[논문]IDS 알고리즘에 대한 탐지율 연구 비교

신경일; 윤호상; 신동일; 신동규

IDS 알고리즘에 대한 탐지율 연구 비교
An Comparative Research of the Detection Rate of Intrusion Detection System Algorithms 원문보기

신경일 (세종대학교 컴퓨터공학과) , 윤호상 (국방과학연구소) , 신동일 (세종대학교 컴퓨터공학과) , 신동규 (세종대학교 컴퓨터공학과)

인터넷의 발달로 인하여 네트워크 공격이 점차 발전되며 여러 가지 공격 기법들이 생겨나고 이러한 기법들은 혼합하여 사용하는 등 변칙적인 해킹기법들이 생겨나고 있다. 이로 인하여 침입 탐지 시스템(Intrusion Detection System, IDS)은 기존의 알려진 공격에 대해서만 탐지하고 변칙된 새로운 패턴의 공격을 탐지하지 못하는 경우가 생겨나고 있다. 이 문제에 적합한 해결책을 찾고자 여러 가지 알고리즘들이 연구되었고, 아직도 활발히 진행되고 있다. 본 글에서는 이러한 연구된 알고리즘들을 비교해 보았고 효율적인 방법을 제안한다.

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

본 글에서는 공격을 탐지하는 방법론들을 조사하였고 그 중에서 9가지 유형의 논문들에서 제시한 방법들을 비교하여 보았다. 또한, 조사된 논문들에서 제시된 실험치들 중 가장 우수한 결과 값을 가져와 비교를 하였다.
또한 인터넷의 발달로 인하여 많은 해커들도 탄생하게 되면서 해킹의 기법들이 다양해지면서 여러 기법들을 혼합하여 새로운 공격 패턴들이 탄생하면서 공격을 탐지하지 못하고 있다. 본 글에서는 보안 기법 중에 사전에 공격을 탐지하여 방지하는 침입 탐지 시스템 (Intrusion Detection System, IDS)에 대해서 관심을 가져, 네트워크 기반 침입 탐지 시스템(Network Intrusion Detection System, NIDS)에 대해 연구 해보았으며, 해킹 기법의 발달로 대응하여 변칙적인 공격 기법들을 탐지할 수 있도록 연구된 알고리즘들을 비교하여 효율적인 적용 방안을 제안한다.

제안 방법

LBG(Linde-Buzo-Gray) 알고리즘은 EM(Expectation Maximization)기반의 K-means 알고리즘의 단점을 보완 하고자 만들어졌다. 비균일 이진 분할에 의한 클러스터링 알고리즘은 초기 값 없이 이진 분할에 의해 클러스터링을 수행하므로 수행 속도가 빠른데, LBG 알고리즘은 K-means와 비균일 이진 분할의 장단점을 통해 만들어져 네트워크 침입 탐지에 적용하였다. LBG 알고리즘은 Y.
그리고 KDD Cup 99 Dataset의 문제점 중 중복성으로 인하여 논문들의 실험 결과가 대체적으로 높은 결과 값을 보여준다. 이러한 단점을 개선하기 위해 기존 KDD Cup 99의 중복된 레코드를 제거한 향상된 NSL-KDD와 UNB ISCX에서 제공해 주는 Dataset을 이용하는 것을 제안한다. 최근 변칙된 공격기법들이 무수히 생기는 시점 최신화 된 Dataset이 필요 하다고 생각하기에 Snort로 IDS 환경을 구성하여 직접 다양한 공격을 통해 쌓인 네트워크 패킷을 통해 침입 탐지 Dataset을 만들어 각 종 방법론들을 실험해 보는 것 또한 제안한다.
이러한 단점을 개선하기 위해 기존 KDD Cup 99의 중복된 레코드를 제거한 향상된 NSL-KDD와 UNB ISCX에서 제공해 주는 Dataset을 이용하는 것을 제안한다. 최근 변칙된 공격기법들이 무수히 생기는 시점 최신화 된 Dataset이 필요 하다고 생각하기에 Snort로 IDS 환경을 구성하여 직접 다양한 공격을 통해 쌓인 네트워크 패킷을 통해 침입 탐지 Dataset을 만들어 각 종 방법론들을 실험해 보는 것 또한 제안한다.

대상 데이터

GA와 SVM을 동시에 이용한 연구에서는 SVM 기반 침입 탐지 시스템을 개선하기 위해 GA를 사용하였다. 많은 연구들에서는 SVM을 분류기로 이용을 하고 있으며, SVM 기반 탐지속도와 처리속도 측면에서 IDS의 성능을 향상 시켰지만 최근 네트워크가 빨라짐에 따라 처리량 증가로 인해 개선이 필요로 했다.

