• 정보보호학회논문지
• /
• 제22권3호
• /
• pp.545-552
• /
• 2012

최근 우리는 급격한 정보통신 기술의 발달로 큰 변화를 겪었으며, 기존의 기반 시설들 및 서비스들이 정보통신기술과 융합되면서, 다시 한 번 환경 변화를 눈앞에 두고 있다. 정보통신의 발달은 이러한 이점들 외에도 여러 부작용을 낳고 있으며, 이러한 부작용들은 금전적 피해뿐만 아니라 국가적인 재난 상황으로 발전될 소지가 있다. 따라서 이들에 대한 탐지 및 신속한 대응이 중요하며, 이와 관련한 많은 시도가 이루어지고 있다. 이러한 예로는 침입탐지시스템이 있을 수 있다. 그러나 침입탐지시스템은 특정 트래픽이나, 파일이 악성인지 여부를 판단하는데 중점을 두고 있으며, 현재까지 변종이나 새롭게 개발된 악성 코드에 대한 탐지는 힘들다. 따라서 본 논문에서는 네트워크의 현재의 상황과 과거의 상황들을 비교하여, 현재 시점의 네트워크 모델이 정상인지 비정상인지를 판단할 수 있는 방법에 대해 제안한다.

• International Journal of Computer Science & Network Security
• /
• 제23권1호
• /
• pp.46-52
• /
• 2023

With billions of IoT (Internet of Things) devices populating various emerging applications across the world, detecting anomalies on these devices has become incredibly important. Advanced Intrusion Detection Systems (IDS) are trained to detect abnormal network traffic, and Machine Learning (ML) algorithms are used to create detection models. In this paper, the NSL-KDD dataset was adopted to comparatively study the performance and efficiency of IoT anomaly detection models. The dataset was developed for various research purposes and is especially useful for anomaly detection. This data was used with typical machine learning algorithms including eXtreme Gradient Boosting (XGBoost), Support Vector Machines (SVM), and Deep Convolutional Neural Networks (DCNN) to identify and classify any anomalies present within the IoT applications. Our research results show that the XGBoost algorithm outperformed both the SVM and DCNN algorithms achieving the highest accuracy. In our research, each algorithm was assessed based on accuracy, precision, recall, and F1 score. Furthermore, we obtained interesting results on the execution time taken for each algorithm when running the anomaly detection. Precisely, the XGBoost algorithm was 425.53% faster when compared to the SVM algorithm and 2,075.49% faster than the DCNN algorithm. According to our experimental testing, XGBoost is the most accurate and efficient method.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2005년도 춘계학술발표대회
• /
• pp.1103-1106
• /
• 2005

IPv4 프로토콜의 주소 고갈 문제를 해결하기 위하여 IPv6 프로토콜이 제안되었고 한국전산원의 발표에 의하면 2010년 이후에는 IPv6 프로토콜이 광범위하게 사용될 것이라고 한다. 이러한 IPv6 프로토콜은 IPv4 프로토콜의 단점들을 해결하기 위하여 ND(Neighbor Discovery) 메커니즘, 주소자동설정, IPsec 등의 기술을 지원하며, 특히 IPv6 프로토콜은 보안 문제를 해결하기 위해서 인증, 데이터 무결성 보호를 위한 IPsec 기술을 사용한다. 이러한 IPsec 기술은 패킷 정보를 보호하기 위한 목적으로 사용되기 때문에 불특정 다수의 사용자를 대상으로 하는 네트워크에 행해지는 분산 서비스 거부 공격과 같은 비정상 대용량 트래픽에 대한 탐지 및 차단에 어려움이 있다. 현재 IPv6 프로토콜을 지원하는 네트워크 공격 대응 기술로 IPv6 네트워크용 방화벽/침입탐지 시스템이 개발되어 제품으로 판매되고 있지만, 대용량의 비정상 트래픽 대응 기술을 탐지하고 차단하기에는 한계가 있다. 본 논문에서는 IPv6 네트워크 환경에서 이러한 대용량의 비정상 트래픽을 제어할 수 있는 프레임워크를 제시한다.

