• 한국정보과학회:학술대회논문집
• /
• 한국정보과학회 2004년도 가을 학술발표논문집 Vol.31 No.2 (1)
• /
• pp.361-363
• /
• 2004

서비스 거부(denial of service) 공격의 일종인 SYN flooding 공격은 TCP/IP 프로토콜의 오류로 인해 발생한다. 기존의 SYN flooding 해결 연구들은 대부분 방화벽이나 라우터에서 패킷을 감시하여 불법적으로 판단된 패킷을 걸러내는 방법을 사용하였다. 따라서 기존의 연구들은 방화벽이나 라우터에 많은 부하를 주게 된다. 본 연구에서는 방화벽이나 라우터의 도움을 받지 않고, 기존의 네트워크 환경이나 운영체제에 큰 변화를 가하지 않으면서, 서버 시스템 자체만으로 SYN flooding 공격에 효율적으로 대응할 수 있는 방법을 제시하고자 한다.

• 한국시뮬레이션학회논문지
• /
• 제19권2호
• /
• pp.73-80
• /
• 2010

무선 센서 네트워크는 다양한 응용분야에서, 개방된 환경에 배치되어지므로, 공격자에게 손쉽게 노출된다는 취약점을 가지고 있다. 선택적 전달 공격(Selective Forwarding Attack)은 센서 네트워크에서 발생할 수 있는 공격중의 하나로 공격자는 훼손된 노드를 통하여 전장지역에서의 적의 움직임등과 같이 중요한 정보의 기지노드까지 정상적인 전달을 차단하여 감시자의 원활한 탐지를 어렵게 한다. Xiao, Yu 그리고 Gao는 이와 같은 위협에 대한 대안으로 선택적 전달 공격 탐지기법(checkpointbased multi-hop acknowledgement scheme; 이하 CHEMAS)를 제안하였다. CHEMAS에서 전달경로 상에 노드들은 미리 정해진 확률에 따라 감시 노드(checkpoint)로 선택되어지며 이 감시 노드들을 통해 공격 발생 지역을 탐지할 수 있다. 해당 기법에서 인증 패킷 전달 홉 수는 시스템 상에서 탐지율과 에너지 효율 사이에서 트레이드 오프 관계에 있으므로 매우 중요한 요소이다. 본 논문에서는 보안 강도를 충분히 유지하면서, 에너지 효율성 또한 제공할 수 있는 경계 값 선택을 위해 퍼지 규칙 시스템을 적용하였다. 기지노드는 퍼지 규칙 시스템을 이용하여 매 주기마다 에너지 레벨과 훼손된 노드 수 그리고 기지노드로부터의 거리를 고려하여 상황에 맞는 적절한 경계 값을 결정한다.

• 한국시뮬레이션학회:학술대회논문집
• /
• 한국시뮬레이션학회 2004년도 춘계학술대회 논문집
• /
• pp.13-19
• /
• 2004

본 논문은 SIMVA(Simulation Vulnerability Analyzer)를 이용한 시뮬레이션 기반의 네트워크 취약성 분석을 주목적으로 한다 SIMVA는 네트워크 상태를 감시하고, 이를 토대로 취약성을 분석하기 위하여 개발된 S/W로서, SES/MB (System Entity Structure / Model Base) 프레임워크 및 DEVS(Discrete Event System Specification) 이론을 적용하여 네트워크 보안 모델링을 수행할 수 있으며, 취약성 메트릭스를 통하여 정량적으로 취약성을 분석할 수 있다. 본 연구에서는 SIMVA를 이용하여 최근 네트워크 보안 문제에 심각한 영향을 미치는 슬래머 웜 공격 시나리오에 대한 취약성 분석을 수행함으로써 SIMVA의 검증 및 적용 가능성을 제시한다.

