• Journal of Internet Computing and Services
• /
• v.11 no.6
• /
• pp.73-86
• /
• 2010

In proportion to the rapid increase in the number of Web users, web attack techniques are also getting more sophisticated. Therefore, we need not only to detect Web attack based on the log analysis but also to extract web attack events from audit information such as Web firewall, Web IDS and system logs for detecting abnormal Web behaviors. In this paper, web attack detection system was designed and implemented based on integrated web audit data for detecting diverse web attack by generating integrated log information generated from W3C form of IIS log and web firewall/IDS log. The proposed system analyzes multiple web sessions and determines its correlation between the sessions and web attack efficiently. Therefore, proposed system has advantages on extracting the latest web attack events efficiently by designing and implementing the multiple web session and log correlation analysis actively.

• Journal of Advanced Navigation Technology
• /
• v.13 no.3
• /
• pp.438-447
• /
• 2009

Digital home devices aims at providing the multimedia service which is not limited at time and space in home network environment. However, it is incapable of the fair use of consumers who legally buys contents, and causes damage to the contents providers owing to the indiscriminate distribution and use of illegal contents. DRM system appeared to solve this problem cannot protect the license stored on digital home devices and manage license by redistribution. This paper proposes a license audit model which makes an inspection of illegal access, modification and redistribution and reports alert logs to server.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2005.11a
• /
• pp.965-968
• /
• 2005

본 논문에서는 보안 정책 및 규칙에 기반을 둔 네트워크 포트 기반의 오용침입 탐지 기능 및 센서 객체 기반의 이상침입 탐지 기능을 갖춘 리눅스 서버 시스템을 제안 및 구현한다. 제안한 시스템은 먼저 시스템에 사용하는 보안 정책에 따른 규칙을 수립한다. 이러한 규칙에 따라 정상적인 포트들과 알려진 공격에 사용되고 있는 포트번호들을 커널에서 동적으로 관리하면서, 등록되지 않은 새로운 포트에도 이상탐지를 위해 공격 유형에 대하여 접근제어 규칙을 적용하여 이상 침입으로 판단될 경우 접근을 차단한다. 알려지지 않은 이상침입 탐지를 위해서는 주요 디렉토리마다 센서 파일을, 주요 파일마다 센서 데이터를 설정하여 센서 객체가 접근될 때마다 감사로그를 기록하면서, 이들 센서 객체에 대해 불법적인 접근이 발생하면 해당 접근을 불허한다. 본 시스템은 보안정책별 규칙에 따라 다단계로 구축하여 특정 침입에 대한 더욱 향상된 접근제어를 할 수 있다.

• Proceedings of the Korean Institute of Information and Commucation Sciences Conference
• /
• v.9 no.2
• /
• pp.845-851
• /
• 2005

웹 서비스는 매우 가깝고 편리한 인터넷 서비스중의 하나이다. 이러한 웹 서비스의 이용이 증가함으로써 웹을 이용한 공격과 취약점 분석으로 위한 위험성이 급격하게 증가하고 있다. 이는 웹 서비스가 가지고 있는 공개성 때문이다. 이에 본 논문에는 웹 공격과정에서 필요한 정보를 얻거나 어플리케이션의 취약점을 찾는 웹 스캔공격을 탐지하기 위한 방법으로 웹 서버의 파일 리스트를 이용하는 방법을 제안하고자 한다. 시스템의 설계와 구현을 위해 사용한 감사 데이터는 Snort에서 일차적으로 탐지된 것을 제외한 웹 서버의 접근로그를 사용한다. 생성된 감사 데이터와 파일 리스트를 비교하여 사용자 요청의 존재여부로 공격을 탐지하도록 설계하였다. 이와 같은 방법은 제안시스템의 실험을 통하여 웹 스캔 공격의 탐지에 효과가 있는 것으로 밝혀졌다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2011.04a
• /
• pp.1028-1029
• /
• 2011

최근 인터넷 기술을 활용하여 클라우드 서버에 저장된 IT 자원(소프트웨어, 스토리지, 서버, 네트워크)을 필요한 만큼 빌려서 사용하고, 서비스 부하에 따라서 실시간 확장성을 지원받으며, 사용한 만큼의 비용을 지불하는 클라우드 컴퓨팅에 대한 수요가 증가하고 있다. 또한 클라우드 컴퓨팅의 개방성은 사용자에게 많은 편리함을 제공함과 동시에 클라우드 서버에 저장된 정보에 대한 유출은 시급히 해결 해야할 문제이다. 이에 본 논문에서는 클라우드 환경에서 내부정보 유출 환경을 살펴보고 클라우트서버로부터의 사용자 명령어를 수집 및 로그(Log)파일로 생성하고 이를 분석하여 내부 정보 유출을 판단하고 이를 보호하기 위한 명령어 감사시스템 구조를 제안하고자 한다.

