클러스터링 기법을 이용한 침입 탐지 시스템의 경보 데이터 상관관계 분석

신문선,문호성,류근호,장종수,Shin, Moon-Sun,Moon, Ho-Sung,Ryu, Keun-Ho,Jang, Jong-Su 한국정보처리학회 2003 정보처리학회논문지 C : 정보통신,정보보안 Vol.10 No.6

이 논문에서는 침입 탐지 시스템의 탐지 효율을 높이기 위해 데이터 마이닝의 클러스터링 기법을 이용하여 경보 데이터를 그룹화하고 그 결과를 이용하여 경보 데이터의 상관 관계를 분석하는 방법을 제안하였다. 즉 클러스터링 기법을 이용하여 경보데이터를 사용자가 원하는 개수의 그룹으로 분류하고, 생성된 경보 데이터 클러스터 모델을 이용하여 새로운 경보 데이터을 분류할 수 있도록 하였다. 또한, 결과 클러스터의 생성 원인이 되는 이전의 경보의 분포 데이터를 저장 관리하여 클러스터 간의 시퀀스를 생성하였고, 생성된 각각의 클러스터 시퀀스를 통합하여 클러스터들의 시퀀스를 추출하여 발생한 경보 이후의 향후 발생 가능한 경보 타입을 예측하기 위한방법을 제공하였다. 이는 과거에 탐지된 공격의 형태 뿐만 아니라 새로운 혹은 변형된 경보의 분류나 분석에도 이용 가능하다. 또한 생성된 클러스터간의 생성 원인의 분석에 의한 클러스터 간의 순차적인 관계의 추출을 통해 사용자가 공격의 순차적 구조나 탐지된 각 공격 이면에 감추어진 전략을 이해하는데 도움을 주며 현재의 경보 이후에 발생 가능한 경보들을 얘측할 수 있다. In this paper, we propose an approach to correlate alerts using a clustering analysis of data mining techniques in order to support intrusion detection system. Intrusion detection techniques are still far from perfect. Current intrusion detection systems cannot fully detect novel attacks. However, intrucsion detection techniques are still far from perfect. Current intrusion detection systems cannot fully detect novel attacks or variations of known attacks without generating a large amount of false alerts. In addition, all the current intrusion detection systems focus on low-level attacks or anomalies. Consequently, the intrusion detection systems to underatand the intrusion behind the alerts and take appropriate actions. The clustering analysis groups data objects into clusters such that objects belonging to the same cluster are similar, while those belonging to different ones are dissimilar. As using clustering technique, we can analyze alert data efficiently and extract high-level knowledgy about attacks. Namely, it is possible to classify new type of alert as well as existed. And it helps to understand logical steps and strategies behind series of attacks using sequences of clusters, and can potentially be applied to predict attacks in progress.

국내 웹 개발자의 웹표준 준수 및 전문성 수준에 대한 연구

신문선,정경자,김병철 한국디지털정책학회 2016 디지털융복합연구 Vol.14 No.4

Recently, non-standard techniques of web like Active-X caused not only user inconvenience but also barriers to the business of Internet. The government recognized that the serious environmental situation of using Internet is needed to be improved. Especially, HTML5 convergence technology is meant to be a specific platform over the devices, users, and systems. It also means web standards to support more creative business service model and emerging market. In this paper, we performed a survey on Web standards compliance and web development professional level of domestic web developers. In addition, we present the basic direction of government policy of software and software-positive human resources policy, that is based on the analysis of the survey results. Our study will be able to contribute to construct policies to support digital convergence industry and to strengthen technical assistance and expertise to build training programs for the spread of global Web standards (HTML5). 최근 인터넷환경에서 Active-X 등 비표준 기술은 인터넷 비즈니스의 장애 요인이 되고 있다. 따라서 인터넷 이용환경 개선이 정책적으로 요구된다. HTML5 기반 융합 기술은 특정 플랫폼이나 디바이스에 종속되지 않고 사용자, 디바이스, 네트워크 및 응용환경을 지원하기 위한 웹 표준으로 다양한 인증기술, 보안 및 웹 앱 게임 등 인터넷과 기존 산업이 융합된 형태의 비즈니스 서비스 모델과 시장을 창출할 수 있는 웹 플랫폼으로 주목받고 있다. 본 논문에서는 국내 웹 개발자들의 웹표준 준수 및 웹개발 전문성 수준에 대한 설문조사를 수행하여 그 결과를 분석하였다. 분석된 결과를 기반으로 정부의 소프트웨어 정책방향 및 소프트웨어 인력 자원 양성 정책 수립의 기본 방향을 제시한다. 이는 웹 산업 경쟁력 강화, 디지털 융복합 산업의 지원 정책 수립, 글로벌 웹 표준(HTML5) 확산을 위한 기술 지원 강화 및 전문 인력 양성 프로그램 구축에 기여할 수 있을 것이다.

