• 디지털산업정보학회논문지
• /
• 제10권4호
• /
• pp.89-96
• /
• 2014

MANET has been applied to a wide variety of areas because it has advantages which can build a network quickly in a difficult situation to build a network. However, it is become a victim of malicious nodes because of characteristics such as mobility of nodes consisting MANET, limited resources, and the wireless network. Therefore, it is required to lightweight attack detection technique which can accurately detect attack without causing a large burden to the mobile node. In this paper, we propose a multistage attack detection techniques that attack detection takes place in routing phase and data transfer phase in order to increase the accuracy of attack detection. The proposed attack detection technique is composed of four modules at each stage in order to perform accurate attack detection. Flooding attack and packet discard or modify attacks is detected in the routing phase, and whether the attack by modification of data is detected in the data transfer phase. We assume that nodes have a public key and a private key in pairs in this paper.

• 디지털산업정보학회논문지
• /
• 제10권2호
• /
• pp.75-82
• /
• 2014

MANET has various types of attacks. In particular, routing attacks using characteristics of movement of nodes and wireless communication is the most threatening because all nodes which configure network perform a function of router which forwards packets. Therefore, mechanisms that detect routing attacks and defense must be applied. In this paper, we proposed hierarchical structure attack detection techniques in order to improve the detection ability against routing attacks. Black hole detection is performed using PIT for monitoring about control packets within cluster and packet information management on the cluster head. Flooding attack prevention is performed using cooperation-based distributed detection technique by member nodes. For this, member node uses NTT for information management of neighbor nodes and threshold whether attack or not receives from cluster head. The performance of attack detection could be further improved by calculating at regular intervals threshold considering the total traffic within cluster in the cluster head.

• 정보보호학회논문지
• /
• 제14권5호
• /
• pp.69-78
• /
• 2004

인터넷의 급속한 확장과 새로운 공격 형태의 출현으로 인해 공격 기법 패러다임의 변화가 시작되었다. 그러나, 대부분의 침입 탐지 시스템은 오용 탐지 기반의 알려진 공격 유형만을 탐지하며, 새로운 공격에 대해서는 능동적인 대응이 어려운 실정이다. 이에 새로운 공격 유형에 대한 탐지 능력을 높이기 위해 이상 탐지의 여러 기법들을 적용하려는 시도들이 나타나고 있다. 본 논문에서는 그래픽 기반의 베이지안 프레임워크를 이용하여 감사 데이터에 의한 행위 프로파일링 방법을 제안하고 이상 탐지와 분석을 위한 행위 프로파일을 시각화하고자 한다. 호스트/네트워크의 감사 데이터를 이상 탐지를 위한 준 구조적 데이터 형식의 행위 프로파일인 BF-XML로 변환하고, BF-XML을 SVG로 시각화를 시뮬레이션한다.

• International Journal of Computer Science & Network Security
• /
• 제24권1호
• /
• pp.52-60
• /
• 2024

APT (Advanced Persistent Threat) attack is a dangerous, targeted attack form with clear targets. APT attack campaigns have huge consequences. Therefore, the problem of researching and developing the APT attack detection solution is very urgent and necessary nowadays. On the other hand, no matter how advanced the APT attack, it has clear processes and lifecycles. Taking advantage of this point, security experts recommend that could develop APT attack detection solutions for each of their life cycles and processes. In APT attacks, hackers often use phishing techniques to perform attacks and steal data. If this attack and phishing phase is detected, the entire APT attack campaign will be crash. Therefore, it is necessary to research and deploy technology and solutions that could detect early the APT attack when it is in the stages of attacking and stealing data. This paper proposes an APT attack detection framework based on the Network traffic analysis technique using open-source tools and deep learning models. This research focuses on analyzing Network traffic into different components, then finds ways to extract abnormal behaviors on those components, and finally uses deep learning algorithms to classify Network traffic based on the extracted abnormal behaviors. The abnormal behavior analysis process is presented in detail in section III.A of the paper. The APT attack detection method based on Network traffic is presented in section III.B of this paper. Finally, the experimental process of the proposal is performed in section IV of the paper.

• 한국정보과학회논문지:정보통신
• /
• 제30권1호
• /
• pp.97-116
• /
• 2003

최근 웹 서비스의 증가와 한께 엘 서비스에 대한 공격과 피 피해 규모는 증가하고 있다. 그러나 웹 서비스에 대한 공격은 다른 인터넷 공격들과 성격이 다르고 그에 대한 연구 또한 부족한 현실이다. 더욱이 기존의 침입 탐지 시스템들도 낄 서비스를 보호하는데 적합하지 않다. 이 연구에서는 먼저 웹 공격들을 공격 발생 원인과 공격 탐지 관점에서 분류하고, 마지막으로 위험성 분석을 통하여 웹 공격들을 분류하였다. 이를 통해 엘 서비스를 보호하기 적합한 웹 서비스 특화된 침입 탐지 시스템을 설계, 개발하는데 도움을 주고자 한다.

