클러스터링 기법을 이용한 침입 탐지 시스템의 경보 데이터 상관관계 분석

신문선,문호성,류근호,장종수,Shin, Moon-Sun,Moon, Ho-Sung,Ryu, Keun-Ho,Jang, Jong-Su 한국정보처리학회 2003 정보처리학회논문지 C : 정보통신,정보보안 Vol.10 No.6

이 논문에서는 침입 탐지 시스템의 탐지 효율을 높이기 위해 데이터 마이닝의 클러스터링 기법을 이용하여 경보 데이터를 그룹화하고 그 결과를 이용하여 경보 데이터의 상관 관계를 분석하는 방법을 제안하였다. 즉 클러스터링 기법을 이용하여 경보데이터를 사용자가 원하는 개수의 그룹으로 분류하고, 생성된 경보 데이터 클러스터 모델을 이용하여 새로운 경보 데이터을 분류할 수 있도록 하였다. 또한, 결과 클러스터의 생성 원인이 되는 이전의 경보의 분포 데이터를 저장 관리하여 클러스터 간의 시퀀스를 생성하였고, 생성된 각각의 클러스터 시퀀스를 통합하여 클러스터들의 시퀀스를 추출하여 발생한 경보 이후의 향후 발생 가능한 경보 타입을 예측하기 위한방법을 제공하였다. 이는 과거에 탐지된 공격의 형태 뿐만 아니라 새로운 혹은 변형된 경보의 분류나 분석에도 이용 가능하다. 또한 생성된 클러스터간의 생성 원인의 분석에 의한 클러스터 간의 순차적인 관계의 추출을 통해 사용자가 공격의 순차적 구조나 탐지된 각 공격 이면에 감추어진 전략을 이해하는데 도움을 주며 현재의 경보 이후에 발생 가능한 경보들을 얘측할 수 있다. In this paper, we propose an approach to correlate alerts using a clustering analysis of data mining techniques in order to support intrusion detection system. Intrusion detection techniques are still far from perfect. Current intrusion detection systems cannot fully detect novel attacks. However, intrucsion detection techniques are still far from perfect. Current intrusion detection systems cannot fully detect novel attacks or variations of known attacks without generating a large amount of false alerts. In addition, all the current intrusion detection systems focus on low-level attacks or anomalies. Consequently, the intrusion detection systems to underatand the intrusion behind the alerts and take appropriate actions. The clustering analysis groups data objects into clusters such that objects belonging to the same cluster are similar, while those belonging to different ones are dissimilar. As using clustering technique, we can analyze alert data efficiently and extract high-level knowledgy about attacks. Namely, it is possible to classify new type of alert as well as existed. And it helps to understand logical steps and strategies behind series of attacks using sequences of clusters, and can potentially be applied to predict attacks in progress.

유비쿼터스 센서 네트워크를 위한 효율적인 시간 동기화 프로토콜 연구

신문선(Shin, Moon-Sun),정경자(Jeong, Kyeong-Ja),이명진(Lee, Myong-Jin) 한국산학기술학회 2010 한국산학기술학회논문지 Vol.11 No.3

유비쿼터스 센서 네트워크 환경은 다양한 이기종의 센서와 센서들 상호간의 통신을 통해 데이터를 수집하 고 제공하여 물리공간의 지능화된 환경을 제공한다. 이러한 상태감지를 위한 센서노드들은 싱크노드와 센서노드로 구성되는데 이기종 센서 노드들간의 시간동기화를 고려하지 않고 전체 센서네트워크의 시간 동기화가 불가능 하게 된다는 문제점이 발생한다. 이러한 이기종 센서노드들간의 시간동기화 문제를 해결하기 위해서 본 논문에서는 싱크 노드 아래의 센서노드들 중 싱크노드와 클럭소스가 같은 센서노드를 시간동기 마스터로 설정하고, 싱크노드와 다른 클럭소스를 가지는 센서노드를 마스터 아래에 속하는 시간동기 슬레이브로 설정하여 시간동기 마스터가 동작을 개시 할 때에만 시간동기 슬레이브 노드들이 동작하도록 하는 마스터 슬레이브 시간동기화 기법을 제안한다. 제안하는 마 스터-슬레이브 토폴로지 기반 시간 동기화 기법은 센서의 설치가 용이하지 않은 USN환경에서 최대 슬립타임을 유지 함으로써 센서의 전력소모를 최소화 할 수 있다. The sensor networks can be used attractively for various application areas. Time synchronization is important for any Ubiquitous Sensor Networks (USN) systems. USN makes extensive use of synchronized time in many contexts for data fusion. However existing time synchronization protocols are available only for homogeneous sensor nodes of USN. It needs to be extended or redesigned in order to apply to the USN with heterogeneous sensor nodes. Because heterogeneous sensor nodes have different clock sources with the SinkNode of USN, it is impossible to be synchronized global time. In addition, energy efficiency is one of the most significant factors to influence the design of sensor networks, as sensor nodes are limited in power, computational capacity, and memory. In this paper, we propose specific time synchronization based on master-slave topology for the global time synchronization of USN with heterogeneous sensor nodes. The time synchronization master nodes are always able to be synchronized with the SinkNode. Then time synchronization master nodes enable time synchronization slave nodes to be synchronized sleep periods. The proposed master-slave time synchronization for heterogeneous sensor nodes of USN is also helpful for power saving by maintaining maximum sleep time.

침입탐지시스템의 경보데이터 분석을 위한 데이터 마이닝 프레임워크

신문선(Shin, Moon-Sun) 한국산학기술학회 2011 한국산학기술학회논문지 Vol.12 No.1

이 논문에서는 침입 탐지시스템의 체계적인 경보데이터관리 및 경보데이터 상관관계 분석을 위하여 데이터 마이닝 기법을 적용한 경보 데이터 마이닝 프레임워크를 제안한다. 적용된 마이닝 기법은 속성기반 연관규칙, 속성기 반 빈발에피소드, 오경보 분류, 그리고 순서기반 클러스터링이다. 이들 구성요소들은 각각 대량의 경보 데이터들로부 터 알려지지 않은 패턴을 탐사하여 공격시나리오를 유추하거나, 공격 순서를 예측하는 것이 가능하며, 데이터의 그룹 화를 통해 고수준의 의미를 추출할 수 있게 해준다. 실험 및 평가를 위하여 제안된 경보데이터 마이닝 프레임워크의 프로토타입을 구축하였으며 프레임워크의 기능을 검증하였다. 이 논문에서 제안한 경보 데이터 마이닝 프레임워크는 기존의 경보데이터 상관관계분석에서는 해결하지 못했던 통합적인 경보 상관관계 분석 기능을 수행할 뿐만 아니라 대량의 경보데이터에 대한 필터링을 수행하는 장점을 가진다. 또한 추출된 규칙 및 공격시나리오는 침입탐지시스템 의 실시간 대응에 활용될 수 있다. In this paper, we proposed a data mining framework for the management of alerts in order to improve the performance of the intrusion detection systems. The proposed alert data mining framework performs alert correlation analysis by using mining tasks such as axis-based association rule, axis-based frequent episodes and order-based clustering. It also provides the capability of classify false alarms in order to reduce false alarms. We also analyzed the characteristics of the proposed system through the implementation and evaluation of the proposed system. The proposed alert data mining framework performs not only the alert correlation analysis but also the false alarm classification. The alert data mining framework can find out the unknown patterns of the alerts. It also can be applied to predict attacks in progress and to understand logical steps and strategies behind series of attacks using sequences of clusters and to classify false alerts from intrusion detection system. The final rules that were generated by alert data mining framework can be used to the real time response of the intrusion detection system.

데이타마이닝 기법을 이용한 경보데이타 분석기 구현

신문선(Moon Sun Shin),김은희(Eun Hee Kim),문호성(Ho Sung Moon),류근호(Keun Ho Ryu),김기영(Ki Young Kim) 한국정보과학회 2004 정보과학회논문지 : 데이타베이스 Vol.31 No.1

