KR20180007832A - Apparatus and Method for estimating automated network penetration path based on network reachability - Google Patents

Apparatus and Method for estimating automated network penetration path based on network reachability Download PDF

Info

Publication number
KR20180007832A
KR20180007832A KR1020160089239A KR20160089239A KR20180007832A KR 20180007832 A KR20180007832 A KR 20180007832A KR 1020160089239 A KR1020160089239 A KR 1020160089239A KR 20160089239 A KR20160089239 A KR 20160089239A KR 20180007832 A KR20180007832 A KR 20180007832A
Authority
KR
South Korea
Prior art keywords
network
vulnerability
information
attack
graph
Prior art date
Application number
KR1020160089239A
Other languages
Korean (ko)
Other versions
KR101893253B1 (en
Inventor
박찬일
박정찬
이경식
최화재
신정훈
윤호상
Original Assignee
국방과학연구소
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 국방과학연구소 filed Critical 국방과학연구소
Priority to KR1020160089239A priority Critical patent/KR101893253B1/en
Publication of KR20180007832A publication Critical patent/KR20180007832A/en
Application granted granted Critical
Publication of KR101893253B1 publication Critical patent/KR101893253B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis

Abstract

The present invention relates to a network technique. More specifically, the present invention relates to a device and a method for predicting a penetration path, which analyze a vulnerability of a network system for a network manager in a network environment having complex network connection and/or multiple vulnerabilities, present an attack graph by quantitative evaluation from outside or inside and present an optimal penetration path from the attack graph. The device for predicting an automated penetration path based on network reachability comprises: an information collection part collecting network information having network reachability based on a subnet structure, pre-analyzed network vulnerability information and pre-set exploit information; a quantification part quantifying the vulnerability information and the exploit information, and calculating a risk level; a vulnerability analyzing part analyzing a final vulnerability by using the network reachability and the risk level; and a graph generating part generating the attack graph by using the final vulnerability.

Description

네트워크 도달 가능성 기반의 자동화된 침투 경로 예측 장치 및 방법{Apparatus and Method for estimating automated network penetration path based on network reachability}BACKGROUND OF THE INVENTION 1. Field of the Invention [0001] The present invention relates to an automatic penetration path prediction apparatus and method based on network reachability,

본 발명은 네트워크 기술에 관한 것으로서, 더 상세하게는 복잡한 네트워크 연결 및/또는 다수의 취약점을 갖는 네트워크 환경에서 네트워크 관리자를 위해 네트워크 시스템의 취약점을 분석하고 외부 또는 내부로부터의 정량적 평가에 의해 공격 그래프를 제시하고 공격 그래프로부터 최적의 침투 경로를 제시하기 위한 침투 경로 예측 장치 및 방법에 대한 것이다.The present invention relates to a network technology, and more particularly to a network technology for analyzing a vulnerability of a network system for a network administrator in a network environment having complex network connections and / or multiple vulnerabilities, And to propose a penetration path prediction apparatus and method for presenting an optimal penetration path from an attack graph.

최근 사이버 공격이 증가함에 따라 기업 및 각 기관에서는 사이버 공격을 대비하고 기업/기관의 정보자산을 지키기 위해 다양한 보안 시스템을 설치 및 운영하며 해킹 등과 같은 사이버 공격에 안전한 네트워크를 구성하기 위해 노력하고 있다. As cyber attacks have increased in recent years, companies and organizations have been preparing various types of security systems in order to prepare for cyber attacks and to protect the information assets of companies and organizations. They are working to establish a secure network for cyber attacks such as hacking.

하지만, 지속적으로 발전하는 사이버 공격 앞에서 보안 전문가들도 기업/기관의 네트워크가 안전한지 확신하지 못하고 있고 기하급수적으로 늘어가는 최신의 취약점들을 모두 파악하지 못하고 있다. 기업/기관의 내/외부에서 어떤 취약점 및/또는 경로를 통해 사이버 공격이 일어날 수 있는지 확신하시 못하고 있다.However, in the face of constantly evolving cyber attacks, security experts are not sure whether the enterprise / organization's network is secure and do not know all the latest vulnerabilities that are growing exponentially. We are not sure whether cyber attacks can occur through any vulnerability and / or path within / outside the company / organization.

공격 그래프(Attack Graph)는 이러한 문제점을 해결하기 위해 기업/기관의 네트워크 환경 및/또는 취약점을 분석하여 공격자가 네트워크상에서 어떤 루트로 기업/기관의 핵심 정보자산에 도달할 수 있는지에 대한 공격 패스를 보여주기 위한 기법이다. 이를 통해서, 기업/기관의 네트워크 관리자는 사이버 공격을 방어하기 위해 네트워크상의 어떤 부분에 우선적으로 집중해야 하는지 확인할 수 있다. The Attack Graph analyzes the network environment and / or vulnerability of a company / organization in order to solve this problem, and analyzes the network environment and / or vulnerability of attack / It is a technique to show. This allows the corporate / network administrator to identify which parts of the network should be prioritized to defend against cyber attacks.

지금까지 공격 그래프는 모든 취약점과 기업/기관의 네트워크 구성 자체만을 가지고 공격 그래프를 보여줘 왔다. 하지만, 실제 환경에서 모든 취약점이 동일한 위험을 가지는 것도 아니고 단순히 네트워크 구성이 실제 공격 가능한 네트워크 통신을 보여주는 것도 아니다. Until now, the attack graph has shown the attack graph only with all the vulnerabilities and network structure of the corporation / institution itself. However, in a real environment, not all vulnerabilities have the same risk, nor is it simply a network configuration that shows real networkable attacks.

네트워크 관리자는 라우터 및/또는 방화벽 등을 통해서 접근 가능한 네트워크를 제한하고 있다. 기존의 기법은 이러한 라우터 정보를 활용하고 있지 못하다. 또한 모든 취약점을 기반으로 하기 때문에 네트워크 구조가 조금만 커져도 네트워크 복잡성으로 인해 제대로 된 공격 그래프 및/또는 공격 패스를 제시하지 못하고 있다.Network administrators are limiting networks that are accessible through routers and / or firewalls. Conventional techniques do not utilize such router information. Also, because it is based on all vulnerabilities, even if the network structure grows a little, the network complexity does not provide a proper attack graph and / or attack path.

1. 한국등록특허번호 제10-1160896호(2012.06.22)(발명의 명칭: 레이저 스캐너를 이용한 항공기 기종 식별 및 항공기 자기위치 확인 시스템)1. Korean Registered Patent No. 10-1160896 (2012.06.22) (Name of the invention: Aircraft Model Identification Using a Laser Scanner and Aircraft Self Positioning System)