• Journal of the Korea Institute of Information Security & Cryptology
• /
• v.21 no.4
• /
• pp.101-114
• /
• 2011

As it seems like critical information leakages have been increasing due to industrial espionage and malicious internal users, the importance of introducing audit and log security technology is growing every now and then. In this paper, we suggest the session logging system for the company's internal control to meet the SOX legislation level, by monitoring and analyzing users behaviors connecting to the business-critical Operating System. The system proposed in this paper aims to monitor the user's illegal activities in the Operating System, and to present the clear evidence of purpose of those activities by detailed logs. For this purpose, we modified Operating System by adding multiple services suggested in this paper. These services utilize interfaces provided by the existing Operating System and add functions to control access and get logs. The system saves and manages session logs of users or administrators connected to the server with centralized log storage. And the system supports session log searching and lookup features required by SOX legislation for the company's internal controls with the level of computer forensics and logging technology.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2002.11b
• /
• pp.1011-1014
• /
• 2002

최근 대규모 네트워크 데이터에 대한 패턴을 분석하기 위한 연구에 대하여 관심을 가지고 침입탐지 시스템을 개선하기 위해 노력하고 있다. 특히, 이러한 광범위한 네트워크 데이터 중에서 침입을 목적으로 하는 데이터에 대한 탐지 능력을 개선하기 위해 먼저, 광범위한 침입항목들에 대한 탐지 적용기술을 학습하고, 그 다음에 데이터 마이닝 기법을 이용하여 침입패턴 인식능력 및 새로운 패턴을 빠르게 인지하는 적용기술을 제안하고자 한다. 침입 패턴인식을 위해 각 네트워크에 돌아다니는 관련된 패킷 정보와 호스트 세션에 기록되어진 자료를 필터링하고, 각종 로그 화일을 추출하는 프로그램들을 활용하여 침입과 일반적인 행동들을 분류하여 규칙들을 생성하였으며, 생성된 새로운 규칙과 학습된 자료를 바탕으로 침입탐지 모델을 제안하였다. 마이닝 기법으로는 학습된 항목들에 대한 연관 규칙을 찾기 위한 연역적 알고리즘을 이용하여 규칙을 생성한 사례를 보고한다. 또한, 추출 분석된 자료는 리눅스 기반의 환경 하에서 다양하게 모아진 네트워크 로그파일들을 분석하여 제안한 방법에 따라 적용한 산출물이다.

• The Journal of The Korea Institute of Intelligent Transport Systems
• /
• v.7 no.4
• /
• pp.97-106
• /
• 2008

This proposed system is a part of internal control system that national highway need to support their ITS information audit. This paper explains the design and implementation of a packet interceptor and a DB query analyzer. The packet interceptor sniffs users' query packets, and then the DB query analyzer parses the SQL queries and stores the users' DB access information such as SQL queries, access data and changing data. The information may be used as the evidences on internal control of users and users' accesses.

• Proceedings of the Korea Multimedia Society Conference
• /
• 2003.11a
• /
• pp.52-55
• /
• 2003

정보시스템의 활용도가 높아지면서 네트워크를 통해 보다 빠르게 상호간 정보체계를 공유하게 됨으로써 컴퓨터 통신망을 통해 내부정보의 위조 또는 변조, 유출되는 등 각종 불법 행위가 급증하고 있다. 이에 본 논문에서는 내부 정보보안 사고에 대한 적극적인 보안수단을 제공하기 위해 내부사용자에 의한 파일유출을 감시하고 중요파일에 대한 접근시도 및 .접근동작에 대해 로그정보를 분석하여 보안사고 발생시 입증할 수 있는 근거를 제시하고자 파일 감사시스템을 설계하고 구현하였다.

• Convergence Security Journal
• /
• v.15 no.2
• /
• pp.33-41
• /
• 2015

A safe Linux system for security enhancement should have an audit ability that prohibits an illegal access and alternation of data as well as trace ability of illegal activities. In addition, construction of the log management and monitoring system is a necessity to clearly categorize the responsibility of the system manager or administrator and the users' activities. In this paper, the Linux system's Security Log is analyzed to utilize it on prohibition and detection of an illegal protrusion converting the analyzed security log into a database. The proposed analysis allows a safe management of the security log. This system will contribute to the enhancement of the system reliability by allowing quick response to the system malfunctions.