• 정보보호학회논문지
• /
• 제32권2호
• /
• pp.371-379
• /
• 2022

다크넷(Darknet)은 익명성과 보안을 바탕으로 하고 있어 각종 범죄 및 불법 활동에 지속적으로 악용되고 있으며, 이러한 오·남용을 막기 위해 다크넷 트래픽을 정확하게 탐지하고 분류하는 연구는 매우 중요하다. 본 논문에서는 그레디언트 부스팅 기법을 활용한 다크넷 트래픽 탐지 및 분류 기법을 제안하였다. CIC-Darknet2020 데이터셋에 XGBoost와 LightGBM 알고리즘을 적용한 결과, 99.99%의 탐지율과 99% 이상의 분류 성능을 나타내어 기존 연구에 비해 3% 이상 높은 탐지 성능과 13% 이상의 높은 분류 성능을 달성할 수 있었다. 특히, LightGBM 알고리즘의 경우, XGBoost보다 약 1.6배의 학습 시간과 10배의 하이퍼 파라미터 튜닝 실행시간을 단축하여 월등히 우수한 성능으로 다크넷 트래픽 탐지 및 분류를 수행하였다.

• 정보보호학회논문지
• /
• 제27권4호
• /
• pp.821-830
• /
• 2017

인터넷은 우리나라의 경제 사회를 움직이는 중요한 인프라 자원이며 일상생활의 편리성 효율성을 제공하고 있다. 하지만, 인터넷 인프라 자원의 취약점을 이용하여 사용자를 위협하는 경우가 발생한다. 최근에 지속적으로 지능적이고 고도화된 새로운 공격 패턴이나 악성 코드들이 늘어나고 있는 추세이다. 현재 신 변종 공격을 막기 위한 연구로 다크넷이라는 기술이 주목받고 있다. 다크넷은 미사용 중인 IP 주소들의 집합을 의미하며, 실제 시스템이 존재하지 않는 다크넷으로 유입된 패킷들은 신규 악성코드에 감염된 시스템이나 해커에 의한 공격행위로 간주 될 수 있다. 따라서 본 연구는 다크넷에 수집된 트래픽의 포트 정보를 기반한 통계 데이터를 추출하고 알려지거나 알려지지 않은 블랙 IP를 찾기 위한 알고리즘을 제시하였다. 국내 미사용 중인 IP 주소 8,192개(C클래스 32개) 다크넷 IP에서 3개월간(2016. 6 ~ 2016. 8) 총 827,254,121건의 패킷을 수집하였다. 수집된 데이터를 제시한 알고리즘 적용 결과, 블랙 IP는 6월 19건, 7월 21건, 8월 17건이 탐지되었다. 본 연구의 분석을 통해 얻어진 결과는 기존 알려진 공격들의 블랙 IP 탐지 빈도를 알 수 있고 잠재적인 위협을 유발할 수 있는 새로운 블랙 IP를 찾아낼 수 있다.

• 정보보호학회논문지
• /
• 제24권6호
• /
• pp.1185-1195
• /
• 2014

국내 외 해킹공격 전담 대응조직(CERTs)들은 침해사고 피해 최소화 및 사전예방을 위해 탐지패턴 기반의 보안장비 등을 활용하여 사이버공격에 대한 탐지 분석 대응(즉, 보안관제)을 수행하고 있다. 그러나 패턴기반의 보안관제체계는 해킹공격을 탐지 및 차단하기 위해 미리 정의된 탐지규칙에 근거하여 알려진 공격에 대해서만 대응이 가능하기 때문에 신 변종 공격에 대한 대응은 어려운 실정이다. 최근 국내 외에서는 기존 보안관제의 이러한 문제점을 극복하기 위해 다크넷이라는 기술을 활용한 연구가 주목을 받고 있다. 다크넷은 미사용 중인 IP주소의 집합을 의미하며, 실제 시스템이 존재하지 않는 다크넷으로 유입된 패킷들은 악성코드에 감염된 시스템이나 해커에 의한 공격행위로 간주 될 수 있다. 따라서 본 연구에서는 효율적인 보안관제 수행을 위한 다크넷 트래픽 기반의 악성 URL 수집 및 분석방법을 제안한다. 제안방법은 국내 연구기관의 협력을 통해 확보한 8,192개(C클래스 32개)의 다크넷으로 유입된 전체 패킷을 수집하였으며, 정규표현식을 사용하여 패킷에 포함된 모든 URL을 추출하고 이에 대한 심층 분석을 수행하였다. 본 연구의 분석을 통해 얻어진 결과는 대규모 네트워크에서 발생하고 있는 사이버 위협상황에 대한 신속 정확한 관측이 가능할 뿐만 아니라 추출한 악성 URL을 보안관제에 적용(보안장비 탐지패턴, DNS 싱크홀 등)함으로서 해킹공격에 대한 사이버위협 대응체계를 고도화하는데 목적을 둔다.

