• 정보처리학회논문지C
• /
• 제11C권7호
• /
• pp.959-970
• /
• 2004

사이버 공격의 형태가 나날이 다양해지고 복잡해지는데 반해 기존의 네트워크 보안 메커니즘은 지엽적인 영역의 방어적인 대응에 치중하고 있어 적시에 동격자를 탐지하고 신속하게 대응하는 것이 어려운 실정이다. 본 논문에서는 이러한 문제점을 해결하기 위한 방안으로 광역 네트워크 차원에서 다양한 사이버 공격에 쉽게 대응할 수 있고, 다수의 보안영역 간의 협력을 통해 공격자를 실시간으로 추적하고 고립화할 수 있는 새로운 네트워크 보안 구조를 제안하고자 한다. 제안하는 보안 구조는 액티브 네트워크를 기반으로 하는 이동코드를 포함한 액티브 패킷 기술을 이용하여 위조 IP 공격이나 DDoS(Distributed Denial of Service) 공격에 대하여 자율적이고 능동적으로 대응하는 것이 가능하다. 또한 다수의 보안영역 내의 보안 시스템 간의 협력을 통해 기존의 사업적인 공격 대응 방식에 비해 보다 광역적이고 일괄적인 보안 서비스를 제공한다. 또한, 본 논문에서는 제안한 공격자 대응 프레임워크의 실험 환경을 구축하고 실험한 결과를 분석함으로써 적용 가능성을 검증하였다.

• 한국통신학회논문지
• /
• 제29권4C호
• /
• pp.559-569
• /
• 2004

인터넷 기반의 사이버 공격의 형태가 다양해지고 복잡해지면서 공격자를 탐지하고 신속하게 대응하는 것이 점차 어려워지고 있다. 또한, 기존의 네트워크 보안 메커니즘이 지엽적인 영역에서 방어적인 대응에 치중하고 있는 실정이다. 본 논문에서는 다양한 사이버 공격에 쉽게 대응할 수 있고, 보안 영역 간의 협력을 통해 공격자를 추적하고 고립화할 수 있는 능동적인 대응이 가능한 새로운 네트워크 보안 구조를 제안하고자 한다. 제안된 보안 구조는 능동 네트워크 상에서 능동 패킷 기술을 이용하여 위조 IP 공격이나 DDoS(Distributed Denial of Service) 공격 등을 효과적으로 대응하는 것이 가능하다. 제안된 보안 구조를 기반으로 설계된 능동 보안 관리 시스템은 보안 영역 내에서 능동보안노드와 능동보안관리서버로 구성되며, 다양한 보안 영역 내의 능동보안관리 시스템 간의 협업을 통해 기존의 사이버 공격 대응 방식보다 능동적으로 대응할 수 있다. 능동보안관리 시스템의 적용가능성을 검증하기 위해 테스트베드를 구축하여 실험하였고, 실험 결과를 분석한다.

• 융합보안논문지
• /
• 제14권2호
• /
• pp.57-63
• /
• 2014

인터넷 사용자의 급증에 따라, 인터넷을 통한 각종 침해사고 역시 크게 증가되고 있다. 이러한 각종 침해사고로부터의 대응 방법으로 해킹을 시도하는 해커의 실제 위치를 실시간으로 추적하는 침입자 역추적 기술에 대한 연구가 활발히 이루어지고 있다. 본 논문에서는 TCP Connection trace-back 시스템에서 사용되는 기법 중에 하나인 패킷 워터마킹 역추적 기법에서 TCP Hijacking 기법을 이용하여 Reply 패킷의 Connection 유지의 어려움을 해결하는 방법을 제시한다.

• 한국IT서비스학회지
• /
• 제12권3호
• /
• pp.151-163
• /
• 2013

It is no doubt that information technology is the key factor of national safety. Information technology is positively useful for national security such as crime prevention and detection, criminal investigation, disaster management, and national defense. However, it might be a threat to the security as we saw in the examples such as '3.4 DDoS attacks' and 'Nong-hyup Computer Network Failure.' Although the effect that information technology makes upon the national security is immense, the current legal system does not reflect these changes well. National security should be kept during 'prevention-response-recovery' process regardless it is in the online on offline. In addition, public administration for national security should be based on laws. However, the current legal system is lack of legislative basis on cyber and physical disaster, and the laws on the response to disaster might cause confusing. Therefore, this study examines the limitation of the current legal system on national security, and suggests directions for the development of the system based on the new establishment of the legal concept for 'national security'.

• 한국통신학회논문지
• /
• 제27권8C호
• /
• pp.741-747
• /
• 2002

본 논문에서는 새로운 DDOS(Distributed Denial Of Service) 공격 형태와 이를 방어하기 위한 메카니즘을 제안한다. 현재까지의 DDOS는 최종 공격 목표가 특정 호스트이지만, 진보된 공격 형태로 특정 라우터가 공격의 대상이 될 수 있다. 이러한 공격은 특정 라우터의 관리하에 있는 다수의 호스트를 공격 대상으로 하는 것으로 특정 호스트가 서비스 불가능 상태가 되는 것 이상으로 피해는 심각하다고 할 수 있다. 라우터의 생존성 개념을 적용하여 DDOS 공격 하에서도 라우터가 서비스 불능 상태가 되지 않도록 라우터가 능동적으로 링크의 대역폭을 조절하여 트래픽의 양을 조절할 수 있도록 한다.

• KSII Transactions on Internet and Information Systems (TIIS)
• /
• 제12권8호
• /
• pp.3946-3965
• /
• 2018

Network anomaly detection in Software Defined Networking, especially the detection of DDoS attack, has been given great attention in recent years. It is convenient to build the Traffic Matrix from a global view in SDN. However, the monitoring and management of high-volume feature-rich traffic in large networks brings significant challenges. In this paper, we propose a moving window Principal Components Analysis based anomaly detection and mitigation approach to map data onto a low-dimensional subspace and keep monitoring the network state in real-time. Once the anomaly is detected, the controller will install the defense flow table rules onto the corresponding data plane switches to mitigate the attack. Furthermore, we evaluate our approach with experiments. The Receiver Operating Characteristic curves show that our approach performs well in both detection probability and false alarm probability compared with the entropy-based approach. In addition, the mitigation effect is impressive that our approach can prevent most of the attacking traffic. At last, we evaluate the overhead of the system, including the detection delay and utilization of CPU, which is not excessive. Our anomaly detection approach is lightweight and effective.

• 한국정보통신학회:학술대회논문집
• /
• 한국정보통신학회 2016년도 춘계학술대회
• /
• pp.441-444
• /
• 2016

최근 북한은 핵실험, 미사일 발사 등 물리적 도발은 물론 고위 공직자에 대한 스마트폰 해킹, 금융권에 대한 디도스(DDoS) 공격 등 사이버 테러를 감행하며 한반도 내 위협의 수위를 높이고 있다. 취약점에 대한 해킹, 악성코드 배포 등을 통해 이루어지는 사이버 공격은 일반적으로 최초의 침입과 공격 징후가 감지된 후 데이터 분석을 통해 백신의 라이브러리 추가 및 업데이트, 보안 취약성을 보완하는 등 소극적인 대응 방법을 취하고 있다. 본 논문에서는 프로그램 스스로 취약점을 분석하고 자가 라이브러리 추가, 보안 취약점 해결 등을 수행하는 구글 텐서플로우(TensorFlow) 기반의 기계학습 능력을 갖춘 보안 프로그램에 관한 개념을 연구하고 제안하였다.