I. 악성코드 사전차단 한계 및 인공지능 기반 차단 필요성
| 차단 한계 | 인공지능 기반 필요성 |
|---|---|
| – 네트워크성능상 실시간한계 – SSL등 암호화 탐지 불가능 – 제로데이 공격에 취약 – 시그니처 기술은 신종/변종 악성코드에 무력화 | – 변종 악성 행위 탐지 – 모바일 엔드포인트 분석 – 보안담당자 분석 결과 보강 – 보안 반복 작업 자동화 – 제로데이 취약점 제거 |
- 시그니처, 휴리스틱, 샌드박스, 평판조회 기반 기존 분석 대비 신종/변종 악성코드 탐지 가능
II. 인공지능 기반 악성코드 대응 현황 및 보안기술 진화
가. 인공지능 기반 악성코드 대응 현황
| 대응 현황 | 설명 |
|---|---|
| 악성코드 탐지 Brute-force 차단 | – 악성코드, 피싱공격 발견 – 무차별 대입 공격 차단에 사용 |
| IP주소, 위치데이터 콘텐츠 스캔 | – 해커 역추적, Source IP, Proxy 정보 – 이메일 및 코드 내 변수 스캔 |
나. 인공지능 기반 엔드포인트 보안기술 진화
| 안티바이러스 → 호스트 기반 침입방지 시스템(HIPS) → Anti-Exploitation → Sandbox → EDR → AI기반 SIEM |
- 인공지능 기반 위협의 수준을 정량화 가능
- Stealth 엔진 기반 보안 모듈 탐지불가, 무력화 방지
III. 인공지능 기반 침해사고 방지 기술
| 구분 | 방지 기술 | 설명 |
|---|---|---|
| AI기반 침해사고 사전차단 | – 프로세스 패턴 탐지 | – 라이브러리 로딩 시 파일검사 – 프로세스 모델링, 분류, 회귀 |
| – 악성행동 분류 | – 이상행동 악성여부 검사, 판단 – KNN, SVM, 베이지안 네트워크 | |
| 메모리 실시간 판단/제어 | – 익스플로잇 자동 차단 | – 코드 덮어쓰기, 랜 스크래핑 – 자체 판단기반 차단 수행 |
| – 코드인젝션 실시간 방지 | – 메모리 원격 할당, 매핑 차단 – 실시간 오버플로우 사전 차단 | |
| 스크립트 실시간 분석/탐지 | – Active Script 공격 분석 | – 악성 PowerShell 스크립트 분석 – 가상 실행 결과 악성여부 도출 |
| – VBA매크로 공격 탐지 | – File-Less기반 공격탐지/차단 – Office문서 내 스크립트 분석 | |
| APP 및 디바이스 자동제어 | – 지능형 앱 리스트관리 | – 실행가능한 APP 리스트 관리 – APP 행위 시계열 분석 |
| – 저장장치 자동 통제 | – Driver 수준 DMA Data 추적 – Cycle Stealing Word단위 분석 | |
| 신종/변종 악성코드 탐지/차단 | – 신종 악성드 탐지 | – 행위기반 모델링/패턴화 수행 – 정상/악성행위 벡터 거리 측정 |
| – 변종 악성 코드 차단 | – 기존 시그니처 분석, 전이학습 – Fine Tuning기반 유사 코드 차단 |
- 악성행위를 탐지하는 인공지능의 성능 분석 시 Confusion Matrix의 Precision, Recall 기반 분석 필요
- 악성코드 속성, 웹 도메인, 프로세스 행동 분석, IP주소, 디지털 서명 등 다양한 연관분석 정보를 바탕으로 학습을 수행하는 다차원 머신러닝 기술을 사용
IV. 인공지능 기반 침해사고 공격 분석 연구 내용
| 연구 내용 | 설명 |
|---|---|
| 기계학습 알고리즘 조사 및 분석 | – 다양한 분야활용 기계학습 조사, 분석 – 인공지능, 데이터 마이닝 포함 |
| 지능형 정보보호 연구 조사, 분석 | – 정보보호 분야 기계학습 조사, 분석 – 인공지능 데이터 마이닝 포함 |
| Cyber Siren Data Set 분석 | – 데이터 특징, 유형, 구조, 통계 분석 – 분석 목적 선정, 모델 선정 방안 연구 |
| 인공지능 기반 데이터 분석 모델 | – 데이터 분석에 사용 알고리즘 제안 – 실제 Cyber Siren 데이터 셋 활용제안 |
| 시계열 예측 기반 침해사고 분석모델 | – 시계열 예측 위한 특징 추출, 양자화 – 실제 데이터 셋 활용 분석 방안 제시 |
V. 인공지능 기반 침해사고 분석 방안
| 구분 | 분석 방안 | 설명 |
|---|---|---|
| 자료 구조 및 전처리 방안 | 시나리오 및 유형 정의 | – 침해사고 보고서 분석 통한 공격 시나리오 및 침해사고 유형 정의 |
| 수집 및 데이터셋 구성 | – 악성 정보 데이터를 정해진 기간 동안 수집 및 데이터 셋 구성 | |
| 전역 변수 특징 선정 | – 정확도 제고를 위해 수집 데이터 셋에서 전역 변수 특징을 선정 | |
| 그래프 모델 생성 | – 그래프 모델 생성 및 침해사고 유형 분류 알고리즘 연구 | |
| 시계열 분석 연구 방안 | 시계열 특징 추출 | – 침해사고 그룹 악성 행동 분석 위한 특징 및 시계열 특징 추출 |
| 양자화 알고리즘 연구 | – 시계열 특징들 수치 적 표현 위한양자화 알고리즘 연구 | |
| 악성 행동 추적 분석 | – 타임 윈도우 기반 침해사고 시계열 악성 행동 추적분석 알고리즘 | |
| 위험도 예측 모델 | – 침해사고 그룹 분석 기반 보안 침해사고 위험도 예측 모델 |
VI. 기대 효과
- 어느 시점(기간, 날짜, 현재 등)에서 수집된 데이터에 대한 판단은 분류 모델을 적용 수행
- 이후 발생될 위험도 예보는 확률적 예측이 가능한 베이지안 등 알고리즘 확률 모델을 활용하여 판단
- 판단-예측을 분리해서 프레임워크 구성 예측 모델을 연구한다면 침해 사고 예측, 위험도 분석 모델 구축 가능