• 정보과학회 논문지
• /
• 제44권1호
• /
• pp.1-12
• /
• 2017

지속적으로 증가하는 인터넷 서비스 요구사항을 만족하기 위하여 인터넷 서비스를 제공하는 시스템은 웹 서버와 DB(database) 서버로 구성된 multitier 구조로 변화되어왔다. 이러한 multitier 웹 어플리케이션 환경에서 기존의 IDS(intrusion detection system)는 웹 서버와 DB 서버에서 misused traffic pattern들이나 signature들을 매칭하여 이미 알려진 공격을 검출하고 해당 접속을 차단하는 방식으로 동작한다. 하지만 이러한 방식의 IDS는 정상적인 HTTP(hypertext transfer protocol) request를 이용하여 악의적으로 DB 서버의 내용의 변조를 시도하는 attacker의 공격을 DB 서버단에서 제대로 검출하지 못한다. 그 이유는 DB 서버는 웹 서버로부터 받은 SQL(structured query language) query가 어떤 사용자의 HTTP request에 의해 발생한 것인지 알지 못하는 상태에서 처리하며, 웹 서버는 SQL query 처리 결과 중 어떤 것이 악의적으로 DB 서버 변조를 시도한 SQL query에 의한 결과인지 알 수 없기 때문이다. 이런 공격을 검출하기 위해서는 HTTP request와 SQL query 사이의 상호작용관계를 명확히 파악하고, 이를 이용하여 악의적인 SQL query를 발생시킨 사용자를 추적해야 한다. 이를 위해서는 해당 시스템의 소스코드를 분석하거나 application logic을 완벽하게 파악해야 하므로 현실적으로 불가능하다. 본 논문에서는 웹 서버와 DB 서버에서 제공하는 로그만을 이용하여 모든 HTTP request와 SQL query간의 mapping 관계를 찾아내고, 이를 이용하여 특정 SQL query를 발생시킨 HTTP request를 추정하는 기법을 제안한다. 모의실험을 통하여 94%의 정확도로 HTTP request를 추정할 수 있음을 확인하였다.

• 인터넷정보학회논문지
• /
• 제13권2호
• /
• pp.41-49
• /
• 2012

스마트 폰 이용자의 급격한 증가에 따른 무선 네트워크의 지원 및 모바일 환경은 언제 어디서나 네트워크를 이용할 수 있게 되었다. 이러한 인터넷 망의 발달로 인해 네트워크 트래픽이 급증함으로써 네트워크를 통한 분산서비스 공격, 인터넷 웜, 이메일 바이러스 등의 다양한 악의적인 공격이 증가되고 이에 따른 패턴이 급격하게 증가하는 추세이다. 기존 연구에서 침입탐지시스템인 Snort 2.1.0 룰의 약 2,000개 패턴으로 M-바이트 점핑 윈도우 알고리즘을 적용한 결과를 분석하였다. 하지만 점핑 윈도우 알고리즘은 패턴의 길이와 수에 큰 영향을 받기 때문에 더 긴 패턴과 더 많은 패턴을 갖는 새로운 환경(Snort 2.9.0)에서 TCAM 룩업 횟수와 TCAM 메모리 크기에 대한 새로운 분석이 필요하다. 이 논문에서는 Snort-2.9.0 룰에서 약 8,100개의 패턴을 이용하여 윈도우 크기별 TCAM 룩업 횟수와 TCAM의 크기를 시뮬레이션 했고 그 결과를 분석하였다. Snort 2.1.0에서는 16-바이트 윈도우에서 9Mb의 TCAM이 최적을 효과를 낼 수 있는 반면, Snort 2.9.0에서는 16-바이트 윈도우에서 18Mb TCAM 4개를 캐스케이딩으로 연결할 경우 최적의 효과를 낼 수 있다.

