KR100332891B1 - 분산 침입 탐지 에이전트를 기반으로 한 지능형 침입탐지시스템 - Google Patents

분산 침입 탐지 에이전트를 기반으로 한 지능형 침입탐지시스템 Download PDF

Info

Publication number
KR100332891B1
KR100332891B1 KR1019990011938A KR19990011938A KR100332891B1 KR 100332891 B1 KR100332891 B1 KR 100332891B1 KR 1019990011938 A KR1019990011938 A KR 1019990011938A KR 19990011938 A KR19990011938 A KR 19990011938A KR 100332891 B1 KR100332891 B1 KR 100332891B1
Authority
KR
South Korea
Prior art keywords
intrusion
detector
distributed
detection
detectors
Prior art date
Application number
KR1019990011938A
Other languages
English (en)
Other versions
KR20000065547A (ko
Inventor
이종성
Original Assignee
이종성
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 이종성 filed Critical 이종성
Priority to KR1019990011938A priority Critical patent/KR100332891B1/ko
Publication of KR20000065547A publication Critical patent/KR20000065547A/ko
Application granted granted Critical
Publication of KR100332891B1 publication Critical patent/KR100332891B1/ko

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/564Static detection by virus signature recognition

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Virology (AREA)
  • General Health & Medical Sciences (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 분산된 탐지 에이전트로부터 침입정보를 동적으로 수집하여 탐지 에이전트를 학습시키고 학습된 탐지자 코드를 탐지자들에게 전달하는 분산 침입 탐지 에이전트를 기반으로 한 지능형 침입탐지시스템에 관한 것이다.
본 발명의 목적은 전체 분산 에이전트의 침입 탐지율을 향상시키는데 있다.
본 발명은 IDS 엔진에 의해 탐지자 코드에 따라 시스템에서 제공하는 커널 감사 데이터를 얻어 이를 통해 의심 정도를 파악하는 다수의 탐지자들; 상기 각각의 탐지자들로부터 전달되는 침입 의심 정도를 수신하여 현재 컴퓨터 노드의 침입 여부를 판단하여 침입 경고를 알리거나 침입에 대한 적절한 조치를 취하는 침입대응행동을 자동으로 수행시키는 탐지자 조정자; 정상 상태 및 비정상 상태의 침입 정보를 수집하여 정상 상태 동작과 비정상 상태 동작 작동 순서를 가상적으로 생성하는 시나리오 생성기; 상기 시나리오 생성기로부터 생성된 시나리오들을 통해 탐지자를 학습시켜 학습된 탐지자 코드를 분배하는 탐지자 학습기를 포함한다.
본 발명에 따르면 분산 탐지 에이전트를 기반으로 하여 분산된 각각의 탐지 에이전트들로부터 해커의 침입 정보를 동적으로 수집하여 이를 통해 탐지 에이전트들에게 침입 패턴을 학습시켜 학습된 탐지자 코드를 분배하므로 전체 분산 에이전트의 침입 탐지율을 향상시킬 수 있다.

