급속한 인터넷 기술의 발전으로 기업이나 기관에서의 업무 처리는 인터넷 기반 기술에 의존하고 있다. 또한 주요 정보통신 시설의 네트워크 의존도와 결합도가 증가함에 따라 시스템내의 취약성을 대상으로 하는 침해 행위와 같은 사이버 보안 사고의 수가 크게 증가하고 있다. 이에 따라 개인정보는 물론 컴퓨터 자원들의 침해와 관련된 피해 파급 (damage propagation)에 관한 연구가 요구된다. 그러나 기존의 제안된 모델들은 위험 관리 측면의 방법론적인 접근이거나, 바이러스 (virus) 나 웹 (worm) 같은 특정 위협 (threats) 에 대해서만 적용할 수 있는 연구가 진행되어 왔다. 따라서 본 논문에서는 과거의 위협 발생 데이타를 근거로 하여 전체 시스템이 가지고 있는 다양한 위협들에 대해 적용 가능한 마코프 프로세스 (markov process) 에 기반한 피해 파급 모델을 제시한다. 이를 통하여 각 위협별 발생 확률 및 발생 빈도를 예측할 수 있다.
급속한 인터넷 기술의 발전으로 기업이나 기관에서의 업무 처리는 인터넷 기반 기술에 의존하고 있다. 또한 주요 정보통신 시설의 네트워크 의존도와 결합도가 증가함에 따라 시스템내의 취약성을 대상으로 하는 침해 행위와 같은 사이버 보안 사고의 수가 크게 증가하고 있다. 이에 따라 개인정보는 물론 컴퓨터 자원들의 침해와 관련된 피해 파급 (damage propagation)에 관한 연구가 요구된다. 그러나 기존의 제안된 모델들은 위험 관리 측면의 방법론적인 접근이거나, 바이러스 (virus) 나 웹 (worm) 같은 특정 위협 (threats) 에 대해서만 적용할 수 있는 연구가 진행되어 왔다. 따라서 본 논문에서는 과거의 위협 발생 데이타를 근거로 하여 전체 시스템이 가지고 있는 다양한 위협들에 대해 적용 가능한 마코프 프로세스 (markov process) 에 기반한 피해 파급 모델을 제시한다. 이를 통하여 각 위협별 발생 확률 및 발생 빈도를 예측할 수 있다.
With rapid development of Internet technology, business management in an organization or an enterprise depends on Internet-based technology for the most part. Furthermore, as dependency and cohesiveness of network in the communication facilities are increasing, cyber attacks have been increased agai...
With rapid development of Internet technology, business management in an organization or an enterprise depends on Internet-based technology for the most part. Furthermore, as dependency and cohesiveness of network in the communication facilities are increasing, cyber attacks have been increased against vulnerable resource in the information system. Hence, to protect private information and computer resource, research for damage propagation is required in this situation. However the proposed traditional models present just mechanism for risk management, or are able to be applied to the specified threats such as virus or worm. Therefore, we propose the probabilistic model of damage propagation based on the Markov process, which can be applied to diverse threats in the information systems. Using the proposed model in this paper, we can predict the occurrence probability and occurrence frequency for each threats in the entire system.
With rapid development of Internet technology, business management in an organization or an enterprise depends on Internet-based technology for the most part. Furthermore, as dependency and cohesiveness of network in the communication facilities are increasing, cyber attacks have been increased against vulnerable resource in the information system. Hence, to protect private information and computer resource, research for damage propagation is required in this situation. However the proposed traditional models present just mechanism for risk management, or are able to be applied to the specified threats such as virus or worm. Therefore, we propose the probabilistic model of damage propagation based on the Markov process, which can be applied to diverse threats in the information systems. Using the proposed model in this paper, we can predict the occurrence probability and occurrence frequency for each threats in the entire system.
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
문제 정의
본 논문에서는 피해 파급 모델을 구축하기 위해 세부 절차를 명확히 정의하고 신뢰성 있는 데이타를 이용하여 다양한 적용 사례를 제시한다. 또한 위협간의 관계 정도(밀접성)를 분석하기 위한 방법을 제안한다.
