APT(Advanced Persistent Threat)공격은 기관, 기업의 정보통신 설비에 대한 중단 또는 핵심정보의 획득을 목적으로 장기간 IT인프라, 업무환경, 임직원 정보 등의 다양한 정보를 수집하고, 이를 바탕으로 제로데이 공격, 사회공학적기법 등을 이용하여 공격을 실행한다. 악성 시그니처 탐지 등의 단편적인 사이버 위협대응 방법으로는 APT 공격과 같이 고도화된 사이버 공격에 대응하기 어렵다. 본 논문에서는 APT 공격 대응 방안 중 하나로 이종 시스템 로그(Heterogeneous System Log)를 빅데이터로 활용하고, 패턴기반 탐지 방법과 이상 징후 탐지 방법을 병합하여 사이버 침해시도를 탐지하는 모델을 제시하고자 한다.
APT(Advanced Persistent Threat)공격은 기관, 기업의 정보통신 설비에 대한 중단 또는 핵심정보의 획득을 목적으로 장기간 IT인프라, 업무환경, 임직원 정보 등의 다양한 정보를 수집하고, 이를 바탕으로 제로데이 공격, 사회공학적기법 등을 이용하여 공격을 실행한다. 악성 시그니처 탐지 등의 단편적인 사이버 위협대응 방법으로는 APT 공격과 같이 고도화된 사이버 공격에 대응하기 어렵다. 본 논문에서는 APT 공격 대응 방안 중 하나로 이종 시스템 로그(Heterogeneous System Log)를 빅데이터로 활용하고, 패턴기반 탐지 방법과 이상 징후 탐지 방법을 병합하여 사이버 침해시도를 탐지하는 모델을 제시하고자 한다.
APT attack aimed at the interruption of information and communication facilities and important information leakage of companies. it performs an attack using zero-day vulnerabilities, social engineering base on collected information, such as IT infra, business environment, information of employee, fo...
APT attack aimed at the interruption of information and communication facilities and important information leakage of companies. it performs an attack using zero-day vulnerabilities, social engineering base on collected information, such as IT infra, business environment, information of employee, for a long period of time. Fragmentary response to cyber threats such as malware signature detection methods can not respond to sophisticated cyber-attacks, such as APT attacks. In this paper, we propose a cyber intrusion detection model for countermeasure of APT attack by utilizing heterogeneous system log into big-data. And it also utilizes that merging pattern-based detection methods and abnormality detection method.
APT attack aimed at the interruption of information and communication facilities and important information leakage of companies. it performs an attack using zero-day vulnerabilities, social engineering base on collected information, such as IT infra, business environment, information of employee, for a long period of time. Fragmentary response to cyber threats such as malware signature detection methods can not respond to sophisticated cyber-attacks, such as APT attacks. In this paper, we propose a cyber intrusion detection model for countermeasure of APT attack by utilizing heterogeneous system log into big-data. And it also utilizes that merging pattern-based detection methods and abnormality detection method.
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
문제 정의
패턴 기반의 이상 징후의 효율적인 분석 능력과 결합하여, 적용 실 사례와 같이 그 효과를 입증하였다. 또한 보안관리자 중심으로 수행되어진 기존의 보안관리, 침해사고 대응 태세를 사용자 및 관련 관리자의 방향으로 무게 중심을 이동하여 전체 사용자의 보안 의식을 항상 시키고자 하였다.
본 연구는 각 보안솔루션들의 단편적인 탐지 결과를 관리하던 기존의 보안체계에서 벗어나 이종시스템 로그의 통합 관리 및 행위 분석을 통한 이상 징후 탐지를 통해 입체적이고 적극적인 사이버 위협 대응 모델을 제시하고자 한다.
최근의 침해시도는 고도화된 공격기법으로 침입의 사실을 인지하기 어렵다. 본 연구에서는 정상 행위 이벤트 분석을 통한 이상 징후 탐지 모델 제시를 통해 최근의 침해시도 대응 방법을 제시하였다. 패턴 기반의 이상 징후의 효율적인 분석 능력과 결합하여, 적용 실 사례와 같이 그 효과를 입증하였다.
제안 방법
보안이벤트로부터 알려져 있지 않은 신·변종 사이버 공격을 탐지하기 위해 k-means 클러스터링 기법을 이용한 통계치 기법이 제안되었다.
