• 융합보안논문지
• /
• 제7권1호
• /
• pp.63-75
• /
• 2007

네트워크에 연결된 컴퓨터 시스템에 대한 공격을 탐지하기 위하여 침입 탐지 시스템을 설치한다. 기존의 침입 탐지 시스템은 포트 스캔 공격을 탐지하기 위해서 동일 발신지 주소를 갖는 시스템에서 특정시간에 일정 임계값을 초과하는 연결 설정 요청 패킷이 발생했는지를 검사하여 공격을 탐지하므로 실제 공격이 아닌데 공격이라고 탐지하는 False Positive가 높고, 특정시간의 임계값 보다 더 긴 주기로 공격을 시도하는 Slow 스캔 공격과 발신지 주소를 위조하여 공격하는 Coordinated 스캔 공격을 탐지하기 힘들다. 본 논문에서는 TCP의 비정상 연결 시도에서 응답하는 RST/ACK 플래그 패킷을 탐지하여 포트 스캔을 판단하는 탐지 규칙과 데이터 저장 구조를 제안하고 이를 기반으로 포트 스캔 탐지시스템을 설계하고 구현하였다. 제안된 시스템은 RST/ACK 플래그 패킷을 탐지하여 공격을 판단하므로 False Positive를 감소시키고, 적은 양의 데이터를 저장하여 긴 시간동안 데이터 유지할 수 있어 Slow 스캔을 탐지할 수 있고, 공격 대상에서 응답한 RST/ACK 패킷을 검사하여 Coordinated 스캔공격을 효율적으로 탐지할 수 있다.

• 한국산학기술학회논문지
• /
• 제11권1호
• /
• pp.130-140
• /
• 2010

SIP(Session Initiation Protocol)는 IP 기반의 VoIP(Voice over IP) 서비스를 실현하기 위한 시그널링 프로토콜이다. 그러나 SIP 프로토콜은 기존의 IP 망을 활용하기 때문에 많은 보안 취약점이 존재한다. 특히 SIP 헤더의 정보를 변경하여 전송하는 SIP Malformed 메시지 공격 같은 경우 VoIP 서비스의 오작동을 유발하거나, 악성코드를 삽입하여 SIP 클라이언트 시스템내 개인정보를 유출하는 등 심각한 문제점을 보이고 있어 이에 대한 대체 방안이 제시되어야 한다. 이에 본 논문에서는 SIP Malformed 메시지 공격탐지에 대한 기존의 연구를 분석하고, 언어 처리에서 단어의 연관성을 분석하는 기법으로 사용되는 공기 정보(Co-occurrence Information)와 네트워크에서 발생하는 실제 SIP 세션 상태 정보를 반영하여 SIP 연관규칙 패턴을 생성하는 기법을 제안하였다. 본 논문에서 제안한 공기정보 기반 SIP 연관규칙 패턴을 이용하여 SIP 비정상메시지 공격을 탐지한 결과 평균 87%의 탐지율을 보였다.

• 한국시뮬레이션학회논문지
• /
• 제19권2호
• /
• pp.73-80
• /
• 2010

무선 센서 네트워크는 다양한 응용분야에서, 개방된 환경에 배치되어지므로, 공격자에게 손쉽게 노출된다는 취약점을 가지고 있다. 선택적 전달 공격(Selective Forwarding Attack)은 센서 네트워크에서 발생할 수 있는 공격중의 하나로 공격자는 훼손된 노드를 통하여 전장지역에서의 적의 움직임등과 같이 중요한 정보의 기지노드까지 정상적인 전달을 차단하여 감시자의 원활한 탐지를 어렵게 한다. Xiao, Yu 그리고 Gao는 이와 같은 위협에 대한 대안으로 선택적 전달 공격 탐지기법(checkpointbased multi-hop acknowledgement scheme; 이하 CHEMAS)를 제안하였다. CHEMAS에서 전달경로 상에 노드들은 미리 정해진 확률에 따라 감시 노드(checkpoint)로 선택되어지며 이 감시 노드들을 통해 공격 발생 지역을 탐지할 수 있다. 해당 기법에서 인증 패킷 전달 홉 수는 시스템 상에서 탐지율과 에너지 효율 사이에서 트레이드 오프 관계에 있으므로 매우 중요한 요소이다. 본 논문에서는 보안 강도를 충분히 유지하면서, 에너지 효율성 또한 제공할 수 있는 경계 값 선택을 위해 퍼지 규칙 시스템을 적용하였다. 기지노드는 퍼지 규칙 시스템을 이용하여 매 주기마다 에너지 레벨과 훼손된 노드 수 그리고 기지노드로부터의 거리를 고려하여 상황에 맞는 적절한 경계 값을 결정한다.

