표제지
목차
국문초록 10
ABSTRACT 12
제1장 서론 14
1.1. 연구의 배경 14
1.2. 연구의 목적 16
1.3. 연구범위 및 방법 17
1.4. 논문의 구성 18
제2장 관련 연구 19
2.1. 엔드포인트 악성코드 탐지시스템 관련 연구 19
2.1.1. 사이버 보안 분야의 악성코드 탐지 관련 연구 19
2.1.2. MITRE ATT&CK 프레임워크와 관련된 이전 연구 21
2.1.3. 기존 연구와 연구 주제 간의 관계 22
2.2. MITRE ATT&CK 프레임워크 23
2.2.1. MITRE ATT&CK 프레임워크 개요 23
2.2.2. MITRE ATT&CK 프레임워크의 주요 구성 요소 25
2.3. 악성코드 28
2.3.1. 동작에 의한 악성코드 29
2.3.2. 목적에 의한 악성코드 31
제3장 MITRE ATT&CK 프레임워크를 활용한 엔드포인트 악성코드 탐지시스템 34
3.1. 엔드포인트 악성코드 탐지시스템 34
3.1.1. 개요 34
3.1.2. 엔드포인트 악성코드 탐지시스템 기술 34
3.1.3. 엔드포인트 악성코드 탐지시스템 기능 구성 36
3.1.4. MITRE ATT&CK 악성코드 탐지 알고리즘 37
3.1.5. 탐지된 악성코드에 대한 대응 전략 38
3.2. 엔드포인트 악성코드 탐지시스템 구현 40
3.2.1. 대시보드 40
3.2.2. 탐지 41
3.2.3. 대응 43
3.2.4. 정책 44
3.2.5. 이벤트 추적 조사 46
제4장 실험 및 검증 48
4.1. 실험 환경 48
4.1.1. 실험 환경 구성 48
4.1.2. 실험 환경 조건 50
4.2. 실험 방법 51
4.3. 실험 결과 52
4.3.1. 악성코드 탐지 결과 52
4.3.2. 악성코드 탐지 평균 결과 54
제5장 결론 55
참고문헌 57
[표 2-1] ATT&CK 전략 24
[표 3-1] 엔드포인트 악성코드 탐지시스템 대시보드 컴포넌트 41
[표 3-2] 악성코드 탐지 로그 유형 43
[표 3-3] 파일격리 기능 44
[표 4-1] 실험 구성 50
[표 4-2] 실험 장비 사양 50
[표 4-3] 실험 항목 및 방법 51
[표 4-4] 악성코드 탐지 개수 및 평균값 54
[그림 2-1] 악성코드 탐지 시그니쳐 19
[그림 2-2] 시그니쳐 기반 및 행동 기반 악성코드 분석 개념도 21
[그림 2-3] ATT&CK Tactics 22
[그림 2-4] ATT&CK Matrix for Enterprise 23
[그림 2-5] ATT&CK for Enterprise를 활용, 한수원 해킹 사건을 도식화 27
[그림 2-6] 악성코드 유형별 비율 28
[그림 3-1] 고통의 피라미드(여러 유형의 침해 지표(IoC)) 36
[그림 3-2] MITRE ATT&CK NAVIGATOR 40
[그림 3-3] 악성코드 탐지 구성도 42
[그림 3-4] 악성코드 탐지정책 설정 44
[그림 3-5] 악성코드 탐지엔진 유형별 대응행동 45
[그림 3-6] 악성코드 탐지시스템 정책 구성요소 46
[그림 3-7] 위협행위에 대한 프로세스 47
[그림 4-1] 실험 시스템 구성도 48
[그림 4-2] 가상PC 환경 49
[그림 4-3] 악성코드 탐지 1차 실험 52
[그림 4-4] 악성코드 탐지 2차 실험 52
[그림 4-5] 악성코드 탐지 3차 실험 53