• Journal of the Korea Institute of Information Security & Cryptology
• /
• v.18 no.3
• /
• pp.121-129
• /
• 2008

This paper presents vulnerability identification method based on meaning which is making use of the concept of atomic vulnerability. Also, we are making use of decomposition and specialization processes which were used in DEVS/SES to get identifiers. This vulnerability representation method is useful for managing and removing vulnerability in organized way. It is helpful to make a relation between vulnerability assessing and intrusion detection rules in lower level. The relation enables security manager to response more quickly and conveniently. Especially, this paper shows a mapping between Nessus plugins and Snort rules using meaning based vulnerability identification method and lists usages based on three goals that security officer keeps in mind about vulnerability. The contribution of this work is in suggestion of meaning based vulnerability identification method and showing the cases of its usage for the rule integration of vulnerability assessment and intrusion detection.

• Annual Conference of KIPS
• /
• 2003.05c
• /
• pp.2249-2252
• /
• 2003

역추적 기술은 해킹이 발생했을 때 해커의 실제적인 위치를 추적하는 기술이다. 해커의 위치를 추적하기 위해 현재 가장 널리 사용되는 방법은 시스템 관리자의 시스템 로그 분석과 시스템 관리자 사이의 상호 정보 교환을 통한 수동적인 역추적 방법이다. 그러나 수동적인 역추적 방법은 수작업으로 수행되는 시스템 로그 분석과 관리자의 개입으로 인하여 땀은 비용이 요구되고 추적 시간의 지연이 발생하기 때문에 이러한 수동적인 방법으로는 해커의 위치를 실시간으로 추적할 수 없다. 만약, 네트워크의 특정 패킷을 식별 가능한 형태로 가공할 수 있다면, 특정 패킷의 이동 경로를 효과적으로 추적할 수 있어 공격자의 위치를 실시간 역추적 하는데 활용될 수 있다. 본 논문에서는 네트워크의 특정 패킷에 의미적인 워터마크를 삽입하여 워터마크 패킷을 생성하는 워터마크 패킷 생성 시스템을 설계하고 구현한다. 이 시스템은 중간 경유지를 활용하여 우회 공격하는 공격자의 실제 위치를 실시간 역추적 하는 ACT 역추적 기법의 구현에 활용되었다.

• Convergence Security Journal
• /
• v.19 no.3
• /
• pp.3-12
• /
• 2019

BGP is the most important protocol among routing protocols that exchange routing information to create routing tables and update changed information so that users on the Internet can send information to destination systems. This paper analyzes how to prevent malicious attacks and problems caused by network administrator's mistakes by using vulnerabilities in BGPv4 that are currently used. We analyzed the attack methods by performing the actual attack experiment on the AS-PATH attack, which is the attack method for BGP's representative security vulnerability, and proposed the algorithm to identify the AS-PATH attack.

• Journal of the Institute of Electronics Engineers of Korea TC
• /
• v.43 no.7 s.349
• /
• pp.72-83
• /
• 2006

It is not a practical solution that the DDoS attacks or worm propagations are protected and responded within a domain itself because it clogs access of legitimate users to share communication lines beyond the boundary a domain. Especially, the DDoS attacks with spoofed source address or with bogus packets that the destination addresses are changed randomly but has the valid source address does not allow us to identify access of legitimate users. We propose a scheme of distributed network security management to protect access of legitimate users from the DDoS attacks exploiting randomly spoofed source IP addresses and sending the bogus packets. We assume that Internet is divided into multiple domains and there exists one or more domain security manager in each domain, which is responsible for identifying hosts within the domain. The domain security manager forwards information regarding identified suspicious attack flows to neighboring managers and then verifies the attack upon receiving return messages from the neighboring managers. Through the experiment on a test-bed, the proposed scheme was verified to be able to maintain high detection accuracy and to enhance the. normal packet survival rate.

