[논문]실시간 공격 탐지를 위한 Pearson 상관계수 기반 특징 집합 선택 방법

강승호; 정인선; 임형석

[국내논문] 실시간 공격 탐지를 위한 Pearson 상관계수 기반 특징 집합 선택 방법
A Feature Set Selection Approach Based on Pearson Correlation Coefficient for Real Time Attack Detection 원문보기

융합보안논문지 = Convergence security journal, v.18 no.5 pt.1, 2018년, pp.59 - 66

초록
AI-Helper

기계학습을 이용하는 침입 탐지 시스템의 성능은 특징 집합의 구성과 크기에 크게 좌우된다. 탐지율과 같은 시스템의 탐지 정확도는 특징 집합의 구성에, 학습 및 탐지 시간은 특징 집합의 크기에 의존한다. 따라서 즉각적인 대응이 필수인 침입 탐지 시스템의 실시간 탐지가 가능하도록 하려면, 특징 집합은 크기가 작으면서도 적절한 특징들로 구성하여야 한다. 본 논문은 실시간 탐지를 위한 특징 집합 선택 문제를 해결하기 위해 사용했던 기존의 다목적 유전자 알고리즘에 특징 간의 Pearson 상관계수를 함께 사용하면 탐지율을 거의 낮추지 않으면서도 특징 집합의 크기를 줄일 수 있음을 보인다. 제안한 방법의 성능평가를 위해 NSL_KDD 데이터를 사용하여 10가지 공격 유형과 정상적인 트래픽을 구별하도록 인공신경망을 설계, 구현하여 실험한다.

Abstract ▼ AI-Helper

The performance of a network intrusion detection system using the machine learning method depends heavily on the composition and the size of the feature set. The detection accuracy, such as the detection rate or the false positive rate, of the system relies on the feature composition. And the time it takes to train and detect depends on the size of the feature set. Therefore, in order to enable the system to detect intrusions in real-time, the feature set to beused should have a small size as well as an appropriate composition. In this paper, we show that the size of the feature set can be further reduced without decreasing the detection rate through using Pearson correlation coefficient between features along with the multi-objective genetic algorithm which was used to shorten the size of the feature set in previous work. For the evaluation of the proposed method, the experiments to classify 10 kinds of attacks and benign traffic are performed against NSL_KDD data set.

Keyword

AI 본문요약
AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

본 연구에서는 [11]이 제시한 다목적 최적화 문제해결 방법에 특징들 사이의 상관관계를 추가로 고려하면 이상 징후 탐지 시스템의 정확성을 거의 낮추지 않으면서도 학습 및 탐지 시간을 줄일 수 있음을 보이고자 한다.
본 논문이 제안한 특징 선택 방법은 [11]이 이전에 제시한 특징 선택 알고리즘인 다목적 유전자 알고리즘에 특징 간의 Pearson 상관계수를 이용하는 방법을 추가한 것이다. 따라서 이 절에서 우선 간략하게 다목적유전자 알고리즘을 설명하겠다. 자세한 내용은 [11]을참조하기 바란다.

