• Proceedings of the Korea Information Processing Society Conference
• /
• 2002.11b
• /
• pp.1031-1034
• /
• 2002

본 논문에서는 커널수준의 침입탐지를 위한 동적 침입탐지 규칙 변경 기법을 제안한다. 제안하는 기법은 침입탐지 규칙은 규칙타입 프로토콜 타입, 패킷 헤더와 패킷 페이로드에 대한 검사를 수행하기 위한 규칙들로 세분화하여 LVR로 표현하고 이들 LVR이 계층적으로 구성된 IDRL로 관리한다. 침입탐지는 IDRL을 이용하여 수행하며, 규칙에 대한 변경은 변경된 규칙에 대한 LVR을 구성하고 LV를 이용한 포인터 변경을 이용하여 IDRL에 반영하는 방법이다. 제안하는 기법은 IDRL을 이용한 침입탐지와 탐지규칙의 변경을 IDRL에 최소한의 비용으로 수행하고, LVR을 이용하여 침입탐지 규칙을 디스크와 메모리에 동일한 형태로 저장 및 관리하여 탐지규칙 초기화 비용과 변경 비용을 최소화할 수 있다. 이를 통하여 보다 안전한 커널 수준에서의 네트워크 보안을 위한 효율적인 동적 침입탐지 규칙 변경을 지원할 수 있다는 장점을 가진다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2002.04b
• /
• pp.923-926
• /
• 2002

인공면역시스템을 이용한 침입탐지시스템 개발을 위해 적용한 동적클론선택(Dynamic Clonal Selection) 알고리즘과 그의 문제점을 소개하고 개선된 동적클론선택 알고리즘을 제안한다. 개선된 동적클론선택 알고리즘은 정상행위를 비정상행위로 판단하는 기억 탐지 자들을 제거함으로써 기존에 동적클론선택 알고리즘이 안고 있던 오류를 감소시키는 방안을 제시한다.

• Proceedings of the Korean Society of Computer Information Conference
• /
• 2016.07a
• /
• pp.1-2
• /
• 2016

다중 스레드 기반 병렬 프로그램에서의 자료경합 탐지는 동시에 수행되는 스레드 간의 비결정적인 상호작용 때문에 탐지하기 어려운 것으로 잘 알려져 있다. 동적 분석기술을 사용하여 자료경합을 탐지할 경우 프로그램 수행의 감시와 충돌하는 모든 메모리 연산의 분석을 위해 추가적인 오버헤드가 발생한다는 단점이 있다. 이러한 동적 분석의 추가적인 오버헤드를 줄이는 방법으로 감시 필터링 기술이 소개되고 있으며, 본 논문에서는 동적 자료경합 탐지를 위한 감시 필터링 기술 중 OpenMP 디렉티브 병렬 프로그램에 적용 가능한 두 기술을 대상으로 실용성과 효율성을 실험적으로 비교한다.

• Proceedings of the Korean Information Science Society Conference
• /
• 2003.04a
• /
• pp.187-189
• /
• 2003

본 논문은 스트리밍 환경에서 동적 임계점에 기반한 스트리밍 서버의 고장탐지와 Fail-Over 구조를 제안한다. 지속적이며 투명한 서비스를 사용자에게 지원하기 위해서는 서버 고장에 대한 서비스 중단 시점을 정확하고 빠르게 탐지해야 한다. 기존의 서버 고장탐지 방식은 고정된 시간, 즉 최대 서버 응답시간을 사용하여 서버의 고장을 탐지함으로써 네트워크 상태에 따라 고장탐지 시간이 증가하는 단점을 가진다. 임계점이 서버 응답지연시간을 초과하게 되면 서버에게 고장여부를 확인하기 위한 질의를 보내는데 제안된 기법은 이러한 임계점을 네트워크 상태에 따라 서버응답 지연시간의 변동에 동적으로 적응되도록 하는 방법이다. 동적 임계점을 사용하여 네트워크 상태에 가장 적합한 임계점을 찾을 수 있다는 것을 보이고 성능을 검증한다.

• Proceedings of the Korea Inteligent Information System Society Conference
• /
• 2002.05a
• /
• pp.417-422
• /
• 2002

인공면역시스템을 이용한 침입탐지시스템 개발을 위해 적용한 동적 클론 선택(Dynamic Clonal Selection) 알고리즘과 그의 문제점을 소개하고 보다 개선된 동적 클론 선택 알고리즘을 제안한다. 이전 연구에서 침입탐지시스템이 흔히 접하게 되는 상황, 즉 과거 안정적으로 관찰되었던 정상행위가 합법적인 요인들로 인하여 갑작스러운 변화를 보일 경우 과거 생성되었던 기억탐지자가 정상행위를 비정상행위로 오류 판단하는 것을 막기 위하여 인간면역시스템의 체세포 돌연변이 (somatic hypermutation)를 이용하여 유전자 라이브러리를 진화시키는 방법을 첨가한 동적 클론 선택 알고리즘을 소개한다.

