• 한국정보과학회:학술대회논문집
• /
• 한국정보과학회 2010년도 한국컴퓨터종합학술대회논문집 Vol.37 No.1(D)
• /
• pp.36-41
• /
• 2010

크래커(Cracker)의 공격으로부터 내부 자원을 보호하기 위한 허니팟 시스템은 크게 두 가지로 구분된다. 하나는 내부 정보자원을 보호하기 위해 크래커의 공격을 유인하는 목적의 허니팟이며, 다른 하나는 방어기법을 연구하기 위해 크래커의 공격을 유도한 후 공격기법을 로그기반으로 수집하는 허니팟이다. 하지만, 최근의 공격은 크래커로 인한 공격보다는 불특정 다수를 공격하기 위해 대량의 악성코드를 통한 공격이 주를 이루고 있다. 따라서, 허니팟의 유형도 변화가 필요하게 되었다. 악성코드에 대한 방어기법을 연구하는 Anti-Virus 연구소에서는 최근의 악성코드 공격으로부터 시스템을 보호하기 위해서는 악성코드를 조기에 수집하는 것이 주요 이슈로 등장하게 되었다. 악성코드 수집을 위한 허니팟은 기존 허니팟과 다른 특징을 가지고 있으며, 이러한 특징을 고려하여 개발되어야 한다. 하지만, 악성코드 수집용 허니팟이 필수적으로 갖추어야 할 조건이 정의된 것이 없으며, 개발을 위한 구현 모델이 존재하지 않아, 실제 구축에는 어려움을 겪고 있다. 따라서, 본 고에서는 기존 허니팟과 비교를 통해 악성코드 수집용 허니팟이 갖추어야 할 7대 요구조건을 개발하고, 이를 토대로 기존에 제시된 적이 없는 악성코드 수집용 허니팟 구현 모델을 제안하였다. 또한, 구현 모델을 통해 실제 악성코드 수집용 허니팟을 개발 및 실제 구축하여, 수집 결과와 함께 구축 시 고려사항을 도출하였다. 앞으로, Anti-Virus 연구소들은 본 구현모델과 구현결과, 고려사항을 통해 악성코드 수집용 허니팟을 개발하여, 확산되는 악성코드를 조기에 수집 및 대응함으로써, 1.25 대란, 7.7 DDoS대란과 같이 악성코드로 인해 발생하는 국가적 정보자산 손실을 미연에 방지하는데 큰 기여를 할 것으로 기대된다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2010년도 춘계학술발표대회
• /
• pp.762-765
• /
• 2010

크래커(Cracker)의 공격으로부터 내부 자원을 보호하기 위한 허니팟 시스템은 크게 두 가지로 구분된다. 하나는 내부 정보자원을 보호하기 위해 크래커의 공격을 유인하는 목적의 허니팟이며, 다른 하나는 방어기법을 연구하기 위해 크래커의 공격을 유도한 후 공격기법을 로그기반으로 수집하는 허니팟이다. 하지만, 최근의 공격은 크래커로 인한 공격보다는 불특정 다수를 공격하기 위해 대량의 악성코드를 통한 공격이 주를 이루고 있다. 따라서, 허니팟의 유형도 변화가 필요하게 되었다. 악성코드에 대한 방어기법을 연구하는 Anti-Virus 연구소에서는 최근의 악성코드 공격으로부터 시스템을 보호하기 위해서는 악성코드를 조기에 수집하는 것이 주요 이슈로 등장하게 되었다. 악성코드 수집을 위한 허니팟은 기존 허니팟과 다른 특징을 가지고 있으며, 이러한 특징을 고려하여 개발되어야 한다. 하지만, 악성코드 수집용 허니팟이 필수적으로 갖추어야 할 조건이 정의된 것이 없으며, 개발을 위한 구현 모델이 존재하지 않아, 실제 구축에는 어려움을 겪고 있다. 따라서, 본 고에서는 기존 허니팟과 비교를 통해 악성코드 수집용 허니팟이 갖추어야 할 7 대 요구조건을 개발하고, 이를 토대로 기존에 제시된 적이 없는 악성코드 수집용 허니팟 구현 모델을 제안하였다. Anti-Virus 연구소들은 본 구현모델을 통해 악성코드 수집용 허니팟을 개발하여, 확산되는 악성코드를 조기에 수집 및 대응함으로써, 1.25 대란, 7.7 DDoS 대란과 같이 악성코드로 인해 발생하는 국가적 정보자산 손실을 미연에 방지하는데 큰 기여를 할 것으로 기대된다.

