선택한 단어 수는 입니다.
최소 단어 이상 선택하여야 합니다.
최소 단어 이상 선택하여야 합니다.
선택한 단어 수는 30입니다.
최대 10 단어까지만 선택 가능합니다.
최대 10 단어까지만 선택 가능합니다.
문제 정의
- 이 데이타는 Denial of Service, probe, Remove-to-local (R2L), User-to-root (U2R) 의 4가지 종류의 공격을 담고 있는데 본 논문에서는 프로그램의 오동작을 일으켜 비정상적인 프로그램 행동을 유도하는 U2R공격을 탐지하는데 초점을 두어 살험하였다. 따라서 본 논문에서는 U2R공격의 주된 공격 대상이 되는 SETUID권한을 가지는 프로그램만의 실행을 모니터링 하였다. 1999년 IDEVAL 감사자료에 사용된 호스트의 파일시스템에서 추출된 SETUID 프로그램의 목록은 표 3과 같다.
- 본 논문에서는 기존 신경망 기반 침입탐지시스템의 단점을 보완하고 성능을 향상시키기 위해 진화신경망을 이용한 방법을 제안한다. 진화 신경망은 학습에 구조를 결정하는 과정이 포함되기 때문에 시행착오를 반복할 과정이 필요가 없다.
- 본 논문에서는 프로그램 행위 학습기반 비정상행위탐 지를 위하여 진화 신경망을 사용하는 방법을 제안하였 다. 제안한 침입탐지 방법은 분류기의 구조와 가중치가 진화 알고리즘에 의해 동시에 학습되므로 기존의 고정 된 구조를 사용하는 방법보다 더 좋은 성능을 기대할 수 있다.
제안 방법
- 정상적인 시퀀스와 비정 상적인 시퀀스를 분류하는 규칙을 생성한 후 새로운 시 퀀스에 이 규칙을 적용하여 침입을 탐지하였다. Send- mail 프로그램이 발생시킨 시스템 호출 시퀀스를 이용 하여 그 가능성을 검증하였다. 또한 [9]에서는 동적인 윈도우 길이를 사용하는 방법을 제안하였다.
- 각 신경망을 학습 데이타로 테스트해 옳게 분류한 샘 플이 많은 신경망이 높은 적합도를 가지도록 인식률을 사용하여 적합도를 계산하였다.
- 먼저 임의의 가중치로 초기화한 신경망 집단을 생성한 후 각 개체를 역전파 알고리즘으로 부분 학습시켜서 진 화 알고리즘이 주어진 문제에 대해 최적 구조를 찾는 것을 돕는다. 그 후 각 신경망의 적합도를 계산하고 선 택 및 유전연산자를 적용해 다음 세대를 생성한다. 이 과정을 종료조건이 만족될 때까지 반복한다.
- 따 라서 (c)구간과 같은 연속적인 비정상적인 시퀀스를 탐 지하는 것이 중요하다. 그러기 위해서는 현재 시퀀스의 평가 값 뿐만 아니라 이전 시퀀스의 평가 값도 같이 반 영하는 것이 필요한데 본 논문에서는 이를 위해 다음과 같은 방법으로 시퀀스의 평가값을 결정하였다. 房은 침 입을 나타내는 출력 노드의 값, 屏는 정상을 나타내는 출력 노드의 값, Wh W2, 抓3는 각 값의 가중치를 나타 낼 때 시간 t의 시퀀스의 평가 값、는 다음과 같은 식 에 의해 결정된다.
- 진화 신경망은 분류기의 구조와 내부의 가중치를 동시에 학 습하기 때문에 구조를 결정하기위한 시행착오 과정이 필요 없을뿐만 아니라 문제에 최적화된 구조의 신경망 을 자동으로 얻을 수 있다는 장점이 있다. 따라서 일반 적인 기계 학습방법보다 빠른 시간내에 좋은 성능의 분 류기를 얻을 수 있는데, 실제 감사자료를 사용한 실험과 다른 연구와의 비교를 통해 이를 검증한다.
- 하지만 각 프로그램별로 다른 신경망이 사용되므로 입 력값의 변화에 따른 평가값의 민감도가 달라 침입과 정 상행위의 결정경계가 모두 다르다. 따라서 하나의 임계 값을 전체 신경망 집합에 사용하는 것은 문제가 있는데 본 논문에서는 이를 해결하기 위하여 통계적인 방법을 사용하여 각 신경망의 평가 값을 정규화하였다. 먼저 각 신경망의 평가 값은 정규분포를 따른다고 가정하고 학 습 데이타에 대한 평가 값의 평균과 표준편차를 구한 후 테스트 데이타의 평가 값을 표준정규분포상의 값으 로 변환하였다.
