연관 규칙 마이닝과 클러스터링 기술을 이용한 차세대 침입 탐지 시스템

신건윤(Gun-yoon Shin),한명묵(Myung-Mook Han) 한국지능시스템학회 2016 한국지능시스템학회 학술발표 논문집 Vol.26 No.1

표류 및 익수 사고 불확실성 관리를 위한 다중 선형 회귀 기반 해수욕장 위험도 평가

신건윤(Gun-Yoon Shin),김동욱(Dong-Wook Kim),홍성삼(Sung-Sam Hong),김화영(Hwayoung Kim),한명묵(Myung-Mook Han) 한국지능시스템학회 2019 한국지능시스템학회논문지 Vol.29 No.1

해변에는 풍속, 수온, 조위, 이안류 등과 같은 자연환경에서부터 개인부주의, 음주, 고령, 장비 미착용 등과 같은 인문환경까지 다양한 위험요소가 존재하며 이러한 요소들은 해변에서 일어나는 다양한 안전사고에 영향을 끼치고 있다. 따라서 이러한 요소들을 분석하고 이와 관련된 안전사고를 정립함으로써 해변에서 일어나는 사고 파악, 통제 및 대처 할 수 있어야한다. 본 논문에서는 해수욕장 위험도 평가를 수행하기 위하여 다양한 위험요소 분석 및 안전사고 정립을 수행하고 이를 통해 해변위험도를 산출하는 불확실성 관리 모델을 제안한다. 이때 다중 선형 회귀를 적용하여 각 위험요소별 가중치를 산정하고 표류 및 익수에 대한 값을 통해 해수욕장 위험도를 얻는다. 본 논문에서는 해변 위험도에 영향을 끼치는 다양한 요소 중 자연환경 위험요소들을 가지고 위험도를 산출하는 연구를 수행하였으며 이를 통해 자연환경 요소가 해수욕장에서 일어나는 대부분의 안전사고에 영향을 끼친다는 것을 확인하였다. There are a variety of hazards on the beach ranging from natural environments such as wind speed, water temperature, tide and rip current to human environments such as personal careless, drinking, aging and not wearing equipment and others. These factors are affecting various accidents on the beach. Therefore, it is necessary to identify, control and handle the accident on the beach by analyzing these factors. In this paper, we analysis various risk factors and establish related accident for beach risk assessment and propose an uncertain beach risk assessment model. We apply multiple linear regression for calculating the weights about each risk factor and getting the drowning and drifting value. And we conduct experiments to calculate the beach risk with various natural environmental factors affecting the beach risk, and confirm that the natural environment factors affected the most accidents in the beach.

작성자 분석과 CNN을 적용한 소스 코드 작성자 식별 프레임워크

신건윤 ( Gun-yoon Shin ),김동욱 ( Dong-wook Kim ),홍성삼 ( Sung-sam Hong ),한명묵 ( Myung-mook Han ) 한국인터넷정보학회 2018 인터넷정보학회논문지 Vol.19 No.5

