• The Journal of Society for e-Business Studies
• /
• v.19 no.4
• /
• pp.195-204
• /
• 2014

Recent, Secure the small and medium-sized enterprises from advanced and intelligence cyber threat, 24 hours of prevention, detection and analysis is essential. Small and Medium Business monitoring center is operated by government financial support to protect and prevent these threats. Currently it provides security to about 900 small and medium-sized enterprises. This paper studies abnormal and attack packets from small and medium-sized businesses[enterprises] which is monitored by Small and Medium Business monitoring center and provides improvement of security control for small and medium-sized enterprises.

• Review of KIISC
• /
• v.30 no.5
• /
• pp.25-33
• /
• 2020

산업 제어 시스템 대상 원격 관제 기술은 관리자의 즉각적 대응을 통해 산업 재해 발생 확률 저하를 위한 핵심기술로 주목받고 있다. 그러나 산업 제어 시스템 원격 관제 기술은 원격의 관리자와 통신하기 위해 외부 네트워크 연결이 필수적이며, 따라서 공격자들에게 기존 산업 제어 시스템에 존재하지 않던 새로운 네트워크 취약점을 노출하게 된다. 산업 제어시스템은 네트워크 취약점을 해결하기 위해 터널링 프로토콜 또는 패킷 암호화 솔루션을 사용하고 있지만, 이러한 솔루션은 패킷 메타데이터를 분석하는 네트워크 트래픽 분석 공격을 방어하지 못한다. 공격자는 네트워크 트래픽 분석을 통해 패킷의 송수신 대상, 통신 빈도, 활성화 상태 등을 알 수 있으며 획득한 정보를 다음 공격을 위한 초석으로 사용할 수 있다. 따라서 기존의 솔루션들이 해결하지 못하는 산업 제어 시스템 네트워크 환경에서 발생하는 잠재적인 문제들을 해결하기 위해 네트워크 트래픽 분석 난이도를 향상시켜 분석을 방어하는 솔루션이 필요하다. 본 논문에서는 패킷 메타데이터를 분석하는 네트워크 트래픽 분석 공격을 어렵게 하고자 패킷 분할 및 병합 기반 네트워크 트래픽 난분석화 기법을 제안한다. 본 논문에서 제안하는 기법의 참여자인 관리자와 산업 기기는 각각 일정한 크기의 그룹으로 묶인다. 그리고 원격 관제를 위해 관리자와 산업 기기 간 송수신되는 모든 패킷을 대상으로 분할 노드를 경유하도록 한다. 분할노드는 패킷의 난분석화를 위한 핵심 요소로써, 관리자와 산업 기기 사이에 송수신되는 모든 패킷을 상호 목적 대상 그룹의 개수로 분할한다. 그리고 분할한 패킷 조각에 패킷 식별자와 번호를 부여하여 패킷 조각을 모두 수신한 목적대상이 올바르게 패킷을 병합할 수 있도록 하였다. 그리고 분할노드는 목적 대상이 속한 그룹의 모든 참여자에게 서로 다른 패킷 조각들을 전달함으로써 공격자가 패킷의 흐름을 알 수 없도록 하여 산업 제어 시스템 정보를 수집하는 것을 방어한다. 본 논문에서 제안하는 패킷 분할 및 병합 기반 트래픽 난분석화 기법을 통해 산업 제어 시스템을 대상으로 한 트래픽 분석 공격을 방어함으로써 네트워크 공격의 피해를 줄이고 추가적인 네트워크 공격을 차단할 수 있을 것으로 기대된다.

• Proceedings of the Korean Institute of Navigation and Port Research Conference
• /
• 2019.05a
• /
• pp.40-41
• /
• 2019

In the VTS, the predictions of vessel mobility and situation awareness of maritime environment are basic function. In recent years, pilotage information is an essential aware element of VTS personnel for vessel traffic management. So, we designed the structure of pilotage information service with VTS and tested in real environment. In the future, similar pilotage information can be used as a useful VTS service.

• Proceedings of the Korean Institute of Navigation and Port Research Conference
• /
• 2018.05a
• /
• pp.259-261
• /
• 2018

VTS 관제에서 시스템적 환경은 선박의 트래픽 이동 및 주변 상황 표현이 정확해야 하며, 이를 위하여 항상 최신의 전자해도를 유지하여야 한다. 따라서 VTS 환경에서 운용 시스템을 포함한 여러 시스템에서 전자해도를 이용하고 있으며, 일부 오래된 전자해도를 그대로 사용하는 문제가 있어 왔으며, 업데이트 자체가 보안적 문제와 운용성을 고려하여 진행되어야 하므로 번거로운 문제이기도 하다. 즉, VTS 시스템에서는 선박을 표출하는 화면에서 모든 선박위치, 지형지물 등 기본적인 전자해도의 역할이 매우 중요하고 데이터를 상호 교환하고 관제하는 과정에서도 섹터별 운용, 선박과 관제 센터간 상호 동기화, 최신화가 요구되어 왔다. 따라서, 본 논문에서는 VTS 국산화연구에 따른 상용화를 위하여, 관제환경의 편의성을 개선하기 위한 전자해도 업데이트 프로토콜을 설계하고, 다중의 운용시스템 환경과 사용자의 관제 환경의 업데이트를 통한 동기화를 검토하였으며, 향후 e-Navigation으로 진화시에 16개 MSP중 하나인 소형선박 등 다중 단말환경에서 전자해도 보안 업데이트 프로토콜로 확장하는 방안으로 진행될 수 있다.