- 따라서 하나의 임계 값을 전체 신경망 집합에 사용하는 것은 문제가 있는데 본 논문에서는 이를 해결하기 위하여 통계적인 방법을 사용하여 각 신경망의 평가 값을 정규화하였다. 먼저 각 신경망의 평가 값은 정규분포를 따른다고 가정하고 학 습 데이타에 대한 평가 값의 평균과 표준편차를 구한 후 테스트 데이타의 평가 값을 표준정규분포상의 값으 로 변환하였다. 변환된 값이 정해진 임계치를 넘을 경우 그 프로세스는 침입으로 판단된다.
- 그림 2는 전체적인 정상행위 모델링 과정을 보여준다. 먼저 임의의 가중치로 초기화한 신경망 집단을 생성한 후 각 개체를 역전파 알고리즘으로 부분 학습시켜서 진 화 알고리즘이 주어진 문제에 대해 최적 구조를 찾는 것을 돕는다. 그 후 각 신경망의 적합도를 계산하고 선 택 및 유전연산자를 적용해 다음 세대를 생성한다.
- 이 과정을 종료조건이 만족될 때까지 반복한다. 본 논문에 서는 100세대에 도달할 때까지 진화 과정을 반복하였다.
- 본 논문에서는 기존 기계학습 기반 침입탐지기법의 단점을 극복하기 위하여 진화신경망을 사용하였다. 진화 신경망은 분류기의 구조와 내부의 가중치를 동시에 학 습하기 때문에 구조를 결정하기위한 시행착오 과정이 필요 없을뿐만 아니라 문제에 최적화된 구조의 신경망 을 자동으로 얻을 수 있다는 장점이 있다.
- 먼저 풀어야할 문제를 어떻게 유전자형으로 표현할 것 인가에 대한 표현의 문제, 표현방법과 문제에 적합한 유 전연산자 정의, 마지막으로 각 개체에 대한 적합도 평가 방법이다. 본 논문에서는 다음과 같은 방식으로 진화알 고리즘을 신경망 학습에 적용하였다.
- 1999년 IDEVAL 데이타는 총 5주 분량의 감사자료를 제공하는데 그중 1-3주는 학습 데이타이고 4-5주는 테 스트 데이타이다. 본 논문에서는 침입이 들어 있지 않은 1, 3주 데이타를 신경망 학습을 위해 사용하였고 4, 5주 데이타로 그 성능을 시험하였다, 테스트 데이타에는 4가 지종류의 U2R공격이 11번 수행되었다. 표 4는 테스트 데이타에 포함된 공격의 종류를 보여준다.
- 제안하는 기법의 성능을 시험하기 위해 MIT Lincoln Lab에서 제공하는 1999년 DARPA IDEVAL데이타를 사용하였다[13]. 이 데이타는 Denial of Service, probe, Remove-to-local (R2L), User-to-root (U2R) 의 4가지 종류의 공격을 담고 있는데 본 논문에서는 프로그램의 오동작을 일으켜 비정상적인 프로그램 행동을 유도하는 U2R공격을 탐지하는데 초점을 두어 살험하였다. 따라서 본 논문에서는 U2R공격의 주된 공격 대상이 되는 SETUID권한을 가지는 프로그램만의 실행을 모니터링 하였다.
- 일반적인 다층 신경망(MLP, Multi Layer Perceptron) 과 진화신경망의 학습시간을 비교하여 보았다. 실험은 Intel Pentium Zeon 2.
- Stolfo 등은 규칙 학습방법인 RIPPERffl를 프로그 램 행동학습에 적용하였다[8]. 정상적인 시퀀스와 비정 상적인 시퀀스를 분류하는 규칙을 생성한 후 새로운 시 퀀스에 이 규칙을 적용하여 침입을 탐지하였다. Send- mail 프로그램이 발생시킨 시스템 호출 시퀀스를 이용 하여 그 가능성을 검증하였다.
- Forrest 등은 프로그램 행동학습을 통한 침입탐지 방법을 최초로 제안하였는데 컴퓨터 면역 시스템의 개 념을 적용한 침입탐지의 한 방법으로 시스템 호출과 동 등 매칭기법을 사용한 침입탐지방법을 제시하였다[3, 4]. 정상적인 프로그램의 모든 시스템 호출 시퀀스를 저장 한 후 모니터 되는 프로그램이 발생 시킨 시스템 호출 자료 중 부정합된 시퀀스가 일정 빈도이상을 넘어설 경 우 침입으로 탐지하는 방법을 사용하였다. 그 후 [5]에 서는 해밍 거리를 사용한 방법을 제시하였다.
- 일반적인 다층 신경망보다 더 복잡한 구조를 보임을 알 수 있다. 진화 신경망은 구조에 제약을 두지 않기 때문에 이처럼 복잡 하지만 침입탐지에 최적의 성능을 보이는 구조를 찾아 성능을 향상시켰다.
