• 한국정보통신학회:학술대회논문집
• /
• 한국해양정보통신학회 2004년도 춘계종합학술대회
• /
• pp.391-394
• /
• 2004

인터넷의 급속한 확장으로 인해 네트워크 공격기법의 패러다임의 변화가 시작되었으며 새로울 공격 형태가 나타나고 있으나 대부분의 침입 탐지 기술은 오용 탐지 기술을 기반으로 하는 시스템이주를 이루고 있어 알려진 공격 유형만을 탐지하고, 새로운 공격에 능동적인 대응이 어려운 실정이다. 이에 새로운 공격 유형에 대한 탐지력을 높이기 위해 인체 면역 메커니즘을 적용하려는 시도들이 나타나고 있다. 본 논문에서는 데이터 마이닝 기법을 이용하여 네트워크 패킷에 대한 정상 행위 프로파일을 생성하고 생성된 프로파일을 자기공간화 하여 인체면역계의 자기, 비자기 구분기능을 이용해 자기 인식 알고리즘을 구현하여 이상행위를 탐지하고자 한다. 자기인식 알고리즘의 하나인 Negative Selection Algorithm을 기반으로 anomaly detector를 생성하여 자기공간을 모니터하여 변화를 감지하고 이상행위를 검출한다. DARPA Network Dataset을 이용하여 시뮬레이션을 수행하여 침입 탐지율을 통해 알고리즘의 유효성을 검증한다.

• 정보처리학회논문지C
• /
• 제12C권7호
• /
• pp.1007-1014
• /
• 2005

최근 네트워크가 발전함에 따라 네트워크의 취약점을 이용한 침입과 공격이 많이 발생하고 있다. 네트워크에서 공격과 침입을 탐지하기 위해 규칙을 만들거나 패턴을 생성하는 것은 매우 어렵다. 대부분 전문가의 경험에 의해서 만들어지고, 많은 인력, 비용, 시간을 소비하고 있다. 본 논문에서는 전문가의 경험 없이 네트워크의 공격 행위를 효과적으로 탐지하기 위해서 네트워크 연결기반의 정보를 이용한 척도선정 기법과 탐지기법을 제안한다. 정상과 각 공격의 네트워크 연결 데이터를 추출하고, 상대 복잡도를 이용하여 복잡도의 임계값 설정함으로써 공격 탐지에 유용한 척도를 선정한다. 그리고 선정된 척도를 바탕으로 확률패턴을 생성하고 우도비 검증을 이용해 공격을 탐지한다. 이 탐지방법으로 임계값 조절에 따라 탐지율과 오탐율을 조절할 수 있었다. KDD CUP 99 데이터를 이용하여 공격행위를 분석, 분류하고, 결정트리 알고리즘의 규칙기반 탐지 결과와 비교함으로써 본 논문에서 제시한 기법이 유용함을 확인하였다.

• 한국게임학회 논문지
• /
• 제11권1호
• /
• pp.121-129
• /
• 2011

온라인 게임에서 오토 프로그램 또는 봇 프로그램으로 인하여 다양한 게임 서비스 피해사례가 발생하고 있다. 특히, 게임 머니 및 아이템의 비정상적인 수집은 게임이 가지는 본연의 재미를 잃어버리게 되고, 궁극적으로 게임 생명주기에 결정적 악영향을 미치게 된다. 본 논문은 게임 봇 감지를 위해 게임 행위 변화 패턴을 수집하고 분석하여 봇 탐지 방법에 적용한다. 인간의 게임 행위 변화 정보와 봇의 게임 행위 변화 정보를 이용하여 유사정도를 측정하고, 봇 탐지 기법에 활용하는 것이다. 실험에서는 서비스 중인 온라인 게임을 이용하여 사용자와 봇의 모델을 생성하고 유사성을 판별하였으며 적절한 결과를 확인하였다.

