• 정보보호학회논문지
• /
• 제29권3호
• /
• pp.599-612
• /
• 2019

클라우드 네트워크는 다양한 서비스 제공을 위해 활용된다. 클라우드 네트워크를 활용한 서비스 제공이 확대되면서, 다양한 환경과 프로토콜을 활용하는 자원들이 클라우드에 다수 존재하게 되었다. 하지만 이러한 자원들에 대한 보안 침입이 발생하고 있으며, 클라우드 자원에 대한 위협들이 등장함에 따라 클라우드 네트워크 취약점 탐지에 대한 연구가 요구된다. 본 논문에서는 다양한 환경과 프로토콜을 활용하는 자원들에 대한 취약점 탐지를 위해 STRIDE와 HARM을 활용한 취약점 탐지 기법을 제시하고 취약점 탐지 시나리오 구성을 통해 클라우드 네트워크 취약점 탐지 기법에 대해 제안한다.

• 한국산학기술학회논문지
• /
• 제19권12호
• /
• pp.863-871
• /
• 2018

본 논문에서는 기존의 취약점 분석 도구들의 미탐지, 오탐지, 과탐지를 발생시켜 정확한 취약점 탐지를 어렵게 하는 문제점을 해결하고 분석 대상이 되는 어플리케이션의 위험도를 평가하여 안전한 어플리케이션을 개발하거나 관리할 수 있는 정적 및 동적 분석을 이용한 크로스 체크기반의 취약점 탐지 기법을 제안한다. 또한 각각의 취약점이 가지고 있는 자체 위험도를 계산하고 정확도를 높인 취약점 탐지 기법을 바탕으로 최종적인 어플리케이션의 위험도를 평가, 제시함으로서 안전한 어플리케이션의 개발 및 운영을 돕는다. 제안하는 기법은 정적 분석 및 동적 분석 기법을 사용하는 도구들의 상호작용을 통해 각 기법의 단점들을 극복하여 취약점 탐지 정확도를 향상시킨다. 또한 기존의 취약점 위험도평가 시스템은 취약점 자체 위험도에 대해서만 평가하였으나, 제안하는 위험도 평가는 취약점 자체 위험도와 탐지 정확도를 복합적으로 반영하여 어플리케이션이 얼마나 위험에 노출되어 있는지를 평가한다. 제안하는 기법은 CWE에서 SANS top 25의 상위 10위 항목을 기준으로 기존의 분석 도구들과 탐지 가능한 목록, 탐지 정확도를 비교분석하였으며, 기존의 취약점 위험도에 대한 정량적 평가 시스템과 제안하는 어플리케이션 위험도 평가 결과를 비교 분석 및 평가하였다. 제안하는 기법으로 프로토타입 분석 툴을 구현하여 실험을 통해 어플리케이션의 취약점을 분석하였을 때, 기존의 분석 도구들의 취약점 탐지 능력보다 우수한 것으로 나타났다.

• 정보보호학회논문지
• /
• 제18권3호
• /
• pp.121-129
• /
• 2008

본 논문은 소프트웨어의 취약점을 표현하기 위한 방법으로 단위 취약점을 기반으로 한 의미기반 취약점 식별자 부여 방법을 제안하고 있다. 의미기반 취약점 식별자 부여를 위해 기존의 취약점 단위를 DEVS 모델링 방법론의 SES 이론에서 사용되는 분할 및 분류(Decomposition/Specialization) 절차를 적용하였다. 의미기반 취약점 식별자는 취약점 점검 규칙 및 공격 탐지 규칙과 연관 관계를 좀 더 낮은 레벨에서 맺을 수 있도록 해주고, 보안 관리자의 취약점에 대한 대응을 좀더 편리하고 신속하게 하는 데 활용될 수 있다. 특히, 본 논문에서는 Nessus와 Snort의 규칙들이 의미기반 취약점 식별자와 어떻게 맵핑되는 지를 제시하고, 보안 관리자 입장에서 어떻게 활용 될 수 있는 지를 3가지 관점에서 정리하였다. 본 논문의 기여점은 의미기반 취약점 식별자 개념 정의 및 이를 기반으로 한 취약점 표현과 활용 방법의 제안에 있다.

