MITRE ATT&CK 및 Anomaly Detection 기반 이상 공격징후 탐지기술 연구

황찬웅,배성호,이태진,Hwang, Chan-Woong,Bae, Sung-Ho,Lee, Tae-Jin 한국융합보안학회 2021 융합보안 논문지 Vol.21 No.3

공격자의 무기가 점차 지능화 및 고도화되고 있어 기존 백신만으로는 보안 사고를 막을 수 없으므로 endpoint까지 보안 위협이 검토되고 있다. 최근 endpoint를 보호하기 위한 EDR 보안 솔루션이 등장했지만, 가시성에 중점을 두고 있으며, 이에 대한 탐지 및 대응 기술은 부족하다. 본 논문에서는 보안 관리자 관점에서 효과적인 분석과 분석 대상을 선별하기 위해 실 환경 EDR 이벤트 로그를 사용하여 지식 기반 MITRE ATT&CK 및 AutoEncoder 기반 Anomaly Detection 기술을 종합적으로 사용하여 이상 공격징후를 탐지한다. 이후, 탐지된 이상 공격징후는 보안 관리자에게 로그정보와 함께 alarm을 보여주며, 레거시 시스템과의 연계가 가능하다. 실험은 5일에 대한 EDR 이벤트 로그를 하루 단위로 탐지했으며, Hybrid Analysis 검색을 통해 이를 검증한다. 따라서, EDR 이벤트 로그 기반 언제, 어떤 IP에서, 어떤 프로세스가 얼마나 의심스러운지에 대한 결과를 산출하며, 산출된 의심 IP/Process에 대한 조치를 통해 안전한 endpoint 환경을 조성할 것으로 기대한다. The attacker's techniques and tools are becoming intelligent and sophisticated. Existing Anti-Virus cannot prevent security accident. So the security threats on the endpoint should also be considered. Recently, EDR security solutions to protect endpoints have emerged, but they focus on visibility. There is still a lack of detection and responsiveness. In this paper, we use real-world EDR event logs to aggregate knowledge-based MITRE ATT&CK and autoencoder-based anomaly detection techniques to detect anomalies in order to screen effective analysis and analysis targets from a security manager perspective. After that, detected anomaly attack signs show the security manager an alarm along with log information and can be connected to legacy systems. The experiment detected EDR event logs for 5 days, and verified them with hybrid analysis search. Therefore, it is expected to produce results on when, which IPs and processes is suspected based on the EDR event log and create a secure endpoint environment through measures on the suspicious IP/Process.

불법복제물 고속검색 및 Heavy Uploader 프로파일링 분석기술 연구

황찬웅(Chan-Woong Hwang),김진강(Jin-Gang Kim),이용수(Yong-Soo Lee),김형래(Hyeong-Rae Kim),이태진(Tae-Jin Lee) 한국정보보호학회 2020 정보보호학회논문지 Vol.30 No.6

인터넷 기술의 발달함에 따라 많은 콘텐츠가 생산되고 그 수요가 증가하고 있다. 이에 따라 유통되고 있는 콘텐츠수가 증가하였고, 반면에 저작권을 침해하는 불법복제물을 유포하는 건수도 증가하고 있다. 한국저작권보호원은 문자열 매칭 기반 불법복제물 추적관리시스템을 운영하고 있으며, 이를 우회하기 위해 다수의 노이즈를 삽입하므로 정확한 검색이 어려운 현실이다. 최근, 노이즈를 제거하기 위한 자연어 처리, AI 딥러닝 기술을 이용한 연구와 저작권보호를 위한 다양한 블록체인 기술이 연구되어 있으나 한계가 있다. 본 논문에서는 온라인에서 수집한 데이터에 노이즈를 제거하고, 키워드 기반 불법복제물을 검색한다. 또한, heavy uploader 대상 프로파일링 분석을 통해 동일 heavy uploader를 추정해 간다. 향후, 불법복제물 검색기술과 heavy uploader 대상 프로파일링 분석 결과를 바탕으로 차단 및 대응기술이 결합하면 저작권 피해를 최소화할 것으로 기대한다. With the development of internet technology, a lot of content is produced, and the demand for it is increasing. Accordingly, the number of contents in circulation is increasing, while the number of distributing illegal copies that infringe on copyright is also increasing. The Korea Copyright Protection Agency operates a illegal content obstruction program based on substring matching, and it is difficult to accurately search because a large number of noises are inserted to bypass this. Recently, researches using natural language processing and AI deep learning technologies to remove noise and various blockchain technologies for copyright protection are being studied, but there are limitations. In this paper, noise is removed from data collected online, and keyword-based illegal copies are searched. In addition, the same heavy uploader is estimated through profiling analysis for heavy uploaders. In the future, it is expected that copyright damage will be minimized if the illegal copy search technology and blocking and response technology are combined based on the results of profiling analysis for heavy uploaders.

