Nothing Special   »   [go: up one dir, main page]

KR100464598B1 - The intrusion detection system and method unifying and resolving the misuses and anomalies of host - Google Patents

The intrusion detection system and method unifying and resolving the misuses and anomalies of host Download PDF

Info

Publication number
KR100464598B1
KR100464598B1 KR10-2002-0045985A KR20020045985A KR100464598B1 KR 100464598 B1 KR100464598 B1 KR 100464598B1 KR 20020045985 A KR20020045985 A KR 20020045985A KR 100464598 B1 KR100464598 B1 KR 100464598B1
Authority
KR
South Korea
Prior art keywords
detection
sensor
detection sensor
abnormal behavior
misuse
Prior art date
Application number
KR10-2002-0045985A
Other languages
Korean (ko)
Other versions
KR20040013173A (en
Inventor
김홍근
김민수
이보경
Original Assignee
한국정보보호진흥원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국정보보호진흥원 filed Critical 한국정보보호진흥원
Priority to KR10-2002-0045985A priority Critical patent/KR100464598B1/en
Publication of KR20040013173A publication Critical patent/KR20040013173A/en
Application granted granted Critical
Publication of KR100464598B1 publication Critical patent/KR100464598B1/en

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • G06F15/16Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
    • G06F15/163Interprocessor communication
    • G06F15/173Interprocessor communication using an interconnection network, e.g. matrix, shuffle, pyramid, star, snowflake
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/24Querying
    • G06F16/245Query processing
    • G06F16/2458Special types of queries, e.g. statistical queries, fuzzy queries or distributed queries
    • G06F16/2465Query processing support for facilitating data mining operations in structured databases
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F17/00Digital computing or data processing equipment or methods, specially adapted for specific functions
    • G06F17/10Complex mathematical operations
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2216/00Indexing scheme relating to additional aspects of information retrieval not explicitly covered by G06F16/00 and subgroups
    • G06F2216/03Data mining

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Mathematical Physics (AREA)
  • Databases & Information Systems (AREA)
  • Data Mining & Analysis (AREA)
  • Fuzzy Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Probability & Statistics with Applications (AREA)
  • Computational Linguistics (AREA)
  • General Health & Medical Sciences (AREA)
  • Algebra (AREA)
  • Computational Mathematics (AREA)
  • Mathematical Analysis (AREA)
  • Mathematical Optimization (AREA)
  • Pure & Applied Mathematics (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Burglar Alarm Systems (AREA)

Abstract

본 발명은 호스트 기반의 불법적인 침입행위를 실시간으로 탐지하기 위한 침입탐지기술에 관한 것이다. 침입의 형태는 매우 복잡하고 다양하기 때문에 기존의 단일 침입탐지 시스템에서 탐지하기가 쉽지 않다. 이를 위해 본 발명은 복수모델 침입탐지센서들의 탐지정보를 통합 판정부로 보내어 통합 분석함으로써, 침입탐지센서의 탐지 정보에 대한 신뢰성을 부여하고 복수모델의 침입탐지센서의 탐지 정보를 서로 관련시킬 수 있는 통합 판정 방법론을 제시한다. 그리하여 복수모델의 호스트기반 오용행위와 비정상행위 탐지센서 통합 판정을 통해 오경보율을 감소시키는 한편, 탐지 영역을 확대시키고 탐지의 정확성을 크게 향상시킬 수 있다.The present invention relates to an intrusion detection technology for detecting host-based illegal intrusion in real time. The types of intrusions are so complex and diverse that they are difficult to detect in a single intrusion detection system. To this end, the present invention is to send the detection information of the multiple model intrusion detection sensor to the integrated determination unit, and integrated analysis, to give the reliability of the detection information of the intrusion detection sensor and to correlate the detection information of the multiple model intrusion detection sensor with each other Present an integrated decision methodology. Thus, through the integrated determination of multiple models of host-based misuse and abnormal behavior detection sensors, the false alarm rate can be reduced, the detection area can be expanded, and the accuracy of detection can be greatly improved.

Description

오용행위와 비정상행위의 통합 판정 기능을 갖는 호스트 기반의 통합침입탐지시스템 및 방법{The intrusion detection system and method unifying and resolving the misuses and anomalies of host}The intrusion detection system and method unifying and resolving the misuses and anomalies of host}

본 발명은 호스트 내의 불법적인 침입행위를 실시간으로 탐지하기 위한 침입탐지기술에 관한 것이다. 보다 구체적으로는, 본 발명은 탐지 메져(measure)를 달리하는 복수모델의 오용행위와 비정상행위 탐지센서로부터 탐지 정보를 받아 관련성을 분석하는 통합 판정을 통해 탐지 영역을 확대시키고 탐지의 정확성을 크게 향상시키는 방법에 관한 것이다.The present invention relates to an intrusion detection technology for detecting illegal intrusion in a host in real time. More specifically, the present invention expands the detection area and greatly improves the accuracy of detection through an integrated decision that analyzes the relationship between the misuse and abnormal behavior detection sensors of multiple models having different detection measures and analyzes the relationship. It is about how to let.

통상적으로, 침입행위에 대한 탐지 기술은 오용행위에 대한 탐지만을 제공하는 단일 침입탐지 시스템이거나, 탐지정보를 개별적으로 고려할 뿐 관련성을 고려하지 않는 시스템이다. 더욱이, 오용행위에 대한 탐지를 전제조건으로 침입 패턴에 대한 사전 지식이 요구되므로, 오용행위에 대한 탐지만으로는 새로운 침입 패턴이 나타났을 때 대처하는 것이 불가능하다.Typically, intrusion detection technology is a single intrusion detection system that provides detection only for misuse or a system that only considers detection information but does not consider relevance. Moreover, since prior knowledge of intrusion patterns is required as a prerequisite for detection of misuse, it is impossible to cope with a new intrusion pattern by detecting misuse alone.

이에 대한 해결책으로 비정상행위에 대한 탐지를 추가하는 방법이 제안되었다. 그러나 이 경우에도 정상행위에 대한 빈도, 평균 및 분산과 같은 통계값을 사용하기 때문에 침입 행위를 정확히 탐지하는 데에 문제점이 여전히 남음은 물론 정상행위까지도 침입행위로 인식하는 부작용이 발생하는 등의 문제가 있다.As a solution, a method of adding detection of abnormal behavior has been proposed. However, even in this case, since statistical values such as frequency, average, and variance of normal behavior are used, there are still problems in accurately detecting intrusion behavior, as well as side effects that even normal behavior is recognized as intrusion behavior. There is.

본 발명은 상기와 같은 종래의 문제점을 해결하기 위하여 안출된 것으로서, 본 발명의 목적은 호스트기반의 침입행위를 탐지하기 위해, 오용행위는 물론, 비정상행위와의 통합을 통하여 탐지영역을 확대시키고 탐지 결과의 정확성 향상을 가능하게 하는 통합 판정하는 방법을 제공하는 데 있다.The present invention has been made to solve the above-mentioned conventional problems, the object of the present invention is to detect the host-based intrusion behavior, to expand and detect the detection area through the integration of abnormal behavior as well as abnormal behavior It is to provide a method of integrating judgment that enables improved accuracy of results.

통상적으로 침입탐지시스템은 오용행위 기반의 탐지방법을 제공하여 침입에 대한 탐지패턴을 추가하지 않으면 false positive(정상행위를 침입행위로 인식하는 부작용)가 발생하지 않는 반면에 false negative(침입행위를 정상행위로 인식하는 부작용)가 발생한다. 여기에서 임계값을 똑같은 논리로 적용해보면 임계값이 낮을 경우 false positive비율이 증가하는 반면에 false negative 비율은 감소한다.Generally, intrusion detection system provides a detection method based on misuse behavior so that false positives (side effects of recognizing normal behaviors as intrusions) do not occur, while false negatives (normal intrusion behaviors) are not generated unless additional detection patterns for intrusions are added. Side effects that are perceived as behavior). Here, if the threshold is applied with the same logic, the false positive rate increases while the threshold value is low, while the false negative rate decreases.

만일 임계값이 높은 경우 false positive 비율이 감소하는 반면에 falsenegative 비율이 증가한다. 경험에 비추어, 대부분의 관리자들의 경우 false negative의 위험성을 회피하기 위해 false positive를 어느 수준 이상으로 수용한다. 보통의 경우 최적의 임계값을 찾아 침입을 탐지하도록 하지만 본 논문에서는 낮은 임계값을 적용하여 false negative의 비율을 최소화시키고 다양한 관점과 레벨에서의 통합 판정 방법론을 도입하여 false positive 비율을 또한 최소화시킴으로써 탐지 영역 확대 및 정확성을 향상시켰다.If the threshold is high, the false positive rate decreases while the falsenegative rate increases. Experience shows that most managers accept more than a certain level of false positives to avoid the risk of false negatives. In this case, intrusion detection is usually performed by finding the optimal threshold value. However, in this paper, the low threshold is applied to minimize the false negative rate and the detection method is also minimized by introducing the integrated decision methodology from various viewpoints and levels. Area enlargement and accuracy have been improved.

