[보고서]다중소스 데이터의 Long-term history 분석기반 사이버 표적공격 인지 및 추적기술개발

김익균

다중소스 데이터의 Long-term history 분석기반 사이버 표적공격 인지 및 추적기술개발
Development of the Advanced and Persistent Targeted (APT) Attacks Recognition and Traceback Technology based on Analysis of the Long-Term Historic Multi-Source Data 원문보기

보고서 정보
주관연구기관	한국전자통신연구원 Electronics and Telecommunications Research Institute
연구책임자	김익균
참여연구자	주은영 , 안도성 , 정성훈 , 조호묵 , 장성호
보고서유형	최종보고서
발행국가	대한민국
언어	한국어
발행년월	2017-02
과제시작연도	2016
주관부처	미래창조과학부 Ministry of Science, ICT and Future Planning
등록번호	TRKO202100006963
과제고유번호	1711035313
사업명	한국전자통신연구원연구개발지원
DB 구축일자	2021-07-24
키워드	표적 공격.사이버 특성 인자.프로파일링.역추적.연관성 분석.Advanced Persistent Threat.Cyber Feature.Profiling.Traceback.Correlation Analysis.

초록

사이버 표적공격 위협으로부터 주요 정보시스템의 안전성 확보를 위해 표적공격 인지 및 공격 근원지 추적 기능을 제공하는 다중소스 Long-term History 분석기반 지능형 사이버 보안기술 개발
- 지능형 사이버 표적공격 인지 시스템 (서버 탑재형 SW)
- 사이버 표적 공격지 정보추적 시스템 (서버 탑재형 SW)
- 다중소스 복합 이벤트 수집 센서 시스템 (서버/단말 탑재형 SW)

(출처 : 요약서 3p)

Abstract ▼

2. Objectives
Zero-Day Cyber targeted attack recognition and trace-back technology based-on the long-term historic analysis of multi-source security related data

3. Description
The project was carried out to develop a security technology to provide an instant corresponding service of monitoring/identifying/tracing/blocking the unidentified cyber security threats available on the Internet. The technical scope of this project is manly to provide security related service functions for collecting and processing of the big-data based security events, extracting the cyber attack features to analyze correlations among the collected data based on the cyber genome with various anomaly detection technologies in order to profile and represent the status of attack incidents to detect the cyber targeted attacks. Finally, the traceback of the cyber attacks technology provides a real-time tracing service of the APT attack stepping stones and the origin by analyzing tracing logs from control and data-leaking channels.

4. Contributions
The results of the project was categorized into 4 sub-technologies called SINBAPT (Security Intelligence techNology for Blocking APT) those are individually targeted to provide a special functions.
- SINBAPT SigFree AV : Data mining-based anomaly detection engine for detecting malicious code by using the behavior information collected in a host PC.
- SINBAPT Miner : Correlation analysis of multi-sources based on the Big Data Analytics and Data Mining Methodologies.
- SINBAPT Gene : Host/Network based DNA features and presenting analysis results of behavior patterns for application-based executable files.
- SINBAPT Tracker : real-time identifying and tracing of the Cyber Attack Origin by analyzing the Fingerprint information of the collected Netflow v5 on the interactive communication sessions.

(출처 : Summary 28p)

목차 Contents

표지 ... 1
제 출 문 ... 2
보고서 요약 ... 3
요약문 ... 4
Summary ... 28
목차 ... 29
표목차 ... 30
그림목차 ... 30
제 1 장 연구개발과제의 개요 ... 34
제 1절 연구개발의 필요성 ... 34
제 2절 기술개발 현황 ... 36
제 3절 기술개발의 중요성 ... 53
제 2 장 연구 수행 내용 및 성과 ... 58
제 1절 연구개발의 목표 및 내용 ... 58
1. 최종/연차별 연구목표 ... 58
2. 연차별 연구내용 ... 61
제 2절 연구개발의 성과 ... 68
1. 기술적 성과 및 평가 방법 ... 68
2. 경제적 성과 ... 71
제 3 장 목표 달성도 및 관련 분야 기여도 ... 74
제 1절 목표대비 추진 실적 및 달성도 ... 74
제 2절 관련 분야 기여도 ... 128
제 4 장 연구개발 성과의 활용 방안 ... 133
제 1절 활용 방안 ... 133
제 2절 기대효과 ... 133
약 어 ... 136
연구 결과물 ... 138
붙임1. 자체 보안관리 진단표 ... 155
끝페이지 ... 161

표/그림 (138)

