[논문]이상 탐지 분석에서 알려지지 않는 공격을 식별하기 위한 이산 웨이블릿 변환 적용 연구

김동욱; 신건윤; 윤지영; 김상수; 한명묵

doi:10.7472/jksii.2021.22.3.45

[국내논문] 이상 탐지 분석에서 알려지지 않는 공격을 식별하기 위한 이산 웨이블릿 변환 적용 연구
Application of Discrete Wavelet Transforms to Identify Unknown Attacks in Anomaly Detection Analysis 원문보기

Journal of Internet Computing and Services = 인터넷정보학회논문지, v.22 no.3, 2021년, pp.45 - 52

김동욱 (Department of Computer Engineering, Gachon University) , 신건윤 (Department of Computer Engineering, Gachon University) , 윤지영 (Department of Software, Gachon University) , 김상수 (Agency for Defense Development Songpa) , 한명묵 (Department of Software, Gachon University)

초록
AI-Helper

사이버 보안의 침입탐지 시스템에서 알려지지 않는 공격을 식별하기 위한 많은 연구가 이루어지고 있지만, 그 중에서도 이상치를 기반으로 하는 연구가 주목받고 있다. 이에 따라 우리는 알려지지 않는 공격에 대한 범주를 정의하여 이상치를 식별한다. 알려지지 않는 공격은 2가지 범주로 조사하였는데, 첫째는 변종 공격을 생성하는 사항이 있고, 두 번째는 새로운 유형으로 분류하는 연구로 나누었다. 우리는 변종 공격을 생성하는 연구 범주에서 변종과 같이 유사 데이터를 식별할 수 있는 이상치 연구를 수행하였다. 침입탐지 시스템에서 이상치를 식별하는 큰 문제는 정상행동과 공격행동이 같은 공간을 공유하는 것이다. 이를 위해 우리는 이산 웨이블릿 변환으로 정상과 공격에 대해 명확한 유형으로 나눌 수 있는 기법을 적용하고 이상치를 탐지하였다. 결과로 우리는 이산 웨이블릿 변환으로 재구성된 데이터에서 One-Class SVM을 통한 이상치를 식별 할 수 있음을 확인하였다.

Abstract ▼ AI-Helper

Although many studies have been conducted to identify unknown attacks in cyber security intrusion detection systems, studies based on outliers are attracting attention. Accordingly, we identify outliers by defining categories for unknown attacks. The unknown attacks were investigated in two categories: first, there are factors that generate variant attacks, and second, studies that classify them into new types. We have conducted outlier studies that can identify similar data, such as variants, in the category of studies that generate variant attacks. The big problem of identifying anomalies in the intrusion detection system is that normal and aggressive behavior share the same space. For this, we applied a technique that can be divided into clear types for normal and attack by discrete wavelet transformation and detected anomalies. As a result, we confirmed that the outliers can be identified through One-Class SVM in the data reconstructed by discrete wavelet transform.

주제어

표/그림 (8)

그림 (그림 1) 이산 웨이블릿 변환 기반 이상 탐지 (Figure 1) Discrete Wavelet Transform based Anomaly Detection
그림 (그림 2) 이산 웨이블릿 변환과 주성분 분석을 이용한 특징 공간 표현 (Figure 2) Feature Space Expression Using Discrete Wavelet Transform and Principal Component Analysis
그림 (그림 3) 정상(Normal) 클래스 기반 이상 탐지 (Figure 3) Normal Class based Abnormal Detection
그림 (그림 4) Dos 클래스 기반 이상 탐지 (Figure 4) Dos Class based Abnormal Detection
그림 (그림 5) Probe 클래스 기반 이상 탐지 (Figure 5) Probe Class based Abnormal Detection
그림 (그림 6) r2l 클래스 기반 이상 탐지 (Figure 3) r2l Class based Abnormal Detection
표 (표 1) OCSVM의 학습 성능 평가 (Table 1) Training Data Performance Evaluation
표 (표 2) OCSVM의 테스트 성능 평가 (Table 2) Test Data Performance Evaluation

