• 인터넷정보학회논문지
• /
• 제18권6호
• /
• pp.35-46
• /
• 2017

최근 사이버보안에서 악성코드를 이용한 공격은 메일에 악성코드를 첨부하여 이를 사용자가 실행하도록 유도하여 공격을 수행하는 형태가 늘어나고 있다. 특히 문서형태의 파일을 첨부하여 사용자가 쉽게 실행하게 되어 위험하다. 저자 분석은 NLP(Neutral Language Process) 및 텍스트 마이닝 분야에서 연구되어지고 있는 분야이며, 특정 언어로 이루어진 텍스트 문장, 글, 문서를 분석하여 작성한 저자를 분석하는 방법들은 연구하는 분야이다. 공격 메일의 경우 일정 공격자에 의해 작성되어지기 때문에 메일 내용 및 첨부된 문서 파일을 분석하여 해당 저자를 식별하면 정상메일과 더욱 구별된 특징들을 발견할 수 있으며, 탐지 정확도를 향상시킬 수 있다. 본 논문에서는 기존의 기계학습 기반의 스팸메일 탐지 모델에서 사용되는 특징들과 문서의 저자 분석에 사용되는 특징들로부터 공격메일을 분류 및 탐지를 할 수 있는 feature vector 및 이에 적합한 IADA2(Intelligent Attack mail Detection based on Authorship Analysis)탐지 모델을 제안하였다. 단순히 단어 기반의 특징들로 탐지하던 스팸메일 탐지 모델들을 개선하고, n-gram을 적용하여 단어의 시퀀스 특성을 반영한 특징을 추출하였다. 실험결과, 특징의 조합과 특징선택 기법, 적합한 모델들에 따라 성능이 개선됨을 검증할 수 있었으며, 제안하는 모델의 성능의 우수성과 개선 가능성을 확인할 수 있었다.

• 인터넷정보학회논문지
• /
• 제21권2호
• /
• pp.91-97
• /
• 2020

최근 국방, 안보, 외교 분야 관련자를 대상으로 하는 피싱 공격이 급증하고 있다. 특히 해킹 공격조직 Kimsuky는 2013년 이후 피싱 공격을 통해 공공기관의 주요 정보 수집을 위한 활동을 하고 있다. 본 논문에서는 피싱 메일 공격조직에 대한 프로파일링 분석을 수행하였다. 이를 위해 피싱 메일 공격의 유형을 분류하고 해킹 공격조직의 공격방식에 대한 분석을 하였다. 상세한 프로파일링 분석을 통해 공격조직의 목적을 추정하고 대응방안을 제시하였다.

• 대한전자공학회논문지TC
• /
• 제41권6호
• /
• pp.17-24
• /
• 2004

본 논문에서는 CBQ (Class Based Queuing) 알고리즘을 이용하여 DDoS 공격으로부터 메일 서버를 보호할 수 있는 효과적인 방법을 제안한다. 제안하는 방법에서는 메일 서버로 입력되는 트래픽을 중요한 메일 트래픽, 덜 중요한 메일 트래픽, 그 외의 공격의 가능성이 있는 알 수 없는 트래픽으로 구분하고 이들 각 트래픽에 서로 다른 대역폭을 할당함으로써 DDoS 공격 하에서도 정상적인 메일의 송신을 가능하게 한다. 제안하는 방법은 입출력 포트의 대역폭을 별도의 서비스(트래픽 클래스)마다 분산 할당하는 데에 유용한 가중치 사용 라운드 로빈 큐 스케줄링을 이용하는 WFHBD(Weighted Fair Hashed Bandwidth Distribution) 엔진을 고속 스위칭 프로세서를 내장한 임베디드 시스템에서 사용하고 실험을 통하여 DDoS 공격으로부터 메일 서버가 효율적으로 보호될 수 있음을 검증한다.

