[학위논문]악성코드 메타정보 AI 프로파일링 기술에 관한 연구 : 위협헌팅 모델 기반 공격기법 역추적을 중심으로 A Study on AI Profiling Technology for Malicious Code Meta Information : Focusing on the backtracking of attack techniques based on threat hunting models원문보기
전 세계적인 코로나19의 유행으로 비대면 사회로의 변화가 가속화되면서 재택근무, 온라인 교육 등 다양한 분야에서 비대면 기반의 서비스가 확대되고 있고 이러한 서비스의 취약점을 이용하여 기반 인프라에 대한 공격하기 위해 사이버 위협은 더욱 지능화⦁고도화되고 있다. 이러한 보안 위협을 식별하고 탐지하기 위하여 정적, 동적, 상세 분석을 통해 추출된 정보를 지표로 ...
전 세계적인 코로나19의 유행으로 비대면 사회로의 변화가 가속화되면서 재택근무, 온라인 교육 등 다양한 분야에서 비대면 기반의 서비스가 확대되고 있고 이러한 서비스의 취약점을 이용하여 기반 인프라에 대한 공격하기 위해 사이버 위협은 더욱 지능화⦁고도화되고 있다. 이러한 보안 위협을 식별하고 탐지하기 위하여 정적, 동적, 상세 분석을 통해 추출된 정보를 지표로 침해사고에 대한 프로파일링하고 이를 통해 탐지하는 기법과 제로데이 공격에 대응하기 위해 인공지능 기반의 악성코드 탐지 기술에 대한 연구가 활발하게 진행되고 있다. 기존의 악성코드 탐지시스템에서 사용하고 있는 시그니처 기반의 탐지 기법은 신종 및 변종 악성코드에 대한 탐지에 한계가 있어 제로데이 공격에 대한 대응에 한계가 발생한다는 문제점을 가지고 있으며, 휴리스틱 방식은 탐지 속도가 느리고 오탐의 가능성이 크다는 단점을 가지고 있고 프로파일링 기법의 경우 악성코드 행위 분석에 많은 시간이 소요된다는 단점을 가지고 있다. 이러한 문제를 해결하기 위해 인공지능 기술을 적용한 악성코드 탐지 기술에 대한 연구가 활발하게 진행되고 있으나 이를 회피하는 방법에 대한 연구도 같이 이루어지고 있어, 더 정확한 특징을 추출 및 인공지능 학습 모델을 개발하고 이를 통해 신 변종 악성코드의 탐지를 할 수 있는 기술의 개발이 필요하다. 본 연구는 바이너리 역공학을 통해 추출한 OP-Code와 ASM-Code을 위협 헌팅 모델에 기반하여 조합한 특징 벡터를 생성하고 이를 벡터화시킨 데이터의 학습 모델의 개발을 통해 악성 여부 및 공격 기법을 탐지하고 이를 기반으로 공격자를 역추적하기 위한 프로라일링 정보를 자동으로 생성할 수 있는 인공지능 기반 악성코드 탐지 기술을 개발한다. 또한 기존 패턴 및 인공지능 기반의 악성코드 탐지 프로그램의 한계였던 탐지된 악성코드에 대한 설명 불가능성을 극복하기 위해 TTP (Tactics, Techniques, Procedures) 적용을 통해 악성코드가 어떻게 구성되고 어떤 피해를 주는지에 대한 설명 기능을 제공한다. 본 연구를 통해 악성코드의 수집, 분석하고 프로파일링 된 정보를 기반으로 공격자 그룹을 특정할 수 있게 됨으로써 코드 이면에 숨겨진 사이버 공격 의도나 정치, 경제적 이해관계를 파악하고, 이를 통해 TTP 기반으로 공격자를 식별하고, 식별된 공격 기법을 기반으로 새로운 공격 기법을 예측하여 미래에 발생할 수 있는 보안 위협에 선재적 대응을 악성 여부을 조기 탐지할 수 있어 기업/기관 내 취약한 부분을 지속적으로 관리, 보강해 나갈 수 있어 기업이나 기관의 장기적 관점의 Risk Management가 가능할 것으로 예상된다.
전 세계적인 코로나19의 유행으로 비대면 사회로의 변화가 가속화되면서 재택근무, 온라인 교육 등 다양한 분야에서 비대면 기반의 서비스가 확대되고 있고 이러한 서비스의 취약점을 이용하여 기반 인프라에 대한 공격하기 위해 사이버 위협은 더욱 지능화⦁고도화되고 있다. 이러한 보안 위협을 식별하고 탐지하기 위하여 정적, 동적, 상세 분석을 통해 추출된 정보를 지표로 침해사고에 대한 프로파일링하고 이를 통해 탐지하는 기법과 제로데이 공격에 대응하기 위해 인공지능 기반의 악성코드 탐지 기술에 대한 연구가 활발하게 진행되고 있다. 기존의 악성코드 탐지시스템에서 사용하고 있는 시그니처 기반의 탐지 기법은 신종 및 변종 악성코드에 대한 탐지에 한계가 있어 제로데이 공격에 대한 대응에 한계가 발생한다는 문제점을 가지고 있으며, 휴리스틱 방식은 탐지 속도가 느리고 오탐의 가능성이 크다는 단점을 가지고 있고 프로파일링 기법의 경우 악성코드 행위 분석에 많은 시간이 소요된다는 단점을 가지고 있다. 이러한 문제를 해결하기 위해 인공지능 기술을 적용한 악성코드 탐지 기술에 대한 연구가 활발하게 진행되고 있으나 이를 회피하는 방법에 대한 연구도 같이 이루어지고 있어, 더 정확한 특징을 추출 및 인공지능 학습 모델을 개발하고 이를 통해 신 변종 악성코드의 탐지를 할 수 있는 기술의 개발이 필요하다. 본 연구는 바이너리 역공학을 통해 추출한 OP-Code와 ASM-Code을 위협 헌팅 모델에 기반하여 조합한 특징 벡터를 생성하고 이를 벡터화시킨 데이터의 학습 모델의 개발을 통해 악성 여부 및 공격 기법을 탐지하고 이를 기반으로 공격자를 역추적하기 위한 프로라일링 정보를 자동으로 생성할 수 있는 인공지능 기반 악성코드 탐지 기술을 개발한다. 또한 기존 패턴 및 인공지능 기반의 악성코드 탐지 프로그램의 한계였던 탐지된 악성코드에 대한 설명 불가능성을 극복하기 위해 TTP (Tactics, Techniques, Procedures) 적용을 통해 악성코드가 어떻게 구성되고 어떤 피해를 주는지에 대한 설명 기능을 제공한다. 본 연구를 통해 악성코드의 수집, 분석하고 프로파일링 된 정보를 기반으로 공격자 그룹을 특정할 수 있게 됨으로써 코드 이면에 숨겨진 사이버 공격 의도나 정치, 경제적 이해관계를 파악하고, 이를 통해 TTP 기반으로 공격자를 식별하고, 식별된 공격 기법을 기반으로 새로운 공격 기법을 예측하여 미래에 발생할 수 있는 보안 위협에 선재적 대응을 악성 여부을 조기 탐지할 수 있어 기업/기관 내 취약한 부분을 지속적으로 관리, 보강해 나갈 수 있어 기업이나 기관의 장기적 관점의 Risk Management가 가능할 것으로 예상된다.
As the pandemic of COVID-19 accelerates the change to a non-face-to-face society, non-face-to-face services such as telecommuting and online education are expanding, and when everyone and devices are connected to the network due to the expansion of IoT, vulnerability factors are increasing. Cyber at...