• 융합보안논문지
• /
• 제11권6호
• /
• pp.25-30
• /
• 2011

MANET은 이동 노드로만 구성되어 있고 중앙 관리 시스템이 존재하지 않기 때문에 보안에 더욱 취약한 구조를 가지고 있다. 이러한 무선 네트워크를 위협하는 공격들 중에 그 피해가 가장 심각한 공격이 바로 DDoS 공격이다. 최근 들어 DDoS 공격은 목표 대상과 수법이 다양해지고 지능화 되어가고 있다. 본 논문에서는 비정상 트래픽을 정확히 분류하여 DDoS 탐지율을 높이기 위한 기법을 제안하였다. MANET을 구성하는 노드들을 클러스터로 형성한 후 클러스터 헤드가 감시 에이젼트 기능을 수행하게 하였다. 그리고 감시 에이젼트가 모든 트래픽을 수집한 후 비정상 트래픽 패턴을 탐지하기 위하여 결정트리 기법을 적용하였으며 트래픽 패턴을 판단하여 공격을 탐지하였다. 실험을 통해 본 논문에서 제안한 탐지 기법의 높은 공격 탐지율을 확인하였다.

• 융합보안논문지
• /
• 제13권4호
• /
• pp.41-46
• /
• 2013

MANET에서 효율적인 데이터 전송을 위해서는 기존의 유선 네트워크에서 사용하는 라우팅 프로토콜을 그대로 사용할 수 없다. 왜냐하면 이동 노드로만 구성되어 있어 네트워크 토폴로지가 동적으로 변화하기 때문이다. 따라서 각 이동 노드들이 라우터 기능을 수행해야만 한다. 이러한 특성 때문에 MANET에는 DoS와 같은 다양한 라우팅 공격이 존재하고 있다. 본 논문에서는 자원을 소모시켜 네트워크를 마비시키는 플러딩 공격 탐지 성능을 향상시키기 위한 협력기반 탐지 기법을 제안하였다. 전체 네트워크의 트래픽 양과 노드의 수를 고려하여 기준값을 적응적으로 계산함에 따라 정확한 공격 탐지가 이루어지도록 하였다. 그리고 모든 이동 노드가 협력적 탐지를 수행하기 위하여 NHT라는 테이블을 이용하였으며, 트래픽의 중앙 감시를 위하여 클러스터 구조를 적용하였다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2003년도 춘계학술발표논문집 (하)
• /
• pp.2161-2164
• /
• 2003

현재 사용되고 있는 침입 탐지 시스템들은 새로운 공격 패턴을 가진 침입을 탐지하기 위하여 규칙 데이터베이스를 지속적으로 갱신하고 있다. 그러나 이러한 침입 탐지 능력은 현재 알려진 기술이나 기법들에 한정된다. 따라서, 기존침입 탐지 시스템들은 공격을 받은 후, 현재까지 존재하지 않았던 새로운 기법이 적용된 공격이나 다소 변형된 공격을 받게 되면 침입을 탐지하지 못하거나 능동적 대처를 하지 못하였으며, tcpdump 또는 libpcap과 같은 응용 레벨의 프로그램을 사용하였기 때문에 실시간으로 패킷들을 감시할 수 없었다. 이러한 추가적인 공격들을 탐지하기 위해서 보다 강력하고 능동적인 네트워크 기반의 대응 기술이 요구되는데, 이에 본 논문에서는 이러한 요구 사항을 해결하기 위하여 패킷 감시의 정확성과 침입에 대한 실시간 대응성을 높이는 커널 레벨에서 동작하는 침입 탐지 모듈과, 악의적인 목적을 가진 패킷들을 차단하는 필터링 모듈 개발 기법을 제시하고자 한다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2002년도 추계학술발표논문집 (중)
• /
• pp.937-940
• /
• 2002

