(A) longitudinal analysis of .i2p leakage in the public DNS infrastructure

정성훈 Korea University 2017 국내석사

디지털성범죄 수사를 위한 위장수사시스템 도입방안에 관한 연구

채윤호 고려대학교 정보보호대학원 2021 국내석사

정보통신기술의 발전과 인터넷의 보편화, 스마트폰의 대중화로 디지털성범죄는 나날이 증가하고 있을 뿐만 아니라, 그 피해의 심각성 또한 크다. 특히 최근 디지털성범죄는 익명성과 보안성이 강한 해외 SNS를 매개로 하고, 추적이 어려운 가상화폐를 사용하는 등 지능화, 고도화 되어 전통적인 수사기법으로는 한계에 직면하였다. 이를 해결하기 위해, 정부는 디지털성범죄 수사를 위해 위장수사 기법의 도입을 계획하였고, 현재 법안이 발의되어 논의 중에 있다. 위장수사 기법이 자리 잡게 된다면 잠재적 범죄에 대한 예방 효과를 발생시킬 수 있고, 수사기관의 조기 개입을 통해 피해자를 보호할 수 있게 될 것이다. 하지만 위장수사 기법은 기망의 요소를 포함하고 있고, 기술적 감시나 통제가 어려운 사이버공간에서 이루어지고 있어 적법성이 전제된 위장수사라 할지라도 자칫 불법으로 변질될 위험이 있고, 위장수사에 이용될 도구(ID, 휴대전화, 계좌 등)에 대한 철저한 준비가 없이는 성공하기 어렵다. 본 논문에서는 위장수사의 효율성을 높이고, 수사관의 일탈을 사전에 차단하며, 증거수집 절차의 투명성을 확보할 수 있는 위장수사시스템 도입 방안에 대하여 설명하고, 위장수사시스템의 아키텍쳐를 도출해보고자 한다.

메신저 전송 기능을 통해 인코딩된 동영상에 대한 유포메신저 추적 연구

조용준 고려대학교 정보보호대학원 2021 국내석사

ICT 발전으로 불법 성착취 영상물의 2차 유포, 거래가 쉽고 간편해졌다. 유포 방법 중 하나인 메신저를 통해 전송하는 방법이 있지만 이에 대한 추적방법이 현재는 연구되지 않은 상태이다. 불법 성착취 영상물이 메신저로 전송될 때 인코딩으로 인해 원본 영상의 용량 및 해상도 등이 축소되면서 통신매체 전송이 쉽고 간편해진 특징이 있으나 인코딩으로 인해 원본 파일에서 해시값과 구조 등이 변경되면서 유포 정보 등에 대한 정보를 확보하기가 어렵다. 특히 PC, 외부저장장치 등에서 메신저가 삭제된 상태에서 성착취 관련 영상만 발견되거나 복원될 시 영상의 유포 경위 등을 판단하기 어렵다. 본 논문에서는 메신저로 전송된 성착취 영상의 인코딩 특징과 파일명, 시간 정보 등으로부터 유포와 관련된 메신저 정보 획득 방안을 제안한다. 이 방법은 추적 수사기법에 활용할 수 있고 추가 수사를 통해 삭제된 메신저에 대한 증거자료들을 확보해 피의자의 혐의 입증 및 2차 범죄에 대한 구매자, 소지자들의 여죄 수사 추적 단서로 활용할 수 있다.

