• Proceedings of the Korean Information Science Society Conference
• /
• 2007.06d
• /
• pp.489-494
• /
• 2007

침입방지 시스템(IPS, Intrusion Prevention System)은 인라인모드(in-line mode)로 네트워크에 설치되어, 네트워크를 지나는 패킷 또는 세션을 검사하여 만일 그 패킷에서 공격이 감지되면 해당 패킷을 폐기하거나 세션을 종료시킴으로서 외부의 침입으로부터 네트워크를 보호하는 시스템을 의미한다. 침입방지 시스템은 크게 두 가지 종류의 동작을 수행한다. 하나는 이미 알려진 공격으로부터 방어하는 시그너처 기반 필터링(signature based filtering)이고 다른 하나는 알려지지 않은 공격이나 비정상 세션으로부터 방어하는 자기 학습 기반의 변칙 탐지 및 방지(anomaly detection and prevention based on selflearning)이다. 시그너처 기반 필터링에서는 침입방지시스템을 통과하는 패킷의 페이로드와 시그너처라고 불리는 공격 패턴들과 비교하여 같으면 그 패킷을 폐기한다. 시그너처의 개수가 증가함에 따라 하나의 들어온 패킷에 대하여 요구되는 패턴 매칭 시간은 증가하게 되어 패킷지연 없이 동작하는 고성능 침입탐지시스템을 개발하는 것이 어렵게 되었다. 공개 침입방지 소프트웨어인 SNORT를 위한 여러 개의 효율적인 패턴 매칭 방식들이 제안되었는데 시그너처들의 공통된 부분에 대해 한번만 매칭을 수행하거나 한 바이트 단위 비교대신 여러 바이트 비교 동작을 수행함으로써 불필요한 매칭동작을 줄이려고 하였다. 본 논문에서는 패턴 매칭 시간을 시그너처의 개수와 무관하게 하기 위하여 시그너처 해싱 기반에 기반한 고성능 침입방지시스템을 제안한다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2001.04a
• /
• pp.201-204
• /
• 2001

엔터프라이즈 환경에서 효율적인 EJB 컴포넌트 개발을 위하여 전표등록 패키지를 선정하여 설계시에 Factory Method 패턴과 Facade 패턴을 적용해보았다. 이 디자인 패턴의 적용에 EJB 기반 컴포넌트의 무상태 세션 빈과 상태유지 세션 빈 및 엔티티 빈을 사용하였다. 그 결과 설계시간과 재사용성 및 시스템의 안정성 측면에서 향상가능성을 확인할 수 있었다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2005.05a
• /
• pp.963-966
• /
• 2005

클라이언트/서버 기반 시스템은 응용 프로그램 사용에 있어, 각 클라이언트 별 셋업 및 유지 보수 등의 문제점이 있다. 이런 문제점의 대안으로 서버기반 컴퓨팅이 제시되었다. 이 환경에서 클라이언트는 터미널 서비스를 위해 서버에 접속하고, 로드 밸런서는 이에 대해 적절한 서버를 할당해주며 그에 따라 터미널 세션이 설정된다. 하지만 이 구조에는 터미널 세션의 유지와 사용자의 컴퓨팅 패턴 등에 의해 서버 부하가 가중되는 문제점이 있다. 따라서 본 연구에서는 클라이언트 별 터미널 서비스 사용량을 추출하고 그에 따라 사용자 패턴에 구분하여 로드 밸런싱 시 이를 적용함으로써 서버 자원의 분배를 보다 효율적으로 할 수 있게 되었다.

• Journal of the Korea Institute of Information Security & Cryptology
• /
• v.8 no.2
• /
• pp.67-80
• /
• 1998

논문에서는 프레임릴레이 프로토콜을 사용하는 암호 통신 시스템에 적합한 키 스트림 동기 방식을 제안하였다. 제안된 주소영역의 확장 비트를 이용한 키 스트림 동기 방식은 단위 측정 시간 동안 측정된 프레임릴레이 프로토콜의 주소영역의 확장 비트 정보와 플래그 패턴의 수신률을 이용하여 문턱값보다 적은 경우에 동기 신호와 세션 키를 전송하므로써 종래의 주기적인 동기 방식에서 전송 효율성 저하와 주기적인 상이한 세션 키 발생, 다음 주김까지 동기 이탈 상태로 인한 오류 확산 등의 단점을 해결하였다. 제안된 알고리즘을 데이터 링크 계층의 처리기능을 최소화하여 패킷 망의 고속화가 가능하도록 설계된 프레임릴레이 프로토콜에서 서비스되는 동기식 스트림 암호 통신 시스템에 적용하여 slip rate $10^{-7}$의 환경에서 주기가 Isec인 주기적인 동기 방식에서 요구되는 9.6*10/ sup 6/비트에 비해 6.4*$10^{5}$비트가 소요됨으로써 전송율 측면에서의 성능 향상과 오복호율과 오복호율과 오복호 데이터 비트 측면에서 성능 향상을 얻었다.다.

