• 정보보호학회논문지
• /
• 제23권6호
• /
• pp.1181-1190
• /
• 2013

디지털 변전 자동화 시스템의 국제 표준인 IEC 61850에서는 IED(Intelligent Electronic Device)간의 상호 통신을 위해 GOOSE(Generic Object Oriented Substation Event) 프로토콜을 사용하고 있다. 그러나 GOOSE 프로토콜은 TCP/IP 프로토콜과 유사하게 이더넷에 기반하여 운용되므로 다양한 형태의 보안 위협에 노출되어 있다. 따라서 본 논문에서는 소프트웨어 기반의 공개 침입 탐지 시스템(Intrusion Detection System)으로 사용되는 Snort를 이용하여 GOOSE 프로토콜에 대한 IDS를 개발하였다. 개발된 IDS에는 디코딩 과정과 전처리 과정을 통해 GOOSE 패킷에 대한 키워드 탐색 기능과 DoS 공격 탐지 기능이 구현되어 있다. 또한, GOOSE 네트워크 실험 환경을 구축하고 GOOSE 패킷 생성 및 송 수신 실험으로 통해 IDS 시스템이 정상적으로 동작함을 확인하였다.

• 한국정보통신학회:학술대회논문집
• /
• 한국해양정보통신학회 2004년도 SMICS 2004 International Symposium on Maritime and Communication Sciences
• /
• pp.88-92
• /
• 2004

Most studies in the past in testing and benchmarking on Intrusion Detection System (IDS) were conducted as comparisons, rather than evaluation, on different IDSs. This paper presents the evaluation of the performance of one of the open source IDS, snort, in an inexpensive high availability system configuration. Redundancy and fault tolerance technology are used in deploying such IDS, because of the possible attacks that can make snort exhaust resources, degrade in performance and even crash. Several test data are used in such environment and yielded different results. CPU speed, Disk usage, memory utilization and other resources of the IDS host are also monitored. Test results with the proposed system configuration environment show much better system availability and reliability, especially on security systems.

• 한국정보기술응용학회:학술대회논문집
• /
• 한국정보기술응용학회 2005년도 6th 2005 International Conference on Computers, Communications and System
• /
• pp.259-262
• /
• 2005

This paper addresses the problem of protecting security policies in security mechanisms, such as the detection policy of an Intrusion Detection System. Unauthorized disclosure of such information might reveal the fundamental principles and methods for the protection of the whole network. In order to avoid this risk, we suggest two schemes for protecting security policies in Snort using the symmetric cryptosystem, Triple-DES.

• 한국정보과학회:학술대회논문집
• /
• 한국정보과학회 2004년도 봄 학술발표논문집 Vol.31 No.1 (A)
• /
• pp.292-294
• /
• 2004

본 논문에서는 룰 기반의 침입탐지 시스템을 위한 새로운 룰 보호기법을 제안한다. 오랫동안, 룰 기반의 침입탐지 시스템에서는 침입탐지 시스템의 룰 자체에 대한 보호기법은 고려하지 않았다. 최근에 손등 ［1］은 Snort를 기반으로 하는 룰 보호기법을 제시하였다. 이 기법에서는 룰의 헤더정보에 대한 보호기법은 제시하지만 패킷의 내용(Contents) 부분에 대한 보호기법은 제시하지 못했다. 이러한 문제를 해결하기 위해서 본 논문에서는 Snort 뿐만 아니라 모든 룰 기반의 침입탐지 시스템에서 룰을 보호할 수 있는 새로운 룰 보호기법을 제시한다.

• 정보처리학회논문지A
• /
• 제12A권2호
• /
• pp.87-94
• /
• 2005

패턴 매칭(Pattern Matching)은 네트워크 침입방지 시스템에서 가장 중요한 부분의 하나며 많은 연산을 필요로 한다. 날로 증가되는 많은 수의 공격 패턴을 다루기 위해, 네트워크 침입방지 시스템에서는 회선 속도로 들어오는 패킷을 처리 할 수 있는 다중 패턴 매칭 방법이 필수적이다. 본 논문에서는 현재 많이 사용되고있는 네트워크 침입방지 및 탐지 시스템인 Snort와 이것의 패턴 매칭 특성을 분석한다. 침입방지 시스템을 위한 패턴 매칭 방법은 다양한 길이를 갖는 많은 수의 패턴과 대소문자 구분 없는 패턴 매칭을 효과적으로 다룰 수 있어야 한다. 또한 여러 개의 입력 문자들을 동시에 처리 할 수 있어야 한다. 본 논문에서 Shift-OR 패턴 매칭 알고리즘에 기반을 둔 다중 패턴 매칭 하드웨어 가속기를 제시하고 여러 가지 가정 하에서 성능 측정을 하였다. 성능 측정에 따르면 제시된 하드웨어 가속기는 현재 Snort에서 사용되는 가장 빠른 소프트웨어 다중 패턴 매칭 보다 80배 이상 빠를 수 있다.