Description

분산 침입 탐지 에이전트를 기반으로 한 지능형 침입탐지시스템{Intelligent Intrusion Detection System based on distributed intrusion detecting agents}
본 발명은 침입탐지 시스템에 관한 것으로, 더욱 상세하게는 분산된 탐지 에이전트로부터 침입정보를 동적으로 수집하여 탐지 에이전트를 학습시키고 학습된 탐지자 코드를 탐지자들에게 전달하는 분산 침입 탐지 에이전트를 기반으로 한 지능형 침입탐지시스템(이하, DABIDS라 칭함)에 관한 것이다.
컴퓨터 및 네트워크 기술이 발전함에 따라 컴퓨터간의 상호 연결성이 증가되고 이로 인해 컴퓨터 보안 문제가 중요하게 대두되었다. 1981년에 IP 프로토콜을 실험적으로 ARPANET에 적용할 때, 불과 210개의 호스트가 ARPANET에 연결되어 있었으나, 오늘날 전 세계적으로 7백만 대 이상의 컴퓨터 시스템이 동일한 IP 프로토콜을 사용하여 상호 연결됨에 따라 네트워크에 연결된 모든 컴퓨터가 해커들의 침입대상이 되고 있다.
이러한 위협에 대처하기 위해 정보보호를 필요로 하는 문서나 시스템에 대한 불법 침입을 분석하고 탐지하여 문제점을 사전에 방지하는 감사 기술의 발전적 형태인 침입 탐지 시스템(intrusion detection system)에 관한 연구가 활발히 진행되고 있다.
침입 탐지 시스템은 불법적인 침입으로부터 컴퓨터를 보호하기 위해 침입을 탐지하고 이에 대한 적절한 조치를 취하는 역할을 수행한다. 일반적으로 시스템의 안전성과 사용 편리성은 서로 상반되는 개념이고, 안전한 시스템 설계는 엄청난 비용이 소요되므로 어떠한 공격에 대해서도 안전한 이상적인 시스템을 설계하는 것은 거의 불가능하다. 이와 같은 시스템에서 불법적 행위에 대한 대처 방법으로 모든 파일을 암호화하여 저장할 수 있지만 여기에는 암호 알고리즘 선정, 키 관리 문제, 시스템 관리자의 역할 조정 등의 새로운 문제를 발생시킨다.
이와 같은 이유로 인해 불안전한 컴퓨터 시스템에 대한 침입 탐지를 수행하는 침입탐지시스템이 요구되며, 침입탐지시스템은 감사 추적(audit trail)을 위해서 사용자에 의해 발생되는 각 사건을 기록하고 필요시 언제, 누가, 어떤 일을 수행했는지 추적할 수 있어야 한다. 일반적으로 불법 침입을 예방하거나 침입 발생시 그 사실을 탐지하여 손실을 최소화하기 위해서는 시스템 내의 모든 활동들을 면밀히 조사·분석해야 한다. 그러나 시스템 내에서 발생하는 로그 데이터는 유닉스의 경우 시간 당 수 메가바이트로 생성되므로 수작업에 의한 자료의 수집 및 분석은 불가능하며 자동화된 추적 방법이 필수적이다. 자동화된 감사 추적 기법의 발전적 형태인 침입 탐지 시스템에서도 방대한 양의 감사 자료를 필터링 등의 방법으로 축소하여 자료의 저장 및 분석에 따른 오버 헤드를 최소화시킬 필요가 있다.
이와 같은 침입 탐지 서비스의 요구에 따라 최근에 다양한 기법과 모델들이 개발되어 왔으나 컴퓨터 통신망의 복잡성, 대상 시스템의 원초적 취약성, 정보 보호에 대한 이해 부족 및 새로운 불법 침입 기법의 개발 등으로 기존의 어떤 기법 또는 모델도 완전하지 못한 실정이다.
따라서, 본 발명의 목적은 이와 같은 문제를 해결하고자 안출된 것으로서 분산 탐지 에이전트를 기반으로 하여 분산된 각각의 탐지 에이전트들로부터 해커의 침입 정보를 동적으로 수집하여 이를 통해 탐지 에이전트들에게 침입 패턴을 학습시켜 학습된 탐지자 코드를 분배하여 전체 분산 에이전트의 침입 탐지율을 향상시키는데 있다.
도 1은 본 발명에 따른 분산 침입탐지 에이전트를 기반으로 한 침입탐지시스템의 구조를 나타내며,
도 2는 본 발명에 따른 탐지자 내부 구조를 나타내며,
도 3은 본 발명에 따른 탐지자 조정자 내부 구조를 나타내고,
도 4는 본 발명에 따른 시나리오 생성기 내부 구조를 나타내며,
도 5는 본 발명에 따른 탐지자 학습기를 나타내고,
도 6은 본 발명의 바람직한 실시예에 따른 분석 트리로 구성된 탐지자 코드를 예시하고,
도 7은 본 발명이 하나의 노드에 적용되는 것을 나타낸다.
