Journal of KIISE:Information Networking (한국정보과학회논문지:정보통신)

Korean Institute of Information Scientists and Engineers (한국정보과학회)
권호 표지

Performance Improvement of Infusion Detection System based on Hidden Markov Model through Privilege Flows Modeling

권한이동 모델링을 통한 은닉 마르코프 모델 기반 침입탐지 시스템의 성능 향상

  • 박혁장 (연세대학교 컴퓨터과학과) ;
  • 조성배 (연세대학교 컴퓨터과학과)
  • Published : 2002.12.01
Download PDF
⟨ Previous Next ⟩

Abstract

Anomaly detection techniques have teen devised to address the limitations of misuse detection approach for intrusion detection. An HMM is a useful tool to model sequence information whose generation mechanism is not observable and is an optimal modeling technique to minimize false-positive error and to maximize detection rate, However, HMM has the short-coming of login training time. This paper proposes an effective HMM-based IDS that improves the modeling time and performance by only considering the events of privilege flows based on the domain knowledge of attacks. Experimental results show that training with the proposed method is significantly faster than the conventional method trained with all data, as well as no loss of recognition performance.

기존 침입탐지시스템에서는 구현의 용이성 때문에 오용침입탐지 기법이 주로 사용되었지만, 새로운 침입에 대처하기 위해서는 궁극적으로 비정상행위탐지 기법이 요구된다. 그 중 HMM기법은 생성메커니즘을 알 수 없는 이벤트들을 모델링하고 평가하는 도구로서 다른 침입탐지기법에 비해 침입탐지율이 높은 장점이 있다. 하지만 높은 성능에 비해 정상행위 모델링 시간이 오래 걸리는 단점이 있는데, 본 논문에는 실제 해킹에 사용되고 있는 다양한 침입패턴을 분석하여 권한이동시의 이벤트 추출방법을 이용한 모델링 기법을 제안하였고 이를 통하여 모델링 시간과 False-Positive 오류를 줄일 수 있는 지 평가해 보았다. 실험결과 전체 이벤트 모델링에 비해 탐지율이 증가하였고 시간 또한 단축됨을 알 수 있었다.

Keywords

References

  1. H.S. Vaccaro and G.E. Liepins, 'Detection of anomalous computer session activity,' Proc. IEEE Symp. on Research in Security and Privacy, pp. 280-289, 1989 https://doi.org/10.1109/SECPRI.1989.36302
  2. K.E. Price, 'Hostbased misuse detection and conventional operating system's audit data collection,' M.S. Dissertaion, Purdue University, Purdue, IN, December 1997
  3. T. F. Lunt, 'A survey of intrusion detection techniques,' Computer & Security, vol. 12, no. 4, June 1993 https://doi.org/10.1016/0167-4048(93)90029-5
  4. H.S. Javitz and A. Valdes, 'The SRI IDES statistical anomaly detector,' NIDES Technical Report, 1994
  5. J. Hochberg, et al, 'Nadir: An automated system for detecting network intrusion and misuse,' Computers & Security, vol. 12, no. 3, pp. 235-248, 1993 https://doi.org/10.1016/0167-4048(93)90110-Q
  6. H. Debar, M. Becker and D. Siboni, 'A neural network component for an intrusion detection system,' Proc. 1992 IEEE Computer Society Symposium on Research in Security and Privacy, pp. 240-250, Oakland, CA, May 1992 https://doi.org/10.1109/RISP.1992.213257
  7. C. Warrender, S. Forrest and B. Pearlmutter, 'Detecting intrusion using calls: Alternative data models,' IEEE Symposium on Security and Privacy, May 1999 https://doi.org/10.1109/SECPRI.1999.766910
  8. 최종호, 조성배, '은닉 마르코프 모델에 기반한 정상행위의 순서적 이벤트 모델링을 통한 침입탐지 시스템', 정보과학회, pp 306-308, 1999
  9. CERTCC-KR, 한국정보보호진흥원, http://www.certcc.or.kr/
  10. S. Axelsson, 'Research in Intrusion-Detection Systems: A Survey,' Chalmers University of Technology, 1999
  11. B.A. Kuperman and Eugene H. Spafford. 'Generation of application level audit data via library interposition,' CERIAS TR 99-11, COAST Laboratory, Purdue University, West Lafaytte, IN, October 1998
  12. L.R. Rabiner, 'A tutorial on hidden Markov models and selected applications in speech recognition,' Proc. of the IEEE, vol. 77, no. 2, 1989 https://doi.org/10.1109/5.18626
  13. L.R. Rabiner and B.H. Juang, 'An introduction to hidden Markov models,' IEEE ASSP Magazine, 1986