• Proceedings of the Korean Information Science Society Conference
• /
• 2002.10c
• /
• pp.643-645
• /
• 2002

현재 웹기반의 네트워크 침입 탐지 시스템은 관리자가 네트워크가 연결된 상태어서 관리자가 컴퓨터 앞에서 감시하고 그에 적절한 대응을 해야 하지만 관리자가 자리를 비웠을 경우에는 그러한 침입에 신속하게 대응하기가 어렵다. 하지만 무선 인터넷의 발달로 인하여 관리자가 무선 단말기 상에서 네트워크 침입탐지를 감지하고 그에 적절한 대응을 할 수 있게끔 하기 위해서 본 논문을 작성하게 되었다. 본 논문에서는 WAP Push Framework 기술을 바탕으로 해서 모바일 기반에서 시스템 관리자가 장애탐지, 네트워크 모니터링, IP관리 등을 직접 무선 단말기 상에서 관리함으로써 IDS관리를 좀더 효율적으로 관리할 수 있을 것이다.

• Proceedings of the Korean Information Science Society Conference
• /
• 2003.10a
• /
• pp.703-705
• /
• 2003

파일 무결성 검사는 시스템 자원의 안정성 여부를 판단할 수 있는 가장 확실한 방법이지만, 감사가 이루어질 때마다 매번 모든 데이터를 검사해야 하며, 관리자의 역량에 않은 부분을 의존하였다. 이는 최대한 빠른 대응을 요하는 침입 복구 시스템에 적합하지 않다. 또한 손상 자원의 복구에 필요한 자원의 상태 정보는 수집 가능하지만, 침입을 차단하기 위해서 침입 행위 주체에 대한 정보는 수집할 수 없다. 위의 두가지 문제를 해결하기 위해 파일 무결성 검사와 시스템 호출 감시 기법을 연동한다. 시스템 호출 강시를 통해서 자원에 대한 침입 행위 주체의 정보를 수집하고 파일 무결성 검사를 하여, 침입 차단 및 복구를 위한 감사 자료를 수집한다. 또한 보다 효과적으로 침입을 탐지하고 복구하기 위하여 여러 침입 탐지 시스템과 연동하여 침입 복구 시스템을 구성할 수 있도록 탐지 메시지를 IDMEF 형식으로 보고한다.

• Proceedings of the Korean Institute of Intelligent Systems Conference
• /
• 2003.05a
• /
• pp.229-232
• /
• 2003

나날이 발전하는 인터넷 기반의 네트워크 환경에서 보안의 중요성은 아무리 강조해도 지나치지 않다. 바이러스와 해킹 기술의 발전 속도는 항상 방어자의 능력을 앞지르고 있으며, 공격자들의 능력과 무관한 해킹 툴의 보급은 누구나가 해커가 될 수 있도록 하는데 일조하고 있다. 이제 더 이상 해킹과 바이러스로부터 안전지대는 없다고 해도 과언이 아니다. 이에 본 논문에서는 일정한 환경에서의 침입에 대해 학습을 하여 그 침입을 탐지할 수 있는 디텍터를 생성할 수 있는 알고리즘을 제안한다. 공격 유형의 수에 비해 적은, 그러나 인공 면역계의 T 세포 형성과정인 부정선택을 이용한 학습알고리즘을 기반으로 생성된 디텍터들은 상대적으로 다양한 공격의 침입을 탐지한다. 이의 유효성을 시뮬레이션을 이용하여 확인한다.

• The KIPS Transactions:PartC
• /
• v.15C no.4
• /
• pp.239-244
• /
• 2008

It is not enough to reduce damages of computer systems by just patching vulnerability codes after incidents occur. It is necessary to detect and block intrusions by boosting the durability of systems even if there are vulnerable codes in systems. This paper proposes a robust real-time intrusion detection method by monitoring root privileged processes instead of system administrators in Linux systems. This method saves IP addresses of users in the process table and monitors IP addresses of every root privileged process. The proposed method is verified to protect vulnerable programs against the buffer overflow by using KON program. A configuration protocol is proposed to manage systems remotely and host IP addresses are protected from intrusions safely through this protocol.

• Proceedings of the Korean Institute of Intelligent Systems Conference
• /
• 2001.05a
• /
• pp.171-174
• /
• 2001

기존의 침입 탐지 시스템(Intrusion Detection System)은 점점 복잡해져 가는 네트워크, 다양화되고 지능화되는 해킹 기술과 바이러스의 공격으로부터 시스템을 보호하기 위해 처리해야 하는 정보의 양과 복잡한 알고리즘으로 인해 실시간 서비스의 구현이 힘들다는 문제점이 있다. 본 논문에서는 시스템, 네트워크 리소스의 효율적인 분배를 통해 실시간으로 침입자를 탐지할 수 있는 네트워크 토폴로지 즉, 디지털 면역 네트워크(Digital Immune Network, DIN)를 제시한다. DIN은 침입의 탐지를 위하여 생체 면역 시스템의 B세포, T세포 개념의 알고리즘이 적용되고, 견고성 향상을 위해 메쉬 네트워크 구조가 적용되어 호스트 연합(Host Alliance)을 구성함으로써 호스트들의 병렬처리를 통해 리소스 낭비를 막고 실시간 서비스가 제공될 수 있도록 하였다.

