오늘날 상호 연결된 디지털 환경에서 핵심 유행어는 "머신 러닝"입니다. 이 개념은 기본적으로 컴퓨터가 명시적인 프로그래밍을 받는 대신 데이터로부터 학습하는 것을 의미합니다. 이러한 머신 러닝 알고리즘을 통해 컴퓨터는 방대한 데이터 세트를 입력받고 분석하여 확장된 데이터 분석을 통해 패턴이나 상관 관계를 인식합니다.
머신러닝은 점점 더 많은 산업에서 보편화되고 있으며, 사이버 보안 또한 예외는 아닙니다. ABI 리서치(ABI Research)는 사이버 보안 분야의 머신러닝이 96년까지 빅데이터, 인텔리전스 및 분석 지출을 2021억 달러로 증가시킬 것으로 추산했습니다. 머신러닝이 이처럼 장기적인 성장을 보이는 이유는 명확합니다. 머신러닝은 기업이 사이버 위협이라는 크고 위험한 세계에 더 효과적으로 대응하고 자체 방어력을 강화할 수 있도록 지원하기 때문입니다. 보안 회사들은 이러한 추세에 맞춰 제공하는 솔루션을 재편하고 있습니다. 시그니처 기반 시스템에서 머신러닝 시스템이 데이터를 해석하여 악성코드를 더욱 효과적으로 탐지하는 계층형 솔루션으로 전환하고 있습니다.
머신 러닝 작업은 세 가지 유형으로 분류됩니다. 1) 지도 학습은 레이블이 지정된 데이터를 사용하여 모델을 학습시키고, 이 모델을 나중에 보이지 않는 데이터에 적용하여 레이블을 지정합니다. 2) 비지도 학습은 레이블이 지정되지 않은 데이터를 사용하여 학습시키고, 입력 데이터의 패턴이나 구조를 발견합니다. 3) 강화 학습은 처벌-보상 방법을 사용하여 학습합니다.
여러 곳이 있습니다 기계 학습 사이버 보안에서 핵심적인 역할을 합니다. 그중 일부는 다음과 같습니다.
클러스터 샘플 생성
머신러닝의 핵심 결과 중 하나는 클러스터 샘플, 즉 유사한 샘플들이 자체 그룹을 갖도록 데이터 세트를 나누는 것입니다. 기본적으로, 그룹은 특성에 따라 분리된 후 클러스터에 할당됩니다. 이러한 클러스터는 증분 클러스터링이라는 과정을 통해 새로운 샘플을 수용하기 위해 간격을 두고 다시 클러스터링됩니다. 이를 위해 중심 모델, 분포 모델, 밀도 모델과 같은 머신러닝 알고리즘이 사용됩니다.
샘플 식별
머신러닝은 위에서 언급한 클러스터 샘플과 같은 대규모 데이터를 수집하고 분석하여 분류 프로세스를 자동화하는 데 사용됩니다. Seqrite의 자동 악성코드 분류 시스템은 수집된 맥락 정보를 통해 이 데이터의 악성 여부를 분류합니다. 이러한 광범위한 데이터 마이닝 과정을 통해 샘플의 악성 여부와 양성 여부를 쉽게 구분할 수 있으며, 이를 샘플 분류라고 합니다.
더 읽기 : 고급 위협 사냥을 위한 머신 러닝 접근 방식
배포 가능한 탐지 모델 생성
위의 두 프로세스는 배포 가능한 탐지 모델을 만드는 데 중요한 역할을 합니다. 적절한 양의 양성 샘플과 악성 샘플 세트를 선택하고, 선택된 세트를 학습 및 테스트하고, 그에 맞는 알고리즘을 선택하는 것이 중요합니다. 하지만 이러한 프로세스는 엔드포인트에 즉시 배포되는 것이 아니라, 크기, 모델 생성에 필요한 시간, 모델이 샘플을 스캔하는 데 걸리는 시간, 모델 품질, 오탐률 등과 같은 매개변수를 기반으로 평가됩니다. 광범위한 테스트를 거친 후에야 엔드포인트 배포가 고려될 수 있습니다.
초기에는 수동 모드로 작동하고 탐지 패턴을 관찰하는 이러한 모델은 Seqrite의 클라우드 보안 플랫폼에서도 지원됩니다. 클라우드의 자동화 시스템은 이러한 수동 모델에서 생성된 원격 측정 데이터를 분석하고, 분석 결과를 기반으로 모델을 활성화할 수 있습니다.
머신러닝은 흥미로운 새로운 투자이지만, 모든 사이버 보안 문제의 해결책이라고 착각해서는 안 됩니다. 사이버 위협의 세계는 끊임없이 진화하고 있으며, 때로는 기계조차 따라잡지 못할 수도 있습니다. 머신러닝 알고리즘에만 전적으로 의존하는 것은 잘못된 생각입니다. 최선의 방법은 데이터 과학과 인간의 전문성과 함께 머신러닝 알고리즘을 사이버 보안 방어 강화 도구로 활용하는 것입니다.
귀사의 IT 보안 파트너로서, 시크라이트 지능형 사이버 위협으로부터 포괄적인 보안을 제공합니다. 더 자세히 알아보려면