최근 인터넷 기술이 발전함에 따라 다양한 프로그램들이 만들어지고 있고 이에 따라 다양한 코드들이 많은 사람들을 통해 만들어진다. 이러한 측면을 이용하여 특정 작성자가 작성한 코드들 그대로 가져가 자신이 작성한 것처럼 보여주거나, 참고한 코드들에 대한 정확한 표기 없이 그대로 사용하여 이에 대한 보호가 점차 어려워지고 있다. 따라서 본 논문에서는 작성자 분석 이론과 합성곱 신경망 기반 자연어 처리 방법을 적용한 작성자 식별 프레임워크룰 제안한다. 작성자 분석 이론을 적용하여 소스 코드에서 작성자 식별에 적합한 특징들을 추출하고 이를 텍스트 마이닝에서 사용하고 있는 특징들과 결합하여 기계학습 기반의 작성자 식별을 수행한다. 그리고 합성곱 신경망 기반 자연어 처리 방법을 소스 코드에 적용하여 코드 작성자 분류를 수행한다. 본 논문에서는 작성자 분석이론과 합성곱 신경망을 적용한 작성자 식별 프레임워크를 통해 작성자를 식별하기 위해서는 작성자 식별만을 위한 특징들이 필요하다는 것과 합성곱 신경망 기반 자연어 처리 방법이 소스 코드등과 같은 특수한 체계를 갖추고 있는 언어에서도 적용이 가능하다. 실험 결과 작성자 분석 이론 기반 작성자 식별 정확도는 95.1%였으며 CNN을 적용한 결과 반복횟수가 90번 이상일 경우 98% 이상의 정확도를 보여줬다. Recently, Internet technology has developed, various programs are being created and therefore various codes are being made through many authors. On this aspect, some author deceive a program or code written by other particular author as they make it themselves and use other writers' code indiscriminately, or not indicating the exact code which has been used. Due to this makes it more and more difficult to protect the code. In this paper, we propose author identification framework using Authorship Analysis theory and Natural Language Processing(NLP) based on Convolutional Neural Network(CNN). We apply Authorship Analysis theory to extract features for author identification in the source code, and combine them with the features being used text mining to perform author identification using machine learning. In addition, applying CNN based natural language processing method to source code for code author classification. Therefore, we propose a framework for the identification of authors using the Authorship Analysis theory and the CNN. In order to identify the author, we need special features for identifying the authors only, and the NLP method based on the CNN is able to apply language with a special system such as source code and identify the author. identification accuracy based on Authorship Analysis theory is 95.1% and identification accuracy applied to CNN is 98%.

알려지지 않은 위협 탐지를 위한 CBA와 OCSVM 기반 하이브리드 침입 탐지 시스템

신건윤 ( Gun-yoon Shin ),김동욱 ( Dong-wook Kim ),윤지영 ( Jiyoung Yun ),김상수 ( Sang-soo Kim ),한명묵 ( Myung-mook Han ) 한국인터넷정보학회 2021 인터넷정보학회논문지 Vol.22 No.3

인터넷이 발달함에 따라, IoT, 클라우드 등과 같은 다양한 IT 기술들이 개발되었고, 이러한 기술들을 사용하여 국가와 여러 기업들에서는 다양한 시스템을 구축하였다. 해당 시스템들은 방대한 양의 데이터들을 생성하고, 공유하기 때문에 시스템에 들어있는 중요한 데이터들을 보호하기 위해 위협을 탐지할 수 있는 다양한 시스템이 필요하였으며, 이에 대한 연구가 현재까지 활발히 진행되고 있다. 대표적인 기술로 이상 탐지와 오용 탐지를 들 수 있으며, 해당 기술들은 기존에 알려진 위협이나 정상과는 다른 행동을 보이는 위협들을 탐지한다. 하지만 IT 기술이 발전함에 따라 시스템을 위협하는 기술들도 점차 발전되고 있으며, 이러한 탐지 방법들을 피해서 위협을 가한다. 지능형 지속 위협(Advanced Persistent Threat : APT)은 국가 또는 기업의 시스템을 공격하여 중요 정보 탈취 및 시스템 다운 등의 공격을 수행하며, 이러한 공격에는 기존에 알려지지 않았던 악성코드 및 공격 기술들을 적용한 위협이 존재한다. 따라서 본 논문에서는 알려지지 않은 위협을 탐지하기 위한 이상 탐지와 오용 탐지를 결합한 하이브리드 침입 탐지 시스템을 제안한다. 두 가지 탐지 기술을 적용하여 알려진 위협과 알려지지 않은 위협에 대한 탐지가 가능하게 하였으며, 기계학습을 적용함으로써 보다 정확한 위협 탐지가 가능하게 된다. 오용 탐지에서는 Classification based on Association Rule(CBA)를 적용하여 알려진 위협에 대한 규칙을 생성하였으며, 이상 탐지에서는 One Class SVM(OCSVM)을 사용하여 알려지지 않은 위협을 탐지하였다. 실험 결과, 알려지지 않은 위협 탐지 정확도는 약 94%로 나타난 것을 확인하였고, 하이브리드 침입 탐지를 통해 알려지지 않은 위협을 탐지 할 수 있는 것을 확인하였다. With the development of the Internet, various IT technologies such as IoT, Cloud, etc. have been developed, and various systems have been built in countries and companies. Because these systems generate and share vast amounts of data, they needed a variety of systems that could detect threats to protect the critical data contained in the system, which has been actively studied to date. Typical techniques include anomaly detection and misuse detection, and these techniques detect threats that are known or exhibit behavior different from normal. However, as IT technology advances, so do technologies that threaten systems, and these methods of detection. Advanced Persistent Threat (APT) attacks national or companies systems to steal important information and perform attacks such as system down. These threats apply previously unknown malware and attack technologies. Therefore, in this paper, we propose a hybrid intrusion detection system that combines anomaly detection and misuse detection to detect unknown threats. Two detection techniques have been applied to enable the detection of known and unknown threats, and by applying machine learning, more accurate threat detection is possible. In misuse detection, we applied Classification based on Association Rule(CBA) to generate rules for known threats, and in anomaly detection, we used One-Class SVM(OCSVM) to detect unknown threats. Experiments show that unknown threat detection accuracy is about 94%, and we confirm that unknown threats can be detected.

