PCAV : 평행좌표계를 이용한 네트워크 공격의 시각화

최현상(Hyunsang Choi),이희조(Heejo Lee) 한국정보과학회 2005 한국정보과학회 학술발표논문집 Vol.32 No.1

인터넷상의 수많은 트래픽 정보 중에서 악성 트래픽 정보를 빠르게 감지하는 것은 그 정보의 방대함 때문에 쉽지 않다. 공격시각화(Attack Visualization) 기법은 이런 수많은 정보 중에서 악성 트래픽 정보를 좀 더 쉽게 인지하게 함으로써 새로운 공격에 대해서 빠른 대응과 피해 최소화를 하는데 활용할 수 있다. 본 연구에서는 평행좌표계(Parallel Coordinates)를 이용해 공격시각화를 하여, 분산 서비스 거부 공격, 웜, 스캐닝 공격 등 인터넷상에 알려진, 혹은 알려지지 않은 새로운 공격들에 대해 빠른 대응을 하기위한 기술 연구를 하였으며, 각 공격들의 특정 시각화 패턴을 감지하고 이를 알려주는 이상탐지(anomaly detection) 시각화 시스템 PCAV를 구현하였다. PCAV 시스템을 통해 네트워크 관리자는 실시간으로 트래픽 정보와 공격들의 시각화 정보를 원격에서도 모니터링하고 이를 통해 즉시 대응하는 것이 가능하다. 또한, 이전에 발생한 공격들의 시각화 정보를 확인하고 이를 분석하는 것과, 알려지지 않은 공격이 발생했을지라도 그 공격의 시각적 패턴이 나타났을 때 즉각 공격 서명(signature)으로 활용 하는 것이 가능하다.

CAD데이터를 활용한 IndoorGML 변환에 대한 연구

최현상(Hyunsang Choi),여욱현(Wookhyun Yeo),양재광(Jaekwang Yang) 대한공간정보학회 2019 한국지형공간정보학회 학술대회 Vol.2019 No.11

DRDoS 증폭 공격 기법과 방어 기술 연구

최현상(Choi, Hyunsang),박현도(Park, Hyundo),이희조(Lee, Heejo) 한국정보전자통신기술학회 2015 한국정보전자통신기술학회논문지 Vol.8 No.5

DDoS 공격은 주요 정부기관 및 기업의 서비스 시스템 및 웹사이트를 마비시키는 사이버 공격의 수단으로 지속적으로 이용되고 있다. 최근에는 증폭기법을 이용한 DDoS 공격이 지속적으로 발생하고 있는데 공격의 특징상 다수의 정상적으로 동작하고 있는 서버들에서 공격 트래픽이 발생하므로 정상 트래픽과의 구분이 어렵고 수백 Gbps 이상의 대규모의 공격 트래픽을 발생시킬 수 있으므로 탐지를 하더라도 방어를 하는 것이 매우 어려운 상황이다. 그리고 공격에 이용되는 프로토콜들 중에서 SSDP, SNMP등 일부 프로토콜들은 IoT 장비들에서 널리 사용되는 프로토콜이기 때문에 앞으로 공격에 이용될 수 있는 서버들도 크게 증가할 것으로 예측된다. 본 논문에서는 최근에 인터넷에 커다란 위협이 되고 있는 증폭 기법을 이용한 DDoS 공격들에 대해 이용되는 프로토콜별로 공격 기법을 분석한다. 또한, 공격에 효과적으로 대응하기 위해 공격을 방어하는 네트워크에 공격자가 존재하는 경우, 공격에 사용되는 서버가 존재하는 경우, 공격 대상이 존재하는 경우들로 나누어 각각의 상황에 취할 수 있는 대응 방법을 제안한다. DDoS attacks have been used for paralyzing popular Internet services. Especially, amplification attacks have grown dramatically in recent years. Defending against amplification attacks is challenging since the attacks usually generate extremely hugh amount of traffic and attack traffic is coming from legitimate servers, which is hard to differentiate from normal traffic. Moreover, some of protocols used by amplification attacks are widely adopted in IoT devices so that the number of servers susceptible to amplification attacks will continue to increase. This paper studies on the analysis of amplification attack mechanisms in detail and proposes defense methodologies for scenarios where attackers, abused servers or victims are in a monitoring network.

