As cyber threats have become a serious problem these days, especially in connection with the stability of network, a significant number of attempts are being made to protect cyber space from various malicious threats. Cyber threat, aka cyber attack, refers to all of actions that disturb integrity, confidentiality and availability of network. With growing numbers of attack techniques, cyber threats have become more sophisticated and diversed resulting in serious damage in the network. In this dissertation, cyber threat handling methods were studied. The first part of our study deals with intrusion detection scheme for network intrusion detection. Recently, as damage caused by Internet threats has increased significantly, one of the major challenges in designing an intrusion detection system is to accurately predict the period and severity of threats. In this study, a novel probabilistic approach is proposed for effective network-based intrusion detection. It uses a Markov chain as basic approach and consists of three main phases. In the first phase, normal states are obtained by K-means clustering, and the concept of outlying states is newly introduced. Next, based on these states, a Markov model including a state transition probability matrix and an initial probability distribution is built under the practical assumptions. In the third phase, the degree of abnormality for network data is statistically estimated using the model in real-time. The performance of the proposed approach is evaluated through experiments using the well-known DARPA 2000 data set and further analyses. The proposed approach achieves high detection performance while representing the level of threat in stages. In particular, it is shown to be very robust to training data sets and the number of states in the Markov model. The second part of our study deals with developing an early warning system (EWS) to protect national-level network from cyber threats or cyber warfare. Recently, cyber attacks have become a serious hindrance to the stability of Internet. These attacks exploit interconnectivity of networks propagate in an instant, and have become more sophisticated and evolutionary. Traditional Internet security systems such as firewall, intrusion detection system (IDS) and intrusion prevention system (IPS) are limited in terms of detecting recent cyber attacks in advance as these systems respond to Internet attacks only after the attacks inflict serious damage. In this part, we review a hybrid intrusion forecasting system framework for an early warning system. The system utilizes three types of forecasting methods: time-series analysis, probabilistic modeling and data mining method. By combining these methods, it is possible to take advantage of the forecasting technique of each while overcoming their drawback. Experimental results show that the hybrid intrusion forecasting method outperforms each of three forecasting methods. As another type of network, mobile ad-hoc network (MANET) is a kind of wireless network of which each node can communicate with other nodes without wired communication link and centralized facilities. It is widely known that mobility and scalability of MANET make network more vulnerable to external/internal malicious activities than wired network. Among many attacks on MANET, sinkhole attack