KR20240074049A - 인공지능 기반 변이된 공격 그룹 식별 가능한 시스템 및 방법 - Google Patents

인공지능 기반 변이된 공격 그룹 식별 가능한 시스템 및 방법 Download PDF

Info

Publication number
KR20240074049A
KR20240074049A KR1020220155086A KR20220155086A KR20240074049A KR 20240074049 A KR20240074049 A KR 20240074049A KR 1020220155086 A KR1020220155086 A KR 1020220155086A KR 20220155086 A KR20220155086 A KR 20220155086A KR 20240074049 A KR20240074049 A KR 20240074049A
Authority
KR
South Korea
Prior art keywords
attack
data
technique data
attack technique
generator
Prior art date
Application number
KR1020220155086A
Other languages
English (en)
Inventor
조홍연
황현덕
Original Assignee
주식회사 씨티아이랩
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 씨티아이랩 filed Critical 주식회사 씨티아이랩
Priority to KR1020220155086A priority Critical patent/KR20240074049A/ko
Priority to PCT/KR2023/017595 priority patent/WO2024106825A1/ko
Publication of KR20240074049A publication Critical patent/KR20240074049A/ko

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Hardware Design (AREA)
  • Artificial Intelligence (AREA)
  • Software Systems (AREA)
  • Molecular Biology (AREA)
  • Biomedical Technology (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Mathematical Physics (AREA)
  • General Physics & Mathematics (AREA)
  • Evolutionary Computation (AREA)
  • Health & Medical Sciences (AREA)
  • Data Mining & Analysis (AREA)
  • Computational Linguistics (AREA)
  • Biophysics (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Storage Device Security (AREA)

Abstract

본 발명은 인공지능 기반 변이된 공격 그룹 식별 가능한 시스템 및 방법에 관한 것으로, 사이버 공격 취약점 데이터베이스에서 공격 그룹 정보 및 공격 기법 정보가 매칭된 공격 사례 데이터를 수집하고; 수집된 공격 사례 데이터에 포함된 공격 그룹 정보 및 공격 기법 정보를 기초로 공격 그룹에 대응하는 공격 그룹 번호별로 공격 기법에 대응하는 공격 기법 번호들을 그룹핑한 실제 공격 기법 데이터를 생성하며; 실제 공격 기법 데이터를 이용하여 제1 생성자와 제1 판별자를 포함하는 제1 신경망 모델을 학습시키고, 학습된 제1 생성자를 이용하여 증강 공격 기법 데이터를 생성하고, 증강 공격 기법 데이터를 포함하는 실제 공격 기법 데이터를 이용하여 제2 생성자와 제2 판별자를 포함하는 제2 신경망 모델을 학습시킨다. 본 발명에 의하면 노이즈(Noise)가 포함된 변이된 공격 그룹 데이터에 대해서도 Robust하게 판별/분류할 수 있는 장점이 있다.

Description

인공지능 기반 변이된 공격 그룹 식별 가능한 시스템 및 방법{AI based Mutated Advanced Persistent Threat Classification System and Method}
본 발명은 인공지능 기반 변이된 공격 그룹 식별 가능한 시스템 및 방법에 관한 것이다.
위협 인텔리전스는 사이버 공격에 효과적으로 대응하기 위해 공격자, 공격 절차, 공격수단, 악성코드 분석 등 위협 정보를 수집·분석하는 분야다. 공격그룹을 식별하는 일도 사이버 위협 인텔리전스에서 중요한 부분을 차지한다.
사이버 위협 인텔리전스 분야에서는 공격 그룹 식별을 위해 정황적·기술적 근거를 종합적으로 활용한다. 언어학적 분석, 정치적·시대적인 상황, 공격 대상에 대한 특성 같은 것이 정황적 근거에 해당한다. 정황상의 근거만으로 공격그룹을 확정지을 수 없기 때문에 기술적 근거가 뒷받침되어야 한다. 공격 수법, 사용하는 악성 코드, IP, 도메인, 호스팅 등 많은 요인이 기술적 근거를 뒷받침 하기 위해 검토된다.
그런데 공격그룹을 식별하는 일이 점차 어려워지고 있다. MITRE ATT&CK 등과 같은 사이버 공격 취약점 데이터베이스에 기초하여 공격 그룹을 자동으로 정확하게 식별할 수 있는 방법에 대한 요구가 커지고 있다.
한국공개특허 제2021-0089327호 (2021-07-16) 한국등록특허 제2225460호 (2021-03-03)
본 발명이 해결하고자 하는 기술적 과제는 인공지능 기반 변이된 공격 그룹 식별 가능한 시스템 및 방법을 제공하는 것이다.
본 발명에 따른 기술적 과제를 해결하기 위한 방법은, 사이버 공격 취약점 데이터베이스에서 공격 그룹 정보 및 공격 기법 정보가 매칭된 공격 사례 데이터를 수집하는 단계; 상기 수집된 공격 사례 데이터에 포함된 공격 그룹 정보 및 공격 기법 정보를 기초로 공격 그룹에 대응하는 공격 그룹 번호별로 공격 기법에 대응하는 공격 기법 번호들을 그룹핑한 실제 공격 기법 데이터를 생성하는 단계; 상기 실제 공격 기법 데이터를 이용하여 제1 생성자와 제1 판별자를 포함하는 제1 신경망 모델을 학습시키는 단계 - 상기 제1 생성자는 랜덤 벡터와 공격 그룹 번호를 입력으로 위조 공격 기법 데이터를 실제 공격 기법 데이터에 가깝게 생성하도록 학습되고, 상기 제1 판별자는 위조 공격 기법 데이터 또는 실제 공격 기법 데이터를 공격 그룹 번호와 함께 입력받고 진위 판별 결과를 출력하도록 학습됨 -; 상기 학습된 제1 생성자를 이용하여 증강 공격 기법 데이터를 생성하는 단계; 및 상기 증강 공격 기법 데이터를 포함하는 실제 공격 기법 데이터를 이용하여 제2 생성자와 제2 판별자를 포함하는 제2 신경망 모델을 학습시키는 단계 - 상기 제2 생성자는 랜덤 벡터와 공격 그룹 번호를 입력으로 위조 공격 기법 데이터를 실제 공격 기법 데이터에 가깝게 생성하도록 학습되고, 상기 제2 판별자는 위조 공격 기법 데이터 또는 실제 공격 기법 데이터를 입력받고 진위 판별 결과와 공격 그룹 판별 정보를 출력하도록 학습됨 -; 를 포함한다.
상기 제1 신경망 모델을 학습시킬 때 랜덤 벡터는 표준 정규 분포를 이루는 제1 잠재 공간에서 추출되고, 상기 증강 공격 기법 데이터를 생성할 때 랜덤 벡터는 제1 잠재 공간과 평균 및 분산이 다르게 변형된 정규 분포를 이루는 제2 잠재 공간에서 추출될 수 있다.
상기 제1 생성자의 손실 함수는,
으로 정의되고, 여기서, 는 실제 공격 기법 데이터이고, 는 위조 공격 기법 데이터이며, 사이에 가중치를 조정하기 위한 계수이고, 는 제1 판별자에서 제1 위조 공격 기법 데이터에 대해 진위 여부를 판별한 값이며, Pg는 제1 생성자의 확률 분포이고, E []는 입력된 값에 대한 기대값일 수 있다.
상기 제2 판별자는, 입력된 공격 기법 데이터의 진위 판별 결과를 출력하는 판별 레이어와 상기 입력된 공격 기법 데이터에 대응하는 공격 그룹 번호를 출력하는 보조 레이어를 포함할 수 있다.
상기 판별 레이어 및 상기 보조 레이어는 발설스타인 로스(Wasserstein loss) 함수에 그래디언트 페널티(gradient penalty) 및 크로스 엔트로피 손실 함수를 더한 모델을 사용하여 구현할 수 있다.
본 발명에 따른 다른 실시예는 상기 방법을 실행시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체를 포함한다.
본 발명에 따른 컴퓨팅 장치는, 적어도 하나의 인스트럭션을 저장하는 메모리; 및 적어도 하나의 프로세서; 를 포함하고, 상기 적어도 하나의 프로세서는 상기 적어도 하나의 인스트럭션에 기초하여, 사이버 공격 취약점 데이터베이스에서 공격 그룹 정보 및 공격 기법 정보가 매칭된 공격 사례 데이터를 수집하는 단계; 상기 수집된 공격 사례 데이터에 포함된 공격 그룹 정보 및 공격 기법 정보를 기초로 공격 그룹에 대응하는 공격 그룹 번호별로 공격 기법에 대응하는 공격 기법 번호들을 그룹핑한 실제 공격 기법 데이터를 생성하는 단계; 상기 실제 공격 기법 데이터를 이용하여 제1 생성자와 제1 판별자를 포함하는 제1 신경망 모델을 학습시키는 단계 - 상기 제1 생성자는 랜덤 벡터와 공격 그룹 번호를 입력으로 위조 공격 기법 데이터를 실제 공격 기법 데이터에 가깝게 생성하도록 학습되고, 상기 제1 판별자는 위조 공격 기법 데이터 또는 실제 공격 기법 데이터를 공격 그룹 번호와 함께 입력받고 진위 판별 결과를 출력하도록 학습됨 -; 상기 학습된 제1 생성자를 이용하여 증강 공격 기법 데이터를 생성하는 단계; 및 상기 증강 공격 기법 데이터를 포함하는 실제 공격 기법 데이터를 이용하여 제2 생성자와 제2 판별자를 포함하는 제2 신경망 모델을 학습시키는 단계 - 상기 제2 생성자는 랜덤 벡터와 공격 그룹 번호를 입력으로 위조 공격 기법 데이터를 실제 공격 기법 데이터에 가깝게 생성하도록 학습되고, 상기 제2 판별자는 위조 공격 기법 데이터 또는 실제 공격 기법 데이터를 입력받고 진위 판별 결과와 공격 그룹 판별 정보를 출력하도록 학습됨 -; 를 실행한다.
본 발명에 의하면 사이버 공격 취약점 데이터베이스를 이용한 공격 그룹 식별 방법 및 컴퓨팅 장치를 제공할 수 있다. 특히 본 발명에 의하면 노이즈(Noise)가 포함된 변이된 공격 그룹 데이터에 대해서도 Robust하게 판별/분류할 수 있는 장점이 있다.
