최근 보안 분야에서는 네트워크 패킷이나 로그와 같은 네트워크 정보를 수집하고 분석함으로써 네트워크 위협에 대응할 수 있는 침입탐지 시스템에 대한 연구를 활발히 진행되고 있다. 특히, 베이지안 네트워크는 주어진 몇 몇 자료만으로도 정확도 높은 침입에 대한 추론이 가능한 이점으로 이를 이용한 침입탐지 시스템의 모델링 기법들이 이전에도 진행되어 왔다. 그러나 이전 연구들에서는 네트워크 패킷간의 복잡성 문제와 이용되는 패킷 데이터의 연속성 문제를 반영하지 못하고 있기 때문에 높은 탐지정확도 산출에 한계가 있다. 따라서 본 논문에서는 이전 모델들이 갖는 문제들의 개선을 통하여 탐지율을 향상시키기 위해 K-means 클러스터링 기반의 두 가지 방법론을 제안한다. 첫 번째로는 K-means 클러스터링 기반의 정교한 노드구간 범위를 설정방법을 제안하여 연속성 데이터 처리 문제를 개선할 수 있다. 또한, 두 번째로는 K-means 클러스터링 기반으로 산출된 가중치를 학습에 적용하여 보다 견고한 CPT를 산출하여 탐지성능을 향상 시킬 수 있다. 제안하는 방법론들의 성능을 입증하기 위하여 방법론 모두를 적용한 K_WTAN_EM에 대한 탐지율을 이전 모델들과 비교 실험을 수행하였다. 실험 결과 제안하는 모델의 탐지율이 이전의 순수베이지안 네트워크기반(NBN) 모델 보다는 약 7.78%의 향상도를 보였고 트리확장 순수베이지안 네트워크(TAN) 모델 보다는 약 5.24%의 향상도를 산출하여 제안하는 방법의 우수성을 입증하였다.
최근 보안 분야에서는 네트워크 패킷이나 로그와 같은 네트워크 정보를 수집하고 분석함으로써 네트워크 위협에 대응할 수 있는 침입탐지 시스템에 대한 연구를 활발히 진행되고 있다. 특히, 베이지안 네트워크는 주어진 몇 몇 자료만으로도 정확도 높은 침입에 대한 추론이 가능한 이점으로 이를 이용한 침입탐지 시스템의 모델링 기법들이 이전에도 진행되어 왔다. 그러나 이전 연구들에서는 네트워크 패킷간의 복잡성 문제와 이용되는 패킷 데이터의 연속성 문제를 반영하지 못하고 있기 때문에 높은 탐지정확도 산출에 한계가 있다. 따라서 본 논문에서는 이전 모델들이 갖는 문제들의 개선을 통하여 탐지율을 향상시키기 위해 K-means 클러스터링 기반의 두 가지 방법론을 제안한다. 첫 번째로는 K-means 클러스터링 기반의 정교한 노드구간 범위를 설정방법을 제안하여 연속성 데이터 처리 문제를 개선할 수 있다. 또한, 두 번째로는 K-means 클러스터링 기반으로 산출된 가중치를 학습에 적용하여 보다 견고한 CPT를 산출하여 탐지성능을 향상 시킬 수 있다. 제안하는 방법론들의 성능을 입증하기 위하여 방법론 모두를 적용한 K_WTAN_EM에 대한 탐지율을 이전 모델들과 비교 실험을 수행하였다. 실험 결과 제안하는 모델의 탐지율이 이전의 순수베이지안 네트워크기반(NBN) 모델 보다는 약 7.78%의 향상도를 보였고 트리확장 순수베이지안 네트워크(TAN) 모델 보다는 약 5.24%의 향상도를 산출하여 제안하는 방법의 우수성을 입증하였다.
In recent days, a study of the intrusion detection system collecting and analyzing network data, packet or logs, has been actively performed to response the network threats in computer security fields. In particular, Bayesian network has advantage of the inference functionality which can infer with ...
