• KSII Transactions on Internet and Information Systems (TIIS)
• /
• 제9권5호
• /
• pp.1920-1937
• /
• 2015

Network environment has been under constant threat from both malicious attackers and inherent vulnerabilities of network infrastructure. Existence of such threats calls for exhaustive vulnerability analyzing to guarantee a secure system. However, due to the diversity of security hazards, analysts have to select from massive alternative hardening strategies, which is laborious and time-consuming. In this paper, we develop an approach to seek for possible hardening strategies and prioritize them to help security analysts to handle the optimal ones. In particular, we apply a Risk Flow Attack Graph (RFAG) to represent network situation and attack scenarios, and analyze them to measure network risk. We also employ a multi-objective genetic algorithm to infer the priority of hardening strategies automatically. Finally, we present some numerical results to show the performance of prioritizing strategies by network risk and hardening cost and illustrate the application of optimal hardening strategy set in typical cases. Our novel approach provides a promising new direction for network and vulnerability analysis to take proper precautions to reduce network risk.

• International Journal of Computer Science & Network Security
• /
• 제22권12호
• /
• pp.57-62
• /
• 2022

The Sambodana project is a mobile communication security system development project using Hardening Android. The initial idea for this project is that information leakage occurs outside of a communications application with end-to-end cryptographic security. Android hardening prevents unwanted applications and bloatware from being installed, such as unavailable Google Play Store or install restrictions.

• 시큐리티연구
• /
• 제56호
• /
• pp.9-30
• /
• 2018

범죄 문제가 심각한 우리 사회의 현실에서, 최근에는 범죄와 범죄두려움 문제를 실질적으로 줄이기 위하여 CPTED 등 각종 범죄의 사전 예방 전략을 도입하고 있으며, 소위 타겟하드닝(Target Hardening) 또한 범죄예방, 특히 침입범죄의 방지 전략의 하나로서 활용되고 있다. 침입범죄와 같이 가장 빈번하게 발생하면서 국민 특히 취약계층 서민들의 생활안전을 꾸준하고 집요하게 위협하는 위험도 높은 범죄 유형에 대응하기 위해 그간 우리 사회가 자원을 투자해 온 셉테드 전략은 CCTV나 조명, 경보장치 등 간접적이고 심리적인 억제를 중심으로 하고 있어서 직접적으로 방어하기에는 사실상 실효성에 많은 한계가 있다. 바로 이런 한계를 극복하기 위한 타겟하드닝은 침입범죄와 같은 범죄를 보다 직접적이고 실효적으로 차단하고 방지하는 전략으로 잘 알려져 있다. 우리나라에서도 2016년에 전국 최초로 안산시에서 실험이 이루어졌고 이 연구는 실험지역을 선정하여 침입방어성능이 인증된 방범시설을 주요 침입구인 창문 등에 설치하는 타겟하드닝 전략을 수행한 후 침입범죄 감소효과를 경찰 공식 범죄통계를 활용하여 분석한 것이다. 소위 범죄전이효과도 살펴보기 위해 방범인증시설 설치지역과 주변 완충지역, 그리고 통제지역과의 범죄발생을 비교하는 WDQ(Weighted Displacement Quotient) 분석을 수행하였다. 분석 결과 타겟하드닝 CPTED기법의 침입 범죄 경감의 효과는 상당한 것으로 나타났다. 통제지역에서도 침입범죄가 다소 감소한 것은 사실이지만, 방범인증시설이 설치된 실험지역의 주택들은 침입 범죄가 설치 후에 크게 감소하였다. 완충지대로 범죄전이 효과는 보이지 않았으며 오히려 주변지역의 범죄 또한 감소하였다.

• KSII Transactions on Internet and Information Systems (TIIS)
• /
• 제12권2호
• /
• pp.906-918
• /
• 2018

The advent of the Internet of Things (IoT) technology, which brings many benefits to our lives, has resulted in numerous IoT devices in many parts of our living environment. However, to adapt to the rapid changes in the IoT market, numerous IoT devices were widely deployed without implementing security by design at the time of development. As a result, malicious attackers have targeted IoT devices, and IoT devices lacking security features have been compromised by attackers, resulting in many security incidents. In particular, an attacker can take control of an IoT device, such as Mirai Botnet, that has insufficient security features. The IoT device can be used to paralyze numerous websites by performing a DDoS attack against a DNS service provider. Therefore, this study proposes a scheme to minimize security vulnerabilities and threats in IoT devices to improve the security of the IoT service environment.

• International Journal of Computer Science & Network Security
• /
• 제24권6호
• /
• pp.41-48
• /
• 2024

Existing PoS (Point of Sale) based payment frameworks are vulnerable as the Payment Application's integrity in the smart phone and PoS are compromised, vulnerable to reverse engineering attacks. In addition to these existing PoS (Point of Sale) based payment frameworks do not perform point-to-point encryption and do not ensure communication security. We propose a Smart and Secure PoS (SSPoS) Framework which overcomes these attacks. Our proposed SSPoS framework ensures point-to-point encryption (P2PE), Application hardening and Application wrapping. SSPoS framework overcomes repackaging attacks. SSPoS framework has very less communication and computation cost. SSPoS framework also addresses Heartbleed vulnerability. SSPoS protocol is successfully verified using Burrows-Abadi-Needham (BAN) logic, so it ensures all the security properties. SSPoS is threat modeled and implemented successfully.

