[논문]Techniques for Improving Host-based Anomaly Detection Performance using Attack Event Types and Occurrence Frequencies

Juyeon Lee; Daeseon Choi; Seung-Hyun Kim

doi:10.9708/jksci.2023.28.11.089

Techniques for Improving Host-based Anomaly Detection Performance using Attack Event Types and Occurrence Frequencies 원문보기

韓國컴퓨터情報學會論文誌 = Journal of the Korea Society of Computer and Information, v.28 no.11, 2023년, pp.89 - 101

Juyeon Lee (Dept. of Computer Education, Korea National University of Education) , Daeseon Choi (Dept. of Software, Soongsil University) , Seung-Hyun Kim (Dept. of Computer Education, Korea National University of Education)

초록
AI-Helper

사이버 공격으로 인한 국가, 기업 등의 피해를 막기 위해 공격자의 접근을 사전에 감지하는 이상 탐지 기술이 꾸준히 연구되어왔다. 외부 혹은 내부에서 침입하는 공격들을 즉각적으로 막기 위해 실행시간의 감축과 오탐지 감소는 필수불가결하다. 본 연구에서는 공격 이벤트의 유형과 빈도가 이상 탐지 정탐률 향상 및 오탐률 감소에 영향을 미칠 것으로 가설을 세우고, 검증을 위해 Los Alamos National Laboratory의 2015년 로그인 로그 데이터셋을 사용하였다. 전처리 된 데이터를 대표적인 이상행위 탐지 알고리즘에 적용한 결과, 공격 이벤트 유형과 빈도를 동시에 적용한 특성을 사용하는 것이 이상행위 탐지의 오탐률과 수행시간을 절감하는데 매우 효과적임을 확인하였다.

Abstract ▼ AI-Helper

In order to prevent damages caused by cyber-attacks on nations, businesses, and other entities, anomaly detection techniques for early detection of attackers have been consistently researched. Real-time reduction and false positive reduction are essential to promptly prevent external or internal intrusion attacks. In this study, we hypothesized that the type and frequency of attack events would influence the improvement of anomaly detection true positive rates and reduction of false positive rates. To validate this hypothesis, we utilized the 2015 login log dataset from the Los Alamos National Laboratory. Applying the preprocessed data to representative anomaly detection algorithms, we confirmed that using characteristics that simultaneously consider the type and frequency of attack events is highly effective in reducing false positives and execution time for anomaly detection.

주제어

표/그림 (15)

표 Table 1. Comparison of HIDS datasets(Modified from Host-based intrusion detection system with system calls: Review and future trends[36].)
표 Table 2. LANL2015 data information
그림 Fig. 1. Flowchart of the proposed anomaly detection methodology
표 Table 3. Number of redteam data in the train set and test set
표 Table 4. Original and preprocessed features of LANL2015 dataset
표 Table 5. Group headers for event frequency measurement
표 Table 6. Encoding header
표 Table 7. Confusion matrix
표 Table 8. Experiment environment
표 Table 9. Previous study[7]’s experiment environment
표 Table 10. Anomaly detection algorithm and parameters used in the experiment
표 Table 11. Results of performing an anomaly detection using feature a_l (Freq = frequency, SEC = second)
표 Table 12. The results of performing an anomaly detection using feature a_l_frequency (Freq = frequency, SEC = second)
표 Table 13. Results of performing an anomaly detection using feature a_l and a_l_frequency(Freq = frequency, SEC = second)
표 Table 14. Results of performance comparison with previous study(SEC = second)

