Misuse IDS의 성능 향상을 위한 패킷 단위 기계학습 알고리즘의 결합 모형

Misuse IDS의 성능 향상을 위한 패킷 단위 기계학습 알고리즘의 결합 모형

ㆍ 저자명: 원일용,송두헌,이창훈,Weon. Ill-Young,Song. Doo-Heon,Lee. Chang-Hoon
ㆍ 간행물명: 정보처리학회논문지. The KIPS transactions. Part C Part C
ㆍ 권/호정보: 2004년|3호|pp.301-308 (8 pages)
ㆍ 발행정보: 한국정보처리학회
ㆍ 파일정보: 정기간행물|
PDF텍스트
ㆍ 주제분야: 기타

이 논문은 한국과학기술정보연구원과 논문 연계를 통해 무료로 제공되는 원문입니다.

서지반출

기타언어초록

전문가의 침입 분석 지식을 기반으로 한 Misuse IDS는 침입 탐지 비율은 우수하지만 도한 오경보를 생성하여 관리 효율성이 낮다. 우리는 패킷 정보 중심의 사례 기반 학습을 Misuse IDS와 결합하여 그 행동 특성에 따라 오경보를 줄이는 모형을 제안하고 실험하였다. 또 기존의 IBL(교stance Based Learner)을 개선한 XIBL(Extended Instance Based Learner)을 이용하여 Snort의 alarm을 패킷 수준에서 역 추적 분석하여, 그 alarm이 실제로 보내질 가치가 있는지를 검사한다. 실험 결과 진성경보와 오경보 사이에는 XIBL의 행동상 분명한 차이가 드러나며, 네트워크 상의 공격이 비록 여러 패킷의 결합된 형태로 나타나지만, 개별 패킷에 대한 정상/비정상 의사 결정도 Misuse IDS와 결합하면 전체 시스템의 성능을 향상하는 데에 기여할 수 있음을 실증적으로 보여주었다.

기타언어초록

Misuse IDS is known to have an acceptable accuracy but suffers from high rates of false alarms. We show a behavior based alarm reduction with a memory-based machine learning technique. Our extended form of IBL, (XIBL) examines SNORT alarm signals if that signal is worthy sending signals to security manager. An experiment shows that there exists an apparent difference between true alarms and false alarms with respect to XIBL behavior This gives clear evidence that although an attack in the network consists of a sequence of packets, decisions over Individual packet can be used in conjunction with misuse IDS for better performance.

키워드

침입탐지시스템 사례기반학습 오경보 학습 패킷 헤더 정보 Intrusion Detection System Instance Based Learning False Alarm Machine Learning Packet Header Information

다운URL