• Journal of Internet Computing and Services
• /
• v.21 no.2
• /
• pp.1-8
• /
• 2020

Recently, the number of APT(Advanced Persistent Threats) attack using malware has been increasing, and research is underway to prevent and detect them. While it is important to detect and block attacks before they occur, it is also important to make an effective response through an accurate analysis for attack case and attack type, these respond which can be determined by analyzing the attack group of such attacks. Therefore, this paper propose a framework based on genetic algorithm for analyzing malware and understanding attacker group's features. The framework uses decompiler and disassembler to extract related code in collected malware, and analyzes information related to author through code analysis. Malware has unique characteristics that only it has, which can be said to be features that can identify the author or attacker groups of that malware. So, we select specific features only having attack group among the various features extracted from binary and source code through the authorship clustering method, and apply genetic algorithm to accurate clustering to infer specific features. Also, we find features which based on characteristics each group of malware authors has that can express each group, and create profiles to verify that the group of authors is correctly clustered. In this paper, we do experiment about author classification using genetic algorithm and finding specific features to express author characteristic. In experiment result, we identified an author classification accuracy of 86% and selected features to be used for authorship analysis among the information extracted through genetic algorithm.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2007.05a
• /
• pp.1068-1071
• /
• 2007

무선 애드 혹 네트워크의 사용이 증가함에 따라 네트워크의 보안 또한 매우 중요하게 인식되어 지는 추세이지만, 현재 무선 애드 혹 네트워크의 보안성 표준안에 대한 정의가 미흡한 상황이다. 현재까지 많은 연구를 통해 제안된 키 관리 프로토콜은 오직 특정 상황에만 적용 가능한 단점을 가지고 있다. 2005년 무선 애드 혹 네트워크에서 안전한 그룹 통신을 위한 새로운 키 합의 프로토콜인 CRTDH 프로토콜이 제안되었다[1]. 이 프로토콜은 효율적으로 그룹 키를 계산할 수 있고, 멤버들의 높은 이동성을 지원한다. 하지만 그룹 키 설정 과정에서 공격자가 송신자와 수신자 사이에서 전달되는 메시지를 위조 할 수 있고, 키의 재설정 과정에서 그룹이 변경 되어도 이전 그룹 키와 동일하게 계산 될 수 있다. 즉 중간자(Man-in-the-middle) 공격과 LCM(Least Common Multiple) 공격에 취약하다. 본 논문에서는 두 가지 공격에 대한 해결책을 제시하여 보안성이 강화된 그룹 키 합의 프로토콜을 제안한다.

• Information and Communications Magazine
• /
• v.17 no.3
• /
• pp.123-136
• /
• 2000

데이터(Data), 영상(Video) 그리고 음성(Audio)을 특정 사용자 그룹에게만 전송하는 데이터 전송기술인 멀티캐스트(Multicast)는 효과적인 그룹 접근 제어의 결려와 단일 유니캐스트 통신보다 많은 통신 링크 때문에, 부당한 공격자에게 많은 공격 기회를 제공하고 있다. 이것은 그룹의 수신자에게만 영향을 미치는 것이 아니라 잠재적으로 대부분의 네트워크에 연결된 사용자에게 영향을 미친다. 특히 참가자의 가입과 탈퇴 시에 신분위장, 재전송, 부인공격에 노출되어있기 때문에 이러한 부단한 공격 위협에 대한 보안대책이 필요하다. 본 논문에서는 안전한 멀티캐스트 트래픽 전송을 위한 보안 메커니즘 설계를 위한 기반 기술로서 멀티캐스트에서 보안의 필요성과 멀티캐스트에서 고려해야할 보안 서비스를 분석하고 단일 송신자와 다중 그룹에서 구성될 수 있는 보안 구조 및 보안 구성요소를 연구하였다.

