KR101893253B1 - 네트워크 도달 가능성 기반의 자동화된 침투 경로 예측 장치 및 방법 - Google Patents
네트워크 도달 가능성 기반의 자동화된 침투 경로 예측 장치 및 방법 Download PDFInfo
- Publication number
- KR101893253B1 KR101893253B1 KR1020160089239A KR20160089239A KR101893253B1 KR 101893253 B1 KR101893253 B1 KR 101893253B1 KR 1020160089239 A KR1020160089239 A KR 1020160089239A KR 20160089239 A KR20160089239 A KR 20160089239A KR 101893253 B1 KR101893253 B1 KR 101893253B1
- Authority
- KR
- South Korea
- Prior art keywords
- vulnerability
- network
- information
- attack
- nodes
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
본 발명은 네트워크 기술에 관한 것으로서, 더 상세하게는 복잡한 네트워크 연결 및/또는 다수의 취약점을 갖는 네트워크 환경에서 네트워크 관리자를 위해 네트워크 시스템의 취약점을 분석하고 외부 또는 내부로부터의 정량적 평가에 의해 공격 그래프를 제시하고 공격 그래프로부터 최적의 침투 경로를 제시하기 위한 침투 경로 예측 장치 및 방법에 대한 것이다.
Description
본 발명은 네트워크 기술에 관한 것으로서, 더 상세하게는 복잡한 네트워크 연결 및/또는 다수의 취약점을 갖는 네트워크 환경에서 네트워크 관리자를 위해 네트워크 시스템의 취약점을 분석하고 외부 또는 내부로부터의 정량적 평가에 의해 공격 그래프를 제시하고 공격 그래프로부터 최적의 침투 경로를 제시하기 위한 침투 경로 예측 장치 및 방법에 대한 것이다.
최근 사이버 공격이 증가함에 따라 기업 및 각 기관에서는 사이버 공격을 대비하고 기업/기관의 정보자산을 지키기 위해 다양한 보안 시스템을 설치 및 운영하며 해킹 등과 같은 사이버 공격에 안전한 네트워크를 구성하기 위해 노력하고 있다.
하지만, 지속적으로 발전하는 사이버 공격 앞에서 보안 전문가들도 기업/기관의 네트워크가 안전한지 확신하지 못하고 있고 기하급수적으로 늘어가는 최신의 취약점들을 모두 파악하지 못하고 있다. 기업/기관의 내/외부에서 어떤 취약점 및/또는 경로를 통해 사이버 공격이 일어날 수 있는지 확신하시 못하고 있다.
공격 그래프(Attack Graph)는 이러한 문제점을 해결하기 위해 기업/기관의 네트워크 환경 및/또는 취약점을 분석하여 공격자가 네트워크상에서 어떤 루트로 기업/기관의 핵심 정보자산에 도달할 수 있는지에 대한 공격 패스를 보여주기 위한 기법이다. 이를 통해서, 기업/기관의 네트워크 관리자는 사이버 공격을 방어하기 위해 네트워크상의 어떤 부분에 우선적으로 집중해야 하는지 확인할 수 있다.
지금까지 공격 그래프는 모든 취약점과 기업/기관의 네트워크 구성 자체만을 가지고 공격 그래프를 보여줘 왔다. 하지만, 실제 환경에서 모든 취약점이 동일한 위험을 가지는 것도 아니고 단순히 네트워크 구성이 실제 공격 가능한 네트워크 통신을 보여주는 것도 아니다.
네트워크 관리자는 라우터 및/또는 방화벽 등을 통해서 접근 가능한 네트워크를 제한하고 있다. 기존의 기법은 이러한 라우터 정보를 활용하고 있지 못하다. 또한 모든 취약점을 기반으로 하기 때문에 네트워크 구조가 조금만 커져도 네트워크 복잡성으로 인해 제대로 된 공격 그래프 및/또는 공격 패스를 제시하지 못하고 있다.
1. 고플린, "트래픽 자기 유사성(Self-similarity)에 기반한 SCADA 시스템 환경에서의 침입탐지방법론"학위논문(박사) KAIST 2015년 전기및전자공학과
2. 김지홍외, "시스템취약점분석을통한침투경로예측자동화기법"정보보호학회논문지 제22권 제5호 (2012년 10월) pp.1079-1090(본 기술과의 차이점을 간단히 기술하여 주시기 바랍니다)
해당 논문은 시스템 취약점 분석을 위한 침투경로 예측 기법을 제시하고 있다. 해당 논문과 제시하는 기술의 차이점은 크게 취약점 분석을 위한 점수부여 기법 및 계산수식과 공격 그래프를 위한 네트워크 구조에서 차이점을 가지고 있다. 해당 논문에서는 침투경로 예측을 위하여 취약점에 대한 점수부여, 사용자 운영체제 점수부여, 사용자 인증절차에 따른 점수부여 기법을 적용하였다. 하지만, 사이버 공격은 사용자 운영체제 및 인증절차 보다는 취약점 및 해당 취약점에 대한 익스플로잇의 효과성이 더 중요하다. 따라서 제시하는 기술은 취약점 분석을 위한 점수 부여와 익스플로잇의 점수부여 기법 및 그 계산수식을 제시하고 있다.
