KR101764674B1 - 침해 자원에 대한 그래프 데이터베이스 생성 방법 및 그 장치 - Google Patents

침해 자원에 대한 그래프 데이터베이스 생성 방법 및 그 장치 Download PDF

Info

Publication number
KR101764674B1
KR101764674B1 KR1020170002459A KR20170002459A KR101764674B1 KR 101764674 B1 KR101764674 B1 KR 101764674B1 KR 1020170002459 A KR1020170002459 A KR 1020170002459A KR 20170002459 A KR20170002459 A KR 20170002459A KR 101764674 B1 KR101764674 B1 KR 101764674B1
Authority
KR
South Korea
Prior art keywords
resource
infringing
node
attribute
string
Prior art date
Application number
KR1020170002459A
Other languages
English (en)
Inventor
이슬기
조혜선
김낙현
김병익
이태진
Original Assignee
한국인터넷진흥원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국인터넷진흥원 filed Critical 한국인터넷진흥원
Priority to KR1020170002459A priority Critical patent/KR101764674B1/ko
Priority to US15/420,666 priority patent/US20180196861A1/en
Application granted granted Critical
Publication of KR101764674B1 publication Critical patent/KR101764674B1/ko

Links

Images

Classifications

    • G06F17/30958
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/25Integrating or interfacing systems involving database management systems
    • G06F16/258Data format conversion from or to a database
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/901Indexing; Data structures therefor; Storage structures
    • G06F16/9024Graphs; Linked lists
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures

Abstract

침해 자원에 대한 그래프 생성 장치에 의한 침해 자원에 대한 그래프 데이터베이스 생성 방법이 제공된다. 일 실시예에 따르면, 상기 방법은, 침해 자원 데이터 셋을 수신하는 단계와 상기 침해 자원 데이터 셋 중, 유효 침해 자원 정보를 추출하는 단계와 상기 유효 침해 자원 정보에 포함된 침해 자원에 대하여 자원 아이디를 설정하는 단계와 상기 침해 자원의 복수의 구성 요소에 대하여 각각 속성 아이디를 설정하는 단계와 상기 자원 아이디가 설정된 침해 자원과 상기 속성 아이디가 각각 설정된 복수의 구성 요소 사이의 관계를 설정하는 단계와 상기 자원 아이디를 기초로, 상기 침해 자원에 대한 자원 노드를 생성하는 단계와 상기 속성 아이디를 기초로, 상기 복수의 구성 요소에 대하여 각각의 속성 노드를 생성하는 단계와 상기 자원 노드와 상기 속성 노드가 상기 설정된 관계를 지시하는 엣지로 연결된 그래프 데이터베이스를 생성하는 단계를 포함할 수 있다.

Description

침해 자원에 대한 그래프 데이터베이스 생성 방법 및 그 장치{METHOD FOR GENERATING GRAPH DATABASE OF INCIDENT RESOURCES AND APPARATUS THEREOF}
본 발명은 침해 자원에 대한 그래프 데이터베이스 생성 방법 및 그 장치에 관한 것이다. 보다 자세하게는, 침해 자원의 구성요소를 분할 관리하고 침해 자원의 구성요소에 대한 그래프 데이터베이스를 생성하는 방법 및 그 장치에 관한 것이다.
급증하고 있는 침해 사고에 대응하기 위하여 국내외 공공 기관 및 민간 기업 사이에서 침해 사고와 관련된 정보가 공유되고 있다. 나아가, 공유된 침해 사고에 대한 정보를 인텔리전스(intelligence) 정보로 정제하여 관리함으로써, 침해 자원에 의한 공격을 사전에 방어하기 위한 다양한 방법이 시도되고 있다.
인텔리전스 정보를 정제하여 관리하는 방법의 일 예로, 침해 자원의 구성 요소를 분할하여 침해 자원과 구성 요소 사이의 관계 및 구성 요소와 구성 요소 사이의 관계를 관계형 데이터베이스(Relational database, RDB)로 구축하고, 이를 통해 인텔리전스 정보를 도출하는 방법이 이용되고 있다.
그러나, 침해 자원에 대한 인텔리전스 정보를 관계형 데이터베이스로 관리하는 경우, 복수의 침해 자원 사이의 연관 관계를 판단할 때, 각 구성 요소를 모두 조회하여 비교하는 과정이 필요하므로, 연산 과정이 매우 복잡해지는 문제가 발생한다. 또한, 관계형 데이터베이스의 특성상, 관리가 입장에서 침해 자원 및 구성 요소 사이의 관계, 구성 요소와 구성 요소 사이의 관계를 직관적으로 확인하기 곤란한 문제가 발생한다.
그럼에도, 침해 자원 사이 및 침해 자원의 각 구성 요소를 노드로 하는 그래프 데이터베이스(Graph Database)를 구축하여 연관 관계를 분석함으로써 연산 과정을 최소화하고, 침해 자원과 구성 요소 사이의 관계를 그래프 관계로 시각적으로 표현할 수 있는 방법은 제공되지 않고 있다.
한국공개특허 제2016-0089800호
본 발명이 해결하고자 하는 기술적 과제는, 침해 자원과 다른 침해 자원 사이의 관계, 침해 자원과 구성 요소 사이의 관계, 구성 요소와 구성 요소 사이의 관계에 대한 정보를 관리하기 위한 그래프 데이터베이스를 생성하는 것이다.
구체적으로, 본 발명이 해결하고자 하는 기술적 과제는, 침해 자원을 구성 요소 단위로 분할하여 식별하고, 식별된 구성 요소를 개별적인 노드로 관리하는 방법을 제공하는 것이다. 또한, 복수의 노드를 각 노드 사이의 관계를 의미하는 엣지로 연결하여, 복수의 노드 사이의 관계를 시각적으로 표현하는 방법을 제공하는 것이다.
본 발명이 해결하고자 하는 다른 기술적 과제는 침해 자원의 자원 노드에 패턴 타입을 지정함으로써, 노드 사이의 관계를 분석할 때, 노드 값의 비교뿐만 아니라, 노드 별로 지정된 패턴 타입에 대한 비교를 수행할 수 있는 방법을 제공하는 것이다. 또한, 본 발명이 해결하고자 하는 다른 기술적 과제는 침해 자원에 대하여 지정된 패턴 타입 및 지정된 패턴 타입 사이의 비교 결과를 인텔리전스 정보로 활용할 수 있는 그래프 데이터베이스를 제공하는 것이다.
본 발명의 기술적 과제들은 이상에서 언급한 기술적 과제들로 제한되지 않으며, 언급되지 않은 또 다른 기술적 과제들은 아래의 기재로부터 통상의 기술자에게 명확하게 이해될 수 있을 것이다.
상기 기술적 과제를 해결하기 위한 본 발명의 일 실시예에 따른 침해 자원에 대한 그래프 데이터베이스 생성 방법은, 침해 자원 데이터 셋을 수신하는 단계와 상기 침해 자원 데이터 셋 중, 유효 침해 자원 정보를 추출하는 단계와 상기 유효 침해 자원 정보에 포함된 침해 자원에 대하여 자원 아이디를 설정하는 단계와 상기 침해 자원의 복수의 구성 요소에 대하여 각각 속성 아이디를 설정하는 단계와 상기 자원 아이디가 설정된 침해 자원과 상기 속성 아이디가 각각 설정된 복수의 구성 요소 사이의 관계를 설정하는 단계와 상기 자원 아이디를 기초로, 상기 침해 자원에 대한 자원 노드를 생성하는 단계와 상기 속성 아이디를 기초로, 상기 복수의 구성 요소에 대하여 각각의 속성 노드를 생성하는 단계와 상기 자원 노드와 상기 속성 노드가 상기 설정된 관계를 지시하는 엣지로 연결된 그래프 데이터베이스를 생성하는 단계를 포함할 수 있다.
일 실시예에 따르면, 상기 침해 자원의 복수의 구성 요소에 대하여 각각 속성 아이디를 설정하는 단계는, 상기 침해 자원의 메타데이터를 추출하는 단계와 상기 추출된 메타데이터의 스트링을 제1 스트링 및 제2 스트링으로 분할하는 단계외 상기 제1 스트링 및 상기 제2 스트링을 상기 침해 자원의 구성 요소로 결정하는 단계와 상기 제1 스트링 및 상기 제2 스트링에 각각 속성 아이디를 설정하는 단계를 포함할 수 있다.
일 실시예에서 따르면, 상기 침해 자원에 대하여 자원 아이디를 설정하는 단계는, 상기 침해 자원의 값을 기초로, 상기 유효 침해 자원 정보 상에 상기 침해 자원과 중복된 침해 자원이 존재하는지 판단하는 단계와 상기 판단 결과, 상기 침해 자원과 중복된 침해 자원이 존재하지 않는 경우, 상기 침해 자원에 상기 자원 아이디를 설정하는 단계를 포함할 수 있다.
일 실시예에 따르면, 상기 속성 아이디를 기초로, 상기 복수의 구성 요소에 대하여 각각의 속성 노드를 생성하는 단계는, 상기 생성된 속성 노드에 포함된 제1 속성 노드와 제2 속성 노드의 값을 비교하는 단계와 상기 판단 결과, 상기 제1 속성 노드의 값과 상기 제2 속성 노드의 값이 동일한 경우, 상기 제1 속성 노드에 제1 패턴 타입을 지정하고 상기 제2 속성 노드에 제2 패턴 타입을 지정하는 단계와 상기 제1 패턴 타입 및 상기 제2 패턴 타입이 서로 다른 경우, 상기 제1 속성 노드 및 상기 제2 속성 노드를 생성하는 단계를 포함할 수 있다.
일 실시예에 따르면, 상기 유효 침해 자원 정보에 포함된 침해 자원에 대하여 자원 아이디를 설정하는 단계는, 상기 침해 자원의 메타데이터를 추출하는 단계와 상기 추출된 메타데이터의 스트링에 대하여 미리 설정된 의미 기반의 타입이 식별되는지 판단하는 단계와 상기 판단 결과, 상기 미리 등록된 의미 기반 타입이 식별되지 않는 경우, 상기 메타데이터의 스트링에 대한 패턴 분석을 수행하는 단계와 상기 패턴 분석의 수행 결과를 기초로, 상기 메타데이터의 스트링에 대한 패턴 타입을 생성하는 단계를 포함하고, 상기 자원 아이디를 기초로, 상기 침해 자원에 대한 자원 노드를 생성하는 단계는, 상기 생성된 자원 노드의 값에 상기 생성된 패턴 타입에 대한 정보를 추가시키는 단계를 포함할 수 있다.
