[논문]실시간 탐지를 위한 인공신경망 기반의 네트워크 침입탐지 시스템

김태희; 강승호

실시간 탐지를 위한 인공신경망 기반의 네트워크 침입탐지 시스템
An Intrusion Detection System based on the Artificial Neural Network for Real Time Detection 원문보기

융합보안논문지 = Convergence security journal, v.17 no.1, 2017년, pp.31 - 38

김태희 (동신대학교 에너지융합대학 융합정보보안전공) , 강승호 (동신대학교 에너지융합대학 융합정보보안전공)

초록
AI-Helper

네트워크를 통한 사이버 공격 기법들이 다양화, 고급화 되면서 간단한 규칙 기반의 침입 탐지/방지 시스템으로는 지능형 지속 위협(Advanced Persistent Threat: APT) 공격과 같은 새로운 형태의 공격을 찾아내기가 어렵다. 기존에 알려지지 않은 형태의 공격 방식을 탐지하는 이상행위 탐지(anomaly detection)를 위한 해결책으로 최근 기계학습 기법을 침입탐지 시스템에 도입한 연구들이 많다. 기계학습을 이용하는 경우, 사용하는 특징 집합에 침입탐지 시스템의 효율성과 성능이 크게 좌우된다. 일반적으로, 사용하는 특징이 많을수록 침입탐지 시스템의 정확성은 높아지는 반면 탐지를 위해 소요되는 시간이 많아져 긴급성을 요하는 경우 문제가 된다. 논문은 이러한 두 가지 조건을 동시에 충족하는 특징 집합을 찾고자 다목적 유전자 알고리즘을 제안하고 인공신경망에 기반한 네트워크 침입탐지 시스템을 설계한다. 제안한 방법의 성능 평가를 위해 NSL_KDD 데이터를 대상으로 이전에 제안된 방법들과 비교한다.

Abstract ▼ AI-Helper

As the cyber-attacks through the networks advance, it is difficult for the intrusion detection system based on the simple rules to detect the novel type of attacks such as Advanced Persistent Threat(APT) attack. At present, many types of research have been focused on the application of machine learning techniques to the intrusion detection system in order to detect previously unknown attacks. In the case of using the machine learning techniques, the performance of the intrusion detection system largely depends on the feature set which is used as an input to the system. Generally, more features increase the accuracy of the intrusion detection system whereas they cause a problem when fast responses are required owing to their large elapsed time. In this paper, we present a network intrusion detection system based on artificial neural network, which adopts a multi-objective genetic algorithm to satisfy the both requirements: accuracy, and fast response. The comparison between the proposing approach and previously proposed other approaches is conducted against NSL_KDD data set for the evaluation of the performance of the proposing approach.

주제어

AI 본문요약
AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

두 가지 상충하는 목적을 달성하기 위해 사용하는 목적함수의 구성 방법에는 여러 가지가 있지만 본 논문에서는 두 가지 목적에 대한 함수를 별도로 정의한 다음 이들의 가중치합 방식을 제안한다. 우선 탐지율 보장을 위한 목적함수를 설명한다.
본 논문은 6가지 서비스 거부 공격(Denial of Servi ce: DoS)을 대상으로 인공신경망을 활용한 이상 징후 탐지 기반의 침입탐지 시스템을 설계하고자 한다. 이때 탐지율과 실시간성 모두를 보장하기 위해 다중 목적 유전자 알고리즘을 사용해 특징 조합을 찾는 방법을 제안한다.
본 논문은 기계학습 기반의 이상 징후 탐지 시스템 을 위한 특징 조합 선택 방법들이 높은 탐지율 만을 강조함에 반해 빠른 탐지를 명시적으로 목적함수에 고려하여 기존의 단점을 극복하기 위해 다목적 탐색 알고리즘을 제시했다는 점에서 의미가 있다. 하지만, 상충하는 목적들을 동시에 만족하는 파레토 최적해들을 얻기 위한 다른 방법들에 대한 연구 및 각 특징들을 대상으로 값을 결정하는데 드는 시간이 다르다는 점 등을 고려해서 보다 정확한 설계 및 실험이 필요하다.
본 논문은 인공신경망 기반의 이상 징후 탐지 시스템을 위한 특징 조합 선택 방법을 제안하였다. 제안 방법은 높은 탐지율과 적은 탐지시간이라는 상충관계에 있는 두 가지 목적 모두를 만족하기 위해, 각 목적에 대한 함수를 정의 하고 목적 함수간의 가중치 합을 적합 함수로 사용하는 다목적 유전자 알고리즘에 기반하고 있다.
특징 조합 추출이 완료되었으면 실제 침입 여부 및 종류를 판별할 침입탐지 시스템을 구현해야 한다. 본 논문은 인공신경망 기반의 침입탐지 시스템을 구현하였다. NSL_KDD 데이터를 이용해 다양한 기계학습 방법을 이용해 탐지율을 비교한 실험[14]에서 인공신경망은 높은 성능을 보여 주었다.

