• 한국멀티미디어학회논문지
• /
• 제16권8호
• /
• pp.954-961
• /
• 2013

미래 인터넷 기술 중 하나인 콘텐츠 중심 네트워킹(CCN)은 네트워크 성능 향상을 위하여 네트워크 노드들이 수신된 콘텐츠를 임시 저장하고, 해당 콘텐츠에 대한 요청을 수신하면 임시 저장된 콘텐츠를 이용하여 네트워크 노드가 이를 직접 처리한다. 또한, CCN은 IP 주소와 같은 호스트 Identity 대신 계층화된 콘텐츠 이름을 이용하여 패킷을 전송하고, 요청자 프라이버시 보호를 위하여 요청 메시지는 요청자 정보를 포함하지 않기 때문에 콘텐츠 제공자와 네트워크 노드들은 실제 요청자를 식별할 수 없다. 수신된 콘텐츠를 요청자에게 전송하기 위하여 네트워크 노드는 PIT(Pending Interest Table)에 요청 메시지와 해당 요청 메시지의 유입경로 정보를 기록하고, 콘텐츠를 수신하면 기록된 PIT 정보를 이용하여 해당 콘텐츠를 요청자에게 전송한다. 만약 PIT 저장 공간이 고갈되면, 콘텐츠 요청 메시지와 수신된 콘텐츠를 정상적으로 처리할 수 없다. 그러므로 안전한 CCN 구현을 위해서는 PIT 저장 공간 고갈을 목적으로 하는 공격의 탐지와 대응이 필요하다. 본 논문에서는 PIT 저장 공간에 대한 공격 탐지 및 대응을 위하여 공격 메시지 유입 경로에 따른 공격탐지/제어 방안을 제안하고, 공격 제어를 위한 메시지 구조를 함께 제안한다. 또한, 제안된 방식을 시뮬레이션을 통하여 그 성능을 평가 한다.

• 디지털융복합연구
• /
• 제13권10호
• /
• pp.279-285
• /
• 2015

본 논문은 DNS를 이용한 보안 위협에 대응하기 위한 웹 기반의 실시간 질의 분석 및 제어 시스템을 제안한다. 제안 시스템은 DMZ로 유입되는 DNS 질의를 미러링하여 데이터를 수집하고 분석한다. 그 결과로 DNS 보안 위협을 발견하면 방화벽 필터링 정보로 사용하며 DNS 질의의 통계정보를 실시간으로 웹 서비스한다. DNS특정 문제만을 해결하기 위한 기존의 시스템에 비해 제안 시스템은 DNS 스푸핑, DNS 플러딩 공격, DNS 증폭 공격 등 다양한 공격에 대응하며, 불법적인 DNS의 사용을 미리 차단함으로써 내부로부터 발생할 수 있는 불법적인 침해 사고를 예방한다. 웹으로 실시간 DNS 통계 정보를 제공하고 GeoIP를 이용한 위치정보와 Google API의 지도를 이용하여 DNS 질의 발생과 관련하여 위치 정보를 제공한다. 현재까지의 DNS 공격에 대한 경험과 지식이 부족하기 때문에 웹 서비스와의 보안 융합 시스템을 이용하여 구축한 데이터베이스는 DNS 관련 보안 침해 공격에 대한 연구에 있어 향후 중요한 자료로 사용될 수 있다.

