• 한국통신학회논문지
• /
• 제38B권5호
• /
• pp.368-376
• /
• 2013

최근 급격한 인터넷의 발전으로 효율적인 네트워크관리를 위해 응용 트래픽 분석의 중요성이 강조되고 있다. 본 논문에서는 기존 분석 방법의 한계점을 보완하기 위하여 행위기반 시그니쳐를 이용한 응용 트래픽 분석 방법을 제안한다. 행위기반 시그니쳐는 기존에 제안된 다양한 트래픽 특징을 조합하여 사용할 뿐만 아니라, 복수 개 플로우들의 첫 질의 패킷을 분석 단위로 사용한다. 제안한 행위기반 시그니쳐의 타당성을 검증하기 위해 국내외 응용 5종을 대상으로 정확도를 측정결과, 모든 응용에서 100% Precision을 나타내었다.

• 한국정보과학회논문지:정보통신
• /
• 제30권6호
• /
• pp.720-728
• /
• 2003

은닉서명(blind signature scheme)은 서명문의 내용을 숨기는 서명 방식으로 서명의뢰자의 신원과 서명문을 연결시킬 수 없는 익명성을 가지며 전자화폐나 전자투표 등 주로 행위자의 행동이 노출되어서는 안되는 보안서비스에 중요하게 활용된다. 본 논문에서는 GDH군에서의 ID 기반 은닉서명 방식을 제안한다. 제안한 방식의 안전성은 CDHP의 어려움에 기반을 두며, 효율성은 두 사용자간의 2회 통신만으로 서명을 생성함으로써 기존의 은닉서명 방식을 훨씬 개선하였다. 통신횟수와 계산량이 적으므로 제안한 은닉서명 방식은 무선 PKI 환경에서도 적용할 수 있다.

• 한국정보처리학회논문지
• /
• 제6권11호
• /
• pp.3011-3019
• /
• 1999

Denial of service is about knocking off services, without permission for example through crashing the whole system. This kind of attacks are easy to launch and it is hard to protect a system against them. The basic problem is that Unix assumes that users on the system or on other systems will be well behaved. This paper analyses system-based inside denial of services attack(DoS) and system metric for performance of each machine provided. And formalize the conclusions results in ways that clearly expose the performance impact of those observations. So, we present new approach. It is detecting DoS attack using performance signature for system and program behavior. We present new approach. It is detecting DoS attack using performance signature for system and program behavior. We believe that metric will be to guide to automated development of a program to detect the attack. As a results, we propose the AIDPS(Architecture for Intrusion Detection using Performance Signature) model to detect DoS attack using performance signature.

• 정보보호학회논문지
• /
• 제23권5호
• /
• pp.939-946
• /
• 2013

본 논문에서는 IEC 61850 기반 자동화 변전소 네트워크에서의 이상 징후 탐지를 위한 MMS/GOOSE 패킷 정상행위 프로파일링 방법을 제안한다. 기존에 주로 사용되고 있는 시그니처(signature) 기반의 보안 솔루션은 제로데이(zero-day) 취약점을 이용한 APT 공격에 취약에 취약할 수밖에 없다. 최근 제어시스템 환경에서의 이상 탐지(anomaly detection) 연구가 이뤄지고 있지만, 아직까지 IEC 61850 변전소 환경에서의 이상 탐지에 대한 연구는 잘 알려져 있지 않다. 제안하는 기법은 MMS/GOOSE 패킷에 대한 3가지 전처리(3-phase preprocessing) 방법과 one-class SVM 알고리즘을 이용한 정상 행위 모델링 방법을 포함한다. 본 논문에서 제시하는 방법은 IEC 61850 변전소 네트워크에 대한 APT 공격 대응 솔루션으로 활용될 것을 기대한다.

• 스마트미디어저널
• /
• 제8권4호
• /
• pp.25-32
• /
• 2019

인터넷의 발달로 많은 정보에 쉽게 접근할 수 있게 되었지만, 이에 따라 악의적인 목적을 가진 프로그램의 침입 경로가 다양해졌다. 그리고 전통적인 시그니처 기반 백신은 변종 및 신종 악성코드의 침입을 탐지하기 어렵기 때문에 많은 사용자들이 피해를 입고 있다. 시그니처로 탐지할 수 없는 악성코드는 분석가가 직접 실행시켜 행위를 분석해 볼 수 있지만, 변종의 경우 대부분의 행위가 유사하여 비효율적이라는 문제점이 있다. 본 논문에서는 변종이 대부분의 행위가 유사하다는 것에 착안하여 기존 악성코드와의 행위 유사성을 이용한 탐지 방법을 제안한다. 제안 방법은 변종들이 공통적으로 가지는 행위 대상과 유사한 행위 대상을 갖는 프로그램을 탐지하는 것이다. 1,000개의 악성코드를 이용해 실험한 결과 변종의 경우 높은 유사도를 보이고, 아닐 경우 낮은 유사도를 보여 행위 유사도로 변종을 탐지할 수 있음을 보였다.

