[논문]Research on System Architecture and Methodology based on MITRE ATT&CK for Experiment Analysis on Cyber Warfare Simulation

Ahn, Myung Kil; Lee, Jung-Ryun

doi:10.9708/jksci.2020.25.08.031

Research on System Architecture and Methodology based on MITRE ATT&CK for Experiment Analysis on Cyber Warfare Simulation 원문보기

韓國컴퓨터情報學會論文誌 = Journal of the Korea Society of Computer and Information, v.25 no.8, 2020년, pp.31 - 37

Ahn, Myung Kil (School of Electrical and Electronics Engineering, Chung-Ang University) , Lee, Jung-Ryun (School of Electrical and Electronics Engineering, Chung-Ang University)

초록
AI-Helper

본 논문에서는 사이버 전투실험 분석이 가능한 사이버 킬체인 및 MITRE ATT&CK 기반의 시스템 구성 및 분석 방법론을 제안한다. 사이버 킬체인을 기반으로 공격 과정을 모의하고, MITRE ATT&CK를 기반으로 공격 목적 및 구체적인 공격 방법을 적용하여, 실제 발생한 다양한 공격 및 새롭게 등장할 공격에 대한 시스템 위협 분석이 가능하도록 한다. 또한, 현 시스템(AS-IS)과 새로운 대응 시스템이 적용될 경우(TO-BE)에 대한 사이버 공격 및 대응 측면의 효과도 분석을 정량적으로 제시하여, 선제적 방어방책 및 소요 반영을 위한 의사결정에도 활용이 가능하다. 제안하는 시스템 및 방법론의 활용성을 제시하기 위해, 테스트베드 환경에서 프로토타입을 구축하고 사례 연구를 수행하였다. 제안된 방안은 사이버 전투실험의 기술 수준을 높여 사이버전 역량 강화에 기여할 것으로 기대한다.

Abstract ▼ AI-Helper

In this paper, we propose a system architecture and methodology based on cyber kill chain and MITRE ATT&CK for experiment analysis on cyber warfare simulation. Threat analysis is possible by applying various attacks that have actually occurred with continuous updates to reflect newly emerging attacks. In terms of cyber attack and defense, the current system(AS-IS) and the new system(TO-BE) are analyzed for effectiveness and quantitative results are presented. It can be used to establish proactive cyber COA(Course of Action) strategy, and also for strategic decision making. Through a case study, we presented the usability of the system architecture and methodology proposed in this paper. The proposed method will contribute to strengthening cyber warfare capabilities by increasing the level of technology for cyber warfare experiments.

주제어

표/그림 (7)

그림 Fig. 1. Concept of operation
그림 Fig. 2. Flow of Drive-by Compromise Technique
그림 Fig. 3. Cyber Defense Models
그림 Fig. 5. Attack Scenario
그림 Fig. 4. Network Topology
표 Table 1. Key Cyber Effectiveness Index
그림 Fig. 6. Experimental analysis results

AI 본문요약
AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

취약점 점검 신기술의 하나인 침입 및 공격 시뮬레이션인 BAS( Breach and Attack Simulation) 기술을 활용한 솔루션들이 소개되고 있다[16][17]. 방어 측면보다는 공격자 관점에서 보안 인프라를 공격 시뮬레이션하는 것에 초점이 맞춰져 있으며, 일관성있고 반복적으로 공격을 자동화하는데 목적이 있다.
본 논문에서 제안한 시스템 및 방법론의 활용성을 제시 하기 위해, 테스트베드 환경에서 프로토타입을 구축하고 사례 연구를 수행하였다. 새로운 시스템 및 방어방책의 효과를 정량적으로 분석할 수 있으며, 소요 반영을 위한 의사결정에도 활용이 가능하다.
본 논문에서는 사이버 전투실험 분석이 가능한 사이버 킬체인 및 MITRE ATT&CK 기반의 시스템 구성을 제안하였다.
본 연구에서는 사이버 전투실험 분석을 위한 사이버 킬체인 및 MITRE ATT&CK 기반의 시스템 구성 방안과 새로운 대응시스템 및 방어방책의 효과분석 방법론을 제시한다.
사이버 전투실험 분석을 위해 테스트베드 환경에서 프로토타입을 구축하고 사례 연구를 통해, 제안하는 시스템 및 방법론의 활용성을 제시하고자 한다.
이러한 문제를 해결하기 위해, 본 논문에서는 사이버 전투실험 분석이 가능한 시스템 구성 및 분석 방법론을 제안한다. 사이버 킬체인[7][8] 및 MITRE ATT&CK[9] 기반으로 실제 발생한 다양한 공격을 적용하여 시스템의 위협에 대한 분석이 가능하도록 하고, 현 시스템(AS-IS)과 새로운 대응 시스템이 적용될 경우(TO-BE)에 대한 사이버 공격 및 대응 측면의 효과도 분석을 정량적으로 제시하여, 선제적으로 방어방책을 수립하는데 활용할 수 있도록 한다.

