방어 자산의 가용성 상태를 활용한 강화학습 기반 APT 공격 대응 기법

Vol. 33, No. 6, pp. 1021-1031, 12월. 2023
10.13089/JKIISC.2023.33.6.1021, Full Text:
Keywords: Machine Learning, Reinforcement Learning, MITRE ATT&CK, CTI, Cyber Simulator
Abstract

국가 지원 사이버 공격은 사전에 계획된 목표를 달성하기 위하여 수행되기 때문에 그 파급력이 크다. 방어자 입장에서 이에 대응을 해야하지만 공격의 규모가 크고 알려지지 않은 취약점이 활용될 가능성도 있기 때문에 대응하기 어렵다. 또한 너무 과한 대응은 사용자의 업무의 가용성을 떨어뜨려서 업무에 지장이 생길 수 있다. 따라서 사용자의 가용성을 확보하면서도 효율적으로 공격을 방어할 수 있는 대응 정책이 필요하다. 본 논문에서는 이를 해결하기 위하여 실시간으로 방어 자산의 프로세스 수와 세션 수를 수집하여 학습에 활용하는 방법을 제안한다. 해당 방법을 활용하여 사이버 공격 시뮬레이터 상에서 강화학습 기반 정책을 학습한 결과, 두 가지 공격자 모델에 대하여 100 time-steps 기준 공격 지속 시간은 각 27.9 time-steps, 3.1 time-steps만큼 감소시켰으며 또한 방어 과정에서 사용자의 가용성을 저해시키는 “복원”행위의 횟수도 감소하여 종합적으로 더 좋은 성능의 정책을 도출할 수 있었다.

Statistics
Show / Hide Statistics

Statistics (Cumulative Counts from December 1st, 2017)
Multiple requests among the same browser session are counted as one view.
If you mouse over a chart, the values of data points will be shown.


Cite this article
[IEEE Style]
김형록 and 최창희, "Reinforcement Learning-Based APT Attack Response Technique Utilizing the Availability Status of Assets," Journal of The Korea Institute of Information Security and Cryptology, vol. 33, no. 6, pp. 1021-1031, 2023. DOI: 10.13089/JKIISC.2023.33.6.1021.

[ACM Style]
김형록 and 최창희. 2023. Reinforcement Learning-Based APT Attack Response Technique Utilizing the Availability Status of Assets. Journal of The Korea Institute of Information Security and Cryptology, 33, 6, (2023), 1021-1031. DOI: 10.13089/JKIISC.2023.33.6.1021.