• 한국통신학회논문지
• /
• 제42권1호
• /
• pp.193-204
• /
• 2017

인터넷 시스템의 보안은 백신을 최신으로 업데이트하고, 신종 악성코드를 탐지해 내는 능력에 달려있다. 하지만, 급변하는 인터넷 환경과 더불어, 악성코드는 끊임없이 변종을 만들어내고 더욱 지능적으로 진화하고 있어 현재 운용중인 시그니쳐 기반 탐지체계로 탐지되지 않는다. 따라서, 본 연구에서는 악성코드의 네트워크 행위 패턴을 추출하여 DNA 서열 유사도를 비교하여 활용하는 유사 시퀀스 정렬 알고리즘을 적용하여 악성코드를 분류하는 기법을 제안한다. 제안한 기법을 실제 네트워크에서 수집된 악성코드 샘플 766개에 적용하여 유사도를 비교한 결과 40.4%의 정확도를 얻었다. 이는 코드나 다른 특성을 배제하고 악성코드의 네트워크 행위만으로 분류했다는 점을 미루어 볼 때 앞으로 더 발전 가능성이 있을 것으로 기대된다. 또한 이를 통해 공격그룹을 예측하거나 추가적인 공격을 예방할 수 있다.

• 인터넷정보학회논문지
• /
• 제22권3호
• /
• pp.45-52
• /
• 2021

사이버 보안의 침입탐지 시스템에서 알려지지 않는 공격을 식별하기 위한 많은 연구가 이루어지고 있지만, 그 중에서도 이상치를 기반으로 하는 연구가 주목받고 있다. 이에 따라 우리는 알려지지 않는 공격에 대한 범주를 정의하여 이상치를 식별한다. 알려지지 않는 공격은 2가지 범주로 조사하였는데, 첫째는 변종 공격을 생성하는 사항이 있고, 두 번째는 새로운 유형으로 분류하는 연구로 나누었다. 우리는 변종 공격을 생성하는 연구 범주에서 변종과 같이 유사 데이터를 식별할 수 있는 이상치 연구를 수행하였다. 침입탐지 시스템에서 이상치를 식별하는 큰 문제는 정상행동과 공격행동이 같은 공간을 공유하는 것이다. 이를 위해 우리는 이산 웨이블릿 변환으로 정상과 공격에 대해 명확한 유형으로 나눌 수 있는 기법을 적용하고 이상치를 탐지하였다. 결과로 우리는 이산 웨이블릿 변환으로 재구성된 데이터에서 One-Class SVM을 통한 이상치를 식별 할 수 있음을 확인하였다.

• 한국멀티미디어학회논문지
• /
• 제13권5호
• /
• pp.754-762
• /
• 2010

최근 악성 문서파일이 첨부된 이메일을 특정인에게 발송하여 중요자료를 절취하는 형태의 해킹사고가 지속적으로 발생하고 있다. 이러한 공격에는 공격 성공률 향상과 바이러스 백신의 탐지회피를 위해 주로 제로데이 취약점이 이용되고 있으며, 적절한 사회공학적 기법이 병행되는 것이 일반적이다. 본 논문에서는 조직으로 유입되는 이메일 첨부 문서파일에 대한 행위기반 악성문서 탐지기술이 적용된 이메일 백신 클라우드 시스템을 제안한다. 이메일에 포함된 문서파일을 추출하여 이메일 백신 클라우드 시스템에 전달하면, 백신 클라우드에서 시그니쳐 기반 분석 및 행위기반 분석을 통해 악성코드 포함 여부를 판단 후 악성코드를 제거한다. 행위분석 과정에서 의도하지 않은 실행파일 생성, 프로세스 실행, 레지스트리 엔트리 접근, 인터넷 접속시도 등이 발견되면 악성문서로 판단하게 된다. 본 논문에서 제시된 이메일 백신 클라우드 시스템은 악성문서 첨부 이메일의 유입을 효과적으로 차단함으로써 중요자료 유출 등의 각종 사이버테러 예방에 도움이 될 것으로 기대 된다.

