침입탐지시스템은 네트워크 데이터 분석을 통해 네트워크 침입을 탐지하는 역할을 수행하고 침입탐지를 위해 높은 수치의 정확도와 탐지율, 그리고 낮은 수치의 오경보율이 요구된다. 또한 네트워크 데이터 분석을 위해서는 전문가 시스템, 데이터 마이닝, 상태전이 분석(state transition analysis) 등 다양한 기법이 이용된다. 본 연구의 목적은 데이터 마이닝을 이용한 네트워크 침입탐지기법인 두 기법의 탐지효과를 비교하는데 있다. 첫번째 기법은 기계학습 알고리즘인 SVM이고 두번째 알고리즘은 인공 신경망 모형 중의 하나인 FANN이다. 두 기법의 탐지효과를 비교하기 위해 침입 탐지에 많이 쓰이는 KDD Cup 99 훈련 및 테스트 데이터를 이용하여 탐지의 정확도, 탐지율, 오경보율을 계산하고 비교하였다. 정상적인 데이터를 침입으로 간주하는 오경보율의 경우 SVM보다 FANN이 약간 많은 오경보율을 보이나, 탐지의 정확도 및 침입을 찾아내는 탐지율에서 FANN은 SVM보다 월등한 탐지효과를 보여준다. 정상적인 데이터를 침입으로 간주했을 때의 위험보다는 실제 침입을 정상적인 데이터로 인식할 때의 위험도가 훨씬 큰 것을 감안하면 FANN이 SVM보다 침입탐지에 훨씬 효과적임을 보이고 있다.
침입탐지시스템은 네트워크 데이터 분석을 통해 네트워크 침입을 탐지하는 역할을 수행하고 침입탐지를 위해 높은 수치의 정확도와 탐지율, 그리고 낮은 수치의 오경보율이 요구된다. 또한 네트워크 데이터 분석을 위해서는 전문가 시스템, 데이터 마이닝, 상태전이 분석(state transition analysis) 등 다양한 기법이 이용된다. 본 연구의 목적은 데이터 마이닝을 이용한 네트워크 침입탐지기법인 두 기법의 탐지효과를 비교하는데 있다. 첫번째 기법은 기계학습 알고리즘인 SVM이고 두번째 알고리즘은 인공 신경망 모형 중의 하나인 FANN이다. 두 기법의 탐지효과를 비교하기 위해 침입 탐지에 많이 쓰이는 KDD Cup 99 훈련 및 테스트 데이터를 이용하여 탐지의 정확도, 탐지율, 오경보율을 계산하고 비교하였다. 정상적인 데이터를 침입으로 간주하는 오경보율의 경우 SVM보다 FANN이 약간 많은 오경보율을 보이나, 탐지의 정확도 및 침입을 찾아내는 탐지율에서 FANN은 SVM보다 월등한 탐지효과를 보여준다. 정상적인 데이터를 침입으로 간주했을 때의 위험보다는 실제 침입을 정상적인 데이터로 인식할 때의 위험도가 훨씬 큰 것을 감안하면 FANN이 SVM보다 침입탐지에 훨씬 효과적임을 보이고 있다.
IDS (Intrusion Detection System) is used to detect network attacks through network data analysis. The system requires a high accuracy and detection rate, and low false alarm rate. In addition, the system uses a range of techniques, such as expert system, data mining, and state transition analysis to...
IDS (Intrusion Detection System) is used to detect network attacks through network data analysis. The system requires a high accuracy and detection rate, and low false alarm rate. In addition, the system uses a range of techniques, such as expert system, data mining, and state transition analysis to analyze the network data. The purpose of this study was to compare the performance of two data mining methods for detecting network attacks. They are Support Vector Machine (SVM) and a neural network called Forward Additive Neural Network (FANN). The well-known KDD Cup 99 training and test data set were used to compare the performance of the two algorithms. The accuracy, detection rate, and false alarm rate were calculated. The FANN showed a slightly higher false alarm rate than the SVM, but showed a much higher accuracy and detection rate than the SVM. Considering that treating a real attack as a normal message is much riskier than treating a normal message as an attack, it is concluded that the FANN is more effective in intrusion detection than the SVM.
