• 인터넷정보학회논문지
• /
• 제23권2호
• /
• pp.97-105
• /
• 2022

Web services show a rapid evolution and integration to meet the increased users' requirements. Thus, web services undergo updates and may have performance degradation due to undetected faults in the updated versions. Due to these faults, many performances and regression anomalies in web services may occur in real-world scenarios. This paper proposed applying the deep learning model and innovative explainable framework to detect performance and regression anomalies in web services. This study indicated that upper bound and lower bound values in performance metrics provide us with the simple means to detect the performance and regression anomalies in updated versions of web services. The explainable deep learning method enabled us to decide the precise use of deep learning to detect performance and anomalies in web services. The evaluation results of the proposed approach showed us the detection of unusual behavior of web service. The proposed approach is efficient and straightforward in detecting regression anomalies in web services compared with the existing approaches.

• KSII Transactions on Internet and Information Systems (TIIS)
• /
• 제10권6호
• /
• pp.2781-2800
• /
• 2016

Emerging attacks aim to access proprietary assets and steal data for business or political motives, such as Operation Aurora and Operation Shady RAT. Skilled Intruders would likely remove their traces on targeted hosts, but their network movements, which are continuously recorded by network devices, cannot be easily eliminated by themselves. However, without complete knowledge about both inbound/outbound and internal traffic, it is difficult for security team to unveil hidden traces of intruders. In this paper, we propose an autonomous anomaly detection system based on behavior profiling and relation mining. The single-hop access profiling model employ a novel linear grouping algorithm PSOLGA to create behavior profiles for each individual server application discovered automatically in historical flow analysis. Besides that, the double-hop access relation model utilizes in-memory graph to mine time-sequenced access relations between different server applications. Using the behavior profiles and relation rules, this approach is able to detect possible anomalies and violations in real-time detection. Finally, the experimental results demonstrate that the designed models are promising in terms of accuracy and computational efficiency.

• 한국컴퓨터정보학회논문지
• /
• 제17권5호
• /
• pp.33-40
• /
• 2012

본 논문은 HTTP Outbound Traffic의 감시를 통해 다양한 웹 공격의 침입 경로에 대응하고, 학습 효율성을 높여 변종 또는 새로운 기법을 이용한 비정상 행위에 대한 오탐을 낮춘 기법을 제안한다. 제안 기법은 HMM(Hidden Markov Model)을 적용하여 HTML 문서속의 태그와 자바스크립트의 학습을 통한 정상 행위 모델을 생성한 후, HTTP Outbound Traffic속의 정보를 정상 행위 모델과 비교하여 웹 공격을 탐지한다. 실제 침입된 환경에서의 검증 분석을 통해, 제안기법이 웹 공격에 대해 0.0001%의 오탐율과 96%의 우수한 탐지능력을 보임을 제시한다.

• International Journal of Fuzzy Logic and Intelligent Systems
• /
• 제8권4호
• /
• pp.316-321
• /
• 2008

Advanced computer network technology enables computers to be connected in an open network environment. Despite the growing numbers of security threats to networks, most intrusion detection identifies security attacks mainly by detecting misuse using a set of rules based on past hacking patterns. This pattern matching has a high rate of false positives and can not detect new hacking patterns, which makes it vulnerable to previously unidentified attack patterns and variations in attack and increases false negatives. Intrusion detection and analysis technologies are thus required. This paper investigates the asymmetric costs of false errors to enhance the performances the detection systems. The proposed method utilizes the network model to consider the cost ratio of false errors. By comparing false positive errors with false negative errors, this scheme achieved better performance on the view point of both security and system performance objectives. The results of our empirical experiment show that the network model provides high accuracy in detection. In addition, the simulation results show that effectiveness of anomaly traffic detection is enhanced by considering the costs of false errors.

• 정보처리학회논문지C
• /
• 제13C권3호
• /
• pp.283-294
• /
• 2006

악의적인 네트워크 트래픽은 흔히 공격의 성질을 구체적으로 알지 않고서도 평상시 트래픽과 구별된다. 본 논문에서는 네트워크 인바운드 트래픽 분포를 이용해 네트워크 트래픽 비정상행위를 탐지하는 방법을 제시한다. 이를 위해 먼저 실제 캠퍼스 네트워크의 트래픽 특성을 프로토콜, 패킷 길이, 목적지 IP/포트 주소, TTL 값, TCP SYN 패킷, 그리고 프래그멘트 패킷 분포 등을 통해 조사하였다. 이렇게 구해진 다양한 베이스라인 트래픽 분포로부터 엔트로피를 계산하고 이를 기준으로 비정상행위를 탐지하는 방법을 제시하였다. 특히 본 논문에서는 잘 알려진 서비스거부공격을 실제 캠퍼스 네트워크를 대상으로 실시하였고 그 결과를 제시함으로서 제안된 기법의 타당성을 검증하였다.

