문의하기

FAQ



통합 FAQ
A트랙 FAQ
B트랙 FAQ
C트랙 FAQ
Q참가 신청을 할 수 있는 자격요건이 존재하나요?
A
대한민국 국민이라면 누구나 참여 가능합니다. 외국에 거주하는 대한민국 국민도 가능합니다. (대한민국 여권 소지자)
단, 포상금 지급 시 상금을 받을 수 있는 한국 내 은행 계좌를 보유해야 합니다.
※ 외국인은 참가할 수 없습니다.
Q리더보드는 어떻게 운영되나요?
A
10월 22일: 예선 리더보드 오픈 10:00 -> 마감 23:59
11월 1일: 본선 진출팀 발표(개별공지)
11월 18일: 본선 리더보드 오픈 10:00
11월 19일: 본선 리더보드 마감 23:59
* 리더보드는 기술경연 점수만 출력됩니다.
※ 본 리더보드 운영관련 일정은 추후 변경될 수 있습니다.
Q데이터셋을 실수로 삭제했는데, 데이터셋 배포 마감 이후에도 추가 지원이 가능한가요?
A
네, 가능합니다.
※ 데이터셋 배포의 기한을 정해둔 이유는 무분별한 시스템 접근으로 인해 시스템 장애 등의 문제 발생할 여지를 고려한 결정입니다.
Q정답지는 언제 공개하나요?
A
현재는 경진대회(챌린지)에서 활용된 정답지를 포함한 데이터셋은 산·학·연 개방이 불가합니다.
정답지는 '학습 데이터셋'까지만 공개하는 방향으로 현재까지 위원회에서 결정된 사항임을 양해 부탁드립니다.
추가로, 데이터셋을 공개하기 전 악성코드 악용 방지, 비식별에대한 재검토 등 내부적인 검토를 통해 정답지와 함께 대회용 대이터셋을 산·학·연에 개방할지 여부가 결정될 예정입니다.

위 관련, 대회 참가자분들께도 신청서와 함께 대회용 데이터에 대한 보안서약서를 함께 제출받은 점 다시 한번 양해 부탁드립니다.
Q쿠쿠 샌드박스 같은 동적 분석을 해도 되나요?
A
정적분석/동적분석은 참가팀 자유입니다. 단, 분석도구의 경우 상용/유료 도구는 허용하지 않습니다.
QNormal/Abnormal은 어떻게 구분된 건가요?
A
본 라벨파일은 데이터가 정상(Normal)인경우 0, 악성(Abnormal)인 경우 1로 정의하고 있습니다.
Q정규표현식을 통해 특징을 추출해도 되나요?
A
특징 추출 포맷은 별도로 규정하고 있지 않습니다. 참가팀에서 개발하신 AI 모델에 맞춰 개발해 주시면 됩니다. 단, AI를 통해 악성/정상 자동 탐지가 원칙이기 때문에 예를 들어, 파일 내에서 악성코드에 많이 활용되는 특정 문자열 패턴을 찾아 특징으로 추출하기 위해 정규식 표현을 사용하는 건 가능하지만(단순 특징추출을 위해), 엘라스틱 서치 같은 검색엔진에 문자열 검색으로 파일의 정상/악성 여부를 탐지해 내는 용도로 정규식을 사용하는 건 부정행위로 보고 있습니다.
Q추출하는데 디코딩 툴을 사용해도 되나요?
A
디코딩뿐만 아니라 데이터를 분석하는 방법에 대해서는 별도로 규제하고 있지 않습니다. 단, 분석도구의 경우 상용/유료 도구는 허용하지 않습니다.
Q대회진행방식이 어떻게 되나요?
A
대회 당일 주어진 시간 내에 1)학습 -> 테스트 -> 탐지결과 제출, 2)기술보고서(또는 발표자료) 제출까지 완료하셔야 합니다.
Q제공 데이터 외 별도로 수집한 데이터를 모델 학습에 사용해도 되나요?
A
네, 학습에 외부 데이터를 활용하셔도 됩니다. 단, 외부 데이터에 대한 출처와 함께 학습 또는 분석에만 사용했다는 점을 공유해 주셔야 합니다.
Q데이터셋을 바이러스 토탈(Virus Total)과 같은 백신 프로그램을 사용하여 검사해 봐도 되나요?
A
아니요, 대회를 위해 제공해드린 모든 데이터셋은 바이러스 토탈(Virus Total)을 포함하여 백신 프로그램을 통해 검사하는 것을 금하고 있습니다.
Q(본선) 본선 정답지에 'Tech.Num'가 잘못 표기된 항목들이 확인되는데, 실제 'Tech.Num'는 무엇인가요?
A
'Tech.Num' 오류이며, `Tech.Desc` 를 기준으로 보면 됩니다.

