• 한국전자통신학회논문지
• /
• 제11권11호
• /
• pp.1077-1082
• /
• 2016

MANET 라우팅 기능에 혼란을 초래하여 네트워크 전송기능을 저하시키는 악성공격에 대한 대응수단으로 IDS가 사용된다. 본 논문에서는 전송패킷의 일부를 공격대상으로 하는 그레이홀 공격이 있는 MANET에서 IDS가 전송성능에 미치는 영향을 분석하고, 그레이홀 공격에 대한 효과적인 IDS 조건을 살펴본다. 성능분석은 NS-2를 기반으로 하는 컴퓨터 시뮬레이션을 사용하며, VoIP를 응용서비스로 하여 전송성능을 측정한다. 음성전송의 표준전송품질척도인 MOS, CCR, 종단간지연 등을 성능측정 및 분석 파라미터로 사용한다.

• 한국컴퓨터정보학회논문지
• /
• 제11권5호
• /
• pp.157-164
• /
• 2006

최근에는 대부분의 인터넷 공격은 악성코드(Malware)에 의한 잘 알려지지 않은 제로데이 공격 형태가 주류를 이루고 있으며, 이미 알려진 공격유형들에 대해서 탐지하는 오용탐지 기술로는 이러한 공격에 대응하기가 어려운 실정이다. 또한, 다양한 공격 패턴들이 인터넷상에 나타나고 있기 때문에 기존의 정보 보호 기술로는 한계에 다다르게 되었고, 웹기반 서비스가 보편화됨에 따라 인터넷상에 노출된 웹 서비스가 주공격 대상이 되고 있다. 본 논문은 인터넷상의 트래픽 유형을 분류하고, 각 유형에 따른 이상 징후를 탐지하고 분석할 수 있는 비정상행위공격 탐지기술(Anomaly Intrusion Detection Technologies)을 포함하고 있는 위협관리 시스템(Threat Management System)을 제안한다.

• 한국통신학회논문지
• /
• 제41권9호
• /
• pp.1103-1107
• /
• 2016

현재까지 내부 네트워크에 접근하는 단말의 무결성을 검증하기 위한 방안으로 네트워크 접근제어 시스템 NAC(Network Access Control), 백신, 망분리, MDM(Mobile Device Management) 등 다양한 방법들을 이용하여 내부 네트워크의 자산을 보호하고자 하였다. 그러나 기존의 접근제어 시스템에서 사용하는 정책은 획일화 되어 사용자에게 적용되고 있고, 또한 APT(Advance Persistent Threat) 대응 솔루션, 방화벽, 백신 등의 보안 솔루션은 단말이 내부 네트워크에 접근한 이후에 이상 트래픽 등이 발생 시 이를 감지하고 처리하는 형태이므로 근본적으로 무결성 검사를 수행한 이후에 내부 네트워크에 접근하는 등의 방안이 필요하다. 따라서 본 논문에서는 악성코드에 감염된 단말이 내부 네트워크에 접속하기 이전에 이를 검증하고 조치하는 방안에 대한 보안네트워크 설계를 제시하고자 한다.

• 정보보호학회논문지
• /
• 제25권5호
• /
• pp.1043-1057
• /
• 2015

지능형 위협을 빠르게 인지하고 능동적으로 탐지 및 대응하기 위해 주요 공공단체 및 민간기관에서는 침입탐지시스템(IDS)을 관리 운영하고 있으며, 이는 공격의 검출 및 탐지에 매우 중요한 역할을 한다. 그러나 IDS 경보의 대부분은 오탐(false positive)을 생성하는 문제가 있다. 또한, 알려지지 않은 악성코드를 탐지하고 사전에 위협을 인지 대응하기 위해서 APT대응솔루션이나 행위기반체계를 도입 운영하고 있다. 이는 가상기술을 이용해 악성코드를 직접실행하고 가상환경에서 이상행위를 탐지하거나 또는 다른방식으로 알려지지 않은 공격을 탐지한다. 그러나 이 또한 가상환경 회피, 트래픽 전수조사에 대한 성능적 문제, 정책오류 등의 약점 등이 존재한다. 이에 따라 결과적으로 효과적인 침입탐지를 위해서는 보안관제 고도화가 매우 중요하다. 본 논문에서는 보안관제 고도화의 한가지 방안으로 침입탐지시스템의 주요 단점인 오탐(false positive)을 줄이는 방안에 대해 논한다. G기관의 경험적 데이터를 근거로 실험을 수행한 결과 세 가지 유형 11가지 규칙을 도출하였다. 이 규칙을 준수하여 테스트한 결과 전반적인 오탐율이 30%~50% 이상 줄어들고 성능이 30% 이상 향상됨을 검증하였다.

