• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2017년도 춘계학술발표대회
• /
• pp.207-210
• /
• 2017

최근 국방부는 우리 군이 운영하는 내부망이 해킹에 의해 공격당한 사실을 발표했다. 국방부는 내부망은 외부와의 망 분리를 통해 안전하게 관리되고 있다고 밝혔지만, 이번 사건으로 군에서 사용하는 내부망에도 악성코드 공격이 가능한 취약점이 존재한다는 사실이 밝혀졌다. 본 논문에서는 국방부에서 사용되는 내부망과 일반적으로 사용하는 외부망에서도 보안을 강화할 수 있는 시스템을 개발했다. 본 시스템은 공격 등급을 적용한 트리를 생성하여 일정 수준이 되면 사용자에게 알리고 공격에 이르기 전에 시스템 단에서 차단이 가능하다. 본 논문에서 개발한 시스템을 사용하면 중요한 국가기밀자료나 지적 재산이 높은 자료를 가진 국가 및 기업들이 데이터를 보호 할 수 있고 시스템이 파괴당하는 것을 사전에 방지하여 물리적인 측면도 이점을 얻을 수 있다.

• 한국시뮬레이션학회:학술대회논문집
• /
• 한국시뮬레이션학회 2001년도 춘계 학술대회 논문집
• /
• pp.72-76
• /
• 2001

인터넷이 생활의 중요한 요소로 자리잡기 시작하면서 네트워크의 침해 사고가 급증하고 있는 현실이다. 이러한 침해 사고를 예방하기 위해 침입 탐지 시스템(IDS)과 방화벽(Firewall)이 많이 사용되고 있다. 방화벽과 침입 탐지 시스템은 연동은 서로의 단점을 보완하여 더 강력하게 네트워크를 보호할 수 있다. 방화벽과 침입 탐지 시스템을 위한 시뮬레이션 모델은 DEVS (Discrete Event system Specification) 방법론을 사용하여 구성하였다. 본 논문에서는 실제 침입 데이터를 발생시켜 실제 침입에 가까운 상황 가운데 침입 행위를 판별하도록 구성하였다. 이렇게 구성된 시뮬레이션 모델을 사용하여 침입탐지 시스템의 핵심 요소인 침입 판별이 효과적으로 수행되는지를 시뮬레이션 할 수 있다. 현재의 침입은 광범위해지고, 복잡하게 되어 한 침입 탐지 시스템이 독립적으로 네트워크의 침입을 판단하기 어렵게 되었다. 이를 위해 네트워크 내에 여러 침입 탐지 시스템 에이전트를 배치하였고, 에이전트들이 서로 정보를 공유함으로써 공격에 효과적으로 대응할 수 있도록 하였다. 침입 탐지 시스템이 서로 협력하여 침입을 탐지하고, 이런 정보를 침입 차단 시스템에게 넘겨주게 된다. 이와 같은 구성을 통해서 공격자로부터 발생된 패킷이 네트워크 내로 들어오는 것을 원천적으로 막을 수 있도록 하였다.

• 한국컴퓨터정보학회논문지
• /
• 제10권1호
• /
• pp.27-34
• /
• 2005

현재의 침입차단, 침입탐지 등의 보안강화시스템은 공격자에 대하여 해당 트래픽만을 차단하는 수동적인 방어 시스템으로 실제 공격자에 대한 능동적인 대응이 부족하여 재공격 및 우회공격에 취약하다. 또한, 현재의 역추적 기술은 수작업을 통한 로그정보 수집 및 추적으로 인해 많은 시간과 인력이 필요하여 능동적 대응이 불가능하다. 본 논문에서는 현재의 인터넷 환경에 적용 가능하며 재공격 및 우회공격에 대응하기 위하여 IP헤더에 마크를 삽입하여 추적하는 TCP 연결 역추적 기법을 제안한다. 제안된 기법은 기존네트워크 구성요소의 수정이 불필요하고, 응답패킷에 XOR 연산 기법을 적용하여 마킹되는 정보의 양과 자원의 오버헤드를 줄일 수 있다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2008년도 춘계학술발표대회
• /
• pp.935-938
• /
• 2008

