CVE에서 CWE로: 시스템 호출 기반 HIDS의 일반화

시스템 호출 (Syscall) 트레이스에 기반한 호스트 침입 탐지 시스템 (HIDS)은 일반적으로 개별적인 공통 보안 취약점 및 노출 (CVE) 사례를 대상으로 학습 및 평가됩니다. 그러나 실제 운영 환경에서 방어자들은 이미 알려진 유형의 취약점에 대한 새로운 공격 (Exploit)을 인식해야 합니다. 본 연구에서는 동일한 공통 취약점 유형 (CWE) 클래스를 공유하는 일련의 CVE의 정상 동작을 학습한 단일 클래스 이상 탐지기 (One-class anomaly detector)가 동일 클래스 내의 다른 미지의 CVE로 일반화될 수 있는지 실증적으로 조사합니다. LID-DS-2021에서 추출하여 세 가지 CWE 제품군 (CWE-307 broken authentication, CWE-89 SQL injection, CWE-434 unrestricted file upload)으로 그룹화된 6가지 시나리오를 사용하여, 슬라이딩 윈도우 (Sliding window)당 66차원의 Peng-Guo 스타일 특징 벡터 (Feature vector)를 추출하고, 고정된 목표 오탐률 (False positive rate, FPR)에 맞춰 조정된 정상 데이터 전용 임계값을 사용하여 Isolation Forest 및 SGD One-Class SVM 탐지기를 학습시킵니다. 우리는 자기 탐지 (Self-detection), 비대칭적 교차 CVE 전이 (Asymmetric cross-CVE transfer), 결합된 CWE 수준의 정상 프로파일의 가치, 그리고 전이 가능성에 대한 특징 필터링 (Feature filtering)의 효과를 다루는 네 가지 연구 질문을 정의하고 답합니다. 결합된 CWE-307 탐지기는 보정 목표 FPR = 0.05에서 F1 = 0.6976 (정밀도 (Precision) = 0.8994, 재현율 (Recall) = 0.5698)에 도달한 반면, CWE-89 및 CWE-434는 동일한 프로토콜 하에서 F1 <= 0.21로 급락합니다. 교차 CVE 전이는 방향 의존성이 매우 강하며, CWE 레이블보다는 소스 정상 프로파일의 폭에 의해 지배되는 것으로 나타났습니다. 결론적으로, 현재의 시스템 호출 특징을 사용하는 HIDS에서 CWE 수준의 일반화는 일부 취약점 제품군에 대해서는 실증적으로 달성 가능하지만 모든 제품군에 대해 가능한 것은 아니며, 우리는 이 환경에서 정직한 보고를 위해 보정된 FPR이 방법론적 전제 조건이라고 주장합니다.