• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2015년도 추계학술발표대회
• /
• pp.862-864
• /
• 2015

최근 몇 년 사이 FREAK, POODLE, HEARTBLEED, CRIME등등 TLS와 관련된 많은 취약점이 발생하였다. 이러한 취약점들은 해당 TLS버전을 사용하지 않거나 업데이트를 함으로서 예방할 수 있다. 하지만 오래된 서버를 사용하거나 낮은 버전의 TLS만을 지원하여 업데이트를 못하는 경우가 있고, 이러한 서버들은 취약점에 무방비상태로 노출되어있다. 그래서 이러한 서버들에게 TLS관련 취약점을 미리 알려주기 위해 Snort라는 툴을 사용하여 연구를 하였다.

• 한국통신학회논문지
• /
• 제40권11호
• /
• pp.2169-2177
• /
• 2015

본 논문은 네트워크 침입 탐지 시스템에서 CAM 및 해시 구조 기반 알고리듬의 비용 한계를 극복하기 위해 RAM을 이용한다. RAM을 이용한 기존 알고리듬의 다중 엔트리 처리 시 실시간 처리속도 지연 문제를 보완한 새로운 패턴 매칭기를 제안한다. 제안된 패턴 매칭기는 Merge FSM 알고리듬을 적용하여 스테이트의 수를 줄이고, RAM을 사용하기 위해 스테이트 블록과 엔트리 블록을 포함한다. 입력된 문자열과 비교할 엔트리문자열이 여러개 존재할 때 엔트리 블록에서 입력된 문자열과 엔트리 문자열들을 동시에 비교한다. 제안된 패턴 매칭기는 Snort 2.9 규칙을 이용하여 검증하였다. 실험결과 기존 탐색 방법과 비교하여 메모리 접근 빈도가 15.8% 감소하였고, 전체 메모리 크기는 2.6% 증가하였으며, 처리속도는 47.1% 증가하였다.

• 융합보안논문지
• /
• 제4권2호
• /
• pp.1-7
• /
• 2004

정보통신망의 빠른 발달과 이로 인한 인터넷 사용의 급증으로 인하여 해킹, 바이러스 등의 정보통신 역기능 또한 빠르게 발전하고 있다 이를 방지하기 위해 F/W, IDS, VPN 등의 보안 제품이 많이 사용되고 있다. 그러나, 1.25 인터넷 대란에서 알 수 있듯이 현 상황은 관리자가 보안 제품들에서 발생하는 경고 메시지를 확인하고 해당 내용을 대응할 수 없을 정도로 빠른 시간에 확산된다. 따라서, IDS와 더불어 자동 대응 기능을 갖추고 있는 침입방지시스템(IPS)이 절실히 요구되어지고 있고, 널리 사용되어지고 있다. 본 논문에서는 linux 운영 체제 환경에서의 공개된 도구인 snort와 iptables를 이용하여 시스템 구축 비용이 최소화될 수 있는 방향으로 설계되었다. 또한, snort에서 발생시킨 경보 메시지를 iptables와 연계하여 자동 대응을 수행하도록 구성되었으며, 이를 통하여 관리자 개입을 최소화하고 해킹사고에 대한 피해를 최소화 할 수 있도록 제안되었다.

• 한국시뮬레이션학회논문지
• /
• 제21권4호
• /
• pp.91-102
• /
• 2012

네트워크 포트스캔 공격은 내부 네트워크에 있는 시스템에서 열려 있는 포트를 알아내기 위한 방법이다. 기존 대부분의 침입탐지시스템(Intrusion Detection System; IDS)들은 단위 시간당 시스템 또는 네트워크에 몇 번의 패킷을 보냈는지의 횟수를 기록하여 전송한 패킷의 횟수가 임계치보다 높은 소스 인터넷 주소(source IP address)에 대해서 포트스캔 공격이 수행되었다고 간주하였다. 즉, 네트워크 포트스캔 공격을 수행한 소스 인터넷 주소에 대한 위험 정도는 IDS들이 기록한 포트스캔 공격횟수에 의존하였다. 그러나 단순히 포트스캔 공격 횟수에 기반을 둔 위험성의 측정은 느린 포트스캔 공격에 대해 거짓 부정(false negative)이 높아져 포트스캔 탐지율이 낮아진다는 문제가 있다. 본 연구에서는 네트워크 포트스캔 공격에 대해 좀 더 정확하고 포괄적인 구분을 하기 위해 4가지 형태의 정보를 요약한다. 포트스캔 공격에 대한 위험성을 집약적으로 나타내기 위하여 주성분분석(principal component analysis, PCA)에 의해 이러한 정보들을 정량화한 위험지수를 제안한다. 실험을 통해 제안한 위험지수를 이용한 탐지가 포트스캔 탐지율에 있어서 Snort보다 우수하다는 것을 보인다.

