다층 퍼셉트론을 이용한 ATM 망에서의 연결수락제어

강구홍(Koohong Kang),김치하(Cheeha Kim) 한국정보과학회 1996 정보과학회논문지 : 시스템 및 이론 Vol.23 No.12

본 논문에서는 비동기식 전송모드(ATM. Asynchronous Transfer Mode) 망에서 트래픽 특성이 서로 다른 이질(heterogeneous)호원에 대한 연결수락제어(CAC: Connection Admission Control)를 위해 신경망(neural network)을 이용한 방법을 제안한다. 이를 위해 먼저 트래픽 특성이 동일한 호원들을 하나의 트래픽 클래스로 정의하고, 신경망의 입력 변수로는 ATM 노드의 출력 링크에 정규화된 평균부하로 표현되는 이를 트래픽 클래스의 호원수를 사용한다. 또한 서비스 품질(QoS: Quality of Service)에 근거한 연결 수락/거절의 결정값을 신경망의 출력 변수로 사용하는 오류 역전파(error back-propagation)를 이용한 다층 퍼셉트론(multi-layer perceptron) 신경망 모델을 사용한다. 한편 신경망 성능에 영향을 미치는 확률변수로서 정의되는 QoS 파라미터에 대한 효과적인 측정 및 관리와 제어/관측/학습으로 이루어지는 신경망 제어과정을 논한다. 특히 정확한 연결수락 경계치를 빠른 시간 내에 학습하고 유한한 학습 패턴 테이블을 효율적으로 사용하기 위한 비균등 패턴 테이블 영역 할당방법을 제시한다. 제안된 변경 제어기의 타당성 및 성능을 분석하기 위해 시뮬레이션을 수행하였으며 ATM망의 실질적인 입력 호원들을 사용하기 위해 버스티(bursty) 특성을 잘 표현하는 ON-OFF 호원 모델과 화상원을 잘 표현하는 AR(auto-regressive) 모델을 사용하였다. In this paper, we propose a connection admission control(CAC) scheme for asynchronous transfer mode(ATM) networks using a neural network to support heterogeneous traffic sources. We classify the traffic sources into traffic classes based on their traffic characteristics. The number of connections of each traffic class, which is represented by the ratio of the mean offered load to the output link capacity of the ATM node, is used for the corresponding input of the neural network. The proposed CAC uses the multi-layer perceptron (feed-forward neural network) with error back-propagation for learning the relation between the number of connections and the decision value based on service qualities of each traffic class. We discuss the control procedure that consists of control, measurement, and learning phases. We also present the efficient method to measure and manage the QoSs of each traffic class which are most represented in probabilistic metrics. Moreover we present new approach to handle a training pattern storage called the "non-equal pattern table allocation method" which increases the correctness of decision function in a short tenn and the effective usage of the finite learning pattern table The performance of the proposed controller is evaluated by simulation using both the ON-OFF source model which represents the bursty and correlation traffic sources and the auto-regressive model for video traffic.

