단어 인식에 있어서 빈도효과 , 단어와 비단어에 대한 효과 그리고 문맥 효과에 대한 신경망적인 해석

문종섭 대한전자공학회 1993 대한전자공학회 학술대회 Vol.1993 No.1

공인전자문서보관소에서 생성되는 로그의 효율적이고 안전한 보관방법에 대한 연구

강신명,문종섭 한국융합보안학회 2009 융합보안 논문지 Vol.9 No.2

우리나라는 전자거래기본법에 의거해 2005년 3월 세계 최초로 공인전자문서보관소 제도를 채택하였다. 이를 통해 전자문서의 등록·보관·유통을 국가가 공인하는 보관소를 통해 이룰 수 있다. 공인전자문서보관소는 이용기관이나 이용자가 등록하는 문서의 보관도 중요하지만 수행한 이력을 안전하게 보관하는 것도 중요하다. 모든 수행 이력에는 공인된 인증서를 이용하여 전자서명을 하도록 되어있지만 그 관리가 어려운 것이 사실이다. 본 논문에서는 공인전자문서보관소 내에서 생성된 전체 로그를 효율적으로 인증할 수 있게 해시 트리를 적용하여 관리하는 기술에 대한 연구를 서술한다. CeDA (Certified e-Document Authority) was adopted in March 2005. It is possible to register/store/send/receive/transfer/revoke e-documents by using trusted third party, CeDA. It is important to store not only e-documents of users but also logs produced by CeDA. Thus all logs must be electronically signed using certificate of CeDA. But management of electronically signed logs is difficult. In this paper, the method which can be applicable to authenticate all logs of CeDA using "Hash Tree" is present.

웹 기반 해운 선사 운영시스템 보안 요구사항 연구

정업,문종섭 한국인터넷정보학회 2022 인터넷정보학회논문지 Vol.23 No.1

해운 선사의 운영시스템은 주전산기를 이용한 단말기 접속 환경 또는 클라이언트/서버 구조의 환경을 유지하고 있는 경우가 아직많으며, 웹서버 및 웹 애플리케이션 서버를 이용한 웹 기반 환경으로의 전환을 고려하는 해운 선사가 증가하고 있다. 그런데 전환과정에서, 기존 구성 방식과 지식을 바탕으로 웹 기반 환경의 특성 및 해운 업무의 특성을 고려하지 않고 설계를 진행하는 경우, 다양한 보안상 취약점이 실제 시스템 운영 단계에서 드러나게 되고, 이는 시스템 유지보수 비용의 증가를 초래하게 된다. 그러므로웹 기반 환경으로의 전환 시에는, 시스템 안전성 확보 및 보안 관련 유지보수 비용 절감을 위해 설계 단계에서부터 반드시 보안을고려한 설계가 진행되어야 한다. 본 논문에서는 다양한 위협 모델링 기법의 특성을 살펴보고, 해운 선사 운영시스템에 적합한 모델링 기법을 선정한 후, 데이터 흐름도와 STRIDE 위협 모델링 기법을 해운 선사 업무에 적용하여, 데이터 흐름도의 각 구성 요소에서발생 가능한 보안 위협을 공격자 관점에서 도출하고, 공격 라이브러리 항목과의 매핑을 통해 도출된 위협의 타당성을 입증한다. 그리고, 이를 이용하여 공격자가 최종목표 달성을 위해 시도할 수 있는 다양한 공격 시나리오를 공격 트리로 나타내고, 보안 점검 사항과 관련 위협 및 보안 요구사항을 체크리스트로 구성한 후, 최종적으로 도출된 위협에 대응할 수 있는 23개의 보안 요구사항을 제시한다. 기존의 일반적인 보안 요구사항과는 달리, 본 논문에서 제시하는 보안 요구사항은 해운 선사의 실제 업무를 분석한 후, 여기에위협 모델링 기법을 적용하여 도출된 해운 업무 특성을 반영한 보안 요구사항이므로, 추후 웹 기반 환경으로의 전환을 추진하는 해운 선사들의 보안 설계에 많은 도움이 될 것으로 생각한다. The operation system of a shipping company is still maintaining the mainframe based terminal access environment or the client/server based environment. Nowadays shipping companies that try to migrate it into a web-based environment are increasing. However, in the transition, if the design is processed by the old configuration and knowledge without considering the characteristics of the web-based environment and shipping business, various security vulnerabilities will be revealed at the actual system operation stage, and system maintenance costs to fix them will increase significantly. Therefore, in the transition to a web-based environment, a security design must be carried out from the design stage to ensure system safety and to reduce security-related maintenance costs in the future. This paper examines the characteristics of various threat modeling techniques, selects suitable modeling technique for the operation system of a shipping company, applies data flow diagram and STRIDE threat modeling technique to shipping business, derives possible security threats from each component of the data flow diagram in the attacker's point of view, validates the derived threats by mapping them with attack library items, represents the attack tree having various attack scenarios that attackers can attempt to achieve their final goals, organizes into the checklist that has security check items, associated threats and security requirements, and finally presents 23 security requirements that can respond to threats. Unlike the existing general security requirements, the security requirements presented in this paper reflect the characteristics of shipping business because they are derived by analyzing the actual business of a shipping company and applying threat modeling technique. Therefore, I think that the presented security requirements will be of great help in the security design of shipping companies that are trying to proceed with the transition to a web-based environment in the future.