도 1은 본 발명의 일 실시예에 따른 공격 그룹 식별 장치의 구성도이다.
도 2는 본 발명의 일 실시예에 따른 공격 그룹 식별 장치의 동작 흐름도이다.
도 3은 사이버 공격 취약점 데이터베이스에서 수집한 공격 사례 데이터를 예시한 것이다.
도 4는 공격 기법 번호들이 공격 그룹별로 그룹핑된 데이터를 예시한 것이다.
도 5는 본 발명의 일 실시예에 따른 제1 신경망 모델의 구성을 나타낸 블록도이다.
도 6은 본 발명의 일 실시예에 따른 제1 생성자의 아키텍처를 나타낸 것이다.
도 7은 본 발명의 일 실시예에 따른 제1 판별자의 아키텍처를 나타낸 것이다.
도 8은 본 발명의 일 실시예에 따른 제2 신경망 모델의 구성을 나타낸 블록도이다.
도 9는 본 발명의 일 실시예에 따른 제2 생성자의 아키텍처를 나타낸 것이다.
도 10은 본 발명의 일 실시예에 따른 제2 판별자의 아키텍처를 나타낸 것이다.
본 명세서에서 사용된 용어는 실시예들을 설명하기 위한 것이며 본 발명을 제한하고자 하는 것은 아니다. 본 명세서에서, 단수형은 문구에서 특별히 언급하지 않는 한 복수형도 포함한다. 명세서에서 사용되는 "포함한다(comprises)" 및/또는 "포함하는(comprising)"은 언급된 구성요소 외에 하나 이상의 다른 구성요소의 존재 또는 추가를 배제하지 않는다. 명세서 전체에 걸쳐 동일한 도면 부호는 동일한 구성 요소를 지칭하며, "및/또는"은 언급된 구성요소들의 각각 및 하나 이상의 모든 조합을 포함한다. 비록 "제1", "제2" 등이 다양한 구성요소들을 서술하기 위해서 사용되나, 이들 구성요소들은 이들 용어에 의해 제한되지 않음은 물론이다. 이들 용어들은 단지 하나의 구성요소를 다른 구성요소와 구별하기 위하여 사용하는 것이다. 따라서, 이하에서 언급되는 제1 구성요소는 본 발명의 기술적 사상 내에서 제2 구성요소일 수도 있음은 물론이다.
본 명세서에서 "컴퓨팅 장치"는 연산처리를 수행하여 사용자에게 결과를 제공할 수 있는 다양한 장치들이 모두 포함된다. 예를 들어, 컴퓨팅 장치는 데스크 탑 PC, 노트북(Note Book) 컴퓨터, 서버 컴퓨터 뿐만 아니라 스마트폰(Smart phone), 태블릿 PC, 셀룰러폰(Cellular phone), 피씨에스폰(PCS phone; Personal Communication Service phone), 동기식/비동기식 IMT-2000(International Mobile Telecommunication-2000)의 이동 단말기, 팜 PC(Palm Personal Computer), 개인용 디지털 보조기(PDA; Personal Digital Assistant) 등도 해당될 수 있다.
도 1은 본 발명의 일 실시예에 따른 공격 그룹 식별 장치의 구성도이고, 도 2는 본 발명의 일 실시예에 따른 공격 그룹 식별 장치의 동작 흐름도이다.
도 1을 참고하면, 본 발명에 따른 공격 그룹 식별 장치(100)는 적어도 하나의 메모리(110), 적어도 하나의 프로세서(120), 데이터 수집부(130), 데이터 전처리부(140), 제1 신경망 모델(150) 및 제2 신경망 모델(160)을 포함할 수 있다.
적어도 하나의 메모리(110)는 적어도 하나 이상의 인스트럭션(Instruction)을 저장할 수 있다. 또한 메모리(110)는 공격 그룹 식별 장치(100)에서 공격 그룹 식별 방법과 관련된 작업에 이용되는 각종 데이터 및 프로그램을 저장할 수 있다.
적어도 하나의 프로세서(120)는 메모리(110)에 저장된 인스트럭션에 대응하는 프로세스를 실행할 수 있다. 적어도 하나의 프로세서(120)는 메모리(110)에 저장된 인스트럭션들을 실행하여 제1 신경망 모델(150) 및 제2 신경망 모델(160)을 학습시킬 수 있다.
적어도 하나의 프로세서(120)는 메모리(110)에 저장된 인스트럭션들을 실행하여 제1 신경망 모델(150) 및 제2 신경망 모델(160)의 학습에 사용되는 훈련 데이터셋을 구성할 수 있다.
데이터 수집부(130)는 MITRE ATT&CK 등과 같은 사이버 공격 취약점 데이터베이스에서 공격 그룹 정보 및 공격 기법 정보가 매칭된 공격 사례 데이터를 수집할 수 있다(S210).
MITRE ATT&CK은 실제 사이버 공격의 정보를 기반으로 만들어진 전술 및 기법에 대한 내용을 담은 지식베이스이다. 공격 그룹들과 공격 기법 등을 잘 정리해 놓았기 때문에 사이버 보안 분야에서 하나의 표준으로 인식되고 있다. MITRE ATT&CK 홈페이지에서 공격 그룹 정보들을 확인할 수 있으며 해당 공격 그룹이 어떤 공격 기법으로 사이버 공격을 진행하였는지 표기되어 있어 해당 정보를 크롤링하여 데이터로 가져올 수 있다.
도 3은 사이버 공격 취약점 데이터베이스에서 수집한 공격 사례 데이터를 예시한 것이다.
도 3을 참고하면, 공격 사례 데이터에 포함된 공격 그룹 정보는 공격 그룹 아이디(group_id)와 공격 그룹 이름(group_name)일 수 있다. 그리고 공격 사례 데이터에 포함된 공격 기법 정보는 공격 기법 아이디(technique_id)와 공격 기법 이름(technique_name)일 수 있다.
데이터 전처리부(140)는 수집된 공격 사례 데이터를 제1 신경망 모델(150) 및 제2 신경망 모델(160)의 학습에 적합한 형태로 전처리하여 실제 공격 기법 데이터를 생성할 수 있다(S220).
구체적으로 공격 사례 데이터에 포함된 공격 그룹 아이디(group_id), 공격 그룹 이름(group_name), 공격 기법 아이디(technique_id) 및 공격 기법 이름(technique_name)은 문자 형태의 데이터들로서 제1 신경망 모델(150) 및 제2 신경망 모델(160)의 학습에 적합하지 않다. 따라서 데이터 전처리부(140)는 공격 사례 데이터에 포함된 문자 형태의 데이터들을 정수 숫자 형태로 변환할 수 있다.
본 실시예에서 데이터 전처리부(140)는 문자 형태의 공격 그룹 아이디(group_id)를 정수 숫자 형태의 공격 그룹 번호(group_idx)로 변환하고, 문자 형태의 공격 기법 아이디(technique_id)를 정수 숫자 형태의 공격 기법 번호(tech_idx)로 변환할 수 있다.
