• 정보보호학회논문지
• /
• 제16권5호
• /
• pp.15-24
• /
• 2006

많은 컴퓨터 보안 시스템들은 공격 시그너처를 기반으로 해커에 대응하기 때문에 가능한 빠르고 정확하게 새로운 공격 정보를 수집하는 것이 중요하다. 이러한 이유로 허니팟과 허니팟 팜에 관한 연구가 활발히 진행되고 있다. 그러나 해커들은 IP 주소가 할당된 서버를 직접 공격하는 성향이 높기 때문에, 허니팟과 허니팟 팜은 많은 공격 정보를 수집할 수 없다. 이에 본 논문에서는 사용되지 않는 포트를 이용하여 해커를 허니팟으로 리다이렉트하는 시스템을 제안한다. 이 시스템은 해커를 유인하기 위해 일반 서버의 사용되지 않는 포트를 유인포트로 사용한다 이 포트는 서비스를 위한 포트가 아니기 때문에 이 포트로의 모든 접근은 비정상적인 행위로 간주되어 허니팟으로 리다이렉트 된다. 결국 제안 시스템은 허니팟이 아닌 실제 서버를 공격하는 해커들의 공격 정보를 수집할 수 있게 한다.

• 정보처리학회논문지:컴퓨터 및 통신 시스템
• /
• 제11권1호
• /
• pp.23-34
• /
• 2022

네트워크 기술의 발달로 그 적용 영역 또한 다양해지면서 다양한 목적의 프로토콜이 개발되고 트래픽의 양이 폭발적으로 증가하게 되었다. 따라서 기존의 전통적인 스위칭, 라우팅 방식으로는 네트워크 관리자가 망의 안정성과 보안 기준을 충족하기 어렵다. 소프트웨어 정의 네트워킹(SDN)은 이러한 문제를 해결하기 위해 제시된 새로운 네트워킹 패러다임이다. SDN은 네트워크 동작을 프로그래밍하여 효율적으로 네트워크를 관리할 수 있도록 한다. 이는 네트워크 관리자가 다양한 여러 양상의 공격에 대해서 유연한 대응을 할 수 있는 장점을 가진다. 본 논문에서는 SDN의 이러한 특성을 활용하여 SDN 구성 요소인 컨트롤러와 스위치를 통해 공격 정보를 수집하고 이를 기반으로 공격을 탐지하는 위협 레벨 관리 모듈, 공격 탐지 모듈, 패킷 통계 모듈, 플로우 규칙 생성기를 설계하여 프로그래밍하고 허니팟을 적용하여 지능형 공격자의 서비스 거부 공격(DoS)을 차단하는 방법을 제시한다. 제안 시스템에서 공격 패킷은 수정 가능한 플로우 규칙에 의해 허니팟으로 빠르게 전달될 수 있도록 하였으며, 공격 패킷을 전달받은 허니팟은 이를 기반으로 지능적 공격의 패턴을 분석하도록 하였다. 분석 결과에 따라 지능적 공격에 대응할 수 있도록 공격 탐지 모듈과 위협 레벨 관리 모듈을 조정한다. 제안 시스템을 실제로 구현하고 공격 패턴 및 공격 수준을 다양화한 지능적 공격을 수행하고 기존 시스템과 비교하여 공격 탐지율을 확인함으로써 제안 시스템의 성능과 실현 가능성을 보였다.

• 한국방송∙미디어공학회:학술대회논문집
• /
• 한국방송∙미디어공학회 2020년도 추계학술대회
• /
• pp.83-86
• /
• 2020

본 논문에서는 네트워크 이상치 탐지를 위하여 정상 데이터만을 활용한 메모리 기반 정상성 학습 모델을 제안한다. 오토인코더를 기반으로 정상 데이터의 특징을 표현하는 프로토타입을 생성할 수 있도록 신경망을 구성하고, 네트워크 데이터의 특성을 반영하여 쿼리의 수를 한 개로 고정하며, 사용되는 프로토타입의 수를 지정한 값으로 고정하여 모든 프로토타입에 정상 데이터의 특징을 반영할 수 있는 학습 방법을 제안한다. 해당 모델을 네트워크 이상치 탐지 데이터 세트인 Kyoto Honeypot, UNSW-NB15, CICIDS-2018에 적용하여 본 결과 Kyoto Honeypot에서는 0.821, UNSW-NB15에서는 0.854, CICIDS-2018에서는 0.981의 AUROC를 달성했다.

