KR101256671B1 - Methofd for testing detection performance of intrusion detection system and the media thereof - Google Patents

Methofd for testing detection performance of intrusion detection system and the media thereof Download PDF

Info

Publication number
KR101256671B1
KR101256671B1 KR20060054218A KR20060054218A KR101256671B1 KR 101256671 B1 KR101256671 B1 KR 101256671B1 KR 20060054218 A KR20060054218 A KR 20060054218A KR 20060054218 A KR20060054218 A KR 20060054218A KR 101256671 B1 KR101256671 B1 KR 101256671B1
Authority
KR
Grant status
Grant
Patent type
Prior art keywords
intrusion
detection
performance
event
accuracy
Prior art date
Application number
KR20060054218A
Other languages
Korean (ko)
Other versions
KR20070119814A (en )
Inventor
김현숙
Original Assignee
주식회사 케이티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Grant date

Links

Images

Abstract

본 발명은 침입탐지시스템이 탐지한 침입이벤트중에서 실제 침입이벤트의 비율을 근거로 상기 침입탐지시스템의 탐지성능을 측정하여 상기 침입탐지시스템의 탐지성능측정의 정확도를 높이기 위한 기술에 관한 것이다. The present invention is based on the ratio of actual intrusion events to a technique for increasing the accuracy of detection performance measure of the intrusion detection system by measuring the detection performance of the intrusion detection system from the intrusion detection system detects an intrusion event.
이를 위해, 본 발명은 침입이벤트가 감지되면 상기 침입이벤트가 실제 침입이벤트인가를 판단하는 a 과정; To this end, when the present invention intrusion event is detected, a process for determining the applied intrusion event the actual intrusion events; 상기 침입이벤트가 상기 실제 침입이벤트이면 침입이벤트 수(n(AI))를 증가시키는 b 과정; b The process of the intrusion event is increased if the actual intrusion event intrusion event number (n (AI)); 상기 침입이벤트가 상기 실제 침입이벤트가 아니면 침입이 아닌 이벤트 수(n(AI C ))를 증가시키는 c 과정; C The process of the intrusion event is not a real intrusion event the increase in the number of non-intrusion events (n (AI C)); 상기 침입탐지에 따른 테스트가 종료되면, 상기 침입이벤트 수(n(A))에 대한 실제 침입이벤트 수(n(AI))의 비율로 탐지성능 정확도를 산출하는 d 과정; When the test is ready to process d according to the intrusion detection, it calculates the detection accuracy performance in a ratio of actual intrusion events can (n (AI)) for the intrusion event number (n (A)); 및 상기 탐지성능 정확도를 근거로 상기 침입탐지시스템의 탐지성능을 판정하는 e 과정을 구비하는 것을 특징으로 한다. And it characterized in that it comprises the step of e determines the detection performance of the intrusion detection system based on the detection performance accuracy.

Description

침입탐지시스템의 탐지성능 적합성 판정 방법 및 그 기록매체{METHOFD FOR TESTING DETECTION PERFORMANCE OF INTRUSION DETECTION SYSTEM AND THE MEDIA THEREOF} Method detection performance conformity assessment of the intrusion detection system and a recording medium {METHOFD FOR TESTING DETECTION PERFORMANCE OF INTRUSION DETECTION SYSTEM AND THE MEDIA THEREOF}

도 1은 본 발명의 실시예에 따른 침입탐지시스템의 탐지성능 적합성 판정 방법이 적용되는 침입탐지시스템의 블럭구성도. 1 is a block diagram of the intrusion detection system detects performance suitability judgment method of intrusion detection system in accordance with an embodiment of the present invention is applied.

도 2는 본 발명의 실시예에 따른 침입탐지시스템의 탐지성능 적합성 판정 방법을 설명하기 위한 플로우차트. 2 is a flowchart illustrating the detection performance suitability judgment method of intrusion detection system in the embodiment;

본 발명은 침입탐지시스템의 탐지성능 적합성 판정 방법 및 그 기록매체에 관한 것으로, 보다 상세하게는 침입탐지시스템이 탐지한 침입이벤트중에서 실제 침입이벤트의 비율을 근거로 상기 침입탐지시스템의 탐지성능을 측정하여 상기 침입탐지시스템의 탐지성능측정의 정확도를 높이기 위한 기술에 관한 것이다. The present invention is a method detecting performance conformity assessment of the intrusion detection system, and relates to a recording medium, and more particularly, an intrusion detection system measures the detection performance of the intrusion detection system based on the ratio of actual intrusion events among the detected intrusion event the present invention relates to a technique for increasing the accuracy of detection performance measure of the intrusion detection system.

침입탐지시스템(IDS)은 시스템(호스트/서버, 네트워크 장비)에 시도되는 비정상적 행위 또는 오용 행위 등을 실시간으로 탐지하는 보안시스템으로, 네트워크 내/외부 정보의 흐름을 실시간 감시하여 해커의 침입 패턴에 대한 추적과 동시에 유해 정보 감시를 수행하는 장비이다. Intrusion Detection System (IDS) is a system such as abnormal behavior or misuse of acts that attempt to (host / server, network equipment) and security systems to detect in real time the network on my / hacker intrusion patterns, real-time monitoring of the flow of external information and at the same time keep track of the equipment to perform the harmful information monitoring.

