사이버 위협 인텔리전스 분석 방법에 대한 연구
저자
발행사항
서울 : 서울과학기술대학교, 2017
학위논문사항
학위논문(석사)-- 서울과학기술대학교 : 컴퓨터공학과 2018.2
발행연도
2017
작성언어
한국어
주제어
발행국(도시)
서울
형태사항
; 26 cm
일반주기명
지도교수: 이창훈
UCI식별코드
I804:11034-200000011087
소장기관
사이버 위협 인텔리전스(Cyber Threat Intelligence, CTI)는 네트워크 자원의 지식 정보를 이용하는 네트워크 위협 탐지 시스템이다. CTI는 사이버 공개출처정보(Open Source Intelligence, OSINT)의 형태로 존재하는 IP 주소, 도메인 URL, 파일의 해시 값 등의 위협 자원에 대한 평판정보를 형성한다. CTI의 평판정보는 자원에 대한 선별적인 필터링을 통해 사이버 위협에 선제적으로 대응한다. CTI 시스템은 적은 비용으로 효율적인 사이버 위협 대응 능력을 제공하기 때문에 스카다(Supervisory Control And Data Acquisition, SCADA) 망 혹은 사물인터넷(Internet of Things, IoT) 환경 등에 적합하다. 이러한 CTI의 장점으로 인해 FireEye, McAfee, RSA, Symantec 등 해외 유명 보안 업체들은 자체 CTI 솔루션을 구축하고 있으며, 전 세계적으로 많은 수의 CTI 제품 및 공개 CTI 피드(Feed) 서비스가 운영되고 있다. 그러나 보고된 사이버 위협 정보들을 바탕으로 지식 정보 시스템을 구축하는 CTI의 특성상, CTI 시스템 구축을 위해 보고되는 데이터들에 대한 검증 논의가 필수적으로 요구된다. 평판정보를 형성하는 데에 사용되는 위협 탐지 데이터에 대한 검증이 불충분한 경우, 공격자는 특정 대상의 평판정보를 강제로 떨어뜨림으로써 해당 사용자에 대한 공격을 수행할 수 있다. CTI 사용자의 입장에서도 CTI 피드가 제공하는 평판정보들을 무분별하게 수용할 경우 문제가 발생하게 된다. 성능 역량을 고려하지 않은 높은 수준의 보안 기준을 선택하게 됨으로써 클라이언트들에게 제공하는 서비스의 가용성에 피해를 줄 수 있다. 본 논문에서는 위 문제점들을 극복하기 위해 CTI 피드에서 제공되는 CTI 데이터들에 대한 교차검증을 통해 CTI 피드의 신뢰도를 산출하고, 개별 CTI 데이터들의 신뢰도와 위험도를 정량적 지표로 도출하는 방법을 제안한다. 제안된 CTI 및 평판정보의 신뢰도 및 위험도 도출 방안은 CTI 서비스를 사용함에 있어 사용자가 대상 서비스에 적절한 보안 수준을 선택적으로 적용할 수 있도록 하는 기준으로 사용될 수 있다. 또한 CTI 데이터의 신뢰도와 위험도는 평판정보가 무분별하게 사용됨으로써 가용성에 피해를 주는 문제를 예방할 수 있으며, CTI 간 교차검증을 통한 데이터 신뢰도 검증은 평판정보의 정확성을 향상시키는 지표로 활용될 수 있다. 본 연구는 통용되는 네 개의 공개 CTI 피드에서 약 만 개의 네트워크 자원에 대한 CTI 데이터의 신뢰도 및 위험도 산출 실험과 CTI 피드의 신뢰도 교차검증 실험 결과를 CTI 데이터 분석에 대한 근거로 제시한다.
