earticle

영어

Network attacks become more and more diverse and precise, and thus detection rules also become numerous and complicated in network intrusion detection systems. Since, however, the detection rules are difficult to unify and manage efficiently, duplicate or similar rules are increasing. Moreover, these rules reduce the performance of the intrusion detection systems. In this paper, we develop a program for evaluating the similarity of detection rules and analyze, using the program, the similarity of detection rules used in Snort, a representative intrusion detection system. The program finds duplicate or similar rules based on a longest common subsequence algorithm and a sequence alignment algorithm. In our analysis, we found 1,377 duplicate or similar detection rules among 5,843 rules of Snort and classified the duplicate or similar rules according to their similarities. Furthermore, we analyze three rules individually and propose improvements on them.

한국어

네트워크를 이용한 공격이 점점 다양해지고 정밀해지면서 침입 탐지 시스템에서 사용하는 탐지규칙도 많아지고 복 잡해지고 있다. 하지만 탐지규칙을 효율적으로 통합하고 관리하기가 어려워 중복되거나 유사한 탐지규칙의 수가 급 속히 늘어나고 있으며, 이는 침입 탐지 시스템의 효율성을 크게 저하하는 원인이 되고 있다. 본 논문에서는 탐지규 칙의 유사도를 측정하는 프로그램을 개발하고 이를 이용하여 대표적인 침입탐지 시스템인 Snort에서 사용되는 탐 지규칙의 유사성을 분석한다. 유사도 측정 프로그램은 최장 공통부분 문자열 알고리즘과 서열 정렬 알고리즘을 사용 하여 중복되거나 유사한 탐지규칙을 찾는다. 분석 결과, Snort의 탐지규칙 5,843개에서 중복되거나 비슷한 탐지규 칙 1,377개를 찾았고 이들을 유사성에 따라 분류하였다. 또한, 탐지규칙 세 개를 개별적으로 분석하고 개선안을 제 시하였다.