도 1은 본 발명에 따른 오용행위와 비정상행위의 통합 판정 기능을 갖는 호스트기반의 통합침입탐지방법의 순서도.1 is a flow chart of a host-based integrated intrusion detection method having an integrated determination function of misuse and abnormal behavior according to the present invention.

도 2는 호스트기반 통합침입탐지시스템의 구성을 보여주는 개략도.Figure 2 is a schematic diagram showing the configuration of the host-based integrated intrusion detection system.

도 3은 호스트기반의 통합 판정 구조를 보여 주는 개략도.3 is a schematic diagram illustrating a host-based unified decision structure.

도 4는 시스템 사용자의 정상행위에 대한 호스트기반 비정상행위 탐지센서의 판정 분포도.4 is a decision distribution diagram of a host-based abnormal behavior detection sensor for normal behavior of a system user.

도 5는 도 4의 정상행위에 대한 비정상행위 탐지센서의 판정 분포도에 대한 체형 적분값 계산을 설명하는 도면.FIG. 5 is a diagram illustrating the calculation of the body integral value for the determination distribution of the abnormal behavior detection sensor for the normal behavior of FIG. 4. FIG.

도 6은 도 5의 정상행위에 대한 비정상행위 탐지센서의 판정 분포도에서 정상행위 비율에 해당하는 임계값을 구하는 것을 설명하는 도면.FIG. 6 is a diagram illustrating obtaining a threshold value corresponding to a normal behavior ratio from a decision distribution diagram of an abnormal behavior detection sensor of FIG. 5.

도 7은 복수모델의 호스트기반 탐지센서의 반영비율 도출과정을 설명하는 순서도.7 is a flowchart illustrating a process of deriving a reflection ratio of a host-based detection sensor of multiple models.

도 8은 복수모델의 호스트기반 탐지센서들 간의 반영비율을 구한 예를 보여주는 도표.8 is a diagram showing an example of obtaining the reflection ratio between the host-based detection sensors of a plurality of models.

도 9는 도 8의 도표를 방사형 그래프로 나타낸 도면.9 is a radial graph of the diagram of FIG. 8;

도 10은 호스트 내에서의 통합판정을 설명하는 순서도.10 is a flow chart illustrating integration decisions within a host.

<도면의 주요 부분에 대한 부호의 설명><Explanation of symbols for the main parts of the drawings>

1 : 호스트1: host

101 : 전송부 102 : 통합 판정부101: transmitting unit 102: integrated determination unit

103 : 센서부 104 : 에이전트103: sensor unit 104: agent

105 : 데이터 마이닝 방식의 호스트기반 비정상행위 탐지센서105: Host-based abnormal behavior detection sensor using data mining

106 : HMM 방식의 호스트기반 비정상행위 탐지센서106: HMM type host based abnormal behavior detection sensor

107 : 호스트기반 오용행위 탐지센서 117 : 통합 센서107: Host based misuse detection sensor 117: Integrated sensor

118 : 통합판정 센서118: integrated judgment sensor

상기와 같은 본 발명의 목적은, 로컬 네트워크에 전자통신회선을 통해 연결된 호스트에 있어서, 상기 호스트가, 클라이언트 서버 네트워킹 형식의 에이전트 및 센서부로 구성되고, 상기 에이전트는 상기 센서부에서 탐지된 정보를 통합 판정하는 판정부 및 탐지된 결과를 통합 또는 로깅 목적으로 다른 시스템에게 전달하는 전송부로 구성되고, 상기 센서부가 복수 모델의 호스트 기반 비정상행위 탐지센서와 오용행위 탐지센서로 구성되는 오용행위와 비정상행위 통합 판정 기능을 갖는 호스트기반의 통합침입탐지시스템을 제공함으로써 달성될 수 있다.An object of the present invention as described above, in a host connected to the local network via an electronic communication line, the host is composed of an agent and a sensor unit of the client server networking type, the agent integrates the information detected by the sensor unit Integrating misuse and abnormal behavior, which consists of a judging unit for judging and a transmission unit for transferring the detected result to another system for the purpose of integration or logging, wherein the sensor unit comprises a host-based abnormal behavior detection sensor and misuse detection sensor of multiple models. It can be achieved by providing a host-based integrated intrusion detection system having a determination function.

여기서, 상기 복수 모델의 비정상행위 탐지센서는 HMM 방식의 비정상행위 탐지센서와 데이터 마이닝 방식의 비정상행위 탐지센서를 포함하는 것이 바람직하다.Here, the abnormal behavior detection sensor of the plurality of models preferably includes an abnormal behavior detection sensor of an HMM type and an abnormal behavior detection sensor of a data mining method.

또한 여기서, 상기 HMM 방식의 비정상행위 탐지센서는 시스템 호출, 파일 시스템, 및 시스템 호출과 파일 시스템에 대한 비정상행위를 탐지하는 것이 바람직하다.In addition, the HMM type abnormal behavior detection sensor preferably detects system calls, file systems, and abnormal behaviors on system calls and file systems.

또한 여기서, 상기 데이터 마이닝 방식의 비정상행위 탐지센서는 사용자들의 실행 명령어 및 프로그램간의 연관성 도출을 위해 연관규칙과 클러스터링 기법을 사용하여 비정상행위를 탐지하는 것이 바람직하다.In addition, the data mining abnormality detection sensor is preferably used to detect the abnormal behavior using the association rules and clustering techniques to derive the association between the user's execution command and the program.

또한 여기서, 상기 호스트 기반 오용행위 탐지센서가 퍼지 방식(Fuzzy Logic)과 컬러드 페트리넷(colored petri-nets) 기법을 사용하여 공격 패턴을 표현하여 명백한 침입행위를 탐지하는 것이 바람직하다.In this case, it is preferable that the host-based misuse detection sensor detects obvious intrusion by expressing an attack pattern using a fuzzy logic and colored petri-nets technique.

또한 본 발명의 목적은, 복수 모델의 호스트기반 비정상행위 탐지센서와 오용행위 탐지센서를 통하여 비정상행위 및 오용행위를 탐지하는 단계(S1), 호스트 수준에서 탐지된 각각의 비정상행위 및 오용행위 정보간의 반영비율 도출 단계(S2) 및 상기 호스트 수준에서 탐지된 비정상행위 및 오용행위에 대한 정보와 각각의 정보간의 반영비율을 통합 판정하여 침입정보를 생성하는 단계(S3)로 구성되는 것을 특징으로 하는 오용행위와 비정상행위 통합 판정 기능을 갖는 호스트 기반 통합침입탐지방법을 제공함으로써 달성된다.In addition, an object of the present invention, the step of detecting abnormal behavior and misuse through the host-based abnormal behavior detection sensor and the misuse detection sensor of a plurality of models (S1), between each abnormal behavior and misuse information detected at the host level Misuse characterized in that it comprises the step of deriving the reflection ratio (S2) and the step of generating intrusion information by integrally determining the reflection ratio between the information on the abnormal behavior and misuse behavior detected at the host level and each information (S3) This is accomplished by providing a host-based integrated intrusion detection method with integrated behavior and abnormal behavior determination.

여기서, 상기 단계(S1)에서의 복수 모델의 비정상행위 탐지센서는 HMM방식과 데이터 마이닝 방식으로 비정상행위를 탐지하는 것이 바람직하다.Here, it is preferable that the abnormal behavior detection sensor of the plurality of models in the step (S1) detect the abnormal behavior by the HMM method and the data mining method.

또한 여기서, 상기 비정상행위 탐지센서는 HMM방식으로는 시스템 호출, 파일 시스템, 및 시스템 호출과 파일 시스템에 대한 비정상행위를 탐지하고, 데이터 마이닝 방식으로는 사용자들의 실행 명령어 및 프로그램간의 연관성을 보는 연관 규칙과 클러스터링 기법의 비정상행위를 탐지하는 것이 바람직하다.Here, the abnormal behavior detection sensor detects system calls, file systems, and abnormal behaviors on system calls and file systems by HMM method, and the association rule that sees correlation between execution commands and programs of users by data mining method. It is desirable to detect anomalous behavior of clustering and clustering techniques.

또한 여기서, 상기 오용행위 탐지센서는 퍼지 방식 및 컬러드 페트리넷 방식으로는 공격 패턴을 분석하여 호스트 내에서의 오용행위를 탐지하는 것이 바람직하다.Also, the misuse detection sensor may detect misuse in the host by analyzing an attack pattern in a fuzzy method and a colored petrinet method.

