• KSII Transactions on Internet and Information Systems (TIIS)
• /
• 제14권12호
• /
• pp.4909-4926
• /
• 2020

Cyberattacks penetrate the server and perform various malicious acts such as stealing confidential information, destroying systems, and exposing personal information. To achieve this, attackers perform various malicious actions by infecting endpoints and accessing the internal network. However, the current countermeasures are only anti-viruses that operate in a signature or pattern manner, allowing initial unknown attacks. Endpoint Detection and Response (EDR) technology is focused on providing visibility, and strong countermeasures are lacking. If you fail to respond to the initial attack, it is difficult to respond additionally because malicious behavior like Advanced Persistent Threat (APT) attack does not occur immediately, but occurs over a long period of time. In this paper, we propose a technique that detects an unknown attack using an event log without prior knowledge, although the initial response failed with anti-virus. The proposed technology uses a combination of AutoEncoder and 1D CNN (1-Dimention Convolutional Neural Network) based on semi-supervised learning. The experiment trained a dataset collected over a month in a real-world commercial endpoint environment, and tested the data collected over the next month. As a result of the experiment, 37 unknown attacks were detected in the event log collected for one month in the actual commercial endpoint environment, and 26 of them were verified as malicious through VirusTotal (VT). In the future, it is expected that the proposed model will be applied to EDR technology to form a secure endpoint environment and reduce time and labor costs to effectively detect unknown attacks.

• 정보보호학회논문지
• /
• 제29권5호
• /
• pp.1027-1037
• /
• 2019

기존의 사이버 공격 탐지 솔루션은 일반적으로 시그니처 기반 내지 악성행위 분석을 통한 방식의 탐지를 수행하므로, 알려지지 않은 방식에 의한 공격은 탐지하기 어렵다는 한계가 있다. 시스템에서는 상시로 발생하는 다양한 정보들이 시스템의 상태를 반영하고 있으므로, 이들 정보를 수집하여 정상상태를 학습하고 이상상태를 탐지하는 방식으로 알려지지 않은 공격을 탐지할 수 있다. 본 논문은 정상상태 학습 및 탐지에 활용하기 위하여 문자열을 그 순서와 의미를 보존하며 정량적 수치로 변환하는 머신러닝 임베딩(Embedding) 기법과 이상상태의 탐지를 위하여 다수의 정상데이터에서 소수의 비정상 데이터를 탐지하는 머신러닝 이상치 탐지(Novelty Detection) 기법을 이용하여 사이버 공격에 의한 시스템 이상상태를 탐지하는 방안을 제안한다.

• 한국콘텐츠학회논문지
• /
• 제6권1호
• /
• pp.151-159
• /
• 2006

본 논문은 침입탐지 도구에서의 능동 대응 정책 생성 방안에 대하여 연구하였다. 능동 대응형 침입탐지 시스템을 설계 구현하기 위한 선행 연구로서 능동 대응을 위한 침입탐지 도구의 요구사항을 7가지 구성요소로 고려하였고, 공격에 대한 능동 대응 방안으로 NIDS와 ADS를 통합한 모델을 기반으로 상호 유기적으로 시그니쳐를 생성할 수 있는 방안을 제시하였다. Unknown Attack의 탐지를 위하여 트래픽 비정상행위 탐지와 프로토콜 비정상행위 탐지로 나누어 연구하였고 자동적인 시그니쳐 생성 엔진을 위해 헤더영역과 페이로드영역으로 나누어 연구하였다.

• KSII Transactions on Internet and Information Systems (TIIS)
• /
• 제6권2호
• /
• pp.751-765
• /
• 2012

Key establishment protocols are fundamental for establishing secure communication channels over public insecure networks. Security must be given the topmost priority in the design of a key establishment protocol. In this work, we provide a security analysis on two recent key establishment protocols: Harn and Lin's group key transfer protocol and Dutta and Barua's group key agreement protocol. Our analysis shows that both the Harn-Lin protocol and the Dutta-Barua protocol have a flaw in their design and can be easily attacked. The attack we mount on the Harn-Lin protocol is a replay attack whereby a malicious user can obtain the long-term secrets of any other users. The Dutta-Barua protocol is vulnerable to an unknown key-share attack. For each of the two protocols, we present how to eliminate their security vulnerabilities. We also improve Dutta and Barua's proof of security to make it valid against unknown key share attacks.

• KSII Transactions on Internet and Information Systems (TIIS)
• /
• 제13권4호
• /
• pp.2223-2242
• /
• 2019

Distance Vector-Hop (DV-Hop) algorithm is widely used in node localization. It often suffers the wormhole attack. The current researches focus on Double-Wormhole-Node-Link (DWNL) and have limited attention to Multi-Wormhole-Node-Link (MWNL). In this paper, we propose a security DV-Hop algorithm (AMLDV-Hop) to resist MWNL. Firstly, the algorithm establishes the Neighbor List (NL) in initialization phase. It uses the NL to find the suspect beacon nodes and then find the actually attacked beacon nodes by calculating the distances to other beacon nodes. The attacked beacon nodes generate and broadcast the conflict sets to distinguish the different wormhole areas. The unknown nodes take the marked beacon nodes as references and mark themselves with different numbers in the first-round marking. If the unknown nodes fail to mark themselves, they will take the marked unknown nodes as references to mark themselves in the second-round marking. The unknown nodes that still fail to be marked are semi-isolated. The results indicate that the localization error of proposed AMLDV-Hop algorithm has 112.3%, 10.2%, 41.7%, 6.9% reduction compared to the attacked DV-Hop algorithm, the Label-based DV-Hop (LBDV-Hop), the Secure Neighbor Discovery Based DV-Hop (NDDV-Hop), and the Against Wormhole DV-Hop (AWDV-Hop) algorithm.

