지능화된 DDoS 공격에 대한 혼합적인 대응 기법

최일준(Il-Jun Choi),나승철(Seung-Cheol Na),심태용(Tae-Yong Shim) 한국정보기술학회 2015 Proceedings of KIIT Conference Vol.2015 No.6

DDoS 공격 탐지를 위한 혼합적인 트래픽 탐지 기법

최일준(IL-Jun Choi),심태용(Tae-Yong Shim) 한국정보기술학회 2014 Proceedings of KIIT Conference Vol.2014 No.5

본 논문에서 제안하는 혼합적인 공격 트래픽 탐지 기법은 전통적인 네트워크기반의 공개 침입탐지시스템인 Snort를 이용하여 탐지한 공격 트래픽 중 False Positive 가능성이 있는 패킷을 Nmap 정보를 이용하여 필터링 하고 취약점 정보를 이용하여 차 필터링을 실시한 후 운영체제의 적합성 시그너처 위험도 보안 취약점을 고려하여 상관관계 분석을 최종적으로 실시하여 False Positive 경고 메시지를 줄이고 False Positive에 의한 오류를 최소화하여 전체적인 공격 탐지 결과를 높였다. 또한 공격 트래픽이 많이 발생한 IP를 사용자에게 알려줌으로써 보안의 필요성을 확연히 인식하게 할 수 있는 계기를 마련하였다. In this paper, we propose a mix of attack traffic detection method based on traditional network intrusion detection system Snort open to traffic in the False Positive detection of potential attack packets and filter out information to Nmap, Nessus vulnerability information is used after performing the secondary filter, operating system compatibility, signature-risk, security vulnerability analysis, taking into account the correlation between the final practice to reduce the False Positive warning messages to minimize errors due to the overall increased attack detection results. IP also generated a lot of traffic to the attack by telling the user a clear recognition of the need to secure an opportunity was laid.

False Alarm 감축을 위한 효율적인 공격 트래픽 탐지 기법

최일준(Il-Jun Choi),추병균(Byoung-Gyun Chu),오창석(Chang-Suk Oh) 한국컴퓨터정보학회 2009 韓國컴퓨터情報學會論文誌 Vol.14 No.5

IT의 발전으로 많은 컴퓨터 사용자들이 인터넷 사용을 생활화하고 있다. HTML 기술을 이용한 웹 기술의 발전은 현대인들의 정보를 빠르고 쉽게 공유할 수 있도록 하고 있으며, 그 이용이 기하급수적으로 증가하고 있는 추세이다. 그러나 그에 따른 부작용으로 중요 시스템에 대한 정보 유출, 전산망 침해 등과 같은 침입 행위 또한 빠른 속도로 증가하고 있다. 이에 본 논문에서 제안하는 공격 트래픽 탐지 기법은 전통적인 네트워크기반 공개 침입탐지시스템인 Snort 탐지한 공격 트래픽 중 false positive 가능성이 있는 패킷을 Nmap 정보를 이용하여 필터링하고, nessus 취약점 정보를 이용하여 2차 필터링을 실시한 후, 운영체제의 적합성, 시그너처 위험도, 보안 취약점을 고려하여 상관성 분석을 최종적으로 실시하여 false positive 경고 메시지를 줄이고 false positive에 의한 오류를 최소화하여 전체적인 공격 탐지 결과를 높였다. The development of IT technology, Internet popularity is increasing geometrically. However, as its side effect, the intrusion behaviors such as information leakage for key system and infringement of computation network etc are also increasing fast. The attack traffic detection method which is suggested in this study utilizes the Snort, traditional NIDS, filters the packet with false positive among the detected attack traffics using Nmap information. Then, it performs the secondary filtering using nessus vulnerability information and finally performs correlation analysis considering appropriateness of management system, severity of signature and security hole so that it could reduce false positive alarm message as well as minimize the errors from false positive and as a result, it raised the overall attack detection results.

