• Journal of the Korea Institute of Information and Communication Engineering
• /
• v.25 no.3
• /
• pp.449-455
• /
• 2021

This paper proposes an encryption web transaction attack detection system based on the existing web application monitoring system. Although there was difficulty in detecting attacks on the encrypted web traffic because the existing web traffic security systems detect and defend attacks based on encrypted packets in the network area of the encryption section between the client and server, by utilizing the technology of the web application monitoring system, it is possible to detect various intelligent cyber-attacks based on information that is already decrypted in the memory of the web application server. In addition, since user identification is possible through the application session ID, statistical detection of attacks such as IP tampering attacks, mass web transaction call users, and DDoS attacks are also possible. Thus, it can be considered that it is possible to respond to various intelligent cyber attacks hidden in the encrypted traffic by collecting and detecting information in the non-encrypted section of the encrypted web traffic.

• Proceedings of the Korea Institutes of Information Security and Cryptology Conference
• /
• 2003.12a
• /
• pp.591-596
• /
• 2003

현재의 네트워크 공격 중 대부분은 특정시스템의 서비스를 거부하도록 하여 서비스에 대한 가용성을 제공하지 못하도록 하는 공격이다. 이러한 공격의 유형은 DoS로부터 시작해서 현재에는 DDoS, DRDoS등의 보다 지능화된 새로운 공격으로 발전하고 있다. 이러한 공격은 탐지 자체도 어려울 뿐만 아니라 탐지하더라도 이에 대응하기 위한 방법 또한 어려운 것이 현실이다. 본 논문에서는 시뮬레이션 도구를 이용해서 보호하고자 하는 네트워크를 가상으로 구성하고 서비스공격 행위의 패턴들을 분석, 적용함으로써 통합보안관제 시스템에서 최적의 서비스 거부 공격 완화 방법을 설계하는 시스템을 제안한다.

• Proceedings of the Korean Information Science Society Conference
• /
• 2005.07a
• /
• pp.127-129
• /
• 2005

신분위장공격 탐지는 오랫동안 연구되어 왔지만 실제 시스템에 적용되어 사용되기에는 여전이 높은 오탐지율(false alarm)과 낮은 탐지력(detecion rate)이 가장 큰 문제였다. 유닉스 시스템에서 신분위장공격을 탐지하기 위하여 사용자의 유닉스 명령어 행위를 프로파일링하고 정상 프로파일링에서 벗어난 권한 도용을 탐지하는 방법을 사용한다. 본 연구에서는 신분위장공격 탐지 시스템의 탐지력을 높이기 위하여 순서 정보를 반영한 SVM 커널 기법을 고찰하고 실험 결과를 정리하였다.

• Journal of Internet Computing and Services
• /
• v.11 no.6
• /
• pp.73-86
• /
• 2010

In proportion to the rapid increase in the number of Web users, web attack techniques are also getting more sophisticated. Therefore, we need not only to detect Web attack based on the log analysis but also to extract web attack events from audit information such as Web firewall, Web IDS and system logs for detecting abnormal Web behaviors. In this paper, web attack detection system was designed and implemented based on integrated web audit data for detecting diverse web attack by generating integrated log information generated from W3C form of IIS log and web firewall/IDS log. The proposed system analyzes multiple web sessions and determines its correlation between the sessions and web attack efficiently. Therefore, proposed system has advantages on extracting the latest web attack events efficiently by designing and implementing the multiple web session and log correlation analysis actively.

• Proceedings of the Korean Information Science Society Conference
• /
• 2006.10c
• /
• pp.581-585
• /
• 2006

네트워크 환경의 발달과 더불어 DDoS 공격이나 웜 공격이 증대되고 있다. 다양한 공격의 증가뿐만 아니라 최근에는 공격이 발생하면 급속히 피해가 확산된다. 피해 속도가 빨라지는 이유 중의 하나는 피해 시스템이 공격자가 되기 때문이다. 그러나 만약 피해 시스템이 또 다른 공격 시스템이 되는 것을 차단할 수 있다면, 공격이 확산되는 속도를 늦출 수 있다. 본 논문에서는 감염된 시스템이 비정상적으로 많은 트래픽을 발생시키는 것을 탐지하기 위하여 특정 주소를 갖는 시스템으로 일정 기간 동안 들어오고 나간 인바운드 패킷과 아웃바운드 패킷의 양을 비율로 나타내어 트래픽 흐름을 분석한다. 그리고 B-클래스 네트워크에서 추출한 트래픽 샘플데이터를 이용하여 트래픽 흐름을 분석하여 감염된 시스템을 탐지할 수 있음을 보인다.

• Proceedings of the Korean Information Science Society Conference
• /
• 2003.04a
• /
• pp.425-427
• /
• 2003

IP 단편을 이용한 공격은 서비스 거부 공격 외에도 이를 이용하여 패킷 필터링 장비나 네트워크 기반의 침입탐지 시스템을 우회할 수 있어 그 심각성이 크다. 그러나 일부 네트워크 기반의 침입탐지 시스템은 IP 패킷단편 재조합 기능을 제공하지 않기 때문에 IP 단편의 취약점을 이용한 공격을 탐지하지 못한다. 본 논문에서는 IP 조각 패킷을 재조합 하지 않고도 단편과 관련된 헤더정보를 분석함으로써 공격을 실시간으로 탐지해 낼 수 있는 IP 단편 필터링 모듈을 설계하고 구현한다.

• Proceedings of the Korea Institutes of Information Security and Cryptology Conference
• /
• 2002.11a
• /
• pp.169-172
• /
• 2002

기존의 보안시스템은 각 기관의 로컬네트워크에 설치되어 해당 도메인으로 들어오는 트래픽에 대한 침입탐지에 의한 침입차단이 주된 역할이었다. 최근에는 침입자의 우회공격 및 DDoS 와 같은 공격의 증가로 이러한 시스템의 효용성이 크게 저하되고 있다. 본 논문에서는 침입자의 공격에 대하여 보다 적극적이고 효율적인 대응을 위하여 계층적인 패킷분식에 기반한 침입탐지 및 대응시스템을 제안한다. 계층적인 패킷분석을 위하여 가입자네트워크에서는 세션단위의 정보분식을 수행하고, 백본네트워크에서는 패킷단위의 정보분석을 수행한다. 네트워크도메인간에 이러한 정보교환을 통해서 침입탐지 및 역추적을 수행한다. 본 논문에서는 해당 시스템의 전체구조 및 각 기능구조를 보이며, 각 기능구조간의 동작구조를 보인다. 본 시스템을 통하여 침입자의 새로운 공격유형에 대한 탐지 및 대응이 가능하며, 침입사례의 조기발견을 동하여 네트워크의 안정성을 높일 수 있다.

• Convergence Security Journal
• /
• v.8 no.3
• /
• pp.1-8
• /
• 2008

The pattern matching part of Intrusion Detection System based on misuse-detection mechanism needs much processing time and resources, and it has become a bottleneck in system performance. Moreover, it derives denial-of-service attack. In this paper, we propose (1) framework architecture that is strong against denial-of-service attack and (2) efficient pattern matching method especially for web server system. By using both of these 2 methods, we can maintain web server system efficiently secure against attacks including denial-of-service.

• Proceedings of the Korean Information Science Society Conference
• /
• 2002.10c
• /
• pp.640-642
• /
• 2002

오늘날 포트 스캔과 같은 취약점 분석 도구들의 보급 확대로 인해 공공의 호스트나 개인 호스트들의 침입 사례가 증폭되고 있는 실정이다. 더욱이, 포트 스캔의 공격 형태 또한 나날이 그 기법이 지능화와 더불어 서비스 거부 공격을 이용한 시스템 무력화라는 형태로 발전하고 있어 기존의 시스템으로는 탐지와 대응에 어려움이 가중되고 있다. 따라서 본 논문에서는 이러한 지능적이면서 공격적인 포트 스캔에 대응하여 호스트를 효율적으로 유지할 수 있는 안전한 포트 스캔 탐지 시스템을 제안한다. 본 시스템은 기존의 NIDS 탐지 기법과는 달리 IP와 TCP 소켓 정보를 동시에 활용하여 포트 스캔을 이용한 서비스 거부 공격시에 적절한 대응책으로 동일 IP 주소에 따른 선택적 로그 파일 저장 기법과 해시 알고리즘을 이용한 데이터 저장 기법이라는 제반 사항들을 구현함으로써 현재 대부분의 탐지 시스템들이 간과하고 있는 포트스캔을 통한 서비스 거부 공격에 대한 일정 수준의 보호를 가능하게 하였다.

• Annual Conference of KIPS
• /
• 2011.04a
• /
• pp.971-974
• /
• 2011

본 논문에서는 대용량 네트워크에 비정상적인 트래픽이 유입이 되거나 나가는 경우 패킷 기반의 비정상 트래픽의 탐지와 분석이 가능토록 하는 시스템을 설계하고 구현하였다. 본 논문에서 구현한 시스템은 네트워크상의 이상 행위를 탐지하기 위하여, DDoS HTTP Get Flooding 공격 탐지 알고리즘을 적용하고, NetFPGA를 이용하여 라우터 단에서 패킷을 모니터링하며 공격을 탐지한다. 본 논문에서 구현한 시스템은 Incomplete Get 공격 타입의 Slowloris 봇과, Attack Type-2 공격 타입의 BlackEnergy, Netbot Vip5.4 봇에 높은 탐지율을 보였다.