KR100708771B1 - 네트워크 침입 패턴의 자동탐지를 위한 시스템 및 방법 - Google Patents
네트워크 침입 패턴의 자동탐지를 위한 시스템 및 방법 Download PDFInfo
- Publication number
- KR100708771B1 KR100708771B1 KR1020050034032A KR20050034032A KR100708771B1 KR 100708771 B1 KR100708771 B1 KR 100708771B1 KR 1020050034032 A KR1020050034032 A KR 1020050034032A KR 20050034032 A KR20050034032 A KR 20050034032A KR 100708771 B1 KR100708771 B1 KR 100708771B1
- Authority
- KR
- South Korea
- Prior art keywords
- intrusion
- cluster
- outlier
- network
- pattern
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Abstract
본 발명은 네트워크침입패턴의 자동탐지를 위한 시스템 및 방법에 관한 것으로, 데이터에 대한 클러스터링을 수행하는 단계, 생성된 클러스터에 대한 클러스터 밀도함수값을 계산하여 아웃라이어 클러스터를 탐지하는 단계, 상기 아웃라이어 클러스터로부터 특성을 추출하는 단계, 상기 추출된 아웃라이어 클러스터 특성으로부터 침입 패턴을 생성하는 단계, 상기 침입 패턴을 침입패턴 데이터 베이스에 추가하는 단계 및 상기 추가된 침입 패턴을 반영하여 침입탐지모듈을 재구동하여 칭입을 탐지하는 단계를 포함한다
침입패턴, 침입탐지, 클러스터링, 아웃라이어 클러스터,클러스터 밀도함수
Description
도 1은 종래의 클러스터링을 이용한 아웃라이어의 탐사 개략도이다.
도 2는 본 발명에 따른 침입패턴 탐지 생성을 위한 흐름도이다.
도 3은 본 발명에 따른 침입패턴 규칙 생성 과정을 설명하는 개략도이다.
도 4는 본 발명에 따른 네트워크침입 패턴의 자동탐지를 위한 시스템의 설치환경도이다.
도5는 본 발명에 따른 DM-IDS 네트워크 침입 패턴탐지 시스템 구조도이다.
도6은 본 발명에 따른 시스템에서 침입패턴 규칙 자동생성 시스템의 구조도이다.
<도면의 주요부분에 대한 부호의 설명>
20 : 침입탐지기 40 : DM-IDS침입패턴규칙자동생성시스템
44 : 클러스터링 모듈 46 : 아웃라이어 탐지 및 특성추출기
48 : 침입패턴규칙 생성기
60 : 데이터웨어하우스
80 : 패킷수집모듈 100 : DM-IDS 시스템
200 : 방화벽 300 : 인터넷 사용자 컴퓨터
400 : 서버 컴퓨터
본 발명은 네트워크침입 패턴의 자동탐지를 위한 시스템 및 방법에 관한 것으로, 클러스터링 결과 클러스터의 영향력을 계산하여 아웃라이어 클러스터를 탐지하고 특성을 추출하여 침입패턴을 생성, 추가하여 침입탐지를 수행하는 네트워크 침입 탐지 시스템 및 탐지 방법에 관한 것이다.
네트워크 침입(intrusion)이란 불순한 의도를 가진 해커(hacker) 또는 크래커(cracker)가 목표로 하는 시스템을 네트워크를 통해 들어가서 정보접근, 정보파괴/조작, 정보도용, 시스템 무기력화 등의 "악용(misuse)" 또는 "이상한 행동(anomaly)"을 하는 행위를 일컫는다. 인터넷의 확장에 따라서 네트워크를 통한 침입의 가능성이 증가되었고, "신뢰(trust)와 확신(confidence)"을 그 특성으로 가져야 하는 정보사회의 진보에 큰 장애요소가 되고 있다. 이에 따라 시스템이나 네트워크 침입을 즉각적으로 탐지하고 대처할 능력이 있는 기술이 필요하게 되었고, 네트워크 침입탐지(intrusion detection) 기술은 매우 중요한 역할을 담당하게 되었다.
네트워크 침입 탐지 방법은 크게 두 가지로 나뉜다. 오용탐지(Misuse Detection)와 비정상행위탐지(Anomaly Detection)가 그것이다. 오용탐지 (Misuse Detection)는 알려진 침입행위의 모델(signature)을 미리 만들어 놓고, 이것과 일 치하는 경우를 침입으로 간주하는 것이며, 이는 알려진 공격에 대해서만 탐지 가능하다. 반면에 비정상행위탐지 (Anomaly Detection)는 사용자의 정상적인 행위들에 대한 모델(profile)을 만들어놓고, 이 모델에 부합하지 않을 경우 잠재적인 공격(potential attack)으로 간주하며, 이는 새로운 유형의 침입공격도 탐지 가능하다.
