KR101941039B1 - System and method for forecasting cyber threat - Google Patents

System and method for forecasting cyber threat Download PDF

Info

Publication number
KR101941039B1
KR101941039B1 KR1020180061182A KR20180061182A KR101941039B1 KR 101941039 B1 KR101941039 B1 KR 101941039B1 KR 1020180061182 A KR1020180061182 A KR 1020180061182A KR 20180061182 A KR20180061182 A KR 20180061182A KR 101941039 B1 KR101941039 B1 KR 101941039B1
Authority
KR
South Korea
Prior art keywords
threat
cyber
list
intelligence
asset
Prior art date
Application number
KR1020180061182A
Other languages
Korean (ko)
Inventor
이재연
Original Assignee
한화시스템(주)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한화시스템(주) filed Critical 한화시스템(주)
Priority to KR1020180061182A priority Critical patent/KR101941039B1/en
Application granted granted Critical
Publication of KR101941039B1 publication Critical patent/KR101941039B1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

The present invention relates to a system for predicting a cyber threat and a method thereof. Specifically, the system collects and analyzes threat intelligence in real time, generates a reaction list capable of supplementing weakness of a cyber asset under management, and providing the list to a user. The system for predicting a cyber threat includes a hunting device and a user terminal.

Description

사이버 위협 예측 시스템 및 방법{SYSTEM AND METHOD FOR FORECASTING CYBER THREAT}[0001] SYSTEM AND METHOD FOR FORECASTING CYBER THREAT [0002]

본 발명은 사이버 위협 예측 시스템 및 방법에 관한 것으로, 더욱 상세하게는 위협 인텔리전스(intelligence)를 실시간으로 수집 및 분석하여 관리중인 사이버 자산의 취약점을 보완할 수 있는 대응 방책 리스트를 생성하여 사용자에게 제공하는 사이버 위협 예측 시스템 및 방법에 관한 것이다.The present invention relates to a cyber threat prediction system and method, and more particularly, to a cyber threat prediction system and method that collects and analyzes threat intelligence in real time to generate a list of countermeasures against cyber-asset vulnerability And more particularly, to a cyber threat prediction system and method.

사이버 통합관제센터에서는 여러 종류의 보안 장비에서 발생하는 경보를 취합하여 분석가가 분석 할 수 있는 공간 및 업무 프로세스를 갖고 있다. 사이버 통합관제센터에서는 사이버 공격을 탐지하고, 발생한 공격에 대해 대응하며, 위협에 대한 분석을 통해 위협이 발생한 원인을 찾아내는 업무를 수행한다. The Cyber Integrated Control Center has space and business processes that analysts can analyze by collecting alarms from various types of security equipment. The Cyber Integrated Control Center detects cyber attacks, responds to attacks, and analyzes the threats to determine the cause of the threat.

기존의 사이버 통합관제센터(CSOC)는 보안 장비에 사이버 위협에 대한 alert이 발생한 경우에만 사이버 위협에 대한 대응을 수행한다. 따라서 위협이 발생할 수 있는 잠재적 위험요소가 있음에도 불구하고, 실제로 위협이 발생하지 않으면 대처할 수 있는 프로세스가 없는 문제점이 있었다.The existing Cyber Integrated Control Center (CSOC) only responds to cyber threats when there is an alert about the cyber threat to the security equipment. Therefore, despite the potential risk that a threat may occur, there is no process that can cope if the threat does not actually occur.

공개특허 10-2015-0138988, 공개일자 2015년 12월 11일, '지역 기반 사이버 침해 대응 분석 시스템 및 그 방법'Published Patent No. 10-2015-0138988, Dec. 11, 2015, 'Region Based Cyber Infringement Response Analysis System and Method' 등록특허 10-1710086, 등록일자 2017년 02월 20일, '침해사고 대응을 위한 증거수집 및 조사분석을 수행하는 방법 및 장치'Patent No. 10-1710086, filed on Feb. 20, 2017, entitled " Method and Apparatus for Performing Evidence Collection and Survey Analysis for Responding to Infringement &

본 발명은 이와 같은 문제점을 해결하기 위해 창출된 것으로 본 발명의 목적은 위협 인텔리전스를 실시간으로 수집 및 분석하여 관리중인 사이버 자산의 취약점을 보완할 수 있는 대응 방책 리스트를 생성하여 사용자에게 제공하는 사이버 위협 예측 시스템 및 방법을 제공하는데 있다.SUMMARY OF THE INVENTION The present invention has been made in order to solve the above problems, and it is an object of the present invention to provide a method and system for collecting and analyzing threat intelligence in real time to generate a list of countermeasures against cyber- Prediction system and method.

상기 목적을 달성하기 위한 본 발명의 관점에 따른 사이버 위협 예측 시스템은, 위협 인텔리전스를 실시간으로 수집 및 분석하여 관리중인 사이버 자산의 취약점을 보완할 수 있는 대응 방책 리스트를 생성하는 위협 헌팅 장치; 및 상기 위협 헌팅 장치로부터 상기 대응 방책 리스트를 전송 받아 사용자에게 표시하는 사용자단말기를 포함하는 것을 특징으로 한다.According to an aspect of the present invention, there is provided a cyber threat prediction system including: a threat hunting apparatus for collecting and analyzing threat intelligence in real time to generate a list of countermeasures against a weak point of a cyber asset under management; And a user terminal for receiving the countermeasure list from the threat hunting apparatus and displaying the list to the user.