BGP 밸리-프리 라우팅 정책에 기반한 국내 AS 레벨 인터넷 토폴로지의 파워-로 지수

강구홍 ( Koohong Kang ) 한국인터넷정보학회 2010 인터넷정보학회논문지 Vol.11 No.4

Faloutsos et al.[1,2]은 파워-로(power-law)를 이용해 노드 차수와 같은 Autonomous System (AS) 레벨 인터넷 토폴로지 특성의 중꼬리(heavy-tailed) 분포를 성공적으로 나타내었다. 이러한 결과는 파워-로 지수(exponents)를 이용해 이들 인터넷 토폴로지 특성을 간단 명료하게 나타낼 수 있게 한다. 본 논문에서는 BGP 밸리-프리 라우팅 정책에 기반한 국내 AS 레벨 인터넷 토폴로지 속성 - 노드 차수, 홉 수에 따른 노드 쌍의 수, 그리고 그래프의 고유치 - 의 파워-로 지수를 조사하였다. UCLA IRL연구실이 제공하는 실제 AS 레벨 데이터 셋을 이용하였으며 이들 파워-로 근사는 상관계수(correlation coefficient)가 각각90.7%, 96.5%, 그리고 97%로 조사되었다. 특히, 실질적인 AS 레벨 토폴로지 직경이 3홉 이내에 존재하는 AS 노드 쌍이 전체91% 이상이며, 따라서 국내 AS 레벨 토폴로지가 비교적 잘 정리된 것으로 판단된다. Faloustsos et al.[1,2] showed successfully that the power-laws describe the heavy-tailed distributions of the AS level Internet topology properties such as node degree. This result allows us to represent the characteristics of AS-level Internet topology using some power-law exponents with elegant and simple. In this paper, we obtained the power-law exponents of the domestic AS-level Internet topology properties - the node degree, the number of pairs within hops, and eigenvalues of the graph - based on the valley-free BGP routing policy. We used the real data sets from UCLA IRL laboratory, and showed that these power-laws fit the real data pretty well resulting in correlation coefficient of 90.7%, 96.5%, and 97%, respectively. In particular, rounding the effective diameter to three, approximately 91% of the pairs of nodes are within this distance; that is, we might conclude our topology is pretty well organized.

봇 넷 트래픽 식별을 위한 스택구조 딥러닝 접근 방식

강구홍(Koohong Kang) 한국컴퓨터정보학회 2021 韓國컴퓨터情報學會論文誌 Vol.26 No.12

봇 넷의 악의적인 행위는 인터넷 서비스 제공자뿐만 아니라 기업, 정부, 그리고 심지어 가정의 일반 사용자에 이르기까지 엄청난 경제적 손실을 끼치고 있다. 본 논문에서는 CTU-13 봇 넷 트래픽 데이터 셋을 사용하여 딥러닝 모델 Convolutional Neural Network(CNN)을 적용한 봇 넷 트래픽 검출에 대한 가능성을 확인하고자한다. 특히 알려진 봇 넷과 알려지지 않은 봇 넷 트래픽에 대해 C&C 서버를 검출하기 위한 봇과 C&C 서버 사이 트래픽, 봇을 검출하기 위한 C&C 통신 이외에 봇이 발생하는 트래픽, 그리고 정상 트래픽을 분류하는 멀티클래스 분류(multi-class classification)를 시도하였다. 성능검증을 위한 지표는 정확도, 정밀도, 재현율, 그리고 F1 점수를 제시하였다. 한편 확장성과 운영을 고려하여 봇 넷 타입 별로 모듈을 적재할 수 있는 스택구조의 봇 넷 검출 시스템을 제안함으로써 실제 네트워크의 적용 가능성을 제시하였다. Malicious activities of Botnets are responsible for huge financial losses to Internet Service Providers, companies, governments and even home users. In this paper, we try to confirm the possibility of detecting botnet traffic by applying the deep learning model Convolutional Neural Network (CNN) using the CTU-13 botnet traffic dataset. In particular, we classify three classes, such as the C&C traffic between bots and C&C servers to detect C&C servers, traffic generated by bots other than C&C communication to detect bots, and normal traffic. Performance metrics were presented by accuracy, precision, recall, and F1 score on classifying both known and unknown botnet traffic. Moreover, we propose a stackable botnet detection system that can load modules for each botnet type considering scalability and operability on the real field.

컴퓨터 보안 강화를 위한 WOL(Wake On LAN) 기능 구현 전략

강구홍(Koohong Kang),경규열(Gyuyeol Gyeong) 한국컴퓨터정보학회 2014 한국컴퓨터정보학회 학술발표논문집 Vol.22 No.2

계층분석과정을 이용한 융합보안을 위한 물리 보안 이벤트 활용

강구홍(Koohong Kang),강동호(Dongho Kang),나중찬(Jung Chan Nah),김익균(Ikkyun Kim) 한국정보보호학회 2012 정보보호학회논문지 Vol.22 No.3