침입시도로 예상되는 비정상적 행위는 시스템의 비정상적 동작이나 사용에 근거한 것을 의미하고, 또 다른 침입시도로 예상되는 오용 행위는 시스템/응용 SW의 취약점을 공격하는 형태를 의미한다. Abnormal behavior expected an intrusion attempt is being misused Act means that, based on an abnormal operation or use of the system, expected to be another form of intrusion attempts means that attacks a vulnerability in the system / application SW. 이러한 침입시도는 스니퍼를 사용한 도청, 신분/권한/서비스 위장, 악성 프로그램에 의한 기밀성/무결성/가용성 파괴, 시스템 정보유출/변조/자원소모, 기타 시스템 사용정책 위반 등의 형태로 나타난다. This intrusion attempts is shown in the form of using sniffer eavesdropping, identity / privilege / Service stomach, tightness due to malware / Integrity / Availability destroy, System Information Disclosure / modulation / resource consumption, and other systems used for policy violations.

따라서, 침입탐지시스템의 핵심은 이러한 침입시도들을 얼마나 정확히 탐지할 수 있는가에 있다. Thus, the core of the intrusion detection system is in how exactly can we detect these intrusion attempts.

한편, 침입탐지시스템의 탐지성능 판정 기준은 탐지율과 오탐지율이 적용된다. On the other hand, the detection performance of the intrusion detection system based on the determination is applied to the detection rate and false positive rates. 탐지율이란 전체 침입 이벤트 가운데 침입탐지시스템가 탐지한 침입이벤트 비율이며, 오탐지율이란 전체 이벤트 중 침입이 아닌 이벤트 가운데 침입탐지시스템이 침입이벤트로 오탐지한 비율이다. What is the total detection rate of intrusion event intrusion detection Intrusion Detection siseutemga event rate, false positives is a whole of non-intrusion events of the five events intrusion detection systems to intrusion detection event rate.

그러나, 침입탐지시스템의 실제 운용에서 발생하는 전체 침입 이벤트의 수를 안다는 것이 현실적으로 어려운 문제이기 때문에, 침입탐지시스템의 제조업체에서 제시하는 탐지성능은 침입탐지시스템의 도입시 수행되는 모의실험 환경에서만 의미있는 기준이 될 수 있다. However, the meaning because it knows the total number of intrusion events that occur in the actual operation of the intrusion detection system is practically difficult, detection performance presented by the intrusion detection system manufacturers are only simulated environments that are performed during the introduction of the intrusion detection system the criteria may be. 더욱이, 탐지성능은 장비의 내용 년수 혹은 운용환경에 따라 저하될 수 있는 것이므로, 실제 환경에서 운용될 때 역시 탐지성능에 대한 지속적인 관리가 이루어져야 한다. Furthermore, the detection performance because it can be reduced depending on the device useful life or operating environment, should also be made to the sustainable management of detection performance when operating in a real environment.

본 발명은 상기한 사정을 감안하여 창출되어진 것으로서, 침입탐지시스템이 탐지한 침입이벤트중에서 실제 침입이벤트의 비율을 근거로 상기 침입탐지시스템의 탐지성능을 측정하여 상기 침입탐지시스템의 탐지성능측정의 정확도를 높이는 것을 목적으로 한다. The present invention been created in view of the above circumstances, the intrusion detection system is based on the ratio of actual intrusion events among the detected intrusion event by measuring the detection performance of the intrusion detection system, the accuracy of detection performance measure of the intrusion detection system the height of the another object.

상기한 목적을 달성하기 위해, 본 발명에 따른 침입탐지시스템의 탐지성능 적합성 판정 방법은, 침입탐지시스템에서 감지된 침입이벤트 중에서 실제 침입이벤트를 근거로 탐지성능 정확도를 산출하는 제 1 과정; In order to achieve the above object, the detection performance of conformity assessment of the intrusion detection system according to the present invention method includes a first process for calculating the detection performance accuracy on the basis of real intrusion event from the intrusion event is detected in the intrusion detection system; 및 상기 탐지성능 정확도를 임계값과 비교하여 그 비교결과를 근거로 상기 침입탐지시스템의 침입탐지성능의 적합성을 판정하는 제 2 과정을 구비하는 것을 특징으로 한다. And it is characterized in that a second process for determining the suitability of the intrusion detection performance of the intrusion detection system, the detection accuracy performance in comparison with the threshold value on the basis of the comparison result.

바람직하게, 본 발명에서 상기 제 1 과정에서 상기 탐지성능 정확도는 상기 감지된 침입이벤트 수에 대한 상기 실제 침입이벤트 수의 비율인 것을 특징으로 한다. Preferably, the detection accuracy in the performance of the first process in the present invention is characterized in that the ratio of the number of the actual intrusion events to the number of intrusion event the sensed.

바람직하게, 본 발명에서 상기 제 2 과정에서 상기 임계값은 제 1 임계값과 제 2 임계값으로 구성되는 것을 특징으로 한다. Preferably, the threshold value at the second step in the invention is characterized by consisting of the first threshold and the second threshold value.

