• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2003년도 추계학술발표논문집 (하)
• /
• pp.1913-1916
• /
• 2003

오용행위와 비정상행위 그리고 알려지지 않은 공격을 탐지하기 위해 필요한 규칙들을 추출하는 방법이 계속 연구되고 있다. 기존의 네트워크 공격에 대한 침입탐지시스템의 탐지 패턴은 전문가의 수작업에 의해 생성되어 왔고, 수정이 필요할 경우 수작업을 필요로 했다. 그러나 네트워크 공격은 매시간 다양화되고 변형되기 때문에 적절한 대응이 필요하다. 본 논문에서는 이같은 문제를 결정트리를 사용하여 네트워크 패킷 내에서 공격형태를 패턴화하여 자동으로 탐지 패턴을 추출하는 방법을 제안한다.

• 한국정보과학회:학술대회논문집
• /
• 한국정보과학회 2004년도 가을 학술발표논문집 Vol.31 No.2 (1)
• /
• pp.307-309
• /
• 2004

침입탐지시스템에서 발생되는 오 경보는 false positive 와 false negative 로 구분된다. false positive는 실제적인 공격은 아니지만 공격이라고 오인하여 경보를 발생시켜 시스템의 효율성을 떨어뜨리기 때문에 false positive 패턴에 대한 분석이 필요하다. 오 경보 데이터는 시간이 지남에 따라 데이터의 양뿐만 아니라 데이터 패턴의 특성 또한 변하게 된다 따라서 새로운 데이터가 추가될 때마다 오 경보 데이터의 패턴을 분석할 수 있는 도구가 필요하다. 이 논문에서는 오 경보 데이터로부터 false positive 의 패턴을 분석할 수 있는 프레임워크에 대해서 기술한다. 우리의 프레임워크는 시간이 지남에 따라 변하는 데이터의 패턴 특성을 분석할 수 있도록 하기 위해 점진적 연관규칙 기법을 적용한다. 이 프레임워크를 통해서 false positive 패턴 특성의 변화를 효율적으로 관리 할 수 있다.

• 한국시뮬레이션학회:학술대회논문집
• /
• 한국시뮬레이션학회 2003년도 추계학술대회 및 정기총회
• /
• pp.127-132
• /
• 2003

현재의 네트워크는 다양한 서버, 라우터, 스위치 등 여러 장치들로 구성된 복잡한 구조를 가지고 있다. 정책 기반의 프레임워크는 복잡한 네트워크를 단순화하고 자동화하여 관리할 수 있는 도구를 제공한다. 본 논문에서는 여러 보안 시스템 모델들이 사용할 수 있는 취약성 정보들을 집약시킴으로써 보안 시스템간의 정보 공유를 쉽게 할 수 있는 SVDB (Simulation based Vulnerability Data Base)를 구축하였다. 또한 SVDB를 활용하여 보안 규칙을 유도하고 유도된 보안 규칙을 정책 기반 프레임워크에 적용할 수 있는 환경을 구성하였다. 정책 기반의 프레임워크에서 취약점 데이터베이스를 이용한 정책 유도와 적용을 검증하기 위해 서비스 거부 공격 (Denial of Service)과 Probing 공격을 사용하여 시뮬레이션을 수행하였다. 정책 기반의 프레임워크에서 보안 시뮬레이션을 수행함으로써 적용될 보안 정책이 기대되는 대로 동작하는지 검증할 수 있는 환경을 제공할 수 있을 것이다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2010년도 추계학술발표대회
• /
• pp.244-247
• /
• 2010

최근 Application 의 취약성을 악용한 해커들의 시스템 공격 사례가 증가하고 있다. 본 논문에서 다루는 코드 분석기는 이러한 해커의 공격을 사전에 차단하기 위해 사용자로부터 입력받은 Application 의 소스 코드가 사전에 탑재해 놓은 일련의 보안 규칙(Security Rule)을 제대로 준수하는지의 여부를 어휘 분석(Lexical Analysis)과 구문 분석(Semantic Analysis)을 통해 판별해 낸다. 본 코드 분석기는 미국 카네기멜론대학(CMU) 산하의 인터넷 해킹 보안 기구인 CERT 에서 제시하는 규칙을 그대로 적용하여 분석 결과의 정확도와 객관성을 높였으며, 이 분석기를 통해 프로그래머가 신뢰도와 보안성이 높은 소프트웨어를 개발할 수 있도록 하였다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2020년도 추계학술발표대회
• /
• pp.920-923
• /
• 2020

