• Proceedings of the Korean Information Science Society Conference
• /
• 2004.04a
• /
• pp.250-252
• /
• 2004

네트워크 침입 탐지와 방어를 위한 연구는 실제 네트워크 환경을 구성하고, 실제 네트워크 침입을 통해 네트워크 침입 탐지와 방어 기법을 연구하는 것이 가장 좋은 방법이다. 하지만, 실제 네트워크 환경에서 대규모 네트워크를 구성하고 네트워크 침입을 시도하여, 침입이 네트워크에 미치는 영향과 침입을 탐지하고 방어하는 방법은 많은 시간과 비용이 필요하게 된다. 그 대안으로 제안하는 시뮬레이션을 통한 연구는 시간과 비용은 줄이면서, 실제와 근사한 결과를 얻을 수 있다. 본 논문에서 제안하는 시뮬레이션 프레임웍은 대규모 네트워크 환경을 구성하고, 구성한 네트워크 환경 위에서 특정한 호스트로 네트워크 침입을 시도할 때, 네트워크 침입을 탐지 및 방어하기 위한 적절한 방법을 연구하기 위한 프레임웍으로, 특정한 공격의 목표가 된 호스트상에 IDS(Intrusion Detection System)나 Firewall을 설치하고, 시뮬레이션의 진행 중 실험자가 원하는 시간에 공격을 잠시 중단시키고. 방어나 침입 탐지를 위한 IDS나 방화벽의 룰셋을 변경해 주는 방법을 통해 네트워크 침입 탐지 및 방어에 관한 유효 적절한 방법을 실험 할 수 있게 해 준다. 본 시뮬레이션 프레임웍을 사용하여, 이후 좀 더 다양한 네트워크 침입 구현을 통해 다양한 침입 행동에 대한 적절한 침입탐지 및 방어 기법에 관한 연구에 많은 도움이 될 것이다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2003.05c
• /
• pp.2173-2176
• /
• 2003

본 논문에서는 네트워크 기반 분산 침입탐지 시스템을 위한 커널 수준 침입탐지 기법을 제안한다. 제안하는 기법은 탐지분석으로 침입탐지 과정을 분리하고 침입탐지 규칙 생성 요구에 대한 침입탐지 자료구조로의 변환을 사용자 응용 프로그램 수준에서 수행하며 생성된 자료구조의 포인터 연결을 커널 수준에서 수행한다. 침입탐지 규칙 변경은 노드를 삭제하지 않고 삭제표시만 수행하고 새로운 노드를 추가하는 삭제마크 띤 노드추가 방식 통하여 수행한다 제안하는 기법은 탐지과정의 분리를 통해 분산 네트워크 환경에 효율적으로 적용할 수 있으며 커널기반 침입탐지 방식을 사용하여 사용자 응용 프로그램으로 동작하는 에이전트기반의 침입탐지 기법에 비해 탐지속도가 빠르다. 침입탐지 규칙 변경은 삭제마크 및 노드추가 방식을 통해서 규칙변경과 침입탐지를 동시에 수행하기 위한 커널의 부하를 줄일 수 있다. 이를 통해 다양한 네트워크 공격에 대하여 신속하게 대응할 수 있다. 그러므로, 서비스거부 공격과 같이 네트워크 과부하가 발생하는 환경에서도 신속한 침입탐지와 탐지효율을 증가시킬 수 있다는 장점을 가진다.

• Proceedings of the Korea Society for Simulation Conference
• /
• 2001.05a
• /
• pp.72-76
• /
• 2001

인터넷이 생활의 중요한 요소로 자리잡기 시작하면서 네트워크의 침해 사고가 급증하고 있는 현실이다. 이러한 침해 사고를 예방하기 위해 침입 탐지 시스템(IDS)과 방화벽(Firewall)이 많이 사용되고 있다. 방화벽과 침입 탐지 시스템은 연동은 서로의 단점을 보완하여 더 강력하게 네트워크를 보호할 수 있다. 방화벽과 침입 탐지 시스템을 위한 시뮬레이션 모델은 DEVS (Discrete Event system Specification) 방법론을 사용하여 구성하였다. 본 논문에서는 실제 침입 데이터를 발생시켜 실제 침입에 가까운 상황 가운데 침입 행위를 판별하도록 구성하였다. 이렇게 구성된 시뮬레이션 모델을 사용하여 침입탐지 시스템의 핵심 요소인 침입 판별이 효과적으로 수행되는지를 시뮬레이션 할 수 있다. 현재의 침입은 광범위해지고, 복잡하게 되어 한 침입 탐지 시스템이 독립적으로 네트워크의 침입을 판단하기 어렵게 되었다. 이를 위해 네트워크 내에 여러 침입 탐지 시스템 에이전트를 배치하였고, 에이전트들이 서로 정보를 공유함으로써 공격에 효과적으로 대응할 수 있도록 하였다. 침입 탐지 시스템이 서로 협력하여 침입을 탐지하고, 이런 정보를 침입 차단 시스템에게 넘겨주게 된다. 이와 같은 구성을 통해서 공격자로부터 발생된 패킷이 네트워크 내로 들어오는 것을 원천적으로 막을 수 있도록 하였다.