AI 본문요약
AI-Helper

가설 설정

본 연구에서는 이상 탐지 연구에서 널리 사용되는 데이터셋(UNM, DARPA, Firefox-DS, ADFA-LD, NGIDS-DS)[36]의 특징을 고려하여 가설을 설정하였다. 5가지 데이터셋 중 4개에서 10개 미만의 공격 유형이 포함되어있다는 점에서 가설 1을 설정하였다.
가설 1
가설 2
가설 2(가설 1을 만족하는 공격 데이터는 발생 빈도(frequency)가 매우 낮을 것이다)를 확인하기 위해 빈도를 측정한 결과, 가설 1과 마찬가지로 5개의 알고리즘에서 공격 데이터 211개를 모두 탐지하였다. 하지만 오탐률의 경우, 가설 1과 가설 2는 큰 차이를 보이지 않았다.
가설 2(특정 인증 타입의 취약점을 악용한 공격의 발생 빈도는 낮을 것이다.)를 확인하기 위해 frequency와 a_l_frequency를 추가하였다. frequency는 Table 5에 명시된 그룹 헤더를 기준으로 동일 이벤트가 발생하는 경우를 계산하였다.
그리고 이상 데이터의 특성상 정상 데이터의 범주에서 비교하였을 때, 비교적 그 수가 적고 매우 불균형하므로 특정 유형의 공격이 매우 적은 빈도로 발생할 것으로 예상하였고 실제로도 Firefox-DS, ADFA-LD, NGIDS-DS 데이터 셋에서 공격 비율이 3% 미만으로 확인되어 가설 2를 설정하였다.
본 연구를 통해 가설 1(공격은 특정 인증 타입의 취약점을 악용할 것이다)이 유효함을 확인하였다. 학습 결과, 모든 공격 이벤트는 ’NTLM’의 인증 타입을 가지고, ‘NETWORK’의 로그온 타입을 가진다.
또한 기존의 침입탐지 데이터셋이 로우 레벨의 성능메트릭을 수집하는데 비해 이상 탐지 분야의 데이터셋은 하이 레벨의 보안 이벤트를 다룬다. 본 연구에서는 이상 탐지 연구에서 널리 사용되는 데이터셋(UNM, DARPA, Firefox-DS, ADFA-LD, NGIDS-DS)[36]의 특징을 고려하여 가설을 설정하였다. 5가지 데이터셋 중 4개에서 10개 미만의 공격 유형이 포함되어있다는 점에서 가설 1을 설정하였다.

제안 방법

따라서 위 연구를 비교 대상으로 선정하되, 본 연구는 기존 연구와는 다른 새로운 특징을 제시한다. 그리고 기존 연구에서 활용한 다양한 머신러닝 기법에 본 연구의 특징을 적용하여, 해당 연구 결과의 정확도와 오탐률을 개선하는 방향으로 본 연구의 유효성을 검증한다.
마지막으로, 오탐률을 줄이기 위해 a_l, a_l_frequency 특성과 source/destination _user, logon_type, authentication_type까지 총 6개의 특성을 사용하여 훈련하고 이상 탐지를 수행했다. 가설 1과 가설 2의 결과와 비교하였을 때, kNN, LOF 알고리즘을 제외한 모든 알고리즘이 공격 데이터 211개를 모두 탐지(TPR 1.
본 연구는 새로운 이상 탐지 모델을 제안하기보다, 이상 탐지에 활용할 새로운 특징을 생성하는 방안을 제안한다. 데이터셋이 제공하는 기존 속성의 특징만으로는 공격 이벤트를 식별하기 어려운 상황에서, 정상행위에서의 빈도와 큰 차이를 보이는 이벤트를 이상 행위로 인식하기 위해 기존 속성을 활용한 새로운 특징을 생성한다.
하지만 대부분의 기계학습 모델은 numerical data를 처리하기 때문에, 선택한 모델이 효율적으로 훈련하기 위해서 numerical data로 변환해야 한다[49]. 본 연구에서 categorical data를 numerical data로 변환하기 위해 레이블 인코딩(label encoding)을 사용하였다. 주로 사용되는 원-핫 인코딩(one-hot encoding)의 경우 한 열에 N개의 고유값이 있다면 N 차원의 벡터로 만들어 표현하는 방법이다.
데이터셋이 제공하는 기존 속성의 특징만으로는 공격 이벤트를 식별하기 어려운 상황에서, 정상행위에서의 빈도와 큰 차이를 보이는 이벤트를 이상 행위로 인식하기 위해 기존 속성을 활용한 새로운 특징을 생성한다. 이상 탐지 분야에서 사용되는 Los Alamos National Laboratory의 데이터셋[6]을 대상으로, 다양한 이상 탐지 알고리즘에 적용 가능한 새로운 특징과 방법을 제안하고 성능을 검증한다.
이 데이터를 레이블 인코딩, PCA를 실시한 후에 7가지 인공지능 모델을 훈련한다. 임선영 외[7]의 연구에서는 ABOD, HBOS, IForest, kNN, LOF, OCSVM 까지 총 6가지를 실시하였으나, 본 연구에서는 실험 환경 구축 과정에서 문제가 발생한 ABOD는 제외하고, 대신 Autoencoder와 SUOD를 추가하였다. 마지막으로 테스트 셋을 대상으로 이상 행위 탐지 성능을 측정한다.
제안하는 전처리 방법의 효과성을 확인하기 위해 측정 지표로 Table 7의 오차 행렬(Confusion Matrix), AUC(Area Under the Curve), 정확도(Accuracy), 정탐률(TPR), 오탐률(FPR), test에 소요된 실행 시간(초)을 사용하였다.

