• 한국통신학회논문지
• /
• 제35권3B호
• /
• pp.408-420
• /
• 2010

MANET(Mobile Ad hoc NETwork)은 고정된 네트워크 구조의 부재로 원거리 노드들 간의 통신은 다중 홉 경로를 통해 이루어지기 때문에 종단 노드 사이에 존재하는 노드들의 비정상적 행위를 탐지하고 예방하기가 어렵다. 그러므로 MANET의 성능과 보안 유지를 위해서는 비정상적 행위를 하는 중간노드들과 그에 오염된 노드를 찾아내기 위한 기법들이 필요하다. 그러나 기존에 제안된 기법들은 MANET를 구성하는 노드들이 우호적이며 상호 협력적인 관계라고 가정하고 비정상적 행위를 하는 노드를 식별하는 방법들만 제시해 왔고, 큰 규모의 MANET에 적용할 경우 많은 오버헤드가 발생한다. 따라서 이 논문에서는 MANET에서 구성요소간 안전한 통신을 제공하고 비정상 노드를 효율적으로 탐지 관리할 수 있는 Secure Cluster-based MANET(SecCBM)을 제안하였다. SecCBM은 동적인증을 통한 클러스터 기반 계층적 제어 구조를 이용하여 비정상 노드들을 MANET 구성 과정에서 식별하는 예방 단계와 네트워크를 구성하고 있는 노드들간 통신과정에서 발생하는 비정상 노드들을 FC 테이블과 MN 테이블을 이용해 탐지 관리하는 사후 단계로 구성하였다. 이를 통하여 MANET의 통신 안전성과 효율성을 향상시켰으며 시뮬레이션을 통한 성능평가에서 MANET에 적합한 기법임을 확인 할 수 있었다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2006년도 춘계학술발표대회
• /
• pp.1109-1112
• /
• 2006

DDoS(Distributed Denial-of-Service) 공격은 인터넷 침해가운데 가장 위협적인 공격들 중 하나이며 이러한 공격을 실시간으로 탐지하기 위한 연구는 활발히 이루어져 왔다. 하지만 기존의 탐지 메커니즘이 가지고 있는 높은 오탐지율은 여전히 보완해야할 과제로 남아 있다. 따라서 본 논문에서는 DDoS공격 탐지의 근거로 사용된 기존의 트래픽 볼륨(traffic volume), 엔트로피(entropy), 그리고 카이제곱(chi-square)을 이용한 비정상 행위탐지(Anomaly detection)방식의 침임탐지시스템이 가지는 오탐지율(false alarm rate)을 개선할 수 있는 방안을 제안한다. 또한 공격 탐지 시 프로토콜, TCP 플래그(flag), 그리고 포트 번호를 이용하여 네트워크 관리자에게 보다 자세한 공격 정보를 제공함으로써 효율적으로 공격에 대처할 수 있는 시스템을 설계한다.

• 한국군사과학기술학회지
• /
• 제12권3호
• /
• pp.333-343
• /
• 2009

Tactical Information Communication Network(TICN) is a concept-type integrated Military Communication system that enables precise command control and decision making by unifying the diversified military communication network and conveying diverse range of battle field information on real-time, at right place at right time. TICN is designed to advance into high speed, large capacity, long distance wireless relay transmission. To support mobility in battlefield environments, the application of Ad-hoc networking technology to its wireless communication has been examined. Ad-hoc network is consist of mobile nodes and nodes in the network depends on the cooperation of other nodes for forwarding of packets. In this context, some non-cooperating nodes may delay forwarding of packets or drop the packets. This may hamper the network as a whole and disrupt communication between the cooperating nodes. To solve this problem, we present a solution with a Node Weight Management Server(NWMS), which manages each node's weight according to its behavior in local area. When the NWMS detects misbehaving node, it increases the node's weight. If the node's weight exceeds a predefined threshold then the NWMS broadcasts the node's information into network to isolate the misbehaving node from the network. These mechanisms show that they are highly effective and can reliably detect a multitude of misbehaving node.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2004년도 춘계학술발표대회
• /
• pp.1063-1066
• /
• 2004

