• Title/Summary/Keyword: 서명기반탐지

Search Result 19, Processing Time 0.027 seconds

Defense Techniques of Smishing Attacks Using Electronic signature on Network Environment (전자서명을 이용한 스미싱 공격 방어 기법)

  • Choi, Byung-Hwan
    • Annual Conference of KIPS
    • /
    • 2014.11a
    • /
    • pp.399-402
    • /
    • 2014
  • 본 논문에서는 스미싱 공격에 대해서 Host기반에 의한 탐지가 아닌 네트워크 기반에서 전자서명을 이용한 모델을 제안한다. 본 모델은 네트워크 기반에서 유입된 트래픽 중 문자 메시지를 분석하여, 문자메시지 중에서 URL이 포함된 경우 트래픽을 우회하여 라우팅을 전환시켜 URL을 포함한 문자메시지 트래픽에 대해서 별도의 망구간으로 분리를 시킨다. 별도 분리된 URL이 포함된 트래픽에 대해서 apk파일 다운로드가 없는 경우에는 통과를 시키고, apk 파일 다운로드를 시도하는 트래픽에 대해서는 전자서명을 검사후, 등록이 안되어 있는 경우 차단을 한다. 이는 기본적으로 전자서명이 되지 않은 apk파일에 대한 다운로드를 원천적으로 봉쇄함으로써 스미싱 공격에 대한 근복적인 방어를 하는 방식이다. 본 모델은 Host기반에서 발생할 수 있는 우회공격을 방지하여 스미싱 위협을 해소할 수 있다. 기존 Host기반 스미싱 방지 모델의 동작 방식과 설계를 통해 장점과 단점을 언급하고 네트워크 기반에서 전자서명을 이용한 스미싱 방어의 타당성을 증명하도록 한다.

An Implementation Method of LSM Based System Security Monitoring (LSM 기반 시스템 보안 모니터링 구현 방법)

  • Cho, Sung-Mok
    • Proceedings of the KAIS Fall Conference
    • /
    • 2011.12b
    • /
    • pp.562-564
    • /
    • 2011
  • 본 논문에서는 리눅스 운영체제를 기반으로 오픈 소스 침입탐지 시스템인 Snort 등울 LSM(Linux Security Module) 구조의 hooking 부분에 구현시켜 보안 관리자가 의도하는 포트 스캔, DDOS 공격, ARP/IP 위장, 서명 탐지 등이 가능하도록 시스템을 구현하는 방법을 제시하고자 한다.

  • PDF

A Design of Security Protocol for Mobile Agent Systems Applying the Identity-based Digital Signature Scheme (ID 기반의 디지털 서명 기술을 적용한 이동 에이전트 시스템의 보안 프로토콜 설계)

  • 김성열;한승조;배용근;정일용
    • The Journal of Korean Institute of Communications and Information Sciences
    • /
    • v.26 no.10A
    • /
    • pp.1706-1716
    • /
    • 2001
  • 이동에이전트 시스템은 기하급수적으로 증가하는 분산처리 환경과 이동컴퓨팅에 기여할 수 있다는 점으로 인해 주목받고 있는 기술이지만, 심각한 보안문제를 안고 있다. 본 논문에서는 ID 기반의 디지털 다중 서명 기술을 이용하여 이동 에이전트 시스템의 보안문제에 대한 효율적인 해결책을 제시하고자 한다. 이를 위하여 본 연구는 이동 에이전트 시스템이 가질 수 있는 보안 위협 요소를 분석하였다. 이러한 보안 위협은 적절한 보안 기술의 적용으로 해결될 수 있을 것으로 판단된다. 따라서 본 논문은 여러 사용자가 공동의 메시지를 전자적으로 서명하는 보안 기술인 디지털 다중 서명(Digital Multi-signature)기법과 ID에 기반한 키(key) 분배 기법을 이용하여 이동 에이전트 시스템의 보안 문제를 해결하기 위한 새로운 방법을 제안한다. 제안된 이동 에이전트 보안 프로토콜은 키 분배 및 관리의 단순화, 인증 절차의 단순화, 에이전트 실행 플랫폼의 인증과 송수신 부인 방지 기능을 제공, 생명성을 보장, 실행 결과 데이터의 기밀성, 무결성의 보장한다. 그리고 에이전트 실해의 전 단계를 매 시스템마다 검증함으로써 변경 또는 삭제시 곧바로 탐지한다.

