• 한국융합학회논문지
• /
• 제10권12호
• /
• pp.17-22
• /
• 2019

네트워크 트래픽 세션 데이터를 이용한 공격 분석 및 시각화 방법들은 세션 데이터 내의 송신지 및 수신지 IP주소 및 연결관계를 시각화하여 네트워크 이상 현상들을 감시한다. 트래픽의 송수신 방향은 이상 현상을 탐지하는데 있어서 매우 중요한 특징이지만, 단순히 송신지와 수신지 IP주소를 좌·우 또는 상·하 대칭적으로 시각화하는 것은 분석을 난해하게 만드는 요소가 된다. 또한, 시계열적인 트래픽 세션들의 시간 특성을 고려하지 않고 시각화 인터페이스를 설계할 경우에는 시간별 보안 상황 정보가 손실되는 위험을 감수해야 한다. 본 논문에서는 방사축을 이용하여 시계열 트래픽 데이터를 시각화하고 IP주소를 네트워크 부분과 호스트 부분으로 분할 및 원통좌표계에 표출시켜 효과적으로 네트워크 공격을 감시할 수 있는 시각화 인터페이스와 분석 방법을 제안하고자 한다. 제안하는 방법은 네트워크 공격을 직관적으로 인지하고 공격 활동을 시간흐름에 따라 파악할 수 있는 장점을 가진다.

• 한국정보과학회:학술대회논문집
• /
• 한국정보과학회 2005년도 한국컴퓨터종합학술대회 논문집 Vol.32 No.1 (A)
• /
• pp.130-132
• /
• 2005

인터넷상의 수많은 트래픽 정보 중에서 악성 트래픽 정보를 빠르게 감지하는 것은 그 정보의 방대함 때문에 쉽지 않다. 공격시각회(Attack Visualization) 기법은 이런 수많은 정보 중에서 악성 트래픽 정보를 좀 더 쉽게 인지하게 함으로써 새로운 공격에 대해서 빠른 대응과 피해 최소화를 하는데 활용할 수 있다. 본 연구에서는 평행좌표계(Parallel Coordinates)를 이용해 공격시각화를 하여, 분산 서비스 거부 공격, 웜, 스캐닝 공격 등 인터넷상에 알려진 혹은 알려지지 않은 새로운 공격들에 대해 빠른 대응을 하기위한 기술 연구를 하였으며, 각 공격들의 특정 시각화 패턴을 감지하고 이를 알려주는 이상탐지(anomaly detection) 시각화 시스템 PCAV를 구현하였다. PCAV 시스템을 통해 네트워크 관리자는 실시간으로 트래픽 정보와 공격들의 시각화 정보를 원격에서도 모니터링하고 이를 통해 즉시 대응하는 것이 가능하다. 또한, 이전에 발생한 공격들의 시각화 정보를 확인하고 이를 분석하는 것과, 알려지지 않은 공격이 발생했을지라도 그 공격의 시각적 패턴이 나타났을 때 즉각 공격 서명(Signature)으로 활용 하는 것이 가능하다.

• 융합보안논문지
• /
• 제16권5호
• /
• pp.41-48
• /
• 2016

본 논문은 플로우 시각화 기반의 네트워크 보안 상황 감시 방법인 VisFlow를 제안하며, 기존 트래픽 플로우 시각화 기술의 단점인 대량 트래픽 발생 시의 직관성 상실 문제, 대칭적 주소 공간에 의한 반사현상 문제, 종단간 연결 의미의 상실 문제를 해결하고자 한다. VisFlow는 단순하고 효율적인 보안 시각화 인터페이스로써 플로우 시각화 기술을 활용하여 개별적인 트래픽 데이터들에서는 볼 수 없었던 다양한 네트워크 현상들을 패턴으로 형상화하고 관리 네트워크 내의 보안 상황을 실시간으로 분석 및 감시하는 방법이다. 트래픽 플로우의 포트 역할 분석 방법을 이용하여 노드 유형과 중요 정보를 식별 분류하고, 분류된 정보는 중요도에 따라 2D/3D 공간 상에 단순화 및 강조하여 표시함으로써 직관성과 실용성을 높인다. 또한, IP주소값에 기반한 비대칭적 노드 배치를 통해 반사현상 문제를 해결하고 노드간의 연결선을 활용하여 종단간의 세션 의미를 유지함으로써 정보성은 높인다. 관리자는 VisFlow를 통해 방대한 트래픽 데이터를 쉽게 탐색하고 전체 네트워크 상황을 직관적으로 파악함으로써 네트워크 보안 상황을 효과적으로 감시할 수 있다.

