판정의 안정성을 높을 수 있다. 본 논문에서는 이벤트의 시스템호출에 평가결과와 BSM감사정보 중 시스템호출관련 정보, 파일 접근관련 정보, 이 둘을 모두 고려한 정보를 통합한 평가결과를 투표방식으로 결합하여 판정하는 기법을 제안하였다. 실험결과 두 모델을 별도로 적용하는 경우보다 나아진 판정성능을 보여주었다.

• Proceedings of the Korean Information Science Society Conference
• /
• 2001.04a
• /
• pp.766-768
• /
• 2001

정보통신의 질적 양적 팽창과 더불어 컴퓨터 시스템에 대한 침입 또한 증가하고 있다. 침입탐지시스템은 이를 해결하기 위한 대표적인 수단으로, 최근 관련된 연구의 방향이 오용탐지 기법에서 비정상 행위탐지 기법으로 옮겨가고 있는 상황이다. HMM(Hiddem Markov Model)은 비정상행위탐지 기법에 사용되어 다양한 척도(measure)에 대한 정상행위를 효과적으로 모델링할 수 있는 방법이다. 다양한 척도의 결과값들로부터 침입을 판정하는 방법에 대한 연구는 미흡하다. 본 논문에서는 SOM(self organizing map)을 통해 축약된 데이터를 HMM으로 모델링한 비정상행위기반 침입탐지 시스템의 성능을 향상시키기 위해 퍼지 침입판정 방법을 제시한다. 실험결과 척도에 따른 결과들의 기계적 결합보다 향상된 결과를 얻었으며, 퍼지 관련 파라메터의 개선을 통해 더욱 좋은 효과를 기대할 수 있었다.

• Proceedings of the Korea Society for Simulation Conference
• /
• 2000.11a
• /
• pp.125-130
• /
• 2000

침입 탐지 시스템이 침입 행위를 탐지하기 위해서 시간에 대한 처리를 고려하지 않고는 침입을 탐지할 수 없는 경우(예 Denial of Service)가 존재한다. 즉 사건의 발생 시점에 대한 처리없이는 침입 탐지가 불가능하다. 본 논문에서는 시뮬레이션 모델을 통하여 시간에 관한 처리를 체계적으로 구성하고, 여러 가지 상황을 조성하여 반복적으로 실행함으로써 침입 탐지 시스템의 핵심 요소인 침입 판별을 효과적으로 수행할 수 있도록 하였다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2000.04a
• /
• pp.680-685
• /
• 2000

최근 그 심각성이 커지고 있는 해킹피해를 줄이기 위한 한 방법으로 시스템에 침입한 불법적 사용을 탐지하는 연구가 활발히 진행되고 있다. 침입을 탐지하는 방법으로는 오용탐지와 비정상행위 탐지가 있는데 비정상행위 탐지를 위해서는 정보수집의 정확성, 신속성과 함께 다량의 정보들로부터 필요한 정보를 추출하고 축약하는 것이 중요하다. 본 논문에서는 감사기록 도구인 BSM으로부터 정보를 추출하고 자기조직화 신경망을 이용하여 다차원의 정보를 저차원정보로 축약.변환하는 방법에 대한 실험적인 검증을 시도하였다. 또한 BSM에서 얻을 수 있는 데이터의 유용성을 조사하기 위하여 축약된 감사자료에 의한 탐지성능을 살펴보았다. 실험결과, 시스템 호출 및 파일관련 정보의 축약이 탐지성능향상에 크게 기여하는 중요한 척도임을 알 수 있었으며 각 척도마다 탐지성능이 좋은 맵의 크기가 다름을 알 수 있었다. 이러한 축약된 정보는 여러 정상행위 모델링방법에 의해 유용하게 사용될 수 있을 것이다.

• The KIPS Transactions:PartC
• /
• v.12C no.6 s.102
• /
• pp.855-864
• /
• 2005

In this paper, we propose an intrusion detection system(IDS) architecture which can detect and respond against the generation of abnormal traffic such as malicious code and Internet worms. We model the system, design and implement a simulator using OPNET Modeller, for the performance analysis on the response capacity of alert information in the proposed system. At first, we model the arrival process of alert information resulted from abnormal traffic. In order to model the situation in which alert information is intensively produced, we apply the IBP(Interrupted Bernoulli Process) which may represent well the burstiness of traffic. Then we perform the simulation in order to gain some quantitative understanding of the system for our performance parameters. Based on the results of the performance analysis, we analyze factors which may hinder in accelerating the speed of security node, and would like to present some methods to enhance performance.

• Journal of the Institute of Electronics Engineers of Korea CI
• /
• v.49 no.4
• /
• pp.62-70
• /
• 2012

In this paper, we propose the gunnery detection method based on reference frame modeling and frame difference method. The frame difference method is basic method in target detection, and it's applicable to the detection of moving targets. The goal of proposed method is the detection of gunnery target which has huge variation of energy and size in the time domain. So, proposed method is based on frame difference, and it guarantee real-time processing and high detection performance. In the method of frame difference, it's important to generate reference frame. In the proposed method, reference frame is modeled and updated in real time processing using statistical values for each pixels. We performed the simulation on 73 IR video data that has gunnery targets, and the experimental results showed that the proposed method has 95.7% detection ratio under condition that false alarm is 1 per hour.