사이버 위협 정보 기반 공격 연관성 분석 및 유사 공격 탐지 방법 = Attack Correlation Analysis and Similar Attack Detection method Based on Cyber Threat Information
저자
발행사항
대전 : 을지대학교 대학원, 2021
학위논문사항
학위논문(석사)-- 을지대학교 대학원 : 의료IT마케팅학과 의료IT마케팅학 2021. 8
발행연도
2021
작성언어
한국어
주제어
발행국(도시)
대전
형태사항
ⅸ, 107 p. ; 26 cm
일반주기명
지도교수: 정용규
UCI식별코드
I804:25018-200000501381
소장기관
디지털 사회를 살아가고 있는 현재 우리는 인터넷을 통한 다양한 서비스를 누리고 있다. 이러한 인터넷 서비스는 우리의 삶은 편하고 윤택하게 만들지만 사이버 공격이라는 이면을 가지고 있다. 우리는 지금까지 다양한 사이버 공격 속에서 살아가고 있으며 사이버 공격은 사회적, 경제적 피해를 일으키고 있다. 이런 사이버 공격은 최근 급증하고 있으며 현재 사이버 보안 기술을 우회하여 공격하고 있다. 이를 극복하기 위해 사이버 보안 전문가가 수동으로 대응하고 있지만 오랜 분석 시간과 분석 인력의 부족으로 한계에 직면해있다.
본 논문에서는 사이버 보안 전문가가 신속한 상환 판단과 의사 결정을 내릴 수 있는 정보를 제공하는 사이버 위협 인텔리전스에 대해 연구하고자 한다. 이를 위해서 사이버 공격에 사용된 악성 아이피, 악성 도메인 및 URL, 악성코드 등의 악성 인터넷 자원을 수집하는 방법을 연구한다. 또한, 수집된 악성 인터넷 자원의 등록정보 및 소유자 정보와 연관된 악성 의심 인터넷 정보를 재귀적으로 수집한다. 수집된 정보들을 이용하여 각각의 정보가 상호 연관이 있는지 또는 연결 관계가 존재하는지 그래프 기반으로 분석한다. 이렇게 분석된 정보 중 서로 연관된 정보들을 하나의 그룹으로 관리하며 새로운 사이버 공격으로 정의한다. 이렇게 새로 구성된 사이버 공격을 비교 분석하여 사이버 공격 간 연관성이 존재하는지 확인하고 유사성을 보이거나 연관성을 보이는 사이버 공격을 유사/변종 사이버 공격으로 정의하고 관리한다. 또한, 이들 유사/변종 사이버 공격을 대표하는 특성을 추출하고 이를 이용하여 현재 사이버 공격으로 의심되는 정보들을 입력하여 과거의 사이버 공격과 연관성을 보이는지 확인한다. 이때 연관성을 보이는 정보들을 사이버 보안 전문가에게 제공한다. 또한, 제공한 정보와 연관된 악성 인터넷 정보 및 이와 유사한 인터넷 자원정보를 제공한다. 사이버 보안 전문가는 제공된 정보를 기반으로 해당 정보를 분석하거나 차단하여 사이버 공격이 발생하기 전 사전에 대응 할 수 있도록 사이버 위협 인텔리전스를 제공하는 것이 본 연구의 핵심이다.
본 연구를 통해 2019년 4월부터 2020년 9월까지 약 18개월 동안 국내외 사이버 공격에 사용된 악성 아이피, 악성 도메인, 악성코드 등의 악성 인터넷 자원정보와 과거 악성 이력 총 2,161,308건을 수집하였다. 이들 정보를 이용하여 유사/변종 사이버 공격그룹 38건을 탐지하였다. 또한, 연구 결과를 실제 인터넷 환경에서의 적용한 결과 2건의 변종 사이버 공격을 탐지하였다. 그러나 본 연구에 사용된 악성 인터넷 정보수집 서비스의 한계, 문서 형태의 사이버 공격 분석정보 수동 수집 등의 문제와 유사/변종 사이버 공격 탐지 방식의 한계점을 보였다. 추후 이러한 문제를 해결하기 위한 추가적인 연구가 필요하다.
Today, living in a digital society, we are enjoying various services via the Internet. These Internet services make our lives easier and more prosperous, but they have the back side of cyber attacks. We are living in various cyber attacks so far, and cyber attacks are causing social and economic damage. These cyber attacks are rapidly increasing in recent years, and they are attacking by bypassing the current cyber security technology. To overcome this, cyber security experts are manually responding, but they are facing limitations due to long analysis time and lack of analysis manpower.
