• Proceedings of the Korea Information Processing Society Conference
• /
• 2003.11c
• /
• pp.1957-1960
• /
• 2003

최근 분산 서비스거부 공격에 의한 특정 서버의 기능 마비, 더 나아가 네트워크 전체를 마비시키는 사례가 증가하고 있다. 이로 인한 피해의 심각성을 고려해 볼 때 적절한 대응이 시급한 실정이지만, 공격 특성상 공격을 탐지해 내기가 어렵다는 문제점이 있다. 본 논문에서는 분산 서비스거부 공격의 패턴을 파악하여 공격을 효과적으로 탐지할 수 있는 방법을 제안하였다. 공격 패턴 파악을 위해서 시스코사에서 개발한 Netflow 데이터를 이용하여 트래픽을 분석하고, 그 결과로 분산 서비스거부 공격의 효과적인 탐지에 공헌도가 큰 속성들을 추출하였다. 실제 인터넷 망에 연결된 라우터에서 수집한 Netaow 데이터와 분석에 의해 추출된 속성을 기반으로 데이터 마이닝 기술을 이용하여 공격 탐지의 성능을 측정하였다.

• Journal of the Korea Institute of Information Security & Cryptology
• /
• v.20 no.4
• /
• pp.63-73
• /
• 2010

Malicious bot programs, the source of distributed denial of service attack, are widespread and the number of PCs which were infected by malicious bot program are increasing geometrically thesedays. The continuous distributed denial of service attacks are happened constantly through these bot PCs and some financial incident cases have found lately. Therefore researches to response distributed denial of service attack are necessary so we propose an effective feature generation method for distributed denial of service attack detection using entropy. In this paper, we apply our method to both the DARPA 2000 datasets and also the distributed denial of service attack datasets that we composed and generated ourself in general university. And then we evaluate how the proposed method is useful through classification using bayesian network classifier.

• Proceedings of the Korean Information Science Society Conference
• /
• 2003.04a
• /
• pp.386-388
• /
• 2003

인터넷 발전의 대표적인 역기능인 시스템 공격 방법 중 분산 서비스거부 공격은 공격 도구가 분산되어 있고 도구를 분산화 하는 과정을 찾기 힘들다는 특징 때문에 현재까지의 연구 대부분에서 공격이 발생한 시점에서의 대응 방법이 제안됐다. 그러나 이 시점에서는 대응은 시스템에 대한 보호가 늦어질 가능성이 높기 때문에, 공격이 발생되기 이전에 네트워크 상의 패킷의 흐름을 거시적으로 판단해서 공격의 징후를 찾고 이에 대해 대처할 수 있는 방법이 필요하다. 따라서 본 논문에서는 분산화 된 보안 에이전트들에 의해 공격 시점 이전에 분산 서비스거부 공격 도구의 위상을 탐지하는 기법을 제안한다. 이 기법은 분산된 공격 도구에서 발생할 수 있는 의심스러운 접속들을 포괄적으로 판단하여 공격이 발생하기 전에 공격도구들이 설치된 일치를 찾게 된다.

• Proceedings of the Korea Institutes of Information Security and Cryptology Conference
• /
• 2002.11a
• /
• pp.491-494
• /
• 2002

기존의 네트워크 보안은 침입 징후를 탐지하여 외부 공격자로부터 오는 트래픽을 차단함으로써 자신의 도매인만을 보호하였다. 이는 공격자로 하여금 제 2, 제 3의 공격을 가능하게 하고 공격자에 대한 대응에 있어서도 각 도매인간의 협력이 없는 상태를 야기하였다. 따라서 각 도메인 간의 데이터의 상호 결합과 협력을 통해 공격자의 실제 위치를 추적하여 침입 근원지로부터의 트래픽을 차단함으로써 공격자를 네트워크로부터 고립시키고자 하는 연구가 진행되고 있지만, 이는 분산서비스거부 공격의 경우 제한적이다. 그러므로 본 논문은 분산서비스거부 공격에 있어 에이전트와 마스터의 위치를 추적하여 제거하고 실제 공격자를 고립시킬 수 대응 메커니즘에 대해 논의한다.

• Proceedings of the Korean Information Science Society Conference
• /
• 2004.04a
• /
• pp.241-243
• /
• 2004

본 논문에서는 분산 서비스 거부 공격에 대한 대응 방법으로서 노드 상태를 전파하는 프로토콜을 제안한다. 기존에 제시된 방법들은 공격 트래픽이 있을 경우 역추적과 필터링에 각각의 부하가 걸리는 단점이 있었다. 따라서 본 논문에서는 역추적과 필터링을 통합하여 트래픽 처리 부하를 줄일 수 있는 방법을 제안한다.

