Skip to main content
QUICK REVIEW

[논문 리뷰] Crowdsourcing Cybersecurity: Cyber Attack Detection using Social Media

Rupinder Paul Khandpur, Taoran Ji|arXiv (Cornell University)|2017. 02. 24.
Network Security and Intrusion Detection참고 문헌 39인용 수 61
한 줄 요약

비지도 프레임워크로 소셜 미디어를 크라우드소싱 센서로 활용하여 의존성‑트리 기반 템플릿과 단어 임베딩을 통해 시드 쿼리를 동적으로 확장함으로써 사이버 공격(DDOS, 데이터 침해, 계정 탈취)을 탐지하며 대규모 Twitter 데이터로 평가됨.

ABSTRACT

Social media is often viewed as a sensor into various societal events such as disease outbreaks, protests, and elections. We describe the use of social media as a crowdsourced sensor to gain insight into ongoing cyber-attacks. Our approach detects a broad range of cyber-attacks (e.g., distributed denial of service (DDOS) attacks, data breaches, and account hijacking) in an unsupervised manner using just a limited fixed set of seed event triggers. A new query expansion strategy based on convolutional kernels and dependency parses helps model reporting structure and aids in identifying key event characteristics. Through a large-scale analysis over Twitter, we demonstrate that our approach consistently identifies and encodes events, outperforming existing methods.

연구 동기 및 목표

  • 오픈 소셜 미디어 신호를 사이버 공격의 센서로 활용하도록 동기를 부여하고 탐지 지연을 줄인다.
  • 제한된 시드 트리거를 확장된 쿼리로 매핑하여 사건을 탐지하는 비지도 프레임워크를 개발한다.
  • 의존 구문 분석과 단어 임베딩을 통해 소셜 미디어에서 사이버 공격의 보고 구조를 모델링한다.
  • 세 가지 공격 범주(DDOS, 데이터 침해, 계정 탈취)에 걸친 대규모 Twitter 데이터에서 접근법을 평가한다.

제안 방법

  • 의존 트리 위의 컨볼루션 트리 커널을 사용하여 시드 쿼리와 구문적/의미적으로 유사한 트윗을 수집하는 대상 도메인 생성(Target Domain Generation)을 도입한다.
  • 타입이 동적으로 지정된 쿼리 확장을 제안하여 시드 쿼리를 반복적으로 확장하고, 글로벌 트윗 컬렉션으로부터 대상 도메인을 구분하기 위해 KL 발산을 통해 후보 확장을 선택한다.
  • 이벤트를 (Q_e, date, type)로 표현하며, Q_e는 사이버 공격 유형과 연결된 확장 쿼리의 집합이다.
  • 확장 쿼리의 예시들을 클러스터링하고 초기 시드와의 유사도에 기반해 예시들을 공격 유형에 주석 처리한다.
  • Hackmageddon과 PrivacyRights의 골드 표준 보고서를 포함한 대형 GNIP Twitter 데이터 세트(Aug 2014–Oct 2016)로 평가한다.

실험 결과

연구 질문

  • RQ1소수의 시드 유형 의존성 쿼리가 소셜 미디어에서 광범위한 사이버 공격 보고를 포괄하도록 동적으로 확장될 수 있는가?
  • RQ2컨볼루션 트리 커널과 단어 임베딩 기반 유사도가 대상 도메인 생성을 일반적인 키워드 방법보다 향상시키는가?
  • RQ3비지도, 시드 주도 쿼리 확장이 Twitter에서 데이터 침해, 계정 탈취 및 DDoS 이벤트를 얼마나 잘 탐지하고 특성화할 수 있는가?
  • RQ4제안된 방법과 전통적인 버스트 탐지 기준선과 비교한 정밀도/재현율의 균형은 어떤가?
  • RQ5탐지된 이벤트를 확립된 실제 사이버 공격 데이터셋과 일치시켜 성능을 검증할 수 있는가?

주요 결과

  • 본 방법은 데이터 침해에 대해 약 0.78의 정밀도와 0.74의 재현율을, DDoS 이벤트에 대해 0.80의 정밀도와 0.45의 재현율을, 계정 탈취는 0.66의 정밀도와 0.56의 재현율을 달성한다.
  • 데이터 침해의 재현율이(대략 0.75) DDoS나 계정 탈취보다 높으며 이는 해당 공격의 신호 수명이 짧기 때문입니다.
  • 고정 키워드에 의한 Kleinberg 버스트 탐지는 타이핑된 동적 쿼리 확장 접근법에 비해 실제 정답과의 일치도가 낮다.
  • 이 방법은 골드 표준 소스에 목록되지 않은 추가 이벤트를 탐지하여 소셜 미디어에서 새로운 사이버 공격 보고를 발견하는 것을 시사한다.
  • 사례 연구는 해석 가능한 확장 쿼리와 함께 대표적인 사건들(예: Ashley Madison 데이터 침해, Sony/Dyn DDoS, CentCom 계정 탈취)의 탐지를 보여준다.

더 나은 연구,지금 바로 시작하세요

연구 설계부터 논문 작성까지, 연구 시간을 획기적으로 줄여보세요.

카드 등록 없음 · 무료 플랜 제공

이 리뷰는 AI가 만들고, 인간 에디터가 검토했습니다.