With the growing rate of inter-connections among computer systems, reliable network communication is becoming a major challenge. In order to ensure network security, Intrusion Detection Systems (IDS) are being designed to protect the availability, confidentiality and integrity of critical networked information systems. Most current IDSs employ signature based methods and learning algorithms which rely on labeled data to train. Though this approach is highly successful in detecting occurrences of previously known attacks, these methods generally have difficulty in detecting new types of attack and training data is typically expensive. Therefore, the purpose of our anomaly detection scheme is 1) to identify important input features in building a IDS that is computationally efficient and effective and 2) to develop an unsupervised anomaly detection technique in order to learn normal and anomalous patterns from training data and generate classifiers used to detect attacks. To identify important input features, we develop a hybrid feature selection technique in which Principal Components Analysis is combined with optimized K-means clustering technique. Based on this result, we evaluate the performance of intrusion detection based on Self Organizing Map. The Experiment results with KDD Cup 1999 dataset show several advantages in terms of computational complexity and our method achieves significant detection rate which shows possibility of detecting successfully attacks.
네트워크 기술의 발전으로 거의 모든 시스템이 개방 환경에 놓이게 되면서 시스템 침입과 같은 위협이 증가하고 있으며, 이런 침입 행위를 방지하거나 탐지하기 위해 많은 종류의 침입탐지시스템이 존재하며 또 개발되고 있다. 그러나 대부분의 시스템들이 이용하고 있는 오용탐지기술은 기존의 침입 패턴에 대해서는 효과적이나 새로운 공격 패턴에 대해서는 대응하지 못하는 단점이 있다. 그러므로 점차 지능화, 고속화 되어가는 공격에 능동적으로 대응하기 위해서는 새로운 학습 방법이 필요하며, 실시간 공격 탐지를 위해 수집 트래픽 데이터의 reduction을 수행함으로써 상세 분석 대상 트래픽의 범위를 좁힐 필요가 있고, 이의 성능 및 기능성이 중요시되고 있다.
따라서 본 논문에서는 새로운 공격 패턴을 효율적으로 탐지하기 위한 비지도 학습 방법을 이용한 네트워크 이상탐지 모델을 연구한다. 먼저 실시간 공격 탐지를 위한 특성 추출 기법을 제안하고 이를 기반으로 Self Organizing Map을 이용한 unsupervised anomaly detection 모델을 구축한다. Self Organizing Map은 비지도 학습을 하는 신경망 모형으로 자기조직화란 신경망의 연결강도가 입력패턴에 스스로 적응 학습하는 것을 의미한다. Self Organizing Map은 여러 단계의 피드백이 아닌 단 하나의 전방 패스를 사용하는 구조로서 인식 수행이 상당히 빠른 모델이며 이는 잠재적으로 실시간 학습 처리를 가능하게 한다. 또한 입력 데이터의 통계적 분포가 시간에 따라 변하면 자동적으로 변화에 적응 가능하므로 변화가 많은 네트워크 환경에서 적용하기에 적절한 모델이다.
KDD-99 데이터를 이용한 실험은 제안된 특성 추출 기법의 효율성과 Self Organizing Map을 이용한 unsupervised anomaly detection 모델의 효과적인 침입 탐지 성능을 보여준다.