1. 고플린, "트래픽 자기 유사성(Self-similarity)에 기반한 SCADA 시스템 환경에서의 침입탐지방법론"학위논문(박사) KAIST 2015년 전기및전자공학과1. Goflynn, "Intrusion detection methodology in SCADA system environment based on self-similarity" Dissertation (doctoral) KAIST 2015 Department of Electrical and Electronic Engineering 2. 김지홍외, "시스템취약점분석을통한침투경로예측자동화기법"정보보호학회논문지 제22권 제5호 (2012년 10월) pp.1079-1090(본 기술과의 차이점을 간단히 기술하여 주시기 바랍니다)2. Kim, JH et al., "Automated Penetration Path Prediction Method through System Vulnerability Analysis", Journal of the Korea Institute of Information Security and Technology, Vol. 22, No. 5 (Oct. 2012) pp.1079-1090 (Please briefly describe the difference from this technology ) 해당 논문은 시스템 취약점 분석을 위한 침투경로 예측 기법을 제시하고 있다. 해당 논문과 제시하는 기술의 차이점은 크게 취약점 분석을 위한 점수부여 기법 및 계산수식과 공격 그래프를 위한 네트워크 구조에서 차이점을 가지고 있다. 해당 논문에서는 침투경로 예측을 위하여 취약점에 대한 점수부여, 사용자 운영체제 점수부여, 사용자 인증절차에 따른 점수부여 기법을 적용하였다. 하지만, 사이버 공격은 사용자 운영체제 및 인증절차 보다는 취약점 및 해당 취약점에 대한 익스플로잇의 효과성이 더 중요하다. 따라서 제시하는 기술은 취약점 분석을 위한 점수 부여와 익스플로잇의 점수부여 기법 및 그 계산수식을 제시하고 있다.This paper presents a penetration path prediction method for system vulnerability analysis. The difference between the paper and the presented technique is largely different from the network structure for the scoring method and the calculation formula for the vulnerability analysis and the attack graph. In this paper, we applied the score of vulnerability, the score of user operating system, and the score of user authentication procedure for penetration path prediction. However, cyber attacks are more important than exploiting user operating systems and authentication procedures, and exploiting the vulnerabilities. Therefore, the proposed technique provides a score for vulnerability analysis and an exploit scoring technique and its calculation formula. 또한, 해당 논문은 침투경로 예측을 위해 호스트(서버, 단말 등의 장비)와 호스트 사이의 물리적 연결을 기반으로 하는 네트워크 구조를 그대로 따라간다. 하지만, 공격자 입장에서 네트워크의 물리적 연결 구조 자체보다 통신 패킷들의 네트워크 도달이 중요하다. 즉, 네트워크를 통한 호스트(서버, 단말 등의 장비)에 대한 접근 가능성이 중요하다. 따라서 제시하는 기술은 네트워크 도달에 기반을 둔 서브넷 기반의 사이버 침투경로를 제시하고 있다. In addition, the paper follows the network structure based on the physical connection between the host (server, terminal, etc.) and the host for the penetration path prediction. However, from the attacker 's point of view, it is important to reach the network of communication packets rather than the physical connection structure of the network itself. In other words, it is important to have access to hosts (devices such as servers and terminals) via the network. Therefore, the proposed technology suggests a subnet based cyber penetration route based on network reach.

본 발명은 위 배경기술에 따른 문제점을 해소하기 위해 제안된 것으로서, 실제 네트워크 통신이 가능한 네트워크 도달 가능성(network reachability)과 취약점의 실질적인 위험도를 기반으로 공격 그래프 및/또는 최적의 공격 패스를 제시하여 네트워크 관리자가 사이버 공격으로 네트워크를 최적의 상태로 관리할 수 있도록 하는 침투 경로 예측 장치 및 방법을 제공하는데 그 목적이 있다.The present invention proposes an attack graph and / or an optimal attack path on the basis of network reachability capable of actual network communication and a practical risk of a vulnerability, The present invention provides an apparatus and method for predicting a penetration path that enables an administrator to manage a network in an optimum state by a cyber attack.

본 발명은 위에서 제시된 과제를 달성하기 위해, 공격 그래프 및/또는 최적의 공격 패스를 제시하여 네트워크 관리자가 사이버 공격에 대하여 네트워크를 최적의 상태로 관리할 수 있도록 하는 침투 경로 예측 장치를 제공한다.The present invention provides an infiltration path prediction apparatus for presenting an attack graph and / or an optimal attack path so that a network administrator can manage a network in an optimal state against a cyber attack.

상기 침투 경로 예측 장치는,The infiltration path predicting apparatus comprises:

서브넷 구조 기반의 네트워크 도달 가능성을 갖는 네트워크 정보, 미리 분석된 네트워크의 취약점 정보 및 미리 설정되는 익스플로잇 정보(부연 설명을 부탁드립니다)를 수집하는 정보 수집부;An information collecting unit for collecting network information having a network reachability based on a subnet structure, vulnerability information of a network analyzed in advance, and exploit information set in advance (please explain);

부연설명Explanation

시스템의 취약점을 공격하기 위해서는 익스플로잇이라는 공격 코드가 필요하다. 익스플로잇 정보는 연관 취약점 정보(CVE 번호), 목표 시스템 운영체계(OS정보), 공격 성공후 획득 권한, 익스플로잇 활용도 지수, 등을 포함한다. To exploit vulnerabilities in the system, exploit code is required. Exploit information includes related vulnerability information (CVE number), target system operating system (OS information), acquisition right after attack success, exploit utilization index, and so on.

네트워크 관리자는 모의 침투 도구 및 블랙마켓 등에서 다양한 익스플로잇 정보를 획득할 수 있다.Network administrators can obtain various exploit information from mock penetration tools and black market.

상기 취약점 정보 및 익스플로잇 정보를 정량화하여 위험도 레벨을 산출하는 정량화부;A quantification unit for quantifying the vulnerability information and the exploit information to calculate a risk level;

상기 네트워크 도달 가능성 및 상기 위험도 레벨을 이용하여 최종 취약점을 분석하는 취약점 분석부; 및 A vulnerability analysis unit for analyzing a final vulnerability using the network reachability and the risk level; And

상기 최종 취약점을 이용하여 공격 그래프를 생성하는 그래프 생성부;를 포함할 수 있다.And a graph generating unit for generating an attack graph using the final vulnerability.

또한, 상기 공격 그래프는 상기 서브넷 구조 기반의 그래프 정보, 취약점 정보 및 위험도 레벨을 이용하여 표현되는 것을 특징으로 할 수 있다.In addition, the attack graph may be expressed using graph information, vulnerability information, and a risk level based on the subnet structure.

또한, 상기 공격 그래프는 상기 네트워크 도달 가능성 및 상기 취약점 정보에 기반하여 다수의 엣지 및 노드로 표현되며, 상기 다수의 노드는 취약점 기반의 공격 그래프의 노드들이고, 상기 다수의 엣지는 상기 다수의 노드 중 두 노드 사이에 연결선으로 형성되는 것을 특징으로 할 수 있다.Also, the attack graph is represented by a plurality of edges and nodes based on the network reachability and the vulnerability information, and the plurality of nodes are nodes of an attack graph based on the vulnerability, And a connection line between the two nodes.

또한, 상기 다수의 노드 각각은 IP(Internet Protocol) 및 서비스 포트별로 할당되고, 상기 서비스 포트는 미리 설정되는 위협 취약 서비스 목록에 포함되는 것을 특징으로 할 수 있다.In addition, each of the plurality of nodes is allocated for each IP (Internet Protocol) and service port, and the service port is included in a list of threat-weak services set in advance.

또한, 상기 두 노드가 속하는 서브넷들은 서로 통신이 가능한 위치에 있는 것을 특징으로 할 수 있다.In addition, the subnets to which the two nodes belong can be communicated with each other.

또한, 상기 연결선은 방향에 따라 다른 위험도 레벨을 갖는 것을 특징으로 할 수 있다.In addition, the connecting line may have a different risk level depending on the direction.

또한, 상기 침투 경로 예측 장치는, 다이크스트라(Dijkstra) 알고리즘을 이용하여 상기 위험도 레벨이 적용된 공격 그래프 상에서 취약점의 위험도를 기반으로 공격 시작 단말과 최종 목표 단말의 입력에 따라 공격 경로를 찾는 공격 경로 분석부;를 더 포함하는 것을 특징으로 할 수 있다.In addition, the penetration path prediction apparatus may further include an attack path analyzing unit that calculates an attack path based on the risk of the vulnerability on the attack graph to which the risk level is applied by using a Dijkstra algorithm, And further comprising:

또한, 상기 위험도 레벨은 수학식

Figure pat00001
(여기서, CVSS(Common Vulnerability Scoring System)는 NVD(National Vulnerability Database)에서 제시하는 취약점에 대한 위험도를 의미하고, EXP는 수집된 익스플로잇에 대한 활용성 지수이다)에 의해 산출되는 것을 특징으로 할 수 있다.Further, the risk level may be expressed by Equation
Figure pat00001
(Where Common Vulnerability Scoring System (CVSS) refers to the risk for vulnerabilities presented by the NVD (National Vulnerability Database), and EXP is the utilization index for the collected exploits) .

