KR102225460B1 - 다중 센서 데이터를 이용한 위협 헌팅 기반의 위협 탐지 방법 및 이를 이용한 장치 - Google Patents

다중 센서 데이터를 이용한 위협 헌팅 기반의 위협 탐지 방법 및 이를 이용한 장치 Download PDF

Info

Publication number
KR102225460B1
KR102225460B1 KR1020190128531A KR20190128531A KR102225460B1 KR 102225460 B1 KR102225460 B1 KR 102225460B1 KR 1020190128531 A KR1020190128531 A KR 1020190128531A KR 20190128531 A KR20190128531 A KR 20190128531A KR 102225460 B1 KR102225460 B1 KR 102225460B1
Authority
KR
South Korea
Prior art keywords
threat
detection
hunting
data
threat hunting
Prior art date
Application number
KR1020190128531A
Other languages
English (en)
Inventor
정진혁
노지성
남동수
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020190128531A priority Critical patent/KR102225460B1/ko
Application granted granted Critical
Publication of KR102225460B1 publication Critical patent/KR102225460B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer And Data Communications (AREA)

Abstract

다중 센서 데이터를 이용한 위협 헌팅 기반의 위협 탐지 방법 및 이를 이용한 장치가 개시된다. 본 발명에 따른 위협 탐지 방법은 복수의 센서들로부터 수집된 대량의 데이터를 가공하여 객체 관계 모델에 상응하게 데이터를 재구성하는 단계; 객체 관계 모델, 대량의 데이터에서 파싱된(PARSING) 로그 정보 및 외부 탐지 정보 중 적어도 하나를 기반으로 위협 헌팅(THREAT HUNTING) 분석 대상을 식별하는 단계; 위협 헌팅 룰(THREAT HUNTING RULE)을 기반으로 위협 헌팅 분석 대상에 관련된 APT(ADVANCED PERSISTENT THREAT) 탐지를 수행하는 단계; 및 탐지된 APT에 대해서 위협수준을 포함하는 위협 헌팅 탐지 데이터를 생성하고, 적어도 하나의 외부 탐지 시스템으로 위협 헌팅 탐지 데이터를 공유하는 단계를 포함한다.