상기 목적을 달성하기 위한 본 발명에 의하면, 시스템에서 제공하는 커널 감사 데이터를 얻어 이를 통해 의심 정도를 파악하는 다수의 탐지자들; 상기 각각의 탐지자들로부터 전달되는 침입 의심 정도를 수신하여 현재 컴퓨터 노드의 침입 여부를 판단하여 침입 경고를 알리거나 침입에 대한 적절한 조치를 취하는 침입대응행동을 자동으로 수행시키는 탐지자 조정자; 정상 상태 및 비정상 상태의 침입 정보를 수집하여 정상 상태 동작과 비정상 상태 동작 작동 순서를 가상적으로 생성하는 시나리오 생성기; 상기 시나리오 생성기로부터 생성된 시나리오들을 통해 탐지자를 학습시켜 학습된 탐지자 코드를 분배하는 탐지자 학습기를 포함하는 분산 침입 탐지 에이전트를 기반으로 한 지능형 침입탐지시스템이 개시된다.
바람직하게, 상기 탐지자 조정자는 상기 시나리오 생성기에 의해 생성된 학습 시나리오를 상기 탐지자 학습기로 전달하고, 상기 탐지자 학습기로부터 전달되는 학습된 탐지자 코드를 수신하여 상기 다수의 탐지자에 전달하고 상기 다수의 탐지자들을 관리한다.
이하, 상기한 본 발명의 목적들, 특징들, 그리고 장점들을 첨부된 도면에 나타낸 본 발명의 바람직한 실시예를 통해 보다 상세히 설명한다.
본 발명에 따른 분산 침입 탐지 에이전트를 기반으로 한 지능형 침입탐지시스템(DABIDS)을 도 1을 참조하여 살펴보면 다음과 같다.
DABIDS는 분산된 각각의 탐지 에이전트들로부터 해커의 침입 정보를 동적으로 수집하여 이를 통해 에이전트들에 침입 패턴을 학습시켜 학습된 탐지자 코드를 분배하여 침입 발생시 발생된 침입에 가장 적합한 탐지자를 통해 침입에 대응하게 한다.
DABIDS를 구성하는 각각의 구성요소를 살펴보면 먼저, DABIDS의 탐지자는 도 2에 도시된 바와 같이 구성되어 IDS 엔진에 의해 탐지자 코드에 따라 시스템에서 제공하는 커널 감사 데이터를 얻어 이를 통해 의심 정도를 파악하여 탐지자 조정자에게 전달한다.
이때, 시스템 상태 정보 추출기는 탐지자와 침입탐지 대상 시스템간에 투명성을 제공하며, 평균적인 CPU 사용시간, 어떤 사용자의 평균적인 로그인 시도회수, IP주소, 특정포트에 대한 접근시도 간격 등에 대한 탐지자가 요청하는 시스템 현재 상태 정보를 커널 감사 데이터(kernel audit data)로부터 추출하는 역할을 수행한다.
탐지자 코드는 IDS 엔진에 의해 수행되며, 탐지자 코드를 변경하면 탐지자는 시스템 상태 정보 추출기를 통해 시스템의 다른 상태 정보를 요청하여 이를 통해 다른 각도로 침입을 탐지하게 된다. 따라서, 탐지자 코드는 탐지자의 침입 탐지 성능을 좌우하는 중요한 요소이다.
한편, 탐지자 의심 보고기는 IDS 엔진에 의해 탐지자 코드를 수행한 결과 발생하는 탐지자의 침입 판단에 따라 의심 사항을 수집하여 탐지자가 최종적으로 침입이라고 판단되는 내용을 탐지자 조정자(detector coordinator)에 전달한다. 이때, 탐지자 의심 보고기는 침입탐지대상시스템에서 일련의 명령이 수행된 결과 침입이라고 판단되지 않지만 시스템이 비정상상태인 경우 수행된 일련의 명령을 추후 에이전트 학습을 위한 시나리오로 사용하기 위해 관리하고 시나리오 생성기(scenario generator)에 제공한다.
탐지자 의심 보고기는 탐지자 코드에서 조건문에 존재하는 총 조건에 대해 참(true)인 개수가 일정 범위 내에 존재하면 이를 침입 시나리오로 정의하는데, 범위를 낮추면 탐지자는 자주 수행 결과를 시나리오 생성기로 전달하므로 전체 통신 오버헤드가 증가하고, 반면에 범위를 높이면 침입 시나리오가 종래에 알려진 침입과 같은 내용이 되는 문제가 발생된다.
한편, 탐지자 의심 보고기는 침입 시나리오를 정의할 때 탐지자 코드를 구성하는 총 조건문에 대해 참인 조건의 개수 비율을 침입확률로 간주하여 탐지자 조정자를 통해 시나리오 생성기에 전달한다. 즉, 탐지자에 구성된 탐지자 코드에 존재하는 전체 총 조건문이 10 개이고, 조건이 참인 개수가 8개이면 침입확률은 80%가 되고, 8개가 참이 되는 과정이 새로운 침입 시나리오가 된다. 추후, 탐지자 학습기는 80% 침입확률을 갖는 시나리오를 통해 탐지 에이전트를 학습시킨다.
