[논문]퍼지와 인공 신경망을 이용한 침입탐지시스템의 탐지 성능 비교 연구

양은목; 이학재; 서창호

doi:10.14400/jdc.2017.15.6.391

퍼지와 인공 신경망을 이용한 침입탐지시스템의 탐지 성능 비교 연구
Comparison of Detection Performance of Intrusion Detection System Using Fuzzy and Artificial Neural Network 원문보기

디지털융복합연구 = Journal of digital convergence, v.15 no.6, 2017년, pp.391 - 398

양은목 (숭실대학교 소프트웨어학부) , 이학재 (전남대학교 전자컴퓨터공학과) , 서창호 (공주대 응용수학과)

초록
AI-Helper

본 논문에서는 "퍼지 컨트롤 언어를 이용한 공격 특징 선택기반 네트워크 침입탐지 시스템"[1]과 "RNN을 이용한 공격 분류를 위한 지능형 침입탐지 시스템 모델"[2]의 성능을 비교 하였다. 이 논문에서는 KDD CUP 99 데이터 셋[3]을 이용하여 두 기법의 침입 탐지 성능을 비교하였다. KDD CUP 99 데이터 셋에는 훈련을 위한 데이터 셋과 훈련을 통해 기존의 침입을 탐지 할 수 있는 테스트 데이터 셋이 있다. 또한 훈련 데이터 및 테스트 데이터에 존재 하지 않는 침입의 유형을 탐지할 수 있는가를 테스트 할 수 있는 데이터도 존재한다. 훈련 및 테스트 데이터에서 좋은 침입탐지 성능을 보이는 두 개의 논문을 비교하였다. 비교한 결과 존재하는 침입을 탐지 하는 성능은 우수하지만 기존에 존재하지 않는 침입을 탐지 하는 성능은 부족한 부분이 있다. 공격 유형 중 DoS, Probe, R2L는 퍼지를 이용하는 것이 탐지율이 높았고, U2L은 RNN을 이용하는 것이 탐지율이 높았다.

Abstract ▼ AI-Helper

In this paper, we compared the performance of "Network Intrusion Detection System based on attack feature selection using fuzzy control language"[1] and "Intelligent Intrusion Detection System Model for attack classification using RNN"[2]. In this paper, we compare the intrusion detection performance of two techniques using KDD CUP 99 dataset. The KDD 99 dataset contains data sets for training and test data sets that can detect existing intrusions through training. There are also data that can test whether training data and the types of intrusions that are not present in the test data can be detected. We compared two papers showing good intrusion detection performance in training and test data. In the comparative paper, there is a lack of performance to detect intrusions that exist but have no existing intrusion detection capability. Among the attack types, DoS, Probe, and R2L have high detection rate using fuzzy and U2L has a high detection rate using RNN.

주제어

AI 본문요약
AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

본 논문에서는 KDD CUP 99 데이터 셋으로 퍼지 및 RNN을 이용한 침입탐지 시스템을 비교하였다.
본 논문에서는 KDD CUP 99 데이터 셋을 이용하여 침입탐지 성능을 평가한 논문 중에 성능이 우수한 두 개의 논문을 비교 연구 하였다. 전반적인 논문의 구성은 2장에서 비교논문에 사용된 인공지능 기법에 대하여 소개하고 3장은 KDD CUP 99 데이터 셋의 구성에 대해 소개하고 4장에서는 “퍼지 컨트롤 언어를 이용한 공격 특징 선택기반 네트워크 침입탐지 시스템”[1]와 “RNN을 이용한 공격 분류를 위한 지능형 침입탐지 시스템 모델” [2]의 탐지 방법을 비교한다.
퍼지는 애매함 문제에 대해 의사결정, 문제해결, 제재 등을 요청할 경우 이론으로부터 정보를 검색, 인식, 고찰, 판단하는 순으로 지적 처리 모델을 제공하는 것을 목표로 한다. 본 논문의 비교 대상논문에서는 퍼지의 표현을 침입정도가 매우 낮음, 낮음, 보통, 높음, 매우 높음의 5단계로 표현하고 있다[1]

