MITRE ATT&CK 프레임워크를 활용한 엔드포인트 악성코드 탐지시스템 구현 :Implementation of an Endpoint Malware Detection System Using the MITRE ATT&CK Framework

김현덕

자료유형: 학위논문

저자정보: 김현덕 (숭실대학교, 숭실대학교 대학원)

지도교수: 신용태

발행연도: 2023

저작권: 숭실대학교 논문은 저작권에 의해 보호받습니다.

이용수35

초록· 키워드

MITRE ATT&CK 프레임워크를 활용한 엔드포인트 악성코드 탐지시스템 구현 김현덕 IT정책경영학과 숭실대학교 대학원 컴퓨터와 네트워크의 급속한 발전은 디지털 시대의 혜택을 안겨주었지 만, 동시에 사이버 위협과 악성코드와 같은 사이버 공격의 증가를 가져 왔다. 매년 신규 악성코드가 꾸준히 증가하고 있으며, 여러 가지 기법을 통하여 백신을 우회하려는 기술들이 생겨나고 있다. 악성코드 연구기관 인 Av-test에서는 신규 악성코드가 매일 백만개 이상이 탐지 되었고, 누 적 악성코드의 수는 매년 증가하고 있다고 통계를 내었다. 이러한 상황 속에서 우리는 여전히 백신에만 의존을 하고 있는 상황이며, 신규 악성 코드 등에 대한 대응이 어려운 상황이다. 이로 인해 기업과 개인은 보안 에 대한 새로운 접근 방식과 기술을 찾고 있으며, 이러한 과정에서 MITRE ATT&CK 프레임워크가 주목받게 되었다. 본 논문에서는 MITRE ATT&CK 프레임워크를 활용하여 엔드포인트 보안을 강화하고 악성코드 탐지시스템을 구현하는 방법에 대해 연구가 필요할 것이라 생 각한다. MITRE ATT&CK(Adversarial Tactics, Techniques, and Common Knowledge) 프레임워크는 공격자의 공격 전략, 기술 및 일반 적인 지식을 문서화하고 공유하는 데 중점을 둔 업계 표준 보안 지식 베 이스이다. 이 프레임워크는 공격자가 시스템 내에서 어떤 공격 기술과 전술을 사용할 수 있는지에 대한 정보를 제공하여 보안 전문가와 조직에 게 현실적인 위협에 대한 통찰력을 제공하고 있다. MITRE ATT&CK는 행동 기반 보안(Behavior-Based Security)의 핵심 원리에 기반하여 작동 하고 있다. 이는 악성 행동을 탐지하고 방어하기 위해 정확한 이해가 필 요하다는 접근법이다. 이러한 행동 기반 접근법은 악성코드 패턴과 서명 을 기반으로 하는 기존의 방식보다 더 유연하며, 새로운 위협에 대응하 기에 더 효과적이다. 본 논문에서는 MITRE ATT&CK 프레임워크를 활용하여 엔드포인트 보안 시스템을 설계하고, 악성코드의 특징적인 공격 패턴 및 행동을 식 별하여 탐지하고 대응하는 방법을 제시한다. 이를 통해 보안 전문가와 기업은 실시간으로 사이버 위협에 대응하고 민첩하게 대응할 수 있는 시 스템을 구축할 수 있을 것으로 기대된다. 이와 같이, MITRE ATT&CK 프레임워크는 현대의 사이버 보안에 중요한 역할을 하며, 이를 활용한 엔드포인트 악성코드 탐지시스템의 구현은 보안에 대한 접근 방식을 변 화시킬 방법을 검증하고자 한다.

Implementation of an Endpoint Malware Detection System Using the MITRE ATT&CK Framework KIM, HYUN DEOK Department of IT Policy Management Graduate School of Soongsil University The rapid development of computers and networks has brought about the benefits of the digital age, but has also brought about an increase in cyber threats and cyber attacks such as malware. New malicious codes are steadily increasing every year, and technologies are being developed to bypass vaccines using various techniques. Av-test, a malware research institute, released statistics showing that more than a million new malwares are detected every day, and the cumulative number of malwares is increasing every year. In this situation, we are still relying only on primary vaccines, and it is difficult to respond to new malicious codes. As a result, companies and individuals are looking for new approaches and technologies for security, and in this process, the MITRE ATT&CK framework is attracting attention. In this thesis, we will discuss how to strengthen endpoint security and implement a malware detection system using the MITRE ATT&CK framework. The MITRE ATT&CKK (Adversarial Tactics, Techniques, and Common Knowledge) framework is an industry-standard security knowledge base focused on documenting and sharing attackers'' attack strategies, techniques, and common knowledge. This framework provides security professionals and organizations with insight into realistic threats by providing information about what attack techniques and tactics an attacker can use within a system. MITRE ATT&CK operates based on the core principles of Behavior-Based Security. This is an approach that requires a clear understanding to detect and defend against malicious behavior. This behavior-based approach is more flexible and more effective in responding to new threats than traditional methods based on malware patterns and signatures. In this thesis, we design an endpoint security system using the MITRE ATT&CK framework and present a method for detecting and responding by identifying the characteristic attack patterns and behaviors of malware. Through this, security experts and companies are expected to be able to build a system that can respond to cyber threats in real time and respond nimbly. As such, the MITRE ATT&CK framework plays an important role in modern cybersecurity, and implementing an endpoint malware detection system utilizing it is intended to suggest a way to change the approach to security.