• 한국콘텐츠학회논문지
• /
• 제7권1호
• /
• pp.103-115
• /
• 2007

IEEE 802.1x 기반 무선랜 환경은 Auth/Deauth Flooding 공격과 같이 무선랜 프로토콜의 취약점을 이용한 DoS 공격 등에 노출되어 있다. 무선랜 공격자는 유선에서와 마찬가지로 근원지 IP 주소를 스푸핑하여 대량의 트래픽을 발생시키는 등 무선 네트워크에 대한 DoS 공격을 수행할 수 있다. 따라서 무선랜에 대한 공격에 능동적으로 대응하기 위해서는 기존의 유선망에서의 IP 역추적 기술을 변형하여 무선망에 적용할 수 있다. 이에 본 연구에서는 무선랜 환경에서 발생하는 트래픽에 대해 TTL 기반의 개선된 패킷마킹 기법을 제시하여 무선 트래픽에 대한 분류 기능도 제공하면서 동시에 스푸핑된 무선 IP 패킷의 근원지 정보를 재구성하는 기법을 제시한다. 실험 결과 AP를 기반으로 역추적 기능을 이용하여 보다 안전한 무선랜 환경을 구축할 수 있었다.

• 정보보호학회논문지
• /
• 제21권2호
• /
• pp.119-129
• /
• 2011

본 논문은 인터넷 서버의 정상적인 TCP 연결을 방해하는 형태의 DDoS(Distributed Denial of Service) 공격으로부터 서버를 보호하고 원활한 서비스를 제공하기 위한 DDoS 공격 차단 방법에 관한 것이다. 즉, 유효한 TCP 연결만을 전달해주는 기능을 가진 네트워크 인터페이스 카드에서의 고속 TCP 연동 로직(NIC_Cookie)에 대하여 기술한다. NIC_Cookie의 장점은 플러딩 공격 상태에서도 실시간으로 공격 패킷을 차단하고 정상적인 패킷만이 메인 CPU로 전달될 수 있도록 하기 때문에, 서버의 CPU 성능과 외부 네트워크의 구성 등에 영향을 받지 않는다는 것이다. 또한, 패킷 단위로 공격 TCP 세션에 대하여 실시간 차단 대응을 하기 때문에 정상적인 연결 시도에 대하여 잘못된 대응을 할 가능성이 없다. 이와 더불어, NCI_Cookie 로직 추가로 발생하는 지연시간은 패킷 길이와 상관없이 $7{\times}10^{-6}$초 이하의 성능을 보장하며, 본 논문에서는 구현된 NIC_Cookie가 일반적인 플러딩 공격을 실시간으로 방어하면서 그 성능을 보장함을 확인하였다.

• 한국통신학회논문지
• /
• 제33권7B호
• /
• pp.592-600
• /
• 2008

In this paper, a Hybrid Scaling based DTW (HS-DTW) mechanism is proposed for detection of periodic shrew TCP attacks. A low-rate TCP attack which is a type of shrew DoS (Denial of Service) attacks, was reported recently, but it is difficult to detect the attack using previous flooding DoS detection mechanisms. A pattern matching method with DTW (Dynamic Time Warping) as a type of defense mechanisms was shown to be reasonable method of detecting and defending against a periodic low-rate TCP attack in an input traffic link. This method, however, has the problem that a legitimate link may be misidentified as an attack link, if the threshold of the DTW value is not reasonable. In order to effectively discriminate between attack traffic and legitimate traffic, the difference between their DTW values should be large as possible. To increase the difference, we analyze a critical problem with a previous algorithm and introduce a scaling method that increases the difference between DTW values. Four kinds of scaling methods are considered and the standard deviation of the sampling data is adopted. We can select an appropriate scaling scheme according to the standard deviation of an input signal. This is why the HS-DTW increases the difference between DTW values of legitimate and attack traffic. The result is that the determination of the threshold value for discrimination is easier and the probability of mistaking legitimate traffic for an attack is dramatically reduced.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2003년도 추계학술발표논문집 (하)
• /
• pp.1929-1932
• /
• 2003

본 논문에서 제안하는 모듈은 기존에 존재하는 복잡하거나 흑은 리소스를 많이 차지하는 것이 아니라 Simple 한 방식을 사용하여 SYN Flooding 공격 중에도 적합한 패킷을 선별하는 모듈을 제안한다. 그리고 실험을 통해서 본 논문에서 제안하는 모듈의 성능을 알아본다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2011년도 춘계학술발표대회
• /
• pp.971-974
• /
• 2011

