[논문]네트워크 침입탐지를 위한 세션관리 기반의 LSTM 모델

이민욱

doi:10.7236/jiibc.2020.20.3.1

네트워크 침입탐지를 위한 세션관리 기반의 LSTM 모델
LSTM Model based on Session Management for Network Intrusion Detection 원문보기

The journal of the institute of internet, broadcasting and communication : JIIBC, v.20 no.3, 2020년, pp.1 - 7

이민욱 (국방과학연구소 기술원)

초록
AI-Helper

증가하는 사이버공격에 대응하기 위하여 머신러닝을 적용한 자동화된 침입탐지기술이 연구되고 있다. 최근 연구결과에 따르면, 순환형 학습모델을 적용한 침입탐지기술이 높은 탐지성능을 보여주는 것으로 확인되었다. 하지만 단순한 순환형 모델을 적용하는 것은 통신이 중첩된 환경일수록 연관된 통신의 특성을 반영하기 어려워 탐지성능이 저하될 수 있다. 본 논문에서는 이 같은 문제점을 해결하고자 세션관리모듈을 설계하여 LSTM(Long Short-Term Memory) 순환형 모델에 적용하였다. 실험을 위하여 CSE-CIC-IDS 2018 데이터 셋을 사용하였으며, 정상통신비율을 증가시켜 악성통신의 연관성을 낮추었다. 실험결과 통신연관성을 파악하기 힘든 환경에서도 제안하는 모델은 높은 탐지성능을 유지할 수 있음을 확인하였다.

Abstract ▼ AI-Helper

With the increase in cyber attacks, automated IDS using machine learning is being studied. According to recent research, the IDS using the recursive learning model shows high detection performance. However, the simple application of the recursive model may be difficult to reflect the associated session characteristics, as the overlapping session environment may degrade the performance. In this paper, we designed the session management module and applied it to LSTM (Long Short-Term Memory) recursive model. For the experiment, the CSE-CIC-IDS 2018 dataset is used and increased the normal session ratio to reduce the association of mal-session. The results show that the proposed model is able to maintain high detection performance even in the environment where session relevance is difficult to find.

주제어

표/그림 (5)

그림 그림 1. SM-LSTM 탐지 흐름도 Fig. 1. SM-LSTM Detection Flow
그림 그림 2. 세션관리모듈 Fig. 2. Session Management
그림 그림 3. LSTM 모델 구조 Fig. 3. LSTM Model Architecture
표 표 1. 실험 & 테스트 데이터 셋 Table 1. Train & Test Dataset
표 표 2. 실험결과 Table 2. Experiment Result

AI 본문요약
AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

결국 이것은 정상통신이 중첩된 환경에서 서로 다른 통신이 연관된 것으로 오학습 시킬 수 있고, 간헐적으로 발생하는 악성통신 간에 연관성을 잃어 탐지성능이 저하될 수 있다. 따라서 본 논문에서는 수많은 통신세션이 공존하는 환경에서도 연관된 세션을 구분하여 성능저하를 방지할 수 있는 SM-LSTM 을 제안한다.
본 논문에서는 연관된 세션을 고려하지 않은 학습모델 에서 발생하는 침입탐지 성능저하를 실험하였고, 이를 방지하기 위한 SM-LSTM 모델을 제안하여 성능을 검증하 였다. 실험을 위하여 데이터 셋에 정상세션 비율을 높이 고, 정상세션들 간에 공격세션이 균일하게 분포되도록 구성하였다.
연관성 있는 세션이란 특정 공격자가 발생시킨 일련의 세션을 의미한다. 본 논문에서는 이를 위해 LSTM 모델에 세션관리모듈을 적용한 SM-LSTM(Session Management based LSTM) 모델을 설계하였다. 세션관리모듈은 동일한 사용자가 발생시킨 일련의 세션을 구분하여 저장하고 출력 시켜 LSTM 모델에 학습시킨다.

