PCR - A Flow Metric for the Producer/Consumer Relationship
2014년 FloCon에서 Carter Bullard (QuSient LLC), John Gerth (Stanford University) 에 의해 발표된 데이터 유출 및 탐지 방법이다.
1. 문제 인식
데이터 유출은 심각한 문제
데이터 유출은 사이버 보안 영역에서 중요한 문제이며 사이버 스파이는 미국 사이버 전쟁의 주요 문제 중 하나입니다. APT1은 조직에 대한 최악의 시나리오 중 하나를 나타내는 국가 차원의 오케스트레이션 및 악용에 관여하는 지능형 지속 위협 그룹으로 확인되었습니다.
탐지가 어렵다
특히 공격자가 탐지를 어렵게 만드는 새로운 전송 전략을 계속 사용하기 때문에 데이터 유출 시도를 탐지하는 것은 어려울 수 있습니다. 동작 임계값 기반 시스템은 쉽게 전복될 수 있으며 일부 공격에는 조직에서 물리적 추출과 함께 내부 데이터 통합이 포함됩니다.
데이터 유출만이 문제가 아니다
많은 조직에서 데이터 유출 문제는 데이터 손실에만 국한되지 않습니다. 자신도 모르게 많은 조직의 인프라가 데이터 전송을 용이하게 하는 디딤돌로 사용될 수 있습니다. 이로 인해 유출 시도의 공모자로 연루되어 심각한 책임과 평판 손상으로 이어질 수 있습니다.
전반적으로 데이터 유출 문제는 심각한 문제이며 이러한 유형의 공격으로부터 조직을 보호하려면 효과적인 탐지 및 방지 방법이 필수적입니다.
2. 유출 방법
데이터 유출은 장기적이고 복잡하게 수행 가능
데이터 유출은 다양한 기술과 방법을 포함하는 복잡하고 장기적인 프로세스가 될 수 있습니다. 예를 들어, "Night Dragon" APT(Advanced Persistent Threat)는 탐지되기까지 약 4년 동안 활동했습니다. APT1은 또한 국가 간 오케스트레이션 및 착취에 관여하는 APT 그룹으로 확인되었습니다.
Overt / Covert 채널 활용은 일반적
흥미롭게도 유출과 관련된 대부분의 노드는 소스가 아닌 전송 노드인 경우가 많으며 이는 공격자가 중개자를 사용하여 활동을 마스킹하는 경우가 많다는 것을 나타냅니다. 공개 및 은밀 채널의 사용은 유출 시도에서 일반적입니다. 예를 들어, 공격자는 통합 및 유출을 위해 IP 멀티캐스팅을 사용(overt) 또는 비 IP LAN 기반 데이터 교환으로 데이터를 유출할 수 있습니다.
또한 공격자는 DNS 프리페칭 및 Java 스크립팅과 같은 브라우저 기반 비밀 채널이나 DNS 터널링, HTTP 터널링 및 XXX 터널링과 같은 보다 정교한 터널링 기술을 사용할 수 있습니다. NTPv3, VoIP, ICMP 및 SIP와 같은 프로토콜을 사용하여 데이터를 피기백 전송(Piggyback transporting)하는 것은 데이터를 유출하는 데 사용할 수 있는 또 다른 방법입니다.
내부자 유출은 일반적으로 물리적 매체 사용
반면에 내부자 유출은 데이터를 제거하기 위해 물리적 매체를 사용하는 경우가 많습니다. 이 프로세스에는 일반적으로 데이터를 물리적 데이터 제거를 용이하게 하는 데 사용되는 일련의 추출 노드로 통합하는 작업이 포함됩니다.
전반적으로 유출 방법은 다양하고 정교하며 이러한 공격을 탐지하고 방지하려면 전송 노드 및 내부자 위협의 사용뿐만 아니라 공개 채널과 비밀 채널을 모두 고려하는 다계층 접근 방식이 필요합니다.
3. 유출 탐지
부족한 기존 방지 전략
유출 탐지는 어려운 문제이며 기존의 데이터 손실 보호 전략은 유출 시도를 탐지하는 데 적합하지 않은 경우가 많습니다. 유출은 데이터 손실 문제만이 아닙니다. 많은 표적 조직이 추가 공격을 위한 디딤돌로 사용될 수 있으며 유출된 데이터가 조직 자체에 속하지 않을 수 있으므로 콘텐츠 기반 탐지가 비효율적일 수 있습니다. 또한 "mesh-in-mesh-out" 네트워크와 같은 분산 공격 프레임워크는 부하 기반 탐지를 어렵게 만듭니다.
Producer/Consumer (생산자/소비자) 관계라는 새로운 지표 필요
이 문제를 해결하려면 새로운 탐지 방법과 지표가 필요합니다. 한 가지 제안은 유출을 생산자/소비자 역할의 변화로 보고 잠재적인 유출 시도를 탐지하는 새로운 지표로 사용할 수 있다는 것입니다. 그러나 이 접근법을 효과적으로 만들기 위해서는 생산자/소비자 관계를 설명하는 더 나은 방법이 필요합니다.
Bell-La Padula 모델이 유효
조기 탐지가 중요하며 선행 지표를 식별하면 본격적인 공격이 되기 전에 유출 시도를 탐지하는 데 도움이 될 수 있습니다. Bell-La Padula 모델과 같은 공식 방법은 정상 노드가 유출 노드로 변환되는 것을 식별하는 데 어느 정도 도움을 줄 수 있습니다. 요약하면 유출 시도를 효과적으로 감지하고 방지하려면 새로운 지표, 더 나은 생산자/소비자 설명, 선행 지표의 조기 감지를 결합하는 다각적인 접근 방식이 필요합니다.
