Masqueraders who impersonate other users pose serious threat to computer security. Unfortunately, firewalls or misuse-based intrusion detection systems are generally ineffective in masquerade detection. Although anomaly detection techniques have long been considered an effective approach to complement misuse detection techniques, they are not widely used in practice due to poor accuracy and relatively high degree of false alarms. In this paper, we performed an empirical study investigating the effectiveness of Sup-port Vector Machine (SVM) in detecting masquerade activities using two different UNIX command sets. Concept of "common commands" was introduced as a feature to more effectively reflect diverse command patterns exhibited by various users. Though still imperfect, we detected masqueraders 80.1% and 94.8% of the time, while the previous studies reported the accuracy of 69.3% and 62.8%, respectively, using the same data set containing only the command names. When command names and arguments were included in the experiment, SVM-based approach detected masqueraders 87.3% of the time while the previous study, using the same data set, reported 82.1% of accuracy. These combined experiments convincingly demonstrates that SVM is an effective approach to masquerade detection. As most sites, including those in military and intelligence domains, inevitably use Web and Web browsers to conduct their core business, ability to detect masqueraders in the Web environment is badly needed. We reports our experiments on masquerade detection based on Web sever logs collected from the KAIST Portal System, using SVM. When each Web server log entry was examined separately using per-request features such as IP and requested methods, almost all of masquerade activities were accurately detected, while false alarm rate remained very low at 3%. In spite of seemingly high performance, further analysis exhibited that IP is the only information that can be utilized and that all other per-request features are useless for masquerade detection. Relying entirely on IP can results in a high false alarm rate in an environment where DHCP and static IP are used together, and we need a method to profile a user's usage pattern based on other information. We propose to use session features instead of per-request features in masquerade detection system. The profiles based on session features showed better performance in the experiments. Furthermore, session features other than IP can complement IP in reducing false alarm rate, up to 2/3 in our simulated experiments.

다른 사용자를 사칭하는 신분위장기법은 컴퓨터 보안에 있어서 치명적인 위협분야로 등장하고 있다. 방화벽 (firewall)이나 오용탐지기반의 침입탐지시스템 (misuse detection IDS)은 본질적인 특성으로 인하여 신분위장기법을 탐지하는데 효과적이지 않다. 오용탐지기법 (misuse detection system)을 보완하기 위하여 이상탐지기법 (anomaly detection system)이 제안되었지만 상대적으로 낮은 탐지율과 높은 허위경보로 인하여 실제 사용에 있어서는 제한적이다. 이 연구에서는, Support Vector Machine (SVM)의 신분위장기법 탐지 효용성을 연구하기 위하여 기존의 연구에서 사용된 UNIX 명령어를 사용하여 실험하였다. ``공통명령어''의 개념을 특성 (feature)에 도입하고, 중첩 슬라이딩 윈도우 (overlapping sliding window)를 사용하여 다양한 사용자의 명령어 사용 패턴을 사용자의 프로파일에 더 효과적으로 반영할 수 있었다. 동일한 데이터를 사용하여 실험한 결과, 명령어의 이름만 사용한 경우, 기존의 실험결과인 69.3%, 62.8%에 대하여 각각 80.1%과 94.8%까지 탐지율을 향상시킬 수 있었다. 명령어의 이름과 인자 (arguments)를 함께 사용한 경우의 실험에서는, SVM 기반의 신분위장 탐지기법이 기존의 탐지율 82.1%를 87.3%까지 향상시킬 수 있었다. 이 실험을 통하여 SVM이 신분위장기법 탐지를 위한 효과적인 방법임을 입증할 수 있었다. 군사나 정보영역을 포함한 대부분의 사이트들에서는 웹을 통하여 그들의 핵심적인 기능을 수행하거나 제공하고 있다. 웹은 개방적인 서비스를 제공하는 원칙에서 만들어 졌으며, 이러한 기본적인 속성은 웹 환경에서의 신분위장기법탐지 능력을 절실하게 요구하고 있다. 우리는 KAIST 포탈시스템에서 획득한 웹 서버 로그를 사용하여 신분위장기법 탐지 실험을 하였다. IP나 메쏘드 (method) 등과 같이 각각의 단위 요청에서 얻어지는 요청단위특성 (per-request features)을 사용한 경우 약 3%대의 허위경보 수준에서 거의 모든 신분위장행위가 탐지 되었다. 이러한 높은 성능에도 불구하고, 특성순위연구 (feature ranking analysis)등을 통하여 분석한 결과 요청단위특성에서 이용되는 정보는 IP에 매우 의존적이었다. 동적 호스트 구성 프로토콜 (DHCP)와 정적 IP가 동시에 사용되는 환경에서 IP에 의존적인 경우 매우 높은 허위경보가 발생하게 되므로 다른 정보에 기초한 사용자의 사용 패턴을 만들기 위한 방법이 필요하였다. 이를 위하여 세션특성이 요청단위특성을 대신하여 제안되었고 이 결과 생성된 세션특성에 기초한 프로파일은 훨씬 좋은 성능을 보여준다. 더욱이 IP를 제외한 세션특성을 이용하여 IP에 의하여 발생되는 허위 경보의 수준을 약 2/3가량 줄일 수 있었다.