14MS2300, 다중소스 데이터의 Long-term History 분석기반 사이버 표적공격 인지 및 추적기술 개발,
김익균
초록
3.20 사이버 테러 등 APT 공격이 사회적, 경제적으로 막대한 피해를 초래함에 따라 APT 공격을 방어하기 위한 기술적인 대책이 절실히 요구되고 있으나, 시그너쳐에 기반한 보안 장비로는 대응하는데 한계가 있다. 이에 본 논문에서는 기존 시그너쳐 기반 침입탐지 시스템의 한계를 극복하기 위해서 호스트 PC에서 발생하는 행위정보를 기반으로 악성코드를 탐지하는 방법을 제안한다. 먼저, 악성코드와 정상 실행파일을 구분하기 위한 39개의 특성인자를 정의하고, 악성코드 및 정상 실행파일이 실행되는 동안 발생하는 870만 개의 특성인자 데이터를 수집하였다. 또한, 수집된 데이터에대해 각 특성인자의 발생빈도를 프로세스 ID 별로 재구성하여 실행파일이 호스트에서 실행되는 동안의 행위정보를 83차원의 벡터로 표현하였다. 특히, 자식 프로세스에서 발생하는 특성인자 이벤트의 발생빈도를 포함함으로써 보다 정확한 행위정보의 표현이 가능하였다. C4.5 결정트리 방법을 적용하여 악성코드와 정상파일을 분류한 결과 각각 2.0%의오탐률과 5.8%의 미탐률을 보였다.
저작권정책 안내문
한국전자동신연구원 지식공유플랫폼 저작권정책
한국전자통신연구원 지식공유플랫폼에서 제공하는 모든 저작물(각종 연구과제, 성과물 등)은 저작권법에 의하여 보호받는 저작물로 무단복제 및 배포를 원칙적으로 금하고 있습니다. 저작물을 이용 또는 변경하고자 할 때는 다음 사항을 참고하시기 바랍니다.
저작권법 제24조의2에 따라 한국전자통신연구원에서 저작재산권의 전부를 보유한 저작물의 경우에는 별도의 이용허락 없이 자유이용이 가능합니다. 단, 자유이용이 가능한 자료는 "공공저작물 자유이용허락 표시 기준(공공누리, KOGL) 제4유형"을 부착하여 개방하고 있으므로 공공누리 표시가 부착된 저작물인지를 확인한 이후에 자유이용하시기 바랍니다. 자유이용의 경우에는 반드시 저작물의 출처를 구체적으로 표시하여야 하고 비영리 목적으로만 이용이 가능하며 저작물을 변형하거나 2차 저작물로 사용할 수 없습니다.
<출처표시방법 안내> 작성자, 저작물명, 출처, 권호, 출판년도, 이용조건 [예시1] 김진미 외, "매니코어 기반 고성능 컴퓨팅을 지원하는 경량커널 동향", 전자통신동향분석, 32권 4호, 2017, 공공누리 제4유형 [예시2] 심진보 외, "제4차 산업 혁명과 ICT - 제4차 산업 혁명 선도를 위한 IDX 추진 전략", ETRI Insight, 2017, 공공누리 제 4유형
공공누리가 부착되지 않은 자료들을 사용하고자 할 경우에는 담당자와 사전협의한 이후에 이용하여 주시기 바랍니다.