어플리케이션의 가상 메모리 보호를 위한 연구

김동율,문종섭,Kim, Dong-Ryul,Moon, Jong-sub 대한임베디드공학회 2016 대한임베디드공학회논문지 Vol.11 No.6

As information technology advances rapidly, various smart devices are becoming an essential element in our lives. Smart devices are providing services to users through applications up on the operating system. Operating systems have a variety of rules, such as scheduling applications and controlling hardwares. Among those rules, it is significant to protect private information in the information-oriented society. Therefore, isolation task, that makes certain memory space separated for each application, should highly be guaranteed. However, modern operating system offers the function to access the memory space from other applications for the sake of debugging. If this ability is misused, private information can be leaked or modified. Even though the access authority to memory is strictly managed, there exist cases found exploited. In this paper, we analyze the problems of the function provided in the Android environment that is the most popular and opened operating system. Also, we discuss how to avoid such kind of problems and verify with experiments.

최적화 컴파일된 자바스크립트 함수에 대한 최적화 해제 회피를 이용하는 런타임 가드 커버리지 유도 퍼저

김홍교,문종섭 한국정보보호학회 2020 정보보호학회논문지 Vol.30 No.3

The JavaScript engine is a module that receives JavaScript code as input and processes it, among many functions that areloaded into web browsers and display web pages. Many fuzzing test studies have been conducted as vulnerabilities inJavaScript engines could threaten the system security of end-users running JavaScript through browsers. Some of them haveincreased fuzzing efficiency by guiding test coverage in JavaScript engines, but no coverage guided fuzzing of optimized,dynamically generated machine code was attempted. Optimized JavaScript codes are difficult to perform sufficient iterativetesting through fuzzing due to the function of runtime guards to free the code in the event of exceptional control flow. Tosolve these problems, this paper proposes a method of performing fuzzing tests on optimized machine code by avoidingdeoptimization. In addition, we propose a method to measure the coverage of runtime-guards by the dynamic binaryinstrumentation and to guide increment of runtime-guard coverage. In our experiment, our method has outperformed theexisting method at two measures: runtime coverage and iteration by time. 자바스크립트 엔진은 주로 웹 브라우저에 적재되어 웹 페이지를 표시하는 여러 기능 중 자바스크립트 코드를 입력으로 받아 처리하는 모듈이다. 자바스크립트 엔진 내 취약점은 종단 사용자의 시스템 보안을 위협할 수 있어 많은퍼징 테스트 연구가 수행되었다. 그중 일부 연구는 자바스크립트 엔진 내 테스트 커버리지를 유도하는 방식으로 퍼징 효율을 높였으나, 최적화되어 동적으로 생성된 기계어 코드에 대한 커버리지 유도 퍼징은 시도되지 않았다. 최적화된 자바스크립트 코드는 예외적인 흐름 발생 시 코드를 해제하는 런타임 가드의 기능으로 인해 퍼징을 통한 충분한 반복 테스트가 어렵다. 본 논문은 이러한 문제점을 해결하기 위해 최적화 해제를 회피하여 최적화된 기계어 코드에 대해 퍼징 테스트를 수행하는 방법을 제안한다. 또한, 동적 바이너리 계측 방식으로 수행된 런타임 가드의 커버리지를 계측하고 커버리지 증가를 유도하는 방식을 제안한다. 실험을 통해, 본 연구가 제안하는 방식이 런타임 가드커버리지, 시간당 테스트 횟수의 두가지 척도에서 기존의 방식보다 뛰어남을 보인다.

