KR20000065547A - Intelligent Intrusion Detection System based on distributed intrusion detecting agents - Google Patents

Intelligent Intrusion Detection System based on distributed intrusion detecting agents Download PDF

Info

Publication number
KR20000065547A
KR20000065547A KR1019990011938A KR19990011938A KR20000065547A KR 20000065547 A KR20000065547 A KR 20000065547A KR 1019990011938 A KR1019990011938 A KR 1019990011938A KR 19990011938 A KR19990011938 A KR 19990011938A KR 20000065547 A KR20000065547 A KR 20000065547A
Authority
KR
South Korea
Prior art keywords
intrusion
detector
scenario
detectors
intrusion detection
Prior art date
Application number
KR1019990011938A
Other languages
Korean (ko)
Other versions
KR100332891B1 (en
Inventor
이종성
Original Assignee
이종성
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 이종성 filed Critical 이종성
Priority to KR1019990011938A priority Critical patent/KR100332891B1/en
Publication of KR20000065547A publication Critical patent/KR20000065547A/en
Application granted granted Critical
Publication of KR100332891B1 publication Critical patent/KR100332891B1/en

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/564Static detection by virus signature recognition

Abstract

PURPOSE: An intrusion detection system is provided to collect dynamically intrusion information from distributed intrusion detection agents, train the distributed intrusion detection agents, and send trained detection codes to detectors to enhance an intrusion detection efficiency. CONSTITUTION: An intrusion detection system comprises a plurality of detectors, a detector coordinator, a scenario generator, and a detector training engine. The detectors receive a kernel audit data according to detection codes, and analyzes a degree of suspicion. The detector receives the degree of the suspicion, determines if an intrusion occurs at a current computer node, and performs an automatic proper measure. The scenario generator generates virtually an operation sequence of a non-normal state and a normal state. The detector training engine trains the detectors via the scenario, and distributes detection codes.

Description

분산 침입 탐지 에이전트를 기반으로 한 지능형 침입탐지시스템{Intelligent Intrusion Detection System based on distributed intrusion detecting agents}Intelligent Intrusion Detection System based on distributed intrusion detecting agents

본 발명은 침입탐지 시스템에 관한 것으로, 더욱 상세하게는 분산된 탐지 에이전트로부터 침입정보를 동적으로 수집하여 탐지 에이전트를 학습시키고 학습된 탐지자 코드를 탐지자들에게 전달하는 분산 침입 탐지 에이전트를 기반으로 한 지능형 침입탐지시스템(이하, DABIDS라 칭함)에 관한 것이다.The present invention relates to an intrusion detection system, and more particularly, based on a distributed intrusion detection agent that dynamically collects intrusion information from a distributed detection agent to learn a detection agent and deliver the learned detector code to the detectors. An intelligent intrusion detection system (hereinafter referred to as DABIDS).

컴퓨터 및 네트워크 기술이 발전함에 따라 컴퓨터간의 상호 연결성이 증가되고 이로 인해 컴퓨터 보안 문제가 중요하게 대두되었다. 1981년에 IP 프로토콜을 실험적으로 ARPANET에 적용할 때, 불과 210개의 호스트가 ARPANET에 연결되어 있었으나, 오늘날 전 세계적으로 7백만 대 이상의 컴퓨터 시스템이 동일한 IP 프로토콜을 사용하여 상호 연결됨에 따라 네트워크에 연결된 모든 컴퓨터가 해커들의 침입대상이 되고 있다.As computer and network technologies evolved, interconnections between computers increased, which made computer security a critical issue. When the IP protocol was experimentally applied to ARPANET in 1981, only 210 hosts were connected to ARPANET, but today more than 7 million computer systems worldwide are interconnected using the same IP protocol. Computers are becoming a target for hackers.

이러한 위협에 대처하기 위해 정보보호를 필요로 하는 문서나 시스템에 대한 불법 침입을 분석하고 탐지하여 문제점을 사전에 방지하는 감사 기술의 발전적 형태인 침입 탐지 시스템(intrusion detection system)에 관한 연구가 활발히 진행되고 있다.In order to cope with these threats, research on intrusion detection system, an advanced form of auditing technology that analyzes and detects illegal intrusions on documents or systems requiring information protection and prevents problems in advance, is actively conducted. It is becoming.

침입 탐지 시스템은 불법적인 침입으로부터 컴퓨터를 보호하기 위해 침입을 탐지하고 이에 대한 적절한 조치를 취하는 역할을 수행한다. 일반적으로 시스템의 안전성과 사용 편리성은 서로 상반되는 개념이고, 안전한 시스템 설계는 엄청난 비용이 소요되므로 어떠한 공격에 대해서도 안전한 이상적인 시스템을 설계하는 것은 거의 불가능하다. 이와 같은 시스템에서 불법적 행위에 대한 대처 방법으로 모든 파일을 암호화하여 저장할 수 있지만 여기에는 암호 알고리즘 선정, 키 관리 문제, 시스템 관리자의 역할 조정 등의 새로운 문제를 발생시킨다.Intrusion detection systems detect intrusions and take appropriate action to protect computers from illegal intrusions. In general, the safety and ease of use of systems are in opposition to each other, and designing a secure system is very expensive, so it is almost impossible to design an ideal system that is safe against any attack. In such a system, all files can be encrypted and stored as a countermeasure against illegal behavior, but this causes new problems such as encryption algorithm selection, key management problem, and system administrator role adjustment.

