• 사물인터넷융복합논문지
• /
• 제5권2호
• /
• pp.95-101
• /
• 2019

4차 산업혁명시대와 사물인터넷의 시대로 접어들면서 다양한 서비스가 빠르게 성장하고 있으며 관련된 다양한 연구가 활발히 진행중에 있다. 그중에서도 사물인터넷에서 사용이 되고 있는 다양한 디바이스에 대한 비정상행위에 대한 연구도 진행이 되고 있다. 초연결의 사회에서 하나의 잘못된 디바이스로 인한 피해가 발생하면 다양하게 연결되어 있는 시스템에 심각한 영향을 줄 수 밖에 없다. 본 논문에서는 이러한 사물인터넷 환경에서 디바이스에 대한 안전성을 높일 수 있는 방법과 안전하게 디바이스와 서비스를 이용하 수 있는 방법에 대하여 안티디버깅 기법, 이상 프로세스 탐지 기법, 백도어 탐지 기법 등 여러 가지 비정상적인 행위로 인한 위협요소에 대응하기 위한 기법을 제안한다.

• 정보보호학회논문지
• /
• 제31권4호
• /
• pp.701-713
• /
• 2021

Race Condition은 둘 이상의 프로세스가 하나의 공통 자원에 대해 입력이나 조작이 동시에 일어나 의도치 않은 결과를 가져오는 취약점이다. 해당 취약점은 서비스 거부 또는 권한 상승과 같은 문제를 초래할 수 있다. 소프트웨어에서 취약점이 발생하면 관련된 정보를 문서화하지만 종종 취약점의 발생 원인을 밝히지 않거나 소스코드를 공개하지 않는 경우가 있다. 이런 경우, 취약점을 탐지하기 위해서는 바이너리 레벨에서의 분석이 필요하다. 본 논문은 UNIX 커널기반 File System의 Time-Of-Check Time-Of-Use (TOCTOU) Race Condition 취약점을 바이너리 레벨에서 탐지하는 것을 목표로 한다. 지금까지 해당 취약점에 대해 정적/동적 분석 기법의 다양한 탐지 기법이 연구되었다. 기존의 정적 분석을 이용한 취약점 탐지 도구는 소스코드의 분석을 통해 탐지하며, 바이너리 레벨에서 수행한 연구는 현재 거의 전무하다. 본 논문은 바이너리 정적 분석 도구인 Binary Analysis Platform (BAP)를 통해 Control Flow Graph, Call Graph 기반의 File System의 TOCTOU Race Condition 탐지 방법을 제안한다.

• 한국전자거래학회지
• /
• 제23권4호
• /
• pp.137-152
• /
• 2018

기존 금융정보유출 행위를 탐지하기 위해 보안솔루션에서 생성한 행위 로그를 수집하여 패턴분석으로 정보유출 이상행위를 탐지하고 차단하는 활동에서 발생되는 한계점을 극복하고, 효과적으로 대응하기 위한 방안으로 첫 번째, PC에서 정보유출 경로(외부에서 읽기, 외부로 저장하기, 외부로 전송하기 등)로 이용되는 PC내 실행 프로그램들을 실시간으로 모니터링하고 두 번째, 해당 프로그램이 실행하는 시점에 연관된 보안 통제 프로세스와 상호 연동하여 정상 통제예외 통제우회 행위인지를 파악한 다음 마지막 단계인 시나리오 기반으로 생성한 처리 절차를 통해 금융정보유출 위험을 통제할 수 있는 위험 관리 모델을 제안함으로서 정보 보호 측면의 보안성 강화 및 업무 효율성 향상의 기대효과를 창출하고자 한다.

