• 정보처리학회논문지C
• /
• 제16C권2호
• /
• pp.151-164
• /
• 2009

센서 네트워크는 유비쿼터스 컴퓨팅 구현을 위한 기반 네트워크 중의 하나로 그 중요성이 점차 부각되고 있으며, 네트워크 특성상 보안 기술 또한 기반 기술과 함께 중요하게 인식되고 있다. 현재까지 진행된 센서 네트워크 보안 기술은 암호화에 의존하는 인증 구조나 키 관리 구조에 대한 연구가 주를 이루었다. 그러나 센서 노드는 쉽게 포획이 가능하고 암호화 기술을 사용하는 환경에서도 키가 외부에 노출되기 쉽다. 공격자는 이를 이용하여 합법적인 노드로 가장하여 내부에서 네트워크를 공격할 수 있다. 따라서 네트워크의 보안을 보장하기 위해서는 한정된 자원의 많은 센서로 구성된 센서 네트워크 특성에 맞는 효율적인 침입탐지 구조가 개발되어야 한다. 본 논문에서는 센서 네트워크에서 에너지 효율성과 침입탐지 기능의 효율성을 함께 고려하여 침입탐지 기능을 분산적이고 동적으로 변화시킬 수 있는 분산 침입탐지 구조를 제안한다. 클러스터링 알고리즘인 HEED 알고리즘을 수정 (modified HEED, mHEED라 칭함)하여 각 라운드에서 노드의 에너지 잔량과 이웃 노드 수에 따라 분산 침입탐지노드가 선택되고, 침입탐지를 위한 코드와 이전 감시 결과가 이동 에이전트를 통해 전달이 되어 연속적인 감시 기능을 수행한다. 감시된 결과는 일반 센싱 정보에 첨부되어 전달되거나 긴급한 데이터의 경우 높은 우선순위 전달을 통해 중앙 침입탐지 시스템에 전달이된다. 시뮬레이션을 통해 기존 연구인 적응적 침입탐지 구조와 성능 비교를 수행하였고, 그 결과 에너지 효율성 및 오버헤드, 탐지가능성과 그 성능 측면에서 뛰어난 성능 향상을 입증할 수 있었다.

• 정보처리학회논문지C
• /
• 제11C권5호
• /
• pp.595-604
• /
• 2004

컴퓨터 네트워크의 확대 및 인터넷 이용의 급격한 증가에 따른 최근의 정보통신 기반구조는 컴퓨터 시스템의 네트워크를 통한 연결로 다양한 서비스를 제공하고 있다. 특히 인터넷은 개방형 구조를 가지고 있어 서비스 품질의 보장과 네트워크의 관리가 어렵고, 기반구조의 취약성으로 인하여 타인으로부터의 해킹 및 정보유출 둥의 위협으로부터 노출되어 있다. 보안 위협에 대한 능동적인 대처 및 침입 이후에 동일한 또는 유사한 유형의 사건 발생에 대해 실시간 대응할 수 있는 방법이 중요하게 되었으며 이러한 해결책으로서 침임 탐지 시스템에 대한 연구가 활발히 진행되고 있다. 본 논문에서는 지도학습 알고리즘이 의한 침입탐지 시스템의 성능을 향상시키기 위해서 불확실성을 해결하기 위한 방법인 퍼지를 적용한 뉴로-퍼지 모델의 이상 침입 탐지 시스템에 대해서 연구한다. 즉, 신경망 학습의 전달함수를 불확실성을 해결하기 위한 퍼지 멤버쉽 함수로 수정하여 지도학습을 수행하였다. 제안한 뉴로-퍼지기법을 DARPA 침입 데이터를 이용하여 오용 탐지의 한계성을 극복한 네트워크기반의 이상침입 탐지에 적용하여 성능을 검증하였다.

