계층적 침해자원 기반의 침해사고 구성 및 유형분석

Abstract

최근 침해정보공유센터와 기업의 보안시스템으로 부터 수집되는 침해사고의 수는 악성코드의 확산으로 인해 기하급수적으로 증가하고 있다. 사이버 공격으로 인해 침해 사고가 발생했을 때 침해사고 분석가들은 대량의 침해사고 데이터를 분류 및 분석하는데 시간과 비용이 증가하는 문제점에 직면한다. 이에 대한 기존의 해결책으로 다중 연관분석을 통한 유사침해사고에 대한 정보를 제공하는 침해사고 분석시스템이 있으나 이는 분석가에게 분석할 침해사고의 수를 축소시켜 주는 효과가 있을 뿐 침해분석에 적합한 정보를 제공하지 못하고 있다. 그 근본적인 이유는 비현실적인 침해사고의 구성을 야기하는 침해자원 기준으로 침해사고를 분류하기 때문이다. 이를 해결하고자 본 논문에서는 침해사고를 기준으로 침해자원을 계층적으로 분류하고 유사도 분석을 수행하였다. 이 분석을 통하여 신규 침해사고가 발생하였을 때 유사한 침해사고 유형에 대한 정보를 침해사고 분석가에게 제시하는 침해사고 분석 모델을 제안하고 검증을 위하여 침해사고분석 모듈을 구현하였다. 제안 모델은 의미 있는 침해사고 구성과 유형 분류의 제공을 통해 실용성을 확대한다. Cyber incident collected from cyber-threat-intelligence sharing Center is growing rapidly due to expanding malicious code. It is difficult for Incident analysts to extract and classify similar features due to Cyber Attacks. To solve these problems the existing Similarity Analysis Method is based on single or multiple cyber observable of similar incidents from Cyber Attacks data mining. This method reduce the workload for the analysis but still has a problem with enhancing the unreality caused by the provision of improper and ambiguous information. We propose a incident analysis model performed similarity analysis on the hierarchically classified cyber observable based on cyber incident that can enhance both availability by the provision of proper information. Appling specific cyber incident analysis model, we will develop a system which will actually perform and verify our suggested model.