X

인공지능 기반 침해사고 공격 분석 방안

I. 악성코드 사전차단 한계 및 인공지능 기반 차단 필요성

차단 한계 인공지능 기반 필요성
– 네트워크성능상 실시간한계
– SSL등 암호화 탐지 불가능
– 제로데이 공격에 취약
– 시그니처 기술은 신종/변종 악성코드에 무력화
– 변종 악성 행위 탐지
– 모바일 엔드포인트 분석
– 보안담당자 분석 결과 보강
– 보안 반복 작업 자동화
– 제로데이 취약점 제거
  • 시그니처, 휴리스틱, 샌드박스, 평판조회 기반 기존 분석 대비 신종/변종 악성코드 탐지 가능

 

II. 인공지능 기반 악성코드 대응 현황 및 보안기술 진화

가. 인공지능 기반 악성코드 대응 현황

대응 현황 설명
악성코드 탐지
Brute-force 차단
– 악성코드, 피싱공격 발견
– 무차별 대입 공격 차단에 사용
IP주소, 위치데이터
콘텐츠 스캔
– 해커 역추적, Source IP, Proxy 정보
– 이메일 및 코드 내 변수 스캔

나. 인공지능 기반 엔드포인트 보안기술 진화

안티바이러스 → 호스트 기반 침입방지 시스템(HIPS) → Anti-Exploitation → Sandbox → EDR → AI기반 SIEM
  • 인공지능 기반 위협의 수준을 정량화 가능
  • Stealth 엔진 기반 보안 모듈 탐지불가, 무력화 방지

III. 인공지능 기반 침해사고 방지 기술

구분 방지 기술 설명
AI기반
침해사고
사전차단
– 프로세스 패턴 탐지 – 라이브러리 로딩 시 파일검사
– 프로세스 모델링, 분류, 회귀
– 악성행동 분류 – 이상행동 악성여부 검사, 판단
– KNN, SVM, 베이지안 네트워크
메모리
실시간
판단/제어
– 익스플로잇 자동 차단 – 코드 덮어쓰기, 랜 스크래핑
– 자체 판단기반 차단 수행
– 코드인젝션 실시간 방지 – 메모리 원격 할당, 매핑 차단
– 실시간 오버플로우 사전 차단
스크립트
실시간
분석/탐지
– Active Script 공격 분석 – 악성 PowerShell 스크립트 분석
– 가상 실행 결과 악성여부 도출
– VBA매크로 공격 탐지 – File-Less기반 공격탐지/차단
– Office문서 내 스크립트 분석
APP 및
디바이스
자동제어
– 지능형 앱 리스트관리 – 실행가능한 APP 리스트 관리
– APP 행위 시계열 분석
– 저장장치 자동 통제 – Driver 수준 DMA Data 추적
– Cycle Stealing Word단위 분석
신종/변종
악성코드
탐지/차단
– 신종 악성드 탐지 – 행위기반 모델링/패턴화 수행
– 정상/악성행위 벡터 거리 측정
– 변종 악성 코드 차단 – 기존 시그니처 분석, 전이학습
– Fine Tuning기반 유사 코드 차단
  • 악성행위를 탐지하는 인공지능의 성능 분석 시 Confusion Matrix의 Precision, Recall 기반 분석 필요
  • 악성코드 속성, 웹 도메인, 프로세스 행동 분석, IP주소, 디지털 서명 등 다양한 연관분석 정보를 바탕으로 학습을 수행하는 다차원 머신러닝 기술을 사용

 

IV. 인공지능 기반 침해사고 공격 분석 연구 내용

연구 내용 설명
기계학습 알고리즘
조사 및 분석
– 다양한 분야활용 기계학습 조사, 분석
– 인공지능, 데이터 마이닝 포함
지능형 정보보호
연구 조사, 분석
– 정보보호 분야 기계학습 조사, 분석
– 인공지능 데이터 마이닝 포함
Cyber Siren Data
Set 분석
– 데이터 특징, 유형, 구조, 통계 분석
– 분석 목적 선정, 모델 선정 방안 연구
인공지능 기반
데이터 분석 모델
– 데이터 분석에 사용 알고리즘 제안
– 실제 Cyber Siren 데이터 셋 활용제안
시계열 예측 기반
침해사고 분석모델
– 시계열 예측 위한 특징 추출, 양자화
– 실제 데이터 셋 활용 분석 방안 제시

 

V. 인공지능 기반 침해사고 분석 방안

구분 분석 방안 설명
자료 구조 및
전처리 방안
시나리오 및 유형 정의 – 침해사고 보고서 분석 통한 공격 시나리오 및 침해사고 유형 정의
수집 및 데이터셋 구성 – 악성 정보 데이터를 정해진 기간 동안 수집 및 데이터 셋 구성
전역 변수 특징 선정 – 정확도 제고를 위해 수집 데이터 셋에서 전역 변수 특징을 선정
그래프 모델 생성 – 그래프 모델 생성 및 침해사고 유형 분류 알고리즘 연구
시계열 분석
연구 방안
시계열 특징 추출 – 침해사고 그룹 악성 행동 분석 위한 특징 및 시계열 특징 추출
양자화 알고리즘 연구 – 시계열 특징들 수치 적 표현 위한양자화 알고리즘 연구
악성 행동 추적 분석 – 타임 윈도우 기반 침해사고 시계열 악성 행동 추적분석 알고리즘
위험도 예측 모델 – 침해사고 그룹 분석 기반 보안 침해사고 위험도 예측 모델

 

VI. 기대 효과

  • 어느 시점(기간, 날짜, 현재 등)에서 수집된 데이터에 대한 판단은 분류 모델을 적용 수행
  • 이후 발생될 위험도 예보는 확률적 예측이 가능한 베이지안 등 알고리즘 확률 모델을 활용하여 판단
  • 판단-예측을 분리해서 프레임워크 구성 예측 모델을 연구한다면 침해 사고 예측, 위험도 분석 모델 구축 가능

[링크] 인공지능기반의 침해사고 공격분석 방안 연구(KISA)

Categories: 보안
도리: