KR20040013173A - 오용행위와 비정상행위의 통합 판정 기능을 갖는 호스트기반의 통합침입탐지시스템 및 방법 - Google Patents

오용행위와 비정상행위의 통합 판정 기능을 갖는 호스트기반의 통합침입탐지시스템 및 방법 Download PDF

Info

Publication number
KR20040013173A
KR20040013173A KR1020020045985A KR20020045985A KR20040013173A KR 20040013173 A KR20040013173 A KR 20040013173A KR 1020020045985 A KR1020020045985 A KR 1020020045985A KR 20020045985 A KR20020045985 A KR 20020045985A KR 20040013173 A KR20040013173 A KR 20040013173A
Authority
KR
South Korea
Prior art keywords
detection
host
abnormal behavior
sensor
integrated
Prior art date
Application number
KR1020020045985A
Other languages
English (en)
Other versions
KR100464598B1 (ko
Inventor
김홍근
김민수
이보경
Original Assignee
한국정보보호진흥원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국정보보호진흥원 filed Critical 한국정보보호진흥원
Priority to KR10-2002-0045985A priority Critical patent/KR100464598B1/ko
Publication of KR20040013173A publication Critical patent/KR20040013173A/ko
Application granted granted Critical
Publication of KR100464598B1 publication Critical patent/KR100464598B1/ko

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • G06F15/16Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
    • G06F15/163Interprocessor communication
    • G06F15/173Interprocessor communication using an interconnection network, e.g. matrix, shuffle, pyramid, star, snowflake
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/24Querying
    • G06F16/245Query processing
    • G06F16/2458Special types of queries, e.g. statistical queries, fuzzy queries or distributed queries
    • G06F16/2465Query processing support for facilitating data mining operations in structured databases
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F17/00Digital computing or data processing equipment or methods, specially adapted for specific functions
    • G06F17/10Complex mathematical operations
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2216/00Indexing scheme relating to additional aspects of information retrieval not explicitly covered by G06F16/00 and subgroups
    • G06F2216/03Data mining

Abstract

본 발명은 호스트 기반의 불법적인 침입행위를 실시간으로 탐지하기 위한 침입탐지기술에 관한 것이다. 침입의 형태는 매우 복잡하고 다양하기 때문에 기존의 단일 침입탐지 시스템에서 탐지하기가 쉽지 않다. 이를 위해 본 발명은 복수모델 침입탐지센서들의 탐지정보를 통합 판정부로 보내어 통합 분석함으로써, 침입탐지센서의 탐지 정보에 대한 신뢰성을 부여하고 복수모델의 침입탐지센서의 탐지 정보를 서로 관련시킬 수 있는 통합 판정 방법론을 제시한다. 그리하여 복수모델의 호스트기반 오용행위와 비정상행위 탐지센서 통합 판정을 통해 오경보율을 감소시키는 한편, 탐지 영역을 확대시키고 탐지의 정확성을 크게 향상시킬 수 있다.

