• Proceedings of the Korea Multimedia Society Conference
• /
• 2003.11a
• /
• pp.1-4
• /
• 2003

최근에 침입 탐지 시스템은 네트워크 보안의 강화를 위해서 방화벽과 침입탐지 시스템 상호간의 연동으로 침입자의 연결 상태를 차단하는 방법도 개발되었다. 하지만 방화벽뿐만 아니라 침입탐지 시스템도 공격자에 의한 우회공격에 대해서는 아직 상당부분 방어할 수 없다. 또한 우회공격 탐지 모듈도 기존의 IDS와 Rule의 중복이 불가피하다. 본 논문은 취약점 진단 스크립트를 통해 IDS의 취약점 진단 후 IDS우회탐지공격 시스템의 Rule을 최적화 하여 우회공격을 효율적으로 탐지 해내는 시스템을 제안한다.

• Proceedings of the Korean Information Science Society Conference
• /
• 2003.04a
• /
• pp.380-382
• /
• 2003

현재 네트워크 보안 취약점을 자동으로 검색해주는 다양한 도구들이 인터넷에 공개되어 있어 이러한 도구들을 이용한 취약점 정보수집 및 네트워크 검색공격으로 비롯된 해킹사고가 크게 증가하고 있다. 이와 같은 검색 공격에 대한 탐지 시스템은 "False-Positive(실제 공격이 아닌데 공격이라고 탐지)"와 "False-Negative(실제 공격인데 공격이 아니라고 탐지)"를 줄이는 것이 중요하다. 그러나 현재 공개되어 있는 실시간 스캔 탐지 시스템은 오탐율이 높을 분만 아니라 다양한 스캔 기법에 대해서 탐지를 할 수 없는 것이 사실이다. 본 논문에서는 다양한 포트스캐닝 기법기반의 공격에 대해서 탐지 가능하고 오탐율을 최소화한 실시간 스캔 탐지 시스템을 구현한다.실시간 스캔 탐지 시스템을 구현한다.

• The KIPS Transactions:PartC
• /
• v.16C no.1
• /
• pp.13-20
• /
• 2009

Recently, as traffic flooding attacks such as DoS/DDoS and Internet Worm have posed devastating threats to network services, rapid detection and proper response mechanisms are the major concern for secure and reliable network services. However, most of the current Intrusion Detection Systems (IDSs) focus on detail analysis of packet data, which results in late detection and a high system burden to cope with high-speed network traffic. In this paper we propose an SNMP-based lightweight and fast detection algorithm for traffic flooding attacks, which minimizes the processing and network overhead of the detection system, minimizes the detection time, and provides high detection rate. The attack detection algorithm consists of three consecutive stages. The first stage determines the detection timing using the update interval of SNMP MIB. The second stage analyzes attack symptoms based on correlations of MIB data. The third stage determines whether an attack occurs or not and figure out the attack type in case of attack.

• Proceedings of the Korea Society for Simulation Conference
• /
• 2000.11a
• /
• pp.113-117
• /
• 2000

침입 탐지 시스템은 네트워크나 호스트에 대한 오용, 남용, 또는 허가되지 않은 접근을 탐지하는 기능을 갖는 시스템이다. 최근 침입들은 그 종류가 매우 다양화되고, 탐지하기가 매우 어려운 형태로 나타나고 있다. 이러한 침입으로 대표적인 것이 분산 공격과 스텔시 공격(Stealthy Attack)이 있다. 분산 공격은 침입자가 공간적으로 분산되어 이를 탐지하기 어렵게 하는 공격을 말하며, 스텔시 공격은 시간적으로 분산되어 이를 탐지하기 어려운 경우를 말한다. 침입 탐지 시스템의 모델링 및 시뮬레이션을 위해서는 침입 탐지 시스템 모델에 필요한 침입을 제공하고, 침입에 대한 탐지 능력을 평가하기 위한 experimental frame을 디자인 해야한다. 본 연구에서는 분산 공격과 스텔시 공격 기능을 갖는 침입 생성 모델링 방법을 소개하며, 침입 생성을 위해 요구되는 침입 정보 베이스의 역할 및 저장 정보를 소개한다. 또한, 침입에 대한 탐지 능력 평가를 위한 Transducer 모델의 디자인을 소개한다.

• Convergence Security Journal
• /
• v.7 no.1
• /
• pp.63-75
• /
• 2007

Most of computer systems to be connected to network have been exposed to some network attacks and became to targets of system attack. System managers have established the IDS to prevent the system attacks over network. The previous IDS have decided intrusions detecting the requested connection packets more than critical values in order to detect attacks. This techniques have False Positive possibilities and have difficulties to detect the slow scan increasing the time between sending scan probes and the coordinated scan originating from multiple hosts. We propose the port scan detection rules detecting the RST/ACK flag packets to request some abnormal connections and design the data structures capturing some of packets. This proposed system is decreased a False Positive possibility and can detect the slow scan, because a few data can be maintained for long times. This system can also detect the coordinated scan effectively detecting the RST/ACK flag packets to be occurred the target system.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2008.05a
• /
• pp.935-938
• /
• 2008

