• 정보과학회 컴퓨팅의 실제 논문지
• /
• 제24권2호
• /
• pp.99-104
• /
• 2018

최근 랜섬웨어에 의한 피해가 전 세계적으로 급증하고 있으며, 국가 기관, 기업, 민간 등 사회전반에 막대한 피해를 입히고 있다. 랜섬웨어는 컴퓨터 시스템을 감염시켜 사용자의 접근을 제한하고 일종의 몸값을 요구하는 악성 소프트웨어이다. 컴퓨터 시스템 자체를 잠그거나 하드 디스크에 존재하는 파일들을 암호화하여 사용자가 컴퓨터를 정상적으로 이용할 수 없게 만들고, 컴퓨터의 정상 복구를 위해 사용자들은 공격자로부터 몸값(Ransom) 지불을 요구받는다. 기존의 기타 악성코드들에 비해 공격수법이 매우 악랄하고 피해규모가 막대하므로 확실한 해결책이 필요하다. 악성코드 분석 방식은 크게 정적 분석, 동적 분석 두 가지로 나뉜다. 최신 악성코드들은 정교한 패킹 기술이 도입된 경우가 많아 정적분석은 분석에 한계가 있다. 따라서 본 논문에서는 랜섬웨어의 활동 모니터링 및 보다 정밀한 분석을 위해 동적 분석 방법을 제안한다. 정상파일, 랜섬웨어, 기타 악성코드의 시그니처를 추출하는 방법과 랜섬웨어 탐지에 가장 적절한 시그니처를 선정하는 방법을 제안한다.

• 한국산학기술학회논문지
• /
• 제16권12호
• /
• pp.8908-8914
• /
• 2015

인터넷이 지속적으로 성장과 발전을 거듭해가고 있는 이면에는 이를 악용하기 위한 다양한 인터넷 공격들이 발생하고 있다. 초기 인터넷 환경에서는 공격자가 역량과시 및 취미 등으로 인터넷 환경을 악용한 공격이 존재하였지만, 금전적인 이득을 목적으로 각종범죄와 연관된 체계적으로 복잡한 공격들이 발생하고 있다. 최근 들어서 바이러스나 윔과 같은 구조가 단순한 소스 멀티타깃(one source multi-target)의 형태가 존재하였지만, 멀티소스 싱글타깃(multi-source single target)의 형태를 갖는 APT(Advanced Persistent Threat, 지속적인 지능형 공격)으로 사용자들로 하여금 막대한 피해를 입히고 있다. 그러므로 본 논문에서는 Agent 및 관리 시스템은 악성코드 감염을 사전에 예방하는 기능을 고도화하여 사용자의 부정행위를 통한 자료유출을 감시할 수 방지 시스템을 설계 및 구현하였다. 성능평가에서는 감사데이터 생성 여부, 무결성 침해 발생 시 탐지 여부, 정상트래픽 오탐 여부, 프로세스 탐지 및 차단 기능 설정, Agent 정책 적용 가능여부에 대해서 기능을 분석하였다.

• 한국항공우주학회지
• /
• 제42권7호
• /
• pp.594-600
• /
• 2014

현대전에서는 적의 전자기파 공격에 대응하여 안전한 통신 채널을 확보하는 것이 매우 중요하다. 군통신위성 중계기는 차세대 군통신위성에 탑재를 위한 통신 탑재체로써 간섭환경 하에서 지상 터미널 간의 신호를 안전하게 중계하여 전시 통신망을 유지하도록 한다. 본 논문에서 소개하는 위성중계기는 온보드 상에서 부분적인 신호처리를 수행하는데 위성 통신 링크를 저비용으로 제어할 수 있다. 이의 핵심 기능으로써 전송 보안 제어 기능은 통신 링크를 위협하는 간섭 신호에 대한 면역성을 확보한다. 보다 구체적으로 본 논문에서는 전송 보안 제어 기능을 구현하기 위한 효율적인 설계 구조를 소개한다. 핵심 아이디어로써 시분할 형태의 채널 그룹별 제어 코드 생성 및 금지 대역 정보에 대한 소프트웨어 처리 방법으로 전체 하드웨어 복잡도를 현저하게 낮출 수 있음을 설명한다. 생성된 결과 코드가 균등 분포의 임의성을 가짐을 예시하였으며, 우주 인증 시험 결과를 간략히 소개한다.