• KSII Transactions on Internet and Information Systems (TIIS)
• /
• 제15권12호
• /
• pp.4531-4544
• /
• 2021

Because the traditional network information security vulnerability risk assessment method does not set the weight, it is easy for security personnel to fail to evaluate the value of information security vulnerability risk according to the calculation value of network centrality, resulting in poor evaluation effect. Therefore, based on the network security data element feature system, this study designed a quantitative assessment method of network information security vulnerability detection risk under single transmission state. In the case of single transmission state, the multi-dimensional analysis of network information security vulnerability is carried out by using the analysis model. On this basis, the weight is set, and the intrinsic attribute value of information security vulnerability is quantified by using the qualitative method. In order to comprehensively evaluate information security vulnerability, the efficacy coefficient method is used to transform information security vulnerability associated risk, and the information security vulnerability risk value is obtained, so as to realize the quantitative evaluation of network information security vulnerability detection under single transmission state. The calculated values of network centrality of the traditional method and the proposed method are tested respectively, and the evaluation of the two methods is evaluated according to the calculated results. The experimental results show that the proposed method can be used to calculate the network centrality value in the complex information security vulnerability space network, and the output evaluation result has a high signal-to-noise ratio, and the evaluation effect is obviously better than the traditional method.

• 정보처리학회논문지C
• /
• 제10C권1호
• /
• pp.1-10
• /
• 2003

본 논문에서는 취약점 검색공격 탐지시스템 DS-NVSA(Detection System of Network Vulnerability Scan Attacks)에서 서버와 에이전트들 사이의 상호연동을 위한 안전한 통신 프레임워크를 제안한다. 기존 시스템과의 상호연동을 위하여 제안 프레임워크는 IETF의 IDWG에서 제안한 IDMEF와 IAP를 확장 적용하였다. 또한 공개키 기반의 환경을 지원하지 못하는 네트워크 시스템을 위해 대칭키 기반의 암호화 통신 프로토콜 SKTLS(Symmetric Key based Transport Layer Security Protocol)를 제시하였다. 제안된 프레임워크는 DS-NVSA 이외에도 기존의 이기종 침입탐지 시스템의 제사용과 탐지 영역의 확대를 제공하며, 또한 기업내 통합 보안환경시스템 ESM(Enterprise Security Management) 시스템에도 적용될 수 있다.

• 정보보호학회논문지
• /
• 제31권4호
• /
• pp.687-699
• /
• 2021

프로그램에서 취약점이 발생하면 그에 대한 정보가 문서화되어 공개된다. 그러나 일부 취약점의 경우 발생한 원인과 그 소스코드를 공개하지 않는다. 이러한 정보가 없는 상황에서 취약점을 찾기 위해서는 바이너리 수준에서 코드를 분석해야 한다. 본 논문에서는 Out-of-bounds Read 취약점 유형을 바이너리 수준에서 찾는 것을 목표로 한다. 바이너리에서 취약점을 탐지하는 기존의 연구는 주로 동적 분석을 이용한 도구로 발표되었다. 동적 분석의 경우 프로그램 실행 정보를 바탕으로 취약점을 정확하게 탐지할 수 있지만, 모든 실행 경로를 탐지하지 못할 가능성이 있다. 모든 프로그램 경로를 분석하기 위해서는 정적 분석을 사용해야 한다. 기존의 정적 도구의 경우 소스코드 기반의 도구들이며, 바이너리에 수준의 정적 도구는 찾기 어렵다. 본 논문에서는 바이너리 정적 분석을 통해 취약점을 탐지하며, 메모리 구조를 모델링하는 방법으로 Heap, Stack, Global 영역의 취약점을 탐지한다. 실험 결과 기존의 탐지도구인 BAP_toolkit과 비교하였을 때 탐지 정확도 및 분석 시간에서 의미 있는 결과를 얻었다.