• Proceedings of the Korean Information Science Society Conference
• /
• 2003.04d
• /
• pp.307-309
• /
• 2003

초고속 인터넷 망이 빠른 속도로 구축이 되고, 네트워크에 대한 해커나 침입자들의 수가 급속히 증가함에 따라, 실시간 고속 패킷 처리가 가능한 네트워크 침입 탐지 시스템이 요구되고 있다. 이러한 실시간 고속 네트워크 침입 탐지 시스템의 핵심 기술로써 수신된 패킷에서 침입 정보를 고속으로 탐지해내는 침입 탐지 엔진 기술은 필수적이다. 본 논문에서는 인텔의 IXP1200 네트워크 프로세서를 기반으로 하는 하드웨어 구조상에서 고성능 네트워크 침입 탐지 시스템을 위한 실시간 고속 탐지 엔진 구조와 프로그래밍 방법을 제안하였다.

• Proceedings of the Korea Society for Simulation Conference
• /
• 2002.11a
• /
• pp.23-28
• /
• 2002

최근에 분산 시스템과 같이 이기종의 컴퓨팅 환경을 효율적으로 통합하는 방법에 관한 다양한 연구가 진행되고 있다. 네트워크 보안에서는 각 보안 시스템들이 효율적인 침입탐지와 차단을 위해서 분산화되고 있으며 분산된 보안 시스템들을 조정하고 통합하기 위해서 분산인공지능(Distributed Artificial Intelligence)의 개념을 도입하고 있다. 본 논문에서는 분산침입탐지 시스템(Distributed Intrusion Detection System)과 침입차단 시스템(firewall)이 계약망 프로토콜(Contract Net Protocol)에 의해 상호 연동하여 외부 네트워크에서 유입된 패킷의 정보를 통해 침입을 탐지하고 차단하는 네트워크 보안 모델을 설계하였다. 본 연구진이 구성하고 있는 시뮬레이션 환경에서는 네트워크에 존재하는 다양한 보안 모델들을 계층적으로 구성하기 위해 DEVS 방법론을 사용하였다. 보안 시스템의 연동은 계약망 프로토콜에 의해 이루어지는데 네트워크에 분산되어 있는 각각의 전문성을 가진 침입탐지 에이전트들이 중앙 콘솔에 비드(bid)글 제출하고 중앙 콘솔은 최상의 비드를 제출한 에이전트를 선택하여 침입을 탐지하게 된다. 그리고 탐지된 정보를 참조하여 침입차단 시스템은 능동적으로 침입을 차단하게 된다. 이와 같은 모델의 설계를 통해서 기존의 침입탐지 시스템들이 탐지하지 못한 침임을 탐지하게 되고 보안시스템에서의 오류발생빈도를 감소시키며 탐지의 속도를 향상시킬 수 있다.

• Proceedings of the Korean Information Science Society Conference
• /
• 2002.10e
• /
• pp.571-573
• /
• 2002

네트워크 관련 기술들이 테라급으로 급속히 발전하고 있는데 비해, 상대적으로 네트워크의 발전 속도에 뒤지고 있는 네트워크 침입 탐지 시스템의 성능 향상을 위해서, 기존의 소프트웨어 방식으로 구현된 침입 탐지 시스템을 고속의 패킷 처리에 뛰어난 성능을 가지고 있는 네트워크 프로세서를 이용하여 재설계 및 구현하였다. 네트워크 침입 탐지 시스템에서 대부분의 수행시간을 차지하는 네트워크 패킷을 분류하고, 이상 패킷을 탐지하는 기능을 인텔의 IXP1200 네트워크 프로세서의 마이크로엔진이 고속으로 패킷을 처리하게 함으로써 네트워크 침입 탐지 시스템의 성능 향상을 도모하였다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2001.10b
• /
• pp.989-992
• /
• 2001