In this paper, we intend to study cyber threat intelligence that provides information for cyber security experts to make quick decisions. Research on methods of collecting malicious Internet resources such as malicious IPs, malicious domains and URLs, and malwares used in cyber attacks. In addition, it continuously collects related information on the collected malicious Internet resources. Using the collected information, it analyzes whether each information is related to each other or whether there is a connection relationship based on a graph. Among the analyzed information, related information is managed as a group, and this is defined as a new cyber attack. By comparing and analyzing these newly constructed cyber attacks, it checks whether there is a correlation between cyber attacks, and defines and manages cyber attacks showing similarity or correlation as a variant cyber attack. In addition, it extracts characteristics representing these variants of cyber attacks, and uses them to input information suspected of being a current cyber attack to see if it shows a correlation with a past cyber attack. Information with this connection is provided to cyber security experts. The core of this study is to provide cyber threat intelligence so that cyber security experts can recognize and respond quickly to cyber attacks based on the information provided.
Through this study, a total of 2,161,308 malicious Internet information used in cyber attacks for about 18 months from April 2019 to September 2020 was collected. And as a result of applying the research results in an actual Internet environment, two variants of cyber attacks were detected.
However, it showed the limitations of the information collection service and the limitations of the variant cyber attack detection method. Further research is needed to solve this problem in the future.
분석정보
서지정보 내보내기(Export)
닫기소장기관 정보
닫기권호소장정보
닫기오류접수
닫기오류 접수 확인
닫기음성서비스 신청
닫기음성서비스 신청 확인
닫기이용약관
닫기학술연구정보서비스 이용약관 (2017년 1월 1일 ~ 현재 적용)
학술연구정보서비스(이하 RISS)는 정보주체의 자유와 권리 보호를 위해 「개인정보 보호법」 및 관계 법령이 정한 바를 준수하여, 적법하게 개인정보를 처리하고 안전하게 관리하고 있습니다. 이에 「개인정보 보호법」 제30조에 따라 정보주체에게 개인정보 처리에 관한 절차 및 기준을 안내하고, 이와 관련한 고충을 신속하고 원활하게 처리할 수 있도록 하기 위하여 다음과 같이 개인정보 처리방침을 수립·공개합니다.
주요 개인정보 처리 표시(라벨링)
목 차
3년
또는 회원탈퇴시까지5년
(「전자상거래 등에서의 소비자보호에 관한3년
(「전자상거래 등에서의 소비자보호에 관한2년
이상(개인정보보호위원회 : 개인정보의 안전성 확보조치 기준)개인정보파일의 명칭 | 운영근거 / 처리목적 | 개인정보파일에 기록되는 개인정보의 항목 | 보유기간 | |
---|---|---|---|---|
학술연구정보서비스 이용자 가입정보 파일 | 한국교육학술정보원법 | 필수 | ID, 비밀번호, 성명, 생년월일, 신분(직업구분), 이메일, 소속분야, 웹진메일 수신동의 여부 | 3년 또는 탈퇴시 |
선택 | 소속기관명, 소속도서관명, 학과/부서명, 학번/직원번호, 휴대전화, 주소 |
구분 | 담당자 | 연락처 |
---|---|---|
KERIS 개인정보 보호책임자 | 정보보호본부 김태우 | - 이메일 : lsy@keris.or.kr - 전화번호 : 053-714-0439 - 팩스번호 : 053-714-0195 |
KERIS 개인정보 보호담당자 | 개인정보보호부 이상엽 | |
RISS 개인정보 보호책임자 | 대학학술본부 장금연 | - 이메일 : giltizen@keris.or.kr - 전화번호 : 053-714-0149 - 팩스번호 : 053-714-0194 |
RISS 개인정보 보호담당자 | 학술진흥부 길원진 |
자동로그아웃 안내
닫기인증오류 안내
닫기귀하께서는 휴면계정 전환 후 1년동안 회원정보 수집 및 이용에 대한
재동의를 하지 않으신 관계로 개인정보가 삭제되었습니다.
(참조 : RISS 이용약관 및 개인정보처리방침)
신규회원으로 가입하여 이용 부탁 드리며, 추가 문의는 고객센터로 연락 바랍니다.
- 기존 아이디 재사용 불가
휴면계정 안내
RISS는 [표준개인정보 보호지침]에 따라 2년을 주기로 개인정보 수집·이용에 관하여 (재)동의를 받고 있으며, (재)동의를 하지 않을 경우, 휴면계정으로 전환됩니다.
(※ 휴면계정은 원문이용 및 복사/대출 서비스를 이용할 수 없습니다.)
휴면계정으로 전환된 후 1년간 회원정보 수집·이용에 대한 재동의를 하지 않을 경우, RISS에서 자동탈퇴 및 개인정보가 삭제처리 됩니다.
고객센터 1599-3122
ARS번호+1번(회원가입 및 정보수정)