• Review of KIISC
• /
• v.32 no.4
• /
• pp.7-17
• /
• 2022

운전자 보조 시스템을 통한 차량의 전자적인 제어를 위하여, 최근 차량에 탑재된 전자 제어 장치 (ECU; Electronic Control Unit)의 개수가 급증하고 있다. ECU는 효율적인 통신을 위해서 차량용 내부 네트워크인 CAN(Controller Area Network)을 이용한다. 하지만 CAN은 기밀성, 무결성, 접근 제어, 인증과 같은 보안 메커니즘이 고려되지 않은 상태로 설계되었기 때문에, 공격자가 네트워크에 쉽게 접근하여 메시지를 도청하거나 주입할 수 있다. 악의적인 메시지 주입은 차량 운전자 및 동승자의 안전에 심각한 피해를 안길 수 있기에, 최근에는 주입된 메시지를 식별하기 위한 침입 탐지 시스템(IDS; Intrusion Detection System)에 대한 연구가 발전해왔다. 특히 최근에는 AI(Artificial Intelligence) 기술을 이용한 IDS가 다수 제안되었다. 그러나 제안되는 기법들은 특정 공격 데이터셋에 한하여 평가되며, 각 기법에 대한 탐지 성능이 공정하게 평가되었는지를 확인하기 위한 평가 프레임워크가 부족한 상황이다. 따라서 본 논문에서는 machine learning/deep learning에 기반하여 제안된 차랑용 IDS 5가지를 선정하고, 기존에 공개된 데이터셋을 이용하여 제안된 기법들에 대한 비교 및 평가를 진행한다. 공격 데이터셋에는 CAN의 대표적인 4가지 공격 유형이 포함되어 있으며, 추가적으로 본 논문에서는 메시지 주기 유형을 활용한 공격 유형을 제안하고 해당 공격에 대한 탐지 성능을 평가한다.

• Journal of Internet Computing and Services
• /
• v.23 no.6
• /
• pp.15-26
• /
• 2022

Various subjects are carrying out cyberattacks using a variety of tactics and techniques. Additionally, cyberattacks for political and economic purposes are also being carried out by groups which is sponsored by its nation. To deal with cyberattacks, researchers used to classify the malware family and the subjects of the attack based on malware signature. Unfortunately, attackers can easily masquerade as other group. Also, as the attack varies with subject, techniques, and purpose, it is more effective for defenders to identify the attacker's purpose and goal to respond appropriately. The essential goal of cyberattacks is to threaten the information security of the target assets. Information security is achieved by preserving the confidentiality, integrity, and availability of the assets. In this paper, we relabel the attacker's goal based on MITRE ATT&CK® in the point of CIA triad as well as classifying cyber security reports to verify the labeling method. Experimental results show that the model classified the proposed CIA label with at most 80% probability.

• Proceedings of the Korea Institutes of Information Security and Cryptology Conference
• /
• 2006.06a
• /
• pp.703-706
• /
• 2006

RFID 시스템은 전자태그를 이용한 자동 무선 식별 시스템으로써 RFID 전자 태그를 물체나 사람 또는 동물에게 부착하여 무선 주파수를 통해 태그의 정보를 인식할 수 있도록 해주는 시스템이다. 이는 동시에 다량의 정보를 인식할 수 있다는 장점을 무기로 현재 접촉식 판독 기법의 바코드 시스템을 대처할 수 있을 것이다. 반면 이러한 장점에도 불고하고 RFID 시스템이 사용되는데 걸림돌이 되는 가장 큰 단점은 RFID 태그 정보에 대한 접근이 자유롭다는 점에서 프라이버시 문제를 야기하기 때문이다. 현재 이러한 문제를 해결하기 위해 많은 연구가 진행되고 있으며, 그 중 Ari Juels는 두 개의 RFID 태그가 동시에 있다는 것을 증명하기 위한 프로토콜인 yoking proof 프로토콜을 제안하였다. 하지만 이는 재생(replay) 공격이 가능하다는 취약점을 가지고 있으며, 이를 보안하기 위해 제안된 여러 프로토콜 들에서도 역시 재생 공격에 대한 취약점이 발견되고 있다. 따라서 본 논문에서는 이러한 yoking proof 프로토콜의 취약점을 보안하기 위하여 공격에 대한 복잡도를 높여 공격자로 하여금 재생 공격이 어렵게 하는 프로토콜을 제안한다.

• Proceedings of the Korean Society of Broadcast Engineers Conference
• /
• 2006.11a
• /
• pp.313-316
• /
• 2006

디지털 핑거프린팅(Digital Fingerprinting)은 기 밀 정보를 디지털 콘텐츠에 삽입하는 측면에서는 디지털 워터마킹과 동일 하다고 볼 수 있으나 저작권자나 판매자의 정보가 아닌 콘텐츠를 구매한 사용자의 정보를 삽입함으로써 콘텐츠 불법 배포자를 추적할 수 있도록 한다는 점에서 워터마킹과 차별화된 기술이다. 이러한 핑거프린팅 기술은 소유권에 대한 인증뿐만 아니라 개인 식별 기능까지 제공해야 하므로 기존의 워터마킹이 갖추어야 할 요구사항인 비가시성, 견고성, 유일성과 더불어 공모허용, 비대칭성, 익명성, 조건부 추적성 등이 부가적으로 필요하다. 본 논문에서는 행렬의 한 열을 선택 후 쉬프팅 기법을 사용 하서 사용자 정보로 조합하여 핑거프린트를 생성하였다. 이렇게 생성된 핑거프린트 정보를 2레벨 웨이블릿 변환 영역 중 LH2, HL2, HH2 부대역에 삽입하였다. 쉬프팅 정보와 도메인 개념을 사용하여 보다 많은 사용자에게 핑거프린트 정보를 삽입할 수 있으며, 공모공격과 JPEG 압축에서도 최소한 1명 이상의 공모자를 검출할 수 있는 핑거프린팅의 기본 조건을 만족하였다.

• Journal of the Korea Institute of Information Security & Cryptology
• /
• v.28 no.2
• /
• pp.485-500
• /
• 2018

As the size of the system and network environment grows and the network structure and the system configuration change frequently, network administrators have difficulty managing the status manually and identifying real-time changes. In this paper, we suggest a system that scans dynamic network information in real time, scores vulnerability of network devices, generates all potential attack paths, and visualizes them using attack graph. We implemented the proposed algorithm based attack graph; and we demonstrated that it can be applicable in MTD concept based defense system by simulating on dynamic virtual network environment with SDN.

• Annual Conference of KIPS
• /
• 2017.11a
• /
• pp.299-301
• /
• 2017

현대사회에서는 사이버 해킹 공격이 많이 일어나고 있다. 공격이 증가함에 따라 이를 다양한 방법으로 방어하고 탐지하는 연구가 많이 이루어지고 있다. 본 논문은 OpenIOC, STIX, MMDEF 등과 같은 공격자의 방법론 또는 증거를 식별하는 기술 특성 설명을 수집해 놓은 표현들을 기반을 머신러닝과 logstash라는 로그 수집기를 결합하는 새로운 시스템을 제안한다. 시스템은 pc에 공격이 가해졌을 때 로그 수집기를 사용하여 로그를 수집한 후에 로그의 속성 값들의 리스트를 가지고 머신러닝 알고리즘을 통해 학습시켜 분석을 진행한다. 향후에는 제안된 시스템을 실시간 처리 머신러닝 알고리즘을 사용하여 필요로그정보의 구성을 해주면 자동으로 로그정보를 수집하고 필터와 출력을 거쳐 학습을 시켜 자동 침입탐지시스템으로 발전할 수 있을 것이라 예상된다.

