고속 정적 분석 방법을 이용한 폴리모픽 웹 탐지

오진태,김대원,김익균,장종수,전용희,Oh, Jin-Tae,Kim, Dae-Won,Kim, Ik-Kyun,Jang, Jong-Soo,Jeon, Yong-Hee 한국정보보호학회 2009 정보보호학회논문지 Vol.19 No.4

통신망을 통하여 자동적으로 확산되는 악성 프로그램인 웜에 대응하기 위하여, 웜 관련 패킷들을 분석하여 시그니처를 생성하여 웹을 탐지하는 방법들이 많이 사용되고 있다. 그러나 이런 시그니처-기반 탐지 기법을 회피하기 위하여, 변형된 폴리모픽 형태의 공격 코드 사용이 점차 증가하고 있다. 본 논문에서는 폴리모픽 공격 코드의 복호화 루틴을 탐지하기 위한 새로운 정적 분석 방법을 제안한다. 제안된 방법은 통신망 플로에서 폴리모픽 공격 코드에 함께 포함되어 암호화된 원본 코드를 복호화하는 역할을 수행하는 코드 루틴을 탐지한다. 실험 결과를 통하여 제안된 방법이 정적 분석 방지 기법들이 사용된 폴리모팍 코드들도 탐지할 수 있는 것을 보여준다. 또한 처리 성능에서 에뮬레이션 기반 분석 방법보다 효율적인 것으로 나타났다. In order to respond against worms which are malicious programs automatically spreading across communication networks, worm detection approach by generating signatures resulting from analyzing worm-related packets is being mostly used. However, to avoid such signature-based detection techniques, usage of exploits employing mutated polymorphic types are becoming more prevalent. In this paper, we propose a novel static analysis approach for detecting the decryption routine of polymorphic exploit code, Our approach detects a code routine for performing the decryption of the encrypted original code which are contained with the polymorphic exploit code within the network flows. The experiment results show that our approach can detect polymorphic exploit codes in which the static analysis resistant techniques are used. It is also revealed that our approach is more efficient than the emulation-based approach in the processing performance.

A Novel Application-Layer DDoS Attack Detection A1gorithm based on Client Intention

오진태,박동규,장종수,류재철,Oh, Jin-Tae,Park, Dong-Gue,Jang, Jong-Soo,Ryou, Jea-Cheol Korea Institute of Information Security and Crypto 2011 정보보호학회논문지 Vol.21 No.1

서버의 응용계층에 대한 DDoS 공격은 매우 적은 량의 패킷으로 효과적인 공격이 가능하며, 공격 트래픽이 정상 트래픽과 유사하여 탐지가 매우 어렵다. 하지만 HTTP 응용계층 공격 트래픽에는 사용자 의도에 의한 특성이 있음을 찾았다. 정상 사용자와 DDoS 공격자는 동일하게 TCP 계층에서 세션을 맺는다. 이후 최소 한번의 HTTP Get 요구 패킷을 발생한다. 정상적인 HTTP 요구는 서버의 응답을 기다리지만 공격자는 Get 요청 직후 세션을 종료한다. 이러한 행위는 사용자 의도에 의한 차이로 해석할 수 있다. 본 논문에서는 이러한 차이를 기반으로 응용계층 분산서비스 거부 공격 탐지 알고리즘을 제안하였다. 제안된 알고리즘은 정상 네트워크와 봇 기반 분산서비스거부 공격 툴에서 발생한 트래픽으로 실험되었으며, 거의 오탐 없이 HTTP-Get 공격을 탐지함을 보여 주였다. An application-layer attack can effectively achieve its objective with a small amount of traffic, and detection is difficult because the traffic type is very similar to that of legitimate users. We have discovered a unique characteristic that is produced by a difference in client intention: Both a legitimate user and DDoS attacker establish a session through a 3-way handshake over the TCP/IP layer. After a connection is established, they request at least one HTTP service by a Get request packet. The legitimate HTTP user waits for the server's response. However, an attacker tries to terminate the existing session right after the Get request. These different actions can be interpreted as a difference in client intention. In this paper, we propose a detection algorithm for application layer DDoS attacks based on this difference. The proposed algorithm was simulated using traffic dump files that were taken from normal user networks and Botnet-based attack tools. The test results showed that the algorithm can detect an HTTP-Get flooding attack with almost zero false alarms.

