[논문 리뷰] Intrusion Detection A Text Mining Based Approach
이 논문은 시스템 호출을 텍스트 시퀀스로 사용하는 텍스트 마이닝 기반 침입 탐지 시스템을 제안하며, 정규 분포에서 유도된 새로운 유사도 측정법을 도입하여 이질성을 탐지한다. 이 프레임워크는 시스템 호출의 순서 분석을 통해 침입을 시사하는 이질성을 식별하며, 시스템 호출 패턴에 최적화된 맞춤형 거리 측정법을 통해 탐지 정확도를 향상시킨다.
Intrusion Detection is one of major threats for organization. The approach of intrusion detection using text processing has been one of research interests which is gaining significant importance from researchers. In text mining based approach for intrusion detection, system calls serve as source for mining and predicting possibility of intrusion or attack. When an application runs, there might be several system calls which are initiated in the background. These system calls form the strong basis and the deciding factor for intrusion detection. In this paper, we mainly discuss the approach for intrusion detection by designing a distance measure which is designed by taking into consideration the conventional Gaussian function and modified to suit the need for similarity function. A Framework for intrusion detection is also discussed as part of this research.
연구 동기 및 목표
- 시스템 호출 시퀀스에 혁신적인 텍스트 마이닝 기법을 적용하여 증가하는 사이버 침입 문제에 대응하고자 한다.
- 이상적인 시스템 호출 패턴을 탐지할 수 있도록 도메인 특화된 유사도 측정법을 설계하고자 한다.
- 시스템 호출 분석과 텍스트 마이닝을 활용한 통합 침입 탐지 프레임워크를 개발하고자 한다.
- 시스템 호출 시퀀스 비교에 정규 분포를 적응시켜 탐지 정확도를 향상시키고자 한다.
제안 방법
- 응용 프로그램 실행 중 생성되는 시스템 호출을 분석을 위한 텍스트 시퀀스로 사용한다.
- 시스템 호출 시퀀스의 특성에 맞게 정규 분포 함수를 수정하여 고유한 거리 측정법을 설계한다.
- 유사도 함수는 시스템 호출 시퀀스 간의 유사성을 평가하여 정상 행동에서의 이질성을 탐지한다.
- 프레임워크는 유사도 측정법을 전체 침입 탐지 파이프라인에 통합하여 실시간 모니터링을 지원한다.
- 시스템 호출 시퀀스를 '문서'로 간주하고, 침입 패턴 탐지에 텍스트 마이닝 기법을 적용한다.
- 기존의 서명 기반 방법으로는 탐지하기 어려운 미세한 이질성을 식별하기 위해 순서 수준의 분석을 강조한다.
실험 결과
연구 질문
- RQ1시스템 호출 시퀀스는 어떻게 효과적으로 침입 탐지에 활용할 수 있는 텍스트 데이터로 모델링될 수 있는가?
- RQ2시스템 호출 시퀀스를 비교하여 이상을 탐지하기 위한 최적의 유사도 측정법은 무엇인가?
- RQ3수정된 정규 분포 함수는 시스템 호출 분석에서 침입 탐지 정확도를 향상시킬 수 있는가?
- RQ4제안된 프레임워크는 기존 침입 탐지 방법과 비교해 탐지율과 임의 경고 수에서 어떤가?
주요 결과
- 수정된 정규 분포 함수에서 유도된 제안된 유사도 측정법은 이질적인 시스템 호출 시퀀스의 탐지 성능을 크게 향상시킨다.
- 프레임워크는 개별 시스템 호출이 아닌 순서 수준의 패턴에 집중함으로써 탐지 정확도를 향상시킨다.
- 시스템 호출 시퀀스의 맥락적 유사성을 활용함으로써 임의 경고 수를 효과적으로 줄였다.
- 맞춤형 거리 측정법을 통해 침입 시도를 높은 정밀도로 식별하는 데 성공했다.
더 나은 연구,지금 바로 시작하세요
연구 설계부터 논문 작성까지, 연구 시간을 획기적으로 줄여보세요.
카드 등록 없음 · 무료 플랜 제공
이 리뷰는 AI가 만들고, 인간 에디터가 검토했습니다.