가능한 새로운 피해 파급 모델이 요구된다. 본 논문에서는 마코프 프로세스에 기반한 확률적 피해 파급 모델을 통하여 이러한 요구사항을 만족하고 있다.
본 논문에서는 바이러스나 웜 뿐만 아니라 여러 가지 위협의 종류들로부터 공격을 받았을 때 그 피해 파급정도를 예측할 수 있는 마코프 프로세스 기반의 확률적 피해 파급 모델을 제안하였다. 또한 과거의 관찰된 데이타를 이용하여 제안한 모델의 적용사례를 보였다.
또한 [11]에서는 피해파급 모델을 위한 세부 절차를 정의하고 간단한 적용 사례만을 보여주었다. 본 논문에서는 피해 파급 모델을 구축하기 위해 세부 절차를 명확히 정의하고 신뢰성 있는 데이타를 이용하여 다양한 적용 사례를 제시한다. 또한 위협간의 관계 정도(밀접성)를 분석하기 위한 방법을 제안한다.
위협 상태의 초기 확률값을 구하기 위해서, 우선 구하고자 하는 위협의 최근 발생 데이타를 조사한다. 초기확률을 구하기 위한 최근의 위협 발생 데이타는 3개월, 6개월, 9개월, 1년 등의 시간 단위로 이용한다.
가설 설정
본 절에서는 이에 대한 예를 들기 위해, Ti(악성 프로그램을 이용한 통신망에 대한 불법적인 침입)과 T2(인터넷 웜)에 관련된 위협상태 전이행렬을 구한다. 5.1.절의 예와 마찬가지로, 각 위협이 발생할 때마다, 전체 시스템은 모든 동일한 조건을 가진다고 가정한다. 즉, 동일한 시스템 자원 및 환경을 가지고 있다.
따라서 주요 정보통신 기반 시스템이 가지고 있는 각 위협별 서로 다른 위협 상태 전이 행렬을 가지게 된다. 단, 위협이 발생할 때마다 각 위협은 동일한 조건에서 발생한다고 가정한다. 예를 들어, 위협에 대한 보안 대응책, 시스템 자원 및 동일한 환경을 가지고 있다.
즉, 일반적인 경우는 시간에 따른 감염된 호스트 Kt), 감염에 노출된 호스트 S(t), 그리고 제거되는 호스트 R(t)를 생각하였는데, SIRS 모델에서는 S — I — R 단계 이후에 다시 해당 호스트가 감염될 수 있다는 사실을 가정하였다. 즉, 감염에 노출된 호스트에서 감염이 발생되면서 일정 시간 후 제거과정을 통해 완전 제거가 아닌, 다시 감염될 수 있는 호스트의 상태를 추가한 것이다.
제안 방법
매핑(mapping)하여 상태들을 열거한다. 둘째, 열거된 상태들을 분석하여 하나의 위협 상태에서 다른 상태로의 전이 횟수를 구하고 이를 이용하여 전이 행렬을 구한다.
마지막으로, 기존의 SIR, SIRS 모델에 포함되지 않았던 요소 2가지를 추가하여 TWO Factor Mod시을 제안하였다[13, 16]. 이는 코드레드 사고 이후 새롭게 제안된 모델이다.
Ti에 대한 월별 발생 빈도수는 표 1과 같으며 (9)와 같은 임계값의 범위로 상태 집합(S) (10)을 정의한다. 본 논문에서 임계값은 위협의 단위 시간(월별) 발생 빈도를 몇 개의 구간으로 나누어 표현한다.
