• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2003년도 춘계학술발표논문집 (하)
• /
• pp.2113-2116
• /
• 2003

이 논문에서는 리눅스 기반VDPM(Virus Detection Protection Management)시스템을 제안하고 개발한 응용SW로 감지, 차단 및 관리 방법을 제시한다. 제안된 LVPM시스템은 첫째특정탐색 및 전체탐색 알고리듬에 의하여 개발된 VDPM시스템은 신종 바이러스까지 탐지하는 모든 종류의 바이러스 탐지(VDPM_hawkeye) 모듈, Virus첵크하는 감시 및 Virus첵크후 친정, 제거하는 방지(VDPM_medic)모듈, DB를 update하는 기능을 가지는 관리(VDPM_manager)모듈과 원격 DB관리 및 Virus결과 보고 기능 (VDPM_reporter) 모듈로 되어 있으며 지능적인 Virus방지 시스템, 둘째 네트워크 패킷을 분석하여 네트워크를 통한 침 바이러스 탐지 및 대응 시스템과 셋째 네트워크 패킷을 분석하여 네트워치를 통한 네트워크형 악성 소프트웨어 대응 시스템을 포함한 바이러스 보호 통합 시스템을 구현하였다. 더불어 호스트와 네트웍기반의 통합적인 IDS가 방화벽(Firewall)시스템과 연동하여 IDS 단독 차단이 불가능한 공격을 차단하는 소프트웨어 시스템을 개발하는 것이며 관리자가 사용하기 쉬운 GUI환경으로 구현하였고 대규모 분산 네트워크 환경에서 효율적인 리눅스기반 침입탐지방지관리 솔루션을 제시한다.

• 한국컴퓨터정보학회:학술대회논문집
• /
• 한국컴퓨터정보학회 2017년도 제55차 동계학술대회논문집 25권1호
• /
• pp.129-130
• /
• 2017

DoS 공격은 증가하고 있지만 비용이 많이 들다보니 제대로 된 방어를 하지 못 하고 공격을 당하는 경우도 많다. 저렴한 DoS 방어 시스템의 필요성이 절실하다. 본 논문에서는 저 대역폭 DoS 공격을 방어하는 시스템 개발을 하고자 한다. 방어시스템의 물리적 구조는 듀얼 홈 게이트웨이 구조를 사용하며, DoS 탐지 방법으로는 일반적인 상황에서의 인 바운드되는 프로토콜별 패킷의 값을 세어 그 값을 평균값과 비교하여 탐지하며, 1초 단위로 IP와 SYN, FIN 플래그 값을 세어 그 값을 평균값과 비교하여 탐지하며, 2초 단위로 IP와 SYN, FIN 플래그 값을 세어 임계값을 넘어서면 차단하는 방식을 사용한다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2012년도 춘계학술발표대회
• /
• pp.756-758
• /
• 2012

클라우드 서비스가 발전됨에 따라 자원공유를 위한 가상머신의 활용도 점차 증진되고 있다. 그러나 이러한 가상머신의 활용으로 인하여 가상 영역에 따른 보안위협이 이슈가 되고 있다. 따라서 본 논문은 가상 영역에 따른 보안위협으로부터 보다 안전하고 유동적인 대처를 하기 위한 시스템을 제안하였다. 해당 시스템은 물리관제센터와 가상관제센터의 연동을 통하여 상호간의 현황을 알 수 있음으로써 가상머신 모니터링, 플랫폼 간 공격연관성 분석 등이 용이하며 자원고갈공격이나 DDoS 공격과 같은 위협으로부터 안전하다. 제안하는 시스템은 향후 클라우드 서비스 운용시 물리영역과 가상영역을 총괄적으로 관리하는 통합관제센터 활용에 적합할 것으로 보인다.

• 한국정보과학회논문지:시스템및이론
• /
• 제32권10호
• /
• pp.491-498
• /
• 2005

서비스 거부 공격이란 서비스를 제공하는데 있어 필요한 컴퓨팅 및 통신 자원을 고갈시키는 공격으로 원천적으로 해결하기가 매우 힘든 것으로 알려져 있다. TCP는 연결 설정 과정에 있어 서비스 거부 공격을 당할 수 있는 문제점을 가지고 있다. TCP는 연결 설정이 완료될 때까지 각 연결 설정 단계의 상태를 큐에 저장하고 있다가 연결 설정이 완료되면 연결된 소켓을 어플리케이션으로 전달한다. 공격자는 수많은 연결 요청을 보내고 이 요청에 대한 연결 과정을 완료하지 않음으로 해서 이 큐를 가득 차게 해 다른 정상적인 연결 요청을 받아들일 수 없도록 할 수 있다. 본 논문에서는 이러한 서비스 거부 공격을 차단하기 위한 확장 TCP를 제안하고 이를 리눅스 상에서 구현하였다. 제안한 확장 TCP는 연결 설정이 종료될 때까지는 연결 설정 과정에 대한 상태를 큐에 유지하지 않도록 함으로써 서비스 거부 공격을 막을 수 있도록 하였다. 제안된 확장 TCP를 위해 TCP의 3-way handshake 과정을 일부 수정하고 이를 리눅스 커널에 구현하였으며 그 성능을 실험해 본 결과 정상적인 서비스 환경에서는 수정전의 TCP의 연결 처리 속도에 비해 $0.05\%$정도의 지연이 있었지만 SYN Flood 공격이 이루어지고 있는 상황에서는 아무런 영향을 받지 않았다

• 정보처리학회논문지C
• /
• 제16C권1호
• /
• pp.13-20
• /
• 2009

DoS/DDoS공격과 웜 공격으로 대표되는 트래픽 폭주 공격은 그 특성상 사전 차단이 어렵기 때문에 정확하고 빠른 탐지에 의한 대처는 공격 탐지 시스템이 갖추어야 할 필수요건이다. 본 논문에서는 SNMP MIB의 다양한 상관관계 분석을 통해 빠르고 정확한 탐지 알고리즘을 제안하고, 이를 적용한 실시간 탐지 시스템을 구현하였다. 공격 탐지 방법은 SNMP MIB의 갱신 주기를 이용하여 공격 탐지 시점을 결정하는 단계와 수신된 패킷의 상위 계층 전달률, 수신된 패킷에 대한 응답률, 그리고 폐기된 패킷 개수와 같은MIB 정보간의 상관 관계를 이용하여 공격의 징후를 판단하는 단계, 프로토콜 별 상세 분석을 통하여 공격 유무 탐지 및 공격 유형 분류를 수행하는 단계로 구성된다. 제안한 탐지 방법은 빠른 탐지로 발생되는 시스템 부하와 관리를 위한 소비 트래픽의 증가 문제를 효율적으로 해결하여 다수의 탐지 대상 시스템의 관리가 가능하며, 빠르고 정확하게 공격의 유무를 탐지하고 공격 유형을 분류해 낼 수 있어 공격에 대한 신속한 대처가 가능해 질 수 있다.

• 정보처리학회논문지:컴퓨터 및 통신 시스템
• /
• 제4권4호
• /
• pp.135-140
• /
• 2015

WDSS는 네트워크 연동구간을 이용한 DDoS 대피소 시스템에 L7 스위치와 웹캐시서버를 추가 구성하여 웹 응용계층 DDoS 공격에 대한 방어성능을 향상시킨 시스템이다. WDSS는 웹 DDoS 공격 발생 시 백본 네트워크로부터 트래픽을 우회한 뒤 비정상 요청은 DDoS 차단시스템과 L7 스위치에서 차단하고 정상적인 클라이언트의 요청에 대해서만 웹캐시서버가 응답하게 함으로써 소규모 트래픽 기반의 세션 고갈형 DDoS 공격에 대응하고 정상적인 웹서비스를 유지한다. 또한 정상 트래픽을 웹서버로 재전송하기 위한 IP 터널링 설정이 없이도 공격 대응이 가능하다. 본 논문은 WDSS를 국내 ISP 백본 네트워크상에 구축하여 시스템 작동에 대한 유효성과 웹 응용계층 DDoS 공격 방어성능을 검증한 결과를 다룬다. 웹 DDoS 방어성능 평가는 실제 봇넷과 동일한 공격 종류와 패킷수의 공격을 수행할 수 있는 좀비 PC로 구성한 DDoS 모의테스트 시스템을 이용하여 실시하였다. 웹 응용계층 DDoS 공격 종류와 강도를 달리하여 WDSS의 웹 DDoS 방어성능을 분석한 결과 기존의 DDoS 대피소 시스템에서 탐지/방어하지 못한 소규모 트래픽에 기반하며 동일 플로우를 반복적으로 발생하지 않는 웹 DDoS 공격을 탐지/방어할 수 있었다.

