• 한국정보과학회:학술대회논문집
• /
• 한국정보과학회 2007년도 한국컴퓨터종합학술대회논문집 Vol.34 No.1 (D)
• /
• pp.489-494
• /
• 2007

침입방지 시스템(IPS, Intrusion Prevention System)은 인라인모드(in-line mode)로 네트워크에 설치되어, 네트워크를 지나는 패킷 또는 세션을 검사하여 만일 그 패킷에서 공격이 감지되면 해당 패킷을 폐기하거나 세션을 종료시킴으로서 외부의 침입으로부터 네트워크를 보호하는 시스템을 의미한다. 침입방지 시스템은 크게 두 가지 종류의 동작을 수행한다. 하나는 이미 알려진 공격으로부터 방어하는 시그너처 기반 필터링(signature based filtering)이고 다른 하나는 알려지지 않은 공격이나 비정상 세션으로부터 방어하는 자기 학습 기반의 변칙 탐지 및 방지(anomaly detection and prevention based on selflearning)이다. 시그너처 기반 필터링에서는 침입방지시스템을 통과하는 패킷의 페이로드와 시그너처라고 불리는 공격 패턴들과 비교하여 같으면 그 패킷을 폐기한다. 시그너처의 개수가 증가함에 따라 하나의 들어온 패킷에 대하여 요구되는 패턴 매칭 시간은 증가하게 되어 패킷지연 없이 동작하는 고성능 침입탐지시스템을 개발하는 것이 어렵게 되었다. 공개 침입방지 소프트웨어인 SNORT를 위한 여러 개의 효율적인 패턴 매칭 방식들이 제안되었는데 시그너처들의 공통된 부분에 대해 한번만 매칭을 수행하거나 한 바이트 단위 비교대신 여러 바이트 비교 동작을 수행함으로써 불필요한 매칭동작을 줄이려고 하였다. 본 논문에서는 패턴 매칭 시간을 시그너처의 개수와 무관하게 하기 위하여 시그너처 해싱 기반에 기반한 고성능 침입방지시스템을 제안한다.

• 한국정보과학회논문지:데이타베이스
• /
• 제30권5호
• /
• pp.532-539
• /
• 2003

본 논문은 대량의 XML 문서들이 존재하는 정보 검색 시스템에서, XML 질의의 효과적인 처리를 위한 선 처리 방법을 제안한다. 선 처리를 위해 시그너처 기반의 접근 방식을 사용한다. 기존의 (평면적인 문서를 사용하는) 정보 검색 시스템에서는, 대부분 사용자 질의들이 키워드와 부울 연산자로 구성되고, 따라서 시그너처 역시 평면적인 형태로 구성하고 있다. 하지만, XML 기반의 정보 검색 시스템에서는 사용자 질의가 경로 질의의 형태를 띄게 된다. 따라서, 평면적인 시그너처는 XML 문서에 대하여 효과적이지 못하다 본 논문에서는 XML 문서를 위한 구조화된 시그너처 방법을 제안한다. 실험을 통해 제안하는 방법의 성능을 평가한다.

• 인터넷정보학회논문지
• /
• 제8권6호
• /
• pp.43-53
• /
• 2007

최근의 네트워크 침입탐지 시스템은 기존의 시그너처(또는 패턴) 기반 탐지 기법에 비정상행위 탐지 기법이 새롭게 결합되면서 더욱 발전되고 있다. 일반적으로 시그너처 기반 침입 탐지 시스템들은 기계학습 알고리즘을 활용함에도 불구하고 사전에 이미 알려진 침입 패턴만을 탐지할 수 있었다. 이상적인 네트워크 침입탐지 시스템을 구축하기 위해서는 침입 패턴이 저장된 시그너처 데이터베이스를 항상 최신의 정보로 유지해야 한다. 따라서 시스템은 유입되는 네트워크 데이터를 모니터링하고 분석하는 과정에서 새로운 공격에 대한 시그너처를 생성할 수 있는 기능이 필요하다. 본 논문에서는 이를 위해 밀도(또는 영향력) 함수를 이용한 새로운 아웃라이어 클러스터 검출 알고리즘을 제안한다. 제안된 알고리즘에서는 네트워크 침입 패턴을 하나의 객체가 아닌 유사 인스턴스들의 집합 형태인 아웃라이어 클러스터로 가정하였다. 본 논문에서는 KDD 1999 Cup 침입탐지 데이터 집합을 이용한 실험을 수행하여, 침입이 자주 발생하는 상황에서 본 논문의 방법이 유클리디언 거리를 이용한 기존의 아웃라이어 탐지 기법에 비해서 좋은 성능을 보임을 증명하였다.

