군사 비밀이나 조직의 기밀 데이터는 그 조직의 매우 중요한 자원이며 외부로부터의 접근이 차단되어야 한다. 그러나 최근 인터넷의 접근성이 높아짐으로써 보안이 중요한 이슈로 부상하고 있다. 이를 위해 네트워크 내부에 대한 공격이나 침입행위를 탐지하는 이상 행위 탐지 방법이 제안되었다. 그러나 대부분의 이상 행위 탐지는 외부로부터의 침입에 대한 측면만 다루고 있으며, 공격이나 침입보다 더 큰 피해를 입히는 내부 데이터의 유출에 대해서는 다루고 있지 않다. 또한 기존의 이상 행위 탐지 방법을 데이터 유출 탐지에 적용할 경우 네트워크 내부의 환경과 여러 가지 변수들이 고려되어 있지 않기 때문에 많은 문제점들이 발생한다. 따라서 본 논문에서는 데이터 유출 탐지를 위한 이상 행위 탐지(Data Exfiltrating Detection for Anomaly Detection : DEDfAD) 방법의 정확도 향상을 위하여 DEDfAD에서 고려되어야 하는 이슈 사항들에 대하여 기술하고, 프로파일 기반의 탐지 방법과 머신러닝 기반의 탐지 방법으로 분류하여 이들의 장단점을 분석한다. 또한 분류된 접근 방법을 중심으로 이슈들과의 비교분석을 통해 향후 연구 방향을 제시한다.
군사 비밀이나 조직의 기밀 데이터는 그 조직의 매우 중요한 자원이며 외부로부터의 접근이 차단되어야 한다. 그러나 최근 인터넷의 접근성이 높아짐으로써 보안이 중요한 이슈로 부상하고 있다. 이를 위해 네트워크 내부에 대한 공격이나 침입행위를 탐지하는 이상 행위 탐지 방법이 제안되었다. 그러나 대부분의 이상 행위 탐지는 외부로부터의 침입에 대한 측면만 다루고 있으며, 공격이나 침입보다 더 큰 피해를 입히는 내부 데이터의 유출에 대해서는 다루고 있지 않다. 또한 기존의 이상 행위 탐지 방법을 데이터 유출 탐지에 적용할 경우 네트워크 내부의 환경과 여러 가지 변수들이 고려되어 있지 않기 때문에 많은 문제점들이 발생한다. 따라서 본 논문에서는 데이터 유출 탐지를 위한 이상 행위 탐지(Data Exfiltrating Detection for Anomaly Detection : DEDfAD) 방법의 정확도 향상을 위하여 DEDfAD에서 고려되어야 하는 이슈 사항들에 대하여 기술하고, 프로파일 기반의 탐지 방법과 머신러닝 기반의 탐지 방법으로 분류하여 이들의 장단점을 분석한다. 또한 분류된 접근 방법을 중심으로 이슈들과의 비교분석을 통해 향후 연구 방향을 제시한다.
Military secrets or confidential data of any organization are extremely important assets. They must be discluded from outside. To do this, methods for detecting anomalous attacks and intrusions inside the network have been proposed. However, most anomaly-detection methods only cover aspects of intru...
Military secrets or confidential data of any organization are extremely important assets. They must be discluded from outside. To do this, methods for detecting anomalous attacks and intrusions inside the network have been proposed. However, most anomaly-detection methods only cover aspects of intrusion from outside and do not deal with internal leakage of data, inflicting greater damage than intrusions and attacks from outside. In addition, applying conventional anomaly-detection methods to data exfiltration creates many problems, because the methods do not consider a number of variables or the internal network environment. In this paper, we describe issues considered in data exfiltration detection for anomaly detection (DEDfAD) to improve the accuracy of the methods, classify the methods as profile-based detection or machine learning-based detection, and analyze their advantages and disadvantages. We also suggest future research challenges through comparative analysis of the issues with classification of the detection methods.