• Review of KIISC
• /
• v.30 no.5
• /
• pp.25-33
• /
• 2020

산업 제어 시스템 대상 원격 관제 기술은 관리자의 즉각적 대응을 통해 산업 재해 발생 확률 저하를 위한 핵심기술로 주목받고 있다. 그러나 산업 제어 시스템 원격 관제 기술은 원격의 관리자와 통신하기 위해 외부 네트워크 연결이 필수적이며, 따라서 공격자들에게 기존 산업 제어 시스템에 존재하지 않던 새로운 네트워크 취약점을 노출하게 된다. 산업 제어시스템은 네트워크 취약점을 해결하기 위해 터널링 프로토콜 또는 패킷 암호화 솔루션을 사용하고 있지만, 이러한 솔루션은 패킷 메타데이터를 분석하는 네트워크 트래픽 분석 공격을 방어하지 못한다. 공격자는 네트워크 트래픽 분석을 통해 패킷의 송수신 대상, 통신 빈도, 활성화 상태 등을 알 수 있으며 획득한 정보를 다음 공격을 위한 초석으로 사용할 수 있다. 따라서 기존의 솔루션들이 해결하지 못하는 산업 제어 시스템 네트워크 환경에서 발생하는 잠재적인 문제들을 해결하기 위해 네트워크 트래픽 분석 난이도를 향상시켜 분석을 방어하는 솔루션이 필요하다. 본 논문에서는 패킷 메타데이터를 분석하는 네트워크 트래픽 분석 공격을 어렵게 하고자 패킷 분할 및 병합 기반 네트워크 트래픽 난분석화 기법을 제안한다. 본 논문에서 제안하는 기법의 참여자인 관리자와 산업 기기는 각각 일정한 크기의 그룹으로 묶인다. 그리고 원격 관제를 위해 관리자와 산업 기기 간 송수신되는 모든 패킷을 대상으로 분할 노드를 경유하도록 한다. 분할노드는 패킷의 난분석화를 위한 핵심 요소로써, 관리자와 산업 기기 사이에 송수신되는 모든 패킷을 상호 목적 대상 그룹의 개수로 분할한다. 그리고 분할한 패킷 조각에 패킷 식별자와 번호를 부여하여 패킷 조각을 모두 수신한 목적대상이 올바르게 패킷을 병합할 수 있도록 하였다. 그리고 분할노드는 목적 대상이 속한 그룹의 모든 참여자에게 서로 다른 패킷 조각들을 전달함으로써 공격자가 패킷의 흐름을 알 수 없도록 하여 산업 제어 시스템 정보를 수집하는 것을 방어한다. 본 논문에서 제안하는 패킷 분할 및 병합 기반 트래픽 난분석화 기법을 통해 산업 제어 시스템을 대상으로 한 트래픽 분석 공격을 방어함으로써 네트워크 공격의 피해를 줄이고 추가적인 네트워크 공격을 차단할 수 있을 것으로 기대된다.

• Proceedings of the Korea Institutes of Information Security and Cryptology Conference
• /
• 2002.11a
• /
• pp.215-218
• /
• 2002

패스워드 기반 키분배 프로토콜의 가장 중요한 요구사항 중 하나는 사전공격과 같은 패스워드 추측 공격에 대하여 안전하여야 한다. 그러나 지금까지 제안된 패스워드 추측 공격에 대한 안전성은 비밀 서버를 가정하고 있다. 즉, 검증자 기반 방식이더라도 서버에 저장되어 있는 패스워드 검증자가 비밀리에 보관되어야 한다는 단점이 있다. 본 논문에서는 새로운 방식의 다중 서버를 이용한 패스워드 기반 키분배 방식을 제안한다. 딜리는 사용자에 대한 인증 및 검증자를 각 서버에 전송하는 일을 담당한다. 사용자는 특정 서버와 단독으로 세션키를 교환하지만, 서버는 세션키를 생성하기 위해서는 그룹 내에 있는 모든 서버와 비밀 복원 과정을 거처야만 하는 새로운 방식이다. 사용자와 키분배를 수행하는 특정한 서버는 그룹 내에 있는 다른 서버와 비밀 복원 과정을 거처야만 키분배 과정을 수행할 수 있으므로, 특정 서버의 패스워드 파일이 노출되어 패스워드 검증자가 공격자에게 노출되더라도 비밀 분산 과정을 수행하지 못하는 공격자는 패스워드 추측에 필요한 정보를 획득할 수 없다.