최근 네트워크 구성이 복잡해짐에 따라 정책기반의 네트워크 관리기술에 대한 필요성이 증가하고 있으며, 특히 네트워크 보안관리를 위한 새로운 패러다임으로 정책기반의 네트워크 관리 기술이 도입되고 있다. 보안정책 서버는 새로운 정책을 입력하거나 기존의 정책을 수정, 삭제하는 기능과 보안정책 결정 요구 발생시 정책결정을 수행하여야 하는데 이를 위해서는 보안정책 실행시스템에서 보내온 경보 메시지에 대한 분석 및 관리가 필요하다. 따라서 이 논문에서는 정책기반 네트워크 보안관리 프레임워크의 구조 중에서 보안정책 서버의 효율적인 보안정책 수립 및 수행을 지원하기 위한 경보데이타 분석기를 설계하고 구현한다. 경보 데이타 저장과 분석을 위해서 데이타베이스 스키마를 설계하고 저장된 경보데이타를 분석하는 모듈을 구현하며 경보데이타 마이닝 엔진을 구현하여 경보데이타를 효율적으로 분석하고 이를 통해 경보들의 새로운 유사패턴그룹이나 공격시퀀스를 유추하여 능동적인 보안정책관리를 지원할 수 있도록 한다. As network systems are developed rapidly and network architectures are more complex than before, it needs to use PBNM(Policy-Based Network Management) in network system. Generally, architecture of the PBNM consists of two hierarchical layers: management layer and enforcement layer. A security policy server in the management layer should be able to generate new policy, delete, update the existing policy and decide the policy when security policy is requested. And the security policy server should be able to analyze and manage the alert messages received from policy enforcement system in the enforcement layer for the available information. In this paper, we propose an alert analyzer using data mining. First, in the framework of the policy-based network security management, we design and implement an alert analyzer that analyzes alert data stored in DBMS. The alert analyzer is a helpful system to manage the fault users or hosts. Second, we implement a data mining system for analyzing alert data. The implemented mining system can support alert analyzer and the high level analyzer efficiently for the security policy management. Finally, the proposed system is evaluated with performance parameter, and is able to find out new alert sequences and similar alert patterns.

국제 물류 서비스 플랫폼의 정보 보호를 위한 RBAC 기반 접근제어 보안 모델

신문선 ( Moon-sun Shin ),황정희 ( Jeong-hee Hwang ),황익수 ( Ik-soo Hwang ),김현철 ( Hun-chul Kim ) 한국정보처리학회 2008 한국정보처리학회 학술대회논문집 Vol.15 No.2

RFID기반의 국제물류 서비스 플로우상에서 나타나는 보안 요구사항으로 태그 보안, 물류 보안, 인증, 접근제어 등이 있으며 특히 물류정보보안과 사용자 인증 및 접근제어를 위해서 물류정보 데이터베이스를 위한 보안모델이 필요하다. 본 논문에서는 RBAC에 기반한 강화된 접근제어 모델을 제안하며 이는 EPCglobal Network 과 같은 분산 환경의 다양한 사용자들 및 물류정보 관리에 효율적이며 보안관리에 있어 용이성을 제공할 수 있어 향후 EPC IS에 Security Module로 구현 및 적용이 가능하다.

침입탐지시스템의 성능향상을 위한 결정트리 기반 오경보 분류

신문선(Moon Sun Shin),류근호(Keun Ho Ryu) 한국정보과학회 2007 정보과학회논문지 : 데이타베이스 Vol.34 No.6

네트워크 기반의 침입탐지시스템에서는 수집된 패킷데이타의 분석을 통해 침입인지 정상행위인지를 판단하여 경보를 발생 시키며 이런 경보데이타의 양은 기하급수적으로 증가하고 있다. 보안관리자는 이러한 대량의 경보데이타들을 분석하고 통합 관리하여 네트워크 보안레벨을 진단하거나 시간에 따른 적절한 대응을 하는데 유용하게 사용하여야 한다. 그러나 오경보의 비율이 너무 높아 경보 데이타들간의 상관관계 분석이나 고수준의 의미 분석에 어려움이 많으므로 분석결과에 대한 신뢰성이나 분석의 효율성이 낮아지는 문제점을 가진다. 이 논문에서는 데이타 마이닝의 분류 기법을 적용하여 오경보율을 최소화하는 방법을 제안한다. 결정트리기반의 분류 기법을 오경보 분류 모델로 적용하여 오경보들 중 실제는 공격이 아님에도 불구하고 공격이라 판단된 오경보를 정상으로 분류할 수 있는 경보 데이타 분류 모델을 설계하고 구현한다. 구현된 경보데이타 분류 모델은 오경보율을 최소화하므로 경보데이타의 분석 및 통합을 통해 경보메시지의 축약 및 침입탐지시스템의 탐지율을 높이는데 활용될 수 있다. Network-based IDS(Intrusion Detection System) gathers network packet data and analyzes them into attack or normal. They raise alarm when possible intrusion happens. But they often output a large amount of low-level or incomplete alert information. Consequently, a large amount of incomplete alert information that can be unmanageable and also be mixed with false alerts can prevent intrusion response systems and security administrator from adequately understanding and analyzing the state of network security, and initiating appropriate response in a timely fashion. So it is important for the security administrator to reduce the redundancy of alerts, integrate and correlate security alerts, construct attack scenarios and present high-level aggregated information. False alarm rate is the ratio between the number of normal connections that are incorrectly misclassified as attacks and the total number of normal connections. In this paper we propose a false alarm classification model to reduce the false alarm rate using classification analysis of data mining techniques. The proposed model can classify the alarms from the intrusion detection systems into false alert or true attack. Our approach is useful to reduce false alerts and to improve the detection rate of network-based intrusion detection systems.