Military secrets or confidential data of any organization are extremely important assets. They must be discluded from outside. To do this, methods for detecting anomalous attacks and intrusions inside the network have been proposed. However, most anomaly-detection methods only cover aspects of intrusion from outside and do not deal with internal leakage of data, inflicting greater damage than intrusions and attacks from outside. In addition, applying conventional anomaly-detection methods to data exfiltration creates many problems, because the methods do not consider a number of variables or the internal network environment. In this paper, we describe issues considered in data exfiltration detection for anomaly detection (DEDfAD) to improve the accuracy of the methods, classify the methods as profile-based detection or machine learning-based detection, and analyze their advantages and disadvantages. We also suggest future research challenges through comparative analysis of the issues with classification of the detection methods.
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
문제 정의
따라서 데이터 유출에 대한 효율적인 탐지를 위해서는 데이터 유출과 네트워크 내부에 대한 여러 가지 변수를 고려해야만 한다. 데이터 유출 탐지를 위한 이상 행위 탐지(Data Exfiltrating Detection for Anomaly Detection : DEDfAD)는 인가 또는 비인가된 사용자가 네트워크 내부의 중요 정보를 외부로 유출하는 것을 탐지하여 관리자에게 알림을 주는 것을 주요 목적으로 하고 있다. 따라서 정보 유출을 얼마나 정확하게 탐지할 수 있느냐가 데이터 유출 탐지를 위한 이상 행위 탐지 기법의 성능 지표가 되며, 정확도 향상을 중심으로 연구되고 있다[13].
가설 설정
GBAD는 그래프를 기반으로 사용자의 일련의 행동이 데이터 유출인지에 대해 판단하는 방법이다. GBAD는 데이터 유출 행위를 행동의 연속으로 가정하였고 일련의 패킷의 흐름으로 매칭할 수 있다. 따라서 먼저 패킷 스트림을 통해 유의미한 특성을 추출하기 위해 앙상블 메소드 기반의 스트림 마이닝 방법을 차용하였으며, 모든 데이터 유출 방법에 대응하기 위하여 비교사학습을 수행한다.
이러한 배경으로 인하여 네트워크 내부에 대한 공격이나 네트워크 내부로의 침입 행위를 탐지하는 이상 행위 탐지 방법이 제안되었다[2-5]. 이상 행위 탐지는 네트워크에 대한 공격이나 침입을 일련의 행위로 가정하고, 이를 탐지하기 위해 활용하는 기법들을 총칭한다. 기존에는 네트워크에 대한 외부의 공격이나 침입이 이미 발생하고 난후(많은 피해를 입은 후)에 해당 IP 주소를 하드웨어적으로 블록킹하여 공격을 방어하는 블랙 리스트 방법을 사용하였다.
제안 방법
침입탐지 방법은 침입이 발생한 후에 해당 공격 방법을 인지하고 차단하는 블랙 리스트 방식을 사용한다. 그러나 이를 데이터 유출 방법에 적용했을 때의 문제점을 해결하기 위하여 사용자의 정상 행동을 기반으로 데이터 유출에 대한 이상치를 찾아내는 방법을 설계하였다. Ramachandran가 제안한 행동 기반의 데이터 유출 탐지 모델은 그림 2와 같이 학습과 탐지의 2단계로 이루어진다.
Al-Bataineh[18]는 데이터 유출에 있어 전송하는 콘텐츠나 파일을 암호화할 경우에는 패턴 매칭을 통해 식별하기가 어렵다는 문제점을 인식하였다. 따라서 Zeus 라 불리는 봇넷에서 데이터를 가져와 데이터 유출자들의 행동들을 분석하였고, HTTP POST의 바이트 빈도 분포와 엔트로피를 특성으로 하는 행동 분류기를 사용하였다. 이를 위해 AdaBoost 행동 분류 알고리즘을 사용하였으며, 이를 통해 기존의 패턴 매칭 방법에 비해 약간의 좋은 성능을 보였다.
