• 정보보호학회논문지
• /
• 제16권1호
• /
• pp.71-77
• /
• 2006

인터넷의 사용이 증가하면서, DDoS (분산 서비스 공격)를 비롯한 여러 가지 네트워크 공격들이 오늘날 인터넷의 안정성에 커다란 위협을 가하고 있다 인터넷과 같은 대규모 망을 대상으로 한 이러한 네트워크 공격들은 특정 호스트에 대한 피해뿐만 아니라, 전체 네트워크의 성능 저하를 유발한다. 이러한 피해를 막기 위해서 대규모 기간망에서 적용 가능한 효율적이고 간단한 공격 탐지 기법이 필요하다. 이를 위해 빈도의 분포에 대한 간단한 통계치인 엔트로피를 이용하고자 한다. 네트워크 공격에 따라서 특정 근원지 주소, 특정 목적지 주소 그리고 특정 목적지 포트의 비정상적인 빈도가 관찰되기 때문에 위 세가지 항목에 대한 엔트로피의 변화를 이용하여 네트워크 공격을 탐지한다. 세가지 엔트로피의 변화하는 형태를 분석하여 네트워크 공격의 종류 또한 파악할 수 있다.

• 정보보호학회논문지
• /
• 제29권5호
• /
• pp.1167-1177
• /
• 2019

본 논문에서는 기존 보안관제의 한계점을 살펴보고, 효율적인 모니터링을 위한 취약점 데이터베이스 기반의 새로운 보안관제 모델과 그 효과성을 연구한다. 제안한 모델은 로그 탐지를 위한 정보보호 장비, 취약점 데이터베이스, 탐지 로그와의 연동 결과를 시각화하여 제공하는 대시보드로 구성하였다. 모델의 평가는 사전에 구축한 가상 인프라에서 모의공격 시나리오를 설정하여 효과를 분석하였으며, 기존의 방식과 달리 자산이 가지고 있는 보안 취약점에 특화된 공격 위협에 신속히 대응할 수 있고 취약점 데이터베이스와 연계한 보안관제로 탐지 규칙 간의 중복을 발견하여 최적의 탐지 규칙을 작성할 수 있음을 확인하였다.

• 융합보안논문지
• /
• 제23권2호
• /
• pp.85-94
• /
• 2023

북한에 의한 위협이 증대되고 있는 엄중한 안보 상황에서 우리 군은 첨단기술을 활용한 GOP 과학화 경계시스템의 성능개량 사업을 통해 병력 절감 효과를 추구하고 있다. GOP 과학화 경계시스템이 인구절벽에 따른 병역자원 감소에 대한 효과적인 대안이 되기 위해서는 높은 탐지 및 식별률이 보장되어야 하고, 오탐율을 획기적으로 개선함으로써 병력의 개입이 최소화되어야 한다. 그런데, 현(現) GOP 과학화 경계시스템의 경우 양호한 기상환경에서는 비교적 높은 탐지 및 식별률을 보장하지만, 강우 및 안개 등의 악천후 상황에서의 성능은 다소 부족한 것으로 알려져 있다. 이를 극복할 수 있는 대안으로 악천후 시에도 물체를 탐지할 수 있는 레이더 기반 경계시스템이 하나의 대안으로 제시되고 있는데, 본 논문은 2021년 신속시범획득사업을 통해00사단에서 운용 중인 레이더 기반 AI 과학화 경계시스템의 악천후 상황에서의 효과성을 검증하고 이를 통해 향후 GOP 과학화 경계시스템의 발전 방향을 제시한다.

