• 정보처리학회논문지C
• /
• 제13C권1호
• /
• pp.19-26
• /
• 2006

최근 웹서버 해킹은 전통적인 해킹기법에 비해 상대적으로 취약한 오픈소스 기반 점 어플리케이션의 취약점을 이용한 어플리케이션 해킹으로 가고 있는 추세에 있다. 또한, 최근 웹서버는 데이터베이스와 연결을 통해 사용자정보 등을 저장하고 있어, 정 인터페이스를 통한 데이터베이스 해킹으로 이어지는 문제점을 가지고 있다. 점 어플리케이션에 대한 공격은 웹서버 자체의 취약점을 이용하는 것이 아니라 특정목적으로 작성된 정 어플리케이션의 구조, 논리, 코딩상의 취약점을 이용하는 것으로, 공격을 방어하기 위해 패턴매칭을 이용한 필터링을 수행하거나 코드를 수정하는 방법이 있을 수 있지만 새로운 공격에 대해서는 탐지 및 방어가 어렵다. 본 논문에서는 다양한 원 어플리케이션에 존재하는 취약점을 방어하기 위해 컴 어플리케이션의 구조와 특징 값을 추출하는 프로파일링 기법을 이용하여 비정상 요청을 탐지하는 방법을 제시하고, 웹 프락시 형태로 비정상적인 점 어플리케이션 공격을 탐지 및 필터링 하도록 구현하였다.

• 정보보호학회논문지
• /
• 제21권2호
• /
• pp.119-129
• /
• 2011

본 논문은 인터넷 서버의 정상적인 TCP 연결을 방해하는 형태의 DDoS(Distributed Denial of Service) 공격으로부터 서버를 보호하고 원활한 서비스를 제공하기 위한 DDoS 공격 차단 방법에 관한 것이다. 즉, 유효한 TCP 연결만을 전달해주는 기능을 가진 네트워크 인터페이스 카드에서의 고속 TCP 연동 로직(NIC_Cookie)에 대하여 기술한다. NIC_Cookie의 장점은 플러딩 공격 상태에서도 실시간으로 공격 패킷을 차단하고 정상적인 패킷만이 메인 CPU로 전달될 수 있도록 하기 때문에, 서버의 CPU 성능과 외부 네트워크의 구성 등에 영향을 받지 않는다는 것이다. 또한, 패킷 단위로 공격 TCP 세션에 대하여 실시간 차단 대응을 하기 때문에 정상적인 연결 시도에 대하여 잘못된 대응을 할 가능성이 없다. 이와 더불어, NCI_Cookie 로직 추가로 발생하는 지연시간은 패킷 길이와 상관없이 $7{\times}10^{-6}$초 이하의 성능을 보장하며, 본 논문에서는 구현된 NIC_Cookie가 일반적인 플러딩 공격을 실시간으로 방어하면서 그 성능을 보장함을 확인하였다.

• 한국통신학회논문지
• /
• 제31권4A호
• /
• pp.377-384
• /
• 2006

인터넷 기술의 급속한 발전에 따라 지금까지 구축된 IP PBX의 대략적인 구성은, 음성 데이터 통합 기술이 구내전화 시스템에 적용돼 구내 모든 전화기가 VoIP 지원하는 IP 폰으로 대체되고, 기업과 외부 PSTN의 접점에 VoIP 게이트웨이가 설치돼 통화를 중계한다. 따라서 국제 전화나 장거리 전화, 본사와 지사 간의 통화가 인터넷을 통해 연결돼 통신비용 절감 효과를 가져 올 수 있다. 따라서 본 연구에서는 프락시(Proxy)서버가 필요치 않고 단말기만으로 서로 PBX망을 형성하여 콜(Call)를 분배할 수 있도록 하는 IP PBX 단말기를 구현하였다. 따라서 본 단말기는 역할에 따라 마스터(Master), 서버(Server), 클라이언트(Client)로 등록하여 사용할 수 있도록 디자인하여 그 성능과 타당성을 입증하였다.

