최근 정보통신 기술의 발전으로 국가 주요 핵심 기반시설(Critical National Infrastructure)의 제어시스템에 대한 개방형 프로토콜 적용 및 외부 시스템과의 연계 등이 점차 증가되고 있다. 이러한 추세는 국가 핵심 기반시설이 사이버 침해 및 공격에 따른 위협에 노출됨은 물론 ...
최근 정보통신 기술의 발전으로 국가 주요 핵심 기반시설(Critical National Infrastructure)의 제어시스템에 대한 개방형 프로토콜 적용 및 외부 시스템과의 연계 등이 점차 증가되고 있다. 이러한 추세는 국가 핵심 기반시설이 사이버 침해 및 공격에 따른 위협에 노출됨은 물론 사이버 테러 및 해킹, 바이러스 등에 의해 원격 조작 및 통제되는 경우 심각한 위험에 빠질 수 있음을 의미한다. 특히 기존의 보안기술은 알려진 공격(Well-Known Attack)에만 대응하도록 설계되었기 때문에 공격패턴이 알려지지 않은 신종 공격이 국가 주요 핵심 기반시설을 공격하면 막대한 피해가 불가피하다.
허니넷 시스템은 공격자나 악성코드에 의한 네트워크 기반 공격을 탐지하고 분석하기 위한 유용한 도구이며, 지난 수년간 신종공격에 대한 공격 도구, 공격 기법 및 공격동기를 파악하고 대처할 수 있는 보안 메커니즘으로서의 가치가 충분히 입증된 바 있다. 그러나 허니넷의 설치 및 운영에 따른 막대한 물리적, 시간적 비용 발생은 허니넷 시스템의 확대적용에 대한 주요 장애물이 되고 있다.
본 논문에서는 최근 IT분야의 화두로 떠오르고 있는 가상화(Virtualization)기술을 적용하여 기존 허니넷 시스템의 장점을 유지하면서 허니넷 시스템의 자원문제, 구축 및 운영관리 문제를 줄일 수 있는 가상 허니넷 모델을 제시하였다. 또한 공격의도 확인기반의 데이터 분석 및 수집기법, 포커스 지향(Focus-Oriented) 분석기법을 제시하여 운영비용을 최소화할 수 있는 가상 허니넷 모델을 제안하였다. 제안된 모델을 기반으로 서비스 공격의도 확인 기반의 호스트 및 데이터 수집기법, 네트워크 공격패턴 시각화 기법 등을 적용한 가상 허니넷 기반의 신종공격 탐지시스템을 설계하고 구현하였다.
또한, 제안된 시스템의 시험을 위한 테스트베드를 구축하였고, 일련의 실험을 통해 시스템의 기능 및 성능을 평가하였다. 실험 결과, 제안된 시스템은 외부 공격자에 의해 시도된 DoS, Port Scan, Multi-Get Request 등의 공격행위에 대해 성공적으로 탐지함을 확인하였다.
본 논문에서 제시된 가상 허니넷은 공격자가 가상 허니넷의 존재여부를 어렵지 않게 파악할 수 있으므로 현재에는 자동화된 악성코드나 초·중급 공격자에 제한적으로 적용될 수 있다. 고급 공격자에 의한 사이버 공격을 탐지하기 위해서는 가상 허니넷 기술의 사용여부를 은닉할 수 있는 기법에 대한 추가연구가 필요하며, 악성코드 수집 및 분석 기술에 대한 개선이 요구된다. 또한, 보다 다양한 실험 시나리오의 개발을 통해 본 논문에서 제시한 서버 및 클라이언트허니팟 공격탐지 메커니즘에 대한 전반적인 성능검증이 필요하다. 향후 바이러스와 웜의 특성을 이용하여 감염 속도를 최대화 한 혼합형 보안 위협(Blended Threat)분야에 가상 허니넷의 행위 탐지기반 기법의 적용 가능성에 대한 검증 또한 필요하다.
