Skip to main content
QUICK REVIEW

[논문 리뷰] Cybersecurity Information Exchange with Privacy (CYBEX-P) and TAHOE -- A Cyberthreat Language

Farhan Sadique, Ignacio Astaburuaga|arXiv (Cornell University)|2021. 01. 01.
Network Security and Intrusion Detection참고 문헌 24인용 수 2
한 줄 요약

이 논문은 TAHOE—그래프 기반 사이버위협 언어—를 사용하여 보안적이고 자동화된 위협 데이터 상관 분석을 가능하게 하는 프라이버시 보장형 사이버보안 정보 공유 프레임워크 CYBEX-P를 제안한다. 이 프레임워크는 온라인 분류기로 실시간 피싱 URL 탐지 기능을 제공하며, 86%의 정확도를 달성한다. 동시에 속성 수준의 액세스 제어와 위협 랭킹 및 TDQL를 통한 실행 가능한 규칙 생성을 지원한다.

ABSTRACT

Cybersecurity information sharing (CIS) is envisioned to protect organizations more effectively from advanced cyber attacks. However, a completely automated CIS platform is not widely adopted. The major challenges are: (1) the absence of a robust cyber threat language (CTL) and (2) the concerns over data privacy. This work introduces Cybersecurity Information Exchangewith Privacy (CYBEX-P), as a CIS framework, to tackle these challenges. CYBEX-P allows organizations to share heterogeneous data with granular, attribute based privacy control. It correlates the data to automatically generate intuitive reports and defensive rules. To achieve such versatility, we have developed TAHOE - a graph based CTL. TAHOE is a structure for storing,sharing and analyzing threat data. It also intrinsically correlates the data. We have further developed a universal Threat Data Query Language (TDQL). In this paper, we propose the system architecture for CYBEX-P. We then discuss its scalability and privacy features along with a use case of CYBEX-P providing Infrastructure as a Service (IaaS). We further introduce TAHOE& TDQL as better alternatives to existing CTLs and formulate ThreatRank - an algorithm to detect new malicious even

연구 동기 및 목표

  • 표준화되고, 프라이버시를 고려한, 자동화된 사이버보안 정보 공유 플랫폼의 부족을 해결하기 위해.
  • 기존 사이버위협 언어(CTLs)가 내재된 상관 분석 및 유연한 데이터 모델링 능력을 결여하고 있는 한계를 극복하기 위해.
  • 실시간 분석을 통한 실행 가능한 출력(예: 방화벽 규칙, 경고 등)을 제공하는 자동화된 위협 데이터 분석을 가능하게 하기 위해.
  • 민감한 속성을暴露하지 않으면서도 데이터 공유가 가능한 세밀한, 속성 기반의 프라이버시 제어를 제공하기 위해.
  • IaaS와 일반 쿼리 기능을 활용하여 확장 가능하고 확장 가능한 위협 지능 공유 인fra를 개발하기 위해.

제안 방법

  • CYBEX-P는 종단 간 위협 공유를 위한 데이터 수신, 분석, 보고, 프라이버시 보장 모듈을 포함한 모듈식 아키텍처를 채택한다.
  • TAHOE는 위협 데이터를 노드와 관계로 모델링하여 이벤트 간 내재된 상관 분석이 가능한 그래프 기반 사이버위협 언어이다.
  • TDQL은 표준화된 문법을 사용하여 어떤 데이터베이스에서라도 위협 데이터를 검색하기 위해 설계된 일반 쿼리 언어이다.
  • ThreatRank는 TAHOE 내의 이력 패턴과 신규 이벤트를 상관시켜 이전에 보지 못한 악성 이벤트를 탐지하는 새로운 알고리즘이다.
  • 성장하는 URL 데이터셋에 대한 증분 학습을 위해 온라인 2차 퍼셉트론(SOP) 분류기가 사용되며, 전체 재학습을 방지한다.
  • 속성 기반 액세스 제어와 암호화된 데이터의 암호 해독 없이도 상관 분석이 가능한 보안 계산을 통해 프라이버시가 보장된다.

실험 결과

연구 질문

  • RQ1사이버보안 정보 공유 플랫폼이 자동화된 위협 상관 분석과 강력한 프라이버시 보존을 동시에 달성할 수 있는 방법은 무엇인가?
  • RQ2스토리지, 공유, 분석, 상관 분석을 지원하는 유비쿼터스이고 확장 가능한 사이버위협 언어의 핵심 요구사항은 무엇인가?
  • RQ3TAHOE처럼 그래프 기반의 CTL이 복잡하고 변화하는 사이버위협을 고정밀도로 모델링하는 데 기존 CTL보다 뛰어난 성능을 보일 수 있는가?
  • RQ4온라인 학습 분류기는 무한정 증가하는 변화하는 피싱 URL 데이터셋에서 높은 정확도를 유지하는 데 얼마나 효과적인가?
  • RQ5프라이버시 보장형 자동화 시스템은 실시간으로 상관된 위협 데이터에서 실행 가능한 방어 규칙(예: 방화벽 규칙)을 생성할 수 있는가?

주요 결과

  • 온라인 2차 퍼셉트론(SOP) 분류기는 약 96,000개의 URL로 구성된 데이터셋에서 86%의 정확도를 달성하여 무한정 증가하는 데이터 성장에 대비한 확장성을 입증했다.
  • SOP 분류기의 ROC AUC는 표본 수가 증가함에 따라 향상되었으며, 지속적인 데이터 수신으로 더 높은 정확도를 달성할 잠재력이 있음을 시사한다.
  • 배치 랜덤 포레스트 분류기는 57,000개의 작은 데이터셋에서 91%의 정확도를 기록했지만, 무한정 증가하는 데이터 성장을 처리할 수 없어 부적합한 것으로 판명되었다.
  • CYBEX-P는 실시간 피싱 URL 탐지 기능을 IaaS 실시간 배포를 통해 성공적으로 구현했으며, 자동 보고서 및 경고 생성 기능도 함께 제공했다.
  • 시스템의 프라이버시 보장 아키텍처는 속성 수준의 액세스 제어를 지원하며, 암호 해독 없이도 암호화된 위협 데이터의 상관 분석이 가능하다.
  • ThreatRank는 TAHOE 그래프 모델 내의 이력 패턴과 신규 이벤트를 상관시켜 새로운 악성 이벤트를 효과적으로 탐지했다.

더 나은 연구,지금 바로 시작하세요

연구 설계부터 논문 작성까지, 연구 시간을 획기적으로 줄여보세요.

카드 등록 없음 · 무료 플랜 제공

이 리뷰는 AI가 만들고, 인간 에디터가 검토했습니다.