• Proceedings of the Korean Information Science Society Conference
• /
• 2002.04a
• /
• pp.814-816
• /
• 2002

최근 급증하고 있는 인터넷 사용자들을 위한 인터 서비스 업체들의 증가와 더불어 악의적인 공격자의공격 또한 증가하고 있다. 이러한 공격으로 인한 인터넷 업체들에게 치명적일 수 있는 신용에 대한 불신임과 서비스의 불안정이라는 피해는 기업의 이미지를 실추시키는 등 막대한 영향을 끼칠 수도 있다. 이러한 악의적인 공격 형태 중 가장 최근 가장 빈번하게 그리고 큰 피해를 주는 공격형태가 DoS(Denial-of-Service)[1]공격이다. 그러나 DoS공격에 대한 적당한 대응방법이 아직까지 미비한 상태이고, 공격에 대응하여 방어한다고 해도 그 진원지를 찾아내지 못한다면 추후 동일한 공격자(attack)에 의해 재차 공격을 받을 가능성을 배제할 수 없는 실정이다. 이에 본 논문은 DoS공격에 대한 적당한 대응하는 하나의 방법으로 공격 경로(attack path)를 찾아내고 더 나아가 공격 진원지(attack origin)의 MAC address를 알아냄으로써 공격의 진원지를 찾아내는 방법을 제안한다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2022.11a
• /
• pp.709-711
• /
• 2022

ICT 기술의 빠른 발전과 함께 Internet of Things (IoT) 환경에서의 Internet Protocol (IP) 카메라의 사용률이 증가하면서, IP 카메라에 대한 개인정보 이슈와 제품의 보안성 검토 관련 소비자의 개인정보 유출 우려가 증가하고 있다. 본 논문에서는, IP 카메라에 대한 4개 종류의 Denial of Service (DoS) 공격을 통해 IP 카메라 이상 반응을 확인했다. 또한, 이 과정에서 수집한 공격 패킷 데이터를 기반으로, DoS 공격을 탐지하는 간단한 피쳐 구성과 머신러닝 모델을 제안하였다. 최종적으로, DoS 공격을 통해 실제 IP 카메라에 대한 가용성 테스트를 수행하였으며 머신러닝 알고리즘 4개 Decision Tree, Random Forest, Multilayer Perceptron, SVM에서의 DoS 공격 탐지 성능을 비교하였다.

• Journal of Digital Convergence
• /
• v.12 no.1
• /
• pp.423-429
• /
• 2014

DDoS attacks is upgrade of DoS attacks. Botnet is being used by DDoS attack, so it is able to attack a millions of PCs at one time. DDoS attacks find the root the cause of the attack because it is hard to find sources for it, even after the treatment wavelength serious social problem in this study, the analysis and countermeasures for DDoS attack is presented.

• Proceedings of the Korean Information Science Society Conference
• /
• 2003.10a
• /
• pp.697-699
• /
• 2003

최근의 네트워크 공격의 주류는 DoS (denial-of-service)와 DDoS (distributed DoS) 공격이다. 이러한 공격들은 공격자가 침입 대상 시스템의 자원을 완전히 소모시켜서 시스템이 정상적인 서비스를 할 수 없도록 하는 것이다. 각 시스템의 관리자들은 이러한 침입이나 공격을 막기 위한 방편 중에 하나로 IDS(Intrusion detection system)를 사용하고 있다. 그러나 IDS의 높은 false-positive(정상적인 사용을 공격으로 잘못 판단하는 경우)의 발생빈도는 심각한 문제점 중의 하나는 이다. 이런 false-positive의 발생빈도를 줄이고자 본 논문에서는 한번의 판단만으로 연결(connection)을 차단시키지 않고, trust라는 개념을 도입하여 trust의 값에 따라서 사용자에게 차등 서비스를 제공하는 기법을 제안한다. 즉, trust를 이용하는 기법은 각 사용자를 한번에 공격자인지 일반 사용자인지 결정하지 않고, 한 번 더 검사하여 false-positive의 발생빈도를 감소시키는 기법이다.

• Proceedings of the Korean Information Science Society Conference
• /
• 2003.10a
• /
• pp.715-717
• /
• 2003

DoS (Denial of Service) 공격은 주로 victim 호스트에 대량의 패킷을 보내거나 비정상적인 패킷을 보냄으로써 정상 사용자가 서비스를 이음하지 못하도록 하는 공격을 의미한다. 이러한 DoS 공격을 탐지하기 위해 다양한 기법들이 개발되어 왔으나, 공격의 종류와 방법은 시간이 흐를수록 매우 다양해지고 있어 이를 탐지하는데 한계가 있다. 본 논문에서는 네트워크 패킷의 헤더정보를 감사 자료로 가지고 있는 NIDS (Network-based Intrusion Detection System)에 데이터 마이닝 기법을 적용기켜 이러한 DoS 공격을 탐지할 수 있는 기법을 제안한다. 이 기법을 이용하면 빠르고 자동화된 방법으로 DoS 공격을 탐지할 수 있다. 본 논문에서는 제안 기법을 이용하여 SYN Flooding 공격과 Teardown 공격에 대한 탐지가 가능함을 보인다.

• KSCI Review
• /
• v.14 no.2
• /
• pp.235-244
• /
• 2006

This paper attacked the unknown DoS which mixed a DoS attack, Worm and the Trojan horse which used IP Source Address Spoofing and Smurf through the SYN Flooding way that UDP, ICMP, Echo, TCP Syn packet operated. the applications that used TCP/UDP in VoIP service networks. Define necessity of a Dynamic Update Engine for a prevention, and measure Miss traffic at RT statistics of inbound and outbound parts in case of designs of an engine at IPS regarding an Self-learning module and a statistical attack spread. and design a logic engine module. Three engines judge attack grades (Attack Suspicious, Normal), and keep the most suitable filtering engine state through AND or OR algorithms at Footprint Lookup modules. A Real-Time Dynamic Engine and Filter updated protected VoIP service from DoS attacks, and strengthened Ubiquitous Security anger, and were turned out to be.

• Journal of the Korea Society of Computer and Information
• /
• v.11 no.6 s.44
• /
• pp.165-174
• /
• 2006

This paper attacked the unknown DoS which mixed a DoS attack, Worm and the Trojan horse which used IP Source Address Spoofing and Smurf through the SYN Flooding way that UDP, ICMP, Echo, TCP Syn packet operated, the applications that used TCP/UDP in VoIP service networks. Define necessity of a Dynamic Update Engine for a prevention, and measure Miss traffic at RT statistics of inbound and outbound parts in case of designs of an engine at IPS regarding an Self-learning module and a statistical attack spread, and design a logic engine module. Three engines judge attack grades (Attack, Suspicious, Normal), and keep the most suitable filtering engine state through AND or OR algorithms at Footprint Lookup modules. A Real-Time Dynamic Engine and Filter updated protected VoIP service from DoS attacks, and strengthened Ubiquitous Security anger, and were turned out to be.

• Smart Media Journal
• /
• v.12 no.2
• /
• pp.66-75
• /
• 2023

Recently, the number of cloud web applications is increasing owing to the accelerated migration of enterprises and public sector information systems to the cloud. Traditional network attacks on cloud web applications are characterized by Denial of Service (DoS) attacks, which consume network resources with a large number of packets. However, HTTP DoS attacks, which consume application resources, are also increasing recently; as such, developing security technologies to prevent them is necessary. In particular, since low-bandwidth HTTP DoS attacks do not consume network resources, they are difficult to identify using traditional security solutions that monitor network metrics. In this paper, we propose a new detection model for detecting HTTP DoS attacks on cloud web applications by collecting the application metrics of web servers and learning them using machine learning. We collected 18 types of application metrics from an Apache web server and used five machine learning and two deep learning models to train the collected data. Further, we confirmed the superiority of the application metrics-based machine learning model by collecting and training 6 additional network metrics and comparing their performance with the proposed models. Among HTTP DoS attacks, we injected the RUDY and HULK attacks, which are low- and high-bandwidth attacks, respectively. As a result of detecting these two attacks using the proposed model, we found out that the F1 scores of the application metrics-based machine learning model were about 0.3 and 0.1 higher than that of the network metrics-based model, respectively.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2013.11a
• /
• pp.72-74
• /
• 2013

DoS(Denial of Service) 공격은 시스템을 악의적으로 공격해 해당 시스템의 자원을 부족하게 하여 원래 의도된 용도로 사용하지 못하게 하는 공격이다. 본 연구에서는 CPU의 인터럽트 처리 메커니즘을 악용한 하드웨어 Trojan의 DoS 공격 방법과 대응방안에 대해 연구한다. 이 연구에서 제안하는 하드웨어 Trojan은 기존 DoS 공격이 지속적인 서비스 요청으로 의도된 서비스가 불가능하게 하는 것과 유사하게 인터럽트를 지속적으로 발생시켜 CPU가 정상적인 동작을 할 수 없도록 한다. 본 연구에서는 이에 대한 대응 방법으로 인터럽트 서비스 루틴 코드의 수정을 통한 대응 및 Trojan 발견 방법에 대해서 제시한다.

• Journal of the Korea Society for Simulation
• /
• v.19 no.4
• /
• pp.139-149
• /
• 2010

Internet was designed for network scalability and best-effort service which makes all hosts connected to Internet to be vulnerable against attack. Many papers have been proposed about attack detection algorithms against the attack using IP spoofing and DoS/DDoS attack. Purpose of DoS/DDoS attack is achieved in short period after the attack begins. Therefore, DoS/DDoS attack should be detected as soon as possible. Attack detection algorithms using false alarm rates consist of the false negative rate and the false positive rate. Moreover, they are important metrics to evaluate the attack detections. In this paper, we analyze the performance of the attack detection algorithms using the impact of false negative rate and false positive rate variation to the normal traffic and the attack traffic by simulations. As the result of this, we find that the number of passed attack packets is in the proportion to the false negative rate and the number of passed normal packets is in the inverse proportion to the false positive rate. We also analyze the limits of attack detection due to the relation between the false negative rate and the false positive rate. Finally, we propose a solution to minimize the limits of attack detection algorithms by defining the network state using the ratio between the number of packets classified as attack packets and the number of packets classified as normal packets. We find the performance of attack detection algorithm is improved by passing the packets classified as attacks.