웜 전파 특성과 SVM을 이용한 스캐닝 웜 탐지 모델에 대한 연구

김대공 고려대학교 정보보호대학원 2006 국내석사

컴퓨터 바이러스 및 인터넷 웜의 기하급수적인 증가와 공격 기술의 발달로 공격에 대한 탐지 및 방어는 날이 갈수록 어려워지고 있다. 최근의 웜은 사람이 대응하기도 전에 이미 감염 전파 되므로 사람이 초기 대응을 직접 할 수 있는 시간적인 여유가 없다. 따라서 스캐닝 웜 공격의 자동화된 탐지와 방어 메커니즘이 절실하게 요구 되었다. 초기의 웜 탐지에 대한 방어 메커니즘은 스캐닝 웜의 패킷들에 들어있는 시그니처를 탐지하는 방법을 주로 사용하였다. 하지만 시그니처를 이용한 탐지 방법은 새로운 웜이 발생할 경우 탐지를 하지 못하게 되어 무용지물이 되어 버리는 문제를 초래한다. 또한, 최근의 인터넷 웜은 발생 초기에 대응하지 못하면 그 피해의 규모가 기하급수적으로 늘어나며 감염 시 방어하기가 어려운 서비스 거부 공격을 일으킬 수 있는 간접 공격의 주범이 될 수 있다. 이러한 점에서 웜의 탐지와 방어는 인터넷 보안에 매우 중요한 사안이 되었다. 그래서 알고 있는 웜의 탐지가 아닌 새로운 웜의 탐지 즉 비정상적인 행위에 대한 탐지 메커니즘을 연구하게 되었다. 기존의 비정상적인 행위 탐지 방법들은 중요한 네트워크 소스의 폭주와 스위치, 라우터 및 말단 시스템에서의 변동 효과 등을 판단하는 방법을 주로 사용하였다. 이러한 비정상적인 행위 탐지 방법들을 가지고 새로운 웜을 탐지 할 수도 있지만, 기존의 탐지 방법들은 처음 도입 시 해당 환경마다 달라지는 탐지 기준 값을 변경 적용해야 한다. 본 논문에서는 이미 알려진 공격뿐만 아니라 새로운 웜의 스캐닝 공격을 탐지하기 위해 스캐닝 웜 패킷들을 분석하고 각각의 특성들을 도출한다. 그리고 패턴 분류 문제에 있어서 우수한 성능을 보이는 서포트 벡터 머신(Support Vector Machine)에 스캐닝 웜 패킷들에서 도출한 특성을 Feature로 적용한다. 기존의 웜 탐지방법에서와 같은 경험적인 위험의 최소화에서 탈피하여 구조적인 위험의 최소화를 통한 인터넷 웜의 스캐닝 공격을 탐지하는 시스템 모델을 제안한다.

드론을 활용한 IoT기반의 소형센서 관측시스템 개발

안요섭 고려대학교 대학원 2018 국내석사

대기경계층 관측시 비교적 저렴한 유지비용과 지속적인 관측이 가능한 드론을 사용한 관측방법을 제안한다. 드론에 장착된 SSOS(Small Sensor Observation System)센서값과 기상청(지상 AWS, 보성타워 등)센서값을 비교하여, SSOS센서의 관측 정확도를 보강하였다. SSOS센서 측정값과 기상청 측정값을 서로 비교한 다음 잔차를 구한 후, 최소자승법을 이용하여 해당 잔차를 줄여주는 방식으로 데이터를 보정한다. SSOS센서를 지상 AWS와 같은 곳에서 측정했고 기압, 기온, 습도 모두 과소추정 되었다. SSOS센서 원시데이터의 평균값과 기상청 AWS 원시데이터의 평균값의 편차만큼 SSOS센서 측정값에서 보정하여 RMSE(Root Mean Square Error)를 적용했다. 해당 값들은 오차 허용범위(기상청 검정기준: 습도 ±5%, 기압 ±0.5hPa, 온도 ±0.5℃ 이내)안에 있었다. 또한 고도를 높여 40m에서 측정을 하였을 시, 습도는 과소추정 되었으나, 온도는 과대추정 되었다. 따라서 높이에 따라서 SSOS센서 측정값이 이동함을 알 수 있었다. 전기전자식 센서를 측정센서로 사용하여 오차가 발생하였지만 해당 값들 또한 오차 허용범위 이내에 존재하므로 기상관측시스템으로 활용가능 할 것으로 판단되었다. 드론에 SSOS센서를 달아 기상을 측정한 후 지상AWS에서 최소자승법으로 보정한 식을 적용하였을 경우도 측정값이 오차범위 이내에 들었다. 따라서 향후 드론을 활용한 기상관측시스템을 개발하고 이를 통해서 대기경계층의 이해를 증진시킬 수 있을 것으로 생각된다. We propose an observational method using drones that can maintain relatively low maintenance cost and continuous observations at the atmospheric boundary layer. The observation accuracy of the SSOS sensor was enhanced by comparing the SSOS (Small Sensor Observation System) sensor value installed on the drone with the Meteorological Agency (ground AWS, Boseong Tower, etc.) sensor value. The SSOS sensor measurement value and the meteorological station measurement value are compared with each other, the residuals are obtained, and the data is corrected by using the least squares method to reduce the residuals. SSOS sensors were measured at ground AWS locations, and both air pressure, temperature, and humidity were underestimated. We applied RMSE (Root Mean Square Error) by compensating SSOS sensor measured value by deviation of average value of SSOS sensor raw data and average value of AWS raw data. The values ​​were within the error tolerance range (Meteorological Agency standard: humidity ±5%, atmospheric pressure ± 0.5hPa, temperature ±0.5℃). When the altitude was raised to 40 m, the humidity was underestimated but the temperature was overestimated. Therefore, it was found that the SSOS sensor measurement value moves according to the height. Although the error occurred by using the electric and electronic sensor as the measurement sensor, the values ​​are also within the allowable range of error, so that it can be used as the weather observation system. The measured values ​​were within the error range when we applied SSOS sensor to the drones and measured the air phase and corrected it with the least squares method in the ground AWS. Therefore, we can develop the weather observation system using the drone and improve the understanding of the atmospheric boundary layer.