AI 본문요약
AI-Helper

문제 정의

우리는 이러한 이상탐지의 한계점에서 알려지지 않는 공격을 식별하기 위한 연구를 수행하였다

제안 방법

우리는 사이버 보안에서 알려지지 않는 공격을 식별하기 위해 2가지 정의에서 변종 식별을 위한 연구를 수행하였다
알려지지 않는 공격에서 정상과 유사한 행동을 하는 변종 공격 관점에서 이산 웨이블릿 변환으로 정상과 공격의 행동을 분해하여 재구성을 하고, 정상 공간과 공격 공간간의 비교를 통해 이상치를 식별하는 방법을 수행하였다. 실제 실험으로 우리는 OCSVM(One-Class SVM)을 이용하여 각 클래스마다의 학습을 통해 결정 경계에 있는 이상치를 식별할 수 있었다.
우리는 이러한 이상탐지의 한계점에서 알려지지 않는 공격을 식별하기 위한 연구를 수행하였다. 알려지지 않는 공격에서 정상과 유사한 행동을 하는 변종 공격 관점에서 이산 웨이블릿 변환으로 정상과 공격의 행동을 분해하여 재구성을 하고, 정상 공간과 공격 공간간의 비교를 통해 이상치를 식별하는 방법을 수행하였다. 실제 실험으로 우리는 OCSVM(One-Class SVM)을 이용하여 각 클래스마다의 학습을 통해 결정 경계에 있는 이상치를 식별할 수 있었다.
알려지지 않는 공격의 변종 데이터 식별을 위해 우리는 이상치를 탐지한다. 이상치를 탐지하기 위해서는 균일 된 데이터 분포를 이루는 상황에서는 탐지하기가 어려움을 알고, 우리는 이산 웨이블릿 변환을 통하여 각 클래스에 잡음을 제거하여, 명확한 클래스로 재구성하였다. 이후 이상치를 탐지할 수 있는 OCSVM 모델을 통해 각 클래스 별로 결과를 확인해본바, 클래스간의 같은 공간을 공유하고 있는 변종 공격을 식별하였다.
이상치를 탐지하기 위해서는 균일 된 데이터 분포를 이루는 상황에서는 탐지하기가 어려움을 알고, 우리는 이산 웨이블릿 변환을 통하여 각 클래스에 잡음을 제거하여, 명확한 클래스로 재구성하였다. 이후 이상치를 탐지할 수 있는 OCSVM 모델을 통해 각 클래스 별로 결과를 확인해본바, 클래스간의 같은 공간을 공유하고 있는 변종 공격을 식별하였다.
이후, 특성 값이 0인 속성 “wrong_fragment”, “urgent”, “num_outbound_cmds"을 추가로 제거하여 총 112개의 특성을 사용하여 우리는 다음 단계의 이산 웨이블릿 변환을 수행한다.

데이터처리

OCSVM은 단일 대상 클래스만을 학습하여 다른 모든 클래스와 구별한다. 우리는 각각의 클래스를 하나씩 학습하여, 학습 결과를 기반으로 다른 클래스에 대한 이상치를 식별하는 방법으로 정상 (Normal), DoS, Probe, R2L 클래스를 각각 비교해본다.
본 연구의 실험 결과 사항으로 전처리된 NSL-KDD 데이터세트의 이산 웨이블릿 변환을 적용하여 특징을 표현한다. 특징 공간을 시각화로 투영하기 위해 우리는 주성분 분석(Principal component analysis) 계산을 수행하여 주요 구성 요소를 식별하였다. 주성분 분석은 고유 벡터와 고유 값을 계산하기 위해서 특이 값 분해 (Singular Value Decomposition, SVD)를 기반으로 한 근사 방법을 사용하여, 고차원 데이터를 저차원으로 표현한다.

이론/모형

flag 속성에는 11개의 특성 SF, S2, S1, S3, 등이 있다. 3가지의 명목 변수를 사용하기 위해 우리는 OneHotEncoder 방식을 적용하였다. 프로토콜 유형의 속성 값이 "TCP"이면 1로 변환되고, 그렇지 않으면 0으로 변환함으로써 각각의 모든 속성을 조합하여 적용하였다.
특징 공간을 시각화로 투영하기 위해 우리는 주성분 분석(Principal component analysis) 계산을 수행하여 주요 구성 요소를 식별하였다. 주성분 분석은 고유 벡터와 고유 값을 계산하기 위해서 특이 값 분해 (Singular Value Decomposition, SVD)를 기반으로 한 근사 방법을 사용하여, 고차원 데이터를 저차원으로 표현한다.

후속연구

이와 같이 우리는 이상치를 탐지할 수 있는 방법을 제안하였으며, 향후에는 적은 데이터에서도 이상치를 식별할 수 있는 데이터 불균형성을 해결하는 사항을 수행할 것이며, 변종 공격을 생성하는 사항으로 알려지지 않는 공격에 대한 이상치 탐지를 수행할 것이다

참고문헌 (18)

Khraisat. A, Gondal. I, Vamplew. P, and Kamruzzaman. J, "Survey of intrusion detection systems: techniques, datasets and challenges", Cybersecurity, Vol. 2, No. 1, pp. 1-22, 2019. https://doi.org/10.1186/s42400-019-0038-7

상세보기
Lee. W, Stolfo. S. J, "A framework for constructing features and models for intrusion detection systems", ACM transactions on Information and system security, Vol. 3, No. 4, pp. 227-261, 2000. https://doi.org/10.1145/382912.382914