최근 물리보안과 정보보안으로 양분화 되어 있는 영역자체가 융합되고 있는 추세이며, 이러한 융합이 중심에 있는 것이 융합보안관제이다. 그러나 이러한 추세에도 불구하고, 융합보안을 위한 이들 두 영역의 보안 이벤트를 어떻게 활용할 것인지에 관한 구체적인 솔루션은 찾아볼 수 없다. 본 논문에서는 물리 보안 이벤트를 활용하여 정보 보안의 효율을 향상시킬 수 있는 정보보안 오브젝트-기반 접근법을 제안한다. 또한, 계층분석과정(Analytic Hierarchy Process)을 이용하여 확장성을 고려한 많은 양의 물리 보아나 이벤트의 의미 있는 이벤트 조합을 찾는 체계적인 방법을 제안한다. 특히, 출입통제시스템과 영상감시 시스템에서 발생되는 물리보안 이벤트를 이용해 컴퓨팅 시스템 접근 정보보안 효율성 향상을 위하 ㄴ구체적인 실현 과정을 기술하였다. Today’s security initiatives tend to integrate the physical and information securities which have been run by completely separate departments. That is, the converged security management becomes the core in the security market trend. However, to the best of our knowledge, we cannot find any solutions how to combine these two security events for the converged security. In this paper, we propose an information security object-driven approach which utilizes the physical security events to enhance and improve the information security. For scalability, we also present a systematic method using the analytic hierarchy process finding the meaningful event combinations among the large number of physical security events. In particular, we show the whole implementation processes in detail where we consider the information security object ‘illegal computing system access’ combined with two physical security devices ? access controller and CCTV+video analyzer system.

비지도학습 오토 엔코더를 활용한 네트워크 이상 검출 기술

강구홍(Koohong Kang) 한국정보보호학회 2020 정보보호학회논문지 Vol.30 No.4

인터넷 컴퓨팅 환경의 변화, 새로운 서비스 출현, 그리고 지능화되어 가는 해커들의 다양한 공격으로 인한 규칙 기반 침입탐지시스템의 한계점을 극복하기 위해 기계학습 및 딥러닝 기술을 활용한 네트워크 이상 검출(NAD: Network Anomaly Detection)에 대한 관심이 집중되고 있다. NAD를 위한 대부분의 기존 기계학습 및 딥러닝 기술은 ‘정상’과 ‘공격’으로 레이블링된 훈련용 데이터 셋을 학습하는 지도학습 방법을 사용한다. 본 논문에서는 공격의 징후가 없는 일상의 네트워크에서 수집할 수 있는 레이블링이 필요 없는 데이터 셋을 이용하는 비지도학습 오토 엔코더(AE: AutoEncoder)를 활용한 NAD 적용 가능성을 제시한다. AE 성능을 검증하기 위해 NSL-KDD 훈련 및 시험 데이터 셋을 사용해 정확도, 정밀도, 재현율, f1-점수, 그리고 ROC AUC (Receiver Operating Characteristic Area Under Curve) 값을 보인다. 특히 이들 성능지표를 대상으로 AE의 층수, 규제 강도, 그리고 디노이징 효과 등을 분석하여 레퍼런스 모델을 제시하였다. AE의 훈련 데이터 셋에 대한 재생오류 82-th 백분위 수를 기준 값으로 KDDTest+와 KDDTest-21 시험 데이터 셋에 대해 90.4%와 89% f1-점수를 각각 보였다. In order to overcome the limitations of the rule-based intrusion detection system due to changes in Internet computing environments, the emergence of new services, and creativity of attackers, network anomaly detection (NAD) using machine learning and deep learning technologies has received much attention. Most of these existing machine learning and deep learning technologies for NAD use supervised learning methods to learn a set of training data set labeled ‘normal’ and ‘attack’. This paper presents the feasibility of the unsupervised learning AutoEncoder(AE) to NAD from data sets collecting of secured network traffic without labeled responses. To verify the performance of the proposed AE mode, we present the experimental results in terms of accuracy, precision, recall, f1-score, and ROC AUC value on the NSL-KDD training and test data sets. In particular, we model a reference AE through the deep analysis of diverse AEs varying hyper-parameters such as the number of layers as well as considering the regularization and denoising effects. The reference model shows the f1-scores 90.4% and 89% of binary classification on the KDDTest+ and KDDTest-21 test data sets based on the threshold of the 82-th percentile of the AE reconstruction error of the training data set.