• 한국전자통신학회논문지
• /
• 제8권12호
• /
• pp.1841-1848
• /
• 2013

본 논문에서는 매우 국한된 사이버공격에만 대응할 수 있는 기존 정형화 탐지패턴 기반의 보안관제를 극복하기 위하여 대규모 네트워크상에서 유출입 되는 이상행위 정보에 대한 종합적 체계적 수집 분석을 통해 실시간 보안관제 정확도 향상 및 관제영역 확대 방안에 대하여 연구하였다. 다크넷 네트워크상에 유입되는 다양한 침해위협 정보들을 수집 저장 분석하기 위한 이상 징후 관측 체계를 구축하고 통계 기반의 해킹동향 분석을 통해 알려진 사이버위협, 알려지지 않은 이상징후 및 고위험 이상행위 정보 분류 체계를 제시하였다. 본 연구에서 제시한 다크넷 트래픽을 활용한 보안관제 체계를 적용할 경우, 전체 침해위협 탐지가 기존 대비 12.6% 증가하였으며, 기존에는 감지할 수 없었던 신종 변종 공격을 120여종 감지하는 것으로 나타났다.

• 한국전자통신학회논문지
• /
• 제9권2호
• /
• pp.261-266
• /
• 2014

국내 보안관제센터들의 현황을 검토하였으며, 보안관제 체계의 특징인 패턴기반 보안관제체계와 중앙집중형 보안관제 체계에 대한 분석과 장단점을 분석하였다. 또한 국내 보안관제 체계 발전방안에서는 기존 패턴 기반의 중앙집중형 관제 체계가 가지고 있는 문제점을 개선하기 위해 이상행위 탐지기반의 허니넷과 다크넷을 분석하여 이를 적용한 발전 방안을 기술하였다.

• 정보보호학회논문지
• /
• 제33권2호
• /
• pp.267-280
• /
• 2023

최근 컴퓨팅 및 통신 기술의 발달로 인해 IoT 디바이스가 급격히 확산·보급되고 있다. 특히 IoT 디바이스는 가정에서부터 공장에 이르기까지 그 목적에 따라 연산을 수행하거나 주변 환경을 센싱하는 등의 기능을 보유하고 있어 실생활에서의 활용이 폭넓게 증가하고 있다. 하지만, 제한된 수준의 하드웨어 자원을 보유한 IoT 디바이스는 사이버공격에 노출되는 위험도가 높으며, 이로 인해 IoT 봇넷은 악성행위의 경유지로 악용되거나 연결된 네트워크로 감염을 빠르게 확산함으로써 단순한 정보 유출뿐만 아니라 범국가적 위기를 초래할 가능성이 존재한다. 본 논문에서는 폭넓게 활용되고 있는 IoT 네트워크에서 알려지지 않은 보안위협에 선제적으로 대응하기 위해 IoT 봇넷의 네트워크 행위특징을 활용한 선제탐지 방법을 제안한다. IoT 봇넷이 접근하는 다크넷 트래픽을 분석하여 4가지 행위특징을 정의하고 이를 통해 감염의심 IP를 빠르게 선별한다. 분류된 IP는 사이버 위협 인텔리전스(CTI)를 활용하여 알려지지 않은 의심 호스트 여부를 확인한 후, 디바이스 핑거프린팅을 통해 IoT 봇넷에의 소속 여부를 최종 결정한다. 제안된 선제탐지 방법의 유효성 검증을 위해 실제 운용 중인 보안관제 환경의 다크넷 대역에 방법론 적용 및 확인 결과, 선제탐지 한 약 1,000개의 호스트가 실제 악성 IoT 봇넷임을 10개월간 추적관찰로 검증하여 그 유효성을 확인하였다.

• 한국컴퓨터정보학회:학술대회논문집
• /
• 한국컴퓨터정보학회 2021년도 제63차 동계학술대회논문집 29권1호
• /
• pp.233-236
• /
• 2021

본 논문에서는 국내 드론 사용량이 증가하고 있으나 드론을 제재하기 위한 수단과 AI를 활용한 드론 콘텐츠가 부족하다. 상기 문제점을 해결하기 위해 Darknet 과 YOLO_mark를 사용하여 디바이스를 학습시켜 손쉽게 드론 인식 및 구별을 할 수 있게 구현하였다. 이를 통해 기존 드론 제재 수단의 한계를 극복하고 손쉽게 이용할 수 있다. 나아가 본 논문을 이용하여 군◦경에서 드론 식별 등으로 활용할 수 있다.

