• 한국산업정보학회논문지
• /
• 제8권1호
• /
• pp.75-82
• /
• 2003

인터넷의 대중화로 인한 네트워크의 급속한 팽창으로 보안관리가 중요하게 인식되고 있다. 특히, 이상패킷을 이용한 공격들은 비정상적인 패킷들을 통하여 침입탐지 시스템이나 침입차단 시스템을 우회하여 공격하기 때문에 탐지해 내기가 어렵다. 본 논문에서는 이상패킷을 이용한 공격들을 실시간에 효율적으로 탐지할 수 있는 네트워크 기반의 침입탐지 시스템을 설계하고 구현한다. 침입탐지 시스템을 설계하기 위하여 먼저 침입 탐지를 위한 패턴을 분류하고 이를 기반으로 해싱기법이 적용된 룰트리를 생성한다. 생성된 룰트리를 기반으로 제안한 시스템은 이상패킷 공격을 효율적으로 실시간에 탐지한다.

• 한국멀티미디어학회:학술대회논문집
• /
• 한국멀티미디어학회 2002년도 춘계학술발표논문집(하)
• /
• pp.930-935
• /
• 2002

본 논문은 불법 침입 탐지를 위한 정보시스템 구축에 있어 많은 연구가 진행되고 있는 침입 탐지 시스템(IDS: Intrusion Detection System)중 네트워크 기반의 오용(Misuse) 탐지 모델을 이용하여 침입 탐지 시스템을 설계 및 구현하였다. 구현된 침입 탐지 시스템은 K4 인증 기준을 모델로 삼았으며, 탐지하는 시그너쳐의 분류상 Content, DoS, Probing을 대상으로 설계되었으며, 원격으로 시스템의 관리와 감독이 가능하도록 구현하였다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2002년도 추계학술발표논문집 (중)
• /
• pp.949-952
• /
• 2002

비정상 행위를 탐지하는 네트워크 기반 침입탐지 시스템은 다른 네트워크 환경에서도 같은 학습정확도와 탐지 성능을 보여야 한다. 그러나 학습을 통한 패턴생성 알고리즘의 특성에 따라 정확도의 불일치가 나타날 수 있으며, 이에 따른 탐지 성능 또한 네트워크 환경에 따라 다르게 보고될 수 있는 가능성을 가진다. 본 논문은 침입탐지를 위한 학습 알고리즘으로 Instance 기반의 알고리즘인 IBL(Instance Based Learning)을 선택하여 학습시간의 단축과 패턴생성에 따른 분류근거의 명확성을 고려하였으며, 학습 환경 즉, 네트워크 환경의 차이에서 나타날 수 있는 정확도의 저하를 고려하여 COBWEB 과 C4.5 로 구성된 평가 요소를 침입탐지 모델에 추가함으로써 네트워크 보안관리자에게 좀더 유연한 비정상 행위 수준 탐지결과를 보고할 수 있게 하였다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2001년도 추계학술발표논문집 (하)
• /
• pp.859-862
• /
• 2001

본 논문에서는 현재 침입차단시스템과 더불어 관심이 고조되고 있는 침입탐지시스템 패러다임의 변천과정과 발전방향에 대해 설명하였다. 침입탐지시스템의 역사와 개념을 간략히 설명하였으며, 네트워크 기술의 발달로 침입탐지시스템의 탐지대상과 방법의 변천과정을 설명하였다. 또한, 현재 연구/개발되고 있는 침입탐지시스템들의 양상이 독창적이고 지능적으로 고도화되는 침입형태에 따라 하이브리드형과 구조 통합형으로 변화하고 있다는 것을 제시하고 있다. 그리고 현재 개발되고 있는 침입탐지시스템들의 한계점과 문제점을 지적하였다. 마지막으로 한계점을 극복하고 문제점을 해결할 수 있도록 향후 연구/개발되는 침입탐지시스템이 갖추어야 할 기능을 제시하였다.

