• 한국정보통신학회논문지
• /
• 제7권5호
• /
• pp.978-985
• /
• 2003

시스템에서 사용 패턴의 다양화 때문에 비정상 행위 탐지 IDS를 구현하는 것은 오용탐지 IDS를 구현하는 것보다 많은 어려움이 있다. 따라서 상용화되어 있는 대부분의 IDS는 오용 탐지 방법에 의한 것이다. 그러나 이러한 오용 탐지 방법에 의한 IDS는 변형된 침입 패턴이 발생할 경우 탐지해내 지 못한다는 단점을 가지고 있다. 본 논문에서는 감사데이터간의 침입 관계를 가지고 침입을 탐지하기 위해 데이터 마이닝 기법을 적용한다. 분산되어 있는 IDS에서의 에이전트는 시스템을 감시할뿐만 아니라 로그데이터까지 수집할 수 있다. 침입탐지시스템의 핵심인 탐지정확도를 높이기 위해 긍정적 결함이 최소화 되어야 한다. 따라서 감사데이터 학습단계에서 변형된 침입 패턴을 예측하기 위해서 데이터 마이닝 알고리즘을 적용한다.

• 한국컴퓨터정보학회지
• /
• 제15권1호
• /
• pp.53-64
• /
• 2007

본 논문에서는 최근의 해킹사고에서 침입자는 피해시스템에서 자신의 IP주소 노출을 피하기 위하여 피해 시스템을 직접 공격하지 않고 Stepping stone(경유지)을 이용하여 우회 공격을 수행한다. 본 논문에서는 로그기반에서는 네트워크 감사 정책을 이용하고, TCP 기반에서는 CIS, AIAA 기법과 네트워크 기반에서는 Thumbprints Algorithm, Timing based Algorithm, TCP Sequence number를 이용한 알고리즘, Sleep Watermark Tracking 기법을 이용하여 역추적 시스템을 제시하였으며, 현 인터넷 망의 구성의 물리적 또는 논리적 복잡성이 크다는 단점을 보완하기 위해, 날로 발전하고 빠른 기술 개발 속도를 갖는 침입 기술에 대응하기위해 하나의 시스템에 하나의 모듈이 아닌 기존의 알고리즘을 이용해 효과적인 역추적 시스템을 제시 하려 한다.

• 예술인문사회 융합 멀티미디어 논문지
• /
• 제8권5호
• /
• pp.303-314
• /
• 2018

지난 수년간, 정부 기관 및 기업들은 취약성을 악용하고 운영을 혼란시키며 중요한 정보를 훔칠 수 있도록 은밀하고 정교하게 설계된 사이버공격에 대하여 적절한 대응을 못하고 있는 상태이다. 보안정보 및 이벤트 관리(SIEM)는 이러한 사이버 공격에 대응할 수 있는 유용한 도구이지만, 시중에서 판매되고 있는 SIEM 솔루션은 매우 비싸며 사용하기가 어렵다. 그래서 우리는 차세대 보안 솔루션을 제공하기 위한 연구 및 개발을 진행하여 기본적인 SIEM 기능을 구현하게 되었으며 우리는 호스트로 부터 실시간 로그 수집과 집계 및 분석에 중점을 두었다. 이 툴은 포렌식을 위한 로그데이터의 파싱과 검색을 제공한다. 이는 기존의 단순한 로그관리 이외에 침입을 탐지하고 보안이벤트의 순위를 이용하여 사용자에게 경고를 할 수 있다. 이러한 보안정보의 운영과 시각화를 위해 Elastic Stack를 사용하였는데, Elastic Stack은 대량의 데이터로부터 정보를 탐색하고 상관관계를 식별하며 모니터링을 위한 풍부한 시각화를 생성 할 수 있는 유용한 툴이다. 본 논문에서는 취약성으로부터 정보를 수집하는 기능을 SIEM에 추가하는 방식을 제안하였다. 호스트를 공격하며 보안정보관리 체계를 기반으로 모니터링, 경고 및 보안감사에 대한 실시간 사용자의 대응을 확인할 수 있었다.

