DOI QR코드

DOI QR Code

Classification of Security Checklist Items based on Machine Learning to Manage Security Checklists Efficiently

보안 점검 목록을 효율적으로 관리하기 위한 머신러닝 기반의 보안 점검 항목 분류

  • 박현경 (공주대학교 인공지능학과) ;
  • 안효범 (공주대학교 인공지능학과)
  • Received : 2022.09.20
  • Accepted : 2022.12.16
  • Published : 2022.12.31

Abstract

NIST in the United States has developed SCAP, a protocol that enables automated inspection and management of security vulnerability using existing standards such as CVE and CPE. SCAP operates by creating a checklist using the XCCDF and OVAL languages and running the prepared checklist with the SCAP tool such as the SCAP Workbench made by OpenSCAP to return the check result. SCAP checklist files for various operating systems are shared through the NCP community, and the checklist files include ID, title, description, and inspection method for each item. However, since the inspection items are simply listed in the order in which they are written, so it is necessary to classify and manage the items by type so that the security manager can systematically manage them using the SCAP checklist file. In this study, we propose a method of extracting the description of each inspection item from the SCAP checklist file written in OVAL language, classifying the categories through a machine learning model, and outputting the SCAP check results for each classified item.

미국의 NIST에서는 CVE나 CPE와 같은 기존의 취약점 관련 표준을 이용하여 보안 취약성 점검 및 관리를 자동화할 수 있도록 하는 프로토콜인 SCAP을 개발했다. SCAP은 XCCDF 및 OVAL 언어를 이용하여 점검파일을 작성하고 작성한 점검 파일을 OpenSCAP에서 만든 SCAP Workbench와 같은 SCAP 도구로 실행하면 점검 결과를 반환하는 식으로 동작한다. 다양한 운영체제에 대한 SCAP 점검 파일이 NCP 커뮤니티를 통해 공유되고 있으며 점검 파일에는 점검 항목별로 아이디, 제목, 설명, 점검 방법 등이 작성되어 있다. 하지만 점검항목은 단순히 작성한 순서대로 나열되어 있어 보안 관리자가 SCAP 점검 파일을 이용하여 체계적으로 관리할 수 있도록 점검 항목을 유형별로 분류하여 관리할 필요가 있다. 본 연구에서는 OVAL 언어로 작성된 SCAP 점검 파일에서 각 점검 항목에 대한 설명이 작성된 부분을 추출하여 머신러닝 모델을 통해 카테고리를 분류하고, SCAP 점검 결과를 분류한 점검 항목별로 출력하는 방법을 제안한다.

Keywords

References

  1. CVE Details(2012), https://www.cvedetails.com (accessed Aug., 29, 2022).
  2. G. Huang, Y. Li, Q. Wang, J. Ren, Y. Cheng and X, Zhao, "Automatic Classification Method for Software Vulnerability Based on Deep Neural Network," IEEE Access, Vol. 7, Mar. 2019.
  3. NIST, "The Technical Specification for the Security Content Automation Protocol(SCAP): SCAP Version 1.3," NIST Special Publication 800-126, Revision 3, Feb. 2018.
  4. 지윤석, 이용석, 윤덕중, 신용태, "美 NIST 보안성자동평가프로토콜(SCAP)분석을 통한 공공기관의 정보보안관리실태 평가제도 개선방안 연구," Journal of Information Technology Applications & Management, 제26권, 제4호, 31-39쪽, 2019년 8월
  5. D. Gonzalez, H. Hastings and M. Mirakhorli, "Automated Characterization of Software Vulnerabilities," 2019 IEEE International Conference on Software Maintenance and Evolution (ICSME), pp. 135-139, Sep. 2019.
  6. V. Yosifova, A. Tasheva and R. Trifonov, "Predicting Vulnerability Type in Common Vulnerabilities and Exposures (CVE) Database with Machine Learning Classifiers," 2021 12th National Conference with International Participation (ELECTRONICA), pp. 1-6, May 2021.
  7. 김세은, 박현경, 안효범, "국내 보안평가체제에 SCAP을 활용하기 위한 OVAL 정의 분류 연구," 스마트미디어저널, 제11권, 제3호, 54-61쪽, 2022년 4월
  8. 박현경, 안효범, "머신러닝 기법을 이용한 보안 점검 항목 유형 분류에 관한 연구," Conference on Information Security and Cryptography-Summer 2022(CISC-S'22), Vol. 32, No. 1, pp. 249-252, Jun. 2022.
  9. NIST, "Security and Privacy Controls for Information Systems and Organizations," NIST Special Publication 800-53, Revision 5, Sep. 2020.
  10. G. Singh, B. Kumar, L. Gaur and A. Tyagi, "Comparison between Multinomial and Bernoulli Naive Bayes for Text Classification," 2019 International Conference on Automation, Computational and Technology Management (ICACTM), Apr. 2019.
  11. A. Bouaziz, C. Dartigues-Pallez, C. C. Pereira, F. Precioso and P. Lloret, "Short Text Classification Using Semantic Random Forest," International Conference on Data Warehousing and Knowledge Discovery, pp. 288-299, Sep. 2014.
  12. NIST, "Specification for the Extensible Configuration Checklist Description Format (XCCDF) Version 1.2," NIST Interagency Report 7275, Revision 4, Mar. 2012.