• 한국컴퓨터정보학회논문지
• /
• 제19권4호
• /
• pp.81-90
• /
• 2014

스마트폰 같은 모바일 장치의 대중적 보급과 발전으로 인해 PC 기반의 악성코드가 모바일 기반으로 빠르게 이동하고 있다. 특히 봇넷은 PC에서의 강력한 악성행위와 피해를 모바일 장치에서 재생산하며 새로운 기법을 추가하고 있다. 기존 PC 기반의 봇넷과 달리 모바일 봇넷은 동시에 다양한 공격 경로의 탐지가 어려워 네트워크 기반보다는 호스트 기반의 탐지 기법이 주를 이루고 있다. 본 논문에서는 호스트 기반 기법의 한계를 극복하기 위하여 네트워크 기반으로 모바일 봇넷을 탐지하는 HMM과 SVM을 적용한 2 가지 기법을 비교한다. 기계학습에 많이 사용되는 시계열 데이터와 단위시간 데이터를 추출하여 두 기법에 적용하여, 실제 봇넷이 설치된 환경의 트래픽 검증 분석을 통해 이들 데이터에 따른 두 기법의 탐지율과 탐지 특성을 제시한다.

• Journal of Communications and Networks
• /
• 제14권4호
• /
• pp.396-409
• /
• 2012

With the proliferation of diverse wireless devices, there is an increasing concern about the security of location information which can be spoofed or disrupted by adversaries. This paper investigates the characterization and detection of location spoofing attacks, specifically those which are attempting to falsify (degrade) the position estimate through signal strength based attacks. Since the physical-layer approach identifies and assesses the security risk of position information based solely on using received signal strength (RSS), it is applicable to nearly any practical wireless network. In this paper, we characterize the impact of signal strength and beamforming attacks on range estimates and the resulting position estimate. It is shown that such attacks can be characterized by a scaling factor that biases the individual range estimators either uniformly or selectively. We then identify the more severe types of attacks, and develop an attack detection approach which does not rely on a priori knowledge (either statistical or environmental). The resulting approach, which exploits the dissimilar behavior of two RSS-based estimators when under attack, is shown to be effective at detecting both types of attacks with the detection rate increasing with the severity of the induced location error.

• Journal of Information Processing Systems
• /
• 제12권3호
• /
• pp.422-435
• /
• 2016

Despite the convenience brought by the advances in web and Internet technology, users are increasingly being exposed to the danger of various types of cyber attacks. In particular, recent studies have shown that today's cyber attacks usually occur on the web via malware distribution and the stealing of personal information. A drive-by download is a kind of web-based attack for malware distribution. Researchers have proposed various methods for detecting a drive-by download attack effectively. However, existing methods have limitations against recent evasion techniques, including JavaScript obfuscation, hiding, and dynamic code evaluation. In this paper, we propose an emulation-based malicious webpage detection method. Based on our study on the limitations of the existing methods and the state-of-the-art evasion techniques, we will introduce four features that can detect malware distribution networks and we applied them to the proposed method. Our performance evaluation using a URL scan engine provided by VirusTotal shows that the proposed method detects malicious webpages more precisely than existing solutions.

• KSII Transactions on Internet and Information Systems (TIIS)
• /
• 제12권9호
• /
• pp.4183-4204
• /
• 2018

The existing en-route filtering schemes only consider some simple false data injection attacks, which results in lower safety performance. In this paper, we propose an efficient geographical information-based en-route filtering scheme (EGEFS), in which each forwarding node verifies not only the message authentication codes (MACs), but also the report identifier and the legitimacy and authenticity of locations carried in a data report. Thus, EGEFS can defend against not only the simple false data injection attacks and the replay attack, but also the collusion attack with forged locations proposed in this paper. In addition, we propose a new method for electing the center-of-stimulus (CoS) node, which can ensure that only one detecting node will be elected as the CoS node to generate one data report for an event. The simulation results show that, compared to the existing en-route filtering schemes, EGEFS has higher safety performance, because it can resist more types of false data injection attacks, and it also has higher filtering efficiency and lower energy expenditure.

