• Journal of KIISE:Information Networking
• /
• v.31 no.2
• /
• pp.171-178
• /
• 2004

Port scanning detection systems should rather satisfy a certain level of the requirement for system performance like a low rate of “False Positive” and “False Negative”, and requirement for convenience for users to be easy to manage the system security with detection systems. However, public domain Real Time Scan Detection Systems have high rate of false detection and have difficulty in detecting various scanning techniques. In addition, as current real time scan detection systems are based on command interface, the systems are poor at user interface and thus it is difficult to apply them to the system security management. Hence, we propose TkRTSD(Tcl/Tk Real Time Scan Detection System) that is able to detect various scan attacks based on port scanning techniques by applying a set of new filter rules, and minimize the rate of False Positive by applying proposed ABP-Rules derived from attacker's behavioral patterns. Also a GUI environment for TkRTSD is implemented by using Tcl/Tk for user's convenience of managing network security.

• Proceedings of the Korean Information Science Society Conference
• /
• 2003.04a
• /
• pp.380-382
• /
• 2003

현재 네트워크 보안 취약점을 자동으로 검색해주는 다양한 도구들이 인터넷에 공개되어 있어 이러한 도구들을 이용한 취약점 정보수집 및 네트워크 검색공격으로 비롯된 해킹사고가 크게 증가하고 있다. 이와 같은 검색 공격에 대한 탐지 시스템은 "False-Positive(실제 공격이 아닌데 공격이라고 탐지)"와 "False-Negative(실제 공격인데 공격이 아니라고 탐지)"를 줄이는 것이 중요하다. 그러나 현재 공개되어 있는 실시간 스캔 탐지 시스템은 오탐율이 높을 분만 아니라 다양한 스캔 기법에 대해서 탐지를 할 수 없는 것이 사실이다. 본 논문에서는 다양한 포트스캐닝 기법기반의 공격에 대해서 탐지 가능하고 오탐율을 최소화한 실시간 스캔 탐지 시스템을 구현한다.실시간 스캔 탐지 시스템을 구현한다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2015.04a
• /
• pp.380-383
• /
• 2015

오용 탐지모델 기반의 침입탐지시스템은 새로운 사이버 공격을 탐지하기 위해 지속적으로 탐지규칙을 생성해야 한다. 공격에 대한 특징을 정확히 식별하지 못하고 탐지규칙을 생성할 경우 많은 false positive를 발생시키며, 이로 인해 침해사고 대응시간이 늦어진다. 본 논문에서는 침입탐지시스템에서 탐지된 이벤트의 true positive와 false positive 데이터를 Keyword Tree의 node에 경로를 지나가는 횟수를 누적하는 값을 포함시킨 자료구조를 기반으로 비교분석하여 false positive를 감소시킬 수 있는 탐지규칙 패턴 생성 기법을 제안한다.

• The Journal of the Korea Contents Association
• /
• v.3 no.1
• /
• pp.31-38
• /
• 2003

In this paper, We propose detection mood generation system using learning to generate automatically detection model. It is improved manpower, efficiency in time. Proposed detection model generator system is consisted of agent system and manager system. Model generation can do existing standardization by genetic algorithm because do model generation and apply by new detection model. according to experiment results, detection model generation using learning proposed sees more efficiently than existing intrusion detection system. When intrusion of new type occur by implemented system and decrease of the False-Positive rate, improve performance of existing intrusion detection system.

• Review of KIISC
• /
• v.13 no.1
• /
• pp.68-76
• /
• 2003

네트웍 기반의 컴퓨터 보안이 컴퓨터 보안분야의 중요한 문제점으로 인식이 된 이래 네트웍 기반의 침입탐지 방법 중 클러스터링(Clustering)을 이용한 비정상 탐지기법(Anomaly detection)을 사용하는 시도들이 있었다. 네트웍 데이터 같은 대량의 데이터의 처리에 클러스터링을 통한 방법이 효과적인 결과를 나타내었음이 다수의 논문에서 제기되어왔으나 이 모델에서의 클러스터링 방법은 네트웍 정보로부터 추출한 정보들을 정상적인 클러스터들과 그렇지 않은 클러스터들 크게 두 집단으로 나누는 방법을 택했었는데 침입탐지율에서 만족할만한 결과를 얻지 못했었다. 본 논문에서 제안하고자 하는 모델에서는 이를 좀 더 세분화하여 네트웍 서비스(Network service)별로 정상적인 클러스터들과 그렇지 않은 클러스터들을 가지게되는 방법을 적용하여 기존 모델에서의 침입탐지율 결과의 개선을 도모해 보고자한다.

• Proceedings of the Korea Institutes of Information Security and Cryptology Conference
• /
• 2002.11a
• /
• pp.524-527
• /
• 2002

본 연구에서는 Support Vector Machine(SVM)을 이용한 호스트 기반 침임 탐지 방법을 제안한다. 침입 탐지는 침입과 정상을 판단하는 이진분류 문제이므로 이진분류에 뛰어난 성능을 발휘하는 SVM을 이용하여 침입 탐지 시스템을 구현하였다. 먼저 감사자료를 system call level에서 분석한 후, sliding window기법에 의해 패턴 feature를 추출하고 training set을 구성하였다. 여기에 SVM을 적용하여 decision model을 생성하였고, 이에 대한 판정 테스트 결과 90% 이상의 높은 침입탐지 적중률을 보였다.