• Proceedings of the Korean Information Science Society Conference
• /
• 2003.04a
• /
• pp.290-292
• /
• 2003

인터넷의 발달은 지리적인 문제들로 인하여 시간의 소비를 가져왔던 문제들을 해결시켜주었다. 지리적인 문제의 해결은 더더욱 모든 일에 대한 인터넷의 의존도롤 높여갔지만, 1969년도에 생겨난 인터넷은 조금씩 구조적인 문제들을 드러내고, 이러한 구조적인 문제들은 해커들로 하여금 사이버공간에서의 범죄를 일으키는 데 이용되고 있다. 다른 해킹들보다 최근 몇 년간 그 수위를 높여가고 있는 분산 서비스 거부 공격은 불특정다수의 인터넷 사용자들에게 네트워크 사용 또는 서비스 사용에 심각한 영향을 미친다는 점에서 그 공격기법에 대한 대응방안 모색이 시급한 실정이다. 따라서 본 논문은 효율적인 네트워크 자원 사용을 저해하는 분산 서비스 거부 공격의 근원지를 탐색하여 차단하는 메커니즘을 제안한다.

• Proceedings of the Korean Institute of Information and Commucation Sciences Conference
• /
• 2022.10a
• /
• pp.143-145
• /
• 2022

With the spread of the Internet around the world, devices connected to the Internet are gradually increasing. In addition, the number of distributed reflection service attacks (DrDoS), an attack that maliciously requests large responses by deceiving IPs as if the attacker was a victim, using vulnerabilities in application protocols such as DNS, NTP, and CLDAP, is increasing rapidly. It is believed that the security threat of distributed reflection service attacks will not disappear unless ISPs establish appropriate countermeasures to IP Spoofing. Therefore, this paper describes the security threat and response status of distributed reflection service attacks based on IP Spoofing.

• Journal of the Korea Society of Computer and Information
• /
• v.27 no.7
• /
• pp.101-108
• /
• 2022

We propose an intrusion detection model that detects denial-of-service(DoS) and distributed reflection denial-of-service(DRDoS) attacks, based on the empirical data of each internet of things(IoT) device by training system and network metrics that can be commonly collected from various IoT devices. First, we collect 37 system and network metrics from each IoT device considering IoT attack scenarios; further, we train them using six types of machine learning models to identify the most effective machine learning models as well as important metrics in detecting and distinguishing IoT attacks. Our experimental results show that the Random Forest model has the best performance with accuracy of over 96%, followed by the K-Nearest Neighbor model and Decision Tree model. Of the 37 metrics, we identified five types of CPU, memory, and network metrics that best imply the characteristics of the attacks in all the experimental scenarios. Furthermore, we found out that packets with higher transmission speeds than larger size packets represent the characteristics of DoS and DRDoS attacks more clearly in IoT networks.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2011.11a
• /
• pp.996-998
• /
• 2011

인터넷의 발전과 더불어 네트워크 상에서의 침입 시도가 갈수록 증가되고 다변화되고 있으며, 특히, 네트워크나 서버의 가용성을 위협하는 형태의 서비스 거부(DoS: Denial of Servie) 공격이 최근 급증하고 있다. 따라서, 본 논문에서는 인터넷 서버의 정상적인 서비스 제공을 방해하는 형태의 분산 서비스 거부(DDoS: Distributed Denial of Service) 공격으로부터 서버를 보호하고 원활한 서비스를 제공하기 위한 Secure-NIC 시스템의 설계 및 구현에 대해서 설명한다. 이는 "CISGDP : CPU-Independent Service Guaranteed DDoS Protection" 이라는 설계 개념하에서, 각종 인터넷 서버에 장착되어 DDoS 공격 등의 네트워크 공격에 대하여 서버의 고유 서비스가 지속적으로 보장될 수 있도록 자체 보안 기능을 NIC(Network Interface Card) 형태로 제공한다.

• The Journal of Korean Institute of Communications and Information Sciences
• /
• v.34 no.2B
• /
• pp.162-169
• /
• 2009

Message Authentication Code (MAC) assures integrity of messages. In Mobile WiMAX, 128-bit Cipher-based MAC (CMAC) is calculated for management messages but only the least significant half is actually used truncating the most significant 64 bits. Naming these unused most significant 64bits Shared Authentication Information (SAI), we suggest that SAI can be applied to protect the network from DDoS attack which exploits idle mode vulnerabilities. Since SAI is the unused half of CMAC, it is as secure as 64bits of CMAC and no additional calculations are needed to obtain it. Moreover, SAI doesn't have to be exchanged through air interface and shared only among MS, BS, and ASN Gateway. With these good properties, SAI can efficiently reduce the overheads of BS and ASN GW under the DDoS attack.