한국 프로축구 선수의 연봉산정 모델 개발

신문선 ( Moon Sun Shin ) 한국스포츠산업경영학회 2004 한국스포츠산업경영학회지 Vol.9 No.2

물류 작업 자동화를 위한 로봇 제어 정보 관리 시스템

신문선(Shin, Moon-Sun),김명식(Kim, Myung-Sic) 한국산학기술학회 2013 한국산학기술학회논문지 Vol.14 No.6

본 논문에서는 물류회사에서 수작업으로 이루어지던 물류 배달 구분 작업을 자동화하기 위한 로봇 제어 정 보 관리 시스템을 제안한다. 제안한 로봇제어 정보 관리시스템은 3D 영상인식장치로부터 소포의 가로, 세로, 높이, 집는 윗면의 형태 등 소포 형상정보와 무게, 놓여 진 위치, 부대 정보를 기록한 바코드 등의 소포 상황 정보를 넘겨 받아서 로봇 매니퓰레이터의 픽업 제어정보와 드롭 제어정보를 생성하여 로봇제어정보를 보내준다. 로봇 매니퓰레이 터는 물류 정보에 따른 픽업제어 정보와 드롭 제어정보를 넘겨받아 소포 픽업과 배달 위치에 따른 파레트에 해당 물류를 드롭 할 수 있게 된다. 제안된 물류배달을 위한 로봇 제어 정보 관리 시스템은 수작업으로 처리되었던 물류 배달 순서 구분 작업을 자동화함으로써 물류 배달에 있어 시간과 비용을 절감시키고 산업재해를 예방하는데 크게 기 여하게 될 것이다. In this paper, we propose a robot control data generation system applying context aware mechanism in order to control the robot manipulator which automatically sorts parcels. The context aware mechanism generates intelligent information to control a robot using context data such as the parcel shape, weight, location and barcodes. The proposed system collects context data of the parcel and generates robot control data to pick up and drop parcels. Then a robot manipulator, which receives control data of picking-up and dropping, processes the automated sorting of parcels according to delivery persons and delivery routes. It will contribute not only to save much time and cost but also to reduce the industrial accidents.

시퀀스 패턴 마이닝 기법을 적용한 침입탐지 시스템의 경보데이터 패턴분석

신문선(Shin, Moon-Sun) 한국산학기술학회 2010 한국산학기술학회 학술대회 Vol.- No.-

침입탐지란 컴퓨터와 네트워크 자원에 대한 유해한 침입 행동을 식별하고 대응하는 과정이다. 점차적으로 시스템에 대한 침입의 유형들이 복잡해지고 전문적으로 이루어지면서 빠르고 정확한 대응을 할 수 있는 시스템이 요구되고 있다. 이에 대용량의 데이터를 분석하여 의미 있는 정보를 추출하는 데이터 마이닝 기법을 적용하여 지능적이고 자동화된 탐지 및 경보데이터 패턴 분석에 이용할 수 있다. 본논문에서는 경보데이터 패턴 분석을 위해 시퀀스패턴기법을 적용한 경보데이터 마이닝 엔진을 구축한다.구현된 경보데이터 마이닝 시스템은 기존의 시퀀스 패턴 알고리즘인 PrefixSpan 알고리즘을 확장 구현하여 경보데이터의 빈발 경보시퀀스 분석과 빈발 공격시퀀스 분석에 활용할 수 있다.

물류서버를 위한 침입 탐지 시스템의 경보데이터 관리

신문선(Shin, Moon-Sun),이종연(Lee, Jong-Yun),노기용(No, Ki-Yong) 한국산학기술학회 2009 한국산학기술학회 학술대회 Vol.- No.-

최근 침입 탐지 시스템으로부터 생성되는 대량의 경보데이터에 대한 관리와 경보상관관계 분석 결과를 침입탐지시스템의 능동적인 대응에 활용하고자 하는 연구가 많이 시도되고 있다. 기존의 침입 탐지 시스템은 알려진 공격 형태를 탐지하는 것은 가능하지만 변형된 형태의 공격이나 새로운 형태의공격의 탐지는 어렵다. 이 논문에서는 침입 탐지시스템의 체계적인 경보데이터관리 및 경보데이터상관관계 분석을 위하여 데이터마이닝 기법을 적용한 경보 데이터 마이닝 프레임워크를 제안한다.