도 4는 공격 기법 번호들이 공격 그룹별로 그룹핑된 데이터를 예시한 것이다.
데이터 전처리부(140)는 공격 그룹 번호(group_idx) 별로 공격 기법 번호(tech_idx)를 그룹핑한 리스트 형식 데이터들을 도 4에 예시한 것과 같이 생성할 수 있다. 그리고 학습을 위하여 리스트 형식 데이터 개수를 미리 정해진 배수(가령 10배)로 증가시킬 수 있다. 예를 들어 A라는 실제 공격 기법 데이터가 생성되면, 이를 10개로 증가시킬 수 있다. 다음으로 리스트 형식 데이터를 텐서(tensor)형태로 변환하고 공격 기법 번호(tech_idx)들을 원핫인코딩(one-hot encoding)을 할 수 있다.
여기서 텐서란, 특별한 데이터 구조를 갖는 객체이며 어레이(array)나 행렬과 유사하다. 일반적인 어레이와 다른 점은 지피유(GPU)에서 동작이 가능하며 자동 미분(automatic differentiation)에 최적화 되어 있다.
공격 그룹 별로 포함된 공격 기법 번호(tech_idx)의 개수가 달라서, 서로 길이가 다르기 때문에 길이를 맞춰주기 위하여 제로패딩(zero-padding)을 해주고 최소값, 최대값들이 -1과 1사이에 오게끔 정규화(normalization)를 진행할 수 있다. 여기서 Zero-padding 이란, 아무런 의미가 없는 데이터를 추가적으로 붙여주는 방법이다. 예를 들어 도 4에서 공격 그룹 번호(group_idx)가 '1'인 데이터와 '2'인 데이터가 전체 데이터라고 하면, 각각의 길이가 1과 5이다. 따라서 Zero-padding을 통해 공격 그룹 번호(group_idx)가 '1'인 데이터의 길이를 5가 되게 하여, 공격 그룹 번호(group_idx)가 '2'인 데이터와 길이를 맞춰줄 수 있다. 즉 가장 길이가 긴 공격 그룹의 길이에 맞춰서 Zero-padding을 수행할 수 있다.
전처리 단계(S220)를 거쳐 생성된 실제 공격 기법 데이터를 이용하여 제1 신경망 모델(150)을 학습시킬 수 있다(S230).
도 5는 본 발명의 일 실시예에 따른 제1 신경망 모델의 구성을 나타낸 블록도이다.
도 5를 참고하면, 제1 신경망 모델(150)은 제1 생성자(151)와 제1 판별자(153)를 포함하는 CGAN(Conditional Generative Adversarial Network) 모델로 구현할 수 있다. CGAN 모델은 기존 GAN(Generative Adversarial Network) 모델에서 변형된 것으로, 학습 대상 데이터에 조건 변수로서 클래스(Class)를 붙여서 학습시키는 모델이다. 본 발명에서는 클래스(Class)로 공격 그룹 번호(group_idx)를 사용한다.
제1 생성자(151)는 잠재 공간(Latent Space)에서 무작위로 추출된 랜덤 벡터(Z)에 공격 그룹 번호(group_idx)가 붙은 데이터를 입력받아 위조 공격 기법 데이터(G(Z))를 생성할 수 있다. 여기서, 제1 신경망 모델(150)을 훈련할 때 잠재 공간의 확률 분포(P(Z))는 표준 정규 분포로 설정될 수 있다.
제1 생성자(151)는 실제 공격 기법 데이터에 가까운 위조 공격 기법 데이터를 생성하도록 학습될 수 있다.
제1 생성자(151)의 손실 함수는 아래 수식으로 정의될 수 있다.
여기서, 는 실제 공격 기법 데이터, 는 위조 공격 기법 데이터이다. 사이에 가중치를 조정하기 위한 계수이다. 는 제1 판별자에서 제1 위조 공격 기법 데이터에 대해 진위 여부를 판별한 값이다. Pg는 제1 생성자의 확률 분포이다. E []는 입력된 값에 대한 기대값을 나타낸다.
제1 생성자(151)의 목표는 위조 공격 기법 데이터의 critic score를 최대화하는 것이며 실제 데이터와 약간은 다른 형태의 데이터를 얻고 싶어서 학습 방해를 위해 코사인 유사도 손실(cosine similarity loss) 함수 부분 을 추가할 수 있다. 를 조절하여 발설스타인 로스(Wasserstein loss) 함수 부분 과 코사인 유사도 손실 함수에 가중치를 조절하여 학습 정도를 조절할 수 있다.
제1 판별자(153)는 공격 그룹 번호(group_idx)가 붙은 위조 공격 기법 데이터(G(Z))와 공격 그룹 번호(group_idx)가 붙은 실제 공격 기법 데이터(X)를 입력받아 진위 여부를 판별하도록 학습될 수 있다.
제1 판별자(153)는 아래 수식과 같이 발설스타인 로스(Wasserstein loss) 함수에 그래디언트 페널티(gradient penalty)를 더해준 모델을 이용할 수 있다.
여기서 는 실제 공격 기법 데이터, 는 위조 공격 기법 데이터이다. 는 uniform 분포에서 샘플링을 하는 것으로서, 를 섞어서 만들 수 있다.
= α*+(1-α), 여기서 α는 uniform(0,1)
λ는 조정 계수이다.
는 제1 생성자의 확률 분포이다.
의 확률 분포이다.
의 확률 분포이다.
제1 신경망 모델(150)의 학습이 완료된 후, 학습된 제1 생성자(151)를 이용하여 증강 공격 기법 데이터를 생성할 수 있다(S240). 학습된 제1 생성자(151)를 이용하여 생성한 증강 공격 기법 데이터는 제2 신경망 모델(160)을 학습시킬 때 실제 공격 기법 데이터로서 이용할 수 있다.
제1 생성자(151)를 이용하여 증강 공격 기법 데이터를 생성할 때 잠재 공간의 확률 분포는 제1 신경망 모델(150)을 훈련할 때 잠재 공간의 확률 분포와 평균 및 분산이 다르게 변형된 정규 분포를 따르도록 설정될 수 있다. 예를 들어 잠재 공간의 확률 분포를 Normal(mean = -2 ~ 2, variance = 2)로 변형하고, 변형된 잠재 공간에서 추출된 랜덤 벡터(Z)를 학습된 제1 생성자(151)에 입력하여 출력된 공격 기법 데이터를 증강 공격 기법 데이터로 생성할 수 있다.
일반적으로는 표준 정규 분포에서 랜덤 벡터를 랜덤 샘플링(random sampling)을 하기 때문에 굳이 평균과 분산을 바꿔가며 데이터를 생성해 낼 필요는 없지만, 본 실시예에서는 실제 공격 기법 데이터에 대해서 one-hot encoding 전처리에 의한 데이터의 특성(0과 1로만 이루어져 있는)으로 인하여, 표준 정규 분포로는 다양한 분포의 데이터 생성이 어려워 평균과 분산을 바꿔서 잠재 공간의 확률 분포를 변형하였다.
