$\require{mediawiki-texvc}$

연합인증

연합인증 가입 기관의 연구자들은 소속기관의 인증정보(ID와 암호)를 이용해 다른 대학, 연구기관, 서비스 공급자의 다양한 온라인 자원과 연구 데이터를 이용할 수 있습니다.

이는 여행자가 자국에서 발행 받은 여권으로 세계 각국을 자유롭게 여행할 수 있는 것과 같습니다.

연합인증으로 이용이 가능한 서비스는 NTIS, DataON, Edison, Kafe, Webinar 등이 있습니다.

한번의 인증절차만으로 연합인증 가입 서비스에 추가 로그인 없이 이용이 가능합니다.

다만, 연합인증을 위해서는 최초 1회만 인증 절차가 필요합니다. (회원이 아닐 경우 회원 가입이 필요합니다.)

연합인증 절차는 다음과 같습니다.

최초이용시에는
ScienceON에 로그인 → 연합인증 서비스 접속 → 로그인 (본인 확인 또는 회원가입) → 서비스 이용

그 이후에는
ScienceON 로그인 → 연합인증 서비스 접속 → 서비스 이용

연합인증을 활용하시면 KISTI가 제공하는 다양한 서비스를 편리하게 이용하실 수 있습니다.

MITRE ATT&CK 모델을 이용한 사이버 공격 그룹 분류
Cyber attack group classification based on MITRE ATT&CK model 원문보기

Journal of Internet Computing and Services = 인터넷정보학회논문지, v.23 no.6, 2022년, pp.1 - 13  

최창희 (Defense Cyber Technology Center, Agency for Defense Development) ,  신찬호 (Defense Cyber Technology Center, Agency for Defense Development) ,  신성욱 (Defense Cyber Technology Center, Agency for Defense Development)

초록
AI-Helper 아이콘AI-Helper

정보통신 환경의 발전으로 인하여 군사 시설의 환경 또한 많은 발전이 이루어지고 있다. 이에 비례하여 사이버 위협도 증가하고 있으며, 특히 기존 시그니처 기반 사이버 방어체계로는 막는 것이 어려운 APT 공격들이 군사 시설 및 국가 기반 시설을 대상으로 빈번하게 이루어지고 있다. 적절한 대응을 위해 공격그룹을 알아내는 것은 중요한 일이지만, 안티 포렌식 등의 방법을 이용해 은밀하게 이루어지는 사이버 공격의 특성상 공격 그룹을 식별하는 것은 매우 어려운 일이다. 과거에는 공격이 탐지된 후, 수집된 다량의 증거들을 바탕으로 보안 전문가가 긴 시간 동안 고도의 분석을 수행해야 공격그룹에 대한 실마리를 겨우 잡을 수 있었다. 본 논문에서는 이러한 문제를 해결하기 위해 탐지 후 짧은 시간 내에 공격그룹을 분류해낼 수 있는 자동화 기법을 제안하였다. APT 공격의 경우 일반적인 사이버 공격 대비 공격 횟수가 적고 알려진 데이터도 많지 않으며, 시그니처 기반의 사이버 방어 기법을 우회하도록 설계가 되어있으므로, 우회가 어려운 공격 모델 기반의 탐지 기법을 기반으로 알고리즘을 개발하였다. 공격 모델로는 사이버 공격의 많은 부분을 모델링한 MITRE ATT&CK®을 사용하였다. 공격 기술의 범용성을 고려하여 영향성 점수를 설계하고 이를 바탕으로 그룹 유사도 점수를 제안하였다. 실험 결과 제안하는 방법이 Top-5 정확도 기준 72.62%의 확률로 공격 그룹을 분류함을 알 수 있었다.

Abstract AI-Helper 아이콘AI-Helper

As the information and communication environment develops, the environment of military facilities is also development remarkably. In proportion to this, cyber threats are also increasing, and in particular, APT attacks, which are difficult to prevent with existing signature-based cyber defense syste...

주제어

#사이버 공격   #공격 그룹 유사도   #공격 그룹 분류  

표/그림 (21)

AI 본문요약
AI-Helper 아이콘 AI-Helper

문제 정의

  • 본 논문에서는 MITRE ATT&CK에서 분석한 공격 그룹의 공격 기술을 토대로 전처리 및 영향성 점수, 그룹 유사도 점수를 제안하였다

가설 설정

  • 본 논문에서는 국가가 지원하는 것으로 추정되는 사이버 공격 그룹의 경우에는 그들이 사용하는 공격 기술의 종류가 추후 크게 변화하지 않을 것이라 가정하고 연구를 진행하였다. 이와 같은 가정을 검증하기 위해서, 4.
  • MITRE ATT&CK은 그림 1과 같이 계층적으로 볼 수 있다. 본 논문에서는 그래프 기반의 EDR 시스템이 정보를 제공해준다고 가정하고 있는데, 이때 호스트에서 자료를 수집할 수 있는 소스가 필요하다. 즉 EDR시스템에서는 MITRE ATT&CK에서 정의한 데이터 소스에서 로그를 추출하고, 이를 하위 공격 기술, 공격 기술, 전술로 추상화하는 것이 가능하다.
본문요약 정보가 도움이 되었나요?