As the pandemic of COVID-19 accelerates the change to a non-face-to-face society, non-face-to-face services such as telecommuting and online education are expanding, and when everyone and devices are connected to the network due to the expansion of IoT, vulnerability factors are increasing. Cyber attacks are becoming more intelligent and advanced to attack infrastructure using these vulnerable factors. In order to identify and detect these security threats, research on technology to profile and detect information extracted through static, dynamic, and detailed analysis as indicators and artificial intelligence malware detection technology to respond to zero-day attacks is actively underway. Signature-based detection techniques used in existing malicious code detection systems have a problem that limitations arise in detecting new and variant malicious codes and responding to zero-day attacks. Heuristic methods have disadvantages of slow detection and high possibility of false detection, and profiling techniques have the disadvantage of taking a lot of time to analyze malicious code behavior. In order to solve this problem, research on malicious code detection technology using artificial intelligence technology is being actively conducted, but research on technology to avoid it is also being conducted. To overcome these avoidance technologies, technologies that can detect and explain new and variant malicious codes are needed through the development of more accurate features and learning models. This study combines the OP-Code and ASM-Code extracted through binary reverse engineering to create a feature vector by combining it with a threat hunting model. Through this, we develop an artificial intelligence-based malware detection and tracking technology that can automatically generate profiling information that can trace back an attacker. In addition, in order to overcome the impossibility of explaining the detected malicious code, which was a limitation of the existing pattern and artificial intelligence-based malware detection programs, Provides a description function on how the malicious code is structured and what kind of damage it causes through the application of TTP(Tactics, Techniques, Procedures) Through this study, it is possible to collect and analyze malicious code and identify an attacker group based on the profiled information, thereby identifying the cyber attack intent or political and economic interests hidden behind the code. By identifying and predicting new attack techniques based on the identified attack techniques, it is possible to proactively respond to security threats that may occur in the future and detect whether malicious or not, continuously manage and reinforce weak areas within the company/organization. Therefore, it is expected that risk management from a long-term perspective of a company or institution will be possible.
As the pandemic of COVID-19 accelerates the change to a non-face-to-face society, non-face-to-face services such as telecommuting and online education are expanding, and when everyone and devices are connected to the network due to the expansion of IoT, vulnerability factors are increasing. Cyber attacks are becoming more intelligent and advanced to attack infrastructure using these vulnerable factors. In order to identify and detect these security threats, research on technology to profile and detect information extracted through static, dynamic, and detailed analysis as indicators and artificial intelligence malware detection technology to respond to zero-day attacks is actively underway. Signature-based detection techniques used in existing malicious code detection systems have a problem that limitations arise in detecting new and variant malicious codes and responding to zero-day attacks. Heuristic methods have disadvantages of slow detection and high possibility of false detection, and profiling techniques have the disadvantage of taking a lot of time to analyze malicious code behavior. In order to solve this problem, research on malicious code detection technology using artificial intelligence technology is being actively conducted, but research on technology to avoid it is also being conducted. To overcome these avoidance technologies, technologies that can detect and explain new and variant malicious codes are needed through the development of more accurate features and learning models. This study combines the OP-Code and ASM-Code extracted through binary reverse engineering to create a feature vector by combining it with a threat hunting model. Through this, we develop an artificial intelligence-based malware detection and tracking technology that can automatically generate profiling information that can trace back an attacker. In addition, in order to overcome the impossibility of explaining the detected malicious code, which was a limitation of the existing pattern and artificial intelligence-based malware detection programs, Provides a description function on how the malicious code is structured and what kind of damage it causes through the application of TTP(Tactics, Techniques, Procedures) Through this study, it is possible to collect and analyze malicious code and identify an attacker group based on the profiled information, thereby identifying the cyber attack intent or political and economic interests hidden behind the code. By identifying and predicting new attack techniques based on the identified attack techniques, it is possible to proactively respond to security threats that may occur in the future and detect whether malicious or not, continuously manage and reinforce weak areas within the company/organization. Therefore, it is expected that risk management from a long-term perspective of a company or institution will be possible.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.