• 전자통신동향분석
• /
• 제38권5호
• /
• pp.71-80
• /
• 2023

With the rapid advancement of the Internet, the use of encrypted traffic has surged in order to protect data during transmission. Simultaneously, network attacks have also begun to leverage encrypted traffic, leading to active research in the field of encrypted traffic analysis to overcome the limitations of traditional detection methods. In this paper, we provide an overview of the encrypted traffic analysis field, covering the analysis process, domains, models, evaluation methods, and research trends. Specifically, it focuses on the research trends in the field of anomaly detection in encrypted network traffic analysis. Furthermore, considerations for model development in encrypted traffic analysis are discussed, including traffic dataset composition, selection of traffic representation methods, creation of analysis models, and mitigation of AI model attacks. In the future, the volume of encrypted network traffic will continue to increase, particularly with a higher proportion of attack traffic utilizing encryption. Research on attack detection in such an environment must be consistently conducted to address these challenges.

• 한국컴퓨터산업학회논문지
• /
• 제6권5호
• /
• pp.715-724
• /
• 2005

최근 들어 폐쇄 환경에서 동작하던 많은 주요 시스템들이 웹 서비스를 제공하면서 호스트는 물론 제공되는 웹기반의 서비스들이 쉽게 공격의 주요 대상이 되고 있다. 뿐만 아니라 웹 컨텐츠나 어플리케이션의 다양성은 새로운 공격 기술을 개발하는 원인이 되기도 한다. 반면 기존의 오용기반 탐지 기법으로는 공격 기술의 발전 속도를 따라가지 못할 뿐더러 새로운 보안 위협을 처리하는 능력이 없다. 따라서 기존의 공격 유형과 함께 새롭게 개발되는 공격과 침입을 탐지하고 대처할 수 있는 기술이 연구되고 개발되고 있다. 본 논문에서는 HTTP 트래픽 패턴과 패킷 정보를 분석하여 HTTP 트래픽 모델에서의 비정상 행위 발생을 실험하였으며, 그 실험 결과를 적용하여 비정상행위를 탐지 가능한 HTTP 트래픽 모델을 설계하고 구현하였다.

• 한국컴퓨터정보학회논문지
• /
• 제11권5호
• /
• pp.157-164
• /
• 2006

최근에는 대부분의 인터넷 공격은 악성코드(Malware)에 의한 잘 알려지지 않은 제로데이 공격 형태가 주류를 이루고 있으며, 이미 알려진 공격유형들에 대해서 탐지하는 오용탐지 기술로는 이러한 공격에 대응하기가 어려운 실정이다. 또한, 다양한 공격 패턴들이 인터넷상에 나타나고 있기 때문에 기존의 정보 보호 기술로는 한계에 다다르게 되었고, 웹기반 서비스가 보편화됨에 따라 인터넷상에 노출된 웹 서비스가 주공격 대상이 되고 있다. 본 논문은 인터넷상의 트래픽 유형을 분류하고, 각 유형에 따른 이상 징후를 탐지하고 분석할 수 있는 비정상행위공격 탐지기술(Anomaly Intrusion Detection Technologies)을 포함하고 있는 위협관리 시스템(Threat Management System)을 제안한다.

• Journal of Information Processing Systems
• /
• 제20권3호
• /
• pp.375-390
• /
• 2024

Edge computing architecture has effectively alleviated the computing pressure on cloud platforms, reduced network bandwidth consumption, and improved the quality of service for user experience; however, it has also introduced new security issues. Existing anomaly detection methods in big data scenarios with cloud-edge computing collaboration face several challenges, such as sample imbalance, difficulty in dealing with complex network traffic attacks, and difficulty in effectively training large-scale data or overly complex deep-learning network models. A lightweight deep-learning model was proposed to address these challenges. First, normalization on the user side was used to preprocess the traffic data. On the edge side, a trained Wasserstein generative adversarial network (WGAN) was used to supplement the data samples, which effectively alleviates the imbalance issue of a few types of samples while occupying a small amount of edge-computing resources. Finally, a trained lightweight deep learning network model is deployed on the edge side, and the preprocessed and expanded local data are used to fine-tune the trained model. This ensures that the data of each edge node are more consistent with the local characteristics, effectively improving the system's detection ability. In the designed lightweight deep learning network model, two sets of convolutional pooling layers of convolutional neural networks (CNN) were used to extract spatial features. The bidirectional long short-term memory network (BiLSTM) was used to collect time sequence features, and the weight of traffic features was adjusted through the attention mechanism, improving the model's ability to identify abnormal traffic features. The proposed model was experimentally demonstrated using the NSL-KDD, UNSW-NB15, and CIC-ISD2018 datasets. The accuracies of the proposed model on the three datasets were as high as 0.974, 0.925, and 0.953, respectively, showing superior accuracy to other comparative models. The proposed lightweight deep learning network model has good application prospects for anomaly traffic detection in cloud-edge collaborative computing architectures.

• 한국항해항만학회지
• /
• 제42권4호
• /
• pp.277-282
• /
• 2018

최근 해상교통량이 증가하고 선박교통 관제구역이 확대됨에 따라 관제사의 업무 부하가 증가하고 있으며, 이로 인해 교통량이 급증하는 경우 관제사가 위험을 인지하지 못하는 상황도 발생하게 된다. 이러한 배경에서 본 논문에서는 관제 업무의 지원을 위해 이상 거동 선박을 자동으로 식별하는 방법을 제안한다. 본 방법은 누적된 AIS 데이터를 이용하여 관제구역 내의 통항 패턴을 학습하고, 학습된 모델과의 비교를 통해 이상치를 계산하여 이상 거동 선박을 식별한다. 특히, 선박의 거동 상태에 대한 분류 정보가 없더라도 비지도 학습법을 기반으로 항적 데이터를 자동으로 분류하여 통항 패턴을 학습할 수 있으며, 항적의 군집화와 분류 과정을 통해 이상 거동 선박을 실시간으로 식별할 수 있는 특징을 가진다. 또한, 본 논문에서는 선박운항 시뮬레이터 및 실제 AIS 항적 데이터를 이용한 식별 실험을 수행하였으며, 이를 통해 선박교통관제 시스템에의 활용 가능성을 고찰하였다.