• 전자공학회논문지CI
• /
• 제47권1호
• /
• pp.15-21
• /
• 2010

본 논문은 비디오 콘텐츠가 P2P 환경에서 배포될 때, 멀티미디어 핑거프린팅 코드를 삽입하는 알고리즘을 제안하고 공모공격 방지를 위한 공모 코드북 SRP(Small RISC Processor) 임베디드 시스템을 설계한다. 구현된 시스템에서는 웹서버에 업로드를 요청하는 클라이언트 사용자의 비디오 콘텐츠에 삽입된 핑거프린팅 코드를 검출하여 인증된 콘텐츠이면 스트리밍 서버로 전송을 하여 P2P 네트워크에 배포를 허락하고, 공모코드가 검출되면 스트리밍 서버로 비디오 콘텐츠의 전송을 차단하여 P2P 네트워크에 배포를 중지시키고, 또한 공모코드에 가담한 공모자를 추적한다. BIBD 코드 v의 10%를 공모자로 하여 평균화공격의 공모코드를 생성하였다. 이를 기반으로 공모공격 방지의 코드북이 설계 되었다. 비디오 콘텐츠의 온라인 스트리밍 서비스 ASF와 오프라인 제공 MP4의 비디오 압축에서는 I-프레임의 휘도성분 Y의 비트플랜 0~3에 핑거프린팅 코드의 삽입량이 0.15% 이상에서 삽입된 원코드와 검출된 코드의 상관계수는 0.15 이상이었다. 상관계수 0.1 이상에서 공모코드 검출율은 38% 그리고 상관계수 0.2 이상에서 공모자 추적율은 20%임을 확인하였다.

• Journal of Information Processing Systems
• /
• 제16권4호
• /
• pp.975-990
• /
• 2020

Nowadays, the Internet of Things (IoT) network, is increasingly becoming a ubiquitous connectivity between different advanced applications such as smart cities, smart homes, smart grids, and many others. The emerging network of smart devices and objects enables people to make smart decisions through machine to machine (M2M) communication. Most real-world security and IoT-related challenges are vulnerable to various attacks that pose numerous security and privacy challenges. Therefore, IoT offers efficient and effective solutions. intrusion detection system (IDS) is a solution to address security and privacy challenges with detecting different IoT attacks. To develop an attack detection and a stable network, this paper's main objective is to provide a comprehensive overview of existing intrusion detections system for IoT environment, cyber-security threats challenges, and transparent problems and concerns are analyzed and discussed. In this paper, we propose software-defined IDS based distributed cloud architecture, that provides a secure IoT environment. Experimental evaluation of proposed architecture shows that it has better detection and accuracy than traditional methods.

• 정보보호학회논문지
• /
• 제26권3호
• /
• pp.667-678
• /
• 2016

유 무선 네트워크 인프라의 발전으로 과거와 비교할 수 없을 정도의 대용량 트래픽이 인터넷을 통해 서비스되고 있으며, 사물인터넷과 같은 네트워크 패러다임의 변화에 따라 트래픽은 매년 증가하여 2018년에는 약 1.6제타바이트의 트래픽이 네트워크를 통해 유통될 것으로 예상하고 있다. 네트워크 트래픽이 증가함에 따라 보안 인프라의 성능도 함께 발전하여 대용량의 트래픽을 보안장비에서 처리하고 있으며, 해킹 시도 및 악성코드 등 매일 수 십 만건의 보안이벤트를 처리하고 있다. 다양한 종류의 보안인프라에서 탐지하는 공격 시도에 대한 이벤트를 어떻게 효율적으로 분석하고 대응하느냐 하는 것은 안정된 인터넷 서비스를 제공하기 위해 매우 중요한 과제 중 하나이다. 하지만 현재의 보안관제 환경은 실시간으로 발생하는 대량의 보안이벤트를 분석하는 것에 어려움을 가지고 있으며, 다양한 환경적 요인에 의해 보안인프라에서 탐지하는 모든 이벤트를 분석하고 대응하는데 한계가 있다. 본 연구에서는 보안인프라에서 탐지된 이벤트에 대해 제안된 알고리즘을 사용하여 익명 네트워크를 분류하고 유해트래픽을 탐지함으로써 기존의 Low-Latency를 활용한 Tor 네트워크 트래픽 탐지와 같은 연구의 한계를 극복하고자 한다.