또한 여기서, 상기 탐지된 각각의 비정상행위 및 오용행위 정보간의 반영비율 도출 단계(S2)가, 각 센서에서 탐지된 탐지값에 대한 신뢰도(λ) 파일을 읽고 신뢰도에 기반하여 각 사용자별 정상행위로부터의 위배정도의 값을 사용자의 아이디별로 다시 저장하는 단계(S11), 각 탐지센서의 로그 파일을 읽는 단계(S12), 각 탐지센서의 모든 로그 파일을 다 읽었는지 확인하는 단계(S13), 각 탐지센서의 로그 파일을 모두 읽지 않은 경우 복수 모델의 비정상행위 탐지센서 및 오용행위 탐지센서의 로그를 읽고, 각각의 센서의 통합판정 시간 단위의 로그값 중 최고값을 저장하는 단계(S14), 저장된 각각의 센서의 통합판정시간 단위의 로그값 중 최고값의 시간을 비교하여 그 시간대 값이 없으면 0으로 처리하고, 있으면 그 값을 따로 저장하는 단계(S15), 모든 로그 파일이 다 읽은 경우 상기 로그의 최고값들을 센서별로 최고값 행렬에 저장하는 단계(S16), 및 각 탐지센서별로 다른 센서의 반영비율을 계산하여 저장하는 단계(S17)로 구성되는 것이 바람직하다.In addition, the step of deriving the reflection ratio between each detected abnormal behavior and misuse information (S2) reads the reliability (λ) file for the detection value detected by each sensor and reads from the normal behavior for each user based on the reliability. Re-saving the value of the degree of violation for each user ID (S11), reading the log file of each detection sensor (S12), checking whether all log files of each detection sensor (S13), each If the log files of the detection sensor are not read, reading the logs of the abnormal behavior detection sensor and the misuse detection sensor of a plurality of models, and storing the highest value among the log values of the integrated determination time unit of each sensor (S14), stored Comparing the time of the highest value among the log value of the unit of the integrated determination time of each sensor, and if the time zone value does not exist, processing as 0, and if it is stored separately (S15), all log wave If the read is preferably configured as a step (S16), and step (S17) which calculates and stores a reflection ratio of the other sensor of each detection sensor to store the maximum value of the matrix up to a value of the log by the sensor.

또한 여기서, 상기 탐지된 비정상행위 및 오용행위에 대한 정보와 각각의 정보간의 반영비율을 통합 판정하여 침입정보를 생성하는 단계(S3)가, 각 탐지센서의 로그파일을 읽는 단계(S31), 각 탐지센서의 로그에 사용자 아이디별로 신뢰도(λ) 정보를 적용하는 단계(S32), 신뢰도 데이터가 반영된 탐지센서의 로그 데이터를 각 사용자 아이디별 및 각 탐지센서별로 큐에 추가 갱신하는 단계(S33), 통합 판정부의 탐지 시간을 확인하는 단계(S34), 탐지 시간을 확인하여 일치하지 않는 경우 상기 단계(S32) 및 단계(S33)를 반복하고, 일치하는 경우 각 탐지센서의 판정값(v)을 큐에서 꺼내는 단계(S35), 및 상기 반영비율을 저장하고 있는 행렬(η)을 적용하여 통합 판정부의 최종판정값을 결정하여 통합 판정부 로그파일에 저장하는 단계(S36)로 구성되는 것이 바람직하다.Here, the step (S3) of generating the intrusion information by determining the reflection rate between the information on the detected abnormal behavior and misuse and the respective information (S3), reading the log file of each detection sensor (S31), each Applying reliability (λ) information for each user ID to a log of the detection sensor (S32), additionally updating log data of the detection sensor in which reliability data is reflected to a queue for each user ID and each detection sensor (S33), Checking the detection time of the integrated determination unit (S34), and if it does not match by checking the detection time and repeat the step (S32) and step (S33), and if it matches, the determination value ( v ) of each detection sensor The step S35 is taken out of the queue, and the final determination value of the integrated determination unit is determined by applying the matrix η storing the reflection ratio and stored in the integrated determination unit log file (S36). Ha .

이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시예를 상세하게 설명한다.Hereinafter, with reference to the accompanying drawings will be described in detail a preferred embodiment of the present invention.

도 1에 도시된 바와 같이, 본 발명에 따른 복수모델의 통합침입탐지 방법은 호스트 내에서 비정상행위 및 오용행위를 탐지하는 단계(S1), 탐지된 비정상행위 및 오용행위 정보의 반영비율 도출 단계(S2), 및 상기 호스트 수준에서 탐지된 비정상행위 및 오용행위에 대한 정보와 각각의 정보간의 반영비율을 통합 판정하여 침입정보를 생성하는 단계(S3)로 구성된다.As shown in FIG. 1, the integrated intrusion detection method of a plurality of models according to the present invention includes detecting abnormal behavior and misuse in a host (S1), and deriving a reflection ratio of detected abnormal behavior and misuse information (step 1). S2) and a step (S3) of generating intrusion information by integrating and determining the reflection rate between the information on the abnormal behavior and misuse behavior detected at the host level and the respective information.

도 2에 도시된 바와 같이, 상기 호스트(1)에는 각각 에이전트(104)와 센서부(103)가 구비되고, 상기 에이전트는 전송부(101)와 통합 판정부(102)로 구성된다.As shown in FIG. 2, the host 1 is provided with an agent 104 and a sensor unit 103, respectively, and the agent is composed of a transmission unit 101 and an integrated determination unit 102.

도 2에 도시된 바와 같이, 상기 센서부에는 복수개의 데이터 마이닝 방식의 호스트 기반 비정상행위 탐지센서(105), HMM 방식의 호스트기반 비정상행위 탐지센서(106) 및 호스트 기반 오용행위 탐지센서(107)가 구비된다.As shown in FIG. 2, the sensor unit includes a plurality of data mining host-based abnormal behavior detection sensors 105, a HMM-based host abnormal behavior detection sensor 106, and a host-based misuse detection sensor 107. Is provided.

통합 판정이 이루어지는 곳은 하나의 호스트(1) 내로, 호스트(1)에서는 오용행위 또는 비정상행위 정도를 탐지하는 복수 모델의 탐지센서들이 구비된 센서부(103)가 에이전트(104)의 통합 판정부(102)로 모두 연결되어 오용행위 또는비정상행위에 대한 정보를 제공한다. 즉, 오용행위 탐지센서(107) 정보와 비정상행위 탐지센서(105, 106)의 정보를 통합 판정부(102)에서 조합하여 판정한 후 그 결과를 전송부(101)를 통해 다른 침입 탐지 시스템 또는 로깅 시스템으로 전송할 수 있다.The integrated determination is made in one host 1, and in the host 1, the sensor unit 103 equipped with a plurality of models of detection sensors for detecting the degree of misuse or abnormal behavior is the integrated determination unit of the agent 104. All links to (102) provide information on misuse or abnormal behavior. That is, the misuse detection sensor 107 information and the abnormal behavior detection sensors 105 and 106 are combined and determined by the integrated determination unit 102, and the result is transmitted to the other intrusion detection system through the transmission unit 101 or Can be sent to a logging system.

다양한 탐지센서의 탐지정보를 결합하여 최상의 탐지정보를 도출하는데 있어서 탐지센서간의 연관성을 반영하고, 침입의 강도 혹은 정상행위에 대한 위배정도 조정하고, 통합 판정시간을 동기화하는 것이 필요하다.In order to derive the best detection information by combining detection information of various detection sensors, it is necessary to reflect the correlation between detection sensors, adjust the intensity of intrusion or violation of normal behavior, and synchronize the integrated decision time.

탐지센서간의 연관성을 반영하는 이유는 하나의 이벤트에 대해 두 개의 센서가 반응할 수도 있으며, 때에 따라서 한 개의 센서만 반응할 수도 있기에, 하나의 이벤트에 대해 각각의 센서가 반응할 경우 각각의 센서는 연관성이 있을 가능성이 있는 만큼, 평상시의 이런 가정 하에 통합 판정을 하게 된다.The reason for reflecting the association between the detection sensors is that two sensors may respond to an event, and only one sensor may react at a time. Therefore, when each sensor responds to an event, each sensor As likely to be relevant, integration decisions are made under these usual assumptions.

각각의 탐지센서에서 같은 탐지 정도의 값을 보내준다 할지라도 같은 수준의 공격위험도를 의미하지는 않는다. 호스트 기반의 비정상행위 탐지센서의 경우, 사용자별로 비정상행위인지를 가리는 임계값(threshold)을 가지기 때문에 일률적으로 각각의 탐지센서에서 보내주는 정보를 통합해서는 안 된다. 따라서, 통합하여 의미 있는 하나의 최종탐지 결과를 내보내기 위해 사전에 탐지정보의 위배정도 조정단계를 거친다.Even if each detection sensor sends the same level of detection, it does not mean the same level of attack risk. In the case of host-based anomaly detection sensors, each user has a threshold that indicates whether an anomaly is detected. Therefore, information sent from each detection sensor should not be uniformly integrated. Therefore, the violation of detection information is adjusted in advance in order to integrate and export a single final detection result.

