• 정보보호학회논문지
• /
• 제34권2호
• /
• pp.263-279
• /
• 2024

클라우드 마이그레이션 증가와 함께 클라우드 컴퓨팅 환경에서의 보안 위협도 급증하고 있다. 이에 효율적인 사고조사를 수행하기 위한 로그 데이터 분석의 중요성이 강조되고 있다. 클라우드 환경에서는 서비스 다양성과 간편한 리소스 생성 등의 특성으로 인해 대량의 로그 데이터가 생성된다. 이로 인해 사고 발생 시 어떤 이벤트를 조사해야 하는지 판단하기 어렵고, 방대한 데이터를 모두 확인하려면 상당한 시간과 노력이 필요하다. 따라서 데이터를 효율적으로 조사하기 위한 분석체계가 필요하다. AWS(Amazon Web Services)의 로깅 서비스인 CloudTrail은 계정에서 발생한 모든 API 호출이벤트로그를 수집한다. 그러나 사고 발생 시 어떤 로그를 분석해야 하는지 판단하기 위한 인사이트 제공 역할은 부족하다. 본 논문에서는 Cloud Matrix와 이벤트 정보를 연계하여 사고 조사를 효율적으로 수행할 수 있도록하고, 이를 기반으로 사용자 행위 로그 이벤트의 발생 빈도 및 공격 정보를 동시에 확인할 수 있는 자동화 분석프레임 워크를 제안한다. 이를 통해 ATT&CK Framework를 기반으로 주요 이벤트를 식별하고, 사용자 행위를 효율적으로 파악함으로써 클라우드 사고 조사에 기여할 것으로 기대한다.

• 정보처리학회논문지C
• /
• 제15C권5호
• /
• pp.375-382
• /
• 2008

무선 메쉬망 (Wireless Mesh Network: WMN)에서 트래픽은 IGW (Internet Gateway)를 통해 유선망과 교환되므로 트래픽은 IGW로 집중되어 병목지점이 된다. 따라서 다수의 채널과 다수의 인터페이스를 이용하여 증대된 WMN의 전체 용량을 다수의 IGW를 통해 균등하게 분산시키는 것은 WMN의 안정적인 운영을 위해 필요하다. 이에 따라 본 논문에서는 무선 메쉬 망의 부하를 다수의 IGW에 분산시켜 망의 안정성과 서비스 품질 향상을 위한 확률적 부하 분담 기법을 제안한다. 제안 기법은 혼잡한 IGW의 부하를 망 내 IGW들의 혼잡 정도에 따라 다수의 IGW에 분산시킨다. 또한 IGW와 거리가 가까울수록 집중되는 트래픽 양은 증가하므로 급격하게 과도한 트래픽이 새로운 IGW에 집중되는 것을 방지하기 위해, 제안기법은 혼잡한 IGW와 인터넷 접속을 위해 이를 사용하고 있는 MR (Mesh Router) 사이의 거리 정보에 따라 접속 IGW의 변경 여부를 결정한다. NS-2를 이용한 모의 실험을 통해 제안기법은 최소 혼잡 IGW를 이용한 기법에 비해 IGW의 혼잡 발생시 이를 해결하기 위한 망 안정화 시간과 망 내 패킷 손실율 측면에서 우수하다는 것을 검증하였다.

• 시큐리티연구
• /
• 제34호
• /
• pp.259-278
• /
• 2013

21세기 정보통신기술의 발달과 급격한 인터넷의 확산으로 비밀 출처정보에서만 수집이 가능했던 정보(Information)가 인터넷을 통해 쉽게 검색이 가능하게 되었다. 공개정보(Open Source)가 폭발적으로 증가하면서 정보수집활동에 큰 변화가 일어나고 있으며, 이러한 변화는 국가정보기관에서의 정보수집활동에도 영향을 미치고 있다. 공개출처정보(Open Source Intelligence: OSINT)는 이렇게 넘쳐나는 정보를 효과적으로 처리하고 분석하기위해 등장하였다. OSINT는 주로 9.11테러 이후에 빠르게 적용되었으며, 국가정보기관에서는 이와 관련된 연구와 기술개발에도 적극 참여하고 있다. 이렇게 서구국가에서는 OSINT의 중요성을 인지하고 공개정보(Open Source)를 분석하는 일이 최우선 순위로 떠오르고 있다. 하지만 국내에서는 공개정보(Open Source)의 중요성에 대한 인식이 미흡한 실정이다. 본 연구에서는 OSINT를 소개하고 중요성을 제고하는 것을 목적으로 하였다. 감당하기 힘들 정도로 늘어나는 많은 양의 공개정보(Open Source)를 효과적으로 이용하기 위하여 OSINT의 운용사례와 방법을 소개하고 중요성을 논의하였다. 이는 국가안보를 위협하는 테러뿐만 아니라 각종 범죄를 효과적으로 대응하기위한 방안이기도 하다.

