[논문]네트워크 공격 분석을 위한 마이닝 프로토타입 시스템 구현

김은희; 신문선; 류근호

doi:10.3745/kipstc.2004.11c.4.455

[국내논문] 네트워크 공격 분석을 위한 마이닝 프로토타입 시스템 구현
An Implementation of Mining Prototype System for Network Attack Analysis 원문보기

정보처리학회논문지. The KIPS transactions. Part C Part C, v.11C no.4, 2004년, pp.455 - 462

김은희 (충북대학교 대학원 전자계산학과) , 신문선 (충북대학교 대학원 전자계산학) , 류근호 (충북대학교 전기전자 및 컴퓨터공학과)

초록
AI-Helper

네트워크 공격은 인터넷의 발달과 함께 유형도 다양하고 새로워지고 있다. 기존의 침입탐지 시스템들은 알려진 공격의 시그네처를 기반으로 탐지하기 때문에 알려지지 않거나 변형된 공격을 탐지하고, 대응하기 위해서는 많은 노력과 비용이 필요하다. 본 논문에서는 네트워크 프로토콜 속성 분석을 통해 알려지지 않거나 변형된 네트워크 공격을 예측할 수 있는 마이닝 프로토타입 시스템을 설계 하고 구현 하였다. 네트워크 프로토콜 속성을 분석하기 위해서 연관규칙과 빈발에피소드 기법을 사용하였으며, 수집된 네트워크 프로토콜은 TCP, UDP, ICMP와 통합된 형태의 스키마로 저장한다. 본 실험을 통해서 각 프로토콜별로 발생 가능한 네트워크 공격 유형을 예측할 수 있는 규칙들을 생성한다. 마이닝 프로토타입은 침입탐지 시스템에서 새로운 공격에 대응하기 위한 보조적인 .도구로서 유용하게 사용될 수 있다.

Abstract ▼ AI-Helper

Network attacks are various types with development of internet and are a new types. The existing intrusion detection systems need a lot of efforts and costs in order to detect and respond to unknown or modified attacks because of detection based on signatures of known attacks. In this paper, we present a design and implementation for mining prototype system to predict unknown or modified attacks through network protocol attributes analysis. In order to analyze attributes of network protocols, we use the association rule and the frequent episode. The collected network protocols are storing schema of TCP, UDP, ICMP and integrated type. We are generating rules that can predict the types of network attacks. Our mining prototype in the intrusion detection system aspect is useful for response against new attacks as extra tool.

Keyword

AI 본문요약
AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

이 논문에서는 네트워크 프로토콜 분석을 통하여 네트워크 공격을 예측할 수 있는 마이닝 프로토타입 시스템을 설계 및 구현한다. 프로토타입 시스템은 두 부분으로 구성되어있다.
본 논문에서는 네트워크 프로토콜 분석을 통해 네트워크 공격을 예측할 수 있는 마이닝 프로토타입 시스템을 설계 및 구헌하였다. 구현된 마이닝 프로토타입 시스템에서는 네트워크 공격을 탐지하기 위해서 2단계로 수행된다.
본 논문에서는 네트워크 프로토콜을 분석하여 네트워크공격을 분석할 수 있는 마이닝 프로토타입을 제안한다. 제안된 프로토타입에서는 마이닝 기법을 사용하여 네트워크프로토콜을 분석한다.

가설 설정

(그림 5)는 실험 결과를 보여준다. 실험에 사용한 데이터는 각 세션별로 거의 공격이 없었고, 공격이 있다고 하더라고 희박하기 데이터이이기 때문에 공격 회수가 1회 이상이면 해당 공격이라고 가정한다. 실험결과를 통해서 보듯이 80% 이상이 normal 상태 였고, 그 다음으로 port-scan > guess > rlogin > rsh 순으로 공격이 예측되었다.

