[논문]패스트 데이터 기반 실시간 비정상 행위 탐지 시스템

이명철; 문대성; 김익균

doi:10.13089/jkiisc.2015.25.5.1027

패스트 데이터 기반 실시간 비정상 행위 탐지 시스템
Real-time Abnormal Behavior Detection System based on Fast Data 원문보기

情報保護學會論文誌 = Journal of the Korea Institute of Information Security and Cryptology, v.25 no.5, 2015년, pp.1027 - 1041

이명철 (한국전자통신연구원) , 문대성 (한국전자통신연구원) , 김익균 (한국전자통신연구원)

초록
AI-Helper

최근, Verizon(2010), 농협(2011), SK컴즈(2011), 그리고 3.20 사이버 테러(2013)와 같이 소중한 정보가 누출되고 자산에 피해가 발생한 후에야 보안 공격을 인지하는 APT (Advanced Persistent Threat) 공격 사례가 증가하고 있다. 이러한 APT 공격을 해결하고자 이상 행위 탐지 기술 관련 연구가 일부 진행되고 있으나, 대부분 알려진 악성 코드의 시그너쳐 기반으로 명백한 이상 행위를 탐지하는데 초점을 맞추고 있어서, 장기간 잠복하며 제로데이 취약점을 이용하고, 새로운 또는 변형된 악성 코드를 일관되게 사용하는 APT 공격에는 취약하여, 미탐율이 굉장히 높은 문제들을 겪고 있다. APT 공격을 탐지하기 위해서는 다양한 소스로부터 장기간에 걸쳐 대규모 데이터를 수집, 처리 및 분석하는 기술과, 데이터를 수집 즉시 실시간 분석하는 기술, 그리고 개별 공격들 간의 상관(correlation) 분석 기술이 동시에 요구되나, 기존 보안 시스템들은 이러한 복잡한 분석 능력이나 컴퓨팅 파워, 신속성 등이 부족하다. 본 논문에서는 기존 시스템들의 실시간 처리 및 분석 한계를 극복하기 위해, 패스트 데이터 기반 실시간 비정상 행위 탐지 시스템을 제안한다.

Abstract ▼ AI-Helper

Recently, there are rapidly increasing cases of APT (Advanced Persistent Threat) attacks such as Verizon(2010), Nonghyup(2011), SK Communications(2011), and 3.20 Cyber Terror(2013), which cause leak of confidential information and tremendous damage to valuable assets without being noticed. Several anomaly detection technologies were studied to defend the APT attacks, mostly focusing on detection of obvious anomalies based on known malicious codes' signature. However, they are limited in detecting APT attacks and suffering from high false-negative detection accuracy because APT attacks consistently use zero-day vulnerabilities and have long latent period. Detecting APT attacks requires long-term analysis of data from a diverse set of sources collected over the long time, real-time analysis of the ingested data, and correlation analysis of individual attacks. However, traditional security systems lack sophisticated analytic capabilities, compute power, and agility. In this paper, we propose a Fast Data based real-time abnormal behavior detection system to overcome the traditional systems' real-time processing and analysis limitation.

주제어

AI 본문요약
AI-Helper

문제 정의

본 논문에서는 전술한 APT 공격과 관련한 기존 시스템들의 실시간 처리 및 분석 한계를 극복하기 위해서, 정상/비정상 행위 탐지를 위한 프로세스 행위 기반의 특성 인자 모델을 정의하고, 대표적인 패스트 데이터 시스템인 Apache Storm을 사용하여 기관 내에서 발생하는 알려지지 않은 비정상 행위를 실시간 탐지하는 패스트 데이터 기반 비정상 행위 탐지 시스템을 제안한다.

