시간과 속성을 이용한 침입시도정보 클러스터링에 대한 연구
An Intrusion Detection Alert Clustering Method Based on Time and Attribute
- 발행기관 아주대학교 정보통신 전문대학원
- 지도교수 김동규
- 발행년도 2005
- 학위수여년월 2005. 2
- 학위명 석사
- 학과 및 전공 정보통신전문대학원 정보통신공학과
- 본문언어 한국어
초록/요약
컴퓨터 네트워크 기술이 발달하고 컴퓨터를 이용한 서비스가 증가함에 따라 네트워크에 연결된 호스트에 불법적인 침입도 증가하고 있다. 이에 대한 대응으로 침입탐지 시스템을 연구하고 개발하고 있지만 침입탐지 시스템에서 발생하는 매우 많은 침입시도정보를 일일이 다 처리하기 힘들 뿐만 아니라 그 대부분이 긍정오류임으로 인해 실제 침입에 대한 판단과 신속한 대응을 더욱 어렵게 하고 있다. 이에 따라 침입탐지 시스템에서 발생하는 잘못된 침입시도정보를 줄이려는 연구가 계속되고 있다. 본 논문에서는 침입시도정보의 발생유형이 시간을 기준으로 매우 특징적인 모습을 가진다는데 착안하여 특징적인 시간단위로 클러스터링을 하여 발생한 침입에 대하여 축약 및 효율적인 분석을 할 수 있도록 하였다. 침입시도정보의 축약을 위해 속성기반 일반화 기법을 사용함에 있어서 침입시도정보의 발생 유형을 잘 반영할 수 있도록 Y-means클러스터링 방식을 이용하여 시간단위로 클러스터링 하였다. Y-means클러스터링 방법을 적용하여 생성된 클러스터에 속성기반 일반화 기법을 적용하여 침입시도정보의 분석을 보다 효율적으로 수행할 수 있었다.
more초록/요약
Today, computer intrusions are increasing more and more. Therefore, many researchers study about Intrusion Detection System (IDS) by countermeasure. However the IDS faces major challenges. Firstly, the overall number of generated alerts is overwhelming for operators. Secondly, too many of these alerts falsely indicate security issues and require investigation from these operators. Thirdly, the diagnosis information associated with the alerts is so poor that it requires the operator to go back to the original data source to understand the diagnosis and assess the real severity of the alert. Finally, the number of undetected attacks ( false negatives) must be reduced in order to provide an appropriate coverage for the monitoring of the environment. The Overwhelming alerts require the security administrator's labor. To reduce burden work of security administration and respond accurately to attack, many researches on the alert correlation or reduction are performed as the partial domain of intrusion detection system (IDS), enterprise security management system (ESM), and intrusion response system (IRS). On this paper, to reduce the security administrator's labor, we use two clustering method focused on the alerts occurrence pattern. Alerts' occurring fluctuate on the time axis. Foused on this, firstly, we cluster the alerts with Y-means clustering method using each alert's occurrent time values. After that, we cluster each clusters with Attribute Oriented Induction (AOI) clustering method. Using this two clustering method sequentially, we can present the alerts more correctly than the previous each clustering methods.
more목차
목차
1. 서론 = 1
2. 관련 연구 = 2
1) 이벤트 축약에 대한 기존 연구 = 2
2) 데이터 마이닝을 통한 이벤트 축약 = 4
가. 분류(Classification) 방법 = 5
나. 클러스터링(Clustering) 방법 = 5
다. 요약(Summarization) 방법 = 5
라. 변화(Change) 방법 = 6
3. 연구 배경 = 8
1) Y-means 클러스터링 알고리즘 = 8
가. K-means 클러스터링 = 8
나. H-means+ 알고리즘 = 9
다. Loenid Portnoy의 알고리즘 = 9
라. Y-means 클러스터링 알고리즘 = 10
2) 속성중심 일반화(Attribute Oriented Induction) 알고리즘 = 12
4. Y-means 클러스터링과 속성기반일반화 알고리즘을 활용한 침입시도정보 클러스터링 기법 = 17
5. 실험 계획 = 20
1) 실험 데이터와 네트워크 구성 = 20
2) 침입탐지시스템(IDS)과 데이터베이스 = 22
3) 전체 설계 = 23
6. 실험 결과 = 26
1) DARPA98을 이용한 실험 = 26
2) DARPA 99를 이용한 실험 = 29
7. 결론 = 34