또한, 익스플로잇이 없을 경우나 잠재적인 공격 가능성을 분석하기 위해서는 α=1, β=0 으로 가중치를 주거나 실제 수집된 익스플로잇을 중심으로 공격 가능성을 분석하기 위해서 α=0, β=1 으로 가중치를 주는 것을 특징으로 할 수 있다.In order to analyze the potential attack potential in the absence of an exploit, we assign a weight to α = 1 and β = 0, or weights α = 0 and β = 1 in order to analyze the attack potential around the actual collected exploit . ≪ / RTI >

다른 한편으로, 본 발명의 다른 일실시예는, 정보 수집부가 서브넷 구조 기반의 네트워크 도달 가능성을 갖는 네트워크 정보, 미리 분석된 네트워크의 취약점 정보 및 미리 설정되는 익스플로잇 정보를 수집하는 단계; 정량화부가 상기 취약점 정보 및 익스플로잇 정보를 정량화하여 위험도 레벨을 산출하는 단계; 취약점 분석부가 상기 네트워크 도달 가능성 및 상기 위험도 레벨을 이용하여 최종 취약점을 분석하는 단계; 및 그래프 생성부가 상기 최종 취약점을 이용하여 공격 그래프를 생성하는 단계;를 포함하는 것을 특징으로 하는 네트워크 도달 가능성 기반의 자동화된 침투 경로 예측 방법을 제공할 수 있다. According to another embodiment of the present invention, there is provided a method of managing network information, comprising: collecting network information having network reachability based on a subnet structure, vulnerability information of a previously analyzed network, and preset exploit information; Quantifying the vulnerability information and the exploit information to calculate a risk level; Analyzing the final vulnerability using the network reachability and the risk level; And generating an attack graph using the final vulnerability by the graph generating unit. The network penetration prediction method of the present invention can provide an automatic penetration path predicting method based on network reachability.

본 발명에 따르면, 보안에 비전문적인 네트워크 관리자도 기업/기관의 네트워크에 대한 모의 공격 그래프 테스트를 통해서 취약한 네트워크를 식별하고 우선 순위에 따라 네트워크 보안을 향상시킬 수 있는 정량적인 기준을 제시할 수 있다.  According to the present invention, an unprofessional network administrator can quantitatively measure vulnerable networks and improve network security according to priorities through a simulated attack graph test on a network of a corporation / institution.

도 1은 본 발명의 일실시예에 따라 공격 그래프를 그리기 위해 기반이 되는 서브넷 기반의 네트워크 도달 가능성 그래프를 보여주고 있다.
도 2는 본 발명의 일실시예에 따라 취약점 및/또는 서브넷 기반의 도달 가능성을 바탕으로 실질적인 공격 그래프를 보여주고 있다.
도 3은 본 발명의 일실시예에 따른 네트워크 도달 가능성 기반의 자동화된 침투 경로 예측 장치(300)의 구성 블록도이다.
도 4는 본 발명의 일실시예에 따른 취약점의 위험도 레벨을 위해서 익스플로잇의 활용성 지수를 정의하기 위한 기준을 제시하는 예시이다.
도 5는 본 발명의 일실시예에 따른 네트워크 도달 가능성 기반의 자동화된 침투 경로를 예측하는 과정을 보여주는 흐름도이다.FIG. 1 illustrates a network reachability graph based on a subnet based on an attack graph according to an exemplary embodiment of the present invention.
FIG. 2 shows a substantial attack graph based on vulnerability and / or subnet-based reachability according to an embodiment of the present invention.
3 is a block diagram of a configuration of an automatic penetration path prediction apparatus 300 based on network reachability according to an embodiment of the present invention.
FIG. 4 is an example of providing a criterion for defining exploitability indexes for a vulnerability level of a vulnerability according to an embodiment of the present invention.
5 is a flowchart illustrating a process of predicting an automated penetration path based on network reachability according to an embodiment of the present invention.

본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는바, 특정 실시예들을 도면에 예시하고 상세한 설명에 구체적으로 설명하고자 한다. 그러나 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.While the invention is susceptible to various modifications and alternative forms, specific embodiments thereof are shown by way of example in the drawings and will herein be described in detail. It is to be understood, however, that the invention is not to be limited to the specific embodiments, but includes all modifications, equivalents, and alternatives falling within the spirit and scope of the invention.

각 도면을 설명하면서 유사한 참조부호를 유사한 구성요소에 대해 사용한다.Like reference numerals are used for similar elements in describing each drawing.

제 1, 제 2등의 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되어서는 안 된다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다.The terms first, second, etc. may be used to describe various components, but the components should not be limited by the terms. The terms are used only for the purpose of distinguishing one component from another.

예를 들어, 본 발명의 권리 범위를 벗어나지 않으면서 제 1 구성요소는 제 2 구성요소로 명명될 수 있고, 유사하게 제 2 구성요소도 제 1 구성요소로 명명될 수 있다. "및/또는" 이라는 용어는 복수의 관련된 기재된 항목들의 조합 또는 복수의 관련된 기재된 항목들 중의 어느 항목을 포함한다.For example, without departing from the scope of the present invention, the first component may be referred to as a second component, and similarly, the second component may also be referred to as a first component. The term "and / or" includes any combination of a plurality of related listed items or any of a plurality of related listed items.

다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미가 있다.Unless otherwise defined, all terms used herein, including technical or scientific terms, have the same meaning as commonly understood by one of ordinary skill in the art to which this invention belongs.

일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥상 가지는 의미와 일치하는 의미를 가지는 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않아야 한다.Terms such as those defined in commonly used dictionaries are to be interpreted as having a meaning consistent with the contextual meaning of the related art and are to be interpreted as either ideal or overly formal in the sense of the present application Should not.

이하 첨부된 도면을 참조하여 본 발명의 일실시예에 따른 네트워크 도달 가능성 기반의 자동화된 침투 경로 예측 장치 및 방법을 상세하게 설명하기로 한다.DETAILED DESCRIPTION OF THE PREFERRED EMBODIMENTS Hereinafter, an apparatus and method for predicting an automated penetration path based on network reachability according to an embodiment of the present invention will be described in detail with reference to the accompanying drawings.

본 발명의 일실시예는 네트워크를 통한 사이버 공격을 대비하기 위해서 네트워크 구성 및/또는 취약점으로 부터 공격 그래프를 생성하고 생성된 공격 그래프로부터 최적의 공격 패스를 제시한다. 이를 위해, 본 발명의 일실시예는 정보 수집, 취약점 메트릭, 취약점 분석, 공격 그래프 생성, 공격 경로 분석 등의 기법을 제공한다. An embodiment of the present invention generates an attack graph from a network configuration and / or a vulnerability in order to prepare for a cyber attack through a network and presents an optimal attack path from the generated attack graph. To this end, one embodiment of the present invention provides techniques such as information gathering, vulnerability metrics, vulnerability analysis, attack graph generation, attack path analysis, and the like.

여기서, 정보 수집은 공격 그래프를 생성하기 위한 기반 정보들을 수집하는 것이다. 공격 그래프를 생성하기 위해 공개 및/또는 비공개된 취약점 정보와 직접 공격을 수행할 수 있는 익스플로잇(Exploits) 정보를 수집한다. Here, the information collection is to collect the base information for generating the attack graph. To generate attack graphs, we collect vulnerability information that is public and / or unlisted, and exploit information that can perform direct attacks.