• 융합신호처리학회논문지
• /
• 제21권1호
• /
• pp.29-37
• /
• 2020

본 논문은 실시간 영상 분석을 통해서 반려견에 대한 객체를 추출해 내고, 추출된 이미지로부터 반려견 행동을 분류하는 방법을 구현한다. 반려견 객체 탐지를 위해서 Darknet YOLO를 사용하였으며, 추출된 이미지로부터 행동 패턴 분류는 구글에서 제공하고 있는 Teachable Machine을 이용하였다. 학습된 Teachable Machine은 구글 드라이브에 저장되어 node.js 서버 상에서 ml5.js로 구현하여 사용할 수 있다. 분류된 행동 패턴 결과는 사용자의 스마트 폰 또는 PC로 실시간 전송되며, 언제 어디서든 확인 가능할 수 있게 node.js 서버에서 socket.io 모듈을 사용해서 상호반응 웹 서버를 구현하였다.

• 한국인터넷방송통신학회논문지
• /
• 제19권2호
• /
• pp.161-168
• /
• 2019

최근에 빠르게 확산되고 있는 CCTV와 같은 영상기기들은 거의 모든 공공기관, 기업, 가정 등에서 비정상적인 상황을 감시하고 대처하기 위한 수단으로 활용되고 있다. 그러나 대부분의 경우 이상상황에 대한 인식은 모니터링하고 있는 사람에 의해 수동적으로 이루어지고 있어 즉각적인 대처가 미흡하며 사후 분석용으로만 활용되고 있다. 본 논문에서는 최신 딥러닝 기술과 실시간 전송기술을 활용하여 이벤트 발생시 스마트폰으로 이상 상황을 동영상과 함께 실시간으로 전송하는 동영상 감시 시스템의 개발 결과를 제시한다. 개발된 시스템은 오픈포즈 라이브러리를 이용하여 실시간으로 동영상으로 부터 인간 객체를 스켈레톤으로 모델링한 후, 딥러닝 기술을 이용하여 인간의 행동을 자동으로 인식하도록 구현하였다. 이를 위해 Caffe 프레임워크를 개발된 오픈포즈 라이브러리를 다크넷 기반으로 재구축하여 실시간 처리 능력을 대폭 향상 시켰으며, 실험을 통해 성능을 검증하였다. 본 논문에서 소개할 시스템은 정확하고 빠른 행동인식 성능과 확장성을 갖추고 있어 다양한 용도의 동영상 감시 시스템에 활용될 수 있을 것으로 기대된다.

• 한국인터넷방송통신학회논문지
• /
• 제20권6호
• /
• pp.157-165
• /
• 2020

뉴-럴 네트워크와 자동운전 데이터 셋을 개발하는 목표중의 하나가 데이터 셋을 분할함에 따라서 움직이는 물체를 검출하는 성능을 개선하는 방법이 있다. 다크넷 (DarkNet) 프레임 워크에 있어서, YOLOv4 네트워크는 Udacity 데이터 셋에서 훈련하는 셋과 검증 셋으로 사용되었다. Udacity 데이터 셋의 7개 비율에 따라서 이 데이터 셋은 훈련 셋, 검증 셋, 테스트 셋을 포함한 3개의 부분 셋으로 나누어진다. K-means++ 알고리즘은 7개 그룹에서 개체 Box 차원 군집화를 수행하기 위해 사용되었다. 훈련을 위한 YOLOv4 네트워크의 슈퍼 파라메타를 조절하여 7개 그룹들에 대하여 최적 모델 파라메타가 각각 구해졌다. 이 모델 파라메타는 각각 7 개 테스트 셋 데이터에 비교하고 검출에 사용되었다. 실험결과에서 YOLOv4 네트워크는 Udacity 데이터 셋에서 트럭, 자동차, 행인으로 표현되는 움직이는 물체에 대하여 대/중/소 물체 검출을 할수 있음을 보여 주었다. 훈련 셋과 검증 셋, 테스트 셋의 비율이 7 ; 1.5 ; 1.5 일 때 최적의 모델 파라메타로서 가장 높은 검출 성능이었다. 그 결과값은, mAP50가 80.89%, mAP75가 47.08%에 달하고, 검출 속도는 10.56 FPS에 달한다.