제안 방법

사이버 모의 요소를 기반으로 시간의 흐름에 따른 사이버전의 효과를 객관적이고 정량적으로 분석하기 위해, M&S기반으로 시스템을 구축하였다. Riverbed Modeler 이산사건 시뮬레이션(DES, Discrete Event Simulation) 엔진을 기반으로 프로토타입을 구축하였으며, 시스템 및 네트워크 장비, 사이버 대응 및 방어 장비를 모델링하여 배치하였다.
[13]에서는 공격 그래프 기반의 보안 평가 프레임워크를 제안하였다. 공격 그래프 생성 및 실시간 이벤트 분석 기능을 제공하고, 공격 그래프 분석을 통해 영향 평가를 수행한다. 또한, Cauldron[14]은 공격 그래프의 구성 및 분석 내용을 제공하고, 원시 보안 데이터를 공격 그래프로 변환하여 취약점이 전체 네트워크 보안에 미치는 영향을 제시해준다.
또한, 현 시스템(AS-IS)과 새로운 대응 시스템이 적용될 경우(TO-BE)에 대한 사이버 공격 및 대응 측면의 효과도 분석을 정량적으로 제시하여, 선제적으로 방어방책을 수립하는데 활용할 수 있도록 전투실험 분석 방법론을 제시하였다.
미국의 비영리기관인 MITRE에서 제공하는 ATT&CK[9] 프레임워크는 Adversarial Tactics, Techniques, and Common knowledge로서, 실제 발생한 사이버 공격 사례를 기반으로 하며, 적의 공격 라이프 사이클을 반영한 사이버 공격자의 행위 모델이다. 매트릭스 형태로 제시되며, Tactics은 적의 공격 목적에 해당하고, 공격 목적을 달성하기 위한 구체적인 방법으로 Techniques을 제시한다.
현재 국방 사이버전 분야의 전투실험 활용은 미흡한 실정이며, 주로 전문가 및 정성적인 방법에 의존하고 있다. 본 논문에서 제안한 시스템 및 방법론을 활용하여, 과학적 분석 및 검증이 가능하다. 신규 사이버 대응 시스템 소요 결정 및 배치 위치, 특정 사이버 공격에 대한 피해 가능성 및 피해 정도 분석, 선제적 방어방책 수립 등의 주요 전투실험 분야에 응용될 수 있다.
분석 실험은 새로운 대응 시스템인 Anti-DDoS 배치의 효과성을 분석하기 위해, 현 시스템(AS-IS)과 새로운 대응 시스템이 적용될 경우(TO-BE)에 대한 사이버 공격 및 대응 측면의 전투실험을 수행한다.
사이버 모의 요소를 기반으로 시간의 흐름에 따른 사이버전의 효과를 객관적이고 정량적으로 분석하기 위해, M&S기반으로 시스템을 구축하였다.
사이버 전투실험 분석을 위한 모의공격은 사이버 킬체인 기반 ATT&CK를 활용하여, 공격 단계 별 다양한 공격 목적 및 세부 공격 방법에 따라 시뮬레이션을 수행한다.
사이버 전투실험 분석을 위해, 네트워크 구성 정보를 활용하여 시스템과 네트워크 모델을 배치한다. 사이버 킬체인 및 MITRE ATT&CK 정보를 활용하여 사이버 모의 공격을 구성하고, 사이버 대응 및 방어 정책을 활용하여 대응 및 방어 시스템을 구성한다.
사이버 킬체인 단계 별 공격 과정을 모의하고, 각 공격 과정에서 ATT&CK을 활용하여 공격 목적 및 방법을 모의한다.
사이버 킬체인 및 MITRE ATT&CK 정보를 활용하여 사이버 모의 공격을 구성하고, 사이버 대응 및 방어 정책을 활용하여 대응 및 방어 시스템을 구성한다.
새로운 소요인 Anti-DDoS 시스템이 배치되지 않은 시나리오(AS-IS)와 배치되어 동작하는 시나리오(TO-BE) 에 대해 전투실험을 수행하고, 그림 6과 같이 사이버 공격 성공률(Attack Success Ratio)과 IER 실패율(IER Failure Ratio)에 대한 결과를 도출하였다.