• 한국정보통신학회:학술대회논문집
• /
• 한국정보통신학회 2022년도 춘계학술대회
• /
• pp.203-205
• /
• 2022

Covid-19이 앞당긴 디지털 트랜스포메이션과 함께 원격근무 환경이 보편화되면서 정보 유출 공격에 의한 산업기밀과 개인정보 유출 피해 규모가 증가하고 있다. 최근 지능적이고 지속적인 정보 유출 공격은 대량의 정보를 빠르게 유출하는 것이 아니라 소량의 정보를 장기간에 걸쳐 지속해서 유출하기 때문에 탐지가 어려워 심각한 보안 위협이 되고 있다. 본 연구에서는 트래픽 특징을 기반으로 지능적이고 지속적인 정보 유출 공격을 탐지하는 프레임워크를 제안한다. 제안하는 방법은 페이로드가 암호화되어 있더라도, 트래픽 패턴, 패킷 사이즈, 메타데이터를 활용하여 지능적이고 지속적인 정보 유출 공격을 효과적으로 탐지할 수 있다.

• 정보보호학회논문지
• /
• 제26권2호
• /
• pp.369-375
• /
• 2016

기업 대부분은 사업 연속성을 위협하는 기밀정보 유출을 방지하기 위해 DRM, 메일 필터링, DLP, USB 보안 등 다양한 보안 시스템 구축에 투자를 아끼지 않고 있다. 그러나, 기업이 기밀정보의 유출 및 관련 사건을 인지한 시점에는 해당 직원이 이미 '퇴직'해 인사적 조치가 어렵고 관련 증거도 퇴직과 함께 사라져 버리는 경우가 많다. 그런 측면에서 퇴직 징후를 미리 탐지하고 사전 조치를 하는 것은 매우 중요하다. 데이터의 최소 단위인 파일을 대상으로 이루어지는 사용자 행위를 기록하는 DRM 로그를 활용하면, 퇴직 예측이 장 단기적으로 가능하므로 유출 행위를 예방하고 사후 증적으로도 활용할 수 있다. 이 연구는 직원의 퇴직 징후를 예측해 사전에 모니터링하는 프로세스를 수립함으로써, 퇴직자의 기밀 유출로 인한 기업 손실을 최대한 방지할 수 있는 방안을 제시한다.

• KSII Transactions on Internet and Information Systems (TIIS)
• /
• 제13권9호
• /
• pp.4706-4726
• /
• 2019

The paper is devoted to the detailed description of the distributed system for gathering data from Windows-based workstations and servers. The research presented in the beginning demonstrates that neither a solution for gathering data on attacks against Windows based PCs is available at present nor other security tools and supplementary programs can be combined in order to achieve the required attack data gathering from Windows computers. The design of the newly proposed system named Colander is presented, too. It is based on a client-server architecture while taking much inspiration from previous attempts for designing systems with similar purpose, as well as from IDS systems like Snort. Colander emphasizes its ease of use and minimum demand for system resources. Although the resource usage is usually low, it still requires further optimization, as is noted in the performance testing. Colander's ability to detect threats has been tested by real malware, and it has undergone a pilot field application. Future prospects and development are also proposed.

• 융합보안논문지
• /
• 제11권6호
• /
• pp.3-8
• /
• 2011

최초 사회공학기법의 발달로 해킹, 악성코드가 고도화, 첨단화 되어 기업에 대한 표적 공격인 APT(Advanced Persist ent Threat)공격이 급격히 증가하고 있다. APT공격의 가장 큰 특징 중 하나는 지속성이다. 공격자는 내외부에서 지속적으로 공격대상의 정보를 수집 및 활용한다. 보안관제 시스템(Enterprise Security Management)의 경우 이러한 지속적인 공격에 대하여 정상적인 접근 실패로 오인 공격을 받고 있음에도 별도의 경고를 할 수 없는 한계점이 있다. 이러한 오탐 데이터를 철저히 분석하기 위한 시스템 설계 및 연구가 필요하다. 본 논문에서는 데이터마이닝을 이용하여 지나칠 수 있는 오탐을 임계치 기준 분류하여, 산출된 비교 값을 기준으로 지속적으로 일어나는 공격에 대한 예측 및 공격에 대한 개선된 대응 방안을 제시한다. 제안 기법을 사용하여 장기적으로 시도되는 공격 데이터를 분류, 앞으로 일어날 수 있는 공격 징후 탐지가 가능하다.