• 방송공학회논문지
• /
• 제10권3호
• /
• pp.313-320
• /
• 2005

멀티미디어 스트리밍 서비스의 증가는 인터넷 컨텐츠의 새로운 국면으로 나타나고 있다. 특히, 무선이동통신망에서 증가하는 멀티미디어 응용에 대한 QoS 제공은 무엇보다 중요하다. 멀티미디어 스트림은 일반적으로 인터넷과 무선망의 유실 특성, 지연, 프로토콜 오버헤드로 인해 높은 초기 지연시간을 가진다. 서비스 제공자는 클라이언트 가까이에 있는 프락시에서 자주 액세스 되어지는 멀티미디어 스트림의 초기 세그먼트를 캐슁함으로써 성능을 향상 시킬 수 있다. 프락시는 서버로부터 스트림의 나머지 부분을 요구함과 동시에 클라이언트에 전송을 시작할 수 있다. 본 논문에서는 캐슁 프락시의 성능을 향상시키기 위해 트래픽 기반 캐슁 기법(TSLRU)을 제안한다 TSLRU는 트래픽을 세 종류로 분류하여 캐슁하며, 교체 대상 결정 시 여러 요소(traffic types, recency, frequency, object size)를 반영함으로 써 캐슁 프락시의 성능을 향상 시킨다. 모의실험에서 캐슁 알고리즘은 byte hit rate과 startup latency에서 높은 성능을 보였다.

• 지구물리
• /
• 제4권4호
• /
• pp.239-249
• /
• 2001

NAT (Network Address Translation)은 임의의 사설 IP 주소를 인터넷의 정식 IP주소로 변환하는 메커니즘으로써 네느퉈크 보안 및 인터넷 주소의 절약이 주요 기능이다. 일반적으로 NAT는 패킷 헤더의 IP정보를 이용하여 이러한 기능을 수행한다. 하지만 특정 응용 프로토콜들은 패킷의 헤더분만 아니라. 데이터 부분에도 종단간 통신에 필요한 정보가 존재하기 때문에, NAT는 이러한 정보를 적절하게 변환해 주어야 할 필요가 있다. 본 논문에서는 포트프락시(port proxy)서버를 이용하여, 패킷의 테이더에 있는 가상 IP정보를 실제 IP정보로 변환하여, 외부와 통신이 원할하게 이루어 질 수 있도록 하는 방안을 제시하고 실제로 구현하였다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2005년도 추계학술발표대회 및 정기총회
• /
• pp.773-776
• /
• 2005

본 논문에서는 그동안 연구 및 개발해온 분산객체그룹 프레임워크로부터 새로운 분산서비스들을 추가한 확장 분산객체그룹 프레임워크를 제안한다. 확장 분산객체그룹 프레임워크는 기존 프레임워크의 구성요소들과 이들에 의해 제공되는 서비스들은 그대로 유지하고, 분산 프로그램 개발 툴(Distributed Programming Developing Tool, DPD-Tool), 모바일 프락시 및 컨텍스트 제공자 구성요소들을 새롭게 추가하였다. 각 구성요소의 제공 서비스를 살펴보면, DPD-Tool은 분산객체그룹 프레임워크의 지원을 받아 클라이언트, 서버 프로그램 개발자 및 분산응용 관리자 GUI를 통해 쉽고 편리하게 분산 프로그램을 개발할 수 있는 도구이다. 모바일 프락시는 분산응용 서비스를 요청하는 이동 사용자의 위치를 기반으로 서비스 수행의 연속성을 지원한다. 그리고 컨텍스트 제공자는 하드웨어 기기 및 센서들로부터의 상황인식 및 추론 기술을 제공한다. 또한, 본 확장 프레임워크는 분산자원의 특성에 따라 다양한 속성정보를 통합 관리하기 위한 정보저장소 기술을 포함하며, 기존서비스 뿐만 아니라 새롭게 추가한 분산서비스들의 지원을 통해 분산응용의 수행성을 보장하도록 한다. 결론적으로 본 연구에서는 다양한 분산서비스에 맞추어 상황별로 적응 지원이 가능하며, 분산 프로그램을 용이하게 개발할 수 있는 도구를 함께 제공하고 있는 통합 프레임워크를 제시한다..

• 공학논문집
• /
• 제5권1호
• /
• pp.45-55
• /
• 2004

NAT (Network Address Translation)은 임의의 사설 IP 주소를 인터넷의 정식 IP 주소로 변환하는 메커니즘으로써 네트워크 보안 및 인터넷 주소의 절약이 주요 기능이다. 일반적으로 NAT는 패킷 헤더의 IP정보를 이용하여 이러한 기능을 수행한다. 하지만 특정 응용 프로토콜들은 패킷의 헤더뿐만 아니라, 데이터 부분에도 종단간 통신에 필요한 정보가 존재하기 때문에, NAT는 이러한 정보를 적절하게 변화해 주어야 할 필요가 있다. 본 논문에서는 포트프락시(port proxy)서버를 이용하여, 패킷의 데이터에 있는 가상 IP정보를 실제 IP정보고 변환하여, 외부와 통신이 원할하게 이루어 질 수 있도록 하는 방안을 제시하고 실제로 구현하였다.