대상 데이터

LANL2015 데이터셋은 총 5개의 파일(auth, proc, flows, dns, redteam)로 구성되며, 모두 txt파일을 gz형식으로 압축된 형태로 제공된다. 본 실험에는 인증 로그(auth.
Table 3과 같이 50,000개의 데이터를 훈련 데이터 35,000(공격 데이터 491개 포함)개와 테스트 데이터 15,000개(공격 데이터 211개 포함)로 7:3 비율로 분리하였다. 또한 본 연구에서는 도메인(source_domain, destination _domain) 특징과 user 정보를 함께 사용하므로 source_user@source_domain 정보를 ’@’를 기준으로 분리하였다.
마지막으로, 오탐률을 줄이기 위해 a_l, a_l_frequency 특성과 source/destination _user, logon_type, authentication_type까지 총 6개의 특성을 사용하여 훈련하고 이상 탐지를 수행했다. 가설 1과 가설 2의 결과와 비교하였을 때, kNN, LOF 알고리즘을 제외한 모든 알고리즘이 공격 데이터 211개를 모두 탐지(TPR 1.0)하였다.
인증 데이터에서는 150,000개의 데이터를 랜덤 추출하였고, 추출한 데이터에서 ‘?’로 표기된 결측치 데이터를 모두 삭제하고, 삭제한 데이터에서 49,298개를 추출하여 positive 열을 추가하고 정상 데이터를 표현하도록 ‘0’ 값을 지정하였다. 그 후 두 개의 데이터 프레임(인증/공격 데이터)을 합쳐 총 50,000개의 데이터를 사용하였다.
Firefox-DS의 경우 Firefox 환경에 최적화되어 제외하였고, ADFA-LD, NGIDS-DS는 현재 제공되지 않아 제외하였다. 대신, 본 연구에서는 최근 이상 행위 탐지 연구[7][43][44][45][46][47]에 사용된 Los Alamos National Laboratory의 데이터셋[6]을 사용하였다. 이 기관에서 제공하는 데이터셋 중에서 이벤트 타입이 다양하고, 공격 데이터가 제공되는 ’Comprehensive, Multi-Source Cyber-Security Events’(이하 LANL2015)[6]를 사용하였다.
인증 데이터에 포함된 레드팀 인증 로그를 추출하기 위해 인증 데이터와 레드팀 공격 이벤트 파일을 비교한 결과 실제로 인증 데이터에 포함되는 공격 데이터는 749개가 아닌 702개였다. 따라서 인증 데이터에서 공격 데이터를 702개 추출하였다. 그다음 positive 열을 추가하여 공격 데이터를 표현할 수 있도록 ‘1’ 값을 지정하였다.
LANL2015 데이터셋은 총 5개의 파일(auth, proc, flows, dns, redteam)로 구성되며, 모두 txt파일을 gz형식으로 압축된 형태로 제공된다. 본 실험에는 인증 로그(auth.txt)와 redteam의 공격 로그(redteam.txt) 두 개의 데이터를 사용하였다. 인증 로그는 정상 로그와 공격 로그로 구분되며, Windows 기반 환경에서 수집된 이벤트가 1,051,430,459개 존재한다.
본 연구는 기존 이상 탐지 데이터셋에서 얻은 가설을 기반으로 새로운 특성을 추출하는 방법을 제시하고, LANL2015 데이터셋으로 이상 탐지를 실시하였다. PyOD 라이브러리에서 제공하는 대표적인 이상 탐지 알고리즘에 본 연구의 2가지 새로운 특성을 적용한 결과, TPR 측면에서는 kNN, LOF를 제외한 모든 알고리즘에서 100%의 성능을 확인하였다.
이 데이터를 인용한 2021년부터 2023년의 연구 20건 중 16건을 살펴본 결과, 실제로 이 데이터를 사용한 논문은 5건[43][44][45][46][47]이었다. 이 연구들은 새로운 프레임워크 하에서 개발한 모델의 효과성[43], Hidden Markov Model로 intrusion detection agility를 예측[44], AML(Adversarial Machine Learning)의 중요성[45], PageRank 특징으로 내부전파경로를 탐지[46], categorical GLM(Generalized linear Models) 모델로 각 사용자별 침입탐지 점수 측정[47] 등을 강조한 연구로, 본 연구처럼 인증 타입이나 로그온 타입을 고려한 이상 행위 탐지 연구가 아니다.
인증 데이터에 포함된 레드팀 인증 로그를 추출하기 위해 인증 데이터와 레드팀 공격 이벤트 파일을 비교한 결과 실제로 인증 데이터에 포함되는 공격 데이터는 749개가 아닌 702개였다. 따라서 인증 데이터에서 공격 데이터를 702개 추출하였다.
인증 데이터에서는 150,000개의 데이터를 랜덤 추출하였고, 추출한 데이터에서 ‘?’로 표기된 결측치 데이터를 모두 삭제하고, 삭제한 데이터에서 49,298개를 추출하여 positive 열을 추가하고 정상 데이터를 표현하도록 ‘0’ 값을 지정하였다