• 디지털융복합연구
• /
• 제12권12호
• /
• pp.303-311
• /
• 2014

클라우드 사용자들에게 책임 있는 서비스를 제공하는 클라우드 서비스의 책임 추적성(accountability)은 서비스 정책 준수, 모니터링 및 감사(auditing), 로그 정보 기록(logging) 등과 같은 여러 가지 기술을 적용한다. 궁극적으로 데이터 처리, 서비스 제공 과정에서 발생되는 여러 가지 문제들에 대해 누가 책임이 있는지를 판단함으로써 신뢰되는 클라우드 서비스를 제공하는 것을 목적으로 한다. 먼저, 부가가치가 높은 콘텐츠 서비스 제공 시에 안전하고 신뢰되는 DRM 클라우드 서비스를 제공하기 위해 본 논문에서는 콘텐츠 및 DRM 클라우드 서비스 체인을 이루는 클라우드 에코 시스템을 제시한다. 또한 콘텐츠 소유자와 콘텐츠 사용자의 DRM 클라우드 서비스에 대한 요구사항을 분석하고, 책임 추적을 위해 기록해야 할 로그 정보 및 모니터링 툴 구조를 제안한다.

• 정보보호학회논문지
• /
• 제26권5호
• /
• pp.1131-1139
• /
• 2016

레지스트리 하이브 파일 구조에서 sk(security key) 셀은 레지스트리 키에 대한 접근제한 기능을 제공한다. 따라서 sk 셀에 대한 악의적인 변조가 이루어진 하이브 파일이 사용된다면 공격자는 레지스트리의 비밀 정보를 알아내거나 이벤트 로그 감사정책, 휴지통, 프리패치 생성여부와 같은 보안과 관련된 설정을 조작할 수 있다. 본 논문은 하이브 파일을 셀 단위로 변조하여 레지스트리 키의 접근제한 속성을 조작할 수 있는 유효한 방법을 제시한다. 그리고 이러한 조작으로 인해 일어날 수 있는 보안 측면의 문제점과 의도적으로 변조된 하이브 파일에 남아 있을 수 있는 흔적에 대해 논의한다.

• 한국컴퓨터정보학회논문지
• /
• 제12권3호
• /
• pp.185-194
• /
• 2007

WiBro가 IEEE802.16e로 국제 표준화 되었다. 국내뿐만 아니라 세계에서도 휴대인터넷으로 WiBro 서비스를 시작하고 있다. 본 논문에서는 불법 공격자인 해커가 휴대인터넷 WiBro의 이동단말을 이용하여 자신의 위치추적을 피하기 위하여, 피해 시스템을 직접 공격하지 않고 우회 공격을 수행한다. 현재 인터넷망에서 침입 기술에 적극적인 보안을 위한 진보된 알고리즘을 응용하여 효과적인 역추적 기법 등을 연구한다. 공격자인 이동단말에 대한 역추적을 할 때, 실시간 네트워크 로그 감사기록을 이용하고, TCP/IP와 네트워크 기반에서는 Thumbprint Algorithm, Timing based Algorithm, TCP Sequence number 등을 이용한 알고리즘 및 SWT 기법 등을 이용한 역추적 기법 등을 설계하고, 역추적을 실시하였다. 또한 트래픽 폭주 공격에 대해 AS시스템을 이용한 네트워크 트래픽 관리와 통제 및 실시간으로 역추적을 하였다. 본 논문의 연구 결과는 유비쿼터스 환경에서의 WiBro 인터넷에서의 역추적을 실시하고 포렌식 자료를 확보하는데 이바지 할 수 있을 것이다.

• 정보처리학회논문지:컴퓨터 및 통신 시스템
• /
• 제5권12호
• /
• pp.491-498
• /
• 2016

최근 Windows PE와 같은 포터블 OS를 USB, CD/DVD 등의 이동식 저장매체에 저장하여 부팅하는 기법으로 기밀자료 및 내부정보가 유출되는 사례가 증가하고 있다. 이동식 저장매체를 이용한 이 부팅 기법은 타깃 PC에 설치된 USB 보안, 매체제어솔루션 등의 보안 소프트웨어의 우회가 가능하고, 부팅 후 PC의 저장매체를 마운트하여 정보 추출 및 악성코드 삽입 등의 행위가 가능하며, 이동식 저장매체의 사용흔적과 같은 로그기록이 남지 않는 특징이 있어 자료유출여부 확인과 역추적이 어렵다. 이에 본 논문에서는 플래시 메모리에서 BIOS 설정과 관련된 데이터가 기록되는 BIOS 펌웨어 이미지를 수집 및 분석하여 이상행위로 추정할 수 있는 이동식 저장매체를 이용한 부팅 흔적을 찾아 기업의 감사 또는 디지털 포렌식 수사를 수행하는데 도움이 될 수 있는 방안을 제시한다.