• 한국정보과학회:학술대회논문집
• /
• 한국정보과학회 2008년도 한국컴퓨터종합학술대회논문집 Vol.35 No.1 (D)
• /
• pp.97-100
• /
• 2008

PDoS (Path-based DoS) 공격은 J. Deng에 의해 처음 소개된 DoS 공격의 하나이다. PDoS 공격은 Base Station을 향해 대량의 bogus 패킷을 경로상에 플러딩하여 경로상에 있는 중간 노드들의 배터리 파워를 빠르게 소모를 시켜 수명을 단축시킨다. 그 결과 경로상의 중간 노드들은 수명을 마치게 되어 경로가 마비시켜 전체적으로 네트워크를 마비시킨다. 이런 PDoS 공격을 탐지하기 위해 J. Deng의 one-way hash function을 이용한 탐지방식은 매우 효율적이다. 하지만 공격자가 compromised node을 사용할 경우 이 탐지 기법은 소용이 없어진다. compromised node는 특성상 특별하게 눈에 띄는 비정상 행위를 하지 않는 이상 일반 노드와 구분하기가 힘들며 공격자에 의해 다른 여러 공격에 이용되어 무선 센서 네트워크 보안에 큰 위협이 된다. 이에 본 논문에서는 무선 센서 네트워크상에서 PDoS 공격을 야기하는 compromised node를 탐지하는 방법을 제안한다.

• 한국정보과학회:학술대회논문집
• /
• 한국정보과학회 2003년도 가을 학술발표논문집 Vol.30 No.2 (1)
• /
• pp.874-876
• /
• 2003

전산 시스템에 대한 침입에 대응하기 위하여 시스템 호출 감사자료 척도를 사용하여 은닉 마르코프 모델(HMM)에 적용하는 비정상행위 기반 침입탐지 시스템에 대한 연구가 활발하다. 하지만, 이는 일정한 임계간 이하의 비정상행위만을 감지할 뿐, 어떠한 유형의 침입인지를 판별하지 못한다. 이에 Viterbi 알고리즘을 이용하여 상태 시퀀스를 분석하고, 공격 유형별 표준 상태시퀀스와의 유사성을 측정하여 유형을 판별할 수 있는데, 외부 혹은 내부 환경에 따라 상태 시퀀스가 항상 규칙적으로 추출될 수 없기 때문에, 단순 매칭으로 침입 유형을 판별하기가 어렵다. 본 논문에서는 이러한 문제를 해결하기 위하여 시퀀스의 변형을 효과적으로 고려하는 편집거리(Edit distance)를 이용하여 어떠한 유형의 침입이 발생하였는지를 판별하는 방법을 제안한다. 본 논문에서는 루트권한을 취득하기 위한 대표적인 침입유형으로 가장 널리 쓰이는 버퍼오버플로우 공격에 대해 실험하였는데, 그 결과 세부적인 침입 유형을 잘 판별할 수 있음을 확인하였다.

• 사물인터넷융복합논문지
• /
• 제5권2호
• /
• pp.95-101
• /
• 2019

4차 산업혁명시대와 사물인터넷의 시대로 접어들면서 다양한 서비스가 빠르게 성장하고 있으며 관련된 다양한 연구가 활발히 진행중에 있다. 그중에서도 사물인터넷에서 사용이 되고 있는 다양한 디바이스에 대한 비정상행위에 대한 연구도 진행이 되고 있다. 초연결의 사회에서 하나의 잘못된 디바이스로 인한 피해가 발생하면 다양하게 연결되어 있는 시스템에 심각한 영향을 줄 수 밖에 없다. 본 논문에서는 이러한 사물인터넷 환경에서 디바이스에 대한 안전성을 높일 수 있는 방법과 안전하게 디바이스와 서비스를 이용하 수 있는 방법에 대하여 안티디버깅 기법, 이상 프로세스 탐지 기법, 백도어 탐지 기법 등 여러 가지 비정상적인 행위로 인한 위협요소에 대응하기 위한 기법을 제안한다.

