• 한국통신학회논문지
• /
• 제30권4C호
• /
• pp.296-304
• /
• 2005

본 논문에서는 네트워크의 생존성을 보장하고 신뢰성 높은 인터넷 서비스를 제공하기 위해 인터넷의 액세스점에 위치하는 예측기반 이상 트래픽 제어기(ATCoP, Abnormal Traffic Controller based on Prediction)를 제안한다. ATCoP는 네트워크로 유입되는 트래픽 중 이상 트래픽을 제어하는 방법으로서, 알려지지 않은 공격에 의해 트래픽이 과다하게 발생하는 경우에, 정상 트래픽에 우선권을 주기 위해 서비스 성공률을 측정하고 그 결과를 기준으로 정상 트래픽용 예약 채널의 수를 결정하여 정상 트래픽의 서비스 수준을 보장함으로써 서비스 생존성을 높히는 방법이다. 만일 예약 채널의 수가 증가하면, 이상트래픽에 할당되는 채널의 수가 감소하게 되어 이상트래픽의 서비스 생존율은 감소하게 된다. 분석결과, 제안 방식은 입력트래픽의 특정 범위에서는 정상트래픽의 블록킹율을 일정 수준으로 유지시켜주는 효과가 있음을 알 수 있었다.

• 한국통신학회논문지
• /
• 제30권1C호
• /
• pp.107-115
• /
• 2005

본 논문에서는 네트워크의 생존성을 보장하고 신뢰성 높은 인터넷 서비스를 제공하기 위한 차세대 보안기술로서 인터넷의 액세스점에 위치하는 이상 트래픽 제어기(ATC, Abnormal Traffic Controller)를 제안한다. ATC의 주요 개념은 이상 트래픽 감지와 트래픽 제어기술에 있는데, 네트워크에서 에러의 요인이 계속 존재하거나 반복되는 경우 이상 트래픽 제어를 통해 서비스 완료성을 가능한 보장하는 것을 그 목적으로 한다. 분석결과, 이상 트래픽 중 유효 트래픽의 비율이 $30{\%}$를 초과하는 경우에는 이상 트래픽에 대한 제어정책을 사용하는 ATC는 기존의 네트워크 노드 뿐만 아니라 차단정책을 사용하는 ATC보다 우수한 성능을 나타내었다. 과다 트래픽의 알려지지 않은 공격이 발생하는 경우, 높은 오탐지율로 인해 기존의 네트워크 IDS로는 한계가 있는데, 이러한 환경에서 ATC는 네트워크 노드를 도와서 이상 트래픽을 제어하는데 주요한 역할을 수행하게 된다.

• KSII Transactions on Internet and Information Systems (TIIS)
• /
• 제5권2호
• /
• pp.313-329
• /
• 2011

To provide a seamless network to customers, Internet service providers must promptly detect and control abnormal traffic. One approach is to shorten the traffic information measurement cycle. However, performance degradation is inevitable if traffic measurement servers merely shorten the cycle and measure all traffic. This paper presents a software architecture that can measure traffic more frequently without degrading performance by estimating the level of abnormal traffic. The algorithm in the architecture estimates the values of the interface group objects in MIB by using the IP group objects thereby reducing the number of measurements and the size of measured data. We evaluated this architecture on part of Internet service provider's IP network. When the traffic was measured 5 times more than before, the CPU usage and TPS of the proposed scheme was 7% and 41% less than that of the original scheme while the false positive rate and false negative rate were 3.2% and 2.7% respectively.