In recent days, a study of the intrusion detection system collecting and analyzing network data, packet or logs, has been actively performed to response the network threats in computer security fields. In particular, Bayesian network has advantage of the inference functionality which can infer with only some of provided data, so studies of the intrusion system based on Bayesian network have been conducted in the prior. However, there were some limitations to calculate high detection performance because it didn't consider the problems as like complexity of the relation among network packets or continuos input data processing. Therefore, in this paper we proposed two methodologies based on K-menas clustering to improve detection rate by reforming the problems of prior models. At first, it can be improved by sophisticatedly setting interval range of nodes based on K-means clustering. And for the second, it can be improved by calculating robust CPT through applying weighted-leaning based on K-means clustering, too. We conducted the experiments to prove performance of our proposed methodologies by comparing K_WTAN_EM applied to proposed two methodologies with prior models. As the results of experiment, the detection rate of proposed model is higher about 7.78% than existing NBN(Naive Bayesian Network) IDS model, and is higher about 5.24% than TAN(Tree Augmented Bayesian Network) IDS mode and then we could prove excellence our proposing ideas.
In recent days, a study of the intrusion detection system collecting and analyzing network data, packet or logs, has been actively performed to response the network threats in computer security fields. In particular, Bayesian network has advantage of the inference functionality which can infer with only some of provided data, so studies of the intrusion system based on Bayesian network have been conducted in the prior. However, there were some limitations to calculate high detection performance because it didn't consider the problems as like complexity of the relation among network packets or continuos input data processing. Therefore, in this paper we proposed two methodologies based on K-menas clustering to improve detection rate by reforming the problems of prior models. At first, it can be improved by sophisticatedly setting interval range of nodes based on K-means clustering. And for the second, it can be improved by calculating robust CPT through applying weighted-leaning based on K-means clustering, too. We conducted the experiments to prove performance of our proposed methodologies by comparing K_WTAN_EM applied to proposed two methodologies with prior models. As the results of experiment, the detection rate of proposed model is higher about 7.78% than existing NBN(Naive Bayesian Network) IDS model, and is higher about 5.24% than TAN(Tree Augmented Bayesian Network) IDS mode and then we could prove excellence our proposing ideas.
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
문제 정의
따라서 본 논문에서는 기존 베이지안 네트워크 침입탐지 모델의 한계점을 개선하고자 K-means 클러스터링을 활용한 두 가지 방법론을 제안한다. 첫 번째로는 K-means 클러스터링 기반의 정교한 노드구간 범위 설정을 통하여 연속성을 가진 데이터 처리 문제를 개선하고, 두 번째로는 K-means 클러스터링을 기반으로 산출된 가중치를 학습에의 적용하여 각 속성 필드가 갖는 중요성이 반영된 CPT를 구성할 수 있게 한다.
본 논문에서는 베이지안 네트워크의 노드구간 범위 산출 방법과 각 노드가 지닌 중요성을 반영하기 위한 가중치 적용 학습을 통해 이전 침입탐지 모델들의 한계를 보완하고 탐지율을 개선할 것을 제안하고 있다. 그림 3은 제안하는 침입탐지 모델의 프로세스 처리 흐름을 나타낸 것이다.
본 논문에서는 앞서 언급된 베이지안 기반의 침입탐지 모델들의 한계를 개선하고자 K-means 클러스터링을 통한 가중치 학습방법과 노드상태 구간을 정교하게 설정할 수 있는 방법을 제안한다. 다음 2.
본 논문에서는 이러한 연속성 데이터 처리 문제를 베이지안 네트워크의 특성과 K-means 클러스터링을 이용하여 처리하고자 한다. 베이지안 네트워크에서는 입력되는 데이터가 연속성 특징을 가질 때 각 노드의 상태 파라미터가 범위형 변수로 표현될 수 있다.
본 연구를 통해 이전보다 향상된 탐지율을 가진 침입탐지모델이 제시되었다. 그러나 네트워크에 대한 위협은 기술의 발전과 함께 끊임없이 진화하고 있기 때문에 지속적으로 확장된 연구가 요구된다.
본 절에서는 실험을 통하여 제안하는 방법의 우수성을 입증하고자 한다. 실험은 TAN, K_TAN, WTAN_EM, K_WTAN_EM을 대상으로 한다.