제안 방법

프로토타입에서 마이닝 엔진 부분에 사용된 기법은 연관규칙과 빈발에피소드 프로그램으로 구성되어 있다. 연관규칙을 통해서 프로토콜 속성간의 연관성을 분석하고, 빈발에피소드를 통해서 프로토콜 속성간의 시퀀스를 분석한다. 또한 실험결과를 통해서 새로운 네트워크 공격 패턴과 유형을 예측하여 보안 관리자가 새로운 공격에 대해서적절한 조치를 취할 수 있도록 도와줄 것이다.
EMERALD는 침입 탐지 자의 환경설정과 폭넓은 기업형 개발을 손쉽게 할 수 있는 아키텍처를 제공했다. 이런 침입 탐지에서 학습 처리를 자동화하기 위해서 학습기반 메커니즘을 사용했다. 학습 기반 방법들은 [13]에서 규칙 감소를 위해 머신 러닝 접근법을 사용하고 있다.
제안된 프로토타입에서는 마이닝 기법을 사용하여 네트워크프로토콜을 분석한다.
빈발에피소드는 네트워크 프로토콜 속성간의 시퀀스 분석을 통해서 공격 패턴을 찾아내기 위해 사용되었다. 빈발에피소드는 주어진 시간범위 내에서 빈발하게 발생하는 시퀀스를 찾는다.
이 실험은 연관규칙을 이용하여 속성간의 연관성을 분석한다. 실험 데이터는 DARPA 데이터를 이용하였고, 프로토콜 속성으로서 근원지, 목적지 주소, 서비스, 근원지 포트, 목적지 포트 속성을 선택하였다.
프로토콜 시퀀스 분석에서는 목적지 주소에 대해서 언제, 어떤 주소에서 접속하여 어떠한 프로토콜을 수행하는 패턴들이 빈발하게 발생하는 지를 탐사하기 위해서 근원지 주소, 목적지 주소, 근원지 포트, 목적지 포트, 프로토콜 속성을 선택하여 빈발 에피소드를 탐사한다. 프로토콜 시퀀스 분석을위한 샘플 데이터로서 실제 tcpdump 프로그램을 이용하여학내의 네트워크 프로토콜을 수집한 것으로<표 7>과 같다.
단, 샘플 데이터의 개수는 윈도우 테이블 수가 많아지기 때문에 일부만을 추출하여 실험을 한다. 프로토콜의 시퀀스를탐사하기 위해서 초기 임계치로서 최소 지지도, 최소 신뢰도, 시간 단위, 윈도우 폭은 각각 35%, 60%, 1초, 10초로 설정을 하였다.
이번 실험은 DARPA 데이터를 가지고 네트워크 프로토콜 속성 간의 연관성 분석과 프로토콜 시퀀스 패턴 분석을 통해서 네트워크 공격의 예측 율을 평가한다. (그림 5)는 실험 결과를 보여준다.
그 이유는 지지도와 신뢰도를 조절해 가면서 수행한 결과 어느정도의 값에서 의사 결정을 위해 가장 좋은 규칙들이 생성이 되었는지를 결정하기 때문이다. 우리는 성능 평가를 위하여 DARPA 데이터의 크기에 따라 최소 지지도를 변경하며 결과를 확인하였다. 데이터의 크기는 1,000개, 10, 000개, 30, 000개, 50, 000개, 70, 000개씩 증가시켰고, 최소지지도는 10%, 15%, 20%, 30%씩 증가시키면서 성능평가를 수행하였다.
우리는 성능 평가를 위하여 DARPA 데이터의 크기에 따라 최소 지지도를 변경하며 결과를 확인하였다. 데이터의 크기는 1,000개, 10, 000개, 30, 000개, 50, 000개, 70, 000개씩 증가시켰고, 최소지지도는 10%, 15%, 20%, 30%씩 증가시키면서 성능평가를 수행하였다. 실험 결과에서도 보듯이 데이터 크기에 비해 수행되는 시간이 적절함을 보여주고 있다.
2단계에서는 저장된 프로토콜을 가지고 마이닝을 수행하여 네트워크 공격을 탐지할 수 있는 규칙들을 생성한다. 규칙을 생성하기 위해서 연관규칙과 빈발에피소드를 적용하였고, 관심있는 속성을 기준으로 규칙을 탐지하기 위해서 키 속성 개념을 적용하였다. 실험을 통해서 네트워크 공격의 분포를 확인할 수 있었다.
성능평가에서는 데이터 크기에 따른 응답 시간을 비교해본 것으로서 기존의 알고리즘과 키 속성 개념을 적용한 알고리즘간의 응답시간을 평가 하였다. (그림 6)은 데이터 크기 변화에 따른 응답시간에 대한 결과를 보여준다.