• The KIPS Transactions:PartA
• /
• v.15A no.1
• /
• pp.45-52
• /
• 2008

In this paper we define a vulnerable code to symbolic link exploit and propose a technique to detect this using program analysis. The existing methods to solve symbolic link exploit is for protecting it, on accessing a temporary file they should perform an investigation whether the file is attacked by symbolic link exploit. If programmers miss the investigation, the program may be revealed to symbolic link exploit. Because our technique detects all the vulnerable codes to symbolic link exploit, it helps programmers keep the program safety. Our technique add two type qualifiers to the existing type system to analyze vulnerable codes to symbolic link exploit, it detects the vulnerable codes using type checking including the added type qualifiers. Our technique detects all the vulnerable codes to symbolic link exploit automatically, it has the advantage of saving costs of modifying and of overviewing all codes because programmers apply the methods protecting symbolic link exploit to only the detected codes as vulnerable. We experiment our analyzer with widely used programs. In our experiments only a portion of all the function fopen() is analyzed as the vulnerabilities to symbolic link exploit. It shows that our technique is useful to diminish modifying codes.

• Journal of Internet of Things and Convergence
• /
• v.9 no.1
• /
• pp.1-7
• /
• 2023

Cases in which personal terminals or servers are infected by ransomware are rapidly increasing. Ransomware uses a self-developed encryption module or combines existing symmetric key/public key encryption modules to illegally encrypt files stored in the victim system using a key known only to the attacker. Therefore, in order to decrypt it, it is necessary to know the value of the key used, and since the process of finding the decryption key takes a lot of time, financial costs are eventually paid. At this time, most of the ransomware malware is included in a hidden form in binary files, so when the program is executed, the user is infected with the malicious code without even knowing it. Therefore, in order to respond to ransomware attacks in the form of binary files, it is necessary to identify the encryption module used. Therefore, in this study, we developed a mechanism that can detect and identify by reverse analyzing the encryption module applied to the malicious code hidden in the binary file.

• Journal of the Korea Institute of Information Security & Cryptology
• /
• v.25 no.5
• /
• pp.1201-1215
• /
• 2015

Obfuscation tools can be used to protect android applications from reverse-engineering in android environment. However, obfuscation tools can also be misused to protect malicious applications. In order to evade detection of anti-virus, malware authors often apply obfuscation techniques to malicious applications. It is difficult to analyze the functionality of obfuscated malicious applications until it is deobfuscated. Therefore, a study on deobfuscation is certainly required to address the obfuscated malicious applications. In this paper, we analyze APKs which are obfuscated by commercial obfuscation tools and propose the deobfuscation method that can statically identify obfuscation options and deobfuscate it. Finally, we implement automatic identification and deobfuscation tool, then show the results of evaluation.

• Annual Conference of KIPS
• /
• 2015.04a
• /
• pp.351-353
• /
• 2015

공공정보 공유 및 개방, 소셜네트워크서비스의 활성화 그리고 사용자 간의 공유 데이터 증가 등의 이유로 인터넷상에 노출되는 사용자의 개인 정보가 증가하고 있다. 인터넷상에 노출된 사용자들의 개인정보들은 연결공격(linkage attack), 배경지식 공격(background attack)으로 프라이버시를 침해할 수 있다. 이를 막기 위해 관계형 데이터베이스에서는 대표적으로 k-익명성(k-anonymity)을 시작으로 l-다양성(l-diversity), t-밀집성(t-closeness)이라는 익명화 모델이 제안되었으며 계속해서 익명화 알고리즘의 성능은 개선되고 있다. 하지만 k-익명성, l-다양성, t-밀집성 모델의 조건을 만족하기 위해서는 준식별자(quasi-identifier)를 일반화(generalization)처리 해주어야 하는데 이 과정에서 준식별자의 가치를 손실된다는 단점이 있다. 본 논문에서 준식별자의 정보 손실을 최소화하기 위해 k-익명성 모델을 만족시키는 과정에서 일반화와 데이터를 삽입을 사용하는 익명화 처리하는 방법을 제안한다.