• 정보보호학회논문지
• /
• 제25권6호
• /
• pp.1455-1463
• /
• 2015

국가 주요기반 시설인 산업제어시스템이 스턱스넷과 같은 악성 웜에 감염되는 경우 국가적 재난이 발생할 수 있다. 따라서 산업제어시스템에 대한 정보보호 연구는 활발히 진행되고 있다. 하지만, 대부분의 산업제어시스템 방어는 이러한 위협으로부터 시스템을 보호하기 위한 네트워크에서의 침입 탐지에 초점이 맞춰져 있다. 현재 국내에서 연구되고 있는 기존의 방법은 네트워크 트래픽을 모니터링하고 변칙 패턴을 검출하는데 효과적이나 MITM 기법을 이용한 정상 패턴과 동일한 공격 유형은 탐지하기 어렵다. 본 연구에서는 실제 산업제어시스템 현장의 데이터를 수집하여 PROFINET/DCP 프로토콜과 취약점을 분석하고 인증데이터 필드를 추가하여 MITM 공격을 방어 가능한 개선된 프로토콜을 제시 하며 이에 대한 적용 가능성을 확인한다. 본 논문에서 제시하는 개선된 프로토콜을 실 적용시 MITM 공격으로 인해 발생할 수 있는 국가적 재난 발생을 방지할 수 있다.

• 융합보안논문지
• /
• 제6권1호
• /
• pp.1-11
• /
• 2006

최근 사이버테러의 급증은 정보사회의 근간을 위협하고 있고, 특히 악성 트래픽에 의한 네트워크마비는 단 시간 내에 국가적인 손실을 초래할 수 있어 이에 대한 대비책이 시급히 요구되고 있다. 이와 관련, 국가사이버안전 위협에 대한 신속한 대처능력확보를 위해 국가사이버위협 조기 예 경보시스템에 대해 많은 연구가 이루어지고 있으나 기술적인 문제와 함께 시스템의 효용성에 대한 한계 때문에 실용적인 연구가 가시화되지 못하고 있는 실정이다. 현재까지는 ESM, TMS 등을 이용한 제한적 자료수집분석을 통하여 보안관리자가 개개인의 경험을 바탕으로 예 경보 판단을 내려왔다. 이러한 판단은 상황에 따라 극히 위험한 결과를 초래 할 수도 있다. 이러한 문제점을 방지하기 위해 본 논문에서는 "지식기반을 이용한 실시간 사이버위협 조기 예 경보시스템"을 제안하였다. 제안된 시스템은 향후 사이버공격에 대해 체계적이고 보다 정확한 예 경보 판단을 내리는데 사용할 수 있다.

• 융합보안논문지
• /
• 제11권4호
• /
• pp.3-9
• /
• 2011

의료정보 네트워크 구조상에서는 트래픽 소통경로를 따라 악성코드 침투와 보안차단기능이 수행된다. 본 연구는 의료정보시스템 Network 보안 Infrastructure는 어떤 구조와 기준으로 설계되어야하는가에 대한 방법론 개발을 위해 보안기능을 설계한다. 의료정보시스템의 기능 프레임워크는 인프라 구조와 기능에 대한 기본골격과 체계이다. 기능 프레임워크 설계는 네트워크 구조 전반에 대한 골격을 형성하며 보안 방법론의 기본 구조를 형성한다. 기능 프레임워크가 구축됨으로서 인프라구조와 응용기능이 구현되기 때문이다. 보안기능 영역기준에 따라 차별화된 보안기능이 수행되고 보안메커니즘이 가동됨을 본 연구를 통해 제시하고자한다. 향후 클라우드 컴퓨팅 과 u-헬스케어 서비스등 도래하는 새로운 의료정보 환경에 대비하여 본 연구가 의료정보보안에 활용되기를 기대한다.