제안 방법

6가지 서비스 공격에 대해 높은 탐지율과 작은 탐색시간이라는 두 가지 상충되는 목적을 보장하는 특징 집합을 추출하고자 다목적 유전자 알고리즘[12]을 제시한다. 다중 목적 유전자 알고리즘은 여러 가지 상충 관계에 있는 목적들을 대상으로 최적해를 찾기 위해 사용하는 잘 알려진 메타 휴리스틱 알고리즘 중 하나이다.
KDD’99 데이터는 MIT 링컨 연구소가 DARPA 침입탐지 평가 프로그램을 수행하면서 만들어진 데이터 집합이다. 9주간에 걸쳐 미 공군의 지역 네트워크(LAN)을 모사하고 38가지의 공격 방법을 사용하여 얻은 것으로 이후 침입탐지 경진 대회에 사용되었다. 이후 KDD’99 데이터는 침입탐지 시스템의 설계 및 성능 평가에 지속적으로 사용되어 왔다.
NSL_KDD 데이터는 KDD’99 데이터의 부분 집합이긴 하지만 KDD’99 데이터를 면밀히 분석한 후 데이터의 중복성을 제거하고 공격 유형에 따라 적정한 수의 데이터를 배분함으로써 NSL_ KDD 데이터를 사용한 연구 결과에 대해 신뢰성과 공정성을 확보할 수 있게 하였다.
<표 2>에 제시된 7가지 종류로 구성된 학습 데이터를 이용해 인공신경망을 학습 시킨 후 테스트 데이터를 이용해 탐지율을 조사하였다. 또한 학습에 걸린 시간과 테스트에 걸린 시간을 실험하였다.
NSL_KDD 데이터를 이용해 다양한 기계학습 방법을 이용해 탐지율을 비교한 실험[14]에서 인공신경망은 높은 성능을 보여 주었다. 본 논문도 제안한 다목적 특징 조합을 이용한 침입탐지 시스템을 구현하기 위해 인공신경망을 사용하였다.
돌연변이율에 대한 완벽한 지침은 없으나 일반적으로 너무 크지 않게 주는 것이 해의 수렴성을 보장한다. 본 논문에서는 다양한 돌연변이율을 가지고 실험 후에 1%를 돌연변이율로 사용해 특징조합의 요소를 선택한 후 값이 0이면 1로, 1이면 0으로 변형하여 해공간의 다 양성을 보장하였다.
새로 생성된 해집합의 모든 해들에 대해 적합함수 값을 구하고 100회의 해집합 생성이 행해졌으면 알고리즘을 종료한다. 그렇지 않은 경우엔 단계 2로 이동해 동일한 절차를 반복한다.
<표 2>에 제시된 7가지 종류로 구성된 학습 데이터를 이용해 인공신경망을 학습 시킨 후 테스트 데이터를 이용해 탐지율을 조사하였다. 또한 학습에 걸린 시간과 테스트에 걸린 시간을 실험하였다.
우선 제안한 특징 선택 알고리즘을 이용해 얻은 특징 조합만을 이용해 NSL_KDD 데이터를 새롭게 가공하여 데이터 집합을 생성하였다. 사용한 인공신경망은 일반적으로 사용되는 3계층(입력층, 은닉층, 출력층)의 구조를 가진 다층 퍼셉트론형태이다.
새로운 해집합을 생성하기 위해서는 이전 해집합으로부터 좋은 부모해를 선택해야 한다. 유전자 알고리즘에서 사용하는 선택 연산에는 다양한 종류가 제안되어 있는데, 본 논문에서는 룰렛 휠 선택 연산으로 알려진 적합함수 값에 비례해 두 개의 해를 선택하는 방식을 사용하였다. 다만, 빠른 수렴을 위해 엘리티즘을 사용하였다.