• Proceedings of the Korean Information Science Society Conference
• /
• 2002.04a
• /
• pp.859.2-897
• /
• 2002

네트워크의 급격한 발전에 따라 컴퓨터의 보안 문제가 계속 대두되고 있다. 이러한 보안관리 시스템으로 이동 에이전트를 이용한 침입탐지 시스템이 계속 연구되어지고 있다. 본 논문에서는 기존의 침입탐지시스템을 고찰하고 작은 에이전트의 그룹으로 구성된 자율성을 가진 이동 에이전트를 기반으로 한 모듈 접근방식의 시스템을 위한 모델링을 제공한다. 제안된 모델은 침입 정보를 동적으로 수집하고 탐지 에이전트를 학습시키고 탐지한다. 이동 에이전트는 통신 비용절감, 로컬자원 사용의 한계에서의 독립, 관리의 편의성 제공. 비동기 연산 등 다양한 이점을 가지고, 분산 연산을 위만 유동성 있는 구조를 제공한다.

• Journal of the Korea Society of Computer and Information
• /
• v.19 no.1
• /
• pp.85-94
• /
• 2014

This paper studied the detection technique using file DNA-based behavior pattern analysis in order to minimize damage to user system by malicious programs before signature or security patch is released. The file DNA-based detection technique was applied to defend against zero day attack and to minimize false detection, by remedying weaknesses of the conventional network-based packet detection technique and process-based detection technique. For the file DNA-based detection technique, abnormal behaviors of malware were splitted into network-related behaviors and process-related behaviors. This technique was employed to check and block crucial behaviors of process and network behaviors operating in user system, according to the fixed conditions, to analyze the similarity of behavior patterns of malware, based on the file DNA which process behaviors and network behaviors are mixed, and to deal with it rapidly through hazard warning and cut-off.

• Journal of the Korea Institute of Information Security & Cryptology
• /
• v.28 no.4
• /
• pp.963-974
• /
• 2018

With the growing interest in cryptocurrency such as bitcoin, the blockchain technology has attracted much attention in various applications as a distributed security platform with excellent security. However, Cryptojacking, an attack that hijack other computer resources such as CPUs, has occured due to vulnerability to the Cryptomining process. In particular, browser-based Cryptojacking is considered serious because attacks can occur only by visiting a Web site without installing it on a visitor's PC. The current Cryptojacking detection system is mostly signature-based. Signature-based detection methods have problems in that they can not detect a new Cryptomining code or a modification of existing Cryptomining code. In this paper, we propose a Cryptojacking detection solution using a dynamic analysis-based that uses a headless browser to detect unknown Cryptojacking attacks. The proposed dynamic analysis-based Cryptojacking detection system can detect new Cryptojacking site that cannot be detected in existing signature-based Cryptojacking detection system and can detect it even if it is called or obfuscated by bypassing Cryptomining code.

• Proceedings of the Korea Water Resources Association Conference
• /
• 2023.05a
• /
• pp.2-2
• /
• 2023

기후변화가 가속화로 인해 수재해의 빈도와 강도 예측이 어려워짐에 따라 실시간 홍수 모니터링에 대한 수요가 증가하고 있다. 합성개구레이다는 광원과 날씨에 무관하게 촬영이 가능하여 수재해 발생시에도 영상을 확보할 수 있다. 합성개구레이다를 활용한 수체 탐지 알고리즘 개발이 활발히 연구되어 왔고, 딥러닝의 발달로 CNN을 활용하여 높은 정확도로 수체 탐지가 기능해졌다. 하지만, CNN 기반 수체 탐지 모델은 훈련시 높은 정량적 정확성 지표를 달성하여도 추론 후 정성적 평가시 경계와 소하천에 대한 탐지 정확성이 떨어진다. 홍수 모니터링에서 특히 중요한 정보인 경계와 좁은 하천에 대해서 정확성이 떨어짐에 따라 실생활 적용이 어렵다. 이에 경계를 강화한 적대적 학습 기반의 수체 탐지 모델을 개발하여 더 세밀하고 정확하게 탐지하고자 한다. 적대적 학습은 생성적 적대 신경망(GAN)의 두 개의 모델인 생성자와 판별자가 서로 관여하며 더 높은 정확도를 달성할 수 있도록 학습이다. 이러한 적대적 학습 개념을 수체 탐지 모델에 처음으로 도입하여, 생성자는 실제 라벨 데이터와 유사하게 수체 경계와 소하천까지 탐지하고자 학습한다. 반면 판별자는 경계 거리 변환 맵과 합성개구레이다 영상을 기반으로 라벨데이터와 수체 탐지 결과를 구분한다. 경계가 강화될 수 있도록, 면적과 경계를 모두 고려할 수 있는 손실함수 조합을 구성하였다. 제안 모델이 경계와 소하천을 정확히 탐지하는지 판단하기 위해, 정량적 지표로 F1-score를 사용하였으며, 육안 판독을 통해 정성적 평가도 진행하였다. 기존 U-Net 모델이 탐지하지 못하던 영역에 대해 제안한 경계 강화 적대적 수체 탐지 모델이 수체의 세밀한 부분까지 탐지할 수 있음을 증명하였다.