• Proceedings of the Korea Database Society Conference
• /
• 2000.11a
• /
• pp.201-209
• /
• 2000

기존의 리눅스 운영체제에서는 임의적 접근제어(DAC)에 의해서 자원의 접근을 통제하며, 이 때의 접근제어 정보를 로그 파일을 통한 정적인 감사 추적에 의존하고 있다. 따라서 본 논문에서는 DAC와 함께 강제적 접근통제(MAC) 기법을 구현하여 커널 수준에서 자원을 안전하고 강제적으로 통제할 수 있는 다중등급보안(MLS) 시스템을 설계, 구현하였으며, 동적이며 실시간으로 감사 정보를 수집, 분석, 추적할 수 있도록 데이터베이스 연동을 통한 감사 추적 시스템을 설계하고 구현하였다. 데이터베이스 연동을 통한 실시간 감사 추적 시스템은 보안 관리자로 하여금 불법적 침입 및 자료의 유출에 대하여 실시간으로 대처할 수 있도록 한다. 본 논문에서는 이러한 리눅스 실시간 감사 추적 시스템을 설계하고 구현한 내용을 소개한다.

• KIPS Transactions on Software and Data Engineering
• /
• v.9 no.11
• /
• pp.351-356
• /
• 2020

With the spread of COVID-19 infections, the need for next-generation learning management system for undact education is rapidly increasing, and the Ministry of Education is planning future education through the establishment of fourth-generation NEIS. If the fourth-generation NEIS System is well utilized, there are advantages such as providing personalized education services and activating the use of educational data, but a solution to the illegal access problem in an access control environment where strict authorization is difficult due to various user rights. In this paper, we propose a blockchain-based access control audit system for next-generation learning management. Sensitive personal information is encrypted and stored using the proposed system, and when the auditor performs an audit later, a secret key for decryption is issued to ensure auditing. In addition, in order to prevent modification and deletion of stored log information, log information was stored in the blockchain to ensure stability. In this paper, a hierarchical ID-based encryption and a private blockchain are used so that higher-level institutions such as the Ministry of Education can hierarchically manage the access rights of each institution.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2001.10b
• /
• pp.1001-1004
• /
• 2001

현재 네트워크 기반의 침입 탐지는 대부분 오용 탐지 기법을 사용한다. 하지만 이는 알려지지 않은 침입을 탐지하는 능력이 떨어지는 기법으로서 이를 보완할 수 있는 비정상행위 탐지 기법을 찾는 것이 필요하다. 따라서 수집된 감사 자료로부터 정상행위를 프로파일링하고 침입임을 판정하는데 통계적인 기법을 사용하였다. 수집된 로그로부터 통계적인 방법으로 정상행위를 프로파일링하기 위해 우선 패킷으로부터 수집되는 감사 자료의 통계적인 특성을 대변하는 분포와 파라미터를 추정하고 카이스퀘어 검정법을 사용하여, 감사 자료가 가설하는 이론적인 분포의 특성을 가지고 있다고 판정되면 이를 정상행위의 기준으로 삼는다. 이후에 수집되는 감사자료를 감시하기 위해 추정된 분포와 파라미터를 따르고 있는지의 여부를 Kolmogorov-Smirnov 적합도 검정을 이용하여 판별하고, 이를 벗어나는 경우 침입으로 판정할 수 있도록 한다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2022.05a
• /
• pp.33-36
• /
• 2022

이벤트 로그(Event Log)는 윈도우 운영체제에서 시스템 로그를 기록하는 형식으로 시스템 운영에 대한 정보를 체계적으로 관리한다. 이벤트는 시스템 자체 또는 사용자의 특정 행위로 인해 발생할 수 있고, 그러한 이벤트 로그는 시스템의 시작과 종료뿐만 아니라 기업 보안 감사, 악성코드 탐지 등 행위의 근거로 사용될 수 있다. 본 논문에서는 PC 종료 관련 실험을 통해 이벤트 로그와 ID를 분석하였다. 분석 결과를 통해 PC의 정상 및 비정상 종료 여부를 판단하여, 현장 압수·수색 시 해당 저장매체에 대해 선별압수·매체압수의 해당 여부 식별이 가능하다. 본 연구는 현장수사관이 디지털증거 압수·수색 시 절차적 적법성과 증거능력 확보의 근거 활용에 기여할 수 있다.