• Journal of Platform Technology
• /
• 제9권2호
• /
• pp.26-37
• /
• 2021

이메일은 일상생활에서 사람들과 커뮤니케이션하는데 중요한 도구 중 하나이다. COVID-19(코로나바이러스)로 비대면 활동이 증가하면서 스팸메일, 피싱, 랜섬웨어 등과 같은 이메일을 통한 보안사고가 증가하고 있다. 이메일 보안사고는 이메일이 가지고 있는 기술적인 취약점으로 발생하는 것보다는 사람의 심리를 이용한 사회공학적 공격으로 증가하고 있다. 사람의 심리를 이용한 보안 사고는 보안 인식 개선을 통해 예방과 방어가 가능하다. 본 연구는 국내외 기업 임직원을 대상으로 악성 이메일 모의 실험을 통해 보안 인식개선으로 악성 이메일에 대한 대응 변화 분석을 실증적 연구하였다. 본 연구에서 보안교육, 상향식 보안 관리, 보안 이슈 공유의 요인은 악성 이메일을 안전하게 대응하는데 효과가 있음을 확인하였다. 본 연구는 보안 인식에 대한 이론적 연구 내용을 악성 이메일 대응과 관련하여 실증적 분석을 실시하여 새로운 연구를 제시해 학술적 의의가 있으며, 실무 환경에서 모의 실험으로 얻어진 결과는 보안담당자에게 업무 하는데 실무적으로 도움을 줄 수 있을 것이다.

• 디지털산업정보학회논문지
• /
• 제13권4호
• /
• pp.99-106
• /
• 2017

With the advent of virtual money such as bit coins, interest in the block chain is increasing. Block Chain is a technology that supports Distributed Ledger and is a versatile technology applicable to various fields. Currently, the block chain is conducting research for various applications such as virtual money, trade finance, marketplace, power market, image contents service, and IoT. The technologies that make up the block chain are smart contract, digital signature/hash function and consensus algorithm. And these technologies operate on P2P networks. In this paper, we have studied e-mail system based on the ethereum which is one of the block chain based technologies. Most legacy mail systems use SMTP and the POP3/IMAP protocol to send and receive e-mail, and e-mail use S/MIME to protect the e-mail. However, S/MIME is vulnerable to DDoS attacks because it is configured centrally. And it also does not provide non-repudiation of mail reception. To overcome these weaknesses, we proposed an e-mail system model based on ethereum. The proposed model is able to cope with DDoS attack and forgery prevention by using block chain based technology, and reliable recording and management among block chain participants are provided, so that it is possible to provide a non-repudiation function of e-mail transmission and reception.

• 컴퓨터교육학회논문지
• /
• 제10권3호
• /
• pp.57-66
• /
• 2007

전자메일(e-mail)시스템은 인터넷을 통해 개인의 정보를 전달하는 매체로 가장 많이 사용된다. 그러나 송신자의 위변조 및 다수 사용자에게 메일을 전송하는 기법 등을 이용한 전자메일의 역기능 또한 늘어나고 있는 추세이다. 본 논문에서는 송신자의 위변조를 막기 위해 보안카드를 이용한 송신자 인증 기법을 제안 한다. 송신자는 메일 전송시 보안카드의 특정 코드번호를 송신자의 메일 서버로부터 요청 받는다. 송신자는 메일 서버로부터 요청 받은 코드 번호를 입력해 송신자 인증 절차를 거친 후 세션키를 생성한다. 생성된 세션키는 송신자의 서명 및 메시지를 안전하게 전송할 수 있는 암호화 키로 사용된다. 제안한 기법은 송신자 인증과 송신자 서명 및 메시지 암호화를 통해 기존의 스팸 방지 기법 보다 더욱 안전한 인증 구조를 제공한다.

