이상 탐지를 위한 시스템콜 시퀀스 임베딩 접근 방식 비교
- 주제(키워드) IDS , Anomaly Detection , System Call , Embedding , GRU
- 주제(DDC) 004
- 발행기관 아주대학교
- 지도교수 김강석
- 발행년도 2022
- 학위수여년월 2022. 2
- 학위명 석사
- 학과 및 전공 일반대학원 지식정보공학과
- 실제URI http://www.dcollection.net/handler/ajou/000000031537
- 본문언어 한국어
- 저작권 아주대학교 논문은 저작권에 의해 보호받습니다.
초록/요약
4차산업이후 인터넷의 사용이 폭발적으로 증가하면서 사이버보안의 위협 또한 증가하였고 기존에 없던 새로운 위협을 탐지하고 대응할 필요성이 대두되었다. 이상탐지(Anomaly Detection)는 새로운 위협을 탐지하는 방법 중의 하나로 정상적이지 않은 이벤트를 공격으로 예측한다. 하지만 기존의 침입탐지시스템(IDS)은 오탐(정상이벤트를 비정상이벤트로 잘못 탐지)율이 높아 이를 사람들이 직접 확인해야하는 어려움이 있었다. 또한 기존 시그니처, 롤 기반의 탐지를 벗어나 사이버 위협이 진화하면서 새로운 공격을 탐지하지 못하는 미탐 문제가 발생하고 있다. 따라서 기계학습 및 딥러닝을 이용하여 이를 해결하기 위한 다양한 연구가 이루어졌다. 본 연구는 IDS에서 활용하는 시스템콜(System call)의 시퀀스(Sequence)에서 시스템콜간의 유의미한 상관관계를 찾아 새로운 방법으로 임베딩(Embedding)하여 기계학습을 통해 이상탐지를 하는데 오탐율을 낮추고 새로운 공격에 대한 미탐을 제거하여 성능을 높이는 방법에 대한 연구이다. 시스템콜은 현대 컴퓨터 시스템을 잘 반영하는 ADFA데이터를 사용하여 실험하였다. 시스템콜 시퀀스를 빈도기반통계모델(Frequency-based Statistical Model)과 패턴기반모델(Pattern-based Model)로 임베딩하고 딥러닝 분류기법인 GRU모델을 통해서 분류하여 성능을 비교하였다. 시스템콜 시퀀스에 빈도확률기반의 임베딩 기법과 패턴기반의 임베딩 기법 모두 공격데이터를 찾는데 높은 성능을 보여주었으며, 이상탐지에 충분히 활용 가능한 성능을 확인할 수 있었다.
more목차
제 1 장 서 론 1
제 2 장 관련 연구 3
제 1 절 IDS(Intrusion Detection System) 3
제 2 절 임베딩 모델(Embedding Model) 5
제 3 장 연구 방법 7
제 1 절 데이터 셋 8
제 2 절 임베딩 벡터 모델(Embedding Vector Model) 10
제 1 항 빈도 기반 통계 모델(Frequency based Statistical Model) 11
제 2 항 패턴 기반 모델(Pattern based Model) 12
제 3 절 GRU 모델 14
제 4 절 성능 평가 지표 17
제 4 장 실험 결과 및 분석 19
제 1 절 실험 환경 19
제 2 절 실험 방법 20
제 1 항 Vector Dimension에 따른 성능평가 20
제 2 항 Window size에 따른 성능평가 21
제 3 항 Sequence Length에 따른 성능평가 22
제 3 절 실험 결과 및 분석 23
제 5 장 결 론 44
참고문헌 45