• 정보처리학회논문지:컴퓨터 및 통신 시스템
• /
• 제13권1호
• /
• pp.31-37
• /
• 2024

기존의 비밀 공유방법들은 무작위적으로 생성된 다항식(polynomial) 또는 평면(plane)으로부터 지분을 유도하기 때문에 복잡하고 긴(complex and long) 형태의 지분을 생성한다. 그렇게 생성된 지분은 암기(not memorizable)가 불가능하고 관리가 어려우며, 이에 따라 지분을 보관하고 관리하기 위해 컴퓨터 시스템 또는 별도의 디지털 장치가 있어야 한다. 전통적인 비밀 공유방법을 변형하면 패스워드나 생체정보와 같이 사용자가 미리 선택한 값을 지분으로 설정하는 것이 가능할 수 있다. 그러나 이러한 방법은 사용자가 선택한 값의 무작위성(randomness) 또는 엔트로피(entropy)가 낮으면 완전 보안성을 보장하지 못할 수 있다. 즉, (t-1) 개 이하의 지분으로 비밀을 유추해내는 것이 가능해질 수 있다. 본 연구에서는 암기가 가능한 패스워드나 지문과 같은 생체정보와 같이 미리 지정된 값을 지분으로 사용하면서 비밀 공유의 보안성을 보장할 수 있는 지분 강화(share hardening) 방법을 제안한다.

• 시큐리티연구
• /
• 제40호
• /
• pp.57-86
• /
• 2014

본 연구는 건축물에 범죄예방설계가 도입되는 내용이 포함된 건축법 개정안이 통과됨에 따라 앞으로 활성화될 방범하드웨어 개선사업이 증거에 기반하여(evidence-based) 수행되기 위한 기초자료를 확보하기 위해 대상물 강화(target hardening)에 초점을 두고 침입범죄의 수법과 도구에 관한 조사를 실시하였다. 분석을 통해 침입수법에 대한 통계자료 구축방식의 개선, 침입수법에 대한 형사사법기관과 방범산업계, 관련 전문가들의 적극적인 공유 및 협력 강화, 지역주민 대상으로 침입수법에 대한 교육 등 범죄예방 안전교육 활성화와 같은 정책적 시사점을 도출하였다. 본 연구를 바탕으로 지역주민의 안전수준을 획기적으로 제고하기 위해서는 본 연구 결과에 기반하여 주요 침입구인 출입문, 창문, 창살 등 방범하드웨어의 침입저항 성능시험 연구, 성능에 대한 표준 및 인증체계에 관한 연구, 방범하드웨어의 개선과 범죄율과의 관계 관한 연구 등 다양한 후속연구가 활성화될 필요가 있다.

• 정보보호학회논문지
• /
• 제28권5호
• /
• pp.1209-1223
• /
• 2018

안드로이드 앱은 바이트코드로 구성되어 있어 역공학으로부터 취약하며, 이를 보완하기 위해 앱을 강건하게 재구성해주는 보호 서비스들이 등장하였다. 암호 알고리즘과 다르게, 이런 보호 서비스의 강건함은 보호 방식을 감추는 것에 상당 부분 의존하고 있다. 그러므로 보호 서비스의 파훼 기법은 다양하더라도 보호 방식에 대한 체계적인 논의가 거의 없으며, 개발자의 직감에 따라 구현되고 있다. 정적 또는 동적분석을 방해하는 기술의 간단한 배치보다는, 강건한 보안 체인을 위한 체계적인 보호 구조에 대한 논의가 필요하다. 본 논문에서는 이를 위해, 대표 상용 안드로이드 앱 보호 서비스인 방클(bangcle)을 분석하여 보호 구조와 취약한 요소를 살펴본다. 그리고 이를 통해 강건한 구조를 위해 요구되는 사항과 보호 구조 원칙을 제안한다.

• 한국인쇄학회지
• /
• 제29권3호
• /
• pp.55-63
• /
• 2011

The convex printing plate in particular securities is classified three physical properties. The main ingredient(component)of photosensitive plastic is composed of thermosetting polyamide. After being hardened specimen at $80^{\circ}C$ is shown to resist highly, the Glass Transition Temperatures of photosensitive plastic are $85^{\circ}C$. When hardened plate has reached at $80^{\circ}C$, abrasion loss is minimized. the cause is considered it is more effective in hardening when the temperature of photosensitive plastic is $80^{\circ}C$-the vitrification temperature of those. The hardness and the durability of the convex printing plate in particular securities are affected to the hardening treatment temperature. And the resolution of original drawing has being better when the durability is superior.

• KSII Transactions on Internet and Information Systems (TIIS)
• /
• 제12권12호
• /
• pp.6139-6160
• /
• 2018

For ease of use and access, web browsers are now being used to access and modify sensitive data and systems including critical control systems. Due to their computational capabilities and network connectivity, browsers are vulnerable to several types of attacks, even when fully updated. Browsers are also the main target of phishing attacks. Many browser attacks, including phishing, could be prevented or mitigated by using site-, user-, and device-specific security configurations. However, we discovered that all major browsers expose disparate security configuration procedures, option names, values, and semantics. This results in an extremely hard to secure web browsing ecosystem. We analyzed more than a 1000 browser security configuration options in three major browsers and found that only 13 configuration options had syntactic and semantic similarity, while 4 configuration options had semantic similarity, but not syntactic similarity. We: a) describe the results of our in-depth analysis of browser security configuration options; b) demonstrate the complexity of policy-based configuration of web browsers; c) describe a knowledge-based solution that would enable organizations to implement highly-granular and policy-level secure configurations for their information and operational technology browsing infrastructures at the enterprise scale; and d) argue for necessity of developing a common language and semantics for web browser configurations.