선택한 단어 수는 입니다.
최소 단어 이상 선택하여야 합니다.
최소 단어 이상 선택하여야 합니다.
선택한 단어 수는 30입니다.
최대 10 단어까지만 선택 가능합니다.
최대 10 단어까지만 선택 가능합니다.
문제 정의
- 본 연구논문에서는 침해사고를 기준으로 침해자원을 계층적으로 분류하고 이들 대상으로 침해자원에 대한 유사도 분석을 수행하여 분석할 유사 침해사고에 정보를 제공하는 침해사고 분석 모델을 제안한다. 이를 위한 연구 접근모델은 침해사고의 구성을 위해서 보안 인텔리전스와 지능형 지속 공격의 킬 체인 모델을 분석하여 침해사고를 구성하는 핵심 연결고리인 악성 URL를 식별하고 이로부터 도메인을 추출하여 침해사고를 구별하는 식별자로 사용하였다.
- 이를 해결하고자 본 논문에서는 침해사고를 기준으로 침해자원을 계층적으로 분류하고 유사도 분석을 수행하였다. 이 분석을 통하여 신규 침해사고가 발생하였을 때 유사한 침해사고 유형에 대한 정보를 침해사고 분석가에게 제시하는 침해사고 분석 모델을 제안하였다. 침해자원 기반의 침해사고를 구성하고 유사도 분석을 통하여 새로운 침해사고를 분류하는 기존의 방식 대신 침해사고를 구성하는 침해자원을 계층적으로 구성하고 계층을 구성하는 침해자원에 대해서 클러스터링하여 침해자원 프로파일을 도출한다.
- 이를 해결하고자 본 논문에서는 침해사고를 기준으로 침해자원을 계층적으로 분류하고 유사도 분석을 수행하였다. 이 분석을 통하여 신규 침해사고가 발생하였을 때 유사한 침해사고 유형에 대한 정보를 침해사고 분석가에게 제시하는 침해사고 분석 모델을 제안하였다.
제안 방법
- 거리계산을 위해 침해자원에 대한 유사도 측정 함수(distance())를 호출한다. n개의 침해사고에 대한 거리값을 Similarity 테이블에 저장한 후 테이블에서 오름차순으로 정렬된 n개의 침해사고를 검색하여 출력한다.
- 실험을 위하여 계층적 침해자원으로 구성된 침해사고를 추출하여 라벨을 부착한 다음 실용성 평가 모델의 구현시스템을 사용하여 분류의 정확성을 확인하였다. 계층적 침해자원의 프로파일과 라벨이 부착된 침해사고의 침해자원에 대한 유사도 평가를 반복 수행하여 분류하였다. 실용성 평가 모델에서 유사도 벡터 테이블의 가중치와 유사도 점수를 상이하게 하여 계층적 침해자원의 단일 또는 다중 분석을 반복 수행하여 분류된 결과셋의 평균값을 가지고 단일 또는 다중 모델의 실용성을 검증하였다.
- 기존의 침해사고 구성 방식이 가지고 있는 침해사고의 모호한 의미와 실용성의 한계를 극복하기 위해서[그림 8]과 같이 침해사고 원시 데이터베이스로부터 악성 URL을 구성하는 도메인을 침해사고의 식별자로 사용하여 클러스터링하고 식별자인 도메인을 출발점으로 연관된 침해자원을 재귀적으로 탐색하여 침해자원을 계층적으로 구성한다.
- 침해자원 기반의 침해사고를 구성하고 유사도 분석을 통하여 새로운 침해사고를 분류하는 기존의 방식 대신 침해사고를 구성하는 침해자원을 계층적으로 구성하고 계층을 구성하는 침해자원에 대해서 클러스터링하여 침해자원 프로파일을 도출한다. 도출된 침해사고 프로파일을 기준으로 새로운 침해사고를 구성하는 침해자원의 유사도를 산정하여 분류하였다.
- 지능형지속공격은 유형에 따라 킬 체인의 7단계 중 일부 공격 단계만 수행하여 사이버 공격을 수행한다. 따라서 공격절차와 패턴은 킬 체인을 구성하는 일련의 공격단계를 통합 하여 모델링한다. 사이버 킬 체인은 표적 공격에 대한 지능형지속공격의 유형에 따라서 그리고 방어 관점에서 표적 공격과 방어에 대한 모델링 단계의 수를 통합 또는 축소하여 사용한다.
