KR20020024508A - 네트워크 침입탐지를 위한 비정상행위 탐지기법 - Google Patents

네트워크 침입탐지를 위한 비정상행위 탐지기법 Download PDF

Info

Publication number
KR20020024508A
KR20020024508A KR1020000056317A KR20000056317A KR20020024508A KR 20020024508 A KR20020024508 A KR 20020024508A KR 1020000056317 A KR1020000056317 A KR 1020000056317A KR 20000056317 A KR20000056317 A KR 20000056317A KR 20020024508 A KR20020024508 A KR 20020024508A
Authority
KR
South Korea
Prior art keywords
detecting system
network
similarity
cluster
packet
Prior art date
Application number
KR1020000056317A
Other languages
English (en)
Inventor
이도헌
Original Assignee
김병기
(주)넥스팝
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 김병기, (주)넥스팝 filed Critical 김병기
Priority to KR1020000056317A priority Critical patent/KR20020024508A/ko
Publication of KR20020024508A publication Critical patent/KR20020024508A/ko

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/04Processing captured monitoring data, e.g. for logfile generation
    • H04L43/045Processing captured monitoring data, e.g. for logfile generation for graphical visualisation of monitoring data

Abstract

본 발명은 네트워크 침입탐지를 위한 IBL 기반 비정상행위 탐지기법에 관한 것이다. 종래의 네트워크 침입탐지 시스템은 대부분 오용 탐지(misuse detection)기술을 사용하고 있다. 오용 탐지(misuse detection) 기술을 이용한 침입탐지 시스템은 전제조건으로 침입 패턴에 대한 사전 지식을 요구하기 때문에, 새로운 침입 패턴이 나타났을 때 대처할 수 없다. 그에 반해 비정상 행위 탐지(anomaly detection) 기술은 침입 패턴에 대한 사전 지식을 요구하지 않기 때문에 새로운 침입 패턴에 대해서도 효과적으로 대처할 수 있다.
비정상 행위 탐지 기술을 적용하기 위해 빈도값이나 평균, 분산과 같은 통계치를 정상 행위에 대한 프로파일로 사용하기 때문에 침입 행위를 정확히 식별하지 못함은 물론, 정상적인 행위조차 침입으로 간주하는 부작용까지 있었다. 본 발명에서는 이러한 통계치 프로파일의 단점을 극복하기 위해 인공지능 분야에서 개발된 IBL 프레임워크를 비정상 행위 탐지에 적용한다.