데이터처리

본 글에서는 공격을 탐지하는 방법론들을 조사하였고 그 중에서 9가지 유형의 논문들에서 제시한 방법들을 비교하여 보았다. 또한, 조사된 논문들에서 제시된 실험치들 중 가장 우수한 결과 값을 가져와 비교를 하였다.

성능/효과

GA는 대형 검색 공간에서 검색 할 때 가장 강력한 알고리즘 중 하나로 최적화 할 수 있는 함수의 형태의 수학적 제약이 거의 없다. GA와 SVM(Support Vector Machine)을 이용한 방법으로 해당 방법은 GA와 퍼지 규칙을 이용한 방법보다 조금 더 높은 99%의 탐지율을 보여주었다[7].
SVM(support vector machine)과 BIRCH Hierarchical 클러스터링 방법은 training 시간을 대폭 단축 할 수 있었고, SVM도 우수한 성능도 보여주었다. 획득 된 SVM 모델이 네트워크 트래픽보다 정확하게 분류 할 수 있도록 training 세트에서 중요하지 않은 기능을 제거하기 위해 feature selection이 적용되었고, Accuracy Rater 95.
각 논문의 실험 결과를 비교해본 결과 대체적으로 높은 탐지율을 보였고 그 중 LBG방법과 Bayesian Network + K-mean Clustering 방법이 99%의 정확도로 가장 높은 탐지율을 보여주었다. 그리고 LSTM은 98.
하지만 각 논문들에서 쓰인 Dataset같은 경우 오래된 데이터로 최근 발생하는 변칙적인 공격기법들을 탐지했을 때는 또 다른 결과를 가져올 것이다. 그리고 KDD Cup 99 Dataset의 문제점 중 중복성으로 인하여 논문들의 실험 결과가 대체적으로 높은 결과 값을 보여준다. 이러한 단점을 개선하기 위해 기존 KDD Cup 99의 중복된 레코드를 제거한 향상된 NSL-KDD와 UNB ISCX에서 제공해 주는 Dataset을 이용하는 것을 제안한다.
각 논문의 실험 결과를 비교해본 결과 대체적으로 높은 탐지율을 보였고 그 중 LBG방법과 Bayesian Network + K-mean Clustering 방법이 99%의 정확도로 가장 높은 탐지율을 보여주었다. 그리고 LSTM은 98.88%의 높은 탐지율을 보여주었지만, 오탐율 또한 너무 높아서 이 부분을 개선할 수 있는 방법을 찾아야 할 것 같다.
표 1을 보면 각 논문의 실험 결과를 비교해본 결과 정확도는 99%로 LBG, Beyesian Network와 K-means Clustering을 사용한 두 방법이 가장 높았고, 탐지율은 99%로 GA와 SVM을 이용한 방법이 가장 높았다. 그리고 오탐율은 1%로 Y-means Clustering이 가장 좋은 결과가 나왔지만 LSTM 같은 경우는 상당히 높은 수치인 10.04% 다. 침입이 아닌데 침입이라고 판단된 경우는 0.
또한 감사 데이터의 특징 수가 많아지면서 방대한 양의 감사 데이터를 처리해야 하기 때문에 IDS 탐지율이 떨어 질 수 있다. 따라서 해당 논문은 GA와 SVM의 융합을 통해 최적의 feature set을 선택할 수 있을 뿐만 아니라 SVM 분류자에 대한 최적의 파라미터(parameter)를 파악 할 수 있다. GA는 대형 검색 공간에서 검색 할 때 가장 강력한 알고리즘 중 하나로 최적화 할 수 있는 함수의 형태의 수학적 제약이 거의 없다.
베이시안 네트워크(bayesian network)와 k-means 클러스터링을 이용한 방법은 99%의 높은 정확도를 보여주었다. 베이시안 네트워크는 몇몇 관측치만으로도 불확실한 침입의 가능성을 예측할 수 있는 추론 기능을 주로 이용 하여 정상 또는 비정상을 판단한다.
7%로 SVM과 BIRCH hierachical Clustering이 가장 결과 값이 높았다. 전체적으로 결과 값을 비교해본 결과 모두 높은 탐지율을 보여주고 있다. 하지만 대부분 가장 많이 사용되는 Dataset인 KDD Cup 99 dataset을 사용하여 얻은 결과 값이라서 현시점의 공격 탐지에 우수한 결과를 보여줄 것이라고 예상하기는 어렵다.
04% 다. 침입이 아닌데 침입이라고 판단된 경우는 0.7%로 SVM과 BIRCH hierachical Clustering이 가장 결과 값이 높았다. 전체적으로 결과 값을 비교해본 결과 모두 높은 탐지율을 보여주고 있다.
표 1을 보면 각 논문의 실험 결과를 비교해본 결과 정확도는 99%로 LBG, Beyesian Network와 K-means Clustering을 사용한 두 방법이 가장 높았고, 탐지율은 99%로 GA와 SVM을 이용한 방법이 가장 높았다. 그리고 오탐율은 1%로 Y-means Clustering이 가장 좋은 결과가 나왔지만 LSTM 같은 경우는 상당히 높은 수치인 10.
SVM(support vector machine)과 BIRCH Hierarchical 클러스터링 방법은 training 시간을 대폭 단축 할 수 있었고, SVM도 우수한 성능도 보여주었다. 획득 된 SVM 모델이 네트워크 트래픽보다 정확하게 분류 할 수 있도록 training 세트에서 중요하지 않은 기능을 제거하기 위해 feature selection이 적용되었고, Accuracy Rater 95.7%로 다른 방법과 비교해보았을 때 DoS 및 Probe 공격 탐지에 각 99.5%, 97.5%로 우수한 성능을 보였다[5].

