<4D F736F F D20C1B6B7E6B1C75FBCAEBBE7B3EDB9AE2E646F63>

Size: px
Start display at page:

Download "<4D F736F F D20C1B6B7E6B1C75FBCAEBBE7B3EDB9AE2E646F63>"

Transcription

1 엔터프라이즈네트워크에서인터넷웜의탐지방법2006조룡권

2 석사학위논문 엔터프라이즈네트워크에서 인터넷웜의탐지방법 조룡권 ( 赵龙权 ) 정보통신학과 ( 네트워크전공 ) 포항공과대학교정보통신대학원 2006

3 엔터프라이즈네트워크에서 인터넷웜의실시간탐지방법 A Real-Time Detection Method for Internet Worms on Enterprise Networks

4 A Real-Time Detection Method for Internet Worms on Enterprise Networks by LONGQUAN-ZHAO Department of Computer and Communications Engineering POSTECH Graduate School for Information Technology A thesis submitted to the faculty of POSTECH Graduate School for Information Technology in partial fulfillment of the requirements for the degree of Master of Engineering in the Department of Computer and Communications Engineering. Pohang, Korea December 21, 2005 Approved by Major Advisor: James Won-Ki Hong

5 엔터프라이즈네트워크에서 인터넷웜의탐지방법 조룡권 위논문은포항공과대학교정보통신대학원석사학 위논문으로학위논문심사위원회를통과하였음을인정 합니다 년 12 월 21 일 학위논문심사위원회위원장홍원기 ( 인 ) 위원서영주 ( 인 ) 위원송황준 ( 인 )

6 MCC 조룡권, LONGQUAN ZHAO, A Real-Time Detection Method for Internet Worms on Enterprise Networks, 엔터프라이즈네트워크에서인터넷웜의실시간탐지방법, Department of Computer and Communications and Engineering, 2006, 40P, Advisor: J.Won-Ki Hong, Text in Korean ABSTRACT The enterprise networks are suffering from the battle with the Internet worm. After the slammer worm s outbreak in 2003, the subject of detection Internet worm became the most important issue on the area of network security. One of most popular systems to detect internet worms are signature based IDS (intrusion detection system) on local networks. Signature based (misuse) IDS defines sets of rules with signatures and detect worms by matching the packets to the rules. This kind of IDS systems need to compare the whole packet include packet payload to the rule set so require long processing time. Another problem of signature based IDS system is that it can not detect new kind of worms because it does not have signatures of new worms. Global scope detection algorithms are the other most popular solution to detect internet worms. These kinds of algorithms are not easy to implement on local networks and are not suitable to the enterprise networks. Real-time requirement is an important factor for a worm detection system. Many real-time solutions are focused on the meaning of detecting worms in the early stage of its breakout. They seldom 1

7 mention about the other meaning of real-time, to minimize the processing time. In this thesis, we propose an Internet worm detection method, which is easy to implement on local networks. The proposed algorithm is traffic behavior based detection and thus can detect internet worms in real-time. To validate our algorithm, we first developed Worm Traffic Generator which could generate the scanning traffic of the Internet worms. The Generator has a very user-friendly UI so that the users could generate the worm traffic by simply clicking buttons or inputting values. We utilized this tool to generate quantity worm traces. The real time detection system which implemented by the proposed algorithm detected all kind of these worm traces. We also deployed the detection system on our campus network and analyzed the detection results. 2

8 목 차 1 서론 관련연구 SIGNATURE-BASED 탐지방법 실시간탐지방법 인터넷전역을대상으로하는탐지방법 수학적모델링방법 ICMP type 3 메시지를이용한탐지방법 기타방법 LOCAL NETWORK DETECTION Destination Source Correlation(DSC) 탐지방법 Honey-Net을이용한탐지방법 본논문의기여 인터넷웜의탐지알고리즘과탐지시스템 인터넷웜의탐지알고리즘 인터넷웜탐지시스템의구조 패킷의수집 Flow Generator Suspicious List Generator Inbound Flow Analyzer Internet Worm Detection Worm Alarm Web UI based Presenter 탐지시스템의구현 POSTECH 네트워크의구성 구현에사용된툴과방법 인터넷웜탐지알고리즘의검증

9 4.1 실험환경 실제웜코드의실행을통한실험 WORM TRAFFIC GENERATOR GLOBAL-RANDOM 웜의탐지 GLOBAL-SEQUENTIAL 웜의탐지 LOCAL-RANDOM/SEQUENTIAL 웜의탐지 WORM TRAFFIC GENERATOR를통한검증의결론 POSTECH 네트워크에서탐지결과 탐지결과의분석 Sequential 스캐닝웜 Random 스캐닝웜 정상트래픽 탐지결과에관한결론 결론및향후과제...38 참고문헌

10 그림목차 그림 1 THE FLOWCHART OF WORM DETECTION ALGORITHM...15 그림 2 THE 3-TUPLE FLOW FORMAT...16 그림 3 알고리즘의 PSEUDO CODE...17 그림 4 탐지시스템의구조...18 그림 5 POSTECH 네트워크에서트래픽수집...21 그림 6 알고리즘의검증을위한위한실험환경...24 그림 7 WDS에서탐지한 BLASTER 트래픽...25 그림 8 WDS에서탐지된 SLAMMER WORM 웜...26 그림 9 WORM TRAFFIC GENERATOR의모듈...26 그림 10 WORM TRAFFIC GENERATOR의입력화면...28 그림 11 GLOBAL-RANDOM 웜의첫두 OCTET의분포도...29 그림 12 인터넷전역주소로의 SEQUENTIAL SCANNING...31 그림 13 로컬네트워크를타겟으로하는 RANDOM/SEQUENTIAL 웜...31 그림 14 SEQUENTIAL WORM의탐지결과...34 그림 15 RANDOM 웜의탐지결과...35 그림 년 5월13일 10:07분의전체탐지결과...36 표목차 표 1 UDP 1434포트로전체 IPV4 대역에랜덤으로스캐닝...29 표 2 TCP 445 포트 GLOBAL-SEQUENTIAL 스캐닝웜의트래픽

11 1 서론 인터넷이발달하고이를사용하는사용자수는계속적으로증가하면서많은네트워크서비스또한만들어지고있다. 이러한인터넷의성장과더불어다양한네트워크보안공격에대한위협들도증가하였다. 1988년 Morris[1] 웜의출현이래로인터넷웜에의한보안공격들은계속증가되어왔고, 날로그피해가심화되여가고있다. 35만9천여호스트를감염시킨 CodeRed[2] 와 10분만에 7만5천여호스트를감염시킨 Slammer[3] 웜이그대표적예로써그손실은수백만, 수천만달러에달한다. 또인터넷웜은그전파방법과수단이날로발전하여은밀하고탐지하기가갈수록어려워지고있다. 인터넷웜은 네트워크를통해사용자의개입이없이스스로복사 전파하면서취약점이있는서비스를공격하는악성코드 이다 [4]. 인터넷웜은네트워크를통하여전파됨으로전파과정에일정한트래픽특성을갖고있다. 인터넷웜의트래픽특성에대한관찰은인터넷웜을탐지하는데기초적근거를제시하여준다. 사용하는프로토클, 취약점이있는서비스검색을위한스캐닝, 스캐닝을위하여타겟을선정하는방법등은인터넷웜의트래픽특성이다. 인터넷웜은전파과정에 TCP 나 UDP 프로토클을사용한다. CodeRed, Nimda[6], Sasser[7] 그리고 Blaster[5] 등의대부분의 인터넷웜들은 TCP 프로토클을사용하였다. TCP 프로토클을 1

12 사용하는인터넷웜은먼저취약점이있는호스트를검색하기위하여타겟을선정하여 SYN패킷을보내는데이과정은스캐닝이다. TCP 프로토클을사용하는인터넷웜의대부분의트래픽은이과정에발생하게된다. TCP웜은가능하면많은호스트에스캐닝을하여타겟을찾아야함으로많은양의트래픽을유발하게된다. TCP와달리 UDP를사용하는인터넷웜은 SYN 패킷을보내서연결을맺는과정이필요없기때문에네트워크대역폭을최대한이용하여동시에대량의웜본체를실은스캐닝패킷을전송하게된다. 대표적인 UDP 인터넷웜은 Slammer 웜과 Witty[8] 웜이다. 두인터넷웜모두최대한이용할수있는대역폭을사용하여스캐닝동시에웜본체를발송하여웜본체의크기가작고트래픽양이크다는특징들을갖고있다. 인터넷웜은취약점이존재하는서비스나호스트혹은네트워크를타겟으로감염을시도한다. 즉취약점이존재하는포트를목표로하기때문에인터넷웜이발생시에많은패킷이특정포트에몰리는트래픽현상을보인다. 하나의인터넷웜이여러가지취약점을이용하여탐지와제어를피해가는것은 Nimda[6] 웜이출현한이래많은인터넷웜에서사용하는방법이되고있다. 인터넷웜은취약점이있는타겟을스캐닝할때, 순차적방법이거나, 랜덤방법을사용하게된다. 순차적방법이란, 어떤초기타겟의 IP 주소로부터시작한순차적인한개블록의 IP주소에대하여스캐닝하는것이다. 순차적스캐닝은타겟 IP주소가순차적으로증가하는트래픽특성을보여주고있다. Blaster는전체 2

13 스캐닝의 60% 의경우감염한대상호스트로부터시작한 20개의순차적 IP주소를스캐닝하였다 [9]. 다른하나의가장대표적인스캐닝방법은랜덤스캐닝으로타켓으로할 IP 범위를결정하고선정된 IP 범위내에서랜덤으로스캐닝을실행한다. SQL Slammer나 CodeRed 같은대부분의웜은 IPv4 전체대역을범위로하고랜덤 스캐닝을하였다. 이런랜덤스캐닝은존재하지않는 IP 주소나 존재하지않는호스트, 존재하지않는서비스로패킷을보내는특성을갖고있다. 랜덤스캐닝은타겟 IP 범위를조절할수있는데 ARP Routing Table에근거하여 Routing 가능한 Network 대역, IANA IP v4 Allocation Table[10] 혹은 Bogon List[11] 를참조하여존재하는범위의 IP 대역등을그범위로선정하여스캐닝하는방법도존재하지만 [12] 아직까지는이런스캐닝의기술을사용한인터넷웜이출현되지않고있다. 그원인은이런세밀한방법으로 IP범위를선정하여스캐닝하려면, 그런리스트를인터넷웜본체에실어야하고그것은결국인터넷웜의크기를늘리게되며, 나아가서는전파속도를현저히저하시키기때문이다. 인터넷웜의탐지에관한연구는인터넷웜의발생한시작부터지속적으로진행되여왔으며특히 2003년 Slammer웜의출현된이래, 네트워크보안분야에서가장중요한이슈의하나로떠올랐다. 대부분의연구활동은인터넷전체대역에대한분산된모니터링기법으로인터넷웜을조기에탐지하는방법을제시하고있다. [13,14,15,16] 이런방법의문제점은모니터링하는네트워크의범위가커서국가간, ISP간혹은대형회사간의상호협력과연동이 3

14 필요하다는것이다. 이런방법은로컬이나 Enterprise 네트워크에 적합하지않으며또적용할수도없다 [17]. 많은로컬이나 Enterprise 네트워크의관리자들은 IDS 시스템을도입하여인터넷웜을탐지하는데적용한다. 이런 IDS 시스템은수집한패킷의전체를 signature와비교해야하여많은처리시간을요하게되며또한새로운인터넷웜의 signature를가지고있지않아새로운웜에대응할수없다. 로컬이나 Enterprise 네트워크에적응하는알고리즘을제안한연구로는 Qin 등의연구 [18] 가있다. 이연구에서는인터넷웜이존재하지않는로컬네트워크에서새롭게나타나는웜에대한탐지에초점을두고있다. 본논문은엔터프라이즈네트워크에서실시간으로인터넷웜행위를탐지하는방법을연구하는데초점을맞춘다. 대규모네트워크가아닌엔터프라이즈네트워크를모니터링의대상으로분석하였고, 오프라인이아닌실시간탐지를목표로했으며, Payload를포함한 signature비교가아닌 IP header만의분석을하였으며, 네트워크에인터넷웜이존재하던존재하지않던내부에서인터넷웜에감염된호스트를정확하게 Identify하는데목적을두었다. 이런접근방법을통해간단하면서도정확한인터넷웜탐지알고리즘을설계하였다. 알고리즘의검증을위하여우리는인터넷웜트래픽발생툴을 4