상기 기술적 과제를 해결하기 위한 본 발명의 다른 실시예에 따른 컴퓨터 프로그램은, 컴퓨팅 장치와 결합하여, 침해 자원 데이터 셋을 수신하는 단계와 상기 침해 자원 데이터 셋 중, 유효 침해 자원 정보를 추출하는 단계와 상기 유효 침해 자원 정보에 포함된 침해 자원에 대하여 자원 아이디를 설정하는 단계와 상기 침해 자원의 구성 요소에 대하여 속성 아이디를 설정하는 단계와 상기 자원 아이디가 설정된 침해 자원 및 상기 속성 아이디가 설정된 구성 요소에 대한 관계를 설정하는 단계와 상기 자원 아이디를 기초로, 상기 침해 자원에 대한 자원 노드를 생성하는 단계와 상기 속성 아이디를 기초로, 상기 구성 요소에 대한 속성 노드를 생성하는 단계와 상기 자원 노드와 상기 속성 노드가 상기 설정된 관계를 지시하는 엣지로 연결된 그래프 데이터베이스를 생성하는 단계를 실행시키기 위하여, 기록매체에 저장될 수 있다.
상기 기술적 과제를 해결하기 위한 본 발명의 또 다른 실시예에 따른 침해 자원에 대한 그래프 데이터베이스 생성 장치는, 하나 이상의 프로세서와 상기 프로세서에 의하여 수행되는 컴퓨터 프로그램을 로드(load)하는 메모리와 수집 시스템으로부터 침해 자원 데이터 셋을 수신하는 네트워크 인터페이스와 상기 컴퓨터 프로그램과 상기 침해 자원 데이터 셋을 저장하는 스토리지를 포함하되, 상기 컴퓨터 프로그램은, 침해 자원 데이터 셋을 수신하는 오퍼레이션과 상기 침해 자원 데이터 셋 중, 유효 침해 자원 정보를 추출하는 오퍼레이션과 상기 유효 침해 자원 정보에 포함된 침해 자원에 대하여 자원 아이디를 설정하는 오퍼레이션과 상기 침해 자원의 복수의 구성 요소에 대하여 각각 속성 아이디를 설정하는 오퍼레이션과 상기 자원 아이디가 설정된 침해 자원과 상기 속성 아이디가 각각 설정된 복수의 구성 요소 사이의 관계를 설정하는 오퍼레이션과 상기 자원 아이디를 기초로, 상기 침해 자원에 대한 자원 노드를 생성하는 오퍼레이션과 상기 속성 아이디를 기초로, 상기 복수의 구성 요소에 대하여 각각의 속성 노드를 생성하는 오퍼레이션과 상기 자원 노드와 상기 속성 노드가 상기 설정된 관계를 지시하는 엣지로 연결된 그래프 데이터베이스를 생성하는 오퍼레이션을 포함할 수 있다.
상술한 본 발명의 일 실시예에 따르면, 침해 자원을 그래프 데이터베이스로 관리함으로써 침해 자원 및 구성 요소 사이의 관계를 직관적으로 분석할 수 있는 장점이 있다. 구체적으로, 본 발명의 일 실시예에 따른 그래프 데이터 베이스를 통해 침해 자원 사이에 거리 기반의 연관 관계 분석이 가능해지는 효과가 있다.
또한, 본 발명의 일 실시예에 따르면, 그래프 데이터베이스를 이용함으로써, 침해 자원 간의 연관 관계를 분석할 때, 침해 자원의 구성 요소간 비교를 위한 연산 과정을 최소화할 수 있는 효과가 있다. 또한, 본 발명의 일 실시예에 따른 그래프 데이터베이스 상에 각 구성 요소가 노드로 표현되므로, 각 노드 간의 연결 관계를 이용하여 침해 자원 사이의 연관 관계 분석에 소요되는 시간을 최소화할 수 있다.
본 발명의 효과들은 이상에서 언급한 효과들로 제한되지 않으며, 언급되지 않은 또 다른 효과들은 아래의 기재로부터 통상의 기술자에게 명확하게 이해 될 수 있을 것이다.
도 1은 본 발명의 일 실시예에 따른 침해 자원에 대한 그래프 데이터베이스 생성 시스템의 구성도이다.
도 2는 본 발명의 다른 실시예에 따른 침해 자원에 대한 그래프 데이터베이스 생성 장치의 하드웨어 구성도이다.
도 3은 본 발명의 또 다른 실시예에 따른 침해 자원에 대한 그래프 데이터베이스 생성 방법의 순서도이다.
도 4는 본 발명의 몇몇 실시예에서 참조되는, 그래프 데이터베이스의 노드를 설명하기 위한 예시도이다.
도 5는 본 발명의 몇몇 실시예에서 참조되는, 침해 자원이 URL인 경우, 침해 자원의 분할 관리 방법을 설명하기 위한 예시도이다.
도 6은 본 발명의 몇몇 실시예에서 참조되는, 침해 자원이 URL인 경우, 생성되는 그래프의 예시도이다.
도 7은 본 발명의 몇몇 실시예에서 참조되는, 침해 자원이 E-mail인 경우, 침해 자원의 분할 관리 방법을 설명하기 위한 예시도이다.
도 8은 본 발명의 몇몇 실시예에서 참조되는, 침해 자원이 E-mail인 경우, 생성되는 그래프의 예시도이다.
도 9는 본 발명의 몇몇 실시예에서 참조되는, 침해 자원에 추가적인 패턴 타입을 지정하는 방법의 예시도이다.
도 10은 본 발명의 몇몇 실시예에서 참조되는, 침해 자원의 분할 결과에 따른 자원 노드와 속성 노드의 관계를 설명하기 위한 예시도이다.