제안 방법

“퍼지 컨트롤 언어를 이용한 공격 특징 선택기반 네트워크 침입탐지 시스템”[1]에서는 KDD CUP 99 데이터셋에서 특징을 추출해서 선택하고 계층화된 퍼지 제어 언어를 제안하였다.
퍼지추론 시스템은 퍼지 로직을 사용하여 입력을 출력으로 변환하는 프로세스이고 집합 프로세서를 통해 맴버십 함수로 정의하였다. 계층적 분류자는 IF/ELSE IF.../ELSE를 사용하여 분류하였다.
계층적 퍼지 제어 언어는 퍼지화 전에 특징을 일반화하고 선택하였다. 첫 번째로 퍼지화는 맴버십 함수를 정의하고, 두 번째로 퍼지추론 시스템은 펴지 규칙 기반으로 공격 유형을 탐지한다.
세 번째는 엔트로피 기준으로 클래스 간 엔트로피 값이 매우 높고 클래스 내 엔트로피가 매우 낮으면 퍼지 입력에서 제외하였다. 그래서 41개의 특징 중 3개의 범주형 변수와 22개의 연속형 변수를 사용하여 침입을 분류하였다.
첫 번째는 동일 호스트 특징이고 현재 연결과 같은 동일 호스트의 프로토콜 동작, 서비스 등 관련 통계들을 계산하여 2초 이내의 연결 인지를 조사한다. 두 번째는 동일 서비스 특징으로 현재 연결과 같은 서비스인지를 2초만 연결 하아 조사한다. 트래픽 특징은 포스트 켄 등 2초 시간으로 침입 패턴을 생성하지 않으므로 동일 호스트 및 동일 서비스 특징은 2초의 시간보다 100개의 연결 기반으로 다시 계산되어 졌다.
데이터소스 기반으로는 호스트 기반, 네트워크 기반, 애플리케이션 기반으로 분류할 수 있고, 분석기법 기반으로는 오용탐지 및 비정상행위 탐지로 분류할 수 있다. 또한 경과시간 기반으로는 실시간 탐지 및 비실시간으로 분류하고, 제어 전략 기반으로는 중앙 집중 기반, 부분분산 기반 및 완전분산 기반으로 분류한다. 마지막으로 대응 옵션으로는 적극적 대응과 소극적 대응으로 분류한다.
퍼지는 애매함 문제에 대해 의사결정, 문제해결, 제재 등을 요청할 경우 이론으로부터 정보를 검색, 인식, 고찰, 판단하는 순으로 지적 처리 모델을 제공하는 것을 목표로 한다. 본 논문의 비교 대상논문에서는 퍼지의 표현을 침입정도가 매우 낮음, 낮음, 보통, 높음, 매우 높음의 5단계로 표현하고 있다[1]
이러한 특징은 두 개의 그룹으로 분류할 수 있다. 첫 번째는 동일 호스트 특징이고 현재 연결과 같은 동일 호스트의 프로토콜 동작, 서비스 등 관련 통계들을 계산하여 2초 이내의 연결 인지를 조사한다. 두 번째는 동일 서비스 특징으로 현재 연결과 같은 서비스인지를 2초만 연결 하아 조사한다.
침입탐지 시스템의 성능을 평가하기 위해 ADR, FPR, Recall, Precision 등을 사용한다.

대상 데이터

RNN 탐지 모델의 침입 탐지는 입력으로 KDD CUP 99 및 Knowledge Base, 출력은 침입으로 분류된 데이터 셋이다. 탐지의 순서는 1.
[Table 2]는 퍼지를 이용하여 Corrected.gz 데이터를 이용하여 훈련을 하였는데, 총38개의 공격 유형 중 18개만 제시하였다. 제시한 공격 유형에 대한 훈련 결과는 매우 좋은 것으로 나타났다.
실험은 입력과 출력은 JAVA로 하고 데이터 마이닝 소프트웨어인 WEKA 툴을 사용하였다[8]. 훈련데이터로는 kddcup.data.gz를 사용하였고, kddccup.data 10 percent.gz으로 성능을 측정하였다.

데이터처리

실험은 오픈 소프트웨어인 jFuzzyLogic을 사용하였고, 훈련데이터로 corrected.gz 사용하였고, kddcup.data 10 percent.gz으로 성능을 측정하였다.

이론/모형

그래서 우리가 현재의 내용을 파악할 때 과거의 기억을 사용하듯이 RNN도 순차적이 데이터 속에서 과거의 정보를 사용하여 현재의 내용을 파악할 수 있도록 한 신경망기법이다. RNN의 학습은 기존 인공신경망의 학습알고리즘 오류역전파(Error Back Propagation)를 확장한 시간에 따른 역전파(Back Propagation Through Time) 알고리즘을 통해 학습한다[7]
실험은 입력과 출력은 JAVA로 하고 데이터 마이닝 소프트웨어인 WEKA 툴을 사용하였다[8]. 훈련데이터로는 kddcup.

성능/효과

[Table 4]는 퍼지 IDS와 RNN IDS의 탐지 결과 및 다른 IDS의 탐지 결과를 보여 주고 있다. RNN IDS는 C4.5, CRF와 비교하였을 경우 우수한 결과를 보이지만 퍼지 IDS와 비교하였을 경우 공격 유형 Probe, DoS는 다소 낮은 탐지율을 보이고 있다. 공격 유형 R2L은 퍼지가 매우 우수한 탐지 성능을 보이고 있었다.
[Table 3]은 훈련한 모델을 통해 10% 데이터 셋으로 테스트 한 결과 대체적으로 매우 우수한 결과가 나왔고, R2L공격 유형은 100% 탐지 결과가 나타났다.
두 번째는 연속 값을 갖는 변수는 값의 범위(0-6,291,668)에서 큰 차이가 있기 때문에 최대-최소 방법으로 [0,1]의 값으로 정규화를 한다. 세 번째는 엔트로피 기준으로 클래스 간 엔트로피 값이 매우 높고 클래스 내 엔트로피가 매우 낮으면 퍼지 입력에서 제외하였다. 그래서 41개의 특징 중 3개의 범주형 변수와 22개의 연속형 변수를 사용하여 침입을 분류하였다.
gz 데이터를 이용하여 훈련을 하였는데, 총38개의 공격 유형 중 18개만 제시하였다. 제시한 공격 유형에 대한 훈련 결과는 매우 좋은 것으로 나타났다.

질의응답

핵심어	질문	논문에서 추출한 답변
	침입탐지시스템은 어떻게 분류될 수 있는가?	침입탐지시스템을 분류하는 방법은 데이터소스 기반, 분석기법 기반, 경과 시간 기반, 제어 전략 기반, 대응 옵션 기반으로 분류할 수 있다.
	퍼지가 목표로 하는 것은 무엇인가?	퍼지는 애매함 문제에 대해 의사결정, 문제해결, 제재 등을 요청할 경우 이론으로부터 정보를 검색, 인식, 고찰, 판단하는 순으로 지적 처리 모델을 제공하는 것을 목표로 한다. 본 논문의 비교 대상논문에서는 퍼지의 표현을 침입정도가 매우 낮음, 낮음, 보통, 높음, 매우 높음의 5단계로 표현하고 있다[1]
	맴버십 함수 추정 방법 중 방법 평균법의 문제점은 무엇인가?	맴버십 함수를 추정하는 방법 평균법과 위치 파라메터 추정법이 있는데 평균법의 그레이드는 객관적 그레이드와 주관적 그레이드의 합으로 나타내어 지는데 만약 주관적인 그레이드의 평균이 0이면 객관적 그레이드는 n명의 평가자의 주관적인 맴버십 그레이드의 평균으로 구해진다. 이는 평가자가 많을수록 삼각형 함수나 사다리꼴 함수가 곡선에 가까워져 최초의 각 개인의 맴버십 함수의 모양과 달라지는 문제점이 있다. 위치 파라메터추정법은 평균법의 문제점이 맴버십 함수의 모양이 달라지지 않는다.

참고문헌 (19)

S. Ramakrishnan, S. Devaraju "Attack's Feature Selection-Based Network Intrusion Detection System Using Fuzzy Control Language" International Journal of Fuzzy Systems, 2016, 1-13.
R. Bala Krishnan, N. R.Raajan "An Intellectual Intrusion Detection SystemModel for Attacks Classification using RNN" International Journal of Pharmacy & Technology, Vol. 8, No. 4, pp. 23157-23164
KDD Cup 1999 Intrusion detection data: http://kdd.ics.uci.edu/databases/kddcup99/kddcup99.html
Chirag Modi, Dhiren Patel, Bhavesh Borissaniya, Hiren Patel, Avi Patel, Muttukrishnan Rajarajan, "A Survey of intrusion Detection techniques in Cloud", Journal of Network and Computer Application, Vol. 36, pp. 42-57, 2013.