DDoS공격 탐지에 효율적인 트래픽 비율 분석법(ETAM)

최광열 ( Kwangyeol Choi ),최현상 ( Hyunsang Choi ),이희조 ( Heejo Lee ) 한국정보처리학회 2007 한국정보처리학회 학술대회논문집 Vol.14 No.2

DDoS 공격은 인터넷 환경에서 네트워크나 개인 호스트를 위협하는 대표적인 공격 트래픽이다. DDoS 공격은 간단한 Tool 로 공격이 가능하면서 네트워크 기반 구조에 큰 피해를 입힐 수 있기 때문에 그 심각성이 크다. DDoS 공격의 효과적인 방어와 대응을 위해서는 DDoS 공격 트래픽에 대한 정확한 분석과 탐지가 선행되어야 한다. 본 논문에서는 DDoS 공격 징후를 신속하게 탐지해 낼 수 있는 효율적인 트래픽 비율 분석법(ETAM)을 제안하고, ETAM 기법을 통해 공격을 빠르고 신속하게 탐지할 수 있음을 보인다.

DNS기반의 봇넷 탐지 시스템

이한우 ( Hanwoo Lee ),최현상 ( Hyunsang Choi ),이희조 ( Heejo Lee ) 한국정보처리학회 2006 한국정보처리학회 학술대회논문집 Vol.13 No.2

인터넷의 비약적 성장과 더불어 인터넷에서의 악성행위 기술도 함께 빠르게 고도화 되고 있으며 이에 따른 피해의 규모 또한 점점 커지고 있다. 종래의 대표적 악성코드인 바이러스, 웜과는 달리 근래에는 해킹을 이용해 경제적 이득을 취하기 위해 전문적이고 조직적인 네트워크를 형성하고 이를 통해 악성행위를 수행하고 있다. 최근 봇넷이라고 하는 네트워크가 이러한 악성행위를 수행하는데 주로 이용되고 있다. 즉, 봇넷이란 악성 프로그램인 봇에 감염된 다수의 컴퓨터들이 네트워크로 연결되어져 있는 형태를 말하며, 이렇게 구축된 거대한 봇넷을 이용하여 개인정보의 탈취, DDoS공격과 피싱 및 스팸 메일의 발송 등과 같은 여러 악성행위를 수행한다. 이처럼 최근 사이버 보안의 최대의 위협 요소로 대두되고 있는 봇넷에 의한 피해를 최소화하기 위해서 그 대응책이 절실히 필요하다. 이에 본 연구 에서는 봇넷의 C&C(Command & Control)과정에서 발생되는 DNS 쿼리를 분석하여 정상적인 DNS쿼 리와 구분되는 봇넷 DNS 쿼리 특성을 이용한 봇넷 탐지 시스템을 제안한다.

건축도면과 지상 라이다를 이용한 3차원 실내모델 구축

홍성철(Sungchul Hong),최현상(Hyunsang Choi),홍창희(Changhee Hong) 한국산학기술학회 2015 한국산학기술학회 학술대회 Vol.2015 No.1

실내 GIS는 그동안 전통적인 측량기법과 CAD 도면을 이용하여 구축되었으며, 2차원 공간모델을 이용하여 공간정보서비스를 제공하였다. 하지만, 2차원 모델은 복잡한 공간을 표현하고 정보를 공유하는데 한계가 있으므로, 다양한 공간정보 서비스를 구현하기 위해 3차원 실내모델의 필요성은 점점 커지고 있다. 이에 본 논문에서는 건축도면과 지상라이다를 이용한 ‘3차원 실내 모델 구축 절차’를 제안하고, 복잡한 실내공간을 가지는 테스트베드에 적용하여 효용성을 검증하였다.

