• 정보보호학회논문지
• /
• 제33권3호
• /
• pp.459-469
• /
• 2023

IoT 기기는 임베디드 장비와 컴퓨터 네트워크의 발전으로 그 수가 폭발적으로 늘어나고 있다. 이에 따라 IoT에 대한 사이버 위협이 증가하고 있으며, 현재 IoT 기기를 대상으로 악성코드를 유포하여 감염시키고 DDoS 공격에 악용하고 있다. 현재 이와 같은 공격의 대상이 되고 있는 IoT 기기는 설치 환경이 다양하며 기기의 자원이 제한적이다. 또한 IoT 기기는 한번 설정하면 소유자가 관리에 신경을 쓰지 않는 특성이 있다. 이 때문에 IoT 기기는 악성코드가 감염되기 쉬운 관리의 사각지대가 되어가고 있다. 이러한 어려움 때문에 IoT 기기는 악성코드의 위협이 항상 존재하며, 감염되면 대응이 제대로 이루어지고 있지 않다. 본 논문에서는 IoT 환경 특성을 고려하여 IoT 전용 악성코드 탐지 시스템을 설계하고 해당 시스템에서 사용하기 적합한 탐지 규칙을 제시할 것이다. 해당 시스템을 활용하면 이미 설치되어 사이버 위협에 노출되어 있는 IoT 기기의 구조를 변경하지 않고 저렴하고 효율적으로 IoT 악성코드 탐지 시스템을 구성할 수 있을 것이다.

• 대한전자공학회논문지TC
• /
• 제43권7호
• /
• pp.84-92
• /
• 2006

서비스거부 공격 또는 분산서비스거부 공격과 같이 단시간 동안 대량의 비정상 트래픽이 발생하였을 경우, 이에 대응하기 위한 기법들에 대해 많은 연구가 진행되었다. 본 논문에서는 비정상 트래픽에 대응하기 위한 대표적인 기법들인 공격차단 기법과 공격경감 기법을 이론적으로 비교한 내용을 보이고자 한다. 공격차단 기법은 일반적으로 필터링 규칙을 기반으로 특정 네트워크로 유입된 네트워크 트래픽에 대해 통과 또는 차단을 실시하는 기법을 의미한다. 그리고 공격경감 기법은 트래픽 전송경로 상에 존재하는 라우터에서 각 라우터들이 가지고 있는 비정상 트래픽 정보를 기반으로 해당 트래픽에 대해 필터링 작업을 실시하거나, 목적지 네트워크의 게이트웨이 상에서 유입된 트래픽의 서비스품질을 제어하는 방법으로 비정상 트래픽에 대해 대응 작업을 실시하는 기법을 의미한다. 비교 기준으로는 공격탐지루틴이 동작한 후, 통과하는 정상 트래픽과 오탐지 트래픽 비율로 하며, 공격경감 기법에 사용할 수 있는 구체적인 트래픽 대역폭 비율을 추가로 보이도록 한다.

• KSII Transactions on Internet and Information Systems (TIIS)
• /
• 제9권4호
• /
• pp.1471-1492
• /
• 2015

The rapid development of smartphone technologies have resulted in the evolution of mobile botnets. The implications of botnets have inspired attention from the academia and the industry alike, which includes vendors, investors, hackers, and researcher community. Above all, the capability of botnets is uncovered through a wide range of malicious activities, such as distributed denial of service (DDoS), theft of business information, remote access, online or click fraud, phishing, malware distribution, spam emails, and building mobile devices for the illegitimate exchange of information and materials. In this study, we investigate mobile botnet attacks by exploring attack vectors and subsequently present a well-defined thematic taxonomy. By identifying the significant parameters from the taxonomy, we compared the effects of existing mobile botnets on commercial platforms as well as open source mobile operating system platforms. The parameters for review include mobile botnet architecture, platform, target audience, vulnerabilities or loopholes, operational impact, and detection approaches. In relation to our findings, research challenges are then presented in this domain.

• 대한전자공학회논문지TC
• /
• 제44권3호
• /
• pp.33-40
• /
• 2007

본 논문에서는 최근 새롭게 발견된 low-rate TCP (LRT) 공격과 이 공격을 감지하기 위한 DTW (Dynamic Time Warping) 알고리즘을 분석하고 공격 검출에 대한 성능 향상을 위한 스케일링 기반 DTW (Scaling based DTW; S-DTW) 알고리즘을 소개한다. Low-rate TCP 공격은 대용량 트래픽을 사용한 기존 서비스 거부 공격과는 다르게 공격 트래픽의 평균 트래픽 양이 적어서 기존 DoS 공격에 대한 감지 방식으로는 검출되지 않는다. 그러나 LRT 공격은 주기적이고 짧은 버스트 트래픽으로 TCP 연결의 최소 재전송 타임아웃 (Retransmission Timeout; RTO)에 대한 취약성을 공격하기 때문에 패턴 매칭으로 공격 감지가 가능하다. 기존 메커니즘에 의한 감지 기법은 공격 패턴의 입력 샘플 템플릿을 기준으로 입력 트래픽이 정상 트래픽인지 또는 공격 트래픽인지를 판별한다. 이 과정에서 입력 트래픽의 특성에 따라서 DTW 알고리즘은 정상 트래픽을 공격 트래픽으로 오판하는 문제점을 갖는다. 따라서 본 논문에서는 이러한 오판을 줄이기 위하여 기존 DTW 알고리즘의 전처리 과정인 자기상관 (auto-correlation) 처리를 분석하여 오판을 규명한다. 또한 스케일링 기반으로 자기상관 처리 결과를 수정하여 공격 트래픽과 정상 트래픽의 특성의 차이를 증가시킴으로써 DTW 알고리즘에 의한 공격 감지 능력을 향상시킨다 마지막으로 다양한 스케일링 방식과 표준편차에 의한 트래픽 분석 방법도 논의된다.

• 한국컴퓨터정보학회:학술대회논문집
• /
• 한국컴퓨터정보학회 2019년도 제59차 동계학술대회논문집 27권1호
• /
• pp.119-122
• /
• 2019

최근 웹 변조 공격은 대형 포탈, 은행, 학교 등 접속자가 많은 홈페이지에 악성 URL을 불법 삽입하여 해당 URL을 통해 접속자 PC에 자동으로 악성코드 유포하고 대규모 봇넷(botnet)을 형성한 후 DDoS 공격을 수행하거나 감염 PC들의 정보를 지속적으로 유출하는 형태로 수행된다. 이때, 홈페이지에 삽입되는 악성 URL은 탐지가 어렵도록 Javascript 난독화 기법(obfuscation technique) 등으로 은밀히 삽입된다. 본 논문에서는 웹 소스코드에 은닉된 악성 Javascript URL들에 대한 일괄 점검체계를 제안하며, 구현된 점검체계의 prototype을 활용하여 점검성능에 대한 시험결과를 제시한다.

• 정보보호학회논문지
• /
• 제24권1호
• /
• pp.155-163
• /
• 2014

네트워크 성능 향상을 위하여 콘텐츠 중심 네트워킹(CCN)은 콘텐츠 전송 경로 상에 있는 네트워크 중간 노드들이 중계하는 콘텐츠를 임시로 저장하고, 중간 노드가 임시 저장된 콘텐츠에 대한 요청 메시지 (Interest)를 수신하면, 해당 노드는 Interest를 콘텐츠 제공자에게 전송하지 않고, 임시 저장된 콘텐츠를 응답 메시지 (Data)로 콘텐츠 요청자에게 전송한다. 중간 노드에 의한 Interest 처리 방식은 효율적인 콘텐츠 전송을 가능케 할 뿐만 아니라 콘텐츠 제공자에게 집중되는 Interest를 분산 처리되게 함으로써 콘텐츠 제공자 또는 그 주변 네트워크 노드에서 발생하는 네트워크 병목현상을 효과적으로 해결할 수 있다. 이를 위하여 CCN 노드는 수신된 Data를 임시 저장하는 Content Store와 Data를 요청자에게 전송하기 위해 Interest 유입 경로를 저장/관리하는 Pending Interest Table (PIT)와 같은 자원을 추가적으로 운영한다. 그러나 공격 목표 노드에 대량의 Fake Interest을 전송하여 특정 노드의 PIT 자원을 고갈시켜 네트워킹을 방해하는 서비스 거부 공격에 대한 가능성이 제기 되었다. 본 논문에서는 앞서 제기된 Fake Interest를 이용한 PIT 공격 및 대응 방안을 살펴보고, Fake Data를 이용한 새로운 공격 방법 및 대응 방안을 제안한다. 또한, 제안된 방식을 시뮬레이션을 통하여 그 성능을 평가 한다.

• International Journal of Advanced Culture Technology
• /
• 제9권4호
• /
• pp.288-294
• /
• 2021

There are various ways to be infected with malicious code due to the increase in Internet use, such as the web, affiliate programs, P2P, illegal software, DNS alteration of routers, word processor vulnerabilities, spam mail, and storage media. In addition, malicious codes are produced more easily than before through automatic generation programs due to evasion technology according to the advancement of production technology. In the past, the propagation speed of malicious code was slow, the infection route was limited, and the propagation technology had a simple structure, so there was enough time to study countermeasures. However, current malicious codes have become very intelligent by absorbing technologies such as concealment technology and self-transformation, causing problems such as distributed denial of service attacks (DDoS), spam sending and personal information theft. The existing malware detection technique, which is a signature detection technique, cannot respond when it encounters a malicious code whose attack pattern has been changed or a new type of malicious code. In addition, it is difficult to perform static analysis on malicious code to which code obfuscation, encryption, and packing techniques are applied to make malicious code analysis difficult. Therefore, in this paper, a method to detect malicious code through dynamic analysis and static analysis using Trojan-type Downloader/Dropper malicious code was showed, and suggested to malicious code detection and countermeasures.

• 한국컴퓨터정보학회논문지
• /
• 제24권5호
• /
• pp.27-33
• /
• 2019

One of serious security threats is a botnet-based attack. A botnet in general consists of numerous bots, which are computing devices with networking function, such as personal computers, smartphones, or tiny IoT sensor devices compromised by malicious codes or attackers. Such botnets can launch various serious cyber-attacks like DDoS attacks, propagating mal-wares, and spreading spam e-mails over the network. To establish a botnet, attackers usually inject malicious URLs into web source codes stealthily by using data hiding methods like Javascript obfuscation techniques to avoid being discovered by traditional security systems such as Firewall, IPS(Intrusion Prevention System) or IDS(Intrusion Detection System). Meanwhile, it is non-trivial work in practice for software developers to manually find such malicious URLs which are hidden in numerous web source codes stored in web servers. In this paper, we propose a security defense system to discover such suspicious, malicious URLs hidden in web source codes, and present experiment results that show its discovery performance. In particular, based on our experiment results, our proposed system discovered 100% of URLs hidden by Javascript encoding obfuscation within sample web source files.

• 한국경영과학회:학술대회논문집
• /
• 한국경영과학회/대한산업공학회 2005년도 춘계공동학술대회 발표논문
• /
• pp.243-247
• /
• 2005

인터넷의 사용이 증가하면서, DDoS와 같은 네트워크 공격 역시 빠르게 증가하고 있다. 최근 발생하는 네트워크 상의 공격은 특정 호스트에 대한 피해뿐만 아니라, 전체 네트워크의 성능 저하를 유발한다. 이러한 피해를 막기 위해서 효율적인 탐지 기법이 필요하다. 본 논문에서는, 다중 엔트로피를 이용하여 고속의 네트워크 상황에 적합한 탐지 기법을 제시하였다. 제시한 기법은 공격의 발생에 따른 출발지 주소, 목적지 주소, 목적지 포트의 엔트로피를 관찰하여 공격을 탐지한다. 공격이 발생하였을 경우, 각각 의 엔트로피는 정상 상태와 다른 값을 가진다. 또한 공격의 특성에 따라 엔트로피 값들은 서로 다르게 변한다. 이를 이용하여 공격의 종류를 파악할 수 있다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2011년도 춘계학술발표대회
• /
• pp.971-974
• /
• 2011

본 논문에서는 대용량 네트워크에 비정상적인 트래픽이 유입이 되거나 나가는 경우 패킷 기반의 비정상 트래픽의 탐지와 분석이 가능토록 하는 시스템을 설계하고 구현하였다. 본 논문에서 구현한 시스템은 네트워크상의 이상 행위를 탐지하기 위하여, DDoS HTTP Get Flooding 공격 탐지 알고리즘을 적용하고, NetFPGA를 이용하여 라우터 단에서 패킷을 모니터링하며 공격을 탐지한다. 본 논문에서 구현한 시스템은 Incomplete Get 공격 타입의 Slowloris 봇과, Attack Type-2 공격 타입의 BlackEnergy, Netbot Vip5.4 봇에 높은 탐지율을 보였다.