취약점 정보 수집을 위해서는 다양한 데이터베이스들을 활용할 수 있다. 예를 들면, NIST(National Institute of Standards and Technology, 美國標準技術硏究所)에서 제공하는 NVD(National Vulnerability Database), 오픈소스 진영에서 제공하는 OSVDB(Open Source Vulnerability Database), MITRE에서 제공하는 CVE(Common Vulnerabilities and Exposures), Symantec 등에서 제공하는 Symantec DeepSight 등이 활용 가능하다. Various databases can be used to collect vulnerability information. For example, the National Vulnerability Database (NVD) provided by the National Institute of Standards and Technology (NIST), the Open Source Vulnerability Database (OSVDB) provided by the open source campus, the CVE Common Vulnerabilities and Exposures, and Symantec DeepSight from Symantec.

특히, MITRE에서는 발견된 취약점들을 공개하고 이를 체계화한 CVE를 구축하였다. 구축된 CVE를 기반으로 이에 대한 위험도 값(CVSS: Common Vulnerability Scoring System)을 산정하여 공개하고 있다. 네트워크 관리자는 공개 및/또는 비공개된 익스플로잇에 대한 정보를 수집한다. 익스플로잇 정보는 다양한 보안 전문가 집단에서 공식 또는 비공식적으로 공개를 하고 있다. 수집된 익스플로잇 정보에 대해서 네트워크 관리자는 해당 익스플로잇 정보의 활용성 지수를 평가한다. In particular, MITER has released CVEs that disclose and systematize the vulnerabilities found. The Common Vulnerability Scoring System (CVSS) is calculated based on the CVE that has been constructed. The network administrator collects information about open and / or closed exploits. Exploit information is publicly or unofficially disclosed by various groups of security experts. For the collected exploit information, the network administrator evaluates the exploitability index of the exploit information.

이는 익스플로잇마다 그 특성이 있어서 공격 성공 또는 시스템의 영향도가 다르기 때문이다. 도 4는 익스플로잇의 활용성 지수를 평가하는 기준을 제시한다. 해당 익스플로잇의 지수는 네트워크 관리자에 의해서 그 점수를 재산정하여 사용이 가능하다.This is because each exploit has its own characteristics and the impact of the attack or system is different. Figure 4 presents the criteria for evaluating the exploitability index of an exploit. The index of the exploit can be used by reassigning the score by the network administrator.

한편, 기업/기관의 네트워크를 점검하고자 하는 네트워크 관리자는 기업/기관의 네트워크에 대한 네트워크 정보를 수집한다. 수집된 네트워크 정보는 서브넷(SUBNET) 구조를 기반으로 그 도달 가능성(reachability)을 제공한다. 여기서 도달 가능성이란 한 서브넷에서 다른 서브넷으로 네트워크 통신이 가능한지에 대한 표현이다. 실제 기업/기관의 네트워크는 라우터나 방화벽 등을 통해 네트워크 통신이 가능한 영역을 제한하고 있다. 통신이 가능하지 못한 경우 실제 공격이 이루어지기 어려우므로 서브넷 기반의 도달 가능성은 공격 그래프의 중요한 기준이 된다.On the other hand, a network administrator who wants to check the network of a company / institution collects network information about the network of the company / institution. The collected network information provides its reachability based on the subnet structure. Reachability is an expression of whether network communication from one subnet to another is possible. Actual corporate / institutional networks limit the areas where network communication is possible through routers or firewalls. Subnet-based reachability is an important criterion for attack graphs because it is difficult for real attacks to occur if communication is not possible.

도 1은 본 발명의 일실시예에 따라 공격 그래프를 그리기 위해 기반이 되는 서브넷 기반의 네트워크 도달 가능성 그래프를 보여주고 있다. 특히, 도 1은 서브넷 구조의 도달 가능성을 기반으로 한 네트워크 맵을 보여주고 있다. FIG. 1 illustrates a network reachability graph based on a subnet based on an attack graph according to an exemplary embodiment of the present invention. Particularly, FIG. 1 shows a network map based on reachability of a subnet structure.

도 1을 참조하면, 서브넷 그래프에서 각 사각형은 네트워크를 구성하는 제 1 내지 제 7 서브넷(110 내지 170)을 나타내고, 사각형들을 연결한 연결선(101)은 서브넷의 연결을 의미한다. 여기서 서브넷의 연결은 해당 서브넷에서 다른 서브넷으로 네트워크 패킷이 도달 가능한 것을 의미한다. Referring to FIG. 1, each square in the subnet graph represents the first to seventh subnets 110 to 170 constituting the network, and the connection line 101 connecting the squares represents connection of the subnet. Here, the connection of the subnet means that the network packet can be reached from the corresponding subnet to another subnet.

예를 들어, 서브넷 A.A.A.A/24(110)에서 B.B.B.B/24(120)는 A.A.A.A/24(110)에서 보낸 패킷이 B.B.B.B/24(120)에 도달할 수 있다는 의미이다. 하지만 A.A.A.A/24(110)에서는 F.F.F.F/24(160)에 패킷을 직접 보낼 수 없다. F.F.F.F/24(160)으로 패킷을 보내기 위해서는 B.B.B.B/24(120)에 있는 호스트(단말 또는 서버)를 연계해야 한다. 서브넷 기반의 네트워크 도달 가능성을 표시하는 그래프 표현을 위한 노드와 엣지는 다음과 같다. For example, in subnet A.A.A./24 (110), B.B.B.B / 24 120 means that a packet sent from A.A.A./24 (110) can reach B.B.B.B / 24 120. However, A.A.A./24 (110) can not directly send a packet to F.F.F.F / 24 (160). To send a packet to F.F.F.F / 24 (160), the host (terminal or server) in B.B.B.B / 24 (120) must be connected. The nodes and edges for a graphical representation of subnet-based network reachability are as follows.

G(V_sub, E_sub)G (V_sub, E_sub)

V_sub = { 서브넷 목록 }              V_sub = {list of subnets}

E_sub = { < u, v > | u, v ∈ V_sub }                     E_sub = {< u, v > | u, v? V_sub}

여기서, V-sub는 서브넷 기반의 네트워크 도달 가능성을 표시하는 그래프에서 서브넷들의 목록이다.Here, the V-sub is a list of subnets in the graph indicating network reachability based on the subnet.

E_sub는 서브넷 그래프에서 각 노드들에 대한 연결 목록이다. 두 노드가 연결되어 있다는 것은 해당 서브넷이 서로 네트워크 통신이 된다는 의미이다.E_sub is a list of connections for each node in the subnet graph. The fact that the two nodes are connected means that the subnets are networked to each other.

네트워크 관리자는 각 서브넷에 속해서 서비스를 제공하는 호스트(단말 or 서버)의 정보를 제공한다. 네트워크 관리자가 제공하는 호스트 정보는 다음과 같다.The network manager provides information on the host (terminal or server) that provides service in each subnet. The host information provided by the network administrator is as follows.

<subnet_id, IP, OS, 서비스 정보(Port등) 목록>List of <subnet_id, IP, OS, service information (Port, etc.)>

여기서, subnet_id는 네트워크맵을 구성하는 서브넷에 부여된 아이디이다. 해당 서브넷의 네트워크 ID( x.x.x.x/24 or x.x.x.x/25 등)가 서브넷 id로 부여될 수 있다.Here, subnet_id is an ID assigned to the subnet constituting the network map. The subnet's network ID (such as x.x.x.x / 24 or x.x.x.x / 25) can be given as the subnet id.

IP는 각 서브넷에 있는 호스트에 부여된 IP 정보이다. IP is the IP information assigned to the hosts on each subnet.

OS는 각 호스트에 설치되어 있는 OS 정보이다. OS 정보에선 OS버전, 서비스팩 버전, 커널 버전 등이 포함될 수 있다.OS is OS information installed in each host. OS information may include OS version, service pack version, kernel version, and the like.

서비스 정보 목록은 각 호스트가 네트워크상에서 제공하는 서비스 목록이다. 해당 목록은 서비스 이름, 버전, 포트 등의 정보를 포함한다.The service information list is a list of services provided by each host on the network. The list includes information such as service name, version, port, and the like.