본 발명의 바람직한 실시예에 따르면, 상기 위협 헌팅 장치는, 위협 인텔리전스를 실시간으로 수집하는 실시간 위협 관제부; 상기 실시간 위협 관제부로부터 수집된 위협 인텔리전스를 전송 받아 분석을 통해 취약점을 찾아내고 관리중인 사이버 자산의 취약점을 보완할 수 있는 대응 방책 리스트를 선정하여 상기 사용자단말기로 전송하는 위협 헌팅부; 및 사이버 자산의 현재 상태 정보가 저장되어 있는 사이버 자산 관리 DB를 포함하는 것을 특징으로 한다.According to a preferred embodiment of the present invention, the threat hunting apparatus includes a real-time threat control unit for collecting threat intelligence in real time; A threat hunting unit for receiving a threat intelligence collected from the real-time threat control unit to find a vulnerability through analysis and selecting a list of countermeasures against a vulnerability of a cyber asset being managed, and transmitting the list to the user terminal; And a cyber asset management DB in which current state information of the cyber asset is stored.

본 발명의 바람직한 실시예에 따르면, 상기 실시간 위협 관제부는, 사이버 블랙박스, C-share, DNSBL 및 유포지/악성코드 공유채널 중 어느 하나 이상을 통해 실시간으로 위협 인텔리전스를 수집하는 것을 특징으로 한다.According to a preferred embodiment of the present invention, the real-time threat control unit collects threat intelligence in real time via at least one of a cyber black box, a C-share, a DNSBL, and a spreadsheet / malicious code sharing channel.

본 발명의 바람직한 실시예에 따르면, 상기 위협 헌팅부는, 상기 실시간 위협 관제부로부터 전송 받은 위협 인텔리전스를 분석하여 취약점 정보를 생성하는 인텔리전스 분석부; 상기 인텔리전스 분석부가 생성한 취약점 정보를 가지는 자산이 상기 사이버 자산 관리 DB에 저장되어 있는지를 매핑하는 취약점 매핑부; 및 상기 취약점 매핑부에 의해 매핑 된 자산이 있을 경우 상기 자산에 대한 취약점을 보완할 수 있는 대응 방책 리스트를 생성하여 상기 사이버 자산 관리 DB에 저장하고 상기 사용자단말기로 전송하는 대응 방책 생성부를 포함하는 것을 특징으로 한다.According to a preferred embodiment of the present invention, the threat hunting unit includes an intelligence analyzer for analyzing threat intelligence received from the real-time threat control unit and generating vulnerability information; A vulnerability mapping unit for mapping whether an asset having vulnerability information generated by the intelligence analysis unit is stored in the cyber asset management DB; And a countermeasure generation unit for generating a countermeasure list that can compensate for the vulnerability of the asset when the asset is mapped by the vulnerability mapping unit, storing the countermeasure list in the cyber asset management DB, and transmitting the countermeasure list to the user terminal .

본 발명의 바람직한 실시예에 따르면, 사이버 위협 예측 시스템을 통한 대응 방책 리스트 확인 방법에 있어서, 위협 헌팅 장치가 위협 인텔리전스를 실시간으로 수집 및 분석하여 관리중인 사이버 자산의 취약점을 보완할 수 있는 대응 방책 리스트를 생성하는 A 단계; 및 사용자단말기가 상기 위협 헌팅 장치로부터 상기 대응 방책 리스트를 전송 받아 사용자에게 표시하는 B 단계를 포함하는 것을 특징으로 한다.According to a preferred embodiment of the present invention, there is provided a method for checking a countermeasure policy list through a cyber threat prediction system, the method comprising the steps of: collecting and analyzing threat intelligence in real time to compile a vulnerability of a cyber- A; And a step B in which the user terminal receives the countermeasure list from the threat hunting apparatus and displays the corresponding countermeasure list to the user.

본 발명의 바람직한 실시예에 따르면, 상기 B 단계는, 실시간 위협 관제부가 위협 인텔리전스를 실시간으로 수집하는 단계; 및 위협 헌팅부가 상기 실시간 위협 관제부로부터 수집된 위협 인텔리전스를 전송 받아 분석을 통해 취약점을 찾아내고 관리중인 사이버 자산의 취약점을 보완할 수 있는 대응 방책 리스트를 선정하여 상기 사용자단말기로 전송하는 단계를 포함하는 것을 특징으로 한다.According to a preferred embodiment of the present invention, in the step B, the real-time threat control unit collects threat intelligence in real time; And the threat hunting section receives the threat intelligence collected from the real-time threat control section, finds a vulnerability through analysis, and selects a list of countermeasures against the vulnerability of the cyber asset being managed, and transmits the list to the user terminal .

본 발명의 바람직한 실시예에 따르면, 상기 실시간 위협 관제부는, 사이버 블랙박스, C-share, DNSBL 및 유포지/악성코드 공유채널 중 어느 하나 이상을 통해 실시간으로 위협 인텔리전스를 수집하는 것을 특징으로 한다.According to a preferred embodiment of the present invention, the real-time threat control unit collects threat intelligence in real time via at least one of a cyber black box, a C-share, a DNSBL, and a spreadsheet / malicious code sharing channel.

본 발명의 바람직한 실시예에 따르면, 상기 위협 헌팅부가 대응 방책 리스트를 선정하여 상기 사용자단말기로 전송하는 단계는, 인텔리전스 분석부가 상기 실시간 위협 관제부로부터 전송 받은 위협 인텔리전스를 분석하여 취약점 정보를 생성하는 단계; 취약점 매핑부가 상기 인텔리전스 분석부가 생성한 취약점 정보를 가지는 자산이 상기 사이버 자산 관리 DB에 저장되어 있는지를 매핑하는 단계; 및 대응 방책 생성부가 상기 취약점 매핑부에 의해 매핑 된 자산이 있을 경우 상기 자산에 대한 취약점을 보완할 수 있는 대응 방책 리스트를 생성하여 상기 사이버 자산 관리 DB에 저장하고 상기 사용자단말기로 전송하는 단계를 포함하는 것을 특징으로 한다.According to a preferred embodiment of the present invention, the threat hunting section selects a list of countermeasures to be transmitted to the user terminal, and the intelligent analyzer analyzes the threat intelligence received from the real-time threat control section to generate vulnerability information ; Mapping the vulnerability mapping unit to whether the asset having the vulnerability information generated by the intelligence analysis unit is stored in the cyber asset management DB; And generating a list of countermeasures against the vulnerability of the asset when the countermeasure policy generator has the asset mapped by the vulnerability mapping unit, storing the countermeasure list in the cyber asset management DB, and transmitting the countermeasure list to the user terminal .