제안 방법

이러한 결가는 NSL_KDD 데이터의 한계에 기인한 측면도 있다고 생각된다. 따라서 제안한 특징 추출 알고리즘은 6가지 DoS 공격 이외에 훈련 집합의 레코드 수가 1000개 이상인 satan, ipsweep, portsweep, nmap 공격을 추가하여 총 10가지 공격을 대상으로 실험하였다. 표 1은 실험에 사용한 정상 레코드와 10가지 공격 유형의 레코드 수를 보여준다.
12]로 다른 특징들에 비해 여전히 높은 값을 갖는 것을 확인하였다. 따라서 두 특징이 [0, 1] 사의 값을 갖도록 추가로 최소-최대 정규화를 적용하여 모든 특징들이[0, 1]사이의 값을 갖도록 하였다.
본 논문이 제안한 특징 선택 방법은 [11]이 이전에 제시한 특징 선택 알고리즘인 다목적 유전자 알고리즘에 특징 간의 Pearson 상관계수를 이용하는 방법을 추가한 것이다. 따라서 이 절에서 우선 간략하게 다목적유전자 알고리즘을 설명하겠다.
따라서 본 논문에서는 Pearson 상관계수 리스트(Corr)만을 사용해 최종해 S’을 구하는 시간복잡도 O(n2)을 갖는 간단한 휴리스틱 알고리즘을 설계하였다.
특징선택을 위한 알고리즘은 크게 두 단계의 절차로 구성된다<표 5>. 우선 다목적 유전자 알고리즘을 이용한 최적 특징 집합 선택을 실행한다. 다음엔 첫 번째 절차를 거처 선택된 특징 집합을 대상으로 하여 특정 임계치 이상의 Pearson 상관계수를 갖는 특징들은 그 중 하나로 대표한다.
입력 계층의 노드 수는 사용하는 입력 벡터의 크기와 동일하고 출력 계층은 공격 10가지와 정상 1가지를 대표하기 위해 11개의 노드로 구성하였다. 중간에 위치한 은닉 계층의 노드 수는 다양한 노드 수를 사용해 실험한 후 가장 성능이 좋았던 노드 수, 여기서는 20을 사용하였다.
설계한 시스템의 성능 분석을 위해 우선 NSL_KDD 학습 데이터와 테스트 데이터를 대상으로 선택된 특징만을 사용해 데이터를 다시 가공하였다. 새로 생성한 학습 데이터를 이용해 인공신경망 기반의 이상 징후탐지 시스템을 학습시킨 다음 학습된 시스템을 대상으로 테스트 데이터를 이용해 정확도를 측정하였다.
설계한 시스템의 성능 분석을 위해 우선 NSL_KDD 학습 데이터와 테스트 데이터를 대상으로 선택된 특징만을 사용해 데이터를 다시 가공하였다. 새로 생성한 학습 데이터를 이용해 인공신경망 기반의 이상 징후탐지 시스템을 학습시킨 다음 학습된 시스템을 대상으로 테스트 데이터를 이용해 정확도를 측정하였다. 아래 표 6은 이와 같을 실험을 20회 한 후 평균을 구한 것이다.
다만, Pearson 상관계수를 사용해 주어진 특징 벡터 크기를 최소화하기 위해서는 최소 지배 집합 문제를 해결해야 한다. 본 논문에서는 최소 지배 집합 문제를 해결하는 방법을 직접 사용하지 않고 상관계수 리스트만을 이용해 O(n²) 시간에 근사해를 구하는 알고리즘을 설계하였다.
NSL_KDD 데이터를 대상으로 10개의 공격과 정상트래픽을 판별하는 탐지 시스템을 인공신경망을 이용해 구현하였다. 제안한 특징 선택 알고리즘에 의해 추출된 특징을 사용한 경우 다목적 유전자 알고리즘만을 사용하여 얻은 특징 집합을 사용했을 때보다 약 30%의 특징 집합의 크기를 줄일 수 있었다.

대상 데이터

특히 기존에 알려지지 않은 공격패턴을 찾고자하는 이상 징후 탐지 방식에 인공지능기술을 도입하는 시도가 많이 이루어지고 있으며 상당히 높은 정확성을 보여주고 있다. 본 연구에서도 이상 징후 탐지 시스템을 대상으로 한다.
본 논문은 TCP 연결을 대상으로 네트워크 트래픽을 분석해 공격 여부를 탐지하는 네트워크 기반의 이상 징후 탐지 시스템을 대상으로 한다. 네트워크 기반의 이상 징후 침입 탐지 시스템은 호스트 기반의 탐지시스템과 달리 대용량의 네트워크 트래픽을 대상으로 컴퓨팅 자원의 제약 아래서 침입 여부를 탐지해야 하는 어려움이 있다.
입력 계층의 노드 수는 사용하는 입력 벡터의 크기와 동일하고 출력 계층은 공격 10가지와 정상 1가지를 대표하기 위해 11개의 노드로 구성하였다. 중간에 위치한 은닉 계층의 노드 수는 다양한 노드 수를 사용해 실험한 후 가장 성능이 좋았던 노드 수, 여기서는 20을 사용하였다. 계층 간 연결은 완전 연결 방식을 사용하였으며 Xavier[17]가 제안한 초기화 방법으로 초기화하였다.

이론/모형

전통적인 래퍼 방식이 가지고 있는 속도 문제를 해결하기 위해 특정 기계학습의 정확성 대신 k-평균 클러스터링을 특징 집합의 적합성 평가를 위해 사용한다. 주어진 특징 벡터 S를 이용해 k-평균 클러스터링을 실행한 후 데이터 x의 소속 클래스와 원 소속 클래스의 동일성을 확인해 0 혹은 1값을 ω(x)로 부여한다.
모든 네트워크 트래픽은 앞에서 제시한 특징 선택알고리즘에 의해 선택된 특징만을 사용해 입력 벡터로 변경된 후 기계학습 모델의 입력으로 사용된다. 본 논문에서는 기계학습 방법 중 대표적인 지도학습 방법의 하나인 인공 신경망을 사용하였다. 인공 신경망의 네트워크 구조는 입력층, 은닉층, 출력층으로 구성된 3계층 다층 퍼셉트론이며 아래 (그림 1)과 같다.
중간에 위치한 은닉 계층의 노드 수는 다양한 노드 수를 사용해 실험한 후 가장 성능이 좋았던 노드 수, 여기서는 20을 사용하였다. 계층 간 연결은 완전 연결 방식을 사용하였으며 Xavier[17]가 제안한 초기화 방법으로 초기화하였다.
은닉 계층과 출력 계층의 노드에서 사용한 활성 함수는 0과 1사의 값을 출력하는 시그모이드 함수 #를 사용하였다. 비용함수는 식(5)와 같은 교차 엔트로피를 사용하였으며, 경사 하강법 기반의 역전파 알고리즘을 사용하여 신경망을 훈련시켰다. 훈련에 미니 배치 방식을 적용했고 훈련에 의해 개선되는 에러율의 폭이 일정 수준 이하이면 훈련을 중단하였다.