• 전기학회논문지
• /
• 제65권1호
• /
• pp.128-134
• /
• 2016

IoT devices including smart devices are connected with internet, thus they have security threats everytime. Particularly, IoT devices are composed of low performance MCU and small-capacity memory because they are miniaturized, so they are likely to be exposed to various security threats like DoS attacks. In addition, in case of IoT devices installed for a remote place, it's not easy for users to control continuously them and to install immediately security patch for them. For most of IoT devices connected directly with internet under user's intention, devices exposed to outside by setting IoT gateway, and devices exposed to outside by the DMZ function or Port Forwarding function of router, specific protocol for IoT services was used and the devices show a response when services about related protocol are required from outside. From internet search engine for IoT devices, IP addresses are inspected on the basis of protocol mainly used for IoT devices and then IP addresses showing a response are maintained as database, so that users can utilize related information. Specially, IoT devices using HTTP and HTTPS protocol, which are used at usual web server, are easily searched at usual search engines like Google as well as search engine for the sole IoT devices. Ill-intentioned attackers get the IP addresses of vulnerable devices from search engine and try to attack the devices. The purpose of this study is to find the problems arisen when HTTP, HTTPS, CoAP, SOAP, and RestFUL protocols used for IoT devices are detected by search engine and are maintained as database, and to seek the solution for the problems. In particular, when the user ID and password of IoT devices set by manufacturing factory are still same or the already known vulnerabilities of IoT devices are not patched, the dangerousness of the IoT devices and its related solution were found in this study.

• 전자공학회논문지CI
• /
• 제48권1호
• /
• pp.133-140
• /
• 2011

최근 들어, 웹 응용의 하나로 이미지를 통합 관리하는 이미지 거래소(Image Stock), 이미지 도서관(Image Library)과 같은 응용들이 많이 만들어 지고 있다. 이미지의 등록, 관리, 검색에는 주로 이미지 해쉬라는 기술이 구분자(Identifier)로서 쓰이며 해쉬의 분별력을 높이기 위한 연구들이 많이 진행되어지고 있다. 본 논문에서는 계층적 히스토그램을 이용한 GLOCAL(Global to Local) 이미지 해쉬 생성 방법을 제안하였다. 많은 연구들이 이미지 처리 및 기하학적 공격에 강한 히스토그램 기반의 이미지 해쉬 기법들을 제안하였으며 제안된 논문에서는 GLOCAL 해쉬 생성과 가중치(Weighting Factor)를 적용하여 해쉬의 안정성을 높이는데 기여하였다. GLOCAL 해쉬 생성 방법에 의해 기존의 알고리즘들은 좀더 풍부한 길이의 이미지 해쉬를 생성하였다. 즉, 이미지 해쉬의 근본 목적인 Identification과 Discrimination 이라는 두 가지 목적을 잘 달성하였으며 그 결과는 통계학적 가설 검정 (Statistical Hypothesis Testing)을 통해 기존의 알고리즘과 비교하였으며 대부분의 공격종류에 대해 제안된 알고리즘이 향상된 성능을 보여줌을 확인하였다.

• Asian Pacific Journal of Cancer Prevention
• /
• 제16권14호
• /
• pp.5903-5906
• /
• 2015

Background: Cholangiocarcinoma (CCA) is a serious public health problem in the Northeast of Thailand. CCA is considered to be an incurable and rapidly lethal disease. Knowledge of the distribution of CCA patients is necessary for management strategies. Objectives: This study aimed to utilize the Geographic Information System and Google $Earth^{TM}$ for distribution mapping of cholangiocarcinoma in Satuek District, Buriram, Thailand, during a 5-year period (2008-2012). Materials and Methods: In this retrospective study data were collected and reviewed from the OPD cards, definitive cases of CCA were patients who were treated in Satuek hospital and were diagnosed with CCA or ICD-10 code C22.1. CCA cases were used to analyze and calculate with ArcGIS 9.2, all of data were imported into Google Earth using the online web page www.earthpoint.us. Data were displayed at village points. Results: A total of 53 cases were diagnosed and identified as CCA. The incidence was 53.57 per 100,000 population (65.5 for males and 30.8 for females) and the majority of CCA cases were in stages IV and IIA. The average age was 67 years old. The highest attack rate was observed in Thung Wang sub-district (161.4 per 100,000 population). The map display at village points for CCA patients based on Google Earth gave a clear visual deistribution. Conclusions: CCA is still a major problem in Satuek district, Buriram province of Thailand. The Google Earth production process is very simple and easy to learn. It is suitable for the use in further development of CCA management strategies.

