• Proceedings of the Korea Institutes of Information Security and Cryptology Conference
• /
• 2001.11a
• /
• pp.453-458
• /
• 2001

악의의 침입자로부터 시스템을 보호하기 위한 첫 번째 단계는 시스템의 취약점을 분석하는 일이다. 기존의 시스템 취약점 분석 방법은 주로 네트워크 기반 취약점 점검 도구에 의존해 왔다. 하지만, 네트워크 기반 취약점 점검 도구는 대상 시스템의 제한된 정보만을 이용하여 취약점을 점검하기 때문에 시스템의 모든 취약점에 대한 검사가 불가능하다는 단점이 있다. 호스트 기반 취약점 점검 도구를 사용하면 시스템 내부의 모든 정보를 이용할 수 있지만, 시스템의 OS 종류나 버전에 따라 각기 다른 호스트 기반 취약점 점검 도구를 개발해야 한다는 단점이 있다. 또한, 호스트 기반 취약점 점검 도구들은 많은 호스트들을 동시에 점검하기 힘들다는 점이 문제로 지적되고 있다. 본 논문에서는 호스트 기반 취약점 점검 도구를 에이전트로 구현하여 대상 시스템에 설치하고, 하나의 관리 프로그램에서 여러 에이전트들을 관리함으로써 동시에 많은 호스트의 취약점들을 관리할 수 있는 모델인 ISMAEL을 제시한다. 또한 ISMAEL은 OS에 맞는 여러 호스트 기반 취약점 점검 도구들을 개발해야 하는 문제를 해결하기 위해 OS에 독립인 부분만을 뽑아내고, 그 외 OS에 종속된 부분은 Library 형태로 제공하여, OS에 독립인 부분에서 이 Library를 참조하여 특정 취약점 점검 코드를 자동 생성하고 이를 실행하여 취약성 여부를 판단할 수 있는 구조를 채택하고 있다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2000.04a
• /
• pp.756-760
• /
• 2000

인터넷 정보가전을 위한 내장형 실시간 응용프로그램을 개발하기 위해서는 개발도구의 지원이 필요하다. 이러한 도구들은 주로 원격개발환경에서 실행되는데, 디버그에이전트는 호스트 컴퓨터에서 수행되는 도구들의 요구를 타겟 시스템에서 실행하기 위한 타겟 상주형 태스크이다. 디버그에이전트는 도구들의 요구를 받아 이를 해석하고, 실행하며 그 결과를 호스트 컴퓨터로 전송한다. 호스트로 부터의 요구들은 디버그 프로토콜로 정의된다. 이 논문에서는 실시간 응용프로그램 개발 환경을 위한 디버그에이전트의 구조와 기능을 제안한다. 타겟 독립성을 부여하며 최소한의 타겟 자원만을 요구하도록 설계된 디버그프로토콜에 대해서도 소개한다.

• Journal of KIISE:Computer Systems and Theory
• /
• v.31 no.11
• /
• pp.626-634
• /
• 2004

In a client-server model, network server systems suffer from both heavy communication and computational loads. While communication channels become increasingly speedy, the existing protocol stack architectures still include mainly three performance bottlenecks of protocol stack processing, system call, and network interrupt overheads. To address these obstacles, in this paper we present a host-independent network system where a network interface card (NIC) is utilized in an efficient manner. First, by offloading network-related portion to the NIC, the host can fully utilize its processing power for other useful purposes. Second, it eliminates the system call overhead, such as context-switching and memory copy operations, since the host communicates with the NIC through its user-level libraries. Third, it a] so reduces the network interrupt operation count as the host handles the interrupt in a segment instead of a packet. The experimental results show that the proposed network system reduces the host CPU overhead for communication system by 68-71%. It also shows that the proposed system improves the communication speed by 11-83% under heavy computational and communication load conditions.