다음으로 단계(S240)에서 생성된 증강 공격 기법 데이터를 포함하는 실제 공격 기법 데이터를 이용하여 제2 신경망 모델(160)을 학습시킬 수 있다(S250).
도 8은 본 발명의 일 실시예에 따른 제2 신경망 모델의 구성을 나타낸 블록도이다.
도 8을 참고하면, 제2 신경망 모델(160)은 제2 생성자(161)와 제2 판별자(163)를 포함하는 AGAN(Conditional Generative Adversarial Network) 모델로 구현할 수 있다. AGAN(Conditional Generative Adversarial Network) 모델은 판별자가 2개의 분류기(classifier)로 구성된 모델로, 입력된 공격 기법 데이터의 진위 여부를 판별하는 판별 레이어와 입력된 공격 기법 데이터에 대응하는 공격 그룹 번호를 분류 결과로 출력하는 보조 레이어를 포함할 수 있다.
제2 신경망 모델(160)은 사이버 공격 취약점 데이터베이스에서 수집한 데이터로부터 생성한 실제 공격 기법 데이터와 훈련된 제1 생성자(151)를 이용하여 생성한 증강 공격 기법 데이터를 실제 데이터로 하여 학습될 수 있다.
제2 생성자(161)는 제1 생성자(151)와 마찬가지로 공격 그룹 번호(group_idx)를 클래스로 사용하며, 잠재 공간(P(Z))에서 무작위로 추출된 랜덤 벡터(Z)에 공격 그룹 번호(group_idx)가 붙은 데이터를 입력받아 위조 공격 기법 데이터(G(Z))를 생성할 수 있다. 여기서, 잠재 공간(P(Z))은 표준 정규 분포로 설정될 수 있다.
제2 생성자(161)는 손실 함수로서 발설스타인 로스(Wasserstein loss) 함수에 그래디언트 페널티(gradient penalty)를 더한 모델을 사용하여 구현할 수 있다.
제2 판별자(163)는 위조 공격 기법 데이터(G(Z))와 증강 공격 기법 데이터를 포함하는 실제 공격 기법 데이터(X)를 입력받아 판별 레이어와 보조 레이어를 학습시켜 진위 판별 결과(Real/Fake) 및 공격 그룹 분류 결과(Class Prediction)를 출력할 수 있다.
제2 판별자(163)의 판별 레이어와 보조 레이어는 발설스타인 로스(Wasserstein loss) 함수에 그래디언트 페널티(gradient penalty) 및 크로스 엔트로피 손실 함수를 더한 모델을 사용하여 구현할 수 있다.
마지막으로 위와 같은 과정으로 학습된 제2 판별자(163)를 이용하여 공격 기법 데이터를 입력하여 공격 여부를 판별하고, 공격 그룹을 분류할 수 있다(S260). 본 발명에 따라 학습된 제2 판별자를 이용하면 노이즈(Noise)가 포함된 변이된 공격 그룹 데이터에 대해서도 Robust하게 판별/분류할 수 있다.
이상에서 설명된 실시예들은 하드웨어 구성요소, 소프트웨어 구성요소, 및/또는 하드웨어 구성요소 및 소프트웨어 구성요소의 조합으로 구현될 수 있다. 예를 들어, 실시예들에서 설명된 장치, 방법 및 구성요소는, 예를 들어, 프로세서, 콘트롤러, ALU(arithmetic logic unit), 디지털 신호 프로세서(digital signal processor), 마이크로컴퓨터, FPGA(field programmable gate array), PLU(programmable logic unit), 마이크로프로세서, 또는 인스트럭션(instruction)을 실행하고 응답할 수 있는 다른 어떠한 장치와 같이, 하나 이상의 범용 컴퓨팅 장치 또는 특수 목적 컴퓨팅 장치를 이용하여 구현될 수 있다. 처리 장치는 운영 체제(OS) 및 상기 운영 체제 상에서 수행되는 하나 이상의 소프트웨어 애플리케이션을 수행할 수 있다. 또한, 처리 장치는 소프트웨어의 실행에 응답하여, 데이터를 접근, 저장, 조작, 처리 및 생성할 수도 있다. 이해의 편의를 위하여, 처리 장치는 하나가 사용되는 것으로 설명된 경우도 있지만, 해당 기술분야에서 통상의 지식을 가진 자는, 처리 장치가 복수 개의 처리 요소(processing element) 및/또는 복수 유형의 처리 요소를 포함할 수 있음을 알 수 있다. 예를 들어, 처리 장치는 복수 개의 프로세서 또는 하나의 프로세서 및 하나의 콘트롤러를 포함할 수 있다. 또한, 병렬 프로세서(parallel processor)와 같은, 다른 처리 구성(processing configuration)도 가능하다.
소프트웨어는 컴퓨터 프로그램(computer program), 코드(code), 인스트럭션(instruction), 또는 이들 중 하나 이상의 조합을 포함할 수 있으며, 원하는 대로 동작하도록 처리 장치를 구성하거나 독립적으로 또는 결합적으로(collectively) 처리 장치를 명령할 수 있다. 소프트웨어 및/또는 데이터는, 처리 장치에 의하여 해석되거나 처리 장치에 명령 또는 데이터를 제공하기 위하여, 어떤 유형의 기계, 구성요소(component), 물리적 장치, 가상 장치(virtual equipment), 컴퓨터 저장 매체 또는 장치에 영구적으로, 또는 일시적으로 구체화(embody)될 수 있다. 소프트웨어는 네트워크로 연결된 컴퓨터 시스템 상에 분산되어서, 분산된 방법으로 저장되거나 실행될 수도 있다. 소프트웨어 및 데이터는 하나 이상의 컴퓨터 판독 가능 기록 매체에 저장될 수 있다.
실시예에 따른 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 실시예를 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 실시예의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.
이상과 같이 실시예들이 비록 한정된 도면에 의해 설명되었으나, 해당 기술분야에서 통상의 지식을 가진 자라면 상기를 기초로 다양한 기술적 수정 및 변형을 적용할 수 있다. 예를 들어, 설명된 기술들이 설명된 방법과 다른 순서로 수행되거나, 및/또는 설명된 시스템, 구조, 장치, 회로 등의 구성요소들이 설명된 방법과 다른 형태로 결합 또는 조합되거나, 다른 구성요소 또는 균등물에 의하여 대치되거나 치환되더라도 적절한 결과가 달성될 수 있다.

