• Journal of Internet Computing and Services
• /
• v.23 no.6
• /
• pp.1-13
• /
• 2022

As the information and communication environment develops, the environment of military facilities is also development remarkably. In proportion to this, cyber threats are also increasing, and in particular, APT attacks, which are difficult to prevent with existing signature-based cyber defense systems, are frequently targeting military and national infrastructure. It is important to identify attack groups for appropriate response, but it is very difficult to identify them due to the nature of cyber attacks conducted in secret using methods such as anti-forensics. In the past, after an attack was detected, a security expert had to perform high-level analysis for a long time based on the large amount of evidence collected to get a clue about the attack group. To solve this problem, in this paper, we proposed an automation technique that can classify an attack group within a short time after detection. In case of APT attacks, compared to general cyber attacks, the number of attacks is small, there is not much known data, and it is designed to bypass signature-based cyber defense techniques. As an attack model, we used MITRE ATT&CK® which modeled many parts of cyber attacks. We design an impact score considering the versatility of the attack techniques and proposed a group similarity score based on this. Experimental results show that the proposed method classified the attack group with a 72.62% probability based on Top-5 accuracy.

• Journal of Internet Computing and Services
• /
• v.21 no.2
• /
• pp.1-8
• /
• 2020

Recently, the number of APT(Advanced Persistent Threats) attack using malware has been increasing, and research is underway to prevent and detect them. While it is important to detect and block attacks before they occur, it is also important to make an effective response through an accurate analysis for attack case and attack type, these respond which can be determined by analyzing the attack group of such attacks. Therefore, this paper propose a framework based on genetic algorithm for analyzing malware and understanding attacker group's features. The framework uses decompiler and disassembler to extract related code in collected malware, and analyzes information related to author through code analysis. Malware has unique characteristics that only it has, which can be said to be features that can identify the author or attacker groups of that malware. So, we select specific features only having attack group among the various features extracted from binary and source code through the authorship clustering method, and apply genetic algorithm to accurate clustering to infer specific features. Also, we find features which based on characteristics each group of malware authors has that can express each group, and create profiles to verify that the group of authors is correctly clustered. In this paper, we do experiment about author classification using genetic algorithm and finding specific features to express author characteristic. In experiment result, we identified an author classification accuracy of 86% and selected features to be used for authorship analysis among the information extracted through genetic algorithm.

• Journal of KIISE:Software and Applications
• /
• v.27 no.7
• /
• pp.712-722
• /
• 2000

In this paper, we suggest and test a classification technique of offence pattern from group formation to automatically index highlights of soccer games. A BP (Back-propagation) neural nets technique was applied to the information of the position of both the player and the ball on a ground, and the distance between the player and the ball to identify the group formation in space and time. The real soccer game scenes including '98 France World Cup were used to extract 297 video clips of various types of offence patterns; Left Running 60, Right Running 74, Center Running 72, Corner-kick 39 and Free-kick 52. The results are as follows: Left Running comes to 91.7%, Right Running 100%. Center Running 87.5%, Corner-kick 97.4% and Free-kick 75%, and these showed quite a satisfactory rate of recognition.

• Annual Conference of KIPS
• /
• 2001.10a
• /
• pp.727-730
• /
• 2001

멀티미디어 환경의 급속한 발전에 의해 영상처리 기술은 인간의 인체와 관련하여 얼굴인식, 제스처 인식에 관한 응용과 더불어 스포츠 관련분야로 깊숙히 정착하고 있다. 그러나 입력영상으로부터 움직이고 있는 선수들의 동작을 추출 및 추적하는 일은 컴퓨터비전 연구의 난 문제 중의 하나로 알려져 있다. 이러한 축구경기의 TV 중계에 있어서 하이라이트 장면의 자동추출(자동색인)은 그 경기의 가장 집약적인 표현이며, 축구경기 전체를 한 눈에 파악할 수 있도록 해주는 요약(summary)이자 intensive actions이고 경기의 진수이다. 따라서 축구경기와 같이 비교적 기 시간(대체로 1시간 30분) 동안 다수의 선수(양 팀 합해서 22명)들이 서로 복잡하게 뒤얽히면서 진행하는 경기의 하이라이트 장면을 효과적으로 포착하여 표현해 줄 수 있다면 TV를 통해서 경기를 관람하는 시청자들에게는 경기의 진행상황을 한 눈에 효과적으로 파악할 수 있게 해주어 흥미진진한 경기관람을 할 수 있게 해주고, 경기의 진행자들(감독, 코치, 선수 등)에게는 고차원적이고 과학적인 정보를 효과적으로 제공함으로써 한층 진보된 경기기법을 개발하고 과학적인 경기전략을 세울 수 있게 해준다. 본 논문은 이상과 같이 팀 스포츠(Team Spots)의 일종인 축구경기 하이라이트 장면의 자동색인을 위해 뉴럴네트워크 기법을 이용하여 그룹 포메이션(Group Formation) 중의 공격패턴 자동분류 기법을 개발하고 이를 검증하였다. 본 연구에서는 축구경기장 내의 빈번하게 변화하는 장면들을 자동으로 분할하여 대표 프레임을 선정하고, 대표 프레임 상에서 선수들의 위치정보와 공의 위치정보 등을 기초로 하여 경기 중에 이루어지는 선수들의 그룹 포메이션을 추적하여 그룹행동(group behavior)을 분석하고, 뉴럴네트워크의 BP(Back-Propagation) 알고리즘을 사용하여 축구경기 공격패턴을 자동으로 인식 및 분류함으로써 축구경기 하이라이트 장면의 자동추출을 위한 기반을 마련하였다. 본 연구의 실험에는 '98 프랑스 월드컵 축구경기의 다양한 공격패턴에 대한 비디오 영상에서 각각 좌측공격 60개, 우측공격 74개, 중앙공격 72개, 코너킥 39개, 프리킥 52개의 총 297개의 데이터를 추출하여 사용하였다. 실험과는 좌측공격 91.7%, 우측공격 100%, 중앙공격 87.5%, 코너킥 97.4%, 프리킥 75%로서 매우 양호한 인식율을 보였다.

• Proceedings of the KAIS Fall Conference
• /
• 2009.05a
• /
• pp.764-767
• /
• 2009

이 논문에서는 데이터마이닝의 클러스터링을 이용한 경보 데이터 축약기법을 제안한다. 제안된 클러스터링 기반 경보데이터 축약기법은 데이터간의 유사성을 이용한 경보 데이터의 그룹화를 통해 생성된 모델을 이용하여 새로운 경보 데이터에 대한 분류를 자동화할 수 있다. 이것은 과거에 탐지된 공격의 형태뿐만 아니라 새로운 혹은 변형된 경보의 분류나 분석에도 이용할 수 있다. 또한 생성된 클러스터의 생성 원인의 분석을 이용한 클러스터 간의 시퀀스의 추출을 통해 사용자가 공격의 순차적인 구조나 그 이면에 감추어진 전략을 이해하는데 도움을 주며, 현재의 경보 이후에 발생 가능한 경보들을 예측할 수 있다.

• Convergence Security Journal
• /
• v.19 no.1
• /
• pp.87-95
• /
• 2019

The damage is increasing due to many encroachment accidents caused by increasingly sophisticated cyber attacks. Many institutions and businesses lack early response to invest a lot of resources in the infrastructure for incident detection. The initial response of an intrusion is to identify the route of attack, and many cyber attacks are targeted at software vulnerabilities. Therefore, analyzing the artifacts of a Windows system against software vulnerabilities and classifying the analyzed data can be utilized for rapid initial response. Therefore, the remaining artifacts upon entry of attacks by software are classified, and artifact grouping is presented for use in analysis of encroachment accidents.