위협들 사이의 관계 및 위협 행위에 대한 대응책에 의해 다양한 형태를 이룰 수 있다. 본 논문에서 제안하는 마코프 프로세스에 기반한 피해 파급 모델은 다양한 위협들에 적용 가능할 뿐만 아니라 이들 사이의 상호 관계 정도(밀접도)를 바탕으로 그림 1과 같은 다양한 형태의 피해 파급 영역에~대하여 적용할 수 있다. 이를 위해서 확률적 피해 파급 모델은 몇 가지 요구 사항을 만족해야 한다: 첫째, 시간에 따른 피해 파급 영역을 고려해야 한다.
대하여 단계별 프로세스를 정의한다. 본 논문에서 제안한 마코프 프로세스에 기반한 확률적 피해 파급 모델은 그림 2와 같은 과정을 거쳐 생성되며, 크게 4 단계(상태집합의 정의, 위협상태 전이행렬, 초기 확률, 위협예측)로 이루어진다.
본 논문에서는 마코프 프로세스의 세 가지 구성요소를 정의함으로써 피해 파급 모델을 설계하고 적용하였다.
즉, 위협 Ti(해킹: 악성 프로그램을 이용한 통신망에 대한 불법적인 침입)의 발생이 위협 T2(바이러스 : 인터넷 웜)의 발생에 거의 영향을 주지 않는다고 분석할 수 있다. 본 논문에서는 세 가지 위협에 대해서만 연관 관계 정도를 보였지만, 이 위협 이외의 다양한 위협에도 공분산과 상관관계를 이용한 연관 관계 정도를 분석할 수 있다. 이를 이용하여 수많은 위협들 중에서 어떤 위협에 대해 적용할 것인지를 결정하여 피해 산정을 계산하기 위한 성능을 높일 수 있다.
이러한 분석을 통해 서로 연관된 위협을 탐색할 수 있으며, 연관된 위협들 사이의 관계성 분석을 위한 기초가 된다. 본 논문에서는 이를 위해 공분산(covariance, Cov)[8, l기과 상관계수(corrleation coefficient)[8, l기를 이용한 위협간의 연관 관계정도를 분석한다.
본 논문에서는 한국정보보호진흥원 보고된 해킹바이러스 통계 및 분석 월보를 이용하여 각 위협 유형별 위협 주기를 분석하여 대표적인 위협을 선택하였다.
위협 파악은 위협을 유형별로 분류, 조사하고 각 위협의 주기를 산출한다. 본 논문에서의 위협 유형은 한국정보보호진흥원의 보고서를 토대로 하여, 크게 해킹, 바이러스, 스캔탐지로 구분하였다. 위협 순위는 파악된 위협 주기를 바탕으로 위협의 심각성에 따라 가장 고려해야 될 위협 순위를 결정한다.
이를 위해 위협 발생 확률 (13)과 각 임계값의 중간값을 이용한다. 본 적용사례에서는 중간값을 구하기 위해 전달의 위협 발생빈도를 이용하였다. 앞서 정의한 임계값의 범위에 따라 중간값을 구하면 다음과 같다.
위협 상태들의 쌍(조합)으로 처리한다. 본 절에서는 이에 대한 예를 들기 위해, Ti(악성 프로그램을 이용한 통신망에 대한 불법적인 침입)과 T2(인터넷 웜)에 관련된 위협상태 전이행렬을 구한다. 5.
분석된 각 위협별 발생 빈도수와 전 단계에서 정의된 상태 집합과의 매핑을 통해 위협 상태 전이 행렬을 구한다. 위협 상태 전이 행렬을 구하기 위해서는 그림 4와 같이 2가지의 세부 절차를 수행한다.
우선 상태 집합의 정의 단계에서 위협 발생 데이타를 수집하고 수집된 데이타를 분석하여 위협 유형을 분류하고 위협 순위를 산정한다. 위협 유형은 크게, 해킹, 바이러스, 스캔탐지로 나누었고 각 유형별 대표적인 위협과 월별 발생수는 표 1, 2, 3과 같다.
