http://chineseinput.net/에서 pinyin(병음)방식으로 중국어를 변환할 수 있습니다.
변환된 중국어를 복사하여 사용하시면 됩니다.
상대 복잡도를 이용한 네트워크 연결기반의 탐지척도 선정
문길종,김용민,김동국,노봉남,Mun Gil-Jong,Kim Yong-Min,Kim Dongkook,Noh Bong-Nam 한국정보처리학회 2005 정보처리학회논문지 C : 정보통신,정보보안 Vol.12 No.7
최근 네트워크가 발전함에 따라 네트워크의 취약점을 이용한 침입과 공격이 많이 발생하고 있다. 네트워크에서 공격과 침입을 탐지하기 위해 규칙을 만들거나 패턴을 생성하는 것은 매우 어렵다. 대부분 전문가의 경험에 의해서 만들어지고, 많은 인력, 비용, 시간을 소비하고 있다. 본 논문에서는 전문가의 경험 없이 네트워크의 공격 행위를 효과적으로 탐지하기 위해서 네트워크 연결기반의 정보를 이용한 척도선정 기법과 탐지기법을 제안한다. 정상과 각 공격의 네트워크 연결 데이터를 추출하고, 상대 복잡도를 이용하여 복잡도의 임계값 설정함으로써 공격 탐지에 유용한 척도를 선정한다. 그리고 선정된 척도를 바탕으로 확률패턴을 생성하고 우도비 검증을 이용해 공격을 탐지한다. 이 탐지방법으로 임계값 조절에 따라 탐지율과 오탐율을 조절할 수 있었다. KDD CUP 99 데이터를 이용하여 공격행위를 분석, 분류하고, 결정트리 알고리즘의 규칙기반 탐지 결과와 비교함으로써 본 논문에서 제시한 기법이 유용함을 확인하였다. A generation of rules or patterns for detecting attacks from network is very difficult. Detection rules and patterns are usually generated by Expert's experiences that consume many man-power, management expense, time and so on. This paper proposes statistical methods that effectively detect intrusion and attacks without expert's experiences. The methods are to select useful measures in measures of network connection(session) and to detect attacks. We extracted the network session data of normal and each attack, and selected useful measures for detecting attacks using relative entropy. And we made probability patterns, and detected attacks using likelihood ratio testing. The detecting method controled detection rate and false positive rate using threshold. We evaluated the performance of the proposed method using KDD CUP 99 Data set. This paper shows the results that are to compare the proposed method and detection rules of decision tree algorithm. So we can know that the proposed methods are useful for detecting Intrusion and attacks.
통계적 척도 선택 방법에 따른 네트워크 침입 분류의 성능 비교
문길종(Gil-Jong Mun),김용민(Yong-Min Kim),노봉남(Bongnam Noh) 한국정보보호학회 2009 情報保護學會誌 Vol.19 No.2
네트워크 기술의 발달에 따른 서비스의 증가는 네트워크 트래픽과 함께 취약점도 증대하여 이를 악용하는 행위도 늘어나고 있다. 따라서 네트워크 침입탐지 시스템은 증가하는 트래픽의 양을 처리할 수 있어야 하며, 악의적인 행동을 효과적으로 탐지 할 수 있어야 한다. 증가하는 트래픽을 효과적으로 처리하고 탐지의 정확성을 높이기 위해 처리 데이터를 감소시키는 기술이 요구된다. 이러한 방법들은 크게 데이터 필터링, 척도 선택, 데이터 클러스터링의 영역으로 구분되며, 본 논문에서는 척도 선택의 방법으로 데이터 처리의 감소 및 효과적 침입탐지를 수행할 수 있음을 보이고자 한다. 실험 데이터는 KDDCUP 99 데이터 셋을 이용하였으며, 통계적 척도선택의 방법으로 분류율, 오탐율, 거리값, 규칙, 선택된 척도 등을 제시함으로써 침입 탐지 시 데이터 처리량이 감소하였고, 분류율은 증가, 오탐율은 감소하여 침입 탐지 정확성이 높아짐을 알 수 있었다. 또한 본 논문에서 제시한 방법이 다른 관련연구에서 제시한 선택 척도보다 높은 정확성을 보임으로 써 보다 유용함을 증명할 수 있었다.
문길종(Gil-Jong Mun),김용민(Yong-Min Kim) 한국정보보호학회 2008 정보보호학회논문지 Vol.18 No.2
네트워크 내의 다양한 악성코드는 변종들이 빠르게 생성되고 그 행위는 점차 지능화되어 피해도 커지고 있다. 본 논문에서는 효과적인 악성코드 탐지를 위해 탐지규칙 생성에 효과적인 척도선정 방법을 제안한다. 실험에 헤더 정보만을 활용함으로써 페이로드 데이터를 검사하는 과부하를 최소화 하였고, 패킷의 단순한 정보가 아닌 네트워크 연결정보인 다양한 척도를 사용하여 악성코드의 특징 파악을 용이하게 한다. 실험에 사용된 80개의 연결정보 중 유용한 탐지척도를 선정하기 위해 히스토그램 방법을 이용해 확률 분포를 구하고, 단순 추정량에 적용한 후, 상대 복잡도를 이용한다. 단순 추정량 방법은 기존 방법인 히스토그램 방법의 단점인 임의로 나눈 경계 부근의 값에 대한 오분류를 해결하고, 악성코드 탐지에 유용한 척도의 선택을 유도한다. 선정된 척도를 바탕으로 탐지규칙을 생성하고, 탐지실험을 하여, 그 결과를 기존 방법과 비교평가함으로써 제안하는 기법이 유용함을 보인다. The various mutations of the malicious codes are fast generated on the network. Also the behaviors of them become intelligent and the damage becomes larger step by step. In this paper, we suggest the method to select the useful measures for the detection of the codes. The method has the advantage of shortening the detection time by using header data without payloads and uses connection data that are composed of TCP/IP packets, and much information of each connection makes use of the measures. A naive estimator is applied to the probability distribution that are calculated by the histogram estimator to select the specific measures among 80 measures for the useful detection. The useful measures are then selected by using relative entropy. This method solves the problem that is to misclassify the measure values. We present the usefulness of the proposed method through the result of the detection experiment using the detection patterns based on the selected measures.