• 정보보호학회논문지
• /
• 제29권5호
• /
• pp.1027-1037
• /
• 2019

기존의 사이버 공격 탐지 솔루션은 일반적으로 시그니처 기반 내지 악성행위 분석을 통한 방식의 탐지를 수행하므로, 알려지지 않은 방식에 의한 공격은 탐지하기 어렵다는 한계가 있다. 시스템에서는 상시로 발생하는 다양한 정보들이 시스템의 상태를 반영하고 있으므로, 이들 정보를 수집하여 정상상태를 학습하고 이상상태를 탐지하는 방식으로 알려지지 않은 공격을 탐지할 수 있다. 본 논문은 정상상태 학습 및 탐지에 활용하기 위하여 문자열을 그 순서와 의미를 보존하며 정량적 수치로 변환하는 머신러닝 임베딩(Embedding) 기법과 이상상태의 탐지를 위하여 다수의 정상데이터에서 소수의 비정상 데이터를 탐지하는 머신러닝 이상치 탐지(Novelty Detection) 기법을 이용하여 사이버 공격에 의한 시스템 이상상태를 탐지하는 방안을 제안한다.

• 디지털산업정보학회논문지
• /
• 제16권1호
• /
• pp.67-78
• /
• 2020

Typical security solutions such as intrusion detection system are not suitable for detecting advanced persistent attack(APT), because they cannot draw the big picture from trivial events of security solutions. Researches on techniques for detecting multiple stage attacks by analyzing the correlations between security events or alerts are being actively conducted in academic field. However, these studies still use events from existing security system, and there is insufficient research on the structure of the entire security system suitable for advanced persistent attacks. In this paper, we propose an attack path and intention recognition system suitable for multiple stage attacks like advanced persistent attack detection. The proposed system defines the trace format and overall structure of the system that detects APT attacks based on the correlation and behavior analysis, and is designed with a structure of detection system using deep learning and big data technology, etc.

• 한국통신학회논문지
• /
• 제31권2C호
• /
• pp.208-218
• /
• 2006

본 논문에서는 최신의 공격 유형을 잘 분류해 내고, 기존 공격의 변형이나 새로운 공격에도 탐지 가능하도록 데이터 마이닝 기법을 이용한 공격 탐지 모델 생성 방법들을 소개하고, 다양한 실험을 통해 탐지율 및 탐지 시간 측면에서 이 모델들의 성능을 비교한다. 이러한 탐지 모델을 생성하는데 중요한 요소로 데이터, 속성, 탐지 알고리즘을 꼽을 수 있는데, 실제 네트워크에서 수집된 NetFlow 데이터와 대량의 KDD Cup 1999 데이터를 사용하였다. 또한 탐지 알고리즘으로서 단일 지도/비지도학습 데이터 마이닝 기법 및 결합된 방법을 이용하여 탐지 모델을 생성, 비교 실험하였다. 시험 결과, 결합된 지도학습 알고리즘을 사용한 경우 모델링 시간은 길었지만 가장 탐지율이 높았고, 모든 경우 탐지 시간이 1초 내외로 실시간 탐지 가능성을 입증할 수 있었다. 또한 새로운 공격에 대한 이상탐지 결과로도 92$\%$ 이상의 탐지율을 보임으로 탐지 가능성을 입증할 수 있었고, SOM 기법을 사용하는 경우에는 새로운 공격이 기존 어느 공격에 유사한 특성을 갖는지에 대한 부과적인 정보도 제공하였다.

• 융합보안논문지
• /
• 제9권2호
• /
• pp.41-48
• /
• 2009

분산서비스거부 공격을 탐지하기 위한 많은 개발과 연구가 진행되고 있다. 그 중에서 통계적 기법을 이용한 방법은 정상적인 패킷과 비정상적인 패킷을 판별해 내는데 효율적이다. 본 논문에서는 여러 가지의 통계적 기법을 혼합하여 다양한 공격을 탐지할 수 있는 방법을 제안한다. 효과를 검증하기 위하여 라우터에 DDoS 공격 패킷 필터링을 설정한 경우와 제안 기법을 적용한 리눅스 라우터를 구현하여 실험한 결과, 제안 기법이 다양한 공격을 탐지하는 것 뿐만이 아니라 정상적인 서비스까지도 대부분 유지시키는 것을 확인하였다.

• 한국컴퓨터정보학회논문지
• /
• 제28권11호
• /
• pp.89-101
• /
• 2023

사이버 공격으로 인한 국가, 기업 등의 피해를 막기 위해 공격자의 접근을 사전에 감지하는 이상 탐지 기술이 꾸준히 연구되어왔다. 외부 혹은 내부에서 침입하는 공격들을 즉각적으로 막기 위해 실행시간의 감축과 오탐지 감소는 필수불가결하다. 본 연구에서는 공격 이벤트의 유형과 빈도가 이상 탐지 정탐률 향상 및 오탐률 감소에 영향을 미칠 것으로 가설을 세우고, 검증을 위해 Los Alamos National Laboratory의 2015년 로그인 로그 데이터셋을 사용하였다. 전처리 된 데이터를 대표적인 이상행위 탐지 알고리즘에 적용한 결과, 공격 이벤트 유형과 빈도를 동시에 적용한 특성을 사용하는 것이 이상행위 탐지의 오탐률과 수행시간을 절감하는데 매우 효과적임을 확인하였다.