• Review of KIISC
• /
• v.19 no.4
• /
• pp.36-43
• /
• 2009

키 교환은 이미 오래전부터 많이 연구되어 왔으나 끊임없이 변화하는 통신 환경과 그에 따른 새로운 위협에 따라 안전한 키 교환이 필요하게 되었다. 특히 키 교환을 수행하는 개체의 비밀키가 노출되었을 경우에도 안전한 키 교환 프로토콜이 필요하다. 또한 그룹의 구성원 수와 상관없이 상수 라운드를 가지는 효율적인 키 교환 프로토콜이 요구된다. 본 논문에서는 ID 기반의 그룹 키 교환 기법에 대한 기술 동향을 분석하고, 그룹 키 교환 환경에서의 다양한 공격 환경 및 공격자에 따른 안전성 모델에 대한 안전성을 분석한다.

• Journal of KIISE:Computing Practices and Letters
• /
• v.15 no.12
• /
• pp.998-1002
• /
• 2009

In IPTV multicast architecture, the IGMP(Internet Group Management Protocol) is used for access networks. This protocol supports the functionality of join or leave for a specific multicast channel group. But, malicious attackers can disturb legitimate users being served appropriately. By using spoofed IGMP messages, attackers can hi-jack the premium channel, wasting bandwidth and exhausting the IGMP router's resources. To prevent the message spoofing, we can introduce the packet-level authentication methods. But, it causes the additional processing overhead to an IGMP processing router, so that the router is more susceptible to the flooding attacks. In this paper, we propose the two-level authentication scheme in order to mitigate the IGMP flooding attack.

• Journal of KIISE:Computer Systems and Theory
• /
• v.37 no.6
• /
• pp.348-353
• /
• 2010

A threshold decryption scheme is a multi-party public key cryptosystem that allows any sufficiently large subset of participants to decrypt a ciphertext, but disallows the decryption otherwise. When performing a threshold decryption, a third party is often involved to guarantee fairness among the participants. To maintain the security of the protocol as high as possible, it is desirable to lower the level of trust and the amount of information given to the third party. In this paper, we present a threshold decryption scheme which allows the anonymity of the participants as well as the fairness by employing a semi-trusted third party (STTP) which follows the protocol properly with the exception that it keeps a record of all its intermediate computations. Our solution preserves the security and fairness of the previous scheme and reveals no information about the identities of the participants and the plaintext even though an attacker is allowed to access the storage of the STTP.

• Review of KIISC
• /
• v.31 no.3
• /
• pp.29-38
• /
• 2021

산업안보위협은 개인 또는 전·현직자의 이익을 위해 다양한 경로를 통해 지속적으로 산업기술들을 유출하였지만, 최근에 는 국가에서 지원하는 사이버 공격자 그룹을 활용하여 신기술을 탈취하려는 목적의 사이버공격을 감행하고 있어 현재 산업체뿐만 아니라, 국가경제의 손실이 매우 크다. 따라서 본 논문에서는 정보탈취를 목적으로 하는 국가 배후 해킹조직의 침투 경로 및 공격 단계와 국가핵심기술 유출 사례와 연계하여 MITRE사(社) ATT&CK 프레임워크를 활용하여 산업기술위협에 대응할 수 있는 기술을 소개 한다.

• Journal of Convergence for Information Technology
• /
• v.12 no.3
• /
• pp.38-45
• /
• 2022

Due to the development of fintech technology, financial transactions using smart phones are being activated. The password for user authentication during financial transactions is entered through the virtual keypad displayed on the screen of the smart phone. When the password is entered, the attacker can find out the password by capturing it with a high-resolution camera or spying over the shoulder. A virtual keypad with security applied to prevent such an attack is difficult to input on a small touch-screen, and there is still a vulnerability in peeping attacks. In this paper, the entire keypad is divided into several groups and displayed on a small screen, touching the group to which the character to be input belongs, and then touching the corresponding character within the group. The proposed method selects the group to which the character to be input belongs, and displays the keypad in the group on a small screen with no more than 10 keypads, so that the size of the keypad can be enlarged more than twice compared to the existing method, and the location is randomly placed, hence location of the touch attacks can be blocked.