• 융합보안논문지
• /
• 제17권1호
• /
• pp.31-38
• /
• 2017

네트워크를 통한 사이버 공격 기법들이 다양화, 고급화 되면서 간단한 규칙 기반의 침입 탐지/방지 시스템으로는 지능형 지속 위협(Advanced Persistent Threat: APT) 공격과 같은 새로운 형태의 공격을 찾아내기가 어렵다. 기존에 알려지지 않은 형태의 공격 방식을 탐지하는 이상행위 탐지(anomaly detection)를 위한 해결책으로 최근 기계학습 기법을 침입탐지 시스템에 도입한 연구들이 많다. 기계학습을 이용하는 경우, 사용하는 특징 집합에 침입탐지 시스템의 효율성과 성능이 크게 좌우된다. 일반적으로, 사용하는 특징이 많을수록 침입탐지 시스템의 정확성은 높아지는 반면 탐지를 위해 소요되는 시간이 많아져 긴급성을 요하는 경우 문제가 된다. 논문은 이러한 두 가지 조건을 동시에 충족하는 특징 집합을 찾고자 다목적 유전자 알고리즘을 제안하고 인공신경망에 기반한 네트워크 침입탐지 시스템을 설계한다. 제안한 방법의 성능 평가를 위해 NSL_KDD 데이터를 대상으로 이전에 제안된 방법들과 비교한다.

• 한국정보통신학회논문지
• /
• 제25권5호
• /
• pp.628-636
• /
• 2021

본 논문은 야생 동물들이 농장에 침입할 때 마다 당시의 환경 데이터를 수집한 다음 이를 이용한 벡터 자동 회귀(VAR) 모델 기반의 기계 학습을 통해 향후 야생 동물의 침입을 예측하는 서비스의 구현 및 성능 평가 결과를 담고 있다. 침입 예측을 위한 학습 데이터를 수집하기 위해 사물인터넷 기반의 하드웨어 프로토타입을 개발했으며, 이를 학교 인근에 위치한 소규모 농장에 설치하고서 침입 이벤트를 발생시키는 모의 시험을 장기간에 걸쳐 실시하였다. 구현한 벡터 자동 회귀 모델 기반의 침입 예측 서비스는 앞으로 30일간의 침입 발생 가능성이 높은 날짜와 시간을 제공한다. 더불어 제안 서비스는 야생 동물의 농장 침입 시 농장 주인의 모바일 기기에 실시간으로 알림을 제공하는 기능을 포함하며, 이에 대한 성능 평가를 실시하여 평균 7.89초의 응답 시간을 보여줌을 확인하였다.

• 안보군사학연구
• /
• 통권2호
• /
• pp.285-314
• /
• 2004

The forms of current war are diversified over the pan-national industry. Among these, one kind of threats which has permeated the cyber space based on the advanced information technology causes a new type of war. C4ISR, the military IT revolution, as a integrated technology innovation of Command, Control, Communications, Computer, Intelligence, Surveillance and Reconnaissance suggests that the aspect of the future war hereafter is changing much. In this paper, we design the virtual decoy system and intrusion trace marking mechanism which can capture various attempts and evidence of intrusion by hackers in cyber space, trace the penetration path and protect a system. By the suggested technique, we can identify and traceback the traces of intrusion in cyber space, or take a legal action with the seized evidence.

• 한국산학기술학회논문지
• /
• 제10권4호
• /
• pp.811-817
• /
• 2009

IT 시스템 기반의 네트워크 환경의 급속한 발전은 지속적인 연구방향의 중요한 이슈의 결과이다. 침입시도 탐지는 관심분야의 하나인 것이다. 최근에 다양한 기술을 기반으로 하는 침입시도탐지들이 제안되고 있으나 이러한 기술은 여러 형태의 침입시도의 패턴 중에 한가지 형태 및 시스템에 적용이 가능한 것이다. 또한 새로운 형태 침입시도를 탐지하지 못하고 있다. 그러므로 새로운 형태를 인식하는 침입탐지 관련 기술이 요구되어 지고 있다. 본 연구에서는 퍼지인식도와 비정상 트래픽 분석을 이용한 네트워크 기반의 침입탐지기법(NePID)을 제안한다. 이 제안은 패킷 분석을 통하여 서비스거부공격과 유사한 침입시도를 탐지하는 것이다. 서비스거부공격은 침입시도의 형태를 나타내며 대표적인 공격으로는 syn flooding 공격이 있다 제안한 기법은 syn flooding을 탐지하기 위하여 패킷정보를 수집 및 분석한다. 또한 피지인식도와 비정상 트래픽 분석을 적용하여 판단모듈의 분석 결과를 토대로 기존의 서비스 거부 공격의 탐지 툴과의 비교분석을 하였으며 실험데이터로는 MIT Lincoln 연구실의 IDS 평가데이터 (KDD'99)를 이용하였다. 시뮬레이션 결과 최대평균 positive rate는 97.094% 탐지율과 negative rate는 2.936%을 얻었으며 이 결과치는 KDD'99의 우승자인 Bernard의 결과치와 유사한 수준의 값을 나타내었다.