• 한국컴퓨터정보학회논문지
• /
• 제17권4호
• /
• pp.11-18
• /
• 2012

침입 탐지에 가장 시간이 많이 소요되는 작업은 패킷 데이터에 침입 패턴이 있는지를 검사하는 심층 패킷검사이다. 고속 네트워크에서 이 작업을 실시간으로 처리하기 위해서는 하드웨어 기반 패턴매칭이 필요하다. 본 논문에서는 침입탐지 시스템 구현에 하드웨어 기반 패턴매칭을 사용할 수 있도록 네트워크의 패킷을 수집하여 Snort 패턴규칙에 따라서 패턴매칭을 수행하고 결과를 소프트웨어에게 제공할 수 있도록 하는 하드웨어를 Virtex-6 FPGA를 사용하여 Microblaze 기반의 SoC 형태로 설계하여 구현하였다. 구현된 시스템은 인위적인 트래픽 생성과 실제 트래픽을 사용하여 동작을 검증하였고 패킷이 네트워크 인터페이스에서 메모리로 복사되는 동안 패턴매칭 동작을 정확하게 수행하여 소프트웨어에게 결과를 제공하였다. 본 연구 결과는 실시간 처리가 가능하도록 침입탐지 시스템을 고속화 하기위한 하드웨어로 사용될 수 있다.

• 융합보안논문지
• /
• 제16권3_2호
• /
• pp.3-12
• /
• 2016

이 연구는 신종범죄인 스미싱(smishing) 범죄의 수법(Modus Operandi)분석을 시도한 최초의 연구이다. 본 연구를 위한 자료수집방법으로 87건의 '스미싱 사건의견서분석'과 '피해자 사례분석' 그리고 일선경찰서에서 스미싱 범죄담당 경찰공무원 10명을 대상으로 '면접조사'를 실시하였다. 연구조사결과, 스미싱 범죄는 범죄 실행 전 단계와 실행단계로 분류할 수 있으며, 스미싱 범죄 준비 단계에서는 크게 2가지(개인정보 수집, 문자메시지 스크립트 구성)의 수법패턴을 보이는 것으로 확인되었다. 범죄 실행 단계에서는 크게 7가지(스미싱 문자발송 및 악성App 설치, 개인정보유출, 서버를 통한 스미싱 범죄조직에 개인정보 전달, 게임사이트 등에서 개인정보를 이용한 결제시도, 인증번호 가로챔, 가로챈 인증번호로 결제완료, 피해자에게 결제금액 청구)의 수법패턴을 보이는 것으로 확인되었다. 이 연구에서는 이러한 두 단계로 이루어지는 스미싱 범죄의 MO를 범죄스크립트 분석을 통해 구체적으로 파악하였다.

• 한국전자통신학회논문지
• /
• 제9권7호
• /
• pp.773-778
• /
• 2014

라우팅 정보에 대하여 악성침해를 일으켜 네트워크의 전송성능을 저하시키는 블랙홀 공격에 대한 대응수단으로 IDS(Intrusion Detection System)가 사용되고 있다. 본 논문에서는 IDS가 전송성능에 미치는 영향을 MANET(Mobile Ad-hoc Network)에서 노드의 이동패턴에 기반하여 분석하고, 블랙홀 공격에 대한 효과적인 대응방안을 살펴본다. 성능분석에는 NS-2를 기반으로 한 컴퓨터 시뮬레이션을 사용하며, 응용 서비스로 사용되는 VoIP(Voice over Internet Protocol) 서비스를 대상으로 성능을 측정한다. MOS(Mean Opinion Score)와 호연결율, 종단간 지연을 성능측정 및 분석 파라미터로 사용한다.

• KSII Transactions on Internet and Information Systems (TIIS)
• /
• 제8권7호
• /
• pp.2512-2531
• /
• 2014

We propose a new Distributed Denial of Service (DDoS) defense mechanism that protects http web servers from application-level DDoS attacks based on the two methodologies: whitelist-based admission control and busy period-based attack flow detection. The attack flow detection mechanism detects attach flows based on the symptom or stress at the server, since it is getting more difficult to identify bad flows only based on the incoming traffic patterns. The stress is measured by the time interval during which a given client makes the server busy, referred to as a client-induced server busy period (CSBP). We also need to protect the servers from a sudden surge of attack flows even before the malicious flows are identified by the attack flow detection mechanism. Thus, we use whitelist-based admission control mechanism additionally to control the load on the servers. We evaluate the performance of the proposed scheme via simulation and experiment. The simulation results show that our defense system can mitigate DDoS attacks effectively even under a large number of attack flows, on the order of thousands, and the experiment results show that our defense system deployed on a linux machine is sufficiently lightweight to handle packets arriving at a rate close to the link rate.

