• 한국IT서비스학회:학술대회논문집
• /
• 한국IT서비스학회 2009년도 추계학술대회
• /
• pp.511-515
• /
• 2009

최근 정보기술의 발달과 함께 지속적으로 다양해지고 빨라지는 침입 방법에 대처하기 위해 정보를 보호하기 위한 새로운 방법이 요구되고 있는 실정이다. 이를 해결하기 위해 제안된 방법 중 하나가 네트워크 패킷 데이터에 대한 실시간 데이터 스트림 마이닝 알고리즘 기반의 비정상행위 탐지 기법이다. 이는 현재 발생하고 있는 패턴이 기존 패턴과 다를 경우 비정상행위로 간주되고 사용자에게 알려주는 방법으로, 지금까지 없었던 새로운 형태의 침입에도 대처할 수 있는 능동적인 방어법이라고 할 수 있다. 그러나 이 방법에서 네트워크 패킷 데이터 정보만을 통해 얻어낼 수 있는 정보에는 한계가 있다. 따라서, 본 논문에서는 보다 높은 정확도의 비정상행위 판정을 위한 다양한 환경의 로그들을 추출하여 처리에 적합한 형태로 변환하는 전처리 시스템을 제안한다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2006년도 춘계학술발표대회
• /
• pp.1109-1112
• /
• 2006

DDoS(Distributed Denial-of-Service) 공격은 인터넷 침해가운데 가장 위협적인 공격들 중 하나이며 이러한 공격을 실시간으로 탐지하기 위한 연구는 활발히 이루어져 왔다. 하지만 기존의 탐지 메커니즘이 가지고 있는 높은 오탐지율은 여전히 보완해야할 과제로 남아 있다. 따라서 본 논문에서는 DDoS공격 탐지의 근거로 사용된 기존의 트래픽 볼륨(traffic volume), 엔트로피(entropy), 그리고 카이제곱(chi-square)을 이용한 비정상 행위탐지(Anomaly detection)방식의 침임탐지시스템이 가지는 오탐지율(false alarm rate)을 개선할 수 있는 방안을 제안한다. 또한 공격 탐지 시 프로토콜, TCP 플래그(flag), 그리고 포트 번호를 이용하여 네트워크 관리자에게 보다 자세한 공격 정보를 제공함으로써 효율적으로 공격에 대처할 수 있는 시스템을 설계한다.

• 한국정보과학회:학술대회논문집
• /
• 한국정보과학회 2001년도 가을 학술발표논문집 Vol.28 No.2 (1)
• /
• pp.661-663
• /
• 2001

침입탐지 시스템은 내부자의 불법적인 사용, 오용 또는 외부 침입자에 의한 중요 정보 유출 및 변경을 알아내는 것으로서 각 운영체제에서 사용자가 발생시킨 키워드, 시스템 호출, 시스템 로그, 사용시간, 네트워크 패킷 등의 분석을 통하여 침입여부를 결정한다. 본 논문에서 제안하는 침입탐지시스템은 권한 이동 관련 이벤트 추출 기법을 이용하여 사용자의 권한이 바뀌는 일정한 시점만큼 기록을 한 후 HMM모델에 적용시켜 평가한다. 기존 실험에서 보여주었던 데이터의 신뢰에 대한 단점을 보완하기 위해 다량의 정상행위 데이터와 많은 종류의 침입유형을 적용해 보았고, 그 밖에 몇 가지 단점들을 수정하여 기존 모델에 비해 향상된 성능을 보이는지를 평가하였다 실험 결과 호스트기반의 침입에 대해서 매우 좋은 탐지율을 보여 주었고 F-P error(false positive error) 또한 매우 낮은 수치를 보여 주었다.

• 한국정보처리학회논문지
• /
• 제6권12호
• /
• pp.3622-3633
• /
• 1999

컴퓨터망의 확대 및 컴퓨터 이용의 급격한 증가에 따른 부작용으로 컴퓨터 보안 문제가 중요하게 대두되고 있다. 이에 따라 침입자들로부터 침입을 줄이기 위한 침입탐지시스템에 관한 연구가 활발하다. 본 논문은 비정상적인 행위를 탐지하는 침입탐지시스템에 관해 고찰하고, 컴퓨터 면역시스템을 바탕으로 한 지능형 IDS 모델을 제안한다. 제안한 모델에서 지능형 IDS들은 여러 컴퓨터에 분산되고, 분산된 IDS들 중 어느 하나가 특권 프로세스(privilege process)에 의해 발생된 시스템 호출 순서 중 비정상적인 시스템 호출을 탐지한 경우 이를 다른 IDS들과 서로 동적으로 공유하여 새로운 침입에 대한 면역력을 향상시킨다.