사이버 보안 네트워크 환경에서 내부 전파 방향성 탐지 연구

김동욱(Dong-Wook Kim),신건윤(Gun-Yoon Shin),윤지영(Ji-Young Yun),홍성삼(Sung-Sam Hong),한명묵(Myung-Mook Han) 한국지능시스템학회 2021 한국지능시스템학회논문지 Vol.31 No.6

사이버 보안의 문제에서 공격자는 대상 네트워크에 접근하기 위해, 기존 보안 시스템의 취약점을 분석하여 우회하는 형식으로 침투가 이루어진다. 이를 내부 전파(Lateral Movement)라고 하며, 방어 시스템은 남겨진 흔적으로 공격자를 탐지해내기 위하여 접근한 시스템의 이벤트 로그를 통해 분석하여야 한다. 본 연구에서는 네트워크 흐름에 대한 이벤트 로그를 기반으로 공격자가 네트워크 장치에 대한 경로를 파악하기 위한 방향성 연구를 수행하였다. 내부 전파를 이해하기 위해서는 가장 먼저 네트워크의 방향을 결정하여야 한다. 이는 네트워크 특성과 네트워크 이벤트 데이터에 대한 패턴 및 유사성을 통해 분석할 수 있다. 네트워크 방향에 대한 분석으로 공격자의 내부 네트워크 이동 경로를 판단하여 네트워크의 감염 경로를 파악할 수 있다. 우리는 이러한 내부 전파 경로의 방향성을 검증하고, 내부 네트워크에 대한 범위를 분석한다. In the cybersecurity problem, in order to access the target network, the attacker analyzes and bypasses the vulnerabilities of the existing security system. This is called Lateral movement, and the defense system is analyzed through the event log of the system accessed to detect attackers with traces left behind. In this work, we conduct a directional study for attackers to determine paths to network devices based on event logs for network flows. In order to understand lateral movement, the direction of the network must be determined first. This can be analyzed through patterns and similarities to network characteristics and network event data. Analysis of the network direction allows us to determine the path of an attacker’s internal network movement to determine the path of infection in the network. Our validate the directionality of these internal propagation paths, and analyze the scope for internal networks.

이상 탐지 분석에서 알려지지 않는 공격을 식별하기 위한 이산 웨이블릿 변환 적용 연구

김동욱 ( Dong-wook Kim ),신건윤 ( Gun-yoon Shin ),윤지영 ( Ji-young Yun ),김상수 ( Sang-soo Kim ),한명묵 ( Myung-mook Han ) 한국인터넷정보학회 2021 인터넷정보학회논문지 Vol.22 No.3