참고문헌 (34)

  1. Liu, D., Zhang, H., Yu, H., Liu, X., Zhao, Y., Lv, G., "Research and application of APT attack defense and detection technology based on big data technology", Proceedings of IEEE 9th International Conference on Electronics Information and Emergency Communication, pp. 1-4, 2019. https://doi.org/10.1109/ICEIEC.2019.8784483 

    crossref

  2. Choi, C. H., Shin, C. H., Shin, S. U., Seo, S. Y., Lee, I. S., "Deep learning for estimating next action of cyber attack", Proceedings of Korea Institute of Military Science and Technology annual conference, pp. 1075-1076, 2021. 

  3. Choi, C. H., Shin, S. U., Shin, C. H., "Performance evaluation method of cyber attack behaviour forecasting based on mitigation", Proceedings of International Conference on information and communication Technology Convergence, pp. 13-15, 2021. https://doi.org/10.1109/ICTC52510.2021.9620951 

    crossref

  4. Choi, C. H., Shin, C. H., Shin, S. U., "Cyber attack group classification based on TTP information", Proceedings of Internet Computing and Service spring conference, vol. 23, no. 1, pp. 7-8, 2021. 

  5. Al-Mohannadi, H., Mirza, Q., Namanya, A., Awan, I., Cullen, A., Disso, J., "Cyber-attack modeling analysis techniques:An overview", Proceedings of IEEE 4th international conference on future internet of things and cloud workshops, pp. 69-76, 2016. https://doi.org/10.1109/W-FiCloud.2016.29 

    crossref

  6. Hutchins, E. M. Cloppert, M. J., and Amin, R., M. "Intelligence-driven computer network defense informed by analysis of adversary campaigns and intrusion kill chain", Journal of Leading Issues in Information Warfare & Security Research, vol. 1 no. 1, pp. 80, 2011. https://lockheedmartin.com/content/dam/lockheed-martin/rms/documents/cyber/LM-White-Paper-Intel-Driven-Defense.pdf 

  7. Kim, H., Kwon, H. J., and Kim, K. K., "Modified cyber kill chain model for multimedia service environments", Journal of Multimedia Tools and Application, vol .78 no. 3, pp. 3153-3170, 2019. https://doi.org/10.1007/s11042-018-5897-5 

    상세보기 crossref

  8. MITRE ATT&CK, https://attack.mitre.org 

  9. M. Gul and E. Kugu, "A Survey on anti-forensics techniques,", Proceedings of International Artificial Intelligence and Data Processing Symposium, pp. 1-6, 2017. https://doi.org/10.1109/IDAP.2017.8090341 

    crossref

  10. Kawai, M., Ota, K., and Dong, M., "Improved malgan: Avoiding malware detector by leaning cleanware features", Proceedings of IEEE International Conference on Artificial Intelligence in Information and Communication, pp. 40-45, 2019. https://doi.org/10.1109/ICAIIC.2019.8669079 

    crossref

  11. Hwang, C. W., Kim, D. Y., and Lee, T. J., "Semi-supervised based unknown attack detection in EDR environment", Transactions on Internet and Information Systems. vol. 14, no. 12, pp. 4909-4926, 2020. https://doi.org/10.3837/tiis.2020.12.016 

    원문보기 상세보기 crossref

  12. Milajerdi, S. M., Gjomemo, R., Eshete, B., Sekar, R., and Venkatakrishnan, V. N., "Holmes: real-time apt detection through correlation of suspicious information flows.", Proceedings of IEEE Symposium on Security and Privacy, pp. 1137-115. 2019. https://doi.org/10.1109/SP.2019.00026 

    crossref

  13. Watters, P., McCombie, S., Layton, R., and Pieprzyk J., "Characterising and predicting cyber attacks using the cyber attacker model profile(CAMP)", Journal of Money Laundering Control, vol. 15, pp. 430-441, 2012. https://doi.org/10.1108/13685201211266015 

    상세보기 crossref

  14. Kapetanakis, S., Filippoupolitis, A., Loukas, G., and Murayziq, T., "Profiling cyber attackers using case-based reasoning", Proceedings of 19th UK workshop on case-based reasoning, pp. 39-48, 2014. https://researchgate.net/publication/301221761_Profiling_cyber_attackers_using_Case-based_Reasoning 

  15. Stahl, A., and Roth-Berghofer, T., "Rapid prototyping of CBR Applications with the Open Source Tool my CBR", Proceedings of the 9th European Conference on Advances in Case-Based Reasoning, pp. 615-629, 2008. https://doi.org/10.1007/978-3-540-85502-6_42 

