실시간 사이버 위협 정보 보고서를 통한 사후 침해 공격 예측 및 해석

실시간 사이버 위협 정보 보고서를 활용하여 사후 침해 공격을 자동으로 예측하고 기술 수준에서 해석하여 엔드포인트 탐지 및 대응 시스템에 사전 강화 조치를 취할 수 있다.

이 논문은 APT(Advanced Persistent Threat) 공격으로 인한 심각한 피해를 해결하기 위해 Endpoint Forecasting and Interpreting(EFI)라는 실시간 공격 예측 및 해석 시스템을 제안한다. 첫째, CTI(Cyber Threat Intelligence) 보고서에서 공격 시나리오 그래프(ASG)를 자동으로 추출하여 낮은 수준의 시스템 로그와 매핑함으로써 공격 샘플을 강화한다. 둘째, 직렬화된 그래프 예측 모델을 구축하여 엔드포인트 탐지 및 대응(EDR) 시스템에서 제공하는 공격 근거 그래프(APG)와 결합하여 공격 예측 그래프(AFG)를 생성한다. 셋째, 공격 템플릿 그래프(ATG)와 그래프 정렬 알고리즘을 활용하여 AFG를 기술 수준에서 자동으로 해석하고 EDR 시스템에 사전 강화 조치를 취한다. 실험 결과, EFI는 AFG 생성 시간 5초, AFG 해석 시간 5분 이내, AFG와 실제 공격 그래프 간 정렬 점수 0.8 이상, 예측 및 해석 정확도 91.8%를 달성했다.

APT 공격은 2006년 이후 7,000건 이상 발생했다. EDR 시스템은 대량의 오탐지로 인해 분석가의 수동 개입이 필요하다. 평균 측면 이동 시간은 1시간 58분으로, 2시간 내에 탐지, 조사, 대응을 완료해야 한다.

"EDR 시스템은 대량의 오탐지로 인해 분석가의 수동 개입이 필요하다." "평균 측면 이동 시간은 1시간 58분으로, 2시간 내에 탐지, 조사, 대응을 완료해야 한다."