15 개발하였으며이툴을사용하여다양한웜의트래픽을발생하여웜탐지알고리즘의정확하게인터넷웜을탐지하는것을검증하였다. 또한실제 Campus Network에서시스템을구현하고탐지된인터넷웜의트래픽분석을통해인터넷웜의특징을파악하였고더불어제시한탐지알고리즘을검증하였다. 제안한알고리즘에의해구현된시스템은인터넷웜을정확히탐지하였을뿐만아니라인터넷웜과비슷한트래픽특성을갖고있는정상트래픽도정확히분류한다. 본논문의구성은다음과같다. 2장에서는관련연구에대해서알아보고 3장에서는로컬네트워크에적합한알고리즘을제안하고그에맞게설계한탐지시스템의구조를설명하며 4장에서는먼저인터넷웜발생툴에대한설명과더불어이툴을사용하여알고리즘의검증결과를보여주며 5장에서는탐지시스템을실제 Campus Network에구축하여실시간으로수집된인터넷웜의탐지결과를분석하여알고리즘을검증하였으며마지막으로 6장에서는결론을짓고향후연구방향을제시한다. 5

16 2 관련연구 인터넷웜의탄생된이래인터넷웜의탐지에관한연구는활발히진행되어왔으며지속적으로진행되여갈것이다. 이번장에서는이런연구에관한분류를통하여우리가제안하는탐지알고리즘의목표를명확히하였다. 2.1 Signature-based 탐지방법 Intrusion Detection System(IDS) 은 Enterprise 네트워크에서가장 선호하는인터넷웜탐지시스템이다. IDS 는 misuse 탐지방법과 anomaly 탐지방법두가지가있는데 misuse 탐지방법이란네트워크에서공격성패킷의 signature를 Database나 Rule Set에저장하여네트워크트래픽에서같은 signature를갖고있는패킷들을비정상으로판단하는방법이고, anomaly 탐지방법은정상적인트래픽패턴을모델링하여그런패턴에맞지않는패킷들은 비정상으로보는방법이다. 로컬네트워크에서가장많이사용하는 방법은 misuse 탐지방법으로트래픽에 signature와매칭하는부분이존재하면그트래픽을비정상으로판단한다. 이런방법이인터넷웜의탐지에사용되였을때문제점은두가지이다. 먼저이런시스템은새로운유형의인터넷웜에대한 signature를갖고 있지않기때문에새로운웜을탐지할수가없다. 다른한가지 문제점은 signature set 과전체패킷 (header 와 payload 모두 ) 을 비교하여야하기때문에많은 Processing Time 을요하게된다. 이는 6

17 실시간탐지시스템에적용하기어렵다는문제점을야기하는것이다. 이런 signature based 탐지시스템의대표적인예는 Snort[27] 과 Bro[28] 를들수있다. Signature-based IDS시스템에관한최근의연구를보게되면 [19] 의 Bharath의방법이다. 이시스템은모니터링부분과 IDS부분으로나누어져있으며모니터링부분에서빈도가높게출현되는 signature가 IDS에존재하지않으면새로운 signature로 IDS에업데이트하여다음부터같은트래픽이검출될때그것을비정상으로판단할수있다. 일정하게새로운웜에대해서탐지할수있게방법이개선되였지만, 많은처리시간이수요되는문제점은개선할수가없다. 우리가이논문에서제안하는알고리즘은 traffic behavior based 탐지방법으로인터넷웜의스캐닝특성에의해서 IP 패킷의 header정보로만기가비트네트워크에서실시간으로인터넷웜을탐지할수있다. 2.2 실시간탐지방법 실시간탐지란두가지뜻을내포하고있다. 첫째는인터넷웜이발생했을때짧은시간내에그인터넷웜을탐지할수있어야하는것이고두번째는엔터프라이즈네트워크에서수집되는트래픽을즉시즉시처리하여짧은시간내에수만, 수십만개의패킷을처리할수있어야한다. 7

18 많은연구들이실시간탐지에대해다루어지고있지만 [16,18,20], 대부분의연구는실시간탐지의첫번째의미에만목표를하고있다. 탐지하는데걸리는처리시간에대하여언급한연구는거의찾아보기힘들다. 컴퓨터시스템이나네트워크장비의자원은제한되여있으므로짧은시간내에처리하여자원의점유시간을줄여주어야한다. 우리는 TCP SYN 패킷이나 UDP 패킷의 Header만수집하여분석함으로써전체처리시간을줄여실시간탐지를가능케하였다. 2.3 인터넷전역을대상으로하는탐지방법 인터넷웜을탐지함에있어서가장많이이루어진연구는인터넷전역을대상으로모니터링하여분석탐지하는방법이다. 인터넷전역을대상으로탐지하는시스템은일반적으로분산된여러기점의모니터링과모니터링데이터를분석하는중앙지점의탐지분석하는부분으로나누어구성된다. 모니터링시점에서수집하는데이터의종류와탐지분석기법의다름으로하여수학적모델링방법, ICMP type 3 탐지방법외각로컬네트워크의비정상트래픽을보안업체에서수집하여조기에탐지하는방법등몇가지로분류할수있다 수학적모델링방법 수학적모델링기법을사용하여인터넷웜을탐지하는데가장앞서 갔던연구는 Zou [14] 의 Epidemic Model 을적용한연구이다. 취약점이존재하는호스트수, 이미감염된호스트수, 인터넷웜의 8

19 전파속도사이의관계가 Epidemic Model을따른다는것을관찰하였고그에기초하여전체적인인터넷을모니터링함으로써인터넷웜의조기탐지가가능하게하였다. Chen [22] 은 Analytical Active Worm Propagation(AAWP) 모델을제안함으로써랜덤스캐닝하는인터넷웜의트래픽인터넷웜의 Patching Rate, Death Rate 등을고려한탐지방법을제시하였다. 또 Jiang[12] 은여러가지앞으로발생가능한 Selective Random 스캐닝, Routable 스캐닝, Divide and Conquer 스캐닝기법 (Random Scanning의여러가지유형 ) 을관찰하고그상황을모델링함으로써탐지하는방법을제안하였다 ICMP type 3 메시지를이용한탐지방법 하나의흥미로운연구는 ICMP type 3 메시지 (Destination Port or host unreachable) 를수집하여탐지하는방법이다 [20]. 이방법은전체인터넷범위에서분산된로컬네트워크들을모니터링하고각로컬네트워크에서수집된 ICMP type 3 메시지를분석하여인터넷웜을탐지한다. 인터넷웜이랜덤스캐닝을하기때문에존재하지않는호스트나서비스에패킷을전송함으로써 ICMP type 3 메시지가다량발생하는특성을이용한것이다 기타방법 Symantec[23], CAIDA[24] 등대형보안업체는전세계의광범한 User 와로컬네트워크로부터비정상로그를수집하는시스템을 9

20 구축함으로써인터넷웜의조기탐지와경고를목표로하고있다. 이런 Global-Scope을대상으로하는탐지방법은많은국가나 ISP, 대형보안업체들의공동협력이필요하기때문에그실현에여러어려움이존재하게된다. 그리고이런탐지방법들은로컬네트워크를대상으로하였을때탐지하는 Parameter의변화같은것들이너무미세하고또동일한방법이라도로컬네트워크에서구현하기가어렵기때문에로컬네트워크에서인터넷웜을탐지하는데적용될수없다. 2.4 Local Network Detection 로컬네트워크에서인터넷웜을적시적으로탐지하는시스템을구축하는것은인터넷웜의감염원을조기에발견하고차단할수있는가장효과적인방법이다. 로컬네트워크단위의탐지시스템의구현은용이하여정형화된탐지방법을보급화한다면전체적인네트워크에서의조기탐지가가능해질것이다 Destination Source Correlation(DSC) 탐지방법 [18] 에서 Qin은로컬네트워크에적합한 Destination Source Correlation 알고리즘을제안하였다. 이방법은 In-Outbound 트래픽을수집하고두가지트래픽사이의연관되는상호관계에의해인터넷웜을탐지한다. 이알고리즘은감염되지않은로컬네트워크에서아주효과적이나이미인터넷웜에감염된환경의 10

21 네트워크에서는그효력을발생하지못하게된다 Honey-Net 을이용한탐지방법 존재하지않는 Host나서비스를실제존재하는것처럼가상화하여 Hacker나인터넷웜이해당서비스나 Host IP로스캐닝행위를할때그트래픽을수집하여비정상트래픽의특징을조기에파악하여인터넷웜의탐지에사용하는방법으로하나의서비스나호스트로실행하는것은 Honey-Pot 이고, 여러개의 Honey-Pot으로구성된시스템은Honey-Net 시스템이라고한다 [25, 21]. Honey-Pot 시스템의가장어려운점은시스템을구현하기어렵고전체로컬네트워크의 IP나서비스에대한수시로업데이트되는정보를확보하여야한다는것이다. 2.5 본논문의기여 우리는이논문에서 Global-Scope네트워크가아닌로컬네트워크를대상으로용이하고쉬운알고리즘을제안한다. 우리의알고리즘은패킷의 Payload가아닌패킷의 IP header만으로탐지의전반분석을진행하게됨으로써 Processing시간을최소화하였으며인터넷웜의대표적인스캐닝특성에의한탐지방법임으로새로운웜에대해서도탐지가가능하다. 분산된시스템이아닌 Internet Junction에서만트래픽을수집함으로시스템을용이하게구현할수있다. 제안한알고리즘은로컬네트워크상의 IP 배분현황이나실행서비스에대한 11

22 정보를보유할필요가없으며인터넷웜에감염되거나비감염상태 모두정확하게인터넷웜을탐지할수있다. Worm Traffic Generator를통하여인터넷웜의스캐닝패킷들을발생하였고그트래픽을 Worm Detection System이제대로탐지하는것을확인하였고, 실제캠퍼스네트워크에서구현하고인터넷웜을탐지하고수집된인터넷웜트래픽의분석을진행함으로써알고리즘을검증하였다. 12

23 3 인터넷웜의탐지알고리즘과탐지시스템 이번장에서는인터넷웜의알고리즘을설명하고그알고리즘에 근거하여디자인된탐지시스템을보여준다. 3.1 인터넷웜의탐지알고리즘 인터넷웜의트래픽특성에근거하여우리는탐지알고리즘을 제안하였다. 그알고리즘에대해서말하기앞서우리는먼저인터넷 웜의스캐닝특성에대해서더깊이살펴보도록한다. 인터넷웜의가장큰악영향은과다한트래픽양으로하여네트워크의마비를일으키는데있다. 이런과다한트래픽양은인터넷스캐닝단계에대부분발생한다. 때문에인터넷웜의탐지는인터넷웜의스캐닝단계에이루어져야하며스캐닝특성을기초로 하여분석되여야한다. 우리가제안하는알고리즘은인터넷웜의 스캐닝특성의분류를기초로그특성에맞는트래픽을분석함으로써인터넷웜을탐지하였다. 이용한인터넷웜의스캐닝특성에대해서논하자면, 첫째로인터넷웜은특정된 Destination Port로많은양의스캐닝패킷을발생한다는것이다. 엔터프라이즈네트워크의한개호스트가거의동시에몇백, 몇천개의패킷을내보는경우는 P2P 트래픽이나인터넷웜트래픽을제외하고는다른 Application에서는찾아볼수없다 [26]. 이런스캐닝특징에근거하여우리는인터넷웜의탐지방법을제안하였고그구제적방법은아래와같다. 먼저모니터링하는엔터프라이즈네트워크의한호스트에서한 13

