기존의 망 이상 상태 탐지 시스템들은 주로 정상 상태의 시스템 사용률 등과 같은 통계 값으로 결정된 임계값을 기반으로 탐지하기 때문에 이상 상태임에도 불구하고 정상 상태와 비슷한 시스템 통계 값을 가지면 탐지하지 못하는 문제점이 있다. 이러한 단점들을 해결하기 위하여 본 논문에서는 인간면역체계의 학습, 적응, 기억 능력등의 특성을 이용하는 인공면역체계 기반의 적응적 망 이상 상태 탐지 모델을 제안한다. 이를 위하여 인간면역 시스템의 수지상 세포 (Dendritic Cell)와 T 세포 사이의 상호 작용을 이용한 탐지 모델을 설계하고 각 구성 요소 및 기능을 정의한다. 중앙 집중 제어 노드는 각 라우터 노드로부터 전달받은 정보를 분석하여 대응 방법을 해당 라우터들에게 전달한다. 또한 라우터 노드는 학습을 통해 얻어진 데이터를 기반으로 이상 상태를 탐지할 뿐만 아니라 중앙 집중 제어 노드로부터 전달받은 정보를 이용하여 이상 상태를 처리한다. 최종적으로 제안된 이상 상태탐지 모델의 타당성을 검증하기 위하여 구성 모듈을 설계하고 flooding 공격에 대한 시뮬레이션을 수행한다.
기존의 망 이상 상태 탐지 시스템들은 주로 정상 상태의 시스템 사용률 등과 같은 통계 값으로 결정된 임계값을 기반으로 탐지하기 때문에 이상 상태임에도 불구하고 정상 상태와 비슷한 시스템 통계 값을 가지면 탐지하지 못하는 문제점이 있다. 이러한 단점들을 해결하기 위하여 본 논문에서는 인간면역체계의 학습, 적응, 기억 능력등의 특성을 이용하는 인공면역체계 기반의 적응적 망 이상 상태 탐지 모델을 제안한다. 이를 위하여 인간면역 시스템의 수지상 세포 (Dendritic Cell)와 T 세포 사이의 상호 작용을 이용한 탐지 모델을 설계하고 각 구성 요소 및 기능을 정의한다. 중앙 집중 제어 노드는 각 라우터 노드로부터 전달받은 정보를 분석하여 대응 방법을 해당 라우터들에게 전달한다. 또한 라우터 노드는 학습을 통해 얻어진 데이터를 기반으로 이상 상태를 탐지할 뿐만 아니라 중앙 집중 제어 노드로부터 전달받은 정보를 이용하여 이상 상태를 처리한다. 최종적으로 제안된 이상 상태탐지 모델의 타당성을 검증하기 위하여 구성 모듈을 설계하고 flooding 공격에 대한 시뮬레이션을 수행한다.
The traditional network anomaly detection systems execute the threshold-based detection without considering dynamic network environments, which causes false positive and limits an effective resource utilization. To overcome the drawbacks, we present the adaptive network anomaly detection model based...
The traditional network anomaly detection systems execute the threshold-based detection without considering dynamic network environments, which causes false positive and limits an effective resource utilization. To overcome the drawbacks, we present the adaptive network anomaly detection model based on artificial immune system (AIS) in centralized network. AIS is inspired from human immune system that has learning, adaptation and memory. In our proposed model, the interaction between dendritic cell and T-cell of human immune system is adopted. We design the main components, such as central node and router node, and define functions of them. The central node analyzes the anomaly information received from the related router nodes, decides response policy and sends the policy to corresponding nodes. The router node consists of detector module and responder module. The detector module perceives the anomaly depending on learning data and the responder module settles the anomaly according to the policy received from central node. Finally we evaluate the possibility of the proposed detection model through simulation.
