• 정보보호학회지
• /
• 제17권2호
• /
• pp.80-89
• /
• 2007

네트워크 트래픽에서 비정상(anomaly)을 탐지하는 것은 아주 중요하지만 아직 완전히 해결되지 않은 문제이다. 비정상 유형을 관찰하기 위하여 일반적으로 트래픽 플로(traffic flow)를 감시한다. 트래픽 플로는 여러 가지 네트워크 트래픽의 형태를 제시한다. 이런 트래픽 플로의 집합에 대한 분석은 매우 복잡한 문제이고, 또한 트래픽 플로 수집을 위해서는 많은 자원이 소요된다. 본 논문에서는 비정상 트래픽 유형을 공격 형태 및 트래픽 플로 두 가지의 다른 측면에서 제시하고 그 특성을 기술한다. 그리고 앞으로 나타날 새로운 웜 공격 유형에 대하여도 제시한다.

• 한국지능시스템학회:학술대회논문집
• /
• 한국지능시스템학회 2007년도 추계학술대회 학술발표 논문집
• /
• pp.357-361
• /
• 2007

비정상 트래픽 제어 프레임워크에 적용된 비정상 트래픽 제어 기술은 침입, 분산서비스거부 공격, 포트스캔 공격과 같은 비정상 행위의 트래픽을 제어하는 공격 대응 방법이다. 이 대응 방법은 비정상 행위에 대한 true-false 방식의 공격 대응 방법이 가지는 높은 오탐율(false-positive rate)을 낮출 수 있다는 장점이 있지만, 공격 지속시간에만 의존하여 비정상 트래픽을 판단하기 때문에, 공격에 대한 신속한 대응을 하지 못한다는 한계를 가지고 있다. 이에 본 논문에서는 비정상 트래픽 제어 프레임워크에 퍼지 로직을 적용하여 신속한 공격 대응이 가능한 포트스캔 공격 탐지 기법을 제안한다.

• 대한전자공학회논문지TC
• /
• 제43권7호
• /
• pp.84-92
• /
• 2006

서비스거부 공격 또는 분산서비스거부 공격과 같이 단시간 동안 대량의 비정상 트래픽이 발생하였을 경우, 이에 대응하기 위한 기법들에 대해 많은 연구가 진행되었다. 본 논문에서는 비정상 트래픽에 대응하기 위한 대표적인 기법들인 공격차단 기법과 공격경감 기법을 이론적으로 비교한 내용을 보이고자 한다. 공격차단 기법은 일반적으로 필터링 규칙을 기반으로 특정 네트워크로 유입된 네트워크 트래픽에 대해 통과 또는 차단을 실시하는 기법을 의미한다. 그리고 공격경감 기법은 트래픽 전송경로 상에 존재하는 라우터에서 각 라우터들이 가지고 있는 비정상 트래픽 정보를 기반으로 해당 트래픽에 대해 필터링 작업을 실시하거나, 목적지 네트워크의 게이트웨이 상에서 유입된 트래픽의 서비스품질을 제어하는 방법으로 비정상 트래픽에 대해 대응 작업을 실시하는 기법을 의미한다. 비교 기준으로는 공격탐지루틴이 동작한 후, 통과하는 정상 트래픽과 오탐지 트래픽 비율로 하며, 공격경감 기법에 사용할 수 있는 구체적인 트래픽 대역폭 비율을 추가로 보이도록 한다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2005년도 춘계학술발표대회
• /
• pp.1185-1188
• /
• 2005