기존의 침입을 탐지하는 방법은 여러 가지가 있지만, 모든 침입을 다 탐지하지는 못하고 있다. 공격자는 알려지지 않은 취약점을 이용하거나 취득한 패스워드나 ID 계정을 이용하여 공격하고자 하는 시스템에 악의적인 행위를 한다. 이런 침입을 탐지하는 연구는 탐지엔진에 적용될 패턴구성 방법이 핵심이다. 본 논문에서는 기존의 사람이 패턴을 찾는 것을 자동화 시키고, 자동화된 패턴 구축 방법을 직접 시스템에 적용하여 침입을 탐지하는 방법을 제시하고자 한다. 그래서 알려지지 않은 침입을 탐지하기 위해 전문가 시스템을 이용하고 패턴을 지식 베이스화하는 작업과 그 지식을 추론할 수 있는 추론망을 추론망 자동 생성 기법으로 구성하여 비정상적인 침입을 탐지하는 방법을 본 논문에서 제시하고자 한다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2018년도 춘계학술발표대회
• /
• pp.164-165
• /
• 2018

네트워크 정상행위 모델링이란 대상 네트워크 및 시스템에서 동작 가능한 행위 중 허용된 행위를 모델링하는 것을 의미한다. 정상행위 모델은 해당 모델의 정상 이외 범주의 알려지지 않은 비정상 행위의 탐지 가능성을 가지고 있어 활용도가 높다. 네트워크 및 시스템의 복잡도가 증가할수록 특성의 파악이 힘들며 이로 인해 주요 특징의 누락이 발생할 수 있어 대상 네트워크의 다수의 데이터에 기반한 기계학습 기반의 네트워크 정상행위 모델링에 관한 다양한 연구가 진행되고 있다 본 논문에서는 딥러닝을 포함하여 네트워크 정상행위 모델링에 사용될 수 있는 다양한 기계학습 기반의 기법을 제시한다.

• 정보처리학회논문지:컴퓨터 및 통신 시스템
• /
• 제6권2호
• /
• pp.87-94
• /
• 2017

최근 각종 공문서와 증빙 서류를 비롯하여 대부분의 문서가 디지털 데이터의 형태로 사용되고 있다. 특히 MS 오피스는 전 세계적으로 공공기관, 기업, 학교, 가정 등 다양한 곳에서 가장 많이 사용하고 있는 문서 편집 소프트웨어로써 악의적인 목적을 가진 사용자들이 해당 문서 프로그램의 범용성을 이용하여 MS 오피스 문서 파일을 악성 행위를 위한 매개체로 사용하고 있으며, 최근에는 단순한 사용자뿐만 아니라 국내외 정부 기관과 주요기업을 비롯하여 기반시설에서도 MS 오피스 문서 파일 형태의 악성코드가 유입되고 있다. MS 오피스 문서에 악성 코드를 삽입하는 방법은 단순히 미할당 영역에 은닉하는 방법을 사용할 뿐만 아니라 매크로 기능을 이용하는 등 다양한 방법을 통해 점점 정교한 형태로 진화되고 있다. 이러한 악성 코드들을 탐지하기 위해서 시그니처를 이용하거나 샌드박스를 이용한 탐지방법이 존재하지만, 유동적이고 복잡해지는 악성 코드들을 탐지하기에는 한계가 있다. 따라서 본 논문에서는 디지털 포렌식 관점에서 MS 오피스 문서 분석에 필요한 주요 메타데이터와 파일 포맷 구조 분석을 통해 매크로 영역과 그 외 악성 코드가 삽입될 가능성이 존재하는 영역들을 확인함으로써 MS 오피스 문서 파일 내 비정상 요소를 탐지하는 기법을 제안한다.