• 한국융합학회논문지
• /
• 제10권5호
• /
• pp.35-42
• /
• 2019

최근 사물인터넷과 다양한 웨어러블 기기들이 등장하면서 인터넷 기술은 보다 편리하게 정보를 얻고 업무를 수행하는데 기여하고 있으나 인터넷이 다양한 부분에 이용되면서 공격에 노출되는 Attack Surface 지점이 증가하고 있으며 개인정보 획득, 위조, 사이버 테러 등 부당한 이익을 취하기 위한 목적의 네트워크 침입 시도 또한 증가하고 있다. 본 논문에서는 네트워크에서 발생하는 트래픽에서 비정상적인 행동을 분류하기 위한 희소클래스의 분류 성능을 개선하는 특징선택을 제안한다. UNSW-NB15 데이터셋은 다른 클래스에 비해 상대적으로 적은 인스턴스를 가지는 희소클래스 불균형 문제가 발생하며 이를 제거하기 위해 언더샘플링 방법을 사용한다. 학습 알고리즘으로 SVM, k-NN 및 decision tree를 사용하고 훈련과 검증을 통하여 탐지 정확도와 RMSE가 우수한 조합의 서브셋들을 추출한다. 서브셋들은 래퍼 기반의 실험을 통해 재현률 98%이상의 유효성을 입증하였으며 DT_PSO 방법이 가장 우수한 성능을 보였다.

• 한국통신학회논문지
• /
• 제35권4B호
• /
• pp.566-575
• /
• 2010

동적인 네트워크 공격에 대응하기 위하여 인공 신경망, 유전 알고리즘, 면역 알고리즘과 같은 지능적 기술들이 공격 탐지에 적용되어 왔으며 최근에는 인공 면역 체계를 이용한 공격 탐지가 활발히 연구되고 있다. 기존의 인공면역체계 기반의 공격 탐지 기법들은 주로 자기 세포 집합과 비교를 통하여 항원을 인지하고 제거하는 부정 선택 원리만을 이용하였다. 그러나 실제 네트워크에서는 정상 상태와 비정상 상태가 거의 유사한 상태를 보이는 경우가 발생하므로 오탐지가 빈번히 발생하는 문제점이 있다. 이러한 문제점을 해결하기 위하여 본 논문에서는 새로운 인공면역체계 기반의 공격 탐지 및 대응 기법을 제안하고 그 성능을 평가한다. 제안하는 기법에서는 인간면역 체계에서 발생하는 수지상 세포와 T 세포의 면역 상호 작용을 적용하여 버퍼 점유율 변화를 이용한 검출기 집합을 발생시키고 공격 탐지 모듈과 대응 모듈을 다음과 같이 설계하였다. 첫째, self/non-self 구별을 위한 부정 선택 원리를 이용하여 검출기 집합을 발생시킨다. 둘째, 공격 탐지 모듈에서는 발생된 검출기 집합을 이용하여 네트워크 이상 상태를 탐지하고 경고 신호를 발생시킨다. 이때 오탐지를 줄이기 위하여 위험이론을 적용하며 위험도를 추측하기 위해 퍼지 이론을 이용한다. 마지막으로 공격 대응 모듈에서는 역추적된 공격 노드에 제어 신호를 전송 하여 공격 트래픽을 제한하도록 한다.

• 한국통신학회논문지
• /
• 제38C권7호
• /
• pp.630-642
• /
• 2013

이동환자의 생체진단신호 원격전달을 위해서는 환자 및 감시자의 이동성, 환자의 이상징후 감지기능과 관련 컴퓨팅 자원들의 자율군집성 동작 서비스 바인딩 기능이 필수적으로 요구된다. 기존의 연구는 이동 환자 생체 신호 전달을 위해 중앙 집중화된 방식으로 중앙 서버 스스로 단일 고장점(Single Point of Failure)이 되어 서버가 다운되면 전체 시스템이 멈추게 되고, 지역적으로 일어나는 서비스에 대해 중앙으로 데이터 트래픽을 발생시킨다. 오버레이 네트워크 기반 자율군집형 미들웨어 플랫폼은 자율군집 메커니즘을 적용하여 구성한 유무선 이기종망 환경하의 오버레이 네트워크를 통해 관리 서버에 의한 중앙 또는 외부의 제어 없이 노드 간 협업에 의해 다양한 센서 장치(생체신호 측정 장비 포함)와 스마트폰, TV, PC 및 외부 시스템 간에 실시간 스트림 데이터를 송수신할 수 있도록 개발된 미들웨어 플랫폼이다. 생체신호 측정 장비로부터 발생한 여러 생체진단신호를 도처에 존재하는 자율군집형 분산 미들웨어 플랫폼인 SoSpR(Self-organizing Software-platform Router)로 관리 서버의 중재없이 자율적으로 실시간 전달 및 저장하고 동시에 복수개의 다양한 수신 단말에서 가까운 SoSpR로부터 실시간 수신 및 재생 시킬 수 있다.