탐지자 조정자는 도 3에 도시된 바와 같이 각각의 탐지자들로부터 전달되는 침입 의심 정도를 수신하여 현재 컴퓨터 노드의 침입 여부를 판단하여 보안 관리자에게 침입 경고를 알리거나 침입에 대한 적절한 조치를 취하는 침입대응행동을 자동으로 수행시킨다. 한편, 탐지자 조정자는 탐지자 조정자 엔진에 의해 행동 지식(behavior knowledge)에 따라 시나리오 생성기(scenario generator)에 의해 생성된 학습 시나리오를 상위 수준 통신부를 통해 탐지자 학습기로 전달하고, 탐지자학습기로부터 전달되는 학습된 탐지자 코드를 수신하여 이를 하위 수준 통신부를 통해 탐지자에 전달하고 탐지자들을 관리하는 기능을 수행한다.
한편, 시나리오는 그 시나리오가 침입일 확률을 나타내는 확률 값을 갖는데, 예를 들어 '예약된 포트에 접속하고, 접근간격이 1 초이면 침입일 확률은 90%'라고 하고, 정상적인 시스템 동작에 관한 시나리오인 경우 침입 확률을 낮춘다.
따라서, 제시된 DABIDS에서는 탐지 에이전트들이 탐지자 조정자에게 현재 시스템의 상황에 대한 의심 정도를 보고하는데 일정 임계치(총 조건문 중에서 만족되는 개수) 이상이면 침입을 의심함을 보고하고, 어느 이하인 경우 정상 상태라고 판정하는데 만일 그 중간 정도이면 이를 준 의심상태로 하여 이에 대한 감사 데이터를 획득하여 시나리오를 생성한다. 일반적으로 컴퓨터 시스템에 대한 침입은 컴퓨터 시스템이 정상동작상태에서 다소 벗어남을 의미하며 고수준 침입은 그 벗어나는 정도가 적기 때문에 전술한 준 의심 상태에 대한 시나리오를 작성하여 탐지에이전트를 학습시키면 그만큼 탐지 에이전트는 새로운 침입에 더욱 강해질 수 있다.
이처럼 각각의 노드의 시나리오 생성기는 도 4에 도시된 바와 같이 시나리오 생성기 엔진에 의해 행동지식에 따라 정상 상태 및 비정상 상태의 침입 정보(감사 데이터)를 준 의심 감사데이터 수집기를 통해 수집하여 정상 상태 동작과 비정상 상태 동작 작동 순서를 가상적으로 생성하여 시나리오 전송기를 통해 탐지자 학습기에 전달한다.
이어, 본 발명에 따른 DABIDS의 탐지자 학습기를 도 5를 참조하여 주요 구성요소를 중심으로 살펴보면 다음과 같다.
먼저, 학습 시나리오 데이터베이스는 각각의 노드에서 발생하는 정상 상태 및 비정상 상태의 침입 정보를 저장 관리하는 모듈로서, 예를 들어 '예약된 포트에 접속하고, 접근간격이 1 초이면 침입일 확률은 90%'라는 시나리오를 시나리오 생성기로부터 수신하여 저장한다.
한편, 연산자 집합은 유전자 프로그래밍(genetic programming)에서는 함수 집합(function set)이라고 칭하며, 탐지 에이전트가 수행하는 연산자들(이를테면, 산술, 조건, 논리 연산자)을 의미하며 도 6의 경우 'IF', 'IP-NEQ'가 이에 속한다.
프리미티브 집합(a set of primitive)은 유전자 프로그래밍에서는 터미널 집합(terminal set)이라고 칭하며, 탐지자가 시스템 상태 정보 추출기를 통해 커널 감사 데이터로부터 획득한 상수들을 의미하며 도 6의 경우 'IP-DEST, 'MY-IP', 'RAISE'가 이에 속하며, 'IP-DEST'는 현재 시스템에 입력된 패킷의 목적지 주소를 요청하는 프리미티브이고, 'MY-IP'는 현재 시스템 자신의 IP 주소를 요청하는 프리미티브이며, 'RAISE'는 침입 의심을 알리라는 프리미티브이다. 따라서 도 6을 통해 예시한 분석 트리는 시스템에 입력되는 모든 패킷들에 대한 IP주소와 시스템의 IP 주소를 비교하여 일치하지 않으면 의심을 알리는 분석 트리이다.
본 발명에 따른 시스템에 적용된 탐지자들에 해당되는 연산자 집합과 프리미티브 집합은 다음과 같다.
I/O에 관련된 탐지자
연산자 집합 : IF, I/O-Interval-EQ, User-Permit
프리미티브 집합 : I/O-Interval, 상수, User, RAISE
NFS에 관련된 탐지자
연산자 집합 : IF, IsREAD, IsWRITE, User-Permit
프리미티브 집합 : ThisOperation, User, RAISE
TCP/IP에 관련된 탐지자
연산자 집합 : IF, IP-NEQ
프리미티브 집합 : IP-DEST, MY-IP, RAISE
파일에 관련된 탐지자