각각의 탐지센서에서의 측정은 탐지센서의 특성에 따라 또는 사용자의 정상행위 패턴에 따라 그 시기가 다르다. 따라서 동일한 사건을 가지고 다르게 반응하는 탐지센서들의 의견을 조율하는 통합 판정에 있어서는 해당 통합 판정이 이루어지는 시점을 정하는 문제가 상당히 중요할 수 있다. 여기에서 만일 하나의 탐지센서가 반응하는 시간이 통합 판정 시간의 기준시간으로 정해지면 올바른 통합 판정이 이루어지지 않는다. 그 이유는 통합 판정의 기준이 되어지는 탐지센서가 제대로 동작을 하지 않거나 탐지 정보를 출력하지 않을 때에는 통합 판정이 이루어지지 않기 때문이다. 따라서 본 발명에서는 통합 판정을 위한 큐(queue)에 처음으로 탐지 정보가 들어가는 시각을 기점으로 수 초 단위 또는 수 분단위로 통합 판정이 수행되도록 통합 판정시간의 동기화가 가능하도록 하였으며 이와 같은 시간은 관리자가 임의로 결정할 수 있도록 하였다.The timing of each detection sensor differs depending on the characteristics of the detection sensor or the normal behavior pattern of the user. Therefore, in the integrated decision coordinating the opinions of detection sensors having the same event and responding differently, the problem of determining when the integrated decision is made may be very important. Here, if the time for one detection sensor to respond is determined as the reference time of the integrated determination time, the correct integrated determination is not made. The reason is that when the detection sensor which is the basis of the integrated determination does not operate properly or does not output detection information, the integrated determination is not made. Therefore, in the present invention, it is possible to synchronize the integrated determination time so that the integrated determination is performed on the basis of the time when the detection information first enters the queue for the integrated determination in the unit of seconds or minutes. Can be arbitrarily determined.

센서부(103)의 HMM 방식의 비정상행위 탐지센서에는 시스템 호출(system call)에 대한 비정상행위 탐지, 파일 시스템(file system)에 대한 비정상행위 탐지와 시스템 호출 및 파일 시스템(system call and file system)에 대한 비정상행위 탐지를 담당하는 3개의 센서가 구비된다. 센서부의 데이터 마이닝 방식의 비정상행위 탐지센서에는 사용자가 실행한 명령어 또는 프로그램간의 연관성과 클러스터링 관련 비정상행위를 탐지하는 2개의 비정상행위 탐지센서가 구비된다.The HMM type abnormal behavior detection sensor of the sensor unit 103 includes abnormal behavior detection for a system call, abnormal behavior detection for a file system, system call and file system, and the like. Three sensors are in charge of detecting abnormal behaviors. The abnormal behavior detection sensor of the data mining method of the sensor unit includes two abnormal behavior detection sensors that detect an abnormal behavior related to clustering and an association between a command or a program executed by a user.

센서부(103)의 오용행위 탐지센서는 퍼지 방식과 컬러드 페트리넷 방식으로 공격 패턴을 분석하여 오용행위를 탐지한다.The misuse detection sensor of the sensor unit 103 detects misuse behavior by analyzing an attack pattern in a fuzzy method and a colored petrinet method.

이상의 탐지센서 외에도 다른 복수모델의 탐지센서의 추가가 가능하다.In addition to the above detection sensors, it is possible to add other multiple detection sensors.

에이전트(104)는 탐지 기준을 달리하는 복수모델의 호스트기반 침입탐지센서로부터 생성된 탐지 정보를 수집하며, 이때 수집된 정보는 통합 판정부에 의해 통합되어진다. 클라이언트 서버 네트워킹 형식을 이루며 이는 다른 침입탐지 시스템과의 확장 및 통합이 용이하도록 하기 위해서이다.The agent 104 collects detection information generated from a plurality of models of host-based intrusion detection sensors having different detection criteria, and the collected information is integrated by the integrated determination unit. It is in the form of client-server networking, to facilitate expansion and integration with other intrusion detection systems.

도 3에 도시된 바와 같이, 에이전트(104)는 호스트 기반의 비정상행위 탐지센서인 HMM 센서(106)와 데이터 마이닝 센서(105)에서 탐지된 결과와 오용행위 탐지센서(107)의 탐지결과로부터 센서 및 사용자별 임계값을 결정하고, 통합 센서(117)에 의해 복수모델의 탐지센서간 연관성을 도출하고, 통합 판정센서에 의해 실시간 통합 판정을 수행하는 기능을 한다. 또한, 다른 침입탐지시스템과의 통합이나 확장을 고려하여 통합 판정에 필요한 정보를 다른 시스템에 전송하는 기능을 포함한다.As shown in FIG. 3, the agent 104 is a sensor based on the results detected by the HMM sensor 106 and the data mining sensor 105, which are host-based abnormal behavior detection sensors, and the detection results of the misuse detection sensor 107. And determining a threshold value for each user, deriving an association between a plurality of models of detection sensors by the integrated sensor 117, and performing real-time integration determination by the integrated determination sensor. It also includes a function for transmitting information necessary for integration determination to other systems in consideration of integration or expansion with other intrusion detection systems.

호스트의 각 탐지센서는 서로 다른 영역을 탐지·처리할 수 있으며 동일한 영역도 탐지할 수 있다. 각 탐지센서가 나름대로의 탐지결과를 낼 때, 에이전트의 통합 판정센서는 그 결과를 조율하게 된다. 호스트 탐지센서의 통합모듈은 각각의 호스트 탐지센서로부터 수집된 정보를 통합 분석함으로써 각 센서의 탐지결과를 검증하고 단일 센서로서 탐지할 수 없는 공격 행위들을 판정한다.Each detection sensor on the host can detect and process different areas and can also detect the same area. As each detection sensor produces its own detection results, the agent's integrated decision sensor coordinates the results. The integrated module of the host detection sensor verifies the detection result of each sensor by integrating and analyzing the information collected from each host detection sensor and determines attack behaviors that cannot be detected as a single sensor.

통합 판정은 오프라인과 온라인으로 동작하는데, 오프라인에서는 실시간 통합 판정을 수행될 수 있도록 통합 센서로부터 복수 모델의 탐지센서간 연관성이 도출되고, 센서별 또는 사용자별로 비정상 행위 여부를 가리는 임계값을 결정한다. 이와 같은 정보를 기반으로 통합 판정센서는 실시간으로 통합 판정을 수행한다.The integrated decision works offline and online. In offline, a correlation between a plurality of models of detection sensors is derived from the integrated sensor so as to perform a real-time integrated decision, and a threshold value for detecting abnormal behavior by sensor or user is determined. Based on this information, the integrated decision sensor performs the integrated decision in real time.

상기 센서 및 사용자별 임계값을 결정하는 단계에서는 센서가 출력하는 판정 결과의 분포를 분석하기 위해, 먼저 학습용 데이터를 비정상행위 탐지센서에서 학습시키고, 상기 학습용 데이터에 대한 비정상행위 탐지센서의 탐지결과를 분석한다. 상기 탐지 결과를 구간별로 나누어 분석하여 일반적으로 도 4에 도시된 바와 같은 정상행위에 대한 비정상행위 탐지센서의 판정 분포도를 얻는다. 상기 탐지결과는 정상행위에 대한 판정 결과로써 공격이 포함되어 있지 않은 상태이다.In the step of determining the sensor and the user-specific threshold value, in order to analyze the distribution of the determination result output by the sensor, first learning data for learning in the abnormal behavior detection sensor, and detects the detection result of the abnormal behavior detection sensor for the learning data Analyze The detection result is divided and analyzed for each section to obtain a decision distribution diagram of an abnormal behavior detection sensor for a normal behavior as shown in FIG. 4. The detection result is a state in which the attack is not included as a determination result for normal behavior.

상기 정상행위에 대한 비정상행위 탐지센서의 판정 분포도는 정상행위가 수행되었을 때 비정상행위 탐지센서에서 어떻게 반응할 것인지를 미리 추정하는 데에 사용된다. 이러한 추정을 통해 정상행위와 비정상행위 사이의 구분을 정확히 할 수 있으며 오탐지를 줄이는 효과를 발휘할 수 있다.The determination distribution of the abnormal behavior detection sensor for the normal behavior is used to estimate in advance how the abnormal behavior detection sensor will react when the normal behavior is performed. This estimation makes it possible to accurately distinguish between normal and abnormal behaviors and to reduce false positives.

도 4에서, x축(비정상행위도)의 값이 1에 가까울수록 비정상행위도가 높은 것이다. 도 4에서, 일반적으로 0∼0.5 사이에 1차 군집이 형성되고 0.5∼0.7 사이에 2차 군집이 형성됨을 알 수 있다. 1차 군집에 해당되는 부분은 정확히 판단된 정상행위이고, 2차 군집에 해당하는 부분은 학습 상의 오차나 알고리즘상의 오차에 의하여 나타나는 현상이다. 2차 군집 부분은 정상행위일 수도 있고 비정상행위일 수도 있는 애매한 부분이다. 따라서, 이 부분은 통합 판정 과정을 통하여 다른 센서의 결과와 조율하여 판정함으로써 정확도를 높일 수 있다.In FIG. 4, the closer the value of the x-axis (abnormal behavior degree) is to 1, the higher the abnormal behavior degree. In FIG. 4, it can be seen that a primary cluster is generally formed between 0 and 0.5 and a secondary cluster is formed between 0.5 and 0.7. The part corresponding to the first cluster is a normal behavior determined correctly, and the part corresponding to the second cluster is a phenomenon caused by an error in learning or an algorithm. The second cluster is an obscure part that may be normal or abnormal. Therefore, this part can be improved by coordinating with the results of other sensors through the integrated determination process.

