Skip to main content
QUICK REVIEW

[논문 리뷰] HOLMES: Real-time APT Detection through Correlation of Suspicious Information Flows

Sadegh M. Milajerdi, Rigel Gjomemo|arXiv (Cornell University)|2018. 10. 03.
Advanced Malware Detection Techniques참고 문헌 41인용 수 30
한 줄 요약

Holmes는 APT 침입 사슬 모델을 의미론적 프레임워크로 사용하여 호스트 로그와 IDS 경고 간의 의심스러운 정보 흐름을 상관관계화하는 실시간 APT 탐지 시스템이다. 상관관계화된 경고에서 고수준 공격 그래프(HSG)를 구성함으로써, 높은 정밀도와 최소한의 거짓 경고로 다단계 APT 캠페인을 정밀하게 탐지할 수 있다.

ABSTRACT

In this paper, we present HOLMES, a system that implements a new approach to the detection of Advanced and Persistent Threats (APTs). HOLMES is inspired by several case studies of real-world APTs that highlight some common goals of APT actors. In a nutshell, HOLMES aims to produce a detection signal that indicates the presence of a coordinated set of activities that are part of an APT campaign. One of the main challenges addressed by our approach involves developing a suite of techniques that make the detection signal robust and reliable. At a high-level, the techniques we develop effectively leverage the correlation between suspicious information flows that arise during an attacker campaign. In addition to its detection capability, HOLMES is also able to generate a high-level graph that summarizes the attacker's actions in real-time. This graph can be used by an analyst for an effective cyber response. An evaluation of our approach against some real-world APTs indicates that HOLMES can detect APT campaigns with high precision and low false alarm rate. The compact high-level graphs produced by HOLMES effectively summarizes an ongoing attack campaign and can assist real-time cyber-response operations.

연구 동기 및 목표

  • 다수의 호스트를 통해 수주 또는 수개월에 걸쳐 지속되는 장기적이고 다단계적인 고도화된 지속적 위협(APT) 캠페인을 탐지하는 데 도전하는 것.
  • 시간 기반 상관관계에 의존하는 전통적인 SIEM 및 IDS/IPS 시스템이 복잡한 다중 호스트 공격 관계를 포착하지 못하는 한계를 극복하는 것.
  • 분석가가 실시간 사이버 대응을 지원할 수 있도록 지속 중인 APT 캠페인에 대한 고수준이고 인간이 읽을 수 있는 요약을 제공하는 것.
  • APT 침입 사슬과 정보 흐름 의존성에 기반한 공격 의미론을 모델링하여 경고의 잡음을 줄이고 탐지 정밀도를 향상시키는 것.
  • 응용 프로그램 수준의 인스트루멘테이션이나 세밀한 타인트 추적을 요구하지 않고도 실시간 탐지 및 시나리오 재구성 기능을 제공하는 것.

제안 방법

  • 저수준 시스템 이벤트의 주요 데이터 소스로 커널 감사 데이터(예: Linux auditd, Windows ETW)를 사용한다.
  • 침입 사슬 모델을 의미론적 기준으로 사용하여 저수준 시스템 이벤트를 고수준 APT 전술, 기법, 절차(TTPs)로 매핑한다.
  • 이벤트 간의 인과관계 및 정보 흐름 관계를 추적하기 위해 저메모리 사용량의 메모리 기반 종속성 그래프를 구성한다.
  • 유전적 커버리지의 최소화 개념을 적용하여 유전적 그래프의 과도한 증가를 방지하고 효율적인 증분 계산을 가능하게 한다.
  • TTP 의미론과 정보 흐름 패tern을 기반으로 핵심 공격 단계를 우선순위 정렬하고 추상화하여 고수준 시나리오 그래프(HSG)를 유도한다.
  • 시계열적 근접성 대신 인과관계 및 데이터 흐름 의존성에 기반해 경고를 상관관계화함으로써, 느리고 도드라지지 않는 APT를 탐지할 수 있다.

실험 결과

연구 질문

  • RQ1경고의 시간적 근접성 외에도 공격 단계 간의 의미론적 관계를 활용함으로써 APT 탐지 성능을 어떻게 향상시킬 수 있는가?
  • RQ2호스트 감사 로그와 IDS 경고로부터 자동으로 고수준 공격 그래프(HSG)를 생성할 수 있는가? 이를 통해 복잡한 다단계 APT 캠페인을 효과적으로 요약할 수 있는가?
  • RQ3시스템 이벤트 간의 정보 흐름 상관관계는 기존의 시간 기반 상관관계 대비 APT 탐지에서 거짓 경고를 얼마나 줄일 수 있는가?
  • RQ4APT 침입 사슬 모델이 저수준 시스템 이벤트를 실행 가능한 탐지 신호로 매핑하는 데 의미론적 프레임워크로 얼마나 효과적인가?
  • RQ5실시간 시스템이 성능과 낮은 메모리 오버헤드를 유지하면서도 높은 정밀도와 낮은 경고 오류 비율로 APT를 탐지할 수 있는가?

주요 결과

  • Holmes는 실시간 배포에서 실제 9건의 APT 캠페인을 높은 정밀도와 낮은 경고 오류 비율로 성공적으로 탐지했다.
  • 시스템은 공격자의 행동을 효과적으로 요약하는 컴act한 고수준 공격 그래프(HSG)를 생성하여 분석가가 공격 범위와 진행 상황을 신속히 이해할 수 있도록 했다.
  • 시간적 근접성 대신 정보 흐름과 인과관계를 사용함으로써, 기존 시간 기반 상관관계 기법에서 빠지는 느리고 도드라지지 않는 APT를 탐지할 수 있었다.
  • 최소 유전적 커버리지 사용으로 인해 유전적 그래프의 과도한 증가가 억제되어 효율적인 증분 계산과 낮은 메모리 사용량이 가능했다.
  • Holmes는 Sleuth와 같은 기존 도구보다 확장성과 추상화 수준에서 뛰어나지 않으며, 인스트루멘테이션 없이도 더 실행 가능하고 간결한 HSG를 생성했다.
  • 필요에 따라 세밀한 타인트 추적에 적응 가능하지만, 일반적으로는 굵은 감사 로그만으로도 성능과 정확도의 균형을 유지하며 효과적으로 작동한다.

더 나은 연구,지금 바로 시작하세요

연구 설계부터 논문 작성까지, 연구 시간을 획기적으로 줄여보세요.

카드 등록 없음 · 무료 플랜 제공

이 리뷰는 AI가 만들고, 인간 에디터가 검토했습니다.