• 한국지능시스템학회:학술대회논문집
• /
• 한국퍼지및지능시스템학회 2003년도 ISIS 2003
• /
• pp.660-663
• /
• 2003

The advanced computer network technology enables connectivity of computers through an open network environment. There has been growing numbers of security threat to the networks. Therefore, it requires intrusion detection and prevention technologies. In this paper, we propose a network based intrusion detection model using Fuzzy Cognitive Maps(FCM) that can detect intrusion by the Denial of Service(DoS) attack detection method adopting the packet analyses. A DoS attack appears in the form of the Probe and Syn Flooding attack which is a typical example. The Sp flooding Preventer using Fuzzy cognitive maps(SPuF) model captures and analyzes the packet information to detect Syn flooding attack. Using the result of analysis of decision module, which utilized FCM, the decision module measures the degree of danger of the DoS and trains the response module to deal with attacks. The result of simulating the "KDD ′99 Competition Data Set" in the SPuF model shows that the Probe detection rates were over 97 percentages.

• Journal of information and communication convergence engineering
• /
• 제7권1호
• /
• pp.7-12
• /
• 2009

The advanced computer network and Internet technology enables connectivity of computers through an open network environment. Despite the growing numbers of security threats to networks, most intrusion detection identifies security attacks mainly by detecting misuse using a set of rules based on past hacking patterns. This pattern matching has a high rate of false positives and can not detect new hacking patterns, making it vulnerable to previously unidentified attack patterns and variations in attack and increasing false negatives. Intrusion detection and prevention technologies are thus required. We proposed a network based hybrid Probe Intrusion Detection model using Fuzzy cognitive maps (PIDuF) that detects intrusion by DoS (DDoS and PDoS) attack detection using packet analysis. A DoS attack typically appears as a probe and SYN flooding attack. SYN flooding using FCM model captures and analyzes packet information to detect SYN flooding attacks. Using the result of decision module analysis, which used FCM, the decision module measures the degree of danger of the DoS and trains the response module to deal with attacks. For the performance evaluation, the "IDS Evaluation Data Set" created by MIT was used. From the simulation we obtained the max-average true positive rate of 97.064% and the max-average false negative rate of 2.936%. The true positive error rate of the PIDuF is similar to that of Bernhard's true positive error rate.

• 한국산학기술학회논문지
• /
• 제10권4호
• /
• pp.811-817
• /
• 2009

IT 시스템 기반의 네트워크 환경의 급속한 발전은 지속적인 연구방향의 중요한 이슈의 결과이다. 침입시도 탐지는 관심분야의 하나인 것이다. 최근에 다양한 기술을 기반으로 하는 침입시도탐지들이 제안되고 있으나 이러한 기술은 여러 형태의 침입시도의 패턴 중에 한가지 형태 및 시스템에 적용이 가능한 것이다. 또한 새로운 형태 침입시도를 탐지하지 못하고 있다. 그러므로 새로운 형태를 인식하는 침입탐지 관련 기술이 요구되어 지고 있다. 본 연구에서는 퍼지인식도와 비정상 트래픽 분석을 이용한 네트워크 기반의 침입탐지기법(NePID)을 제안한다. 이 제안은 패킷 분석을 통하여 서비스거부공격과 유사한 침입시도를 탐지하는 것이다. 서비스거부공격은 침입시도의 형태를 나타내며 대표적인 공격으로는 syn flooding 공격이 있다 제안한 기법은 syn flooding을 탐지하기 위하여 패킷정보를 수집 및 분석한다. 또한 피지인식도와 비정상 트래픽 분석을 적용하여 판단모듈의 분석 결과를 토대로 기존의 서비스 거부 공격의 탐지 툴과의 비교분석을 하였으며 실험데이터로는 MIT Lincoln 연구실의 IDS 평가데이터 (KDD'99)를 이용하였다. 시뮬레이션 결과 최대평균 positive rate는 97.094% 탐지율과 negative rate는 2.936%을 얻었으며 이 결과치는 KDD'99의 우승자인 Bernard의 결과치와 유사한 수준의 값을 나타내었다.

