• 한국정보보호학회:학술대회논문집
• /
• 한국정보보호학회 2003년도 동계학술대회
• /
• pp.179-184
• /
• 2003

컴퓨터를 통한 침입을 탐지하기 위해서 많은 연구들이 오용탐지 기법을 개발하였다. 최근에는 오용 탐지 기법을 개선하기 위해서 비정상행위 탐지 기법에 관련된 연구들이 진행중이다. 본 논문에서는 클러스터링 기법을 응용한 새로운 네트워크 비정상행위 탐지 기법을 제안한다. 이를 위해서 정상 행위를 다양한 각도에서 분석될 수 있도록 네트워크 로그로부터 여러 특징들을 추출하고 각 특징에 대해서 클러스터링 알고리즘을 이용하여 정상행위 패턴을 생성한다. 제안된 방법에서는 정상행위 패턴 즉 클러스터를 축약된 프로파일로 생성하는 방법을 제시하며 제안된 방법의 성능을 평가하기 위해서 DARPA에서 수집된 네트워크 로그를 이용하였다.

• 한국정보과학회:학술대회논문집
• /
• 한국정보과학회 2012년도 한국컴퓨터종합학술대회논문집 Vol.39 No.1(C)
• /
• pp.183-185
• /
• 2012

행위 DB로부터 행위패턴 분석 및 마이닝을 위해서는 정교한 행위패턴 모델링 기술이 수반되어야 한다. 기존의 그래프기반 행위 패턴 모델링 방법은 하루 행위 시퀀스들의 동일한 행위 시퀀스 세그먼트를 찾아 하나의 행위 시퀀스로 결합시켜 행위 그래프를 생성하였다. 이 방법은 서로 다른 시간에 발생한 행위 시퀀스 세그먼트들이 하나의 행위 시퀀스로 결합되는 문제가 발생한다. 본 논문에서는 하루의 행위 시퀀스를 시간 세그먼트 단위로 분할하고, 각 시간 세그먼트별로 행위 그래프를 생성하여 정교한 행위 그래프 모델을 수립하는 방법을 제안한다. 그래프 마이닝 기법들을 활용한 실험을 통하여 제안하는 행위패턴 모델링 기법이 기존의 행위 그래프 모델 기법보다 더 유용함을 보인다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2003년도 춘계학술발표논문집 (하)
• /
• pp.1579-1582
• /
• 2003

점차 네트워크상의 침입 시도가 증가되고 다변화되어 침입탐지에 많은 어려움을 주고 있다. 시스템에 새로운 침입에 대한 탐지능력과 다량의 감사데이터의 효율적인 분석을 위해 데이터마이닝 기법이 적용된다. 침입탐지 방법 중 비정상행위 탐지는 모델링된 정상행위에서 벗어나는 행위들을 공격행위로 간주하는 기법이다. 비정상행위 탐지에서 정상행위 모델링을 하기 위해 연관규칙이나 빈발에피소드가 적용되었다. 그러나 이러한 기법들에서는 시간요소를 배제하거나 패턴들의 발생순서만을 다루기 때문에 정확하고 유용한 정보를 제공할 수 없다. 따라서 이 논문에서는 이 문제를 해결할 수 있는 시간연관규칙과 분류규칙을 이용한 비정상행위 탐지 모델을 제안하였다. 즉, 발생되는 패턴의 주기성과 달력표현을 이용, 유용한 시간지식표현을 갖는 시간연관규칙을 이용해 정상행위 프로파일을 생성하였고 이 프로파일에 의해 비정상행위로 간주되는 규칙들을 발견하고 보다 정확한 비정상행위 판별 여부를 결정하기 위해서 분류기법을 적용하였다.

• 한국정보과학회:학술대회논문집
• /
• 한국정보과학회 2010년도 한국컴퓨터종합학술대회논문집 Vol.37 No.1(B)
• /
• pp.16-21
• /
• 2010

분산 이동 실시간 시스템의 명세, 개발 및 검증을 위해 ${\pi}$-calculus, bigraph, Mobile Ambient, CARDMI 등의 정형기법이 존재한다. 이러한 정형기법은 이동하는 에이전트 혹은 프로세스에 대한 명세 및 시스템의 안전성과 검증에 대한 분석을 지원하지만, 행위의 의미적 관점에서 분석 및 검증 방법을 제시하고 있지 않다. 본 논문에서는 정형기법으로 명세 된 시스템의 실행 데이터인 원시 데이터를 행위의 의미적 관점에서 시스템을 분석 및 검증이 가능한 Prism Analyzer를 제안한다. 제안된 Prism Analyzer는 특정 시스템에 대해 발생할 수 있는 다양한 행위를 온톨로지와 속성문법으로 정규화한 다양한 행위모델을 지닌다. 이러한 Prism Analyzer는 원시 데이터를 행위의 의미적 측면에서 개별적, 연속적, 복합적으로 분석 및 검증이 가능하고, Prism Analyzer에 정의된 다양한 행위 모델을 바탕으로 동일한 원시 데이터에 대해 행위 모델에 따른 다양한 분석 결과를 도출해 낼 수 있다.

