• 융합보안논문지
• /
• 제1권1호
• /
• pp.21-29
• /
• 2001

인터넷의 급속한 발달은 대규모 네트워크를 형성하였고 그에 따른 정보를 위협하는 요소의 형태 역시 점차 다양화되고 분산화된 형태를 나타낸다. 이러한 공격 형태의 변화에 대응하기 위해서는 단일 탐지 엔진을 갖는 침입탐지시스템만으로는 탐지가 어렵게 된다. 본 논문에서는 기존의 침입 탐지 기능 이외에 대규모 네트워크 상에서 이루어지는 다중 동시 공격을 효과적으로 감지할 수 있는 분산 침입탐지시스템을 설계 구현하였다. 이를 위해 감시 대상 호스트들에 침입 탐지엔진을 독립된 에이전트로 설치한 후, 이들이 생성하는 감사 데이터를 토대로 하여 침입 판정을 내린다. 독립적으로 운영되었던 이전 버전에 비하여 새로운 버전은 이처럼 분산화되어 있을 뿐만 아니라 탐지 규칙에 대한 세계 표준화 동향인 CVE를 따르도록 개선되었다.

• 한국소프트웨어감정평가학회 논문지
• /
• 제15권2호
• /
• pp.121-128
• /
• 2019

컴퓨팅 시스템들은 사이버공격에 대한 다양한 취약점을 가지고 있다. 특히 정보화 사회에서 지능화된 다양한 사이버공격은 사회적으로 심각한 문제와 경제적 손실을 초래한다. 전통적인 침입탐지시스템은 오용침입탐지(misuse)기반의 기술로 사이버공격을 정확하게 탐지하기 위해서는 지속적인 새로운 공격 패턴 갱신과 수많은 보안 장비에서 생성되는 방대한 양의 데이터에 대한 실시간 분석을 해야만 한다. 하지만 전통적인 보안시스템은 실시간으로 탐지 및 분석을 통한 대응을 할 수 없기 때문에 침해 사고의 인지시점이 지체되어 많은 피해를 야기할 수도 있다. 따라서 머신 러닝과 빅데이터 분석 모델 기반으로 끊임없이 증가하는 사이버 보안 위협을 신속하게 탐지, 분석을 통한 대응과 예측할 수 있는 새로운 보안 시스템이 필요하다. 본 논문에서는 머신 러닝과 빅데이터 기술을 활용한 IDS 구축 방안을 제시한다.

• 한국정보과학회논문지:정보통신
• /
• 제36권3호
• /
• pp.173-183
• /
• 2009

본 논문에서는 엔트로피에 기반한 이상징후 탐지 시스템을 제안한다. 엔트로피는 시스템의 무질서정도를 측정하는 지표로써, 이상징후 출현 시 네트워크의 엔트로피는 급증한다. 네트워크를 IP와 포트번호를 기준으로 분류하여, 패킷별로 역학을 관찰하고 엔트로피를 각각 측정한다. 분산서비스거부공격이나 웜, 스캐닝 등의 네트워크 공격 출현 시 패킷 교환과정이 정상적일 때와는 다르므로 엔트로피를 통하여 기존기법 보다 높은 탐지율로 이상징후를 탐지할 수 있다. 본 논문에서는 다수의 원과 서비스거부공격을 포함한 데이터 셋을 수집하여 제안기법을 검증하였다. 또한 지수평활법, Holt-winters 등의 시계열예측 기법과 주성분분석을 이용한 이상징후 탐지 기법과 정확도 측면에서 비교한다. 본 논문에서 제안한 기법으로 웜, 서비스거부공격 등의 이상징후 탐지에 있어 오탐지율을 낮출 수 있다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2004년도 춘계학술발표대회
• /
• pp.1063-1066
• /
• 2004

기존의 침입을 탐지하는 방법은 여러 가지가 있지만, 모든 침입을 다 탐지하지는 못하고 있다. 공격자는 알려지지 않은 취약점을 이용하거나 취득한 패스워드나 ID 계정을 이용하여 공격하고자 하는 시스템에 악의적인 행위를 한다. 이런 침입을 탐지하는 연구는 탐지엔진에 적용될 패턴구성 방법이 핵심이다. 본 논문에서는 기존의 사람이 패턴을 찾는 것을 자동화 시키고, 자동화된 패턴 구축 방법을 직접 시스템에 적용하여 침입을 탐지하는 방법을 제시하고자 한다. 그래서 알려지지 않은 침입을 탐지하기 위해 전문가 시스템을 이용하고 패턴을 지식 베이스화하는 작업과 그 지식을 추론할 수 있는 추론망을 추론망 자동 생성 기법으로 구성하여 비정상적인 침입을 탐지하는 방법을 본 논문에서 제시하고자 한다.

