• 한국시뮬레이션학회논문지
• /
• 제17권3호
• /
• pp.9-18
• /
• 2008

단순히 퍼지만을 사용하여 시스템을 연동하는 경우와 퍼지로직을 같이 사용하여 침입 탐지 에이전트의 시스템 성능을 향상시키는 경우에 관한 연구로서, 블랙보드 기반의 비퍼지로직을 사용하는 경우와 블랙보드 기반의 퍼지 로직을 사용하는 경우을 비교한다. 또한 BBA를 통해 정적으로 대응하던 시스템을 향상시켜 동적 대응이 가능하게 구성하여 현실적인 시스템이 되도록 구성하였다. 대상 시스템의 성능을 평가하기 위하여 시뮬레이션을 수행하였다. 퍼지 시스템을 사용함으로써 false negative를 줄일 수 있었다. 분산 침입탐지를 위해 포함된 퍼지로직은 다양한 요소를 고려하기 때문에 침입의 성능을 높일 수 있다. 퍼지시스템을 사용하는 경우와 비 퍼지 시스템의 성능을 비교함으로써 퍼지 시스템의 성능 향상을 보이며, 이러한 비교를 통해 전체 시스템의 성능 향상을 보인다.

• 정보처리학회논문지C
• /
• 제12C권6호
• /
• pp.827-838
• /
• 2005

DDoS는 네트워크나 개인 호스트를 위협하는 대표적인 공격 트래픽이다. DDoS 공격은 특정한 패턴을 가지고 있지 않기 때문에 탐지가 어려울 뿐 아니라, TNF2K와 같은 간단한 도구로 공격이 가능하여, 현재 추진 중인 BcN 환경에서도 그 심각성이 초래될 수 있다. 이러한 DDoS 를 탐지하기 위한 메커니즘이나 알고리즘은 많이 개발되었다. 하지만 DDoS의 근원지를 판별하고 대응하는 것이 아닌, 단지 방어 지점에서 전체 한계치를 낮추거나 리키버킷처럼 수용 능력 이상의 패킷을 폐기하는 방법으로 네트워크나 개인 호스트를 보호한다. 무분별하게 전체 트래픽을 줄이는 것은 네트워크의 자원을 고갈시키지는 않지만, 정상적인 클라이언트가 공격당하고 있는 호스트에 연결을 할 수가 없다. 이를 위해 여러 단계의 테스트를 통해 합법적인 검증 IP 테이블을 만들고, 검증 IP 테이블에 있는 소스 IP를 제외한 나머지 트래픽을 차단한다면 DDoS 공격에 대해서 대응을 하면서 정상적인 클라이언트의 연결을 보호 할 수 있다. 제안된 메커니즘을 Linux Zebra라우터환경에서 구현되었다.

• 정보보호학회지
• /
• 제24권1호
• /
• pp.65-74
• /
• 2014

최근 네트워크 시장의 큰 화두가 되고있는 SDN(Software-Defined Network)은 OpenFlow를 활용한 차세대 네트워크 기술로 각광받고 있다. 아직까지의 SDN은 초기단계에 이르고 있으나 현재의 네트워크 산업이 가지는 한계점을 근본적으로 변화시킬 수 있는 기술로 상당한 잠재력이 내재되어 있다. 특히 SDN 기술을 보안 측면에서 이용하게 되면, 기존의 IDS/IPS 제품의 대응 범위를 게이트웨이에서 엔드 포인트까지의 인프라 전반으로 확장시킬 수 있다. 또한 유연한 트래픽 경로 재설정을 통한 DoS나 DDoS 공격에도 효과적으로 대비할 수 있다. 이에 따라 OpenFlow 및 SDN의 기술 분석과 보안 측면에서의 이용 가능성에 대해 기술하고자 한다.

• 한국정보과학회:학술대회논문집
• /
• 한국정보과학회 2004년도 봄 학술발표논문집 Vol.31 No.1 (A)
• /
• pp.250-252
• /
• 2004

네트워크 침입 탐지와 방어를 위한 연구는 실제 네트워크 환경을 구성하고, 실제 네트워크 침입을 통해 네트워크 침입 탐지와 방어 기법을 연구하는 것이 가장 좋은 방법이다. 하지만, 실제 네트워크 환경에서 대규모 네트워크를 구성하고 네트워크 침입을 시도하여, 침입이 네트워크에 미치는 영향과 침입을 탐지하고 방어하는 방법은 많은 시간과 비용이 필요하게 된다. 그 대안으로 제안하는 시뮬레이션을 통한 연구는 시간과 비용은 줄이면서, 실제와 근사한 결과를 얻을 수 있다. 본 논문에서 제안하는 시뮬레이션 프레임웍은 대규모 네트워크 환경을 구성하고, 구성한 네트워크 환경 위에서 특정한 호스트로 네트워크 침입을 시도할 때, 네트워크 침입을 탐지 및 방어하기 위한 적절한 방법을 연구하기 위한 프레임웍으로, 특정한 공격의 목표가 된 호스트상에 IDS(Intrusion Detection System)나 Firewall을 설치하고, 시뮬레이션의 진행 중 실험자가 원하는 시간에 공격을 잠시 중단시키고. 방어나 침입 탐지를 위한 IDS나 방화벽의 룰셋을 변경해 주는 방법을 통해 네트워크 침입 탐지 및 방어에 관한 유효 적절한 방법을 실험 할 수 있게 해 준다. 본 시뮬레이션 프레임웍을 사용하여, 이후 좀 더 다양한 네트워크 침입 구현을 통해 다양한 침입 행동에 대한 적절한 침입탐지 및 방어 기법에 관한 연구에 많은 도움이 될 것이다.