• 정보보호학회논문지
• /
• 제18권3호
• /
• pp.121-129
• /
• 2008

본 논문은 소프트웨어의 취약점을 표현하기 위한 방법으로 단위 취약점을 기반으로 한 의미기반 취약점 식별자 부여 방법을 제안하고 있다. 의미기반 취약점 식별자 부여를 위해 기존의 취약점 단위를 DEVS 모델링 방법론의 SES 이론에서 사용되는 분할 및 분류(Decomposition/Specialization) 절차를 적용하였다. 의미기반 취약점 식별자는 취약점 점검 규칙 및 공격 탐지 규칙과 연관 관계를 좀 더 낮은 레벨에서 맺을 수 있도록 해주고, 보안 관리자의 취약점에 대한 대응을 좀더 편리하고 신속하게 하는 데 활용될 수 있다. 특히, 본 논문에서는 Nessus와 Snort의 규칙들이 의미기반 취약점 식별자와 어떻게 맵핑되는 지를 제시하고, 보안 관리자 입장에서 어떻게 활용 될 수 있는 지를 3가지 관점에서 정리하였다. 본 논문의 기여점은 의미기반 취약점 식별자 개념 정의 및 이를 기반으로 한 취약점 표현과 활용 방법의 제안에 있다.

• 대한전자공학회논문지TC
• /
• 제43권7호
• /
• pp.84-92
• /
• 2006

서비스거부 공격 또는 분산서비스거부 공격과 같이 단시간 동안 대량의 비정상 트래픽이 발생하였을 경우, 이에 대응하기 위한 기법들에 대해 많은 연구가 진행되었다. 본 논문에서는 비정상 트래픽에 대응하기 위한 대표적인 기법들인 공격차단 기법과 공격경감 기법을 이론적으로 비교한 내용을 보이고자 한다. 공격차단 기법은 일반적으로 필터링 규칙을 기반으로 특정 네트워크로 유입된 네트워크 트래픽에 대해 통과 또는 차단을 실시하는 기법을 의미한다. 그리고 공격경감 기법은 트래픽 전송경로 상에 존재하는 라우터에서 각 라우터들이 가지고 있는 비정상 트래픽 정보를 기반으로 해당 트래픽에 대해 필터링 작업을 실시하거나, 목적지 네트워크의 게이트웨이 상에서 유입된 트래픽의 서비스품질을 제어하는 방법으로 비정상 트래픽에 대해 대응 작업을 실시하는 기법을 의미한다. 비교 기준으로는 공격탐지루틴이 동작한 후, 통과하는 정상 트래픽과 오탐지 트래픽 비율로 하며, 공격경감 기법에 사용할 수 있는 구체적인 트래픽 대역폭 비율을 추가로 보이도록 한다.

• 디지털콘텐츠학회 논문지
• /
• 제10권3호
• /
• pp.479-484
• /
• 2009

무선 네트워크 사용이 증가하면서 무선 네트워크의 보안 시스템의 중요성이 부각되고 있는 실정이다. MANET은 이동 노드만으로 구성되어 있기 때문에 공격이 발생해도 그에 대한 탐지나 대응이 어렵다. 그리고 노드들의 이동성 때문에 유선 네트워크 환경에서 사용하던 보안 시스템을 그대로 적용하기에는 어려움이 많다. 따라서 이러한 환경에서 공격자의 악의적인 공격으로부터 시스템을 보호하고 즉각적으로 대처해야만 한다. 본 논문에서는 악의적인 공격을 탐지하고 자원의 효율적 사용을 위해서 클러스터를 헤드를 이용한 침입탐지 시스템을 제안한다. 보다 정확한 침입탐지를 위해 규칙들의 집합을 정의하고 일치 여부를 판단하는 방법을 이용하였다. 제안한 방법의 성능 평가를 위해서 blackhole, message negligence, jamming 공격을 이용하였다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2003년도 춘계학술발표논문집 (하)
• /
• pp.2161-2164
• /
• 2003

