Skip to main content
누빈트
QUICK REVIEW

[논문 리뷰] SLEUTH: Real-time Attack Scenario Reconstruction from COTS Audit Data

Nahid Hossain, Sadegh M. Milajerdi|arXiv (Cornell University)|2018. 01. 06.
Network Security and Intrusion Detection참고 문헌 39인용 수 91
한 줄 요약

Sleuth는 호스트 감사 데이터에서 플랫폼 중립적인 주 메모리 의존 그래프를 구축하여 실시간 공격 탐지, 근본 원인 분석 및 공격 시나리오의 간결한 시각적 재구성을 가능하게 합니다. Windows, FreeBSD 및 Linux 전반에 걸친 레드팀 평가에서 대량의 데이터 감소와 실시간 성능을 달성합니다.

ABSTRACT

We present an approach and system for real-time reconstruction of attack scenarios on an enterprise host. To meet the scalability and real-time needs of the problem, we develop a platform-neutral, main-memory based, dependency graph abstraction of audit-log data. We then present efficient, tag-based techniques for attack detection and reconstruction, including source identification and impact analysis. We also develop methods to reveal the big picture of attacks by construction of compact, visual graphs of attack steps. Our system participated in a red team evaluation organized by DARPA and was able to successfully detect and reconstruct the details of the red team's attacks on hosts running Windows, FreeBSD and Linux.

연구 동기 및 목표

  • 운영체제(OS) 감사 로그를 사용하여 공격 캠페인의 실시간 탐지 및 재구성 제공.
  • 주 메모리에 저장된 감사 이벤트의 플랫폼 중립적이고 간결한 그래프 표현을 개발.
  • 태그 기반의 출처 정보를 사용하여 분석 우선 순위를 정하고 근본 원인 및 영향 분석을 안내.
  • OS/애플리케이션 변경에 적응하고 거짓 양성은 줄이기 위해 정책 주도 프레임워크를 통한 대안 가설 검정을 가능하게 한다.
  • 다수의 OS에 걸친 DARPA 주도 레드팀 평가에서 효과를 입증한다.

제안 방법

  • 감사 데이터를 주체(프로세스)와 객체(파일, 소켓)로 구성된 플랫폼 중립적이고 주 메모리 의존 그래프로 표현하고 감사 이벤트에 라벨이 붙은 간선을 사용한다.
  • 평균 약 10바이트의 이벤트 인코딩으로 의존성을 저장하는 매우 소형 이벤트 인코딩을 개발한다.
  • 출처 및 동작에서 파생된 신뢰성(t-tags)과 기밀성(c-tags) 태그를 도입하여 탐지 및 분석을 안내한다.
  • 태그 초기화, 전파 및 탐지를 위한 규칙 기반 정책 프레임워크를 구현하여 신뢰되지 않는 실행, 하위 신뢰 코드에 의한 수정 및 데이터 유출을 식별한다.
  • 태그 안내 최단 경로 탐색(Dijkstra의 알고리즘)을 통한 역방향 분석(진입점 발견)을 수행하여 공격 진입점을 식별하고, 이어서 간결한 공격 시나리오 그래프를 구성하기 위한 순방향 영향 분석을 수행한다.
  • 공격을 간결하게 요약하기 위한 시각적 그래프 구성 및 가지치기 변환을 제공한다.

실험 결과

연구 질문

  • RQ1실시간 감사 데이터를 주 메모리에 효율적으로 저장하고 분석하여 초/분 이내에 공격 시나리오를 재구성할 수 있는가?
  • RQ2태그 기반 출처 정보와 정책 주도 탐지가 Windows, Linux, FreeBSD 전반에서 공격자 진입점과 공격 영향을 정확하게 식별하도록 하는가?
  • RQ3역방향(진입점) 및 순방향(영향) 분석이 무관한 데이터를 얼마나 효과적으로 가지치고 캠페인의 간결하고 노이즈 없는 표현을 생성하는가?
  • RQ4정책 재구성을 통한 대안 가설 검정이 탐지 정확도를 높이고 false positives/negatives를 줄일 수 있는가?
  • RQ5실제 레드팀 조건에서 엔터프라이즈 규모 감사 데이터에 대한 Sleuth의 확장성과 성능은 어떠한가?

주요 결과

  • FreeBSD 감사 데이터 79시간을 14초 만에 처리하고 주 메모리 사용량은 84 MB이며 데이터 생성 속도 대비 20,000배 더 빠른 분석을 달성했다.
  • 3,850만 개의 이벤트를 분석하고 130개의 이벤트를 포함하는 공격 시나리오 그래프를 생성했으며 약 다섯 자릿수에 달하는 감소를 달성했다.
  • 최대 100,000배에 이르는 매우 높은 데이터 축소율을 달성하고 거짓 양성/거짓 음성이 낮은 명확한 시맨틱 표현을 형성했다.
  • 시스템은 Windows, FreeBSD, Linux 호스트 전반에 걸친 레드팀 공격의 실시간 탐지 및 재구성을 입증했다.
  • 정책 주도 재분류 및 재분석을 통해 대안 가설의 신속한 테스트를 가능하게 하며 OS/애플리케이션별 조정을 지원한다.

더 나은 연구,지금 바로 시작하세요

연구 설계부터 논문 작성까지, 연구 시간을 획기적으로 줄여보세요.

카드 등록 없음 · 무료 플랜 제공

이 리뷰는 AI가 만들고, 인간 에디터가 검토했습니다.