• KSII Transactions on Internet and Information Systems (TIIS)
• /
• 제14권1호
• /
• pp.260-280
• /
• 2020

Cyber-attacks emerge in a more intelligent way, and various security technologies are applied to respond to such attacks. Still, more and more people agree that individual response to each intelligent infringement attack has a fundamental limit. Accordingly, the cyber threat intelligence analysis technology is drawing attention in analyzing the attacker group, interpreting the attack trend, and obtaining decision making information by collecting a large quantity of cyber-attack information and performing relation analysis. In this study, we proposed relation analysis factors and developed a system for establishing cyber threat intelligence, based on malicious code as a key means of cyber-attacks. As a result of collecting more than 36 million kinds of infringement information and conducting relation analysis, various implications that cannot be obtained by simple searches were derived. We expect actionable intelligence to be established in the true sense of the word if relation analysis logic is developed later.

• 인터넷정보학회논문지
• /
• 제22권3호
• /
• pp.53-58
• /
• 2021

보안관제 분야의 실제 업무활동에 대해서는 거의 연구가 없는 실정이다. 이에 본 논문에서는 보안관제의 위협정보 탐지 대응시간 모델링을 통해 적정 투입인력 규모 산정에 기여하고 최신 보안솔루션 투입시의 효과성 분석 등에 활용할 수 있는 실질적인 연구 방법론을 제시하고자 한다. 보안관제센터에서 수행하는 전체 위협정보 탐지대응시간은 TIDRT(Total Intelligence Detection & Response Time)로 정의한다. 전체 위협정보 탐지 대응시간(TIDRT)는 내부 위협정보 탐지대응시간(IIDRT, Internal Intelligence Detection & Response Time)과 외부 위협정보(EIDRT, External Intelligence Detection & Response Time)의 합으로 구성된다. 내부위협정보 탐지대응시간(IIDRT)는 다섯 단계의 소요시간의 합으로 계산할 수 있다. 본 연구의 궁극적인 목표는 보안관제센터의 주요한 업무활동들을 수식으로 모델링하여 보안관제센터의 사이버 위협정보 탐지대응시간 계산식을 산정하는데 있다. 2장에서는 선행연구를 살펴보고, 3장에서는 전체 위협정보 탐지대응시간의 계산식을 모델링한다. 4장에서 결론으로 끝을 맺는다.

• 융합보안논문지
• /
• 제6권4호
• /
• pp.67-73
• /
• 2006

실시간 사이버위협에서 정형화 방법은 각 보안장비의 이벤트를 실시간 분석하여 인터넷 웜, 바이러스, 해킹 등의 사이버공격에 대한 네트워크 이상 징후를 임계치와 상관관계를 틀 통하여 탐지하고, 동 평가결과의 통계분석을 통해 정형화 방안 기능을 부여하고 실효성 있는 사이버공격대응시스템을 구축하는데 있다. 본 논문은 우선 위협지표 산출과 동 지표의 합산을 통한 위협평가 및 조기 경보 과정의 패키지화로 만들고, 사이버 위협 지표 계산의 기준을 설정한다. 특히 보안사고 발생 시 각 보안장비의 이벤트와 트래픽 양에 대한 정의 및 데이터베이스 입력 방법을 구체화하여 실시간 대응 및 조기예경보체계의 초석이 가능한 정형화 방안을 제시한다. 분석을 위해 축적한 90일간의 데이터 임계치 설정작업을 통해 보다 정확한 적용 값을 계산한다. 산출한 값을 토대로 정형화가 가능한 보안이벤트 정보를 표준데이터로 적용, 각 보안장비 및 HoneyNet 시스템, 기타 취약정보 등과의 상관관계를 분석하여 보안이벤트 표준지수를 산출한다.

