• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2004년도 춘계학술발표대회
• /
• pp.1121-1124
• /
• 2004

일반적인 침입탐지 시스템의 원리를 보면 공격자가 공격 패킷을 보내면 침입탐지서버에 IDS 프로그램으로 공격자의 패킷을 기존의 공격패턴과 비교하여 탐지한다. 공격자가 일반적인 공격 패킷이 아닌 패킷을 가짜 패킷과 공격 패킷을 겸용한 진보된 방법을 사용할 경우 IDS는 이를 탐지하지 못하고 로그 파일에 기록하지 않는다. 이는 패턴 검사에 있어 공격자가 IDS를 속였기 때문이다. 따라서 공격자는 추적 당하지 않고서 안전하게 공격을 진행할 수 있다. 본 논문에서는 이러한 탐지를 응용프로그램 단계가 아닌 커널 단계에서 탐지함으로서 침입탐지뿐만 아니라 침입 방지까지 할 수 있도록 하였다.

• ETRI Journal
• /
• 제43권1호
• /
• pp.152-162
• /
• 2021

In the last few years, detection has become a powerful methodology for network protection and security. This paper presents a new detection scheme for data recorded over a computer network. This approach is applicable to the broad scientific field of information security, including intrusion detection and prevention. The proposed method employs bidimensional (time-frequency) data representations of the forms of the short-time Fourier transform, as well as the Wigner distribution. Moreover, the method applies matrix factorization using singular value decomposition and principal component analysis of the two-dimensional data representation matrices to detect intrusions. The current scheme was evaluated using numerous tests on network activities, which were recorded and presented in the KDD-NSL and UNSW-NB15 datasets. The efficiency and robustness of the technique have been experimentally proved.

• 한국정보통신학회:학술대회논문집
• /
• 한국해양정보통신학회 2010년도 추계학술대회
• /
• pp.434-437
• /
• 2010

시그니처 기반 필터링(Signature based filtering)은 이미 알려진 공격으로부터 방어하는 방법으로, 침입방지 시스템을 통과하는 패킷의 페이로드와 시그니처라 불리는 공격 패턴들과 비교하여 같으면 그 패킷을 폐기한다. 그러나 시그니처의 개수가 증가함에 따라 하나의 들어온 패킷에 대하여 요구되는 패턴 매칭 시간은 증가하게 되어 패킷의 지연현상이 발생한다. 고성능 침입방지 시스템을 위해서는 보다 효율적인 패턴 매칭 알고리즘이 필요하며, 패턴 매칭의 수행 성능 향상을 위해 가장 중요한 부분은 처리해야 하는 패킷이 도착했을 때, 해당 패킷의 데이터를 룰의 시그니처와 비교하는 횟수를 줄이는데 있다. 이에 본 논문에서는 고성능 침입방지 시스템의 개발을 위해 기존의 제안된 시그니처 해싱 기반의 침입방지 시스템에 패킷 분류를 위한 다차원 검색을 튜플 공간이라는 이차원 공간을 이용하여 검색하는 튜플 공간 패킷 분류 알고리즘과 블룸 필터를 적용한 패턴 매칭 방법을 제안한다.

• 한국콘텐츠학회논문지
• /
• 제9권4호
• /
• pp.131-141
• /
• 2009

현재 일반화되어 있는 침입탐지 시스템의 경우 중요한 서버의 보안에 유용한 호스트기반 IDS는 합법적인 사용자의 불법행위를 모니터링 가능하고 운영체계와 밀접히 결합하여 보다 정교한 모니터링, 네트워크 환경과 상관없이 사용가능 하다는 장점이 있지만 비용의 증가와 침입탐지를 위한 처리에 해당 시스템 자원소모, 네트워크 기반의 공격에 취약하며 IDS오류 시 해당 호스트의 기능이 마비될 수 있다. 네트워크기반 IDS는 네트워크 엑세스 지점에만 설치하여 비용점감 및 네트워크 자원에 대한 오버 헤드감소, 공격에 노출될 가능성이 낮으며 네트워크 환경에 관계없이 사용가능하지만 대용량의 트래픽 처리에 어려움과 제한된 탐지능력, 알려지지 않은 악성코드나 프로그램에 대처능력이 떨어지는 한계를 가지고 있다. 본 논문에서는 이러한 보안 솔루션들 중에서 개인용 방화벽을 활용하는 데스크톱 보안과 함께 적용하여 개인용 컴퓨터의 보안능력을 향상시키는 유출 트래픽 분석기반 침입탐지시스템의 설계 및 구현을 목적으로 한다. 침입이 발생하고 새로운 패턴의 악성 프로그램이 정보의 유출을 시도하는 행위를 탐지하여 차단함으로써 컴퓨터나 네트워크의 심각한 손실을 감소시킬 수 있다.

• 정보처리학회논문지C
• /
• 제14C권3호
• /
• pp.209-220
• /
• 2007

침입방지 시스템(IPS, Intrusion Prevention System)은 인라인모드(in-line mode)로 네트워크에 설치되어, 네트워크를 지나는 패킷 또는 세션을 검사하여 만일 그 패킷에서 공격이 감지되면 해당 패킷을 폐기하거나 세션을 종료시킴으로서 외부의 침입으로부터 네트워크를 보호하는 시스템을 의미한다. IPS에서 주로 사용되는 시그너처 기반 필터링에서는 침입방지시스템을 통과하는 패킷의 페이로드와 시그너처라고 불리는 공격패턴들과 비교하여 같으면 그 패킷을 폐기한다. 시그너처의 개수가 증가함에 따라 하나의 들어온 패킷에 대하여 요구되는 패턴 매칭 시간은 증가하게 되어 패킷지연 없이 동작하는 고성능 침입탐지시스템을 개발하는 것이 어렵게 되었다. 본 논문에서는 패턴 매칭 시간을 시그너처의 개수와 무관하게 하기 위하여 시그너처 해싱 기반에 기반한 고성능 침입방지시스템을 제안한다. 제안한 방식을 리눅스 커널 모듈 형태로 PC에서 구현하였고 월 발생기, 패킷발생기, 스마트비트라는 네트워크 성능 측정기를 이용하여 시험하였다. 실험결과에 의하면 기존 방식에서는 시그너처 개수가 증가함에 따라 성능이 저하되었지만 본 논문에서 제안한 방식은 성능이 저하되지 않았다.

• 정보보호학회논문지
• /
• 제13권6호
• /
• pp.129-140
• /
• 2003

최근 바이러스가 날로 지능화되고 있고 해킹수법이 교묘해지면서 이에 대응하는 보안기술 또한 발전을 거듭하고 있다. 팀 주소 등을 통해 네트워크를 관리하는 방화벽과 방화벽을 뚫고 침입한 해커를 탐지해 알려주는 침입탐지시스템(IDS)에 이어 최근에는 침입을 사전에 차단한다는 측면에서 한 단계 진보한 IDS라고 볼 수 있는 침입방지시스템(IPS)이 보안기술의 새로운 패러다임으로 인식되고 있다. 그러나 현재 대부분의 침입방지시스템은 정상 트래픽과 공격트래픽을 실시간으로 오류없이 구별할 수 있는 정확성과 사후공격패턴분석 능력 등을 보장하지 못하고 기존의 침입 탐지시스템 위에 단순히 패킷 차단 기능을 추가한 과도기적 형태를 취하고 있다. 이에 본 논문에서는 침입방지시스템의 패킷 분석 능력과 공격에 대한 실시간 대응성을 높이기 위하여 netfilter 시스템을 기반으로 커널 레벨에서 동작하는 침입 탐지 프레임워크와, iptables를 이용한 패킷 필터링 기술에 CBQ 기반의 QoS 메커니즘을 적용한 비정상 트래픽 제어 기술을 제시한다. 이는 분석된 트래픽의 침입 유형에 따라 패킷의 대역폭 및 속도를 단계적으로 할당할 수 있도록 하여 보다 정확하고 능동적인 네트워크 기반의 침입 대응 기술을 구현할 수 있도록 한다.