취약점 메트릭은 취약한 서비스에 대해서 점수를 부여하는 부분이다. 최종 공격 패스를 분석하기 위해서는 네트워크에서 발견된 취약점들에 대한 위험도를 정량화해야 한다. 본 발명의 일실시예에서는 위험도 정량화를 위해 위험도 레벨(Risk Level, RL)을 제시한다. 위험도 레벨을 계산하기 위해서 본 기술은 CVSS 값과 EXP값을 사용하였다. 위험도 레벨은 다음과 같다.Vulnerability metrics are a part of scoring for vulnerable services. To analyze the final attack path, you must quantify the risk for vulnerabilities found in the network. In an embodiment of the present invention, a risk level (RL) is proposed for risk quantification. To calculate the risk level, this technique uses CVSS and EXP values. The risk level is as follows.

Figure pat00002
Figure pat00002

여기서, CVSS(Common Vulnerability Scoring System)는 NVD(National Vulnerability Database)에서 제시하는 취약점에 대한 위험도를 의미한다.Here, the Common Vulnerability Scoring System (CVSS) represents the risk to the vulnerability presented by the National Vulnerability Database (NVD).

EXP는 수집된 익스플로잇에 대한 활용성 지수이다. EXP is the utilization index for the collected exploits.

본 발명의 일실시예에서는 이 두 개의 항목에 대한 가중치 계산을 통해서 최종 위험도 레벨을 산정한다. 네트워크 관리자는 분석하려는 의도에 맞게 가중치를 변경함으로써 위험도 레벨을 조절할 수 있다. 예를 들어 수집된 익스플로잇이 없을 경우나 잠재적인 공격 가능성을 분석하기 위해서는 α=1, β=0 으로 가중치를 둠으로써 CVSS에만 의존한 위험도를 산정할 수 있다. 또는 실제 수집된 익스플로잇을 중심으로 공격 가능성을 분석하기 위해서는 α=0, β=1 으로 가중치를 둠으로써 실제 공격 가능한 위험을 중심으로 분석을 할 수 있다.In one embodiment of the present invention, the final risk level is calculated by weighting these two items. The network administrator can adjust the risk level by changing the weights to fit the intent to analyze. For example, if there is no exploit collected, or if we analyze the potential attack potential, we can calculate the risk that depends only on CVSS by weighting α = 1 and β = 0. In order to analyze the possibility of attacks based on actual collected exploits, it is possible to analyze the actual attackable risk by weighting α = 0 and β = 1.

취약점 분석은 사전에 계산된 위험도 레벨을 기반으로 네트워크에서 서비스를 제공하는 단말이나 서버들을 대상으로 공격 가능한 취약점들을 추출한다. 실제 네트워크 공격에서는 다수의 서비스가 존재하지만 네트워크 접근이 떨어지거나 위험도가 낮은 공격은 성공 가능성이 낮게 된다. 따라서 네트워크 관리자는 실제 제공하는 서비스 중에서 위험도 레벨이 높은 서비스를 중심으로 취약점을 분류할 수 있다.The vulnerability analysis extracts vulnerabilities that can be attacked on terminals or servers that provide services on the network based on previously calculated risk level. In a real network attack, there are many services, but attacks with low network access or low risk are less likely to succeed. Therefore, the network administrator can classify vulnerabilities based on services with high risk level among actual services.

공격 그래프 생성은 분류된 취약점을 중심으로 공격 그래프를 생성하는 부분이다. The attack graph generation is a part to generate an attack graph based on the classified vulnerabilities.

도 2는 본 발명의 일실시예에 따라 취약점 및/또는 서브넷 기반의 도달 가능성을 바탕으로 실질적인 공격 그래프를 보여주고 있다. 특히, 도 2는 공격 그래프의 예시를 보여주고 있다. 공격 그래프에서 노드(211,212,213)는 서브넷에 존재하는 단말(서버포함)과 그 서비스 포트별로 구성된다. 즉, 하나의 단말에서 2개 이상의 포트가 열려있는 경우 각각을 별도의 노드로 표시를 한다. 공격 그래프에서 노드를 연결하는 연결선은 해당 포트를 통해서 공격이 가능하다는 것을 나타낸다. 각 연결선에는 취약점에 대한 위험도가 가중치로 주어진다. 해당 연결선에 대한 양방향 화살표는 서로 간에 공격이 가능하다는 것을 나타낸다. 각 연결선에 주어진 가중치는 연결선의 방향에 따라 다르게 주어진다. FIG. 2 shows a substantial attack graph based on vulnerability and / or subnet-based reachability according to an embodiment of the present invention. Particularly, FIG. 2 shows an example of an attack graph. In the attack graph, the nodes 211, 212, and 213 are configured for each of the terminals (including the server) and their service ports in the subnet. That is, when two or more ports are opened in one terminal, each terminal is marked as a separate node. A connection line connecting a node in an attack graph indicates that an attack is possible through the corresponding port. Each connection line is given a risk weight for the vulnerability. A double-headed arrow for that line indicates that an attack is possible. The weight given to each connection line is given differently depending on the direction of the connection line.

즉, <10.10.10.10, 21, 7.0> 노드에서 <10.10.11.10, 445, 8.0> 노드로 가는 방향의 연결선에서는 가중치가 8.0으로 <10.10.11.10, 445, 8.0> 노드에 부여된 8.0의 값을 가중치로 갖는다. 반대로 <10.10.11.10, 445, 8.0>노드에서 <10.10.10.10, 21, 7.0>노드로 가는 방향의 연결선에서는 가중치가 7.0으로 <10.10.10.10, 21, 7.0> 노드에 부여된 7.0의 값을 가중치로 갖는다. 공격 그래프 G(V, E)를 그리기 위한 노드(211,212,213)와 엣지(220)에 대한 표현은 다음과 같다.That is, in the connection line from <10.10.10.10, 21, 7.0> node to <10.10.11.10, 445, 8.0> node, the weight value is 8.0 and the value of 8.0 assigned to <10.10.11.10, 445, Weight. On the contrary, in the connection line from the <10.10.11.10, 445, 8.0> node to the <10.10.10.10, 21, 7.0> node, the value of 7.0 assigned to the <10.10.10.10, 21, Respectively. Expressions for the nodes 211, 212 and 213 and the edge 220 for drawing the attack graph G (V, E) are as follows.

G(V, E)G (V, E)

V = { <subid, IP, Port, RL> | <IP, Port> ∈ 위협 취약 서비스 목록}          V = {<subid, IP, Port, RL> | <IP, Port> ∈ Threat vulnerable service list}

E = { <u, v > | u, v ∈ V, and <u_subid, v_subid> ∈ E_sub }         E = {< u, v > | u, v ∈ V, and <u_subid, v_subid> ∈ E_sub}

여기서, V는 취약점 기반의 공격 그래프의 노드들의 집합이다. 각 노드들은 IP 및 서비스 포트별로 할당되고 해당 서비스 포트는 위협 취약 서비스 목록에 포함되어 있을 수 있다.Here, V is a set of nodes of the attack graph based on the vulnerability. Each node is assigned by IP and service port, and the corresponding service port may be included in the list of vulnerable services.

E는 취약점 기반의 공격 그래프에서 엣지들을 나타낸다. 두 노드 사이에 엣지가 형성되기 위해서는 두 노드가 노드집합 V에 포함되어야 하고 두 노드의 서브넷이 서로 통신이 가능한 위치에 있어야 한다. 즉, 각 노드가 속해 있는 서브넷이 연결선(101)에 의해 서로 연결된 그래프이어야 한다. E represents the edges in the vulnerability-based attack graph. In order for an edge to be formed between two nodes, two nodes must be included in the node set V and the subnets of the two nodes must be in a position where they can communicate with each other. That is, the subnet to which each node belongs should be a graph connected to each other by the connection line 101.