Description

다중 센서 데이터를 이용한 위협 헌팅 기반의 위협 탐지 방법 및 이를 이용한 장치 {METHOD OF DETECTING THREAT BASED ON THREAT HUNTING USING MULTI SENSOR DATA AND APPARATUS USING THE SAME}
본 발명은 다중 센서 데이터를 이용한 위협 헌팅 기반의 위협 탐지 기술에 관한 것으로, 특히 보호대상 네트워크와 시스템에서 수집되는 다양한 정보를 분석하여 의미와 흐름을 도출하고, 이를 기반으로 APT 공격을 탐지하기 위한 가설 생성과 탐지를 수행하는 기술에 관한 것이다.
일반적으로 방화벽이나 IDS(Intrusion Detection System) 등에 사용되는 위협탐지 기술은 이미 알려진 특정 시그니처 값(IOC, Indicator of Compromised)을 기준으로 탐지를 수행하고, 경고(Alert) 메시지를 분석가에게 알려주는 방식으로 동작한다. 따라서, 알려진 악성코드나 공격 패킷만 탐지가 가능하고, 알려지지 않거나 변형된 악성코드에 의한 공격을 막기 어렵다는 단점이 존재한다.
또한, EDR(Endpoint Detection & Response)과 같이 악성코드의 행위를 탐지하는 위협탐지 기술은, API 사용 패턴이나 단일 장치 수준에서 수집되는 정보만으로 위협을 판단하기 때문에 APT(Advanced Persistent Threat) 공격을 추적하거나 탐지하는데 효과적이지 못하다.
또한, SIEM(Security Information and Event Management), ESM(Enterprise Security Management)과 같은 위협탐지 기술은 Alert이나 Event들을 그대로 한 곳에 저장하여 분석하지만, 이벤트간의 연관성 분석이 IOC 수준으로 연결되어 이벤트간 연결 의미와 흐름이 결여되는 문제가 있다. 이러한 경우, 탐지된 이벤트들의 전후 관계, 탐지된 결과의 의미 등을 분석가가 직접 파악하여 판단해야 하므로 시간 소요가 큰 단점이 있고, 알려지지 않은 APT 공격 탐지에 한계가 있다.
이와 같은 한계를 보완하기 위하여, 위협헌팅(Threat Hunting)이라는 APT공격 탐지개념이 제시되었다. 위협헌팅은 종래의 기술을 활용하여 분석가가 APT 공격을 탐지하기 위한 TTP기반 탐지가설을 세우고, 가설을 주기적으로 검증하여 대량의 이벤트에서 APT관련 정황을 도출하는 절차를 의미한다. 근래의 위협헌팅은 공격자의 공격기술(TTP)을 분류하고, 이를 기준으로 탐지가설과 탐지를 수행하는 절차로써 구체화되었다. 사용되는 공격기술 분류 기준은 MITRE에서 제시한 ATT&CKTM을 주도적으로 사용하고 있고, ATT&CKTM은 MITRE에 의해 주기적으로 갱신되고 있다.
하지만, 이와 같은 접근을 구현한 종래 기술들은 분석가의 능력과 시간을 크게 필요로 하고, 의미있는 특정한 시간 동안에 대량의 데이터에서 다양한 APT 공격을 탐지하기 어렵다는 문제가 여전히 존재한다. 게다가 로그 이벤트 필드 값을 검색하거나 간단한 특이 값 분석 결과를 제공하는 등 분석가를 보조하는 역할만을 수행하기 때문에 특정 로그 데이터나 표현에 종속적인 한계를 가지고 있다.
결국, 이러한 문제들로 인하여 위협 헌팅 시 필요한 APT 탐지로직을 일반화하지 못하고 제한적으로만 사용할 수 밖에 없는 문제가 발생하며, APT 탐지로직의 표현에 있어서도 단편적인 한계를 가지고 있으므로 심도있는 추론을 동반한 자동화된 APT 탐지에 기술적인 한계가 존재한다.
한국 공개 특허 제10-2017-0094673호, 2017년 8월 21일 공개(명칭: 멀티 소스 데이터 가공 장치 및 방법)
본 발명의 목적은 대량의 정보를 기반으로 심도있는 추론을 수행하여 자동으로 APT 공격을 탐지할 수 있는 탐지로직을 제공하는 것이다.
또한, 본 발명의 목적은 위협 헌팅 기반의 탐지를 수행하기 위해 범용적인 데이터 표현과 흐름 그래프를 구성하는 방안을 제공하는 것이다.
또한, 본 발명의 목적은 외부 탐지 시스템들과 탐지로직을 공유하여 위협헌팅에 의한 자동화된 위협 탐지를 일반화하는 것이다.
또한, 본 발명의 목적은 TTP 분류체계를 기반으로 악성의심패턴과 APT 공격을 탐지하고, 악성행위의 근원들을 자동으로 추적하여 위협에 능동적으로 대응하는 것이다.
상기한 목적을 달성하기 위한 본 발명에 따른 위협 탐지 방법은, 복수의 센서들로부터 수집된 대량의 데이터를 가공하여 객체 관계 모델에 상응하게 데이터를 재구성하는 단계; 상기 객체 관계 모델, 상기 대량의 데이터에서 파싱된(PARSING) 로그 정보 및 외부 탐지 정보 중 적어도 하나를 기반으로 위협 헌팅(THREAT HUNTING) 분석 대상을 식별하는 단계; 위협 헌팅 룰(THREAT HUNTING RULE)을 기반으로 상기 위협 헌팅 분석 대상에 관련된 APT(ADVANCED PERSISTENT THREAT) 탐지를 수행하는 단계; 및 탐지된 APT에 대해서 위협수준을 포함하는 위협 헌팅 탐지 데이터를 생성하고, 적어도 하나의 외부 탐지 시스템으로 상기 위협 헌팅 탐지 데이터를 공유하는 단계를 포함한다.
이 때, 탐지를 수행하는 단계는 상기 위협 헌팅 분석 대상에 관련된 객체를 기반으로 생성된 객체 관계 그래프를 기반으로 수행되는 포워드 체인(FORWARD CHAIN) 추론 방식 및 특정 공격자에 대한 위협 헌팅 가설을 기반으로 수행되는 백워드 체인(BACKWARD CHAIN) 추론 방식 중 적어도 하나를 기반으로 상기 APT 탐지를 수행할 수 있다.
이 때, 포워드 체인 추론 방식은 상기 위협 헌팅 룰을 실행하여 상기 객체 관계 그래프 내에서 위협 행위에 대응하는 서브 그래프를 탐지하고, 상기 서브 그래프를 탐지하는데 사용된 위협 헌팅 룰 집합의 피벗 포인트(PIVOT POINT)에 정의된 객체를 기준으로 상기 서브 그래프를 확장하고, 확장된 서브 그래프와 상기 위협 헌팅 룰 집합을 기반으로 상기 위협 행위에 대응하는 공격자 및 공격작전(CAMPAIGN)을 도출하는 과정으로 수행될 수 있다.
이 때, 백워드 체인 추론 방식은 외부로부터 수신된 APT 공격동향 및 특정 공격자에 대한 위협 헌팅 가설을 생성하고, 상기 위협 헌팅 가설과 관련된 위협 헌팅 룰 집합을 기반으로 탐지 대상 객체에 상응하는 객체 관계 그래프를 생성하여 서브 그래프를 탐지하고, 상기 위협 헌팅 룰 집합의 피벗 포인트(PIVOT POINT)를 기반으로 확장된 서브 그래프 및 상기 위협 헌팅 룰 집합을 기반으로 위협 행위에 대응하는 공격자 및 공격작전(CAMPAIGN)을 도출하여 상기 위협 헌팅 가설을 검증하는 과정으로 수행될 수 있다.
이 때, 식별하는 단계는 정적 시그니처 탐지요소에 기반한 멀티 시그니처 식별(MULTI SIGNATURE DETECTION) 기법, 상기 객체 관계 모델 및 상기 로그 정보 중 적어도 하나에 기반한 스트림 데이터 이상 식별(STREAM DATA ANOMALY DETECTION) 기법 및 상기 외부 탐지 정보에 기반한 식별 기법 중 적어도 하나를 이용하여 상기 위협 헌팅 분석 대상을 식별할 수 있다.
이 때, 객체 관계 모델은 APT 발생의 원인을 추적하고 APT 발생 전후 상황을 분석하기 위해 네트워크 및 시스템의 주요 객체들 사이의 관계와 행위 흐름을 분석하여 나타낸 데이터에 상응할 수 있다.
이 때, 위협 헌팅 룰은 APT를 탐지 하기 위해 생성된 위협 헌팅 가설 기반의 탐지 로직에 상응하고, 외부의 보안 서버를 통해 주기적으로 갱신되는 공격 활동 사례 분석 데이터를 기반으로 자동화된 추론을 위한 구성요소를 포함할 수 있다.
이 때, 위협 헌팅 탐지 데이터는 상기 위협수준, 주요 악성행위 객체, 관련 APT 그룹 및 피해 대상 중 적어도 하나를 포함하는 탐지 결과 데이터, 상기 공격 활동 사례 분석 데이터에 기정의된 공격 전술(TACTICS)을 기반으로 이에 대응하게 탐지된 침투 기술(TECHNIQUES) 및 피해 대상을 보여주는 결과 종합 데이터, 공격자 관계성 분석 데이터, 탐지된 TTP(TACTICS, TECHNIQUES, PROCEDURES) 내역을 시간 흐름에 따라 보여주는 TTP 탐지 및 흐름 데이터 중 적어도 하나를 포함할 수 있다.
이 때, 스트림 데이터 이상 식별 기법은 학습된 정상 모델과 상기 객체 관계 모델을 비교하여 비정상적인 행위를 유발하는 객체를 식별하는 프로필 기반 식별 기법과 네트워크 로그와 단말 로그 사이의 행위가 일치하지 않는 경우를 기반으로 하는 무결성 기반 식별 기법을 포함할 수 있다.
또한, 본 발명의 일실시예에 따른 위협 탐지 장치는, 복수의 센서들로부터 수집된 대량의 데이터를 가공하여 객체 관계 모델에 상응하게 데이터를 재구성하고, 상기 객체 관계 모델, 상기 대량의 데이터에서 파싱된(PARSING) 로그 정보 및 외부 탐지 정보 중 적어도 하나를 기반으로 위협 헌팅(THREAT HUNTING) 분석 대상을 식별하고, 위협 헌팅 룰(THREAT HUNTING RULE)을 기반으로 상기 위협 헌팅 분석 대상에 관련된 APT(ADVANCED PERSISTENT THREAT) 탐지를 수행하고, 탐지된 APT에 대해서 위협수준을 포함하는 위협 헌팅 탐지 데이터를 생성하고, 적어도 하나의 외부 탐지 시스템으로 상기 위협 헌팅 탐지 데이터를 공유하는 프로세서; 및 상기 객체 관계 모델, 상기 위협 헌팅 룰 및 상기 위협 헌팅 탐지 데이터를 저장하는 메모리를 포함한다.
이 때, 프로세서는 상기 위협 헌팅 분석 대상에 관련된 객체를 기반으로 생성된 객체 관계 그래프를 기반으로 수행되는 포워드 체인(FORWARD CHAIN) 추론 방식 및 특정 공격자에 대한 위협 헌팅 가설을 기반으로 수행되는 백워드 체인(BACKWARD CHAIN) 추론 방식 중 적어도 하나를 기반으로 상기 APT 탐지를 수행할 수 있다.
이 때, 포워드 체인 추론 방식은 상기 위협 헌팅 룰을 실행하여 상기 객체 관계 그래프 내에서 위협 행위에 대응하는 서브 그래프를 탐지하고, 상기 서브 그래프를 탐지하는데 사용된 위협 헌팅 룰 집합의 피벗 포인트(PIVOT POINT)에 정의된 객체를 기준으로 상기 서브 그래프를 확장하고, 확장된 서브 그래프와 상기 위협 헌팅 룰 집합을 기반으로 상기 위협 행위에 대응하는 공격자 및 공격작전(CAMPAIGN)을 도출하는 과정으로 수행될 수 있다.
이 때, 백워드 체인 추론 방식은 외부로부터 수신된 APT 공격동향 및 특정 공격자에 대한 위협 헌팅 가설을 생성하고, 상기 위협 헌팅 가설과 관련된 위협 헌팅 룰 집합을 기반으로 탐지 대상 객체에 상응하는 객체 관계 그래프를 생성하여 서브 그래프를 탐지하고, 상기 위협 헌팅 룰 집합의 피벗 포인트(PIVOT POINT)를 기반으로 확장된 서브 그래프 및 상기 위협 헌팅 룰 집합을 기반으로 위협 행위에 대응하는 공격자 및 공격작전(CAMPAIGN)을 도출하여 상기 위협 헌팅 가설을 검증하는 과정으로 수행될 수 있다.
이 때, 프로세서는 정적 시그니처 탐지요소에 기반한 멀티 시그니처 식별(MULTI SIGNATURE DETECTION) 기법, 상기 객체 관계 모델 및 상기 로그 정보 중 적어도 하나에 기반한 스트림 데이터 이상 식별(STREAM DATA ANOMALY DETECTION) 기법 및 상기 외부 탐지 정보에 기반한 식별 기법 중 적어도 하나를 이용하여 상기 위협 헌팅 분석 대상을 식별할 수 있다.
이 때, 객체 관계 모델은 APT 발생의 원인을 추적하고 APT 발생 전후 상황을 분석하기 위해 네트워크 및 시스템의 주요 객체들 사이의 관계와 행위 흐름을 분석하여 나타낸 데이터에 상응할 수 있다.
이 때, 위협 헌팅 룰은 APT를 탐지 하기 위해 생성된 위협 헌팅 가설 기반의 탐지 로직에 상응하고, 외부의 보안 서버를 통해 주기적으로 갱신되는 공격 활동 사례 분석 데이터를 기반으로 자동화된 추론을 위한 구성요소를 포함할 수 있다.
이 때, 위협 헌팅 탐지 데이터는 상기 위협수준, 주요 악성행위 객체, 관련 APT 그룹 및 피해 대상 중 적어도 하나를 포함하는 탐지 결과 데이터, 상기 공격 활동 사례 분석 데이터에 기정의된 공격 전술(TACTICS)을 기반으로 이에 대응하게 탐지된 침투 기술(TECHNIQUES) 및 피해 대상을 보여주는 결과 종합 데이터, 공격자 관계성 분석 데이터, 탐지된 TTP(TACTICS, TECHNIQUES, PROCEDURES) 내역을 시간 흐름에 따라 보여주는 TTP 탐지 및 흐름 데이터 중 적어도 하나를 포함할 수 있다.
이 때, 스트림 데이터 이상 식별 기법은 학습된 정상 모델과 상기 객체 관계 모델을 비교하여 비정상적인 행위를 유발하는 객체를 식별하는 프로필 기반 식별 기법과 네트워크 로그와 단말 로그 사이의 행위가 일치하지 않는 경우를 기반으로 하는 무결성 기반 식별 기법을 포함할 수 있다.
본 발명에 따르면, 대량의 정보를 기반으로 심도있는 추론을 수행하여 자동으로 APT 공격을 탐지할 수 있는 탐지로직을 제공할 수 있다.
또한, 본 발명은 위협 헌팅 기반의 탐지를 수행하기 위해 범용적인 데이터 표현과 흐름 그래프를 구성하는 방안을 제공할 수 있다.
또한, 본 발명은 외부 탐지 시스템들과 탐지로직을 공유하여 위협헌팅에 의한 자동화된 위협 탐지를 일반화할 수 있다.
또한, 본 발명은 TTP 분류체계를 기반으로 악성의심패턴과 APT 공격을 탐지하고, 악성행위의 근원들을 자동으로 추적하여 위협에 능동적으로 대응할 수 있다.
도 1은 본 발명의 일실시예에 따른 다중 센서 데이터를 이용한 위협 헌팅 기반의 위협 탐지 시스템을 나타낸 블록도이다.
도 2는 본 발명의 일실시예에 따른 다중 센서 데이터를 이용한 위협 헌팅 기반의 위협 탐지 방법을 나타낸 동작흐름도이다.
도 3은 도 1에 도시된 데이터 수집 모듈의 일 예를 나타낸 블록도이다.
도 4는 도 1에 도시된 컨텍스트 분석 모듈의 일 예를 나타낸 블록도이다.
도 5는 본 발명에 따른 객체 관계 모델의 일 예를 나타낸 도면이다.
도 6은 도 1에 도시된 위협 헌팅 대상 식별 모듈의 일 예를 나타낸 블록도이다.
도 7은 도 1에 도시된 위협 헌팅 분석 모듈의 일 예를 나타낸 블록도이다.
도 8은 도 1에 도시된 위협 헌팅 쿼리 모듈의 일 예를 나타낸 블록도이다.
도 9는 본 발명에 따른 객체 관계 그래프의 일 예를 나타낸 도면이다.
도 10은 본 발명의 일실시예에 따른 포워드 체인 추론 방식을 나타낸 동작 흐름도이다.
도 10은 본 발명의 일실시예에 따른 백워드 체인 추론 방식을 나타낸 동작 흐름도이다.
도 12는 본 발명에 따른 위협 헌팅 룰과 공격자 정보의 일 예를 나타낸 도면이다.
도 13은 본 발명에 따른 위협 헌팅 탐지 데이터의 일 예를 나타낸 도면이다.
도 14는 도 13에 도시된 공격자 관계성 분석 데이터의 일 예를 나타낸 도면이다.
도 15는 도 13에 도시된 탐지 결과 데이터의 일 예를 나타낸 도면이다.
도 16은 도 13에 도시된 ATT & CK 결과 종합 데이터의 일 예를 나타낸 도면이다.
도 17은 도 13에 도시된 TTP 탐지 및 흐름 데이터의 일 예를 나타낸 도면이다.
도 18은 본 발명의 일실시예에 따른 다중 센서 데이터를 이용한 위협 헌팅 기반의 위협 탐지 장치를 나타낸 블록도이다.
본 발명을 첨부된 도면을 참조하여 상세히 설명하면 다음과 같다. 여기서, 반복되는 설명, 본 발명의 요지를 불필요하게 흐릴 수 있는 공지 기능, 및 구성에 대한 상세한 설명은 생략한다. 본 발명의 실시형태는 당 업계에서 평균적인 지식을 가진 자에게 본 발명을 보다 완전하게 설명하기 위해서 제공되는 것이다. 따라서, 도면에서의 요소들의 형상 및 크기 등은 보다 명확한 설명을 위해 과장될 수 있다.
이하, 본 발명에 따른 바람직한 실시예를 첨부된 도면을 참조하여 상세하게 설명한다.
도 1은 본 발명의 일실시예에 따른 다중 센서 데이터를 이용한 위협 헌팅 기반의 위협 탐지 시스템을 나타낸 블록도이다.
