• 한국콘텐츠학회:학술대회논문집
• /
• 한국콘텐츠학회 2005년도 추계 종합학술대회 논문집
• /
• pp.189-194
• /
• 2005

현재의 해킹 기술은 네트워크상에 과도한 트래픽을 유발하여 단일 호스트 혹은 해당 네트워크 전체를 마비시키는 분산 서비스 거부 공격으로 변모하고 있다. 본 논문에서는 각 프로토콜별 평균 편차와 각 필드별 평균 편차에 이동성을 부여하고 패턴 매칭 기법을 적용하여 보다 정확하고 오탐율이 적은 DDoS 공격 탐지 기법을 제안하였다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2003년도 춘계학술발표논문집 (하)
• /
• pp.2137-2140
• /
• 2003

최근 IP 역추적을 위한 다양한 연구가 진행되고 있다. 피 중 주목할 만한 역추적 시스템인 확률적 패킷 마킹 기법은 대량의 패킷을 필요로 하는 분산 서비스 거부 공격의 특징을 이용한 매우 효율적이고 실용적인 접근 방식이다. 그러나 이 방식은 모든 라우터의 수정이 불가피하다는 점과 공격을 당한 피해 시스템에서 완벽한 공격 경로를 재구성하기 위해 엄청난 부담을 짊어지게 되는 문제점을 드러냈다. 이러한 문제점에 대한 해결책으로 본 논문에서는 네트워크에 유입되는 패킷에 출발지 라우터의 주소만을 마킹하는 Admission Packet Marking 기법을 제안하고 기존 연구와의 비친 분석을 통해 기존 인터넷에의 적용 가능성을 판단한다.

• 정보처리학회 논문지
• /
• 제13권4호
• /
• pp.157-165
• /
• 2024

분산 서비스 거부 공격(DDoS Attack, Distributed Denial of Service Attack) 수법의 진화는 탐지 과정에서의 어려움을 가중시켰다. 기존 피해자측 탐지 방식의 한계로 인해 발생하는 문제를 극복하기 위한 솔루션 중 하나가 소스측 탐지 기법이었다. 그러나 네트워크 트래픽의 불규칙성으로 인한 성능 저하 문제가 존재하였다. 이 문제를 해결하기 위해 인공지능을 기반으로 한 여러 노드 간의 협업 네트워크를 활용하여 공격을 탐지하려는 연구가 진행되었다. 기존의 방법들은 특히 높은 버스트(Burstness)와 지터(Jitter)의 비선형적 트래픽 환경에서 한계를 보였다. 이러한 문제점을 극복하기 위해 본 논문에서는 어텐션(Attention) 메커니즘을 도입한 협업형 소스측 DDoS 공격 탐지 기법을 제시한다. 제안하는 방식은 여러 소스에서의 탐지 결과를 집계하여 각 지역에 가중치를 할당하며, 이를 통해 전반적인 공격 및 특정 소수 지역에서의 공격을 효과적으로 탐지할 수 있다. 특히, 비선형적인 트래픽 데이터셋에서 약 6% 수치의 낮은 가양성(False Positive)과 최대 4.3% 수치가 향상된 높은 탐지율을 보이며, 기존 비선형적 트래픽 환경에서 한계를 보였던 방법들에 비해 소수 지역의 공격 탐지 문제에 대한 개선도 확인할 수 있다.

• 한국정보통신학회논문지
• /
• 제13권12호
• /
• pp.2555-2562
• /
• 2009

본 논문에서 제안한 알고리즘은 IP데이터망에서 웜 스캐닝 공격을 탐지하는 TRW 알고리즘을 분석하고 음성망에 적용하기 위해 연결 과정과 연결 종료 과정을 설계하며, 이를 카운트하는 확률 함수를 정의하였다. 제안한 알고리즘을 평가하기 위해 임계치를 설정하고, 공격 트래픽 종류에 따른 연결확률을 변화시켜 알고리즘의 효율성을 측정하였으며, 공격패킷의 공격 속도에 따른 탐지시간을 측정하였다. 평가 결과 본 논문에서 제안한 알고리즘은 공격 속도가 초당 10패킷일 경우, DDoS 공격이 시도되고 약 1.2초 후에 탐지를 하고 초당 20개일 경우에는 약 0.5초 후에 탐지함을 확인하였다.