도 4 도시된 정상행위에 대한 비정상행위 탐지센서의 판정 분포도를 자동적으로 해석하고, 1차 군집과 2차 군집을 자동적으로 나누는 방법은 판정 분포도의 x축을 등간격의 구간으로 나누고, 연속인 그래프를 구간별로 적분하여 그래프의 면적을 구하는 방법을 이용한다.4 is a method of automatically interpreting a decision distribution diagram of an abnormal behavior detection sensor for normal behavior, and automatically dividing a first cluster and a second cluster by dividing the x-axis of the decision distribution into equally spaced intervals, and forming a continuous graph. Integrate by section to find the area of the graph.

도 5에 도시된 바와 같이, x축을 등간격의 구간으로 나누고, 연속인 그래프에서 각 구간별 면적의 비율로써 정상행위에 확실히 속하는 부분과 그렇지 않은 부분을 나눌 수 있다. 즉, 각 비정상행위 탐지센서의 탐지결과에서 비정상행위 여부를 가리는 임계값을 구할 수 있다.As shown in FIG. 5, the x-axis is divided into equally spaced intervals, and a portion that is surely belonging to normal behavior and a portion that is not normal may be divided by the ratio of the area of each interval in the continuous graph. That is, a threshold value for detecting abnormal behavior may be obtained from detection results of each abnormal behavior detection sensor.

도 5에 도시된 판정 분포도에 있어서, 체형 적분법에 따라 비정상 행위정도를 나타내는 x축을 n개의 구간으로 나누고, 각 구간에서 x축을 따라 적분하면 n번째 구간의 면적은 다음의 수학식 1과 같다.In the decision distribution diagram shown in FIG. 5, when the x-axis indicating the degree of abnormal behavior is divided into n sections according to the body integration method, the area of the n-th section is expressed by Equation 1 below by integrating along the x-axis in each section.

수학식 1에 나타난 n번째 구간의 면적A n 으로부터 전구간의 면적을 구하면 다음의 수학식 2와 같다.When the area of the whole area is obtained from the area A n of the n-th section shown in Equation 1, Equation 2 is obtained.

만약 시스템 사용자의 정상행위 판정결과에 대해 90%의 신뢰도를 갖는다면, 면적A의 90%값까지만 정상행위로 유효한 영역이라고 볼 수 있다. 따라서, 비정상행위 여부를 가리는 임계값은 다음의 수학식 3을 만족시키는i값이 된다.If the system user has a 90% confidence in the normal behavior judgment result, it can be regarded as a valid area for normal behavior only up to 90% of the area A. Therefore, the threshold value that indicates whether an abnormal behavior is an i value satisfying the following equation (3).

구간k-1≤t≤k가 정해지면 y t 는 두 점P k-1 , P k 를 지나는 직선의x=x t 에서의 값으로, 구간 [x k-1 , x t ]에서의 면적A t k-1 은 다음의 수학식 4와 같이 구해진다.When the interval k-1≤t≤k is determined, y t is the value at x = x t of a straight line passing through two points P k-1 and P k , and the area A in the interval [ x k-1 , x t ] t k-1 is obtained as shown in Equation 4 below.

도 5에 도시된 판정 분포도의 전체 면적A를 다음의 수학식 5와 같이 정의하고, 정상행위 비율을R로 정의하면 분리가 되는 임계값(x t )은 다음의 수학식 6을 만족시키는x t 로 구해진다.It is determined the total area A defined by the following equation (5) in, and the threshold value (x t) which when separated define normal behavior ratio R of the distribution shown in Fig. 5 is x t satisfy the following equation (6) of Obtained by

도 6은 구해진 구간 [x k-1 , x k ]에서 정상행위 비율R에 해당하는 임계값(x t )의 위치를 보여주고 있다. 도 6에서 사용된a,b,h, x 변수들을 아래의 수학식 7 및수학식 8과 같이 정의한다.6 shows the obtained section [x k-1 , x k Normal behavior rateRThreshold corresponding tox t ) Shows the location. Used in Figure 6a,b,h, x The variables are defined as in Equations 7 and 8 below.

도 6에서 c의 값은 비례식에 의해 아래의 수학식 9와 같이 구해진다.In FIG. 6, the value of c is calculated by the proportional expression as in Equation 9 below.

여기에서cx를 사용하면 사다리꼴의 정리에 의해 아래의 수학식 10과 같이 θ가 구해진다.If c and x are used, θ is obtained by the trapezoidal theorem as shown in Equation 10 below.

위 식을x에 대한 방정식으로 정리하면 다음의 수학식 11과 같다.Summarizing the above equation into an equation for x , the following equation (11) is obtained.

여기에서 근의 공식을 사용하고,x t 가 구간 [x k-1 , x k ]에 있어야 한다는 것을 참조하여x값을 구하면 아래의 수학식 12와 같다.Here, using the root formula and referring to the fact that x t should be in the interval [ x k-1 , x k ] to obtain the value of x is given by Equation 12 below.

이렇게 하여 아래의 수학식 13과 같이 임계값x t 를 구할 수 있다.In this way, a threshold value x t can be obtained as shown in Equation 13 below.

상기 각 센서 및 사용자별 정상행위 판정결과에 대한 신뢰도(λ)를 구하는 변수를 기록해 둔다. 이러한 기록은 통합 센서에서 각 센서의 결과 값을 조정하는데 사용하기 때문에 읽어서 테이블을 구성한 후 파일로 저장한다.The variables for obtaining the reliability [lambda] for each sensor and user's normal behavior determination result are recorded. Since these records are used by the integrated sensor to adjust the results of each sensor, they are read, organized in a table, and saved to a file.

각각의 탐지센서에서 같은 탐지 정도의 값을 보내준다 할지라도 같은 수준의 공격위험도를 의미하지는 않으며, 더욱이 비정상행위 탐지센서의 경우 사용자별로 임계값을 가지기 때문에, 일률적으로 각각의 탐지센서에서 보내주는 정보를 통합하지는 않으며, 복수모델 탐지센서의 탐지의견 간에 비율을 조정하는 단계를 거친다. 즉, 통합한 후의 결과가 의미 있도록 하기 위하여 통합하기 전에 퍼지함수를 사용하여 탐지의견의 비율을 조정한다.Even though each detection sensor sends the same value of detection level, it does not mean the same level of attack risk. Moreover, since abnormal behavior detection sensor has a threshold value for each user, information sent from each detection sensor uniformly It does not integrate the data, and adjusts the ratio between the detection opinions of the multiple model detection sensors. In other words, the fuzzy function is used to adjust the ratio of detection opinions before integration so that the results after integration are meaningful.

예를 들어 두 개의 탐지센서에서 동시에 70의 값을 보내준다 하더라도 A 센서의 임계값이 40이고 B 센서의 임계값이 60이라면 A에서 보내준 행위는 그만큼 정상에서 더 많이 벗어난 행위이기에 더욱 위험한 침입행위라고 판단할 수 있다.For example, even if two detection sensors send a value of 70 at the same time, if sensor A's threshold is 40 and sensor B's threshold is 60, the action sent by A is more dangerous than the normal. You can judge.

따라서 아래의 수학식 6과 같은 관계를 이용하여 위험정도를 각각의 임계값에 대해 규준화하였다.Therefore, the risk level was normalized for each threshold value using the relationship shown in Equation 6 below.

통합 센서는 각 로그 파일을 읽어서 통합시간 단위로 구분하여 결합(merge)한 후 임시파일에 저장하고, 상기 임시파일을 본 발명에서 제시한 알고리즘에 따라 오프라인에서 호스트의 각 센서의 반영비율(η)을 구한다. 상기 반영비율은 별도의 파일에 저장된다. 센서의 반영비율을 구하기 위해서는 비정상행위 및 공격행위가 포함된 데이터를 선택하고 그에 대한 각 센서의 탐지결과를 각각의 로그파일에 기록하게 한다.The integrated sensor reads each log file, divides them into units of integration time, merges them, and stores them in a temporary file, and reflects the temporary file (η) of each sensor of the host offline according to the algorithm proposed by the present invention. Obtain The reflectance ratio is stored in a separate file. In order to obtain the reflectance rate of the sensor, data including abnormal behavior and attack behavior are selected and the detection result of each sensor is recorded in each log file.

