• Title/Summary/Keyword: 시그너쳐

Search Result 35, Processing Time 0.037 seconds

An On-the-fly Filtering Technique for Reducing Packet Inspection Overhead Against Worms and DDoS Attack (웜이나 DDoS 공격에 대한 패킷 검사 부하를 줄이는 간편 필터링 기법)

  • Ryu, Jin-Hyong;Lee, Jea-Kook;Kim, Sang-Min;Kim, Hyong-Shik
    • Proceedings of the Korean Information Science Society Conference
    • /
    • 2008.06d
    • /
    • pp.57-61
    • /
    • 2008
  • 대부분의 보안 장비들은 웜이나 DDoS 공격들을 탐지하거나 차단하기 위하여 시그너쳐(signature) 검사방법을 이용한다. 웜이나 DDoS 공격은 네트워크에 부하를 주기 때문에 정상 서비스의 이용을 제한하고 심지어 보안장비를 동작하지 못하게 함으로써 네트워크를 마비시킬 수 있다. 본 논문에서는 패킷 유입량이 보안장비가 처리할 수 있는 범위를 벗어나면, 간편 필터를 이용하여 패킷 검사 오버헤드를 줄여 보안장비들의 가용성을 높이는 기법을 제안한다. 그리고 기존의 대표적인 웜들과 DDoS 공격 성향을 조사하여 타당성을 보인다.

  • PDF

Intrusion Detection Based on Host Status Transition Monitoring (호스트 상태 변화 관찰을 통한 침입 탐지)

  • Kwak, Mi-Ra;Cho, Dong-Sub
    • Proceedings of the KIEE Conference
    • /
    • 2004.07d
    • /
    • pp.2519-2521
    • /
    • 2004
  • 현재 주로 사용되는 네트웍 침입 탐지 기법은, 사람의 이해를 바탕으로 분석되고 저장된 침입 시그너쳐를 기반으로 침입을 판별하는 것이다. 이러한 방법은 아직 알려지지 않은 침입에 대해 무력하다는 한계를 가진다. 이에 본 연구에서는 사람의 분석과 지식에 의존하지 않는 방법을 제안하여 그러한 한계를 극복하고자 하였다. 침입은 호스트의 컴퓨팅과 네트워킹 자원을 사용할 수 없게 되는 것이라고 볼 때, 네트웍 트래픽과 관련하여 호스트의 자원 사용 상태가 앞으로 어떻게 진행 할 지 알 수 있다면, 해당 침입에 대한 사전지식 없이도 위험에 대비할 수 있다. 본 논문에서는 자원의 가용성 측면에서 호스트 상태를 설명하는 모델을 설계하고, 이 모델이 네트웍 트래픽 진행에 따른 호스트 상태 변화 추이의 예측하고, 침입을 탐지하도록 하였다.

  • PDF

The Macroscopic Effect on Malicious Code Detection by Code Insertion (코드 삽입을 통한 악성 코드 감지 기법의 거시적 효과)

  • Lee, Hyung-Joon;Kim, Chol-Min;Lee, Seong-Uck;Hong, Man-Pyo
    • Proceedings of the Korea Information Processing Society Conference
    • /
    • 2002.11b
    • /
    • pp.1091-1094
    • /
    • 2002
  • 현재 안티바이러스 시스템에서는 시그너쳐를 기반으로 하는 탐지 방법을 사용하거나 간단한 휴리스틱 검색을 이용 하지만, 이러한 방법은 알려지지 않은 새로운 악성 코드에 대해서는 취약하기 때문에 행위 감시 기반의 감지 방법이 추가적으로 사용된다. 그러나 행위 감시 기반의 안티바이러스 시스템을 대부분의 호스트에 설치하는 일은 많은 어려움이 있다. 이에 따라 안티바이러스 시스템이 설치되지 않은 호스트에서의 행위 감시를 위한 코드 삽입 기법이 제시 되었으나 아직 코드 삽입 기법이 거시적인 과점에서 전체 도메인에 미치는 영향에 대한 연구가 되어 있지 않다. 본 논문은 시뮬레이션을 통하여 코드 삽입 기법이 전체 도메인 상에서 악성 코드의 감지에 미치는 영향을 보여준다.