비정상 행위에 대한 true/false 방식의 공격 탐지 및 대응방법은 높은 오탐지율(false-positive)을 나타내기 때문에 이를 대체할 새로운 공격 탐지방법과 공격 대응방법이 연구되고 있다. 대표적인 연구로는 트래픽 제어 기술을 이용한 단계적 대응방법으로, 이 기술은 비정상 트래픽에 대해 단계적으로 대응함으로써 공격의 오탐지로 인하여 정상 서비스를 이용하는 트래픽이 차단되지 않도록 하는 기술이다. 비정상 트래픽 중 포트스캔 공격은 네트워크 기반 공격을 위해 공격대상 호스트의 서비스 포트를 찾아내는 공격으로 이 공격을 탐지하기 위해서는 일정 시간동안 특정 호스트의 특정 포트에 보내지는 패킷 수를 모니터링 하여 임계치와 비교하는 방식의 true/false 방식의 공격 탐지방법이 주로 사용되었다. 비정상 트래픽 제어 프레임워크(Abnormal Traffic Control Framework)는 true/false 방식의 공격 탐지방법을 이용하여 공격이 탐지되었을 때, 처음에는 트래픽 제어로 대응하고 같은 공격이 재차 탐지되었을때, 차단하여 기존의 true-false 방식의 공격 탐지 및 대응방법이 가지는 높은 오탐지율을 낮춘다. 하지만 포트스캔 공격의 특성상, 공격이 탐지된 후 바로 차단하지 못하였을 경우, 이미 공격자가 원하는 모든 정보를 유출하게 되는 문제가 있다. 본 논문에서는 기존의 True/False 방식의 포트스캔 공격 탐지방법에 퍼지 로직 개념을 추가하여 공격 탐지의 정확성을 높이고 기존의 탐지방법을 이용하였을 때보다 신속한 트래픽 제어 및 차단을 할 수 있는 방법을 제안한다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2006년도 춘계학술발표대회
• /
• pp.901-904
• /
• 2006

인터넷 사용자들의 무선 네트워크의 활용빈도가 점차 높아지고 무선 네트워크의 보안시스템도 요구되면서 무선 네트워크의 안정적이고 원활한 활용과 사용자의 정보 노출의 위험을 줄이고자 유무선 통합형 IDS/IPS도 개발되고 있는 단계다. 본 논문에서는 무선랜 환경을 지원하는 유무선 IPS시스템을 구현하고, 비정상적인 트래픽 탐지의 효율성을 높여 IPS 시스템의 성능향상에 기여정도를 파악 및 분석하였다. 본 논문에서 구축한 IPS시스템은 하이브리드 형태로 구현하였으며 Snort-inline[11]과 Snort-wireless[12] 모듈을 사용하여 무선 랜 이상탐지 기능을 구현하였다. 네트워크 모니터링 시스템으로 네트워크의 트래픽 상황을 파악하여 비정상적인 트래픽이 증가되었을 경우, 제안한 IPS시스템에서 비정상 트래픽의 탐지 및 차단 기능을 기존 IPS와 성능을 비교/분석하였다.

• 정보보호학회논문지
• /
• 제16권1호
• /
• pp.55-63
• /
• 2006

Nimda, Code Red, 그리고 SQL Slammer 등과 같은 웜에 의한 피해 사례가 증가하면서 이를 방어하기 위한 대응 기술 연구가 활발히 진행되고 있다. 본 논문에서는 웜에 의해 발생한 비정상 트래픽을 효과적으로 차단할 수 있는 네트워크 대역폭 조절 방식의 단계적 대응 시스템 설계 내용을 보이고, 기존 패턴 기반 비정상행위탐지 방식의 이원적(True/False) 대응 기법과 이론적으로 비교하고자 한다. 일정 시간동안 특정 네트워크를 통과하는 정상 트래픽 비율과 오탐지 트래픽 비율을 비교 기준으로 하여 두 기법을 이론적으로 비교한 결과, 임의의 시간 동안 전체 네트워크 트래픽에서 비정상 트래픽이 차지하는 비율을 $\beta$라고 할 경우, 이원적 대응 기법에 비하여 단계적 대응 기법의 평균 정상트래픽 비율은 (1+$\beta$)/2만큼 증가하고, 평균 오탐지 트래픽 비율은 (1+$\beta$)/2만큼 감소함을 알 수 있었다.

• 한국정보과학회:학술대회논문집
• /
• 한국정보과학회 2000년도 가을 학술발표논문집 Vol.27 No.2 (3)
• /
• pp.493-495
• /
• 2000

인터넷의 급속한 증가는 네트워크상의 트래픽 형성에 중요한 변화를 가져오게 되었다. 통신 성능 향상을 지원하는 과정에서 여러 가지 통신상의 이상 현상들이 발생하게 되었으며, 그로 인한 통신상의 성능 문제에 부딪히게 되었다. 본 논문에서는 이러한 네트워크상의 비정상적인 트래픽의 예 중에서 비순서적 도착(Out-of-Order)에 대해서 실험을 하였으며, 트래픽 컨디셔너라는 개념과 이 개념을 도입한 독립형 구현 모델을 이용해서 네트워크상의 통신 성능을 개선하는 방법에 대해서 설명한다.