• 정보보호학회논문지
• /
• 제21권4호
• /
• pp.39-46
• /
• 2011

본 논문은 다양한 네트워크 보안장비들이 갖는 고유의 보안정책들을 하나의 시스템 내에 단일 알고리즘으로 구현함으로써 네트워크를 기반으로 하는 공격 발생 시 최적의 통합 보안정책에 대한 연구이다. 실험을 위한 정책들은 Firewall, VPN(Virtual Private Network), IDS(Intrusion Detection System), IPS(Intrusion Prevention System)가 갖는 고유의 방어정책을 상호 조합하는 과정을 통해 최적의 보안 시스템을 구현하기 위한 실험을 한다. 또한, 보안정책 설정에 따른 시스템 부하와 빠른 탐지, 신속하고 효율적인 방어를 위한 통합 메커니즘 설계 및 네트워크 인프라 구현 기반을 확보하는데 의의가 있다.

• 정보보호학회논문지
• /
• 제28권2호
• /
• pp.385-395
• /
• 2018

인터넷의 성장과 함께 각종 취약점을 악용한 사이버 공격들이 지속적으로 증가하고 있다. 이러한 행위를 탐지하기 위한 방안으로 침입탐지시스템(IDS; Intrusion Detection System)이 널리 사용되고 있지만, IDS에서 발생하는 많은 양의 오탐(정상통신을 공격행위로 잘못 탐지한 보안이벤트)은 여전히 해결되지 않은 문제로 남아있다. IDS 오탐 문제를 해결하기 위한 방법으로 기계학습 알고리즘을 통한 자동분류 연구가 진행되고 있지만 실제 현장 적용을 위해서는 정확도와 데이터 처리속도 향상을 위한 연구가 더 필요하다. 기계학습 기반 분류 모델은 다양한 요인에 의해서 그 성능이 결정된다. 최적의 feature를 선택하는 것은 모델의 분류 성능 및 정확성 향상에 크게 영향을 미치기 때문에 기계학습에서 매우 중요한 부분을 차지한다. 본 논문에서는 보안이벤트 분류 모델의 성능 향상을 위해 기존 연구에서 제안한 기본 feature에 추가로 10종의 신규 feature를 제안한다. 본 논문에서 제안하는 10종의 신규 feature는 실제 보안관제센터 전문 인력의 노하우를 기반으로 고안된 것으로, 모델의 분류 성능을 향상시킬 뿐만 아니라 단일 보안이벤트에서 직접 추출 가능하기 때문에 실시간 모델 구축도 가능하다. 본 논문에서는 실제 네트워크 환경에서 수집된 데이터를 기반으로 제안한 신규 feature들이 분류 모델 성능 향상에 미치는 영향을 검증하였으며, 그 결과, 신규 feature가 모델의 분류 정확도를 향상시키고 오탐지율을 낮춰주는 것을 확인할 수 있었다.

• 정보보호학회논문지
• /
• 제24권6호
• /
• pp.1197-1213
• /
• 2014

컴퓨터 네트워크 규모의 지속적 확장과 함께 방화벽, IDS, IPS 등의 각종 보안 시스템들은 네트워크 보안과 관련해 더욱더 막대한 양의 정보를 생성하고 있어 보안 담당자가 그 속에 숨겨진 보안 위협의 징후를 탐지하는 일은 더욱 어려워지고 있다. 보안 담당자들의 '네트워크의 보안상황 인지'(Network Security Situational Awareness)는 여러 관점에서 발생하는 보안 이벤트들 사이의 관계에 기초하여 전체적인 컴퓨터 네트워크의 보안 상황을 효과적으로 판단하는 것으로 이의 과정은 크게 '식별', '이해', '예측'의 3단계로 나눠지며, '식별'과 '이해'는 그 뒤에 이어지는 '예측'과 적절한 대응의 전제 조건이 된다. 그러나 다량의 정보들 속에서 '식별'과 '이해' 과정은 더욱 어려워지고 있다. 본 논문은 다량의 정보들의 '식별'과 '이해' 단계에 효과적인 것으로 알려져 있는 시각화 기법을 적용하여 대규모 네트워크의 보안상황 인지를 돕기 위해 설계한 '허니컴' 시각화 시스템을 제안하고, VAST Challenge 2012의 데이터를 기반으로 실증적인 효과를 확인하였다.