도 1을 참조하면, 본 발명의 일실시예에 따른 다중 센서 데이터를 이용한 위협 헌팅 기반의 위협 탐지 시스템(100)은 APT 공격에 대한 자동화된 추론과 탐지를 수행하는 위협 헌팅을 수행하기 위해, 데이터 수집 모듈(110), 컨텍스트 분석 모듈(120), 데이터베이스(130), 위협 헌팅 대상 식별 모듈(140), 위협 헌팅 분석 모듈(150), 위협 헌팅 쿼리 모듈(160) 및 위협 헌팅 탐지 출력 모듈(170)로 구성된다.
이하에서는 도 2에 도시된 다중 센서 데이터를 이용한 위협 헌팅 기반의 위협 탐지 방법을 통해 위협 헌팅 기반의 위협 탐지 시스템을 구성하는 각 모듈 별 역할을 상세하게 설명하도록 한다.
먼저, 도 2를 참조하면, 본 발명의 일실시예에 따른 다중 센서 데이터를 이용한 위협 헌팅 기반의 위협 탐지 방법은 복수의 센서들로부터 수집된 대량의 데이터를 가공하여 객체 관계 모델에 상응하게 데이터를 재구성한다(S210).
예를 들어, 도 1에 도시된 데이터 수집 모듈(110)은 도 3에 도시된 것처럼 네트워크 수집부(111)와 엔드포인트 정보 수집부(112)로 구성되어 네트워크에서 수집되는 정보와 엔드포인트에서 수집되는 정보를 컨텍스트 분석 모듈(120)이나 위협 헌팅 대상 식별 모듈(140)로 전송하는 역할을 수행할 수 있다.
이 때, 네트워크 정보 수집부(111)를 기반으로 네트워크에서 수집되는 정보는 Zeek(bro), Suricata 와 같이 네트워크 단의 분석기에서 분석된 정보를 지칭할 수 있다. 예를 들어, 네트워크에서 수집되는 정보에는 Session, Protocol, 세션 별 전송데이터량, 악성통신 의심파일이 추출된 Session, 네트워크에서 추출된 파일 등 네트워크 단에서 수집 및 분석할 수 있는 정보가 포함될 수 있다.
이 때, 엔드포인트 정보 수집부(11)를 기반으로 엔드포인트에서 수집되는 정보는 Windows, ETW, Linux Audit 등에서 수집할 수 있는 로그데이터를 근간으로 할 수 있으며, Process, Registry, Socket, File, Pipe, Powershell, Security Audit 로그와 같이 엔드포인트에서 동작하는 객체들과 관련된 행위정보들이 포함될 수 있다.
이 때, 도 1에 도시된 컨텍스트 분석 모듈(120)은 데이터 수집 모듈(110)로부터 전송된 네트워크 정보 및 엔드포인트 정보를 가공하여 객체 관계(Entity-Relation) 모델로 데이터를 재구성할 수 있다.
이 때, 객체 관계 모델은 APT 발생의 원인을 추적하고 APT 발생 전후 상황을 분석하기 위해 네트워크 및 시스템의 주요 객체들(예를 들어, Process, Socket, Session) 사이의 관계와 행위 흐름을 분석하여 나타낸 데이터에 상응할 수 있다.
여기서 객체(Entity)는, Process, File, Session, Port등 전산상 통용되는 개념적 구성요소들을 의미할 수 있고, 관계(Relation)는 객체들 간의 관계 또는 객체들 간에 발생된 행위 인과관계를 의미할 수도 있다.
따라서, 본 발명의 일실시예에 따른 위협 헌팅용 객체 관계 모델은, 단말에서 일어나는 객체들 간의 행위와 단말-외부 간 통신 등을 시간흐름에 따라 분석할 수 있도록 표현한 것에 해당하고, 이를 통해 행위 흐름 확인이 명확해지고, 통합분석에 용이함을 제공하여 악성행위 근원과 연관된 행위추적을 하나의 그래프에서 가능하게 할 수 있다.
예를 들어, 도 4에 도시된 것처럼 컨텍스트 분석 모듈(120)은 로그 수집 및 객체 관계 데이터 분석부(121)와 타임라인 정렬부(122)로 구성될 수 있고, 로그 수집 및 객체 관계 데이터 분석부(121)를 통해 객체 관계 모델을 재구성할 수 있다.
이 때, 로그 수집 및 객체 관계 데이터 분석부(121)는 단말 로그와 네트워크 로그를 분석하여 객체(Entity)와 관계(Relation)를 생성할 수 있다.
예를 들어, 단말에서 발생하는 로그들을 분석하여 객체의 생성, 소멸을 유추함으로써 객체 정보를 유지할 수 있고, 이 사이에 발생하는 객체들 간의 행위관련 로그를 관계(Relation)로 생성하여 도 5에 도시된 객체 관계 모델과 같이 객체 관계성을 도출할 수 있다.
이러한 분석 과정 또는 증강 과정 중 단말단에 생성된 파일과 관련된 네트워크 세션을 특정할 수 있는 정보 분석 방법은 기존의 단말단의 로그 정보만을 분석할 때보다 정확한 정보를 생성할 수 있다.
이 때, 관계(Relation)는 명시적인 이벤트와 연결되는 경우와 묵시적인 이벤트와 연결되는 경우가 존재할 수 있다. 이 때, 본 발명에서는 이러한 두 가지 경우를 모두 처리할 수 있다.
예를 들어, 명시적인 이벤트란, Process가 다른 Process에 접근(Access)할 경우에 단말단에서 Access 이벤트를 수집할 수 있는 경우를 의미할 수 있다. 또한, 묵시적인 이벤트란, Registry가 등록될 때 Registry 등록 이벤트는 존재하지만 Registry가 어떤 Service나 Process를 등록하기 위한 것인지를 명시적으로 드러내지 않는 경우를 의미할 수 있다.
따라서, 명시적인 이벤트와 관계를 처리하는 경우에는 특정 이벤트 ID를 기준으로 관계를 이어주면 되지만, 묵시적인 이벤트와 관계를 처리하는 경우에는 이벤트 데이터 정보를 재분석하여 숨겨진 관계성을 도출해야만 할 수 있다. 예를 들어, 도 3에 도시된 Service, Registry, Task 등의 Ref 관계성이 묵시적인 경우에 해당할 수 있다.
또한, 컨텍스트 분석 모듈(120)은 타임라인 정렬부(122)를 기반으로 다양한 기기에서 수집된 정보 간에 발생하는 시간 축 차이에 의한 행위간의 인과오류 문제를 해결할 수 있다. 특히, 네트워크 시간 동기 프로토콜(NTP)을 사용하지 못하는 환경에서는 각 기기의 시간 차이를 보정하기 어려운 문제로 인해 치명적인 인과오류가 발생할 수 있다.
따라서, 타임라인 정렬부(122)는 수집된 정보를 바탕으로 각 기기의 타임스탬프(Timestamp)를 보정하여 인과관계에 오류가 발생하지 않도록 유지할 수 있다. 예를 들어, 네트워크 단에서 수집된 세션정보의 타임스탬프와 단말단에서 수집된 세션정보의 타임스탬프의 차이를 계산하여 보정을 수행할 수 있다.
이 후, 컨텍스트 분석 모듈(120)은 재구성된 정보와 가공되기 전의 정보를 각각 데이터베이스(130)와 위협 헌팅 대상 식별 모듈(140)로 전송할 수 있다.
또한, 본 발명의 일실시예에 따른 다중 센서 데이터를 이용한 위협 헌팅 기반의 위협 탐지 방법은 객체 관계 모델, 대량의 데이터에서 파싱된(PARSING) 로그 정보 및 외부 탐지 정보 중 적어도 하나를 기반으로 위협 헌팅(THREAT HUNTING) 분석 대상을 식별한다(S220).
예를 들어, 도 1에 도시된 위협 헌팅 대상 식별 모듈(140)은 컨텍스트 분석 모듈(120)에서 전송된 객체 관계 모델 및 로그 정보와 함께 데이터 수집 모듈(110)로부터 전송된 외부 탐지에 의한 악성의심 정보를 기반으로 위협 헌팅 대상을 식별할 수 있다.
이 때, 정적 시그니처 탐지요소에 기반한 멀티 시그니처 식별(MULTI SIGNATURE DETECTION) 기법, 객체 관계 모델 및 로그 정보 중 적어도 하나에 기반한 스트림 데이터 이상 식별(STREAM DATA ANOMALY DETECTION) 기법 및 외부 탐지 정보에 기반한 식별 기법 중 적어도 하나를 이용하여 위협 헌팅 분석 대상을 식별할 수 있다.
예를 들어, 본 발명의 일실시예에 따른 위협 헌팅 대상 식별 모듈(140)은 도 6에 도시된 것처럼 멀티 시그니처 식별(MULTI SIGNATURE DETECTION) 기법을 이용하는 멀티 시그니처 기반 식별부(141)와 스트림 데이터 이상 식별(STREAM DATA ANOMALY DETECTION) 기법을 이용하는 프로필 기반 식별부(142) 및 무결성 기반 식별부(143)를 통해 위협 헌팅 대상을 식별할 수 있다.
이 때, 멀티 시그니처 식별(MULTI SIGNATURE DETECTION) 기법은 시그니처 조합과 일치하는 로그가 발견될 경우에 위협 헌팅 대상으로 판단하는 방식이며, 이미 알려진 공격을 탐지하는데 효과적이다.
이 때, 스트림 데이터 이상 식별(STREAM DATA ANOMALY DETECTION) 기법은 실시간으로 수집되는 로그정보, 분석된 객체 관계 모델을 토대로 Entity Profile의 정상범주를 벗어나는 객체(Entity) 및 관계(Relation)를 식별할 수 있다. 이 때, Machine Learning 알고리즘을 활용할 수 있으며, 로그 필드 값에 대한 비정상(Anomaly) 수준과 특정 시점의 객체 관계(Entity-Relation) 그래프에 대한 비정상 수준을 탐지할 수 있다.
이 때, 스트림 데이터 이상 식별 기법은 학습된 정상 모델과 객체 관계 모델을 비교하여 비정상적인 행위를 유발하는 객체를 식별하는 프로필 기반 식별 기법과 네트워크 로그와 단말 로그 사이의 행위가 일치하지 않는 경우를 기반으로 하는 무결성 기반 식별 기법을 포함할 수 있다.
이 때, 프로필 기반 식별 기법은 특정 객체의 행위 그래프, 필드값 등을 입력으로 받는 Machine Learning 알고리즘을 이용하여 비정상적인 객체를 식별하는 것으로, 학습된 정상 모델에서 벗어나는지 여부를 판단하여 알려지지 않은 공격에 관련된 비정상적인 행위를 유발하는 객체를 식별할 수 있다. 이를 위해 사용되는 Vector화 방법에는 Graph Embedding 기법이 적용될 수 있으며, Graph Embedding 기법을 이용하여 평소 상태의 객체 별 행위 그래프들을 Machine Learning 알고리즘의 입력 값으로 제공하여 정상수준을 학습시키는 방법을 사용할 수 있다.
이 때, 무결성 기반 식별 기법은 네트워크 단의 로그와 단말단의 로그 간의 행위의 일치성이 어긋난 경우를 탐지하는 방식을 의미할 수 있다.
예를 들어 네트워크 단에서 네트워크 접속 정보가 생성된 시점에 단말단에서는 네트워크 접속 정보가 생성되지 않거나 또는 정보가 상이할 경우가 네트워크 단의 로그와 단말단의 로그 간의 행위의 일치성이 어긋난 경우에 상응할 수 있다. 이러한 경우, 단말단에서 공격자가 방어시스템 무력화를 시도하는 것으로 간주하고, 해당 객체를 위협 헌팅 대상으로 식별할 수 있다.
이 때, 외부 탐지 정보에 기반한 식별 기법은 외부에서 수신된 탐지정보를 토대로 위협 헌팅 대상을 도출하는 방식에 상응할 수 있다.
또한, 본 발명의 일실시예에 따른 다중 센서 데이터를 이용한 위협 헌팅 기반의 위협 탐지 방법은 위협 헌팅 룰(THREAT HUNTING RULE)을 기반으로 위협 헌팅 분석 대상에 관련된 APT(ADVANCED PERSISTENT THREAT) 탐지를 수행한다(S230).
예를 들어, 도 1에 도시된 위협 헌팅 분석 모듈(150)은 도 7에 도시된 것과 같이 객체 관계 그래프 생성부(151), 서브 그래프 탐지부(152) 및 탐지 결과 분석부(153)로 구성될 수 있다. 이 때, 위협 헌팅 분석 모듈(150)은 위협 헌팅 대상 식별 모듈(140)을 통해 도출된 위협 헌팅 대상을 중심으로 연결된 객체에 관한 데이터들을 선택하여 객체 관계 그래프를 구성할 수 있고, 구성된 객체 관계 그래프에서 위협 헌팅 룰에 의해 검출되는 행위들이 존재하는지 분석하는 방식으로 위협을 탐지할 수 있다.
이 때, 위협 헌팅 분석 대상에 관련된 객체를 기반으로 생성된 객체 관계 그래프를 기반으로 수행되는 포워드 체인(FORWARD CHAIN) 추론 방식 및 특정 공격자에 대한 위협 헌팅 가설을 기반으로 수행되는 백워드 체인(BACKWARD CHAIN) 추론 방식 중 적어도 하나를 기반으로 APT 탐지를 수행할 수 있다.
이 때, 포워드 체인 추론 방식은 위협 헌팅 룰을 실행하여 객체 관계 그래프 내에서 위협 행위에 대응하는 서브 그래프를 탐지하고, 서브 그래프를 탐지하는데 사용된 위협 헌팅 룰 집합의 피벗 포인트(PIVOT POINT)에 정의된 객체를 기준으로 서브 그래프를 확장하고, 확장된 서브 그래프와 위협 헌팅 룰 집합을 기반으로 위협 행위에 대응하는 공격자 및 공격작전(CAMPAIGN)을 도출하는 과정으로 수행될 수 있다.
예를 들어, 도 10을 참조하면, 본 발명의 일실시예에 따른 포워드 체인 추론 방식은 먼저 위협 헌팅 대상에 관련된 객체를 기준으로 임시 객체 관계 그래프를 생성할 수 있다(S1010).
이 때, 객체 관계 그래프는 위협 헌팅 대상에 관련된 객체들과 해당 객체들 간의 관계를 기준으로 생성된 그래프에 상응하는 것으로 도 9와 같은 방식으로 생성될 수 있다.
이 후, 위협 헌팅 룰을 실행하여 임시 객체 관계 그래프 내에서 위협 헌팅 룰에 대응하는 서브 그래프를 탐지한다(S1020).
이 후, 서브 그래프가 탐지되면, 위협 헌팅 룰의 구성요소인 피벗 포인트(Pivot Point)에 정의된 객체를 중심으로 서브 그래프를 확장하고 확장된 그래프에 대해서 위협 헌팅 룰을 통해 다시 탐지를 수행할 수 있다(S1030).
이 후, 모든 피벗 포인트에 대해서 서브 그래프의 확장을 수행하였는지 여부를 판단할 수 있다(S1035).
이 때, 단계(S1035)의 판단결과 모든 피벗 포인트에 대해 서브 그래프의 확장이 수행되지 않았으면, 단계(S1020)부터 위협 헌팅 룰을 통해 탐지된 나머지 서브 그래프에 대한 확장 수행을 반복함으로써 탐지된 서브 그래프의 모든 피벗 포인트에 대해 확장을 수행할 수 있다. 즉, 추가로 탐지된 서브 그래프가 있다면, 해당 그래프의 피벗 포인트를 기준으로 확장 수행을 반복하는 방식으로 탐지를 수행할 수 있다.
또한, 단계(S1035)의 판단결과 모든 피벗 포인트에 대해 서브 그래프의 확장을 반복적으로 수행하였으면, 탐지 내역을 기록하고 탐지 내역을 기반으로 TTP기반의 APT 위협수준을 측정할 수 있다(S1040).
예를 들어, 탐지된 서브 그래프와 위협 헌팅 룰의 내역을 종합하여 공격자(Threat Actor)가 수행했던 공격작전(Campaign) 정보와 비교 분석함으로써 TTP기반의 APT 위협수준을 측정할 수 있다.
이 후, 최종적으로 탐지된 위협 헌팅 룰의 집합과 공격작전(Campaign)에 정의된 TTP들을 비교하여 탐지된 내용과 관련도가 높은 공격자와 공격 작전을 도출할 수 있다(S1050).
이와 같은 자동화된 추론 과정은, 탐지내용으로부터 관계된 공격자를 논리적으로 유추하는 장점을 가지고 있으므로 단편적인 탐지만을 수행하는 기존 시스템과는 차별성을 가질 수 있다.
이 때, 백워드 체인 추론 방식은 외부로부터 수신된 APT 공격동향 및 특정 공격자에 대한 위협 헌팅 가설을 생성하고, 위협 헌팅 가설과 관련된 위협 헌팅 룰 집합을 기반으로 탐지 대상 객체에 상응하는 객체 관계 그래프를 생성하여 서브 그래프를 탐지하고, 위협 헌팅 룰 집합의 피벗 포인트(PIVOT POINT)를 기반으로 확장된 서브 그래프 및 위협 헌팅 룰 집합을 기반으로 위협 행위에 대응하는 공격자 및 공격작전(CAMPAIGN)을 도출하여 위협 헌팅 가설을 검증하는 과정으로 수행될 수 있다.
예를 들어, 도 11을 참조하면, 본 발명의 일실시예에 따른 백워드 체인 추론 방식은 먼저 외부로부터 수신된 APT 공격동향을 기반으로 위협 헌팅 가설을 생성할 수 있다(S1110).
예를 들어, 외부로부터 APT 공격동향과 관련한 공격자(Threat Actor), IOCs, TTP 등의 정보와 함께 특정 공격자가 시스템에 침투했는지 판단해달라는 요청을 수신할 수 있다. 이 때, 도 12에 도시된 것처럼 Threat Actor Database에 저장된 공격자 정보(1220)와 수신된 APT 공격동향을 함께 분석하여 탐지를 수행하는데 사용할 위협 헌팅 룰(1210)을 검출하고, 검출된 위협 헌팅 룰(1210)을 중심으로 탐지를 수행하여 위협 공격이 탐지될 경우에 관련된 공격이 시스템에 존재할 것이라는 가설을 생성할 수 있다.