CDN 환경에서 순위 결정법을 이용한 CP 서버의 부하 경감

이정일(Jeong-Il Lee),김진(Jin Kim),최일준(Il-Jun Choi),오창석(Chang-Suk Oh) 한국엔터테인먼트산업학회 2011 한국엔터테인먼트산업학회논문지 Vol.5 No.2

현재 인터넷 관련 기술을 기반으로 다양한 형태의 디지털 콘텐츠 산업이 발전하는 추세이며, 국내의 경우 고부가가치 산업으로 평가되고 있다. 이에 초고속 인터넷 망을 이용한 고품질의 콘텐츠 전송을 위한 분산 처리 형태의 콘텐츠 전송 기술인 CDN(Contents Delivery Network) 환경이 제안되었다. 이러한 CDN 환경은 콘텐츠에 대한 점진적 분배 문제 및 동기화 문제와 CP 서버의 부하 집중에 따른 서비스 품질이 저하되는 문제가 발생한다. 이에 본 논문에서는 CDN 시스템의 서비스품질(QoS) 향상과 CP(Contents Provider) 서버의 부하 경감을 위해 콘텐츠의 분배 및 동기화 문제를 기존 CP 서버의 부하를 캐시서버로 이전하는 정책을 적용하고 캐시서버의 한정된 자원을 효율적으로 관리하기 위해 보유 콘텐츠의 요청주기 및 횟수와 파일 크기를 기준으로 순위 결정법을 실시하여 교체 콘텐츠를 결정하며, 이를 통해 캐시서버의 히트율을 향상하는 기법을 제안한다. The recent trend of various digital content industries based on Internet-related technologies has been developing, and they are rated the most valuable business in the nation. Thus the Content Delivery Network (hereafter CDN) environment, has been suggested. The CDN environment is a kind of content delivery technology in the form of distributed processing for high-quality content delivery using high-speed Internet connections. Such’ a CDN environment gives rise to some problems, such as gradual distribution of issue contents, synchronization, and deterioration of service quality due to the high load density of Content Provider(hereafter CP) servers. Accordingly, this thesis proposes the technique of promoting the hit ratio of cache server by applying the policy of transferring the problems of content delivery, synchronization, and high load density of the existing CP server to a cache server. This will improve the service quality of the CDN system and mitigate the overload on the CP servers. It will also decide on replacement contents through implementation of ranking determination based on the request cycle and frequency for the possessed contents and based on the size of the files. By doing this, it will efficiently manage the limited resources of the cache server.

웹 트래픽 분석을 통한 유해 트래픽 탐지

신현준(Hyun-Jun Shin),최일준(Il-Jun Choi),추병균(Byoung-Gyun Chu),오창석(Chang-Suk Oh) 한국컴퓨터정보학회 2007 韓國컴퓨터情報學會論文誌 Vol.12 No.2

웹 서비스 이외의 응용 서비스들이 웹 서비스 TCP/80 포트(Port)의 사용이 크게 증가하면서 이에 대한 보안이 시급한 실정이다. 이 포트를 통해 오가는 트래픽에 대해서는 기존의 트래픽 분석 방법으로는 서비스를 구별하기가 어려웠다. 기존의 프로토콜 및 포트 분석 기반 모니터링 기법으로는 페이로드(Payload)까지 구별 해 내기가 어려워 웹 포트를 사용하는 유해 트래픽에 대한 분석이 취약하다. 이에 본 논문에서는 웹 트래픽 분석을 위하여, 실시간으로 트래픽(Traffic)을 캡처(Capture)하여 웹 트래픽으로 분류하게 된다. 분류된 웹 트래픽을 각 응용 서비스별 세부 분류하여 가중치를 적용 후 유해 트래픽을 탐지 할 수 있도록 방법을 제안하고 구현한다. 기존 탐지에서는 분류하기 어려웠던 웹 트래픽을 정상 트래픽과 유해 트래픽으로 분류하고 탐지 성능을 향상시키는데 본 논문의 목적이 있다. Security of the port TCP/80 has been demanded by reason that the others besides web services have been rapidly increasing use of the port. Existing traffic analysis approaches can't distinguish web services traffic from application services when traffic passes though the port. monitoring method based on protocol and port analysis were weak in analyzing harmful traffic using the web port on account of being unable to distinguish payload. In this paper, we propose a method of detecting harmful traffic by web traffic analysis. To begin, traffic Capture by real time and classify by web traffic. Classed web traffic sorts each application service details and apply weight and detect harmful traffic. Finally, method propose and implement through coding. Therefore have a purpose of these paper to classify existing traffic analysis approaches was difficult web traffic classified normal traffic and harmful traffic and improved performance.