24 특정된 Destination Port로많은양의패킷을발생하는트래픽을 Suspicious List로간주하였다. 다음으로이용한인터넷웜의스캐닝특성은 Sequential/Random Scanning이다. Sequential웜 ( 예를들면 Blaster, Scalper 등 ) 은목적지주소가순차적으로증가하는특성을갖고있으며, Random Scanning 웜 ( 대부분의웜 ) 은 Assign되지않은 Destination IP 대역에스캐닝을하는특성을갖고있다. 우리의알고리즘은앞에서찾아낸 Suspicious List에서이런특성을갖고있는트래픽을추출하여인터넷웜트래픽으로간주하였다. 마지막으로우리가이용한인터넷웜의스캐닝특성은 In-Outbound 트래픽의상호관계이다. Inbound Traffic에서도상응한 Destination Port로많이분산된 Destination IP로패킷이흘러드는특성을이용하여 P2P나정상트래픽을분류하였다. 위와같은인터넷웜의스캐닝단계에서나타내는트래픽특성을이용하여우리는효과적으로인터넷웜을탐지할수잇는알고리즘을제안한것이다. 그림 1은알고리즘의 Flowchart를보여주고있다. 그림에서 Dest_IP는목적지주소를말하며 flow는그림 2의포맷과같은 3-tuple Packet들의모음이다. Flowchart에서볼수있듯이탐지는크게두개부분으로나뉜다. 먼저 Suspicious List를생성하고다음에 Suspicious List에서인터넷웜트래픽을분류해내는것이다. Suspicious List는 Outbound Traffic의 flow 들로구성되는데여기서말하는 Flow는일정한시간내에수집된 Destination Port, Protocol, Source Host IP Address가같은패킷들의집합을말한다 [ 그림 2]. 14

25 그림 1 The FlowChart of Worm Detection Algorithm 한 Flow의 Packet Count가 Threshold Value를넘으면이런 Flow를 Suspicious List에추가하게된다. P2P와인터넷웜트래픽을제외한다른트래픽은발생하는 SYN패킷이일정한임계값을초과하지않는다는연구는 [26] 에서진행된바있다. Threshold값의조절로우리는 P2P나인터넷웜트래픽만으로구성된 Suspicious List를구성할수있는것이다. 모든 Flow에대해서다이런검증이끝나면 Outbound Traffic에서의전체적인 Suspicious List를얻게된다. Suspicious List가구축되면다음단계에서는이 Suspicious List에서어느 flow가인터넷웜트래픽인지를여러절차에걸쳐 15

26 분석한다. 처음절차는 flow 의 Destination IP Address 가 Sequential 인지를체크한다. 만약 Sequential 이라면해당 flow 는 인터넷웜 flow 로판정되고해당 Source Host 는인터넷웜에감염 그림 2 The 3-tuple Flow Format 된것으로탐지된다. Sequential 하지않다면다음절차는 Destination IP Address 중에 Unallocated IP address 가있는지를체크한다. 여기서비교하는대상은 IANA IP v4 Allocation Table[10] 로 Destination IP중에이 Table에서배정되지않은 IP를사용하는것이하나라도존재하는지를체크한다. 만약없다면이런 flow는정상적인 flow로보고다음 flow로넘어가고 Unallocated IP를사용한다면얼마나많이사용되는지를체크한다. Normal Traffic도간혹 Unallocated IP로트래픽을보낼수있으므로일정한수치이상의개수가나오는지를체크하여그이상이면인터넷웜으로판정한다. Unallocated IP 개수가일정수치이하로나오는 flow들은마지막비교절차를거쳐인터넷웜인지아닌지를판단하게된다. Inbound Traffic에서해당 flow의 Destination Port로 Destination IP의분포도를관찰하는것이다. 정상트래픽은엔터프라이즈네트워크의제한된 IP와 Connection을맺고있겠지만, 인터넷웜트래픽같은경우는그취약점이존재하는 Destination Port로 16

27 Distinct Destination IP의분산도가높다. Suspicious List에서 Unallocated IP를사용했던 flow에존재하는 Destination Port의 Inbound에서의 Distinct Destination IP의분산도가높으면인터넷웜으로판단한다. 분산도가낮은나머지 flow들은정상트래픽으로분류한다. Figure 2는알고리즘의 Pseudo Code이다. 알고리즘의검증은 Worm Traffic Generator를통한비교분석 ( 제4장 ), POSTECH 네트워크에서의구현 ( 제5장 ) 을통하여진행하였다. 그림 3 알고리즘의 Pseudo Code 3.2 인터넷웜탐지시스템의구조 17

28 알고리즘에의하여구현하는웜탐지시스템의구조는과같이여러 개의모듈과 Component 로구성되였다 패킷의수집 패킷의수집은엔터프라이즈네트워크가외부인터넷과연결되는링크에서이루어진다. 네트워크링크에 Tap을물려수집하거나라우터에서미러링시키는방법을사용할수있다. 수집되는패킷은 Payload를제외한 IP Header만수집함으로써처리시간과처리량을줄인다. 양방향의트래픽을모두수집하여스캐닝성질을갖는패킷들 (TCP SYN, UDP packets) 만 Flow Generator로보낸다. 그림 4 탐지시스템의구조 18

29 3.2.2 Flow Generator Flow Generator에서는 Packet Capture에서수집된 Scanning Packet을일정한 Interval Time단위로 3-tuple flow를구성한다. 3-tuple flow란 Source IP Address, Destination Port, Protocol 세가지속성이같은 Interval time사이에수집된패킷들의집합정보이다. 이런세가지속성이같은 packet들의 packet count, start time, end time, Destination Host 등의정보가 flow data에저장되게된다. 이런 Flow는메모리혹은 HDD에저장된다. ( 실시간탐지를위해서는 Memory에저장되여야한다.) Suspicious List Generator 이모듈은 Network Administrator 가설정한 Threshold 값을 읽어서 ( 파일이나, 데이터베이스 ) Packet Count 가 threshold 값보다큰 flow 들을 suspicious list 에저장한다 Inbound Flow Analyzer Inbound Flow Analyzer는 Inbound Traffic에서각 Destination 포트로의 Destination IP의분산도를측정한다. 모든 port에대해서얼마나많은서로다른목적지주소로스캐닝패킷을뿌리는지를 Count하여그리스트를메모리에저장한다 Internet Worm Detection Suspicious Flow 내의목적지주소들의구성을관찰함으로써먼저 19

30 그주소들이 Sequential 하게분포되였는지체크하고다음에 Unallocated IP 주소가그중에존재하는지를체크하고 Inbound Flow Analyzer 에서각포트별목적지주소분산도와비교하여 인터넷웜의트래픽을분류한다. 결과물은인터넷웜에감염된 flow 들이다 Worm Alarm Internet Worm Detection에서탐지된 flow내의 Source IP, Destination Port, Time등의정보로 Administrator에이메일이나실시간 SMS를보내는모듈이다. 이모듈은 Human Intervention으로인터넷웜의전파를최소화하려는데그목적이있다 Web UI based Presenter 시스템의네트워크에 Setup될때각단계에서사용할 threshold값의설정및조절등의 Network Administrator의 UI controller와인터넷웜탐지결과를보여주는 Webpage 생성하는부분이다. 임계지값이나탐지결과는 Database나 File로저장되여탐지시스템의 Main부분과상호연동된다. 3.3 탐지시스템의구현 우리는 POSTECH 네트워크에제안한구조를갖는실시간탐지시 스템을구현하였다. POSTECH 네트워크는 B 클래스네트워크로내부 에 6 천여대의호스트와서버들로구성된엔터프라이즈성격을가진 20

31 네트워크로서알고리즘검증에적합한네트워크이다 POSTECH 네트워크의구성 그림 5와같이 POSTECH 네트워크는두개의라우터로외부네트워크에연결되였고두개의코어스위치는두개의라우터와완전 그림 5 POSTECH 네트워크에서트래픽수집 연결방식으로연결되여있다 [29]. 이 4개의연결선에 4개의 Optical tap을설치함으로써 POSTECH 네트워크에서흘러가는전체의패킷을수집한다. 수집된패킷들은웜탐지시스템에보내서인터넷웜인지를검사하게된다 구현에사용된툴과방법 인터넷탐지시스템은레드헷리눅스 9.0 OS 를설치한 PC 서버에 구현되였다. 모든모듈은 C 언어로작성되였고, 사용한 Database 는 21

32 MySql 이다. 결과를보여주는웹페이지는 PHP 로작성되여그 결과를실시간으로확인할수있다. 22

33 4 인터넷웜탐지알고리즘의검증 제안한알고리즘의검증을위하여우리는연구실의스위치전면에모니터링시스템을구축하였다 [ 그림 6]. 스위치앞부분에설치된리눅스박스에서연구실의내부와밖으로흐르는패킷을모두수집하여제안한알고리즘에의해구현된 Worm Detection System(WDS) 에서탐지결과를분석하여알고리즘이인터넷웜의스캐닝트래픽을제대로탐지하는지를관찰하였다. 이런검증을위하여실험환경을구축하였고여러가지인터넷웜의트래픽을발생가능한 Worm Traffic Generator를개발하였다. Worm Traffic Generator를이용하여 Global-Random, Global-Sequential, Local-Random, Local-Global 웜의트래픽을발생하여탐지결과를분석하였다. 4.1 실험환경 실험에서사용된 Switch Hub에연결되여있는 Host수는대략 10대였고그중에한 Host는 Worm Traffic을 Generate하기위하여사용되였다. 다른 Host들은연구실에서정상적으로사용되는 Host였으며전부 Windows XP를 OS로사용하고있다. 모든내부의 Host는 Linux Box내에설치된 Bridge를통하여외부와 Connection을한다. WDS 시스템은제시한알고리즘에근거하여내부에서인터넷웜에감염된호스트를 Identify한다. Suspicious List 를생성시그임계값은 1분에 TCP SYN 200 패킷, UDP

34 패킷이다. Input 은같이 Bridge 를흐르는모든패킷이고 Output 은 Suspicious List, 그리고인터넷웜에감염된 flow 들이다. 그림 6 알고리즘의검증을위한위한실험환경 Firewall은 Generate된인터넷웜스캐닝패킷이인터넷으로유출하는것을차단해준다. WDS의 False Positive의측정을위하여먼저실제인터넷웜의코드를실행시켜탐지결과를관찰하였고다양한인터넷웜트래픽을생성하기위하여자체로개발한 Worm Traffic Generator를이용하였다. 4.2 실제웜코드의실행을통한실험 연구를위하여우리는실제 Decoding 된인터넷웜의 C 코드를 확보하였고이런실제코드를컴파일실행하여인터넷웜의트래픽을 Generate 하였다. 인터넷웜의코드는정확하게인터넷웜이이용했던 24

35 포트를사용하는것이아니라 Slammer 웜은 UDP 1178 (1434) 포트, Blaster웜은 TCP 128 (135) 포트를사용하였다. 실험은 2005년 09월09일 17시 24분에 Blaster Worm, 23시 48분에 Slammer웜트래픽을발생하였다. WDS의탐지결과는각각 [ 그림 7, 그림 8] 와같이 Blaster Worm은 Sequential 로, Slammer웜은 Random Scanning웜으로판정하고있다. 그림 7 WDS 에서탐지한 Blaster 트래픽 우리의알고리즘은정확하게실제웜이발생한트래픽을인터넷 웜으로판정하였고내부네트워크의어떤호스트가감염되였는지를 보여주고있다. 이런실제웜의코드를확보하는데는일정한 어려움이있고다양한웜트래픽이발생시정상적으로작동하는지를검증하여야할것이다. 이런다양한인터넷웜의트래픽의발생을위하여우리는인터넷웜의트래픽발생툴 Worm Traffic Generator를디자인개발하였고이를사용하여가능한많은실험을할수있었다. 25

36 그림 8 WDS 에서탐지된 Slammer Worm 웜 4.3 Worm Traffic Generator 그림 9 Worm Traffic Generator 의모듈 여러가지인터넷웜의스캐닝트래픽을 Generate하기위하여우리는 Worm Traffic Generator를개발하였다. 우리가고려한 Worm Traffic Generator의요구사항은다음과같다. 1) User Friendly Interface: User 가조작하기쉽고편리해야한다. 2) Flexibility: 인터넷웜의트래픽특성패러미터로모든웜의 26

37 스캐닝패킷을 Generate 할수있어야한다. 3) Scalability: Unix 시스템이나윈도우시스템에다실행가능해야한다. 앞에서와같은요구사항으로디자인된 Generator의구조는그림4 와같다. GUI를통하여유저는인터넷웜의패러미터를선택하고 Parameter Aggregation을통하여원하는인터넷웜을생성하고 Traffic Generation을통하여 IP layer 패킷을생성하여 Thread를이용하여트래픽을생성한다. 인터넷웜의트래픽특성에서필요한패러미터는모두선택가능하기때문에여러가지인터넷웜트래픽을생성할수있다. 예를들면, TCP 445 포트의취약점을이용하는랜덤스캐닝웜의트래픽을 20초간격으로한번에 300패킷씩발생하고싶다면 protocol에서 TCP를선택하고 Destination Port에 445를입력하고 Interval 값을 20으로입력하고 Scanning Rate를 300으로입력하고 Scanning Policy를 Random으로선택하여 Generate시키면된다. Protocol, Destination Port, Interval, Scanning Rate, Scanning Policy 등은모두이툴에서선택가능한패러미터인것이다. 그외에도 Scanning Range, Worm Body Size, Worm Payload, Number of Infected Host등의패러미터도고려하여조작하기쉽고편리한 Worm Traffic Generator를구현하였다. 우리는구현된 Generator를이용하여 Global-Random, Global-Sequential웜, Local-Random, Local-Sequential 웜트래픽이발생할때 Worm Detection System의탐지결과를고찰하였다. 27