Security model design framework and application to PPDR operational environment

김대건 Graduate School of Cybersecurity, Korea University 2021 국내박사

본 논문은 아래 물음에 대한 해결책이 될 수 있는 방법론을 제공한다. “통제 권한을 벗어난 외부의 시스템에 의존하여 구축되는 대규모 시스템의 보안 모델을 어떻게 효율적으로 설계 할 수 있는가?” 본 연구에서는 위 질문에서 제기된 제한된 환경에서 안전하게 시스템을 구현하기 위해 요구되는 시스템 아키텍처 및 보안요건을 도출하기 위한 보안 모델 설계 프레임워크를 제안한다. 또한 제안된 프레임워크를 적용하여 공공안전 (Public safety) LTE (PS-LTE) 기반의 공공안전 및 재난구호 (Protection and Disaster Relief, PPDR) 작전 시스템을 위한 보안 모델을 제안한다. 국가적으로 발생하는 재해 및 재난 상황은 국가안보를 위협할 수 있으며, 이에 대응하기 위해 여러 정부기관의 기능을 통합해야 한다. 전세계적으로 많은 국가들은 재해 및 재난정보를 관련 대응 기관들이 신속하게 공유하고 소통하기 위해 전국 단위의 이동통신 네트워크 인프라를 구축하고 있다. PS-LTE는 이러한 목적을 달성하기 위해 많은 국가에서 채택된 통신 메커니즘이다. 재해 및 재난 대응 관련 조직은 기존에 각 기관의 고유 네트워크에서 실행되는 서비스를 PS-LTE 인프라에 안전하게 연결하여 기관 고유 네트워크에서 제공되는 정보와 시스템 기능을 PS-LTE 환경에서 지속적으로 활용하도록 수 있도록 함으로써 PPDR 활동의 효율성을 높일 수 있다. 그러나 이러한 운용 환경은 상용 LTE 환경과는 다른 특성이 있기 때문에 기관의 고유 네트워크와 PS-LTE 인프라를 안전하게 연결하기 위해서는 환경에 특화된 취약성을 명확히 분석하고 이를 해소할 필요가 있다. 또한, PS-LTE 인프라를 활용한 PPDR 운영 환경의 특성을 분석한 후, 기존에 각 기관의 고유 네트워크에서 운영되는 PPDR 서비스를 이 인프라를 통해 제공하고자 하는 조직에서 적용할 수 있는 보안 모델을 도출하기 위해 제안한 프레임워크를 적용하였다. 본 연구에서는 제안된 보안 모델 설계 프레임워크를 PPDR 을 위한 특정 상황에 적용했지만, 본 프레임워크는 어떤 환경에 대한 분석에도 일반적으로 적용될 수 있다. This thesis is to provide the methodology as a solution for the following question: “How can I design the security model for a large-scale system that built upon external system that is unauthorized to control?” This study proposes the security model design framework to derive the system architecture and security requirements targeting the restricted environment as the question. Moreover, the application example of the framework to design the system's security model for public protection and disaster relief (PPDR) operations based on PS-LTE is provided. National disasters can threaten national security and require integrating the functionalities of several organizations to correspond to the event. Many countries are constructing a nationwide mobile communication network infrastructure to share information and promptly communicate with corresponding organizations. Public Safety Long-Term Evolution (PS-LTE) is a communication mechanism adopted in many countries to achieve such a purpose. Organizations can increase the efficiency of PPDR operations by securely connecting the services run on their legacy networks to the PS-LTE infrastructure. The connection of the legacy networks allows the organizations to facilitate the legacy network's information and system functionalities continuously. To securely connect the network, the vulnerabilities in the environment, which differ from commercial LTE, need to be resolved. Although the proposed security model design framework is applied to a specific circumstance in this research, it can be generally adopted to analyze any application environment.

Uncovering how game bots get detected through Explainable Artificial Intelligence (XAI)

박은지 Graduate School of Cybersecurity, Korea University 2021 국내석사

Game bots are either bots using automated hardware or artificial intelligence bots using software for collecting assets in a game. Bots disturb other game players and destroy the environmental system of the games. For these reasons, the game industry has long had problems with game bots. The game industry put its best efforts into detecting the game bots using activity history in a learning-based detection method. These detection methods have captured game bots with high performance; however, they do not provide a reasonable explanation of the detection results. To solve this problem, in this paper, we investigate the explainabilities of game bot detection, utilizing a dataset from MMORG game AION, which includes both game logs from normal players and game bots. We conduct the detection of game bots through two classification models and analyze the detection process by applying explainable AI modules. We propose the verification of the explanation of the bot’s behavior, and the truthfulness has been evaluated. Besides, explainability contributes to minimizing false detection.