대상 데이터

프로토콜저장을 위한 데이터베이스의 스키마는 아래~와 같으며 데이터를 체계적으로 관리하기 위해서 관계형데이터베이스를 사용하였다.
tcpdump 유틸리티를 사용하여 네트워크 프로토콜을 수집한다. 수집된 네트워크 프로토콜은 원시 데이터이기 때문에네트워크 분석을 위해서는 먼저 가능한 형태인 ASCII 형태로 변환을 해야 한다.
네트워크 공격 분석을 위한 마이닝 프로토타입 시스템을위한 구현 환경은 OS로 Linux7.1과 DBMS로는 오라클 81.7을 사용하였다. 사용한 언어는 Java를 사용하여 구현하였으며 데이터베이스와 연동을 위해 JDBC 드라이버를 사용하였다.
사용한 언어는 Java를 사용하여 구현하였으며 데이터베이스와 연동을 위해 JDBC 드라이버를 사용하였다. 실험을 위해 사용된 시스템은 Pentinum PC 1.3GHz 256Mbyte이며, DBMS로서 오라클 8i를 사용하였고, 오라클과의 연동을 위해 JDBC드라이버를 사용하였다. 그리고 실험에 사용된 데이터 셋은 실제 TCPDUMP 유틸리티를 통해수집된 네트워크 패킷데이터와 DARPA 평가에 사용된 데이터를 가지고 실험하였다.
3GHz 256Mbyte이며, DBMS로서 오라클 8i를 사용하였고, 오라클과의 연동을 위해 JDBC드라이버를 사용하였다. 그리고 실험에 사용된 데이터 셋은 실제 TCPDUMP 유틸리티를 통해수집된 네트워크 패킷데이터와 DARPA 평가에 사용된 데이터를 가지고 실험하였다.
전 처리 프로세서는 수집된 네트워크 패킷 데이터 500개를 수행 시켰다. (그림 2)에서는 전 처리 프로세서의 수행 결과로서 각 프로토콜별로 TCP 2%개, UDP 130개, ICMP 2개로 각각 분류되었음을 확인했다.
실험 데이터는 DARPA 데이터를 이용하였고, 프로토콜 속성으로서 근원지, 목적지 주소, 서비스, 근원지 포트, 목적지 포트 속성을 선택하였다.<표 5>는 속성간의 연관성 분석을 위한 샘플 데이터이다.
프로토콜 시퀀스 분석을위한 샘플 데이터로서 실제 tcpdump 프로그램을 이용하여학내의 네트워크 프로토콜을 수집한 것으로과 같다.

이론/모형

[16] 에서는 사용자 쉘 명령어와 이상 탐지를 분석하기 위한 알고리즘을 개발하였다. 이러한 알고리즘들은 메타러닝 기법을 적용하여 침입 탐지 모델을 학습하였다. Wenke는 1998년도에 자동화된 침 입 탐지 모델을 구축하기 위해서 침입탐지 모델에 데이터 마이닝 기법을 적용하기 시작 하였다.
네트워크 프로토콜 속성간의 연관성 탐사를 위해서 연관규칙 알고리즘들 중 Apriori 알고리즘을 기반으로 설계하였다. 또한 네트워크 프로토콜의 특성 상 일반적인 트랜잭션 데이터베이스와는 다르기 때문에, 기존의 Apriori 알고리즘에 키 속성 개념을 적용함으로서 불필요한 규칙이 많이 생성되는 문제를 해결하였다.

성능/효과

데이터의 크기는 1,000개, 10, 000개, 30, 000개, 50, 000개, 70, 000개씩 증가시켰고, 최소지지도는 10%, 15%, 20%, 30%씩 증가시키면서 성능평가를 수행하였다. 실험 결과에서도 보듯이 데이터 크기에 비해 수행되는 시간이 적절함을 보여주고 있다.
규칙을 생성하기 위해서 연관규칙과 빈발에피소드를 적용하였고, 관심있는 속성을 기준으로 규칙을 탐지하기 위해서 키 속성 개념을 적용하였다. 실험을 통해서 네트워크 공격의 분포를 확인할 수 있었다. 마이닝 프로토타입은 지속적으로 생성된 규칙을 가지고 새로운 네트워크 공격패턴과 유형을 예측하여 보안 관리자가 새로운 공격에 대해서 적절한 조치를 취할 수 있도록 도와줄 수 있다.