The traditional network anomaly detection systems execute the threshold-based detection without considering dynamic network environments, which causes false positive and limits an effective resource utilization. To overcome the drawbacks, we present the adaptive network anomaly detection model based on artificial immune system (AIS) in centralized network. AIS is inspired from human immune system that has learning, adaptation and memory. In our proposed model, the interaction between dendritic cell and T-cell of human immune system is adopted. We design the main components, such as central node and router node, and define functions of them. The central node analyzes the anomaly information received from the related router nodes, decides response policy and sends the policy to corresponding nodes. The router node consists of detector module and responder module. The detector module perceives the anomaly depending on learning data and the responder module settles the anomaly according to the policy received from central node. Finally we evaluate the possibility of the proposed detection model through simulation.
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
문제 정의
것이다. 본 논문에서는 일단 생성된 검출기의 성능 평가를 위하여 그림 7과 같은 형식으로 flooding 공격을 발생시키고 그림 6의 순서도에 따라 네트워크 이상상태 탐지 여부를 평가하였다.
본 논문에서는 중앙 집중형 망에서 망의 트래픽변화에 적응적으로 이상 상태를 탐지할 뿐만 아니라 이상 상태의 확산을 초기에 차단하여 망 자원의 효율성을 높일 수 있도록 인공면역체계 기반의 망 이상상태 탐지 모델을 제시하고 성능 평가를 통해 타당성을 검증하고자 한다. 제안하는 모델은 인간면역 시스템의 수지상 세포 (Dendritic Cell)와 T 세포 사이의 상호 작용을 이용하여 이상 상태를 탐지하고 망 이상상태에 따른 대응 방법을 결정하도록 한다.
본 논문에서는 중앙 집중형 망에서 인공면역체계기반의 망 이상 상태 탐지 모델을 제안하고 각 구성 요소들의 기능을 정의하였다. 또한 Detector 모듈의 Antigen 모듈과 Alarm Signal 모듈을 설계하고 시뮬레이션을 수행하였다.
인공면역체계는 인간면역체계의 주요 특성을 복잡한 공학적 문제, 분류 작업, 그리고 최적화 처리등에 적용하는데 그 목적이 있다. 이에 따라 인간면역체계의 긍정/부정 선택과 복제 선택 등을 이용하여 침입 탐지, 이상 상태 감지 그리고 고장 감내등 다양한 분야에 적용되고 있다.
가설 설정
CTL 모듈은 Thl Cell 모듈에서의 모니터링 결과 이상 상태가 여러 라우터로 확산되었다고 판별되었을 때 각 라우터의 CTL 모듈에게 이상 상태에 있는 라우터 정보를 전달함으로써 각 라우터들이 해당 라우터에 데이터를 전송하지 않도록 한다. Th2 Cell 모듈은 하나의라우터에서만 경고 신호가. 발생하는 경우로 그 심각성이 높다고 판단되는 경우 다른 라우터들에게도 해당 라우터의 정보를 전송하여 이상 상태가 발생한 라우터에게 데이터 전송률을 줄이도록 요청한다.
제안 방법
요소들의 기능을 정의하였다. 또한 Detector 모듈의 Antigen 모듈과 Alarm Signal 모듈을 설계하고 시뮬레이션을 수행하였다. 본 논문에서는 오탐지감소를 위해 부정 선택 기반의 검출기 집합을 생성하였으며 flooding 공격 탐지를 통하여 검출기의 성능 평가를 수행하였다.
마지막으로 수집된 정상 상태 데이터 집합과 선택된 매칭 기법을 이용하여 그림 5에 제시된 알고리즘을 이용하여 부정 선택 기반 검출기 집합을 생성하였다. 검출기 생성 과정은 초기 검출기 집합 생성 과정과 학습 과정을 거친다.
먼저 Antigen 모듈의 기능인 입력 트래픽 특성추출을 위해 네트워크 상태를 특징지을 수 있는 파라미터를 정의하기 위한 실험을 수행하였다.
본 논문에서 제안하는 인공면역체계 기반 망 이상 상태 탐지 모델은 그림 2와 같이 중앙 집중 제어 노드와 라우터 노드들이 유기적인 관계를 맺으며 망 이상 상태에 대응하도록 설계되었다. 여기서는 소단원에 관한 내용을 간단히 살펴본다.
본 논문에서는 두 데이터 간 Euclidean 거리를 계산하여 매칭 여부를 결정하였으며 검출기 집합, Ag는 다음 식(2)과 같이 정의된다.
