Intrusion Detection System (IDS) monitors network traffic and detects users' malicious activities. IDS can be divided by its detection type as Signature-based IDS and Anomaly-based IDS. IDS can be divided as a Network IDS and a Host IDS. As internet of things era is coming, the amount of network traffic increases explosively. Labeling a traffic manually whether attack or not is difficult under this condition. Also new unknown-attacks are appearing constantly, the detection of unknown-attacks has become the essential part of IDS as well as the detection of known-attacks. Unknown-attack detection is a research area about detecting attacks without any specific prior knowledge of attacks. IDS should have capability to determine an input whether attack or not based on the unlabeled dataset since unknown-attacks are not known to IDS. To solve these difficulties, we need to find a way to learn about normal traffic and attack traffic on the unlabeled dataset. This paper proposes a novel IDS scheme for unknown-attacks based on the clustering model. The proposed IDS combines two machine learning algorithms, Ant Clustering Algorithm (ACA) and Decision Tree(DT). The IDS learns on the unlabeled dataset by itself and constructs the profile of normal behavior. After construction of the profile, the IDS can detect unknown-attacks. The IDS consists of two main engines: the ACA engine and the DT engine. The IDS builds clusters on unlabeled dataset by using ACA. Based on the clustering result, the ACA engine classifies normal traffic and attack traffic. The DT engine trains detectors based on the result of the ACA engine. The proposed IDS was experimented on the KDD Cup 1999 Dataset. Evaluation criteria for performance of the proposed IDS are detection rate, false positive rate, and accuracy. The IDS has much higher detection rate and accuracy than Hosseinpour et al. [1] which has similar approach with ours.

침입 탐지 시스템(Intrusion Detection System, IDS)는 특정 네트워크 혹은 시스템을 감시하며 사용자의 악의적인 행동을 탐지하는 시스템이다. IDS는 탐지 방식에 따라 Signature-based IDS와 Anomaly-based IDS로 나눌 수 있다. 사물 인터넷 시대가 다가오며 많은 기기가 네트워크에 연결됨에 따라 네트워크 트래픽이 폭증하고 있다. IDS를 훈련시키기 위한 Dataset을 만들기 위해 사람이 수동적으로 일일히 공격 여부에 관한 Label 만드는 작업은 매우 어려운 작업이다. 한편 현재 지속적으로 새로운 알려지지 않은 미지 공격이 출현하고 있다. 이에 IDS에 있어서 미지 공격을 사전에 탐지하는 능력은 필수적인 기능이 되었다. 미지 공격 탐지란 IDS가 사전에 어떠한 정보도 가지고있지 않은 공격을 탐지하는 연구 분야이다. IDS가 사전 정보를 가지고 있지 않은 공격을 탐지하기 위해서는 공격 여부에 대한 Label이 없는 Dataset에서도 스스로 정상 트래픽과 공격 트래픽을 구분할 능력이 있어야한다. 이러한 문제들을 해결하기 위해 Label이 없는 Dataset에서 스스로 학습할 수 있는 방법을 도출해내야 한다. 본 논문에서는 Clustering-based 모델의 알려지지 않은 공격 탐지를 위한 새로운 IDS를 제안한다. 제안하는 IDS는 개미군집 알고리즘(Ant Clustering Algorithm, ACA)과 의사결정트리(Decision Tree, DT)를 조합하였다. 제안하는 IDS는 Label이 없는 Dataset에서 스스로 학습이 가능하여 정상 트래픽과 공격 트래픽을 구분하기 위한 프로필을 생성하고 그에 기반하여 미지 공격을 탐지할 수 있다. 제안하는 IDS는 ACA 엔진과 DT 엔진으로 이루어져 있다. ACA를 이용하여 Label이 없는 Dataset 상에서 군집을 형성한다. 형성된 군집화 결과를 바탕으로 ACA 엔진은 각 Data instance들의 공격 여부를 구분한다. 그 후 ACA 엔진의 결과를 바탕으로 DT 엔진은 침입 탐지기를 훈련한다. 제안하는 IDS의 성능 평가를 위해 KDD Cup 1999 Dataset을 이용하였다. 성능 비교를 위한 지표로 탐지율(Detection Rate, DR), 오탐율(False Positive Rate, FPR), 정확도(Accuracy, ACC)가 이용되었다. 제안하는 IDS는 본 논문과 유사한 방식을 제안한 Hosseinpour 등의 방식[1]에 비해 월등히 높은 탐지율과 정확도를 보여주었다.