국립중앙도서관 "우편 복사 서비스"로 연결 됩니다.
시스템 호출 함수 시퀀스만을 데이터로 활용하여 시스템의 정상적인 행위를 학습하는 신경망 기반 이상 탐지 모델의 문제점 중 하나는 mimicry 공격에 취약하다는 것이다. 공격자는 데이터에 ...
다국어 입력
あ
ぁ
か
が
さ
ざ
た
だ
な
は
ば
ぱ
ま
や
ゃ
ら
わ
ゎ
ん
い
ぃ
き
ぎ
し
じ
ち
ぢ
に
ひ
び
ぴ
み
り
う
ぅ
く
ぐ
す
ず
つ
づ
っ
ぬ
ふ
ぶ
ぷ
む
ゆ
ゅ
る
え
ぇ
け
げ
せ
ぜ
て
で
ね
へ
べ
ぺ
め
れ
お
ぉ
こ
ご
そ
ぞ
と
ど
の
ほ
ぼ
ぽ
も
よ
ょ
ろ
を
ア
ァ
カ
サ
ザ
タ
ダ
ナ
ハ
バ
パ
マ
ヤ
ャ
ラ
ワ
ヮ
ン
イ
ィ
キ
ギ
シ
ジ
チ
ヂ
ニ
ヒ
ビ
ピ
ミ
リ
ウ
ゥ
ク
グ
ス
ズ
ツ
ヅ
ッ
ヌ
フ
ブ
プ
ム
ユ
ュ
ル
エ
ェ
ケ
ゲ
セ
ゼ
テ
デ
ヘ
ベ
ペ
メ
レ
オ
ォ
コ
ゴ
ソ
ゾ
ト
ド
ノ
ホ
ボ
ポ
モ
ヨ
ョ
ロ
ヲ
―
http://chineseinput.net/에서 pinyin(병음)방식으로 중국어를 변환할 수 있습니다.
변환된 중국어를 복사하여 사용하시면 됩니다.
예시)
- 中文 을 입력하시려면 zhongwen을 입력하시고 space를누르시면됩니다.
- 北京 을 입력하시려면 beijing을 입력하시고 space를 누르시면 됩니다.
А
Б
В
Г
Д
Е
Ё
Ж
З
И
Й
К
Л
М
Н
О
П
Р
С
Т
У
Ф
Х
Ц
Ч
Ш
Щ
Ъ
Ы
Ь
Э
Ю
Я
а
б
в
г
д
е
ё
ж
з
и
й
к
л
м
н
о
п
р
с
т
у
ф
х
ц
ч
ш
щ
ъ
ы
ь
э
ю
я
′
″
℃
Å
¢
£
¥
¤
℉
‰
$
%
F
₩
㎕
㎖
㎗
ℓ
㎘
㏄
㎣
㎤
㎥
㎦
㎙
㎚
㎛
㎜
㎝
㎞
㎟
㎠
㎡
㎢
㏊
㎍
㎎
㎏
㏏
㎈
㎉
㏈
㎧
㎨
㎰
㎱
㎲
㎳
㎴
㎵
㎶
㎷
㎸
㎹
㎀
㎁
㎂
㎃
㎄
㎺
㎻
㎽
㎾
㎿
㎐
㎑
㎒
㎓
㎔
Ω
㏀
㏁
㎊
㎋
㎌
㏖
㏅
㎭
㎮
㎯
㏛
㎩
㎪
㎫
㎬
㏝
㏐
㏓
㏃
㏉
㏜
㏆
RISS 인기검색어
시스템 호출 함수 및 인자의 통합 시퀀스를 활용한 신경망 기반 이상 탐지 = Neural Network-Based Anomaly Detection Using Integrated Sequence of System Call Function and Argument
한글로보기https://www.riss.kr/link?id=T15828800
- 저자
-
발행사항
서울 : 서울대학교 대학원, 2021
- 학위논문사항
-
발행연도
2021
-
작성언어
한국어
-
주제어
시스템 보안 ; 이상 탐지 ; 시스템 호출 ; LSTM ; System Security ; Anomaly Detection ; System Call ; LSTM
-
DDC
621.3
-
발행국(도시)
서울
-
형태사항
iii, 19 ; 26 cm
-
일반주기명
지도교수: 백윤흥
-
UCI식별코드
I804:11032-000000164883
- DOI식별코드
-
소장기관
- 서울대학교 중앙도서관
- 서울대학교 중앙도서관
-
0
상세조회 -
0
다운로드
부가정보
국문 초록 (Abstract)