Claims (11)

  1. 사이버 공격 취약점 데이터베이스에서 공격 그룹 정보 및 공격 기법 정보가 매칭된 공격 사례 데이터를 수집하는 단계;
    상기 수집된 공격 사례 데이터에 포함된 공격 그룹 정보 및 공격 기법 정보를 기초로 공격 그룹에 대응하는 공격 그룹 번호별로 공격 기법에 대응하는 공격 기법 번호들을 그룹핑한 실제 공격 기법 데이터를 생성하는 단계;
    상기 실제 공격 기법 데이터를 이용하여 제1 생성자와 제1 판별자를 포함하는 제1 신경망 모델을 학습시키는 단계 - 상기 제1 생성자는 랜덤 벡터와 공격 그룹 번호를 입력으로 위조 공격 기법 데이터를 실제 공격 기법 데이터에 가깝게 생성하도록 학습되고, 상기 제1 판별자는 위조 공격 기법 데이터 또는 실제 공격 기법 데이터를 공격 그룹 번호와 함께 입력받고 진위 판별 결과를 출력하도록 학습됨 -;
    상기 학습된 제1 생성자를 이용하여 증강 공격 기법 데이터를 생성하는 단계; 및
    상기 증강 공격 기법 데이터를 포함하는 실제 공격 기법 데이터를 이용하여 제2 생성자와 제2 판별자를 포함하는 제2 신경망 모델을 학습시키는 단계 - 상기 제2 생성자는 랜덤 벡터와 공격 그룹 번호를 입력으로 위조 공격 기법 데이터를 실제 공격 기법 데이터에 가깝게 생성하도록 학습되고, 상기 제2 판별자는 위조 공격 기법 데이터 또는 실제 공격 기법 데이터를 입력받고 진위 판별 결과와 공격 그룹 판별 정보를 출력하도록 학습됨 -; 를 포함하는 공격 그룹 식별 방법.
  2. 제 1 항에서,
    상기 제1 신경망 모델을 학습시킬 때 랜덤 벡터는 표준 정규 분포를 이루는 제1 잠재 공간에서 추출되고,
    상기 증강 공격 기법 데이터를 생성할 때 랜덤 벡터는 제1 잠재 공간과 평균 및 분산이 다르게 변형된 정규 분포를 이루는 제2 잠재 공간에서 추출되는 공격 그룹 식별 방법.
  3. 제 1 항에서,
    상기 제1 생성자의 손실 함수는,

