• Proceedings of the Korea Information Processing Society Conference
• /
• 2014.11a
• /
• pp.388-391
• /
• 2014

JavaScript는 AJAX와 같은 기술을 통해 정적인 HTML에 동적인 기능을 제공하며 그 쓰임새는 HTML5 등장 이후 더욱 주목받고 있는 기술이다. 그와 비례하여 JavaScript를 이용한 공격( DoS 공격, 기밀정보 누출 등 ) 또한 큰 위험으로 다가오고 있다. 이들 공격은 실제적인 흔적을 남기지 않기 때문에 JavaScript 코드 상에서 악성 행위를 판단해야 하며, 웹브라우저가 JavaScript 코드를 실행해야 실제적인 행위가 일어나기 때문에 이를 방지하기 위해선 실시간으로 악성 스크립트를 분별하고 파악할 수 있는 분석 기술이 필요하다. 본 논문은 이런 악성 스크립트를 탐지하는 분석엔진 기술을 제안한다. 이 분석 엔진은 시그니쳐 기반 탐지 기술을 이용한 정적 분석과 행위 기반 탐지 기술을 사용하는 동적 분석으로 이루어진다. 정적 분석은 JavaScript 코드에서 악성 스크립트 코드를 탐지하고 동적 분석은 JavaScript 코드의 실제 행위를 분석하여 악성 스크립트를 판별한다.

• Journal of the Korea Institute of Information Security & Cryptology
• /
• v.22 no.6
• /
• pp.1315-1324
• /
• 2012

Security visualization is a form of the data visualization techniques in the field of network security by using security-related events so that it is quickly and easily to understand network traffic flow and security situation. In particular, the security visualization that detects the abnormal situation of network visualizing connections between two endpoints is a novel approach to detect unknown attack patterns and to reduce monitoring overhead in packets monitoring technique. However, the session-based visualization doesn't notice a difference between normal traffic and attacks that they are composed of similar connection pattern. Therefore, in this paper, we propose an efficient session-based visualization method for analyzing and detecting between normal server activities and attacks by using the IP address splitting and port attributes analysis. The proposed method can actually be used to detect and analyze the network security with the existing security tools because there is no dependence on other security monitoring methods. And also, it is helpful for network administrator to rapidly analyze the security status of managed network.

• Proceedings of the Korean Information Science Society Conference
• /
• 2010.06d
• /
• pp.5-10
• /
• 2010

분산 서비스 거부 공격 탐지를 위한 많은 연구와 개발이 진행 되고 있다. 하지만 분산 서비스 거부 공격의 유형은 계속 변화되어 가고 있어서 새로운 유형의 분산 서비스 거부 공격의 완벽한 탐지는 현실적으로 불가능하다. 본 논문에서는 알려진 유형의 분산 서비스 거부 공격의 탐지뿐만 아니라 새로운 유형의 분산 서비스 거부 공격 탐지를 위하여 실시간으로 트래픽을 모니터링 하고 분산 서비스 거부 공격으로 의심 되는 트래픽을 조기에 탐지하고 신속하게 대응이 가능 한 시스템의 설계와 구현에 관하여 기술 한다.

• Journal of the Korea Institute of Information Security & Cryptology
• /
• v.14 no.4
• /
• pp.111-121
• /
• 2004

With rapid growth of the Internet, network intrusions have greatly increased and damage of attacks has become more serious. Recently some kinds of Internet attacks cause significant damage to overall network performance. Current Intrusion Detection Systems are not capable of performing the real-time detection on the backbone network In this paper, we propose the broadband network intrusion detection system using the exponential smoothing method. We made an experiment with real backbone traffic data for 8 days. The results show that our proposed system detects big jumps of traffic volume well.

• KIPS Transactions on Computer and Communication Systems
• /
• v.8 no.6
• /
• pp.151-158
• /
• 2019

FLUSH+RELOAD attack exposes the most serious security threat among cache side channel attacks due to its high resolution and low noise. This attack is exploited by a variety of malicious programs that attempt to leak sensitive information. In order to prevent such information leakage, it is necessary to detect FLUSH+RELOAD attack in real time. In this paper, we propose a novel run-time detection technique for FLUSH+RELOAD attack by utilizing PCM (Performance Counter Monitor) of processors. For this, we conducted four kinds of experiments to observe the variation of each counter value of PCM during the execution of the attack. As a result, we found that it is possible to detect the attack by exploiting three kinds of important factors. Then, we constructed a detection algorithm based on the experimental results. Our algorithm utilizes machine learning techniques including a logistic regression and ANN(Artificial Neural Network) to learn from different execution environments. Evaluation shows that the algorithm successfully detects all kinds of attacks with relatively low false rate.

