• KSII Transactions on Internet and Information Systems (TIIS)
• /
• 제13권3호
• /
• pp.1284-1297
• /
• 2019

The network environment is presently becoming very increased. Accordingly, the study of traffic classification for network management is becoming difficult. Automatic signature extraction system is a hot topic in the field of traffic classification research. However, existing automatic payload signature generation systems suffer problems such as semi-automatic system, generating of disposable signatures, generating of false-positive signatures and signatures are not kept up to date. Therefore, we provide a fully automatic signature update system that automatically performs all the processes, such as traffic collection, signature generation, signature management and signature verification. The step of traffic collection automatically collects ground-truth traffic through the traffic measurement agent (TMA) and traffic management server (TMS). The step of signature management removes unnecessary signatures. The step of signature generation generates new signatures. Finally, the step of signature verification removes the false-positive signatures. The proposed system can solve the problems of existing systems. The result of this system to a campus network showed that, in the case of four applications, high recall values and low false-positive rates can be maintained.

• 대한임베디드공학회논문지
• /
• 제13권5호
• /
• pp.225-234
• /
• 2018

Control flow errors are caused by the vulnerability of memory and result in system failure. Signature-based control flow monitoring is a representative method for alleviating the problem. The method commonly consists of two routines; one routine is signature update and the other is signature verification. However, in the existing signature-based control flow monitoring, monitoring target application is tightly combined with the monitoring code, and the operation of monitoring in a single thread is the basic model. This makes the signature-based monitoring method difficult to expect performance improvement that can be taken in multi-thread and multi-core environments. In this paper, we propose a new signature-based control flow monitoring model that separates signature update and signature verification in thread level. The signature update is combined with application thread and signature verification runs on a separate monitor thread. In the proposed model, the application thread and the monitor thread are separated from each other, so that we can expect a performance improvement that can be taken in a multi-core and multi-thread environment.

• 한국통신학회논문지
• /
• 제42권1호
• /
• pp.98-107
• /
• 2017

오늘날 네트워크 자원을 사용하는 응용이 증대되면서 네트워크 관리를 위한 트래픽 분석에서 현재 연구 단계의 한계가 드러나고 있다. 그런 한계를 해결하기 위한 다양한 연구가 진행되고 있는데 그 중 대표적인 연구인 시그니쳐 자동생성 연구는 응용 트래픽을 입력으로 트래픽의 공통된 패턴을 찾아 출력하는 과정이 자동화된 연구이다. 그러나 시그니쳐 자동생성 연구는 트래픽을 사용자가 수집해야 하는 반자동 시스템이기 때문에 트래픽 수집 단계에서 문제가 발생할 수 있고, 생성된 시그니쳐의 검증 과정이 포함되어있지 않기 때문에 시그니쳐의 정확도를 신뢰할 수 없는 한계가 있다. 본 논문에서는 시그니쳐 자동생성 시스템의 한계를 극복하기 위해 트래픽수집, 시그니쳐 생성, 시그니쳐 검증, 시그니쳐 관리까지 모든 과정이 자동으로 이루어지는 시스템을 제안한다. 제안하는 방법을 학내 망의 실제트래픽에 적용하여 추출한 시그니쳐는 분석률을 유지하며, 오탐률을 0으로 만드는 효과를 보였다.

• 정보처리학회논문지C
• /
• 제17C권1호
• /
• pp.99-108
• /
• 2010

네트워크 트래픽 모니터링과 분석은 엔터프라이즈 네트워크의 효율적인 운영과 안정적 서비스를 제공하기 위한 필수적인 요소이다. 응용 레벨 트래픽의 분석을 위한 다양한 방법이 존재하지만 분류의 정확성, 분석률, 실용성을 고려했을 때 페이로드 시그니쳐 기반의 분석 방법은 가장 높은 성능을 보인다. 하지만 페이로드 시그니쳐를 수작업으로 추출하는 과정은 응용프로그램 및 응용 프로토콜에 대한 선행적인 분석이 필요하기 때문에 많은 시간과 인력이 요구된다. 또한 응용프로그램의 통합, 변경, 출현은 시그니쳐의 유지 및 관리에 대한 복잡성을 증대시킨다. 따라서 본 논문에서는 응용프로그램의 페이로드 시그니쳐 생성 과정의 단점을 보완할 수 있는 시그니쳐 자동 생성 시스템을 제안하여 시그니쳐 생성 효율을 향상시키며, 응용프로그램의 변화, 출현에 유연하게 대처할 수 있는 페이로드 시그니쳐 갱신 시스템을 구축하여 지속적으로 시그니쳐 유지, 관리가 가능하도록 하였다. 또한 학내망에 적용하여 제안한 시스템의 실용성을 증명하였다.

• 한국정보과학회논문지:정보통신
• /
• 제37권4호
• /
• pp.255-262
• /
• 2010

공표되지 않은 취약성을 이용하는 악성코드에 의한 제로데이 공격에 대응하기 위한 목적으로 최근 시그니처 자동생성 시스템이 개발되었다. 자동 생성된 시그니처의 효용성을 높이기 위해서는 탐지 정확도가 우수한 고품질 시그니처를 식별하여 보안시스템에 적시에 공급할 수 있어야 한다. 이러한 자동화된 시그니처 교환 및 분배, 갱신 작업은 네트워크의 관리 경계를 넘어 보안상 안전한 방법으로 범용성 있게 이루어져야 하며, 보안시스템의 성능저하를 초래하는 시그니처 집합의 노이즈를 제거할 수 있어야 한다. 본 논문은 시그니처 재평가를 통해 고품질 시그니처의 식별과 공유를 지원하는 시스템 구조를 제시하고 시그니처의 교환 및 분배, 갱신을 다루는 알고리즘을 제시한다. 제시한 시스템과 알고리즘을 테스트베드로 구현 실험한 결과, 보안시스템에서 시그니처 집합의 노이즈를 줄이면서 제로데이 공격 대응력을 향상시키는 시그니처의 축적이 자동화됨을 확인하였다. 본 논문에서 제안한 시스템 구조와 알고리즘은 제로데이 공격 대응력을 향상시키는 시그니처 자동 공유 프레임워크로 활용할 수 있으리라 기대한다.

• KSII Transactions on Internet and Information Systems (TIIS)
• /
• 제13권3호
• /
• pp.1502-1522
• /
• 2019

Leakage of secret keys may be the most devastating problem in public key cryptosystems because it means that all security guarantees are missing. The forward security mechanism allows users to update secret keys frequently without updating public keys. Meanwhile, it ensures that an attacker is unable to derive a user's secret keys for any past time, even if it compromises the user's current secret key. Therefore, it offers an effective cryptographic approach to address the private key leakage problem. As an extension of the forward security mechanism in certificate-based public key cryptography, forward-secure certificate-based signature (FS-CBS) has many appealing merits, such as no key escrow, no secure channel and implicit authentication. Until now, there is only one FS-CBS scheme that does not employ the random oracles. Unfortunately, our cryptanalysis indicates that the scheme is subject to the security vulnerability due to the existential forgery attack from the malicious CA. Our attack demonstrates that a CA can destroy its existential unforgeability by implanting trapdoors in system parameters without knowing the target user's secret key. Therefore, it is fair to say that to design a FS-CBS scheme secure against malicious CAs without lying random oracles is still an unsolved issue. To address this problem, we put forward an enhanced FS-CBS scheme without random oracles. Our FS-CBS scheme not only fixes the security weakness in the original scheme, but also significantly optimizes the scheme efficiency. In the standard model, we formally prove its security under the complexity assumption of the square computational Diffie-Hellman problem. In addition, the comparison with the original FS-CBS scheme shows that our scheme offers stronger security guarantee and enjoys better performance.

• 정보보호학회논문지
• /
• 제19권5호
• /
• pp.93-103
• /
• 2009

차량 애드혹 네트워크(VANET, Vehicular Ad hoc NETwork)에서 차량 간 교환되는 메시지가 위 변조되면 심각한 결과를 초래할 수 있어 중요 메시지의 인증은 반드시 필요하지만 이를 위해 일반 전자서명 기법을 사용하면 프라이버시가 침해될 수 있다. 따라서 VANET에서는 프라이버시를 보장하지만 문제를 발생시킨 차량을 식별할 수 있는 조건부 익명성이 제공되어야 한다. 이 논문에서는 각 차량에서 자체적으로 조건부 익명성이 보장되는 익명ID를 재암호화 기법을 이용하져 갱신할 수 있으며, 익명ID에 대한 표현문제를 이용하여 메시지를 서명한 다음 다른 차량에게 전달할 수 있는 VANET를 위한 새로운 인증시스템을 제안한다. 이 시스템은 ID의 사용기간을 제한하여 개별ID의 철회가 불필요하며, 필요할 경우에는 특정 차량의 서비스 참여를 제한시킬 수 있다. 제안된 시스템의 안전성은 일부 조작불가능한 하드웨어를 통해 제공하고 있다.