그렇기 때문에 각각의 노드가 갖는 중요도를 반영한 학습이 이루어질 경우 학습의 질 뿐 아니라 베이지안 네트워크의 추론 성능을 향상 시킬 수 있다. 이에 본 논문에서는 K-means 클러 스터링을 기반으로 산출된 가중치를 부여한 파라미터 학습 방안을 제안한다.
그러나 이에 따라 증가하고 있는 네트워크 패킷의 다양한 정보를 악용하여 네트워크에 연결된 시스템에 침입해 개인의 정보를 위협하거나 서비스를 마비시키는 등의 악의적인 위협과 고역의 발생 빈도 또한 높아지고 있다. 이에 본 연구에서는 몇몇 네트워크 패킷 속성 정보만으로도 공격 유무를 판단하고 각 공격에 대하여 정확도 높은 분류가 가능한 베이지안 네트워크와 이를 개선시키기 위하여 K-means 클러스터링을 이용한 탐지율 개선 방법론을 제안하였다. 즉, 기존 베이지안 침입탐지 모델들의 한계를 개선하고자 ‘K-means 클러스터링 기반의 정교한 노드상태 설정방법’과 ‘K-menas 클러스터링 기반 가중치 산출 및 학습에의 적용 방법’을 제안하고 방법의 적용을 통해 높은 탐지율을 갖는 침입탐지 모델을 설계하였다.
제안 방법
TAN은 기존 연구에서 제시된 모델로 Najafi의 연구에서 제시된 Tree Augmented Naive Bayesian Network 기반의 IDS 모델이다. 기존 TAN을 개선하고자 K_TAN은 제안하는 노드상태 범위 설정 방법을 적용하였고, WTAN_EM은 제안하는 가중치 산출 방법론을 적용하였다. 마지막으로, 제안하는 두 가지 방법 모두를 적용한 K_WTAN_EM 모델의 정확도 측정 결과를 통해 제안하는 방법의 우수성을 입증 할 수 있었다.
첫 번째로는 K-means 클러스터링 기반의 정교한 노드구간 범위 설정을 통하여 연속성을 가진 데이터 처리 문제를 개선하고, 두 번째로는 K-means 클러스터링을 기반으로 산출된 가중치를 학습에의 적용하여 각 속성 필드가 갖는 중요성이 반영된 CPT를 구성할 수 있게 한다. 따라서 이 두 가지 방법 모두를 적용할 경우 최종적으로 향상된 탐지율을 가진 침입탐지 모델을 산출해 낸다.
표 6은 본 연구의 실험환경을 표로 정리한 것으로, Intel Core i5 3GHz의 CPU와 8G의 RAM을 사용하였고 Window7 64bit의 운영체제를 기본으로 사용하고 있다. 또한, WEKA를 이용하여 클러스터링을 산출하였으며 Netica를 이용하여 베이지안 네트워크의 그래픽 모델을 산출할 수있었다.
베이지안 네트워크의 추론은 어떤 현상의 추이를 직접적으로 재단하지 않고서도 현재 관찰자가 알고 있는 사실과 새로이 관찰된 몇 가지 증거치 간의 상호작용을 바탕으로 해당 대상의 사후확률을 판단한다. 이는 사전확률(prior probability) P(A)와 우도확률(likelihood probability) P(BlA)가 주어졌을 때 사후확률(posterior probability) P(BlA)를 알 수 있는 베이즈이론(Bayes' Theorem)을 기반으로 하고 있다.
본 논문에서는 침입탐지 모델의 탐지 정확도 향상을 위하여 K-means 클러스터링을 통해 산출된 가중치 적용하여 파라미터 학습을 수행한다. 표 4는 제안하는 가중치를 산출 방법의 알고리즘이다.
실험에서의 정확도 산출은 해당 모델이 정상(normal)과 비정상(abnormal: Dos, Probe, U2R, R2L) 행위를 얼마나 정확히 탐지해 낼 수 있는가를 판단하는 적중률을 이용한다. 적중률의 산출은 식 (2)와 같다.