대용량 ATM 스위치를 위한 2단 구조

강구홍(Koohong Kang),이정희(Junghee Lee),박권철(Kwonchul Park) 대한전자공학회 1992 대한전자공학회 학술대회 Vol.1992 No.6

넷플로우-타임윈도우 기반 봇넷 검출을 위한 오토엔코더 실험적 재고찰

강구홍(Koohong Kang) 한국정보보호학회 2023 정보보호학회논문지 Vol.33 No.4

공격 양상이 더욱 지능화되고 다양해진 봇넷은 오늘날 가장 심각한 사이버 보안 위협 중 하나로 인식된다. 본 논문은 UGR과 CTU-13 데이터 셋을 대상으로 반지도 학습 딥러닝 모델인 오토엔코더를 활용한 봇넷 검출 실험결과를 재검토한다. 오토엔코더의 입력벡터를 준비하기 위해, 발신지 IP 주소를 기준으로 넷플로우 레코드를 슬라이딩 윈도우 기반으로 그룹화하고 이들을 중첩하여 트래픽 속성을 추출한 데이터 포인트를 생성하였다. 특히, 본 논문에서는 동일한 흐름-차수(flow-degree)를 가진 데이터 포인트 수가 이들 데이터 포인트에 중첩된 넷플로우 레코드 수에 비례하는 멱법칙(power-law) 특징을 발견하고 실제 데이터 셋을 대상으로 97% 이상의 상관계수를 제공하는 것으로 조사되었다. 또한 이러한 멱법칙 성질은 오토엔코더의 학습에 중요한 영향을 미치고 결과적으로 봇넷 검출 성능에 영향을 주게 된다. 한편 수신자조작특성(ROC)의 곡선아래면적(AUC) 값을 사용해 오토엔코더의 성능을 검증하였다. Botnets, whose attack patterns are becoming more sophisticated and diverse, are recognized as one of the most serious cybersecurity threats today. This paper revisits the experimental results of botnet detection using autoencoder, a semi-supervised deep learning model, for UGR and CTU-13 data sets. To prepare the input vectors of autoencoder, we create data points by grouping the NetFlow records into sliding windows based on source IP address and aggregating them to form features. In particular, we discover a simple power-law; that is the number of data points that have some flow-degree is proportional to the number of NetFlow records aggregated in them. Moreover, we show that our power-law fits the real data very well resulting in correlation coefficients of 97% or higher. We also show that this power-law has an impact on the learning of autoencoder and, as a result, influences the performance of botnet detection. Furthermore, we evaluate the performance of autoencoder using the area under the Receiver Operating Characteristic (ROC) curve.

고속 망에 적합한 네트워크 프로세서 기반 인 - 라인 모드 침입탐지 시스템

강구홍(Koohong Kang),김익균(Ikkyun Kim),장종수(Jongsu Jang) 한국정보과학회 2004 정보과학회논문지 : 정보통신 Vol.31 No.4

본 논문은 ASIC에 상응하는 성능을 가지며 일반 프로세서에 상응하는 유연성을 지닌 네트워크 프로세서(NP: Network Processor)를 사용하여 인-라인 모드 네트워크 기반 침입탐지시스템(NIDS:Network-based Intrusion Detection System)을 제안한다. NP를 이용한 다양한 네트워크 응용들이 제안되고 있으나, NIDS에 직접 적용한 예는 아직 없다. 제안된 NIDS는 패킷 차단과 트래픽 미터링 뿐만 아니라 공격을 검출하기 위해 패킷 내용을 검색한다. 특히, 2-레벨 탐색 기법은 패킷 차단과 트래픽 미터링 기능을 복잡하고 많은 시간을 요하는 패킷 내용 검색 기능과 분리시킴으로서 인-라인 모드 시스템의 성능, 안전성, 그리고 확장성을 향상시켰다. 한편 PC 플랫폼과 Agere PayloadPlus (APP) 2.5G NP를 사용한 프로토-타입을 구현하였고, APP NP에 적용될 패킷 내용 검색 알고리즘을 제안하였다. In this paper, we propose an in-line mode NIDS using network processors(NPs) that achieve performance comparable to ASIC and flexibility comparable to general-purpose processors. Even if many networking applications using NPs have been proposed, we cannot find any NP applications to NIDS in the literature. The proposed NIDS supports packet payload inspection detecting attacks, as well as packet filtering and traffic metering. In particular, we separate the filtering and metering functions from the complicated and time-consuming operations of the deep packet inspection function using two-level searching scheme, thus we can improve the performance, stability, and scalability of In-line mode system. We also implement a proto-type based on a PC platform and the Agere PayloadPlus (APP) 2.5G NP solution, and present a payload inspection algorithm to apply APP NP.