이와 같은 이유로 인해 불안전한 컴퓨터 시스템에 대한 침입 탐지를 수행하는 침입탐지시스템이 요구되며, 침입탐지시스템은 감사 추적(audit trail)을 위해서 사용자에 의해 발생되는 각 사건을 기록하고 필요시 언제, 누가, 어떤 일을 수행했는지 추적할 수 있어야 한다. 일반적으로 불법 침입을 예방하거나 침입 발생시 그 사실을 탐지하여 손실을 최소화하기 위해서는 시스템 내의 모든 활동들을 면밀히 조사·분석해야 한다. 그러나 시스템 내에서 발생하는 로그 데이터는 유닉스의 경우 시간 당 수 메가바이트로 생성되므로 수작업에 의한 자료의 수집 및 분석은 불가능하며 자동화된 추적 방법이 필수적이다. 자동화된 감사 추적 기법의 발전적 형태인 침입 탐지 시스템에서도 방대한 양의 감사 자료를 필터링 등의 방법으로 축소하여 자료의 저장 및 분석에 따른 오버 헤드를 최소화시킬 필요가 있다.For this reason, there is a need for an intrusion detection system that performs intrusion detection on an insecure computer system. The intrusion detection system records each event generated by a user for an audit trail and, when necessary, who, You should be able to track what you have done. In general, all activities in the system should be closely investigated and analyzed in order to prevent illegal intrusions or to detect the occurrence of intrusions and minimize losses. However, since log data generated in the system is generated at several megabytes per hour in UNIX, manual collection and analysis of data is impossible, and an automated tracking method is essential. Intrusion detection systems, an advanced form of automated audit tracking, also need to reduce the amount of audit data by minimizing the amount of overhead associated with storing and analyzing data.

이와 같은 침입 탐지 서비스의 요구에 따라 최근에 다양한 기법과 모델들이 개발되어 왔으나 컴퓨터 통신망의 복잡성, 대상 시스템의 원초적 취약성, 정보 보호에 대한 이해 부족 및 새로운 불법 침입 기법의 개발 등으로 기존의 어떤 기법 또는 모델도 완전하지 못한 실정이다.Recently, various techniques and models have been developed to meet the needs of intrusion detection services. However, due to the complexity of the computer network, the primitive vulnerability of the target system, the lack of understanding of information protection, and the development of new illegal intrusion techniques, The model is also incomplete.

따라서, 본 발명의 목적은 이와 같은 문제를 해결하고자 안출된 것으로서 분산 탐지 에이전트를 기반으로 하여 분산된 각각의 탐지 에이전트들로부터 해커의 침입 정보를 동적으로 수집하여 이를 통해 탐지 에이전트들에게 침입 패턴을 학습시켜 학습된 탐지자 코드를 분배하여 전체 분산 에이전트의 침입 탐지율을 향상시키는데 있다.Accordingly, an object of the present invention is to solve such a problem, and based on the distributed detection agent, the intrusion information of the hacker is dynamically collected from each of the distributed detection agents to learn the intrusion pattern through the detection agents. In order to improve the intrusion detection rate of all distributed agents by distributing learned detector codes.

도 1은 본 발명에 따른 분산 침입탐지 에이전트를 기반으로 한 침입탐지시스템의 구조를 나타내며,1 shows a structure of an intrusion detection system based on a distributed intrusion detection agent according to the present invention,

도 2는 본 발명에 따른 탐지자 내부 구조를 나타내며,Figure 2 shows the detector internal structure according to the present invention,

도 3은 본 발명에 따른 탐지자 조정자 내부 구조를 나타내고,3 shows the detector coordinator internal structure according to the present invention,

도 4는 본 발명에 따른 시나리오 생성기 내부 구조를 나타내며,4 shows an internal structure of a scenario generator according to the present invention;

도 5는 본 발명에 따른 탐지자 학습기를 나타내고,5 shows a detector learner according to the invention,

도 6은 본 발명의 바람직한 실시예에 따른 분석 트리로 구성된 탐지자 코드를 예시하고,6 illustrates a detector code comprised of an analysis tree in accordance with a preferred embodiment of the present invention,

도 7은 본 발명이 하나의 노드에 적용되는 것을 나타낸다.7 shows that the present invention is applied to one node.

상기 목적을 달성하기 위한 본 발명에 의하면, 시스템에서 제공하는 커널 감사 데이터를 얻어 이를 통해 의심 정도를 파악하는 다수의 탐지자들; 상기 각각의 탐지자들로부터 전달되는 침입 의심 정도를 수신하여 현재 컴퓨터 노드의 침입 여부를 판단하여 침입 경고를 알리거나 침입에 대한 적절한 조치를 취하는 침입대응행동을 자동으로 수행시키는 탐지자 조정자; 정상 상태 및 비정상 상태의 침입 정보를 수집하여 정상 상태 동작과 비정상 상태 동작 작동 순서를 가상적으로 생성하는 시나리오 생성기; 상기 시나리오 생성기로부터 생성된 시나리오들을 통해 탐지자를 학습시켜 학습된 탐지자 코드를 분배하는 탐지자 학습기를 포함하는 분산 침입 탐지 에이전트를 기반으로 한 지능형 침입탐지시스템이 개시된다.According to the present invention for achieving the above object, a plurality of detectors to obtain the kernel audit data provided by the system to determine the degree of doubt through it; A detector coordinator that receives a degree of suspicion of intrusion transmitted from each of the detectors, determines whether the current computer node is invasive, and automatically performs an intrusion response action to notify an intrusion warning or take an appropriate action against the intrusion; A scenario generator that collects steady state and abnormal state intrusion information and virtually generates a sequence of steady state operations and abnormal state operations; An intelligent intrusion detection system based on a distributed intrusion detection agent including a detector learner that learns a detector through a scenario generated from the scenario generator and distributes the learned detector code is disclosed.

