사이버 침해에 실시간적이고 능동적으로 대응하기 위해 침해탐지시스템(IDS), 침입방지시스템(IPS), 방화벽(Firewall) 등 단위 정보보호시스템 뿐만 아니라 보안장비의 로그, 시스템 로그, 애플리케이션 로그 등 기종이벤트를 연관, 분석하여 해킹시도를 탐지하는 통합보안관제시스템(ESM)을 사용하고 있다. 하지만 공격이 정교화되고 고도화됨에 따라 기존의 시그너처 기반 탐지 방식의 한계점이 도출되고 있으며, 이를 극복하기 위해 빅데이터 처리 기술을 이용한 공격 모델링에 기반으로 한 징후탐지 기술이 연구되고 있다. 징후탐지 기술의 효과는 공경을 대표하는 특징 점을 정확하게 추출하고, 추출된 특징 정보를 조합하여 실효성 있는 공격 모델링을 수행하는 것이 핵심이다. 본 논문에서는 이와 같은 모델링의 기반이 되는 공격 특징을 추출하고, 시나리오 기반 모델링을 수행하여 지능적 위협을 탐지할 수 있는 방법을 제안한다.
사이버 침해에 실시간적이고 능동적으로 대응하기 위해 침해탐지시스템(IDS), 침입방지시스템(IPS), 방화벽(Firewall) 등 단위 정보보호시스템 뿐만 아니라 보안장비의 로그, 시스템 로그, 애플리케이션 로그 등 기종이벤트를 연관, 분석하여 해킹시도를 탐지하는 통합보안관제시스템(ESM)을 사용하고 있다. 하지만 공격이 정교화되고 고도화됨에 따라 기존의 시그너처 기반 탐지 방식의 한계점이 도출되고 있으며, 이를 극복하기 위해 빅데이터 처리 기술을 이용한 공격 모델링에 기반으로 한 징후탐지 기술이 연구되고 있다. 징후탐지 기술의 효과는 공경을 대표하는 특징 점을 정확하게 추출하고, 추출된 특징 정보를 조합하여 실효성 있는 공격 모델링을 수행하는 것이 핵심이다. 본 논문에서는 이와 같은 모델링의 기반이 되는 공격 특징을 추출하고, 시나리오 기반 모델링을 수행하여 지능적 위협을 탐지할 수 있는 방법을 제안한다.
In order to actively respond to cyber attacks, not only the security systems such as IDS, IPS, and Firewalls, but also ESM, a system that detects cyber attacks by analyzing various log data, are preferably deployed. However, as the attacks be come more elaborate and advanced, existing signature-base...
In order to actively respond to cyber attacks, not only the security systems such as IDS, IPS, and Firewalls, but also ESM, a system that detects cyber attacks by analyzing various log data, are preferably deployed. However, as the attacks be come more elaborate and advanced, existing signature-based detection methods start to face their limitations. In response to that, researches upon symptom detection technology based on attack modeling by employing big-data analysis technology are actively on-going. This symptom detection technology is effective when it can accurately extract features of attacks and manipulate them to successfully execute the attack modeling. We propose the ways to extract attack features which can play a role as the basis of the modeling and detect intelligent threats by carrying out scenario-based modeling.
In order to actively respond to cyber attacks, not only the security systems such as IDS, IPS, and Firewalls, but also ESM, a system that detects cyber attacks by analyzing various log data, are preferably deployed. However, as the attacks be come more elaborate and advanced, existing signature-based detection methods start to face their limitations. In response to that, researches upon symptom detection technology based on attack modeling by employing big-data analysis technology are actively on-going. This symptom detection technology is effective when it can accurately extract features of attacks and manipulate them to successfully execute the attack modeling. We propose the ways to extract attack features which can play a role as the basis of the modeling and detect intelligent threats by carrying out scenario-based modeling.
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
문제 정의
공격에 대해 보다 효과적으로 대응하기 위한 모델링 기술을 사용하기 위해서는 모델링을 위한 특징정보를 어떻게 추출하느냐와 추출된 특징정보를 어떻게 조합하여 모델링을 수행할 것인가가 관건이라 말할 수 있다. 따라서, 본 논문에서는 모델링을 위한 특징 정보를 효과적으로 추출하고 추출된 특징 정보를 이용하여 프로파일링을 수행하여 APT(Advanced Persistent Threats)와 같은 지능적 공격을 탐지할 수 있는 방법을 제안하고자 한다.
알려지지 않은 공격이라 하더라도 공격의 방법이 다를 뿐이지 공격으로 발생되는 증상은 시스템에 부하를 증가시키고 시스템 및 네트워크의 사용량을 증가시킨다. 또한 정보를 유출하는 등 이와 같은 두 가지 변수를 사용하여 기존 알려진 공격과 정확히 일치하지는 않을지라도 부분적으로 일치하는 신, 변종 공격의 발생 가능성을 알려줄 수 있는 기반을 제공한다.
본 논문에서는 APT(Advanced Persistent Threats)와 같은 지능적이고 알려지지 않은 유사, 변종 공격에 대해 동적인 증상을 기반으로 한 공격 시나리오 모델링 방법을 사용하여 탐지하는 방법을 제안하였다. 본 논문에서 제안한 방식의 핵심은 시나리오 모델링을 위해 동적인 상태의 변화(증상)을 사용한다는 것과 알려진 공격의 유사, 변종 공격도 탐지할 수 있는 유연한 탐지 메커니즘을 구현하기 위해 Check-Point와 Match-Rate의 2개 변수를 사용한다는 것이다.
이러한 방법을 사용하게 되면 알려진 공격방법을 사용하여 정확히 일치하는 형태로 공격이 유입되면 정확히 탐지가 가능하나 최근과 같은 다양한 기종의 환경에서 알려진 공격의 변종공격을 능동적으로 탐지하기에는 한계가 있다. 본 논문에서는 이러한 한계점을 극복하기 위해 Check-Point와 Match-Rate 두 가지 개념을 공격 시나리오 모델링에 적용하고자 한다. 즉, 실제 이벤트를 발생시키기 위한 Check-Point를 지정함으로 공격이 처음부터 순차적으로 완벽하게 일치하여 일어나지 않더라도 유사한 공격에 대해 시스템이 이상 증상을 발견할 수 있는 트리거를 생성하고, Match-Rate를 기반으로 알려진 공격 시나리오와 새로이 발견된 이벤트의 유사도를 분석하여 최근 발생되는 지능형 공격을 능동적으로 탐지할 수 있다.
제안 방법
본 논문에서는 APT(Advanced Persistent Threats)와 같은 지능적이고 알려지지 않은 유사, 변종 공격에 대해 동적인 증상을 기반으로 한 공격 시나리오 모델링 방법을 사용하여 탐지하는 방법을 제안하였다. 본 논문에서 제안한 방식의 핵심은 시나리오 모델링을 위해 동적인 상태의 변화(증상)을 사용한다는 것과 알려진 공격의 유사, 변종 공격도 탐지할 수 있는 유연한 탐지 메커니즘을 구현하기 위해 Check-Point와 Match-Rate의 2개 변수를 사용한다는 것이다. 이로 인해 완벽하게 시나리오가 일치해야만 탐지하여 공격을 막는 기존의 탐지 시스템에서 공격 초기부터 시나리오가 완벽하게 일치하지 않더라도 빠르게 탐지하여 위험한 접근을 차단할 수 있는 탐지 모델링을 제시하였다.
상태 모델링의 근간이 되는 Petri-Net[7]에 대해 살펴보고, 이를 응용한 상태기반 탐지방법 및 한계점을 분석한다.
이 시나리오에는 초기 상태인 compromised state를 포함하고 있다. 상태 전이 분석 방법을 이와 같은 전이 과정에서 나타나는 본질적인 성격 즉, 프로세스 접근, 디렉터리 쓰기 접근 등다양한 성격을 시나리오로 정의한 다음 이를 기반으로 해킹시도를 탐지한다. 각 전이 단계를 일으키는 해커의 행위를 “Action"으로 정의하였으며, 이 알고리즘에서는 초기 상태나 중간 전이 상태에서 끝나는 Action에 대해서는 무시하고 최종 해킹상태인 Compromised State가 되면 탐지 모듈은 침입이 발생되었다고 경보를 발생해 주는 구조이다.
