Earticle

다운로드

MITRE ATT&CK 및 Anomaly Detection 기반 이상 공격징후 탐지기술 연구
MITRE ATT&CK and Anomaly detection based abnormal attack detection technology research

원문정보

초록

한국어
공격자의 무기가 점차 지능화 및 고도화되고 있어 기존 백신만으로는 보안 사고를 막을 수 없으므로 endpoint까지 보안 위협이 검토되고 있다. 최근 endpoint를 보호하기 위한 EDR 보안 솔루션이 등장했지만, 가시성에 중점을 두고 있 으며, 이에 대한 탐지 및 대응 기술은 부족하다. 본 논문에서는 보안 관리자 관점에서 효과적인 분석과 분석 대상을 선 별하기 위해 실 환경 EDR 이벤트 로그를 사용하여 지식 기반 MITRE ATT&CK 및 AutoEncoder 기반 Anomaly Detection 기술을 종합적으로 사용하여 이상 공격징후를 탐지한다. 이후, 탐지된 이상 공격징후는 보안 관리자에게 로그 정보와 함께 alarm을 보여주며, 레거시 시스템과의 연계가 가능하다. 실험은 5일에 대한 EDR 이벤트 로그를 하루 단위 로 탐지했으며, Hybrid Analysis 검색을 통해 이를 검증한다. 따라서, EDR 이벤트 로그 기반 언제, 어떤 IP에서, 어떤 프로세스가 얼마나 의심스러운지에 대한 결과를 산출하며, 산출된 의심 IP/Process에 대한 조치를 통해 안전한 endpoint 환경을 조성할 것으로 기대한다.
영어
The attacker's techniques and tools are becoming intelligent and sophisticated. Existing Anti-Virus cannot prevent security accident. So the security threats on the endpoint should also be considered. Recently, EDR security solutions to protect endpoints have emerged, but they focus on visibility. There is still a lack of detection and responsiveness. In this paper, we use real-world EDR event logs to aggregate knowledge-based MITRE ATT&CK and autoencoder-based anomaly detection techniques to detect anomalies in order to screen effective analysis and analysis targets from a security manager perspective. After that, detected anomaly attack signs show the security manager an alarm along with log information and can be connected to legacy systems. The experiment detected EDR event logs for 5 days, and verified them with hybrid analysis search. Therefore, it is expected to produce results on when, which IPs and processes is suspected based on the EDR event log and create a secure endpoint environment through measures on the suspicious IP/Process.

목차

요약
ABSTRACT
1. 서론
2. 관련 연구
2.1 MITRE ATT&CK
2.2 Anomaly Detection 연구 동향
3. 제안 모델
3.1 전체 시스템 개요
3.2 Anomaly Detection Approach
3.3 MITRE ATT&CK Anlaysis
3.4 하나의 분석파일 기반 종합판단 정책
3.5 보안 관리자 관점에서의 운영
4. 실험결과
4.1 Dataset
4.2 이상 공격징후 종합판단 결과
4.3 이상 공격징후 검증 결과
5. 결론
참고문헌

저자

  • 황찬웅 [ Chan-Woong Hwang | 호서대학교 정보보호학과 대학원생 ] 주저자
  • 배성호 [ Sung-Ho Bae | 호서대학교 정보보호학과 학부생 ] 공동저자
  • 이태진 [ Tae-Jin Lee | 호서대학교 컴퓨터공학부 교수 ] 교신저자

참고문헌

자료제공 : 네이버학술정보

    간행물 정보

    • 간행물
      융합보안논문지 [Jouranl of Information and Security]
    • 간기
      연5회
    • pISSN
      1598-7329
    • 수록기간
      2001~2026
    • 등재여부
      KCI 등재
    • 십진분류
      KDC 005 DDC 005