연산집합: IF, IsFileDuplicate, IsFileMove, IsFileRemove, IsFileCreate,
프리미티브 집합 : owner, object, source, permit, RAISE
한편, 분석 트리 생성기(parse tree generator)는 유전자 프로그래밍에서 함수 집합(function set)과 터미널 집합(terminal set)을 결합하여 해답 프로그램(solution program)을 생성하는 것과 동일하게 연산자 집합과 프리미티브 집합의 모든 요소들에 대해 도 6과 같이 트리 구조의 결합 관계를 형성한다.
유전자 풀(gene pool)은 분석 트리 생성기에 의해 생성된 해당 문제영역에서 가질 수 있는 모든 경우에 대한 분석 트리를 저장한다.
학습 엔진(training engine)은 탐지 에이전트들에 학습 시나리오 데이터베이스에 저장된 정상 상태 및 비정상 상태의 침입 정보를 제공하고, 각각의 에이전트는 유전자 풀에 저장된 특정 탐지 영역별 모든 분석 트리(즉, 탐지코드)에 따라 제공된 시나리오를 수행하여, 가장 적합한 탐지코드를 갖는 탐지 에이전트를 획득한다.
가장 적합한 탐지코드를 찾기 위한 정확도는 수학식 1에 따라 계산되는데,
단, 침입확률과 의심출력확률이 같은 경우 정확도를 100으로 함
그 의미는 여러 개의 분석 트리를 갖는 탐지 에이전트에 의해 일정한 침입 확률을 갖는 시나리오를 수행한 결과, 시나리오의 침입확률과 의심을 출력할 확률의 차이를 의미한다.
예를 들어, 탐지자 에이전트가 여러 개의 분석 트리에 따라 침입일 확률이 90%인 '예약된 포트에 접속하고, 접근간격이 1 초'라는 시나리오를 수행한 결과, 의심 출력이 100%, 50%, 90%이면, 정확도는 각각 10, 25, 100이 되고, 정확도가 높은 분석 트리를 그 시나리오에 가장 적합한 분석 트리 즉 탐지자 코드로 하여 추후에 탐지자들에 전달함으로 탐지자를 학습시킨다.
본 발명에 따른 분산 침입 탐지 에이전트를 기반으로 한 지능형 침입탐지시스템(DABIDS)의 주요 구성요소들 간의 작용을 살펴보면 다음과 같다.
먼저, 각각의 탐지자들은 각각의 노드(시스템, 컴퓨터와 같은 의미임)에서 발생하는 정상 상태 및 비정상 상태의 침입 정보를 시나리오발생기에 의해 발생하여 도 5에 도시된 탐지자 학습기에 전달하여 학습 시나리오 데이터베이스에 저장한 후 해당되는 문제 영역에 포함된 연산자 집합과 프리미티브 집합으로부터 유전자 프로그래밍 기법에 의해 도 6과 같은 분석 트리를 생성한 후, 에이전트들이 생성된분석 트리를 이용하여 오퍼레이션 수행 후 정확도를 체크하고 이와 같은 과정을 유전자 연산(crossover, mutation)을 적용하며 여러 세대 수행하여 가장 적합한 분석 트리를 구한 후 각 노드들에 구한 분석 트리 코드를 담은 탐지자 코드를 노드들에 전송하여 탐지자를 갱신시켜 전체 침입탐지시스템의 성능을 향상시킨다.
한편, 도 7에 도시된 바와 같이 각 노드에는 여러 개의 학습된 탐지자들이 존재하며, 도 7과 같이 시스템 상태 정보 추출기를 통해 시스템 커널로부터 입력되는 감사 데이터(audit data)로부터 I/O 탐지자는 시스템의 I/O에 관련된 상태를 체크하고, NFS 탐지자는 NFS에 대한 요청 및 동작에 대해 체크하며, TCP 탐지자는 TCP 프로토콜을 통해 시스템에 접속하는 것을 체크한다. 이를 통해 탐지자 조정자는 현재 시스템의 침입 여부를 판단하여 시스템 관리자에게 알려준다.
이상에서 살펴본 바와 같이, 본 발명에 따르면 분산 탐지 에이전트를 기반으로 하여 분산된 각각의 탐지 에이전트들로부터 해커의 침입 정보를 동적으로 수집하여 이를 통해 탐지 에이전트들에게 침입 패턴을 학습시켜 학습된 탐지자 코드를 분배하므로 전체 분산 에이전트의 침입 탐지율을 향상시키는 효과가 있다.
또한, 종래의 에이전트 기반 침입탐지시스템에서 에이전트 학습을 사람이 개입한 피드백 방식으로 수행하므로 오랜 시간동안의 학습이 요구되는 문제를 극복할 수 있으며, 시나리오 작성의 문제를 각 노드에서 현재 비정상적으로 작동하는 패턴정보를 바탕으로 시나리오를 작성하여 탐지 에이전트 학습기에 전달하여 에이전트를 학습시키므로 인위적인 시나리오 개발에 드리는 노력을 줄일 수 있다.