대상 데이터

This work was supported by UM17312RD3.
공격자(Attacker) 단말, BotNet 생성을 위한 피해 서버인 웹서버(Webhard Sever), 최종 DDoS(Distributed Denial of Service) 공격 대상인 타겟 서버(Target Server)로 구성된다. 또한, 웹서버에 접속 후 감염되어 BotNet으로 활용되는 단말들, IER을 통해 주요 정보를 주고받는 단말, 라우터, 스위치, 방어 장비들로 구성되어 있다.
공격자는 웹서버(Webhard Server)에 CVE 2012-1823취약점 공격을 이용하여 웹서버를 탈취한다. Web Shell을 웹서버에 업로드하고 원격으로 명령을 수행할 수 있도록 한다.

성능/효과

특히, IER (Information Exchange Requirement)은 군에서 임무 및 작전 수행을 위해 필요한 정보교환요구 소요이며, 제안하는 시스템을 통해 적시성 충족 여부를 분석하는 전투실험이 가능하다. 본 시스템을 통해 새로운 대응 시스템 및 방어방책의 효과를 정량적으로 분석할 수있으며, 가장 효과적인 최적의 배치 위치를 결정하기 위한 실험에도 활용이 가능하다.

후속연구

특히, IER (Information Exchange Requirement)은 군에서 임무 및 작전 수행을 위해 필요한 정보교환요구 소요이며, 제안하는 시스템을 통해 적시성 충족 여부를 분석하는 전투실험이 가능하다. 본 시스템을 통해 새로운 대응 시스템 및 방어방책의 효과를 정량적으로 분석할 수있으며, 가장 효과적인 최적의 배치 위치를 결정하기 위한 실험에도 활용이 가능하다.
본 실험을 통해 신규 소요인 Anti-DDoS 시스템에 대한 효과를 정량적으로 도출할 수 있으며, 소요 반영을 위한 의사결정에 활용할 수 있다.
사이버 킬체인[7][8] 및 MITRE ATT&CK[9] 기반으로 실제 발생한 다양한 공격을 적용하여 시스템의 위협에 대한 분석이 가능하도록 하고, 현 시스템(AS-IS)과 새로운 대응 시스템이 적용될 경우(TO-BE)에 대한 사이버 공격 및 대응 측면의 효과도 분석을 정량적으로 제시하여, 선제적으로 방어방책을 수립하는데 활용할 수 있도록 한다.
새로운 대응 시스템 및 방어방책을 모델링하여, 효과성 입증을 통한 신규 소요 반영 및 최적 배치에 활용할 수 있다.
신규 사이버 대응 시스템 소요 결정 및 배치 위치, 특정 사이버 공격에 대한 피해 가능성 및 피해 정도 분석, 선제적 방어방책 수립 등의 주요 전투실험 분야에 응용될 수 있다. 이를 통해 사이버전역량 강화에 기여할 것으로 기대한다.
향후, 사이버 공격이 주요 임무나 사이버 작전에 미치는 영향을 분석할 수 있도록, 전투실험 분석 영역을 확장하여 연구를 지속할 계획이다.

