[논문 리뷰] Automatically Generating Models of IT Systems
이 논문은 기업 규모와 사업 분야와 같은 고수준 요구사항에서 정보 기술 시스템(ITS)의 세부적이고 현실적인 모델을 자동으로 생성하는 전문가 시스템 프로토타입인 IT 시스템 생성기(IT System Generator)를 제안한다. 규칙 기반 인스턴시에이션과 종속성 모델링을 사용하여 하드웨어, 소프트웨어, 네트워크 세그먼트, 자격 증명, 데이터 등을 포함한 복잡한 다층 ITS 모델을 생성하며, 허구의 금융기관을 대상으로 한 개념 실증 구현을 통해 타당성을 입증하였다. 실용적인 입력 크기에서 만족스러운 성능을 보였다.
Information technology system (ITS), informally, consists of hardware and software infrastructure (e.g., workstations, servers, laptops, installed software packages, databases, LANs, firewalls, etc.), along with physical and logical connections and inter-dependencies between various items. Nowadays, every company owns and operates an ITS, but detailed information about the system is rarely publicly available. However, there are many situations where the availability of such data would be beneficial. For example, cyber ranges need descriptions of complex realistic IT systems in order to provide an effective training and education platform. Furthermore, various algorithms in cybersecurity, in particular attack tree generation, need to be validated on realistic models of IT systems. In this paper, we describe a system we call the Generator that, based on the high-level requirements such as the number of employees and the business area the target company belongs to, generates a model of an ITS that satisfies the given requirements. We put special emphasis on the following two criteria: the generated ITS models a large amount of details, and ideally resembles a real system. Our survey of related literature found no sufficiently similar prior works, so we believe that this is the first attempt of building something like this. We created a proof-of-concept implementation of the Generator, validated it by generating ITS models for a simplified fictional financial institution, and analyzed the Generators performance with respect to the problem size. The research was done in an iterative manner, with coauthors continuously providing feedback on intermediate results. (...) We intend to extend this prototype to allow probabilistic generation of IT systems when only a subset of parameters is explicitly defined, and further develop and validate our approach with the help of domain experts.
연구 동기 및 목표
- cybersecurity 교육 및 연구를 위해 세부적이고 현실적이며 공개 가능한 IT 시스템 모델의 부족을 해결하기 위해.
- 실제 조직 구조와 기술적 종속성을 반영하는 복잡한 엔터프라이즈 수준의 IT 시스템 모델을 자동 생성할 수 있도록 하기 위해.
- 확장 가능한, 커스터마이징 가능한, 대표적인 IT 시스템 모델을 제공함으로써 사이버 레인지 개발, 공격 그래프 분석, 보안 리스크 평가를 지원하기 위해.
- 최소한의 입력으로도 소프트웨어, 네트워크 서비스, 자격 증명, 데이터 자산을 포함한 풍부한 세부 정보를 가진 모델을 생성할 수 있는 개념 실증 시스템을 구축하기 위해.
- 향후 확률적 및 전문가 검증된 확장 기반의 현실성 향상과 구성 가능성 향상을 위한 기초를 마련하기 위해.
제안 방법
- 시스템은 기업 규모와 사업 분야와 같은 고수준 입력을 기반으로 하드웨어, 서버, 소프트웨어, 네트워크 서비스 등의 IT 구성 요소를 규칙 기반 전문가 시스템 아키텍처를 사용해 인스턴시에이트한다.
- 소프트웨어 패키지, 직원 역할, 조직 서비스에 대해 도메인 전용 템플릿을 적용하며, 각 템플릿에는 CPE 식별자, 필요 종속성, 하드웨어 할당량, 보안 노출 지표 등의 속성이 기재되어 있다.
- SMT 솔버와 정수 선형 프로그래밍 도구를 사용하여 논리적 및 기술적 제약 조건을 강제 적용함으로써 생성된 모델의 일관성과 타당성을 확보한다.
- 네트워크 토폴로지는 세분화 규칙과 방화벽 정책을 사용하여 모델링되며, 구성 요소들이 논리적 네트워크 영역(예: DMZ, 내부 네트워크)으로 그룹화된다.
- 사용자, 시스템, 액세스 정책에 연결된 자격 증명과 데이터 자산을 생성하며, 표준 자격 증명뿐 아니라 고유 권한(예: root) 자격 증명도 포함된다.
- 저장소 위치와 액세스 제어가 정의된 데이터셋 인스턴스(예: FinancialData:banking)를 생성할 수 있으며, 이는 현실적인 데이터 흐름 모델링을 가능하게 한다.
실험 결과
연구 질문
- RQ1규칙 기반 전문가 시스템이 기업 규모와 사업 분야와 같은 최소한의 고수준 입력으로부터 세부적이고 현실적인 IT 시스템 모델을 자동으로 생성할 수 있는가?
- RQ2생성된 모델이 하드웨어, 소프트웨어, 네트워크 서비스, 데이터 종속성 등을 포함한 실제 IT 시스템의 복잡성을 어느 정도 반영할 수 있는가?
- RQ3입력 크기가 증가함에 따라(예: 직원 수, 네트워크 세그먼트 수) 프로토타입의 성능가 어떻게 변화하는가?
- RQ4생성된 모델이 사이버 레인지 배포 및 공격 그래프 분석과 같은 실용적 응용 사례를 지원할 수 있는가?
- RQ5자동으로 현실적인 IT 시스템을 모델링할 때의 주요 제약 조건과 한계는 무엇이며, 향후 연구에서 이를 어떻게 해결할 수 있는가?
주요 결과
- 개념 실증 구현은 100명의 직원, 199台의 컴퓨터, 7개의 직원 역할을 가진 허구의 금융기관에 대해 세부적이고 현실적인 모델을 성공적으로 생성하여 자동 ITS 모델링의 타당성을 입증하였다.
- 시스템은 199개의 고유한 컴퓨터, 100명의 직원, 100개 이상의 소프트웨어 설치, 199개의 자격 증명, 5개의 네트워크 세분화 규칙, 3개의 데이터셋 인스턴스와 액세스 정책을 포함한 종합적인 모델을 생성하였다.
- 테스트된 입력 크기 범위에서 CPU 사용률과 메모리 소비량이 수용 가능한 수준을 유지하여, 실질적인 기업 규모의 모델에 대해 확장 가능한 것으로 나타났다.
- 생성된 모델은 소프트웨어 종속성, 필수 운영 체제, 네트워크 서비스 노출, 데이터 액세스 제어와 같은 현실적인 기술적 및 조직적 세부 정보를 포함하고 있었다.
- SMT 솔버와 정수 선형 프로그래밍의 사용으로 생성된 시스템 구성의 논리적 일관성과 타당성이 보장되었다.
- 생성된 ITS 모델 데이터셋은 공개되어 있어 재현 가능성과 사이버보안 연구 분야의 향후 벤치마킹을 지원한다.
더 나은 연구,지금 바로 시작하세요
연구 설계부터 논문 작성까지, 연구 시간을 획기적으로 줄여보세요.
카드 등록 없음 · 무료 플랜 제공
이 리뷰는 AI가 만들고, 인간 에디터가 검토했습니다.