도 7에 도시된 바와 같이, 호스트 기반의 복수모델 탐지센서 간의 연관성을 도출하기 위해 반영비율을 구하는 과정은, 앞서 저장된 각 탐지센서의 신뢰도(λ) 파일을 읽어 신뢰도에 기반하여 각 사용자별 정상행위로부터의 위배정도의 값을 사용자 ID별로 다시 저장하는 단계(S11), 각 탐지센서의 로그 파일을 읽는 단계(S12), 각 탐지센서의 모든 로그 파일을 다 읽었는지 확인하는 단계(S13), 각 탐지센서의 로그 파일을 모두 읽지 않은 경우 HMM 방식의 센서, 데이터 마이닝 방식의 센서 및 오용행위 탐지센서 등의 로그를 읽고, 각각의 센서의 통합판정시간단위의 로그값 중 최고값을 저장하는 단계(S14), 기록된 로그 정보의 통합판정시간을 비교하여 그 시간대 값이 없으면 0으로 처리하고 있으면 그 값을 따로 저장하는 단계(S15), 모든 로그 파일이 다 읽은 경우 상기 로그의 최고값들을 센서별로 최고값 행렬에 저장하는 단계(S16), 및 각 탐지센서별로 다른 센서의 반영비율을 계산하여 저장하는 단계(S17)로 이루어진다.As shown in FIG. 7, in order to derive an association ratio between the host-based multi-model detection sensors, a process of calculating a reflection ratio may be performed by reading a reliability (λ) file of each detection sensor stored in advance and performing normal behavior for each user based on the reliability. Re-store the value of the violation from the user ID for each step (S11), reading the log file of each detection sensor (S12), checking whether all log files of each detection sensor (S13), each If the log files of the detection sensors are not read, reading the logs of the HMM sensor, the data mining sensor, and the misuse detection sensor, and storing the highest value among the log values of the integrated determination time unit of each sensor ( S14), comparing the integrated determination time of the recorded log information, and if the time zone value does not exist and processing as 0, storing the value separately (S15), when all log files are read. By step (S16), and each detection sensor to store the maximum value of the matrix up to a value of the log sensor by a step (S17) which calculates and stores a reflection ratio of the other sensor.

즉, 각 탐지센서의 같은 행위에 대하여 각 센서가 어떻게 반응하는 지를 조사하여 이로부터 각 탐지센서의 탐지영역과 각 탐지센서의 탐지영역이 얼마나 연관성을 갖는 지를 알 수 있다. 즉, 하나의 탐지센서가 침입 가능성이 높다고 판단하였을 때 다른 탐지센서는 이에 어떻게 반응하는 지 조사하여 이를 센서간의 연관성으로 표현할 수 있다. 일반적으로 같은 행위에 대하여 비슷한 결과 값을 도출하는 경우 연관성이 높다고 정의할 수 있다. 이러한 연관성은 전체적인 반영 비율보다 각 센서의 결과 값이 특히 높았을 때 다른 센서의 반응정도로써 표현한다. 다음의 수학식 7은i번째 센서가 가장 높은 결과 값을 도출하였을 때의 반영비율(η)을 표현한 것이다.That is, by examining how each sensor responds to the same behavior of each detection sensor, it is possible to know how the detection area of each detection sensor is related to the detection area of each detection sensor. That is, when it is determined that one detection sensor has a high probability of intrusion, the other detection sensor may investigate how it reacts and express it as an association between the sensors. In general, a similar result can be defined when a similar result is obtained for the same behavior. This correlation is expressed as the response of the other sensor when the resulting value of each sensor is particularly higher than the overall reflectance ratio. Equation 7 below represents the reflectance ratio (η) when the i- th sensor derives the highest result value.

여기서M은 센서의 수 (1≤iM, 1≤jM)이고,P i v i 가 나타날 확률을 의미한다. 위의 수학식 7은 베이지안 통계학에서 빌려온 수식 형태이다.Where M is the number of sensors (1 ≦ iM , 1 ≦ jM ), and P i is the probability that v i will appear. Equation (7) is a mathematical form borrowed from Bayesian statistics.

여기서 구해지는 반영비율은 한번의 계산으로 구해지는 것이 아니라 충분히많은 실험 데이터를 통한 결과이어야 한다. 따라서, 반영비율을 구하기 위한 실험용 로그 파일을 적용하여 각 센서별로 도출된 결과를 다음의 수학식 8과 같이 평균하여 반영비율로 취한다.The reflectance ratio obtained here should not be calculated by one calculation but should be the result of sufficient experimental data. Therefore, by applying an experimental log file to obtain the reflection ratio, the results obtained for each sensor are averaged as in Equation 8 below and taken as the reflection ratio.

여기서 구해진 평균(η')이 반영비율로써 사용된다. 여기서의R은 시간의 개념으로 일정한 기간동안의 레코드 크기를 나타낸다.The average? Obtained here is used as the reflectance ratio. Where R is the concept of time and represents the record size for a certain period.

반영비율의 역할은 여러 센서가 각각의 의견을 도출했을 때, 그 의견을 조율하여 하나의 종합된 의견으로 만드는 것이다. 반영비율은 각 센서의 연관관계가 잘 반영되어 있어야 한다. 하나의 센서가 강한 의견을 내었을 때, 그것을 얼마만큼 믿을 수 있느냐는 그 의견을 뒷받침하는 다른 센서의 의견이다. 반영비율은 센서 수에 따라 2차원 배열로 구성된다. 2차원 배열의 행은 가장 크게 주장하는 센서이며 열은 그를 뒷받침하는 다른 센서의 의견의 신뢰성이 된다. 위에서 많은 실험 데이터를 이용해서 반영 비율이 구해져야 한다는 말은 바로 실제 환경에서의 각 센서별 반영비율이 생성되어야 하기 때문이다.The role of the reflecting ratio is to coordinate the opinions of the various sensors when they derive their respective opinions into a single, aggregated opinion. The reflectance ratio should reflect the relationship of each sensor. When one sensor has a strong opinion, how much it can be trusted is the opinion of other sensors that support it. The reflectance ratio consists of a two-dimensional array depending on the number of sensors. The row of the two-dimensional array is the most asserted sensor, and the column is the credibility of the opinion of the other sensor that supports it. The reason that the reflectance ratio should be obtained by using a lot of experimental data above is that the reflectance ratio for each sensor in the actual environment should be generated.

도 8은 위에서 구해진 반영비율의 값이 기록된 테이블의 예이다. 탐지센서의 탐지결과에서 높은 판정 결과가 나오지 않는 경우, 즉 클러스터링 규칙의 경우 테이블에 0으로만 표시된다. 이렇게 하나의 센서에 대한 다른 센서의 의견이 반영되지 않는 것은 그 센서의 알고리즘 상의 문제를 포함하여 여러 원인이 있을 수 있다. 따라서, 각 탐지센서에서 판단한 결과가 적절한 분포를 이루도록 해야 한다.8 is an example of a table in which the values of the reflection ratios obtained above are recorded. If the detection result of the detection sensor does not produce a high determination result, that is, in the case of a clustering rule, only zero is displayed in the table. This failure to reflect the opinions of other sensors on one sensor can have many causes, including problems with the algorithm of the sensor. Therefore, the results determined by each detection sensor should be properly distributed.

도 9에 도시된 방사형 그래프에서 방사형 그래프의 축의 의미는 그 센서의 값이 가장 높게 나타났을 때를 나타낸다. 예를 들어 연관규칙 탐지센서가 가장 높게 결과를 내었을 때 시스템 호출 비정상행위가 다음 높고 나머지 HMM센서가 뒤따름을 알 수 있다.The meaning of the axis of the radial graph in the radial graph shown in FIG. 9 indicates when the value of the sensor is the highest. For example, when the associated rule detection sensor has the highest result, it can be seen that the system call abnormal behavior is next higher, followed by the remaining HMM sensors.

침입의 강도 혹은 정상행위에 대한 위배정도를 조정하기 위해 실시간으로 기록된 각 탐지센서의 로그는 지역 호스트 통합 판정부에서 받아, 앞서 언급한 판정 결과에 대한 신뢰도(λ)가 기록된 파일을 적용한다. 위배정도의 값은 사용자별 큐에 해당 통합판정시간동안에 최고값으로 갱신되면서 입력으로 들어간다. 이때 큐는 사용자별로 각 탐지센서의 개수만큼 생성된다. 앞서 통합 센서에 의해 생성된 탐지센서의 반영비율 행렬에 각 탐지센서의 탐지값(v)을 적용하여 최대값을 최종 판정값으로 결정한다.The log of each detection sensor recorded in real time to adjust the strength of the intrusion or the degree of violation of normal behavior is received by the local host integration decision unit, and the file of the reliability (λ) of the aforementioned determination result is applied. . The violation value is entered into the user queue as it is updated to the highest value during the integration decision time. At this time, the number of cues is generated for each user by the number of detection sensors. The maximum value is determined as the final determination value by applying the detection value v of each detection sensor to the reflection rate matrix of the detection sensor generated by the integrated sensor.

즉, 최종 판정값은 아래의 수학식 9와 같다.That is, the final determination value is expressed by Equation 9 below.