제안 방법

전혀 다른 양상을 보이는 통신세션을 추가할 경우 잘못된 학습과 탐지결과를 보일 수 있다. 따라서 기존 데이터 셋에 존재하는 정상 값의 범위를 측정한 뒤, 해당 범위 내에서 정상 값과 동일하거나 유사한 값을 생성하였다. Feature의 속성에 따라 Port, Protocol 등 원본 데이터와 동일해야하는 Feature값은 유지하였고, 전송바이트, 초당 전송 패킷 등 변경 가능한 Feature 값에 대해서만 정상범위 내로 변경하여 생성된 데이터의 신뢰성과 원본 데이터와의 유사성을 높였다.
마지막으로 데이터 셋에서 학습에 사용될 Feature와 세션관리를 위한 Feature를 선정하였다. 출발지 IP, 목적지 IP와 목적지 Port는 세션관리를 위한 Feature로 선정하였으며, 학습을 위한 Feature는 Sung, A.
본 논문에서는 기존 LSTM 모델을 차용하였으며, 네트워크 Feature를 학습할 수 있게 학습 데이터 입력 값을 변경하여 구성하였다. 그림 3은 LSTM의 구조를 보여 주고 있다.
Feature의 속성에 따라 Port, Protocol 등 원본 데이터와 동일해야하는 Feature값은 유지하였고, 전송바이트, 초당 전송 패킷 등 변경 가능한 Feature 값에 대해서만 정상범위 내로 변경하여 생성된 데이터의 신뢰성과 원본 데이터와의 유사성을 높였다. 생성한 데이터를 원본 데이터 셋에 추가하였으며, 공격세션이 전체 데이터 셋에서 균일하게 분포하되, 순서는 동일하도록 데이터 셋을 구성 하였다. 최종적으로 생성된 데이터 셋을 학습용과 테스트용 데이터 셋으로 분리하였다.
본 논문에서는 연관된 세션을 고려하지 않은 학습모델 에서 발생하는 침입탐지 성능저하를 실험하였고, 이를 방지하기 위한 SM-LSTM 모델을 제안하여 성능을 검증하 였다. 실험을 위하여 데이터 셋에 정상세션 비율을 높이 고, 정상세션들 간에 공격세션이 균일하게 분포되도록 구성하였다. 이같이 통신 중첩이 증가된 환경에서 일반적인 순환형 학습모델은 연관된 세션을 제대로 학습하지 못하 고, 오탐률 증가로 인한 성능저하가 발생하였다.
, et al.에 의하여 수행되었고, IP, Port, Flag, data size, window size 등 Packet 수준의 Header 정보를 Feature로 활용하여 침입탐지모델을 설계하였다.^[10]또한, Perdisci, R.
, et al.에 의해 수행되었었으며, Packet 계층 Feature에 세션시간, 송수신 바이트, 패킷의 송수신 간격 등 Session에서 관측 가능한 메타데이터를 머신 러닝 학습에 활용하였다.^[14][15] 또한, Yu, Y.
4장에서는 세션관리를 통해 순환형 학습모델의 성능 저하를 방지할 수 있음을 증명하기 위한 실험을 수행하였다. 이를 위해 정상 통신 비율을 서로 다르게 구성한 데이터 셋을 생성하였으며, 생성된 데이터 셋을 사용하여 기존 학습모델과 제안하는 SM-LSTM 모델의 성능을 비교하는 실험을 수행하였다.
생성한 데이터를 원본 데이터 셋에 추가하였으며, 공격세션이 전체 데이터 셋에서 균일하게 분포하되, 순서는 동일하도록 데이터 셋을 구성 하였다. 최종적으로 생성된 데이터 셋을 학습용과 테스트용 데이터 셋으로 분리하였다. 이 같은 과정에 따라 생성된 데이터 셋은 표 1과 같다.