이론/모형

둘째, 머신러닝 기반의 모델 연구는 병렬로 실행 가능하며 분산 기계 학습 알고리즘에 맞게 대규모 데이터 세트를 적절하게 분할한다. k-최근접 이웃 알고리즘(kNN)[11], k-평균 클러스터링 알고리즘(KMC)[12], 결정 트리[13], 서포트 벡터 머신(SVM)[14], HMM[15] 및 베이지안 네트워크[16]가 HIDS(Host-based Intrusion Detection System)에서 구현되었다. 윤지영 외[17]는 설명 가능한 로그 이상 탐지를 위해 폐쇄 순차패턴 마이닝, 베이지안 규칙 리스트을 사용했다.
본 연구는 single thread로 시행되었기 때문에, 기존 연구[7]보다 오히려 불리한 환경에서 실시되었다고 볼 수 있다. 기존연구[7]와 동일하게 사용 언어는 Python이고, 이상 탐지 수행을 위해 PyOD 라이브러리[51]의 Autoencoder, HBOS, OCSVM, LOF, IForest, kNN, SUOD 알고리즘을 사용하였다. 성능 평가를 위해 sckit-learn 라이브러리[52]를 사용하였다.
기존연구[7]와 동일하게 사용 언어는 Python이고, 이상 탐지 수행을 위해 PyOD 라이브러리[51]의 Autoencoder, HBOS, OCSVM, LOF, IForest, kNN, SUOD 알고리즘을 사용하였다. 성능 평가를 위해 sckit-learn 라이브러리[52]를 사용하였다.

성능/효과

974)였고. AUC가 가장 높은 알고리즘은 OCSVM(AUC= 0.990), 처리 속도 면에서는 HBOS 알고리즘이 가장 빠른 것(0.0034, 0.0054초)을 확인하였다.
Table 14의 결과는 가설 Table 13과 기존 연구[7]를 비교한 수치를 나타낸다. AUC의 경우 LOF, kNN 알고리즘을 제외한 나머지 알고리즘에서 최대 112% 상승하였고, 특히 FPR은 모든 알고리즘에서 최대 80%까지 감소하여 오탐율이 크게 줄어든 것을 확인하였다. 실행 시간의 경우 모든 알고리즘에서 99% 이상 감소하였다.
본 연구는 기존 이상 탐지 데이터셋에서 얻은 가설을 기반으로 새로운 특성을 추출하는 방법을 제시하고, LANL2015 데이터셋으로 이상 탐지를 실시하였다. PyOD 라이브러리에서 제공하는 대표적인 이상 탐지 알고리즘에 본 연구의 2가지 새로운 특성을 적용한 결과, TPR 측면에서는 kNN, LOF를 제외한 모든 알고리즘에서 100%의 성능을 확인하였다. 특히 기존연구[7]의 최고 성능(AUC 0.
다양한 공격 기법이 활용될 경우, 인증 타입과 로그인 타입 특성만으로는 공격 데이터 식별이 어려워져 이상 탐지 모델의 성능이 저하될 수 있다. 둘째, 공격 이벤트의 빈도가 잦은 경우, 이상 탐지의 빈도를 일정 threshold 이상으로 늘릴수록 정상 데이터와 공격 데이터를 구분하지 못해 오탐지율이 상승할 수 있다. 셋째, 본 연구는 특정 데이터셋(LANL2015)에 최적화 되어있어 다른 데이터셋으로 실시할 경우 매우 상이한 결과를 보일 가능성이 있다.
따라서 이를 동시에 만족함을 의미하는 특징 ‘a_l’과 함께 source/destination_user, logon_type, authentication_type를 사용하여 이상 탐지를 수행한 결과, 7개 알고리즘 중 HBOS, IForest, OCSVM, Autoencoder, SUOD 5가지 알고리즘에서 공격 데이터 211개를 모두 탐지하여 높은 정확도(TPR 1.0)를 확인하였다.
또한 기존 연구[7]에서 최고 성능을 기록한 LOF(AUC 0.98)와 비교하여, HBOS의 경우 정탐지율을 100%로 유지하면서 오탐지율을 80% 감소시켜 기존 연구보다 우수한 성능(AUC 0.992)를 기록하였다. 또한 실행시간은 99.
Aghaei[24]는 앙상블 분류를 이용한 빈도 기반 오용 탐지 방식을 개발하였다. 분류 모델은 나이브 베이즈, SVM, PART, decision tree, random forest에서 예측을 결합하여 최종 예측을 하는 다수결 원칙(Majority Voting) 앙상블 기법을 기반으로 개발되었고, 제안된 오용 탐지 시스템은 공격 탐지에서 높은 성능을 보였다.
992)를 기록했다. 이를 통해, 본 연구에서 제시한 특성인 공격 유형과 공격 발생 빈도가 이상 탐지에 있어 효과적임을 입증하였다.
하지만 다른 알고리즘의 경우 기존 연구에서 충분한 정보가 제공되지 않아서 원핫인코딩 된 자료의 처리 시간이 몇 배나 오래 걸리거나 메모리 오버플로우가 발생하는 등 재현에 실패하여 동일한 환경에서의 검증이 어려웠다. 하지만 본 연구에서 제안한 방법에 HBOS 알고리즘 사용했을 때 소요시간이 99.99% 감소한 것은, 기존 feature를 융합한 핵심 feature가 성능 개선에 큰 효과를 준 것으로 판단된다. 또한 시간을 제외한 다른 측면(AUC, TPR, FPR) 에서의 성능 개선은 운영체제의 차이와 무관하다고 말할 수 있다.
하지만 본 연구에서는 LOF의 경우 기존 연구[7]에서 최고 성능을 기록한 것에 비해, 공격 데이터를 전혀 탐지하지 못한 결과를 보였다. 또한 kNN 알고리즘도 이상행위를 전혀 탐지하지 못하였다.
넷째, 본 연구에서 사용한 컴퓨팅 환경은 이전 연구와 다른 컴퓨팅 환경에서 실시되었으므로 공평한 환경에서 비교하였다고 할 수 없다. 하지만, 기존 연구의 제안 방법을 실행해 본 결과 HBOS 알고리즘의 경우 22초 소요되어 기존 연구[7]의 37.65초에 비해 약 42% 개선됨을 볼 수 있었다. 하지만 다른 알고리즘의 경우 기존 연구에서 충분한 정보가 제공되지 않아서 원핫인코딩 된 자료의 처리 시간이 몇 배나 오래 걸리거나 메모리 오버플로우가 발생하는 등 재현에 실패하여 동일한 환경에서의 검증이 어려웠다.

