• 한국정보과학회논문지:컴퓨팅의 실제 및 레터
• /
• 제13권2호
• /
• pp.86-99
• /
• 2007

패킷 필터링이란 악의적인 네트워크 패킷들을 거르는 작업을 말한다. 패킷 필터링의 기능을 테스트하기 위해서는 구축된 보안 정책이 의도했던 대로 정확하게 동작하는가를 검증하여야 한다. 그러나 이런 기능을 테스트하기 위한 도구들은 많지 않으며, 테스트 과정에서 많은 사용자의 노력을 요구한다. 대부분의 보안 관리자들은 보안 정책을 새로 수립하거나 기존의 보안 정책을 수정할 때에 새로운 보안 정책을 체계적으로 테스트하는 것에 부담을 느낀다. 이런 부담을 경감해주기 위해 우리는 사용자의 참여를 최소화하는 새로운 테스트 방법을 제안한다. 제안하는 방법은 테스트 케이스와 테스트 오라클의 생성을 자동화한다. 자동으로 생성된 테스트 케이스는 테스팅 과정의 입력 요소를 선택해야 하는 고민을 덜어주며, 자동으로 생성된 테스트 오라클은 사용자의 도움 없이 테스트 결과에 대한 판단을 가능하게 한다. 우리의 테스트 방법을 구현한 테스트 도구는 테스트 수행의 전체 4단계 중 테스트 준비, 테스트 실행, 테스트 평가의 3단계에 걸쳐 테스트 자동화를 실현하고 있다. 이런 테스트 도구 위에서 테스팅을 수행하게 된다면 결과적으로 테스트 활동의 신뢰도를 보다 높게 향상시킬 수 있다. 이 논문은 우리의 테스트 방법과 테스트 도구의 설계 및 구현에 관한 내용을 기술한다.

• 한국산학기술학회:학술대회논문집
• /
• 한국산학기술학회 2004년도 춘계학술대회
• /
• pp.155-157
• /
• 2004

본 논문에서는 최근의 가장 대표적인 해킹 방법인 DDoS 공격도구들을 분석하고, DDoS 공격에 대한 기존에 제시된 대응방안들을 검토하여 보다 적절한 대응을 할 수 있는 DDoS 공격 탐지 및 대응 시스템을 설계한다. 제안된 시스템은 탐지 모듈에서 탐지된 공격에 대해 관리자에게 보고하여 적절한 대응을 하고 침입으로 판정되는 패킷들에 대해서는 필터링을 실시하여 네트워크 레벨에서 필터링하고 차단할 수 있는 장점을 살릴 수 있다.

• 한국정보과학회:학술대회논문집
• /
• 한국정보과학회 2007년도 한국컴퓨터종합학술대회논문집 Vol.34 No.1 (D)
• /
• pp.489-494
• /
• 2007

침입방지 시스템(IPS, Intrusion Prevention System)은 인라인모드(in-line mode)로 네트워크에 설치되어, 네트워크를 지나는 패킷 또는 세션을 검사하여 만일 그 패킷에서 공격이 감지되면 해당 패킷을 폐기하거나 세션을 종료시킴으로서 외부의 침입으로부터 네트워크를 보호하는 시스템을 의미한다. 침입방지 시스템은 크게 두 가지 종류의 동작을 수행한다. 하나는 이미 알려진 공격으로부터 방어하는 시그너처 기반 필터링(signature based filtering)이고 다른 하나는 알려지지 않은 공격이나 비정상 세션으로부터 방어하는 자기 학습 기반의 변칙 탐지 및 방지(anomaly detection and prevention based on selflearning)이다. 시그너처 기반 필터링에서는 침입방지시스템을 통과하는 패킷의 페이로드와 시그너처라고 불리는 공격 패턴들과 비교하여 같으면 그 패킷을 폐기한다. 시그너처의 개수가 증가함에 따라 하나의 들어온 패킷에 대하여 요구되는 패턴 매칭 시간은 증가하게 되어 패킷지연 없이 동작하는 고성능 침입탐지시스템을 개발하는 것이 어렵게 되었다. 공개 침입방지 소프트웨어인 SNORT를 위한 여러 개의 효율적인 패턴 매칭 방식들이 제안되었는데 시그너처들의 공통된 부분에 대해 한번만 매칭을 수행하거나 한 바이트 단위 비교대신 여러 바이트 비교 동작을 수행함으로써 불필요한 매칭동작을 줄이려고 하였다. 본 논문에서는 패턴 매칭 시간을 시그너처의 개수와 무관하게 하기 위하여 시그너처 해싱 기반에 기반한 고성능 침입방지시스템을 제안한다.

• 정보처리학회논문지C
• /
• 제13C권7호
• /
• pp.821-830
• /
• 2006

전 세계적으로 큰 피해를 주는 웜을 탐지하고 필터링 하는 것은 인터넷 보안에서 큰 이슈중의 하나이다. 웜을 탐지하는 하나의 방법으로서 리눅스 넷필터 커널 모듈이 사용된다. 웜을 탐지하는 기본 동작으로서 스트링 매칭은 네트웍 상으로 들어오는 패킷을 미리 정의된 웜 시그니쳐(Signature, 패턴)와 비교하는 것이다. 웜은 하나의 패킷 혹은 2개(혹은 그 이상의) 연속된 패킷에 나타난다. 이때, 웜의 일부분은 첫 번째 패킷에 있고 나머지 부분은 연속된 패킷 안에 있다. 웜 패턴의 최대 길이가 1024 바이트를 넘지 않는다고 가정하면, 2048 바이트의 길이를 가지는 2개의 연속된 패킷에 대해서 스트링 매칭을 수행해야만 한다. 이렇게 하기 위해, 리눅스 넷필터는 버퍼에 이전 패킷을 저장하고 버퍼링된 패킷과 현재의 패킷을 조합한 2048 바이트 크기의 스트링에 대해 매칭을 수행한다. 웜 탐지 시스템에서 다루어야 하는 동시 연결 개수의 수가 늘어날수록 버퍼(메모리)의 총 크기가 증가하고 스트링 매칭 속도가 감소하게 된다. 이에 본 논문에서는 메모리 버퍼 크기를 줄이고 스트링 매칭의 속도를 증가시키는 버퍼를 이용하지 않는 스트링 매칭 방식을 제안한다. 제안된 방식은 이전 패킷과 시그니쳐(Signature)의 부분 매칭 결과만을 저장하고 이전 패킷을 버퍼링하지 않는다. 부분 매칭 정보는 연속된 패킷에서 웜을 탐지하는데 사용된다. 제안된 방식은 리눅스 넷필터 모듈을 수정하여 구현하였고, 기존 리눅스 넷필터 모듈과 비교하였다. 실험 결과는 기존 방식에 비해 25%의 적은 메모리 사용량 및 54%의 속도 향상을 가짐을 확인하였다.

• 한국컴퓨터정보학회:학술대회논문집
• /
• 한국컴퓨터정보학회 2015년도 제52차 하계학술대회논문집 23권2호
• /
• pp.63-66
• /
• 2015

본 논문에서는 미러링 환경에서 동작하는 악성링크 차단 및 URL 필터링 시스템에서 URL 접속을 차단할 수 있는 페이지 리다이렉션 기술을 소개한다. 미러링(Mirroring: Out of Path) 환경에서 URL 패킷을 차단하기 위해서 많이 사용하고 있는 방법으로는 RST (Reset) 패킷을 전송하여 세션을 종료하는 방법이다. 이 방법은 요청 서버에 RST(Reset) 패킷을 보내 강제로 종료하는 방식이기 때문에 사용자에게 접근 차단과 관련된 상태 등의 정보를 알려줄 수 없다. 현재 인라인(In-line) 방식에서 사용되고 있는 페이지 리다이렉션 기술을 미러링 환경에서 구현하여 사용자에게 차단 정보를 보여줄 수 있으며 다양한 장비 개발 환경에서 유용하게 사용할 수 있는 기술이라고 판단한다.

• 한국정보과학회:학술대회논문집
• /
• 한국정보과학회 2003년도 봄 학술발표논문집 Vol.30 No.1 (C)
• /
• pp.650-652
• /
• 2003

무선 통신 기술의 발전으로 무선망에서 멀티이디어 사용자의 수가 급격히 증가하고 있으며 서비스 질에 대한 요구가 증가하고 있다. 하지만 모바일 컴퓨팅 환경에서는 무선 링크의 취약성과 사용자의 이동성으로 인해 연속 멀티미디어 스트리밍 서비스를 제공하기 어렵다. 본 논문에서는 핸드오프로 인한 지연이나 패킷 손실 없이 사용자에게 멀티미디어 서비스를 제공하기 위해서 지능형 버퍼링 핸드오프 프로토콜과 Pre-customization 기법을 제안한다. 지능형 버퍼링 핸드오프 프로토콜은 핸드오프 중에 모바일 호스트가 이동할 셀의 Basestation에 미리 패킷을 버퍼링하고 MH가 새로운 셀로 이동했을 때. 즉시 패킷을 전송할 수 있게 한다. 그리고 핸드오프 동안 Basestation은 Pre-Customization을 통해 미리 멀티미디어 데이터를 무선 링크 상태와 단말기 수용성. 사용자 선호도를 고려한 필터링을 항으로써 QoS 재협상 없이 서비스를 제공한다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2005년도 추계학술발표대회 및 정기총회
• /
• pp.1023-1026
• /
• 2005

지난 몇 년간 DDoS 공격의 기법들은 더욱 복잡해지고 효과적으로 변하였으며, 공격자를 추적하기는 더욱 힘들어지고 있다. 이러한 문제들에 대응하기 위해 다양한 패킷 필터링 기법과 공격자 추적 기법등 많은 연구들이 진행되어 왔다. 하지만 이러한 노력에도 불구하고 DDoS 공격은 여전히 인터넷의 안정성을 위협하는 요소로 작용하고 있다. 따라서 본 논문에서는 이러한 위협에 대응하기 위하여 Active Edge 라우터 기반의 분산 서비스 거부공격대응 기법을 제안하고자 한다. 제안된 방법의 경우 기존의 중간 라우터(intermediate-router)의 오버헤더, 공격경로 재구성에 필요한 오버헤더, 재구성된 공격경로의 부정확성과 같은 기존의 기법들이 지니고 있던 단점들을 보완하고 있다. 또한 제안된 방법의 경우 공격 패킷을 공격대상 네트워크가 아닌 공격자가 위치하고 있는 네트워크에서 제거함으로서 공격패킷의 필터링 효과를 더욱 향상 시켰다.

• 전기전자학회논문지
• /
• 제9권1호
• /
• pp.19-30
• /
• 2005

패킷 분류란 규정된 규칙과 입력된 패킷의 헤더 필드를 검색하여 매칭 여부를 판단하는 것으로 하드웨어적인 패킷 필터링 시스템은 일반적으로 Ternary Content Addressable Memory를 사용하여 구현된다. 하지만 TCAM은 구조적인 특성으로 인해 범위 규칙을 효율적으로 분류할 수 없기 때문에 기존의 필터링 시스템에서는 주어진 범위를 대표할 수 있는 prefix 형태의 값으로 범위를 변환하고 변환된 값을 TCAM 엔트리에 저장하여 패킷 필터링 을 수행하며, 이 경우 범위 규칙의 필드가 W비트일 때 최대 2W-2 개의 엔트리가 필요하다 범위 규칙이 일반적으로 패킷 헤더 필드 중 소스포트와 목적지포드 필드에 사용되는 것을 고려하면 하나의 규칙이 최대 900개의 엔트리를 점유하게 된다. 본 논문에서는 범위 규칙을 TCAM 엔트리로 변환시 점유 엔트리 수를 줄이기 위해 범위 규칙을 대칭성을 가지는 그레이 코드로 변환한 후 범위를 대표할 수 있는 TCAM 엔트리로 변환하는 알고리즘을 제시하였다. 제안된 알고리즘은 최대 2W-4 개의 TCAM 엔트리로 변환되며, 모든 범위에 대해 기존의 방법 보다 항상 더 적은 수의 TCAM 엔트리를 생성한다 또한 negation 범위에 대해서도 효율적으로 적용 할 수 있다. 시뮬레이션 결과 16 비트의 범위 매칭에 대해 기존의 방법보다 제안된 알고리즘이 평균 7%의 TCAM 엔트리를 감소시킬 수 있으며, 패킷의 소스와 목적지 포트를 동시에 고려하는 경우 평균 14%를 절감할 수 있고, 실제 사용되고 있는 침입탐지 프로그램의 범위 규칙에 적용시킨 결과 10% 정도의 TCAM 엔트리를 절약할 수 있음을 보였다.

• 한국정보통신설비학회:학술대회논문집
• /
• 한국정보통신설비학회 2006년도 하계학술대회
• /
• pp.134-140
• /
• 2006

홈 게이트웨이가 가져야 하는 기능에 대한 요구사항을 분석하고 통신사업자의 관점에서, QoS 기능과 IP 주소변환 기능을 중심으로 세부적인 스위칭 칩의 기능과 성능을 규정하였다. QoS 기능, 패킷 필터링 기능, 그리고 IPv6 주소체계 도입 등과 같이 급변하는 네트워크의 요구사항을 유연하게 수용하여, 칩의 기능과 성능을 수정하거나 추가할 수 있도록 패킷프로세서 기반으로 스위칭 칩을 설계하였으며, 홈 게이트웨이의 구성을 단순화하기 위해 스위칭 칩의 패킷 메모리와 룩업 메모리를 칩 내부에 내장하였다. 그리고 칩의 설계를 검증하기 위해 FPGA를 이용하여 6포트 스위칭 칩으로 구현하여 기능 및 성능시험을 수행하였다. NAT, Flow에 따른 패킷 분류 및 패킷 변경, SPQ, DWRR과 같은 스케줄링 등의 시험을 통하여 설계한 칩의 기능과 성능을 확인하였다.

• 한국정보통신학회:학술대회논문집
• /
• 한국정보통신학회 2016년도 춘계학술대회
• /
• pp.224-226
• /
• 2016

패킷은 데이터 전송에서 송신측과 수신측에 의하여 하나의 단위로 전송되는 집합체를 의미한다. 본 논문에서는 패킷 스니핑을 통해 네트워크 환경에서 송/수신되는 패킷들을 모니터링 함으로써 사용자 보안에 대한 취약점을 최소화하고, 패킷 전송 과정에서 사용자가 정의한 규칙에 의해 필터링하거나 네트워크 트래픽에 대한 통계 수집 등의 기능을 제공하는 C# 기반 패킷 분석기의 설계를 제안한다.