(1) 34번 행
- 정답지에 오표기된 Tech.Num : " T1561"
- 수정 : T1564.001, Hide Artifacts - Hidden Files and Directories

(2) 98번 행
- 정답지에 오표기된 Tech.Num : " T1561"
- 수정 : T1564.001, Hide Artifacts - Hidden Files and Directories

(3) 99~103번 행
- 정답지에 오표기된 Tech.Num : " T1561"
- 수정 : T1105, Ingress Tool Transfer
Q(본선) 본선 정답지에 '_id'가 잘못 표기된 항목들이 확인되는데, 실제 '_id'는 무엇인가요?
A
(1) 101번 행
- 정답지에 표기된 _id : "3134f37d-87c2-48d5-8e42-eeac1acbdab"
- 실제 JSON에 표시된 _id : "3134f37d-87c2-48d5-8e42-eeac1acbdabc"

(2) 115번 행
- 정답지에 표기된 _id : "7a8797af-4f06-4808-9456-a573387f814"
- 실제 JSON에 표시된 _id : "7a8797af-4f06-4808-9456-a573387f8147"
Qtech_id가 T1024인 데이터가 2개가 있는데, 정답지에는 1개만 있습니다. 라벨링 오류인가요? 아니면 다른 의미가 있는 건가요?
A
데이터셋 (json 파일) 내에 `tech_id`에 오류가 있었습니다
배포된 정답지상에는 (1)번 데이터의 tech_id가 `T1564 Hide Artifacts`로 제대로 표기되어있으나, json 파일에는 `T1204` 로 기록되어있는것이 확인되었으며, 정답지에 레이블된 `T1564 Hide Artifacts` 가 맞습니다. ※ 잘못 레이블된 로그(json)에 대해서는 정답지를 기준으로 생각하시면 됩니다.
Qcsv에 라벨링 되었지만 json에는 tech_id를 포함하지 않는것을 공격으로 간주해야 하나요? 예시) c5d1a2be-8993-4224-8825-9984a522ee1d
A
정답지에 있는 내용을 기준으로 생각하시면 됩니다.
Q데이터 분석 및 결과 도출 과정에서 AI 모델을 통해서만 탐지결과를 제출해야하는 건가요? 아니면 수동분석 결과가 포함되어도 괜찮은 건가요?
A
B트랙은 수집된 행위데이터를 분석해서 위협을 찾아내는, 즉 Threat Hunting을 수행하는 것이 주제입니다.
행위데이터를 분석해서 위협을 찾아내는 과정에서 AI모델을 활용하셔도 되고, 경험이나 지식에 의한 수동분석을 통해 위협을 찾아내는것도 모두 포함됩니다. 정리하면 위협을 탐지하는데 AI 모델을 활용해야 한다는 제약은 없습니다.
Q치팅은 어떤 상황을 뜻하는 건가요?
A
B트랙의 경우 위협탐지에 대한 정량평가와 위협을 탐지하는 과정과 접근 방법에 대한 평가를 목표로 합니다. 이에, B트랙에서의 치팅은 과정없이 정답만 찾아낸 경우가 해당될 것 같습니다.
서면평가때, 기술보고서를 기반으로 탐지유사도를 검토하여 단순 문자열 검색이나, 마구잡이로 찍어 맞추는 경우 치팅으로 간주될 수 있습니다.
Q정답지에서 "f3fe0967-0134-4e16-8550-5379033852f4" _id의 tech_id가 'T1070' 1개인데, json 파일에는 ['T1070', 'T1055'] 2개로 나와있던데 어떤게 맞는건가요?
A
배포된 json 파일은 전체 43,067 개의 이벤트로 구성되어 있으며, 실제 위협으로 레이블된 이벤트는 약 100개 입니다.
단, 대회용인 점, 침해사고는 분석가 마다 나름의 기준이 있다는 점 등을 감안하여, 약 100개의 이벤트 중 객관적으로 판단 가능한 이벤트들에만 레이블링 하였습니다.
Q예선에서 제공되는 데이터셋(json) 에도 훈련용 데이터셋(json)처럼 _tech_id 및 cmdline, _tactic 등의 키값이 포함되어 있나요?