후속연구

연관규칙을 통해서 프로토콜 속성간의 연관성을 분석하고, 빈발에피소드를 통해서 프로토콜 속성간의 시퀀스를 분석한다. 또한 실험결과를 통해서 새로운 네트워크 공격 패턴과 유형을 예측하여 보안 관리자가 새로운 공격에 대해서적절한 조치를 취할 수 있도록 도와줄 것이다. 또한 침입탐지 시스템의 보조적인 도구로서의 역할에도 기여하게 될것이다.
또한 실험결과를 통해서 새로운 네트워크 공격 패턴과 유형을 예측하여 보안 관리자가 새로운 공격에 대해서적절한 조치를 취할 수 있도록 도와줄 것이다. 또한 침입탐지 시스템의 보조적인 도구로서의 역할에도 기여하게 될것이다.

참고문헌 (18)

Wenke Lee, Salvatore J. Stolfo, 'Data Mining Approaches for Intrusion Detection,' In Proceedings of the 7th USENIX Security Symposium, San Antonio, TX, January, 1998
Wenke Lee, Salvatore J. Stolfo and K. W. Mok, 'Mining audit data to build introduction dection models,' In Proceedings of the 4th International conference on Knowledge Discovery and Data Mining, New York, NY, AAAI Press, August, 1998
W. Lee, 'A Data mining framework for constructing features and models for intrusion detection systems,' Ph.D thesis Columbia university, 1999
Wenke Lee, Wei Fan, 'Mining System Audit Data : Opportunities and Challenges,' In Proceedings of the ACM SIGMOD special issue 4, New York, NY, December, 2001
K. Julisch, 'Dealing with False Positives in Intrusion Detection,' In 3nd Workshop on Recent Advances in Intrusion Detection, http://www.raid-symposium.org, 2000
Cuppens, F., Miege, A., 'Alert correlation in a cooperative intrusion detection framework,' In Proceedings of the IEEE Symposium on Security and Privacy, 2002
Chris Sinclair, Lyn Pierce, Sara Matzner, 'An Application of Machine Learning to Network Intrusion Detection,' In Proceeding of the 15th Annual computer security applications conference, Phoenix, Arizona, 1999
W. W. Cohen, 'Fast effective rule induction. In Machine Learning,' the 12th International Conference, Lake Taho, CA, Morgan Kaufmann, 1995
W. Lee, 'A Data mining framework for constructing features and models for intrusion detection systems,' Ph.D thesis Columbia university, June, 1999
Salvatore J. Stolfo, Wei Fan, Wenke Lee, 'Cost-based Modeling for Fraud and Intrusion Detection : Results from the JAM Project,' In Proceedings of the DARPA Information Survivability Conference and Exposition, 2000
V. Paxson, 'Bro : A System for detecting network intruders in real-time,' In Proceedings of the 7th USENIX Security Symposium, 1998
P. A. Porras, P. G. Neumann, 'EMERALD : Event monitoring enabling responses to anomalous live disturbances,' In National Information Systems Security Conference, 1997
C. Warrender, S. Forrest, B. Pearlmutter, 'Detecting intrusions using system calls : Alternative data models,' In Proceedings of the 1999 IEEE Symposium on Security and Privacy, 1999
S. Forest, S. Hofmeyr, A. Somayaji, T. A. Longstaff, 'A sense of self for Unix processes,' In Proceedings of the IEEE Symposium on Security and Privacy, 1996
A. K. Ghosh, A. Schwartzbard, 'A study in using neural networks for anomaly and misuse detection,' In Proceedings of the 8th USENIX Security Symposium, 1999
Jiawei Han, Micheline Kamber, 'Data Mining Concepts and Techniques,' Morgan Kaufmann Publishers, 2001
R. Agrawal, T. Imielinski and A. Swami, 'Mining association rules between sets of items in large databases,' In Proceedings of the ACM SIGMOD Conference on Management of Data, 1993
V. Jacobson, C. Leres, and S. McCanne, tcpdump. available via anonymous ftp to ftp.ee.lbl.gov, June, 1989

저자의 다른 논문 :

활용도 분석정보

상세보기

다운로드

내보내기

활용도 Top5 논문

해당 논문의 주제분야에서 활용도가 높은 상위 5개 콘텐츠를 보여줍니다.
더보기 버튼을 클릭하시면 더 많은 관련자료를 살펴볼 수 있습니다.

표제어: PCR

동의어: Packet Collision Rate

용어 설명 출처 목록 (6)

용어 설명: PCR은 세균 특이성이 있는 primer를 이용하여 적은 수의 세균이 있을지라도 쉽게 검출할 수 있는 유용한 방법이며, 이를 이용하여 구강 내 치면세균막이나 타액에서 직접 세균을 검출할 수 있게 되었다[8].

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증