• 한국산학기술학회논문지
• /
• 제17권2호
• /
• pp.703-711
• /
• 2016

침입탐지시스템은 네트워크 데이터 분석을 통해 네트워크 침입을 탐지하는 역할을 수행하고 침입탐지를 위해 높은 수치의 정확도와 탐지율, 그리고 낮은 수치의 오경보율이 요구된다. 또한 네트워크 데이터 분석을 위해서는 전문가 시스템, 데이터 마이닝, 상태전이 분석(state transition analysis) 등 다양한 기법이 이용된다. 본 연구의 목적은 데이터 마이닝을 이용한 네트워크 침입탐지기법인 두 기법의 탐지효과를 비교하는데 있다. 첫번째 기법은 기계학습 알고리즘인 SVM이고 두번째 알고리즘은 인공 신경망 모형 중의 하나인 FANN이다. 두 기법의 탐지효과를 비교하기 위해 침입 탐지에 많이 쓰이는 KDD Cup 99 훈련 및 테스트 데이터를 이용하여 탐지의 정확도, 탐지율, 오경보율을 계산하고 비교하였다. 정상적인 데이터를 침입으로 간주하는 오경보율의 경우 SVM보다 FANN이 약간 많은 오경보율을 보이나, 탐지의 정확도 및 침입을 찾아내는 탐지율에서 FANN은 SVM보다 월등한 탐지효과를 보여준다. 정상적인 데이터를 침입으로 간주했을 때의 위험보다는 실제 침입을 정상적인 데이터로 인식할 때의 위험도가 훨씬 큰 것을 감안하면 FANN이 SVM보다 침입탐지에 훨씬 효과적임을 보이고 있다.

• 한국컴퓨터정보학회:학술대회논문집
• /
• 한국컴퓨터정보학회 2015년도 제51차 동계학술대회논문집 23권1호
• /
• pp.55-58
• /
• 2015

무선 센서 네트워크는 개방된 환경에 단거리 무선 통신으로 정보를 수집하는 센서 노드와 이를 수집하는 베이스 스테이션으로 운영된다. 이러한 센서 네트워크의 특징으로 인해 공격자를 통해 쉽게 훼손될 수 있으며 대표적인 공격방법으로 싱크홀 공격이 있다. LEAP은 싱크홀 공격에 대응하기 위해 네 종류의 키를 사용하여 노드 간 인증을 하도록 제안되었다. 이 기법은 보안성을 유지하기 위해 주기적으로 베이스 스테이션까지의 경로를 갱신한다. 본 논문에서는, 내부 싱크홀 공격을 LEAP과 같은 키의 인증을 통하여 탐지하는 기법을 제안한다. 제안 기법은 이전 노드, 다음 노드와의 키 인증을 통해 공격을 탐지한다. 공격이 탐지되면 해당 노드를 네트워크에서 제외하고 경로를 갱신하며 갱신된 경로를 통해 새로운 키를 배포한다. 그러므로 제안 기법은 이전 노드, 다음 노드와의 키 인증을 통해 싱크홀 공격을 탐지함으로써 전체 네트워크 보안성 향상을 목적으로 한다.

• 대한전자공학회:학술대회논문집
• /
• 대한전자공학회 2008년도 하계종합학술대회
• /
• pp.669-670
• /
• 2008

In this paper, we present a real-time system to detect abnormal events on gas pipes, based on the signals which are observed through the audio sensors attached on them. First, features are extracted from these signals so that they are robust to noise and invariant to the distance between a sensor and a spot at which an abnormal event like an attack on the gas pipes occurs. Then, a classifier is constructed to detect abnormal events using neural networks. It is a combination of two neural network models, a Gaussian mixture model and a multi-layer perceptron, for the reduction of miss and false alarms. The former works for miss alarm prevention and the latter for false alarm prevention. The experimental result with real data from the actual gas system shows that the proposed system is effective in detecting the dangerous events in real-time with an accuracy of 92.9%.