• Review of KIISC
• /
• v.30 no.5
• /
• pp.71-77
• /
• 2020

딥러닝 기술은 이미지 분류 문제에 뛰어난 성능을 보여주지만, 공격자가 입력 데이터를 조작하여 의도적으로 오작동을 일으키는 적대적 공격(adversarial attack)에 취약하다. 최근 이미지에 직접 스티커를 부착하는 형태로 딥러닝 모델의 오작동을 일으키는 적대적 패치(adversarial patch)에 관한 연구가 활발히 진행되고 있다. 하지만 기존의 적대적 패치는 대부분 눈에 잘 띄기 때문에 실제 공격을 받은 상황에서 쉽게 식별하여 대응할 수 있다는 단점이 있다. 본 연구에서는 GAN(Generative Adversarial Networks)을 이용하여 식별하기 어려운 적대적 패치를 생성하는 기법을 제안한다. 실험을 통해 제안하는 방법으로 생성한 적대적 패치를 이미지에 부착하여 기존 이미지와의 구조적 유사도를 확인하고 이미지 분류모델에 대한 공격 성능을 분석한다.

• Annual Conference of KIPS
• /
• 2016.04a
• /
• pp.339-342
• /
• 2016

스마트그리드는 기존 전력망의 비효율적인 운영, 이산화탄소 과다 배출, 전력피크의 문제를 해결하기 위한 방법으로 주목받고 있다. 하지만, 기존의 ICT가 도입되고 구조가 복잡해짐에 따라 개인정보를 침해 할 수 있는 가능성이 증가하게 되었다. 본 논문에서는 스마트그리드 내에서 개인정보를 다루는 기기, 시스템, 데이터와 같은 자산을 식별하여 공격자 입장에서의 공격 목표를 설정한 뒤, Attack Tree 방법을 통하여 세부적인 위협을 식별하였다. 분석 결과, 스마트그리드 환경은 기존의 ICT 기술이 접목되기 때문에 스마트그리드 구조상 발생할 수 있는 위협뿐 만 아니라 기존의 기술들에서 발생할 수 있는 위협도 함께 존재했다.

• The Journal of Korean Institute of Communications and Information Sciences
• /
• v.39B no.3
• /
• pp.162-168
• /
• 2014

Cross-Site Request Forgery is one of the attack techniques occurring in today's Web Applications. It allows an unauthorized attacker to send authorized requests to Web Server through end-users' browsers. These requests are approved by the Web Server as normal requests therefore unexpected results arise. The problem is that the Web Server verifies an end-user using his Cookie information. In this paper, we propose an enhanced CSRF defense scheme which uses Page Identifier and user password's hash value in addition to the Cookie value which is used to verify the normal requests. Our solution is simple to implement and solves the problem of the token disclosure when only a random token is used for normal request verification.