• 한국멀티미디어학회논문지
• /
• 제9권8호
• /
• pp.1037-1044
• /
• 2006

실제 대규모 네트워크에서 사이버 공격으로 인한 보안시스템의 성능을 검증하기는 어렵다. 일반적으로 새로운 보안시스템이나 공격기법은 시뮬레이션을 통해 검증을 한다. 본 논문에서는 보안시스템 및 공격기법을 시뮬레이션 하기 위해 SSFNet을 사용하였다. SSFNet은 프로세스 기반 사건 중심 시뮬레이션 시스템이면서, 대규모 네트워크를 쉽게 표현할 수 있는 장점을 가지고 있다. 하지만 보안시스템이나 패킷을 조작할 수 있는 API를 제공하고 있지 않다. 본 논문에서는 보안 시스템으로 주로 사용하고 있는 방화벽과 IPS 클래스를 개발하여 SSFNet 구성요소로 추가하였다. 방화벽은 패킷 필터링 기반 보안 방화벽 시스템을 모델링하였다. IPS는 탐지 기능과 이상 패킷에 대한 드롭 기능을 가지고 있다. 확장된 SSFNet내에 네트워크를 모델링하여 방화벽과 IPS의 기능을 검증하였다. 방화벽은 패킷의 주소와 포트의 규칙을 통해 패킷을 차단하였다. 그리고 라우터에 기술된 IPS의 로그화면을 통해 패킷의 상태와 이상 패킷이 차단되는 것을 확인하였다.

• 스마트미디어저널
• /
• 제8권1호
• /
• pp.19-26
• /
• 2019

2018년 평창 동계 올림픽 개막식에서 출처를 알 수 없는 사이버공격이 발생하였다. 해당 공격에서 사용된 악성코드는 인 메모리 악성코드로 기존 악성코드와 은닉하는 장소가 다르며, 140개 이상의 은행, 통신, 정부 기관에서 발견될 정도로 빠르게 확산되고 있다. 인 메모리 악성코드는 전체 악성코드의 15%이상을 차지하며 매우 심각한 피해를 주고 있다. 비휘발성 저장장치로 알려진 하드디스크에 자신의 정보를 저장하는 것이 아닌 휘발성 저장장치 인 램의 특정 메모리영역인 프로세스에 삽입하여 악성행위를 일으키는 악성코드를 인 메모리 악성코드라고 지칭한다. 결과적으로 자신의 정보를 남기지 않아 메모리 탐지 도구를 우회하여 악성코드 분석가들의 분석을 어렵게 한다. 또한 현대 메모리는 갈수록 크기가 증가해 메모리 탐지 도구를 사용하여 메모리전체를 보기 힘들다. 따라서 본 논문에서는 인 메모리 악성코드인 Dorkbot과 Erger를 대상으로 IDA Pro 디버거를 통해 인젝션을 언 패킹하여 효율적으로 페이로드를 산출하는 방법을 제안한다.

• 경영정보학연구
• /
• 제22권4호
• /
• pp.135-161
• /
• 2020

블록체인과 가상통화 관련 시장의 성장과 함께 가상통화거래소는 하나의 신규 산업으로 성장하고 있다. 그러나, 가상통화에 대한 법·규제적 정의가 진행 중에 있어서 기존 산업과 다르게 규제기관의 관리감독을 받지 않고 있으며, 이에 따라 본 연구는 거래소 해킹 및 사고로 인한 사용자(가상통화 투자자)의 피해가 다수 보고되었다. 가상통화거래소에서 발생할 수 있는 피해를 개인정보 및 계정의 탈취로 인한 자산 피해와 사용자가 외부 사기사건 등에 연루되어 발생할 수 있는 피해로 구분하여 연관성이 높은 기능을 선행 사업자와 비교 분석하였다. 회원가입(KYC: Know Your Client), 로그인, 거래 추가인증은 선행 사업자와 유사한 수준이나, 이상거래탐지(FDS: Fraud Detection System), 법화 및 가상통화 자금세탁방지(AML: Anti-Money Laundering)는 미흡한 수준으로 조속한 개선이 필요할 것으로 파악되었다.