4. Producer/Consumer(생산자/소비자) 역할
네트워크에서 모든 노드는 데이터의 생산자이자 소비자
네트워크에서 모든 노드는 데이터의 생산자이자 소비자이며 ARP 및 DNS와 같은 네트워크 제어 서비스를 소비합니다. 동시에 스위치, 라우터, 파일 시스템, 웹 서버, 네임 서버 등과 같은 네트워크 서비스를 제공합니다. 네트워크의 사용은 응용 프로그램을 사용하는 노드가 일반적으로 생산자 또는 소비자이고 응용 프로그램을 지원하는 노드가 응용 프로그램 교환을 생성하는 소비자/생산자 관계를 만듭니다.
데이터 유출은 생산자/소비자 관계의 조작에서 발생
통신 네트워크의 목적은 생산자와 소비자의 기능을 용이하게 하는 것입니다. 생산자/소비자 역할의 특성을 공식화, 식별, 분석, 추적 및 제어할 수 있습니다. 공격자는 조직에서 데이터의 무단 추출을 용이하게 하기 위해 생성자와 소비자의 역할 관계를 조작합니다.
요약하면 네트워크에서 생산자/소비자 역할을 이해하는 것은 잠재적 유출 시도를 식별하는 데 중요합니다. 데이터 흐름을 분석하고 생산자/소비자 역할 측면에서 비정상적으로 작동하는 노드를 식별함으로써 조직은 유출 시도를 감지하고 방지할 수 있습니다.
5. Producer Consumer Ratio (생산자 소비자 비율)
PCR은 새로운 흐름 메트릭(New Flow Metric)
생산자/소비자 비율은 기본 컴퓨터 과학 의미론과 기본 흐름 역학을 기반으로 하는 새로운 흐름 메트릭입니다. 집계, 역, 필터링, 선택, 검색, 비닝 및 메타데이터 향상을 포함한 모든 흐름 데이터 작업을 지원하는 간단한 산술/통계 작업입니다.
생산자/소비자 비율은 유출 시도를 감지하고 방지하는 데 중요한 행동 분류의 기초를 제공합니다. 조직은 생산자/소비자 비율을 분석하여 비정상적으로 행동하고 유출 활동에 참여할 수 있는 노드를 식별할 수 있습니다.
전반적으로 생산자/소비자 비율은 흐름 데이터를 분석하고 잠재적 유출 시도를 탐지하기 위한 강력한 도구입니다. 간단한 산술 및 통계 작업을 통해 다양한 흐름 데이터 작업에 쉽게 사용 및 적용할 수 있으며 네트워크 내 노드의 동작에 대한 귀중한 통찰력을 제공합니다.
PCR 정의
생산자/소비자 비율(PCR)은 소스 및 대상 애플리케이션 바이트의 합계에 대한 소스 애플리케이션 바이트의 비율로 정의되는 흐름 메트릭입니다. 데이터 로드 또는 속도와 무관하게 애플리케이션 정보 전송의 방향성을 나타내는 정규화된 값을 제공합니다.
PCR을 계산하려면 소스 노드와 대상 노드 간에 전송되는 애플리케이션 바이트 수를 결정해야 합니다. 이는 총 바이트에서 레이어 2, 3 및 4 헤더의 합을 뺀 재전송된 바이트를 빼서 계산합니다.
PCR 속성
PCR(생산자/소비자 비율)에는 네트워크 동작을 분석하는 데 유용한 흐름 메트릭이 되는 몇 가지 중요한 속성이 있습니다. 이러한 속성에는 다음이 포함됩니다.
Range (범위)
PCR의 범위는 -1.0에서 1.0까지이며 음수 값은 소비 비율이 높고 양수 값은 생산 비율이 높음을 나타냅니다.
Proportions (비율)
원본 노드와 대상 노드의 비율은 PCR 값을 기준으로 계산할 수 있습니다. 원본 부분은 (1 + PCR) / 2이고 대상 부분은 (1 - PCR) / 2입니다.
Sample Values (샘플 값)
PCR 값은 다양한 유형의 네트워크 트래픽을 식별하는 데 사용할 수 있습니다.
•
1.0 : FTP 업로드, 멀티캐스트 또는 비커닝과 같은 순수 푸시 트래픽을 나타냅니다.
•
0.4 : 이메일 전송과 같은 70:30 내보내기를 나타냅니다.
•
0.0 : NTP 또는 ARP 프로브와 같은 균형 교환을 나타냅니다.
•
-0.5 : HTTP 브라우징과 같은 3:1 가져오기를 나타냅니다.
•
-1.0 : HTTP 다운로드와 같은 순수 끌어오기 트래픽을 나타냅니다.
Analytics (분석)
소비자/생산자 분석: PCR은 집계, 선택(필터링), 정렬, 클러스터 분석, 빈도 분석 및 분류와 같은 다양한 분석 작업에 사용할 수 있습니다. 조직은 네트워크 트래픽의 PCR 값을 분석하여 유출 시도를 탐지하고 방지하는 데 도움이 되는 흐름 동작의 패턴과 이상을 식별할 수 있습니다.
