노병희 남송현 2016-02 22021 https://aurora.ajou.ac.kr/handle/2018.oak/10492 학위논문(석사)--아주대학교 일반대학원 :소프트웨어특성화학과,2016. 2 각 군의 무기체계가 발전하고 점차 고도화 된 작전이 수행되면서 각 국가에서는 사이버전 전력을 구성하여 아군의 정보를 보호하고 상대방의 정보를 알아내기 위한 싸움이 이루어지고 있다. 전술통신망은 외부망과 분리되어 사전에 정해진 무기체계 정보만이 유통되도록 암호화와 터널링 등 강력한 보안 기법들이 적용되는 군 통신망으로 네트워크에 진입하여 정보를 탈취하는 등의 공격을 하는데 어려움이 있다. 하지만 만약 하위 부대에서 정상적으로 사용되는 무기체계 단말기가 하나라도 보안이 뚫려서 시스템이 악성 프로그램에 노출될 경우 탐지가 어려울 뿐만 아니라 이미 인증된 정상적인 경로를 통해 악성 프로그램이 침투하여 점차적으로 상위 부대까지 전파 될 경우 중요 정보가 노출되거나 지휘 통제에 치명적인 피해를 입히는 공격을 받을 가능성이 있다. 본 논문에서는 전술통신망에서 유통되는 무기체계 트래픽 특성을 고려하여 노드 연결관계를 적용하는 웜 탐지 및 방어 기법을 제안한다. 연결 관계에 위반하는 트래픽이 수신 될 경우 악의적인 공격 패킷으로 인지하여 차단하고, 해당 패킷의 패턴을 주변 부대로 공유한다. 주변 부대에서는 해당 패킷과 동일한 패턴을 갖는 패킷이 직속/직할 부대로부터 수신되는지 모니터링하여 악성코드가 침투 및 전파되지 못하도록 차단한다. 본 연구에서는 제안하는 기법을 계층적 구조를 갖는 전술통신망에 적용하여 스캐닝 웜이 하위 부대로 침입하여 최상급 부대까지 전파되는 양상을 분석하고 효과성을 분석한다. 1. 서 론 1 2. 관 련 연 구 4 2.1. 전술통신망 4 2.1.1. 합동전술데이터링크 체계 4 2.1.2. 토폴로지 모델 5 2.1.3. 트래픽 모델 7 2.2. 웜 공격 및 방어 기법 8 2.2.1. 시그니처 기반 탐지 방법 9 2.2.2. 행위 인식 기반 탐지 방법 10 3. 연결성 기반 웜 탐지 방법 12 3.1. 연결성 맵 모델링 12 3.1.1. 계층적 구조의 지휘통제체계 모델링 12 3.1.2. 수행 업무의 연관성을 따르는 일반 체계 모델링 14 3.2. 웜 탐지 및 방어 방법 15 3.2.1. 연결성 맵 적용 후 웜 전파 속도 18 3.2.2. 시그니처 기반 방어 방법 적용 20 4. 실 험 결 과 22 4.1. 스캐닝 웜 모델 23 4.2. 연결성 맵 적용 24 4.3. 탐지 및 방어효과 분석 26 5. 결 론 27 REFERENCE 28 kor The Graduate School, Ajou University 아주대학교 논문은 저작권에 의해 보호받습니다. 전술통신망에서 노드 간 연결성을 이용한 웜 탐지 방법 Worm Detection Using Connectivity Between the Nodes for Tactical Network Thesis 아주대학교 일반대학원 Song-hyeon Nam 일반대학원 소프트웨어특성화학과 2016. 2 Master http://dcoll.ajou.ac.kr:9080/dcollection/jsp/common/DcLoOrgPer.jsp?sItemId=000000022021 사이버전 전술통신망 웜 연결성 With the development of weapon system and the requirement of sophisticated operations, each nation is intensifying the military strength in the cyber warfare. Tactical Network is distributed with the general network, and it is protected by strong encapsulation and tunneling, so on. However, it may take some damages if a unit is affected by a malicious program. Then, the malicious program can be infiltration to high level system to command the corps through the affected unit. This paper proposes a process to detect and to defense from malicious worm attack for the network. It drops packets if the packets are communicated through a wrong path from the sender unit. We call the expression of the route as Connectivity Map. It defines useable paths of weapon system traffics in the tactical network. Each node has the Connectivity Map and they use that to detect malicious accesses about the node. If a node detects a malicious packet, then it takes a signature from the packet through analysis. The signature is shared to the neighbor nodes and it used to protect the damage for the each.