:: 정보보안에서의 인공지능 도입 분야와 주요 사업자(KISA) 요약 ::
+ 인공지능 오픈소스
- python, java, c, go, javascript library 지원
- OS: Windows, Linux, MAC, 라즈베리파이
NVIDIA cuDNN, DL4J, Caffe
+ FACT
- 방대한 정보보안 관련 인터넷 지식들을 모두 검색하여 이해하고 패턴화시키는건 힘든 노가다
- 악성코드의 증가율 역시 다양한 변종의 출현과 함께 매번 새로운 기록 갱신중
- 분석해야 할 데이터 량의 급속한 증가는 인공지능 분석 필요성중 하나
- 새로운 취약점과 위협은 나날이 등장하고 있는데, 이에 대해 모두 인지하고 대응하기는 사실상 어려운일.
- 매년 취약점 발표건수는 급증하고 있음 (2016년 대비 2017년은 31% 증가)
- 알려지지 않은 취약점을 이용한 공격일 경우 탐지 어려움
+ AI 대안
인공지능은 학습 기간 동안 지도학습과 비지도학습을 반복하며, 보안 관련 문맥, 문맥과 문맥 사이의 관
계, 연관된 행위 정의, 다양한 룰(Rule) 등을 정의하여 비정형 데이터로부터 정형 데이터 및 연관된 지식의 구조화된 체계를 만듬
IBM의 Watson for Cyber Security에서는 통계적인 정보와 관계성 추출모델(Statistical Information and Relation Extraction - SIRE)을 보안 문맥에 대한 자연어 처리와
인공지능에 대한 학습 모델로 사용
인공지능은 보안 연구자들이 보다 빨리 분석하고 새로운 위협을 식별할 수 있도록 도와줌.
+ 활용사례
1) 이벤트에 대한 데이터 마이닝으로 기존 솔루션에서 감지 하지 못한 위협 식별
93%의 통합보안 관제센터 관리자가 모든 잠재적인 위협을 선별하지 못하고 있으며, 대기업에서 근무 중인 42%의 사이버 보안 전문가들은 '보안 경보의 중요한 숫자'들을 알지 못한다.
또한 보안 회사의 31%는 보안 경보를 때때로 무시할 수 밖에 없다고 하며, 전체 보안 경보를 관리할 수 없기 때문에 경보의 50%를 무시한다.
첫 번째로 살펴 본 인공지능 기반으로 생성된 위협 인텔리젼스를 활용하여 통합 보안 관제 대상 기업 내 IT 자산과 로그,
이벤트에 대해 데이터 마이닝으로 보안 솔루션이나 서비스에서 감지하지 못한 위협에 대해 탐지 및 식별하는 방식으로 적용하는 사례가 있다.
2) 오탐을 줄여주기 위한 방향으로 활용
반면에 관제 인력이 미쳐 파악하지 못한 이상 로그나 이벤트, 공격의 징후를 파악 및 오탐을 줄여 주기 위한 방향으로 활용하고자 하는 사례가 있다.
거의 대부분의 ESM 및 SIEM 솔루션 공급회사에서 매우 활발하게 연구되고 있다. ESM과 SIEM 기능 내에서 보다 향상된 상관 분석을 위해서나,
위협 판단 행위에 대한, 그리고 통계적인 베이스라인 제시와 다차원 분석 분야에 인공지능 혹은 기계학습에 대한 기술들이 적용되고 있음
+ 도입 효과
인공지능을 통합 보안 관제에 활용해 본 결과, 기존 위협 분석보다 60배 더 빨라졌으며, 분석 속도가 수시간에
서 수분 이내로, 보안 운영의 업무 부담이 25배 절감되었으며, 식별되지 않았던 새로운 위협의 탐지가 10배 증가되었다고 한다
> 대표적인 기업: IBM, LogRhythm, SparkCognition
> IBM Havyn: 기존의 watson은 인간과 대화 간으한 통합보안 관제 지원 서비스. 하빈은 음성을 기본 인터페이스로 하여문자 입력, 클릭과 같은 사용자 입력을 받아 하빈 클라우드에 전달하고 답변을 표시하여 음성으로 읽어줌.
+ 보안 분야별 활용안
1) 네트워크 패킷 분석
전통적인 침입탐지시스템은 탐지하고자 하는 공격에 대한 정보와 시그니처가 있어야 하고, 정보와 시그니처가 없는 공격을 인지하기까지는 상당한 시간과 분석이 필요함.
네트워크 분석 시스템의 인공지능 혹은 기계학습 기반 기술의 도입을 통해 기존 네트워크 활동을 학습시키고, 평상 시 네트워크 활동 사항으로부터 이상 행위를 분석 및 추론
즉, 정상정인 네트워크 패킷과 각종 비정상적인 네트워크 패킷을 수집하고, 이 패킷에 다양한 기계학습 알고리즘을 적용하여 지식을 자동으로 생성
정상/비정상 분류 모델: 베이지안(Bayesian), LDA(Latent Dirichlet Allocation), Holt-Winters 모델 등이 주로 채택됨
이후 실제 사용자 데이터를 분석하며 규칙과 모델을 확인하며 이상 사용자를 탐지 혹은 위험 점수를 조정
> 대표적인 기업: 다크트레이스, 크로니클, 벡트라
2) 악성코드 분석
전통적인 안티바이러스에서도 행위 분석이라든가 위협 정보를 활용한다든가 하는 보완 기술을 적용하고 있지만,
서명 및 패턴 업데이트에 크게 의존하고 있다는 기존 한계점은 여전히 존재
VirusTotal과 같이 클라우드 기반 멀티 안티 바이러스 엔진을 통해 현재 확보된 알려진 악성코드에 대한 진단으로, 진단이 필요한 코드와 그렇지 않은 코드를 식별해 냄
첫번째 안티바이러스 엔진을 통과한 알려지지 않은 악성코드에 대해 자동화된 안티 리버싱으로 프로그램 코드화한 다음 6개의 악성 로직 혹은 그에 대한 변이를 포함하는지 분석
* 6개의 악성 로직이란?
- 취약점 공격 로직(Exploit)
- 감염 및 전파 로직(Infect)
- 시스템 호출
- 변경 및 가로채는 로직(Hook)
- 동적 프로그램 삽입(Injection)
- 비정상 시스템 자원 접근 로직(Access)
- 정보 유출 로직(Theft)
이러한 분석에도 탐지되지 않는 경우에는 샌드박스 내에서 시스템 혹은 브라우저 행위 기반 분석을 함께 수행
악성코드의 위협 모델을 기반으로 다양한 이상 행위와 IoC(Indicator Of Compromise), 블랙 IP 리스트, C&C IP 리스트와 같은 인텔리젼스 정보를 활용
악성코드에 대한 비정상 여부 판별을 수행
> 대표기업: 사이랜스, Deep Instinct, 아바스트, 마이크로소프트, 세이트시큐리티
3) 사용자 이상행위 분석
사용자의 평소 업무 패턴과 비교하여 사용자의 이상 행위가 악의성이 있는지에 대한 판단은 장기간의 분석과 함께 같은 그룹의 사용자와의 비교 등이 요구되며
정해진 규칙을 기반으로 하기에는 기준치가 없기 때문에 인공지능을 통한 위험 점수 기반 시스템이 가장 일반적으로 채택됨.
> 사용모델: 베이지안(Bayesian), LDA(Latent Dirichlet Allocation), Holt-Winters
> 대표적 기업: IBM, 스플렁크
4) Fraud Detection
사용자의 평소 마우스 움직임, 클릭, 클릭 시의 압력, 클릭과 클릭 사이의 시간 등의 여러 사용 패턴들을 데이터화하여 사용자의 행위 기반 아이덴티티를 만듬
문서 원본: http://www.kisa.or.kr/public/library/GBCT_View.jsp?mode=view&p_No=126&b_No=126&d_No=103&ST=TC&SV=
