ATT&CK 기반 공격체인 구성을 통한 APT 공격탐지 시스템 구현

Vol. 32, No. 3, pp. 527-545, 6월. 2022
10.13089/JKIISC.2022.32.3.527, Full Text:
Keywords: APT, MITRE ATT&CK, TTPs, Attack Chain, Reconstruction
Abstract

본 연구에서는 조직화된 공격 주체가 수행하는 APT 공격을 효과적으로 탐지하기 위하여, 공격체인을 구성하여 공격을 탐지하는 시스템을 구축하였다. 공격체인 기반 APT 공격 탐지 시스템은 다양한 호스트 및 네트워크 모니터 ® 링 도구에서 생성하는 이벤트를 수집하고 저장하는 ‘이벤트 수집 및 저장부’, 이벤트로부터 MITRE ATT&CK 에 정의된 공격기술 수준의 단위공격을 탐지하는 ‘단위공격 탐지부’, 단위공격으로 생성된 이벤트로부터 Provenance Graph 기반의 인과관계 분석을 수행하여 공격체인을 구성하는 ‘공격체인 구성부’로 구성하였다. 시스템을 검증하기 위하여 테스트베드를 구축하고 MITRE ATT&CK Evaluation 프로그램에서 제공하는 모의공격 시나리오를 수행 하였다. 실험 결과 모의공격 시나리오에 대해 공격체인이 효과적으로 구성되는 것을 확인하였다. 본 연구에서 구현 한 시스템을 이용하면, 공격을 단편적인 부분으로 이해하기보다 공격의 진행 흐름 관점에서 이해하고 대응할 수 있 을 것이다.

Statistics
Show / Hide Statistics

Statistics (Cumulative Counts from December 1st, 2017)
Multiple requests among the same browser session are counted as one view.
If you mouse over a chart, the values of data points will be shown.


Cite this article
[IEEE Style]
조성영, 박용우, 이경식, "ATT&CK 기반 공격체인 구성을 통한 APT 공격탐지 시스템 구현," Journal of The Korea Institute of Information Security and Cryptology, vol. 32, no. 3, pp. 527-545, 2022. DOI: 10.13089/JKIISC.2022.32.3.527.

[ACM Style]
조성영, 박용우, and 이경식. 2022. ATT&CK 기반 공격체인 구성을 통한 APT 공격탐지 시스템 구현. Journal of The Korea Institute of Information Security and Cryptology, 32, 3, (2022), 527-545. DOI: 10.13089/JKIISC.2022.32.3.527.