• Proceedings of the Korean Society of Computer Information Conference
• /
• 2015.01a
• /
• pp.55-58
• /
• 2015

무선 센서 네트워크는 개방된 환경에 단거리 무선 통신으로 정보를 수집하는 센서 노드와 이를 수집하는 베이스 스테이션으로 운영된다. 이러한 센서 네트워크의 특징으로 인해 공격자를 통해 쉽게 훼손될 수 있으며 대표적인 공격방법으로 싱크홀 공격이 있다. LEAP은 싱크홀 공격에 대응하기 위해 네 종류의 키를 사용하여 노드 간 인증을 하도록 제안되었다. 이 기법은 보안성을 유지하기 위해 주기적으로 베이스 스테이션까지의 경로를 갱신한다. 본 논문에서는, 내부 싱크홀 공격을 LEAP과 같은 키의 인증을 통하여 탐지하는 기법을 제안한다. 제안 기법은 이전 노드, 다음 노드와의 키 인증을 통해 공격을 탐지한다. 공격이 탐지되면 해당 노드를 네트워크에서 제외하고 경로를 갱신하며 갱신된 경로를 통해 새로운 키를 배포한다. 그러므로 제안 기법은 이전 노드, 다음 노드와의 키 인증을 통해 싱크홀 공격을 탐지함으로써 전체 네트워크 보안성 향상을 목적으로 한다.

• Proceedings of the Korean Information Science Society Conference
• /
• 2003.10a
• /
• pp.715-717
• /
• 2003

DoS (Denial of Service) 공격은 주로 victim 호스트에 대량의 패킷을 보내거나 비정상적인 패킷을 보냄으로써 정상 사용자가 서비스를 이음하지 못하도록 하는 공격을 의미한다. 이러한 DoS 공격을 탐지하기 위해 다양한 기법들이 개발되어 왔으나, 공격의 종류와 방법은 시간이 흐를수록 매우 다양해지고 있어 이를 탐지하는데 한계가 있다. 본 논문에서는 네트워크 패킷의 헤더정보를 감사 자료로 가지고 있는 NIDS (Network-based Intrusion Detection System)에 데이터 마이닝 기법을 적용기켜 이러한 DoS 공격을 탐지할 수 있는 기법을 제안한다. 이 기법을 이용하면 빠르고 자동화된 방법으로 DoS 공격을 탐지할 수 있다. 본 논문에서는 제안 기법을 이용하여 SYN Flooding 공격과 Teardown 공격에 대한 탐지가 가능함을 보인다.

• Proceedings of the KSRS Conference
• /
• 2009.03a
• /
• pp.87-92
• /
• 2009

현재 미국 NASA에서는 전 지구에서 일별 발생하는 산불 탐지 영상(MOD14 product)을 제작, 배포하고 있다. 그러나, 이러한 MOD14 영상은 MODIS 자체의 낮은 공간해상도로 인하여 우리나라와 같이 소규모 산불이 발생하는 지역에서는 산불 탐지 정확도가 매우 낮게 나타났다. 본 연구에서는 기존의 MODIS 산불 지도에서 탐지되지 못한 소규모 산불을 대상으로 혼합화소분석기법(spectral mixed analysis)을 적용한 새로운 산불 탐지 알고리즘을 제시하였다. 새로운 산불 탐지 알고리즘은 진행산불 탐지 알고리즘과 연소지 탐지 알고리즘으로 구성된다. 소규모 산불이 170건 이상 발생한 2004년과 2005년 4월 남한지역을 대상으로 적용한 결과 1ha 규모의 연소지 탐지가 가능하게 되었으며, 연구 결과 소규모 진행산불과 연소지에 대해 70%이상의 탐지율을 확보하였으며, 40% 이하의 오탐지율(false alarm ratio)을 산출하였다.

• Journal of KIISE:Information Networking
• /
• v.29 no.6
• /
• pp.674-684
• /
• 2002

Anomaly detection techniques have teen devised to address the limitations of misuse detection approach for intrusion detection. An HMM is a useful tool to model sequence information whose generation mechanism is not observable and is an optimal modeling technique to minimize false-positive error and to maximize detection rate, However, HMM has the short-coming of login training time. This paper proposes an effective HMM-based IDS that improves the modeling time and performance by only considering the events of privilege flows based on the domain knowledge of attacks. Experimental results show that training with the proposed method is significantly faster than the conventional method trained with all data, as well as no loss of recognition performance.

• Journal of Korea Society of Industrial Information Systems
• /
• v.14 no.3
• /
• pp.22-29
• /
• 2009

In previous work, anomaly-based intrusion detection techniques have been widely used to effectively detect various intrusions into a computer. This is because the anomaly-based detection techniques can effectively handle previously unknown intrusion methods. However, most of the previous work assumed that the normal network connections are fixed. For this reason, a new network connection may be regarded as an anomalous event. This paper proposes a new anomaly detection method based on an association-mining algorithm. The proposed method is composed of two phases: intra-packet association mining and inter-packet association mining. The performances of the proposed method are comparatively verified with JAM, which is a conventional representative intrusion detection method.