• 인터넷정보학회논문지
• /
• 제12권2호
• /
• pp.85-101
• /
• 2011

추천 시스템은 사용자의 선호도를 분석하고, 아이템들에 대한 사용자의 선호도를 예측하여 책, 영화, 음악 등과 같은 아이템을 사용자에게 추천하는 시스템이다. 추천 시스템에서 가장 널리 활용하는 기법은 협동적 여과 기법이며, 협동적 여과 기법은 추천 대상 사용자에게 아이템을 추천할 때 유사 사용자의 평가 정보를 이용한다. 협동적 여과 기반 추천은 시스템 공격자가 악의적 목적을 가지고 아이템에 대한 평가를 조작하였을 경우 추천 성능이 저하되며, 이와 같은 추천 시스템에 대한 악의적 행위를 추천 공격이라 한다. 지속적으로 변화하는 평가 데이터를 데이터 스트림 관점에서 분석하면 추천 시스템의 공격을 예측할 수 있다. 본 논문에서는 협동적 여과 기반 추천 시스템에서 아이템 평가의 스트림 추세를 이용하여 추천 시스템에 대한 공격을 탐지하는 방법을 제안한다. 평가 데이터를 구성하는 아이템 평가 정보는 시간에 따라 수시로 변화되는 특성을 나타내기 때문에 일정 주기에 따라 아이템의 평가 변화를 측정하면 추천 시스템의 공격을 탐지할 수 있다. 본 논문에서 제안하는 기법은 연속적으로 입력되는 평가 스트림을 공격 탐지 검사 주기를 기반으로 정상적인 스트림 추세와 비교하여 비정상적인 스트림 추세를 탐지한다. 본 논문에 제안한 기법을 추천 공격에 적용하면 추천 시스템의 운용성과 평가 데이터의 재사용성을 향상시킬 수 있다. 본 논문에서 제안한 기법을 다양한 실험을 통해 효과를 확인하였다.

• 정보보호학회논문지
• /
• 제28권4호
• /
• pp.963-974
• /
• 2018

비트코인과 같은 암호 화폐에 대한 관심이 증대됨에 따라 블록체인 기술은 뛰어난 보안성을 갖춘 분산 원장 플랫폼으로 다양한 응용분야에서 많은 주목을 받고 있다. 그러나 암호 화폐 채굴(Cryptomining) 과정에 대한 취약성으로 인해 타인에게 CPU와 같은 컴퓨터 자원을 몰래 갈취하는 공격인 Cryptojacking이 등장하였다. 그 중에서도 브라우저 기반 Cryptojacking은 사용자의 PC에 설치하는 동작 없이 단순히 웹 사이트를 방문하는 것만으로 공격이 수행된다는 점에서 그 심각성이 증대되고 있다. 현재까지의 Cryptojacking 탐지 시스템은 대부분 시그니처 기반으로 동작하기 때문에, 기존 Cryptomining 코드의 변형이나 새롭게 등장하는 Cryptomining 코드는 탐지하지 못하는 문제점이 존재한다. 이를 극복하기 위하여, 본 논문에서는 알려지지 않은 Cryptojacking 공격에 대한 탐지를 위해 Headless 브라우저를 이용하여 탐지대상 사이트의 공격 여부를 확인하는 동적 Cryptojacking 사이트 탐지 방안을 제안한다. 제안하는 동적 분석 기반 Cryptojacking 탐지 시스템은 기존 시그니처 기반 Cryptojacking 탐지 시스템에서 탐지하지 못하는 새로운 Cryptojacking 사이트를 탐지 할 수 있으며, Cryptomining 코드를 우회하여 호출하거나 난독화하더라도 이를 탐지하는 것이 가능하다.

• 정보와 통신
• /
• 제24권11호
• /
• pp.14-24
• /
• 2007

최근 네트워크 공격 기술이 날로 발전함에 따라 각 시스템에서 노출된 취약성이 패치되기 전에 네트워크 환경을 위협하는 zero-day 공격이 최대 이슈로 등장하고 있다. 본 고에서는 zero-day 위협에 대응하기 위해서, 활발하게 진행되고 있는 탐지 시그니처 자동 생성 기술에 대한 최근 연구 동향에 대해 소개하고, 이러한 기존 연구 및 기술들의 단점을 보완하기 위해 개발되고 있는 하드웨어 기반 고성능, 시그니처 자동 생성 시스템을 포괄하는 네트워크 보안 지능화 기술을 소개한다. 그리고 생성된 탐지 시그니처를 타 보안 솔루션들과 공유하기 위한 운영 프레임워크를 제안하고, 생성된 시그니처를 공유하기 위해 사용하는 시그니처 생성 교환프로토콜과 메시지 교환 형식을 정의한다. 이러한 지능화대응 기술을 활용함으로써 zero-day 공격에 대해 초기에 탐지하고 신속하게 대응하여 네트워크 인프라를 보호하는 효과를 기대할 수 있다. 또한, 체계적인 보안 정책 관리를 통하여 향후 발생할 네트워크 위협 공격들에 대해서도 빠르게 대응할 수 있도록 하여 국가적인 차원에서의 효과적인 방어체계를 구축하는데 기여할 것이다.

