• 한국통신학회논문지
• /
• 제40권3호
• /
• pp.575-585
• /
• 2015

응용 레벨 트래픽 분류는 안정적인 네트워크 운영과 자원 관리를 위해서 필수적으로 요구된다. 트래픽분류에 있어 페이로드 시그니쳐 기반 응용 레벨 트래픽 분류 방법은 고속 링크의 트래픽을 실시간으로 처리하는 과정에 서 헤더 정보 및 통계 정보 이용 방법론에 비해 상대적으로 높은 부하를 발생시키고 시그니쳐 개수가 증가 할수록 트래픽의 발생 특징과 각 시그니쳐의 가치를 반영하지 않은 매칭 방법 때문에 분석 속도가 감소하는 단점이 있다. 본 논문에서는 페이로드 시그니쳐 기반 응용 트래픽 분석 속도의 향상을 위하여 각 페이로드 시그니쳐 별 트래픽 분석 효율을 고려하여 리스트에 존재하는 시그니쳐 순서를 재정렬 하는 방법을 제안한다. 제안하는 방법은 재정렬되지 않은 시그니쳐 리스트를 적용했을 때 보다 평균 30%정도의 분석 속도 향상을 얻을 수 있었다.

• 정보처리학회논문지C
• /
• 제16C권5호
• /
• pp.555-562
• /
• 2009

악성코드 사고 조사에서 가장 중요한 것은 신속하게 악성코드를 탐지하고 수집하는 것이다. 기존의 조사 방법은 시그니쳐 기반의 안티바이러스 소프트웨어를 이용하는 것이다. 시그니쳐 기반의 탐지는 실행파일 패킹, 암호화 등을 통해 쉽게 탐지를 회피할 수 있다. 그렇기 때문에 악성코드 조사에서 패킹을 탐지하는 것도 중요한 일이다. 패킹탐지는 패킹 시그니쳐 기반과 엔트로피 기반의 탐지 방법이 있다. 패킹 시그니쳐기반의 탐지는 새로운 패킹을 탐지하지 못하는 문제가 있다. 그리고 엔트로피 기반의 탐지 방법은 오탐의 문제가 존재한다. 본 논문에서는 진입점 섹션의 엔트로피 통계와 패킹의 필수적인 특징인 'write' 속성을 이용하여 패킹을 탐지하는 기법을 제시한다. 그리고 패킹 PE 파일을 탐지하는 도구를 구현하고 도구의 성능을 평가한다.

• 한국통신학회논문지
• /
• 제34권11B호
• /
• pp.1234-1244
• /
• 2009

오늘날의 네트워크에서는 다양한 응용의 등장으로 인해 트래픽이 복잡 다양해지고 있다. 이러한 상황 속에서 트래픽의 응용 별 분류에 대한 중요성은 날이 갈수록 증가하고 있다. 트래픽의 응용 별 분류에 대한 요구에 따라 기존에도 많은 연구가 이루어졌었다. 포트 기반의 분류, 페이로드 기반의 분류, 머신러닝 기반의 분류 방법들이 제안되었는데 아직 트래픽을 완벽하게 분류해내는 방법론은 개발되지 않은 실정이다. 최근 연구 중에는 플로우의 통계 정보를 이용한 방법론이 많이 연구되고 있다. 본 논문에서는 통계 시그니쳐를 통한 응용 트래픽 분류 방법론을 제안하고자 한다. 플로우 중 첫 N개의 패킷의 페이로드 크기와 방향을 이용하여 통계 시그니쳐를 생성하고, 이를 이용하여 응용 트래픽을 분류한다. 그리고 검증 시스템을 통해 본 분류 방법론이 높은 정확도의 분류 방법론이라는 것을 보인다.