본 발명에서 제시하는 사이버 위협 예측 시스템 및 방법은 인텔리전스를 실시간으로 수집 및 분석하여 관리중인 사이버 자산의 취약점을 보완할 수 있는 대응 방책 리스트를 생성하여 사용자에게 제공하여 사용자가 상기 대응 방책 리스트 중 최선의 대응 방책을 선택하여 수행함으로써 관리중인 사이버 자산의 잠재적인 침해 위험을 예방할 수 있는 효과가 있다.The cyber threat prediction system and method proposed in the present invention collects and analyzes intelligence in real time to generate a list of countermeasures to compensate for the vulnerability of cyber assets under management and provides the list to the user so that the user can select the best And it is possible to prevent the potential risk of infringement of cyber assets under management by selecting and implementing countermeasures.

도 1은 본 발명의 일실시예에 따른 사이버 위협 예측 시스템의 블록구성도
도 2는 본 발명의 일실시예에 따른 위협 헌팅부의 블록구성도
도 3은 본 발명의 일실시예에 따른 사이버 위협 예측 시스템을 통한 대응 방책 리스트 확인 방법 순서도
도 4는 본 발명의 일실시예에 따른 위협 헌팅 장치 동작 순서도
도 5는 본 발명의 일실시예에 따른 위협 헌팅부의 동작 순서도
도 6은 본 발명의 일시시예에 따른 위협 헌팅부의 동작 실시예시도
도 7은 본 발명의 일실시예에 따른 대응 방책 리스트 생성예시도1 is a block diagram of a cyber threat prediction system according to an embodiment of the present invention;
2 is a block diagram of a threat hunting unit according to an embodiment of the present invention.
3 is a flowchart of a method of confirming a list of countermeasures through the cyber threat prediction system according to an embodiment of the present invention
4 is a flowchart illustrating an operation sequence of a threat hunting apparatus according to an exemplary embodiment of the present invention.
5 is a flowchart illustrating an operation sequence of a threat hunting unit according to an embodiment of the present invention.
FIG. 6 is a diagram illustrating an example of the operation of the threat hunting unit according to the temporary example of the present invention
FIG. 7 is a diagram illustrating an example of generating a countermeasure list according to an embodiment of the present invention. FIG.

아래에서는 첨부한 도면을 참조하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 본 발명의 실시예를 상세히 설명한다. 그러나 본 발명은 여러 가지 상이한 형태로 구성될 수 있으며 여기에서 설명하는 실시예에 한정되지 않는다. 그리고 도면에서 본 발명을 설명하기 위해서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 유사한 부분에 대해서는 유사한 도면 부호를 붙였다.Hereinafter, embodiments of the present invention will be described in detail with reference to the accompanying drawings, which will be readily apparent to those skilled in the art. The present invention may, however, be embodied in many different forms and should not be construed as limited to the embodiments set forth herein. In order to explain the present invention in the drawings, parts not related to the description are omitted, and like parts are denoted by similar reference numerals throughout the specification.

명세서 전체에서, 어떤 부분이 다른 부분과 “연결”되어 있다고 할 때, 이는 “직접적으로 연결”되어 있는 경우만이 아니라, 다른 부분을 통해 “간접적으로 연결”되는 경우도 포함하여 어떤 부분이 구성요소를 “포함”한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함 할 수 있는 것을 의미한다.Throughout the specification, when an element is referred to as being "connected" to another element, it is intended to be understood that it is not limited to a "directly connected" element, When " comprising ", it is understood that this does not exclude other elements unless specifically stated to the contrary, it may include other elements.

이하, 본 발명의 바람직한 실시 예를 도면을 참조하여 설명하면 다음과 같다.Hereinafter, preferred embodiments of the present invention will be described with reference to the drawings.

먼저 도 1은 본 발명의 일실시예에 따른 사이버 위협 예측 시스템의 블록구성도이고, 도 2는 본 발명의 일실시예에 따른 위협 헌팅부의 블록구성도이다. 도 1과 2에 도시된 바와 같이 본 발명에 따른 사이버 위협 예측 시스템은 위협 인텔리전스를 실시간으로 수집 및 분석하여 관리중인 사이버 자산의 취약점을 보완할 수 있는 대응 방책 리스트를 생성하는 위협 헌팅 장치(100) 및 상기 위협 헌팅 장치(100)로부터 상기 대응 방책 리스트를 전송 받아 사용자에게 표시하는 사용자단말기(200)를 포함하여서 구성되며, 상기 위협 헌팅 장치(100)는 위협 인텔리전스를 실시간으로 수집하는 실시간 위협 관제부(110)와 상기 실시간 위협 관제부(110)로부터 수집된 위협 인텔리전스를 전송 받아 분석을 통해 취약점을 찾아내고 관리중인 사이버 자산의 취약점을 보완할 수 있는 대응 방책 리스트를 선정하여 상기 사용자단말기(200)로 전송하는 위협 헌팅부(120) 및 사이버 자산의 현재 상태 정보가 저장되어 있는 사이버 자산 관리 DB(130)를 포함해서 구성된다. 또한 상기 위협 헌팅부(120)는 인텔리전스 분석부(121), 취약점 매핑부(122) 및 대응 방책 생성부(123)를 더 포함한다. FIG. 1 is a block diagram of a cyber threat prediction system according to an embodiment of the present invention, and FIG. 2 is a block diagram of a threat hunting unit according to an embodiment of the present invention. As shown in FIGS. 1 and 2, the cyber threat prediction system according to the present invention includes a threat hunting apparatus 100 for collecting and analyzing threat intelligence in real time and generating a list of countermeasures for compensating for weaknesses of cyber assets under management, And a user terminal 200 receiving the countermeasure list from the threat hunting apparatus 100 and displaying the countermeasure list to a user. The threat hunting apparatus 100 includes a real-time threat control unit 110 for collecting threat intelligence in real- (110) and the real-time threat control unit (110), receives a threat intelligence collected from the real-time threat control unit (110), finds a vulnerability through analysis, and selects a list of countermeasures against cyber- A threat hunting unit 120 for transmitting the current state information of the cyber asset, It is configured to include a management DB (130). The threat hunting unit 120 further includes an intelligence analysis unit 121, a vulnerability mapping unit 122, and a countermeasure generation unit 123.

