Learning the APT Kill Chain: Temporal Reasoning over Provenance Data for Attack Stage Estimation

이 논문은 호스트 및 네트워크 프로베넌스 데이터를 융합하여 그래프 신경망과 LSTM 을 활용한 'StageFinder'프레임워크를 제안함으로써, APT 공격 단계를 정확하고 안정적으로 추정하는 새로운 방법을 제시합니다.

핵심

🕵️‍♂️ 1. 문제 상황: "스파이"는 어떻게 숨을까?

현대 사이버 공격, 특히 **APT(지속적 위협)**는 단순한 해킹이 아닙니다. 마치 치밀하게 계획된 스파이 작전과 같습니다.

• 스파이의 행동: 먼저 주변을 살피고 (정찰), 위장한 편지를 보내 문을 엽니다 (초기 침입), 권한을 훔쳐서 (권한 상승), 다른 방으로 이동합니다 (이동), 지시 신호를 주고받으며 (지휘 통제), 마지막에 중요한 문서를 훔쳐갑니다 (데이터 유출).
• 기존 보안의 한계: 기존의 보안 시스템은 "이런 행동을 하면 해킹이다!"라는 **정해진 목록 (시그니처)**만 봅니다. 하지만 스파이는 행동을 조금씩 바꾸거나, 정상적인 업무처럼 위장해서 숨기 때문에, 기존 시스템은 "아, 이건 그냥 평범한 업무야"라고 오해하고 넘어가버립니다.

🧩 2. StageFinder 의 핵심 아이디어: "두 눈을 동시에 뜨다"

이 논문이 제안하는 StageFinder는 스파이를 잡기 위해 두 가지 눈을 동시에 뜨는 방식을 사용합니다.

1. 컴퓨터 내부의 눈 (호스트 데이터): 컴퓨터 안에서 어떤 프로그램이 어떤 파일을 만들고, 누가 실행했는지 등 내부 기록을 봅니다.
2. 외부의 눈 (네트워크 데이터): 컴퓨터가 외부와 어떤 데이터를 주고받는지, 이상한 신호가 왔는지 등 외부 경고를 봅니다.

🌟 비유: "스파이의 발자국과 지문"
기존 시스템은 스파이가 남긴 '발자국' (네트워크 경고) 만 보거나, '지문' (내부 로그) 만 봤습니다. 하지만 StageFinder는 이 두 가지를 하나의 지도에 합칩니다.

"아! 이 프로그램이 파일을 만들었다는 기록 (지문) 과, 동시에 이 프로그램이 해외의 이상한 IP 로 데이터를 보냈다는 경고 (발자국) 가 동시에 발생했구나! 이건 단순한 실수가 아니라 스파이 작전이네!"

이렇게 **내부 기록과 외부 경고를 하나로 융합 (Early Fusion)**하면, 스파이가 숨겨둔 진짜 의도를 훨씬 쉽게 찾아낼 수 있습니다.

🧠 3. 어떻게 작동할까? (두 단계의 지능)

StageFinder 는 두 가지 인공지능 기술을 조합하여 작동합니다.

1 단계: 구조를 파악하는 '그래프 신경망 (GNN)'

• 역할: 컴퓨터 내부의 수많은 사건들 (프로그램, 파일, 사용자 등) 이 서로 어떻게 연결되어 있는지 **관계도 (그래프)**를 그립니다.
• 비유: 마치 수사관이 용의자들의 관계도를 그리는 것과 같습니다. "A 가 B 를 만들고, B 가 C 를 실행했다"는 식으로 인과관계를 파악합니다.

2 단계: 시간을 읽는 'LSTM(장기 기억 신경망)'

• 역할: 위에서 만든 관계도들이 시간의 흐름에 따라 어떻게 변하는지 분석합니다.
• 비유: 수사관이 관계도를 보고 **"아, 처음에는 주변을 살피던 스파이가, 이제는 문을 열고, 이제 권한을 훔치고, 마지막엔 도망가려는구나!"**라고 **작전 단계 (Kill Chain)**를 예측하는 것입니다.
• 효과: 단순히 "지금 이상하다"가 아니라, **"지금 스파이는 3 단계 (권한 상승) 에 있다"**라고 정확히 알려줍니다.

🏆 4. 결과는 어떨까? (기존 시스템 vs StageFinder)

연구팀은 DARPA(미국 국방부 산하 연구소) 의 실제 대규모 해킹 시뮬레이션 데이터를 가지고 실험했습니다.