    으로 정의되고,
    여기서, 는 실제 공격 기법 데이터이고, 는 위조 공격 기법 데이터이며, 사이에 가중치를 조정하기 위한 계수이고, 는 제1 판별자에서 제1 위조 공격 기법 데이터에 대해 진위 여부를 판별한 값이며, Pg는 제1 생성자의 확률 분포이고, E []는 입력된 값에 대한 기대값인 공격 그룹 식별 방법.
  4. 제 1 항에서,
    상기 제2 판별자는,
    입력된 공격 기법 데이터의 진위 판별 결과를 출력하는 판별 레이어와 상기 입력된 공격 기법 데이터에 대응하는 공격 그룹 번호를 출력하는 보조 레이어를 포함하는 공격 그룹 식별 방법.
  5. 제 4 항에서,
    상기 판별 레이어 및 상기 보조 레이어는 발설스타인 로스(Wasserstein loss) 함수에 그래디언트 페널티(gradient penalty) 및 크로스 엔트로피 손실 함수를 더한 모델을 사용하여 구현하는 공격 그룹 식별 방법.
  6. 제 1 항 내지 제 5 항 중 어느 한 항에 기재된 방법을 실행시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체.
  7. 컴퓨팅 장치로서,
    적어도 하나의 인스트럭션을 저장하는 메모리; 및
    적어도 하나의 프로세서; 를 포함하고,
    상기 적어도 하나의 프로세서는 상기 적어도 하나의 인스트럭션에 기초하여,
    사이버 공격 취약점 데이터베이스에서 공격 그룹 정보 및 공격 기법 정보가 매칭된 공격 사례 데이터를 수집하는 단계;
    상기 수집된 공격 사례 데이터에 포함된 공격 그룹 정보 및 공격 기법 정보를 기초로 공격 그룹에 대응하는 공격 그룹 번호별로 공격 기법에 대응하는 공격 기법 번호들을 그룹핑한 실제 공격 기법 데이터를 생성하는 단계;
    상기 실제 공격 기법 데이터를 이용하여 제1 생성자와 제1 판별자를 포함하는 제1 신경망 모델을 학습시키는 단계 - 상기 제1 생성자는 랜덤 벡터와 공격 그룹 번호를 입력으로 위조 공격 기법 데이터를 실제 공격 기법 데이터에 가깝게 생성하도록 학습되고, 상기 제1 판별자는 위조 공격 기법 데이터 또는 실제 공격 기법 데이터를 공격 그룹 번호와 함께 입력받고 진위 판별 결과를 출력하도록 학습됨 -;
    상기 학습된 제1 생성자를 이용하여 증강 공격 기법 데이터를 생성하는 단계; 및
    상기 증강 공격 기법 데이터를 포함하는 실제 공격 기법 데이터를 이용하여 제2 생성자와 제2 판별자를 포함하는 제2 신경망 모델을 학습시키는 단계 - 상기 제2 생성자는 랜덤 벡터와 공격 그룹 번호를 입력으로 위조 공격 기법 데이터를 실제 공격 기법 데이터에 가깝게 생성하도록 학습되고, 상기 제2 판별자는 위조 공격 기법 데이터 또는 실제 공격 기법 데이터를 입력받고 진위 판별 결과와 공격 그룹 판별 정보를 출력하도록 학습됨 -; 를 실행하는 컴퓨팅 장치.
  8. 제 7 항에서,
    상기 제1 신경망 모델을 학습시킬 때 랜덤 벡터는 표준 정규 분포를 이루는 제1 잠재 공간에서 추출하고,
    상기 증강 공격 기법 데이터를 생성할 때 랜덤 벡터는 제1 잠재 공간과 평균 및 분산이 다르게 변형된 정규 분포를 이루는 제2 잠재 공간에서 추출하는 컴퓨팅 장치.
  9. 제 7 항에서,
    상기 제1 생성자의 손실 함수는,

    으로 정의되고,
    여기서, 는 실제 공격 기법 데이터이고, 는 위조 공격 기법 데이터이며, 사이에 가중치를 조정하기 위한 계수이고, 는 제1 판별자에서 제1 위조 공격 기법 데이터에 대해 진위 여부를 판별한 값이며, Pg는 제1 생성자의 확률 분포이고, E []는 입력된 값에 대한 기대값인 컴퓨팅 장치.
  10. 제 7 항에서,
    상기 제2 판별자는,
    입력된 공격 기법 데이터의 진위 판별 결과를 출력하는 판별 레이어와 상기 입력된 공격 기법 데이터에 대응하는 공격 그룹 번호를 출력하는 보조 레이어를 포함하는 컴퓨팅 장치.
  11. 제 10 항에서,
    상기 판별 레이어 및 상기 보조 레이어는 발설스타인 로스(Wasserstein loss) 함수에 그래디언트 페널티(gradient penalty) 및 크로스 엔트로피 손실 함수를 더한 모델을 사용하여 구현하는 컴퓨팅 장치.
KR1020220155086A 2022-11-18 2022-11-18 인공지능 기반 변이된 공격 그룹 식별 가능한 시스템 및 방법 KR20240074049A (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020220155086A KR20240074049A (ko) 2022-11-18 2022-11-18 인공지능 기반 변이된 공격 그룹 식별 가능한 시스템 및 방법
PCT/KR2023/017595 WO2024106825A1 (ko) 2022-11-18 2023-11-03 인공지능 기반 변이된 공격 그룹 식별 가능한 시스템 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020220155086A KR20240074049A (ko) 2022-11-18 2022-11-18 인공지능 기반 변이된 공격 그룹 식별 가능한 시스템 및 방법