트래픽 분석을 통한 IRC 봇넷과 P2P 봇넷의 특성 비교

김유승(Yu-seung Kim),최현상(Hyunsang Choi),정현철(HyunCheol Jeong),이희조(Heejo Lee) 한국정보기술학회 2009 한국정보기술학회논문지 Vol.7 No.1

Botnet is the significant threat in the internet, which is the network of bot hosts infected by malware and is controlled by remote attacker called bot master. In this paper, we reveal the characteristic of botnet by gathering and analyzing the suspected network traffic. It is estimated that the observed traffic is from IRC botnet and P2P botnet We reveal that it is easy to detect the C&C server in the former case, while it is difficult to grasp the structure of the latter botnet with only traffic analysis.

인터넷 광고 인젝션 유형에 대한 연구

조상현(Sanghyun Cho),최현상(Hyunsang Choi),김영갑(Young-Gab Kim) 한국정보보호학회 2017 정보보호학회논문지 Vol.27 No.2

인터넷 광고는 오프라인 광고에 비해 여러 장점을 가지고 있지만, 광고 인젝션(advertisement injection)으로 인하여 다양한 피해가 발생할 수 있다. 일반사용자에게는 추가 적인 광고 노출로 인하여 불편함을 주고, 웹 콘텐츠 제공자에게는 서비스 품질 저하의 문제를 발생시킬 수 있다. 또한 광고주에게는 계획되지 않는 광고 노출로 인하여 기대한 광고 효과를 얻지 못하기도 한다. 하지만, 이와 같은 인터넷 광고 인젝션으로 인한 피해가 발생 가능함에도 불구하고 아직까지 광고 인젝션 유형에 관한 연구는 거의 진행되지 않았으며, 다만 구글(Google)의 최근 연구에서 인터넷 광고 인젝션 이슈를 다루고 있다. 따라서 본 논문에서는 국내 인터넷 포털 사이트 네이버를 대상으로 한 인터넷 광고 인젝션 유형을 분석하였다. 다운로더 27개와 이들이 설치하는 199개의 프로그램을 분석하여, 여섯 개의 인젝션 유형을 정의하고 각 유형별 동작 및 특징을 분석하였다. Online advertisement has many benefits comparing to offline advertisement but it also has many challenging problems by online ad abuses. Advertisement injection (Ad injection) is one of the threats that surreptitiously inserts advertisements without a permission of site owners. Users are exposed to additional ads and redundant web traffic by injected ads can cause a service quality problem. Moreover, advertisers can have economic loss when injected ads are different from original ones. Although ad injection leads to these problems it has not been fully studied yet. A few ad injection researches are done by online advertising providers such as Google. In this paper, we analyze ad injection activities to Korean major portal, Naver. We classify 6 types of ad injections and describe their characteristics by analyzing 27 downloaders and 199 installed programs.

협업 기반의 중앙집중형 봇넷 탐지 및 관제 시스템 설계

권종훈(Jong Hoon Kwon),임채태(Chaetae Im),최현상(Hyunsang Choi),지승구(SeungGoo Ji),오주형(JooHyung Oh),정현철(HyunCheol Jeong),이희조(Heejo Lee) 한국정보보호학회 2009 정보보호학회논문지 Vol.19 No.3