시스템 호출 함수 시퀀스만을 데이터로 활용하여 시스템의 정상적인 행위를 학습하는 신경망 기반 이상 탐지 모델의 문제점 중 하나는 mimicry 공격에 취약하다는 것이다. 공격자는 데이터에 no-op 시스템 호출을 삽입하는 등의 방법으로 공격 행위를 정상적인 행위인 것처럼 모방하여 탐지를 피하고 원하는 공격을 수행할 수 있게 된다. 이런 mimicry 공격을 막기 위한 다양한 방법론이 제시되었으며 그 중 대표적인 것이 시스템 호출 함수 대신 branch 시퀀스를 데이터로 활용하는 것이다. 그러나 branch 시퀀스는 시스템 호출 함수에 비해 데이터의 양이 너무 많아 공격 탐지 소요 시간이 오래 걸리며 별도의 하드웨어 피쳐들을 활용해 추출해야 한다는 번거로움이 있어 실시간 온라인 탐지 시스템에 적용하기엔 적합하지 않다는 단점이 있다. 본 논문에서는 이런 단점들을 해소하는 동시에 mimicry 공격에 강건한 모델을 만들기 위해 기존에 사용하던 시스템 호출 함수 데이터와 시스템 호출 인자 데이터를 함께 통합시켜 활용하는 새로운 방법론을 제시한다. 시스템 호출 인자가 공격을 탐지하기 위한 시스템 행위 정보를 충분히 담고 있음을 보이는 통계 모델 기반 접근법에 기인하여 시스템 호출 인자 데이터를 딥러닝 모델의 입력 벡터로 변환시킨다. 이후 시스템 호출 함수의 입력 벡터와 통합하여 LSTM 모델을 통해 공격을 탐지하는 것이 본 연구에서 제안하는 기법이다. 제안된 모델의 성능을 측정하기 위해 branch 시퀀스를 데이터로 활용한 연구와 비교 실험을 진행하였다. 두 개의 실제 프로그램을 대상으로 공격을 수행하여 공격이 성공적으로 탐지되는 것을 확인하였으며, branch 시퀀스 모델과 비교하여 탐지 정확도와 탐지 소요 시간, 양쪽 지표 모두 성능이 향상되었음을 확인할 수 있었다.
시스템 호출 함수 시퀀스만을 데이터로 활용하여 시스템의 정상적인 행위를 학습하는 신경망 기반 이상 탐지 모델의 문제점 중 하나는 mimicry 공격에 취약하다는 것이다. 공격자는 데이터에 no-op 시스템 호출을 삽입하는 등의 방법으로 공격 행위를 정상적인 행위인 것처럼 모방하여 탐지를 피하고 원하는 공격을 수행할 수 있게 된다. 이런 mimicry 공격을 막기 위한 다양한 방법론이 제시되었으며 그 중 대표적인 것이 시스템 호출 함수 대신 branch 시퀀스를 데이터로 활용하는 것이다. 그러나 branch 시퀀스는 시스템 호출 함수에 비해 데이터의 양이 너무 많아 공격 탐지 소요 시간이 오래 걸리며 별도의 하드웨어 피쳐들을 활용해 추출해야 한다는 번거로움이 있어 실시간 온라인 탐지 시스템에 적용하기엔 적합하지 않다는 단점이 있다. 본 논문에서는 이런 단점들을 해소하는 동시에 mimicry 공격에 강건한 모델을 만들기 위해 기존에 사용하던 시스템 호출 함수 데이터와 시스템 호출 인자 데이터를 함께 통합시켜 활용하는 새로운 방법론을 제시한다. 시스템 호출 인자가 공격을 탐지하기 위한 시스템 행위 정보를 충분히 담고 있음을 보이는 통계 모델 기반 접근법에 기인하여 시스템 호출 인자 데이터를 딥러닝 모델의 입력 벡터로 변환시킨다. 이후 시스템 호출 함수의 입력 벡터와 통합하여 LSTM 모델을 통해 공격을 탐지하는 것이 본 연구에서 제안하는 기법이다. 제안된 모델의 성능을 측정하기 위해 branch 시퀀스를 데이터로 활용한 연구와 비교 실험을 진행하였다. 두 개의 실제 프로그램을 대상으로 공격을 수행하여 공격이 성공적으로 탐지되는 것을 확인하였으며, branch 시퀀스 모델과 비교하여 탐지 정확도와 탐지 소요 시간, 양쪽 지표 모두 성능이 향상되었음을 확인할 수 있었다.
