• KSII Transactions on Internet and Information Systems (TIIS)
• /
• 제10권4호
• /
• pp.1927-1943
• /
• 2016

Jitterbug is a passive network covert timing channel supplying reliable stealthy transmission. It is also the basic manner of some improved covert timing channels designed for higher undetectability. The existing entropy-based detection scheme based on training sample binning may suffer from model mismatching, which results in detection performance deterioration. In this paper, a new detection method based on the feature of Jitterbug covert channel traffic is proposed. A fixed binning strategy without training samples is used to obtain bins distribution feature. Coefficient of variation (CV) is calculated for several sets of selected bins and the weighted mean is used to calculate the final CV value to distinguish Jitterbug from normal traffic. Furthermore, the timing window parameter of Jitterbug is estimated based on the detected traffic. Experimental results show that the proposed detection method can achieve high detection performance even with interference of network jitter, and the parameter estimation method can provide accurate values after accumulating plenty of detected samples.

• KSII Transactions on Internet and Information Systems (TIIS)
• /
• 제14권8호
• /
• pp.3550-3566
• /
• 2020

As a widely used way to exfiltrate information, wireless covert channel (WCC) brings a serious threat to communication security, which enables the wireless communication process to bypass the authorized access control mechanism to disclose information. Unlike the covert channel on the network layer, wireless covert channels on the physical layer (WCC-P) is a new covert communication mode to implement and improve covert wireless communication. Existing WCC-P scheme modulates the secret message bits into the Gaussian noise, which is also called covert digital communication system based on the joint normal distribution (CJND). Finding the existence of this type of covert channel remains a challenging work due to its high undetectability. In this paper, we exploit the square autocorrelation coefficient (SAC) characteristic of the CJND signal to distinguish the covert communication from legitimate communication. We study the sharp increase of the SAC value when the offset is equal to the symbol length, which is caused by embedding secret information. Then, the SAC value of the measured sample is compared with the threshold value to determine whether the measured sample is CJND sample. When the signal-to-noise ratio reaches 20db, the detection accuracy can reach more than 90%.

• KSII Transactions on Internet and Information Systems (TIIS)
• /
• 제13권4호
• /
• pp.1866-1883
• /
• 2019

As the youngest branch of information hiding, network covert timing channels conceal the existence of secret messages by manipulating the timing information of the overt traffic. The popular model-based framework for constructing covert timing channels always utilizes cumulative distribution function (CDF) of the inter-packet delays (IPDs) to modulate secret messages, whereas discards high-order statistics of the IPDs completely. The consequence is the vulnerability to high-order statistical tests, e.g., entropy test. In this study, a rich security model of covert timing channels is established based on IPD chains, which can be used to measure the distortion of multi-order timing statistics of a covert timing channel. To achieve rich security, we propose two types of covert timing channels based on nested lattices. The CDF of the IPDs is used to construct dot-lattice and interval-lattice for quantization, which can ensure the cell density of the lattice consistent with the joint distribution of the IPDs. Furthermore, compensative quantization and guard band strategy are employed to eliminate the regularity and enhance the robustness, respectively. Experimental results on real traffic show that the proposed schemes are rich-secure, and robust to channel interference, whereas some state-of-the-art covert timing channels cannot evade detection under the rich security model.

• 한국정보통신학회논문지
• /
• 제20권8호
• /
• pp.1422-1430
• /
• 2016

전송되는 정보들의 가로채기 확률을 감소시키기 위한 피감청 기술 중 대표적인 대역확산통신 기법을 적용함으로써 통신 성능에 미치는 영향을 분석하고, 이를 통해 최적의 은밀 수중음향통신 시스템의 모델을 제안한다. 대역확산 통신 된 신호의 레벨이 낮아져 주변의 배경소음과 같은 레벨로 전송하기 때문에 피탐지 확률이 감소하고 은밀성의 특징을 갖게 된다. 본 논문에서는 BCJR(Bahl, Cocke, Jelinek, Raviv) 복호방법과 대역 확산 기법 중 직접 수열 대역 확산 기법을 적용하였으며, 은밀 수중 통신에서 고려되는 송수신 모델은 크게 두 가지로 나뉘는데, 경판정 기반의 송수신 모델과 반복기반의 터보 등화 모델의 성능을 시뮬레이션과 호수 실험을 통해 성능을 비교 분석하였다.

• 정보보호학회논문지
• /
• 제13권3호
• /
• pp.81-90
• /
• 2003

침입탐지시스템의 침입 여부는 감사로그를 기반으로 판단되며, 그 성능은 감사로그를 바탕으로 침입 패턴에 대해 얼마나 정확하고 효율적으로 기술했느냐에 달려있다. 본 논문에서는 시스템 호출, 네트워크 패킷, Syslog의 정보를 통해 상관성을 도출하고, 상태전이 기반의 패턴과 이에 대한 규칙기반의 상관관계 패턴을 작성하였다. 이러한 상관관계를 이용하여 탐지율의 정확성을 높일 수 있었다. 특히, covert channel의 탐지 실험을 통해 상관관계 패턴을 통한 탐지가 가능함을 보였다.

