3. 은닉 IP 주소 기반의 웹 접속 로그 분석을 통한.hwp

보안공학연구논문지 Journal of Security Engineering Vol.13, No.3 (2016), pp.205-220 http://dx.doi.org/10.14257/jse.2016.06.04 은닉 주소기반의웹접속로그분석을통한 사이버정찰행위모델링 김완주 박창욱 이수진 임재성 요약 최근사이버공격은지속적으로증가하고있으며 공격에대한신속한대응을위해공격행위를사전에인지하는것이중요한요소로부각되고있다 그러나일반적으로공격자는자신의공격을은닉하기위해 등을이용하여자신의 를숨기는기법을활용하고있어공격행위의사전인지가쉽지않다 이에본논문에서는은닉 를통해접속한공격자의웹로그를수집및분석하여은닉 기반의사이버정찰행위패턴을모델링할수있는기법을제안한다 수집된웹로그는소셜네트워크분석 및 클러스터링기법을이용하였으며 정상적인행위자의웹로그와의비교를통해은닉 를사용하는공격자의정찰행위가정상행위와는확연하게차별화됨을검증한다 핵심어 사이버전 은닉 사이버정찰 로그마이닝 소셜네트워크분석 클러스터링 Abstract Recently, cyber attacks are constantly increasing, and the recognition of cyber attacks beforehand has risen in prominence for the rapid response. However, since the attackers generally use hidden IP via VPN or Proxy to hide their actions and origins, it is not easy to recognize their attacks in advance. To address this problem, in this paper, we propose an approach to extract the cyber reconnaissance activity pattern of the attacker who uses hidden IP. We first collected the web logs that generated by the attackers who had accessed certain web pages using hidden IP. Then we analysed the collected web logs based on SNA(Social Network Analysis) and K-means clustering algorithm, and extracted some differentiated behavior patterns. We also compare the extracted behavior patterns and the normal behavior patterns of general web users to verify the differences of them. Keywords : Cyber Warfare, Hidden IP, Cyber Reconnaissance, SNA(Social Network Analysis), Clustering, K-means Received(March 22, 2016), Review request(march 23, 2016), Review Result(1st: April 13, 2016, 2st: May 20, 2016) Accepted(June 07, 2016), Published(June 30, 2016) 1 Dept. NCW Engineering, Ajou Univ., 206 Worldcup-ro, Yeongtong-gu, Suwon 16499, Korea email: sizipus1@ajou.ac.kr 2 Graduate School of Information Security, Korea Univ., 145 Anam-ro, Seongbuk-gu, Seoul 02841, Korea email: sindoll@korea.ac.kr 3 Dept. Computer Science & Engineering, Korea National Defense Univ., Jae2Jayu-ro 33, DeukYang-gu, GoYang-si 10544, Korea email: cyberkma@kndu.ac.kr 4 (Corresponding Author) Dept. Computer Engineering, Ajou Univ., 206 Worldcup-ro, Yeongtong-gu, Suwon 16499, Korea email: jaslim@ajou.ac.kr * 이논문은 2016 년도정부 ( 미래창조과학부 ) 의재원으로한국연구재단의지원을받아수행된연구임 (No. 2016R1A2A1A05005541). ISSN: 1738-7531 JSE Copyright 2016 SERSC 205

서론 년국가정보보호백서에따르면 년한해탐지된악성코드유포건수는 건으로 년의 건에비해 증가하였다 또한공격자는 주소를변조하여공격을수행함으로써좀비 식별및 탐지를어렵게하는공격기법이계속하여이용되고있다고한다 즉 사이버공격은지속적으로증가하고있는양상이며공격자는자신의위치와활동을숨기기위해 등 은닉기법을공격에지속적으로활용하고있다는점을확인할수있다 효과적인사이버작전을수행하기위해서는공격자의행위를좀더빠르게인지하는것이매우중요하다 그림 과같이사이버킬체인모델에서는사이버공격수행을 단계정찰에서 단계목적수행까지로구분하고있으며 에서는사이버킬체인 단계중 단계에서 단계까지의공격절차중발생되는디지털단서를활용하여공격그룹을식별하고공격을예측하는프레임워크를제안하였다 본논문에서는사이버킬체인의첫번째단계인정찰단계에서생성되는디지털단서인웹로그를활용하여공격행위를식별하는방안을제시하고자한다 그림 사이버킬체인모델 그림 에서제시된바와같이공격자는정찰단계에서이메일주소를수집하거나 컨퍼런스정보등공격대상에관한정보를수집한다 이때공격자는자신의행위를은밀히진행시키기위해 은닉기법을주로활용한다 따라서 공격자의정찰행위를확인하기위해서는공격자의접속원점을파악하기위한역추적기법을이용하여공격자의원점 및행위로그를확보하여야한다 또한확보된로그를통해공격자의행위를모델링하면사이버공격을사전에인지하고효과적이 206 Copyright 2016 SERSC