대상 데이터

IDS 2018 데이터 셋의 원본 데이터는 DoS, Brute Force, Web attack , Infiltration attack, DDoS로 공격 카테고리가 구성되어있다. 이 중 세션 기반의 공격 방식인 Web Attack, Bruete Force, DoS 데이터를 선정하였다.
SM-LSTM 모델의 테스트를 위하여 케나다 사이버보안연구소에서 제공하는 CSE-CIC-IDS 2018의 데이터 셋을 활용하였다.^[18] 전체 데이터 셋에서 세션 기반의 침입탐지 모델에 적합한 네트워크 공격 데이터를 선정하였고, 선정된 네트워크 데이터에 정상 통신 비율을 조정하여 Original 데이터 셋과 Noise 데이터 셋을 생성하였다.
[18] 전체 데이터 셋에서 세션 기반의 침입탐지 모델에 적합한 네트워크 공격 데이터를 선정하였고, 선정된 네트워크 데이터에 정상 통신 비율을 조정하여 Original 데이터 셋과 Noise 데이터 셋을 생성하였다.
구성된 Original 및 Noise 데이터 셋을 사용하여 SM-LSTM을 포함한 총 6개의 모델을 실험하였다. 비교군 학습모델은 비순환형 학습모델 kNN, NB(Naive Bayesian), RF(Random Forest)과 순환형 학습모델 RNN, LSTM을 선정하였다.
본 논문은 총 5장으로 구성되어 있다. 2장은 네트워크 침입탐지 기술에 머신러닝을 적용한 연구사례를 소개하 며, 3장에서는 SM-LSTM 모델을 제안한다.
구성된 Original 및 Noise 데이터 셋을 사용하여 SM-LSTM을 포함한 총 6개의 모델을 실험하였다. 비교군 학습모델은 비순환형 학습모델 kNN, NB(Naive Bayesian), RF(Random Forest)과 순환형 학습모델 RNN, LSTM을 선정하였다. 모델의 성능변화를 관측하기 위하여 (7)~(8) 수식에 따라 모델의 정탐률(DR), 오탐 률(FAR), 정확도(Accuracy)를 측정하였다.
, et al. 이 제안하는 Feature^[19] 중 5개를 선정하였다. 선정된 Feature는 source bytes(출발지에서 보낸 데이터 크기, flag(연결 에러 등의 상태 값), rerror_rate(서버 거부 에러), service(ftp, http 등), dst_host_diff_srv_rate (다른 서비스에 접근한 비율)이다.
IDS 2018 데이터 셋의 원본 데이터는 DoS, Brute Force, Web attack , Infiltration attack, DDoS로 공격 카테고리가 구성되어있다. 이 중 세션 기반의 공격 방식인 Web Attack, Bruete Force, DoS 데이터를 선정하였다.

이론/모형

비교군 학습모델은 비순환형 학습모델 kNN, NB(Naive Bayesian), RF(Random Forest)과 순환형 학습모델 RNN, LSTM을 선정하였다. 모델의 성능변화를 관측하기 위하여 (7)~(8) 수식에 따라 모델의 정탐률(DR), 오탐 률(FAR), 정확도(Accuracy)를 측정하였다.

