• 정보처리학회논문지:소프트웨어 및 데이터공학
• /
• 제10권11호
• /
• pp.449-456
• /
• 2021

침입 탐지 시스템(IDS: Intrusion Detection System)은 보안을 침해하는 이상 행위를 탐지하는 기술로서 비정상적인 조작을 탐지하고 시스템 공격을 방지한다. 기존의 침입탐지 시스템은 트래픽 패턴을 통계 기반으로 분석하여 설계하였다. 그러나 급속도로 성장하는 기술에 의해 현대의 시스템은 다양한 트래픽을 생성하기 때문에 기존의 방법은 한계점이 명확해졌다. 이런 한계점을 극복하기 위해 다양한 기계학습 기법을 적용한 침입탐지 방법의 연구가 활발히 진행되고 있다. 본 논문에서는 다양한 네트워크 환경의 트래픽을 시뮬레이션 장비에서 생성한 NGIDS-DS(Next Generation IDS Dataset)를 이용하여 이상(Anomaly) 탐지 정확도를 높일 수 있는 데이터 전처리 기법에 관한 비교 연구를 진행하였다. 데이터 전처리로 패딩(Padding)과 슬라이딩 윈도우(Sliding Window)를 사용하였고, 정상 데이터 비율과 이상 데이터 비율의 불균형 문제를 해결하기 위해 AAE(Adversarial Auto-Encoder)를 적용한 오버샘플링 기법 등을 적용하였다. 또한, 전처리된 시퀀스 데이터의 특징벡터를 추출할 수 있는 Word2Vec 기법 중 Skip-gram을 이용하여 탐지 정확도의 성능 향상을 확인하였다. 비교실험을 위한 모델로는 PCA-SVM과 GRU를 사용하였고, 실험 결과는 슬라이딩 윈도우, Skip-gram, AAE, GRU를 적용하였을 때, 더 좋은 성능을 보였다.

• 정보처리학회논문지:소프트웨어 및 데이터공학
• /
• 제12권2호
• /
• pp.99-110
• /
• 2023

본 연구는 현 보안 관제 시스템이 직면한 실시간 트래픽 탐지 문제를 해결하기 위해 사이버 위협 프레임워크인 마이터 어택과 머신러닝을 이용하여 유해 네트워크 트래픽을 분류하는 방안을 제안하였다. 마이터 어택 프레임워크에 네트워크 트래픽 데이터셋인 UNSW-NB15를 적용하여 라벨을 변환 후 희소 클래스 처리를 통해 최종 데이터셋을 생성하였다. 생성된 최종 데이터셋을 사용하여 부스팅 기반의 앙상블 모델을 학습시킨 후 이러한 앙상블 모델들이 다양한 성능 측정 지표로 어떻게 네트워크 트래픽을 분류하는지 평가하였다. 그 결과 F-1 스코어를 기준으로 평가하였을 때 희소 클래스 미처리한 XGBoost가 멀티 클래스 트래픽 환경에서 가장 우수함을 보였다. 학습하기 어려운 소수의 공격클래스까지 포함하여 마이터 어택라벨 변환 및 오버샘플링처리를 통한 머신러닝은 기존 연구 대비 차별점을 가지고 있으나, 기존 데이터셋과 마이터 어택 라벨 간의 변환 시 완벽하게 일치할 수 없는 점과 지나친 희소 클래스 존재로 인한 한계가 있음을 인지하였다. 그럼에도 불구하고 B-SMOTE를 적용한 Catboost는 0.9526의 분류 정확도를 달성하였고 이는 정상/비정상 네트워크 트래픽을 자동으로 탐지할 수 있을 것으로 보인다.