공격 경로 분석은 공격 그래프상에 취약점의 위험도를 기반으로 공격이 가능한 최적의 패스를 찾아주는 부분이다. 네트워크 관리자는 공격 그래프상에 공격 시작 단말과 최종 목표 단말을 입력하고 공격분석을 시작한다. 시작 단말과 목표 단말은 서비스가 아닌 단말의 IP를 기준으로 입력하게 된다. Attack path analysis is the part that finds the optimal path that can be attacked based on the risk of the vulnerability on the attack graph. The network administrator enters the attack start terminal and the final target terminal on the attack graph and starts attack analysis. The starting terminal and the target terminal are inputted based on the IP of the terminal, not the service.

본 발명의 일실시예에서는 최적의 공격 경로를 찾기 위해서 다이크스트라(Dijkstra) 알고리즘을 사용할 수 있다. Dijkstra 알고리즘은 가중치가 부여된 그래프상에서 두 지점 사이의 최단 패스를 찾아주는 알고리즘이다. 일반적인 그래프상의 가중치는 엣지에 하나의 가중치가 주어진다. 하지만 제시된 공격 그래프는 그래프의 방향에 따라 다른 가중치(위험도 레벨)가 주어진다. 또한, 그래프에 존재하는 노드들은 서비스(포트)에 따라 노드가 부여되어 실제 동일 단말이라도 서비스 별로 다른 노드로 가정하고 있다. 따라서 실질적인 공격 패스를 얻기 위해서는 동일 단말에 대한 접근을 제한한다. In one embodiment of the present invention, a Dijkstra algorithm can be used to find the optimal attack path. The Dijkstra algorithm is an algorithm that finds the shortest path between two points on a weighted graph. The weights on the general graph are given one weight on the edge. However, the proposed attack graph is given different weights (risk level) according to the direction of the graph. In addition, the nodes in the graph are given nodes according to the service (port), and even if they are actually the same terminal, they are assumed to be different for each service. Therefore, access to the same terminal is restricted to obtain a substantial attack path.

도 3은 본 발명의 일실시예에 따른 네트워크 도달 가능성 기반의 자동화된 침투 경로 예측 장치(300)의 구성 블록도이다. 도 3을 참조하면, 침투 경로 예측 장치(300)는, 정보를 수집하는 정보 수집부(310), 수집된 정보를 저장하는 데이터베이스(320), 데이터베이스(320)의 데이터를 이용하여 위험도 레벨을 산출하는 정량화부(330), 위험도 레벨을 이용하여 최종 취약점을 분석하는 취약점 분석부(340), 최종 취약점을 이용하여 공격 그래프를 생성하는 그래프 생성부(350), 및 공격 그래프를 이용하여 공격 경로를 분석하는 공격 경로 분석부(360) 등을 포함하여 구성될 수 있다.3 is a block diagram of a configuration of an automatic penetration path prediction apparatus 300 based on network reachability according to an embodiment of the present invention. 3, the penetration path prediction apparatus 300 includes an information collecting unit 310 for collecting information, a database 320 for storing collected information, and a database 320 for calculating a risk level A vulnerability analysis unit 340 for analyzing the final vulnerability using the risk level, a graph generating unit 350 for generating an attack graph using the final vulnerability, And an attack path analyzing unit 360 for analyzing the attack path.

정보 수집부(310)는 서브넷 구조 기반의 네트워크 도달 가능성을 갖는 네트워크 정보, 미리 분석된 네트워크의 취약점 정보 및 미리 설정되는 익스플로잇 정보를 수집하는 기능을 수행한다.The information collecting unit 310 collects network information having network reachability based on the subnet structure, vulnerability information of the network analyzed in advance, and exploit information that is set in advance.

데이터베이스(320)는 네트워크 정보, 미리 분석된 네트워크의 취약점 정보 및 미리 설정되는 익스플로잇 정보 등을 저장한다.The database 320 stores network information, vulnerability information of a previously analyzed network, and exploit information that is set in advance.

정량화부(330)는 상기 취약점 정보 및 익스플로잇 정보를 정량화하여 위험도 레벨을 산출한다.The quantification unit 330 quantifies the vulnerability information and the exploit information to calculate a risk level.

취약점 분석부(340)는 상기 네트워크 도달 가능성 및 상기 위험도 레벨을 이용하여 최종 취약점을 분석할 수 있다.The vulnerability analysis unit 340 may analyze the final vulnerability using the network reachability and the risk level.

그래프 생성부(350)는 상기 최종 취약점을 이용하여 공격 그래프를 생성한다.The graph generating unit 350 generates an attack graph using the final vulnerability.

공격 경로 분석부(360)는 다이크스트라(Dijkstra) 알고리즘을 이용하여 상기 가중치가 적용된 공격 그래프 상에서 취약점의 위험도를 기반으로 공격 시작 단말과 최종 목표 단말의 입력에 따라 공격 경로를 찾는 기능을 수행한다.The attack path analyzing unit 360 performs a function of finding an attack path according to the input of the attack start terminal and the final target terminal based on the risk of the vulnerability on the attack graph to which the weight is applied by using the Dijkstra algorithm.

도 4는 본 발명의 일실시예에 따른 취약점의 위험도 레벨을 위해서 익스플로잇의 활용성 지수를 정의하기 위한 기준을 제시하는 예시이다. 도 4를 참조하면, 도 4는 익스플로잇의 활용성 지수를 평가하는 기준을 제시한다. 해당 익스플로잇의 지수는 네트워크 관리자에 의해서 그 점수를 재산정하여 사용이 가능하다.FIG. 4 is an example of providing a criterion for defining exploitability indexes for a vulnerability level of a vulnerability according to an embodiment of the present invention. Referring to FIG. 4, FIG. 4 presents a criterion for evaluating the exploitability index of an exploit. The index of the exploit can be used by reassigning the score by the network administrator.

도 5는 본 발명의 일실시예에 따른 네트워크 도달 가능성 기반의 자동화된 침투 경로를 예측하는 과정을 보여주는 흐름도이다. 도 5를 참조하면, 정보 수집부(310)가 서브넷 구조 기반의 네트워크 도달 가능성을 갖는 네트워크 정보, 미리 분석된 네트워크의 취약점 정보 및 미리 설정되는 익스플로잇 정보를 수집하여 분류하고, 이를 데이터베이스(320)에 저장한다(단계 S510,S520).5 is a flowchart illustrating a process of predicting an automated penetration path based on network reachability according to an embodiment of the present invention. 5, the information collecting unit 310 collects and classifies network information having network reachability based on a subnet structure, vulnerability information of a network analyzed in advance, and preset exploit information, (Steps S510 and S520).

정량화부(330)가 상기 취약점 정보 및 익스플로잇 정보를 정량화하여 위험도 레벨을 산출하고, 취약점 분석부(340)가 상기 네트워크 도달 가능성 및 상기 위험도 레벨을 이용하여 최종 취약점을 분석한다(단계 S530,S540).The quantification unit 330 quantifies the vulnerability information and the exploit information to calculate a risk level, and the vulnerability analysis unit 340 analyzes the final vulnerability using the network reachability and the risk level (steps S530 and S540) .

이후, 그래프 생성부(350)가 상기 최종 취약점을 이용하여 공격 그래프를 생성한다(단계 S550).Thereafter, the graph generating unit 350 generates an attack graph using the final vulnerability (step S550).

이후, 공격 경로 분석부(360)는 다이크스트라(Dijkstra) 알고리즘을 이용하여 상기 가중치가 적용된 공격 그래프 상에서 취약점의 위험도를 기반으로 공격 시작 단말과 최종 목표 단말의 입력에 따라 공격 경로를 찾는 기능을 수행한다.Thereafter, the attack path analyzer 360 performs a function of finding an attack path according to the input of the attack start terminal and the final target terminal based on the risk of the vulnerability on the attack graph to which the weight is applied by using the Dijkstra algorithm do.