• Proceedings of the Korean Information Science Society Conference
• /
• 2004.10a
• /
• pp.367-369
• /
• 2004

허니팟은 공격자들이 쉽게 공격할 수 있는 시스템이나 네트워크를 구성하여, 악성해커나 스크립트 키드들이 어떻게 시스템을 침입하고 공격하는지 감시할 수 있도록 구성되어 있는 시스템을 말한다. 일반적으로 허니팟은 방화벽과 로그 기록 등으로 감사기능을 수행하는데, 악성해커는 그 로그마저 복구할 수 없도록 삭제하는 경우도 있기 때문에 독립적인 추적 시스템이 필요하다. 본 논문에서는 LKM(Linux Kernel Module)기법을 이용한 키로거를 통해 공격자가 세션 상에서 입력하는 모든 키보드 내용을 기록하여 공격자의 행동을 쉽고 빠르게 분석하는 원격 키스트로크 모니터링 시스템을 설계해 보았다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2009.11a
• /
• pp.665-666
• /
• 2009

정보통신 기술과 저장 매체의 발전으로 많은 분야에 편리함과 더불어 산업기밀유출사고의 위험이 늘어나고 있다. 보안사고 중 80% 이상이 인적 보안 유출 이였으며 현직 직원의 유출은 약 25%정도의 부분을 차지하고 있었다. 기존의 단순한 시스템 로그 정보를 이용한 사용자 감사기술, DRM을 이용한 데이터 보호기술방법 보다는 진보된 방법이 필요하다. 사용자 정보와 시스템 정보, 시스템 콜 정보 수집을 통한 구분된 감사데이터의 통계기법을 이용한 지능적인 이상행위 탐지 기법을 제시한다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2014.11a
• /
• pp.540-543
• /
• 2014

수많은 데이터를 사용하는 기업 및 기관들은 전용 데이터베이스를 구축하여 모든 정보들을 저장, 관리하고 있다. 개인정보를 포함하여 비인가된 중요 정보들이 저장되어있음에도 불구하고 대부분의 경우 데이터베이스에 대한 보안적용이 되어있지 않거나 아주 미비한 상태이다. 보안사고의 대부분이 데이터베이스에 저장된 중요 정보가 유출되는 점을 보았을 때 데이터베이스 자체에 대한 보안시스템을 구축하여 예방하는 것이 보안사고의 피해를 막을 수 있는 가장 핵심적인 방법이라 할 수 있다. 이에 본 연구에서는 네트워크 패킷을 모니터링하여 데이터베이스의 성능에 영향을 미치지 않고 보안기능을 수행할 수 있는 Sniffing 을 이용한 방안을 제안한다. 제안 보안시스템은 별도의 하드웨어에서 기능을 수행하며 운영 중인 데이터베이스에 서비스의 중단 없이 보안시스템을 구축할 수 있도록 하였다. Sniffing 방식에서 접근제어 기능을 수행 할 수 있도록 알고리즘 설계를 하였으며 감사 로그를 기록할 때 가장 많은 부분을 차지하는 SQL 에 대해 MD5 해시함수를 적용하여 해당 로그에 대한 데이터크기를 크게 줄일 수 있었다. 운영중인 데이터베이스 환경에 영향을 주지 않으면서 높은 수준의 감사성능을 제공하고 다양한 보안 정책을 간단하게 적용할 수 있도록 구현하였으므로 데이터베이스에 저장된 중요정보의 유출을 예방하고, 보안사고가 일어났을 때 추적 및 증거자료로 활용할 수 있을 것이다.

• Proceedings of the Korean Institute of Information and Commucation Sciences Conference
• /
• 2014.10a
• /
• pp.211-212
• /
• 2014

This paper is to suggest the security requirements for identification and authentication in analysis step. Firstly, individual ID should be uniquely identified. The second element is to apply the length limitations, combination and periodic changes of passwords. The third should require the more reinforced authentication methods besides ID and passwords and satisfy the defined security elements on authentication process.

• Journal of Internet Computing and Services
• /
• v.17 no.6
• /
• pp.123-131
• /
• 2016

Process mining in big data environment utilize a number of data were generated from the business process. It generates lots of knowledge and insights regarding implementation and improvement of the process through the event log of the company's enterprise resource planning (ERP) system. In recent years, various research activities engaged with the audit work of company organizations are trying actively by using the maximum strength of the mining process. However, domestic studies on applicable sales auditing system for the process mining are insufficient under big data environment. Therefore, we propose process-mining methods that can be optimally applied to online and traditional auditing system. In advance, we propose continuous monitoring information system that can early detect and prevent the risk under the big data environment by monitoring risk factors in the organizations of enterprise. The scope of the research of this paper is to design a pre-verification system for risk factor via practical examples in sales auditing. Furthermore, realizations of preventive audit, continuous monitoring for high risk, reduction of fraud, and timely action for violation of rules are enhanced by proposed sales auditing system. According to the simulation results, avoidance of financial risks, reduction of audit period, and improvement of audit quality are represented.

• The Transactions of the Korea Information Processing Society
• /
• v.6 no.9
• /
• pp.2442-2450
• /
• 1999

The audit logging system is to write the details of systems use and access on networks. These details are used for trailing the route, when illegal access or using system resource is occurred on networks. The logging system therefore, might be the first target of intruder. We developed the logging system which writes the information of logging and command execution on UNIX system. And we prepared the self-protecting functions of blocking intruder's attack on the logging system. They are protecting the logging process and the log file. To protect the logging process, we made it keep changing the process ID to avoid the intruder's attack. To protect the log file, we use hard link and mandatory file locking, so it can make it impossible to delete or change log file.