현재 사용되고 있는 침입 탐지 시스템들은 새로운 공격 패턴을 가진 침입을 탐지하기 위하여 규칙 데이터베이스를 지속적으로 갱신하고 있다. 그러나 이러한 침입 탐지 능력은 현재 알려진 기술이나 기법들에 한정된다. 따라서, 기존침입 탐지 시스템들은 공격을 받은 후, 현재까지 존재하지 않았던 새로운 기법이 적용된 공격이나 다소 변형된 공격을 받게 되면 침입을 탐지하지 못하거나 능동적 대처를 하지 못하였으며, tcpdump 또는 libpcap과 같은 응용 레벨의 프로그램을 사용하였기 때문에 실시간으로 패킷들을 감시할 수 없었다. 이러한 추가적인 공격들을 탐지하기 위해서 보다 강력하고 능동적인 네트워크 기반의 대응 기술이 요구되는데, 이에 본 논문에서는 이러한 요구 사항을 해결하기 위하여 패킷 감시의 정확성과 침입에 대한 실시간 대응성을 높이는 커널 레벨에서 동작하는 침입 탐지 모듈과, 악의적인 목적을 가진 패킷들을 차단하는 필터링 모듈 개발 기법을 제시하고자 한다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2016년도 추계학술발표대회
• /
• pp.228-231
• /
• 2016

현재 한 번의 공격으로 많은 피해를 줄 수 있는 국가기반시설 위주의 제어시스템은 사이버 공격의 대상으로 가장 적합하다고 할 수 있다. 이에 대비해 제어시스템에서 주로 사용되는 DNP3는 한정적이고 반복된 트래픽을 주고받아 화이트리스트 기반 보안 기법이 사이버 공격으로부터 효과적으로 시스템을 보호할 수 있다. 본 논문에서는 제어시스템에 알려져 있는 취약점에 대해서 소개하고, 화이트리스트 보안 기법을 적용하고 규칙을 정의하여 이상 징후를 탐지하였다.

• 정보보호학회논문지
• /
• 제22권1호
• /
• pp.93-98
• /
• 2012

이동 노드로만 구성된 MANET은 유비쿼터스 컴퓨팅 환경을 구축하기 위한 핵심 기술로 많은 관심을 받고 있다. 또한 중앙 기반 시설이 없기 때문에 보안에 더욱 취약하다. 따라서 악의적인 공격을 탐지해 낼 수 있는 침입탐지 시스템이 반드시 필요하다. 본 논문에서는 안정된 침입탐지를 위해 클러스터를 이용하였으며, 네트워크 문제인 것처럼 보이는 공격도 정확히 탐지할 수 있도록 다양한 공격에 대해 규칙을 정의하였다. 실험을 통해 본 논문에서 제안한 기법이 노드의 수가 증가하더라도 안정된 탐지율을 보이는 것을 확인하였다.

• 한국멀티미디어학회:학술대회논문집
• /
• 한국멀티미디어학회 2001년도 추계학술발표논문집
• /
• pp.662-665
• /
• 2001

기존의 규칙기반 침입탐지 시스템은 사후처리시 규칙 추가로 인하여 새로운 변종의 공격을 탐지하지 못한다. 본 논문에서는 규칙기반 시스템의 한계점을 극복하기 위하여, 시간지연 신경망(Time Delay Neural Network; 이하 TDNN) 침입탐지 시스템을 제안한다. 네트워크강의 패킷은 바이트 단위를 하나의 픽셀로 하는 0에서 255사이 값으로 이루어진 그레이 이미지로 볼 수 있다. 이러한 연속된 패킷이미지를 시간지연 신경망의 학습패턴으로 사용한다. 정상적인 흐름과 비정상적인 흐름에 대한 패킷 이미지를 학습하여 두 가지 클래스에 대한 신경망 분류기를 구현한다. 개발하는 침입탐지 시스템은 알려진 다양한 침입유형뿐만 아니라, 새로운 변종에 대해서도 분류기의 유연한 반응을 통하여 효과적으로 탐지할 수 있다.