Publications (1)

Publication Number Publication Date
KR20240074049A true KR20240074049A (ko) 2024-05-28

Family

ID=91084787

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020220155086A KR20240074049A (ko) 2022-11-18 2022-11-18 인공지능 기반 변이된 공격 그룹 식별 가능한 시스템 및 방법

Country Status (2)

Country Link
KR (1) KR20240074049A (ko)
WO (1) WO2024106825A1 (ko)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102225460B1 (ko) 2019-10-16 2021-03-10 한국전자통신연구원 다중 센서 데이터를 이용한 위협 헌팅 기반의 위협 탐지 방법 및 이를 이용한 장치
KR20210089327A (ko) 2020-01-08 2021-07-16 엘아이지넥스원 주식회사 임무수행능력을 고려한 공격 대응방책 선정장치 및 방법

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100776828B1 (ko) * 2006-08-25 2007-11-19 고려대학교 산학협력단 유비쿼터스 홈네트워크 환경의 침입탐지 방법, 그 기록 매체 및 유비쿼터스 홈네트워크 환경의 침입탐지 장치
KR101823749B1 (ko) * 2016-03-10 2018-01-31 한국과학기술원 군집 지능과 기계학습 알고리즘을 이용한 적응형 미지 공격 탐지 시스템의 방식 및 장치
KR20220055923A (ko) * 2020-10-27 2022-05-04 주식회사 케이티 지도 학습 및 비지도 학습이 결합된 하이브리드 학습을 통해 디도스 공격을 탐지하는 방법
KR102525593B1 (ko) * 2021-05-04 2023-04-25 엘아이지넥스원 주식회사 네트워크 공격 탐지 시스템 및 네트워크 공격 탐지 방법
KR102414167B1 (ko) * 2022-03-14 2022-06-29 (주)라바웨이브 뉴럴 네트워크를 이용한 패킷 센딩을 통한 보안 방법 및 장치

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102225460B1 (ko) 2019-10-16 2021-03-10 한국전자통신연구원 다중 센서 데이터를 이용한 위협 헌팅 기반의 위협 탐지 방법 및 이를 이용한 장치
KR20210089327A (ko) 2020-01-08 2021-07-16 엘아이지넥스원 주식회사 임무수행능력을 고려한 공격 대응방책 선정장치 및 방법

Also Published As

Publication number Publication date
WO2024106825A1 (ko) 2024-05-23

Similar Documents

Publication Publication Date Title
US11689561B2 (en) Detecting unknown malicious content in computer systems
Sun et al. Deep learning and visualization for identifying malware families
Yerima et al. High accuracy phishing detection based on convolutional neural networks
KR20190070702A (ko) 텍스트 마이닝 기반 보안 이벤트 자동 검증 시스템 및 방법
Wang et al. A novel few-shot malware classification approach for unknown family recognition with multi-prototype modeling
Pektaş et al. Ensemble machine learning approach for android malware classification using hybrid features
Fang et al. A new malware classification approach based on malware dynamic analysis
Ma et al. A comprehensive study on learning-based PE malware family classification methods
Wang et al. Malicious code classification based on opcode sequences and textCNN network
Chen et al. Adversarial attacks on voice recognition based on hyper dimensional computing
CN113434858A (zh) 基于反汇编代码结构和语义特征的恶意软件家族分类方法
Chandak et al. A comparison of word2vec, hmm2vec, and pca2vec for malware classification
Xiao et al. A multitarget backdooring attack on deep neural networks with random location trigger
More et al. Trust-based voting method for efficient malware detection
Hamolia et al. Intrusion detection in computer networks using latent space representation and machine learning
CN116432184A (zh) 基于语义分析和双向编码表征的恶意软件检测方法
KR20220060843A (ko) 머신러닝과 시그니처 매칭을 결합한 문서형 악성코드 탐지 장치 및 방법
Jere et al. Principal component properties of adversarial samples
Hamad et al. BERTDeep-Ware: A Cross-architecture Malware Detection Solution for IoT Systems
Santhadevi et al. Light Weight Gradient Ensemble Model for detecting network attack at the edge of the IoT network
KR20240074049A (ko) 인공지능 기반 변이된 공격 그룹 식별 가능한 시스템 및 방법
Karampidis et al. File type identification for digital forensics
Khazaee et al. Using fuzzy c-means algorithm for improving intrusion detection performance
Bonandrini et al. Machine learning methods for anomaly detection in IoT networks, with illustrations
KR102405799B1 (ko) 사이버 공간에서 실시간 공격 탐지를 위한 시간에 따른 지속적인 적응형 학습을 제공하는 방법 및 시스템

Legal Events

Date Code Title Description
E902 Notification of reason for refusal