Global Leading Security All In Sniper 윈스연구소장조학수
1. 배경소개 보안기술변화요구 효율성 낮음 IoT Mobile Cloud BIG date 3
1. 배경소개 차세대보안 미래보안서비스플랫폼및위협대응 Flow Global-CTI Threat-DB ORG 빅데이터 제품 #1 DR 제품 #n SM 제품 #n SM 이벤트이벤트이벤트 Threat-DB Alliance 4
1. 배경소개 위협정보공유기술동향 Global - CTI 업체 Symantec Cloud 기반 TI 서비스 DeepSight Intelligence 해외 C T A 가입벤더 포티넷 McAfee alo Alto Check oint Cisco Security Fabric Global Threat intellignece WildFire ThreatCloud Talos 기타 H IBM Threat Central X-Force xchange 클라우드위협정보공유 / 협업방식으로제품탐지성능향상 금융 / 공공 / 국방 ISAC KISA - CTAS 위협정보공유연구 국내 - 위협정보 DB 는기업의경쟁력 => 정보공유의어려움 망관리측면생성 / 관리되어공유의어려움 ( 국소적대응정책공유 ) 비영리기관서비스운용으로위협정보공유활성화어려움 ( 위협정보수집도구로 ) - STIX/TAXII 기술은연구단계 => But, 보안기업들위기감 5
2. KOSIGN 프로젝트 이기종보안솔루션들의효과적인사이버위협탐지ㆍ대응을위한 KOSIGN 서비스기술개발 [W-A] [CTI] Cyber Threat Intelligence cre= 43$ cre= {43$} cre= #@!@# TI_DB 위협분석요청 위협분석리포트 [MSI] Multi-layer Security Intelligence TI_DB 이벤트 / 상태정보전달 대응정책제공 [DR] 엔드포인트위협탐지ㆍ대응 (DR) *. KOSIGN (Korea Open Security Intelligence Global Network) : 한국형오픈시큐리티인텔리전스공유기술을글로벌한네트워크에적용하기위한서비스이름 6
3. CTI 플랫폼 개요 AI 수집 개발응답 위협정보공유포탈 사이버킬체인생성 수집 Agent 회원사 MSI 허용된단말자동응답계약된회원사자동응답 TI_DB 배포 / 공유 A 그룹 행위 A / 30 Counts 행위 C / 12 Counts 행위 B / 4 Counts 행위 D / 2 Counts B 그룹 행위 A / 2 Counts 행위 C / 4 Counts 행위 D / 30 Counts 행위 A 행위 B 행위 A 행위 C 행위 D A 그룹 B 그룹 행위 X N 그룹 A 그룹 B 그룹 N 그룹 U N I V R S I T Y G-CTI 자동응답 그룹별행위랭크 (Top K) 공통행위추출 유사악성코드 그룹별행위분석 악성의심파일수집 악성코드분석및특징추출 악성코드분류모델구축 행위정보 Incident xploit Target TT(Observable) 입력 클러스터링 입력 딥뉴럴네트워크학습 샌드박싱 STIX/CyboX Data Indicator 특징추출 A 그룹 Dataset B 그룹 학습된딥뉴럴네트워크 수집 그룹분류된악성코드 딥뉴럴네트워크튜닝 포탈 Honeypot 수집 클롤링수집 ( 악성파일 /URL) 회원사관제솔루션 관련기관연동 (G-CTI, CTAS,) 기계학습 딥러닝 7
4. Malware Analysys Bag of words Karen Reimer Legendary, Lexical, Loquacious Love,1996 - 로맨스소설 - 알파벳순으로등장횟수만큼단어를나열 - her 8 페이지 - his 2.5 페이지 문학작품에대한정량적계측 단어의빈도로소설읽기 8
4. Malware Analysys Text Classification & Malware https://towardsdatascience.com/machine-learning-nlp-text-classification-using-scikit-learn-python-and-nltk-c52b92a7c73a 단어의빈도수로유사한논문분석할수있다면? 9
4. Malware Analysys 악성코드의단면 Cuckoo Behavioral analysis IDA ro http://sandbox.pikker.ee/analysis/1347778/summary/ 10
5. Malware Labeling Malware Classification Supervised Learning Dataset 구성 Malware 의 Label 과 Kaspersky labeling 11