마코프 프로세스 기반의 피해 파급 모델은 이러한 과거의 더]이타가 다른 요소들보다 높은 비중을 차지하기 때문에 신뢰성 있고 대용량의 데이타 수집이 무엇보다 중요하다. 본 논문에서는 한국정보보호진흥원(Korea Information Security Agency, KISA)에서 2001년 1 월부터 20。5년。월까지 보고된 해킹바이러스 통계 및 분석 월보[16]를 분석, 이용하여 데이타에 대한 신뢰를 얻으려 하였다.
위협상태 전이행렬을 구하기 위해, 2001년 1월부터 2005년 6월까지 Ti, T2의 월별 위협 발생 데이타를 이용하여 각 달의 Ti, T2의 위협 발생수 쌍 (Ti, T2)을 정리한다.
또한 과거의 관찰된 데이타를 이용하여 제안한 모델의 적용사례를 보였다. 제안된 모델은 전체 시스템에서 위협들의 발생 확률 및 발생 빈도를 마코프 프로세스를 이용하여 설명함으로써 하나의 특정 위협이 아니라 전체 시스템이 가지고 있는 여러 가지 위협들에 대해 적용할 수 있다. 더불어 공분산과 상관계수를 통해 위협들 사이의 상관관계 정도를 파악할 수 있었다.
시간 t는 시간경과에 따른 피해 파급의 정도를 고려하기 위한 요소로서 일정한 시간 또는 특정 이벤트에 의한 피해 영역의 모양 및 크기가 변경되는 것을 적용하기 위한 것이다. 즉, 피해 파급 손실액은 자산이 특정한 위협의 발생에 의해 자산의 하락하는 정도(Loss)와 위협이 발생할 확률(Prob.)에 의해 계산되며, 본 논문에서는 피해 파급확률(Pmb.)을 구하는 것에 중점을 두었다.
첫째, 각 위협별 발생 빈도 데이타를 위협 상태 집합과 매핑(mapping)하여 상태들을 열거한다. 둘째, 열거된 상태들을 분석하여 하나의 위협 상태에서 다른 상태로의 전이 횟수를 구하고 이를 이용하여 전이 행렬을 구한다.
대상 데이터
본 논문에서는 위협 P에 대한 초기 확률을 구하기 위해 최근 6개월(표 1의 2005년 1월~6월) 동안 발생한 빈도수를 이용한다. 앞서 제시한 식 (4)를 이용하여 최근 6개월 동안 발생한 빈도수와 이에 따른 초기 확률값을 구하면 (12)와 같다.
앞서 언급하였듯이 본 논문의 적용 사례는 한국정보보호진훙원에서 2001년 1월부터 2005년 6월까지 보고된 해킹바이러스 통계 및 분석 월보에 보고된 데이타를 이용하였다. 우선 상태 집합의 정의 단계에서 위협 발생 데이타를 수집하고 수집된 데이타를 분석하여 위협 유형을 분류하고 위협 순위를 산정한다.
성능/효과
결과 (13)부터 Tie 다음 달 & 상태로 0.84, S2 상태로 0.13, S4 상태로 0.03의 확률로 발생할 것이라고 예측할 수 있다. 즉, 0과 300 사이의 발생빈도를 가질 것이라는 것을 알 수 있다.
즉, 피해 파급 모델은 정의된 위협에 대한 전체 시스템의 피해 산정 및 피해 파급 효과를 구할 수 있어야 한다. 넷째, 기관이나 사용자들은 시간의 흐름에 따라 위협에 대한 대책을 수립, 적용할 수 있다. 이에 따라 피해 파급 영역은 증가 또는 감소 될 수 있다.
이러한 확률적 접근 방식을 통하여 다양한 형태의 정보통신 기반시설에 적용할 수 있을 뿐만 아니라 이를 근거로 하여 위협 대책 수립에 도움이 된다. 둘째, 웜/바이러스 피해 파급과는 달리 특정 위협에 국한되지 않고 다양한 위협에 대해 적용 가능하다. 따라서 위협들 사이의 관계를 파악하여 전체 시스템이 가지고 있는 위협에 대하여 종합적으로 예측 및 분석할 수 있다.
