자기 조직화 지도(SOM)를 이용한 실시간 침입 탐지 메커니즘

Abstract

네트워크 기반의 공격은 그 위험성과 피해의 규모가 크기 때문에 공격 초기에 빨리 탐지하는 것이 중요하다. 그러나 네트워크상의 비정상 트래픽을 탐지하는 것은 방대한 양의 데이터 전처리와 관리자의 분석이 요구된다. 또한 이러한 관리자의 분석이 정확하다는 보장이 없을 뿐만 아니라 각 네트워크의 실시간 특성을 고려해야하기 때문에 탐지의 어려움이 크다. 본 논문에서는 실시간 탐지와 학습이 가능하도록 자기 조직화 지도(SOM: Self-Organizing Maps)를 이용한 탐지 메커니즘을 제안한다. 이 방법은 사전에 별도의 관리자 분석이 필요 없이 기존에 수집되어 있는 데이터를 사용하여 초기 한 번의 학습을 통해 U-matrix 맵(map)을 형성시켜주면, 그 이후에는 실시간 탐지와 동시에 맵의 점진적 갱신(update)이 가능하다는 점에서 장점을 가진다. 이 논문에서 제안하는 탐지 기법 모델은 세 단계로 이루어진다. 첫 번째 단계는 탐지에 앞서 초기 학습이 이루어지는 단계로 비지도 학습의 방법으로 성격이 비슷한 트래픽끼리 클러스터링한 맵을 생성시킨다. 두 번째 단계는 맵의 각 클러스터가 어떤 종류의 트래픽을 나타내는지, 즉 정상 클러스터인지 비정상 클러스터인지 구분하기 위해 각 공격별로 추출된 규칙(rule)을 적용하여 맵 레이블링을 한다. 이 규칙은 지도 학습을 통한 규칙 기반의 방법으로, 각 데이터 항목마다 SOM을 이용한 속성별 맵의 상관관계(correlation) 분석을 통해 생성되었다. 마지막으로 레이블링된 맵을 이용하여 실시간 탐지와 함께 점진적 학습이 이루어지게 된다. 본 논문에서 제안한 SOM을 이용한 침입 탐지 메커니즘은 비지도 학습(unsupervised learning)과 지도 학습(supervised learning)의 결합된 방법으로 전체적으로는 비지도 학습을 사용하지만 비지도 학습만 사용할 때의 문제점을 지도 학습으로 일부 보완하였다. 비지도 학습의 공격 탐지 메커니즘은 지도 학습의 공격 탐지 메커니즘에 비해 다음과 같은 특징을 갖는다. 먼저 관리자가 많은 시간을 투자하여 학습에 필요한 데이터를 분석하지 않아도 되며 실시간 학습 및 탐지가 가능하고, 알려지지 않은 새로운 공격이 발생하여도 그 중 가장 유사한 성격의 클러스터와 일치시키므로 정상과 비정상 트래픽으로 분류가 가능하다. 그러나 데이터에 대해 어떠한 정보도 주지 않기 때문에 결과 해석의 어려움을 가지고 있다. 여러 실험을 통하여 비지도 학습을 이용한 탐지 기법의 성능이 우수한 것으로 나타났고 이를 이용한 탐지 메커니즘을 제안하였다.;Network based attack is extensive in the real state of damage. So, it's very important to detect the intrusion quickly at the beginning ,and especially in the network scale this work needs either preprocessing enormous data or manager's analysis. However it has two difficulties to detect abnormal traffic that the manager's analysis might be incorrect and would miss the exact timing. In this paper we propose a real-time intrusion detection mechanism typically using data mining of SOM(Self-Organiging Map). The mechanism has an advantage in simplification of second managing. With this mechanism if U-matrix Map is prepared it is possible to detect the intrusion at that time and to evaluate the map gradually just using the data collected before, no need another analysis. There are three steps. First, with unsupervised learning build a map cluster composed of similar traffic. Second, label each map cluster in the view of normality. In this step there's a rule which is created through the correlation analysis with SOM. At last, the mechanism would process real-time detecting and updating gradually. The detecting mechanism proposed in this paper include either unsupervised learning or supervised learning. But mainly it uses the former, supervised learning is an assistant method. Examining the two ways, the way with unsupervised learning saves time consuming and makes the real time detection possible and also catch any type of abnormal traffic, even though it's a new type attack, base on comparing with the previous cluster type. However there's a difficulty in read the result data since this system gives no tip about data. During a lot of experiments it has proved that the way with the unsupervised learning has good performance and we use it to propose the mechanism.