• Proceedings of the Korean Information Science Society Conference
• /
• 2003.04d
• /
• pp.524-526
• /
• 2003

본 논문에서는 고도로 지능화고 복잡한 공격으로부터 광대역 네트워크를 보호하기 위한 정책기반 네트워크 보안구조와 능동적 네트워크 보안 기술의 핵심인 실시간 침입자 추적 기능의 효율적인 통합 방안을 제시하기 위해 필요한 구성요소를 정의하고 이들간의 통신 프로토콜을 확장하여 정책기반 네트워크 보안구조에 적합한 실시간 침입자 추적 기술로서 IP Encapsulation을 이용한 실시간 침입자 추적 알고리즘을 제시한다.

• Electric Engineers Magazine
• /
• v.229 no.9
• /
• pp.10-15
• /
• 2001

사이렌, 벨이나 소리를 발생하는 다른 장치들은 침입자에게 겁을 주는 방해물의 역할을 한다. 하지만 만약에 우리가 집에 있지 않을 때 침입자가 집을 떠난 후에는 누가 경보 회로를 리셋시킬 것인가?

• Proceedings of the Korea Information Processing Society Conference
• /
• 2002.11b
• /
• pp.933-936
• /
• 2002

공격자는 시스템에 침입하기 위해 취약점을 수집하며 여러 공격방법을 통해 루트권한을 획득하게 된다. 루트권한을 획득한 공격자는 공격 시스템에 루트킷을 설치하여 침입에 대한 흔적을 숨기고 차후 침입을 위한 백도어를 남기게 되는데 최근 등장한 커널 기반의 루트킷은 시스템에 대한 침입 탐지를 어렵게 하고 있다. 이러한 공격에 대응하기 위해 침입탐지 및 차단을 위한 보안 시스템들이 많이 개발되어 왔지만 공격자들은 보안 시스템들을 우회하여 시스템에 침입하고 있다. 본 논문에서는 루트권한을 획득한 공격자의 불법행위를 막기 위해 시스템 보안 강화 LKM을 설계, 구현하며 중요 파일의 변조와 루트킷의 실치를 막고 공격자의 불법행위를 관리자에게 실시간으로 알릴 수 있는 방법을 제안한다.

• The KIPS Transactions:PartC
• /
• v.13C no.1 s.104
• /
• pp.11-18
• /
• 2006

In the field of network defense, a lot of researches are directed toward locating the source of network attacks. When an intruder launches attack not from their own computer but from intermediate hosts that they previously compromised, and these intermediate hosts are called stepping-stones. There we two kinds of traceback technologies : IP packet traceback and connection traceback. We focused on connection traceback in this paper This paper classifies process structures of detoured attack type in stepping stone, designs an algorithm for traceback agent, and implements the traceback system based on the agent

• Proceedings of the Korean Information Science Society Conference
• /
• 2004.04a
• /
• pp.295-297
• /
• 2004

현대 사회는 무선통신 기술의 급속한 발달로 인해 사용자가 자신의 위치에 상관없이 어디서든지 네트워크에 접속하여 서비스를 제공받을 수 있게 되었다. 하지만, 무선은 유선에 비해 상대적으로 보안에 취약하여 정보보호에 특별한 주의가 필요하다. 유선 네트워크는 침투를 위해서 물리적으로 침투위치를 확보해야만 공격을 수행할 수 있었으나, 무선의 경우에는 전파도달 거리내의 아무 곳에서나 공격을 시도할 수 있어 무선랜을 통한 많은 공격시도가 현실화되고 있다. 또한 공격자가 공공장소, 대학교, 카페 등의 개방된 곳에서 자신이 습득한 다른 사용자의 ID를 사용하여 공중 무선랜 서비스에 접속하여 어느 특정 기관을 공격, 해킹 할 경우에 공격 근원지와 공격자에 대한 추적이 사실상 불가능하다. 이러한 무선랜이 갖는 취약성을 보완하고 안전한 무선랜 환경을 구축하기 위해서, 본 논문에서는 무선랜 장비인 AP를 이용하여 침입자를 탐지하는 방법을 제시하고 있다. 제시된 방법은 현재 사용되어지고 있는 무선랜 환경에 추가적인 장비의 도입을 하지 않고, AP의 기능을 이용하는 방법을 제시하고 있다. 향후 AP와 무선 센서를 기반으로 하여 좀 더 정밀하고, 정확하게 침입자를 탐지하는 기술을 보강할 예정이다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2004.05a
• /
• pp.1121-1124
• /
• 2004

일반적인 침입탐지 시스템의 원리를 보면 공격자가 공격 패킷을 보내면 침입탐지서버에 IDS 프로그램으로 공격자의 패킷을 기존의 공격패턴과 비교하여 탐지한다. 공격자가 일반적인 공격 패킷이 아닌 패킷을 가짜 패킷과 공격 패킷을 겸용한 진보된 방법을 사용할 경우 IDS는 이를 탐지하지 못하고 로그 파일에 기록하지 않는다. 이는 패턴 검사에 있어 공격자가 IDS를 속였기 때문이다. 따라서 공격자는 추적 당하지 않고서 안전하게 공격을 진행할 수 있다. 본 논문에서는 이러한 탐지를 응용프로그램 단계가 아닌 커널 단계에서 탐지함으로서 침입탐지뿐만 아니라 침입 방지까지 할 수 있도록 하였다.

• Proceedings of the Korean Information Science Society Conference
• /
• 2002.04a
• /
• pp.844-846
• /
• 2002

기존에 보안을 위해 개발되어온 취약점 검색도구는 최근 들어 불법침입을 위한 도구로 이용되고 있으며 이제는 웹사이트에서도 쉽게 취약점 검색도구와 악의적인 프로그램들을 구할 수 있게 되었다. 이에 대한 방안으로 현재 침입차단 기능을 가지는 방화벽과 침입탐지 기능을 가지는 침입탐지시스템이 개발되어 왔다. 방화벽은 외부 네트워크와 내부 네트워크 사이에 위치하여 인증된 트래픽만을 허용함으로써 보안을 유지할 수 있으나 사전에 미리 IP 주소나 포트 등을 등록하여 해당 IP 주소와 포트로부터의 접근을 허용하거나 막는 정적인 방법이었다. 또한 침입탐지시스템은 침입탐지에 대한 룰을 내장하여 칩입행동을 실시간으로 탐지하는 기능을 가지지만 그에 대한 대응이 실시간 차단이 아니라 공격자와 관리자에게 경고메일을 보내는 수준이므로 침입탐지 이후에 생기는 불법행동에 대한 커다란 위험이 따른다 본 논문에서는 그에 대한 해절 방안으로 방화벽의 침입차단 기능과 침입탐지시스템의 실시간 침입탐지 기능을 갖춘 실시간 침입탐지 및 차단을 위한 시스템을 제안한다.

• Proceedings of the Korean Information Science Society Conference
• /
• 2002.10c
• /
• pp.454-456
• /
• 2002

본 논문에서는 센서(센서 파일, 센서 데이터 등)를 이용한 침입 탐지 시스템인 SbIDS(Sensor based Intrusion Detection System)를 제안한다. 리눅스 시스템에 구현된 SbIDS는 호스트 기반 침입탐지 기법과 네트워크 기반 침입탐지 기법이 통합된 시스템으로, 일차적으로 커털 수준에서 침입을 감지하고 대응하는 KMOD 모듈과 이차적으로 네트워크 수준에서 침입을 감지하고 대응하는 NetMOD 모듈로 구성되어 있어 호스트 내에서의 침입과 네트워크를 통한 침입을 동시에 탐지할 수 있다. SbIDS를 이용한 침입 탐지를 위해 먼저 주요 디렉토리에는 센서 파일을, 주요 파일에는 센서 데이터를 설치한다. 그 다음, 침입자에 의해 센서가 접근될 때마다 위기 상황으로 보고 커널 수준과 네트워크 수줄에서 로그를 작성하며, 공격자를 식별하여 추적할 수 있고 침입으로 판단될 경우 해당 프로세스를 조기에 종료시킬 수 있도록 구현하였다.

• Journal of KIISE:Information Networking
• /
• v.28 no.4
• /
• pp.489-497
• /
• 2001

In the coming age of information warfare, information security patterns take on a more offensive than defensive stance. It is necessary to develop an active form of offensive approach to security protection in order to guard vital information infrastructures and thwart hackers. Information security products need to support an automatic response facility without human intervention in order to minimize damage to the attacked system and cope with the intrusion immediately. This paper presents an automatic intrusion response model which is developed on a Self-Extension Monitoring. It also proposes an ARTEMIS(Advanced Realtime Emergency Management and Intruder Identification System), which is designed and implemented based on the suggested model. The Self-Extension Monitoring using self-protection and replication minimizes spatial limitations on collection of monitoring information and intruder tracing. It enhances the accuracy of intrusion detection and tracing.

• Electric Engineers Magazine
• /
• v.221 no.1
• /
• pp.41-49
• /
• 2001

최근 반갑지 않은 침입자에 의하여 생명이나 재산을 잃는 사고가 자주 발생한다. 침입자는 도둑이나 강도 뿐만 아니라 화재나 홍수와 같은 자연적인 재해도 많다. 정보통신기술의 발달에 힘입어 마음의 걱정을 덜어주고 귀중한 생명을 보호해주며 목숨처러 아끼는 유형, 무형의 재산과 정보를 지켜줄 전자 보안시스템의 수요가 증가하고 있다. 이러한 실정에서 자신의 실력을 다지고 비용절감 효과도 거두며 첨단기술제품을 개발한 창의력도 기르기 위해 전력기술인이 직접 만들 수 있는 전자보안시스템을 소개하고자 한다