5. Malware Labeling CTI 시스템구조및위협정보수집 CTI-DB <CIT 기능블록 > < 위협정보수집 DB 내역 : 17 년 12 월 31 일 > 백신의한계 Locky https://www.virustotal.com/ko/file/3248eebe0f47730f9ef4c9d3cf9625dfdc55ef678ec4 8d4c814caea75997a67f/analysis/ NIMDA https://www.virustotal.com/ko/file/3a120d08f33cd7a8fef7c61c70da6a5e858c195d263 6a5999746925c900cfed8/analysis/ CAT-QuickHealTrojanWS.ZBot20170201 https://www.virustotal.com/ko/file/37f8689b5e97eaf335cf5f63e5ceafb6ef5b88d8aff1 9bd68a450366655ee78a/analysis/ 유사도 99.98% 12
5. Malware Labeling Malware Labeling 전문가 Kaspersky Similarity Analysis xpert & xpertee http://blog.jpcert.or.jp/2017/03/malware-clustering-using-impfuzzy-an 13
6. KOSIGN 서비스 CTI 서비스 <CTI 시스템프로토타입 UI> < 위협정보상세리포트 UI> 딥뉴럴기반의악성코드유사도그룹분류모델알고리즘 Hidden1 1 그룹 2 그룹 3 그룹 n 그룹 512x16 Flat Layer 625 9 Classification Step (Fully Connected) 14
6. KOSIGN 서비스 딥러닝기반악성코드분류모델 악성의심파일수집 악성코드분석및특징추출 딥너링기반악성그룹분류 사이버킬체인 TI-DB 동적분석 행위정보 STIX Data TI_DB IDA ro, Objdump 바이러리분류를위한업 / 다운샘플링 인공신경망 (ANN), 합성곱 신경망모델 (CNN) 적용 Opcode 시퀀스 + n-gram n-gram 피쳐해싱기법 악성코드동작분석지표추출및유사도분류성능 악성분류특징 - 바이러리분류 ( 고정크기변환 ) - 디스어셈블분류 (Opcode 시퀀스 ) - 바이러스토탈및 Kaspersky 진단명으로라벨링한지도학습 타기술과의차이점 - 딥러닝모델의입력벡터의크기제한으로인한충돌최소화하는피쳐해싱기법적용 - 악성파일자체를이용하여비교적높은분류정확도얻음 (not 이미지처리방식 ) => 딥러닝기술로악성코드분류및그룹핑의가능성확인 - 텐서플로우기반의다양한학습모델적용하여목표성능확보 15
6. KOSIGN 서비스 서비스화면 알려지지않은악성코드 Dynamic/Static Analysis 자료 DB 활용 행위유사성검증을통한유사한정상파일, 악성파일제시 16
6. KOSIGN 서비스 성능검증 실제분석되지않은악성코드를이용하여검증 바이러스사인 (Virussign) 의 3개월치실제악성코드수집 수집기간을나누어초기에수집된데이터로학습한모델이나중에수집된악성코드에도효과적으로작동하는것을검증 ( 학습 : 7.27 ~ 8.31, 검증 : 9.01 ~ 9.30) 총 3.5M 건의악성코드로시험 7 월 27 일 ~ 8 월 (1.52M 건 ) 9 월 (1.97M 건 ) 다양한딥러닝분류모델개발및실험완료 학습모델및입력정보기준모델 주요시험환경 96.4% 99.7% 98.0% 83.4% 88.4% 83.7% 파일의악성유무판단정확도는높은것으로판단됨 악성특성을통한그룹핑정확도를높이기위한검색기능고도화필요 연구방향성수립 대량의악성코드 Training 을통한빅데이터기반머신러닝전처리과정을수행되면, 딥러닝모델의우수성확인 악성코드의특성을고려한유사도분석중심의검색기능개발필요성확인 17
7. 향후계획 xpert-xpertise 모델에의한 Malware Labeling 기존 Label은백신탐지명의존 Virus Total에등록된백신수 66종 66명의전문가와전문가가생성한 Label Labeling에유사도분석적용 Multi-classification 정확도향상 Training Set 과 Test Set 의 Labeling 품질강화 Malware 의 Static/Dynamic 유사도강화학습적용 KOSIGN 서비스공개 1000만건 Malware 수집 DB 연내서비스 임의의 File 제공시정상성탐지, 가장유사한 File 정보제공 Kill Chain 정보제공 18
감사합니다.