Variational Autoencoder를 활용한 필드 기반 그레이 박스 퍼징 방법

이수림,문종섭 한국정보보호학회 2018 정보보호학회논문지 Vol.28 No.6

Fuzzing is one of the software testing techniques that find security flaws by inputting invalid values or arbitrary valuesinto the program and various methods have been suggested to increase the efficiency of such fuzzing. In this paper,focusing on the existence of field with high relevance to coverage and software crash, we propose a new method forintensively fuzzing corresponding field part while performing field based fuzzing. In this case, we use a deep learning modelcalled Variational Autoencoder(VAE) to learn the statistical characteristic of input values measured in high coverage and itshowed that the coverage of the regenerated files are uniformly higher than that of simple variation. It also showed thatnew crash could be found by learning the statistical characteristic of the files in which the crash occurred and applying thedropout during the regeneration. Experimental results showed that the coverage is about 10% higher than the files in thequeue of the AFL fuzzing tool and in the Hwpviewer binary, we found two new crashes using two crashes that found atthe initial fuzzing phase. 퍼징이란 유효하지 않은 값이나 임의의 값을 소프트웨어 프로그램에 입력하여, 보안상의 결함을 찾아내는 소프트웨어 테스팅 기법 중 하나로 이러한 퍼징의 효율성을 높이기 위한 여러 방법들이 제시되어 왔다. 본 논문에서는 필드를 기반으로 퍼징을 수행하면서 커버리지, 소프트웨어 크래쉬와 연관성이 높은 필드가 존재한다는 것에 착안하여,해당 필드 부분을 집중적으로 퍼징하는 새로운 방식을 제안한다. 이 때, Variational Autoencoder(VAE)라는딥 러닝 모델을 사용하여 커버리지가 높게 측정된 입력 값들의 특징을 학습하고, 이를 통해 단순 변이보다 학습된모델을 통해 재생성한 파일들의 커버리지가 균일하게 높다는 것을 보인다. 또한 크래쉬가 발생한 파일들의 특징을학습하고 재생성 시 드롭아웃을 적용하여 변이를 줌으로써 새로운 크래쉬를 발견할 수 있음을 보인다. 실험 결과 커버리지가 퍼징 도구인 AFL의 큐의 파일들보다 약 10% 정도 높은 것을 확인할 수 있었고 Hwpviewer 바이너리에서 초기 퍼징 단계 시 발생한 두 가지의 크래쉬를 사용하여 새로운 크래쉬 두 가지를 더 발견할 수 있었다.

건축 설계제도 도면 이해와 계획 창안 발굴을 위한 모형

권내숙,문종섭 대한공업교육학회 1983 대한공업교육학회지 Vol.8 No.1

블록체인 기반 서비스 환경에서의 개인키 백업 및 복원 프레임워크

윤태연,문종섭 한국디지털콘텐츠학회 2019 한국디지털콘텐츠학회논문지 Vol.20 No.12

Blockchain is a technology that can store and manage data distributed in ledger without central authority. Research is actively conducted to apply blockchain in many applications. However, blockchain technology has no solution in case of losing private keys. Losing private key in your wallet means losing access to all of your data. However, current researches have limitations that some information on the private key can be exposed by some information or full trust in a third party is required. In this paper, we propose a framework for backing up and recovering a private key using blockchain characteristics. Backups are secured by dividing a key to prevent the disclosure of the key information. This Framework utilizes a trusted third party organization with minimization of dependencies and functionality. 블록체인 기술은 중앙기관 없이 데이터를 장부에 분산 저장하여 관리할 수 있는 기술로 많은 응용 분야에서 블록체인 적용을 위한 연구가 활발하게 진행되고 있다. 하지만 블록체인 기술은 개인키 분실에 대한 문제가 존재한다. 개인키를 분실할 경우 자신의 모든 데이터에 대한 접근 권한을 잃게 되므로 개인키 관리가 중점적으로 연구되고 있다. 그러나 기존의 연구는 일부 정보만으로 개인키에 대한 일부 정보가 노출되거나 제3의 기관에 대한 완전한 신뢰가 있어야 하는 한계점이 존재한다. 본 논문에서는 이러한 한계점을 개선하여 블록체인을 이용한 개인키 백업 및 복원 프레임워크를 제안한다. 백업은 개인키 정보 노출 방지를 목적으로 키를 분할하여 안전하게 보관한다. 복원은 신뢰성 있는 제3의 기관을 활용하나 의존성 및 기능을 최소화한다.

