• Proceedings of the Korean Information Science Society Conference
• /
• 2003.04a
• /
• pp.404-406
• /
• 2003

C언어는 포인터형 변수를 제공하며 배열의 경계를 인식하지 않는다. 이러한 특성에서 기인한 버퍼넘침 (buffer overflew)은 널리 알려진 취약점으로서 보안침해 수단으로 널리 악용되고 있다. 이 문제를 해결하기 위한 한 방법으로 오용탐지기술은 버퍼넘침에 공통적으로 사용되는 시그너쳐(Signature)를 가지고 클라이언트(client)가 전송한 패킷을 검사함으로서 고전적인 버퍼넘침을 탐지하고 있다. 본 논문에서는 이러한 탐지 방법을 우회할 수 있는 보다 위협적이고 지능적인 보안침해 가능성을 제시한다.

• Proceedings of the Korean Information Science Society Conference
• /
• 2002.10c
• /
• pp.577-579
• /
• 2002

급속도로 증가하고 있는 개인 단말 사용자와 네트워크의 광역화로 악성코드의 일종인 바이러스의 출현으로 그 해당 피해가 급증하고 있다. 이러한 현실에서 이전의 시그너쳐 기반 스캐닝 기법은 알려지지 않은 바이러스 및 신종 바이러스를 신속히 탐지할 수 없으므로 탐지성능이 급감하고 있다. 따라서 이전의 시그너쳐 기반의 스캐닝 기법의 단점을 보완하면서 새로운 기법의 바이러스를 탐지하기 위한 기법으로 제안된 휴리스틱 스캐닝 기법 및 행위 제한 기법에 대해 기술하겠다.

• Journal of the Korea Society of Computer and Information
• /
• v.16 no.11
• /
• pp.103-111
• /
• 2011

In this paper, we propose a Geometrical Centroid Contour Distance(GCCD) which is described by shape signature based on contour sequence. The proposed method uses geomertrical relation features instead of the absolute angle based features after it was normalized and aligned with dominant feature of the shape. Experimental result with MPEG-7 CE-Shape-1 Data Set reveals that our method has low time/spatial complexity and scale/rotation robustness than the other methods, showing that the precision of our method is more accurate than the conventional desctiptors. However, performance of the GCCD is limited with concave and complex shaped objects.

• Proceedings of the Korea Multimedia Society Conference
• /
• 2002.05d
• /
• pp.930-935
• /
• 2002

본 논문은 불법 침입 탐지를 위한 정보시스템 구축에 있어 많은 연구가 진행되고 있는 침입 탐지 시스템(IDS: Intrusion Detection System)중 네트워크 기반의 오용(Misuse) 탐지 모델을 이용하여 침입 탐지 시스템을 설계 및 구현하였다. 구현된 침입 탐지 시스템은 K4 인증 기준을 모델로 삼았으며, 탐지하는 시그너쳐의 분류상 Content, DoS, Probing을 대상으로 설계되었으며, 원격으로 시스템의 관리와 감독이 가능하도록 구현하였다.

• Proceedings of the Korean Information Science Society Conference
• /
• 2002.04b
• /
• pp.190-192
• /
• 2002

구조와 문서(structured document)에 대만 효율적인 처리를 위해서는 문서의 임의 엘리먼트에 빠르고 직접적인 접근을 지원하는 인덱싱 기법이 필요하다 이를 위한 기존의 연구들에서는 전통적인 정보 검색 분야에서 사용되는 역 리스트나 시그너쳐 파일을 응용한 기법들이 제안되었다. 그러나 기존의 연구들은 정적인 환경에 적합한 인덱스 구조로써, 문서에 대한 동적인 변경이 있을 경우 인덱스론 전체적으로 재구성해야 하는 부담이 있다. 본 논문에서는 역 리스트를 기반으로 문서에 대만 구조 변경과 내용 변경 등 동적인 변경에 대해 점진적 갱신을 지원하는 인덱스 구조를 설계하였다.