바람직하게, 본 발명에서 상기 탐지성능 정확도가 상기 제 1 임계값 이상이면 상기 침입탐지시스템의 탐지성능이 적합한 것으로 판정하고, 상기 탐지성능 정확도가 상기 제 1 임계값과 상기 제 2 임계값의 사이이면 상기 침입탐지시스템의 탐지성능을 보류 또는 재판단으로 판정하고, 상기 탐지성능 정확도가 상기 제 2 임계값 이하이면 상기 침입탐지시스템의 탐지성능이 부적합한 것으로 판정하는 것을 특징으로 한다. Preferably, it is determined in the present invention by which the detection performance accuracy suitable for the detection performance of the intrusion detection system, the first is the threshold value or more, the detection performance accuracy is between the first threshold and the second threshold value It characterized in that the intrusion detection system determining a detection performance of the hold or re-determined, and it is determined that the detection performance accuracy is not more than the second threshold value is detected, the performance of the intrusion detection system is not appropriate.

본 발명에 따른 침입탐지시스템의 탐지성능 적합성 판정 방법이 기록된 기록매체는, 침입탐지시스템에서 감지된 침입이벤트 중에서 실제 침입이벤트를 근거로 탐지성능 정확도를 산출하는 제 1 과정; The recording medium detection performance conformity assessment method recording of the intrusion detection system according to the present invention, a first process for calculating the detection performance accuracy on the basis of real intrusion event from the intrusion event is detected in the intrusion detection system; 및 상기 탐지성능 정확도를 임계값과 비교하여 그 비교결과를 근거로 상기 침입탐지시스템의 침입탐지성능의 적합성을 판정하는 제 2 과정을 실행하여 상기 침입탐지시스템의 탐지성능의 적합성을 판정하는 프로그램이 저장된 것을 특징으로 한다. And a program for determining the suitability of a detection performance of the intrusion detection system to run a second process for determining the suitability of the intrusion detection performance of the intrusion detection system, the detection performance accuracy as compared with the threshold value on the basis of the comparison result, characterized in that stored.

또한, 본 발명에 따른 침입탐지시스템의 탐지성능 적합성 판정 방법은, 침입이벤트가 감지되면 상기 침입이벤트가 실제 침입이벤트인가를 판단하는 a 과정; Furthermore, when the detection performance suitability judgment method of intrusion detection system in accordance with the present invention, an intrusion event is detected, a process for determining the applied intrusion event the actual intrusion events; 상기 침입이벤트가 상기 실제 침입이벤트이면 침입이벤트 수(n(AI))를 증가시키는 b 과정; b The process of the intrusion event is increased if the actual intrusion event intrusion event number (n (AI)); 상기 침입이벤트가 상기 실제 침입이벤트가 아니면 침입이 아닌 이벤트 수(n(AI C ))를 증가시키는 c 과정; C The process of the intrusion event is not a real intrusion event the increase in the number of non-intrusion events (n (AI C)); 상기 침입탐지에 따른 테스트가 종료되면, 상기 침입이벤트 수(n(A))에 대한 실제 침입이벤트 수(n(AI))의 비율로 탐지성능 정확도를 산출하는 d 과정; When the test is ready to process d according to the intrusion detection, it calculates the detection accuracy performance in a ratio of actual intrusion events can (n (AI)) for the intrusion event number (n (A)); 및 상기 탐지성능 정확도를 근거로 상기 침입탐지시스템의 탐지성능을 판정하는 e 과정을 구비하는 것을 특징으로 한다. And it characterized in that it comprises the step of e determines the detection performance of the intrusion detection system based on the detection performance accuracy.

바람직하게, 본 발명에서 상기 탐지된 침입 이벤트의 프로파일 정보를 침입 유형 정보가 저장된 데이터베이스에 저장하는 과정을 더 구비하는 것을 특징으로 한다. Preferably, the present invention is characterized in that it further comprises the step of storing the profile information of the detected intrusion event to the database information stored in the break type.

바람직하게, 본 발명에서 상기 침입 이벤트가 상기 데이터베이스에 기저장된 침입 유형과 다른 특징을 가지면 상기 침입 이벤트의 침입 유형을 상기 데이터 베이스에 입력하여 관리하는 과정을 더 구비하는 것을 특징으로 한다. Preferably, the breaking has the type and other characteristics which the intrusion event previously stored in the database in the present invention, the type of infiltration of the intrusion event, characterized by further comprising the step of managing input to the database.

이하, 첨부되어진 도면을 참조하여 본 발명의 실시예를 구체적으로 설명한다. It will be described below, embodiments of the invention with reference to the figures of the attached concretely.

도 1은 본 발명의 실시예에 따른 침입탐지시스템의 탐지성능 적합성 판정 방법이 적용되는 침입탐지시스템의 전체구성도이다. Figure 1 is an overall configuration diagram of the intrusion detection system detects performance suitability judgment method of intrusion detection system in accordance with an embodiment of the present invention is applied.

