Data Mining 기법을 이용한 침입탐지 시스템

Slides:



Advertisements
Similar presentations
KAIST CS712 병렬처리 특강 차세대 무선 네트워크 및 보안 동향 Syllabus Network & Security Lab.
Advertisements

오케이굿맨 비뇨기과 개원 사업계획서 오케이굿맨 비뇨기과 개원 사업계획서. 제 1 장 : 사업 개요제 2 장 : 병원 선정제 3 장 : 인력 계획제 4 장 : 진료 계획 제 5 장 : 마케팅 계획제 6 장 : 수익성 분석제 7 장 : 투자계획 및 자금계획.
침입 방지 시스템 (IPS) 최정환 남영석 방철규 전인철 조용진.
Computer Science and Engineering. 컴퓨터는 미래 지식 사회의 핵심 요인  지식 사회의 도래 : 매 50 년 마다 큰 기술, 사회적 변화 발생.
Intrusion Detection System( 침 입탐지시스템 ) Wireless/Mobile Network Lab 박준석.
Association Rule Sequential Pattern Classification Clustering Data Mining A B C D 2.
제 8장 데이터 보안.
2011년 부산대역‘아마존’ 벼룩시장 운영 현황 조사
빅 데이터 전략 연구실 소개 허순영 교수 KAIST 정보미디어 경영대학원 (서울시 동대문구 홍릉 소재) May 10, 2013
컴퓨터 보안 메커니즘에 기반한 자기 가치감의 셀프힐링
Zigbee Specification RT Lab 강무진.
Chapter 03. 네트워크 보안 : 길을 지배하려는 자에 대한 저항
금융 보안 정보통신대학원 양승화 양승화( ).
IT Application Development Dept. Financial Team May 24, 2005
Chapter 8 Authorization
제 6 장 생체인식.
한드림넷 솔루션 소개.
Ⅰ웹로그분석을 통한 쇼핑몰 운영전략 코리아 인터넷 마케팅센터 대표 김형택
암호화 기술(SSL, IPSec) 손재성 권기읍 안복선 최준혁
보안 시스템 정보 보안 개론 10장.
제목 CHAPTER 09. 정보 보안 선택이 아닌 필수_정보 보안 기술과 정보 윤리.
ORAS 온라인 채용대행 솔루션 제안서 (Online Recruiting Application Service)
Network Security - Wireless Sniffing 실습
★ Basic Function4 1 Posting Tips 2 Currency 3 Tax.
소프트 컴퓨팅 연구실.
목 차 1. 기 업 현 황 회 사 개 요 2. Finger Police System 개요
데이터마이닝의 소개 Data Mining Introduction
Firewall & N-IDS 김창현.
데이터 베이스 란? 데이터 베이스 기능 데이터 베이스 관리 시스템 정보시스템의 구성 관게형 데이터 베이스
허영준 한국전자통신연구원 보안게이트웨이연구팀
FTP 중앙대학교 안 봉 현
Chapter 8 목차 8.1 네트워크 보안이란 무엇인가? 8.2 암호학의 원리 8.3 메시지 무결성 8.4 종단점 인증
Intrusion Detection System (IDS) 실습
Part 06 보안 1. Windows 보안 2. Linux 보안 3. 해킹 기술 4. 네트워크 장비 보안 5. 해킹 도구.
11. 해킹기술 (2) - hacking & security -
국산 Firewall 제품 비교표 SecureShield SecureWorks InterGuard Hwarang
개선된 ATMSim을 이용한 DDoS 공격 분석
Network Security Footprint & Scan.
포항공과대학교 PLUS 오태호(PLUS015)
5. 네트워킹 사용자 표시 : users/ rusers/who/w users 지역 호스트 상에 있는 사용자의 간단한 목록 표시
침입탐지시스템과 정보보안 안
DoS와 DDoS 공격 DOS와 DDOS 공격의 이해 DOS 공격의 이해 DDOS 공격의 이해 한빛미디어(주)
네트워크 보안 3 오 세 종.
Chapter 14 침입 탐지 및 모니터링.
Internet traffic modeling and network design
장애학생 인권보호 범죄예방교육 00초등학교 도움반.
모형 선택과 적합도 지수.
Part 05 정보 보호 개론 NOS 보안 보안 프로토콜 및 암호와 네트워크 보안 및 정보 보호 제도.
12-4 바이러스, 인터넷 웜 12-5 방화벽 12-6 침입탐지 시스템 발표자 : 김진태.
제 9장: 파일과 데이터베이스 데이터 구성에서부터 데이터 채굴 까지.
제 9장: 파일과 데이터베이스 데이터 구성에서부터 데이터 채굴 까지.
1. 침입탐지시스템(IDS) 침입탐지시스템의 구성 Network Base IDS Host Base IDS
정보 추출기술 (Data Mining Techniques ) : An Overview
1조 김성수 백현기 석광우 김지원 박광연.
연습 문제 풀이 헥사 값의 의미 FTP 응답 코드의 의미 분석 (a) D 0A (b)
User Datagram Protocol (UDP)
충북인력개발원 정보통신과 교수/공학박사 강원찬
평가기준 개요 및 보안기능요구사항 사업부 평가사업팀 조규민.
공공기관에서의 UTM과 혼합공격 차단기법 May.2004 Fortinet Korea Inc.
Linux Security (리눅스 소개)
Packet sniffing 응용 레벨이 아닌 네트워크 디바이스 레벨에서의 데이타을 얻는 것 네트워크 상의 트래픽을 분석
인터넷 서비스에는 어떤 것들이 있을까? 기술가정 2학년 1학기
Data Analytics for Healthcare
정보 INFRA 구축 RF카드를 이용한 고객관리시스템 구축 에클라트소프트.
해킹의 정의와 역사 해킹의 정의 해킹의 유형 해커의 분류 해킹의 역사 해킹 기술의 변천.
Information Security - Network Scanning.
7/25/2019 경계선 방어 기술 공급원 May
한국 휴렛팩커드/고객지원사업본부/IT 기술사업부 박기영
Data Compression 데이터 압축:음성, 비디오, 팩시밀리 전송등과 같은 경우에 중요
네트워크는 각종 공격들의 위협(Threat)을 받고 있다.
Presentation transcript:

Data Mining 기법을 이용한 침입탐지 시스템 정보과학 대학원 032ITI06 인터넷 기술 전공 김설현

목 차 침입탐지 시스템(IDS)란? 침입탐지 시스템(IDS)의 종류 데이터 마이닝을 이용한 IDS란? 목 차 침입탐지 시스템(IDS)란? 침입탐지 시스템(IDS)의 종류 데이터 마이닝을 이용한 IDS란? 데이터 마이닝을 이용한 IDS 프로젝트 4-1) 프로젝트 목표 4-2) 데이터 마이닝 알고리듬 4-3) 진행 방법 4-4) 오용탐지를 위한 IDS 및 결과 4-5) 비정상행위 탐지를 위한 IDS 및 결과 결론 및 향후전망 참고자료

1. 침입탐지 시스템(IDS)이란? 침입탐지 시스템(IDS)란 네트워크나 시스템의 미심쩍은 점을 조사 및 감시하고 필요한 조치를 취하는 시스템이다. 예를 들어 방화벽(firewall)이 잠겨있는 문이라면 침입탐지 시스템(IDS)은 그 안에 설치되어 움직임을 알아내는 감지장치라 할 수 있다.

2. 침입탐지 시스템(IDS)의 종류 사용자의 정상적인 행위들에 대한 모델을 만들어놓고, 이 모델에 부합 오용탐지(Misuse Detection): 알려진 침입행위의 모델을 미리 만들어 놓고, 이것과 일치하는 경우를 침입으로 간주한다. 따라서 알려진 공격에 대해서만 탐지가 가능하다. 비정상행위 탐지(Anomaly Detection): 사용자의 정상적인 행위들에 대한 모델을 만들어놓고, 이 모델에 부합 하지 않을 경우 잠재적인 공격(potential attack)으로 간주한다. 새로운 유형의 공격도 탐지 가능하다.

3. 데이터 마이닝을 이용한 IDS란? 데이터 마이닝(Data Mining)이란 많은 양의 data 속에서 눈으로는 잘 보이지 않는 규칙이나 pattern을 끌어내는 것이다. 현재의 많은 IDS들은 security analyst들이 공격 시나리오를 분석하고 시스템 취약점을 파악하여 hand-code로 구축하기 때문에 많은 시간과 비용이 소모된다. 따라서 데이터 마이닝(Data mining) 기법을 이용해 방대한 양의 데이터 속에서 침입 또는 정상적인 사용에 대한 pattern를 찾아 rule을 만들고, 이 rule을 이용해 침입을 탐지할 수 있게 된다면 security analyst들의 수고를 덜어줄 수 있을 것이다.

3. 데이터 마이닝을 이용한 IDS란?

4. 데이터 마이닝을 이용한 IDS 프로젝트 Columbia 대학의 Dr. Wenke Lee 팀이 진행한 MADAM ID 프로젝트를 살펴본다. MADAM ID 프로젝트는 DARPA에서 제공한 JAM 프로젝트의 일부로, 데이터마이닝을 이용한 IDS 프로젝트 중 peer들로부터 가장 좋은 평가를 받고 있다.

