분산 서비스거부 공격 탐지를 위한 데이타 마이닝 기법

김미희(Mihui Kim),나현정(Hyunjung Na),채기준(Kijoon Chae),방효찬(Hyochan Bang),나중찬(Jungchan Na) 한국정보과학회 2005 정보과학회논문지 : 정보통신 Vol.32 No.3

최근 분산 서비스거부 공격에 대한 피해사례가 증가하면서 빠른 탐지와 적절한 대응 메커니즘에 대한 필요성이 대두되었다. 그러나 지금까지 제안된 기존 보안 메커니즘은 이러한 공격들에 대해 충분한 대응책을 제공하지 못하고, 일부 공격에만 유효하거나 공격의 일부 변형에도 취약점을 갖고 있다. 그러므로 본 논문에서는 최신의 분산 서비스거부 공격 유형을 잘 분류해 낼 수 있고, 기존 공격의 변형이나 새로운 공격에도 탐지 가능하도록 데이타 마이닝 기법을 이용한 탐지 구조를 제안한다. 이 탐지 구조는 이미 발견된 공격을 유형별로 분류할 수 있도록 모델링하는 오용탐지모듈과, 공격의 일반적인 특성을 이용하여 새로운 유형의 공격을 발견할 수 있도록 모델링하는 이상탐지모듈로 구성되어 있다. 이렇게 오프라인으로 생성된 탐지 모델을 통해 실시간 트래픽 데이타를 이용한 탐지 구조를 갖고 있다. 본 논문에서는 실제 네트워크의 상황을 잘 반영시켜 모델링을 하고 시험하기 위해 실제 네트워크에서 사용중인 액세스 라우터에서 NetFlow 데이타를 수집하여 이용하였다. NetFlow는 많은 전처리 과정 없이 플로우 기반의 통계 정보를 제공하므로 분산 서비스거부 공격 분석에 유용한 정보를 제공한다. 또한 공격 트래픽을 수집하기 위하여 잘 알려진 공격 툴을 이용하여 실제 공격 트래픽에 대한 해당 액세스 라우터에서의 공격 NetFlow 데이타를 수집하였다. 시험 결과, 이러한 트래픽을 이용하여 두가지 데이타 마이닝 기법을 결합한 오용탐지모듈의 높은 탐지율을 얻을 수 있었고, 새로운 공격에 대한 이상탐지모듈의 탐지 가능성을 입증할 수 있었다. Recently, as the serious damage caused by DDoS attacks increases, the rapid detection and the proper response mechanisms are urgent. However, existing security mechanisms do not effectively defend against these attacks, or the defense capability of some mechanisms is only limited to specific DDoS attacks. In this paper, we propose a detection architecture against DDoS attack using data mining technology that can classify the latest types of DDoS attack, and can detect the modification of existing attacks as well as the novel attacks. This architecture consists of a Misuse Detection Module modeling to classify the existing attacks, and an Anomaly Detection Module modeling to detect the novel attacks. And it utilizes the off-line generated models in order to detect the DDoS attack using the real-time traffic. We gathered the NetFlow data generated at an access router of our network in order to model the real network traffic and test it. The NetFlow provides the useful flow-based statistical information without tremendous preprocessing. Also, we mounted the well-known DDoS attack tools to gather the attack traffic. And then, our experimental results show that our approach can provide the outstanding performance against existing attacks, and provide the possibility of detection against the novel attack.