• 정보처리학회논문지C
• /
• 제14C권3호
• /
• pp.209-220
• /
• 2007

침입방지 시스템(IPS, Intrusion Prevention System)은 인라인모드(in-line mode)로 네트워크에 설치되어, 네트워크를 지나는 패킷 또는 세션을 검사하여 만일 그 패킷에서 공격이 감지되면 해당 패킷을 폐기하거나 세션을 종료시킴으로서 외부의 침입으로부터 네트워크를 보호하는 시스템을 의미한다. IPS에서 주로 사용되는 시그너처 기반 필터링에서는 침입방지시스템을 통과하는 패킷의 페이로드와 시그너처라고 불리는 공격패턴들과 비교하여 같으면 그 패킷을 폐기한다. 시그너처의 개수가 증가함에 따라 하나의 들어온 패킷에 대하여 요구되는 패턴 매칭 시간은 증가하게 되어 패킷지연 없이 동작하는 고성능 침입탐지시스템을 개발하는 것이 어렵게 되었다. 본 논문에서는 패턴 매칭 시간을 시그너처의 개수와 무관하게 하기 위하여 시그너처 해싱 기반에 기반한 고성능 침입방지시스템을 제안한다. 제안한 방식을 리눅스 커널 모듈 형태로 PC에서 구현하였고 월 발생기, 패킷발생기, 스마트비트라는 네트워크 성능 측정기를 이용하여 시험하였다. 실험결과에 의하면 기존 방식에서는 시그너처 개수가 증가함에 따라 성능이 저하되었지만 본 논문에서 제안한 방식은 성능이 저하되지 않았다.

• 한국컴퓨터정보학회논문지
• /
• 제10권6호
• /
• pp.127-136
• /
• 2005

최근 악성코드에 의한 피해는 상업용 백신의 지속적인 개발에도 불구하고 급격히 증가되고 있다. 일반적으로 백신은 이미 알려진 악성코드는 효과적으로 탐색이 가능하지만 아무런 정보가 없는 악성코드를 탐색하기는 어려우며, 또한 최근의 악성코드들은 백신의 갱신속도보다 훨씬 빨리 새로운 변종들을 만들어내고 있기 때문에 백신의 대응이 늦게 되는 경향이 있다. 본 논문에서는 이러한 악성코드들을 효과적으로 탐색할 수 있는 탐색도구의 설계 및 개발에 관하여 기술한다 본 연구의 도구는 악성코드의 기능을 분석하여 특정한 시그너처를 추출함으로서 기존의 악성코드들 뿐 아니라 새로운 악성코드와 그 변종들에 대해서도 능동적으로 대처할 수 있다.

• 한국정보과학회논문지:소프트웨어및응용
• /
• 제35권12호
• /
• pp.774-779
• /
• 2008

본 논문에서는 토픽 시그너처(Topic Signature)를 이용하여 댓글을 분류하는 시스템에 대해서 설명한다. 토픽 시그너처는 자질을 선택하는 방법으로 문서요약이나 문서분류에서 사용하는 방법이다. 댓글은 문장의 길이가 짧고 띄어쓰기가 거의 없으며 특수문자들이 많은 특성을 가지고 있다. 따라서 우리는 댓글을 7개의 음절로 나누고 이를 다시 Tri-gram으로 나누어 분류의 기본단위로 본다. 이 Tri-gram을 토픽 시그너처를 이용한 학습 단위로 사용하고, 학습한 자질을 베이지안(Bayesian) 모델을 사용하여 분류한다. 다양한 방법의 모델과 비교 실험을 통하여 구현한 시스템의 성능이 기존의 방법보다 상승되었음을 실험 결과를 통해 알 수 있었다.

• 한국정보과학회:학술대회논문집
• /
• 한국정보과학회 2000년도 가을 학술발표논문집 Vol.27 No.2 (1)
• /
• pp.57-59
• /
• 2000

실세계의 객체들은 공간 정보뿐만 아니라 시간적 정보와도 연관을 갖는데 기존의 공간데이터베이스만으로는 시간 흐름에 따른 공간 객체의 정보를 효율적으로 관리해 주지 못하는 단점이 있다. 이러한 문제점을 해결하기 위하여 시공간 데이터베이스에 대한 데이터 모델과 시공간 연산자가 제시되었다. 그러나, 시공간 연산자에 대한 정의와 시그너처정도 만이 기술되었고 시공간 연산자에 대한 설계와 구현에 대한 사항은 제시되지 않았다. 이 논문에서는 시공간 데이터모델과 시공간 연산자 그리고 공간 연산자 구현 기법인 Planc-Sweep 기법을 이용한 시공간 연산자인 Trajectory와 MPIntersection에 대한 설계와 구현 알고리즘을 제시하였다.

• 융합보안논문지
• /
• 제14권7호
• /
• pp.53-58
• /
• 2014

MANET은 이동 노드들로만 구성되어 신속하게 네트워크를 구축할 수 있으며, 그 활용 범위가 다양하여 현재까지 많은 인기를 끌고 있다. 하지만 노드들의 잦은 이동으로 인한 동적인 토폴로지와 각 노드들의 제한된 자원 그리고 무선통신이 갖는 보안의 취약성이 MANET이 해결해야 할 큰 문제이다. 본 논문에서는 오버헤드를 줄이면서 정확한 침입탐지를 수행할 수 있는 영역 기반 분산협력 침입탐지 기법을 제안하였다. 제안한 침입탐지 기법에서는 네트워크를 일정한 크기로 분할 한 후 로컬 탐지와 전역 탐지가 수행된다. 로컬 탐지는 노드들의 비정상 행위를 탐지하기 위해 모든 노드에서 수행되고, 전역 탐지는 게이트웨이 노드에서 시그너처 기반 공격 탐지가 이루어지게 된다. 게이트웨이 노드에서 관리되는 시그너처 DB는 이웃 게이트웨이 노드와 허니넷을 구성하여 주기적인 업데이트가 이루어지고, 신뢰 관리 모듈에 의해 영역내의 노드들에 대한 신뢰도를 유지하였다. 제안한 기법의 침입탐지 성능을 확인하기 위하여 다중 계층 클러스터 기법과 비교 실험을 통해 우수한 성능을 확인할 수 있었다.

• 융합보안논문지
• /
• 제6권2호
• /
• pp.21-29
• /
• 2006

소프트웨어를 대상으로 하는 다양한 공격방법이 등장하고 있는 가운데 컴퓨터 소프트웨어에 대한 불법 조작 및 변조 등의 위협이 증가하고 있다. 특히, 온라인상에서 동작하는 어플리케이션 클라이언트를 대상으로 악의적인 로더 프로그램을 이용하여 프로그램의 코드를 조작하고, 흐름을 변조하여 정상적인 동작을 방해하는 행위가 날로 늘어나고 있다. 본 논문에서는 악의적인 용도로 사용되는 로더가 가지는 패턴을 분석하여 시그너처를 생성하고, 변형된 패턴을 탐지할 수 있고 시그너처 기법을 보완한 프로파일 기반의 탐지 기법을 제시한다.

• 한국정보과학회 언어공학연구회:학술대회논문집(한글 및 한국어 정보처리)
• /
• 한국정보과학회언어공학연구회 2008년도 제20회 한글 및 한국어 정보처리 학술대회
• /
• pp.189-194
• /
• 2008

본 논문에서는 토픽 시그너처(Topic Signature)와 n-gram을 이용한 댓글 분류 시스템을 개발한다. 토픽 시그너처는 문서요약이나 문서분류에서 자질 선택을 위한 방법으로 많이 사용되어지며, n-gram은 모든 언어에 적용 가능한 장점이 있다. 악성댓글은 대체로 문장 길이가 짧고 유행어나 변형어의 출현 빈도가 높으며 비정형화된 특징이 있다. 따라서 우리는 댓글을 n-gram으로 나누어 자질로 선택한다. 분류를 위해 베이지안(Bayesian)모델을 사용하였다. 본 논문에서는 한글과 영어 댓글에 대한 판별 실험을 통하여 구현한 시스템이 복잡한 전처리 과정이 필요한 기존에 제안된 방법들보다 더 나은 성능을 보이며, 언어에 관계없이 적용 가능하다는 것을 실험 결과를 통해 확인할 수 있었다.