A
예/본선에서 제공되는 데이터넷은 `tech_id`, `_tactic` 을 제외한 나머지 정보가 동일하게 제공됩니다.
Q예/본선에서는 탐지결과를 어떻게 작성하면 되나요?
A
예/본선에서는 라벨파일에 명시된 Tactic/Technique 에 매칭되는 이벤트를 찾아 `_id` 정보를 CSV에 기록해서 제출하면 됩니다.
Q대회안내서에 MITRE ATT&CK v7에 매핑되는 공격 기법으로 라벨링을 진행하였다고 명시되어 있는데, 제공받은 p0_SENARIO_APT29_v1.0.1.csv에 기록된 Step.Desc와 해당 용어가 일치하지 않습니다. 어떤 용어를 사용해야 하나요?
A
배포드린 라벨파일은 데이터셋 구축 시, MITRE ATT&CK V7 을 기반으로 재구성하였습니다.
따라서, 배포드린 라벨파일에 재구성된 수준 또한 문제 출제자의 출제의도 중 일부라 생각하시면 될 것 같습니다. MITRE ATT&CK V7을 배포드린 csv 기준으로 사용하시면 됩니다.
Q예선 데이터셋의 미션 필드에 'Brovo 호스트' 라는 말이 있는데, json에 BRAVO 호스트를 의미하는게 맞나요?
A
네, 미션 필드 중 오타가 있었습니다. 데이터셋에 있는 'BRAVO' 호스트가 맞습니다.
Q예선 정답지의 경우 하나의 Tech_Desc(행)에 여러 id값이 들어가는 경우는 없나요?
A
정답지는 하나의 Tech_Desc(행)에 한개의 id를 작성할 수 있도록 구성되어 있습니다. 한 개의 id를 작성하시면 됩니다.
※ 미션이 빈칸인데 _id 컬럼이 ...인 항목들은 답안을 제출하실 필요가 없습니다.
Q정답지에 id부분에 ...으로 된 항목이 따로 미션도 없던데 의미하는 바가 무엇인가요?
A
해당 부분은 연관된 이벤트 데이터가 너무 많아서 `…` 표기되어 있습니다.
※ 미션이 빈칸인데 _id 컬럼이 ...인 항목들은 답안을 제출하실 필요가 없습니다.
Q예선 미션은 어떻게 구분되어 있는 건가요?
A
1.Brovo 호스트내에서 윈도우의 인증서 검증도구를 통해 외부에서 악성코드를 다운로드하고, 실행한 흔적을 추적하라.
2.Bravo 호스트내의 시스템 정보 수집 과정을 추적하라
3.Bravo 호스트내의 UAC 바이패스 과정을 추적하라. 공격자는 Invoke-FodHelperBypass 모듈을 활용했음 (https://github.com/EmpireProject/Empire/blob/master/data/module_source/privesc/Invoke-FodHelperBypass.ps1 )
4.BRAVO 시스템을 장악한 공격자는 네트워크상의 다른 시스템을 추가로 장악하는데 성공한것 같다. 공격 성공의 흔적을 추적하라.
5.공격자가 다른 시스템에 접속한 이력을 삭제한 흔적을 찾아라.
6.공격자는 BRAVO 시스템에서 ALPHA 시스템에 악성스크립트(VBS)를 업로드하고, 운영체제에서 제공하는 sc.exe 프로그램을 통해 공격을 수행했다. 공격과정을 추적하라.
7.공격자는 ALPHA 시스템을 장악한 후 윈도우 운영체제의 accessibility feature 를 통해 백도어를 심어두었다. 공격과정을 추적하라.

Q&A



참가자 기본정보 입력
번호 제목 작성자 작성일 답변여부
158 🔒 시상식 참여 관련 ㅇㅇ 2021-11-29 완료
157 🔒 성과 공유회 문의 익명 2021-11-23 완료
156 🔒 시상식 발표 박현재 2021-11-23 완료
155 🔒 정답 순서 익명 2021-11-18 완료
154 🔒 정답 순서 문의 익명1 2021-11-18 완료
153 🔒 자료제출 문의 홍석진 2021-11-18 완료

글쓰기

contact img svg

Tel. 070-4249-7022 | email. aibigdata@cmcom.kr

faq square img svg