본 논문은 6가지 서비스 거부 공격(Denial of Servi ce: DoS)을 대상으로 인공신경망을 활용한 이상 징후 탐지 기반의 침입탐지 시스템을 설계하고자 한다. 이때 탐지율과 실시간성 모두를 보장하기 위해 다중 목적 유전자 알고리즘을 사용해 특징 조합을 찾는 방법을 제안한다. 제안하는 특징 선택 방법은 래퍼 접근 방식과 유사하지만 학습에 걸리는 시간과 과적합 문제 모두를 피하기 위해 클러스터링의 정확성을 이용하는 목적함수를 정의하는 특징이 있다.
사용한 인공신경망은 일반적으로 사용되는 3계층(입력층, 은닉층, 출력층)의 구조를 가진 다층 퍼셉트론형태이다. 입력 노드의 개수는 특징 조합에서 사용되는 특징들의 개수와 같고 출력 노드의 개수는 6가지 서비스 거부 공격과 정상 레코드를 대표하기 위해 7개의 노드로 구성하였다. 은닉 계층에 사용된 노드의 개수는 다양한 실험을 통해 가장 높은 성능을 보여준 개수를 선택하여 사용하였다.
적합함수 값에 비례하게 두 개의 해를 선택한 후 두 해에 대해 교차연산을 적용하여 새로운 두 개의 해를 생성한다. 이 때 교차연산은 한 점 교차연산(Single Point Crossover) 방식을 사용하였다.
본 논문은 인공신경망 기반의 이상 징후 탐지 시스템을 위한 특징 조합 선택 방법을 제안하였다. 제안 방법은 높은 탐지율과 적은 탐지시간이라는 상충관계에 있는 두 가지 목적 모두를 만족하기 위해, 각 목적에 대한 함수를 정의 하고 목적 함수간의 가중치 합을 적합 함수로 사용하는 다목적 유전자 알고리즘에 기반하고 있다. NSL_KDD 데이터를 이용해 실험하고 기존에 제시된 탐지율만을 목적으로 한 다른 방법들과 비교했을 때 비록 탐지율에서는 무시할만한 수준의 성능차를 보여준 반면 사용하는 특징 수나 훈련, 테스트에 걸리는 시간은 상대적으로 높은 성능을 보여줬다.
제안하는 특징 선택 방법은 래퍼 접근 방식과 유사하지만 학습에 걸리는 시간과 과적합 문제 모두를 피하기 위해 클러스터링의 정확성을 이용하는 목적함수를 정의하는 특징이 있다. 제안 방법의 성능을 측정하기 위해 NSL_KDD 데이터를 사용하고 기존에 제시된 래퍼 방식들과 탐지율 및 학습시간, 테스트 시간 등에서 비교한다.
이때 탐지율과 실시간성 모두를 보장하기 위해 다중 목적 유전자 알고리즘을 사용해 특징 조합을 찾는 방법을 제안한다. 제안하는 특징 선택 방법은 래퍼 접근 방식과 유사하지만 학습에 걸리는 시간과 과적합 문제 모두를 피하기 위해 클러스터링의 정확성을 이용하는 목적함수를 정의하는 특징이 있다. 제안 방법의 성능을 측정하기 위해 NSL_KDD 데이터를 사용하고 기존에 제시된 래퍼 방식들과 탐지율 및 학습시간, 테스트 시간 등에서 비교한다.
초기 해집합을 구성하기 위해 임의로 선택된 41차원의 이진 벡터 100개를 생성하고 수식(4)를 이용해 각 해에 대한 적합함수 값을 계산한다.

대상 데이터

KDD’99 데이터는 약 500만개의 훈련 데이터와 30만개의 평가 데이터로 구성되어 있다.
제안하는 시스템의 구현 및 성능평가에 사용한 데이터는 KDD’99 데이터[7]의 수정 버전인 NSL_KDD 데이터[8]이다.

이론/모형

유전자 알고리즘에서 사용하는 선택 연산에는 다양한 종류가 제안되어 있는데, 본 논문에서는 룰렛 휠 선택 연산으로 알려진 적합함수 값에 비례해 두 개의 해를 선택하는 방식을 사용하였다. 다만, 빠른 수렴을 위해 엘리티즘을 사용하였다. 즉, 이전 해집합에서 적합함수 값이 10% 이내에 드는 해는 별도의 교차연산 없이 다음 해집합에 그대로 추가하였다.
적합함수 값에 비례하게 두 개의 해를 선택한 후 두 해에 대해 교차연산을 적용하여 새로운 두 개의 해를 생성한다. 이 때 교차연산은 한 점 교차연산(Single Point Crossover) 방식을 사용하였다. 한 점 교차연산이란 해안의 임의의 점을 선택하고 점을 중심으로 앞과 뒤로 분리한 후 두 개의 해로부터 교차 연결해 새로운 해 두 개를 생성하는 방식을 말한다.
하지만 래퍼방식의 단점인 장시간의 학습시간과 특정 기계학습 방식에 과적응문제가 발생할 수 있다. 이를 피하기 위해 주어진 특징 벡터의 적합성 평가를 위해 k-평균 클러스터링을 이용하는 방법이 제안되었는데[13,14], 논문도 이 방법을 사용한다. k-평균 클러스터링을 이용하는 방법은 다음과 같다.
9 값을 부여하여 학습을 유도하였다. 학습 알고리즘은 오류 역전파 알고리즘을 사용하였으며 다양한 학습률과 모멘텀 값을 사용해 실험한 후 가장 좋은 성능을 보여준 값들을 선정하여 최종 실험에 사용하였다.

성능/효과

제안 방법은 높은 탐지율과 적은 탐지시간이라는 상충관계에 있는 두 가지 목적 모두를 만족하기 위해, 각 목적에 대한 함수를 정의 하고 목적 함수간의 가중치 합을 적합 함수로 사용하는 다목적 유전자 알고리즘에 기반하고 있다. NSL_KDD 데이터를 이용해 실험하고 기존에 제시된 탐지율만을 목적으로 한 다른 방법들과 비교했을 때 비록 탐지율에서는 무시할만한 수준의 성능차를 보여준 반면 사용하는 특징 수나 훈련, 테스트에 걸리는 시간은 상대적으로 높은 성능을 보여줬다.

후속연구

하지만, 상충하는 목적들을 동시에 만족하는 파레토 최적해들을 얻기 위한 다른 방법들에 대한 연구 및 각 특징들을 대상으로 값을 결정하는데 드는 시간이 다르다는 점 등을 고려해서 보다 정확한 설계 및 실험이 필요하다. 앞으로 다양한 관점을 도입하여 보다 나은 결과물이 나올 수 있도록 방법 및 실험을 확대할 계획이다.
본 논문은 기계학습 기반의 이상 징후 탐지 시스템 을 위한 특징 조합 선택 방법들이 높은 탐지율 만을 강조함에 반해 빠른 탐지를 명시적으로 목적함수에 고려하여 기존의 단점을 극복하기 위해 다목적 탐색 알고리즘을 제시했다는 점에서 의미가 있다. 하지만, 상충하는 목적들을 동시에 만족하는 파레토 최적해들을 얻기 위한 다른 방법들에 대한 연구 및 각 특징들을 대상으로 값을 결정하는데 드는 시간이 다르다는 점 등을 고려해서 보다 정확한 설계 및 실험이 필요하다. 앞으로 다양한 관점을 도입하여 보다 나은 결과물이 나올 수 있도록 방법 및 실험을 확대할 계획이다.

질의응답

핵심어	질문	논문에서 추출한 답변
	오사용 탐지 방식의 특징은?	우선 기존에 알려진 공격들을 탐지하기 위한 오사용(misuse detection) 탐지 방식이 있다. 이 접근 방법의 특징은 사전에 정의된 규칙들을 이용해 잘 알려진 공격들을 탐지하는 방식으로 현장에서 가장 많이 사용되는 방법이다. 하지만 기존에 알려진 공격 방법들에 제한되어 있어 새로운 공격 방법에 대처하기 어려운 단점이 있다. 다른 침입탐지 방법은 이상 징후(anomaly detection) 탐지 방식이다.
	이상 징후 탐지 방식의 단점은?	이상 징후 탐지 방식은 정상인 사용 패턴을 근거로 이를 벗어난 행위를 이상 행위로 간주하는 방식으로 오사용 탐지 방식과 다르게 이전에 알려지지 않은 공격 방법에 대해서도 탐지할 수 있는 장점이 있다. 하지만 이상 징후 탐지 방식은 정상적인 사용 형태를 사이버 침해로 잘못 판단하는 문제점이 지적되고 있다.
	이상 징후 탐지 방식의 장점은?	다른 침입탐지 방법은 이상 징후(anomaly detection) 탐지 방식이다. 이상 징후 탐지 방식은 정상인 사용 패턴을 근거로 이를 벗어난 행위를 이상 행위로 간주하는 방식으로 오사용 탐지 방식과 다르게 이전에 알려지지 않은 공격 방법에 대해서도 탐지할 수 있는 장점이 있다. 하지만 이상 징후 탐지 방식은 정상적인 사용 형태를 사이버 침해로 잘못 판단하는 문제점이 지적되고 있다.

참고문헌 (14)

G. Wang, J. Hao, J. Ma, and L. Huang, "A new approach to intrusion detection using Artificial Neural Networks and fuzzy clustering", Expert Systems with Applications, Vol. 37, Issue 9, pp. 6225-6232, 2010.

상세보기
Md. Al mohediHasan, M. Nasser, and B. Pal, "On the KDD'99 Dataset: Support Vector Machine Based Intrusion Detection System (IDS) with Different Kernels", International Journal of Electronics Communication and Computer Engineering, Vol. 4, Issue 4, pp. 1164-1170, 2013.
H. S. Huang, "Supervised feature selection: A tutorial", Artificial Intelligence Research, Vol. 4, No. 2, 2015.
H. G. Kayacik, A. N. Zincir-Heywood, and M. I. Heywood, "Selecting Features for Intrusion Detection: A Feature Relevance Analysis on KDD 99 Intrusion Detection Datasets," in Thrid Annual Conference on Privacy, Security and Trust, St. Andrews, New Brunswick, Canada, 2005.
A. A. Olusola, A. S. Oladele, and D. O. Abosede, "Analysis of KDD '99 Intrusion Detection Dataset for Selection of Relevance Features," in Proc. of the World Congress on Engineering and Computer Science, Vol. 1, 2010.
S. Parazad, E. Saboori, and A. Allahyar, "Fast Feature Reduction in Intrusion Detection Datasets," in MIPRO, Proceedings of the 35th International Convention, pp.1023-1029, 2012.
KDD Cup 1999. Available on:http://kdd.ics.uci.edu/databases/kddcup99/kddcup99.html, 2007.
NSL_KDD data set. Avalilable on: http://nsl.cs.unb.ca/NSL-KDD/
M. Tavallaee, E. Bagheri, W. Lu, and A. A. Ghorbani, "A Detailed Analysis of the KDD CUP 99 Data Set," Proc. 2009 IEEE Int. Conf. Comput. Intell. Security Defense Appl. CISDA, pp. 53-58, 2009.
T. Naidoo, J. R. Tapamo and A. McDonald, "Feature selection for anomaly-based network intrusion detection using cluster validity indices", In: SATNAC: Africa - The Future Communications Galaxy, 2015.
M. Sabhnani and G. Serpen, "Application of Machine Learning Algorithms to KDD Intrusion Detection Dataset within Misuse Detection Context," Proc. of International Conference on Machine Learning: Models, Technologies, and Applications, pp. 209-215, 2013.
A. Konak, D. Coit, and A. Smith, "Multi-objective optimization using genetic algorithms: a tutorial", Reliability Engineering & System Safety in Special Issue - Genetic Algorithms and Reliability, vol. 92, pp. 992-1007, 2006.
S. H. Kang, and K. J. Kim, "A feature selection approach to find optimal feature subsets for the network intrusion detection system", Cluster Computing, Vol. 19, Issue 1, pp 325-333, 2016.

상세보기
I. S. Jeong, H. K. Kim, T. H. Kim, D. H. Lee, K. J. Kim and S. H. Kang, "A Feature Selection Approach Based on Simulated Annealing for Detecting Various Denial of Service Attacks", Convergence Security, Vol. 1, pp. 1-18., 2016.

저자의 다른 논문 :

표제어: PCR

동의어: Packet Collision Rate

용어 설명 출처 목록 (6)

용어 설명: PCR은 세균 특이성이 있는 primer를 이용하여 적은 수의 세균이 있을지라도 쉽게 검출할 수 있는 유용한 방법이며, 이를 이용하여 구강 내 치면세균막이나 타액에서 직접 세균을 검출할 수 있게 되었다[8].

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증