• 한국인터넷방송통신학회논문지
• /
• 제14권1호
• /
• pp.203-209
• /
• 2014

오늘날 DDoS 공격은 인터넷 안정성에 매우 중요한 위협을 가하고 있다. DDoS 공격은 대량의 트래픽을 네트워크에 전송함으로써 자원을 고갈시키고 정상적인 서비스 제공을 불가능하게 하며 사전 탐지가 힘들고 효율적인 방어가 매우 어렵다. 인터넷과 같은 대규모 망을 대상으로 한 네트워크 공격은 효과적인 탐지 방법이 요구된다. 그러므로 대규모 망에서 침입 탐지 시스템은 효율적인 실시간 탐지가 필요하다. 본 논문에서는 DDoS 공격에 따른 비정상적인 트래픽 범람을 방지하고 합법적인 트래픽 전송을 보장하기 위하여 플로우 정보 분석을 이용한 DDoS 공격 대응 기법을 제안한다. OPNET을 이용해 구현한 결과 DDoS 공격중에 원활한 서비스를 제공할 수 있는 것을 확인하였다.

• 한국정보전자통신기술학회논문지
• /
• 제3권3호
• /
• pp.31-38
• /
• 2010

사이버 공격의 형태가 나날이 다양해지고 복잡해지는데 반해 기존의 네트워크 보안 메커니즘은 지엽적인 영역의 방어적인 대응에 치중하고 있어 적시에 공격자를 탐지하고 신속하게 대응하는 것이 어려운 실정이다. 본 논문에서는 이러한 문제점을 해결하기 위한 방안으로 광역 네트워크 차원에서 다양한 사이버 공격에 쉽게 대응할 수 있고, 다수의 보안영역 간의 협력을 통해 공격자를 실시간으로 추적하고 고립화할 수 있는 새로운 네트워크 보안 구조를 제안하고자 한다. 제안하는 보안 구조는 액티브 네트워크를 기반으로 하는 이동코드를 포함한 액티브 패킷 기술을 이용하여 위조 IP 공격이나 DDoS(Distributed Denial of Service) 공격에 대하여 자율적이고 능동적으로 대응하는 것이 가능하다. 또한 다수의 보안영역 내의 보안 시스템 간의 협업을 통해 기존의 지엽적인 공격 대응 방식에 비해 보다 광역적이고 일괄적인 보안 서비스를 제공한다. 또한, 본 논문에서는 제안한 공격자 대응 프레임워크의 실험 환경을 구축하고 실험한 결과를 분석함으로써 적용 가능성을 검증 하였다.

• 정보처리학회논문지C
• /
• 제11C권7호
• /
• pp.959-970
• /
• 2004

사이버 공격의 형태가 나날이 다양해지고 복잡해지는데 반해 기존의 네트워크 보안 메커니즘은 지엽적인 영역의 방어적인 대응에 치중하고 있어 적시에 동격자를 탐지하고 신속하게 대응하는 것이 어려운 실정이다. 본 논문에서는 이러한 문제점을 해결하기 위한 방안으로 광역 네트워크 차원에서 다양한 사이버 공격에 쉽게 대응할 수 있고, 다수의 보안영역 간의 협력을 통해 공격자를 실시간으로 추적하고 고립화할 수 있는 새로운 네트워크 보안 구조를 제안하고자 한다. 제안하는 보안 구조는 액티브 네트워크를 기반으로 하는 이동코드를 포함한 액티브 패킷 기술을 이용하여 위조 IP 공격이나 DDoS(Distributed Denial of Service) 공격에 대하여 자율적이고 능동적으로 대응하는 것이 가능하다. 또한 다수의 보안영역 내의 보안 시스템 간의 협력을 통해 기존의 사업적인 공격 대응 방식에 비해 보다 광역적이고 일괄적인 보안 서비스를 제공한다. 또한, 본 논문에서는 제안한 공격자 대응 프레임워크의 실험 환경을 구축하고 실험한 결과를 분석함으로써 적용 가능성을 검증하였다.

