편집거리를 활용한 보안우회 악성메일 탐지 및 K-Means를 통한 BruteForce 공격 탐지에 관한 연구

Abstract

최근 발생하는 사이버공격의 대다수는 악성메일 공격에서부터 시작한다. 공격자는 사회공학적기법을 이용한 악성메일을 공격대상에게 발송하며, 이를 방어하기 위한 보안시스템을 우회하려는 시도를 한다. 결국 보안시스템을 우회해서 악성메일을 수신한 사용자가 악성메일을 열람하게 되면 공격이 성공하게 된다. 따라서 방어하는 입장에서는 보안시스템을 우회하여 사용자의 메일함까지 도달한 악성메일을 사용자가 읽지 않게끔 해야 한다. 이를 위해, 메일시스템에서 편집거리(edit distance)를 활용한 정보를 사용자에게 제공하는 방법을 제안한다. 이 방법을 적용한 경우 사용자가 메일함에 수신한 의심스러운 메일을 열람하지 않도록 유도할 수 있을 것으로 기대한다. 한편, 네트워크트래픽 분석을 통한 사이버공격 탐지방법은 기존에 알려진 공격패턴은 탐지가 가능하나, 변형된 유형의 공격은 탐지하기가 어렵다. 또한, 보안관제조직이 모든 보안장비에서 발생하는 알람을 적절하게 처리하기에는 물리적인 한계가 존재한다. 이를 해결하기 위해 사이버공격을 탐지하기 위해 머신러닝(machine learning)이 얼마나 이점을 가지는지 실험해보았다. 이 논문에서는 BruteForce 공격을 탐지하기 위해 K-평균 알고리즘(K-Means Clustering Algorithm)을 이용하여 BurteForce 공격을 탐지하기 위한 모델을 생성하고, 해당 모델이 실제로 활용가능한지에 대해 실험을 해보았다. 실험해본 결과, 단순히 학습데이터가 가지고 있는 특성만을 이용하여 공격탐지모델을 생성하고 테스트했을 때에는 F-1 Score가 0.82 정도였다. 하지만, BruteForce 공격의 특성을 고려하여 시간과 연관된 새로운 특성을 학습한 공격탐지모델을 생성한 경우, F-1 Score가 0.98 이상으로 높아졌으며, 공격탐지모델을 생성하는 데 걸리는 시간도 대폭 감소하였다.