본 논문에서는 대용량 네트워크에 비정상적인 트래픽이 유입이 되거나 나가는 경우 패킷 기반의 비정상 트래픽의 탐지와 분석이 가능토록 하는 시스템을 설계하고 구현하였다. 본 논문에서 구현한 시스템은 네트워크상의 이상 행위를 탐지하기 위하여, DDoS HTTP Get Flooding 공격 탐지 알고리즘을 적용하고, NetFPGA를 이용하여 라우터 단에서 패킷을 모니터링하며 공격을 탐지한다. 본 논문에서 구현한 시스템은 Incomplete Get 공격 타입의 Slowloris 봇과, Attack Type-2 공격 타입의 BlackEnergy, Netbot Vip5.4 봇에 높은 탐지율을 보였다.

• 한국콘텐츠학회논문지
• /
• 제4권1호
• /
• pp.49-55
• /
• 2004

DDoS 공격은 네트워크 대역폭, 프로세스 처리능력, 기타시스템 자원을 고갈시킴으로써 정상적인 서비스를 할 수 없도록 하는 공격 형태이다. DDoS 공격의 인지는 시스템이나 네트워크가 느려지거나 접속 불능 상태 등 직관적으로 인지할 수도 있지만 정확하고 효율적인 분석을 통한 DDoS 공격의 탐지가 필요하다. 본 논문에서는 MIB정보를 이용하여 트래픽 폭주를 탐지하고, 패킷 분석을 통하여 공격 트래픽을 탐지하는 효율적인 DDoS 공격 탐지 시스템을 제안하였다.

• 한국정보과학회:학술대회논문집
• /
• 한국정보과학회 2011년도 한국컴퓨터종합학술대회논문집 Vol.38 No.1(D)
• /
• pp.215-218
• /
• 2011

VoIP(Voice over Internet Protocol) 서비스는 기존의 음성전화 서비스(Public Switched Telephone Network, PSTN)와 달리 IP 프로토콜을 이용한 저렴한 통신비용 등의 장점이 있는 음성통신 기술로써, 기존의 아날로그 음성전화 서비스를 대신하는 서비스이며, 새로운 인터넷 융합서비스로 많은 사용자가 이용하고 있다. 하지만 VoIP 서비스가 인터넷망을 이용함으로 IP Spoofing, DoS (Denial of Server) / DDoS(Distributed Denial of Service), 등의 여러 가지 보안의 문제점을 가지고 있다. VoIP 서비스에서 DDoS 공격은 Proxy 서버 등에 대량의 공격 메시지를 보냄으로써 서버의 자원을 고갈시켜 정상적인 서비스를 하지 못하게 한다. DoS, DDoS 공격 중 Invite Flooding 공격은 1분에 수천 개의 Invite 메시지를 보내 회선의 자원을 고갈시키는 공격이다. 특히 IP/Port 위조하여 공격 경우 공격 패킷 탐지하기 어려우므로 차단할 수 없다. 따라서 본 논문에서는 VoIP의 DoS/DDoS 중 하나인 Invite Flooding 공격 시 SIP Proxy Server에서 메시지 분산시키는 방법과 MAC Address와 사용자 번호 등 IP 이외의 고정적인 사용자 정보를 확인하여 공격을 탐지하고, 공격 Agent에 감염된 Phone을 공격차단서비스로 보내 복구시키는 방법을 제안한다.

• 대한지리학회:학술대회논문집
• /
• 대한지리학회 2003년도 춘계학술대회
• /
• pp.83-86
• /
• 2003

Hot environment can cause unseen economic loss by slowdown of human activities owing to the accumulation of heat stress. The attack of a strong heat wave to the highly populated urban areas was even evaluated to result in the more fatal damages than any other natural disaster such as flooding or blizzards (Changnon et al, 1996). (omitted)