• 한국컴퓨터정보학회논문지
• /
• 제14권4호
• /
• pp.101-109
• /
• 2009

오라클 DBMS의 8i버전에서는 암호화 모듈이 기본적으로 장착되어 있으나, 암호화 모듈은 성능저하가 야기되어 제한적으로 적용되고 있다. 본 논문에서는 인덱스검색, 객체관리 혼란, 암호화로 인한 심각한 DB성능 저하, 실시간 데이터 암호화 미지원 IP기반의 데이터 접근제어 미지원으로 인한 기술별로 DB 보안의 문제점을 분석한다. 그리고 DB 보안의 가용성을 향상시키기 위해 암호화기술의 대체수단인 DB Masking 기법을 활용한 종합적인 보안 프레임워크를 제안한다. 취약점 개선안으로 가상계정을 이용하여 보안등급별로 DB Masking 기준을 설정하고, 가상계정을 통한 사용자 인증과 SQL문의 사전, 사후 결재 및 무결성을 체크하고, 감사 로그로 수집하여 DB를 안전하게 관리 할 수 있는 방안으로 활용한다.

• 한국컴퓨터정보학회논문지
• /
• 제14권12호
• /
• pp.181-190
• /
• 2009

초고속 인터넷의 웹 서비스를 사용하여 WAS를 통한 DBMS 접근이 늘어나고 있다. 불특정 다수에 의한 DBMS에 대한 3-Tier와 우회접속에 대한 접근 및 권한제어를 위해서는 DB보안 기술의 적용이 필요하다. WAS를 통해 DBMS에 우회접속을 하면 DBMS는 우회접속 사용자의 IP정보를 저장하지 못하고, 직전 시스템에 접속한 사용자인 WAS의 정보를 저장하게 된다. 본 논문에서는 WAS를 통해 DBMS에 우회접속하는 쿼리정보를 역추적하여 보안감사기록과 포렌식자료를 연구한다. 통신 경로에서 MetaDB를 구축해 웹을 통해 login한 사용자에 대한 세션과 쿼리 정보를 저장하고, DBMS에도 로그 되는 쿼리 정보를 저장해서 time stamp쿼리를 비교 매핑 하여 실제 사용자를 식별한다. 보안 신뢰성의 향상 방법으로, log을 받아 Pattern분석 후에 Rule을 만들어 적용하고, Module을 개발해 정보의 수집 및 압축을 통해 데이터 저장소에 보관한다. 보관된 정보는 지능형 DB보안 클라이언트를 이용한 분석과 정책 기반 관리 모듈의 통제를 통해 역추적의 오탐률을 최소화할 수 있게 한다.

• 한국컴퓨터정보학회논문지
• /
• 제12권1호
• /
• pp.161-168
• /
• 2007

웹에 대한 공격은 웹 서버 자체의 취약점 보다 웹 어플리케이션의 구조, 논리, 코딩상의 오류를 이용한다. OWASP에서 웹 어플리케이션 취약점을 10가지로 분류하여 발표한 자료에 의하면 웹 해킹의 위험성과 피해가 심각함을 잘 알 수 있다. 이에 따라 웹 해킹에 대한 탐지능력 및 대응이 절실히 요구된다. 이러한 웹 공격을 방어하기 위해 패턴 매칭을 이용한 필터링을 수행하거나 코드를 수정하는 방법이 있을 수 있지만 새로운 공격에 대해서는 탐지 및 방어가 어렵다. 또한 침입탐지시스템이나 웹 방화벽과 같은 단위보안 제품을 도입할 수 있지만 운영과 지속적인 유지를 위해서는 많은 비용과 노력이 요구되며 많은 탐지의 오류를 발생한다. 본 연구에서는 웹 어플리케이션의 구조와 파라미터 입력 값에 대한 타입, 길이와 같은 특성 값들을 추출하는 프로파일링 기법을 이용하여 사전에 웹 어플리케이션 구조 데이터베이스를 구축함으로서 사용자 입력 값 검증의 부재에 대한 해결과 비정상적인 요청에 대해 데이터베이스의 프로파일 식별자를 이용하여 검증하고 공격 탐지가 가능하다. 통합보안관리시스템은 현재 대부분 조직에서 도입하여 운영하고 있으며 일반화 되어있다. 그래서 통합보안관리시스템의 보안 감사 로그 수집 에이전트에 웹 어플리케이션 공격 탐지 기능을 추가한 모델을 제시함으로서 추가 단위보안제품을 도입하지 않고서도 웹 어플리케이션 공격을 탐지할 수 있도록 하였다.