또한, 해당 논문은 침투경로 예측을 위해 호스트(서버, 단말 등의 장비)와 호스트 사이의 물리적 연결을 기반으로 하는 네트워크 구조를 그대로 따라간다. 하지만, 공격자 입장에서 네트워크의 물리적 연결 구조 자체보다 통신 패킷들의 네트워크 도달이 중요하다. 즉, 네트워크를 통한 호스트(서버, 단말 등의 장비)에 대한 접근 가능성이 중요하다. 따라서 제시하는 기술은 네트워크 도달에 기반을 둔 서브넷 기반의 사이버 침투경로를 제시하고 있다.
본 발명은 위 배경기술에 따른 문제점을 해소하기 위해 제안된 것으로서, 실제 네트워크 통신이 가능한 네트워크 도달 가능성(network reachability)과 취약점의 실질적인 위험도를 기반으로 공격 그래프 및/또는 최적의 공격 패스를 제시하여 네트워크 관리자가 사이버 공격으로 네트워크를 최적의 상태로 관리할 수 있도록 하는 침투 경로 예측 장치 및 방법을 제공하는데 그 목적이 있다.
본 발명은 위에서 제시된 과제를 달성하기 위해, 공격 그래프 및/또는 최적의 공격 패스를 제시하여 네트워크 관리자가 사이버 공격에 대하여 네트워크를 최적의 상태로 관리할 수 있도록 하는 침투 경로 예측 장치를 제공한다.
상기 침투 경로 예측 장치는,
서브넷 구조 기반의 네트워크 도달 가능성을 갖는 네트워크 정보, 미리 분석된 네트워크의 취약점 정보 및 미리 설정되는 익스플로잇 정보(부연 설명을 부탁드립니다)를 수집하는 정보 수집부;
부연설명
시스템의 취약점을 공격하기 위해서는 익스플로잇이라는 공격 코드가 필요하다. 익스플로잇 정보는 연관 취약점 정보(CVE 번호), 목표 시스템 운영체계(OS정보), 공격 성공후 획득 권한, 익스플로잇 활용도 지수, 등을 포함한다.
네트워크 관리자는 모의 침투 도구 및 블랙마켓 등에서 다양한 익스플로잇 정보를 획득할 수 있다.
상기 취약점 정보 및 익스플로잇 정보를 정량화하여 위험도 레벨을 산출하는 정량화부;
상기 네트워크 도달 가능성 및 상기 위험도 레벨을 이용하여 최종 취약점을 분석하는 취약점 분석부; 및
상기 최종 취약점을 이용하여 공격 그래프를 생성하는 그래프 생성부;를 포함할 수 있다.
또한, 상기 공격 그래프는 상기 서브넷 구조 기반의 그래프 정보, 취약점 정보 및 위험도 레벨을 이용하여 표현되는 것을 특징으로 할 수 있다.
또한, 상기 공격 그래프는 상기 네트워크 도달 가능성 및 상기 취약점 정보에 기반하여 다수의 엣지 및 노드로 표현되며, 상기 다수의 노드는 취약점 기반의 공격 그래프의 노드들이고, 상기 다수의 엣지는 상기 다수의 노드 중 두 노드 사이에 연결선으로 형성되는 것을 특징으로 할 수 있다.
또한, 상기 다수의 노드 각각은 IP(Internet Protocol) 및 서비스 포트별로 할당되고, 상기 서비스 포트는 미리 설정되는 위협 취약 서비스 목록에 포함되는 것을 특징으로 할 수 있다.
또한, 상기 두 노드가 속하는 서브넷들은 서로 통신이 가능한 위치에 있는 것을 특징으로 할 수 있다.
또한, 상기 연결선은 방향에 따라 다른 위험도 레벨을 갖는 것을 특징으로 할 수 있다.
또한, 상기 침투 경로 예측 장치는, 다이크스트라(Dijkstra) 알고리즘을 이용하여 상기 위험도 레벨이 적용된 공격 그래프 상에서 취약점의 위험도를 기반으로 공격 시작 단말과 최종 목표 단말의 입력에 따라 공격 경로를 찾는 공격 경로 분석부;를 더 포함하는 것을 특징으로 할 수 있다.
또한, 상기 위험도 레벨은 수학식 
(여기서, CVSS(Common Vulnerability Scoring System)는 NVD(National Vulnerability Database)에서 제시하는 취약점에 대한 위험도를 의미하고, EXP는 수집된 익스플로잇에 대한 활용성 지수이다)에 의해 산출되는 것을 특징으로 할 수 있다.
또한, 익스플로잇이 없을 경우나 잠재적인 공격 가능성을 분석하기 위해서는 α=1, β=0 으로 가중치를 주거나 실제 수집된 익스플로잇을 중심으로 공격 가능성을 분석하기 위해서 α=0, β=1 으로 가중치를 주는 것을 특징으로 할 수 있다.
