Recently, there has been an increasing need to protect network service from malicious attackers. Communication technologies have continuously evolved over years, but most of them focus on improve efficiencies or quality of services, and security technologies are not getting the attention. Meanwhile, internet based application services increase and the attackers continue to threaten the internet based services for their economical or political reasons. Hence, the security and reliability of communication network become more important these days. Hence, the security and reliability of communication network become more important these days. This study focuses on developing effective intrusion detection methods in various domains of computer networks. Since computer network has vulnerabilities in security, malicious users have tried to get interests throughout misusing the vulnerabilities. There have been researches on detecting the malicious activities, but the defense technology need to be improved in quantity and quality. So this study proposes some improved intrusion detection methods which help to solve practical intrusion detection problems. First, this study researches on intrusion detection systems (IDSs) which are very important to protect servers or hosts against malicious attacker. Second, we focus on denial of service attacks in application server and mobile ad hoc network, which are infamous these days. Intrusion detection system inspects incoming network traffic and detects attack connections. As it thoroughly inspects the network packets, it requires fast processor to operate in real-time. In case of high speed network, the IDS cannot inspect all packets so that it drops packets or skips some checking rules. To provide a solution for such IDSs, we propose a connection filtering method which intelligently filters based on some features which the IDS can gather in the early phase of each connection. The experiment results show that our proposed connection filtering method can reduce the monitoring cost of IDS and detects some attack connections in early phase of the connections. In addition to research on efficiency of IDS, we study on improving the accuracy of detection algo-rithm in intrusion detection system. A novel hybrid intrusion detection framework is proposed to detect known and unknown network attacks. Misuse detection based module and anomaly detection based module are systematically integrated so that it can alleviate the high false positive of anomaly detection method, which improve the detection performance of the IDS. Moreover, the training time and testing time of anom-aly detection is also improved, which helps the proposed hybrid framework can be operated in real-time. These days, denial of service attack is one of the biggest security problems, which results in huge damage to service providers and internet based industries. Our studies also focus on developing a solution on specific denial of service attacks. First, we propose to counter to application layer distributed denial of service (DDoS) attacks. Since the attack look similar to normal connections, protocol based existing DDoS equipment cannot defeat the attack. We propose to change link addresses of web page and observe whether the client follows the changed address. Since most zombie program cannot parse or read the obfuscated code while modern web browsers can, we obfuscate the changed address to hide the changed address against zombies. On this assumption, the proposed method