SSFNet 기반의 침입평가데이터 생성기 설계 및 구현
이영수 ( Young-soo Yi ),문길종 ( Gil-jong Mun ),김용민 ( Yong-min Kim ),노봉남 ( Bong-nam Noh ) 한국정보처리학회 2006 한국정보처리학회 학술대회논문집 Vol.13 No.1
정보보호 분야에서 네트워크 시뮬레이터에 대한 관심이 커지고 있으나 여러가지 제약 때문에 연구 및 개발이 미흡하다. 특히 침입탐지 시뮬레이터의 평가를 위한 적절한 데이터가 존재하지 않아 침입탐지 시뮬레이터가 적절한지 판단할 근거 자료가 충분하지 않다. 본 논문에서는 네트워크 시뮬레이터에서 DARPA 99 데이터셋을 활용하는 방법으로 트래픽 생성기를 설계 및 구현 하였으며, 그 결과가 정상적으로 동작함을 확인하였다.
VoIP 망에서 SIP 취약점을 이용한 위협의 분석과 대응
김무성 ( Mu-sung Kim ),문길종 ( Gil-jong Mun ),양승호 ( Seung Ho Yang ),노봉남 ( Bong-nam Noh ),김용민 ( Yong-min Kim ) 한국정보처리학회 2010 한국정보처리학회 학술대회논문집 Vol.17 No.2
VoIP를 위한 개방형 규약 중 SIP는 IETF에서 정의한 시그널링 규약으로 IP 네트워크에서 음성, 영상의 호와 같은 멀티미디어 통신 세션을 제어하기 위해 널리 사용한다. 공격자는 SIP의 취약점을 이용한 전화번호 스캐닝, 사용자 암호를 알아내기 위한 사전공격, 콜 플러딩 공격을 통해 VoIP 서비스 정보를 절취하거나 이용을 방해 할 수 있다. 본 논문에서는 VoIP 환경의 SIP 스캐닝, 콜 플러딩, 그리고 무차별 대입 공격을 분석하고 대응방안을 제시한다.
최대수(Dae-Soo Choi),문길종(Gil-Jong Mun),김용민(Yong-Min Kim),노봉남(Bong-Nam Noh) 한국정보기술학회 2011 한국정보기술학회논문지 Vol.9 No.8
The log collection and analysis are very important for security management system. Any security logs generated from various heterogeneous security devices are increasing, security managers should collect them, analyze whether there is an attack or not and handle it in limited time. Original security management system save and analyze security logs with DBMS, they are not enough to analyze large scale security logs. This paper suggests security analyzing system based on MapReduce to collect and analyze large scale heterogeneous security logs at once. Also the paper normalized firewall, Intrusion Detection System and web log, merged the common field, and compared merging rate with execution time. In more than tens of millions of large scale log merging tests, suggested system showed its superiority through faster executing time, over 85% in 6 nodes than DBMS inquiry method.
안전한 U-City 인프라 구축을 위한 미국의 공통보안규격 제도 분석
정성수(Sung-Soo Jung),고갑승(Kab-Seung Kou),문길종(Gil-Jong Mun),이남일(Nam-il Lee),류동주(Dong-Ju Ryu) 한국정보기술학회 2012 Proceedings of KIIT Conference Vol.2012 No.5
국내에서는 보안성평가, 정보보호안전진단, 정보보호관리체계 등 다양한 정보보증에 대한 보안정책을 수립 및 시행하고 있지만, 국가기관에 사용되는 PC에 대한 공통보안규격에 대한 관심은 미흡한 실정이다. 미국에서는 SCAP(The Security Content Automation Protocol) 제도, FISMA(Federal Information Security Management Act) 제도, USGCB(The United States Government Configuration Baseline) 제도 등을 시행하고 있다. 이 중 USGCB 제도는 미국 연방기관에서 사용되는 모든 PC들을 일정 수준 이상의 보안 수준을 유지하기 위한 제도로써, 국내 U-City 인프라 환경 내의 PC에 대한 보안 관리지침으로 활용 가능할 것으로 예상된다. 이에 따라, 본 논문에서는 USGCB를 소개하고 현행 국내에서 시행하고 있는 정보보증제도와 비교 및 분석하였다. In South Korea, various information assurance scheme (CC(Common Criteria), ISCS(Information Security Check Service) and ISMS(Information Security Management System)) is enforced. But state agencies use a common security standard for the PC is insufficient attention to. In the United States, SCAP(The Security Content Automation Protocol), FISMA (Federal Information Security Management Act) and USGCB(The United States Government Configuration Baseline) are enforced. USGCB of this scheme is used in a U.S. federal agency for all PC more than a certain level of security as a system to maintain the level. Accordingly in this paper introduce USGCB and analyzed Information Security Schemes of South Korea.