국내외 정보기술 시험기관 동향

백남균,김선집 대한전자공학회 2013 전자공학회지 Vol.40 No.10

IoT AP 과부하 서비스 거부 공격 탐지 기법

백남균 보안공학연구지원센터 2018 보안공학연구논문지 Vol.15 No.2

In this paper, we propose a multi-phase detection algorithm for each location in order to improve detection accuracy of IoT AP overload denial of service attacks and IoT domain service availability for IoT users. First, we compare the traffic load of the transmission band as the starting point of the detection algorithm. Next, we eliminate the high false positive that determines the occurrence of overload caused by normal service requests, not the intrusions of existing countermeasures, and the high false negative that can not be detected by bypass attacks such as Slowloris. To do this, we proposed abnormal traffic removal function by traffic load comparison against session, traffic load comparison against application layer connection, and comparison of dynamic contents request. Through the test, the proposed algorithm greatly increased the degree of domain availability that IoT normal user actually felt. 본 연구에서는 IoT AP 과부하 서비스 거부 공격에 대한 탐지 정확성을 높이고 정상 사용자에 대한 IoT 도메인 서비스 가용성을 높이고자, 발생 위치별 ‘다단계 탐지기법 알고리즘’을 제시하고자 한다. 먼저 기존의 대응 방식들이 가지고 있는 침입이 아닌 정상 서비스 요청들에 의한 과부하 발생을 침입으로 판단하는 오탐율과 Slowloris와 같은 우회공격에 탐지 못하는 미탐율을 제거하고자 전송대역의 트래픽 부하량 비교를 탐지 기능의 시작점으로 두었다. 다음으로 접속 연결의 세션대비 트래픽 부하량 비교, 서버 용량의 웹서비스 연결 대비 트래픽 부하량 비교 그리고 응용 연결의 동적 콘텐츠 요청 비교에 의한 비정상 트래픽 제거 기능을 제안하였다. 시험을 통해 제안한 ‘다단계 탐지기법 알고리즘’이 IoT 정상 사용자가 실제 느끼는 도메인 서비스 가용성의 정도를 크게 높여 주었기에 향후 IoT 과부하 서비스 거부 공격 식별 및 대응에 크게 기여할 수 있을 것으로 기대한다.

서비스 거부 공격에 대응한 웹서버 가용성 향상을 위한 운용 정책 방안

백남균,정수환 한국통신학회 2008 韓國通信學會論文誌 Vol.28 No.a9

본 연구에서는 네트워크 기반 서비스거부공격에 대응하여 웹서버의 가용성을 향상 시킬 수 있는 보안노드를 설계하고자, 과부하 상태에서 문서의 인기도에 기반 하여 신규 세션 허용을 제어할 수 있는 동적 서비스 메커니즘을 품질 향상방안으로 제안하였다. 그 결과, 과부하가 지속될수록 기존 방식에 비해 웹서비스 요청 세션에 대한 연결접속률과 연결완성률이 크게 향상됨을 알 수 있었다.

DRDoS 공격에 대한 다단계 탐지 기법

백남균,Baik, Nam-Kyun 한국정보통신학회 2020 한국정보통신학회논문지 Vol.24 No.12

본 연구에서는 DRDoS 공격에 대한 효과적인 네트워크 기반 대응책을 수립하는데 필요한 기초 자료를 제공하고자, DRDoS의 네트워크 기반 특징을 식별하고 이에 대한 확률 및 통계 기법을 적용한 새로운 'DRDoS 공격 다단계 탐지기법'을 제안하고자 한다. 제안된 기법은 DRDoS의 특징인 반사 서버의 증폭에 의한 네트워크 대역폭에서 무제한 경쟁으로 정상적인 트래픽이 무분별하게 차단될 수 있는 한계를 제거하고자 'Server to Server' 및 이에 대한 'Outbound 세션 증적' 여부를 비교하여 정확한 DRDoS 식별 및 탐지가 가능하고 이에 대한 트래픽에 대해서만 통계 및 확률적 임계값을 적용하기에, 네트워크 기반 정보보호 제품은 이를 활용하여 완벽하게 DRDoS 공격 프레임을 제거가 가능하다. 시험을 통해 제안한 기법이 DRDoS 공격에 대한 식별 및 탐지 정확성을 높이고 희생자 서버의 서비스 가용성을 확보함을 확인하였다. 따라서 본 연구결과는 DRDoS 공격 식별 및 대응에 크게 기여할 수 있을 것으로 기대한다. In this study, to provide the basis for establishing effective network based countermeasures against DRDoS(Distributed Reflection Denial of Service) attacks, we propose a new 'DRDoS attack multi-level detection method' that identifies the network based characteristics of DRDoS and applies probability and statistical techniques. The proposed method removes the limit to which normal traffic can be indiscriminately blocked by unlimited competition in network bandwidth by amplification of reflectors, which is characteristic of DRDoS. This means that by comparing 'Server to Server' and 'Outbound Session Incremental' for it, accurate DRDoS identification and detection is possible and only statistical and probabilistic thresholds are applied to traffic. Thus, network-based information security systems can take advantage of this to completely eliminate DRDoS attack frames. Therefore, it is expected that this study will contribute greatly to identifying and responding to DRDoS attacks.