바람직하게, 상기 탐지자 조정자는 상기 시나리오 생성기에 의해 생성된 학습 시나리오를 상기 탐지자 학습기로 전달하고, 상기 탐지자 학습기로부터 전달되는 학습된 탐지자 코드를 수신하여 상기 다수의 탐지자에 전달하고 상기 다수의 탐지자들을 관리한다.Preferably, the detector coordinator transfers the learning scenario generated by the scenario generator to the detector learner, receives the learned detector code transmitted from the detector learner, delivers the learned detector code to the plurality of detectors, and Manage multiple detectors.

이하, 상기한 본 발명의 목적들, 특징들, 그리고 장점들을 첨부된 도면에 나타낸 본 발명의 바람직한 실시예를 통해 보다 상세히 설명한다.Hereinafter, the objects, features, and advantages of the present invention described above will be described in more detail with reference to the preferred embodiments of the present invention shown in the accompanying drawings.

본 발명에 따른 분산 침입 탐지 에이전트를 기반으로 한 지능형 침입탐지시스템(DABIDS)을 도 1을 참조하여 살펴보면 다음과 같다.An intelligent intrusion detection system (DABIDS) based on the distributed intrusion detection agent according to the present invention will be described with reference to FIG. 1.

DABIDS는 분산된 각각의 탐지 에이전트들로부터 해커의 침입 정보를 동적으로 수집하여 이를 통해 에이전트들에 침입 패턴을 학습시켜 학습된 탐지자 코드를 분배하여 침입 발생시 발생된 침입에 가장 적합한 탐지자를 통해 침입에 대응하게 한다.DABIDS dynamically collects the hacker's intrusion information from each of the distributed detection agents and learns the intrusion pattern through the agents, and distributes the learned detector code to detect the intrusion through the detector that is most suitable for the intrusion that occurred when the intrusion occurred. To respond.

DABIDS를 구성하는 각각의 구성요소를 살펴보면 먼저, DABIDS의 탐지자는 도 2에 도시된 바와 같이 구성되어 IDS 엔진에 의해 탐지자 코드에 따라 시스템에서 제공하는 커널 감사 데이터를 얻어 이를 통해 의심 정도를 파악하여 탐지자 조정자에게 전달한다.Looking at each component constituting the DABIDS, first, the detector of the DABIDS is configured as shown in Figure 2 to obtain the kernel audit data provided by the system according to the detector code by the IDS engine to determine the degree of doubt Forward to the detector coordinator.

이때, 시스템 상태 정보 추출기는 탐지자와 침입탐지 대상 시스템간에 투명성을 제공하며, 평균적인 CPU 사용시간, 어떤 사용자의 평균적인 로그인 시도회수, IP주소, 특정포트에 대한 접근시도 간격 등에 대한 탐지자가 요청하는 시스템 현재 상태 정보를 커널 감사 데이터(kernel audit data)로부터 추출하는 역할을 수행한다.At this time, the system state information extractor provides transparency between the detector and the intrusion detection system, and the detector requests for the average CPU usage time, the average number of login attempts of a user, the IP address, and the interval between access to a specific port. It extracts system current status information from kernel audit data.

탐지자 코드는 IDS 엔진에 의해 수행되며, 탐지자 코드를 변경하면 탐지자는 시스템 상태 정보 추출기를 통해 시스템의 다른 상태 정보를 요청하여 이를 통해 다른 각도로 침입을 탐지하게 된다. 따라서, 탐지자 코드는 탐지자의 침입 탐지 성능을 좌우하는 중요한 요소이다.The detector code is executed by the IDS engine, and when the detector code is changed, the detector requests different state information of the system through the system state information extractor, thereby detecting the intrusion from a different angle. Therefore, the detector code is an important factor in determining the detector's intrusion detection performance.

한편, 탐지자 의심 보고기는 IDS 엔진에 의해 탐지자 코드를 수행한 결과 발생하는 탐지자의 침입 판단에 따라 의심 사항을 수집하여 탐지자가 최종적으로 침입이라고 판단되는 내용을 탐지자 조정자(detector coordinator)에 전달한다. 이때, 탐지자 의심 보고기는 침입탐지대상시스템에서 일련의 명령이 수행된 결과 침입이라고 판단되지 않지만 시스템이 비정상상태인 경우 수행된 일련의 명령을 추후 에이전트 학습을 위한 시나리오로 사용하기 위해 관리하고 시나리오 생성기(scenario generator)에 제공한다.Meanwhile, the detector suspicion reporter collects suspicions according to the detector's intrusion decision resulting from the execution of the detector code by the IDS engine, and delivers the detector to the detector coordinator. do. At this time, the suspicious detector reporter is not determined to be an intrusion as a result of a series of commands performed on the intrusion detection target system, but if the system is abnormal, it manages the series of commands to be used as a scenario for further agent learning and scenario generator. to the scenario generator.