도 1에 도시된 바와 같이, 본 발명의 실시예에 따른 침입탐지시스템의 탐지성능 적합성 판정 방법이 적용되는 침입탐지시스템은 실제 환경에서 모니터링을 통해 이벤트에 해당하는 데이터를 수집하는 데이터 수집부(110), 수집된 데이터를 분석하여 침입으로 판단되는 이벤트에 대해 실시간 처리 및 이벤트 결과를 데이터베이스에 저장하거나 외부로 침입 이벤트의 발생을 통보하는 데이터 처리부(120), 및 데이터 처리부(120)로부터 통보되는 침입 이벤트에 대한 경보를 발생하는 경보발생부(130)를 구비한다. 1, the intrusion detection performance suitability judgment method of intrusion detection system in accordance with an embodiment of the present invention is applied to detection systems data acquisition unit (110 to collect data for the events by monitoring in a real environment ), which is informed of the real-time processing and the result of the event for which determines the invasion to analyze the collected data event from the data processing unit 120, and a data processor 120 that stores the database, or notify the occurrence of the intrusion event to an external intrusion and a warning generating unit 130 for generating an alarm for the event.

본 발명에서, 데이터 수집부(110)에 의해 수집되는 이벤트 데이터는 세션 단위로 발생하는 것이며, 본 발명에서 사용하는 이벤트의 개념을 세션과 동일하게 가정할 수 있다. In the present invention, the event data collected by the data collection unit 110 is to generate a session unit, it can be assumed the concept of the event to be used in the present invention in the same manner as in the session.

도 2는 도 1에 도시된 데이터 처리부(120)의 세부구성도이다. Figure 2 is a detailed configuration of the data processing unit 120 shown in Fig.

데이터 처리부(120)는 TCP/UDP 프로토콜을 근거로 데이터 수집부(110)로부터 전송되는 이벤트 데이터를 분석하여 이벤트 정보를 추출하는 데이터분석부(121), 참조 데이터베이스(125)를 참조하여 상기 추출된 이벤트 정보를 분석하여 상기 이벤트 정보의 침입여부를 판정하고, 침입으로 판정된 이벤트의 실시간 처리가능성을 판단하여 실시간 처리가능하면 침입처리부(127)로 상기 이벤트 정보를 전송하여 상기 침입에 대한 실시간 처리가 수행되도록 하고 실시간 처리가 불가하면 경보발생부(130)로 상기 이벤트 정보를 전송하여 상기 침입에 대한 운용자 처리가 수행되도록 하는 침입탐지판정부(123)를 구비한다. Data processing unit 120 refers to the TCP / UDP protocol on the basis of analysis of the event data transmitted from the data acquisition unit 110 to data analysis to extract the event information 121, the reference database 125, the extracted and analyzes the event information determining intrusion whether or not the event information, and if it is determined the real-time processing possibilities of the determined intrusion events are real-time processing transmits the event information to the penetration processing unit 127, the real-time processing on the intrusion If not, and the real-time processing to be performed by transmitting the event information to the alarm generating unit 130 and a intrusion detection determining section 123 that allows the operator process is performed for the penetration.

참조데이터베이스(125)에는 비정상 행위 및 오용 행위 별 침입패턴/프로파일/시그너처 등의 침입 유형이 저장되고, 침입처리부(127)는 침입 이벤트를 정상 이벤트와 분리하여 침입 이벤트를 발생한 소스 IP 주소를 갖는 패킷의 시스템 접근을 차단하는 기능을 수행한다. Reference database 125, the packet with the anomaly or improper actions by intrusion pattern / profile / signature, such as the source IP address that caused the intrusion event intrusion type is saved, intrusion processor 127 to remove the intrusion event with normal events of of functions to block the access to the system.

또, 칩입탐지판정부(125)는 탐지된 침입 이벤트의 프로파일 정보를 참조 데이터베이스(125)에 저장하고, 상기 탐지된 침입 이벤트의 침입 유형이 참조 데이터베이스(125)에 저장된 침입 유형과 다른 특징을 보이는 경우에는 패턴 유형과 시그니처 정보를 참조 데이터베이스(125)에 저장하여 침입유형정보가 실시간으로 관리될 수 있도록 한다. In addition, intrusion detection determining section 125 stores the profile information of the detected intrusion event to the reference database 125, and the type of infiltration of the detected intrusion event an intrusion type and other characteristics stored in the reference database 125 case, to allow the intrusion type information managed in real time by storing the pattern type and the signature information in the reference database 125.

침입유형은 계속 변종 혹은 새로운 유형이 발생하기 때문에, 운용자가 데이터 분석부(121)로부터 전달되는 이벤트 정보를 근거로 상기 이벤트 정보가 신종 침입 이벤트인가를 판단하여 운용자가 신종 침입이벤트에 대한 정보를 침입 탐지판정부(123)로 전달하면, 침입 탐지판정부가 상기 신종 침입이벤트에 대한 패턴 유형과 시그니처 정보 등을 참조 데이터베이스(125)에 저장한다. Intrusion type is still variants or because a new type occurs, an operator from entering the information about the operator to determined whether the event information new intrusion event based on the event information transmitted from the data analyzing unit 121, a new intrusion event When delivered to the detection determining section 123, intrusion-detection determination unit stores a pattern and signature type information and the like for the new intrusion event to the reference database (125).

