• 인터넷정보학회논문지
• /
• 제23권6호
• /
• pp.1-13
• /
• 2022

정보통신 환경의 발전으로 인하여 군사 시설의 환경 또한 많은 발전이 이루어지고 있다. 이에 비례하여 사이버 위협도 증가하고 있으며, 특히 기존 시그니처 기반 사이버 방어체계로는 막는 것이 어려운 APT 공격들이 군사 시설 및 국가 기반 시설을 대상으로 빈번하게 이루어지고 있다. 적절한 대응을 위해 공격그룹을 알아내는 것은 중요한 일이지만, 안티 포렌식 등의 방법을 이용해 은밀하게 이루어지는 사이버 공격의 특성상 공격 그룹을 식별하는 것은 매우 어려운 일이다. 과거에는 공격이 탐지된 후, 수집된 다량의 증거들을 바탕으로 보안 전문가가 긴 시간 동안 고도의 분석을 수행해야 공격그룹에 대한 실마리를 겨우 잡을 수 있었다. 본 논문에서는 이러한 문제를 해결하기 위해 탐지 후 짧은 시간 내에 공격그룹을 분류해낼 수 있는 자동화 기법을 제안하였다. APT 공격의 경우 일반적인 사이버 공격 대비 공격 횟수가 적고 알려진 데이터도 많지 않으며, 시그니처 기반의 사이버 방어 기법을 우회하도록 설계가 되어있으므로, 우회가 어려운 공격 모델 기반의 탐지 기법을 기반으로 알고리즘을 개발하였다. 공격 모델로는 사이버 공격의 많은 부분을 모델링한 MITRE ATT&CK®을 사용하였다. 공격 기술의 범용성을 고려하여 영향성 점수를 설계하고 이를 바탕으로 그룹 유사도 점수를 제안하였다. 실험 결과 제안하는 방법이 Top-5 정확도 기준 72.62%의 확률로 공격 그룹을 분류함을 알 수 있었다.

• 인터넷정보학회논문지
• /
• 제21권2호
• /
• pp.1-8
• /
• 2020

최근 악성코드를 활용한 APT(Advanced Persistent Threat) 공격의 수가 점차 증가하면서 이를 예방하고 탐지하기 위한 연구가 활발히 진행되고 있다. 이러한 공격들은 공격이 발생하기 전에 탐지하고 차단하는 것도 중요하지만, 발생 공격 사례 또는 공격 유형에 대한 정확한 분석과 공격 분류를 통해 효과적인 대응을 하는 것 또한 중요하며, 이러한 대응은 해당 공격의 공격 그룹을 분석함으로써 정할 수 있다. 따라서 본 논문에서는 공격자 그룹의 특징을 파악하고 분석하기 위한 악성코드를 활용한 유전 알고리즘 기반 공격자 그룹 특징 추출 프레임워크를 제안한다. 해당 프레임워크에서는 수집된 악성코드를 디컴파일러와 디셈블러를 통해 관련 코드를 추출하고 코드 분석을 통해 저자와 관련된 정보들을 분석한다. 악성코드에는 해당 코드만이 가지고 있는 고유한 특징들이 존재하며, 이러한 특징들은 곧 해당 악성코드의 작성자 또는 공격자 그룹을 식별할 수 있는 특징이라고 할 수 있다. 따라서 우리는 저자 클러스터링 방법을 통해 바이너리 및 소스 코드에서 추출한 다양한 특징들 중에 특정 악성코드 작성자 그룹만이 가지고 있는 특징들을 선별하고, 정확한 클러스터링 수행을 위해 유전 알고리즘을 적용하여 주요 특징들을 유추한다. 또한 각 악성코드 저자 그룹들이 가지고 있는 특성들을 기반으로 각 그룹들만을 표현할 수 있는 특징들을 찾고 이를 통해 프로필을 작성하여 작성자 그룹이 정확하게 군집화되었는지 확인한다. 본 논문에서는 실험을 통해 유전 알고리즘을 활용하여 저자가 정확히 식별되는 지와 유전 알고리즘을 활용하여 주요 특징 식별이 가능한지를 확인 할 것이다. 실험 결과, 86%의 저자 분류 정확도를 보이는 것을 확인하였고 유전 알고리즘을 통해 추출된 정보들 중에 저자 분석에 사용될 특징들을 선별하였다.

• 한국정보과학회논문지:소프트웨어및응용
• /
• 제27권7호
• /
• pp.712-722
• /
• 2000

본 논문은 팀 스포츠(team sports)의 일종인 축구경기 하이라이트 장면의 자동색인을 위해 뉴럴네트워크 기법을 이용하여 그룹 포메이션(group formation) 중의 공격패턴 자동분류 기법을 개발하고 이를 검증하였다. 본 연구에서는 축구경기의 대표 프레임 상에서 선수들과 공의 위치정보를 추출하고 그룹 포메이션 정보를 기초로 뉴럴네트워크의 BP(Back-propagation) 알고리즘을 사용하여 축구경기 하이라이트 장면의 자동추출을 위한 공격패턴 자동분류 기법을 개발 및 검증하였다. 또한, 실험에는 ‘98 프랑스 월드컵 축구경기의 다양한 공격패턴에 대한 비디오 영상에서 각각 좌측공격 60개, 우측공격 74개, 중앙공격 72, 코너킥 39, 프리킥 52개의 총 297 개의 데이타를 추출하여 사용하였다. 실험결과는 좌측공격 91.7%, 우측공격 100%, 중앙공격 87.5%. 코너킥 97.4%, 프리킥 75% 로서 매우 양호한 인식율을 보였다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2001년도 추계학술발표논문집 (상)
• /
• pp.727-730
• /
• 2001

