• 인터넷정보학회논문지
• /
• 제22권3호
• /
• pp.53-58
• /
• 2021

보안관제 분야의 실제 업무활동에 대해서는 거의 연구가 없는 실정이다. 이에 본 논문에서는 보안관제의 위협정보 탐지 대응시간 모델링을 통해 적정 투입인력 규모 산정에 기여하고 최신 보안솔루션 투입시의 효과성 분석 등에 활용할 수 있는 실질적인 연구 방법론을 제시하고자 한다. 보안관제센터에서 수행하는 전체 위협정보 탐지대응시간은 TIDRT(Total Intelligence Detection & Response Time)로 정의한다. 전체 위협정보 탐지 대응시간(TIDRT)는 내부 위협정보 탐지대응시간(IIDRT, Internal Intelligence Detection & Response Time)과 외부 위협정보(EIDRT, External Intelligence Detection & Response Time)의 합으로 구성된다. 내부위협정보 탐지대응시간(IIDRT)는 다섯 단계의 소요시간의 합으로 계산할 수 있다. 본 연구의 궁극적인 목표는 보안관제센터의 주요한 업무활동들을 수식으로 모델링하여 보안관제센터의 사이버 위협정보 탐지대응시간 계산식을 산정하는데 있다. 2장에서는 선행연구를 살펴보고, 3장에서는 전체 위협정보 탐지대응시간의 계산식을 모델링한다. 4장에서 결론으로 끝을 맺는다.

• 한국인터넷방송통신학회논문지
• /
• 제21권4호
• /
• pp.15-23
• /
• 2021

대부분의 해킹 과정에서는 장기간에 걸쳐 내부에 침입하고 목적 달성을 위해 우회접속을 이용한 외부와 통신을 시도한다. 고도화되고 지능화된 사이버 위협에 대응하는 연구는 주로 시그니처 기반의 탐지 및 차단 방법으로 진행되었으나, 최근에는 위협 헌팅 방법으로 확장되었다. 조직적인 해킹그룹의 공격은 장기간에 걸쳐 지능형 지속 공격이면서, 우회 원격 공격이 대부분을 차지한다. 그러나 지능화된 인지 기술을 활용한 침입 탐지 시스템에서도 기존의 침입 형태에만 탐지성능을 발휘할 뿐이다. 따라서, 표적형 우회 원격 공격에 대한 대응은 기존의 탐지 방법과 위협 헌팅 방법으로도 여전히 한계점이 있다. 본 논문에서는 이러한 한계점을 극복하기 위해 조직적인 해킹그룹의 표적형 우회 원격 공격 위협을 탐지할 수 있는 모델을 제안한다. 이 모델은 우회 원격 접속자의 원점 IP 확인 방법을 적용한 위협 헌팅 절차를 설계하였고, 실제 국방 정보체계 환경에서 제안한 방법을 구현하여 유효성을 검증하였다.

• International Journal of Computer Science & Network Security
• /
• 제24권4호
• /
• pp.179-191
• /
• 2024

With the advancement of modern technology, cyber-attacks are always rising. Specialized defense systems are needed to protect organizations against these threats. Malicious behavior in the network is discovered using security tools like intrusion detection systems (IDS), firewall, antimalware systems, security information and event management (SIEM). It aids in defending businesses from attacks. Delivering advance threat feeds for precise attack detection in intrusion detection systems is the role of cyber-threat intelligence (CTI) in the study is being presented. In this proposed work CTI feeds are utilized in the detection of assaults accurately in intrusion detection system. The ultimate objective is to identify the attacker behind the attack. Several data sets had been analyzed for attack detection. With the proposed study the ability to identify network attacks has improved by using machine learning algorithms. The proposed model provides 98% accuracy, 97% precision, and 96% recall respectively.