상세보기
Sen. J, Mehtab. S, "Machine Learning Applications in Misuse and Anomaly Detection", arXiv preprint arXiv:2009.06709, 2020. http://doi.org/10.5772/intechopen.92653
Narsingyani. D, Kale. O, "Optimizing false positive in anomaly based intrusion detection using Genetic algorithm", 2015 IEEE 3rd International Conference on MOOCs Innovation and Technology in Education, pp. 72-77, 2015. https://doi.org/10.1109/MITE.2015.7375291
Yamada. A, Miyake. Y, Takemori. K, and Tanaka. T, "Intrusion detection system to detect variant attacks using learning algorithms with automatic generation of training data", Proceedings of International Conference on Information Technology: Coding and Computing, Vol. 1. pp. 650-655 2006. https://doi.org/10.1109/ITCC.2005.178
Chandola. V, Banerjee. A, Kumar. V, "Anomaly detection: a survey", ACM computing surveys (CSUR), Vol. 41, No. 3, pp. 15-58, 2009. https://doi.org/10.1145/1541880.1541882

상세보기
Marco A.F. Pimentel, David A. Clifton, Lei Clifton, and Lionel Tarassenko. "A review of novelty detection. Signal Processing", Vol. 99, pp. 215-249, 2014. https://doi.org/10.1016/j.sigpro.2013.12.026

상세보기
Lin, Zilong, Yong Shi, and Zhi Xue, "IDSGAN: Generative adversarial networks for attack generation against intrusion detection." arXiv preprint arXiv:1809.02077, 2018. https://arxiv.org/abs/1809.02077
Piplai, Aritran, Sai Sree Laya Chukkapalli, and Anupam Joshi, "NAttack! Adversarial Attacks to bypass a GAN based classifier trained to detect Network intrusion." 2020 IEEE 6th Intl Conference on Big Data Security on Cloud (BigDataSecurity), IEEE Intl Conference on High Performance and Smart Computing, (HPSC) and IEEE Intl Conference on Intelligent Data and Security (IDS). IEEE, 2020. https://doi.org/10.1109/BigDataSecurity-HPSC-IDS49724.2020.00020
Kliger, Mark, Shachar Fleishman, "Novelty detection with gan", arXiv preprint arXiv:1802.10560, 2018. https://arxiv.org/abs/1802.10560
Geng, Chuanxing, Sheng-jun Huang, and Songcan Chen, "Recent advances in open set recognition: A survey", IEEE transactions on pattern analysis and machine intelligence, 2020 https://doi.org/10.1109/TPAMI.2020.2981604

상세보기
Yao Lai, Guolou Ping, Yuexin Wu, Chenhui Lu, and Xiaojun Ye, "OpenSMax: Unknown Domain Generation Algorithm Detection", 24th European Conference on Artificial Intelligence ECAI, Vol. 325, 2020. http://dx.doi.org/10.3233/FAIA200301
Mahbod Tavallaee, Ebrahim Bagheri, Wei Lu, and Ali A Ghorbani, "A detailed analysis of the KDD CUP 99 data set", 2009 IEEE symposium on computational intelligence for security and defense applications, pp. 1-6, 2009. https://doi.org/10.1109/CISDA.2009.5356528
Ji. Soo Yeon, Jeong. Bong Keun, Choi. Seonho, and Jeong. Dong Hyun, "A multi-level intrusion detection method for abnormal network behaviors", Journal of Network and Computer Applications, Vol. 62 pp. 9-17, 2016. https://doi.org/10.1016/j.jnca.2015.12.004

상세보기
TAN Jun, CHEN Xing-shu, DU Min, and ZHU Kai, "A novel internet traffic identification approach using wavelet packet decomposition and neural network", Journal of Central South University, Vol. 19, No. 8, pp. 2218-2230, 2012. http://doi.org/10.1007/s11771-012-1266-0

상세보기
Golan, Izhak, Ran El-Yaniv, "Deep anomaly detection using geometric transformations", arXiv preprint arXiv:1805.10917, 2018. https://arxiv.org/abs/1805.10917
Rashid, Owais, Asdaq Amin, and Mohd Rafi Lone, "Performance Analysis of DWT Families", 2020 3rd International Conference on Intelligent Sustainable Systems (ICISS) IEEE, pp. 1457-1463, 2020. https://dx.doi.org/10.1109/ICISS49785.2020.9315960
Ritesh K. Malaiya, Donghwoon Kwon, Jinoh Kim, Sang C. Suh, Hyunjoo Kim, and Ikkyun Kim, "An empirical evaluation of deep learning for network anomaly detection", 2018 International Conference on Computing, Networking and Communications (ICNC), pp. 893-898, 2018. https://doi.org/10.1109/ICCNC.2018.8390278

저자의 다른 논문 :

표제어: PCR

동의어: Packet Collision Rate

용어 설명 출처 목록 (6)

용어 설명: PCR은 세균 특이성이 있는 primer를 이용하여 적은 수의 세균이 있을지라도 쉽게 검출할 수 있는 유용한 방법이며, 이를 이용하여 구강 내 치면세균막이나 타액에서 직접 세균을 검출할 수 있게 되었다[8].

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증