• Journal of KIISE:Information Networking
• /
• v.37 no.4
• /
• pp.255-262
• /
• 2010

Recently, automated signature generation systems(ASGSs) have been developed in order to cope with zero-day attacks with malicious codes exploiting vulnerabilities which are not yet publically noticed. To enhance the usefulness of the signatures generated by (ASGSs) it is essential to identify signatures only with the high accuracy of intrusion detection among a number of generated signatures and to provide them to target security systems in a timely manner. This automated signature exchange, distribution, and update operations have to be performed in a secure and universal manner beyond the border of network administrations, and also should be able to eliminate the noise in a signature set which causes performance degradation of the security systems. In this paper, we present a system architecture to support the identification of high quality signatures and to share them among security systems through a scheme which can evaluate the detection accuracy of individual signatures, and also propose a set of algorithms dealing with exchanging, distributing and updating signatures. Though the experiment on a test-bed, we have confirmed that the high quality signatures are automatically saved at the level that the noise rate of a signature set is reduced. The system architecture and the algorithm proposed in the paper can be adopted to a automated signature sharing framework.

• Journal of Korea Society of Industrial Information Systems
• /
• v.20 no.2
• /
• pp.65-72
• /
• 2015

An anti-virus is a widely used solution for detecting malicious software in client devices. In particular, signature-based anti-viruses detect malicious software by comparing a file with a signature of a malicious software. Recently, the number of malicious software dramatically increases and hence it results in a performance degradation issue: detection time of signature-based anti-virus increases and throughput decreases. In this paper, we summarize the research results of signature-based anti-viruses which are focusing on solutions overcoming of performance limitations, and propose a new solution. In particular, comparing our solution to SplitScreen which has been known with the best performance, our solution reduces client-side workload and decreases communication cost.

• 프린팅코리아
• /
• v.11 no.5
• /
• pp.98-99
• /
• 2012

에이스기계(주)(대표이사 이철)는 지난 4월 3일 고양시 킨텍스 1전시장 2층에서 신제품 및 신기술 발표회를 개최했다. 인쇄 및 포장업계 대표, 부서장, 접착기장 등 200여명이 참석한 이번 발표회에서는 시그니처 이글, 시그니처 오리엔트, 시그팩커, 인렛 스포트, 시그피더, 티어 테이핑기계 등이 소개됐다. 신제품 발표 외에도 접착기의 효율적인 관리방법에 대한 교육 및 접착기장 기술 인력 확충 방안에 대한 토론도 진행됐다.

• The KIPS Transactions:PartC
• /
• v.16C no.4
• /
• pp.449-460
• /
• 2009

The signature hashing algorithm[9] provides the fast pattern matching speed for network IPS(Intrusion Prevention System) using the hash table. It selects 2 bytes from all signature rules and links to the hash table by the hash value. It has an advantage of performance improvement because it reduces the number of inspecting rules in the pattern matching. However it has a disadvantage of performance drop if the number of rules with the same hash value increases when the number of rules are large and the corelation among rules is strong. In this paper, we propose a method to make all rules distributed evenly to the hash table independent of the number of rules and corelation among rules for overcoming the disadvantage of the signature hashing algorithm. In the proposed method, it checks whether or not there is an already assigned rule linked to the same hash value before a new rule is linked to a hash value in the hash table. If there is no assigned rule, the new rule is linked to the hash value. Otherwise, the proposed method recalculate a hash value to put it in other position. We implemented the proposed method in a PC with a Linux module and performed experiments using Iperf as a network performance measurement tool. The signature hashing method shows performance drop if the number of rules with the same hash value increases when the number of rules are large and the corelation among rules is strong, but the proposed method shows no performance drop independent of the number of rules and corelation among rules.

• Journal of Internet Computing and Services
• /
• v.20 no.2
• /
• pp.9-19
• /
• 2019

Service and users over the Internet are increasing rapidly. Cyber attacks are also increasing. As a result, information leakage and financial damage are occurring. Government, public agencies, and companies are using security systems that use signature-based detection rules to respond to known malicious codes. However, it takes a long time to generate and validate signature-based detection rules. In this paper, we propose and develop signature based detection rule generation and verification systems using the signature extraction scheme developed based on the LDA(latent Dirichlet allocation) algorithm and the traffic analysis technique. Experimental results show that detection rules are generated and verified much more quickly than before.

