• Proceedings of the Korea Multimedia Society Conference
• /
• 2004.05a
• /
• pp.21-24
• /
• 2004

Ad Hoc 네트워크는 이동 노드만으로 구성된 자율/수평적 네트워크로서, 이동 노드는 중재자의 도움 없이 능동적인 연결 선정을 통해 무선 네트워크 환경을 제공한다. 이와 같은 Ad Hoc 네트워크에서도 일반적인 유선 기반 네트워크와 동일하게 서비스 거부 공격(DoS)이 가능하다. DDoS은 해킹 공격자가 공격 근원지 IP 주소를 스누핑하여 공격목표로 하는 시스템의 가용자원을 고갈시키거나 과도한 부하를 유발시켜 서비스를 중단시킨다. 이에 대한 대응 기술로 제시된 IP 역추적 기술은 DDoS 공격의 근원지를 판별하고 공격 패킷이 네트워크 상에서 전달된 경로를 재구성하는 기법이다 본 연구에서는 기존의 역추적 기술인 패킷 마킹 기법에서 DDoS 공격에 대한 판별 과정 없이 임의의 패킷에 대해 역추적 정보를 생성 즉 DDoS 공격에 능동적으로 대응하고 있지 못하는 단점에 착안하여 DDoS 공격 패킷에 대해 개선된 패킷 마킹 기법을 제시하고, 또한 TTL을 통하석 스누핑된 IP 근원지를 효율적으로 역추적하는 방안을 제시하였으며. 실험 결과 네트워크 부하를 줄이면서도 역추적 성능을 향상시킬 수 있었다.

• Proceedings of the Korea Multimedia Society Conference
• /
• 2004.05a
• /
• pp.521-524
• /
• 2004

인터넷 사용자의 급증에 따라, 인터넷을 통한 다양한 해킹 및 불순한 의도를 지닌 공격에 의한 침해사고 역시 크게 증가되고 있다. 이러한 해킹의 피해로부터 네트워크 시스템 및 서버를 보호하기 위해 각종 보안강화 시스템이 개발되어 운용되고 있으나, 현재 사용 중인 보안강화 도구들은 수동적인 방어 위주로 공격자의 해킹 시도 자체를 제한하는 것이 아니라 해킹이 시도된 후 대처하는 제약 등으로 해킹 자체를 방지하는데는 한계를 가지고 있다. 능동적인 해킹 방어를 위한 가장 기본적인 기술은 해커의 실제 위치를 추적하는 역추적 시스템이라 할 수 있다. 현재 이에 대한 연구가 활발히 진행 중에 있다. 따라서 본 논문에서는 능동적인 해킹 방어를 위한 역추적 시스템을 분석하고, 리눅스 기반의 역추적 시스템을 설계하였다.

• Proceedings of the Korean Information Science Society Conference
• /
• 2002.10c
• /
• pp.487-489
• /
• 2002

본 논문에서는 액티브코드를 이용한 실시간 역추적시스템에 대하여 논한다. 본 시스템은 우회공격의 연결특성을 이용하여 TCP 응용프로그램의 응답메시지에 액티브코드를 덧붙였다. 덧붙여진 액티브코드는 침입자의 근원지 소스측으로 실시간 이동하면서 네트워크 중간노드에서 침입자의 공격에 유연하게 대응한다. 또한, 본 시스템에서는 데이터은닉기법을 적용하여 중간 경유호스트에서 별도의 역추적 시스템을 도입할 필요가 없도록 기존의 환경에 투명성을 부여하였다. 이러한 방법을 통해, 기존의 호스트기반역추적 시스템의 신뢰성문제와 deployment문제를 해결하였다. 본 시스템을 통하여 기존의 네트워크환경에 최소한의 변경으로 침입자의 공격에 실시간적이며 능동적인 대응을 할 수 있다.

• Proceedings of the Korean Information Science Society Conference
• /
• 2003.04d
• /
• pp.524-526
• /
• 2003

본 논문에서는 고도로 지능화고 복잡한 공격으로부터 광대역 네트워크를 보호하기 위한 정책기반 네트워크 보안구조와 능동적 네트워크 보안 기술의 핵심인 실시간 침입자 추적 기능의 효율적인 통합 방안을 제시하기 위해 필요한 구성요소를 정의하고 이들간의 통신 프로토콜을 확장하여 정책기반 네트워크 보안구조에 적합한 실시간 침입자 추적 기술로서 IP Encapsulation을 이용한 실시간 침입자 추적 알고리즘을 제시한다.

• Annual Conference of KIPS
• /
• 2013.11a
• /
• pp.719-722
• /
• 2013

최근 클라우드 서비스의 호스트를 감염시켜 봇넷화 시킨 후 분산 서비스 거부 공격을 시도하는 사례가 증가하고 있다. 이와 같은 공격을 대응하기 위한 방법 중 공격의 근원지를 추적하여 차단함으로써 피해를 감소시키는 역추적 기술이 있으며, 이를 클라우드 환경에 적용시킬 수 있는 방안을 고려해야 한다. 따라서 클라우드 환경에서 분산 서비스 거부 공격의 역추적에 관한 보안 요구사항을 분석하고 이를 기반으로 역추적 기술을 클라우드 환경에 적용시켜 보안성 및 효율성을 향상시키고자 한다.