도 10에 도시된 바와 같이, 통합 판정부에 의한 실시간 통합 판정은, 각 탐지센서의 로그파일을 읽는 단계(S31), 사용자 아이디별로 신뢰도(λ) 정보를 읽어 위배도 조정과정을 거치는 단계(S32), 신뢰도 데이터가 반영된 탐지센서의 로그 데이터를 각 사용자 아이디별 및 각 탐지센서별로 큐에 추가 갱신하는 단계(S33), 통합 판정부의 통합판정 시간이 일치하는지 확인하는 단계(S34), (일치하지 않는 경우 상기 S32 및 S33 단계를 반복하고,) 일치하는 경우 각 탐지센서의 판정값을 큐에서 꺼내는 단계(S35), 앞서 구한 반영비율을 저장하고 있는 행렬(η')을 적용하여 판정부의 최종판정값을 결정하여 통합 판정부의 로그파일에 저장하는 단계(S36)로 이루어진다.As shown in FIG. 10, in the real-time integration determination by the integration determination unit, step S31 of reading the log file of each detection sensor and reading the reliability λ information for each user ID is performed to adjust the latitude (S32). ), Updating the log data of the detection sensor reflecting the reliability data to the queue for each user ID and each detection sensor (S33), checking whether the integrated determination time of the integrated determination unit is identical (S34), (matching If not, repeat steps S32 and S33, and if it matches, take the determination value of each detection sensor out of the queue (S35), and apply the matrix η 'which stores the reflection ratio obtained above. In operation S36, the final determination value is determined and stored in the log file of the integrated determination unit.

전송부(101)는 다른 침입탐지 시스템과의 통합 및 확장 시에 탐지된 침입정보를 다른 곳에 전송할 수 있도록 해준다. 이때 전송부(101)는 해당 호스트의 IP 주소를 삽입하여 전송함으로써 다른 침입탐지 시스템 입장에서는 어디에서 일어난 침입행위인지를 알 수 있도록 하고, 또한 호스트별로 연관성 테이블을 생성할 수 있도록 한다.The transmission unit 101 may transmit the detected intrusion information to another location when integrating and expanding with other intrusion detection systems. In this case, the transmission unit 101 inserts and transmits the IP address of the corresponding host so that the intrusion detection system may know where the intrusion occurred. Also, the transmission unit 101 may generate an association table for each host.

이상에서 설명한 바와 같이, 본 발명에 의하면, 복수모델의 호스트기반 침입탐지센서들의 탐지정보를 통합 판정부로 보내어 통합 분석함으로써, 침입탐지센서들의 탐지 정보에 대해 신뢰성을 부여하고 복수모델의 침입탐지센서의 탐지 정보를 서로 관련시켜 통합 판정이 가능하다.As described above, according to the present invention, the detection information of the plurality of models of the host-based intrusion detection sensor is sent to the integrated determination unit to perform an integrated analysis, thereby providing reliability to the detection information of the intrusion detection sensors and inducing detection sensors of the multiple models. It is possible to make an integrated decision by correlating detection information of each other.

또한, 본 발명에 의하면, 호스트 내에서 복수모델의 오용행위와 비정상행위 탐지센서 통합 판정을 통해 탐지 영역을 확대시키고 탐지의 정확성을 크게 향상시킬 수 있다.In addition, according to the present invention, it is possible to enlarge the detection area and greatly improve the accuracy of detection through the integrated determination of misuse and abnormal behavior detection sensors of multiple models in the host.

이상에서는 본 발명의 특정의 바람직한 실시예에 대하여 도시하고 또한 설명하였다. 그러나, 본 발명은 상술한 실시예에 한정되지 아니하며, 특허청구의 범위에서 청구하는 본 발명의 요지를 벗어남이 없이 당해 발명이 속하는 기술분야에서 통상의 지식을 가진 자라면 누구든지 다양한 변형실시가 가능할 것이다.In the above, certain preferred embodiments of the present invention have been illustrated and described. However, the present invention is not limited to the above-described embodiments, and various modifications can be made by those skilled in the art without departing from the gist of the present invention as claimed in the claims. will be.

Claims (13)

삭제delete 삭제delete 삭제delete 삭제delete 삭제delete 하나의 호스트 내에서 복수 모델의 비정상행위 탐지센서와 오용행위 탐지센서를 통하여 비정상행위 및 오용행위를 탐지하는 단계(S1);Detecting abnormal behavior and misuse through multiple models of abnormal behavior detection sensors and misuse detection sensors in one host (S1); 탐지된 각각의 비정상행위 및 오용행위 정보간의 반영비율 도출 단계(S2); 및A step of deriving a reflection ratio between each detected abnormal behavior and misuse information (S2); And 상기 탐지된 비정상행위 및 오용행위에 대한 정보와 각각의 정보간의 반영비율을 통합 판정하여 호스트 기반의 침입정보를 생성하는 단계(S3)로 구성되는, 오용행위와 비정상행위의 통합 판정 기능을 갖는 호스트기반의 통합침입탐지방법으로서,The host having an integrated determination function of misuse and abnormal behavior, comprising the step (S3) of generating a host-based intrusion information by integrating and determining the information on the detected abnormal behavior and misuse and the reflection rate between each information. Based integrated intrusion detection method, 상기 탐지된 각각의 비정상행위 및 오용행위 정보간의 반영비율 도출 단계(S2)는,Derivation ratio derivation step (S2) between the detected abnormal behavior and misuse information, 각 센서에서 탐지된 탐지값에 대한 신뢰도(λ) 파일을 읽고 신뢰도에 기반하여 각 사용자별 정상행위로부터의 위배정도의 값을 사용자의 아이디별로 다시 저장하는 단계(S11),Reading the reliability (λ) file for the detection value detected by each sensor and resave the value of the violation degree from normal behavior for each user based on the reliability for each user ID (S11), 각 탐지센서의 로그 파일을 읽는 단계(S12),Reading a log file of each detection sensor (S12), 각 탐지센서의 모든 로그 파일을 다 읽었는지 확인하는 단계(S13),Checking whether all log files of each detection sensor have been read (S13), 각 탐지센서의 로그 파일을 모두 읽지 않은 경우 복수 모델의 비정상행위 탐지센서 및 오용행위 탐지센서의 로그를 읽고, 각각의 센서의 통합판정 시간 단위의 로그값 중 최고값을 저장하는 단계(S14),If the log files of each detection sensor are not read, reading the logs of the abnormal behavior detection sensor and the misuse detection sensor of a plurality of models, and storing the highest value among the log values of the integrated determination time unit of each sensor (S14), 저장된 각각의 센서의 통합판정시간 단위의 로그값 중 최고값의 시간을 비교하여 그 시간대 값이 없으면 0으로 처리하고, 있으면 그 값을 따로 저장하는 단계(S15),Comparing the time of the highest value among the log value of the unit of the integrated determination time of each sensor stored, and if the time zone value does not exist, processing as 0, and if it is stored separately (S15), 모든 로그 파일을 다 읽은 경우 상기 로그의 최고값들을 센서별로 최고값 행렬에 저장하는 단계(S16), 및If all log files have been read, storing the highest values of the logs in the highest value matrix for each sensor (S16), and 각 탐지센서별로 다른 센서의 반영비율을 계산하여 저장하는 단계(S17)로 구성되고;Comprising a step of calculating and storing the reflection ratio of the different sensor for each detection sensor (S17); 상기 탐지된 비정상행위 및 오용행위에 대한 정보와 각각의 정보간의 반영비율을 통합 판정하여 침입정보를 생성하는 단계(S3)는,In step S3 of generating the intrusion information by integrating and determining the reflection rate between the information on the detected abnormal behavior and misuse and the respective information, 각 탐지센서의 로그파일을 읽는 단계(S31),Reading a log file of each detection sensor (S31), 각 탐지센서의 로그에 사용자 아이디별로 신뢰도(λ) 정보를 적용하는 단계(S32),Applying reliability (λ) information for each user ID to a log of each detection sensor (S32), 신뢰도 데이터가 반영된 탐지센서의 로그 데이터를 각 사용자 아이디별 및 각 탐지센서별로 큐에 추가 갱신하는 단계(S33),Further updating the log data of the detection sensor reflecting the reliability data to the queue for each user ID and each detection sensor (S33), 통합 판정부의 탐지 시간을 확인하는 단계(S34),Checking the detection time of the integrated determination unit (S34), 탐지 시간을 확인하여 일치하지 않는 경우 상기 단계(S32) 및 단계(S33)를 반복하고, 일치하는 경우 각 탐지센서의 판정값(v)을 큐에서 꺼내는 단계(S35), 및Checking the detection time and repeating steps (S32) and (S33) if they do not match, and if there is a match, removing the determination value ( v ) of each detection sensor from the queue (S35), and 상기 반영비율을 저장하고 있는 행렬(η)을 적용하여 통합 판정부의 최종판정값을 결정하여 통합 판정부 로그파일에 저장하는 단계(S36)로 구성되는 것을 특징으로 하는 통합침입탐지방법.And determining (S36) the final determination value of the integrated determination unit by applying the matrix (η) storing the reflection ratio and storing the final determination value in the integrated determination unit log file (S36). 제 6 항에 있어서, 상기 단계(S1)에서의 복수 모델의 비정상행위 탐지센서는HMM방식과 데이터 마이닝 방식으로 비정상행위를 탐지하는 것을 특징으로 하는 오용행위와 비정상행위의 통합 판정 기능을 갖는 호스트기반의 통합침입탐지방법.7. The host-based system of claim 6, wherein the abnormal behavior detection sensor of the plurality of models in the step S1 detects the abnormal behavior by the HMM method and the data mining method. Integrated Intrusion Detection Method. 제 6 항 또는 제 7 항에 있어서, 상기 단계(S1)에서의 상기 비정상행위 탐지센서는,The method of claim 6 or 7, wherein the abnormal behavior detection sensor in the step (S1), HMM방식으로는 시스템 호출 순서, 파일 시스템, 및 시스템 호출과 파일 시스템에 대한 비정상행위를 탐지하고,HMM method detects system call sequence, file system, and abnormal behavior on system call and file system. 데이터 마이닝 방식으로는 사용자들의 실행 명령어 및 프로그램간의 연관성을 보는 연관 규칙과 클러스터링 기법의 비정상행위를 탐지하는 것을 특징으로 하는 오용행위와 비정상행위의 통합 판정 기능을 갖는 호스트기반의 통합침입탐지방법.The data mining method is a host-based integrated intrusion detection method having an integrated determination function of misuse and abnormal behavior, characterized by detecting the association between the user's execution command and the program and the abnormal behavior of the clustering technique. 제 6 항에 있어서, 상기 오용행위 탐지센서는 퍼지 방식 및 컬러드 페트리넷 방식으로 공격 행위를 표현하여 오용행위를 탐지하는 것을 특징으로 하는 오용행위와 비정상행위의 통합 판정 기능을 갖는 호스트기반의 통합침입탐지방법.8. The host-based integration of claim 6, wherein the misuse detection sensor detects misuse by expressing an offense in a fuzzy manner and a colored Petrinet method. Intrusion Detection Method. 삭제delete 제 6 항에 있어서, 상기 단계 (S11)에서 복수 모델의 탐지센서의 값을 통합판정하기 위한 사전 단계로 퍼지를 이용한 다음의 수학식7. The following equation according to claim 6, wherein the step (S11) uses fuzzy as a preliminary step for integrating the values of detection sensors of a plurality of models. 에 의해 각 탐지센서의 값을 규율하는 단계를 포함하는 것을 특징으로 하는 오용행위와 비정상행위의 통합 판정 기능을 갖는 호스트기반의 통합침입탐지방법.Host-based integrated intrusion detection method having an integrated determination function of misuse and abnormal behavior, characterized in that it comprises the step of regulating the value of each detection sensor by. 제 11 항에 있어서, 상기 각 탐지센서별로 다른 센서의 반영비율을 계산하여 저장하는 단계(S17)가 다음의 수학식12. The method of claim 11, wherein the calculating and storing the reflection ratio of the different sensor for each detection sensor (S17) is the following equation 에 의해 구해지는 반영비율(η)을 구하는 단계(a)와, 상기 반영비율(η)을 구하는 단계(a)를 소정 횟수 반복하여 얻어지는 소정 개수의 반영비율(η)들을 다음의 수학식 A predetermined number of reflection ratios η obtained by repeating a step (a) of obtaining the reflection ratio η obtained by the above step and the step (a) of the reflection ratio η being obtained a predetermined number of times are calculated as follows. 을 이용하여 평균하여 최종의 반영비율(η')을 구하는 단계(b)를 더 포함하는 것을 특징으로 하는 오용행위와 비정상행위의 통합 판정 기능을 갖는 호스트기반의 통합침입탐지방법. And (b) obtaining a final reflection ratio η 'by averaging using the host-based integrated intrusion detection method having an integrated determination function of misuse and abnormal behavior. 삭제delete
KR10-2002-0045985A 2002-08-03 2002-08-03 The intrusion detection system and method unifying and resolving the misuses and anomalies of host KR100464598B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR10-2002-0045985A KR100464598B1 (en) 2002-08-03 2002-08-03 The intrusion detection system and method unifying and resolving the misuses and anomalies of host