DoS/DDoS 공격과 웜 공격으로 대표되는 트래픽 폭주 공격은 그 특성상 사전 차단이 어렵기 때문에 빠르고 정확한 탐지는 공격 탐지 시스템이 갖추어야 할 필수요건이다. 기존의 SNMP MIB 기반 트래픽 폭주공격 탐지 방법은 1 분 이상의 탐지 시간을 요구하였다. 본 논문은 SNMP MIB 객체의 상관 관계를 이용한 빠른 트래픽 폭주 공격 탐지 알고리즘을 제안한다. 또한 빠른 탐지 시간으로 발생되는 시스템의 부하와 탐지 트래픽을 최소화하는 방안도 함께 제시한다. 공격 탐지 방법은 3 단계로 구성되는데, 1 단계에서는 MIB 정보의 갱신주기를 바탕으로 탐지 시점을 결정하고, 2 단계에서는 MIB 정보간의 상관 관계를 이용하여 공격의 징후를 판단하고, 3 단계에서는 프로토콜 별 상세 분석을 통하여 공격 탐지뿐만 아니라 공격 유형까지 판단한다. 따라서 빠르고 정확하게 공격을 탐지할 수 있고, 공격 유형을 분류해 낼 수 있어 신속한 대처가 가능해 질 수있다.

• 한국정보과학회:학술대회논문집
• /
• 한국정보과학회 2003년도 가을 학술발표논문집 Vol.30 No.2 (1)
• /
• pp.697-699
• /
• 2003

최근의 네트워크 공격의 주류는 DoS (denial-of-service)와 DDoS (distributed DoS) 공격이다. 이러한 공격들은 공격자가 침입 대상 시스템의 자원을 완전히 소모시켜서 시스템이 정상적인 서비스를 할 수 없도록 하는 것이다. 각 시스템의 관리자들은 이러한 침입이나 공격을 막기 위한 방편 중에 하나로 IDS(Intrusion detection system)를 사용하고 있다. 그러나 IDS의 높은 false-positive(정상적인 사용을 공격으로 잘못 판단하는 경우)의 발생빈도는 심각한 문제점 중의 하나는 이다. 이런 false-positive의 발생빈도를 줄이고자 본 논문에서는 한번의 판단만으로 연결(connection)을 차단시키지 않고, trust라는 개념을 도입하여 trust의 값에 따라서 사용자에게 차등 서비스를 제공하는 기법을 제안한다. 즉, trust를 이용하는 기법은 각 사용자를 한번에 공격자인지 일반 사용자인지 결정하지 않고, 한 번 더 검사하여 false-positive의 발생빈도를 감소시키는 기법이다.

• 한국정보보호학회:학술대회논문집
• /
• 한국정보보호학회 2001년도 종합학술발표회논문집
• /
• pp.153-156
• /
• 2001

Code Red, Nimda 등 최근 인터넷웜(Internet Worm)에 의한 침입은 방화벽시스템, 침입탐지시스템 등 보안제품이 존재하는 네트워크에서도 적절한 대책이 되지 않은 경향을 보이고 있다. 침입차단시스템을 통과할 수 있는 신종 취약점을 이용한 침입에는 오용방지방법(Misuse Detection)에 의한 침입탐지시스템이 침입패턴을 업데이트하기 전에 이미 네트 워크에 피해를 입힐 가능성이 크게 증가하는 것이다. 향후에도 크게 증가할 것으로 보이는 인터넷웜 공격 등에는 침입차단시스템, 침입탐지시스템 등 보안제품의 로그기록 상황과 네트워크의 보안상태를 지속적으로 감시함으로서 조기에 침입을 탐지할 수 있다. 본 논문에서는 신종 웜 공격에 의한 침입이 발생되었을 때 IDS가 탐지하지 못하는 상황에서도 침입의 흔적을 조기에 발견할 수 있는 네트워크 보안 상태변수확인방법(Network Security Parameter Matching Method)을 제안하고자 한다.

• 한국정보과학회:학술대회논문집
• /
• 한국정보과학회 2002년도 봄 학술발표논문집 Vol.29 No.1 (A)
• /
• pp.844-846
• /
• 2002

기존에 보안을 위해 개발되어온 취약점 검색도구는 최근 들어 불법침입을 위한 도구로 이용되고 있으며 이제는 웹사이트에서도 쉽게 취약점 검색도구와 악의적인 프로그램들을 구할 수 있게 되었다. 이에 대한 방안으로 현재 침입차단 기능을 가지는 방화벽과 침입탐지 기능을 가지는 침입탐지시스템이 개발되어 왔다. 방화벽은 외부 네트워크와 내부 네트워크 사이에 위치하여 인증된 트래픽만을 허용함으로써 보안을 유지할 수 있으나 사전에 미리 IP 주소나 포트 등을 등록하여 해당 IP 주소와 포트로부터의 접근을 허용하거나 막는 정적인 방법이었다. 또한 침입탐지시스템은 침입탐지에 대한 룰을 내장하여 칩입행동을 실시간으로 탐지하는 기능을 가지지만 그에 대한 대응이 실시간 차단이 아니라 공격자와 관리자에게 경고메일을 보내는 수준이므로 침입탐지 이후에 생기는 불법행동에 대한 커다란 위험이 따른다 본 논문에서는 그에 대한 해절 방안으로 방화벽의 침입차단 기능과 침입탐지시스템의 실시간 침입탐지 기능을 갖춘 실시간 침입탐지 및 차단을 위한 시스템을 제안한다.

