• Annual Conference of KIPS
• /
• 2022.05a
• /
• pp.531-534
• /
• 2022

승차 공유, 카풀, 렌터카의 이용률이 증가하면서 많은 사용자가 동일한 차량에 로컬 액세스 할 수 있는 시나리오가 더욱 보편화됨에 따라 차량 네트워크에 대한 공격 가능성이 커지고 있다. 차량용 CAN Bus Network에 대한 DoS(Denial of Service), Fuzzy Attack 및 Replay Attack과 같은 공격은 일부 ECU(Electronic Controller Unit) 비활성 및 작동 불능 상태를 유발한다. 에어백, 제동 시스템과 같은 필수 시스템이 작동 불가 상태가 되어 운전자에게 치명적인 결과를 초래할 수 있다. 차량 네트워크 침입 탐지를 위하여 많은 연구가 진행되고 있으나, 기존 화이트리스트를 이용한 탐지 방법은 새로운 유형의 공격이 발생하거나 희소성이 높은 공격일 때 탐지하기 어렵다. 본 논문에서는 인공신경망 기반의 CAN 버스 네트워크 침입 탐지 기법을 제안한다. 제안하는 침입 탐지 기법은 2단계로 나누어 진다. 1단계에서 정상 패킷 분포를 학습한 VAE 모형이 이상 탐지를 수행한다. 이상 패킷으로 판정될 경우, 2단계에서 인코더로부터 추출된 잠재변수와 VAE의 재구성 오차를 이용하여 공격 유형을 분류한다. 분류 결과의 신뢰점수(Confidence score)가 임계치보다 낮을 경우 학습하지 않은 공격으로 판단한다. 본 연구 결과물은 정보보호 연구·개발 데이터 첼린지 2019 대회의 차량 이상징후 탐지 트랙에서 제공하는 정상 및 3종의 차량 공격시도 패킷 데이터를 대상으로 성능을 평가하였다. 실험을 통해 자동차 제조사의 규칙이나 정책을 사전에 정의하지 않더라도 낮은 오탐율로 비정상 패킷을 탐지해 낼 수 있음을 확인할 수 있다.

• Annual Conference of KIPS
• /
• 2003.11c
• /
• pp.1913-1916
• /
• 2003

오용행위와 비정상행위 그리고 알려지지 않은 공격을 탐지하기 위해 필요한 규칙들을 추출하는 방법이 계속 연구되고 있다. 기존의 네트워크 공격에 대한 침입탐지시스템의 탐지 패턴은 전문가의 수작업에 의해 생성되어 왔고, 수정이 필요할 경우 수작업을 필요로 했다. 그러나 네트워크 공격은 매시간 다양화되고 변형되기 때문에 적절한 대응이 필요하다. 본 논문에서는 이같은 문제를 결정트리를 사용하여 네트워크 패킷 내에서 공격형태를 패턴화하여 자동으로 탐지 패턴을 추출하는 방법을 제안한다.

• The Transactions of the Korea Information Processing Society
• /
• v.6 no.7
• /
• pp.1867-1876
• /
• 1999

In this paper, we ropose formalized method to create detection rules for known intrusion method and the fuzzy Petri-net using fuzzy theory to cope with varied attack. On producing the detection module for using intrusion detection, we can add new found pattern. And also, we use system call logging for increasing correctness of detection.

• Annual Conference of KIPS
• /
• 2015.04a
• /
• pp.702-705
• /
• 2015

본 논문에서는 하듐 환경에서 시스템 정보의 이상탐지를 위한 시각화 기능을 설계 및 구현한다. 제안한 이상탐지 시각화 기능은 크게 세 단계로 구분된다. 먼저, 각 노드로부터 시스템 로그 데이터(캐시 및 메인 메모리)를 수집하여 하이브(Hive) 저장한다. 그리고 저장한 데이터에 3-시그마 규칙을 적용하여 이상탐지를 수행한 후 관계형 데이터베이스에 적합하도록 재가공한다. 마지막으로, 스쿱(Sqoop)을 통해 RDBMS(MariaDB)에 이상탕지 결과를 저장하고, DHTMLX 차트 라이브러리를 사용하여 이를 시각화한다. 시각화 결과, 로그 데이터의 이상탐지와 데이터간의 상관관계를 직관적으로 이해할 수 있게 되었다.

• Proceedings of the Korean Institute of Navigation and Port Research Conference
• /
• 2022.11a
• /
• pp.319-320
• /
• 2022

해무는 해면에 인접한 층에서 수증기가 응결하여 대기 중에 부유하는 현상으로 기상학적으로 수평 가시거리가 1km이하 일때로 정의되며 해무로 인해 항공기 이착륙 지연, 교통사고, 운항 통제, 인명 피해 등 사회적, 경제적 피해를 유발하고 있다. 본 연구에서는 기존의 해무 발생, 탐지, 예측과 관련한 연구를 비교 분석하여 향후 연구개발의 방향을 제시하고자 한다. 해무 발생, 예측과 관련하여 연구개발이 진행되어 왔으나 해무의 특성상 규칙성이 약하고 고정적인 측정법이나 이를 다루기 위한 네트워크가 부족하여 예측하기가 어렵다. 특히, 국내에서는 국립해양조사원과 기상청에서 해무 탐지 및 예측에 관한 연구개발 및 서비스가 진행되고 있으나 현업화가 이루어지지 않거나 특정지점에 대한 정보만 제공되고 있는 한계가 있다. 따라서, CCTV영상, 인공위성 영상, 시정계, 기상자료, 수치모형을 통해 수집된 정보를 통합하여 예측할 수 있는 인공지능기반의 해무 탐지 및 예측 기술개발이 진행되어야 할 것이다.

• Proceedings of the Korean Information Science Society Conference
• /
• 2004.10a
• /
• pp.307-309
• /
• 2004

침입탐지시스템에서 발생되는 오 경보는 false positive 와 false negative 로 구분된다. false positive는 실제적인 공격은 아니지만 공격이라고 오인하여 경보를 발생시켜 시스템의 효율성을 떨어뜨리기 때문에 false positive 패턴에 대한 분석이 필요하다. 오 경보 데이터는 시간이 지남에 따라 데이터의 양뿐만 아니라 데이터 패턴의 특성 또한 변하게 된다 따라서 새로운 데이터가 추가될 때마다 오 경보 데이터의 패턴을 분석할 수 있는 도구가 필요하다. 이 논문에서는 오 경보 데이터로부터 false positive 의 패턴을 분석할 수 있는 프레임워크에 대해서 기술한다. 우리의 프레임워크는 시간이 지남에 따라 변하는 데이터의 패턴 특성을 분석할 수 있도록 하기 위해 점진적 연관규칙 기법을 적용한다. 이 프레임워크를 통해서 false positive 패턴 특성의 변화를 효율적으로 관리 할 수 있다.

• Journal of the Institute of Electronics Engineers of Korea SC
• /
• v.48 no.5
• /
• pp.25-30
• /
• 2011

This paper present a method for abnormal traffic behavior, or trajectory, detection in static traffic surveillance camera with user-defined trajectories. The method computes the abnormality of moving object with a trajectory of the object and user-defined trajectories. Because of using user-define based information, the presented method have more accurate and faster performance than models need a learning about normal behaviors. The method also have adaptation process of assigned rule, so it can handle scene variation for more robust performance. The experimental results show that our method can detect abnormal traffic behaviors in various situation.

• The Journal of the Institute of Internet, Broadcasting and Communication
• /
• v.13 no.1
• /
• pp.71-76
• /
• 2013

A computer worm is a standalone malware computer program that probes and exploits vulnerabilities of systems. It replicates and spreads itself to other computers via networks. In this paper, we study how to detect and prevent worms. First, we generated Codered II traffic on the emulated testbed called Deterlab. Then we identified dubious parts using Earlybird and wrote down Snort rules using Wireshark. Finally, by applying the Snort rules to the traffic, we could confirmed that worm detection was successfully done.

• Convergence Security Journal
• /
• v.1 no.1
• /
• pp.21-29
• /
• 2001

For multiple attacks through large networks e.g., internet, IDS had better be installed over several hosts and collect all the audit data from them with appropriate synthesis. We propose a new distributed intrusion detection system called SPIDER II which is the upgraded version of the previous standalone IDS - SPIDER I. As like the previous version, SPIDER II has been implemented on Linux Accel 6.1 in CNU C. After planting intrusion detection engines over several target hosts as active agents, the administration module of SPIDER II receives all the logs from agents and analyzes hem. For the world-wide standardization on IDS, SPIDER II is compatible with MITRE's CVE(Common Vulnerabilities and Exposures).

• Journal of Internet Computing and Services
• /
• v.19 no.3
• /
• pp.15-23
• /
• 2018

A code reuse attack is an attack technique that can execute arbitrary code without injecting code directly into the stack by combining executable code fragments existing in program memory and executing them continuously. ROP(Return-Oriented Programming) attack is typical type of code reuse attack and serveral defense techniques have been proposed to deal with this. However, since existing methods use Rule-based method to detect attacks based on specific rules, there is a limitation that ROP attacks that do not correspond to previously defined rules can not be detected. In this paper, we introduce a method to detect ROP attack by learning command pattern used in ROP attack code using RNN(Recurrent Neural Network). We also show that the proposed method effectively detects ROP attacks by measuring False Positive Ratio, False Negative Ratio, and Accuracy for normal code and ROP attack code discrimination.