$\require{mediawiki-texvc}$

연합인증

연합인증 가입 기관의 연구자들은 소속기관의 인증정보(ID와 암호)를 이용해 다른 대학, 연구기관, 서비스 공급자의 다양한 온라인 자원과 연구 데이터를 이용할 수 있습니다.

이는 여행자가 자국에서 발행 받은 여권으로 세계 각국을 자유롭게 여행할 수 있는 것과 같습니다.

연합인증으로 이용이 가능한 서비스는 NTIS, DataON, Edison, Kafe, Webinar 등이 있습니다.

한번의 인증절차만으로 연합인증 가입 서비스에 추가 로그인 없이 이용이 가능합니다.

다만, 연합인증을 위해서는 최초 1회만 인증 절차가 필요합니다. (회원이 아닐 경우 회원 가입이 필요합니다.)

연합인증 절차는 다음과 같습니다.

최초이용시에는
ScienceON에 로그인 → 연합인증 서비스 접속 → 로그인 (본인 확인 또는 회원가입) → 서비스 이용

그 이후에는
ScienceON 로그인 → 연합인증 서비스 접속 → 서비스 이용

연합인증을 활용하시면 KISTI가 제공하는 다양한 서비스를 편리하게 이용하실 수 있습니다.

트래픽 분석을 통한 악성코드 감염PC 및 APT 공격탐지 방안
Design for Zombie PCs and APT Attack Detection based on traffic analysis 원문보기

情報保護學會論文誌 = Journal of the Korea Institute of Information Security and Cryptology, v.24 no.3, 2014년, pp.491 - 498  

손경호 (한국인터넷진흥원) ,  이태진 (한국인터넷진흥원) ,  원동호 (성균관대학교)

초록
AI-Helper 아이콘AI-Helper

최근, 지능화된 공격기법을 통한 사이버테러가 지속적으로 발생하고 있으며 특히, 알려지지 않은 신종 악성코드를 사용하기에 탐지 및 대응이 매우 어렵다. 본 논문에서는 대용량 데이터 분석을 통해, 악성코드 침투단계 이후에, 좀비PC와 공격자와 통신을 사전탐지, 대응하는 알고리즘 개발 및 상용환경에서 검증하였다. 향후, 알고리즘의 고도화, 대용량 데이터 처리기술 적용을 통해, APT 공격의 탐지성능이 향상될 것으로 예상한다.

Abstract AI-Helper 아이콘AI-Helper

Recently, cyber terror has been occurred frequently based on advanced persistent threat(APT) and it is very difficult to detect these attacks because of new malwares which cannot be detected by anti-virus softwares. This paper proposes and verifies the algorithms to detect the advanced persistent th...

주제어

#Advanced Persistent Threat   #APT   #big data  

AI 본문요약
AI-Helper 아이콘 AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

  • 2단계 준비가 완료되면, 특정 시점에 개인정보 유출, 서버파괴 등의 목적을 가진 악성코드를 추가 설치하여 원하는 목적을 달성한다. 본 논문에서는 2단계에서 이상징후를 탐지하고, 감염PC를 조치함으로써 침해사고를 사전에 예방하는 것을 목표로 한다. Fig.
  • 본 논문에서는 특정 조직·기업 대상으로 발생하는 APT 공격을 탐지하기 위해, 악성코드 감염PC와 공격자가 운영하는 C&C서버와의 비정상 트래픽을 탐지하는 3가지 탐지 알고리즘을 제시하고, 검증을 수행하였다.
  • 이는 대용량 보안로그를 처리하기 위한 실질적인 인프라 또는 플랫폼이 제대로 갖춰지기 이전에 연구들로 본 연구에서는 빅데이터 플랫폼을 구축해 로그의 교차·상관 분석을 검증함으로써 APT 공격을 좀 더 효율적으로 탐지하기 위한 방안을 제시하고자 한다.
  • 이에 본 논문에서는 보안 이벤트 연관분석 기술의 장단점을 비교하고, APT공격을 효과적으로 탐지하기 위한 알고리즘을 제안하고, 제안된 알고리듬을 실제 네트웍에 대해서 그 효과를 검증한다. 본 논문의 구성은 다음과 같다.
본문요약 정보가 도움이 되었나요?

