Earticle

In this paper we suggest a technique named N-Gram Indexing(NGI) that can extract valuable the indexes to enhance the performance of network packet inspection with Snort and experiments the NGI. Because volume of network traffic and malicious traffic is increased after the appearance of the Internet, the detection should be achieved very quickly and accurately. To achieve this, there are already advanced researches that Prefix Indexing(PI) and Random Indexing(RI). It verify that the NGI expect to get more efficient performance with experiments to compare with them.

인터넷에서 악성 행위를 수행하는 네트워크 트래픽의 내용이 갈수록 정교해지고, 그 양 또한 계속해서 증가하게 되면서, Snort와 같은 네트워크 침입 탐지 시스템에서의 정확하고 신속한 시그니쳐 검사가 중요해졌다. 무수한 입력 패킷에 대해 모든 시그니쳐를 전부 검사하는 방식으로는 효율적인 시그니쳐 검사가 불가능하므로, 본 논문에서는 이를 개선하기 위해 증가형 접두사 인덱싱 방법을 제안한다. 증가형 접두사 인덱싱 방법을 사용할 경우 패킷 검사에 필요한 시그니쳐의 양을 상당히 줄일 수 있게 되며 이로 인해 성능 향상을 기대할 수 있음을 실험적으로 보인다.

Network traffic that involved in malicious activities on the Internet has become more sophisticated over the years and the volume of the traffic has also grown significantly. As the detection of such malicious traffic should be done very quickly and accurately, decent signature matching techniques for intrusion detection systems, such as Snort, are required. Matching thousands of signatures to all incoming packets is inefficient in the perspective of achieving fast detection of malicious traffic. In this paper, we suggest a signature matching method named Growing Prefix Indexing (GPI) that dramatically reduces the number of signatures to be examined. We also present experimental results that verify the efficiency of using the proposed method.

악성코드는 악의적인 목적으로 타인의 컴퓨터에 영향을 끼칠 수 있는 프로그램으로 최근에는 대부분의 악성코드들이 최초 공개된 소스에 기반하여 그 감염 방법과 증상들이 다양해지는 변형 코드로 발전하며 진화하고 있다. 실시간으로 변형되는 악성코드를 기존에 생성된 바이러스 시그니처로 탐지하기 어려운 한계점에 도달하게 되었고, 난독화 및 암호화 된 코드에 대한 정적분석 문제점을 극복하기 힘든 어려움으로 인하여 동적분석 방법에 대한 많은 연구가 이루어져 왔다. 본 논문에서는 동적분석과 정적분석에 대한 특징, 형태 및 문제점을 분석하고 주요 특징 별로 분류하여 악성코드 유사성에 대한 기준을 제안하고 실험을 통하여 유사성 규칙의 정확도를 보인다. 생성된 규칙을 이용하여 알려진 공격용 툴킷 및 변형코드에 대한 공통된 유사성을 분석하고 동일여부를 판별할 수 있을 것으로 기대된다.

Others for the purpose of malicious code, malicious computer program that can have an impact on the most recently published their first source of malicious code based on the symptoms of the infection and how they developed into a diverse and variant code has evolved. The malicious code in real-time deformation generated previously difficult to detect the virus signature threshold is reached, and to code obfuscation and encryption for static analysis is difficult to overcome the problems due to the difficulty, many studies on the dynamic analysis method consists of have. In this paper, for dynamic analysis and static analysis features, form and analysis of issues and classified by the main characteristic malicious code based on similarities to suggest the accuracy of the experiment seems to rule through a similarity. By rules created and transformed known attack code for the toolkit to analyze the similarities common to determine whether the same is expected.

본 논문에서는 공격트리를 이용하여 공격 발생과 진행 정도에 따라 위협을 평가하는 방법을 제시하였다. 위협평가는 기존의 보안 대응책을 평가하고 취약점을 식별하며, 각 취약점에 따른 위협수준을 산출한다. 제안한 위협평가 방법은 공격트리를 이용하여 공격 이벤트 발생확률과 위협지속 값에 따라 위협을 평가한다. 공격트리는 정보시스템에 대한 위협을 표현하는데 유용하다. 제안한 위협평가 방법은 공격 진행에 따른 위협 수준을 평가하는 정량적 위협평가 방법론을 제공한다. 그래서 여러 가지의 공격 유형별로 위협수준을 평가하고 보안대응책을 제시함으로써 효율적인 위험관리 정책을 수립할 수 있다.