• 인터넷정보학회논문지
• /
• 제20권1호
• /
• pp.1-10
• /
• 2019

빅 데이터에서 텍스트 마이닝은 많은 수의 데이터로부터 많은 특징 추출하기 때문에, 클러스터링 및 분류 과정의 계산 복잡도가 높고 분석결과의 신뢰성이 낮아질 수 있다. 특히 텍스트마이닝 과정을 통해 얻는 Term document matrix는 term과 문서간의 특징들을 표현하고 있지만, 희소행렬 형태를 보이게 된다. 본 논문에서는 탐지모델을 위해 텍스트마이닝에서 개선된 GA(Genetic Algorithm)을 이용한 특징 추출 방법을 설계하였다. TF-IDF는 특징 추출에서 문서와 용어간의 관계를 반영하는데 사용된다. 반복과정을 통해 사전에 미리 결정된 만큼의 특징을 선택한다. 또한 탐지모델의 성능 향상을 위해 sparsity score(희소성 점수)를 사용하였다. 스팸메일 세트의 희소성이 높으면 탐지모델의 성능이 낮아져 최적화된 탐지 모델을 찾기가 어렵다. 우리는 fitness function에서 s(F)를 사용하여 희소성이 낮고 TF-IDF 점수가 높은 탐지모델을 찾았다. 또한 제안된 알고리즘을 텍스트 분류 실험에 적용하여 성능을 검증하였다. 결과적으로, 제안한 알고리즘은 공격 메일 분류에서 좋은 성능(속도와 정확도)을 보여주었다.

• 정보처리학회논문지C
• /
• 제12C권3호
• /
• pp.361-368
• /
• 2005

인터넷 사용의 급격한 증가로 전자우편은 모든 분야에서 가장 보편적인 통신 수단이 되었다. 하지만 전자우편의 사용 급증으로 사용자들의 전자우편 주소가 인터넷상에 노출되고 그 부작용으로 정크 메일, 스팸 메일이라 불리는 수신을 원하지 않는 메일의 수신빈도와 그로 인한 피해가 갈수록 높아져 그 문제가 심각한 수준에 이르게 되었다. 더구나 근래의 스팸, 정크 메일은 단순히 광고성 메시지를 전달하기 보다는 시스템을 공격하기 위한 바이러스나 해킹 도구를 전파하는 수단으로 이용되어 컴퓨터 침해 사고의 심각한 원인으로 지적되고 있다. 따라서 본 논문에서는 이러한 스팸, 정크 메일을 FQDN 확인을 통해 차단할 수 있는 모델을 구현해서 사용해 보고 그 결과를 평가하여 개선 방향을 제시하였다.

• KSII Transactions on Internet and Information Systems (TIIS)
• /
• 제12권6호
• /
• pp.2881-2894
• /
• 2018

Cyber attacks are increasing continuously. On average about one million malicious codes appear every day, and attacks are expanding gradually to IT convergence services (e.g. vehicles and television) and social infrastructure (nuclear energy, power, water, etc.), as well as cyberspace. Analysis of large-scale cyber incidents has revealed that most attacks are started by PCs infected with malicious code. This paper proposes a method of detecting an attack IP automatically by analyzing the characteristics of the e-mail transfer path, which cannot be manipulated by the attacker. In particular, we developed a system based on the proposed model, and operated it for more than four months, and then detected 1,750,000 attack IPs by analyzing 22,570,000 spam e-mails in a commercial environment. A detected attack IP can be used to remove spam e-mails by linking it with the cyber removal system, or to block spam e-mails by linking it with the RBL(Real-time Blocking List) system. In addition, the developed system is expected to play a positive role in preventing cyber attacks, as it can detect a large number of attack IPs when linked with the portal site.

• 한국시뮬레이션학회논문지
• /
• 제11권2호
• /
• pp.1-16
• /
• 2002

The need for network security is being increasing due to the development of information communication and internet technology. In this paper, firewall models, operating system models and other network component models are constructed. Each model is defined by basic or compound model, referencing DEVS formalism. These models and the simulation environment are implemented with MODSIM III, a general purpose, modular, block-structured high-level programming language which provides direct support for object-oriented programming and discrete-event simulation. In this simulation environment with representative attacks, the following three attacks are generated, SYN flooding and Smurf attack as an attack type of denial of service, Mail bomb attack as an attack type of e-mail. The simulation is performed with the models that exploited various security policies against these attacks. The results of this study show that the modeling method of packet filtering system, proxy system, unix and windows NT operating system. In addition, the results of the simulation show that the analysis of security performance according to various security policies, and the analysis of correlation between availability and confidentiality according to security empowerment.