• Proceedings of the Korean Information Science Society Conference
• /
• 2002.04a
• /
• pp.859.2-897
• /
• 2002

네트워크의 급격한 발전에 따라 컴퓨터의 보안 문제가 계속 대두되고 있다. 이러한 보안관리 시스템으로 이동 에이전트를 이용한 침입탐지 시스템이 계속 연구되어지고 있다. 본 논문에서는 기존의 침입탐지시스템을 고찰하고 작은 에이전트의 그룹으로 구성된 자율성을 가진 이동 에이전트를 기반으로 한 모듈 접근방식의 시스템을 위한 모델링을 제공한다. 제안된 모델은 침입 정보를 동적으로 수집하고 탐지 에이전트를 학습시키고 탐지한다. 이동 에이전트는 통신 비용절감, 로컬자원 사용의 한계에서의 독립, 관리의 편의성 제공. 비동기 연산 등 다양한 이점을 가지고, 분산 연산을 위만 유동성 있는 구조를 제공한다.

• Journal of KIISE:Software and Applications
• /
• v.36 no.9
• /
• pp.767-776
• /
• 2009

A software birthmark is a set of characteristics that are extracted from a program itself to detect code theft. A dynamic API birthmark is extracted from the run-time API call sequences of a program. The dynamic Windows API birthmarks of Tamada et al. are extracted from API call sequences during the startup period of a program. Therefore. the dynamic birthmarks cannot reflect characteristics of main functions of the program. In this paper. we propose a functional unit birthmark(FDAPI) that is defined as API call sequences recorded during the execution of essential functions of a program. To find out that some functional units of a program are copied from an original program. two FDAPIs are extracted by executing the programs with the same input. The FDAPIs are compared using the semi-global alignment algorithm to compute a similarity between two programs. Programs with the same functionality are compared to show credibility of our birthmark. Binary executables that are compiled differently from the same source code are compared to prove resilience of our birthmark. The experimental result shows that our birthmark can detect module theft of software. to which the existing birthmarks of Tamada et al. cannot be applied.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2015.04a
• /
• pp.418-420
• /
• 2015

인터넷이 발전하면서 사이버 공격이 증가하고 있으며, 사이버 공격에 사용되는 악성코드도 점차 지능화 되고 있다. 악성코드 탐지에는 정적분석을 통해 악성코드의 특정패턴을 비교하는 시그니처 기반 접근법이 널리 사용되고 있으며, 높은 탐지율과 빠른 탐지속도를 보인다. 그러나 알려지지 않은 신종 악성코드(0-day)와 실행압축, 난독화 둥에 의한 변종 악성코드를 분석하기에 한계가 있다. 더욱이 악성코드의 정적분석은 많은 노력과 시간이 소모되는 작업이며, 최근 악성코드들은 대부분 정적분석 우회기술이 적용되어 대량으로 유포되는 실정이다. 그러므로 악성코드를 직접 실행시켜 발생되는 이벤트들을 수집하여 의미를 분석하는 동적분석이 활발하게 연구되고 있다. 본 논문에서는 악성코드에 적용된 동적분석 우회기술에 관하여 기술하고 나아가 동적분석 우회기술이 적용된 악성코드를 탐지하기 위한 방법에 관한 기술동향을 소개한다.

• Proceedings of the Korean Information Science Society Conference
• /
• 2011.06b
• /
• pp.79-82
• /
• 2011

무인기용 비행제어 소프트웨어는 인터럽트 핸들러에서 비결정적인 수행결과를 조래하는 경합이 발생될 수 있다. 이러한 유형의 경합을 탐지하기 위한 기존 방법은 원시 프로그램의 인터럽트 핸들러를 스레드로 변환하여 정적 경합탐지 도구를 사용하므로 프로그램 수행 시 실제 발생하지 않는 부정확한 경합(false positives)를 보고한다. 본 연구는 부정확한 경합 보고를 줄이기 위해서 원시 프로그램을 POSIX 실시간 스레브 프로그램으로 변환하고 Lockset기반 탐지기법 의해서 탐지된 공유변수를 대상으로 Happens-before 관계 분석기법을 이용하여 경합을 탐지하는 동적 경합탐지 도구를 사용한다. 제시된 방법의 실험을 위해서 Knob Assembly에 탑재되는 비행제어 소프트웨어를 대상으로 정적 경합탐지 도구와 동적 경합탐지 도구의 경합탐지 결과를 비교 분석한다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2014.11a
• /
• pp.388-391
• /
• 2014

JavaScript는 AJAX와 같은 기술을 통해 정적인 HTML에 동적인 기능을 제공하며 그 쓰임새는 HTML5 등장 이후 더욱 주목받고 있는 기술이다. 그와 비례하여 JavaScript를 이용한 공격( DoS 공격, 기밀정보 누출 등 ) 또한 큰 위험으로 다가오고 있다. 이들 공격은 실제적인 흔적을 남기지 않기 때문에 JavaScript 코드 상에서 악성 행위를 판단해야 하며, 웹브라우저가 JavaScript 코드를 실행해야 실제적인 행위가 일어나기 때문에 이를 방지하기 위해선 실시간으로 악성 스크립트를 분별하고 파악할 수 있는 분석 기술이 필요하다. 본 논문은 이런 악성 스크립트를 탐지하는 분석엔진 기술을 제안한다. 이 분석 엔진은 시그니쳐 기반 탐지 기술을 이용한 정적 분석과 행위 기반 탐지 기술을 사용하는 동적 분석으로 이루어진다. 정적 분석은 JavaScript 코드에서 악성 스크립트 코드를 탐지하고 동적 분석은 JavaScript 코드의 실제 행위를 분석하여 악성 스크립트를 판별한다.