• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2005년도 춘계학술발표대회
• /
• pp.1225-1228
• /
• 2005

본 논문에서는 DDoS 공격 패킷을 사전에 탐지하고 트래픽 제어를 하기위한 방안을 제안한다. 제안된 모델은 공격대상에서 멀리 떨어 진 라우터에서 낮은 임계치를 적용하여 탐지 하게 되며 지역 연합 모델을 통한 지역적인 방어 행동을 취하게 된다. 사전에 취해지는 방어 행동으로 인해 본 시스템은 좋은 성능을 발휘 할 것이다. 시스템의 각 지역연합들은 DDoS 공격의 악의 적인 트래픽의 양을 줄이는 것에 기여 할 것이다.

• 한국정보과학회:학술대회논문집
• /
• 한국정보과학회 2003년도 봄 학술발표논문집 Vol.30 No.1 (A)
• /
• pp.386-388
• /
• 2003

인터넷 발전의 대표적인 역기능인 시스템 공격 방법 중 분산 서비스거부 공격은 공격 도구가 분산되어 있고 도구를 분산화 하는 과정을 찾기 힘들다는 특징 때문에 현재까지의 연구 대부분에서 공격이 발생한 시점에서의 대응 방법이 제안됐다. 그러나 이 시점에서는 대응은 시스템에 대한 보호가 늦어질 가능성이 높기 때문에, 공격이 발생되기 이전에 네트워크 상의 패킷의 흐름을 거시적으로 판단해서 공격의 징후를 찾고 이에 대해 대처할 수 있는 방법이 필요하다. 따라서 본 논문에서는 분산화 된 보안 에이전트들에 의해 공격 시점 이전에 분산 서비스거부 공격 도구의 위상을 탐지하는 기법을 제안한다. 이 기법은 분산된 공격 도구에서 발생할 수 있는 의심스러운 접속들을 포괄적으로 판단하여 공격이 발생하기 전에 공격도구들이 설치된 일치를 찾게 된다.

• 한국시뮬레이션학회:학술대회논문집
• /
• 한국시뮬레이션학회 2001년도 춘계 학술대회 논문집
• /
• pp.72-76
• /
• 2001

인터넷이 생활의 중요한 요소로 자리잡기 시작하면서 네트워크의 침해 사고가 급증하고 있는 현실이다. 이러한 침해 사고를 예방하기 위해 침입 탐지 시스템(IDS)과 방화벽(Firewall)이 많이 사용되고 있다. 방화벽과 침입 탐지 시스템은 연동은 서로의 단점을 보완하여 더 강력하게 네트워크를 보호할 수 있다. 방화벽과 침입 탐지 시스템을 위한 시뮬레이션 모델은 DEVS (Discrete Event system Specification) 방법론을 사용하여 구성하였다. 본 논문에서는 실제 침입 데이터를 발생시켜 실제 침입에 가까운 상황 가운데 침입 행위를 판별하도록 구성하였다. 이렇게 구성된 시뮬레이션 모델을 사용하여 침입탐지 시스템의 핵심 요소인 침입 판별이 효과적으로 수행되는지를 시뮬레이션 할 수 있다. 현재의 침입은 광범위해지고, 복잡하게 되어 한 침입 탐지 시스템이 독립적으로 네트워크의 침입을 판단하기 어렵게 되었다. 이를 위해 네트워크 내에 여러 침입 탐지 시스템 에이전트를 배치하였고, 에이전트들이 서로 정보를 공유함으로써 공격에 효과적으로 대응할 수 있도록 하였다. 침입 탐지 시스템이 서로 협력하여 침입을 탐지하고, 이런 정보를 침입 차단 시스템에게 넘겨주게 된다. 이와 같은 구성을 통해서 공격자로부터 발생된 패킷이 네트워크 내로 들어오는 것을 원천적으로 막을 수 있도록 하였다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2020년도 춘계학술발표대회
• /
• pp.490-493
• /
• 2020

