봇넷 공격의 규모는 증가하고 있으나, 전통적인 네트워크 보안 시스템은 주로 높은 오탐률과 분석에 필요한 광범위한 인력 때문에 이러한 위협에 효과적으로 대응하기에 부적절하다. 이에 반해, 침입 탐지의 최신 방법인 프로비넌스(provenance) 기반 분석은 호스트 이벤트들 사이의 인과관계를 설정함으로써 면밀한 검사를 가능하게 하는 새로운 패러다임을 제공한다. 그럼에도 불구하고, 이 방법은 공격에 관한 핵심 정보가 존재하는 네트워크 패킷의 페이로드(payload)를 분석하는 데 있어, 패킷 검사로 인한 성능 효율 제약 때문에 어려움이 있다. 이러한 과제를 해결하기 위해, 우리는 네트워크 패킷의 페이로드 검사를 프로비넌스 기반 분석과 통합하여 봇넷 침입 탐지 및 대응을 향상시키는 선도적 접근인 BotFence를 제안한다. 특히, 본 시스템은 네트워크 성능에 미치는 영향을 최소화하기 위해 SmartNICs를 활용한다. 본 시스템은 우선 호스트 시스템 내의 이벤트를 수집하고 분석하여 이를 전술, 기술 및 절차(Tactics, Techniques, and Procedures; TTP)로 표현한다. 동시에, 해당 이벤트와 연관된 네트워크 패킷을 수집하고 면밀히 조사하며, 수집된 네트워크 데이터와 이들 TTP 간의 관계를 우리가 고안한 네트워크 강화 위협 프로비넌스 그래프(Network-enhanced Threat Provenance Graph; NTPG) 모델에 통합한다. 그 결과, 본 시스템은 최소한의 오버헤드로 네트워크에 대한 포괄적인 보안 분석을 제공한다. 복잡한 공격 시나리오를 대상으로 한 시연 결과, BotFence는 네트워크 성능 저하 없이 실시간으로 자동화된 봇넷 감염을 성공적으로 식별하고 완화했으며, 호스트 이벤트의 99.9% 이상을 1 ms 내에 분석하였다.

*본 초록은 AI를 통해 원문을 번역한 내용입니다. 정확한 내용은 하기 원문에서 확인해주세요.