$\require{mediawiki-texvc}$

연합인증

연합인증 가입 기관의 연구자들은 소속기관의 인증정보(ID와 암호)를 이용해 다른 대학, 연구기관, 서비스 공급자의 다양한 온라인 자원과 연구 데이터를 이용할 수 있습니다.

이는 여행자가 자국에서 발행 받은 여권으로 세계 각국을 자유롭게 여행할 수 있는 것과 같습니다.

연합인증으로 이용이 가능한 서비스는 NTIS, DataON, Edison, Kafe, Webinar 등이 있습니다.

한번의 인증절차만으로 연합인증 가입 서비스에 추가 로그인 없이 이용이 가능합니다.

다만, 연합인증을 위해서는 최초 1회만 인증 절차가 필요합니다. (회원이 아닐 경우 회원 가입이 필요합니다.)

연합인증 절차는 다음과 같습니다.

최초이용시에는
ScienceON에 로그인 → 연합인증 서비스 접속 → 로그인 (본인 확인 또는 회원가입) → 서비스 이용

그 이후에는
ScienceON 로그인 → 연합인증 서비스 접속 → 서비스 이용

연합인증을 활용하시면 KISTI가 제공하는 다양한 서비스를 편리하게 이용하실 수 있습니다.

Attack Tree를 활용한 Game Theory 기반 보안 취약점 정량화 기법
Game Theory-Based Vulnerability Quantification Method Using Attack Tree 원문보기

情報保護學會論文誌 = Journal of the Korea Institute of Information Security and Cryptology, v.27 no.2, 2017년, pp.259 - 266  

이석철 (아주대학교) ,  이상하 (동서울대학교) ,  손태식 (아주대학교)

초록
AI-Helper 아이콘AI-Helper

현대사회는 가정, 산업, 금융 등 다양한 분야에 IT 기술 기반 시스템이 도입되어 운영되고 있다. 사회의 안전을 보장하기 위해서는 사회 전반에 도입된 IT 시스템을 사이버 공격으로부터 보호해야하며, 이를 위해 시스템의 현재 보안상태를 이해하고, 점검하는 것은 사이버 공격에 효과적으로 대응하기 위해 선결되어야 하는 과제이다. 본 논문에서는 보안 취약점을 점검하기 위해 사용되는 Game Theory 및 Attack Tree 방법론의 한계점을 분석하고, 두 방법론의 한계를 상호 보완한 보안 취약점 정량화 기법을 제안하여, 보다 객관적이고 체계적으로 보안 취약점을 점검할 수 있는 방법을 제공한다.

Abstract AI-Helper 아이콘AI-Helper

In modern society, IT technology based systems are introduced and operated in various fields such as home, industry, and finance. To ensure the safety of society, IT systems introduced throughout society should be protected from cyber attacks. Understanding and checking the current security status o...

주제어

#Game Theory   #Attack Tree   #Vulnerability Quantification  

AI 본문요약
AI-Helper 아이콘 AI-Helper

문제 정의

  • 본 논문에서는 시스템의 보안 취약점을 점검하기 위해 사용되는 Game Theory 및 Attack Tree 방법론의 한계점을 분석하였다. 기존 방법론의 경우 공격 및 대응 행위를 위해 투자된 비용 대비 효과를 정량화 하는데 객관성의 떨어지고, 공격자와 보안 관리자 간의 상호 대응행위의 시나리오를 도출하는데 어려움이 있었다.

가설 설정

  • 본 논문에서 제안하는 Game Theory에서 Player는 공격자와 보안 관리자 두 명으로 설정하였으며, Game 유형은 두 Player가 경쟁하는 형태인 Non-cooperative(Competitive)방식, 그리고 한 Player가 행동을 취하면 다른 플레이어에게 순서가 돌아가는 Sequential Game이다. 그리고 Game 전략을 전개하기 위해서 각 Player가 취한 행위 내역들을 알고 있어야 하기 때문에 각 Player의 행위는 상대방에게 알려지는 Perfect Information Game으로 가정한다.
  • 본 논문에서 제안하는 Game Theory에서 Player는 공격자와 보안 관리자 두 명으로 설정하였으며, Game 유형은 두 Player가 경쟁하는 형태인 Non-cooperative(Competitive)방식, 그리고 한 Player가 행동을 취하면 다른 플레이어에게 순서가 돌아가는 Sequential Game이다. 그리고 Game 전략을 전개하기 위해서 각 Player가 취한 행위 내역들을 알고 있어야 하기 때문에 각 Player의 행위는 상대방에게 알려지는 Perfect Information Game으로 가정한다.
본문요약 정보가 도움이 되었나요?

