6
하나의 호스트 내에서 복수 모델의 비정상행위 탐지센서와 오용행위 탐지센서를 통하여 비정상행위 및 오용행위를 탐지하는 단계(S1); 탐지된 각각의 비정상행위 및 오용행위 정보간의 반영비율 도출 단계(S2); 및 상기 탐지된 비정상행위 및 오용행위에 대한 정보와 각각의 정보간의 반영비율을 통합 판정하여 호스트 기반의 침입정보를 생성하는 단계(S3)로 구성되는, 오용행위와 비정상행위의 통합 판정 기능을 갖는 호스트기반의 통합침입탐지방법으로서, 상기 탐지된 각각의 비정상행위 및 오용행위 정보간의 반영비율 도출 단계(S2)는, 각 센서에서 탐지된 탐지값에 대한 신뢰도(λ) 파일을 읽고 신뢰도에 기반하여 각 사용자별 정상행위로부터의 위배정도의 값을 사용자의 아이디별로 다시 저장하는 단계(S11), 각 탐지센서의 로그 파일을 읽는 단계(S12), 각 탐지센서의 모든 로그 파일을 다 읽었는지 확인하는 단계(S13), 각 탐지센서의 로그 파일을 모두 읽지 않은 경우 복수 모델의 비정상행위 탐지센서 및 오용행위 탐지센서의 로그를 읽고, 각각의 센서의 통합판정 시간 단위의 로그값 중 최고값을 저장하는 단계(S14), 저장된 각각의 센서의 통합판정시간 단위의 로그값 중 최고값의 시간을 비교하여 그 시간대 값이 없으면 0으로 처리하고, 있으면 그 값을 따로 저장하는 단계(S15), 모든 로그 파일을 다 읽은 경우 상기 로그의 최고값들을 센서별로 최고값 행렬에 저장하는 단계(S16), 및 각 탐지센서별로 다른 센서의 반영비율을 계산하여 저장하는 단계(S17)로 구성되고; 상기 탐지된 비정상행위 및 오용행위에 대한 정보와 각각의 정보간의 반영비율을 통합 판정하여 침입정보를 생성하는 단계(S3)는, 각 탐지센서의 로그파일을 읽는 단계(S31), 각 탐지센서의 로그에 사용자 아이디별로 신뢰도(λ) 정보를 적용하는 단계(S32), 신뢰도 데이터가 반영된 탐지센서의 로그 데이터를 각 사용자 아이디별 및 각 탐지센서별로 큐에 추가 갱신하는 단계(S33), 통합 판정부의 탐지 시간을 확인하는 단계(S34), 탐지 시간을 확인하여 일치하지 않는 경우 상기 단계(S32) 및 단계(S33)를 반복하고, 일치하는 경우 각 탐지센서의 판정값(v)을 큐에서 꺼내는 단계(S35), 및 상기 반영비율을 저장하고 있는 행렬(η)을 적용하여 통합 판정부의 최종판정값을 결정하여 통합 판정부 로그파일에 저장하는 단계(S36)로 구성되는 것을 특징으로 하는 통합침입탐지방법
|