인터넷의 확산과 더불어 전자 우편의 사용이 크게 늘면서 스팸메일의 심각성이 대두되고 있다. 현재 스팸메일을 막기 위한 여러 가지 기법이 제안되고 있으나, 대부분의 방법이 메일 서버내의 정책에 따른 메일 필터링으로, 스팸메일로 인해 네트워크 자원이 소실되는 문제는 여전히 해결되지 않고 있다. 또한 여러 메일 서버가 같은 내용의 메일로 반복적으로 공격을 당하게 된다. 본 논문에서는 게이트웨이 수준에서의 메일감시를 통하여 불필요한 스팸메일로부터 네트워크 자원을 보호하고, 내부 메일 서버 전체를 보호 할 수 있는 시스템에 대해 논의 해보고자 한다. 커널 레벨에서의 패킷 감시로 속도가 빠르고, 또한 가상의 커넥션을 맺어 게이트웨이에서 메일을 완전히 받은 후 검사하므로 더욱더 다양한 정책으로 SMTP를 감시할 수 있으며, 이 시스템은 IP 기반의 다른 프로토콜이나 타 서비스로의 응용 또한 기대할 수 있다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2001년도 추계학술발표논문집 (하)
• /
• pp.973-976
• /
• 2001

본 논문은 공개 소프트웨어를 이용하여 침입자 감시시스템을 효과적으로 구축하는 방법을 제안한다. 침입자 감시시스템의 구축에는 Linux, Apache, PHP, MySQL, Snort, ACID, Tcpwrapper 그리고 phpMyAdmin 이 사용되었으며, 침입자 감시시스템의 자체 보안을 위해서 httpd.conf를 사용한 홈 디렉토리 접근제어 및 Tcpwrapper 의 inetd 방식의 데몬 접근제어를 통해서 관리자만이 시스템에 접근할 수 있도록 하였다. 본 논문의 실험 및 결과에서는 실제 테스트베드를 구축하고, 취약성 점검 툴인 Nessus를 이용하여 침입자 감시시스템을 공격하였다. 실험 결과는 ACID 를 통해서 웹상에서 효과적으로 분석할 수 있었다. 본 논문은 효율적인 네트워크 보안 관리 및 침입자를 감시 및 역추적하기 위해서 제안된 것이다.

• 한국정보보호학회:학술대회논문집
• /
• 한국정보보호학회 2006년도 하계학술대회
• /
• pp.101-104
• /
• 2006

유행처럼 시도하던 DDoS 공격, 특정 목적을 위한 트로이 목마, 스팸메일을 통한 악성코드 유포, 개인 정보 유출 등 악의적인 공격들이 공격자에 의해 조종당하는 Bot에 의해 쉽게 이루어지고 있으며, 특별한 해결방안이 있는 것도 아니다. 이러한 Bot들이 공격자를 통해서가 아닌 자체적으로 P2P 네트워크를 자가 형성하여 공격한다면 탐지는 더욱 어려워지게 된다. 이와 같은 자가 형성에 대응한 효율적인 방어책을 로컬 시스템 간의 네트워크 모니터링 에이전트를 도입하여 해결하고, 에이전트들이 자가 형성하여 실시간으로 Bot에 대한 정보를 공유하고, 이 정보를 기반으로 시스템을 감시하여 Bot을 탐지하는 방어책에 대해 본 논문에서 기술한다.

• 정보보호학회논문지
• /
• 제27권1호
• /
• pp.25-38
• /
• 2017

국가 주요 기반 시설을 포함하여 보안사고 발생 시 심각한 피해를 발생시킬 수 있는 산업 제어시스템의 특성에 의해 세계적으로 많은 보안 침해 사고가 발생하고 있다. 따라서 산업 제어시스템 네트워크에 오가는 트래픽은 감시되고, 분석되어 공격을 사전에 파악하거나 사고 이후 재빠른 대응을 수행할 수 있어야 한다. 본 논문에서는 제어시스템 프로토콜인 DNP3를 대상으로 모든 공격의 가능성을 갖는 트래픽들을 대상으로 합리적인 의심이 가능하도록 네트워크 포렌식 관점에서 시각화를 연구를 수행해 정상행위기반 룰을 정의하고 시각화 요구사항을 도출했다. 이를 기반으로 제어시스템 네트워크상에 캡처된 패킷 파일을 대상으로 DDoS와 같은 급작스런 네트워크 트래픽의 변화를 일으키는 경우 혹은 정상행위를 위반한 공격이 탐지 가능한 시각화 도구를 개발했고, 디지털본드 패킷과 같이 치명적인 공격이 포함된 네트워크상에서 성공적으로 비정상행위 탐지를 수행하였다.