네트워크 보안과 트래픽 구조 이해
- 패킷, 플로우, 세션 개념 설명
- 악성 트래픽의 정의와 탐지 필요성
- 정형/비정형 데이터 개념

Break Time

Wireshark를 활용한 트래픽 실습
- Wireshark 기본 사용법 소개
- (실습) 정상 vs 악성 트래픽 패킷 비교
- (실습) HTTP 요청 및 페이로드 확인

Lunch Time

페이로드 기반 탐지란 무엇인가
- DPI(Deep Packet Inspection) 소개
- 패킷 구조 중 Payload의 위치와 의미
- 악성 명령어 예시(wget, powershell 등) 분석

Break Time

자연어 처리로 보는 페이로드
- 비정형 데이터로서의 페이로드 이해
- 자연어 처리의 기본 개념 소개 (Token, Context 등)
- BERT/GPT는 왜 악성 탐지에 적합한가?

Break Time

(실습) 악성 페이로드 시각화 및 전처리

Break Time

- 실제 페이로드 데이터를 문자열로 확인
- (실습) 특이한 명령어 탐색하기
- (실습) 불용어 제거, 토크나이징, 길이 조정 등 전처리

자연어 처리 모델(BERT) 구조 소개
- BERT 모델의 기본 구조 (Embedding, Attention 등)
- 사전학습과 미세조정(Fine-tuning) 개념
- 왜 텍스트로 패킷을 분석하는가?

Break Time

(실습) 악성 탐지용 BERT 분류기 실행
- 미리 학습된 모델 로딩
- 악성 vs 정상 페이로드 분류 실습

Lunch Time

(실습) 다양한 페이로드 테스트 및 분석
- 정상/악성 페이로드 샘플 제공
- (실습) 모델의 반응 비교
- (실습) 특정 명령어 삽입 시 결과 확인

Break Time

(실습) 예측 결과 시각화
- (실습) 예측 확률 막대그래프 그리기
- (실습) 워드클라우드로 주요 단어 시각화
- 단순한 분석 리포트 형태 결과 만들어보기

Break Time

(실습) 다양한 탐지 시나리오 실험
- 다양한 페이로드 예제에 탐지기 적용
- 정상인데 탐지되는 경우, 악성인데 탐지 못하는 경우 실험
- false positive / false negative 개념 체득

Break Time

네트워크 기반 악성 코드 유포 사례 탐구
- 최근 사용된 악성코드 유포 사례(Emotet, Qakbot 등) 소개
- 어떤 프로토콜로, 어떤 페이로드 구조로 유포되었는지 분석
- (실습) 공개 트래픽 예시를 Wireshark에서 열어보기