상기 사용자단말기(200)는 일반적인 PC(personal computer)이거나 휴대가 가능한 휴대폰, 스마트 폰(smart phone), 테블릿 컴퓨터(tablet computer), 노트북 컴퓨터(notebook computer), PDA(Personal Digital Assistants), PMP(Portable Multimedia Player) 등과 같은 단말기 일 수 있으며 또한 사용자가 상기 위협 헌팅 장치(100)로부터 대응 방책 리스트를 전송 받아 디스플레이를 통해 확인할 수 있고 상기 대응 방책 리스트 중 최선의 대응 방책을 선택할 경우 이를 관리중인 사이버 자산으로 피드백(feedback)할 수 있는 장치임이 바람직하다. 상기 위협 헌팅 장치(100)와 사용자단말기(200)의 통신은 근거리 통신망(Local Area Network; LAN), 광역 통신망(Wide Area Network; WAN), 부가가치 통신망(Value Added Network; VAN), 개인 근거리 무선통신(Personal Area Network; PAN), 이동 통신망(mobile radio communication network) 또는 위성 통신망 등과 같은 모든 종류의 유무선 네트워크로 구현될 수 있다.The user terminal 200 may be a general personal computer or a mobile phone capable of being carried, a smart phone, a tablet computer, a notebook computer, a PDA (personal digital assistant), a PMP Portable Multimedia Player), and the user can also receive the list of countermeasures from the threat hunting apparatus 100 and confirm them through the display. If the user selects the best countermeasure policy from the list of countermeasures, And the like. The communication between the threat hunting apparatus 100 and the user terminal 200 may be performed by a local area network (LAN), a wide area network (WAN), a value added network (VAN) Such as a Personal Area Network (PAN), a mobile radio communication network, or a satellite communication network.

상기 사이버 자산 관리 DB(130)에 저장되어 있는 사이버 자산의 현재 상태정보라 함은 운영체제(OS), 소프트웨어(SW), 하드웨어(HW)에 대한 운영체제, 소프트웨어 및 하드웨어의 명칭 및 버전에 대한 정보를 포함하는 정보를 의미한다. 다만, 상기 사이버 자산 관리 DB(130)에 저장되어 있는 정보가 이에 국한되지는 않는다.The current state information of the cyber asset stored in the cyber asset management DB 130 includes information on operating system, software (SW), name and version of operating system, software and hardware for the hardware (HW) Quot; information " However, the information stored in the cyber asset management DB 130 is not limited thereto.

이하에서는 상기한 구성을 갖는 본 발명에 따른 사이버 위협 예측 시스템을 통한 대응 방책 리스트 확인 방법에 대해서 도 3 내지 7을 통해서 상세하게 설명한다.Hereinafter, a method of confirming the list of countermeasures through the cyber threat prediction system according to the present invention will be described in detail with reference to FIGS.

도 3은 본 발명의 일실시예에 따른 사이버 위협 예측 시스템을 통한 대응 방책 리스트 확인 방법 순서도이다. 도 3에 도시된 바와 같이 본 발명에 따른 사이버 위협 예측 시스템을 통한 대응 방책 리스트의 확인방법은 크게 위협 헌팅 장치(100)가 위협 인텔리전스를 실시간으로 수집 및 분석하여 관리중인 사이버 자산의 취약점을 보완할 수 있는 대응 방책 리스트를 생성하는 단계(S100)와 사용자단말기(200)가 상기 위협 헌팅 장치(100)로부터 상기 대응 방책 리스트를 전송 받아 사용자에게 표시하는 단계(S200)로 진행된다. FIG. 3 is a flowchart illustrating a method of confirming a list of countermeasures through the cyber threat prediction system according to an embodiment of the present invention. As shown in FIG. 3, the method of confirming the list of countermeasures through the cyber threat prediction system according to the present invention includes a method in which the threat hunting apparatus 100 collects and analyzes threat intelligence in real time, A step S100 of generating a list of countermeasures against the threat hunting apparatus 100 and a step S200 of transmitting the countermeasure list from the threat hunting apparatus 100 to the user terminal 200.

상기 단계(S100)에 대해서 좀 더 상세하게 설명하면 도 4에 도시된 바와 같다. 도 4는 본 발명의 일실시예에 따른 위협 헌팅 장치 동작 순서도이다. 상기 단계(S100)는 먼저 실시간 위협 관제부(110)가 위협 인텔리전스를 실시간으로 수집하는 단계(S110)를 수행하고, 다음으로 위협 헌팅부(120)가 상기 실시간 위협 관제부(110)로부터 수집된 위협 인텔리전스를 전송 받아 분석을 통해 취약점을 찾아내고 관리중인 사이버 자산의 취약점을 보완할 수 있는 대응 방책 리스트를 선정하여 상기 사용자단말기(200)로 전송하는 단계(S120)를 수행하는 과정으로 진행된다. 상기 단계(S110)에서 상기 실시간 위협 관제부(110)는 사이버 블랙박스, C-share, DNSBL 및 유포지/악성코드 공유채널 중 어느 하나 이상을 통해 실시간으로 위협 인텔리전스를 수집한다.The step S100 will be described in more detail with reference to FIG. 4 is a flowchart illustrating an operation of a threat hunting apparatus according to an embodiment of the present invention. In operation S100, the real-time threat control unit 110 performs a step S110 of collecting threat intelligence in real-time. Next, the threat hunting unit 120 collects threat intelligence from the real-time threat control unit 110 (S120) of selecting a list of countermeasures against the vulnerability of the cyber asset being managed and transmitting the selected list to the user terminal 200 through the analysis of the received threat intelligence. In step S110, the real-time threat control unit 110 collects threat intelligence in real-time through one or more of cyber black box, C-share, DNSBL, and a fusion / malicious code sharing channel.