상세보기
Saniee A. M., Mohamadi, H., Habibi, J.: Design and analysis of genetic fuzzy systems for intrusion detection in computer net- works. Expert Syst. Appl 38, 7067-7075 (2011)

상세보기
Wang, G., Hao, J., Ma, H., Huang, "A new approach to intrusion detection using Artificial Neural Networks and fuzzy clustering", Elsevier Expert Syst. Appl. Vol. 37, pp. 6225-6232, 2010.

상세보기
Sheikhan, M., Jadidi, Z., Farrokhi, H., "A Intrusion detection using reduced-size RNN based on feature grouping", Neural Comput., Vol. 21, No. 6, pp. 1185-1190, 2010.
Cingolani P.: jFuzzyLogic: open source fuzzy logic library and FCL language implementation (fcl code). http://jfuzzylogic.sourceforge.net/html/example_fcl.html
Gupta, K.K., Nath, B., Kotagiri, R., "Layered approach using conditional random fields for intrusion detection", IEEE Trans. Dependable Sec. Comput., No. 7, Vol. 1, pp. 35-49, 2010.

상세보기
Wei, N., Di, H., "A probability approach to anomaly detection with twin support vector machines", J. Shanghai Jiaotong Univ. (Sci.), Vol. 15, No. 4, pp. 385-391, 2010.

상세보기
Devaraju, S., Ramakrishnan, S., "Performance analysis of intrusion detection system using various neural network classifiers", IEEE Proc. Int. Conf. Recent Trends Info. Tech., No. 4, pp. 35-312, 2011.
Anuar, N.B., Sallehudin, H., Gani, A., Zakari, O.," Identifying false alarm for network intrusion detection system using hybrid data mining and decision tree", Malays. J. Comput. Sci., Vol. 21, No. 2, pp. 101-115, 2008.
Devaraju, S., Ramakrishnan, S., "Performance comparison for intrusion detection system using neural network with KDD dataset", ICTACT J. Soft Comput. Vol. 4, No. 3, pp. 743-752, 2014.

상세보기
Jiang, M., Gan, Z., Wang, C., Wang, Z., "Research of the intrusion detection model based on data mining", Elsevier Energy Proc Vol. 13, pp. 855-863, 2011.

상세보기
Tajbakhsh, A., Rahmati, M., Mirzaei, A., "Intrusion detection using fuzzy association rules", Elsevier Appl. Soft Comput. Vol. 9, pp. 462-469, 2009.

상세보기
Hyung-Jin Mun, Yooncheol Hwang, Ho-Yeob Kim, "Countermeasure for Prevention and Detection against Attacks to SMB Information System - A Survey," Journal of IT Convergence Society for SMB, Vol. 5, No. 2, pp. 1-6, 2015
Miyea Shin, Sunghyuck Hong, "A Defending Method Against DDoS Attacks With Router Control," Journal of IT Convergence Society for SMB, Vol. 5, No. 1, pp. 21-26, 2015
You-Dong Yun, "Development of Smart Senior Classification Model based on Activity Profile Using Machine Learning Method", Journal of the Korea Convergence Society, Vol. 8. No. 1, pp. 25-34, 2017.
Myung-Seong Yim, "Development of Measures of Information Security Policy Effectiveness To Maximize the Convergence Security", Journal of the Korea Convergence Society, Vol. 5, No. 4, pp. 27-32, 2014.

원문보기 상세보기

저자의 다른 논문 :

표제어: PCR

동의어: Packet Collision Rate

용어 설명 출처 목록 (6)

용어 설명: PCR은 세균 특이성이 있는 primer를 이용하여 적은 수의 세균이 있을지라도 쉽게 검출할 수 있는 유용한 방법이며, 이를 이용하여 구강 내 치면세균막이나 타액에서 직접 세균을 검출할 수 있게 되었다[8].

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증