성능/효과

Pearson 상관계수를 사용하지 않고 다목적 유전자 알고리즘만을 사용한 경우(표 6에서 No PCC), 훈련데이터를 다시 사용해 정확도를 측정한 결과 87.7%의 정확도를 보여 주었고 테스트 데이터를 사용했을 때는 약 86.6%의 정확도를 보여 주었다. 한편 특징 집합의 크기는 평균 13.
다음으로 임계치를 0.7로 한 Pearson 상관계수 방법을 추가해서 실험한 결과, 훈련 정확도와 테스트 정확도가 87.5%와 86.1%로 첫 번째 방법 다목적 유전자 알고리즘만을 사용한 경우와 큰 차이가 없음을 확인하였다. 평균 길이는 10.
1%로 첫 번째 방법 다목적 유전자 알고리즘만을 사용한 경우와 큰 차이가 없음을 확인하였다. 평균 길이는 10.3으로 약 30% 이상의 개선이 있었고 훈련 시간과 테스트 시간에서도 개선이 있음을 확인 할 수 있다. 물론 훈련 데이터와 테스트 데이터의 규모가 작아 현저한 차이를 확인할 수는 없지만, 실제 현장에서 대규모의 네트워크 트래픽을 대상으로 데이터의 수집 및 전송, 전처리 절차를 비롯해 지속적인 학습 및 탐지 등에 걸리는 시간은 사용하는 특징 집합의 크기에 매우 큰 영향을 받는다.
본 논문은 실시간 이상 징후 탐지를 위해 기존에 제시된 다목적 유전자 알고리즘을 이용한 특징 집합 선택 방법에 특징 간의 Pearson 상관계수를 이용하는 방법을 추가하면 특징 집합의 크기를 크게 줄일 수 있음을 보였다. 다만, Pearson 상관계수를 사용해 주어진 특징 벡터 크기를 최소화하기 위해서는 최소 지배 집합 문제를 해결해야 한다.
NSL_KDD 데이터를 대상으로 10개의 공격과 정상트래픽을 판별하는 탐지 시스템을 인공신경망을 이용해 구현하였다. 제안한 특징 선택 알고리즘에 의해 추출된 특징을 사용한 경우 다목적 유전자 알고리즘만을 사용하여 얻은 특징 집합을 사용했을 때보다 약 30%의 특징 집합의 크기를 줄일 수 있었다. 이는 정확성에서 거의 손실을 가져오지 않고 달성한 것으로 일일 평균 테라바이트 이상의 대량 트래픽이 발생하는 네트워크에서는 실시간으로 이상 징후를 탐지하기 위한 의미 있는 연구결과라 할 수 있다.
자세한 전처리 절차는 [11]을 참고하기 바란다. 다만, 본 논문에서는 위의 방법을 적용한 결과 특징들 중 src_bytes와 dst_bytes는 정규화 후의 값의 범위가 각각 [0, 9.14], [0, 9.12]로 다른 특징들에 비해 여전히 높은 값을 갖는 것을 확인하였다. 따라서 두 특징이 [0, 1] 사의 값을 갖도록 추가로 최소-최대 정규화를 적용하여 모든 특징들이[0, 1]사이의 값을 갖도록 하였다.

후속연구

앞으로 정확성을 해치지 않으면서도 특징 벡터의 크기를 더욱 줄이기 위한 효율적인 알고리즘을 개발하고자 한다.

질의응답

핵심어	질문	논문에서 추출한 답변
	공격 탐지 시스템이란 무엇인가?	공격 탐지 시스템이란 정상적이지 않은 네트워크 또는 호스트의 사용을 실시간이나 사후에 탐지하는 시스템으로, 방어하고자 하는 공격 방법에 따라 크게 두 가지로 분류된다[6]. 우선 기존에 알려진 공격들을 탐지하기 위한 오사용(misuse detection) 탐지 방식이 있다.
	이상 징후 탐지 방식의 장점은 무엇인가?	다른 탐지 방법은 이상 징후(anomaly detection) 탐지 방식이다. 이상 징후 탐지 방식은 정상인 사용 패턴을 근거로 이를 벗어난 행위를 이상 행위로 간주하는 방식으로 오사용 탐지 방식과 다르게 이전에 알려지지 않은 공격 방법에 대해서도 탐지할 수 있는 장점이 있다. 하지만 이상 징후 탐지방식은 정상적인 사용 형태를 사이버 침해로 잘못 판단하는 문제점이 지적되고 있다.
	네트워크 기반의 이상 징후 침입 탐지 시스템에서 공격 탐지가 실시간으로 가능하려면 어떤 조건이 필요한가?	특히 기계학습에 기반한 시스템을 이용해 이상 징후를 탐지하는 경우 특징 추출을 위해 많은 전처리 시간을 요구하는 경우 실시간으로 탐지하기 어려운 문제에 직면할 수 있다[7]. 따라서 공격 탐지가 실시간으로 가능하려면 무엇보다 네트워크 트래픽의 성질을 대표하는 특징 집합의 크기가 작아야 한다.