DoS/DDoS 공격과 웜 공격으로 대표되는 트래픽 폭주 공격은 그 특성상 사전 차단이 어렵기 때문에 빠르고 정확한 탐지는 공격 탐지 시스템이 갖추어야 할 필수요건이다. 기존의 SNMP MIB 기반 트래픽 폭주공격 탐지 방법은 1 분 이상의 탐지 시간을 요구하였다. 본 논문은 SNMP MIB 객체의 상관 관계를 이용한 빠른 트래픽 폭주 공격 탐지 알고리즘을 제안한다. 또한 빠른 탐지 시간으로 발생되는 시스템의 부하와 탐지 트래픽을 최소화하는 방안도 함께 제시한다. 공격 탐지 방법은 3 단계로 구성되는데, 1 단계에서는 MIB 정보의 갱신주기를 바탕으로 탐지 시점을 결정하고, 2 단계에서는 MIB 정보간의 상관 관계를 이용하여 공격의 징후를 판단하고, 3 단계에서는 프로토콜 별 상세 분석을 통하여 공격 탐지뿐만 아니라 공격 유형까지 판단한다. 따라서 빠르고 정확하게 공격을 탐지할 수 있고, 공격 유형을 분류해 낼 수 있어 신속한 대처가 가능해 질 수있다.

• Proceedings of the Korean Information Science Society Conference
• /
• 2002.04a
• /
• pp.523-525
• /
• 2002

DOS (Denial Of Service)에 대한 공격은 시스템의 정상적인 동작을 방해하여 시스템 사용자에 대한 서비스 제공을 거부하도록 만드는 공격으로 현재 이의 공격에 대한 탐지 알고리즘 및 연구들이 많이 제시되고 있다. 본 논문에서는 네트워크 또는 트랜스포트 계층에 해당하는 프로토콜(TCP/IP, ICMP, UDP) 공격을 분석하고 이들 프로토콜의 취약점을 공격하는 DOS 공격 이외의 다른 공격을 탐지하기 위하여 프로토콜의 기능별, 계층별에 따른 모듈화 작업을 통하여 네트워크 침입탐지 시스템을 설계하였다.

• Proceedings of the Korean Information Science Society Conference
• /
• 2012.06c
• /
• pp.215-217
• /
• 2012

인터넷 사용이 보편화 되면서, 이를 악용하는 공격도 지속되고 있다. 이와 같이 네트워크를 통해 전파되는 다양한 공격으로부터 시스템을 보호하기위하여 DDoS 공격 대응 시스템과 스캐닝 공격 탐지 시스템, 스팸형 악성코드 탐지 시스템 등 다양한 보안 시스템들이 사용되고 있다. 본 논문에서는 다양한 인터넷 침해사고에 대응하기 위한 이기종 보안 시스템에서 탐지한 공격 로그를 분석하여 각 시스템별 공격 IP의 공격 지속시간을 확인하고, 서로 다른 침해사고 모니터링 시스템에서 탐지된 공격 IP의 연관 관계를 분석한다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2006.05a
• /
• pp.1109-1112
• /
• 2006

DDoS(Distributed Denial-of-Service) 공격은 인터넷 침해가운데 가장 위협적인 공격들 중 하나이며 이러한 공격을 실시간으로 탐지하기 위한 연구는 활발히 이루어져 왔다. 하지만 기존의 탐지 메커니즘이 가지고 있는 높은 오탐지율은 여전히 보완해야할 과제로 남아 있다. 따라서 본 논문에서는 DDoS공격 탐지의 근거로 사용된 기존의 트래픽 볼륨(traffic volume), 엔트로피(entropy), 그리고 카이제곱(chi-square)을 이용한 비정상 행위탐지(Anomaly detection)방식의 침임탐지시스템이 가지는 오탐지율(false alarm rate)을 개선할 수 있는 방안을 제안한다. 또한 공격 탐지 시 프로토콜, TCP 플래그(flag), 그리고 포트 번호를 이용하여 네트워크 관리자에게 보다 자세한 공격 정보를 제공함으로써 효율적으로 공격에 대처할 수 있는 시스템을 설계한다.

• Journal of KIISE:Information Networking
• /
• v.31 no.2
• /
• pp.171-178
• /
• 2004

Port scanning detection systems should rather satisfy a certain level of the requirement for system performance like a low rate of “False Positive” and “False Negative”, and requirement for convenience for users to be easy to manage the system security with detection systems. However, public domain Real Time Scan Detection Systems have high rate of false detection and have difficulty in detecting various scanning techniques. In addition, as current real time scan detection systems are based on command interface, the systems are poor at user interface and thus it is difficult to apply them to the system security management. Hence, we propose TkRTSD(Tcl/Tk Real Time Scan Detection System) that is able to detect various scan attacks based on port scanning techniques by applying a set of new filter rules, and minimize the rate of False Positive by applying proposed ABP-Rules derived from attacker's behavioral patterns. Also a GUI environment for TkRTSD is implemented by using Tcl/Tk for user's convenience of managing network security.