• 융합보안논문지
• /
• 제23권5호
• /
• pp.117-123
• /
• 2023

최근 생성형 Artificial Intelligence(이하 AI)와 인공지능에 대한 수요가 높아짐에 따라, 오남용에 대한 심각성이 대두되고 있다. 그러나, 이상행위 탐지를 극대화한 지능형 CCTV는 군과 경찰에서 범죄 예방에 큰 도움이 되고 있다. AI는 인간이 가르쳐준 대로 학습을 수행한 후, 자가 학습을 진행한다. AI는 학습된 결과에 따라 판단을 하기 때문에, 학습 시 특징을 명확하게 이해해야만 한다. 그러나, 인간이 판단하기에도 모호한 이상한 행위와 비정상 행위의 시각적 판단이 어려운 경우가 많다. 이것을 인공지능의 눈으로 학습하기란 매우 어렵고, 학습을 한 결과는 오탐, 미탐 그리고 과탐이 매우 많아진다. 이에 대해 본 논문에서는 AI의 이상한 행위와 비정상 행위의 학습을 명확하게 하기 위한 기준과 방법을 제시하고, 지능형 CCTV의 오탐, 미탐 그리고 과탐에 대한 판단 능력을 최대화 하기 위한 학습 방안을 제시하였다. 본 논문을 통해, 현재 활용 중인 지능형 CCTV의 인공지능 엔진 성능을 극대화가 가능하고, 오탐율과 미탐율의 최소화가 가능할 것으로 기대된다.

• 정보보호학회논문지
• /
• 제16권1호
• /
• pp.55-63
• /
• 2006

Nimda, Code Red, 그리고 SQL Slammer 등과 같은 웜에 의한 피해 사례가 증가하면서 이를 방어하기 위한 대응 기술 연구가 활발히 진행되고 있다. 본 논문에서는 웜에 의해 발생한 비정상 트래픽을 효과적으로 차단할 수 있는 네트워크 대역폭 조절 방식의 단계적 대응 시스템 설계 내용을 보이고, 기존 패턴 기반 비정상행위탐지 방식의 이원적(True/False) 대응 기법과 이론적으로 비교하고자 한다. 일정 시간동안 특정 네트워크를 통과하는 정상 트래픽 비율과 오탐지 트래픽 비율을 비교 기준으로 하여 두 기법을 이론적으로 비교한 결과, 임의의 시간 동안 전체 네트워크 트래픽에서 비정상 트래픽이 차지하는 비율을 $\beta$라고 할 경우, 이원적 대응 기법에 비하여 단계적 대응 기법의 평균 정상트래픽 비율은 (1+$\beta$)/2만큼 증가하고, 평균 오탐지 트래픽 비율은 (1+$\beta$)/2만큼 감소함을 알 수 있었다.

• 정보처리학회논문지:컴퓨터 및 통신 시스템
• /
• 제6권2호
• /
• pp.87-94
• /
• 2017

최근 각종 공문서와 증빙 서류를 비롯하여 대부분의 문서가 디지털 데이터의 형태로 사용되고 있다. 특히 MS 오피스는 전 세계적으로 공공기관, 기업, 학교, 가정 등 다양한 곳에서 가장 많이 사용하고 있는 문서 편집 소프트웨어로써 악의적인 목적을 가진 사용자들이 해당 문서 프로그램의 범용성을 이용하여 MS 오피스 문서 파일을 악성 행위를 위한 매개체로 사용하고 있으며, 최근에는 단순한 사용자뿐만 아니라 국내외 정부 기관과 주요기업을 비롯하여 기반시설에서도 MS 오피스 문서 파일 형태의 악성코드가 유입되고 있다. MS 오피스 문서에 악성 코드를 삽입하는 방법은 단순히 미할당 영역에 은닉하는 방법을 사용할 뿐만 아니라 매크로 기능을 이용하는 등 다양한 방법을 통해 점점 정교한 형태로 진화되고 있다. 이러한 악성 코드들을 탐지하기 위해서 시그니처를 이용하거나 샌드박스를 이용한 탐지방법이 존재하지만, 유동적이고 복잡해지는 악성 코드들을 탐지하기에는 한계가 있다. 따라서 본 논문에서는 디지털 포렌식 관점에서 MS 오피스 문서 분석에 필요한 주요 메타데이터와 파일 포맷 구조 분석을 통해 매크로 영역과 그 외 악성 코드가 삽입될 가능성이 존재하는 영역들을 확인함으로써 MS 오피스 문서 파일 내 비정상 요소를 탐지하는 기법을 제안한다.