modifies the routing message to change the route intentionally, results in the disruption of MANET. The third and final part of this dissertation deals with an effective data mining method to detect sinkhole attack. First, to obtain data set required in data mining, the features that aptly define the characteristics of MANET and sinkhole attack are newly constructed. And then, discriminant analysis is used as a classifier deciding whether a certain event is a normal event or a sinkhole attack. Proposed method is the first approach that uses data mining based on discriminant analysis in detecting sinkhole attack. The performance of proposed method is evaluated and compared with that of traditional method, aka sinkhole intrusion indicator (SIIS), using NS-2 simulator. The results of evaluation show that the proposed method shows better performance in terms of detection rate and detection time than SIIS.

인터넷 기반의 개방형 통신환경은 외부인의 편리한 접속 서비스를 제공하는 만큼 불법적인 접근이나 침입에 취약한 구조를 가지고 있다. 지금까지 우리는 정보나 정보시스템에 대한 보호를 위해서는 주로 오프라인의 비밀 보호와 시스템 보호에 역점을 두어 왔다. 그러나 이제 개방형 가상공간이 우리들의 모든 국가기반 시설의 터전이 되고, 우리들의 생활의 근거가 되면서 온라인 침해나 공격에 대한 새로운 정보보호 개념이 정립되고 예방과 보호를 위한 수단의 확보가 필요하게 되었다. 또한, 단순한 공격자들의 과시에 지나지 않았던 사이버 위협의 양상이 최근 조직적인 범죄집단에 의한 사이버 테러로 변화하거나 국가가 수행하는 사이버 戰의 양상으로 확대되면서 그 대응 수단의 중요성이 더욱 부각되고 있다. 본 연구에서는 중요한 정보 자산을 외부의 사이버 위협으로부터 보호하여 개인, 더 나아가서는 국가를 위한 안전한 사이버 공간 확보의 필요성에 근거하여 사이버 위협 대응 기법에 관하여 다루고자 한다. 네트워크는 일반적으로 유선 네트워크와 무선 네트워크로 구분된다. 유선 네트워크는 기존 통신망의 근간으로서 널리 사용되고 있으며 무선 네트워크는 개인 휴대단말기 및 통신 기법의 발전에 따라 최근에 그 중요성 및 활용성이 부각되고 있다. 본 연구에서는 유무선통합네트워크 (BcN) 에서의 사이버 위협에 대응하기 위하여 유선(Wired) / 무선(Wireless) 네트워크에서의 사이버 위협 대응 방법에 대하여 각각 논의하였다. 또한, 네트워크 기반의 정보사회가 도래함에 따라 사이버 위협에 대한 피해 규모 역시 방대해지는 현실에서 국가적차원(National-level)에서 사이버 위협에 대응하기 위한 조기경보시스템의 프레임워크에 대해서 연구를 수행하였다. 첫째, 유선 네트워크에서의 사이버 위협 대응(침입탐지)을 위한 새로운 기법을 제안하였다. 현재까지 수행된 수많은 침입 탐지 관련 기법은 단지 ‘공격’ 인지 ‘정상’인지만 판단하는 근본적인 문제를 갖고 있다. 현재의 네트워크 시스템은 고도화됨에 따라 오탐지나 미탐지에 의한 피해 또는 소모비용이 막대해진다. 본 연구 주제에서는 공격의 여부를 판단함과 동시에 사이버 위협의 가능성을 여러 단계로 표현하여 피해 및 소모비용을 최소화할 수 있는 방안을 제시하였다. 제안하는 기법은 Markov chain을 이용하여 현재 네트워크의 상태를 통해 사이버 위협의 가능성을 실시간으로 확률로서 표현하였으며 그 확률에 따라 사이버 위협의 가능성을 단계적으로 나타낼 수 있도록 하였다. 둘째, 국가적인 차원에서 구축/운용되고 있는 CERT 또는 EWS의 올바른 구축방향을 제시하였다. 사이버 위협이 국가의 자원을 소모하는 양상으로 진화함에 따라 사이버 위협 대응 시스템이 기존 ISP, 회사 중심 운용에서 국가 중심 운용으로 필요성이 증대되고 있다. 본 연구주제에서는 일반적인 미국 백악관에서 정의하고 있는 사이버대응절차를 준수하면서 효과적으로 사이버 위협을 조기에 탐지할 수 있는 침입예측시스템의 프레임워크를 제안하였다. 제안된 프레임워크는 3개의 모듈(수집모듈, 분석모듈, 보고모듈)로 구성되어 있다. 특히, 분석 모듈(DA)은 프레임워크에 있어서 가장 중요한 기능을 수행하는 모듈로서 본 연구주제에서는 분석 모듈에서 사이버 위협을 예측하기 위하여 적용할 수 있는 새로운 침입 예측 기법을 제안하였다. 제안된 예측 기법은 기존에 활용되는 3개의 전통적인 기법을 간단히 조합하는 행위만으로도 침입 예측 성능을 향상시킬 주 있음을 실험을 통하여 증명하였다. 마지막으로, 무선 네트워크를 기반으로 하는 Ad-hoc 네트워크에서의 sinkhole 공격 탐지 기법을 제안하였다. MANET(Mobile Ad-hoc NETwork)은 무선 매체를 사용하며 구성 노드의 이동성이 극대화되므로 유선 네트워크보다 다양한 취약성을 갖고 있다. 라우팅 프로토콜의 취약성을 보강하기 위하여 안전한 라우팅 프로토콜에 대한 연구가 수행되어 왔으며, 동시에 다양한 공격 방법(Sinkhole, Rushing, DDoS, Packet Dropping 등)에 대한 많은 연구도 수행되어왔지만 공격 기법의 발달 및 공격자의 증가 등을 따라가기에는 부족함이 많은 현실이다. 본 연구주제에서는 데이터마이닝을 이용한 이상탐지(anomaly detection)기법을 처음으로 sinkhole 공격 탐지에 적용하였다. MANET의 특성을 정확히 인지하지 못하며 의도적인 공격에 취약한 기존의 공격 탐지 기법의 성능을 향상시키기 위하여 본 연구에서는 판별분석(discriminant analysis)을 사용한 이상탐지 기법을 설계하였으며 특정값(threshold)을 이용하지 않는 방식으로 MANET에서 효과적으로 적용될 수 있을 것으로 예상된다. 본 연구에서 수행된 3개의 연구 분야는 ‘유무선 통합네트워크에서 구축된 국가의 정보 자산을 보호하기 방법’을 제시하고 있으며, 안전한 데이터 네트워크를 위한 사이버 대응 방식을 제시하고 있음에 큰 의의가 있다고 말할 수 있다.