이어, 첨부되어진 도 2에 도시된 플로우차트를 참조하여 본 발명의 실시예에 따른 침입탐지시스템의 탐지성능 적합성 판정 방법을 구체적으로 설명한다. Next, the attachment will be described in detail a detection performance suitability judgment method of intrusion detection system in accordance with an embodiment of the present invention also with reference to the flowchart shown in Figure 2 been.

전체 이벤트 수(n(N)), 침입 이벤트 수(n(I))가 설정되고, 실제 침입이벤트 수 n(AI), 침입이 아닌 이벤트 수 n(AI C ), 및 침입탐지 이벤트 수 n(A)를 각각 0으로 설정한다. The total number (n (N)), can break event Event (n (I)) can be set and the actual intrusion events can be n (AI), be non-intrusion event n (AI C), and intrusion detection event n ( of a) each set to zero.

이 상태에서, 침입탐지 판정부(123)에서 침입이벤트가 감지되면(S6에서 Yes) 침입탐지 판정부(123)는 침입 탐지 이벤트 수(n(A))를 증가시키고, 상기 침입이벤트가 실제 침입이벤트인가를 판단한다(S10). In this state, the Intrusion detection plate when the state 123, the intrusion event is detected at (at S6 Yes), the intrusion detection determining section 123 increases the intrusion detection event number (n (A)) and, the actual breaking the intrusion event is determined is applied to the event (S10). 이때, 침입이벤트가 상기 침입탐지시스템의 오동작에 의한 것이 아니면, 침입탐지 판정부(123)는 상기 침입이벤트를 실제 침입이벤트로 처리한다. In this case, the intrusion event, or be due to a malfunction of said intrusion detection systems, intrusion detection judging unit 123 processing the intrusion event to the actual intrusion events.

S10의 판단결과 상기 침입이벤트가 실제 침입이벤트이면(S10에서 Yes) 실제 이벤트 탐지 수(n(AI))를 증가시키고(S12), S10의 판단결과 상기 침입이벤트가 실제 이벤트가 아니면(S10에서 No) 침입이 아닌 이벤트 수(n(AI C ))를 증가시킨다(S14). Of S10 it determined that the intrusion event if the actual intrusion events (at S10 Yes) physical event detection number (n (AI)) increase and (S12), in S10 determined that the intrusion event is not a real event (in S10 No ) to increase the number of non-intrusion events (n (AI C)) ( S14).

이어, 침입탐지 판정부(123)는 테스트가 종료되었는가를 판단하여 테스트가 종료되지 않았으면(S16에서 No) S6단계로 진행하여 상술되어진 S6 내지 S14 단계를 수행하고, 만약 테스트가 종료되었으면(S16에서 Yes) 전체 이벤트 수(n(N))와 침입탐지 이벤트 수 (n(A))를 이용하여 탐지율을 산출하고(S18), 오탐지율을 산출한다(S20). Subsequently, the intrusion detection determining section 123 When the test if not, the test is ready to determined whether termination proceeds to (No at S16) S6 step by performing the S6 to Step S14 been described above, and if the test is terminated (S16 in Yes) calculates a detection rate using the total number of events (n (n)) and the intrusion event number (n (a)) and calculates the (S18), false positives (S20).

[수학식 1]은 오탐지율에 대한 산출식이다. Equation 1 is a calculation formula for the false positives.

Figure 112006042189699-pat00001

또한, 침입탐지 판정부(123)는 침입탐지 이벤트 수(n(A))와 실제 침입 이벤트 수(n(AI))를 이용하여 탐지성능 정확도를 산출한다. In addition, intrusion detection plate and government 123 calculates the detection accuracy by using a performance intrusion detection event number (n (A)) and the actual intrusion events (n (AI)).

[수학식 2]는 탐지성능 정확도에 대한 산출식이다. Equation (2) is a calculation formula for detection performance accuracy.

Figure 112006042189699-pat00002

이어, 침입탐지 판정부(123)는 탐지성능 정확도를 임계값과 비교하여(S24) 탐지성능 정확도가 임계값보다 크면(S24에서 Yes) 침입탐지성능이 적합한 것으로 판단하여 이를 운용자에게 통보하고(S26), 만약 S24의 판단결과 상기 탐지성능 정확도가 소정 임계값보다 적으면(S24에서 No) 침입탐지성능이 부적합한 것으로 판단하여 이를 운용자에게 통보한다(S28). Subsequently, the intrusion detection judging section 123 is detected to (S24) detection performance accuracy is greater than a threshold (in S24 Yes), the intrusion detection performance is determined to be appropriate inform the operator, and (S26 performance accuracy compared with the threshold value ), and if S24, if the determination result is the predetermined detection accuracy of performance is less than the threshold (in S24 is No), the intrusion detection performance is judged to be inappropriate inform the operator (S28).