고효율적인대응이가능할것이다 보안공학연구논문지 Journal of Security Engineering Vol.13, No.3 (2016) 따라서 본논문에서는공격자가 은닉기법을활용해서정상적인검색행위로가장하여공개 된웹페이지에접속사이버정찰활동을수행하는로그를생성하는방안을제시한다 또한이를통 해수집된웹로그를전처리과정을통해접속요청페이지형태로재구성한다 즉 공격자 별로 접근한페이지를노드로접속한순서를링크로변환하여네트워크로모델링한다 네트워크형태 로모델링된데이터는 를통해노드별중심성을계산하고 알고리즘을이용하여유사한검색패턴을가지는 를군집화하고 클러스터별검색패턴과단순화 한페이지구조를이용하여공격자의사이버정찰활동을모델링하여제시하고 정상적인웹로그에 서접속패턴과제시한정찰패턴을비교한다 이렇게제시된사이버정찰행위모델을통해공격자의사이버정찰활동을사전에인지하고공 격에대응하는시간을단축하여효과적인사이버전수행에기여할것으로기대한다 논문의구성은 장에서관련연구를기술하고 장에서은닉 에서접속한공격자의웹로그수 집방안과 및 클러스터링을이용한사이버정찰행위모델링기법을제안한다 장에 서는제안한기법을 기관홈페이지에서적용하여사이버정찰패턴 가지를제시한다 마지막 으로 장에서결론을기술한다 관련연구 웹로그수집및분석 인터넷에공개된웹서버는자신에게요청되는질의에응답하면서처리시마다로그파일에관련 내용을기록한다 일반적으로이러한로그는웹서버및저장표준에따라다른형태로저장되며 기본적으로는요청자의 시간 요청 프로토콜 응답코드등의정보를기록하게된다 118.45.70.166 - - [21/Feb/2013:00:45:59 +0900] "GET /milpen/renewal/mainboard.do HTTP/1.1" 200 38481 118.45.70.166 - - [21/Feb/2013:00:46:00 +0900] "GET /milpen/renewal/include/css/default.css HTTP/1.1" 200 891 118.45.70.166 - - [21/Feb/2013:00:46:00 +0900] "GET /milpen/sso_agent/codeshop.css HTTP/1.1" 200 5474 118.45.70.166 - - [21/Feb/2013:00:46:02 +0900] "GET /milpen/renewal/include/css/main.css HTTP/1.1" 200 9596 118.45.70.166 - - [21/Feb/2013:00:46:02 +0900] "GET /milpen/renewal/script/navigation.js HTTP/1.1" 200 12003 그림 마이크로소프트 웹서버 공통로그예제 그림 은대표적인웹로그의예로마이크로소프트 웹서버의 표준으로저장된웹로그를보여준다 저장된기록은라인단위로이루어진요청및결과를저장하고있으며 필드별세부 Copyright 2016 SERSC 207

엔트리구조는 표 과같다 즉 해당로그의첫번째라인을통해 의 에서 년 월 일 시 분 초에 메소드를이용하여 를 프로토콜을이용하여요청하였으며 서버는해당요청에정상응답하였고 의데이터가전송되었음을알수있다 표 마이크로소프트 웹서버 공통로그파일엔티리구조 Field Appears As Description Remote host address 118.45.70.166 The IP address of the client. Remote log name - This value is always a hyphen. User name - The name of the user is unavailable. Dete, time, and GMT offset [21/Feb/2013:00:45:59 +0900] Request and protocol version GET /milpen/renewal/mainboard.do HTTP/1.1 The log file entry was created on Feb 21, 2013 at 00:45 A.M. The difference between the local time and the GMT is nine hours. The client issued a GET command for the mainboard.do file using HTTP version 1.1 Service status code 200 The request was fulfilled successfully. Bytes sent 38481 The number of bytes sent. 이러한웹로그저장방식은사용자의요청과서버의응답을적절히기록하여관리자또는분석가에게유용한정보를제공한다 하지만사이버공격자와같이비정상적인사용자가웹서버의자료를정찰하기위한목적으로자신의 를변조하여접속하였다면저장된웹로그를통해서는이러한행위를파악하기는어려울것이다 공격자의은닉 를역추적하는기술은공격시스템의위치와실제공격을시도하는공격자의위치가다르더라도실제공격자의위치즉 공격의근원지를추적하는기술을의미한다 역추적기술은통신환경과연결방법에따라다양한알고리즘들이연구되고있으며 역추적 연결역추적및 역추적으로구분할수있다 이러한역추적기법을활용하여사이버정찰행위자의은닉 를추적하고 웹로그로기록하여분석할수있다 웹로그분석기법은로그의각각의행에서의미를추출하고이용하는개행분석기법과 등의공격탐지시활용되는다수의로그간의연관성에기반한상관분석기법 정해진임계치를활용하는통계분석기법등이있다 이러한웹로그분석기법을활용하여사용자의행동을분석하여마켓팅에적용하려는연구 웹로봇 식별및대응 악성코드의분류등의연구가지속적으로이루어지고있다 특히 일반사용자의웹페이지접속패턴과텍스트수집 이메일수집 링크확인 등특정목적을수행하는웹로봇의패턴을분석하여패턴테 208 Copyright 2016 SERSC

보안공학연구논문지 Journal of Security Engineering Vol.13, No.3 (2016) 이블을제작후이를활용하여웹로봇과인간을구분하는방안도제시되었다 이렇게제안된기법들은단순한침해사고대응 마켓팅 악성웹로봇식별및대응등에효과적 으로활용될수있으나 사이버작전간이루어지는공격자의정찰활동을식별하는데직접적으로적 용하기에는제한된다 따라서본논문에서는기존의제안된기법들의장점을활용하여사이버정찰 활동을식별하기위한방안을제시하고자한다 소셜네트워크분석및 클러스터링 소셜네트워크분석 은일반적으로개인또는기관으로이루어진노드들과이들사이의관계들을연결하여생성되는구조를말한다 이러한네트워크의노드나링크의형태를분석함으로써네트워크의전체적인구조나링크의특성 노드의영향력관계등을해석가능하게하는분석기법을소셜네트워크분석또는사회연결망분석이라하고 소셜네트워크분석의주요기법은밀도 중심성 중심화 브리지 브로커 등다양하다 소셜네트워크의구성요소는관계를형성하는개체의수 연결의수 연결정도의총개수 연결밀도 등이있다 그림 은 개의노드가있을경우연결망의형태와각개념들의값을보여주고있다 연결정도란한노드에연결되어있는노드의숫자를의미하며 밀도란가능한총관계수에서실제로맺어진관계수의비율을의미한다 포괄성 은한그래프에포함된노드의총수에서연결되어있지않은결점 들의수를뺀수의비율을의미한다 따라서 분석요소들은노드의수가같더라도연결구조에따라그값이다르게나타나는것을알수있다 따라서 는네트워크구조를분석하고나아가개별노드의가치를분석하는데용이하다 Classification A B C D Topology No. of nodes 4 4 4 4 No. of links 6 4 3 2 Sum of degree 12 8 6 4 Density 1.0 0.67 0.5 0.33 Centrality (Right-upper node) 1 0.66 0.33 0 그림 네트워크의형태와개념 Copyright 2016 SERSC 209

이러한소셜네트워크분석은웹로그분석에도적용가능하다 웹사이트내각각의페이지는노드로나타낼수있고 사용자가웹페이지를이동하는모습을방향성이있는링크로표현할수있다 웹페이지검색로그를노드와링크로정의한후소셜네트워크분석을통해접속사용자 별중심성분석을통해개별사용자가중요하게접근하는페이지등을구분할수있으며이를기준으로접속사용자 를클러스터링할수있다 클러스터링알고리즘은가장일반적으로사용되는분할클러스터링알고리즘인 알고리즘을활용한다 해당알고리즘의기본개념은패턴들과그패턴이속하는클러스터의중심과의평균유클리드안 거리를최소화하는것이다 알고리즘과간단한예제를통해클러스터링과정을 그림 에서보여준다 - Step 0: Select K objects as initial centroids. - Step 1: (Assignment) For each object compute distances to k centroids. Assign each object to the cluster to which it is the closest. - Step 2: (New Centroids) Compute a new centroid for each cluster. - Step 3: (Converage) Stop if the change in the centroids is less than the selected covergence criterion. Otherwise repeat Step 1. 그림 알고리즘및간단한예제 은닉웹로그수집및분석을통한사이버정찰행위모델링기법 사이버정찰행위모델링절차 공격자가 은닉기법을활용하여정보를수집할때사이버정찰행위를식별하기위한절차는 그림 의과정을이용한다 단계는은닉 역추적기법을이용하여사이버정찰을실시하는로그를수집하는단계이며세부절차는 절에서설명한다 단계는 단계에서수집된로그를전처리하는과정 각노드 페이지 별중심성를계산하는과정 알고리즘을활용하여유형별로클러스터링하는과정 클러스터별행위를모델링하는과정으로구성되며세부내용은 절에서설명한다 210 Copyright 2016 SERSC

보안공학연구논문지 Journal of Security Engineering Vol.13, No.3 (2016) 은닉요청에대한웹로그수집 그림 사이버정찰행위모델링절차 전장에서살펴본바와같이공격자의원점 를추적하는기법은다양하게존재한다 그중에서공격자의사이버정찰활동이정상적인서비스가진행중인홈페이지등의검색을통해이루어진다면해당홈페이지를접속하여정찰활동을수행할때로그를수집하는것이가장합리적인로그수집형태가될것이다 따라서 공격자가웹컨텐츠를검색하기위해일반적인브라우저를이용하고자신의위치를은닉하기위해 서버등을이용한다고고려하면 그림 과같은방법으로공격자의원점 와정찰로그를수집한다 이러한기법은 기반 역추적기법의일종이다 그림 제안하는플러그인기반역추적기법 Copyright 2016 SERSC 211

제안하는역추적방식의세부동작방식은다음과같다 최초공격자는 를지원하는웹브라우져를통해자신의 를은닉하기위해프록시네트워크를거쳐정찰대상웹서버를탐색하게된다 이때정찰대상웹서버에는역추적코드를포함하는 가내장되어있어이를공격자에게전달하게된다 공격자의브라우져는응답되어온 를실행할때내부의역추적코드가동시수행되게되며 이를통해공격자의실제 및브라우저정보등을웹서버에위치한역추적로그저장서버로전송하게된다 역추적로그는원점 경유지 접속요청일자및시간 접속요청 파라미터정보포함 웹브라우져정보를포함한다 본논문에서는 를은닉하여자료를정찰하는행위를탐지하기위한역추적로그를생성하므로많은정보를포함하지는않으나 필요시공격지원점에대한지리적정보 주변네트워크정보등추가정보를획득한다 은닉웹로그분석에의한공격자정찰행위모델링 절에서제안된기법에의해수집되는로그를활요하여로그전처리 노드별중심도계산 클러스터링 클러스터별모델링의절차에의해공격자정찰행위를모델링한다 사이버공격자가특정조직을공격하기위해해당기관이운영하고있는인터넷홈페이지에서정보를수집한다면해당사이트에 절에서제안된기법을이용하여 은닉웹로그를수집한다 해당페이지는게시판형태의구조를가지며 상단의 개의분류메뉴를포함하고있다 특정분류선택시해당분류목록에속하는게시물목록이보여지며 특정게시물을선택하면세부내용을확인할수있는형태로구성된다 홈페이지는 그림 과같이 개의층으로구성되어있으며 개의기능페이지로구성된다 Entity Description Main Main page Cate. #1 View Board in Category #1 Cate. #2 View Board in Category #1 Cate. #3 View Board in Category #1 Sub_Cate. View Board in Sub_Category View_List View Subject in Selected Cate. Read_Body Read Body in Selected Subjec 그림 일반적인웹페이지구조및페이지설명 212 Copyright 2016 SERSC