웹 사용자의 실시간 사용 패턴 분석을 이용한 정상 사용자 판별 방법

장진구 고려대학교 정보보호대학원 2017 국내석사

인터넷을 통한 사이버 위협이 증대됨에 따라 개인정보 침해도 지속적으로 발생하고 있다. 악의적인 사용자들은 유출된 개인정보를 도용하여 정상 사용자처럼 해당 웹사이트를 접근하고 불법적인 행동을 할 수 있다. 본 논문에서는 이러한 불법 사용자의 접근을 실시간으로, 효과적으로 탐지하기 위해 정상 사용자의 웹사이트 평시 사용 패턴을 멤버십 분석(Membership Analysis)과 기계학습 분석 방법(Markov Chain Model)을 기반으로 프로파일링 함으로써, 정상 사용자를 판별하는 방법을 제안한다. 아울러 이러한 프로파일에 시간적인 특성, 즉 시간 가중치(Time Weight)를 적용하여, 시간적으로 변하는 사용자의 행동을 사용자의 프로파일에 반영한다. 이에 따라 시간에 따른 사용자의 성향을 반영한 결과를 얻을 수 있다. 본 연구를 통해 생성한 사용자별 프로파일을 기반으로 개인정보를 도용한 악의적인 사용자를 적발할 수 있고, 정상적인 사용자이더라도 민감한 정보에 접근하는 것을 방지할 수 있다. 본 연구를 적용한 결과, 정상 사용자에 대해 96%의 높은 판별 정확도를 보여주었다.

클라우드 컴퓨팅 보안 기술 표준화를 위한 계층 및 역할별 보안 요구사항 관계 연구

이찬우 고려대학교 정보보호대학원 2016 국내석사

클라우드 서비스가 보편화되면서 클라우드 서비스의 도입을 위한 기업의 관심과 함께 클라우드 보안에 대한 우려가 증가하고 있다. 또한 기존 컴퓨터 시스템 환경과는 다른 클라우드 컴퓨팅 환경에서 새로운 보안 취약점들이 발생하고 있으며, 기존의 보안 시스템으로는 이러한 보안위협요소들에 대해 적절한 대응이 어려우므로 이러한 위험을 해소하기 위해 효과적인 방어체계의 수립이 필요하게 되었다. 이를 위해서는 먼저 클라우드 서비스를 이용하는 다양한 이해관계자들의 보안 요구사항을 조사하고 수렴하여 클라우드 보안 솔루션 개발을 위한 요구사항을 식별해야 하며 공통적인 기술적 가이드라인으로서 표준화해야 한다. 이에 본 논문은 ISO 17789 문서인 ‘클라우드 컴퓨팅 참조 구조’에서 제시한 역할별 보안 요구사항과 일반적인 클라우드 시스템 계층 구조의 계층별 보안 요구사항을 각각 종합하여 클라우드 컴퓨팅 보안 기술 표준화를 위한 계층 및 역할별 보안 요구사항을 제안한다. 본 논문에서 제안된 보안 요구사항은 클라우드 컴퓨팅 보안에 대한 기술 요구사항을 표준화하여 특정한 가상화 플랫폼이나 가상화 시스템에 종속되지 않고 클라우드 컴퓨팅 보안 솔루션을 개발할 수 있는 기초를 제공할 것으로 기대한다.