• KSII Transactions on Internet and Information Systems (TIIS)
• /
• 제17권6호
• /
• pp.1689-1705
• /
• 2023

To deal with the potential XSS vulnerabilities in the source code of the power communication network, an XSS vulnerability detection method combining the static analysis method with the dynamic testing method is proposed. The static analysis method aims to analyze the structure and content of the source code. We construct a set of feature expressions to match malignant content and set a "variable conversion" method to analyze the data flow of the code that implements interactive functions. The static analysis method explores the vulnerabilities existing in the source code structure and code content. Dynamic testing aims to simulate network attacks to reflect whether there are vulnerabilities in web pages. We construct many attack vectors and implemented the test in the Selenium tool. Due to the combination of the two analysis methods, XSS vulnerability discovery research could be conducted from two aspects: "white-box testing" and "black-box testing". Tests show that this method can effectively detect XSS vulnerabilities in the source code of the power communication network.

• 정보처리학회논문지C
• /
• 제8C권5호
• /
• pp.543-550
• /
• 2001

본 논문에서는 네트워크 취약점 검색공격에 대한 기존의 탐지알고리즘들이 갖는 문제점을 분석하고 대규모 네트워크에서의 종합적인 탐지 및 대응을 지원하는 개선된 탐지시스템을 제안한다. 가상 공격에 의한 모의 실험을 통하여 제안된 시스템은 소수의 취약점 포트 위주의 공격과 협동공격, 느린 스캔 및 느린 협동공격을 정확히 탐지할 뿐 아니라 에이전트와 서버사이의 유기적인 연동을 통해 보다 종합적이고 계층적으로 공격에 대응함을 검증하였다

• 한국정보통신학회:학술대회논문집
• /
• 한국정보통신학회 2022년도 춘계학술대회
• /
• pp.557-559
• /
• 2022

오픈소스의 사용으로 개발 환경이 편리해지고 유지보수가 보다 용이해진 장점이 있지만 보안적인 측면에서 볼 때 취약점에 노출되기 쉽다는 한계점이 존재한다. 이와 관련하여 최근에는 아파치에서 매우 광범위하게 사용되고 있는 오픈소스 로깅 라이브러리인 LOG4J 취약점이 발견되었다. 현재 이 취약점의 위험도는 '최고' 수준이며 개발자들도 이와 같은 문제점을 인지하지 못한 채 많은 시스템에 사용하고 있어 향후 LOG4J 취약점으로 인한 해킹 사고가 지속적으로 발생할 우려가 있다. 본 논문에서는 클라우드 환경에서 LOG4J 취약점에 대해서 자세하게 분석하고, 보안관제시스템에서 보다 신속하고 정확하게 취약점을 탐지할 수 있는 SNORT 탐지 정책 기술을 제안한다. 이를 통해 향후 보안 관련 입문자, 보안 담당자 그리고 기업들이 LOG4J 취약점 사태에 대비하여 효율적인 모니터링 운영과 신속하고 능동적인 대처가 가능해질 것으로 기대 한다.

• KSII Transactions on Internet and Information Systems (TIIS)
• /
• 제17권8호
• /
• pp.2101-2123
• /
• 2023

Recent studies have shown that the neural network-based binary code similarity detection technology performs well in vulnerability mining, plagiarism detection, and malicious code analysis. However, existing cross-architecture methods still suffer from insufficient feature characterization and low discrimination accuracy. To address these issues, this paper proposes a cross-architecture binary function similarity detection method based on composite feature model (SDCFM). Firstly, the binary function is converted into vector representation according to the proposed composite feature model, which is composed of instruction statistical features, control flow graph structural features, and application program interface calling behavioral features. Then, the composite features are embedded by the proposed hierarchical embedding network based on a graph neural network. In which, the block-level features and the function-level features are processed separately and finally fused into the embedding. In addition, to make the trained model more accurate and stable, our method utilizes the embeddings of predecessor nodes to modify the node embedding in the iterative updating process of the graph neural network. To assess the effectiveness of composite feature model, we contrast SDCFM with the state of art method on benchmark datasets. The experimental results show that SDCFM has good performance both on the area under the curve in the binary function similarity detection task and the vulnerable candidate function ranking in vulnerability search task.