• 인터넷정보학회논문지
• /
• 제18권3호
• /
• pp.71-83
• /
• 2017

최근에는 프로세스 마이닝의 최대 강점을 활용함으로써, 기업 조직의 감사 업무에 적극적으로 활용하기 위한 다양한 연구 활동이 활발히 진행 중에 있다. 한편 기업 조직의 중요한 경영 활동중의 하나인 구매 부문 감사 시 빅 데이터 환경 하에서 생성된 방대한 데이터를 프로세스 마이닝을 이용하여 체계적이고 효율적으로 분석하고 감사 측면에서 위험 관리 사전 모니터링 하는 관련 연구는 미흡한 실정이다. 본 연구에서는 기업현장에서 발생되는 대량의 데이터들을 단순하게 사후에 모니터링하는 수준에서 벗어나 기업의 구매 부문에서 이상 징후들을 사전에 탐지하고 사고를 미리 방지하기 위하여 하둡 기반의 내부 감사 통합 실시간 모니터링 시스템을 구현하고자 한다. 이렇게 구현된 시스템을 통해 발주한 구매 자재의 납기관리 강화, 구매원가 절감, 경쟁력 있는 협력업체 관리, 사기 발생 억제, 규정준수, 내부통제 회계제도 준수 및 강화를 실현하고자 한다. 이러한 목적을 달성하기 위해 프로세스 마이닝을 이용하여 데이터를 효율적으로 분석하고 하둡기반의 시스템을 구축함으로써 이 결과로 구매감사 통합 실시간 모니터링 방식을 활용하여 실시간으로 실행할 수 있는 정보 제공이 가능하게 되었다. 또한, 통합적인 관점에서 입체적으로 업무 상태를 관리할 수 있게 되었고, 상시 모니터링 보다 대량의 작업을 실시간에 빠른 속도로 처리하게 됨으로써 구매 감사 품질개선 및 구매 프로세스 혁신의 효과가 나타났다.

• 한국정보과학회논문지:시스템및이론
• /
• 제33권3호
• /
• pp.178-192
• /
• 2006

버퍼 오버플로우 공격은 Code Red나 SQL Stammer와 같은 최근의 웜의 발발에서 알 수 있는 것과 같이 가장 강력하고 치명적인 형태의 악성 코드 공격이다. 버퍼 오버플로우 공격은 일반적으로 시스템에 비정상적인 증상들을 유발한다. 버퍼 오버플로우 공격에 대한 기존의 대처방안들은 심각한 성능 저하를 초래하거나, 다양한 형태의 버퍼 오버플로우 공격을 모두 방지하지 못했으며, 특히 일반적으로 사용되는 소프트웨어 패치를 사용하는 방법은 버퍼 오버플로우 입의 확산을 효과적으로 차단하지 못한다. 이러한 문제를 해결하고자 본 논문에서는 적은 하드웨어 비용과 성능 저하만으로 거의 모든 악성 코드 공격을 탐지하고 피해를 복구할 수 있도록 하는 복귀 주소 포인터 스택 (Return Address Pointer Stack: RAPS) 과 변조 복구 버퍼 (Corruption Recovery Buffer: CRB)라는 마이크로 구조 기술들을 제안한다. 버퍼 오버플로우 공격으로 인한 비정상적인 증상들은 RAPS를 통해 프로세스 실행 중 메모리 참조의 안전성을 점검함으로써 쉽게 탐지될 수 있으며, 이는 그러한 공격들에 의한 잠재적인 데이타 흑은 제어 변조를 피하는 것을 가능하게 한다. 안전 점검 장치의 사용으로 인한 하드웨어 비용과 성능 손실은 거의 발생하지 않는다. 또한, RAPS에 비해 더욱 강도 높은 방법인 CRB를 이용하여 보안 수준을 더욱 향상시킬 수 있다. 변조 복구 버퍼는 안전 점검 장치와 결합되어 버퍼 오버플로우 공격에 의해 발생했을 가능성이 있는 의심스러운 쓰기들을 저장함으로써 공격이 탐지되는 경우 메모리의 상태를 공격 이전의 상태로 복구시킬 수 있다. SPEC CPU2000 벤치마크 중에서 선정한 프로그램들에 대해 상세한 시뮬레이션을 수행함으로써, 제안된 마이크로구조 기술들의 효율성을 평가할 수 있다. 실험 결과는 안전 점검 장치를 사용하여 공격으로 인한 복귀 주소 변조로부터 스택 영역을 방어하는 것이 시스템의 이상 증상들을 상당 부분 감소시킬 수 있다는 것을 보여준다. 또한, 1KB 크기의 작은 변조 복구 버퍼를 안전 점검 장치와 함께 사용할 경우 스택 스매싱 공격으로 인해 발생하는 추가적인 데이타 변조들까지 막아낼 수가 있는데, 이로 인한 성능 저하는 2% 미만에 불과하다.

