• Proceedings of the Korea Multimedia Society Conference
• /
• 2003.11a
• /
• pp.32-35
• /
• 2003

최근 국내외적으로 침해 공격 사고율이 증가에 대한 방안으로 여러 보안 기술이 개발되어 왔다. 그 중 방화벽은 내부의 중요한 자원과 외부 네트워크와의 경계를 생성하고, 정책기반의 접근제어를 효과적으로 제공하고 있지만 DoS공격, 변형 프로토콜을 통한 공격에는 효과적으로 막지 못한다. 또한 침입탐지 시스템은 공격, 침입, 원하지 않는 트래픽을 구별할 수 있다는 점에서 가치가 있지만 정확한 시점에 공격을 차단하지 못하며 침입탐지 이후에 생기는 불법행동에 대한 커다란 위협이 따르며, 실질적인 방어는 관리자의 수동적인 개입을 필요로 하게 된다. 본 논문에서는 이에 대한 해결 방안으로 방화벽의 침입차단 기능과 침입탐지 시스템의 실시간 침입탐지 기능을 갖춘 리눅스 기반의 공개 보안 툴을 결합한 침입방지 시스템을 설계 및 구현한다.

• Annual Conference of KIPS
• /
• 2011.04a
• /
• pp.713-716
• /
• 2011

인터넷 유저가 증가하면서 DDoS 공격은 인터넷 안정성에 매우 중요한 위협을 가하고 있다. 서비스 거부 공격이란 서비스를 제공하는데 있어 필요한 컴퓨팅 및 통신 자원을 고갈시키는 공격으로 원천적으로 해결하기가 매우 힘든 것으로 알려져 있다. 인터넷과 같은 대규모 망을 대상으로 한 네트워크 공격은 효과적인 탐지 방법이 요구된다. 그러므로 대규모 망에서 침입 탐지 시스템은 효율적인 실시간 탐지가 필요하다. 본 논문에서는 DDoS 공격에 따른 비정상적인 트래픽 범람을 방지하고 합법적인 트래픽 전송을 보장하기 위하여 엔트로피기반의 DDoS 공격 대응 기법을 제안한다. OPNET을 이용해 구현한 결과 DDoS 공격중에 원활한 서비스를 제공할 수 있는 것을 확인하였다.

• Annual Conference of KIPS
• /
• 2008.11a
• /
• pp.1517-1520
• /
• 2008

최근의 사이버 공격은 경쟁사에 대한 DDoS 공격과 기밀정보 유출, 일반 사용자들의 금융정보 유출, 광고성 스팸메일의 대량 발송 등 불법 행위를 대행해주고 경제적 이득을 취하려는 의도로 바뀌어 가고 있다. 그 중심에 있는 봇넷은 봇이라 불리는 감염된 호스트들의 네트워크 집단으로서 일련의 거의 모든 사이버 공격에 이용되고 있다. 이러한 봇넷은 수 많은 변종과 다양한 탐지 회피 기술로 그 세력을 확장해가고 있지만 마땅한 총괄적 대책은 미흡한 것이 현실이다. 이 논문에서는 날이 갈수록 위협을 더해가는 봇넷을 빠르게 탐지하고 대응하기 위해 ISP 사업자들 간, 혹은 국가 간에 걸친 사회 전반적인 협력을 통한 봇넷 탐지 및 관리 시스템 구조를 제안한다.

• Convergence Security Journal
• /
• v.13 no.3
• /
• pp.33-38
• /
• 2013

Security between mobile nodes and efficient communication is one of the most important parts of the MANET. In particular, the wireless network is significantly higher for the attack threats because of collaborative structure for open communication media and communication. However, application of existing security mechanisms and intrusion detection system is not easy due to the characteristics of MANET. It is because collection and integration of adult data by the dynamic topology due to the mobility of nodes and many network sensors is difficult. In this study, we propose cooperative security system technique that can improve the reliability based on authentication assessing confidence about the whole nodes which joins to network and detect effectively this when intrusion occurs. Cluster head which manages the cluster performs CA role for the certificate issue and the gateway node performs role of intrusion detection system. Intrusion detection is performed by cooperating with neighboring nodes when attack is not detected in one intrusion detection node. The performance of the proposed method was confirmed through experiments comparing with the SRP technique.

• Convergence Security Journal
• /
• v.18 no.3
• /
• pp.19-25
• /
• 2018

Endpoint security is a method of ensuring network security by thoroughly protecting multiple individual devices connected to the network. In this study, we survey the functions and features of various commercial products of endpoint security. Also we emphasizes the importance of endpoint security to respond to the increasingly intelligent and sophisticated security threats against the cloud, mobile, artificial intelligence, and IoT based sur-connection era. and as a way to improve endpoint security, we suggest the ways to improve the life cycle of information security such as preemptive security policy implementation, real-time detection and filtering, detection and modification.