IDS (Intrusion Detection System) is used to detect network attacks through network data analysis. The system requires a high accuracy and detection rate, and low false alarm rate. In addition, the system uses a range of techniques, such as expert system, data mining, and state transition analysis to analyze the network data. The purpose of this study was to compare the performance of two data mining methods for detecting network attacks. They are Support Vector Machine (SVM) and a neural network called Forward Additive Neural Network (FANN). The well-known KDD Cup 99 training and test data set were used to compare the performance of the two algorithms. The accuracy, detection rate, and false alarm rate were calculated. The FANN showed a slightly higher false alarm rate than the SVM, but showed a much higher accuracy and detection rate than the SVM. Considering that treating a real attack as a normal message is much riskier than treating a normal message as an attack, it is concluded that the FANN is more effective in intrusion detection than the SVM.
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
문제 정의
훈련 및 테스트에는 침입탐지 분야에서 널리 이용되는 KDD Cup 99 데이터세트를 이용하였고 연구의 목적에 맞게 데이터 전처리, 표본 추출의 과정을 거쳐 실험 데이터를 구성하였다. 본 연구는 기존의 침입탐지 연구에 적용된 적이 없는 FANN 기법을 이용하여 실험을 진행한 점에 그 의미가 있다.
본 연구는 데이터 마이닝 기법인 SVM(Support Vector Machine)과 인공 신경망의 하나인 FANN(Forward Additive Neural Network)을 이용하여 침입탐지에 대한 효과를 비교하는데 그 목적이 있다. SVM은 최근 다양한 분야에서 이용되고 있는 기계학습 알고리즘으로 우수한 성능을 보이는 것으로 알려져 있으며, FANN 기법은 역전파 알고리즘의 단점을 보완한 인공 신경망 기법으로 기존 침입탐지 연구에 적용된 적이 없는 기법이다.
분류의 기법으로는 의사결정트리 기법의 알고리즘은 C5, CRT, CHAID, Quest를 이용하였다. 이 연구에서는 C5 알고리즘과 단계 모형을 적용할 경우 높은 탐지율을 나타내는 것으로 결과를 제시하였다[16].
첫째 본 연구는 FANN 기법과 기존 연구에 사용된 기법 간 탐지 효과를 비교하는데 있었다. FANN 기법은 탐지의 정확도와 탐지율에서 SVM에 비해 높은 수치를 나타내었다.
가설 설정
N개의 데이터를 포함하는 훈련 표본이 있고 각 데이터는 p개의 속성을 가지며, 두 개의 클래스에 포함된다고 가정한다. 훈련 집합의 두 클래스가 선형으로 분리 가능한 경우라면 훈련 집합의 각 데이터는 p차원의 공간에서 Fig.
제안 방법
각 표본 데이터는 SVM 기법의 훈련과 테스트를 위에 Weka에서 사용하는 ARFF 파일 형식과 FANN 기법의 훈련 및 테스트를 위한 MS-Access 파일 형식으로 변환하여 연구를 진행하였다.
본 과정에서는 전처리 된 데이터세트를 이용하여 SVM과 FANN 기법을 적용하여 훈련 및 테스트를 진행하였다. 정상 데이터의 비율에 따라 생성된 9개의 훈련 데이터세트를 사용하여 데이터 훈련을 진행하였고, 이를 바탕으로 9회에 걸쳐 테스트를 진행하였다.
SVM은 최근 다양한 분야에서 이용되고 있는 기계학습 알고리즘으로 우수한 성능을 보이는 것으로 알려져 있으며, FANN 기법은 역전파 알고리즘의 단점을 보완한 인공 신경망 기법으로 기존 침입탐지 연구에 적용된 적이 없는 기법이다. 본 연구에서는 DARPA(Defense Advanced Research Projects Agency)에서 개발된 KDD Cup 99 데이터세트를 이용하고 침입탐지 과정의 정확도, 탐지율, 오경보율[8]을 계산하여 그 효과를 비교하였다.
