무선 센서 네트워크에서 경계값 결정을 위한 재귀적 계약망 프로토콜의 적용

서희석(Hee-Suk Seo) 한국정보보호학회 2009 정보보호학회논문지 Vol.19 No.4

유비쿼터스 센서 네트워크에서 센서 노드들은 불리한 환경에 배치되므로 공격자에 의해 훼손될 수 있다. 훼손된 노드들은 허위 감지 보고서들을 네트워크에 주입하는데 사용할 수 있는데, 이러한 허위 보고서들은 허위 경보를 유발할 수 있을 뿐만 아니라, 네트워크의 제한된 에너지 자원도 고갈시킬 수 있다. 허위 보고서 여과를 위한 보안 기법들에서, 보안성을 결정하는 보안 경계 값의 선택은 매우 중요하다. 기존의 적응적 보안 기법들에서는 경계 값의 결정이 전체 노드들에게도 적용되어 에너지 자원을 불필요하게 소모하는 문제점을 가진다. 본 논문에서는 충분한 보안성을 제공하면서 에너지를 절약할 수 있는 보안 경계 값 결정을 위하여 재귀적 계약망 프로토콜 적용 기법을 제안한다. 보다 효과적으로 네트워크를 운용하기 위하여, 네트워크를 계층적으로 그룹핑하고, 각 그룹에 대하여 재귀적으로 계약 망 프로토콜이 적용된다. 이를 통해 베이스 스테이션에서 퍼지 로직을 사용하여 결정된 경계 값은 보안 공격이 발생한 지역에 국한되어 적용된다. In ubiquitous sensor networks, sensor nodes can be compromised by an adversary since they are deployed in hostile environments. False sensing reports can be injected into the network through these compromised nodes, which may cause not only false alarms but also the depletion of limited energy resource in the network. In the security solutions for the filtering of false reports, the choice of a security threshold value which determines the security level is important. In the existing adaptive solutions, a newly determined threshold value is broadcasted to the whole nodes, so that extra energy resource may be consumed unnecessarily. In this paper, we propose an application of the recursive contract net protocol to determine the threshold value which can provide both energy efficiency and sufficient security level. To manage the network more efficiently, the network is hierarchically grouped, and the contract net protocol is applied to each group. Through the protocol, the threshold value determined by the base station using a fuzzy logic is applied only where the security attack occurs on.

윈도우 악성코드 분류 방법론의 설계

서희석(Hee-Suk Seo),최중섭(Joong-Sup Choi),주필환(Pill-Hwan Chu) 한국정보보호학회 2009 정보보호학회논문지 Vol.19 No.2

인터넷 기술의 발전과 더불어 다양한 악성코드들이 제작되고 있다. 본 연구에서는 윈도우 환경에서 동작하는 악성코드를 분류하기 위한 방법론을 제시하고 시험용 분류 시스템을 소개한다. 악성코드는 매일 수천 건씩 발생하고 있으며, 이를 체계적으로 분류하여 발견된 바이러스가 기존의 악성코드와 어느 정도 유사한지에 대한 판단기준을 설정할 필요가 있다. 변종인 경우에는 이전 악성코드와의 유사성이 어느 정도인지에 대한 유사도 제시가 필요할 것이다. 이러한 분석은 악성코드 분석가들의 업무 노드를 줄여줄 수 있을 뿐만 아니라, 악성코드 분석가들의 성향에 따라 다르게 분석될 수 있는 오류를 줄여 줄 수 있다. 본 연구에서는 악성코드를 크게 9개의 그룹으로 분류하고, 이를 다시 그룹의 특성이 맞는 여러 개의 클러스터로 구분하였다. 악성코드가 소속되는 각각의 클러스터에서는 기준점을 기반으로 악성코드의 유사도가 계산되며, 이 유사도에 의해서 악성코드 분석가들은 기존의 악성코드와 새로운 악성코드의 유형 및 관련 정도를 파악하게 된다. As the innovative internet technologies and multimedia are being rapidly developed, malicious codes are a remarkable new growth part and supplied by various channel. This project presents a classification methodology for malicious codes in Windows OS (Operating System) environment, develops a test classification system. Thousands of malicious codes are brought in every day. In a result, classification system is needed to analyzers for supporting information which newly brought malicious codes are a new species or a variety. This system provides the similarity for analyzers to judge how much a new species or a variety is different to the known malicious code. It provides to save time and effort, to less a faulty analysis. This research includes the design of classification system and test system. We classify the malicious codes to 9 groups and then 9 groups divide the clusters according to the each property.