• 정보처리학회논문지C
• /
• 제10C권6호
• /
• pp.799-808
• /
• 2003

방화벽이나 침입 탐지 시스템 같은 기존의 보안 솔루션들은 새로운 공격에 대한 탐지 오보율이 크고 내부 공격자의 경우 차단할 수 없는 등 여러 가지 단점이 있다. 이러한 보안 솔루션의 단점은 시스템의 가용성을 보잔하는 메커니즘으로부터 보완할 수 있다. 노드의 생존성을 보장하는 메커니즘은 여러 가지가 있으며, 본 논문에서는 실시간 대응 메커니즘을 이용한 침입 감내(intrusion tolerance)를 접근 방법으로 한다. 본 논문에서 제시하는 생존성은 관심을 가지는 시스템 자원을 모니터링하고 자원이 임계치를 초과하면 모니터링 코드 및 대응 코드를 액티브 네트워크 환경에서 자동적으로 배포하여 동작하게 함으로써 시스템의 가용성을 능동적으로 보장하는 메커니즘을 제시한다. 자원 모니터링은 본 논문에서 제안한 평균 프로세스에 기반한 동적인 자원 제어 기법을 통해 수행한다. 대응 코드는 노드의 가용성을 위해 액티브 노드에 상주하거나 요청이 있을 때 해당 작업을 수행한다. 본 논문은 기존의 보안 솔루션이 갖는 단점에 대한 고찰을 통해 이를 보완한 침입 감내 메커니즘을 제시하고, 시스템 재설정 및 패치 수동성에 대한 단점을 액티브 네트워크 기반구조가 제공하는 서비스의 자동화된 배포 등의 장점을 통합한 노드의 생존성 메커니즘을 제시한다.

• 사물인터넷융복합논문지
• /
• 제9권3호
• /
• pp.55-60
• /
• 2023

사물인터넷 환경은 보안 위협에 상당히 취약하며, 침해사고가 발생하면 큰 피해를 줄 수 있다. 사물인터넷 환경의 보안을 강화하기 위해서는 사물인터넷 환경의 특성을 고려한 교육과정이 필요하다. 본 논문에서는 사물인터넷 환경에서의 침해사고대응 교육과정 모델을 제안하고자 한다. 제안된 교육과정 모델은 사물인터넷 환경의 보안 위협, 침해사고의 종류, 침해사고대응 절차 등을 위한 모델로 설계하였다. 제안된 교육과정 모델은 사물인터넷 환경에서의 보안 인식을 향상시키고, 사물인터넷 분야에서의 침해사고대응 전문가를 양성하는 데 기여가 예상된다. 제안된 교육과정 모델은 사물인터넷 환경의 보안을 강화하고, 사물인터넷에서의 침해사고대응을 통한 안전성이 기대된다.

• 정보처리학회논문지C
• /
• 제10C권5호
• /
• pp.565-574
• /
• 2003

본 논문에서는 한국정보보호진흥원에서 계층적 침입시도 탐지 및 대응을 위해 개발하였던 SDMS-RTIR(Scan Detection Management System with Real Time Incidence Response)을 지원하는 침입탐지 메시지 교환 프로토콜 라이브러리 IDMEPL을 구현하였다. IDMEPL은 IDWG의 IDMEF와 IAP를 기반으로 이기종의 침입(시도)탐지 시스템과 SDMS-RTIR의 실시간 상호연동을 제공하며 TLS 프로토콜을 통해 보안위협에 안전한 메시지 교환을 지원한다. 특히, IDMEPL은 유연성 있는 침입탐지 메지시 교환 프로토콜 선택 과정과 패스워드 기반의 암호화 프로토콜을 제공함으로써 각 침입(시도)탐지 시스템들로 하여금 자신의 네트워크 환경에 적절한 메시지 교환 프로토콜과 암호화 통신 방법을 선택할 수 있게 하였다. 이처럼 IDMEPL이 탑재된 SDMS-RTIR은 대규모의 네트워크 환경에서 이기종의 다양한 침입(시도)탐지 시스템들로부터 침입탐지 메시지를 실시간으로 접수하고 분석할 수 있다.