• Journal of the Korea Institute of Information Security & Cryptology
• /
• v.33 no.1
• /
• pp.87-97
• /
• 2023

Containers are an emerging virtualization technology that can build an isolated environment more lightweight and faster than existing virtual machines. For that reason, many organizations have recently adopted them for their services. Yet, the container architecture has also exposed many security problems since all containers share the same OS kernel. In this work, we focus on the fact that an attacker can abuse host resources to make them unavailable to benign containers-also known as host resource exhaustion attacks. Then, we analyze the impact of host resource exhaustion attacks through real attack scenarios exhausting critical host resources, such as CPU, memory, disk space, process ID, and sockets in Docker, the most popular container platform. We propose five attack scenarios performed in several different host environments and container images. The result shows that three of them put other containers in denial of service.

• Proceedings of the Korean Information Science Society Conference
• /
• 2005.11a
• /
• pp.106-108
• /
• 2005

멀티캐스트 환경에서 비밀키를 관리하는 방법은 않은 연구가 이루어져 왔지만, 대부분 유선 환경에 집중되어 있다. 본 논문에서는 이동 호스트를 지원하는 멀티캐스트 환경을 위한 두 개의 키관리 방법을 제안한다. 하나는 무선 네트워크 구조를 반영하는 트리 기반의 키 관리 방법이다. 다른 하나는 무선 영역과 유선 영역을 구분하여 키를 관리한다. 유선영역은 기존의 논리적 키 관리 방법을 사용하고 무선 영역은 각 셀마다 독립적으로 하나의 그룹키를 관리한다.

• The KIPS Transactions:PartC
• /
• v.10C no.1
• /
• pp.71-76
• /
• 2003

Internet traffic is getting tremendously heavier due to the exponential growth of the Internet users, the spread of the E-commerce and the network games. High-speed routers for fast packet forwarding are commercially available to satisfy the growing bandwidth. A high-speed router, which has the decentralized multiprocessing architecture for IP and routing functions, consists of host processors, line interfaces and switch fabrics. In this paper, we propose a software architecture tuned for high-speed non-forwarding packet manipulation. IPCMP (Inter-Processor Communication Message Protocol), which is a mechanism for IPC (Inter-Processor Communication), is also proposed and implemented as well. Proposed IPC mechanism results in faster packet-processing rate by 10% as compared to the conventional IPC mechanism using UDP/IP.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2016.04a
• /
• pp.51-54
• /
• 2016

NTB는 transparent bridge와 공통적으로 독립적인 PCI bus(PCI 또는 PCI Express bus)에 대해서 데이터 전송 경로(path)를 제공한다는 점에서 기능적으로 유사하다. 그러나, NTB와 transparent bridge 간의 가장 큰 차이점은 NTB가 사용될 경우에 bridge의 하향부분(downstream side)에 위치한 장치들은 상향부분(upstream side)에서는 보이지 않는다는 점이다. 이는 bridge의 하향부분(downstream side)에 위치한 인텔리전트(intelligent)한 제어기(예를들면 CPU를 포함하는 컴퓨터)가 자신의 downstream side에 위치하는 서브시스템 내 각종 장치들을 독립적으로 관리할 수 있다는 점이다. NTB는 또한 첫 번째 호스트(primary host)의 PCI bus로 구성된 서브시스템(subsystem) 계층구조(hierarchy)에 두 번째 호스트(secondary host)를 연결하는 데 사용될 수 있다. 이는 두 시스템간 통신을 가능하도록 하는 반면, 두 시스템을 서로 격리시키는 효과도 발생한다. 즉, NTB는 일반적으로 도어벨(doorbell)을 통해서 bridge의 다른 편에 위치한 장치에 대해서 인터럽트를 보낼 수 있으며, 또한, scratchpad 레지스터를 보유하고 있어 bridge의 양측에서 데이터를 상호 공유함으로써 interprocessor communication 할 수 있다.