국문초록 ⅵ
영문초록 ⅷ
제 1 장 서론 · 1
1.1 연구의 배경 · 1
1.2 연구의 목적 · 3
1.3 연구범위 및 방법 4
1.4 논문 구성 5
제 2 장 관련 연구 · 6
2.1 엔드포인트 악성코드 탐지시스템 관련 연구 6
2.1.1 사이버 보안 분야의 악성코드 탐지 관련 연구 · 6
2.1.2 MITRE ATT&CK 프레임워크와 관련된 이전 연구 9
2.1.3 기존 연구와 연구 주제 간의 관계 9
2.2 MITRE ATT&CK 프레임워크 10
2.2.1 MITRE ATT&CK 프레임워크 개요 · 10
2.2.2 MITRE ATT&CK 프레임워크의 주요 구성 요소 · 12
2.3 악성코드 15
2.3.1 동작에 의한 악성코드 · 16
2.3.2 목적에 의한 악성코드 · 18
제 3 장 MITRE ATT&CK 프레임워크를 활용한 엔드포
인트 악성코드 탐지시스템 21
3.1 엔드포인트 악성코드 탐지시스템 21
3.1.1 개요 21
3.1.2 엔드포인트 악성코드 탐지시스템 기술 · 21
3.1.3 엔드포인트 악성코드 탐지시스템 기능 · 23
3.1.4 MITRE ATT&CK 악성코드 탐지 알고리즘 24
3.1.5 3.1.5 탐지된 악성코드에 대한 대응 전략 25
3.2 엔드포인트 악성코드 탐지시스템 구현 27
3.2.1 대시보드 · 27
3.2.2 탐지 28
3.2.3 대응 30
3.2.4 정책 31
3.2.5 이벤트 추적 조사 33
제 4 장 실험 및 검증 35
4.1 실험 환경 35
4.1.1 실험 환경 구성 · 35
4.1.2 실험의 환경 조건 · 37
4.2 실험 방법 38
4.3 실험 결과 39
4.3.1 악성코드 탐지 결과 39
4.3.2 악성코드 탐지 평균 결과 · 41
제 5 장 결론 42
참고문헌 44

최근 본 자료

전체보기

구분	그룹	데이터 항목
AI 학습용 데이터	원문	원문 PDF 파일
AI 학습용 데이터	원문 + 메타 (기본/상세)	원문 PDF 파일 및 서지정보 CSV
대량 구매용 데이터	B2B 구독 방식	특정 자료 한정으로 원문 접근 권한 부여
대량 구매용 데이터	URL 전달 방식	바로 PDF 뷰어를 열람할 수 있는 URL 제공

구분	그룹	데이터 항목
AI 학습용 데이터	기본 메타	발행기관명, 간행물명, 권호명, 권(vol), 호(issue), 통권, 발행연도, 발행월, 논문명, 저자명, 시작페이지, 종료페이지, 전체페이지, 상세페이지URL
상세 메타 데이터	발행기관 메타	발행기관 이명, 영문명, 창립연도, 홈페이지URL, 발행기관 소개
	간행물 메타	부제목, 간행물 유형, ISSN, ISBN, 최초발행연도, 폐간연도, 간행빈도, 발행주기, 등재사항, 이용수, 피인용수, 권호수, 논문수, 표지이미지
	논문 메타	작성 언어, 부제목, 대등제목, 목차, 키워드, 초록, 이미지, 참고문헌, 이용수, 피인용수, 논문활용도, DBpia통합주제분류, KDC분류, DDC분류, 한국연구재단분류, UCI, DOI
	저자 메타	소속기관, 소속부서, 직급, 연구분야, 연구키워드, 이용수, 피인용수, 저자 논문활용도

구분	그룹	데이터 항목
※ 결합형/맞춤형 메타 데이터는 신청 내용에 따라 다양하게 제공 가능
이용순위 정보	주제분야별 많이 이용된 논문	“인문학”에서 많이 이용된 논문 TOP100
	이용기관별 많이 이용된 논문	“중고등학교”에서 많이 이용된 논문 TOP100
	세부기관별 많이 이용된 논문	“서울대학교”에서 많이 이용된 논문 TOP100
	키워드별 많이 이용된 논문	“Chat GPT”에서 많이 이용된 논문 TOP100
키워드 정보	많이 이용된 키워드	특정기간/분야/저널 내 많이 이용된 키워드
	많이 발행된 키워드	특정기간/분야/저널 내 많이 발행된 키워드
	많이 검색된 키워드	특정기간/분야/저널 내 많이 검색된 키워드
	연구 트렌드 키워드	특정 키워드 연관 연구동향 분석 데이터 키워드

논문 기본 정보

초록· 키워드

목차

최근 본 자료

댓글(0)