• Journal of Information Processing Systems
• /
• 제9권3호
• /
• pp.435-460
• /
• 2013

Recommender systems are popular applications that help users to identify items that they could be interested in. A recent research area on recommender systems focuses on detecting several kinds of inconsistencies associated with the user preferences. However, the majority of previous works in this direction just process anomalies that are intentionally introduced by users. In contrast, this paper is centered on finding the way to remove non-malicious anomalies, specifically in collaborative filtering systems. A review of the state-of-the-art in this field shows that no previous work has been carried out for recommendation systems and general data mining scenarios, to exactly perform this preprocessing task. More specifically, in this paper we propose a method that is based on the extraction of knowledge from the dataset in the form of rating regularities (similar to frequent patterns), and their use in order to remove anomalous preferences provided by users. Experiments show that the application of the procedure as a preprocessing step improves the performance of a data-mining task associated with the recommendation and also effectively detects the anomalous preferences.

• 디지털산업정보학회논문지
• /
• 제13권3호
• /
• pp.19-25
• /
• 2017

Nowadays, networked computer systems play an increasingly important role in our society and its economy. They have become the targets of a wide array of malicious attacks that invariably turn into actual intrusions. This is the reason computer security has become an essential concern for network administrators. Recently, a number of Detection/Prevention System schemes have been proposed based on various technologies. However, the techniques, which have been applied in many systems, are useful only for the existing patterns of intrusion. Therefore, probe detection has become a major security protection technology to detection potential attacks. Probe detection needs to take into account a variety of factors ant the relationship between the various factors to reduce false negative & positive error. It is necessary to develop new technology of probe detection that can find new pattern of probe. In this paper, we propose an hybrid probe detection using Fuzzy Cognitive Map(FCM) and Self Adaptive Module(SAM) in dynamic environment such as Cloud and IoT. Also, in order to verify the proposed method, experiments about measuring detection rate in dynamic environments and possibility of countermeasure against intrusion were performed. From experimental results, decrease of false detection and the possibilities of countermeasures against intrusions were confirmed.

• ETRI Journal
• /
• 제42권6호
• /
• pp.886-898
• /
• 2020

Unusual data patterns or outliers can be generated because of human errors, incorrect measurements, or malicious activities. Detecting outliers is a difficult task that requires complex ensembles. An ideal outlier detection ensemble should consider the strengths of individual base detectors while carefully combining their outputs to create a strong overall ensemble and achieve unbiased accuracy with minimal variance. Selecting and combining the outputs of dissimilar base learners is a challenging task. This paper proposes a model that utilizes heterogeneous base learners. It adaptively boosts the outcomes of preceding learners in the first phase by assigning weights and identifying high-performing learners based on their local domains, and then carefully fuses their outcomes in the second phase to improve overall accuracy. Experimental results from 10 benchmark datasets are used to train and test the proposed model. To investigate its accuracy in terms of separating outliers from inliers, the proposed model is tested and evaluated using accuracy metrics. The analyzed data are presented as crosstabs and percentages, followed by a descriptive method for synthesis and interpretation.

• 정보보호학회논문지
• /
• 제32권2호
• /
• pp.193-200
• /
• 2022

알려지지 않은 암호통신 프로토콜은 개인 및 데이터 프라이버시를 보장한다는 장점이 있을 수 있으나, 악의적 목적에 사용될 경우 기존의 네트워크 보안 장비를 이용하여 이를 식별하고 대응하는 것이 불가능에 가깝다. 특히, 실시간으로 오가는 방대한 양의 트래픽을 수작업으로 분석하는 데에는 한계가 존재한다. 따라서, 본 연구에서는 머신러닝 기법을 활용하여 알려지지 않은 암호통신 프로토콜의 패킷 식별과 패킷의 필드 구분을 시도한다. 순차 패턴과 계층적 군집화, 그리고 피어슨 상관계수를 활용하여 알려지지 않은 암호통신 프로토콜이라 하더라도 그 구조를 자동화하여 분석할 가능성을 확인한다.