[논문]침입탐지를 위한 X2 거리기반 다변량 분석기법을 이용한 프로그램 행위 프로파일링

김정일; 김용민; 서재현; 노봉남

doi:10.3745/kipstc.2003.10c.4.397

침입탐지를 위한 X2 거리기반 다변량 분석기법을 이용한 프로그램 행위 프로파일링
Profiling Program Behavior with X2 distance-based Multivariate Analysis for Intrusion Detection 원문보기

정보처리학회논문지. The KIPS transactions. Part C Part C, v.10C no.4, 2003년, pp.397 - 404

김정일 (전남대학교 대학원 전산학과) , 김용민 (전남대학교 리눅스시스템 보안연구센터 Post-doc.) , 서재현 (목포대학교 정보공학부) , 노봉남 (전남대학교 컴퓨터정보학부)

초록
AI-Helper

프로그램 행위기반 침입탐지 기법은 데몬 프로그램이나 루트 권한으로 실행되는 프로그램이 발생시키는 시스템 호출들을 분석하고 프로그램 행위 프로파일을 구축하여 잠재적인 공격을 효과적으로 탐지한다. 그러나 각 프로그램마다 매우 큰 프로파일이 구축되어야 하는 문제점이 있다. 본 논문은 프로파일의 크기를 줄이기 위해, 프로그램 행위 프로파일링 및 이상행위 탐지에 X$^2$ 거리기반 다변량 분석 기법을 응용하였다. 실험 결과, 프로파일을 비교적 작게 유지하면서 탐지율에서는 의미있는 결과를 보였다.

Abstract ▼ AI-Helper

Intrusion detection techniques based on program behavior can detect potential intrusions against systems by analyzing system calls made by demon programs or root-privileged programs and building program profiles. But there is a drawback : large profiles must be built for each program. In this paper, we apply $X^2$ distance-based multivariate analysis to profiling program behavior and detecting abnormal behavior in order to reduce profiles. Experiment results show that profiles are relatively small and the detection rate is significant.

주제어

AI 본문요약
AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

본 논문은 프로파일의 크기를 작게 유지하면서 탐지율을 높이기 위해 X2 거리기반다변량분석 기법을 응용하였다. O' 기법에서는 프로그램이 정상적으로 동작할 때 발생시키 는 각 시스템 호출들의 발생 빈도를 측정하여 평균적인 발 상 빈도 분포를 그 프로그램의 행위 프로파일로 구축하고, 乂2 거리기반 다변량 분석 기법을 이용하여 프로파일에서 많이 벗어나는 시스템 호출들을 판별하여 프로그램의 세션별 로 이상행위를 탐지한다.

제안 방법

뉴 멕시코 대학(University of New Mexico)의 Forrest 연 구팀에서는 UNIX 기반 운영체제(특히, Solaris 2.5)데서 루 트 권한으로 실행되고 빈번히 침입 공격의 통로로。.용되는 주요 프로그램들, 즉 sendmail 데몬, ftpd, Ipd, named, inetd 등에 대해서, 이들 프로그램들이 운영되는 도중 발생하는 시스템 호출들을 추적하여 데이터베이스로 구축하였다[18].
정상적인 동작시 수행된 시스템 호출 자료에서 UNM-sen dmai'daemone Forrest 연구팀에서 수집한 것이고, cert- sendmail-daemone CERT에서 수집한 것이다. sendmail 데 몬 프로그램은 장기간 운영되면서 각 메일 관련 서비스를 요청나아 이를 처리하는데, 본 논문에서는 이러한 하나의 처리나정을 세션으로 규정하였다. UNM-sendmail-daemon 의 /우 이러한 세션이 52개로 구성되어 있다.
X? 거리기반 다변량 분석기법을 이용한 프로그램 행위 프 로파일링의 성능을 평가하기 위해 뉴 멕시코 대학의 send- mail 데몬 프로그램의 시스템 호출 자료를 대상으로 실험 하였고, N-gram 기법과 비교 분석하였다.
시스템 호출 정보에는 시스템 호출 종류, 프로세스 번호, 매개 변수 등이 포함되는데 프로그램 행위 프로파일을 간결하게 하기 위해 시스템 호출 종류만을 고려한다. 그리고 프로그 램이 정상적으로 운용될 때 발생한 시스템 호출들을 종류 에 따라 발생 빈도를 측정하기 위해 프로그램이 정상적으 로 동작할 때 발생하는 시스템 호출들을 학습 데이터로 구 성하고, MEWMA(multivariate exponentially weighted moving average technique)[1 기에 따라 학습 데이터내의 각 시스템 호출을 다음과 같이 벡터(X], X% ..., X*)로 표현한다. 여기서 ne 서로 다른 종류의 시스템 호출의 개수이다.
먼저 정상적인 시스템 호출들로 구성된 UNM-sendmaib daemon으로부터 각 시스템 호출을 벡터 X = (X” X2, ..., Xi84)로 표현하여 평균 벡터를 구하고, 이 평균 벡터를 이용하여 각 trace의 X? 거리를 구하였다.<표 2>는 각 trace 의 X?거리를 보여준다.
본 논문에서는 N-gram 기법의 탐지율을 떨어뜨리지 않 으면시, N-gram 기법의 문제점인 프로파일의 크기를 줄이 기 위해 시스템 호출들의 발생 확률에 유의하여 X2 거리기반 다변량 분석 기법을 응용하였다.
본 는문에서는 프로그램 행위 프로파일링에 거리기반 다변량 분석 기법을 적용하여 프로파일의 크기를 작게 유 지하도록 시도하였다. 즉, 여러 시스템 호출 정보 중에서 시스티 호출 종류만을 이용하여, 프로그램이 정상적으로 운 용될 때 발생되는 시스템 호출들을 간결한 형태의 행위 벡 터로 표현하고, X2 거리기반 다변량 분석 기법을 이용하여 세션빌로 이상 행위를 탐지하는 척도를 제시하였다.
이 임계치를 이용하여 각 trace의 SSR을 구하면<표 3>과 같다. 정상행위 의 trace로서 UNM-sendmail-daemone 프로파일 구축에 이용되었기 때문에 제외하고, 또 다른 정상행위의 trace인 cert-sendmail-daemon에 대해 SSR을 구하였고, 이때 SSR 값은 그 trace에 포함된 52개의 세션들의 SSR을 평균한 값 이다.
본 는문에서는 프로그램 행위 프로파일링에 거리기반 다변량 분석 기법을 적용하여 프로파일의 크기를 작게 유 지하도록 시도하였다. 즉, 여러 시스템 호출 정보 중에서 시스티 호출 종류만을 이용하여, 프로그램이 정상적으로 운 용될 때 발생되는 시스템 호출들을 간결한 형태의 행위 벡 터로 표현하고, X2 거리기반 다변량 분석 기법을 이용하여 세션빌로 이상 행위를 탐지하는 척도를 제시하였다. 성능 평가를 위해, UNIX 환경에서 정상적으로 운용된 sendmail 데몬 프로그램의 시스템 호출들과 sendmail 데몬 프 로그리에 각종 공격이 이루어질 때 발생하는 시스템 志출 정보W을 대상으로 실험한 결과, N-gram 기법보다 프로파 일의 크■기는 훨씬 줄이면서 탐지율도 다소 높게 나타났다.

대상 데이터

정상적인 동작시 수행된 시스템 호출 자료에서 UNM-sen dmai'daemone Forrest 연구팀에서 수집한 것이고, cert- sendmail-daemone CERT에서 수집한 것이다. sendmail 데 몬 프로그램은 장기간 운영되면서 각 메일 관련 서비스를 요청나아 이를 처리하는데, 본 논문에서는 이러한 하나의 처리나정을 세션으로 규정하였다.

데이터처리

O' 기법에서는 프로그램이 정상적으로 동작할 때 발생시키 는 각 시스템 호출들의 발생 빈도를 측정하여 평균적인 발 상 빈도 분포를 그 프로그램의 행위 프로파일로 구축하고, 乂2 거리기반 다변량 분석 기법을 이용하여 프로파일에서 많이 벗어나는 시스템 호출들을 판별하여 프로그램의 세션별 로 이상행위를 탐지한다. 성능 평가를 위해 sendmail 프로 그램이 정상적으로 동작할 때 발생하는 시스템 호출들과 공격을 받았을 때 발생하는 시스템 호출들에 대해 실험 결과를 제시하고 N-gram 기법과 비교하여 분석하였다. 실험 결과, 프로파일의 크기는 크게 감소시키면서 N-gram 기법 보다 다소 높은 탐지율을 보였다.

이론/모형

따라서 이러한 시스템 호출들은 정상행위의 시스템 호출들 에 비해 정상행위 프로파일, 즉 정상적인 시스템 호출들의 평균적인 발생빈도로부터 매우 거리가 멀 것이다. 프로그램 의 기대되는 행위로부터 벗어나는 시스템 호출들을 판정하기 위해 X2 거리기반 다변량 분석 기법을 적용한다. 식 (2) 에서 각 변수를 시스템 호출들의 종류, 기대치를 발생빈도 평균벡터, 관측치를 발생한 시스템 호출로 대체하여 다음과 같이 X? 거리를 계산한다.

성능/효과

08에 이르렀을 때 비로소 100%의 탐지율을 보인다. 결과적으로 다변량 분석 기법의 경우, N-gram 기법에 비해 더 적은 오탐율 상에서 온전한 탐지율(100%)에 수렴함을 확인할 수 있다. 즉, 다변 량 분석 기법은 최종 이상행위 임계값에 대해 N-gram 기 법보다 덜 취약하다고 할 수 있다.
즉, 여러 시스템 호출 정보 중에서 시스티 호출 종류만을 이용하여, 프로그램이 정상적으로 운 용될 때 발생되는 시스템 호출들을 간결한 형태의 행위 벡 터로 표현하고, X2 거리기반 다변량 분석 기법을 이용하여 세션빌로 이상 행위를 탐지하는 척도를 제시하였다. 성능 평가를 위해, UNIX 환경에서 정상적으로 운용된 sendmail 데몬 프로그램의 시스템 호출들과 sendmail 데몬 프 로그리에 각종 공격이 이루어질 때 발생하는 시스템 志출 정보W을 대상으로 실험한 결과, N-gram 기법보다 프로파 일의 크■기는 훨씬 줄이면서 탐지율도 다소 높게 나타났다.
성능 평가를 위해 sendmail 프로 그램이 정상적으로 동작할 때 발생하는 시스템 호출들과 공격을 받았을 때 발생하는 시스템 호출들에 대해 실험 결과를 제시하고 N-gram 기법과 비교하여 분석하였다. 실험 결과, 프로파일의 크기는 크게 감소시키면서 N-gram 기법 보다 다소 높은 탐지율을 보였다.
ne 벡터의 크기이다. 즉, 두 기법 므두 시 간복잡도는 프로파일의 크기에 비례하는데, 다변량 븐석 기법을 이용하여 프로파일의 크기를 작게 유지하면서 결과적 으로 시간복잡도를 줄일 수 있다. 이는 실시간 침입탐지 측면에서 다변량 분석 기법이 더 유리하다고 할 수 있다.

후속연구

향후 연구과제로서 UNIX 환경에서 빈번히 공격의 대상 이 되그 있는 다른 프로그램들에 대해서도 실험을 확대할 것이고, 프로그램이 전형적으로 수행하는 다양한 행위들을 고려하여 각각의 전형적인 행위들에 대한 시스템 호출들간의 특징을 도출하여 탐지율과 탐지의 적시성(timely alarm) 을 향상시키는 방안에 대해 연구하는 것이다.

참고문헌 (18)

S. Axelsson, 'Intrusion detection systems: A survey and taxonorny,' Technical report. Department of Computer Engneering, chalmers University of Technology, Goteborg, Sweden, 2000
S. Noel, D. Wijesekera and C. Youman, 'Modem Intrusion Lctection, Data Mining, and Degrees of Attack Guilt,' Applications of Data Mining in Computer Security, Kluwer Academic Publishers, 2002
S. Kumar and E. H. Spafford, 'A Software Architecture to Support Misuse Intrusion Detection,' Proceedings of the 18th National Information Security Conference, pp.194-204, 1995
A. K. Ghosh, A. Schwarzbard and M. Shatz, 'Learning program behavior profiles for intrusion detection,' Proceedings of the 1st UNENIX Workshop on Intrusion Detection and Network Monitoring, April, 1999
C. Krugel, T. Toth and E. Kirda, 'Service Specific Anomaly Detection for Network Intrusion Detection,' Symposium on Applied Computing (SAC), ACM Digital Library, March 2002
A. K. Ghosh, J. Wanken and F. charron, 'Detecting anomalous and unknown intrusions against programs,' Proceedings of the 1998 Annual computer Security Applications conference(ACSAC '98), 1998
S. Forrest, S. Hofmeyr, A. Somayaji and T. Longstaff, 'A sense of self for unix processes, In IEEE Symposium on Security and privacy,' pp.120-128, 1996
S. A. Hofrneyr, A. Somayaji and S. Forrest, 'Intrusion Detection using Sequences of System Calls,' Journal of Computer Security, Vol.6, pp.151-180, 1998

상세보기
C. Warrender, S. Forrest and B. Pearlmutter, 'Detecting Intrusions Using System Calls: Alternative Data Models,' 1999 IEEE Symposium on Security and Privacy, pp.133-145, 1999
C. Ko, G. Fink and K. Levitt, 'Execution monitoring of security-critical programs in distributed systems : A specificatin-based approach,' Proceedings of the 1997 IEEE Symposium on Security and Privacy, pp.134-144, 1997
C. Ko, G. Fink, K. Levitt, 'Automated Detection of Vulnerabilities in Privileged Programs by Execution Monitoring,' Proceedings of the 1994 Computer Security Applications Conference, 1994
D. Wagner and R. Dean, 'Intrusion detection via static analysis,' In IEEE Symposium on Security and Privacy, IEEE Computer Society, 2002
A. Wespi, M. Dacier and H. Debara, 'Intrusion detection using variable-length audit trail patterns,' Recent Advances in Intrusion Detection(RAID 2000), pp.110-129, 2000
W. Lee and S. Stolfo, 'Learning Patterns from Unix Process Execution Traces for Intrusion Detection,' AAAI Workshop: AI Approaches to Fraud Detection and RISK Management, pp.50-56, July, 1997
N. Ye, Q. Chen, S. Vilbert, 'Multivariate Statistical Analysis of Audit Trails for Host-Based Intrusion Detection,' IEEE Transactions of computers, Vol.51, No.7, pp.810-820, July, 2002

상세보기
D. Montgomery, 'Introduction to Statistical Quality Control,' John wiley & Sons, 2000
C. A. Lowry, W. H. Woodall, C. W. Champ and S. E. Rigdon, 'A Multivariate Exponentially Weighted Moving Average Chart,' Technometrics, 34, pp.46-53, 1992

상세보기
S. Forrest, Computer immune systems data sets, http://www.cs.unm.edu/~immsec/data-sets.htm. 1997

저자의 다른 논문 :

표제어: PCR

동의어: Packet Collision Rate

용어 설명 출처 목록 (6)

용어 설명: PCR은 세균 특이성이 있는 primer를 이용하여 적은 수의 세균이 있을지라도 쉽게 검출할 수 있는 유용한 방법이며, 이를 이용하여 구강 내 치면세균막이나 타액에서 직접 세균을 검출할 수 있게 되었다[8].

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증