The Journal of the Korea Contents Association (한국콘텐츠학회논문지)

The Korea Contents Association (한국콘텐츠학회)
권호 표지
DOI QR코드

DOI QR Code

A Practical Effectiveness Analysis on Alert Verification Method Based on Vulnerability Inspection

취약점 점검을 활용한 보안이벤트 검증 방법의 실증적 효과분석

  • Received : 2014.09.02
  • Accepted : 2014.09.16
  • Published : 2014.11.28
Download PDF
⟨ Previous Next ⟩

Abstract

Cyber threats on the Internet are tremendously increasing and their techniques are also evolving constantly. Intrusion Detection System (IDS) is one of the powerful solutions for detecting and analyzing the cyber attacks in realtime. Most organizations deploy it into their networks and operate it for security monitoring and response service. However, IDS has a fatal problem in that it raises a large number of alerts and most of them are false positives. In order to cope with this problem, many approaches have been proposed for the purpose of automatically identifying whether the IDS alerts are caused by real attacks or not. In this paper, we present an alert verification method based on correlation analysis between vulnerability inspection results for real systems that should be protected and the IDS alerts. In addition, we carry out practical experiments to demonstrate the effectiveness of the proposed verification method using two types of real data, i.e., the IDS alerts and the vulnerability inspection results.

인터넷상에서 발생하는 사이버위협이 폭발적으로 증가하고 있으며 해킹 기술 또한 지속적으로 진화함에 따라 이에 대응하기 위한 다양한 보안기술 및 시스템에 대한 연구가 진행되고 있다. 특히, 침입탐지시스템(Intrusion Detection System : IDS)은 사이버 공격에 대한 실시간 탐지 및 분석을 수행하기 위한 솔루션으로 대부분의 기관에서 구축 운용하고 있다. 하지만, IDS가 탐지하는 보안이벤트 수가 기하급수적으로 증가하고 있고 이들 대부분이 오탐(정상 통신을 공격으로 잘못 탐지)이기 때문에 모든 보안이벤트를 관제요원이 실시간으로 분석하기 힘들다는 문제점이 있다. 이에 IDS가 탐지한 대용량 보안이벤트를 실시간으로 분석하여 실제 해킹공격의 발생여부를 자동으로 검증하기 위한 연구가 주목을 받고 있다. 본 논문에서는 보호대상 정보시스템에 대한 취약점 점검결과와 대용량 보안이벤트와의 상관분석을 통해 실제 해킹공격의 발생여부를 자동으로 검증하기 위한 방법론을 제시한다. 또한, 실제 보안업무 현장에서 수집된 보안이벤트 정보와 취약점 점검결과를 활용하여 제안 방법론의 유효성을 도출하기 위한 실증적 실험을 수행한다.

Keywords

References

  1. 이문구, "사이버 국방 보안에 대한 연구", 한국콘텐츠학회논문지, 제11권, 제3호, pp.18-22, 2013(12).
  2. 조호대, 신동일, "공공 및 민간부문의 사이버침해사고 현황분석에 따른 대응방안", 한국콘텐츠학회논문지, 제9권, 제1호, pp.331-338, 2009(1). https://doi.org/10.5392/JKCA.2009.9.1.331
  3. Safaa O. Al-Mamory, "A Survey on IDS Alerts Processing Techniques," 6th WSEAS International Conference on Information Security and Privacy, Tenerife, Spain, 2007.
  4. T. Heyman, Bart De Win, C. Huygens, W. Joosen, "Improving Intrusion Detection through Alert Verification," WOSIS, INSTICC Press, pp.207-216, 2006.
  5. 김규일, 박학수, 최지연, 고상준, 송중석, "보안관제 효율성 제고를 위한 실증적 분석 기반 보안이벤트 자동검증 방법", 한국정보보호학회논문지, 제24권, 제3호, pp.507-522, 2014(6). https://doi.org/10.13089/JKIISC.2014.24.3.507
  6. K. Kim, S. Ko, S. Choi, and J. Song, "An Auto-verification Framework of IDS Alerts Based on Static and Dynamic Analysis", Proc. of the International Conference on Intelligent Information System and Technology(ICIIST'14), pp.65-68, 2014(6).
  7. C. Kruegel, W. Robertson, "Alert verification: determining the success of intrusion attempts," DIMVA 2004, 2004(7).
  8. Sungtaek Chun, "An Alert Verification Framework Based on Semi-automated Vulnerability Inspection," ICIF 2013, p.5, 2013.