Claims (2)

  1. 다수의 시스템들이 네트워크로 연결된 분산 시스템에 있어서,
    상기 시스템에서 제공하는 커널 감사 데이터를 얻어 이를 통해 의심 정도를 파악하는 다수의 탐지자들;
    상기 각각의 탐지자들로부터 전달되는 침입 의심 정도를 수신하여 시스템의 침입 여부를 판단하여 침입 경고를 알리거나 침입에 대한 적절한 조치를 취하는 침입대응행동을 자동으로 수행시키는 탐지자 조정자;
    정상 상태 및 비정상 상태의 침입 정보를 수집하여 정상 상태 동작과 비정상 상태 동작 작동 순서를 가상적으로 생성하는 시나리오 생성기;
    상기 시나리오 생성기로부터 생성된 시나리오들을 통해 탐지자를 학습시켜 학습된 탐지자 코드를 분배하는 탐지자 학습기를 포함하는 분산 침입 탐지 에이전트를 기반으로 한 지능형 침입탐지시스템.
  2. 제 1 항에 있어서, 상기 탐지자 조정자는,
    상기 시나리오 생성기에 의해 생성된 학습 시나리오를 상기 탐지자 학습기로 전달하고, 상기 탐지자 학습기로부터 전달되는 학습된 탐지자 코드를 수신하여 상기 다수의 탐지자에 전달하고 상기 다수의 탐지자들을 관리하는 것을 특징으로 하는 분산 침입 탐지 에이전트를 기반으로 한 지능형 침입탐지시스템.
KR1019990011938A 1999-04-07 1999-04-07 분산 침입 탐지 에이전트를 기반으로 한 지능형 침입탐지시스템 KR100332891B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1019990011938A KR100332891B1 (ko) 1999-04-07 1999-04-07 분산 침입 탐지 에이전트를 기반으로 한 지능형 침입탐지시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1019990011938A KR100332891B1 (ko) 1999-04-07 1999-04-07 분산 침입 탐지 에이전트를 기반으로 한 지능형 침입탐지시스템