  • PDF

Modeling Host Status Transition for Network Intrusion Detection (네트웍 침입 탐지를 위한 호스트 상태 변화 모델 설계)

  • Kwak, Mi-Ra;Cho, Dong-Sub
    • Proceedings of the KIEE Conference
    • /
    • 2004.05a
    • /
    • pp.74-76
    • /
    • 2004
  • 현재 주로 사용되는 네트웍 침입 탐지 기법은, 사람에 의해 분석되고 룰의 형태로 저장된 침입 시그너쳐를 기반으로 침입을 판별하는 것이다. 이러한 방법은 아직 알려지지 않은 침입에 대해 무력하다는 한계를 가진다. 이에 본 연구에서는 사람의 분석과 지식에 의존하지 않는 방법을 제안하여 그러한 한계를 극복하고자 하였다. 침입은 호스트의 컴퓨팅과 네트워킹 자원을 사용할 수 없게 되는 것이라고 볼 때, 네트웍 트래픽과 관련하여 호스트의 자원 사용 상태가 어떻게 변화하는지 미리 알 수 있다면, 해당 침입에 대한 사전지식 없이도 위험에 대비할 수 있다. 본 논문에서는 자원의 가용성 측면에서 호스트 상태를 설명하는 모델을 설계하여, 이 모델이 네트웍 트래픽의 진행에 따라 변화하는 추이를 예측하는 데 사통될 수 있도록 하였다.

  • PDF

The Design and Implementation of High Performance Intrusion Prevention Algorithm based on Signature Hashing (시그너처 해싱 기반 고성능 침입방지 알고리즘 설계 및 구현)

  • Wang, Jeong-Seok;Jung, Yun-Jae;Kwon, H-Uing;Chung, Kyu-Sik;Kwak, Hu-Keun
    • The KIPS Transactions:PartC
    • /
    • v.14C no.3 s.113
    • /
    • pp.209-220
    • /
    • 2007
  • IPS(Intrusion Prevention Systems), which is installed in inline mode in a network, protects network from outside attacks by inspecting the incoming/outgoing packets and sessions, and dropping the packet or closing the sessions if an attack is detected in the packet. In the signature based filtering, the payload of a packet passing through IPS is matched with some attack patterns called signatures and dropped if matched. As the number of signatures increases, the time required for the pattern matching for a packet increases accordingly so that it becomes difficult to develop a high performance US working without packet delay. In this paper, we propose a high performance IPS based on signature hashing to make the pattern matching time independent of the number of signatures. We implemented the proposed scheme in a Linux kernel module in a PC and tested it using worm generator, packet generator and network performance measure instrument called smart bit. Experimental results show that the performance of existing method is degraded as the number of signatures increases whereas the performance of the proposed scheme is not degraded.

A Study of Implementation of Analog Slope Equalizer and Its System Performance for Digital Radio Relay System (디지털 무선중계 장치의 아날로그 기울기 등화기 구현 및 시스템 성능에 대한 연구)

  • 서경환
    • The Journal of Korean Institute of Electromagnetic Engineering and Science
    • /
    • v.15 no.11
    • /
    • pp.1034-1042
    • /
    • 2004
  • In this paper, as one of countermeasure techniques for a frequency selective fading, an adaptive analog slope equalizer(ASE) applicable to 64-QAM digital radio relay system is presented in terms of principle, implementation, and its performance. Also interference of cross-talk between I- and Q-channel caused by a fiequency selective lading has been analyzed by doing channel model in the baseband, which make it possible to derive the solution for implementing ASE in If-band. The effects of signal for the faded channel are investigated in the time and the frequency domains, respectively, with/without ASE. As system performance, it is shown that the signature is improved up to 6.2 dB at the edge of signal bandwidth for a given BER 10$\^$-3/.