시계열 분석을 이용한 Netflow 기반의 DDoS 공격 탐지

이상일(Sang-Il Lee),김진(Jin Kim),최일준(Il-Jun Choi),오창석(Chang-Suk Oh) 한국정보기술학회 2014 한국정보기술학회논문지 Vol.12 No.5

DDoS attack today increases rapidly for scale since larger detection efficient technique for this is required. Method of detecting DDoS attacks, is divided into two statistical techniques a pattern matching method, a new attack that is not included in the Rule can not be detected, the pattern matching method, attack using statistical techniques when generating a lot of traffic normal user is increased excessively, the detection method is, so that the problem of the faulty judgment aggressive occurs. Therefore, in this paper, is to provide a new method to detect DDoS attacks in the form of a mixture of detection techniques and statistical-based matching technique using time-series data of the pattern. By using the proposed method, compared to the detection method of the existing, performance improves overall detection rate is lowered ah increases, the detection rate of attack was identified was improved.

접속 에이전트 기반 다단계 인증을 이용한 접근 통제 구성

김종원(Jong-Won Kim),최일준(Il-Joon Choi),신현준(Hyun-Jun Shin),오창석(Chang-Suk Oh) 한국정보기술학회 2009 한국정보기술학회논문지 Vol.7 No.4

This paper describes the access control through multi-steps authentication using access agent and the implementation of real-time logging system to cope with illegal behaviors such as information leak or network damage by inner user being increased every day. The implementation plan consists of unified environment of session physically and provides againstinner threatening factors, effective user management, and network fault by session control through inner multi-step authentication and connection relay. In addition, it has a characteristic to provide accountability for auditing information by preparing for real-time logging details per OS.

대학 전산망내의 개인정보보호를 위한 아키텍처

김종원(Jong-Won Kim),최일준(Il-Jun Choi) 한국엔터테인먼트산업학회 2010 한국엔터테인먼트산업학회 학술대회 논문집 Vol.6 No.1

네트워크의 기술의 증가와 더불어 요소 취약점을 이용한 해킹 및 개인정보 유출 등 다양한 인터넷 역기능의 보안 문제가 부각되며, 접근 및 대책 방안이 대두되고 있다. 특히 대학망은 사무를 위한 업무망과 학생 실습, 연구 등을 위한 누구나 접속할 수 있는 다양한 환경으로 이루어져 있다. 이 논문에서는 대학망 내에서의 전사적인 보안 기술 표준과 더불어 개인정보보호 아키텍처 적용에 대한 요소 기술을 살펴보고 구축절차를 제안한다.

사용자 인증과 파라미터 암호화를 이용한 웹 공격 차단 알고리즘

홍성민(Sung-Min Hong),최일준(Il-Jun Choi),추병균  (Byoung-Kyun Chu),오창석(Chang-Suk Oh) 한국엔터테인먼트산업학회 2007 한국엔터테인먼트산업학회논문지 Vol.1 No.-

분산 컴퓨팅 환경에서 패킷 필터링을 통한 DDoS 공격 탐지

심태용(Tae-Yong Shim),최일준(IL-Jun Choi) 한국정보기술학회 2014 Proceedings of KIIT Conference Vol.2014 No.5

본 논문에서는 실시간 패턴 매칭을 이용한 DDoS 공격 탐지를 위해 대용량 데이터 처리가 가능한 분산 컴퓨팅 기반의 패킷 분석 기법을 이용한 향상된 탐지율과 탐지시간을 단축하는 방안을 제안한다. 또한 Hadoop 클러스터 컴퓨팅 파일 시스템으로 구성된 각각의 컴퓨터 노드를 고속의 이더넷으로 연결하여 구성하고 패킷 캡쳐를 이용하여 실시간 수집된 패킷을 필드 별로 분해하여 각각의 필드 정보를 MapReduce 함수를 이용하여 병렬로 구성하며 미리 정의된 룰 파일을 고속으로 패턴 매칭하여 공격 여부를 판단한다. 또한 정의되지 않은 공격 탐지를 위해 IP Address를 기준으로 접근 로그를 수집하고 수집된 정보를 기반으로 이상 탐지 기법을 제안한다. In this paper, pattern matching using real-time detection of DDoS attacks for large data processing techniques for analysis of distributed computing using packet-based enhanced detection rate and detection scheme is proposed to shorten the time. Also, Hadoop clustered computing system consists of a file of each computer node, and to configure a high-speed Ethernet connection using a real time packet capturing packets collected by decomposing each field by the field information MapReduce parallel function is used to constitute the Speed of predefined rule files judges whether or not an attack by a pattern matching. In addition to detection of the attack is not defined by IP Address, and the access log to gather the information gathered is proposed based on the anomaly detection.