can detect various application layer DDoS attacks with a very little overhead. Moreover, we extend our research area to next generation network, ad hoc network. Since ad hoc net-work is vulnerable to routing security and reliability, attackers can easily disrupt the network. In this study, we focus on counter a sinkhole attack which is also kind of denial of service attack. The sinkhole attacker dis-rupts the routing mechanism and modifies the normal routing path to pass the attacker in order to collect network traffic or make the network disabled. We propose a cooperative sinkhole attack detection method which detect sinkhole attacker by exchanging some control packets. The simulation results show that the proposed method can detect very precisely and swiftly.

컴퓨터의 보급과 네트워크 기술의 발달로 인해 인터넷 사용이 최근 10년 사이에 급증하였다. IT기술은 정보열람의 기능을 넘어 정치, 경제, 문화에 이르기까지 그 영향력이 커지고 있으며, 최근 주목받는 신기술인 스마트폰, 스마트 그리드, 클라우드 컴퓨팅 등 그 발전과 혁신이 지속되고 있다. 현대인의 생활 환경에서 통신 네트워크의 역할이 중대해짐에 따라 그 서비스의 안전성(safety)과 안정성(stability)이 매우 중요해졌다. 현재 TCP/IP를 기반으로한 통신 네트워크는 확장성과 편리성 측면에서 매우 우수하나, 안타깝게도 그 프로토콜의 개발 당시에 보안에 대한 고려가 많이 되지 않았다. 네트워크에 대한 보안 취약성으로 인해 분산 서비스 거부 공격(DDoS), 웜(Worm), 해킹(Hacking), 스팸메일(Spam Mail) 등 공격자의 다양한 공격들이 등장하였고 이는 네트워크의 원활한 이용을 방해하여 사회 혼란 및 피해자에게 막대한 금전적 손실을 입히기도 하였다. 사용자에게 서비스를 제공하는 서버 및 내부 네트워크를 보호하기 위해, 침입탐지시스템이 제안되었다. 이는 네트워크로 유출입되는 트래픽을 수집하고, 분석하여 정상 트래픽들 중 비정상 트래픽을 탐지하는 시스템이다. 침입탐지시스템 이전에는 트래픽 Port, IP를 기반으로 공격을 차단하는 방화벽 시스템이 사용되었다. 이는 많은 공격들이 일반 사용자들이 잘 사용하지 않는 Port, IP를 기반으로 한다는 것에 착안하여 접근제어, 로깅, 인증 등의 서비스를 제공하는 시스템이다. 하지만 방화벽은 공격자가 정상적인 사용자가 사용하는 Port (ex:80, HTTP) 및 IP를 사용할 경우, 이를 차단할 수가 없게 된다. 침입탐지시스템은 트래픽의 Port, IP 정보 뿐만 아니라 패킷 전체를 검사하고 수집된 트래픽 정보를 심도있게 분석함으로, 방화벽으로 차단할 수 없는 공격들에 대해서도 탐지해 낼 수 있다. 침입탐지시스템은 트래픽 검사 영역의 증가로 인한 패킷 처리 부하와 수집된 정보에 대한 분석으로 인한 처리 부하가 발생한다. 네트워크 속도가 점차 발달하고, 실시간 침입탐지에 대한 필요가 제기됨에 따라 효율적인 침입탐지를 위한 우수한 하드웨어를 가진 장비들의 개발과 함께 빠르고 정확한 침입 탐지 알고리즘에 대한 연구들이 활발히 진행 중에 있다. 본 연구는 효율적인 침입탐지를 위해 검사하는 패킷의 양을 기존의 탐지 알고리즘에 비해 줄이면서도 적절한 침입탐지를 가능하게 하는 탐지 알고리즘에 대해 제시한다. 실제로 침입탐지시스템에서 패킷을 검사하는 프로세스는 큰 부하를 차지한다는 점에서, 검사 패킷의 수를 줄이는 알고리즘은 실시간 침입탐지를 가능하게 하는 기술로 기대된다. 침입탐지를 위한 탐지 알고리즘은 크게 오용탐지(Misuse Detection)과 이상탐지(Anomaly Detection)기법으로 나눠볼 수 있다. 오용탐지는 기존 공격 트래픽의 특징을 바탕으로, 그 특징에 해당하는 트래픽을 침입으로 간주한다. 반면 이상탐지는 정상트래픽의 특징을 기반으로, 이와 성질이 다른 이상 트래픽을 탐지해낸다. 각 방안은 상호보완적 관계로, 오용탐지는 새로운 공격에 취약한 단점을 가지며, 이상탐지는 오용탐지에 비해 오탐율이 높은 단점을 가지고 있다. 본 연구에서는 오용탐지기법과 이상탐지기법을 혼합한 새로운 탐지 방안을 제시하고 있다. 제안하는 탐지방안은 오용탐지 수준의 탐지 정확도 및 이상 탐지 수준의 새로운 공격에 대응할 수 있다는 장점을 가진다. 본 학위논문은 트래픽 분석을 통한 일반적인 침입탐지 알고리즘의 개발과 더불어, 최근 이슈가 되고 있는 서비스 거부 공격에 대한 대응 방안에 대해서 다룬다. 분산형 서비스 거부 공격 (Distributed Denial of Service)은 인터넷이 가지는 비대칭성을 이용하여, 타겟 서비스 서버에 과부하를 일으켜, 다른 사용자에게 서비스를 할 수 없게 만드는 공격이다. 본 연구에서는 응용계층 기반의 서비스 거부공격 시, 실제 사람에게서부터 발생한 서비스 요청과, Bot으로부터 발생한 서비스 요청을 구분하는 방안에 대해 제시한다. 본 방안은 서비스 거부 공격이 모든 클라이언트가 같은 주소로 웹에 접속하여 발생한다는 점을 착안하였다. 공격자의 정보량을 제한하기 위해, 서버 과부하 시 웹페이지 링크 정보를 조정하였으며, 이를 통해 정상 사용자와 Bot을 구분하였다. 또한 최근 네트워크의 발달의 영역이 유선에서 무선으로 진화함에 따라, 무선 네트워크에서의 보안이슈가 각광을 받고 있다. Mobile Ad-hoc Network(MANET)는 차세대 주목받는 네트워크 중 하나로 각 단말 노드의 출입이 자유롭고 중앙 집중적 장치 없이 협력 릴레이 전송을 기반으로 하는 네트워크이다. MANET에서는 기존 유선 네트워크에서와 같이 엿듣기(Eavesdropping), 패킷 조작(Packet modification), 라우팅 경로 방해공격(Routing disruption) 등 다양한 방식의 네트워크 공격이 가능하다. MANET에서는 각 단말 노드가 멀티 홉 릴레이 통신 방식으로 호스트 역할과 라우터 역할을 동시에 하기 때문에 라우팅 경로 보안에 특별히 더 취약하다 할 수 있다. 본 연구에서는 MANET의 대표적인 라우팅 경로 방해공격인 Sinkhole 공격을 분석하고 이를 탐지하여 공격자를 검출해내는 알고리즘을 제시하였다. 제안하는 방안은 협력 릴레이 통신을 하는 MANET의 특성을 이용하여 빠른 시간에 공격자를 검출하는 방안이다. 제안하는 알고리즘은 매우 빠른 시간에 공격자를 탐지하고 고립시킴으로 네트워크 피해를 최소화 할 수 있으며, 매우 높은 탐지 정확도를 가진다.