• 정보보호학회논문지
• /
• 제26권2호
• /
• pp.369-375
• /
• 2016

기업 대부분은 사업 연속성을 위협하는 기밀정보 유출을 방지하기 위해 DRM, 메일 필터링, DLP, USB 보안 등 다양한 보안 시스템 구축에 투자를 아끼지 않고 있다. 그러나, 기업이 기밀정보의 유출 및 관련 사건을 인지한 시점에는 해당 직원이 이미 '퇴직'해 인사적 조치가 어렵고 관련 증거도 퇴직과 함께 사라져 버리는 경우가 많다. 그런 측면에서 퇴직 징후를 미리 탐지하고 사전 조치를 하는 것은 매우 중요하다. 데이터의 최소 단위인 파일을 대상으로 이루어지는 사용자 행위를 기록하는 DRM 로그를 활용하면, 퇴직 예측이 장 단기적으로 가능하므로 유출 행위를 예방하고 사후 증적으로도 활용할 수 있다. 이 연구는 직원의 퇴직 징후를 예측해 사전에 모니터링하는 프로세스를 수립함으로써, 퇴직자의 기밀 유출로 인한 기업 손실을 최대한 방지할 수 있는 방안을 제시한다.

• 한국정보과학회:학술대회논문집
• /
• 한국정보과학회 2006년도 한국컴퓨터종합학술대회 논문집 Vol.33 No.1 (B)
• /
• pp.238-240
• /
• 2006

네트워크상에서 발생하는 다양한 형태의 대량의 데이터를 정확하고 효율적으로 분석하기 위해 설계되고 있는 마이닝 시스템들은 목표지향적으로 훈련데이터들을 어떻게 구축하여 다룰 것인지에 대한 문제보다는 대부분 얼마나 많은 데이터 마이닝 기법을 지원하고 이를 적용할 수 있는지 등의 기법에 초점을 두고 있다. 따라서, 점점 더 에이전트화, 분산화, 자동화 및 은닉화 되는 최근의 보안공격기법을 정확하게 탐지하기 위한 방법은 미흡한 실정이다. 본 연구에서는 유비쿼터스 환경 내에서 발생 가능한 문제 중 복잡하고 지능화된 침입패턴의 탐지를 위해 데이터 마이닝 기법과 결함허용방법을 이용하는 개선된 학습알고리즘과 후처리 방법에 의한 RTPID(Refinement Training and Post-processing for Intrusion Detection)시스템을 제안한다. 본 논문에서의 RTPID 시스템은 active learning과 post-processing을 이용하여, 네트워크 내에서 발생 가능한 침입형태들을 정확하고 효율적으로 다루어 분석하고 있다. 이는 기법에만 초점을 맞춘 기존의 데이터마이닝 분석을 개선하고 있으며, 특히 제안된 분석 프로세스를 진행하는 동안 능동학습방법의 장점을 수용하여 학습효과는 높이며 비용을 감소시킬 수 있는 자가학습방법(self learning)방법의 효과를 기대할 수 있다. 이는 관리자의 개입을 최소화하는 학습방법이면서 동시에 False Positive와 False Negative 의 오류를 매우 효율적으로 개선하는 방법으로 기대된다. 본 논문의 제안방법은 분석도구나 시스템에 의존하지 않기 때문에, 유사한 문제를 안고 있는 여러 분야의 네트웍 환경에 적용될 수 있다.더욱 높은성능을 가짐을 알 수 있다.의 각 노드의 전력이 위험할 때 에러 패킷을 발생하는 기법을 추가하였다. NS-2 시뮬레이터를 이용하여 실험을 한 결과, 제안한 기법이 AOMDV에 비해 경로 탐색 횟수가 최대 36.57% 까지 감소되었음을 알 수 있었다.의 작용보다 더 강력함을 시사하고 있다.TEX>로 최고값을 나타내었으며 그 후 감소하여 담금 10일에는 $1.61{\sim}2.34%$였다. 시험구간에는 KKR, SKR이 비교적 높은 값을 나타내었다. 무기질 함량은 발효기간이 경과할수록 증하였고 Ca는 $2.95{\sim}36.76$, Cu는 $0.01{\sim}0.14$, Fe는 $0.71{\sim}3.23$, K는 $110.89{\sim}517.33$, Mg는 $34.78{\sim}122.40$, Mn은 $0.56{\sim}5.98$, Na는 $0.19{\sim}14.36$, Zn은 $0.90{\sim}5.71ppm$을 나타내었으며, 시험구별로 보면 WNR, BNR구가 Na만 제외한 다른 무기성분 함량이 가장 높았다.O to reduce I/O cost by reusing data already present in the memory of other nodes. Finally, chunking and on-line compression mechanisms are included in both models. We demonstrate that we can obtain significantly high-performanc