후속연구

첫 번째, 본 연구는 LANL2015 데이터셋에서 효과적임을 보였지만, 다양한 공격 유형을 가진 데이터셋에서도 효과적임을 검증하기 위한 추가 연구가 필요하다. 두 번째, 데이터의 불균형을 감안하여 학습 및 테스트를 위한 데이터셋의 비율을 조절하여 구성하고, 구성한 데이터셋으로 실험하여 결과를 도출할 경우의 성능을 검증하기 위한 추가 연구가 필요하다. 세 번째, 실제 기업의 로그인 로그 데이터를 대상으로 본 연구에서 보여준 낮은 오탐지율과 실행시간이 효과적임을 검증해야 한다.
두 번째, 데이터의 불균형을 감안하여 학습 및 테스트를 위한 데이터셋의 비율을 조절하여 구성하고, 구성한 데이터셋으로 실험하여 결과를 도출할 경우의 성능을 검증하기 위한 추가 연구가 필요하다. 세 번째, 실제 기업의 로그인 로그 데이터를 대상으로 본 연구에서 보여준 낮은 오탐지율과 실행시간이 효과적임을 검증해야 한다.
둘째, 공격 이벤트의 빈도가 잦은 경우, 이상 탐지의 빈도를 일정 threshold 이상으로 늘릴수록 정상 데이터와 공격 데이터를 구분하지 못해 오탐지율이 상승할 수 있다. 셋째, 본 연구는 특정 데이터셋(LANL2015)에 최적화 되어있어 다른 데이터셋으로 실시할 경우 매우 상이한 결과를 보일 가능성이 있다.
향후 연구는 다음과 같다. 첫 번째, 본 연구는 LANL2015 데이터셋에서 효과적임을 보였지만, 다양한 공격 유형을 가진 데이터셋에서도 효과적임을 검증하기 위한 추가 연구가 필요하다. 두 번째, 데이터의 불균형을 감안하여 학습 및 테스트를 위한 데이터셋의 비율을 조절하여 구성하고, 구성한 데이터셋으로 실험하여 결과를 도출할 경우의 성능을 검증하기 위한 추가 연구가 필요하다.

참고문헌 (53)

S. Park and J. Lim, "Study On Identifying Cyber Attack Classification？Through The Analysis of Cyber Attack Intention," Journal of the？Korea Institute of Information Security and Cryptology, 27(1), pp.？103-113, Feb, 2017. DOI:10.13089/JKIISC.2017.27.1.103.

