Nowadays, modern enterprise infrastructures include many diverse heterogeneous systems (e.g., router and host) to operate various kinds of services (e.g., web and email). This diversity and heterogeneity make network administrators very hard to track/monitor sophisticated attack trials, such as APTs adopting multiple attack vectors. To overcome this challenge (i.e., provide network operators with clear views on attack trials), we introduce a new concept of security provenance, enabling us to discover the root cause of security incidents effectively. Based on this concept, we build a prototype implementation of SecTracer as a new security analysis framework. SecTracer brings three key contributions: (i) comprehensive and efficient forensic data collection in a dynamic network environment, (ii) attack history reconstruction to deliver a blueprint of cyber-crimes, and (iii) active attack prediction by leveraging graph-based relational learning. In addition, we demonstrate its effectiveness and efficiency by showing analysis capabilities with simulation of real-world APT attack scenario on the enterprise network.

현대 엔터프라이즈 네트워크 인프라에는 다양한 종류의 서비스(예: 웹 및 이메일)를 운영하기위한 다양한 이기종 시스템(예: 라우터 및 호스트)이 포함된다. 이러한 다양성과 이기종성으로 인해 네트워크 관리자는 여러 공격 경로를 채택한 APT와 같은 정교한 공격 시도를 추적하고 모니터링하기가 매우 어렵다. 이러한 난제를 극복하기 위해 (즉, 네트워크 운영자에게 공격 시도에 대한 명확한 견해를 제공하기 위해), 우리는 보안 출처라는 새로운 개념을 도입하여 보안 사고의 근본 원인을 효과적으로 발견한다. 이 개념을 바탕으로 SecTracer의 프로토 타입 구현을 새로운 보안 분석 프레임 워크로 구축한다. SecTracer는 (i) 동적 네트워크 환경에서 포괄적이고 효율적인 포렌식 데이터 수집, (ii) 사이버 범죄의 청사진을 제공하는 공격 이력 재구성 및 (iii) 그래프 기반 관계형 학습을 활용하여 적극적인 공격 예측의 세가지 주요 기여를 한다. 또한 엔터프라이즈 네트워크에서 실제 APT 공격 시나리오를 시뮬레이션하여 SecTracer의 분석 기능을 보여줌으로써 효율성을 입증한다.