• 한국정보과학회논문지:컴퓨팅의 실제 및 레터
• /
• 제12권6호
• /
• pp.339-348
• /
• 2006

최근 자동화된 공격기법에 의한 인프라 피해 사례가 급증하면서 효율적 대응 기법에 대한 연구가 활발히 진행되고 있다. 특히, 패킷을 통한 네트워크 서비스의 취약성을 공격하는 웜의 전파 메커니즘은 빠른 전파 속도로 인해 네트워크 대역폭 및 노드 가용성에 심각한 피해를 일으키고 있다. 이전 웜 탐지 기법들은 주로 시그너처 기반의 미시적 접근방식이 주를 이루었으나 높은 오탐지율과 조기탐지의 한계로 인해 최근에는 웜 전파의 특징에 기인한 거시적 접근 방식이 각광을 받고 있다. 본 논문에서는 패킷 마킹을 통해 웜 행동 사이클과 감염 체인으로 대표되는 웜의 행위적 특성을 탐지하고 대응할 수 있는 분산 웜 탐지 모델을 제안한다. 제안하는 웜 탐지 모델은 기존 모델들이 지닌 확장성의 한계를 분산된 호스트들의 협업적 대응으로 해결할 수 있을 뿐만 아니라, 웜 탐지에 필수적인 감염 정보만을 처리함으로써 개별 호스트의 프로세싱 오버헤드를 감소시킬 수 있다. 그리고 본 논문에서 제안하는 탐지 모델 적용 시 조기 탐지 결과로 인해 웜의 감염 속도가 시간의 경과에 따라 감소되는 현상과 호스트 간의 협업적 대응에 의해 전체 호스트의 면역성이 증가되는 현상을 시뮬레이션을 통해 증명하였다.

• 한국산학기술학회논문지
• /
• 제19권4호
• /
• pp.47-56
• /
• 2018

가스, 전력, 수처리, 원자력, 교통 관제 시스템 등과 같은 국가적 규모의 산업 제어 시스템은 점차 발전하는 정보통신기술에 따라 점차 개방된 네트워크와 공개된 표준 프로토콜을 사용하고 있다. 개방된 네트워크와 공개된 표준 프로토콜을 사용하고 있기 때문에 사이버 공격에 대한 빈도는 점점 증가하고 있는 추세이지만 이에 관련한 후속조치는 매우 부족한 실정이다. 따라서 산업 제어 시스템을 위한 보안 솔루션의 적용은 매우 중요하다. 하지만 실제의 시스템에 보안 솔루션을 적용하는 것은 산업 제어 시스템의 특성 때문에 사실상 불가능하고 기존 시스템에 영향을 주지 않고 공격의 발생 유무를 탐지할 수 있는 보안 시스템이 필수적이다. 따라서 본 논문에서는 산업 제어 시스템에 영향을 주지 않고 비정상행위를 탐지하는 패킷 분석 기반의 침입 탐지 시스템을 제안하고 제안한 침입 탐지 시스템을 실제의 환경을 재현한 산업 제어 시스템 테스트 베드에 적용함으로써 신뢰성 있는 데이터를 기반으로 제안한 시스템의 효율성을 검증한다.

• 정보처리학회논문지C
• /
• 제16C권5호
• /
• pp.583-588
• /
• 2009

Network Intrusion Detection System(NIDS)는 네트워크를 통해 들어오는 패킷들을 모니터링 하고 분석하여 내부 시스템에 유해한 내용을 담고 있는 패킷을 탐지 하는 시스템이다. 이 시스템은 네트워크의 패킷을 놓치지 않고 분석할 수 있어야 하며, 예측 불허의 공격 방법들에 대해서는 새로운 법칙을 적용하여 방어할 수 있어야 한다. 이에 대응하여, 소프트웨어적 처리에 비해 높은 비교 성능과 재구성이 가능한 유연성을 제공하는 FPGA는 좋은 해결책이다. 그럼에도 불구하고, 고속 네트워크의 등장과 축적되는 공격 패턴들의 증가는 제한된 속도와 공간을 가지고 있는 FPGA에게 부담이 된다. 본 연구는 추가적인 자원 사용을 최소화하고 성능의 극대화를 가져오는 방식으로 접두어 공유 병렬 패턴매치 기법을 제시하고 설계하였다. 실험을 통하여 입력 문자열을 8bit에서 16bit로 증가할 때 성능이 두 배 향상이 되면서 구현을 위해 사용되는 자원은 평균 1.07배 증가하는 것을 확인할 수 있다.

