The Journal of the Korea Contents Association (한국콘텐츠학회논문지)

The Korea Contents Association (한국콘텐츠학회)
권호 표지
DOI QR코드

DOI QR Code

Proposal of Security Orchestration Service Model based on Cyber Security Framework

사이버보안 프레임워크 기반의 보안 오케스트레이션 서비스 모델 제안

  • 이세호 (배재대학교대학원 사이버보안과 공학박사) ;
  • 조인준 (배재대학교대학원 사이버보안과 교수)
  • Received : 2020.05.12
  • Accepted : 2020.05.26
  • Published : 2020.07.28
Download PDF
⟨ Previous Next ⟩

Abstract

The purpose of this paper is to propose a new security orchestration service model by combining various security solutions that have been introduced and operated individually as a basis for cyber security framework. At present, in order to respond to various and intelligent cyber attacks, various single security devices and SIEM and AI solutions that integrate and manage them have been built. In addition, a cyber security framework and a security control center were opened for systematic prevention and response. However, due to the document-oriented cybersecurity framework and limited security personnel, the reality is that it is difficult to escape from the control form of fragmentary infringement response of important detection events of TMS / IPS. To improve these problems, based on the model of this paper, select the targets to be protected through work characteristics and vulnerable asset identification, and then collect logs with SIEM. Based on asset information, we established proactive methods and three detection strategies through threat information. AI and SIEM are used to quickly determine whether an attack has occurred, and an automatic blocking function is linked to the firewall and IPS. In addition, through the automatic learning of TMS / IPS detection events through machine learning supervised learning, we improved the efficiency of control work and established a threat hunting work system centered on big data analysis through machine learning unsupervised learning results.

본 논문의 목적은 사이버 보안 프레임워크 기반으로 이미 도입되어 개별 운영 중인 각종 보안 솔루션들을 잘 조합하여 새로운 보안 오케스트레이션 서비스 모델을 제안하는 것이다. 현재 다양하고 지능화된 사이버 공격에 대응하고자 각종 단일 보안장비와 이를 통합 관리하는 SIEM과 AI솔루션까지 구축되었다. 그리고, 체계적인 예방과 대응을 위한 사이버보안 프레임워크와 보안 관제센터까지 개소를 하였다. 그러나 현실은 문서중심의 사이버보안 프레임워크와 한정된 보안인력으로 인해 TMS/IPS의 중요한 탐지 이벤트의 단편적인 침해대응의 관제형태를 벗어나기 힘든 상항이다. 이러한 문제점 개선을 위해 본 논문의 모델 기반으로 업무 특성과 취약한 자산 식별을 통해 보호해야 할 관제대상을 선정한 후, SIEM으로 로그 수집을 한다. 자산 정보를 기반으로 위협정보를 통해 사전 예방 방법과 세가지 탐지 전략을 수립했다. AI와 SIEM을 통해 공격 여부를 빠르게 판단하여 방화벽과 IPS에 자동 차단 기능이 연계되었다. 또한, 머신러닝 지도학습을 통해 TMS/IPS의 탐지 이벤트를 자동 침해사고 처리함으로 관제업무의 효율성 향상과 머신러닝 비지도 학습 결과를 통해 빅데이터 분석 중심의 위협헌팅 업무체계를 확립하였다.

Keywords

References

  1. NIST, "Framework for Improving Critical Infrastructure Cybersecurity Version 1.1", 2018.4.16.
  2. https://www.i-privacy.kr, NIST의 사이버 보안 프레임워크 주요내용 분석
  3. www.igloosec.com,
  4. www.gartner.com
  5. 엄진국, SIEM을 이용한 침해사고 탐지방법 모델 제안, 고려대학교 정보보호대학원, 석사학위논문, 2016.
  6. 정진영, 인공지능을 활용한 금융권 통합보안관제 자동화 방안, 건국대학교 정보통신대학원 정보보안학과, 석사학위논문, 2018.
  7. 강승용, 효과적인 보안관제를 위한 로그분석 시나리오도출, 전남대학교 정보보안협동과정, 석사학위논문, 2016.
  8. 오영택, 조인준, "인공지능 기술기반의 통합보안관제서비스모델 개발방안," 한국콘텐츠학회논문지, Vol.19, No.1, pp.108-116, 2019. https://doi.org/10.5392/JKCA.2019.19.01.108