EM 학습은 어떤 숨겨진 정보에 대하여 가장 그럴듯한 모델을 추정할 때 효과적인 알고리즘으로 숨겨진 분포함수를 대상으로 최적의 파라미터를 찾아내어 안정적인 CPT 구성을 가능하게 해준다. 이러한 이점을 바탕으로 특정 패킷 데이터 필드의 부재가 발생 가능한 상황을 고려하여 학습에의 EM 알고리즘을 선정하여 적용하였다.
이러한 침입탐지 시스템은 대게 통신에서 발생하는 트래픽이나 패킷정보들을 수집하고 분석하여 공격 패턴을 추출한다. 그리고 공격 패턴이 추출되면 이를 기반으로 침입을 탐지하여 적절한 대응을 취할 수 있게 하고 있다[2].
즉, 기존 베이지안 침입탐지 모델들의 한계를 개선하고자 ‘K-means 클러스터링 기반의 정교한 노드상태 설정방법’과 ‘K-menas 클러스터링 기반 가중치 산출 및 학습에의 적용 방법’을 제안하고 방법의 적용을 통해 높은 탐지율을 갖는 침입탐지 모델을 설계하였다.
따라서 본 논문에서는 기존 베이지안 네트워크 침입탐지 모델의 한계점을 개선하고자 K-means 클러스터링을 활용한 두 가지 방법론을 제안한다. 첫 번째로는 K-means 클러스터링 기반의 정교한 노드구간 범위 설정을 통하여 연속성을 가진 데이터 처리 문제를 개선하고, 두 번째로는 K-means 클러스터링을 기반으로 산출된 가중치를 학습에의 적용하여 각 속성 필드가 갖는 중요성이 반영된 CPT를 구성할 수 있게 한다. 따라서 이 두 가지 방법 모두를 적용할 경우 최종적으로 향상된 탐지율을 가진 침입탐지 모델을 산출해 낸다.
대상 데이터
10개 실험 데이터 셋 대상 1개 셋에 포함된 Normal의 개수는 약 96.4개, Abnormal의 개수는 약 403.6개로 구성되어 있다. 표 10에서 약 1% 미만으로 산출된 F/P로 보아 제안하는 시스템의 오탐율에 대한 우수성을 보일 수 있다.
본 연구에서 수행되는 모든 실험데이터 자료는 KDD Cup 99 데이터 셋을 이용한다. KDD Cup 99는 침입탐지 연구 분야에서 성능평가를 위해 널리 사용되고 있는 데이터집합으로 총 41개의 특징 필드를 포함하고 있고 정상적인 연결기록과 비정상적인 연결기록을 수집한 네트워크 패킷 데이터 집합이다[12].
KDD Cup 99는 침입탐지 연구 분야에서 성능평가를 위해 널리 사용되고 있는 데이터집합으로 총 41개의 특징 필드를 포함하고 있고 정상적인 연결기록과 비정상적인 연결기록을 수집한 네트워크 패킷 데이터 집합이다[12]. 실제 실험에서 사용되고 있는 KDD Cup 99 10% 버전 데이터의 구성은 총 494,021개의 TCP 패킷 연결 정보를 담고 있으며 표 7은 각 공격유형에 따른데이터의 구성을 표로 정리한 것이다. 또한 본 실험에서는 객관적인 실험평가를 위하여 각 실험 결과의 수치들을 랜덤으로 500개씩 추출한 10개의 실험데이터 셋을 대상으로 10 회 수행한 결과의 평균을 산출하여 제시하고 있다.
본 절에서는 실험을 통하여 제안하는 방법의 우수성을 입증하고자 한다. 실험은 TAN, K_TAN, WTAN_EM, K_WTAN_EM을 대상으로 한다. TAN은 기존 연구에서 제시된 모델로 Najafi의 연구에서 제시된 Tree Augmented Naive Bayesian Network 기반의 IDS 모델이다.
이론/모형
다양한 클러스터링 알고리즘 중에서도 본 논문에서는 분할 접근의 대표적 기법이자 숫자속성(numeric attribute) 데이터를 군집화하는데 잘 알려진 K-means 클러스터링을 채택하였다. K-means 클러스터링은 객체의 집합 내에 선정된 k개의 중심점(centroid)을 기준으로 그 점에서 가장근접한 항목들을 각 클러스터에 할당한다.