탐지자 의심 보고기는 탐지자 코드에서 조건문에 존재하는 총 조건에 대해 참(true)인 개수가 일정 범위 내에 존재하면 이를 침입 시나리오로 정의하는데, 범위를 낮추면 탐지자는 자주 수행 결과를 시나리오 생성기로 전달하므로 전체 통신 오버헤드가 증가하고, 반면에 범위를 높이면 침입 시나리오가 종래에 알려진 침입과 같은 내용이 되는 문제가 발생된다.The detector suspicious reporter defines the intrusion scenario when the number of true in the detector code is within a certain range for the total condition present in the conditional statement. If the range is lowered, the detector frequently delivers the performance to the scenario generator. The overall communication overhead increases, while increasing the range raises the problem that the intrusion scenario becomes the same as the known intrusion.

한편, 탐지자 의심 보고기는 침입 시나리오를 정의할 때 탐지자 코드를 구성하는 총 조건문에 대해 참인 조건의 개수 비율을 침입확률로 간주하여 탐지자 조정자를 통해 시나리오 생성기에 전달한다. 즉, 탐지자에 구성된 탐지자 코드에 존재하는 전체 총 조건문이 10 개이고, 조건이 참인 개수가 8개이면 침입확률은 80%가 되고, 8개가 참이 되는 과정이 새로운 침입 시나리오가 된다. 추후, 탐지자 학습기는 80% 침입확률을 갖는 시나리오를 통해 탐지 에이전트를 학습시킨다.Meanwhile, when defining an intrusion scenario, the detector suspicious reporter considers the ratio of the number of conditions true for the total conditional statements constituting the detector code as the probability of intrusion, and delivers the result to the scenario generator through the detector coordinator. In other words, if there are 10 total conditional statements in the detector code configured in the detector, and the number of conditions is true, the probability of intrusion is 80%, and the process of becoming 8 is a new intrusion scenario. Later, the detector learner trains the detection agent through a scenario with an 80% probability of intrusion.

탐지자 조정자는 도 3에 도시된 바와 같이 각각의 탐지자들로부터 전달되는 침입 의심 정도를 수신하여 현재 컴퓨터 노드의 침입 여부를 판단하여 보안 관리자에게 침입 경고를 알리거나 침입에 대한 적절한 조치를 취하는 침입대응행동을 자동으로 수행시킨다. 한편, 탐지자 조정자는 탐지자 조정자 엔진에 의해 행동 지식(behavior knowledge)에 따라 시나리오 생성기(scenario generator)에 의해 생성된 학습 시나리오를 상위 수준 통신부를 통해 탐지자 학습기로 전달하고, 탐지자 학습기로부터 전달되는 학습된 탐지자 코드를 수신하여 이를 하위 수준 통신부를 통해 탐지자에 전달하고 탐지자들을 관리하는 기능을 수행한다.The detector coordinator receives the degree of suspicion of intrusion from each of the detectors as shown in FIG. 3 to determine whether the current computer node is invasive, to inform the security administrator of the intrusion warning, or to take an appropriate action against the intrusion. Respond automatically. On the other hand, the detector coordinator transfers the learning scenario generated by the scenario generator according to behavior knowledge by the detector coordinator engine to the detector learner through the high-level communication unit, and from the detector learner. It receives the learned detector code, passes it to the detector through the lower level communication unit, and manages the detectors.

한편, 시나리오는 그 시나리오가 침입일 확률을 나타내는 확률 값을 갖는데, 예를 들어 "예약된 포트에 접속하고, 접근간격이 1 초이면 침입일 확률은 90%"라고 하고, 정상적인 시스템 동작에 관한 시나리오인 경우 침입 확률을 낮춘다.On the other hand, the scenario has a probability value indicating the probability that the scenario is an intrusion, for example, "If the access is to a reserved port, and the access interval is 1 second, the probability of intrusion is 90%", the scenario for normal system operation If it lowers the probability of intrusion.

따라서, 제시된 DABIDS에서는 탐지 에이전트들이 탐지자 조정자에게 현재 시스템의 상황에 대한 의심 정도를 보고하는데 일정 임계치(총 조건문 중에서 만족되는 개수) 이상이면 침입을 의심함을 보고하고, 어느 이하인 경우 정상 상태라고 판정하는데 만일 그 중간 정도이면 이를 준 의심상태로 하여 이에 대한 감사 데이터를 획득하여 시나리오를 생성한다. 일반적으로 컴퓨터 시스템에 대한 침입은 컴퓨터 시스템이 정상동작상태에서 다소 벗어남을 의미하며 고수준 침입은 그 벗어나는 정도가 적기 때문에 전술한 준 의심 상태에 대한 시나리오를 작성하여 탐지에이전트를 학습시키면 그만큼 탐지 에이전트는 새로운 침입에 더욱 강해질 수 있다.Therefore, in the proposed DABIDS, the detection agents report the degree of suspicion about the situation of the current system to the detector coordinator. If the detection agent is above a certain threshold (the number satisfied among the total conditional statements), the detection agent reports the intrusion. If it is in the middle, it is assumed to be in a semi-doubt state, and audit data is generated to generate a scenario. In general, an intrusion into a computer system means that the computer system is somewhat out of normal operation. Since a high level intrusion is less deviated, the scenario for the quasi-doubt state described above is trained to detect a detection agent. It can be more resistant to intrusion.