STFT와 RNN을 활용한 화자 인증 모델

김민서,문종섭 한국정보보호학회 2019 정보보호학회논문지 Vol.29 No.6

Recently as voice authentication function is installed in the system, it is becoming more important to accuratelyauthenticate speakers. Accordingly, a model for verifying speakers in various ways has been suggested. In this paper, wepropose a new method for verifying speaker verification using a Short-time Fourier Transform(STFT). Unlike the existingMel-Frequency Cepstrum Coefficients(MFCC) extraction method, we used window function with overlap parameter of around66.1%. In this case, the speech characteristics of the speaker with the temporal characteristics are studied using a deeprunning model called RNN (Recurrent Neural Network) with LSTM cell. The accuracy of proposed model is around 92.8%and approximately 5.5% higher than that of the existing speaker certification model. 최근 시스템에 음성 인증 기능이 탑재됨에 따라 화자(Speaker)를 정확하게 인증하는 중요성이 높아지고 있다. 이에 따라 다양한 방법으로 화자를 인증하는 모델이 제시되어 왔다. 본 논문에서는 Short-time Fouriertransform(STFT)를 적용한 새로운 화자 인증 모델을 제안한다. 이 모델은 기존의 Mel-Frequency CepstrumCoefficients(MFCC) 추출 방법과 달리 윈도우 함수를 약 66.1% 오버랩하여 화자 인증 시 정확도를 높일 수 있다. 새로운 화자 인증 모델을 제안한다. 이 때, LSTM 셀을 적용한 Recurrent Neural Network(RNN)라는 딥러닝 모델을 사용하여 시변적 특징을 가지는 화자의 음성 특징을 학습하고, 정확도가 92.8%로 기존의 화자 인증 모델보다 5.5% 정확도가 높게 측정되었다.

적은 양의 데이터에 적용 가능한계층별 데이터 증강 알고리즘

조희찬,문종섭 한국인터넷정보학회 2019 인터넷정보학회논문지 Vol.20 No.6

Data augmentation is a method that increases the amount of data through various algorithms based on a small amount of sample data. When machine learning and deep learning techniques are used to solve real-world problems, there is often a lack of data sets. The lack of data is at greater risk of underfitting and overfitting, in addition to the poor reflection of the characteristics of the set of data when learning a model. Thus, in this paper, through the layer-wise data augmenting method at each layer of deep neural network, the proposed method produces augmented data that is substantially meaningful and shows that the method presented by the paper through experimentation is effective in the learning of the model by measuring whether the method presented by the paper improves classification accuracy. 데이터 증강(Data Augmentation)은 적은 양의 데이터를 바탕으로 다양한 알고리즘을 통해 데이터의 양을 늘리는 기술이다. 현실 문제를 해결하기 위해 기계학습 및 딥러닝 기법을 사용하는 경우, 데이터 셋이 부족한 경우가 많다. 데이터의 부족은 모델 학습 시, 데이터 셋의 특징을 잘 반영하지 못하는 것 이외에도 과소적합 및 과적합에 빠질 위험이 크다. 따라서 본 논문에서는 오토인코더와 고유값 분해를 기반으로 하는 데이터 증강 기법을 통해 데이터를 증강 시키고 이를 심층 신경망의 각 층 마다 적용하여, 심층 신경망을 효과적으로 사전 학습하는 방법을 제시한다. 이후, WOBC 데이터와 WDBC 데이터에 대해 실험을 통하여 논문에서 제안하는 방법이 분류 정확도를 향상시키는지 측정하고 기존 연구들과 비교함으로써 제안한 방법이 실질적으로 의미가 있는 데이터를 생성하고 모델의 학습에 효과적임을 보인다.