• Journal of Platform Technology
• /
• 제11권2호
• /
• pp.15-25
• /
• 2023

본 연구는 유출위협 탐지 연구에 활용되는 유출위협 데이터 셋의 한계점을 분석하고 현재의 문제를 극복하기 위해 보안솔루션을 활용하여 공개된 유출위협 데이터와 비교 분석한다. 이를 통해 유출위협 탐지에 적합한 데이터 포맷을 설계하고 블록체인 기술을 사용하여 서로 다른 기관 및 기업 간 유출위협 정보를 안전하게 공유할 수 있는 시스템을 구현한다. 현재 연구원들에게 공개된 유출위협 데이터 셋에서 실제 사건을 기반으로 수집한 데이터 셋은 없다. 공개된 데이터 셋은 연구를 위해 임의로 만들어진 가상의 합성데이터로 학습모델로 사용 시 실제 환경에서의 많은 한계점이 존재한다. 본 연구에서는 이러한 한계점들을 개선하기 위해서 프라이빗 블록체인 설계하여 소속이 다른 기관끼리 안전한 정보공유를 위해 참여자 간 합의와 검증을 통해 신뢰성을 높이고 정보의 무결성과 정합성을 유지하는 방안을 도출하였다. 제시한 방법은 유출위협 수집기를 통해 데이터를 수집하고 블록체인 기반 공유 시스템을 통해 합성데이터가 아닌 실제 위협을 가했던 양질의 데이터 셋을 수집하여 현재의 유출위협 데이터 셋 문제를 해결하고 향후 내부자 유출위협 탐지 모델에 기여할 것으로 사료된다.

• 인터넷정보학회논문지
• /
• 제22권3호
• /
• pp.27-35
• /
• 2021

인터넷이 발달함에 따라, IoT, 클라우드 등과 같은 다양한 IT 기술들이 개발되었고, 이러한 기술들을 사용하여 국가와 여러 기업들에서는 다양한 시스템을 구축하였다. 해당 시스템들은 방대한 양의 데이터들을 생성하고, 공유하기 때문에 시스템에 들어있는 중요한 데이터들을 보호하기 위해 위협을 탐지할 수 있는 다양한 시스템이 필요하였으며, 이에 대한 연구가 현재까지 활발히 진행되고 있다. 대표적인 기술로 이상 탐지와 오용 탐지를 들 수 있으며, 해당 기술들은 기존에 알려진 위협이나 정상과는 다른 행동을 보이는 위협들을 탐지한다. 하지만 IT 기술이 발전함에 따라 시스템을 위협하는 기술들도 점차 발전되고 있으며, 이러한 탐지 방법들을 피해서 위협을 가한다. 지능형 지속 위협(Advanced Persistent Threat : APT)은 국가 또는 기업의 시스템을 공격하여 중요 정보 탈취 및 시스템 다운 등의 공격을 수행하며, 이러한 공격에는 기존에 알려지지 않았던 악성코드 및 공격 기술들을 적용한 위협이 존재한다. 따라서 본 논문에서는 알려지지 않은 위협을 탐지하기 위한 이상 탐지와 오용 탐지를 결합한 하이브리드 침입 탐지 시스템을 제안한다. 두 가지 탐지 기술을 적용하여 알려진 위협과 알려지지 않은 위협에 대한 탐지가 가능하게 하였으며, 기계학습을 적용함으로써 보다 정확한 위협 탐지가 가능하게 된다. 오용 탐지에서는 Classification based on Association Rule(CBA)를 적용하여 알려진 위협에 대한 규칙을 생성하였으며, 이상 탐지에서는 One Class SVM(OCSVM)을 사용하여 알려지지 않은 위협을 탐지하였다. 실험 결과, 알려지지 않은 위협 탐지 정확도는 약 94%로 나타난 것을 확인하였고, 하이브리드 침입 탐지를 통해 알려지지 않은 위협을 탐지 할 수 있는 것을 확인하였다.

• 인터넷정보학회논문지
• /
• 제19권1호
• /
• pp.1-10
• /
• 2018

인터넷 웜, 컴퓨터 바이러스 등 네트워크에 위협적인 악성트래픽이 증가하고 있다. 특히 최근에는 지능형 지속 위협 공격 (APT: Advanced Persistent Threat), 랜섬웨어 등 수법이 점차 고도화되고 그 복잡성(Complexity)이 증대되고 있다. 지난 몇 년간 침입탐지시스템(IDS: Intrusion Detection System)은 네트워크 보안 솔루션으로서 중추적 역할을 수행해왔다. 침입탐지시스템의 효과적 활용을 위해서는 탐지규칙(Rule)을 적절히 작성하여야 한다. 탐지규칙은 탐지하고자 하는 악성트래픽의 핵심 시그니처를 포함하며, 시그니처를 포함한 악성트래픽이 침입탐지시스템을 통과할 경우 해당 악성트래픽을 탐지하도록 한다. 그러나 악성트래픽의 핵심 시그니처를 찾는 일은 쉽지 않다. 먼저 악성트래픽에 대한 분석이 선행되어야 하며, 분석결과를 바탕으로 해당 악성트래픽에서만 발견되는 비트패턴을 시그니처로 사용해야 한다. 만약 정상 트래픽에서 흔히 발견되는 비트패턴을 시그니처로 사용하면 수많은 오탐(誤探)을 발생시키게 될 것이다. 본고에서는 네트워크 트래픽을 분석하여 핵심 시그니처를 추출하는 기법을 제안한다. 제안 기법은 LDA(Latent Dirichlet Allocation) 알고리즘을 활용하여, 어떠한 네트워크 트래픽에 포함된 시그니처가 해당 트래픽을 얼마나 대표하는지를 정량화한다. 대표성이 높은 시그니처는 해당 네트워크 트래픽을 탐지할 수 있는 침입탐지시스템의 탐지규칙으로 활용될 수 있다.

