Publications

Detailed Information

IoT환경을 위한 인공지능 기반 네트워크 침입 탐지 시스템 : ANN Based Network Intrusion Detection System for IoT Environment

Cited 0 time in Web of Science Cited 0 time in Scopus
Authors

하회리

Advisor
백윤흥
Issue Date
2021
Publisher
서울대학교 대학원
Keywords
네트워크 침입 탐지 시스템딥러닝IoTNIDSDeep Learning
Description
학위논문(석사) -- 서울대학교대학원 : 공과대학 전기·정보공학부, 2021.8. 하회리.
Abstract
최근 인공지능을 사용한 네트워크 침입 탐지 시스템 (NIDS)이 각광받고 있다. 이는 많은 양의 raw data에서 복잡한 패턴을 찾을 수 있는 딥러닝 기법의 효율성 때문이다. 네트워크 침입 탐지 시스템에서는 네트워크 패킷을 감시하여 비정상 행위를 탐지하는 것이 목표인데, 수 없이 많은 네트워크 패킷들을 분석하여 정상 행위의 패턴을 학습하는 것에 딥러닝을 사용한 결과 현재까지 좋은 결과를 보이고 있다. 하지만 모든 네트워크 환경이 같을 수 없고, 특히 IoT와 같이 저가형 장치들이 대부분인 분산(distributed) 네트워크인 경우 현재 연구를 적용하기 힘들다. 하나의 중앙 gateway가 아닌 모든 device들의 네트워크를 감시해야 되는 분산 네트워크 환경의 경우, 자원적 한계가 있는 edge device에서도 잘 실행될 수 있는 가벼운 탐지 기법과 edge device가 추가되더라도 적용할 수 있는 확장성을 가진 네트워크 침입 탐지 시스템이 필요하다. 대부분의 연구들은 성능을 위해 탐지 정확도를 포기하거나, 탐지 정확도를 위해 실시간 탐지 방식이 아닌 오프라인 방식을 채택하였지만, Kitsune는 이런 환경에서도 현실적으로 사용할 수 있는 네트워크 침입 탐지 시스템을 제시하였다. 그러나 최근 연구를 통해 Kitsune에도 문제가 있는 것을 알 수 있었다. Kitsune에서는 효율성을 위해 네트워크 패킷의 일부분만 사용하여 공격을 탐지하기 때문에 특정 공격들에 대해 취약하다. 특히 payload에 취약점을 유발하는 메시지가 있는 공격을 전혀 탐지할 수 없으며, 본 논문에서는 이를 보완하기 위한 새로운 모델을 제시한다. Payload를 분석하기 위해서는 크게 두가지 문제가 있다. 첫 번째로는 암호화된 메시지의 복호화 과정과 메시지의 의미론적 분석이 필요한 점, 두번째로는 unstructured data인 payload 메시지를 인공 신경망을 위해 벡터화해야 하는 점이다. 두 문제점에 대한 해결책은 제시되어 있지만 자원적 한계가 명확한 IoT와 같은 환경에서는 해결책을 사용하기 힘들기 때문에, payload 정보를 사용하는 대신, payload로부터 발생하는 process의 행위 정보를 사용하여 공격을 탐지하는 방식을 채택하였다. 각 edge device에서 payload로부터 process가 실행되면 이를 감시하여 행위 정보를 system call sequence로 표현하고, system call sequence를 벡터화 하여 비정상 행위 탐지를 한다. 실험 결과 payload에 공격이 있는 경우, Kitsune에서는 random하게 판별하는 것보다도 더 낮은 정확도를 보였다. 이는 payload에 공격이 있는 경우, Kitsune가 보는 네트워크 패킷의 정보에는 특별히 차이가 없기 때문에, 공격을 정상이라고 분류하기 때문이다. 하지만 행위 정보를 같이 보는 본 논문에서 제시하는 모델을 payload 공격도 잘 탐지할 수 있었다. 또한 payload가 아닌 Kitsune에서도 탐지할 수 있는 공격들에 대해서도, Kitsune보다 행위 정보를 같이 보는 모델이 더 좋은 정확도를 보였다.
Using artificial neural networks (ANN) for network intrusion detection systems (NIDS) has shown promising results. Capability of ANN to learn patterns from numerous data fits into the nature of NIDS, since NIDS monitors endless streams of network traffic to detect cyber attacks. Most NIDS researches focus on higher detection accuracy using bigger neural networks in centralized network, where all network traffic passes through a server. However, with the emergence of distributed network systems, such as IoT, edge, or fog, demand for optimized NIDS has risen. Since local gateways and local host devices in distributed network systems are mostly low-end, it is nearly impossible to deploy large ANNs to detect network-based attacks. To tackle this issue, Kitsune proposed a highly efficient learning algorithm for network systems with resource constraints. Nonetheless, Kitsune also has its own limitations. For efficiency, Kitusne utilizes information only from network header. Therefore, Kitsune fails to detect attacks that utilizes payload data to trigger vulnerabilities. However, techniques that analyze payload data also requires tremendous computation. To locate payload attacks and to overcome the proposed challenge, we suggest a novel extension of Kitsune that comprehensively learns both network and device behaviors related to network packets. Although device behavior and payload data are not exactly the same, using device behavior to approximate payload data make our NIDS practical with minimum accuracy drop. As expected, our experiments show that Kitsune fails to identify payload attacks. Network header shows no difference between normal data and payload attacks. But our design successfully approximates payload data to detect payload attacks.
Language
kor
URI
https://hdl.handle.net/10371/177859

https://dcollection.snu.ac.kr/common/orgView/000000166608
Files in This Item:
Appears in Collections:

Altmetrics

Item View & Download Count

  • mendeley

Items in S-Space are protected by copyright, with all rights reserved, unless otherwise indicated.

Share