As the potential damage caused by malicious network activities has become more serious, the need to defend against these threats has increased significantly. The network intrusion detection system (NIDS), as a vital system in the network security infrastructure, aims to detect attacks quickly and accurately; its role is becoming more important. To achieve computationally efficient and effective anomaly detection, the classifier should be developed on reduced datasets that sufficiently represent all of the instances in the original dataset through the feature dimensionality reduction. In Content Distribution Networks (CDNs) and Peer-to-Peer (P2P) file-sharing applications, the download protocols that establish multiple TCP connections from one client to multiple servers allow users to take ad-vantage of enhanced throughput via the bandwidth aggregation of multiple connections and to improve end-to-end latency by taking advantage of servers with short round-trip times. Unfortunately, the performance gain for a multipath connection application may lead to severe unfairness for a concurrent single-flow download sharing the same bottleneck. Specifically, the multipath download can degrade or even starve the throughput of concur-rent single-flow applications or can have an undesirable effect on interactive or delay-sensitive applications. Similarly, the server may reject new connections due to resource shortage, leading to a denied service for single-flow downloads. Therefore, it is important for multipath download protocols to be able to balance fairness and performance, depending on network dynamics. For robust network anomaly detection and transport service, we propose a hierarchical approach for efficient network anomaly detection and fairness-aware multipath download protocol based on robust transport coordinator. First, a hierarchical method for efficient network anomaly detection is proposed. Statistical modeling re-mains the most common approach to anomaly detection. Although the techniques applied in previous works have shown good results in terms of data classification, they are not favorable for large-scale datasets because the training complexity is very much dependent on the amount of data in the training set. A larger amount of data would lead to a higher training complexity. Especially, some data features in the classifiers used in NIDS may be redundant or may contribute little to the detection process, making the amount of audit data that an intrusion detection system needs to examine very large. Extraneous features and the complex relationships that exist among the features can make it harder to detect suspicious behavior patterns and can increase the computation time. Therefore, through feature dimensionality reduction, NIDS must reduce the amount of data to be processed for computationally efficient and effective detection. Reducing the data space and then classifying anomalies based on the reduced feature space is vital to real-time intrusion detection. This study proposes a network anomaly detection system based on hierarchical feature reduction (HFR) to preprocess network traffic data before detection model training. The purpose of the HFR method is to identify important input features and to provide a high quality and reduced dataset for the multinomial logistic regression (MLR) model training, instead of the originally enormous dataset The performance of the proposed method is evaluated using different data sets reduced by the ranking of the importance of input features. Classification of intrusions over the reduced feature space is based on the MLR model, a method well suited for analyzing multi-type outcomes with high speed in learning techniques. Our classification model is developed for the detection of multi-category attacks as an outcome to reinforce detection efficiency, unlike previous studies that were focused on a binary outcome (e.g., normal or abnormal). The experiment with the NSL-KDD dataset evaluates the detection performance for both known and previously unseen attacks. The proposed system shows a significant detection rate through a good subset of features with a significant improvement in speed. Second, robust transport service scheme using multipath TCP is proposed. Because the performance gain for a multipath connection application may lead to severe unfairness for a concurrent single-flow download sharing the same bottleneck, it is important for multipath download protocols to be able to balance fairness and performance. This study presents a novel multipath download protocol that allows the mitigation of throughput and fairness based on a Robust Transport Coordinator (RTC). The RTC is comprised of three components: the priority determination, the network monitoring, and the server selection. The RTC allows a dynamic adjustment of the instantaneous transmission rate. The priority determinant of RTC can set each subconnection to two distinct priority levels and limit the update of the congestion window to reduce the aggressiveness of the aggregated throughput and therefore increase fairness towards competing flows. At the high priority level, a subconnection adheres to the congestion control of a TCP-friendly protocol, whereas the low priority mode adheres to the congestion control of a protocol which is non-intrusive to other TCP traffic and utilizes only the excess bandwidth in the network. Also, in order to maintain the performance level of multipath TCP, we develop a sever selection method based on fuzzy inference. As one of the components of the RTC, it combines two dynamic criteria which are the round-trip time and the congestion window size. In case of network congestion, the server selector can compensate throughput degradation by re-assigning the priority of subconnections without adding to the unfairness towards other downloads. The server selector of the RTC makes the proposed scheme more adaptive to network dynamics. Simulation results show that the adjustment of multipath download fairness has a significant impact on the single-flow performance and the proposed scheme is robust to network dynamics. The experiments demonstrate the flexibility of the proposed protocol in balancing performance and fairness.