후속연구

training 데이터로 판단되는 경우 이를 분석하여 k-means 클러스터링 기반의 노드 구간 범위와 가중치를 산출하고 산출된 가중치는 학습에 적용되어 보다 견고한 결과를 산출할 수 있게 된다. test 데이터로 판별된 데이터들은 침입 탐지를 수행하며 공격으로 의심되는 경우에는 관리자에게 이를 보고하고, 이상 데이터는 데이터 저장소에 보관되어 향후 학습용 데이터로 이용 될수 있다[9].

핵심어

질문

논문에서 추출한 답변

HIDS는 무엇을 탐지하게 되는가?

먼저 침입 탐지 시스템이란 사전에 공격들을 탐지하여 알려주는 것으로 침입을 탐지할 대상에 따라 호스트 침입 탐지 시스템(Host intrusion Detection System, HIDS)과 네트워크 침입 탐지 시스템(Network Intrusion Detection System, NIDS), 하이브리드 침입 탐지 시스템(Hybrid Intrusion Detection System)으로 크게 3가지 분류로 나뉘게 된다. HIDS는 주로 시스템 내부의 로그를 탐지하며, NIDS는 네트워크 기반의 공격 패턴 탐지를 하게 된다. Hybrid IDS의 같은 경우는 HIDS와 NIDS의 장점만을 취합한 것이다.

기존 k-means 알고리즘에서 큰 데이터를 클러스터링 하는데 존재하는 두 단점인 종속성과 퇴행성을 보완한 것은 무엇인가?

기존 k-means 알고리즘에는 큰 데이터를 클러스터링 하는데 종속성과 퇴행성이라는 두 가지 단점이 존재했다. 그 단점을 보완한 것이 y-means 알고리즘이다. 데이터셋(dataset)을 적절한 수의 클러스터로 자동분할 할 수 있는데, 이것은 침입 탐지를 할 때 장점 중 하나가 될 수 있으며, 해당 알고리즘은 따로 가공하지 않고도 로그 데이터를 training data로 사용할 수 있다.

침입 탐지 시스템은 침입을 탐지할 대상에 따라 어떻게 나뉘는가?

먼저 침입 탐지 시스템이란 사전에 공격들을 탐지하여 알려주는 것으로 침입을 탐지할 대상에 따라 호스트 침입 탐지 시스템(Host intrusion Detection System, HIDS)과 네트워크 침입 탐지 시스템(Network Intrusion Detection System, NIDS), 하이브리드 침입 탐지 시스템(Hybrid Intrusion Detection System)으로 크게 3가지 분류로 나뉘게 된다. HIDS는 주로 시스템 내부의 로그를 탐지하며, NIDS는 네트워크 기반의 공격 패턴 탐지를 하게 된다.

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증

IDS 알고리즘에 대한 탐지율 연구 비교
An Comparative Research of the Detection Rate of Intrusion Detection System Algorithms 원문보기

초록
AI-Helper

AI 본문요약
AI-Helper

문제 정의

제안 방법

대상 데이터

데이터처리

성능/효과

후속연구

질의응답

이 논문을 인용한 문헌

관련 콘텐츠

원문 보기

이 논문과 함께 이용한 콘텐츠

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

선택된 텍스트

연합인증

IDS 알고리즘에 대한 탐지율 연구 비교 An Comparative Research of the Detection Rate of Intrusion Detection System Algorithms 원문보기

초록 용어보기논문에서 용어와 풀이말을 자동 추출한 결과로, 시범 서비스 중입니다. AI-Helper

AI 본문요약 엑셀 다운로드 AI-Helper

문제 정의

제안 방법

대상 데이터

데이터처리

성능/효과

후속연구

질의응답

이 논문을 인용한 문헌

관련 콘텐츠

원문 보기

이 논문과 함께 이용한 콘텐츠

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

선택된 텍스트

IDS 알고리즘에 대한 탐지율 연구 비교
An Comparative Research of the Detection Rate of Intrusion Detection System Algorithms 원문보기

초록
AI-Helper

AI 본문요약
AI-Helper