이와 같이 활성화된 T 세포가 보조 T 세포(Helper T-cell)이면 면역 반응을 촉진시키게되고, 세포 독성 T 세포(Cytotoxic T-cell; CTL)이면 표적 세포 살해와 같은 세포 면역 반응이 나타난다. 본 논문에서는 앞서 언급한 수지상 세포의 항원 제시 과정과 이에 따른 T 세포의 면역 반응 과정을 망이상 상태 탐지 시스템 설계에 적용한다.
또한 Detector 모듈의 Antigen 모듈과 Alarm Signal 모듈을 설계하고 시뮬레이션을 수행하였다. 본 논문에서는 오탐지감소를 위해 부정 선택 기반의 검출기 집합을 생성하였으며 flooding 공격 탐지를 통하여 검출기의 성능 평가를 수행하였다.
트래픽 발생 모델을 설계하였다. 설계한 모델을 이용하여 1,000초 동안 트래픽을 발생시켰으며 61-120, 221-460, 561~620, 721~960초 사이에 총 600초 동안 flooding 공격을 수행하였다. 트래픽발생 결과 버퍼 상태 변화는 그림 7과 같은 결과를 보여 버퍼 상태를 이용하여 네트워크 이상 상태를 확인할 수 있음을 확인하였다
이를 위하여 flooding 공격으로 인한 네트워크이상 상태를 가정하고 OPNET 시뮬레이터를 이용하여 트래픽 발생 모델을 설계하였다. 설계한 모델을 이용하여 1,000초 동안 트래픽을 발생시켰으며 61-120, 221-460, 561~620, 721~960초 사이에 총 600초 동안 flooding 공격을 수행하였다.
집합을 유지해야 한다. 이를 위하여 본 논문에서는 self 데이터나 비정상 상태의 데이터를 표현하는 방법으로 2차원 공간을 이용하는 Real-valued 방법을 선택하고 부정 선택 기반의 검출기 집합을 생성하였으며 그 과정은 다음과 같다.
검증하고자 한다. 제안하는 모델은 인간면역 시스템의 수지상 세포 (Dendritic Cell)와 T 세포 사이의 상호 작용을 이용하여 이상 상태를 탐지하고 망 이상상태에 따른 대응 방법을 결정하도록 한다. 이에 따라 중앙 집중 제어 노드는 각 라우터 노드로부터 전달받은 정보를 종합하여 대응 방법을 해당 라우터들에게 전달한다.
큰 차이가 확인되었다. 참고로 표현을 단순화하기 위하여 버퍼 상태는 제한된 크기의 버퍼 점유율을 기반으로 정규화하여 계산하였다. 즉, 버퍼를 10 개의 구역으로 나누어 해당 구역에 해당하는 인덱
한편, 제한된 self 데이터 집합으로 생성된 초기검출기 집합은 정확성이 낮으므로 새로운 정상 데이터에 적용하는 학습 과정을 거침에 따라 보다 정확한 검출기 집합이 생성되도록 하였다.
데이터처리
따라서 본 논문에서는 정상 상태와 이상 상태를 특징지을 수 있는 매개변수로 버퍼의, 패킷 손실률, 과 '평균+* 2평균의 표준편차, 값을 이용하였으며 그림 8과 9에서와 같이 정상 상태와 이상 상태에 따라 큰 차이가 확인되었다. 참고로 표현을 단순화하기 위하여 버퍼 상태는 제한된 크기의 버퍼 점유율을 기반으로 정규화하여 계산하였다.
000초 동안 정상 트래픽을 발생시켰다. 주기를 1 초로 앞서 파라미터로 결정된 버퍼의 '패킷 손실률' 과, 평균+* 2평균의 표준편차'를 분석하였으며 이렇게 발생된 self 데이터는 두 가지 유전자의 순서쌍으로 표현되어진다. 따라서 Self 집합, S는 다음 식 (1)과 같이 정의된다.
