Snort_inline기반 IPS에 kNN학습 알고리즘을 이용한 오경보 최소화 기법

공격에 능동적 대용이 가능한 IPS(침입방지시스템)는 사용하는 데이터 소스에 따라 호스트기반 IPS와 네트워크기반 IPS로 나눠지며, 탐지 모델에 따라 시그니처 기반의 IPS와 비정상행위 기반의 IPS로 구분된다. 시그니처 기반의 IPS인 경우 침입 탐지 율은 우수하지만 규칙과 완전히 매칭 되는 시그니처 만을 공격으로 탐지하기 때문에 변형 또는 우회 공격에 대한 유연성이 떨어지며, 탐지 규칙에 비례하여 과도한 오탐지(false positive)를 발생시켜 전체적인 IPS 시스템의 오경보(false positive, false negative)가 늘어나게 된다. 이에 본 논문에서는 시그니처 기반의 Snort_inline에서 예제기반학습(instance based Learning)방법인 kNN(k-Nearest Neighbor)알고리즘을 결합하여 Snort_inline의 Detection 엔진에서 탐지된 결과(alarm)들에 가지고 false positive와 false negative의 패턴 특성을 학습시켜 IPS의 오경보(false alarm)를 최소화하고 새로운 변종 공격에 대해서도 효과적으로 탐지하고 대응할 수 있는 모델을 제안한다.