다중 채널 그룹 ATM 스위치의 연결 테이블 최적화

오진태(Jin Tae Oh),김협종(Hyup Jong Kim) 한국정보과학회 1997 한국정보과학회 학술발표논문집 Vol.1997 No.4

사용자 의도 기반 응용계층 DDoS 공격 탐지 알고리즘

오진태(Jin-tae Oh),박동규(Dong-gue Park),장종수(Jong-soo Jang),류재철(Jeacheol Ryou) 한국정보보호학회 2011 정보보호학회논문지 Vol.21 No.1

서버의 응용계층애 대한 DDoS 공격은 매우 적은 량의 패킷으로 효과적인 공격이 가능하며, 공격 트래픽이 정상 트래픽과 유사하여 탐지가 매우 어렵다. 하지만 HTTP 응용계층 공격 트래픽에는 사용자 의도에 의한 특성이 있음을 찾았다. 정상 사용자와 DDoS 공격자는 동일하게 TCP 계층에서 세션을 맺는다. 이후 최소 한번의 HTTP Get 요구 패킷을 발생한다. 정상적인 HTTP 요구는 서버의 응답을 기다리지만 공격자는 Get 요청 직후 세션을 종료한다. 이러한 행위는 사용자 의도에 의한 차이로 해석할 수 있다. 본 논문에서는 이러한 차이를 기반으로 응용계층 분산서비스 거부 공격 탐지 알고리즘을 재안하였다. 제안된 알고리즘은 정상 네트워크와 봇 기반 분산서비스거부 공격 툴에서 발생한 트래픽으로 실험되었으며, 거의 오탐 없이 HTTP-Get 공격을 탐지함을 보여 주었다. An application-layer attack can effectively achieve its objective with a small amount of traffic, and detection is difficult because the traffic type is very similar to that of legitimate users. We have discovered a unique characteristic that is produced by a difference in client intention: Both a legitimate user and DDoS attacker establish a session through a 3-way handshake over the TCP/IP layer. After a connection is established, they request at least one HTTP service by a Get request packet. The legitimate HlTP user waits for the server's response. However, an attacker tries to terminate the existing session right after the Get request. Thcse different actions can be interpreted as a diffcrence in client intention. In this paper, we propose a detection algorithm for application layer DDoS attacks based on this difference. The proposed algorithm was simulated using traffic dump files that were taken from normal user networks and Botnet-based attack tools. Thc test results showed that the algorithm can detect an HTTP-Get flooding attack with almost zero false alarms.

고속 정적 분석 방법을 이용한 폴리모픽 웜 탐지

오진태(Jin-tae Oh),김대원(Dae-won Kim),김익균(Ik-kyun Kim),장종수(Jong-soo Jang),전용희(Yong-hee Jeon) 한국정보보호학회 2009 정보보호학회논문지 Vol.19 No.4

통신망을 통하여 자동적으로 확산되는 악성 프로그램인 웜에 대응하기 위하여, 웜 관련 패킷들을 분석하여 시그니처를 생성하여 웜을 탐지하는 방법들이 많이 사용되고 있다. 그러나 이런 시그니처-기반 탐지 기법을 회피하기 위하여, 변형된 폴리모픽 형태의 공격 코드 사용이 점차 증가하고 있다. 본 논문에서는 폴리모픽 공격 코드의 복호화 루틴을 탐지하기 위한 새로운 정적 분석 방법을 제안한다. 제안된 방법은 통신망 플로에서 폴리모픽 공격 코드에 함께 포함되어 암호화된 원본 코드를 복호화하는 역할을 수행하는 코드 루틴을 탐지한다. 실험 결과를 통하여 제안된 방법이 정적 분석 방지 기법들이 사용된 폴리모픽 코드들도 탐지할 수 있는 것을 보여준다. 또한 처리 성능에서 에뮬레이션 기반 분석 방법보다 효율적인 것으로 나타났다. In order to respond against worms which are malicious programs automatically spreading across communication networks, worm detection approach by generating signatures resulting from analyzing worm-related packets is being mostly used. However, to avoid such signature-based detection techniques, usage of exploits employing mutated polymorphic types are becoming more prevalent. In this paper, we propose a novel static analysis approach for detecting the decryption routine of polymorphic exploit code. Our approach detects a code routine for performing the decryption of the encrypted original code which are contained with the polymorphic exploit code within the network flows. The experiment results show that our approach can detect polymorphic exploit codes in which the static analysis resistant techniques are used. It is also revealed that our approach is more efficient than the emulation-based approach in the processing performance.

