[采访]电脑工程系 朴宗赫（音）·李昌熏（音）教授研究小组

2017年6月，互联网存取企业“网络NAYANA” 被Erebus勒索软件的变种感染，153台服务器全部都被加密，3400个网站受害，黑客要求支付大约13亿韩元的巨额款项。近来的网络攻击以这种高度发达的形态出现，等人们认识到被黑客攻击时，已经发生了无法挽回的损失，要解决这一问题面临着巨大的困难。可以说是亡羊补牢了。

为了解决此类问题，有人已经率先站了出来。首尔科技大学电脑工程专业的研究员们，正在计划进行针对现代智能型威胁的提前预测和抢先应对技术的研究。我们对承担着韩国乃至全世界范围内的网络安全核心任务的研究小组进行了采访。

1.首尔科学技术大学“Security Dream”研究小组率先策划了建立在深度学习基础上的攻击预测和抢先应对技术的研究。请对主导这一革命性研究的研究小组做一下简单的介绍。

▲本研究小组是由电脑工程专业普适计算和安全研究室(UBIQUITOUS COMPUTING AND SECURITY: UCS Lab，指导教授-朴宗赫（音）)和密码和信息保护研究室(Cryptography and Information Security Laboratory: CIS Lab，指导教授-李昌熏（音）)进行联合研究的，为了成为全球信息保护领域的领导者，由2位教授和10多位来自国内外的硕士、博士研究员组成，是本校最强的复仇者联盟梦幻团队。

研究负责人朴宗赫（音）教授不仅是许多著名国际学术期刊的主编（Chief, Associate），还是权威性国际会议的组织委员会委员长和项目委员长，现在正在进行着积极的研究合作活动。尤其在普适计算和安全、LoT安全、云端安全等领域，他和很多著名学者正在不断交流并进行联合研究。同时，朴宗赫（音）教授在世界前1%的期刊、国际优秀期刊（SCI级）和会议上发表了许多论文。李昌熏（音）教授作为共同研究人，是密码和网络安全专家，他设计了国际标准密码HIGHT、国际标准密码SEED-256、HASH函数ARIRANG等的密码，并分析、解读了多数的国际密码。而且他开发出应对侵害国家安全事故技术的成绩受到认可，获得了未来部长官奖的表彰，而且还荣获过国家信息院的网络安全论文奖、国家密码大奖赛优秀奖、数字鉴定领域优秀论文奖。

2.据我了解，是因为针对现代的智能型威胁，当前的技术存在一定的局限，所以才开始了本次研究。请您为我们解释一下成为问题的智能型威胁。

▲ 所谓智能型威胁，指的是由于逐渐发达的网络攻击引发的威胁。过去的网络威胁模式和工具都比较单一，即利用普通的恶性代码或病毒，进行地区性的、一次性的攻击。而最近出现的网络威胁是一直以来从未遇到过，是一种利用新型攻击和行为模式的长期性威胁。

当前的网络攻击应对系统大部分都是使用能够识别特定攻击行为和模式的片段式指标。或是文件中包含特定的源代码，或是文件试图进入特定目录区域，或是传送文件的网络使用者的IP地址和过去曾有过攻击行为的IP为同一个，利用这些片段性的指标，如果出现了这些指标，就可以判断为是攻击行为，如果没有出现，则认定其是正常行为。这种方式的系统对于过去从未出现过的新型攻击模式作用很小。而且，最近利用一种叫做fileless malware的不是文件形式的恶性代码进行攻击的行为十分多见。这种新型攻击方式用以往的攻击应对系统是不可能解决的。

3.预计能够完善这一问题的新型探测模型的原理是什么？

▲现有的网络攻击探测系统只能识别某种攻击行为或感知单一的模式，要探测或拦截不断发展的智能化新型攻击还存在技术局限，所以，我们打算通过本次研究，构建一个可以应对高度发达的网络攻击体系。我们提议的这个体系是通过网络攻击和行为的抽象表达方式，从根源上识别攻击行为和模式的体系。

该系统以高水平语言和类似形态来表示是否存在可以通过源代码的一系列作用和运作方式、非正常行为进行运作的代码。这样一来，我们使用的表达体系不是能够识别特定行为的信息，而是表现某种特定行为并叙述其行为和目的的方法。针对网络攻击的抽象表达方式能够从宏观上识别网络攻击，也可以应用到多种平台上，所以应对攻击的效率非常高，使得我们能够快速应对类似攻击模式和新型攻击模式。

4.看起来这项研究的核心是通过非正常网络行为的探测和分析与“深度学习”相结合，在产生巨大损失前灵敏应。不过，启动这种以事前预防、拦截损失为目标的探测平台时，有没有将正常的网络行为探测为攻击行为的危险？

应对网络攻击的最好方式就是在攻击发生之前对其进行预测，深度学习就是利用积累的数据来预测是否会发生攻击的。所有的侵害事故预测和应对技术都会考虑到误测率和准确率，努力将误测率降低到最小。也就是说，虽然可能存在误测和预测错误的问题，但是这种问题随着时间的推移和数据的逐渐积累，探测和预测的准确度就会提高，所以就可以消除相当一部分的误测。而且，在判断威胁行为的过程中，我们判断的方式是同时考虑到相关活动与恶性行为的相似性以及和正常行为的差异，意在将误测的可能性最小化。

5.最后向请您说一下您对这项研究的成功会带来的短期和长期效果有何期待。

▲IT技术不断发展，在应用到社会的过程中，现代社会对网络攻击变得十分敏感。虽然应对网络攻击的技术也在不断发展，但现代的网络仅遭受一次攻击，就会产生巨大的损失。所以，现在为了杜绝网络攻击的再次出现，我们应该研究预测攻击的技术，而不是应对攻击的技术。

从短期来看，这种技术的优点是可以将网络攻击带来的社会损失降到最小。最近出现的勒索软件，由于其恶性代码的传播路径非常多样，所以发生了很多民间损失。尤其是勒索软件，它的特点就是任何人都可以使用勒索软件制作工具大量生产多种模式的勒索软件。这次的研究结果利用针对此类变种勒索软件和恶性代码的抽象表达，可以实现综合性、全面性的应对。这是一个可以高效应对实际攻击事件的系统。

从长期来看，这是对网络威胁预测市场的一次抢先性尝试。全世界的无数安全企业都已经意识到了威胁预测技术的必要性，许多安全措施也提供了预测技术，但这些技术的准确率和效率都还处在萌芽阶段。我们这个网络威胁预测研究的结果如果被证明有着优秀的准确率和效率的话，那么通过抢占世界安全市场，韩国就可以一跃成为引领市场的安全技术强国，我相信这个技术可以为此做出巨大贡献。

高度发展的网络威胁·攻击其实不是仅限于网络安全弱点的问题。2010年，伊朗全国58.85%的电脑和伊朗发电站核心服务器感染了蠕虫病毒Stuxnet，经历了奇耻大辱。正如我们所见，网络安全的脆弱在世界各地都有发生，所以，首尔科技大学电脑工程专业研究团队的研究也是在执行一个国家性的课题。他们要在“亡羊”之前“补牢”，竖起一个守望的稻草人。通过深度学习进行运作的预测性安全体系，不仅可以将人们对各种威胁的恐惧消除，还可以从根源上防止网络攻击，这对防止犯罪的发生将会有很大的帮助。所以，本次研究的意义尤其重大，今后他们的动作将更值得我们关注。

文·文艺宣传大使 郑瑞珍（音）