• 한국컴퓨터정보학회논문지
• /
• 제20권5호
• /
• pp.41-51
• /
• 2015

인터넷을 통해 악의적으로 접근하는 공격자들은 자신의 노출을 최대한 감추기 위해 중간 호스트(소위, stepping stone으로 불림)를 경유한다. 본 논문에서는 텔넷, SSH, 그리고 rlogin 등 인터렉티브 서비스를 이용하여 리눅스 서버에 접근하여 다시 이러한 인터렉티브 서비스를 이용하여 다른 컴퓨터로 원격 접속을 시도하는 행위를 brute-force한 방법으로 검출하는 기법을 제안한다. 제안된 기법은 인터렉티브 서비스 데몬(Daemon) 프로세스의 시스템 콜(system call)을 감시하여 stepping stone 여부를 진단하기 때문에 ssh 접속과 같은 암호화 연결에서 대해서도 완벽한 검출 결과를 제공할 수 있다. 본 논문에서는 ptrace 시스템 콜과 간단한 쉘 스크립트를 작성하여 제안된 기법을 CentOS 6.5 64비트 환경에서 실질적으로 구현하였다. 마지막으로 몇몇 실험 시나리오를 대상으로 실시한 현장 운영을 통해 제안된 brute-force 기법을 검증하였다.

• 한국통신학회논문지
• /
• 제33권5B호
• /
• pp.344-355
• /
• 2008

본 논문에서는 차등서비스 망의 성능 평가 문제를 다룬다. 성공적인 성능 평가를 위하여 적절한 트래픽 모델에 의하여 네트워크상의 실제 트래픽을 정확히 나타낼 수 있는 능력이 필수 요소이다. 실제 트래픽 측정의 성질에 대한 많은 연구 결과는 웹과 텔넷, P2P 트래픽을 포함하여 인터넷 트래픽에 대한 장기간-의존성을 증명하였다. 장기간 의존성은 자기유사성에 의하여 효과적으로 표현될 수 있다. 본 논문에서는 중첩된 On-Off 소스 모델, FFT-FGN 모델과 RMD 모델에 대한 특성 분석을 기반으로, 중첩된 On-Off 소스 모델을 이용하여 자기유사트래픽 발생기를 설계하고 구현한다. 생성된 트래픽의 자기유사성은 TCPdump 데이터의 패킷 도착 간격을 조사하여 확인하였다. 또한 구현된 트래픽 발생기를 차등서비스 망의 성능평가에 적용하여 On/Off 모델의 $\alpha$ 값에 대한 성능이 영향과, CBQ(Class-Based Queueing)에 의한 EF(Expedited Forwarding)/BE(Best Effort) 클래스 트래픽의 성능을 관찰한다.

• 융합보안논문지
• /
• 제21권2호
• /
• pp.11-18
• /
• 2021

대다수의 기업은 유무형의 자산을 보호하기 위한 방안으로, IT서비스망에 다양한 보안 장비를 구축하여 정보보호 모니터링을 수행하고 있다. 그러나 서비스 망 고도화 및 확장 과정에서 보안 장비 투자와 보호해야 할 자산이 증가하면서 전체 서비스망에 대한 공격 노출 모니터링이 어려워지는 한계가 발생하고 있다. 이에 대응하기 위한 방안으로 외부자의 공격과 장비 불법통신을 탐지할 수 있는 다양한 연구가 진행되었으나, 대규모 서비스망에 대한 효과적인 서비스 포트 오픈 감시 및 불법 통신 모니터링 체계 구축에 대한 연구는 미진한 편이다. 본 연구에서는 IT서비스망 전체 데이터 흐름의 관문이 되는 네트워크 백본장비의 'Netflow 통계 정보'를 분석하여, 대규모 투자 없이 광범위한 서비스망의 정보 유출 및 불법 통신 시도를 감시할 수 있는 프레임워크를 제안한다. 주요 연구 성과로는 Netflow 데이터에서 운영 장비의 텔넷 서비스 오픈 여부를 6개의 ML 머신러닝 알고리즘으로 판별하여 분류 정확도 F1-Score 94%의 높은 성능을 검증하였으며, 피해 장비의 불법 통신 이력을 연관하여 추적할 수 있는 모형을 제안하였다.