• The Journal of the Korea institute of electronic communication sciences
• /
• v.8 no.12
• /
• pp.1841-1848
• /
• 2013

In this paper, the plans for improvement of real-time security monitoring accuracy and expansion of control region were investigated through comprehensive and systematic collection and analysis of the anomalous activities that inflow and outflow in the network on a large scale in order to overcome the existing security monitoring system based on stylized detection patterns which could correspond to only very limited cyber attacks. This study established an anomaly observation system to collect, store and analyze a diverse infringement threat information flowing into the darknet network, and presented the information classification system of cyber threats, unknown anomalies and high-risk anomalous activities through the statistics based trend analysis of hacking. If this security monitoring system utilizing darknet traffic as presented in the study is applied, it was indicated that detection of all infringement threats was increased by 12.6 percent compared with conventional case and 120 kinds of new type and varietal attacks that could not be detected in the past were detected.

• Smart Media Journal
• /
• v.7 no.4
• /
• pp.70-78
• /
• 2018

Current trends in information system have led many companies to adopt security solutions. However, even with a large budget, they cannot function properly without proper security monitoring that manages them. Security monitoring necessitates a quick response in the event of a problem, and it is needed to design appropriate visualization dashboards for monitoring purposes so that necessary information can be delivered quickly. This paper shows how to visualize a security log using the open source program Elastic Stack and demonstrates that the proposed method is suitable for network security monitoring by implementing it as a appropriate dashboard for monitoring purposes. We confirmed that the dashboard was effectively exploited for the analysis of abnormal traffic growth and attack paths.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2011.11a
• /
• pp.992-995
• /
• 2011

ALADDIN(Advanced Layer-free DDoS Defense INfrastructure) 시스템은 양방향 10Gbps 트래픽을 처리할 수 있는 안티 DDoS 전용 시스템이다. 로드 밸런서 엔진, 안티 DDoS 분석 엔진, PCI-Express 엔진으로 구성된 세 개의 FPGA 기반 하드웨어 엔진과 소프트웨어 엔진으로 이루어진 시스템은 인라인 모드로 동작하면서 Wire-speed 로 패킷을 처리한다. 시스템은 네트워크 레벨의 DDoS 공격뿐만 아니라 어플리케이션 레벨의 DDoS 공격도 실시간으로 탐지하고 대응한다. 본 논문에서는 ALADDIN 시스템의 설계 및 구현, 테스트 결과에 대해 기술한다.

• Journal of the Korea Institute of Information Security & Cryptology
• /
• v.25 no.2
• /
• pp.279-292
• /
• 2015

In this study, we propose an effective network managed security services model that can detect a presence of potential malicious codes inside the energy-based SCADA Systems. Especially, by analyzing the data obtained in the same environment of SCADA Systems, we develop detection factors to applicable to the managed security services and propose the method for the network managed security services. Finally, the proposed network managed security services model through simulation proved possibility to detect malicious traffic in SCADA systems effectively.

• Journal of the Korean Society for Railway
• /
• v.19 no.2
• /
• pp.159-169
• /
• 2016

The current railway control system in Korea is comprised of signaling, electric rail power, communication, and maintenance systems that are independent of each other. Further, these systems have different mediums and protocols for transmitting the field equipment data to the central control system. The Safety Supervision System has as its purpose the collecting of safety-related data from each system to predict and prevent accidents, this system utilizes standard protocol. Safety-related data need to be collected from field data transmission devices of the existing control system, the data should be collected without affecting the communication of the existing system. In this study, sniffing skill, which is typically used for network traffic monitoring or security, is used to collect data. The problems arising from the use of sniffing devices are noted, and the Packet Conversion Node is proposed as a solution to the problems. Further, functional and performance testing were completed for the prototype, and the software architecture and packet conversion process were verified.

• KIPS Transactions on Software and Data Engineering
• /
• v.12 no.2
• /
• pp.99-110
• /
• 2023

This study proposed a classification of malicious network traffic using the cyber threat framework(Mitre ATT&CK) and machine learning to solve the real-time traffic detection problems faced by current security monitoring systems. We applied a network traffic dataset called UNSW-NB15 to the Mitre ATT&CK framework to transform the label and generate the final dataset through rare class processing. After learning several boosting-based ensemble models using the generated final dataset, we demonstrated how these ensemble models classify network traffic using various performance metrics. Based on the F-1 score, we showed that XGBoost with no rare class processing is the best in the multi-class traffic environment. We recognized that machine learning ensemble models through Mitre ATT&CK label conversion and oversampling processing have differences over existing studies, but have limitations due to (1) the inability to match perfectly when converting between existing datasets and Mitre ATT&CK labels and (2) the presence of excessive sparse classes. Nevertheless, Catboost with B-SMOTE achieved the classification accuracy of 0.9526, which is expected to be able to automatically detect normal/abnormal network traffic.