예를 들어, 공격자 정보(1220)는 Name, Campaign 등을 포함할 수 있다. 이 때, Name은 공격자 그룹의 이름을 의미할 수 있으며, Campaign은 해당 공격자 그룹이 수행했던 공격에서 사용된 공격기술(Technique, TTP) 들을 탐지하기 위한 위협 헌팅 룰의 집합을 의미할 수 있다.
이 후, 해당 가설을 검증하기 위하여 관련된 위협 헌팅 룰(1210)에 정의된 피벗 포인트(Pivot Point)를 중심으로 TTP 및 조사대상 객체를 도출할 수 있다(S1120).
이 후, 도출된 객체를 기준으로 객체 관계 그래프를 구성할 수 있고(S1130), 특정 공격자(Threat Actor)에 관련된 위협 헌팅 룰을 실행함으로써 객체 관계 그래프에서 서브 그래프를 탐지할 수 있다(S1140).
이 후, 서브 그래프가 탐지되면, 위협 헌팅 룰의 피벗 포인트(Pivot Point)에 정의된 객체를 중심으로 서브 그래프를 확장하고 다시 탐지를 수행할 수 있다(S1150).
이 후, 탐지된 모든 서브 그래프의 모든 피벗 포인트에 대해서 확장을 수행하였는지 여부를 판단할 수 있다(S1155).
이 때, 단계(S1155)의 판단결과 모든 피벗 포인트에 대해 서브 그래프의 확장이 수행되지 않았으면, 단계(S1140)부터 반복적으로 수행함으로써 탐지된 모든 서브 그래프의 모든 피벗 포인트에 대해 확장을 수행할 수 있다.
또한, 단계(S1155)의 판단결과 모든 피벗 포인트에 대해 서브 그래프의 확장을 반복적으로 수행하였으면, 모든 조사대상 객체에 대해 탐지가 완료되었는지 여부를 판단할 수 있다(S1165).
단계(S1165)의 판단결과 모든 조사대상 객체에 대해 탐지가 완료되지 않았으면, 모든 조사대상 객체에 대해 탐지가 수행될 때까지 반복적으로 탐지를 수행할 수 있다.
또한, 단계(S1165)의 판단결과 모든 조사대상 객체에 대해 탐지가 완료되었으면, 탐지 내역을 기록하고 가설이 검증하고자 한 공격자(Threat Actor) 관련 TTP가 검출되었는지 여부를 통해 가설 검증을 수행할 수 있다(S1170).
이 때, 검증하고자 한 공격자(Threat Actor) 관련 TTP가 검출되었을 경우, 외부 요청에 대한 응답으로써 관련 내용을 전송할 수 있다.
이 때, 위협 헌팅 룰은 APT를 탐지하기 위해 생성된 위협 헌팅 가설 기반의 탐지 로직에 상응하고, 외부의 보안 서버를 통해 주기적으로 갱신되는 공격 활동 사례 분석 데이터를 기반으로 자동화된 추론을 위한 구성요소를 포함할 수 있다.
즉, 위협 헌팅 룰은 분석가가 고차원적 위협탐지 가설을 기술한 탐지 로직에 상응하는 것으로, 공격자의 TTP(공격기술)을 탐지하고자 하는데 목적을 두고 있다.
예를 들어, 본 발명의 일실시예에 따른 추론 과정에서 활용되는 위협 헌팅 룰은 MITRE에서 제시한 ATT&CKTM과 연결되어 자동화된 추론을 위한 구성요소를 포함할 수 있다.
이 때, 위협 헌팅 룰의 구성요소는 Technique, Tactic, Threat Actor, ID, Detection Level, Pivot Point, Analytic 등을 포함할 수 있고, 각 구성요소 별 역할은 다음과 같다.
예를 들어, Technique은 ATT&CKTM에 정의된 Technique 중 위협 헌팅 룰이 탐지하고자 하는 Technique을 의미할 수 있다. Tactic은 탐지하고자 하는 Technique이 속한 ATT&CKTM의 Tactic을 의미할 수 있다. Threat Actor는 해당 위협 헌팅 룰이 탐지하고자 하는 공격자를 의미할 수 있으며, Threat Actor Database에 정의된 공격자 정보 중 공격 그룹명(Name)을 의미할 수도 있다. ID는 특정 위협 헌팅 룰의 식별자 정보를 의미할 수 있다. Detection Level은 위협 헌팅 룰이 탐지하고자 하는 수준을 의미할 수 있으며, TTP, Suspicious, Situation Awareness 등 3가지 수준으로 나뉠 수 있다. 이 때, TTP는 공격자가 사용하는 특정 공격기술방식에 매우 밀접한 수준을 탐지하고자 하는 수준을 의미하고, Suspicious는 범용적으로 사용되거나 공격이 의심되는 수준을 의미하며, Situation Awareness는 일반적인 행위 발생을 파악하기 위한 수준을 의미할 수 있다. Pivot Point는 위협 헌팅 룰의 Analytic을 통하여 공격이 탐지되었을 경우에 Pivot Point에 정의된 객체를 기준으로 그래프를 확장하는 것을 정의한 정보에 상응할 수 있다. Analytic은 실질적인 위협 헌팅 탐지에 활용되는 정보로써 객체(Entity)와 관계(Relation)의 조합을 통하여 위협 헌팅을 수행하기 위한 룰을 정의할 수 있다.
이 때, 도 12에 도시된 위협 헌팅 룰의 일 예를 기준으로 Analytic이 탐지하고자 하는 패턴을 설명하면 다음과 같다.
[특정 프로세스(Process) P1이 프로세스 P2를 Access 할 때, P2가 신뢰된 프로세스(Trusted Process) 중 하나이고, Access 관계의 Granted Access 필드가 0x40이면서 CallTrace 필드에 대한 Anomaly Flag가 설정된 경우]
이 때, 도 12에 도시된 Analytic 중 CallTrace 필드에 대한 Anomaly Flag는 위협 헌팅 대상 식별 모듈에서 프로필 기반 식별 기법을 통하여 설정된 것으로, Machine Learning이 학습한 정상범위를 벗어나는 필드 값일 경우에 설정될 수 있다.
이와 같은 위협 헌팅 룰은 도 1에 도시된 위협 헌팅 쿼리 모듈(160)에 의해 해석되어 실행될 수 있다.
예를 들어, 도 8을 참조하면, 본 발명의 일실시예에 따른 위협 헌팅 쿼리 모듈(160)은 위협 헌팅 룰 데이터베이스(161), 위협 헌팅 룰 실행부(162) 및 위협수준 측정부(163)로 구성될 수 있으며, 위협 헌팅 분석 모듈(150)에서 탐지된 서브 그래프들을 종합하여 탐지된 APT 공격에 대한 최종적인 위협수준 또는 악성수준을 판단할 수 있다.
또한, 본 발명의 일실시예에 따른 다중 센서 데이터를 이용한 위협 헌팅 기반의 위협 탐지 방법은 탐지된 APT에 대해서 위협수준을 포함하는 위협 헌팅 탐지 데이터를 생성하고, 적어도 하나의 외부 탐지 시스템으로 위협 헌팅 탐지 데이터를 공유한다(S240).
예를 들어, 본 발명에서는 도 1에 도시된 위협 헌팅 쿼리 모듈(160)을 기반으로 위협 헌팅 탐지 데이터를 외부 탐지 시스템(820)에게 공유하거나, 위협 헌팅 탐지 출력 모듈(170)을 기반으로 분석가에게 위협 헌팅 탐지 데이터를 출력해줄 수도 있다.
이 때, 위협 헌팅 탐지 데이터는 위협 수준, 주요 악성행위 객체, 관련 APT 그룹 및 피해 대상 중 적어도 하나를 포함하는 탐지 결과 데이터, 공격 활동 사례 분석 데이터에 기정의된 공격 전술(TACTICS)을 기반으로 이에 대응하게 탐지된 침투 기술(TECHNIQUES) 및 피해 대상을 보여주는 결과 종합 데이터, 공격자 관계성 분석 데이터, 탐지된 TTP(TACTICS, TECHNIQUES, PROCEDURES) 내역을 시간 흐름에 따라 보여주는 TTP 탐지 및 흐름 데이터 중 적어도 하나를 포함할 수 있다.
예를 들어, 위협 헌팅 탐지 데이터는 도 13에 도시된 것과 같은 레이아웃을 기반으로 도 14 내지 도 17에 상응하는 구성으로 디스플레이 될 수 있다.
먼저, 도 13을 참조하면, 본 발명의 일실시예에 따른 위협 헌팅 탐지 데이터(1300)는 공격자 관계성 분석 데이터(1310), 탐지 결과 데이터(1320), ATT&CK 결과 종합 데이터(1330) 및 TTP 탐지 및 흐름 데이터(1340)를 포함할 수 있다.
이 때, 공격자 관계성 분석 데이터(1310)는 도 14에 도시된 것처럼, 공격자(Threat Actor)와 해당 공격자가 수행했던 작전(Campaign), 그리고 작전에 사용되었던 악성코드, 공격기술 및 이들을 탐지하기 위한 위협 헌팅 룰 간의 관계성을 나타낼 수 있다.
예를 들어, 도 14에서는 공격자 APT0와 관계되어 있는 탐지내용과 위협 헌팅 룰들을 보여주고 있다. 즉, 탐지된 내역이 APT0가 수행했던 공격작전 중 Campaign-Bear, Campaign-Cat에 관련된 위협 헌팅 룰에 의해 탐지된 것임을 알 수 있다. 이 때, Campaign-Cat에서는 Malware-RAT01이라는 악성코드가 사용되었고, 해당 악성코드의 행위를 탐지하기 위한 위협 헌팅 룰도 함께 탐지된 것을 확인할 수 있다.
이와 같이, 공격자 관계성 분석 데이터(1310)을 기반으로 탐지된 위협 헌팅 룰과 공격자 간의 관계성을 확인할 수 있으므로, 어떤 공격 그룹이 탐지된 내용과 관련성이 높은지 확인할 수 있다.
또한, 이러한 내용에 따라 위협 헌팅 룰은 Detection Level을 지정할 수 있고, 지정된 Detection Level에 따라 표출되는 시각적 효과 또한 달라질 수 있다.
예를 들어, TTP Level의 위협 헌팅 룰은 붉은색으로 나타내거나, Situation Awareness 수준의 위협 헌팅 룰은 파란색이나 노란색으로 나타낼 수 있고, Suspicious 수준의 위협 헌팅 룰은 주황색으로 구분하여 나타낼 수도 있다.
이와 같은 시각적 구별 방식은 위협 헌팅 탐지 데이터(1300)에 포함되는 다른 데이터들과 동일하게 연동되어 사용될 수 있으며, 구별을 위해 사용되는 색상이나 패턴 등은 사용자 설정과 구현에 의해 자유롭게 변경될 수 있다.
이 때, 탐지 결과 데이터(1320)는 도 15에 도시된 것처럼, 위협수준, 주요 악성행위 객체, 관련 APT 그룹, 피해 대상 등을 나타낼 수 있다.
이 때, 위협수준은 탐지내역을 종합하여 수치화한 것에 상응하고, 주요 악성행위 객체는 탐지내역 중 악성행위 수준이 높은 객체(Entity)를 의미할 수 있다.
예를 들어, 도 15에서는 Host1에서 동작하는 cmd.exe 프로세스가 주요 악성행위 객체에 해당할 수 있다.
이 때, 관련 APT 그룹은 탐지 내역을 토대로 공격자 중 높은 관련성을 가진 그룹을 도출하여 보여줄 수 있으며, 피해 대상은 탐지내역에 따라 실질적인 공격 대상을 보여줄 수 있다.
이 때, 분석가는 탐지 결과 데이터(1320)에 표출된 내용을 통하여 주요 탐지 내용을 확인할 수 있다.
이 때, ATT&CK 결과 종합 데이터(1330)는 도 16에 도시된 것처럼, ATT&CKTM에 정의된 Tactic과 Technique에 해당하는 TTP 기준(1610)으로 탐지된 공격기술을 탐지된 TTP 흐름(1621, 1622)과 관련된 피해 대상과 결합하여 보여줄 수 있다.
이 때, ATT&CK 결과 종합 데이터(1330)의 상단에 나온 Initial Access부터 Impact는 ATT&CKTM에 정의된 Tactic을 의미하며, 하단에 나온 내용은 탐지된 Technique과 피해 대상을 결합하여 나타낸 것을 의미할 수 있다.
즉, 도 16을 참조하면, Host1에서 Initial Access Tactic의 Spearphsihing Attachment Technique이 처음으로 실행되어, Execution Tactic의 Rundll32 Technique를 거쳐 Persistence Tactic의 Scheduled Task, Discovery Tactic의 Remote System Discovery Technique, Lateral Movement Tactic의 Remote Desktop Protocol 등이 순차적으로 실행되는 것을 확인할 수 있다. 이 후, Host2에서 Mshta Technique, Startup Items Technique이 탐지된 것을 확인할 수 있다.
이와 같이 분석가는 ATT&CK 결과 종합 데이터(1330)에 출력된 내용을 통하여 탐지내역에 의해 탐지된 공격기술들의 흐름을 피해대상과 함께 확인할 수 있다.
이 때, TTP 탐지 및 흐름 데이터(1340)는 도 17에 도시된 것처럼, 탐지된 내역을 시간 흐름에 따라 나타낸 것에 상응할 수 있다.
예를 들어, TTP 탐지 및 흐름 데이터(1340)는 ATT&CKTM Oriented View와 Entity-Oriented View 등의 분석 시점을 제공할 수 있고, 시간 흐름에 따라 보여주기 위하여 Timeline Slide를 기반으로 탐지 내역에 관련된 시간 축의 특정 시점에 따라 관련된 흐름만을 보여줄 수도 있다.
이 때, 도 17은 ATT&CKTM Oriented View의 일 예로, 탐지 내역을 ATT&CKTM에 정의된 Tactic, Technique 및 탐지된 위협 헌팅 룰과 실제 행위가 수행된 객체(Entity)들을 연결하여 보여줄 수 있다. 이 때, Host1과 Host2에서 탐지된 내역을 Tactic을 기준으로 보여주고, 이 중에서 Host1의 Initial Access Tactic에 관련된 탐지내용을 펼쳐서 도 17처럼 보여줄 수도 있다.
또한, Initial Access Tactic에 관련된 탐지 내용으로는, 탐지된 Technique과 이에 연결된 위협 헌팅 룰의 Detection Level, 관련된 객체(Entity), 관계(Relation) 내용 등이 포함될 수 있다.
예를 들어, 도 17에서는 Outlook Download라는 위협 헌팅 룰이 탐지되었고, Detection Level은 Situation Awareness 수준에 해당한다. 또한, 관련된 Entity, Relation으로는 outlook.exe 프로세스가 phishing.pdf 파일을 생성하고 Execution Tactic에 해당하는 다른 Threat Hunt Rule에 탐지된 Entity가 phishing.pdf 파일을 접근하는 내용을 확인할 수 있다.
이 때, Host2에 관한 내용은 펼치지 않은 상태에 해당하는 것으로, Host2에서 탐지된 내역에 해당하는 Tactic 만을 보여줄 수 있으며, 그 위험도에 따라 Host2 영역의 색상을 설정할 수도 있다.
이 때, 분석가는 Host2 영역의 색상을 통하여 해당 단말에서 탐지된 공격기술의 심각성을 확인할 수도 있다.
이 때, 도 17에 도시된 Entity-Oriented View는 Process, File 등 객체(Entity) 중심의 흐름을 표출하는 방식에 상응하는 것으로, Tactic, Technique 등의 내용 없이 Entity간의 관계만을 보여줄 수 있다.
이 때, 도 13 내지 도 17에 도시된 위협 헌팅 탐지 데이터에 관한 구성은 일 실시예에 해당하는 것으로, 구현에 따라 디스플레이 방식이 달라질 수 있으며, 특정한 형태로 한정되지 않을 수 있다.
또한, 본 발명에서는 도 1에 도시된 것과 같은 데이터베이스(130)를 기반으로 위협 탐지를 위한 전 과정에서 생성되고 사용되는 정보들을 저장 및 관리할 수 있다. 예를 들어, 데이터베이스(130)에 저장되는 정보는 파싱된 로그정보부터 컨텍스트 분석 정보 및 탐지 정보 등을 포함할 수 있다.
이와 같은 위협 탐지 방법을 이용함으로써 대량의 정보를 기반으로 심도있는 추론을 수행하여 자동으로 APT 공격을 탐지할 수 있는 탐지로직을 제공할 수 있다.
또한, 위협 헌팅 기반의 탐지를 수행하기 위해 범용적인 데이터 표현과 흐름 그래프를 구성하는 방안을 제공할 수 있으며, 외부 탐지 시스템들과 탐지로직을 공유하여 위협헌팅에 의한 자동화된 위협 탐지를 일반화시킬 수도 있다.
도 18은 본 발명의 일실시예에 따른 다중 센서 데이터를 이용한 위협 헌팅 기반의 위협 탐지 장치를 나타낸 블록도이다.
도 18을 참조하면, 본 발명의 일실시예에 따른 다중 센서 데이터를 이용한 위협 헌팅 기반의 위협 탐지 장치는 프로세서(1810) 및 메모리(1820)를 포함한다.