• 한국정보과학회논문지:컴퓨팅의 실제 및 레터
• /
• 제14권5호
• /
• pp.517-521
• /
• 2008

웜은 사람의 개입 없이 취약점이 존재하는 네트워크 서비스에 대한 공격을 시행하고 사용자가 원치 않는 패킷을 복사 및 전파하는 악성코드이다. 기존의 웜 탐지 기법은 주로 시그너쳐 기반의 방식이 주를 이루었으나 조기탐지의 한계로 인해 최근에는 웜 전파의 행동 특성을 감지하는 방식이 각광 받고 있다. 본 논문에서는 웜 행동 주기와 감염 체인으로 대표되는 웜의 행위적 특성을 탐지하고 대응할 수 있는 분산 웜 탐지 및 방지 방법을 제안하고, 제안된 탐지 및 방지 모델 적용 시 웜의 감염 속도가 감소되는 현상을 시뮬레이션을 통해 증명한다. 제안하는 웜 탐지모델은 규모가 큰 시그너쳐 데이타베이스가 필요하지 않을 뿐더러 컴퓨팅 파워가 비교적 적게 소요되므로, 개인용 컴퓨터 뿐 아니라 유비쿼터스와 모바일 환경과 같이 개별 기기가 낮은 컴퓨팅 파워를 가지는 상황에도 적합하다.

• 한국산학기술학회논문지
• /
• 제19권4호
• /
• pp.47-56
• /
• 2018

가스, 전력, 수처리, 원자력, 교통 관제 시스템 등과 같은 국가적 규모의 산업 제어 시스템은 점차 발전하는 정보통신기술에 따라 점차 개방된 네트워크와 공개된 표준 프로토콜을 사용하고 있다. 개방된 네트워크와 공개된 표준 프로토콜을 사용하고 있기 때문에 사이버 공격에 대한 빈도는 점점 증가하고 있는 추세이지만 이에 관련한 후속조치는 매우 부족한 실정이다. 따라서 산업 제어 시스템을 위한 보안 솔루션의 적용은 매우 중요하다. 하지만 실제의 시스템에 보안 솔루션을 적용하는 것은 산업 제어 시스템의 특성 때문에 사실상 불가능하고 기존 시스템에 영향을 주지 않고 공격의 발생 유무를 탐지할 수 있는 보안 시스템이 필수적이다. 따라서 본 논문에서는 산업 제어 시스템에 영향을 주지 않고 비정상행위를 탐지하는 패킷 분석 기반의 침입 탐지 시스템을 제안하고 제안한 침입 탐지 시스템을 실제의 환경을 재현한 산업 제어 시스템 테스트 베드에 적용함으로써 신뢰성 있는 데이터를 기반으로 제안한 시스템의 효율성을 검증한다.

• 정보처리학회논문지C
• /
• 제11C권3호
• /
• pp.301-308
• /
• 2004

전문가의 침입 분석 지식을 기반으로 한 Misuse IDS는 침입 탐지 비율은 우수하지만 도한 오경보를 생성하여 관리 효율성이 낮다. 우리는 패킷 정보 중심의 사례 기반 학습을 Misuse IDS와 결합하여 그 행동 특성에 따라 오경보를 줄이는 모형을 제안하고 실험하였다. 또 기존의 IBL(교stance Based Learner)을 개선한 XIBL(Extended Instance Based Learner)을 이용하여 Snort의 alarm을 패킷 수준에서 역 추적 분석하여, 그 alarm이 실제로 보내질 가치가 있는지를 검사한다. 실험 결과 진성경보와 오경보 사이에는 XIBL의 행동상 분명한 차이가 드러나며, 네트워크 상의 공격이 비록 여러 패킷의 결합된 형태로 나타나지만, 개별 패킷에 대한 정상/비정상 의사 결정도 Misuse IDS와 결합하면 전체 시스템의 성능을 향상하는 데에 기여할 수 있음을 실증적으로 보여주었다.

• KSII Transactions on Internet and Information Systems (TIIS)
• /
• 제17권2호
• /
• pp.295-311
• /
• 2023

Cloud computing has evolved significantly, intending to provide users with fast, dependable, and low-cost services. With its development, malicious users have become increasingly capable of attacking both its internal and external security. To ensure the security of cloud services, encryption, authorization, firewalls, and intrusion detection systems have been employed. However, these single monitoring agents, are complex, time-consuming, and they do not detect ransomware and zero-day vulnerabilities on their own. An innovative Record and Replay-based hybrid Honeynet (R2NET) system has been developed to address this issue. Combining honeynet with Record and Replay (RR) technology, the system allows fine-grained analysis by delaying time-consuming analysis to the replay step. In addition, a machine learning algorithm is utilized to cluster the logs of attackers and store them in a database. So, the accessing time for analyzing the attack may be reduced which in turn increases the efficiency of the proposed framework. The R2NET framework is compared with existing methods such as EEHH net, HoneyDoc, Honeynet system, and AHDS. The proposed system achieves 7.60%, 9.78%%, 18.47%, and 31.52% more accuracy than EEHH net, HoneyDoc, Honeynet system, and AHDS methods.

