[논문]사용자 로그 스트림 클러스터링에 의한 실시간 침입탐지 기법

박남훈; 오상현; 이원석

사용자 로그 스트림 클러스터링에 의한 실시간 침입탐지 기법
Anomaly Intrusion Detection by Clustering Transactional Audit Streams in a Host Computer 원문보기

박남훈 (연세대학교 컴퓨터과학과) , 오상현 (연세대학교 컴퓨터과학과) , 이원석 (연세대학교 컴퓨터과학과)

침입탐지에 있어서 사용자 로그 분석은 중요한 주제로서, 기존의 연구들에서 클러스터링 기법들을 사용하여 저장된 사용자 로그들을 분석해왔다. 하지만, 이러한 방법은 고정된 사용자 패턴 분석에는 효율적이지만, 로그 스트림과 같이 무한히 생성되어 사용자 패턴이 변화하는 경우 변화하는 패턴을 분석할 수 없다. 본 연구에서는 무한히 생성되는 사용자 로그 스트림을 대상으로 실시간 침입탐지 방법을 제시한다. 사용자로그의 정보는 사용자 행동에 대한 특성값으로 표현되어, 이러한 특성값들에 대해 실시간 데이터 스트림 클러스터링을 수행하여 이들을 클러스터로 분류한다. 각 클러스터는 사용자의 정상로그에 대한 특성값을 반영하게 되며, 그 결과 과거 사용자 로그에 대한 저장없이 새로운 로그 스트림을 지속적으로 분석할 수 있다. 결과적으로 사용자의 비정상행동을 실시간으로 탐지할 수 있으며, 이를 실험을 통해 평가하였다.

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

본 논문에서는 감사 데이터 스트림에서 공통 지식을 찾는 데이터스트림 클러스터링 알고리즘이 제안되었다. 제안된 방법에서는 각 특징에 따라서 클러스터링이 수행되고 생성된 클러스터들에 대한 다양한 통계적인 정보를 프로파일로 모델링 하였다.
본 연구에서는 사용자 감시 로그를 대상으로 격자기반의 클러스터링 기법을 적용한 침입탐지 기법을 제시한다. 사용자의 패턴은 감시 로그 데이터 스트림의 트랜잭션 내의 객체로 표현이 된다.

제안 방법

이러한 커널 신호들 중에서 52개의 신호들을 실험을 위한 특징으로 추출하였다. 본 논문에서 사용자의 로그인(Log-in)으로부터 로그아웃(Log-out)까지의 작업들의 집합인 세션을 트랜잭션으로 간주하여 실험하였다. 실험에서 사용된 데이터들은 표 1과 같다.
본 논문에서는 4장에서 제시한 수식을 이용하여 다양한 실험으로 통해 비정상행위 판정율을 향상시키도록 하였다. 모의 실험 데이타는 UNIX 기반의 Solaris 2.
이 실험에서 최소 지지도와 클러스터링 범위는 각각 60% 및 2로 설정하였고 정규화 요소 γ는 3으로 설정하였다.
제안된 방법에서는 각 특징에 따라서 클러스터링이 수행되고 생성된 클러스터들에 대한 다양한 통계적인 정보를 프로파일로 모델링 하였다. 이를 위해서 본 논문에서는 두 가지 종류의 비정상행위도, 즉 내부 차이와 외부 차이를 제안하였다. 클러스터링에 의해서 각 특징은 빈발 영역(frequent range) 및 희소 영역(infrequent rage)으로 나뉘며 두 영역에 대한 정상행위는 거리 차이와 비율 차이로 분류된다.
IDES[3], NIDES[4], EMERALD[5]는 사용자 로그에 대한 통계적 분석에 기반한 침입탐지 방법으로, CPU점유율, 시스템 호출 빈도 및 파일접근 횟수 등의 다양한 특성값들을 사용하였다. 일정횟수의 시스템 호출 빈도와 파일접근 횟수 등을 정상로그로 간주하였다.
본 논문에서는 감사 데이터 스트림에서 공통 지식을 찾는 데이터스트림 클러스터링 알고리즘이 제안되었다. 제안된 방법에서는 각 특징에 따라서 클러스터링이 수행되고 생성된 클러스터들에 대한 다양한 통계적인 정보를 프로파일로 모델링 하였다. 이를 위해서 본 논문에서는 두 가지 종류의 비정상행위도, 즉 내부 차이와 외부 차이를 제안하였다.
그림 3에서는 제안된 알고리즘의 성능을 NIDES와 비교하였다. 제안된 알고리즘에서는 네 가지 비정상행위도인 내부 거리 차이(ID: internal distance difference), 내부 비율 차이(IR: internal ratio difference), 외부 거리 차이(ED: external distance difference) 및 외부 비율 차이(ER: external ratio difference)를 사용하였다. 이 실험에서 최소 지지도와 클러스터링 범위는 각각 60% 및 2로 설정하였고 정규화 요소 γ는 3으로 설정하였다.
트랜잭션은 사용자에 의해 수행된 행동에 대한 일련의 특성값들을 포함한다. 하지만, 다수의 특성값 중 일부의 특성값만이 침입탐지에 중요한 영향을 미치는 만큼 트랜잭션 내의 특성값들에 대해 각각을 독립적으로 구분하여 클러스터링을 수행한다. i번째 생성된 트랜잭션 Tⁱ는 #의 i번째 생성된 객체들의 집합으로 정의되며, 데이터 스트림 D^t ={T¹ ,T² ,···,T^t}으로 정의된다.

대상 데이터

본 논문에서는 4장에서 제시한 수식을 이용하여 다양한 실험으로 통해 비정상행위 판정율을 향상시키도록 하였다. 모의 실험 데이타는 UNIX 기반의 Solaris 2.6을 사용하는 사용자에 대해서 두 달 동안의 데이타를 수집하여 사용자 정상행위 패턴을 생성하였다. 이를 위해서 UNIX시스템 기반에서 Solaris 2.
BSM은 C2 레벨의 보안(security)을 제공하는 툴로써, 228개의 커널 신호(signal)를 인식하고 감사 로그파일에 기록한다. 이러한 커널 신호들 중에서 52개의 신호들을 실험을 위한 특징으로 추출하였다. 본 논문에서 사용자의 로그인(Log-in)으로부터 로그아웃(Log-out)까지의 작업들의 집합인 세션을 트랜잭션으로 간주하여 실험하였다.

성능/효과

이것은 실험에서 프로파일로 사용된 데이터 집합이 DATA1이기 때문이다. 또한 제안된 알고리즘은 다른 데이터 집합들에 대해서 NIDES에서 보다 더 큰 비정상행위도가 나타났다. DATA1과 DATA3가 프로그래머에 의한 로그 데이터들이지만 서로 다른 행위를 수행하였기 때문에 비정상행위도가 크게 나타났다.
그림 2는 제안된 알고리즘을 이용하여 최소 지지도가 10%~90% 일 때 DATA1으로부터 생성된 클러스터의 개수를 나타낸다. 이 실험에서 최소 지지도와 클러스터링 범위가 증가함에 따라 클러스터의 개수가 작아짐을 알 수 있다. 그림 3에서는 제안된 알고리즘의 성능을 NIDES와 비교하였다.

핵심어

질문

논문에서 추출한 답변

침입탐지 기법 중 오용탐지란?

기존의 침입탐지 기법은 오용탐지[1]와 침입 탐지[2]으로 분류된다. 오용탐지에서는 대상 응용환경의 보안에 취약한 사용자의 오용가능한 부분을 분석하여 보완하는 방법이다. 하지만, 침입탐지에서는 항상 새로운 침입방법이 지속적으로 시도되므로 침입탐지에는 어려움이 있다.

클러스터링이란?

클러스터링은 주어진 유사도함수에 따라 유사한 데이터 객체들의 그룹을 찾는 데이터 마이닝 방법이다. 대부분 클러스터링 연구들[6]은 고정된 데이터 집합을 대상으로 메모리 사용량과 처리 시간을 최소화하는데 목적을 두었다.

침입탐지에서 사용자 로그는 각 특성 값에 따라 분석할 필요가 있는 이유는 무엇인가?

침입탐지에 있어 사용 가능한 특성값의 수는 중요하지만, 사용자 행동은 주로 일부의 특성값에만 관련된다. 이러한 이유로, 사용자 로그는 각 특성 값에 따라 분석할 필요가 있다.

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증

사용자 로그 스트림 클러스터링에 의한 실시간 침입탐지 기법
Anomaly Intrusion Detection by Clustering Transactional Audit Streams in a Host Computer 원문보기

초록
AI-Helper

AI 본문요약
AI-Helper

문제 정의

제안 방법

대상 데이터

성능/효과

질의응답

이 논문을 인용한 문헌

연구과제 타임라인

관련 콘텐츠

원문 보기

이 논문과 함께 이용한 콘텐츠

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

선택된 텍스트

연합인증

사용자 로그 스트림 클러스터링에 의한 실시간 침입탐지 기법 Anomaly Intrusion Detection by Clustering Transactional Audit Streams in a Host Computer 원문보기

초록 용어보기논문에서 용어와 풀이말을 자동 추출한 결과로, 시범 서비스 중입니다. AI-Helper

AI 본문요약 엑셀 다운로드 AI-Helper

문제 정의

제안 방법

대상 데이터

성능/효과

질의응답

이 논문을 인용한 문헌

연구과제 타임라인

전체(0) 논문(0) 특허(0) 보고서(0)

전체(0) 논문(0) 특허(0) 보고서(0)

관련 콘텐츠

원문 보기

이 논문과 함께 이용한 콘텐츠

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

선택된 텍스트

사용자 로그 스트림 클러스터링에 의한 실시간 침입탐지 기법
Anomaly Intrusion Detection by Clustering Transactional Audit Streams in a Host Computer 원문보기

초록
AI-Helper

AI 본문요약
AI-Helper