• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2022년도 추계학술발표대회
• /
• pp.228-230
• /
• 2022

딥러닝 기반의 인공지능 기술이 발달함에 따라 이상 탐지 방법에도 딥러닝이 적용되었다. 네트워크 트래픽으로부터 요약 및 집계된 Feature 를 학습하는 방법과 Packet 자체를 학습하는 등의 방법이 있었다. 그러나 모두 정보의 제한적으로 사용한다는 단점이 있었다. 본 연구에서는 Http Request에 대한 사전학습 기반의 효과적인 이상 탐지 방법을 제안한다. 사전학습에 고려되는 토큰화 방법, Padding 방법, Feature 결합 방법, Feature 선택 방법과 전이학습 시 Numerical 정보를 추가하는 방법을 소개하고 각 실험을 통해 최적의 방법을 제안한다.

• 한국멀티미디어학회논문지
• /
• 제16권6호
• /
• pp.678-688
• /
• 2013

단일 공격과 달리 DDoS 공격들은 네트워크에 분산된 봇넷이 동시에 타겟 서버에 공격을 개시한다. 이 경우 타겟 서버에서는 정상적인 사용자의 편의를 고려해야 하기 때문에 DDoS로 간주되는 패킷에 대하여 접속거부 조치를 취하기 어려운 점이 있다. 이를 고려하여 본 논문에서는 사용자 네트워크단위로 DDoS 공격을 탐지하고 네트워크 관리자가 조치를 취할 수 있도록 하여 전체적으로 봇넷의 규모를 줄여서 타겟 서버의 부담을 줄일 수 있는 DDoS 봇넷 탐지 시스템을 구현 하였다. 본 논문에서 제안한 DDoS 봇넷 탐지 시스템은 공격 트래픽의 시간 단위 흐름을 분석하고 수집한 이상상태에 대한 데이터베이스를 바탕으로 공격을 탐지 하도록 프로그램을 구현하였다. 그리고 패킷들의 평균개수와 표준편차를 이용하여 현재 트래픽의 임계치(Threshold)를 계산하고 이 임계치를 이용하여 DDoS 공격 여부를 판단하였다. 공격의 대상이 되는 서버를 중심으로 이루어졌던 봇넷 탐지 단위를 DDoS 봇에 감지된 공격 모듈이 속한 네트워크 단위 탐지로 전환함으로써 DDoS 공격에 대한 적극적인 방어의 개념을 고려해 볼 수 있었다. 따라서 DDoS와 DoS 공격의 차이점이라 할 수 있는 대규모 트래픽 흐름을 사전에 네트워크 관리자가 차단함으로써 봇넷의 규모를 축소시킬 수 있다. 또한, 라우터 장비 이하의 네트워크 통신에서 트래픽 공격을 사전에 차단할 수 있다면 타겟 서버의 부담뿐만 아니라 WAN 통신에서 라우터의 네트워크 부하를 상당부분 감소시킬 수 있는 효과를 얻을 수 있을 것으로 기대한다.

• 한국통신학회논문지
• /
• 제40권4호
• /
• pp.666-677
• /
• 2015

효과적인 네트워크 관리를 위해 응용 트래픽 분석의 중요성이 강조되고 있다. Snort는 트래픽 탐지를 위해 사용되는 보편적인 엔진으로써 기 정의된 규칙을 기반으로 트래픽을 차단하거나 로그를 기록한다. 하지만 Snort 규칙을 생성하기 위해서는 탐지 대상 트래픽을 전수 조사해야하기 때문에 많은 한계점이 존재할 뿐만 아니라 생성된 규칙의 정확성을 보장하기 어렵다. 본 논문에서는 순차 패턴 알고리즘을 활용하여 입력된 트래픽에서 최소 지지도를 만족하는 문자열을 찾는 방법을 제안한다. 또한, 추출된 문자열을 사용한 규칙을 입력 트래픽에 적용하여 트래픽에서 해당 문자열이 존재하는 위치 정보 및 헤더 정보를 추출한다. 이렇게 추출된 문자열과 위치정보, 그리고 헤더 정보를 조합하여 Snort 규칙을 자동 생성하는 방법을 제안한다. 생성된 규칙을 이용하여 다시 트래픽 분석을 실시했을 때 대부분의 응용이 97%이상 탐지되는 것을 확인하였다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2012년도 춘계학술발표대회
• /
• pp.726-729
• /
• 2012