보안공학연구논문지 Journal of Security Engineering Vol.13, No.3 (2016) 단계는지속적으로은닉 를활용하여정찰활동을수행하는원점 의로그를단순화하는 과정이다 이과정에서는전체로그에서원점 경유지 접속일시 파라미터를제외한요청 의형태로단순화시키고 단순화된로그는원점 를기준으로접속일시순으로리스트화한 다 그림 은웹로그전처리과정과 별접속리스트를작성한예를보여준다 IP_A : Start A B F B F G F A C F A End IP_B : Start D F G F G A E F G A B End IP_C : Start G A D F G C C F G F G End 그림 웹로그전처리 파라미터제거 및 별접속리스트예제 단계에서는전단계에서작성된 별접속리스트를이용하여접속페이지는노드로접속경로를링크로정의하여네트워크모델로변환후 소셜네트워크분석을이용하여각노드 페이지 별로근사중심성 을계산한다 노드 의근사중심성은노드 로부터모든 의다른노드까지의최단거리의합의역수이다 거리의합이그래프에서노드의수에의존하기때문에 근접도 는가능한최소거리 의합으로정규화된다 노드별근사중심성은식 과같이계산한다 식 에서 는 와 사이의최단거리이며 은그래프의노드의수이다 각노드별근사중심성을계산한결과는 그림 과같이보여진다 단계는소셜네트워크분석을통해계산된근사중심성결과값을기반으로 알고리즘을적용하여유사한특징을갖는 별로클러스터링한다 그림 은 로적용하여클러스터링한결과를간단한보여준예제이다 의값에따라클러스터의수가결정되며 의값은전체거리의제곱근의합을클러스터간의거리의제곱근의합으로나누어클러스터링최적값을선정하여활용한다 Copyright 2016 SERSC 213

그림 근사중심성계산결과예제 단계에서는각각의클러스터에서웹페이지접속순서패턴을생성한다 접속은최초페이지에연결된후검색을진행하고연결이종료될때하나의접속으로간주한다 클러스터별대표 는해당클러스터내가장많은로그를수집한 를대상으로선정하고 웹페이지접속순서패턴은다수의동일접속패턴을선별한후이를단순화하여사이버정찰모델로제시한다 그림 알고리즘을적용하여클러스터링한결과예제 214 Copyright 2016 SERSC

보안공학연구논문지 Journal of Security Engineering Vol.13, No.3 (2016) 실험및결과 실험환경 사이버공격자의정찰활동을식별하기위해정찰활동대상으로 일보웹사이트를선정하였다 해당웹사이트는특정도메인관련다양한소식이빠르게기사화되어게시되므로다양한정보를획득하기위한정찰대상으로적합할것으로판단된다 따라서 해당웹사이트에제안한역추적기법을활용하여 개월 간은닉 에서접속하는웹로그를수집하였다 실험데이터의가시화는 사의 를활용하였으며 전처리및 분석은 과 라이브러리를활용하였다 클러스터링은 을활용하였다 로그수집및분석결과 제안된기법을통해 개월간은닉 를활용하여웹사이트를검색하는 는총 개의 가식별되었으며 접속로그는 라인이수집되었다 수집된로그는 장에서제안된바와같이로그전처리과정을수행하였다 그림 는전처리과정이끝난로그데이터중 개의 를이용하여웹사이트를검색한결과를가시화한그림이다 가시화한 개의 는모두지속적으로다양한페이지를내용을검색하였음을보여준다 전처리과정이끝난로그데이터의접근페이지는총 개로식별되었으며 별각페이지의근사중심성을계산하여테이블로작성하였다 작성된테이블은 알고리즘을이용하여클러스터링하였다 이때 는 까지의범위에서최적화된값을선정한결과 일때 로최적화되므로 로적용하여클러스터링하였다 클러스터링결과클러스터별포함되는 분포는 표 와같이구해졌다 각클러스터별최다접속을나타낸 는해당클러스터의대표 로선택하여행위를모델링한다 표 일때클러스터링결과 C_1 C_2 C_3 C_4 C_5 C_6 C_7 C_8 C_9 Number of IPs 136 688 40 2214 250 10 305 46 158 Occupancy Rate (%) 3.5 17.9 0.01 57.6 6.5 0 7.9 1.2 4.1 Copyright 2016 SERSC 215

Hidden IP #1 (xxx.45.178.14) Hidden IP #2 (xxx.103.64.145) Hidden IP #3 (xx.201.49.112) Hidden IP #4 (xxx.186.110.11) [ 그림 12] 은닉 IP 활용웹페이지정찰활동가시화 [Fig. 12] Visualization of web page reconnaissance using hidden IP 정찰활동을식별하기위한대상홈페이지는다양한페이지로구성되어있으나이를기능형태로단순화할수있다 해당홈페이지는총 개의계층으로구현되어있으며첫번째계층은메인페이지 두번째계층은전체기사보기 오늘의전체기사 검색 형태의신문보기로구성되며 세번째계층은선택한기사보기와목록리스트보기로구성되고마지막계층은전체기사목록보기로구성되어있다 주요정찰활동에활용된페이지의단순화한결과는 그림 과같다 그림 의웹페이지를대상으로실험과동일한 개월간의정상적인접속로그를제안한분석기법에의해분석한결과일반적인사용자의해당홈페이지접속패턴은 그림 와같이나타났다 즉 모델 과같이외부에서기사링크를클릭하여홈페이지에접속후기사를열람하고돌아가는패턴이전체접속로그의 를차지하였으며 모델 와같이메인페이지에접속후기사를선택하여열람하고접속을종료하는패턴이전체접속로그의 를차지하였다 216 Copyright 2016 SERSC

보안공학연구논문지 Journal of Security Engineering Vol.13, No.3 (2016) Entity main.do all_list_kook.do all_today.do globalsearch.do pdfview.do view.do list.do all_list_view.do Description main page all article of newspaper today s all article article search pdf type newspaper read an article listing article title view all article title 그림 정찰대상웹페이지단순화및구성요소설명 General User Model #1 General User Model #2 그림 정상사용자의웹탐색모델링결과 은닉기법을활용한웹접속로그를제안한기법에의해클러스터링한결과점유율이 이상인 의대표 검색패턴을단순화한웹페이지구조에기반하여정찰패턴을그래프로표시하면 그림 와같이정찰활동을모델링할수있다 즉 정찰모델 번의행동패턴은 번째계층의기사보기에접속후오늘의전체기사로이동하였다가메인페이지로접속하였다 이후목록보기에접속하는순서로웹사이트를이용하였다 이러한활동순서는특정한관심기사를읽은후오늘의최신기사를보고 메인페이지에접속해분야별로나뉘어진전체기사요약을본후특정분야의기사목록보기로접속했음을알수있다 정찰모델 번 번역시정상적인웹사이트기사열람방식과는다른형태로해당홈페이지를검색하는행동패턴을보여주고있다 Copyright 2016 SERSC 217

Reconnaissance Model #1 Reconnaissance Model #2 Reconnaissance Model #3 Reconnaissance Model #4 그림 은닉 별정찰활동모델링결과 결론 사이버공간이군사작전영역으로확대되고영향력이커지고있는현실에서공격자의공격행위를빠르게인지하고대응하는것은작전성공을위한핵심요소로부각되고있다 본논문에서는공격자가공격을수행하기위해사이버공간상에서정보를수집하기위한정찰활동을식별하기위한방안을제시하고정찰패턴을모델링하였다 제안된기법은은닉 접속로그수집 로그전처리 네트워크분석 클러스터링 정찰패턴모델링의단계를통해수행된다 본논문에서는공격자의정찰행위를식별하기위해정찰대상홈페이지를선정하여제안된역추적기법을적용하여 개월간의웹접속로그를수집하였다 수집된웹로그는제안한분석과정및클러스터링과정을통해 개의패턴그룹으로분류하였다 분류된 개의그룹중 이상의점유율을가지는 개의패턴을단순화된홈페이지모델에적용하여 개의사이버정찰모델을제시하였다 제시된 개의모델은주체와의도를명확히설명하지못하였으나일반적으로웹사이트를검색하는사용자와는확연히다른행동패턴을보여주고있음을확인할수있었다 향후모델링된정찰패턴을일반적으로수집된웹로그에적용하여추가공격자의 를식별할수있을것으로기대하며또한정찰활동에활용된 를통해공격주체식별및공격예측에도활용될수있을것으로기대한다 218 Copyright 2016 SERSC

