• 융합보안논문지
• /
• 제10권2호
• /
• pp.1-9
• /
• 2010

Snort는 Sourcefire, Combining에 의해 개발된 signature, protocol and anomaly-based 탐지방식의 공개 침입탐지 및 침입방지 소프트웨어이다. Snort는 30만의 등록 가입자와 백만의 다운로드를 통해 세계에서 가장 널리 알려진 IDS/IPS 기술이다. Snort는 네트워크 상에서 패킷의 전송과정의 패킷을 검사하여 침입여부를 판별한다. 본 논문에서는 윈도우 환경에서 Snort를 활용한 Forensic 기법을 이용하여 디지털 문서 및 증거 자료에 분석방안을 제안한다. 순서는 Snort를 활용할 경우 Snort 기법과 Forensic 기법에 대해 알아보고 정보보호를 위한 윈도우 환경의 Snort 기법을 활용한 디지털 Forensic 기법 적용한 시스템을 설계해 보고자 한다. 이를 위해 IDS가 어떻게 작동하는지, Snort를 어디에 설치하는지, Snort의 요구사항, Snort의 설치방법, Snort의 사양을 윈도우 환경에서 적용 하므로서 침입탐지 방법을 제안하고 이를 Forensic 기법에 적용하는 모델을 제시하였다.

• 한국인터넷방송통신학회논문지
• /
• 제20권3호
• /
• pp.1-7
• /
• 2020

증가하는 사이버공격에 대응하기 위하여 머신러닝을 적용한 자동화된 침입탐지기술이 연구되고 있다. 최근 연구결과에 따르면, 순환형 학습모델을 적용한 침입탐지기술이 높은 탐지성능을 보여주는 것으로 확인되었다. 하지만 단순한 순환형 모델을 적용하는 것은 통신이 중첩된 환경일수록 연관된 통신의 특성을 반영하기 어려워 탐지성능이 저하될 수 있다. 본 논문에서는 이 같은 문제점을 해결하고자 세션관리모듈을 설계하여 LSTM(Long Short-Term Memory) 순환형 모델에 적용하였다. 실험을 위하여 CSE-CIC-IDS 2018 데이터 셋을 사용하였으며, 정상통신비율을 증가시켜 악성통신의 연관성을 낮추었다. 실험결과 통신연관성을 파악하기 힘든 환경에서도 제안하는 모델은 높은 탐지성능을 유지할 수 있음을 확인하였다.

• 한국정보과학회:학술대회논문집
• /
• 한국정보과학회 1999년도 가을 학술발표논문집 Vol.26 No.2 (3)
• /
• pp.306-308
• /
• 1999

사회분야 전반이 전산화되면서 전산시스템에 대한 효과적인 침입방지와 탐지가 중요한 문제로 대두되었다. 침입행위도 정상사용행위와 마찬가지로 전산시스템 서비스를 사용하므로 호출된 서비스의 순서로 나타난다. 본 논문에서는 정상사용행위에 대한 서비스 호출순서를 모델링 한 후 사용자의 사용패턴을 정상행위와 비교해서 비정상행위(anomaly)를 탐지하는 접근방식을 사용한다. 정상 행위 모델링에는 순서정보를 통계적으로 모델링하고 펴가하는데 널리 쓰이고 있는 HMM(Hidden Markov Model)을 사용하였다. Sun사의 BSM 모듈로 얻어진 3명 사용자의 사용로그에 대하여 본 시스템을 적용한 결과, 학습되지 않은 u2r 침입에 대해 2.95%의 false-positive 오류에서 100%의 탐지율을 보여주었다.

• 한국IT서비스학회:학술대회논문집
• /
• 한국IT서비스학회 2009년도 춘계학술대회
• /
• pp.361-364
• /
• 2009

침입의 방법이 점차 치밀해지고 다양해짐에 따라 새로운 방식의 침입 탐지 기법 역시 지속적으로 요구되어진다. 기존의 오용 탐지 방법론은 탐지율은 뛰어나지만 새로운 침입형태에 대한 대응 능력이 부족하다. 이러한 단점을 보완하고자 등장한 것이 비정상 행위 탐지 방법론이다. 하지만 현재까지의 연구는 네트워크나 서버 OS, 데이터베이스 등 각 개별 분야에 대해서만 진행되고 있어 그 탐지 능력에 한계가 있다. 본 논문에서는 이러한 한계를 극복하고자 사용자의 네트워크 및 운영체제 로그를 통합 하고, 데이터마이닝 기법 중 빈발 패턴 마이닝 기법을 이용한 보다 정확한 비정상 행위 탐지 기술을 제안한다.

• 한국IT서비스학회:학술대회논문집
• /
• 한국IT서비스학회 2009년도 추계학술대회
• /
• pp.511-515
• /
• 2009

최근 정보기술의 발달과 함께 지속적으로 다양해지고 빨라지는 침입 방법에 대처하기 위해 정보를 보호하기 위한 새로운 방법이 요구되고 있는 실정이다. 이를 해결하기 위해 제안된 방법 중 하나가 네트워크 패킷 데이터에 대한 실시간 데이터 스트림 마이닝 알고리즘 기반의 비정상행위 탐지 기법이다. 이는 현재 발생하고 있는 패턴이 기존 패턴과 다를 경우 비정상행위로 간주되고 사용자에게 알려주는 방법으로, 지금까지 없었던 새로운 형태의 침입에도 대처할 수 있는 능동적인 방어법이라고 할 수 있다. 그러나 이 방법에서 네트워크 패킷 데이터 정보만을 통해 얻어낼 수 있는 정보에는 한계가 있다. 따라서, 본 논문에서는 보다 높은 정확도의 비정상행위 판정을 위한 다양한 환경의 로그들을 추출하여 처리에 적합한 형태로 변환하는 전처리 시스템을 제안한다.

• 한국IT서비스학회:학술대회논문집
• /
• 한국IT서비스학회 2008년도 춘계학술대회
• /
• pp.594-599
• /
• 2008

침입탐지에 있어서 사용자 로그 분석은 중요한 주제로서, 기존의 연구들에서 클러스터링 기법들을 사용하여 저장된 사용자 로그들을 분석해왔다. 하지만, 이러한 방법은 고정된 사용자 패턴 분석에는 효율적이지만, 로그 스트림과 같이 무한히 생성되어 사용자 패턴이 변화하는 경우 변화하는 패턴을 분석할 수 없다. 본 연구에서는 무한히 생성되는 사용자 로그 스트림을 대상으로 실시간 침입탐지 방법을 제시한다. 사용자로그의 정보는 사용자 행동에 대한 특성값으로 표현되어, 이러한 특성값들에 대해 실시간 데이터 스트림 클러스터링을 수행하여 이들을 클러스터로 분류한다. 각 클러스터는 사용자의 정상로그에 대한 특성값을 반영하게 되며, 그 결과 과거 사용자 로그에 대한 저장없이 새로운 로그 스트림을 지속적으로 분석할 수 있다. 결과적으로 사용자의 비정상행동을 실시간으로 탐지할 수 있으며, 이를 실험을 통해 평가하였다.

• 한국정보과학회:학술대회논문집
• /
• 한국정보과학회 2003년도 가을 학술발표논문집 Vol.30 No.2 (1)
• /
• pp.874-876
• /
• 2003

전산 시스템에 대한 침입에 대응하기 위하여 시스템 호출 감사자료 척도를 사용하여 은닉 마르코프 모델(HMM)에 적용하는 비정상행위 기반 침입탐지 시스템에 대한 연구가 활발하다. 하지만, 이는 일정한 임계간 이하의 비정상행위만을 감지할 뿐, 어떠한 유형의 침입인지를 판별하지 못한다. 이에 Viterbi 알고리즘을 이용하여 상태 시퀀스를 분석하고, 공격 유형별 표준 상태시퀀스와의 유사성을 측정하여 유형을 판별할 수 있는데, 외부 혹은 내부 환경에 따라 상태 시퀀스가 항상 규칙적으로 추출될 수 없기 때문에, 단순 매칭으로 침입 유형을 판별하기가 어렵다. 본 논문에서는 이러한 문제를 해결하기 위하여 시퀀스의 변형을 효과적으로 고려하는 편집거리(Edit distance)를 이용하여 어떠한 유형의 침입이 발생하였는지를 판별하는 방법을 제안한다. 본 논문에서는 루트권한을 취득하기 위한 대표적인 침입유형으로 가장 널리 쓰이는 버퍼오버플로우 공격에 대해 실험하였는데, 그 결과 세부적인 침입 유형을 잘 판별할 수 있음을 확인하였다.

