Guaranteeing secure and reliable communications in wireless and wired networks is very important in recent and future networks. In this thesis, we propose effective defense schemes to protect wireless adhoc network and wired networks from illegal intrusions. Wireless mobile adhoc networks (MANETs) have many applications to the environments where creating fixed infrastructure is prohibitive. However, as the medium is easily monitored, the topology of the network is dynamic, the networking protocols rely on distributed cooperation of the nodes, and the nodes have constrained capabilities, MANETs are particularly vulnerable to intrusions, especially to sinkhole intrusion. The sinkhole intrusion redirects all routes in the networks to a sinkhole node to do malicious behaviors. In this thesis, we propose an efficient method for sinkhole intrusion detections in MANETs using Dynamic Source Routing (DSR) protocol. The proposed method uses the route record of transmitted route request messages for detection, and removes the identified attack node from the network. Through the computer simulations, we show that the proposed method has better performance than other sinkhole detection methods in terms of detection rate, detection time, and energy consumption. Another issue dealt with in the thesis is a scheme to defend against service denial attacks in large scale networks. Distributed Denial of Service (DDoS) attack causes very serious problems to availability or stability of the Internet. A very large number of compromised agent hosts which are distributed widely on the Internet generate enormous volume of traffic to a target system to prohibit providing services. As they spoof the source IP address of their packets, it is very difficult to trace them. All systems connected to the Internet can be a victim although they are well-equipped in security. In this thesis, an effective defense scheme is proposed. Unlike other methods, source IP spoofing feature is adopted to detect such attacks without false ratio. Through computer simulations, it is shown that using the proposed scheme can detect DDoS attacks and trace the attack agents. The last issue dealt with in this thesis is a new approach for proactive DDoS attack detection. An attacker launches DDoS attack through several preparing phases, such as agent recruiting and compromising. The detection scheme proposed in this thesis is mainly focused on detecting early traffic which is used to prepare such attacks by agents as well as detecting real attack traffic. For this, an neural network model, SOM, is applied to the proposed scheme. We analyzed the features of DDoS traffic to be used to the SOM model in terms of traffic volume and randomness. The feature analysis involves both pre-attack phases and attack phases. Through computer simulations, it is shown that the SOM network model can classify the attack traffic from the normal traffic well when the analyzed features are used.