위 두 가지 방법을 볼 때, 오용탐지 기법은 네트워크 침입패턴을 기록한 시그니쳐(signature)를 수작업으로 유지하는 방안으로 아래와 같은 문제점을 안고 있다.
상기 네트워크 침입은 제때에 조치를 취하지 못하면 큰 피해를 입기에 실시간 업데이트가 중요한 문제이다.
그러나 실제로 수작업에 의해 시그니처를 실시간 업데이트 하기는 거의 불가능하며, 수작업에 의한 지속적 모니터링은 고비용이 들뿐만 아니라 정확성이 점차 떨어지는 결과 초래한다. 게다가 알려지지 않은 침입패턴을 정상적인 패턴으로 오인할 수 있다. 그래서 클러스터링을 통해서 알려지지 않은 비정상적인 침입패턴을 탐지하는 방안을 마련하여 오용탐지를 보완하는 것이 바람직하다. 네트워크침입패턴 탐사를 위해 클러스터링을 이용하게 되면 실환경에서 수집되는 데이터를 사전에 정상과 비정상으로 분류하는 작업을 거치지 않고 그대로 이용할 수 있으므로, 별도의 사람의 노동력을 요구하지 않는 장점이 있다. 현실적으로 네트워크침입탐지 시스템을 개발하는데 있어서, 새로운 유형의 공격을 탐지하는 것이 더 중요하기에 본 발명에서는 기존 오용탐지기술을 보완할 목적으로, 신종 침입패턴을 정확하게 찾아 내기 위한 새로운 형태의 클러스터링 기법을 포함한다.
비정상행위라고 하는 것은 정상적인 행위와는 그 성격이 다른 것이므로 네트워크 패킷데이타를 군집화하였을 때, 비정상행위와 관련된 데이터는 그렇지 않은 데이터와 구별되어 아웃라이어(outlier) 형태로 발견될 수 있다.
비정상행위(Anomaly)의 탐지를 위해 도1에 도시된 바와 같이 클러스터링 기법을 이용하여 희귀하면서 비정상적 침입패턴을 탐사할 수 있는데, 그 절차는 다음과 같다.
1. 적당한 기간동안의 네트워크 패킷 데이터를 수집
2. 침입패턴을 구성하기 위한 주요 특성(feature) (예: IP주소, protocol, port번호 등)을 도출
3. 클러스터링 알고리즘(예: k-Means)을 이용하여 아웃라이어를 판별 (도 1 참조)
4. 아웃라이어에 포함된 인스턴스들을 조회하여 공통된 특성을 추출
5. 도출된 특성을 정형화된 침입패턴 (규칙)으로 기술
아웃라이어를 판별하기 위한 기존 클러스터링 기법의 문제점은 다음과 같다.
기존 아웃라이어 기법은 단순히 유클리디언 거리함수에 의존하고 있어 정확도가 그리 크지 못하며, 그 크기가 크지만 다른 대부분의 클러스터와 거리가 멀다는 이유로 아웃라이어로 판별되는 경우도 발생한다.
게다가 아웃라이어 클러스터로부터 특성을 추출하여 이를 침입패턴으로 기술하는 것은 다분히 사람의 노동력을 요구하는 작업이다.
게다가 발견된 침입패턴을 정형화된 형식으로 시스템에 반영해주어야 그 침입에 대한 탐지가 가능하다.
다시 말해서, 새로운 침입패턴에 대한 즉각적인 탐지 및 방어를 위해서는 아웃라이어 클러스터로부터 자동으로 특성을 추출하여 이를 시스템에 반영해 줄 수 있는 메커니즘이 필요한 것이다.
본 발명은 상기와 같은 종래 기술의 문제점을 개선하기 위해 안출된 것으로서, 새로운 침입 패턴에 대한 즉각적인 탐지 및 방어를 위하여 새로운 방식으로 탐지되는 아웃라이어 클러스터로부터 특성을 자동으로 추출하여 이를 시스템에 반영하여 줄 수 있는 네트워크 침입 패턴의 자동탐지를 위한 시스템 및 방법을 제공하기 위한 것이다.
본 발명은 상기와 같은 종래 기술의 문제점을 개선하기 위해 안출된 것으로서, 본 발명에 따른 탐지방법에 의하면, 데이터에 대한 클러스터링을 수행하는 단계, 생성된 클러스터에 대한 클러스터 밀도함수값을 계산하여 아웃라이어 클러스터를 탐지하는 단계, 상기 아웃라이어 클러스터로부터 특성을 추출하는 단계, 상기 추출된 아웃라이어 클러스터 특성으로부터 침입 패턴을 생성하는 단계, 상기 침입 패턴을 침입패턴 데이터웨어하우스에 추가하는 단계 및 상기 추가된 침입 패턴을 반영하여 침입탐지모듈을 재구동하여 침입을 탐지하는 단계를 포함한다.
또한, 본 발명에 따른 네트워크 침입패턴의 자동탐지 방법에서
인스턴스 
, 
가 주어질 때, 
에 대한 
의 영향력함수 
는 다음과 같이,
영향함수 
(여기서, 
는 영향함수의 형태를 결정하는 제어인자(contol parameter)이고, 
는 인스턴스 
와 
간의 유클리디언 거리값이다)으로 정의 되고, 인스턴스 집합 
이 주어질 때, 집합 D에 존재하는 모든 인스턴스가 인스턴스 
에 미치는 영향력의 합에 해당하는 인스턴스 밀도함수(density function)가, 인스턴스 밀도함수 
라고 할 때, 클러스터링 후에 특정 클러스터 
에 포함된 모든 인스턴스에 대해서, 클러스터 밀도함수는 클러스터 밀도함수 
(여기에서, 
는 클러스터링 후의 특정 클러스터이며, 
는 인스턴스, D는 
를 제외한 다른 클러스터에 존재하는 인스턴스이다.)로 주어지는 것을 특징으로 하는 것이다.
또한, 본 발명에 따른 네트워크 침입패턴의 자동탐지 방법에서 상기 아웃라이어 클러스터 탐지단계에서 임계값 이하의 클러스터 밀도함수를 가지는 클러스터는 아웃라이어 클러스터로 판단하는 것을 특징으로 하는 것이다.
또한, 본 발명에 따른 네트워크 침입패턴의 자동탐지 방법에서, 아웃라이어 클러스터로부터 특성을 추출하는 단계는, 아웃라이어 클러스터로 판별된 인스턴스는 "침입" 레이블을 할당하고, 그 이외의 클러스터에 포함된 인스턴스는 "정상" 레이블을 할당하는 단계, 상기 "침입", "정상" 레이블로 구별된 전체 인스턴스 데이터를 의사결정트리에 입력하는 단계 및 상기 의사결정트리를 생성하는 단계를 포함하는 것을 특징으로 하는 것이다.
한편, 본 발명에 따른 네트워크 침입패턴의 자동탐지 시스템은 네트워크망에 접속하여 네트워크 패킷을 스캐닝하는 패킷 수집 모듈, 네트워크의 패킷 데이터를 이미 생성된 침입패턴과 실시간 대조하여 침입 패킷을 구분하여 판단정보를 보고하고 자료 분석하는 침입 탐지기, 클러스터로부터 찾아낸 침입관련특성을 사용하여 시스템내에 정의된 형식으로 침입패턴규칙을 생성하는 침입패턴규칙 자동생성 시스 템 및 상기 패킷 수집 모듈로부터 전달되는 데이터와 네트워크 침입패턴 데이터를 저장하는 데이터웨어하우스(data warehouse)를 포함한다.
또한, 본 발명에 따른 네트워크 침입패턴의 자동탐지 시스템에 있어서, 상기 침입패턴규칙 자동생성 시스템은, 유사 인스턴스를 가지는 클러스터를 생성하는 클러스터링 모듈, 아웃라이어 클러스터를 결정하고, 상기 아웃라이어 클러스터에 포함된 인스턴스로부터 다른 클러스터와 구별할 수 있는 특성을 판별하는 아웃라이어 탐지 및 특성 추출 모듈 및 상기 아웃라이어 클러스터로부터 찾아낸 칩입관련특성을 사용하여 시스템내에 정형화된 형식으로 침입패턴규칙을 생성하는 침입패턴규칙 생성모듈을 포함하는 것을 특징으로 한다.
이하, 본 발명에 첨부된 도면을 참조로 하여 본 발명의 실시예에 대하여 상세하게 설명한다.
본 발명에서는 상기 종래 문제를 해결하기 위한 방안을 제안하며 본 발명의 기본 아이디어는, 클러스터링 결과에서, 특정 클러스터 내부의 각 인스턴스(개체)에 대해서 주변 클러스터의 영향력(Influence)를 계산했을 때, 그 클러스터가 아웃라이어인 경우에 그 영향력(즉 클러스터 밀도함수값)이 크지 않을 것이다.
다시 말해서, 정상행위로 인해 발생한 데이터는 네트워크침입(비정상행위)으로 인해 발생한 데이터와 그 성격이 매우 다를 것이므로 비정상행위 관련 데이터를 함유하고 있는 클러스터는 주변으로부터 영향(influence)을 덜 받게 되어 영향력의 주변밀도값이 적게 될 것이다.
여기서 영향력 함수 (Influence Function)에 대한 설명이 필요하다.