ATM 망에서 이질호원을 위한 연결수락제어 기법

강구홍(Koohong Kang),윤용석(Yongseok Yoon),김치하(Cheeha Kim) 한국정보과학회 1996 정보과학회논문지 : 시스템 및 이론 Vol.23 No.6

비동기식전송모드(ATM : Asynchronous Transfer Mode) 망에서의 연결수락제어(CAC : Connection Admission Control)는 과잉밀집(congestion)을 예방할 뿐만아니라 트래픽 특성이 서로 다른 이질(heterogeneous) 호원들이 요구하는 다양한 서비스품질(QoS : Quality of Service)을 보장할 수 있어야 한다. 그러나 대부분 기존 CAC 기법들은 이러한 서로 다른 QoS 보장을 다루지 않고 있다. 따라서 본 논문에서 제안되는 새로운 CAC 기법은 이러한 문제점을 해결하는데 중점을 둔다. 제안된 CAC는 입력 트래픽 원들을 트래픽 기술자 및 요구하는 셀손실률에 따라 트래픽 클래스로 구분하고 실시간 계산이 가능한 가상 대역폭 (virtual bandwidth) 개념을 사용해 각 트래픽 클래스별 서브 큐잉시스템들을 형성한다. 즉 하나의 큐잉 시스템을 복수의 서브 큐잉시스템으로 나누어 각 트래픽 클래스를 개별적으로 처리함으로써 서로 다른 셀 손실률을 쉽게 지원할 수 있게 된다. 한편 하나의 서브 큐잉시스템은 MMPP/CD/1/K 큐잉시스템 분석을 통해 보다 정확한 셀손실률 계산이 가능하며 따라서 가상 대역폭에 의해 망자원이 과대평가(overestimation)되어 형성된 각서브 큐잉시스템에 보다 정확한 연결 가능한 호원의 수를 결정할 수 있다. 특히 분할된 서브 큐잉시스템들의 전체 이용율(utilization)을 높이기 위해 서브 큐잉시스템들 간 공유(sharable)상태를 정의하였고 이와같은 개념은 시스템의 성능을 저하시키지 않으면서 연결 호원의 수를 증가시키는 효과를 가져다 준다. 제안된 기법은 특히 ATM 망이 요구하는 실시간 계산이 가능하며, 제안된 기법의 수학적 분석 결과를 시뮬레이션 결과와 비교 분석함으로써 제안된 CAC 기법의 정확성 및 타당성을 검증하였다. The connection admission control(CAC) for the asynchronous transfer mode(ATM) networks should not only prevent congestion but also provide multiple quality of services(QoSs) required by each class of traffic in heterogeneous traffic environment Most schemes proposed in the literature ignore multiple QoS requirements. In this paper, we propose a CAC scheme which supports multiple cell loss requirements. Our scheme is based on the approach which determines the virtual bandwidth for each class of traffic and decomposes the system into multiple sub-queueing systems, one for each class. And the steady-state analysis of the MMPP/CD/l/K queue gives the exact cell loss probability of each sub-queueing system and estimates more accurate the number of connections to accomodate to each of them. Moreover, in order to improve the bandwidth utilization of the segregated sub-queueing systems, we take into account the sharable state among them. The concept of sharable state enables to increase the number of calls to admit without deteriorating the system performance. Our approach is computable in real time. Final1y, we verify the analytic results with simulation.