프로세서(1810)는 복수의 센서들로부터 수집된 대량의 데이터를 가공하여 객체 관계 모델에 상응하게 데이터를 재구성한다.
예를 들어, 도 1에 도시된 데이터 수집 모듈(110)은 도 3에 도시된 것처럼 네트워크 수집부(111)와 엔드포인트 정보 수집부(112)로 구성되어 네트워크에서 수집되는 정보와 엔드포인트에서 수집되는 정보를 컨텍스트 분석 모듈(120)이나 위협 헌팅 대상 식별 모듈(140)로 전송하는 역할을 수행할 수 있다.
이 때, 네트워크 정보 수집부(111)를 기반으로 네트워크에서 수집되는 정보는 Zeek(bro), Suricata 와 같이 네트워크 단의 분석기에서 분석된 정보를 지칭할 수 있다. 예를 들어, 네트워크에서 수집되는 정보에는 Session, Protocol, 세션 별 전송데이터량, 악성통신 의심파일이 추출된 Session, 네트워크에서 추출된 파일 등 네트워크 단에서 수집 및 분석할 수 있는 정보가 포함될 수 있다.
이 때, 엔드포인트 정보 수집부(11)를 기반으로 엔드포인트에서 수집되는 정보는 Windows, ETW, Linux Audit 등에서 수집할 수 있는 로그데이터를 근간으로 할 수 있으며, Process, Registry, Socket, File, Pipe, Powershell, Security Audit 로그와 같이 엔드포인트에서 동작하는 객체들과 관련된 행위정보들이 포함될 수 있다.
이 때, 도 1에 도시된 컨텍스트 분석 모듈(120)은 데이터 수집 모듈(110)로부터 전송된 네트워크 정보 및 엔드포인트 정보를 가공하여 객체 관계(Entity-Relation) 모델로 데이터를 재구성할 수 있다.
이 때, 객체 관계 모델은 APT 발생의 원인을 추적하고 APT 발생 전후 상황을 분석하기 위해 네트워크 및 시스템의 주요 객체들(예를 들어, Process, Socket, Session) 사이의 관계와 행위 흐름을 분석하여 나타낸 데이터에 상응할 수 있다.
여기서 객체(Entity)는, Process, File, Session, Port등 전산상 통용되는 개념적 구성요소들을 의미할 수 있고, 관계(Relation)는 객체들 간의 관계 또는 객체들 간에 발생된 행위 인과관계를 의미할 수도 있다.
따라서, 본 발명의 일실시예에 따른 위협 헌팅용 객체 관계 모델은, 단말에서 일어나는 객체들 간의 행위와 단말-외부 간 통신 등을 시간흐름에 따라 분석할 수 있도록 표현한 것에 해당하고, 이를 통해 행위 흐름 확인이 명확해지고, 통합분석에 용이함을 제공하여 악성행위 근원과 연관된 행위추적을 하나의 그래프에서 가능하게 할 수 있다.
예를 들어, 도 4에 도시된 것처럼 컨텍스트 분석 모듈(120)은 로그 수집 및 객체 관계 데이터 분석부(121)와 타임라인 정렬부(122)로 구성될 수 있고, 로그 수집 및 객체 관계 데이터 분석부(121)를 통해 객체 관계 모델을 재구성할 수 있다.
이 때, 로그 수집 및 객체 관계 데이터 분석부(121)는 단말 로그와 네트워크 로그를 분석하여 객체(Entity)와 관계(Relation)를 생성할 수 있다.
예를 들어, 단말에서 발생하는 로그들을 분석하여 객체의 생성, 소멸을 유추함으로써 객체 정보를 유지할 수 있고, 이 사이에 발생하는 객체들 간의 행위관련 로그를 관계(Relation)로 생성하여 도 5에 도시된 객체 관계 모델과 같이 객체 관계성을 도출할 수 있다.
이러한 분석 과정 또는 증강 과정 중 단말단에 생성된 파일과 관련된 네트워크 세션을 특정할 수 있는 정보 분석 방법은 기존의 단말단의 로그 정보만을 분석할 때보다 정확한 정보를 생성할 수 있다.
이 때, 관계(Relation)는 명시적인 이벤트와 연결되는 경우와 묵시적인 이벤트와 연결되는 경우가 존재할 수 있다. 이 때, 본 발명에서는 이러한 두 가지 경우를 모두 처리할 수 있다.
예를 들어, 명시적인 이벤트란, Process가 다른 Process에 접근(Access)할 경우에 단말단에서 Access 이벤트를 수집할 수 있는 경우를 의미할 수 있다. 또한, 묵시적인 이벤트란, Registry가 등록될 때 Registry 등록 이벤트는 존재하지만 Registry가 어떤 Service나 Processㄹ르 등록하기 위한 것인지를 명시적으로 드러내지 않는 경우를 의미할 수 있다.
따라서, 명시적인 이벤트와 관계를 처리하는 경우에는 특정 이벤트 ID를 기준으로 관계를 이어주면 되지만, 묵시적인 이벤트와 관계를 처리하는 경우에는 이벤트 데이터 정보를 재분석하여 숨겨진 관계성을 도출해야만 할 수 있다. 예를 들어, 도 3에 도시된 Service, Registry, Task 등의 Ref 관계성이 묵시적인 경우에 해당할 수 있다.
또한, 컨텍스트 분석 모듈(120)은 타임라인 정렬부(122)를 기반으로 다양한 기기에서 수집된 정보 간에 발생하는 시간 축 차이에 의한 행위간의 인과오류 문제를 해결할 수 있다. 특히, 네트워크 시간 동기 프로토콜(NTP)을 사용하지 못하는 환경에서는 각 기기의 시간 차이를 보정하기 어려운 문제로 인해 치명적인 인과오류가 발생할 수 있다.
따라서, 타임라인 정렬부(122)는 수집된 정보를 바탕으로 각 기기의 타임스탬프(Timestamp)를 보정하여 인과관계에 오류가 발생하지 않도록 유지할 수 있다. 예를 들어, 네트워크 단에서 수집된 세션정보의 타임스탬프와 단말단에서 수집된 세션정보의 타임스탬프의 차이를 계산하여 보정을 수행할 수 있다.
이 후, 컨텍스트 분석 모듈(120)은 재구성된 정보와 가공되기 전의 정보를 각각 데이터베이스(130)와 위협 헌팅 대상 식별 모듈(140)로 전송할 수 있다.
또한, 프로세서(1810)는 객체 관계 모델, 대량의 데이터에서 파싱된(PARSING) 로그 정보 및 외부 탐지 정보 중 적어도 하나를 기반으로 위협 헌팅(THREAT HUNTING) 분석 대상을 식별한다.
예를 들어, 도 1에 도시된 위협 헌팅 대상 식별 모듈(140)은 컨텍스트 분석 모듈(120)에서 전송된 객체 관계 모델 및 로그 정보와 함께 데이터 수집 모듈(110)로부터 전송된 외부 탐지에 의한 악성의심 정보를 기반으로 위협 헌팅 대상을 식별할 수 있다.
이 때, 정적 시그니처 탐지요소에 기반한 멀티 시그니처 식별(MULTI SIGNATURE DETECTION) 기법, 객체 관계 모델 및 로그 정보 중 적어도 하나에 기반한 스트림 데이터 이상 식별(STREAM DATA ANOMALY DETECTION) 기법 및 외부 탐지 정보에 기반한 식별 기법 중 적어도 하나를 이용하여 위협 헌팅 분석 대상을 식별할 수 있다.
예를 들어, 본 발명의 일실시예에 따른 위협 헌팅 대상 식별 모듈(140)은 도 6에 도시된 것처럼 멀티 시그니처 식별(MULTI SIGNATURE DETECTION) 기법을 이용하는 멀티 시그니처 기반 식별부(141)와 스트림 데이터 이상 식별(STREAM DATA ANOMALY DETECTION) 기법을 이용하는 프로필 기반 식별부(142) 및 무결성 기반 식별부(143)를 통해 위협 헌팅 대상을 식별할 수 있다.
이 때, 멀티 시그니처 식별(MULTI SIGNATURE DETECTION) 기법은 시그니처 조합과 일치하는 로그가 발견될 경우에 위협 헌팅 대상으로 판단하는 방식이며, 이미 알려진 공격을 탐지하는데 효과적이다.
이 때, 스트림 데이터 이상 식별(STREAM DATA ANOMALY DETECTION) 기법은 실시간으로 수집되는 로그정보, 분석된 객체 관계 모델을 토대로 Entity Profile의 정상범주를 벗어나는 객체(Entity) 및 관계(Relation)를 식별할 수 있다. 이 때, Machine Learning 알고리즘을 활용할 수 있으며, 로그 필드 값에 대한 비정상(Anomaly) 수준과 특정 시점의 객체 관계(Entity-Relation) 그래프에 대한 비정상 수준을 탐지할 수 있다.
이 때, 스트림 데이터 이상 식별 기법은 학습된 정상 모델과 객체 관계 모델을 비교하여 비정상적인 행위를 유발하는 객체를 식별하는 프로필 기반 식별 기법과 네트워크 로그와 단말 로그 사이의 행위가 일치하지 않는 경우를 기반으로 하는 무결성 기반 식별 기법을 포함할 수 있다.
이 때, 프로필 기반 식별 기법은 특정 객체의 행위 그래프, 필드값 등을 입력으로 받는 Machine Learning 알고리즘을 이용하여 비정상적인 객체를 식별하는 것으로, 학습된 정상 모델에서 벗어나는지 여부를 판단하여 알려지지 않은 공격에 관련된 비정상적인 행위를 유발하는 객체를 식별할 수 있다. 이를 위해 사용되는 Vector화 방법에는 Graph Embedding 기법이 적용될 수 있으며, Graph Embedding 기법을 이용하여 평소 상태의 객체 별 행위 그래프들을 Machine Learning 알고리즘의 입력 값으로 제공하여 정상수준을 학습시키는 방법을 사용할 수 있다.
이 때, 무결성 기반 식별 기법은 네트워크 단의 로그와 단말단의 로그 간의 행위의 일치성이 어긋난 경우를 탐지하는 방식을 의미할 수 있다.
예를 들어 네트워크 단에서 네트워크 접속 정보가 생성된 시점에 단말단에서는 네트워크 접속 정보가 생성되지 않거나 또는 정보가 상이할 경우가 네트워크 단의 로그와 단말단의 로그 간의 행위의 일치성이 어긋난 경우에 상응할 수 있다. 이러한 경우, 단말단에서 공격자가 방어시스템 무력화를 시도하는 것으로 간주하고, 해당 객체를 위협 헌팅 대상으로 식별할 수 있다.
이 때, 외부 탐지 정보에 기반한 식별 기법은 외부에서 수신된 탐지정보를 토대로 위협 헌팅 대상을 도출하는 방식에 상응할 수 있다.
또한, 프로세서(1810)는 위협 헌팅 룰(THREAT HUNTING RULE)을 기반으로 위협 헌팅 분석 대상에 관련된 APT(ADVANCED PERSISTENT THREAT) 탐지를 수행한다.
예를 들어, 도 1에 도시된 위협 헌팅 분석 모듈(150)은 도 7에 도시된 것과 같이 객체 관계 그래프 생성부(151), 서브 그래프 탐지부(152) 및 탐지 결과 분석부(153)로 구성될 수 있다. 이 때, 위협 헌팅 분석 모듈(150)은 위협 헌팅 대상 식별 모듈(140)을 통해 도출된 위협 헌팅 대상을 중심으로 연결된 객체에 관한 데이터들을 선택하여 객체 관계 그래프를 구성할 수 있고, 구성된 객체 관계 그래프에서 위협 헌팅 룰에 의해 검출되는 행위들이 존재하는지 분석하는 방식으로 위협을 탐지할 수 있다.
이 때, 위협 헌팅 분석 대상에 관련된 객체를 기반으로 생성된 객체 관계 그래프를 기반으로 수행되는 포워드 체인(FORWARD CHAIN) 추론 방식 및 특정 공격자에 대한 위협 헌팅 가설을 기반으로 수행되는 백워드 체인(BACKWARD CHAIN) 추론 방식 중 적어도 하나를 기반으로 APT 탐지를 수행할 수 있다.
이 때, 포워드 체인 추론 방식은 위협 헌팅 룰을 실행하여 객체 관계 그래프 내에서 위협 행위에 대응하는 서브 그래프를 탐지하고, 서브 그래프를 탐지하는데 사용된 위협 헌팅 룰 집합의 피벗 포인트(PIVOT POINT)에 정의된 객체를 기준으로 서브 그래프를 확장하고, 확장된 서브 그래프와 위협 헌팅 룰 집합을 기반으로 위협 행위에 대응하는 공격자 및 공격작전(CAMPAIGN)을 도출하는 과정으로 수행될 수 있다.
예를 들어, 도 10을 참조하면, 본 발명의 일실시예에 따른 포워드 체인 추론 방식은 먼저 위협 헌팅 대상에 관련된 객체를 기준으로 임시 객체 관계 그래프를 생성할 수 있다(S1010).
이 때, 객체 관계 그래프는 위협 헌팅 대상에 관련된 객체들과 해당 객체들 간의 관계를 기준으로 생성된 그래프에 상응하는 것으로 도 9와 같은 방식으로 생성될 수 있다.
이 후, 위협 헌팅 룰을 실행하여 임시 객체 관계 그래프 내에서 위협 헌팅 룰에 대응하는 서브 그래프를 탐지한다(S1020).
이 후, 서브 그래프가 탐지되면, 위협 헌팅 룰의 구성요소인 피벗 포인트(Pivot Point)에 정의된 객체를 중심으로 서브 그래프를 확장하고 확장된 그래프에 대해서 위협 헌팅 룰을 통해 다시 탐지를 수행할 수 있다(S1030).
이 후, 모든 피벗 포인트에 대해서 서브 그래프의 확장을 수행하였는지 여부를 판단할 수 있다(S1035).
이 때, 단계(S1035)의 판단결과 모든 피벗 포인트에 대해 서브 그래프의 확장이 수행되지 않았으면, 단계(S1020)부터 위협 헌팅 룰을 통해 탐지된 나머지 서브 그래프에 대한 확장 수행을 반복함으로써 탐지된 서브 그래프의 모든 피벗 포인트에 대해 확장을 수행할 수 있다. 즉, 추가로 탐지된 서브 그래프가 있다면, 해당 그래프의 피벗 포인트를 기준으로 확장 수행을 반복하는 방식으로 탐지를 수행할 수 있다.
또한, 단계(S1035)의 판단결과 모든 피벗 포인트에 대해 서브 그래프의 확장을 반복적으로 수행하였으면, 탐지 내역을 기록하고 탐지 내역을 기반으로 TTP기반의 APT 위협수준을 측정할 수 있다(S1040).
예를 들어, 탐지된 서브 그래프와 위협 헌팅 룰의 내역을 종합하여 공격자(Threat Actor)가 수행했던 공격작전(Campaign) 정보와 비교 분석함으로써 TTP기반의 APT 위협수준을 측정할 수 있다.
이 후, 최종적으로 탐지된 위협 헌팅 룰의 집합과 공격작전(Campaign)에 정의된 TTP들을 비교하여 탐지된 내용과 관련도가 높은 공격자와 공격 작전을 도출할 수 있다(S1050).
이와 같은 자동화된 추론 과정은, 탐지내용으로부터 관계된 공격자를 논리적으로 유추하는 장점을 가지고 있으므로 단편적인 탐지만을 수행하는 기존 시스템과는 차별성을 가질 수 있다.
이 때, 백워드 체인 추론 방식은 외부로부터 수신된 APT 공격동향 및 특정 공격자에 대한 위협 헌팅 가설을 생성하고, 위협 헌팅 가설과 관련된 위협 헌팅 룰 집합을 기반으로 탐지 대상 객체에 상응하는 객체 관계 그래프를 생성하여 서브 그래프를 탐지하고, 위협 헌팅 룰 집합의 피벗 포인트(PIVOT POINT)를 기반으로 확장된 서브 그래프 및 위협 헌팅 룰 집합을 기반으로 위협 행위에 대응하는 공격자 및 공격작전(CAMPAIGN)을 도출하여 위협 헌팅 가설을 검증하는 과정으로 수행될 수 있다.
예를 들어, 도 11을 참조하면, 본 발명의 일실시예에 따른 백워드 체인 추론 방식은 먼저 외부로부터 수신된 APT 공격동향을 기반으로 위협 헌팅 가설을 생성할 수 있다(S1110).
예를 들어, 외부로부터 APT 공격동향과 관련한 공격자(Threat Actor), IOCs, TTP 등의 정보와 함께 특정 공격자가 시스템에 침투했는지 판단해달라는 요청을 수신할 수 있다. 이 때, 도 12에 도시된 것처럼 Threat Actor Database에 저장된 공격자 정보(1220)와 수신된 APT 공격동향을 함께 분석하여 탐지를 수행하는데 사용할 위협 헌팅 룰(1210)을 검출하고, 검출된 위협 헌팅 룰(1210)을 중심으로 탐지를 수행하여 위협 공격이 탐지될 경우에 관련된 공격이 시스템에 존재할 것이라는 가설을 생성할 수 있다.
예를 들어, 공격자 정보(1220)는 Name, Campaign 등을 포함할 수 있다. 이 때, Name은 공격자 그룹의 이름을 의미할 수 있으며, Campaign은 해당 공격자 그룹이 수행했던 공격에서 사용된 공격기술(Technique, TTP) 들을 탐지하기 위한 위협 헌팅 룰의 집합을 의미할 수 있다.
이 후, 해당 가설을 검증하기 위하여 관련된 위협 헌팅 룰(1210)에 정의된 피벗 포인트(Pivot Point)를 중심으로 TTP 및 조사대상 객체를 도출할 수 있다(S1120).
이 후, 도출된 객체를 기준으로 객체 관계 그래프를 구성할 수 있고(S1130), 특정 공격자(Threat Actor)에 관련된 위협 헌팅 룰을 실행함으로써 객체 관계 그래프에서 서브 그래프를 탐지할 수 있다(S1140).