• 디지털융복합연구
• /
• 제19권9호
• /
• pp.463-468
• /
• 2021

IoT는 기술의 발전과 IoT 기기의 보급 및 서비스의 활성화로 폭발적인 증가세를 보이고 있지만, 최근 다양한 봇넷의 활동에 의해 심각한 보안 위험과 재정적 피해가 발생하고 있다. 따라서 이러한 봇넷의 활동을 정확하고 빠르게 탐지하는 것이 중요하다고 할 수 있다. IoT 환경에서의 보안은 최소한의 프로세싱 성능과 메모리로 운영을 해야 하는 특성이 있는 만큼, 본 논문에서는 탐지를 위한 최소한의 특성을 선택하고, KNN(K-Nearest Neighbor), Naïve Bayes, Decision Tree, Random Forest와 같은 머신러닝 알고리즘이 봇넷의 활동을 탐지하는 성능을 비교연구 하였다. Bot-IoT 데이터셋을 사용한 실험 결과는 적용한 머신러닝 알고리즘 중 KNN이 DDoS, DoS, Reconnaissance 공격을 가장 효과적이고 효율적으로 탐지할 수 있음을 보여주었다.

• 정보보호학회논문지
• /
• 제29권4호
• /
• pp.785-794
• /
• 2019

최근 4차 산업 혁명 기술 중 하나인 딥러닝(Deep Learning) 기술은 보안 분야에서는 탐지하기 어려운 네트워크 데이터의 숨겨진 의미를 식별하고 공격을 예측하는 데 사용되고 있다. 침입탐지에 사용될 딥러닝 알고리즘을 선택하기 전에 데이터의 속성과 품질 분석이 필요하다. 학습에 사용되는 데이터의 오염여부에 따라 탐지 방법에 영향을 주기 때문이다. 따라서 데이터의 특징을 파악하고 특성을 선정해야 한다. 본 논문에서는 네트워크 데이터 셋을 이용하여 악성코드의 단계적 특징을 분석하고 특성을 추출하여 딥러닝 모델을 적용하였을 때 각 특성이 성능에 미치는 영향을 분석하였다. 네트워크 특징에 따른 특성들의 비교에 대한 트래픽 분류 실험을 진행하였으며 선정한 특성을 기반으로 96.52% 정확도를 분류하였다.

• KNOM Review
• /
• 제22권1호
• /
• pp.42-51
• /
• 2019

최근 네트워크 환경은 고속화, 대용량화 등으로 인터넷 트래픽 발생량이 증가하고 있으며, 모바일 및 IoT 환경, 지속적으로 증가하는 어플리케이션, 악성행위로 인해 비공개 프로토콜 데이터가 늘어나고 있다. 이러한 비공개 프로토콜들의 대다수는 구조가 전혀 알려지지 않고 있다. 효율적인 네트워크 관리 및 보안을 위해 비공개 프로토콜의 구조 분석은 반드시 선행되어야 한다. 이를 위해 많은 프로토콜 리버스 엔지니어링 방법론이 제안되었지만, 적용하기에 각기 다른 단점이 존재한다. 본 논문에서는 CSP(Contiguous Sequential Pattern)와 SP(Sequential Pattern) Algorithm을 계층적으로 결합하여 네트워크 트레이스 분석 기반의 상세한 프로토콜 구조를 추론하는 방법론을 제안한다. 제안된 방법론은 선행 연구인 A²PRE을 개선하는 방식으로 설계 및 구현을 하였으며 다른 방법론과 성능 비교를 위해 성능지표를 정의하고 HTTP, DNS 프로토콜의 예를 통해 제안하는 방법론의 우수성을 설명한다.