• 정보보호학회논문지
• /
• 제30권4호
• /
• pp.693-704
• /
• 2020

기업의 네트워크가 대규모화되고 보안시스템 수가 많아짐에 따라 엄청난 양의 보안시스템 이벤트로부터 이상 트래픽을 신속하게 탐지하기란 쉽지 않다. 본 논문에서는 방화벽 등 정보보호 시스템의 보안이벤트를 실시간 탐지하고 분석할 수 있는 트래픽 시각화 분석시스템(FDANT-PCSV)를 제안한다. FDANT-PCSV는 보안이벤트 중 5가지 인자(출발지 IP, 목적지 IP, 목적지 포트, 패킷 길이, 처리상태)를 이용한 Parallel Coordinates 시각화와 4가지 인자(출발지 IP, 목적지 IP, 이벤트 수, 데이터 크기)를 이용한 Sankey 시각화로 구성된다. 또한, 빅데이터 기반 SIEM을 이용하기 때문에 인터넷 및 인트라넷에서 발생하는 네트워크 공격과 네트워크 장애 트래픽을 실시간 탐지할 수 있다. FDANT-PCSV는 사이버 보안 관제요원과 네트워크 관리자가 네트워크 이상 트래픽을 빠르고 쉽게 탐지하여 네트워크 위협에 신속히 대응할 수 있도록 해준다.

• 한국산학기술학회논문지
• /
• 제14권4호
• /
• pp.1942-1950
• /
• 2013

본 논문에서는 네트워크 트래픽 데이터를 시각화하고, 시각화된 데이터에 다중 클래스 SVM을 적용함으로써 트래픽의 공격을 자동으로 탐지하는 새로운 방법을 제안한다. 본 논문에서 제안된 방법은 먼저 송신자와 수신자의 IP와 포트 정보를 2차원의 영상으로 시각화한 후, 시각화된 영상으로부터 트래픽의 공격을 의미하는 라인과 명암값이 높은 패턴을 추출한다. 그리고 송신자와 수신자 포트의 분산도 값을 구하고, ISODATA 군집화 알고리즘을 이용하여 군집의 개수와 엔트로피 특징 값을 추출한다. 그런 다음, 위에서 추출한 여러 특징 값들을 다중클래스 SVM(Support Vector Machine)에 적용하여 네트워크 트래픽의 공격이 정상 트래픽, DDoS, DoS, 인터넷 웜, 그리고 포트 스캔인지의 여부를 효과적으로 탐지 및 분류한다. 본 논문의 실험에서는 제안된 다중 클래스 SVM을 활용한 방법이 네트워크 트래픽의 공격을 보다 효과적으로 탐지하고 분류한다는 것을 보여준다.

• 한국컴퓨터정보학회논문지
• /
• 제17권5호
• /
• pp.21-28
• /
• 2012

최근 들어, 네트워크 트래픽 공격에 대한 탐지 기술의 필요성이 꾸준히 증가되고 있는 실정이다. 본 논문에서는 네트워크 트래픽 데이터의 헤더파일에서 송신자의 IP와 포트, 그리고 수신자의 IP와 포트 정보를 2차원의 영상으로 시각화하고 분석하여 이상패턴을 효과적으로 분석하는 새로운 방법을 제안한다. 제안된 방법에서는 먼저 송신자와 수신자의 IP 정보를 받아들여 4개의 2차원 영상을 생성하고, 포트 정보를 받아들여 1개의 2차원 영상을 생성한다. 그런 다음, 각 영상 내의 트래픽 데이터를 분석하여 패턴의 주요 특징을 추출하는데, 트래픽의 공격을 나타내는 선형 패턴과 높은 명암값을 가지는 패턴을 추출하여 트래픽의 유형이 정상 트래픽, DDoS, 그리고 DoS인지를 자동으로 검출한다. 성능을 비교 분석하기 위한 실험에서는 제안된 네트워크 트래픽의 이상현상 검출 방법이 기존의 방법에 비해서 보다 우수하다는 것을 보여준다.

• 정보보호학회논문지
• /
• 제27권1호
• /
• pp.25-38
• /
• 2017

국가 주요 기반 시설을 포함하여 보안사고 발생 시 심각한 피해를 발생시킬 수 있는 산업 제어시스템의 특성에 의해 세계적으로 많은 보안 침해 사고가 발생하고 있다. 따라서 산업 제어시스템 네트워크에 오가는 트래픽은 감시되고, 분석되어 공격을 사전에 파악하거나 사고 이후 재빠른 대응을 수행할 수 있어야 한다. 본 논문에서는 제어시스템 프로토콜인 DNP3를 대상으로 모든 공격의 가능성을 갖는 트래픽들을 대상으로 합리적인 의심이 가능하도록 네트워크 포렌식 관점에서 시각화를 연구를 수행해 정상행위기반 룰을 정의하고 시각화 요구사항을 도출했다. 이를 기반으로 제어시스템 네트워크상에 캡처된 패킷 파일을 대상으로 DDoS와 같은 급작스런 네트워크 트래픽의 변화를 일으키는 경우 혹은 정상행위를 위반한 공격이 탐지 가능한 시각화 도구를 개발했고, 디지털본드 패킷과 같이 치명적인 공격이 포함된 네트워크상에서 성공적으로 비정상행위 탐지를 수행하였다.