• 인터넷정보학회논문지
• /
• 제22권3호
• /
• pp.27-35
• /
• 2021

인터넷이 발달함에 따라, IoT, 클라우드 등과 같은 다양한 IT 기술들이 개발되었고, 이러한 기술들을 사용하여 국가와 여러 기업들에서는 다양한 시스템을 구축하였다. 해당 시스템들은 방대한 양의 데이터들을 생성하고, 공유하기 때문에 시스템에 들어있는 중요한 데이터들을 보호하기 위해 위협을 탐지할 수 있는 다양한 시스템이 필요하였으며, 이에 대한 연구가 현재까지 활발히 진행되고 있다. 대표적인 기술로 이상 탐지와 오용 탐지를 들 수 있으며, 해당 기술들은 기존에 알려진 위협이나 정상과는 다른 행동을 보이는 위협들을 탐지한다. 하지만 IT 기술이 발전함에 따라 시스템을 위협하는 기술들도 점차 발전되고 있으며, 이러한 탐지 방법들을 피해서 위협을 가한다. 지능형 지속 위협(Advanced Persistent Threat : APT)은 국가 또는 기업의 시스템을 공격하여 중요 정보 탈취 및 시스템 다운 등의 공격을 수행하며, 이러한 공격에는 기존에 알려지지 않았던 악성코드 및 공격 기술들을 적용한 위협이 존재한다. 따라서 본 논문에서는 알려지지 않은 위협을 탐지하기 위한 이상 탐지와 오용 탐지를 결합한 하이브리드 침입 탐지 시스템을 제안한다. 두 가지 탐지 기술을 적용하여 알려진 위협과 알려지지 않은 위협에 대한 탐지가 가능하게 하였으며, 기계학습을 적용함으로써 보다 정확한 위협 탐지가 가능하게 된다. 오용 탐지에서는 Classification based on Association Rule(CBA)를 적용하여 알려진 위협에 대한 규칙을 생성하였으며, 이상 탐지에서는 One Class SVM(OCSVM)을 사용하여 알려지지 않은 위협을 탐지하였다. 실험 결과, 알려지지 않은 위협 탐지 정확도는 약 94%로 나타난 것을 확인하였고, 하이브리드 침입 탐지를 통해 알려지지 않은 위협을 탐지 할 수 있는 것을 확인하였다.

• International Journal of Computer Science & Network Security
• /
• 제23권2호
• /
• pp.199-202
• /
• 2023

Carriage return (CR) and line feed (LF), also known as CRLF injection is a type of vulnerability that allows a hacker to enter special characters into a web application, altering its operation or confusing the administrator. Log poisoning and HTTP response splitting are two prominent harmful uses of this technique. Additionally, CRLF injection can be used by an attacker to exploit other vulnerabilities, such as cross-site scripting (XSS). Email injection, also known as email header injection, is another way that can be used to modify the behavior of emails. The Open Web Application Security Project (OWASP) is an organization that studies vulnerabilities and ranks them based on their level of risk. According to OWASP, CRLF vulnerabilities are among the top 10 vulnerabilities and are a type of injection attack. Automated testing can help to quickly identify CRLF vulnerabilities, and is particularly useful for companies to test their applications before releasing them. However, CRLF vulnerabilities can also lead to the discovery of other high-risk vulnerabilities, and it fosters a better approach to mitigate CRLF vulnerabilities in the early stage and help secure applications against known vulnerabilities. Although there has been a significant amount of research on other types of injection attacks, such as Structure Query Language Injection (SQL Injection). There has been less research on CRLF vulnerabilities and how to detect them with automated testing. There is room for further research to be done on this subject matter in order to develop creative solutions to problems. It will also help to reduce false positive alerts by checking the header response of each request. Security automation is an important issue for companies trying to protect themselves against security threats. Automated alerts from security systems can provide a quicker and more accurate understanding of potential vulnerabilities and can help to reduce false positive alerts. Despite the extensive research on various types of vulnerabilities in web applications, CRLF vulnerabilities have only recently been included in the research. Utilizing automated testing as a recurring task can assist companies in receiving consistent updates about their systems and enhance their security.

• KSII Transactions on Internet and Information Systems (TIIS)
• /
• 제13권3호
• /
• pp.1611-1625
• /
• 2019

The emergence of new technologies and devices brings a new environment in the field of cyber security. It is not easy to predict possible security threats about new environment every time without special criteria. In other words, most malicious codes often reuse malicious code that has occurred in the past, such as bypassing detection from anti-virus or including additional functions. Therefore, we are predicting the security threats that can arise in a new environment based on the history of repeated malicious code. In this paper, we classify and define not only the internal information obtained from malicious code analysis but also the features that occur during infection and attack. We propose a method to predict and manage security threats in new environment by continuously managing and extending.