• 동굴
• /
• 제73호
• /
• pp.15-19
• /
• 2006

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2006년도 춘계학술발표대회
• /
• pp.901-904
• /
• 2006

인터넷 사용자들의 무선 네트워크의 활용빈도가 점차 높아지고 무선 네트워크의 보안시스템도 요구되면서 무선 네트워크의 안정적이고 원활한 활용과 사용자의 정보 노출의 위험을 줄이고자 유무선 통합형 IDS/IPS도 개발되고 있는 단계다. 본 논문에서는 무선랜 환경을 지원하는 유무선 IPS시스템을 구현하고, 비정상적인 트래픽 탐지의 효율성을 높여 IPS 시스템의 성능향상에 기여정도를 파악 및 분석하였다. 본 논문에서 구축한 IPS시스템은 하이브리드 형태로 구현하였으며 Snort-inline[11]과 Snort-wireless[12] 모듈을 사용하여 무선 랜 이상탐지 기능을 구현하였다. 네트워크 모니터링 시스템으로 네트워크의 트래픽 상황을 파악하여 비정상적인 트래픽이 증가되었을 경우, 제안한 IPS시스템에서 비정상 트래픽의 탐지 및 차단 기능을 기존 IPS와 성능을 비교/분석하였다.

• KSII Transactions on Internet and Information Systems (TIIS)
• /
• 제4권5호
• /
• pp.956-967
• /
• 2010

Rapid growth of internet applications has increased the importance of intrusion detection system (IDS) performance. String matching is the most computation-consuming task in IDS. In this paper, a new algorithm for multiple string matching is proposed. This proposed algorithm is based on the canonical Aho-Corasick algorithm and it utilizes a bidirectional and parallel processing structure to accelerate the matching speed. The proposed string matching algorithm was implemented and patched into Snort for experimental evaluation. Comparing with the canonical Aho-Corasick algorithm, the proposed algorithm has gained much improvement on the matching speed, especially in detecting multiple keywords within a long input text string.

• 한국콘텐츠학회논문지
• /
• 제7권11호
• /
• pp.94-101
• /
• 2007

본 논문에서는 알려지지 않은 변형 웜을 탐지하기 위한 방법을 제안한다. 그 방법으로, 페이로드 영역에서 시그니쳐 생성 방안들을 패턴인식 알고리즘으로 연구되었던 Suffix Tree중에서 Longest Common Subsequence(LCSeq) 기법을 이용하여 새로운 시그니쳐를 자동적으로 생성할 수 있는 프로그램을 설계하여 구현하였다. 테스트를 통해 코드레드 웜과 님다 웜의 변종을 검출하는 과정을 보여주고 기존 snort의 시그니쳐와 LCSeq를 이용해 생성된 시그니쳐를 비교 평가하였다.

• 정보처리학회논문지C
• /
• 제12C권4호
• /
• pp.503-510
• /
• 2005

수 기가비트 급의 네트워크 성능 저하 없이 모든 패킷의 페이로드를 검사하여 유해 패킷을 검출해 내기 위해서 일반 메모리보다 빠른 검색을 지원하는 TCAM을 이용한 고성능 패턴 매치 알고리즘을 제안한다. 본 논문에서 제안하는 고성능 패턴 매치 알고리즘은 페이로드내에서 m바이트의 문자열당 한 번의 TCAM 룩업을 수행하는 m-바이트 점핑 윈도우 기법을 이용하여 패킷의 페이로드당 TCAM 룩업 횟수를 줄여 페이로드 스캐닝 속도를 증가시킨다. 본 논문에서 제안한 방법과 TCAM 기반 슬라이딩 윈도우 패턴 매치 방법을 이용하여 페이로드 스캐닝 성능을 비교해 보고, 제안한 방법의 우수성을 시뮬레이션을 통해 보인다. 또한 m-바이트 점핑 윈도우 패턴 매치 알고리즘이 약 2천개의 패턴을 가지는 Snort 규칙을 이용한 시뮬레이션을 통해 9Mbit TCAM에서 10Gbps 이상의 페이로드 스캐닝 성능을 낼 수 있음을 보인다.