도 11은 본 발명의 몇몇 실시예에서 참조되는, 그래프 데이터베이스의 예시이다.
이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시예를 상세히 설명한다. 본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시 예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 게시되는 실시예에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시 예들은 본 발명의 게시가 완전하도록 하고, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다. 명세서 전체에 걸쳐 동일 참조 부호는 동일 구성 요소를 지칭한다.
다른 정의가 없다면, 본 명세서에서 사용되는 모든 용어(기술 및 과학적 용어를 포함)는 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에게 공통적으로 이해될 수 있는 의미로 사용될 수 있을 것이다. 또 일반적으로 사용되는 사전에 정의되어 있는 용어들은 명백하게 특별히 정의되어 있지 않는 한 이상적으로 또는 과도하게 해석되지 않는다. 본 명세서에서 사용된 용어는 실시예들을 설명하기 위한 것이며 본 발명을 제한하고자 하는 것은 아니다. 본 명세서에서, 단수형은 문구에서 특별히 언급하지 않는 한 복수형도 포함한다.
명세서에서 사용되는 "포함한다 (comprises)" 및/또는 "포함하는 (comprising)"은 언급된 구성 요소, 단계, 동작 및/또는 소자는 하나 이상의 다른 구성 요소, 단계, 동작 및/또는 소자의 존재 또는 추가를 배제하지 않는다.
본 명세서에서, 침해 사고는 정보처리 시스템을 구성하는 자산을 대상으로 악의적 행위(Malicious Act)가 수행된 사례를 의미한다. 또한, 침해 자원은 악성 행위자, 악성 행위 수행을 위한 인프라 및 악성 도구와 같은 침해 사고와 연관된 모든 정보로서, 예를 들어, 아이피(IP), 도메인(Domain), 이메일(E-mail) 및 악성코드 등을 포함할 수 있다.
이하, 본 발명에 대하여 첨부된 도면에 따라 보다 상세히 설명한다.
도 1은 본 발명의 일 실시예에 따른 침해 자원에 대한 그래프 데이터베이스 생성 시스템의 구성도이다.
도 1을 참조하면 침해 자원에 대한 그래프 데이터베이스 생성 시스템은 하나 이상의 수집 시스템(50) 및 분석 시스템(100)을 포함할 수 있다. 침해 자원에 대한 그래프 데이터베이스 생성 시스템은, 예를 들어, AEGIS(Accumulated and intEGrated Intelligence System)일 수 있다. 수집 시스템(50) 및 분석 시스템(100)은 네트워크로 연결되고 상호간에 통신할 수 있는 컴퓨팅 장치를 적어도 하나 포함하는 시스템일 수 있다.
수집 시스템(50)은 침해 사고를 발생시킨 침해 자원(침해 자원1, 침해 자원2,..., 침해 자원n)에 대한 각종 정보를 다양한 수집 채널(수집 채널1, 수집 채널2,..., 수집 채널n)(10)로부터 수집할 수 있다. 수집 채널은 예를 들어, virusshare.com과 같은 웹 사이트, 사이버 블랙박스 등과 같은 침해 자원에 관련된 정보 공유 채널일 수 있다.
수집 시스템(50)은 침해 사고에 관련된 침해 자원에 대한 정보를 수집하여 수집 채널(10)로부터 정기적 또는 비정기적으로 수신할 수 있다. 예를 들어, 침해 자원이 악성 코드인 경우, 수집 시스템(50)은 악성 코드에 대한 해시(Hash) 값을 수신할 수 있으며, 침해 자원이 특정 웹 사이트의 url인 경우, url 및 도메인에 대한 정보를 수신할 수도 있다. 수집 시스템(50)이 수집 채널(10)로부터 수신하는 침해 자원에 대한 정보는 침해 자원 데이터 셋(set)일 수 있다. 이와 같은 침해 자원 데이터 셋은 침해 사고에 대한 정보를 수집한 수집 채널 별로 그 양식이 다를 수 있다. 예를 들어, 침해 자원이 악성 코드인 경우, 침해 자원 데이터 셋은, 다수의 악성 코드에 대한 해쉬 값 및 수집 채널 정보로 구성된 테이블 형태의 정보일 수 있다.
뿐만 아니라, 수집 시스템(50)은 능동적으로 특정 침해 사고를 발생시킨 침해 자원에 대한 정보를 수집 채널(10)에 요청하고 이를 수신할 수도 있다. 즉, 침해 자원에 대한 그래프 데이터베이스 생성 시스템의 관리자 및/또는 사용자로부터 입력된 입력에 따라, 능동적으로 침해 자원을 수집할 수도 있다. 상기 예에서, 침해 자원이 악성 코드인 경우, 수집 시스템(50)은 해시 값이 수신될 때, 침해 자원에 대한 그래프 데이터베이스 생성 시스템의 관리자 및/또는 사용자로부터 입력된 해쉬 값에 따라, 상기 해쉬 값의 구성 요소인 스트링에 대한 정보 및 상기 해쉬 값을 부여한 채널에 대한 정보를 능동적으로 수집할 수도 있다.
분석 시스템(100)은 수집 시스템(50)으로부터 수집된 침해 자원을 분할 관리할 수 있다. 특히, 수집 시스템(50)으로부터 수집된 침해 자원 데이터 셋은 침해 자원을 수집한 수집 채널 별로 그 양식이 다를 수 있으므로, 분석 시스템(100)은, 침해 자원 데이터 셋에 정규 표현식(Regular expression)을 적용하여, 침해 자원에 대한 정보를 통일된 데이터 양식으로 저장할 수 있다.
