• Proceedings of the Korea Information Processing Society Conference
• /
• 2024.05a
• /
• pp.101-104
• /
• 2024

최근 클라우드가 전 산업에 도입되면서 클라우드 네이티브 환경에 관한 관심이 증가하고 있다. 클라우드 서비스 개발자는 도커 (Docker) 이미지를 활용하여 개발 환경을 구축하고 배포한다. 그러나 종래의 이미지 스캐닝 도구들은 해시값 기반의 시그니처 탐지 방법론을 사용하기 때문에 제로데이 취약점을 탐지하지 못하거나, 이미 저장된 CVE DB에 있는 취약점만 탐지할 수 있었다. 본 논문은 도커 이미지의 계층성을 활용하여 다형성 도커 이미지 공격을 탐지할 수 있는 기법을 제안한다. 실험결과에 따르면 제안한 방법은 종래 방법 대비 다형성 도커 이미지 공격 탐지율을 28.6% 개선할 수 있었다.

• Journal of Internet Computing and Services
• /
• v.22 no.3
• /
• pp.27-35
• /
• 2021

With the development of the Internet, various IT technologies such as IoT, Cloud, etc. have been developed, and various systems have been built in countries and companies. Because these systems generate and share vast amounts of data, they needed a variety of systems that could detect threats to protect the critical data contained in the system, which has been actively studied to date. Typical techniques include anomaly detection and misuse detection, and these techniques detect threats that are known or exhibit behavior different from normal. However, as IT technology advances, so do technologies that threaten systems, and these methods of detection. Advanced Persistent Threat (APT) attacks national or companies systems to steal important information and perform attacks such as system down. These threats apply previously unknown malware and attack technologies. Therefore, in this paper, we propose a hybrid intrusion detection system that combines anomaly detection and misuse detection to detect unknown threats. Two detection techniques have been applied to enable the detection of known and unknown threats, and by applying machine learning, more accurate threat detection is possible. In misuse detection, we applied Classification based on Association Rule(CBA) to generate rules for known threats, and in anomaly detection, we used One-Class SVM(OCSVM) to detect unknown threats. Experiments show that unknown threat detection accuracy is about 94%, and we confirm that unknown threats can be detected.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2024.05a
• /
• pp.401-402
• /
• 2024

인공지능 기술은 사회 전반에 걸쳐 다양한 분야에서 활용되고 있다. 그러나 인공지능 기술의 발전과 함께 인공지능 기술을 악용한 적대적 공격의 위험성도 높아지고 있다. 적대적 공격은 작은 왜곡으로도 의료, 교통, 커넥티드카 등 인간의 생명과 안전에 직결되는 인공지능 학습 모델의 성능에 악영향을 미치기 때문에 효과적인 탐지 기술이 요구되고 있다. 본 논문에서는 설명 가능한 AI 를 활용한 적대적 공격을 탐지하는 최신 연구 동향을 분석한다.

• Journal of the Korea Institute of Information and Communication Engineering
• /
• v.25 no.3
• /
• pp.449-455
• /
• 2021

This paper proposes an encryption web transaction attack detection system based on the existing web application monitoring system. Although there was difficulty in detecting attacks on the encrypted web traffic because the existing web traffic security systems detect and defend attacks based on encrypted packets in the network area of the encryption section between the client and server, by utilizing the technology of the web application monitoring system, it is possible to detect various intelligent cyber-attacks based on information that is already decrypted in the memory of the web application server. In addition, since user identification is possible through the application session ID, statistical detection of attacks such as IP tampering attacks, mass web transaction call users, and DDoS attacks are also possible. Thus, it can be considered that it is possible to respond to various intelligent cyber attacks hidden in the encrypted traffic by collecting and detecting information in the non-encrypted section of the encrypted web traffic.

• Review of KIISC
• /
• v.24 no.1
• /
• pp.39-44
• /
• 2014

악성코드는 다양해진 감염 경로를 통해 쉽게 노출될 수 있으며, 개인정보의 유출뿐만 아니라 봇넷을 이용한 DDoS 공격과 지능화된 APT 공격 등을 통해 심각한 보안 위협을 발생시키고 있다. 최근 악성코드들은 실행 후에는 메모리에서만 동작하는 방식으로 파일로 존재하지 않기 때문에 기존의 악성코드 탐지 기법으로 이를 찾기가 쉽지 않다. 이를 극복하고자 최근에는 물리 메모리 덤프를 포함하여 악성코드 분석 및 탐지 연구가 활발하게 진행되고 있다. 본 논문에서는 윈도우 시스템의 물리 메인 메모리에서 악성코드 탐지 기술에 대해 설명하고, 기존 개발된 물리 메모리 악성코드 탐지 도구에 대한 분석을 수행하여 도구별 악성코드 탐지 기능에 대한 특징을 설명한다. 물리 메모리 악성코드 탐지 도구의 분석 결과를 통해 기존 물리 메모리 악성코드 탐지 기술의 한계점을 제시하고, 향후 정확하고 효율적인 물리 메모리 악성코드 탐지의 기반 연구로 활용하고자 한다.

