728x90
사이버보안관제센터에서 지금껏 잘 관리해온 티켓팅 데이터(침해위협 정▪오탐 분석이 완료된)만 있으면 됩니다!
< 인공지능 라벨링 데이터 준비 요건 >
| AI 모델 유형 |
사이트 라벨링 데이터 |
상세 요건 |
| 정오탐 분석 모델 |
사이트에서 수집, 라벨링된 정·오탐 페이로드 |
u기간 : 최소 3개월 이상 축적된 보안관제 티켓팅 데이터 (정탐 / 오탐 리스트)
u
u형식 : 행과 열로 이루어진, 구조화 된 데이터 (ex Key:Value, csv)
u
u내용 : 보안 이벤트 페이로드, 보안 이벤트 이름, 차단 여부, 분석 결과 내용, 정오탐 판정 결과가 포함된 데이터
|
| 웹 이상 징후 탐지 모델 |
사이트에서 수집된 정상적인 Web Access Log |
u1개월 이상 축적된 Web Access Log
|
< 티켓팅 데이터 예시 >
| 업 무 명 | SL- Malicious Script Injection Attacks-121220 |
| 작 성 자 | 온윤성, yunsung.ohn@seculayer.co.kr , 1800-6713 |
| 취 지 | 직원망에서 악성코드 의심 이벤트가 탐지되어 해당 PC에 대한 영향도와 조치 내역을 기술 |
| 탐지일시 | 2023. 03. 26 18:01 |
| 탐지장비 | 직원망IPS#1,#2 |
| 출발지IP | 211.333.444.555 TCP:80 (한국, ISP) |
| 목적지IP | 111.222.333.444 TCP:2258 (시큐레이어 본점노드) |
| 이벤트명 | Malicious Script Injection Attacks-2 (탐지/차단) |
| 탐지조건 (시그니처) | ▶ HTTP(80) 응답 패킷 ▶ document.write(unescape("<iframe |
| 정오탐 결과 | 공격 정탐 / 정상 오탐 |
| 분 석 (영향도) |
▶ 해당 이벤트는 악의적인 목적으로 보안 장비를 우회하기 위한 특정 함수인 document.write(unescape (“<iframe 문자열로 탐지 ▶ Rawdata 분석결과 Unescape구문에서 'http://kids.woorisoop.org/kids/images/view.html”라는 악의적인 이미지 파일 삽입 확인 ▶ 해당 이미지 클릭 시 “http://count19.51yes.com/click.aspx?id=192225633$logo=8” 로 페이지 이동되며, 이는 중국에서 사용되는 웹 접속 통계 사이트 ▶ 중국 해커 집단이 악성코드 유포를 위해 이용하는 사이트로 페이지 이동되는 이벤트로, 현재 악성코드가 없어 시스템에 직접적인 영향은 없으나, 접속률이 일정 이상 많아지면 해커로부터 악성코드 유포 사이트로 이용 가능 |
| 조치 및 권고사항 | 해당 중국 웹 통계 사이트에 업무상 접속 필요성이 없기 때문에 보안정책을 기존 탐지->차단 권고 |
인공지능 도입 시 필요한 데이터는 이벤트명, 탐지조건(시그니처). 그리고 정오탐 결과 이다.
728x90
'[컨설팅] AI 모델 학습 및 자동화' 카테고리의 다른 글
| [AI] 모델을 평가하는 방법 (0) | 2024.05.29 |
|---|---|
| 1-1. AutoML 의 탄생. (0) | 2023.04.06 |
| 2-1. 인공지능 도입을 위한 준비물 : 데이터 법 동향 (0) | 2023.03.27 |
| 1. 사이버보안의 디지털 전환(DX) : 인공지능 (0) | 2023.03.27 |
| 로그의 통찰 로그 인텔리전스(AIOps) (1) | 2022.10.07 |