• 한국정보과학회논문지:정보통신
• /
• 제31권6호
• /
• pp.556-565
• /
• 2004

알려지지 않은 악성 코드의 수행에 의한 피해를 막는 방법으로 프로그램의 실행 환경을 제한하는 '샌드박스' 기법이 많이 쓰여져 왔다. 코드의 비정상 행위를 탐지하는 이 기법은 구현 방식에 따라 적용성(configurability)과 편리성(ease of use) 간의 양면성(trade-off)을 가진다. 기존의 MAPbox는 이 두 가지를 동시에 만족 키기 위해 프로그램의 클래스별로 특정 샌드박스를 두는 클래스별 샌드박스 적용 기법을 사용한다[1]. 그러나, 이 방법은 정적으로 클래스의 수와 특성이 결정되므로 적용성에 한계가 있다. 본 논문에서는 MAPbox의 개념에 동적 클래스 생성 기능을 추가함으로써 적용성을 높이는 기법을 소개하고 이를 구현한다. 새로이 생성된 클래스에는 적절한 접근 제어를 가한다. MAPbox에 비해 적용성이 높아진 예로 MAPbox에서는 정상행위이지만 비정상행위로 판단되는 경우가 제안된 기법을 통해 올바르게 판단됨을 보인다. 또한 이 기법을 분석하고 실제로 구현하기 위해 어떠한 문제를 해결하였는지 보인다.

• 한국정보과학회:학술대회논문집
• /
• 한국정보과학회 2001년도 가을 학술발표논문집 Vol.28 No.2 (1)
• /
• pp.661-663
• /
• 2001

침입탐지 시스템은 내부자의 불법적인 사용, 오용 또는 외부 침입자에 의한 중요 정보 유출 및 변경을 알아내는 것으로서 각 운영체제에서 사용자가 발생시킨 키워드, 시스템 호출, 시스템 로그, 사용시간, 네트워크 패킷 등의 분석을 통하여 침입여부를 결정한다. 본 논문에서 제안하는 침입탐지시스템은 권한 이동 관련 이벤트 추출 기법을 이용하여 사용자의 권한이 바뀌는 일정한 시점만큼 기록을 한 후 HMM모델에 적용시켜 평가한다. 기존 실험에서 보여주었던 데이터의 신뢰에 대한 단점을 보완하기 위해 다량의 정상행위 데이터와 많은 종류의 침입유형을 적용해 보았고, 그 밖에 몇 가지 단점들을 수정하여 기존 모델에 비해 향상된 성능을 보이는지를 평가하였다 실험 결과 호스트기반의 침입에 대해서 매우 좋은 탐지율을 보여 주었고 F-P error(false positive error) 또한 매우 낮은 수치를 보여 주었다.

• 한국정보통신학회논문지
• /
• 제7권5호
• /
• pp.978-985
• /
• 2003

시스템에서 사용 패턴의 다양화 때문에 비정상 행위 탐지 IDS를 구현하는 것은 오용탐지 IDS를 구현하는 것보다 많은 어려움이 있다. 따라서 상용화되어 있는 대부분의 IDS는 오용 탐지 방법에 의한 것이다. 그러나 이러한 오용 탐지 방법에 의한 IDS는 변형된 침입 패턴이 발생할 경우 탐지해내 지 못한다는 단점을 가지고 있다. 본 논문에서는 감사데이터간의 침입 관계를 가지고 침입을 탐지하기 위해 데이터 마이닝 기법을 적용한다. 분산되어 있는 IDS에서의 에이전트는 시스템을 감시할뿐만 아니라 로그데이터까지 수집할 수 있다. 침입탐지시스템의 핵심인 탐지정확도를 높이기 위해 긍정적 결함이 최소화 되어야 한다. 따라서 감사데이터 학습단계에서 변형된 침입 패턴을 예측하기 위해서 데이터 마이닝 알고리즘을 적용한다.

• 한국항행학회논문지
• /
• 제17권6호
• /
• pp.816-822
• /
• 2013

최근 악성코드의 다양화와 변종 발생 주기가 기존대비 지극히 단시간에 이루어지고 있으며, 네트워크 환경 또한 기존 보다 그 속도와 데이터 전송량이 급격히 증가하고 있다. 따라서 기존 침입 탐지 연구 및 비정상 네트워크 행위 분석 연구와 같이 정상과 비정상 네트워크 환경을 구성하여 데이터를 수집 분석하는 것은 현실적으로 환경 구성에 어려움이 많다. 본 논문에서는 기존 단순 네트워크 환경이 아닌 근래 많이 연구가 진행되고 서비스가 활발히 이루어지고 있는 클라우드 환경에서의 악성코드 분석 데이터 수집을 통하여 보다 효과적으로 데이터를 수집하고 분석하였다. 또한 단순한 악성 코드 행위가 아닌 DNS 스푸핑이 포함된 봇넷 클라이언트와 서버를 적용하여 보다 실제 네트워크와 유사한 환경에서 악성 코드 데이터를 수집하고 분석하였다.