대상 데이터
- 08을 사용하였다. 100세대까지 진화시킨 후 가장 높은 적합도를 가지는 신경망을 사용해 테스트 데이타에 적용하였다.
- 본 논문에서는 솔라리스 운영체제의 BSM(Basic Se curity Module) 에서 제공하는 시스템 호출 감사자료를 사용하였다. 전처리 모듈에서는 지정된 프로그램의 실행 여부를 감사하여 각 프로그램별로 시스템 호출을 분리 시키고 시퀀스 데이타를 만든다.
- MLP의 경우 은닉노드수 를 10부터 60개까지 변화시키며 5000세대까지 학습시켰 고 진화신경망의 경우 15개의 은닉노드를 가지는 20개 체의 신경망을 100세대까지 진화시켜보았다. 사용한 데 이타는 login프로그램의 학습데이타로 총 1905개의 시 퀀스로 이루어져 있다.
- BSM 감사자료에는 약 280여개의 시스템 호출 이벤 트가 들어있다. 하지만 이를 모두 다 사용할 경우 문제 의 복잡도가 너무 커지므로 46개의 시스템 호출로 축약 하여 사용하였다. 자주 사용되는 시스템 호출 45개에 0 부터 44까지의 값을 할당하고 나머지 시스템 호출은 모 두 45로 할당하였다.
데이터처리
- 일반적인 다층 신경망(MLP, Multi Layer Perceptron) 과 진화신경망의 학습시간을 비교하여 보았다. 실험은 Intel Pentium Zeon 2.4GHz Dual 프로세서, 1GB RAM의 하드웨어와 솔라리스9 운영체제 하에서 10번 실행한 후 평균값을 취하였다. MLP의 경우 은닉노드수 를 10부터 60개까지 변화시키며 5000세대까지 학습시켰 고 진화신경망의 경우 15개의 은닉노드를 가지는 20개 체의 신경망을 100세대까지 진화시켜보았다.
이론/모형
- 이 방법은 개체 사 이의 적합도 차이가 지나치게 클 경우 하나의 해로만 빠르게 수렴해 버리는 문제점이 있다. 이러한 문제점을 해결하기 위해 순위기반 선택 방법을 사용했다.
- Ghosh 등은 프로그램 행동학습에 신경망을 적 용하였다[11, 12]. 전통적인 전방향 오류 역전파 알고리즘 을 사용하는 다충 신경망과 Elman recurrent , 신경망을 사용하였다. 신경망은 불완전한 데이타에 대해서도 일반 화하는 성능이 좋기 때문에 시퀀스 데이타 분류에 좋은 성능이 기대된다.
- 제안하는 기법의 성능을 시험하기 위해 MIT Lincoln Lab에서 제공하는 1999년 DARPA IDEVAL데이타를 사용하였다[13]. 이 데이타는 Denial of Service, probe, Remove-to-local (R2L), User-to-root (U2R) 의 4가지 종류의 공격을 담고 있는데 본 논문에서는 프로그램의 오동작을 일으켜 비정상적인 프로그램 행동을 유도하는 U2R공격을 탐지하는데 초점을 두어 살험하였다.
- 행렬기반의 신경망 표현방법을 사용하였다. N개의 노 드를 가진 신경망은 N><N 크기의 정방행렬에 연결 정 보와 가중치를 동시에 표시하여 나타내진다.
성능/효과
- 또한 일반적인 신경망과는 달리 Elman recurrent 신경망은 연결구조가 입력 시퀀스 사이의 상 태정보를 저장하는 특성이 있기 때문에 시퀀스 정보를 학습하는데 더 적합하다. 1998년과 1999년의 DARPA IDEVAL 데이타를 사용하여 실험한 결과 Elman 신경 망의 성능이 더 뛰어나 신경망의 구조가 침입탐지 성능 에 큰 영향을 미치는 것을 확인할 수 있었다.
- 또한 [9]에서는 동적인 윈도우 길이를 사용하는 방법을 제안하였다. MIT Lincoln Lab의 1999년 DARPA IDEVALdntrusion Detection Evaluation) 데이타와 UNM(Univsersity of New Mexico) 데이타를 이용하여 기존의 고정 윈도우 길이 방법보다 성능이 더 좋음을 입증하였다.
- 그림 9에서는 테스트 결과를 1999년 DARPA IDEVAL 에서 사용된 탐지/오경보 그래프로 나타내었다. 성능은 상당히 좋았는데 100% 탐지율에서 하루에 평균 0.7개의 false alarm을 나타내었다. 1999년 DARPA IDEVAL 데이타를 사용한 연구 결과 중 U2R공격 탐지에 가장 좋은 성능을 보인 것은 A.
- 그림 8은 진화신경망의 진화과정을 보여준다. 세대가 거듭될수록 신경망의 적합도가 증가하여 진화알고리즘 이 좀더 좋은 신경망의 구조를 찾아낼 수 있음을 확인 하였다. 최대 적합도는 0.
- [6]에서는 단순한 나열 방법, 상대적 빈도 비교방법, 규칙 학습방 법, 은닉 마르코프 모델 (HMM) 의 성능을 비교하였다. 실험 결과 HMM이 가장 좋은 성능을 보였으나 학습과 정에 시간이 많이 소요되는 단점이 있었다.
- Ye 등은 확률기반의 학습방법을 이용하여 프로二L 램의 행동을 학습하였다[10丄 시스템 호출 시퀀스를 학 습하는데 이용 가능한 빈도적 특징과 순서적 특징을 제 시하고 각 특징에 적합한 학습 방법을 제안하였다. 의사 결정트리와 chi-square 다변량 검증은 시스템 호출 시 퀀스의 빈도적 특징을 학습하는데, 사용하였고 Markov chain 모델로는 시스템 호출의 순서적인 특징을 학습하 였는데 1998년 DARPA IDEVAL감사자료를 사용하여 성능을 비교한 결과 순서적 특징을 사용한 Markov chain 모델이 가장 좋은 성능을 보였다. 이는 시스템 호 출 시퀀스에서는 각 이벤트간의 순서가 침입탐지에 중 요한 정보를 제공함을 의미한다.
- 이 탐지 시스템은 100% 탐지율에서 하루에 3개의 false alarm을 보였다[12]. 이와 비교해 보았을 때 진화 알고 리즘을 이용해 신경망의 구조를 결정하는 것이 시행착 오를 통해서 결정하는 것보다 더 짧으 시간 안에 효과 적인 구조를 찾아낼 수 있음을 확인하였다.
- 호스트기반 비정상행위 탐지에는 프로그램의 행동을 분석하는 방법이 많이 사용되고 있다. 정상 프로그램의 행동을 학습하고 이와는 상이한 행동을 침입으로 잡아 내는 문제는 일반적인 인공지능의 이진분류문제로 바꾸 어 볼 수 있어 규칙 학습, 신경망, 통계적 방법, 은닉 마 크로프 모델 등의 기계학습 방법이 많이 사용되어 좋은 성능을 보였다. 그중에서도 신경망은 호스트기반 침입탐 지 방법 중 가장 좋은 성능을 보였다.
- 본 논문에서는 프로그램 행위 학습기반 비정상행위탐 지를 위하여 진화 신경망을 사용하는 방법을 제안하였 다. 제안한 침입탐지 방법은 분류기의 구조와 가중치가 진화 알고리즘에 의해 동시에 학습되므로 기존의 고정 된 구조를 사용하는 방법보다 더 좋은 성능을 기대할 수 있다. 1999년의 DARPA IDEVAL 데이타로 실험한 결과 100% 침입탐지율에서 하루에 0.
- 그러나 진화신경망을 사용한 경우는 약 1시간 14분밖에 걸리지 않았다. 진화알고리즘을 통한방법이 구조를 최적 화 시킬 수 있는 장점을 가지면서도 학습 시간면에서도 기존의 방법보다 나은 것을 알 수 있었다.
- 세대가 거듭될수록 신경망의 적합도가 증가하여 진화알고리즘 이 좀더 좋은 신경망의 구조를 찾아낼 수 있음을 확인 하였다. 최대 적합도는 0.9에서 수렴하여 학습데이타를 90%정도 인식률로 분류할 수 있음을 알 수 있었다.
후속연구
- 따라서 빠른 시간에 적은 노력으로 높은 성능의 신경망을 만들 수 있다. 또한 신경망의 구 조에 제약이 없어 정형화된 구조를 사용하는 신경망보 다 응용분야에 더 최적화된 구조를 찾아낼 수 있다. 그림 1은 진화신경망을 사용한 침입탐지 시스템의 개요를 보여준다.
- 향후 연구로는 진화된 신경망의 구조를 분석하여 침입탐지에 좋은 구조가 어떤 것인지 밝혀내는 작업이 필요하겠다. 또한 종분화 방법에 의해 진화된 상호보완적인 다중 신경망을 결합하는 방법을 이용하면 좀 더 좋은 성능을 기대할 수 있을 것이다.
- 7개의 false-alram 을 보여 진화 신경망이 기존의 연구보다 더 좋은 성능 을 보임을 확인하였다. 향후 연구로는 진화된 신경망의 구조를 분석하여 침입탐지에 좋은 구조가 어떤 것인지 밝혀내는 작업이 필요하겠다. 또한 종분화 방법에 의해 진화된 상호보완적인 다중 신경망을 결합하는 방법을 이용하면 좀 더 좋은 성능을 기대할 수 있을 것이다.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.