Publications (2)

Publication Number Publication Date
KR20000065547A KR20000065547A (ko) 2000-11-15
KR100332891B1 true KR100332891B1 (ko) 2002-04-17

Family

ID=19578840

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1019990011938A KR100332891B1 (ko) 1999-04-07 1999-04-07 분산 침입 탐지 에이전트를 기반으로 한 지능형 침입탐지시스템

Country Status (1)

Country Link
KR (1) KR100332891B1 (ko)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20030027646A (ko) * 2001-09-27 2003-04-07 주식회사 시큐브 하이브리드 방식의 보안 취약성 진단 장치 및 그 방법
KR20030033712A (ko) * 2001-10-24 2003-05-01 주식회사 김정훈시큐어 해커 침입에 따른 마스터 및 에이전트 모드의 집단방어 방법
KR100474155B1 (ko) * 2002-05-14 2005-03-08 한국전자통신연구원 네트워크의 취약성 분석 시스템 및 방법
KR100484303B1 (ko) * 2002-10-21 2005-04-20 한국전자통신연구원 이동형 센서를 이용한 액티브 네트워크 침입자 역추적 및그 결과 통보방법
KR100523483B1 (ko) * 2002-10-24 2005-10-24 한국전자통신연구원 네트워크에서의 유해 트래픽 탐지 및 대응 시스템 및 방법