• 한국사이버테러정보전학회:학술대회논문집
• /
• 한국사이버테러정보전학회 2004년도 제1회 춘계학술발표대회
• /
• pp.21-26
• /
• 2004

정보통신망의 빠른 발달과 이로 인한 인터넷 사용의 급증으로 인하여 해킹, 바이러스 등의 정보통신 역기능 또한 빠르게 발전하고 있다. 이를 방지하기 위해 F/W, IDS, VPN 등의 보안 제품이 많이 사용되고 있다. 그러나, 1.25 인터넷 대란에서 알 수 있듯이 현 상황은 관리자가 보안 제품들에서 발생하는 경고 메시지를 화인하고 해당 내용을 대응할 수 없을 정도로 빠른 시간에 확산된다. 따라서, IDS와 더불어 자동 대응 기능을 갖추고 있는 침입방지시스템(IPS)이 절실히 요구되어지고 있고, 널리 사용되어지고 있다. 본 논문에서는 linux 운영 체제 환경에서의 공개된 도구인 snort와 iptables를 이용한 IPS를 설계하였다. 제안된 시스템은 snort에서 발생시킨 경보 메시지를 iptables와 연계하여 자동 대응을 수행하도록 구성되었으며, 이를 통하여 관리자 개입을 최소화하고 해킹사고에 대한 피해를 최소화 할 수 있도록 제안되었다.

• 한국콘텐츠학회논문지
• /
• 제10권3호
• /
• pp.101-112
• /
• 2010

최근의 해킹 추세는 기업의 이윤과 관계되는 모든 IT 인프라를 대상으로 하고 있다. 이는 기존의 공격이 비서비스 포트를 통한 서비스 인프라로의 접근을 시도했다면, 현재는 기업이윤 창출의 원천인 서비스 자체를 공격하고 있다. 즉, 서비스에 직접적인 영향을 끼치고 있음에도 불구하고 기존의 보안 솔루션이나 체계로는 방어하기가 어렵고 동시에 이용자 보호, 지속 가능한 경영 자체를 위협하며 금전을 요구하는 협박의 형태로 점점 더 많은 기업에 위해를 가하고 있다. 본 논문에서는 트래픽량을 기준으로 정상, 비정상을 판단하는 예외처리기반 네트워크 침입탐지 시스템을 대상으로 멀티 플렛폼 기반의 네트워크 패킷 스캐너를 설계하고 구현하였다. Linux나 unix 환경에는 ngrep, snort, TCPdump와 같은 여러 가지 네트워크 침입탐지와 패킷 관리 도구들이 있지만 대부분 문자 방식 사용자 인터페이스(CUI : Character based User Interface)를 기반으로 구현되어 익숙하지 않은 사용자들에게는 불편함이 따른다. 제안된 시스템은 이러한 불편함을 개선하여 사용자에게 직관적이고 사용이 쉬운 인터페이스를 제공하기 위하여 그래픽 사용자 인터페이스(GUI : Graphical User Interface)기반으로 구현하였고, 모든 운영체제에서 구동될 수 있도록 멀티 플랫폼을 지원하는 Qt(C++)언어를 사용하여 설계 및 구현하였다.

