알려지지 않은 위협 탐지를 위한 CBA와 OCSVM 기반 하이브리드 침입 탐지 시스템

인터넷이 발달함에 따라, IoT, 클라우드 등과 같은 다양한 IT 기술들이 개발되었고, 이러한 기술들을 사용하여 국가와 여러 기업들에서는 다양한 시스템을 구축하였다. 해당 시스템들은 방대한 양의 데이터들을 생성하고, 공유하기 때문에 시스템에 들어있는 중요한 데이터들을 보호하기 위해 위협을 탐지할 수 있는 다양한 시스템이 필요하였으며, 이에 대한 연구가 현재까지 활발히 진행되고 있다. 대표적인 기술로 이상 탐지와 오용 탐지를 들 수 있으며, 해당 기술들은 기존에 알려진 위협이나 정상과는 다른 행동을 보이는 위협들을 탐지한다. 하지만 IT 기술이 발전함에 따라 시스템을 위협하는 기술들도 점차 발전되고 있으며, 이러한 탐지 방법들을 피해서 위협을 가한다. 지능형 지속 위협(Advanced Persistent Threat : APT)은 국가 또는 기업의 시스템을 공격하여 중요 정보 탈취 및 시스템 다운 등의 공격을 수행하며, 이러한 공격에는 기존에 알려지지 않았던 악성코드 및 공격 기술들을 적용한 위협이 존재한다. 따라서 본 논문에서는 알려지지 않은 위협을 탐지하기 위한 이상 탐지와 오용 탐지를 결합한 하이브리드 침입 탐지 시스템을 제안한다. 두 가지 탐지 기술을 적용하여 알려진 위협과 알려지지 않은 위협에 대한 탐지가 가능하게 하였으며, 기계학습을 적용함으로써 보다 정확한 위협 탐지가 가능하게 된다. 오용 탐지에서는 Classification based on Association Rule(CBA)를 적용하여 알려진 위협에 대한 규칙을 생성하였으며, 이상 탐지에서는 One Class SVM(OCSVM)을 사용하여 알려지지 않은 위협을 탐지하였다. 실험 결과, 알려지지 않은 위협 탐지 정확도는 약 94%로 나타난 것을 확인하였고, 하이브리드 침입 탐지를 통해 알려지지 않은 위협을 탐지 할 수 있는 것을 확인하였다.