• 한국정보과학회:학술대회논문집
• /
• 한국정보과학회 2002년도 봄 학술발표논문집 Vol.29 No.1 (A)
• /
• pp.805-807
• /
• 2002

악성 코드를 포함하고 있는 악성 오브젝트(또는 프로그램)들을 막기 위한 방법으로서 오브젝트의 정상 행위를 정의해 놓고 정상행위에서 벗어나면 악성으로 판단하는 Sandbax, MAPBox등이 있다. 이러한 방법들 모두 오브젝트의 정상행위가 무엇인가를 정의하고, 정상행위에 맞는 자원을 할당하는데 초점을 맞추고 있다. 하지만. 정상행위로 정의된 행위의 범위 안에서도 악성행위를 할 수 있다. 본 논문에서는 정상행위의 범위 안에서 발생할 수 있는 악성행위를 막기 위한 방법으로서 사용자와 오브젝트와의 관계를 고려한 강화된 악성 객체 방지 기법에 대하여 제시하였다.

• 한국시뮬레이션학회논문지
• /
• 제23권4호
• /
• pp.171-180
• /
• 2014

본 연구는 모의개체로 하여금 동적행위연결을 통한 목적지향 행위계획을 수행토록 하는 기법의 구현사례로서 재계획기법을 소개한다. 기존의 행위처리기법, 특히 Semi-Automated Forces (SAF)에서는 모의 초기에 주어진 정해진 계획을 단순히 수행하는 수준에서 크게 벗어나지 않는다. 따라서 인간의 판단 같은 예측불허 상황이 발생하는 (Human in the loop) 모의에서 기존 기법은 상황대처에 미흡하다. 또한 그러한 기법은 돌발상황 대응을 위한 광범위한 경우의 수를 고려하다보면 행위조합 폭증 문제를 겪을 수 있으며, 그러한 조합이 상황에 부합하지 않을 수 있다. 재계획기법은 역전파(back-propagation)를 활용, 목표달성을 위해 필요한 행위들을 검색, 연계하는 자동계획기법 구현사례이다. 이 기법은 행위에 태그(pre/post-conditions)를 부여, 동적으로 행위들을 연결한다. 본 논문은 기법의 실효성 입증을 위해 국방분야의 연구과제에 적용된 성과를 소개한다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2013년도 추계학술발표대회
• /
• pp.1196-1198
• /
• 2013

행위 패턴은 사람의 행위들이 수행되는 양식으로 성향, 습관, 건강상태 등에 따라 다르게 나타나는 생활양식이다. 헬스케어, 마케팅, 정책 결정 등과 같은 다양한 분야에서 사람의 행위패턴을 활용하고 있다. 행위 패턴을 분석하기 위한 방법으로 행위 패턴들을 비교하는 연구가 진행되고 있다. 기존의 행위 패턴 비교 기법은 구조적 정보만을 반영하여 정확도가 저하되는 문제점이 발생한다. 본 논문에서는 두 행위 그래프를 효과적으로 유사도를 정확하게 비교하기 위하여 구조적 정보와 행위 간의 의미적 유사성을 동시에 반영한다. 실험을 통하여 기존의 기법보다 약 4% 정확도가 향상됨을 보인다.

• 한국정보보호학회:학술대회논문집
• /
• 한국정보보호학회 2001년도 종합학술발표회논문집
• /
• pp.91-95
• /
• 2001

본 논문은 현재 컴퓨터 사용자들에게 많은 피해를 입히고 있는 악성 스크립트 코드에 대한 탐지기법을 제시하고자 한다. 스크립트 언어는 타 언어에 비해서 단순하며, 상위 수준의 언어로 작성된 소스를 직접 분석가능하기 때문에 기존의 이진 파일 형태의 바이러스 비해 정적 분석 기법 적용이 용이하다. 제안하는 탐지 기법은 기존의 스코어링 방식을 기반으로 한 패턴 매칭과는 달리 스크립트가 수행하는 악성 행위의 분석을 통해 행위 패턴을 생성하고, 이 패턴들을 정적 분석 기법을 통해 패턴간의 관계 분석을 통해 보다 확실한 악성 행위를 탐지하여 스크립트에 포함된 악성행위들을 보고한다. 기존 대부분의 바이러스 탐지 도구들은 이미 알려진 바이러스들만을 탐지 할 수 있다. 정적 분석 기법을 이용한 악성 스크립트 탐지 방법은 악성 행위 별 패턴 존재 여부를 판단하므로 이미 알려진 바이러스는 물론 알려지지 않은 바이러스를 탐지 할 수 있는 방안을 제시한다.