다국어 초록 (Multilingual Abstract)
One of the problems with neural network-based anomaly detection models that use only system call function sequences as data to learn the normal behavior of the system is that they are vulnerable to mimicry attacks. This allows the attacker can imitate an attack as if it were a normal behavior by inserting no-op system calls into the data to avoid detection and carry out the desired attack. Various methodologies have been presented to prevent these mimicry attacks, and one of them is to use branch sequences as data instead of system call functions. However, branch sequences have the disadvantage of being difficult to apply to real-time online detection system due to the fact that the amount of data is too large compared to system call functions, which takes much more time to detect attacks and the hassle of extracting them using separate hardware features. To solve these shortcomings and at the same time to create a robust model for mimicry attacks, this paper presents a new methodology for integrating system call function sequence data used previously and system call arguments data together. We converts system call arguments data to the input vector of the deep learning model, referring to the statistical model-based approach that shows that the system call arguments contain enough system behavior information to detect attacks. Then in our technique, we integrate system call function and argument input vectors to detect attacks through LSTM model. To measure the performance of the proposed model, comparative experiment was conducted with studies using the branch sequences as data. We confirmed that the attacks carried out on two real programs were successfully detected, and both detection accuracy and detection time were improved compared with the branch sequence model.
One of the problems with neural network-based anomaly detection models that use only system call function sequences as data to learn the normal behavior of the system is that they are vulnerable to mimicry attacks. This allows the attacker can imitate...
One of the problems with neural network-based anomaly detection models that use only system call function sequences as data to learn the normal behavior of the system is that they are vulnerable to mimicry attacks. This allows the attacker can imitate an attack as if it were a normal behavior by inserting no-op system calls into the data to avoid detection and carry out the desired attack. Various methodologies have been presented to prevent these mimicry attacks, and one of them is to use branch sequences as data instead of system call functions. However, branch sequences have the disadvantage of being difficult to apply to real-time online detection system due to the fact that the amount of data is too large compared to system call functions, which takes much more time to detect attacks and the hassle of extracting them using separate hardware features. To solve these shortcomings and at the same time to create a robust model for mimicry attacks, this paper presents a new methodology for integrating system call function sequence data used previously and system call arguments data together. We converts system call arguments data to the input vector of the deep learning model, referring to the statistical model-based approach that shows that the system call arguments contain enough system behavior information to detect attacks. Then in our technique, we integrate system call function and argument input vectors to detect attacks through LSTM model. To measure the performance of the proposed model, comparative experiment was conducted with studies using the branch sequences as data. We confirmed that the attacks carried out on two real programs were successfully detected, and both detection accuracy and detection time were improved compared with the branch sequence model.
목차 (Table of Contents)
- 제 1 장 서론 1
- 제 2 장 배경 지식 4
- 제 1 절 시스템 호출 4
- 제 2 절 LSTM 4
- 제 3 장 디자인 및 구현 6
- 제 1 장 서론 1
- 제 2 장 배경 지식 4
- 제 1 절 시스템 호출 4
- 제 2 절 LSTM 4
- 제 3 장 디자인 및 구현 6
- 제 1 절 데이터 전처리 및 입력 벡터 구성 6
- 제 2 절 LSTM 레이어 7
- 제 3 절 출력 벡터 해석 8
- 제 4 장 실험 10
- 제 1 절 데이터 셋 구성 10
- 제 2 절 모델 학습 11
- 제 3 절 모델 평가 11
- 제 5 장 실험 결과 13
- 제 1 절 공격 탐지 정확도 비교 13
- 제 2 절 공격 탐지 시간 비교 13
- 제 6 장 결론 16
- 참고문헌 17
- Abstract 18
분석정보
이 자료와 함께 이용한 RISS 자료
나만을 위한 추천자료
