A Study Of Mining ESM based on Data-Mining

Advanced Persistent Threat (APT), aims a specific business or political targets, is rapidly growing due to fast technological advancement in hacking, malicious code, and social engineering techniques. One of the most important characteristics of APT is persistence. Attackers constantly collect information by remaining inside of the targets. Enterprise Security Management (EMS) system can misidentify APT as normal pattern of an access or an entry of a normal user as an attack. In order to analyze this misidentification, a new system development and a research are required. This study suggests the way of forecasting APT and the effective countermeasures against APT attacks by categorizing misidentified data in data-mining through threshold ratings. This proposed technique can improve the detection of future APT attacks by categorizing the data of long-term attack attempts.

데이터 마이닝 기반 보안관제 시스템

최초 사회공학기법의 발달로 해킹, 악성코드가 고도화, 첨단화 되어 기업에 대한 표적 공격인 APT(Advanced Persist ent Threat)공격이 급격히 증가하고 있다. APT공격의 가장 큰 특징 중 하나는 지속성이다. 공격자는 내외부에서 지속적으로 공격대상의 정보를 수집 및 활용한다. 보안관제 시스템(Enterprise Security Management)의 경우 이러한 지속적인 공격에 대하여 정상적인 접근 실패로 오인 공격을 받고 있음에도 별도의 경고를 할 수 없는 한계점이 있다. 이러한 오탐 데이터를 철저히 분석하기 위한 시스템 설계 및 연구가 필요하다. 본 논문에서는 데이터마이닝을 이용하여 지나칠 수 있는 오탐을 임계치 기준 분류하여, 산출된 비교 값을 기준으로 지속적으로 일어나는 공격에 대한 예측 및 공격에 대한 개선된 대응 방안을 제시한다. 제안 기법을 사용하여 장기적으로 시도되는 공격 데이터를 분류, 앞으로 일어날 수 있는 공격 징후 탐지가 가능하다.