• 한국정보과학회:학술대회논문집
• /
• 한국정보과학회 2001년도 봄 학술발표논문집 Vol.28 No.1 (A)
• /
• pp.763-765
• /
• 2001

전통적인 네트워크기반 침입탐지시스템은 네트워크에 흐르는 모든 패킷을 수집하여 이를 가공, 분석, 보고하는 과정을 거친다. 하자만, 네트워크에서 과도한 트래픽의 발생이나 침입탐지시스템에 대한 의도적인 Dos(Denical of Service) 공격은 침입탐지시스템이 침입으로 간주될 수 있는 패킷을 처리하지 못하도록 함으로써 불법적인 접근을 얻어낼 수 있는 방법이 된다. 본 논문에서는 자체 개발한 내장형 리눅스 기반의 라우터에서 패킷의 필터링 작업을 수행함으로써 일차적으로 내부 네트워크와 네트워크 센서로의 트래픽을 줄이고, 이차적으로 정책기반 라우팅을 이용하여 네트워크 센서에게 직접 라우팅 하도록 함으로써 네트워크센서가 모든 트래픽을 수집하지 않고, 침입을 방지하고자 하는 정책에 기반하여 보내지는 패킷만을 수집, 분석 토록 함으로써 네트워크 센서에 집중되는 부하를 최소화하는 시스템의 구성을 제안한다.

• 한국컴퓨터산업학회논문지
• /
• 제5권4호
• /
• pp.427-434
• /
• 2004

최근 시스템과 네트워크를 위협하는 해킹, 바이러스 등의 공격이 증간하고 있다. 기존의 시스템 보안이나, 네트워크 관리 시스템(NMS)만 가지고는 다양하고 강력한 위협들에 대해서 안전하지 못하다. 따라서 Firewall, IDS, VPN, LAS(Log Analysis System) 등의 보안 시스템을 구축하여 시스템과 네트워크를 위협으로부터 방어해 왔다. 하지만 보안 시스템간의 상호 연계성이 부족하여 효과적인 대응체계를 마련하지 못하고 중복 보안으로 인한 비효율성이 지적되었다. 이에 대한 대책으로 통합 보안 관리가 필요하게 되었고 위협에 대해 적극적으로 대처할 수 있는 능동형 보안이 필요하게 되었다. 최근에는 통합 보안 관리(Enterprise Security Management), 침입자 추적(Intrusion Tracking), 침입자 유인(Intrusion Induction) 등으로 좀 더 효과적이고 적극적인 보안네트워크를 구성할 수 있다. 하지만 이 시스템들 또한 업체별 보안 시스템간의 상호 연통이 어려운 실정이고 대응 조치 또한 체계적이지 못하며 위협을 사전에 방지하지 못하고 사후 대처에 급급한 실정이다. 따라서 본 논문에서는 원격에서 안전하게 네트워크를 관리할 수 있는 능동형 통합관리 모듈을 제안한다.

• 한국정보통신학회논문지
• /
• 제9권4호
• /
• pp.824-831
• /
• 2005

과거 기업의 네트워크 보안 시스템은 단일보안솔루션이거나 여러 방식을 복합했지만 유기적인 연계가 되지못해 비효율적인 시스템이었다. 그러나 이제 통합보안관리 솔루션이등장하면서, 한층더 강한 보안 시스템을 구축하게 되었다. 통합보안관리 시스템(ESM)은 여러 가지 보안 솔루션을 관리 하기 편하게 하기 위하여 각 에이전트의 통합을 이루는 방식을 취한다. 즉, 기존 VPN, FireWall, IDS등의 시스템을 보안정책에 맞추어 통합적으로 연계, 관리를 이루는 시스템이다. ESM이 기존의 보안시스템에 비하여 더욱 발전된 보안시스템 이기는 하나, 네트워크의 활용 및 기술의 발전 속도는 눈부신 속도로 증가 하고 있으며, 정보범죄 등의 역기능 또한 한층 그 수준을 높이고 있다. ESM 시스템도 많은 부분의 개선점이요구되고 있는데, 본 연구에서는 시스템 외부가 아닌 내부 보안에 대한 ESM의 취약점을 보완하고자 하였다. 보안정책의 기본이 되어지는 보안솔루션의 구조에 대해서 연구하여, 기존 보안시스템의 주 구성인 VPN, Firewall, IDS의 연계를 분석, 재구성하고 이를 통합하는 통합 보안 관리 시스템 자체의 보안을 강화 설계하였다. 가상의 칩입자를 설정하여 Telnet Log analysys IDS를 기존의 ESM 시스템과 제안된 ESM 시스템에 각각 적용한 접근 데이타를 비교, 분석하여 내부보안의 중요성과 제안된 시스템의 보안을 점검하였다.