인터넷의 지속적인 보급/발전과 더불어, 네트워크 상에서의 침입시도는 해가 지날수록 기하급수적으로 증가되고, 그 기법 또한 다변화되고 있다. 이는 침입탐지시스템의 적용환경에도 많은 영향을 끼치게 되었다. 일반적인 네트워크 기반 침입탐지시스템은 네트워크 디바이스를 통해 유입되는 패킷에 대해 Signature 기반 침입탐지 모듈을 통하여 침입을 탐지하게 된다. 대게의 경우 새로운 침입탐지 패턴이 생성되었을 경우, 사용자에 의해 추가되거나 또는 소스코드의 재컴파일을 통하여 시스템이 재구동되기도 한다. 본 논문이 제시하는 바는 이에 반해 AS 내에 존재하는 네트워크의 유입점인 게이트웨이 장치에 침입탐지 시스템을 설치하며, 이를 보안정책서버에 의해 정의된 정책에 의해 침입탐지 및 게이트웨이 장치로서 동작하게 한다. 이를 통해 보안정책서버에 추가되는 침입탐지 패턴 등의 정책정보가 각 침입탐지시스템에 실시간으로 반영되어 처리된다.

• Proceedings of the Korea Institutes of Information Security and Cryptology Conference
• /
• 2001.11a
• /
• pp.153-156
• /
• 2001

Code Red, Nimda 등 최근 인터넷웜(Internet Worm)에 의한 침입은 방화벽시스템, 침입탐지시스템 등 보안제품이 존재하는 네트워크에서도 적절한 대책이 되지 않은 경향을 보이고 있다. 침입차단시스템을 통과할 수 있는 신종 취약점을 이용한 침입에는 오용방지방법(Misuse Detection)에 의한 침입탐지시스템이 침입패턴을 업데이트하기 전에 이미 네트 워크에 피해를 입힐 가능성이 크게 증가하는 것이다. 향후에도 크게 증가할 것으로 보이는 인터넷웜 공격 등에는 침입차단시스템, 침입탐지시스템 등 보안제품의 로그기록 상황과 네트워크의 보안상태를 지속적으로 감시함으로서 조기에 침입을 탐지할 수 있다. 본 논문에서는 신종 웜 공격에 의한 침입이 발생되었을 때 IDS가 탐지하지 못하는 상황에서도 침입의 흔적을 조기에 발견할 수 있는 네트워크 보안 상태변수확인방법(Network Security Parameter Matching Method)을 제안하고자 한다.

• Proceedings of the Korean Information Science Society Conference
• /
• 2004.04a
• /
• pp.829-831
• /
• 2004

컴퓨터 네트워크의 확대 및 인터넷 이용의 급속한 증가에 따라 컴퓨터 보안문제가 중요하게 되었다. 따라서 침입자들로부터 위험을 줄이기 위해 침입탐지 시스템에 관한 연구가 진행되고 있다. 본 논문에서는 네트워크 기반의 이상 침입탐지를 위하여 뉴로-퍼지 기법을 적용하고자 한다. 불확실성을 처리하는 퍼지 이론을 이상 침입 탐지영역에 도입하여 적용함으로써 오용 탐지의 한계성을 극복하여 알려지지 않은 침입 탐지를 하고자 한다.

• Proceedings of the Korean Information Science Society Conference
• /
• 2002.10c
• /
• pp.454-456
• /
• 2002

본 논문에서는 센서(센서 파일, 센서 데이터 등)를 이용한 침입 탐지 시스템인 SbIDS(Sensor based Intrusion Detection System)를 제안한다. 리눅스 시스템에 구현된 SbIDS는 호스트 기반 침입탐지 기법과 네트워크 기반 침입탐지 기법이 통합된 시스템으로, 일차적으로 커털 수준에서 침입을 감지하고 대응하는 KMOD 모듈과 이차적으로 네트워크 수준에서 침입을 감지하고 대응하는 NetMOD 모듈로 구성되어 있어 호스트 내에서의 침입과 네트워크를 통한 침입을 동시에 탐지할 수 있다. SbIDS를 이용한 침입 탐지를 위해 먼저 주요 디렉토리에는 센서 파일을, 주요 파일에는 센서 데이터를 설치한다. 그 다음, 침입자에 의해 센서가 접근될 때마다 위기 상황으로 보고 커널 수준과 네트워크 수줄에서 로그를 작성하며, 공격자를 식별하여 추적할 수 있고 침입으로 판단될 경우 해당 프로세스를 조기에 종료시킬 수 있도록 구현하였다.