• 정보보호학회논문지
• /
• 제14권1호
• /
• pp.35-45
• /
• 2004

폭발적으로 증가하는 인터넷 환경에서 정보보호는 가장 중요한 고려사항 중의 하나이다. 현재 이에 대한 대응방안으로 IDS, 방화벽, VPN 등 여러 보안 솔루션들이 사용되고 있지만 TCP/IP를 근간으로 하는 인터넷 환경은 기본적으로 프로토콜 자체의 취약성을 가지고 있다. 그 중에서도, TCP/IP 헤더 중 ICMP Payload. Identification(ID), Sequence Number(SEQ), Acknowledge(ACK). Timestamp의 필드 내용을 조작함으로써 특정 정보를 전송할 수 있는 은닉채널이 가능하다고 이미 알려져 있다. 특히 본 논문에서는 TCP/IP 헤더의 여러 필드들 중에서도 IP 헤더의 ID 필드, TCP 헤더의 SEQ 필드를 이용한 은닉채널 탐지에 초점을 맞추었으며, 이러한 은닉채널의 탐지를 위하여, 패턴분류 문제 있어서 우수한 성능을 보이는 것으로 알려져 있는 Support Vector Machine(SVM)을 사용하였다. 본 논문의 실험결과에서는 제안된 탐지방안이 정상 TCP/IP 트래픽으로부터 은닉채널이 포함된 TCP/IP 패킷을 구분할 수 있음을 보여주었다.

• 한국시뮬레이션학회논문지
• /
• 제31권4호
• /
• pp.11-22
• /
• 2022

단거리와 달리 장거리 수중 음향 통신에서는 전파 손실을 최소화하기 위해 저주파 신호와 심해 음파 채널을 사용한다. 이 경우 대역 확산과 같은 은밀 통신 기법을 이용하더라도 통신 사실을 숨기기 어려우며, 통신 신호가 탐지 신호처럼 작용하므로 감청기에 수중 운동체의 존재가 노출될 수 있다. 수중 운동체의 경우 은밀성 유지가 매우 중요하므로, 감청기가 통신 신호를 이용하여 아군 수중 운동체를 탐지할 가능성을 반드시 고려해야 한다. 본 논문에서는 수중 운동체의 피탐지 성능 분석을 위한 장거리 수중 음향 통신 환경을 모델링하고, 피탐지 성능 분석을 위한 관심영역 설정 방법과 평가 척도를 제안하였다. 전산 모의 실험을 통해 파라미터를 산출하고, 관심영역에서 피탐지 확률 분석 및 피탐지 성능 분석을 수행하였다. 분석 결과는 제안된 수중 운동체의 피탐지 성능 분석 방법이 장거리 수중 통신 장비의 운용에 있어 중요한 역할을 할 수 있음을 보였다.

• KSII Transactions on Internet and Information Systems (TIIS)
• /
• 제12권11호
• /
• pp.5588-5613
• /
• 2018

Virtualization technology has been widely applied in the area of computer security research that provides a new method for system protection. It has been a hotspot in system security research at present. Virtualization technology brings new risk as well as progress to computer operating system (OS). A multi-level perception security model using virtualization is proposed to deal with the problems of over-simplification of risk models, unreliable assumption of secure virtual machine monitor (VMM) and insufficient integration with virtualization technology in security design. Adopting the enhanced isolation mechanism of address space, the security perception units can be protected from risk environment. Based on parallel perceiving by the secure domain possessing with the same privilege level as VMM, a mechanism is established to ensure the security of VMM. In addition, a special pathway is set up to strengthen the ability of information interaction in the light of making reverse use of the method of covert channel. The evaluation results show that the proposed model is able to obtain the valuable risk information of system while ensuring the integrity of security perception units, and it can effectively identify the abnormal state of target system without significantly increasing the extra overhead.

• 정보보호학회논문지
• /
• 제29권4호
• /
• pp.739-751
• /
• 2019

임베디드 기기의 보안성이 주요한 문제로 부상하고 있다. 관련된 문제 중 특히 공급망 공격은 국가 간의 분쟁으로 이어질 수 있어 심각한 문제로 대두되고 있다. 공급망 공격을 완화하기 위하여 하드웨어 구성요소, 특히 AES와 같은 암호 모듈에 대한 CC(Common Criteria) EAL(Evaluation Assurance Level) 5 이상 고등급 보안성 인증 및 평가가 필요하다. 고등급 보안성 인증 및 평가를 위하여 암호 모듈에 대한 은닉 채널, 즉 백도어를 탐지하는 것이 필요하다. 그러나 기존의 연구로는 암호 모듈 그 중 AES의 비밀 키를 복구시킬 수 있는 정보가 유출되는 백도어를 탐지하지 못하는 한계가 있다. 따라서 본 논문은 기존의 하드웨어 AES 모듈 백도어의 정의를 확장하여 개선시킨 새로운 정의를 제안하고자 한다. 또한, 이 정의를 이용하여 기존 연구가 탐지하지 못했던 백도어를 탐색하는 과정을 제시한다. 이 탐색 과정은 Verilog HDL (Hardware Description Language)로 표현된 AES 모듈을 정형 기법 도구인 모델 체커(Model Checker) NuSMV를 이용하여 검증하는 것으로 백도어를 탐색한다.