오늘날 정보통신 기술이 급격하게 발달하면서 IT 인프라에서 보안의 중요성이 높아졌고 동시에 APT(Advanced Persistent threat)처럼 고도화되고 다양한 형태의 공격이 증가하고 있다. 점점 더 고도화되는 공격을 조기에 방어하거나 예측하는 것은 매우 중요한 문제이며, NIDS(Network-based Intrusion Detection System) 관련 데이터 분석만으로는 빠르게 변형하는 공격을 방어하지 못하는 경우가 많이 보고되고 있다. 따라서 HIDS(Host-based Intrusion Detection System) 데이터 분석을 통해서 위와 같은 공격을 방어하는데 현재는 침입탐지 시스템에서 생성된 데이터가 주로 사용된다. 하지만 데이터가 많이 부족하여 과거에 생성된 DARPA(Defense Advanced Research Projects Agency) 침입 탐지 평가 데이터 세트인 KDD(Knowledge Discovery and Data Mining) 같은 데이터로 연구를 하고 있어 현대 컴퓨터 시스템 특정을 반영한 데이터의 비정상행위 탐지에 대한 연구가 많이 부족하다. 본 논문에서는 기존에 사용되었던 데이터 세트에서 결여된 스레드 정보, 메타 데이터 및 버퍼 데이터를 포함하고 있으면서 최근에 생성된 LID-DS(Leipzig Intrusion Detection-Data Set) 데이터를 이용한 분석 비교 연구를 통해 앞으로 호스트 기반 침입 탐지 데이터 시스템의 나아갈 새로운 연구 방향을 제시한다.

• 디지털콘텐츠학회 논문지
• /
• 제10권3호
• /
• pp.479-484
• /
• 2009

무선 네트워크 사용이 증가하면서 무선 네트워크의 보안 시스템의 중요성이 부각되고 있는 실정이다. MANET은 이동 노드만으로 구성되어 있기 때문에 공격이 발생해도 그에 대한 탐지나 대응이 어렵다. 그리고 노드들의 이동성 때문에 유선 네트워크 환경에서 사용하던 보안 시스템을 그대로 적용하기에는 어려움이 많다. 따라서 이러한 환경에서 공격자의 악의적인 공격으로부터 시스템을 보호하고 즉각적으로 대처해야만 한다. 본 논문에서는 악의적인 공격을 탐지하고 자원의 효율적 사용을 위해서 클러스터를 헤드를 이용한 침입탐지 시스템을 제안한다. 보다 정확한 침입탐지를 위해 규칙들의 집합을 정의하고 일치 여부를 판단하는 방법을 이용하였다. 제안한 방법의 성능 평가를 위해서 blackhole, message negligence, jamming 공격을 이용하였다.

• 한국컴퓨터정보학회논문지
• /
• 제11권5호
• /
• pp.157-164
• /
• 2006

최근에는 대부분의 인터넷 공격은 악성코드(Malware)에 의한 잘 알려지지 않은 제로데이 공격 형태가 주류를 이루고 있으며, 이미 알려진 공격유형들에 대해서 탐지하는 오용탐지 기술로는 이러한 공격에 대응하기가 어려운 실정이다. 또한, 다양한 공격 패턴들이 인터넷상에 나타나고 있기 때문에 기존의 정보 보호 기술로는 한계에 다다르게 되었고, 웹기반 서비스가 보편화됨에 따라 인터넷상에 노출된 웹 서비스가 주공격 대상이 되고 있다. 본 논문은 인터넷상의 트래픽 유형을 분류하고, 각 유형에 따른 이상 징후를 탐지하고 분석할 수 있는 비정상행위공격 탐지기술(Anomaly Intrusion Detection Technologies)을 포함하고 있는 위협관리 시스템(Threat Management System)을 제안한다.

• 한국정보보호학회:학술대회논문집
• /
• 한국정보보호학회 2003년도 동계학술대회
• /
• pp.101-106
• /
• 2003

인터넷 상에서의 대부분의 네트워크 공격은 공격의 목표가 되는 시스템에 단일 패킷만을 보냄으로써 공격이 이뤄질 수 없다. 그렇기 때문에 침입탐지시스템에서는 내부 네트워크로 들어오고 나가는 패킷들에 대한 일련의 순차성을 알아냄으로써 네트워크 공격을 탐지할 수 있다. 본 연구에서는 이러한 네트워크 패킷의 순차성을 이용하여 비정상행위에 대한 침입탐지 방법을 제안하였으며 또한 일부 비정상행위 탐지에서 사용하고 있는 시간을 기준으로 한 트랜잭션의 분할에서 오는 단점을 지적하고 그것을 보완하기 위하여 탐지 단위로서 사용자의 세션을 사용하였다. TCP/IP 네트워크에서의 사용자 세션 정보를 표현하기 위해서 여러 가지 정보가 사용자 행위 테이블로 표현되며 이러한 사용자 행위 테이블은 서비스 포트 별로 통계적인 정리가 가능하다. 또한 이렇게 정리된 서비스 포트별 정보에서는 확률을 기반으로 한 비정상 행위를 도출할 수 있으며, 이러한 비정상 행위도를 이용하여 침입 판단의 근거자료로 삼을 수 있음을 확인하였다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2002년도 추계학술발표논문집 (중)
• /
• pp.933-936
• /
• 2002