이 후, 서브 그래프가 탐지되면, 위협 헌팅 룰의 피벗 포인트(Pivot Point)에 정의된 객체를 중심으로 서브 그래프를 확장하고 다시 탐지를 수행할 수 있다(S1150).
이 후, 탐지된 모든 서브 그래프의 모든 피벗 포인트에 대해서 확장을 수행하였는지 여부를 판단할 수 있다(S1155).
이 때, 단계(S1155)의 판단결과 모든 피벗 포인트에 대해 서브 그래프의 확장이 수행되지 않았으면, 단계(S1140)부터 반복적으로 수행함으로써 탐지된 모든 서브 그래프의 모든 피벗 포인트에 대해 확장을 수행할 수 있다.
또한, 단계(S1155)의 판단결과 모든 피벗 포인트에 대해 서브 그래프의 확장을 반복적으로 수행하였으면, 모든 조사대상 객체에 대해 탐지가 완료되었는지 여부를 판단할 수 있다(S1165).
단계(S1165)의 판단결과 모든 조사대상 객체에 대해 탐지가 완료되지 않았으면, 모든 조사대상 객체에 대해 탐지가 수행될 때까지 반복적으로 탐지를 수행할 수 있다.
또한, 단계(S1165)의 판단결과 모든 조사대상 객체에 대해 탐지가 완료되었으면, 탐지 내역을 기록하고 가설이 검증하고자 한 공격자(Threat Actor) 관련 TTP가 검출되었는지 여부를 통해 가설 검증을 수행할 수 있다(S1170).
이 때, 검증하고자 한 공격자(Threat Actor) 관련 TTP가 검출되었을 경우, 외부 요청에 대한 응답으로써 관련 내용을 전송할 수 있다.
이 때, 위협 헌팅 룰은 APT를 탐지하기 위해 생성된 위협 헌팅 가설 기반의 탐지 로직에 상응하고, 외부의 보안 서버를 통해 주기적으로 갱신되는 공격 활동 사례 분석 데이터를 기반으로 자동화된 추론을 위한 구성요소를 포함할 수 있다.
즉, 위협 헌팅 룰은 분석가가 고차원적 위협탐지 가설을 기술한 탐지 로직에 상응하는 것으로, 공격자의 TTP(공격기술)을 탐지하고자 하는데 목적을 두고 있다.
예를 들어, 본 발명의 일실시예에 따른 추론 과정에서 활용되는 위협 헌팅 룰은 MITRE에서 제시한 ATT&CKTM과 연결되어 자동화된 추론을 위한 구성요소를 포함할 수 있다.
이 때, 위협 헌팅 룰의 구성요소는 Technique, Tactic, Threat Actor, ID, Detection Level, Pivot Point, Analytic 등을 포함할 수 있고, 각 구성요소 별 역할은 다음과 같다.
예를 들어, Technique은 ATT&CKTM에 정의된 Technique 중 위협 헌팅 룰이 탐지하고자 하는 Technique을 의미할 수 있다. Tactic은 탐지하고자 하는 Technique이 속한 ATT&CKTM의 Tactic을 의미할 수 있다. Threat Actor는 해당 위협 헌팅 룰이 탐지하고자 하는 공격자를 의미할 수 있으며, Threat Actor Database에 정의된 공격자 정보 중 공격 그룹명(Name)을 의미할 수도 있다. ID는 특정 위협 헌팅 룰의 식별자 정보를 의미할 수 있다. Detection Level은 위협 헌팅 룰이 탐지하고자 하는 수준을 의미할 수 있으며, TTP, Suspicious, Situation Awareness 등 3가지 수준으로 나뉠 수 있다. 이 때, TTP는 공격자가 사용하는 특정 공격기술방식에 매우 밀접한 수준을 탐지하고자 하는 수준을 의미하고, Suspicious는 범용적으로 사용되거나 공격이 의심되는 수준을 의미하며, Situation Awareness는 일반적인 행위 발생을 파악하기 위한 수준을 의미할 수 있다. Pivot Point는 위협 헌팅 룰의 Analytic을 통하여 공격이 탐지되었을 경우에 Pivot Point에 정의된 객체를 기준으로 그래프를 확장하는 것을 정의한 정보에 상응할 수 있다. Analytic은 실질적인 위협 헌팅 탐지에 활용되는 정보로써 객체(Entity)와 관계(Relation)의 조합을 통하여 위협 헌팅을 수행하기 위한 룰을 정의할 수 있다.
이 때, 도 12에 도시된 위협 헌팅 룰의 일 예를 기준으로 Analytic이 탐지하고자 하는 패턴을 설명하면 다음과 같다.
[특정 프로세스(Process) P1이 프로세스 P2를 Access 할 때, P2가 신뢰된 프로세스(Trusted Process) 중 하나이고, Access 관계의 Granted Access 필드가 0x40이면서 CallTrace 필드에 대한 Anomaly Flag가 설정된 경우]
이 때, 도 12에 도시된 Analytic 중 CallTrace 필드에 대한 Anomaly Flag는 위협 헌팅 대상 식별 모듈에서 프로필 기반 식별 기법을 통하여 설정된 것으로, Machine Learning이 학습한 정상범위를 벗어나는 필드 값일 경우에 설정될 수 있다.
이와 같은 위협 헌팅 룰은 도 1에 도시된 위협 헌팅 쿼리 모듈(160)에 의해 해석되어 실행될 수 있다.
예를 들어, 도 8을 참조하면, 본 발명의 일실시예에 따른 위협 헌팅 쿼리 모듈(160)은 위협 헌팅 룰 데이터베이스(161), 위협 헌팅 룰 실행부(162) 및 위협수준 측정부(163)로 구성될 수 있으며, 위협 헌팅 분석 모듈(150)에서 탐지된 서브 그래프들을 종합하여 탐지된 APT 공격에 대한 최종적인 위협수준 또는 악성수준을 판단할 수 있다.
또한, 프로세서(1810)는 탐지된 APT에 대해서 위협수준을 포함하는 위협 헌팅 탐지 데이터를 생성하고, 적어도 하나의 외부 탐지 시스템으로 위협 헌팅 탐지 데이터를 공유한다.
예를 들어, 본 발명에서는 도 1에 도시된 위협 헌팅 쿼리 모듈(160)을 기반으로 위협 헌팅 탐지 데이터를 외부 탐지 시스템(820)에게 공유하거나, 위협 헌팅 탐지 출력 모듈(170)을 기반으로 분석가에게 위협 헌팅 탐지 데이터를 출력해줄 수도 있다.
이 때, 위협 헌팅 탐지 데이터는 위협 수준, 주요 악성행위 객체, 관련 APT 그룹 및 피해 대상 중 적어도 하나를 포함하는 탐지 결과 데이터, 공격 활동 사례 분석 데이터에 기정의된 공격 전술(TACTICS)을 기반으로 이에 대응하게 탐지된 침투 기술(TECHNIQUES) 및 피해 대상을 보여주는 결과 종합 데이터, 공격자 관계성 분석 데이터, 탐지된 TTP(TACTICS, TECHNIQUES, PROCEDURES) 내역을 시간 흐름에 따라 보여주는 TTP 탐지 및 흐름 데이터 중 적어도 하나를 포함할 수 있다.
예를 들어, 위협 헌팅 탐지 데이터는 도 13에 도시된 것과 같은 레이아웃을 기반으로 도 14 내지 도 17에 상응하는 구성으로 디스플레이 될 수 있다.
먼저, 도 13을 참조하면, 본 발명의 일실시예에 따른 위협 헌팅 탐지 데이터(1300)는 공격자 관계성 분석 데이터(1310), 탐지 결과 데이터(1320), ATT&CK 결과 종합 데이터(1330) 및 TTP 탐지 및 흐름 데이터(1340)를 포함할 수 있다.
이 때, 공격자 관계성 분석 데이터(1310)는 도 14에 도시된 것처럼, 공격자(Threat Actor)와 해당 공격자가 수행했던 작전(Campaign), 그리고 작전에 사용되었던 악성코드, 공격기술 및 이들을 탐지하기 위한 위협 헌팅 룰 간의 관계성을 나타낼 수 있다.
예를 들어, 도 14에서는 공격자 APT0와 관계되어 있는 탐지내용과 위협 헌팅 룰들을 보여주고 있다. 즉, 탐지된 내역이 APT0가 수행했던 공격작전 중 Campaign-Bear, Campaign-Cat에 관련된 위협 헌팅 룰에 의해 탐지된 것임을 알 수 있다. 이 때, Campaign-Cat에서는 Malware-RAT01이라는 악성코드가 사용되었고, 해당 악성코드의 행위를 탐지하기 위한 위협 헌팅 룰도 함께 탐지된 것을 확인할 수 있다.
이와 같이, 공격자 관계성 분석 데이터(1310)을 기반으로 탐지된 위협 헌팅 룰과 공격자 간의 관계성을 확인할 수 있으므로, 어떤 공격 그룹이 탐지된 내용과 관련성이 높은지 확인할 수 있다.
또한, 이러한 내용에 따라 위협 헌팅 룰은 Detection Level을 지정할 수 있고, 지정된 Detection Level에 따라 표출되는 시각적 효과 또한 달라질 수 있다.
예를 들어, TTP Level의 위협 헌팅 룰은 붉은색으로 나타내거나, Situation Awareness 수준의 위협 헌팅 룰은 파란색이나 노란색으로 나타낼 수 있고, Suspicious 수준의 위협 헌팅 룰은 주황색으로 구분하여 나타낼 수도 있다.
이와 같은 시각적 구별 방식은 위협 헌팅 탐지 데이터(1300)에 포함되는 다른 데이터들과 동일하게 연동되어 사용될 수 있으며, 구별을 위해 사용되는 색상이나 패턴 등은 사용자 설정과 구현에 의해 자유롭게 변경될 수 있다.
이 때, 탐지 결과 데이터(1320)는 도 15에 도시된 것처럼, 위협수준, 주요 악성행위 객체, 관련 APT 그룹, 피해 대상 등을 나타낼 수 있다.
이 때, 위협수준은 탐지내역을 종합하여 수치화한 것에 상응하고, 주요 악성행위 객체는 탐지내역 중 악성행위 수준이 높은 객체(Entity)를 의미할 수 있다.
예를 들어, 도 15에서는 Host1에서 동작하는 cmd.exe 프로세스가 주요 악성행위 객체에 해당할 수 있다.
이 때, 관련 APT 그룹은 탐지 내역을 토대로 공격자 중 높은 관련성을 가진 그룹을 도출하여 보여줄 수 있으며, 피해 대상은 탐지내역에 따라 실질적인 공격 대상을 보여줄 수 있다.
이 때, 분석가는 탐지 결과 데이터(1320)에 표출된 내용을 통하여 주요 탐지 내용을 확인할 수 있다.
이 때, ATT&CK 결과 종합 데이터(1330)는 도 16에 도시된 것처럼, ATT&CKTM에 정의된 Tactic과 Technique에 해당하는 TTP 기준(1610)으로 탐지된 공격기술을 탐지된 TTP 흐름(1621, 1622)과 관련된 피해 대상과 결합하여 보여줄 수 있다.
이 때, ATT&CK 결과 종합 데이터(1330)의 상단에 나온 Initial Access부터 Impact는 ATT&CKTM에 정의된 Tactic을 의미하며, 하단에 나온 내용은 탐지된 Technique과 피해 대상을 결합하여 나타낸 것을 의미할 수 있다.
즉, 도 16을 참조하면, Host1에서 Initial Access Tactic의 Spearphsihing Attachment Technique이 처음으로 실행되어, Execution Tactic의 Rundll32 Technique를 거쳐 Persistence Tactic의 Scheduled Task, Discovery Tactic의 Remote System Discovery Technique, Lateral Movement Tactic의 Remote Desktop Protocol 등이 순차적으로 실행되는 것을 확인할 수 있다. 이 후, Host2에서 Mshta Technique, Startup Items Technique이 탐지된 것을 확인할 수 있다.
이와 같이 분석가는 ATT&CK 결과 종합 데이터(1330)에 출력된 내용을 통하여 탐지내역에 의해 탐지된 공격기술들의 흐름을 피해대상과 함께 확인할 수 있다.
이 때, TTP 탐지 및 흐름 데이터(1340)는 도 17에 도시된 것처럼, 탐지된 내역을 시간 흐름에 따라 나타낸 것에 상응할 수 있다.
예를 들어, TTP 탐지 및 흐름 데이터(1340)는 ATT&CKTM Oriented View와 Entity-Oriented View 등의 분석 시점을 제공할 수 있고, 시간 흐름에 따라 보여주기 위하여 Timeline Slide를 기반으로 탐지 내역에 관련된 시간 축의 특정 시점에 따라 관련된 흐름만을 보여줄 수도 있다.
이 때, 도 17은 ATT&CKTM Oriented View의 일 예로, 탐지 내역을 ATT&CKTM에 정의된 Tactic, Technique 및 탐지된 위협 헌팅 룰과 실제 행위가 수행된 객체(Entity)들을 연결하여 보여줄 수 있다. 이 때, Host1과 Host2에서 탐지된 내역을 Tactic을 기준으로 보여주고, 이 중에서 Host1의 Initial Access Tactic에 관련된 탐지내용을 펼쳐서 도 17처럼 보여줄 수도 있다.
또한, Initial Access Tactic에 관련된 탐지 내용으로는, 탐지된 Technique과 이에 연결된 위협 헌팅 룰의 Detection Level, 관련된 객체(Entity), 관계(Relation) 내용 등이 포함될 수 있다.
예를 들어, 도 17에서는 Outlook Download라는 위협 헌팅 룰이 탐지되었고, Detection Level은 Situation Awareness 수준에 해당한다. 또한, 관련된 Entity, Relation으로는 outlook.exe 프로세스가 phishing.pdf 파일을 생성하고 Execution Tactic에 해당하는 다른 Threat Hunt Rule에 탐지된 Entity가 phishing.pdf 파일을 접근하는 내용을 확인할 수 있다.
이 때, Host2에 관한 내용은 펼치지 않은 상태에 해당하는 것으로, Host2에서 탐지된 내역에 해당하는 Tactic 만을 보여줄 수 있으며, 그 위험도에 따라 Host2 영역의 색상을 설정할 수도 있다.
이 때, 분석가는 Host2 영역의 색상을 통하여 해당 단말에서 탐지된 공격기술의 심각성을 확인할 수도 있다.
이 때, 도 17에 도시된 Entity-Oriented View는 Process, File 등 객체(Entity) 중심의 흐름을 표출하는 방식에 상응하는 것으로, Tactic, Technique 등의 내용 없이 Entity간의 관계만을 보여줄 수 있다.
이 때, 도 13 내지 도 17에 도시된 위협 헌팅 탐지 데이터에 관한 구성은 일 실시예에 해당하는 것으로, 구현에 따라 디스플레이 방식이 달라질 수 있으며, 특정한 형태로 한정되지 않을 수 있다.
메모리(1820)는 위협 헌팅 룰, 파싱된 로그 정보, 컨텍스트 분석 정보 및 탐지 정보를 저장한다.
이 때, 본 발명에서는 도 1에 도시된 것과 같은 데이터베이스(130)를 기반으로 위협 탐지를 위한 전 과정에서 생성되고 사용되는 정보들을 저장 및 관리할 수도 있다.
이와 같은 위협 탐지 장치를 통해 대량의 정보를 기반으로 심도있는 추론을 수행하여 자동으로 APT 공격을 탐지할 수 있는 탐지로직을 제공할 수 있다.
또한, 위협 헌팅 기반의 탐지를 수행하기 위해 범용적인 데이터 표현과 흐름 그래프를 구성하는 방안을 제공할 수 있으며, 외부 탐지 시스템들과 탐지로직을 공유하여 위협헌팅에 의한 자동화된 위협 탐지를 일반화시킬 수도 있다.
이상에서와 같이 본 발명에 따른 다중 센서 데이터를 이용한 위협 헌팅 기반의 위협 탐지 방법 및 이를 이용한 장치는 상기한 바와 같이 설명된 실시예들의 구성과 방법이 한정되게 적용될 수 있는 것이 아니라, 상기 실시예들은 다양한 변형이 이루어질 수 있도록 각 실시예들의 전부 또는 일부가 선택적으로 조합되어 구성될 수도 있다.
100: 위협 탐지 시스템 110: 데이터 수집 모듈
111: 네트워크 정보 수집부 112: 엔드포인트 정보 수집부
120: 컨텍스트 분석 모듈 121: 로그 수집 및 객체 관계 데이터 분석부
122: 타임라인 정렬부 130: 데이터베이스
140: 위협 헌팅 대상 식별 모듈 141: 멀티 시그니처 기반 식별부
142: 프로필 기반 식별부 143: 무결성 기반 식별부
150: 위협 헌팅 분석 모듈 151: 객체 관계 그래프 생성부
152: 서브 그래프 탐지부 153: 탐지 결과 분석부
160: 위협 헌팅 쿼리 모듈 161: 위협 헌팅 룰 데이터베이스
162: 위협 헌팅 룰 실행부 163: 위협수준 측정부
170: 위협헌팅 탐지 출력 모듈 1210: 위협 헌팅 룰
1220: 공격자 정보 1300: 위협 헌팅 탐지 데이터
1310: 공격자 관계성 분석 데이터 1320: 탐지 결과 데이터
1330: ATT & CK 결과 종합 데이터 1340: TTP 탐지 및 흐름 데이터
1610: TTP 기준 1621, 1622: 탐지된 TTP 흐름
1810: 프로세서 1820: 메모리

