earticle

영어

APT attacks are cyber threats that target specific organizations for a long period of time and utilize sophisticated hacking techniques. They are frequently carried out by state-sponsored hacking groups and cybercrime organizations. They are carried out by continuously attacking specific targets over a long period of time in a highly sophisticated manner, accessing and stealing confidential information, making it difficult to detect them in a timely manner. In addition, while general malware targets an unspecified number of people, APT attacks target government-related organizations, financial institutions, or companies, so the damage can affect not only individuals but also the entire society, such as countries and companies, and can significantly threaten society, economy, and national security. Therefore, early detection is urgently needed. Therefore, in this paper, we propose a feature classification technique that utilizes n-gram analysis and BERT-based text mining techniques to classify the characteristics of APT attack executable files. This technique converts APT executable files into hexadecimal strings, expresses the features in n-gram format, and inputs them into a BERT model to generate a unique feature vector. After that, we systematically classified the APT characteristics by applying Few-shot Learning to classify the patterns of executable files more precisely. We could confirm that the technique proposed in this paper improved the APT attack detection accuracy by 8-12% compared to the existing machine learning-based detection model. In particular, it was found to be more effective than the existing detection model in detecting obfuscated codes and fileless attack techniques. Based on this, it is expected to contribute to the development of a more sophisticated analysis framework for detecting APT attack executable files and the development of a real-time APT detection system in the future.

한국어

APT 공격은 특정 조직을 장기간 표적화하며 정교한 해킹 기법을 활용하는 사이버 위협으로, 국가 주도 해킹 그룹 및 사이버 범죄 조직에 의해 자주 수행되며, 고도로 정교한 방식으로 특정 표적을 오랜 기간에 걸쳐 지속적으로 공격하면서 기밀 정보에 접근하여 이를 탈취하는 방법으로 진행되고 있어 이를 적시에 탐지하는 것이 어려운 실정이다. 그리고 일반 악성 코드 들은 불특정 다수를 대상으로 하지만, APT 공격은 정부 관련 기관, 금융기관 또는 기업을 공격 대상으로 삼고 있기에 그 피해 는 개인뿐만 아니라 국가, 기업 등과 같이 사회 전반에 영향을 미쳐 사회, 경제, 국가 안보를 크게 위협할 수 있어 조기에 탐지 하는 것이 절실히 필요하다. 따라서 본 논문에서는 APT 공격 실행 파일의 특성을 분류하기 위해 n-gram 분석 및 BERT 기반 텍스트 마이닝 기법을 활용한 특성 분류 기법을 제안한다. 이 기법은 APT 실행 파일을 16진수 문자열로 변환한 후 n-gram 방 식으로 특징을 표현하고, 이를 BERT 모델에 입력하여 고유한 특징 벡터를 생성한다. 이후 퓨삿 학습(Few-shot Learning)을 적용하여 실행 파일의 패턴을 보다 정밀하게 분류하는 방식으로 APT 특성을 체계적으로 분류하였다. 본 논문에서 제안한 기법 은 기존의 머신러닝 기반 탐지 모델보다 APT 공격 탐지 정확도가 8~12% 향상되었음을 확인할 수 있었다. 특히 난독화된 코드 와 파일리스 공격 기법을 탐지하는 데 있어 기존 탐지 모델보다 효과적임을 알 수 있었다. 이를 바탕으로 APT 공격 실행 파일 탐지를 위한 보다 정교한 분석 프레임워크 개발과 향후 실시간 APT 탐지 시스템 개발에 기여할 수 있을 것으로 기대된다.