• 한국정보통신학회:학술대회논문집
• /
• 한국해양정보통신학회 2006년도 춘계종합학술대회
• /
• pp.709-712
• /
• 2006

일반적인 침입탐지 시스템의 원리를 보면 공격자가 공격 패킷을 보내면 침입탐지서버에 IDS 프로그램으로 공격자의 패킷을 기존의 공격패턴과 비교하여 탐지한다. 공격자가 일반적인 공격 패킷이 아닌 패킷을 가짜 패킷과 공격 패킷을 겸용한 진보된 방법을 사용할 경우 IDS는 이를 탐지하지 못하고 로그 파일에 기록하지 않는다. 이는 패턴 검사에 있어 공격자가 IDS를 속였기 때문이다. 따라서 공격자는 추적 당하지 않고서 안전하게 공격을 진행할 수 있다. 본 논문에서는 이러한 탐지를 응용프로그램 단계가 아닌 커널 단계에서 탐지함으로서 침입탐지뿐만 아니라 침입 방지까지 할 수 있도록 하였다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2004년도 춘계학술발표대회
• /
• pp.1121-1124
• /
• 2004

일반적인 침입탐지 시스템의 원리를 보면 공격자가 공격 패킷을 보내면 침입탐지서버에 IDS 프로그램으로 공격자의 패킷을 기존의 공격패턴과 비교하여 탐지한다. 공격자가 일반적인 공격 패킷이 아닌 패킷을 가짜 패킷과 공격 패킷을 겸용한 진보된 방법을 사용할 경우 IDS는 이를 탐지하지 못하고 로그 파일에 기록하지 않는다. 이는 패턴 검사에 있어 공격자가 IDS를 속였기 때문이다. 따라서 공격자는 추적 당하지 않고서 안전하게 공격을 진행할 수 있다. 본 논문에서는 이러한 탐지를 응용프로그램 단계가 아닌 커널 단계에서 탐지함으로서 침입탐지뿐만 아니라 침입 방지까지 할 수 있도록 하였다.

• 정보처리학회논문지:컴퓨터 및 통신 시스템
• /
• 제11권1호
• /
• pp.23-34
• /
• 2022

네트워크 기술의 발달로 그 적용 영역 또한 다양해지면서 다양한 목적의 프로토콜이 개발되고 트래픽의 양이 폭발적으로 증가하게 되었다. 따라서 기존의 전통적인 스위칭, 라우팅 방식으로는 네트워크 관리자가 망의 안정성과 보안 기준을 충족하기 어렵다. 소프트웨어 정의 네트워킹(SDN)은 이러한 문제를 해결하기 위해 제시된 새로운 네트워킹 패러다임이다. SDN은 네트워크 동작을 프로그래밍하여 효율적으로 네트워크를 관리할 수 있도록 한다. 이는 네트워크 관리자가 다양한 여러 양상의 공격에 대해서 유연한 대응을 할 수 있는 장점을 가진다. 본 논문에서는 SDN의 이러한 특성을 활용하여 SDN 구성 요소인 컨트롤러와 스위치를 통해 공격 정보를 수집하고 이를 기반으로 공격을 탐지하는 위협 레벨 관리 모듈, 공격 탐지 모듈, 패킷 통계 모듈, 플로우 규칙 생성기를 설계하여 프로그래밍하고 허니팟을 적용하여 지능형 공격자의 서비스 거부 공격(DoS)을 차단하는 방법을 제시한다. 제안 시스템에서 공격 패킷은 수정 가능한 플로우 규칙에 의해 허니팟으로 빠르게 전달될 수 있도록 하였으며, 공격 패킷을 전달받은 허니팟은 이를 기반으로 지능적 공격의 패턴을 분석하도록 하였다. 분석 결과에 따라 지능적 공격에 대응할 수 있도록 공격 탐지 모듈과 위협 레벨 관리 모듈을 조정한다. 제안 시스템을 실제로 구현하고 공격 패턴 및 공격 수준을 다양화한 지능적 공격을 수행하고 기존 시스템과 비교하여 공격 탐지율을 확인함으로써 제안 시스템의 성능과 실현 가능성을 보였다.