4와 같다. 본 연구에서는 KDD Cup 99 데이터세트를 이용하여 연구의 목적에 맞게 샘플링하고 적절한 형태로 변형하는 데이터 전처리의 과정을 거친 후, SVM 기법의 훈련과 테스트를 위해 Weka 데이터 마이닝 도구를 이용하였으며, FANN 기법의 훈련과 테스트는 별도의 작성된 프로그램을 이용하여 연구를 진행하였다. 분석 및 결과 비교 단계에서는 두 기법의 테스트에 대한 정확도(accuracy), 탐지율(detection rate), 오경보율(false alarm rate)를 계산하여 비교하였으며, 이를 바탕으로 결론을 도출하였다.
본 연구에서는 KDD Cup 99 데이터세트를 이용하여 테스트 및 분석을 진행하였다.
또한 침입탐지시스템은 낮은 오경보율을 나타내어야 한다. 본 연구에서는 SVM과 FANN의 두 가지 데이터 마이닝 기법을 적용하여 침입탐지 과정의 정확도, 탐지율, 오경보율을 바탕으로 기법 간 침입탐지 효율성을 측정 및 비교하였다. 훈련 및 테스트에는 침입탐지 분야에서 널리 이용되는 KDD Cup 99 데이터세트를 이용하였고 연구의 목적에 맞게 데이터 전처리, 표본 추출의 과정을 거쳐 실험 데이터를 구성하였다.
본 연구에서는 KDD Cup 99 데이터세트를 이용하여 연구의 목적에 맞게 샘플링하고 적절한 형태로 변형하는 데이터 전처리의 과정을 거친 후, SVM 기법의 훈련과 테스트를 위해 Weka 데이터 마이닝 도구를 이용하였으며, FANN 기법의 훈련과 테스트는 별도의 작성된 프로그램을 이용하여 연구를 진행하였다. 분석 및 결과 비교 단계에서는 두 기법의 테스트에 대한 정확도(accuracy), 탐지율(detection rate), 오경보율(false alarm rate)를 계산하여 비교하였으며, 이를 바탕으로 결론을 도출하였다.
셋째 본 연구에서는 각 모형을 보다 정교하게 구성하지 못한 점이 있다. 연구에서 사용된 세 모형은 모두 해당 소프트웨어에서 정한 default 값을 기초로 하였다. 따라서 보다 나은 탐지 성과를 위해 각 모형을 정교하게 작성할 필요가 있다.
정상 데이터의 비율에 따라 생성된 9개의 훈련 데이터세트를 사용하여 데이터 훈련을 진행하였고, 이를 바탕으로 9회에 걸쳐 테스트를 진행하였다. 이 중 SVM 기법은 Weka에 LIBSVM 라이브러리를 추가하여 연구를 진행하였다. LIBSVM은 다양한 SVM 모형을 적용할 수 있는 통합 소프트웨어로 두 클래스나 여러 클래스를 분류하기 위한 SVC(support vector classification), 회귀 분석을 위한 SVR(support vector regression)과 단일 클래스 SVM의 3가지 기능을 포함하고 있다[24].
본 과정에서는 전처리 된 데이터세트를 이용하여 SVM과 FANN 기법을 적용하여 훈련 및 테스트를 진행하였다. 정상 데이터의 비율에 따라 생성된 9개의 훈련 데이터세트를 사용하여 데이터 훈련을 진행하였고, 이를 바탕으로 9회에 걸쳐 테스트를 진행하였다. 이 중 SVM 기법은 Weka에 LIBSVM 라이브러리를 추가하여 연구를 진행하였다.
훈련 표본은 10% KDD Cup 99 데이터세트를 이용하여 정상 데이터 비율을 각각 10%, 20%, 30%, 40%, 50%, 60%, 70%, 80%, 90%로 포함하고 공격 데이터 비율을 각각 90%, 80%, 70%, 60%, 50%, 40%, 30%, 20%, 10%로 포함하도록 구성하였으며, 10% KDD Cup 99 데이터세트에서 나타나는 공격유형별 비율에 맞추어 랜덤으로 추출하였다. 테스트 표본은 Corrected 10% 테스트 데이터세트에서 나타나는 정상 데이터와 공격 데이터의 비율에 근거하여 랜덤으로 추출하였다.