• 벤처다이제스트
• /
• 통권54호
• /
• pp.9-9
• /
• 2004

네트워크 보안업계가 최근 IPS(Intrusion Prevention System) 제품 출시와 개발에 열을 올리고 있는 가운데 경쟁력을 좌우하는 관건으로 기가비트 데이터 처리 속도가 떠오르고 있다. IPS는 네트워크 초입에 설치돼 실시간으로 유해 트래픽을 분석 차단해주는 능동형 보안제품. IPS는 방화벽처럼 네트워크 처리속도가 확보되지 않으면 전체 네트워크가 마비되는 인라인(IN LINE) 방식으로 설치되기 때문에 기가비트 처리 속도가 필수적으로 요구된다. 기가비트 처리 속도가 적어도 2Gbps급은 되어야 한다는 것. 이에 따라 보안업계에 기가비트급 IPS 출시와 개발이 붐을 이루고 있다.

• 한국정보과학회:학술대회논문집
• /
• 한국정보과학회 2003년도 가을 학술발표논문집 Vol.30 No.2 (1)
• /
• pp.694-696
• /
• 2003

우리 생활은 컴퓨터와 인터넷의 발달로 많이 편리해 졌고 향상되었다. 그러나 예전엔 중요하게 생각하지 않았던 보안이라는 문제가 발생되었다. 그 해결책으로 많은 침입 탐지 시스템이 개발되었다. 본 논문에서는 주요 디렉토리 및 파일의 접근을 감시하며 중요한 정보가 외부로 유출되는 것을 막고 시스템을 보호하는 SIDPS를 제안한다. 이 시스템은 특정 패턴을 이용한 기존의 방식과는 다른“센서 파일/데이터”를 이용한다. 또한 LKM방식을 이용해 실행하도록 함으로서 손쉬운 설치 및 성능향상이 가능하도록 하였다.

• 한국정보과학회:학술대회논문집
• /
• 한국정보과학회 2002년도 가을 학술발표논문집 Vol.29 No.2 (1)
• /
• pp.634-636
• /
• 2002

인터넷과 내장형 시스템의 발전으로 인하여 가정내의 모든 정보가전들이 홈 네트워크를 통하여 인터넷과 연결되어 있고 원격에서 제어가 가능하다. 또한 휴대폰, PDA와 같은 무선단말기를 이용한 정보검색, 메일송수신, 증권거래, 은행거래와 같은 다양한 전자상거래가 활발히 진행되고 있다. 이와 반면에 이런 정보가 전이나 무선단말기에 대한 해킹 바이러스 사례가 갈수록 많아지고 있다. 본 논문에서는 내장형 시스템인 임베디드 리눅스에서 IPS(Intrusion Prevention System)를 설계하고 구현하여 이런 정보가전이나 무선단말기에 대한 보안 방안을 제시한다.

• 인터넷정보학회논문지
• /
• 제17권3호
• /
• pp.11-18
• /
• 2016

와이파이 환경에서 비인가 AP(rogue AP)의 접속은 스니핑(sniffing), 피싱(phishing), 파밍(pharming) 공격 등 다양한 사이버 공격에 노출될 수 있는 매우 위험한 행위이다. 따라서 비인가 AP를 신속하고 정확하게 탐지하여 와이파이 사용자가 해당 AP에 대한 접속을 회피할 수 있도록 적절하게 경고하는 것은 와이파이 보안의 핵심 요구사항이 되고 있다. 본 논문은 인가된 AP에 대한 설치 정보와 스위치의 DHCP 스누핑 정보를 활용하여 비인가 AP를 정확하고 신속하게 탐지하여, 무선 단말에 실시간으로 통보하는 새로운 비인가 AP 탐지 기법을 제시한다. 제안된 비인가 AP 탐지 기법은 별도의 장비가 불필요하고 간단하여 많은 수의 탐지 센서와 탐지 서버로 구성되는 무선 침입 방지 시스템(wireless intrusion prevention system)에 비해 저가격에 구현가능하다. 그리고 타이밍 정보, 위치 정보, 화이트 리스트 기반 등의 기존 비인가 AP 탐지 기법에 비해 탐지의 정확성이 높고, 신속하며, 개방 환경을 포함하여 다양한 환경에 유연하게 적용가능한 장점이 있다.