• 한국통신학회논문지
• /
• 제32권12B호
• /
• pp.750-757
• /
• 2007

본 논문에서는 SIP 기반의 VoIP 망에서 발생할 수 있는 스팸 위협에 대해 분석하고 이를 차단하기 위해 UA와 프락시 서버 간에 인증 및 SDP를 암호화할 수 있는 키 교환 기법을 제안한다. 기존 HTTP 다이제스트 인증은 호 설정 시 마다 사용자 인증을 위해 매 번 challenge 값을 전송해야 하므로 많은 메시지 교환 과정이 요구되고 SDP에 대한 기밀성도 제공하지 않는다. 제안 기법은 본 논문에서 분석한 스팸 위협을 차단하기 위해 등록 과정 에서 세션 마스터 키 및 초기 nonce를 교환하고 이 키를 인증 키 및 암호화 키로 유도해 사용하므로 호 설정 시 challenge 값 전송에 따른 메시지 교환 과정과 S/MIME 또는 TLS 적용 시 발생하는 오버헤드를 줄일 수 있다.

• 한국통신학회논문지
• /
• 제40권4호
• /
• pp.692-699
• /
• 2015

서비스형 IT 요소 배포 기술(XaaS)는 소프트웨어, 프랫폼, 인프라와 같은 IT 요소의 기능 중 사용자가 필요로 하는 기능만을 서비스로 배포해 이용하도록 한 IT 서비스 형태를 말한다. XaaS와 같은 서비스를 안전하고 효과적으로 제공하기 위해서는 네트워크 병목현상, 취약한 보안 문제와 같은 인터넷의 문제들을 해결해야만 한다. 미래인터넷 기술은 이와 같은 인터넷이 갖고 있는 다양한 문제들을 해결하기 위하여 제안되었다. 특히, 데이터 이름 기반 네트워킹 기술 (NDN)은 네트워크 노드 또는 멀티미디어 프락시 서버 등에 데이터를 임시 저장한 후, 해당데이터에 대한 요청이 다시 수신되면 앞서 저장된 데이터를 사용자에게 전송함으로써 데이터 배포자에게 집중되는 과다한 요청 메시지를 효과적으로 분산 처리하도록 설계되었다. 그러나 NDN은 수신된 데이터의 실제 배포자가 원배포자와 다르고, 실제 배포자를 확인할 수 없기 때문에 수신된 데이터를 신뢰할 수 없다는 문제점을 내포하고 있다. 그러므로 수신된 데이터를 이용하기 전에 반드시 해당 데이터를 검증해야 한다. 이와 같은 검증 프로세스는 XaaS의 서비스 운영 지연을 초래할 수 있다. 본 논문에서는 데이터 인증에 따른 문제점을 살펴보고, 효율적인 데이터 인증을 위한 개선된 운영 방안을 제안한다.

• 디지털융복합연구
• /
• 제14권6호
• /
• pp.405-413
• /
• 2016

인터넷의 여러 문제들을 해결하고, 데이터 전송 성능을 개선하기 위하여 제안된 다양한 미래 인터넷 아키텍처들은 네트워크 노드나 프락시 서버에 캐싱된 데이터를 활용하고 있다. 미래 인터넷 기술 중 하나인 데이터 이름 기반 네트워킹 (NDN)은 네트워크 노드에 데이터 캐싱 기능을 구현하고, 네트워크 노드가 데이터 요청 메시지에 응답함으로써 인터넷의 성능을 개선한다. 그러나 네트워크 노드에 데이터가 캐싱 된 이후에는 해당 데이터의 소유자가 데이터 배포 및 사용에 관여할 수 없기 때문에 사용자 프라이버시에 심각한 위협이 될 수 있다. 이를 해결하기 위해, NDN은 데이터 암호화 및 그룹 기반 키 관리 기술을 사용하여 데이터 접근 제어 기능을 제안하고 있다. 그러나 제안된 기술은 접근 통제 리스트와 복호화 키를 획득하기 위하여 추가적인 메시지 교환이 필요하기 때문에 성능 저하 요인이 될 수 있다. 본 논문은 NDN의 접근 통제 기능을 살펴보고, 성능 향상을 위한 개선된 방안을 제안한다.