진화하는 사이버 침입 시도에 대응하기 위해 기존의 패턴기반 탐지 기법과 이상 징후 탐지 기법을 조합한 이상 징후 탐지 모델을 제시한다. 본 모델에서는 탐지 방법의 개선뿐만 아니라 보안 담당자가 주 관리자가 되어있는 현재의 관점에서 벗어나 침해시도와 관련된 서비스 담당자 및 사용자가 보안 관리 역할을 수행할 수 있도록 사용자 소명절차(User Verification Process)를 도입하였다.
이상 징후 탐지 절차는 사전에 등록된 패턴으로 탐지되지 않아 정상적인 이용으로 분류되는 행위 이벤트들을 분석하여 이상 징후를 탐지하고 정오탐 분석 후 시나리오화 한다. 이상 징후 분석은 사례기반추론기법(CBR)을 활용한다.
진화하는 사이버 침입 시도에 대응하기 위해 기존의 패턴기반 탐지 기법과 이상 징후 탐지 기법을 조합한 이상 징후 탐지 모델을 제시한다. 본 모델에서는 탐지 방법의 개선뿐만 아니라 보안 담당자가 주 관리자가 되어있는 현재의 관점에서 벗어나 침해시도와 관련된 서비스 담당자 및 사용자가 보안 관리 역할을 수행할 수 있도록 사용자 소명절차(User Verification Process)를 도입하였다.
효율적인 침해시도 탐지를 위해 패턴기반탐지 방법의 요소인 blacklist, 정책, 시나리오를 점검 수행한다. 탐지 결과는 정오탐 확인 후 관련 계층 장비를 통해 대응하고, 사용자 소명 절차를 통해 오탐률 축소를 기도한다.
본 연구에서는 정상 행위 이벤트 분석을 통한 이상 징후 탐지 모델 제시를 통해 최근의 침해시도 대응 방법을 제시하였다. 패턴 기반의 이상 징후의 효율적인 분석 능력과 결합하여, 적용 실 사례와 같이 그 효과를 입증하였다. 또한 보안관리자 중심으로 수행되어진 기존의 보안관리, 침해사고 대응 태세를 사용자 및 관련 관리자의 방향으로 무게 중심을 이동하여 전체 사용자의 보안 의식을 항상 시키고자 하였다.
효율적인 침해시도 탐지를 위해 패턴기반탐지 방법의 요소인 blacklist, 정책, 시나리오를 점검 수행한다. 탐지 결과는 정오탐 확인 후 관련 계층 장비를 통해 대응하고, 사용자 소명 절차를 통해 오탐률 축소를 기도한다.
대상 데이터
본 논문의 제안 모델은 2013년도 금융기관 및 방송사를 대상으로 APT 공격을 수행한 과거 사례를 기반으로 표 3 과 같은 연동 대상을 선정하였다.
표 7 은 보안통제 시나리오를 통해서 탐지된 악성사이트, IP, 악성코드 탐지 결과다. 표 7 에서 보이는 것과 같이 2016년도 4월부터 9월간 탐지되는 악성사이트 수가 사이버침해대응 관련 기관의 탐지 정보와 비교했을 때상대적으로 많은 악성사이트 정보를 수집했다. 제안한 개선 모델이 효율적임을 나타낸다.
이론/모형
이상 징후 탐지 절차는 사전에 등록된 패턴으로 탐지되지 않아 정상적인 이용으로 분류되는 행위 이벤트들을 분석하여 이상 징후를 탐지하고 정오탐 분석 후 시나리오화 한다. 이상 징후 분석은 사례기반추론기법(CBR)을 활용한다. 표 4 와 같이 기존의 사고사례, 침입시도에서 4W/1H 원칙(who, when, where, what, how) 기준으로 공격 벡터(Vector)를 산출하고 공격 벡터를 기준으로 그림 5 와 같이 작성된 탐지트리(Tree)를 통해 이상 징후 여부를 결정한다.
성능/효과
표 8은 악성코드 탐지 결과 및 안티바이러스 제품에 악성코드 탐지 규칙 등록 현황을 나타낸다. 98%의 정탐율로 zero-day 악성코드 탐지에도 효과가 있음을 보인다.
이상 징후 및 침해시도 탐지결과는 보안 관리자 외 유관 시스템 관리자 또는 사용자로 탐지결과를 전달하고 결과 수령자는 소명 작업을 수행함으로써 오탐지률을 축소할 수 있다.
