• Proceedings of the Korea Institutes of Information Security and Cryptology Conference
• /
• 2002.11a
• /
• pp.72-74
• /
• 2002

컴퓨터 기술과 네트워크 기술이 발전함에 따라 많은 네트워크들이 독립성을 가지게 되었고 이에 따라서 그 취약점들을 이용한 공격들도 늘어나고 있다. 이에 따라 침임을 탐지하는 시스템들은 많이 제안되고 제품화되고 있으나 점점 더 침입 탐지뿐만이 아니라 방지할 수 있는 침입탐지시스템의 개발이 간절히 요구되고 있다. 이 논문에서는 표준이 정해져있지 않은 침입방지시스템(IPS: Intrusion Prevention System)의 설계 및 구현시에 필요한 효과적인 방법들을 제시하고 있다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2023.05a
• /
• pp.670-672
• /
• 2023

본 논문에서는 소셜 미디어 약물 리뷰 데이터로부터 약물 이상 반응을 탐지하는 모델인 FC-BERT 를 기반으로 소셜 네트워크 분석을 활용하여 웹 애플리케이션을 구현하였다. FC-BERT 모델을 거쳐 나온 개체명 인식 결과 중에 같은 의미를 가진 서로 다른 약물 이상 반응 표현들을 MedDRA 부작용 사전을 참고하여 하나의 MedDRA 용어로 표준화하여 매핑했다. 해당 결과에 소셜 네트워크 분석 기법을 적용하여 생성한 상위 15 개의 ADR 동시 출현 그래프를 상위 30 개의 워드 클라우드와 함께 시각화하여 보여주는 웹 애플리케이션을 개발했다. 동시 출현 그래프는 가장 많은 리뷰에서 동시에 나타나는 ADR 쌍을 보여준다. 본 논문에서 제안한 웹 애플리케이션은 사람마다 다르게 나타나는 다양한 약물 이상 반응을 사용자에게 좀 더 접근성이 좋게 제공할 수 있을 것으로 보인다.

• Review of KIISC
• /
• v.15 no.2
• /
• pp.74-82
• /
• 2005

오늘날 네트워크 보안 기술은 해커의 침입 탐지 및 제어, 분산 서비스 거부 공격의 방지 등 많은 분야에서 발전하여 왔다. 그러나, 최근 많은 문제를 발생시키면서 등장한 인터넷 웜은 기존의 네트워크 보안 장비들을 무력화시키며 인터넷 상에 연결된 많은 호스트들을 감염시키고 동시에 네트워크 자원을 소모시켜 버렸다. 실상 초기의 웜은 작은 규모의 네트워크에서 퍼지는 정도 일뿐 심각한 피해를 주는 경우는 거의 없었고 따라서 이에 대해서 심각한 대비책 등을 생각하지는 않았다. 그러나 2001년 발생한 CodeRed 웜은 인터넷에 연결된 많은 컴퓨터들을 순식간에 감염시켜 많은 경제적, 물질적 피해를 발생시켰고, 그 이후 2003년 1월에 발생한 Stammer 웜은 10분이라는 짧은 순간 안에 75000 여대 이상의 호스트를 감염시키고 네트워크 자체를 마비시켰다. 특히 Stammer 월은 국내에서 많은 피해를 유발시켰기에 더더욱 유명하다. 명절 구정과 맞물려 호황을 누리던 인터넷 쇼핑 몰과, 인터넷 금융 거래를 수행하던 은행 전산소 등을 일시에 마비시켜 버리면서 경제적으로도 실질적인 막대한 피해를 우리에게 주었다. 이런 웜을 막기 위해서 많은 보안 업체 및 연구소들이 나서고 있으나, 아직은 사전에 웜의 피해를 막을만한 확실한 대답을 얻지 못하고 있다. 본 논문에서는, 현재 수행하고 있는 여러 웜의 탐지기법에 대해서 조사한 결과를 설명하고, 이어서 본 연구소에서 수행하고 있는 웜의 탐지 기법에 대해서 설명하고 간단한 탐지 결과를 보일 것이다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2006.05a
• /
• pp.901-904
• /
• 2006