• 기존 시스템 (Cyberian, NetGuardian):
  • 스파이 작전을 어느 정도 찾아내지만, "지금 스파이가 어디에 있나?"를 예측할 때 자꾸 오락가락합니다. (예: "아까는 침입 단계였는데, 지금은 다시 정상 단계로 돌아갔네?"라고 헷갈림)
  • 정확도: 약 90~92%
• StageFinder (새로운 시스템):
  • 정확도 96%: 스파이의 작전 단계를 거의 완벽하게 맞춥니다.
  • 오락가락 없음: 예측이 매우 안정적입니다. 스파이가 작전을 이어갈 때, 시스템이 "아, 이제 다음 단계로 넘어갔구나"라고 자연스럽게 따라갑니다. (예측 불안정성 31% 감소)

💡 5. 왜 이것이 중요한가?

이 시스템이 알아낸 **"스파이의 현재 단계"**는 보안 담당자에게 매우 중요한 정보를 줍니다.

• 정찰 단계라면: "조용히 지켜보자. 증거를 더 모아야 해." (과도한 경보로 업무 방해 X)
• 데이터 유출 단계라면: "지금 당장 차단해! 네트워크를 끊어!" (즉각적이고 강력한 대응)

즉, StageFinder는 보안 담당자가 **"무엇을 막아야 할지"**를 미리 알려주어, 상황에 맞는 똑똑한 방어를 가능하게 합니다.

📝 요약

이 논문은 **"컴퓨터 내부 기록과 외부 경보를 하나로 합쳐, 스파이 작전의 진행 상황을 시간 순서대로 정확히 추적하는 새로운 AI 시스템 (StageFinder)"**을 제안합니다. 이는 마치 스파이의 모든 발자국을 연결하여, 그가 지금 어디에 있고 다음에 무엇을 할지 미리 예측하는 초능력을 가진 탐정과 같습니다. 덕분에 우리는 더 정확하고, 덜 헷갈리는 사이버 방어를 할 수 있게 되었습니다.

기술 요약

논문 요약: StageFinder - APT 공격 단계 추정을 위한 시계열 - 그래프 학습 프레임워크

1. 문제 정의 (Problem Statement)

• APT 의 복잡성: 고급 지속적 위협 (APT) 은 재탐색 (Reconnaissance) 에서 시작하여 초기 침투, 권한 상승, 이동, C2, 데이터 유출에 이르기까지 여러 단계를 거치며 진행됩니다. 각 단계는 미묘한 흔적을 남기며 정상 활동과 혼재되어 있어 탐지와 해석이 매우 어렵습니다.
• 기존 기술의 한계:
  • 시그니처 기반: 알려진 공격 패턴만 탐지 가능하며, 새로운 TTP(전술, 기법, 절차) 에 취약합니다.
  • 이상 탐지 기반: 오탐 (False Positive) 이 높고, 공격의 다단계 진행 맥락을 이해하지 못합니다.
  • 기존 머신러닝 모델:
    • 순차적 모델 (예: Cyberian): 시간적 의존성은 학습하지만, 프로세스, 파일, 소켓 간의 인과적 구조 (Causal Structure) 를 무시합니다.
    • 그래프 기반 모델: 구조적 추론은 우수하지만, 멀티모달 (호스트 + 네트워크) 시계열 역동성을 포착하는 데 한계가 있습니다.
    • 네트워크와 호스트 로그를 독립적으로 처리하여 공격의 전체적인 인과 관계를 놓치는 경우가 많습니다.

2. 제안 방법론: StageFinder (Methodology)

이 논문은 호스트 및 네트워크 유래 데이터 (Provenance Data) 를 융합하여 APT 공격 단계를 추정하는 StageFinder 프레임워크를 제안합니다.

• 핵심 아키텍처:
  1. 데이터 수집 및 조기 융합 (Early Fusion):
     • 호스트 로그 (Sysmon 등) 와 네트워크 경고 (IDS/방화벽) 를 수집합니다.
     • 조기 융합 전략: 그래프 구축 단계에서 네트워크 경고 노드를 호스트 엔티티 (프로세스, 파일 등) 에 직접 연결합니다. 이는 네트워크 이상 징후와 로컬 활동 간의 인과 관계를 보존하며, 단일 이벤트가 아닌 전체 공격 체인을 학습할 수 있게 합니다.
  2. 유니피드 유래 그래프 (Fused Provenance Graph) 구축:
     • 시간 창 (Time Window) 단위로 노드 (프로세스, 파일, 소켓, IP, 경고) 와 엣지 (읽기, 쓰기, 생성, 연결 등) 를 포함하는 인과 그래프 $G_t$를 생성합니다.
  3. 그래프 인코더 (GNN Encoder):
     • 그래프 신경망 (GNN) 을 사용하여 융합된 그래프의 구조적 의존성과 맥락적 패턴을 저차원 임베딩 ($g_t$) 으로 변환합니다.
     • 호스트 엔티티 (명령어, 사용자, 시간 등) 와 네트워크 경고 엔티티 (시그니처, 심각도, 프로토콜 등) 의 특징을 통합하여 인코딩합니다.
  4. 시계열 추정기 (LSTM-Based Stage Estimator):
     • GNN 에서 추출된 그래프 임베딩 시퀀스 $\{g_1, g_2, ..., g_t\}$를 LSTM에 입력합니다.
     • LSTM 은 장기 및 단기 시간적 의존성을 학습하여 MITRE ATT&CK 프레임워크에 기반한 6 가지 공격 단계 (및 정상 상태) 의 확률 분포를 추정합니다.
  5. 공격 단계 매핑:
     • 확률적 출력을 해석 가능한 공격 단계로 변환하고, 시간적 진화를 추적하여 분석가에게 행동 가능한 인사이트를 제공합니다.