이처럼 각각의 노드의 시나리오 생성기는 도 4에 도시된 바와 같이 시나리오 생성기 엔진에 의해 행동지식에 따라 정상 상태 및 비정상 상태의 침입 정보(감사 데이터)를 준 의심 감사데이터 수집기를 통해 수집하여 정상 상태 동작과 비정상 상태 동작 작동 순서를 가상적으로 생성하여 시나리오 전송기를 통해 탐지자 학습기에 전달한다.As such, the scenario generator of each node collects through the suspect audit data collector which gave intrusion information (audit data) of normal state and abnormal state according to the knowledge of behavior by the scenario generator engine as shown in FIG. 4. Anomaly behavior sequence is generated virtually and communicated to the detector learner through the scenario transmitter.

이어, 본 발명에 따른 DABIDS의 탐지자 학습기를 도 5를 참조하여 주요 구성요소를 중심으로 살펴보면 다음과 같다.Next, the detector learner of the DABIDS according to the present invention will be described with reference to FIG.

먼저, 학습 시나리오 데이터베이스는 각각의 노드에서 발생하는 정상 상태 및 비정상 상태의 침입 정보를 저장 관리하는 모듈로서, 예를 들어 "예약된 포트에 접속하고, 접근간격이 1 초이면 침입일 확률은 90%"라는 시나리오를 시나리오 생성기로부터 수신하여 저장한다.First, the learning scenario database is a module that stores and manages intrusion information of normal state and abnormal state occurring in each node. For example, if accessing a reserved port and access interval is 1 second, the probability of intrusion is 90%. Scenario is received from the scenario generator and stored.

한편, 연산자 집합은 유전자 프로그래밍(genetic programming)에서는 함수 집합(function set)이라고 칭하며, 탐지 에이전트가 수행하는 연산자들(이를테면, 산술, 조건, 논리 연산자)을 의미하며 도 6의 경우 "IF", "IP-NEQ"가 이에 속한다.On the other hand, the operator set is called a function set in genetic programming, it means operators (eg, arithmetic, condition, logical operator) performed by the detection agent, and "IF", " IP-NEQ "belongs to this.

프리미티브 집합(a set of primitive)은 유전자 프로그래밍에서는 터미널 집합(terminal set)이라고 칭하며, 탐지자가 시스템 상태 정보 추출기를 통해 커널 감사 데이터로부터 획득한 상수들을 의미하며 도 6의 경우 "IP-DEST, "MY-IP", "RAISE"가 이에 속하며, "IP-DEST"는 현재 시스템에 입력된 패킷의 목적지 주소를 요청하는 프리미티브이고, "MY-IP"는 현재 시스템 자신의 IP 주소를 요청하는 프리미티브이며, "RAISE"는 침입 의심을 알리라는 프리미티브이다. 따라서 도 6을 통해 예시한 분석 트리는 시스템에 입력되는 모든 패킷들에 대한 IP주소와 시스템의 IP 주소를 비교하여 일치하지 않으면 의심을 알리는 분석 트리이다.A set of primitives is called a terminal set in genetic programming and means constants obtained by the detector from kernel audit data through the system state information extractor. In FIG. 6, "IP-DEST," MY -IP "and" RAISE "belong to this," IP-DEST "is a primitive requesting the destination address of the packet entered into the current system," MY-IP "is a primitive requesting the IP address of the current system itself, "RAISE" is a primitive to inform the suspicion of intrusion, therefore, the analysis tree illustrated in Fig. 6 compares the IP address of all packets input to the system with the IP address of the system and notifies the suspicion if it does not match.

본 발명에 따른 시스템에 적용된 탐지자들에 해당되는 연산자 집합과 프리미티브 집합은 다음과 같다.Operator sets and primitive sets corresponding to detectors applied to the system according to the present invention are as follows.

● I/O에 관련된 탐지자● I / O related detector

연산자 집합 : IF, I/O-Interval-EQ, User-PermitOperator set: IF, I / O-Interval-EQ, User-Permit

프리미티브 집합 : I/O-Interval, 상수, User, RAISEPrimitive set: I / O-Interval, Constant, User, RAISE

● NFS에 관련된 탐지자● NFS related detector

연산자 집합 : IF, IsREAD, IsWRITE, User-PermitOperator set: IF, IsREAD, IsWRITE, User-Permit

프리미티브 집합 : ThisOperation, User, RAISEPrimitive set: ThisOperation, User, RAISE

● TCP/IP에 관련된 탐지자● Detector related to TCP / IP

연산자 집합 : IF, IP-NEQOperator set: IF, IP-NEQ

프리미티브 집합 : IP-DEST, MY-IP, RAISEPrimitive set: IP-DEST, MY-IP, RAISE

● 파일에 관련된 탐지자● Detector associated with the file

연산집합: IF, IsFileDuplicate, IsFileMove, IsFileRemove, IsFileCreate,Operation set: IF, IsFileDuplicate, IsFileMove, IsFileRemove, IsFileCreate,

프리미티브 집합 : owner, object, source, permit, RAISEPrimitive set: owner, object, source, permit, RAISE

한편, 분석 트리 생성기(parse tree generator)는 유전자 프로그래밍에서 함수 집합(function set)과 터미널 집합(terminal set)을 결합하여 해답 프로그램(solution program)을 생성하는 것과 동일하게 연산자 집합과 프리미티브 집합의 모든 요소들에 대해 도 6과 같이 트리 구조의 결합 관계를 형성한다.On the other hand, the parse tree generator combines all the elements of the operator and primitive sets in the same way that a solution program is created by combining a function set and a terminal set in gene programming. As shown in FIG. 6, a coupling relationship of a tree structure is formed.