위 데이터세트는 41개의 속성 외에 세부 공격 패턴을 포함하고 있어 연구의 두 기법의 효율성을 평가하는데 유용하게 사용되었다. 텍스트 파일 형식인 데이터세트는 MS-Access로 데이터베이스화 하였으며, 37개의 세부 공격패턴으로 구성된 공격 데이터 속성은 연구의 목적에 맞게 Probe, DoS, U2R, R2L의 공격유형으로 변환하여 연구를 진행하였다[7]. 훈련과 테스트에 이용된 데이터세트의 용량과 레코드 수는 Table 2와 같다.
훈련 표본은 10% KDD Cup 99 데이터세트를 이용하여 정상 데이터 비율을 각각 10%, 20%, 30%, 40%, 50%, 60%, 70%, 80%, 90%로 포함하고 공격 데이터 비율을 각각 90%, 80%, 70%, 60%, 50%, 40%, 30%, 20%, 10%로 포함하도록 구성하였으며, 10% KDD Cup 99 데이터세트에서 나타나는 공격유형별 비율에 맞추어 랜덤으로 추출하였다. 테스트 표본은 Corrected 10% 테스트 데이터세트에서 나타나는 정상 데이터와 공격 데이터의 비율에 근거하여 랜덤으로 추출하였다.
대상 데이터
KDD Cup 99 데이터세트는 발표된 시점으로부터 10여년의 시간적 차이가 있고 새로운 공격유형의 등장과 네트워크 환경의 변화에도 불구하고 침입탐지 분야에서 널리 이용되는 데이터이다[6,8,16,23]. KDD Cup 99 데이터세트는 정상 데이터와 Probe, DoS, U2R, R2L의 4가지 공격유형으로 구성된다.
둘째 본 연구는 연구 목적 및 환경을 고려하여 제한적인 수의 데이터를 이용하였다. 따라서 본 연구의 결과를 일반화하기 위해서는 실험 데이터의 전체 데이터세트를 이용하여 연구를 진행할 필요가 있고 KDD Cup 99 데이터세트 외에 현재의 공격 기법이나 네트워크 환경을 반영하는 데이터를 이용하여 연구를 진행하는 것도 중요한 의미가 있을 것이다.
본 연구에서는 연구과정의 일반적인 컴퓨터 환경과 연구의 목적을 고려하여 대용량 데이터인 KDD Cup 99 데이터세트를 이용하기 위해 데이터 전처리 과정을 거쳐 연구를 진행하였다. 본 연구에서는 10% KDD Cup 99 데이터세트를 이용하여 훈련 표본을 추출하였으며, 테스트 표본 추출을 위해서는 Corrected 10% 테스트 데이터 세트를 이용하였다. 위 데이터세트는 41개의 속성 외에 세부 공격 패턴을 포함하고 있어 연구의 두 기법의 효율성을 평가하는데 유용하게 사용되었다.
본 연구에서는 연구과정의 일반적인 컴퓨터 환경과 연구의 목적을 고려하여 대용량 데이터인 KDD Cup 99 데이터세트를 이용하기 위해 데이터 전처리 과정을 거쳐 연구를 진행하였다. 본 연구에서는 10% KDD Cup 99 데이터세트를 이용하여 훈련 표본을 추출하였으며, 테스트 표본 추출을 위해서는 Corrected 10% 테스트 데이터 세트를 이용하였다.
본 연구에서는 SVM과 FANN의 두 가지 데이터 마이닝 기법을 적용하여 침입탐지 과정의 정확도, 탐지율, 오경보율을 바탕으로 기법 간 침입탐지 효율성을 측정 및 비교하였다. 훈련 및 테스트에는 침입탐지 분야에서 널리 이용되는 KDD Cup 99 데이터세트를 이용하였고 연구의 목적에 맞게 데이터 전처리, 표본 추출의 과정을 거쳐 실험 데이터를 구성하였다. 본 연구는 기존의 침입탐지 연구에 적용된 적이 없는 FANN 기법을 이용하여 실험을 진행한 점에 그 의미가 있다.