• 정보보호학회논문지
• /
• 제19권3호
• /
• pp.107-117
• /
• 2009

네트워크 관리자가 침입 탐지 시스템, 방화벽 등의 보안 장비에서 발생하는 경보 메시지를 통하여 네트워크에서 이상 현상이 발생하였는지를 인지하고, 이상 현상이 실제 네트워크 보안 위협인지를 판단하기 위해서는 경보 메시지와 관련된 트래픽을 검색하고 분석하는 등의 일련의 작업이 필요하다. 하지만 보안 장비에서 발생되는 경보 메시지의 양이 많을 뿐만 아니라, 네트워크 관리자가 관련 트래픽을 검색하고 분석하는데 많은 시간이 소요되는 등의 문제점이 있다. 따라서 본 논문에서는 보안 이벤트 시각화 기술을 사용하여 네트워크의 보안 상황을 보다 빠르고 효과적으로 분석 할 수 있는 방법을 제안한다. 제안된 방법의 경우 전체 IP주소 공간에서 트래픽의 흐름을 표현하기 때문에 네트워크 관리자가 현재 네트워크에서 발생되는 보안 위협을 보다 빠르게 판단할 수 있도록 도와준다.

• 정보보호학회논문지
• /
• 제22권6호
• /
• pp.1315-1324
• /
• 2012

보안 이벤트 시각화 기법은 기존의 시각화 기술을 네트워크 보안 분야에 적용한 형태로써 네트워크 보안과 관련있는 이벤트를 사용하여 네트워크의 트래픽 흐름과 보안 상황을 쉽고 빠르게 분석 및 탐지하는 기술이다. 특히 종단간의 연결 이벤트인 세션을 시각화하여 네트워크 이상 상황을 탐지하는 기술은 상대적으로 패킷 감시 기법에서 발생하는 오버헤드를 줄일 수 있고 알려지지 않은 공격 패턴들은 쉽게 탐지할 수 있어서 좋은 해결책이 되고 있다. 하지만, 서버들의 정상 활동과 네트워크 공격이 종단간의 유사한 연결 패턴을 가질 경우 세션 기반의 시각화 기법들은 공격 상황과 정상 상황을 구분하는 기능이 매우 취약하다. 따라서 본 논문에서는 세션 기반 시각화 기법에서 서버들의 정상 활동과 네트워크 공격 상황을 상세하게 구분할 수 있는 IP 주소 분할 표시 분석 방법 및 포트 특성 분석 방법을 제안하고자 한다. 제안하는 세션 기반의 공격 시각화 탐지 방법은 다른 공격 탐지 방법들과는 의존성이 없기 때문에 기존의 다양한 네트워크 공격 분석 및 탐지에 활용될 수 있고, 또한 네트워크 관리자에게는 현재 네트워크에서 발생되는 보안 위협을 보다 빠르게 판단할 수 있도록 도움을 준다.

• 한국산학기술학회:학술대회논문집
• /
• 한국산학기술학회 2006년도 춘계학술발표논문집
• /
• pp.517-521
• /
• 2006

네트워크 가상현실 시스템은 먼 거리에 떨어진 사용자들 사이에 일관성 있는 가상 세계를 제공하며, 군사, 오락, 건축 등 여러 부분에 응용되고 있다. 본 논문에서는 그 동안 고성능 그래픽 워크스테이션 환경에서 중심적으로 연구되어 왔던 네트워크 가상현실 시스템을 가장 보편적인 플랫폼인 네트워크 환경에서 구현할 때 생기는 3차원 그래픽 처리 성능의 문제 등과 같은 이에 대한 해결책들을 제시하고 미로 환경과 지형 환경에 근거한 가상 세계를 응용 실험 대상으로 삼아 성능을 분석하였다. 실시간으로 상호 작용하는 어플리케이션은 성능을 유지하면서 모든 참가자들에게 동일한 뷰를 보여주는 것이 중요하다. 동일한 뷰를 제공하기 위해 참가자들이 전송하는 이벤트마다 재생 지연 시간을 설정하고, 수신한 이벤트에 대해서는 예정 재생 시각까지 버퍼에 저장하여 모든 참가자들이 동시에 이벤트를 실행하도록 하는 기법이 제안되어 왔다. 그러나 네트워크 트래픽이 동적으로 변하므로 네트워크 상에서 발생하는 전송 지연 시간도 동적으로 변화한다. 그러므로 고정된 재생 지연 시간을 사용할 경우, 네트워크 트래픽 감소에 따라 상호 작용 성능을 향상시킬 수 있는 기회를 상실하게 되고, 네트워크 트래픽 증가에 따라 이벤트 손실률이 크게 증가하게 되어 참가자들 간에 일치하지 않는 뷰를 초래하게 된다. 네트워크 트래픽이 적어서 전송 지연 시간이 짧을 경우 짧은 재생 지연 시간을 적용하여 상호작용 성능을 높여주고, 트래픽이 많은 경우에는 재생 지연 시간을 늘림으로써 상호 작용 성능을 해치지 않는 범위에서 이벤트 손실률을 줄인다. 실험을 통하여 제안하는 기법의 성능을 평가하였으며 그 결과 본 동기화 기법이 고부하(heavily loaded) 네트워크 상태가 지속되는 동안 기존 기법에 비해 참가자들에게 일치된 뷰를 제공할 수 있고, 저부하(lightly loaded) 네트워크 상태에서는 상호 작용 성능을 향상시킬 수 있다는 것을 확인하였다.