보안공학연구논문지 Journal of Security Engineering Vol.13, No.3 (2016) References [1] NIS, MSIP, KCC, MOSPA, KISA, NSRI, "2015 National Information Security White Paper" (2015). [2] Eric M. Hutchins, Michael J. Cloppert and Rohan M. Amin, "Intelligence-Driven Computer Network Defense Informedby Analysis of Adversary Cam-paigns and Intrusion Kill Chains", Lockheed Martin Corporation White Paper. (2010). [3] Wanju Kim, Changwook Park, Soojin Lee, Jaesung Lim, "Methods for Classification and Attack Prediction of Attack Groups based on Framework of Cyber Defense Operations", KIISE. (2014), Vol. 20, pp.317-328 [4] Jason Holcomb, "Applying the Cyber Kill Chain to ICS:Part 1", Digital Bond, Online available: http://www.digitalbond.com/blog/2011/11/22/applying-the-cyber-kill-chain-to-ics-part-1, Feb 28 (2016). [5] J.T. Kim, M.H. Han, J.H. Lee, J.H. Kim, I.K. Kim, "Technical Trends of the Cyber Attack Traceback", 2014 Electronics and Telecommunications Trends, pp.93-103 (2014). [6] AlNoamany, Yasmin A., Michele C. Weigle, and Michael L. Nelson. "Access patterns for robots and humans in web archives." In Proceedings of the 13th ACM/IEEE-CS joint conference on Digital libraries, (2013). July 22-26; Indianapolis, USA. [7] Tan, Pang-Ning, and Vipin Kumar. "Discovery of web robot sessions based on their navigational patterns." In Intelligent Technologies for Information Analysis, pp. 193-222. Springer Berlin Heidelberg, (2004). [8] Hyoyoung Lim, Yukiko Yamaguchi, Hajime Shimada, Hiroki Takakura, "Malware Classification Method Based on Sequence of Traffic Flow", ICISSP 2015. (2015), February 9-11; Loire Valley, France. [9] Kwon, Shinil, Young-Gab Kim, and Sungdeok Cha. "Web robot detection based on pattern-matching technique." Journal of Information Science 38, No. 2 pp.118-126 (2012). [10] Y. H. Kim, Social Network Analysis, PARKYOUNGSA, (2011). [11] Seong-Hee Kim, Rho-Sa Chang, "The Study on the Research Trend of Social Network Analysis and the its Applicability to Information Science", JKSIM. (2010), Vol. 27, No. 4, pp.71-87. [12] Dong-Seok Kim, Gun-Woo Park, Sang-Hoon Lee, "An Algorithm for Evaluating Effects of the C4I System Network based on SNA", Journal of KISS. (2013), Vol. 40, No. 4, pp. 243-250. [13] Lloyd, Stuart P. "Least squares quantization in PCM." Information Theory. (1982), IEEE Transactions on 28, no. 2 pp. 129-137. [14] MacQueen, James. "Some methods for classification and analysis of multivariate observations." In Proceedings of the fifth Berkeley symposium on mathematical statistics and probability. (1967), June 21-July 18, California, USA. [15] Freeman, Linton C. "Centrality in social networks conceptual clarification." Social networks 1. (1978), no. 3, pp. 215-239. [16] i2 http://www.ibm.com/software/products/en/i2-analyze, Feb 28 (2016). Copyright 2016 SERSC 219