본 논문의 제안하는 침입탐지 시스템의 학습에는 EM(Expectation Maximization) 학습 알고리즘을 이용한 다. EM 학습은 어떤 숨겨진 정보에 대하여 가장 그럴듯한 모델을 추정할 때 효과적인 알고리즘으로 숨겨진 분포함수를 대상으로 최적의 파라미터를 찾아내어 안정적인 CPT 구성을 가능하게 해준다.
침입탐지 모델의 프로세스가 시작되면 초기 침입탐지 네트워크를 형성한다. 초기 네트워크 설정시 네트워크의 구조는 Khor의 연구에서 제시된 feature selection과 Najafi에서 제안된 현실세계를 보다 고차원적으로 반영한 베이지안 네트워크의 확장모델인 TAN구조를 기본으로 한다.
성능/효과
10회 평균값을 기준으로 TAN < K_TAN < WTAN_EM < K_WTAN_EM 순으로 적중률이 향상되었으며, 이전 모델인 TAN보다 제안하는 K_WTAN_EM 모델이 평균 적중률 5.648%의 향상된 결과를 산출하였다.
제안하는 방법의 성능을 검증하기 위하여 이전 모델들과의 비교실험을 통해 탐지율을 평가하였고, 실험결과 제안하는 두 가지 방법 모두를 적용한 K_WTAN_EM 모델이 가장 높은 탐지율과 성능의 안정성을 보였다. K_WTAN_EM 모델의 탐지율은 이전 모델인 순수베이지안 네트워크 기반 모델(NBN) 보다는 약 7.78%를 향상시켰고, 트리확장 순수 베지이지안 네트워크 모델(TAN) 보다는 약 5.24%의 향상된 결과를 산출하여 제안하는 방법의 우수성을 입증하였다. 이는 제안하는 방법의 적용이 학습의 질을 개선시켜 보다 정교한 CPT의 구성을 가능하게 하고, 이를 통해 높은 탐지 성능을 산출 할 수 있었음을 의미한다.
기존 TAN을 개선하고자 K_TAN은 제안하는 노드상태 범위 설정 방법을 적용하였고, WTAN_EM은 제안하는 가중치 산출 방법론을 적용하였다. 마지막으로, 제안하는 두 가지 방법 모두를 적용한 K_WTAN_EM 모델의 정확도 측정 결과를 통해 제안하는 방법의 우수성을 입증 할 수 있었다. 표 8은 실험에 이용되는 모델들의 특징을 정리한 것이다.
이를 개선하기 위해서 Najafi의 연구에서는 TAN(Tree Augmented Naive Bayesian Network) 기반의 침입탐지 모델을 제시함으로써 보다 고차원적인 현실세계의 복잡성을 반영한 모델을 제시하였다[10]. 이는 각 데이터 필드간이 갖는 관계성이 추가된 네트워크 구조로의 확장을 통해 이전 모델들 보다 현실세계에 가까운 침입탐지 모델을 설계하여 탐지율 개선 효과를 보일 수 있었다. 그러나 Najafi의 연구에서는 노드간의 연관성만 반영되었을 뿐, 각각의 노드가 탐지 결과에 영향을 미치는 중요도를 고려하지 못하였다.
24%의 향상된 결과를 산출하여 제안하는 방법의 우수성을 입증하였다. 이는 제안하는 방법의 적용이 학습의 질을 개선시켜 보다 정교한 CPT의 구성을 가능하게 하고, 이를 통해 높은 탐지 성능을 산출 할 수 있었음을 의미한다.
제안하는 방법의 성능을 검증하기 위하여 이전 모델들과의 비교실험을 통해 탐지율을 평가하였고, 실험결과 제안하는 두 가지 방법 모두를 적용한 K_WTAN_EM 모델이 가장 높은 탐지율과 성능의 안정성을 보였다. K_WTAN_EM 모델의 탐지율은 이전 모델인 순수베이지안 네트워크 기반 모델(NBN) 보다는 약 7.
