• 정보보호학회논문지
• /
• 제28권2호
• /
• pp.385-395
• /
• 2018

인터넷의 성장과 함께 각종 취약점을 악용한 사이버 공격들이 지속적으로 증가하고 있다. 이러한 행위를 탐지하기 위한 방안으로 침입탐지시스템(IDS; Intrusion Detection System)이 널리 사용되고 있지만, IDS에서 발생하는 많은 양의 오탐(정상통신을 공격행위로 잘못 탐지한 보안이벤트)은 여전히 해결되지 않은 문제로 남아있다. IDS 오탐 문제를 해결하기 위한 방법으로 기계학습 알고리즘을 통한 자동분류 연구가 진행되고 있지만 실제 현장 적용을 위해서는 정확도와 데이터 처리속도 향상을 위한 연구가 더 필요하다. 기계학습 기반 분류 모델은 다양한 요인에 의해서 그 성능이 결정된다. 최적의 feature를 선택하는 것은 모델의 분류 성능 및 정확성 향상에 크게 영향을 미치기 때문에 기계학습에서 매우 중요한 부분을 차지한다. 본 논문에서는 보안이벤트 분류 모델의 성능 향상을 위해 기존 연구에서 제안한 기본 feature에 추가로 10종의 신규 feature를 제안한다. 본 논문에서 제안하는 10종의 신규 feature는 실제 보안관제센터 전문 인력의 노하우를 기반으로 고안된 것으로, 모델의 분류 성능을 향상시킬 뿐만 아니라 단일 보안이벤트에서 직접 추출 가능하기 때문에 실시간 모델 구축도 가능하다. 본 논문에서는 실제 네트워크 환경에서 수집된 데이터를 기반으로 제안한 신규 feature들이 분류 모델 성능 향상에 미치는 영향을 검증하였으며, 그 결과, 신규 feature가 모델의 분류 정확도를 향상시키고 오탐지율을 낮춰주는 것을 확인할 수 있었다.

• 정보보호학회논문지
• /
• 제24권5호
• /
• pp.839-850
• /
• 2014

3.20 사이버 테러 등 APT 공격이 사회적, 경제적으로 막대한 피해를 초래함에 따라 APT 공격을 방어하기 위한 기술적인 대책이 절실히 요구되고 있으나, 시그너쳐에 기반한 보안 장비로는 대응하는데 한계가 있다. 이에 본 논문에서는 기존 시그너쳐 기반 침입탐지 시스템의 한계를 극복하기 위해서 호스트 PC에서 발생하는 행위정보를 기반으로 악성코드를 탐지하는 방법을 제안한다. 먼저, 악성코드와 정상 실행파일을 구분하기 위한 39개의 특성인자를 정의하고, 악성코드 및 정상 실행파일이 실행되는 동안 발생하는 870만 개의 특성인자 데이터를 수집하였다. 또한, 수집된 데이터에 대해 각 특성인자의 발생빈도를 프로세스 ID 별로 재구성하여 실행파일이 호스트에서 실행되는 동안의 행위정보를 83차원의 벡터로 표현하였다. 특히, 자식 프로세스에서 발생하는 특성인자 이벤트의 발생빈도를 포함함으로써 보다 정확한 행위정보의 표현이 가능하였다. C4.5 결정트리 방법을 적용하여 악성코드와 정상파일을 분류한 결과 각각 2.0%의 오탐률과 5.8%의 미탐률을 보였다.

• 한국통신학회논문지
• /
• 제37C권10호
• /
• pp.949-964
• /
• 2012

최근 악성코드 및 바이러스 등으로 사용자 PC가 위협받고 있다. 특히, 제로데이 공격 등 알려지지 않은 공격들이 끊임없이 나오고 있어, 사용자 PC는 더 이상 안전하다고 확신하기 어려운 환경이 되었다. 따라서 인터넷 서비스의 이용에 있어서, 안전성이 보장되지 않은 PC를 이용하는 사용자가 기존의 인증 프로토콜을 이용하여 사용자를 인증할 경우, 인증 정보의 도난 및 중간자 공격 등 다양한 위협을 받을 수 있다. 또한 메모리 해킹등과 같은 공격을 당할 경우, 사용자는 자신의 PC가 감염되었는지 인지하기조차 어려운 상황에 놓이게 된다. 따라서 본 논문은 QR-Code와 통신기능이 가능한 스마트 기기를 활용한 안전한 QR-Login 사용자 인증 프로토콜을 설계하고, 인터넷 서비스 이용 시 중요정보의 안전성 보증을 위한 방법을 제안한다. 제안된 방법을 통하여 사용자는 알려지지 않은 공격으로부터 PC가 위협받는 경우에도 사용자의 중요정보를 보호할 수 있고, 금융거래와 같은 민감한 거래 시에도 안전하게 거래를 할 수 있다.

