인공지능 기반 침해사고 공격 분석 방안

I. 악성코드 사전차단 한계 및 인공지능 기반 차단 필요성

차단 한계인공지능 기반 필요성
– 네트워크성능상 실시간한계
– SSL등 암호화 탐지 불가능
– 제로데이 공격에 취약
– 시그니처 기술은 신종/변종 악성코드에 무력화
– 변종 악성 행위 탐지
– 모바일 엔드포인트 분석
– 보안담당자 분석 결과 보강
– 보안 반복 작업 자동화
– 제로데이 취약점 제거
  • 시그니처, 휴리스틱, 샌드박스, 평판조회 기반 기존 분석 대비 신종/변종 악성코드 탐지 가능

 

II. 인공지능 기반 악성코드 대응 현황 및 보안기술 진화

가. 인공지능 기반 악성코드 대응 현황

대응 현황설명
악성코드 탐지
Brute-force 차단
– 악성코드, 피싱공격 발견
– 무차별 대입 공격 차단에 사용
IP주소, 위치데이터
콘텐츠 스캔
– 해커 역추적, Source IP, Proxy 정보
– 이메일 및 코드 내 변수 스캔

나. 인공지능 기반 엔드포인트 보안기술 진화

안티바이러스 → 호스트 기반 침입방지 시스템(HIPS) → Anti-Exploitation → Sandbox → EDR → AI기반 SIEM
  • 인공지능 기반 위협의 수준을 정량화 가능
  • Stealth 엔진 기반 보안 모듈 탐지불가, 무력화 방지

 

III. 인공지능 기반 침해사고 방지 기술

구분방지 기술설명
AI기반
침해사고
사전차단
– 프로세스 패턴 탐지– 라이브러리 로딩 시 파일검사
– 프로세스 모델링, 분류, 회귀
– 악성행동 분류– 이상행동 악성여부 검사, 판단
– KNN, SVM, 베이지안 네트워크
메모리
실시간
판단/제어
– 익스플로잇 자동 차단– 코드 덮어쓰기, 랜 스크래핑
– 자체 판단기반 차단 수행
– 코드인젝션 실시간 방지– 메모리 원격 할당, 매핑 차단
– 실시간 오버플로우 사전 차단
스크립트
실시간
분석/탐지
– Active Script 공격 분석– 악성 PowerShell 스크립트 분석
– 가상 실행 결과 악성여부 도출
– VBA매크로 공격 탐지– File-Less기반 공격탐지/차단
– Office문서 내 스크립트 분석
APP 및
디바이스
자동제어
– 지능형 앱 리스트관리– 실행가능한 APP 리스트 관리
– APP 행위 시계열 분석
– 저장장치 자동 통제– Driver 수준 DMA Data 추적
– Cycle Stealing Word단위 분석
신종/변종
악성코드
탐지/차단
– 신종 악성드 탐지– 행위기반 모델링/패턴화 수행
– 정상/악성행위 벡터 거리 측정
– 변종 악성 코드 차단– 기존 시그니처 분석, 전이학습
– Fine Tuning기반 유사 코드 차단
  • 악성행위를 탐지하는 인공지능의 성능 분석 시 Confusion Matrix의 Precision, Recall 기반 분석 필요
  • 악성코드 속성, 웹 도메인, 프로세스 행동 분석, IP주소, 디지털 서명 등 다양한 연관분석 정보를 바탕으로 학습을 수행하는 다차원 머신러닝 기술을 사용

 

IV. 인공지능 기반 침해사고 공격 분석 연구 내용

연구 내용설명
기계학습 알고리즘
조사 및 분석
– 다양한 분야활용 기계학습 조사, 분석
– 인공지능, 데이터 마이닝 포함
지능형 정보보호
연구 조사, 분석
– 정보보호 분야 기계학습 조사, 분석
– 인공지능 데이터 마이닝 포함
Cyber Siren Data
Set 분석
– 데이터 특징, 유형, 구조, 통계 분석
– 분석 목적 선정, 모델 선정 방안 연구
인공지능 기반
데이터 분석 모델
– 데이터 분석에 사용 알고리즘 제안
– 실제 Cyber Siren 데이터 셋 활용제안
시계열 예측 기반
침해사고 분석모델
– 시계열 예측 위한 특징 추출, 양자화
– 실제 데이터 셋 활용 분석 방안 제시

 

V. 인공지능 기반 침해사고 분석 방안

구분분석 방안설명
자료 구조 및
전처리 방안
시나리오 및 유형 정의– 침해사고 보고서 분석 통한 공격 시나리오 및 침해사고 유형 정의
수집 및 데이터셋 구성– 악성 정보 데이터를 정해진 기간 동안 수집 및 데이터 셋 구성
전역 변수 특징 선정– 정확도 제고를 위해 수집 데이터 셋에서 전역 변수 특징을 선정
그래프 모델 생성– 그래프 모델 생성 및 침해사고 유형 분류 알고리즘 연구
시계열 분석
연구 방안
시계열 특징 추출– 침해사고 그룹 악성 행동 분석 위한 특징 및 시계열 특징 추출
양자화 알고리즘 연구– 시계열 특징들 수치 적 표현 위한양자화 알고리즘 연구
악성 행동 추적 분석– 타임 윈도우 기반 침해사고 시계열 악성 행동 추적분석 알고리즘
위험도 예측 모델– 침해사고 그룹 분석 기반 보안 침해사고 위험도 예측 모델

 

VI. 기대 효과

  • 어느 시점(기간, 날짜, 현재 등)에서 수집된 데이터에 대한 판단은 분류 모델을 적용 수행
  • 이후 발생될 위험도 예보는 확률적 예측이 가능한 베이지안 등 알고리즘 확률 모델을 활용하여 판단
  • 판단-예측을 분리해서 프레임워크 구성 예측 모델을 연구한다면 침해 사고 예측, 위험도 분석 모델 구축 가능

[링크] 인공지능기반의 침해사고 공격분석 방안 연구(KISA)

콘텐츠 사용 시 출처 표기 부탁 드리고, 궁금한 점이나 의견은 댓글 남겨주세요^^