마코프 프로세스를 이용하여 모델을 설계하기 위해서는 신뢰할 만한 과거 데이타이 수집이 무엇보다도 중요하다. 둘째, 정보 자산(asset) 의 피해 파급은 이산 시간(discrete time) 에 의해 확산된다. 즉, 생물체 바이러스의 확산과는 달리 이산시간 또는 특정 이벤트에 의해 확산된다.
즉, 기관이나 사용자들은 시간의 흐름에 따라 위협에 대한 패치 (patch) 또는 업그레이드(upgrade)를 취할 수 있기 때문에 이에 의하여 피해 파급 영역이 바뀔 수 있다. 둘째, 피해 파급 속도는 위협 및 취약점의 종류에 따라 달라질 수 있으므로, 피해 파급 모델은 다양한 종류의 위협에 적용묄 수 있도록 설계해야 한다.
이에 따라 피해 파급 영역은 증가 또는 감소 될 수 있다. 마지막으로, 마코프 프로세스 전이 확률은 전체 시스템의 위협 상태에 적용되는 확률이다. 따라서 하나 이상의 위협 상태에 대해 적용할 수 있다.
이것은 정보통신 시설의 자산이 완전히 피해를 받았을 경우에만 이것과 관련된 자산에게 피해를 전파한다는 것을 의미한다. 셋째, 전체 시스템은 하나 이상의 정의된 위협을 가지고 있다. 즉, 피해 파급 모델은 정의된 위협에 대한 전체 시스템의 피해 산정 및 피해 파급 효과를 구할 수 있어야 한다.
정확한 위험 분석은 적절한 보안 대응책 선정을 가능하게 하고 결과적으로 위험 발생 가능성을 크게 감소시켜 차후에 실제적으로 발생될 수 있는 보안 사고의 피해 규모를 크게 감소시킨다. 이와 같은 위험 분석은 보안 사고를 사전에 예방하기 위해 의미가 크고, 실제적으로 많은 연구가 진행되어 왔다[1-3丄 이에 반해, 피해 파급에 대한 개념은 아직 정립되지 않았으며, 기존의 피해 파급 모델은 현재의 IT 환경에 대한 사고 유형들의 특성을 적절히 반영하기에 부적절하다.
첫째, 웜/바이러스 피해 파급 모델과 같이 피해 자산의 수, 특히 감염됨 자산의 수를 구하는 것이 아니라, 위협이 발생할 확률 및 빈도수를 구한다. 이러한 확률적 접근 방식을 통하여 다양한 형태의 정보통신 기반시설에 적용할 수 있을 뿐만 아니라 이를 근거로 하여 위협 대책 수립에 도움이 된다.
가정이 필요하다. 첫째, 위협과 관련된 과거의 데이타가 충분하고 신뢰할 만하다. 마코프 프로세스를 이용하여 모델을 설계하기 위해서는 신뢰할 만한 과거 데이타이 수집이 무엇보다도 중요하다.
후속연구
더불어 공분산과 상관계수를 통해 위협들 사이의 상관관계 정도를 파악할 수 있었다. 그러나 좀더 정확한 피해 파급 예측을 위해 적절한 임계값 설정에 대한 연구가 필요하다. 또한 위협들 사이의 연관 관계 분석을 위한 연구가 필요하다.
또한 위협들 사이의 연관 관계 분석을 위한 연구가 필요하다. 마지막으로, 마코프 프로세스 기반의 모델을 사용하기 위해서는 위협이 발생 하였을 때 이에 대한 정확한 자료의 통계화가 요구된다.
따라서 본 논문에서는 과거의 위협 발생 데이타를 근거로 하여 정보 시스템이 가지고 있는 위협들 사이의 상호 관계 및 시간의 흐름에 따라 피해 파급을 종합적으로 예측 및 분석할 수 있는 마코프 프로세스(markov porcess)[8, 9] 기반의 확률적 피해 파급 모델을 제안한다. 본 논문에서 제안하는 피해 파급 모델을 통하여 주요 위협들에 대해 사전에 위협 발생 확률 및 위협 발생 빈도를 예측하고 피해 파급 정도에 따른 위협 대책 수립에 활용할 수 있다. 또한 각 위협간의 상관관계를 분석하는데도 적용 가능하다.