GBAD는 데이터 유출 행위를 행동의 연속으로 가정하였고 일련의 패킷의 흐름으로 매칭할 수 있다. 따라서 먼저 패킷 스트림을 통해 유의미한 특성을 추출하기 위해 앙상블 메소드 기반의 스트림 마이닝 방법을 차용하였으며, 모든 데이터 유출 방법에 대응하기 위하여 비교사학습을 수행한다. 또한 추출한 특성이 실제 유출 행위 인지 아닌지 판단하기 위해 그래프 기반의 이상 행위 탐지 방법을 사용해 내부 유출을 판단한다.
따라서 먼저 패킷 스트림을 통해 유의미한 특성을 추출하기 위해 앙상블 메소드 기반의 스트림 마이닝 방법을 차용하였으며, 모든 데이터 유출 방법에 대응하기 위하여 비교사학습을 수행한다. 또한 추출한 특성이 실제 유출 행위 인지 아닌지 판단하기 위해 그래프 기반의 이상 행위 탐지 방법을 사용해 내부 유출을 판단한다. 그래프를 통해 이상 행위를 탐지하는 방법은 그림 3과 같다.
현재 DEDfAD는 시그니처, 머신러닝, 피처, 프로파일, 그리고 행위 기반 검출 방법으로 분류된다. 본 논문에서는 DEDfAD를 효율적으로 분류하기 위해 네트워크상의 정보를 다루는 방법에 따라 프로파일 기반 검출과 머신러닝 기반 검출로 분류하여 각각의 장단점에 대하여 분석한다.
본 논문에서는 정보 유출 탐지를 위한 이상 행위 탐지 방법(DEDfAD)의 성능 향상을 위해 해결되어야 하는 이슈들과 DEDfAD 방법의 분류에 따른 장단점을 비교 분석 하였다. 현재 많은 방법들이 정보 유출 탐지를 위해 제안되고 있지만 현재 연구되고 있는 프로파일 기반 검출 기법과 머신러닝 기반 검출 방법은 접근 방법이 다른 만큼 서로간의 특성과 이슈도 매우 다르다.
현재 제안되고 있는 DEDfAD 방법들은 파일 혹은 데이터가 담고 있는 콘텐츠가 중요하기 때문에 데이터 유출 탐지에 대한 성능 향상을 위해서는 구축된 네트워크의 특성뿐만 아니라 파일이나 네트워크 사용자의 특성을 함께 고려해야 한다. 이를 위하여 본 논문에서는 DEDfAD의 정확도 향상을 위해 DEDfAD에서 해결되어야 하는 이슈 사항들에 대하여 점검하고, 기존에 제안된 DEDfAD를 탐지 방법에 따라 프로파일 기반의 접근 방법과 머신러닝 기반의 접근 방법으로 분류하여 장단점을 분석한다. 또한 분류된 접근방법을 중심으로 해결되어야 할 이슈들과의 비교 분석을 통하여 DEDfAD의 향후 연구 방향을 제시한다.
이론/모형
Ramachandran가 제안한 행동 기반의 데이터 유출 탐지 모델은 그림 2와 같이 학습과 탐지의 2단계로 이루어진다. 첫 번째의 학습 단계에서는 사용자의 정상 행동을 비모수 검정법인 KDE(Kernel Density Estimation)을 통해 학습한다. 이러한 비교사학습을 통해 정상 행동에 대해 명확한 학습이 가능해진다.
Ramachandran[19]은 기존의 침입 탐지 방법을 분석하였다. 침입탐지 방법은 침입이 발생한 후에 해당 공격 방법을 인지하고 차단하는 블랙 리스트 방식을 사용한다. 그러나 이를 데이터 유출 방법에 적용했을 때의 문제점을 해결하기 위하여 사용자의 정상 행동을 기반으로 데이터 유출에 대한 이상치를 찾아내는 방법을 설계하였다.