• Nuclear Engineering and Technology
• /
• 제55권6호
• /
• pp.2034-2046
• /
• 2023

Industrial control systems in nuclear facilities are facing increasing cyber threats due to the widespread use of information and communication equipment. To implement cyber security programs effectively through the RG 5.71, it is necessary to quantitatively assess cyber risks. However, this can be challenging due to limited historical data on threats and customized Critical Digital Assets (CDAs) in nuclear facilities. Previous works have focused on identifying data flows, the assets where the data is stored and processed, which means that the methods are heavily biased towards information security concerns. Additionally, in nuclear facilities, cyber threats need to be analyzed from a safety perspective. In this study, we use the system theoretic process analysis to identify system-level threat scenarios that could violate safety constraints. Instead of quantifying the likelihood of exploiting vulnerabilities, we quantify Security Control Measures (SCMs) against the identified threat scenarios. We classify the system and CDAs into four consequence-based classes, as presented in NEI 13-10, to analyze the adversary impact on CDAs. This allows for the ranking of identified threat scenarios according to the quantified SCMs. The proposed framework enables stakeholders to more effectively and accurately rank cyber risks, as well as establish security and response strategies.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2019년도 추계학술발표대회
• /
• pp.420-423
• /
• 2019

최근 국내에서 발생되고 있는 사이버 공격들의 대부분은 기존 보안장비로 탐지가 어려운 지능형 공격으로 2017년 한 해 동안 발생한 사이버 공격의 경제적 피해액은 약 77조원에 달하고 있다. 또한 이러한 공격을 탐지하는데 평균 145일 정도가 소요되고 있으며 국내 기업 중 약 70% 가량은 사이버 공격을 적극적으로 대응하고 있지 않다. 이러한 공격들은 대부분 과거에 발생한 공격의 변형이거나, 특정 공격 집단이 수행하는 유사/변종 공격들이다. 이러한 사이버 공격을 사전에 탐지하거나 이미 발생된 공격의 변형된 공격을 신속하게 탐지하기 위해서 본 논문에서는 기존 사이버 공격에 사용된 다양한 정보들을 능동적으로 수집하여, 이들 간의 연관성을 분석하고, 실시간으로 유입되는 공격 의심정보와 비교분석하는 기술을 제시한다.

• 융합보안논문지
• /
• 제23권5호
• /
• pp.173-179
• /
• 2023

제4차 산업혁명 기술은 현재 우리 군이 처한 병력 감축과 국방예산 감소라는 장애물을 넘어 초연결 초지능화된 네트워크 중심 작전 환경을 구축하는 해결책으로 대두되고 있다. 그러나 최신 정보기술에 대한 복잡성 증대와 기 운용중인 정보시스템과의 영향성 검증을 포함한 전체적인 위험관리가 미흡하여 시스템 무결성과 가용성에 심각한 위협을 초래하거나 시스템 간 상호운용성에 부정적 영향을 끼침으로서 임무 수행을 저해할 수 있다. 본 논문에서 우리는 정보기술의 발전에 따라 발생할 수 있는 사이버 위협으로부터 군 정보화 자산을 보호하기 위해 미국의 정보보안 위험관리에 대한 내용의 고찰을 통해 우리 군이 사이버 위협에 대비하기 위한 사이버 위협 대응 전략을 제시하고자 한다.

• 한국인터넷방송통신학회논문지
• /
• 제16권6호
• /
• pp.43-54
• /
• 2016

최근 각종 사이버 범죄 위협이 증가하고 있고, 근래 각종 정보시스템을 대상으로 하는 사이버 공격에 대해서 사전 탐지, 차단 등 최전방에서 초동대응을 해야 하는 보안관제센터의 중요성이 높아가고 있다. 보안관제센터, 침해대응센터, 사이버테러 대응센터, Cert Team, SOC(Security Operater Center) 등의 이름으로 국가기관 및 금융권 등의 보안관제센터 분석인원들은 사이버 공격 예방을 위한 많은 노력들을 하고 있다. 침해사고 탐지를 위한 방법으로 관제시스템을 이용하거나 네트워크 보안장비들을 활용하여 탐지를 하고 있다. 하지만 단순 패턴기반으로만 모니터링 하는 1차원적인 방법으로는 침해사고의 예방을 위한 탐지방법으로 많이 부족하다. 관제시스템도 많은 발전을 하고 있으며 침해위협에 대한 예방활동으로 탐지방법에 대한 연구들도 많이 진행하고 있다. 근래 ESM에서 SIEM 시대로 넘어가면서 관제시스템으로 많은 정보를 가져올 수 있게 되었고 필요한 데이터만을 파싱, 분석하여 침해위협 시나리오에 접목시켜 상관분석 정책을 만들 수 있게 되었다. 이에 본 논문에서는 초창기 관제시스템부터 지금의 SIEM(Security Information Event Management)을 이용한 관제시스템까지 노하우를 통하여 효과적인 침해위협의 탐지방법에 대한 사례연구를 발표한다. 본 사례연구 결과를 통해서 우리나라의 다른 관제센터에서 침해사고 탐지를 효과적으로 할 수 있도록 도움이 되었음 한다. 과거 단순 위협 탐지가 아닌 시나리오 기반의 관제체계를 소개하고 상관분석정책에 대한 제작 및 검증방법을 제시하고자 한다.

• 한국정보통신학회논문지
• /
• 제15권3호
• /
• pp.605-612
• /
• 2011

국가 및 공공기관의 정보통신망에 대한 최근의 사이버공격은 날로 지능화 고도화 되어 갈 뿐 아니라 심지어 경쟁상대국이 국가기밀이나 첨단산업기술 절취를 위해 국가차원에서 조직적으로 감행하는 경우도 있어 새로운 국가안보의 위협요소로 대두되고 있다. 이러한 사이버공격에 효율적으로 대응하기 위해서는 기존의 정보보호시스템 운용만으로는 한계가 있어 사이버공격을 실시간 탐지, 분석 대응하는 협력 대응 프레임워크가 그 중요성을 더해가고 있다. 이에 본 논문에서는 사이버 위협 실태와 대응방안에 대한 기술 및 표준화 동향을 살펴보고, 도메인간 보안 정보 공유를 위한 협력 대응 프레임워크를 설계한다. 협력 대응 프레임워크에서 보안 정보 공유 기반 네트워크 위험도 산출 방식을 제안한다. 이를 기반으로 네트워크 위험 상황을 신속하게 탐지하여 보안 정책에 따라 실시간적인 행동을 수행할 수 있도록 하는 것이 가능하다.

• Journal of Information Processing Systems
• /
• 제15권4호
• /
• pp.865-889
• /
• 2019

The need for cyber resilience is increasingly important in our technology-dependent society where computing devices and data have been, and will continue to be, the target of cyber-attackers, particularly advanced persistent threat (APT) and nation-state/sponsored actors. APT and nation-state/sponsored actors tend to be more sophisticated, having access to significantly more resources and time to facilitate their attacks, which in most cases are not financially driven (unlike typical cyber-criminals). For example, such threat actors often utilize a broad range of attack vectors, cyber and/or physical, and constantly evolve their attack tactics. Thus, having up-to-date and detailed information of APT's tactics, techniques, and procedures (TTPs) facilitates the design of effective defense strategies as the focus of this paper. Specifically, we posit the importance of taxonomies in categorizing cyber-attacks. Note, however, that existing information about APT attack campaigns is fragmented across practitioner, government (including intelligence/classified), and academic publications, and existing taxonomies generally have a narrow scope (e.g., to a limited number of APT campaigns). Therefore, in this paper, we leverage the Cyber Kill Chain (CKC) model to "decompose" any complex attack and identify the relevant characteristics of such attacks. We then comprehensively analyze more than 40 APT campaigns disclosed before 2018 to build our taxonomy. Such taxonomy can facilitate incident response and cyber threat hunting by aiding in understanding of the potential attacks to organizations as well as which attacks may surface. In addition, the taxonomy can allow national security and intelligence agencies and businesses to share their analysis of ongoing, sensitive APT campaigns without the need to disclose detailed information about the campaigns. It can also notify future security policies and mitigation strategy formulation.

• 전기전자학회논문지
• /
• 제24권2호
• /
• pp.669-672
• /
• 2020

본 논문에서는 사이버물리시스템에 대한 사이버공격 경호위협 중 지능형건물관리시스템(IBS)을 중심으로 발생할 수 있는 사이버공격의 특성과 주요 위협 시나리오를 분석했다. 분석한 결과 일반적으로 예측이 가능한 위협에 대해 공격의 성공 가능성을 낮추는 것이 현실적인 공격의 대응방법이 되는 것으로 판단하였고, 구체적인 대응방안으로는 다계층 방어시스템의 적용과 보호대상 시스템에 대한 사이버안전진단 사전점검, 이동식 보안관제 시스템과 같은 방안들을 제시하였다.