• KNOM Review
• /
• 제15권1호
• /
• pp.31-39
• /
• 2012

오늘날 네트워크 환경은 다양한 응용의 등장으로 트래픽이 복잡 다양해지고 있다. 이러한 상황 속에서 정확한 네트워크의 상태 파악을 위한 트래픽의 응용 별 분류에 대한 중요성은 더욱더 증가하고 있다. 최근 트래픽 플로우의 통계 정보를 이용한 트래픽의 응용 별 분류 방법론에 대한 연구가 활발히 진행되고 있다. 하지만 대부분의 연구들은 TCP 세션의 이상 동작에 대한 고려가 없어 분류결과의 오분류 및 미분류가 발생할 수 있다. 따라서 본 논문에서는 TCP 세션의 이상동작의 문제점을 지적하고 이를 개선하는 방법론을 제안한다. 제안된 방법론을 통계적 응용 트래픽 분류방법에 적용함으로써 그 타당성을 증명한다.

• Nuclear Engineering and Technology
• /
• 제52권12호
• /
• pp.2687-2698
• /
• 2020

Most of the machine learning-based intrusion detection tools developed for Industrial Control Systems (ICS) are trained on network packet captures, and they rely on monitoring network layer traffic alone for intrusion detection. This approach produces weak intrusion detection systems, as ICS cyber-attacks have a real and significant impact on the process variables. A limited number of researchers consider integrating process measurements. However, in complex systems, process variable changes could result from different combinations of abnormal occurrences. This paper examines recent advances in intrusion detection algorithms, their limitations, challenges and the status of their application in critical infrastructures. We also introduce the discussion on the similarities and conflicts observed in the development of machine learning tools and techniques for fault diagnosis and cybersecurity in the protection of complex systems and the need to establish a clear difference between them. As a case study, we discuss special characteristics in nuclear power control systems and the factors that constraint the direct integration of security algorithms. Moreover, we discuss data reliability issues and present references and direct URL to recent open-source data repositories to aid researchers in developing data-driven ICS intrusion detection systems.

• 스마트미디어저널
• /
• 제7권4호
• /
• pp.70-78
• /
• 2018

정보시스템에서 정보 보안의 중요성이 강조됨에 따라 이에 대응하기 위해 많은 기업이 보안 솔루션을 도입하고 있다. 하지만 많은 예산을 들여도 이를 관리하는 보안 관제가 없으면 제대로 기능하지 못하게 된다. 보안 관제는 문제 발생 시 빠른 대처가 필수적이며, 관제 목적에 맞는 적절한 시각화 대시보드를 설계하여 필요한 정보를 빠르게 전달할 수 있도록 할 필요가 있다. 본 논문에서는 오픈소스 Elastic Stack을 이용하여 보안 로그를 시각화 하는 방법을 제시하고, 관제 목적에 적합한 대시보드로 구현함으로써 제시된 방법이 네트워크 보안 관제에 적합함을 보인다. 대시보드는 비정상적인 트래픽 증가와 공격 경로 분석 등의 목적으로 효과적으로 활용될 수 있음을 확인하였다.

• 한국통신학회논문지
• /
• 제35권1B호
• /
• pp.8-19
• /
• 2010

본 논문에서는 DDoS (Distributed Denial of Service) 공격에 따른 비정상적인 트래픽의 범람(flood)을 방지하고 합법적인 트래픽 전송을 보장하기 위하여 NCP (Network Control Platform) 기반의 DDoS 공격 대응 기법을 제안한다. 또한 이를 위하여 NCP와 SR (Source Router), VR (Victim Router)의 기능 모듈을 정의하고 high-flow 감지를 위한 임계값 및 공격 패킷 폐기율 결정식을 제안한다. 제안한 기법에서 NCP는 SR과 VR로부터 수집된 high-flow정보와 큐 정보를 기반으로 DDoS 공격 여부를 판단하고 이에 따라 패킷 폐기율을 결정한다. SR과 VR은 NCP에 의하여 결정된 패킷 폐기율에 따라 해당 플로우에 속하는 패킷을 폐기시킨다. 성능 평가를 위하여 OPNET 환경에서 시뮬레이션을 수행하고 SR, VR의 큐 크기, 공격 트래픽의 전송량 관점에서 비교 분석한다.