인터넷 및 유무선 통신기술의 빠른 발전과 이러한 기술 사용 인구의 급속한 증가로 데이터 망에서 보다 안전한 통신을 보장하기 위한 보안기술이 중요한 문제로 여겨지고 있다. 보안에 대한 위협을 원천적으로 제거하고 위협의 접근을 차단하는 것이 최선이나, 현 유무선 통신체계에서 현실적으로 이는 불가능하다. 따라서 통신체계에 대한 위협의 침입을 신속히 탐지하여 사전에 적절한 보안 조치를 취할 수 있도록 하는 침입탐지 기술의 개발이 절실하다. 실제로, 통신기술의 발전과 함께 침입탐지 기술도 꾸준히 진화하고 있지만, 아울러 침입 기술도 지능화 되고 있다. 기존의 대부분의 침입기술은 통신 프로토콜 및 시스템의 보안 취약성을 이용, 시스템에 침입하여 불법적으로 데이터를 변경, 삭제, 획득하는 형태였다. 하지만, 유무선 통신 서비스에 대한 의존도가 매우 높은 최근에는 통신 서비스 자체를 공격하여 각종 비즈니스 등의 업무를 방해하는 침입 기술이 등장하여 이에 대한 해결이 중요한 잇슈(issue)가 되고 있다. 이러한 공격 중에서 대표적인 것이 분산 서비스 거부 (Distributed Denial of Service, DDoS) 공격이다. 이 공격은 시스템의 보안 취약성을 공격하는 것이 아니라 단지 네트워크의 수많은 에이젼트(agent)들이 일제히 다량의 공격 패킷을 특정 호스트 또는 네트워크에 전송하여 대상 시스템 및 관련 네트워크로 하여금 정상적인 서비스를 하지 못하도록 한다. 따라서 네트워크에 연결된, 높은 수준의 보안을 유지하는, 어떤 시스템도 공격의 대상이 될 수 있다. 최근 이동성 에드 혹 네트워크 (Mobile Ad-Hoc Network, MANET) 기술에 대한 연구가 활발히 진행되고 있다. MANET는 고정된 통신 인프라 (infrastructure) 지원 없이 필요한 이동 노드 (mobile node) 간의 통신이 가능하기 때문에 이동성(Mobility)이 높고 통신을 위해 고정 인프라를 설치하는 것이 불가능한 군사용 또는 민간 비상 구조 현장 등과 같은 환경에 적합한 통신체계이다. MANET는 유선 통신과 달리 네트워크가 물리적으로 개방되어 있어 침입에 더욱더 취약하다. MANET에서 정상 노드의 통신 서비스를 방해하는 대표적인 공격이 sinkhole (또는 black hole) 공격이다. 이 공격은 네트워크의 정상 통신 루트에 공격 노드가 침입하여 모든 트래픽을 공격 노드로 향하게 한다. 이어 패킷 드로핑(dropping) 등의 행위로 전체적인 네트워크의 서비스를 방해한다. 본 연구 2장에서는 MANETs에서 sinkhole 공격을 효과적으로 탐지할 수 있는 방안을 제안하였다. 제안된 방안은 DSR 라우팅 포로토콜을 사용하는 네트워크에서 루트 요청 패킷 (route request, RREQ)의 루트 기록 (route record)을 이용하여 최단시간에 공격을 탐지하는 방안이다. Sinkhole 노드는 네트워크의 정상 루트(route)에 최대한 많이 침입하기 위해 많은 공격 RREQ (bogus RREQ)를 전송하며, 이는 에너지 자원이 제한된 MANETs의 생존기간(life time)을 단축시키는 좋지 않은 결과를 초래한다. 제안 방안은 공격노드가 정상 루트에 침입하기 위해 공격 RREQ를 전송하는 공격 초기단계에서 공격을 탐지하기 때문에 네트워크의 생존기간 측면에서도 장점을 가지고 있다. 컴퓨터 시뮬레이션을 통해 제안 방안이 다른 방안보다 탐지률, 탐지시간, 네트워크의 생존기간 연장 측면에서 우수한 성능을 가짐을 보였다. 본 연구 3, 4장에서는 유선망에서 분산 서비스 거부 공격을 효과적으로 탐지하고 대응할 수 있는 방안을 각각 제안하였다. 이 공격은 대상 시스템 및 주위 네트워크에 심각한 트래픽 혼잡 (traffic congestion)을 유발한다는 것 외에 정상 패킷과의 구분이 어렵기 때문에 공격 탐지가 어렵다. 또한 대상 시스템에서 공격을 탐지하더라도 이들 패킷의 소스 (source) 주소가 위조 (spoofing)되어 있기 때문에 공격자를 역 추적하는 것도 불가능한 것으로 알려져 있다. 본 연구 3장에서는 이러한 공격을 정확하게 탐지하고, 공격 패킷을 정상 패킷과 구분하여 폐기 (filtering)하며, 공격 에이젼트를 역 추적할 수 있는 방안을 제안하였다. 이를 위해 제안 방안에서는 분산 서비스 거부 공격의 가장 뚜렷한 특징, 즉 대상 시스템에서의 혼잡 유발과 패킷의 소스 주소를 위조하는 특성을 이용하였다. 실험을 통해 제안 방안은 정확한 공격 탐지, 공격 패킷 식별, 그리고 공격 에이젼트 추적을 효과적으로 할 수 있음을 보였다. 또한 제안 방안은 다른 방안에 비해 공격하에서 정상 사용자들에 대한 높은 서비스를 제공할 수 있음도 동시에 보였다. 최근 네트워크에 대한 공격을 사전에 탐지하여 적절한 조치를 취함으로써 공격으로부터 관련 네트워크 및 대상 시스템의 피해를 방지하기 위한 조기경보 (early warning) 시스템 연구가 진행되고 있다. 본 연구 4장에서는 분산 서비스 거부 공격을 공격 이전 단계, 즉 공격 준비 단계에서 탐지하기 위한 방안을 제안하였다. 이를 위해 제안방안은 사전 정보 없이 유입되는 트래픽을 실시간으로 분석할 수 있는 비교사 인공 신경망 모델 (unsupervised neural network)인 SOM (self-organizing map) 모델을 도입하였다. 분산 서비스 거부 공격 트래픽의 특성을 분석하여 이 모델에서 사용될 파라미터 (parameter)를 분석하였으며, 실험 데이터를 이용하여 제안 방안의 성능을 측정하였다. 실험을 통해, 제안 방안은 분산 서비스 거부 공격을 위한 사전 준비 트래픽과 공격 트래픽, 기타 정상 트래픽을 효과적으로 구분함을 보였고, 이를 토대로 탐지 알고리즘을 제안하였다.