• Journal of KIISE
• /
• v.42 no.4
• /
• pp.442-450
• /
• 2015

This paper proposes a method for reducing false conflicts in signature-based eager hardware transactional memory (HTM). The method tracks the information on all cache blocks that are accessed by a transaction. If the information provides evidence that there are no conflicts for a given transactional request from another core, the method prevents the occurrence of a false conflict by forcing the HTM to ignore the decision based on the signature. The method is very effective in reducing false conflicts and the associated unnecessary transaction stalls and aborts, and can be used to improve the performance of the multicore processor that implements the signature-based eager HTM. When running the STAMP benchmark on a 16-core processor that implements the LogTM-SE, the increased speed (decrease in execution time) achieved with the use of the method is 20.6% on average.

• Proceedings of the Korean Information Science Society Conference
• /
• 2010.06d
• /
• pp.56-60
• /
• 2010

악성코드의 기능들이 날로 정교해 지면서 악성 행위를 숨기거나 악성코드 분석이 어렵도록 만들기 위한 기법들이 적용되는 것을 쉽게 볼 수 있다. 이 중 악성코드 분석을 어렵게 만드는 대표적인 방식이 Packing이다. 그러므로 악성코드의 분석을 위해 Packing된 악성코드가 어떤 Packer로 Packing되어 있는 지 확인할 필요가 있다. 그러나 현재 사용하는 대부분의 시그니처 기반 탐지 방식은 오탐율 및 미탐율이 높다. 본 논문에서는 Packer 탐지를 위한 새로운 시그니처 생성 방식을 제안하고 성능을 검증한다.

• Information and Communications Magazine
• /
• v.24 no.11
• /
• pp.14-24
• /
• 2007

최근 네트워크 공격 기술이 날로 발전함에 따라 각 시스템에서 노출된 취약성이 패치되기 전에 네트워크 환경을 위협하는 zero-day 공격이 최대 이슈로 등장하고 있다. 본 고에서는 zero-day 위협에 대응하기 위해서, 활발하게 진행되고 있는 탐지 시그니처 자동 생성 기술에 대한 최근 연구 동향에 대해 소개하고, 이러한 기존 연구 및 기술들의 단점을 보완하기 위해 개발되고 있는 하드웨어 기반 고성능, 시그니처 자동 생성 시스템을 포괄하는 네트워크 보안 지능화 기술을 소개한다. 그리고 생성된 탐지 시그니처를 타 보안 솔루션들과 공유하기 위한 운영 프레임워크를 제안하고, 생성된 시그니처를 공유하기 위해 사용하는 시그니처 생성 교환프로토콜과 메시지 교환 형식을 정의한다. 이러한 지능화대응 기술을 활용함으로써 zero-day 공격에 대해 초기에 탐지하고 신속하게 대응하여 네트워크 인프라를 보호하는 효과를 기대할 수 있다. 또한, 체계적인 보안 정책 관리를 통하여 향후 발생할 네트워크 위협 공격들에 대해서도 빠르게 대응할 수 있도록 하여 국가적인 차원에서의 효과적인 방어체계를 구축하는데 기여할 것이다.

• Proceedings of the Korean Institute of Information and Commucation Sciences Conference
• /
• 2017.10a
• /
• pp.556-558
• /
• 2017

Recently internal confidential file leakage of industry is substantially increasing, which results in serious damage to enterprises. Most of these outbreaks are caused by internal employees. In this paper, we proposed and implemented a signature insertion scheme for defining confidential file in order to detect the outflow of internal confidential files with various file formats.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2015.10a
• /
• pp.683-685
• /
• 2015

이메일 등 외부로부터 유입된 악성코드로 인해 기업환경 사용자들의 피해 사례가 증가하고 있다. 대다수 기업환경 사용자들은 시그니처 기반의 안티바이러스를 설치하여 사용하고 있지만 신종 악성코드에 대한 대응률은 낮다. 또, 신종 악성코드 샘플을 수집하더라도 분석하고 시그니처 데이터베이스에 적용하는데 많은 시간이 소요되어 반영되기 전까지 사용자는 신종 악성코드를 진단하지 못하는 취약점을 가지게 된다. 최근 클라우드컴퓨팅 기술이 활성화되면서 안티바이러스에 응용하여 적용하고 있다. 방대한 데이터베이스 및 빠른 질의응답을 토대로 클라우드 기반의 안티바이러스는 시그니처 기반의 안티바이러스를 대체할 기술로 떠오르고 있다. 본 논문은 클라우드컴퓨팅 기술을 이용한 안티바이러스를 기업 환경에 적용하여 효율적으로 악성코드 대응을 할 수 있도록 제안하고자 한다.