38 4.4 Global-Random 웜의탐지 2005년 12월 17일 12:37분에 Worm Traffic Generator를이용하여 Global Random Scanning 웜의스캐닝트래픽을발생하여그결과를관찰하였다. 표 1과같이 UDP 1434-Random-Unlimited speed 웜트래픽을발생시킨결과 Worm Detection System에서탐지된웜의트래픽은표 1과같다. 그림 11은이런트래픽의 Destination IP주소의분포도이다. 그림에서볼수있듯이첫두바이트 IP 주소는전역에랜덤하게분산되어있다. 그림 10 Worm Traffic Generator 의입력화면 28

39 표 1 UDP 1434포트로전체 IPv4 대역에랜덤으로스캐닝 Protocol Port Destination IP Source IP Source Port UDP Random 웜의목적지주소분포 두번째바이트주소 첫바이트주소 그림 11 Global-Random 웜의첫두 Octet 의분포도 4.5 Global-Sequential 웜의탐지 29

40 TCP 445포트로인터넷전역으로 Sequential한웜의트래픽을발생하여 Worm Detection System에서탐지한트래픽은표 2와같이그목적지주소가순차적으로올라감을볼수있다. 인터넷전역을대상으로하는인터넷웜의트래픽은랜덤으로인터넷전역주소를 Seed로찾은후그이후의주소에 Sequential하게웜의트래픽을복사전파하고있다. 그림 12은탐지한인터넷웜트래픽의목적지주소의마지막바이트가 sequential하게증가하는것을보여준다. 표 2 TCP 445 포트 Global-Sequential 스캐닝웜의트래픽 Protocol Port Destination IP Source IP Source Port Local-Random/Sequential 웜의탐지 일부인터넷웜은로컬스캐닝을먼저실행함으로써감염속도를향상 30

41 300 Sequential Worm 의목적지주소 마지막 Octet 의값 패킷개수 그림 12 인터넷전역주소로의 Sequential Scanning 시키고있다. Blaster웜이그대표적인예이다. Worm Traffic Generator로로컬네트워크를목적지로하는 Random/Sequential한인터넷웜트래픽을발생한결과 Worm Detection System에서탐지한결과는그림 13오류! 참조원본을찾을수없습니다. 와같다. 목적지주소의 3,4번째바이트주소의 31

42 그림 13 로컬네트워크를타겟으로하는 Random/Sequential 웜분포는웜트래픽발생툴에서발생한것과같이랜덤혹은순차적으로변하고있다. 4.7 Worm Traffic Generator 를통한검증의결론 이장에서는먼저실제웜의코드의실행을통하여인터넷웜트래픽을확보하였고그인터넷웜의트래픽을 Worm Detection System 이효과적으로탐지함을볼수있었다. 다음에우리는다양한인터넷웜의트래픽을발생하는 Worm Traffic Generator의개발을하였으며, 이런툴을사용하여인터넷웜의탐지알고리즘을검증하는과정을설명하였다. 이런과정을통하여 TCP/UDP 웜, Global/Local 웜, Random/Sequential 웜스캐닝트래픽을 WDS가 False Positive없이잘탐지함을볼수있었다. 다음장에서우리는이런시스템을실시간으로엔터프라이즈네트워크에적용했을때탐지결과를분석한다. 32

43 5 POSTECH 네트워크에서탐지결과 WDS 가정상적으로인터넷웜을탐지하는지를검증하기위하여 우리는실제엔터프라이즈네트워크에 3.3 과같이알고리즘을이용한 실시간탐지시스템을구축하여그탐지결과를분석하였다. 탐지된웜트래픽의특성을분석함으로써알고리즘에의해설계된시스템이정상적으로인터넷웜을탐지하고정상트래픽을분별해내는지를알아보았다. 이과정의실험을통하여제안된알고리즘이엔터프라이즈네트워크에서인터넷웜을효과적으로탐지할수있음을검증하였다. POSTECH 네트워크에서수집되는패킷수는 1분에 만개로이런패킷을빠르게처리하기위하여 Hashing을사용하였고 Database에대한조회를최소한으로줄이고메인메모리에서대부분의연산을진행하였다. 모든연산처리는 1분내에완성되여그결과가 Database에저장된다. 시스템은실시간으로작동하고웹페이지를통하여실시간으로결과를확인할수있다. 5.1 탐지결과의분석 POSTECH 네트워크에구현된탐지시스템은 2005 년 12 월 20 일 01:58 과 21:00 에각각 Random Scanning Worm, Sequential Worm 을발견하였다. 33

44 5.1.1 Sequential 스캐닝웜 탐지시스템은 2005년 12월 20일 21:00에 Sequential 스캐닝웜을탐지하였다. 1분동안에UDP 포트 5445로 1965개의 Sequential한 Destination IP주소로스캐닝하는인터넷웜에감염된호스트 ( ) 를탐지함을그림 14로부터볼수있다. 전형적인 sequential scanning 특징을갖는인터넷웜이다. 그림 14 Sequential Worm 의탐지결과 34

45 5.1.2 Random 스캐닝웜 그림 15 Random 웜의탐지결과 그림 15와같이가장대표적인 Random Scanning 웜은 2005년 12월20일 01:58분에탐지되였다. 인터넷웜에감염된 IP 주소를갖는호스트는랜덤한 8714개의 IP 주소로스캐닝패킷을발생하였다. 목적지아이피주소의분포는 거의전체 IPv4 대역에랜덤하게분포되여있다. 세개의 Unallocated IP 로패킷을전송한것도볼수있는데정상적인 Application 에서우발적으로보낼수있는경우가아님을설명한다. 35

46 5.1.3 정상트래픽 그림 년 5 월 13 일 10:07 분의전체탐지결과 그림 16 은 2005년 12월 20일 :00분의탐지결과이다. 제일윗부분에핑크로도색된행은앞에서설명한 Random Scanning Worm이고나머지포트들은 Suspicious List이다. 이중에서우리가알수있는가장대표적인 P2P Application인 E-Donkey가사용하는 TCP 4662포트를보면 1개의 Suspicious Host가 248개의패킷을 1분에 Generate한것을알수있다. 그러나인터넷웜으로판단되지않은것은이호스트는 Unallocated IP로스캐닝을하지않기때문이다. 다른포트의 Suspicious Host들도비슷하게인터넷웜에서제외되였다. 5.2 탐지결과에관한결론 POSTECH 네트워크에서구현된탐지시스템을통하여우리는 36

47 Random Scanning, Sequential Scanning웜, TCP/UDP웜에대하여효과적으로탐지함을볼수있었고 Suspicious List중에서 P2P 트래픽과같은정상트래픽을잘분별함을볼수있었다. 제안된알고리즘은엔터프라이즈네트워크에서효과적으로인터넷웜을탐지할수있으며이런시스템은실시간으로인터넷웜을탐지하는방안이될수있다. 제안하는인터넷웜의탐지시스템의확장은인터넷웜의조기탐지의해결책이기도하다. 37

48 6 결론및향후과제 우리는엔터프라이즈네트워크에알맞은인터넷웜의탐지알고리즘에대해서제안하였고그알고리즘의검증을위하여 Snort시스템과의비교분석을하였으며실제 POSTECH 네트워크에서의구현을통하여탐지결과를분석하였다. 검증을하기위하여 Worm Traffic Generator를개발하였으며이툴은향후인터넷웜의연구에도움을줄것이다. 인터넷웜의탐지알고리즘에서여러가지임계값을사용하였는데, 이런임계값의변화가인터넷웜탐지에어떤영향을미치는지에 대한연구는향후지속적으로연구되여야할과제이다. 다양한네트워크 (C 클래스네트워크혹은다른 Topology 를갖는 네트워크 ) 에서시스템을적용하여그결과를분석하는실험은 알고리즘의발전에도움을줄것이다. 그리고새로운스캐닝방법 ( 예를들면순차적목적지주소를생성할때사이의값이 1보다큰수인순차적스캐닝, 혹은순열적스캐닝 ) 을사용하는인터넷웜에대한대응에관한연구는앞으로의과제로이어진다. 38

49 참고문헌 [1] Charles Schmidt and Tom Darby,"The What, Why, and How of the 1988 Internet Worm, /worm.html, July [2] David Moore, Colleen Shannon, Jeffery Brown, "Code-Red: A case study on the spread and victims of an Internet worm," Proc.2nd ACM Internet Measurement Workshop, ACM Press 2002, pp , [3] Moore, D, V.Paxson, S.Savage, C.Shannon, S.Staniford, N.Weaver, "Slammmer Worm Dissection: Inside the Slammer Worm," IEEE Security&Privacy, Vol.1 No.4 July-August [4] F-Secure, F-Secure Corporation Virus Glossary, [5] Symantec, /venc/data/w32.blaster.worm.html. [6] CERT, "CERT Advisory CA Nimda Worm," [7] Symantec, /data/w32.sasser.b.worm.html. [8] Symantec, /data/w32.witty.worm.html. [9] F-Secure, [10] IANA, Internet Protocol V4 Address Space, [11] Bogon List, [12] J. Wu, S. Vangala, L. Gao, and K. Kwiat, An Efficient Architecture and Algorithm for Detecting Worms with Various Scan Techniques, In Proceedings of the 11th Annual Network and Distributed System Security Symposium (NDSS 04), February [13] Ajay Gupta and Daniel C. DuVarney, Using Predators to combat Worms and Viruses - a Simulation based study, Proceedings in Annual Computer Security Applications Conference, ACSAC 2004 [14] Cliff C.Zou, Lixin Gao, Weibo Gong, Don Towsley, "Monitoring and Early Warning for Internet Worms," CCS 03, Oct 27-31, [15] Vincent Berk, George. Bakos, Designing a Framework for Active Worm Detection on Global Networks, IWIA 2003, Darmstadt, Germany, March 2003, pp [16] Shigang Chen and Yong Tang, "Slowing Down Internet Worms," 24th International Conference on Distributed Computing Systems 39

50 (ICDCS'04) Hachioji, Tokyo, Japan, March 24-26, 2004, pp [17] Guofei Gu, Monirul Sharif, Xinzhou Qin, David Dagon,Wenke Lee and George Riley, Worm Detection, Early Warning and Response Based on Local Victim Information, Proceedings in Annual Computer Security Applications Conference, ACSAC 2004 [18] X. Qin, D. Dagon, G. Gu, and W. Lee, "Worm Detection Using Local network," Technical report, College of Computing, Georgia Tech., Feburary [19] Bharath Madhusudan and John Lockwood, Design of a System for Real-Time Worm Detection, HOTI 12, Aug [20] George Bakos, Drs.Vincent H.Berk, "Early Detection of Internet Worm Activity by Metering ICMP Destination Unreachable Messages," [21] Christian Kreibich, Jon Crowcroft, Honeycomb-Creating Intrusion Detecton Signatures Using Honeyposts, ACM SIGCOMM Computer Commnunications Forum Volumn 34, Number 1: January 2004 [22] Z. Chen, L. Gao, K. Kwiat, "Modeling the Spread of Active Worms," WORM 2003 on Network Sevurity, April, 2003 [23] Symantec Inc., [24] CAIDA, [25] K.G.Anagnostakis, SSidiroglou, P.Akritidis,K.Xinidis,E.Markatos, A.D.Keromytis, Detectiong Targeted Attacks Using Shadow Honeypots, Pp of the Proceedings 14th USENIX Security Symposium [26] T. Karagiannis, K. Papagiannaki, and M. Faloutsos,BLINC: Multilevel Traffic Classification in the Dark", ACM SIGCOMM, Philadelphia, PA, August [27] Snort, [28] Bro, [29] Se-Hee Han, Myung-Sup Kim, Hong-Taek ju, and James W. Hong, The Architecture of NG-MON: A Passive Network Monitoring System, LNCS 2506, DSOM 2002, Montreal Canada, October 2002, pp