멀티미디어 환경의 급속한 발전에 의해 영상처리 기술은 인간의 인체와 관련하여 얼굴인식, 제스처 인식에 관한 응용과 더불어 스포츠 관련분야로 깊숙히 정착하고 있다. 그러나 입력영상으로부터 움직이고 있는 선수들의 동작을 추출 및 추적하는 일은 컴퓨터비전 연구의 난 문제 중의 하나로 알려져 있다. 이러한 축구경기의 TV 중계에 있어서 하이라이트 장면의 자동추출(자동색인)은 그 경기의 가장 집약적인 표현이며, 축구경기 전체를 한 눈에 파악할 수 있도록 해주는 요약(summary)이자 intensive actions이고 경기의 진수이다. 따라서 축구경기와 같이 비교적 기 시간(대체로 1시간 30분) 동안 다수의 선수(양 팀 합해서 22명)들이 서로 복잡하게 뒤얽히면서 진행하는 경기의 하이라이트 장면을 효과적으로 포착하여 표현해 줄 수 있다면 TV를 통해서 경기를 관람하는 시청자들에게는 경기의 진행상황을 한 눈에 효과적으로 파악할 수 있게 해주어 흥미진진한 경기관람을 할 수 있게 해주고, 경기의 진행자들(감독, 코치, 선수 등)에게는 고차원적이고 과학적인 정보를 효과적으로 제공함으로써 한층 진보된 경기기법을 개발하고 과학적인 경기전략을 세울 수 있게 해준다. 본 논문은 이상과 같이 팀 스포츠(Team Spots)의 일종인 축구경기 하이라이트 장면의 자동색인을 위해 뉴럴네트워크 기법을 이용하여 그룹 포메이션(Group Formation) 중의 공격패턴 자동분류 기법을 개발하고 이를 검증하였다. 본 연구에서는 축구경기장 내의 빈번하게 변화하는 장면들을 자동으로 분할하여 대표 프레임을 선정하고, 대표 프레임 상에서 선수들의 위치정보와 공의 위치정보 등을 기초로 하여 경기 중에 이루어지는 선수들의 그룹 포메이션을 추적하여 그룹행동(group behavior)을 분석하고, 뉴럴네트워크의 BP(Back-Propagation) 알고리즘을 사용하여 축구경기 공격패턴을 자동으로 인식 및 분류함으로써 축구경기 하이라이트 장면의 자동추출을 위한 기반을 마련하였다. 본 연구의 실험에는 '98 프랑스 월드컵 축구경기의 다양한 공격패턴에 대한 비디오 영상에서 각각 좌측공격 60개, 우측공격 74개, 중앙공격 72개, 코너킥 39개, 프리킥 52개의 총 297개의 데이터를 추출하여 사용하였다. 실험과는 좌측공격 91.7%, 우측공격 100%, 중앙공격 87.5%, 코너킥 97.4%, 프리킥 75%로서 매우 양호한 인식율을 보였다.

• 한국산학기술학회:학술대회논문집
• /
• 한국산학기술학회 2009년도 춘계학술발표논문집
• /
• pp.764-767
• /
• 2009

이 논문에서는 데이터마이닝의 클러스터링을 이용한 경보 데이터 축약기법을 제안한다. 제안된 클러스터링 기반 경보데이터 축약기법은 데이터간의 유사성을 이용한 경보 데이터의 그룹화를 통해 생성된 모델을 이용하여 새로운 경보 데이터에 대한 분류를 자동화할 수 있다. 이것은 과거에 탐지된 공격의 형태뿐만 아니라 새로운 혹은 변형된 경보의 분류나 분석에도 이용할 수 있다. 또한 생성된 클러스터의 생성 원인의 분석을 이용한 클러스터 간의 시퀀스의 추출을 통해 사용자가 공격의 순차적인 구조나 그 이면에 감추어진 전략을 이해하는데 도움을 주며, 현재의 경보 이후에 발생 가능한 경보들을 예측할 수 있다.

• 융합보안논문지
• /
• 제19권1호
• /
• pp.87-95
• /
• 2019

점차 고도화되는 사이버 공격에 의한 많은 침해사고로 피해가 증가하고 있다. 많은 기관 및 기업체에서는 사고 탐지를 위한 인프라만에 많은 자원을 투자하기에 초기대응에 미흡하다. 침해사고의 초기대응은 공격의 유입경로 파악이 우선이며, 이루어지고 있는 많은 사이버 공격은 소프트웨어 취약점을 대상으로 하고 있다. 따라서, 소프트웨어 취약점을 대상으로 윈도우 시스템의 아티팩트를 분석하고, 분석한 데이터를 분류하면 신속한 초기대응에 활용할 수 있다. 그러므로 소프트웨어 별 공격 유입 시 남는 아티팩트를 분류하여 침해사고 분석 시에 활용할 수 있는 아티팩트 그룹핑을 제시한다.