특히, 베이지안 네트워크 기반의 침입탐지 시스템의 경우 주로 학습을 통하여 탐지율 개선의 연구가 진행되고 있지만 학습 방법론뿐만 아니라 학습 데이 터의 질 또한 탐지 성능을 높이는 데 주요 요소가 될 수 있다. 즉, 본 논문에서 이용했던 KDD Cup 99의 경우에도 DoS 공격이 전체 공격 데이터 비율의 80%이상을 차지하고 있어 기타 Probe나 U2R, R2L과 같은 공격 특성의 학습효과가 상대적으로 낮은 학습효과를 보여 왔다. 이에 향후에는 열악한 학습 데이터의 한계를 극복하여 보다 높은 탐지율을 갖는 침입탐지 모델의 연구가 지속되어야 할 것이다
6개로 구성되어 있다. 표 10에서 약 1% 미만으로 산출된 F/P로 보아 제안하는 시스템의 오탐율에 대한 우수성을 보일 수 있다. 상대적으로 높이 산출된 T/N의 수치로 미탐에는 취약할 수 있으나, 향후 차단 룰 설정을 통해 개선된 미탐율을 산출할 수 있을 것으로 판단된다.
후속연구
그렇기 때문에 이들 노드 상태의 효율적인 범주 설정에 따라 최적화된 관측치를 입력 받을 수 있다. 따라서 이용되는 데이터들의 특성을 바탕으로 각 노드 상태범주의 구간이 설정되면 보다 정확도 높은 탐지 결과를 얻을 수 있을 것이다. 그러나 이전 연구들에서는 노드구간 설정 문제를 고려하지 못하고 있어 침입탐지 모델들이 보다 높은 탐지율을 산출하는 데 있어 한계를 보이고 있다.
training 데이터로 판단되는 경우에는 이를 분석하여 K-means 클러스터링 기반의 노드구간 범위와 가중치를 산출하고 산출된 가중치는 학습에의 적용되어 보다 견고한 CPT를 산출할 수 있게 된다. 또한, test 데이터로 판별된 데이터들은 침입탐지를 수행하며 공격으로 의심되는 경우에는 관리자에게 이를 보고하고, 이상 데이터는 데이터 저장소에 보관되어 향후 learning 데이터로 이용될 수 있다. 본 프로세스는 다음 패킷 데이터의 입력이 끝날 때까지 지속적으로 반복 수행되며 더 이상의 입력이 없을 경우 종료된다.
표 10에서 약 1% 미만으로 산출된 F/P로 보아 제안하는 시스템의 오탐율에 대한 우수성을 보일 수 있다. 상대적으로 높이 산출된 T/N의 수치로 미탐에는 취약할 수 있으나, 향후 차단 룰 설정을 통해 개선된 미탐율을 산출할 수 있을 것으로 판단된다.
즉, 본 논문에서 이용했던 KDD Cup 99의 경우에도 DoS 공격이 전체 공격 데이터 비율의 80%이상을 차지하고 있어 기타 Probe나 U2R, R2L과 같은 공격 특성의 학습효과가 상대적으로 낮은 학습효과를 보여 왔다. 이에 향후에는 열악한 학습 데이터의 한계를 극복하여 보다 높은 탐지율을 갖는 침입탐지 모델의 연구가 지속되어야 할 것이다
그림 4는 본 연구의 실험에서 사용되는 모든 모델들의 탐지성능을 그래프로 표현한 것이다. 제안하는 두 가지 방법 모두를 적용한 K_WTAN_EM 모델의 그래프가 평균적으로 가장 우위에 위치하고 움직임의 폭이 적은 것으로 보아 성능의 안정성 및 탐지율 개선 효과를 입증하는 바이다.
질의응답
핵심어
질문
논문에서 추출한 답변
침입탐지 시스템은 무엇인가?
침입탐지 시스템은 통신에서 발생하는 네트워크 트래픽 이나 패킷 데이터들을 수집하여 분석함으로써 네트워크의 악의적인 행위들을 찾아내는 보안 솔루션이다. 침입탐지에서 주로 이용되고 있는 트래픽이나 패킷 데이터들은 해당 네트워크의 출발지 주소나 발생시간, 서비스 종류 등의 다양한 정보필드로 구성되어 있다.
베이지안 네트워크는 대상의 사후확률을 판단하는데 어떤 이론을 기반으로 하는가?
베이지안 네트워크의 추론은 어떤 현상의 추이를 직접적으로 재단하지 않고서도 현재 관찰자가 알고 있는 사실과새로이 관찰된 몇 가지 증거치 간의 상호작용을 바탕으로 해당 대상의 사후확률을 판단한다. 이는 사전확률(prior probability) P(A)와 우도확률(likelihood probability) P(BlA)가 주어졌을 때 사후확률(posterior probability) P(BlA)를 알 수 있는 베이즈이론(Bayes' Theorem)을 기반으로 하고 있다. 베이즈 이론을 바탕으로 한 추론은 각 사건의 독립성과 명확한 사전확률이 요구된다.
트래픽이나 패킷 데이터들은 무엇으로 구성되어 있는가?
침입탐지 시스템은 통신에서 발생하는 네트워크 트래픽 이나 패킷 데이터들을 수집하여 분석함으로써 네트워크의 악의적인 행위들을 찾아내는 보안 솔루션이다. 침입탐지에서 주로 이용되고 있는 트래픽이나 패킷 데이터들은 해당 네트워크의 출발지 주소나 발생시간, 서비스 종류 등의 다양한 정보필드로 구성되어 있다. 그렇기 때문에 이들의 속성 정보들을 분석을 통해 네트워크의 비정상 행위에 대한 패턴을 추출해 낼 수 있다.
참고문헌 (12)
Tsuchiya, Paul F. "The IP Network Address Translator (Nat): Preliminary Design," work in progress, 1991.
Kim Hyun-Woo, Shin Seong-Jun, Lee Seung-Min, and Jeong Seok-Bong, "Network-based Intrusion Detection Scheme using Markov Chin Model," Journal of Decision Science, vol.20, no.1, pp.75-88, Nov. 2012.
Chickering, David Maxwell, "Learning equivalence classes of Bayesian-network structures," The Journal of Machine Learning Research, no.2, pp.445-498, 2002.
M. Julia Flores, Jose A, Gamez, Ana M, Martinez, Jose M, and PuertaFlores, "Handling numeric attributes when comparing Bayesian network classifiers: does the discretization method matter?," Applied Intelligence, vol.34, no.3, pp.372-385, 2011.
Bayes, Thomas, "An essay toward solving a problem in the doctrine of chances," Philosophical Transactions of the Royal Society of London 53, 1984.
Jun-hyeng choi, Joong-bae Kim, Dae-su Kim and Kee-wook Rim, "Bayesian Model for Probabilistic Unsupervised Learning," Proceedings of KIIS Conference, vol.11, no.9, pp.849-854, 2011.
Murphy, Kevin. "A brief introduction to graphical models and Bayesian networks," 1998.
Jemili, Farah, Montaceur Zaghdoud, and M. Ben Ahmed, "A framework for an adaptive intrusion detection system using Bayesian network," Intelligence and Security Informatics, pp.66-70, 2007.
Khor, Kok-Chin, Choo-Yee Ting, and Somnuk-Phon Amnuaisuk, "From feature selection to building of Bayesian classifiers: A network intrusion detection perspective," American Journal of applied sciences, vol.6, no.11, 2009.
Najafi, R., and Mohsen Afsharchi. "Network Intrusion Detection Using Tree Augmented Naive-Bayes." The Third International Conference on Contemporary Issues in Computer and Information Sciences (CICIS'12), 2012.
Ian H. Witten, Eibe Frank, "Data Mining," Morgan Kaufmann Publishers, pp.238-246, 2000.
Kayacik, H. Gunes, A. Nur Zincir-Heywood, and Malcolm I. Heywood. "Selecting features for intrusion detection: a feature relevance analysis on KDD 99 intrusion detection datasets," Proceedings of the third annual conference on privacy, security and trust, 2005.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.