표 7 에서 보이는 것과 같이 2016년도 4월부터 9월간 탐지되는 악성사이트 수가 사이버침해대응 관련 기관의 탐지 정보와 비교했을 때상대적으로 많은 악성사이트 정보를 수집했다. 제안한 개선 모델이 효율적임을 나타낸다.
제안한 이상 징후 탐지, 관리 모델은 탐지 기법과 탐지 결과를 공유함으로써 그 효과를 향상시킬 수 있다. 또한 관리자가 관여해야하는 절차를 자동화하여 더욱 관리자의 역량에 의지하지 않고 보편적인 침해시도 탐지 수준을 향상시킬 수 있다.
이상 징후 탐지 결과는 정형화된 패턴 또는 시나리오로 관리하여 효율성을 높이도록 활용한다. 특히 악성코드 및 악성 사이트 url 등의 정보는 blacklist DB로 관리하고 사용자의 기존 접속 또는 감염이 있었는지 확인하는 절차를 통해 탐지 이전의 타임라인에서의 최초, 최근의 악성 활동 시점을 확인할 수 있다.
이상 징후 분석에 따른 시나리오 등록 현황과 탐지 결과, 오탐률은 표 6 과 같다. 평균 오탐률이 19%로 등록된 시나리오가 효과가 있음을 알 수 있다.
후속연구
앞서 거론한 것과 같이 시장에서 탐지 기법, 시나리오, Blacklist 등을 공유할 수 있도록 법적인 요소와 기술적인 요소를 추가적으로 연구할 필요가 있다. 또한 탐지 기법의 자동화, 표준화를 위해 머신러닝 등의 기술 적용 방안에 대해서도 연구를 진행할 예정이다.
앞서 거론한 것과 같이 시장에서 탐지 기법, 시나리오, Blacklist 등을 공유할 수 있도록 법적인 요소와 기술적인 요소를 추가적으로 연구할 필요가 있다. 또한 탐지 기법의 자동화, 표준화를 위해 머신러닝 등의 기술 적용 방안에 대해서도 연구를 진행할 예정이다.
질의응답
핵심어
질문
논문에서 추출한 답변
SIEM의 문제점은 무엇인가?
보안시스템 전반에 걸쳐 생성되는 이 기종 간의 로그와 이벤트를 통합 관리하여 외부 위험을 사전에 대응하기 위한 플렛폼이다. SIEM의 경우 패턴 탐지 기반의 분석기법을 기반으로 하고 있기 때문에 Zero-day Attack 등 신․변종 취약점을 이용한 공격 탐지에 취약하다. [8][11][12][16][17]
SIEM은 어떻게 구성되는가?
단편적인 사이버 보안 기술에서 벗어나 입체적인 관점에서 보안 이벤트 정보를 관리하기 위해 SIEM(Security Infomation & Event Management)이 활용되고 있다. SIEM은 보안 관리 영역에서 실시간 모니터링, 이벤트의 상관관계, 알림 및 콘솔 뷰 기능으로 알려진 SIM(Security Information Management)와 분석 및 로그 데이터의 보고를 담당하는 SEM(Security Event Manager)으로 구성된다. 보안시스템 전반에 걸쳐 생성되는 이 기종 간의 로그와 이벤트를 통합 관리하여 외부 위험을 사전에 대응하기 위한 플렛폼이다.
패턴기반 사이버 위협 대응 체계의 문제점은 무엇인가?
패턴기반 사이버 위협 대응 체계는 공격자로부터의 공격을 미리 정의된 규칙으로 시스템과 네트워크를 감시함으로서 침입탐지 대응에 효율적이고 신속하다. 그러나 신․변종 취약점을 이용한 공격과 같은 새로운 공격방식에 대처가 불가능하며, 침입대응 시간에서 많은 문제을 가지고 있다. 이와 반대로 신․변종 취약점에 대응하기 위해 고안된 이상 징후 탐지 방법의 경우 정․오탐의 축소가 효율성 확대가 해결해야할 문제이다.