최근 정보통신 기술의 발전으로 국가 주요 핵심 기반시설(Critical National Infrastructure)의 제어시스템에 대한 개방형 프로토콜 적용 및 외부 시스템과의 연계 등이 점차 증가되고 있다. 이러한 추세는 국가 핵심 기반시설이 사이버 침해 및 공격에 따른 위협에 노출됨은 물론 사이버 테러 및 해킹, 바이러스 등에 의해 원격 조작 및 통제되는 경우 심각한 위험에 빠질 수 있음을 의미한다. 특히 기존의 보안기술은 알려진 공격(Well-Known Attack)에만 대응하도록 설계되었기 때문에 공격패턴이 알려지지 않은 신종 공격이 국가 주요 핵심 기반시설을 공격하면 막대한 피해가 불가피하다.
허니넷 시스템은 공격자나 악성코드에 의한 네트워크 기반 공격을 탐지하고 분석하기 위한 유용한 도구이며, 지난 수년간 신종공격에 대한 공격 도구, 공격 기법 및 공격동기를 파악하고 대처할 수 있는 보안 메커니즘으로서의 가치가 충분히 입증된 바 있다. 그러나 허니넷의 설치 및 운영에 따른 막대한 물리적, 시간적 비용 발생은 허니넷 시스템의 확대적용에 대한 주요 장애물이 되고 있다.
본 논문에서는 최근 IT분야의 화두로 떠오르고 있는 가상화(Virtualization)기술을 적용하여 기존 허니넷 시스템의 장점을 유지하면서 허니넷 시스템의 자원문제, 구축 및 운영관리 문제를 줄일 수 있는 가상 허니넷 모델을 제시하였다. 또한 공격의도 확인기반의 데이터 분석 및 수집기법, 포커스 지향(Focus-Oriented) 분석기법을 제시하여 운영비용을 최소화할 수 있는 가상 허니넷 모델을 제안하였다. 제안된 모델을 기반으로 서비스 공격의도 확인 기반의 호스트 및 데이터 수집기법, 네트워크 공격패턴 시각화 기법 등을 적용한 가상 허니넷 기반의 신종공격 탐지시스템을 설계하고 구현하였다.
또한, 제안된 시스템의 시험을 위한 테스트베드를 구축하였고, 일련의 실험을 통해 시스템의 기능 및 성능을 평가하였다. 실험 결과, 제안된 시스템은 외부 공격자에 의해 시도된 DoS, Port Scan, Multi-Get Request 등의 공격행위에 대해 성공적으로 탐지함을 확인하였다.
본 논문에서 제시된 가상 허니넷은 공격자가 가상 허니넷의 존재여부를 어렵지 않게 파악할 수 있으므로 현재에는 자동화된 악성코드나 초·중급 공격자에 제한적으로 적용될 수 있다. 고급 공격자에 의한 사이버 공격을 탐지하기 위해서는 가상 허니넷 기술의 사용여부를 은닉할 수 있는 기법에 대한 추가연구가 필요하며, 악성코드 수집 및 분석 기술에 대한 개선이 요구된다. 또한, 보다 다양한 실험 시나리오의 개발을 통해 본 논문에서 제시한 서버 및 클라이언트 허니팟 공격탐지 메커니즘에 대한 전반적인 성능검증이 필요하다. 향후 바이러스와 웜의 특성을 이용하여 감염 속도를 최대화 한 혼합형 보안 위협(Blended Threat)분야에 가상 허니넷의 행위 탐지기반 기법의 적용 가능성에 대한 검증 또한 필요하다.
Recently, application of open protocols and external network linkage to the national critical infrastructure is gradually growing with the development of information and communication technologies. This trend could be means that the critical national infrastructure is exposed to cyber attacks and ca...