성능/효과

따라서 기존 데이터 셋에 존재하는 정상 값의 범위를 측정한 뒤, 해당 범위 내에서 정상 값과 동일하거나 유사한 값을 생성하였다. Feature의 속성에 따라 Port, Protocol 등 원본 데이터와 동일해야하는 Feature값은 유지하였고, 전송바이트, 초당 전송 패킷 등 변경 가능한 Feature 값에 대해서만 정상범위 내로 변경하여 생성된 데이터의 신뢰성과 원본 데이터와의 유사성을 높였다. 생성한 데이터를 원본 데이터 셋에 추가하였으며, 공격세션이 전체 데이터 셋에서 균일하게 분포하되, 순서는 동일하도록 데이터 셋을 구성 하였다.
비순환형 학습 모델(kNN, NB, RF)에서는 데이터 셋 특징에 따라 성능에 변화가 없었으나, 순환형 학습모델(RNN, LSTM)에서는 오탐률 증가로 인한 성능 저하가 발생된 것을 확인할 수 있었다. 반면, 본 논문에서 제안하는 SM-LSTM 모델은 순환형 학습모델을 이용함에도 연관된 세션을 구분하여 학습시킴으로써 높은 탐지 성능을 유지할 수 있음을 확인하였다.
Original 및 Noise 데이터 셋의 통신 특징에 따라 비 순환형 학습모델과 순환형 학습모델은 서로 다른 결과를 보여주었다. 비순환형 학습 모델(kNN, NB, RF)에서는 데이터 셋 특징에 따라 성능에 변화가 없었으나, 순환형 학습모델(RNN, LSTM)에서는 오탐률 증가로 인한 성능 저하가 발생된 것을 확인할 수 있었다. 반면, 본 논문에서 제안하는 SM-LSTM 모델은 순환형 학습모델을 이용함에도 연관된 세션을 구분하여 학습시킴으로써 높은 탐지 성능을 유지할 수 있음을 확인하였다.
, et al.은 RNN의 장기간 통신에 대한 학습 영향력 약화(Vanishing Problem) 문제를 해결하기 위하여 LSTM을 적용하여 98.88% 탐지율과 96.93% 정확도의 성능을 보여주었다.^[9]
침입탐지에 대한 머신러닝 적용은 Packet 계층에서 Session 계층으로 확대되었으며, 비순환형 학습모델보다 순환형 학습모델을 적용하였을 때 더욱 효과적인 침입탐 지가 가능한 것이 확인되었다. 하지만 기존 순환형 학습 모델은 통신의 시간특성을 반영하였으나, 각 통신의 주체에 대해서는 구분하고 있지 않다.

후속연구

향후 연구로는 세션관리와 학습 Feature에 관한 최적화 연구가 필요하다. 또한, 정상통신이 많은 일반적인 네트워크 서비스 환경에서 SM-LSTM모델을 실험하여 실제 서비스 환경이 탐지성능에 미치는 영향에 대해 연구가 필요하다
향후 연구로는 세션관리와 학습 Feature에 관한 최적화 연구가 필요하다. 또한, 정상통신이 많은 일반적인 네트워크 서비스 환경에서 SM-LSTM모델을 실험하여 실제 서비스 환경이 탐지성능에 미치는 영향에 대해 연구가 필요하다

참고문헌 (19)

Christiaan Beek, Taylor Dunton, John Fokker, Steve Grobman, Tim Hux, Tim Polzer, Marc Rivero Lopez, Thomas Roccia, Jessica Saavedra-Morales, Raj Samani,Ryan Sherstobitof, ,McAfee Labs Thread Report 2019, Aug 2019 DOI:https://www.mcafee.com/enterprise/en-us/assets/reports/rp-quarterly-threats-aug-2019.pdf
Um, J.G., Kwon, H. Y., "Model Proposal for Detection Method of Cyber Attack using SIEM", The journal of the institute of internet, broadcasting and communication(JIIBC), vol. 16, no. 6, pp. 43-54, Dec. 2016. DOI: http://dx.doi.org/10.7236/JIIBC.2016.16.6.43
Jeon, D. J., Park, D.G., "Real-time Linux Malware Detection Using Machine Learning," The Journal of Korean Institute of Information Technology(JKIIT), vol. 17, no. 7, pp. 111-122, Jul. 2019. DOI: http://dx.doi.org/10.14801/jkiit.2019.17.7.111
Lim, W. G., Kwon, K. H., Kim, J. J., Lee, J. E., Cha, S. H., "Comparison and Analysis of Anomaly Detection Methods for Detecting Data Exfiltration" Journal of the Korea Academia Industrial cooperation Society(JKAIS), vol. 17, no. 9, pp. 440-446, Sep. 2016. DOI: http://dx.doi.org/10.5762/KAIS.2016.17.9.440
Muda, Z., Yassin, W., Sulaiman, M. N., & Udzir, N. I., A K-Means and Naive Bayesian learning approach for better intrusion detection. Information technology journal, 10(3), pp. 648-655, 2011 DOI: https://doi.org/10.3923/itj.2011

상세보기
Liao, Yihua, and V. Rao Vemuri, Use of k-nearest neighbor classifier for intrusion detection, Computers & Security 21.5, pp.439-448, 2002. DOI : https://doi.org/10.1016/S0167-4048(02)00514-X

