웹 로그 고속 전처리 및 SOM 알고리즘을 이용한 웹 이상탐지 기법 A Study on Web Anomaly Detection Method Using the High-Speed Web Log Preprocessing with Self-Organizing Map Algorithm원문보기
웹 서비스는 ‘제2의 인터넷 혁명’으로까지 평가되고 있으며, 현대 인터넷 이용의 상당 부분을 차지하고 있다. 또한 웹 2.0 시대를 맞이하여 웹 환경 및 서비스는 더욱더 발달할 것이다. 그러나 웹 서비스는 개방형 서비스로 정보 공유가 개발 당시의 목적 이였다. 그에 따라 해킹 사고 또한 급증하고 있으며, 2007년 3월 네트워크타임즈 보안 관련 세미나 조사 자료에 의하면 웹 해킹이 ...
웹 서비스는 ‘제2의 인터넷 혁명’으로까지 평가되고 있으며, 현대 인터넷 이용의 상당 부분을 차지하고 있다. 또한 웹 2.0 시대를 맞이하여 웹 환경 및 서비스는 더욱더 발달할 것이다. 그러나 웹 서비스는 개방형 서비스로 정보 공유가 개발 당시의 목적 이였다. 그에 따라 해킹 사고 또한 급증하고 있으며, 2007년 3월 네트워크타임즈 보안 관련 세미나 조사 자료에 의하면 웹 해킹이 컴퓨터 보안에 가장 위협이 되는 취약점으로 조사되었다. 현재 웹 해킹을 탐지하기 위해서는 웹 로그의 분석이 중요한 단서 역할을 하며, 실제 웹 로그 분석을 통해 웹 서비스의 취약점을 인식하고 보완하는 사례가 늘어나도 있다. 이처럼 웹 로그의 분석은 웹 이상 탐지에 주요한 역할을 차지하고 있다. 그러나 웹 로그의 효과적인 분석을 위해서는 전처리 과정이 필수적이며, 공격 탐지 목적에 맞는 전처리알고리즘이 중요한 사항으로 고찰 되어야한다. 그러므로 본 논문에서는 웹 이상 탐지를 위한 고속화된 전처리 알고리즘의 개발을 통해 웹 로그 이상 문자열 탐지 및 SOM 알고리즘을 이용한 웹 DoS 공격 탐지 기법을 제안 한다. 고속 전처리 알고리즘을 이용한 웹 로그 이상 문자열 탐지에서는 웹 로그의 인덱스 기법을 적용한 중복 문자열 처리 및 인덱스의 B-트리 구조를 구성해 이상 문자열 탐지의 성능을 향상 시켰다. 또한 SOM알고리즘을 이용한 이상 탐지 에서는 BMU(Best Matching Unit)의 발생 빈도를 조사해 발생 빈도가 가장 높은 유닛을 이상(Abnormal) 유닛으로 가정하여 입력 데이터의 BMU 비교를 통한 이상 탐지 기법을 제안했다. 제안한 기법의 검증은 탐지율과 False Positive, False Negative의 조사를 통해 이루어 졌고, 전체 데이터에서의 이상 데이터 비율 및 맵 사이즈의 비교 평가를 통해 이상 데이터 비율에 따른 공격탐지를 위한 최적의 맵 사이즈를 보여주었다.
웹 서비스는 ‘제2의 인터넷 혁명’으로까지 평가되고 있으며, 현대 인터넷 이용의 상당 부분을 차지하고 있다. 또한 웹 2.0 시대를 맞이하여 웹 환경 및 서비스는 더욱더 발달할 것이다. 그러나 웹 서비스는 개방형 서비스로 정보 공유가 개발 당시의 목적 이였다. 그에 따라 해킹 사고 또한 급증하고 있으며, 2007년 3월 네트워크타임즈 보안 관련 세미나 조사 자료에 의하면 웹 해킹이 컴퓨터 보안에 가장 위협이 되는 취약점으로 조사되었다. 현재 웹 해킹을 탐지하기 위해서는 웹 로그의 분석이 중요한 단서 역할을 하며, 실제 웹 로그 분석을 통해 웹 서비스의 취약점을 인식하고 보완하는 사례가 늘어나도 있다. 이처럼 웹 로그의 분석은 웹 이상 탐지에 주요한 역할을 차지하고 있다. 그러나 웹 로그의 효과적인 분석을 위해서는 전처리 과정이 필수적이며, 공격 탐지 목적에 맞는 전처리 알고리즘이 중요한 사항으로 고찰 되어야한다. 그러므로 본 논문에서는 웹 이상 탐지를 위한 고속화된 전처리 알고리즘의 개발을 통해 웹 로그 이상 문자열 탐지 및 SOM 알고리즘을 이용한 웹 DoS 공격 탐지 기법을 제안 한다. 고속 전처리 알고리즘을 이용한 웹 로그 이상 문자열 탐지에서는 웹 로그의 인덱스 기법을 적용한 중복 문자열 처리 및 인덱스의 B-트리 구조를 구성해 이상 문자열 탐지의 성능을 향상 시켰다. 또한 SOM알고리즘을 이용한 이상 탐지 에서는 BMU(Best Matching Unit)의 발생 빈도를 조사해 발생 빈도가 가장 높은 유닛을 이상(Abnormal) 유닛으로 가정하여 입력 데이터의 BMU 비교를 통한 이상 탐지 기법을 제안했다. 제안한 기법의 검증은 탐지율과 False Positive, False Negative의 조사를 통해 이루어 졌고, 전체 데이터에서의 이상 데이터 비율 및 맵 사이즈의 비교 평가를 통해 이상 데이터 비율에 따른 공격탐지를 위한 최적의 맵 사이즈를 보여주었다.
Web-Services go even so far as to be regarded as 'the 2nd internet revolution'. And they secure the most solid position on using the modern internet. Also, Web-environments and Web-services would develop more and more, in the Web' 2.0 era. However, such Web-services have originally been devised to s...
Web-Services go even so far as to be regarded as 'the 2nd internet revolution'. And they secure the most solid position on using the modern internet. Also, Web-environments and Web-services would develop more and more, in the Web' 2.0 era. However, such Web-services have originally been devised to share information as open services. In connection with it, hacking incidents have surged. According to the Network Times seminar study data as to security, in March 2007, Web-hacking has been demonstrated to pose the greatest threat and vulnerability to computer security. Currently, Web-log analysis plays a crucial clue role in detecting Web-hacking. A growing number of cases are really related to perceiving and improving the weakness of Web-services based on Web-log analysis. Such as this, Web-log analysis plays a central role in finding out problems that Web has. But, the entire processing process is indispensable for conducting the effective analysis on Web-log. And, the entire processing algorithm must be taken the important consideration. Hence, Our research thesis suggests Web-DoS-hacking detective technique with the aid of string and SOM algorithm tools necessary for detecting problems in Web-log, developing the high-speed entire processing algorithm to detect problems of Web. In detecting problems of Web-log through string tool and high-speed algorithm, the index B-Tree Structure along with double string process appling Web-log index technique, contributed to improving the string detection functions. In the process of detecting such problems through SOM algorithm, the emergence frequency of BMU(Best Matching Unit) was studied, assuming the unit with the highest emergence frequency, as abnormal, and the problem- detection technique was recommended through the comparison of what's called BMU as input data. The test of the recommended technique and study of False Positive and False Negative were administered through detection rate Through the comparative assessment on the abnormal data rate and map-size among entire data, the map-size for hacking detection in accordance with the abnormal data rate showed the change.
Web-Services go even so far as to be regarded as 'the 2nd internet revolution'. And they secure the most solid position on using the modern internet. Also, Web-environments and Web-services would develop more and more, in the Web' 2.0 era. However, such Web-services have originally been devised to share information as open services. In connection with it, hacking incidents have surged. According to the Network Times seminar study data as to security, in March 2007, Web-hacking has been demonstrated to pose the greatest threat and vulnerability to computer security. Currently, Web-log analysis plays a crucial clue role in detecting Web-hacking. A growing number of cases are really related to perceiving and improving the weakness of Web-services based on Web-log analysis. Such as this, Web-log analysis plays a central role in finding out problems that Web has. But, the entire processing process is indispensable for conducting the effective analysis on Web-log. And, the entire processing algorithm must be taken the important consideration. Hence, Our research thesis suggests Web-DoS-hacking detective technique with the aid of string and SOM algorithm tools necessary for detecting problems in Web-log, developing the high-speed entire processing algorithm to detect problems of Web. In detecting problems of Web-log through string tool and high-speed algorithm, the index B-Tree Structure along with double string process appling Web-log index technique, contributed to improving the string detection functions. In the process of detecting such problems through SOM algorithm, the emergence frequency of BMU(Best Matching Unit) was studied, assuming the unit with the highest emergence frequency, as abnormal, and the problem- detection technique was recommended through the comparison of what's called BMU as input data. The test of the recommended technique and study of False Positive and False Negative were administered through detection rate Through the comparative assessment on the abnormal data rate and map-size among entire data, the map-size for hacking detection in accordance with the abnormal data rate showed the change.
주제어
#컴퓨터 보안 웹 보안 웹 침입탐지 이상탐지 웹 로그 전처리 Self-Organazing Map (SOM) Computer Security Web Security Web Intrusion Detection Anomaly Detection Web Log Preprocessing
학위논문 정보
저자
서종원
학위수여기관
한신대학교 대학원
학위구분
국내석사
학과
컴퓨터정보학과 정보보호
지도교수
이형우
발행연도
2008
총페이지
VIII, 72 p.
키워드
컴퓨터 보안 웹 보안 웹 침입탐지 이상탐지 웹 로그 전처리 Self-Organazing Map (SOM) Computer Security Web Security Web Intrusion Detection Anomaly Detection Web Log Preprocessing
※ AI-Helper는 부적절한 답변을 할 수 있습니다.