데이터처리
C4.5, SVM, 신경망 알고리즘을 적용하여 진행된 연구에서는 정확성 검증을 위해 훈련 데이터세트를 정상 데이터 비율에 따라 구성하고 cross-validation 기법으로 검증하였다[14-15]. 실험에서 C4.
본 연구에서 역전파 알고리즘의 단점을 보강한 FANN 모형을 통해 효율적인 비선형 최적화 알고리즘을 사용하며, 통계적 검증에 의해 네트워크의 크기를 최소화 하였다. FANN 모형의 특징은 다음과 같다[22].
분석 및 평가 단계에서는 정상 데이터 비율이 다른 9개의 훈련 데이터를 적용하여 얻어진 SVM 기법과 FANN 기법의 침입탐지 효과를 비교하기 위해 테스트 결과의 정확도, 탐지율, 오경보율을 계산하고 비교하였다. 계산을 위해 테스트 된 각 클래스의 데이터의 수를 Table 3 과 같이 분류한다.
이론/모형
• FANN 모형은 효율적인 지역 탐색을 위해 비선형 최소화 기법인 limited memory BFGS(Broyden–Fletcher–Goldfarb–Shanno) 기법을 이용한다.
LIBSVM은 다양한 SVM 모형을 적용할 수 있는 통합 소프트웨어로 두 클래스나 여러 클래스를 분류하기 위한 SVC(support vector classification), 회귀 분석을 위한 SVR(support vector regression)과 단일 클래스 SVM의 3가지 기능을 포함하고 있다[24]. FANN 기법은 Ahn의 C++로 작성된 프로그램을 이용하였다[22].
Ibrahim 등은 침입탐지 과정을 단계 모형(phase-model)과 수준 모형(level-model)으로 분류하였다. 분류의 기법으로는 의사결정트리 기법의 알고리즘은 C5, CRT, CHAID, Quest를 이용하였다. 이 연구에서는 C5 알고리즘과 단계 모형을 적용할 경우 높은 탐지율을 나타내는 것으로 결과를 제시하였다[16].
2와 같이 두 클래스를 선형으로 분류하기 어려운 경우 비선형 SVM으로 분류할 수 있다. 비선형 SVM에서는 선형 SVM으로 분리가 불가능한 훈련 데이터에 대해 커널 기법(kernel method)를 이용한다. 커널 기법이란 입력 데이터를 어떤 특성으로 조직화하고 이를 고차원의 특성 공간(feature space)에 매핑(mapping)하는 기법이다.
성능/효과
Table 4는 두 기법으로 테스트한 결과로부터 얻은 정확도를 보여준다. 9번의 모든 테스트에서 FANN 기법이 월등히 높은 정확도를 나타내었다. SVM 기법의 정확도 평균은 78.
91%의 차이를 보였다. FANN 기법은 정상 데이터 비율이 증가하여도 91%에서 93%의 범위에서 일정한 정확도를 나타내었으나, SVM 기법은 정상 데이터 증가에 따라 정확도가 낮아지는 추세를 보였다.
모든 테스트에서 SVM 기법의 오경보율이 상대적으로 낮게 나타났다. SVM 기법의 오경보율 평균은 0.05%, FANN 기법의 오경보율 평균은 1.40%로 났으며, 두 기법의 오경보율율 평균은 1.35%의 차이를 보였다.
9번의 모든 테스트에서 FANN 기법이 월등히 높은 정확도를 나타내었다. SVM 기법의 정확도 평균은 78.25%, FANN 기법의 정확도 평균은 92.16%로 났으며, 두 기법의 정확도 평균은 13.91%의 차이를 보였다. FANN 기법은 정상 데이터 비율이 증가하여도 91%에서 93%의 범위에서 일정한 정확도를 나타내었으나, SVM 기법은 정상 데이터 증가에 따라 정확도가 낮아지는 추세를 보였다.