질의응답

핵심어 질문 논문에서 추출한 답변
APT공격이란? 20 사이버 테러는 공격자가 특정대상을 겨냥해 명확한 목표를 두고 지능적, 지속적으로 은밀히 공격을 가하여 정보를 수집하고 유출하는 방법인 지능형 지속위협(APT, Advanced Persistent Threat) 공격을 통해 이루어졌다. APT공격은 알려지지 않은 다양한 공격기법을 활용하여 기존이 보안솔루션(예, Anti-Virus제품 등)을 우회하고, 장기간에 걸쳐 취약점을 찾는 등을 통해 이뤄지는 공격으로 기존의 보안기술 및 제품으로 이를 찾아내고 대응하는 것은 어려운 실정이다. Fig.
APT공격의 공통적인 특성은 무엇인가? ‘13년 3월 20일 발생한 해킹사고도 최초 해커가 피해회사의 취약한 서버 또는 직원 PC를 장악한 후, 백신업데이트 서버 등에 S/W 업데이트 파일로 위장한 악성코드(하드디스크 파괴형) 설치하고, 백신업데이트 서버는 내부 PC에 악성코드를 유포하였고, 감염된 내부 PC에서 특정 시각 이후에 하드디스크 손상을 발생시킨 전형적인 APT공격의 양상을 보였다. 이런 APT공격의 공통적인 특성으로 ⓛ HTTP 백도어 통신, ② 시스템 내부에서의 감염 확산, ③ 동시 업데이트(예: P2P), ④ SSL통신 및 USB 등을 통한 정보 수집 및 전달 형태로 APT 공격은 “탐지하지 어려운, 조용한 공격”으로 알려져 있다. 이러한 공통적인 형태에 대해 시스템 측면에서 대책을 수립하기 위해서는 먼저 조직 내의 시스템에 대한 공격의 구체적인 흐름을 분석해야 한다.
APT 공격 프로세스는 어떠한 단계로 이루어지는가? [1단계] APT 공격은 공격자가 내부 사용자가 방문하는 웹사이트 또는 이메일을 통해, 악성코드를 감염시켜 내부에 감염PC를 만들고, [2단계] 조직내부 네트워크 등 인프라 정보를 수집하고, [3단계] 계정정보 탈취, 악성코드 감염등을 통해 취약한 시스템·서버 등에 침입 한 후, [4단계] 공격자의 명령을 받아, 내부 정보유출 및 시스템 파괴 등의 단계로 이뤄지고 있다.
질의응답 정보가 도움이 되었나요?

참고문헌 (20)

  1. Elshoush, H. Tagelsir, and I. M. Osmank, "Alert correlation in collaborative intelligent intrusion detection systems - A survey," Applied Soft Computing In Press, 2011. 

  2. K. Julisch, "Mining alarm clusters to improve alarm handling efficiency," Proceedings of the 17th Annual Conference on Computer Security Applications, 2001. 

  3. S. Cheung, U. Lindqvist, and M.W. Fong, "Modeling multistep cyber attacks for scenario recognition," DARPA Information Survivability Conference and Exposition, pp.284-292, 2003. 

  4. H. Debar, and A. Wespi, "Aggregation and correlation of intrusion detection alerts," Proceedings of the International Symposium on Recent Advances in Intrusion Detection, pp.85-103, 2001. 

  5. B. Morin, L. Me, H. Debar, and M. Ducasse, "M2D2: A formal data model for IDS alert correlation," Proc. Recent Advances in Intrusion Detection, pp.115-137, 2002 

  6. P. Ning, Y. Cui, and D. Reeves, "Analyzing intensive intrusion alerts via correlation," Proceedings of the International Symposium on the Recent Advances in Intrusion Detection, pp. 74-94. 2002. 

  7. P. Ning, Y. Cui, and D.S. Reeves, "Constructing attack scenarios through correlation of intrusion alerts," Proc. ACM Conf. Computer and Comm. Security, pp. 245-254, 2002. 

  8. F. Cuppens, "Managing alerts in a multi- intrusion detection environment," 17th Annual Computer Security Applications Conference, 2001. 

  9. X. Qin, and W. Le, "Statistical causality of infosec alert data," Proceedings of Recent Advances in Intrusion Detection, 2003. 

  10. W.L. Xinzhou Qin, "Statistical causality analysis of infosec alert data," Lecture Notes in Computer Science, 2003. 

  11. A.Valdes and K. Skinner, "Probabilistic alert correlation," RAID 2001. 

  12. O.Dain and R.Cunninghan, "Building scenarios from a heterogeneous alert stream," IEEE Workshop on Information Assurance and Security, 2001. 

  13. Munsun Shin, Eunhui Kim, Hosung Mun, Keunho Ryu and Kiyoung Kim, "Data mining based alarm data analysis implementation," KCC : database 31(1), 2004.2. 

  14. F. Xiao, S. Jin and X. Li, "A novel data mining-based method for alert reduction and analysis," Journal of Network, vol. 5, no. 1, 2010, pp. 88-97. 

  15. Ning P and Cui Y (2002), "An intrusion alert correlator based on prerequisites of intrusions," TR-2002-01 

  16. S. Noel and S. Jajodia, "Correlating intrusion events and building attack scenarios through attack graph distance," In Proceedings of the 20th Annual Computer Security Applications Conference (ACSAC'04), 2004. 

  17. C. Abad, Y. Li, K. Lakkaraju, X. Yin, and W. Yurcik. "Correlation between netFlow system and network views for intrusion detection in workshop on link analysis," Counter-terrorism, and Privacy held in conjunction with the SIAM International Conference on Data Mining, 2004. 

  18. Suhyung Lee, Hyochan Bang, Byunghwan Jang and Jungchan Na, "Security event processing for effective analysis," Electronics and Telecommunications Trends, 22(1), 2007.2. 

  19. A. Rao and S. Zang, "HBase-0.20.0 performance evaluation, "http://cloudepr.blogspot.com/2009_08_01_archive.html 

  20. Rishi Sinha, et.al, "Internet packet size distributions: some observations," Technical Report ISI-TR-2007-643, USC/Information Sciences Institute, May, 2007 

저자의 다른 논문 :

LOADING...

관련 콘텐츠

오픈액세스(OA) 유형

FREE

Free Access. 출판사/학술단체 등이 허락한 무료 공개 사이트를 통해 자유로운 이용이 가능한 논문

저작권 관리 안내
섹션별 컨텐츠 바로가기

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

AI-Helper 아이콘
AI-Helper
안녕하세요, AI-Helper입니다. 좌측 "선택된 텍스트"에서 텍스트를 선택하여 요약, 번역, 용어설명을 실행하세요.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.

선택된 텍스트

맨위로