Claims (18)

  1. 복수의 센서들로부터 수집된 대량의 데이터를 가공하여 객체 관계 모델에 상응하게 데이터를 재구성하는 단계;
    상기 객체 관계 모델, 상기 대량의 데이터에서 파싱된(PARSING) 로그 정보 및 외부 탐지 정보 중 적어도 하나를 기반으로 위협 헌팅(THREAT HUNTING) 분석 대상을 식별하는 단계;
    위협 헌팅 룰(THREAT HUNTING RULE)을 기반으로 상기 위협 헌팅 분석 대상에 관련된 APT(ADVANCED PERSISTENT THREAT) 탐지를 수행하는 단계; 및
    탐지된 APT에 대해서 위협수준을 포함하는 위협 헌팅 탐지 데이터를 생성하고, 적어도 하나의 외부 탐지 시스템으로 상기 위협 헌팅 탐지 데이터를 공유하는 단계를 포함하고,
    상기 위협 헌팅 룰은 APT를 탐지하기 위해 생성된 위협 헌팅 가설 기반의 탐지 로직에 상응하고, 외부의 보안 서버를 통해 주기적으로 갱신되는 공격 활동 사례 분석 데이터를 기반으로 자동화된 추론을 위한 구성요소를 포함하고,
    상기 위협 헌팅 탐지 데이터는 상기 적어도 하나의 외부 탐지 시스템에서 상기 탐지된 APT의 악성행위 수준이 어느 정도 인지를 쉽게 파악할 수 있도록 탐지내역을 종합하여 수치화한 상기 위협수준, 주요 악성행위 객체, 관련 APT 그룹 및 피해 대상 중 적어도 하나를 포함하는 탐지 결과 데이터, 상기 공격 활동 사례 분석 데이터에 기정의된 공격 전술(TACTICS)을 기반으로 이에 대응하게 탐지된 침투 기술(TECHNIQUES) 및 피해 대상을 보여주는 결과 종합 데이터, 공격자 관계성 분석 데이터, 탐지된 TTP(TACTICS, TECHNIQUES, PROCEDURES) 내역을 시간 흐름에 따라 보여주는 TTP 탐지 및 흐름 데이터 중 적어도 하나를 포함하고,
    상기 복수의 센서들로부터 수집된 대량의 데이터는 네트워크에서 수집 및 분석되는 정보 및 엔드포인트에서 동작하는 개체들과 관련된 행위정보를 포함하는 것을 특징으로 하는 위협 탐지 방법.
  2. 청구항 1에 있어서,
    상기 탐지를 수행하는 단계는
    상기 위협 헌팅 분석 대상에 관련된 객체를 기반으로 생성된 객체 관계 그래프를 기반으로 수행되는 포워드 체인(FORWARD CHAIN) 추론 방식 및 특정 공격자에 대한 위협 헌팅 가설을 기반으로 수행되는 백워드 체인(BACKWARD CHAIN) 추론 방식 중 적어도 하나를 기반으로 상기 APT 탐지를 수행하는 것을 특징으로 하는 위협 탐지 방법.
  3. 청구항 2에 있어서,
    상기 포워드 체인 추론 방식은
    상기 위협 헌팅 룰을 실행하여 상기 객체 관계 그래프 내에서 위협 행위에 대응하는 서브 그래프를 탐지하고, 상기 서브 그래프를 탐지하는데 사용된 위협 헌팅 룰 집합의 피벗 포인트(PIVOT POINT)에 정의된 객체를 기준으로 상기 서브 그래프를 확장하고, 확장된 서브 그래프와 상기 위협 헌팅 룰 집합을 기반으로 상기 위협 행위에 대응하는 공격자 및 공격작전(CAMPAIGN)을 도출하는 과정으로 수행되는 것을 특징으로 하는 위협 탐지 방법.
  4. 청구항 2에 있어서,
    상기 백워드 체인 추론 방식은
    외부로부터 수신된 APT 공격동향 및 특정 공격자에 대한 위협 헌팅 가설을 생성하고, 상기 위협 헌팅 가설과 관련된 위협 헌팅 룰 집합을 기반으로 탐지 대상 객체에 상응하는 객체 관계 그래프를 생성하여 서브 그래프를 탐지하고, 상기 위협 헌팅 룰 집합의 피벗 포인트(PIVOT POINT)를 기반으로 확장된 서브 그래프 및 상기 위협 헌팅 룰 집합을 기반으로 위협 행위에 대응하는 공격자 및 공격작전(CAMPAIGN)을 도출하여 상기 위협 헌팅 가설을 검증하는 과정으로 수행되는 것을 특징으로 하는 위협 탐지 방법.
  5. 청구항 1에 있어서,
    상기 식별하는 단계는
    정적 시그니처 탐지요소에 기반한 멀티 시그니처 식별(MULTI SIGNATURE DETECTION) 기법, 상기 객체 관계 모델 및 상기 로그 정보 중 적어도 하나에 기반한 스트림 데이터 이상 식별(STREAM DATA ANOMALY DETECTION) 기법 및 상기 외부 탐지 정보에 기반한 식별 기법 중 적어도 하나를 이용하여 상기 위협 헌팅 분석 대상을 식별하는 것을 특징으로 하는 위협 탐지 방법.
  6. 청구항 1에 있어서,
    상기 객체 관계 모델은
    APT 발생의 원인을 추적하고 APT 발생 전후 상황을 분석하기 위해 네트워크 및 시스템의 주요 객체들 사이의 관계와 행위 흐름을 분석하여 나타낸 데이터에 상응하는 것을 특징으로 하는 위협 탐지 방법.
  7. 삭제
  8. 삭제
  9. 청구항 5에 있어서,
    상기 스트림 데이터 이상 식별 기법은
    학습된 정상 모델과 상기 객체 관계 모델을 비교하여 비정상적인 행위를 유발하는 객체를 식별하는 프로필 기반 식별 기법과 네트워크 로그와 단말 로그 사이의 행위가 일치하지 않는 경우를 기반으로 하는 무결성 기반 식별 기법을 포함하는 것을 특징으로 하는 위협 탐지 방법.
  10. 복수의 센서들로부터 수집된 대량의 데이터를 가공하여 객체 관계 모델에 상응하게 데이터를 재구성하고, 상기 객체 관계 모델, 상기 대량의 데이터에서 파싱된(PARSING) 로그 정보 및 외부 탐지 정보 중 적어도 하나를 기반으로 위협 헌팅(THREAT HUNTING) 분석 대상을 식별하고, 위협 헌팅 룰(THREAT HUNTING RULE)을 기반으로 상기 위협 헌팅 분석 대상에 관련된 APT(ADVANCED PERSISTENT THREAT) 탐지를 수행하고, 탐지된 APT에 대해서 위협수준을 포함하는 위협 헌팅 탐지 데이터를 생성하고, 적어도 하나의 외부 탐지 시스템으로 상기 위협 헌팅 탐지 데이터를 공유하는 프로세서; 및
    상기 객체 관계 모델, 상기 위협 헌팅 룰 및 상기 위협 헌팅 탐지 데이터를 저장하는 메모리를 포함하고,
    상기 위협 헌팅 룰은 APT를 탐지 하기 위해 생성된 위협 헌팅 가설 기반의 탐지 로직에 상응하고, 외부의 보안 서버를 통해 주기적으로 갱신되는 공격 활동 사례 분석 데이터를 기반으로 자동화된 추론을 위한 구성요소를 포함하고,
    상기 위협 헌팅 탐지 데이터는 상기 적어도 하나의 외부 탐지 시스템에서 상기 탐지된 APT의 악성행위 수준이 어느 정도 인지를 쉽게 파악할 수 있도록 탐지내역을 종합하여 수치화한 상기 위협수준, 주요 악성행위 객체, 관련 APT 그룹 및 피해 대상 중 적어도 하나를 포함하는 탐지 결과 데이터, 상기 공격 활동 사례 분석 데이터에 기정의된 공격 전술(TACTICS)을 기반으로 이에 대응하게 탐지된 침투 기술(TECHNIQUES) 및 피해 대상을 보여주는 결과 종합 데이터, 공격자 관계성 분석 데이터, 탐지된 TTP(TACTICS, TECHNIQUES, PROCEDURES) 내역을 시간 흐름에 따라 보여주는 TTP 탐지 및 흐름 데이터 중 적어도 하나를 포함하고,
    상기 복수의 센서들로부터 수집된 대량의 데이터는 네트워크에서 수집 및 분석되는 정보 및 엔드포인트에서 동작하는 개체들과 관련된 행위정보를 포함하는 것을 특징으로 하는 위협 탐지 장치.
  11. 청구항 10에 있어서,
    상기 프로세서는
    상기 위협 헌팅 분석 대상에 관련된 객체를 기반으로 생성된 객체 관계 그래프를 기반으로 수행되는 포워드 체인(FORWARD CHAIN) 추론 방식 및 특정 공격자에 대한 위협 헌팅 가설을 기반으로 수행되는 백워드 체인(BACKWARD CHAIN) 추론 방식 중 적어도 하나를 기반으로 상기 APT 탐지를 수행하는 것을 특징으로 하는 위협 탐지 장치.
  12. 청구항 11에 있어서,
    상기 포워드 체인 추론 방식은
    상기 위협 헌팅 룰을 실행하여 상기 객체 관계 그래프 내에서 위협 행위에 대응하는 서브 그래프를 탐지하고, 상기 서브 그래프를 탐지하는데 사용된 위협 헌팅 룰 집합의 피벗 포인트(PIVOT POINT)에 정의된 객체를 기준으로 상기 서브 그래프를 확장하고, 확장된 서브 그래프와 상기 위협 헌팅 룰 집합을 기반으로 상기 위협 행위에 대응하는 공격자 및 공격작전(CAMPAIGN)을 도출하는 과정으로 수행되는 것을 특징으로 하는 위협 탐지 장치.
  13. 청구항 11에 있어서,
    상기 백워드 체인 추론 방식은
    외부로부터 수신된 APT 공격동향 및 특정 공격자에 대한 위협 헌팅 가설을 생성하고, 상기 위협 헌팅 가설과 관련된 위협 헌팅 룰 집합을 기반으로 탐지 대상 객체에 상응하는 객체 관계 그래프를 생성하여 서브 그래프를 탐지하고, 상기 위협 헌팅 룰 집합의 피벗 포인트(PIVOT POINT)를 기반으로 확장된 서브 그래프 및 상기 위협 헌팅 룰 집합을 기반으로 위협 행위에 대응하는 공격자 및 공격작전(CAMPAIGN)을 도출하여 상기 위협 헌팅 가설을 검증하는 과정으로 수행되는 것을 특징으로 하는 위협 탐지 장치.
  14. 청구항 10에 있어서,
    상기 프로세서는
    정적 시그니처 탐지요소에 기반한 멀티 시그니처 식별(MULTI SIGNATURE DETECTION) 기법, 상기 객체 관계 모델 및 상기 로그 정보 중 적어도 하나에 기반한 스트림 데이터 이상 식별(STREAM DATA ANOMALY DETECTION) 기법 및 상기 외부 탐지 정보에 기반한 식별 기법 중 적어도 하나를 이용하여 상기 위협 헌팅 분석 대상을 식별하는 것을 특징으로 하는 위협 탐지 장치.
  15. 청구항 10에 있어서,
    상기 객체 관계 모델은
    APT 발생의 원인을 추적하고 APT 발생 전후 상황을 분석하기 위해 네트워크 및 시스템의 주요 객체들 사이의 관계와 행위 흐름을 분석하여 나타낸 데이터에 상응하는 것을 특징으로 하는 위협 탐지 장치.
  16. 삭제
  17. 삭제
  18. 청구항 14에 있어서,
    상기 스트림 데이터 이상 식별 기법은
    학습된 정상 모델과 상기 객체 관계 모델을 비교하여 비정상적인 행위를 유발하는 객체를 식별하는 프로필 기반 식별 기법과 네트워크 로그와 단말 로그 사이의 행위가 일치하지 않는 경우를 기반으로 하는 무결성 기반 식별 기법을 포함하는 것을 특징으로 하는 위협 탐지 장치.
KR1020190128531A 2019-10-16 2019-10-16 다중 센서 데이터를 이용한 위협 헌팅 기반의 위협 탐지 방법 및 이를 이용한 장치 KR102225460B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020190128531A KR102225460B1 (ko) 2019-10-16 2019-10-16 다중 센서 데이터를 이용한 위협 헌팅 기반의 위협 탐지 방법 및 이를 이용한 장치