• 정보처리학회논문지C
• /
• 제11C권3호
• /
• pp.301-308
• /
• 2004

전문가의 침입 분석 지식을 기반으로 한 Misuse IDS는 침입 탐지 비율은 우수하지만 도한 오경보를 생성하여 관리 효율성이 낮다. 우리는 패킷 정보 중심의 사례 기반 학습을 Misuse IDS와 결합하여 그 행동 특성에 따라 오경보를 줄이는 모형을 제안하고 실험하였다. 또 기존의 IBL(교stance Based Learner)을 개선한 XIBL(Extended Instance Based Learner)을 이용하여 Snort의 alarm을 패킷 수준에서 역 추적 분석하여, 그 alarm이 실제로 보내질 가치가 있는지를 검사한다. 실험 결과 진성경보와 오경보 사이에는 XIBL의 행동상 분명한 차이가 드러나며, 네트워크 상의 공격이 비록 여러 패킷의 결합된 형태로 나타나지만, 개별 패킷에 대한 정상/비정상 의사 결정도 Misuse IDS와 결합하면 전체 시스템의 성능을 향상하는 데에 기여할 수 있음을 실증적으로 보여주었다.

• 한국통신학회논문지
• /
• 제34권9B호
• /
• pp.914-922
• /
• 2009

본 논문에서는 수 Gbps 네트워크 트래픽에서 실시간 침입 탐지를 위한 패턴 매칭 방법인 MDPI를 제안한다. MDPI는 패킷 전달 순서가 유지되지 않는 경우 버퍼링, 재배열 및 재조립에서 발생하는 오버헤드 문제를 해결하기 위해 독립 부분 매칭에 의한 행렬 기반의 패턴 매칭 방법이다. MDPI는 SNORT 룰셋(Rule Set)의 평균 길이인 17바이트의 경우 w=4 바이트에서는 61%, w=8 바이트인 경우는 50%의 TCAM 메모리 효율이 증가되었다. 또한 MDPI는 10.941Gbps 패턴 검사 속도와 5.79 LC/Char 하드웨어 자원을 소모함으로써 하드웨어 복잡성 대비성능 측면에서 최적화된 결과를 얻었다. 따라서 본 논문에서는 하드웨어 비용 절감에 의해 가격 효율적인 고성능 침입 탐지 기술을 제안한다.

• 한국컴퓨터정보학회논문지
• /
• 제17권4호
• /
• pp.11-18
• /
• 2012

침입 탐지에 가장 시간이 많이 소요되는 작업은 패킷 데이터에 침입 패턴이 있는지를 검사하는 심층 패킷검사이다. 고속 네트워크에서 이 작업을 실시간으로 처리하기 위해서는 하드웨어 기반 패턴매칭이 필요하다. 본 논문에서는 침입탐지 시스템 구현에 하드웨어 기반 패턴매칭을 사용할 수 있도록 네트워크의 패킷을 수집하여 Snort 패턴규칙에 따라서 패턴매칭을 수행하고 결과를 소프트웨어에게 제공할 수 있도록 하는 하드웨어를 Virtex-6 FPGA를 사용하여 Microblaze 기반의 SoC 형태로 설계하여 구현하였다. 구현된 시스템은 인위적인 트래픽 생성과 실제 트래픽을 사용하여 동작을 검증하였고 패킷이 네트워크 인터페이스에서 메모리로 복사되는 동안 패턴매칭 동작을 정확하게 수행하여 소프트웨어에게 결과를 제공하였다. 본 연구 결과는 실시간 처리가 가능하도록 침입탐지 시스템을 고속화 하기위한 하드웨어로 사용될 수 있다.

• 한국컴퓨터정보학회논문지
• /
• 제13권6호
• /
• pp.217-224
• /
• 2008

본 논문은 2008년에 발생했던, 금융기관과 정부기관에 대한 DoS 공격에 대한 연구이다. 실험실 환경에서 실제 DoS 공격 툴을 이용하여 공격을 실시한다. DoS 공격을 탐지하기 위하여 네트워크에서 Snort를 이용한 N-IDS를 설치한다. 패킷을 탐지하기 위한 WinPcap과 패킷의 저장 및 분석하기 위한 MySQL, HSC, .NET Framework 등을 설치한다. e-Watch 등의 패킷 분석 도구를 통해 해커의 DoS 공격에 대한 패킷량과 TCP, UDP 등의 정보, Port, MAC과 IP 정보 등을 분석한다. 본 논문 연구를 통하여 유비쿼터스 정보화 사회의 역기능인 사이버 DoS, DDoS 공격에 대한 자료를 분석하여, 공격자에 대한 포렌식자료 및 역추적 분석 자료를 생성하여, 안전한 인터넷 정보 시스템을 확보하는데 의의가 있다.