• 한국전자거래학회지
• /
• 제27권1호
• /
• pp.1-13
• /
• 2022

인터넷, 모바일 등 네트워크 기술이 발전함에 따라 내외부 침입 및 위협으로부터 조직의 자원을 보호하기 위한 보안의 중요성이 커지고 있다. 따라서 최근에는 다양한 보안 로그 이벤트에 대하여 보안 위협 여부를 사전에 파악하고, 예방하는 이상징후 식별 알고리즘의 개발이 강조되고 있다. 과거 규칙 기반 또는 통계 학습에 기반하여 개발되어 온 보안 이상징후 식별 알고리즘은 점차 기계 학습과 딥러닝에 기반한 모델링으로 진화하고 있다. 본 연구에서는 다양한 기계 학습 분석 방법론을 활용하여 악의적 내부자 위협을 사전에 식별하는 최적 알고리즘으로 LSTM-autoencoder를 변형한 Deep-autoencoder 모형을 제안한다. 본 연구는 비지도 학습에 기반한 이상탐지 알고리즘 개발을 통해 적응형 보안의 가능성을 향상시키고, 지도 학습에 기반한 정탐 레이블링을 통해 기존 알고리즘 대비 오탐율을 감소시켰다는 점에서 학문적 의의를 갖는다.

• KSII Transactions on Internet and Information Systems (TIIS)
• /
• 제13권3호
• /
• pp.1611-1625
• /
• 2019

The emergence of new technologies and devices brings a new environment in the field of cyber security. It is not easy to predict possible security threats about new environment every time without special criteria. In other words, most malicious codes often reuse malicious code that has occurred in the past, such as bypassing detection from anti-virus or including additional functions. Therefore, we are predicting the security threats that can arise in a new environment based on the history of repeated malicious code. In this paper, we classify and define not only the internal information obtained from malicious code analysis but also the features that occur during infection and attack. We propose a method to predict and manage security threats in new environment by continuously managing and extending.

• 한국콘텐츠학회논문지
• /
• 제20권7호
• /
• pp.618-628
• /
• 2020

본 논문의 목적은 사이버 보안 프레임워크 기반으로 이미 도입되어 개별 운영 중인 각종 보안 솔루션들을 잘 조합하여 새로운 보안 오케스트레이션 서비스 모델을 제안하는 것이다. 현재 다양하고 지능화된 사이버 공격에 대응하고자 각종 단일 보안장비와 이를 통합 관리하는 SIEM과 AI솔루션까지 구축되었다. 그리고, 체계적인 예방과 대응을 위한 사이버보안 프레임워크와 보안 관제센터까지 개소를 하였다. 그러나 현실은 문서중심의 사이버보안 프레임워크와 한정된 보안인력으로 인해 TMS/IPS의 중요한 탐지 이벤트의 단편적인 침해대응의 관제형태를 벗어나기 힘든 상항이다. 이러한 문제점 개선을 위해 본 논문의 모델 기반으로 업무 특성과 취약한 자산 식별을 통해 보호해야 할 관제대상을 선정한 후, SIEM으로 로그 수집을 한다. 자산 정보를 기반으로 위협정보를 통해 사전 예방 방법과 세가지 탐지 전략을 수립했다. AI와 SIEM을 통해 공격 여부를 빠르게 판단하여 방화벽과 IPS에 자동 차단 기능이 연계되었다. 또한, 머신러닝 지도학습을 통해 TMS/IPS의 탐지 이벤트를 자동 침해사고 처리함으로 관제업무의 효율성 향상과 머신러닝 비지도 학습 결과를 통해 빅데이터 분석 중심의 위협헌팅 업무체계를 확립하였다.