상기 단계(S120)에 대해서 좀 더 상세하게 설명하면 도 5와 같다. 도 5는 본 발명의 일실시예에 따른 위협 헌팅부의 동작 순서도이다. 상기 단계(S120)는 먼저 인텔리전스 분석부(121)가 상기 실시간 위협 관제부(110)로부터 전송 받은 위협 인텔리전스를 분석하여 취약점 정보를 생성하는 단계(S121)를 수행하고, 다음으로 취약점 매핑부(122)가 상기 인텔리전스 분석부(121)가 생성한 취약점 정보를 가지는 자산이 상기 사이버 자산 관리 DB(130)에 저장되어 있는지를 매핑하는 단계(S122)를 수행하고, 마지막으로 대응 방책 생성부(123)가 상기 취약점 매핑부(122)에 의해 매핑 된 자산이 있을 경우 상기 자산에 대한 취약점을 보완할 수 있는 대응 방책 리스트를 생성하여 상기 사이버 자산 관리 DB(130)에 저장하고 상기 사용자단말기(200)로 전송하는 단계(S123)를 수행하는 과정으로 진행된다. 상기 단계(S120)에 대해서 실시예를 통해서 살펴보면 도 6과 같다. 도 6은 본 발명의 일시시예에 따른 위협 헌팅부의 동작 실시예시도이다. 도 6에 도시된 바와 같이 먼저 상기 인텔리전스 분석부(121)는 상기 실시간 위협 관제부(110)로부터 전송 받은 위협 인텔리전스에서 CVE 코드를 추출하여 취약점 정보를 생성한다. (S121) 다음으로 취약점 매핑부(122)가 상기 인텔리전스 분석부(121)가 생성한 CVE 코드를 포함하는 취약점 정보를 전송 받아 상기 사이버 자산 관리 DB(130)에서 해당 CVE 코드를 포함하는 자산이 있는지 매핑하는 과정을 수행한다. 이 때 매핑 된 자산에 해당하는 운영체제, 소프트웨어 및 하드웨어의 명칭 및 버전정보를 포함하는 CPE 코드를 추출하여 대응 방책 생성부(123)로 전송한다. (S122) 마지막으로 상기 대응 방책 생성부(123)가 상기 CPE 코드를 전송 받아 상기 자산에 대한 취약점을 보완할 수 있는 대응 방책 리스트를 생성하여 상기 사이버 자산 관리 DB(130)에 저장하고 상기 사용자단말기(200)로 전송한다. 상기 대응 방책 생성부(123)가 생성하여 상기 사용자단말기(200)로 전송하는 대응 방책 리스트는 도 7과 같을 수 있다. 도 7은 본 발명의 일실시예에 따른 대응 방책 리스트 생성예시도이다. 도 7에 도시된 바와 같이, 상기 매핑 된 자산이 운영체제 또는 소프트웨어일 경우에는 해당 운영체제 또는 소프트웨어를 특정 버전 이상으로 업데이트하라는 방식으로 대응 방책을 생성할 수 있으며, 하드웨어일 경우에는 하드웨어의 부품 또는 하드웨어 자체를 변경하거나, 해당 하드웨어를 동작시키는 소프트웨어를 업데이트하라는 방식으로 대응 방책을 생성할 수 있다. The step S120 will be described in more detail with reference to FIG. 5 is an operational flowchart of a threat hunting unit according to an embodiment of the present invention. In step S120, the intelligence analysis unit 121 analyzes the threat intelligence received from the real-time threat control unit 110 to generate vulnerability information (S121). Next, the intelligence analysis unit 121 performs a vulnerability- (S122) whether the asset having the vulnerability information generated by the intelligence analysis unit 121 is stored in the cyber asset management DB 130. Finally, the countermeasure policy generation unit 123 generates a countermeasure policy, If there is an asset mapped by the vulnerability mapping unit 122, generates a list of countermeasures against the vulnerability of the asset, stores the countermeasure list in the cyber asset management DB 130, and transmits the countermeasure list to the user terminal 200 And the step of transmitting (S123) is performed. The step S120 will be described with reference to FIG. 6 is a diagram illustrating an operation of the threat hunting unit according to an example of the present invention. 6, the intelligence analyzer 121 extracts the CVE code from the threat intelligence received from the real-time threat control unit 110 to generate vulnerability information. (S121) Next, the vulnerability mapping unit 122 receives the vulnerability information including the CVE code generated by the intelligence analysis unit 121 and determines whether there is an asset including the corresponding CVE code in the cyber asset management DB 130 Mapping process. At this time, the CPE code including the operating system, software and hardware name and version information corresponding to the mapped asset is extracted and transmitted to the corresponding countermeasure generation unit 123. (S122). Finally, the countermeasure policy generating unit 123 receives the CPE code, generates a list of countermeasures for compensating for the vulnerability of the asset, stores the countermeasure list in the cyber asset management DB 130, (200). The corresponding countermeasure list generated by the countermeasure generating unit 123 and transmitted to the user terminal 200 may be as shown in FIG. 7 is an exemplary diagram of generating a countermeasure list according to an embodiment of the present invention. As shown in FIG. 7, if the mapped asset is an operating system or software, a corresponding countermeasure can be generated by updating the corresponding operating system or software to a specific version or higher. In the case of hardware, Or to create a countermeasure by updating the software that operates the hardware.