• KSII Transactions on Internet and Information Systems (TIIS)
• /
• 제13권10호
• /
• pp.5219-5243
• /
• 2019

In electronic ticketing system, the malicious behavior of scalpers damages the customer's interest and disturbs the normal order of market. In order to solve the problem of scalpers, we took two steps. Firstly, we established the electronic ticketing system based on the consortium blockchain (CB-ETS). By establishing CB-ETS, we can make the ticketing market develop better in a controlled environment and be managed by the members in the consortium blockchain. Secondly, we put forward a kind of taxation mechanism for suppressing scalpers based on CB-ETS. Together with the regulatory mechanism, our scheme can effectively reduce the scalpers' profits and further inhibit scalpers. Through the above two steps, the scheme can effectively resist the malicious behavior of scalpers. Among them, in the process of transferring tickets, we optimized the transfer mechanism to achieve a win-win situation. Finally, we analyzed the security and efficiency of our scheme. Our scheme realizes the anonymity through the mixed currency protocol based on ring signature and guarantees the unforgeability of tickets by multi-signature in the process of modifying the invalidity of tickets. It also could resist to Dos attacks and Double-Spending attacks. The efficiency analysis shows that our scheme is significantly superior to relevant works.

• Journal of Information Processing Systems
• /
• 제7권1호
• /
• pp.173-186
• /
• 2011

Due to the disadvantages of signature-based computer virus detection techniques, behavior-based detection methods have developed rapidly in recent years. However, current popular behavior-based detection methods only take API call sequences as program behavior features and the difference between API calls in the detection is not taken into consideration. This paper divides virus behaviors into separate function modules by introducing DLLs into detection. APIs in different modules have different importance. DLLs and APIs are both considered program calling resources. Based on the calling relationships between DLLs and APIs, program calling resources can be pictured as a tree named program behavior resource tree. Important block structures are selected from the tree as program behavior features. Finally, a virus detection model based on behavior the resource tree is proposed and verified by experiment which provides a helpful reference to virus detection.

• 정보과학회 논문지
• /
• 제45권3호
• /
• pp.294-302
• /
• 2018

정보통신 기술의 발전에 따른 새로운 서비스 산업의 출현으로 개인 정보 침해, 산업 기밀 유출 등 사이버 공간의 위험이 다양화 되어, 그에 따른 보안 문제가 중요한 이슈로 떠오르게 되었다. 본 연구에서는 기업 내 개인 정보 오남용 및 내부 정보 유출에 따른, 대용량 사용자 로그 데이터를 기반으로 기존의 시그니처(Signature) 보안 대응 방식에 비해, 실시간 및 대용량 데이터 분석기술에 적합한 행위 기반 이상 탐지방식을 제안하였다. 행위 기반 이상 탐지방식이 대용량 데이터를 처리하는 기술을 필요로 함에 따라, 역방향 인덱스(Inverted Index) 기반의 실시간 검색 엔진인 엘라스틱서치(Elasticsearch)를 사용하였다. 또한 데이터 분석을 위해 통계 기반의 빈도 분석과 전 처리 과정을 수행하였으며, 밀도 기반의 군집화 방법인 DBSCAN 알고리즘을 적용하여 이상 데이터를 분류하는 방법과 시각화를 통해 분석을 간편하게 하기위한 한 사례를 보였다. 이는 기존의 이상 탐지 시스템과 달리 임계값을 별도로 설정하지 않고 이상 탐지 분석을 시도하였다는 것과 통계적인 측면에서 이상 탐지 방식을 제안하였다는 것에 의의가 있다.

• 한국통신학회논문지
• /
• 제35권8B호
• /
• pp.1170-1178
• /
• 2010

최근 네트워크의 고속화와 인터넷 사용자의 증가에 따른 네트워크 망의 트래픽 급증으로 네트워크 자원의 효율적인 관리와 응용 기반 트래픽 분석의 중요성이 갈수록 강조되고 있다. 이미 기존의 많은 논문들에서 효율적인 네트워크 자원 관리를 위한 응용 프로그램 별 트래픽 분석에 대한 다양한 방법론과 알고리즘을 제안하고 있지만 각각의 연구는 한계점을 가지고 있다. 본 논문에서는 멀티 레벨 기반의 응용 트래픽 분석 방법론을 제안한다. 본 연구는 Header, Statistic, Payload 시그니쳐 기반 개별 분석 방법론과 Behavior 알고리즘을 이용한 방법론의 결과를 바탕으로 트래픽 상관관계를 적용하여 추가적인 분석이 가능하게 한다. 각각의 분석 방법론을 통합하여 기존 하나의 분석 시스템이 가지는 단점을 보완함으로써 유연하고 견고한 멀티 레벨 분석 시스템을 구축하였다. 또한 검증 시스템을 통해 학내 네트워크에 적용하여 그 타당성을 증명하였다.

• 통상정보연구
• /
• 제9권3호
• /
• pp.305-320
• /
• 2007

With expanded use of B2B(between enterprises), B2G(between enterprises and government) and EDI(Electronic Data Interchange), and increased amount of available network information and information protection threat, as it was judged that security can not be perfectly assured only with security technology such as electronic signature/authorization and access control, Bayesian networks have been developed for protection of information. Therefore, this study speculates Bayesian networks system, centering on ERP(Enterprise Resource Planning). The Bayesian networks system is one of the methods to resolve uncertainty in electronic data interchange and is applied to overcome uncertainty of abnormal invasion detection in ERP. Bayesian networks are applied to construct profiling for system call and network data, and simulate against abnormal invasion detection. The host-based abnormal invasion detection system in electronic trade analyses system call, applies Bayesian probability values, and constructs normal behavior profile to detect abnormal behaviors. This study assumes before and after of delivery behavior of the electronic document through Bayesian probability value and expresses before and after of the delivery behavior or events based on Bayesian networks. Therefore, profiling process using Bayesian networks can be applied for abnormal invasion detection based on host and network. In respect to transmission and reception of electronic documents, we need further studies on standards that classify abnormal invasion of various patterns in ERP and evaluate them by Bayesian probability values, and on classification of B2B invasion pattern genealogy to effectively detect deformed abnormal invasion patterns.