• International Journal of Fuzzy Logic and Intelligent Systems
• /
• 제8권4호
• /
• pp.316-321
• /
• 2008

Advanced computer network technology enables computers to be connected in an open network environment. Despite the growing numbers of security threats to networks, most intrusion detection identifies security attacks mainly by detecting misuse using a set of rules based on past hacking patterns. This pattern matching has a high rate of false positives and can not detect new hacking patterns, which makes it vulnerable to previously unidentified attack patterns and variations in attack and increases false negatives. Intrusion detection and analysis technologies are thus required. This paper investigates the asymmetric costs of false errors to enhance the performances the detection systems. The proposed method utilizes the network model to consider the cost ratio of false errors. By comparing false positive errors with false negative errors, this scheme achieved better performance on the view point of both security and system performance objectives. The results of our empirical experiment show that the network model provides high accuracy in detection. In addition, the simulation results show that effectiveness of anomaly traffic detection is enhanced by considering the costs of false errors.

• 정보처리학회논문지C
• /
• 제12C권1호
• /
• pp.19-28
• /
• 2005

최근 알려지지 않은 공격(unknown attack)으로부터 네트워크를 보호하기 위한 네트워크 트래픽 어노멀리(anomaly) 검출에 대한 관심이 고조되고 있다. 본 논문에서는 캠퍼스 네트워크의 보드라우터(border router)의 NetFlow 데이터로 제공되는 초당비트수(bits per second)와 초당플로수(flows per second)의 상관관계를 단순회귀분석을 통하여 새로운 어노멀리 검출 기법을 제시하였다. 새로이 제안된 기법을 검증하기 위해 실지 캠퍼스 네트워크에 적용하였으며 그 결과론 Holt-Winters seasonal(HWS) 알고리즘과 비교하였다. 특히, 제안된 기법은 기존 RRDtool에 통합시켜 실시간 검출이 가능하도록 설계하였다.

• 한국항해항만학회:학술대회논문집
• /
• 한국항해항만학회 2022년도 춘계학술대회
• /
• pp.277-279
• /
• 2022

Rapid Development and adoption of AIS as a survailance tool has resulted in widespread application of data analysis technology, in addition to AIS ship trajectory clustering. AIS data-based clustering has become an increasingly popular method for marine traffic pattern recognition, ship route prediction and anomaly detection in recent year. In this paper we propose a route waypoint extraction by clustering ships CoG variance trajectory using Density-Based Spatial Clustering of Application with Noise (DBSCAN) algorithm in both port approach channel and coastal waters. The algorithm discovers route waypoint effectively. The result of the study could be used in traffic route extraction, and more-so develop a maritime anomaly detection tool.

• KSII Transactions on Internet and Information Systems (TIIS)
• /
• 제4권3호
• /
• pp.428-451
• /
• 2010

Traffic matrix-based anomaly detection and DDoS attacks detection in networks are research focus in the network security and traffic measurement community. In this paper, firstly, a new type of unidirectional flow called IF flow is proposed. Merits and features of IF flows are analyzed in detail and then two efficient methods are introduced in our DDoS attacks detection and evaluation scheme. The first method uses residual variance ratio to detect DDoS attacks after Recursive Least Square (RLS) filter is applied to predict IF flows. The second method uses generalized likelihood ratio (GLR) statistical test to detect DDoS attacks after a Kalman filter is applied to estimate IF flows. Based on the two complementary methods, an evaluation formula is proposed to assess the seriousness of current DDoS attacks on router ports. Furthermore, the sensitivity of three types of traffic (IF flow, input link and output link) to DDoS attacks is analyzed and compared. Experiments show that IF flow has more power to expose anomaly than the other two types of traffic. Finally, two proposed methods are compared in terms of detection rate, processing speed, etc., and also compared in detail with Principal Component Analysis (PCA) and Cumulative Sum (CUSUM) methods. The results demonstrate that adaptive filter methods have higher detection rate, lower false alarm rate and smaller detection lag time.

• 인터넷정보학회논문지
• /
• 제17권2호
• /
• pp.19-28
• /
• 2016

최근 정보통신망의 발전과 스마트 폰의 대량 보급으로 인하여 인터넷 트래픽이 기하급수적으로 증가하고 있다. 이와 관련하여, 본 논문은 증가하고 있는 인터넷 침해사고와 네트워크 공격 중 대표적인 DDoS 공격에 대해서 탐지 및 분석한다. 이를 위해 네트워크 플로우 정보를 바탕으로 동작할 수 있도록 기존의 ATMSim 분석 패키지의 기능과 GUI를 개선하고, 이를 이용하여 캠퍼스 내부 LAN을 통해 대량으로 유입되는 정상적인 트래픽과 DDoS 공격이 포함된 비정상 트래픽을 생성한다. 수집 생성된 정상 비정상 트래픽의 특성을 분석하기 위해서 자기유사성 추정 기법을 이용하여, 그래픽 분석 및 Hurst 파라메터 (자기유사성 파라메터) 추정량 분석결과 정상 트래픽과 비정상 트래픽이 자기유사성 관점에서 추정치 Hurst 값이 높음을 보여 주고 있다.