• 중소기업융합학회논문지
• /
• 제5권2호
• /
• pp.1-6
• /
• 2015

중소기업은 정보시스템의 안전성을 확보하기 위한 조치들이 대기업에 비해 미흡하다. 이런 상황에서 공격자의 공격으로부터 정보유출시 회사이미지, 법적 피해보상 등 어려움을 가지게 된다. 정보시스템을 악성코드을 이용한 정보 유출이나 APT 공격 등 해킹 기법을 알아본다. 특히, APT 공격은 '지능적 지속 위협(Advanced Persistent Threats, 이하 APT)' 공격으로 공격 대상에게 몰래 접근한 뒤 일정 기간 잠복기를 가지고 있다가 공격 대상과 관련한 모든 정보를 오랜 시간 동안 살펴보고, 은밀히 활동하면서 흔적을 남기지 않고 공격 대상의 보안 서비스를 무력화시킨 상태에서 정보를 유출한다. 공격의 흔적이 남지 않도록 로그 등 자신의 흔적을 삭제하면서 공겨하기 때문에 공격 사실을 시간이 지난 후에 인지하므로 그 피해가 크다. 본 논문에서는 공격 방법이나 과정을 알아보고, 공격에 대한 대응방안을 모색한다.

• 전자공학회논문지CI
• /
• 제47권1호
• /
• pp.15-21
• /
• 2010

본 논문은 비디오 콘텐츠가 P2P 환경에서 배포될 때, 멀티미디어 핑거프린팅 코드를 삽입하는 알고리즘을 제안하고 공모공격 방지를 위한 공모 코드북 SRP(Small RISC Processor) 임베디드 시스템을 설계한다. 구현된 시스템에서는 웹서버에 업로드를 요청하는 클라이언트 사용자의 비디오 콘텐츠에 삽입된 핑거프린팅 코드를 검출하여 인증된 콘텐츠이면 스트리밍 서버로 전송을 하여 P2P 네트워크에 배포를 허락하고, 공모코드가 검출되면 스트리밍 서버로 비디오 콘텐츠의 전송을 차단하여 P2P 네트워크에 배포를 중지시키고, 또한 공모코드에 가담한 공모자를 추적한다. BIBD 코드 v의 10%를 공모자로 하여 평균화공격의 공모코드를 생성하였다. 이를 기반으로 공모공격 방지의 코드북이 설계 되었다. 비디오 콘텐츠의 온라인 스트리밍 서비스 ASF와 오프라인 제공 MP4의 비디오 압축에서는 I-프레임의 휘도성분 Y의 비트플랜 0~3에 핑거프린팅 코드의 삽입량이 0.15% 이상에서 삽입된 원코드와 검출된 코드의 상관계수는 0.15 이상이었다. 상관계수 0.1 이상에서 공모코드 검출율은 38% 그리고 상관계수 0.2 이상에서 공모자 추적율은 20%임을 확인하였다.

• 한국융합학회논문지
• /
• 제9권7호
• /
• pp.55-62
• /
• 2018

최근 다양한 사이버 범죄 위협이 증가하는 추세로 정보시스템을 대상으로 공격하는 사이버 공격에 대해 실시간 탐지 등 최전선에서 초동 대응을 해야 하는 보안관제의 중요성이 높아지고 있다. 보안관제센터, 사이버테러 대응센터, 침해 대응센터 등의 이름으로 기관의 관제인원들은 사이버 공격 예방을 위해 많은 노력을 하고 있다. 특히 침해사고 탐지를 위한 방법으로 네트워크 보안장비를 이용하거나 관제시스템을 활용하여 탐지를 하고 있지만 장비 위주의 단순한 패턴기반으로 관제를 하는 방법으로는 침해사고의 예방을 위한 방법으로는 부족하다. 그러므로 보안관제시스템은 지속적으로 고도화 되고 있으며 침해위협에 대한 예방활동으로 탐지방법에 대한 개발과 연구가 활발히 진행되고 있다. 이에 본 논문에서는 기존 침해사고 탐지 방법에 대한 문제점 개선을 위해 주요 구성 모듈의 침해사고 탐지 방법을 정의하고, 성능테스트를 통해 효율적인 보안 관제를 위한 방안을 제시하고 SIEM(Security Information Event Management)을 활용한 관제시스템 고도화를 통하여 효과적인 침해위협 탐지 방법을 연구하고자 한다.

• 산업융합연구
• /
• 제21권9호
• /
• pp.41-48
• /
• 2023

최근 들어 개인, 기업, 국가 등 사회 전반에 랜섬웨어에 의한 피해가 급증하고 있으며 그 규모도 점차 커지고 있다. 랜섬웨어는 사용자 컴퓨터 시스템에 침입하여 사용자의 중요 파일들을 암호화하여 사용자가 해당 파일들을 사용하지 못하게 하고 그 댓가로 금품을 요구하는 악의적인 소프트웨어이다. 랜섬웨어는 기타 다른 악의적인 코드들에 비해 공격기법이 다양하고 정교하여 탐지가 어렵고 피해 규모가 크기 때문에 정확한 탐지와 해결 방법이 필요하다. 정확한 랜섬웨어를 탐지하기 위해서는 랜섬웨어의 특성들로 학습한 탐지 시스템의 추론엔진이 요구된다. 따라서 본 논문에서는 랜섬웨어의 정확한 탐지를 위해 랜섬웨어가 가지는 특성을 추출하여 분류하는 모델을 제안하고 추출된 특성들의 유사성을 계산하여 특성의 차원을 축소한 다음 축소된 특성들을 그룹화하여 랜섬웨어의 특성으로 공격 도구, 유입경로, 설치파일, command and control, 실행파일, 획득권한, 우회기법, 수집정보, 유출기법, 목표 시스템의 상태 변경으로 분류하였다. 분류된 특성을 기존 랜섬웨어에 적용하여 분류의 타당성을 증명하였고, 차후에 이 분류기법을 이용해 학습한 추론엔진을 탐지시스템에 장착하면 새롭게 등장하는 신종과 변종 랜섬웨어도 대부분 탐지할 수 있다.

• 정보처리학회논문지A
• /
• 제12A권2호
• /
• pp.87-94
• /
• 2005

패턴 매칭(Pattern Matching)은 네트워크 침입방지 시스템에서 가장 중요한 부분의 하나며 많은 연산을 필요로 한다. 날로 증가되는 많은 수의 공격 패턴을 다루기 위해, 네트워크 침입방지 시스템에서는 회선 속도로 들어오는 패킷을 처리 할 수 있는 다중 패턴 매칭 방법이 필수적이다. 본 논문에서는 현재 많이 사용되고있는 네트워크 침입방지 및 탐지 시스템인 Snort와 이것의 패턴 매칭 특성을 분석한다. 침입방지 시스템을 위한 패턴 매칭 방법은 다양한 길이를 갖는 많은 수의 패턴과 대소문자 구분 없는 패턴 매칭을 효과적으로 다룰 수 있어야 한다. 또한 여러 개의 입력 문자들을 동시에 처리 할 수 있어야 한다. 본 논문에서 Shift-OR 패턴 매칭 알고리즘에 기반을 둔 다중 패턴 매칭 하드웨어 가속기를 제시하고 여러 가지 가정 하에서 성능 측정을 하였다. 성능 측정에 따르면 제시된 하드웨어 가속기는 현재 Snort에서 사용되는 가장 빠른 소프트웨어 다중 패턴 매칭 보다 80배 이상 빠를 수 있다.

• 한국정보통신학회:학술대회논문집
• /
• 한국정보통신학회 2012년도 추계학술대회
• /
• pp.642-645
• /
• 2012

MANET은 기반구조를 사용하지 않은 구조적 한계로 인하여 정보침해에 매우 취약한 특성을 가지고 있다. 제한적 기능을 갖는 단말기에 많은 자원의 가동을 요구하는 침해 대비 기능을 가동시키기 어려운 단점과 방화벽이나 보안 기능이 탑재된 서버와 같은 기반구조의 지원이 수월치 못한 한계점들이 복합적으로 작용되어 발생되는 문제이다. 본 논문에서는 대규모 MANET에서 정보침해 대응 방안의 하나인 IDS(Intrusion Detection System)가 전송성능에 미치는 영향을 분석하고, MANET의 정보침해 취약점을 전송성능 면에서 살펴본다. 본 연구는 일정 이상의 통신영역과 노드수를 가지는 대규모 MANET을 대상으로 하며, 전송 서비스로는 VoIP 기반 음성 트래픽을 사용하였다. 연구 방법으로는 NS-2를 기반으로 한 컴퓨터 시뮬레이션을 이용하였으며, MOS와 호 연결율의 변화를 연구결과로 제시하였다.

• 한국전자거래학회지
• /
• 제19권4호
• /
• pp.195-204
• /
• 2014

최근 지능화 고도화 되고 있는 사이버 위협으로부터 중소기업을 보호하기 위해서는 24시간 예방 탐지 분석 대응 해 주는 보안관제가 필수적이다. 이러한 중소기업의 보안관제를 지원하기 위해 정부로부터 예산지원을 받아 중소기업기술지킴센터가 구축되어 운영 중이며, 현재 900여 개 중소기업에 대해 보안관제서비스를 지원하고 있다. 본 논문에서는 중소기업 기술지킴센터에서 보안관제서비스를 지원하고 있는 중소기업들의 이상트래픽에 대해 살펴보고 중소기업의 보안관제 개선방안을 제시하였다.

• 해양환경안전학회지
• /
• 제27권3호
• /
• pp.429-438
• /
• 2021

The mandatory installation of the ECDIS (Electronic Chart Display and Information System) became an important navigational equipment for navigation officer. In addition, ECDIS is a key component of the ship's digitalization in conjunction with various navigational equipment. Meanwhile, cyber-attacks emerge as a new threat along with digitalization. Damage caused by cyber-attacks is also reported in the shipping sector, and IMO recommends that cybersecurity guidelines be developed and included in International Security Management (ISM). This study analyzed the cybersecurity hazards of ECDIS, where various navigational equipment are connected. To this end, Importance-Performance Analysis (IPA) was conducted on navigation officer using ECDIS. As a result, the development of technologies for cyber-attack detection and prevention should be priority. In addition, policies related to 'Hardware and Software upgrade', 'network access control', and 'data backup and recovery' were analyzed as contents to be maintained. This paper is significant in deriving risk factors from the perspective of ECDIS users and analyzing their priorities, and it is necessary to analyze various cyber-attacks that may occur on ships in the future.

• 한국멀티미디어학회논문지
• /
• 제9권8호
• /
• pp.1037-1044
• /
• 2006

실제 대규모 네트워크에서 사이버 공격으로 인한 보안시스템의 성능을 검증하기는 어렵다. 일반적으로 새로운 보안시스템이나 공격기법은 시뮬레이션을 통해 검증을 한다. 본 논문에서는 보안시스템 및 공격기법을 시뮬레이션 하기 위해 SSFNet을 사용하였다. SSFNet은 프로세스 기반 사건 중심 시뮬레이션 시스템이면서, 대규모 네트워크를 쉽게 표현할 수 있는 장점을 가지고 있다. 하지만 보안시스템이나 패킷을 조작할 수 있는 API를 제공하고 있지 않다. 본 논문에서는 보안 시스템으로 주로 사용하고 있는 방화벽과 IPS 클래스를 개발하여 SSFNet 구성요소로 추가하였다. 방화벽은 패킷 필터링 기반 보안 방화벽 시스템을 모델링하였다. IPS는 탐지 기능과 이상 패킷에 대한 드롭 기능을 가지고 있다. 확장된 SSFNet내에 네트워크를 모델링하여 방화벽과 IPS의 기능을 검증하였다. 방화벽은 패킷의 주소와 포트의 규칙을 통해 패킷을 차단하였다. 그리고 라우터에 기술된 IPS의 로그화면을 통해 패킷의 상태와 이상 패킷이 차단되는 것을 확인하였다.

• Journal of information and communication convergence engineering
• /
• 제12권3호
• /
• pp.154-160
• /
• 2014

The address resolution protocol (ARP) provides dynamic mapping between two different forms of addresses: the 32-bit Internet protocol (IP) address of the network layer and the 48-bit medium access control (MAC) address of the data link layer. A host computer finds the MAC address of the default gateway or the other hosts on the same subnet by using ARP and can then send IP packets. However, ARP can be used for network attacks, which are one of the most prevalent types of network attacks today. In this study, a new ARP algorithm that can prevent IP spoofing attacks is proposed. The proposed ARP algorithm is a broadcast ARP reply and an ARP notification. The broadcast ARP reply was used for checking whether the ARP information was forged. The broadcast ARP notification was used for preventing a normal host's ARP table from being poisoned. The proposed algorithm is backward compatible with the current ARP protocol and dynamically prevents any ARP spoofing attacks. In this study, the proposed ARP algorithm was implemented on the Linux operating system; here, we present the test results with respect to the prevention of ARP spoofing attacks.