무선랜 환경에서 AP 로드 밸런싱을 위한 AP-개시 플로우 리다이렉션 메커니즘

김미희 ( Mihui Kim ),채기준 ( Kijoon Chae ) 한국인터넷정보학회 2009 인터넷정보학회논문지 Vol.10 No.2

IEEE802.11 무선랜은 공항과 같은 공공의 장소에서 널리 사용되고 있으며 캠퍼스나 회사의 네트워킹 영역을 증대하고 있고, 최근 메쉬 네트워크나 다른 3세대 이동 통신 네트워크과의 통합 형태의 네트워크를 구성하기 위한 중요 기술로 주목 받고있다. 무선랜 환경에서의 액세스 포인트 (AP) 간 로드 밸런싱 문제는 효율적인 자원 관리나 트래픽의 QoS 지원을 위해 중요한 문제이지만, 기존 연구들에서는 노드가 네트워크에 진입하는 시점이나 로밍 시점에 로드 밸런싱을 위한 AP 선택에 초점을 맞추고 있다. 본 논문에서는 AP의 가용성 모니터링을 통해 진정한 의미의 로드 밸런싱을 위한 AP-개시 플로우 리다이렉션 메커니즘을 제안한다. AP 자신의 가용자원이 거의 사용하게 되면, 즉 특정 임계치 이상 사용하게 되면, 자신이 서비스하고 있는 노드가 로밍 가능한 이웃 AP들에게 그들의 가용자원에 관하여 쿼리를 하여 entropy나 chi-square와 같은 통계적인 방법을 이용하여 AP 간 트래픽 분포도에 대해 계산하고, 리다이렉트할 플로우들을 결정하여 선택된 노드들을 트리거하여 플로우 리다이렉션을 수행한다. 시뮬레이션 결과, 제안된 플로우 리다이렉션 메커니즘이 다양한 측면에서의 성능향상을 입증할 수 있었다. IEEE802.11 Wireless LAN (WLAN) is being widely used in public space such as airport, and increases the networking boundary in campus and enterprise, and it has lastly attracted considerable attention for mesh network and converged network with other 3G mobile communication networks. In WLAN, load balancing among Access Points (AP) is an important issue for efficient resource management or supporting the Quality of Service (QoS) of traffic, but most researches focused on the AP selection in network entry or roaming of Stations (STA). In this paper, we propose an AP-Initiated Flow Redirection (FR) for AP load balancing by monitoring AP`s availability in the true sense. When the AP`s resource becomes almost saturated, that is used more than a specific threshold, the AP queries the roaming possible neighbor APs about their availability and calculates the distribution of traffic load with statistical methods such as entropy or chi-square. Finally, the AP decides flows and new APs for redirection and performs it. Our simulation results show that our FR mechanism increases the performance in the various views.

소셜 빅데이터 마이닝 기반 실시간 랜섬웨어 전파 감지 시스템

김미희 ( Mihui Kim ),윤준혁 ( Junhyeok Yun ) 한국정보처리학회 2018 정보처리학회논문지. 컴퓨터 및 통신시스템 Vol.7 No.10

Ransomware, a malicious software that requires a ransom by encrypting a file, is becoming more threatening with its rapid propagation and intelligence. Rapid detection and risk analysis are required, but real-time analysis and reporting are lacking. In this paper, we propose a ransomware infection detection system using social big data mining technology to enable real-time analysis. The system analyzes the twitter stream in real time and crawls tweets with keywords related to ransomware. It also extracts keywords related to ransomware by crawling the news server through the news feed parser and extracts news or statistical data on the servers of the security company or search engine. The collected data is analyzed by data mining algorithms. By comparing the number of related tweets, google trends (statistical information), and articles related wannacry and locky ransomware infection spreading in 2017, we show that our system has the possibility of ransomware infection detection using tweets. Moreover, the performance of proposed system is shown through entropy and chi-square analysis.

블록체인 기반 안전한 사물인터넷 장치 관리 시스템 구현

김미희(Mihui Kim),김영민(Youngmin Kim) 한국전기전자학회 2019 전기전자학회논문지 Vol.23 No.4

많은 수의 다양한 기기로 구성된 사물인터넷(Internet of Things, IoT)의 기기 관리를 위해서 안전하고 자동으로 강화하는 방법을 강구하고 있다. 블록체인은 자율 실행 방식의 ‘스마트 컨트랙트’ 요소로 중재자 없이 빠르게 데이터를 교환하고 IoT 디바이스 간 프로세스를 안전하고 자동으로 관리할 수 있는 방안으로 대두되고 있다. 본 논문에서는 선행연구로서 제안한 DPoS(Distributed Proof of Stake) 체계인 EOSIO 기반 블록체인 구조를 바탕으로 블록체인 플랫폼과 상호작용 하는 사용자 응용 DApp(Decentralized Application)과 실제 IoT 기기(라즈베리파이 기반 기기, 스마트 램프)를 포함하여 전체 시스템의 프로토타입을 구현한다. 시스템의 이점을 분석하고, 시간적 측면의 오버헤드를 측정하여 본 시스템의 실현 가능성 보이고자 한다. To manage the Internet of Things(IoT) Network, which consists of a large number of various devices, a secure and automatic method of strengthening the IoT network is being proposed. Blockchain has a "smart contract" element of autonomous execution method, which is emerging as a way to not only exchange data quickly without mediators but also securely and automatically manage processes between IoT devices. In this paper, we implement a prototype of the entire IoT device management system based on the EOSIO with DPoS(Distributed Proof of Stake)-based blockchain structure, proposed as a prior study, including the user application DApp(Decentralized Application) and the actual IoT devices (Raspberry Pi-based device, and smart lamp) that interact with the blockchain platform. We analyze the benefits of the system and measure the time overhead to show the feasibility of the system.