• 대한전자공학회논문지TC
• /
• 제43권7호
• /
• pp.84-92
• /
• 2006

서비스거부 공격 또는 분산서비스거부 공격과 같이 단시간 동안 대량의 비정상 트래픽이 발생하였을 경우, 이에 대응하기 위한 기법들에 대해 많은 연구가 진행되었다. 본 논문에서는 비정상 트래픽에 대응하기 위한 대표적인 기법들인 공격차단 기법과 공격경감 기법을 이론적으로 비교한 내용을 보이고자 한다. 공격차단 기법은 일반적으로 필터링 규칙을 기반으로 특정 네트워크로 유입된 네트워크 트래픽에 대해 통과 또는 차단을 실시하는 기법을 의미한다. 그리고 공격경감 기법은 트래픽 전송경로 상에 존재하는 라우터에서 각 라우터들이 가지고 있는 비정상 트래픽 정보를 기반으로 해당 트래픽에 대해 필터링 작업을 실시하거나, 목적지 네트워크의 게이트웨이 상에서 유입된 트래픽의 서비스품질을 제어하는 방법으로 비정상 트래픽에 대해 대응 작업을 실시하는 기법을 의미한다. 비교 기준으로는 공격탐지루틴이 동작한 후, 통과하는 정상 트래픽과 오탐지 트래픽 비율로 하며, 공격경감 기법에 사용할 수 있는 구체적인 트래픽 대역폭 비율을 추가로 보이도록 한다.

• 한국산학기술학회논문지
• /
• 제15권8호
• /
• pp.5256-5262
• /
• 2014

최근 국가기관, 언론사, 금융권 등에 대하여 분산 서비스 거부(Distributed Denial of Service, DDoS) 공격, 악성코드 유포 등 무차별 사이버테러가 발생하고 있다. DDoS 공격은 네트워크 계층에서의 대역폭 소모를 주된 공격 방법으로 정상적인 사용자와 크게 다르지 않는 패킷을 이용하여 공격을 하기 때문에 탐지 및 대응이 어렵다. 이러한 인터넷 비정상적인 트래픽이 증가하여 네트워크의 안전성 및 신뢰성을 위협하고 있어 비정상 트래픽에 대한 발생 징후를 사전에 탐지하여 대응할 수 있는 방안의 필요성이 대두되고 있다. 본 연구에서는 비정상 트래픽 탐지 기법에 대한 현황 및 문제점을 분석하고, 예측방법인 추세 모형, 지수평활법, 웨이브렛 분석 방법 등을 비교 분석하여 인터넷 트래픽의 특성을 실시간으로 분석 및 예측이 가능한 가장 적합한 예측 모형을 이용한 탐지 방법을 제안하고자 한다.

• 한국지능시스템학회논문지
• /
• 제18권5호
• /
• pp.679-684
• /
• 2008

느린 포트스캔 공격 탐지는 네트워크 보안에서 중요한 분야 중 하나이다. 본 논문에서는 퍼지 룰을 이용한 비정상 트래픽 컨트롤 프레임워크를 이용한 느린 포트스캔 공격을 탐지하고 대응하는 방법을 제안한다. 비정상 트래픽 컨트롤 프레임워크는 침입차단 시스템으로 동작하면서 의심 단계의 네트워크 트래픽을 대응하는 기능을 가진다. 본 논문에서 제안하는 방법은 공격 혹은 공격 의심 트래픽에 대해 단계적 대응을 한다. 먼저 의심 단계에 있는 트래픽에 대해 대역폭을 줄여 서비스를 하다가 최종적으로 공격으로 판명되면 트래픽을 차단한다. 본 논문에서는 제안한 방법을 프레임워크에 구축하고 실험을 통해 느린 포트스캔 공격에 효과적임을 보인다.

• 한국항공운항학회지
• /
• 제17권3호
• /
• pp.32-39
• /
• 2009

Due to the lack of navigable airspace caused by worldwide air traffic increases, air traffic control(ATC) services are becoming more complex, which results in the increase of aircraft accidents. To cope with these challenges, major aviation institutes abroad are actively conducting research regarding the human factors affecting controllers but as of late, no such specialized activities have been found in Korea. Due to the dynamic attributes of ATC operations, management of controller's situation awareness(SA) and workload, and knowledge on the impact of abnormal aircraft to controllers are very important. Furthermore, using actual flight data of each country will lead to valuable results, because individually, it has different airspace characteristics and air traffic volumes. This study assumed that air traffic difficulties would affect the controller's SA and workload. To testify the above hypothesis, the abnormal air traffic situations are simulated by using ATC simulator. The findings indicated that the effect of traffic situations containing abnormal aircraft on the controller's SA and workload, it led to demand increase and supply decrease in SA, and increased mental demand, temporal demand, effort and mean workload score in the workload.