제안 방법

본 연구에서는 악성 코드의 정적 분석을 통한 시그너쳐 대신 악성 코드가 호스트 PC에서 실행되는 동안 발생하는 동적 프로세스 행위 로그를 이용한 악성 코드 특성 인자 추출 및 탐지 방법을 사용한다. 대상 악성 코드는 윈도우즈 시스템에서 동작하는 프로그램들로 한정하였으며, 윈도우즈 API 호출 이벤트로부터 특성 인자를 추출한다.
제안 시스템은 알려지지 않은 공격을 실시간 탐지할 수 있도록, 호스트에서 수행되는 프로세스의 행위를 규정하기 위하여 47개의 특성 인자를 정의하고, 특성 인자를 포함한 모든 프로세스 행위 이벤트를 수집하고 94차원의 특성 인자 벡터 트리를 구축하여, 프로세스 실행 시간 동안의 모든 행위 실행 이력을 모니터링하고 프로세스 행위의 변경을 상관 분석하는 방법을 사용하였다.

성능/효과

성능 시험을 통해 프로세스 행위 이벤트 데이터 초당 처리 성능(throughput)을 측정한 결과, 호스트 행위 기반 탐지 기법의 높은 정확도는 유지하면서, 노드당 약 40,000 EPS(프로세스 행위 이벤트/ 초)의 처리 성능을 확인할 수 있었다.
호스트 기반 분석 모듈은 통지된 프로세스 행위 정보의 정상/비정상 여부를 결정하기 위해 결정 트리 알고리즘을 수행해서 APT 공격 여부를 판단하며, 이는 실험 결과 낮은 미탐율(5.8%)과 오탐율 (2.0%) 정확도를 보였다[10].

후속연구

향후 다양한 시험을 통해 MySQL 클러스터가 최적으로 동작할 수 있는 설정을 찾아낸다면, 보다 좋은 저장 성능을 달성할 수 있을 것으로 기대한다.
향후에는, 현재 호스트 PC 수집 데이터를 공유 저장소에 일단 저장한 후 처리하는 방식을 벗어나서 제안 시스템이 보다 실시간 처리 환경을 제공하고, 보다 높은 프로세스 행위 이벤트 처리 성능을 제공할 수 있도록, 호스트 PC에서 수행되는 호스트 데이터 수집기 에이전트로부터 데이터를 네트워크로 직접 입력받도록 처리 구조를 개선하려고 한다.

질의응답

핵심어	질문	논문에서 추출한 답변
	지능형 APT 공격에 대응하기 위해서 무엇이 필요한가?	지능형 APT 공격에 대응하기 위해서는, 호스트, 네트워크, 보안 장비 등으로부터 생성되는 다양한 이벤트 정보에 대한 종합적인 분석이 필요하다. 특히 APT 공격자들은 일부 악성 코드를 호스트 PC에 초기에 잠입시킨 후, 나중에 그들의 최종 목적을 달성한다.
	APT 공격은 어떤 목적으로 실시되는가?	APT 공격은 주요 정부 기관 또는 기업 등으로부터 군사 비밀, 민감한 산업 및 고객 정보를 훔치거나 산업 제어 시스템을 마비시키기 위한 목적으로 실시 되며, 결과적으로 막대한 물리적 피해를 유발한다. 일상적인 APT 공격 시나리오에서는 공격자가 사회 공학적 방법을 포함하는 다양한 방법을 동원해서 대상 기관에 은밀히 침투하고, 수주~수개월에 걸친 장기간의 준비 과정을 거쳐서 최종 공격에 이르게 된다 [2,13].
	빅데이터 처리 기술의 대표적인 시스템은 무엇인가?	빅데이터 처리 기술은 크게 배치 처리와 스트림 처리 기술로 구분할 수 있다. 가장 대표적인 시스템으로는 각각 Hadoop 과 Storm을 들 수 있다. Apache Hadoop은 가장 유명한 오픈 소스 배치 처리 시스템이며, 최근 Spark, Flink 등의 새로운 시스템들이 Hadoop 대비 향상된 처리 성능 덕분에 주목을 받고 있다.

참고문헌 (31)

Verizon, "2010 data breach investigations report," 2010.
Colin Tankard, "Advanced persistent threats and how to monitor and deter them," Network Security, vol. 2011, no. 8, pp. 16-19, Aug. 2011.