분석 시스템(100)은 분할 관리 되는 침해 자원을 그래프 데이터베이스로 생성하고, 생성된 그래프 데이터베이스를 저장할 수 있다. 이와 같이 그래프 데이터 베이스가 생성됨에 따라, 분석 시스템(100)의 사용자는 시각적으로 제공되는 그래프 데이터베이스 상의 각 노드 사이의 관계를 분석함으로써, 복수의 침해 자원 사이의 연관 관계를 직관적으로 판단할 수 있게 된다.
본 발명의 일 실시예에 따르면, 분석 시스템(100)은 침해 자원 데이터 셋을 정규 표현화하고, 침해 자원 및 침해 자원의 구성 요소를 노드로 구성하여 침해 자원에 대한 그래프 데이터베이스를 생성할 수 있다. 이 같은 실시예에 한하여, 본 발명의 실시예에 따른 분석 시스템(100)은, 침해 자원에 대한 그래프 데이터베이스 생성 장치로 칭할 수도 있다.
침해 자원에 대한 그래프 데이터베이스 생성 시스템은, 수집 시스템(50) 및 분석 시스템(100) 외에 별도의 컴퓨팅 장치를 더 포함할 수도 있다. 예를 들어, 침해 자원에 대한 그래프 데이터베이스 생성 시스템은 스마트 폰(smart phone), 노트북 컴퓨터(laptop computer), PDA(personal digital assistants), PMP(portable multimedia player), 네비게이션, 슬레이트 PC(slate PC), 태블릿 PC(tablet PC), 데스크탑 컴퓨터 등과 같은 컴퓨팅 장치 중 어느 하나를 더 포함할 수 있다. 이와 같은 별도의 컴퓨팅 장치는, 침해 자원에 대한 그래프 데이터베이스 생성 시스템의 관리자 또는 별도의 컴퓨팅 장치의 사용자에게 분석 시스템(100)에서 생성한 그래프 데이터베이스를 그래픽 유저 인터페이스(Graphic user interface, GUI)를 통해 디스플레이할 수 있다. 이 경우, 별도의 컴퓨팅 장치는 분석 시스템(100)을 통해 그래픽 유저 인터페이스를 제공 받을 수도 있다.
도 1에서, 수집 시스템(50)과 분석 시스템(100)은 별도의 구성으로 설명되었으나, 상기 침해 자원에 대한 그래프 데이터베이스 생성 시스템의 구성 요소는 통합된 형태로 구성될 수도 있다.
도 2는 본 발명의 다른 실시예에 따른 침해 자원에 대한 그래프 데이터베이스 생성 장치의 하드웨어 구성도이다. 이하, 분석 시스템(100)이 침해 자원에 대한 그래프 데이터베이스 생성 장치(100)인 것으로 가정한다.
도 2를 참조하면, 침해 자원에 대한 그래프 데이터베이스 생성 장치(100)는 하나 이상의 프로세서(101), 네트워크 인터페이스(102), 프로세서(101)에 의하여 수행되는 컴퓨터 프로그램(105)을 로드(load)하는 메모리(103)와, 상기 컴퓨터 프로그램(105)를 저장하는 스토리지(104)를 포함할 수 있다.
프로세서(101)는 침해 자원에 대한 그래프 데이터베이스 생성 장치(100)의 각 구성의 전반적인 동작을 제어한다. 프로세서(101)는 CPU(Central Processing Unit), MPU(Micro Processor Unit), MCU(Micro Controller Unit), 또는 본 발명의 기술 분야에 잘 알려진 임의의 형태의 프로세서를 포함하여 구성될 수 있다. 또한, 프로세서(101)는 본 발명의 실시예들에 따른 방법을 실행하기 위한 적어도 하나의 애플리케이션 또는 프로그램에 대한 연산을 수행할 수 있다. 침해 자원에 대한 그래프 데이터베이스 생성 장치(100)는 하나 이상의 프로세서를 구비할 수 있다.
네트워크 인터페이스(102)는 침해 자원에 대한 그래프 데이터베이스 생성 장치(100)의 유무선 인터넷 통신 또는 인트라넷 통신을 지원한다. 또한, 네트워크 인터페이스(102)는 인터넷 통신 및 인트라넷 통신 외의 다양한 통신 방식을 지원할 수도 있다. 이를 위해, 네트워크 인터페이스(102)는 본 발명의 기술 분야에 잘 알려진 통신 모듈을 적어도 하나 포함하여 구성될 수 있다.
네트워크 인터페이스(102)는 네트워크를 통해 수집 시스템(50) 및/또는 모니터링 대상 시스템과 연결될 수 있으며, 별도의 컴퓨팅 장치와도 연결될 수 있다. 네트워크 인터페이스(102)는 수집된 침해 자원에 대한 정보, 침해 자원 데이터 셋 및 모니터링 결과를 수신할 수 있으며, 침해 자원 사이의 연관 관계에 대한 정보, 연관 관계의 시각화 결과 및 본 발명의 실시예에 따른 각종 그래픽 유저 인터페이스를 송신할 수도 있다.
메모리(103)는 각종 데이터, 명령 및/또는 정보를 저장한다. 메모리(103)는 본 발명의 실시예들에 따른 침해 자원에 대한 그래프 데이터베이스 생성 방법을 실행하기 위하여 스토리지(104)로부터 하나 이상의 프로그램(105)을 로드할 수 있다. 메모리(103)는 예를 들어 RAM일 수 있으며, SRAM, DRAM, PSRAM, SDPARM 및 DDR SDRAM 등 본 발명이 속한 기술 분야에서 널리 이용되는 다양한 종류의 RAM을 적어도 하나 포함하여 구성될 수 있다. 메모리(103)는 스토리지(104)에 저장된 컴퓨터 프로그램이 프로세서(101)에 의해 실행되도록 로드한다.
