The Journal of the Korea Contents Association (한국콘텐츠학회논문지)

The Korea Contents Association (한국콘텐츠학회)
권호 표지
DOI QR코드

DOI QR Code

The Composition and Analytical Classification of Cyber Incident based Hierarchical Cyber Observables

계층적 침해자원 기반의 침해사고 구성 및 유형분석

  • Received : 2016.09.07
  • Accepted : 2016.10.20
  • Published : 2016.11.28
Download PDF
⟨ Previous Next ⟩

Abstract

Cyber incident collected from cyber-threat-intelligence sharing Center is growing rapidly due to expanding malicious code. It is difficult for Incident analysts to extract and classify similar features due to Cyber Attacks. To solve these problems the existing Similarity Analysis Method is based on single or multiple cyber observable of similar incidents from Cyber Attacks data mining. This method reduce the workload for the analysis but still has a problem with enhancing the unreality caused by the provision of improper and ambiguous information. We propose a incident analysis model performed similarity analysis on the hierarchically classified cyber observable based on cyber incident that can enhance both availability by the provision of proper information. Appling specific cyber incident analysis model, we will develop a system which will actually perform and verify our suggested model.

최근 침해정보공유센터와 기업의 보안시스템으로 부터 수집되는 침해사고의 수는 악성코드의 확산으로 인해 기하급수적으로 증가하고 있다. 사이버 공격으로 인해 침해 사고가 발생했을 때 침해사고 분석가들은 대량의 침해사고 데이터를 분류 및 분석하는데 시간과 비용이 증가하는 문제점에 직면한다. 이에 대한 기존의 해결책으로 다중 연관분석을 통한 유사침해사고에 대한 정보를 제공하는 침해사고 분석시스템이 있으나 이는 분석가에게 분석할 침해사고의 수를 축소시켜 주는 효과가 있을 뿐 침해분석에 적합한 정보를 제공하지 못하고 있다. 그 근본적인 이유는 비현실적인 침해사고의 구성을 야기하는 침해자원 기준으로 침해사고를 분류하기 때문이다. 이를 해결하고자 본 논문에서는 침해사고를 기준으로 침해자원을 계층적으로 분류하고 유사도 분석을 수행하였다. 이 분석을 통하여 신규 침해사고가 발생하였을 때 유사한 침해사고 유형에 대한 정보를 침해사고 분석가에게 제시하는 침해사고 분석 모델을 제안하고 검증을 위하여 침해사고분석 모듈을 구현하였다. 제안 모델은 의미 있는 침해사고 구성과 유형 분류의 제공을 통해 실용성을 확대한다.

Keywords

References

  1. Kyle R. Maxwell, "Introduction to the Collective Intelligence Framework," Threat ThoughtsiLogs or it didn't happen, May 7, 2012.
  2. 이슬기, 조혜선, 김병익, 이태진, "침해사고 데이터 웨어하우스 구축을 위한 단일 침해자원 관리 방안 연구," 한국통신학회 동계종합학술발표회, 제59권, pp.957-958, 2016.
  3. Joseph C. Magee, Alison M. Andrews, Mark W. Nicholson, Jonathon Lance James, Henry C. Li, Christopher L. Stevenson, and Joel Lathrop, COLLECTIVE THREAT INTELLIGENCE GATHERING SYSTEM. US Patent 8,813,228B2, Aug. 19, 2014.
  4. B. Obama, "Taking the Cyberattack Threat Seriously," Wall Street Journal, July 19, 2012.
  5. N. Kamini and B. B. Mehsram, "Evaluation of K-Means Clustering for Effective Intrusion Detection and Prevention in Massive Network Traffic Data," International Journal of Computer Applications, Vol.96, No.7, pp.9-14, June. 2014. https://doi.org/10.5120/16804-6526
  6. P. C. Paul, Automated Defense Using Threat Intelligence to Augment Security, SANS Institute InfoSec Reading Room, January 15 2015.
  7. S. Barnum, "Standardizing Cyber Threat Intelligence Information with the Structured Threat Information eXpression (STIXTM)," 20 February 2014.
  8. 김민준, 김귀남, "데이터 마이닝 기반 보안관제 시스템," 융합보안논문지, 제11권, 제6호, pp.3-8, 2011.
  9. 최종욱, 김인기, 유지연, 조주원, "APT 공격에 대한 E-DRM 기반의 효율적 대응방안," 한국지역정보화학회지, 제15권, 제3호, pp.29-54, 2012.
  10. Y. Tarun and Arvind M. Rao, "Technical Aspects of Cyber Kill Chain," Defence Research and Development Organisation, INDIA, June 2016.
  11. 천성택, 김희석, 임광혁, 김규일, 서창호, "악성코드 유사도 측정 기법의 성능 평가 모델 개발," 한국콘텐츠학회논문지, 제14권, 제10호, pp.32-40, 2014. https://doi.org/10.5392/JKCA.2014.14.10.032