[논문]Few-Shot Learning을 사용한 호스트 기반 침입 탐지 모델

박대경; 신동일; 신동규; 김상수

doi:10.3745/ktsde.2021.10.7.271

Few-Shot Learning을 사용한 호스트 기반 침입 탐지 모델
Host-Based Intrusion Detection Model Using Few-Shot Learning 원문보기

정보처리학회논문지. KIPS transactions on software and data engineering. 소프트웨어 및 데이터 공학, v.10 no.7, 2021년, pp.271 - 278

박대경 (세종대학교 컴퓨터공학과 지능형드론 융합전공) , 신동일 (세종대학교 컴퓨터공학과 지능형드론 융합전공) , 신동규 (세종대학교 컴퓨터공학과 지능형드론 융합전공) , 김상수 (국방과학연구소 사이버)

초록
AI-Helper

현재 사이버 공격이 더욱 지능화됨에 따라 기존의 침입 탐지 시스템(Intrusion Detection System)은 저장된 패턴에서 벗어난 지능형 공격을 탐지하기 어렵다. 이를 해결하려는 방법으로, 데이터 학습을 통해 지능형 공격의 패턴을 분석하는 딥러닝(Deep Learning) 기반의 침입 탐지 시스템 모델이 등장했다. 침입 탐지 시스템은 설치 위치에 따라 호스트 기반과 네트워크 기반으로 구분된다. 호스트 기반 침입 탐지 시스템은 네트워크 기반 침입 탐지 시스템과 달리 시스템 내부와 외부를 전체적으로 관찰해야 하는 단점이 있다. 하지만 네트워크 기반 침입 탐지 시스템에서 탐지할 수 없는 침입을 탐지할 수 있는 장점이 있다. 따라서, 본 연구에서는 호스트 기반의 침입 탐지 시스템에 관한 연구를 수행했다. 호스트 기반의 침입 탐지 시스템 모델의 성능을 평가하고 개선하기 위해서 2018년에 공개된 호스트 기반 LID-DS(Leipzig Intrusion Detection-Data Set)를 사용했다. 해당 데이터 세트를 통한 모델의 성능 평가에 있어서 각 데이터에 대한 유사성을 확인하여 정상 데이터인지 비정상 데이터인지 식별하기 위해 1차원 벡터 데이터를 3차원 이미지 데이터로 변환하여 재구성했다. 또한, 딥러닝 모델은 새로운 사이버 공격 방법이 발견될 때마다 학습을 다시 해야 한다는 단점이 있다. 즉, 데이터의 양이 많을수록 학습하는 시간이 오래 걸리기 때문에 효율적이지 못하다. 이를 해결하기 위해 본 논문에서는 적은 양의 데이터를 학습하여 우수한 성능을 보이는 Few-Shot Learning 기법을 사용하기 위해 Siamese-CNN(Siamese Convolutional Neural Network)을 제안한다. Siamese-CNN은 이미지로 변환한 각 사이버 공격의 샘플에 대한 유사성 점수에 의해 같은 유형의 공격인지 아닌지 판단한다. 정확성은 Few-Shot Learning 기법을 사용하여 정확성을 계산했으며, Siamese-CNN의 성능을 확인하기 위해 Vanilla-CNN(Vanilla Convolutional Neural Network)과 Siamese-CNN의 성능을 비교했다. Accuracy, Precision, Recall 및 F1-Score 지표를 측정한 결과, Vanilla-CNN 모델보다 본 연구에서 제안한 Siamese-CNN 모델의 Recall이 약 6% 증가한 것을 확인했다.