도 2에서 컴퓨터 프로그램(105)의 예로써, 그래프 데이터베이스 생성 소프트웨어가(105)가 예시되었다. 그래프 데이터베이스 생성 소프트웨어(105)가 프로세서(101)에 의해 실행됨에 따라, 침해 자원에 대한 그래프 데이터베이스 생성 장치(100)의 기능 및/또는 동작 수행을 위한 하나 이상의 오퍼레이션이 수행될 수 있다. 이에 대한 자세한 설명은 도 3에 대한 설명에서 후술한다.
스토리지(104)는 컴퓨터 프로그램(105)으로 예시된 그래프 데이터베이스 생성 소프트웨어(105)를 비임시적으로 저장할 수 있다. 또한, 스토리지(104)는 본 발명의 실시예에 따른 침해 자원 정보 데이터베이스(106)를 저장할 수도 있다. 침해 자원 정보 데이터베이스(106)는 수집 시스템(50)으로부터 수집된, 침해 자원 데이터 셋, 침해 자원 데이터 셋에 정규 표현식을 적용한 정보를 저장할 수 있다. 또한, 침해 자원 정보 데이터베이스(106)는 침해 자원이 수집된 수집 채널, 침해 자원이 발생시킨 침해 사고에 대한 정보 등 침해 자원과 관련된 각종 정보를 저장할 수도 있다.
스토리지(104)는 ROM(Read Only Memory), EPROM(Erasable Programmable ROM), EEPROM(Electrically Erasable Programmable ROM), 플래시 메모리 등과 같은 비휘발성 메모리, 하드 디스크, 착탈형 디스크, 또는 본 발명이 속하는 기술 분야에서 잘 알려진 임의의 형태의 컴퓨터로 읽을 수 있는 기록 매체를 포함하여 구성될 수 있다.
도시되지 않았으나, 침해 자원에 대한 그래프 데이터베이스 생성 장치(100)는 디스플레이를 포함할 수도 있다. 디스플레이는 본 발명의 실시예에 따른 방법을 수행에 이용되는 각종 인터페이스를 출력할 수 있다. 또한, 디스플레이는 그래프 데이터베이스 생성 소프트웨어의 실행 결과인 그래프 데이터베이스를 GUI를 통해 디스플레이할 수도 있다.
한편, 침해 자원에 대한 그래프 데이터베이스 생성 장치(100)는 도 2에 도시된 구성 요소 외에 본 발명의 실시예와 관련된 다양한 구성 요소를 추가로 포함할 수도 있다. 예를 들어, 침해 자원에 대한 그래프 데이터베이스 생성 장치(100)는 사용자 및/또는 관리자로부터 침해 자원에 대한 입력 및 침해 자원 조회를 위한 각종 설정을 입력 받기 위한 입력부를 포함할 수도 있다.
이하, 침해 자원에 대한 그래프 데이터베이스 생성 장치(100)의 동작에 대하여 도 3을 참조하여 더욱 자세히 설명한다. 이하의 각 단계는, 침해 자원에 대한 그래프 데이터베이스 생성 장치(100)에 의해 수행되는 것으로 가정한다. 침해 자원에 대한 그래프 데이터베이스 생성 장치(100)는 설명의 편의를 위해, GDB(Graphic database) 생성 장치(100)라고 약칭하기로 한다.
도 3은 본 발명의 또 다른 실시예에 따른 침해 자원에 대한 그래프 데이터베이스 생성 방법의 순서도이다.
도 3을 참조하면, GDB 생성 장치(100)는 침해 자원 데이터 셋을 수신할 수 있다(S10). 앞서 설명된 바와 같이 GDB 생성 장치(100)는 침해 자원 데이터 셋을 수집 시스템(50)으로부터 수신할 수 있으나, 본 발명의 실시예는 이에 한정되지 않으며, GDB 생성 장치(100)는 외부 수집 채널로부터 침해 자원 데이터 셋을 직접적으로 수신할 수도 있다.
GDB 생성 장치(100)는 침해 자원 데이터 셋 중, 유효 침해 자원 정보를 추출할 수 있다(S20). 수집 시스템(50)에서 수집된 침해 자원 데이터 셋은, 침해 자원 데이터 셋을 제공한 수집 채널 별로 각각 다른 데이터 양식을 가질 수 있다.
이와 같은 경우 수집된 침해 자원 데이터 셋의 가공을 용이하게 하기 위하여, GDB 생성 장치(100)는, 수신된 침해 자원 데이터 셋에 대하여 미리 설정된 정규 표현식을 적용할 수 있다. 이를 위해, GDB 생성 장치(100)는 정규 표현식을 스토리지(104)에 미리 저장할 수 있다. 침해 자원 데이터 셋에 정규 표현식이 적용되면, 침해 자원 데이터 셋을 하나의 통일된 양식으로 관리할 수 있다.
