• Proceedings of the Korea Institutes of Information Security and Cryptology Conference
• /
• 2003.12a
• /
• pp.128-131
• /
• 2003

본 논문에서는 IP Fragment 패킷을 이용한 공격에 대해서 소개하고, 현재 사용되고 있는 패킷필터링 방법의 문제점을 극복하기 위한 동적인 패킷필터링 기법을 제안하고 있다. 기존 패킷필터링 방법이 IP 주소 또는 프로토콜 기반의 정적인 규칙에 의한 필터링 방법을 이용하는 반면, 본 논문에서 제안하는 방법은 IP Fragment 패킷에 대해서 단위 시간당 데이터 양으로 표현되는 트래픽에 기반한 패킷필터링 규칙이 동적으로 생성되도록 한다. 이렇게 동적으로 생성된 규칙은 이후 이상 트래픽이 발생되면 자동으로 차단규칙으로 변경되어 IP Fragment 패킷 공격으로부터 네트워크 호스트의 시스템 자원을 보호할 수 있도록 한다.

• Journal of the Korea Institute of Information Security & Cryptology
• /
• v.12 no.2
• /
• pp.135-145
• /
• 2002

Active networks represent a new approach to network architecture. Nodes(routers, switches, etc.) can perform computations on user data, while packets can carry programs to be executed on nodes and potentially change the state of them. While active networks provide a flexible network iufrastructure, they are more complex than traditional networks and raise considerable security problems. Nodes are Public resources and are essential to the proper and contract running of many important systems. Therefore, security requirements placed upon the computational environment where the code of packets will be executed must be very strict. Trends of research for active network security are divided into two categories: securing active nodes and securing active packets. For example, packet authentication or monitoring/control methods are for securing active node, but some cryptographic techniques are for the latter. This paper is for transferring active packets securely between active nodes. We propose a new method that can transfer active packets to neighboring active nodes securely, and execute executable code included in those packets in each active node. We use both public key cryptosystem and symmetric key cryptosystem in our scheme

• Proceedings of the Korea Institutes of Information Security and Cryptology Conference
• /
• 2003.12a
• /
• pp.242-247
• /
• 2003

본 논문에서는 최근에 발표된 스트림 인증 기법중 하나인 PCC 기법［1］을 개선한 방법을 제시한다 PCC 기법에서는 수신된 스트림 데이터의 검증이 패킷의 그룹 단위로 수행되는데 이때 관련된 서명 패킷이 수신되어야만 그룹에 속한 패킷들이 검증될 수 있다는 약점을 갖는다. 본 논문에서는 PCC 기법의 서명 패킷에 정보 분산 알고리즘을 적용하여 생성되는 단편들을 그룹에 속한 전체 패킷들에 포함시켜 전송하며, 수신자가 이중 정해진 수 이상의 패킷을 수신했을 경우 서명 패킷의 복원이 가능하도록 함으로써 원기법의 문제점을 해결했다. 뿐만 아니라 시뮬레이션 결과의 분석에 의하면 제안 기법은 관련 최신 기법인 SAIDA보다 검증 확률이 높고, 구현 프로그램의 수행 시간을 측정한 결과 계산 시간 면에서 더 나은 성능을 보였다.

• Review of KIISC
• /
• v.19 no.3
• /
• pp.58-69
• /
• 2009

분산 서비스 거부(DDoS: Distributed Denial of service)공격은 다수의 소스에서 특정 목적지에 대하여 동시에 비정상적으로 대량의 패킷을 전송함으로써 목적지의 대역폭이나 처리력을 점유하게 된다. 최근의 DDoS 공격 통계에 의하면 초당 최대 오백만 패킷에 이르는 공격과 함께, 초당 백만 패킷 이상의 여러 공격들이 발생하고 있음을 보여준다. 이와 같이 DDoS 공격은 그 규모가 커지고 있고, 회수도 빈번하여 지고 있다. 본 논문에서는 DDoS 공격 대비를 위한 비용과 공격 발생시 서비스 중단으로 인한 경제 손실 모델 사례연구에 대하여 기술하고자 한다. 이를 통하여 비용 효율적인 DDoS 공격 대응 및 완화 기법의 설계를 위한 기초 자료로 활용하고자 한다.

• Proceedings of the Korean Information Science Society Conference
• /
• 2004.10a
• /
• pp.403-405
• /
• 2004

본 논문에서는 내부로의 정보유출 보호를 위해 패킷의 이동경로를 분석함으로써 내부적으로 노출되어 있는 패킷에 송수신량을 측정하여 패킷 도청을 차단하는 기법을 제안한다. 서버와 클라이언트로 구현하여 웹을 통하여 실시간으로 패킷의 도청을 탐지 및 차단할 수 있도록 설계 및 구현하였다.

• Review of KIISC
• /
• v.30 no.5
• /
• pp.25-33
• /
• 2020

산업 제어 시스템 대상 원격 관제 기술은 관리자의 즉각적 대응을 통해 산업 재해 발생 확률 저하를 위한 핵심기술로 주목받고 있다. 그러나 산업 제어 시스템 원격 관제 기술은 원격의 관리자와 통신하기 위해 외부 네트워크 연결이 필수적이며, 따라서 공격자들에게 기존 산업 제어 시스템에 존재하지 않던 새로운 네트워크 취약점을 노출하게 된다. 산업 제어시스템은 네트워크 취약점을 해결하기 위해 터널링 프로토콜 또는 패킷 암호화 솔루션을 사용하고 있지만, 이러한 솔루션은 패킷 메타데이터를 분석하는 네트워크 트래픽 분석 공격을 방어하지 못한다. 공격자는 네트워크 트래픽 분석을 통해 패킷의 송수신 대상, 통신 빈도, 활성화 상태 등을 알 수 있으며 획득한 정보를 다음 공격을 위한 초석으로 사용할 수 있다. 따라서 기존의 솔루션들이 해결하지 못하는 산업 제어 시스템 네트워크 환경에서 발생하는 잠재적인 문제들을 해결하기 위해 네트워크 트래픽 분석 난이도를 향상시켜 분석을 방어하는 솔루션이 필요하다. 본 논문에서는 패킷 메타데이터를 분석하는 네트워크 트래픽 분석 공격을 어렵게 하고자 패킷 분할 및 병합 기반 네트워크 트래픽 난분석화 기법을 제안한다. 본 논문에서 제안하는 기법의 참여자인 관리자와 산업 기기는 각각 일정한 크기의 그룹으로 묶인다. 그리고 원격 관제를 위해 관리자와 산업 기기 간 송수신되는 모든 패킷을 대상으로 분할 노드를 경유하도록 한다. 분할노드는 패킷의 난분석화를 위한 핵심 요소로써, 관리자와 산업 기기 사이에 송수신되는 모든 패킷을 상호 목적 대상 그룹의 개수로 분할한다. 그리고 분할한 패킷 조각에 패킷 식별자와 번호를 부여하여 패킷 조각을 모두 수신한 목적대상이 올바르게 패킷을 병합할 수 있도록 하였다. 그리고 분할노드는 목적 대상이 속한 그룹의 모든 참여자에게 서로 다른 패킷 조각들을 전달함으로써 공격자가 패킷의 흐름을 알 수 없도록 하여 산업 제어 시스템 정보를 수집하는 것을 방어한다. 본 논문에서 제안하는 패킷 분할 및 병합 기반 트래픽 난분석화 기법을 통해 산업 제어 시스템을 대상으로 한 트래픽 분석 공격을 방어함으로써 네트워크 공격의 피해를 줄이고 추가적인 네트워크 공격을 차단할 수 있을 것으로 기대된다.

• Journal of the Korea Institute of Information Security & Cryptology
• /
• v.17 no.2
• /
• pp.83-92
• /
• 2007

In connectionless packet network, if a sender encrypts packets by block chaining mode and send it to receiver, the receiver should decrypt packets in encrypted order that is not received order. Therefore, the performance and efficiency are lowered for crypto communication system. To solve this problem, we propose packet encryption scheme for connectionless packet network that can decrypt the packets independently, even if the received order of packets are changed or packets are missed. The scheme makes new IV(Initial Vector) using IV that created by key exchange process and salt that made by random number. We propose extended Cryptoki API that added packet encryption/decryption functions and mechanism for improving convenience and performance. We implement the scheme and get result that the performance increased about $1.5{\sim}l5.6$ times compare with in case of implementing using Cryptoki API in the test environment.

• Journal of the Korea Institute of Information Security & Cryptology
• /
• v.13 no.2
• /
• pp.107-114
• /
• 2003

In this paper, we propose an efficient mutual authentication and key distribution protocol for cdma2000 packet data service which uses Mobile U access method with DIAMETER AAA(Authentication, Authorization and Accounting) infrastructure. The proposed scheme provides an efficient mutual authentication between MN(Mobile Node) and AAAH(home AAA server), and a secure session-key distribution among Mobile If entities. The proposed protocol improves the efficiency of DIAMETER AAA and satisfies the security requirements for authentication and key distribution protocol. Also, the key distributed by the proposed scheme can be used to generate keys for packet data security over 1xEV-DO wireless interface, in order to avoid a session hijacking attack for 1xEV-DO packet data service.

• Annual Conference of KIPS
• /
• 2003.11b
• /
• pp.1125-1128
• /
• 2003

네트워크의 급속한 발전으로 인해 이제는 생활의 중요한 요소로 자리 잡고 있는 현재의 시점에서, 악의적으로 네트워크에 심각한 피해를 끼치는 사례 또한 증가하고 있다. 따라서 이러한 피해로부터 네트워크나 종단 호스트를 보호해야한 필요성이 매우 높아지고 있다. 하지만, 현재의 보안 시스템으로는 DDoS 공격 시 이에 빠르게 대처하여 시스템을 보호하기에는 많은 문제점을 안고 있으므로, DDoS 공격을 받기 이전에 패킷을 필터링하고 패킷 양을 조절해 주어야 할 필요가 있다. 이에 네트워크에 유입되는 패킷을 분류하여 처리하는 보다 향상된 패킷 필터링 기법을 사용하여 DDoS와 같은 공격에 대해 유연하게 대처하기 위한 방안을 제시하고자 한다.

• Proceedings of the Korea Society for Industrial Systems Conference
• /
• 2003.05a
• /
• pp.8-13
• /
• 2003

Historically, IP-based internets have been able to provide a simple best-effort delivery service to all applications they carry. Best effort treats all packets equally, with no service level, packet loss, and delay. But the needs of users have changed. The want to use the new real-time, multimedia, and multicasting applications. Thus, there is a strong need to be able to support a variety of traffic with a variety of quality-of-service requirements. The DiffServ architecture, proposed by the Internet Engineering Task Force(IETF), has become the most viable solution for provising QoS over IP networks. The DiffServ architecture does not specify any handling method between AF out-profile packets and BE packets. This paper propose a mechanism for supporting inter class fairness in the DiffServ architecture. Ⅰ proposed a modified Weighted Round Robin method to protect the BE traffic from AF out-profile packets in the core routers. The proposed technique is evaluated through simulation. Simulation results indicate that the proposed method provides better protection not only for BE packets from AF out-profile packets, but also for the AF in-profile packets in congested networks.