• 정보보호학회논문지
• /
• 제30권4호
• /
• pp.757-770
• /
• 2020

산업제어시스템(ICS)은 분산된 다양한 자산을 측정, 감시, 제어하는 시스템으로 에너지, 화학, 교통, 수처리, 제조 공장 등의 산업 시설 및 국가기반시설에서 사용된다. 산업제어시스템의 특성상 보안위협에 노출되면 오동작, 중단 등으로 인해 막대한 인명, 자산 피해 등이 발생할 수 있어 산업제어시스템의 보안위협을 예방하고 최소화하기 위한 연구가 필요하다. 기존의 산업제어시스템의 경우 보안위협을 고려하여 무선통신기기의 사용을 제한하였으나 최근에는 유지보수의 용이성 및 비용의 장점으로 인해 산업용 무선통신기기 도입이 점차 증가하고 있다. 이에 본 논문에서는 WirelessHART와 ISA100.11a를 지원하는 산업용 무선통신기기의 보안위협을 분석하고, 분석 결과를 기반으로 산업용 무선통신기기의 도입 및 운영에 필요한 보안요구사항을 제시하였다. 본 연구에서 제시한 보안요구사항을 활용하여 국가기반시설을 포함한 다양한 산업분야의 산업용 무선통신환경 구축 시 보안위협을 완화할 수 있을 것으로 기대한다.

• 정보보호학회논문지
• /
• 제23권6호
• /
• pp.1121-1129
• /
• 2013

최근 악성코드 유포는 단순한 개인적 피해를 넘어 3 20 사이버테러와 같은 사회적인 심각한 문제점을 야기하고 있다. 특히 취약한 웹을 통한 유포방법인 드라이브 바이 다운로드(Drive-by download) 공격은 가장 심각한 위협이 되고 있다. 따라서 드라이브 바이 다운로드 공격에 사용되는 악성코드 유포 네트워크(Malware Distribution Network, MDN)를 효과적으로 분석하는 것은 악성코드로 인한 피해를 예방하기 위해 매우 중요하다. 악성코드 유포 네트워크를 효과적으로 분석하기 위해서는 웹페이지 내에 포함된 난독화하고 은닉화한 스크립트를 식별해야 하며, 본 논문에서는 이를 식별하기 위해 멀티레벨 에뮬레이션 기법을 제안한다. 이를 통해 다양한 형태로 숨겨져 있는 유포지로 연결하는 링크를 분석하여 악성코드 유포 네트워크 분석의 기반을 제공하고자 한다.

• 한국정보통신학회:학술대회논문집
• /
• 한국정보통신학회 2016년도 춘계학술대회
• /
• pp.317-320
• /
• 2016

2011년 NH농협 전산망마비 사건, 2013년 3.20 사이버테러 및 2015년 12월의 한국수력원자력 원전 중요자료 유출사건이 있었다. 이러한 사이버테러는 해외(북한)에서 조직적이고 장기간의 걸친 고도화된 APT공격을 감행하여 발생한 사이버테러 사건이다. 하지만, 이러한 APT공격(Advanced Persistent Threat Attack)을 방어하기 위한 탁월한 방안 아직 마련되지 못했다. APT공격은 현재의 관제 방식으로는 방어하기가 힘들다. 따라서, 본 논문에서는 빅데이터 분석을 통해 APT공격을 예측할 수 있는 방안을 연구한다. 본 연구는 대한민국 3계층 보안관제 체계 중, 정보공유분석센터(ISAC)를 기준으로 하여 빅데이터 분석, APT공격 및 취약점 분석에 대해서 연구와 조사를 한다. 그리고 외부의 블랙리스트 IP 및 DNS Log를 이용한 APT공격 예측 방안의 설계 방법, 그리고 전조현상 분석 방법 및 APT 공격에 대한 대응방안에 대해 연구한다.

• 정보보호학회논문지
• /
• 제17권5호
• /
• pp.73-86
• /
• 2007

웜에 의한 사이버 위협이 증가함에 따라 원의 전파 특성을 분석하기 위한 웡 전파 모델링 기법들이 연구되고 있다. 대표적인 예로 수학적 모델링 기법인 Epidemic, AAWP(Analytical Active Worm Propagation Modeling), 및 LAAWP(Local AAWP) 등의 모델링 기법들이 제시되었다. 하지만, 이들 기존 모델링 기법들은 대부분 Ipv4 전체 네트워크를 대상으로 하는 랜덤 스캐닝 기법에 대해서만 모델링이 가능하며, 웜에 대한 인간의 대응활동인 보안패치 및 백신프로그램 업데이트 등의 행위를 표현하는데 한계점을 가지고 있다. 이에 본 논문에서는 AAWP와 LAAWP 모델링 기법들의 수식과 파라미터를 확장하는 모델로 ALAAWP(Advanced LAAWP Modeling)를 제안한다. 제안하는 모델은 웜 모델링에 있어 네트워크 및 스캐닝 기법 표현에 유연성을 가지며, 다양한 파라미터의 추가를 통하여 월의 전파에 의한 피해정도 및 방어대책의 적절성 검증에 효과적으로 이용이 가능하다.