본 발명의 실시예에서는 탐지성능 정확도를 임계값과 비교하여 탐지성능 정확도가 임계값 이상인 경우에는 침입탐지성능이 적합한 것으로 판정하고, 상기 탐지성능 정확도가 상기 임계값 미만인 경우에는 침입탐지성능이 부적합한 것으로 판정하였지만, 제 1 임계값과 제 2 임계값을 설정하여 상기 탐지성능 정확도가 제 1 임계값 이상인 경우에는 침입탐지성능이 적합한 것으로 판정하고, 상기 탐지성능 정확도가 상기 제 1 임계값과 상기 제 2 임계값의 사이값이면 판정보류 또는 재검증이 필요한 상태로 판정하고, 상기 탐지성능 정확도가 상기 제 2 임계값 이하이 면 상기 칩입탐지성능이 부적합한 것으로 판정할 수도 있다. In an embodiment of the present invention, or more compared to a detection performance accuracy and the threshold value is detected, the performance accuracy of the threshold value is less than the intrusion detection performance is judged to be suitable, the detection performance accuracy of the threshold, that the intrusion detection performance unsuitable While it is checking, the first threshold and the second threshold value by setting the case where the detection performance accuracy is greater than or equal to the first threshold value is determined to be suitable the intrusion detection performance, the detection performance accuracy of the first threshold value and the second is between the threshold value is determined on hold or re-verification is determined to be necessary conditions, and may be the detection accuracy of the performance to determine the second threshold is less than or equal to the detection performance, the attacker is not appropriate.

이상 설명한 바와 같이, 본 발명의 실시예에 따른 침입탐지시스템의 탐지성능 적합성 판정 방법 및 그 기록매체에 의하면, 침입탐지시스템의 탐지성능 적합성을 탐지율과 오탐지율 뿐만 아니라 실제 운용 환경에서 효율성이 있는 지표로 활용될 수 있는 탐지성능 정확도를 이용하여 측정함으로써 침입탐지시스템의 탐지성능에 정확하게 측정할 수 있다는 효과가 있다. As described above, the method detection performance of conformity assessment of the intrusion detection system according to an embodiment of the present invention and according to the recording medium, the indicator of the efficiency of detection performance, suitability for the intrusion detection system as well as the detection rate and false positive rates in the actual operating environment by measuring performance using the detection accuracy it can be used as there is an effect that can accurately measure the performance of intrusion detection systems.

한편, 본 발명은 상술한 실시예로만 한정되는 것이 아니라 본 발명의 요지를 벗어나지 않는 범위내에서 수정 및 변형하여 실시할 수 있고, 이러한 수정 및 변경 등은 이하의 특허 청구의 범위에 속하는 것으로 보아야 할 것이다. On the other hand, the present invention can be carried out is not limited only to the embodiments described above changes and modifications without departing from the subject matter of the present invention, and such modifications and variations be viewed as falling within the scope of the claims below will be.

Claims (11)