공격 결과 기반의 웹 취약점 위험도 평가 모델 연구 : 사이버 킬체인 중심으로

진희훈 고려대학교 정보보호대학원 2021 국내석사

정보통신 기술의 발달로 우리는 온라인으로 연결된 또 하나의 공간에서 살아가고 있다. 특히 HTTP를 이용한 웹 서비스는 기업들이 사업을 영위해 나아갈 수 있는 중요한 수단이 되고 있다. 불특정 다수에게 서비스를 허용해야 하는 점으로 인해, 웹 서비스는 지속적으로 해커들의 공격 대상이 되어 왔다. 이에 기업들은 국내외 가이드라인을 참고하여, 주기적인 웹 취약점 진단을 수행하고 있으며, 진단 결과를 바탕으로 조치 우선 순위 등을 정하게 된다. 지금까지의 웹 취약점 항목은 주로 공격 방법에 기준을 두고 있으며, 각각의 산식으로 위험도를 사전 정의하고 있다. OWASP나 CWE(CWSS), CVE(CVSS)와 같이 사전에 정의된 취약점 위험도가 불필요한 것은 아니지만, 실제 점검 환경에서 도출된 취약점 결과의 위험도를 사전에 평가된 위험도로 점검 대상에서 도출된 위험도로 평가하기에는 다소 무리가 있었다. 본 연구를 통하여, 사이버 킬체인에 따른 위협 모델링과 위험 평가가 가능하였으며, 공격 연결 고리를 단절시켜 공격자의 공격을 단계별로 차단 가능하게 되었다. 연구는 국내·외 웹 취약점 점검 항목 통합하였으며, 통합된 점검 항목으로 웹 취약점 위험 모델링을 진행하였다. 또한 결과 기반 위험도 평가가 가능한 평가 모델을 제시함에 따라 사이버 킬체인에 따른 웹 취약점 공격에 대한 능동적 대응이 가능하도록 하였다. 이와 같은 과정을 통하여, 웹 취약점 위험도에 대한 사전 통계 위주 방식에서 벗어나 새로운 관점을 제시할 수 있을 것으로 기대한다.

Trade Behind-The-Scene : Analysis of Online Gold Farming Network in the Auction House System

노유승 고려대학교 정보보호대학원 2021 국내석사

Due to the spread of smartphones, various online games based on mobile platforms are being launched. Although mobile games have the advantage of having better accessibility compared to PC games, there is a limitation of being difficult to input specific actions. To overcome this limitation, game companies apply autoplay systems that support users. Previously, autoplay (with macro or game bot programs) without human interaction is regarded as cheating play. Nowadays, most mobile games are providing autoplay functionality to give a more comfortable and easy gaming experience to users. In particular, mobile massively multiplayer role-playing games (MMORPGs) include game bots that are banned in PC MMORPGs. This introduction means that not only gold farming groups (GFGs) but also all users can use game bots. Game companies are no longer able to block GFG through game bot detection. Therefore, they try to limit GFGs' real money trade (RMT) by introducing an in-game economy system such as an auction house that can monitor and control all in-game transactions. However, GFGs still operate by abusing the auction house. Our study uses the three-month transaction logs of the mobile game that introduce the auction house as an in-game economic system. During that period, 18,111 people generated 427,666 transactions. We observe the abuse that makes RMT possible on the auction house. Through the observations, we propose a method of identifying the abuse solely by using the transaction log. We analyze GFGs using the identified abuse and find that GFG consists of one sole role. 스마트폰 보급으로 모바일 플랫폼을 활용한 다양한 온라인 게임들이 출시되고 있다. 비록 모바일 게임이 PC 게임과 비교하여 더 좋은 접근성을 가지고 있다고 하더라도, 입력 방식의 한계로 인해 게임 조작이 어렵다. 이러한 제한점을 극복하기 위해 게임 회사들은 자동사냥 등의 자동화 기능을 사용자들에게 기본적으로 제공한다. 과거에는 이러한 자동화 기능(매크로 또는 게임 봇)은 치트 행위로 다루어졌다. 오늘날에는 대부분의 모바일 게임들이 자동화 기능들을 사용자 편의성과 게임 조작을 보조하기 위해 제공되고 있다. 특히 다중 사용자 온라인 롤플레잉 게임(MMORPG)에서는 과거 PC MMORPG에서는 제재 대상이었던, 게임 봇을 포함하고 있다. 게임 봇의 도입은 비단 일반 유저뿐만 아니라 작업장(Gold Farming Group, GFG)들도 사용할 수 있음을 말한다. 그러므로 게임 회사에서는 회사의 이익을 보호하기 위해 작업장들이 게임 내 경제 시스템인 거래소(모든 거래 통제)으로 현금 거래(Real Money Trade, RMT)가 불가능하도록 하였다. 그러나 작업장은 여전히 거래소의 통제를 우회하여 운영되고 있다. 본 연구에서는 거래소를 게임 내 경제 시스템으로 채택한 모바일 게임에서 3개월 간 이루어진 거래에 대한 로그를 활용하였다. 이 기간 동안 18,111명의 유저가 427,666개의 트랜잭션을 발생시켰다. 우리는 거래소에서 현금거래가 가능한 부정행위를 확인했으며, 관찰한 결과를 통해 트랜잭션 로그만으로 부정행위를 식별하는 방법을 제안하였다. 식별한 부정행위를 통해 작업장을 분석하였고, 작업장이 하나의 역할로만 이루어져 있음을 확인하였다.

