HOME > 상세정보

상세정보

내부환경을 고려한 온톨로지 기반 SIEM 솔루션 위협탐지 능력 평가모델

내부환경을 고려한 온톨로지 기반 SIEM 솔루션 위협탐지 능력 평가모델

자료유형
학위논문
개인저자
박상협, 朴相俠
서명 / 저자사항
내부환경을 고려한 온톨로지 기반 SIEM 솔루션 위협탐지 능력 평가모델 / 朴相俠
발행사항
서울 :   고려대학교 대학원,   2020  
형태사항
74장 : 천연색삽화 ; 26 cm
기타형태 저록
내부환경을 고려한 온톨로지 기반 SIEM 솔루션 위협탐지 능력 평가모델   (DCOLL211009)000000232147  
학위논문주기
학위논문(석사)-- 고려대학교 대학원: 컴퓨터·전파통신공학과, 2020. 8
학과코드
0510   6D36   1118  
일반주기
지도교수: 인호  
서지주기
참고문헌: 장 68-72
이용가능한 다른형태자료
PDF 파일로도 이용가능;   Requires PDF file reader(application/pdf)  
비통제주제어
SIEM,,
000 00000nam c2200205 c 4500
001 000046048483
005 20200921095003
007 ta
008 200703s2020 ulka bmAC 000c kor
040 ▼a 211009 ▼c 211009 ▼d 211009
041 0 ▼a kor ▼b eng
085 0 ▼a 0510 ▼2 KDCP
090 ▼a 0510 ▼b 6D36 ▼c 1118
100 1 ▼a 박상협, ▼g 朴相俠
245 1 0 ▼a 내부환경을 고려한 온톨로지 기반 SIEM 솔루션 위협탐지 능력 평가모델 / ▼d 朴相俠
246 1 1 ▼a Ontology-based SIEM solution threat detection capability assessment model considering internal environment
260 ▼a 서울 : ▼b 고려대학교 대학원, ▼c 2020
300 ▼a 74장 : ▼b 천연색삽화 ; ▼c 26 cm
500 ▼a 지도교수: 인호
502 0 ▼a 학위논문(석사)-- ▼b 고려대학교 대학원: ▼c 컴퓨터·전파통신공학과, ▼d 2020. 8
504 ▼a 참고문헌: 장 68-72
530 ▼a PDF 파일로도 이용가능; ▼c Requires PDF file reader(application/pdf)
653 ▼a SIEM
776 0 ▼t 내부환경을 고려한 온톨로지 기반 SIEM 솔루션 위협탐지 능력 평가모델 ▼w (DCOLL211009)000000232147
900 1 0 ▼a Park, Sang Hub, ▼e
900 1 0 ▼a 인호, ▼e 지도교수
945 ▼a KLPA

전자정보

No. 원문명 서비스
1
내부환경을 고려한 온톨로지 기반 SIEM 솔루션 위협탐지 능력 평가모델 (66회 열람)
PDF 초록 목차

소장정보

No. 소장처 청구기호 등록번호 도서상태 반납예정일 예약 서비스
No. 1 소장처 과학도서관/학위논문서고/ 청구기호 0510 6D36 1118 등록번호 123064870 도서상태 대출가능 반납예정일 예약 서비스 B M
No. 2 소장처 과학도서관/학위논문서고/ 청구기호 0510 6D36 1118 등록번호 123064871 도서상태 대출가능 반납예정일 예약 서비스 B M

컨텐츠정보

초록

SIEM(Security Information Event 
Management) 솔루션은 대부분 보안관제센터
(Security Operation Center)에서 운영하는 필
수적인 위협탐지시스템으로 기관 내부환경에서 
정보를 수집하여 위협을 탐지한다. 이 때 같은 
SIEM 솔루션 중 기관에 적합한 SIEM 솔루션 
선택을 위한 다양한 연구들이 수행되었다. 
예로 기존 연구들은 수집대상에서 발생하는 
이벤트수(Event Per Sec)를 기반으로 한 시스템 
구성 관점, SIEM 제품에 대한 기술적인 관점, 또
는 사용자 요구사항 기반 비기술적 요소에 대한 
관점에서 SIEM을 평가하였다. 하지만 이러한 기
존 연구들은 기관에서 도입했을 때 기대할 수 있
는 실제 위협탐지 능력을 파악하기 어려웠다. 
  