• 정보보호학회논문지
• /
• 제34권4호
• /
• pp.747-761
• /
• 2024

현대의 자동차는 ECU(Electronic Control Unit)를 통해 전자적으로 제어되면서 운전자에게 안전성과 편의성을 제공해준다. 고급 자동차의 경우 100개 이상의 ECU가 탑재되어 있는 것으로 알려져 있다. 그러나 이러한 컴퓨터 기반의 차량 시스템은 자동차를 사이버 공격에 취약하게 만든다. 이에 대응하여 자동차 제조회사들은 차량용 침입 탐지 시스템 (Intrusion Detection System, IDS)과 같은 보안 기술을 개발하고 있다. 자동차 제조회사들만이 자동차 보안 기술을 개발할 수 있는데, 그 이유는 이들만이 차량 내부 네트워크에 대한 데이터베이스(DBC Format File)를 가지고 있으며 이를 기밀로 유지하고 있기 때문이다. 그러나 외부 연구기관들은 DBC Format File과 같은 데이터베이스에 접근할 수 없어 자동차 보안 연구에 어려움을 겪고 있다. 따라서 본 논문에서는 제한된 정보에 따른 한계를 극복하기 위해 차량 내부 네트워크를 분석하여 DBC Format File을 부분적으로 식별할 수 있는 방법을 제안한다. 제안하는 기법은 CAN(Controller Area Network) 트래픽을 분석하여 CAN Frame Data Field의 Signal 중 Checksum Signal의 비트 위치를 식별하고, Lookup Set을 생성해 Checksum값을 계산한다. 더불어 실제 차량에서 수집한 데이터와 공개된 데이터셋으로 해당 방법을 검증하였다.

• 시큐리티연구
• /
• 제31호
• /
• pp.157-185
• /
• 2012

오늘날 사이버 공간의 도래와 일상화라는 증강 현실의 확대, 그리고 세계화로 인한 인간과 물품, 그리고 문화의 빠른 이동 등의 결과는 우리가 생산을 하고 경제활동을 하고 문화생활을 하는 일상의 혁명적인 변환뿐만 아니라 우리가 상대방을 공격하고 파괴하는 범죄나 전쟁 등의 폭력 사용에서의 혁명적인 변환을 가져왔다. 그리고 이러한 환경 조건의 변화는 개인적인 차원에서 지역적 차원, 그리고 국가적 차원과 지구적 차원에 걸쳐 다른 차원에서 각각 존재해 왔던 여러 다양한 차원의 안보 또는 치안의 위협들을 서로 결합시킴으로서 이러한 여러 다른 차원의 안보 또는 치안의 위협들을 다차원 안보위협의 총합이라는 형태로 오늘날 우리의 삶과 개개인의 안전과 국가적 단위에 심각한 위협이 되도록 조건지우고 있다. 이 논문은 이러한 다차원 안보위협의 총합이 서로 얽혀 있으며 각각의 개별 안보 위협들의 총합을 함께 바라보는 통합적 시각을 가질 때 문제의 근원적 실체를 제대로 이해할 수 있고 우리가 직면하고 있는 공포의 실체를 정확히 파악할 수 있음을 보여주고자 한다. 이 글에서 제시하는 개념인 융합안보라는 개념은 다차원 안보위협의 총합에 대한 통합적 네트워크적 응전의 방식을 개념적으로 제시한 것이다. 융합안보는 기존의 국가안보와 치안이라는 분절적 시각을 극복하고 국가안보와 치안을 통합적으로 인식하고 정보기관, 군, 경찰, 검찰, 소방, 민간 경비 등의 각 영역들의 경계를 넘어 통합적으로 접근함으로서 오늘날 다차원 안보위협이 던지고 있는 도전들에 대한 응전의 방식들을 만들어 가고자하는 개념적 노력이다. 그와 함께 이 논문은 융합안보와 관련하여 해외의 주요 국제기구와 국가들에서 시도되고 있는 통합적 네트워크적 대응 방안들에 대해서도 소개하고자 한다. 글쓴이는 지난 10년간 미국, 러시아, 이스라엘, 우즈베키스탄, 오스트리아, 캐나다, 멕시코, 독일 등지를 돌면서 관찰하였던 사항들과 여러 교육, 훈련과 세미나, 콘퍼런스, 그리고 개인적 접촉 등의 기회를 통해 가졌던 여러 관련 전문가들과의 인터뷰 등의 내용을 종합하여 유엔 등 국제기구와 세계의 여러 주요 국가들에서 시도되어오고 있는 오늘날의 보다 복잡한 안보위협들에 대한 융합적 대응방안들, 즉 기관의 네트워크적 협력, 데이터베이스의 구축 및 교류 등 을 소개할 것이다.

• 시큐리티연구
• /
• 제39호
• /
• pp.185-215
• /
• 2014

한국은 지금까지 북한의 테러범죄로 인해 많은 피해를 입었다. 현재 북한정권에 의한 테러 범죄행위 발생 가능성은 그 어느 때보다 높은 시점이고, 김일성 정권의 북한 테러범죄 행위는 통치자금 확보라는 목적 하에 독재로 자행되어 왔다. 이후 김정일 김정은 정권 동안 테러범죄 행위를 살펴보면, 비(非)권력 집단의 목표인 권력쟁취 경제이권 확보 등을 성취하고자 하는 갈등이 원인으로 작용하여 범죄행위로 표출되고 있음이 드러난다. 본 연구는 테러 대책의 궁극적인 목적이 장차 발생할 가능성 높은 위협에 대하여 사전예측 대비해야 한다는 측면에 초점을 맞추었으며, 이를 위해 집단 간 권력 갈등이 범죄의 한 요인이 된다고 설명하는 George B. Vold(1958)의 이론을 적용했다. 이에 다양한 북한 테러범죄 원인 중 각 시대별 고위층 권력 갈등으로 인한 테러범죄 행위를 분석하고, 이러한 시대적 흐름에 맞는 향후 대응방안을 제시하였다. 북한의 테러범죄 행위는 김정일 정권 이후, 고위층 간 권력 판도가 시대별로 급격히 변화하면서 세력 쟁취와 이권 강탈을 위한 권력 갈등으로 인해 더욱 심화되었다. 북한 고위층의 권력 갈등이 북한 테러범죄에 많은 영향을 미치고 있음에도 불구하고, 이에 관련된 정보 첩보 수집이 단편적인데다가 미국에 의존하는 등 실제적인 대응이 미약한 실정이다. 게다가 북한 테러범죄에 대한 심각성 및 시급함의 공감도 역시 높지 않아서 체계적인 국제공조가 이루어지지 않고 있으며, 공조 방안에 대한 논의조차 원활하게 진행되지 않고 있다. 더욱이 최근 DDoS공격 청와대 홈페이지 변조 GPS 교란전파 발사 무인정찰기 침투 등 수 많은 테러범죄 행위가 있었음에도 불구하고, 한국은 이 같은 비(非)대칭 테러범죄 행위가 미칠 파문에 비해 그 심각성을 깊이 인식하지 못하고 있다. 이제 북한 테러범죄의 원인을 밝히고 대응하기 위해 휴민트(HUMINT) 테킨트(TECHINT) 등을 통한 고위층 정보 수집을 확대하고, 이를 종합 분석하는 전담부서를 설치하는 한편, 탈북자 등 정보원의 보호 및 감독을 통한 포괄적인 수집체제를 확립해야 한다. 그리고 북한 테러와 관련된 국제협력에 적극 동참하여, 국제협약을 이끌어낼 수 있도록 국제적인 공조를 구축해야 한다. 또한 핵 미사일 테러와 함께 한층 정교해지고 첨단화 되어가는 사이버 전자 테러 전문기술에 대비하기 위해 법령 제 개정 및 관련 기구 예산 등 제도적 정비와 기술을 보완할 수 있는 전문 인력 양성 및 기술개발 등 실질적인 대응방안을 마련해야 할 것이다.