더보기Cyber Threat Intelligence (CTI) is a network threat detection system that utilizes the knowledge information of network resources. The CTI forms reputation information for threat resources such as IP, domain URLs, and hash values of files that exist in the form of Open Source Intelligence (OSINT). CTI's reputation information is preemptive against cyber threats through selective filtering of resources. CTI systems are ideal for such things as SCADA networks or Internet of Things environments because they provide effective cyber threat response at a lower cost. Because of the benefits of this CTI, famous overseas security firms such as FireEye, McAfee, RSA, Symantec have their own CTI solutions and a large number of CTI products and feeds are available worldwide. However, due to the nature of CTI's deployment of knowledge information systems based on the reported cyber threat information, a discussion of the reported data is required to build the CTI system. If the threat detection data used to form reputation information is poorly validated, an attacker can perform an attack on that user by forcing the reputation information of a particular target down. For CTI users, too, the indiscriminate acceptance of reputation information provided by CTI feeds presents a problem. Selecting a high level of security criteria without regard to performance capabilities can damage the availability of services provided to clients. In this paper, the cross-validation of CTI data available from the CTI feed to calculate the reliability of CTI feeds, and the reliability of the individual CTI data in quantitative indicators. The proposed model to derive the reliability and risk of the reputation information is a criterion that enables the user to selectively apply the appropriate level of security to the targeted service when using the CTI service. The reliability and risk of CTI data can also be prevented from harming availability by the indiscriminate use of reputation information, and the verification of reputation accuracy via cross-validation verification of CTI data can be made. The research presents the results of the reliability and risk calculation experiment of CTI data for approximately 10,000 network resources and the CTI data for cross-validation of CTI feeds from the four commonly available public CTI feeds.
더보기서지정보 내보내기(Export)
닫기소장기관 정보
닫기권호소장정보
닫기오류접수
닫기오류 접수 확인
닫기음성서비스 신청
닫기음성서비스 신청 확인
닫기이용약관
닫기학술연구정보서비스 이용약관 (2017년 1월 1일 ~ 현재 적용)
학술연구정보서비스(이하 RISS)는 정보주체의 자유와 권리 보호를 위해 「개인정보 보호법」 및 관계 법령이 정한 바를 준수하여, 적법하게 개인정보를 처리하고 안전하게 관리하고 있습니다. 이에 「개인정보 보호법」 제30조에 따라 정보주체에게 개인정보 처리에 관한 절차 및 기준을 안내하고, 이와 관련한 고충을 신속하고 원활하게 처리할 수 있도록 하기 위하여 다음과 같이 개인정보 처리방침을 수립·공개합니다.
주요 개인정보 처리 표시(라벨링)
목 차
3년
또는 회원탈퇴시까지5년
(「전자상거래 등에서의 소비자보호에 관한3년
(「전자상거래 등에서의 소비자보호에 관한2년
이상(개인정보보호위원회 : 개인정보의 안전성 확보조치 기준)개인정보파일의 명칭 | 운영근거 / 처리목적 | 개인정보파일에 기록되는 개인정보의 항목 | 보유기간 | |
---|---|---|---|---|
학술연구정보서비스 이용자 가입정보 파일 | 한국교육학술정보원법 | 필수 | ID, 비밀번호, 성명, 생년월일, 신분(직업구분), 이메일, 소속분야, 웹진메일 수신동의 여부 | 3년 또는 탈퇴시 |
선택 | 소속기관명, 소속도서관명, 학과/부서명, 학번/직원번호, 휴대전화, 주소 |
구분 | 담당자 | 연락처 |
---|---|---|
KERIS 개인정보 보호책임자 | 정보보호본부 김태우 | - 이메일 : lsy@keris.or.kr - 전화번호 : 053-714-0439 - 팩스번호 : 053-714-0195 |
KERIS 개인정보 보호담당자 | 개인정보보호부 이상엽 | |
RISS 개인정보 보호책임자 | 대학학술본부 장금연 | - 이메일 : giltizen@keris.or.kr - 전화번호 : 053-714-0149 - 팩스번호 : 053-714-0194 |
RISS 개인정보 보호담당자 | 학술진흥부 길원진 |
자동로그아웃 안내
닫기인증오류 안내
닫기귀하께서는 휴면계정 전환 후 1년동안 회원정보 수집 및 이용에 대한
재동의를 하지 않으신 관계로 개인정보가 삭제되었습니다.
(참조 : RISS 이용약관 및 개인정보처리방침)
신규회원으로 가입하여 이용 부탁 드리며, 추가 문의는 고객센터로 연락 바랍니다.
- 기존 아이디 재사용 불가
휴면계정 안내
RISS는 [표준개인정보 보호지침]에 따라 2년을 주기로 개인정보 수집·이용에 관하여 (재)동의를 받고 있으며, (재)동의를 하지 않을 경우, 휴면계정으로 전환됩니다.
(※ 휴면계정은 원문이용 및 복사/대출 서비스를 이용할 수 없습니다.)
휴면계정으로 전환된 후 1년간 회원정보 수집·이용에 대한 재동의를 하지 않을 경우, RISS에서 자동탈퇴 및 개인정보가 삭제처리 됩니다.
고객센터 1599-3122
ARS번호+1번(회원가입 및 정보수정)