클라우드 저장장치 가상화 시스템을 위한 보안 요구사항 제안

여영민 고려대학교 정보보호대학원 2015 국내석사

The security vulnerabilities of storage virtualization environments are different from those of the existing computer system and are difficult to be protected in the existing computer system environment. Therefore we need some technical measures to address this issue. First of all, the technology used in storage virtualization environment needs to be thoroughly analyzed, and also, we should understand those security requirements of various stakeholders in the view of cloud storage service and perform the research on security guidelines of the research security requirements. In this paper, we propose security requirements based on layers and roles of storage virtualization. The proposed security requirements can be a basement for development of solution of storage virtualization security.

(A)Two-Class Bayesian Approach to Universal Language Email Analysis : Application of a Unicode-Based Feature Selection Framework to Spam Detection

Reidhead, Jacob 고려대학교 정보보호대학원 2006 국내석사

RNN을 이용한 코드 재사용 공격 탐지 방법 연구

김진섭 고려대학교 정보보호대학원 2018 국내석사

코드 재사용 공격은 프로그램 메모리상에 존재하는 실행 가능한 코드 조각을 조합하고, 이를 연속적으로 실행함으로써 메모리 영역에 직접 코드를 주입하지 않고도 임의의 코드를 실행시킬 수 있는 공격 기법을 말한다. 코드 재사용 공격은 스택 메모리 영역이나 힙 메모리 영역에서 코드가 실행되지 못하게 막는 , DEP(Data Execution Prevention) 기법을 우회할 수 있다. 이를 통해 시스템의 관리자 권한을 획득할 수 있기 때문에 공격에 대한 위험성이 크다고 할 수 있다. 이러한 코드 재사용 공격의 대표적인 종류로는 ROP(Return-Oriented Programming) 공격이 있으며, ROP 공격에 대응하기 위한 여러 가지 방어 기법들이 제시되어왔다. 기존에 제시된 방법들은 ROP 공격에서 발견할 수 있는 특징을 이용하여 탐지 규칙을 지정하는 Rule-base 방식의 알고리즘을 사용하였다. 그러나 위와 같은 방법은 탐지 규칙에 해당하지 않는 ROP 공격에 대해선 전혀 탐지가 되지 않는다는 한계점이 존재한다. 따라서 본 논문에서는 딥 러닝(Deep Learning)을 이용하여 ROP 공격을 탐지하는 방법을 제시한다. 특히 시퀀스 데이터 학습에 적합한 인공 신경망 모델인 RNN(Recurrent Neural Network)을 사용하여 명령어 시퀀스의 패턴을 학습하고, 이를 ROP 공격 탐지에 활용한다. 또한 텐서플로우(Tensorflow)와 DBI(Dynamic Binary Instrumentation) 도구를 활용한 실험을 통해 제안한 방법이 효과적으로 ROP 공격을 탐지하고 Rule-base 탐지 방법의 한계점을 해결함을 보인다. A code reuse attack is an attack technique that can execute arbitrary code without injecting code directly into the stack by combining executable code fragments existing in program memory and executing them continuously. Code reuse attack can bypass and DEP(Data Execution Prevention) techniques that prevent code from executing in the stack and heap memory area. It can be said that the risk of attack is high because it can acquire the administrator authority of the system through this. ROP(Return-Oriented Programming) attack is typical type of code reuse attack and several defense techniques have been proposed to deal with this. The existing methods use a rule-based algorithm that specifies detection rules using features that can be found in ROP attacks. However, there is a limitation that the above method does not detect any ROP attacks that do not correspond to the detection rules. In this paper, we propose a method to detect ROP attacks using Deep Learning. In particular, we use RNN(Recurrent Neural Network), which is an artificial neural network model suitable for learning sequence data, to learn pattern of command sequence and use it for ROP attack detection. Experiments using Tensorflow and DBI (Dynamic Binary Instrumentation) tools show that the proposed method efficiently detects ROP attacks and solves the limitations of the rule-base detection method.