• 융합정보논문지
• /
• 제8권6호
• /
• pp.165-171
• /
• 2018

최근 IT보안의 화두가 되고 있는 가장 위협적인 공격은 APT공격이다. APT공격에 대한 대응은 인공지능기법을 활용한 대응이외에는 방법이 없다는 것이 현재까지의 결론이다. 여기서는 머신러닝 기법을 활용한 사이버위협 데이터를 분석하는 방법, 그 중에서도 빅데이터 머신러닝 프레임웍인 Scikit Learn를 활용하여 사이버공격 사례를 수집한 데이터셋을 이용하여 사이버공격을 분석하는 머신러닝 알고리즘을 구현하였다. 이 결과 70%에 육박하는 공격 분류 정확도를 보였다. 이 결과는 향후 보안관제 시스템의 알고리즘으로 발전가능하다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2017년도 춘계학술발표대회
• /
• pp.376-379
• /
• 2017

전 세계적으로 악성코드는 하루 100만개 이상이 새롭게 발견되고 있으며, 악성코드 발생량은 해마다 증가하고 있는 추세이다. 공격자는 보안장비에서 악성코드가 탐지되는 것을 우회하기 위해 기존 악성코드를 변형한 변종 악성코드를 주로 이용한다. 변종 악성코드는 자동화된 제작도구나 기존 악성코드의 코드를 재사용하므로 비교적 손쉽게 생성될 수 있어 최근 악성코드 급증의 주요 원인으로 지목되고 있다. 본 논문에서는 대량으로 발생하는 악성코드의 효과적인 대응을 위한 행위기반 악성코드 프로파일링 시스템 프로토타입을 제안한다. 동일한 변종 악성코드들은 실제 행위가 유사한 특징을 고려하여 악성코드가 실행되는 과정에서 호출되는 API 시퀀스 정보를 이용하여 악성코드 간 유사도 분석을 수행하였다. 유사도 결과를 기반으로 대량의 악성코드를 자동으로 그룹분류 해주는 시스템 프로토타입을 구현하였다. 악성코드 그룹별로 멤버들 간의 유사도를 전수 비교하므로 그룹의 분류 정확도를 객관적으로 제시할 수 있다. 실제 유포된 악성코드를 대상으로 악성코드 그룹분류 기능과 정확도를 측정한 실험에서는 평균 92.76%의 분류 성능을 보였으며, 외부 전문가 의뢰에서도 84.13%로 비교적 높은 분류 정확도를 보였다.

• 한국통신학회논문지
• /
• 제42권1호
• /
• pp.193-204
• /
• 2017

인터넷 시스템의 보안은 백신을 최신으로 업데이트하고, 신종 악성코드를 탐지해 내는 능력에 달려있다. 하지만, 급변하는 인터넷 환경과 더불어, 악성코드는 끊임없이 변종을 만들어내고 더욱 지능적으로 진화하고 있어 현재 운용중인 시그니쳐 기반 탐지체계로 탐지되지 않는다. 따라서, 본 연구에서는 악성코드의 네트워크 행위 패턴을 추출하여 DNA 서열 유사도를 비교하여 활용하는 유사 시퀀스 정렬 알고리즘을 적용하여 악성코드를 분류하는 기법을 제안한다. 제안한 기법을 실제 네트워크에서 수집된 악성코드 샘플 766개에 적용하여 유사도를 비교한 결과 40.4%의 정확도를 얻었다. 이는 코드나 다른 특성을 배제하고 악성코드의 네트워크 행위만으로 분류했다는 점을 미루어 볼 때 앞으로 더 발전 가능성이 있을 것으로 기대된다. 또한 이를 통해 공격그룹을 예측하거나 추가적인 공격을 예방할 수 있다.

• 한국정보과학회:학술대회논문집
• /
• 한국정보과학회 2003년도 봄 학술발표논문집 Vol.30 No.1 (A)
• /
• pp.410-412
• /
• 2003

공격이 다양해짐에 따라 침입탐지 기술기법에 관한 연구도 활발히 진행되고 있으나, 전반적인 연구 흐름에 관한 연구는 부족한 실정이다. 본 논문에서는 침입탐지 분야에서 오랜 기간 연구를 수행하여 대표적인 침입탐지시스템 프레임워크까지 제안한 세 그룹(SRI, UC Davis, Purdue)에서의 연구 내용을 분석했다. 그 결과 ‘The First IDS’. ‘Multi Target IDS’, ‘IDS Framework’, ‘IDS Framework Component and Application’의 4단계로 분류했으며, 이에 대한 각 그룹의 세부적인 연구 내용을 기술하고 각 기법들간의 발전 원인 및 전체적인 연구 방향을 살펴보고자 한다.