GDB 생성 장치(100)는 정규 표현식이 적용된 침해 자원 데이터 셋에 포함된 정보 중, 미리 설정된 정보를 상기 유효 침해 자원 정보로 결정할 수 있다. 예를 들어, 침해 자원 데이터 셋이 테이블 형태의 데이터인 경우, 침해 자원 분석에 테이블 상의 모든 정보가 필요하지 않을 수 있다. 즉, 테이블 상의 특정 컬럼(Column)에 기록된 정보만이 침해 자원 분석에 유용한 정보일 수 있다. 이 경우, GDB 생성 장치(100)는 특정 컬럼에 기록된 정보만을 유효 침해 자원 정보로 결정하고, 특정 컬럼에 기록된 정보만을 추출하여 침해 자원 분석 및 침해 자원에 대한 그래프 데이터베이스 생성에 활용할 수 있다. 상기 예에서, 정규 표현식이 적용된 침해 자원 데이터 셋의 특정 컬럼이 GDB 생성 장치(100)의 추출 대상으로 미리 설정되어 있을 수 있다.
GDB 생성 장치(100)는 유효 침해 자원 정보에 포함된 침해 자원에 대하여 자원 아이디(Resource ID, 이하, RID)를 설정할 수 있다(S30).
이때, GDB 생성 장치(100)는 유효 침해 자원 정보에 포함된 침해 자원의 값을 기초로, 유효 침해 자원 정보 상에 상기 침해 자원과 중복된 침해 자원이 존재하는지 판단할 수 있다. 판단 결과로 침해 자원과 중복된 침해 자원이 존재하지 않는 경우, GDB 생성 장치(100)는 침해 자원에 RID를 설정할 수 있다. 이는, 중복된 침해 자원, 즉, 동일한 침해 자원에 대하여 서로 다른 복수의 아이디를 설정하지 않기 위함이다. 동일한 침해 자원에 대하여, 하나의 아이디만이 부여됨으로써, 그래프 데이터베이스는, 하나의 침해 자원에 대하여 하나의 노드를 갖게 된다.
예를 들어, 유효 침해 자원이 악성 코드에 대한 해쉬, IP, 도메인, Email인 경우, GDB 생성 장치(100)는 각각에 대하여 RID를 설정할 수 있다.
다음으로, GDB 생성 장치(100)는 침해 자원의 복수의 구성 요소에 대하여 각각 속성 아이디(Attribute ID, 이하, AID)를 설정할 수 있다(S40). 침해 자원으로부터 복수의 구성 요소를 획득하기 위하여 GDB 생성 장치(100)는 침해 자원의 메타데이터를 추출할 수 있다. GDB 생성 장치(100)는 추출된 메타데이터의 스트링을 식별할 수 있다.
GDB 생성 장치(100)는 식별된 스트링을 적어도 하나의 스트링으로 분할할 수 있다. 예를 들어, GDB 생성 장치(100)는 식별된 스트링을 제1 스트링 및 제2 스트링으로 분할할 수 있다. GDB 생성 장치(100)는 분할된 제1 스트링 및 제2 스트링을 침해 자원의 구성 요소로 결정하고, 제1 스트링 및 제2 스트링에 각각 AID를 설정할 수 있다.
본 발명의 실시예에 따르면, GDB 생성 장치(100)는 속성 아이디가 설정된 구성 요소, 상기 예에서, GDB 생성 장치(100)는 분할된 제1 스트링을 제1 서브 스트링 및 제2 서브 스트링으로 재분할할 수도 있다. 또한, GDB 생성 장치(100)는 재분할된 제1 서브 스트링 및 제2 서브 스트링을 침해 자원의 구성요소로 결정할 수 있으며, 제1 서브 스트링 및 제2 서브 스트링에도 각각 AID를 설정할 수 있다.
GDB 생성 장치(100)가 침해 자원의 구성 요소를 분할하는 기준 및 분할된 구성 요소를 재분할하는 기준에 대하여는, 도 5 내지 도 10에 대한 설명에서 후술한다.
다음으로, GDB 생성 장치(100)는 RID가 설정된 침해 자원과 AID가 각각 설정된 복수의 구성 요소 사이의 관계(Relationship)를 설정할 수 있다(S40). GDB 생성 장치(100)는 RID가 설정된 침해 자원과 AID가 설정된 구성 요소 사이의 관계, 서로 다른 RID가 설정된 복수의 침해 자원 사이의 관계, 서로 다른 AID가 설정된 복수의 구성 요소 사이의 관계를 설정할 수도 있다. 침해 자원 및 구성 요소들 사이의 관계는 도 6 및 도 8에 대한 설명에서 후술한다.
GDB 생성 장치(100)는 RID를 기초로, 침해 자원에 대한 자원 노드(Resource Node)를 생성하고, AID를 기초로, 복수의 구성 요소에 대하여 각각의 속성 노드(Attribute Node)를 생성할 수 있다(S60). 여기에서, 침해 자원에 대한 자원 노드는 RID로 식별되며, 침해 자원에 대한 정보, 예를 들어 침해 자원의 값이 매핑된 노드이다. 또한, 속성 노드는 AID로 식별되며, 구성 요소에 대한 정보, 예를 들어 구성 요소의 값이 매핑된 노드이다.
예를 들어, 침해 자원이 악성 코드의 해쉬인 경우, 해쉬 값이 자원 노드에 매핑되고, 자원 노드는 RID로 식별된다. 이때, 해쉬 값이 분할된 일부 스트링이 침해 자원의 구성 요소로서, 일부 스트링 값이 속성 노드에 매핑되며, 속성 노드는 AID로 식별될 수 있다.