Description

네트워크 침입탐지를 위한 비정상행위 탐지기법 {An Anomaly Detection Method for Network Intrusion Detection}
본 발명은 네트워크 침입탐지 시스템 기술 중 비정상행위 탐지기술에 해당한다. 종래의 네트워크 침입탐지 시스템은 대부분 오용 탐지(misuse detection)기술을 사용하고 있다. 비정상행위 탐지기술을 사용한 몇몇 시스템 역시 대부분 통계적 프로파일을 이용하며, 본 연구처럼 IBL(Instance-Based Learning) 기법을 채택한 경우는 거의 없다.
오용 탐지(misuse detection) 기술을 이용한 침입탐지 시스템은 전제조건으로 침입 패턴에 대한 사전 지식을 요구하기 때문에, 새로운 침입 패턴이 나타났을 때 대처할 수 없다. 그에 반해 비정상 행위 탐지(anomaly detection)기술은 침입 패턴에 대한 사전 지식을 요구하지 않기 때문에 새로운 침입패턴에 대해서도 효과적으로 대처할 수 있다. 하지만 비정상 행위 탐지 기술을 적용하기 위해서는 정상행위에 대한 정확한 프로파일이 필요하다. 현재까지는 단순히 빈도값이나 평균, 분산과 같은 통계치를 사용했기 때문에 침입 행위를 정확히 식별하지 못함은 물론, 정상적인 행위조차 침입으로 간주하는 부작용까지 있었다. 본 발명에서는 이러한 통계치 프로파일의 단점을 극복하기 위해 인공지능 분야에서 개발된 IBL 프레임워크를 비정상 행위 탐지에 적용한다.
제 1 도는 본 발명이 적용되는 비정상행위 탐지절차를 나타낸 도면.
상기의 목적을 달성하기 위한 본 발명의 비정상 행위 탐지 방법은,
시험용 네트워크 패킷 집합을 이용하여 클러스터링을 수행하는 과정과,
네트워크 장치를 통해 네트워크 패킷을 수신하는 과정과,
수신된 패킷으로부터 특징벡터(feature vector)를 추출하는 과정과,
기 존재하는 클러스터 중 추출한 특징벡터와 가장 유사도가 큰 클러스터를 선정하는 과정과,
얻어진 가장 큰 유사도 값이 주어진 임계값보다 큰지 확인하는 과정과,
정상행위로 판정된 패킷의 특징벡터를 수용하여 특징벡터간 클러스터링을 재수행하는 과정으로 이루어진 것을 특징으로 한다.
이하 첨부된 도면을 참조하여 본 발명의 구체적인 구성을 설명한다.
제 1 도는 본 발명이 적용되는 비정상 행위 탐지 방법의 개략적인 구성도로서, 시험용 패킷을 이용한 클러스터링(11), 특징 벡터 추출 단계(12), 클러스터 선정 단계(13), 비교 단계(14), 클러스터 수정보완단계(15)로 구성된다.
특징 벡터 추출 단계(12)는 수신된 패킷의 송신자 IP 주소, 송신 Port 번호,수신자 IP 주소, 수신 Port 번호, 패킷의 길이, 특정 패턴의 포함 여부, IP 패킷의 각종 플래그 값을 포함하여 패킷의 특징을 대표하는 벡터를 얻어내는 것을 의미한다.
클러스터 선정 단계(13)는 이미 존재하는 클러스터와 앞 단계(12)에서 추출한 특징 벡터 A간의 유사도를 계산하는 것을 의미한다. 이미 존재하는 각 클러스터는 중심벡터를 갖는다. 중심벡터는 해당 클러스터에 속하는 특징벡터들의 각 속성값의 대표값으로 구성된다. 속성의 정의구역이 수치일 때는 산술평균을 대표값으로 삼고, 속성의 정의구역이 기호일 때는 최빈값을 대표값으로 삼는다. 이러한 중심벡터는 클러스터 생성시점에 이미 얻어진다. 중심벡터와 특징벡터 A간의 거리는 대응 속성값 차이의 가중치 합으로 정의되고, 유사도는 거리의 역수로 정의된다. 속성의 정의구역이 수치일 때, 속성값간의 차이는 산술적인 차이로 하고, 기호일 때, 속성값간의 차이는 동일한 기호일 때 1, 다른 기호일 때 0으로 한다.
이러한 계산을 통해 각 클러스터와 특징벡터A간의 유사도가 얻어지면 그 중 최고값을 가진 클러스터를 선정한다.
비교 단계(14)는 클러스터 선정 단계(13)에서 선정된 클러스터의 특징벡터와의 유사도가 주어진 임계치보다 큰지 작은지 비교하는 것을 의미한다. 만약 크면 해당 네트워크 패킷을 정상 행위로 판정하고 그렇지 않으면 비정상 행위로 판정한다.
클러스터 수정보완단계(15)는 비교 단계(14)를 통해 정상행위로 판정된 패킷을 수용하여 클러스터 선정 단계(13)에서 선정된 클러스터를 수정보완하는 것을 의미한다. 클러스터의 수정보완은 해당 클러스터의 중심벡터값을 변경하는 것으로서, 방법은 클러스터 선정 단계(13)에서 설명한 중심벡터 계산방식에 의한다.
시험용 패킷을 이용한 클러스터링 단계(11)는 앞에서 기술한 과정들이 가능하도록 사전 작업을 하는 것을 의미한다. 먼저, 정상행위가 확실한 시험용 패킷 집합을 준비하고, 특징벡터 추출 단계(12)에서 설명한 방법으로 각 패킷의 특징벡터를 추출한다. 클러스터 선정 단계(13)에서 설명한 유사도 계산방식을 이용하여 가장 유사도가 큰 특징벡터쌍들을 선정한다. 이렇게 선정된 특징벡터쌍을 하나의 클러스터로 간주하고 각각의 중심벡터를 구한다. 역시 같은 유사도 계산방식을 이용하여 가장 유사도가 큰 중심벡터쌍들을 선정한다. 이렇게 선정된 중심벡터쌍에 대응하는 클러스터쌍을 병합하여 하나의 클러스터로 간주한다. 미리 정의된 개수의 클러스터에 도달하거나, 유사도 임계값에 도달할 때까지 이와 같은 방법을 반복한다.
이상에서 상술한 바와 같이 본 발명은 특징 벡터간의 유사도에 근거한 클러스터링을 이용하여 비정상 행위에 해당하는 네트워크 패킷을 탐지함으로써, 기존의 통계치 기반 비정상 행위 탐지에 비해 보다 효과적인 침입 탐지 시스템을 개발할 수 있는 방법을 제공한다.