• Journal of Electrical Engineering and Technology
• /
• 제12권5호
• /
• pp.2051-2066
• /
• 2017

This paper deals with reconfigurable secured mobile systems where the reconfigurability has the potential of providing a required adaptability to change the system requirements. The reconfiguration scenario is presented as a run-time automatic operation which allows security mechanisms and the addition-removal-update of software tasks. In particular, there is a definite requirement for filtering and intrusion detection mechanisms that will use fewer resources and also that will improve the security on the secured mobile devices. Filtering methods are used to control incoming traffic and messages, whereas, detection methods are used to detect malware events. Nevertheless, when different reconfiguration scenarios are applied at run-time, new security threats will be emerged against those systems which need to support multiple security objectives: Confidentiality, integrity and availability. We propose in this paper a new approach that efficiently detects threats after reconfigurable scenarios and which is based on filtering and intrusion detection methods. The paper's contribution is applied to Android where the evaluation results demonstrate the effectiveness of the proposed middleware in order to detect the malicious events on reconfigurable secured mobile systems and the feasibility of running and executing such a system with the proposed solutions.

• 정보처리학회논문지C
• /
• 제16C권5호
• /
• pp.583-588
• /
• 2009

Network Intrusion Detection System(NIDS)는 네트워크를 통해 들어오는 패킷들을 모니터링 하고 분석하여 내부 시스템에 유해한 내용을 담고 있는 패킷을 탐지 하는 시스템이다. 이 시스템은 네트워크의 패킷을 놓치지 않고 분석할 수 있어야 하며, 예측 불허의 공격 방법들에 대해서는 새로운 법칙을 적용하여 방어할 수 있어야 한다. 이에 대응하여, 소프트웨어적 처리에 비해 높은 비교 성능과 재구성이 가능한 유연성을 제공하는 FPGA는 좋은 해결책이다. 그럼에도 불구하고, 고속 네트워크의 등장과 축적되는 공격 패턴들의 증가는 제한된 속도와 공간을 가지고 있는 FPGA에게 부담이 된다. 본 연구는 추가적인 자원 사용을 최소화하고 성능의 극대화를 가져오는 방식으로 접두어 공유 병렬 패턴매치 기법을 제시하고 설계하였다. 실험을 통하여 입력 문자열을 8bit에서 16bit로 증가할 때 성능이 두 배 향상이 되면서 구현을 위해 사용되는 자원은 평균 1.07배 증가하는 것을 확인할 수 있다.

• 한국컴퓨터정보학회논문지
• /
• 제17권4호
• /
• pp.11-18
• /
• 2012

침입 탐지에 가장 시간이 많이 소요되는 작업은 패킷 데이터에 침입 패턴이 있는지를 검사하는 심층 패킷검사이다. 고속 네트워크에서 이 작업을 실시간으로 처리하기 위해서는 하드웨어 기반 패턴매칭이 필요하다. 본 논문에서는 침입탐지 시스템 구현에 하드웨어 기반 패턴매칭을 사용할 수 있도록 네트워크의 패킷을 수집하여 Snort 패턴규칙에 따라서 패턴매칭을 수행하고 결과를 소프트웨어에게 제공할 수 있도록 하는 하드웨어를 Virtex-6 FPGA를 사용하여 Microblaze 기반의 SoC 형태로 설계하여 구현하였다. 구현된 시스템은 인위적인 트래픽 생성과 실제 트래픽을 사용하여 동작을 검증하였고 패킷이 네트워크 인터페이스에서 메모리로 복사되는 동안 패턴매칭 동작을 정확하게 수행하여 소프트웨어에게 결과를 제공하였다. 본 연구 결과는 실시간 처리가 가능하도록 침입탐지 시스템을 고속화 하기위한 하드웨어로 사용될 수 있다.