51 이력서 성명 : 조룡권 생년월일 : 1971 년 03 월 19 일 출생지 : 중국길림성도문시 주소 : 중국길림성연길시북산가 학력 : 중국연변과학기술대학교컴퓨터과학과기술 (B.S.) : 포항공과대학교정보통신대학원정보통신학과 (M.S.) 41

52 학술활동 Conference Papers Long-Quan Zhao, Seong-Chul Hong, Hong-Taek Ju and James Won-Ki Hong, "A Real-Time Network Traffic Based Worm Detection System for Enterprise Networks", Proc. of APNOMS 2005 Conference, Okinawa, Japan, Sep 27-30, 2005, pp Seong-Chul Hong, Long-Quan Zhao, Hong-Taek Ju and James W. Hong, Worm Traffic Monitoring and Infected Hosts Detection Algorithm for Local Networks IEEE IM 2005, Nice, France, May 조룡권, 주홍택, 홍원기, 주미리, 박응기, "SNMP 게이트웨이를이용한 WBEM 기반의통합관리시스템 ", Proc. of KNOM 2005 Conference, Seoul, Korea, May 26-27, 2005, pp Journal Papers 홍성철, 조룡권, 주홍택, 홍원기, " 엔터프라이즈네트워크에서의인터넷웜 탐지를위한방법 ", KNOM Review, Vol. 7, No. 2, December 2004, pp

53 연구활동 Projects 인터넷웜전파및활동에따른네트워크트래픽특성연구, 국가보안연구소 Project, 2004 고속네트워크에서응용트래픽분류를위한네트워크모니터링방법 연구, KT Project, 2005 고속네트워크에적합한트래픽감시및제어시스템개발, 산자부 Project,

Microsoft PowerPoint - thesis_rone.ppt

Microsoft PowerPoint - thesis_rone.ppt 엔터프라이즈네트워크에서인터넷웜의실시간탐지방법 포항공과대학교정보통신대학원정보통신학과 분산시스템과네트워크관리연구실 2005 년 12 월 21 일 조룡권 rone@postech.ac.kr 목차 서론 연구의필요성과목표 관련연구 인터넷웜탐지알고리즘 웜트래픽발생툴 알고리즘의검증 네트워크에서의탐지결과분석 결론 (2) 서론 (1) 인터넷웜은전파속도가빠르고네트워크의마비를일으킴

More information

시스템, 네트워크모니터링을통한보안강화 네트워크의미래를제시하는세미나 세미나 NetFocus 2003 : IT 관리자를위한네트워크보안방법론 피지피넷 /

시스템, 네트워크모니터링을통한보안강화 네트워크의미래를제시하는세미나 세미나 NetFocus 2003 : IT 관리자를위한네트워크보안방법론 피지피넷 / 시스템, 네트워크모니터링을통한보안강화 네트워크의미래를제시하는세미나 세미나 NetFocus 2003 : IT 관리자를위한네트워크보안방법론 피지피넷 / 팀장나병윤!dewymoon@pgpnet.com 주요내용 시스템모니터링! 패킷크기와장비의 CPU 및 Memory 사용량! SNMP를장비의상태관찰 비정상적인트래픽모니터링! Packet 분석기의다양한트래픽모니터링도구를이용한비정상적인트래픽관찰!

More information

UDP Flooding Attack 공격과 방어

UDP Flooding Attack 공격과 방어 황 교 국 (fullc0de@gmail.com) SK Infosec Co., Inc MSS Biz. Security Center Table of Contents 1. 소개...3 2. 공격 관련 Protocols Overview...3 2.1. UDP Protocol...3 2.2. ICMP Protocol...4 3. UDP Flood Test Environment...5

More information

DBPIA-NURIMEDIA

DBPIA-NURIMEDIA 무선 센서 네트워크 환경에서 링크 품질에 기반한 라우팅에 대한 효과적인 싱크홀 공격 탐지 기법 901 무선 센서 네트워크 환경에서 링크 품질에 기반한 라우팅에 대한 효과적인 싱크홀 공격 탐지 기법 (A Effective Sinkhole Attack Detection Mechanism for LQI based Routing in WSN) 최병구 조응준 (Byung

More information

1217 WebTrafMon II

1217 WebTrafMon II (1/28) (2/28) (10 Mbps ) Video, Audio. (3/28) 10 ~ 15 ( : telnet, ftp ),, (4/28) UDP/TCP (5/28) centralized environment packet header information analysis network traffic data, capture presentation network

More information

歯홍원기.PDF

歯홍원기.PDF WWW (World-Wide Web), 1, 1969 ARPANET[1], MRTG[2], Etherfind[3],, WWW TCPdump[4], WebTrafMon[5] (World-Wide Web) WWW MIB SNMP agent SNMP manager,, SNMP agent SNMP manager , NT manager, [8], WebTrafMon[5]

More information

지능정보연구제 16 권제 1 호 2010 년 3 월 (pp.71~92),.,.,., Support Vector Machines,,., KOSPI200.,. * 지능정보연구제 16 권제 1 호 2010 년 3 월

지능정보연구제 16 권제 1 호 2010 년 3 월 (pp.71~92),.,.,., Support Vector Machines,,., KOSPI200.,. * 지능정보연구제 16 권제 1 호 2010 년 3 월 지능정보연구제 16 권제 1 호 2010 년 3 월 (pp.71~92),.,.,., Support Vector Machines,,., 2004 5 2009 12 KOSPI200.,. * 2009. 지능정보연구제 16 권제 1 호 2010 년 3 월 김선웅 안현철 社 1), 28 1, 2009, 4. 1. 지능정보연구제 16 권제 1 호 2010 년 3 월 Support

More information

°í¼®ÁÖ Ãâ·Â

°í¼®ÁÖ Ãâ·Â Performance Optimization of SCTP in Wireless Internet Environments The existing works on Stream Control Transmission Protocol (SCTP) was focused on the fixed network environment. However, the number of

More information

Microsoft Word - NAT_1_.doc

Microsoft Word - NAT_1_.doc NAT(Network Address Translation) 1. NAT 개요 1 패킷의 IP 헤더의수신지주소, 발신지주소또는그주소를다른주소로변경하는과정 2 NAT기능을갖는장치를 NAT-BOX라함 ( 시스코라우터, 유닉스시스템, 윈도우의호스트혹은몇개의다른시스템일수있기때문에이렇게지칭하기도함 ) 3 NAT 기능을갖는장치는일반적으로스텁도메인 (Stub-domain)

More information

Network Security - Wired Sniffing 실습 ICNS Lab. Kyung Hee University

Network Security - Wired Sniffing 실습 ICNS Lab. Kyung Hee University Network Security - Wired Sniffing 실습 ICNS Lab. Kyung Hee University Outline Network Network 구조 Source-to-Destination 간 packet 전달과정 Packet Capturing Packet Capture 의원리 Data Link Layer 의동작 Wired LAN Environment

More information

슬라이드 제목 없음

슬라이드 제목 없음 2006-09-27 경북대학교컴퓨터공학과 1 제 5 장서브넷팅과슈퍼넷팅 서브넷팅 (subnetting) 슈퍼넷팅 (Supernetting) 2006-09-27 경북대학교컴퓨터공학과 2 서브넷팅과슈퍼넷팅 서브넷팅 (subnetting) 하나의네트워크를여러개의서브넷 (subnet) 으로분할 슈퍼넷팅 (supernetting) 여러개의서브넷주소를결합 The idea

More information

학습영역의 Taxonomy에 기초한 CD-ROM Title의 효과분석

학습영역의 Taxonomy에 기초한 CD-ROM Title의 효과분석 ,, Even the short history of the Web system, the techniques related to the Web system have b een developed rapidly. Yet, the quality of the Webbased application software has not improved. For this reason,

More information

PowerPoint 프레젠테이션

PowerPoint 프레젠테이션 Reasons for Poor Performance Programs 60% Design 20% System 2.5% Database 17.5% Source: ORACLE Performance Tuning 1 SMS TOOL DBA Monitoring TOOL Administration TOOL Performance Insight Backup SQL TUNING

More information

09권오설_ok.hwp

09권오설_ok.hwp (JBE Vol. 19, No. 5, September 2014) (Regular Paper) 19 5, 2014 9 (JBE Vol. 19, No. 5, September 2014) http://dx.doi.org/10.5909/jbe.2014.19.5.656 ISSN 2287-9137 (Online) ISSN 1226-7953 (Print) a) Reduction

More information

Microsoft PowerPoint - 4.스캐닝-1(11.08) [호환 모드]

Microsoft PowerPoint - 4.스캐닝-1(11.08) [호환 모드] 정보보호 Scanning (1) 목차 Ⅳ. 스캐닝 (Scanning) 1. 활성화된호스트식별 ping 침투테스트범위에있는 IP 주소만목록화 현재동작중인시스템확인 Ping - ICMP(Internet Control messaging Protocol) 패킷을사용 - echo request, echo reply 패킷 - target 시스템이 off상태이거나, ICMP패킷을차단하는경우

More information

0125_ 워크샵 발표자료_완성.key

0125_ 워크샵 발표자료_완성.key WordPress is a free and open-source content management system (CMS) based on PHP and MySQL. WordPress is installed on a web server, which either is part of an Internet hosting service or is a network host

More information

[ 네트워크 1] 3 주차 1 차시. IPv4 주소클래스 3 주차 1 차시 IPv4 주소클래스 학습목표 1. IP 헤더필드의구성을파악하고요약하여설명할수있다. 2. Subnet ID 및 Subnet Mask 를설명할수있고, 각클래스의사용가능한호스트수와사설 IP 주소및네트

[ 네트워크 1] 3 주차 1 차시. IPv4 주소클래스 3 주차 1 차시 IPv4 주소클래스 학습목표 1. IP 헤더필드의구성을파악하고요약하여설명할수있다. 2. Subnet ID 및 Subnet Mask 를설명할수있고, 각클래스의사용가능한호스트수와사설 IP 주소및네트 3 주차 1 차시 IPv4 주소클래스 학습목표 1. IP 헤더필드의구성을파악하고요약하여설명할수있다. 2. Subnet ID 및 Subnet Mask 를설명할수있고, 각클래스의사용가능한호스트수와사설 IP 주소및네트워크주소와 브로드캐스트주소를설명할수있다. 학습내용 1 : IP 헤더필드구성 1. Network Layer Fields 2. IP 헤더필드의구성 1)

More information

µðÇÃÇ¥Áö±¤°í´Ü¸é

µðÇÃÇ¥Áö±¤°í´Ü¸é 2013. JAN. FEB. VOL.23 2013. JAN. FEB. VOL.23 Review Preview Company Technical Point Focus Issue Market Trend Industrial Trend Policy Report KDIA News Tour Statistics KDIA 02 10 11 12 15 16 22 28 36 38

More information

ecorp-프로젝트제안서작성실무(양식3)

ecorp-프로젝트제안서작성실무(양식3) (BSC: Balanced ScoreCard) ( ) (Value Chain) (Firm Infrastructure) (Support Activities) (Human Resource Management) (Technology Development) (Primary Activities) (Procurement) (Inbound (Outbound (Marketing

More information

07.... 01V28.

