Convergence Security Journal (융합보안논문지)

Korea convergence Security Association (한국융합보안학회)
권호 표지
DOI QR코드

DOI QR Code

MITRE ATT&CK and Anomaly detection based abnormal attack detection technology research

MITRE ATT&CK 및 Anomaly Detection 기반 이상 공격징후 탐지기술 연구

  • 황찬웅 (호서대학교 정보보호학과) ;
  • 배성호 (호서대학교 정보보호학과) ;
  • 이태진 (호서대학교 컴퓨터공학부)
  • Received : 2021.07.30
  • Accepted : 2021.09.15
  • Published : 2021.09.30
Download PDF
⟨ Previous Next ⟩

Abstract

The attacker's techniques and tools are becoming intelligent and sophisticated. Existing Anti-Virus cannot prevent security accident. So the security threats on the endpoint should also be considered. Recently, EDR security solutions to protect endpoints have emerged, but they focus on visibility. There is still a lack of detection and responsiveness. In this paper, we use real-world EDR event logs to aggregate knowledge-based MITRE ATT&CK and autoencoder-based anomaly detection techniques to detect anomalies in order to screen effective analysis and analysis targets from a security manager perspective. After that, detected anomaly attack signs show the security manager an alarm along with log information and can be connected to legacy systems. The experiment detected EDR event logs for 5 days, and verified them with hybrid analysis search. Therefore, it is expected to produce results on when, which IPs and processes is suspected based on the EDR event log and create a secure endpoint environment through measures on the suspicious IP/Process.

공격자의 무기가 점차 지능화 및 고도화되고 있어 기존 백신만으로는 보안 사고를 막을 수 없으므로 endpoint까지 보안 위협이 검토되고 있다. 최근 endpoint를 보호하기 위한 EDR 보안 솔루션이 등장했지만, 가시성에 중점을 두고 있으며, 이에 대한 탐지 및 대응 기술은 부족하다. 본 논문에서는 보안 관리자 관점에서 효과적인 분석과 분석 대상을 선별하기 위해 실 환경 EDR 이벤트 로그를 사용하여 지식 기반 MITRE ATT&CK 및 AutoEncoder 기반 Anomaly Detection 기술을 종합적으로 사용하여 이상 공격징후를 탐지한다. 이후, 탐지된 이상 공격징후는 보안 관리자에게 로그정보와 함께 alarm을 보여주며, 레거시 시스템과의 연계가 가능하다. 실험은 5일에 대한 EDR 이벤트 로그를 하루 단위로 탐지했으며, Hybrid Analysis 검색을 통해 이를 검증한다. 따라서, EDR 이벤트 로그 기반 언제, 어떤 IP에서, 어떤 프로세스가 얼마나 의심스러운지에 대한 결과를 산출하며, 산출된 의심 IP/Process에 대한 조치를 통해 안전한 endpoint 환경을 조성할 것으로 기대한다.

Keywords

Acknowledgement

본 연구는 2020년도 호서대학교의 재원으로 학술연구비 지원을 받아 수행되었습니다(2020-0419)

References

  1. 한국인터넷진흥원, "사이버 위협 동향 보고서(2020년 1분기)", pp. 1-104, 2020년 4월..
  2. 한국인터넷진흥원, "사이버 위협 동향 보고서(2020년 2분기)", pp. 1-124, 2020년 7월..
  3. 하우리, "악성코드분류별통계", https://www.hauri.co.kr/security/malicious_pop01.html, 2021년 3월..
  4. MITRE, "MITRE ATT&CK," https://www.attack.mitre.org Mar. 2021.
  5. Chandola, Varun, Arindam Banerjee, and Vipin Kumar, "Anomaly detection: A survey." ACM computing surveys (CSUR), Vol. 41, No. 3, pp. 1-58, 2009.
  6. Ahmed, Mohiuddin, Abdun Naser Mahmood, and Jiankun Hu, "A survey of network anomaly detection techniques." Journal of Network and Computer Applications, Vol. 60, pp. 19-31, 2016. https://doi.org/10.1016/j.jnca.2015.11.016
  7. Abdallah, Aisha, Mohd Aizaini Maarof, and Anazida Zainal, "Fraud detection system: A survey." Journal of Network and Computer Applications, Vol. 68, pp. 90-113, 2016. https://doi.org/10.1016/j.jnca.2016.04.007
  8. Chalapathy, Raghavendra, and Sanjay Chawla, "Deep learning for anomaly detection: A survey", arXiv preprint, arXiv:1901.03407, 2019.
  9. Jabez, Ja, and B. Muthukumar, "Intrusion detection system (IDS): anomaly detection using outlier detection approach", Procedia Computer Science, Vol. 48, pp. 338-346, 2015. https://doi.org/10.1016/j.procs.2015.04.191
  10. Bontemps, Loic, James McDermott, and Nhien-AnLe-Khac, "Collective anomaly detection based on long short-term memory recurrent neural networks", International Conference on Future Data and Security Engineering. Springer, Cham, 2016.
  11. Aljawarneh, Shadi, Monther Aldwairi, and Muneer Bani Yassein, "Anomaly-based intrusion detection system through feature selection analysis and building hybrid efficient model", Journal of Computational Science, Vol. 25, pp. 152-160, 2018. https://doi.org/10.1016/j.jocs.2017.03.006
  12. Cook, Andrew A., Goksel Misirli, and Zhong Fan, "Anomaly detection for IoT time-series data: A survey", IEEE Internet of Things Journal, Vol. 7, No. 7, pp. 6481-6494, 2019. https://doi.org/10.1109/jiot.2019.2958185
  13. DARKTRACE, "Enterprise Immune System," https://www.darktrace.com/ko/ Mar. 2021
  14. HYBRID ANALYSIS, "Hybrid-nalysis," https://www.hybrid-analysis.com/?lang=ko Mar. 2021.