분산 환경에서 정책기반 시스템을 적용한 보안 시스템의 모델링 및 시뮬레이션

서희석,Seo, Hee-Suk 한국시뮬레이션학회 2008 한국시뮬레이션학회 논문지 Vol.17 No.2

본 연구에서는 분산인공지능의 한 영역인 블랙보드구조를 통한 침입탐지 에이전트간의 연동 방법에 대해서 소개한다. 연동을 위해서 블랙보드를 사용한 시스템은 쉽게 확장이 가능하여 새로운 에이전트를 추가하기 용이하고, 블랙보드의 레벨을 수정하기 용이하다. 대상시스템에 시뮬레이션을 수행한다. 본 연구에서는 정책기반 네트워크를 사용하여 침입 탐지의 성능을 높이고자 하는데, 이를 적용함으로써 false positive를 줄일 수 있다. 정책기반네트워크를 통해 침입탐지 에이전트들이 서로 연동함으로써 성능의 향상을 이룬다는 것을 기존의 시스템과 비교함으로써 증명한다. 본 연구의 결과는 다양한 보안 정책을 적용하는데 사용될 수 있다. We introduce the coordination among the intrusion detection agents by BBA(BlackBoard Architecture) that belongs to the field of distributed artificial intelligence. The system which uses BBA for the coordination can be easily expanded by adding new agents and increasing the number of BB(BlackBoard) levels. Several simulation tests performed on the targer network will illustrate our techniques. And this paper applies PBN(Policy-Based Network) to reduce the false positives that is one of the main problems of IDS. The performance obtained from the coordination of intrusion detection agent with PBN is compared against the corresponding non PBN type intrusion detection agent. The application of the research results lies in the experimentation of the various security policies according to the network types in selecting the best security policy that is most suitable for a given network.

퍼지로직을 적용한 네트워크 보안 시스템의 성능향상에 관한 연구

서희석,Seo, Hee-Suk 한국시뮬레이션학회 2008 한국시뮬레이션학회 논문지 Vol.17 No.3

Unlike conventional researches, we are able to i) compare the fuzzy logic based BBA with non-fuzzy BBA for verifying the effective performance of the proposed fuzzy logic application ii) dynamically respond to the intrusion using BBA whereas the previous IDS was responding statically and iii) expect that this would be a cornerstone for more practical application researches (analyzing vulnerability and examining countermeasures, etc.) of security simulation. Several simulation tests performed on the targer network will illustrate our techniques. And this paper applies fuzzy logic to reduce the false negative that is one of the main problems of IDS. Intrusion detection is complicated decision-making process, which generally involves enormous factors about the monitored system. Fuzzy evaluation component model, which is a decision agent in the distributed IDS, can consider various factors based on fuzzy logic when an intrusion behavior is detected. The performance obtained from the coordination of intrusion detection agent with fuzzy logic is compared against the corresponding non fuzzy type intrusion detection agent. The results of these comparisons allow us to evaluate a relevant improvement on the fuzzy logic based BBA. 단순히 퍼지만을 사용하여 시스템을 연동하는 경우와 퍼지로직을 같이 사용하여 침입 탐지 에이전트의 시스템 성능을 향상시키는 경우에 관한 연구로서, 블랙보드 기반의 비퍼지로직을 사용하는 경우와 블랙보드 기반의 퍼지 로직을 사용하는 경우을 비교한다. 또한 BBA를 통해 정적으로 대응하던 시스템을 향상시켜 동적 대응이 가능하게 구성하여 현실적인 시스템이 되도록 구성하였다. 대상 시스템의 성능을 평가하기 위하여 시뮬레이션을 수행하였다. 퍼지 시스템을 사용함으로써 false negative를 줄일 수 있었다. 분산 침입탐지를 위해 포함된 퍼지로직은 다양한 요소를 고려하기 때문에 침입의 성능을 높일 수 있다. 퍼지시스템을 사용하는 경우와 비 퍼지 시스템의 성능을 비교함으로써 퍼지 시스템의 성능 향상을 보이며, 이러한 비교를 통해 전체 시스템의 성능 향상을 보인다.

공개키 기반 구조에서의 효율적인 인증서 상태 검증 방법의 모델링 및 시뮬레이션

서희석,김태경,김희완,Seo, Hee-Suk,Kim, Tae-Kyoung,Kim, Hee-Wan 한국컴퓨터산업학회 2004 컴퓨터産業敎育學會論文誌 Vol.5 No.5

공개키 기반 구조 (PKI; Public Key Infrastructure)에 필수적인 요소인 인증서의 상태 검증에 있어서 인증서 상태 검증 서버인 OCSP (Online Certificate Status Protocol) 서버는 실시간 상태 검증을 제공한다. 그러나 서버와 클라이언트의 메시지 인증을 위해 전자 서명을 수행해야 하며, 이때 사용되는 공개 암호 연산 과정의 복잡성은 동시에 많은 클라이언트의 요청이 발생할 경우에 응답 시간을 크게 지연시킨다는 단점을 가지고 있다. 본 논문에서는 이러한 문제를 해결하기 위한 인증서 상태 검증 서버의 시뮬레이션 모델을 DEVS (Disvrete EVent system Specification) 방법론을 이용하여 설계하였다. 이 모델은 인증서의 상태 검증을 요청하는 영역에 위치하여 해쉬함수를 적용한 인증을 수행하도록 구성되었으며, 시뮬레이션 결과는 제시한 방법이 인증서 상태 검증 속도를 증대시켜 결과적으로 사용자의 응답 시간이 감소되는 것을 보여준다. OCSP (Online Certificate Status Protocol) server which checks the certificate status provides the real time status verification in the PKI (Public Key Infrastructure) system which is the essential system of certificate. However, OCSP server need the message authentication with the server and client, so it has some shortcomings that has slow response time for the demands of many clients concurrently and has complexity of the mathematical process in the public encryption system. In this research, simulation model of the certificate status vertification server is constructed of the DEVS (Discrete EVent system Specification) formalism. This sever model is constructed to practice the authentication with hash function when certificate is checked. Simulation results shows the results of increase of the certificate status verification speed and decrease of the response time to the client.

퍼지 인터페이스를 사용한 자연어 질의 파일 검색 시스템 개발

서희석(Hee Suk Seo),최지혜(Ji Hye Choi),김희완(Hee Wan Kim) 한국산업응용수학회 2003 Journal of the Korean Society for Industrial and A Vol.7 No.1-1

Wi-Fi 환경에서 패킷 분석을 위한 모니터링 시스템

서희석(Hee-Suk Seo),김희완(Hee-Wan Kim),안우영(Woo-Young Ahn) 한국컴퓨터정보학회 2011 韓國컴퓨터情報學會論文誌 Vol.16 No.12

