APT 공격 탐지를 위한 호스트 기반 특징 표현 방법

Vol. 24, No. 5, pp. 839-850, 10월. 2014
10.13089/JKIISC.2014.24.5.839, Full Text:
Keywords: Advanced Persistent Threat, APT, Anomaly Detection, HIDS
Abstract

3.20 사이버 테러 등 APT 공격이 사회적, 경제적으로 막대한 피해를 초래함에 따라 APT 공격을 방어하기 위한 기술적인 대책이 절실히 요구되고 있으나, 시그너쳐에 기반한 보안 장비로는 대응하는데 한계가 있다. 이에 본 논문에서는 기존 시그너쳐 기반 침입탐지 시스템의 한계를 극복하기 위해서 호스트 PC에서 발생하는 행위정보를 기반으로 악성코드를 탐지하는 방법을 제안한다. 먼저, 악성코드와 정상 실행파일을 구분하기 위한 39개의 특성인자를 정의하고, 악성코드 및 정상 실행파일이 실행되는 동안 발생하는 870만 개의 특성인자 데이터를 수집하였다. 또한, 수집된 데이터에 대해 각 특성인자의 발생빈도를 프로세스 ID 별로 재구성하여 실행파일이 호스트에서 실행되는 동안의 행위정보를 83차원의 벡터로 표현하였다. 특히, 자식 프로세스에서 발생하는 특성인자 이벤트의 발생빈도를 포함함으로써 보다 정확한 행위정보의 표현이 가능하였다. C4.5 결정트리 방법을 적용하여 악성코드와 정상파일을 분류한 결과 각각 2.0%의 오탐률과 5.8%의 미탐률을 보였다.

Statistics
Show / Hide Statistics

Statistics (Cumulative Counts from December 1st, 2017)
Multiple requests among the same browser session are counted as one view.
If you mouse over a chart, the values of data points will be shown.


Cite this article
[IEEE Style]
D. Moon, H. Lee, I. Kim, "Host based Feature Description Method for Detecting APT Attack," Journal of The Korea Institute of Information Security and Cryptology, vol. 24, no. 5, pp. 839-850, 2014. DOI: 10.13089/JKIISC.2014.24.5.839.

[ACM Style]
Daesung Moon, Hansung Lee, and Ikkyun Kim. 2014. Host based Feature Description Method for Detecting APT Attack. Journal of The Korea Institute of Information Security and Cryptology, 24, 5, (2014), 839-850. DOI: 10.13089/JKIISC.2014.24.5.839.