• 정보보호학회논문지
• /
• 제31권6호
• /
• pp.1105-1114
• /
• 2021

최근 급상승한 암호 화폐의 인기로 인해 암호 화폐 채굴 악성코드인 크립토재킹 위협이 증가하고 있다. 특히 웹 기반 크립토재킹은 피해자가 웹 사이트에 접속만 하여도 피해자의 PC 자원을 사용해 암호 화폐를 채굴할 수 있으며 간단하게 채굴 스크립트만 추가하면 되기 때문에 공격이 쉽고 성능 열화와 고장의 원인이 된다. 크립토재킹은 피해자가 피해 상황을 인지하기 어렵기 때문에 크립토재킹을 효율적으로 탐지하고 차단할 수 있는 연구가 필요하다. 본 연구에서는 크립토재킹의 대표적인 감염 증상과 스크립트를 지표로 활용하여 효과적으로 크립토재킹을 탐지하는 프레임워크를 제안하고 평가한다. 제안한 크립토재킹 탐지 프레임워크에서 행위 기반 동적 분석 기법으로 컴퓨터 성능 지표를 학습한 K-Nearest Neighbors(KNN) 모델을 활용했고, 스크립트 유사도 기반 정적 분석 기법은 악성 스크립트 단어 빈도수를 학습한 K-means 모델을 크립토재킹 탐지에 활용했다. 실험 결과에 따르면 KNN 모델은 99.6%의 정확도를 보였고, K-means 모델은 정상 군집의 실루엣 계수가 0.61인 것을 확인하였다.

• 한국컴퓨터정보학회논문지
• /
• 제28권5호
• /
• pp.57-66
• /
• 2023

본 논문에서는 Enterprise 네트워크 이외 환경에서의 공격 그래프 연구 중 최근 5년간 가장 많이 연구된 사이버-물리 시스템(CPS) 환경에 대한 공격 그래프 연구 동향을 살펴보고, 기존 연구의 한계와 앞으로 나아갈 방향을 분석한다. 최근 5년간 발표된 공격 그래프 논문 150여 편 중 35편이 CPS 환경을 대상으로 하고 있으며, 본 논문에서는 CPS 환경의 보안 측면 특징을 살펴보고, 대상 연구들을 이러한 특징들에 따라 물리 시스템 모델링 여부와 네트워크 단절 구간에 대한 고려 여부의 두 가지 관점으로 분류 및 분석한다. 본 논문에서 소개한 20편의 논문 중 절반이 CPS 환경의 특징을 제대로 반영하지 못하며, 나머지 절반의 연구가 물리 시스템 모델링과 네트워크 단절 구간 중 하나씩을 다루고 있다. 본 논문에서는 이러한 상황을 바탕으로 CPS 환경에서의 공격 그래프 연구가 직면한 어려움을 진단하고 이에 따라 앞으로의 CPS 환경 공격 그래프 연구는 국가주도 연구, 공개된 상용 시스템을 대상으로 한 연구가 주를 이룰 것으로 분석한다.

• 정보보호학회논문지
• /
• 제28권5호
• /
• pp.1119-1127
• /
• 2018

대부분의 침해공격은 악성코드를 통해 발생하고 있으며, 침해공격으로 인한 피해는 사물인터넷/사이버 물리 시스템과 연결되면서 사이버공간에만 국한되지 않고 실생활에 큰 위협이 되고 있다. 이에 따라, 다양한 악성코드 동적분석, 정적분석기술들이 연구되었는데, 악성코드 동적분석들은 결과적인 악성행위를 쉽게 확인할 수 있어 널리 사용되었으나 VM 환경탐지 시 동작하지 않는 anti-VM 악성코드가 증가하면서 어려움을 겪고 있고, 악성코드 정적분석기술들은 코드자체를 해석할 수 있어 많은 정보를 얻을 수 있으나 난독화, 패킹 기술들이 적용되어 분석가를 어렵게 하고 있다. 본 논문에서는 정적분석기술의 주요 장애물인 난독화 유형을 자동식별, 분류하는 기술을 제안한다. 특히, 제안하는 모델을 통해 알려진 패커나 알려지지 않은 패커와 상관없이 일정한 기준에 의해 모든 악성코드를 분류할 수 있는 것이 가능하다. 악성코드 분류는 다양한 활용이 가능하지만, 예를 들면 악성코드 정적 feature에 기반하여 머신러닝 기반 분석을 할 때, 전체 파일에 대해 학습 및 분석하는 방식보다 악성코드 유형별 학습 및 분석이 더욱 효과적일 것이다. 이를 위해, PE구조에서 활용 가능한 feature에 대해 지도 학습 및 비지도 학습 방식의 모델을 설계했고, 98,000여개 샘플을 통해 결과 검증을 진행하였다.