• 한국정보통신학회:학술대회논문집
• /
• 한국해양정보통신학회 2009년도 춘계학술대회
• /
• pp.313-316
• /
• 2009

본 연구에서는 의료목적 무선 센서네트워크 환경에서 요구하는 데이터 전달의 신뢰성 향상을 위해 기능성 노드를 제안한다. 생체신호 모니터링을 위해 기존의 지속적인 생체신호 전송 시에 발생하는 데이터 손실을 줄이기 위해 비정상적인 QRS-complex 검출이 가능한 센서노드를 이용하여 Ad-hoc 네트워크 환경에서 비정상적인 QRS-comoplex 발생 시 데이터 전송함으로써 무선 센서네트워크 내에 발생되는 데이터량을 줄일 수 있었다. 본 연구에서 결과로 Ad-hoc 환경에서의 기능성 노드를 사용함으로 의료 목적을 위한 무선 센서네트워크에서 전체 패킷발생을 줄여서 센서노드의 전력소모를 크게 줄이고 시스템의 신뢰도를 크게 높이는 것으로 확인되었다.

• 한국정보통신학회:학술대회논문집
• /
• 한국해양정보통신학회 2008년도 추계종합학술대회 B
• /
• pp.357-360
• /
• 2008

본 논문에서는 모바일 환경에서 무선센서노드의 라우팅와 질의응답이 가능하도록 실시간 쿼리 기능, 자율구성 네트워크, 다양한 생체 신호 모니터링을 설계 및 구현하였다. 센서노드에 부착 가능한 any devices(심전도, 혈압, 혈당모듈)는 의사나 건강관리 전문가가 특정한 모듈을 선택적으로 사용할 수 있도록 쿼리 프로세서를 설계하였다. 또한 이 프로세서를 이용하여 모바일 환경에서 자율구성 네트워크 토폴로지가 형성되는 모습을 제어할 수 있도록 하였다. 무선의료 디바이스를 이용한 생체신호는 실시간 분석을 하기 위해 서버 PC에서 분석하는 게 아니라 모바일로 먼저 분석하게 된다. 이는 휴대폰의 데이터 통신 비용을 절약하기 위해서 심전도, 혈압, 혈당과 같은 생체신호는 모바일에서 비정상 생체신호를 검출 후 정밀한 신호처리를 하기 위해서 서버에 보내지도록 구현하였다.

• 한국정보과학회논문지:정보통신
• /
• 제36권3호
• /
• pp.173-183
• /
• 2009

본 논문에서는 엔트로피에 기반한 이상징후 탐지 시스템을 제안한다. 엔트로피는 시스템의 무질서정도를 측정하는 지표로써, 이상징후 출현 시 네트워크의 엔트로피는 급증한다. 네트워크를 IP와 포트번호를 기준으로 분류하여, 패킷별로 역학을 관찰하고 엔트로피를 각각 측정한다. 분산서비스거부공격이나 웜, 스캐닝 등의 네트워크 공격 출현 시 패킷 교환과정이 정상적일 때와는 다르므로 엔트로피를 통하여 기존기법 보다 높은 탐지율로 이상징후를 탐지할 수 있다. 본 논문에서는 다수의 원과 서비스거부공격을 포함한 데이터 셋을 수집하여 제안기법을 검증하였다. 또한 지수평활법, Holt-winters 등의 시계열예측 기법과 주성분분석을 이용한 이상징후 탐지 기법과 정확도 측면에서 비교한다. 본 논문에서 제안한 기법으로 웜, 서비스거부공격 등의 이상징후 탐지에 있어 오탐지율을 낮출 수 있다.

• 한국인터넷방송통신학회논문지
• /
• 제14권1호
• /
• pp.203-209
• /
• 2014

오늘날 DDoS 공격은 인터넷 안정성에 매우 중요한 위협을 가하고 있다. DDoS 공격은 대량의 트래픽을 네트워크에 전송함으로써 자원을 고갈시키고 정상적인 서비스 제공을 불가능하게 하며 사전 탐지가 힘들고 효율적인 방어가 매우 어렵다. 인터넷과 같은 대규모 망을 대상으로 한 네트워크 공격은 효과적인 탐지 방법이 요구된다. 그러므로 대규모 망에서 침입 탐지 시스템은 효율적인 실시간 탐지가 필요하다. 본 논문에서는 DDoS 공격에 따른 비정상적인 트래픽 범람을 방지하고 합법적인 트래픽 전송을 보장하기 위하여 플로우 정보 분석을 이용한 DDoS 공격 대응 기법을 제안한다. OPNET을 이용해 구현한 결과 DDoS 공격중에 원활한 서비스를 제공할 수 있는 것을 확인하였다.

• 정보처리학회논문지:컴퓨터 및 통신 시스템
• /
• 제4권4호
• /
• pp.135-140
• /
• 2015

WDSS는 네트워크 연동구간을 이용한 DDoS 대피소 시스템에 L7 스위치와 웹캐시서버를 추가 구성하여 웹 응용계층 DDoS 공격에 대한 방어성능을 향상시킨 시스템이다. WDSS는 웹 DDoS 공격 발생 시 백본 네트워크로부터 트래픽을 우회한 뒤 비정상 요청은 DDoS 차단시스템과 L7 스위치에서 차단하고 정상적인 클라이언트의 요청에 대해서만 웹캐시서버가 응답하게 함으로써 소규모 트래픽 기반의 세션 고갈형 DDoS 공격에 대응하고 정상적인 웹서비스를 유지한다. 또한 정상 트래픽을 웹서버로 재전송하기 위한 IP 터널링 설정이 없이도 공격 대응이 가능하다. 본 논문은 WDSS를 국내 ISP 백본 네트워크상에 구축하여 시스템 작동에 대한 유효성과 웹 응용계층 DDoS 공격 방어성능을 검증한 결과를 다룬다. 웹 DDoS 방어성능 평가는 실제 봇넷과 동일한 공격 종류와 패킷수의 공격을 수행할 수 있는 좀비 PC로 구성한 DDoS 모의테스트 시스템을 이용하여 실시하였다. 웹 응용계층 DDoS 공격 종류와 강도를 달리하여 WDSS의 웹 DDoS 방어성능을 분석한 결과 기존의 DDoS 대피소 시스템에서 탐지/방어하지 못한 소규모 트래픽에 기반하며 동일 플로우를 반복적으로 발생하지 않는 웹 DDoS 공격을 탐지/방어할 수 있었다.

• 한국콘텐츠학회논문지
• /
• 제10권3호
• /
• pp.101-112
• /
• 2010

최근의 해킹 추세는 기업의 이윤과 관계되는 모든 IT 인프라를 대상으로 하고 있다. 이는 기존의 공격이 비서비스 포트를 통한 서비스 인프라로의 접근을 시도했다면, 현재는 기업이윤 창출의 원천인 서비스 자체를 공격하고 있다. 즉, 서비스에 직접적인 영향을 끼치고 있음에도 불구하고 기존의 보안 솔루션이나 체계로는 방어하기가 어렵고 동시에 이용자 보호, 지속 가능한 경영 자체를 위협하며 금전을 요구하는 협박의 형태로 점점 더 많은 기업에 위해를 가하고 있다. 본 논문에서는 트래픽량을 기준으로 정상, 비정상을 판단하는 예외처리기반 네트워크 침입탐지 시스템을 대상으로 멀티 플렛폼 기반의 네트워크 패킷 스캐너를 설계하고 구현하였다. Linux나 unix 환경에는 ngrep, snort, TCPdump와 같은 여러 가지 네트워크 침입탐지와 패킷 관리 도구들이 있지만 대부분 문자 방식 사용자 인터페이스(CUI : Character based User Interface)를 기반으로 구현되어 익숙하지 않은 사용자들에게는 불편함이 따른다. 제안된 시스템은 이러한 불편함을 개선하여 사용자에게 직관적이고 사용이 쉬운 인터페이스를 제공하기 위하여 그래픽 사용자 인터페이스(GUI : Graphical User Interface)기반으로 구현하였고, 모든 운영체제에서 구동될 수 있도록 멀티 플랫폼을 지원하는 Qt(C++)언어를 사용하여 설계 및 구현하였다.