• 정보처리학회논문지C
• /
• 제11C권7호
• /
• pp.951-958
• /
• 2004

초고속 인터넷 망등의 국내 인터넷의 저변확대로 인해 전자상거래, 인터넷뱅킹, 전자정부, 이메일등 의 많은 서비스와 다양한 정보의 보고로서 인터넷이 사용되고 있다. 근래에는 가상생환환경의 제공과 멀티미디어 서비스를 제공하고자 새로운 미래형 네트워크인 NGN(Next Gener-ation Network)로서 발전하고 있다. 인터넷은 원격지에서도 원하는 정보를 취득할 수 있는 장점이 있는데, 반대 급부로서 상대방의 정보를 허가없이 몰래 추출, 변조하거나 서비스를 제공하는 경쟁사의 서버를 다운시키는 등의 공격이 증대되고 있다. 2000년부터 님다(Nimda) 바이러스, 코드레드(Code Red) 바이러스, 분산서비스 거부 공격(DDoS : Distributed Denial of Service)이 인터넷 전반에 걸쳐 수행되어 네트워크의 사용을 불편하게 하며, 내부 네트워크 트래픽의 비정상적인 증가를 수반했다. 이러한 대역폭 고갈 침해공격에 대하여 네트워크의 유입점에 위치하는 게이트웨이 시스템에 기가비트 이더넷 인터페이스를 갖는 보안네트워크 카드에 재구성 가능한 하드웨어 기능을 제공 가능한 FPGA (Field Programmable Gate Arrart)상에 대역폭 재어기능인 폴리싱(Policing)을 구현한다.

• 응용통계연구
• /
• 제26권2호
• /
• pp.291-305
• /
• 2013

네트워크상에서 분산 서비스 거부(DDoS) 공격 탐지를 위해 수집되는 트래픽 자료(BPS, PPS 등)는 시간 순서대로 발생하는 대용량 자료이다. 대용량 자료에서 공격 탐지를 위한 변화점 탐지 알고리즘은 정확성 뿐 아니라 시간과 공간적인 계산 수행의 효율성이 확보되어야 한다. 본 연구에서는 대용량자료에서 변화점 탐지에 대한 Ross 등(2011)이 연구한 순차적인 Sliding Window and Discretization(SWD) 방법을 확장하였다. 그리고 경험적 분포함수와 순위를 이용한 다섯 종류의 검정방법을 사용하면서 자료의 분포에 대한 가정없이 DDoS 공격을 탐지할 수 있도록 새로운 비모수 모형을 제안한다. 다양한 확률밀도 함수와 이에 대응하는 모평균과 분산을 변화시키면서 모의실험하여 본 연구에서 제안한 비모수적 검정방법을 SWD 방법에 적용하여 모형의 효율성을 탐색하고 토론한다. 그리고 실증 분석을 통해 공격 탐지율 및 공격 탐지의 정확성을 기준으로 성능을 측정하고 비교하였다.

• 융합정보논문지
• /
• 제10권12호
• /
• pp.22-30
• /
• 2020

정보통신기술의 발전에 따라 DDoS와 DRDoS은 지속적으로 보안상 이슈가 되고, 고도화된 기법으로 점차 발전하고 있다. 최근에는 정상 서버의 프로토콜을 이용하여 반사 서버로 악용하는 DRDoS 기법으로 IT 기업들을 위협하고 있다. 반사 트래픽은 정상적인 서버에서 발생되는 트래픽으로 보안장비에서 판별하기가 어렵고 실제 사례에서도 최대 Tbps 까지 증폭되었다. 본 논문에서는 DRDoS 공격에서 사용되는 DNS증폭과 Memcached증폭을 비교 분석한 뒤 공격의 효과를 감소시킬 수 있는 대응방안을 제안한다. 반사 트래픽으로 사용되는 프로토콜은 TCP와 UDP, 그리고 NTP, DNS, Memcached등이 존재한다. 반사 트래픽으로 이용되는 프로토콜 중에서 반사 트래픽의 응답크기가 높은 DNS 프로토콜과 Memcached 프로토콜을 비교분석결과, Memcached 프로토콜은 DNS 프로토콜보다 ±21% 증폭된다. 대응방안은 Memcached 프로토콜의 메모리 초기화 명령어를 사용하여 공격의 효과를 감소시킬 수 있다. 향후 연구에서는 보안에 취약한 다양한 서버들을 보안 네트워크를 통해 공유하여 원천적 차단효과를 전망할 수 있다.