- 따라서 악성코드에 대한 URL은 침해사고를 구성하는 식별자로 사용할 필요가 있다. 또한 지능형 지속 공격의 킬 체인 프레임워크를 확장해서 공격에 사용된 침해 자원, 보안대책을 도출해서 침해공격에 대한 대응책을 모델링 한다.
- 새로운 침해사고와 유사한 침해사고에 대한 정보를 분석가에게 제공할 때 침해사고의 파급도와 위험도를 함께 제시해 줌으로써 우선적으로 분석할 유사침해사고를 침해사고 분석가가 식별할 수 있도록 한다. 침해사고의 시각화 우선순위를 결정하는 구성요소는 [표 2]과 같다.
- 따라서 침해사고를 구별하는 식별자는 공격단계의 핵심 연결고리인 악성 URL로부터 도메인 도출하여 사용한다. 순차적으로 식별자인 도메인을 사용하여 원시 데이터베이스로부터 연관된 침해자원을 탐색하는 과정을 반복하여 침해사고를 계층적으로 구성한다. 침해사고 구성을 위한 알고리즘은 Algorithm 1과 같고 기존의 침해사고 원시 데이터베이스로부터 악성URL을 추출하여 도메인을 파싱하고 파싱된 도메인과 연관된 침해자원을 탐색하여 침해사고 데이터베이스에 저장하고 다시 탐색된 침해자원과 연관된 침해자원을 찾아 데이터베이스에 저장하는 과정을 반복한다.
- 침해사고분석시스템에서 침해사고를 구성하는 계층적 단일 침해자원에 대한 분류와 계층적 다중 침해자원에 대한 분류의 결과 셋을 상호 비교하여 모델의 실용성을 평가하였다. 실험을 위하여 계층적 침해자원으로 구성된 침해사고를 추출하여 라벨을 부착한 다음 실용성 평가 모델의 구현시스템을 사용하여 분류의 정확성을 확인하였다. 계층적 침해자원의 프로파일과 라벨이 부착된 침해사고의 침해자원에 대한 유사도 평가를 반복 수행하여 분류하였다.
- 침해사고 분석가에게 침해사고 유형에 대한 정보를 체계적으로 제공하기 위한 침해사고분석시스템의 데이터 구성 모델은 [그림 14]와 같다. 원시 데이터베이스에 저장된 악성 URL로부터 도메인을 추출하여 침해사고를 구성하고 침해사고를 구성하는 계층적 침해자원에 대해서 클러스터를 수행하여 침해자원프로파일을 생성한다. 침해사고 유사도를 계산하는데 필요한 침해자원의 특징에 대한 유사도 벡터 테이블을 구성하고 새로운 침해사고에 대해서 유사성의 크기에 따라 우선순위를 갖는 침해사고에 대한 정보를 침해사고 분석가에게 제공할 수 있도록 모든 유사도를 담는 유사도 테이블을 구성한다.
- 침해사고를 구성하는 모든 Domain과 원시데이터베이스 내의 침해자원 도메인과 비교한다. 원시 데이터베이스에서 매칭된 유사 Domain의 개수의 합을 침해사고 내에 있는 Domain의 개수로 나눈 값으로 위험도를 측정한다. 침해자원 URL의 위험도는 URL로부터 도메인을 추출하여 Algorithm 11를 이용하여 산정한다.
- 원시 데이터베이스에서 매칭된 유사 Hash의 개수의 합을 침해사고 내에 있는 Hash의 개수로 나눈 값으로 위험도를 측정한다.
- 침해사고를 구성하고 있는 모든 IP와 원시 데이터베이스의 침해재원 IP와 비교한다. 원시 데이터베이스에서 매칭된 유사 IP의 개수의 합을 침해사고 내에 있는 IP의 개수로 나눈 값으로 위험도를 측정한다.
- 가중치는 평가 특성을 미리 계산하고 유사도 비교시 평가 특성을 보고 유사한 중복 패턴이 출현하였을 때 공통 개수를 고려하여 산정한다. 유사도 점수는 최적화되도록 시행착오를 통해서 산정하도록 설계하였다. 침해자원 유사도 벡터를 구성하기 위한 알고리즘은 Algorithm 3과 같다.
