어플리케이션의 가상 메모리 보호를 위한 연구

김동율,문종섭,Kim, Dong-Ryul,Moon, Jong-sub 대한임베디드공학회 2016 대한임베디드공학회논문지 Vol.11 No.6

As information technology advances rapidly, various smart devices are becoming an essential element in our lives. Smart devices are providing services to users through applications up on the operating system. Operating systems have a variety of rules, such as scheduling applications and controlling hardwares. Among those rules, it is significant to protect private information in the information-oriented society. Therefore, isolation task, that makes certain memory space separated for each application, should highly be guaranteed. However, modern operating system offers the function to access the memory space from other applications for the sake of debugging. If this ability is misused, private information can be leaked or modified. Even though the access authority to memory is strictly managed, there exist cases found exploited. In this paper, we analyze the problems of the function provided in the Android environment that is the most popular and opened operating system. Also, we discuss how to avoid such kind of problems and verify with experiments.

분산된 로그 정보의 실시간 암호화 백업모델을 통한 법적 신빙성 획득에 관한 연구

박종성(Jong-Seong Park),문종섭(Jong-sub Moon),손태식(Tae-shik Sohn) 한국정보과학회 2003 한국정보과학회 학술발표논문집 Vol.30 No.2Ⅰ

최근 악의적인 해킹이나 산업 스파이에 의한 정보유출 등이 날로 늘어남에 따라 정부 차원에서의 관련법제도 강화나 적극적인 대응에 대한 방법론 등이 크게 대두되고 있다. 이에 컴퓨터 내에 남아있는 전자적 증거들을 실제 법적인 효력을 가지도록 하는 연구가 활발하게 이루어지고 있는 실정이다. 이러한 전자적 증거로소 가장 많이 사용되어지는 것이 로그 정보라 할 것이다. 기존의 로그정보는 분산된 호스트에 따른 관리의 문제와 무결성과 인증의 문제를 지니고 있다. 이 논문에서는 이러한 문제를 해결하기 위해 분산된 로그 정보를 실시간으로 암호화 하여 중앙의 특정 서버에 저장하는 방법을 사용한다. 이를 통해 무결성과 출처의 인증이 보장된 실시간정보에 의한 법적 신빙성을 획득할 수 있다.

RNN을 이용한 코드 재사용 공격 탐지 방법 연구

김진섭 ( Jin-sub Kim ),문종섭 ( Jong-sub Moon ) 한국인터넷정보학회 2018 인터넷정보학회논문지 Vol.19 No.3

코드 재사용 공격은 프로그램 메모리상에 존재하는 실행 가능한 코드 조각을 조합하고, 이를 연속적으로 실행함으로써 스택에 직접 코드를 주입하지 않고도 임의의 코드를 실행시킬 수 있는 공격 기법이다. 코드 재사용 공격의 대표적인 종류로는 ROP(Return-Oriented Programming) 공격이 있으며, ROP 공격에 대응하기 위한 여러 방어기법들이 제시되어왔다. 그러나 기존의 방법들은 특정 규칙을 기반으로 공격을 탐지하는 Rule-base 방식을 사용하기 때문에 사전에 정의한 규칙에 해당되지 않는 ROP 공격은 탐지할 수 없다는 한계점이 존재한다. 본 논문에서는 RNN(Recurrent Neural Network)을 사용하여 ROP 공격 코드에 사용되는 명령어 패턴을 학습하고, 이를 통해 ROP 공격을 탐지하는 방법을 소개한다. 또한 정상 코드와 ROP 공격 코드 판별에 대한 False Positive Ratio, False Negative Ratio, Accuracy를 측정함으로써 제안한 방법이 효과적으로 ROP 공격을 탐지함을 보인다. A code reuse attack is an attack technique that can execute arbitrary code without injecting code directly into the stack by combining executable code fragments existing in program memory and executing them continuously. ROP(Return-Oriented Programming) attack is typical type of code reuse attack and serveral defense techniques have been proposed to deal with this. However, since existing methods use Rule-based method to detect attacks based on specific rules, there is a limitation that ROP attacks that do not correspond to previously defined rules can not be detected. In this paper, we introduce a method to detect ROP attack by learning command pattern used in ROP attack code using RNN(Recurrent Neural Network). We also show that the proposed method effectively detects ROP attacks by measuring False Positive Ratio, False Negative Ratio, and Accuracy for normal code and ROP attack code discrimination.