스마트그리드 네트워크에서 가용성 보장 메커니즘에 관한 연구

김미희(Mihui Kim) 한국정보보호학회 2013 정보보호학회논문지 Vol.23 No.2

최근 전력 수요의 급증으로 인한 전력난은 효율적 전력 사용을 위한 스마트그리드 기술의 중요성을 부각시키고 있다. 스마트그리드 네트워크의 필수구성요소인 스마트미터기의 가용성 취약점에 대한 실험적 내용이 보고되고 있다. 따라서 안전한 스마트그리드의 실현가능성을 위한 가용성 보호 메커니즘 고안이 필수불가결하다. 본 논문에서는 스마트그리드 구조 및 트래픽패턴의 특징 분석을 통해 스마트미터기에 대한 가용성 침해 공격을 탐지하고, 이상 트래픽을 발생하는 공격노드를 검출할 수 있는 메커니즘을 제안한다. 제안하는 탐지 메커니즘은 공격 탐지를 수행하는 시스템의 탐지 부하를 줄이고 적은 샘플 수에도 높은 탐지율을 제공하기 위해 근사엔트로피 기법을 사용한다. 또한 공격노드가 공격트래픽에서 변경할 수 없는 물리정보(CIR 또는 RSSI 등)를 이용하여 공격 탐지 및 공격노드 검출을 수행한다. 마지막으로 본 논문 제안 기법에 대한 시뮬레이션 결과, 탐지 성능과 실현가능성을 보인다. The recent power shortages due to surge in demand for electricity highlights the importance of smart grid technologies for efficient use of power. The experimental content for vulnerability against availability of smart meter, an essential component in smart grid networks, has been reported. Designing availability protection mechanism to boost the realization possibilities of the secure smart grid is essential. In this paper, we propose a mechanism to detect the availability infringement attack for smart meter and also to find anomaly nodes through analyzing smart grid structure and traffic patterns. The proposed detection mechanism uses approximate entropy technique to decrease the detection load and increase the detection rate with few samples and utilizes the signal information(CIR or RSSI, etc.) that the anomaly node can not be changed to find the anomaly nodes. Finally simulation results of proposed method show that the detection performance and the feasibility.

언택트 시대의 국악교육과 인성교육 연계 방안

김미희(Mihui Kim) 한국융합예술치료교육학회 2021 예술과 인간 Vol.7 No.-

본 연구에서는 언택트 시대의 국악교육과 인성교육 연계 방안을 고찰하기 위해 그간 이루어진 국악교육과 인성교육 연계 관련 논의들을 살펴봄으로서 그 방안을 제시해 보고자 한다. 국악교육과 인성교육 연계 동향을 분석하기 위한 방법으로는 언어로 된 텍스트를 분석 대상으로하여 그 내용을 분석하는 방법인 언어 네트워크분석(language network analysis) 방법을 활용하였다. 그 결과 23편의 연구들이 추출 되었으며 이 연구들을 살펴보니 인성의 교육적 관점 보다는 국악의 가치를 우선시 하는 연구들이 주를 이루었기에 이를 문제점으로 지적했다. 언택트 시대의 국악교육과 인성교육을 연계하기 위해서는 체계적인 교육적 관점과 인성교육의 철학적 접점에 대한 깊이 있는 논의들이 이루어져야 할 것으로 사료된다. In this study, in order to consider the linkage plan between Korean traditional music education and personality education in the untact era, I would like to present the plan by examining discussions related to personality education in Korean traditional music education. As a method for analyzing research trends related to personality education in Korean traditional music education, the language network analysis method, which is a method of analyzing the contents of text in language, was used. As a result, 23 studies were extracted, and when looking at these studies, studies that prioritize the value of Korean traditional music were mainly conducted, pointing out this as a problem. In order to link Korean traditional music education and personality education in the untact era, in-depth discussions on the philosophical contact point between the systematic educational perspective and personality education should be made.