• 한국콘텐츠학회논문지
• /
• 제20권4호
• /
• pp.396-405
• /
• 2020

본 연구에서는 초고속인터넷 상품에 관련된 고객 불만사항(VOC, Voice of Customer)의 빅데이터를 활용하여 고객이 지각하는 품질이상의 원인과 선제적 서비스의 가능성을 살펴보았다. 선제적 서비스의 가능성을 검증하기 위해 실제 이동통신 서비스기업의 시설·장비의 총 13개 장애경보에 관련된 품질이상 VOC를 수집한 후, 𝒙²검증을 통해 품질이상 VOC 실제관측값과 기대값이 통계적으로 유의한 차이가 있는 지 검증하였다. 연구결과, 시설·장비의 총 13개 장애경보 관련 품질이상 VOC 중 6개의 장애경보로서, 'FTTH-R 장비 ON/OFF', 'FTTH-E,V 회선오류 감지', '포트불량, FTTH-R 회선오류 감지', '네트워크 LOOP 감지', 그리고 '비정상 트래픽 제한'은 실시간 모니터링을 통한 선제적 서비스가 가능하다는 통계적 근거를 찾았다. 기업들은 이러한 선제적 서비스를 이용하여 시잠점유율을 향상키시고 고객서비스 비용을 절감하는 데 적용할 수 있을 것이다. 본 연구의 결과는 통신서비스 분야의 선제적 서비스의 가능성을 진단하고, 나아가 효과적인 선제적 서비스 제공 방안에 대한 시사점을 제시하였다는 점에서 실제 산업 적용에 대한 공헌점이 기대된다.

• 정보보호학회논문지
• /
• 제25권5호
• /
• pp.1043-1057
• /
• 2015

지능형 위협을 빠르게 인지하고 능동적으로 탐지 및 대응하기 위해 주요 공공단체 및 민간기관에서는 침입탐지시스템(IDS)을 관리 운영하고 있으며, 이는 공격의 검출 및 탐지에 매우 중요한 역할을 한다. 그러나 IDS 경보의 대부분은 오탐(false positive)을 생성하는 문제가 있다. 또한, 알려지지 않은 악성코드를 탐지하고 사전에 위협을 인지 대응하기 위해서 APT대응솔루션이나 행위기반체계를 도입 운영하고 있다. 이는 가상기술을 이용해 악성코드를 직접실행하고 가상환경에서 이상행위를 탐지하거나 또는 다른방식으로 알려지지 않은 공격을 탐지한다. 그러나 이 또한 가상환경 회피, 트래픽 전수조사에 대한 성능적 문제, 정책오류 등의 약점 등이 존재한다. 이에 따라 결과적으로 효과적인 침입탐지를 위해서는 보안관제 고도화가 매우 중요하다. 본 논문에서는 보안관제 고도화의 한가지 방안으로 침입탐지시스템의 주요 단점인 오탐(false positive)을 줄이는 방안에 대해 논한다. G기관의 경험적 데이터를 근거로 실험을 수행한 결과 세 가지 유형 11가지 규칙을 도출하였다. 이 규칙을 준수하여 테스트한 결과 전반적인 오탐율이 30%~50% 이상 줄어들고 성능이 30% 이상 향상됨을 검증하였다.

• 한국산학기술학회논문지
• /
• 제17권10호
• /
• pp.732-742
• /
• 2016

본 논문에서는 향후에도 지속적으로 발생 가능성이 높은 저대역 DDoS 공격에 대비하여 TLF(Time Limit Factor)를 적용한 솔루션을 기존의 고대역 DDoS 방어 시스템에 추가함으로써 고대역의 DDoS 공격과 더불어 저대역 DDoS 공격에 대해서 방어 할 수 있도록 하였다. 저대역 DDoS 공격은 정상적인 서비스 연결을 가장하여 연결된 세션을 지속적으로 점유함으로써 정상적인 사용자들의 서비스 요청에 대한 장애를 유발시킨다는 점에 착안하여 각 세션별 일정시간 동안의 통신량을 체크하여 비정상적인 경우 저대역 DDoS 공격으로 간주하여 해당 세션을 종료시키는 방법이다. 그러나, 정상적인 연결 상태에서도 네트워크의 일시적인 장애들로 인해 통신에 장애를 가져오는 경우 저대역 DDoS 공격으로 오탐하여 서비스를 차단할 수 있다는 점 때문에 저대역 DDoS 공격으로 탐지되었다 할지라도 관련 정보에 대해 Blacklist를 통한 Drop이 아닌 일정 시간동안만 Blocking 후 다시 재 접속이 가능하도록 하였다. 고대역 DDoS 방어시스템을 이용하여 저대역 DDoS 공격에 대한 테스트를 진행한 결과 고대역 DDoS 방어시스템은 저대역 DDoS 공격으로 단순 연결된 세션들에 대해 정상적인 통신으로 인지하여 세션에 대한 차단이 불가하였으며 이로 인해 저대역 DDoS 공격을 받은 시스템은 리소스 고갈로 서비스 불가 현상이 발생하였다. 본 논문에서 제안한 TLF 알고리즘을 고대역 DDoS 방어시스템에 적용하게되면 고대역 및 저대역 DDoS에 대한 방어가 가능할 뿐만 아니라, 서비스를 제공하는 시스템에 모듈형태로 추가 적용을 할 경우 저대역 DDoS 공격에 대한 대처가 가능하다.

• 지능정보연구
• /
• 제26권2호
• /
• pp.131-145
• /
• 2020

산업혁신의 흐름에 발맞추어 다양한 분야에서 활용되고 있는 IoT 기술은 빅데이터의 접목을 통한 새로운 비즈니스 모델의 창출 및 사용자 친화적 서비스 제공의 핵심적인 요소로 부각되고 있다. 사물인터넷이 적용된 디바이스에서 누적된 데이터는 사용자 환경 및 패턴 분석을 통해 맞춤형 지능 시스템을 제공해줄 수 있어 편의 기반 스마트 시스템 구축에 다방면으로 활용되고 있다. 최근에는 이를 공공영역 혁신에 확대 적용하여 CCTV를 활용한 교통 범죄 문제 해결 등 스마트시티, 스마트 교통 등에 활용하고 있다. 그러나 이미지 데이터를 활용하는 기존 연구에서는 개인에 대한 사생활 침해 문제 및 비(非)일반적 상황에서 객체 감지 성능이 저하되는 한계가 있다. 본 연구에 활용된 IoT 디바이스 기반의 센서 데이터는 개인에 대한 식별이 불필요해 사생활 이슈로부터 자유로운 데이터로, 불특정 다수를 위한 지능형 공공서비스 구축에 효과적으로 활용될 수 있다. 대다수의 국민들이 일상적으로 활용하는 도시철도에서의 지능형 보행자 트래킹 시스템에 IoT 기반의 적외선 센서 디바이스를 활용하고자 하였으며 센서로부터 측정된 온도 데이터를 실시간 송출하고, CNN-LSTM(Convolutional Neural Network-Long Short Term Memory) 알고리즘을 활용하여 구간 내 보행 인원의 수를 예측하고자 하였다. 실험 결과 MLP(Multi-Layer Perceptron) 및 LSTM(Long Short-Term Memory), RNN-LSTM(Recurrent Neural Network-Long Short Term Memory)에 비해 제안한 CNN-LSTM 하이브리드 모형이 가장 우수한 예측성능을 보임을 확인하였다. 본 논문에서 제안한 디바이스 및 모델을 활용하여 그간 개인정보와 관련된 법적 문제로 인해 서비스 제공이 미흡했던 대중교통 내 실시간 모니터링 및 혼잡도 기반의 위기상황 대응 서비스 등 종합적 메트로 서비스를 제공할 수 있을 것으로 기대된다.