• 한국산학기술학회논문지
• /
• 제11권3호
• /
• pp.984-990
• /
• 2010

유비쿼터스 환경 구축을 위해 Zigbee 센서 네트워크 기술이 중요한 역할을 하고 있다. 그러나, Zigbee 기술은 근거리 내에서 환경정보 등을 센싱하여 정보를 전달하기 위한 간단한 작업을 목적으로 설계되었기 때문에, 다양한 공격기술에 의해 네트워크가 손상될 가능성이 매우 높다. 이러한 문제를 해결하기 위해 다양한 방어 기법들이 다수 논문에서 제시되고 있으나, 기존의 Zigbee 공격에 대한 다양한 대응방안들은 기능 구현시 센서노드의 중량화, 고비용화의 문제가 있으며, 이와 같은 문제를 해결하기 위해 Zigbee 네트워크상에서 컴퓨팅 파워가 우수한 코디네이터를 설치하고, 코디네이터을 기반으로 한 침입탐지시스템을 제안한다. 코디네이터 기반 침입탐지시스템은 Zigbee 네트워크의 공격을 탐지하고, 해결하는 새로운 방법을 제시하며, 다양한 분야에 응용이 가능하므로 Zigbee 기술을 실생활에 접목하는데 기여할 것으로 기대된다.

• 한국지능시스템학회논문지
• /
• 제13권2호
• /
• pp.237-242
• /
• 2003

본 논문에서는 클러스터링을 기반으로 하는 새로운 침입탐지 알고리즘인 Kernel-ART를 제안한다. Kernel-ART는 개념벡터(concept vector)와 SVM(support vector machine)의 머서 커널(mercer-kernel)을 온라인 클러스터링 알고리즘인 ART(adaptive resonance theory)에 접목시킨 새로운 알고리즘으로서 교사학습 기반 침입탐지 시스템의 단점을 극복할 뿐만 아니라, 클러스터링 기반 침입탐지 시스템에서 요구되는 모든 평가 기준들을 만족한다. 본 논문에서 제안하는 알고리즘은 클러스터를 점증적으로 생성함으로써 여러 가지 다양한 침입 유형들을 실시간으로 탐지할 수 있다.

• 융합보안논문지
• /
• 제12권6호
• /
• pp.69-75
• /
• 2012

MANET은 노드들의 이동성으로 인한 동적 토폴로지와 hop-by-hop 데이터 전달 방식의 특징으로 인해 많은 공격들의 대상이 된다. 그리고 MANET에서는 침입탐지시스템의 위치 설정이 어렵고, 지역적으로 수집된 정보로는 공격 탐지가 더욱 어렵다. 또한 트래픽 양이 많아지면 침입탐지 성능이 현저히 떨어지게 된다. 따라서 본 논문에서는 MANET을 zone 형태로 구성한 후 대용량의 트래픽에도 안정된 침입탐지를 수행할 수 있도록 하기 위하여 정보 손실 없이 차원을 축소할 수 있는 random projection 기법을 사용하였다. 그리고 지역적인 정보만으로 탐지가 어려운 공격 탐지를 위해서 전역 탐지 노드를 이용하였다. 전역 탐지 노드에서는 IDS 에이전트들로부터 수신한 정보와 노드들의 패턴을 이용하여 공격 탐지를 수행하게 된다. 본 논문에서 제안한 기법의 성능 평가를 위하여 k-NN 기법과 ZBIDS 기법과 비교 실험하였으며, 실험을 통해 성능의 우수성을 확인하였다.

• 한국정보기술응용학회:학술대회논문집
• /
• 한국정보기술응용학회 2005년도 6th 2005 International Conference on Computers, Communications and System
• /
• pp.161-164
• /
• 2005

As the power of influence of the Internet grows steadily, attacks against the Internet can cause enormous monetary damages nowadays. A worm can not only replicate itself like a virus but also propagate itself across the Internet. So it infects vulnerable hosts in the Internet and then downgrades the overall performance of the Internet or makes the Internet not to work. To response this, worm detection and prevention technologies are developed. The worm detection technologies are classified into two categories, host based detection and network based detection. Host based detection methods are a method which checks the files that worms make, a method which checks the integrity of the file systems and so on. Network based detection methods are a misuse detection method which compares traffic payloads with worm signatures and anomaly detection methods which check inbound/outbound scan rates, ICMP host/port unreachable message rates, and TCP RST packet rates. However, single detection methods like the aforementioned can't response worms' attacks effectively because worms attack the Internet in the distributed fashion. In this paper, we propose a design of distributed worm detection system to overcome the inefficiency. Existing distributed network intrusion detection systems cooperate with each other only with their own information. Unlike this, in our proposed system, a worm detection system on a network in which worms select targets and a worm detection system on a network in which worms propagate themselves cooperate with each other with the direction-aware information in terms of worm's lifecycle. The direction-aware information includes the moving direction of worms and the service port attacked by worms. In this way, we can not only reduce false positive rate of the system but also prevent worms from propagating themselves across the Internet through dispersing the confirmed worm signature.

• 한국콘텐츠학회논문지
• /
• 제14권11호
• /
• pp.39-49
• /
• 2014

인터넷상에서 발생하는 사이버위협이 폭발적으로 증가하고 있으며 해킹 기술 또한 지속적으로 진화함에 따라 이에 대응하기 위한 다양한 보안기술 및 시스템에 대한 연구가 진행되고 있다. 특히, 침입탐지시스템(Intrusion Detection System : IDS)은 사이버 공격에 대한 실시간 탐지 및 분석을 수행하기 위한 솔루션으로 대부분의 기관에서 구축 운용하고 있다. 하지만, IDS가 탐지하는 보안이벤트 수가 기하급수적으로 증가하고 있고 이들 대부분이 오탐(정상 통신을 공격으로 잘못 탐지)이기 때문에 모든 보안이벤트를 관제요원이 실시간으로 분석하기 힘들다는 문제점이 있다. 이에 IDS가 탐지한 대용량 보안이벤트를 실시간으로 분석하여 실제 해킹공격의 발생여부를 자동으로 검증하기 위한 연구가 주목을 받고 있다. 본 논문에서는 보호대상 정보시스템에 대한 취약점 점검결과와 대용량 보안이벤트와의 상관분석을 통해 실제 해킹공격의 발생여부를 자동으로 검증하기 위한 방법론을 제시한다. 또한, 실제 보안업무 현장에서 수집된 보안이벤트 정보와 취약점 점검결과를 활용하여 제안 방법론의 유효성을 도출하기 위한 실증적 실험을 수행한다.

• 한국정보기술응용학회:학술대회논문집
• /
• 한국정보기술응용학회 2005년도 6th 2005 International Conference on Computers, Communications and System
• /
• pp.297-300
• /
• 2005

Especially, system security is very important in the ubiquitous environment. This paper proposes a protecting scheme for security policies in Firewall and intrusion detection system (IDS). The one-way hash function and the symmetric cryptosystem are used to make the protected rules for Firewalls and IDSs. The proposed scheme could be applied in diverse kind of defense systems which use rules.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2006년도 춘계학술발표대회
• /
• pp.1117-1120
• /
• 2006

Wide applications because of their flexibilities and conveniences of Wireless Mobile Ad-hoc Networks (MANETs) also make them more interesting to adversaries. Currently, there is no applied architecture efficient enough to protect them against many types of attacks. Some preventive mechanisms are deployed to protect MANETs but they are not enough. Thus, MANETs need an Intrusion Detection System (IDS) as the second layer to detect intrusion of adversaries to response and diminish the damage. In this paper, we propose an algorithm for detecting bogus nodes when they attempt to intrude into network by attack routing protocol. In addition, we propose a procedure to find the most optimize path between two nodes when they want to communicate with each other. We also show that our algorithm is very easy to implement in current proposed architectures.

• 한국정보통신학회:학술대회논문집
• /
• 한국해양정보통신학회 2004년도 SMICS 2004 International Symposium on Maritime and Communication Sciences
• /
• pp.88-92
• /
• 2004

Most studies in the past in testing and benchmarking on Intrusion Detection System (IDS) were conducted as comparisons, rather than evaluation, on different IDSs. This paper presents the evaluation of the performance of one of the open source IDS, snort, in an inexpensive high availability system configuration. Redundancy and fault tolerance technology are used in deploying such IDS, because of the possible attacks that can make snort exhaust resources, degrade in performance and even crash. Several test data are used in such environment and yielded different results. CPU speed, Disk usage, memory utilization and other resources of the IDS host are also monitored. Test results with the proposed system configuration environment show much better system availability and reliability, especially on security systems.