• 정보처리학회논문지:컴퓨터 및 통신 시스템
• /
• 제6권2호
• /
• pp.87-94
• /
• 2017

최근 각종 공문서와 증빙 서류를 비롯하여 대부분의 문서가 디지털 데이터의 형태로 사용되고 있다. 특히 MS 오피스는 전 세계적으로 공공기관, 기업, 학교, 가정 등 다양한 곳에서 가장 많이 사용하고 있는 문서 편집 소프트웨어로써 악의적인 목적을 가진 사용자들이 해당 문서 프로그램의 범용성을 이용하여 MS 오피스 문서 파일을 악성 행위를 위한 매개체로 사용하고 있으며, 최근에는 단순한 사용자뿐만 아니라 국내외 정부 기관과 주요기업을 비롯하여 기반시설에서도 MS 오피스 문서 파일 형태의 악성코드가 유입되고 있다. MS 오피스 문서에 악성 코드를 삽입하는 방법은 단순히 미할당 영역에 은닉하는 방법을 사용할 뿐만 아니라 매크로 기능을 이용하는 등 다양한 방법을 통해 점점 정교한 형태로 진화되고 있다. 이러한 악성 코드들을 탐지하기 위해서 시그니처를 이용하거나 샌드박스를 이용한 탐지방법이 존재하지만, 유동적이고 복잡해지는 악성 코드들을 탐지하기에는 한계가 있다. 따라서 본 논문에서는 디지털 포렌식 관점에서 MS 오피스 문서 분석에 필요한 주요 메타데이터와 파일 포맷 구조 분석을 통해 매크로 영역과 그 외 악성 코드가 삽입될 가능성이 존재하는 영역들을 확인함으로써 MS 오피스 문서 파일 내 비정상 요소를 탐지하는 기법을 제안한다.

• 한국통신학회논문지
• /
• 제27권8C호
• /
• pp.748-757
• /
• 2002

인터넷의 지속적인 보급/발전과 인터넷을 이용한 다양한 서비스의 증대를 통해 네트워크를 통한 보안취약점 공격과 정보획득을 위한 사이버테러 시도가 증가하고 있는 추세이다. 이는 침입탐지시스템의 적용환경에도 많은 영향을 끼치게 되었다. 일반적인 네트워크 기반 침입탐지 시스템은 네트워크 디바이스를 통해 유입되는 패킷에 대하여 시그너춰 기반 침입 탐지 모듈을 통하여 침입을 탐지하게 된다. 현재까지의 네트워크상의 정보보호는 주로 보안 호스트, 특정 보안 시스템에 대한 지역적인 정보보호였으나 전세계에 연결된 인터넷 시스템들의 침해에 대한 방어능력이 취약한 상태이다. 특정 도메인에 국한하여 서브 네트워크 상에 적용되었던 보안을 네트워크 전체에 확장시킬 수 있는 보안 메커니즘이 제공되어야 한다. 본 논문에서는 이를 해결하기 위해 DARPA의 과제를 분석하고, 그 분석을 통한 침입탐지관련 기술을 살펴본다. 또한, 상기에 지적한 보안 문제점들을 해결하기 위해 Policy 기반으로 보안집행이 수행되는 정보보호 서비스 구조를 설계하고, 각 모듈별 제공 기능에 대하여 살펴본다. 보안정책의 집행은 AS내의 네트워크 유입지점인 게이트웨이 장치에 설치된 침입탐지시스템을 통해 수행되며, 추가되는 정책정보가 중앙의 보안제어서버를 통하여 실시간으로 반영되어 처리된다. 이를 통하여 관리도메인에 대한 집중적인 보안정책의 설계 및 집행이 수행된다.

• 전자공학회논문지CI
• /
• 제43권4호
• /
• pp.80-87
• /
• 2006

최근 인터넷 응용 프로그램과 관련 기술의 발전에 따라 디지털 멀티미디어 콘텐츠의 보급과 사용이 쉬워지고 있다. 디지털 신호는 복제가 용이하고 복제된 신호는 원신호와 동일한 품질을 갖는다. 이러한 문제점을 해결하고 저작권 보호를 위해 멀티 미디어 핑거프린트가 연구되어지고 있다. 핑거프린팅 기법은 암호학적인 기법들을 이용하여 디지털 데이타를 불법적으로 재배포한 사용자를 찾아냄으로써 디지털 데이타의 저작권을 보호한다. 핑거프린팅 기법은 대칭적이나 비대칭적인 기법과 달리 사용자만이 핑거프린트가 삽입된 데이타를 알 수 있고 데이타가 재배포되기 전에는 사용자의 익명성이 보장되는 기법이다. 본 논문에서는 신경회로망에 의한 공모된 멀티미디어 핑거프린트의 검출 알고리즘을 제안한다. 제안된 알고리즘은 불법공모방지 코드 생성과 에러정정을 위한 신경회로망으로 구성되어 있다. BIBD(Balance Incomplete Block Design) 기반의 불법공모방지 코드는 평균화 선형 공모공격에 대해 100% 공모코드 검출이 이루어졌으며, 에러비트 정정을 위해 (n,k)코드를 사용한 홉필드 신경회로망은 2비트 이내의 에러비트를 정정할 수 있음을 확인하였다.

• 한국컴퓨터정보학회논문지
• /
• 제25권11호
• /
• pp.131-138
• /
• 2020

멀웨어는 일반적으로 다른 사용자의 컴퓨터시스템에 침입하여 개발자가 의도하는 악의적인 행위를 일으키는 컴퓨터프로그램으로 인식되지만 사이버 공간에서는 적대국을 공격하기 위한 사이버 무기로써 사용되기도 한다. 사이버 무기로서 멀웨어가 갖춰야 할 가장 중요한 요소는 상대방의 탐지시스템에 의해 탐지되기 이전에 의도한 목적을 달성하여야 한다는 것인데, 하나의 멀웨어를 상대방의 탐지 시스템을 피하도록 제작하는 데에는 많은 시간과 전문성이 요구된다. 우리는 DCM 기법을 사용하여, 바이너리코드 형태의 멀웨어를 입력하면 변종 멀웨어를 자동으로 생성해 주는 프레임워크를 제안한다. 이 프레임워크 안에서 샘플 멀웨어가 자동으로 변종 멀웨어로 변환되도록 구현하였고, 시그니쳐 기반의 멀웨어 탐지시스템에서는 이 변종 멀웨어가 탐지되지 않는 것을 확인하였다.

• 인터넷정보학회논문지
• /
• 제5권3호
• /
• pp.73-86
• /
• 2004

본 논문에서는 컬러 영상을 위한 하이브리드(hybrid) 디지털 워터마킹 기법을 제안한다. 즉, 두 개의 워터마크가 주파수 영역과 공간 영역 상에 각각 삽입된다. 첫 번째 워터마크는 영상 데이터를 DW(discrete wavelet transform)를 사용하여 주파수 공간으로 변환한 후, 인간의 시각이 밝기에 민감하지 않다는 사실을 이용하여 컬러 영상의 밝기(luminance) 성분에 대역확산(spread-spectrum) 방법으로 워터마크를 삽입한다. 삽입되는 워터마크는 유사난수 패턴(pseudo-random pattern)을 사용하며 워터마크 검출시에는 상관도(correlation)를 이용하여 워터마크를 추출한다. 두 번째 워터마크는 첫 번째 워터마크가 클로핑(cropping)과 같은 기하학적 공격(geometrical of attack)에 취약한 점을 보완하기 위해 삽입한다. 영상의 공간 영역에서 블루 채널 상에 두 번째 워터마크가 삽입되며, 이때 영상의 특징점의 픽셀값을 입력 값으로 하여 해쉬함수의 출력값을 구한다. 따라서 두 번째 워터마크는 영상의 위 변조를 판별할 수 있는 tamper defection의 기능을 한다.

• 한국콘텐츠학회논문지
• /
• 제8권5호
• /
• pp.9-18
• /
• 2008

웹 서비스는 개방형 서비스로 정보 공유가 주요 목적이다. 하지만 상대적으로 웹 서비스에 대한 공격 및 해킹 사고 또한 급증하고 있다. 현재 웹 해킹 등의 공격을 탐지하기 위해서는 웹 로그의 분석을 통해 우선적으로 수행 가능하며 중요한 역할을 수행하고 있다. 실제 웹 로그 분석을 통해 웹 서비스의 취약점을 분석하고 보완하는 사례가 늘어나고 있다. 이에 본 연구에서는 대용량의 웹 로그 정보에 대해 SOM 알고리즘을 적용하여 웹 DoS 공격 등과 같은 웹 서비스에서의 이상 탐지를 수행하였다. 구체적으로 대용량 웹 로그 정보에 대해 SOM 기반으로 BMU(Best Matching Unit)의 발생 빈도를 조사해 발생 빈도가 가장 높은 유닛을 이상(Abnormal) 유닛으로 판단하여 입력된 웹 로그 데이터에 대한 DoS 공격 탐지 성능을 향상시킬 수 있었다.

• 한국컴퓨터정보학회논문지
• /
• 제18권3호
• /
• pp.35-45
• /
• 2013

MANET에서는 합법적인 노드와 비합법적인 노드 모두 네트워크에 접근이 가능함에 따라 보안 취약점을 안고 있다. MANET에 관한 대부분의 연구들은 라우팅 경로 또는 패킷 전달에 대한 공격 측면에만 중점을 두고 있으며, 특히 악의적인 노드의 다양한 공격에 효과적으로 대응하는데 한계가 있다. 이 논문에서는 MANET에서 다양한 악의적인 노드를 효율적으로 탐지하기 위한 DTecBC (detection technique of malicious node behaviors based on collaboration) 기법을 제안하였다. 제안 기법은 이웃 노드들 간의 협업관계를 기반으로 상호 메시지 교환을 통하여 악의적인 노드를 관리할 수 있도록 설계하였다.. 제안기법의 효율성 검증을 위해 OPNET 시뮬레이션 툴을 사용하여 기존의 대표적 탐지기법인 Watchdog, CONFIDANT, SRRPPnT와 비교하였다. 평가 결과, 제안 기법은 기존 기법들에 비해 다양한 유형의 악의적인 노드 행위를 종합적으로 탐지 가능함이 확인 되었다.