07.... 01V28. National Election Commission 9 September S M T W T F S 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23/30 24 25 26 27 28 29 11 November S M T W T F S 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16

More information

DBPIA-NURIMEDIA

DBPIA-NURIMEDIA 논문 10-35-03-03 한국통신학회논문지 '10-03 Vol. 35 No. 3 원활한 채널 변경을 지원하는 효율적인 IPTV 채널 관리 알고리즘 준회원 주 현 철*, 정회원 송 황 준* Effective IPTV Channel Control Algorithm Supporting Smooth Channel Zapping HyunChul Joo* Associate

More information

정보기술응용학회 발표

정보기술응용학회 발표 , hsh@bhknuackr, trademark21@koreacom 1370, +82-53-950-5440 - 476 - :,, VOC,, CBML - Abstract -,, VOC VOC VOC - 477 - - 478 - Cost- Center [2] VOC VOC, ( ) VOC - 479 - IT [7] Knowledge / Information Management

More information

Microsoft PowerPoint - 06-IPAddress [호환 모드]

Microsoft PowerPoint - 06-IPAddress [호환 모드] Chapter 06 IP Address IP Address Internet address IP 계층에서사용되는식별자 32 bit 2 진주소 The address space of IPv4 is 2 32 or 4,294,967,296 netid 와 hostid 로구분 인터넷에서호스트와라우터를유일하게구분 IP Address Structure 2-Layer Hierarchical

More information

1. 서론 1-1 연구 배경과 목적 1-2 연구 방법과 범위 2. 클라우드 게임 서비스 2-1 클라우드 게임 서비스의 정의 2-2 클라우드 게임 서비스의 특징 2-3 클라우드 게임 서비스의 시장 현황 2-4 클라우드 게임 서비스 사례 연구 2-5 클라우드 게임 서비스에

1. 서론 1-1 연구 배경과 목적 1-2 연구 방법과 범위 2. 클라우드 게임 서비스 2-1 클라우드 게임 서비스의 정의 2-2 클라우드 게임 서비스의 특징 2-3 클라우드 게임 서비스의 시장 현황 2-4 클라우드 게임 서비스 사례 연구 2-5 클라우드 게임 서비스에 IPTV 기반의 클라우드 게임 서비스의 사용성 평가 - C-Games와 Wiz Game 비교 중심으로 - Evaluation on the Usability of IPTV-Based Cloud Game Service - Focus on the comparison between C-Games and Wiz Game - 주 저 자 : 이용우 (Lee, Yong Woo)

More information

6.24-9년 6월

6.24-9년 6월 리눅스 환경에서Solid-State Disk 성능 최적화를 위한 디스크 입출력요구 변환 계층 김태웅 류준길 박찬익 Taewoong Kim Junkil Ryu Chanik Park 포항공과대학교 컴퓨터공학과 {ehoto, lancer, cipark}@postech.ac.kr 요약 SSD(Solid-State Disk)는 여러 개의 낸드 플래시 메모리들로 구성된

More information

인문사회과학기술융합학회

인문사회과학기술융합학회 Vol.5, No.5, October (2015), pp.471-479 http://dx.doi.org/10.14257/ajmahs.2015.10.50 스마트온실을 위한 가상 외부기상측정시스템 개발 한새론 1), 이재수 2), 홍영기 3), 김국환 4), 김성기 5), 김상철 6) Development of Virtual Ambient Weather Measurement

More information

09È«¼®¿µ 5~152s

09È«¼®¿µ5~152s Korean Journal of Remote Sensing, Vol.23, No.2, 2007, pp.45~52 Measurement of Backscattering Coefficients of Rice Canopy Using a Ground Polarimetric Scatterometer System Suk-Young Hong*, Jin-Young Hong**,

More information

µðÇÃÇ¥Áö±¤°í´Ü¸é

µðÇÃÇ¥Áö±¤°í´Ü¸é Review 2 2013 JAN.FEB. vol. 23 Display Focus 3 Review 4 2013 JAN.FEB. vol. 23 Display Focus 5 Review 6 2013 JAN.FEB. vol. 23 Display Focus 7 Review 8 2013 JAN.FEB. vol. 23 Display Focus 9 Preview 2013.1

More information

05(533-537) CPLV12-04.hwp

05(533-537) CPLV12-04.hwp 모바일 OS 환경의 사용자 반응성 향상 기법 533 모바일 OS 환경의 사용자 반응성 향상 기법 (Enhancing Interactivity in Mobile Operating Systems) 배선욱 김정한 (Sunwook Bae) 엄영익 (Young Ik Eom) (Junghan Kim) 요 약 사용자 반응성은 컴퓨팅 시스템에서 가장 중요 한 요소 중에 하나이고,

More information

example code are examined in this stage The low pressure pressurizer reactor trip module of the Plant Protection System was programmed as subject for

example code are examined in this stage The low pressure pressurizer reactor trip module of the Plant Protection System was programmed as subject for 2003 Development of the Software Generation Method using Model Driven Software Engineering Tool,,,,, Hoon-Seon Chang, Jae-Cheon Jung, Jae-Hack Kim Hee-Hwan Han, Do-Yeon Kim, Young-Woo Chang Wang Sik, Moon

More information

일반적인 네트워크의 구성은 다음과 같다

일반적인 네트워크의 구성은 다음과 같다 W5200 Errata Sheet Document History Ver 1.0.0 (Feb. 23, 2012) First release (erratum 1) Ver 1.0.1 (Mar. 28, 2012) Add a solution for erratum 1, 2 Ver 1.0.2 (Apr. 03, 2012) Add a solution for erratum 3

More information

45-51 ¹Ú¼ø¸¸

45-51 ¹Ú¼ø¸¸ A Study on the Automation of Classification of Volume Reconstruction for CT Images S.M. Park 1, I.S. Hong 2, D.S. Kim 1, D.Y. Kim 1 1 Dept. of Biomedical Engineering, Yonsei University, 2 Dept. of Radiology,

More information

06_ÀÌÀçÈÆ¿Ü0926

06_ÀÌÀçÈÆ¿Ü0926 182 183 184 / 1) IT 2) 3) IT Video Cassette Recorder VCR Personal Video Recorder PVR VCR 4) 185 5) 6) 7) Cloud Computing 8) 186 VCR P P Torrent 9) avi wmv 10) VCR 187 VCR 11) 12) VCR 13) 14) 188 VTR %

More information

SLA QoS

SLA QoS SLA QoS 2002. 12. 13 Email: really97@postech.ac.kr QoS QoS SLA POS-SLMS (-Service Level Monitoring System) SLA (Service Level Agreement) SLA SLA TM Forum SLA QoS QoS SLA SLA QoS QoS SLA POS-SLMS ( Service

More information

김기남_ATDC2016_160620_[키노트].key

김기남_ATDC2016_160620_[키노트].key metatron Enterprise Big Data SKT Metatron/Big Data Big Data Big Data... metatron Ready to Enterprise Big Data Big Data Big Data Big Data?? Data Raw. CRM SCM MES TCO Data & Store & Processing Computational

More information

SMB_ICMP_UDP(huichang).PDF

SMB_ICMP_UDP(huichang).PDF SMB(Server Message Block) UDP(User Datagram Protocol) ICMP(Internet Control Message Protocol) SMB (Server Message Block) SMB? : Microsoft IBM, Intel,. Unix NFS. SMB client/server. Client server request

More information

À¯Çõ Ãâ·Â

À¯Çõ Ãâ·Â Network Virtualization Techniques for Future Internet Services in cloud computing are based on network virtualization that provides both flexibility and network isolation. Network virtualization consists

More information

제20회_해킹방지워크샵_(이재석)

제20회_해킹방지워크샵_(이재석) IoT DDoS DNS (jaeseog@sherpain.net) (www.sherpain.net) DDoS DNS DDoS / DDoS(Distributed DoS)? B Asia Broadband B Bots connect to a C&C to create an overlay network (botnet) C&C Provider JP Corp. Bye Bye!

More information

Software Requirrment Analysis를 위한 정보 검색 기술의 응용

Software Requirrment Analysis를 위한 정보 검색 기술의 응용 EPG 정보 검색을 위한 예제 기반 자연어 대화 시스템 김석환 * 이청재 정상근 이근배 포항공과대학교 컴퓨터공학과 지능소프트웨어연구실 {megaup, lcj80, hugman, gblee}@postech.ac.kr An Example-Based Natural Language System for EPG Information Access Seokhwan Kim

More information

03-최신데이터

03-최신데이터 Database Analysis II,,. II.. 3 ( ),.,..,, ;. (strong) (weak), (identifying relationship). (required) (optional), (simple) (composite), (single-valued) (multivalued), (derived), (identifier). (associative

More information

디지털포렌식학회 논문양식

디지털포렌식학회 논문양식 ISSN : 1976-5304 http://www.kdfs.or.kr Virtual Online Game(VOG) 환경에서의 디지털 증거수집 방법 연구 이 흥 복, 정 관 모, 김 선 영 * 대전지방경찰청 Evidence Collection Process According to the Way VOG Configuration Heung-Bok Lee, Kwan-Mo

More information

I

I I II III (C B ) (C L ) (HL) Min c ij x ij f i y i i H j H i H s.t. y i 1, k K, i W k C B C L p (HL) x ij y i, i H, k K i, j W k x ij y i {0,1}, i, j H. K W k k H K i i f i i d ij i j r ij i j c ij r ij

More information

네트워크 안정성을 지켜줄 최고의 기술과 성능 TrusGuard는 국내 최초의 통합보안솔루션으로서 지난 5년간 약 4천여 고객 사이트에 구축 운영되면서 기술의 안정성과 성능면에서 철저한 시장 검증을 거쳤습니다. 또한 TrusGuard는 단독 기능 또는 복합 기능 구동 시

네트워크 안정성을 지켜줄 최고의 기술과 성능 TrusGuard는 국내 최초의 통합보안솔루션으로서 지난 5년간 약 4천여 고객 사이트에 구축 운영되면서 기술의 안정성과 성능면에서 철저한 시장 검증을 거쳤습니다. 또한 TrusGuard는 단독 기능 또는 복합 기능 구동 시 네트워크 보안도 안철수연구소입니다 통합 보안의 No.1 파트너, AhnLab TrusGuard 네트워크 환경을 수호하는 최고의 통합 보안 시스템 고성능 방화벽ㆍVPN Security 기술과 고품질 Integrated Security 기술의 강력한 결합 네트워크 안정성을 지켜줄 최고의 기술과 성능 TrusGuard는 국내 최초의 통합보안솔루션으로서 지난 5년간

More information

Oracle Apps Day_SEM

Oracle Apps Day_SEM Senior Consultant Application Sales Consulting Oracle Korea - 1. S = (P + R) x E S= P= R= E= Source : Strategy Execution, By Daniel M. Beall 2001 1. Strategy Formulation Sound Flawed Missed Opportunity

More information

bn2019_2

bn2019_2 arp -a Packet Logging/Editing Decode Buffer Capture Driver Logging: permanent storage of packets for offline analysis Decode: packets must be decoded to human readable form. Buffer: packets must temporarily

More information

Microsoft Word - [2017SMA][T8]OOPT_Stage_2040 ver2.docx

Microsoft Word - [2017SMA][T8]OOPT_Stage_2040 ver2.docx OOPT Stage 2040 - Design Feesual CPT Tool Project Team T8 Date 2017-05-24 T8 Team Information 201211347 박성근 201211376 임제현 201411270 김태홍 2017 Team 8 1 Table of Contents 1. Activity 2041. Design Real Use

More information

<313920C0CCB1E2BFF82E687770>

<313920C0CCB1E2BFF82E687770> 韓 國 電 磁 波 學 會 論 文 誌 第 19 卷 第 8 號 2008 年 8 月 論 文 2008-19-8-19 K 대역 브릭형 능동 송수신 모듈의 설계 및 제작 A Design and Fabrication of the Brick Transmit/Receive Module for K Band 이 기 원 문 주 영 윤 상 원 Ki-Won Lee Ju-Young Moon

More information

À±½Â¿í Ãâ·Â

À±½Â¿í Ãâ·Â Representation, Encoding and Intermediate View Interpolation Methods for Multi-view Video Using Layered Depth Images The multi-view video is a collection of multiple videos, capturing the same scene at

More information

354-437-4..

354-437-4.. 357 358 4.3% 5.1% 8.2% 6.2% 5.6% 6% 5% 5.3% 96.1% 85.2% 39.6% 50.8% 82.7% 86.7% 28.2% 8.0% 60.0% 60.4% 18,287 16,601 (%) 100 90 80 70 60 50 40 86.6% 80.0% 77.8% 57.6% 89.7% 78.4% 82.1% 59.0% 91.7% 91.4%

More information

Remote UI Guide

Remote UI Guide Remote UI KOR Remote UI Remote UI PDF Adobe Reader/Adobe Acrobat Reader. Adobe Reader/Adobe Acrobat Reader Adobe Systems Incorporated.. Canon. Remote UI GIF Adobe Systems Incorporated Photoshop. ..........................................................

