조상현, 김한성, 이병희, 차성덕,

Vol. 13, No. 2, pp. 115-126, 4월. 2003
10.13089/JKIISC.2003.13.2.115, Full Text:
Keywords: Intrusion Detection, Web Attack Detection, Anomaly Detection, Network Security, bayesian estimation
Abstract

본웹 서비스는 일반적으로 침입 차단 시스템에 의해 통제되지 않은 채 외부에 공개되어 있어 공격의 수단으로 이용될 수 있고, 다양한 웹 어플리케이션의 특성에 따라 많은 형태의 취약성을 내포하고 있다. 본 논문에서는 웹 서비스의 정상적인 이용 사례를 모델링하고, 이와 다른 사용례를 보이는 이상 사례를 베이지언 추정 기법을 이용하여 통계적으로 찾아내는 SAD(Session Anomaly Detection)을 제안한다. SAD의 성능을 평가하기 위하여 1개월간 수집된 웹로그 자료를 이용하였고 침입은 웹 스캐너 프로그램(Whisker)을 이용하여 수행하였다. 기존 NIDS인 Snort를 이용한 실험 결과 평균적으로 36%의 탐지율을 보인 반면 SAD의 경우 윈도우 사이즈, 훈련데이터의 크기, 이상탐지 필터, 웹토폴로지 정보의 이용유무에 따라 다소 차이는 있지만 전반적으로 90%가 넘는 탐지율을 보여 주었다.

Statistics
Cite this article