The advanced computer network technology enables connectivity of computers through an open network environment. There has been growing numbers of security threat to the networks. This prompted an emerging market of companies to develop and deploy new intrusion detection technologies. However, most of existing intrusion detection systems identify security attacks mainly through the misuse detection method by using a set of rules based on the historical hacking patterns. This pure pattern matching methodology has high rate of false positive errors, and cannot detect new hacking patterns. In other words, it is vulnerable to previously unidentified attack patterns and variations of attacks result in increasing the false negative error rate. Therefore, the concern of more delicate and malicious intrusions into the open network environments remains very high and increases the urgency for a more advanced intrusion detection systems. In this research, we propose a Hybrid Intrusion Detection Systems (HIDS) that can detect intrusion through the misuse detection method adopting the inductive learning (or case-based reasoning) and anomaly detection method adopting artificial neural network. As a first step of detection, the misuse detection method using inductive learning and case-based reasoning can filter out the attacks that resemble previously identified intrusion in the current Intrusion Detection Systems. As a second step of detection, the anomaly detection method handles all attacks that initially passed the misuse detection method step. The anomaly detection is designed using a sophisticated neural network model to achieve a high detection rate. Detection performance is increased significantly through the two steps of approaches just described along with the advanced schemes we developed. We validated the proposed model using a real set of data aggregated from Cyber-PATROL Inc. in Korea. This research also investigates the asymmetric costs of false positive and negative errors to enhance the IDS performance. The proposed method utilizes the neural network model to consider the cost ratio of false negative errors to false positive errors. Compared with false positive errors, false negative errors incur a greater loss to organizations which are connected to the systems by networks. This method is designed to accomplish both security and system performance objectives. The results of our empirical experiment show that the neural network model provides high accuracy in intrusion detection. In addition, the simulation results show that the effectiveness of intrusion detection can be enhanced by considering the asymmetric costs of false negative and false positive errors.

