• 정보보호학회논문지
• /
• 제25권5호
• /
• pp.1043-1057
• /
• 2015

지능형 위협을 빠르게 인지하고 능동적으로 탐지 및 대응하기 위해 주요 공공단체 및 민간기관에서는 침입탐지시스템(IDS)을 관리 운영하고 있으며, 이는 공격의 검출 및 탐지에 매우 중요한 역할을 한다. 그러나 IDS 경보의 대부분은 오탐(false positive)을 생성하는 문제가 있다. 또한, 알려지지 않은 악성코드를 탐지하고 사전에 위협을 인지 대응하기 위해서 APT대응솔루션이나 행위기반체계를 도입 운영하고 있다. 이는 가상기술을 이용해 악성코드를 직접실행하고 가상환경에서 이상행위를 탐지하거나 또는 다른방식으로 알려지지 않은 공격을 탐지한다. 그러나 이 또한 가상환경 회피, 트래픽 전수조사에 대한 성능적 문제, 정책오류 등의 약점 등이 존재한다. 이에 따라 결과적으로 효과적인 침입탐지를 위해서는 보안관제 고도화가 매우 중요하다. 본 논문에서는 보안관제 고도화의 한가지 방안으로 침입탐지시스템의 주요 단점인 오탐(false positive)을 줄이는 방안에 대해 논한다. G기관의 경험적 데이터를 근거로 실험을 수행한 결과 세 가지 유형 11가지 규칙을 도출하였다. 이 규칙을 준수하여 테스트한 결과 전반적인 오탐율이 30%~50% 이상 줄어들고 성능이 30% 이상 향상됨을 검증하였다.

• 인터넷정보학회논문지
• /
• 제22권2호
• /
• pp.77-87
• /
• 2021

인터넷과 개인용 컴퓨터가 발달하면서 다양하고 복잡한 공격들이 등장하기 시작했다. 공격들이 복잡해짐에 따라 기존에 사용하던 시그니처 기반의 탐지 방식으로 탐지가 어려워졌으며 이를 해결하기 위해 행위기반의 탐지를 위한 로그 이상탐지에 대한 연구가 주목 받기 시작했다. 최근 로그 이상탐지에 대한 연구는 딥러닝을 활용해 순서를 학습하는 방식으로 이루어지고 있으며 좋은 성능을 보여준다. 하지만 좋은 성능에도 불구하고 판단에 대한 근거를 제공하지 못한다는 한계점을 지닌다. 판단에 대한 근거 및 설명을 제공하지 못할 경우, 데이터가 오염되거나 모델 자체에 결함이 발생해도 이를 발견하기 어렵다는 문제점을 지닌다. 결론적으로 사용자의 신뢰성을 잃게 된다. 이를 해결하기 위해 본 연구에서는 설명가능한 로그 이상탐지 시스템을 제안한다. 본 연구는 가장 먼저 로그 파싱을 진행해 로그 전처리를 수행한다. 이후 전처리된 로그들을 이용해 베이지안 확률 기반 순차 규칙추출을 진행한다. 결과적으로 "If 조건 then 결과, 사후확률(θ)" 형식의 규칙집합을 추출하며 이와 매칭될 경우 정상, 매칭되지 않을 경우, 이상행위로 판단하게 된다. 실험으로는 HDFS 로그 데이터셋을 활용했으며, 그 결과 F1score 92.7%의 성능을 나타내었다.

• 한국멀티미디어학회논문지
• /
• 제9권8호
• /
• pp.1037-1044
• /
• 2006

실제 대규모 네트워크에서 사이버 공격으로 인한 보안시스템의 성능을 검증하기는 어렵다. 일반적으로 새로운 보안시스템이나 공격기법은 시뮬레이션을 통해 검증을 한다. 본 논문에서는 보안시스템 및 공격기법을 시뮬레이션 하기 위해 SSFNet을 사용하였다. SSFNet은 프로세스 기반 사건 중심 시뮬레이션 시스템이면서, 대규모 네트워크를 쉽게 표현할 수 있는 장점을 가지고 있다. 하지만 보안시스템이나 패킷을 조작할 수 있는 API를 제공하고 있지 않다. 본 논문에서는 보안 시스템으로 주로 사용하고 있는 방화벽과 IPS 클래스를 개발하여 SSFNet 구성요소로 추가하였다. 방화벽은 패킷 필터링 기반 보안 방화벽 시스템을 모델링하였다. IPS는 탐지 기능과 이상 패킷에 대한 드롭 기능을 가지고 있다. 확장된 SSFNet내에 네트워크를 모델링하여 방화벽과 IPS의 기능을 검증하였다. 방화벽은 패킷의 주소와 포트의 규칙을 통해 패킷을 차단하였다. 그리고 라우터에 기술된 IPS의 로그화면을 통해 패킷의 상태와 이상 패킷이 차단되는 것을 확인하였다.