- 침해자원의 단일 제어를 위한 침해자원의 유사도 접수는 [표 3]과 같다. 유사도 점수의 범위는 0부터 10사이의 값을 사용하여 반복 수행하였다.
- 이처럼 침해정보공유센터와 기업의 보안시스템으로부터 수집된 침해사고의 원시 데이터베이스를 참조하여 재구성된 침해사고 테이블은 [그림 10]과 같이 데이터 마이닝에 적합한 형태로 침해사고 테이블을 재구성하여 저장한다. 이렇게 재구성된 테이블의 침해사고로부터 숨겨진 패턴이나 새로운 침해사고와 연관성을 찾기 위한 데이터 마이닝을 수행한다.
- 이를 위하여 [그림 1]와 같은 연구모델에 따라 계층적 침해자원 기반의 침해사고 분석 모델을 제안하고 이의 검증을 위하여 침해사고를 일으키는 일련의 공격단계를 연결하는 핵심요소인 악성코드의 URL로부터 추출된 도메인을 기준으로 침해사고를 분류한 후 이들 도메인과 연관된 침해자원을 계층적으로 모델링하는 형태로 침해사고 분석 모델을 구현하였다.
- 새로운 침해사고를 유사침해사고로 분류하기 위해서 유사도 산정의 기준이 되는 침해자원 프로파일을 생성하기 위한 알고리즘이 필요하다. 이를 위한 알고리즘은 Algorithm 2와 같고 침해사고를 구성하고 있는 계층적 침해자원을 클러스터링하여 이를 대표할 수 있는 침해 자원 프로파일을 도출한다.
- 본 연구논문에서는 침해사고를 기준으로 침해자원을 계층적으로 분류하고 이들 대상으로 침해자원에 대한 유사도 분석을 수행하여 분석할 유사 침해사고에 정보를 제공하는 침해사고 분석 모델을 제안한다. 이를 위한 연구 접근모델은 침해사고의 구성을 위해서 보안 인텔리전스와 지능형 지속 공격의 킬 체인 모델을 분석하여 침해사고를 구성하는 핵심 연결고리인 악성 URL를 식별하고 이로부터 도메인을 추출하여 침해사고를 구별하는 식별자로 사용하였다. 이후 침해사고를 이루는 침해자원을 계층적으로 구성하고 신규 침해사고의 유사도 분석을 위해서 데이터 마이닝 분석 모델을 응용하여 유사 침해사고를 식별하도록 하였다.
- 원시 데이터베이스에 있는 침해사고로부터 새로운 침해사고와 매칭되는 유사 침해사고를 다수 리턴받을 필요가 있다. 이를 위해서 침해사고 유사도 산정 모델과 분리되는 형태로 설계하였다. 침해사고 분류 모델은 침해사고 유사도 산정 모델에 의해서 계산된 유사도 값을 입력으로 하여 새로운 침해사고가 소속될 특정 침해사고를 다중 선택하는 알고리즘으로 Algorithm 8과 같다.
- 이를 위한 연구 접근모델은 침해사고의 구성을 위해서 보안 인텔리전스와 지능형 지속 공격의 킬 체인 모델을 분석하여 침해사고를 구성하는 핵심 연결고리인 악성 URL를 식별하고 이로부터 도메인을 추출하여 침해사고를 구별하는 식별자로 사용하였다. 이후 침해사고를 이루는 침해자원을 계층적으로 구성하고 신규 침해사고의 유사도 분석을 위해서 데이터 마이닝 분석 모델을 응용하여 유사 침해사고를 식별하도록 하였다.
- 서로 관련이 없는 URL일 경우를 유사도를 0으로 지정하고, 유사 정도에 따라 유사도를 0, d,c, c+1~9, 10 값으로 지정한다. 입력된 URL를 전처리하여 4개의 토큰(도메인, 서브도메인, 파일명, 디렉토리)으로 나누어 비교를 한다. 먼저 도메인이 같은지 확인하고, 그 다음에 서브도메인이 같은지 확인하고, 그 다음에 파일명이 얼마나 유사한지 match함수를 통해 알아낸 후 마지막으로 디렉토리가 같은지 확인하여 유사도를 할당한다.