Description

오용행위와 비정상행위의 통합 판정 기능을 갖는 호스트 기반의 통합침입탐지시스템 및 방법{The intrusion detection system and method unifying and resolving the misuses and anomalies of host}
본 발명은 호스트 내의 불법적인 침입행위를 실시간으로 탐지하기 위한 침입탐지기술에 관한 것이다. 보다 구체적으로는, 본 발명은 탐지 메져(measure)를 달리하는 복수모델의 오용행위와 비정상행위 탐지센서로부터 탐지 정보를 받아 관련성을 분석하는 통합 판정을 통해 탐지 영역을 확대시키고 탐지의 정확성을 크게 향상시키는 방법에 관한 것이다.
통상적으로, 침입행위에 대한 탐지 기술은 오용행위에 대한 탐지만을 제공하는 단일 침입탐지 시스템이거나, 탐지정보를 개별적으로 고려할 뿐 관련성을 고려하지 않는 시스템이다. 더욱이, 오용행위에 대한 탐지를 전제조건으로 침입 패턴에 대한 사전 지식이 요구되므로, 오용행위에 대한 탐지만으로는 새로운 침입 패턴이 나타났을 때 대처하는 것이 불가능하다.
이에 대한 해결책으로 비정상행위에 대한 탐지를 추가하는 방법이 제안되었다. 그러나 이 경우에도 정상행위에 대한 빈도, 평균 및 분산과 같은 통계값을 사용하기 때문에 침입 행위를 정확히 탐지하는 데에 문제점이 여전히 남음은 물론 정상행위까지도 침입행위로 인식하는 부작용이 발생하는 등의 문제가 있다.
본 발명은 상기와 같은 종래의 문제점을 해결하기 위하여 안출된 것으로서, 본 발명의 목적은 호스트기반의 침입행위를 탐지하기 위해, 오용행위는 물론, 비정상행위와의 통합을 통하여 탐지영역을 확대시키고 탐지 결과의 정확성 향상을 가능하게 하는 통합 판정하는 방법을 제공하는 데 있다.
통상적으로 침입탐지시스템은 오용행위 기반의 탐지방법을 제공하여 침입에 대한 탐지패턴을 추가하지 않으면 false positive(정상행위를 침입행위로 인식하는 부작용)가 발생하지 않는 반면에 false negative(침입행위를 정상행위로 인식하는 부작용)가 발생한다. 여기에서 임계값을 똑같은 논리로 적용해보면 임계값이 낮을 경우 false positive비율이 증가하는 반면에 false negative 비율은 감소한다.
만일 임계값이 높은 경우 false positive 비율이 감소하는 반면에 falsenegative 비율이 증가한다. 경험에 비추어, 대부분의 관리자들의 경우 false negative의 위험성을 회피하기 위해 false positive를 어느 수준 이상으로 수용한다. 보통의 경우 최적의 임계값을 찾아 침입을 탐지하도록 하지만 본 논문에서는 낮은 임계값을 적용하여 false negative의 비율을 최소화시키고 다양한 관점과 레벨에서의 통합 판정 방법론을 도입하여 false positive 비율을 또한 최소화시킴으로써 탐지 영역 확대 및 정확성을 향상시켰다.
도 1은 본 발명에 따른 오용행위와 비정상행위의 통합 판정 기능을 갖는 호스트기반의 통합침입탐지방법의 순서도.
도 2는 호스트기반 통합침입탐지시스템의 구성을 보여주는 개략도.
도 3은 호스트기반의 통합 판정 구조를 보여 주는 개략도.
도 4는 시스템 사용자의 정상행위에 대한 호스트기반 비정상행위 탐지센서의 판정 분포도.
도 5는 도 4의 정상행위에 대한 비정상행위 탐지센서의 판정 분포도에 대한 체형 적분값 계산을 설명하는 도면.
도 6은 도 5의 정상행위에 대한 비정상행위 탐지센서의 판정 분포도에서 정상행위 비율에 해당하는 임계값을 구하는 것을 설명하는 도면.
도 7은 복수모델의 호스트기반 탐지센서의 반영비율 도출과정을 설명하는 순서도.
도 8은 복수모델의 호스트기반 탐지센서들 간의 반영비율을 구한 예를 보여주는 도표.
도 9는 도 8의 도표를 방사형 그래프로 나타낸 도면.
도 10은 호스트 내에서의 통합판정을 설명하는 순서도.
<도면의 주요 부분에 대한 부호의 설명>
1 : 호스트
101 : 전송부 102 : 통합 판정부
103 : 센서부 104 : 에이전트
105 : 데이터 마이닝 방식의 호스트기반 비정상행위 탐지센서
106 : HMM 방식의 호스트기반 비정상행위 탐지센서
107 : 호스트기반 오용행위 탐지센서117 : 통합 센서
118 : 통합판정 센서
상기와 같은 본 발명의 목적은, 로컬 네트워크에 전자통신회선을 통해 연결된 호스트에 있어서, 상기 호스트가, 클라이언트 서버 네트워킹 형식의 에이전트 및 센서부로 구성되고, 상기 에이전트는 상기 센서부에서 탐지된 정보를 통합 판정하는 판정부 및 탐지된 결과를 통합 또는 로깅 목적으로 다른 시스템에게 전달하는 전송부로 구성되고, 상기 센서부가 복수 모델의 호스트 기반 비정상행위 탐지센서와 오용행위 탐지센서로 구성되는 오용행위와 비정상행위 통합 판정 기능을 갖는 호스트기반의 통합침입탐지시스템을 제공함으로써 달성될 수 있다.
여기서, 상기 복수 모델의 비정상행위 탐지센서는 HMM 방식의 비정상행위 탐지센서와 데이터 마이닝 방식의 비정상행위 탐지센서를 포함하는 것이 바람직하다.
또한 여기서, 상기 HMM 방식의 비정상행위 탐지센서는 시스템 호출, 파일 시스템, 및 시스템 호출과 파일 시스템에 대한 비정상행위를 탐지하는 것이 바람직하다.
또한 여기서, 상기 데이터 마이닝 방식의 비정상행위 탐지센서는 사용자들의 실행 명령어 및 프로그램간의 연관성 도출을 위해 연관규칙과 클러스터링 기법을 사용하여 비정상행위를 탐지하는 것이 바람직하다.
또한 여기서, 상기 호스트 기반 오용행위 탐지센서가 퍼지 방식(Fuzzy Logic)과 컬러드 페트리넷(colored petri-nets) 기법을 사용하여 공격 패턴을 표현하여 명백한 침입행위를 탐지하는 것이 바람직하다.
또한 본 발명의 목적은, 복수 모델의 호스트기반 비정상행위 탐지센서와 오용행위 탐지센서를 통하여 비정상행위 및 오용행위를 탐지하는 단계(S1), 호스트 수준에서 탐지된 각각의 비정상행위 및 오용행위 정보간의 반영비율 도출 단계(S2) 및 상기 호스트 수준에서 탐지된 비정상행위 및 오용행위에 대한 정보와 각각의 정보간의 반영비율을 통합 판정하여 침입정보를 생성하는 단계(S3)로 구성되는 것을 특징으로 하는 오용행위와 비정상행위 통합 판정 기능을 갖는 호스트 기반 통합침입탐지방법을 제공함으로써 달성된다.
여기서, 상기 단계(S1)에서의 복수 모델의 비정상행위 탐지센서는 HMM방식과 데이터 마이닝 방식으로 비정상행위를 탐지하는 것이 바람직하다.
또한 여기서, 상기 비정상행위 탐지센서는 HMM방식으로는 시스템 호출, 파일 시스템, 및 시스템 호출과 파일 시스템에 대한 비정상행위를 탐지하고, 데이터 마이닝 방식으로는 사용자들의 실행 명령어 및 프로그램간의 연관성을 보는 연관 규칙과 클러스터링 기법의 비정상행위를 탐지하는 것이 바람직하다.
또한 여기서, 상기 오용행위 탐지센서는 퍼지 방식 및 컬러드 페트리넷 방식으로는 공격 패턴을 분석하여 호스트 내에서의 오용행위를 탐지하는 것이 바람직하다.
또한 여기서, 상기 탐지된 각각의 비정상행위 및 오용행위 정보간의 반영비율 도출 단계(S2)가, 각 센서에서 탐지된 탐지값에 대한 신뢰도(λ) 파일을 읽고 신뢰도에 기반하여 각 사용자별 정상행위로부터의 위배정도의 값을 사용자의 아이디별로 다시 저장하는 단계(S11), 각 탐지센서의 로그 파일을 읽는 단계(S12), 각 탐지센서의 모든 로그 파일을 다 읽었는지 확인하는 단계(S13), 각 탐지센서의 로그 파일을 모두 읽지 않은 경우 복수 모델의 비정상행위 탐지센서 및 오용행위 탐지센서의 로그를 읽고, 각각의 센서의 통합판정 시간 단위의 로그값 중 최고값을 저장하는 단계(S14), 저장된 각각의 센서의 통합판정시간 단위의 로그값 중 최고값의 시간을 비교하여 그 시간대 값이 없으면 0으로 처리하고, 있으면 그 값을 따로 저장하는 단계(S15), 모든 로그 파일이 다 읽은 경우 상기 로그의 최고값들을 센서별로 최고값 행렬에 저장하는 단계(S16), 및 각 탐지센서별로 다른 센서의 반영비율을 계산하여 저장하는 단계(S17)로 구성되는 것이 바람직하다.
또한 여기서, 상기 탐지된 비정상행위 및 오용행위에 대한 정보와 각각의 정보간의 반영비율을 통합 판정하여 침입정보를 생성하는 단계(S3)가, 각 탐지센서의 로그파일을 읽는 단계(S31), 각 탐지센서의 로그에 사용자 아이디별로 신뢰도(λ) 정보를 적용하는 단계(S32), 신뢰도 데이터가 반영된 탐지센서의 로그 데이터를 각 사용자 아이디별 및 각 탐지센서별로 큐에 추가 갱신하는 단계(S33), 통합 판정부의 탐지 시간을 확인하는 단계(S34), 탐지 시간을 확인하여 일치하지 않는 경우 상기 단계(S32) 및 단계(S33)를 반복하고, 일치하는 경우 각 탐지센서의 판정값(v)을 큐에서 꺼내는 단계(S35), 및 상기 반영비율을 저장하고 있는 행렬(η)을 적용하여 통합 판정부의 최종판정값을 결정하여 통합 판정부 로그파일에 저장하는 단계(S36)로 구성되는 것이 바람직하다.
이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시예를 상세하게 설명한다.
도 1에 도시된 바와 같이, 본 발명에 따른 복수모델의 통합침입탐지 방법은 호스트 내에서 비정상행위 및 오용행위를 탐지하는 단계(S1), 탐지된 비정상행위 및 오용행위 정보의 반영비율 도출 단계(S2), 및 상기 호스트 수준에서 탐지된 비정상행위 및 오용행위에 대한 정보와 각각의 정보간의 반영비율을 통합 판정하여 침입정보를 생성하는 단계(S3)로 구성된다.
도 2에 도시된 바와 같이, 상기 호스트(1)에는 각각 에이전트(104)와 센서부(103)가 구비되고, 상기 에이전트는 전송부(101)와 통합 판정부(102)로 구성된다.
도 2에 도시된 바와 같이, 상기 센서부에는 복수개의 데이터 마이닝 방식의 호스트 기반 비정상행위 탐지센서(105), HMM 방식의 호스트기반 비정상행위 탐지센서(106) 및 호스트 기반 오용행위 탐지센서(107)가 구비된다.
통합 판정이 이루어지는 곳은 하나의 호스트(1) 내로, 호스트(1)에서는 오용행위 또는 비정상행위 정도를 탐지하는 복수 모델의 탐지센서들이 구비된 센서부(103)가 에이전트(104)의 통합 판정부(102)로 모두 연결되어 오용행위 또는비정상행위에 대한 정보를 제공한다. 즉, 오용행위 탐지센서(107) 정보와 비정상행위 탐지센서(105, 106)의 정보를 통합 판정부(102)에서 조합하여 판정한 후 그 결과를 전송부(101)를 통해 다른 침입 탐지 시스템 또는 로깅 시스템으로 전송할 수 있다.
다양한 탐지센서의 탐지정보를 결합하여 최상의 탐지정보를 도출하는데 있어서 탐지센서간의 연관성을 반영하고, 침입의 강도 혹은 정상행위에 대한 위배정도 조정하고, 통합 판정시간을 동기화하는 것이 필요하다.