110 ~ 170: 제 1 내지 제 7 서브넷
300: 침투 경로 예측 장치
310: 정보 수집부
320: 데이터베이스
330: 정량화부
340: 취약점 분석부
350: 그래프 생성부
360: 공격 경로 분석부110 to 170: first to seventh subnets
300: Penetrating path prediction device
310: Information collecting unit
320: Database
330: Quantification part
340: Vulnerability Analysis Department
350:
360: attack path analysis unit

Claims (10)

서브넷 구조 기반의 네트워크 도달 가능성을 갖는 네트워크 정보, 미리 분석된 네트워크의 취약점 정보 및 미리 설정되는 익스플로잇 정보를 수집하는 정보 수집부;
상기 취약점 정보 및 익스플로잇 정보를 정량화하여 위험도 레벨을 산출하는 정량화부;
상기 네트워크 도달 가능성 및 상기 위험도 레벨을 이용하여 최종 취약점을 분석하는 취약점 분석부; 및
상기 최종 취약점을 이용하여 공격 그래프를 생성하는 그래프 생성부;
을 포함하는 것을 특징으로 하는 네트워크 도달 가능성 기반의 자동화된 침투 경로 예측 장치.
An information collecting unit for collecting network information having network reachability based on a subnet structure, vulnerability information of a network analyzed in advance, and exploited information to be set in advance;
A quantification unit for quantifying the vulnerability information and the exploit information to calculate a risk level;
A vulnerability analysis unit for analyzing a final vulnerability using the network reachability and the risk level; And
A graph generating unit for generating an attack graph using the final vulnerability;
Based on the network reachability of the network.
제 1 항에 있어서,
상기 공격 그래프는 상기 서브넷 구조 기반의 그래프 정보, 취약점 정보 및 위험도 레벨을 이용하여 표현되는 것을 특징으로 하는 네트워크 도달 가능성 기반의 자동화된 침투 경로 예측 장치.
The method according to claim 1,
Wherein the attack graph is expressed using graph information, vulnerability information, and a risk level based on the subnet structure.
제 2 항에 있어서,
상기 공격 그래프는 상기 네트워크 도달 가능성 및 상기 취약점 정보에 기반하여 다수의 엣지 및 노드로 표현되며, 상기 다수의 노드는 취약점 기반의 공격 그래프의 노드들이고, 상기 다수의 엣지는 상기 다수의 노드 중 두 노드 사이에 연결선으로 형성되는 것을 특징으로 하는 네트워크 도달 가능성 기반의 자동화된 침투 경로 예측 장치.
3. The method of claim 2,
Wherein the attack graph is represented by a plurality of edges and nodes based on the network reachability and the vulnerability information, the plurality of nodes are nodes of an attack graph based on a vulnerability, and the plurality of edges are nodes of two nodes Wherein the network is formed as a connection line between the network and the network.
제 3 항에 있어서,
상기 다수의 노드 각각은 IP(Internet Protocol) 및 서비스 포트별로 할당되고, 상기 서비스 포트는 미리 설정되는 위협 취약 서비스 목록에 포함되는 것을 특징으로 하는 네트워크 도달 가능성 기반의 자동화된 침투 경로 예측 장치.
The method of claim 3,
Wherein each of the plurality of nodes is assigned an IP (Internet Protocol) and a service port, and the service port is included in a list of pre-established threat vulnerable services.
제 3 항에 있어서,
상기 두 노드가 속하는 서브넷들은 서로 통신이 가능한 위치에 있는 것을 특징으로 하는 네트워크 도달 가능성 기반의 자동화된 침투 경로 예측 장치.
The method of claim 3,
Wherein the subnets to which the two nodes belong are in a position where they can communicate with each other.
제 3 항에 있어서,
상기 연결선은 방향에 따라 다른 위험도 레벨을 갖는 것을 특징으로 하는 네트워크 도달 가능성 기반의 자동화된 침투 경로 예측 장치.
The method of claim 3,
Wherein the connection line has a different risk level depending on the direction.
제 6 항에 있어서,
다이크스트라(Dijkstra) 알고리즘을 이용하여 상기 위험도 레벨이 적용된 공격 그래프 상에서 취약점의 위험도를 기반으로 공격 시작 단말과 최종 목표 단말의 입력에 따라 공격 경로를 찾는 공격 경로 분석부;를 더 포함하는 것을 특징으로 하는 네트워크 도달 가능성 기반의 자동화된 침투 경로 예측 장치.
The method according to claim 6,
And an attack path analyzer for finding an attack path according to the input of the attack start terminal and the final target terminal based on the risk of the vulnerability on the attack graph to which the risk level is applied using the Dijkstra algorithm. An automated penetration path prediction device based on network reachability.
제 1 항에 있어서,
상기 위험도 레벨은 수학식
Figure pat00003
(여기서, CVSS(Common Vulnerability Scoring System)는 NVD(National Vulnerability Database)에서 제시하는 취약점에 대한 위험도를 의미하고, EXP는 수집된 익스플로잇에 대한 활용성 지수이다)에 의해 산출되는 것을 특징으로 하는 네트워크 도달 가능성 기반의 자동화된 침투 경로 예측 장치.
The method according to claim 1,
The risk level is calculated using Equation
Figure pat00003
Wherein the Common Vulnerability Scoring System (CVSS) refers to a risk for a vulnerability presented by NVD (National Vulnerability Database), and EXP is a utilization index for collected exploits. Potential based automated penetration path prediction device.
제 8 항에 있어서,
익스플로잇이 없을 경우나 잠재적인 공격 가능성을 분석하기 위해서는 α=1, β=0 으로 가중치를 주거나 실제 수집된 익스플로잇을 중심으로 공격 가능성을 분석하기 위해서 α=0, β=1 으로 가중치를 주는 것을 특징으로 하는 네트워크 도달 가능성 기반의 자동화된 침투 경로 예측 장치.
9. The method of claim 8,
If there is no exploit or to analyze the potential attack potential, we assign a weight to α = 0 and β = 1 to give a weight to α = 1 and β = 0 or to analyze the possibility of attacks based on actual collected exploits. Based on the network reachability.
정보 수집부가 서브넷 구조 기반의 네트워크 도달 가능성을 갖는 네트워크 정보, 미리 분석된 네트워크의 취약점 정보 및 미리 설정되는 익스플로잇 정보를 수집하는 단계;
정량화부가 상기 취약점 정보 및 익스플로잇 정보를 정량화하여 위험도 레벨을 산출하는 단계;
취약점 분석부가 상기 네트워크 도달 가능성 및 상기 위험도 레벨을 이용하여 최종 취약점을 분석하는 단계; 및
그래프 생성부가 상기 최종 취약점을 이용하여 공격 그래프를 생성하는 단계;
를 포함하는 것을 특징으로 하는 네트워크 도달 가능성 기반의 자동화된 침투 경로 예측 방법.Collecting network information having a network reachability based on a subnet structure, vulnerability information of a network analyzed in advance, and exploited information to be set in advance;
Quantifying the vulnerability information and the exploit information to calculate a risk level;
Analyzing the final vulnerability using the network reachability and the risk level; And
Generating an attack graph using the final vulnerability;
The method comprising the steps of: (a) determining a penetration path of a network;
KR1020160089239A 2016-07-14 2016-07-14 Apparatus and Method for estimating automated network penetration path based on network reachability KR101893253B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020160089239A KR101893253B1 (en) 2016-07-14 2016-07-14 Apparatus and Method for estimating automated network penetration path based on network reachability

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020160089239A KR101893253B1 (en) 2016-07-14 2016-07-14 Apparatus and Method for estimating automated network penetration path based on network reachability

Publications (2)

Publication Number Publication Date
KR20180007832A true KR20180007832A (en) 2018-01-24
KR101893253B1 KR101893253B1 (en) 2018-08-29