본 논문에서 제안한 방식의 핵심은 시나리오 모델링을 위해 동적인 상태의 변화(증상)을 사용한다는 것과 알려진 공격의 유사, 변종 공격도 탐지할 수 있는 유연한 탐지 메커니즘을 구현하기 위해 Check-Point와 Match-Rate의 2개 변수를 사용한다는 것이다. 이로 인해 완벽하게 시나리오가 일치해야만 탐지하여 공격을 막는 기존의 탐지 시스템에서 공격 초기부터 시나리오가 완벽하게 일치하지 않더라도 빠르게 탐지하여 위험한 접근을 차단할 수 있는 탐지 모델링을 제시하였다. 본 논문에서 제안한 방법을 사용하여 현재까지 발생된 사이버 공격 뿐 만 아니라, 향후 발생 가능한 사이버 공격 또한 유연하게 대응이 가능할 것으로 기대된다.
이론/모형
앞서 살펴본 두 가지의 시나리오 기반 모델링 방법은 Petri-Net을 기반으로 하여 공격으로 발생 가능한 상태를 정의하고 이를 탐지의 기반으로 사용하였다. 이러한 방법을 사용하게 되면 알려진 공격방법을 사용하여 정확히 일치하는 형태로 공격이 유입되면 정확히 탐지가 가능하나 최근과 같은 다양한 기종의 환경에서 알려진 공격의 변종공격을 능동적으로 탐지하기에는 한계가 있다.
또한 위에서 제안하는 매트리스도 알려진 공격방법을 모델링한 것이기 때문에 신종 또는 변종 공격에 유연하게 대응할 수 없을 것이다. 이를 극복하기 위해 본 논문에서 제안하는 방식은 Check-Point와 Match-Rate 두 가지 변수를 탐지 룰에 사용한다. 알려지지 않은 공격이라 하더라도 공격의 방법이 다를 뿐이지 공격으로 발생되는 증상은 시스템에 부하를 증가시키고 시스템 및 네트워크의 사용량을 증가시킨다.
성능/효과
기존의 룰 기반 탐지방법에서는 점검 시점의 리소스 사용량, 패킷의 페이로드 등 “현상”을 기반으로 하였다. 이와 같은 방법을 빠른 비교로 속도의 향상은 가져오지만 시시각각 변화하는 값의 능동적인 반영에는 한계가 있어 결론적으로 오 탐을 증가시킨다.
후속연구
본 논문에서 제안한 방법을 사용하여 현재까지 발생된 사이버 공격 뿐 만 아니라, 향후 발생 가능한 사이버 공격 또한 유연하게 대응이 가능할 것으로 기대된다. 다만, 본 메커니즘을 대용량 엔터프라이즈 네트워크에서 구현하기 위해서는 빅데이터에 대한 처리 기술의 확보가 선행되어야 할 것이다. 향후 본 메커니즘을 적용하기 위한 알려진 공격에 대한 시나리오를 조사, 분석하여 실제 환경에서 적용이 가능하도록 구현한다면 지능화되고 정교해진 외부 사이버 해킹에 대한 탐지를 쉽게 감지하여 침입에 대한 예방을 할 수 있을 것이다.
이로 인해 완벽하게 시나리오가 일치해야만 탐지하여 공격을 막는 기존의 탐지 시스템에서 공격 초기부터 시나리오가 완벽하게 일치하지 않더라도 빠르게 탐지하여 위험한 접근을 차단할 수 있는 탐지 모델링을 제시하였다. 본 논문에서 제안한 방법을 사용하여 현재까지 발생된 사이버 공격 뿐 만 아니라, 향후 발생 가능한 사이버 공격 또한 유연하게 대응이 가능할 것으로 기대된다. 다만, 본 메커니즘을 대용량 엔터프라이즈 네트워크에서 구현하기 위해서는 빅데이터에 대한 처리 기술의 확보가 선행되어야 할 것이다.