PHR 기반 개인 맞춤형 건강정보 탐사 알고리즘 설계

신문선 한국디지털정책학회 2017 디지털융복합연구 Vol.15 No.4

데이터마이닝 기법을 적용한 보안정책서버의 경보데이터 분석

신문선,류근호 충북대학교 컴퓨터정보통신 연구소 2002 컴퓨터정보통신연구 Vol.10 No.2

최근 네트워크 구성이 복잡해짐에 따라 정책기반의 네트워크 관리기술에 대한 필요성이 증가하고 있으며, 특히 네트워크 보안관리를 위한 새로운 패러다임으로 정책기반의 네트워크 관리 기술이 도입되고 있다. 보안정책 서버는 새로운 정책을 입력하거나 기존의 정책을 수정, 삭제하는 기능과 보안정책 결정 요구 발생시 정책결정을 수행하여야 하는데 이를 위해서는 보안정책 실행시스템에서 보내온 경보 메시지에 대한 분석 및 관리가 필요하다. 따라서 이 논문에서는 정책기반 네트워크 보안관리 프레임워크의 구조 중에서 보안정책 서버의 효율적인 보안정책 수립 및 수행을 지원하기 위한 경보데이터 관리기를 설계하고 구현한다. 그리고 경보 데이터 저장과 분석을 위해서 데이터베이스 스키마를 설계하고 저장된 경보데이터를 분석하는 모듈을 구현한다. 또한 데이터 마이닝 기법을 적용하여 경보 관리기나 고수준 분석기가 효율적으로 경보데이터를 분석하고 능동적인 보안정책관리를 지원할 수 있도록 한다. Recently, a number of network systems are developed rapidly and network architectures are more complex than before, and a policy-based network management should be used in network system. Especially, a new paradigm that policy-based network management can be applied for the network security is raised. Architecture of the policy-based network management has hierarchical structure that consists of management layer and enforcement layer. A security policy server in the management layer can generate new policy, delete, update the existing policy and decide the policy when security policy is requested. The server needs some information to perform these faculties. The security server needs to analyze and manage the alert message received from server policy enforcement system in the enforcement layer for the available information. In this paper, we not only design database schema to store the alert data and the alert analyzer to support the proceeding and making of security policy efficiently in framework of the policy-based network security management, but also implement an alert analyzer that analyze the stored alert data. We also propose a data mining system for the analysis of alert data. It is a helpful system to manage the fault users or hosts. The implemented mining system supports alert analyzer and the high level analyzer efficiently for the security policy management.

국제 물류 서비스 플랫폼의 정보 보호를 위한 RBAC 기반 접근제어 보안 모델

신문선 ( Moon-sun Shin ),황정희 ( Jeong-hee Hwang ),황익수 ( Ik-soo Hwang ),김현철 ( Hun-chul Kim ) 한국정보처리학회 2008 한국정보처리학회 학술대회논문집 Vol.15 No.2

RFID기반의 국제물류 서비스 플로우상에서 나타나는 보안 요구사항으로 태그 보안, 물류 보안, 인증, 접근제어 등이 있으며 특히 물류정보보안과 사용자 인증 및 접근제어를 위해서 물류정보 데이터베이스를 위한 보안모델이 필요하다. 본 논문에서는 RBAC에 기반한 강화된 접근제어 모델을 제안하며 이는 EPCglobal Network 과 같은 분산 환경의 다양한 사용자들 및 물류정보 관리에 효율적이며 보안관리에 있어 용이성을 제공할 수 있어 향후 EPC IS에 Security Module로 구현 및 적용이 가능하다.