노트북 컴퓨터, 스마트폰 및 기타 단말기 등 네트워크를 제공하는 모바일 기기가 증가함에 따라 무선 인터넷에 대한 많은 기술들이 발전하고 있다. IEEE 802.11은 흔히 무선랜, 와이파이라고 부르는 좁은 지역을 위한 컴퓨터 무선 네트워크에 사용되는 기술로 일상생활에서 쉽게 접할 수 있으며 액세스 포인트(AP)와 네트워킹이 가능하지만 무선랜은 보안에 취약하고 제 3자가 AP에 불법으로 접속하여 패킷을 조작하거나 정보를 빼낼 가능성이 있어 주의가 필요하다. AP (Access Point)는 무선 환경을 제공하는 기기로써 카페와 같은 공공장소에 설치되고 있다. AP는 무선인터넷을 더 편리하게 사용할 수 있게 한다. 하지만 IEEE 802.11 가진 많은 취약점 때문에 공격자는 AP와의 통신을 쉽게 도청할 수 있다. 따라서 본 논문에서는 무선랜 환경에서 패킷 분석을 위한 모니터링 시스템을 설계하고 구현한 것으로서 최근 스마트폰의 보급 확대에 따른 모바일상의 보안문제가 크게 대두되고 있는 시점에서 주변에 어떤 AP와 스테이션이 통신을 하며, AP의 정보를 캡처하여 보안상의 취약점을 알아내고 분석할 수 있는 무선 네트워크 패킷을 분석을 위한 모니터링 시스템을 개발하고자 하였다. Many technologies for wireless internet are increasing as more and more laptop computers, net books, smart phone and other terminals, which provide wireless network, are created. IEEE 802.11 is computer wireless network technology that used in small area, called wireless LAN or Wi-Fi. IEEE 802.11 is a set of standards for implementing wireless local area network (WLAN) computer communication in the 2.4, 3.6 and 5 GHz frequency bands. They are created and maintained by the IEEE LAN/MAN Standards Committee (IEEE 802). AP (Access Point) is installed at cafes and public places providing wireless environment. It is more convenient to use wireless internet, however, It can be seen easily around us and possible to communicate with AP. IEEE 802.11 has many vulnerability, such as packet manipulation and information disclosure, so we should pay more attention when using IEEE 802.11. Therefore this paper developing monitoring system which can find out AP and Stations that connect with it, and capturing AP's information to find out vulnerability. This paper suggests monitoring system which traffic analysis in wireless environment.

Simulation of Detecting the Distributed Denial of Service by Multi-Agent

Seo Hee Suk(서희석),Lee Young Won(이용원) 제어로봇시스템학회 2001 제어로봇시스템학회 국제학술대회 논문집 Vol.2001 No.10

국내 인터넷기반 방송서비스의 보안 모델 설계

서희석(Hee-Suk Seo),김성준(Sung-Jun Kim),안우영(Woo-Young Ahn) 한국컴퓨터정보학회 2012 韓國컴퓨터情報學會論文誌 Vol.17 No.6

최근 통칭 IPTV라고 불리는 새로운 개념의 텔레비전 서비스가 활성화되고 있다. VoD(Video On Demand)라고 불리는 콘텐츠 제공방식은 시청자들이 보고 싶은 프로그램을 시간에 구애받지 않고 원하는 시간에 볼 수 있게 되었고, 그 외에도 여러 부가서비스들이 제공되어 사업자들이 새로운 방식으로 수익을 창출하게 되었다. 다양한 서비스를 제공 중인 IPTV는 IP를 기본으로 하여 서비스된다. IP와 방송의 융합으로 IP기반의 서비스에서 발생 했던 보안 위협이 IPTV에서도 발생 할 수 있다. 국제 IPTV 보안 권고안은 추상적이라 현장에 바로 적용시키기는 어려움이 많다. 본 논문에서는 표준 모델을 기반으로 서비스가 어떠한 위협에 노출되어 있는지, 서비스를 제공하는 과정에서 수집하는 사용자의 어떠한 개인정보가 노출될 위협에 있는지에 대해 알아보고 이 취약점들을 분석하여 한국형 보안 모델을 설계하였다. Internet Protocol Television(IPTV) is the use of an IP broadband network to deliver television (cable TV type) services to the end user. Traditional telecommunications service providers as well as alternate service providers and Internet service providers can utilize their IP networks (and broadband consumer access) to deliver broadcast TV, Video on Demand (VOD) and other Internet services to the consumer. As digital technologies progress, illegal copy and redistribution of IPTV content become easier and simpler. Therefore it is required to protect IPTV content or service. In this paper, we analyze the security threats and requirements. We also discuss related issues and solutions for IPTV.

블랙보드구조를 활용한 보안 모델의 연동

서희석(Hee-Suk Seo),조대호(Tae-Ho Cho) 제어로봇시스템학회 2003 제어·로봇·시스템학회 논문지 Vol.9 No.4