사이버 보안의 침입탐지 시스템에서 알려지지 않는 공격을 식별하기 위한 많은 연구가 이루어지고 있지만, 그 중에서도 이상치를 기반으로 하는 연구가 주목받고 있다. 이에 따라 우리는 알려지지 않는 공격에 대한 범주를 정의하여 이상치를 식별한다. 알려지지 않는 공격은 2가지 범주로 조사하였는데, 첫째는 변종 공격을 생성하는 사항이 있고, 두 번째는 새로운 유형으로 분류하는 연구로 나누었다. 우리는 변종 공격을 생성하는 연구 범주에서 변종과 같이 유사 데이터를 식별할 수 있는 이상치 연구를 수행하였다. 침입 탐지 시스템에서 이상치를 식별하는 큰 문제는 정상행동과 공격행동이 같은 공간을 공유하는 것이다. 이를 위해 우리는 이산 웨이블릿 변환으로 정상과 공격에 대해 명확한 유형으로 나눌 수 있는 기법을 적용하고 이상치를 탐지하였다. 결과로 우리는 이산 웨이블릿 변환으로 재구성된 데이터에서 One-Class SVM을 통한 이상치를 식별 할 수 있음을 확인하였다 Although many studies have been conducted to identify unknown attacks in cyber security intrusion detection systems, studies based on outliers are attracting attention. Accordingly, we identify outliers by defining categories for unknown attacks. The unknown attacks were investigated in two categories: first, there are factors that generate variant attacks, and second, studies that classify them into new types. We have conducted outlier studies that can identify similar data, such as variants, in the category of studies that generate variant attacks. The big problem of identifying anomalies in the intrusion detection system is that normal and aggressive behavior share the same space. For this, we applied a technique that can be divided into clear types for normal and attack by discrete wavelet transformation and detected anomalies. As a result, we confirmed that the outliers can be identified through One-Class SVM in the data reconstructed by discrete wavelet transform.

SVM 기반 유전 알고리즘을 이용한 컴파일러 분석 프레임워크 : 특징 및 모델 선택 민감성

황철훈(Cheol-Hun Hwang),신건윤(Gun-Yoon Shin),김동욱(Dong-Wook Kim),한명묵(Myung-Mook Han) 한국정보보호학회 2020 정보보호학회논문지 Vol.30 No.4

악성코드 기술 발전으로 변이, 난독화 등의 탐지 회피 방법이 고도화되고 있다. 이에 악성코드 탐지 기술에 있어 알려지지 않은 악성코드 탐지 기술이 중요하며, 배포된 악성코드를 통해 저자를 식별하여 알려지지 않은 악성코드를 탐지하는 악성코드 저자 식별 방법이 연구되고 있다. 본 논문에서는 바이너리 기반 저자 식별 방법에 대해 중요 정보인 컴파일러 정보를 추출하고자 하였으며, 연구 간에 특징 선택, 확률 및 비확률 모델, 최적화가 분류 효율성에 미치는 민감성(Sensitive)을 확인하고자 하였다. 실험에서 정보 이득을 통한 특징 선택 방법과 비확률 모델인 서포트 벡터 머신이 높은 효율성을 보였다. 최적화 연구 간에 제안하는 프레임워크를 통한 특징 선택 및 모델 최적화를 통해 높은 분류 정확도를 얻었으며, 최대 48%의 특징 감소 및 51배가량의 빠른 실행 속도라는 결과를 보였다. 본 연구를 통해 특징 선택 및 모델 최적화 방법이 분류 효율성에 미치는 민감성에 대해 확인할 수 있었다. Advances in detection techniques, such as mutation and obfuscation, are being advanced with the development of malware technology. In the malware detection technology, unknown malware detection technology is important, and a method for Malware Authorship Attribution that detects an unknown malicious code by identifying the author through distributed malware is being studied. In this paper, we try to extract the compiler information affecting the binary-based author identification method and to investigate the sensitivity of feature selection, probability and non-probability models, and optimization to classification efficiency between studies. In the experiment, the feature selection method through information gain and the support vector machine, which is a non-probability model, showed high efficiency. Among the optimization studies, high classification accuracy was obtained through feature selection and model optimization through the proposed framework, and resulted in 48% feature reduction and 53 faster execution speed. Through this study, we can confirm the sensitivity of feature selection, model, and optimization methods to classification efficiency.