• Review of KIISC
• /
• v.30 no.5
• /
• pp.25-33
• /
• 2020

산업 제어 시스템 대상 원격 관제 기술은 관리자의 즉각적 대응을 통해 산업 재해 발생 확률 저하를 위한 핵심기술로 주목받고 있다. 그러나 산업 제어 시스템 원격 관제 기술은 원격의 관리자와 통신하기 위해 외부 네트워크 연결이 필수적이며, 따라서 공격자들에게 기존 산업 제어 시스템에 존재하지 않던 새로운 네트워크 취약점을 노출하게 된다. 산업 제어시스템은 네트워크 취약점을 해결하기 위해 터널링 프로토콜 또는 패킷 암호화 솔루션을 사용하고 있지만, 이러한 솔루션은 패킷 메타데이터를 분석하는 네트워크 트래픽 분석 공격을 방어하지 못한다. 공격자는 네트워크 트래픽 분석을 통해 패킷의 송수신 대상, 통신 빈도, 활성화 상태 등을 알 수 있으며 획득한 정보를 다음 공격을 위한 초석으로 사용할 수 있다. 따라서 기존의 솔루션들이 해결하지 못하는 산업 제어 시스템 네트워크 환경에서 발생하는 잠재적인 문제들을 해결하기 위해 네트워크 트래픽 분석 난이도를 향상시켜 분석을 방어하는 솔루션이 필요하다. 본 논문에서는 패킷 메타데이터를 분석하는 네트워크 트래픽 분석 공격을 어렵게 하고자 패킷 분할 및 병합 기반 네트워크 트래픽 난분석화 기법을 제안한다. 본 논문에서 제안하는 기법의 참여자인 관리자와 산업 기기는 각각 일정한 크기의 그룹으로 묶인다. 그리고 원격 관제를 위해 관리자와 산업 기기 간 송수신되는 모든 패킷을 대상으로 분할 노드를 경유하도록 한다. 분할노드는 패킷의 난분석화를 위한 핵심 요소로써, 관리자와 산업 기기 사이에 송수신되는 모든 패킷을 상호 목적 대상 그룹의 개수로 분할한다. 그리고 분할한 패킷 조각에 패킷 식별자와 번호를 부여하여 패킷 조각을 모두 수신한 목적대상이 올바르게 패킷을 병합할 수 있도록 하였다. 그리고 분할노드는 목적 대상이 속한 그룹의 모든 참여자에게 서로 다른 패킷 조각들을 전달함으로써 공격자가 패킷의 흐름을 알 수 없도록 하여 산업 제어 시스템 정보를 수집하는 것을 방어한다. 본 논문에서 제안하는 패킷 분할 및 병합 기반 트래픽 난분석화 기법을 통해 산업 제어 시스템을 대상으로 한 트래픽 분석 공격을 방어함으로써 네트워크 공격의 피해를 줄이고 추가적인 네트워크 공격을 차단할 수 있을 것으로 기대된다.

• Proceedings of the KIEE Conference
• /
• 2007.07a
• /
• pp.1189-1190
• /
• 2007

지금까지 국내 PLC 기술의 경우 그룹식별자(GID)를 키로 사용하는 암호화/복호화를 통해 보안 기능을 제공하고 있다. 그러나, 이러한 방법의 경우 동일한 셀(Cell)에 존재하는 PLC장비들이 동일한 키를 사용하게 된다. 따라서, 공격자는 GID를 획득함으로써 동일한 셀에 존재하는 모든 장비들의 정보를 획득하거나 조작할 수 있다. 이러한 문제가 발생하는 가장 큰 원인은 두 가지로 정리할 수 있다. 첫째, PLC 장비간 인증절차를 거치지 않는 것이다. 둘째, 단순 식별자를 암호화를 위한 보안키로 사용한다는 것이다. 따라서 본 논문은 한국산업규격(KSX 4600-1)의 매체접근제어(MAC)계층에서 정의하고 있는 기술을 근거로 PLC 장비간 인증 및 보안키 생성 메커니즘을 제안하고, 그에 따른 프레임 형식 및 동작과정을 제안한다.

• The KIPS Transactions:PartD
• /
• v.13D no.1 s.104
• /
• pp.67-74
• /
• 2006

The security requirements identification in the software development has received some attention recently. However, previous methods do not provide clear method and process of security requirements identification. We propose a process that software developers can build application specific security requirements from state transition diagrams at the security threat location. The proposed process consists of building model and identifying application specific security requirements. The state transition diagram is constructed through subprocesses i) the identification of security threat locations using security failure data based on the point that attackers exploit software vulnerabilities and attack system assets, ii) the construction of a state transition diagram which is usable to protect, mitigate, and remove vulnerabilities of security threat locations. The identification Process of application specific security requirements consist of i) the analysis of the functional requirements of the software, which are decomposed into a DFD(Data Flow Diagram; the identification of the security threat location; and the appliance of the corresponding state transition diagram into the security threat locations, ii) the construction of the application specific state transition diagram, iii) the construction of security requirements based on the rule of the identification of security requirements. The proposed method is helpful to identify the security requirements easily at an early phase of software development.