• Proceedings of the Korean Information Science Society Conference
• /
• 2002.10c
• /
• pp.517-519
• /
• 2002

침입탐지 시스템은 정밀성자 적응성, 그리고 확장성을 필요로 한다. 이와 같은 조건을 포함하면서 복잡한 Network 환경에서 중요하고 기밀성이 유지되어야 할 리소스를 보호하기 위해, 우리는 더욱 구조적이며 지능적인 IDS(Intrusion Detection Systems) 개발의 필요성이 요구되고 있다. 본 연구는 데이터 마이닝(Data mining)을 통해 입 패턴, 즉 침입 규칙(Rules)을 생성한다. 데이터 마이닝 기법 중 분류(Classification)에 초점을 맞추어 분석과 실험을 하였으며, 사용된 데이터는 KDD데이터이다. 이 데이터를 중심으로 침입 규칙을 생성하였다. 규칙생성에는 유전자알고리즘(Genetic Algorithm : GAs)을 적용하였다. 즉, 오용탐지(Misuse Detection) 기법을 실험하였으며, 생성된 규칙은 침입데이터를 대표하는 규칙으로 비정상 사용자와 정상 사용자를 분류하게 된다. 규칙은 "Time Based Traffic Model", "Host Based Traffic Model", "Content Model" 이 세 가지 모듈에서 각각 상이한 침입 규칙을 생성하게 된다. 본 시스템에서 도출된 침입 규칙은 430M Test data set에서 테스트한 결과 평균 약94.3%의 성능 평가 결과를 얻어 만족할 만한 성과를 보였다.의 성능 평가 결과를 얻어 만족할 만한 성과를 보였다.

• Proceedings of the Korean Information Science Society Conference
• /
• 2004.04a
• /
• pp.289-291
• /
• 2004

정보시스템에 대한 침입탐지는 네트워크 기반의 침입탐지시스템에 의존하였으나, 네트워크 규모의 확대와 암호사용의 증가로 인하여 호스트 기반의 침입탐지시스템을 중심으로 연구되고 있다. 본 논문에서는 CB(Check-Box)에 규정된 정책을 이용한 호스트 기반의 침입탐지 시스템을 설계하여 이를 실험하였다. 침입탐지 실험을 위한 시스템호출 기술은 커널에 프로세스들의 특성을 자세하게 정의하고, 이를 실행할 수 있도록 기반을 구축함으로서 가능하게 하였다. 이러한 기법의 특성은 실행 가능한 프로세스가 시스템에 자원에 정당하게 접근할 수 있는 정책을 자세하게 규정해야 하며, 규정을 기술하기 위한 언어는 보안영역을 효과적으로 표현하고 번역될 수 있어야 한다. 본 연구는 Linux의 커널에서 침입탐지기법에 대한 모형을 제시하고, 공격에 대한 탐지와 탐지결과를 검증할 수 있는 정책을 설정하였다. 제안된 시스템은 커널의 변화에 대한 영향력을 최소화하도록 함으로서 새로운 커널을 쉽게 설치할 수 있기 때문에 정책에 의한 호스트기반의 침입탐지시스템은 운영 탐지 분석을 통하여 침입을 예방할 수 있는 방안을 마련할 수 있다.

• Journal of the Korea Institute of Information Security & Cryptology
• /
• v.19 no.1
• /
• pp.71-79
• /
• 2009

Currently much research is being done on host based intrusion detection using system calls which is a portion of kernel based data. Sequence based and frequency based preprocessing methods are mostly used in research for intrusion detection using system calls. Due to the large amount of data and system call types, it requires a significant amount of preprocessing time. Therefore, it is difficult to implement real-time intrusion detection systems. Despite this disadvantage, the frequency based method which requires a relatively small amount of preprocessing time is usually used. This paper proposes an effective method for detecting denial of service attacks using the frequency based method. Principal Component Analysis(PCA) will be used to select the principle system calls and a bayesian network will be composed and the bayesian classifier will be used for the classification.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2003.11c
• /
• pp.1961-1964
• /
• 2003

NIDS 구조의 근본적인 결함을 이용하는 공격기법과 또한 우회하는 공격기법이 많이 개발 되고 있다. 이러한 NIDS에 대한 공격기법의 해결로 HIDS가 사용 될 수 있으나 HIDS 또한 서비스 하는 시스템 자체 내에 탑재하기 때문에 시스템에 많은 부하를 준다. 따라서 NIDS의 많은 장점들을 유지하면서도 NIDS의 한계를 극복하고 HIDS로써 시스템에 않은 과부하를 주지 않는 새로운 HIDS 모델을 제시한다. 제안된 HIDS는 특성상 모든 곳에서의 접속을 허용하므로 보안이 취약한 Web 서버의 보안 강화를 목적으로 설계되었다. 또한, Web 서버는 Web Service라는 특정 목적안을 위해 운영되기 때문에 HIDS를 설치하더라도 Web 공격에 대해서안 고려함으로써 HIDS의 부하를 상당히 줄일 수 있다. 본 논문에서 제안하는 HIDS는 Linux 운영체제의 Kernel에서 TCP Stream을 추출하여 이를 감사 자료로써 사용하여 침입탐지를 한다. Linux 서버의 자체적인 호스트 방화벽과 연동하여 침입에 따른 대응을 한다.