유전자 풀(gene pool)은 분석 트리 생성기에 의해 생성된 해당 문제영역에서 가질 수 있는 모든 경우에 대한 분석 트리를 저장한다.The gene pool stores analysis trees for all cases that may be included in the problem area generated by the analysis tree generator.

학습 엔진(training engine)은 탐지 에이전트들에 학습 시나리오 데이터베이스에 저장된 정상 상태 및 비정상 상태의 침입 정보를 제공하고, 각각의 에이전트는 유전자 풀에 저장된 특정 탐지 영역별 모든 분석 트리(즉, 탐지코드)에 따라 제공된 시나리오를 수행하여, 가장 적합한 탐지코드를 갖는 탐지 에이전트를 획득한다.The training engine provides detection agents with steady-state and abnormal state intrusion information stored in the training scenario database, and each agent is placed in every analysis tree (i.e. detection code) for a particular detection area stored in the gene pool. By performing the scenario provided accordingly, a detection agent having the most suitable detection code is obtained.

가장 적합한 탐지코드를 찾기 위한 정확도는 수학식 1에 따라 계산되는데,The accuracy for finding the best detection code is calculated according to Equation 1,

단, 침입확률과 의심출력확률이 같은 경우 정확도를 100으로 함However, the accuracy is set to 100 when the intrusion probability and the suspected output probability are the same.

그 의미는 여러 개의 분석 트리를 갖는 탐지 에이전트에 의해 일정한 침입 확률을 갖는 시나리오를 수행한 결과, 시나리오의 침입확률과 의심을 출력할 확률의 차이를 의미한다.The meaning is the difference between the intrusion probability of the scenario and the probability of outputting the suspicion as a result of executing a scenario having a certain intrusion probability by a detection agent having several analysis trees.

예를 들어, 탐지자 에이전트가 여러 개의 분석 트리에 따라 침입일 확률이 90%인 "예약된 포트에 접속하고, 접근간격이 1 초"라는 시나리오를 수행한 결과, 의심 출력이 100%, 50%, 90%이면, 정확도는 각각 10, 25, 100이 되고, 정확도가 높은 분석 트리를 그 시나리오에 가장 적합한 분석 트리 즉 탐지자 코드로 하여 추후에 탐지자들에 전달함으로 탐지자를 학습시킨다.For example, if the detector agent runs the scenario "Connected to a reserved port and access interval is 1 second" with a 90% probability of intrusion based on multiple analysis trees, the suspicious output is 100% and 50%. , 90%, the accuracy is 10, 25, and 100, respectively, and the detector is trained by passing the analysis tree with high accuracy as the analysis tree or detector code that is most suitable for the scenario.

본 발명에 따른 분산 침입 탐지 에이전트를 기반으로 한 지능형 침입탐지시스템(DABIDS)의 주요 구성요소들 간의 작용을 살펴보면 다음과 같다.Looking at the operation between the major components of the intelligent intrusion detection system (DABIDS) based on the distributed intrusion detection agent according to the present invention.

먼저, 각각의 탐지자들은 각각의 노드(시스템, 컴퓨터와 같은 의미임)에서 발생하는 정상 상태 및 비정상 상태의 침입 정보를 시나리오발생기에 의해 발생하여 도 5에 도시된 탐지자 학습기에 전달하여 학습 시나리오 데이터베이스에 저장한 후 해당되는 문제 영역에 포함된 연산자 집합과 프리미티브 집합으로부터 유전자 프로그래밍 기법에 의해 도 6과 같은 분석 트리를 생성한 후, 에이전트들이 생성된 분석 트리를 이용하여 오퍼레이션 수행 후 정확도를 체크하고 이와 같은 과정을 유전자 연산(crossover, mutation)을 적용하며 여러 세대 수행하여 가장 적합한 분석 트리를 구한 후 각 노드들에 구한 분석 트리 코드를 담은 탐지자 코드를 노드들에 전송하여 탐지자를 갱신시켜 전체 침입탐지시스템의 성능을 향상시킨다.First, each detector detects intrusion information of normal and abnormal states generated by each node (which means the same as a system and a computer) by a scenario generator, and delivers it to the detector learner shown in FIG. After storing in the database and generating the analysis tree as shown in Figure 6 from the operator set and primitive set included in the problem area by the genetic programming technique, the agent checks the accuracy after performing the operation using the generated analysis tree The same process is performed for several generations by applying genetic operations (crossover, mutation) to find the most suitable analysis tree, and the detector code containing the analysis tree code obtained at each node is transmitted to the nodes to update the detector and the entire intrusion detection. Improve system performance.

한편, 도 7에 도시된 바와 같이 각 노드에는 여러 개의 학습된 탐지자들이 존재하며, 도 7과 같이 시스템 상태 정보 추출기를 통해 시스템 커널로부터 입력되는 감사 데이터(audit data)로부터 I/O 탐지자는 시스템의 I/O에 관련된 상태를 체크하고, NFS 탐지자는 NFS에 대한 요청 및 동작에 대해 체크하며, TCP 탐지자는 TCP 프로토콜을 통해 시스템에 접속하는 것을 체크한다. 이를 통해 탐지자 조정자는 현재 시스템의 침입 여부를 판단하여 시스템 관리자에게 알려준다.On the other hand, as shown in Figure 7, each node has a number of trained detectors, as shown in Figure 7 I / O detector from the audit data (audit data) input from the system kernel through the system state information extractor It checks the status related to I / O of the server, the NFS detector checks for requests and actions on NFS, and the TCP detector checks to connect to the system through the TCP protocol. This allows the detector coordinator to determine whether the current system is invasive and notify the system administrator.

이상에서 살펴본 바와 같이, 본 발명에 따르면 분산 탐지 에이전트를 기반으로 하여 분산된 각각의 탐지 에이전트들로부터 해커의 침입 정보를 동적으로 수집하여 이를 통해 탐지 에이전트들에게 침입 패턴을 학습시켜 학습된 탐지자 코드를 분배하므로 전체 분산 에이전트의 침입 탐지율을 향상시키는 효과가 있다.As described above, according to the present invention, a detector code learned by dynamically collecting intrusion information of a hacker from each of the distributed detection agents based on the distributed detection agent and learning the intrusion pattern through the detection agents. As a result, the intrusion detection rate of all distributed agents is improved.

또한, 종래의 에이전트 기반 침입탐지시스템에서 에이전트 학습을 사람이 개입한 피드백 방식으로 수행하므로 오랜 시간동안의 학습이 요구되는 문제를 극복할 수 있으며, 시나리오 작성의 문제를 각 노드에서 현재 비정상적으로 작동하는 패턴정보를 바탕으로 시나리오를 작성하여 탐지 에이전트 학습기에 전달하여 에이전트를 학습시키므로 인위적인 시나리오 개발에 드리는 노력을 줄일 수 있다.In addition, in the conventional agent-based intrusion detection system, the agent learning is performed in a human-induced feedback method, so that the problem of learning for a long time can be overcome, and the problem of creating a scenario currently works abnormally on each node. By creating a scenario based on the pattern information and passing it to the detection agent learner, the agent can be trained to reduce the effort for developing an artificial scenario.

Claims (2)

다수의 시스템들이 네트워크로 연결된 분산 시스템에 있어서,In a distributed system where multiple systems are networked, 상기 시스템에서 제공하는 커널 감사 데이터를 얻어 이를 통해 의심 정도를 파악하는 다수의 탐지자들;A plurality of detectors that obtain kernel audit data provided by the system and determine the degree of suspicion through the system; 상기 각각의 탐지자들로부터 전달되는 침입 의심 정도를 수신하여 시스템의 침입 여부를 판단하여 침입 경고를 알리거나 침입에 대한 적절한 조치를 취하는 침입대응행동을 자동으로 수행시키는 탐지자 조정자;A detector coordinator that receives the degree of suspicion of intrusion from each of the detectors to determine whether the system is invasive, to notify the intrusion warning or to automatically perform an intrusion response action to take an appropriate action against the intrusion; 정상 상태 및 비정상 상태의 침입 정보를 수집하여 정상 상태 동작과 비정상 상태 동작 작동 순서를 가상적으로 생성하는 시나리오 생성기;A scenario generator that collects steady state and abnormal state intrusion information and virtually generates a sequence of steady state operations and abnormal state operations; 상기 시나리오 생성기로부터 생성된 시나리오들을 통해 탐지자를 학습시켜 학습된 탐지자 코드를 분배하는 탐지자 학습기를 포함하는 분산 침입 탐지 에이전트를 기반으로 한 지능형 침입탐지시스템.Intelligent intrusion detection system based on a distributed intrusion detection agent comprising a detector learner for learning the detector through the scenarios generated from the scenario generator to distribute the learned detector code. 제 1 항에 있어서, 상기 탐지자 조정자는,The method of claim 1, wherein the detector coordinator, 상기 시나리오 생성기에 의해 생성된 학습 시나리오를 상기 탐지자 학습기로 전달하고, 상기 탐지자 학습기로부터 전달되는 학습된 탐지자 코드를 수신하여 상기 다수의 탐지자에 전달하고 상기 다수의 탐지자들을 관리하는 것을 특징으로 하는 분산 침입 탐지 에이전트를 기반으로 한 지능형 침입탐지시스템.Delivering the learning scenario generated by the scenario generator to the detector learner, receiving the learned detector code delivered from the detector learner, passing it to the plurality of detectors, and managing the plurality of detectors. Intelligent intrusion detection system based on distributed intrusion detection agent.
KR1019990011938A 1999-04-07 1999-04-07 Intelligent Intrusion Detection System based on distributed intrusion detecting agents KR100332891B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1019990011938A KR100332891B1 (en) 1999-04-07 1999-04-07 Intelligent Intrusion Detection System based on distributed intrusion detecting agents

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1019990011938A KR100332891B1 (en) 1999-04-07 1999-04-07 Intelligent Intrusion Detection System based on distributed intrusion detecting agents

Publications (2)

Publication Number Publication Date
KR20000065547A true KR20000065547A (en) 2000-11-15
KR100332891B1 KR100332891B1 (en) 2002-04-17

Family

ID=19578840

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1019990011938A KR100332891B1 (en) 1999-04-07 1999-04-07 Intelligent Intrusion Detection System based on distributed intrusion detecting agents

Country Status (1)