• Journal of the Korea Institute of Information Security & Cryptology
• /
• v.22 no.6
• /
• pp.1315-1324
• /
• 2012

Security visualization is a form of the data visualization techniques in the field of network security by using security-related events so that it is quickly and easily to understand network traffic flow and security situation. In particular, the security visualization that detects the abnormal situation of network visualizing connections between two endpoints is a novel approach to detect unknown attack patterns and to reduce monitoring overhead in packets monitoring technique. However, the session-based visualization doesn't notice a difference between normal traffic and attacks that they are composed of similar connection pattern. Therefore, in this paper, we propose an efficient session-based visualization method for analyzing and detecting between normal server activities and attacks by using the IP address splitting and port attributes analysis. The proposed method can actually be used to detect and analyze the network security with the existing security tools because there is no dependence on other security monitoring methods. And also, it is helpful for network administrator to rapidly analyze the security status of managed network.

• Proceedings of the Korean Information Science Society Conference
• /
• 2001.10b
• /
• pp.118-120
• /
• 2001

웹 이용 마이닝은 거대만 웹 데이터 저장소의 로그들을 이용하여 웹 사용자의 사용 패턴을 분석하는 데이터 마이닝 기술이다. 마이닝 기술을 적용하기 위해서는 전처리 과정 중의 사용자와 세션을 정확하게 구분해야 하는데, 표준 웹 로그 형식의 웹 로그만으로는 사용자를 완전히 구분할 수 없다. 따라서 정확한 결과를 얻기 위해 사용자와 세션을 구분할 수 있는 모듈을 웹 서버에서 제공하거나, 각각의 페이지에 적당한 실행 필드를 삽입해야 한다. 사용자와 세션을 구분하는 데는 캐시 문제, 방화벽 문제. IP(ISP)문제, 프라이버시 문제, 쿠키 문제 등 많은 문제들이 있지만, 이 문제를 해결하기 위한 명확한 방법은 아직 없다. 이 논문은 참조 로그와 에이전트 로그, 그리고 액세스 로그 등 서버측 클릭스트림 데이터만을 이용하여 사용자와 세션을 구분하는 방법을 제안한다.

• Journal of KIISE:Software and Applications
• /
• v.30 no.9
• /
• pp.843-849
• /
• 2003

Web usage mining is the technique of data mining that analyzes web users' usage patterns by large web log. To use the web usage mining technique, we have to classify correctly users and users session in preprocessing, but can't classify them completely by only log files with standard web log format. To classify users and user session there are many problems like local cache, firewall, ISP, user privacy, cookey etc., but there isn't any definite method to solve the problems now. Especially local cache problem is the most difficult problem to classify user session which is used as input in web mining systems. In this paper we propose a heuristic method which solves local cache problem by using only click stream data of server side like referrer log, agent log and access log, classifies user sessions and completes session.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2004.05a
• /
• pp.89-92
• /
• 2004

웹 로그에는 개별 사용자를 식별할 수 있는 사용자 정보와 세션 정보가 포함되어 사용자 식별과 해당 URL은 알 수 있지만, 그 URL에 해당하는 페이지내에 어느 객체에 관심이 있어 클릭하는지 알 수 없고, 페이지내에서 외부 사이트로의 링크 부분을 클릭했을 시 로그 파일에 기록이 되지 않는다. 본 연구에서는 세션과 사용자 중심의 로그 기록 방식에 객체를 추가함으로써 복잡하고 다양해지는 객체 요소(동영상, 오디오, 플래시 등)가 포함된 웹사이트에서는 객체 중심의 로그 기록 방식이 고객의 행동 패턴을 분석하여 세분화된 개인화 서비스에 보다 효율적임을 관찰하였다.

• The KIPS Transactions:PartC
• /
• v.11C no.6 s.95
• /
• pp.719-724
• /
• 2004

Recently, since the number of internet users is increasing rapidly and, by using the public hacking tools, general network users can intrude computer systems easily, the hacking problem is getting more serious. In order to prevent the intrusion, it is needed to detect the sign in advance of intrusion in a positive prevention by detecting the various foms of hackers' intrusion trials to know the vulnerability of systems. The existing network-based anomaly detection algorithms that cope with port- scanning and the network vulnerability scans have some weakness in intrusion detection. they can not detect slow scans and coordinated scans. therefore, the new concept of algorithm is needed to detect effectively the various forms of abnormal accesses for intrusion regardless of the intrusion methods. In this paper, SPAD(Session Pattern Anomaly Detector) is presented, which detects the abnormal service patterns by comparing them with the ordinary normal service patterns.

• Journal of KIISE:Computer Systems and Theory
• /
• v.34 no.10
• /
• pp.529-538
• /
• 2007

Fair Queueing algorithms based on Generalized Processor Sharing (GPS) not only guarantee sessions with service rate and delay, but also provide sessions with instantaneous fair sharing. This fair sharing distributes server capacity to currently backlogged sessions in proportion to their weights without regard to the amount of service that the sessions received in the past. From a long-term perspective, the instantaneous fair sharing leads to a different quality of service in terms of delay and bandwidth to sessions with the same weight depending on their traffic pattern. To minimize such long-term unfairness, we propose a delay-bandwidth normalization model that defines the concept of value of service (VoS) from the aspect of both delay and bandwidth. A model and a packet-by-packet scheduling algorithm are proposed to realize the VoS concept. Performance comparisons between the proposed algorithm and algorithms based on fair queueing and service curve show that the proposed algorithm provides better long-term fairness among sessions and that is more adaptive to dynamic traffic characteristics without compromising its service rate and delay guarantees.