• Journal of the Korea Society of Computer and Information
• /
• v.11 no.5 s.43
• /
• pp.157-164
• /
• 2006

The Recently, most of Internet attacks are zero-day types of the unknown attacks by Malware. Using already known Misuse Detection Technology is hard to cope with these attacks. Also, the existing information security technology reached the limits because of various attack's patterns over the Internet, as web based service became more affordable, web service exposed to the internet becomes main target of attack. This paper classifies the traffic type over the internet and suggests the Threat Management System(TMS) including the anomaly intrusion detection technologies which can detect and analyze the anomaly sign for each traffic type.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2005.11a
• /
• pp.901-904
• /
• 2005

인터넷이 생활과 밀접하게 연결되면서 인터넷에 대한 공격이 엄청난 피해를 야기시킬 수 있게 되었다. 웜은 스스로를 복제하여 인터넷 상의 취약한 호스트들을 공격하여 여러가지 피해를 야기시키고 있다. 웜을 탐지하고 방어하기 위해 inbound/outbound 스캔률 검사, 웜 시그니처 검사와 같은 네트워크 기반 침입탐지 방법과 웜 생성 파일 검사, 파일 무결성 검사와 같은 호스트 기반 침입탐지 방법이 제안되었다. 하지만 단일 시스템에서의 웜 탐지는 한계가 있을 뿐만 아니라 대응에 있어서도 더딜 수 밖에 없다. 본 논문에서는 웜 탐지 시스템을 분산 배치시킴으로써 탐지의 정확성을 확보하였고 웜 경보를 모든 웜 탐지 시스템에 송신함으로써 대응에 있어 신속성을 제공해준다. 뿐만 아니라 취약성 데이터베이스를 통해 최신으로 갱신만되어 있다면 제로데이 공격에도 대응할 수 있는 메커니즘을 제공한다.

• The Journal of the Institute of Internet, Broadcasting and Communication
• /
• v.16 no.6
• /
• pp.287-294
• /
• 2016

APT attack aimed at the interruption of information and communication facilities and important information leakage of companies. it performs an attack using zero-day vulnerabilities, social engineering base on collected information, such as IT infra, business environment, information of employee, for a long period of time. Fragmentary response to cyber threats such as malware signature detection methods can not respond to sophisticated cyber-attacks, such as APT attacks. In this paper, we propose a cyber intrusion detection model for countermeasure of APT attack by utilizing heterogeneous system log into big-data. And it also utilizes that merging pattern-based detection methods and abnormality detection method.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2018.05a
• /
• pp.145-148
• /
• 2018

클라우드 컴퓨팅 기반 사물인터넷 환경은 급격히 증가하는 통신량, 기종 간 이질성, 지연 시간과 같은 문제점으로 인해 어려움을 겪고 있다. 이를 해결하기 위한 대표적인 방법 중 하나는 분산 모델을 통해 클라우드 컴퓨팅 환경에 집중된 네트워크 또는 컴퓨팅 파워를 분산시키는 포그 컴퓨팅 (Fog Computing) 또는 에지 컴퓨팅 (Edge Computing)을 활용하는 것이다. 그러나 이 분산형 네트워크의 단점을 보완하기 위해 사물인터넷 (IoT, Internet of Things)과 가장 가까이 존재하는 네트워크 모델로써 미스트 컴퓨팅 (Mist Computing)이 탄생하였다. 그러나 다양한 프로토콜에 의해 통신이 이루어지는 사물인터넷 환경에는 수천 가지 제로데이 공격이 존재한다. 이 공격들의 대부분은 이전에 알려진 공격의 작은 변형체이다. 이러한 공격을 효과적으로 막기 위해 사물인터넷 환경에서의 침입 탐지 시스템은 지능적이어야 한다. 따라서 본 논문에서는, 미스트 컴퓨팅 환경에서 새로운 또는 지속적으로 변화하는 사물인터넷 대상 공격을 효과적으로 방어하기 위한 인공지능 기반 침입 탐지 시스템을 제안한다.

• Journal of the Korea Academia-Industrial cooperation Society
• /
• v.20 no.7
• /
• pp.613-621
• /
• 2019

Recently, with the development of the Internet of Things (IoT) and cloud computing technologies, security threats have increased as malicious codes infect IoT devices, and new malware spreads ransomware to cloud servers. In this study, we propose a threat-detection technique that checks obfuscated script patterns to compensate for the shortcomings of conventional signature-based and behavior-based detection methods. Proposed is a malicious code-detection technique that is based on malicious script-pattern analysis that can detect zero-day attacks while maintaining the existing detection rate by registering and checking derived distribution patterns after analyzing the types of malicious scripts distributed through websites. To verify the performance of the proposed technique, a prototype system was developed to collect a total of 390 malicious websites and experiment with 10 major malicious script-distribution patterns derived from analysis. The technique showed an average detection rate of about 86% of all items, while maintaining the existing detection speed based on the detection rule and also detecting zero-day attacks.

• Proceedings of the Korean Information Science Society Conference
• /
• 2006.06c
• /
• pp.262-264
• /
• 2006

오늘날 빠른 정보화로 인한 역기능의 발생으로 인하여 침입탐지, 침입차단 및 방지 시스템들의 다양한 보안 솔루션을 도입하여 사용하고 있다. 하지만 제로 데이 공격과 같이 빠르게 확산될 경우 보안 장비에 빠르게 정책을 적용해야 하지만 보안 장비마다 각기 다른 접근 및 제어 형식으로 인하여 빠르게 대처하고 있지 못하다. 본 논문에서는 이러한 문제점을 보완하기 위해 한번의 정책 주입으로 대규모 네트워크에 설치되어 있는 보안 장비 및 네트워크 장비에 보안정책을 주입 시킬 수 있는 일괄 보안정책 관리 시스템에 대한 설계 및 구현에 대하여 논하고자 한다.

• Review of KIISC
• /
• v.18 no.3
• /
• pp.60-73
• /
• 2008

인터넷에서 발생하고 있는 심각한 문제의 대부분이 멀웨어(Malware)로 인하여 발생하고 있으며, 전 세계적으로 전파되고 그 영향은 점점 악화되고 있다. 이 악성소프트웨어는 점점 더 복잡하여 지고 있으며, 이에 따라 멀웨어에 대한 분석도 어렵게 되고 있다. 그러므로 멀웨어 탐지 기술 및 그 특징에 대한 분석이 절실히 요구된다. 본 논문에서는 효과적인 멀웨어에 대한 탐지 및 대응기법 수립을 위하여 인터넷 멀웨어를 분류하기 위한 방법과 탐지 기법에 대하여 분석 및 고찰하고자한다. 또한 제로-데이 공격에 대응하고자 개발된 ZASMIN(N(Zero-day Attack Signature Manufacture Infrastructure) 시스템의 특징에 대하여도 간략히 기술한다.

• Journal of the Korea Institute of Information Security & Cryptology
• /
• v.25 no.5
• /
• pp.1027-1041
• /
• 2015

Recently, there are rapidly increasing cases of APT (Advanced Persistent Threat) attacks such as Verizon(2010), Nonghyup(2011), SK Communications(2011), and 3.20 Cyber Terror(2013), which cause leak of confidential information and tremendous damage to valuable assets without being noticed. Several anomaly detection technologies were studied to defend the APT attacks, mostly focusing on detection of obvious anomalies based on known malicious codes' signature. However, they are limited in detecting APT attacks and suffering from high false-negative detection accuracy because APT attacks consistently use zero-day vulnerabilities and have long latent period. Detecting APT attacks requires long-term analysis of data from a diverse set of sources collected over the long time, real-time analysis of the ingested data, and correlation analysis of individual attacks. However, traditional security systems lack sophisticated analytic capabilities, compute power, and agility. In this paper, we propose a Fast Data based real-time abnormal behavior detection system to overcome the traditional systems' real-time processing and analysis limitation.

• The Journal of Korean Institute of Communications and Information Sciences
• /
• v.37C no.10
• /
• pp.949-964
• /
• 2012

Our PC have been under constant threat of malicious codes and viruses today. As many new ways of cyber attacks are being developed, such as zero-day-attack, nobody's PC is guaranteed to be safe from the attacks. In case where a user uses the existing verification protocol on a unsecured PC, the user's verification information may well be threatened by sniffing or man-in-the-middle attack. Especially, deadly attacks like memory hacking would give hard time for users to even recognize any symptom of virus infection. Therefore, this paper designs secured QR-Login user verification protocol for smart devices that are ready to communicate with QR-Code and proposes a way to keep critical data safe when using the internet. This way, user would be able to safeguard his/her critical data even when under attack by unknown attacks and safely carry out extremely sensitive task, like financial trading, on the device.

• Journal of the Korea Institute of Information Security & Cryptology
• /
• v.23 no.5
• /
• pp.939-946
• /
• 2013

This paper proposes normal behavior profiling methods for anomaly detection in IEC 61850 based substation network. Signature based security solutions, currently used primarily, are inadequate for APT attack using zero-day vulnerabilities. Recently, some researches about anomaly detection in control network are ongoing. However, there are no published result for IEC 61850 substation network. Our proposed methods includes 3-phase preprocessing for MMS/GOOSE packets and normal behavior profiling using one-class SVM algorithm. These approaches are beneficial to detect APT attacks on IEC 61850 substation network.