다만, 본 메커니즘을 대용량 엔터프라이즈 네트워크에서 구현하기 위해서는 빅데이터에 대한 처리 기술의 확보가 선행되어야 할 것이다. 향후 본 메커니즘을 적용하기 위한 알려진 공격에 대한 시나리오를 조사, 분석하여 실제 환경에서 적용이 가능하도록 구현한다면 지능화되고 정교해진 외부 사이버 해킹에 대한 탐지를 쉽게 감지하여 침입에 대한 예방을 할 수 있을 것이다.
질의응답
핵심어
질문
논문에서 추출한 답변
사이버 침해에 능동적으로 실시간으로 대응하기 위해 어떤 방법을 사용하는가?
사이버 침해에 실시간적이고 능동적으로 대응하기 위해 침해탐지시스템(IDS), 침입방지시스템(IPS), 방화벽(Firewall) 등 단위 정보보호시스템 뿐만 아니라 보안장비의 로그, 시스템 로그, 애플리케이션 로그 등 기종이벤트를 연관, 분석하여 해킹시도를 탐지하는 통합보안관제시스템(ESM)을 사용하고 있다. 하지만 공격이 정교화되고 고도화됨에 따라 기존의 시그너처 기반 탐지 방식의 한계점이 도출되고 있으며, 이를 극복하기 위해 빅데이터 처리 기술을 이용한 공격 모델링에 기반으로 한 징후탐지 기술이 연구되고 있다.
침입 탐지 방법 중 상태 전이 분석 방법은 어떤 조건을 전제하는가?
이 방법에서는 두 가지의 전제조건을 정의한다. 그 첫 번째는 해커는 공격을 위해 파일, 디바이스, 네트워크 통신 등 시스템에 최소한의 권한을 획득하였다는 것이며, 두 번째는 모든 공격을 권한의 획득으로 이어진다는 것이다.
Petri Net은 무엇인가?
Petri Net은 특수한 선도에서 표현되는 동시 병행 시스템의 모델로서, 1960년대에 독일의 C.A.Petri가 고안한 병렬 가동 시스템의 표현법으로 정보 흐름의 표현을 극도로 간소화한 것이다.[7] 이는 프로토콜들을 모델화하는데 주로 사용되며, 장소, 전이, 토큰 등으로 구성되는데, 장소는 0으로, 전이는 -(또는 1)로, 토큰은 으로 나타낸다.
참고문헌 (10)
Dae-kwon Kang, Ieck-chae Euom, Chun-suk Kim, "A Development of Novel Attack Detection Methods using Virtual Honeynet", The Journal of the Korea Institute of Electronic Communication Sciences, Vol. 8, No. 6, pp. 863-872, 2013.
Cha-in hwan, "A study on the Development of Personnel Security Management for Protection against Insider threat", The Journal of the Korea Institute of Electronic Communication Sciences, Vol. 3, No. 4 pp. 210-219, 2008.
Woo-Seok Seo, Jae-Pyo Park, Moon-Seog Jun, "A Study on Methodology for Standardized Platform Design to Build Network Security Infrastructure", The Journal of the Korea Institute of Electronic Communication Sciences, Vol. 7, No. 1, pp. 203-211, 2011.
Yoo-Seok Lim, "Review on the Cyber Attack by Advanced Persistent Threat", Korea Institute of Terrorism, Vol. 6, No. 2, pp. 158-178, 2013.
McKinsey global Institute, "Big data:The next frontier for innovayion, competition, and productivity", 2011.
Sang-Yong Choi, Yong-Min Kim, Dea-Jun Joo, Seung-Do Jeong, Bong-Nam Noh, "A Technique of Symptoms Analysis over Time for Detection of APT Attack" SCTA2012, 2012.
TADAO MURATA, "Petri Nets:Properties, Analysis and Applications" Proceedings of the IEEE, Vol. 77, pp. 541-580, 1989.
Koral Ilgun, Rechard A. Kemmerer, "State transition analysis: a rule-based instrusion detection approach" Software Engineering, IEEE Transactions on Vol. 21, No. 3, pp. 181-199, 1995.
Giovanni Vigna, Richard A. Kemmerer, "Net- STAT: A Network-based Intrusion Detection System", Journal of Computer Security, Vol. 7, No. 1, pp. 37-71, 1999.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.