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020190128531A KR102225460B1 (ko) 2019-10-16 2019-10-16 다중 센서 데이터를 이용한 위협 헌팅 기반의 위협 탐지 방법 및 이를 이용한 장치

Publications (1)

Publication Number Publication Date
KR102225460B1 true KR102225460B1 (ko) 2021-03-10

Family

ID=75147765

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020190128531A KR102225460B1 (ko) 2019-10-16 2019-10-16 다중 센서 데이터를 이용한 위협 헌팅 기반의 위협 탐지 방법 및 이를 이용한 장치

Country Status (1)

Country Link
KR (1) KR102225460B1 (ko)

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102362516B1 (ko) * 2021-08-11 2022-02-15 주식회사 샌즈랩 사이버 위협 정보 처리 장치, 사이버 위협 정보 처리 방법 및 사이버 위협 정보 처리하는 프로그램을 저장하는 저장매체
KR102396236B1 (ko) * 2021-08-11 2022-05-10 주식회사 샌즈랩 사이버 위협 정보 처리 장치, 사이버 위협 정보 처리 방법 및 사이버 위협 정보 처리하는 프로그램을 저장하는 저장매체
KR102424014B1 (ko) * 2022-02-09 2022-07-25 주식회사 샌즈랩 사이버 위협 정보 처리 장치, 사이버 위협 정보 처리 방법 및 사이버 위협 정보 처리하는 프로그램을 저장하는 저장매체
KR102432649B1 (ko) * 2022-02-09 2022-08-16 주식회사 샌즈랩 사이버 위협 정보 처리 프로세서, 사이버 위협 정보 처리 방법 및 사이버 위협 정보 처리하는 프로그램을 저장하는 저장매체
WO2023017931A1 (ko) * 2021-08-11 2023-02-16 주식회사 샌즈랩 사이버 위협 정보 처리 장치, 사이버 위협 정보 처리 방법 및 사이버 위협 정보 처리하는 프로그램을 저장하는 저장매체
KR102533101B1 (ko) * 2022-10-27 2023-05-16 주식회사 쿼드마이너 매트릭스 기반 TTPs 관점 사이버 위협 행위 표시 방법 및 위협 행위 분석 장치
CN116860007A (zh) * 2023-09-04 2023-10-10 中国人民解放军战略支援部队航天工程大学 针对搜寻任务的无人机阵列实时路径生成方法
KR102614309B1 (ko) * 2023-09-12 2023-12-15 주식회사 엔키 엔드포인트 공격 탐지 방법 및 장치
WO2024090761A1 (ko) * 2022-10-27 2024-05-02 주식회사 쿼드마이너 매트릭스 기반 ttps 관점 사이버 위협 행위 표시 방법 및 위협 행위 분석 장치
KR20240074049A (ko) 2022-11-18 2024-05-28 주식회사 씨티아이랩 인공지능 기반 변이된 공격 그룹 식별 가능한 시스템 및 방법

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101676366B1 (ko) * 2016-06-23 2016-11-15 국방과학연구소 사이버 공격 대응을 위한 악성코드 침해 경로 및 행위 추적을 수행하는 침해 공격 추적 시스템 및 방법
KR20170094673A (ko) 2016-02-11 2017-08-21 한국전자통신연구원 멀티 소스 데이터 가공 장치 및 방법
KR20170122548A (ko) * 2016-04-27 2017-11-06 한국전자통신연구원 비정상 프로세스의 연관 데이터 분석을 이용한 apt 공격 인지 방법 및 장치
KR20180099252A (ko) * 2017-02-28 2018-09-05 한국인터넷진흥원 침해 사고 그래프 데이터베이스에서의 공격자 프로파일링 방법

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20170094673A (ko) 2016-02-11 2017-08-21 한국전자통신연구원 멀티 소스 데이터 가공 장치 및 방법
KR20170122548A (ko) * 2016-04-27 2017-11-06 한국전자통신연구원 비정상 프로세스의 연관 데이터 분석을 이용한 apt 공격 인지 방법 및 장치
KR101676366B1 (ko) * 2016-06-23 2016-11-15 국방과학연구소 사이버 공격 대응을 위한 악성코드 침해 경로 및 행위 추적을 수행하는 침해 공격 추적 시스템 및 방법
KR20180099252A (ko) * 2017-02-28 2018-09-05 한국인터넷진흥원 침해 사고 그래프 데이터베이스에서의 공격자 프로파일링 방법

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102362516B1 (ko) * 2021-08-11 2022-02-15 주식회사 샌즈랩 사이버 위협 정보 처리 장치, 사이버 위협 정보 처리 방법 및 사이버 위협 정보 처리하는 프로그램을 저장하는 저장매체
KR102396236B1 (ko) * 2021-08-11 2022-05-10 주식회사 샌즈랩 사이버 위협 정보 처리 장치, 사이버 위협 정보 처리 방법 및 사이버 위협 정보 처리하는 프로그램을 저장하는 저장매체
WO2023017931A1 (ko) * 2021-08-11 2023-02-16 주식회사 샌즈랩 사이버 위협 정보 처리 장치, 사이버 위협 정보 처리 방법 및 사이버 위협 정보 처리하는 프로그램을 저장하는 저장매체
KR102424014B1 (ko) * 2022-02-09 2022-07-25 주식회사 샌즈랩 사이버 위협 정보 처리 장치, 사이버 위협 정보 처리 방법 및 사이버 위협 정보 처리하는 프로그램을 저장하는 저장매체
KR102432649B1 (ko) * 2022-02-09 2022-08-16 주식회사 샌즈랩 사이버 위협 정보 처리 프로세서, 사이버 위협 정보 처리 방법 및 사이버 위협 정보 처리하는 프로그램을 저장하는 저장매체
KR102533101B1 (ko) * 2022-10-27 2023-05-16 주식회사 쿼드마이너 매트릭스 기반 TTPs 관점 사이버 위협 행위 표시 방법 및 위협 행위 분석 장치
WO2024090761A1 (ko) * 2022-10-27 2024-05-02 주식회사 쿼드마이너 매트릭스 기반 ttps 관점 사이버 위협 행위 표시 방법 및 위협 행위 분석 장치
KR20240074049A (ko) 2022-11-18 2024-05-28 주식회사 씨티아이랩 인공지능 기반 변이된 공격 그룹 식별 가능한 시스템 및 방법
CN116860007A (zh) * 2023-09-04 2023-10-10 中国人民解放军战略支援部队航天工程大学 针对搜寻任务的无人机阵列实时路径生成方法
CN116860007B (zh) * 2023-09-04 2023-11-10 中国人民解放军战略支援部队航天工程大学 针对搜寻任务的无人机阵列实时路径生成方法
KR102614309B1 (ko) * 2023-09-12 2023-12-15 주식회사 엔키 엔드포인트 공격 탐지 방법 및 장치

Similar Documents

Publication Publication Date Title
KR102225460B1 (ko) 다중 센서 데이터를 이용한 위협 헌팅 기반의 위협 탐지 방법 및 이를 이용한 장치
US11522882B2 (en) Detection of adversary lateral movement in multi-domain IIOT environments
EP3205072B1 (en) Differential dependency tracking for attack forensics
CN108616529B (zh) 一种基于业务流的异常检测方法及系统
US8418247B2 (en) Intrusion detection method and system
US7530105B2 (en) Tactical and strategic attack detection and prediction
JP4808703B2 (ja) 改良型侵入検出監査およびインテリジェント・セキュリティ分析の比較を使用して関連するネットワーク・セキュリティの脅威を識別するための方法およびシステム
US10885185B2 (en) Graph model for alert interpretation in enterprise security system
US20230009127A1 (en) Method for cyber threat risk analysis and mitigation in development environments
CN112134877A (zh) 网络威胁检测方法、装置、设备及存储介质
US11444974B1 (en) Systems and methods for cyber-physical threat modeling
WO2017040957A1 (en) Process launch, monitoring and execution control
Pradhan et al. Intrusion detection system (IDS) and their types
Krauß et al. Ontology-based detection of cyber-attacks to SCADA-systems in critical infrastructures
CN112039858A (zh) 一种区块链服务安全加固系统与方法
RU2610395C1 (ru) Способ расследования распределенных событий компьютерной безопасности
US20230087309A1 (en) Cyberattack identification in a network environment
CN116451215A (zh) 关联分析方法及相关设备
CN113660115A (zh) 基于告警的网络安全数据处理方法、装置及系统
El-Taj et al. Intrusion detection and prevention response based on signature-based and anomaly-based: Investigation study
CN113660223B (zh) 基于告警信息的网络安全数据处理方法、装置及系统
Hakkoymaz Classifying database users for intrusion prediction and detection in data security
Xu et al. Identification of ICS Security Risks toward the Analysis of Packet Interaction Characteristics Using State Sequence Matching Based on SF‐FSM
CN116155519A (zh) 威胁告警信息处理方法、装置、计算机设备和存储介质
CN111740976A (zh) 一种网络安全甄别研判系统及方法

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant