• 한국컴퓨터정보학회논문지
• /
• 제14권5호
• /
• pp.103-117
• /
• 2009

최근 MANET(Mobile Ad-Hoc Network)에서 보안요소를 추가한 라우팅 연구가 활발히 진행되어왔다. 그러나 기존 연구들은 secure 라우팅 또는 패킷 자체에 대한 악의적인 행위 탐지 중 어느 한 측면에 대해서만 연구가 되어왔다. 본 논문에서는 패킷 자체에 대한 악의적인 행위 및 라우팅 측면에서 보안 요소를 모두 고려한 SRPPnT(A Secure Routing Protocol in MANET based on Malicious Pattern on Node and Trust Level)를 제안한다. SRPPnT는 악의적인 행위가 이루어진 노드를 확인하여 각 노드에 대한 신뢰수준을 측정 후, 획득한 각 노드의 신뢰수준에 따라 라우팅 경로를 설정함으로써 패킷 및 라우팅 경로 설정에 대해 이루어질 수 있는 악의적인 행위를 효율적으로 대응할 수 있다. SRPPnT는 AODV(Ad-Hoc On-Demand Distance Vector Routing)를 기반으로 하였다. NS 네트워크 시뮬레이션 결과를 통해, 제안된 SRPPnT는 기존 프로토콜보다 네트워크 부하를 감소시킨 상태에서 악의적인 노드의 보다 정확하고 신속한 식별과 secure한 라우팅이 이루어짐을 확인하였다.

• 정보처리학회논문지C
• /
• 제19C권2호
• /
• pp.83-90
• /
• 2012

MANET은 유선 기반망이 구축되어 있지 않은 곳에서 운용되기 때문에 노출된 매체와 동적인 토폴로지, 중앙의 감시와 관리 결여 등으로 보안 측면에서 취약하다. 특히, 중앙에서 네트워크를 제어해 주는 중재자가 없기 때문에 악의적인 노드가 발생해도 그에 대한 탐지나 조치가 어렵다. 이와 같은 악의적인 노드는 Ad-hoc 관련 보안 연구 분야중 라우팅에 밀접하게 연관되어 있다. 따라서, 본 논문에서는 안전하고 효율적인 라우팅을 위해 악의적으로 행동하는 노드를 효과적으로 탐지하여 보안성을 더욱 높일 수 있는 기법을 제안한다. 이를 위해 일정기간 악의적인 행위를 수행하는 노드를 개개의 노드 및 이웃간의 협업을 통해 이중화하여 탐지하고, 각 노드에 대한 신뢰지수를 부여하여 관리함으로써 악의적인 노드 행위에 효과적으로 대응 할 수 있는 기법인 MBC(Identification technition of Malicious Behavior node based on Collaboration in MANET)을 제안한다. 제안한 방법의 효율성을 검증하기 위해 우리는 네트워크 시뮬레이션을 수행하였다. 이 시뮬레이션 수행결과는 제안한 방법이 기존 방법보다 악의적인 노드를 더 정확하고 신속하게 식별 가능함으로써 보다 효율적인 라우팅이 이루어짐을 보였다.

• 융합정보논문지
• /
• 제11권4호
• /
• pp.55-63
• /
• 2021

최근 악성코드 발생률은 약 수만 건이 넘는 추세로, 전부 탐지/대응하는 것은 불가능에 가깝다고 알려졌다. 본 연구는 새로운 악성코드 대응방법으로 그래프 데이터베이스 기반 다중행위 패턴 탐지 기법을 제안한다. 기존 동적 분석기법과는 다른 새로운 그래프 모델을 설계하고, 대표적인 악성코드 패턴(프로세스, PE, 레지스트리 등)의 그래프 연관관계를 분석하는 방법을 적용했다. 패턴 검증 결과 기본 악성 패턴에 대한 행위 탐지와 기존 분석이 어려웠던 변종 공격행위(5단계 이상)의 탐지를 확인했다. 또한, 성능 분석결과 5단계 이상의 복잡한 패턴에 대하여 관계형 데이터베이스 대비 약 9.84배 이상 성능이 향상되었음을 확인하였다.

• Journal of Information Processing Systems
• /
• 제15권3호
• /
• pp.520-537
• /
• 2019

This paper proposes a system that can detect the data leakage pattern using a convolutional neural network based on defining the behaviors of leaking data. In this case, the leakage detection scenario of data leakage is composed of the patterns of occurrence of security logs by administration and related patterns between the security logs that are analyzed by association relationship analysis. This proposed system then detects whether the data is leaked through the convolutional neural network using an insider malicious behavior graph. Since each graph is drawn according to the leakage detection scenario of a data leakage, the system can identify the criminal insider along with the source of malicious behavior according to the results of the convolutional neural network. The results of the performance experiment using a virtual scenario show that even if a new malicious pattern that has not been previously defined is inputted into the data leakage detection system, it is possible to determine whether the data has been leaked. In addition, as compared with other data leakage detection systems, it can be seen that the proposed system is able to detect data leakage more flexibly.

• 정보과학회 논문지
• /
• 제45권2호
• /
• pp.165-174
• /
• 2018

온라인 커뮤니티란 SNS와 달리 사용자들이 닉네임을 통해 익명으로 관심사와 취미를 공유하는 가상 그룹 서비스이다. 그런데 이런 익명성을 악의적으로 활용하는 사용자들이 존재하고, 닉네임의 변경으로 인해 동일 사용자의 데이터가 서로 다른 닉네임에 존재하는 데이터 파편화 문제가 발생할 수 있다. 또한 온라인 커뮤니티에서는 닉네임을 변경하는 일이 빈번하므로 동일 사용자를 식별하는데 어려움을 겪는다. 따라서 본 논문에서는 이러한 문제를 해결하기 위해 온라인 커뮤니티 특성을 고려한 사용자의 행동 패턴 특징 벡터를 제시하며, 관계 패턴이라는 새로운 암시적 행동 패턴을 제안함과 동시에 랜덤 포레스트 분류기를 이용한 동일 사용자의 닉네임을 식별하는 기법을 제안한다. 또한 실제 온라인 커뮤니티 데이터를 수집해 제안한 행동패턴과 분류기를 이용해 동일 사용자를 유의미한 수준으로 식별할 수 있음을 실험적으로 보인다.

• 정보보호학회논문지
• /
• 제16권3호
• /
• pp.17-28
• /
• 2006

우회기법을 사용하는 변종 악성코드의 출현은 바이러스 백신에 의한 탐지를 우회하여 확산을 가속화시키고 있다. 만일 보안 취약점 패치가 되지 않고, 바이러스 백신 패턴에 포함되지 않았을 경우에 신종 웜은 수분 내에 단위 네트워크상의 시스템을 감염시킬 수 있으며, 다른 지역 네트워크로의 확산도 가능하다. 따라서 변종 및 신종 악성코드에 대한 기존의 패턴기반 탐지 및 치료 방식에는 한계가 있다. 본 논문에서는 실행 압축의 우회기법을 사용한 악성코드에 대하여 행위기반의 정적 및 동적 분석에 의한 탐지패턴을 생성하고, 동적 탐지에 의한 변종 및 신종에 대한 탐지 방법을 제안한다. 또한 동적 탐지에서의 유사도 비교를 위한 방법을 제안하여 시스템의 중요자원에 접근하는 실행압축 기법을 사용하는 바이러스의 탐지가 가능함을 보인다.

• 한국컴퓨터정보학회논문지
• /
• 제18권3호
• /
• pp.35-45
• /
• 2013

MANET에서는 합법적인 노드와 비합법적인 노드 모두 네트워크에 접근이 가능함에 따라 보안 취약점을 안고 있다. MANET에 관한 대부분의 연구들은 라우팅 경로 또는 패킷 전달에 대한 공격 측면에만 중점을 두고 있으며, 특히 악의적인 노드의 다양한 공격에 효과적으로 대응하는데 한계가 있다. 이 논문에서는 MANET에서 다양한 악의적인 노드를 효율적으로 탐지하기 위한 DTecBC (detection technique of malicious node behaviors based on collaboration) 기법을 제안하였다. 제안 기법은 이웃 노드들 간의 협업관계를 기반으로 상호 메시지 교환을 통하여 악의적인 노드를 관리할 수 있도록 설계하였다.. 제안기법의 효율성 검증을 위해 OPNET 시뮬레이션 툴을 사용하여 기존의 대표적 탐지기법인 Watchdog, CONFIDANT, SRRPPnT와 비교하였다. 평가 결과, 제안 기법은 기존 기법들에 비해 다양한 유형의 악의적인 노드 행위를 종합적으로 탐지 가능함이 확인 되었다.

