• 정보처리학회논문지:소프트웨어 및 데이터공학
• /
• 제9권12호
• /
• pp.411-418
• /
• 2020

정보보안을 위한 IDS(Intrusion Detection Systems)는 통상적으로 서명기반(signature based) 침입탐지시스템과 이상기반(anomaly-based) 침입 탐지시스템으로 분류한다. 이 중에서도 네트워크에서 발생하는 트래픽 데이터를 기계학습으로 분석하는 이상기반 IDS 연구가 활발하게 진행됐다. 본 논문에서는 공격 유형 학습에 사용되는 데이터에 존재하는 희소 클래스 문제로 인한 성능 저하를 해결하기 위한 전처리 방안에 대해 연구했다. 희소 클래스(Rare Class)와 준 희소 클래스(Semi Rare Class)를 기준으로 데이터를 재구성하여 기계학습의 분류 성능의 개선에 대하여 실험했다. 재구성된 3종의 데이터 세트에 대하여 Wrapper와 Filter 방식을 연이어 적용하는 하이브리드 특징 선택을 수행한 이후에 Quantile Scaler로 정규화를 처리하여 전처리를 완료한다. 준비된 데이터는 DNN(Deep Neural Network) 모델로 학습한 후 TP(True Positive)와 FN(False Negative)를 기준으로 분류 성능을 평가했다. 이 연구를 통해 3종류의 데이터 세트에서 분류 성능이 모두 개선되는 결과를 얻었다.

• 대한전자공학회:학술대회논문집
• /
• 대한전자공학회 2002년도 하계종합학술대회 논문집(3)
• /
• pp.185-188
• /
• 2002

This paper proposes a efficient way to use Database that is constructed about attack-pattern. For IDS that activate confrontation, we reconstruct by Layered Attack Tree after constructing attack pattern by Attack Tree. And then this paper has designed IDS that Layered Attack Tree is applied, verified them.

• 대한전자공학회논문지TE
• /
• 제39권1호
• /
• pp.77-82
• /
• 2002

침입 탐지 시스템은 침입 판정과 감사 데이터(audit data) 수집 분야에서 많은 연구가 진행되고 있다. 침입 판정은 주어진 일련의 행위들이 침입인지 아닌지를 정확히 판정해야 하고 감사 자료 수집에서는 침입판정에 필요한 데이터만을 정확히 수집하는 능력이 필요하다. 최근에 이러한 문제점을 해결하기 위해 규칙 기반 시스템과 신경망 등의 인공지능적인 방법들이 도입되고 있다. 그러나 이러한 방법들은 단일 호스트 구조로 되어있거나 변형된 새로운 침입 패턴이 발생했을 때 탐지하지 못하는 단점이 있다. 따라서, 본 논문에서는 분산된 이기종 간의 호스트에서 사용자의 행위를 추출하여 패턴을 검색, 예측할 수 있는 데이터 마이닝을 적용하여 실시간으로 침입을 탐지하는 방법을 제안하고자 한다.

• 한국정보통신학회:학술대회논문집
• /
• 한국해양정보통신학회 2001년도 추계종합학술대회
• /
• pp.479-482
• /
• 2001

침입 탐지 시스템은 침입 판정과 감사 데이터(audit data) 수집 분야에서 많은 연구가 진행되고 있다. 침입 판정은 주어진 일련의 행위들이 침입인지 아닌지를 정확히 판정해야 하고 감사 자료 수집에서는 침입 판정에 필요한 데이터만을 정확히 수집하는 능력이 필요하다 최근에 이러한 문제점을 해결하기 위해 규칙기반 시스템과 신경망 등의 인공지능적인 방법들이 도입되고 있다. 그러나 이러한 방법들은 단일 호스트 구조로 되어있거나 변형된 침입 패턴이 발생했을 때 탐지하지 못하는 단점이 있다. 따라서, 본 논문에서는 분산된 이기종 간의 호스트에서 사용자의 행위를 추출하여 패턴을 검색, 예측할 수 있는 데이터 마이닝을 적용하여 실시간으로 침입을 탐지하는 방법을 제안하고자 한다.

• 한국산학기술학회논문지
• /
• 제17권2호
• /
• pp.703-711
• /
• 2016

침입탐지시스템은 네트워크 데이터 분석을 통해 네트워크 침입을 탐지하는 역할을 수행하고 침입탐지를 위해 높은 수치의 정확도와 탐지율, 그리고 낮은 수치의 오경보율이 요구된다. 또한 네트워크 데이터 분석을 위해서는 전문가 시스템, 데이터 마이닝, 상태전이 분석(state transition analysis) 등 다양한 기법이 이용된다. 본 연구의 목적은 데이터 마이닝을 이용한 네트워크 침입탐지기법인 두 기법의 탐지효과를 비교하는데 있다. 첫번째 기법은 기계학습 알고리즘인 SVM이고 두번째 알고리즘은 인공 신경망 모형 중의 하나인 FANN이다. 두 기법의 탐지효과를 비교하기 위해 침입 탐지에 많이 쓰이는 KDD Cup 99 훈련 및 테스트 데이터를 이용하여 탐지의 정확도, 탐지율, 오경보율을 계산하고 비교하였다. 정상적인 데이터를 침입으로 간주하는 오경보율의 경우 SVM보다 FANN이 약간 많은 오경보율을 보이나, 탐지의 정확도 및 침입을 찾아내는 탐지율에서 FANN은 SVM보다 월등한 탐지효과를 보여준다. 정상적인 데이터를 침입으로 간주했을 때의 위험보다는 실제 침입을 정상적인 데이터로 인식할 때의 위험도가 훨씬 큰 것을 감안하면 FANN이 SVM보다 침입탐지에 훨씬 효과적임을 보이고 있다.