• Electronics and Telecommunications Trends
• /
• v.31 no.6
• /
• pp.77-87
• /
• 2016

최근 지능화된 DDoS 공격 추세를 반영하여 DRDoS 및 HTTP GET flooding 공격을 네트워크 내 탐지 포인터에서 검출할 수 있는 방법을 살펴본다. DRDoS 공격은 해커들이 스푸핑 된 IP 주소를 사용하기 때문에 기본적으로 은닉형 공격자로 판단할 수 있다. HTTP GET flooding 공격은 해커의 제어 하에 실제적으로 IP 주소를 위장하여 공격을 시도하는 좀비 PC를 검출하는 것도 중요하지만 좀비 PC를 제어하는 C&C 서버로의 통신 채널을 탐지 및 차단하는 것과 C&C 서버에 접근하는 해커를 추적하는 것이 더 원론적인 방어전략이 될 수 있으며 관련 은닉형 DDoS 공격에 대한 국내외 기술개발 동향 및 대응 기술 추세에 대해서 살펴본다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2012.11a
• /
• pp.1064-1067
• /
• 2012

Return-Oriented Programming(ROP) 공격은 버퍼 오버플로우 공격, Return-into libc 공격의 계보를 이어 소프트웨어의 취약점을 공격하는 대표적인 기술 중 하나이다. 이 공격은 윈도우 운영체제 상에서의 Exploitation, iOS DEP 우회 및 코드 사이닝과 같은 기술을 무력화하기 위해 사용되고 있는 취약점 공격법이다. 그렇기 때문에 ROP 공격이 소개된 이후부터 현재까지 탐지법 및 방어법에 대한 논의가 활발하게 이루어지고 있다. 본 논문에서는 이러한 ROP 공격을 막기 위한 방법들을 특징에 따라 세 가지 종류로 분류하여 소개하고, 각각의 방법들의 장점과 단점을 비교 분석하여 향후 ROP 방어에 관한 연구에 기여를 하고자 한다.

• Proceedings of the Korean Information Science Society Conference
• /
• 2004.10a
• /
• pp.478-480
• /
• 2004

인터넷 기술의 발전과 더불어 서비스 거부 공격(DoS : Denial of Service) 방법과 유형이 날로 다양해지고 있다. DoS 공격은 사용자 시스템에 네트워크 트래픽의 과도한 부하를 주어 서비스를 마비시키거나 시스템을 다운시킨다. DoS공격은 빠른 시간 안에 시스템을 위협하는 특징 때문에, 빠른 대처가 필요하다. 이러한 점에 착안하여 본 논문에서는 DoS 공격상황에서의 위험상황을 모델링 한다. 제안된 모델링은 패킷분석에 기반 하여 의미 있는 요소들을 찾아내고, 수식화 해서 위험 탐지 모델을 정의한다. 제안된 모델링을 통해서 DoS공격을 효과적으로 대처할 수 있을 것으로 기대된다.

• Electronics and Telecommunications Trends
• /
• v.23 no.1 s.109
• /
• pp.145-152
• /
• 2008

공격자의 주요 목적은 원격 호스트의 제어 권한을 얻는 것이다. 이것은 공격자가 원격호스트의 컨트롤 플로를 변경시켜 악의적인 코드를 임의로 실행시킬 수 있는 취약한 서비스가 존재하기 때문에 가능하다. 공격자들이 원격 호스트의 제어 권한을 얻기 위한 일반적인 방법은 취약한 서비스를 대상으로 쉘코드(shellcode) 전송을 통해서이다. 네트워크 기반 최신의 공격 탐지 기술들이 점점 사용영역을 넓혀가면서 이를 회피하기 위해 쉘코드들도 진화를 계속하고 있으며, 최근 2~3년 전부터 폴리몰픽(polymorphism)과 메타몰픽(metamorphism) 기법의 사용이 활발해지고 있다. 본 고에서는 이중, 쉽게 이용할 수 있는 엔진들이 많이 알려져 있어 그 예상 피해가 심각하리라 생각되는 폴리몰픽 형태의 쉘코드가 가지는 특징 및 이를 탐지하기 위한 최신 기술들을 소개한다.

• Proceedings of the Korea Institutes of Information Security and Cryptology Conference
• /
• 2001.11a
• /
• pp.277-280
• /
• 2001

기존 시스템 취약성 공격이나 스캔 공격도구들로부터 최근에는 방화벽이나 기타 보안 시스템을 우회하기 위한 보다 진보된 공격 도구들이 나타났다. 이중 가장 심각한 것이 커널 백도어인데 이는 기존의 사용자 레벨에서가 아닌 커널레벨에서 수행되는 특징을 가진다. 이러한 커널 백도어는 기존의 탐지기술로는 탐지가 불가능하며 현재 피해사례도 정확히 파악되지 않아 그 피해는 더욱 크다 하겠다. 이에 본 논문에서는 현재 배포되어 있는 커널 백도어를 분석하고 기존의 커널 백도어 탐지 기술과 이의 문제점을 해결하는 새로운 커널 백도어 탐지 모델과 구현 방안을 제시한다.