비정상 문자 조합으로 구성된 스팸 메일의 탐지 방법

이호섭(Ho-Sub Lee),조재익(Jae-Ik Cho),정만현(Man-Hyun Jung),문종섭(Jong-Sub Moon) 한국정보보호학회 2008 정보보호학회논문지 Vol.18 No.a6

인터넷의 활용도가 높아짐에 따라, 스팸메일이 전체 메일에서 차지하는 비중이 점점 커지게 되었다. 전체 인터넷 자원에서 필요에 의해 사용되는 메일의 기능보다, 주로 광고나 악성코드 등의 전파를 위한 목적으로 사용되는 메일의 비중이 점점 커지고 있으며, 이를 방지하기 위한 컴퓨터 및 네트워크, 인적자원의 소모가 매우 심각해지고 있다. 이를 해결하기 위해 스팸 메일 필터링에 대한 연구가 활발히 진행되어 왔으며, 현재는 문맥상의 의미는 없지만 가독상에서 의미를 해석할 수 있는 문장에 대한 연구가 활발히 이루어지고 있다. 이러한 방식의 메일은 기존의 어휘를 분석하거나 문서 분류 기법 등을 이용한 스팸 메일을 필터링 방법을 통해 분류하기 어렵다. 본 연구는 이와 같은 어려움을 해결하기 위해 메일의 제목에 대한 N-GRAM 색인화를 통해 베이지안 및 SVM 을 이용하여 스팸 메일을 필터링 하는 방법을 제안한다. As the use of the internet increases, the distribution of spam mail has also vastly increased. The email's main use was for the exchange of information, however, currently it is being more frequently used for advertisement and malware distribution. This is a serious problem because it consumes a large amount of the limited internet resources. Furthermore, an extensive amount of computer, network and human resources are consumed to prevent it. As a result much research is being done to prevent and filter spam. Currently, research is being done on readable sentences which do not use proper grammar. This type of spam can not be classified by previous vocabulary analysis or document classification methods. This paper proposes a method to filter spam by using the subject of the mail and N-GRAM for indexing and Bayesian, SVM algorithms for classification.

국방정보체계의 비밀데이터 관리 방안 연구

여성철(Seong-cheol Yeo),문종섭(Jong-sub Moon) 한국정보보호학회 2014 정보보호학회논문지 Vol.24 No.6

군은 업무의 효율성을 높이고 국방정보를 적시에 지원하여 지휘관 및 관리자의 의사결정을 돕기 위해 주요 응용체계를 개발하였다. 국방정보체계를 이용하여 생산·처리·저장·유통되는 자료는 군사기밀보호법에 근거하여 관리, 해제 및 보호되어야 하므로, 국방부는 다양한 연구를 통하여 군사보안업무훈령 개정 및 준용 방안과 함께, 비밀을 분류할 수 있는 세부 기준을 마련하였으며, 온라인 비밀처리가 가능한 비밀관리시스템을 운영하고 있다. 그러나 체계 내에 저장된 비밀데이터의 경우, 군사보안업무훈령을 원안대로 적용하여 비밀데이터 관리를 수행하기에는 군의 현실과 부합하지 않는 문제점이 존재하여 이에 대한 관리방안 연구가 시급한 실정이다. 본 논문에서는 국방정보체계 중 비밀데이터를 다루는 국방탄약정보체계를 중심으로 비밀 분류기준 및 연구사례를 참고하여, 한계점을 식별하고 해결 방안을 도출하여 군의 현실에 부합될 수 있는 비밀데이터 관리 방안을 제시하고자 한다. Ministry of National Defense made has set a standard regulations and detail to classify the revision of the military security and the plan to adjust or use those secrets. Moreover, the confidential management system with online secret process is operated by it. However, the study for management plan of stored secret data in these systems should be urgently required because the current regulation of military headquarter is different from present military situation so that it is not applicable up to now. This paper is focused on the Defense Ammunition Information Systems to find the proper way to deal with the secret data of the Defense Information Systems. The purpose is to describe the management plan for the secret data consistent with the current situation of the Military by study for the secret classification and case study. Therefore limitations are considered and solutions are finally suggested in this paper.

반음절을 이용한 음성합성

한용주(Yong Joo Han),문종섭(Jong Sub Moon) 한국정보과학회 1993 한국정보과학회 학술발표논문집 Vol.20 No.2

무제한 어휘의 음성합성을 위한 방법으로는 현재 음절, 반음절, 음소 이음이 있다. 여기서는 합성을 자연스럽게 처리하기위하여 한글 문장을 발음나는대로 표기하였다. 또한 음운 변동을 효율적으로 처리하기 위하여 음운 변동 처리 순서를 도입하였다. 본 연구에서는 문장을 받아들여 초성, 종성, 종성으로 분리후 음운변동처리 테이블에 맞추어 결과를 맵핑 한후 이를 다시 합성하여 처리시간을 줄일 수 있는 반면에 모든 예외처리를 하지못하고 있다.