• 한국통신학회논문지
• /
• 제39B권4호
• /
• pp.191-199
• /
• 2014

최근 웹 기반의 다양한 응용과 서비스의 제공으로 인해 HTTP 트래픽의 양이 급격하게 증가하고 있다. 따라서 안정적인 네트워크 관리를 위해서 HTTP 트래픽에 대한 분석이 필수적으로 요구된다. HTTP 트래픽을 다양한 관점에서 분석하기 위해서는 다양한 시그니쳐 기반 분석 방법 중에 페이로드 시그니쳐 기반 분석 방법이 효과적이다. 하지만 트래픽 분류 있어서 페이로드 시그니쳐 기반 방법은 고속 링크의 대용량 트래픽을 실시간으로 처리하는 과정에서 헤더 정보 및 통계 정보 이용 방법론에 비해 상대적으로 높은 부하를 발생시키며 처리 속도가 느린 단점을 갖는다. 따라서 본 논문에서는 HTTP 시그니쳐의 계층 구조에 기반하여 HTTP 트래픽을 다양하게 분류할 수 있는 방법론을 제시한다. 또한 계층 구조의 특징을 반영하여 패턴 매칭의 처리 속도 향상을 위한 방법을 제안한다. 제안하는 방법을 학내망의 실제 트래픽에 적용하여 평가한 결과, Aho-Corasick 알고리즘 보다 더 빠른 처리속도를 보일 수 있었다.

• 정보처리학회논문지C
• /
• 제18C권4호
• /
• pp.243-250
• /
• 2011

네트워크의 고속화와 다양한 서비스의 등장으로 오늘날의 네트워크 트래픽은 복잡 다양해지고 있다. 효율적인 네트워크 관리를 위해서는 네트워크에서 발생하는 트래픽에 대한 다양한 분석이 필요하다. QoS, SLA와 같은 정책을 적용하기 위해서는 트래픽 분석 중에서도 트래픽 분류의 중요성이 크다. 현재까지 트래픽 분류에 관한 연구가 활발히 진행되어 왔는데 최근에는 플로우의 통계 정보를 이용한 트래픽 분류 방법론이 많이 연구되고 있다. 본 논문에서는 기존 연구에서 제안한 페이로드 크기 분포를 이용한 트래픽 분류 방법의 문제점인 낮은 분석률 및 정확도를 향상시키는 방법을 제안한다. 본 논문에서 제안하는 방법은 PSD 충돌로 인해 분류하지 못하는 트래픽을 IP와 port정보를 이용하여 추가적으로 분류하여 분석률을 향상시키고 기존 분류 방법에서 트래픽 분류를 위해 사용되던 플로우와 시그니쳐 사이의 거리 측정 방법을 벡터 거리 측정에서 패킷 별 거리 측정으로의 변경으로 통해 분류 방법의 정확도를 향상시킨다. 제안한 방법은 학내 망에서의 실험을 통해 기존 알고리즘에 비해 향상된 알고리즘의 성능을 검증한다.

• 한국통신학회논문지
• /
• 제38B권7호
• /
• pp.519-525
• /
• 2013

응용 레벨 트래픽 분류는 안정적인 네트워크 운영과 자원 관리를 위해서 필수적으로 요구된다. 트래픽분류에 있어서 페이로드 시그니쳐 기반 응용 레벨 트래픽 분류 방법은 고속 링크의 트래픽을 실시간으로 처리하는 과정에서 헤더 정보 및 통계 정보 이용 방법론에 비해 상대적으로 높은 부하를 발생시키며 처리 속도가 느린 단점을 갖는다. 본 논문에서는 페이로드 시그니쳐 기반 트래픽 분류 시스템의 처리 속도를 향상 위하여 응용 트래픽의 지역성을 이용한 서버 IP, Port캐쉬 기반 트래픽 분석 시스템을 제안한다. 제안하는 방법을 학내 망의 실제 트래픽에 적용하여 최대 10배 이상의 처리 속도 향상과 10% 이상의 플로우 분석률을 향상 시킬 수 있었다.

• 정보처리학회논문지:컴퓨터 및 통신 시스템
• /
• 제2권8호
• /
• pp.335-342
• /
• 2013

네트워크의 고속화와 다양한 서비스의 등장으로 오늘날의 네트워크 트래픽은 복잡 다양해지고 있다. 효율적인 네트워크 관리를 위해서 QoS, SLA와 같은 정책을 적용하기 위해서는 트래픽 분석 중에서도 응용 트래픽 분류의 중요성이 크다. 현재까지 트래픽 분류에 관한 연구가 활발히 진행되어 왔는데 최근에는 플로우의 통계 정보를 이용한 트래픽 분류 방법론이 많이 연구되고 있다. 하지만 플로우의 통계 정보를 이용한 트래픽 분류 방법론에는 필히 고려해야 할 여러 문제점이 있다. 본 논문에서는 정답지 트래픽 분석을 통해 통계 정보 기반 트래픽 분석 방법론의 해결해야 하는 문제점들을 분석하고 그 해결방안에 대해 제안한다. 통계 정보 기반 트래픽 분석 방법론에서 필히 해결해야 할 문제점은 총 네 가지로 Feature들의 거리 측정 방법과 대표값 추출 방법, TCP 세션의 이상동작, 그리고 패킷 별 가중치이다. 제안하는 방법은 선정한 통계 시그니쳐 기반 트래픽 분석 시스템을 이용한 학내 망에서의 실험을 통해 그 성능을 검증한다.