다른 한편으로, 본 발명의 다른 일실시예는, 정보 수집부가 서브넷 구조 기반의 네트워크 도달 가능성을 갖는 네트워크 정보, 미리 분석된 네트워크의 취약점 정보 및 미리 설정되는 익스플로잇 정보를 수집하는 단계; 정량화부가 상기 취약점 정보 및 익스플로잇 정보를 정량화하여 위험도 레벨을 산출하는 단계; 취약점 분석부가 상기 네트워크 도달 가능성 및 상기 위험도 레벨을 이용하여 최종 취약점을 분석하는 단계; 및 그래프 생성부가 상기 최종 취약점을 이용하여 공격 그래프를 생성하는 단계;를 포함하는 것을 특징으로 하는 네트워크 도달 가능성 기반의 자동화된 침투 경로 예측 방법을 제공할 수 있다.
본 발명에 따르면, 보안에 비전문적인 네트워크 관리자도 기업/기관의 네트워크에 대한 모의 공격 그래프 테스트를 통해서 취약한 네트워크를 식별하고 우선 순위에 따라 네트워크 보안을 향상시킬 수 있는 정량적인 기준을 제시할 수 있다.
도 1은 본 발명의 일실시예에 따라 공격 그래프를 그리기 위해 기반이 되는 서브넷 기반의 네트워크 도달 가능성 그래프를 보여주고 있다.
도 2는 본 발명의 일실시예에 따라 취약점 및/또는 서브넷 기반의 도달 가능성을 바탕으로 실질적인 공격 그래프를 보여주고 있다.
도 3은 본 발명의 일실시예에 따른 네트워크 도달 가능성 기반의 자동화된 침투 경로 예측 장치(300)의 구성 블록도이다.
도 4는 본 발명의 일실시예에 따른 취약점의 위험도 레벨을 위해서 익스플로잇의 활용성 지수를 정의하기 위한 기준을 제시하는 예시이다.
도 5는 본 발명의 일실시예에 따른 네트워크 도달 가능성 기반의 자동화된 침투 경로를 예측하는 과정을 보여주는 흐름도이다.
도 2는 본 발명의 일실시예에 따라 취약점 및/또는 서브넷 기반의 도달 가능성을 바탕으로 실질적인 공격 그래프를 보여주고 있다.
도 3은 본 발명의 일실시예에 따른 네트워크 도달 가능성 기반의 자동화된 침투 경로 예측 장치(300)의 구성 블록도이다.
도 4는 본 발명의 일실시예에 따른 취약점의 위험도 레벨을 위해서 익스플로잇의 활용성 지수를 정의하기 위한 기준을 제시하는 예시이다.
도 5는 본 발명의 일실시예에 따른 네트워크 도달 가능성 기반의 자동화된 침투 경로를 예측하는 과정을 보여주는 흐름도이다.
본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는바, 특정 실시예들을 도면에 예시하고 상세한 설명에 구체적으로 설명하고자 한다. 그러나 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.
각 도면을 설명하면서 유사한 참조부호를 유사한 구성요소에 대해 사용한다.
제 1, 제 2등의 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되어서는 안 된다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다.
예를 들어, 본 발명의 권리 범위를 벗어나지 않으면서 제 1 구성요소는 제 2 구성요소로 명명될 수 있고, 유사하게 제 2 구성요소도 제 1 구성요소로 명명될 수 있다. "및/또는" 이라는 용어는 복수의 관련된 기재된 항목들의 조합 또는 복수의 관련된 기재된 항목들 중의 어느 항목을 포함한다.
다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미가 있다.
일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥상 가지는 의미와 일치하는 의미를 가지는 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않아야 한다.
이하 첨부된 도면을 참조하여 본 발명의 일실시예에 따른 네트워크 도달 가능성 기반의 자동화된 침투 경로 예측 장치 및 방법을 상세하게 설명하기로 한다.
본 발명의 일실시예는 네트워크를 통한 사이버 공격을 대비하기 위해서 네트워크 구성 및/또는 취약점으로 부터 공격 그래프를 생성하고 생성된 공격 그래프로부터 최적의 공격 패스를 제시한다. 이를 위해, 본 발명의 일실시예는 정보 수집, 취약점 메트릭, 취약점 분석, 공격 그래프 생성, 공격 경로 분석 등의 기법을 제공한다.
여기서, 정보 수집은 공격 그래프를 생성하기 위한 기반 정보들을 수집하는 것이다. 공격 그래프를 생성하기 위해 공개 및/또는 비공개된 취약점 정보와 직접 공격을 수행할 수 있는 익스플로잇(Exploits) 정보를 수집한다.
취약점 정보 수집을 위해서는 다양한 데이터베이스들을 활용할 수 있다. 예를 들면, NIST(National Institute of Standards and Technology, 美國標準技術硏究所)에서 제공하는 NVD(National Vulnerability Database), 오픈소스 진영에서 제공하는 OSVDB(Open Source Vulnerability Database), MITRE에서 제공하는 CVE(Common Vulnerabilities and Exposures), Symantec 등에서 제공하는 Symantec DeepSight 등이 활용 가능하다.
특히, MITRE에서는 발견된 취약점들을 공개하고 이를 체계화한 CVE를 구축하였다. 구축된 CVE를 기반으로 이에 대한 위험도 값(CVSS: Common Vulnerability Scoring System)을 산정하여 공개하고 있다. 네트워크 관리자는 공개 및/또는 비공개된 익스플로잇에 대한 정보를 수집한다. 익스플로잇 정보는 다양한 보안 전문가 집단에서 공식 또는 비공식적으로 공개를 하고 있다. 수집된 익스플로잇 정보에 대해서 네트워크 관리자는 해당 익스플로잇 정보의 활용성 지수를 평가한다.