• Journal of KIISE:Computing Practices and Letters
• /
• v.11 no.3
• /
• pp.235-245
• /
• 2005

The rapid development of computer network technology has brought the Internet as the major infrastructure to our society. But the rapid increase in malicious computer intrusions using such technology causes urgent problems of protecting our information society. The recent trends of the intrusions reflect that the intruders do not break into victim host directly and do some malicious behaviors. Rather, they tend to use some automated intrusion tools to penetrate systems. Most of the unknown types of the intrusions are caused by using such tools, with some minor modifications. These tools are mostly similar to the Previous ones, and the results of using such tools remain the same as in common patterns. In this paper, we are describing design and implementation of attacker-traceback system, which traces the intruder based on the multi-agent architecture. The system first applied SOM to classify the unknown types of the intrusion into previous similar intrusion classes. And during the intrusion analysis stage, we formalized the patterns of the tools as a knowledge base. Based on the patterns, the agent system gets activated, and the automatic tracing of the intrusion routes begins through the previous attacked host, by finding some intrusion evidences on the attacked system.

• Convergence Security Journal
• /
• v.18 no.5_1
• /
• pp.113-120
• /
• 2018

Today, the development of information and communication technology is rapidly increasing the number of users of network-based service, and enables real-time information sharing among users on the Internet. There are various methods in the information sharing process, and information sharing based on portal service is generally used. However, the process of information sharing serves as a cause of illegal activities in order to amplify the social interest of the relevant stakeholders. Public opinion attack using macro function can distort normal public opinion, so security measures are urgent. Therefore, security measures are urgently needed. Macro attacks are generally defined as attacks in which illegal users acquire multiple IP or ID to manipulate public opinion on the content of a particular web page. In this paper, we analyze network path information based on traceback for macro attack of a specific user, and then detect multiple access of the user. This is a macro attack when the access path information for a specific web page and the user information are matched more than once. In addition, when multiple ID is accessed for a specific web page in the same region, it is not possible to distort the overall public opinion on a specific web page by analyzing the threshold count value.

• Journal of the Korea Institute of Information Security & Cryptology
• /
• v.13 no.1
• /
• pp.19-26
• /
• 2003

Recently, the number of internet service companies is increasing and so is the number of malicious attackers. Damage such as distrust about credit and instability of the service by these attacks may influence us fatally as it makes companies image failing down. One of the frequent and fatal attacks is DoS(Denial-of-Service). Because the attacker performs IP spoofing for hiding his location in DoS attack it is hard to get an exact location of the attacker from source IP address only. and even if the system recovers from the attack successfully, if attack origin has not been identified, we have to consider the possibility that there may be another attack again in near future by the same attacker. This study suggests to find the attack origin through MAC address marking of the attack origin. It is based on an IP trace algorithm, called Marking Algorithm. It modifies the Martins Algorithm so that we can convey the MAC address of the intervening routers, and as a result it can trace the exact IP address of the original attacker. To improve the detection time, our algorithm also contains a technique to improve the packet arrival rate. By adjusting marking probability according to the distance from the packet origin we were able to decrease the number of needed packets to traceback the IP address.

• Journal of the Society of Disaster Information
• /
• v.20 no.3
• /
• pp.484-499
• /
• 2024

Purpose: Recently, due to the aging of safety facilities in national industrial complexes, there has been an increase in the frequency and scale of safety accidents, highlighting the need for a shift toward a prevention-centered disaster management paradigm and the establishment of a digital safety network. In response, this study aims to provide an information system that supports more rapid and precise decision-making during disasters by utilizing digital twin-based integrated control technology to predict the spread of hazardous substances, trace the origin of accidents, and offer safe evacuation routes. Method: We considered various simulation results, such as surface diffusion, upper-level diffusion, and combined diffusion, based on the actual characteristics of hazardous substances and weather conditions, addressing the limitations of previous studies. Additionally, we designed an integrated management system to minimize the limitations of spatiotemporal monitoring by utilizing an IoT sensor-based backtracking model to predict leakage points of hazardous substances in spatiotemporal blind spots. Results: We selected two pilot companies in the Gumi Industrial Complex and installed IoT sensors. Then, we operated a living lab by establishing an integrated management system that provides services such as prediction of hazardous substance dispersion, traceback, AI-based leakage prediction, and evacuation information guidance, all based on digital twin technology within the industrial complex. Conclusion: Taking into account the limitations of previous research, we used digital twin-based AI analysis to predict hazardous chemical leaks, detect leakage accidents, and forecast three-dimensional compound dispersion and traceback diffusion.

• KIPS Transactions on Computer and Communication Systems
• /
• v.2 no.5
• /
• pp.223-230
• /
• 2013

With the rapid development of IT technologies, many people talk to each other in real time on-line using messenger or use the messenger to share files for work. However, using this convenience, phishing crimes occur: e.g. demanding money, and if a criminal uses a bypassing technique like proxy in order to hide the IP address the criminal has used to log on, it is in fact, difficult to find the criminal's real IP address. This paper will propose a plan to measure against messenger phishing that may occur in advance by collecting the IP address with which a user has used in a dual channel mode and the real IP address obtained by ARIT Agent using ARIT technique, going through a separate identification process and deciding whether the user has accessed in a normal method.