Journal of the Korea Institute of Information and Communication Engineering (한국정보통신학회논문지)

The Korea Institute of Information and Commucation Engineering (한국정보통신학회)
권호 표지
DOI QR코드

DOI QR Code

Design of T-N2SCD Detection Model based on Time Window

타임 윈도우 기반의 T-N2SCD 탐지 모델 구현

  • 신미예 (충북대학교 전자계산학과) ;
  • 원일용 (서울호서전문대학교 사이버해킹보안과) ;
  • 이상호 (충북대학교 전기전자 컴퓨터공학부)
  • Published : 2009.11.30
Download PDF
⟨ Previous Next ⟩

Abstract

An intrusion detection technique based on host consider system call sequence or system call arguments. These two ways are suitable when system call sequence or order and length of system call arguments are out of order. However, there are two disadvantages which a false positive rate and a false negative rate are high. In this paper we propose the T-N2SCD detection model based on Time Window in order to reduce false positive rate and false negative rate. Data for using this experiment is provided from DARPA. As experimental results, the proposed model showed that the false positive rate and the false negative rate are lowest at an interval of 1000ms than at different intervals.

호스트 기반 침입탐지 기법에는 시스템 호출 순서를 고려하는 방법과 시스템 호출 파라미터를 고려하는 방법이 있다. 이 두 방법은 프로세스의 시스템 호출이 일어나는 전 구간에서 시스템 호출 순서에 이상이 있거나 시스템 호출 파라미터의 순서 및 길이 등에 이상이 있는 경우에 적합하지만 긍정적 결함율과 부정적 결함율이 높은 단점이 있다. 이 논문에서는 시스템 호출을 이용한 방법에서 발생하는 긍정적 결함율과 부정적 결함율을 줄이기 위해서 단위 시간을 도입한 타임 윈도우 기반의 T-N2SCD 탐지 모델을 제안한다. 제안 모델의 실험에 사용된 데이터는 DARPA에서 제공된 데이터이며, 실험 결과 제안 모델은 다른 시간 간격 보다 1000ms 시간 간격으로 실험하였을 경우가 긍정적 결합률과 부정적 결합률이 가장 낮았다.

Keywords

References

  1. ETRI, 침입탐지시스템(IDS), 정보통신연구진흥원 학술정보 주간기술동향 1027호, Nov, 2001
  2. D.E. Denning. An Intrusion-detection model. IEEE Transactions on Software Engineering, SE-13(2): 222-232, February 1987 https://doi.org/10.1109/TSE.1987.232894
  3. Mark Burgess, Har 다 Haugerud, Sigmund Straumsnes, and Trond Reitan. Measuring system normality. ACM Trans. Comput. Syst., 20(2):125-160, 2002 https://doi.org/10.1145/507052.507054
  4. N.Ye and Q.Chen. An anomaly detection technique based on a chi-square statistic for detecting intrusions into information systems. Quality and Reliability Engineering International, 17(2):105-112,2001 https://doi.org/10.1002/qre.392
  5. S. Forrest, Steven A. Hofmeyr, Anil Somayaji, Thomas A. Longstaff, A Sense of Self for Unix Process, In Proceedings of the 1996 IEEE Symposium on Research in Security and Privacy, Los Alamos, CA, pp. 120-128. IEEE Computer Society Press
  6. Stephanie Forrest, Alan S. Perelson, Lawrence Allen, and Rajesh Cherukuri. Self-nonself discrimination in a computer. In SP '94: Proceedings of the 1994 IEEE Symposium on Security and Privacy, page 202, Washington, DC, USA, 1994.IEEE Computer Society
  7. J. B. D. Cabrera, L. Lewis, and R.K. Mehara. Detection and classification of intrusion and faults using sequences of system calls. ACM SIGMOD Record, 30(4),2001
  8. G. Casas-Garriga, P. Diaz, and J.L. Balcazar. ISSA : An integreated system for sequence analysis. Technical Report DELIS-TR-Ol03, Universitat Paderbom, 2005
  9. S.A. Hofmeyer, A. Somayaji and S.Forrest, "Intrusion Detection Using Sequences of System Calls", Journal of Computer Security Vol.6, pp. 151-180,1998
  10. Anil Somayaji and Stephanie Forrest. Automated response using systemcall delays. In Proceedings of the 9th USENIX Security Symposium, Denver, CO, August 2000
  11. D. Wagner and P. Soto. Mimicry attacks on host based intrusion detection systems. In 9th ACM Conference on Computer and Communications Security, Washington, DC, pp. 18-22, Nov. 2002
  12. ChetanParampalli, R. Sekar, Rob Johnson, A practical mimicry attack against powerful system-call monitors, Proceedings of the 2008 ACM symposium on fuformation, computer and communications security, March 18-20,2008, Tokyo, Japan
  13. C. Kruegel, D. Mutz, EValeur, and G. Vigna. On the Detection of Anomalous System Call Arguments. In Proceedings of the 2003 European Symposium on Research in Computer Security, Gjovik, Norway, October 2003
  14. http://www.ll.mit.edu/mission/
  15. 양대일, "정보 보안 개론과 실습", 한빛미디어, 2003