• 정보처리학회논문지C
• /
• 제13C권4호
• /
• pp.405-414
• /
• 2006

공격 발생시에 네트워크에 나타나는 징후정보를 수집하여 공격을 분류하는 징후기반공격분류법을 제안한다. 이 공격분류법은 공격 발생시 징후를 이용하므로 필요한 정보의 수집이 빠르고 알려지지 않은 공격에 대한 분류가 가능한 장점이 있다. 제안하는 공격법은 두 단계로 공격을 분류한다. 단일 공격자로부터 단일 공격대상에게 나타나는 단일 공격들을 먼저 분류하고 단일 공격들이 서로 연관성 없는 다른 공격들인지 아니면 동일한 하나의 공격을 구성하는 연관된 공격인지 판단하게 된다. 따라서, 이미 제안된 공격분류법보다 정확하게 분산서비스거부공격이나 웜, Bot과 같은 공격을 분류할 수 있게 되었다. 제안하는 분류법을 이용하여 원과 분산서비스거부공격의 특정 및 근거리통신망에서 발생하는 공격의 특정을 도출하였고 이러한 특정들은 새로운 웜이나 분산서비스거부공격 또는 근거리통신망에서 발생하는 공격들도 공통적으로 가지는 특정임을 보였다.

• Journal of information and communication convergence engineering
• /
• 제6권3호
• /
• pp.294-300
• /
• 2008

This study was conducted to investigate what to consider for active response in the intrusion detection system, how to implement active response, and 6-phase response models to respond actively, including the active response scheme to detect unknown attacks by using a traffic measuring engine and an anomaly detection engine.

• 정보보호학회논문지
• /
• 제30권4호
• /
• pp.669-677
• /
• 2020

인터넷 사용자가 폭발적으로 늘어나면서 웹을 이용한 공격이 증가했다. 뿐만 아니라 기존의 방어 기법들을 우회하기 위해 공격 패턴이 다양해졌다. 전통적인 웹 방화벽은 알져지지 않은 패턴의 공격을 탐지하기 어렵다. 따라서 인공지능으로 비정상을 탐지하는 방식이 대안으로 연구되고 있다. 특히 공격에 악용되는 스크립트나 쿼리가 텍스트로 이루어져 있다는 이유로 자연어 처리 기법을 적용하는 시도가 일어나고 있다. 하지만 스크립트나 쿼리는 미등록 단어(Unknown word)가 다량 발생하기 때문에 자연어 처리와는 다른 방식의 접근이 필요하다. 본 논문에서는 BPE(Byte Pair Encoding)기법으로 웹 공격 페이로드에 자주 사용되는 토큰 집합을 추출하여 임베딩 벡터를 학습시키고, 주의 메커니즘 기반의 Bi-GRU 신경망으로 토큰의 순서와 중요도를 학습하여 웹 공격을 분류하는 모델을 제안한다. 주요 웹 공격인 SQL 삽입 공격, 크로스 사이트 스크립팅, 명령 삽입 공격에 대하여 분류 평가 결과 약 0.9990의 정확도를 얻었으며, 기존 연구에서 제안한 모델의 성능을 상회하는 결과를 도출하였다.

• 인터넷정보학회논문지
• /
• 제7권3호
• /
• pp.133-142
• /
• 2006

복수키 동의 프로토콜의 목적은 단일키 동의 프로토콜의 거듭 실행에 비하여 계산량과 통신량 면에서 효율성을 얻기 위함이다. 최근에 ID 기반의 3자 복수키 동의 프로토콜들이 제안되었지만, unknown key-share 공격 혹은 impersonation 공격 등에 대한 취약함이 발견되어 모든 종류의 공격에 대하여 안전하면서 효율적인 ID 기반 인증된 3자 키 동의 프로토콜의 설계는 아직 미지의 문제로 남아있다. 본 논문에서는 단일키 동의 프로토콜과 키 유도함수를 결합한 복수키 동의 기법을 제안한다. 기존의 복수키 동의 프로토콜에 비하여 계산적 효율성을 증가시킬 수 있을 뿐 아니라, 안전성이 증명된 단일키 동의 프로토콜과 키 유도함수를 사용함으로써 안전성을 보장받을 수 있다.

• KSII Transactions on Internet and Information Systems (TIIS)
• /
• 제15권9호
• /
• pp.3243-3257
• /
• 2021

Deep neural networks provide excellent performance in pattern recognition, audio classification, and image recognition. It is important that they accurately recognize input data, particularly when they are used in autonomous vehicles or for medical services. In this study, we propose a data correction method for increasing the accuracy of an unknown classifier by modifying the input data without changing the classifier. This method modifies the input data slightly so that the unknown classifier will correctly recognize the input data. It is an ensemble method that has the characteristic of transferability to an unknown classifier by generating corrected data that are correctly recognized by several classifiers that are known in advance. We tested our method using MNIST and CIFAR-10 as experimental data. The experimental results exhibit that the accuracy of the unknown classifier is a 100% correct recognition rate owing to the data correction generated by the proposed method, which minimizes data distortion to maintain the data's recognizability by humans.