• 정보보호학회논문지
• /
• 제33권3호
• /
• pp.459-469
• /
• 2023

IoT 기기는 임베디드 장비와 컴퓨터 네트워크의 발전으로 그 수가 폭발적으로 늘어나고 있다. 이에 따라 IoT에 대한 사이버 위협이 증가하고 있으며, 현재 IoT 기기를 대상으로 악성코드를 유포하여 감염시키고 DDoS 공격에 악용하고 있다. 현재 이와 같은 공격의 대상이 되고 있는 IoT 기기는 설치 환경이 다양하며 기기의 자원이 제한적이다. 또한 IoT 기기는 한번 설정하면 소유자가 관리에 신경을 쓰지 않는 특성이 있다. 이 때문에 IoT 기기는 악성코드가 감염되기 쉬운 관리의 사각지대가 되어가고 있다. 이러한 어려움 때문에 IoT 기기는 악성코드의 위협이 항상 존재하며, 감염되면 대응이 제대로 이루어지고 있지 않다. 본 논문에서는 IoT 환경 특성을 고려하여 IoT 전용 악성코드 탐지 시스템을 설계하고 해당 시스템에서 사용하기 적합한 탐지 규칙을 제시할 것이다. 해당 시스템을 활용하면 이미 설치되어 사이버 위협에 노출되어 있는 IoT 기기의 구조를 변경하지 않고 저렴하고 효율적으로 IoT 악성코드 탐지 시스템을 구성할 수 있을 것이다.

• 정보처리학회논문지C
• /
• 제11C권7호
• /
• pp.959-970
• /
• 2004

사이버 공격의 형태가 나날이 다양해지고 복잡해지는데 반해 기존의 네트워크 보안 메커니즘은 지엽적인 영역의 방어적인 대응에 치중하고 있어 적시에 동격자를 탐지하고 신속하게 대응하는 것이 어려운 실정이다. 본 논문에서는 이러한 문제점을 해결하기 위한 방안으로 광역 네트워크 차원에서 다양한 사이버 공격에 쉽게 대응할 수 있고, 다수의 보안영역 간의 협력을 통해 공격자를 실시간으로 추적하고 고립화할 수 있는 새로운 네트워크 보안 구조를 제안하고자 한다. 제안하는 보안 구조는 액티브 네트워크를 기반으로 하는 이동코드를 포함한 액티브 패킷 기술을 이용하여 위조 IP 공격이나 DDoS(Distributed Denial of Service) 공격에 대하여 자율적이고 능동적으로 대응하는 것이 가능하다. 또한 다수의 보안영역 내의 보안 시스템 간의 협력을 통해 기존의 사업적인 공격 대응 방식에 비해 보다 광역적이고 일괄적인 보안 서비스를 제공한다. 또한, 본 논문에서는 제안한 공격자 대응 프레임워크의 실험 환경을 구축하고 실험한 결과를 분석함으로써 적용 가능성을 검증하였다.

• 한국정보보호학회:학술대회논문집
• /
• 한국정보보호학회 2006년도 하계학술대회
• /
• pp.101-104
• /
• 2006

유행처럼 시도하던 DDoS 공격, 특정 목적을 위한 트로이 목마, 스팸메일을 통한 악성코드 유포, 개인 정보 유출 등 악의적인 공격들이 공격자에 의해 조종당하는 Bot에 의해 쉽게 이루어지고 있으며, 특별한 해결방안이 있는 것도 아니다. 이러한 Bot들이 공격자를 통해서가 아닌 자체적으로 P2P 네트워크를 자가 형성하여 공격한다면 탐지는 더욱 어려워지게 된다. 이와 같은 자가 형성에 대응한 효율적인 방어책을 로컬 시스템 간의 네트워크 모니터링 에이전트를 도입하여 해결하고, 에이전트들이 자가 형성하여 실시간으로 Bot에 대한 정보를 공유하고, 이 정보를 기반으로 시스템을 감시하여 Bot을 탐지하는 방어책에 대해 본 논문에서 기술한다.

• 디지털융복합연구
• /
• 제13권4호
• /
• pp.235-246
• /
• 2015

최근 다양한 불특정 다수의 해킹 및 반복되는 DDoS 사이버테러 공격을 이해하고, 그 해결책을 비로소 공격 기법에서 찾을 수 있었다. 공격자와 방어자, 공격 기법과 방어 기법의 접목이라는 자유로운 연구 방식은 항상 엉뚱함에서 가능성을 발견해가는 도전이라 할 수 있다. 본 논문에서는 "KWON-GA"라는 세계적인 화이트 해커들 개발진이 오랜 경험의 침투 및 진단을 통해, 공격이 최상의 방어라는 미명하에 방어의 목적으로 구현된 지식 정보 보안 솔루션을 고객이 운용 중인 시스템 환경에 맞추어 필요한 기술을 적용하는 커스터마이징 정책으로 맞춤 솔루션을 제공할 수 있으며, 독창적인 원천기술로 처리되어 탐색이 불가능하고 내부적으로 유출되는 경우에도 분석이 되지 않아 해커에게 분석되어 취약점을 노출하거나 해킹의 수단으로 악용되지 않는 ITC융합 보안 솔루션을 시험평가 하였다.

• 한국통신학회논문지
• /
• 제29권4C호
• /
• pp.559-569
• /
• 2004

인터넷 기반의 사이버 공격의 형태가 다양해지고 복잡해지면서 공격자를 탐지하고 신속하게 대응하는 것이 점차 어려워지고 있다. 또한, 기존의 네트워크 보안 메커니즘이 지엽적인 영역에서 방어적인 대응에 치중하고 있는 실정이다. 본 논문에서는 다양한 사이버 공격에 쉽게 대응할 수 있고, 보안 영역 간의 협력을 통해 공격자를 추적하고 고립화할 수 있는 능동적인 대응이 가능한 새로운 네트워크 보안 구조를 제안하고자 한다. 제안된 보안 구조는 능동 네트워크 상에서 능동 패킷 기술을 이용하여 위조 IP 공격이나 DDoS(Distributed Denial of Service) 공격 등을 효과적으로 대응하는 것이 가능하다. 제안된 보안 구조를 기반으로 설계된 능동 보안 관리 시스템은 보안 영역 내에서 능동보안노드와 능동보안관리서버로 구성되며, 다양한 보안 영역 내의 능동보안관리 시스템 간의 협업을 통해 기존의 사이버 공격 대응 방식보다 능동적으로 대응할 수 있다. 능동보안관리 시스템의 적용가능성을 검증하기 위해 테스트베드를 구축하여 실험하였고, 실험 결과를 분석한다.

• 정보보호학회논문지
• /
• 제21권4호
• /
• pp.61-75
• /
• 2011

최근 DDoS공격용 좀비, 기업정보 및 개인정보 절취 등 각종 사이버 테러 및 금전적 이윤 획득의 목적으로 웹사이트를 해킹, 악성코드를 은닉함으로써 웹사이트 접속PC를 악성코드에 감염시키는 공격이 지속적으로 증가하고 있으며 은닉기술 및 회피기술 또한 지능화 전문화되고 있는 실정이다. 악성코드가 은닉된 웹사이트를 탐지하기 위한 현존기술은 BlackList 기반 패턴매칭 방식으로 공격자가 악성코드의 문자열 변경 또는 악성코드를 변경할 경우 탐지가 불가능하여 많은 접속자가 악성코드 감염에 노출될 수 밖에 없는 한계점이 존재한다. 본 논문에서는 기존 패턴매칭 방식의 한계점을 극복하기 위한 방안으로 WhiteList 기반의 악성코드 프로세스 행위분석 탐지기술을 제시하였다. 제안방식의 실험 결과 현존기술인 악성코드 스트링을 비교하는 패턴매칭의 MC-Finder는 0.8%, 패턴매칭과 행위분석을 동시에 적용하고 있는 구글은 4.9%, McAfee는 1.5%임에 비해 WhiteList 기반의 악성코드 프로세스 행위분석 기술은 10.8%의 탐지율을 보였으며, 이로써 제안방식이 악성코드 설치를 위해 악용되는 웹 사이트 탐지에 더욱 효과적이라는 것을 증명할 수 있었다.

• 정보보호학회논문지
• /
• 제19권3호
• /
• pp.83-93
• /
• 2009

최근의 사이버 공격은 경쟁사에 대한 DDoS공격과 기밀정보 유출, 일반 사용자들의 금융정보 유출 광고성 스팸메일의 대량 발송 등 불법 행위를 통해 경제적 이득을 취하려는 형태로 바뀌어가고 있다. 그 중심에 있는 봇넷은 봇이라 불리는 감염된 호스트들의 네트워크로서 최근 발생하는 많은 사이버 공격에 이용되고 있다. 이러한 봇넷은 수많은 변종과 다양한 탐지 회피 기술로 무장하고 전 세계 네트워크 전반에 걸쳐 그 세력을 확장해 가고 있다. 하지만 현존하는 봇넷 대응 솔루션은 대부분 시그네쳐 기반 탐지 방법을 이용하거나, 극히 제한적인 지역의 봇넷만을 탐지하고 있어, 총괄적 봇넷 대응에는 미흡한 것이 현실이다. 본 연구에서는 중앙집중형 봇넷을 주요 목표로 하며, 이를 빠르게 탐지하고 대응하기 위해 ISP 사업자들 간, 혹은 국가 간에 봇넷 정보 공유를 통한 중앙집중형 봇넷 탐지 및 관리 시스템 설계를 제안한다. 본 시스템은 특정 시스템이나 하드웨어에 특화되지 않은 유연함을 갖고 있어 설치 및 배포가 쉽고 ISP 간 혹은 국가간의 정보 공유를 통해 넓은 지역의 네트워크를 수용할 수 있어, 기존의 솔루션보다 효율적인 봇넷 탐지 및 관리가 가능하다.

• 대한전자공학회논문지TC
• /
• 제43권7호
• /
• pp.84-92
• /
• 2006

서비스거부 공격 또는 분산서비스거부 공격과 같이 단시간 동안 대량의 비정상 트래픽이 발생하였을 경우, 이에 대응하기 위한 기법들에 대해 많은 연구가 진행되었다. 본 논문에서는 비정상 트래픽에 대응하기 위한 대표적인 기법들인 공격차단 기법과 공격경감 기법을 이론적으로 비교한 내용을 보이고자 한다. 공격차단 기법은 일반적으로 필터링 규칙을 기반으로 특정 네트워크로 유입된 네트워크 트래픽에 대해 통과 또는 차단을 실시하는 기법을 의미한다. 그리고 공격경감 기법은 트래픽 전송경로 상에 존재하는 라우터에서 각 라우터들이 가지고 있는 비정상 트래픽 정보를 기반으로 해당 트래픽에 대해 필터링 작업을 실시하거나, 목적지 네트워크의 게이트웨이 상에서 유입된 트래픽의 서비스품질을 제어하는 방법으로 비정상 트래픽에 대해 대응 작업을 실시하는 기법을 의미한다. 비교 기준으로는 공격탐지루틴이 동작한 후, 통과하는 정상 트래픽과 오탐지 트래픽 비율로 하며, 공격경감 기법에 사용할 수 있는 구체적인 트래픽 대역폭 비율을 추가로 보이도록 한다.

• 한국통신학회논문지
• /
• 제28권5B호
• /
• pp.489-499
• /
• 2003

본 논문은 CPN(Colored Petri Nets)을 이용한 Honypot 모델의 설계 및 구현에 관한 것이다. 제안된 Honeypot 모델은 해커의 침입을 능동적으로 유도하고 침입을 탐지 및 행동패턴의 파악을 위해 보안커널 모듈과 유도된 해커의 활동을 위한 가상 모듈로 구성되어 있으며, CPN을 이용한 모델과 기존의 Denning 모델 및 Shieh 모델과 비교 분석하였다. 본 논문에서 제안된 CPN을 이용한 Honeypot 모델은 침입패턴의 특성에 대한 분류가 가능하고, 침입패턴의 모델링과 패턴매칭 과정의 모델링이 가능하며. 다중 호스트를 통한 DDoS 공격의 탐지가 가능하고, 마지막으로 침입패턴의 분석을 위한 학습모델의 기반 제공이 가능하다.

• 디지털융복합연구
• /
• 제19권9호
• /
• pp.463-468
• /
• 2021

IoT는 기술의 발전과 IoT 기기의 보급 및 서비스의 활성화로 폭발적인 증가세를 보이고 있지만, 최근 다양한 봇넷의 활동에 의해 심각한 보안 위험과 재정적 피해가 발생하고 있다. 따라서 이러한 봇넷의 활동을 정확하고 빠르게 탐지하는 것이 중요하다고 할 수 있다. IoT 환경에서의 보안은 최소한의 프로세싱 성능과 메모리로 운영을 해야 하는 특성이 있는 만큼, 본 논문에서는 탐지를 위한 최소한의 특성을 선택하고, KNN(K-Nearest Neighbor), Naïve Bayes, Decision Tree, Random Forest와 같은 머신러닝 알고리즘이 봇넷의 활동을 탐지하는 성능을 비교연구 하였다. Bot-IoT 데이터셋을 사용한 실험 결과는 적용한 머신러닝 알고리즘 중 KNN이 DDoS, DoS, Reconnaissance 공격을 가장 효과적이고 효율적으로 탐지할 수 있음을 보여주었다.