표 지능형 사이버 표적공격 인지 및 추적기술 개념도
표 지능형 사이버 표적공격 프로세스 (Source : Symantec)
표 상황 인지의 지능형 보안 기술 개념도
표 사이버공격의 역추적 관련 기존 방법
표 세계 Security & SIEM 시장 전망
표 SIEM제품군 세계시장 점유율(출처 : IDC Security Software forecast, 2012)
표 통합보안관리 (ESM) 국내외 시장 전망 (출처 : IDC Security Software forecast, 2012)
표 보안관제 분야 국내시장 점유율(출처 : IDC_Korea Security Software forecast)
표 SIEM 평가 결과
표 표적공격 인지 및 추적 기술 분류
표 미국특허에서 국가별 기술수준 순위
표 과제 관련 국내 주요 표준 현황
표 과제 관련 ITU-T 표준 진행 과정
표 지능형 타겟 공격의 증가와 피해규모
표 주요기반 시설 대표적 사이버 피해 사례
표 전 세계적 스턱스 넷 감염 규모
표 사이버 공격 유형의 변화 및 방어기술 현주소
표 공공분야 사이버 침해사고 발생현황 (단위: 건)
표 사이버 특성 모델기반 표적공격 인지 및 추적 기술 개념도
표 연차별 개발목표 및 개발 내용
표 1차년도 사이버 표적공격 인지 및 역추적 시스템 기술 구성도
표 사이버 특성인자 모델기반 공격분석 및 인지기술 기능 구조도
표 2차년도 사이버 표적공격 인지 및 역추적 시스템 기술 구성도
표 3차년도 사이버 표적공격 인지 및 역추적 시스템 기술 구성도
표 4차년도 사이버 표적공격 인지 및 역추적 실증 서비스 구성도
표 표적공격 인지 및 추적 기술 격차 축소
표 공공분야 사이버 침해사고 발생현황 (단위: 건)
표 사이버 표적 공격 분류 맵
표 SINBAPT 시스템 블록 구성도
표 호스트 기반 특성인자 리스트
표 네트워크 특성인자 정의 및 데이터 분석 실험
표 특성인자 기반 행위 룰 (Behavior Rule) 분석 모델
표 표적공격 특징인자 DNA 구조도 및 공격유형별 유사도 분석
표 네트워크 기반 비정상 행위 분석 순서도
표 이상행위 시각화 특허 대표도
표 SINBAPT 수집 시스템 구성도
표 네트워크 데이터 수집 기술 구성도
표 IPS 이벤트 수집 시스템 구성도
표 SINBAPT 빅데이터 플랫폼
표 역추적 기술 분류
표 빅데이터 분석을 위한 정상 데이터 및 비정상 데이터 수집 사용자 인터페이스분석용
표 악성코드 수집기 연동 악성코드 실행 환경
표 융합 센터 사이버해킹 테스트 베드 구성도
표 융합 센터 사이버해킹 테스트 베드 구축
표 3.20 해킹사고 재연 화면
표 SINBAPT 블록 구성도
표 SINBAPT 블록간 데이터 플로우 및 미니 빅데이터 시스템
표 실시간 이상 행위 분석 사용자 도구
표 HBAB 블록 상세 구조도
표 HBAB 블록 알고리즘 및 IF
표 LSAB 상세 블록 구조 및 인터페이스
표 Host/Network 비정상 행위 분석 및 분류를 위한 특성인자
표 비정상 데이터 군집화
표 비정상 데이터 라벨링
표 연관성 분석 기능 구성도
표 연관성 분석 프레임워크 구조
표 플랫폼 독립형 보안 분석 마이닝 아키텍처 (SINBAPT-Miner)
표 애플리케이션 분석 결과 및 Host/Network 특성인자 DNA 3D 표현
표 사이버 게놈 서브 블록 모듈 구성 및 흐름도
표 실시간 사용자 분석 도구 화면
표 SINBAPT 빅데이터 플래폼 구조
표 SINBAPT 빅데이터 서버 랙 구성
표 실시간 분류 엔진 클러스터 구조
표 대용량 누적데이터 저장 및 처리 플랫폼 구조
표 호스트 행위 상태 수집기 특성인자 정의
표 커널 후킹 기법의 Injection 후 구조
표 호스트 상태 수집기 사용자 인터페이스
표 특성인자 수집의 예
표 호스트 이상행위 분석 앙상블 모델
표 Sparse Coding 기반 악성코드 탐지
표 Decision Tree 기반 악성코드 탐지
표 프로세스 트리 및 특징벡터 구조
표 NetFlow기반 공격자 경유지 추적 시스템 구성도
표 Netflow 기반 연결 정보 추적 시스템 구성
표 NetFlow기반 공격자 경유지 추적 시스템 프레임워크
표 NetFlow기반 공격자 경유지 추적 프로토타입 시험 사용자 인터페이스
표 실험실 수준의 역추적 시험 구성도
표 공중 인터넷 환경의 역추적 테스트베드 구성도
표 분석용 데이터 및 신종 악성코드 수집 개념도
표 악성코드 제공 사이트로부터 일별로 수집한 악성코드 통계 그래프
표 분석용 데이터 수집 일지
표 공격자/피해자 행위 재연 데이터
표 SINBAPT 블록 구성도
표 멀티소스 연관성 분석 기반 APT 탐지 시스템
표 다중소스 데이터의 Long-Term 연관성 분석용 데이터 분석 도구 개념도
표 호스트 이상행위 분석 앙상블 모델
표 생성된 Frequency 특징벡터의 예
표 생성된 카테고리에 대한 Sequence 특징의 예
표 생성된 특성인자에 대한 Sequence 특징의 예
표 사이버 게놈 기반 악성코드 분석 Flow
표 사이버 게놈 기반 행위 특성인자 시각화
표 사이버 게놈 기반 악성코드 유사도 분석 및 3D 패턴
표 특정행위 추출 (Data Puzzle 생성) 기능 구성도
표 악성코드 분석을 통해 정의된 Data Puzzle
표 특정 행위간 관계 분석 기능 구성도
표 사이버 킬 체인 및 시나리오 맵핑 기능 구성도
표 연관성 분석 결과 시각화 화면
표 호스트/서버 행위 상태 수집기 특성인자 정의 : 61종
표 커널 후킹 기법의 Injection을 통한 수집기 모듈 전체 구조
표 안정화 기능 구조
표 호스트 상태 수집기 사용자 인터페이스 – Kafka I/F 포함
표 KAFKA 기반 데이터 수집 처리 흐름도
표 데이터 수집 처리 플랫폼 구성도
표 Kafka Manager를 통한 Kafka Topic 구성
표 수집 데이터 Kafka 모니터링 화면
표 NetFlow기반 공격자 경유지 추적 프레임워크
표 Netflow 기반 연결 정보 추적 시스템 – 세션정보 저장 Type
표 NetFlow기반 공격자 경유지 추적 시스템 프레임워크
표 NetFlow기반 공격자 경유지 추적 프로토타입 사용자 인터페이스
표 KT KORNET 상용망 적용을 위한 테스트베드 구성도
표 SINBAPT 프로토타입 시스템 구성 장비
표 KT KORNET 설치 구성도
표 Virus-Total 진단 결과 리스트
표 시제품 : SINBAPT 사이버표적 공격 인지 시스템 UI
표 Long-term 연관성 분석 시스템 구성도
표 Long-term 연관성 분석 시스템 레퍼런스 구조도
표 사이버게놈 기반 악성코드 행위 패턴 생성기
표 사이버게놈 기반 행위패턴 3D 시각화
표 > 대용량 호스트 행위정보 특징 데이터의 전년도 대비 비교 2016.5 기준
표 Deep learning network 구조
표 외부 관제 시스템 연동을 통한 실증서비스 방안
표 NFTBv3.0 알고리즘 검증 데이터
표 Maximum Delay에 따른 Sliding & Compare 비교
표 통합시스템 XaPCA-NFTB 3기 연동 테스트베드
표 KT KORNET 상용망 연동 적용 테스트베드
표 10G x 2 TAP 실증 수집데이터 (1440Flows/Day)
표 Flow Size of Daily 10Gbps 상용망 / Day (RX/TX)
표 상용시제품 : 역추적 통합시스템 - XaPCA NFTB
표 KT Kornet 상용망 연동 통합 시범서비스 안
표 OpenSOC 분석 아키텍처
표 OpenSOC 기반 레거시 데이터 수집 변환 모듈 구성도
표 KUDU 기반 CDH 클러스터의 서비스 구성
표 KUDU 기반 CDH 클러스터의 호스트 목록
표 KUDU 기반 실시간 데이터 수집 처리 흐름도
표 지능형 사이버 표적공격 인지 및 추적기술 개념도
표 SINBAPT 사업화 패키지
표 기술 격차 축소
표 공공분야 사이버 침해사고 발생현황 (단위: 건)

과제명(ProjectTitle) :	-
연구책임자(Manager) :	-
과제기간(DetailSeriesProject) :	-
총연구비 (DetailSeriesProject) :	-
키워드(keyword) :	-
과제수행기간(LeadAgency) :	-
연구목표(Goal) :	-
연구내용(Abstract) :	-
기대효과(Effect) :	-

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 제목(한글), 저자명(한글), 발행일자, 전자원문, 초록(한글), 초록(영문) 관리번호, 제목(한글), 제목(영문), 저자명(한글), 저자명(영문), 주관연구기관(한글), 주관연구기관(영문), 발행일자, 총페이지수, 주관부처명, 과제시작일, 보고서번호, 과제종료일, 주제분류, 키워드(한글), 전자원문, 키워드(영문), 입수제어번호, 초록(한글), 초록(영문), 목차
저장형식	Text(ASCII format) Excel format
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증

다중소스 데이터의 Long-term history 분석기반 사이버 표적공격 인지 및 추적기술개발
Development of the Advanced and Persistent Targeted (APT) Attacks Recognition and Traceback Technology based on Analysis of the Long-Term Historic Multi-Source Data 원문보기