• Proceedings of the Korean Information Science Society Conference
• /
• 2004.10a
• /
• pp.499-501
• /
• 2004

본 논문에서는 네트워크의 구성 정보를 바탕으로 상위 수준에서 하위 수준으로 정책을 변환할 때 나타나는 기존 정책과의 충돌을 탐지하고 순응시키는 메커니즘을 소개한다. 대규모 네트워크는 라우터, 스위치, 방화벽 침임 탐지 시스템, 일반 호스트 등과 같은 다양한 종류의 장비로 구성되어 있으며. 이러한 것들은 각기 다른 접근 일 제어 형식을 가지고 있다. 따라서 트래픽에 대한 일괄적인 통제가 어렵고, 외부의 공격에 대한 신속하고 효과적인 대응이 불가능하다. 또한 대규모 네트워크를 구성하고 있는 장비들을 제어하기 위해서는 그러한 장비들이 포함되어 있는 서브 네트워크의 세부 점보와 각 장비의 고유한 설정 규칙을 필요로 한다. 이러한 점은 대규모 네트워크를 상위 수준의 계층에서 관리를 어렵게 한다. 때문에 하부 계층의 구조나 정보와는 독립적으로 추상화된 고수주의 보안 정책 설정을 위한 도구가 요구된다 이것은 상위 수준의 보안 정책 표현 기법, 하위 수준의 보안 정책 기법, 상위 수준의 보안 정책과 네트워크 구성 정보를 바탕으로 하위 수준의 보안 정책을 도출하는 기법 하위 수준의 보안 정책을 실제 네트워크 구성 요소에 적용하는 기법 등의 네 가지 연구로 구분된다. 본 논문에서는 이 네 가지의 연구와 기법을 바탕으로 관리 네트워크에 새로운 정책이 전달될 때 기존의 단순한 정책 선택을 벗어난 서로의 정책을 변환한 ACL을 최대한 순응시키는 메커니즘을 제안한다

• Proceedings of the Korea Information Processing Society Conference
• /
• 2005.11a
• /
• pp.1433-1436
• /
• 2005

임베디드 시스템의 발전으로 현재 진보된 로봇 시스템들은 운영 체제, 비젼 시스템 및 센서 시스템들을 별도의 호스트 PC의 도움 없이 독립적으로 탑재하여 가동 시킬 수 있다. 본 논문에서는 임베디드 시스템을 이용한 SBER (Small Biped Entertainment Robot)에 필요한 로봇의 제어기 구조와 로봇에 최적화된 임베디드 시스템을 구현한다. 또한 주 프로세서와 주 컨트롤러를 탑재한 최적화된 소형 엔터테인먼트 이족 로봇 개발을 목적으로 한다. SBER은 TI사의 DSP인 TMS320LF2407A를 로봇의 주 컨트롤러로 사용하여 로봇의 관절 제어를 통한 기본적인 보행 실험과 음원의 위치를 파악하기 위한 음원 위치 추적 문제를(Sound Localization) 수행한다. 또한 Intel사의 PXA255A를 주 프로세서로 사용하여 연산량이 높은 영상처리 알고리즘과 감정 표현, 장애물 인식 및 장애물 회피를 적용하여 보다 지능적인 로봇 시스템을 구현한다.

• Journal of Internet Computing and Services
• /
• v.9 no.1
• /
• pp.179-186
• /
• 2008

The access to web applications has continuously evolved toward the adoption of content centric interfaces. Services and information items are much of user's concern than web sites. For an efficient accommodation of increasing needs of content oriented operations, the scope of domain names is extended in two directions. A naming scheme is derived that is suitable for resource level access units and the semantics of domain names is conceived as very flexible functions. First extension regards the removal of unnecessary TLD's of domain names for resource level binding. Second extension makes the resource level domain names rich in functional binding and consequently various applications can be directly triggered by the invocation of domain names without intervening medium. These extensions may lay a certain direction for the future internet evolution.