이는 익스플로잇마다 그 특성이 있어서 공격 성공 또는 시스템의 영향도가 다르기 때문이다. 도 4는 익스플로잇의 활용성 지수를 평가하는 기준을 제시한다. 해당 익스플로잇의 지수는 네트워크 관리자에 의해서 그 점수를 재산정하여 사용이 가능하다.
한편, 기업/기관의 네트워크를 점검하고자 하는 네트워크 관리자는 기업/기관의 네트워크에 대한 네트워크 정보를 수집한다. 수집된 네트워크 정보는 서브넷(SUBNET) 구조를 기반으로 그 도달 가능성(reachability)을 제공한다. 여기서 도달 가능성이란 한 서브넷에서 다른 서브넷으로 네트워크 통신이 가능한지에 대한 표현이다. 실제 기업/기관의 네트워크는 라우터나 방화벽 등을 통해 네트워크 통신이 가능한 영역을 제한하고 있다. 통신이 가능하지 못한 경우 실제 공격이 이루어지기 어려우므로 서브넷 기반의 도달 가능성은 공격 그래프의 중요한 기준이 된다.
도 1은 본 발명의 일실시예에 따라 공격 그래프를 그리기 위해 기반이 되는 서브넷 기반의 네트워크 도달 가능성 그래프를 보여주고 있다. 특히, 도 1은 서브넷 구조의 도달 가능성을 기반으로 한 네트워크 맵을 보여주고 있다.
도 1을 참조하면, 서브넷 그래프에서 각 사각형은 네트워크를 구성하는 제 1 내지 제 7 서브넷(110 내지 170)을 나타내고, 사각형들을 연결한 연결선(101)은 서브넷의 연결을 의미한다. 여기서 서브넷의 연결은 해당 서브넷에서 다른 서브넷으로 네트워크 패킷이 도달 가능한 것을 의미한다.
예를 들어, 서브넷 A.A.A.A/24(110)에서 B.B.B.B/24(120)는 A.A.A.A/24(110)에서 보낸 패킷이 B.B.B.B/24(120)에 도달할 수 있다는 의미이다. 하지만 A.A.A.A/24(110)에서는 F.F.F.F/24(160)에 패킷을 직접 보낼 수 없다. F.F.F.F/24(160)으로 패킷을 보내기 위해서는 B.B.B.B/24(120)에 있는 호스트(단말 또는 서버)를 연계해야 한다. 서브넷 기반의 네트워크 도달 가능성을 표시하는 그래프 표현을 위한 노드와 엣지는 다음과 같다.
G(V_sub, E_sub)
V_sub = { 서브넷 목록 }
E_sub = { < u, v > | u, v ∈ V_sub }
여기서, V-sub는 서브넷 기반의 네트워크 도달 가능성을 표시하는 그래프에서 서브넷들의 목록이다.
E_sub는 서브넷 그래프에서 각 노드들에 대한 연결 목록이다. 두 노드가 연결되어 있다는 것은 해당 서브넷이 서로 네트워크 통신이 된다는 의미이다.
네트워크 관리자는 각 서브넷에 속해서 서비스를 제공하는 호스트(단말 or 서버)의 정보를 제공한다. 네트워크 관리자가 제공하는 호스트 정보는 다음과 같다.
<subnet_id, IP, OS, 서비스 정보(Port등) 목록>
여기서, subnet_id는 네트워크맵을 구성하는 서브넷에 부여된 아이디이다. 해당 서브넷의 네트워크 ID( x.x.x.x/24 or x.x.x.x/25 등)가 서브넷 id로 부여될 수 있다.
IP는 각 서브넷에 있는 호스트에 부여된 IP 정보이다.
OS는 각 호스트에 설치되어 있는 OS 정보이다. OS 정보에선 OS버전, 서비스팩 버전, 커널 버전 등이 포함될 수 있다.
서비스 정보 목록은 각 호스트가 네트워크상에서 제공하는 서비스 목록이다. 해당 목록은 서비스 이름, 버전, 포트 등의 정보를 포함한다.
취약점 메트릭은 취약한 서비스에 대해서 점수를 부여하는 부분이다. 최종 공격 패스를 분석하기 위해서는 네트워크에서 발견된 취약점들에 대한 위험도를 정량화해야 한다. 본 발명의 일실시예에서는 위험도 정량화를 위해 위험도 레벨(Risk Level, RL)을 제시한다. 위험도 레벨을 계산하기 위해서 본 기술은 CVSS 값과 EXP값을 사용하였다. 위험도 레벨은 다음과 같다.
여기서, CVSS(Common Vulnerability Scoring System)는 NVD(National Vulnerability Database)에서 제시하는 취약점에 대한 위험도를 의미한다.
EXP는 수집된 익스플로잇에 대한 활용성 지수이다.