• Annual Conference of KIPS
• /
• 2020.05a
• /
• pp.286-289
• /
• 2020

정보통신 기술의 발달로 무분별한 사이버 공격에 노출되어 있기 때문에 정보보안의 기술이 중요해지고 있다. 이중 침입 탐지 시스템은 방화벽과 더불어 시스템 및 네트워크 보안을 위한 대표적인 수단으로, 현재까지 네트워크 기반인 NIDS와 호스트 기반인 HIDS에 대한 많은 연구가 이루어졌다. 이러한 침입 탐지에 대한 CTI(Cyber Threat Intelligence)를 공유하기 위해 다양한 CTI 프레임워크를 사용하여 CTI 정보를 공유하는 연구가 진행되고 있다. 이에 본 논문에서는 CVE기반의 OpenIOC와 Snort 및 OSSEC에서 생성된 Raw Data를 결합하여 새로운 CTI 프레임 워크를 제안한다. 제안된 시스템을 테스트하기 위해서는 CVE 분석을 기반으로한 Kali Linux로 공격을 진행한다, 이를 통해 생성된 데이터는 시간이 지남에 따라 축적된 데이터를 저장 및 검색을 위해 대규모 분산 처리 시스템과도 결합이 필요할 것으로 예상되며 추후 딥러닝 기술을 활용하면 지능형 지속 위협을 분석하는데 용이할 것으로 예상된다.

• Annual Conference of KIPS
• /
• 2024.05a
• /
• pp.362-363
• /
• 2024

최근 자동차의 네트워크화와 연결성이 증가함에 따라, CAN(Controller Area Network) bus 의 설계상 취약점이 보안 위협으로 대두되고 있다. 이에 대응하여 CAN bus 의 취약점을 극복하고 보안을 강화하기 위해 머신러닝을 활용한 침입 탐지 시스템에 대한 연구가 필요하다. 본 논문은 XGBoost 를 활용한 비정상 분류 방법론을 제안한다. 고려대학교 해킹 대응 기술 연구실에서 개발한 데이터 세트를 기반으로 실험을 수행한 결과, 초기 모델의 정확도는 96%였다. 그러나 추가적으로 TimeDiff(발생 간격)과 DataDiff(바이트의 차분 값)을 모델에 통합하면서 정확도가 3% 상승하였다. 본 논문은 향후에 보다 정교한 머신러닝 알고리즘과 데이터 전처리 기법을 적용하여 세밀한 모델을 개발하고, 업체의 CAN Database 를 활용하여 데이터 분석을 보다 정확하게 수행할 계획이다. 이를 통해 보다 신뢰성 높은 자동차 네트워크 보안 시스템을 구축할 수 있을 것으로 기대된다.

• Journal of the Korea Institute of Information Security & Cryptology
• /
• v.34 no.5
• /
• pp.1037-1046
• /
• 2024

The widespread adoption of the Internet of Things (IoT) has enhanced efficiency and convenience across various fields, but it has also led to a surge in security threats. Among these, IoT botnets are particularly concerning as they can rapidly infect a large number of devices and launch various types of attacks, making them a significant security threat. In IoT environments where implementing security measures on individual devices is challenging, establishing a security monitoring system for real-time detection and response is essential to mitigate the risks posed by botnets. In the field of security monitoring, it is crucial not only to detect botnets but also to analyze their detailed behaviors to devise effective countermeasures. Security experts devote considerable effort to analyzing the payloads of detected threats to understand botnet behavior and develop appropriate responses. However, analyzing all threats manually is time-consuming and costly. To address this, our study proposes an XAI-based network feature extraction methodology to enhance the effectiveness of IoT botnet behavior analysis. This study proposes a practical security monitoring methodology for IoT botnet behavior analysis and response, consisting of three steps: 1) BPE and TF-IDF based payload feature extraction, 2) XAI-based feature importance analysis, and 3) visualization of decision rationale based on feature importance. This approach provides security experts with intuitive visual evidence of IoT attacks and reduces analysis time, contributing to faster decision-making and response strategy development in security monitoring.

• The Journal of the Korea Contents Association
• /
• v.7 no.3
• /
• pp.93-100
• /
• 2007

Internet had spread in all fields with the fast speed during the last 10 years. Lately, wireless network is also spreading rapidly. Also, number of times that succeed attack attempt and invasion for wireless network is increasing rapidly TMS system was developed to overcome these threat on wireless network. Existing TMS system supplies active confrontation mechanism on these threats. However, existent TMS has limitation that new form of attack do not filtered efficiently. Therefor this paper proposes a new method that it automatically compute the threat from the imput packets with vector space model and detect anomaly detection of wireless network. Proposed mechanism in this research analyzes similarity degree between packets, and detect something wrong symptom of wireless network and then classify these threats automatically.

• KIPS Transactions on Computer and Communication Systems
• /
• v.11 no.1
• /
• pp.23-34
• /
• 2022

With the development of network technology, the application area has also been diversified, and protocols for various purposes have been developed and the amount of traffic has exploded. Therefore, it is difficult for the network administrator to meet the stability and security standards of the network with the existing traditional switching and routing methods. Software Defined Networking (SDN) is a new networking paradigm proposed to solve this problem. SDN enables efficient network management by programming network operations. This has the advantage that network administrators can flexibly respond to various types of attacks. In this paper, we design a threat level management module, an attack detection module, a packet statistics module, and a flow rule generator that collects attack information through the controller and switch, which are components of SDN, and detects attacks based on these attributes of SDN. It proposes a method to block denial of service attacks (DoS) of advanced attackers by programming and applying honeypot. In the proposed system, the attack packet can be quickly delivered to the honeypot according to the modifiable flow rule, and the honeypot that received the attack packets analyzed the intelligent attack pattern based on this. According to the analysis results, the attack detection module and the threat level management module are adjusted to respond to intelligent attacks. The performance and feasibility of the proposed system was shown by actually implementing the proposed system, performing intelligent attacks with various attack patterns and attack levels, and checking the attack detection rate compared to the existing system.