따라서 위협에 관련된 관측된 데이타 값들에 대하여 통계화가 필수적이다. 본 논문에서는 관측된 월별 데이타를 이용하였는데, 일별, 또는 주별 데이타가 확보되고 이용한다면 좀더 정확한 예측값을 얻을 수 있다.
참고문헌 (18)
G. Stoneburner, A. Goguen, and A. Feringa, 'Risk Mangement Guide for Information Technology Systems,' NIST Special Publication 800-30, National Institute of Standards and Technology (NIST), 2002
한국정보보호진흥원(KISA) , '취약점 분석 . 평가 모델' 한국정보보호진흥원(KISA), 2002
이동훈, 이현숙, 김영자, 변진욱, 김역, 이래, 박혜영, 최은영, '컴퓨터 해킹 . 바이러스 피해액 산출방법 연구' 한국정보보호진흥원(KISA), 2002
S. Staniford, V. Paxson, and N.Weaver, 'How to Own the Internet in Your Spare Time,' In Proc. of the 11th USENIX Security Symposium (Security02), 2002
Z. Chen, L. Gao, K. Kwiat, 'Modeling the Spread of Active Worms,' In Proc. of IEEE INFOCOM2003, 2003
T. Vogt, 'Simulating and Optimising Worm Propagation Algorithms,' http://web.lemuria.org/security/WormPropagation.pdf, 2003
C. C. Zou, W. Gong, and D. Towsley, 'Code Red Worm Propagation Modeling and Analysis,' In Proc. of the 9th ACM Conference on Computer and Communications Security, pp. 138-147, November 2002
Kishor S. Trivedi, 'Probability and Statisics with Reliability, Queuing and Computer Science Applications,' Second Edition, WILEY Interscience, 2002
Roy D. Yates, David J. Goodman, 'Probability and Stochastic Process,' Second Edition, WILEY International Edition. 2003
김영갑, 이택, 인호, 정윤정, 김인중, 백두권, '정보 통신 기반 시설에 대한 피해 파급 모델' 제 17회 정보 보호와 암호에 대한 학술대회(WISC2005), 국가 보안 기술 연구소(NSRI),2005년 9월
Y-G. Kim, T. Lee, H. P. In, Y-J. Chung, I. Kim, and D.-K. Baik, 'A Probabilistic Approach to Estimate the Damage Propagation of Cyber Attacks,' Lecture Notes in Computer Science, Vol. 3935, pp. 175-185, Springer-Verlag, Berlin Heidelberg, 2006
J. C. Frauenthal, 'Mathematical Modeling in Epidemiology,' Springer-Verlag, New York, 1980
C. C. Zou, W. Gong, and D. Towsley, 'Worm Propagation Modeling and Analysis under Dynamic Quarantine Defense,' In Proc. of ACM CCS Workshop on Rapid Malcode (WORM'03), October, 2003
D. J. Deley and J. Gani, 'Epidemic Modeling. An Introduction,' Cambridge university Press, 1999
L. Edelstein-Keshet, 'Mathematical Models in Biology,' Random House, New York, 1988
D. Moore, C. Shannon, G. M. Voelker, and S. Savage, 'Internet Quarantine: Requirements for Containing Self-Propagating Code,' In Proc. of IEEE INFOCOM, 2003
한국정보보호진흥원(KISA), '해킹바이러스 통계 및 분석 월보(2001년 1월 - 2005년 6월)', 한국정보보호진흥원(KISA), http://www.krcert.or.kr/
Robert V. Hogg and Allen T. Craig, Introduction to Mathematical Statistics, Fifth Edition, Prentice-Hall, 1995
※ AI-Helper는 부적절한 답변을 할 수 있습니다.