• Journal of the Korea Convergence Society
• /
• v.9 no.7
• /
• pp.55-62
• /
• 2018

Recently, as the threat of cyber crime increases, the importance of security control to cope with cyber attacks on the information systems in the first place such as real-time detection is increasing. In the name of security control center, cyber terror response center and infringement response center, institutional control personnel are making efforts to prevent cyber attacks. Especially, we are detecting infringement accident by using network security equipment or utilizing control system, but it's not enough to prevent infringement accident by just controlling based on device-driven simple patterns. Therefore, the security control system is continuously being upgraded, and the development and research on the detection method are being actively carried out by the prevention activity against the threat of infringement. In this paper, we have defined the method of detecting infringement of major component module in order to improve the problem of existing infringement detection method. Through the performance tests for each module, we propose measures for effective security control and study effective infringement threat detection method by upgrading the control system using Security Information Event Management (SIEM).

• Proceedings of the Korea Information Processing Society Conference
• /
• 2021.05a
• /
• pp.216-218
• /
• 2021

최근 침입 탐지 시스템은 기존 시그니처 기반이 아닌 AI 기반 연구로 많이 진행되고 있다. 이는 시그니처 기반의 한계인 이전에 보지 못한 악성 행위의 탐지가 가능하기 때문이다. 또한 로그 정보는 시스템의 중요 이벤트를 기록하여 시스템의 상태를 반영하고 있기 때문에 로그 정보를 사용한 침입 탐지 시스템에 대한 연구가 활발히 이루어지고 있다. 하지만 로그 정보는 시스템 상태의 일부분만 반영하고 있기 때문에, 회피하기 쉬우며, 이를 보완하기 위해 system call 정보를 사용한 멀티 모달 기반 침입 시스템을 제안한다.

• Proceedings of the Korean Information Science Society Conference
• /
• 2008.06d
• /
• pp.66-70
• /
• 2008

진화되고 위협적인 사이버공격 및 피해가 증가함에 따라 기업이나 기관의 정보보호에 대한 책임도 증가하게 되었다. 이에 종합적인 컴퓨터 범죄 재현과 정확한 침입경로 및 피해규모, 정보의 신뢰성을 파악하기 위한 컴퓨터 포렌식에 대한 연구가 활발해 지고 있다. 이에 대부분의 기업이나 조직에서 이기종의 보안장비에서 발생하는 다량의 경보와 이벤트를 효과적으로 수집, 통합하고 상호연관분석 할 수 있는 통합보안관리시스템(ESM)을 도입하여 운영하고 있으나 많은 경보발생으로 인해 적절한 판단이나 분석 및 효율적인 대응이 이루어지고 있지 않다. 이에 본 논문에서는 수집되는 증거의 범위를 재 정의하고, 이벤트 상관분석을 통해 발생된 침해경보에 대해 경보검증을 적용하여 경보의 오탐율을 감소시켰으며, 검증된 경보에 대해서 신속히 분석 및 대응이 이루어지는 포렌식 모델을 제안한다. 이를 통해 오탐율 감소는 물론 신속하고 신뢰성 있는 탐지 및 침해 분석이 가능하다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2001.04b
• /
• pp.1089-1092
• /
• 2001

IDS 에서 가장 중요한 것은 침입을 논리적으로 모델링하고, 이것을 센싱 할 수 있는 Filter 의 개발이며 Filter 에서 발생한 이벤트들에서 특정 공격 행위를 인식할 수 있는 신호인 Signature 의 정의를 통해 이벤트 스트림에서 Signature 를 자동으로 인식할 수 있는 방법에 대한 연구가 가장 핵심적이라고 할 수 있다. 본 논문은 이러한 filter 와 Signature 에서 사용할 수 있도록 특징들이 정의 되어있는 양식으로 원시 데이터로부터 profile 을 생성 filter 와 signature 에서 탐지할 수 있는 모듈을 적용할 수 있도록 네트웍과 host input stream 등의 raw audit data 에서 특징을 추출 Feature Construction 작성에 대한 연구이다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2013.11a
• /
• pp.744-746
• /
• 2013

서버는 사용자의 요청에 따라 정보를 제공한다. 사용자는 외부 혹은 내부 네트워크에서 서버에 접근하여 데이터를 요청하고, 서버는 서버 내의 데이터 스토어에 저장되어 있는 데이터들을 지정된 방식에 맞게 사용자에게 보여주게 된다. 이러한 일련의 처리 과정들은 서버의 로그로 보관되어지며, 로그는 처리 과정의 세부적인 정보들을 가지고 있다. 서버 관리자는 로그에 기록되어 있는 정보들을 이용해 사용자의 행동을 파악할 수 있으며, 악의적이거나 잘못된 접근 또한 감지할 수 있다. 로그데이터 안에는 접속시간, 사용자 IP, 포트정보, 프로토콜정보, 이벤트 등 사용자가 활동한 흔적들이 기록된다[1]. 어떤 사용자가 언제 어떠한 경로로 어떠한 행위를 하였는지에 대하여 로그는 기록하고 있다. 본 논문에서는 이벤트로 서버에 요청하는 쿼리문과 사용자의 IP주소를 이용하여 사용자의 행동 패턴을 파악하고 분석하며, 분석된 행동 패턴과 사용자 정보를 기반으로 악의적인 접근을 방지하고 통제하고자 한다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2008.05a
• /
• pp.500-503
• /
• 2008

임베디드 시스템이 소형화되면서도 많은 기능들이 요구됨에 따라 여기에 올라가는 임베디드 소프트웨어 역시 점점 복잡해지고 있다. 특히 멀티 쓰레드 환경에서 수행되는 임베디드 소프트웨어의 경우, 실행도중 오류가 발생했을 때 버그의 원인을 찾기가 어려울 뿐 아니라, 버그를 재현하는 것 또한 쉽지 않다. 효과적인 디버깅을 하기 위해서는 프로그램 실행 중에 버그가 발생했던 상황을 그대로 재현해야 한다. 본 논문에서는 프로그램이 실행하는 도중에 이벤트가 발생하는 시점의 이벤트 정보를 record 하고, 나중에 이를 이용하여 버그가 발생한 시점으로 replay 할 수 있는 기법을 개발하였다. VPOS[1]에 이 기법을 적용함으로써 임베디드 소프트웨어의 결함을 좀더 쉽게 탐지하여 효율적인 디버깅이 가능하도록 하였다.

• Journal of KIISE:Information Networking
• /
• v.30 no.3
• /
• pp.397-406
• /
• 2003

As the information technology grows interests in the intrusion detection system (IDS), which detects unauthorized usage, misuse by a local user and modification of important data, has been raised. In the field of anomaly-based IDS several artificial intelligence techniques such as hidden Markov model (HMM), artificial neural network, statistical techniques and expert systems are used to model network rackets, system call audit data, etc. However, there are undetectable intrusion types for each measure and modeling method because each intrusion type makes anomalies at individual measure. To overcome this drawback of single-measure anomaly detector, this paper proposes a multiple-measure intrusion detection method. We measure normal behavior by systems calls, resource usage and file access events and build up profiles for normal behavior with hidden Markov model, statistical method and rule-base method, which are integrated with a rule-based approach. Experimental results with real data clearly demonstrate the effectiveness of the proposed method that has significantly low false-positive error rate against various types of intrusion.

• Convergence Security Journal
• /
• v.21 no.3
• /
• pp.57-66
• /
• 2021

As the detection performance using deep learning and machine learning of the intrusion detection field has been verified, the cases of using it are increasing day by day. However, it is difficult to collect the data required for learning, and it is difficult to apply the machine learning performance to reality due to the imbalance of the collected data. Therefore, in this paper, A mixed sampling technique using t-SNE visualization for imbalanced data processing is proposed as a solution to this problem. To do this, separate fields according to characteristics for intrusion detection events, including payload. Extracts TF-IDF-based features for separated fields. After applying the mixed sampling technique based on the extracted features, a data set optimized for intrusion detection with imbalanced data is obtained through data visualization using t-SNE. Nine sampling techniques were applied through the open intrusion detection dataset CSIC2012, and it was verified that the proposed sampling technique improves detection performance through F-score and G-mean evaluation indicators.

• Journal of the Korea Society for Simulation
• /
• v.18 no.3
• /
• pp.83-90
• /
• 2009

Since wireless sensor networks are deployed in open environments, an attacker can physically capture some sensor nodes. Using information of compromised nodes, an attacker can launch false data injection attacks that report nonexistent events. False data can cause false alarms and draining the limited energy resources of the forwarding nodes. In order to detect and discard such false data during the forwarding process, various security solutions have been proposed. But since they are prevention-based solutions that involve additional operations, they would be energy-inefficient if the corresponding attacks are not launched. In this paper, we propose a detection method that can detect false data injection attacks without extra overheads. The proposed method is designed based on the signature of false data injection attacks that has been derived through simulation. The proposed method detects the attacks based on the number of reporting nodes, the correctness of the reports, and the variation in the number of the nodes for each event. We show the proposed method can detect a large portion of attacks through simulation.

• Journal of the Korean Geosynthetics Society
• /
• v.18 no.4
• /
• pp.107-114
• /
• 2019

In this paper, the P-wave multiple detection system for the fast and accurate earthquake early warning nearby the epicenter was developed. The developed systems were installed in five selected public buildings for the validation. During the monitoring, a magnitude 2.3 earthquake occurred in Pohang on 26 September 2019. P-wave initial detection algorithms were operated in three out of four systems installed in Pohang area and recorded as seismic events. At the nearest station, 5.5 km from the epicenter, P-wave signal was detected 1.2 seconds after the earthquake, and S-wave was reached 1.02 seconds after the P-wave reached, providing some alarm time. The maximum accelerations recorded in three different stations were 6.28 gal, 6.1 gal, and 5.3 gal, respectively. The alarm algorithm did not work, due to the high threshold of the maximum ground acceleration (25.1 gal) to operate it. If continuous monitoring and analysis are to be carried out in the future, the developed system could use a highly effective earthquake warning system suitable for the domestic situation.