• 제어로봇시스템학회:학술대회논문집
• /
• 제어로봇시스템학회 2005년도 ICCAS
• /
• pp.1568-1570
• /
• 2005

The internet is already a part of life. It is very convenient and people can do almost everything with internet that should be done in real life. Along with the increase of the number of internet user, various network attacks through the internet have been increased as well. Also, Large-scale network attacks are a cause great concern for the computer security communication. These network attack becomes biggest threat could be down utility of network availability. Most of the techniques to detect and analyze abnormal traffic are statistic technique using mathematical modeling. It is difficult accurately to analyze abnormal traffic attack using mathematical modeling, but network simulation technique is possible to analyze and simulate under various network simulation environment with attack scenarios. This paper performs modeling and simulation under virtual network environment including $NGSS^{1}$ system to analyze abnormal traffic-flooding attack.

• International Journal of Computer Science & Network Security
• /
• 제24권1호
• /
• pp.52-60
• /
• 2024

APT (Advanced Persistent Threat) attack is a dangerous, targeted attack form with clear targets. APT attack campaigns have huge consequences. Therefore, the problem of researching and developing the APT attack detection solution is very urgent and necessary nowadays. On the other hand, no matter how advanced the APT attack, it has clear processes and lifecycles. Taking advantage of this point, security experts recommend that could develop APT attack detection solutions for each of their life cycles and processes. In APT attacks, hackers often use phishing techniques to perform attacks and steal data. If this attack and phishing phase is detected, the entire APT attack campaign will be crash. Therefore, it is necessary to research and deploy technology and solutions that could detect early the APT attack when it is in the stages of attacking and stealing data. This paper proposes an APT attack detection framework based on the Network traffic analysis technique using open-source tools and deep learning models. This research focuses on analyzing Network traffic into different components, then finds ways to extract abnormal behaviors on those components, and finally uses deep learning algorithms to classify Network traffic based on the extracted abnormal behaviors. The abnormal behavior analysis process is presented in detail in section III.A of the paper. The APT attack detection method based on Network traffic is presented in section III.B of this paper. Finally, the experimental process of the proposal is performed in section IV of the paper.

• 전자공학회논문지SC
• /
• 제48권5호
• /
• pp.25-30
• /
• 2011

본 논문은 교통 감시를 수행하는 고정 카메라에서, 움직이는 물체들의 궤적을 사용자가 입력한 사용자 지정 경로를 바탕으로 그 정상/비정상성을 판별하는 방법을 제안한다. 제안된 방법은 입력된 경로 정보를 미리 정해진 규칙에 따라 각각의 이동 물체에 대한 비정상성(abnormality)을 계산하고 이를 임계값(Threshold)과 비교하여 비정상 행위를 판별해낸다. 사용자의 경로 정보 입력 기능을 이용하기 때문에 기존의 방법들에서 사용한, 계산량과 시간 소모가 크며 학습 데이터에 의해 그 성능이 크게 영향을 받는 정상 행위 (normal behavior) 모델링 단계를 배제하여 보다 빠르고 정확한 판별 결과를 제공한다. 뿐만 아니라 단순히 지정된 규칙만을 이용하지 않고 주어진 환경에 따라 규칙을 변형 적용하여 보다 강인한 판별 결과를 제공한다. 실험 결과는 본 논문에서 제안한 방법이 각종 교통 상황에서 발생하는 불법 및 비정상 교통 행위를 강인하게 판별해 냄을 보여준다.