사물인터넷(IoT) 환경에서 프라이버시 보호 기술

김미희(Mihui Kim) 한국콘텐츠학회 2016 한국콘텐츠학회논문지 Vol.16 No.9

물리적인 세계의 모든 사물들이 디지털화되고 통신이 이루어지는 사물인터넷(Internet of Things; IoT) 기술은 새로운 패러다임으로 부각되고 있고 편리하고 효율적인 생활을 제공할 것으로 기대되고 있다. 그러나 성공적인 기술의 실현을 위해서는 IoT 보안이라는 중요한 선결 이슈가 존재하며, 특히 인간과 직접 관계된 사물 통신이라는 점에서 프라이버시 보호는 더욱 중요시 될 것으로 예상된다. 본 논문에서는 IoT 환경에서의 보안과 프라이버시 위협에 대해 기술하고, 쇼단(인터넷에 연결된 라우터, 스위치, 공유기, 웹캠, IoT기기 등을 찾아주는 합법적인 백도어 검색엔진)을 통한 IoT 장비의 보안과 프라이버시 노출 가능성을 지적한다. 마지막으로 현재 많이 사용되고 있는 네트워크 카메라의 실제 사례들을 통해 프라이버시 보안 위협들을 비교하며 대응방안에 대해 기술한다. Internet of Things (IoTs) technology makes every things in physical world being digitalized and communicated with each other. The technology is emerging as a new paradigm and is expected to provide a convenient and effective life. However, for the successful realization of the IoT technologies, IoT security issues are an important prerequisite, and particularly the privacy protection is expected to become more important in view of object communication directively related with human. In this paper we describe for the security and privacy threats in IoT environment and introduce the shodan (a legitimate search engine that finds backdoor routers, switches, webcams, IoT devices connected to the Internet etc.) that can expose the security and privacy problems. Lastly, we compare the privacy threats through real-world case study of network cameras currently in use and finally derive the countermeasures for the threats.

위치공유기반 서비스의 프라이버시 보호 방안의 설계 방향 제시

김미희(Mihui Kim) 한국콘텐츠학회 2015 한국콘텐츠학회논문지 Vol.15 No.2

위치공유기반 서비스(Location-sharing based service)는 사용자가 친구관계를 맺고 있는 다른 사용자와 자신의 위치정보를 공유하는 서비스를 일컫는다. 이 때, 이 위치정보는 서비스 제공자(SP, Service Provider)를 통해 공유되며, 자신의 위치정보는 서비스 제공자에게 노출되게 된다. 이로써 개인의 위치정보가 SP에게 노출되는 프라이버시 문제가 제기되어 왔고, 이를 보호하기 위한 메커니즘들이 제안되었다. 본 논문에서는 위치공유기반 서비스의 종류와 그 특징을 살펴보고, 이를 위한 프라이버시 보호 메커니즘들의 연구 동향을 조사한다. 조사된 기존 메커니즘 분석을 통해, 현 서비스에 적합한 프라이버시 메커니즘 설계 방향 및 향후 연구 방향을 제언한다. Location-sharing based service (LSBS) refers to a service that users share their location information with other users with whom friendship. At this time, the location information is shared through service provider, and then their position information is exposed to the service provider. The exposure of this personal position information to the service provider has raised a privacy problem, and thus privacy preserving mechanisms have been proposed to protect them. In this paper, we examine the types and features of the proposed location-sharing based services so far, and survey the research trend of privacy preserving mechanisms for them. Through the analysis on existing privacy preserving mechanisms, we present design factors for a privacy preserving mechanism for the current LSBS services, and suggest future work.