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR10-2002-0045985A KR100464598B1 (en) 2002-08-03 2002-08-03 The intrusion detection system and method unifying and resolving the misuses and anomalies of host

Publications (2)

Publication Number Publication Date
KR20040013173A KR20040013173A (en) 2004-02-14
KR100464598B1 true KR100464598B1 (en) 2005-01-03

Family

ID=37320529

Family Applications (1)

Application Number Title Priority Date Filing Date
KR10-2002-0045985A KR100464598B1 (en) 2002-08-03 2002-08-03 The intrusion detection system and method unifying and resolving the misuses and anomalies of host

Country Status (1)

Country Link
KR (1) KR100464598B1 (en)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100449476B1 (en) * 2002-10-01 2004-09-22 한국정보보호진흥원 The hierarchical intrusion detection system and method unifying and resolving the misuses and anomalies of network
KR101256671B1 (en) * 2006-06-16 2013-04-19 주식회사 케이티 Methofd for testing detection performance of intrusion detection system and the media thereof
KR100767589B1 (en) * 2006-07-20 2007-10-17 성균관대학교산학협력단 Fuzzy logic anomaly detection scheme for directed diffusion based sensor networks
KR100922579B1 (en) 2006-11-30 2009-10-21 한국전자통신연구원 Apparatus and method for detecting network attack

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0965902A2 (en) * 1994-06-28 1999-12-22 National Semiconductor Corporation Secure data processor with cryptography and tamper detection
KR20000040269A (en) * 1998-12-17 2000-07-05 이계철 Method for realtime invasion detection using agent structure in realtime invasion detection system
KR20000072707A (en) * 2000-09-20 2000-12-05 홍기융 The Method of Intrusion Detection and Automatical Hacking Prevention
US6321338B1 (en) * 1998-11-09 2001-11-20 Sri International Network surveillance
KR20020062070A (en) * 2001-01-19 2002-07-25 주식회사 정보보호기술 Intrusion Detection System using the Multi-Intrusion Detection Model and Method thereof
KR20020072618A (en) * 2001-03-12 2002-09-18 (주)세보아 Network based intrusion detection system
KR20020075319A (en) * 2002-07-19 2002-10-04 주식회사 싸이버텍홀딩스 Intelligent Security Engine and Intelligent and Integrated Security System Employing the Same

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0965902A2 (en) * 1994-06-28 1999-12-22 National Semiconductor Corporation Secure data processor with cryptography and tamper detection
US6321338B1 (en) * 1998-11-09 2001-11-20 Sri International Network surveillance
KR20000040269A (en) * 1998-12-17 2000-07-05 이계철 Method for realtime invasion detection using agent structure in realtime invasion detection system
KR20000072707A (en) * 2000-09-20 2000-12-05 홍기융 The Method of Intrusion Detection and Automatical Hacking Prevention
KR20020062070A (en) * 2001-01-19 2002-07-25 주식회사 정보보호기술 Intrusion Detection System using the Multi-Intrusion Detection Model and Method thereof
KR20020072618A (en) * 2001-03-12 2002-09-18 (주)세보아 Network based intrusion detection system
KR20020075319A (en) * 2002-07-19 2002-10-04 주식회사 싸이버텍홀딩스 Intelligent Security Engine and Intelligent and Integrated Security System Employing the Same

Also Published As

Publication number Publication date
KR20040013173A (en) 2004-02-14

Similar Documents

Publication Publication Date Title
US20200241514A1 (en) Method and systems for fault detection and identification
CN112987675B (en) Method, device, computer equipment and medium for anomaly detection
US8037533B2 (en) Detecting method for network intrusion
US8635498B2 (en) Performance analysis of applications
US7716329B2 (en) Apparatus and method for detecting anomalous traffic
US7769561B2 (en) Robust sensor correlation analysis for machine condition monitoring
CN112822206B (en) Network cooperative attack behavior prediction method and device and electronic equipment
Stan et al. Intrusion detection system for the MIL-STD-1553 communication bus
US7716152B2 (en) Use of sequential nearest neighbor clustering for instance selection in machine condition monitoring
US11640459B2 (en) Abnormality detection device
KR20180046598A (en) A method and apparatus for detecting and managing a fault
CN111586028B (en) Abnormal login evaluation method and device, server and storage medium
US20230153428A1 (en) Information processing device, information processing method, recording medium, information processing system
CN106685996A (en) Method for detecting account abnormal logging based on HMM model
CN111970229A (en) CAN bus data anomaly detection method aiming at multiple attack modes
CN112787984A (en) Vehicle-mounted network anomaly detection method and system based on correlation analysis
CN118041661A (en) Abnormal network flow monitoring method, device and equipment based on deep learning and readable storage medium
CN110020868A (en) Anti- fraud module Decision fusion method based on online trading feature
CN116450137A (en) System abnormality detection method and device, storage medium and electronic equipment
KR100464598B1 (en) The intrusion detection system and method unifying and resolving the misuses and anomalies of host
CN117473477A (en) Login method, device and equipment of SaaS interactive system and storage medium
CN117729027A (en) Abnormal behavior detection method, device, electronic equipment and storage medium
CN115085948A (en) Network security situation assessment method based on improved D-S evidence theory
KR100449476B1 (en) The hierarchical intrusion detection system and method unifying and resolving the misuses and anomalies of network
US12050680B2 (en) Anomaly detection apparatus, anomaly detection method, and non-transitory storage medium

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20121218

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20140114

Year of fee payment: 10

LAPS Lapse due to unpaid annual fee