• Journal of the Korea Society of Computer and Information
• /
• v.14 no.9
• /
• pp.47-54
• /
• 2009

Malicious codes, which are spread through WWW are now evolved with various hacking technologies However, detecting technologies for them are seemingly not able to keep up with the improvement of hacking and newly generated malicious codes. In this paper, we define the requirements of detecting systems based on the analysis of malicious codes and their spreading characteristics, and propose an improved detection scheme which monitors HTTP Outbound traffic and detects spreading malicious codes in real time. Our proposed scheme sets up signatures in IDS with confirmed HTML tags and Java scripts which spread malicious codes. Through the verification analysis under the real-attacked environment, we show that our scheme is superior to the existing schemes in satisfying the defined requirements and has a higher detection rate for malicious codes.

• Journal of Korean Society for Geospatial Information Science
• /
• v.21 no.2
• /
• pp.63-69
• /
• 2013

Change detection technique is essential to various applications of Very High-Resolution(VHR) satellite imagery and land monitoring. However, change detection accuracy of VHR satellite imagery can be decreased due to various geometrical dissimilarity. In this paper, the existing fusion evaluation indexes were revised and applied to improve VHR imagery based change detection accuracy between multi-temporal images. In addition, appropriate change detection methodology of VHR images are proposed through comparison of general change detection algorithm with cross-sharpened image based change detection algorithm. For these purpose, ERGAS, UIQI and SAM, which were representative fusion evaluation index, were applied to unsupervised change detection, and then, these were compared with CVA based change detection result. Methodologies for minimizing the geometrical error of change detection algorithm are analyzed through evaluation of change detection accuracy corresponding to image fusion method, also. The experimental results are shown that change detection accuracy based on ERGAS index by using cross-sharpened images is higher than these based on other estimation index by using general fused image.

• Proceedings of the Korean Information Science Society Conference
• /
• 2003.04a
• /
• pp.380-382
• /
• 2003

현재 네트워크 보안 취약점을 자동으로 검색해주는 다양한 도구들이 인터넷에 공개되어 있어 이러한 도구들을 이용한 취약점 정보수집 및 네트워크 검색공격으로 비롯된 해킹사고가 크게 증가하고 있다. 이와 같은 검색 공격에 대한 탐지 시스템은 "False-Positive(실제 공격이 아닌데 공격이라고 탐지)"와 "False-Negative(실제 공격인데 공격이 아니라고 탐지)"를 줄이는 것이 중요하다. 그러나 현재 공개되어 있는 실시간 스캔 탐지 시스템은 오탐율이 높을 분만 아니라 다양한 스캔 기법에 대해서 탐지를 할 수 없는 것이 사실이다. 본 논문에서는 다양한 포트스캐닝 기법기반의 공격에 대해서 탐지 가능하고 오탐율을 최소화한 실시간 스캔 탐지 시스템을 구현한다.실시간 스캔 탐지 시스템을 구현한다.

• Proceedings of the Korean Operations and Management Science Society Conference
• /
• 2006.05a
• /
• pp.1825-1831
• /
• 2006

본 논문에서는 반응 모델링에서의 집단 불균형을 해소하기 위한 이상탐지 기법의 활용을 제안한다. DMEF4 데이터셋의 카탈로그 발송 작업에 대하여 두 가지의 이상탐지 기법, one-class support vector machine (1-SVM)과 learning vector quantization for novelty detection (LVQ-ND)을 적용하여 이진분류기법들과 비교한다. 반응률이 낮은 경우에는 이상 탐지 기법들이 더 높은 정확도를 보인 반면, 반응률이 상대적으로 높은 경우에는 오분류 비용을 조정한 SVM 기법이 가장 좋은 성능을 보였다. 또한, 이상탐지 기법들은 발송비용이 낮은 경우에 높은 이익을 달성하였고, 발송비용이 높은 경우에는 SVM 모델이 가장 높은 이익을 달성하였다.

• Proceedings of the Korean Institute of Information and Commucation Sciences Conference
• /
• 2001.05a
• /
• pp.720-723
• /
• 2001

현재 인터넷 환경에서 크래킹은 보편화되어 있다. 이러한 크래킹을 탐지하거나 방어하기 위한 기법들은 대부분 기존의 불법 침입 유형을 분석하여 대응 알고리즘을 개발하는 것이 대부분이다. 현재 알려진 침입 탐지 기법은 비정상 탐지(Anomaly Detection)와 오용 탐지(Misuse Detection)로 분류할 수 있는데, 전자는 통계적 방법, 특징 추출 등을 이용하며, 후자는 조건부 화률, 전문가 시스템, 상태 전이 분석, 패턴 매칭 둥을 적용한다. 본 연구에서는 상태전이 기반의 연관 마이닝 기법을 이용한 침입 시나리오 탐지 알고리즘을 제안한다. 이를 위해 본 연구에서는 의사결정지원시스템에서 많이 적용한 연관 마이닝 기법을 여러 가지 불법 침입과 연관된 상태 정보를 분석할 수 있는 수정된 상태전이 알고리즘을 제시한다.