• Proceedings of the Korea Information Processing Society Conference
• /
• 2006.05a
• /
• pp.521-524
• /
• 2006

인터넷 사용의 급증과 함께 Code-Red나 Slammer와 같은 웜이 급격히 확산 되고 있으며 네트워크를 통해 스스로 전파되면서 네트워크 자원을 고갈시킴으로써 문제가 더욱 심각해지고 있다. 이에 따라 웜을 탐지하기 위한 많은 방법들이 제시되었다. 본 논문에서는 DoS 탐지를 위해 고안 된 트래픽 비율 분석법을 이용하여 정상 네트워크와 웜이 발생 시키는 스캐닝 관련 행위에 대한 패킷 비율을 비교하였다. 이 방법을 통해 네트워크 내에서 웜에 감염된 호스트를 찾아내고 오탐지율을 최소화하는 방법과 웜 전파 행위를 탐지해 내는 방법에 대해서 제안한다. 또한 실제 네트워크에서 수집된 트래픽으로부터 웜의 특성을 분석해 본 결과 최근 웜들의 전파방식을 분석 할 수 있었다.

• Proceedings of the Korea Institutes of Information Security and Cryptology Conference
• /
• 2001.11a
• /
• pp.153-156
• /
• 2001

Code Red, Nimda 등 최근 인터넷웜(Internet Worm)에 의한 침입은 방화벽시스템, 침입탐지시스템 등 보안제품이 존재하는 네트워크에서도 적절한 대책이 되지 않은 경향을 보이고 있다. 침입차단시스템을 통과할 수 있는 신종 취약점을 이용한 침입에는 오용방지방법(Misuse Detection)에 의한 침입탐지시스템이 침입패턴을 업데이트하기 전에 이미 네트 워크에 피해를 입힐 가능성이 크게 증가하는 것이다. 향후에도 크게 증가할 것으로 보이는 인터넷웜 공격 등에는 침입차단시스템, 침입탐지시스템 등 보안제품의 로그기록 상황과 네트워크의 보안상태를 지속적으로 감시함으로서 조기에 침입을 탐지할 수 있다. 본 논문에서는 신종 웜 공격에 의한 침입이 발생되었을 때 IDS가 탐지하지 못하는 상황에서도 침입의 흔적을 조기에 발견할 수 있는 네트워크 보안 상태변수확인방법(Network Security Parameter Matching Method)을 제안하고자 한다.

• Proceedings of the Korean Information Science Society Conference
• /
• 2002.10e
• /
• pp.292-294
• /
• 2002

인터넷 사용의 급증과 함께 Code-Red나 Nimda와 같은 서비스 거부 공격형 웜 바이러스가 급격히 확산되고 있으며 이로 인한 피해가 급증하고 있다. 이러한 웜 바이러스 대부분 일정 패턴의 HTTP 요청을 가지고 있으며 이러한 HTTP 요청 패턴을 확인하면 현재 감염된 클라이언트를 확인 할 수 있다. 그러나 새로운 웜 바이러스의 출현 시에는 기존에 분석한 요청 패턴만으로는 감염된 클라이언트의 확인이 불가능하다. 따라서 본 논문에서는 프락시 서버를 이용하여 실시간으로 바이러스 패턴을 분석하여 그 HTTP 요청 패턴과, 감염된 클라이언트 정보를 관리자에게 전송하며 자동으로 해당 클라이언트 및 해당 패턴에 대한 요청을 차단하여 바이러스의 확산을 막는 시스템을 제안한다.

• Proceedings of the Korean Information Science Society Conference
• /
• 2005.07a
• /
• pp.133-135
• /
• 2005

인터넷에서 일어나는 침해사고 중에서 웜에 의한 피해가 가장 심각하다. 2001 년 Code Red 웜의 출현과 2003 년 SQL Slammer 웜의 출현 이후로 웜에 감염된 이후에 행동 양상을 탐지하여 대응하는 것은 웜의 피해를 최소화 하기에는 역부족이다. 웜에 의해서 감염이 되기 이전에 웜을 탐지하여 조기에 대처하는 것이 무엇보다 중요하다. 또한 이미 알려져 있는 웜에 대한 행동양상을 이용한 웜의 탐지는 신종 웜의 출현 주기가 급격히 짧아지는 현실에 능동적으로 대처할 수 없다. 현재까지 발생한 인터넷 웜은 감염시킬 대상을 선택함에 있어서 랜덤 생성기를 사용하였으며 향후 나타날 웜도 빠른 확산과 자신의 위치를 드러내지 않기 위해 랜덤 스케닝 방식을 사용할 것이다. 본 연구는 네트워크의 연결들을 행렬로 표현하고, 이 행렬의 랭크(rank)값을 구하여 랜덤성 체크를 하는 방식으로, 웜으로 인한 트래픽에서 발생하는 랜덤성을 탐지할 수 있도록 하였다. 이 방법은 네트워크에서 알려지지 않은 신종 웜을 탐지하도록 하므로, 웜에의한 확산을 조기 탐지할 수 있게 하고, 더불어 웜의 피해를 최소화 하는 것을 목적으로 한다.