본 발명의 일실시예에서는 이 두 개의 항목에 대한 가중치 계산을 통해서 최종 위험도 레벨을 산정한다. 네트워크 관리자는 분석하려는 의도에 맞게 가중치를 변경함으로써 위험도 레벨을 조절할 수 있다. 예를 들어 수집된 익스플로잇이 없을 경우나 잠재적인 공격 가능성을 분석하기 위해서는 α=1, β=0 으로 가중치를 둠으로써 CVSS에만 의존한 위험도를 산정할 수 있다. 또는 실제 수집된 익스플로잇을 중심으로 공격 가능성을 분석하기 위해서는 α=0, β=1 으로 가중치를 둠으로써 실제 공격 가능한 위험을 중심으로 분석을 할 수 있다.
취약점 분석은 사전에 계산된 위험도 레벨을 기반으로 네트워크에서 서비스를 제공하는 단말이나 서버들을 대상으로 공격 가능한 취약점들을 추출한다. 실제 네트워크 공격에서는 다수의 서비스가 존재하지만 네트워크 접근이 떨어지거나 위험도가 낮은 공격은 성공 가능성이 낮게 된다. 따라서 네트워크 관리자는 실제 제공하는 서비스 중에서 위험도 레벨이 높은 서비스를 중심으로 취약점을 분류할 수 있다.
공격 그래프 생성은 분류된 취약점을 중심으로 공격 그래프를 생성하는 부분이다.
도 2는 본 발명의 일실시예에 따라 취약점 및/또는 서브넷 기반의 도달 가능성을 바탕으로 실질적인 공격 그래프를 보여주고 있다. 특히, 도 2는 공격 그래프의 예시를 보여주고 있다. 공격 그래프에서 노드(211,212,213)는 서브넷에 존재하는 단말(서버포함)과 그 서비스 포트별로 구성된다. 즉, 하나의 단말에서 2개 이상의 포트가 열려있는 경우 각각을 별도의 노드로 표시를 한다. 공격 그래프에서 노드를 연결하는 연결선은 해당 포트를 통해서 공격이 가능하다는 것을 나타낸다. 각 연결선에는 취약점에 대한 위험도가 가중치로 주어진다. 해당 연결선에 대한 양방향 화살표는 서로 간에 공격이 가능하다는 것을 나타낸다. 각 연결선에 주어진 가중치는 연결선의 방향에 따라 다르게 주어진다.
즉, <10.10.10.10, 21, 7.0> 노드에서 <10.10.11.10, 445, 8.0> 노드로 가는 방향의 연결선에서는 가중치가 8.0으로 <10.10.11.10, 445, 8.0> 노드에 부여된 8.0의 값을 가중치로 갖는다. 반대로 <10.10.11.10, 445, 8.0>노드에서 <10.10.10.10, 21, 7.0>노드로 가는 방향의 연결선에서는 가중치가 7.0으로 <10.10.10.10, 21, 7.0> 노드에 부여된 7.0의 값을 가중치로 갖는다. 공격 그래프 G(V, E)를 그리기 위한 노드(211,212,213)와 엣지(220)에 대한 표현은 다음과 같다.
G(V, E)
V = { <subid, IP, Port, RL> | <IP, Port> ∈ 위협 취약 서비스 목록}
E = { <u, v > | u, v ∈ V, and <u_subid, v_subid> ∈ E_sub }
여기서, V는 취약점 기반의 공격 그래프의 노드들의 집합이다. 각 노드들은 IP 및 서비스 포트별로 할당되고 해당 서비스 포트는 위협 취약 서비스 목록에 포함되어 있을 수 있다.
E는 취약점 기반의 공격 그래프에서 엣지들을 나타낸다. 두 노드 사이에 엣지가 형성되기 위해서는 두 노드가 노드집합 V에 포함되어야 하고 두 노드의 서브넷이 서로 통신이 가능한 위치에 있어야 한다. 즉, 각 노드가 속해 있는 서브넷이 연결선(101)에 의해 서로 연결된 그래프이어야 한다.
공격 경로 분석은 공격 그래프상에 취약점의 위험도를 기반으로 공격이 가능한 최적의 패스를 찾아주는 부분이다. 네트워크 관리자는 공격 그래프상에 공격 시작 단말과 최종 목표 단말을 입력하고 공격분석을 시작한다. 시작 단말과 목표 단말은 서비스가 아닌 단말의 IP를 기준으로 입력하게 된다.
본 발명의 일실시예에서는 최적의 공격 경로를 찾기 위해서 다이크스트라(Dijkstra) 알고리즘을 사용할 수 있다. Dijkstra 알고리즘은 가중치가 부여된 그래프상에서 두 지점 사이의 최단 패스를 찾아주는 알고리즘이다. 일반적인 그래프상의 가중치는 엣지에 하나의 가중치가 주어진다. 하지만 제시된 공격 그래프는 그래프의 방향에 따라 다른 가중치(위험도 레벨)가 주어진다. 또한, 그래프에 존재하는 노드들은 서비스(포트)에 따라 노드가 부여되어 실제 동일 단말이라도 서비스 별로 다른 노드로 가정하고 있다. 따라서 실질적인 공격 패스를 얻기 위해서는 동일 단말에 대한 접근을 제한한다.
도 3은 본 발명의 일실시예에 따른 네트워크 도달 가능성 기반의 자동화된 침투 경로 예측 장치(300)의 구성 블록도이다. 도 3을 참조하면, 침투 경로 예측 장치(300)는, 정보를 수집하는 정보 수집부(310), 수집된 정보를 저장하는 데이터베이스(320), 데이터베이스(320)의 데이터를 이용하여 위험도 레벨을 산출하는 정량화부(330), 위험도 레벨을 이용하여 최종 취약점을 분석하는 취약점 분석부(340), 최종 취약점을 이용하여 공격 그래프를 생성하는 그래프 생성부(350), 및 공격 그래프를 이용하여 공격 경로를 분석하는 공격 경로 분석부(360) 등을 포함하여 구성될 수 있다.
정보 수집부(310)는 서브넷 구조 기반의 네트워크 도달 가능성을 갖는 네트워크 정보, 미리 분석된 네트워크의 취약점 정보 및 미리 설정되는 익스플로잇 정보를 수집하는 기능을 수행한다.
데이터베이스(320)는 네트워크 정보, 미리 분석된 네트워크의 취약점 정보 및 미리 설정되는 익스플로잇 정보 등을 저장한다.
정량화부(330)는 상기 취약점 정보 및 익스플로잇 정보를 정량화하여 위험도 레벨을 산출한다.
취약점 분석부(340)는 상기 네트워크 도달 가능성 및 상기 위험도 레벨을 이용하여 최종 취약점을 분석할 수 있다.
그래프 생성부(350)는 상기 최종 취약점을 이용하여 공격 그래프를 생성한다.
공격 경로 분석부(360)는 다이크스트라(Dijkstra) 알고리즘을 이용하여 상기 가중치가 적용된 공격 그래프 상에서 취약점의 위험도를 기반으로 공격 시작 단말과 최종 목표 단말의 입력에 따라 공격 경로를 찾는 기능을 수행한다.
도 4는 본 발명의 일실시예에 따른 취약점의 위험도 레벨을 위해서 익스플로잇의 활용성 지수를 정의하기 위한 기준을 제시하는 예시이다. 도 4를 참조하면, 도 4는 익스플로잇의 활용성 지수를 평가하는 기준을 제시한다. 해당 익스플로잇의 지수는 네트워크 관리자에 의해서 그 점수를 재산정하여 사용이 가능하다.
도 5는 본 발명의 일실시예에 따른 네트워크 도달 가능성 기반의 자동화된 침투 경로를 예측하는 과정을 보여주는 흐름도이다. 도 5를 참조하면, 정보 수집부(310)가 서브넷 구조 기반의 네트워크 도달 가능성을 갖는 네트워크 정보, 미리 분석된 네트워크의 취약점 정보 및 미리 설정되는 익스플로잇 정보를 수집하여 분류하고, 이를 데이터베이스(320)에 저장한다(단계 S510,S520).
정량화부(330)가 상기 취약점 정보 및 익스플로잇 정보를 정량화하여 위험도 레벨을 산출하고, 취약점 분석부(340)가 상기 네트워크 도달 가능성 및 상기 위험도 레벨을 이용하여 최종 취약점을 분석한다(단계 S530,S540).
이후, 그래프 생성부(350)가 상기 최종 취약점을 이용하여 공격 그래프를 생성한다(단계 S550).
이후, 공격 경로 분석부(360)는 다이크스트라(Dijkstra) 알고리즘을 이용하여 상기 가중치가 적용된 공격 그래프 상에서 취약점의 위험도를 기반으로 공격 시작 단말과 최종 목표 단말의 입력에 따라 공격 경로를 찾는 기능을 수행한다.
110 ~ 170: 제 1 내지 제 7 서브넷
300: 침투 경로 예측 장치
310: 정보 수집부
320: 데이터베이스
330: 정량화부
340: 취약점 분석부
350: 그래프 생성부
360: 공격 경로 분석부
300: 침투 경로 예측 장치
310: 정보 수집부
320: 데이터베이스
330: 정량화부
340: 취약점 분석부
350: 그래프 생성부
360: 공격 경로 분석부
Claims (10)
- 서브넷 구조 기반의 실제 네트워크 통신이 가능한 네트워크 도달 가능성을 갖는 네트워크 정보, 미리 분석된 네트워크의 취약점 정보 및 미리 설정되는 익스플로잇의 활용성 정보를 수집하는 정보 수집부;
상기 취약점 정보 및 익스플로잇의 활용성 정보를 정량화하여 위험도 레벨을 산출하는 정량화부;
상기 네트워크 도달 가능성 및 상기 위험도 레벨을 이용하여 최종 취약점을 분석하는 취약점 분석부; 및
상기 최종 취약점을 이용하여 공격 그래프를 생성하는 그래프 생성부;를 포함하며,
상기 공격 그래프는 상기 서브넷 구조 기반의 그래프 정보, 취약점 정보 및 위험도 레벨을 이용하여 표현되며,
상기 공격 그래프는 상기 네트워크 도달 가능성 및 상기 취약점 정보에 기반하여 다수의 엣지 및 노드로 표현되며, 상기 다수의 노드는 취약점 기반의 공격 그래프의 노드들이고, 상기 다수의 엣지는 상기 다수의 노드 중 두 노드 사이에 연결선으로 형성되며,
상기 위험도 레벨은 수학식
(여기서, CVSS(Common Vulnerability Scoring System)는 NVD(National Vulnerability Database)에서 제시하는 취약점에 대한 위험도를 의미하고, EXP는 수집된 익스플로잇에 대한 활용성 지수로서 재산정되는 지수이다)에 의해 산출되며,
익스플로잇이 없을 경우나 잠재적인 공격 가능성을 분석하기 위해서는 α=1, β=0 으로 가중치를 주거나 실제 수집된 익스플로잇을 중심으로 공격 가능성을 분석하기 위해서 α=0, β=1 으로 가중치를 주는 것을 특징으로 하는 네트워크 도달 가능성 기반의 자동화된 침투 경로 예측 장치.