• 정보보호학회논문지
• /
• 제21권4호
• /
• pp.61-75
• /
• 2011

최근 DDoS공격용 좀비, 기업정보 및 개인정보 절취 등 각종 사이버 테러 및 금전적 이윤 획득의 목적으로 웹사이트를 해킹, 악성코드를 은닉함으로써 웹사이트 접속PC를 악성코드에 감염시키는 공격이 지속적으로 증가하고 있으며 은닉기술 및 회피기술 또한 지능화 전문화되고 있는 실정이다. 악성코드가 은닉된 웹사이트를 탐지하기 위한 현존기술은 BlackList 기반 패턴매칭 방식으로 공격자가 악성코드의 문자열 변경 또는 악성코드를 변경할 경우 탐지가 불가능하여 많은 접속자가 악성코드 감염에 노출될 수 밖에 없는 한계점이 존재한다. 본 논문에서는 기존 패턴매칭 방식의 한계점을 극복하기 위한 방안으로 WhiteList 기반의 악성코드 프로세스 행위분석 탐지기술을 제시하였다. 제안방식의 실험 결과 현존기술인 악성코드 스트링을 비교하는 패턴매칭의 MC-Finder는 0.8%, 패턴매칭과 행위분석을 동시에 적용하고 있는 구글은 4.9%, McAfee는 1.5%임에 비해 WhiteList 기반의 악성코드 프로세스 행위분석 기술은 10.8%의 탐지율을 보였으며, 이로써 제안방식이 악성코드 설치를 위해 악용되는 웹 사이트 탐지에 더욱 효과적이라는 것을 증명할 수 있었다.

• 한국산학기술학회논문지
• /
• 제20권7호
• /
• pp.613-621
• /
• 2019

최근 IoT, 클라우드 컴퓨팅 기술이 발전하면서 IoT 디바이스를 감염시키는 악성코드와 클라우드 서버에 랜섬웨어를 유포하는 신종 악성코드가 등장하여 보안 위협이 증가하고 있다. 본 연구에서는 기존의 시그니처 기반의 탐지 방식과 행위기반의 탐지 방식의 단점을 보완할 수 있도록 난독화된 스크립트 패턴을 분석하여 점검하는 탐지 기법을 제안한다. 제안하는 탐지 기법은 웹사이트 통해 유포되는 악성 스크립트 유형을 분석하여 유포패턴을 도출한 후, 도출된 유포패턴을 등록하여 점검함으로써 기존의 탐지룰 기반의 탐지속도를 유지하면서도 제로데이 공격에 대한 탐지가 가능한 악성 스크립트 패턴분석 기반의 악성코드 탐지 기법이다. 제안한 기법의 성능을 검증하기 위해 프로토타입 시스템을 개발하였으며, 이를 통해 총 390개의 악성 웹사이트를 수집, 분석에 의해 도출된 10개의 주요 악성 스크립트 유포패턴을 실험한 결과, 전체 항목 평균 약 86%의 높은 탐지율을 보였으며, 기존의 탐지룰 기반의 점검속도를 유지하면서도 제로데이 공격까지도 탐지가 가능한 것을 실험으로 입증하였다.

• KSII Transactions on Internet and Information Systems (TIIS)
• /
• 제14권12호
• /
• pp.4909-4926
• /
• 2020

Cyberattacks penetrate the server and perform various malicious acts such as stealing confidential information, destroying systems, and exposing personal information. To achieve this, attackers perform various malicious actions by infecting endpoints and accessing the internal network. However, the current countermeasures are only anti-viruses that operate in a signature or pattern manner, allowing initial unknown attacks. Endpoint Detection and Response (EDR) technology is focused on providing visibility, and strong countermeasures are lacking. If you fail to respond to the initial attack, it is difficult to respond additionally because malicious behavior like Advanced Persistent Threat (APT) attack does not occur immediately, but occurs over a long period of time. In this paper, we propose a technique that detects an unknown attack using an event log without prior knowledge, although the initial response failed with anti-virus. The proposed technology uses a combination of AutoEncoder and 1D CNN (1-Dimention Convolutional Neural Network) based on semi-supervised learning. The experiment trained a dataset collected over a month in a real-world commercial endpoint environment, and tested the data collected over the next month. As a result of the experiment, 37 unknown attacks were detected in the event log collected for one month in the actual commercial endpoint environment, and 26 of them were verified as malicious through VirusTotal (VT). In the future, it is expected that the proposed model will be applied to EDR technology to form a secure endpoint environment and reduce time and labor costs to effectively detect unknown attacks.