• Review of KIISC
• /
• v.19 no.5
• /
• pp.11-20
• /
• 2009

지난 2009년 7월 7일부터 수차례에 걸쳐 청와대 및 다수의 중요 웹 사이트에 대해 분산서비스거부(Distributed Denial of Service, DDoS) 공격이 시도되었다. 이 공격에서 사용된 공격 방법은 공격 트래픽의 형태와, 공격 수행을 위한 공격 네트워크의 구성 방법에 있어서 기존의 방법과는 다른 형태를 띠었고, 이로 인해 공격탐지 및 차단이 쉽게 이루어지지 않아, 피해가 매우 컸다. 이와 같이 최근에는 기존의 DDoS 공격 탐지 및 차단 기술로는 쉽게 탐지 및 차단할 수 없는 고도화된 분산서비스거부 공격이 시도되고 있으며, 그로 인한 피해가 커지고 있는 상황이다. 분산서비스거부 공격은 이미 2000년 이전부터 발생하여온 오래된 공격임에도 불구하고 아직까지 이를 효과적으로 차단하지 못하고 있는 것이다. 이는 전체 정보통신 운영환경과 분산서비스거부 공격의 전체 공격 프로세스에 대한 심도있는 분석을 통해 인터넷 전반에 걸친 거시적인 DDoS공격 대응 방안을 모색하는 것이 아니라, 개개의 공격 형태를 탐지하고 차단할 수 있는 방법을 모색했기 때문이다. 이에, 본 논문에서는 과저부터 현재까지 DDoS공격이 어떻게 발전해 왔는지를 분석하고, 현재 발생하고 있는 분산서비스 거부 공격의 공격 체계와 공격 기법에 대한 복합적 분석을 통해 현재의 고도화된 분산서비스 거부 공격을 효과적으로 차단할 수 있는 분산서비스거부 공격 통합 대응체계를 제안한다.

• Journal of the Korea Convergence Society
• /
• v.8 no.8
• /
• pp.51-57
• /
• 2017

A wireless sensor network is composed of many resource constrained sensor nodes. These networks are attacked by malicious attacks like DDoS and routing attacks. In this paper, we propose the intrusion detection and prevention system using convergence of software-defined networking and security technology in wireless sensor networks. Our proposed scheme detects various intrusions in a central server by accumulating log messages of OpenFlow switch through SDN controller and prevents the intrusions by configuring OpenFlow switch. In order to validate our proposed scheme, we show it can detect and prevent some malicious attacks in wireless sensor networks.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2003.05c
• /
• pp.2161-2164
• /
• 2003

현재 사용되고 있는 침입 탐지 시스템들은 새로운 공격 패턴을 가진 침입을 탐지하기 위하여 규칙 데이터베이스를 지속적으로 갱신하고 있다. 그러나 이러한 침입 탐지 능력은 현재 알려진 기술이나 기법들에 한정된다. 따라서, 기존침입 탐지 시스템들은 공격을 받은 후, 현재까지 존재하지 않았던 새로운 기법이 적용된 공격이나 다소 변형된 공격을 받게 되면 침입을 탐지하지 못하거나 능동적 대처를 하지 못하였으며, tcpdump 또는 libpcap과 같은 응용 레벨의 프로그램을 사용하였기 때문에 실시간으로 패킷들을 감시할 수 없었다. 이러한 추가적인 공격들을 탐지하기 위해서 보다 강력하고 능동적인 네트워크 기반의 대응 기술이 요구되는데, 이에 본 논문에서는 이러한 요구 사항을 해결하기 위하여 패킷 감시의 정확성과 침입에 대한 실시간 대응성을 높이는 커널 레벨에서 동작하는 침입 탐지 모듈과, 악의적인 목적을 가진 패킷들을 차단하는 필터링 모듈 개발 기법을 제시하고자 한다.

• Review of KIISC
• /
• v.13 no.1
• /
• pp.56-63
• /
• 2003

침입감내기술은 기존의 침입차단이나 탐지기술에 의하여 해결될 수 없었던 알려지지 않은 취약점을 이용하는 공격에 의하여 발생하는 시스템의 피해를 방지하기 위한 기술이며, 중요 서비스의 품질요구사항과 지속성 요구사항 만족을 위하여 의존성 특성의 만족이 필요하다. 이러한 침입감내시스템은 결함허용기술과 정보보호기술이 결합된 형태로 접근이 시도되고 있다. 침입감내기술에서는 일반적으로 결함허용기법들이 고려하고 있는 우발적 사고가 아닌 악의적 공격에서 일어날 수 있는 상황들에 대한 고려가 매우 중요하다. 그러므로 침입감내기술에서는 결함허용기술에서 고려하는 것 외에 보안취약성과 공격 개념의 도입, 침입의 탐지와 대처 등 보안성에 대한 요구사항 만족이 필요하다.

• Proceedings of the KAIS Fall Conference
• /
• 2011.05a
• /
• pp.53-56
• /
• 2011

지난 7.7 DDoS(Distributed Denial of Service), 3.3 DDoS 대란을 통해서 보여주듯 DDoS 공격이 네트워크 주요 위협요소로 매우 부각되고 있으나, 공격에 대해서 실시간으로 감지하고 대응하기에 어렵다. 그리고 현재 여러 분야에서 매우 많은 용도로 사용되는 SMS(Short Message Service)도 DDoS 공격 수단으로 사용되어 이동전화 시스템에 큰 혼란을 야기할 수 있다. 기존의 Bloom Filter 탐지 기법은 구조가 간단하고 실시간 탐지가 가능한 장점을 갖지만 오탐지율에 대한 문제점을 가진다. 본 논문에서는 목적지 기반의 다중의 해시함수를 사용한 Counting Bloom Filter 기법을 이용하여 임계치 이상 카운트된 동일한 목적지로 발송되는 SMS에 대하여 공격으로 탐지하고 SMSC에 통보하여 차단시키는 시스템을 제안한다.