네트워크 대역폭 고갈 공격에 대한 정책 기반 재구성 가능 대역폭제어기

박상길,오진태,김기영,Park Sang-kil,Oh Jin-tae,Kim Ki-young 한국정보처리학회 2004 정보처리학회논문지 C : 정보통신,정보보안 Vol.11 No.7

초고속 인터넷 망등의 국내 인터넷의 저변확대로 인해 전자상거래, 인터넷뱅킹, 전자정부, 이메일등 의 많은 서비스와 다양한 정보의 보고로서 인터넷이 사용되고 있다. 근래에는 가상생환환경의 제공과 멀티미디어 서비스를 제공하고자 새로운 미래형 네트워크인 NGN(Next Gener-ation Network)로서 발전하고 있다. 인터넷은 원격지에서도 원하는 정보를 취득할 수 있는 장점이 있는데, 반대 급부로서 상대방의 정보를 허가없이 몰래 추출, 변조하거나 서비스를 제공하는 경쟁사의 서버를 다운시키는 등의 공격이 증대되고 있다. 2000년부터 님다(Nimda) 바이러스, 코드레드(Code Red) 바이러스, 분산서비스 거부 공격(DDoS : Distributed Denial of Service)이 인터넷 전반에 걸쳐 수행되어 네트워크의 사용을 불편하게 하며, 내부 네트워크 트래픽의 비정상적인 증가를 수반했다. 이러한 대역폭 고갈 침해공격에 대하여 네트워크의 유입점에 위치하는 게이트웨이 시스템에 기가비트 이더넷 인터페이스를 갖는 보안네트워크 카드에 재구성 가능한 하드웨어 기능을 제공 가능한 FPGA (Field Programmable Gate Arrart)상에 대역폭 재어기능인 폴리싱(Policing)을 구현한다. Nowadays NGN is developed for supporting the e-Commerce, Internet trading, e-Government, e-mail, virtual-life and multimedia. Internet gives us the benefit of remote access to the information but causes the attacks that can break server and modify information. Since 2000 Nimda, Code Red Virus and DSoS attacks are spreaded in Internet. This attack programs make tremendous traffic packets on the Internet. In this paper, we designed and developed the Bandwidth Controller in the gateway systems against the bandwidth saturation attacks. This Bandwidth con-troller is implemented in hardware chipset(FPGA) Virtex II Pro which is produced by Xilinx and acts as a policing function. We reference the TBF(Token Bucket Filter) in Linux Kernel 2.4 and implemented this function in HDL(Hardware Description Language) Verilog. This HDL code is synthesized in hardware chipset and performs the gigabit traffic in real time. This policing function can throttle the traffic at the rate of band width controlling policy in bps speed.

네트워크 트래픽 분포 엔트로피를 이용한 비정상행위 탐지 방법

강구홍,오진태,장종수,Kang Koo-Hong,Oh Jin-Tae,Jang Jong-Soo 한국정보처리학회 2006 정보처리학회논문지 C : 정보통신,정보보안 Vol.13 No.3

악의적인 네트워크 트래픽은 흔히 공격의 성질을 구체적으로 알지 않고서도 평상시 트래픽과 구별된다. 본 논문에서는 네트워크 인바운드 트래픽 분포를 이용해 네트워크 트래픽 비정상행위를 탐지하는 방법을 제시한다. 이를 위해 먼저 실제 캠퍼스 네트워크의 트래픽 특성을 프로토콜, 패킷 길이, 목적지 IP/포트 주소, TTL 값, TCP SYN 패킷, 그리고 프래그멘트 패킷 분포 등을 통해 조사하였다. 이렇게 구해진 다양한 베이스라인 트래픽 분포로부터 엔트로피를 계산하고 이를 기준으로 비정상행위를 탐지하는 방법을 제시하였다. 특히 본 논문에서는 잘 알려진 서비스거부공격을 실제 캠퍼스 네트워크를 대상으로 실시하였고 그 결과를 제시함으로서 제안된 기법의 타당성을 검증하였다. Hostile network traffic is often different from normal traffic in ways that can be distinguished without knowing the exact nature of the attack. In this paper, we propose a new anomaly detection method using inbound network traffic distributions. For this purpose, we first characterize the traffic of a real campus network by the distributions of IP protocols, packet length, destination IP/port addresses, TTL value, TCP SYN packet, and fragment packet. And then we introduce the concept of entropy to transform the obtained baseline traffic distributions into manageable values. Finally, we can detect the anomalies by the difference of entropies between the current and baseline distributions. In particular, we apply the well-known denial-of-service attacks to a real campus network and show the experimental results.

