실제 대용량 공격 로그의 직접적 분석으로 밝힌 공격형태

Abstract

최근 네트워크의 관제시스템에서는 보안을 위해 다양한 종류의 장비가 이용된다. 이에 각 장비들에서 발생시키는 공격 로그들은 점점 증가하고 있고, 시스템을 운영하는 관리자는 로그들을 통합적으로 분석하여 공격에 대응해야 한다. 최근 제안되는 분석모델들은 마이닝을 통해 얻은 시그니쳐, 패턴, 통계 등을 이용하여 향후의 공격탐지를 더 정확하고 빠르게 하는데 초점이 맞춰져 있고, 가상의 환경에서 주로 실험되었다. 한편, 실제의 로그 데이터가 존재할 때에는 마이닝 기법을 적용하여 패턴을 찾는 것 이외에도 실제로 해당 네트워크에서 일어난 공격들의 공격자, 피해자, 형태 등에 대한 직접적 정보를 분석할 수 있다. 이러한 직접적 정보는 관리자에게 직관적으로 이해될 수 있어 상황을 파악하는데 유용하다. 이를 위해 본 논문에서는 실제 네트워크의 관제시스템의 5 가지 공격 로그들에 대한 직접적인 분석방법을 제시하고 적용하여 네트워크에서 일어난 주요한 공격들의 형태와, 로그 사이의 연관성에 대해서 분석하였다. 먼저 특정 로그에 대해 공격유형 분석을 진행하고 공격 그래프를 제안하여 분석범위를 전체에 대해 확장하였다. 또한 로그들의 연관성에 대해서도 단계별로 분석하였다. 그 결과, 네트워크에서 일어난 주요한 공격의 형태와 로그 간 연관성에 대해서 파악할 수 있었다.

Recently, a network control system uses various equipments which are used to defend malicious attacks. Attack logs generated by each equipments are steadily increasing and the manager of the network control system have to make an integrated analysis of these logs for reacting to attacks. Lately proposed analysis models used mining methods to get signatures, patterns, statistics and etc. These models used these things to improve an accuracy of detections of future attacks and the related experiments were conducted under virtual environments. Meanwhile, if a real data exists, we can get not only patterns which are results of the mining methods, but also direct informations which contain attackers, victims, attack types. These things can be useful to the manager because situations of the network can be understood intuitively by that. For this purpose, we propose the direct analysing method of attack logs and apply it to the real data. This paper proposes the method of analyzing 5 kinds of logs which are collected by security equipment of the real network control system. First of all, we analyze attack types of specific logs and extend the analysis range to entire logs by proposing the attack graph. Next, we search for correlations of different kinds of logs. As a result, we can find out the features of major attacks and correlations of logs.