Journal of the Korea Institute of Information and Communication Engineering (한국정보통신학회논문지)

The Korea Institute of Information and Commucation Engineering (한국정보통신학회)
권호 표지
DOI QR코드

DOI QR Code

A Design of Time-based Anomaly Intrusion Detection Model

시간 기반의 비정상 행위 침입탐지 모델 설계

  • Received : 2011.02.02
  • Accepted : 2011.05.04
  • Published : 2011.05.30
Download PDF
⟨ Previous Next ⟩

Abstract

In the method to analyze the relationship in the system call orders, the normal system call orders are divided into a certain size of system call orders to generates gene and use them as the detectors. In the method to consider the system call parameters, the mean and standard deviation of the parameter lengths are used as the detectors. The attack of which system call order is normal but the parameter values are changed, such as the format string attack, cannot be detected by the method that considers only the system call orders, whereas the model that considers only the system call parameters has the drawback of high positive defect rate because of the information obtained from the interval where the attack has not been initiated, since the parameters are considered individually. To solve these problems, it is necessary to develop a more efficient learning and detecting method that groups the continuous system call orders and parameters as the approach that considers various characteristics of system call related to attacking simultaneously. In this article, we detected the anomaly of the system call orders and parameters by applying the temporal concept to the system call orders and parameters in order to improve the rate of positive defect, that is, the misjudgment of anomaly as normality. The result of the experiment where the DARPA data set was employed showed that the proposed method improved the positive defect rate by 13% in the system call order model where time was considered in comparison with that of the model where time was not considered.

시스템 호출 순서에 대한 관계를 분석하는 방법은 정상적인 시스템 호출 순서를 일정한 크기로 시스템 호출 순서를 분할하여 진을 생성하여 탐지자로 사용한다. 시스템 호출의 매개변수를 고려하는 방법은 매개변수의 길이에 대한 평균과 표준편차를 이용하여 탐지자로 사용한다. 시스템 호출 순서만을 고려한 모델은 시스템 호출 순서는 정상이지만 포맷 스트링 공격과 같이 매개변수의 값만 변하는 공격을 탐지할 수 없으며, 시스템 호출 매개변수만을 고려한 모델은 매개변수 각각을 고려하므로 공격이 시작되지 않은 구간에서 획득한 정보에 의해 긍정적 결함률이 높게 나타나는 문제점이 있다. 이러한 문제점을 해결하기 위해 공격과 관련된 시스템 호출의 여러 속성들을 동시에 고려하는 접근 방법으로서 연속적인 시스템 호출 순서 및 매개변수를 그룹(Group)화하여 보다 효율적으로 학습 및 탐지하는 방법이 필요하다. 이 논문에서는 비정상적인 행위를 정상적인 행위로 판단하는 긍정적 결함률을 개선하기 위하여 시스템 호출 순서 및 매개변수에 시간 개념을 적용하여 시스템 호출 순서 및 매개변수의 비정상행위를 탐지한다. 실험 결과 제안 기법은 DARPA 데이터 셋을 사용한 실험에서 시스템 호출의 긍정적 결함률은 시간을 고려하지 않은 시스템 호출 순서 모델보다 시간을 고려한 시스템 호출 순서 모델의 긍정적 결함률이 13% 향상되었다.

Keywords

References

  1. S. Forrest, Steven A. Hofmeyr, Anil Somayaji, Thomas A. Longstaff, "A Sense of Self for Unix Process", In Proc. of the 1996 IEEE Symposium on Research in Security and Privacy, Los Alamos, CA, pp. 120-128. IEEE Computer Society Press.
  2. J. B. D. Cabrera, L. Lewis, and R.K. Mehara. "Detection and classification of intrusion and faults using sequences of system calls". ACM SIGMOD Record, Vol.30 No.4, 2001.
  3. G. Tandon and P. Chan. "Learning rules from system call arguments and sequences for anomaly detection". In ICDM Workshop on Data Mining for Computer Security (DMSEC), pp 20-29, 2003.
  4. G. Casas-Garriga, P. Diaz, and J.L. Balcazar. "ISSA : An integreated system for sequence analysis". Technical Report DELIS-TR-0103, Universitat Paderborn, 2005.
  5. 황현욱, 김민수, 노봉남, " 감사로그 상관관계를 통한 호스트기반의 침입탐지 시스템", 한국정보보호학회 논문지, 제13권 제3호, pp. 81-90, 2003.
  6. N.Ye and Q.Chen. "An anomaly detection technique based on a chi-square statistic for detecting intrusions into information systems". Quality and Reliability Engineering International, Vol. 17 No.2, pp. 105-112, 2001. https://doi.org/10.1002/qre.392
  7. C. Kruegel, D. Mutz, F.Valeur, and G. Vigna. "On the Detection of Anomalous System Call Arguments". In Proc. of the 2003 European Symposium on Research in Computer Security, Gjovik, Norway, Oct. 2003.
  8. 신미예, 전승흡, 이상호, "유전 알고리즘 기법을 이용한 HA 모델 설계", 컴퓨터정보학회 논문지 , 제14 권 제10호, pp. 160 - 166, 2009.
  9. D. Wagner and P. Soto. "Mimicry attacks on host based intrusion detection systems". In ACM conference on Computer and Communications Security (CCS), 2002.
  10. S.Forrest, S. Hofmeyr and A. Somayaj, "Computer Immunology[review article]", In Communications of the ACM Vol. 40, No 10, pp. 176-187, 2007.
  11. 이종성, 채수환, "특권프로세스의 시스템 호출 추적을 사용하는 침입 탐지 시스템의 설계:면역 시스템 접근", 한국정보보호센터 '99 정보보호 우수논문집, pp. 181-206, 1999
  12. 이종성, "특권 프로세스의 시스템 호출 추적을 통한 침입 탐지:면역시스템 접근", 한국항공대학교, 2000.
  13. M. Markou and S. Singh, "Novelty detection : a review-part 1: statistical approaches", Signal Processing, Vol. 83 No. 12, pp. 2481-2497, 2003. https://doi.org/10.1016/j.sigpro.2003.07.018
  14. Anil Somayaji and Stephanie Forrest. "Automated response using systemcall delays". In Proc. of the 9th USENIX Security Symposium, Denver, CO, Aug. 2000.
  15. 박봉구, "시스템 호출 기반의 사운덱스 알고리즘을 이용한 신경망과 N-gram 기법에 대한 이상 탐지 성능 분석", 인터넷정보학회논문지 제6권 제5호, pp. 45 - 56, 2005.
  16. 신미예, 원일용, 이상호, "타임 윈도우 기반의 T-N2SCD 탐지 모델 구현", 한국해양통신학회 논문지, 제13권 제11호, 2009.
  17. E. Tsyrklevich and B. Yee. "Dynamic detection and prevention of race conditions in file accesses", USENIX Security Symposium, Washington, DC, USA pp. 17-17, Aug. 2003.
  18. ttp://www.ll.mit.edu/mission/

Cited by

  1. 네트워크 정보보호시스템 우회 공격에 대한 대응훈련 시나리오 vol.22, pp.5, 2011, https://doi.org/10.6109/jkiice.2018.22.4.818