성능/효과
부정 선택 기반의 경고 발생 결과(경고 발생초) 생된 경고 신호들을 나타낸 그래프로 61-120, 22 1-460, 561-620, 721~960초에서 많은 경고 신호가 발생한 것을 확인할 수 있었다. 결과적으로 AIS 기반의 이상 상태 탐지 결과 flooding 공격 구간을 탐지할 수 있었으며 공격 상태가 아닌 시간에 경고를 발생하는 오탐지율이 0.5 %로 낮게 나타났다.
또한 망의 정상 상태의 특성을 보다 정확히 추출하기 위하여 다양한 버퍼 상태의 통계 정보(평균, 분산, 표준편차 등)를 분석한 결과 버퍼의 평균 상태 및 변화율(표준편차)과 패킷 손실률이 상태를 특징짓기에 적합함을 확인하였다';习
10. 부정 선택 기반의 경고 발생 결과(경고 발생초) 생된 경고 신호들을 나타낸 그래프로 61-120, 22 1-460, 561-620, 721~960초에서 많은 경고 신호가 발생한 것을 확인할 수 있었다. 결과적으로 AIS 기반의 이상 상태 탐지 결과 flooding 공격 구간을 탐지할 수 있었으며 공격 상태가 아닌 시간에 경고를 발생하는 오탐지율이 0.
성능 평가 결과 flooding 공격 발생 구간을 탐지할 수 있었으며 낮은 오탐지율을 보였다 한편 동적인 네트워크 상태로 인하여 정상 상태와 이상 상태의 구분이 모호한 경우가 발생하기 때문에 공격 발생 구간 중에 이상 상태를 정상 상태로 오인하는 false negative가 발생함을 알 수 있었다. 향후 이를 보완하기 위하여 Alarm signal 모듈에서 검출기 집합과의 부합 여부를 판단할 뿐만 아니라 퍼지 이론등을 이용한 이상 상태 심각도 계산을 통하여 false negative를 낮추기 위한 연구가 필요하다.
설계한 모델을 이용하여 1,000초 동안 트래픽을 발생시켰으며 61-120, 221-460, 561~620, 721~960초 사이에 총 600초 동안 flooding 공격을 수행하였다. 트래픽발생 결과 버퍼 상태 변화는 그림 7과 같은 결과를 보여 버퍼 상태를 이용하여 네트워크 이상 상태를 확인할 수 있음을 확인하였다
후속연구
negative가 발생함을 알 수 있었다. 향후 이를 보완하기 위하여 Alarm signal 모듈에서 검출기 집합과의 부합 여부를 판단할 뿐만 아니라 퍼지 이론등을 이용한 이상 상태 심각도 계산을 통하여 false negative를 낮추기 위한 연구가 필요하다.
참고문헌 (7)
김영선, 'BcN의 기술적 이슈와 전망,' 한국정보통신기술협회, 2005
F. Gonzalez, 'A Study of Artificial Immune Systems Applied to Anomaly Detection,' Dissertation for Ph. D degree, 2003
J. Kim, W. O. Wilson, U. Aickelin, and J. McLeod, 'Cooperative Automated Worm Response and Detection ImmuNe Algorithm (CARDINAL) Inspired by T-Cell Immunity and Tolerance,' LNCS 3627, pp. 168-181, 2005
K. Luther, R. Bye, T. Alpcan, A. Muller and S. Albayrak, 'A Cooperative AIS Framework for Intrusion Detection,' In Proceeding of ICC '07, pp.1409-1416, June 2007
하기룡, 이도헌, '인공면역체계와 기계학습,' 정보과학회지, 제25권 제 3호, pp. 76-82, 2007
Fabricio Sergio de Paulo and Paulo Licio de Geus, 'Attack Evidence Detection, Recovery, and Signature Extraction with ADENOIDS,' ICT 2004, LNCS 3124, pp. 1083-1092, 2004
M. S. Abadeh, J. Habibi, M. Daneshi, M. Jalali and M. Khezrzadeh, 'Intrusion Detection using a Hybridization of Evolutionary Fuzzy Systems and Artificial Immune Systems,' In the Proceeding of CEC 2007, pp. 3547-3553, Sept. 2007
※ AI-Helper는 부적절한 답변을 할 수 있습니다.