- 침해자원 IP가 사이버 공격에 악용되는 파급의 정도를 산출하는 알고리즘은 Algorithm 13과 같다. 침해사고 내에 있는 IP에 대해 연관 있는 IP의 Q빈도를 파악하여 파급도를 측정한다. 원시데이터베이스에서 침해 자원 IP를 Join 하거나 중첩select를 이용하여 IP의 수를 파악한다.
- 원시 데이터베이스에 저장된 악성 URL로부터 도메인을 추출하여 침해사고를 구성하고 침해사고를 구성하는 계층적 침해자원에 대해서 클러스터를 수행하여 침해자원프로파일을 생성한다. 침해사고 유사도를 계산하는데 필요한 침해자원의 특징에 대한 유사도 벡터 테이블을 구성하고 새로운 침해사고에 대해서 유사성의 크기에 따라 우선순위를 갖는 침해사고에 대한 정보를 침해사고 분석가에게 제공할 수 있도록 모든 유사도를 담는 유사도 테이블을 구성한다.
- 사이버 공격에서 차지하는 위험정도를 산출하는 알고리즘은 Algorithm 10과 같다. 침해사고를 구성하고 있는 모든 IP와 원시 데이터베이스의 침해재원 IP와 비교한다. 원시 데이터베이스에서 매칭된 유사 IP의 개수의 합을 침해사고 내에 있는 IP의 개수로 나눈 값으로 위험도를 측정한다.
- 침해자원 Domain이 사이버 공격에 악용되는 파급의 정도를 산출하는 알고리즘은 Algorithm 15와 같다. 침해사고를 구성하는 Domain에 대해 원시데이터베이스에 있는 침해자원 도메인의 빈도를 파악하여 파급도를 측정한다. 원시 데이터베이스에서 침해자원을 Join 하거나 중첩select를 이용하여 탐색이 된 도메인의 개수를 파악한다.
- 침해자원 Domain이 사이버 공격에서 차지하는 위험 정도를 산출하는 알고리즘은 알고리즘 12와 같다. 침해사고를 구성하는 모든 Domain과 원시데이터베이스 내의 침해자원 도메인과 비교한다. 원시 데이터베이스에서 매칭된 유사 Domain의 개수의 합을 침해사고 내에 있는 Domain의 개수로 나눈 값으로 위험도를 측정한다.
- 침해사고를 구성하는 모든 hash와 원시데이터베이스 내의 침해자원 hash와 비교한다.
- 침해자원 Hash가 사이버 공격에 악용되는 파급의 정도를 산출하는 알고리즘은 Algorithm 15와 같다. 침해사고를 구성하는 악성 파일의 유포지와 매핑되는 원시 데이터베이스에 있는 침해자원 악성코드의 유포지수를 파악하여 파급도를 측정한다. 파급도는 악성코드에 대한 유포지의 수의 합을 침해사고의 악성파일의 개수로 나눈 값으로 정의한다.
- 침해사고분석시스템에서 침해사고를 구성하는 계층적 단일 침해자원에 대한 분류와 계층적 다중 침해자원에 대한 분류의 결과 셋을 상호 비교하여 모델의 실용성을 평가하였다. 실험을 위하여 계층적 침해자원으로 구성된 침해사고를 추출하여 라벨을 부착한 다음 실용성 평가 모델의 구현시스템을 사용하여 분류의 정확성을 확인하였다.
- 이 분석을 통하여 신규 침해사고가 발생하였을 때 유사한 침해사고 유형에 대한 정보를 침해사고 분석가에게 제시하는 침해사고 분석 모델을 제안하였다. 침해자원 기반의 침해사고를 구성하고 유사도 분석을 통하여 새로운 침해사고를 분류하는 기존의 방식 대신 침해사고를 구성하는 침해자원을 계층적으로 구성하고 계층을 구성하는 침해자원에 대해서 클러스터링하여 침해자원 프로파일을 도출한다. 도출된 침해사고 프로파일을 기준으로 새로운 침해사고를 구성하는 침해자원의 유사도를 산정하여 분류하였다.