• Proceedings of the Korean Information Science Society Conference
• /
• 2003.04a
• /
• pp.278-280
• /
• 2003

NIDS 구조의 근본적인 결함을 이용하는 공격기법과 또한 우회하는 공격기법이 많이 개발되고있다. 이러한 NIDS에 대한 공격기법의 해결로 HIDS가 사용 될 수 있으나 HIDS 또한 서비스 하는 시스템 자체 내에 탑재하기 때문에 시스템에 많은 부하를 준다. 따라서 NIDS의 많은 장점들을 유지하면서도 NIDS의 한계를 극복하고 HIDS로써 시스템에 많은 과부하를 주지 않는 새로운HIDS 모델을 제시한다. 제안된 HIDS는 특성상 모든 곳에서의 접속을 허용하므로 보안이 취약한 Web 서버의 보안 강화를 목적으로 설계되었다. 또한, Web 서버는 Web Service라는 특정 목적만을 위해 운영되기 때문에 HIDS를 설치하더라도 Web 공격에 대해서만 고려함으로써 HIDS의 부하를 상당히 줄일 수 있다. 본 논문에서 제안하는 HIDS는 Linux 운영체제의 Kernel에서 TCP Stream을 추출하여 이를 감사 자료로써 사용하여 침입탐지를 한다.

• Journal of the Korea Institute of Information Security & Cryptology
• /
• v.13 no.3
• /
• pp.81-90
• /
• 2003

The presence of the intrusion is judged by intrusion detection system based on the audit log and the Performance of this system depends on how correctly and effectively it has been described about the intrusion pattern with audit log. In this paper, the relativity concerning intrusion is demonstrated among the information those are ‘System call, Network packet and Syslog’ and the related pattern of the state-transition-based method and those rule-based pattern is identified. By applying this correlation to them, the accuracy rate of detection was able to be improved. Especially, the availability of detection with correlation pattern through Covert Channel detection test has been substantiated.

• Journal of the Korea Institute of Information Security & Cryptology
• /
• v.14 no.5
• /
• pp.69-78
• /
• 2004

The change of attack techniques paradigm was begun by fast extension of the latest Internet and new attack form appearing. But, Most intrusion detection systems detect only known attack type as IDS is doing based on misuse detection, and active correspondence is difficult in new attack. Therefore, to heighten detection rate for new attack pattern, the experiments to apply various techniques of anomaly detection are appearing. In this paper, we propose an behavior profiling method using Bayesian framework based on graphics from audit data and visualize behavior profile to detect/analyze anomaly behavior. We achieve simulation to translate host/network audit data into BF-XML which is behavior profile of semi-structured data type for anomaly detection and to visualize BF-XML as SVG.

• Convergence Security Journal
• /
• v.1 no.1
• /
• pp.57-68
• /
• 2001

Computer security is considered important because of the side effect generated from the expansion of computer network and rapid increase of the use of computer. Intrusion Detection System(IDS) has been an active research area to reduce the risk from intruders. In this paper, the Hybrid Intrusion Detection System(HIDS) based biometric immuntiy collects and filters audit data by misuse detection is innate immune, and anomaly detection is acquirement immune in multi-hosts. Since, collect and detect audit data from one the system in molt-hosts, it is design and implement of the intrusion detection system which has the immuntiy the detection intrusion in one host possibly can detect in multi-hosts and in the method of misuses detection subsequently.

• Journal of Species Research
• /
• v.9 no.4
• /
• pp.325-338
• /
• 2020

The animal gut is filled with highly diverse microbes associated with host metabolism, physiology, and pathology. However, numerous animal gut microbes have not been cultured or reported. We isolated various bacterial species using culture-dependent approaches during a comprehensive investigation of endangered endemic vertebrate species in the Republic of Korea. A total of 18 unrecorded bacterial species were isolated from the feces of an Oriental stork (Ciconia boyciana), and from the intestinal tracts of a cobitid fish (Kichulchoia multifasciata) and a Korean splendid dace (Coreoleuciscus splendidus). Based on a phylogenetic analysis of 16S rRNA gene sequences, we discovered species belonging to the phyla Actinobacteria (eight species), Firmicutes (seven species), Proteobacteria (two species), and Bacteroidetes (one species). Based on their high 16S rRNA gene sequence similarities (>98.7%) and formation of monophyletic clades with type species, each species was classified into an independent and predefined bacterial species. Gram-stain reaction, colony and cell morphology, basic biochemical characteristics, isolation source, and NIBR IDs for each species are described in the species description section.

• The KIPS Transactions:PartC
• /
• v.10C no.1
• /
• pp.95-102
• /
• 2003

In order to guarantee the survivability of essential services against attacks based on new methodology, we need a solution to recognize important resources for the services and to adapt the urgent situation properly. In this paper, we present a dynamic resource reallocation scheme which is one of the core technologies for the construction of intrusion tolerant systems. By means of resource reallocation within a host, this scheme enables selected essential services to survive even after the occurrence if a system attack. Experimental result obtained on a test-bed reveals the validity of the proposed scheme for resource reallocation. This scheme may work together with IDS (Intrusion Detection System) to produce more effective responsive mechanisms against attacks.