More information

Intra_DW_Ch4.PDF

Intra_DW_Ch4.PDF The Intranet Data Warehouse Richard Tanler Ch4 : Online Analytic Processing: From Data To Information 2000. 4. 14 All rights reserved OLAP OLAP OLAP OLAP OLAP OLAP is a label, rather than a technology

More information

#Ȳ¿ë¼®

#Ȳ¿ë¼® http://www.kbc.go.kr/ A B yk u δ = 2u k 1 = yk u = 0. 659 2nu k = 1 k k 1 n yk k Abstract Web Repertoire and Concentration Rate : Analysing Web Traffic Data Yong - Suk Hwang (Research

More information

<353420B1C7B9CCB6F52DC1F5B0ADC7F6BDC7C0BB20C0CCBFEBC7D120BEC6B5BFB1B3C0B0C7C1B7CEB1D7B7A52E687770>

<353420B1C7B9CCB6F52DC1F5B0ADC7F6BDC7C0BB20C0CCBFEBC7D120BEC6B5BFB1B3C0B0C7C1B7CEB1D7B7A52E687770> Journal of the Korea Academia-Industrial cooperation Society Vol. 13, No. 2 pp. 866-871, 2012 http://dx.doi.org/10.5762/kais.2012.13.2.866 증강현실을 이용한 아동교육프로그램 모델제안 권미란 1*, 김정일 2 1 나사렛대학교 아동학과, 2 한세대학교 e-비즈니스학과

More information

PowerPoint 프레젠테이션

PowerPoint 프레젠테이션 Network Behavior Analysis Network Behavior Analysis for Unknown Attack Detection ( 주 ) 씨큐비스타 / 전덕조 KRNet 2008 재4 th Generation Attacks < 피해의범위 > 전세계 광범위지역지역개별조직 / 회사개별 PC 현실시간방어통합보안 ( 수분 ) 개별보안 ( 수시간 )

More information

High Resolution Disparity Map Generation Using TOF Depth Camera In this paper, we propose a high-resolution disparity map generation method using a lo

High Resolution Disparity Map Generation Using TOF Depth Camera In this paper, we propose a high-resolution disparity map generation method using a lo High Resolution Disparity Map Generation Using TOF Depth Camera In this paper, we propose a high-resolution disparity map generation method using a low-resolution Time-Of- Flight (TOF) depth camera and

More information

Microsoft PowerPoint - L4-7Switch기본교육자료.ppt

Microsoft PowerPoint - L4-7Switch기본교육자료.ppt L4-7 Switch 기본교육자료 Pumpkin Networks. Inc. http://www.pumpkinnet.co.kr (Tel) 02-3280-9380 (Fax) 02-3280-9382 info@pumpkinnet.co.kr 기본개념 L4/L7 Switch 란? -2- 기본개념 - Switching & Routing Switching & Routing

More information

Journal of Educational Innovation Research 2018, Vol. 28, No. 4, pp DOI: * A S

Journal of Educational Innovation Research 2018, Vol. 28, No. 4, pp DOI:   * A S Journal of Educational Innovation Research 2018, Vol. 28, No. 4, pp.461-487 DOI: http://dx.doi.org/10.21024/pnuedi.28.4.201812.461 * - 2008 2018 - A Study on the Change of Issues with Adolescent Problem

More information

Microsoft PowerPoint - 2.Catalyst Switch Intrastructure Protection_이충용_V1 0.ppt [호환 모드]

Microsoft PowerPoint - 2.Catalyst Switch Intrastructure Protection_이충용_V1 0.ppt [호환 모드] Catalyst Switch Infrastructure Protection Cisco Systems Korea SE 이충용 (choolee@cisco.com) Overview DoS (Denial of Service) 공격대상 - Server Resource - Network Resource - Network devices (Routers, Firewalls

More information

THE JOURNAL OF KOREAN INSTITUTE OF ELECTROMAGNETIC ENGINEERING AND SCIENCE. vol. 29, no. 10, Oct ,,. 0.5 %.., cm mm FR4 (ε r =4.4)

THE JOURNAL OF KOREAN INSTITUTE OF ELECTROMAGNETIC ENGINEERING AND SCIENCE. vol. 29, no. 10, Oct ,,. 0.5 %.., cm mm FR4 (ε r =4.4) THE JOURNAL OF KOREAN INSTITUTE OF ELECTROMAGNETIC ENGINEERING AND SCIENCE. 2018 Oct.; 29(10), 799 804. http://dx.doi.org/10.5515/kjkiees.2018.29.10.799 ISSN 1226-3133 (Print) ISSN 2288-226X (Online) Method

More information

06_±è¼öö_0323

06_±è¼öö_0323 166 167 1) 2) 3) 4) source code 5) object code PC copy IP Internet Protocol 6) 7) 168 8) 9)10) 11) 12)13) / / 14) 169 PC publisher End User distributor RPG Role-Playing Game 15) FPS First Person Shooter

More information

Business Agility () Dynamic ebusiness, RTE (Real-Time Enterprise) IT Web Services c c WE-SDS (Web Services Enabled SDS) SDS SDS Service-riented Architecture Web Services ( ) ( ) ( ) / c IT / Service- Service-

More information

Network seminar.key

Network seminar.key Intro to Network .. 2 4 ( ) ( ). ?!? ~! This is ~ ( ) /,,,???? TCP/IP Application Layer Transfer Layer Internet Layer Data Link Layer Physical Layer OSI 7 TCP/IP Application Layer Transfer Layer 3 4 Network

More information

Cisco SDN 3.0 DDoS DDoS Cisco DDoS Real Demo 2008 Cisco Systems, Inc. All rights reserved. 2

Cisco SDN 3.0 DDoS DDoS Cisco DDoS Real Demo 2008 Cisco Systems, Inc. All rights reserved. 2 SDN DDoS (whchoi@cisco.com) Cisco Systems Korea 2008 Cisco Systems, Inc. All rights reserved. 1 Cisco SDN 3.0 DDoS DDoS Cisco DDoS Real Demo 2008 Cisco Systems, Inc. All rights reserved. 2 Cisco SDN 3.0

More information

TCP.IP.ppt

TCP.IP.ppt TCP/IP TCP/IP TCP/IP TCP/IP TCP/IP Internet Protocol _ IP Address Internet Protocol _ Subnet Mask Internet Protocol _ ARP(Address Resolution Protocol) Internet Protocol _ RARP(Reverse Address Resolution

More information

정진명 남재원 떠오르고 있다. 배달앱서비스는 소비자가 배달 앱서비스를 이용하여 배달음식점을 찾고 음식 을 주문하며, 대금을 결제까지 할 수 있는 서비 스를 말한다. 배달앱서비스는 간편한 음식 주문 과 바로결제 서비스를 바탕으로 전 연령층에서 빠르게 보급되고 있는 반면,

정진명 남재원 떠오르고 있다. 배달앱서비스는 소비자가 배달 앱서비스를 이용하여 배달음식점을 찾고 음식 을 주문하며, 대금을 결제까지 할 수 있는 서비 스를 말한다. 배달앱서비스는 간편한 음식 주문 과 바로결제 서비스를 바탕으로 전 연령층에서 빠르게 보급되고 있는 반면, 소비자문제연구 제46권 제2호 2015년 8월 http://dx.doi.org/10.15723/jcps.46.2.201508.207 배달앱서비스 이용자보호 방안 정진명 남재원 요 약 최근 음식배달 전문서비스 애플리케이션을 이용한 음식배달이 선풍적인 인기를 끌면서 배달앱서비스가 전자상거래의 새로운 거래유형으로 떠오르고 있다. 배달앱서비스는 소비자가 배달앱서비스를

More information

Problem New Case RETRIEVE Learned Case Retrieved Cases New Case RETAIN Tested/ Repaired Case Case-Base REVISE Solved Case REUSE Aamodt, A. and Plaza, E. (1994). Case-based reasoning; Foundational

More information

歯최덕재.PDF

歯최덕재.PDF ISP Monitoring Tool OSPF SNMP, Metric MIB OSPFECMP 1 11 [6], Metric ISP(Internet Service Provider) Monitoring Tool, [5] , (Network Management System) SNMP ECMP Cost OSPF ECMP IGP(Interior Gateway Protocol)

More information

<303833315FC1A4BAB8B9FDC7D02031362D325FC3D6C1BEBABB2E687770>

<303833315FC1A4BAB8B9FDC7D02031362D325FC3D6C1BEBABB2E687770> 개인정보보호법의 보호원칙에 대한 벌칙조항 연구 A Legal Study of Punishments in Terms of Principles of Private Informaion Protection Law 전동진(Jeon, Dong-Jin)*19) 정진홍(Jeong, Jin-Hong)**20) 목 차 Ⅰ. 들어가는 말 Ⅱ. OECD 개인정보 보호원칙과의 비교

More information

878 Yu Kim, Dongjae Kim 지막 용량수준까지도 멈춤 규칙이 만족되지 않아 시행이 종료되지 않는 경우에는 MTD의 추정이 불가 능하다는 단점이 있다. 최근 이 SM방법의 단점을 보완하기 위해 O Quigley 등 (1990)이 제안한 CRM(Continu

878 Yu Kim, Dongjae Kim 지막 용량수준까지도 멈춤 규칙이 만족되지 않아 시행이 종료되지 않는 경우에는 MTD의 추정이 불가 능하다는 단점이 있다. 최근 이 SM방법의 단점을 보완하기 위해 O Quigley 등 (1990)이 제안한 CRM(Continu 한 국 통 계 학 회 논 문 집 2012, 19권, 6호, 877 884 DOI: http://dx.doi.org/10.5351/ckss.2012.19.6.877 Maximum Tolerated Dose Estimation Applied Biased Coin Design in a Phase Ⅰ Clinical Trial Yu Kim a, Dongjae Kim

More information

FMX M JPG 15MB 320x240 30fps, 160Kbps 11MB View operation,, seek seek Random Access Average Read Sequential Read 12 FMX () 2

FMX M JPG 15MB 320x240 30fps, 160Kbps 11MB View operation,, seek seek Random Access Average Read Sequential Read 12 FMX () 2 FMX FMX 20062 () wwwexellencom sales@exellencom () 1 FMX 1 11 5M JPG 15MB 320x240 30fps, 160Kbps 11MB View operation,, seek seek Random Access Average Read Sequential Read 12 FMX () 2 FMX FMX D E (one

More information

08년요람001~016

08년요람001~016 Challenge to the Greatness, Beautiful Leader 2008 2009 06 07 JANUARY 01 JUNE 06 FEBRUARY MARCH 02 03 JULY AUGUST 07 08 APRIL MAY 04 05 SEPTEMBER OCTOBER 09 10 2008 schooling schedule 08 09 2008 schooling

More information

*****

***** Korea Internet & Security Agency 21 2 본 보고서 내용의 전부나 일부를 인용하는 경우에는 반드시 출처 [자료:한국인터넷진흥원 인터넷침해대응센터]를 명시하여 주시기 바랍니다. CONTENTS 1 2 2 2 3 3 4 5 5 6 6 7 9 1 12 12 13 13 14 16 18 2 21 22 22 34 37 38 1 212 Bot

More information

PCServerMgmt7

PCServerMgmt7 Web Windows NT/2000 Server DP&NM Lab 1 Contents 2 Windows NT Service Provider Management Application Web UI 3 . PC,, Client/Server Network 4 (1),,, PC Mainframe PC Backbone Server TCP/IP DCS PLC Network

More information

Issue 두 가지 상대적 관점에서 검토되고 있다. 특히, 게임 중독에 대한 논의는 그 동안 이를 개인의 심리적 차원에서 접근해왔던 것에서 벗어나 청소년에 대한 사회문화 및 정보 리터러시(literacy) 교육의 방향이라든 지 나아가 게임중독과 관련한 사회구조적인 또는

Issue 두 가지 상대적 관점에서 검토되고 있다. 특히, 게임 중독에 대한 논의는 그 동안 이를 개인의 심리적 차원에서 접근해왔던 것에서 벗어나 청소년에 대한 사회문화 및 정보 리터러시(literacy) 교육의 방향이라든 지 나아가 게임중독과 관련한 사회구조적인 또는 ISSUE ANALYSIS 게임중독인가? 몰입인가? - 진흥과 중독예방의 상대적 비교 관점에서 최정일 / 숭실대학교 경영학부 교수, (사)미디어미래연구소 부소장, jichoi1009@naver.com 1. 서 언 온라인 및 모바일 접속 환경이 급속히 보편화됨에 따라 특정 미디 어와 어플리케이션(applications)을 오랫동안 그리고 지속적으로 사 용함으로써

More information

½Éº´È¿ Ãâ·Â

½Éº´È¿ Ãâ·Â Standard and Technology of Full-Dimension MINO Systems in LTE-Advances Pro Massive MIMO has been studied in academia foreseeing the capacity crunch in the coming years. Presently, industry has also started

More information

Journal of Educational Innovation Research 2018, Vol. 28, No. 1, pp DOI: * A Analysis of