융합보안 공급자 자기 적합성 제도

백남균,Baik, Namkyun 디지털산업정보학회 2019 디지털산업정보학회논문지 Vol.15 No.2

In this paper, we propose 'a self - conformance system of convergence security provider' to provide basic data for security and reliability of convergence industrial technology, system and service. It is difficult to evaluate convergence security systems, limited to information and communication service providers, unable to check convergence security items, burden of submission documents, difficulty in measuring convergence security service level and we will summarize product and service-based requirements that can be integrated and systematically measure the level of convergence security and define renewed life cycle-based convergence security information and content security and assurance requirements. On the basis of this, each convergence security company declares conformity with the standard itself without the certification of the certification body, and introduces the provider conformity certification system which can manufacture and sell. This will enable the company to strengthen its competitiveness through timely launch and implementation of products and services and cost reduction.

네트워크 기반 서비스 거부 공격에 대응한 가용성 유지를 위한 보안 노드 분석 및 설계

백남균,김지훈,신화종,이완석 한국통신학회 2004 韓國通信學會論文誌 Vol.29 No.4C

본 연구에서는 네트워크 기반 서비스 거부 공격에 대응하여 허용된 서비스 거부확률을 보장할 수 있는 적합한 네트워크 노드를 설계하기 위해, 보호 대상 시스템 상위 노드 단의 상위 준위와 하위 준위의 물리적인 전송 대역, 버퍼 용량, 네트워크 기반 서비스 거부 공격에 소모된 자원, 허웅 가능한 공격 소스 수 및 손실 확률에 대한 관계를 분석한 제한 조건을 도출하였고 이에 대한 네트워크 노드의 자원과 비용의 관계를 분석하여 보장된 가용성을 유지할 수 있는 경제적 노드의 자원 구성을 설계하였다. 따라서 본 연구 결과는 네트워크 기반 서비스 거부 공격에 대응할 수 있는 효율적인 보안 네트워크 구조 설계에 기여할 것으로 기대된다. In order to design network node for guaranteeing availability against network based DoS attack, some restrictions such as the relationship analysis on upper and lower layer bandwidth, buffer capacity, attack resources, a number of attack session and loss probability are analyzed. And then, to make good use of network resource, the relationship between required resources for satisfying loss probability and cost is discussed. The results of this study are expected to be applied to the effective security node design against network DoS.

HTTP Cache Control 공격에 대한 고찰

백남균 보안공학연구지원센터(JSE) 2016 보안공학연구논문지 Vol.13 No.6

불특정 다수가 대상인 웹서비스의 경우, 침입 대응을 위한 접근통제 방식의 보안정책 적용의 어려움이 있어, DDoS 공격은 침해영향력에 있어 가장 위협적인 공격방식으로 생각되어 지고 있다. HTTP Cache Control 공격은 Get Flooding 시, HTTP 헤더옵션의 cache control 필드 값 조작으로 웹클라이 언트 cache에 저장된 정보를 사용하지 못하게 하여 웹서버의 불필요한 리소스 소모를 유발하고 궁극적으로 서비스 장애를 일으키는 공격이다. 하지만, 지금까지 알려진 공격논리는 ‘no cache(또는 no store)’ 필드값으로만 개념적으로 설명될 뿐 다른 필드 값 그리고 기술적인 해석 등은 설명되고 있지 않고 있다. 본 논문에서는 HTTP 프로토콜을 준수 여부, 웹서버의 구현 취약점, 공격 영향 정도 다중프로토콜 Flooding 공격 등을 통하여 몇 가지 새로운 사항들을 도출하고 이를 실험을 통하여 검증하고자 한다. 이를 통해, 향후 동일하거나 유사한 공격 발생 시 조금 더 정확하고 효율적인 예방 및 대응에 적극 활용할 수 있기를 기대한다. In the case of web services targeted at an unspecified number of users, it is difficult to apply the security policy of the access control method for the intrusion countermeasure. Therefore, DDoS attacks are considered to be the most threatening attack method in infringement influence. The HTTP Cache Control attack prevents the information stored in the Web client cache from being used by manipulating the value of the cache control field of the HTTP header option, thereby causing unnecessary resource consumption of the Web server. However, the attack logic which has been known so far is conceptually explained only by the ‘no cache(or ’no store’)’ field value, but the other field value and the technical interpretation are not explained. In this study, some new issues are derived through experiments such as compliance with HTTP protocol, implementation vulnerability of web server, and attacks of multiprotocol flooding attacks.