정확도의 결과와 같이 모든 테스트에서 FANN 기법의 탐지율이 월등히 높게 나타났다. SVM 기법의 탐지율 평균은 73.00%, FANN 기법의 탐지율 평균은 90.60%로 났으며, 두 기법의 탐지율 평균은 17.60%의 차이를 보였다. 두 기법 모두 정상 데이터 비율의 증가에 따라 탐지율이 감소하는 추세를 보이고 있으나 SVM 기법의 탐지율이 더 큰 폭으로 감소하고 있음을 확인할 수 있었다.
넷째 본 연구에서 높은 정확도와 탐지율을 보인 기법은 높은 오경보율을 나타내었다. 현재의 침입탐지시스템은 보다 높은 정확도와 탐지율과 동시에 낮은 오경보율을 요구한다.
60%의 차이를 보였다. 두 기법 모두 정상 데이터 비율의 증가에 따라 탐지율이 감소하는 추세를 보이고 있으나 SVM 기법의 탐지율이 더 큰 폭으로 감소하고 있음을 확인할 수 있었다.
Table 6은 두 기법으로 테스트한 결과로부터 얻은 오경보율을 보여준다. 모든 테스트에서 SVM 기법의 오경보율이 상대적으로 낮게 나타났다. SVM 기법의 오경보율 평균은 0.
본 연구의 실험에서 FANN 기법이 정확도와 탐지율의 면에서 SVM 기법에 비해 월등히 높은 수치를 나타내었다. 탐지율은 두 기법 모두에서 정상 데이터 비율이 증가함에 따라 감소하는 추세를 보였으며, 그 폭은 SVM 기법에서 높게 나타났다.
SVM 기법은 낮은 오경보율을 나타내었다. 비록 FANN 기법이 SVM보다 오경보율이 약가 높으나 그 차이는 1.35%인데 반해 정확도와 탐지율에서는 FANN기법이 각각 13.91%와 17.6% 만큼 높은 결과를 보여준다. 침입 공격을 탐지함에 있어서 정상 데이터를 공격으로 인식하는 오류의 위험보다 공격 데이터를 정상 데이터로 인식하는 오류의 위험이 훨씬 크다는 점을 감안하면 침입탐지에 있어서 FANN기법이 보다 효과적이라고 할 수 있다.
5, SVM, 신경망 알고리즘을 적용하여 진행된 연구에서는 정확성 검증을 위해 훈련 데이터세트를 정상 데이터 비율에 따라 구성하고 cross-validation 기법으로 검증하였다[14-15]. 실험에서 C4.5 기법이 탐지율을 가장 높게 나타내었고 정상 데이터 비율의 증가에 따라 탐지율이 높아지는 추세를 보였다고 설명하였다.
본 연구에서는 10% KDD Cup 99 데이터세트를 이용하여 훈련 표본을 추출하였으며, 테스트 표본 추출을 위해서는 Corrected 10% 테스트 데이터 세트를 이용하였다. 위 데이터세트는 41개의 속성 외에 세부 공격 패턴을 포함하고 있어 연구의 두 기법의 효율성을 평가하는데 유용하게 사용되었다. 텍스트 파일 형식인 데이터세트는 MS-Access로 데이터베이스화 하였으며, 37개의 세부 공격패턴으로 구성된 공격 데이터 속성은 연구의 목적에 맞게 Probe, DoS, U2R, R2L의 공격유형으로 변환하여 연구를 진행하였다[7].
Table 5 는 두 기법으로 테스트한 결과로부터 얻은 탐지율을 보여준다. 정확도의 결과와 같이 모든 테스트에서 FANN 기법의 탐지율이 월등히 높게 나타났다. SVM 기법의 탐지율 평균은 73.
6% 만큼 높은 결과를 보여준다. 침입 공격을 탐지함에 있어서 정상 데이터를 공격으로 인식하는 오류의 위험보다 공격 데이터를 정상 데이터로 인식하는 오류의 위험이 훨씬 크다는 점을 감안하면 침입탐지에 있어서 FANN기법이 보다 효과적이라고 할 수 있다.
