• 정보처리학회논문지C
• /
• 제14C권3호
• /
• pp.199-208
• /
• 2007

유비쿼터스 네트워크 환경에서 개인정보의 유출은 다양한 사이버 범죄를 야기하며 개인정보의 상품화로 프라이버시의 침해가 증가하므로 개인정보의 유출을 탐지하는 것은 매우 중요하다. 본 논문은 네트워크의 트래픽 특성을 기반으로 한 개인정보 유출 탐지 기법을 제안하고자 한다. 실제 대학망에서 정상 상태의 트래픽을 수집하여 트래픽의 특성을 분석함으로써 네트워크 트래픽이 자기유사성을 지님을 확인하였다. 개인정보의 유출을 시도하는 악성코드의 사전정보수집단계를 모사한 비정상적인 트래픽에 대하여 정상 트래픽에서의 자기유사성과의 변화를 살펴봄으로써 이상을 조기 감지할 수 있었다.

• 한국정보과학회:학술대회논문집
• /
• 한국정보과학회 2012년도 한국컴퓨터종합학술대회논문집 Vol.39 No.1(A)
• /
• pp.57-59
• /
• 2012

본 논문은 유해 트래픽을 탐지하는 보안 장비와 그에 따른 탐지 또는 차단 기법들을 분석한다. 즉 서버측의 방화벽, 침입 탐지 시스템과 웹 방화벽의 순서로 보안 장비의 배치와 클라이언트 측의 보안 시스템을 보여주고 이들의 탐지 기법들을 소개한다. 이후 이 장비들의 유해트래픽의 방향에 따른 탐지 기법들을 분석하고 유해트래픽 방향에 따라 침입을 탐지할 수 있는 탐지 기법들을 분석한다. 또한 유해 트래픽의 방향에 따라 탐지기법이 부족한 방향을 제시한다.

• KSII Transactions on Internet and Information Systems (TIIS)
• /
• 제11권6호
• /
• pp.3230-3253
• /
• 2017

Android malware steals users' private information, and embedded unsafe advertisement (ad) libraries, which execute unsafe code causing damage to users. The majority of such traffic is HTTP and is mixed with other normal traffic, which makes the detection of malware and unsafe ad libraries a challenging problem. To address this problem, this work describes a novel HTTP traffic flow mining approach to detect and categorize Android malware and unsafe ad library. This work designed AndroCollector, which can automatically execute the Android application (app) and collect the network traffic traces. From these traces, this work extracts HTTP traffic features along three important dimensions: quantitative, timing, and semantic and use these features for characterizing malware and unsafe ad libraries. Based on these HTTP traffic features, this work describes a supervised classification scheme for detecting malware and unsafe ad libraries. In addition, to help network operators, this work describes a fine-grained categorization method by generating fingerprints from HTTP request methods for each malware family and unsafe ad libraries. This work evaluated the scheme using HTTP traffic traces collected from 10778 Android apps. The experimental results show that the scheme can detect malware with 97% accuracy and unsafe ad libraries with 95% accuracy when tested on the popular third-party Android markets.

• Journal of Communications and Networks
• /
• 제10권1호
• /
• pp.89-97
• /
• 2008

Anomaly detection systems playa significant role in protection mechanism against attacks launched on a network. The greatest challenge in designing systems detecting anomalous exploits is defining what to measure. Effective yet simple, Shannon entropy metrics have been successfully used to detect specific types of malicious traffic in a number of commercially available IDS's. We believe that Renyi entropy measures can also adequately describe the characteristics of a network as a whole as well as detect abnormal traces in the observed traffic. In addition, Renyi entropy metrics might boost sensitivity of the methods when disambiguating certain anomalous patterns. In this paper we describe our efforts to understand how Renyi mutual information can be applied to anomaly detection as an offline computation. An initial analysis has been performed to determine how well fast spreading worms (Slammer, Code Red, and Welchia) can be detected using our technique. We use both synthetic and real data audits to illustrate the potentials of our method and provide a tentative explanation of the results.

• 한국컴퓨터정보학회논문지
• /
• 제26권12호
• /
• pp.123-132
• /
• 2021

봇 넷의 악의적인 행위는 인터넷 서비스 제공자뿐만 아니라 기업, 정부, 그리고 심지어 가정의 일반 사용자에 이르기까지 엄청난 경제적 손실을 끼치고 있다. 본 논문에서는 CTU-13 봇 넷 트래픽 데이터 셋을 사용하여 딥러닝 모델 Convolutional Neural Network(CNN)을 적용한 봇 넷 트래픽 검출에 대한 가능성을 확인하고자한다. 특히 알려진 봇 넷과 알려지지 않은 봇 넷 트래픽에 대해 C&C 서버를 검출하기 위한 봇과 C&C 서버 사이 트래픽, 봇을 검출하기 위한 C&C 통신 이외에 봇이 발생하는 트래픽, 그리고 정상 트래픽을 분류하는 멀티클래스 분류(multi-class classification)를 시도하였다. 성능검증을 위한 지표는 정확도, 정밀도, 재현율, 그리고 F1 점수를 제시하였다. 한편 확장성과 운영을 고려하여 봇 넷 타입 별로 모듈을 적재할 수 있는 스택구조의 봇 넷 검출 시스템을 제안함으로써 실제 네트워크의 적용 가능성을 제시하였다.