탐지센서간의 연관성을 반영하는 이유는 하나의 이벤트에 대해 두 개의 센서가 반응할 수도 있으며, 때에 따라서 한 개의 센서만 반응할 수도 있기에, 하나의 이벤트에 대해 각각의 센서가 반응할 경우 각각의 센서는 연관성이 있을 가능성이 있는 만큼, 평상시의 이런 가정 하에 통합 판정을 하게 된다.
각각의 탐지센서에서 같은 탐지 정도의 값을 보내준다 할지라도 같은 수준의 공격위험도를 의미하지는 않는다. 호스트 기반의 비정상행위 탐지센서의 경우, 사용자별로 비정상행위인지를 가리는 임계값(threshold)을 가지기 때문에 일률적으로 각각의 탐지센서에서 보내주는 정보를 통합해서는 안 된다. 따라서, 통합하여 의미 있는 하나의 최종탐지 결과를 내보내기 위해 사전에 탐지정보의 위배정도 조정단계를 거친다.
각각의 탐지센서에서의 측정은 탐지센서의 특성에 따라 또는 사용자의 정상행위 패턴에 따라 그 시기가 다르다. 따라서 동일한 사건을 가지고 다르게 반응하는 탐지센서들의 의견을 조율하는 통합 판정에 있어서는 해당 통합 판정이 이루어지는 시점을 정하는 문제가 상당히 중요할 수 있다. 여기에서 만일 하나의 탐지센서가 반응하는 시간이 통합 판정 시간의 기준시간으로 정해지면 올바른 통합 판정이 이루어지지 않는다. 그 이유는 통합 판정의 기준이 되어지는 탐지센서가 제대로 동작을 하지 않거나 탐지 정보를 출력하지 않을 때에는 통합 판정이 이루어지지 않기 때문이다. 따라서 본 발명에서는 통합 판정을 위한 큐(queue)에 처음으로 탐지 정보가 들어가는 시각을 기점으로 수 초 단위 또는 수 분단위로 통합 판정이 수행되도록 통합 판정시간의 동기화가 가능하도록 하였으며 이와 같은 시간은 관리자가 임의로 결정할 수 있도록 하였다.
센서부(103)의 HMM 방식의 비정상행위 탐지센서에는 시스템 호출(system call)에 대한 비정상행위 탐지, 파일 시스템(file system)에 대한 비정상행위 탐지와 시스템 호출 및 파일 시스템(system call and file system)에 대한 비정상행위 탐지를 담당하는 3개의 센서가 구비된다. 센서부의 데이터 마이닝 방식의 비정상행위 탐지센서에는 사용자가 실행한 명령어 또는 프로그램간의 연관성과 클러스터링 관련 비정상행위를 탐지하는 2개의 비정상행위 탐지센서가 구비된다.
센서부(103)의 오용행위 탐지센서는 퍼지 방식과 컬러드 페트리넷 방식으로 공격 패턴을 분석하여 오용행위를 탐지한다.
이상의 탐지센서 외에도 다른 복수모델의 탐지센서의 추가가 가능하다.
에이전트(104)는 탐지 기준을 달리하는 복수모델의 호스트기반 침입탐지센서로부터 생성된 탐지 정보를 수집하며, 이때 수집된 정보는 통합 판정부에 의해 통합되어진다. 클라이언트 서버 네트워킹 형식을 이루며 이는 다른 침입탐지 시스템과의 확장 및 통합이 용이하도록 하기 위해서이다.
도 3에 도시된 바와 같이, 에이전트(104)는 호스트 기반의 비정상행위 탐지센서인 HMM 센서(106)와 데이터 마이닝 센서(105)에서 탐지된 결과와 오용행위 탐지센서(107)의 탐지결과로부터 센서 및 사용자별 임계값을 결정하고, 통합 센서(117)에 의해 복수모델의 탐지센서간 연관성을 도출하고, 통합 판정센서에 의해 실시간 통합 판정을 수행하는 기능을 한다. 또한, 다른 침입탐지시스템과의 통합이나 확장을 고려하여 통합 판정에 필요한 정보를 다른 시스템에 전송하는 기능을 포함한다.
호스트의 각 탐지센서는 서로 다른 영역을 탐지·처리할 수 있으며 동일한 영역도 탐지할 수 있다. 각 탐지센서가 나름대로의 탐지결과를 낼 때, 에이전트의 통합 판정센서는 그 결과를 조율하게 된다. 호스트 탐지센서의 통합모듈은 각각의 호스트 탐지센서로부터 수집된 정보를 통합 분석함으로써 각 센서의 탐지결과를 검증하고 단일 센서로서 탐지할 수 없는 공격 행위들을 판정한다.
통합 판정은 오프라인과 온라인으로 동작하는데, 오프라인에서는 실시간 통합 판정을 수행될 수 있도록 통합 센서로부터 복수 모델의 탐지센서간 연관성이 도출되고, 센서별 또는 사용자별로 비정상 행위 여부를 가리는 임계값을 결정한다. 이와 같은 정보를 기반으로 통합 판정센서는 실시간으로 통합 판정을 수행한다.
상기 센서 및 사용자별 임계값을 결정하는 단계에서는 센서가 출력하는 판정 결과의 분포를 분석하기 위해, 먼저 학습용 데이터를 비정상행위 탐지센서에서 학습시키고, 상기 학습용 데이터에 대한 비정상행위 탐지센서의 탐지결과를 분석한다. 상기 탐지 결과를 구간별로 나누어 분석하여 일반적으로 도 4에 도시된 바와 같은 정상행위에 대한 비정상행위 탐지센서의 판정 분포도를 얻는다. 상기 탐지결과는 정상행위에 대한 판정 결과로써 공격이 포함되어 있지 않은 상태이다.
상기 정상행위에 대한 비정상행위 탐지센서의 판정 분포도는 정상행위가 수행되었을 때 비정상행위 탐지센서에서 어떻게 반응할 것인지를 미리 추정하는 데에 사용된다. 이러한 추정을 통해 정상행위와 비정상행위 사이의 구분을 정확히 할 수 있으며 오탐지를 줄이는 효과를 발휘할 수 있다.
도 4에서, x축(비정상행위도)의 값이 1에 가까울수록 비정상행위도가 높은 것이다. 도 4에서, 일반적으로 0∼0.5 사이에 1차 군집이 형성되고 0.5∼0.7 사이에 2차 군집이 형성됨을 알 수 있다. 1차 군집에 해당되는 부분은 정확히 판단된 정상행위이고, 2차 군집에 해당하는 부분은 학습 상의 오차나 알고리즘상의 오차에 의하여 나타나는 현상이다. 2차 군집 부분은 정상행위일 수도 있고 비정상행위일 수도 있는 애매한 부분이다. 따라서, 이 부분은 통합 판정 과정을 통하여 다른 센서의 결과와 조율하여 판정함으로써 정확도를 높일 수 있다.
도 4 도시된 정상행위에 대한 비정상행위 탐지센서의 판정 분포도를 자동적으로 해석하고, 1차 군집과 2차 군집을 자동적으로 나누는 방법은 판정 분포도의 x축을 등간격의 구간으로 나누고, 연속인 그래프를 구간별로 적분하여 그래프의 면적을 구하는 방법을 이용한다.
도 5에 도시된 바와 같이, x축을 등간격의 구간으로 나누고, 연속인 그래프에서 각 구간별 면적의 비율로써 정상행위에 확실히 속하는 부분과 그렇지 않은 부분을 나눌 수 있다. 즉, 각 비정상행위 탐지센서의 탐지결과에서 비정상행위 여부를 가리는 임계값을 구할 수 있다.
도 5에 도시된 판정 분포도에 있어서, 체형 적분법에 따라 비정상 행위정도를 나타내는 x축을 n개의 구간으로 나누고, 각 구간에서 x축을 따라 적분하면 n번째 구간의 면적은 다음의 수학식 1과 같다.
수학식 1에 나타난 n번째 구간의 면적A n 으로부터 전구간의 면적을 구하면 다음의 수학식 2와 같다.
만약 시스템 사용자의 정상행위 판정결과에 대해 90%의 신뢰도를 갖는다면, 면적A의 90%값까지만 정상행위로 유효한 영역이라고 볼 수 있다. 따라서, 비정상행위 여부를 가리는 임계값은 다음의 수학식 3을 만족시키는i값이 된다.
구간k-1≤t≤k가 정해지면 y t 는 두 점P k-1 , P k 를 지나는 직선의x=x t 에서의 값으로, 구간 [x k-1 , x t ]에서의 면적A t k-1 은 다음의 수학식 4와 같이 구해진다.
도 5에 도시된 판정 분포도의 전체 면적A를 다음의 수학식 5와 같이 정의하고, 정상행위 비율을R로 정의하면 분리가 되는 임계값(x t )은 다음의 수학식 6을 만족시키는x t 로 구해진다.
도 6은 구해진 구간 [x k-1 , x k ]에서 정상행위 비율R에 해당하는 임계값(x t )의 위치를 보여주고 있다. 도 6에서 사용된a,b,h, x 변수들을 아래의 수학식 7 및수학식 8과 같이 정의한다.
도 6에서 c의 값은 비례식에 의해 아래의 수학식 9와 같이 구해진다.
여기에서cx를 사용하면 사다리꼴의 정리에 의해 아래의 수학식 10과 같이 θ가 구해진다.
위 식을x에 대한 방정식으로 정리하면 다음의 수학식 11과 같다.
여기에서 근의 공식을 사용하고,x t 가 구간 [x k-1 , x k ]에 있어야 한다는 것을 참조하여x값을 구하면 아래의 수학식 12와 같다.
이렇게 하여 아래의 수학식 13과 같이 임계값x t 를 구할 수 있다.
상기 각 센서 및 사용자별 정상행위 판정결과에 대한 신뢰도(λ)를 구하는 변수를 기록해 둔다. 이러한 기록은 통합 센서에서 각 센서의 결과 값을 조정하는데 사용하기 때문에 읽어서 테이블을 구성한 후 파일로 저장한다.
각각의 탐지센서에서 같은 탐지 정도의 값을 보내준다 할지라도 같은 수준의 공격위험도를 의미하지는 않으며, 더욱이 비정상행위 탐지센서의 경우 사용자별로 임계값을 가지기 때문에, 일률적으로 각각의 탐지센서에서 보내주는 정보를 통합하지는 않으며, 복수모델 탐지센서의 탐지의견 간에 비율을 조정하는 단계를 거친다. 즉, 통합한 후의 결과가 의미 있도록 하기 위하여 통합하기 전에 퍼지함수를 사용하여 탐지의견의 비율을 조정한다.
예를 들어 두 개의 탐지센서에서 동시에 70의 값을 보내준다 하더라도 A 센서의 임계값이 40이고 B 센서의 임계값이 60이라면 A에서 보내준 행위는 그만큼 정상에서 더 많이 벗어난 행위이기에 더욱 위험한 침입행위라고 판단할 수 있다.
따라서 아래의 수학식 6과 같은 관계를 이용하여 위험정도를 각각의 임계값에 대해 규준화하였다.
통합 센서는 각 로그 파일을 읽어서 통합시간 단위로 구분하여 결합(merge)한 후 임시파일에 저장하고, 상기 임시파일을 본 발명에서 제시한 알고리즘에 따라 오프라인에서 호스트의 각 센서의 반영비율(η)을 구한다. 상기 반영비율은 별도의 파일에 저장된다. 센서의 반영비율을 구하기 위해서는 비정상행위 및 공격행위가 포함된 데이터를 선택하고 그에 대한 각 센서의 탐지결과를 각각의 로그파일에 기록하게 한다.
도 7에 도시된 바와 같이, 호스트 기반의 복수모델 탐지센서 간의 연관성을 도출하기 위해 반영비율을 구하는 과정은, 앞서 저장된 각 탐지센서의 신뢰도(λ) 파일을 읽어 신뢰도에 기반하여 각 사용자별 정상행위로부터의 위배정도의 값을 사용자 ID별로 다시 저장하는 단계(S11), 각 탐지센서의 로그 파일을 읽는 단계(S12), 각 탐지센서의 모든 로그 파일을 다 읽었는지 확인하는 단계(S13), 각 탐지센서의 로그 파일을 모두 읽지 않은 경우 HMM 방식의 센서, 데이터 마이닝 방식의 센서 및 오용행위 탐지센서 등의 로그를 읽고, 각각의 센서의 통합판정시간단위의 로그값 중 최고값을 저장하는 단계(S14), 기록된 로그 정보의 통합판정시간을 비교하여 그 시간대 값이 없으면 0으로 처리하고 있으면 그 값을 따로 저장하는 단계(S15), 모든 로그 파일이 다 읽은 경우 상기 로그의 최고값들을 센서별로 최고값 행렬에 저장하는 단계(S16), 및 각 탐지센서별로 다른 센서의 반영비율을 계산하여 저장하는 단계(S17)로 이루어진다.
즉, 각 탐지센서의 같은 행위에 대하여 각 센서가 어떻게 반응하는 지를 조사하여 이로부터 각 탐지센서의 탐지영역과 각 탐지센서의 탐지영역이 얼마나 연관성을 갖는 지를 알 수 있다. 즉, 하나의 탐지센서가 침입 가능성이 높다고 판단하였을 때 다른 탐지센서는 이에 어떻게 반응하는 지 조사하여 이를 센서간의 연관성으로 표현할 수 있다. 일반적으로 같은 행위에 대하여 비슷한 결과 값을 도출하는 경우 연관성이 높다고 정의할 수 있다. 이러한 연관성은 전체적인 반영 비율보다 각 센서의 결과 값이 특히 높았을 때 다른 센서의 반응정도로써 표현한다. 다음의 수학식 7은i번째 센서가 가장 높은 결과 값을 도출하였을 때의 반영비율(η)을 표현한 것이다.
여기서M은 센서의 수 (1≤iM, 1≤jM)이고,P i v i 가 나타날 확률을 의미한다. 위의 수학식 7은 베이지안 통계학에서 빌려온 수식 형태이다.
여기서 구해지는 반영비율은 한번의 계산으로 구해지는 것이 아니라 충분히많은 실험 데이터를 통한 결과이어야 한다. 따라서, 반영비율을 구하기 위한 실험용 로그 파일을 적용하여 각 센서별로 도출된 결과를 다음의 수학식 8과 같이 평균하여 반영비율로 취한다.
여기서 구해진 평균(η')이 반영비율로써 사용된다. 여기서의R은 시간의 개념으로 일정한 기간동안의 레코드 크기를 나타낸다.
반영비율의 역할은 여러 센서가 각각의 의견을 도출했을 때, 그 의견을 조율하여 하나의 종합된 의견으로 만드는 것이다. 반영비율은 각 센서의 연관관계가 잘 반영되어 있어야 한다. 하나의 센서가 강한 의견을 내었을 때, 그것을 얼마만큼 믿을 수 있느냐는 그 의견을 뒷받침하는 다른 센서의 의견이다. 반영비율은 센서 수에 따라 2차원 배열로 구성된다. 2차원 배열의 행은 가장 크게 주장하는 센서이며 열은 그를 뒷받침하는 다른 센서의 의견의 신뢰성이 된다. 위에서 많은 실험 데이터를 이용해서 반영 비율이 구해져야 한다는 말은 바로 실제 환경에서의 각 센서별 반영비율이 생성되어야 하기 때문이다.
도 8은 위에서 구해진 반영비율의 값이 기록된 테이블의 예이다. 탐지센서의 탐지결과에서 높은 판정 결과가 나오지 않는 경우, 즉 클러스터링 규칙의 경우 테이블에 0으로만 표시된다. 이렇게 하나의 센서에 대한 다른 센서의 의견이 반영되지 않는 것은 그 센서의 알고리즘 상의 문제를 포함하여 여러 원인이 있을 수 있다. 따라서, 각 탐지센서에서 판단한 결과가 적절한 분포를 이루도록 해야 한다.
도 9에 도시된 방사형 그래프에서 방사형 그래프의 축의 의미는 그 센서의 값이 가장 높게 나타났을 때를 나타낸다. 예를 들어 연관규칙 탐지센서가 가장 높게 결과를 내었을 때 시스템 호출 비정상행위가 다음 높고 나머지 HMM센서가 뒤따름을 알 수 있다.
침입의 강도 혹은 정상행위에 대한 위배정도를 조정하기 위해 실시간으로 기록된 각 탐지센서의 로그는 지역 호스트 통합 판정부에서 받아, 앞서 언급한 판정 결과에 대한 신뢰도(λ)가 기록된 파일을 적용한다. 위배정도의 값은 사용자별 큐에 해당 통합판정시간동안에 최고값으로 갱신되면서 입력으로 들어간다. 이때 큐는 사용자별로 각 탐지센서의 개수만큼 생성된다. 앞서 통합 센서에 의해 생성된 탐지센서의 반영비율 행렬에 각 탐지센서의 탐지값(v)을 적용하여 최대값을 최종 판정값으로 결정한다.
즉, 최종 판정값은 아래의 수학식 9와 같다.
도 10에 도시된 바와 같이, 통합 판정부에 의한 실시간 통합 판정은, 각 탐지센서의 로그파일을 읽는 단계(S31), 사용자 아이디별로 신뢰도(λ) 정보를 읽어 위배도 조정과정을 거치는 단계(S32), 신뢰도 데이터가 반영된 탐지센서의 로그 데이터를 각 사용자 아이디별 및 각 탐지센서별로 큐에 추가 갱신하는 단계(S33), 통합 판정부의 통합판정 시간이 일치하는지 확인하는 단계(S34), (일치하지 않는 경우 상기 S32 및 S33 단계를 반복하고,) 일치하는 경우 각 탐지센서의 판정값을 큐에서 꺼내는 단계(S35), 앞서 구한 반영비율을 저장하고 있는 행렬(η')을 적용하여 판정부의 최종판정값을 결정하여 통합 판정부의 로그파일에 저장하는 단계(S36)로 이루어진다.
전송부(101)는 다른 침입탐지 시스템과의 통합 및 확장 시에 탐지된 침입정보를 다른 곳에 전송할 수 있도록 해준다. 이때 전송부(101)는 해당 호스트의 IP 주소를 삽입하여 전송함으로써 다른 침입탐지 시스템 입장에서는 어디에서 일어난 침입행위인지를 알 수 있도록 하고, 또한 호스트별로 연관성 테이블을 생성할 수 있도록 한다.
이상에서 설명한 바와 같이, 본 발명에 의하면, 복수모델의 호스트기반 침입탐지센서들의 탐지정보를 통합 판정부로 보내어 통합 분석함으로써, 침입탐지센서들의 탐지 정보에 대해 신뢰성을 부여하고 복수모델의 침입탐지센서의 탐지 정보를 서로 관련시켜 통합 판정이 가능하다.
또한, 본 발명에 의하면, 호스트 내에서 복수모델의 오용행위와 비정상행위 탐지센서 통합 판정을 통해 탐지 영역을 확대시키고 탐지의 정확성을 크게 향상시킬 수 있다.
이상에서는 본 발명의 특정의 바람직한 실시예에 대하여 도시하고 또한 설명하였다. 그러나, 본 발명은 상술한 실시예에 한정되지 아니하며, 특허청구의 범위에서 청구하는 본 발명의 요지를 벗어남이 없이 당해 발명이 속하는 기술분야에서 통상의 지식을 가진 자라면 누구든지 다양한 변형실시가 가능할 것이다.

Claims (13)

  1. 로컬 네트워크에 전자통신회선을 통해 연결된 다수의 호스트에 있어서, 상기 호스트가, 클라이언트 서버 네트워킹 형식의 에이전트 및 센서부로 구성되고, 상기 에이전트는 상기 센서부에서 탐지된 정보를 통합 판정하는 통합판정부 및 탐지된 결과를 다른 곳으로 전달할 수 있는 전송부로 구성되고, 상기 센서부가 복수 모델의 호스트 기반 비정상행위 탐지센서와 오용행위 탐지센서로 구성되는 것을 특징으로 하는 오용행위와 비정상행위의 통합 판정 기능을 갖는 호스트기반의 통합침입탐지시스템.
  2. 제 1 항에 있어서, 상기 복수 모델의 호스트 기반 비정상행위 탐지센서는 HMM 방식의 비정상행위 탐지센서와 데이터 마이닝 방식의 비정상행위 탐지센서를 포함하는 것을 특징으로 하는 오용행위와 비정상행위의 통합 판정 기능을 갖는 호스트기반의 통합침입탐지시스템.
  3. 제 2 항에 있어서, 상기 HMM 방식의 비정상행위 탐지센서는 각 사용자만의 시스템 호출 순서, 파일 시스템, 및 시스템 호출과 파일 시스템에 대한 비정상행위를 탐지하는 것을 특징으로 하는 오용행위와 비정상행위의 통합 판정 기능을 갖는 호스트기반의 통합침입탐지시스템.
  4. 제 2 항에 있어서, 상기 데이터 마이닝 방식의 비정상행위 탐지센서는 사용자들의 실행 명령어 및 프로그램간의 연관성 도출을 위해 연관규칙과 클러스터링 기법을 사용하여 비정상행위를 탐지하는 것을 특징으로 하는 오용행위와 비정상행위의 통합 판정 기능을 갖는 호스트기반의 통합침입탐지시스템.
  5. 제 1 항에 있어서, 상기 호스트 기반 오용행위 탐지센서는 퍼지 방식과 컬러드 페트리넷 기법을 사용하여 공격 행위를 표현함으로써 명백한 침입행위를 탐지하는 것을 특징으로 하는 오용행위와 비정상행위의 통합 판정 기능을 갖는 호스트기반의 통합침입탐지시스템.
  6. 하나의 호스트 내에서 복수 모델의 비정상행위 탐지센서와 오용행위 탐지센서를 통하여 비정상행위 및 오용행위를 탐지하는 단계(S1);
    탐지된 각각의 비정상행위 및 오용행위 정보간의 반영비율 도출 단계(S2); 및
    상기 탐지된 비정상행위 및 오용행위에 대한 정보와 각각의 정보간의 반영비율을 통합 판정하여 호스트 기반의 침입정보를 생성하는 단계(S3)로 구성되는 것을 특징으로 하는 오용행위와 비정상행위의 통합 판정 기능을 갖는 호스트기반의 통합침입탐지방법.
  7. 제 6 항에 있어서, 상기 단계(S1)에서의 복수 모델의 비정상행위 탐지센서는HMM방식과 데이터 마이닝 방식으로 비정상행위를 탐지하는 것을 특징으로 하는 오용행위와 비정상행위의 통합 판정 기능을 갖는 호스트기반의 통합침입탐지방법.
  8. 제 6 항 또는 제 7 항에 있어서, 상기 단계(S1)에서의 상기 비정상행위 탐지센서는,
    HMM방식으로는 시스템 호출 순서, 파일 시스템, 및 시스템 호출과 파일 시스템에 대한 비정상행위를 탐지하고,
    데이터 마이닝 방식으로는 사용자들의 실행 명령어 및 프로그램간의 연관성을 보는 연관 규칙과 클러스터링 기법의 비정상행위를 탐지하는 것을 특징으로 하는 오용행위와 비정상행위의 통합 판정 기능을 갖는 호스트기반의 통합침입탐지방법.
  9. 제 6 항에 있어서, 상기 오용행위 탐지센서는 퍼지 방식 및 컬러드 페트리넷 방식으로 공격 행위를 표현하여 오용행위를 탐지하는 것을 특징으로 하는 오용행위와 비정상행위의 통합 판정 기능을 갖는 호스트기반의 통합침입탐지방법.
  10. 제 6 항에 있어서, 상기 탐지된 각각의 비정상행위 및 오용행위 정보간의 반영비율 도출 단계(S2)가,
    각 센서에서 탐지된 탐지값에 대한 신뢰도(λ) 파일을 읽고 신뢰도에 기반하여 각 사용자별 정상행위로부터의 위배정도의 값을 사용자의 아이디별로 다시 저장하는 단계(S11);
    각 탐지센서의 로그 파일을 읽는 단계(S12);
    각 탐지센서의 모든 로그 파일을 다 읽었는지 확인하는 단계(S13);
    각 탐지센서의 로그 파일을 모두 읽지 않은 경우 복수 모델의 비정상행위 탐지센서 및 오용행위 탐지센서의 로그를 읽고, 각각의 센서의 통합판정 시간 단위의 로그값 중 최고값을 저장하는 단계(S14);
    저장된 각각의 센서의 통합판정시간 단위의 로그값 중 최고값의 시간을 비교하여 그 시간대 값이 없으면 0으로 처리하고, 있으면 그 값을 따로 저장하는 단계(S15);
    모든 로그 파일을 다 읽은 경우 상기 로그의 최고값들을 센서별로 최고값 행렬에 저장하는 단계(S16); 및
    각 탐지센서별로 다른 센서의 반영비율을 계산하여 저장하는 단계(S17)로 구성되는 것을 특징으로 하는 오용행위와 비정상행위의 통합 판정 기능을 갖는 호스트기반의 통합침입탐지방법.
  11. 제 10 항에 있어서, 상기 단계 (S11)에서 복수 모델의 탐지센서의 값을 통합판정하기 위한 사전 단계로 퍼지를 이용한 다음의 수학식
    에 의해 각 탐지센서의 값을 규율하는 단계를 포함하는 것을 특징으로 하는오용행위와 비정상행위의 통합 판정 기능을 갖는 호스트기반의 통합침입탐지방법.
  12. 제 10 항에 있어서, 상기 각 탐지센서별로 다른 센서의 반영비율을 계산하여 저장하는 단계(S17)가 다음의 수학식
    에 의해 구해지는 반영비율(η)을 구하는 단계(a)와, 상기 반영비율(η)을 구하는 단계(a)를 소정 횟수 반복하여 얻어지는 소정 개수의 반영비율(η)들을 다음의 수학식
    을 이용하여 평균하여 최종의 반영비율(η')을 구하는 단계(b)를 더 포함하는 것을 특징으로 하는 오용행위와 비정상행위의 통합 판정 기능을 갖는 호스트기반의 통합침입탐지방법.
  13. 제 6 항에 있어서, 상기 탐지된 비정상행위 및 오용행위에 대한 정보와 각각의 정보간의 반영비율을 통합 판정하여 침입정보를 생성하는 단계(S3)가,
    각 탐지센서의 로그파일을 읽는 단계(S31);
    각 탐지센서의 로그에 사용자 아이디별로 신뢰도(λ) 정보를 적용하는 단계(S32);
    신뢰도 데이터가 반영된 탐지센서의 로그 데이터를 각 사용자 아이디별 및 각 탐지센서별로 큐에 추가 갱신하는 단계(S33);
    통합 판정부의 탐지 시간을 확인하는 단계(S34);
    탐지 시간을 확인하여 일치하지 않는 경우 상기 단계(S32) 및 단계(S33)를 반복하고, 일치하는 경우 각 탐지센서의 판정값(v)을 큐에서 꺼내는 단계(S35); 및
    상기 반영비율을 저장하고 있는 행렬(η)을 적용하여 통합 판정부의 최종판정값을 결정하여 통합 판정부 로그파일에 저장하는 단계(S36)로 구성되는 것을 특징으로 하는 호스트 기반의 오용행위와 비정상행위의 통합 판정 기능을 갖는 호스트기반의 통합침입탐지방법.
KR10-2002-0045985A 2002-08-03 2002-08-03 오용행위와 비정상행위의 통합 판정 기능을 갖는 호스트기반의 통합침입탐지시스템 및 방법 KR100464598B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR10-2002-0045985A KR100464598B1 (ko) 2002-08-03 2002-08-03 오용행위와 비정상행위의 통합 판정 기능을 갖는 호스트기반의 통합침입탐지시스템 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR10-2002-0045985A KR100464598B1 (ko) 2002-08-03 2002-08-03 오용행위와 비정상행위의 통합 판정 기능을 갖는 호스트기반의 통합침입탐지시스템 및 방법

Publications (2)

Publication Number Publication Date
KR20040013173A true KR20040013173A (ko) 2004-02-14
KR100464598B1 KR100464598B1 (ko) 2005-01-03

Family

ID=37320529

Family Applications (1)

Application Number Title Priority Date Filing Date
KR10-2002-0045985A KR100464598B1 (ko) 2002-08-03 2002-08-03 오용행위와 비정상행위의 통합 판정 기능을 갖는 호스트기반의 통합침입탐지시스템 및 방법

Country Status (1)

Country Link
KR (1) KR100464598B1 (ko)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100449476B1 (ko) * 2002-10-01 2004-09-22 한국정보보호진흥원 오용행위와 비정상행위 통합 판정 기능을 갖는 계층구조의통합침입탐지시스템 및 방법
KR100767589B1 (ko) * 2006-07-20 2007-10-17 성균관대학교산학협력단 디렉티드 디퓨젼 기반의 센서 네트워크를 위한 퍼지 로직침입 탐지 기법
KR100922579B1 (ko) * 2006-11-30 2009-10-21 한국전자통신연구원 네트워크 공격 탐지 장치 및 방법
KR101256671B1 (ko) * 2006-06-16 2013-04-19 주식회사 케이티 침입탐지시스템의 탐지성능 적합성 판정 방법 및 그기록매체

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5533123A (en) * 1994-06-28 1996-07-02 National Semiconductor Corporation Programmable distributed personal security
US6321338B1 (en) * 1998-11-09 2001-11-20 Sri International Network surveillance
KR100310860B1 (ko) * 1998-12-17 2001-11-22 이계철 실시간침입탐지시스템에서의에이전트구조를이용한실시간침입탐지방법
KR20000072707A (ko) * 2000-09-20 2000-12-05 홍기융 실시간 침입탐지 및 해킹 자동 차단 방법
KR100351306B1 (ko) * 2001-01-19 2002-09-05 주식회사 정보보호기술 다양한 침입탐지모델을 사용하는 침입탐지시스템 및 그 방법
KR20020072618A (ko) * 2001-03-12 2002-09-18 (주)세보아 네트워크 기반 침입탐지 시스템
KR20020075319A (ko) * 2002-07-19 2002-10-04 주식회사 싸이버텍홀딩스 지능형 보안 엔진과 이를 포함하는 지능형 통합 보안 시스템

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100449476B1 (ko) * 2002-10-01 2004-09-22 한국정보보호진흥원 오용행위와 비정상행위 통합 판정 기능을 갖는 계층구조의통합침입탐지시스템 및 방법
KR101256671B1 (ko) * 2006-06-16 2013-04-19 주식회사 케이티 침입탐지시스템의 탐지성능 적합성 판정 방법 및 그기록매체
KR100767589B1 (ko) * 2006-07-20 2007-10-17 성균관대학교산학협력단 디렉티드 디퓨젼 기반의 센서 네트워크를 위한 퍼지 로직침입 탐지 기법
KR100922579B1 (ko) * 2006-11-30 2009-10-21 한국전자통신연구원 네트워크 공격 탐지 장치 및 방법
US8095973B2 (en) 2006-11-30 2012-01-10 Electronics And Telecommunications Research Institute Apparatus and method for detecting network attack

Also Published As

Publication number Publication date
KR100464598B1 (ko) 2005-01-03

Similar Documents

Publication Publication Date Title
CN111652496B (zh) 基于网络安全态势感知系统的运行风险评估方法及装置
CN106951984B (zh) 一种系统健康度动态分析预测方法及装置
US7778715B2 (en) Methods and systems for a prediction model
US8037533B2 (en) Detecting method for network intrusion
Garcia-Teodoro et al. Anomaly-based network intrusion detection: Techniques, systems and challenges
US8443443B2 (en) Security system and method for detecting intrusion in a computerized system
CN108809745A (zh) 一种用户异常行为检测方法、装置及系统
CN112822206B (zh) 网络协同攻击行为的预测方法、装置以及电子设备
US7716152B2 (en) Use of sequential nearest neighbor clustering for instance selection in machine condition monitoring
CN112987675A (zh) 一种异常检测的方法、装置、计算机设备和介质
KR102120214B1 (ko) 앙상블 기계학습 기법을 이용한 사이버 표적공격 탐지 시스템 및 그 탐지 방법
CN111970229B (zh) 一种针对多种攻击方式的can总线数据异常检测方法
US20210224383A1 (en) Abnormality detection device
CN110222243A (zh) 确定异常行为的方法、装置和存储介质
CN116668083A (zh) 一种网络流量异常检测方法及系统
CN111586028A (zh) 一种异常登录的评估方法、装置、服务器和存储介质
CN113438239B (zh) 一种基于深度k近邻的网络攻击检测方法及装置
KR100464598B1 (ko) 오용행위와 비정상행위의 통합 판정 기능을 갖는 호스트기반의 통합침입탐지시스템 및 방법
US11665185B2 (en) Method and apparatus to detect scripted network traffic
RU180789U1 (ru) Устройство аудита информационной безопасности в автоматизированных системах
CN111740998A (zh) 一种基于堆叠自编码器的网络入侵检测方法
US20230156043A1 (en) System and method of supporting decision-making for security management
CN114039837B (zh) 告警数据处理方法、装置、系统、设备和存储介质
KR100449476B1 (ko) 오용행위와 비정상행위 통합 판정 기능을 갖는 계층구조의통합침입탐지시스템 및 방법
CN113556353A (zh) 基于大数据的信息监控提醒方法及人工智能云服务系统

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20121218

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20140114

Year of fee payment: 10

LAPS Lapse due to unpaid annual fee