Detection Of Unknown Malicious Scripts using Code Insertion Technique (코드 삽입 기법을 이용한 알려지지 않은 악성 스크립트 탐지)

  • 이성욱;방효찬;홍만표
    • Journal of KIISE:Information Networking
    • /
    • v.29 no.6
    • /
    • pp.663-673
    • /
    • 2002
  • Server-side anti-viruses are useful to protect their domains, because they can detect malicious codes at the gateway of their domains. In prevailing local network, all clients cannot be perfectly controlled by domain administrators, so server-side inspection, for example in e-mail server, is used as an efficient technique of detecting mobile malicious codes. However, current server-side anti-virus systems perform only signature-based detection for known malicious codes, simple filtering, and file name modification. One of the main reasons that they don't have detection features, for unknown malicious codes, is that activity monitoring technique is unavailable for server machines. In this paper, we propose a detection technique that is executed at the server, but it can monitor activities at the clients without any anti-virus features. we describe its implementation.

A Study on the Design of Cross-Polarization Interference Canceler for Digital Radio Relay System with Co-Channel Dual Polarization (동일 채널 이중편파를 적용하는 디지털 무선 중계장치의 직교편파간섭제거기 설계에 관한 연구)

  • 서경환
    • The Journal of Korean Institute of Electromagnetic Engineering and Science
    • /
    • v.13 no.3
    • /
    • pp.225-236
    • /
    • 2002
  • In this paper, to counteract a cross-polarization interference caused by co-channel dual polarization technique of digital radio relay system(DRRS), we analyze the theoretical model and digital design of cross-polarization interference canceller(XPIC). In addition a complex adaptive time domain equalizer(ATDE) is designed using a finite impulse response filter, and the structure of XPIC and its control method are also illustrated including ATDE. Our computer simulation shows that about 25 dB signature and more than 23 dB XPIC improvement factor can be obtained with XPIC and ATDE. In order to verify the operation of designed XPIC, we review the simulated results in view of tap number, algorithm convergence, system signature, and XPlC improvement factor in connection with 64-QAM DRRS with co-channel dual polarization.

Performance of Multi-rate Optical Wireless PPM-CDMA System over an Indoor Non-directed Diffuse Channel (실내 비방향성 분산채널에서 다중전송률 광무선 PPM-CDMA 시스템의 성능 분석)

  • 황성수;이재홍
    • The Journal of Korean Institute of Communications and Information Sciences
    • /
    • v.25 no.7A
    • /
    • pp.943-950
    • /
    • 2000
  • In this paper, an asynchronous multi-rate optical wireless pulse position modulation-code division multiple access (PPM-CDMA) is proposed for an indoor non-directed diffuse channel. As a signature sequence for CDMA, an optical orthogonal code (OOC) is used and an interference cancellation scheme is applied to improve the bit error rate. It is known that the optical PPM-CDMA has advantages due to its power efficiency. Moreover, it provides multi-rate services by varying the modulation level with fixed pulse duration. In the proposed multi-rate PPM-CDMA system with fixed pulse duration, chip rate and sampling time do not change for each transmission rate and this simplifies overall system structure.

  • PDF

An Improved Detecting Scheme of Malicious Codes using HTTP Outbound Traffic (HTTP Outbound Traffic을 이용한 개선된 악성코드 탐지 기법)

  • Choi, Byung-Ha;Cho, Kyung-San
    • Journal of the Korea Society of Computer and Information
    • /
    • v.14 no.9
    • /
    • pp.47-54
    • /
    • 2009
  • Malicious codes, which are spread through WWW are now evolved with various hacking technologies However, detecting technologies for them are seemingly not able to keep up with the improvement of hacking and newly generated malicious codes. In this paper, we define the requirements of detecting systems based on the analysis of malicious codes and their spreading characteristics, and propose an improved detection scheme which monitors HTTP Outbound traffic and detects spreading malicious codes in real time. Our proposed scheme sets up signatures in IDS with confirmed HTML tags and Java scripts which spread malicious codes. Through the verification analysis under the real-attacked environment, we show that our scheme is superior to the existing schemes in satisfying the defined requirements and has a higher detection rate for malicious codes.