4. 데이터 마이닝을 이용한 IDS 프로젝트 4-1)프로젝트 목표: 데이터 마이닝 알고리듬을 사용하여 systematic하고 automatic한 방법으로 IDS를 구축한다. 4-2)데이터 마이닝 알고리듬: 알고리듬 특성 Classification 각 record들을 특정 카테고리(normal 또는 intrusion)로 분류함 Association rule 각 record들의 field들간의 연관성을 본다. 예를 들면프로그래머가 emacs 명령어를 쓸때는 주로C file을 연다 등 Frequent Episode network event에서 빈번하게(frequently) 발생하는 sequence본다. 예를 들면 연달아 특정 호스트에 패킷을 보내는 Dos 공격등.

4. 데이터 마이닝을 이용한 IDS 프로젝트 4-3) 진행방법: DARPA에서 제공한 training data로 오용탐지 및 비정상행위 탐지에 대한 모델링을 구축하고, 역시 DARPA에서 제공한 test data로 구축한 modeling이 얼마나 효과적으로 침입을 탐지하는지 평가한다. 4-4) 오용탐지(Misuse Detection)를 위한 IDS 및 결과 1)content 모델링(association rule 사용): 내부호스트의 network session에 대한 모델링으로 R2L, U2R 공격 유형을 모델링한다. 2)Traffic 모델링(frequent episode 사용): 내부 호스트와 외부 호스트 간의 전송패킷을 마이닝하여 DOS와 PROBING 공격을 모 델링 한다. <침입 유형> R2L: remote machine으로 부터의 unautorized access. ex) guessing password U2R: 권한이 없는 사용자가 superuser의 권한에 access. ex)buffer overflow attack DOS: denial-of-service 공격. ex) ping-of death, teardrop, smurf, syn flood PROBING: 시스템을 취약점을 알아내고자 하는 정보수집 공격. ex)post-scan,ping-sweep

4. 데이터 마이닝을 이용한 IDS 프로젝트 <content 모델링의 예> <Table1> Telnet record <Table2> Rules from Telnet record

4. 데이터 마이닝을 이용한 IDS 프로젝트 <Traffic 모델링의 예> <Table3> Network connection record <Table4> Rules from Network connection record

4. 데이터 마이닝을 이용한 IDS 프로젝트 3) 결과 및 분석 :ROC curve에서 보여지듯이 R2L 공격 외에는 모든 곳에서 높은 detection rate을 보이고 있다. <Figure1> Roc curves on Detection Rates and False Alarm Rates

4. 데이터 마이닝을 이용한 IDS 프로젝트 4-5) 비정상 행위 탐지(Anomaly Detection)을 위한 IDS 및 결과 1) 모델링: 사용자 로그인 세션을 분석해서 frequent pattern을 mine해 낸 후, similarity score를 매겨서 score가 높으면 기존의 profile에 합쳐지고 아니면 새로운 행이 만들어는 형식으로 모델링 한다. 각 사용자 별로 am, pm, nt의 세가지 시간대 별로 모델링한다. <Table6> User Description from Shell Command Record <Table5> Shell Command Record

4. 데이터 마이닝을 이용한 IDS 프로젝트 2)결과 및 분석: 오른쪽 테이블에서 보여지듯이 모든 비정상 행위는 정상행위에 비해 similarity scorer가 훨씬 낮으므로 쉽게 detection할 수 있다. <Table7> User Anormaly Description <Table8> Similarity w/ User’s own profile

5.결론 및 향후전망 데이터 마이닝 알고리듬을 이용하면 많은 양의 audit data 속에서 패턴을 추출하여 모델링 할 수 있으므로, security analyzer의 일을 덜어 줄 수 있을 뿐 아니라 기존의 IDS를 완전히 허물지 않고도 extention이 가능하다. 이 분야에 대해서는 많은 research가 진행중이며, 특히 network anormaly detection에 대한 프로젝트는 Dr. Wenke Lee 팀에 의해 현재 진행중이다.

6. 참고자료 장남식, 홍성완, 장재호.,데이터 마이닝, 대청미디어,1999 Wenke Lee, Sal Stolfo, and Kui Mok., “A Data Mining Framework for Building Intrusion Detection Models.” In Proceedings of the 1999 IEEE Symposium on Security and Privacy, Oakland, CA, May 1999 Wenke Lee and Sal Stolfo.,”Data Mining Approaches for Intrusion Detection”. In Proceedings of the Seventh USENIX Security Symposium (SECURITY '98), San Antonio, TX, January 1998 Tamas Abraham, “IDDM: Intrusion Detection using Data Mining Techniques”, DTSO, May 2001 Spike, “A Comparision of Anomaly Detection Technique”, Oxford University club Steven Noel, “Data Mining for Intrusion Detection”, 2004