• Proceedings of the Korea Information Processing Society Conference
• /
• 2002.11b
• /
• pp.965-968
• /
• 2002

침입탐지 시스템은 전산시스템을 보호하는 대표적인 수단으로, 오용탐지와 비정상행위탐지 방법으로 나눌 수 있는데, 다양화되는 침입에 대응하기 위해 비정상행위 탐지기법이 활발히 연구되고 있다. 비 정상행위기반 침임탐지 시스템에서는 정상행위 구축 방법에 따라 다양한 침입탐지율과 오류율을 보인다. 본 논문에서는 비정상행위기반 침입탐지시스템을 구축하였는데, 사용되는 대표적인 기계학습 방법인 동등 매칭(Equality Matching), 다층 퍼셉트론(Multi-Layer Perceptron), 은닉마르코프 모델(Hidden Markov Model)을 구현하고 그 성능을 비교하여 보았다. 실험결과 다층 퍼셉트론과 은닉마르코프모델이 높은 침입 탐지율과 낮은 false-positive 오류율을 내어 정상행위로 사용되는 시스템감사 데이터에 대한 정보의 특성을 잘 반영하여 모델링한다는 것을 알 수 있었다.

• Journal of the Korea Society of Computer and Information
• /
• v.19 no.1
• /
• pp.85-94
• /
• 2014

This paper studied the detection technique using file DNA-based behavior pattern analysis in order to minimize damage to user system by malicious programs before signature or security patch is released. The file DNA-based detection technique was applied to defend against zero day attack and to minimize false detection, by remedying weaknesses of the conventional network-based packet detection technique and process-based detection technique. For the file DNA-based detection technique, abnormal behaviors of malware were splitted into network-related behaviors and process-related behaviors. This technique was employed to check and block crucial behaviors of process and network behaviors operating in user system, according to the fixed conditions, to analyze the similarity of behavior patterns of malware, based on the file DNA which process behaviors and network behaviors are mixed, and to deal with it rapidly through hazard warning and cut-off.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2012.04a
• /
• pp.770-773
• /
• 2012

특정 기업 및 국가를 대상으로 하는 APT(Advanced Persistent Threat)공격의 경우 특정 시스템을 겨냥하여 제작되기 때문에 기존의 시그니처 기반의 악성코드 탐지 방식으로는 해당 악성코드를 탐지할 수 없다. 따라서 알려지지 않은 악성코드를 탐지할 수 있는 행위 기반의 악성코드 탐지 방식이 최근 이슈화되었다. 본 논문에서는 연구되고 있는 행위 분석 기반의 악성코드 탐지 방식들을 분석함으로써 향후 행위 기반 악성코드 탐지 기술 개발 및 연구에 기여하고자 한다.

• Review of KIISC
• /
• v.29 no.2
• /
• pp.29-35
• /
• 2019

CPS(Cyber Physical System)에 대한 사이버 공격이 다양해지고 고도화됨에 따라 시그니쳐에 기반한 악성행위 탐지는 한계가 있어 기계학습 기반의 정상행위 학습을 통한 비정상행위 탐지 기법이 많이 연구되고 있다. 그러나 CPS 보안 연구는 보안상의 이유로 CPS 데이터가 주로 외부에 공개되지 않으며 또한 실제 비정상행위를 가동 중인 CPS에 실험하는 것이 불가능하여 개발 기법의 검증이 어려운 문제가 있다. 이를 해결하기 위해 2015년 SUTD(Singapore University of Technology and Design)의 iTrust 연구소에서 SWaT(Secure Water Treatment) 테스트베드를 구성하고 36가지의 공격을 수행한 데이터셋을 공개하였다. 이후 국 내외에서 SWaT 테스트베드 데이터를 사용하여 다양한 보안 기법을 검증한 연구결과가 발표되고 있으며 CPS 보안에 기여하고 있다. 따라서 본 논문에서는 SWaT 테스트베드 데이터 및 SWaT 테스트베드 데이터에 기반한 비정상행위 탐지 연구를 분석한 내용을 설명하고, 이를 통해 CPS 비정상행위 탐지 설계의 주요 요소를 분석하여 제시하고자 한다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2002.11b
• /
• pp.869-872
• /
• 2002

네트워크 기반 침입탐지시스템은 연속적으로 발생하는 패킷의 무손실 축소와, 패킷으로 정상 또는 비정상 행위패턴을 정확히 모델링한 모델 생성이 전체성능을 판단하는 중요한 요소가 된다. 네트워크 기반 비정상행위 판정 침입탐지시스템에서는 이러한 탐지모델 구축을 위해 주로 감독학습 알고리즘을 사용한다. 본 논문은 탐지모델 구축에 사용하는 감독 학습 방식이 가지는 문제점을 지적하고, 그에 대한 대안으로 비감독 학습방식의 학습알고리즘을 제안한다. 감독 학습을 사용하여 탐지모델을 구축하기 위해서는 정상행위의 패킷을 취합해야 하는 사전 부담이 있는 반면에 비감독 학습을 사용하게 되면 이러한 사전작업 없이 탐지모델을 구축할 수 있다. 본 논문에서는 비감독학습 알고리즘을 비교 분석하기 위해서 COBWEB, k-means, Autoclass 알고리즘을 사용했으며, 성능을 평가하기 위해서 비정상행위도(Abnormal Behavior Level)를 계산하여 에러율을 구하였다.