  1. 침입탐지시스템에서 감지된 침입이벤트 중에서 실제 침입이벤트를 근거로 탐지성능 정확도를 산출하는 제 1 과정; A first process for calculating the detection performance accuracy on the basis of real intrusion event from the intrusion event is detected in the intrusion detection system; And
    상기 탐지성능 정확도를 임계값과 비교하여 그 비교결과를 근거로 상기 침입탐지시스템의 침입탐지성능의 적합성을 판정하는 제 2 과정을 구비하고, And the detection accuracy of the performance compared with a threshold value and a second process for determining the suitability of the intrusion detection performance of the intrusion detection system based on the result of the comparison,
    상기 임계값은 제 1 임계값과 제 2 임계값으로 구성되어, 상기 제 2 과정에서 상기 탐지성능 정확도가 제1 임계값 이상이면 상기 침입탐지시스템의 탐지성능이 적합한 것으로 판정하고, 상기 탐지성능 정확도가 상기 제2 임계값 이하이면 상기 침입탐지시스템의 탐지성능이 부적합한 것으로 판정하는 것을 특징으로 하는 침입탐지시스템의 탐지성능 적합성 판정 방법. Wherein the threshold is a first threshold value and the second is composed of the threshold value, the second step, the detection performance accuracy, the first is the threshold or more, and determined to be suitable for the detection performance of the intrusion detection system, the detection performance accuracy in the second threshold value or less is a method detection performance conformity assessment of the intrusion detection system characterized in that it is determined that the detection performance of the intrusion detection system is not appropriate.
  2. 제 1 항에 있어서, 상기 제 1 과정에서 상기 탐지성능 정확도는 The method of claim 1, wherein the detection accuracy in the performance of the first process,
    상기 감지된 침입이벤트 수에 대한 상기 실제 침입이벤트 수의 비율인 것을 특징으로 하는 침입탐지시스템의 탐지성능 적합성 판정 방법. Detection method performance conformity assessment of the intrusion detection system, characterized in that the ratio of the number of physical intrusion event to the number of the detected intrusion event.
  3. 삭제 delete
  4. 제 1 항에 있어서, 상기 제 2 과정에서 The method of claim 1, wherein in the second step,
    상기 탐지성능 정확도가 상기 제 1 임계값과 상기 제 2 임계값의 사이이면 상기 침입탐지시스템의 탐지성능을 보류 또는 재판단으로 판정하는 것을 특징으로 하는 침입탐지시스템의 탐지성능 적합성 판정 방법. The detection accuracy of the first performance threshold and the second detection method performance conformity assessment of the intrusion detection system is between the threshold that the detection performance of the intrusion detection system characterized in that it is determined to hold or re-determined.
  5. 침입탐지시스템에서 감지된 침입이벤트 중에서 실제 침입이벤트를 근거로 탐지성능 정확도를 산출하는 제 1 과정; A first process for calculating the detection performance accuracy on the basis of real intrusion event from the intrusion event is detected in the intrusion detection system; And
    상기 탐지성능 정확도를 임계값과 비교하여 그 비교결과를 근거로 상기 침입탐지시스템의 침입탐지성능의 적합성을 판정하는 제 2 과정을 실행하여 상기 침입탐지시스템의 탐지성능의 적합성을 판정하고, And the detection accuracy of the performance compared with a threshold value to execute a second process for determining the suitability of the intrusion detection performance of the intrusion detection system based on the comparison result and determines the suitability of the detection performance of the intrusion detection system,
    상기 임계값이 제 1 임계값과 제 2 임계값으로 구성되어, 상기 제 2 과정에서 상기 탐지성능 정확도가 제1 임계값 이상이면 상기 침입탐지시스템의 탐지성능이 적합한 것으로 판정하고, 상기 탐지성능 정확도가 상기 제2 임계값 이하이면 상기 침입탐지시스템의 탐지성능이 부적합한 것으로 판정하는 프로그램이 저장된 기록매체. The threshold is a first threshold value and the second is composed of the threshold value, the second step, the detection performance accuracy, the first is the threshold or more, and determined to be suitable for the detection performance of the intrusion detection system, the detection performance accuracy in the second threshold value or less when the intrusion detection system detection performance is inadequate to determine the program stored in the recording medium.
  6. 제 5 항에 있어서, 상기 제 1 과정에서 상기 탐지성능 정확도는 The method of claim 5, wherein the detection accuracy in the performance of the first process,
    상기 감지된 침입이벤트 수에 대한 상기 실제 침입이벤트 수의 비율인 것을 특징으로 하는 상기 침입탐지시스템의 탐지성능의 적합성을 판정하는 프로그램이 저장된 기록매체. The detection of the intrusion event intrusion detection system can detect a recording medium storing a program for determining the appropriateness of the performance of which is characterized in that the ratio of the number of actual intrusion events for.
  7. 삭제 delete
  8. 제 5 항에 있어서, 상기 제 2 과정에서 The method of claim 5, wherein in the second step,
    상기 탐지성능 정확도가 상기 제 1 임계값과 상기 제 2 임계값의 사이이면 상기 침입탐지시스템의 탐지성능을 보류 또는 재판단으로 판정하는 것을 특징으로 하는 상기 침입탐지시스템의 탐지성능의 적합성을 판정하는 프로그램이 저장된 기록매체. The detection performance accuracy is between the first threshold and the second threshold value to determine the suitability of the detection performance of the intrusion detection system, characterized in that for determining the detection performance of the intrusion detection system with suspended or re-determination the program stored in the recording medium.
  9. 침입이벤트가 감지되면 침입 탐지 이벤트 수(n(A))를 증가시키고, 상기 침입이벤트가 실제 침입이벤트인가를 판단하는 a 과정; When the intrusion event is detected, increasing the number of the intrusion event (n (A)) and, a process for the intrusion event is determined whether the actual intrusion events;
    상기 침입이벤트가 상기 실제 침입이벤트이면 침입이벤트 수(n(AI))를 증가시키는 b 과정; b The process of the intrusion event is increased if the actual intrusion event intrusion event number (n (AI));
    상기 침입이벤트가 상기 실제 침입이벤트가 아니면 침입이 아닌 이벤트 수(n(AI C ))를 증가시키는 c 과정; C The process of the intrusion event is not a real intrusion event the increase in the number of non-intrusion events (n (AI C));
    상기 침입탐지에 따른 테스트가 종료되면, 상기 침입 탐지 이벤트 수(n(A))에 대한 실제 침입이벤트 수(n(AI))의 비율로 탐지성능 정확도를 산출하는 d 과정; When the test is ready to process d according to the intrusion detection, it calculates the detection accuracy performance in a ratio of actual intrusion events can (n (AI)) for the intrusion detection event number (n (A)); And
    상기 탐지성능 정확도를 근거로 침입탐지시스템의 탐지성능을 판정하는 e 과정을 구비하고, E and a process for determining the detection performance of the intrusion detection system based on the detection performance, accuracy,
    상기 e 과정에서, 상기 탐지성능 정확도가 제1 임계값 이상이면 상기 침입탐지시스템의 탐지성능이 적합한 것으로 판정하고, 상기 탐지성능 정확도가 제2 임계값 이하이면 상기 침입탐지시스템의 탐지성능이 부적합한 것으로 판정하는 것을 특징으로 하는 침입탐지시스템의 탐지성능 적합성 판정 방법. In the e-course, that the detection performance of the detection performance accuracy of the first threshold value or more if the intrusion detection is determined to be suitable the detection performance of the system, the detection performance accuracy is not more than the second threshold, the intrusion detection system unsuitable detection method performance conformity assessment of the intrusion detection system, characterized in that for determining.
  10. 제 9 항에 있어서, 10. The method of claim 9,
    상기 탐지된 침입 이벤트의 프로파일 정보를 침입 유형 정보가 저장된 데이터베이스에 저장하는 과정을 더 구비하는 것을 특징으로 하는 침입탐지시스템의 탐지성능 적합성 판정 방법. Detection method performance conformity assessment of the intrusion detection system according to claim 1, further comprising the step of storing the profile information of the detected intrusion event to the database information stored in the break type.
  11. 제 9 항 또는 제 10 항에 있어서, 10. The method of claim 9 or 10,
    상기 침입 이벤트가 상기 데이터베이스에 기저장된 침입 유형과 다른 특징을 가지면 상기 침입 이벤트의 침입 유형을 상기 데이터베이스에 입력하여 관리하는 과정을 더 구비하는 것을 특징으로 하는 침입탐지시스템의 탐지성능 적합성 판정 방법. Detection method performance conformity assessment of the intrusion detection system of the intrusion event intrusion has the type and other characteristics previously stored in the database, the entry type of the intrusion event, characterized by further comprising the step of managing input to the database.
KR20060054218A 2006-06-16 2006-06-16 Methofd for testing detection performance of intrusion detection system and the media thereof KR101256671B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR20060054218A KR101256671B1 (en) 2006-06-16 2006-06-16 Methofd for testing detection performance of intrusion detection system and the media thereof

