Earticle

현재 위치 Home

엔드포인트 환경에서 머신러닝 기반 분석을 위한 악성 Procedure 검증에 대한 연구
A Study on Malicious Procedure Validation for Machine Learning-Based Analysis in Endpoint Environment

첫 페이지 보기
  • 발행기관
    한국차세대컴퓨팅학회 바로가기
  • 간행물
    한국차세대컴퓨팅학회 논문지 KCI 등재 바로가기
  • 통권
    Vol.18 No.4 (2022.08)바로가기
  • 페이지
    pp.35-42
  • 저자
    이진성, 노용환, 강신영, 이호웅
  • 언어
    한국어(KOR)
  • URL
    https://www.earticle.net/Article/A417487

원문정보

초록

영어
Recently, many security solutions use machine learning technology. In the endpoint field, EDR (Endpoint Detection and Response) solutions are applying machine learning-based technology. In addition, recently emerged XDR(eXtended Detection and Response) uses machine learning to analyze information in the network area and endpoint area. These solutions extract the features of malicious procedures and perform machine learning-based analysis, which is based on the MITER ATT&CK framework. However, in order to implement the Techniques specified in the MITER ATT&CK framework as a malicious procedure, there is a difficulty in analyzing and implementing the exploit code and tools. In addition, since there are many things that do not work in the real environment, more resources must be put into the task of refining the learning data, such as verifying whether it works and extracting features. Therefore, in this paper, we analyzed the exploit codes and tools used by major hacking groups, implemented a total of 67 malicious procedures, and confirmed that 46 malicious procedures were operating. Through this, it contributed to minimizing the cost required in the process of extracting and refining TTPs-based machine learning learning data in the endpoint environment.
한국어
최근 머신러닝 기술을 적용한 다양한 보안 솔루션들이 등장하고 있다. 엔드포인트 분야에서는 EDR(Endpoint Detection and Response) 솔루션들이 머신러닝 기반 기술을 적용하고 있으며, 최근 보안 업계에서 화두가 되고 있는 XDR(eXtended Detection and Response)은 네트워크 영역과 엔드포인트 영역의 정보를 연계 분석하는 방법으로 머신러닝을 활용하고 있다. 이러한 솔루션들은 악성 Procedure의 특징을 추출하여 머신러닝 기반의 분석 을 진행하고 있으며, 이는 MITRE ATT&CK 프레임워크에 기반을 두고 있다. 그러나, MITRE ATT&CK 프레임 워크에 명시된 Techniques를 악성 Procedure로 구현하기 위해서는 익스플로잇 코드와 도구를 분석하고 구현해야 하는 어려움이 존재한다. 또한, 실제 환경에서 동작하지 않는 것들도 상당수 존재하고 있기 때문에, 동작 여부를 검 증하고 특징을 추출하는 등 학습 데이터를 정제하는 작업에 더 많은 리소스를 투입해야 하는 상황이다. 이에, 본 논 문에서는 주요 해킹 그룹에서 사용하는 익스플로잇 코드와 도구들을 분석하고 총 67개의 Techniques에 대한 악성 Procedure를 구현하였으며, 이 중 46개의 악성 Procedure가 동작하는 것을 확인하였다. 엔드포인트 환경에서의 악성 Procedure 구현 및 검증을 통해, TTPs 기반 머신러닝 학습 데이터 추출과 정제 과정에서 소요되는 비용을 최소화하는데 기여하였다.

목차

요약
Abstract
1. 서론
2. 관련연구
2.1 엔드포인트 보안 연구
2.2 MITRE ATT&CK 활용 연구
3. 실험 방법
3.1 실험 환경 구성
3.2 Procedure 구현
4. 실험 결과
5. 결론
Acknowledgement
참고문헌

키워드

머신러닝 행위 분석 악성코드 악성 프로시저 취약점 도구 Machine Leanring Behavior Analysis Malicious Code MITRE ATT&CK Procedure Exploit Tool

저자

  • 이진성 [ Jinsung Lee | 호서대학교 컴퓨터공학부 ]
  • 노용환 [ Yonghwan Noh | ㈜쏘마 ]
  • 강신영 [ Sinyoung Kang | ㈜지란지교시큐리티 ]
  • 이호웅 [ Howoong Lee | 호서대학교 컴퓨터공학부 ] 교신저자

참고문헌

자료제공 : 네이버학술정보

간행물 정보

발행기관

  • 발행기관명
    한국차세대컴퓨팅학회 [Korean Institute of Next Generation Computing]
  • 설립연도
    2005
  • 분야
    공학>컴퓨터학
  • 소개
    본 학회는 차세대 PC 및 그 관련분야의 학술활동을 통하여 차세대 PC의 학문 및 기술발전을 도모하고 산업발전 및 국제협력 증진을 목적으로 한다.

간행물

  • 간행물명
    한국차세대컴퓨팅학회 논문지 [THE JOURNAL OF KOREAN INSTITUTE OF NEXT GENERATION COMPUTING]
  • 간기
    격월간
  • pISSN
    1975-681X
  • 수록기간
    2005~2026
  • 등재여부
    KCI 등재
  • 십진분류
    KDC 566 DDC 004

이 권호 내 다른 논문 / 한국차세대컴퓨팅학회 논문지 Vol.18 No.4

    피인용수 : 0(자료제공 : 네이버학술정보)

    함께 이용한 논문 이 논문을 다운로드한 분들이 이용한 다른 논문입니다.

      출처 : 네이버학술정보

        0개의 논문이 장바구니에 담겼습니다.

        페이지 저장
        소속기관 조회
        이용자님의 소속기관(단체)이 서비스에 가입되어 있는지 확인해 보십시오.
        기관회원에 소속되어 있는 이용자는 원문을 무료로 이용할 수 있습니다.