공격자는 시스템에 침입하기 위해 취약점을 수집하며 여러 공격방법을 통해 루트권한을 획득하게 된다. 루트권한을 획득한 공격자는 공격 시스템에 루트킷을 설치하여 침입에 대한 흔적을 숨기고 차후 침입을 위한 백도어를 남기게 되는데 최근 등장한 커널 기반의 루트킷은 시스템에 대한 침입 탐지를 어렵게 하고 있다. 이러한 공격에 대응하기 위해 침입탐지 및 차단을 위한 보안 시스템들이 많이 개발되어 왔지만 공격자들은 보안 시스템들을 우회하여 시스템에 침입하고 있다. 본 논문에서는 루트권한을 획득한 공격자의 불법행위를 막기 위해 시스템 보안 강화 LKM을 설계, 구현하며 중요 파일의 변조와 루트킷의 실치를 막고 공격자의 불법행위를 관리자에게 실시간으로 알릴 수 있는 방법을 제안한다.

• 정보보호학회논문지
• /
• 제31권3호
• /
• pp.411-422
• /
• 2021

무인이동체에 탑재되는 자율주행 시스템은 여러 센서를 통해 외부 환경을 인식하고 이를 통해 최적의 제어값을 도출한다. 무인이동체의 자율주행 시스템은 최근들어 사이버공격의 타겟이 되고 있다. 예를 들어, 무인이동체의 센서를 대상으로 신호오류 주입공격을 수행함으로써 센서 데이터를 악의적으로 조작하는 PHY 레벨 (Physical level) 공격과 관련한 연구 결과들이 발표되고 있다. PHY 레벨에서 수행되는 신호오류 주입공격은 주변 환경에 물리적 조작을 가하여 센서가 잘못된 데이터를 측정하게 하므로 소프트웨어 레벨에서 공격을 탐지하기 어렵다는 특징을 갖고 있다. 신호오류 주입공격을 탐지하기 위해서는 센서가 측정하는 데이터의 신뢰성을 검증하는 과정이 필요하다. 현재까지 자율주행 시스템에 탑재되는 센서들을 대상으로 PHY 레벨 공격을 시도하는 다양한 방법이 제시되었으나 이를 탐지하고 방어하는 연구는 아직까지는 부족한 상황이다. 본 논문에서는 무인이동체 환경에서 널리 쓰이고 있는 MEMS 방식의 센서를 대상으로 신호오류 주입공격을 재연하고, 이러한 공격을 탐지하는 방법을 제안한다. 제안하는 방법의 정확도를 분석하기 위해서 신호오류 주입 탐지 모델을 구축하였으며, 실험실 환경에서 유효성을 검증하였다.

• 한국지능시스템학회논문지
• /
• 제18권5호
• /
• pp.679-684
• /
• 2008

느린 포트스캔 공격 탐지는 네트워크 보안에서 중요한 분야 중 하나이다. 본 논문에서는 퍼지 룰을 이용한 비정상 트래픽 컨트롤 프레임워크를 이용한 느린 포트스캔 공격을 탐지하고 대응하는 방법을 제안한다. 비정상 트래픽 컨트롤 프레임워크는 침입차단 시스템으로 동작하면서 의심 단계의 네트워크 트래픽을 대응하는 기능을 가진다. 본 논문에서 제안하는 방법은 공격 혹은 공격 의심 트래픽에 대해 단계적 대응을 한다. 먼저 의심 단계에 있는 트래픽에 대해 대역폭을 줄여 서비스를 하다가 최종적으로 공격으로 판명되면 트래픽을 차단한다. 본 논문에서는 제안한 방법을 프레임워크에 구축하고 실험을 통해 느린 포트스캔 공격에 효과적임을 보인다.