Recently, application of open protocols and external network linkage to the national critical infrastructure is gradually growing with the development of information and communication technologies. This trend could be means that the critical national infrastructure is exposed to cyber attacks and can be seriously jeopardized when it gets remotely operated or controlled by viruses, crackers, or cyber terrorists. Existing security technologies generally have been designed to meet the well-known attacks, if unknown patterns of attack has occurred, enormous damages to the critical national infrastructure is inevitable.
The Honeynet system is very useful to detect and analyze network-based attacks by the cracker or malicious code. And the Honeynet system has proven its worth for the past several years as a tool and a security mechanism to cope with new attacks that can pick out their attack methods and motives. However, in order to install and operate, the Honeynet system requires enormous physical and temporal cost which is significant barrier to expand the system.
In this thesis, virtual Honeynet model that can reduce installation and operation resource problems of Honeynet system with is proposed. It has the merits of Honeynet system adapting the virtualization technology, recently hot issue in IT domain. Also, virtual Honeynet model that can minimize operating cost is proposed here with data analysis and collecting technique based on the verification of attack intention, and focus-oriented analysis technique. With the proposed model, new type of attack detection system based on virtual Honeynet is designed and implemented with the host and data collecting technique based on the verification of attack intention, and the network attack pattern visualization technique.
To test proposed system, we establish test-bed and evaluate the functionality and performance through series of experiments. As a results, the proposed system successfully detects that the attempts such as DoS, Port Scan and Multi-Get Request by external attackers.
Because attacker can identify the existence of virtual Honeynet without any difficulty, it can be limited to automated malicious code or basic, intermediate attacker. To detect cyber attack by advanced attackers, further research is needed to conceal whether virtual Honeynet is used and to improve collection and analysis technology for malicious code. Also, sever & client Honeypot attack detection mechanism needs to be verified through wide range of experimental scenarios. The possibility to apply virtual Honeynet’s behavior detection-based techniques to blended threat field which maximized infection rate with characteristics of viruses and worms in the future need to be verification.
Recently, application of open protocols and external network linkage to the national critical infrastructure is gradually growing with the development of information and communication technologies. This trend could be means that the critical national infrastructure is exposed to cyber attacks and can be seriously jeopardized when it gets remotely operated or controlled by viruses, crackers, or cyber terrorists. Existing security technologies generally have been designed to meet the well-known attacks, if unknown patterns of attack has occurred, enormous damages to the critical national infrastructure is inevitable.
The Honeynet system is very useful to detect and analyze network-based attacks by the cracker or malicious code. And the Honeynet system has proven its worth for the past several years as a tool and a security mechanism to cope with new attacks that can pick out their attack methods and motives. However, in order to install and operate, the Honeynet system requires enormous physical and temporal cost which is significant barrier to expand the system.
In this thesis, virtual Honeynet model that can reduce installation and operation resource problems of Honeynet system with is proposed. It has the merits of Honeynet system adapting the virtualization technology, recently hot issue in IT domain. Also, virtual Honeynet model that can minimize operating cost is proposed here with data analysis and collecting technique based on the verification of attack intention, and focus-oriented analysis technique. With the proposed model, new type of attack detection system based on virtual Honeynet is designed and implemented with the host and data collecting technique based on the verification of attack intention, and the network attack pattern visualization technique.
To test proposed system, we establish test-bed and evaluate the functionality and performance through series of experiments. As a results, the proposed system successfully detects that the attempts such as DoS, Port Scan and Multi-Get Request by external attackers.
Because attacker can identify the existence of virtual Honeynet without any difficulty, it can be limited to automated malicious code or basic, intermediate attacker. To detect cyber attack by advanced attackers, further research is needed to conceal whether virtual Honeynet is used and to improve collection and analysis technology for malicious code. Also, sever & client Honeypot attack detection mechanism needs to be verified through wide range of experimental scenarios. The possibility to apply virtual Honeynet’s behavior detection-based techniques to blended threat field which maximized infection rate with characteristics of viruses and worms in the future need to be verification.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.