• 한국산학기술학회논문지
• /
• 제15권8호
• /
• pp.5256-5262
• /
• 2014

최근 국가기관, 언론사, 금융권 등에 대하여 분산 서비스 거부(Distributed Denial of Service, DDoS) 공격, 악성코드 유포 등 무차별 사이버테러가 발생하고 있다. DDoS 공격은 네트워크 계층에서의 대역폭 소모를 주된 공격 방법으로 정상적인 사용자와 크게 다르지 않는 패킷을 이용하여 공격을 하기 때문에 탐지 및 대응이 어렵다. 이러한 인터넷 비정상적인 트래픽이 증가하여 네트워크의 안전성 및 신뢰성을 위협하고 있어 비정상 트래픽에 대한 발생 징후를 사전에 탐지하여 대응할 수 있는 방안의 필요성이 대두되고 있다. 본 연구에서는 비정상 트래픽 탐지 기법에 대한 현황 및 문제점을 분석하고, 예측방법인 추세 모형, 지수평활법, 웨이브렛 분석 방법 등을 비교 분석하여 인터넷 트래픽의 특성을 실시간으로 분석 및 예측이 가능한 가장 적합한 예측 모형을 이용한 탐지 방법을 제안하고자 한다.

• 한국컴퓨터정보학회논문지
• /
• 제13권3호
• /
• pp.139-146
• /
• 2008

웹 서비스를 이용한 개인 정보 유출은 보안시스템 구축에도 불구하고 급격하게 줄어들지 않고 있다. 방화벽 시스템 구축 후에도 HTTP 80 port나 HTTPS의 443 port는 외부로부터의 접근을 허용하여 지속적으로 서비스를 하고 있으므로 웹 어플리케이션으로 유입되는 트래픽은 취약하다. 따라서 본 논문에서는 웹 서비스 환경으로 유입되는 다양한 형태의 공격 패턴 및 취약한 트래픽을 분석하여 정상 트래픽과 비정상 트래픽을 분류하였다. 분류된 비정상 트래픽을 대상으로 OWASP(Open Web Application Security Project)에서 권고한 웹 어플리케이션 보안취약점을 바탕으로 공격 패턴을 분석하고, 실시간 공격탐지 및 차단이 가능한 시스템을 설계하여 웹 어플리케이션의 보안 취약성을 이용한 다양한 공격 패턴을 즉각적이며, 효과적으로 방지하여 유해한 공격 트래픽으로부터 공격방지 효율을 높일 수 있는 방법을 제안하였다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2005년도 춘계학술발표대회
• /
• pp.1103-1106
• /
• 2005

IPv4 프로토콜의 주소 고갈 문제를 해결하기 위하여 IPv6 프로토콜이 제안되었고 한국전산원의 발표에 의하면 2010년 이후에는 IPv6 프로토콜이 광범위하게 사용될 것이라고 한다. 이러한 IPv6 프로토콜은 IPv4 프로토콜의 단점들을 해결하기 위하여 ND(Neighbor Discovery) 메커니즘, 주소자동설정, IPsec 등의 기술을 지원하며, 특히 IPv6 프로토콜은 보안 문제를 해결하기 위해서 인증, 데이터 무결성 보호를 위한 IPsec 기술을 사용한다. 이러한 IPsec 기술은 패킷 정보를 보호하기 위한 목적으로 사용되기 때문에 불특정 다수의 사용자를 대상으로 하는 네트워크에 행해지는 분산 서비스 거부 공격과 같은 비정상 대용량 트래픽에 대한 탐지 및 차단에 어려움이 있다. 현재 IPv6 프로토콜을 지원하는 네트워크 공격 대응 기술로 IPv6 네트워크용 방화벽/침입탐지 시스템이 개발되어 제품으로 판매되고 있지만, 대용량의 비정상 트래픽 대응 기술을 탐지하고 차단하기에는 한계가 있다. 본 논문에서는 IPv6 네트워크 환경에서 이러한 대용량의 비정상 트래픽을 제어할 수 있는 프레임워크를 제시한다.