• 융합보안논문지
• /
• 제11권1호
• /
• pp.57-69
• /
• 2011

국방통합보안관제체계 내에는 자체 개발된 시스템을 포함하여 다양한 오용탐지 기반의 상용 침입탐지시스템들이 운용되고 있다. 오용탐지 방식에 기반해서 운용되는 침입탐지시스템의 경우 침입탐지 패턴의 업데이트 주기나 질적수준에 따라 서로 상이한 능력을 가지며, 이러한 상이성은 침입탐지시스템들 간의 통합과 협동탐지를 더욱 어렵게 만든다. 이에 본 논문에서는 국방통합보안관제체계 내에서 운용되는 이기종 침입탐지시스템들 간의 통합과 협업탐지를 위한 기반을 마련하기 위해 이기종 침입탐지시스템들이 새롭게 생성한 탐지규칙을 서로 전파하고 적용할 수 있는 기법을 제안하고, 구현 및 실험을 통해 제안된 탐지규칙 교환 기법의 국방환경 가능성을 입증한다.

• 융합보안논문지
• /
• 제14권7호
• /
• pp.53-58
• /
• 2014

MANET은 이동 노드들로만 구성되어 신속하게 네트워크를 구축할 수 있으며, 그 활용 범위가 다양하여 현재까지 많은 인기를 끌고 있다. 하지만 노드들의 잦은 이동으로 인한 동적인 토폴로지와 각 노드들의 제한된 자원 그리고 무선통신이 갖는 보안의 취약성이 MANET이 해결해야 할 큰 문제이다. 본 논문에서는 오버헤드를 줄이면서 정확한 침입탐지를 수행할 수 있는 영역 기반 분산협력 침입탐지 기법을 제안하였다. 제안한 침입탐지 기법에서는 네트워크를 일정한 크기로 분할 한 후 로컬 탐지와 전역 탐지가 수행된다. 로컬 탐지는 노드들의 비정상 행위를 탐지하기 위해 모든 노드에서 수행되고, 전역 탐지는 게이트웨이 노드에서 시그너처 기반 공격 탐지가 이루어지게 된다. 게이트웨이 노드에서 관리되는 시그너처 DB는 이웃 게이트웨이 노드와 허니넷을 구성하여 주기적인 업데이트가 이루어지고, 신뢰 관리 모듈에 의해 영역내의 노드들에 대한 신뢰도를 유지하였다. 제안한 기법의 침입탐지 성능을 확인하기 위하여 다중 계층 클러스터 기법과 비교 실험을 통해 우수한 성능을 확인할 수 있었다.

• KSII Transactions on Internet and Information Systems (TIIS)
• /
• 제15권9호
• /
• pp.3258-3273
• /
• 2021

Malware is a severe threat to the computing system and there's a long history of the battle between malware detection and anti-detection. Most traditional detection methods are based on static analysis with signature matching and dynamic analysis methods that are focused on sensitive behaviors. However, the usual detections have only limited effect when meeting the development of malware, so that the manual update for feature sets is essential. Besides, most of these methods match target samples with the usual feature database, which ignored the characteristics of the sample itself. In this paper, we propose a new malware detection method that could combine the features of a single sample and the general features of malware. Firstly, a structure of Directed Cyclic Graph (DCG) is adopted to extract features from samples. Then the sensitivity of each API call is computed with Markov Chain. Afterward, the graph is merged with the chain to get the final features. Finally, the detectors based on machine learning or deep learning are devised for identification. To evaluate the effect and robustness of our approach, several experiments were adopted. The results showed that the proposed method had a good performance in most tests, and the approach also had stability with the development and growth of malware.