[논문 리뷰] Security Orchestration, Automation, and Response Engine for Deployment of Behavioural Honeypots
이 논문은 공격자 탐지 활동에 대응해 동적으로 행동 기반 해저포트를 배치하는 보안 오케스트레이션, 자동화, 대응(SOAR) 엔진을 제안한다. 규칙 기반 및 기계 학습 기법을 사용해 봇넷, DDoS, 악성코드 트래픽을 탐지한다. 시스템은 공격자 참여 시간을 정적 해저포트의 평균 102초에서 3,148초로 30배 향상시켰고, CPU 사용량은 89% 감소시켰으며, 4일간의 실시간 배포 기간 동안 7,823건의 공격, 965개의 DDoS 패킷, 3개의 악성 샘플을 캡처했다.
Cyber Security is a critical topic for organizations with IT/OT networks as they are always susceptible to attack, whether insider or outsider. Since the cyber landscape is an ever-evolving scenario, one must keep upgrading its security systems to enhance the security of the infrastructure. Tools like Security Information and Event Management (SIEM), Endpoint Detection and Response (EDR), Threat Intelligence Platform (TIP), Information Technology Service Management (ITSM), along with other defensive techniques like Intrusion Detection System (IDS), Intrusion Protection System (IPS), and many others enhance the cyber security posture of the infrastructure. However, the proposed protection mechanisms have their limitations, they are insufficient to ensure security, and the attacker penetrates the network. Deception technology, along with Honeypots, provides a false sense of vulnerability in the target systems to the attackers. The attacker deceived reveals threat intel about their modus operandi. We have developed a Security Orchestration, Automation, and Response (SOAR) Engine that dynamically deploys custom honeypots inside the internal network infrastructure based on the attacker's behavior. The architecture is robust enough to support multiple VLANs connected to the system and used for orchestration. The presence of botnet traffic and DDOS attacks on the honeypots in the network is detected, along with a malware collection system. After being exposed to live traffic for four days, our engine dynamically orchestrated the honeypots 40 times, detected 7823 attacks, 965 DDOS attack packets, and three malicious samples. While our experiments with static honeypots show an average attacker engagement time of 102 seconds per instance, our SOAR Engine-based dynamic honeypots engage attackers on average 3148 seconds.
연구 동기 및 목표
- 정적 해저포트의 한계를 해결하기 위해, 시간이 지남에 따라 효과가 떨어지고 특히 내부자 공격자와 같은 고도로 발전된 공격자와의 대응에 실패하는 문제를 해결한다.
- 실시간 공격자 탐지 활동과 횡단 이동에 대응해 동적으로 작동하는 행동 기반 해저포트 배치 시스템을 개발한다.
- 공격자 참여 시간을 연장하고 봇넷 및 DDoS 활동과 같은 악성 트래픽 탐지 능력을 향상시켜 위협 지능 수집을 강화한다.
- 지속적인 운영이 아닌 행동 트리거 기반으로 필요할 때만 해저포트를 배치해 자원 소비를 줄인다.
- 기존 SIEM 및 EDR 보안 도구와 통합 가능한 확장성 있고 조직 맞춤형 속임수 프레임워크를 구축한다.
제안 방법
- SOAR 엔진은 포트 스캐닝 및 IP 프로빙과 같은 탐지 활동을 감지해 공격자의 잠재적 존재를 탐지하기 위해 네트워크 트래픽을 모니터링한다.
- 공격자 행동을 감지하면 엔진은 사전 정의된 풀에서 사용되지 않는 IP를 자동으로 선택하고 경량이며 고상호작용 해저포트 인스턴스를 배치한다.
- 시스템은 CTU-13(봇넷), CIC-IDS 2017(DDoS), 그리고 통합된 ECML/PKDD 및 HTTP CSIC 데이터셋(XSS, SQLi, OSC)을 기반으로 기계 학습 모델을 훈련시켜 악성 트래픽을 분류하고 대응한다.
- 해저포트 이미지는 컨테이너 기반 기술(예: Docker)을 사용해 동적으로 배치 및 삭제되며, 두 이미지 간 번갈아가며 배치해 예측 가능성을 줄인다.
- 네트워크 인fra구조와 통합해 다중 VLAN 환경을 지원하고, 공격자 행동 패tern 기반으로 우선순위를 정하는 규칙 기반 논리를 사용한다.
- 악성 샘플 수집 시스템은 공격자 상호작용 중 캡처한 악성 샘플을 저장하고 분석해 추가 위협 지능 추출을 가능하게 한다.
실험 결과
연구 질문
- RQ1SOAR 기반 시스템은 공격자 행동에 대응해 동적으로 해저포트를 배치할 수 있는가? 정적 해저포트 대비 참여 시간 향상 여부는?
- RQ2SOAR 엔진은 DDoS, 봇넷, 웹 기반 공격(예: XSS, SQLi, OSC)과 같은 실제 공격 유형을 탐지하고 대응하는 데 얼마나 효과적인가?
- RQ3동적 해저포트 배치 모델은 위협 지능 수집 능력을 향상시키면서 자원 소비를 얼마나 줄일 수 있는가?
- RQ4시스템의 반응 시간과 IP 선택 전략은 성공적인 공격자 참여 확률에 어떤 영향을 미치는가?
- RQ5기계 학습 모델을 규칙 기반 오케스트레이션과 통합하면 실시간 네트워크 환경에서 탐지 정확도와 시스템 내성 향상에 기여하는가?
주요 결과
- SOAR 엔진은 네트워크 실시간 운영 4일 동안 총 40회의 해저포트 배치를 동적으로 오케스트레이션했으며, 정적 해저포트 대비 공격자 참여 능력을 크게 향상시켰다.
- 공격자 평균 참여 시간은 정적 해저포트의 102초에서 SOAR 기반 해저포트의 3,148초로 증가해 위협 속임수 효과가 30배 향상됨을 보여주었다.
- 시스템은 총 7,823건의 공격을 탐지했으며, 이 중 965개의 DDoS 패킷과 3개의 악성 악성 샘플을 포착해 강력한 탐지 능력을 입증했다.
- 지속적으로 작동하는 정적 해저포트 대비 CPU 사용량이 약 89% 감소해 자원 효율성을 확인했다.
- 동적 배포 모델은 두 개의 교차 전환 해저포트 이미지를 통해 총 7,555건의 공격을 캡처했으며, 이는 66개의 정적 웹 서버 해저포트가 총 63,108건의 공격을 수집한 것과 비교해 뛰어난 성능을 보였다.
- SOAR 엔진은 탐지 활동 감지 후 약 6초 내로 대응 준비 상태에 도달했으며, 공격자가 도달하기 전에 안전하게 배치할 수 있도록 약 30초의 지연 시간을 확보했다.
더 나은 연구,지금 바로 시작하세요
연구 설계부터 논문 작성까지, 연구 시간을 획기적으로 줄여보세요.
카드 등록 없음 · 무료 플랜 제공
이 리뷰는 AI가 만들고, 인간 에디터가 검토했습니다.