• 한국정보보호학회:학술대회논문집
• /
• 한국정보보호학회 2003년도 동계학술대회
• /
• pp.101-106
• /
• 2003

인터넷 상에서의 대부분의 네트워크 공격은 공격의 목표가 되는 시스템에 단일 패킷만을 보냄으로써 공격이 이뤄질 수 없다. 그렇기 때문에 침입탐지시스템에서는 내부 네트워크로 들어오고 나가는 패킷들에 대한 일련의 순차성을 알아냄으로써 네트워크 공격을 탐지할 수 있다. 본 연구에서는 이러한 네트워크 패킷의 순차성을 이용하여 비정상행위에 대한 침입탐지 방법을 제안하였으며 또한 일부 비정상행위 탐지에서 사용하고 있는 시간을 기준으로 한 트랜잭션의 분할에서 오는 단점을 지적하고 그것을 보완하기 위하여 탐지 단위로서 사용자의 세션을 사용하였다. TCP/IP 네트워크에서의 사용자 세션 정보를 표현하기 위해서 여러 가지 정보가 사용자 행위 테이블로 표현되며 이러한 사용자 행위 테이블은 서비스 포트 별로 통계적인 정리가 가능하다. 또한 이렇게 정리된 서비스 포트별 정보에서는 확률을 기반으로 한 비정상 행위를 도출할 수 있으며, 이러한 비정상 행위도를 이용하여 침입 판단의 근거자료로 삼을 수 있음을 확인하였다.

• 한국콘텐츠학회:학술대회논문집
• /
• 한국콘텐츠학회 2005년도 추계 종합학술대회 논문집
• /
• pp.529-532
• /
• 2005

비정상행위 탐지를 위해서는 사용자의 정상적인 행위 모델링이 중요한 이슈가 된다. 이러한 정상적인 행위를 간략한 프로파일로 생성하기 위해서 기존의 데이터 마이닝 기법들은 주로 고정된 데이터 집합을 이용하였다. 하지만 이러한 접근 방법들은 단순히 사용자 행위의 정적인 면만을 모델링 할 수 있다. 이러한 단점을 극복하기 위해서 사용자의 행위를 연속된 데이터 스트림으로 처리해야 한다. 본 논문에서는 데이터 스트림을 모델링하는 새로운 클러스터링 방법을 제안한다. 이를 위해서, 사용자의 행위의 특성을 표현하는 다양한 특징들로 분류한다. 따라서 각 특징에 대해, 제안된 클러스터링 알고리즘을 이용하여 지금까지 관찰된 특징 값들을 기반으로 클러스터 탐색하게 된다. 결과적으로 사용자의 과거 행위들을 유지할 필요 없이 사용자의 새로운 행위를 클러스터링 결과에 연속적으로 반영될 수 있다.

• 정보보호학회논문지
• /
• 제33권3호
• /
• pp.411-425
• /
• 2023

오늘날 AI(Artificial Intelligence) 기술은 다양한 분야에서 활용 목적에 맞게 분류, 회기 작업을 수행하며 광범위하게 활용되고 있으며, 연구 또한 활발하게 진행 중인 분야이다. 특히 보안 분야에서는 예기치 않는 위협을 탐지해야 하며, 모델 훈련과정에 알려진 위협 정보를 추가하지 않아도 위협을 탐지할 수 있는 비 지도학습 기반의 이상 탐지 기법이 유망한 방법이다. 하지만 AI 판단에 대한 해석 가능성을 제공하는 선행 연구 대부분은 지도학습을 대상으로 설계되었기에 학습 방법이 근본적으로 다른 비 지도학습 모델에 적용하기는 어려우며, Vision 중심의 AI 매커니즘 해석연구들은 이미지로 표현되지 않는 보안 분야에 적용하기에 적합하지 않다. 따라서 본 논문에서는 침해공격의 원본인 최적화 Reference를 탐색하고 이와 비교함으로써 탐지된 이상에 대한 해석 가능성을 제공하는 기법을 활용한다. 본 논문에서는 산출된 Reference를 기반으로 실존 데이터에서 가장 가까운 데이터를 탐색하는 로직을 추가 제안함으로써 실존 데이터를 기반으로 이상 징후에 대한 더욱 직관적인 해석을 제공하고 보안 분야에서의 효과적인 이상 탐지모델 활용을 도모하고자 한다.