• 전자공학회논문지
• /
• 제51권11호
• /
• pp.127-133
• /
• 2014

다양한 악성코드로부터 정보자산을 보호하기 위해서 허니팟 시스템을 구축한다. 허니팟 시스템은 내부 시스템이 공격받지 않도록 공격을 유인하는 목적으로 설계되거나, 악성코드 정보를 수집하기 위한 목적으로 설계된다. 그러나 기존의 하니팟은 정보 수집을 목적으로 구축되었기 때문에 위장서버 혹은 위장 클라이언트 서버를 구축하거나 위장 콘텐츠를 제공하여 공격자의 유입을 적극적으로 유도하도록 설계되었다. 그러나 위장서버구축의 경우는 빈번한 디스크 입출력으로 약 1년 주기로 하드웨어를 재설치하여야 하고, 위장 클라이언트 서버를 구축하는 경우는 획득한 정보 분석의 자동화에는 한계가 있기 때문에 전문 인력 확보와 같은 운영상의 문제가 있다. 이처럼 기존 허니팟의 하드웨어적인 문제와 운영상의 문제들을 해결 및 보완할 수 있도록 본 연구에서는 하이브리드 허니팟을 제안하였다. 제안한 하이브리드 허니팟은 허니월, 분석서버, 통합콘솔을 두고 공격유형을 2가지 유형으로 분류하여 처리한다. 유형1인 고수준 상호작용서버와 유형2인 저수준 상호작용서버를 동작하도록 하여 위장(유인용)과 거짓응답(에뮬레이션)이 공통스위치 영역에 연계되도록 설계하였다. 이러한 하이브리드 허니팟은 허니월의 저수준 허니팟과 고수준 허니팟을 동작하도록 한다. 분석서버는 해킹유형을 해쉬값으로 변환하고 이를 상관분석 알고리즘으로 분리하여 허니월에 전송한다. 통합모니터링 콘솔은 지속적인 모니터링을 실시하므로 최신 해킹기법과 공격 툴에 대한 정보 분석뿐만 아니라 악성코드에 대한 선제적인 보안대응 효과를 제공할 수 있을 것으로 기대한다.

• 한국정보과학회:학술대회논문집
• /
• 한국정보과학회 2004년도 가을 학술발표논문집 Vol.31 No.2 (1)
• /
• pp.367-369
• /
• 2004

허니팟은 공격자들이 쉽게 공격할 수 있는 시스템이나 네트워크를 구성하여, 악성해커나 스크립트 키드들이 어떻게 시스템을 침입하고 공격하는지 감시할 수 있도록 구성되어 있는 시스템을 말한다. 일반적으로 허니팟은 방화벽과 로그 기록 등으로 감사기능을 수행하는데, 악성해커는 그 로그마저 복구할 수 없도록 삭제하는 경우도 있기 때문에 독립적인 추적 시스템이 필요하다. 본 논문에서는 LKM(Linux Kernel Module)기법을 이용한 키로거를 통해 공격자가 세션 상에서 입력하는 모든 키보드 내용을 기록하여 공격자의 행동을 쉽고 빠르게 분석하는 원격 키스트로크 모니터링 시스템을 설계해 보았다.

• 스마트미디어저널
• /
• 제5권2호
• /
• pp.65-76
• /
• 2016

최근 클라우드 컴퓨팅이 새로운 공격 대상으로 부상하기 시작했으며, 클라우드의 다양한 서비스를 지연 및 방해하기 위한 악의적인 DDoS 공격이 진행되고 있다. 본 논문에서는 허니팟 보안 기술과 클라우드 컴퓨팅의 자원을 이용한 호넷 클라우드를 제안하며, 간략하게 사이버 탄력성에 의한 능동 상호동작의 프레임워크에 의한 보안 기능들을 정의 및 설계한다. 더불어 가상 허니팟 서비스를 위한 사이버 탄력성을 이용한 Low-Interaction vHonyepot의 기능들을 시뮬레이션하여 가능성을 검증한다.

• 융합보안논문지
• /
• 제23권2호
• /
• pp.27-36
• /
• 2023

최근 몇 년 동안 랜섬웨어 공격이 사회 공학, 스피어피싱, 심지어 기계 학습과 같은 전술을 사용하여 특정 개인이나 조직을 대상으로 하는 공격의 정교함과 더불어 더욱 조직화 되고 전문화되고 있으며 일부는 비즈니스 모델로 운영되고 있다. 이를 효과적으로 대응하기 위해 심각한 피해를 입히기 전에 공격을 감지하고 예방할 수 있는 다양한 연구와 솔루션들이 개발되어 운영되고 있다. 특히, 허니팟은 조기 경고 및 고급 보안 감시 도구 역할 뿐만 아니라, IT 시스템 및 네트워크에 대한 공격 위험을 최소화하는 데 사용할 수 있으나, 랜섬웨어가 미끼파일에 우선적으로 접근하지 않은 경우나, 완전히 우회한 경우에는 효과적인 랜섬웨어 대응이 제한되는 단점이 있다. 본 논문에서는 이러한 허니팟을 사용자 환경에 최적화하여 신뢰성 있는 실시간 동적 허니팟 파일을 생성, 공격자가 허니팟을 우회할 가능성을 최소화함으로써 공격자가 허니팟 파일이라는 것을 인지하지 못하도록 하여 탐지율을 높일 수 있도록 하였다. 이를 위해 동적 허니팟 생성을 위한 기본 데이터수집 모델 등 4개의 모델을 설계하고 (기본 데이터 수집 모델 / 사용자 정의 모델 / 표본 통계모델 / 경험치 축적 모델) 구현하여 유효성을 검증하였다.

• 디지털융복합연구
• /
• 제11권12호
• /
• pp.381-386
• /
• 2013

안드로이드 플랫폼에서의 새로운 변종 악성코드가 기하급수적으로 증가함에 따라 보다 빠르고 능동적인 대처방안이 필요하다. 본 연구에서는 안드로이드 플랫폼에 High-Interaction 클라이언트 허니팟을 적용하였다. 시스템 적용방안을 위하여 전체 흐름을 설계하고 각 세부모듈의 기능을 분석하여 안드로이드 플랫폼에 최적화 하였다. 제안하는 시스템은 기존 PC 환경의 High-Interaction 클라이언트 허니팟의 장점을 모두 갖추고 있으며 관리 서버와 저장 서버를 분리하여 보다 유연하고 확장된 형태로 설계되었다.

• 정보보호학회논문지
• /
• 제16권5호
• /
• pp.15-24
• /
• 2006

많은 컴퓨터 보안 시스템들은 공격 시그너처를 기반으로 해커에 대응하기 때문에 가능한 빠르고 정확하게 새로운 공격 정보를 수집하는 것이 중요하다. 이러한 이유로 허니팟과 허니팟 팜에 관한 연구가 활발히 진행되고 있다. 그러나 해커들은 IP 주소가 할당된 서버를 직접 공격하는 성향이 높기 때문에, 허니팟과 허니팟 팜은 많은 공격 정보를 수집할 수 없다. 이에 본 논문에서는 사용되지 않는 포트를 이용하여 해커를 허니팟으로 리다이렉트하는 시스템을 제안한다. 이 시스템은 해커를 유인하기 위해 일반 서버의 사용되지 않는 포트를 유인포트로 사용한다 이 포트는 서비스를 위한 포트가 아니기 때문에 이 포트로의 모든 접근은 비정상적인 행위로 간주되어 허니팟으로 리다이렉트 된다. 결국 제안 시스템은 허니팟이 아닌 실제 서버를 공격하는 해커들의 공격 정보를 수집할 수 있게 한다.

• 한국전자통신학회논문지
• /
• 제10권8호
• /
• pp.891-900
• /
• 2015

최근 클라우드 컴퓨팅이 새로운 공격 대상으로 부상하기 시작했으며, 클라우드의 다양한 서비스를 지연 및 방해하기 위한 악의적인 DDoS 공격이 진행되고 있다. 본 논문에서는 허니팟 보안 기술과 클라우드 컴퓨팅의 자원을 이용한 호넷 클라우드를 제안하며, 간략하게 능동 상호동작의 개념과 보안 기능들을 설계한다.

• 한국정보과학회:학술대회논문집
• /
• 한국정보과학회 2004년도 가을 학술발표논문집 Vol.31 No.2 (1)
• /
• pp.643-645
• /
• 2004

네트워크가 복잡해지면서 다양한 형태의 위험에 노출된다. 일반적인 보안 솔루션으로 사용하는 방화벽(Firewall)이나 침입탐지시스템(IDS)은 허가받지 않은 외부의 접속이나 알려진 공격만을 차단하는 단순하고 수동적인 시스템이다. 이에 반해 허니팟은 웹서버와 같은 실제 Front-End 시스템과 유사하거나, 밀접한 관련을 갖고 직접적으로 반응하므로 신뢰성 높은 실시간 정보를 얻을 수 있어서 관리자가 다양한 위협에 능동적이고 효과적으로 대응할 수 있다. 실제로 웜이나 DRDoS(Distributed Reflection DoS)등 수분만에 네트워크를 점유하는 자동화 공격과 함께 시스템 구성 취약점을 파고들거나 계정 획득을 통한 DB서버 등의 Back-End 시스템에 대한 수동 공격이 혼재한다. 따라서 시스템 전반적인 관리의 중요성이 강조되고 있다. 본 논문에서는 그간의 실험결과를 바탕으로 가상 머신으로 허니팟을 구성하고 특성별로 포트를 분리하여 관리하는 허니넷을 제안하고자 한다 이를 통해 1) 유연한 보안 시스템 구성이 가능하고 2) 관리 효율이 높아지며 3) 하드웨어 도입 비용 절감을 통해 시스템의 TCO(Totai Cost of Ownership)를 감소시키는 효과를 기대할 수 있다.