PON 기반 블록체인의 고속 동기화 연구

김동오 ( Dong-oh Kim ),오진태 ( Jin-tae Oh ),김기영 ( Ki-young Kim ) 한국정보처리학회 2021 한국정보처리학회 학술대회논문집 Vol.28 No.2

블록체인은 모든 참여자가 동일한 원장을 유지하는 분산 원장 기술로써, 신규로 참여하는 블록체인 노드는 원장을 동일하게 유지하기 위한 동기화 절차를 거쳐야 한다. 일반적으로, 동기화는 블록체인 상의 모든 블록을 순차적으로 적용하는 과정을 거처야 함으로 많은 시간이 걸리게 된다. 본 논문에서는 ETRI에서 자체 개발한 PON 기반 블록체인에서 동기화 성능을 개선하기 위해 비잔틴 환경에서 병렬적으로 동기화 요청하는 고속 병렬 동기화 모드와 최신 상태만 동기화하는 최신 상태 동기화 모드를 개발하였다. 성능 평가 결과 100,000 개 블록 동기화시 고속 병렬 동기화 모드가 기본 동기화 대비 5 배, 최신 상태 동기화 모드가 기본 동기화 대비 880 배 빠른 것을 확인하였다.

ALADDIN의 어플리케이션 계층 공격 탐지 블록 ALAB 알고리즘의 최적 임계값 도출 및 알고리즘 확장

유승엽,박동규,오진태,전인오,Yoo, Seung-Yeop,Park, Dong-Gue,Oh, Jin-Tae,Jeon, In-Ho 한국정보처리학회 2011 정보처리학회논문지 C : 정보통신,정보보안 Vol.18 No.3

악성 봇넷은 DDoS(Distributed Denial of Service) 공격이나 각종 스팸 메시지 발송, 개인 정보 탈취, 클릭 사기 등 많은 악성 행위에 이용되고 있다. 이를 방지하기 위해 많은 연구가 선행되었지만 악성 봇넷 또한 진화하여 탐지 시스템을 회피하고 있다. 특히 최근에는 어플리케이션 계층의 취약성을 공략한 HTTP GET 공격이 주로 사용되고 있다. 한국전자통신연구원에서 개발한 ALADDIN 시스템의 ALAB(Application Layer Attack detection Block)는 서비스 거부 공격 HTTP GET, Incomplete GET Request flooding 공격을 탐지하는 알고리즘이 적용된 탐지 시스템이다. 본 논문에서는 ALAB 탐지 알고리즘의 Incomplete GET 탐지 알고리즘을 확장하고 장기간 조사한 정상적인 패킷 및 공격 패킷들의 분석을 통해 최적 threshold를 도출하여 ALAB 알고리즘의 유효성을 검증한다. Malicious botnet has been used for more malicious activities, such as DDoS attacks, sending spam messages, steal personal information, etc. To prevent this, many studies have been preceded. But malicious botnets have evolved and evaded detection systems. In particular, HTTP GET Request attack that exploits the vulnerability of the application layer is used. ALAB of ALADDIN proposed by ETRI is DDoS attack detection system that HTTP GET, Incomplete GET request flooding attack detection algorithm is applied. In this paper, we extend Incomplete GET detection algorithm of ALAB and derive the optimal configuration parameters to verify the validity of the algorithm ALAB by the study of the normal and attack packets.

비대칭 블록체인 시스템에 관한 연구

임종철(Yim Jong Choul),오진태(Oh Jin Tae) 한국통신학회 2021 한국통신학회 학술대회논문집 Vol.2021 No.11

본 논문은 빠른 트랜잭션 처리 성능과 서비스 수준 보장이라는 측면에서 장점을 가진 허가형 블록체인에 임의의 퍼블릭 노드가 블록 생성에 참여하는 것을 허용하는 방식으로 탈중앙화을 가미함으로써 투명성과 조작 불가라는 속성을 갖춘 비대칭 블록체인 시스템을 제시한다. 특히 제시한 구조는 견제와 감시가 필요한 공공 서비스용 블록체인 시스템을 구현하는데 유용할 것으로 기대한다.