• Journal of the Korea Institute of Information Security & Cryptology
• /
• v.14 no.4
• /
• pp.97-110
• /
• 2004

As modem web services become enormously complex, web attacks has become frequent and serious. Existing security solutions such as firewalls or signature-based intrusion detection systems are generally inadequate in securing web services, and analysis of raw web log data is simply impractical for most organizations. Visual display of "interpreted" web logs, with emphasis on anomalous web requests, is essential for an organization to efficiently track web usage patterns and detect possible web attacks. In this paper, we discuss various issues related to effective real-time visualization of web usage patterns and anomalies. We implemented a software tool named SAD (session anomaly detection) Viewer to satisfy such need and conducted an empirical study in which anomalous web traffics such as Misuse attacks, DoS attacks, Code-Red worms and Whisker scans were injected. Our study confirms that SAD Viewer is useful in assisting web security engineers to monitor web usage patterns in general and anomalous web sessions in particular.articular.

• Journal of the Korea Institute of Information Security & Cryptology
• /
• v.16 no.1
• /
• pp.55-63
• /
• 2006

Recently, there is much abnormal traffic driven by several worms, such as Nimda, Code Red, SQL Stammer, and so on, making badly severe damage to networks. Meanwhile, diverse prevention schemes for defeating abnormal traffic have been studied in the academic and commercial worlds. In this paper, we present the structure of a stepwise intrusion prevention system that is designed with the feature of putting limitation on the network bandwidth of each network traffic and dropping abnormal traffic, and then compare the proposed scheme with a pre-existing scheme, which is a True/False based an anomaly prevention scheme for several worm-patterns. There are two criteria for comparison of the schemes, which are Normal Traffic Rate (NTR) and False Positive Rate (FPR). Assuming that the abnormal traffic rate of a specific network is $\beta$ during a predefined time window, it is known that the average NTR of our stepwise intrusion prevention scheme increases by the factor of (1+$\beta$)/2 than that of True/False based anomaly prevention scheme and the average FPR of our scheme decrease by the factor of (1+$\beta$)/2.

• Review of KIISC
• /
• v.15 no.2
• /
• pp.74-82
• /
• 2005

오늘날 네트워크 보안 기술은 해커의 침입 탐지 및 제어, 분산 서비스 거부 공격의 방지 등 많은 분야에서 발전하여 왔다. 그러나, 최근 많은 문제를 발생시키면서 등장한 인터넷 웜은 기존의 네트워크 보안 장비들을 무력화시키며 인터넷 상에 연결된 많은 호스트들을 감염시키고 동시에 네트워크 자원을 소모시켜 버렸다. 실상 초기의 웜은 작은 규모의 네트워크에서 퍼지는 정도 일뿐 심각한 피해를 주는 경우는 거의 없었고 따라서 이에 대해서 심각한 대비책 등을 생각하지는 않았다. 그러나 2001년 발생한 CodeRed 웜은 인터넷에 연결된 많은 컴퓨터들을 순식간에 감염시켜 많은 경제적, 물질적 피해를 발생시켰고, 그 이후 2003년 1월에 발생한 Stammer 웜은 10분이라는 짧은 순간 안에 75000 여대 이상의 호스트를 감염시키고 네트워크 자체를 마비시켰다. 특히 Stammer 월은 국내에서 많은 피해를 유발시켰기에 더더욱 유명하다. 명절 구정과 맞물려 호황을 누리던 인터넷 쇼핑 몰과, 인터넷 금융 거래를 수행하던 은행 전산소 등을 일시에 마비시켜 버리면서 경제적으로도 실질적인 막대한 피해를 우리에게 주었다. 이런 웜을 막기 위해서 많은 보안 업체 및 연구소들이 나서고 있으나, 아직은 사전에 웜의 피해를 막을만한 확실한 대답을 얻지 못하고 있다. 본 논문에서는, 현재 수행하고 있는 여러 웜의 탐지기법에 대해서 조사한 결과를 설명하고, 이어서 본 연구소에서 수행하고 있는 웜의 탐지 기법에 대해서 설명하고 간단한 탐지 결과를 보일 것이다.

• Journal of KIISE:Computer Systems and Theory
• /
• v.33 no.3
• /
• pp.178-192
• /
• 2006

The buffer overflow attack is the single most dominant and lethal form of security exploits as evidenced by recent worm outbreaks such as Code Red and SQL Stammer. In this paper, we propose microarchitectural techniques that can detect and recover from such malicious code attacks. The idea is that the buffer overflow attacks usually exhibit abnormal behaviors in the system. This kind of unusual signs can be easily detected by checking the safety of memory references at runtime, avoiding the potential data or control corruptions made by such attacks. Both the hardware cost and the performance penalty of enforcing the safety guards are negligible. In addition, we propose a more aggressive technique called corruption recovery buffer (CRB), which can further increase the level of security. Combined with the safety guards, the CRB can be used to save suspicious writes made by an attack and can restore the original architecture state before the attack. By performing detailed execution-driven simulations on the programs selected from SPEC CPU2000 benchmark, we evaluate the effectiveness of the proposed microarchitectural techniques. Experimental data shows that enforcing a single safety guard can reduce the number of system failures substantially by protecting the stack against return address corruptions made by the attacks. Furthermore, a small 1KB CRB can nullify additional data corruptions made by stack smashing attacks with only less than 2% performance penalty.