• 한국군사과학기술학회지
• /
• 제21권6호
• /
• pp.807-816
• /
• 2018

Threat hunting is defined as a process of proactively and iteratively searching through networks to detect and isolate advanced threats that evade existing security solutions. The main concept of threat hunting is to find out weak points and remedy them before actual cyber threat has occurred. And HMM(Hunting Maturity Matrix) is suggested to evolve hunting processes with five levels, therefore, CSOC(Cyber Security Operations Center) can refer HMM how to make them safer from complicated and organized cyber attacks. We are developing a system for cyber situation awareness system with pro-active threat hunting process called unMazeTM. With this unMaze, it can be upgraded CSOC's HMM level from initial level to basic level. CSOC with unMaze do threat hunting process not only detecting existing cyber equipment post-actively, but also proactively detecting cyber threat by fusing and analyzing cyber asset data and threat intelligence.

• 한국인터넷방송통신학회논문지
• /
• 제21권4호
• /
• pp.15-23
• /
• 2021

대부분의 해킹 과정에서는 장기간에 걸쳐 내부에 침입하고 목적 달성을 위해 우회접속을 이용한 외부와 통신을 시도한다. 고도화되고 지능화된 사이버 위협에 대응하는 연구는 주로 시그니처 기반의 탐지 및 차단 방법으로 진행되었으나, 최근에는 위협 헌팅 방법으로 확장되었다. 조직적인 해킹그룹의 공격은 장기간에 걸쳐 지능형 지속 공격이면서, 우회 원격 공격이 대부분을 차지한다. 그러나 지능화된 인지 기술을 활용한 침입 탐지 시스템에서도 기존의 침입 형태에만 탐지성능을 발휘할 뿐이다. 따라서, 표적형 우회 원격 공격에 대한 대응은 기존의 탐지 방법과 위협 헌팅 방법으로도 여전히 한계점이 있다. 본 논문에서는 이러한 한계점을 극복하기 위해 조직적인 해킹그룹의 표적형 우회 원격 공격 위협을 탐지할 수 있는 모델을 제안한다. 이 모델은 우회 원격 접속자의 원점 IP 확인 방법을 적용한 위협 헌팅 절차를 설계하였고, 실제 국방 정보체계 환경에서 제안한 방법을 구현하여 유효성을 검증하였다.

• 정보보호학회논문지
• /
• 제33권5호
• /
• pp.721-736
• /
• 2023

명령 제어 프레임워크 (Command and Control Framework)는 모의 침투 및 교육용으로 개발되었으나 사이버 범죄 그룹과 같은 위협 행위자들이 악용하고 있다. 잠재적인 위협을 식별하고 선제 대응을 하는 사이버 위협 헌팅 관점에 따라 명령 제어 프레임워크가 작동하고 있는 서버를 식별하고 사전 차단하면 위험 요소 관리에 기여를 할 수 있다. 따라서, 이 논문에서는 명령 제어 프레임워크를 사전 추적할 수 있는 방법론을 제안한다. 방법론은 명령제어 프레임워크 관련 서버 목록 수집, 단계적 전달 모사, 봇넷 설정 추출, 인증서 수집 및 특징 추 출4단계로 구성된다. 또한, 상용 명령 제어 프레임워크인 코발트 스트라이크에 제안한 방법론을 적용하여 실험을 수행한다. 실험에서 수집된 비콘, 인증서에 대한 분석 내용을 공유함으로써 명령 제어 프레임워크로부터 발생할 수 있는 사이버 위협 대응 기반을 마련하고자 한다.

• Journal of Information Processing Systems
• /
• 제15권4호
• /
• pp.865-889
• /
• 2019