참고문헌 (17)

Ryu Young ki, "Systematic Analysis technique for Determining ROCs", Kongju University Doctoral Thesis, 2011.
Symantec, "2019 Internet Security Threat Report", Volume 24, February 2019.
AhnLab, "ASEC REPORT", Vol.98, 2020.
Gartner Research, "Gartner's Top 10 Strategic Technology Trends for 2017", October 2016.
S. Hassell, P. Beraud, A. Cruz, G. Ganga, S. Martin, J. Toennies, P. Vazquez, G. Wright, D. Gomez, F. Pietryka, N. Srivastava, T. Hester, D. Hyde, and B. Mastropietro, "Evaluating network cyber resiliency methods using cyber threat, vulnerability and defense modeling and simulation,", 2012 IEEE Military Communications Conference, pp.1-6, Orlando, FL, USA, Oct. 2012, DOI: 10.1109/MILCOM.2012.6415565.
Myung Kil Ahn, and Yong Hyun Kim, "Research on System Architecture and Simulation Environment for Cyber Warrior Training", Journal of The Korea Institute of Information Security & Cryptology, VOL.26, NO.2, pp. 533-540, Apr. 2016, DOI:10.13089/JKIISC.2016.26.2.533.

원문보기 상세보기
United States. Joint Chiefs of Staff, "Joint Tactics, Techniques, and Procedures for Joint Intelligence Preparation of the Battlespace", JP 2-01.3, 2000.
E. M. Hutchins, M. J. Cloppert, and R. M. Amin, "Intelligence-driven computer network defense informed by analysis of adversary campaigns and intrusion kill chains", Leading Issues in Information Warfare & Security Research, vol. 1, p. 80, 2011.
MITRE, ATT&CK, Available at https://attack.mitre.org.
Jungyun Kwon, Soomin Han, Sangyun Choe, Hanil Jeong, "A Study on Developing Performance Evaluation System Using Delphi Technique and Analytic Hierarchy Process", Asia-pacific Journal of Multimedia Services Convergent with Art, Humanities, and Sociology, Vol.6, No.9, pp. 99-110, September 2016, DOI:10.14257/AJMAHS.2016.09.40
MITRE, CVE, Available at http://cve.mitre.org/
ECSIRT, IODEF/IDMEF Solutions, Available at http://www.ecsirt.net/service/products.html
I. Kotenko, A. Chechulin, "A Cyber Attack Modeling and Impact Assessment Framework", Proceedings of the 5th International Conference on Cyber Conflict 2013 (CyCon 2013), pp.119-142, Tallinn, Estonia, July 2013.
Jajodia, S., Noel, S., Kalapa, P., Albanese, M., Williams, J., "Cauldron: Mission-Centric Cyber Situational Awareness with Defense in Depth", MILCOM 2011 Military Communications Conference, Baltimore, USA, Nov. 2011, DOI:10.1109/MILCOM.2011.6127490.
H. Al-Mohannadi, Q. Mirza, A. Namanya, I. Awan, A. Cullen, J. Disso, "Cyber-attack modeling analysis techniques: An overview", 2016 IEEE 4th International Conference on Future Internet of Things and Cloud Workshops (FiCloudW), pp.69-76, Vienna, Austria, Aug. 2016, DOI:10.1109/W-FiCloud.2016.29
AttackIQ, Available at https://attackiq.com/
SafeBreach, Available at https://safebreach.com/

표제어: PCR

동의어: Packet Collision Rate

용어 설명 출처 목록 (6)

용어 설명: PCR은 세균 특이성이 있는 primer를 이용하여 적은 수의 세균이 있을지라도 쉽게 검출할 수 있는 유용한 방법이며, 이를 이용하여 구강 내 치면세균막이나 타액에서 직접 세균을 검출할 수 있게 되었다[8].

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증