원문보기 상세보기
Ministry of SMEs and Startups, "2022 Survey on the State of？Technology Protection in Small and Medium-sized Enterprises, ",？June 2022.
Min Seonhee, "Virtual Currency Exchange 'GDAC' Hit by Hacking,？23% of Custodial Assets Stolen," Yonhap News, April, 2023.
Sonicwall, 2023 Sonicwall Cyber Threat Report.
F. Hachmi, K. Boujenfa and M. Limam, "Enhancing the Accuracy？of Intrusion Detection Systems by Reducing the Rates of False？Positives and False Negatives Through Multi-objective？Optimization," J Netw Syst Manage, 27(1), pp. 93-120, Jan, 2019.？DOI:10.1007/s10922-018-9459-y.

상세보기
A. D. Kent, "Comprehensive, multi-source cyber-security events？data set," Los Alamos National Lab, 2015. DOI:10.17021/1179829.
S. Im, S. Kim, S. Shim, S. Koo, B. Cho, K. Kim and T. Kim,？"A Featurization Method to Improve Anomaly Detection？Performance Using Login Logs," The Journal of Korean Institute？of Communications and Information Sciences, 47(1), pp. 58-65,？Jan, 2022. DOI:10.7840/kics.2022.47.1.58.

상세보기
X. Guan, W. Wang and X. Zhang, "Fast intrusion detection based？on a non-negative matrix factorization model," Journal of Network？and Computer Applications, 32(1), pp. 31-44, 2009. DOI:10.1016/j.jnca.2008.04.006.

상세보기
G. Tandon, "Machine learning for host-based anomaly detection,"？PhD Thesis. Florida Institute of Technology, 2008.
Y. Qing, W. Xiaoping and Y. Bo, "An Intrusion Detection？Approach Based on System Call Sequences and Rules？Extraction," In 2010 2nd International Conference on E-business？and Information System Security, pp. 1-4, May, 2010. DOI:10.1109/EBISS.2010.5473675.
D. Yuxin, Y. Xuebing, Z. Di, D. Li and A. Zhanchao, "Feature representation and selection in malicious code detection methods？based on static system calls," Computers & security, 30(6),？pp. 514-524, Sep, 2011. DOI:10.1016/j.cose.2011.05.007.

상세보기
M. Xie, J. Hu, X. Yu and E. Chang, "Evaluating Host-Based？Anomaly Detection Systems: Application of the Frequency-Based？Algorithms to ADFA-LD," Network and System Security, pp.？542-549, 2014. DOI:10.1007/978-3-319-11698-3_44.

상세보기
J. Arshad, P. Townend and J. Xu, "A novel intrusion severity？analysis approach for Clouds," Future generation computer systems,？29(1), pp. 416-428, Jan, 2013. DOI:10.1016/j.future.2011.08.009.

상세보기
W. Khreich, S. S. Murtaza, A. Hamou-Lhadj and C. Talhi,？"Combining heterogeneous anomaly detectors for improved？software security," The Journal of systems and software, 137,？pp. 415-429, Mar 2018. DOI:10.1016/j.jss.2017.02.050.

상세보기
D. Yeung and Y. Ding, "Host-based intrusion detection using？dynamic and static behavioral models," Pattern Recognition,？36(1), pp. 229-243, 2003. DOI:10.1016/s0031-3203(02)00026-2.

상세보기
D. Mutz, F. Valeur, G. Vigna and C. Kruegel, "Anomalous system？call detection," ACM transactions on information and system？security, 9(1), pp. 61-93, Feb 01, 2006. DOI:10.1145/1127345.1127348.

상세보기
J. Yun, G. Shin, D. Kim, S. Kim and M. Han, "An Interpretable？Log Anomaly System Using Bayesian Probability and Closed？Sequence Pattern Mining," Journal of Internet Computing and？Services, 22(2), 2021. DOI:10.7472/jksii.2021.22.2.77.

원문보기 상세보기
Y. LeCun, Y. Bengio and G. Hinton, "Deep learning," Nature？(London), 521(7553), pp. 436-444, May 28, 2015. DOI:10.1038/nature14539.

상세보기
D. Kwon, K. Natarajan, S. C. Suh, H. Kim and J. Kim, "An？Empirical Study on Network Anomaly Detection Using？Convolutional Neural Networks," ICDSC, pp. 1595-1598, Jul？2018. DOI:10.1109/ICDCS.2018.00178.
S. Lv, J. Wang, Y. Yang and J. Liu, "Intrusion Prediction With？System-Call Sequence-to-Sequence Model," IEEE Access, 6, pp.？71413-71421 2018. DOI:10.1109/ACCESS.2018.2881561.

상세보기
C. Kim, M. Jang, S. Seo, K. Park and P. Kang, "Intrusion？Detection Based on Sequential Information Preserving Log？Embedding Methods and Anomaly Detection Algorithms," IEEE？Access, 9, pp. 58088-58101 2021. DOI:10.1109/ACCESS.2021.3071763.

상세보기
Sang-Hyun. Oh and Won-Suk Lee, "Anomaly Detection based？on Clustering User's Behaviors," The transactions of the Korea？Information Processing Society, 7(8), pp. 2411-2420. 2000.
G. Kaiafas, G. Varisteas, S. Lagraa, R. State, C. D. Nguyen,？T. Ries and M. Ourdane, "Detecting malicious authentication？events trustfully," NOMS, pp. 1-6, Apr 2018. DOI:10.1109/NOMS.2018.8406295.
E. Aghaei, "Machine Learning for Host-based Misuse and？Anomaly Detection in UNIX Environment," PhD Thesis.？University of Toledo, 2017.
H. Siadati and N. Memon, "Detecting structurally anomalous？logins within enterprise networks," Proceedings of the 2017？ACM SIGSAC Conference on Computer and Communications？Security, pp. 1273-1284, 2017. DOI:10.1145/3133956.3134003.
Q. Liu, J. W. Stokes, R. Mead, T. Burrell, I. Hellen, J. Lambert,？A. Marochko and W. Cui, "Latte: Large-Scale Lateral Movement？Detection," MILCOM, pp. 1-6, Oct, 2018. DOI:10.1109/MILCOM.2018.8599748.
M. Meijerink, "Anomaly-based detection of lateral movement in？a microsoft windows environment," Master's thesis, University？of Twente, 2019.
E. Besharati, M. Naderan and E. Namjoo, "LR-HIDS: logistic？regression host-based intrusion detection system for cloud？environments," J Ambient Intell Human Comput, 10(9), pp.？3669-3692, Sep, 2019. DOI:10.1007/s12652-018-1093-8.

상세보기
B. A. Powell, "Detecting malicious logins as graph anomalies,"？Journal of information security and applications, 54, pp. 102557,？Oct 2020. DOI:10.1016/j.jisa.2020.102557.

상세보기
G. Creech and Jiankun Hu, "A Semantic Approach to Host-Based？Intrusion Detection Systems Using Contiguousand Discontiguous？System Call Patterns," IEEE Transactions on Computers, 63(4),？pp. 807-819, Apr, 2014. DOI:10.1109/TC.2013.13.

상세보기
K. M. Tan and R. A. Maxion, "" Why 6?" Defining the operational？limits of stide, an anomaly-based intrusion detector," In？Proceedings 2002 IEEE Symposium on Security and Privacy, pp.？188-201, May, 2002. DOI:10.1109/SECPRI.2002.1004371.
Miao Xie and Jiankun Hu, "Evaluating host-based anomaly？detection systems: A preliminary analysis of ADFA-LD," CISP,？3, pp. 1711-1716, Dec, 2013. DOI:10.1109/CISP.2013.6743952.
S. A. Maske and T. J. Parvat, "Advanced anomaly intrusion？detection technique for host based system using system call？patterns," International Conference on Inventive Computation？Technologies, 2, pp. 1-4, Aug, 2016. DOI:10.1109/INVENTIVE.2016.7824846.
K. Kim and K. Park, "Comparative Study of Anomaly Detection？Accuracy of Intrusion Detection Systems Based on Various Data？Preprocessing Techniques," KIPS Trans. Softw. and Data Eng,？10(11), pp. 449-456, 2021. DOI:10.3745/KTSDE.2021.10.11.449.

원문보기 상세보기
S. Yoo and K. Kim, "Comparison of Anomaly Detection Performance？Based on GRU Model Applying Various Data Preprocessing？Techniques and Data Oversampling," Journal of The Korea Institute？of Information Security & Cryptology, 32(2), April 2022.
M. Liu, Z. Xue, X. Xu, C. Zhong and J. Chen, "Host-Based？Intrusion Detection System with System Calls," ACM computing？surveys, 51(5), pp. 1-36, Jan, 2019. DOI:10.1145/3214304.

상세보기
Alexander D. Kent, "Cyber security data sources for dynamic？network research," Dynamic Networks and Cyber-Security, 1, pp.？37-65, 2016. DOI:10.1142/9781786340757_0002.
S. A. Hofmeyr, S. Forrest and A. Somayaji, "Intrusion detection？using sequences of system calls," Journal of computer security,？6(3), pp. 151-180, 1998. DOI:10.3233/JCS-980109.