Methodologies to Counter Threats in Intelligent Transportation Services : Threats Detection Using Machine Learning in Mobility Service

김창오 고려대학교 정보보호대학원 2021 국내박사

Various aspects of security technologies that enable smart mobility, including autonomous vehicles are presented in this study. The study of safety for the intelligent transportation system (ITS) has been a common concern in the international communities over the past few years and significant improvements have been made in the field of the transportation service environment. The first step for the preparation of safety in the ITS environment is the identification of threats. Many international cooperation organizations and standards organizations are studying to establish standardizations and recommendations for safety in the Intelligent Transportation System (ITS). The classification of threats with descriptions that may occur in the ITS environment is necessary for further studies to respond in the right way to the specific threats. Particularly, autonomous vehicles could be vulnerable to security threats in communication and data processing due to connectivity. I studied the threats in detail related to vehicle-to-everything (V2X) communication and suggested guidelines to avoid or to mitigate security risks for the connected vehicles in the ITS environment. Threats in the V2X environment were classified based on 7 attributes and identified threats with a description of the attack, centered in a vehicle, in related communication between an attacker and the vehicle, the infrastructure, and the nomadic device. Furthermore, it is also important to be secure in mobility services for safety in the transportation service environment. To manage threats in mobility services, a model for detecting abnormal behaviors by combining situation information in an offline service and user behavior in an online environment has been studied. In order to identify abnormal behavior in the O2O service environment, an experiment was conducted to identify abnormal behavior in car-hailing service as smart mobility services. In the experiment, the base range of normal behavior of a car-hailing service driver was identified from the test result directly executed by an expert. In addition, by processing the collected data from the selected features by using various machine-learning classification algorithms, I derived a detection and prediction model that was 98.28% accurate with a prediction result of more than 74% based on the F1 score. I also proposed a service operation policy to respond to threats in mobility service along with a technical means. From this study, I expect that effective countermeasures for the abnormal behavior that may occur in various O2O services.

Learning a Driver Pattern for Automobile Theft Detection

박경호 고려대학교 정보보호대학원 2021 국내석사

As a car becomes more connected and complex, a countermeasure against automobile theft has become a significant task in the real world. To respond to automobile theft, data mining, biometrics, and additional authentication methods are proposed. Among current countermeasures, data mining method is one of the efficient ways to capture the owner driver's unique characteristics. To identify the owner driver from thieves, previous works applied statistical algorithms or machine learning algorithms toward driving data. Such data mining methods utilized supervised learning for driving data analysis, thus required labelled data set. However, it is unrealistic to gather and apply the thief's driving pattern under the current automobile ecosystem. To overcome this problem, we propose the driver identification method with Generative Adversarial Networks (GAN). GAN has a merit to build identification model by learning the owner driver's data only. We designed the model with Recurrent Generative Adversarial Network (RGAN) to capture the temporal dynamics of driving data. We trained RGAN only with owner driver's data and used trained discriminator to differentiate owner driver from thief driver. From independently accumulated actual driving data, we tested our identification model and evaluated as it recognizes the owner driver well. By ensembling various driver authentication methods with the proposed model, we highly expect industry can develop automobile theft countermeasures available in the real world.

Data-Driven Misbehavior Detection for Secure In-Vehicle Communication : Intrusion and Anomaly Detection in Controller Area Network

Song, Hyun Min 고려대학교 정보보호대학원 2021 국내박사

As the risk of cyber and safety threats to vehicle systems has increased, the intrusion and anomaly detection in in-vehicle networks (IVN) has received the attention of researchers. Vehicle network security is an urgent and significant problem because the malfunctioning of vehicles can directly affect human and road safety. The controller area network (CAN), which is used as a de facto standard for in-vehicle networks, does not have sufficient security features, such as message encryption and sender authentication, to protect the network from cyber-attacks. This thesis is a comprehensive study aimed at protecting IVN from message injection attacks. I explore the security aspects of CAN, and present three intrusion and anomaly detection methodologies covering the three major issues of attack detection in IVNs of modern vehicles: light-weight intrusion detection, precise detection of known types of attacks and detection of unknown types of attacks. First, I propose a statistics based light-weight IDS that monitors timing intervals of CAN messages and detects messages outside the specified intervals as injected messages. Second, deep convolutional neural network (DCNN) based known attack detection model is proposed. The DCNN model learns the network traffic patterns and detects malicious traffic without hand-designed features. At the last, I propose a method of building anomaly detection model to detect unknown types of attacks based on supervised learning using generated noised pseudo normal data in the limited data environment where attack data is deficient. I performed an experimental study using the datasets I built with a real vehicle to evaluate our detection systems. The experimental results demonstrate that the proposed intrusion and anomaly detection systems have high detection performances and significantly improvements when compared to the conventional machine-learning algorithms.