성능/효과
따라서 Zeus 라 불리는 봇넷에서 데이터를 가져와 데이터 유출자들의 행동들을 분석하였고, HTTP POST의 바이트 빈도 분포와 엔트로피를 특성으로 하는 행동 분류기를 사용하였다. 이를 위해 AdaBoost 행동 분류 알고리즘을 사용하였으며, 이를 통해 기존의 패턴 매칭 방법에 비해 약간의 좋은 성능을 보였다. 이러한 약간의 좋은 성능은 이상치에 대한 약간의 변화에 대해서 분류를 해 낼 수 있음을 의미한다.
후속연구
이를 위하여 본 논문에서는 DEDfAD의 정확도 향상을 위해 DEDfAD에서 해결되어야 하는 이슈 사항들에 대하여 점검하고, 기존에 제안된 DEDfAD를 탐지 방법에 따라 프로파일 기반의 접근 방법과 머신러닝 기반의 접근 방법으로 분류하여 장단점을 분석한다. 또한 분류된 접근방법을 중심으로 해결되어야 할 이슈들과의 비교 분석을 통하여 DEDfAD의 향후 연구 방향을 제시한다.
질의응답
핵심어
질문
논문에서 추출한 답변
데이터 유출이란 무엇인가?
데이터 유출은 현재 네트워크 보안에서 많은 관심을 받고 있다. 데이터 유출은 정보 누수라고도 불리며, 비인가된 사용자가 네트워크 내부의 정보(데이터 혹은 파일) 를 악의적인 목적으로 외부로 유출하는 것을 의미한다. 데이터 유출은 침입에 비해 발견이 늦고 어렵기 때문에 유출이 발생한 후 한참 후에야 알 수 있어 그 피해가 외부에서의 공격 보다 더 크다[10-12].
DEDfAD의 분류는 무엇으로 분류되는가?
현재 DEDfAD는 시그니처, 머신러닝, 피처, 프로파일, 그리고 행위 기반 검출 방법으로 분류된다. 본 논문에서는 DEDfAD를 효율적으로 분류하기 위해 네트워크상의 정보를 다루는 방법에 따라 프로파일 기반 검출과 머신러닝 기반 검출로 분류하여 각각의 장단점에 대하여 분석한다.
네트워크상에서 데이터 유출을 탐지하는데 있어 정상 및 비정상 행위의 경계의 모호함을 방지하기위하여 어떻게 하는가?
네트워크상에서 데이터 유출을 탐지하는데 있어 일반적인 경우 정상 및 비정상 행위의 경계는 모호하다. 이러한 모호함을 방지하기 위하여 사용자가 행하는 모든 정상적인 동작을 정의하고, 이를 일반화하는 집합을 정의하는 것은 불가능에 가깝다(비정상 동작을 정의하는 경우에도 동일하다)[14]. 이는 정상과 비정상의 경계선 부근의 행위에서 관측되는 이상 행위는 정상으로 관측되더라도 비정상일 수 있고, 비정상으로 관측되더라도 실제로는 정상을 의미할 수 있다는 것이다.
참고문헌 (20)
B. J. Lee, H. S. Jeon, H. Y. Song, "Information-Centric Networking Research Trend", Electronics and Telecommunications Trends, 2012.
S. J. Oh, "An Anomaly Detection Method for the Security of VANETs", The Journal of The Institute of Internet, Broadcasting and Communication, vol. 14, no. 6, pp. 175-185, 2014.
S. J. Oh, "Design and Evaluation of a Weighted Intrusion Detection Method for VANETs", The Journal of The Institute of Webcasting, Internet and Telecommunication, vol. 11, no. 3, pp. 181-188, 2011.