본 연구의 실험에서 FANN 기법이 정확도와 탐지율의 면에서 SVM 기법에 비해 월등히 높은 수치를 나타내었다. 탐지율은 두 기법 모두에서 정상 데이터 비율이 증가함에 따라 감소하는 추세를 보였으며, 그 폭은 SVM 기법에서 높게 나타났다. SVM 기법은 낮은 오경보율을 나타내었다.
후속연구
둘째 본 연구는 연구 목적 및 환경을 고려하여 제한적인 수의 데이터를 이용하였다. 따라서 본 연구의 결과를 일반화하기 위해서는 실험 데이터의 전체 데이터세트를 이용하여 연구를 진행할 필요가 있고 KDD Cup 99 데이터세트 외에 현재의 공격 기법이나 네트워크 환경을 반영하는 데이터를 이용하여 연구를 진행하는 것도 중요한 의미가 있을 것이다.
셋째 본 연구에서는 각 모형을 보다 정교하게 구성하지 못한 점이 있다. 연구에서 사용된 세 모형은 모두 해당 소프트웨어에서 정한 default 값을 기초로 하였다.
질의응답
핵심어
질문
논문에서 추출한 답변
SVM는 어떤 문제를 다루는 기법인가?
SVM(Support Vector Machine)은 Vapnik에 의해 개발된 기계학습 알고리즘으로 지도 학습(supervised learning)에 이용된다[17]. 기본적으로 두 개의 클래스를 분류하는 문제를 다루는 기법이고 이를 확장하여 세 개 이상의 클래스를 분류하는데 이용할 수 있다. 최근 SVM은 다양한 분야에서 널리 이용되고 있으며, 우수한 성능을 보이는 것으로 알려져 있다.
침입탐지시스템의 역할은?
침입탐지시스템은 네트워크 데이터 분석을 통해 네트워크 침입을 탐지하는 역할을 수행하고 침입탐지를 위해 높은 수치의 정확도와 탐지율, 그리고 낮은 수치의 오경보율이 요구된다. 또한 네트워크 데이터 분석을 위해서는 전문가 시스템, 데이터 마이닝, 상태전이 분석(state transition analysis) 등 다양한 기법이 이용된다.
네트워크 데이터 분석을 위해서는 어떤 기법들이 이용되는가?
침입탐지시스템은 네트워크 데이터 분석을 통해 네트워크 침입을 탐지하는 역할을 수행하고 침입탐지를 위해 높은 수치의 정확도와 탐지율, 그리고 낮은 수치의 오경보율이 요구된다. 또한 네트워크 데이터 분석을 위해서는 전문가 시스템, 데이터 마이닝, 상태전이 분석(state transition analysis) 등 다양한 기법이 이용된다. 본 연구의 목적은 데이터 마이닝을 이용한 네트워크 침입탐지기법인 두 기법의 탐지효과를 비교하는데 있다.
참고문헌 (24)
Dea-Woo Park, "Consideration for Hacking on National Cyber Security Policy," Review of KIISC, Vol. 21, No. 6, pp. 24-41, 2011.
Bace, R. and Mell, P., NIST Special Publication on Intrusion Detection Systems, BOOZ-ALLEN AND HAMILTON INC MCLEAN VA, 2001. DOI: http://dx.doi.org/10.6028/NIST.SP.800-31
Hwan Seok Yang, "The Study on Rules for Performance Improvement of Intrusion Detection System," The Journal of KINGComputing, Vol. 5, No. 3, pp. 43-49, 2009.
Kyu Won Lee, Jae Won Ji, Hyun Woo Chun, Sang-jo Youk , Geuk Lee, "Traffic Analysis Technique for Intrusion Detectionin in Wireless Network," Journal of Security Engineering, Vol. 7, No. 6, pp. 599-607, 2010.
Abadeh, M. S., Habibi, J., and Lucas, C., "Intrusion Detection Using a Fuzzy Genetics-based Learning Algorithm," Journal of Network and Computer Applications, Vol. 30, No. 1, pp. 414-428, 2007. DOI: http://dx.doi.org/10.1016/j.jnca.2005.05.002
Zarrabi, A. and Zarrabi, A., "Internet Intrusion Detection System Service in a Cloud," International Journal of Computer Science Issues, Vol. 9, Issue 5, No. 2, pp. 308-315, 2012.