• 한국컴퓨터정보학회논문지
• /
• 제11권5호
• /
• pp.157-164
• /
• 2006

최근에는 대부분의 인터넷 공격은 악성코드(Malware)에 의한 잘 알려지지 않은 제로데이 공격 형태가 주류를 이루고 있으며, 이미 알려진 공격유형들에 대해서 탐지하는 오용탐지 기술로는 이러한 공격에 대응하기가 어려운 실정이다. 또한, 다양한 공격 패턴들이 인터넷상에 나타나고 있기 때문에 기존의 정보 보호 기술로는 한계에 다다르게 되었고, 웹기반 서비스가 보편화됨에 따라 인터넷상에 노출된 웹 서비스가 주공격 대상이 되고 있다. 본 논문은 인터넷상의 트래픽 유형을 분류하고, 각 유형에 따른 이상 징후를 탐지하고 분석할 수 있는 비정상행위공격 탐지기술(Anomaly Intrusion Detection Technologies)을 포함하고 있는 위협관리 시스템(Threat Management System)을 제안한다.

• 융합보안논문지
• /
• 제22권1호
• /
• pp.19-27
• /
• 2022

ICT 기술의 혁신적인 발전에 따라 해커의 해킹 수법도 정교하고 지능적인 해킹기법으로 진화하고 있다. 이러한 사이버 위협에 대응하기 위한 위협탐지 연구는 주로 해킹 피해 조사분석을 통해 수동적인 방법으로 진행되었으나, 최근에는 사이버 위협정보 수집과 분석의 중요성이 높아지고 있다. 봇 형태의 자동화 프로그램은 위협정보를 수집하거나 위협을 탐지하기 위해 홈페이지를 방문하여 악성코드를 추출하는 다소 능동적인 방법이다. 그러나 이러한 방법도 이미 악성코드가 유포되어 해킹 피해를 받고 있거나, 해킹을 당한 이후에 식별하는 방법이기 때문에 해킹 피해를 예방할 수 없는 한계점이 있다. 따라서, 이러한 한계점을 극복하기 위해 사이버 거점을 식별, 관리하면서 위협정보를 획득 및 분석하여 실질적인 위협을 탐지하는 모델을 제안한다. 이 모델은 방화벽 등의 경계선 외부에서 위협정보를 수집하거나 위협을 탐지하는 적극적이고 능동적인 방법이다. 사이버 거점을 활용하여 위협을 탐지하는 모델을 설계하고 국방 환경에서 유효성을 검증하였다.

• 정보보호학회논문지
• /
• 제31권4호
• /
• pp.793-799
• /
• 2021

위협 헌팅은 기존 보안 솔루션의 한계를 극복하기 위한 방어 기법이며, 최근 위협 헌팅에 대한 관심이 높아지고 있다. 위협 헌팅은 시스템 내부에 존재하는 위협을 식별 및 제거하는 기법으로 인식되고 있지만 그 정의가 명확하지 않기 때문에 모의 해킹, 침입 탐지, 침해사고 분석 등 다른 용어들과 혼용이 많이 발생하고 있다. 따라서 본 논문에서는 보고서 및 논문에서 발췌한 위협 헌팅의 정의를 비교 분석하여 그 의미를 명확히 하고 방어기법을 비교분석한다.

• KSII Transactions on Internet and Information Systems (TIIS)
• /
• 제13권3호
• /
• pp.1722-1737
• /
• 2019

We developed an insider threat detection model to be used by organizations that repeat tasks at regular intervals. The model identifies the best combination of different feature selection algorithms, unsupervised learning algorithms, and standard scores. We derive a model specifically optimized for the organization by evaluating each combination in terms of accuracy, AUC (Area Under the Curve), and TPR (True Positive Rate). In order to validate this model, a four-year log was applied to the system handling sensitive information from public institutions. In the research target system, the user log was analyzed monthly based on the fact that the business process is processed at a cycle of one year, and the roles are determined for each person in charge. In order to classify the behavior of a user as abnormal, the standard scores of each organization were calculated and classified as abnormal when they exceeded certain thresholds. Using this method, we proposed an optimized model for the organization and verified it.