[논문 리뷰] Attack Planning in the Real World
이 논문은 실제 네트워크에서 공격 경로를 자동으로 생성하고 검증하기 위해 고전적 플래너와 실제 침투 테스트 도구를 통합한 PDDL 기반 공격 계획 프레임워크를 제시한다. 공격 방식과 네트워크 상태를 PDDL로 모델링하고, Metric-FF 및 SGPlan과 같은 플래너를 활용함으로써 중간 크기의 네트워크(최대 200대의 호스트)까지 확장 가능하게 하여, 전체 공격 그래프를 사전에 계산하지 않고도 자동으로 실행 가능한 공격 계획을 수립한다.
Assessing network security is a complex and difficult task. Attack graphs have been proposed as a tool to help network administrators understand the potential weaknesses of their network. However, a problem has not yet been addressed by previous work on this subject; namely, how to actually execute and validate the attack paths resulting from the analysis of the attack graph. In this paper we present a complete PDDL representation of an attack model, and an implementation that integrates a planner into a penetration testing tool. This allows to automatically generate attack paths for penetration testing scenarios, and to validate these attacks by executing the corresponding actions -including exploits- against the real target network. We present an algorithm for transforming the information present in the penetration testing tool to the planning domain, and show how the scalability issues of attack graphs can be solved using current planners. We include an analysis of the performance of our solution, showing how our model scales to medium-sized networks and the number of actions available in current penetration testing tools.
연구 동기 및 목표
- 기존의 공격 그래프 연구에서의 격차를 보완하여, 실제 타겟 네트워크에서 공격 경로의 자동 실행과 검증을 가능하게 한다.
- 기존의 공격 그래프가 네트워크 크기에 따라 지수적으로 증가하여 중간에서 대규모 네트워크에서는 비현실적이므로, 이에 따른 확장성의 한계를 극복한다.
- 고전적 플래닝 알고리즘을 실제 침투 테스트 프레임워크(예: Core Impact)와 통합하여 실행 가능한 공격 계획을 생성하고 실행한다.
- 현재의 플래너를 활용해 계획 기반의 공격 모델링이 현실적인 네트워크 크기까지 확장 가능함을 입증함으로써 전체 공격 그래프를 사전 계산할 필요가 없음을 보여준다.
- 공격 단계를 정확한 전제 조건과 영향을 갖는 실행 가능한 계획으로 모델링하여 자동화되고 반복 가능하며 최적화된 침투 테스트를 가능하게 한다.
제안 방법
- 공격 방식, 호스트 상태, 서비스 정보 등의 침투 테스트 데이터를 공격 행동의 전제 조건, 영향, 목표를 포괄하는 형식적 PDDL 도메인 모델로 변환한다.
- 고전적 플래닝 알고리즘(Metric-FF 및 SGPlan)을 사용하여 전체 공격 그래프를 구축하지 않고도 상태 공간을 탐색하고 공격 시퀀스를 생성한다.
- 생성된 계획을 실세계 침투 테스트 프레임워크(Core Impact)와 통합하여 실시간 타겟 네트워크에 대해 실행하고 검증한다.
- 복잡한 목표(여러 대의 호스트를 동시에 해킹하는 등)에 대해 성능을 향상시키기 위해 제약 조건 분할 및 히우리스틱 최적화를 적용한다.
- 통제된 테스트 환경에서 공격 계획의 종단 간 실행을 통해 정확성과 실현 가능성을 검증한다.
- 침투 테스트 도구 자체의 지식 기반(공격 방식, 타겟 상태 등)을 기준으로 삼아, 외부 스캐너로부터 유도되는 잘못된 양성 결과를 방지한다.
실험 결과
연구 질문
- RQ1고전적 플래닝 알고리즘이 전체 공격 그래프를 사전 계산하지 않고도 실제 침투 테스트 환경에서 실행 가능한 공격 경로를 효과적으로 생성하고 검증할 수 있는가?
- RQ2PDDL 기반의 공격 모델은 수백 대의 호스트와 수십 개의 공격 방식을 포함하는 중간 크기의 네트워크에 어떻게 확장되는가?
- RQ3다양한 플래너(Metric-FF 대비 SGPlan 등)가 현실적인 침투 테스트 계획 작업에 적용되었을 때의 성능 특성은 어떠한가?
- RQ4플래너를 실제 침투 테스트 도구와 통합함으로써 자동화되고 반복 가능하며 신뢰할 수 있는 공격 실행이 가능한가?
- RQ5실제 침투 테스트에 활용하기 위해, 타겟 네트워크에 대한 지식이 불완전한 상황을 계획 프레임워크 내에서 어떻게 모델링하고 다룰 수 있는가?
주요 결과
- PDDL 기반의 공격 모델은 중간 크기의 네트워크까지 성공적으로 확장 가능하며, 최대 200대의 호스트와 많은 수의 공격 방식을 처리할 수 있다.
- 플래너를 사용해 관련 경로만 탐색하므로 전체 공격 그래프 구축 시의 지수적 증가를 피함으로써 확장성을 확보한다.
- Metric-FF는 200대 호스트 네트워크에서 100대의 머신을 해킹하는 복잡한 목표를 6초 미만, 약 1GB의 메모리 사용으로 해결했다.
- SGPlan은 간단한 문제에서는 Metric-FF보다 빠른 성능을 보였지만, 복잡한 목표에서는 제약 조건 분할 전략으로 인해 확장성 문제를 겪었다.
- 플래너를 실제 침투 테스트 도구와 통합함으로써 공격 계획의 종단 간 실행과 검증이 가능해졌으며, 자동 침투 테스트의 실현 가능성을 입증했다.
- 이전 연구와 달리 단조성 가정을 제한적으로 적용하지 않기 때문에, DoS나 실패한 공격 등 비단조성 행동을 모델링할 수 있다.
더 나은 연구,지금 바로 시작하세요
연구 설계부터 논문 작성까지, 연구 시간을 획기적으로 줄여보세요.
카드 등록 없음 · 무료 플랜 제공
이 리뷰는 AI가 만들고, 인간 에디터가 검토했습니다.