• 한국인터넷방송통신학회논문지
• /
• 제15권4호
• /
• pp.9-18
• /
• 2015

최근에는 스마트폰과 같이 임베디드 형태로 다양한 장소에서 서비스를 제공하는 어플리케이션의 수가 늘어나는 추세이다. 기존의 고정된 장소에서의 실행 환경보다 서비스 실행 중 상태가 동적으로 변할 수 있다는 점으로 인해 실행 중 오작동이 발생할 수 있다. 이 문제를 다루기 위하여 본 연구에서는 레거시 소프트웨어 시스템을 대상으로 메서드 수준의 오작동 탐지 기능의 구축기법을 제안한다. 기존의 문맥 의존적 행위 모델 기반으로 비정상 행위를 탐지하는 방식 메서드 수준의 탐지에 적용 시 거짓 양성의 발생 비율 증가, 모니터링 오버헤드 증가 등의 문제가 발생 가능하다. 이를 향상하기 위해 본 연구에서는 문맥 독립적 행위 모델 기반 오작동 탐지(Context-Insensitive Behavior Model-based Failure Detection, CIBFD) 기법을 제안한다. 사례 연구를 통해 기존 연구 대비 탐지 결과를 비교 분석하고, 어플리케이션 도메인 별 기법의 효용성을 분석한다.

• 한국정보보호학회:학술대회논문집
• /
• 한국정보보호학회 2006년도 하계학술대회
• /
• pp.637-640
• /
• 2006

본 논문에서는 HTTP 요청, 응답 헤더정보 분석을 통해, 실시간으로 웹 공격을 탐지하는 시각화도구를 제안한다. 공격 탐지기법은 이상, 오용 탐지 기법을 통합한 방식이다. 이상 탐지는 헤더정보의 Refer와 Uri 필드를 이용한 베이지언 분포를 통한 확률 값을 이용하였으며, 오용탐지는 Snort의 공격 시그너쳐의 웹 공격부분을 사용하였다. 공격 탐지 정보의 효율적인 전달을 위해, 시각화를 GUI로 구현하였다. 본 논문에서는 사용자 에이전트의 비정상 행위 감시, 빈도 분석, 공격 에이전트 위치추적을 실시간으로 시각화하여 표현하는 기법을 제안한다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2007년도 추계학술발표대회
• /
• pp.1238-1241
• /
• 2007

웹 게시판 서비스에서의 비정상행위 탐지 및 블러킹 방안 제시는 서비스를 제공하는 주체에게는 대량의 광고성 게시글로부터 안정적 서비스 운영이 가능하게끔 하고, 서비스를 이용하는 사용자에게는 원하지 않는 게시글로부터 블러킹 방안을 제공 받아 깨끗한 웹 게시판 서비스를 가능한 방안으로 인터넷 환경이 제공되면서 필터링 기술 발전 수준이 가장 높은 스팸 메일 필터링 기술을 응용하여 웹 게시판 서비스에 적용하여 필터링 효과 수준을 측정하고 다른 웹 서비스 등에 활용할 수 있는 방안을 제시한다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2010년도 추계학술발표대회
• /
• pp.1194-1196
• /
• 2010

클라우드 컴퓨팅 환경에서 가상머신에 침입 탐지 시스템을 사용하는 것은 중대한 트레이드-오프를 갖는다. 강력한 보안 서비스를 적용할 경우 시스템의 성능이 저하될 수 있으며, 시스템 성능을 위해 보안 서비스의 수준을 낮출 경우 시스템이 안전하지 못할 수 있다. 또한, 클라우드 컴퓨팅 시스템의 경우 짧은 시간 동안 엄청난 양의 보안 로그가 쌓이기 때문에 무작정 보안 로그를 작성하는 것은 비효율적이다. 본 논문에서는 사용자 행위를 기준으로 비정상 정도를 판단하고 이를 바탕으로 멀티-레벨의 보안 서비스를 제공할 수 있는 방안을 제안한다.