Journal of Educational Innovation Research 2018, Vol. 28, No. 1, pp DOI: * A Analysis of Journal of Educational Innovation Research 2018, Vol. 28, No. 1, pp.99-117 DOI: http://dx.doi.org/10.21024/pnuedi.28.1.201803.99 2015 * A Analysis of the Characters and Issues about the 2015 Revised Social

More information

[ReadyToCameral]RUF¹öÆÛ(CSTA02-29).hwp

[ReadyToCameral]RUF¹öÆÛ(CSTA02-29).hwp RUF * (A Simple and Efficient Antialiasing Method with the RUF buffer) (, Byung-Uck Kim) (Yonsei Univ. Depth of Computer Science) (, Woo-Chan Park) (Yonsei Univ. Depth of Computer Science) (, Sung-Bong

More information

지속가능경영보고서도큐_전체

지속가능경영보고서도큐_전체 C o n t e n t s 03 06 07 10 30 38 43 55 56 60 62 70 71 Korea Foundation for Women Annual Report 2010 SLOGAN VISION 2 3 MISSION 1 MISSION 3 MISSION 2 4 5 Korea Foundation for Women Annual Report 2010 Korea

More information

슬라이드 제목 없음

슬라이드 제목 없음 (JTC1/SC6) sjkoh@knu.ac.kr JTC1 JTC1/SC6/WG7 ECTP/RMCP/MMC (JTC1/SC6) 2/48 JTC1 ISO/IEC JTC1 Joint Technical Committee 1 ( ) ISO/TC 97 ( ) IEC/TC 83 ( ) Information Technology (IT) http://www.jtc1.org

More information

untitled

untitled Oracle DBMS 로그인의접근제어우회 취약점분석 2006. 2. 9 인터넷침해사고대응지원센터 (KISC) 본보고서의전부나일부를인용시반드시 [ 자료 : 한국정보보호진흥원 (KISA)] 룰명시하여주시기바랍니다. 개요 o 2005년이후 Oracle Critical Patch Update(CPU) 는 Oracle사제품대상으로다수의보안패치및보안패치와관련된일반패치를발표하는주요수단임

More information

미래 서비스를 위한 스마트 클라우드 모델 수동적으로 웹에 접속을 해야만 요구에 맞는 서비스를 받을 수 있었다. 수동적인 아닌 사용자의 상황에 필요한 정보를 지능적으로 파악 하여 그에 맞는 적합한 서비스 를 제공할 수 새로운 연구 개발이 요구 되고 있다. 이를 위하여,

미래 서비스를 위한 스마트 클라우드 모델 수동적으로 웹에 접속을 해야만 요구에 맞는 서비스를 받을 수 있었다. 수동적인 아닌 사용자의 상황에 필요한 정보를 지능적으로 파악 하여 그에 맞는 적합한 서비스 를 제공할 수 새로운 연구 개발이 요구 되고 있다. 이를 위하여, BIZ STORY HOT TREND 2 미래 서비스를 위한 스마트 클라우드 모델 윤용익 숙명여자대학교 정보과학부 교수 HOT TREND 2 1. 서론 클라우드 컴퓨팅은 인터넷이 접속 가능한 공간이면 언제 어디서나 사용자에게 컴퓨팅 자원을 이용할 수 있 게 해주는 기술로써 클라우드 컴퓨팅 시대의 개막은 기 존의 하드웨어 또는 소프트웨어 중심에서 서비스 중심 의

More information

2017 년 6 월한국소프트웨어감정평가학회논문지제 13 권제 1 호 Abstract

2017 년 6 월한국소프트웨어감정평가학회논문지제 13 권제 1 호 Abstract 2017 년 6 월한국소프트웨어감정평가학회논문지제 13 권제 1 호 Abstract - 31 - 소스코드유사도측정도구의성능에관한비교연구 1. 서론 1) Revulytics, Top 20 Countries for Software Piracy and Licence Misuse (2017), March 21, 2017. www.revulytics.com/blog/top-20-countries-software

More information

<312DBACFC7D1BBE7C0CCB9F6C0FCB7C22DC0D3C1BEC0CEBFDC2E687770>

<312DBACFC7D1BBE7C0CCB9F6C0FCB7C22DC0D3C1BEC0CEBFDC2E687770> 북한의 사이버전력 현황과 한국의 국가적 대응전략 북한의 사이버전력 현황과 한국의 국가적 대응전략 임종인*, 권유중**, 장규현***, 백승조**** 1) Ⅰ. 서론 Ⅱ. 북한의 대남 사이버전략과 사이버위협 현황 Ⅲ. 북한의 사이버전력 현황 및 특성 분석 Ⅳ. 북한의 사이버위협에 대한 대응전략 Ⅴ. 결론 및 향후과제 Abstract North Korea s Cyber

More information

11¹Ú´ö±Ô

11¹Ú´ö±Ô A Review on Promotion of Storytelling Local Cultures - 265 - 2-266 - 3-267 - 4-268 - 5-269 - 6 7-270 - 7-271 - 8-272 - 9-273 - 10-274 - 11-275 - 12-276 - 13-277 - 14-278 - 15-279 - 16 7-280 - 17-281 -

More information

Microsoft PowerPoint - thesis_della_1220_final

Microsoft PowerPoint - thesis_della_1220_final 엔터프라이즈 IP 네트워크연결정보관리시스템설계및개발 2006. 12. 20 김은희 분산처리및네트워크관리연구실포항공과대학교정보통신대학원정보통신학과 della@postech.ac.kr 목차 1. 서론 2. 관련연구 3. 시스템요구사항 4. 시스템설계 5. 구현 : POSTECH 네트워크에서의실험결과 6. 결론및향후과제 (2) 서론 목적 네트워크장비들간의연결구성을자동으로탐지하는

More information

노동경제논집 38권 4호 (전체).hwp

노동경제논집 38권 4호 (전체).hwp * FA. FA FA. (2013) FA. (separating equilibrium),. (pooling equilibrium)..,. (Free agency, FA). (Reserve clause) : 2015 9 16, : 2015 11 13, : 2015 12 7 *. ** Department of Economics, University of Texas

More information

Journal of Educational Innovation Research 2017, Vol. 27, No. 2, pp DOI: : Researc

Journal of Educational Innovation Research 2017, Vol. 27, No. 2, pp DOI:   : Researc Journal of Educational Innovation Research 2017, Vol. 27, No. 2, pp.251-273 DOI: http://dx.doi.org/10.21024/pnuedi.27.2.201706.251 : 1997 2005 Research Trend Analysis on the Korean Alternative Education

More information

untitled

untitled PMIS 발전전략 수립사례 A Case Study on the Development Strategy of Project Management Information System 류 원 희 * 이 현 수 ** 김 우 영 *** 유 정 호 **** Yoo, Won-Hee Lee, Hyun-Soo Kim, Wooyoung Yu, Jung-Ho 요 약 건설업무의 효율성

More information

<30362E20C6EDC1FD2DB0EDBFB5B4EBB4D420BCF6C1A42E687770>

<30362E20C6EDC1FD2DB0EDBFB5B4EBB4D420BCF6C1A42E687770> 327 Journal of The Korea Institute of Information Security & Cryptology ISSN 1598-3986(Print) VOL.24, NO.2, Apr. 2014 ISSN 2288-2715(Online) http://dx.doi.org/10.13089/jkiisc.2014.24.2.327 개인정보 DB 암호화

More information

44-4대지.07이영희532~

44-4대지.07이영희532~ A Spatial Location Analysis of the First Shops of Foodservice Franchise in Seoul Metropolitan City Younghee Lee* 1 1 (R) 0 16 1 15 64 1 Abstract The foodservice franchise is preferred by the founders who

More information

thesis

thesis ( Design and Implementation of a Generalized Management Information Repository Service for Network and System Management ) ssp@nile nile.postech.ac..ac.kr DPE Lab. 1997 12 16 GMIRS GMIRS GMIRS prototype

More information

기술 이력서 2.0

기술 이력서 2.0 Release 2.1 (2004-12-20) : : 2006/ 4/ 24,. < > Technical Resumé / www.novonetworks.com 2006.04 Works Projects and Technologies 2 / 15 2006.04 Informal,, Project. = Project 91~94 FLC-A TMN OSI, TMN Agent

More information

강의지침서 작성 양식

강의지침서 작성 양식 정보화사회와 법 강의지침서 1. 교과목 정보 교과목명 학점 이론 시간 실습 학점(등급제, P/NP) 비고 (예:팀티칭) 국문 정보화사회와 법 영문 Information Society and Law 3 3 등급제 구분 대학 및 기관 학부(과) 전공 성명 작성 책임교수 법학전문대학원 법학과 최우용 2. 교과목 개요 구분 교과목 개요 국문 - 정보의 디지털화와 PC,

More information

04서종철fig.6(121~131)ok

04서종철fig.6(121~131)ok Development of Mobile Applications Applying Digital Storytelling About Ecotourism Resources Seo, Jongcheol* Lee, Seungju**,,,. (mobile AIR)., 3D.,,.,.,,, Abstract : In line with fast settling trend of

More information

<31325FB1E8B0E6BCBA2E687770>

<31325FB1E8B0E6BCBA2E687770> 88 / 한국전산유체공학회지 제15권, 제1호, pp.88-94, 2010. 3 관내 유동 해석을 위한 웹기반 자바 프로그램 개발 김 경 성, 1 박 종 천 *2 DEVELOPMENT OF WEB-BASED JAVA PROGRAM FOR NUMERICAL ANALYSIS OF PIPE FLOW K.S. Kim 1 and J.C. Park *2 In general,

More information

04-다시_고속철도61~80p

04-다시_고속철도61~80p Approach for Value Improvement to Increase High-speed Railway Speed An effective way to develop a highly competitive system is to create a new market place that can create new values. Creating tools and

More information

ORANGE FOR ORACLE V4.0 INSTALLATION GUIDE (Online Upgrade) ORANGE CONFIGURATION ADMIN O

ORANGE FOR ORACLE V4.0 INSTALLATION GUIDE (Online Upgrade) ORANGE CONFIGURATION ADMIN O Orange for ORACLE V4.0 Installation Guide ORANGE FOR ORACLE V4.0 INSTALLATION GUIDE...1 1....2 1.1...2 1.2...2 1.2.1...2 1.2.2 (Online Upgrade)...11 1.3 ORANGE CONFIGURATION ADMIN...12 1.3.1 Orange Configuration

More information

미래인터넷과 창조경제에 관한 제언 65 초록 과학기술과의 융합을 통해 창조경제를 이루는 근간인 인터넷은 현재 새로운 혁신적 인터넷, 곧 미래인터넷으로 진화하는 길목에 있다. 창조와 창업 정신으로 무장하여 미래인터넷 실현에 범국가적으로 매진하는 것이 창조경제 구현의 지름

미래인터넷과 창조경제에 관한 제언 65 초록 과학기술과의 융합을 통해 창조경제를 이루는 근간인 인터넷은 현재 새로운 혁신적 인터넷, 곧 미래인터넷으로 진화하는 길목에 있다. 창조와 창업 정신으로 무장하여 미래인터넷 실현에 범국가적으로 매진하는 것이 창조경제 구현의 지름 미래인터넷과 창조경제에 관한 제언 김대영 Internet & Security Policy Review 김대영 충남대학교 정보통신공학과 교수, dykim@cnu.kr 본 내용은 KISA의 공식적인 견해가 아님을 밝히며, 인용시 출처를 명시하여 주시기 바랍니다. 미래인터넷과 창조경제에 관한 제언 65 초록 과학기술과의 융합을 통해 창조경제를 이루는 근간인 인터넷은

More information

03.Agile.key

03.Agile.key CSE4006 Software Engineering Agile Development Scott Uk-Jin Lee Division of Computer Science, College of Computing Hanyang University ERICA Campus 1 st Semester 2018 Background of Agile SW Development

More information

ÀÎÅÍ³Ý ÁøÈï¿ø 3¿ù ÀúÇØ»ó

ÀÎÅÍ³Ý ÁøÈï¿ø 3¿ù ÀúÇØ»ó Korea Internet & Security Agency 21 3 CONTENTS 1 2 2 2 3 3 4 5 5 6 6 7 9 1 12 12 13 13 14 16 18 2 21 22 22 31 34 35 1 213 Bot 1,85 1,32 16.7 1,53 1,76 12.1 222 317 3. 116 16 9.4% 345 23 5.% 267 233 14.6%

More information