• 한국정보과학회:학술대회논문집
• /
• 한국정보과학회 2004년도 가을 학술발표논문집 Vol.31 No.2 (1)
• /
• pp.643-645
• /
• 2004

네트워크가 복잡해지면서 다양한 형태의 위험에 노출된다. 일반적인 보안 솔루션으로 사용하는 방화벽(Firewall)이나 침입탐지시스템(IDS)은 허가받지 않은 외부의 접속이나 알려진 공격만을 차단하는 단순하고 수동적인 시스템이다. 이에 반해 허니팟은 웹서버와 같은 실제 Front-End 시스템과 유사하거나, 밀접한 관련을 갖고 직접적으로 반응하므로 신뢰성 높은 실시간 정보를 얻을 수 있어서 관리자가 다양한 위협에 능동적이고 효과적으로 대응할 수 있다. 실제로 웜이나 DRDoS(Distributed Reflection DoS)등 수분만에 네트워크를 점유하는 자동화 공격과 함께 시스템 구성 취약점을 파고들거나 계정 획득을 통한 DB서버 등의 Back-End 시스템에 대한 수동 공격이 혼재한다. 따라서 시스템 전반적인 관리의 중요성이 강조되고 있다. 본 논문에서는 그간의 실험결과를 바탕으로 가상 머신으로 허니팟을 구성하고 특성별로 포트를 분리하여 관리하는 허니넷을 제안하고자 한다 이를 통해 1) 유연한 보안 시스템 구성이 가능하고 2) 관리 효율이 높아지며 3) 하드웨어 도입 비용 절감을 통해 시스템의 TCO(Totai Cost of Ownership)를 감소시키는 효과를 기대할 수 있다.

• 한국컴퓨터정보학회논문지
• /
• 제13권3호
• /
• pp.139-146
• /
• 2008

웹 서비스를 이용한 개인 정보 유출은 보안시스템 구축에도 불구하고 급격하게 줄어들지 않고 있다. 방화벽 시스템 구축 후에도 HTTP 80 port나 HTTPS의 443 port는 외부로부터의 접근을 허용하여 지속적으로 서비스를 하고 있으므로 웹 어플리케이션으로 유입되는 트래픽은 취약하다. 따라서 본 논문에서는 웹 서비스 환경으로 유입되는 다양한 형태의 공격 패턴 및 취약한 트래픽을 분석하여 정상 트래픽과 비정상 트래픽을 분류하였다. 분류된 비정상 트래픽을 대상으로 OWASP(Open Web Application Security Project)에서 권고한 웹 어플리케이션 보안취약점을 바탕으로 공격 패턴을 분석하고, 실시간 공격탐지 및 차단이 가능한 시스템을 설계하여 웹 어플리케이션의 보안 취약성을 이용한 다양한 공격 패턴을 즉각적이며, 효과적으로 방지하여 유해한 공격 트래픽으로부터 공격방지 효율을 높일 수 있는 방법을 제안하였다.

• 융합보안논문지
• /
• 제21권1호
• /
• pp.93-100
• /
• 2021

지능형 사이버 공격으로 인한 피해는 시스템 운영 중단과 정보 유출뿐만 아니라 엄청난 규모의 경제적 손실을 동반한다. 최근 사이버 공격은 공격 목표가 뚜렷하며, 고도화된 공격 도구와 기법을 활용하여 정확하게 공격 대상으로 침투한다. 이러한 지능적인 사이버 공격으로 인한 피해를 최소화하기 위해서는 사이버 공격이 공격 대상의 핵심 시스템까지 침입하지 못하도록 공격 초기 또는 과정에서 차단해야 한다. 최근에는 빅데이터나 인공지능 기술을 활용하여 사이버 공격 경로를 예측하고 위험 수준을 분석하는 보안 기술들이 연구되고 있다. 본 논문에서는 자동화 사이버 공격 경로 예측 시스템 개발을 위한 기초 메커니즘으로 공격 트리와 RFI 기법을 활용한 사이버 공격 경로 분석 방법을 제안한다. 공격 트리를 활용하여 공격 경로를 가시화하고 각 공격 단계에서 RFI 기법을 이용하여 다음 단계로 이동할 수 있는 경로를 판단한다. 향후에 제안한 방법을 기반으로 빅데이터와 딥러닝 기술을 활용한 자동화된 사이버 공격 경로 예측 시스템의 메커니즘으로 활용할 수 있다.

• 한국인터넷방송통신학회논문지
• /
• 제20권2호
• /
• pp.29-37
• /
• 2020

기존에 사용되던 방화벽들은 기본적으로 정책을 수동적으로 입력해 주는 방식으로 되어 있어 공격이 오는 즉시 대응하기 쉽지 않다. 왜냐하면 전문 보안 관리자가 이를 분석하고 해당 공격에 대한 방어 정책을 입력해 주어야하기 때문이다. 또한, 기존 방화벽 정책은 공격을 막기 위해 정상 접속까지 차단하는 경우가 많다. 패킷 자체는 정상적이지만 유입량이 많아 서비스 거부를 발생시키는 공격이 많기 때문이다. 본 논문에서는 방어 정책을 입력하는 부분을 인공지능으로 대체하여 정책을 자동으로 생성하고, 정상 접속 학습을 통해 생성된 화이트리스트 정책으로 정상 접속은 가능하면서 Flooding, Spoofing, Scanning과 같은 공격만을 차단하는 방법을 제안한다.