핵심 개념
이 연구는 허니팟에서 수집된 터미널 세션 명령어를 활용하여 공격 패턴을 군집화하는 Dirichlet 분포 토픽 모델을 제안한다. 제안된 모델은 세션 수준과 명령어 수준의 잠재 의도를 모두 고려하여 공격 패턴을 보다 효과적으로 식별할 수 있다.
초록
이 연구는 허니팟에서 수집된 터미널 세션 명령어 데이터를 활용하여 공격 패턴을 탐지하는 Dirichlet 분포 토픽 모델을 제안한다.
주요 내용은 다음과 같다:
세션 수준과 명령어 수준의 잠재 의도를 모델링하는 중첩 제약 베이지안 군집화(NCBC) 모델을 제안
무한 어휘 크기와 토픽 수를 허용하는 비모수 베이지안 확장 모델을 제안
제안된 모델을 실제 허니팟 데이터에 적용하여 기존 방법으로는 탐지되지 않았던 MIRAI 변종 공격을 발견
이 연구는 허니팟 데이터에서 공격 패턴을 자동으로 탐지하고 분류할 수 있는 강력한 도구를 제공한다. 제안된 모델은 세션 수준과 명령어 수준의 잠재 의도를 모두 고려하여 공격 패턴을 보다 효과적으로 식별할 수 있다. 또한 무한 어휘 크기와 토픽 수를 허용하는 비모수 베이지안 확장을 통해 실제 환경에서의 활용성을 높였다.
통계
허니팟에서 수집된 약 40,000개의 고유 세션
총 1.3백만 회 관찰된 세션
전처리 후 1,003개의 고유 단어로 구성된 어휘
2,617개의 고유 세션, 42,640개의 명령어, 261,283개의 단어
인용구
"허니팟은 사이버 공격자의 운영 기술에 대한 귀중한 통찰을 제공한다."
"각 관찰된 세션은 잠재적인 잠재 의도를 가지고 있으며, 이러한 의도는 시간이 지남에 따라 진화하고 변화한다."