• 디지털산업정보학회논문지
• /
• 제13권3호
• /
• pp.19-25
• /
• 2017

Nowadays, networked computer systems play an increasingly important role in our society and its economy. They have become the targets of a wide array of malicious attacks that invariably turn into actual intrusions. This is the reason computer security has become an essential concern for network administrators. Recently, a number of Detection/Prevention System schemes have been proposed based on various technologies. However, the techniques, which have been applied in many systems, are useful only for the existing patterns of intrusion. Therefore, probe detection has become a major security protection technology to detection potential attacks. Probe detection needs to take into account a variety of factors ant the relationship between the various factors to reduce false negative & positive error. It is necessary to develop new technology of probe detection that can find new pattern of probe. In this paper, we propose an hybrid probe detection using Fuzzy Cognitive Map(FCM) and Self Adaptive Module(SAM) in dynamic environment such as Cloud and IoT. Also, in order to verify the proposed method, experiments about measuring detection rate in dynamic environments and possibility of countermeasure against intrusion were performed. From experimental results, decrease of false detection and the possibilities of countermeasures against intrusions were confirmed.

• 한국지능시스템학회논문지
• /
• 제13권4호
• /
• pp.491-498
• /
• 2003

The advanced computer network technology enables connectivity of computers through an open network environment. There has been growing numbers of security threat to the networks. Therefore, it requires intrusion detection and prevention technologies. In this paper, we propose a network based intrusion detection model using FCM(Fuzzy Cognitive Maps) that can detect intrusion by the DoS attack detection method adopting the packet analyses. A DoS attack appears in the form of the Probe and Syn Flooding attack which is a typical example. The SPuF(Syn flooding Preventer using Fussy cognitive maps) model captures and analyzes the packet informations to detect Syn flooding attack. Using the result of analysis of decision module, which utilized FCM, the decision module measures the degree of danger of the DoS and trains the response module to deal with attacks. For the performance comparison, the "KDD′99 Competition Data Set" made by MIT Lincoln Labs was used. The result of simulating the "KDD′99 Competition Data Set" in the SPuF model shows that the probe detection rates were over 97 percentages.

• 디지털융복합연구
• /
• 제15권6호
• /
• pp.391-398
• /
• 2017

본 논문에서는 "퍼지 컨트롤 언어를 이용한 공격 특징 선택기반 네트워크 침입탐지 시스템"[1]과 "RNN을 이용한 공격 분류를 위한 지능형 침입탐지 시스템 모델"[2]의 성능을 비교 하였다. 이 논문에서는 KDD CUP 99 데이터 셋[3]을 이용하여 두 기법의 침입 탐지 성능을 비교하였다. KDD CUP 99 데이터 셋에는 훈련을 위한 데이터 셋과 훈련을 통해 기존의 침입을 탐지 할 수 있는 테스트 데이터 셋이 있다. 또한 훈련 데이터 및 테스트 데이터에 존재 하지 않는 침입의 유형을 탐지할 수 있는가를 테스트 할 수 있는 데이터도 존재한다. 훈련 및 테스트 데이터에서 좋은 침입탐지 성능을 보이는 두 개의 논문을 비교하였다. 비교한 결과 존재하는 침입을 탐지 하는 성능은 우수하지만 기존에 존재하지 않는 침입을 탐지 하는 성능은 부족한 부분이 있다. 공격 유형 중 DoS, Probe, R2L는 퍼지를 이용하는 것이 탐지율이 높았고, U2L은 RNN을 이용하는 것이 탐지율이 높았다.

• 디지털산업정보학회논문지
• /
• 제14권2호
• /
• pp.11-17
• /
• 2018

IDS/IPS and networked computer systems are playing an increasingly important role in our society. They have been the targets of a malicious attacks that actually turn into intrusions. That is why computer security has become an important concern for network administrators. Recently, various Detection/Prevention System schemes have been proposed based on various technologies. However, the techniques, which have been applied in many systems is useful for existing intrusion patterns on standard-only systems. Therefore, probe detection of private clouds using BlockChain has become a major security protection technology to detection potential attacks. In addition, BlockChain and Probe detection need to take into account the relationship between the various factors. We should develop a new probe detection technology that uses BlockChain to fine new pattern detection probes in cloud service security in the end. In this paper, we propose a probe detection using Fuzzy Cognitive Map(FCM) and Self Adaptive Module(SAM) based on service security using BlockChain technology.