Abstract ▼ AI-Helper

As the current cyber attacks become more intelligent, the existing Intrusion Detection System is difficult for detecting intelligent attacks that deviate from the existing stored patterns. In an attempt to solve this, a model of a deep learning-based intrusion detection system that analyzes the pattern of intelligent attacks through data learning has emerged. Intrusion detection systems are divided into host-based and network-based depending on the installation location. Unlike network-based intrusion detection systems, host-based intrusion detection systems have the disadvantage of having to observe the inside and outside of the system as a whole. However, it has the advantage of being able to detect intrusions that cannot be detected by a network-based intrusion detection system. Therefore, in this study, we conducted a study on a host-based intrusion detection system. In order to evaluate and improve the performance of the host-based intrusion detection system model, we used the host-based Leipzig Intrusion Detection-Data Set (LID-DS) published in 2018. In the performance evaluation of the model using that data set, in order to confirm the similarity of each data and reconstructed to identify whether it is normal data or abnormal data, 1D vector data is converted to 3D image data. Also, the deep learning model has the drawback of having to re-learn every time a new cyber attack method is seen. In other words, it is not efficient because it takes a long time to learn a large amount of data. To solve this problem, this paper proposes the Siamese Convolutional Neural Network (Siamese-CNN) to use the Few-Shot Learning method that shows excellent performance by learning the little amount of data. Siamese-CNN determines whether the attacks are of the same type by the similarity score of each sample of cyber attacks converted into images. The accuracy was calculated using Few-Shot Learning technique, and the performance of Vanilla Convolutional Neural Network (Vanilla-CNN) and Siamese-CNN was compared to confirm the performance of Siamese-CNN. As a result of measuring Accuracy, Precision, Recall and F1-Score index, it was confirmed that the recall of the Siamese-CNN model proposed in this study was increased by about 6% from the Vanilla-CNN model.

주제어

표/그림 (18)

그림 Fig. 1. Proposed Host-based Intrusion Detection Model Structure
그림 Fig 2. The Detailed Dataset Preprocessing Steps and Create Image Steps
그림 Fig. 3. The Structure of Siamese Convolutional Neural Networks and Convolutional Neural Networks
표 Table 1. Feature Comparison LID-DS with other Datasets
표 Table 2. Number of Images Per Each Cyber Attack Method
표 Table 3. The Siamese Network Configuration used in the Experiment
표 Table 4. The Neural Network Configuration used in the Experiment
그림 Fig. 4. Confusion Matrix
그림 Fig. 5. Visualize the Learning Process of Siamese Network
그림 Fig. 6. Confusion Matrix for CNN Model Classification Performance
표 Table 5. Properties and Descriptions used in Equations
표 Table 7. Classifier Model Performance Results using LID-DS Data
표 Table 6. Siamese Network Performance with N-way One-Shot Learning
그림 Fig. 7. Visualize the Learning Process of Classifier Model
그림 Fig. 8. Confusion Matrix for Model Performance Classifying 8 Cyber Attack Methods
표 Table 8. LID-DS Data Cyber Attack Method
표 Table 9. Modified LID-DS Data Cyber Attack Method
표 Table 10. Model Performance Results for Classifying 8 Cyber Attack Methods

참고문헌 (20)

Y. G. Choi and S. S. Park, "Reinforcement Mining Method for Anomaly Detection and Misuse Detection using Post-processing and Training Method," Proceedings of the Korean Information Science Society Conference, pp.238-240, 2006.
S. O. Choi and W. N. Kim, "Control system intrusion detection system technology research trend," Review of Korea Institute of Information Security & Cryptology, Vol.24, No.5, pp.7-14, 2014.
G. Pang, C. Shen, L. Cao, and A. V. D. Hengel, "Deep learning for anomaly detection: A review," arXiv preprint arXiv: 2007.02500 (2020).
M. M. Rohling, M. Grimmer, D. Kreubel, J. Hoffmann, and B. Franczyk, "Standardized container virtualization approach for collecting host intrusion detection data," 2019 Federated Conference on Computer Science and Information Systems (FedCSIS), IEEE, 2019.
O. Yavanoglu and M. Aydos, "A review on cyber security datasets for machine learning algorithms," 2017 IEEE International Conference on Big Data (Big Data), IEEE, 2017.
M. Pendleton and S. Xu, "A dataset generator for next generation system call host intrusion detection systems," MILCOM 2017-2017 IEEE Military Communications Conference (MILCOM), IEEE, 2017.
L.N. Tidjon, M. Frappier, and A. Mammar, "Intrusion detection systems: A cross-domain overview," IEEE Communications Surveys & Tutorials, Vol.21, No.4, pp.3639-3681, 2019.