Family

ID=61029380

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020160089239A KR101893253B1 (en) 2016-07-14 2016-07-14 Apparatus and Method for estimating automated network penetration path based on network reachability

Country Status (1)

Country Link
KR (1) KR101893253B1 (en)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110572409A (en) * 2019-09-16 2019-12-13 国家计算机网络与信息安全管理中心 Industrial Internet security risk prediction method, device, equipment and storage medium
KR102079687B1 (en) * 2019-07-12 2020-02-20 한화시스템(주) System and method for cyber prediction based on attack graph
KR20200034148A (en) * 2018-09-21 2020-03-31 한국전자통신연구원 Method and apparatus for generating semantic attack graph
CN114428962A (en) * 2022-01-28 2022-05-03 北京灰度科技有限公司 Vulnerability risk priority processing method and device
CN116112278A (en) * 2023-02-17 2023-05-12 西安电子科技大学 Q-learning-based network optimal attack path prediction method and system
KR102639316B1 (en) * 2023-06-01 2024-02-20 국방과학연구소 Method and apparatus of recommending cyber targets based on attack cost

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102497865B1 (en) 2022-07-13 2023-02-08 국방과학연구소 Apparatus and method for recommendation cyber offensive countermeasures

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20110158083A1 (en) * 2009-12-24 2011-06-30 At&T Intellectual Property I, Lp Determining Connectivity in a Failed Network
KR101160896B1 (en) 2012-03-26 2012-06-28 (주)안세기술 Discriminating system of the aircraft type using laser scanner and conforming system of aircraft self position
US8881288B1 (en) * 2008-10-28 2014-11-04 Intelligent Automation, Inc. Graphical models for cyber security analysis in enterprise networks
US20150237062A1 (en) * 2014-02-14 2015-08-20 Risk I/O, Inc. Risk Meter For Vulnerable Computing Devices

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8881288B1 (en) * 2008-10-28 2014-11-04 Intelligent Automation, Inc. Graphical models for cyber security analysis in enterprise networks
US20110158083A1 (en) * 2009-12-24 2011-06-30 At&T Intellectual Property I, Lp Determining Connectivity in a Failed Network
KR101160896B1 (en) 2012-03-26 2012-06-28 (주)안세기술 Discriminating system of the aircraft type using laser scanner and conforming system of aircraft self position
US20150237062A1 (en) * 2014-02-14 2015-08-20 Risk I/O, Inc. Risk Meter For Vulnerable Computing Devices

Non-Patent Citations (4)

* Cited by examiner, † Cited by third party
Title
1. 고플린, "트래픽 자기 유사성(Self-similarity)에 기반한 SCADA 시스템 환경에서의 침입탐지방법론"학위논문(박사) KAIST 2015년 전기및전자공학과
2. 김지홍외, "시스템취약점분석을통한침투경로예측자동화기법"정보보호학회논문지 제22권 제5호 (2012년 10월) pp.1079-1090(본 기술과의 차이점을 간단히 기술하여 주시기 바랍니다)
또한, 해당 논문은 침투경로 예측을 위해 호스트(서버, 단말 등의 장비)와 호스트 사이의 물리적 연결을 기반으로 하는 네트워크 구조를 그대로 따라간다. 하지만, 공격자 입장에서 네트워크의 물리적 연결 구조 자체보다 통신 패킷들의 네트워크 도달이 중요하다. 즉, 네트워크를 통한 호스트(서버, 단말 등의 장비)에 대한 접근 가능성이 중요하다. 따라서 제시하는 기술은 네트워크 도달에 기반을 둔 서브넷 기반의 사이버 침투경로를 제시하고 있다.
해당 논문은 시스템 취약점 분석을 위한 침투경로 예측 기법을 제시하고 있다. 해당 논문과 제시하는 기술의 차이점은 크게 취약점 분석을 위한 점수부여 기법 및 계산수식과 공격 그래프를 위한 네트워크 구조에서 차이점을 가지고 있다. 해당 논문에서는 침투경로 예측을 위하여 취약점에 대한 점수부여, 사용자 운영체제 점수부여, 사용자 인증절차에 따른 점수부여 기법을 적용하였다. 하지만, 사이버 공격은 사용자 운영체제 및 인증절차 보다는 취약점 및 해당 취약점에 대한 익스플로잇의 효과성이 더 중요하다. 따라서 제시하는 기술은 취약점 분석을 위한 점수 부여와 익스플로잇의 점수부여 기법 및 그 계산수식을 제시하고 있다.

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20200034148A (en) * 2018-09-21 2020-03-31 한국전자통신연구원 Method and apparatus for generating semantic attack graph
KR102079687B1 (en) * 2019-07-12 2020-02-20 한화시스템(주) System and method for cyber prediction based on attack graph
CN110572409A (en) * 2019-09-16 2019-12-13 国家计算机网络与信息安全管理中心 Industrial Internet security risk prediction method, device, equipment and storage medium
CN110572409B (en) * 2019-09-16 2021-10-12 国家计算机网络与信息安全管理中心 Industrial Internet security risk prediction method, device, equipment and storage medium
CN114428962A (en) * 2022-01-28 2022-05-03 北京灰度科技有限公司 Vulnerability risk priority processing method and device
CN116112278A (en) * 2023-02-17 2023-05-12 西安电子科技大学 Q-learning-based network optimal attack path prediction method and system
KR102639316B1 (en) * 2023-06-01 2024-02-20 국방과학연구소 Method and apparatus of recommending cyber targets based on attack cost

Also Published As

Publication number Publication date
KR101893253B1 (en) 2018-08-29

Similar Documents

Publication Publication Date Title
KR101893253B1 (en) Apparatus and Method for estimating automated network penetration path based on network reachability
Chung et al. NICE: Network intrusion detection and countermeasure selection in virtual network systems
US9467462B2 (en) Traffic anomaly analysis for the detection of aberrant network code
Osanaiye Short Paper: IP spoofing detection for preventing DDoS attack in Cloud Computing
Gong et al. Website detection using remote traffic analysis
Lastovicka et al. Passive os fingerprinting methods in the jungle of wireless networks
US20110138470A1 (en) Automated testing for security vulnerabilities of devices
Gokcen et al. Can we identify NAT behavior by analyzing Traffic Flows?
EP3223495A1 (en) Detecting an anomalous activity within a computer network
Naik et al. Honeypots that bite back: A fuzzy technique for identifying and inhibiting fingerprinting attacks on low interaction honeypots
Moustafa et al. Towards automation of vulnerability and exploitation identification in IIoT networks
Musa et al. Analysis of complex networks for security issues using attack graph
Pashamokhtari et al. Progressive monitoring of iot networks using sdn and cost-effective traffic signatures
Hagos et al. Advanced passive operating system fingerprinting using machine learning and deep learning
Tanaka et al. Internet-wide scanner fingerprint identifier based on TCP/IP header
Asha et al. Analysis on botnet detection techniques
Oujezsky et al. Botnet C&C traffic and flow lifespans using survival analysis
Pouget et al. Internet attack knowledge discovery via clusters and cliques of attack traces
Bremler-Barr et al. One mud to rule them all: Iot location impact
Lyu et al. Enterprise dns asset mapping and cyber-health tracking via passive traffic analysis
Barnes et al. k-p0f: A high-throughput kernel passive OS fingerprinter
Kim et al. A design of automated vulnerability information management system for secure use of internet-connected devices based on internet-wide scanning methods
CN114372269A (en) Risk assessment method based on system network topological structure
Amin et al. Edge-computing with graph computation: A novel mechanism to handle network intrusion and address spoofing in SDN
Hunter et al. Real-time distributed malicious traffic monitoring for honeypots and network telescopes

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
AMND Amendment
E601 Decision to refuse application
AMND Amendment
X701 Decision to grant (after re-examination)
GRNT Written decision to grant