참고문헌 (17)
Daesung Moon, Hansung Lee, Ikkyun Kim, "Host based Feature Description Method for Detecting APT Attack", Journal of The Korea Institute of Information Security & Cryptology VOL.24, NO.5, Oct. 2014 DOI: https://doi.org/10.13089/jkiisc.2014.24.5.839
MoonGoo, Lee, Chunsock Bae, "A Study for the Principle Cases of Advanced Persistent Threat Attacks", THE INSTITUTE OF ELECTRONICS ENGINEERS OF KOREA pp.939-942, Nov. 2013
Sul-Hwa Im, Jong-Soo Kim, Jun-Keun Yang, Chae-ho Lim, "Present situation of APT and Response Strategies of new malware", Korea Institute Of Information Security And Cryptology VOL.24, NO.2, April. 2014
Sung-Baek HAN, Sung-Kwon Hong, "Countermeasures in APT attack for the financial sector", Korea Institute Of Information Security And Cryptology VOL.23, NO.1, Feb. 2013
Si-Jang Park, Jong-Hoon Park, "Current Status and Analysis of Domestic Security Monitoring Systems", The Korea Institute of Electronic Communication Sciences VOL.9, NO.2, pp.261-266, Feb. 2014 DOI: https://doi.org/10.13067/jkiecs.2014.9.2.261
Jaeho Lee, Sangjin Lee, "A Study on Unknown Malware Detection using Digital Forensic Techniques", Journal of The Korea Institute of Information Security & Cryptology VOL.24, NO.1, Feb. 2014 DOI: https://doi.org/10.13089/jkiisc.2014.24.1.107
Hojin Park, Sangjin Lee, "Build a Digital Evidence Map considered Log-Chain", Journal of The Korea Institute of Information Security & Cryptology VOL.24, NO.3, Jun. 2014 DOI: https://doi.org/10.13089/jkiisc.2014.24.3.523
Jae-Hwa Sim, Sung-Hwan Kim, Tai-Myoung Chung, "A Survey of Solutions using Security Information Event Management", Proceedings of Symposium of the Korean Institute of communications and Information Sciences, pp.390-391, Jan. 2014
Hyu Keun Shin, Kichul Kim, "Security Monitering Technology trends survey and A Study on the next generation of security monitering framework", Journal of The Korea Institute of Information Security & Cryptology VOL.23, NO.6, Dec. 2014
Kyu-il Kim, Hark-soo Park, Ji-yeon Choi, Sang-jun Ko, Jung-suk Song, "An Auto-Verification Method of Security Events Based on Empirical Analysis for Advanced Security Monitoring and Response", Journal of The Korea Institute of Information Security & Cryptology VOL.24, NO.3, Jun. 2014 DOI: https://doi.org/10.13089/jkiisc.2014.24.3.507
Dae-Soo Choi, Yong-Min Kim, "BigData and Integrated security 2.0", COMMUNICATIONS OF THE KOREA INFORMATION SCIENCE SOCIETY VOL.30, NO.6, pp.65-72, Jun. 2012
DeokJo Jeon, Dong-Gue Park, "Analysis Model for Prediction of Cyber Threats by Utilizing Big Data Technology", Journal of Korean Institute Of Information Technology. Vol. 12, No. 5, pp. 81-100, May. 2014 DOI: https://doi.org/10.14801/kiitr.2014.12.5.81
Mee Lan Han, Deok Jin Kim, Huy Kang Kim, "Applying CBR algorithm for cyber infringement profiling system", Journal of The Korea Institute of Information Security & Cryptology VOL.23, NO.6, Dec. 2013 DOI: https://doi.org/10.13089/jkiisc.2013.23.6.1069
Hyong-su Park, Huy-kang Kim, Eun-jin Kim, "Hacking Mail Profiling by Applying Case Based Reasoning", Journal of The Korea Institute of Information Security & Cryptology VOL.25, NO.1, Feb. 2015 DOI: https://doi.org/10.13089/jkiisc.2015.25.1.107
Ho-sub Lee, Eung-ki Park, Jung-taek Seo, "A New Method to Detect Anomalous State of Network using Information of Clusters", Journal of the Korea Institute of Information Security and Cryptology VOL.22, NO.3, pp.545-552, Jun. 2012
Ki-Soon Yu, Sul-Hwa Im, Hak-Beom KIM, "Technology Trends of SIEM and direction of improvement", Journal of The Korea Institute of Information Security & Cryptology VOL.23, NO.6, Dec. 2014
Kyung-Shin Kim, "Security Analysis and Improvement of Integrated Security Management System", Journal of Institute of Internet, Broadcasting and Communication VOL.15, No.1, pp.15-23, Feb. 2015 DOI: https://doi.org/10.7236/jiibc.2015.15.1.15
※ AI-Helper는 부적절한 답변을 할 수 있습니다.