• 한국지능시스템학회:학술대회논문집
• /
• 한국퍼지및지능시스템학회 2003년도 춘계 학술대회 학술발표 논문집
• /
• pp.197-201
• /
• 2003

해킹을 방지하기 위한 목적으로 개발된 보안 도구들 중 네트워크 취약점을 검색할 수 있도록 만들어진 프로그램들이 있다. 네트워크 취약점을 자동 검색해 주는 보안 관리 도구를 역이용하여 침입하고자 하는 시스템의 보안 취약점 정보를 알아내는데 사용하여, 알아낸 정보들을 가지고 공격 대상을 찾는데 활용하고 있다. 해킹 수법들에는 서비스 거부 공격, 버퍼오버플로우 공격 등이 있다. 따라서, 해커들이 침입하기 위하여 취약점을 알아내려고 의도하는 침입시도들을 탐지하여 침입이 일어나는 것을 사전에 방어할 수 있는 침입시도탐지가 적극적인 예방차원에서 더욱 필요하다. 본 논문에서는 이러한 취약점을 이용하여 침입시도를 하는 사전 공격형태인 서비스 거부 공격 중 TCP 프로토콜을 사용하는 Syn Flooding 공격에 대하여 패킷분석을 통하여 탐지하고 탐지된 경우 실제 침입의 위험수준을 고려하여 시스템관리자가 대처하는 방어수준을 적절히 조절하여 침입의 위험수준에 따른 방어대책이 가능한 침입시도 방지 모델을 제시한다.

• 한국정보과학회:학술대회논문집
• /
• 한국정보과학회 2005년도 한국컴퓨터종합학술대회 논문집 Vol.32 No.1 (A)
• /
• pp.136-138
• /
• 2005

본 논문에서는 네트워크 포트 기반의 오용침입 탐지 기능 및 센서 객체 기반의 이상침입 탐지 기능을 갖춘 리눅스 서버 시스템을 제안한다. 제안한 시스템은 먼저 정상적인 포트 번호들 및 알려진 공격에 사용되고 있는 포트 번호들을 커널에서 동적으로 관리하면서, 포트 할당 시마다 감사로그를 기록하며 공격에 사용되는 포트인 경우에는 접속을 불허하여 침입을 방어한다. 알려지지 않은 이상침입 탐지를 위해서는 주요 디렉토리마다 센서 파일을, 주요 파일마다 센서 데이터를 설정하여 센서 객체가 접근될 때마다 감사로그를 기록하면서, 이들 센서 객체에 대해 불법적인 접근이 발생하면 해당 접근을 불허한다. 본 시스템은 네트워크 기반의 침입 탐지 및 호스트 기반의 침입 탐지 등 다단계로 구축되며 특정 침입들을 미리 예방할 수도 있다.

• 한국정보보호학회:학술대회논문집
• /
• 한국정보보호학회 2003년도 동계학술대회
• /
• pp.101-106
• /
• 2003

인터넷 상에서의 대부분의 네트워크 공격은 공격의 목표가 되는 시스템에 단일 패킷만을 보냄으로써 공격이 이뤄질 수 없다. 그렇기 때문에 침입탐지시스템에서는 내부 네트워크로 들어오고 나가는 패킷들에 대한 일련의 순차성을 알아냄으로써 네트워크 공격을 탐지할 수 있다. 본 연구에서는 이러한 네트워크 패킷의 순차성을 이용하여 비정상행위에 대한 침입탐지 방법을 제안하였으며 또한 일부 비정상행위 탐지에서 사용하고 있는 시간을 기준으로 한 트랜잭션의 분할에서 오는 단점을 지적하고 그것을 보완하기 위하여 탐지 단위로서 사용자의 세션을 사용하였다. TCP/IP 네트워크에서의 사용자 세션 정보를 표현하기 위해서 여러 가지 정보가 사용자 행위 테이블로 표현되며 이러한 사용자 행위 테이블은 서비스 포트 별로 통계적인 정리가 가능하다. 또한 이렇게 정리된 서비스 포트별 정보에서는 확률을 기반으로 한 비정상 행위를 도출할 수 있으며, 이러한 비정상 행위도를 이용하여 침입 판단의 근거자료로 삼을 수 있음을 확인하였다.

