융합보안논문지 (Convergence Security Journal)

  • 제22권2호
  • /
  • Pages.9-19
  • /
  • 2022
  • /
  • 1598-7329(pISSN)
  • /
  • 2508-7460(eISSN)
한국융합보안학회 (Korea convergence Security Association)
권호 표지
DOI QR코드

DOI QR Code

공격키워드 사전 및 TF-IDF를 적용한 침입탐지 정탐률 향상 연구

A Study on Improving Precision Rate in Security Events Using Cyber Attack Dictionary and TF-IDF

  • 김종관 (전남대학교 정보보안협동과정) ;
  • 김명수 (전력연구원 지능화솔루션연구실)
  • 투고 : 2022.05.30
  • 심사 : 2022.06.30
  • 발행 : 2022.06.30
PDF 다운로드
⟨ 이전 논문 다음 논문 ⟩

초록

최근, 디지털전환의 확대로 사이버공격의 위협에 더욱 더 노출되고 있으며, 각 기관 및 기업은 공격이 유입되는 것을 막기 위해 시그니처 기반의 침입차단시스템을 네트워크 가장 앞단에 운영중에 있다. 그러나, 관련된 ICT시스템에 적절한 서비스를 제공하기 위해 엄격한 차단규칙을 적용할 수 없어 많은 오이벤트가 발생되고, 운영효율이 저하되고 있다. 따라서, 공격탐지 정확도 향상을 위하여 인공지능을 이용한 많은 연구과제가 수행되고 있다. 대부분의 논문은 정해진 연구용 데이터셋을 이용하여 수행하였지만, 실제 네트워크에서는 연구용 학습데이터셋과는 다른 로그를 이용해야만 하기 때문에 실제 시스템에서는 사용사례는 많지 않다. 본 논문에서는 실제 시스템에서 수집한 보안이벤트 로그에 대하여 주요 공격키워드를 분류하고, 주요 키워드별로 가중치를 부과, TF-IDF를 이용하여 유사도 검사를 수행후 실제 공격여부를 판단하는 기법에 대하여 제안하고자 한다.

As the expansion of digital transformation, we are more exposed to the threat of cyber attacks, and many institution or company is operating a signature-based intrusion prevention system at the forefront of the network to prevent the inflow of attacks. However, in order to provide appropriate services to the related ICT system, strict blocking rules cannot be applied, causing many false events and lowering operational efficiency. Therefore, many research projects using artificial intelligence are being performed to improve attack detection accuracy. Most researches were performed using a specific research data set which cannot be seen in real network, so it was impossible to use in the actual system. In this paper, we propose a technique for classifying major attack keywords in the security event log collected from the actual system, assigning a weight to each key keyword, and then performing a similarity check using TF-IDF to determine whether an actual attack has occurred.

키워드

참고문헌

  1. 윤영근, 최인혁, 구자빈, 손주암, 오태근. "자기애자 손상평가를 위한 머신러닝 기법의 적용." 대한전기학회 학술대회 논문집, pp. 88-89, 2019.
  2. WANG Wei-Hong, LV Yin-Jun, CHEN Hui-Bing, FANG Zhao-Lin, "A Static Malicious Javascript Detection Using SVM." In proceedings of the 2nd International Conference on Computer Science and Electronics Engineering(ICCSEE), 2013.
  3. H. Kim, J.H. Huh, "Detecting DNS-poisoning-based phishing attacks from their network performance characteristics", Electronics Letters, vol. 47, no.11, pp. 656-658, 2011.
  4. Y Liao, VR Vemuri, "Use of K-Nearest Neighbor classifier for intrusion detection" Computer&Security, vol 21, no.5, pp. 439-448, 2002.
  5. 양환석, "머신러닝을 이용한 APT 공격탐지기법에 관한 연구," 한국융합보안학회 융합보안논문지 제21권 제 5호, pp. 21-27, 2021.
  6. 김도형, 이상근, 정순기, "이상금융거래 탐지 시스템(FDS)을 위한 딥러닝 모델의 설계 및 구현", 한국융합보안학회 융합보안논문지 제21권 제5호, pp. 69-78, 2021.
  7. 변성현, 김영원, 고관섭, 이수진, "CNN기반 악성코드 탐지에서 이미지 형식이 탐지성능과 자원 사용에 미치는 영향 분석." 한국융합보안학회 융합보안논문지 제21권 제4호, pp. 59-68, 2021.
  8. 안병욱, 이중찬, 최재성, 박원형, "머신러닝과 딥러닝을 활용한 악성 패킷 탐지 기술 연구", 한국융합보안학회 융합보안논문지 제21권 제4호, pp. 109-115, 2021.
  9. 김남욱, 이동규, 엄정호, "지능형 사이버 공격 경로 분석 방법에 관한 연구," 한국융합보안학회 융합보안논문지 제21권 제1호, pp. 93-100, 2021.
  10. 권현, 박상준, 김용철, "딥뉴럴네트워크상에 신속한 오인식 샘플 생성 공격", 한국융합보안학회 융합보안논문지 제20권 제2호, pp. 111-121, 2020.
  11. Mohsen Kakavand, etc. "A Text Mining-Based Anomaly Detection Model in Network Security", Vol14, No 40G(2014):Global Journal Of Computer Science and Technology, 2015.
  12. WesamS. Bhaya, etc. "Anomaly Detection System for Internet Traffic bsedon TF-IDF and BFR Clustering Algorithms", International Journal of Engineering & Technology, 8(1.5), pp 131-137, 2019.
  13. Hyoseok Kim, etc. "A Validation of Effectiveness for Intrusion Detection Events Using TF-IDF", Journal of the Korea Institute of Information Security & Cryptology, Vol.28, pp.1489-1497, 2018
  14. Choi S, Jang M, Kim M (2020), A Study on AI algorithms to Improve Precision Rate in a Managed Security Service, Trans Korean Inst Electrical Engineering, pp 1046-1052, https://doi.org/10.5370/KIEE2020.69.7.1046.
  15. OWASP, "OWASP Top 10 -2001", http://owasp.org/Top10/