• The KIPS Transactions:PartC
• /
• v.10C no.4
• /
• pp.397-404
• /
• 2003

Intrusion detection techniques based on program behavior can detect potential intrusions against systems by analyzing system calls made by demon programs or root-privileged programs and building program profiles. But there is a drawback : large profiles must be built for each program. In this paper, we apply $X^2$ distance-based multivariate analysis to profiling program behavior and detecting abnormal behavior in order to reduce profiles. Experiment results show that profiles are relatively small and the detection rate is significant.

• Review of KIISC
• /
• v.29 no.6
• /
• pp.53-58
• /
• 2019

최근 5G 네트워크의 발전으로 사물인터넷의 활용도가 커지며 시장이 급격히 확대되고 있다. 사물인터넷 기기가 급증하면서 이를 대상으로 하는 위협이 크게 늘며 사물인터넷 기기의 보안이 중요시 되고 있다. 그러나 이러한 사물인터넷 기기는 기존의 ICT 장비와는 다르게 리소스가 제한되어 있다. 본 논문에서는 이러한 특성을 갖는 사물인터넷 환경에 적합한 보안기술로 네트워크 학습을 통해 사물인터넷 기기의 이상행위를 탐지하는 경량화된 인공신경망 기술을 제안한다. 기기 별 혹은 사용자 별 네트워크 행위 패턴을 분석하여 특성 연구를 진행하였으며, 사물인터넷 기기의 정상행위를 수집하고 학습데이터로 활용한다. 이러한 학습데이터를 통해 인공신경망 기반의 오토인코더 알고리즘을 활용하여 이상행위 탐지 모델을 구축하였으며, 파라미터 튜닝을 통해 모델 사이즈, 학습 시간, 복잡도 등을 경량화 하였다. 본 논문에서 제안하는 탐지 모델은 신경망 프루닝 및 양자화를 통해 경량화된 오토인코더 기반 인공신경망을 학습하였으며, 정상 행위 패턴을 벗어나는 이상행위를 식별할 수 있었다. 본 논문은 1. 서론을 통해 현재 사물인터넷 환경과 보안 기술 연구 동향을 소개하고 2. 관련 연구를 통하여 머신러닝 기술과 이상 탐지 기술에 대해 소개한다. 3. 제안기술에서는 본 논문에서 제안하는 인공신경망 알고리즘 기반의 사물인터넷 이상행위 탐지 기술에 대해 설명하고, 4. 향후연구계획을 통해 추후 활용 방안 및 고도화에 대한 내용을 작성하였다. 마지막으로 5. 결론을 통하여 제안기술의 평가와 소회에 대해 설명하였다.

• Proceedings of the Korean Information Science Society Conference
• /
• 2002.10c
• /
• pp.511-513
• /
• 2002

본 논문은 악성 스크립트를 탐지하는 새로운 방법을 제안한다. 정보검색 기법을 이용하여 정상 스크립트들을 기능별로 구분하여 정상 행위를 정의함으로써, 정상 행위에서 벗어나는 경우에 악성이라고 판정한다. 소스 기반의 빠른 검색이 가능하며, 실시간 모니터링을 통한 비정상 스크립트의 탐지가 가능하다. 또한 새로운 악성 스크립트가 생성되는 경우에도 탐지가 가능하다는 장점을 가지고 있다.

• The KIPS Transactions:PartC
• /
• v.8C no.5
• /
• pp.507-516
• /
• 2001

In this paper, we implement sequence-based anomaly detection sensor using SOM and HMM, and analyze what is important information in system call and how a threshold is decided. The new filtering and reduction rules of SOM reduces the input size of HMM. This gives real-time processing to HMM-based anomaly detection sensor. Also, we introduced an anomaly count into the sensor. Due to lessened sensibility, a user easily understand easily the detection information and false-positive was decreased. And the active coordination of the threshold value makes the detection sensor adapt according to the system condition.

• Smart Media Journal
• /
• v.8 no.4
• /
• pp.25-32
• /
• 2019

While the development of the Internet has made information more accessible, this also has provided a variety of intrusion paths for malicious programs. Traditional Signature-based malware-detectors cannot identify new malware. Although Dynamic Analysis may analyze new malware that the Signature cannot do, it still is inefficient for detecting variants while most of the behaviors are similar. In this paper, we propose a detection method using behavioral similarity with existing malicious codes, assuming that they have parallel patterns. The proposed method is to extract the behavior targets common to variants and detect programs that have similar targets. Here, we verified behavioral similarities between variants through the conducted experiments with 1,000 malicious codes.