LOF 기반 공격 의심 행위 탐지기술 연구

황찬웅(Chan-woong Hwang),김선진(Sun-jin Kim),이태진(Tae-jin Lee) 한국정보통신학회 2020 한국정보통신학회 종합학술대회 논문집 Vol.24 No.1

불법저작물 유포자 행위분석 프로파일링 기술 연구

김진강 ( Jin-gang Kim ),황찬웅 ( Chan-woong Hwang ),이태진 ( Tae-jin Lee ) 한국인터넷정보학회 2021 인터넷정보학회논문지 Vol.22 No.3

IT 산업의 발달과 문화 활동의 증가로 저작물에 대한 수요가 증가하고 온라인 환경에서 쉽고 편리하게 이용할 수 있다. 이에 따른 저작물 복제 및 유통이 용이하여 저작권 침해가 심각하게 일어나고 있다. 일부 특수한 유형의 온라인 서비스 제공업체(OSP)는 저작권을 보호하기 위해 필터링 기반 기술을 사용하기만 쉽게 우회할 수 있으며, 모든 불법 저작물을 차단하기에는 한계가 있어 저작권을 보호하기는 갈수록 힘들어지고 있다. 최근 불법저작물 유포자 대부분은 특정 소수이며, 다수 OSP와 다수 ID를 통해 불법저작물을 유포하여 이득을 취한다. 본 논문에는 불법저작물을 바탕으로 주요 분석대상인 대량의 불법저작물 유포자인 대량 유포자(Heavy Uploader) 프로파일링 기술을 제안한다. 이 프로파일링 기술은 불법저작물 전반에 대한 정보가 담긴 특징(Feature)을 생성하고 주요 대량 유포자를 식별한다. 이 중 동일인으로 추정되는 대량 유포자를 식별하기 위해 클러스터링 기술을 사용한다. 또한, 불법저작물 유포자 추적과 행위분석을 통해 우선순위가 높은 대량 유포자를 분석할 수 있다. 향후, 대량의 불법저작물을 유포하는 대량 유포자를 식별하고 차단한다면 저작권 피해를 최소화할 것으로 기대한다. With the development of the IT industry and the increase of cultural activities, the demand for works increases, and they can be used easily and conveniently in an online environment. Accordingly, copyright infringement is seriously occurring due to the ease of copying and distribution of works. Some special types of Online Service Providers (OSP) use filtering-based technology to protect copyrights, but they can easily bypass them, and there are limits to blocking all illegal works, making it increasingly difficult to protect copyrights. Recently, most of the distributors of illegal works are a certain minority, and profits are obtained by distributing illegal works through many OSP and majority ID. In this paper, we propose a profiling technique for heavy uploader, which is a major analysis target based on illegal works. Creates a feature containing information on overall illegal works and identifies major heavy uploader. Among these, clustering technology is used to identify heavy uploader that are presumed to be the same person. In addition, heavy uploaders with high priority can be analyzed through illegal work Distributor tracking and behavior analysis. In the future, it is expected that copyright damage will be minimized by identifying and blocking heavy uploader that distribute a large amount of illegal works.

악성코드 분석에서의 AI 결과해석에 대한 평가방안 연구

김진강(Jin-gang Kim),황찬웅(Chan-woong Hwang),이태진(Tae-jin Lee) 한국정보보호학회 2021 정보보호학회논문지 Vol.31 No.6

정보보안에서 AI 기술은 알려지지 않은 악성코드를 탐지하기 위해 사용한다. AI 기술은 높은 정확도를 보장하지만, 오탐을 필연적으로 수반하므로 AI가 예측한 결과를 해석하기 위해 XAI 도입을 고려하고 있다. 그러나, XAI는 단순한 해석결과만 제공할 뿐 그 해석을 평가하거나 검증하는 XAI 평가 연구는 부족하다. XAI 평가는 어떤 기술이 더 정확한지 안전성 확보를 위해 필수적이다. 본 논문에서는 악성코드 분야에서 AI 예측에 크게 기여한 feature로 AI 결과를 해석하고, 이러한 AI 결과해석에 대한 평가방안을 제시한다. 약 94%의 정확도를 보이는 tree 기반의 AI 모델에 두 가지 XAI 기술을 사용하여 결과해석을 진행하고, 기술 정확도 및 희소성을 분석하여 AI 결과해석을 평가한다. 실험 결과 AI 결과해석이 적절하게 산출되었음을 확인하였다. 향후, XAI 평가로 인해 XAI 도입 및 활용은 점차 증가하고, AI 신뢰성 및 투명성이 크게 향상될 것으로 예상한다. In information security, AI technology is used to detect unknown malware. Although AI technology guarantees high accuracy, it inevitably entails false positives, so we are considering introducing XAI to interpret the results predicted by AI. However, XAI evaluation studies that evaluate or verify the interpretation only provide simple interpretation results are lacking. XAI evaluation is essential to ensure safety which technique is more accurate. In this paper, we interpret AI results as features that have significantly contributed to AI prediction in the field of malware, and present an evaluation method for the interpretation of AI results. Interpretation of results is performed using two XAI techniques on a tree-based AI model with an accuracy of about 94%, and interpretation of AI results is evaluated by analyzing descriptive accuracy and sparsity. As a result of the experiment, it was confirmed that the AI result interpretation was properly calculated. In the future, it is expected that the adoption and utilization of XAI will gradually increase due to XAI evaluation, and the reliability and transparency of AI will be greatly improved.