• Journal of Communications and Networks
• /
• 제16권4호
• /
• pp.407-414
• /
• 2014

The Internet is a highly distributed and complex system consisting of billion devices and has become the field of various kinds of conflicts during the last two decades. As a matter of fact, various actors utilise the Internet for illicit purposes, such as for performing distributed denial of service attacks (DDoS) and for spreading various types of aggressive malware. Despite the fact that numerous services provide information regarding the threat level of the Internet, they are mostly based on information acquired by their sensors or on offline statistical sampling of various security applications (antivirus software, intrusion detection systems, etc.). This paper introduces proactive threat observatory system (PROTOS), an open-source early warning system that does not require a commercial license and is capable of estimating the threat level across the Internet. The proposed system utilises both a global and a local approach, and is thus able to determine whether a specific host is under an imminent threat, as well as to provide an estimation of the malicious activity across the Internet. Apart from these obvious advantages, PROTOS supports a large-scale installation and can be extended even further to improve the effectiveness by incorporating prediction and forecasting techniques.

• Journal of Advanced Marine Engineering and Technology
• /
• 제40권10호
• /
• pp.906-915
• /
• 2016

In this study, a network monitoring system, including a secure 460-Network and a 460-Gateway, is designed and developed according with the requirements of the IEC (International Electro-Technical Commission) 61162-460 network standard for the safety and security of networks on board ships. At present, internal or external unauthorized access to or malicious attack on a ship's on board systems are possible threats to the safe operation of a ship's network. To secure the ship's network, a 460-Network was designed and implemented by using a 460-Switch, 460-Nodes, and a 460-Gateway that contains firewalls and a DMZ (Demilitarized Zone) with various application servers. In addition, a 460-firewall was used to block all traffic from unauthorized networks. 460-NMS (Network Monitoring System) is a network-monitoring software application that was developed by using an simple network management protocol (SNMP) SharpNet library with the .Net 4.5 framework and a backhand SQLite database management system, which is used to manage network information. 460-NMS receives network information from a 460-Switch by utilizing SNMP, SNMP Trap, and Syslog. 460-NMS monitors the 460-Network load, traffic flow, current network status, network failure, and unknown devices connected to the network. It notifies the network administrator via alarms, notifications, or warnings in case any network problem occurs. Once developed, 460-NMS was tested both in a laboratory environment and for a real ship network that had been installed by the manufacturer and was confirmed to comply with the IEC 61162-460 requirements. Network safety and security issues onboard ships could be solved by designing a secure 460-Network along with a 460-Gateway and by constantly monitoring the 460-Network according to the requirements of the IEC 61162-460 network standard.

• 디지털융복합연구
• /
• 제13권5호
• /
• pp.205-211
• /
• 2015

최근 이동통신망과 휴대단말기가 급격하게 발전하게 되면서 모바일 오피스 서비스가 점점 각광을 받고 있다. 그러나, 사용자가 모바일 오피스환경에서 업무를 수행할 때 원격에 있는 자료를 업/다운로드 할 경우 제3자로부터 악의적인 공격을 받을 수 있다. 본 논문에서는 모바일 오피스 환경에서 사용되는 개인정보 및 기업정보(통화내역, 수신메시지, 전화번호부, 일정, 위치정보, 금융거래정보, 서류 등)를 담고 있는 스마트폰의 도난 분실로 인한 정보유출 예방 기법을 제안한다. 제안 기법에서는 개인정보 및 기업 정보의 상태정보를 삼각퍼지수를 이용하여 쌍대비교 행렬로 구현한다. 특히, 제안 기법은 쌍대비교 행렬로 구한 값을 개인정보 및 기업 정보와 쌍으로 구성하여 스마트폰 분실시 제3자가 개인정보 및 기업 정보를 확인할 수 없도록 하여 외부로 유출하는 것을 예방한다.

• 정보보호학회논문지
• /
• 제29권6호
• /
• pp.1339-1350
• /
• 2019

랜섬웨어는 사용자의 파일을 암호화하고, 이를 복구하는 대가로 금전을 요구하는 악성 소프트웨어다. 랜섬웨어의 수가 늘어남과 동시에 사용되는 암호화 프로세스 또한 정교해지며 보안 강도도 높아지고 있다. 이에 따라 랜섬웨어의 분석은 점점 어려워지고 복구 가능한 랜섬웨어의 수도 줄어들고 있다. 그러므로 지능화된 랜섬웨어의 암호화 프로세스 및 복호화 방안에 관한 연구는 필수적이다. 본 논문은 2019년 주요 신규 랜섬웨어 5종에 대해 역공학하여 암호화 프로세스를 밝히고 이를 기반으로 복구 가능성에 대한 연구를 진행하였다.