최근의 사이버 공격은 경쟁사에 대한 DDoS공격과 기밀정보 유출, 일반 사용자들의 금융정보 유출, 광고성 스팸메일의 대량 발송 등 불법 행위를 통해 경제적 이득을 취하려는 형태로 바뀌어가고 있다. 그 중심에 있는 봇넷은 봇이라 불리는 감염된 호스트들의 네트워크로서 최근 발생하는 많은 사이버 공격에 이용되고 있다. 이러한 봇넷은 수많은 변종과 다양한 탐지 회피 기술로 무장하고 전 세계 네트워크 전반에 걸쳐 그 세력을 확장해 가고 있다. 하지만 현존하는 봇넷 대응 솔루션은 대부분 시그네쳐 기반의 탐지 방법을 이용하거나, 극히 제한적인 지역의 봇넷만을 탐지하고 있어, 총괄적 봇넷 대응에는 미흡한 것이 현실이다. 본 연구에서는 중앙집중형 봇넷을 주요 목표로 하며, 이를 빠르게 탐지하고 대응하기 위해 ISP 사업자들 간, 혹은 국가 간에 봇넷 정보 공유를 통한 중앙집중형 봇넷 탐지 및 관리 시스템 설계를 제안한다. 본 시스템은 특정 시스템이나 하드웨어에 특화되지 않은 유연함을 갖고 있어 설치 및 배포가 쉽고 ISP 간, 혹은 국가간의 정보 공유를 통해 넓은 지역의 네트워크를 수용할 수 있어, 기존의 솔루션보다 효율적인 봇넷탐지 및 관리가 가능하다. In recent years, cyber crimes were intended to get financial benefits through malicious attempts such as DDoS attacks, stealing financial information and spamming. Botnets, a network composed of large pool of infected hosts, lead such malicious attacks. The botnets have adopted several evasion techniques and variations. Therefore, it is difficult to detect and eliminate them. Current botnet solutions use a signature based detection mechanism. Furthermore, the solutions cannot cover broad areas enough to detect world-wide botnets. In this study, we suggest an architecture to detect and regulate botnets using cooperative design which includes modules of gathering network traffics and sharing botnet information between ISPs or nations. Proposed architecture is effective to reveal evasive and world-wide botnets, because it does not depend on specific systems or hardwares, and has broadband cooperative framework.

모바일 광고 인젝션 사례 연구

조상현(Sanghyun Cho),허규(Gyu Heo),최현상(Hyunsang Choi),김영갑(Young-Gab Kim) 한국정보보호학회 2017 정보보호학회논문지 Vol.27 No.5

최근 무선 네트워크 및 모바일 기술의 발전으로 인해 모바일 기기를 통한 다양한 종류의 서비스가 개발 및 제공되고 있다. 이와 더불어 모바일 광고(mobile advertisement) 형태도 다양한 형태로 확대되고 있다. 이에 유선 환경에서 발생하였던 광고 인젝션(advertisement injection; ad injection)이 모바일 환경으로 확장되고 있다. 특히 모바일 환경에서는 원하지 않는 광고의 노출로 인하여 사용자에게 불편함을 초래함과 동시에 모바일 데이터 사용량을 증가시킬 수 있다. 이렇게 광고 인젝션으로 인한 피해가 발생함에도 불구하고, PC 환경에서와 마찬가지로 아직까지 모바일 환경에서의 광고 인젝션 유형 및 특성에 관한 연구는 거의 진행되지 않았다. 따라서 본 논문에서는 국내 인터넷 포털 사이트 네이버를 대상으로 한 모바일 앱(mobile app)의 광고 인젝션 사례를 살펴보고, 이를 통하여 모바일 광고 인젝션의 유형 및 특성 분석을 수행하고자 한다. 본 연구에서는 2개의 모바일 앱을 대상으로 역공학(reverse engineering) 기법을 통하여 광고 인젝션 코드 및 행위에 대한 정적 · 동적 분석을 수행하였고 기존 PC 환경에서의 광고 인젝션과 비교 분석하였다. The rapid evolution of mobile technologies and proliferation of mobile devices have created a new channel for marketing by mobile advertising. As mobile advertising is a close relative to online advertising, it also has similar problems such as advertisement injections (Ad injections). Users are exposed to unwanted advertisements and redundant web traffic by injected ads can cause additional charges of mobile devices. Although mobile ad injection can cause many problems it has been merely studied. In this paper, we analyze ad injection activities by mobile applications that exploit a legitimate application (Naver mobile application). We reverse-engineered 2 mobile applications and find out characteristics of mobile ad injections. We compare mobile ad injections with online ad injections and suggest feasible mitigations.