상세보기
Farnaaz, N., & Jabbar, M. A. Random forest modeling for network intrusion detection system. Procedia Computer Science, 89(1), pp. 213-217. 2016. DOI: https://doi.org/10.1016/j.procs.2016.06.047

상세보기
Yin, C., Zhu, Y., Fei, J., & He, X. A deep learning approach for intrusion detection using recurrent neural networks. Ieee Access, 5, pp. 21954-21961, 2017. DOI: https://doi.org/10.1109/ACCESS.2017.2762418

상세보기
Kim, J., Kim, J., Thu, H. L. T., & Kim, H, Long Short-Term memory recurrent neural network classifier for intrusion detection. In 2016 International Conference on Platform Technology and Service (PlatCon) pp. 1-5, Feb, 2016. DOI: https://doi.org/10.1109/PlatCon.2016.7456805
Chan, P. K., & Mahoney, M. V. Detecting Novel Attacks by Identifying Anomalous Network Packet Headers. Florida Tech., 2001 DOI: http://hdl.handle.net/11141/87
Perdisci, R., Ariu, D., Fogla, P., Giacinto, G., & Lee, W. McPAD: A multiple classifier system for accurate payload-based anomaly detection. Computer networks, 53(6), pp. 864-881, 2009. DOI: https://doi.org/10.1016/j.comnet.2008.11.011

상세보기
Liu, H., Lang, B., Liu, M., & Yan, H. CNN and RNN based payload classification methods for attack detection. Knowledge-Based Systems, 163, pp. 332-341. 2019. DOI: https://doi.org/10.1016/j.knosys.2018.08.036

상세보기
Wang, K., & Stolfo, S. J. Anomalous payload-based network intrusion detection. In International workshop on recent advances in intrusion detection pp. 203-222. Sep, 2004. DOI: https://doi.org/10.1007/978-3-540-30143-1_11
Zhang, C., Ruan, F., Yin, L., Chen, X., Zhai, L., & Liu, F. A Deep Learning Approach for Network Intrusion Detection Based on NSL-KDD Dataset. In 2019 IEEE 13th International Conference on Anti-counterfeiting, Security, and Identification (ASID) pp. 41-45. Oct, 2019. DOI: https://doi.org/10.1109/ICASID.2019.8925239
Chadza, T., Kyriakopoulos, K. G., & Lambotharan, S. Contemporary Sequential Network Attacks Prediction using Hidden Markov Model. In 2019 17th International Conference on Privacy, Security and Trust (PST) pp. 1-3, Aug 2019. DOI: https://doi.org/10.1109/PST47121.2019.8949035
Yu, Y., Long, J., & Cai, Z. Session-based network intrusion detection using a deep learning architecture. In International Conference on Modeling Decisions for Artificial Intelligence, pp. 144-155. Oct, 2017. DOI: https://doi.org/10.1007/978-3-319-67422-3_13
Hochreiter, S., & Schmidhuber, J. Long short-term memory. Neural computation, 9(8), pp. 1735-1780. 1997. DOI: https://doi.org/10.1162/neco.1997.9.8.1735

상세보기
Communications Security Establishment & Canadian Institute for Cybersecurity ,CSE-CIC-IDS2018 DATASET, https://www.unb.ca/cic/datasets/ids-2018.html
Sung, A. H., Mukkamala, S. The feature selection and intrusion detection problems. In Annual Asian Computing Science Conference, pp. 468-482. Dec, 2004. DOI: https://doi.org/10.1007/978-3-540-30502-6_34

표제어: PCR

동의어: Packet Collision Rate

용어 설명 출처 목록 (6)

용어 설명: PCR은 세균 특이성이 있는 primer를 이용하여 적은 수의 세균이 있을지라도 쉽게 검출할 수 있는 유용한 방법이며, 이를 이용하여 구강 내 치면세균막이나 타액에서 직접 세균을 검출할 수 있게 되었다[8].

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증