3. 주요 기여 (Key Contributions)

• 융합된 유래 - 시계열 학습 프레임워크: 호스트 로그와 네트워크 경고를 그래프 구축 단계에서 통합하여, 기존 모델이 놓치던 인과적 맥락과 시계열 역동성을 동시에 포착합니다.
• 조기 융합 메커니즘: 네트워크 경고 노드를 그래프의 1 순위 노드로 직접 연결하여, C2 통신이나 이동 단계와 같은 공격 행위를 더 정확하게 식별합니다.
• 전이 학습 전략:
  • 사전 학습 (Pretraining): 대규모 레이블 없는 DARPA OpTC 데이터셋을 사용하여 일반적인 호스트 - 네트워크 역학을 학습합니다.
  • 미세 조정 (Fine-tuning): 레이블이 있는 DARPA TC 데이터셋을 사용하여 구체적인 공격 단계 분류 능력을 최적화합니다.
• 해석 가능성: MITRE ATT&CK 프레임워크와 직접 매핑되어 공격의 현재 단계를 명확하게 식별하고, 방어 시스템에 자동 대응을 유도할 수 있습니다.

4. 실험 결과 (Results)

• 데이터셋: DARPA Transparent Computing (TC) 및 Operationally Transparent Cyber (OpTC) 데이터셋 사용.
• 비교 대상: 최신 APT 단계 분류 모델인 Cyberian (순차적 LSTM) 및 NetGuardian (단계별 앙상블) 과 비교.
• 성능 지표:
  • 정확도 (Macro F1-Score): StageFinder 는 0.96을 기록하여 Cyberian (0.90) 및 NetGuardian (0.92) 보다 각각 약 6%, 4% 향상된 성능을 보였습니다.
  • 예측 안정성 (Temporal Flip Rate, TFR): 예측의 변동성을 31% 감소시켰습니다 (0.125 vs 0.182/0.160). 이는 LSTM 이 장기적 의존성을 효과적으로 모델링하여 공격 단계가 불필요하게 뒤바뀌는 현상을 줄였음을 의미합니다.
  • 단계별 성능: 모든 공격 단계 (재탐색부터 유출까지) 에서 일관되게 높은 F1 점수 (0.94~0.97) 를 달성했습니다. 특히 초기 침투 및 이동 단계에서 융합 데이터의 이점이 두드러졌습니다.
• 시각화 분석: StageFinder 의 LSTM 은 Cyberian 에 비해 더 집중적이고 안정적인 주의 (Attention) 분포를 보여주며, C2 및 유출 단계와 같은 중요한 시간적 구간을 정확히 포착함을 확인했습니다.

5. 의의 및 결론 (Significance)

• 정확하고 안정적인 APT 탐지: 구조적 인과 관계 (GNN) 와 시간적 진화 (LSTM) 를 결합함으로써, APT 의 다단계 공격을 정확하고 해석 가능하게 추정할 수 있음을 입증했습니다.
• 적응형 방어 체계 지원: 공격의 현재 단계를 실시간으로 식별함으로써, 재탐색 단계에서는 선택적 모니터링을, 이동 단계에서는 공격적 격리 등 상황에 맞는 적응형 방어 전략을 수립하는 데 기여합니다.
• 미래 작업: 이 프레임워크는 향후 공격 단계 추정과 적응형 방어 정책 학습을 결합한 자동화된 대응 시스템으로 확장될 수 있는 기반을 제공합니다.

이 논문은 APT 대응 분야에서 단일 로그 분석의 한계를 넘어, 다중 소스 데이터의 융합과 시계열 - 그래프 학습을 통해 공격의 전체 수명 주기를 이해하는 새로운 패러다임을 제시합니다.