• Proceedings of the Korean Institute of Information and Commucation Sciences Conference
• /
• 2007.06a
• /
• pp.794-798
• /
• 2007

As the development of information technology and thus the growth of security incidents, so implement are coming out for defense the intrusion about the system. However the error detection program has got a difficulty to find out the intrusions because that has become so many false alert messages. In this study is how to reduce the messages for the false alerts which come from the internal of the network and using the Fuzzy techniques for reduce the uncertainty of the judge. Therefore it makes the model which can decrease false alert message for better detection.

• Journal of KIISE:Information Networking
• /
• v.30 no.3
• /
• pp.397-406
• /
• 2003

As the information technology grows interests in the intrusion detection system (IDS), which detects unauthorized usage, misuse by a local user and modification of important data, has been raised. In the field of anomaly-based IDS several artificial intelligence techniques such as hidden Markov model (HMM), artificial neural network, statistical techniques and expert systems are used to model network rackets, system call audit data, etc. However, there are undetectable intrusion types for each measure and modeling method because each intrusion type makes anomalies at individual measure. To overcome this drawback of single-measure anomaly detector, this paper proposes a multiple-measure intrusion detection method. We measure normal behavior by systems calls, resource usage and file access events and build up profiles for normal behavior with hidden Markov model, statistical method and rule-base method, which are integrated with a rule-based approach. Experimental results with real data clearly demonstrate the effectiveness of the proposed method that has significantly low false-positive error rate against various types of intrusion.

• Proceedings of the Korea Institutes of Information Security and Cryptology Conference
• /
• 2003.12a
• /
• pp.153-159
• /
• 2003

수많은 정보자산들이 네트워크를 통해 연결된 환경에서 사이버 공격으로부터 정보자산들을 효과적으로 방어하기 위한 기본적인 수단으로 네트워크 침입탐지 시스템과 취약점 분석 시스템이 활용되고 있다. 그러나 네트워크 보안을 위해 개별적으로 운용되고 있는 네트워크 침입탐지 시스템과 취약점 분석 시스템이 보안관리 측면에서 오히려 보안 운용자의 부담을 가중시키는 요인으로 작용하고 있는 것이 현실이다. 따라서, 본 연구에서는 네트워크 보안 관리에 필수적인 정보 요소인 네트워크 자산, 취약점 및 위협이 갖는 의미와 상관성을 분석하고, 네트워크 침입탐지 시스템과 취약점 분석 시스템이 제공하는 정보들을 상호 연동하여 네트워크 침입탐지 시스템이 탐지하는 불필요한 경보정보의 양을 대폭 줄여 Log관리를 최적화할 수 있는 시스템을 구축하기 위한 설계방법을 제시하였다.

• Proceedings of the Korean Information Science Society Conference
• /
• 2006.06c
• /
• pp.304-306
• /
• 2006

21세기 정보혁명을 바탕으로 전쟁의 양상은 정보전, 네트워크 및 컴퓨터 중심의 사이버전과 같은 새로운 전쟁 패러다임으로 변화하고 있다. 이러한 정보전에 대비하여 국방정보체계에 다양한 정보보호시스템을 설치하여 사용하고 있다. 그러나 국방정보체계 환경에 현재까지 배치된 정보보호시스템들은 침해 사고에 대한 탐지 및 보고 등의 수동적인 대응만을 지원한다. 그러므로 발생한 공격에 대한 대응을 마련하더라도 동일한 공격자가 동일한 목표 시스템에 대하여 또 다른 공격 기술을 이용하여 재침입이 가능하다. 이를 방어하기 위하여 공격에 대한 능동적인 대응이 필요하다. 대표적인 능동 대응 기술인 침입자 역추적은 시스템 및 네트워크에 대하여 공격을 시도하는 침입자의 네트워크 상의 실제 위치를 추적하는 기술이다. 침해 사고를 근본적으로 차단하기 위하여 침입자의 실제 신분 확인이 필수적이다. 이를 위하여 본 논문에서는 침입자 역추적 기술을 분석하고 국방정보체계 환경을 위한 세션분석기반의 침입자 역추적 기술을 제안한다. 또한 이 기술을 기반으로 구현한 침입자 역추적 시스템을 소개한다.

• Journal of KIISE:Information Networking
• /
• v.33 no.2
• /
• pp.113-130
• /
• 2006

Recently with the explosive growth of Internet applications, the attacks of hackers on network are increasing rapidly and becoming more seriously. Thus information security is emerging as a critical factor in designing a network system and much attention is paid to Network Intrusion Detection System (NIDS), which detects hackers' attacks on network and handles them properly However, the performance of current intrusion detection system cannot catch the increasing rate of the Internet speed because most of the NIDSs are implemented by software. In this paper, we propose a new high performance network intrusion using Network Processor. To achieve fast packet processing and dynamic adaptation of intrusion patterns that are continuously added, a new high performance network intrusion detection system using Intel's network processor, IXP1200, is proposed. Unlike traditional intrusion detection engines, which have been implemented by either software or hardware so far, we design an optimized architecture and algorithms, exploiting the features of network processor. In addition, for more efficient detection engine scheduling, we proposed task allocation methods on multi-processing processors. Through implementation and performance evaluation, we show the proprieties of the proposed approach.