- 가중치는 다중 침해자원의 총합이 10이고 범위는 2와 4사이의 값을 사용하였다. 침해자원의 유사도 점수와 가중치를 상이하게 부여하여 실행한 침해사고분석시스템의 출력 결과 셋을 상호 비교하여 분류의 정확도를 측정하였다.
데이터처리
- 계층적 침해자원의 프로파일과 라벨이 부착된 침해사고의 침해자원에 대한 유사도 평가를 반복 수행하여 분류하였다. 실용성 평가 모델에서 유사도 벡터 테이블의 가중치와 유사도 점수를 상이하게 하여 계층적 침해자원의 단일 또는 다중 분석을 반복 수행하여 분류된 결과셋의 평균값을 가지고 단일 또는 다중 모델의 실용성을 검증하였다. 이를 위한 실용성 평가 모델은 [그림 16]과 같다.
이론/모형
- 이를 위해서 기존의 침해사고 분석은 [그림 7]과 같이 침해자원 기반의 침해사고 분석 모델을 사용한다. 침해사고를 이루는 침해자원에 대해서 단일 또는 다중 연관분석을 통한 유사침해사고에 대한 정보를 제공하는 침해사고 분석시스템은 침해사고 분석가에게 분석할 침해사고의 수를 축소시켜주는 효과가 있다.
- 침해자원에 대한 계층적 구조의 깊이는 유사침해사고의 탐색 오류를 최소화하도록 시행착오 방식을 적용하여 최적의 깊이를 결정한다. 기본 어드레스 표준 타입의 수인 4개의 깊이로 구성한 계층적 침해자원의 구조는 [그림 9]와 같다.
성능/효과
- 이는 모든 단일 침해 자원은 동일한 가중치를 사용하여 유사도를 계산하기 때문이다. 그러나 다중 침해자원에 대한 유사도 분석을 통한 분류의 정확도는 도메인에 큰 가중치를 부여했을때 정확도는 개선된다는 것을 확인 할 수 있다. 이는 테스트 데이터로 사용되는 침해사고의 구별자로 URL로부터 도출된 도메인을 사용하여 구성되어 있기 때문이다.
- 제안 모델은 침해사고에 대한 모호성을 제거하고 현실성 있는 침해사고 구성과 새로운 침해사고에 대해서 유사한 침해사고를 정확하게 분류하여 유형 분류의 정확도를 향상시키고 침해사고 분석시스템의 실용성을 높여 주고, 침입탐지시스템이나 침입차단시스템 등의 보안장비에서 사용가능한 Rule 생성을 효과적으로 할수 있다. 특히, 침해사고에 향후 계층적 침해자원으로 구성된 침해사고를 사용하여 유입되는 침해자원에 대한 유사 침해사고에 대한 분류 정보를 실시간으로 제공하고 이를 이용하여 침해사고를 방어하는 자동화 보안 도구에 대한 연구가 필요하다.
후속연구
- 제안 모델은 침해사고에 대한 모호성을 제거하고 현실성 있는 침해사고 구성과 새로운 침해사고에 대해서 유사한 침해사고를 정확하게 분류하여 유형 분류의 정확도를 향상시키고 침해사고 분석시스템의 실용성을 높여 주고, 침입탐지시스템이나 침입차단시스템 등의 보안장비에서 사용가능한 Rule 생성을 효과적으로 할수 있다. 특히, 침해사고에 향후 계층적 침해자원으로 구성된 침해사고를 사용하여 유입되는 침해자원에 대한 유사 침해사고에 대한 분류 정보를 실시간으로 제공하고 이를 이용하여 침해사고를 방어하는 자동화 보안 도구에 대한 연구가 필요하다.
- [표 5]의 IP, Domain, URL, Malware 열의 값은 신규 침해사고의 IP, Domain, URL, Malware와 기존 침해사고의 IP, Domain, URL, Malware의 거리계산을 통한 유사도 평가의 결과로 나타나는 분류의 정확도를 백분율로 표시한 수치이다. 향후 유사도 점수와 가중치 그리고 계층적 침해자원의 깊이를 상이하게 구성하여 제안한 침해사고 모델의 정확성을 향상시킬 수 있는 최적의 조합을 찾는 실험을 추가적으로 연구할 필요가 있다.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.