인스턴스 
, 
가 주어질 때, 
에 대한 
의 영향력함수 
는 다음과 같이 정의한다. (
가 
에 미치는 영향력을 정규분포 함수식을 빌어 표현한 것인데, 둘 사이의 유클리디언 거리가 가까울수록 영향력이 급하게 증가한다.)
영향함수 
이 식에서 
는 영향함수의 형태를 결정하는 제어인자(contol parameter)이고, 
는 인스턴스 
와 
간의 유클리디언 거리값이다.
인스턴스 집합 
이 주어질 때, 집합 D에 존재하는 모든 인스턴스가 인스턴스 
에 미치는 영향력의 합에 해당하는 함수는 다음과 같다. 이 함수는 인스턴스 밀도함수(density function)라고 칭한다.
인스턴스 밀도함수 
클러스터링 후에 특정 클러스터 
에 포함된 모든 인스턴스에 대해서 밀도함수는 다음과 같이 계산한다. 이 밀도함수는 클러스터 밀도함수라 칭한다.
클러스터 밀도함수 
위 식은 
에 포함된 각 인스턴스 dx에 대하여 
값을 더한 것이다. 그리고 여기서 D는 
를 제외한 다른 클러스터에 존재하는 인스턴스들이다.
위에서 제안한 클러스터 밀도함수를 기반으로 아웃라이어 탐지를 하면 영향력함수를 활용하여 침입패턴을 함유할 것으로 판단되는 아웃라이어 클러스터를 보다 정확히 판별할 수 있다.
기존 기법의 경우, 때로는 클러스터 내 인스턴스의 수가 많은 경우에도 아웃 라이어로 판별될 수 있는 가능성이 있다.
하지만 제안 기법의 경우 클러스터 내 인스턴스가 많은 경우에는 주변으로부터 영향력을 모두 합산하게 되면 그 값이 임계값을 넘어서게 되어 아웃라이어가 될 가능성이 적어지게 된다.
도2는 본 발명에 따른 침입탐지패턴 생성을 위한 흐름도이고, 도 3은 본 발명에 따른 침입패턴 생성 과정을 설명하는 개략도이다.
후술하는 도5의 DM-IDS 칩입 패턴 규칙 자동생성 시스템(40)에서 이루어지는 제안 알고리즘의 내용은 다음과 같이 상세하게 설명된다.
클러스터링 (단계 S100):
DM-IDS 침입패턴규칙자동생성시스템(도5의 40)은 주기적으로 미리 수집한 네트워크 패킷 데이터에 대해 클러스터링 알고리즘 (예: K-Means 알고리즘)을 사용하여 클러스터링을 수행한다. 이때 클러스터의 개수값 k는 사람이 입력한다.
작업 초기에 최적의 클러스터 k값을 알아내는 것은 어려운 일이며, 전문가가 반복적인 실험을 통해 최적의 값을 알아내야 한다. 주어진 환경에서 수집한 데이터에 성격이 파악된 후에는 최적의 클러스터 개수는 크게 변동이 없을 것이다.
이때 클러스터의 개수인 k값은 사람이 입력한다. 이 단계에서 생성된 클러스터 집합이 
라고 하자.
아웃라이어 클러스터 탐지(단계 S200): 앞서 설명한 클러스터밀도함수를 이용
생성된 클러스터들 
에 대해서 클러스터밀도함수값 
을 계산한다.
계산된 k개의 클러스터밀도함수값들 중에서 임계값이하의 (또는 최소의) 값을 가지는 클러스터를 추려내어 이를 아웃라이어 (클러스터)로 결정한다.
아웃라이어 클러스터로부터 특성추출(단계 S300):
아웃라이어로 판별된 클러스터 내에 존재하는 인스턴스는 "침입"클래스 레이블 (class label)을 할당하고, 아웃라이어가 아닌 클러스터에 포함된 인스턴스는 "정상"클래스 레이블(class label)을 할당한다.
이렇게 초기에 주어진 전체 네트워크 데이터가 "침입", "정상" 레이블로 구별하게 한 후, 이 전체 네트워크 데이터를 의사결정트리(decision trees) 알고리즘에 입력하여 의사결정트리를 생성한다. (도3의 S300 참조)
침입패턴 생성 (단계 S400):
전 단계에서 생성된 의사결정트리(도3의 S300 참조)에서 "침입"레이블을 가지는 단말노드(leaf node)를 찾아, 그 단말노드에서 의사결정트리의 루트에 이르기까지의 패스(path)에 해당하는 정형화된 IF-THEN 형식의 규칙을 만들어낸다.
의사결정트리로부터 생성된 침입패턴(규칙)의 예를 들면 다음과 같다.
| IF source address = 203.249.107.155 and port = 1380 and length = 211 THEN 침입alert |
상기 내용은 소스어드레스(source address)가 '203.249.107.155'이고, 포트번호(port)가 1380이고, 데이터의 길이(length)가 211이면, "침입" 탐지를 의미한다.