• KSII Transactions on Internet and Information Systems (TIIS)
• /
• 제11권11호
• /
• pp.5642-5670
• /
• 2017

Antivirus is an important issue to the security of virtual machine (VM). According to where the antivirus system resides, the existing approaches can be categorized into three classes: internal approach, external approach and hybrid approach. However, for the internal approach, it is susceptible to attacks and may cause antivirus storm and rollback vulnerability problems. On the other hand, for the external approach, the antivirus systems built upon virtual machine introspection (VMI) technology cannot find and prohibit viruses promptly. Although the hybrid approach performs virus scanning out of the virtual machine, it is still vulnerable to attacks since it completely depends on the agent and hooks to deliver events in the guest operating system. To solve the aforementioned problems, based on in-memory signature scanning, we propose an agentless runtime antivirus system VirtAV, which scans each piece of binary codes to execute in guest VMs on the VMM side to detect and prevent viruses. As an external approach, VirtAV does not rely on any hooks or agents in the guest OS, and exposes no attack surface to the outside world, so it guarantees the security of itself to the greatest extent. In addition, it solves the antivirus storm problem and the rollback vulnerability problem in virtualization environment. We implemented a prototype based on Qemu/KVM hypervisor and ClamAV antivirus engine. Experimental results demonstrate that VirtAV is able to detect both user-level and kernel-level virus programs inside Windows and Linux guest, no matter whether they are packed or not. From the performance aspect, the overhead of VirtAV on guest performance is acceptable. Especially, VirtAV has little impact on the performance of common desktop applications, such as video playing, web browsing and Microsoft Office series.

• 인터넷정보학회논문지
• /
• 제2권4호
• /
• pp.41-53
• /
• 2001

고가용 E-Business 모델을 위해 구축된 다중 분산 웹 클러스터 모델은 구조적 특성상 내부 시스템 노드들이 노출되어 있으며, 불법적인 3자에 의한 고의적인 방해와 공격으로 정상적인 작업수행이 불가능할 가능성을 지니고 있다. 따라서 구성된 시스템 노드들을 보호하고 불법적인 사용자로부터의 정보유출과 부당한 서비스 요구를 효과적으로 대응할 수 있는 보안 시스템이 필요하다. 제안한 분산 침입 탐지 시스템은 SC-Server의 공유메모리를 기반으로 SC-Agent간의 유기적인 제어를 통하여 개방된 네트워크 상에 분산되어 있는 시스템 노드에 대한 불법적인 요구나 자원 접근을 탐지하는 기술이다. 분산 침입 탐지시스템은 불법적인 침입을 탐지하기 위하여 일차적으로 Detection Agent를 이용한 작업요구 패킷의 검사를 수행하며, 이후 작업이 진행되었을 때 Monitoring Agent를 통하여 작업과정을 관찰하며 허용되지 않는 자원의 접근 및 요구가 발생하였을 때, 다른 시스템 노드와의 긴밀한 협조작업을 통해 침입여부를 판단한다.

• Journal of Information Processing Systems
• /
• 제8권2호
• /
• pp.347-358
• /
• 2012

Recently, security researches have been processed on the method to cover a broader range of hacking attacks at the low level in the perspective of hardware. This system security applies not only to individuals' computer systems but also to cloud environments. "Cloud" concerns operations on the web. Therefore it is exposed to a lot of risks and the security of its spaces where data is stored is vulnerable. Accordingly, in order to reduce threat factors to security, the TCG proposed a highly reliable platform based on a semiconductor-chip, the TPM. However, there have been no technologies up to date that enables a real-time visual monitoring of the security status of a PC that is operated based on the TPM. And the TPB has provided the function in a visual method to monitor system status and resources only for the system behavior of a single host. Therefore, this paper will propose a m-TMS (Mobile Trusted Monitoring System) that monitors the trusted state of a computing environment in which a TPM chip-based TPB is mounted and the current status of its system resources in a mobile device environment resulting from the development of network service technology. The m-TMS is provided to users so that system resources of CPU, RAM, and process, which are the monitoring objects in a computer system, may be monitored. Moreover, converting and detouring single entities like a PC or target addresses, which are attack pattern methods that pose a threat to the computer system security, are combined. The branch instruction trace function is monitored using a BiT Profiling tool through which processes attacked or those suspected of being attacked may be traced, thereby enabling users to actively respond.

• 정보처리학회논문지:컴퓨터 및 통신 시스템
• /
• 제3권3호
• /
• pp.87-96
• /
• 2014

해커들은 웹 사이트를 해킹 또는 경유 사이트를 운영하는 등 다양한 방법으로 목적을 달성하기 위한 해킹을 시도한다. 악성코드를 웹 사이트에 업로드하여 경유 사이트를 만드는 경우 해당 사이트에 접속하는 사용자는 좀비 PC가 되어 아이디와 패스워드 및 개인 정보가 대량 유출되고 해킹된 개인정보들은 다른 해킹 방법에 사용되고 있다. 기존의 탐지기법은 Snort rule을 사용하여 패턴을 IDS/IPS 장비에 입력하여 네트워크에서 패턴이 일치되면 탐지하는 기법으로 동작하고 있다. 하지만 입력된 패턴을 벗어난 공격을 하였을 경우 IDS/IPS 장비에서는 탐지하지 못하고 정상적인 행위로 간주하여 사용자 PC를 감염시킨다. 공격자는 패턴 탐지 방법의 취약점을 찾아 ShellCode를 진화시킨다. 진화된 ShellCode 공격에 대응하여 악의적인 공격을 탐지 및 대응할 수 있는 방법의 제시가 필요한 실정이다. 본 논문은 정보량 측정을 통한 ShellCode를 탐지하는 방법에 관한 연구이며, 기존의 보안 장비를 우회하여 사용자PC에 공격 시도를 탐지하는 방법을 제시한다.