질의응답

핵심어 질문 논문에서 추출한 답변
Attack Tree를 활용한 사이버 위협 분석 방법에 보안 취약점에 대한 정확한 정량화가 어렵다는 한계가 있는 이유는? 현재 사이버 보안 분야에 적용되고 있는 Attack Tree를 활용한 사이버 위협 분석 방법에서는 공격에 대한 대응 방안을 하나의 Node에 포함하여 다루는 등 명확히 표현하지 않기 때문에 보안 취약점에 대한 정확한 정량화가 어렵다는 한계가 있다. 반면, Game Theory는 Edge를 통해 공격 또는 대응과 관련된 행위를 표현하기 때문에 사이버 공격 및 대응 관련 행위에 대한 영향을 정량화하기에 용이하다.
사이버 공격이 수행되는 과정과 그로 인한 영향을 분석을 위해 사용하는 것은? 사이버 공격이 수행되는 과정과 그로 인한 영향을 분석하기 위해 Attack Tree, Attack Graph, Game Theory, CVSS(Common Vulnerability Scoring System) 등이 사용되고 있다[1-4]. 이 중 Attack Tree 또는 Game Theory를 사용하는 방법은 Tree 형태로 공격의 경로 및 영향을 표현하고 있다는 공통점을 갖고 있다.
Attack Tree와 Game Theory 차이점은? 이 중 Attack Tree 또는 Game Theory를 사용하는 방법은 Tree 형태로 공격의 경로 및 영향을 표현하고 있다는 공통점을 갖고 있다. 하지만 Attack Tree의 경우 Root Node가 공격 대상 또는 목표를 나타내고 Leaf Node가 공격 행위를 표현하는 반면 Game Theory는 Root Node는 공격의 시점이며, Edge로 표현되는 행위의 결과 또는 영향을 Leaf Node에 표현한다는 차이점을 갖고 있다.
질의응답 정보가 도움이 되었나요?

참고문헌 (15)

  1. B. Schneier, "Attack Trees," Dr. Dobb's Journal, Oct. 1999. 

  2. R. Lipmann and K. Ingols, "An annotated review of past papers on attack graphs," Tech. Rep., Lincoln Laboratory, Mar. 2005. 

  3. Osborne, M. J. and Rubinstein, A, "A Course in Game Theory," The MIT Press, Jan. 2014. 

  4. First.org, Inc., "Common Vulnerability Scoring System v3.0," Jun. 2015. 

  5. R. Arai, K. Yamamoto, T. Nishio, and M. Morikura, "Differential game-theoretic framework for a demand-side energy management system," Proc. IEEE SmartGridComm 2013, Vancouver, Canada, Oct. 2013. 

  6. M. Felegyhazi, J.-P. Hubaux, "Game Theory in Wireless Networks: A Tutorial", EPFL Technical Report LCA-REPORT-2006-002, Feb. 2006. 

  7. W. He, et al, "A Game Theoretical Attack-Defense Model Oriented to Network Security Risk Assessment", International Conference on Computer Science and Software Engineering, Dec. 2008. 

  8. Boehmer W, "Dynamic Systems Approach to Analyzing Event Risks and Behavioral Risk with Game Theory," IEEE Third international conference on Privacy, security, risk and trust and social computing, Oct. 2011. 

  9. X. Liang and Y. Xiao, "Game Theory for Network Security," in IEEE Communications Surveys & Tutorials, vol. 15, no. 1, pp. 472-486, First Quarter 2013. 

    상세보기 crossref

  10. R. Hewett, S. Rudrapattana and P. Kijsanayothin, "Smart Grid security: Deriving informed decisions from cyber attack game analysis," 2014 IEEE International Conference on Smart Grid Communications (Smart GridComm), Venice, Nov. 2014. 

  11. Jung-kuk Seo et al, "Adapted Attack Tree for Internet Attack Simulation," Proceedings of Symposium of the Korean Institute of communications and Information Sciences, Nov. 2002. 

  12. C. W. Ten, C. C. Liu and M. Govindarasu, "Vulnerability Assessment of Cybersecurity for SCADA Systems Using Attack Trees," 2007 IEEE Power Engineering Society General Meeting, Tampa, FL, Feb. 2007. 

  13. Du S. and Zhu H, "Attack-Defense Tree Based Security Assessment," Security Assessment in Vehicular Net works, Springer New York, Oct. 2013. 

  14. X. Ji, H. Yu, G. Fan and W. Fu, "Attack-defense trees based cyber security analysis for CPSs," 2016 17th IEEE/ACIS International Conference on Software Engineering, Artificial Intelligence, Networking and Parallel/Distributed Computing (SNPD), Shanghai, May. 2016. 

  15. Common Vulnerabilities and Exposures, "https://cve.mitre.org/" 

저자의 다른 논문 :

LOADING...

관련 콘텐츠

오픈액세스(OA) 유형

FREE

Free Access. 출판사/학술단체 등이 허락한 무료 공개 사이트를 통해 자유로운 이용이 가능한 논문

이 논문과 함께 이용한 콘텐츠

저작권 관리 안내
섹션별 컨텐츠 바로가기

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

AI-Helper 아이콘
AI-Helper
안녕하세요, AI-Helper입니다. 좌측 "선택된 텍스트"에서 텍스트를 선택하여 요약, 번역, 용어설명을 실행하세요.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.

선택된 텍스트

맨위로