Country Link
KR (1) KR100332891B1 (en)

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2001095202A1 (en) * 2000-06-03 2001-12-13 Arpa Co., Ltd. Apparatus and method for protecting resource of intellectual property and information system using active resource protection agent
KR100424723B1 (en) * 2001-07-27 2004-03-27 김상욱 Apparatus and Method for managing software-network security based on shadowing mechanism
KR100424724B1 (en) * 2001-07-27 2004-03-27 김상욱 Apparatus for detecting invasion with network stream analysis
KR100468232B1 (en) * 2002-02-19 2005-01-26 한국전자통신연구원 Network-based Attack Tracing System and Method Using Distributed Agent and Manager Systems
KR100604638B1 (en) * 2002-11-01 2006-07-28 한국전자통신연구원 Intrusion detection system and method based on hierarchical analysis
KR100623552B1 (en) * 2003-12-29 2006-09-18 한국정보보호진흥원 Method of risk analysis in automatic intrusion response system
KR100898241B1 (en) * 2002-09-30 2009-05-18 주식회사 케이티 System of dynamic security service for intrusion detection and prevention from cyber attack by using path configuration and method thereof
WO2011105659A1 (en) * 2010-02-23 2011-09-01 주식회사 이세정보 System, method, program, and recording medium for real-time detection and blocking of harmful programs through behavioral analysis of a process

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20030027646A (en) * 2001-09-27 2003-04-07 주식회사 시큐브 Apparatus for Identifying Security Vulnerability based on Hybrid Type and Method Thereof
KR20030033712A (en) * 2001-10-24 2003-05-01 주식회사 김정훈시큐어 Method for full name aggregate defence of master and agent mode to be with the intrusion hacker
KR100474155B1 (en) * 2002-05-14 2005-03-08 한국전자통신연구원 System and method for analyzing vulnerability in distributed network environment
KR100484303B1 (en) * 2002-10-21 2005-04-20 한국전자통신연구원 A Method for Reverse-Chasing the Active Network Attacker and Reporting the Result therefrom using movable Sensor
KR100523483B1 (en) * 2002-10-24 2005-10-24 한국전자통신연구원 The system and method of malicious traffic detection and response in network

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2001095202A1 (en) * 2000-06-03 2001-12-13 Arpa Co., Ltd. Apparatus and method for protecting resource of intellectual property and information system using active resource protection agent
KR100424723B1 (en) * 2001-07-27 2004-03-27 김상욱 Apparatus and Method for managing software-network security based on shadowing mechanism
KR100424724B1 (en) * 2001-07-27 2004-03-27 김상욱 Apparatus for detecting invasion with network stream analysis
KR100468232B1 (en) * 2002-02-19 2005-01-26 한국전자통신연구원 Network-based Attack Tracing System and Method Using Distributed Agent and Manager Systems
KR100898241B1 (en) * 2002-09-30 2009-05-18 주식회사 케이티 System of dynamic security service for intrusion detection and prevention from cyber attack by using path configuration and method thereof
KR100604638B1 (en) * 2002-11-01 2006-07-28 한국전자통신연구원 Intrusion detection system and method based on hierarchical analysis
KR100623552B1 (en) * 2003-12-29 2006-09-18 한국정보보호진흥원 Method of risk analysis in automatic intrusion response system
WO2011105659A1 (en) * 2010-02-23 2011-09-01 주식회사 이세정보 System, method, program, and recording medium for real-time detection and blocking of harmful programs through behavioral analysis of a process

Also Published As

Publication number Publication date
KR100332891B1 (en) 2002-04-17

Similar Documents

Publication Publication Date Title
Lee et al. A framework for constructing features and models for intrusion detection systems
Ning et al. Intrusion detection techniques
Xu et al. Alert correlation through triggering events and common resources
McHugh Intrusion and intrusion detection
Ghorbani et al. Network intrusion detection and prevention: concepts and techniques
Mukherjee et al. Network intrusion detection
Stolfo et al. Data mining-based intrusion detectors: An overview of the columbia ids project
Ning et al. Analyzing intensive intrusion alerts via correlation
Kholidy Detecting impersonation attacks in cloud computing environments using a centric user profiling approach
Hajj et al. Anomaly‐based intrusion detection systems: The requirements, methods, measurements, and datasets
Lundin et al. Survey of intrusion detection research
Deepa et al. A comprehensive survey on approaches to intrusion detection system
Lappas et al. Data mining techniques for (network) intrusion detection systems
KR100332891B1 (en) Intelligent Intrusion Detection System based on distributed intrusion detecting agents
Sabri et al. Identifying false alarm rates for intrusion detection system with data mining
Akbar et al. Intrusion detection system methodologies based on data analysis
Onashoga et al. A Strategic Review of Existing Mobile Agent-Based Intrusion Detection Systems.
Abraham et al. Evolving intrusion detection systems
CN113315666A (en) Defense control method and system for information network security
Rosli et al. Clustering analysis for malware behavior detection using registry data
CN113411295A (en) Role-based access control situation awareness defense method and system
Labib Computer security and intrusion detection
Jin et al. Architecture for data collection in database intrusion detection systems
Wasniowski Multi-sensor agent-based intrusion detection system
Soh et al. Setting optimal intrusion-detection thresholds

Legal Events

Date Code Title Description
A201 Request for examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20050930

Year of fee payment: 4

LAPS Lapse due to unpaid annual fee