• 한국산학기술학회논문지
• /
• 제12권1호
• /
• pp.459-466
• /
• 2011

이 논문에서는 침입 탐지시스템의 체계적인 경보데이터관리 및 경보데이터 상관관계 분석을 위하여 데이터 마이닝 기법을 적용한 경보 데이터 마이닝 프레임워크를 제안한다. 적용된 마이닝 기법은 속성기반 연관규칙, 속성기반 빈발에피소드, 오경보 분류, 그리고 순서기반 클러스터링이다. 이들 구성요소들은 각각 대량의 경보 데이터들로부터 알려지지 않은 패턴을 탐사하여 공격시나리오를 유추하거나, 공격 순서를 예측하는 것이 가능하며, 데이터의 그룹화를 통해 고수준의 의미를 추출할 수 있게 해준다. 실험 및 평가를 위하여 제안된 경보데이터 마이닝 프레임워크의 프로토타입을 구축하였으며 프레임워크의 기능을 검증하였다. 이 논문에서 제안한 경보 데이터 마이닝 프레임워크는 기존의 경보데이터 상관관계분석에서는 해결하지 못했던 통합적인 경보 상관관계 분석 기능을 수행할 뿐만 아니라 대량의 경보데이터에 대한 필터링을 수행하는 장점을 가진다. 또한 추출된 규칙 및 공격시나리오는 침입탐지시스템의 실시간 대응에 활용될 수 있다.

• 정보보호학회논문지
• /
• 제16권6호
• /
• pp.111-121
• /
• 2006

인터넷이 빠르게 성장함에 따라 네트워크 공격기법이 변화되고 새로운 공격 형태가 나타나고 있다. 네트워크상에서 알려진 침입의 탐지는 효율적으로 수행되고 있으나 알려지지 않은 침입에 대해서는 오탐지(false negative)나 과탐지(false positive)가 너무 높게 나타난다. 또한, 네트워크상에서 지속적으로 처리되는 대량의 패킷에 대하여 실시간적인 탐지와 새로운 침입 유형에 대한 대응방법과 인지능력에 한계가 있다. 따라서 다양한 대량의 트래픽에 대해서 탐지율을 높이고 과탐지를 감소할 수 있는 방법이 필요하다. 본 논문에서는 네트워크 기반의 이상 침입 탐지 시스템에서 과탐지를 감소하고, 침입 탐지 능력을 향상시키기 위하여 다차원 연관 규칙 마이닝과 수정된 부정 선택 알고리즘(Negative Selection Algorithm)을 결합한 다중 레벨 이상 침입 탐지 기술을 제안한다. 제안한 알고리즘의 성능 평가를 위하여 기존의 이상 탐지 알고리즘과 제안된 알고리즘을 수행하여, 각각의 과탐지율을 평가, 제시하였다.

• 전기전자학회논문지
• /
• 제27권4호
• /
• pp.524-530
• /
• 2023

본 논문에서는 경량화된 CNN(Convolutional Neural Network)을 사용하여 CAN(Controller Area Network) 버스 상의 공격을 탐지하는 효율적인 알고리즘을 제안하고, 이를 기반으로 하는 IDS(Intrusion Detection System)를 FPGA로 설계, 구현 및 검증하였다. 제안한 IDS는 기존의 CNN 기반 IDS에 비해 CAN 버스 상의 공격을 프레임 단위로 탐지할 수 있어서 정확하고 신속한 대응이 가능하다. 또한 제안한 IDS는 기존의 CNN 기반 IDS에 비해 컨볼루션 레이어를 하나만 사용하기 때문에 하드웨어를 크게 줄일 수 있다. 시뮬레이션 및 구현 결과는 제안된 IDS가 CAN 버스 상의 다양한 공격을 효과적으로 탐지한다는 것을 보여준다.