In these days, various kinds of Internet services provide many conveniences, such as information search, e-commerce, e-health, e-education and social network services. As the Internet services have become an important part of people’s lives, attacks have also increased in recent years. In this thesis, we focus on machine learning approaches for secure Internet services. This study mainly focuses on detecting malicious web pages based on machine learning approaches. First, we propose an efficient filtering method for detecting malicious web pages using cost sensitive analysis. There are ways to detect malicious web pages, two of which are dynamic detection and static detection. Dy-namic detection has a high detection rate but uses a high amount of resources and takes a long time, whereas static analysis only uses a small amount of resources but its detection rate is low. To minimize the weaknesses of these two methods, Canali et al. suggest a filtering method, Prophiler, which uses static analysis first to filter normal web pages and then uses dynamic analysis to test only the remaining suspicious web pages. In this filtering method, if a page is classified as normal at the filtering stage, it is not being tested any more. Consequently, there should not be any malicious pages among the web pages classified as normal. However, Prophiler does not consider this problem. In this study, to solve this problem, our proposed filtering method utilizes a cost-sensitive method. Also, to increase the efficiency of the filter, features are grouped as 3 subsets depending on the difficulty of the extraction. The efficiency of the proposed filter can be increased, as our method only uses the necessary feature subset according to the characteristics of the web pages. An experiment showed that the load of the dynamic analysis decreased significantly when using the proposed method and that the proposed method shows fewer false negatives and greater efficiency than an existing filtering method. Secondly, we focus on detecting new types of malicious web pages. Recently, attackers forge web pages that are used often to spread malicious codes or to lure out personal information. Also, attacking tech-niques have continued to evolve and new types of malicious web pages have been created, making it hard to detect the malicious web pages. In this study, one-class SVM, one of the anomaly detection techniques in the field of machine learning, is applied to detect malicious web pages in order to prevent new types of cyber-attacks. One of the disadvantages of anomaly detection is the possibility of high false alarm. To minimize this, entire features are organized as subsets with features of the same meaning and these subsets are used as independent inputs for the one-class SVM classifier. In this study, an ensemble technique that gathers conclusions from each classifier is presented. Experimental results show that the new types of attacks are well detected by this technique with fewer false alarms compared to other anomaly detection algorithms. Finally, in order to defend the Internet network, which is the base of the Internet services, we propose an intrusion detection architecture for wireless sensor networks. Due to the WSNs’ distinctive tree structure, network congestion normally occurs in nodes that are located in the vicinity of a static base station. Moreover, in resource constrained WSNs, network congestion could occur due to