In this paper, we presented threat assessment method according to attack occurrence and progress in attack tree. A threat assessment estimates the existing security safeguards, identifies vulnerabilities, and assesses threats level on each vulnerability. Our proposed threat assessment method is used to evaluated threat level by attack event occurrence probability and threat persistence value in attack tree. Attack tree is useful mechanism to describe threats on information systems. The proposed threat assessment method is a quantitative threat assessment approach that estimates the threats level by attack progress. Thus the suitable risk management policy can be established to efficiently reduce threat level from different types of attack.

전력계통의 SCADA 시스템은 높은 수준의 가용성(낮은 고장 빈도와 신속한 복구)이 요구되며, 매우 높은 수준의 계측 정확성이 요구된다. 이를 위해 수신 데이터의 검증이 필요하고 부적절하거나 부정확한 제어동작의 방지가 필요하다. SCADA 네트워크는 초기에 기능의 효율성과 신뢰도를 극대화하기 위해 설계되었기 때문에 보안 측면에 대한 고려가 약한 측면이 있다. 이러한 상황에서 전력시스템이 스마트그리드로 진화함에 따라 그러한 보안취약성은 더욱 증가하고 있고, 이를 위해 국가 주요 인프라로서의 전력시스템에 대한 보안대책을 수립할 필요가 있다. 전력산업은 국가기간산업이고 다른 산업으로의 파급효과가 크기 때문에, 보안 관련 사고가 한번이라도 발생할 경우 막대한 손실을 감내하여야 하는 부담이 있는 만큼 발생 가능한 모든 경우에 대한 사전 인지 및 대응책이 필수적이다. 본 논문에서는 그러한 연구의 시작단계로서 전력시스템에서 발생할 수 있는 다양한 보안취약성에 대한 정의 및 분류를 위한 프레임워크를 제공하고자 한다.

An electric power system requires the high level of availability (low outage rate and fast restoration), and the integrity and confidentiality on data measurement, and control process. For the essential requirements, it is needed to procure a countermeasure for protecting the power system from the potential threats. SCADA system has a long history since it was developed and the security aspects were not considered in the beginning stage because it was an isolated system. However, the SCADA system is evolving into the Smart Grid which is connected to public networks and the cyber threats are more realistic also in the power system. The power system is one of major critical infrastructures in a country, so it is very important to prevent the system from being damaged by the threats in advance considering the potential damage cost when the system security is breached. In this context, this paper proposes a framework to identify and classify the vulnerabilities on the power system, which is the first stage of establishing security countermeasures.

인터넷 상에서 보안 응용 분야가 지속적으로 증가하고 있기 때문에 보안 회선의 확보는 매우 중요하다. 본 논문은 임의의 인터넷 환경에서 개인 및 기관의 통신 회선을 보안 회선으로 전환할 수 있는 보안 단말기를 위한 패킷 변환 모듈에 대해 기술한다. 패킷 변환 모듈은 네트워크 상의 RTP/SRTP 패킷을 캡쳐하고 이를 변환하고, 재전송할 수 있도록 한다. 이를 통해 두 보안 단말기 사이에 일반회선을 안전한 보안 회선으로 전환할 수 있다. 구현된 패킷 변환 모듈은 4대의 Linux PC 개발 환경에서 검증되었으며 보안 단말기로 사용될 수 있는 MBA2440 보드에 이식되었다.

To acquire secure channels is very important due to the proliferation of the secure application areas in Internet. We developed a packet translation module for secure terminals that can convert an ordinary communication channel to a secure channel in the Internet environment. The packet translation module captures, translates, and forwards RTP/SRTP packets on networks. Using the functionalities, an arbitrary channel between two secure terminals can be converted to a safe secure channel. The implemented packet translation module was verified using a development environment of four Linux PC machines and ported on a MBA2440 board. that can be used for a secure terminal.

한국의 정보통신망법 및 개인정보보호법에서는 개인정보의 유출·변조·훼손 등을 방지하기 위하여 개인정보의 보호조치를 시행하도록 규정하고 있다. 특히 개인정보보호법이 본격적으로 시행됨에 따라 개인정보보호와 관련된 법을 적용하는 사업자의 범위가 민간기업을 포함하게 되었다. 민간기업의 경우, 기업의 규모 및 업종이 매우 다양하기 때문에 개인정보보호방안을 수립하고자 할 때, 접근권한·인증·암호화 및 자체감사 등의 기술적·관리적 보호조치에 대한 세부적 기준이 요구된다. 본 논문에서는 각각의 민간 기업 분야별 특이요소 및 기업의 규모에 따른 고려사항을 도출하고, 이에 대한 개인정보보호 기술적 관리적 조치를 제시하였다. 본 논문의 업종 및 규모의 특성에 따른 개인정보의 관리 방안은 민간기업의 개인정보관리 담당자에게 개인정보의 안전한 관리에 유용한 정보로 이용될 것으로 기대된다.