본 연구에서는 기관이 SIEM 솔루션을 도입할 때 
기대할 수 있는 위협탐지 능력을 평가하는 방법
을 제안한다. 기존에는 SIEM에서 제공하는 모
든 종류의 위협 탐지가 기관에 적용 가능하다는 
전제가 있었다. 하지만 제안하는 방법은 기관에

 
 
서 SIEM에서 요구하는 실제 데이터를 얼마나 
제공할 수 있는지, 그리고 그 데이터를 통해 실
제로 구현 가능한 위협 탐지가 얼마나 되는지를 
평가한다. 이를 위해 알려진 MITRE ATT&CK
에 기반한 위협 탐지를 표현하기 위한 온톨로지
를 구축하였다. 도입하려는 기관과 SIEM을 제
공하는 회사는 이 온톨로지를 기반하여 위협평
가에 필요한 기관 내 네트워크 환경과 SIEM 솔루
션에서 수집해야 하는 데이터를 공유한다. 
데이터 공유를 위해 온톨로지를 이용함으로 
기관내부에서 제공할 수 있는 정보를 여러 회사 
SIEM 솔루션 평가 시 재사용 가능하며 또한 위
협탐지 분석결과 지속 관리하여 향후 SIEM 솔
루션 도입 시 재사용 및 기관에서 필요한 위협
탐지 능력을 보유를 위해 요구되는 사항들을 쉽
게 도출할 수 있다. 
평가모델에 대한 검증을 위해서 사례연구(CASE 
STUDY)를 실시하며, 실제 평가모델을 사용할 
인원을 대상으로 내부환경을 고려한 평가방법 
및 평가를 위해서 요구되는 업무를 수행할 수 
있는지에 대한 설문을 실시하여 실효성 및 적용 
가능성을 확인하였다. 

SIEM(Security Information Event Management) solutions are mostly essential threat detection systems operated by the Security Operation Center. SIEM collect information from an organization’s IT infrastructure to detect threats, so Performance may vary even if the same SIEM solution is applied to the organization. Thus, various studies have been conducted to select SIEM solutions suitable for the organization. However, it was difficult to identify the degree of threat detection improvement that could be expected when introduced by an organization, because existing studies focused only on the Physical System Design and configuration perspective based on Event Per Sec, the technical perspective on SIEM products, and the non-technical elements based on user requirements. However, in order to assess possible threat detection improvements in practice, there was a problem that both the organizations they wanted to introduce and 74 the companies that provided SIEM had to provide information that might be confidential, such as how the data was analyzed. This study proposes a way to assess the threat detection capabilities that an organization can expect to get when introducing SIEM solutions. Ontology was established for the assessment of threat detection based on well-known MITRE ATT&CK. Based on this ontology, organizations and providers share data that must be collected from the internal network environment for threat assessment, except for confidential portions. A case study (CASE STUDY) was conducted to verify the evaluation model. And to take the opinions of the field, a survey of the evaluation model was conducted on the internal personnel of the organization who may involve in evaluation process

목차

목   차 
 
I. 서론 ····························1  
 1. 연구의 배경 및 목적····················4 
 2. 연구의 범위 및 방법····················7 
 3. 논문 구성 ·························8 
 
II. 관련연구(Related Works) 및 배경지식(Background) ·· 9 
 1. SIEM(Security Information Event Management) 위협탐지 ····9 
 2. SIEM 구축을 위한 기반환경 구축관점의 평가(EPS) ····12 
 3. SIEM 기능적인 측면에 대한 평가(기술적) ·········14 
 4. SIEM 사용자 요구사항 측면에 대한 평가(비기술적) ····16 
 5. 탐지능력평가를 위한 사이버킬체인과 MITRE ATT&CK ·19 
가. Lockheed Martin Kill-Chain ············ 20 
나. Mandiant Attack Lifecycle Model ·········· 21 
다. MITRE Enterprise ATT&CK Model ········ 22 
라. MITRE CAPEC  ·················· 25 
 6. 정보공유 및 재사용 수단 온톨로지(ONTOLOGY)  ··· 26 
가. 온톨로지 구축 ··················· 28 
나. 온톨로지 재사용 ·················· 30 

 
 
Ⅲ. 평가모델(Solution Approach) ··············  32 
 1. 평가절차 ·························  32 
 2. 위협분석능력평가를 위한 온톨로지 구축 개념 ······  33 
 3. 상위개념 온톨로지 정립 ·················  34 
 4. System 도메인 ······················  38 
 5. Threat_Detection 도메인 ················  46 
 6. Policy 도메인 ····················  48 
 7. 탐지규칙 추가검증 및 가상환경 구축을 위한 정보 ····  49 
 8. 온톨로지 기반 위협분석능력 평가기준 ··········  52 
 
Ⅳ. 모델검증 ························  54 
 1. 사례연구 ·························  54 
 2. 설문조사 ·························  61 
 
Ⅴ. 결론 및 향후연구 ···················  63 
 
Ⅵ. 평가모델 구축자료 ···················  64 
 
VII.  참고문헌 ························  68 
Abstract ··························  73