• 한국통신학회논문지
• /
• 제33권3B호
• /
• pp.152-158
• /
• 2008

최근 DDoS(Distributed Denial of Service) 공격이 네트워크 주요 위협요소로 부각되고 있다. 이들 공격은 주로 특정 victim에 다량의 패킷을 전송하는 특징을 가지기 때문에 발생 패킷들의 목적지 IP 주소를 모니터링하여 공격을 탐지하는 기법들이 제안되었다. 기존의 블룸 필터 탐지 기법은 구조가 간단하고 실시간 탐지가 가능한 장점을 갖지만 목적지 IP 주소의 세부 주소를 독립적으로 모니터링하므로 오탐지율이 높은 문제점을 가진다. 이러한 문제점을 해결하기 위하여 본 논문에서는 목적지 주소의 세부 주소 간 연관성을 정의하여 모니터링하는 확장된 블룸 필터 기반의 효율적인 목적지 주소 모니터링 기법을 제안한다. 제안한 기법에서는 세부 주소를 모니터링하는 테이블뿐만 아니라 세부 주소 간 연관성을 모니터링하는 추가 테이블을 유지한다. 시뮬레이션을 통한 성능 평가 결과 제안한 기법은 기존의 블룸 필터 탐지 기법보다 낮은 오탐지율을 보였다. 또한 공격 탐지 정확성 향상을 위하여 다층의 모니터링 구조를 제안하였으며, 층수와 추가 테이블의 수의 변화에 따라 정확도를 높일 수 있었다.

• 융합보안논문지
• /
• 제8권3호
• /
• pp.1-8
• /
• 2008

오용 탐지(misuse-detection) 기반의 침입 탐지 시스템에서 패턴 비교 부분은 많은 수행시간 및 자원을 필요로 하며, 전체 시스템 성능 상의 병목 현상을 유발한다. 더 나아가 이것은 서비스-거부-공격의 표적이 될 여지도 있다. 본 논문에서는 첫째, 서비스 거부 공격에 강한 침입탐지시스템 구성 방안을 살펴보고, 둘째, 특별히 웹서버 시스템에서 효율적으로 탐지를 수행하는 방안을 제안한다. 이 두 가지 방안을 함께 이용함으로써 웹서버 시스템을 서비스 거부 공격을 포함한 침입에 대항하여 효율적으로 안전하게 유지할 수 있다.

• 디지털산업정보학회논문지
• /
• 제6권1호
• /
• pp.1-12
• /
• 2010

Recently, large amount of information in IDS(Intrusion Detection System) can be un manageable and also be mixed with false prediction error. In this paper, we propose a data mining methodology for IDS, which contains uncertainty based on training process and post-processing analysis additionally. Our system is trained to classify the existing attack for misuse detection, to detect the new attack pattern for anomaly detection, and to define border patter between attack and normal pattern. In experimental results show that our approach improve the performance against existing attacks and new attacks,from 0.62 to 0.84 about 35%.

• 한국정보통신학회:학술대회논문집
• /
• 한국정보통신학회 2012년도 춘계학술대회
• /
• pp.467-470
• /
• 2012

본 논문에서는 센서 네트워크에서 ID 기반 인증서를 이용한 Sybil 공격 탐지 기법을 제안함으로 첫째, 효율적인 키 분배로 키 분배시 발생할 수 있는 Broadcast Storm 해결 방안을 제시하였다. 둘째, 키 체인 기법으로 센서 네트워크의 노드의 키를 생성하고, 주기적으로 변경하도록 설계함으로써 재전송 공격을 방지하였다. 셋째, 해시 함수를 사용하여 센서 노드의 신분을 인증함으로써, 센서 노드의 메모리 사용량을 극대화시켰으며, 통신 오버헤드를 줄였다. 끝으로, ID 기반 인증서를 통해 Sybil 공격을 탐지할 수 있도록 하였다. 따라서, 본 논문에서는 제안한 ID 기반 인증서를 이용한 Sybil 공격 탐지 기법은 센서 네트워크의 환경에서의 에너지 효율성과 안정성을 동시에 제공하였으며, 센서 네트워크를 통해 제공되는 정보를 신뢰할 수 있도록 하였다.

• KSII Transactions on Internet and Information Systems (TIIS)
• /
• 제13권11호
• /
• pp.5354-5369
• /
• 2019

Sensor networks are deployed in unheeded environment to monitor the situation. In view of the unheeded environment and by the nature of their communication channel sensor nodes are vulnerable to various attacks most commonly malicious packet dropping attacks namely blackhole, grayhole attack and sinkhole attack. In each of these attacks, the attackers capture the sensor nodes to inject fake details, to deceive other sensor nodes and to interrupt the network traffic by packet dropping. In all such attacks, the compromised node advertises itself with fake routing facts to draw its neighbor traffic and to plunge the data packets. False routing advertisement play vital role in deceiving genuine node in network. In this paper, behavior based routing misbehavior detection (BRMD) is designed in wireless sensor networks to detect false advertiser node in the network. Herein the sensor nodes are monitored by its neighbor. The node which attracts more neighbor traffic by fake routing advertisement and involves the malicious activities such as packet dropping, selective packet dropping and tampering data are detected by its various behaviors and isolated from the network. To estimate the effectiveness of the proposed technique, Network Simulator 2.34 is used. In addition packet delivery ratio, throughput and end-to-end delay of BRMD are compared with other existing routing protocols and as a consequence it is shown that BRMD performs better. The outcome also demonstrates that BRMD yields lesser false positive (less than 6%) and false negative (less than 4%) encountered in various attack detection.

• Journal of Information Processing Systems
• /
• 제13권4호
• /
• pp.1014-1028
• /
• 2017

Social networking services (SNSs) such as Twitter, MySpace, and Facebook have become progressively significant with its billions of users. Still, alongside this increase is an increase in security threats such as cross-site scripting (XSS) threat. Recently, a few approaches have been proposed to detect an XSS attack on SNSs. Due to the certain recent features of SNSs webpages such as JavaScript and AJAX, however, the existing approaches are not efficient in combating XSS attack on SNSs. In this paper, we propose a machine learning-based approach to detecting XSS attack on SNSs. In our approach, the detection of XSS attack is performed based on three features: URLs, webpage, and SNSs. A dataset is prepared by collecting 1,000 SNSs webpages and extracting the features from these webpages. Ten different machine learning classifiers are used on a prepared dataset to classify webpages into two categories: XSS or non-XSS. To validate the efficiency of the proposed approach, we evaluated and compared it with other existing approaches. The evaluation results show that our approach attains better performance in the SNS environment, recording the highest accuracy of 0.972 and lowest false positive rate of 0.87.

• 한국정보처리학회논문지
• /
• 제6권11호
• /
• pp.3011-3019
• /
• 1999

Denial of service is about knocking off services, without permission for example through crashing the whole system. This kind of attacks are easy to launch and it is hard to protect a system against them. The basic problem is that Unix assumes that users on the system or on other systems will be well behaved. This paper analyses system-based inside denial of services attack(DoS) and system metric for performance of each machine provided. And formalize the conclusions results in ways that clearly expose the performance impact of those observations. So, we present new approach. It is detecting DoS attack using performance signature for system and program behavior. We present new approach. It is detecting DoS attack using performance signature for system and program behavior. We believe that metric will be to guide to automated development of a program to detect the attack. As a results, we propose the AIDPS(Architecture for Intrusion Detection using Performance Signature) model to detect DoS attack using performance signature.

• 한국인터넷방송통신학회논문지
• /
• 제14권1호
• /
• pp.203-209
• /
• 2014

오늘날 DDoS 공격은 인터넷 안정성에 매우 중요한 위협을 가하고 있다. DDoS 공격은 대량의 트래픽을 네트워크에 전송함으로써 자원을 고갈시키고 정상적인 서비스 제공을 불가능하게 하며 사전 탐지가 힘들고 효율적인 방어가 매우 어렵다. 인터넷과 같은 대규모 망을 대상으로 한 네트워크 공격은 효과적인 탐지 방법이 요구된다. 그러므로 대규모 망에서 침입 탐지 시스템은 효율적인 실시간 탐지가 필요하다. 본 논문에서는 DDoS 공격에 따른 비정상적인 트래픽 범람을 방지하고 합법적인 트래픽 전송을 보장하기 위하여 플로우 정보 분석을 이용한 DDoS 공격 대응 기법을 제안한다. OPNET을 이용해 구현한 결과 DDoS 공격중에 원활한 서비스를 제공할 수 있는 것을 확인하였다.

• 한국컴퓨터정보학회논문지
• /
• 제17권12호
• /
• pp.179-185
• /
• 2012

본 논문에서는 RST(Rough Set Theory)과 SVM(Support Vector Machine) 알고리즘을 이용한 RSIDS (RST and SVM based Intrusion Detection System)를 설계하였다. RSIDS는 PrePro(Preprocessing) 모듈, RRG(RST based Rule Generation) 모듈, 그리고 SAD(SVM based Attack Detection) 모듈로 구성된다. PrePro 모듈은 수집한 정보를 RSIDS의 데이터 형식에 맞게 변경한다. RRG 모듈은 공격 자료를 분석하여 공격 규칙을 생성하고, 그 규칙을 이용하여 대량화된 데이터에서 공격정보를 추출하고, 그리고 추출한 공격정보를 SAD 모듈에 전달한다. SAD 모듈은 추출된 공격 정보를 이용하여 공격을 탐지하여 관리자에게 통보한다. 그 결과, 기존의 SVM과 비교해볼 때, RSIDS는 평균 공격 탐지율 77.71%에서 85.28%로 향상되었으며, 평균 FPR은 13.25%에서 9.87%로 감소하였다. 따라서 RSIDS는 기존의 SVM을 이용한 공격 탐지 기법보다 향상되었다고 할 수 있다.

• Journal of Information Processing Systems
• /
• 제1권1호
• /
• pp.14-21
• /
• 2005

Even though mainly statistical methods have been used in anomaly network intrusion detection, to detect various attack types, machine learning based anomaly detection was introduced. Machine learning based anomaly detection started from research applying traditional learning algorithms of artificial intelligence to intrusion detection. However, detection rates of these methods are not satisfactory. Especially, high false positive and repeated alarms about the same attack are problems. The main reason for this is that one packet is used as a basic learning unit. Most attacks consist of more than one packet. In addition, an attack does not lead to a consecutive packet stream. Therefore, with grouping of related packets, a new approach of group-based learning and detection is needed. This type of approach is similar to that of multiple-instance problems in the artificial intelligence community, which cannot clearly classify one instance, but classification of a group is possible. We suggest group generation algorithm grouping related packets, and a learning algorithm based on a unit of such group. To verify the usefulness of the suggested algorithm, 1998 DARPA data was used and the results show that our approach is quite useful.