- 삭제
- 삭제
- 제 1 항에 있어서,
상기 다수의 노드 각각은 IP(Internet Protocol) 및 서비스 포트별로 할당되고, 상기 서비스 포트는 미리 설정되는 위협 취약 서비스 목록에 포함되는 것을 특징으로 하는 네트워크 도달 가능성 기반의 자동화된 침투 경로 예측 장치.
- 제 1 항에 있어서,
상기 두 노드가 속하는 서브넷들은 서로 통신이 가능한 위치에 있는 것을 특징으로 하는 네트워크 도달 가능성 기반의 자동화된 침투 경로 예측 장치.
- 제 1 항에 있어서,
상기 연결선은 방향에 따라 다른 위험도 레벨을 갖는 것을 특징으로 하는 네트워크 도달 가능성 기반의 자동화된 침투 경로 예측 장치.
- 제 6 항에 있어서,
다이크스트라(Dijkstra) 알고리즘을 이용하여 상기 위험도 레벨이 적용된 공격 그래프 상에서 취약점의 위험도를 기반으로 공격 시작 단말과 최종 목표 단말의 입력에 따라 공격 경로를 찾는 공격 경로 분석부;를 더 포함하는 것을 특징으로 하는 네트워크 도달 가능성 기반의 자동화된 침투 경로 예측 장치.
- 삭제
- 삭제
- 정보 수집부가 서브넷 구조 기반의 실제 네트워크 통신이 가능한 네트워크 도달 가능성을 갖는 네트워크 정보, 미리 분석된 네트워크의 취약점 정보 및 미리 설정되는 익스플로잇의 활용성 정보를 수집하는 단계;
정량화부가 상기 취약점 정보 및 익스플로잇의 활용성 정보를 정량화하여 위험도 레벨을 산출하는 단계;
취약점 분석부가 상기 네트워크 도달 가능성 및 상기 위험도 레벨을 이용하여 최종 취약점을 분석하는 단계; 및
그래프 생성부가 상기 최종 취약점을 이용하여 공격 그래프를 생성하는 단계;
를 포함하 며,
상기 공격 그래프는 상기 서브넷 구조 기반의 그래프 정보, 취약점 정보 및 위험도 레벨을 이용하여 표현되며,
상기 공격 그래프는 상기 네트워크 도달 가능성 및 상기 취약점 정보에 기반하여 다수의 엣지 및 노드로 표현되며, 상기 다수의 노드는 취약점 기반의 공격 그래프의 노드들이고, 상기 다수의 엣지는 상기 다수의 노드 중 두 노드 사이에 연결선으로 형성되며,
상기 위험도 레벨은 수학식
(여기서, CVSS(Common Vulnerability Scoring System)는 NVD(National Vulnerability Database)에서 제시하는 취약점에 대한 위험도를 의미하고, EXP는 수집된 익스플로잇에 대한 활용성 지수로서 재산정되는 지수이다)에 의해 산출되며,
익스플로잇이 없을 경우나 잠재적인 공격 가능성을 분석하기 위해서는 α=1, β=0 으로 가중치를 주거나 실제 수집된 익스플로잇을 중심으로 공격 가능성을 분석하기 위해서 α=0, β=1 으로 가중치를 주는 것을 특징으로 하는 네트워크 도달 가능성 기반의 자동화된 침투 경로 예측 방법.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020160089239A KR101893253B1 (ko) | 2016-07-14 | 2016-07-14 | 네트워크 도달 가능성 기반의 자동화된 침투 경로 예측 장치 및 방법 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020160089239A KR101893253B1 (ko) | 2016-07-14 | 2016-07-14 | 네트워크 도달 가능성 기반의 자동화된 침투 경로 예측 장치 및 방법 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| KR20180007832A KR20180007832A (ko) | 2018-01-24 |
| KR101893253B1 true KR101893253B1 (ko) | 2018-08-29 |
Family
ID=61029380
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020160089239A KR101893253B1 (ko) | 2016-07-14 | 2016-07-14 | 네트워크 도달 가능성 기반의 자동화된 침투 경로 예측 장치 및 방법 |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR101893253B1 (ko) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR102497865B1 (ko) | 2022-07-13 | 2023-02-08 | 국방과학연구소 | 사이버 공세적 대응 방책 추천 장치 및 방법 |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR102143786B1 (ko) * | 2018-09-21 | 2020-08-28 | 한국전자통신연구원 | 시멘틱 공격그래프 생성 방법 및 장치 |
| KR102079687B1 (ko) * | 2019-07-12 | 2020-02-20 | 한화시스템(주) | 공격 그래프 기반의 사이버 위협 예측 시스템 및 그 방법 |
| CN110572409B (zh) * | 2019-09-16 | 2021-10-12 | 国家计算机网络与信息安全管理中心 | 工业互联网的安全风险预测方法、装置、设备及存储介质 |
| KR102650732B1 (ko) | 2020-08-06 | 2024-03-26 | 한국전자통신연구원 | 컴퓨터 네트워크의 공격 취약점 예측 방법 및 장치 |
| CN114428962B (zh) * | 2022-01-28 | 2023-03-31 | 北京灰度科技有限公司 | 漏洞风险优先级处置方法和装置 |
| CN116112278A (zh) * | 2023-02-17 | 2023-05-12 | 西安电子科技大学 | 基于Q-learning的网络最优攻击路径预测方法及系统 |
| KR102639316B1 (ko) * | 2023-06-01 | 2024-02-20 | 국방과학연구소 | 공격 비용 기반 사이버 표적 추천 장치 및 방법 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20110158083A1 (en) * | 2009-12-24 | 2011-06-30 | At&T Intellectual Property I, Lp | Determining Connectivity in a Failed Network |
| US20150237062A1 (en) * | 2014-02-14 | 2015-08-20 | Risk I/O, Inc. | Risk Meter For Vulnerable Computing Devices |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8881288B1 (en) * | 2008-10-28 | 2014-11-04 | Intelligent Automation, Inc. | Graphical models for cyber security analysis in enterprise networks |
| KR101160896B1 (ko) | 2012-03-26 | 2012-06-28 | (주)안세기술 | 레이저 스캐너를 이용한 항공기 기종 식별 및 항공기 자기위치 확인 시스템 |
-
2016
- 2016-07-14 KR KR1020160089239A patent/KR101893253B1/ko active IP Right Grant
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20110158083A1 (en) * | 2009-12-24 | 2011-06-30 | At&T Intellectual Property I, Lp | Determining Connectivity in a Failed Network |
| US20150237062A1 (en) * | 2014-02-14 | 2015-08-20 | Risk I/O, Inc. | Risk Meter For Vulnerable Computing Devices |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR102497865B1 (ko) | 2022-07-13 | 2023-02-08 | 국방과학연구소 | 사이버 공세적 대응 방책 추천 장치 및 방법 |
Also Published As
| Publication number | Publication date |
|---|---|
| KR20180007832A (ko) | 2018-01-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR101893253B1 (ko) | 네트워크 도달 가능성 기반의 자동화된 침투 경로 예측 장치 및 방법 | |
| Chung et al. | NICE: Network intrusion detection and countermeasure selection in virtual network systems | |
| US9467462B2 (en) | Traffic anomaly analysis for the detection of aberrant network code | |
| Osanaiye | Short Paper: IP spoofing detection for preventing DDoS attack in Cloud Computing | |
| Gong et al. | Website detection using remote traffic analysis | |
| US8555393B2 (en) | Automated testing for security vulnerabilities of devices | |
| Lastovicka et al. | Passive os fingerprinting methods in the jungle of wireless networks | |
| Musa et al. | Analysis of complex networks for security issues using attack graph | |
| Pashamokhtari et al. | Progressive monitoring of iot networks using sdn and cost-effective traffic signatures | |
| Li et al. | RoVista: Measuring and analyzing the route origin validation (ROV) in RPKI | |
| Moon et al. | Hybrid attack path enumeration system based on reputation scores | |
| Asha et al. | Analysis on botnet detection techniques | |
| Tanaka et al. | Internet-wide scanner fingerprint identifier based on TCP/IP header | |
| Oujezsky et al. | Botnet C&C traffic and flow lifespans using survival analysis | |
| Pouget et al. | Internet attack knowledge discovery via clusters and cliques of attack traces | |
| Lyu et al. | Enterprise dns asset mapping and cyber-health tracking via passive traffic analysis | |
| Barnes et al. | k-p0f: A high-throughput kernel passive OS fingerprinter | |
| Chang | A proactive approach to detect IoT based flooding attacks by using software defined networks and manufacturer usage descriptions | |
| Kim et al. | A design of automated vulnerability information management system for secure use of internet-connected devices based on internet-wide scanning methods | |
| CN114372269A (zh) | 一种基于系统网络拓扑结构的风险评估方法 | |
| Holsopple et al. | Virtual terrain: a security-based representation of a computer network | |
| Hemanidhi et al. | Network risk evaluation from security metric of vulnerability detection tools | |
| Amin et al. | Edge-computing with graph computation: A novel mechanism to handle network intrusion and address spoofing in SDN | |
| Hunter et al. | Real-time distributed malicious traffic monitoring for honeypots and network telescopes | |
| Oujezsky et al. | Modeling botnet C&C traffic lifespans from NetFlow using survival analysis |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A201 | Request for examination | ||
| E902 | Notification of reason for refusal | ||
| AMND | Amendment | ||
| E601 | Decision to refuse application | ||
| AMND | Amendment | ||
| X701 | Decision to grant (after re-examination) | ||
| GRNT | Written decision to grant |