참고문헌 (17)

미래창조과학부, "정보보호가 기본이 되고 창조경제 먹거리 산업화를 위한 K-ICT 시큐리티 발전 전략", 2015.
이광호, 김종화, 김지원, 윤석준, 김완주, 정찬기, "퍼지추론을 이용한 정량적 사이버 위협 수준 평가방안 연구", 융합보안논문지, 제18권, 제2호, pp.19-24, 2018.

원문보기 상세보기
Q. Liu, P. Li, W. Zhao, W. Cai, S. Yu and V. C. M. Leung, "A Survey on Security Threats and Defensive Techniques of Machine Learning: A Data Driven View", IEEE Access. vol.6, pp. 12103-12117, 2018.

상세보기
Y. Xin, etc. "Machine Learning and Deep Learning Methods for Cybersecurity", IEEE Access. vol. 6, pp. 35365-35381, 2018.

상세보기
H. Jiang, J. Nagra and P. Ahammad, "SoK: Applying Machine Learning in Security - A Survey", arXiv:1611.03186, 2016.
A. A. Ghorbani, W. Lu and M. Tavallaee, 'Network Intrusion Detection and Prevention', Springer 2010.
한명묵, "침입탐지시스템에서의 특징 선택에 대한 연구", 융합보안논문지, 제6권, 제3호, pp.19-24, 2018.
G. Chandrashekar, F. Sahin, "A survey on feature selection methods", Computers & Electrical Engineering, Vol. 40, Issue 1, pp. 16-28, 2014.

상세보기
J. Suto, S. Oniga and P. P. Sitar, "Comparison of wrapper and filter feature selection algorithms on human activity recognition", Proc. 6th International Conference on Computers Communications and Control (ICCCC), DOI: 10.1109/ICCCC.2016.7496749, 2016.
H. S. Huang, "Supervised feature selection: A tutorial", Artificial Intelligence Research, Vol. 4, No. 2, 2015.
김태희, 강승호, 실시간 탐지를 위한 인공신경망 기반의 네트워크 침입탐지 시스템, 융합보안논문지, 제17권, 1호, pp. 31-38, 2017.

원문보기 상세보기
NSL_KDD data set. Avalilable on: http://nsl.cs.unb.ca/NSL-KDD/
M. Tavallaee, E. Bagheri, W. Lu, and A. A. Ghorbani, "A Detailed Analysis of the KDD CUP 99 Data Set," Proc. 2009 IEEE Int. Conf. Comput. Intell. Security Defense Appl. CISDA, pp. 53-58, 2009.
KDD Cup 1999. Available on:http://kdd.ics.uci.e du/databases/kddcup99/kddcup99.html, 2007.
M. Sabhnani and G. Serpen, "Application of Machine Learning Algorithms to KDD Intrusion Detection Dataset within Misuse Detection Context," Proc. of International Conference on Machine Learning: Models, Technologies, and Applications, pp. 209-215, 2013.
M. R. Garey and D. S. Johnson, 'Computers and Intractability: A Guide to the Theory of NP-Completeness', W.H. FREEMAN AND COMPANY, 1979.
X. Glorot and Y. Bengio, "Understanding the difficulty of training deep feedforward neural networks", Proc. the 13th International Conference on Artificial Intelligence and Statistics 2010.

저자의 다른 논문 :

LOADING...

활용도 분석정보

상세보기

다운로드

내보내기

활용도 Top5 논문

해당 논문의 주제분야에서 활용도가 높은 상위 5개 콘텐츠를 보여줍니다.
더보기 버튼을 클릭하시면 더 많은 관련자료를 살펴볼 수 있습니다.

표제어: PCR

동의어: Packet Collision Rate

용어 설명 출처 목록 (6)

용어 설명: PCR은 세균 특이성이 있는 primer를 이용하여 적은 수의 세균이 있을지라도 쉽게 검출할 수 있는 유용한 방법이며, 이를 이용하여 구강 내 치면세균막이나 타액에서 직접 세균을 검출할 수 있게 되었다[8].

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증