Analysis of Security Threats and Countermeasures in Mobile Access Network Using openBSC

Eun Young Kim 고려대학교 정보경영공학전문대학원 2015 국내박사

According to the Ericsson Mobility Report, the world of smartphone users expect to reach 4.5 billion people in 2018 and the scale of mobile traffic increases 12 times in size. In particular, the video traffic is expected to keep spreading the LTE growth of 60% per year. In accordance with the environmental changes of the mobile communication, smartphone and the mobile communication network must ensure the safety of mobile communications users. In this paper, we describe the threats on the three major security. First, we describe the security threats of the femtocell in the mobile communication environment. Private Mobile Communication Systems (MCS) can be established with an open project and small MCS base stations are increasingly deployed in experiment environment. They can support not only voice communication, but also Short Message Services (SMS) and GPRS/EDGE services. If a user has a small base station (BS), then establishing a private real-world MCS becomes a clear option. For a private MCS to function properly, the services of private MCSs based on open projects should be configured similarly to those provided by commercial MCSs. In other words, the service should include voice communication, a Short Message Service (SMS), and a GPRS/EDGE service. Also, the subscriber station (SS), likewise, should be configured to support such services. In this paper, we consider attack scenarios using experimental MCSs with small BSs. We experimentally show the feasibility of attacks resulting in the leakage of private information, attacks on openBSC control, and DNS spooffing at the network level, all without subscriber knowledge. Second, we analysis a Home Location Register(HLR) Lookup service. HLR data is stored in the user profile on the 2G, 3G or 4G mobile communication mobile environment. HLR system is the important components of the core network, and HLR cannot be accessed without authenticated. But we propose a method that how to access HLR or core network from the outside. Third, we analysis the femtocell firmware produced by Huawei. The Huawei's femtocell was deployed in June 2010. We analysis about the femtocell firmware's booting process, we find out the developer mode during the boot process and send the hidden terminal command. As a result, we propose a method that how to get the administrator's security information.

(A) method of detecting abnormal malicious remote control codes using network domain information

오형근 Graduate School of Information Managemetn & Securi 2013 국내박사

DDoS in 2009, Hyundai Capital hacking in 2011, 34 DDos, Nonghyub hacking, SK Communications personal information leak, etc. Especially these attacks have a form of APT(Advanced Persistant Threats) attacks have evolved which is making previous information security programs hard to detect. The Nonghyub hacking incident has proved that APT attacks can be used on information systems which are not linked to the network. To correspond to these attacks, various APT attack solutions are being developed. Also, malicious code detection and analysis are being enhanced and are becoming real time. However, these methods are still not able to detect new forms of attacks. Therefore, this thesis proposes a method to detect abnormal malicious code attacks not using the previous behavior analysis method but by using a new method of based on network address information(This system will be called ANIO-Address based Network I/O analysis in this thesis). Previous behavior analysis methods made to analyze a huge amount of event logs which leaded to problems such as false positives. However, the method proposed in this thesis uses the addresses of the two systems to extract more information which is used to judge if this is a normal connection or not. For example, if a computer of the Korean government connects to a small size internet shopping mall in China, this will be judged as an abnormal connection and the connection will be terminated. When using the proposed method, if a system receives a malicious behavior command or starts to download a malicious code from a C&C server or a hacking area, the system will judge if there is a problem with the connection if so it will terminate the connection to prevent attacks. In the simulation chapter of this thesis we will use the ANIO to show how two connections will be terminated or be admitted.

엔트로피 값 변화분석을 이용한 실행 압축 해제 방법 연구

이영훈 高麗大學校 情報經營工學專門大學院 2012 국내석사

악성코드의 탐지 및 분석 회피 기술 중 실행 압축 기술은 악성코드의 용량을 줄이고 분석가가 코드를 분석할 때 혼란을 주도록 코드를 변형하고 있다. 따라서 악성코드의 확산이 용이해지고 분석하는데 시간이 오래 걸려 신속한 대응이 어렵게 만들고 있다. 최근에는 이러한 실행 압축된 악성코드에 대응하기 위하여 실행 압축 해제 관련 연구가 진행되고 있다. 실행 압축 프로그램은 실행되면 실행 압축을 해제하게 된다. 실행 압축 해제 때 압축되어 있던 데이터가 해제 되면서 실행 압축 파일의 데이터가 변경되거나 추가되어 데이터의 변화가 생기게 된다. 이때 이러한 변화 때문에 실행 압축 파일의 엔트로피 값이 변화하게 된다. 실행 압축 해제가 끝나게 되면 이러한 데이터 변화가 끝나고 실제적인 프로그램이 수행되므로 엔트로피 값이 변화하지 않게 된다. 그러므로 이러한 성질을 이용하여 실행 압축 해제되는 시점을 찾게 되면 실행 압축 알고리즘에 상관없이 실행 압축을 해제 할 수 있게 된다. 본 논문에서는 실행 압축 파일의 압축 해제 때의 엔트로피 값 변화량을 보고 실행 압축 해제가 끝나는 시점을 판단하여 실행 압축을 해제하는 방법을 제안한다.