상세보기
R. P. Lippmann, D. J. Fried, I. Graf, J. W. Haines, K. R. Kendall,？D. McClung, D. Weber, S. E. Webster, D. Wyschogrod, R. K.？Cunningham and M. A. Zissman, " Evaluating intrusion detection？systems: the 1998 DARPA off-line intrusion detection？evaluation," In Proceedings DARPA Information Survivability？Conference and Exposition, 2, pp. 12-26. 2000. DOI:10.1109/DISCEX.2000.821506.
S. S. Murtaza, W. Khreich, A. Hamou-Lhadj and M. Couture,？"A host-based anomaly detection approach by representing？system calls as states of kernel modules," ISSRE, pp. 431-440,？Nov, 2013. DOI:10.1109/ISSRE.2013.6698896.
G. Creech and J. Hu, "Generation of a new IDS test dataset:？Time to retire the KDD collection," 2013 IEEE Wireless？Communications and Networking Conference (WCNC), Apr,？2013. DOI:10.1109/wcnc.2013.6555301.
W. Haider, J. Hu, J. Slay, B. P. Turnbull and Y. Xie, "Generating？realistic intrusion detection system dataset based on fuzzy qualitative？modeling," Journal of Network and Computer Applications, 87,？pp. 185-192, Jun, 2017. DOI:10.1016/j.jnca.2017.03.018.

상세보기
I. J. King and H. H. Huang, "Euler: Detecting Network Lateral？Movement via Scalable Temporal Graph Link Prediction,"？Proceedings 2022 Network and Distributed System Security？Symposium, 2022. DOI:https://doi.org/10.1145/3588771

상세보기
E. Muhati and D. B. Rawat, "Hidden-Markov-Model-Enabled？Prediction and Visualization of Cyber Agility in IoT Era," JIoT,？9(12), pp. 9117-9127, Jun 15, 2022. DOI:10.1109/JIOT.2021.3056118

상세보기
E. Muhati and D. B. Rawat, "Adversarial Machine Learning for？Inferring Augmented Cyber Agility Prediction, "INFOCOM？WKSHPS, pp. 1-6, May 10, 2021. DOI:10.1109/INFOCOMWKSHPS51825.2021.9484471
J. Yun, D. Kim, G. Shin, S. Kim and M. Han, "RDP-based Lateral？Movement Detection using PageRank and Interpretable System？using SHAP," Journal of Internet Computing and Services, 22(4),？pp. 1-11, 2021, DOI : 10.7472/jksii.2021.22.4.1

원문보기 상세보기
M. T. Wojnowicz, S. Aeron, E. L. Miller and M. Hughes, "Easy？Variational Inference for Categorical Models via an Independent？Binary Approximation," International Conference on Machine？Learning, pp. 23857-23896, 2022.
K. Sim and K. Kim, "Insider Anomaly Behavior Detection？Method Using an Unsupervised Learning-Based Autoencoder,"？Journal of Digital Contents Society, 24(8), pp. 1929-1936, Aug？31, 2023. DOI:10.9728/dcs.2023.24.8.1929

상세보기
M. K. Dahouda and I. Joe, "A Deep-Learned Embedding？Technique for Categorical Features Encoding," IEEE Access, 9,？pp. 114381-114391 2021. DOI:10.1109/ACCESS.2021.3104357.

상세보기
PassMark, https://www.cpubenchmark.net/compare/2830vs3752/I？ntel-Xeon-E5-2667-v4-vs-Intel-Xeon-Silver-4210R, Sept 2023.
Y. Zhao, Z. Nasrullah and Z. Li, "Pyod: A python toolbox for？scalable outlier detection," Journal of Machine Learning？Research, 20, pp. 1-7 2019.
F. Pedregosa, G. Varoquaux, A. Gramfort, V. Michel, B. Thirion,？O. Grisel, M. Blondel, P. Prettenhofer, R. Weiss and V. Dubourg,？"Scikit-learn: Machine learning in Python," the Journal of？machine Learning research, 12, pp. 2825-2830 2011.

상세보기
D. Jiang, W. Lin and N. Raghavan, "A Novel Framework for？Semiconductor Manufacturing Final Test Yield Classification？Using Machine Learning Techniques," IEEE Access, 8, pp.？197885-197895 2020. DOI:10.1109/ACCESS.2020.3034680.

상세보기

표제어: PCR

동의어: Packet Collision Rate

용어 설명 출처 목록 (6)

용어 설명: PCR은 세균 특이성이 있는 primer를 이용하여 적은 수의 세균이 있을지라도 쉽게 검출할 수 있는 유용한 방법이며, 이를 이용하여 구강 내 치면세균막이나 타액에서 직접 세균을 검출할 수 있게 되었다[8].

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증