따라서, 본 발명에 따른 사이버 위협 예측 시스템은 위협 인텔리전스를 실시간으로 수집 및 분석하여 관리중인 사이버 자산의 취약점을 보완할 수 있는 대응 방책 리스트를 생성하여 사용자단말기로 전송하여 사용자가 상기 대응 방책 리스트 중 최선의 대응 방책을 선택하여 수행함으로써 관리중인 사이버 자산의 잠재적인 침해 위험을 예방할 수 있는 효과가 있다.Therefore, the cyber threat prediction system according to the present invention collects and analyzes threat intelligence in real time to generate a list of countermeasures against cyber-asset vulnerability that is being managed, and transmits the list to the user terminal, The risk of potential infringement of the cyber assets under management can be prevented.

본 발명은 도면에 도시된 실시 예(들)를 참고로 설명되었으나 이는 예시적인 것에 불과하며, 본 기술 분야의 통상의 지식을 가진 자라면 이로부터 다양한 변형이 이루어질 수 있으며, 상기 설명된 실시 예(들)의 전부 또는 일부가 선택적으로 조합되어 구성될 수도 있다는 점을 이해할 것이다. 따라서, 본 발명의 진정한 기술적 보호 범위는 첨부된 특허청구범위의 기술적 사상에 의해 정해져야 할 것이다.While the present invention has been particularly shown and described with reference to exemplary embodiments thereof, it will be understood by those skilled in the art that various changes and modifications may be made therein without departing from the spirit and scope of the invention as defined by the appended claims. May be constructed by selectively or in combination. Accordingly, the true scope of the present invention should be determined by the technical idea of the appended claims.

100 : 위협 헌팅 장치
110 : 실시간 위협 관제부
120 : 위협 헌팅부
121 : 인텔리전스 분석부
122 : 취약점 매핑부
123 : 대응 방책 생성부
130 : 사이버 자산 관리 DB
200 : 사용자단말기100: Threat Hunting Device
110: Real-time threat control unit
120: Threat Hunting Department
121: Intelligence Analysis Department
122: Vulnerability Mapping Department
123: Corresponding countermeasure generation unit
130: Cyber Asset Management DB
200: User terminal

Claims (8)

사이버 위협 예측 시스템에 있어서,
위협 인텔리전스를 실시간으로 수집 및 분석하여 관리중인 사이버 자산의 취약점을 보완할 수 있는 대응 방책 리스트를 생성하는 위협 헌팅 장치(100); 및
상기 위협 헌팅 장치(100)로부터 상기 대응 방책 리스트를 전송 받아 사용자에게 표시하는 사용자단말기(200);
를 포함하되,
상기 위협 헌팅 장치(100)는,
위협 인텔리전스를 실시간으로 수집하는 실시간 위협 관제부(110);
상기 실시간 위협 관제부(110)로부터 수집된 위협 인텔리전스를 전송 받아 분석을 통해 취약점을 찾아내고 관리중인 사이버 자산의 취약점을 보완할 수 있는 대응 방책 리스트를 선정하여 상기 사용자단말기(200)로 전송하는 위협 헌팅부(120); 및
운영체제(OS), 소프트웨어(SW), 하드웨어(HW)에 대한 운영체제, 소프트웨어 및 하드웨어의 명칭 및 버전에 대한 정보를 포함하는 사이버 자산의 현재 상태 정보가 저장되어 있는 사이버 자산 관리 DB(130);
를 포함하되,
상기 위협 헌팅부(120)는,
상기 실시간 위협 관제부(110)로부터 전송 받은 위협 인텔리전스를 분석하여 CVE(Common Vulnerabilities and Exposures) 코드를 추출하여 취약점 정보를 생성하는 인텔리전스 분석부(121);
상기 인텔리전스 분석부(121)가 생성한 CVE 코드를 포함하는 취약점 정보를 가지는 자산이 상기 사이버 자산 관리 DB(130)에 저장되어 있는지를 매핑하고, 매핑 된 자산이 있을 경우 해당하는 운영체제, 소프트웨어 및 하드웨어의 명칭 및 버전정보를 포함하는 CPE(Common Platform Enumeration) 코드를 추출하여 대응 방책 생성부(123)로 전송하는 취약점 매핑부(122); 및
상기 취약점 매핑부(122)로부터 상기 CPE 코드를 전송 받아 상기 매핑 된 자산이 운영체제 또는 소프트웨어일 경우에는 해당 운영체제 또는 소프트웨어를 특정 버전 이상으로 업데이트 하도록 추천하거나, 하드웨어일 경우에는 하드웨어의 부품 또는 하드웨어 자체를 변경하도록 추천하거나, 해당 하드웨어를 동작시키는 소프트웨어를 업데이트 하도록 추천하는 대응 방책 리스트를 생성하여 상기 사이버 자산 관리 DB(130)에 저장하고 상기 사용자단말기(200)로 전송하는 대응 방책 생성부(123);
를 포함하는 것을 특징으로 하는 사이버 위협 예측 시스템.
In a cyber threat prediction system,
A threat hunting apparatus 100 for collecting and analyzing threat intelligence in real time and generating a list of countermeasures for compensating for weaknesses of cyber assets under management; And
A user terminal 200 receiving the countermeasure list from the threat hunting apparatus 100 and displaying the list to the user;
, ≪ / RTI &
The threat hunting apparatus (100)
A real-time threat control unit 110 for collecting threat intelligence in real time;
A list of countermeasures to detect a vulnerability through analyzing the threat intelligence collected from the real-time threat control unit 110 and to compensate for a vulnerability of the cyber-asset under management is selected and transmitted to the user terminal 200 Hunting section 120; And
A cyber asset management DB 130 in which current state information of a cyber asset including information on operating system, software and hardware name and version of OS, software SW, and hardware HW is stored;
, ≪ / RTI &
The threat hunting unit 120,
An intelligence analysis unit 121 for analyzing the threat intelligence received from the real-time threat control unit 110 and extracting Common Vulnerabilities and Exposures (CVE) codes to generate vulnerability information;
The intelligent analysis unit 121 maps whether the asset having the vulnerability information including the CVE code generated by the intelligence analysis unit 121 is stored in the cyber asset management DB 130. If there is the mapped asset, A vulnerability mapping unit 122 for extracting a Common Platform Enumeration (CPE) code including a name and version information of the CPE (Common Platform Enumeration) code and transmitting it to the countermeasure generation unit 123; And
If the mapped asset is an operating system or software, it is recommended to update the corresponding operating system or software to a specific version or higher. Alternatively, in the case of hardware, the hardware component or the hardware itself A countermeasure generating unit 123 for generating a list of recommended countermeasures to update the software for operating the corresponding hardware, storing the countermeasure list in the cyber asset management DB 130, and transmitting the countermeasure list to the user terminal 200;
The cyber threat prediction system comprising:
삭제delete 제 1항에 있어서,
상기 실시간 위협 관제부(110)는,
사이버 블랙박스, C-share, DNSBL 및 유포지/악성코드 공유채널 중 어느 하나 이상을 통해 실시간으로 위협 인텔리전스를 수집하는 것을 특징으로 하는 사이버 위협 예측 시스템.
The method according to claim 1,
The real-time threat control unit (110)
Cyber threat prediction system collects threat intelligence in real time through at least one of a cyber black box, a C-share, a DNSBL, and a spreadsheet / malicious code sharing channel.
삭제delete 사이버 위협 예측 시스템을 통한 대응 방책 리스트 확인 방법에 있어서,
위협 헌팅 장치(100)가 위협 인텔리전스를 실시간으로 수집 및 분석하여 관리중인 사이버 자산의 취약점을 보완할 수 있는 대응 방책 리스트를 생성하는 A 단계; 및
사용자단말기(200)가 상기 위협 헌팅 장치(100)로부터 상기 대응 방책 리스트를 전송 받아 사용자에게 표시하는 B 단계;
를 포함하되,
상기 B 단계는,
실시간 위협 관제부(110)가 위협 인텔리전스를 실시간으로 수집하는 단계; 및
위협 헌팅부(120)가 상기 실시간 위협 관제부(110)로부터 수집된 위협 인텔리전스를 전송 받아 분석을 통해 취약점을 찾아내고 관리중인 사이버 자산의 취약점을 보완할 수 있는 대응 방책 리스트를 선정하여 상기 사용자단말기(200)로 전송하는 단계;
를 포함하되,
상기 위협 헌팅부(120)가 대응 방책 리스트를 선정하여 상기 사용자단말기(200)로 전송하는 단계는,
인텔리전스 분석부(121)가 상기 실시간 위협 관제부(110)로부터 전송 받은 위협 인텔리전스를 분석하여 CVE 코드를 추출하여 취약점 정보를 생성하는 단계;
취약점 매핑부(122)가 상기 인텔리전스 분석부(121)가 생성한 CVE 코드를 포함하는 취약점 정보를 가지는 자산이 사이버 자산 관리 DB(130)에 저장되어 있는지를 매핑하고, 매핑 된 자산이 있을 경우 해당하는 운영체제, 소프트웨어 및 하드웨어의 명칭 및 버전정보를 포함하는 CPE 코드를 추출하여 대응 방책 생성부(123)로 전송하는 단계; 및
대응 방책 생성부(123)가 상기 취약점 매핑부(122)로부터 상기 CPE 코드를 전송 받아 상기 매핑 된 자산이 운영체제 또는 소프트웨어일 경우에는 해당 운영체제 또는 소프트웨어를 특정 버전 이상으로 업데이트 하도록 추천하거나, 하드웨어일 경우에는 하드웨어의 부품 또는 하드웨어 자체를 변경하도록 추천하거나, 해당 하드웨어를 동작시키는 소프트웨어를 업데이트 하도록 추천하는 대응 방책 리스트를 생성하여 상기 사이버 자산 관리 DB(130)에 저장하고 상기 사용자단말기(200)로 전송하는 단계;
를 포함하는 것을 특징으로 하는 사이버 위협 예측 시스템을 통한 대응 방책 리스트 확인 방법.
A method for checking a list of countermeasures through a cyber threat prediction system,
A step A for collecting and analyzing threat intelligence in real time by the threat hunting apparatus 100 and generating a list of countermeasures for compensating the weak points of cyber assets being managed; And
A step B in which the user terminal 200 receives the countermeasure list from the threat hunting apparatus 100 and displays it to the user;
, ≪ / RTI &
In the step B,
Real-time threat management unit 110 collecting threat intelligence in real time; And
The threat hunting unit 120 receives the threat intelligence collected from the real-time threat control unit 110, finds a vulnerability through analysis, selects a list of countermeasures against the vulnerability of the cyber asset being managed, (200);
, ≪ / RTI &
The threat hunting unit 120 selects a corresponding policy list and transmits it to the user terminal 200,
Analyzing the threat intelligence received from the real-time threat control unit (110) by the intelligence analysis unit (121) and extracting a CVE code to generate vulnerability information;
The vulnerability mapping unit 122 maps whether the asset having the vulnerability information including the CVE code generated by the intelligence analysis unit 121 is stored in the cyber asset management DB 130. If there is a mapped asset, Extracting a CPE code including name and version information of an operating system, software and hardware, and transmitting the CPE code to the countermeasure generation unit 123; And
If the countermeasure generation unit 123 receives the CPE code from the vulnerability mapping unit 122 and the mapped asset is an operating system or software, it is recommended to update the corresponding operating system or software to a specific version or higher, A list of countermeasures recommended to update the software for operating the hardware is stored in the cyber asset management DB 130 and transmitted to the user terminal 200 step;
Wherein the cyber threat prediction system comprises:
삭제delete 제 5항에 있어서,
상기 실시간 위협 관제부(110)는,
사이버 블랙박스, C-share, DNSBL 및 유포지/악성코드 공유채널 중 어느 하나 이상을 통해 실시간으로 위협 인텔리전스를 수집하는 것을 특징으로 하는 사이버 위협 예측 시스템을 통한 대응 방책 리스트 확인 방법.6. The method of claim 5,
The real-time threat control unit (110)
Wherein the cyber threat prediction system collects threat intelligence in real time through at least one of a cyber black box, a C-share, a DNSBL, and a spreadsheet / malicious code sharing channel. 삭제delete
KR1020180061182A 2018-05-29 2018-05-29 System and method for forecasting cyber threat KR101941039B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020180061182A KR101941039B1 (en) 2018-05-29 2018-05-29 System and method for forecasting cyber threat