Korean information communication act and personal information protection act have articles of regulating the leakage, manipulation and destroy of personal information. According to the laws, it is mandatory to deploy the protection measures for personal information. Especially, the personal information protection act strongly regulates private companies' personal information handling. When it comes to private companies' personal information handling, there are various kinds of business such as real estate, health-care, tourism and so on. In addition, the scale of companies is very diverse. There is a need of developing detail guideline of access control, authentication, encryption and auditing considering diversity of business type and companies' scale. This paper presents the technical and administrative security countermeasures for private companies considering the companies' business type and scale. This work can be referred to as a good guideline for secure personal information handling in private sectors based on the Korean personal information protection act.

안드로이드 모바일 기기의 사용 증가와 함께 불법 복제된 앱들의 배포도 증가하고 있다. 트래픽분석을 위한 네트워크 패킷 분석이나 불법 컨텐츠 배포자를 역추적하기 위한 핑거프린팅 적용 기술에 대한 연구는 이미 진행되고 있으나 현재까지 네트워크에서 전송 중인 안드로이드 앱에 대한 불법 앱 전송 탐지 기술 연구는 매우 미흡한 상황이다. 본 논문에서는 핑거프린팅 기술이 적용된 불법 판단 여부가 가능한 앱(apk)을 대상으로 HTTP, FTP와 같이 많이 사용되는 통신 프로토콜에서 불법 앱 전송 상황을 탐지할 수 있는 방안을 제시한다. 패킷 스니핑, 분석, 조합 과정을 통해 조합된 오브젝트의 apk 파일 여부 판단을 위해 apk 파일이 가지는 특징점을 분석하고 사용함으로써 apk 파일 판별과 불법 앱 판별에 대한 정확성을 높였다. 또한 네트워크 디바이스 드라이버 수준에서 스니핑을 수행하여 고속의 네트워크 환경에 적용시 발생할 수 있는 속도 저하 문제를 최소화 하였다.

As android mobile devices are used more and more, the distributions of illegal apps are also increasing rapidly. The packet analysis technologies for network traffic and the finger printing technologies for tracing illegal content distributors have been studied to manage the network effectively and to protect illegal usage of digital contents. However, the technology for detecting illegal apps transferred in the network hasn’t been studied yet. In this paper, we present a detection method of illegal android apps in which finger printing technology is applied. By extracting and using app features, we could precisely distinguish apk from object files, which were composed through packet sniffing, analysis, and combination. Moreover, we could detect illegal apps with 95% precision. We avoided the reduction of the system speed by making packet sniffing at the network device driver level.

스마트폰의 증가와 더불어 수많은 앱이 등장했고 앱의 불법복제도 함께 늘어나고 있다. 앱의 불법복제를 방지하기 위하여 본 논문에서는 전통적인 공개 키 구조를 이용하여 불법적으로 복제되는 앱을 정당한 사용자만 쓸 수 있도록 앱 자체를 암호화 하여 배포하는 방법을 설계 하였다. 앱을 제공하는 서버는 인증된 사용자에게 안드로이드의 DEX 파일 일부를 암호화 하여 배포한다. 모두 다른 대칭키를 이용하여 암호화되기 때문에 다른 사용자가 다운로드 받은 파일을 가져오거나 네트워크상에서 다운로드 받는 파일을 가로채도 복호화 할 수 없게 된다. 이러한 공개키 구조를 이용한 안드로이드앱 암호화 시스템을 구성하고 시나리오를 만들었다.

Along with increase of smart phones, many applications have been emerged, and illegal app duplications are also increasing at the same time. To protect the apps from illegal duplication, this research designed a method to distribute the apps which the only legitimate users can use by making the application itself encrypted using traditional public key infrastructure. The server that provides the users with apps distributes a part of Android’s DEX file to the certified users having encrypted its binary. Since each apps are to be encrypted making use of different symmetric keys, other end users are unable to bring the file which has been downloaded, or even if they have snatched the file downloaded, they will not be able to carry out decryption. Making use of such public key infrastructure, this research configured Android apps encryption system and came up with a scenario as well.