The need for cyber resilience is increasingly important in our technology-dependent society where computing devices and data have been, and will continue to be, the target of cyber-attackers, particularly advanced persistent threat (APT) and nation-state/sponsored actors. APT and nation-state/sponsored actors tend to be more sophisticated, having access to significantly more resources and time to facilitate their attacks, which in most cases are not financially driven (unlike typical cyber-criminals). For example, such threat actors often utilize a broad range of attack vectors, cyber and/or physical, and constantly evolve their attack tactics. Thus, having up-to-date and detailed information of APT's tactics, techniques, and procedures (TTPs) facilitates the design of effective defense strategies as the focus of this paper. Specifically, we posit the importance of taxonomies in categorizing cyber-attacks. Note, however, that existing information about APT attack campaigns is fragmented across practitioner, government (including intelligence/classified), and academic publications, and existing taxonomies generally have a narrow scope (e.g., to a limited number of APT campaigns). Therefore, in this paper, we leverage the Cyber Kill Chain (CKC) model to "decompose" any complex attack and identify the relevant characteristics of such attacks. We then comprehensively analyze more than 40 APT campaigns disclosed before 2018 to build our taxonomy. Such taxonomy can facilitate incident response and cyber threat hunting by aiding in understanding of the potential attacks to organizations as well as which attacks may surface. In addition, the taxonomy can allow national security and intelligence agencies and businesses to share their analysis of ongoing, sensitive APT campaigns without the need to disclose detailed information about the campaigns. It can also notify future security policies and mitigation strategy formulation.

• International Journal of Computer Science & Network Security
• /
• 제23권8호
• /
• pp.177-189
• /
• 2023

Malware detection is an increasingly important operational focus in cyber security, particularly given the fast pace of such threats (e.g., new malware variants introduced every day). There has been great interest in exploring the use of machine learning techniques in automating and enhancing the effectiveness of malware detection and analysis. In this paper, we present a deep recurrent neural network solution as a stacked Long Short-Term Memory (LSTM) with a pre-training as a regularization method to avoid random network initialization. In our proposal, we use global and short dependencies of the inputs. With pre-training, we avoid random initialization and are able to improve the accuracy and robustness of malware threat hunting. The proposed method speeds up the convergence (in comparison to stacked LSTM) by reducing the length of malware OpCode or bytecode sequences. Hence, the complexity of our final method is reduced. This leads to better accuracy, higher Mattews Correlation Coefficients (MCC), and Area Under the Curve (AUC) in comparison to a standard LSTM with similar detection time. Our proposed method can be applied in real-time malware threat hunting, particularly for safety critical systems such as eHealth or Internet of Military of Things where poor convergence of the model could lead to catastrophic consequences. We evaluate the effectiveness of our proposed method on Windows, Ransomware, Internet of Things (IoT), and Android malware datasets using both static and dynamic analysis. For the IoT malware detection, we also present a comparative summary of the performance on an IoT-specific dataset of our proposed method and the standard stacked LSTM method. More specifically, of our proposed method achieves an accuracy of 99.1% in detecting IoT malware samples, with AUC of 0.985, and MCC of 0.95; thus, outperforming standard LSTM based methods in these key metrics.

• 한국콘텐츠학회논문지
• /
• 제20권7호
• /
• pp.618-628
• /
• 2020

본 논문의 목적은 사이버 보안 프레임워크 기반으로 이미 도입되어 개별 운영 중인 각종 보안 솔루션들을 잘 조합하여 새로운 보안 오케스트레이션 서비스 모델을 제안하는 것이다. 현재 다양하고 지능화된 사이버 공격에 대응하고자 각종 단일 보안장비와 이를 통합 관리하는 SIEM과 AI솔루션까지 구축되었다. 그리고, 체계적인 예방과 대응을 위한 사이버보안 프레임워크와 보안 관제센터까지 개소를 하였다. 그러나 현실은 문서중심의 사이버보안 프레임워크와 한정된 보안인력으로 인해 TMS/IPS의 중요한 탐지 이벤트의 단편적인 침해대응의 관제형태를 벗어나기 힘든 상항이다. 이러한 문제점 개선을 위해 본 논문의 모델 기반으로 업무 특성과 취약한 자산 식별을 통해 보호해야 할 관제대상을 선정한 후, SIEM으로 로그 수집을 한다. 자산 정보를 기반으로 위협정보를 통해 사전 예방 방법과 세가지 탐지 전략을 수립했다. AI와 SIEM을 통해 공격 여부를 빠르게 판단하여 방화벽과 IPS에 자동 차단 기능이 연계되었다. 또한, 머신러닝 지도학습을 통해 TMS/IPS의 탐지 이벤트를 자동 침해사고 처리함으로 관제업무의 효율성 향상과 머신러닝 비지도 학습 결과를 통해 빅데이터 분석 중심의 위협헌팅 업무체계를 확립하였다.