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20010109892A (ko) * 2000-06-03 2001-12-12 황대준 능동적 자원보호 에이전트를 이용한 지적재산권 및정보시스템 자원 보호 장치 및 그 방법
KR100424724B1 (ko) * 2001-07-27 2004-03-27 김상욱 네트워크 흐름 분석에 의한 침입 탐지 장치
KR100424723B1 (ko) * 2001-07-27 2004-03-27 김상욱 미행 메커니즘 기반의 전산망 보안 관리 장치 및 방법
KR100468232B1 (ko) * 2002-02-19 2005-01-26 한국전자통신연구원 분산된 침입탐지 에이전트와 관리자 시스템을 이용한네트워크 기반 침입자 역추적 시스템 및 그 방법
KR100898241B1 (ko) * 2002-09-30 2009-05-18 주식회사 케이티 가변적 경로구성을 기반으로 한 동적인 전자적 침해방지서비스 제공 장치 및 그 방법
KR100604638B1 (ko) * 2002-11-01 2006-07-28 한국전자통신연구원 계층 분석 기반의 침입 탐지 시스템 및 그 방법
KR100623552B1 (ko) * 2003-12-29 2006-09-18 한국정보보호진흥원 자동침입대응시스템에서의 위험수준 분석 방법
KR101057432B1 (ko) * 2010-02-23 2011-08-22 주식회사 이세정보 프로세스의 행위 분석을 통한 유해 프로그램을 실시간으로 탐지하고 차단하는 시스템, 방법, 프로그램 및 기록매체

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20030027646A (ko) * 2001-09-27 2003-04-07 주식회사 시큐브 하이브리드 방식의 보안 취약성 진단 장치 및 그 방법
KR20030033712A (ko) * 2001-10-24 2003-05-01 주식회사 김정훈시큐어 해커 침입에 따른 마스터 및 에이전트 모드의 집단방어 방법
KR100474155B1 (ko) * 2002-05-14 2005-03-08 한국전자통신연구원 네트워크의 취약성 분석 시스템 및 방법
KR100484303B1 (ko) * 2002-10-21 2005-04-20 한국전자통신연구원 이동형 센서를 이용한 액티브 네트워크 침입자 역추적 및그 결과 통보방법
KR100523483B1 (ko) * 2002-10-24 2005-10-24 한국전자통신연구원 네트워크에서의 유해 트래픽 탐지 및 대응 시스템 및 방법

Also Published As

Publication number Publication date
KR20000065547A (ko) 2000-11-15

Similar Documents

Publication Publication Date Title
Lee et al. A framework for constructing features and models for intrusion detection systems
Ning et al. Intrusion detection techniques
Xu et al. Alert correlation through triggering events and common resources
McHugh Intrusion and intrusion detection
Mukherjee et al. Network intrusion detection
Ghorbani et al. Network intrusion detection and prevention: concepts and techniques
Jansen et al. Mobile agents in intrusion detection and response
Kholidy Detecting impersonation attacks in cloud computing environments using a centric user profiling approach
Hajj et al. Anomaly‐based intrusion detection systems: The requirements, methods, measurements, and datasets
Lundin et al. Survey of intrusion detection research
KR100332891B1 (ko) 분산 침입 탐지 에이전트를 기반으로 한 지능형 침입탐지시스템
Akbar et al. Intrusion detection system methodologies based on data analysis
Onashoga et al. A Strategic Review of Existing Mobile Agent-Based Intrusion Detection Systems.
Abraham et al. Evolving intrusion detection systems
CN113315666A (zh) 一种面向信息网络安全的防御控制方法及系统
Rosli et al. Clustering analysis for malware behavior detection using registry data
Bishop et al. The threat from the net [Internet security]
Mishra et al. Anomaly-based IDS to detect attack using various artificial intelligence & machine learning algorithms: a review
Labib Computer security and intrusion detection
Rajaboevich et al. Methods and intelligent mechanisms for constructing cyberattack detection components on distance-learning systems
Jin et al. Architecture for data collection in database intrusion detection systems
Wasniowski Multi-sensor agent-based intrusion detection system
Soh et al. Setting optimal intrusion-detection thresholds
Moharamkhani et al. Intrusion detection system based firefly algorithm‐random forest for cloud computing
Helmer Intelligent multi-agent system for intrusion detection and countermeasures

Legal Events

Date Code Title Description
A201 Request for examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20050930

Year of fee payment: 4

LAPS Lapse due to unpaid annual fee