인터넷 사용자들의 무선 네트워크의 활용빈도가 점차 높아지고 무선 네트워크의 보안시스템도 요구되면서 무선 네트워크의 안정적이고 원활한 활용과 사용자의 정보 노출의 위험을 줄이고자 유무선 통합형 IDS/IPS도 개발되고 있는 단계다. 본 논문에서는 무선랜 환경을 지원하는 유무선 IPS시스템을 구현하고, 비정상적인 트래픽 탐지의 효율성을 높여 IPS 시스템의 성능향상에 기여정도를 파악 및 분석하였다. 본 논문에서 구축한 IPS시스템은 하이브리드 형태로 구현하였으며 Snort-inline[11]과 Snort-wireless[12] 모듈을 사용하여 무선 랜 이상탐지 기능을 구현하였다. 네트워크 모니터링 시스템으로 네트워크의 트래픽 상황을 파악하여 비정상적인 트래픽이 증가되었을 경우, 제안한 IPS시스템에서 비정상 트래픽의 탐지 및 차단 기능을 기존 IPS와 성능을 비교/분석하였다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2007.05a
• /
• pp.1031-1034
• /
• 2007

다양한 유무선 단말의 등장과 함께 원하는 곳에서 시간에 제한없이 네트워크에 접속할 수 있는 유비쿼터스 세상이 눈앞으로 다가왔다. 네트워크 접속이 현대인 생활의 일부분이 된 현실에서 과다 트래픽 발생으로 인한 급작스런 네트워크 상의 장애는 유비쿼터스 환경에서 무엇보다도 큰 위협이라 할 수 있다. 따라서 비정상적으로 발생한 과다 트래픽을 빠르게 탐지하여 대응하는 것은 유비쿼터스 환경을 안전하게 보호하기 위한 필수 요소라 할 수 있다. 본 논문에서는 기존의 트래픽 분석과는 달리 흐르는 네트워크 패킷의 5 tuple 정보를 실시간으로 수집하여 과다/이상 트래픽을 즉각적으로 탐지하고, 이를 자동으로 제어하는 메커니즘에 대해서 소개하고 있다. 실시간으로 8초마다 트래픽 정보를 수집하고 이를 분석하여 트래픽의 특성을 구분 및 위협도를 분석하여 이를 바탕으로 트래픽 제어 정책을 생성 및 적용하는 전반적인 과정에 대한 것이다. 여기에는 본 메커니즘을 실제 테스트망에서 시험한 결과도 포함하고 있다.

• Proceedings of the Korea Institutes of Information Security and Cryptology Conference
• /
• 2003.12a
• /
• pp.137-140
• /
• 2003

최근 웜이나 바이러스, DDoS(Distributed Denial of Service)와 같은 네트워크 침해사고가 빈번히 발생되고 있어 이를 해결하기 위한 여러 가지 방안이 연구 중이다. 하지만 대개의 경우 외부의 침입탐지에 대한 대책만이 이루어지고 있어, 실제로 내부 호스트에서 감염되어 발생시키는 트래픽에 대해서는 원인 진단이 어려운 실정이다. 따라서 네트워크 장애의 원인이 되는 단말 호스트를 찾아내어 장애처리를 하는 것이 정상적인 네트워크 환경구축을 위하여 필요하다. 본 논문에서는 네트워크 자원 모니터링과 트래픽 분석을 통하여 이상 트래픽에 대한 징후를 사전에 탐지하고, 최종 단말 호스트의 위치까지 추적 가능한 시스템을 설계 및 구현하고자 한다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2012.11a
• /
• pp.884-887
• /
• 2012