상세보기
H. Kwon, Y. Kim, H. Yoon, and D. Choi, "Optimal cluster expansion-based intrusion tolerant system to prevent denial of service attacks," Applied Sciences, Vol.7, No.11, pp.1186, 2017.

상세보기
P. Laskov, P. Dussel, C. Schafer, and K. Rieck, "Learning intrusion detection: supervised or unsupervised?," International Conference on Image Analysis and Processing, Springer, Berlin, Heidelberg, 2005.
J. H. Kim and H. W. Kim, "An effective intrusion detection classifier using long short-term memory with gradient descent optimization," 2017 International Conference on Platform Technology and Service (PlatCon), IEEE, 2017.
G. Kim, H. Yi, J. Lee, Y. Paek, and S. Yoon, "LSTM-based system-call language modeling and robust ensemble method for designing host-based intrusion detection systems," arXiv preprint arXiv:1611.01726, 2016.
R. D. Ravipati and M. Abualkibash, "Intrusion Detection System Classification Using Different Machine Learning Algorithms on KDD-99 and NSL-KDD Datasets-A Review Paper," International Journal of Computer Science & Information Technology, Vol.11, 2019.
A. K Verma, P. Kaushik, and G. Shrivastava, "A Network Intrusion Detection Approach Using Variant of Convolution Neural Network," 2019 International Conference on Communication and Electronics Systems (ICCES), IEEE, 2019.
J. Kim, J. Kim, H. Kim, M. Shim, and E. Choi, "CNN-Based Network Intrusion Detection against Denial-of-Service Attacks," Electronics, Vol.9, No.6, pp.916, 2020.

상세보기
R. U. Khan, X. Zhang, M. Alazab, and R. Kumar, "An improved convolutional neural network model for intrusion detection in networks," 2019 Cybersecurity and Cyberforensics Conference (CCC), IEEE, 2019.
R. Upadhyay and D. Pantiukhin, "Application of convolutional neural network to intrusion type recognition," Proceedings of the 2017 International Conference on Advances in Computing, Communications and Informatics, Udupi, India, pp.13-16, 2017.
S. C. Hsiao, D. Y. Kao, Z. Y. Liu, and R. Tso, "Malware image classification using one-shot learning with Siamese networks," Procedia Computer Science, Vol.159, pp.1863-1871, 2019.

상세보기
S. Moustakidis and P. Karlsson, "A novel feature extraction methodology using Siamese convolutional neural networks for intrusion detection," Cybersecurity, Vol.3, No.1, pp.1-13, 2020.

상세보기
Y. Taigman, M. Yang, M. A. Ranzato, and L. Wolf, "Deepface: Closing the gap to human-level performance in face verification," Proceedings of the IEEE Conference on Computer Vision and Pattern Recognition, 2014.
S. E. Jang and J. T. Kim, "Few-shot classification of Histopathology image using Batch Hard Loss-based Siamese Networks," The Korean Institute of Information Scientists and Engineers, pp.634-636, 2019.

저자의 다른 논문 :

표제어: PCR

동의어: Packet Collision Rate

용어 설명 출처 목록 (6)

용어 설명: PCR은 세균 특이성이 있는 primer를 이용하여 적은 수의 세균이 있을지라도 쉽게 검출할 수 있는 유용한 방법이며, 이를 이용하여 구강 내 치면세균막이나 타액에서 직접 세균을 검출할 수 있게 되었다[8].

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증