최근 클라우드 컴퓨팅 서비스가 활발히 이루어지면서, 가상화 기술에 대한 보안이슈가 급부상하고 있다. 클라우드 서비스는 가상화 기술을 사용하는데 복수의 가상 운영체제가 구동되는 환경을 제공하는 하이퍼바이저 역할이 중요하다. 특히, 여러 Guest OS의 사용으로 인해 서버의 자원을 공유하는 측면에서 보안 위협이 발생 가능하다. 본 논문에서는 외적인 보안위협이 아닌 가상화의 내적 영역에서 발생 가능한 위협에 대해 대응할 수 있는 시스템을 제안한다. 제안하는 시스템은 내부에서 발생하는 트래픽에 대한 로그 수집과 분석을 통해 이상트래픽을 판별하여 기존의 시스템이 탐지하지 못하는 가상화 내부트래픽에 대한 보안위협을 해결한다.

• 한국정보과학회:학술대회논문집
• /
• 한국정보과학회 2004년도 가을 학술발표논문집 Vol.31 No.2 (1)
• /
• pp.442-444
• /
• 2004

서비스 거부 공격은 그 피해의 규모에 비해 방어하기가 무척 어려우며 충분히 대비를 한다 해도 알려지지 않은 새로운 서비스 거부 공격 기법에 피해를 입을 위험성이 항상 존재한다. 또한 최근 나타나고 있는 서비스 거부 공격 기법은 시스템 자원을 고갈시키는 분산 서비스 거부 공격(DDoS)에서 네트워크의 대역폭을 고갈시킴으로서 주요 네트워크 장비를 다운시키는 분산 반사 서비스 거부 공격(DRDoS)으로 진화하고 있다 이러한 공격 기법은 네트워크 트래픽의 이상 징후로서만 탐지될 뿐 개별 패킷으로는 탐지가 불가능하여 공격 징후는 알 수 있으되 자동화된 대응이 어려운 특징이 있다. 본 논문에서는 이미 알려진 공격뿐 아니라 새로운 서비스 거부 공격 패킷을 탐지하기 위하여, 패턴 분류 문제에 있어서 우수한 성능을 보이는 것으로 알려져 있는 Support Vector Machine(SVM)을 사용한 실험을 진행하였다. 테스트 결과. 학습된 공격 패킷에 대해서는 정확한 구분이 가능했으며 학습되지 않은 새로운 공격에 대해서도 탐지가 가능함을 보여주었다.

• 정보처리학회논문지:소프트웨어 및 데이터공학
• /
• 제8권12호
• /
• pp.483-490
• /
• 2019

네트워크 침입 탐지 시스템(NIDS)에서 분류의 기능은 상당히 중요하며 탐지 성능은 다양한 특징에 따라 달라진다. 최근 딥러닝에 대한 연구가 많이 이루어지고 있으나 네트워크 침입탐지 시스템에서는 많은 수의 트래픽과 고차원의 특징으로 인하여 속도가 느려지는 문제점이 있다. 따라서 딥러닝을 분류에 사용하는 것이 아니라 특징 추출을 위한 전처리 과정으로 사용하며 추출한 특징을 기반으로 분류하는 연구 방법을 제안한다. 딥러닝의 대표적인 비지도 학습인 Stacked AutoEncoder를 사용하여 특징을 추출하고 Random Forest 분류 알고리즘을 사용하여 분류한 결과 분류 성능과 탐지 속도의 향상을 확인하였다. IOT 환경에서 수집한 데이터를 이용하여 정상 및 공격트래픽을 멀티클래스로 분류하였을 때 99% 이상의 성능을 보였으며, AE-RF, Single-RF와 같은 다른 모델과 비교하였을 때도 성능 및 탐지속도가 우수한 것으로 나타났다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2011년도 추계학술발표대회
• /
• pp.718-721
• /
• 2011

웹 서비스를 대상으로 하는 DDoS(Distributed Denial-of-Service) 공격 또는 유해 트래픽 유입을 탐지 또는 차단하기 위한 목적으로 HTTP(Hypertext Transfer Protocol) 트래픽을 실시간으로 분석하는 기능은 거의 모든 네트워크 트래픽 보안 솔루션들이 탑재하고 있는 필수적인 요소이다. 하지만, HTTP 트래픽의 실시간 데이터 측정 양이 시간이 지날수록 기하급수적으로 증가함에 따라, HTTP 트래픽을 실시간 패킷 단위로 분석한다는 것에 대한 성능 부담감은 날로 커지고 있는 실정이다. 이제는 응용 어플리케이션 차원에서는 성능에 대한 부담감을 해소할 수 없기 때문에 고비용의 소프트웨어 가속기나 하드웨어에 의존적인 전용 장비를 탑재하여 해결하려는 시도가 대부분이다. 본 논문에서는 현재 대부분의 PC 에 탑재되어 있는 그래픽 카드의 GPU(Graphics Processing Units)를 범용적으로 활용하고자 하는 GPGPU(General-Purpose computation on Graphics Processing Units)의 연구에 힘입어, NVIDIA사의 CUDA(Compute Unified Device Architecture)를 사용하여 네트워크 트래픽에서 HTTP 패킷 추출성능을 응용 어플리케이션 차원에서 향상시켜 보고자 하였다. HTTP 패킷 추출 연산만을 기준으로 GPU 의 연산속도는 CPU 에 비해 10 배 이상의 높은 성능을 얻을 수 있었다.

• 융합보안논문지
• /
• 제12권4호
• /
• pp.77-84
• /
• 2012

폐쇄적으로 구축되었던 제어망이 최근 업무 상 편의 또는 대외 기관과의 협력 필요 등으로 외부와 연동되면서, 일반적인 네트워크 환경과 유사하게 변화하고 있다. 그리고 개방형 운영체제, 프로그램 및 프로토콜 등을 사용하는 제어망 환경은 기존에 알려진 보안 취약점을 그대로 갖고 있으며, 제어 시스템의 취약점과 관련한 공격 기법이 발달하는 등의 위험에 직면하고 있다. 이에 따라 본 연구에서는 화이트 리스트 기법을 적용한 이상 징후 탐지를 통해 보안성을 확보하고 위협을 최소화할 수 있는 방안을 제시하였다. 제시된 방법을 통해 업무망, 제어망 및 필드장치 내 트래픽을 모니터링하여 정상적인 데이터만을 수집 및 목록화 할 수 있고, 비정상행위로부터 격리된 상태를 확인하여 위협을 배제시킬 수 있다. 그러나 정상적 비정상적 트래픽 패턴에 대한 오경보가 발생할 수 있으며, 이를 최소화하는 노력도 함께 경주해야 한다.

• 정보보호학회논문지
• /
• 제27권6호
• /
• pp.1385-1395
• /
• 2017

본 논문에서는 정상과 이상 트래픽이 불균형적으로 발생하는 상황에서 기계 학습 기반의 효과적인 침입 탐지 시스템에 관한 연구 결과를 소개한다. 훈련 데이터의 패턴을 학습하여 정상/이상 패킷을 탐지하는 기계 학습 기반의 IDS에서는 훈련 데이터의 클래스 불균형 정도에 따라 탐지 성능이 현저히 차이가 날 수 있으나, IDS 개발 시 이러한 문제에 대한 고려는 부족한 실정이다. 클래스 불균형 데이터가 발생하는 환경에서도 우수한 탐지 성능을 제공하는 기계 학습 알고리즘을 선정하기 위하여, 본 논문에서는 Kyoto 2006+ 데이터셋을 이용하여 정상 대 침입 클래스 비율이 서로 다른 클래스 불균형 훈련 데이터를 구축하고 다양한 기계 학습 알고리즘의 인식 성능을 분석하였다. 실험 결과, 대부분의 지도 학습 알고리즘이 좋은 성능을 보인 가운데, Random Forest 알고리즘이 다양한 실험 환경에서 최고의 성능을 보였다.

• 정보처리학회논문지:컴퓨터 및 통신 시스템
• /
• 제2권10호
• /
• pp.421-426
• /
• 2013

인터넷을 통해 전송되는 트래픽의 양이 점점 더 많아지고 있고, 이에 따라 트래픽의 양을 알아내는 것이 중요해지고 있다. 트래픽을 측정하는 기법에 대한 많은 연구가 있었으며, 주로 적은 양의 메모리를 사용해서 측정의 정확도를 높이는 방향으로 연구가 진행되고 있다. 이 논문에서는 기존 기법들에서는 제공하지 않는 플로우 라벨링 기법을 제안한다. 이 기법을 통해서 관리자는 특정 값 이상의 트래픽을 생성한 플로우의 라벨을 실시간으로 알아낼 수 있으며, 기존의 기법이 가지는 카운팅의 상한선을 확장시킬 수 있다. 가장 최근에 발표된 CSM (Counter Sharing Method)에 이 기법을 적용하고, CAIDA 데이터셋을 이용해서 성능을 분석해 본다.