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR20060054218A KR101256671B1 (en) 2006-06-16 2006-06-16 Methofd for testing detection performance of intrusion detection system and the media thereof

Publications (2)

Publication Number Publication Date
KR20070119814A true KR20070119814A (en) 2007-12-21
KR101256671B1 true KR101256671B1 (en) 2013-04-19

Family

ID=39137886

Family Applications (1)

Application Number Title Priority Date Filing Date
KR20060054218A KR101256671B1 (en) 2006-06-16 2006-06-16 Methofd for testing detection performance of intrusion detection system and the media thereof

Country Status (1)

Country Link
KR (1) KR101256671B1 (en)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20030051994A (en) * 2001-12-20 2003-06-26 한국전자통신연구원 Efficient attack detection method using log in Intrusion Detection System
KR20040013173A (en) * 2002-08-03 2004-02-14 한국정보보호진흥원 The intrusion detection system and method unifying and resolving the misuses and anomalies of host
KR20040042397A (en) * 2002-11-14 2004-05-20 한국전자통신연구원 Method and system for defensing distributed denial of service
KR20050074171A (en) * 2004-01-13 2005-07-18 주식회사 메리언텍 A simulator for performance analysis based on voip network

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20030051994A (en) * 2001-12-20 2003-06-26 한국전자통신연구원 Efficient attack detection method using log in Intrusion Detection System
KR20040013173A (en) * 2002-08-03 2004-02-14 한국정보보호진흥원 The intrusion detection system and method unifying and resolving the misuses and anomalies of host
KR20040042397A (en) * 2002-11-14 2004-05-20 한국전자통신연구원 Method and system for defensing distributed denial of service
KR20050074171A (en) * 2004-01-13 2005-07-18 주식회사 메리언텍 A simulator for performance analysis based on voip network

Also Published As

Publication number Publication date Type
KR20070119814A (en) 2007-12-21 application

Similar Documents

Publication Publication Date Title
US7752665B1 (en) Detecting probes and scans over high-bandwidth, long-term, incomplete network traffic information using limited memory
US20030083847A1 (en) User interface for presenting data for an intrusion protection system
US20130104230A1 (en) System and Method for Detection of Denial of Service Attacks
US7197762B2 (en) Method, computer readable medium, and node for a three-layered intrusion prevention system for detecting network exploits
US20030084321A1 (en) Node and mobile device for a mobile telecommunications network providing intrusion detection
US20040215972A1 (en) Computationally intelligent agents for distributed intrusion detection system and method of practicing same
US20070067839A1 (en) Method and system for detecting denial-of-service attack
Ye et al. An anomaly detection technique based on a chi‐square statistic for detecting intrusions into information systems
US7607170B2 (en) Stateful attack protection
Mutz et al. An experience developing an IDS stimulator for the black-box testing of network intrusion detection systems
US7818797B1 (en) Methods for cost-sensitive modeling for intrusion detection and response
US8087085B2 (en) Wireless intrusion prevention system and method
US20060109793A1 (en) Network simulation apparatus and method for analyzing abnormal network
US20050262562A1 (en) Systems and methods of computer security
US20080040801A1 (en) Method and System for Managing Denial of Service Situations
US20030084319A1 (en) Node, method and computer readable medium for inserting an intrusion prevention system into a network stack
US20030084344A1 (en) Method and computer readable medium for suppressing execution of signature file directives during a network exploit
Bai et al. Intrusion detection systems: technology and development
Abad et al. Log correlation for intrusion detection: A proof of concept
Kruegel et al. Alert Verification Determining the Success of Intrusion Attempts.
Wang et al. Security analysis of SITAR intrusion tolerance system
Ahmed et al. Anomaly intrusion detection based on biometrics
WO2001084270A2 (en) Method and system for intrusion detection in a computer network
US20060259968A1 (en) Log analysis system, method and apparatus
Asaka et al. The implementation of IDA: An intrusion detection agent system

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20160406

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20170405

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20180403

Year of fee payment: 6