침입탐지시스템의 성능향상을 위한 결정트리 기반 오경보 분류

신문선(Moon Sun Shin),류근호(Keun Ho Ryu) 한국정보과학회 2007 정보과학회논문지 : 데이타베이스 Vol.34 No.6

네트워크 기반의 침입탐지시스템에서는 수집된 패킷데이타의 분석을 통해 침입인지 정상행위인지를 판단하여 경보를 발생 시키며 이런 경보데이타의 양은 기하급수적으로 증가하고 있다. 보안관리자는 이러한 대량의 경보데이타들을 분석하고 통합 관리하여 네트워크 보안레벨을 진단하거나 시간에 따른 적절한 대응을 하는데 유용하게 사용하여야 한다. 그러나 오경보의 비율이 너무 높아 경보 데이타들간의 상관관계 분석이나 고수준의 의미 분석에 어려움이 많으므로 분석결과에 대한 신뢰성이나 분석의 효율성이 낮아지는 문제점을 가진다. 이 논문에서는 데이타 마이닝의 분류 기법을 적용하여 오경보율을 최소화하는 방법을 제안한다. 결정트리기반의 분류 기법을 오경보 분류 모델로 적용하여 오경보들 중 실제는 공격이 아님에도 불구하고 공격이라 판단된 오경보를 정상으로 분류할 수 있는 경보 데이타 분류 모델을 설계하고 구현한다. 구현된 경보데이타 분류 모델은 오경보율을 최소화하므로 경보데이타의 분석 및 통합을 통해 경보메시지의 축약 및 침입탐지시스템의 탐지율을 높이는데 활용될 수 있다. Network-based IDS(Intrusion Detection System) gathers network packet data and analyzes them into attack or normal. They raise alarm when possible intrusion happens. But they often output a large amount of low-level or incomplete alert information. Consequently, a large amount of incomplete alert information that can be unmanageable and also be mixed with false alerts can prevent intrusion response systems and security administrator from adequately understanding and analyzing the state of network security, and initiating appropriate response in a timely fashion. So it is important for the security administrator to reduce the redundancy of alerts, integrate and correlate security alerts, construct attack scenarios and present high-level aggregated information. False alarm rate is the ratio between the number of normal connections that are incorrectly misclassified as attacks and the total number of normal connections. In this paper we propose a false alarm classification model to reduce the false alarm rate using classification analysis of data mining techniques. The proposed model can classify the alarms from the intrusion detection systems into false alert or true attack. Our approach is useful to reduce false alerts and to improve the detection rate of network-based intrusion detection systems.

한국 프로축구와 프로야구의 연봉제도에 관한 비교 연구

신문선(Sin Mun-sun) 한국스포츠산업경영학회 2003 한국스포츠산업경영학회지 Vol.7 No.2

본 연구는 한국 프로스포츠를 대변하는 프로축구와 프로야구의 연봉산정 방법에 관하여 정량화 정도 및 객관적인 평가방법에 대한 요인별로 비교 해봄으로써 향후 프로 스포츠의 연봉산정 방법에 관한 개선의 필요성을 제기하고자 하는데 목적이 있다. 결론적으로 다음과 같은 방안이 연구되어 졌다. 첫째, 프로야구는 선수의 포지션, 공격과 수비, 그리고 선수 개인기록을 중심으로 한 연봉산정 방법이 비교적 객관적이며 체계적으로 실행되고 있음을 알 수 있었다. 둘째, 프로축구는 각 구단별로 별도의 연봉산정기준을 가지고 있으며 그 기준도 비공개적이고 구단과 감독의 권한 및 영향이 매우 크게 작용하고 있어 선수의 경기력을 객관적으로 평가할 수 있는 기준이 모호하다. 따라서 구단의 연봉산정 방법에 대한 선수의 신뢰가 낮을 것으로 생각된다. 셋째, 향후 한국 프로스포츠의 발전을 위해서는 프로야구보다도 프로축구의 연봉산정 방법에 대한 객관적이고 공개적인 준거마련이 필요할 것으로 생각된다. The purpose of this study was to compare two different methods for estimating player's annual salaries in Korean professional soccer league and Korean professional baseball league which are two dominant Korean professional sports league. First, the estimating methods for player's annual salaries in Korean professional baseball league largely depends on the position of the player, the defence and offence, and the personal player record which is relatively objective and systematic. Second, the estimating methods for player's annual salaries in Korean professional soccer league heavily depends on the individual decision of own team and head not open to the public. Therefore, the method of estimating is relatively subjective and not very reliable in terms of player's expectation. Finally, for bright future of Korean professional sports league, it is suggested that the wide-open systematic and object alternative method for estimating player's annual salaries should be provided in Korean professional soccer league.

스포츠 교육학 : 북한 고등중학교 체육의 성격 및 특징 분석

신문선(MoonSunShin),김남주(NamJuKim) 한국체육학회 2002 한국체육학회지 Vol.41 No.1

The purpose of this study was to analyze the characteristics of physical education curriculum in North Korea in order to provide solutions to heterogeneousness physical education between in South and North Korea prepare programs for the normalization of the physical education in South.For this purpose, the raw data, printed in North Korea and South Korea used as reference. The results of this study can be summarized as follows;1. The curriculum of the high school physical education in North Korea decided according to Kim Jung-Il`s guide, Therefore, North Korea thoroughly controled and supervised the learning objectives, the learning contents, the learning evaluation and the management of curriculum.2 The curriculum of high school physical education in North priority to its popularization and contributes toward building up the sport for life.3. North Korea recognized the necessity and the importance of the physical education. As for, Labor Party and the Government achieved expansion and purchase the physical education of the equipment and the improvement in rewarding system for the physical education of teacher.4. The training of the athletes was held after school in the sports center administered by the Labor Party.