• 전기전자학회논문지
• /
• 제26권4호
• /
• pp.614-621
• /
• 2022

본 논문은 CAN(Controller Area Network) 버스에서 해킹에 의한 공격을 탐지하기 위한 랜덤 포레스트 기반 칩입 감지 시스템(RIDS: Random Forest-Based Intrusion Detection)을 제안한다. RIDS는 CAN 버스에서 나타날 수 있는 전형적인 세 가지 공격, 즉 DoS(Denial of Service) 공격, Fuzzing 공격, Spoofing 공격을 탐지하며, 데이터 프레임 사이의 시간 간격과 그 편차, 페이로드끼리의 해밍 거리와 그 편차의 네 가지 파라미터를 사용하여 공격을 판단한다. RIDS는 메모리 중심 방식의 아키텍쳐를 가지며 노드의 정보를 메모리에 저장하여 사용하며 트리의 개수와 깊이만 조절하면 DoS 공격, Fuzzing 공격, Spoofing 공격을 모두 탐지할 수 있도록 확장이 용이한 구조로 설계되었다. 시뮬레이션 결과 RIDS는 정확도 0.9835, F1 점수 0.9545로 세 가지 공격을 효과적으로 탐지할 수 있었다.

• 한국정보처리학회논문지
• /
• 제6권7호
• /
• pp.1858-1866
• /
• 1999

네트워크 기반에서 시도되는 최근 공격 유형들은 시스템과 네트워크의 정상적인 동작을 방해하는 간접적 형태의 공격들이 점차 증가 추세를 이루고 있다. 본 논문에서는 네트워크 패킷을 기반으로 시도되는 여러 유형의 간접 공격들 중 네트워크 계층에서 이루어지는 서비스 거부 공격에 대한 분석과 공격 특징에 따른 유형들을 분류하고 이를 탐지할 수 있는 방법들을 제시하였다. 또한 단일 알고리즘으로부터 다양한 유형의 공격들을 탐지 할 수 있는 기능과 추가적인 탐지 기능의 확장성 등을 제공할 수 있는 효율적인 통합 서비스 거부 공격 탐지 알고리즘을 설계하였다.

• 정보처리학회논문지:컴퓨터 및 통신 시스템
• /
• 제11권1호
• /
• pp.23-34
• /
• 2022

네트워크 기술의 발달로 그 적용 영역 또한 다양해지면서 다양한 목적의 프로토콜이 개발되고 트래픽의 양이 폭발적으로 증가하게 되었다. 따라서 기존의 전통적인 스위칭, 라우팅 방식으로는 네트워크 관리자가 망의 안정성과 보안 기준을 충족하기 어렵다. 소프트웨어 정의 네트워킹(SDN)은 이러한 문제를 해결하기 위해 제시된 새로운 네트워킹 패러다임이다. SDN은 네트워크 동작을 프로그래밍하여 효율적으로 네트워크를 관리할 수 있도록 한다. 이는 네트워크 관리자가 다양한 여러 양상의 공격에 대해서 유연한 대응을 할 수 있는 장점을 가진다. 본 논문에서는 SDN의 이러한 특성을 활용하여 SDN 구성 요소인 컨트롤러와 스위치를 통해 공격 정보를 수집하고 이를 기반으로 공격을 탐지하는 위협 레벨 관리 모듈, 공격 탐지 모듈, 패킷 통계 모듈, 플로우 규칙 생성기를 설계하여 프로그래밍하고 허니팟을 적용하여 지능형 공격자의 서비스 거부 공격(DoS)을 차단하는 방법을 제시한다. 제안 시스템에서 공격 패킷은 수정 가능한 플로우 규칙에 의해 허니팟으로 빠르게 전달될 수 있도록 하였으며, 공격 패킷을 전달받은 허니팟은 이를 기반으로 지능적 공격의 패턴을 분석하도록 하였다. 분석 결과에 따라 지능적 공격에 대응할 수 있도록 공격 탐지 모듈과 위협 레벨 관리 모듈을 조정한다. 제안 시스템을 실제로 구현하고 공격 패턴 및 공격 수준을 다양화한 지능적 공격을 수행하고 기존 시스템과 비교하여 공격 탐지율을 확인함으로써 제안 시스템의 성능과 실현 가능성을 보였다.