• 한국정보과학회:학술대회논문집
• /
• 한국정보과학회 2004년도 가을 학술발표논문집 Vol.31 No.2 (1)
• /
• pp.367-369
• /
• 2004

허니팟은 공격자들이 쉽게 공격할 수 있는 시스템이나 네트워크를 구성하여, 악성해커나 스크립트 키드들이 어떻게 시스템을 침입하고 공격하는지 감시할 수 있도록 구성되어 있는 시스템을 말한다. 일반적으로 허니팟은 방화벽과 로그 기록 등으로 감사기능을 수행하는데, 악성해커는 그 로그마저 복구할 수 없도록 삭제하는 경우도 있기 때문에 독립적인 추적 시스템이 필요하다. 본 논문에서는 LKM(Linux Kernel Module)기법을 이용한 키로거를 통해 공격자가 세션 상에서 입력하는 모든 키보드 내용을 기록하여 공격자의 행동을 쉽고 빠르게 분석하는 원격 키스트로크 모니터링 시스템을 설계해 보았다.

• 한국통신학회논문지
• /
• 제39B권6호
• /
• pp.397-405
• /
• 2014

소프트웨어 정의 네트워킹(SDN)은 기존의 네트워킹 구조와는 상이하게 제어 계층과 데이터 계층이 분리되어 있어 데이터 계층을 중앙 집중 형태로 제어할 수 있는 네트워킹 구조로서 차세대 네트워킹 기술로 강력히 거론되고 있다. 이러한 기술을 잘 활용하면, 새롭고 다양한 네트워크 기능을 어플리케이션의 형태로 개발이 가능하여, 현재 해당 분야에 대한 연구가 활발히 이루어지고 있다. 뿐만 아니라, 새로운 라우팅 기능 등과 같은 기본적인 네트워크 기능 외에도 네트워크 보안 기능 또한 SDN 기술을 활용하면 재설계가 가능하여 흥미로운 네트워크 보안 애플리케이션들이 다수 제안되었다. 그러나 현재까지 제안된 네트워크 보안 애플리케이션들은 대부분 기존의 네트워크 기능을 SDN기술을 활용하여 재구현하였기 때문에, SDN이 제공하는 많은 기능들을 효과적으로 사용하지는 못하였다. 따라서 본 논문에서는 SDN기술을 사용하여 악성 및 의심스러운 네트워크 공격 시도를 허니팟과 같은 감시/분석 시스템으로 재전송(redirect)해주는 기능인 리플렉터넷(Reflectornet)애플리케이션을 설계하고 구현하였다. 또한, 해당 애플리케이션의 성능과 실용성을 실험을 통해 검증한다. 본 논문의 결과는 SDN 기술을 사용하여 더 지능적이고 진보된 네트워크 보안 애플리케이션을 설계하는 방법에 대한 연구를 촉진하는데 큰 기여를 할 수 있을 것이다.

• 한국산업정보학회논문지
• /
• 제27권2호
• /
• pp.1-10
• /
• 2022

기만 기술(deception technology)은 허니팟(honeypot)의 확장된 개념으로, 공격자를 기만하여 공격을 탐지, 방지, 또는 지연시키는 기술을 의미한다. 기만 기술은 네트워크 포트, 서비스, 프로세스, 시스템 콜, 데이터베이스 등에 폭넓게 적용되어 왔다. 파일을 대상으로 하는 공격에도 유사한 개념을 적용할 수 있다. 파일을 대상으로 하는 대표적인 공격으로 랜섬웨어가 있다. 랜섬웨어는 사용자의 파일을 몰래 암호화한 후 값을 지불해야 복원할 수 있게 해 주는 멀웨어의 일종이다. 또 다른 예로는 와이퍼 공격으로 시스템에 있는 모든 또는 타겟 파일을 복구 불가능하게 삭제하는 공격이다. 본 논문에서는 이러한 종류의 공격에 대응하기 위한 방법으로 파일을 은닉하는 방법을 제안한다. 파일을 은닉하는 방법은 기존의 백업이나 가상화를 통한 파일 보호 기법에 비해 디스크 용량을 추가로 소비하지 않고 성능 저하도 최소화할 수 있는 장점이 있다.