데이타마이닝 기법을 이용한 경보데이타 분석기 구현

신문선(Moon Sun Shin),김은희(Eun Hee Kim),문호성(Ho Sung Moon),류근호(Keun Ho Ryu),김기영(Ki Young Kim) 한국정보과학회 2004 정보과학회논문지 : 데이타베이스 Vol.31 No.1

최근 네트워크 구성이 복잡해짐에 따라 정책기반의 네트워크 관리기술에 대한 필요성이 증가하고 있으며, 특히 네트워크 보안관리를 위한 새로운 패러다임으로 정책기반의 네트워크 관리 기술이 도입되고 있다. 보안정책 서버는 새로운 정책을 입력하거나 기존의 정책을 수정, 삭제하는 기능과 보안정책 결정 요구 발생시 정책결정을 수행하여야 하는데 이를 위해서는 보안정책 실행시스템에서 보내온 경보 메시지에 대한 분석 및 관리가 필요하다. 따라서 이 논문에서는 정책기반 네트워크 보안관리 프레임워크의 구조 중에서 보안정책 서버의 효율적인 보안정책 수립 및 수행을 지원하기 위한 경보데이타 분석기를 설계하고 구현한다. 경보 데이타 저장과 분석을 위해서 데이타베이스 스키마를 설계하고 저장된 경보데이타를 분석하는 모듈을 구현하며 경보데이타 마이닝 엔진을 구현하여 경보데이타를 효율적으로 분석하고 이를 통해 경보들의 새로운 유사패턴그룹이나 공격시퀀스를 유추하여 능동적인 보안정책관리를 지원할 수 있도록 한다. As network systems are developed rapidly and network architectures are more complex than before, it needs to use PBNM(Policy-Based Network Management) in network system. Generally, architecture of the PBNM consists of two hierarchical layers: management layer and enforcement layer. A security policy server in the management layer should be able to generate new policy, delete, update the existing policy and decide the policy when security policy is requested. And the security policy server should be able to analyze and manage the alert messages received from policy enforcement system in the enforcement layer for the available information. In this paper, we propose an alert analyzer using data mining. First, in the framework of the policy-based network security management, we design and implement an alert analyzer that analyzes alert data stored in DBMS. The alert analyzer is a helpful system to manage the fault users or hosts. Second, we implement a data mining system for analyzing alert data. The implemented mining system can support alert analyzer and the high level analyzer efficiently for the security policy management. Finally, the proposed system is evaluated with performance parameter, and is able to find out new alert sequences and similar alert patterns.

침입탐지시스템의 경보데이터 분석을 위한 데이터 마이닝 프레임워크

신문선(Shin, Moon-Sun) 한국산학기술학회 2011 한국산학기술학회논문지 Vol.12 No.1

이 논문에서는 침입 탐지시스템의 체계적인 경보데이터관리 및 경보데이터 상관관계 분석을 위하여 데이터 마이닝 기법을 적용한 경보 데이터 마이닝 프레임워크를 제안한다. 적용된 마이닝 기법은 속성기반 연관규칙, 속성기 반 빈발에피소드, 오경보 분류, 그리고 순서기반 클러스터링이다. 이들 구성요소들은 각각 대량의 경보 데이터들로부 터 알려지지 않은 패턴을 탐사하여 공격시나리오를 유추하거나, 공격 순서를 예측하는 것이 가능하며, 데이터의 그룹 화를 통해 고수준의 의미를 추출할 수 있게 해준다. 실험 및 평가를 위하여 제안된 경보데이터 마이닝 프레임워크의 프로토타입을 구축하였으며 프레임워크의 기능을 검증하였다. 이 논문에서 제안한 경보 데이터 마이닝 프레임워크는 기존의 경보데이터 상관관계분석에서는 해결하지 못했던 통합적인 경보 상관관계 분석 기능을 수행할 뿐만 아니라 대량의 경보데이터에 대한 필터링을 수행하는 장점을 가진다. 또한 추출된 규칙 및 공격시나리오는 침입탐지시스템 의 실시간 대응에 활용될 수 있다. In this paper, we proposed a data mining framework for the management of alerts in order to improve the performance of the intrusion detection systems. The proposed alert data mining framework performs alert correlation analysis by using mining tasks such as axis-based association rule, axis-based frequent episodes and order-based clustering. It also provides the capability of classify false alarms in order to reduce false alarms. We also analyzed the characteristics of the proposed system through the implementation and evaluation of the proposed system. The proposed alert data mining framework performs not only the alert correlation analysis but also the false alarm classification. The alert data mining framework can find out the unknown patterns of the alerts. It also can be applied to predict attacks in progress and to understand logical steps and strategies behind series of attacks using sequences of clusters and to classify false alerts from intrusion detection system. The final rules that were generated by alert data mining framework can be used to the real time response of the intrusion detection system.