• 한국정보과학회:학술대회논문집
• /
• 한국정보과학회 2003년도 가을 학술발표논문집 Vol.30 No.2 (1)
• /
• pp.874-876
• /
• 2003

전산 시스템에 대한 침입에 대응하기 위하여 시스템 호출 감사자료 척도를 사용하여 은닉 마르코프 모델(HMM)에 적용하는 비정상행위 기반 침입탐지 시스템에 대한 연구가 활발하다. 하지만, 이는 일정한 임계간 이하의 비정상행위만을 감지할 뿐, 어떠한 유형의 침입인지를 판별하지 못한다. 이에 Viterbi 알고리즘을 이용하여 상태 시퀀스를 분석하고, 공격 유형별 표준 상태시퀀스와의 유사성을 측정하여 유형을 판별할 수 있는데, 외부 혹은 내부 환경에 따라 상태 시퀀스가 항상 규칙적으로 추출될 수 없기 때문에, 단순 매칭으로 침입 유형을 판별하기가 어렵다. 본 논문에서는 이러한 문제를 해결하기 위하여 시퀀스의 변형을 효과적으로 고려하는 편집거리(Edit distance)를 이용하여 어떠한 유형의 침입이 발생하였는지를 판별하는 방법을 제안한다. 본 논문에서는 루트권한을 취득하기 위한 대표적인 침입유형으로 가장 널리 쓰이는 버퍼오버플로우 공격에 대해 실험하였는데, 그 결과 세부적인 침입 유형을 잘 판별할 수 있음을 확인하였다.

• 한국컴퓨터산업학회논문지
• /
• 제6권5호
• /
• pp.715-724
• /
• 2005

최근 들어 폐쇄 환경에서 동작하던 많은 주요 시스템들이 웹 서비스를 제공하면서 호스트는 물론 제공되는 웹기반의 서비스들이 쉽게 공격의 주요 대상이 되고 있다. 뿐만 아니라 웹 컨텐츠나 어플리케이션의 다양성은 새로운 공격 기술을 개발하는 원인이 되기도 한다. 반면 기존의 오용기반 탐지 기법으로는 공격 기술의 발전 속도를 따라가지 못할 뿐더러 새로운 보안 위협을 처리하는 능력이 없다. 따라서 기존의 공격 유형과 함께 새롭게 개발되는 공격과 침입을 탐지하고 대처할 수 있는 기술이 연구되고 개발되고 있다. 본 논문에서는 HTTP 트래픽 패턴과 패킷 정보를 분석하여 HTTP 트래픽 모델에서의 비정상 행위 발생을 실험하였으며, 그 실험 결과를 적용하여 비정상행위를 탐지 가능한 HTTP 트래픽 모델을 설계하고 구현하였다.

• 정보처리학회논문지:컴퓨터 및 통신 시스템
• /
• 제1권1호
• /
• pp.55-60
• /
• 2012

최근 봇넷(Botnet)은 탐지 기술을 피하기 위하여 C&C(Command and Control)서버 접속시 DNS(Domain Name System) 서비스를 이용하고 있다. DNS 서비스를 이용한 비정상 행위에 대응하기 위해서 DNS 트래픽 기반의 분석 연구가 필요하다. 본 논문에서는 좀비PC의 C&C서버 도메인주소 질의와 같은 DNS트래픽 기반의 비정상 도메인 분류(Classification)를 위해서 DNS트래픽 수집 및 지도학습(Supervised Learning)에 대해 연구한다. 특히, 본 논문에서는 PCA(Principal Component Analysis) 주성분분석 기술을 통해 DNS 기반의 분류시스템에서의 효과적인 분석 성분들을 구성할 수 있다.