earticle

영어

APT (Advanced Persistent Threat) attack is one of the most threatening attacks among various attacks that exist in cyberspace, and has a clear intention and target. APT attacks to steal sensitive information from the target using complex and diverse methods and techniques. The reality is that the attack method of these APTs is also becoming very intelligent due to the development of advanced technology and artificial intelligence. Since these APT attacks are designed for a specific attack target, it is difficult to detect them with pre-designed rule-based techniques. Therefore, in this paper, for APT attack detection, we propose a method to detect the connection with the C&C server in the early stage of an APT attack. If this technique detects the connection between the C&C server and malware at an early stage, it can have the advantage of quickly responding to APT attacks. To increase this efficiency, we proposed a method of detecting the C&C server through machine learning-based analysis after collecting network traffic related to the DNS server. The excellent performance of the proposed technique was confirmed through experiments.

한국어

APT(Advanced Persistent Threat) 공격은 사이버 공간상에 존재하는 다양한 공격 중에서 매우 위협적인 공격의 하 나로서 분명한 공격 의도와 대상이 존재하는 형태이다. APT는 복잡하고 다양한 방법과 기술을 사용하여 공격 대상으 로부터 중요 정보를 탈취하기 위해 공격한다. 이러한 APT는 첨단 기술과 인공지능의 발달로 공격 방식도 매우 지능화 되고 있는게 현실이다. 이러한 APT 공격은 특정 공격 대상에 맞게 설계되어 있어서 미리 설계된 규칙 기반 기법들로 는 탐지가 어렵다. 따라서 본 논문에서는 APT 공격 탐지를 위해 APT 공격 초기에 C&C 서버와의 연결을 탐지하는 기 법을 제안하였다. 이 기법은 C&C 서버와 멀웨어의 연결을 초기에 탐지하게 된다면 APT 공격에 대해 신속하게 대처할 수 있는 장점을 가질 수 있게 된다. 이러한 효율성을 높이기 위하여 DNS 서버와 관련한 네트워크 트래픽을 수집한 후 머신러닝을 기반으로 한 분석을 통해 C&C 서버를 탐지하는 방법을 제안하였다. 제안한 기법의 우수한 성능은 위해 실 험을 통해 확인할 수 있었다.