멀티미디어 트래픽의 QoS 보장을 위한 버퍼 점유율에 기반한 실시간 대역폭 할당

백남균,정수환 한국통신학회 2001 韓國通信學會論文誌 Vol.26 No.5

광대역 멀티미디어 서비스 제공을 위한 트래픽 관리 중 자원 할당과 호 수락 제어는 사용자의 다양한 서비스 품질을 보장하기 위한 사항 중 가장 중요한 문제이며 할당 방법과 제어 방법에 따라 망의 운용 효율이 크게 달라진다. 본 논문에서는 기존의 최악의 경우 모델에 의한 고정된 유효 대역폭 할당에 따른 자원의 낭비를 제거하고자 버퍼 점유율에 기반 한 실시간 동적 대역폭 할당 방법에 제안한다. 자원의 효율적인 사용을 위해 입력 트래픽의 증감에 따라 서로 다른 동적 대역폭을 할당하였으며 서비스 품질을 만족시키기 위한 버퍼 큐 크기의 입계값 범위를 도출하여 그에 따른 동적 셀률을 유도 할당하였다. 또한, 시뮬레이션을 통해 제안된 방법의 성능 향상을 소요 대역폭과 호 수락 제어 측면에서 비교 분석하였다.

멀티캐스트를 이용한 VoD 서비스망의 성능 분석

백남균,정수환,민병준 한국통신학회 2000 韓國通信學會論文誌 Vol.25 No.6

VoD 서비스를 제공하기 위해서는 대용량의 저장매체와 전송대역이 필요하며 이를 위해서는 막대한 네트워크 구축비용이 필요하다. 이러한 VoD 서비스 구축비용을 줄이기 위한 방법으로 분산 서버 시스템, 멸티캐스트, 프로그램 caching,, 스트림 sharing 등에 관한 연구가 현재 활발히 진행되고 있다. 본 논문에서는 VoD 스트림을 멀티캐스트로 서버스하기 위한 결정기준과 대역폭 감소비율을 도출하였으며, 멀티 캐스트를 이용한 VoD 서비스 시 감소하는 선로 대역폭, 서버의 내부 대역폭과 증가하는 버퍼 용량과의 관계를 분석하여 멀티캐스트의 적용 타당성과 망 구축비용의 감소폭을 비교하였다. 따라서, 본 연구결과는 멀티캐스트를 이용한 VoD 서비스 제공에 적합한 경제적인 선로 설계와 노드 설계에 활용될 수 있을 것으로 기대된다. A huge storage and broad bandwidth are required to provide subscribers with VoD services. Hence, there is a huge amount of cost in establishing networks for VoD services. To determine how to reduce the cost, a number of studies involving such as distributed server systems, multicasting, program caching, stream sharing, are currently in progress. In this paper, a request criterion for multicast service and the ratio of required bandwidth for unicast to multicast are generated. The effect of multicast service on network bandwidth, server bandwidth, and buffer size was analyzed and validated through computer simulation. The results of this study could be applied to efficient designing networks for VoD services.

DDoS 공격 및 대응 기법 분류 체계 설계 및 비교․분석

백남균,이윤호 사단법인 인문사회과학기술융합학회 2016 예술인문사회융합멀티미디어논문지 Vol.6 No.12

In this paper, we investigated DDoS attack techniques and their limitations. Based on this, 'Denial of service location' is proposed as a new criterion which can cover all the characteristics of the latest attacks such as blended, multi-layered and complex. The new classification system is divided into transmission bandwidth, communication connection, server capacity and application overflow attack. In addition, we proposed 'Design Method', which can cover both commercialization and theoretical countermeasure, as a new criterion. application overflow attack. Next, we compare and analyze the service availability of the defense methods at the network and system side by applying 'the service access rate' and 'the content completion rate', which are user intuition performance evaluation index based on the web protocol characteristics. The direction for selecting the most effective countermeasures for each attack technique is suggested. 본 연구에서는 지금까지 알려진 DDoS 공격 기법과 이에 대한 한계점들에 대해서 알아보고 최신 공격 양상인 혼합(Blended), 다중계층(Multi-Layered) 및 복합(Complex)의 특징을 모두 포괄할 수 있는 ‘서비스 거부 발생 위치'를 새로운 기준으로 도출하여 전송대역, 접속연결, 서버용량 및 응용연결 초과 공격으로 구분된 분류체계를 제안하였다. 또한, 상용화 또는 이론적인 대응 기법 모두를 포괄하여 나타낼 수 있는 ‘설계 방식'을 새로운 기준으로 도출하여 구조, 이상 행위, 인증 및 부하 분산 기반 대응으로 구분된 분류체계를 제안하였다. 다음으로 웹 프로토콜 특성에 기반 하여 객관적이고 정량화된 그리고 측정이 용이한 사용자 직감형 성능평가지표인 ‘서비스 접속률 및 컨텐츠 완성률'을 적용하여, 네트워크 단에서의 대응 기법들과 시스템 단에서의 대응 기법들에 대한 서비스 가용성을 비교‧분석하여 공격 기법별 가장 효과적인 대응기법 선택을 위한 방향성을 제시하였다.