• 융합보안논문지
• /
• 제23권2호
• /
• pp.37-45
• /
• 2023

사이버 기만 기술은 공격자의 활동을 모니터링하고 새로운 유형의 공격을 탐지하는 데 중요한 역할을 한다. 그러나 기만 기술의 발전과 더불어 Anti-honeypot 기술 또한 발전하여 기만환경임을 알아챈 공격자가 기만환경에서의 활동을 중단하거나 역으로 기만환경을 이용하는 사례들도 존재하지만 현재 기만 기술은 이러한 상황을 식별하거나 대응하지 못하고 있다. 본 연구에서는 마코프 체인 분석 기법을 이용하여 기만환경에 침입한 공격자의 기만환경 식별 여부 예측 모델을 제안한다. 본 연구에서 제안하는 기만 여부 판단 모델은 확인한 바로는 공격자의기만환경 식별 여부를 판단하기 위한 최초의 시도이며 기만환경을 식별한 공격자를 고려하지 않는 기존의 기만기술 기반 공격자 분석에 대한 연구의 제한사항을 극복할 수 있을 것으로 예상한다. 본 연구에서 제안한 분류 모델은 기만환경임을 식별하고 활동하는 공격자 분류에 97.5%의 높은 정확도를 보였으며 공격자의 기만환경 식별여부 예측을 통해 수많은 기만환경 침입 데이터 분석 연구에 정제된 데이터를 제공할 수 있을 것으로 기대된다.

• 한국정보과학회:학술대회논문집
• /
• 한국정보과학회 2007년도 한국컴퓨터종합학술대회논문집 Vol.34 No.1 (D)
• /
• pp.25-28
• /
• 2007

최근 인터넷에서는 붓넷을 기반으로 한 스팸 발송, 분산 서비스 거부 공격 등이 급증하고 있으며 이는 인터넷 기반 서비스에 큰 위협이 되고 있다. 간접 통신 메커니즘을 사용하는 봇넷 공격에 대한 근본적인 대응을 지원하는 역추적 기술의 개발이 필요하다. 본 논문에서는 메모리 감시 기반의 봇넷 역추적 기술을 제안한다. 이 기술은 메모리 감시 기술을 이용하여 봇 서버의 행위를 감시하며, 네트워크 감시를 통하여 봇 서버로 감염된 허니팟이 오용될 위험성을 낮춘다. 또한 봇 서버 정보에 대한 자동분석기능을 제공하여 공격탐지와 동시에 봇넷의 C&C 서버를 빠르게 추적한다.

• 한국정보과학회:학술대회논문집
• /
• 한국정보과학회 2004년도 가을 학술발표논문집 Vol.31 No.2 (1)
• /
• pp.643-645
• /
• 2004

네트워크가 복잡해지면서 다양한 형태의 위험에 노출된다. 일반적인 보안 솔루션으로 사용하는 방화벽(Firewall)이나 침입탐지시스템(IDS)은 허가받지 않은 외부의 접속이나 알려진 공격만을 차단하는 단순하고 수동적인 시스템이다. 이에 반해 허니팟은 웹서버와 같은 실제 Front-End 시스템과 유사하거나, 밀접한 관련을 갖고 직접적으로 반응하므로 신뢰성 높은 실시간 정보를 얻을 수 있어서 관리자가 다양한 위협에 능동적이고 효과적으로 대응할 수 있다. 실제로 웜이나 DRDoS(Distributed Reflection DoS)등 수분만에 네트워크를 점유하는 자동화 공격과 함께 시스템 구성 취약점을 파고들거나 계정 획득을 통한 DB서버 등의 Back-End 시스템에 대한 수동 공격이 혼재한다. 따라서 시스템 전반적인 관리의 중요성이 강조되고 있다. 본 논문에서는 그간의 실험결과를 바탕으로 가상 머신으로 허니팟을 구성하고 특성별로 포트를 분리하여 관리하는 허니넷을 제안하고자 한다 이를 통해 1) 유연한 보안 시스템 구성이 가능하고 2) 관리 효율이 높아지며 3) 하드웨어 도입 비용 절감을 통해 시스템의 TCO(Totai Cost of Ownership)를 감소시키는 효과를 기대할 수 있다.

• International Journal of Computer Science & Network Security
• /
• 제23권11호
• /
• pp.169-177
• /
• 2023

Network security is now more crucial than ever for consumers, companies, and military clients. Security has elevated to the top of the priority list since the Internet's creation. The evolution of security technology is now better understood. The area of community protection as a whole is broad and dynamic. News from the days before the internet and more recent advancements in community protection are both included in the topic of observation. Recognize current research techniques, previous Defence strategies that were significant, and network attack techniques that have been used before. The security of various domain names is the subject of this article's description of bibliographic research.