• 한국정보과학회논문지:소프트웨어및응용
• /
• 제33권9호
• /
• pp.751-775
• /
• 2006

본 논문에서는 아바타의 행위(Avatar Behavior)를 상위 레벨 명령어(High-Level Behavior)들로 이루어진 스크립트로 제어하는 기법을 제안한다. 아바타 행위를 추상화 정도에 따라 구분하고 이를 표준화된 계층적 스크립트(Layered Script)로 정의 함으로써 사용자는 스크립트를 재사용할 수 있고 행위의 추상화 조절이 가능하다. 또한 가상 환경이 복잡해짐에 따라 아바타 행위도 다양하게 늘어날 뿐 아니라 아바타-객체 상호작용 처리 역시 복잡해지고 있다. 이러한 문제점을 해결하기 위해 아바타와 객체간의 상호작용을 위한 객체 모델을 제안하여 아바타와 객체간 벌어지는 행위들을 객체 안에 분산시켜 표현함으로써 객체지향 방식으로 아바타 행위를 유연하게 제어할 수 있도록 설계하였다. 이를 위해 제안 객체 모델에서는 객체의 상태에 따라 사용 가능한 행위가 결정되는 컨텍스트 메뉴(context menu) 인터페이스와 동작 생성 모델을 정의하였다. 또한 사용자는 기존의 2D 혹은 텍스트기반 스크립트 작성기법을 벗어나 제안된 3D 인터페이스 기법을 통하여 실시간으로 아바타의 행위 스크립트를 작성 및 재생 할 수 있다. 본 연구에서는 제안 기법의 활용을 위해 프레젠테이션 도메인 환경의 시스템을 구축하고 아바타-객체 행위제어 및 스크립트 생성 기법을 적용하였다. 본 논문에서는 아바타의 행위(Avatar Behavior)를 일종의 상위 레벨 명령어(Hi8h-Level TaskBehavior)들로 이루어진 스크립트로 제어하는 기법을 제시한다제안한다. 아바타 행위를 추상화 정도에 따라 구분하고 이를 표준화된 계층적 스크립트(Multi-LeveiLayered Script)로 정의 함으로써 사용자는 쉽게 스크립트를 재사용할 수 있고 행위의 추상화 정도도 쉽게 조절이 가능하다. 또한 또한 아바타와 객체간의 상호작용을 위한 객체 모델을 제시한다. 가상 환경이 복잡해짐에 따라 아바타 행위도 다양하게 늘어날 뿐 아니라 아바타-객체 상호작용 처리 역시 복잡해지고 있다. 이러한 문제점을 해결하기 위해 아바타와 객체간의 상호작용을 위한 객체 모델을 제안하여 아바타와 객체간 벌어지는 모든 행위들을 객체 안에 분산시켜 저장표현함으로써 객체지향 방식으로 아바타 행위를 유연하게 제어객체의 수와 무관하게 상호작용을 처리할 수 있도록 설계하였다. 이를 위해 또한 복잡해진 제안 객체 모델에서는 객체의 상태에 따라 사용 가능한 행위가 결정되는 가상 환경을 위해 새로운 인터페이스로 컨텍스트 메뉴(context menu) 인터페이스와 동작 생성 모델을 제시한다. 정의하였다. 객체 모델에서 객체의 상태 정보와 행위 정보를 분석해 아바타가 할 수 있는 행위를 컨텍스트 메뉴로 제공하기 때문에 사용자는 가상 환경의 상태에 상관 없이 직관적으로 명령을 줄 수 있다. 또한 사용자는 기존의 2D 혹은 텍스트기반 스크립트 작성기법을 벗어나 사용자는 제안된 3D 인터페이스 기법을 통하여 실시간으로 아바타의 행위 스크립트를 작성 및 재생 할 수 있다. 본 논문에서 제시한 시스템은 기존의 아바타 중심적인 제어를 객체에 분산함으로써 효율적이고 직관적인 명령을 내릴 수 있고 또한 손쉬운 시나리오 생성을 가능하게 하였다. 본 연구에서는 제안 기법의 활용을 위해 프리젠테이션 도메인 환경의 시스템을 구축하고 아바타-객체 행위제어 및 스크립트 생성 기법을 적용하였다.

• 한국컴퓨터정보학회논문지
• /
• 제19권1호
• /
• pp.85-94
• /
• 2014

본 논문에서는 사용자 시스템이 악성 프로그램에 의해 피해를 입은 후 시그니처나 보안 패치가 나오기 전에 피해를 최소화하기 위한 방법으로 파일 DNA 기반의 행위 패턴 분석을 통한 탐지 기법을 연구하였다. 기존의 네트워크 기반의 패킷 탐지기법과 프로세스 기반 탐지 기법의 단점을 보완하여 제로데이 공격을 방어하고 오탐지를 최소화하기 위해 파일 DNA 기반 탐지기법을 적용하였다. 파일 DNA 기반 탐지기법은 악성코드의 비정상 행위를 네트워크 관련 행위와 프로세스 관련 행위로 나누어 정의하였다. 사용자 시스템에서 작동되는 프로세스의 중요한 행위와 네트워크 행위를 정해진 조건에 의해 검사 및 차단하며, 프로세스 행위, 네트워크 행위들이 조합된 파일 DNA를 기반하여 악성코드의 행위 패턴의 유사도를 분석하여 위험경고 및 차단을 통한 대응 기법을 연구하였다.