상세보기
Paul Giura and Wei Wang, "Using large scale distributed computing to unveil advanced persistent threats," Science Journal, vol. 1, no. 3, pp. 93-105, 2012.
Apache Hadoop Project, http://hadoop.apache.org/.
Apache Storm Project, http://storm.apache.org/.
Splunk, http://www.splunk.com/.
General Dynamics, "Proposal for R&D support of DARPA cyber genome program," Mar. 2010.
Sung-Hwan Ahn, Nam-Uk Kim, and Tai-Myoung Chung, "Big data analysis system concept for detecting unknown attacks," ICACT 2014, pp. 269-272, Feb. 2014.
Kim Jonghyeon, et al., "Trend of cyber security technology using Big Data," Electronic Communication Trend Analysis, vol. 28, 3rd Ed., June 2013.
Daesung Moon, Hansung Lee, and Ikkyun Kim, "Host based feature description method for detecting APT attack," Journal of The Korea Institute of Information Security & Cryptology, 24(5), pp. 839-850, Oct. 2014.

원문보기 상세보기
M.A. Beyer, A. Lapkin, N. Gall, D. Feinberg, and V.T. Sribar, "Big data is only the beginning of extreme information management," Gartner, Apr. 2011.
Ashish Thusoo, et al., "Hive - a warehousing solution over a Map-Reduce framework," VLDB 2009, vol. 2, no. 2, pp. 1626-1629, Aug. 2009.
NIST, "Guide for conducting risk assessments," Special Publication 800-30 Revision 1, Sep. 2009.
Symantec, "Symantec internet security threat report," Symantec, 2011.
Art Coviello, "Open letter to RSA customers," June 2011.
Gartner, "Big data," http://gartner.com/it-glossary/big-data.
Lambda Architecture, http://lambda-architecture.net/.
Hyunjoo Kim, Ikkyun Kim, and Tai-Myoung Chung, "Abnormal behavior detection technique based on big data," Lecture Notes in Electrical Engineering, vol. 301, pp. 553-563, Apr. 2014.
IBM QRadar, http://www-01.ibm.com/software/tivoli/products/security-operations-mgr/.
McAfee ESM, http://www.mcafee.com/us/products/enterprise-security-manager.aspx
IBM Security Intelligence with Big Data, http://www-03.ibm.com/security/solution/intelligence-big-data/.
Yeonhee Lee and Youngseok Lee, "Toward scalable Internet traffic measurement and analysis with Hadoop," ACM SIGCOMM Computer Communication Review, vol. 43, no. 1, pp. 6-13, Jan. 2013.
Daesu Choi, Giljong Moon, Yongmin Kim, and Bongnam Noh, "Large quantity of security log analysis using MapReduce," Journal of the Korean Institute of Information Technology, vol. 9, 8th Ed., Aug. 2011.
Ting-Fang Yen et al., "Beehive: large-scale log analysis for detecting suspicious activity in enterprise networks," ACSAC 2013, pp. 199-208, Dec. 2013.
Ioan Raicu et al., "Falkon: a fast and light-weight task execution framework," ACM/IEEE Conference on Supercomputing, no. 43, Nov. 2007.
http://en.wikipedia.org/wiki/Zero-day_(computing)
Alissa Lorentz, "Big data, fast data, smart data," WIRED, Apr. 2013.
DCIG, "2014-2015 SIEM appliance buyer's guide," 2014.
IBM, "IBM Security QRadar SIEM - product overview," 2013.
NDM, "ArcSight ESM 7425," http://www.ndm.net/siem/arcsight/arcsight-esm, 2015.
Splunk, "Splunk performance guide v2.1," 2015.

저자의 다른 논문 :

표제어: PCR

동의어: Packet Collision Rate

용어 설명 출처 목록 (6)

용어 설명: PCR은 세균 특이성이 있는 primer를 이용하여 적은 수의 세균이 있을지라도 쉽게 검출할 수 있는 유용한 방법이며, 이를 이용하여 구강 내 치면세균막이나 타액에서 직접 세균을 검출할 수 있게 되었다[8].

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증