• 한국콘텐츠학회논문지
• /
• 제6권12호
• /
• pp.29-39
• /
• 2006

네트워크의 급속한 성장과 더불어 유무선 서비스 및 사용자들이 급증하고 있는 가운데 IEEE 802.1x 기반 WLAN 환경에서 Session hijacking 및 DoS 공격 등 취약점으로 인해 다양한 공격이 시도되고 있어 무선 네트워크에 대한 침입탐지/차단 시스템 개발이 시급하다. 본 연구에서는 AP(Access Point) 에서 임베디드 형태로 무선 패킷에 대한 모니터링 및 유해 트래픽 침입탐지/차단 기능을 제공하며 무선 네트워크에 대한 통합 보안 관리 기능을 제공하는 시스템을 개발하였다. 개발한 시스템은 기존의 무선망 보안 관리 시스템보다 경량화된 형태로 개발되었으며 무선 트래픽에 대한 능동적인 보안 관리 기능을 제공하여 대학 캠퍼스망과 같이 최근 급속도로 확산되고 있는 무선랜 기반 네트워크 환경에서의 개선된 보안관리 기능을 제공할 수 있었다.

• 융합보안논문지
• /
• 제5권4호
• /
• pp.67-72
• /
• 2005

최근 사회적인 이슈인 악성 트래픽 인한 네트워크 마비, 전자거래 방해 등과 같이 단시간내에 엄청난 국가적인 손실이 될수 있는 악성 웜, 바이러스에 대한 대처 능력은 보안관리에 매우 중요한 요소임은 자명하다. 이와 관련, 사이버위협에 대한 신속한 대처능력을 확보하기 위해 조기 예 경보시스템에 대한 많은 연구가 이루어지고 있으나, 기술적인 문제와 함께 시스템의 효용성에 대한 한계 때문에 실용적인 연구가 가시화되지 못하고 있는 실정이다. 본 논문에서는 위와 같은 문제를 해결하기 위하여 대형네트워크에서 기존 보안장비에 의한 검출과는 별도로 사이버 위협 조기예경보만을 위한 조기탐지기법에 대해서 연구하였다. 실제 대형네트워크에서 허니넷 (Honeynet)기반의 모듈을 적용한 사이버예경보시스템을 설계하여 대형 네트워크에서 본 모듈이 약성 트래픽에 대해 얼마나 효과적으로 대처 할수 있는지에 대해 연구하였다.

• ETRI Journal
• /
• 제43권1호
• /
• pp.40-52
• /
• 2021

DNS (Domain Name System) tunnels almost obscure the true network activities of users, which makes it challenging for the gateway or censorship equipment to identify malicious or unpermitted network behaviors. An efficient way to address this problem is to conduct a temporal-spatial analysis on the tunnel traffic. Nevertheless, current studies on this topic limit the DNS tunnel to those with a single protocol, whereas more than one protocol may be used simultaneously. In this paper, we concentrate on the refined identification of two protocols mixed in a DNS tunnel. A feature set is first derived from DNS query and response flows, which is incorporated with deep neural networks to construct a regression model. We benchmark the proposed method with captured DNS tunnel traffic, the experimental results show that the proposed scheme can achieve identification accuracy of more than 90%. To the best of our knowledge, the proposed scheme is the first to estimate the ratios of two mixed protocols in DNS tunnels.

• 한국정보통신학회논문지
• /
• 제25권1호
• /
• pp.69-74
• /
• 2021

코로나19의 영향으로 온라인 활동이 늘어나면서 인터넷 접속량도 늘어나고 있다. 하지만 악의적인 사용자에 의해서 네트워크 공격도 다양해지고 있으며 그중에서 DDoS 공격은 해마다 증가하는 추세이다. 이러한 공격은 침입 탐지 시스템에 의해서 탐지되며 조기에 차단할 수 있다. 침입 탐지 알고리즘을 검증하기 위해 다양한 데이터 세트를 이용하고 있으나 본 논문에서는 최신 트래픽 데이터 세트인 CICIDS2017를 이용한다. 의사 결정 트리를 이용하여 DDoS 공격 트래픽을 분석하였다. 중요도가 높은 결정적인 속성(Feature)을 찾아서 해당 속성에 대해서만 의사 결정 트리를 진행하여 정확도를 확인하였다. 그리고 위양성 및 위음성 트래픽의 내용을 분석하였다. 그 결과 하나의 속성은 98%, 두 가지 속성은 99.8%의 정확도를 각각 나타냈다.

• 디지털산업정보학회논문지
• /
• 제13권1호
• /
• pp.49-57
• /
• 2017

IoT can be connected through a single network not only objects which can be connected to existing internet but also objects which has communication capability. This IoT environment will be a huge change to the existing communication paradigm. However, the big security problem must be solved in order to develop further IoT. Security mechanisms reflecting these characteristics should be applied because devices participating in the IoT have low processing ability and low power. In addition, devices which perform abnormal behaviors between objects should be also detected. Therefore, in this paper, we proposed D-IDS technique for efficient detection of malicious attack nodes between devices participating in the IoT. The proposed technique performs the central detection and distribution detection to improve the performance of attack detection. The central detection monitors the entire network traffic at the boundary router using SVM technique and detects abnormal behavior. And the distribution detection combines RSSI value and reliability of node and detects Sybil attack node. The performance of attack detection against malicious nodes is improved through the attack detection process. The superiority of the proposed technique can be verified by experiments.