• 한국통신학회논문지
• /
• 제36권6B호
• /
• pp.600-607
• /
• 2011

인터넷의 대중화로 네트워크 트래픽은 지속적으로 증가하고 복잡해지고 있다. 따라서 네트워크 자원의 효율적인 사용을 위한 응용 트래픽 분석의 중요성은 더욱 강조되고 있다. 본 논문에서는 기존 시그니쳐 기반의 인터넷 트래픽 분석 방법의 한계점을 극복하고 분석 경과의 성능 향상(분석률)을 위해 플로우 상관관계를 이용한 트래픽 분석 방법을 제안한다. 본 논문에서 제안하는 방법은 시그니쳐 기반 분석기의 결과를 입력 받아 분석된 플로우와 그렇지 않은 플로우을 간의 상관관계를 파악하고 이를 통해 분석되지 않은 플로우를 분석한다. 총 4가지(서버-클라이언트 발생 시간, 호스트-호스트, 통계) 세부 분석 방법과 이를 통합한 플로우 상관관계 기반 분석기를 제안한다. 또한 실험과 검증을 통하여 플로우 상관관계 기반 응용 분석 방법의 타당성을 증명한다.

• 한국산학기술학회논문지
• /
• 제16권10호
• /
• pp.7211-7218
• /
• 2015

악성코드는 하루 평균 수만 건 이상이 발생하고 있으며, 신종 악성코드의 수는 해마다 큰 폭으로 증가하고 있다. 악성코드를 탐지하는 방법은 시그니쳐 기반, API 흐름, 문자열 등을 이용한 다양한 기법이 존재하지만 대부분의 탐지 기법들은 악성코드를 우회하는 공격 기법으로 인해 신종 악성코드를 탐지하는데 한계가 있다. 따라서 신종 악성코드를 효율적으로 탐지하기 위한 연구가 많이 진행되고 있다. 그중 시각화 기법을 통한 연구가 최근 활발하게 이루어지고 있으며, 악성코드를 직관적으로 파악할 수 있으므로 대량의 악성코드를 효율적으로 탐지하고 분석할 수 있다는 장점이 있다. 본 논문에서는 악성코드와 정상파일에서 Native API 함수를 추출하고 해당 Native API가 악성코드에서 발생하는 확률에 따라서 F-measure 실험을 통해 가중치의 합을 결정하고, 최종적으로 가중치를 이용하여 워드 클라우드에서 텍스트의 크기로 표현되는 기법을 제안한다. 그리고 실험을 통해 악성코드와 정상파일에서 사용하는 Native API의 가중치에 따라서 악성코드를 판단할 수 있음을 보인다. 제안하는 방식은 워드 클라우드를 이용하여 Native API를 시각적으로 표현함으로써 파일의 악성 유무를 판단하고, 직관적으로 악성코드의 행위를 분석할 수 있다는 장점이 있다.

• 한국시뮬레이션학회논문지
• /
• 제21권3호
• /
• pp.17-24
• /
• 2012

본 논문은 시뮬레이션을 이용한 DDoS공격 대응기술의 효과성을 평가하기 위한 방법을 제시한다. 미국 국가표준기술연구소(NIST: National Institute of Standards and Technology)에서 제시한 보안목표에 따라 효과성평가모형을 계층적으로 표현하였다. 보안목표, 보안통제, 성과지표에 해당하는 요인들의 가중치 계산을 위해 계층적 분석(AHP: Analytic Hierarchy Process)을 적용하고, 최하위계층인 성과지표의 기능점수계산을 위해 Arena시뮬레이션모델을 구현하였다. 탐지 및 차단 알고리즘은 네트워크 L4, L7계층 공격에 대한 임계치설정, 시그니쳐기반탐지, 행동(통계)기반탐지 기술을 복합적으로 검증하였다. 제안된 효과성평가모형은 조직마다 상이한 보안목표와 위협에 따라 다르게 설계될 수 있으므로 새로운 보안위협에 대한 대응방안이나 대응기술의 효과성을 평가할 수 있는 방법으로 활용될 수 있다.