Journal of Internet Computing and Services (인터넷정보학회논문지)

Korean Society for Internet Information (한국인터넷정보학회)
권호 표지

Design and Implementation of Sequential Pattern Miner to Analyze Alert Data Pattern

경보데이터 패턴 분석을 위한 순차 패턴 마이너 설계 및 구현

  • 신문선 (건국대학교 컴퓨터시스템) ;
  • 백우진 (건국대학교 컴퓨터시스템학과)
  • Published : 2009.04.30
Download PDF
⟨ Previous Next ⟩

Abstract

Intrusion detection is a process that identifies the attacks and responds to the malicious intrusion actions for the protection of the computer and the network resources. Due to the fast development of the Internet, the types of intrusions become more complex recently and need immediate and correct responses because the frequent occurrences of a new intrusion type rise rapidly. Therefore, to solve these problems of the intrusion detection systems, we propose a sequential pattern miner for analysis of the alert data in order to support intelligent and automatic detection of the intrusion. Sequential pattern mining is one of the methods to find the patterns among the extracted items that are frequent in the fixed sequences. We apply the prefixSpan algorithm to find out the alert sequences. This method can be used to predict the actions of the sequential patterns and to create the rules of the intrusions. In this paper, we propose an extended prefixSpan algorithm which is designed to consider the specific characteristics of the alert data. The extended sequential pattern miner will be used as a part of alert data analyzer of intrusion detection systems. By using the created rules from the sequential pattern miner, the HA(high-level alert analyzer) of PEP(policy enforcement point), usually called IDS, performs the prediction of the sequence behaviors and changing patterns that were not visibly checked.

침입탐지란 컴퓨터와 네트워크 자원에 대한 유해한 침입 행동을 식별하고 대응하는 과정이다. 최근 인터넷의 급속한 발달과 함께 침입의 유형들이 복잡해지고 새로운 침입유형의 발생빈도가 높아져 이에 대한 빠르고 정확한 대응이 필요하다. 따라서 이 논문에서는 침입탐지 시스템의 이러한 문제점을 해결하기 위한 한 방안으로 지능적이고 자동화된 탐지를 지원하기 위한 경보데이터 순차 패턴 마이닝 기법을 제안한다. 제안된 순차 패턴 마이닝 기법은 기존의 마이닝 기법 중 prefixSpan 알고리즘을 경보데이터의 특성에 맞게 확장 설계하였다. 이 확장 설계된 순차패턴 마이너는 보안정책 실행시스템의 경보데이터 분석기의 일부분으로 구성된다. 구현된 순차패턴 마이너는 탐사된 패턴 내에서 적용 가능한 침입패턴들을 찾아내어 효율적으로 침입을 탐지하여 보안정책 실행 시스템에서 이를 기반으로 새로운 보안규칙을 생성하고 침입에 대응할 수 있다. 제안된 경보데이터 순차 패턴 마이너를 이용하여 침입의 시퀀스의 행동을 예측하거나 기술하는 규칙들을 생성하므로 침입을 효율적으로 예측하고 대응할 수 있다.

Keywords

References

  1. D. Anderson : Next-generation intrusion detection expert system(NIDES). Technical Report SRI-CLS-95-07(1995)
  2. James Cannady : A Comparative Analysis of Current Intrusion Detection Technologies. http://iw.gtri.gatech.edu/papers/ids_rev.html (1998)
  3. M.S. Shin, K.H. Ryu : Data mining methods for alert correlation analysis. IJCIS to be appear (2003)
  4. R. Heady : The Architecture of a Network Level Intrusion Detection System. Technical Report. University of New Mexico, Department of computer Science (1990)
  5. D. Denning : An Intrusion Detection Model. IEEE Trans.Softw.Eng.,13(2), (1987)
  6. Usama M. Fayyad et al. : Advances in knowledge discovery and data mining. MIT Press (1996)
  7. Rakesh Agrawal, Ramakrishnan Srikant : Mining Sequential Patterns. ICDE (1995)
  8. J. Pei, J. Han : PrefixSpan: Mining Sequential Patterns Efficiently by Prefix-Projected Pattern Growth. ICDE'01 (2001)
  9. M.J. Lee, M.S. Shin, K.H. Ryu : Design and Implementation of Alert Analyzer with Data Mining Engine. IDEAL'03 (2003)
  10. J. C. Park, B. N Noh : Intrusion Detection Method Using the PrefixSpan Algorithm. KIPS'03 (2003)
  11. W. Lee, S. Stolfo : Data Mining Approach for Intrusion Detection. UESNIX'98 (1998)
  12. M. Joshi, et al : Predicting Rare Classes : Can Boosting Make Any Weak Learner Strong ACM SIGKDD'02 (2002)
  13. M.S. Shin, K.H. Ryu : Applying Data Mining Techniques to Analyze Alert Data. APWeb'03 (2003)
  14. S. K. Park, J. O. Kim, J. S. Jang : Alert Data Processing for heterogeneous Intrusion Detection Systems in Secure Network Framework. KIPS'03 (2003)
  15. C. J. Shim, C. H. Lee : Research on False Positive Alert reduction using pattern matching technique. KIPS'03 (2003)
  16. D. Curry, H. Debar : Intrusion Detection message exchange format data model and extensible markup language(xml) Document type definition. Internet Draft, draft-ietf-idwg-idmef-xml-03.txt (2001)
  17. 박상길, 김진오, 장종수, “보안네트워크 프레임 워크에서 이기종의 침입 탐지 시스템 연동을 위한 경보데이터 처리”, 제19회 한국정보처리학회 춘계학술발표대회논문집, 제10권 제1호, pp.2169-2172.
  18. Ho Sung Moon, Eun Hee Kim, Moon Sun Shin, Keun Ho Ryu, Jinoh Kim, “Implementation of Security Policy Server’s Alert Analyzer,” ICIS2002.