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020180061182A KR101941039B1 (en) 2018-05-29 2018-05-29 System and method for forecasting cyber threat

Publications (1)

Publication Number Publication Date
KR101941039B1 true KR101941039B1 (en) 2019-01-23

Family

ID=65280039

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020180061182A KR101941039B1 (en) 2018-05-29 2018-05-29 System and method for forecasting cyber threat

Country Status (1)

Country Link
KR (1) KR101941039B1 (en)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102079687B1 (en) * 2019-07-12 2020-02-20 한화시스템(주) System and method for cyber prediction based on attack graph
KR20210089327A (en) 2020-01-08 2021-07-16 엘아이지넥스원 주식회사 Apparatus and method for selecting countermeasures against attack
KR102468156B1 (en) 2022-06-29 2022-11-17 국방과학연구소 Apparatus, method, computer-readable storage medium and computer program for calculating priority of targets in response to cyber threats
KR20240002500A (en) 2022-06-29 2024-01-05 국방과학연구소 Apparatus, method, computer-readable storage medium and computer program for priority analysis for cyber offensive countemeasures

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009110177A (en) * 2007-10-29 2009-05-21 Ntt Data Corp Unit and method for supporting information security measure decision, and computer program
JP2010067216A (en) * 2008-09-12 2010-03-25 Toshiba Corp Vulnerability determination device and program
JP5304243B2 (en) * 2006-07-06 2013-10-02 日本電気株式会社 Security risk management system, apparatus, method, and program
JP5781616B2 (en) * 2011-09-08 2015-09-24 株式会社日立製作所 Vulnerability countermeasure device and vulnerability countermeasure method
KR20150138988A (en) 2014-05-30 2015-12-11 한국통신인터넷기술 주식회사 Cyber attack response and analysis system and method thereof
KR101710086B1 (en) 2015-10-16 2017-02-24 국방과학연구소 Method and Apparatus for executing proof collection and investigation analysis for incident response
JP2017204058A (en) * 2016-05-10 2017-11-16 株式会社 ハンモック Vulnerability countermeasure management system

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5304243B2 (en) * 2006-07-06 2013-10-02 日本電気株式会社 Security risk management system, apparatus, method, and program
JP2009110177A (en) * 2007-10-29 2009-05-21 Ntt Data Corp Unit and method for supporting information security measure decision, and computer program
JP2010067216A (en) * 2008-09-12 2010-03-25 Toshiba Corp Vulnerability determination device and program
JP5781616B2 (en) * 2011-09-08 2015-09-24 株式会社日立製作所 Vulnerability countermeasure device and vulnerability countermeasure method
KR20150138988A (en) 2014-05-30 2015-12-11 한국통신인터넷기술 주식회사 Cyber attack response and analysis system and method thereof
KR101710086B1 (en) 2015-10-16 2017-02-24 국방과학연구소 Method and Apparatus for executing proof collection and investigation analysis for incident response
JP2017204058A (en) * 2016-05-10 2017-11-16 株式会社 ハンモック Vulnerability countermeasure management system

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102079687B1 (en) * 2019-07-12 2020-02-20 한화시스템(주) System and method for cyber prediction based on attack graph
KR20210089327A (en) 2020-01-08 2021-07-16 엘아이지넥스원 주식회사 Apparatus and method for selecting countermeasures against attack
KR102468156B1 (en) 2022-06-29 2022-11-17 국방과학연구소 Apparatus, method, computer-readable storage medium and computer program for calculating priority of targets in response to cyber threats
KR20240002500A (en) 2022-06-29 2024-01-05 국방과학연구소 Apparatus, method, computer-readable storage medium and computer program for priority analysis for cyber offensive countemeasures

Similar Documents

Publication Publication Date Title
US11277432B2 (en) Generating attack graphs in agile security platforms
KR101941039B1 (en) System and method for forecasting cyber threat
US11252175B2 (en) Criticality analysis of attack graphs
EP3664409B1 (en) Leveraging attack graphs of agile security platform
US11907407B2 (en) Generating attack graphs in agile security platforms
US10862926B2 (en) Cybersecurity threat detection and mitigation system
Lamba et al. Mitigating zero-day attacks in IoT using a strategic framework
US11695795B2 (en) Evaluating effectiveness of security controls in enterprise networks using graph values
CN103890770A (en) System and method for whitelisting applications in a mobile network environment
US20190166149A1 (en) Vulnerability contextualization
US20130097659A1 (en) System and method for whitelisting applications in a mobile network environment
CN103890771A (en) User-defined countermeasures
CN103891331A (en) Mobile risk assessment
Sharma et al. A framework for mitigating zero-day attacks in IoT
Ziegler et al. Privacy and security threats on the Internet of Things
Pell et al. Towards dynamic threat modelling in 5G core networks based on MITRE ATT&CK
Lakhno et al. Development of a support system for managing the cyber security of information and communication environment of transport
Mouratidis et al. Modelling language for cyber security incident handling for critical infrastructures
Lopez et al. Overview of critical information infrastructure protection
US11811815B2 (en) IP-based security control method and system thereof
US8091130B1 (en) Geographical intrusion response prioritization mapping system
CN114448718A (en) Network security guarantee method for parallel detection and repair
CN114697052B (en) Network protection method and device
Palma et al. Enhancing trust and liability assisted mechanisms for ZSM 5G architectures
Bellini et al. Cyber-resilience

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant