[논문]Misuse IDS의 성능 향상을 위한 패킷 단위 기계학습 알고리즘의 결합 모형

원일용; 송두헌; 이창훈

doi:10.3745/kipstc.2004.11c.3.301

문제 정의

이러한 결합 방법이 실제환경에서 얼마나 효과적인지를 정략적으로 측정하는 실험은 Darpa 1998년 data와 1999년 data를 이용하여 측정하였는더〕, 그 구현과정과 확장된 모델의 내용이 많아, 이 논문과는 별도의 실험 논문으로 구성하였다. 다만 본 논문에서는 snort와 XIBL의 결합에 의해 침입 탐지의 전체 성능을 향상시킬 수 있는 방법이 존재한다는 것을 증명하는 것과, 이것을 만족시키는 모델을 제시하는 것이 주 목적이다. 여기서 주의해야 할 것은 본 논문에서 사용한 침입 탐지 성능의 향상이라 함은 단순히 정확도의 수 치적증가를 의미하지 않고 오경보의 줄임을 의미한다.
Snort 자체로는 이것이 첫째 유형인지, 둘째 유형인지 분류하는 것이 불가능하다. 본 논문은 XIBL이 패킷 단위로 정상 및 비정상을 판단할 수 있다는 특성을 이용하여 snort에서의 alarm이 발생했을 때 그것이 어떤 유형인지를 XIBL이 판단 할 수 있는 모형을 제시하고자 한다.
지면의 제약상 전체 실험결과 중 일부만 표시하였다. 이 분석의 목적은 Snort가 인식하는 비정상에 대하여 XIBL의 행동 양식을 관찰하기 위한 것이다. 특히 각각의 공격에서 관측되는 패킷의 크기가 일정 하지 않은 이유는 대부분의 공격 유형이 공격의 끝과 시작이 명확하게 정해져 있지 않고 공격자가 임의의 시간동안에 공격을 행했기 때문이다.
snort가 인식한 경우와 인식하지 못한 경우를 모두 포함하여 계산하였다. 이 분석의 목적은 Snort에서 잘못된 alarm이 발생했을 때, 이것에 대한 XIBL의 행동 양식을 관찰하는 것이다.
이 실험의 목적은 Snort alarm에 대한 XIBL의 행동 분석으로 각 공격 타입별로 진성경보와 오경보 사이 서로 구별될 수 있는 패턴이 존재하는가 인데, 만약 존재한다면 위에서 제안한 결합 모형이 그 논리적 타당성을 가지고 있음을 알 수 있다.
여기서 주의해야 할 것은 본 논문에서 사용한 침입 탐지 성능의 향상이라 함은 단순히 정확도의 수 치적증가를 의미하지 않고 오경보의 줄임을 의미한다. 즉 본 논문에 제시된 모델의 주 목적은 Misuse system과 학습 기반 anomaly system의 결합으로 Misuse System의 오경보를 줄이는 것이 주된 목적인 것이다. 또한 이런 모델의 적용은 어느 정도 진성경보률의 희생을 요구한다.

제안 방법

Snort 에서 alarm이 발생하면 Snort의 로그를 통해서 공격 유형을 알 수 있고 이 유형에 따라 이 공격과 관련된 패킷의 평균 길이를 측정할 수 있다. Alarm이 발생한 시점을 기준으로 해당 공격의 패킷 길이만큼을 역추적하여 XIBL을 이용하여 각각의 패킷에 대한 특성을 분류한 후, 측정값에서 비정상 및 정상에 대한 비율을 측정한다. 이렇게 측정된 값이 특정 기준 이상을 넘어 서면 첫째 유형의 alarm이라고 판단하고, 그렇지 않으면 둘째 유형이라고 판단한다.
또 공격유형 명칭 뒤쪽에 첨가된 postfix TNe true negative(Snort가 공격을 공격이라고 한 경우)를 의미하며, FP는 false positive(Snort가 정상을 공격이라고 오인한 경우)를 의미한다. Back 유형은 5회, phf 6회, portsweep 13회, satan 23회의 snort alarm에 대한 XIBL의 비정상 정도를 측정하였다.
XIBL Alert 결과를 실험하였다. Snort에서 Alert이 발생하면 해당 공격 타입을 조사하여 해당 길이에 해당하는 만큼 XIBL의 Alert를 측정하였다.
전체 자료 중 30% 자료는 XIBL의 특성 및 성능을 측정하기 위한 용도이고, 나머지 70%는 XIBL의 Training을 위해 사용하였다. Training data는 10개의 폴더로 나누어 10CV(Cross Validation) 를 시행하고, 이 중 가장 성능이 우수한 경우의 PCD를 학습 지식으로 지정하였다. 이렇게 선택된 PCD와 전체자료를 이용하여 앞장에서 제안된 모델의 가능성 실험을 실시하였다.
XIBL만의 정상 및 비정상 탐지 능력을 실험하기 위해, 전체 실험 자료 중 70%로 training을 실시하고 나머지 30% 로 성능을 test하였으며, 공격로그에서 추출된 자료는 모두 공격으로 라벨링하였고- 즉 어떤 공격이 10개의 패킷으로 이루어져 있다면 이 10개의 패킷을 모두 공격이라고 라벨링 하였다 - 정상로그에서 추출된 자료는 모두 정상으로 라벨링 하였다. 이렇게 구분된 실험 자료를 XIBL에서 Test 하였을 때, 공격이라고 라벨링 된 것을 공격이라고 판단한 것은 전제 공격 자료의 68.
실험에서 사용된 각종 인수는 다음과 같다. XIBL의 패킷별 정상, 비정상 판단을 위한 PCD 내 참조 인스턴스 수는 voting 등의 다른 변수를 제거하기 위하여 1로 두었고, 결합 모형의 역추적 패킷수는 사전 공격 유형별 평균 패킷 수에 근거하여 100으로 두었다.
발생 시켰다. 동일한 data를 XIL로 보내고 Snort가 공격이라고 alarm 한 시점을 기준으로, 공격 data에서 관측된 back 유형의 평균적 패킷 4881개에 대한 XIBL의 반응을 조사하여, 비정상 비율이 0.67%임을 관측한 것이다. 각 공격유형의 패킷 평균 길이는.
xe 최근에 나온 것이므로 darpa에서 제공하는 1998, 1999, 2000년의 모든 공격 들을 다 인식할 만큼 룰이 확장되어 있다. 따라서 1998, 1999년 data를 가지고 제안된 아이디어를 실험하기 위해서는 실험용 data와 비슷한 시기거나 더 앞선 rule로 운영되고 있는 snort버전이 필요하므로 구 버전(1.8.1)을 사용하였다. 또 구버전의 룰 환경 설정은 snort.
여기에 대해서는 많은 연구가 진행되고 있지만 아직 가장 효율적인 방법은 알려지지 않고 있다. 본 논문에서 네트워크의 상태를 모델링 하기 위해 사용한 방법은 패킷 하나에 학습 자료 하나를 생성하는 방법을 사용하였다. 이러한 방법은 본 논문에서 제안 하는 패킷 단위의 행동모형을 적용하기에 가장 적합하기 때문이다.
1)[1이을 사용하였고, 학습 기법에서는 IBL (Instance Based Leaming)[ll]을 확장한 XIBL을 사용하였다. 본 논문에서 제시하는 결합 모델은 Snort에서 alarm0] 발생하면 이 시점을 기준으로 일정 크기만큼 패킷을 역추적한다. 그리고 이 패킷들에 대한 IBL의 Alert 패턴을 검사하여 Snort의 Alert에 대한 신뢰도를 정밀하게 측정하는 방식이다.
본 논문에서는 Snort에서 공격 alarm이 발생한 시점을 중심으로 특정 크기의 패킷에 대하여 XIBL로 패킷의 행동 양식을 역추적 평가하고, 정상 및 비정상 클래스의 비율을 측정하여 Snort의 alarm에 대한 진성경보와 오경보를 구분하는 모형을 제시하였다. 이러한 구조로 Snort의 모든 false positive를 줄일 수는 없지만, Snort를 단독으로 운영하는 것보다는 훨씬 효과적이라고 할 수 있다.
본 절에서는 Snort에 각종 공격 data를 보냈을 때, snort 에서 공격을 정확하게 잡아내는 경우(time alarm)에 대하여 실험하였다. <표 3>은 총 82개의 공격 중 Snort에서 바르게 Alert을 발생시킨 35개의 공격유형에 대한 XIBL의 Alert 결과의 일부를 보여준다.
본 절에서는 실험 자료 중 정상 자료를 Snort에게 보냈을 때, Snort가 공격이라고 오인한 alarm에(False positive) 대한 XIBL Alert 결과를 실험하였다. Snort에서 Alert이 발생하면 해당 공격 타입을 조사하여 해당 길이에 해당하는 만큼 XIBL의 Alert를 측정하였다.
Training data는 10개의 폴더로 나누어 10CV(Cross Validation) 를 시행하고, 이 중 가장 성능이 우수한 경우의 PCD를 학습 지식으로 지정하였다. 이렇게 선택된 PCD와 전체자료를 이용하여 앞장에서 제안된 모델의 가능성 실험을 실시하였다.
패킷이 발생 하면 규칙 체인들은 양쪽방향에서 각각의 패킷에 대하여 재귀적으로 검색된다. 탐지 엔진은 실행시기에 규칙 Parser에 의해 활성화된 체인 옵션들만을 검사한다. 탐지 엔진에서 decoding된 패킷과 일치하는 첫 규칙은 규칙 선언에서 정의된 동작을 발생시킨다.
한 개의 자료를 구성하는 각각의 attribute 및 가능한 값들은<표 2>에 설명하였다. 특히 Address Typee 실험용 가상네트워크 (DARPA)를 고려해서 구분 하였으며, Port Typee 일반적으로 자주 사용되는 echo, ftp data, 仕p, telnet, smtp, tftp, gopher, http, rtelnet, pop3, snmp, ipx, https, telnets, pop3sx, wins와 나머지를 etcport로 구분하였다. 패킷의 발생 근원지에 따라 inbound, outbound로 구분하였는데, inbound라 함은 패킷의 발생지가 내부 네트워크 즉 침입탐지 시스템이 설치되어 운용되고 있는 home network를 '의미한다.

대상 데이터

실험 학습에 사용된 총 비정상 패킷은 44726개였고 정상은 45453개였으며 최적 PCD는 약 8%(정상 365 비정상 294)를 포함하며, 집합의 적응도(Fitting Rate)는 99.4%였다.
DARPA data에는 약 200여 개의 unknown type 공격이 Snort를 통해 탐지되는 바, 유형별 적용 문제는 이론적 논거보다는 구현 상의 문제 성격이 더 강하다. 이러한 결합 방법이 실제환경에서 얼마나 효과적인지를 정략적으로 측정하는 실험은 Darpa 1998년 data와 1999년 data를 이용하여 측정하였는더〕, 그 구현과정과 확장된 모델의 내용이 많아, 이 논문과는 별도의 실험 논문으로 구성하였다. 다만 본 논문에서는 snort와 XIBL의 결합에 의해 침입 탐지의 전체 성능을 향상시킬 수 있는 방법이 존재한다는 것을 증명하는 것과, 이것을 만족시키는 모델을 제시하는 것이 주 목적이다.

데이터처리

그리고 이 패킷들에 대한 IBL의 Alert 패턴을 검사하여 Snort의 Alert에 대한 신뢰도를 정밀하게 측정하는 방식이다. 이러한 모델은 Misuse IDS를 주 시스템으로 학습기반 IDS를 보조적으로 사용하고자 하는 실제 환경의 요구사항과도 부합되며, 성능 또한 Misuse IDS를 단독으로 사용하는 것보다 향상 될 수 있음을 DARPA 1998 data set [12] 분석을 통하여 실증하였다.

이론/모형

Packet Decoder0!] 발생한 패킷을 data link lay er 에서 application layer 까지 순차적으로 processing한다. Snort는 체인 헤더와 체인 옵션이라고 불리는 2차원 linked-list 형태로 탐지 규칙을 사용한다. 이 규칙들은 체인 헤더에 있는 공통적인 속성들과 체인 옵션에 포함되어 있는 탐지 옵션들로 표현된다.
5는 attribute를 기반으로 많은 사례를 통해서 이를 효율적으로 판단할 수 있는 attribute의 결정트리(Decision Tree)를 만든다. 결정 트리를 생성하기 위해 data set의 모든 속성 필드의 속성값에 따른 엔트로피를 구하고, 이때 계산된 엔트로피 중 가장 낮은 값을 가지는 항목을 root node 로 두고, 이것을 기반으로 다른 항목들의 사례를 나누는 Divide and Conquer 기법을 사용한다. 이러한 과정을 반복하여 전체 트리를 구성하여 하나의 leaf가 하나의 규칙 또는 패턴을 형성하는 것이다.
둘째, IBL은 noise에 민감한데 이 문제를 해결하기 위해 수학적 통계에 근거를 두고 있는 Leave-one out[16] noise 필터를 적용하였다.
본 논문은 Misuse IDS와 학습 기반 IDS를 행동 기반 분석 기법으로 결합하는 모형에 관한 연구로 Misuse System 으로는 Snort (1.8.1)[1이을 사용하였고, 학습 기법에서는 IBL (Instance Based Leaming)[ll]을 확장한 XIBL을 사용하였다. 본 논문에서 제시하는 결합 모델은 Snort에서 alarm0] 발생하면 이 시점을 기준으로 일정 크기만큼 패킷을 역추적한다.
셋째, attribute 가중치 값을 지정하는 방법에서 IB4가 채택한 학습 중의 reward/penalty 부여법 대신 통계적으로 검증된 backward stepwise regression0)] 의한 attribute 가치판단 기법을 적용하였다.
가중치가 높다. 이러한 것을 반영하기 위해 XIBL에서는 이산형 데이터의 거리를 0과 1 사이의 연속 값으로 나타낼 수 있는 Value Difference Metric(VeM)[15]을 적용하였다.

성능/효과

그 시점을 기준으로 XIBL로 비정상 정도를 측정한다고 했을 때, 관리자는 XIBL의 비정상도가 65% 이상 일 때만 공격이라고 결정하였다고 흐}자. ri렇다면 위의 실험 결과에 의하면 satan과 관련하여 Snort가 내는 모든 진성경보는 alarm되고 snort가 내는 모든 오경보는 alarm되지 않아 전체적으로 볼 때, Snort만을 사용하여 alarm하는 경우와 동일한 진성 경보 율을 유지하면서 오경보율은 100% 줄일 수 있음을 알 수 있다. 그러나 이러한 방법으로 모든 Snort alarm에 대한 정확한 판단이 가능하다고 할 수는 없다.
IBL의 클래스 결정 알고리즘은 단순히 새로 들어온 데이터와 가장 유사한 k개의 PCD 내의 인스턴스를 찾아 그들의 클래스 분포에 따라 입력된 인스턴스의 클래스를 결정한다. 이 알고리즘은 많은 문제에서 C₄.5와 필적할 만한 정확도를 보이며 학습 속도는 C₄.5 보다는 느리지만 학습된 결과에 따른 새 데이터의 검증 속도 및 자료 변화에 따른 안정성 등에서는 우수하다.
org에서 배포하는 기본 설정을 그대로 사용하였다. 제안된 논문의 핵심은 결합모델이며, misuse system의한 예로 snort를 사용한 것이므로, snort 가 어떤 공격은 인식하고 어떤 공격은 인지하지 못하게 룰 설정을 하였는지는 중요한 쟁점이 아니고, 각종 공격을 적당하게 인식하거나 인식하지 못하도록만 설정된 환경이라면, 그것이 snort 아닌 다른 어떠한 misuse IDS라도 실험에는 적합하다고 할 수 있다. 즉 misuse system과 학습기반 anomaly system의 결합이 초점이다.
첫째, 인스턴스사이의 거리 계산에서 이산형 자료의 경우 IBLe 그 결과가 0 또는 1 로 표시되기 때문에, 실수형 attribute/} 정규화에 따라 0과 1 사이의 값을 갖는 것에 비해 실질적 가중치가 높다. 이러한 것을 반영하기 위해 XIBL에서는 이산형 데이터의 거리를 0과 1 사이의 연속 값으로 나타낼 수 있는 Value Difference Metric(VeM)[15]을 적용하였다.
사용하는 것보다 효과적이다. 학습 기반 방식이 Misuse 방식과 결합하기 위해서는 네트워크 상태를 패킷 단위로 분석하는 방법이 유효하며, 학습 알고리즘적인 면에서 IBL 은 C₄.5 계열에 비하여 안정적인 학습 능력을 제공하므로, 침입탐지 영역에서의 학습 알고리즘으로 더 적합하다.

후속연구

필요하다. 또 Snort가 탐지하지 못하는 공격 유형을 탐지 할 수 있는 새로운 방법의 연구도 병행되어야 결합 모형의 효용성이 더욱 증대될 수 있다.
추후 과제는 이러한 모형을 기반으로 실제 시스템에 적용하고, 그 시스템의 성능을 정량적으로 측정해 보는 작업이 필요하다. 또 Snort가 탐지하지 못하는 공격 유형을 탐지 할 수 있는 새로운 방법의 연구도 병행되어야 결합 모형의 효용성이 더욱 증대될 수 있다.

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증

Misuse IDS의 성능 향상을 위한 패킷 단위 기계학습 알고리즘의 결합 모형
A Hybrid Model of Network Intrusion Detection System : Applying Packet based Machine Learning Algorithm to Misuse IDS for Better Performance 원문보기

초록
AI-Helper

Abstract ▼ AI-Helper

주제어

AI 본문요약
AI-Helper

문제 정의

제안 방법

대상 데이터

데이터처리

이론/모형

성능/효과

후속연구

참고문헌 (17)

이 논문을 인용한 문헌

저자의 다른 논문 :

관련 콘텐츠

원문 보기

원문 URL 링크

오픈액세스(OA) 유형

연관된 기능

이 논문과 함께 이용한 콘텐츠

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

선택된 텍스트

연합인증

Misuse IDS의 성능 향상을 위한 패킷 단위 기계학습 알고리즘의 결합 모형 A Hybrid Model of Network Intrusion Detection System : Applying Packet based Machine Learning Algorithm to Misuse IDS for Better Performance 원문보기

초록 용어보기논문에서 용어와 풀이말을 자동 추출한 결과로, 시범 서비스 중입니다. AI-Helper

Abstract ▼ AI-Helper

주제어

AI 본문요약 엑셀 다운로드 AI-Helper

문제 정의

제안 방법

대상 데이터

데이터처리

이론/모형

성능/효과

후속연구

참고문헌 (17)

이 논문을 인용한 문헌

저자의 다른 논문 :

원일용 (4) 송두헌 (24) 이창훈 (31)

관련 콘텐츠

원문 보기

원문 URL 링크

오픈액세스(OA) 유형

연관된 기능

이 논문과 함께 이용한 콘텐츠

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

선택된 텍스트

Misuse IDS의 성능 향상을 위한 패킷 단위 기계학습 알고리즘의 결합 모형
A Hybrid Model of Network Intrusion Detection System : Applying Packet based Machine Learning Algorithm to Misuse IDS for Better Performance 원문보기

초록
AI-Helper

AI 본문요약
AI-Helper