• KSII Transactions on Internet and Information Systems (TIIS)
• /
• v.8 no.5
• /
• pp.1726-1743
• /
• 2014

DDoS (Distributed Denial of Service) has been a continuous threat to the cyber world with the growth in cyber technology. This technical evolution has given rise to a number of ultra-sophisticated ways for the attackers to perform their DDoS attack. In general, the attackers who generate the denial of service, use the vulnerabilities of the TCP. Some of the vulnerabilities like SYN (synchronization) flooding, and IP spoofing are used by the attacker to create these Distributed Reflected Denial of Service (DrDoS) attacks. An attacker, with the assistance of IP spoofing creates a number of attack packets, which reflects the flooded packets to an attacker's intended victim system, known as the primary target. The proposed scheme, Efficient Spoofed Flooding Defense (ESFD) provides two level checks which, consist of probing and non-repudiation, before allocating a service to the clients. The probing is used to determine the availability of the requested client. Non-repudiation is taken care of by the timestamp enabled in the packet, which is our major contribution. The real time experimental results showed the efficiency of our proposed ESFD scheme, by increasing the performance of the CPU up to 40%, the memory up to 52% and the network bandwidth up to 67%. This proves the fact that the proposed ESFD scheme is fast and efficient, negating the impact on the network, victim and primary target.

• Journal of the Korea Academia-Industrial cooperation Society
• /
• v.10 no.4
• /
• pp.811-817
• /
• 2009

The rapid growth of network based IT systems has resulted in continuous research of security issues. Probe intrusion detection is an area of increasing concerns in the internet community. Recently, a number of probe intrusion detection schemes have been proposed based on various technologies. However, the techniques, which have been applied in many systems, are useful only for the existing patterns of probe intrusion. They can not detect new patterns of probe intrusion. Therefore, it is necessary to develop a new Probe Intrusion Detection technology that can find new patterns of probe intrusion. In this paper, we proposed a new network based probe intrusion detector(NePID) using anomaly traffic analysis and fuzzy cognitive maps that can detect intrusion by the denial of services attack detection method utilizing the packet analyses. The probe intrusion detection using fuzzy cognitive maps capture and analyze the packet information to detect syn flooding attack. Using the result of the analysis of decision module, which adopts the fuzzy cognitive maps, the decision module measures the degree of risk of denial of service attack and trains the response module to deal with attacks. For the performance evaluation, the "IDS Evaluation Data Set" created by MIT was used. From the simulation we obtained the max-average true positive rate of 97.094% and the max-average false negative rate of 2.936%. The true positive error rate of the NePID is similar to that of Bernhard's true positive error rate.

• Journal of Korea Society of Digital Industry and Information Management
• /
• v.8 no.2
• /
• pp.59-65
• /
• 2012

Emergency medical information center performs role of medical direction about disease consult and pre-hospital emergency handling scheme work to people. Emergency medical information system plays a major role to be decreased mortality and disability of emergency patient by providing information of medical institution especially when emergency patient has appeared. But, various attacks as a hacking have been happened in Emergency medical information system recently. In this paper, we proposed security structure which can protect the system securely by detecting attacks from outside effectively. Intrusion detection was performed using rule based detection technique according to protocol for every packet to detect attack and intrusion was reported to control center if intrusion was detected also. Intrusion detection was performed again using decision tree for packet which intrusion detection was not done. We experimented effectiveness using attacks as TCP-SYN, UDP flooding and ICMP flooding for proposed security structure in this paper.

• Proceedings of the Korea Multimedia Society Conference
• /
• 2000.11a
• /
• pp.498-501
• /
• 2000

본 논문에서는 TCP(Transmission Control Protocol) 프로토콜의 약점을 이용해 최근 대두되고 있는 IP Spoofing공격, SYN Flooding공격, DoS(Denial of Service)공격에 대응하기 위해 TCP 프로토콜에서 순서번호 생성의 단순함을 극복하고자 하였다. 이러한 방안으로 난수, 순서번호, 접속 요구 IP의 공개키를 이용하여 일회용 키를 생산 분배 하였다. 여기서 발생된 일회용 패스워드를 접속 요구 IP에 할당함으로써 순서번호에 암호화 및 IP 민중을 통한 시스템의 보안 수준을 높이고자 하였다.

• Proceedings of the Korean Information Science Society Conference
• /
• 2001.10c
• /
• pp.235-237
• /
• 2001

본 논문의 웹 서버 디렉터는 웹 서버의 앞단에 설치되어 과부하 상태에서 서버의 성능 감소를 막는 역할을 한다. 본 논문을 통해 구현된 웹 서버 디렉터는 기존의 아파치와 같은 웹 서버의 수정 없이 그대로 사용하기 때문에, 그 동안 개발되어 온 웹 서버 모듈과 부가 기능을 모두 사용할 수 있는 장점이 있다. 또한, 서버의 I/O 모델로 가장 이상적이라고 검증된 단일 프로세스와 이산사건처리 방식을 채택하여, 일반 웹 서버에 비하여 최고 1.6배의 성능 향상을 보인다 부가적으로 SYN Flooding 과 같은 악의적인 웹 요청에도 견고한 특성을 보인다.

• Proceedings of the Korea Society for Simulation Conference
• /
• 2002.05a
• /
• pp.231-237
• /
• 2002

네트워크 보안은 정보통신 및 인터넷 기술이 발전함에 따라 그 중요성과 필요성이 더욱 절실해지고 있다. 본 연구에서는 네트워크 보안의 대표적인 침입 차단 시스템의 패킷 필터 및 네트워크 구성요소들을 모델링하였다. 각 모델은 DEVS 모델을 참조한 MODSIM III 기반의 기본 모델(Basic Model)과 결합 모델(Compound Model)의 두 가지 유형으로 정의하였다. 기본 모델은 독립적인 기능을 수행하는 단위 모델을 표현하고, 결합 모델은 여러 개의 모델이 연동되어 상위 레벨의 시스템을 표현한다. 시뮬레이션을 위한 모델링과 그래픽 기능이 강력한 MODSIM III를 기반으로 모델들을 비롯한 시뮬레이션 환경을 구현하였다. 대상 네트워크 환경에서 사용한 공격은 서비스 기부 공격 형태인 SYN flooding 공격과 Smurf 공격을 발생하였다. 이 공격들에 대하여, 패킷 필터 모델에 다양한 보안 정책을 적용하여 시뮬레이션을 실행하였다. 본 연구에서의 시뮬레이션을 통하여, 과거의 단순 패킷 필터링에서 진일보한 Stateful Inspection의 우수한 보안 성능과, 보안 정책의 강도를 점점 높였을 때 보안 성능이 향상되는 점을 검증하였다.

• Proceedings of the IEEK Conference
• /
• 2002.07b
• /
• pp.928-931
• /
• 2002

Network based intrusion detection system is a computer network security tool. In this paper, we present an intrusion detection system based on Self-Organizing Maps (SOM) and Resilient Propagation Neural Network (RPROP) for visualizing and classifying intrusion and normal patterns. We introduce a cluster matching equation for finding principal associated components in component planes. We apply data from The Third International Knowledge Discovery and Data Mining Tools Competition (KDD cup'99) for training and testing our prototype. From our experimental results with different network data, our scheme archives more than 90 percent detection rate, and less than 5 percent false alarm rate in one SYN flooding and two port scanning attack types.

• Annual Conference of KIPS
• /
• 2005.05a
• /
• pp.1327-1330
• /
• 2005

서비스 거부공격(Denial of Sevice)이란 서버의 자원을 고갈시켜 더이상 정상적인 서비스를 할 수 없도록 하는 공격이다. DoS 공격 중에서 SYN Flooding DoS Attack을 받은 웹 서버는 외부로부터 들어온 공격 패킷에 의해 back log를 소모하게 된다. 그 결과 정상적인 연결 요청에 대해 서비스를 제공하지 못하게 된다. Dos 공격에 관한 다양한 연구가 진행되고 있지만, 본 논문에서는 서비스 거부공격이 TCP 상태 전이에 미치는 영향에 관한 연구를 하였다. 웹 서버의 Tcp 상태정보를 얻기 위해 GetTcpinfo 프로세스를 실행한 후 정상적인 접속을 시도해 보고 정상적인 접속이 진행되고 있는 상태에서 DoS 공격을 시도한다. GetTcpinfo 프로세스에 의해 파일로 저장된 TCP 상태전이 값을 분석하여 DoS 공격이 TCP 상태 전이에 미치는 영향에 대해 알아본다.

• Proceedings of the Korean Institute of Intelligent Systems Conference
• /
• 2003.05a
• /
• pp.197-201
• /
• 2003

해킹을 방지하기 위한 목적으로 개발된 보안 도구들 중 네트워크 취약점을 검색할 수 있도록 만들어진 프로그램들이 있다. 네트워크 취약점을 자동 검색해 주는 보안 관리 도구를 역이용하여 침입하고자 하는 시스템의 보안 취약점 정보를 알아내는데 사용하여, 알아낸 정보들을 가지고 공격 대상을 찾는데 활용하고 있다. 해킹 수법들에는 서비스 거부 공격, 버퍼오버플로우 공격 등이 있다. 따라서, 해커들이 침입하기 위하여 취약점을 알아내려고 의도하는 침입시도들을 탐지하여 침입이 일어나는 것을 사전에 방어할 수 있는 침입시도탐지가 적극적인 예방차원에서 더욱 필요하다. 본 논문에서는 이러한 취약점을 이용하여 침입시도를 하는 사전 공격형태인 서비스 거부 공격 중 TCP 프로토콜을 사용하는 Syn Flooding 공격에 대하여 패킷분석을 통하여 탐지하고 탐지된 경우 실제 침입의 위험수준을 고려하여 시스템관리자가 대처하는 방어수준을 적절히 조절하여 침입의 위험수준에 따른 방어대책이 가능한 침입시도 방지 모델을 제시한다.

• Proceedings of the Korean Institute of Intelligent Systems Conference
• /
• 2002.12a
• /
• pp.258-261
• /
• 2002

최근 네트워크 취약점 검색 방법을 이용한 침입 공격이 증가하는 추세이며 이런 공격에 대하여 적절하게 실시간 탐지 및 대응 처리하는 침입방지시스템(IPS: Intrusion Prevention System)에 대한 연구가 지속적으로 이루어지고 있다. 본 논문에서는 시스템에 허락을 얻지 않은 서비스거부 공격(Denial of Service Attack) 기술 중 TCP의 신뢰성 및 연결 지향적 전송서비스로 종단간에 이루어지는 3-Way Handshake를 이용한 Syn Flooding Attack에 대하여 침입시도패킷 정보를 수집, 분석하고 퍼지인식도(FCM : Fuzzy Cognitive Maps)를 이용한 침입시도여부결정 및 대응 처리하는 네트워크 기반의 실시간 탐지 및 방지 모델(Network based Real Time Scan Detection & Prevention Model)을 제안한다.