• 융합보안논문지
• /
• 제8권4호
• /
• pp.31-40
• /
• 2008

최근 들어 단순히 시스템에 남아있는 단서들을 분석하는 디스크 포렌식에서 공격자의 추적을 위해 시스템이 포함하는 네트워크의 침입 관련 정보를 분석하여 네트워크 포렌식의 연구가 활발해지고 있다. Firewall이나 IDS, 웹서버 로그의 상호 관계와 분석은 네트워크 포렌식 절차에서 중요한 역할을 한다. 이 연구는 네트워크 포랜식에서 개인정보 노출 감시를 위한 통합 GUI를 제시한다. 본 논문에서는 네트워크 포렌식을 위한 다양한 로그 정보들의 필요성을 제시하고 개인정보 누출을 모니터하는 보안 관리자를 위한 GUI를 설계한다.

• 한국전자통신학회논문지
• /
• 제19권1호
• /
• pp.249-256
• /
• 2024

기계학습 기반의 침입탐지 방법론들은 분류하고자 하는 각 클래스에 대해 균등한 많은 학습 데이터가 필요하며, 탐지 또는 분류하려는 공격유형의 추가 시 시스템을 모두 재학습해야 하는 문제점을 가지고 있다. 본 논문에서는 특징학습과 계층분류 방법을 이용하여, 비교적 적은 학습 데이터를 이용한 분류 문제 및 데이터 불균형 문제를 해결하고, 새로운 공격유형의 추가가 쉬운 침입탐지 방법론을 제안하고자 한다. 제안된 시스템은 KDD 침입탐지 데이터를 이용한 실험으로 가능성을 검증하였다.

• 한국정보통신학회:학술대회논문집
• /
• 한국해양정보통신학회 2003년도 추계종합학술대회
• /
• pp.542-547
• /
• 2003

많은 해킹 기법의 발전과 해킹 툴 들이 대중화됨으로 인해 기존의 보안 기술만으로는 발전하는 해킹 기술에 대한 문제를 해결할 수 없게 되었다. 이러한 기존 보안 기술을 대체하기 위한 여러 기술이 등장하였는데 IDS가 그 대표적인 기술 중 하나이다. 네트워크 기반 침입 탐지 시스템인 N-IDS는 패킷에서 침입을 탐지하는 실시간 시스템이다. 따라서 패킷을 캡쳐하고 처리하는 능력이 시스템의 성능을 결정하게 되는데 기존의 N-IDS는 그 구조상 패킷의 캡쳐, 처리 후 다음 패킷 캡쳐까지의 시간 지연이 처리할 패킷의 종류에 따라 불규칙하게 발생한다. 기존의 단일 프로세서 구조를 가진 N-IDS로는 불규칙적인 시간 지연 문제를 해결할 수 없으므로 본 논문에서는 파일 소켓 및 멀티 쓰레드 구조를 이용하여 이러한 문제점을 해결하였다.

• 융합보안논문지
• /
• 제12권3호
• /
• pp.59-65
• /
• 2012

IT와 네트워크 기술의 발전으로 새롭게 소개된 클라우드 컴퓨팅은 개인의 인터넷 환경뿐만 아니라 기업들의 서비스 환경에도 많은 변화를 가져다주었다. 특히 저렴한 비용으로 IT 자원을 빌려 쓸 수 있고, 인프라를 구축할 필요가 없으며, 가상화를 이용한 다양한 컴퓨팅 환경을 제공받을 수 있는 것은 클라우드 컴퓨팅 환경이 인기를 얻을 수밖에 없는 이유이기도 하다. 이러한 클라우드 컴퓨팅에서는 다양한 접속 방법과 서비스 제공 범위가 넓어지고 있는 것과 비례하여 공격 위협의 범위 또한 넓어지고 있다. 따라서 악의적인 의도를 갖는 다양한 공격으로부터 자원을 보호해 줄 수 있는 침입탐지시스템이 반드시 필요하다. 본 논문에서는 자원의 공유와 가상화가 갖는 특성으로 인해 침입이 발생하였을 때 다른 컴퓨팅 환경에 비해 그 피해가 매우 큰 클라우드 컴퓨팅 환경에서 침입탐지시스템이 가져야할 특징에 대하여 분석하였다.

• KSII Transactions on Internet and Information Systems (TIIS)
• /
• 제11권10호
• /
• pp.5132-5148
• /
• 2017

Cyber attacks are evolving commensurate with recent developments in information security technology. Intrusion detection systems collect various types of data from computers and networks to detect security threats and analyze the attack information. The large amount of data examined make the large number of computations and low detection rates problematic. Feature selection is expected to improve the classification performance and provide faster and more cost-effective results. Despite the various feature selection studies conducted for intrusion detection systems, it is difficult to automate feature selection because it is based on the knowledge of security experts. This paper proposes a feature selection technique to overcome the performance problems of intrusion detection systems. Focusing on feature selection, the first phase of the proposed system aims at constructing a feature subset using a sequential forward floating search (SFFS) to downsize the dimension of the variables. The second phase constructs a classification model with the selected feature subset using a random forest classifier (RFC) and evaluates the classification accuracy. Experiments were conducted with the NSL-KDD dataset using SFFS-RF, and the results indicated that feature selection techniques are a necessary preprocessing step to improve the overall system performance in systems that handle large datasets. They also verified that SFFS-RF could be used for data classification. In conclusion, SFFS-RF could be the key to improving the classification model performance in machine learning.