• 한국정보처리학회논문지
• /
• 제6권12호
• /
• pp.3622-3633
• /
• 1999

컴퓨터망의 확대 및 컴퓨터 이용의 급격한 증가에 따른 부작용으로 컴퓨터 보안 문제가 중요하게 대두되고 있다. 이에 따라 침입자들로부터 침입을 줄이기 위한 침입탐지시스템에 관한 연구가 활발하다. 본 논문은 비정상적인 행위를 탐지하는 침입탐지시스템에 관해 고찰하고, 컴퓨터 면역시스템을 바탕으로 한 지능형 IDS 모델을 제안한다. 제안한 모델에서 지능형 IDS들은 여러 컴퓨터에 분산되고, 분산된 IDS들 중 어느 하나가 특권 프로세스(privilege process)에 의해 발생된 시스템 호출 순서 중 비정상적인 시스템 호출을 탐지한 경우 이를 다른 IDS들과 서로 동적으로 공유하여 새로운 침입에 대한 면역력을 향상시킨다.

• 정보보호학회논문지
• /
• 제29권2호
• /
• pp.321-330
• /
• 2019

기업에서 내부자에 의한 기업 기밀 유출 방지는 기업의 생존을 위한 필수 과제이다. 내부자에 의한 정보유출 사고를 막기 위해 기업에서는 보안 솔류션을 도입하여 적용하고 있으나 접근 권한이 있는 내부자의 이상행위를 효과적으로 탐지하는 데에는 한계가 있다. 이번 연구에서는 기업의 제품 제조 이력, 품질 정보 등을 담고 있는 제조정보시스템의 작업자 작업화면 접근 로그 데이타를 기계학습 기법의 비지도학습 알고리즘을 활용하여 정상적인 접근 로그와 비정상적인 접근 로그를 효과적으로 군집화하는 방법을 연구하여 이상징후 탐지를 위한 최적화된 속성 선택 모델을 제시하고자 한다.

• KSII Transactions on Internet and Information Systems (TIIS)
• /
• 제17권2호
• /
• pp.486-503
• /
• 2023

Logs play an important role in mastering the health of the system, experienced operation and maintenance engineer can judge which part of the system has a problem by checking the logs. In recent years, many system architectures have changed from single application to distributed application, which leads to a very huge number of logs in the system and manually check the logs to find system errors impractically. To solve the above problems, we propose a method based on Message Middleware and ATT-GRU (Attention Gate Recurrent Unit) to detect the logs anomaly of distributed systems. The works of this paper mainly include two aspects: (1) We design a high-performance distributed logs collection architecture to complete the logs collection of the distributed system. (2)We improve the existing GRU by introducing the attention mechanism to weight the key parts of the logs sequence, which can improve the training efficiency and recognition accuracy of the model to a certain extent. The results of experiments show that our method has better superiority and reliability.

• 한국정보통신학회:학술대회논문집
• /
• 한국정보통신학회 2021년도 추계학술대회
• /
• pp.78-81
• /
• 2021

스마트공장 구축사업을 통해 제조업의 생산설비에 센서가 설치되고 각종 공정데이터를 실시간으로 수집할 수 있게 되었다. 이를 통해 제조공정의 설비이상으로 인한 생산중단을 줄이기 위해 실시간 설비 이상 탐지에 대한 연구가 활발히 진행되고 있다. 본 논문에서는 생산설비의 이상탐지를 위해 제조데이터를 딥러닝 모델인 Autoencoder(AE), VAE(Variational Autoencoder), AAE(Adversarial Autoencoder)에 적용하여 그 결과를 도출하였다. 제조데이터는 단순 이동 평균 기법과 전처리 과정을 거쳐 입력데이터로 사용하였으며, 단순이동평균 기법의 윈도우 크기와 AE 모델의 특징벡터 크기에 따른 성능분석을 실시하였다.

• 한국ITS학회 논문지
• /
• 제21권4호
• /
• pp.125-144
• /
• 2022

VMS (variable message signs) 시스템이 악의적인 공격에 노출되어 교통안전과 관련된 거짓 정보를 출력하게 된다면 운전자에게 심각한 위험을 초래할 수 있다. 이러한 경우를 방지하기 위해 VMS 시스템에 사용되는 메시지들을 수집하여 평상시의 패턴을 학습한다면 VMS 시스템에 출력될 수 있는 이상 메시지를 빠르게 감지하고 이에 대한 대응을 할 수 있을 것이다. 본 논문에서는 양방향 GPT (generative pre-trained transformer) 모델을 이용하여 VMS 메시지의 평상 시 패턴을 학습한 후 이상 메시지를 탐지하는 기법을 제안한다. 구체적으로, 제안된 기법에 VMS 메시지 및 시스템 파라미터를 입력 하고 이에 대한 NLL (negative log likelihood) 값을 최소화하도록 학습한다. 학습이 완료되면 판정해야 할 대상의 NLL 값을 계산한 후, 문턱치 값 이상일 경우 이를 이상으로 판정한다. 실험 결과를 통해, 공격에 의한 악의적인 메시지 탐지뿐만 아니라 시스템의 오류가 발생하는 상황에 대한 탐지도 가능함을 보였다.