베이지안 확률 및 폐쇄 순차패턴 마이닝 방식을 이용한 설명가능한 로그 이상탐지 시스템

윤지영 ( Jiyoung Yun ),신건윤 ( Gun-yoon Shin ),김동욱 ( Dong-wook Kim ),김상수 ( Sang-soo Kim ),한명묵 ( Myung-mook Han ) 한국인터넷정보학회 2021 인터넷정보학회논문지 Vol.22 No.2

인터넷과 개인용 컴퓨터가 발달하면서 다양하고 복잡한 공격들이 등장하기 시작했다. 공격들이 복잡해짐에 따라 기존에 사용하던 시그니처 기반의 탐지 방식으로 탐지가 어려워졌으며 이를 해결하기 위해 행위기반의 탐지를 위한 로그 이상탐지에 대한 연구가 주목 받기 시작했다. 최근 로그 이상탐지에 대한 연구는 딥러닝을 활용해 순서를 학습하는 방식으로 이루어지고 있으며 좋은 성능을 보여준다. 하지만 좋은 성능에도 불구하고 판단에 대한 근거를 제공하지 못한다는 한계점을 지닌다. 판단에 대한 근거 및 설명을 제공하지 못할 경우, 데이터가 오염되거나 모델 자체에 결함이 발생해도 이를 발견하기 어렵다는 문제점을 지닌다. 결론적으로 사용자의 신뢰성을 잃게 된다. 이를 해결하기 위해 본 연구에서는 설명가능한 로그 이상탐지 시스템을 제안한다. 본 연구는 가장 먼저 로그 파싱을 진행해 로그 전처리를 수행한다. 이후 전처리된 로그들을 이용해 베이지안 확률 기반 순차 규칙추출을 진행한다. 결과적으로 “If 조건 then 결과, 사후확률(θ)” 형식의 규칙집합을 추출하며 이와 매칭될 경우 정상, 매칭되지 않을 경우, 이상행위로 판단하게 된다. 실험으로는 HDFS 로그 데이터셋을 활용했으며, 그 결과 F1score 92.7%의 성능을 나타내었다. With the development of the Internet and personal computers, various and complex attacks begin to emerge. As the attacks become more complex, signature-based detection become difficult. It leads to the research on behavior-based log anomaly detection. Recent work utilizes deep learning to learn the order and it shows good performance. Despite its good performance, it does not provide any explanation for prediction. The lack of explanation can occur difficulty of finding contamination of data or the vulnerability of the model itself. As a result, the users lose their reliability of the model. To address this problem, this work proposes an explainable log anomaly detection system. In this study, log parsing is the first to proceed. Afterward, sequential rules are extracted by Bayesian posterior probability. As a result, the "If condition then results, post-probability" type rule set is extracted. If the sample is matched to the ruleset, it is normal, otherwise, it is an anomaly. We utilize HDFS datasets for the experiment, resulting in F1score 92.7% in test dataset.

중복 허용 범위를 고려한 서바이벌 네트워크 기반 안드로이드 저자 식별

황철훈 ( Cheol-hun Hwang ),신건윤 ( Gun-yoon Shin ),김동욱 ( Dong-wook Kim ),한명묵 ( Myung-mook Han ) 한국인터넷정보학회 2020 인터넷정보학회논문지 Vol.21 No.6