네트워크 기술의 발전으로 거의 모든 시스템이 개방 환경에 놓이게 되면서 시스템 침입과 같은 위협이 증가하고 있으며, 이런 침입 행위를 방지하거나 탐지하기 위해 많은 종류의 침입탐지시스템이 존재하며 또 개발되고 있다. 그러나 대부분의 시스템들이 이용하고 있는 오용탐지기술은 기존의 침입 패턴에 대해서는 효과적이나 새로운 공격 패턴에 대해서는 대응하지 못하는 단점이 있다. 그러므로 점차 지능화, 고속화 되어가는 공격에 능동적으로 대응하기 위해서는 새로운 학습 방법이 필요하며, 실시간 공격 탐지를 위해 수집 트래픽 데이터의 차원축소를 수행함으로써 상세 분석 대상 트래픽의 범위를 좁힐 필요가 있고, 이의 성능 및 기능성이 중요시되고 있다. 그리고 컨텐츠 전송시 다수의 연결을 동시 사용하는 Multipath TCP는 P2P, CDN(Content Delivery Network) 네트워크 환경에서 널리 활용되고 있다. 네트워크 상에 다수의 컨텐츠 복제가 존재하는 환경에서 컨텐츠를 여러 개의 블록들로 분할하고, 각 블록을 서로 다른 서버들에게 요청하여 컨텐츠의 다운로드 시간을 줄이는 다운로드 기술에 Multipath TCP가 적용된다. 다중 연결을 통한 컨텐츠 다운로드는 단일 연결에 비하여 전송 성능이 우수하나 병목구간을 공유하는 경우 단일 연결과 비교할 때 성능의 불공평성이 존재한다는 문제점이 존재한다. 병목구간에서 TCP는 AIMD(Additive Increase Multiplicative Decrease)의 혼잡제어 알고리즘을 통해 전송 윈도우 사이즈를 1/2로 줄여 전송 용량을 감소시킨다. access 네트워크에서 병목 현상이 발생한 경우 단일 링크를 사용하는 클라이언트의 컨텐츠 다운로드 성능은 링크의 특성이 동일하다고 가정할 때 n개의 다중 연결 클라이언트에 비해 1/n의 성능이 되어 전송률의 불공평성이 발생하게 되며 이는 단일 연결 다운로드 서비스의 심각한 품질 저하를 야기하게 된다. 위와 같은 이유들로 인해, 효율적인 네트워크 이상탐지 기술 향상 및 분산된 multi-path TCP 환경에서 다중 연결 사이의 공평성을 고려한 성능 향상 기술의 필요성이 절실히 요구되고 있다. 본 연구에서는 이러한 문제점들을 해결하고자 두 가지 관점에서 연구를 수행하였다. 첫째, 네트워크 공격 패턴을 효율적으로 탐지하기 위한 특성 추출 기법을 적용한 이상탐지 모델을 제안하였다. 기존의 연구는 탐지 성능 향상에 주로 초점을 두고 있으며, 학습 데이터의 차원 축소를 수행한 연구에서는 변수를 하나씩 제거하며 분류기 성능의 변화를 관찰하는 방법을 통해 각 분류기에 최적화된 중요 변수를 선택하는 방식을 적용하였다. 그러나 이러한 특성 추출 기법은 분류기에 매우 깊은 의존성을 갖게 되어 파라미터 변화에 따라 특성 추출 과정이 무수히 반복되어야 하는 문제점이 존재한다. 따라서 본 연구에서는 상대적으로 적은 연산으로 네트워크 트래픽 특징을 고려한 특성 추출이 가능한 hierarchical feature reduction 기법을 제안하고, 이를 기반으로 Multinomial Logistic Regression 모델을 이용한 이상 탐지 모델을 구축하였다. 실험 결과를 통해, 제안한 이상탐지 기법이 네트워크 공격 탐지를 효율적으로 수행하는 것을 확인할 수 있었다. 둘째, 분산된 multipath TCP 환경에서 단일 연결과의 공평성을 고려한 성능 향상 기법을 제안하였다. multipath TCP와 관련하여 기존에는 비용-효율적 전송 기법과 더불어 congestion window size 제약으로 인한 비효율 전송을 해결하기 위한 연구가 주로 수행되어 왔으며, 불공평성에 대한 연구들은 분산된 multipath TCP 환경에 대한 고려가 부재하였다. 따라서 본 연구에서는 분산된 multipath TCP 환경에서 다중 연결과 단일 연결과의 공평성을 고려한 성능 향상을 위하여 다중 연결 사이의 우선순위 할당에 따른 전송률 조율을 위한 Priority Determinant, 연결 상태를 모니터링하고 성능 저하시 대안 서버 선택을 위한 Network Monitoring, 서버를 선택하고 서버간의 전송률 재조정을 통해 안정적인 컨텐츠 전송을 가능케 하기 위한 Server Selector로 구성된 Robust Transport Coordinator 시스템을 제안하였다. 실험 결과를 통해, 제안 기법이 단일 연결과의 전송 성능의 공평성을 고려하면서 링크 상태에 따라 전송률 조율을 통해 효과적으로 성능 향상을 수행하는 것을 확인할 수 있었다.