resource depletion attacks, such as Denial of Service (DoS) attacks. This congestion increases data loss and reduces the network’s lifetime. In this study, we propose an Intrusion Detection Systems (IDSs) construction method that considers this network congestion. Moreover, due to the limited battery life of sensor nodes, the proposed method is considered to be efficient in utilizing limited resources by selecting IDS nodes that enhance the network’s lifetime and reduce the total energy consumption. The simulation results show that the proposed method enhances the network’s lifetime and reduces the total energy consumption of the congested network.

유, 무선을 통한 인터넷 접근이 용이해지면서 인터넷 서비스는 우리 생활의 일부분으로 자리 잡고 있다. 간단한 정보 검색부터 전자 상거래, 온라인 교육, SNS 등 인터넷을 기반으로 하는 인터넷 서비스는 이미 널리 활성화되어 있으며, 스마트폰 보급으로 인해 인터넷 서비스 역시 더욱 활성화될 것으로 쉽게 예측이 가능하다. 이렇듯, 인터넷 서비스의 너른 보급으로 인해 이를 대상으로 하는 사이버 공격 역시 늘어나고 있으며, 이로 인한 피해 역시 증가하고 있는 실정이다. 본 논문에서는 안전한 인터넷 서비스를 제공하기 위해 기계 학습을 이용한 방안들을 제시하고자 한다. 본 논문에서는 인터넷 서비스의 다양한 분야 중에서 인터넷 서비스를 제공하는데 주로 사용되는 웹페이지를 안전하게 보호하는 방안에 대한 연구를 주로 수행하였다. 우선 우리는 악성 웹페이지를 효율적으로 탐지할 수 있는 필터링 기법에 관한 연구를 하였다. 악성 웹페이지를 탐지하는 기법은 기존에 알려진 악성 URL 을 차단하는 블랙 리스팅 기법, 데이터 마이닝 등의 기계 학습을 활용하는 기법, 허니팟을 이용해 직접 탐지하는 기법 등으로 분류할 수 있다. 앞의 두 가지 방법은 비교적 정적으로 탐지하기에 정적 탐지 기법이라 불리며, 허니팟을 이용하는 방법은 직접 웹페이지를 실행시킨 후 탐지하기 때문에 동적 탐지 기법이라 불리기도 한다. 동적 탐지 기법은 직접 실행하기 때문에 대부분의 악성 웹페이지를 잘 탐지할 수 있지만 직접 실행하는데 시간이 오래 걸린다는 단점이 있다. 반면에 정적 탐지 기법은 시간 소모가 작다는 단점이 있지만 탐지가 동적 기법에 비해서는 부정확하다는 단점이 있다. 이 두 기법들의 단점을 보안하고자 Prophiler라는 필터링 기법이 제안되었다. 이 기법은 정적 기법인 기계 학습을 통해 우선 대부분의 정상 웹페이지를 선분류한 후, 남은 웹페이지에 대해서만 동적 기법을 수행하는 기법이다. 이러한 필터링 과정을 통해 동적 분석에 걸리는 부하는 줄이면서 탐지율은 높이고자 하였다. 필터링 기법은 머신 러닝 단계에서 한 번 정상으로 분류되면 다시는 검사를 받지 않는다는 특징을 가지고 있다. 따라서 이 과정에서 정상으로 분류된 웹페이지 중에 악성이 섞이지 않는 것이 상당히 중요하다. 하지만 기존의 필터링 기법은 여기에 대한 고려가 전혀 없다. 본 논문에서는 이러한 문제를 해결하기 위해 cost-sensitive 학습 기법을 사용하여 기계 학습 과정에서 정상 웹페이지로 분류된 것들 중에 악성이 최대한 섞이지 않도록 하였다. 또한, 기존의 필터링 기법보다 효율성을 높이기 위해 특징들을 획득 어려움 정도에 따라 3단계로 나눈 후 이를 순차적으로 적용하였다. 예를 들어, 가장 쉽게 추출되는 특징만으로도 분류가 확실히 된다면 이러한 웹페이지들은 굳이 어려운 특징들을 추출하지 않는 것이다. 이러한 순차적인 필터링을 통해 효율성을 높일 수 있었다. 실험 결과를 보면 본 연구에서 제시하는 필터링 기법이 기존의 기법에서 발생하는 오류들을 줄일 수 있었음을 확인할 수 있었고, 효율성 역시 높일 수 있었음을 확인할 수 있었다. 악성 웹페이지를 탐지하는데 있어 우리가 두 번째로 고려한 것은 새로운 유형의 악성 웹페이지를 탐지하는 것이다. 기존에 알려진 공격 기법들로는 탐지가 쉽게 되기 때문에, 공격자들은 새로운 유형의 공격 기법을 이용한 악성 웹페이지를 만들고 있다. 따라서 이렇게 늘어나는 새로운 악성 웹페이지를 잘 탐지할 필요성이 대두되고 있다. 본 연구에서는 새로운 유형의 악성 웹페이지를 탐지하기 위해 기계 학습 기법의 일종인 이상 탐지 기법을 사용하였다. 이상 탐지 기법은 비정상을 탐지해내는 기술로 새로운 공격이 등장하더라도 비정상으로 분류 후, 탐지 하기 때문에 새로운 공격을 탐지하는데 널리 사용되고 있다. 본 연구에서는 이상 탐지 기법 중 성능이 뛰어나고 다양한 분야에서 활용되는 1-class SVM 기법을 사용하였다. 하지만 1-class SVM 등의 이상 탐지 기법은 정상을 악성이라 오분류하는 오탐율이 높다는 단점이 존재한다. 우리가 제안하는 기법은 오탐율을 낮추기 위해 전체 특징 중에서 같은 성질을 지니는 부분 집단 3개를 만든 후, 이를 기반으로 탐지하였다. 3개의 부분 집단을 각각 독립적으로 분류에 사용한 후, 이들의 결과를 최종적으로 취합하는 앙상블 기법을 본 논문에서 제안하였다. 실험 결과를 살펴보면, 본 논문의 기법은 새로운 유형의 악성 웹페이지 중, 90% 정도를 탐지해내는 것으로 나왔으며, 오탐율 역시 다른 이상 탐지 기법들 보다 낮게 나왔음을 알 수 있다. 앞의 두 가지 연구는 안전한 인터넷 서비스를 위해 안전한 웹페이지를 구축하는데 중점을 뒀지만, 마지막 연구는 인터넷 서비스의 가장 기반이 되는 네트워크에 초점을 맞췄다. 다양한 네트워크 중, 본 연구가 대상으로 삼은 네트워크는 무선 센서 네트워크이다. 무선 센서 네트워크는 센서들이 수집한 정보를 무선으로 전송하는 네트워크로 유비쿼터스 시대에 널리 사용될 것으로 예상되는 네트워크이다. 본 연구에서는 무선 센서 네트워크에 침입 탐지 시스템을 어떻게 효율적으로 배치할 것인지에 대해 다루고 있다. 무선 센서 네트워크는 특유의 트리 구조상, 베이스 스테이션에 가까울수록 데이터 부하가 걸리기 쉽다. 또한, 센서 노드 자체가 배터리 제한이 있고 자원이 한정되어 있기에 데이터가 혼잡 상황에 빠질 경우 문제가 생길 가능성이 매우 높다. 따라서 본 연구에서는 네트워크가 혼잡 상황에 빠졌을 경우에 대비하는 침입 탐지 시스템 배치 방안을 제시하였다. 또한, 한정된 노드의 배터리를 고려하여 배터리 소모 및 자원 소모를 효율화하는 방안을 제시하였다. 실험 결과를 보면, 혼잡 상황 발생 시, 본 논문의 기법은 다른 기법들보다 우수한 성능을 보임을 알 수 있다.