  • PDF

A Study on Malware Detection based on Opcode and Call Graph (Opcode 및 Call Graph 기반 악성코드 탐지 연구)

  • Jinha Kim;Eul Gyu Im
    • Annual Conference of KIPS
    • /
    • 2024.10a
    • /
    • pp.286-289
    • /
    • 2024
  • 본 논문에서는 악성코드 탐지를 위한 정적 분석 기반의 새로운 기법을 제안한다. 본 연구는 악성코드 파일에서 Opcode와 Call Graph를 각각 추출하고, 이를 바탕으로 두 가지 머신러닝 모델을 학습한 후 앙상블 기법을 사용하여 최종적으로 악성코드를 분류하는 방법론을 제시한다. Opcode 기반 분석에서는 어셈블리어를 추출하여 정규표현식을 이용해 명령어를 추출했고 N-gram 기법을 활용해 명령어의 흐름을 분석한다. Call Graph 분석에서는 함수 호출 관계를 추출하고 Diffpool 기법을 통해 그래프를 벡터화한다. 제안된 시스템은 개별 모델의 장점을 결합하였고 적은 데이터에 비해 높은 정확도와 탐지율을 달성한다. 특히, 신종 악성코드나 변종 악성코드를 탐지하는 데 있어서 기존 서명 기반 기법에 비해 더 높은 성능을 보일 가능성이 높다. 실험 결과, 91%의 정확도와 88%의 재현율을 보여주어 높은 결과를 나타냈다. 본 연구는 악성코드 탐지 분야에서 정적 분석 기법의 가능성을 제안한다.

Design and Implementation of Android Repackaging Detection Technique (안드로이드 리패키징(Repackaging) 탐지 기술 설계 및 구현)

  • Park, Jong-seop;Park, Sang-ho;Park, Chanam;Lee, Jong-ho;Shin, Donghwi
    • Annual Conference of KIPS
    • /
    • 2012.04a
    • /
    • pp.661-664
    • /
    • 2012
  • 스마트폰 사용이 급증하고 있는 현재, 안드로이드 OS 기반 스마트폰 점유율이 가장 큰 상승세를 보이고 있다. 하지만 안드로이드 OS는 자가-서명 인증서(self-signed certificate)로 애플리케이션을 검증하여, 많은 보안상의 취약점을 내재하고 있다. 자가-서명 인증서의 검증 취약점을 이용하여, 악의적인 공격자는 기존 정상 애플리케이션에 악성코드를 삽입, 리패키징(Repackaging) 하여 마켓에 유포할 수 있다. 이러한 문제를 해결하기 위해서, 본 논문에서는 안드로이드 애플리케이션의 서명 파일을 이용한 애플리케이션 리패키징 여부를 탐지하는 기술을 설계 및 구현한다.

A Method for Detection of Private Key Compromise (서명용 개인키 노출 탐지 기법)

  • Park, Moon-Chan;Lee, Dong-Hoon
    • Journal of the Korea Institute of Information Security & Cryptology
    • /
    • v.24 no.5
    • /
    • pp.781-793
    • /
    • 2014
  • A Public Key Infrastructure (PKI) is security standards to manage and use public key cryptosystem. A PKI is used to provide digital signature, authentication, public key encryption functionality on insecure channel, such as E-banking and E-commerce on Internet. A soft-token private key in PKI is leaked easily because it is stored in a file at standardized location. Also it is vulnerable to a brute-force password attack as is protected by password-based encryption. In this paper, we proposed a new method that detects private key compromise and is probabilistically secure against a brute-force password attack though soft-token private key is leaked. The main idea of the proposed method is to use a genuine signature key pair and (n-1) fake signature key pairs to make an attacker difficult to generate a valid signature with probability 1/n even if the attacker found the correct password. The proposed method provides detection and notification functionality when an attacker make an attempt at authentication, and enhances the security of soft-token private key without the additional cost of construction of infrastructure thereby extending the function of the existing PKI and SSL/TLS.

Design and Implementation of a Web Application Firewall with Multi-layered Web Filter (다중 계층 웹 필터를 사용하는 웹 애플리케이션 방화벽의 설계 및 구현)

  • Jang, Sung-Min;Won, Yoo-Hun
    • Journal of the Korea Society of Computer and Information
    • /
    • v.14 no.12
    • /
    • pp.157-167
    • /
    • 2009
  • Recently, the leakage of confidential information and personal information is taking place on the Internet more frequently than ever before. Most of such online security incidents are caused by attacks on vulnerabilities in web applications developed carelessly. It is impossible to detect an attack on a web application with existing firewalls and intrusion detection systems. Besides, the signature-based detection has a limited capability in detecting new threats. Therefore, many researches concerning the method to detect attacks on web applications are employing anomaly-based detection methods that use the web traffic analysis. Much research about anomaly-based detection through the normal web traffic analysis focus on three problems - the method to accurately analyze given web traffic, system performance needed for inspecting application payload of the packet required to detect attack on application layer and the maintenance and costs of lots of network security devices newly installed. The UTM(Unified Threat Management) system, a suggested solution for the problem, had a goal of resolving all of security problems at a time, but is not being widely used due to its low efficiency and high costs. Besides, the web filter that performs one of the functions of the UTM system, can not adequately detect a variety of recent sophisticated attacks on web applications. In order to resolve such problems, studies are being carried out on the web application firewall to introduce a new network security system. As such studies focus on speeding up packet processing by depending on high-priced hardware, the costs to deploy a web application firewall are rising. In addition, the current anomaly-based detection technologies that do not take into account the characteristics of the web application is causing lots of false positives and false negatives. In order to reduce false positives and false negatives, this study suggested a realtime anomaly detection method based on the analysis of the length of parameter value contained in the web client's request. In addition, it designed and suggested a WAF(Web Application Firewall) that can be applied to a low-priced system or legacy system to process application data without the help of an exclusive hardware. Furthermore, it suggested a method to resolve sluggish performance attributed to copying packets into application area for application data processing, Consequently, this study provide to deploy an effective web application firewall at a low cost at the moment when the deployment of an additional security system was considered burdened due to lots of network security systems currently used.

Performance Comparison of Machine Learning Algorithms for Malware Detection (악성코드 탐지를 위한 기계학습 알고리즘의 성능 비교)

  • Lee, Hyun-Jong;Heo, Jae Hyeok;Hwang, Doosung
    • Proceedings of the Korean Society of Computer Information Conference
    • /
    • 2018.01a
    • /
    • pp.143-146
    • /
    • 2018
  • 서명기반 악성코드 탐지는 악성 파일의 고유 해싱 값을 사용하거나 패턴화된 공격 규칙을 이용하므로, 변형된 악성코드 탐지에 취약한 단점이 있다. 기계 학습을 적용한 악성코드 탐지는 이러한 취약점을 극복할 수 있는 방안으로 인식되고 있다. 본 논문은 정적 분석으로 n-gram과 API 특징점을 추출해 특징 벡터로 구성하여 XGBoost, k-최근접 이웃 알고리즘, 지지 벡터 기기, 신경망 알고리즘, 심층 학습 알고리즘의 일반화 성능을 비교한다. 실험 결과로 XGBoost가 일반화 성능이 99%로 가장 우수했으며 k-최근접 이웃 알고리즘이 학습 시간이 가장 적게 소요됐다. 일반화 성능과 시간 복잡도 측면에서 XGBoost가 비교 대상 알고리즘에 비해 우수한 성능을 보였다.

  • PDF

A Study on Malicious Code Detection Using Blockchain and Deep Learning (블록체인과 딥러닝을 이용한 악성코드 탐지에 관한 연구)

  • Lee, Deok Gyu
    • KIPS Transactions on Computer and Communication Systems
    • /
    • v.10 no.2
    • /
    • pp.39-46
    • /
    • 2021
  • Damages by malware have recently been increasing. Conventional signature-based antivirus solutions are helplessly vulnerable to unprecedented new threats such as Zero-day attack and ransomware. Despite that, many enterprises have retained signature-based antivirus solutions as part of the multiple endpoints security strategy. They do recognize the problem. This paper proposes a solution using the blockchain and deep learning technologies as the next-generation antivirus solution. It uses the antivirus software that updates through an existing DB server to supplement the detection unit and organizes the blockchain instead of the DB for deep learning using various samples and forms to increase the detection rate of new malware and falsified malware.

Detection of False Data Injection Attacks in Wireless Sensor Networks (무선 센서 네트워크에서 위조 데이터 주입 공격의 탐지)

  • Lee, Hae-Young;Cho, Tae-Ho
    • Journal of the Korea Society for Simulation
    • /
    • v.18 no.3
    • /
    • pp.83-90
    • /
    • 2009
  • Since wireless sensor networks are deployed in open environments, an attacker can physically capture some sensor nodes. Using information of compromised nodes, an attacker can launch false data injection attacks that report nonexistent events. False data can cause false alarms and draining the limited energy resources of the forwarding nodes. In order to detect and discard such false data during the forwarding process, various security solutions have been proposed. But since they are prevention-based solutions that involve additional operations, they would be energy-inefficient if the corresponding attacks are not launched. In this paper, we propose a detection method that can detect false data injection attacks without extra overheads. The proposed method is designed based on the signature of false data injection attacks that has been derived through simulation. The proposed method detects the attacks based on the number of reporting nodes, the correctness of the reports, and the variation in the number of the nodes for each event. We show the proposed method can detect a large portion of attacks through simulation.