• 한국시뮬레이션학회:학술대회논문집
• /
• 한국시뮬레이션학회 2000년도 추계학술대회 논문집
• /
• pp.113-117
• /
• 2000

침입 탐지 시스템은 네트워크나 호스트에 대한 오용, 남용, 또는 허가되지 않은 접근을 탐지하는 기능을 갖는 시스템이다. 최근 침입들은 그 종류가 매우 다양화되고, 탐지하기가 매우 어려운 형태로 나타나고 있다. 이러한 침입으로 대표적인 것이 분산 공격과 스텔시 공격(Stealthy Attack)이 있다. 분산 공격은 침입자가 공간적으로 분산되어 이를 탐지하기 어렵게 하는 공격을 말하며, 스텔시 공격은 시간적으로 분산되어 이를 탐지하기 어려운 경우를 말한다. 침입 탐지 시스템의 모델링 및 시뮬레이션을 위해서는 침입 탐지 시스템 모델에 필요한 침입을 제공하고, 침입에 대한 탐지 능력을 평가하기 위한 experimental frame을 디자인 해야한다. 본 연구에서는 분산 공격과 스텔시 공격 기능을 갖는 침입 생성 모델링 방법을 소개하며, 침입 생성을 위해 요구되는 침입 정보 베이스의 역할 및 저장 정보를 소개한다. 또한, 침입에 대한 탐지 능력 평가를 위한 Transducer 모델의 디자인을 소개한다.

• 한국정보과학회:학술대회논문집
• /
• 한국정보과학회 2002년도 가을 학술발표논문집 Vol.29 No.2 (1)
• /
• pp.619-621
• /
• 2002

네트워크 기반 컴퓨터 시스템은 현대사회에 있어서 매우 중요한 역할을 담당하고 있기 때문에 이들은 정보 범죄들로부터 안정적이면서 효율적인 환경을 제공하는 것은 매우 중요한 일이다. 현재의 침입탐지 시스템은 네트워크 상에서 지속적으로 처리되는 대량의 패킷에 대하여 탐지속도가 떨어지고, 새로운 침입유형에 대한 대응방법이나 인지능력에도 한계가 있기 때문이다. 따라서 다양한 트래픽 속에서 탐지율을 높이고 탐지속도를 개선하기 위한 방안이 필요하다. 본 논문에서는 침입탐지 능력을 개선하기 위해 먼저, 광범위한 침입항목들에 대한 탐지 적용기술을 학습하고, 데이터 마이닝 기법을 이용하여 침입패턴 인식능력 및 새로운 패턴을 생성하는 적용기술을 제안하고자 한다. 침입 패턴생성을 위해 각 네트워크에 돌아다니는 관련된 패킷 정보와 호스트 세션에 기록되어진 자료를 필터링하고, 각종 로그 화일을 추출하는 프로그램들을 활용하여 침입과 일반적인 행동들을 분류하여 규칙들을 생성하였다. 마이닝 기법으로는 학습된 항목들에 대한 연관 규칙을 찾기 위한 연역적 알고리즘을 이용하였다. 또한, 추출 분석된 자료는 리눅스기반의 환경 하에서 다양하게 모아진 네트워크 로그파일들을 본 논문에서 제안한 방법에 따라 적용한 결과이다.

• 한국통신학회논문지
• /
• 제29권7C호
• /
• pp.985-996
• /
• 2004

최근 해마다 급증하는 보안 사고를 해결하기 위한 방안으로써, 침입탐지 시스템이 부각되고 있다. 하지만, 현재와 같은 대규모 네트워크 환경에서는 지역적인 침입탐지 시스템으로 다양한 형태의 침입을 탐지하는 데에 많은 문제점을 가지고 있다. 이에 침입탐지 구성 요소들을 분산시키거나 계층적으로 구성하기 위한 연구와 표준화된 통합 프로토콜의 개발 및 침입탐지 시스템들 간에 교환되는 메시지의 표준화된 형식을 정의하는 연구가 활발히 진행되고 있다. 본 논문에서는 이기종 침입탐지 시스템간의 표준화된 침입탐지 정보 교환을 위하여 표준화된 메시지 형식 및 프로토콜을 사용하며, 통합된 침입탐지 정보들에 대한 상호 연관성 분석을 통하여 보다 효율적인 관리와 분석을 수행할 수 있는 통합 침입탐지 시스템을 설계 및 구현한다. 본 논문에서 제안한 시스템에서는 분산된 침입탐지 시스템들의 효율적인 운용을 위하여 정책 프로파일을 정의ㆍ교환하고, 이기종 시스템간의 상호 인증을 위하여 PKI를 이용한다. 이러한 설계를 기반으로 Snort로부터 수집한 침입탐지 데이터를 IDMEF 형식의 메시지로 변환하여 BEEP 기반의 IDXP 프로토콜을 사용하여 송수신하고 이를 다시 통합 판정이 가능한 정보로 변환하기 위한 통합 침입탐지 시스템의 프로토타입을 구현하여 성능을 분석한다.