사이버 공격이 더욱 지능화됨에 따라 기존의 침입 탐지 시스템(Intrusion Detection System)은 기존의 저장된 패턴에서 벗어난 지능형 공격을 탐지하기에 적절하지 않다. 딥러닝(Deep Learning) 기반 침입 탐지는 새로운 탐지 규칙을 생성하는데 적절하다. 그 이유는 딥러닝은 데이터 학습을 통해 새로운 침입 규칙을 자체적으로 생성하기 때문이다. 침입 탐지 시스템 데이터 세트는 가장 널리 사용되는 KDD99 데이터와 LID-DS(Leipzig Intrusion Detection-Data Set)를 사용했다. 본 논문에서는 1차원 벡터를 이미지로 변환하고 CNN(Convolutional Neural Network)을 적용하여 두 데이터 세트에 대한 성능을 실험했다. 평가를 위해 Accuracy, Precision, Recall 및 F1-Score 지표를 측정했다. 그 결과 LID-DS 데이터 세트의 Accuracy가 KDD99 데이터 세트의 Accuracy 보다 약 8% 높은 것을 확인했다. 또한, 1차원 벡터에 대한 데이터를 Kibana를 사용하여 데이터를 시각화하여 대용량 데이터를 한눈에 보기 어려운 단점을 해결하는 방법을 제안한다.

• 한국정보과학회:학술대회논문집
• /
• 한국정보과학회 2002년도 가을 학술발표논문집 Vol.29 No.2 (1)
• /
• pp.4-6
• /
• 2002

네트워크의 광역화와 새로운 공격 유형의 발생으로 침입 탐지 시스템에서 새로운 시퀀스의 추가나 침입탐지 모델 구축의 수동적인 접근부분이 문제가 되고 있다. 특히 기존의 침입탐지 시스템들은 대량의 네트워크 하부구조를 가진 네트워크 정보를 수집 및 분석하는데 있어 각각 전담 시스템들이 담당하고 있다. 따라서 침입탐지 시스템에서 증가하는 많은 양의 감사데이터를 분석하여 다양한 공격 유형들에 대해서 능동적으로 대처할 수 있도록 하는 것이 필요하다. 최근, 침입 탐지 시스템에 데이터 마이닝 기법을 적용하여 능동적인 침입탐지시스템을 구축하고자 하는 연구들이 활발히 이루어지고 있다. 이 논문에서는 대량의 감사 데이터를 정확하고 효율적으로 분석하기 위한 마이닝 시스템을 설계하고 구현한다. 감사데이터는 트랜잭션데이터베이스와는 다른 특성을 가지는 데이터이므로 이를 고려한 마이닝 시스템을 설계하였다. 구현된 마이닝 시스템은 연관규칙 기법을 이용하여 감사데이터 속성간의 연관성을 탐사하고, 빈발 에피소드 기법을 적용하여 주어진 시간 내에서 상호 연관성 있게 발생한 이벤트들을 모음으로써 연속적인 시간간격 내에서 빈번하게 발생하는 사건들의 발견과 알려진 사건에서 시퀀스의 행동을 예측하거나 기술할 수 있는 규칙을 생성한 수 있다. 감사데이터의 마이닝 결과 생성된 규칙들은 능동적인 보안정책을 구축하는데 활용필 수 있다. 또한 데이터양의 감소로 침입 탐지시간을 최소화하는데도 기여한 것이다.

• 한국콘텐츠학회논문지
• /
• 제21권2호
• /
• pp.499-506
• /
• 2021

해커들의 사이버 공격기법은 전에 볼 수 없었던 형태의 공격으로 점점 더 정교해지고 다양화 되고 있다. 정보 보안 취약점 표준 코드(CVE)측면에서 살펴보면 2015년에서 2020년에 약 9 만 건의 신규 코드가 등록되었다[1]. 이는 보안 위협이 빠르게 증가하고 있음을 나타내고 있다. 신규 보안 취약점이 발생하면 이에 대한 대응 방안 마련을 통해 피해를 최소화해야 하지만, 기업의 경우 한정된 보안 IT예산으로 보안관리 수준과 대응체계를 감당하기에는 역 부족인 경우가 많다. 그 이유는 수동 분석을 통해 분석가가 취약점을 발견하고 보안장비를 통한 대응 방안 마련 및 보안 취약점 패치 까지 약 한 달의 시간이 소요되기 때문이다. 공공분야의 경우에는 국가사이버안전센터에서는 보안운영정책을 일괄적으로 배포하고 관리하고 있다. 하지만, 제조사의 특성에 따라 보안규칙을 수용하는 것이 쉽지 않으며, 구간 별 트래픽 검증작업까지 약 3주 이상의 시간이 소요된다. 그 외 비 정상적인 트래픽 유입이 발생하면 취약점 분석을 통한 침해행위 공격 검출 및 탐지와 같은 대응방안을 마련해야 하나, 전문적인 보안전문가 부재로 인하여 대응의 한계가 존재한다. 본 논문에서는 신규 보안 취약점 공격에 효과적인 대응 방안 마련을 위해 보안규칙정보 공유사이트 "snort.org"를 활용하는 방안을 제안하였다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2022년도 춘계학술발표대회
• /
• pp.531-534
• /
• 2022