전력시스템은 외부 망과 독립적으로 운영되는 폐쇄 망에서 점차 외부 망과의 연계됨으로써 외부 요소에 의한 위협, 다차원적인 시스템 취약성에 노출되고 있다. 서비스 거부 공격은 전력시스템에 매우 치명적이기 때문에 가장 중요한 가용성을 확실히 보장하기 위한 시스템과 네트워크의 운영 및 관리를 통한 보안 대책이 필요하게 되었다. 기존의 네트워크 트래픽만으로 분석하여 이상징후를 탐지하는 방식에 한계가 있기 때문에 본 논문에서는 전력시스템의 네트워크 상태와 엔드 시스템 상태 특성을 실시간 모니터링하고 분석하여 비정상 네트워크 접근을 탐지할 수 있는 시스템을 설계하였다.

• Electronics and Telecommunications Trends
• /
• v.38 no.5
• /
• pp.71-80
• /
• 2023

With the rapid advancement of the Internet, the use of encrypted traffic has surged in order to protect data during transmission. Simultaneously, network attacks have also begun to leverage encrypted traffic, leading to active research in the field of encrypted traffic analysis to overcome the limitations of traditional detection methods. In this paper, we provide an overview of the encrypted traffic analysis field, covering the analysis process, domains, models, evaluation methods, and research trends. Specifically, it focuses on the research trends in the field of anomaly detection in encrypted network traffic analysis. Furthermore, considerations for model development in encrypted traffic analysis are discussed, including traffic dataset composition, selection of traffic representation methods, creation of analysis models, and mitigation of AI model attacks. In the future, the volume of encrypted network traffic will continue to increase, particularly with a higher proportion of attack traffic utilizing encryption. Research on attack detection in such an environment must be consistently conducted to address these challenges.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2005.11a
• /
• pp.965-968
• /
• 2005

본 논문에서는 보안 정책 및 규칙에 기반을 둔 네트워크 포트 기반의 오용침입 탐지 기능 및 센서 객체 기반의 이상침입 탐지 기능을 갖춘 리눅스 서버 시스템을 제안 및 구현한다. 제안한 시스템은 먼저 시스템에 사용하는 보안 정책에 따른 규칙을 수립한다. 이러한 규칙에 따라 정상적인 포트들과 알려진 공격에 사용되고 있는 포트번호들을 커널에서 동적으로 관리하면서, 등록되지 않은 새로운 포트에도 이상탐지를 위해 공격 유형에 대하여 접근제어 규칙을 적용하여 이상 침입으로 판단될 경우 접근을 차단한다. 알려지지 않은 이상침입 탐지를 위해서는 주요 디렉토리마다 센서 파일을, 주요 파일마다 센서 데이터를 설정하여 센서 객체가 접근될 때마다 감사로그를 기록하면서, 이들 센서 객체에 대해 불법적인 접근이 발생하면 해당 접근을 불허한다. 본 시스템은 보안정책별 규칙에 따라 다단계로 구축하여 특정 침입에 대한 더욱 향상된 접근제어를 할 수 있다.

• Journal of the Korea Institute of Information Security & Cryptology
• /
• v.26 no.3
• /
• pp.667-678
• /
• 2016

Due to a development of the cable/wireless network infra, the traffic as big as unable to compare with the past is being served through the internet, the traffic is increasing every year following the change of the network paradigm such as the object internet, especially the traffic of about 1.6 zettabyte is expected to be distributed through the network in 2018. As the network traffic increases, the performance of the security infra is developing together to deal with the bulk terabyte traffic in the security equipment, and is generating hundreds of thousands of security events every day such as hacking attempt and the malignant code. Efficiently analyzing and responding to an event on the attack attempt detected by various kinds of security equipment of company is one of very important assignments for providing a stable internet service. This study attempts to overcome the limit of study such as the detection of Tor network traffic using the existing low-latency by classifying the anonymous network by means of the suggested algorithm about the event detected in the security infra.