본문 바로가기

프로젝트

(7)
DAY 96~101: 프로젝트 셋째주~ | 에이전트 개발 완료 | 딥러닝 feature 고도화 작업 # 지난 주 크게 두 가지 변경사항이 있었다. 하나는 데이터셋 변경, 다른 하나는 PE format 추출 방법 변경. 기존에 EMBER 데이터셋 사용에서 KISA 데이터셋 사용으로 바꾸었고, 메모리에서 PE format 읽는 걸 실행파일 바이너리에서 PE format읽는 것으로 바꾸었다. # 실행파일에서 읽는 것으로 바꾼 뒤, 에이전트 개발은 속도가 붙어 이번 주 내에 개발이 완료 되었다. 내가 만든 파이썬 화이트 리스트 코드와 C 에이전트와 embedding 도 완료했다. C랑 Python이랑 embedding 하는 게 좀 삽질이 있었지만 잘 마칠 수 있었다. 이것도 따로 정리를 하긴 해야겠다 ㅋㅋㅋㅋ (하면서 자료가 너무 없어서 꼭 한 번 정리를 해야겠다고 생각함) - "실행되는 프로세스 글로벌 후킹..
DAY 91~95 : 프로젝트 둘 째 주 | 두 가지 난관에 봉착하다... | EMBER dataset | 메모리에서 PE format 읽기 이번 주 월요일이 쉬는 날이었다. 오랜만에 쉬는 날이라 (내 생일도 껴있었고,,) 완전 푹 쉬다보니 플젝 다 까먹음 ㅋㅋㅋㅋㅋㅋㅋ 암튼 플젝이 두 가지 난관에 봉착했다. # 하나는 PE format을 메모리에서 읽는 것이 어렵다는 점이다. 우리는 프로세스가 실행 되어 메모리에 올라간 후, 글로벌 후킹을 걸어 서스펜드 상태에서 메모리에 올라온 PE format을 읽어오려고 했다. 글로벌 후킹은 구현하였으나, 메모리에서 pe format을 읽는 게 넘 어려웠다. 이 주 차인데 진척이 없어서 고민이었다. 이 부분을 맡으신 분이 쉬지도 않고 열심히 하셔서 방향을 선뜻 바꾸자고 제의하기도 어려웠다. # 다른 하나는 EMBER 데이터셋에서 데이터 추출에 제약이 크다는 점이다. EMBER 데이터셋은 PE format..
DAY 85 ~ 90 : 프로젝트 첫 주 | 착수보고서 | 일일보고서 작성 # 지난 주 프로젝트 방향성을 잡고 이번 주 부터는 개발에 돌입했다. 11월 2일에, 착수보고서와 일일보고서를 작성했다. 둘 다 초본은 내가 작성하고, 다른 팀원들은 계속 개발을 했다. 착수보고서 발표 이후엔 일정에 맞게 각자 할 일을 했다 ㅋㅋㅋㅋ # 일일보고서는 아래와 같이 작성했다. 앞으로 매일 일일보고서를 작성해서 제출해야한다. 이는 팀원이 매일 돌아가면서 작성하기로 했다. 서로 맡은 부분의 진행상황을 점검하고 돌아보는 데에 좋을 것이다. # 착수보고서는 아래와 같다 급하게 만들라고 하셔서 2~3시간만에 호닥 만든거라 퀄이 높지는 않다.. 몇 페이지만 대략 가져오면 이런 식으로 작성했다. 그래도 나쁘지 않은 피드백을 받았다. 대충 이런 식.... # 토요일 멘토링 이번 주 부터는 매 주 토요일마다..
DAY84: 여섯번째 멘토링 | 주제 수정(최최최최최종.jpg) | 플젝 착수! 내가 팀 프로젝트 팀장을 맡았는데, GSAT시험 준비하느라 플젝에 신경을 많이 못썼다. 팀장이 손 놔버리니까 팀원들 일 진척도 지지부진해지는 걸 확 느꼈다. 결국, 지난 주 멘토링에서 거의 진전이 없는 상태로 이번 주에 멘토님들을 만나게 되었다. 우선 지난 주 OT 환경에서는 악성코드 감염이 어렵다 - 예를 들어 USB 포트도 다 철로 막아버리고, 망도 따로 운영하는데 어떻게 악성코드가 들어가냐? 백신 업데이트 하려다가 감염되는 경우도 있는데, 너희 백신을 왜 깔아야 되냐 - 는 문제가 있었다. 이에 대해 OT 환경보다는 IT 가 연결된 스마트팩토리 환경을 주제로 진행하기로 했다. 또, EMBER 데이터셋을 직접 살펴보고, EMBER데이터셋을 활용해서 악성코드 탐지 딥러닝 모델을 만들어봐도 괜찮을 것 같..
DAY78: 다섯 번째 멘토링 | 프로젝트 주제 심화시키기 오랜만에 오프라인에서 멘토님들을 뵈었다. 코로나때문에 온라인으로 멘토링을 진행해왔는데, 아무래도 직접 마주보고 이야기하는 회의가 훨씬 효율이 좋았다. 지난 번 멘토링에서 정했던 "OT에서 딥러닝을 활용한 악성프로그램 탐지" 주제를 심화시켰다. OT 환경에 대한 조사, 딥러닝을 어떻게 활용하여 악성코드를 탐지할 것인지 등에 대해 이야기를 나눴다. 우리끼리 주제와 역할, 일정을 노션에 정리한 후, 오후 6시 쯤에 멘토님들에게 발표를 진행했다. 멘토님께서 OT 환경이 망 분리된 상태라고 가정하면, 악성코드가 들어갈 수 없다는 의견을 주셨다. 백신을 사용할 필요가 거의 없고, 백신 프로그램이 오작동하면 그게 오히려 훨씬 위험하다고 하셨다. 또, 참고 데이터로 EMBER 데이터셋을 확인해보라는 의견도 있으셨다. ..
Day 40 ~ 44 : 이벤트 대응 및 탐지 패턴 개발 프로젝트 진행 Snort와 ELK Stack을 설치해서 실시간 이벤트 탐지 (alert) 와 데이터 시각화 플랫폼을 구축하였다. Snort를 활용하여 직접 공격과 룰 작성을 통해 이벤트 대응 및 탐지패턴을 개발할 수 있었다. ELK는 초기 설정에 고생을 하긴 했는데, (구글링, 삽질 오지게 했다는 뜻) 해놓고 나니 매우 뿌듯했다. 이것도 차차 올릴 것..
Day14: 리눅스 서버 실습| 미니 프로젝트 프로젝트 요구사항 1. web server 2대 구성 (70.12.113.x 3ea) ip 2ea 를 할당하여 구성 web server - apache virtual host 구성 web server - nginx ( 기호에 따라 선택) 2. DNS 서버 ip 1ea 를 할당하여 구성 first.domain, second.domain, virtual host 구성 연결… www cname 구성 3. ssh.domain 을 이용해서 ssh 서버에 접속하도록 ssh 서버 구성 4. ftp 를 구성하고 ftp 계정 두 개 생성.(virtual host) 로 업로드될 위치를 홈디렉터리로 하는 파일 업로드 하도록 구성. 프로젝트 환경 이해 프로젝트 구체화 프로젝트 요구사항 만족도 확인 1. 웹 서버를 세아 컴퓨터..