승차 공유, 카풀, 렌터카의 이용률이 증가하면서 많은 사용자가 동일한 차량에 로컬 액세스 할 수 있는 시나리오가 더욱 보편화됨에 따라 차량 네트워크에 대한 공격 가능성이 커지고 있다. 차량용 CAN Bus Network에 대한 DoS(Denial of Service), Fuzzy Attack 및 Replay Attack과 같은 공격은 일부 ECU(Electronic Controller Unit) 비활성 및 작동 불능 상태를 유발한다. 에어백, 제동 시스템과 같은 필수 시스템이 작동 불가 상태가 되어 운전자에게 치명적인 결과를 초래할 수 있다. 차량 네트워크 침입 탐지를 위하여 많은 연구가 진행되고 있으나, 기존 화이트리스트를 이용한 탐지 방법은 새로운 유형의 공격이 발생하거나 희소성이 높은 공격일 때 탐지하기 어렵다. 본 논문에서는 인공신경망 기반의 CAN 버스 네트워크 침입 탐지 기법을 제안한다. 제안하는 침입 탐지 기법은 2단계로 나누어 진다. 1단계에서 정상 패킷 분포를 학습한 VAE 모형이 이상 탐지를 수행한다. 이상 패킷으로 판정될 경우, 2단계에서 인코더로부터 추출된 잠재변수와 VAE의 재구성 오차를 이용하여 공격 유형을 분류한다. 분류 결과의 신뢰점수(Confidence score)가 임계치보다 낮을 경우 학습하지 않은 공격으로 판단한다. 본 연구 결과물은 정보보호 연구·개발 데이터 첼린지 2019 대회의 차량 이상징후 탐지 트랙에서 제공하는 정상 및 3종의 차량 공격시도 패킷 데이터를 대상으로 성능을 평가하였다. 실험을 통해 자동차 제조사의 규칙이나 정책을 사전에 정의하지 않더라도 낮은 오탐율로 비정상 패킷을 탐지해 낼 수 있음을 확인할 수 있다.

• 한국정보과학회:학술대회논문집
• /
• 한국정보과학회 1999년도 가을 학술발표논문집 Vol.26 No.2 (3)
• /
• pp.321-323
• /
• 1999

UNIX 시스템에서 로그 시스템은 공격시 쉽게 변경 및 삭제되는 위험성이 있고 제한된 시스템 및 네트워크 정보를 제공하므로, 보다 안전하고 풍부한 정보의 제공을 위해 패킷 필터링을 이용한 로그 시스템 등이 제안되어 왔다. 그러나 기존의 패킷 필터링을 이용한 로그 시스템에서는 모든 패킷을 기록하여 많은 양의 데이터가 발생하였으므로, 관리자가 그 정보를 분석하기란 어려웠다. 본 논문에서는 패킷을 처리하는 과정에서 각종 유형의 침입에 대한 사전 조사와 분석으로 얻은 명령어와 인자들의 결합에 의한 판정 규칙을 적용하여, 위험가능성이 내재된 패킷만을 수집, 기록함으로서 데이터의 양을 줄이고 보다 효율적인 로그 정보를 기록할 수 있었다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2003년도 춘계학술발표논문집 (하)
• /
• pp.1579-1582
• /
• 2003

점차 네트워크상의 침입 시도가 증가되고 다변화되어 침입탐지에 많은 어려움을 주고 있다. 시스템에 새로운 침입에 대한 탐지능력과 다량의 감사데이터의 효율적인 분석을 위해 데이터마이닝 기법이 적용된다. 침입탐지 방법 중 비정상행위 탐지는 모델링된 정상행위에서 벗어나는 행위들을 공격행위로 간주하는 기법이다. 비정상행위 탐지에서 정상행위 모델링을 하기 위해 연관규칙이나 빈발에피소드가 적용되었다. 그러나 이러한 기법들에서는 시간요소를 배제하거나 패턴들의 발생순서만을 다루기 때문에 정확하고 유용한 정보를 제공할 수 없다. 따라서 이 논문에서는 이 문제를 해결할 수 있는 시간연관규칙과 분류규칙을 이용한 비정상행위 탐지 모델을 제안하였다. 즉, 발생되는 패턴의 주기성과 달력표현을 이용, 유용한 시간지식표현을 갖는 시간연관규칙을 이용해 정상행위 프로파일을 생성하였고 이 프로파일에 의해 비정상행위로 간주되는 규칙들을 발견하고 보다 정확한 비정상행위 판별 여부를 결정하기 위해서 분류기법을 적용하였다.