안드로이드 저자 식별 연구는 좁은 범위에서는 출처를 밝히기 위한 방법으로 해석할 수 있으나, 넓은 범위에서 본다면 알려진 저작물을 통해 유사한 저작물을 식별하는 통찰력을 얻기 위한 방법으로 해석할 수 있다. 안드로이드 저자 식별 연구에서 발견되는 문제점은 안드로이드 시스템 상 중요한 코드이지만 의미가 없는 코드들로 인하여 저자의 중요한 특징을 찾기 어렵다는 것이다. 이로 인해 합법적인 코드 또는 행동들이 악성코드로 잘못 정의되기도 한다. 이를 해결하기 위하여 서바이벌 네트워크 개념을 도입하여 여러 안드로이드 앱에서 발견되는 특징들을 제거하고 저자별로 정의되는 고유한 특징들을 생존시킴으로써 문제를 해결하고자 하였다. 제안하는 프레임워크와 선행된 연구를 비교하는 실험을 진행하였으며, 440개의 저자가 식별된 앱을 대상으로 실험한 결과에서 최대 92.10%의 분류 정확도를 도출하였고 선행된 연구와 최대 3.47%의 차이를 보였다. 이는 적은 양의 학습데이터를 이용하였으나 저자별 중복된 특징 없이 고유한 특징들을 이용하였기에 선행 연구와 차이가 나타났을 것으로 해석하였다. 또한 특징 정의 방법에 따른 선행 연구와의 비교 실험에서도 적은 수의 특징으로 동일한 정확도를 보일 수 있으며, 이는 서바이벌 네트워크 개념을 통한 지속적으로 중복된 의미 없는 특징을 관리할 수 있음을 알 수 있었다. The Android author identification study can be interpreted as a method for revealing the source in a narrow range, but if viewed in a wide range, it can be interpreted as a study to gain insight to identify similar works through known works. The problem found in the Android author identification study is that it is an important code on the Android system, but it is difficult to find the important feature of the author due to the meaningless codes. Due to this, legitimate codes or behaviors were also incorrectly defined as malicious codes. To solve this, we introduced the concept of survival network to solve the problem by removing the features found in various Android apps and surviving unique features defined by authors. We conducted an experiment comparing the proposed framework with a previous study. From the results of experiments on 440 authors' identified apps, we obtained a classification accuracy of up to 92.10%, and showed a difference of up to 3.47% from the previous study. It used a small amount of learning data, but because it used unique features without duplicate features for each author, it was considered that there was a difference from previous studies. In addition, even in comparative experiments with previous studies according to the feature definition method, the same accuracy can be shown with a small number of features, and this can be seen that continuously overlapping meaningless features can be managed through the concept of a survival network.

서바이벌 네트워크 개념을 이용한 저자 식별 프레임워크: 의미론적 특징과 특징 허용 범위

황철훈(Cheol-Hun Hwang),신건윤(Gun-Yoon Shin),김동욱(Dong-Wook Kim),한명묵(Myung-Mook Han) 한국정보보호학회 2020 정보보호학회논문지 Vol.30 No.6

악성코드 저자 식별은 알려진 악성코드 저자의 특징을 이용하여 알려지지 않은 악성코드의 저자 특징과 비교를 통해 악성코드를 식별하기 위한 연구 분야이다. 바이너리를 이용한 저자 식별 방법은 실질적으로 배포된 악성코드를 대상으로 수집 및 분석이 용이하다는 장점을 갖으나, 소스코드를 이용한 방법보다 특징 활용 범위가 제한된다. 이러한 한계점으로 인해 다수의 저자를 대상으로 정확도가 저하된다는 단점을 갖는다. 본 연구는 바이너리 저자 식별에 한계점을 보완하기 위하여 ‘바이너리로부터 의미론적 특징 정의’와 ‘서바이벌 네트워크 개념을 이용한 중복 특징에 대한 허용 범위 정의’ 방법을 제안한다. 제안한 방법은 바이너리 정보로부터 Opcode 기반의 그래프 특징을 정의하며, 서바이벌 네트워크 개념을 이용하여 저자별 고유 특징을 선택할 수 있는 허용범위를 정의하는 것이다. 이를 통해 저자별 특징 정의 및 특징 선택 방법을 하나의 기술로 정의할 수 있으며, 실험을 통해 선행연구보다 5.0%의 정확도 향상과 함께 소스코드 기반 분석과 동일한 수준의 정확도 도출이 가능함을 확인할 수 있었다. Malware Authorship Attribution is a research field for identifying malware by comparing the author characteristics of unknown malware with the characteristics of known malware authors. The authorship attribution method using binaries has the advantage that it is easy to collect and analyze targeted malicious codes, but the scope of using features is limited compared to the method using source code. This limitation has the disadvantage that accuracy decreases for a large number of authors. This study proposes a method of ‘Defining semantic features from binaries’ and ‘Defining allowable ranges for redundant features using the concept of survival network’ to complement the limitations in the identification of binary authors. The proposed method defines Opcode-based graph features from binary information, and defines the allowable range for selecting unique features for each author using the concept of a survival network. Through this, it was possible to define the feature definition and feature selection method for each author as a single technology, and through the experiment, it was confirmed that it was possible to derive the same level of accuracy as the source code-based analysis with an improvement of 5.0% accuracy compared to the previous study.