S. Kim, S.-J. Oh, "A Big Data Application for Anomaly Detection in VANETs", The Journal of The Institute of Internet, Broadcasting and Communication (IIBC), vol. 14, no. 6, pp. 175-181, Dec. 2014. DOI: http://dx.doi.org/10.7236/JIIBC.2014.14.6.175
V. J. Hodge, J. Austin, "A Survey of Outlier Detection Methologies", Artificial Intelligence Review, vol. 22, no. 2, pp. 85-126, 2004. DOI: http://dx.doi.org/10.1023/B:AIRE.0000045502.10941.a9
W.-S. Kim, S. Kim, "A Study on Information Effluence State and Measure by Peer-to-Peer Programs in Korea and Japan", The Journal of The Institute of Webcasting, Internet Television and Telecommunication, vol. 9 no. 1, pp. 67-74, 2009.
V. Chandola, A. Banerjee, Vipin Kumar, "Anomaly detection : A survey", ACM Computing Surveys(CSUR), vol. 41 no. 3, 2009. DOI: http://dx.doi.org/10.1145/1541880.1541882
F. Sabahi, A. Movaghar, "Intrusion Detection : A Survey", The Third International Conference on Systems and Networks Communications, pp. 23-26, 2008. DOI: http://dx.doi.org/10.1109/icsnc.2008.44
Monowar H. Bhuyan, D. K. Bhattacharyya, and J. K. Kalita, "Network Anomaly Detection : Methods, Systems and Tools", IEEE Communications Surveys & Tutorials, vol. 16, no. 1, 2014. DOI: http://dx.doi.org/10.1109/SURV.2013.052213.00046
M. R. Randazzo, M. Keeney, E. Kowalski, D. Cappelli, and A. Moore, "Insider Threat Study: Illicit Cyber Activity in the Banking and Finance Sector", CERT and the National Threat Assessment Center, Aug. 2004.
E. D. Shaw, K. G. Ruby, and J. M. Post, "The insider threat to information systems: The psychology of the dangerous insider", Security Awareness Bulletin, vol. 2-98, pp. 27-46, Sept. 1998.
L. Spitzner, "Honeypots: catching the insider threat", Proceedings of 19th Annual Computer Security Applications Conference, pp. 170-179, Dec. 2003. DOI: http://dx.doi.org/10.1109/csac.2003.1254322
M. B. Salem, S. Hershkop, S. J. Stoplfo, "A Survey of Insider Attack Detection Research", Insider Attack and Cyber Security, vol. 39, pp. 69-90, 2008. DOI: http://dx.doi.org/10.1007/978-0-387-77322-3_5
S. Y. Lim, A. Jones, "Network Anomaly Detection System : The State of art of Network Behaviour Analysis", International Conference on Convergence and Hybrid Information Technology, 2008. DOI: http://dx.doi.org/10.1109/ichit.2008.249
V. Chandola, A. Banerjee, V. Kumar, "Anomaly Detection for Discrete Sequences: A Survey", IEEE Transactions on Knowledge and Data Engineering, vol. 24, no. 5, May 2012. DOI: http://dx.doi.org/10.1109/TKDE.2010.235
G. B. Magklaras, "Insider Threat Prediction Tool: Evaluating the probability of IT misuse", Elsevier Science C&C, 2002.
Y. Liu, "SIDD: A Framework for Detecting Sensitive Data Exfiltration by an Insider Attack ", IEEE HICSS, 2009. DOI: http://dx.doi.org/10.1109/HICSS.2009.390
A. Al-Bataineh, "Analysis and Detection of Malicious Data Exfiltration in Web Traffic", IEEE Malicious and Unwanted Software, 2012. DOI: http://dx.doi.org/10.1109/malware.2012.6461004
R. Ramachandran, "Behavior model for Detecting data Exfiltration in Network Environment", IEEE, 2011. DOI: http://dx.doi.org/10.1109/imsaa.2011.6156340
P. Parveen, "Insider Threat Detection using Stream Mining and Graph Mining", IEEE ICSC, 2012.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.