컴퓨터네트워크 기술의 발전은 인터넷을 급속도로 확산시켰을 뿐만이 아니라 지구상의 모든 컴퓨터를 하나의 통신망에 연결하고 있다. 21세기는 네트웍컴퓨팅 시대이다. 네트웍에 연결되지 않은 컴퓨터는 컴퓨터 취급을 받지 못하는 시대가 도래하고 있다. 이러한 컴퓨터네트워크 기술의 발전은 우리생활에 많은 효익을 가져옴과 동시에 외부의 불법 침입자(해커)로부터 위협을 받고 있다. 불법침입자(해커)가 조직의 정보시스템이나 개인 컴퓨터에 있는 정보를 탈취, 파괴할 목적으로 네트웍을 통해 외부로부터 침입하는 것을 탐지하기 위한 컴퓨터보안기술이 날로 발전하고 있지만, 현 침입탐지시스템(IDS: Intrusion Detection Systems)은 아직 많은 취약점을 내포하고 있다. 현재 침입탐지기술은 과거에 침입했던 형태의 규칙을 데이터베이스(Rule-based) 화 구축해 놓고, 네트웍상에 이와 동일한 패턴이 나타나면 침입으로 간주하여 탐지한다. 이와 같은 현재 침입탐지기술은 침입이 아닌데도 불구하고 침입으로 오인하여 수많은 네트워크 패켓을 탐지/분석함으로서 시스템의 효율성을 저하 시킬 뿐만이 아니라 막대한 비용손실을 초래하고 있다. 현재 IDS에서 침투라고 판단한 데이타를 분석한 결과, 실제 해킹은 불과 10프로 미만이고, 90프로 이상은 정상 데이터, 즉 네트웍상에 정상적인 패캣을 해킹으로 오 분류 함으로서 보안 전문가(분석가)들이 최종 판정하는데 많은 시간과 비용을 소비하고 있다. 즉, 현 IDS는 해킹 침투를 탐지하는 성공율이 불과 10프로 미만이다. 더구나 기존에 침투했던 해킹 패턴과 약간 변종 된 패턴이나, 새로운 해킹 패턴(최신 해킹 기술)로 침입하면, 피해를 당하기 전에는 사전에 탐지할 수가 없는 치명적인 취약점을 가지고 있다. 즉, “도둑 맞고 외양간 고친다”는 식으로 해킹피해를 당한 후에야 비로소 해킹 패턴을 분석하여 보완하는 항상 뒷북만 치는 현실이다. 마이크로소프트사의 인터넷정보서버(IIS) 보고에 의하면, 1998년 부터 2001년 사이에 무려 100개 이상의 신종해킹 기술이 개발되어 위협을 하고 있는 현실이다. 날로 창의적인 최신 기술로 침투하고 있는 해커의 위협으로부터 정보를 보호하고, 현 IDS의 성능을 향상시키기 위해 최근 들어 데이터마이닝 기법을 부분적으로 적용하여 IDS 탐지기법 개선 연구가 활발하게 진행되고 있다. 본 논문에서는 데이터마이닝 기법중에서 사례기반추론(Case-Based Reasoning : CBR), 인공신경망 (Artificial Neural Network : ANN) 및 귀납적 학습방법 (Inductive Learning) 을 두 개의 침입탐지방법에 병행 적용시켜 해킹 탐지 성공율을 급격히 향상 시킬 수 있는 새로운 침입탐지시스템 모델을 제안하였다. 오용탐지방법(Misuse detection)에는 사례기반추론(CBR)과 귀납적 학습방법(Inductive Learning)을 적용시켰고, 비정상행위 탐지방법(Anomaly detection) 에는 인공신경망 (ANN) 기법을 적용 시켰다. 금융기관과 기업체등의 정보시스템에 해커가 침입하는 것을 사전에 탐지하여 대응책을 강구, 방지하는 관제업무를 담당하고 있는 사이버패트롤사로 부터 해커가 정보시스템에 침입을 시도한 데이터(Attack events)와 정상 데이터(Normal events)를 확보하였다. 확보한 데이터를 본 연구논문에서 제시한 모델로 실험한 결과, 해킹 침입시도를 탐지하는 성공율이 90프로 이상 향상되었다. 특히, 인공 신경망(NN) 의 자체 학습기능을 적용시켜 현재까지 알려지지 않은 새로운 해킹 기법까지도 추론하여 탐지함으로서 False Negative Error를 감소시킬 수 있었다. 또한 기존의 침입탐지 관련 연구가 탐지효율 향상에만 비중을 둔 것에 비해, 본 논문에서는 조직의 효율적 침입탐지와 보안정책에 부합하는 정보 보호를 위해 비용효과 측면에서 비대칭 비용(Asymmetric costs) 모델을 제안하였다. 침입이 아닌데도 침입으로 간주하여 수많은 네트웍 패킹을 분석하고, 진위를 판정하는데 과도한 인력과 비용을 낭비하여 시스템의 효율성을 저하시키는 False positive error에 비해, 실제로 침입(해킹)을 당하고도 침입사실을 인지하지 못하고 있다가 피해를 당하는 손실, 즉 False negative error의 중요성을 시뮬레이션 실험을 통해 비대칭비용(Asymmetric costs)으로 분석하였다. 각 조직에서는 보안정책(Security policy)에 적합한 임계치(Threshold)와 가중치(Weight)를 False Negative Error에 적용시킴으로서 그 조직의 정보보호를 위한 최적 비용을 산출할 수 있는 Cost Function을 제시하였고, 본 연구과정에서 100 회의 시뮬레이션을 통해 그 실효성을 검증하였다. 본 연구에서 제안한 두 번째 단계인 비정상행위 탐지기법은 아직 상용화 되지 않은 기술이며, 연구단계에 있기 때문에 본 논문에서 제안하는 인공 신경망 (ANN) 을 적용시켰을 경우에 비용 대비 효과 측면에서 세밀한 검증을 거쳐야 하며, 본 논문에서 제안한 IDS 모델은 앞으로 프로토 타입을 개발하여 효율성 분석과 아울러 지속적으로 보완, 발전시켜야 할 과제이다.