AAWP와 LAAWP를 확장한 웜 전파 모델링 기법 연구

전영태(Young-Tae Jun),문종섭(Jong-Sub Moon),서정택(Jung-Taek Seo) 한국정보보호학회 2007 정보보호학회논문지 Vol.17 No.5

웜에 의한 사이버 위협이 증가함에 따라 웜의 전파 특성을 분석하기 위한 웜 전파 모델링 기법들이 연구되고 있다. 대표적인 예로 수학적 모델링 기법인 Epidemic, AAWP(Analytical Active Worm Propagation Modeling), 및 LAAWP(Local AAWP) 등의 모델링 기법들이 제시되었다. 하지만, 이들 기존 모델링 기법들은 대부분 IPv4 전체 네트워크를 대상으로 하는 랜덤 스캐닝 기법에 대해서만 모델링이 가능하며, 웜에 대한 인간의 대응활동인 보안패치 및 백신프로그램 업데이트등의 행위를 표현하는데 한계점을 가지고 있다. 이에 본 논문에서는 AAWP와 LAAWP 모델링 기법들의 수식과 파라미터를 확장하는 모델로 ALAAWP(Advanced LAAWP Modeling)를 제안한다. 제안하는 모델은 웜 모델링에 있어 네트워크 및 스캐닝 기법 표현에 유연성을 가지며, 다양한 파라미터의 추가를 통하여 웜의 전파에 의한 피해정도 및 방어대책의 적절성 검증에 효과적으로 이용이 가능하다. Numerous types of models have been developed in recent years in response to the cyber threat posed by worms in order to analyze their propagation and predict their spread. Some of the most important ones involve mathematical modeling techniques such as Epidemic, AAWP (Analytical Active Worm Propagation Modeling) and LAAWP (Local AAWP). However, most models have several inherent limitations. For instance, they target worms that employ random scanning in the entire IPv4 network and fail to consider the effects of countermeasures, making it difficult to analyze the extent of damage done by them and the effects of countermeasures in a specific network. This paper extends the equations and parameters of AAWP and LAAWP and suggests ALAAWP (Advanced LAAWP), a new worm simulation technique that rectifies the drawbacks of existing models.

무선 센서 네트워크에서 클러스터링 기반 Sleep Deprivation Attack 탐지 모델

김숙영(Suk-young Kim),문종섭(Jong-sub Moon) 한국정보보호학회 2021 정보보호학회논문지 Vol.31 No.1

무선 센서 네트워크를 구성하는 무선 센서는 일반적으로 전력 및 자원이 극히 제한적이다. 무선 센서는 전력을 보존하기 위해 일정 주기마다 sleep 상태로 진입한다. Sleep deprivation attack은 무선 센서의 sleep 상태 진입을 막음으로써 전력을 소진 시키는 치명적인 공격이지만 이에 대한 뚜렷한 대응책이 없다. 이에 본 논문에서는 클러스터링 기반 이진 탐색 트리 구조의 Sleep deprivation attack 탐지 모델을 제안한다. 본 논문에서 제안하는 sleep deprivation attack 탐지 모델은 기계학습을 통해 분류한 공격 센서 노드와 정상 센서 노드의 특징을 사용한다. 이때 탐지 모델에 사용한 특징은 Long Short-Term Memory(LSTM), Decision Tree(DT), Support Vector Machine(SVM), K-Nearest Neighbor(K-NN)을 이용하여 결정하였다. 결정된 특징은 본 논문에서 제안한 알고리즘에 사용하여 공격 탐지를 위한 값들을 계산하였으며, 계산한 값을 판정하기 위한 임계값은 SVM을 적용하여 도출하였다. 본 논문에서 제안하는 탐지 모델은 기계학습으로 도출된 특징과 임계값을 본 논문에서 제안한 탐지 알고리즘에 적용하여 구성하였으며, 실험을 통해 전체 센서 노드 20개 중 공격 센서 노드의 비율이 0.35일 때 94%의 탐지율을 갖고 평균 에너지 잔량은 기존 연구보다 최대 26% 향상된 결과를 보였다. Wireless sensors that make up the Wireless Sensor Network generally have extremely limited power and resources. The wireless sensor enters the sleep state at a certain interval to conserve power. The Sleep deflation attack is a deadly attack that consumes power by preventing wireless sensors from entering the sleep state, but there is no clear countermeasure. Thus, in this paper, using clustering-based binary search tree structure, the Sleep deprivation attack detection model is proposed. The model proposed in this paper utilizes one of the characteristics of both attack sensor nodes and normal sensor nodes which were classified using machine learning. The characteristics used for detection were determined using Long Short-Term Memory, Decision Tree, Support Vector Machine, and K-Nearest Neighbor. Thresholds for judging attack sensor nodes were then learned by applying the SVM. The determined features were used in the proposed algorithm to calculate the values for attack detection, and the threshold for determining the calculated values was derived by applying SVM. Through experiments, the detection model proposed showed a detection rate of 94% when 35% of the total sensor nodes were attack sensor nodes and improvement of up to 26% in power retention.

자동화된 침해사고대응시스템에서의 네트웍 포렌식 정보에 대한 연구

박종성(JongSeong Park),문종섭(Jong-sub Moon),최운호(UnHo Choi) 한국정보과학회 2004 한국정보과학회 학술발표논문집 Vol.31 No.1A

포렌식에 관한 연구는 현재까지 시스템에 남은 흔적을 수집하고 가공, 보관하는 시스템 포렌식에 치우쳐 있었다. 최근들어 단순히 시스템에 남은 흔적만을 분석하는 것이 아닌 시스템이 속한 전체 네트웍에서 침입 관련 정보를 얻고 분석하려는 네트웍 포렌식에 대한 연구가 활발하다. 특히나 자동화된 침해사고대응시스템에서는 전체 네트웍에 대한 침입 흔적을 다루어야 하기 때문에 네트웍 포렌식의 중요성이 크다고 할 수 있다. 본 논문에서는 자동화된 침해사고대응시스템에서 네트웍 포렌식을 위해 수집되어야 할 정보들을 정의한다. 자동화된 침해사고대응시스템의 여라 장비들과 정보들 중 컴퓨터 범죄 발생시 증거(Evidence)가 되는 포렌식로 수집되어야 할 항목들을 제시하고 필요성에 대해 언급할 것이다.

Bidirectional Convolutional LSTM을 이용한 Deepfake 탐지 방법

이대현(Dae-hyeon Lee),문종섭(Jong-sub Moon) 한국정보보호학회 2020 정보보호학회논문지 Vol.30 No.6

최근 하드웨어의 성능과 인공지능 기술이 발달함에 따라 육안으로 구분하기 어려운 정교한 가짜 동영상들이 증가하고 있다. 인공지능을 이용한 얼굴 합성 기술을 딥페이크라고 하며 약간의 프로그래밍 능력과 딥러닝 지식만 있다면 누구든지 딥페이크를 이용하여 정교한 가짜 동영상을 제작할 수 있다. 이에 무분별한 가짜 동영상이 크게 증가하였으며 이는 개인 정보 침해, 가짜 뉴스, 사기 등에 문제로 이어질 수 있다. 따라서 사람의 눈으로도 진위를 가릴 수 없는 가짜 동영상을 탐지할 수 있는 방안이 필요하다. 이에 본 논문에서는 Bidirectional Convolutional LSTM과 어텐션 모듈(Attention module)을 적용한 딥페이크 탐지 모델을 제안한다. 본 논문에서 제안하는 모델은 어텐션 모듈과 신경곱 합성망 모델을 같이 사용되어 각 프레임의 특징을 추출하고 기존의 제안되어왔던 시간의 순방향만을 고려하는 LSTM과 달리 시간의 역방향도 고려하여 학습한다. 어텐션 모듈은 합성곱 신경망 모델과 같이 사용되어 각 프레임의 특징 추출에 이용한다. 실험을 통해 본 논문에서 제안하는 모델은 93.5%의 정확도를 갖고 기존 연구의 결과보다 AUC가 최대 50% 가량 높음을 보였다. With the recent development of hardware performance and artificial intelligence technology, sophisticated fake videos that are difficult to distinguish with the human’s eye are increasing. Face synthesis technology using artificial intelligence is called Deepfake, and anyone with a little programming skill and deep learning knowledge can produce sophisticated fake videos using Deepfake. A number of indiscriminate fake videos has been increased significantly, which may lead to problems such as privacy violations, fake news and fraud. Therefore, it is necessary to detect fake video clips that cannot be discriminated by a human eyes. Thus, in this paper, we propose a deep-fake detection model applied with Bidirectional Convolution LSTM and Attention Module. Unlike LSTM, which considers only the forward sequential procedure, the model proposed in this paper uses the reverse order procedure. The Attention Module is used with a Convolutional neural network model to use the characteristics of each frame for extraction. Experiments have shown that the model proposed has 93.5% accuracy and AUC is up to 50% higher than the results of pre-existing studies.