• Journal of Convergence for Information Technology
• /
• v.8 no.6
• /
• pp.165-171
• /
• 2018

The most threatening attack that has become a hot topic of recent IT security is APT Attack.. So far, there is no way to respond to APT attacks except by using artificial intelligence techniques. Here, we have implemented a machine learning algorithm for analyzing cyber threat data using machine learning method, using a data set that collects cyber attack cases using Scikit Learn, a big data machine learning framework. The result showed an attack classification accuracy close to 70%. This result can be developed into the algorithm of the security control system in the future.

• Annual Conference of KIPS
• /
• 2017.04a
• /
• pp.376-379
• /
• 2017

전 세계적으로 악성코드는 하루 100만개 이상이 새롭게 발견되고 있으며, 악성코드 발생량은 해마다 증가하고 있는 추세이다. 공격자는 보안장비에서 악성코드가 탐지되는 것을 우회하기 위해 기존 악성코드를 변형한 변종 악성코드를 주로 이용한다. 변종 악성코드는 자동화된 제작도구나 기존 악성코드의 코드를 재사용하므로 비교적 손쉽게 생성될 수 있어 최근 악성코드 급증의 주요 원인으로 지목되고 있다. 본 논문에서는 대량으로 발생하는 악성코드의 효과적인 대응을 위한 행위기반 악성코드 프로파일링 시스템 프로토타입을 제안한다. 동일한 변종 악성코드들은 실제 행위가 유사한 특징을 고려하여 악성코드가 실행되는 과정에서 호출되는 API 시퀀스 정보를 이용하여 악성코드 간 유사도 분석을 수행하였다. 유사도 결과를 기반으로 대량의 악성코드를 자동으로 그룹분류 해주는 시스템 프로토타입을 구현하였다. 악성코드 그룹별로 멤버들 간의 유사도를 전수 비교하므로 그룹의 분류 정확도를 객관적으로 제시할 수 있다. 실제 유포된 악성코드를 대상으로 악성코드 그룹분류 기능과 정확도를 측정한 실험에서는 평균 92.76%의 분류 성능을 보였으며, 외부 전문가 의뢰에서도 84.13%로 비교적 높은 분류 정확도를 보였다.

• The Journal of Korean Institute of Communications and Information Sciences
• /
• v.42 no.1
• /
• pp.193-204
• /
• 2017

The security of Internet systems critically depends on the capability to keep anti-virus (AV) software up-to-date and maintain high detection accuracy against new malware. However, malware variants evolve so quickly they cannot be detected by conventional signature-based detection. In this paper, we proposed a malware classification method based on sequence patterns generated from the network flow of malware samples. We evaluated our method with 766 malware samples and obtained a classification accuracy of approximately 40.4%. In this study, malicious codes were classified only by network behavior of malicious codes, excluding codes and other characteristics. Therefore, this study is expected to be further developed in the future. Also, we can predict the attack groups and additional attacks can be prevented.

• Proceedings of the Korean Information Science Society Conference
• /
• 2003.04a
• /
• pp.410-412
• /
• 2003

공격이 다양해짐에 따라 침입탐지 기술기법에 관한 연구도 활발히 진행되고 있으나, 전반적인 연구 흐름에 관한 연구는 부족한 실정이다. 본 논문에서는 침입탐지 분야에서 오랜 기간 연구를 수행하여 대표적인 침입탐지시스템 프레임워크까지 제안한 세 그룹(SRI, UC Davis, Purdue)에서의 연구 내용을 분석했다. 그 결과 ‘The First IDS’. ‘Multi Target IDS’, ‘IDS Framework’, ‘IDS Framework Component and Application’의 4단계로 분류했으며, 이에 대한 각 그룹의 세부적인 연구 내용을 기술하고 각 기법들간의 발전 원인 및 전체적인 연구 방향을 살펴보고자 한다.