    상세보기 crossref

  16. Cho, H. S., Lee, S. G., Kim, B. I., Shin, Y. S., and Lee, T. J., "The study of prediction of same attack group by comparing similarity of domain", Proceedings of International conference on information and communication technology convergence, pp. 1220-1222, 2015. https://doi.org/10.1109/ICTC.2015.7354779 

    crossref

  17. Han, M. L., Han, H. Ch., Kang, A. R., Kwak, B. I., Mohaisen, A., and Kim H. K., "WHAP: Web-hacking profiling using case-based reasoning", Proceedings of IEEE Conference on Communication and Network Security pp., 344-345, 2016. https://doi.org/10.1109/CNS.2016.7860503 

    crossref

  18. Kim, W. J., Park, C. W., Lee, S. J., and Lim J. S., "Methods for Classification and Attack Prediction of Attack Groups based on Framework of Cyber Defense Operations", Journal of KIISE:Computing Practices and Letters. vol. 20, no.6, pp.317-328, 2014. http://www.dbpia.co.kr/journal/articleDetail?nodeIdNODE02432562 

  19. Choi, C. H., Lee, H. S., Jung, I. H., Yoo, C. G., and Yoon, H. S., "Statistical Analysis of EML Header for Cyber Attacker Tracing", Proceedings of Korea Institute of Military Science and Technology annual conference, pp.1141-1142, 2017. 

  20. Choi, C. H., Lee, H. S., Jung, I. H., Park, J. H., and Yoon, H. S.,"E-mail Clustering for Cyber Attack Attribution", Proceedings of Korea Institute of Military Science and Technology annual conference, pp.1289-1290, 2018. 

  21. Jung, I. H., Lee, H. S, Choi, C. H., Yoo, C. G., and Yoon, H. S., "A Study for Specific information identification of attackers through document type malware analysis", Proceedings of Korea Institute of Military Science and Technology annual conference, pp.1185-1186, 2017. 

  22. Jung, I. H., Lee, H. S, Choi, C. H., and Yoon, H. S., "A Study for Creator System Information Identification Based on Document Type Malware", Proceedings of Korea Institute of Military Science and Technology annual conference, pp.1504-1505, 2018 

  23. Son, K. H., Kim, B. I., and Lee, T. J., "Cyber-attack group analysis method based on association of cyber-attack information", Transaction on Internet and Information Systems, vol. 14, no. 1, pp.260-280, 2020. https://doi.org/10.3837/tiis.2020.01.015 

    원문보기 상세보기 crossref

  24. Shin, Y. S., Kim, K. M., Lee, J., Lee, K. H., "ART: Automated reclassification for threat actors based on ATT&CK matrix similarity", Proceedings of World Automation Congress, pp.15-20, 2021. https://doi.org/10.23919/WAC50355.2021.9559514 

    crossref

  25. Choi, C. H., Shin, C. H., Shin, S. U., Seo, S. Y., Lee, I. S., "Cyber Attack Group Classification using Siamese LSTM", Proceedings of Korea Institute of Military Science and Technology annual conference, pp. 1425-1426, 2022. 

  26. APT & CyberCriminal Campaign Collections, https://github.com/CyberMonitor/APT_CyberCriminal_Campagin_Collections 

  27. APTNotes, https://github.com/aptnotes/data, 

  28. APT report collected blackorbird, https://github.com/blackorbird/APT_REPORT 

  29. Husari, G., Al-Shaer, E., Ahmed, M., Chu, B., and Niu, X., "TTPDrill: Automatic and accurate extraction of threat actions from unstructured text of CTI Sources", 33rd annual computer security applications conference, pp. 103-115, 2017. https://doi.org/10.1145/3134600.3134646 

    crossref

  30. Threat Report ATT&CK Mapping(TRAM), https://github.com/center-for-threat-informed-defense/tram/ 

  31. Legoy, V., Caselli, M., Seifert, C., and Peter, A, "Automated retrieval of ATT&CK tactics and techniques for cyber threat reports.", arXiv preprint arXiv:2004.14322, 2020. https://doi.org/10.48550/arXiv.2004.14322 

    crossref

  32. Mikolov, T., Chen, K., Corrado, G., and Dean, J., "Efficient estimation of word representations in vector space", arXiv preprint arXiv:1301.3781, 2013. https://doi.org/10.48550/arXiv.1301.3781 

    crossref

  33. Scikit-learn, https://scikit-learn.org 

  34. XGBoost, https://github.com/dmlc/xgboost 

관련 콘텐츠

오픈액세스(OA) 유형

BRONZE

출판사/학술단체 등이 한시적으로 특별한 프로모션 또는 일정기간 경과 후 접근을 허용하여, 출판사/학술단체 등의 사이트에서 이용 가능한 논문

이 논문과 함께 이용한 콘텐츠

저작권 관리 안내
섹션별 컨텐츠 바로가기

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

AI-Helper 아이콘
AI-Helper
안녕하세요, AI-Helper입니다. 좌측 "선택된 텍스트"에서 텍스트를 선택하여 요약, 번역, 용어설명을 실행하세요.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.

선택된 텍스트

맨위로