Fares, A. H., Sharawy, M. I., and Zayed, H. H., "Intrusion Detection: Supervised Machine Learning," Journal of Computing Science and Engineering, Vol. 5, No. 4, pp. 305-313, 2011. DOI: http://dx.doi.org/10.5626/JCSE.2011.5.4.305
Wu, S. and Yen, E., "Data Mining-based Intrusion Detectors," Expert Systems with Applications, Vol. 36, No. 3, pp. 5605-5612, 2009. DOI: http://dx.doi.org/10.1016/j.eswa.2008.06.138
Beigh, B. M. and Peer, M. A., "Intrusion Detection and Prevention System: Classification and Quick Review," ARPN Journal of Science and Technology, Vol. 2, No. 7, pp. 661-675, 2012.
Kumar, Y. and Dhawan, S., "A Review on Information Flow in Intrusion Detection System," International Journal of Computational Engineering and Management, Vol. 15, No. 1, pp. 91-96, 2012.
Singaraju, S. and Kalpana, P., "A Precise Survey on Intrusion Detection Systems," International Journal of Advanced Research in Computer Science and Software Engineering, Vol. 2, No. 9, pp. 243-247, 2012.
Denning, D. E., "An Intrusion-Detection Model," IEEE Transaction on Software Engineering, Vol. 13, No. 2, pp. 222-232, 1987. DOI: http://dx.doi.org/10.1109/TSE.1987.232894
Nguyen, H. A., and Choi. D., "Application of Data Mining to Network Intrusion Detection: Classifier Selection Model," Challenges for Next Generation Network Operations and Service Management -Lecture Notes in Computer Science, Vol. 5297, pp. 399-408, 2008.
Jalil, K. A., Kamarudin, M. H., and Masrek, M. N., "Comparison of Machine Learning Algorithms Performance in Detecting Network Intrusion," Networking and Information Technology 2010 International Conference, pp. 221-226, 2010.
Osareh, A. and Shadgar, B., "Intrusion Detection in Computer Networks Based on Machine Learning Algorithms," International Journal of Computer Science and Network Security, Vol. 8, No. 11, pp. 15-23, 2008.
Ibrahim, H. E., Badr, S. M., and Shaheen, M. A., "Phases vs. Levels using Decision Trees for Intrusion Detection Systems," International Journal of Computer Science and Information Security, Vol. 10, No. 8, pp. 1-7, 2012.
Vapnik, V. N., The Nature of Statistical Learning Theory, Springer, 1995. DOI: http://dx.doi.org/10.1007/978-1-4757-2440-0
McCulloch, Warren S., and Walter Pitts., "A logical Calculus of the Ideas Immanent in Nervous Activity," The Bulletin of Mathematical Biophysics, Vol. 5, No. 4, pp. 115-133, 1943. DOI: http://dx.doi.org/10.1007/BF02478259
Rosenblatt, F., Principle of Neuro Dynamics, Washington, D.C.:Spartan Books, 1962.
Minsky, M., and Papert, S., Perceptrons, Cambridge, MA : MIT Press, 1969.
Rumelhart, D. E., Hilton, G. E., and Williams, R. J., "Learning Internal Representation by Error Propagation," ICS Report, Institute for Cognitive Science, University of California, San Diego, 1986.
Ahn, B. H., "Forward Additive Neural Network Models," PhD dissertation, Kent State University, Kent, OH, USA, 1996.
Hansung Lee, Younghee Im, Jooyoung Park, Daihee Park, "Adaptive Intrusion Detection System Based on SVM and Clustering ," Journal of Korean Institute of Intelligent Systems, Vol. 13, No. 2, pp. 237-242, 2003.
Chang, C. C. and Lin, C. J., "LIBSVM: A Library for Support Vector Machine," ACM Transactions on Intelligent Systems and Technology, Vol. 2, No. 3, pp. 1-27, 2011. DOI: http://dx.doi.org/10.1145/1961189.1961199
※ AI-Helper는 부적절한 답변을 할 수 있습니다.