• 정보처리학회논문지C
• /
• 제11C권6호
• /
• pp.719-724
• /
• 2004

현재는 인터넷 이용자들이 급격하게 증가하고 있으며, 초보수준의 일반 네트워크 사용자들도 인터넷상의 공개된 해킹 도구들을 사용하여 고도의 기술을 요하는 침임이 가능해졌기 때문에 해킹 문제가 더욱 심각해지고 있다. 해커들이 침입하기 위하여 취약점을 알아내려고 의도하는 다양한 형태의 침입시도들을 탐지하여 침입이 일어나는 것을 사전에 방어할 수 있는 침입시도탐지가 적극적인 예방 차원에서 더욱 필요하다. 기존의 포트 스캔이나 네트워크 취약점 검색 공격에 대응하기 위한 네트워크 기반의 비정상 침입시도 탐지 알고리즘들은 침입시도탐지에 있어 몇 가지 한계점을 갖고 있다. 기존 알고리즘들의 취약성은 Slow Scan과 Coordinated Scan을 한 경우 탐지한 수 없다. 따라서, 침입시도 유형에 제한을 받지 않고 침입시도에 관한 다양한 형태의 비정상 접속을 효과적으로 탐지할 수 있는 새로운 개념의 알고리즘이 요구된다. 본 논문에서는 평상시 정상적인 서비스 패턴을 가지고 그 패턴과 다른 비정상 서비스 패턴이 보이면 이를 침입시도로 탐지하는 개념의 SPAD(Session Pattern Anomaly Detector) 기법을 제안한다.

• 한국정보과학회:학술대회논문집
• /
• 한국정보과학회 2005년도 한국컴퓨터종합학술대회 논문집 Vol.32 No.1 (A)
• /
• pp.223-225
• /
• 2005

기존의 패킷 교환 네트워크는 해킹과 같은 보안 공격에 많은 취약점을 가지고 있다. 침입차단시스템 (Firewall system)과 침입탐지 시스템 (Intrusion Detection system)같은 보안 시스템이 개발되고 있지만 DOS나 Probe등을 비롯한 다양한 공격에 대해 적극적으로 대처 할 수 없다. 결과 DARPA를 비롯한 여러 기관에서 전송중인 액티브 패킷이 라우터에서 관리자의 정책을 담고 있는 코드를 실행할 수 있고 그 코드의 실행결과에 따라 라우터의 상태를 변경할 수 있는 액티브 네트워크 전반적인 구조를 제안하였다. 하지만 액티브 네트워크에서 중요한 것은 기존 네트워크와 달리 액티브 패킷이 액티브 노드의 자원에 접근함으로써 발생하게 되는 네트워크 보안이다. 따라서 액티브 노드의 NodeOs단에 Crypto engine, Integrity Engine, Authentication Engine, Authorization Engine등을 비롯한 액티브 노드 인증 및 액티브 패킷/코드 인증 보안 모듈을 둠으로써 액티브 노드 간 서로 안전한 협업적 관리를 통해 보안을 강화한다.

• 인터넷정보학회논문지
• /
• 제23권5호
• /
• pp.79-85
• /
• 2022

이상 탐지는 일반적인 사용자들의 데이터 집합 속에서 비정상적인 데이터 흐름을 파악하여 미리 차단하는 방법이다. 기존에 알려진 방식은 이미 알려진 공격의 시그니처를 활용하여 시그니처 기반으로 공격을 탐지 및 방어하는 방식인데, 이는 오탐율이 낮다는 장점이 있지만 제로 데이 취약점 공격이나 변형된 공격에 대해서는 매우 취약하다는 점이 문제점이다. 하지만 이상 탐지의 경우엔 오탐율이 높다는 단점이 존재하지만 제로 데이 취약점 공격이나 변형된 공격에 대해서도 식별하여 탐지 및 차단할 수 있다는 장점이 있어 관련 연구들이 활발해지고 있는 중이다. 본 연구에서는 이 중 이상 탐지 메커니즘에 대해 다뤘다. 앞서 말한 단점인 높은 오탐율을 보완하며 그와 더불어 이상 탐지와 분류를 동시에 수행하는 새로운 메커니즘을 제안한다. 본 연구에서는 여러 알고리즘의 특성을 고려하여 5가지의 구성으로 실험을 진행하였다. 그 결과로 가장 우수한 정확도를 보이는 모델을 본 연구의 결과로 제안하였다. Extra Tree와 Three layer ANN을 동시에 적용하여 공격 여부를 탐지한 후 공격을 분류된 데이터에 대해서는 Extra Tree를 활용하여 공격 유형을 분류하게 된다. 본 연구에서는 NSL-KDD 데이터 세트에 대해서 검증을 진행하였으며, Accuracy는 Normal, Dos, Probe, U2R, R2L에 대하여 각각 99.8%, 99.1%, 98.9%, 98.7%, 97.9%의 결과를 보였다. 본 구성은 다른 모델에 비해 우수한 성능을 보였다.