Claims (3)

  1. 클러스터링을 이용한 사례기반학습기법으로 비정상행위를 탐지하는 도면 제 1 도에 제시한 절차.
  2. 특징벡터 추출단계(12)에서 수신된 패킷의 송신자 IP 주소, 송신 Port 번호, 수신자 IP 주소, 수신 Port 번호, 패킷의 길이, 특정 패턴의 포함 여부, IP 패킷의 각종 플래그 값을 포함하는 방법.
  3. 클러스터 선정 단계(13) 및 시험용 패킷을 이용한 클러스터링 단계(11)에서 특징벡터간 유사도를 계산하는 방법.
KR1020000056317A 2000-09-25 2000-09-25 네트워크 침입탐지를 위한 비정상행위 탐지기법 KR20020024508A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020000056317A KR20020024508A (ko) 2000-09-25 2000-09-25 네트워크 침입탐지를 위한 비정상행위 탐지기법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020000056317A KR20020024508A (ko) 2000-09-25 2000-09-25 네트워크 침입탐지를 위한 비정상행위 탐지기법

Publications (1)

Publication Number Publication Date
KR20020024508A true KR20020024508A (ko) 2002-03-30

Family

ID=19690382

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020000056317A KR20020024508A (ko) 2000-09-25 2000-09-25 네트워크 침입탐지를 위한 비정상행위 탐지기법

Country Status (1)

Country Link
KR (1) KR20020024508A (ko)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20040008375A (ko) * 2002-07-18 2004-01-31 광주과학기술원 비정상행위 공통 특징을 이용한 침입탐지방법 및 기록매체
KR100614757B1 (ko) * 2004-07-14 2006-08-21 엘지엔시스(주) 패킷 헤더 분석을 통해 이상 트래픽을 탐지 및 차단하는장치 및 방법
KR100708771B1 (ko) * 2005-04-25 2007-04-18 서울시립대학교 산학협력단 네트워크 침입 패턴의 자동탐지를 위한 시스템 및 방법
KR100832536B1 (ko) * 2006-11-06 2008-05-27 한국전자통신연구원 대규모 네트워크에서의 보안 관리 방법 및 장치
US7716329B2 (en) 2007-11-26 2010-05-11 Electronics And Telecommunications Research Institute Apparatus and method for detecting anomalous traffic

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20040008375A (ko) * 2002-07-18 2004-01-31 광주과학기술원 비정상행위 공통 특징을 이용한 침입탐지방법 및 기록매체
KR100614757B1 (ko) * 2004-07-14 2006-08-21 엘지엔시스(주) 패킷 헤더 분석을 통해 이상 트래픽을 탐지 및 차단하는장치 및 방법
KR100708771B1 (ko) * 2005-04-25 2007-04-18 서울시립대학교 산학협력단 네트워크 침입 패턴의 자동탐지를 위한 시스템 및 방법
KR100832536B1 (ko) * 2006-11-06 2008-05-27 한국전자통신연구원 대규모 네트워크에서의 보안 관리 방법 및 장치
US7716329B2 (en) 2007-11-26 2010-05-11 Electronics And Telecommunications Research Institute Apparatus and method for detecting anomalous traffic

Similar Documents

Publication Publication Date Title
US7716329B2 (en) Apparatus and method for detecting anomalous traffic
EP2979425B1 (en) Method and apparatus for detecting a multi-stage event
CN111935170B (zh) 一种网络异常流量检测方法、装置及设备
KR101538709B1 (ko) 산업제어 네트워크를 위한 비정상 행위 탐지 시스템 및 방법
KR102291869B1 (ko) 비정상 트래픽 패턴의 탐지 방법 및 장치
CN106878995B (zh) 一种基于感知数据的无线传感器网络异常类型鉴别方法
CN111181901B (zh) 异常流量检测装置及其异常流量检测方法
EP2785008A1 (en) Method and apparatus for detecting a multi-stage event
CN110798426A (zh) 一种洪水类DoS攻击行为的检测方法、系统及相关组件
CN112134875A (zh) 一种IoT网络异常流量检测方法及系统
KR20020024508A (ko) 네트워크 침입탐지를 위한 비정상행위 탐지기법
CN114363212A (zh) 一种设备检测方法、装置、设备和存储介质
Liao et al. Distributed edge detection with composite hypothesis test in wireless sensor networks
KR101927100B1 (ko) 순환 신경망 기반 네트워크 패킷의 위험요소 분석 방법, 이를 수행하는 순환 신경망 기반 네트워크 패킷의 위험요소 분석 장치
CN112927178B (zh) 遮挡检测方法、装置、电子设备以及存储介质
CN112235242A (zh) 一种c&c信道检测方法及系统
CN112099057A (zh) 一种基于模糊逻辑的双门限协作gnss干扰检测算法
KR101923776B1 (ko) 이상 데이터 분석을 통한 네트워크 침입 검출 장치 및 방법
CN109150623A (zh) 基于轮循制信誉值抵御恶意用户ssdf攻击方法及系统
KR100656340B1 (ko) 비정상 트래픽 정보 분석 장치 및 그 방법
CN114157465B (zh) 一种勒索病毒传播路径的确定方法、装置、设备及介质
CN114024726B (zh) 在线检测网络流量的方法及系统
CN113627215B (zh) 基于can信号特征的ecu鉴别方法及存储介质
CN117176469B (zh) 一种IPv6校园网的异常数据监测方法、设备和介质
CN111770499B (zh) 一种分布式频谱协作检测方法

Legal Events

Date Code Title Description
WITN Withdrawal due to no request for examination