계층적인 센서 네트워크에서 확장성을 제공하는 분산 키 관리 방법

김미희(Mihui Kim),채기준(Kijoon Chae) 한국정보과학회 2006 한국정보과학회 학술발표논문집 Vol.33 No.1

본 논문에서는 계층적인 센서 네트워크에서 하위 센서 노드의 인증이나 센싱된 정보의 암호화를 위해 사용할 수 있는 키를 관리하기 위하여 키 선분배를 기본으로 키 재분배 방법을 제공하는 키 관리 메커니즘을 제안한다. 본 키 관리의 특징은 첫째, 중앙 관리의 약점을 극복하기 위해 키 관리를 다른 aggregator 노드들에 분산시켰다. 둘째, SINK 노드는 키의 재분배를 위한 키 스페이스를 제외하고, 이미 분배된 키에 대해서는 어느 노드에게 어떤 키를 분배했는지 또는 그 키 자체를 저장하지 않고, 키 계산을 위한 일부 정보만 저장하고 있다가 노드가 메시지에 첨부하여 주는 키 정보를 이용해 사용된 키를 간단히 계산하며, 키 풀의 확장이 용이하여 확장성을 제공한다. 마지막으로 계산 및 메모리 측면에서의 오버헤드 분석을 통해 제안된 키 관리의 확장성 제공을 입증한다.

인지 라디오 네트워크에서 안전한 분산 스펙트럼 센싱을 위한 향상된 평판기반 퓨전 메커니즘

김미희 ( Mihui Kim ),추현승 ( Hyunseung Choo ) 한국인터넷정보학회 2010 인터넷정보학회논문지 Vol.11 No.6

이미 할당된 무선 자원의 고갈과 새로운 무선 서비스에 대한 주파수의 수요 증가는 인지 라디오 기술의 중요성을 부각시키고 있다. 인지 라디오 기술은 기존에 할당되어 사용중인 주파수의 사용 현황을 스캐닝하여 빈 채널 감지 시 해당 채널을 통해 통신하는 개념이다. 이러한 기술을 사용한 인지 라디오 네트워크에서 스펙트럼 센싱의 정확성을 높이고자 다수의 노드에서 센싱하여 종합 판단하는 분산 스펙트럼 센싱 기술이 연구되어 왔다. 그러나 참여하는 센싱노드의 위협 가능성 때문에 해당메커니즘에서의 안전성 보장 기능이 필수적이다. 이에 센싱노드의 평판값(reputation)을 기반으로 WSPRT(weighted sequential probability ratio test)를 적용하여 센싱 결과들을 퓨전하는 RDSS 메커니즘이 제안되었다. 그러나 RDSS에서는 센싱 결과의 입력순서에 따라 WSPRT 수행 횟수가 늘어날 수 있고, 공격 당한 센싱노드의 센싱값에 대해 빠르게 대처할 수 없다는 단점이 있다. 이에 본 논문에서는 평판값이 높은 센싱값부터 우선적으로 WSPRT에 입력하며, 평판값 변화를 트랜드 값으로 계산하고 이를 이용하여 공격가능성을 타진하고 그 가능성이 높은 센싱값인 경우 퓨전에서 배제시켜 빠르게 공격에 대응할 수 있는 메커니즘을 제안한다. 시뮬레이션 결과를 통해 본 논문에서 제안한 메커니즘이 RDSS보다 적은 수의 센싱값을 가지고 보다 정확하게 유휴 채널을 감지하여 공격 대응에 우수한 성능을 제공함을 입증하였다. Spectrum scarcity problem and increasing spectrum demand for new wireless applications have embossed the importance of cognitive radio technology; the technology enables the sharing of channels among secondary (unlicensed) and primary (licensed) users on a non-interference basis after sensing the vacant channel. To enhance the accuracy of sensing, distributed spectrum sensing is proposed. However, it is necessary to provide the robustness against the compromised sensing nodes in the distributed spectrum sensing. RDSS, a fusion mechanism based on the reputation of sensing nodes and WSPRT (weighted sequential probability ratio test), was proposed. However, in RDSS, the execution number of WSPRT could increase according to the order of inputted sensing values, and the fast defense against the forged values is difficult. In this paper, we propose an enhanced fusion mechanism to input the sensing values in reputation order and exclude the sensing values with the high possibility to be compromised, using the trend of reputation variation. We evaluate our mechanism through simulation. The results show that our mechanism improves the robustness against attack with the smaller number of sensing values and more accurate detection ratio than RDSS.