• Proceedings of the Korea Multimedia Society Conference
• /
• 2003.05b
• /
• pp.255-258
• /
• 2003

본 논문에서는 JPEG 압축 이외의 블러링(blumng) 및 샤프닝(sharpening) 등의 허용 가능한 이미지 조작에도 정보가 유지될 수 있는 내용 적응(content adaptive) 서명(signature) 기법을 제안하였다. 제안한 방법은 블록의 이미지 내용의 특성을 사용하여, 기존의 이미지 블록 사이의 DCT 계수 차이가 유지되는 DCT를 기반으로 한 Chang의 서명 방법의 단점을 개선하였다. 즉, 허용 가능한 이미지 조작에 대하여 에러 발생 확률이 높은 블록을 피하여 서명을 생성하였다 Lenna를 포함한 여러 표준 영상을 사용하여 실험한 결과, 제안한 랑법은 Chang의 방법에서 발생하는 서명의 비트 스트림 에러보다 에러 발생 빈도가 블러링 이미지에서는 평균 약 55％, 사프닝 이미지에서는 평균 약 51％ 더 낮았다.

• The Journal of Korean Institute of Communications and Information Sciences
• /
• v.29 no.8A
• /
• pp.898-908
• /
• 2004

In this paper, we propose a high speed preamble searcher feasible for RACH(Random Access Channel) preamble structure in WCDMA reverse link receiver. Unlike IS-95, WCDMA system uses AISMA(Acquisition Indication Sense Multiple Access) process. Because of the time limit between RACH preamble transmission and AI(Acquisition Indicators), and the restriction on the number of RACH signatures assigned to RACH preamble, fast acquisition indication is required for efficient operation. The preamble searcher proposed in this paper is based on 2-antenna system and has adopted FHT algorithm that has the radix-2 16 point FFT structure. The acquisition speed using FHT is 64 times faster than the conventional method that correlates each signature. Based on their fast aquisition scheme, we improved the acquisition performance by calculating the correlation up to the 4096 chips of the total preamble length. The performance is analyzed by using Neyman-pearson method. The proposed algorithm has been applied for the implementation of WCDMA reverse link receiver modem successfully.

• Journal of KIISE:Computing Practices and Letters
• /
• v.14 no.5
• /
• pp.517-521
• /
• 2008

A worm is a malware that propagates quickly from host to host without any human intervention. Need of early worm detection has changed research paradigm from signature based worm detection to the behavioral based detection. To increase effectiveness of proposed solution, in this paper we present mechanism of detection and prevention of worm in distributed fashion. Furthermore, to minimize the worm destruction; upon worm detection we propagate the possible attack aleγt to neighboring nodes in secure and organized manner. Considering worm behavior, our proposed mechanism detects worm cycles and infection chains to detect the sudden change in network performance. And our model neither needs to maintain a huge database of signatures nor needs to have too much computing power, that is why it is very light and simple. So, our proposed scheme is suitable for the ubiquitous environment. Simulation results illustrate better detection and prevention which leads to the reduction of infection rate.

• Journal of the Korea Institute of Information Security & Cryptology
• /
• v.24 no.5
• /
• pp.839-850
• /
• 2014

As the social and financial damages caused by APT attack such as 3.20 cyber terror are increased, the technical solution against APT attack is required. It is, however, difficult to protect APT attack with existing security equipments because the attack use a zero-day malware persistingly. In this paper, we propose a host based anomaly detection method to overcome the limitation of the conventional signature-based intrusion detection system. First, we defined 39 features to identify between normal and abnormal behavior, and then collected 8.7 million feature data set that are occurred during running both malware and normal executable file. Further, each process is represented as 83-dimensional vector that profiles the frequency of appearance of features. the vector also includes the frequency of features generated in the child processes of each process. Therefore, it is possible to represent the whole behavior information of the process while the process is running. In the experimental results which is applying C4.5 decision tree algorithm, we have confirmed 2.0% and 5.8% for the false positive and the false negative, respectively.

• Proceedings of the Korea Institutes of Information Security and Cryptology Conference
• /
• 2006.06a
• /
• pp.637-640
• /
• 2006

본 논문에서는 HTTP 요청, 응답 헤더정보 분석을 통해, 실시간으로 웹 공격을 탐지하는 시각화도구를 제안한다. 공격 탐지기법은 이상, 오용 탐지 기법을 통합한 방식이다. 이상 탐지는 헤더정보의 Refer와 Uri 필드를 이용한 베이지언 분포를 통한 확률 값을 이용하였으며, 오용탐지는 Snort의 공격 시그너쳐의 웹 공격부분을 사용하였다. 공격 탐지 정보의 효율적인 전달을 위해, 시각화를 GUI로 구현하였다. 본 논문에서는 사용자 에이전트의 비정상 행위 감시, 빈도 분석, 공격 에이전트 위치추적을 실시간으로 시각화하여 표현하는 기법을 제안한다.