침입패턴 추가 (단계 S500):
전 단계에서 발견된 새로운 침입패턴규칙을 시스템 내 데이터웨어하우스(도5의 60)의 침입규칙데이터베이스에 추가한다.
이 침입규칙이 실제 침입탐지를 위해 활용되기 위해서는, 다음 단계에서 침입탐지기(도5의 20)가 침입규칙데이터베이스의 내용을 다시 읽어 들여야 한다.
침입탐지기 재구동 (단계 S600):
새로이 발견된 침입패턴이 있다면 이를 반영하여 침입탐지기(도5의 20)가 재구동된다.
침입탐지기가 재구동될 때 현재 데이터웨어하우스에 포함된 침입패턴 데이터베이스를 읽어 들인다.
실제 환경에서 침입탐지를 위해서 침입규칙데이터베이스를 읽어 들이는 작업이 빈번하게 일어나지는 않는다.
DM-IDS침입패턴규칙자동생성시스템은 주기적으로 아웃라이어 탐지를 하면서 새로운 침입패턴이 발견되는 경우에만 침입탐지기가 재구동되는 것이다.
또한, 도4는 DM-IDS 침입패턴규칙자동생성시스템이 클러스터링 알고리즘을 이용하여 침입패턴을 탐지하기까지의 과정을 알기 쉽게 도식화 한 것이다.
아웃라이어 탐지 (단계 S200):
클러스터링 알고리즘을 이용하여 아웃라이어를 탐지한다. 본 특허에서는 침입패턴 탐지를 위해 클러스터밀도함수를 정의하여 주변으로부터 영향력이 적은 아웃라이어 클러스터를 기존 기법보다 정확하게 탐지해낸다.
의사결정트리에 적용 (단계 S300):
아웃라이어로 판별된 클러스터 내에 존재하는 인스턴스는 "침입"클래스 레이블 (class label)을 할당하고, 아웃라이어가 아닌 클러스터에 포함된 인스턴스는 "정상"클래스 레이블(class label)을 할당한다. 이렇게 수정된 전체 네트워크 데이터를 의사결정트리(decision trees) 알고리즘에 입력하여 의사결정트리를 생성한다.
침입에 해당하는 규칙 생성 (단계 S400):
전 단계에서 생성된 의사결정트리(S300)에서 "침입"레이블을 가지는 단말노드(leaf node)를 찾아, 그 단말노드에서 의사결정트리의 루트에 이르기까지의 패스(path)에 해당하는 정형화된 IF-THEN 형식의 규칙을 만들어낸다.
단계(S300)에서 "침입"레이블을 가지는 노드에서 트리의 루트까지 "IF X<=30 AND y='no' THEN '침입'이라는 패턴을 추출한다.
새 침입패턴규칙의 데이터베이스 반영 (단계 S500):
전 단계에서 발견된 새로운 침입패턴규칙을 시스템 내 데이터웨어하우스(도5의 60)의 침입규칙데이터베이스에 추가 반영한다. 이 침입규칙이 실제 침입탐지를 위해 활용되기 위해서는, 침입탐지기(도5의 20)가 갱신된 침입규칙데이터베이스의 내용을 다시 읽어 들여야 한다.
한편, 본 발명에 따른 침입탐지시스템에서, 제안 시스템은 방화벽이 보호하고 있는 네트워크 망 내에서, 가장 많은 패킷을 수집할 수 있는 곳에 설치하게 된다.
도4는 본 발명에서 제안된 시스템이 포함된 설치환경을 나타내고 있다.
도4에서 보는 바와 같이 DM-IDS시스템은 방화벽과 내부 서브네트워크 중간에 설치하게 된다.
도4에서, 방화벽(200)은 네트워크 게이트웨어 서버에 위치하고 있는 일련의 프로그램들로서, 다른 의 사용자들로부터 일반 사설 네트워크의 자원들을 보호해준다.
방화벽(200)은 외부인이 자신의 공개되지 않은 자원에 접근하는 것을 막고, 자기 기관의 사용자들이 접속해야할 외부의 자원들을 통제하기 위해 설치된다.
또한, 인터넷 사용자 컴퓨터(300)는 네트워크 및 서버 컴퓨터에 접속할 수 있는 일반 사용자가 사용하는 컴퓨터이다.
그리고, 서버 컴퓨터(400)는 일반적으로 네트워크 침입이 대상은 웹서버, 파일서버, 데이터서버 등 외부에서 접속된 클라이언트에게 특정의 서비스를 제공하는 서버컴퓨터이다.
본 발명에 따른 네트워크 침입탐지 패턴의 자동 탐지 시스템은 도5에서 상세하게 도시되어 있고, 도6에서 본 발명에서 제안한 침입패턴규칙 자동생성 시스템의 구조도를 도시하고 있다.
도5에서 본 발명에 의한 시스템(100)은 네트워크망에 접속하여 네트워크 패킷을 스캐닝하는 패킷 수집 모듈(80), 네트워크의 패킷 데이터를 이미 생성된 침입패턴과 실시간 대조하여 침입 패킷을 구분하여 판단정보를 보고하고 자료 분석하는 침입 탐지기(20), 클러스터로부터 찾아낸 침입관련특성을 사용하여 시스템 내에 정의된 형식으로 침입패턴규칙을 생성하는 침입패턴규칙 자동생성 시스템(40) 및 상기 패킷 수집 모듈(80)로부터 전달되는 데이터와 네트워크 침입패턴 데이터를 저장하는 데이터웨어하우스(60)를 포함하여 구성된다.
이하, 상기 구성요소에 상세한 설명은 다음과 같다.
패킷수집모듈(80)은 직접 네트워크망에 접속하여 실시간으로 네트워크 패킷을 스캐닝하면서 시스템 내부에서 이미 정의한 포맷으로 변환하여, 그 데이터를 데이터웨어하우스(60)에 적재한다.
또한, 침입탐지기(20)는 현 시점에서 구성된 네트워크침입패턴규칙 정보를 기반으로 패킷수집기가 수집한 네트워크 데이터를 감시하면서, 침입패턴규칙과 매치되는 경우 네트워크 관리자에게 경고 발령을 내는 역할을 담당한다. 이 침입탐지기는 다음 두 모듈로 구성된다.
첫째, 침입감시모듈로서, 실제 네트워크 패킷 데이터를 기생성된 침입패턴과 실시간 대조작업을 통해 불순한 것으로 판단되는 침입패킷을 구분하여 이에 대한 판단 정보를 관리자에 자동 보고(또는 발령)한다.
둘째, 웹모니터링(OLAP) 모듈로서, 침입경고가 행해진 후, 이에 대한 자세한 네트워크 데이터를 조회하기 위해 OLAP(실시간 자료분석) 기능을 수행하는 모듈로서, 여러 각도에서의 다차원분석, 차팅 기능을 제공한다.
한편, 도6을 참조하면, 본 발명에 따른 DM-IDS침입패턴규칙자동생성시스템(40)은 미리 수집한 네트워크 패킷 데이터에 대해 주기적으로 아웃라이어 탐지 프로세스를 구동하면서 새로운 네트워크침입패턴을 탐지하는 역할을 담당한다.
상기 DM-IDS침입패턴규칙자동생성시스템(40)은 다음 세 가지 모듈로 구성된다.
첫째, 클러스터링 모듈(44)로서 특정 클러스터링 알고리즘(본 실시예에서 는 k-Means 클러스터링 알고리즘)에 입각하여 유사 인스턴스를 가지는 클러스터의 집합을 생성한다.
둘째, 아웃라이어 탐지 및 특성 추출 모듈(46)로서 주변으로부터의 영향력이 미미한 아웃라이어 클러스터를 결정하고, 그 아웃라이어 클러스터 내에 함유된 인스턴스들로부터 다른 클러스터와 이를 구별할 수 있는 주요 특성을 판별한다.
셋째, 침입패턴규칙 생성 모듈(48)로서 아웃라이어 클러스터로부터 찾아낸 침입관련 특성을 사용하여 시스템내에서 정의한 정형화된 형식으로 침입패턴규칙을 생성한다.
또한, 본 발명에 따른 네트워크 침입탐지 패턴의 자동 탐지 시스템은 데이터웨어하우스(60)를 포함하여 여러 개의 패킷수집기로부터 전달된 데이터와 네트워크침입패턴 데이터베이스를 보관하기 위한 통합 데이터저장소로 기능한다.
상기 데이터웨어하우스(60)는 여러 개의 패킷수집기로부터 전달된 데이터와 네트워크침입패턴 데이터베이스를 보관하기 위한 통합 데이터저장소이다.
상기 데이터웨어하우스(60)는 장기간 동안에 네트워크 패킷데이타를 보관하며, 이는 기초데이터로 하여 새로운 침입패턴을 탐색하기 위한 기초 데이타의 역할을 수행하며, 네트워크망의 현재 상황에 대해 OLAP(실시간 자료분석)기능을 수행하고자 할 때 그것의 기초 데이타로 사용된다.
이상 설명한 바와 같이, 본 발명에 의하면, 침입패턴규칙 자동생성하여 침입패턴 데이터베이스 업데이트하므로, 새로운 침입패턴에 대한 대응시간이 짧은 효과 가 있다.
또한, 영향력함수를 활용하여 침입패턴을 함유할 것으로 판단되는 아웃라이어 클러스터를 보다 정확히 판별할 수 있는 것이다.
또한, 아웃라이어 클러스터로부터 침입패턴을 규정할 수 있는 규칙을 추출하기 위해 기존의 의사결정트리 기법을 활용할 수 있는 것이다.
Claims (6)
- 오용탐지(misuse detection)에 의한 네트워크 침입패턴의 탐지 방법에 있어서,데이터에 대한 클러스터링을 수행하는 단계;생성된 클러스터의 내부 인스턴스 각각에 대한 주변 클러스터의 영향력을 고려한 클러스터 밀도함수값을 계산하여 아웃라이어 클러스터를 탐지하는 단계;상기 아웃라이어 클러스터로부터 특성을 추출하는 단계;상기 추출된 아웃라이어 클러스터 특성으로부터 정형화된 형식으로 침입 패턴을 생성하는 단계;상기 침입 패턴을 침입패턴 데이터 베이스에 추가하는 단계; 및상기 추가된 침입 패턴을 반영하여 침입탐지모듈을 재구동하여 침입을 탐지하는 단계를 포함하는 네트워크 침입패턴의 자동탐지 방법.
- 제 1 항에 있어서,인스턴스,
가 주어질 때,
에 대한
의 영향력함수
는 다음과 같이,
영향함수
(여기서,는 영향함수의 형태를 결정하는 제어인자(contol parameter)이 고,
는 인스턴스
와
간의 유클리디언 거리값이다)으로 정의 되고,
인스턴스 집합이 주어질 때, 집합 D에 존재하는 모든 인스턴스가 인스턴스
에 미치는 영향력의 합에 해당하는 인스턴스 밀도함수(density function)가,
인스턴스 밀도함수
라고 할 때, 클러스터링 후에 특정 클러스터에 포함된 모든 인스턴스에 대해서, 클러스터 밀도함수는
클러스터 밀도함수
(여기에서,는 클러스터링 후의 특정 클러스터이며,
는 인스턴스, D는
를 제외한 다른 클러스터에 존재하는 인스턴스이다.)
로 주어지는 것을 특징으로 하는 네트워크 침입패턴의 자동탐지 방법. - 제 1 항에 있어서,상기 아웃라이어 클러스터 탐지단계에서 임계값 이하의 클러스터 밀도함수를 가지는 클러스터는 아웃라이어 클러스터로 판단하는 것을 특징으로 하는 네트워크 침입패턴의 자동탐지 방법.
- 제 1 항에 있어서,아웃라이어 클러스터로부터 특성을 추출하는 단계는,아웃라이어 클러스터로 판별된 인스턴스는 "침입" 레이블을 할당하고, 그 이외의 클러스터에 포함된 인스턴스는 "정상" 레이블을 할당하는 단계;상기 "침입", "정상" 레이블로 구별된 전체 인스턴스 데이터를 의사결정트리에 입력하는 단계; 및상기 의사결정트리를 생성하는 단계를 포함하는 것을 특징으로 하는 네트워크 침입패턴의 자동탐지 방법.
- 오용탐지(misuse detection)에 의한 네트워크 침입패턴의 탐지 시스템에 있어서,네트워크망에 접속하여 네트워크 패킷을 스캐닝하는 패킷 수집 모듈;네트워크의 패킷 데이터를 이미 생성된 침입패턴과 실시간 대조하여 침입 패킷을 구분하여 판단정보를 보고하고 자료 분석하는 침입 탐지기;클러스터로부터 찾아낸 침입관련특성을 사용하여 시스템내에 정의된 형식으로 침입패턴규칙을 생성하는 침입패턴규칙 자동생성 시스템; 및상기 패킷 수집 모듈로부터 전달되는 데이터와 네트워크 침입패턴 데이터를 저장하는 데이터웨어하우스를 포함하며, 상기 침입패턴규칙 자동생성 시스템은, 유사인스턴스를 가지는 클러스터를 생성하는 클러스터링 모듈, 아웃라이어 클러스터를 결정하기 위해, 상기 아웃라이어 클러스터에 포함된 내부 인스턴스 각각에 대한 주변 클러스터의 영향력을 고려한 클러스터 밀도함수값을 계산하여 아웃라이어 클러스터를 탐지하고 주변 클러스터와 구별되는 특성을 판별하는 아웃라이어 탐지 및 특성 추출 모듈, 및 상기 아웃라이어 클러스터로부터 찾아낸 칩입관련특성을 사용하여 시스템내에 정형화된 IF-THEN 형식으로 침입패턴규칙을 생성하는 침입패턴규칙 생성모듈을 포함하는 것을 특징으로 하는 네트워크 침입패턴의 자동 탐지 시스템.
- 삭제
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020050034032A KR100708771B1 (ko) | 2005-04-25 | 2005-04-25 | 네트워크 침입 패턴의 자동탐지를 위한 시스템 및 방법 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020050034032A KR100708771B1 (ko) | 2005-04-25 | 2005-04-25 | 네트워크 침입 패턴의 자동탐지를 위한 시스템 및 방법 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| KR20060112622A KR20060112622A (ko) | 2006-11-01 |
| KR100708771B1 true KR100708771B1 (ko) | 2007-04-18 |
Family
ID=37620852
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020050034032A KR100708771B1 (ko) | 2005-04-25 | 2005-04-25 | 네트워크 침입 패턴의 자동탐지를 위한 시스템 및 방법 |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR100708771B1 (ko) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8065729B2 (en) | 2006-12-01 | 2011-11-22 | Electronics And Telecommunications Research Institute | Method and apparatus for generating network attack signature |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20000072707A (ko) * | 2000-09-20 | 2000-12-05 | 홍기융 | 실시간 침입탐지 및 해킹 자동 차단 방법 |
| KR20020024508A (ko) * | 2000-09-25 | 2002-03-30 | 김병기 | 네트워크 침입탐지를 위한 비정상행위 탐지기법 |
-
2005
- 2005-04-25 KR KR1020050034032A patent/KR100708771B1/ko not_active IP Right Cessation
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20000072707A (ko) * | 2000-09-20 | 2000-12-05 | 홍기융 | 실시간 침입탐지 및 해킹 자동 차단 방법 |
| KR20020024508A (ko) * | 2000-09-25 | 2002-03-30 | 김병기 | 네트워크 침입탐지를 위한 비정상행위 탐지기법 |
Non-Patent Citations (2)
| Title |
|---|
| 1020000072707 |
| 1020020024508 |
Also Published As
| Publication number | Publication date |
|---|---|
| KR20060112622A (ko) | 2006-11-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Bass | Intrusion detection systems and multisensor data fusion | |
| Gupta et al. | Layered approach using conditional random fields for intrusion detection | |
| CN107517216B (zh) | 一种网络安全事件关联方法 | |
| US7530105B2 (en) | Tactical and strategic attack detection and prediction | |
| Van Ede et al. | Deepcase: Semi-supervised contextual analysis of security events | |
| US10425436B2 (en) | Identifying bulletproof autonomous systems | |
| KR102225040B1 (ko) | 인공 지능 기반의 통합 로그 관리 방법 및 그 시스템 | |
| CN111953697B (zh) | 一种apt攻击识别及防御方法 | |
| CN116305168B (zh) | 一种多维度信息安全风险评估方法、系统及存储介质 | |
| CN112333195B (zh) | 基于多源日志关联分析的apt攻击场景还原检测方法及系统 | |
| GhasemiGol et al. | E‐correlator: an entropy‐based alert correlation system | |
| Kosamkar et al. | Improved Intrusion detection system using C4. 5 decision tree and support vector machine | |
| CN113904881A (zh) | 一种入侵检测规则误报处理方法和装置 | |
| Lu et al. | Exploiting efficient data mining techniques to enhance intrusion detection systems | |
| Kaiser et al. | Attack hypotheses generation based on threat intelligence knowledge graph | |
| CN110750788A (zh) | 一种基于高交互蜜罐技术的病毒文件检测方法 | |
| CN103455754A (zh) | 一种基于正则表达式的恶意搜索关键词识别方法 | |
| Meryem et al. | A novel approach in detecting intrusions using NSLKDD database and MapReduce programming | |
| JP2007114846A (ja) | 防犯対策情報提供装置 | |
| CN116938587A (zh) | 基于溯源图行为语义提取的威胁检测方法及系统 | |
| CN115296892B (zh) | 数据信息服务系统 | |
| KR100708771B1 (ko) | 네트워크 침입 패턴의 자동탐지를 위한 시스템 및 방법 | |
| Teoh et al. | Analyst intuition inspired high velocity big data analysis using PCA ranked fuzzy k-means clustering with multi-layer perceptron (MLP) to obviate cyber security risk | |
| EP4024252A1 (en) | A system and method for identifying exploited cves using honeypots | |
| CN113572781A (zh) | 网络安全威胁信息归集方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A201 | Request for examination | ||
| E902 | Notification of reason for refusal | ||
| E701 | Decision to grant or registration of patent right | ||
| N231 | Notification of change of applicant | ||
| GRNT | Written decision to grant | ||
| FPAY | Annual fee payment |
Payment date: 20130410 Year of fee payment: 7 |
|
| FPAY | Annual fee payment |
Payment date: 20140404 Year of fee payment: 8 |
|
| LAPS | Lapse due to unpaid annual fee |