• 정보보호학회논문지
• /
• 제19권4호
• /
• pp.125-135
• /
• 2009

개인정보 유출을 위한 공격자의 시도는 다양한 보안 시스템에 로그를 남기게 된다. 이러한 로그정보들은 개인정보 유출에 관여했다고 보고된 특정 IP 주소에 대한 확신도를 도출하기위한 요소가 될 수 있다. 본 논문에서는 보편적으로 활용 가능한 보안 시스템들의 로그정보들을 기반으로 확신도를 도출하기 위한 규칙기반 전문가 시스템의 섣계 및 구현을 다루고 있다. 일반적으로 개인정보유출과 연관된 다양한 로그정보들은 개인정보 관리자에 의해서 분석되어, 의심 대상이 되는 IP 주소에 대해 정보유출에 관여한 정도를 도출하게 된다. 이러한 개인정보 관리자가 수행하는 분석절차는 전문가의 축적된 지식 (Know-how)이라고 할 수 있으며, 이는 규칙 형태로 정의되어 분석절차의 자동화에 활용될 수 있다. 특히, 개인정보유출과 관련된 로그정보의 분석 범위는 다양한 해킹시도를 탐지 해내야하는 침입탐지 및 대응 분야와 비교할 때 상대적으로 넓지 않다. 따라서 도출해내야 하는 규칙의 개수가 상대적으로 많지 않다고 할 수 있다. 본 논문에서는 특히 IDS. Firewall 및 Webserver 의 로그정보들을 개인정보유출의 관점에서 상호 연관성을 도출하였고, 이러한 연관성을 기반으로 규칙을 정의하고 이들을 생성/변경/삭제 할 수 있는 시스템을 개발하였다. 본 연구의 결과에 해당하는 규칙기반 지식베이스 및 전문가 시스템은 개인정보유출에 관여 했다고 여겨지는 특정 IP 주소에 대한 낮은 수준(Low-level)의 검증을 수행하여 확신도를 도출하는데 활용이 가능하다.

• 한국지능시스템학회:학술대회논문집
• /
• 한국퍼지및지능시스템학회 2002년도 춘계학술대회 및 임시총회
• /
• pp.23-27
• /
• 2002

본 논문에서는 정보보호에서 지능형 침입탐지시스템(Intrusion Detection System :IDS) 의한 모델을 제안한다. 이 모델은 데이터 마이닝 분야와 정보보호 분야의 결합된 방법을 이용한다. 즉, 계산환경을 격상하거나 새로운 공격 방법들 때문에 내장된 IDS를 보완 할 필요가 종종 있다. 현재 사용하고 있는 많은 IDS들은 전문적인 지식을 손으로 작성했기 때문에 IDS들의 변환은 가격이 매우 비싸며, 속도가 느리다는 단점이 있다. 이에 본 모델은 침입탐지 모델을 적응 적으로 구축하는데 데이터 마이닝 구조를 활용한다. 데이터 마이닝(Data Mining : DM)의 기술인 연관 규칙, 순차 패턴, 분류, 군집화, 유전자 알고리즘 기법(GA)인 Selection, Crossover, Mutation, Evaluation, Fitness Function의 기능을 접목하여 단점을 보안하고 처리 성능을 최대로 하는 즉, 보다 안전한 지능형 침입 탐지 시스템(IDS) 모델을 제안한다.

• 한국게임학회 논문지
• /
• 제5권2호
• /
• pp.11-18
• /
• 2005

카지노에서 성행하고 있는 블랙잭 게임을 이기기 위한 노력이 전세계적으로 경주되어 왔다. 본 논문에서는 하이 로우(high-low) true count 기법 에 의거하여 게임을 유리하게 전개하기 위한 게임 전략을 선보인다. 켈리 기준이 왜 필요하며 그 기준에 의거한 베팅 전략을 강원랜드 블랙잭 규칙을 엄격히 적용하여 공격적 및 보수적인 베팅으로 구분하여 210만슈 이상 시뮬레이션을 수행하였다. 그 결과 공격적인 베팅이 이익면에서는 가장 유리하였으나 반면에 단기간의 위험도는 가장 크다는 사실을 알 수 있었다.

• 논리연구
• /
• 제7권1호
• /
• pp.41-65
• /
• 2004

이 글은 박병철과 이승종의 저술에 대한 박정일의 서평을 중심으로 비트겐슈타인 철학의 몇몇 문제점을 고찰하면서 다음과 같은 것을 주장한다. 첫째 비트겐슈타인 철학의 현상학적 양상을 추적하고 있는 박병철의 현상학의 개념이 명백하지 않다. 둘째 "논리철학논고"의 유아론은 경험적 유아론이 아니라 선험적 유아론이다. 셋째 "논리철학논고"의 대상은 감각자료가 아니다. 넷째 우리에게 주어진 소여는 논리적인 것이다. 다섯째 박병철은 이 논리적인 것을 경험에 근거지우는 실책을 범하고 있다. 여섯째 모순의 형식적 개념에 대한 이승종의 비판은 성공적이지 않다. 일곱째 이것은 박정일이 지적한 것처럼 허수아비 공격의 오류를 범했기 때문인 것처럼 보인다. 여덟째 모순된 규칙에 대한 이승종의 이해는 박정일이 지적하듯이 잘못되었다.

• 한국시뮬레이션학회:학술대회논문집
• /
• 한국시뮬레이션학회 2004년도 춘계학술대회 논문집
• /
• pp.20-24
• /
• 2004

광범위한 네트워크의 연결과 이를 이용하는 조직이나 개인의 증가로 인터넷은 정보를 교환하고 거래를 수행하는 주요한 수단이 된 반면에 해커나 바이러스의 침입 또한 증가하여 공격에 쉽게 노출되어있다. 이러한 보안상의 문제점을 해결하기 위하여 컴퓨터나 네트워크 시스템의 활동을 감시할 수 있는 침입 탐지 시스템(IDS)과 같은 보안 요소를 도입하였으며, 탐지에 대한 성능을 향상시키기 위하여 네트워크를 기반으로 하는 다중 침입 탐지 시스템을 응용하여 네트워크에 분산된 에이전트들 중에서 발생된 침입에 알맞은 에이전트를 선택하도록 하여 침입 탐지를 효과적으로 할 수 있게 하였다. 본 연구에서는 보안 시스템의 연동을 위하여 계약망 프로토콜을 적용하였다. 계약망 프로토콜은 분산된 에이전트들 중에서 입찰과정을 통하여 최상의 에이전트를 선택하는데 이때, 에이전트를 선택하는 과정에 있어서 퍼지 규칙 기반 시스템을 적용한 퍼지 컨트롤러를 설계하여 시뮬레이션 한다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2003년도 춘계학술발표논문집 (하)
• /
• pp.1555-1558
• /
• 2003

침입탐지란 컴퓨터와 네트워크 자원에 대한 유해한 침입 행동을 식별하고 대응하는 과정이다. 점차적으로 시스템에 대한 침입의 유형들이 복잡해지고 전문적으로 이루어지면서 빠르고 정확한 대응을 필요로 하는 시스템이 요구되고 있다. 이에 대용량의 데이터를 분석하여 의미 있는 정보를 추출하는 데이터 마이닝 기법을 적용하여 지능적이고 자동화된 탐지 및 경보데이터 분석에 이용할 수 있다. 마이닝 기법중의 하나인 순차 패턴 탐사 방법은 일정한 시퀸스 내의 빈발한 항목을 추출하여 순차적으로 패턴을 탐사하는 방법이며 이를 이용하여 시퀸스의 행동을 예측하거나 기술할 수 있는 규칙들을 생성할 수 있다. 이 논문에서는 대량의 경보 데이터를 효율적으로 분석하고 반복적인 공격 패턴에 능동적인 대응을 위한 방법으로 확장된 순차패턴 알고리즘인 PrefixSpan 알고리즘에 대해 제안하였고 이를 적용하므로써 침입탐지 시스템의 자동화 및 성능의 향상을 얻을 수 있다.

• 한국컴퓨터정보학회:학술대회논문집
• /
• 한국컴퓨터정보학회 2018년도 제57차 동계학술대회논문집 26권1호
• /
• pp.143-146
• /
• 2018

서명기반 악성코드 탐지는 악성 파일의 고유 해싱 값을 사용하거나 패턴화된 공격 규칙을 이용하므로, 변형된 악성코드 탐지에 취약한 단점이 있다. 기계 학습을 적용한 악성코드 탐지는 이러한 취약점을 극복할 수 있는 방안으로 인식되고 있다. 본 논문은 정적 분석으로 n-gram과 API 특징점을 추출해 특징 벡터로 구성하여 XGBoost, k-최근접 이웃 알고리즘, 지지 벡터 기기, 신경망 알고리즘, 심층 학습 알고리즘의 일반화 성능을 비교한다. 실험 결과로 XGBoost가 일반화 성능이 99%로 가장 우수했으며 k-최근접 이웃 알고리즘이 학습 시간이 가장 적게 소요됐다. 일반화 성능과 시간 복잡도 측면에서 XGBoost가 비교 대상 알고리즘에 비해 우수한 성능을 보였다.