GDB 생성 장치(100)는 자원 노드와 속성 노드가 설정된 관계를 지시하는 엣지로 연결된 그래프 데이터베이스를 생성할 수 있다(S70). 즉, GDB 생성 장치(100)는 자원 노드와 속성 노드를 엣지로 연결하며, 엣지는 자원 노드와 속성 노드 사이의 관계에 대한 설정 값을 저장할 수 있다.
도 4는 본 발명의 몇몇 실시예에서 참조되는, 그래프 데이터베이스의 노드를 설명하기 위한 예시도이다.
도 1의 분석 시스템(100)은 수집 시스템(50)에서 수집된 침해 자원을 그래프 데이터베이스로 저장하기 위하여, 침해 자원을 단계(S60)에서 생성된, 자원 노드와 속성 노드로 구분할 수 있다. 예를 들어, 수집 시스템(50)으로부터 침해 자원인 악성 코드에 대한 해쉬가 수신되면, GDB 생성 장치(100)은 수신된 해쉬의 해쉬 값을 자원 노드로 설정하고 이에 대한 RID를 부여할 수 있다. 또한, GDB 생성 장치(100)은 해쉬 값의 구성 요소인 스트링을 속성 노드로 설정하고, AID를 부여할 수 있다.
도 4에서, 자원 노드(210)로 설정된 각각의 노드 및 속성 노드(220)로 설정된 각각의 노드가 도시되었다. 예를 들어, 자원 노드(210)는 도메인 노드(211), 이메일 노드(212) 등을 포함할 수 있으며, 속성 노드(220)는 URL(221), 스트링(222) 등을 포함할 수 있다.
도 4에 도시된 바와 같이 자원 노드(210) 및 속성 노드(220)는 GDB 생성 장치(100)에서, 별도의 레이블을 갖는 그룹으로 관리될 수 있음과 동시에, 자원 노드(210) 및 속성 노드(220)는 단계(S70)에서 생성된 그래프 데이터베이스 상에서 혼재되어 서로 엣지로 연결될 수 있다.
도 5는 본 발명의 몇몇 실시예에서 참조되는, 침해 자원이 URL인 경우, 침해 자원의 분할 관리 방법을 설명하기 위한 예시도이다. 도 5에서 침해 자원인 URL(500) 및 URL(500)의 의미 기반 타입(501)이 도시되었으며, 침해 자원의 값으로 URL(500)의 스트링 값(510)이 도시되었다. 또한, 도 5에서, URL(500)의 의미 기반 타입(501)에 따라, 분할된 구성 요소에 대한 정보(520) 및 예시적인 속성 노드(530)가 도시되었다.
GDB 생성 장치(100)는 침해 자원인 URL(500)로부터 추출된 메타데이터의 스트링을 구성 요소 별로 분할할 수 있다. 구체적으로, GDB 생성 장치(100)는 URL(500)을 미리 등록된 의미 기반의 타입에 기초하여 복수의 구성 요소 스트링으로 분할할 수 있다. GDB 생성 장치(100)는 추출된 메타데이터를 이용하여 침해 자원이 URL(500)인 것을 식별할 수 있으며, URL(500)의 각 구성 요소에 대한 미리 등록된 의미 기반의 타입(501)을 식별하여, 침해 자원을 구성 요소 스트링으로 분할할 수 있다. URL(500)에 대한 의미 기반의 타입(501)은, Protocol, Sub Domain, Domain String, SLD, TLD, Port, Path, Filename, Parameter, Fragment 등을 포함할 수 있다. 각 의미 기반 타입(501)은 URL(500)의 구성 요소에 1 대 1 매칭된다.
분할된 구성 요소에 대한 정보(520)는 각 구성 요소 스트링에 매칭되는 의미 기반 타입(501) 및 각 구성 요소 스트링의 스트링 값, 각 의미 기반 타입(501) 중, 관리 대상 타입에 대한 정보를 포함할 수 있다.
관리 대상 타입이란, 의미 기반의 타입(501) 중, 침해 자원에 대한 그래프 데이터베이스를 생성하기 위하여 관리 대상이 되는 타입을 의미한다. 즉, 침해 자원의 의미 기반의 타입(501)에 매칭되는 구성 요소 중, 일부는 침해 자원 분석에 필수적이고, 다른 일부는 침해 자원 분석에 불필요할 수 있다. 이 경우, GDB 생성 장치(100)는 의미 기반의 타입(501) 중, 관리 대상 타입을 별도로 관리함에 따라, 관리 대상 타입에 매칭되는 구성 요소만을 그래프 데이터베이스 상의 노드로 결정할 수 있다.
이를 위해, 침해 자원의 구성 요소 중, 침해 자원 분석에 필요한 구성 요소가 어떤 정보인지 GDB 생성 장치(100)에 미리 설정될 수 있으며, 필요한 구성 요소에 매칭되는 의미 기반의 타입(501)이 GDB 생성 장치(100)에 관리 대상 타입으로 미리 설정될 수도 있다.
분할된 구성 요소에 대한 정보(520)을 참조하면, 의미 기반의 타입(501) 중, Domain String, Path, Filename, Parameter가 관리 대상 타입으로 설정 되었다.
이에 따라, 도 3의 단계(S40)에서, GDB 생성 장치(100)는, URL(500) 스트링을 분할한 구성 요소 스트링에 대응되는 의미 기반 타입이 관리 대상 타입에 포함되는 경우, 상기 구성 요소 스트링을 침해 자원의 구성 요소로 결정할 수 있다. 또한, GDB 생성 장치(100)는, 침해 자원의 구성 요소로 결정된 스트링에 AID를 설정할 수 있다.
GDB 생성 장치(100)는 침해 자원을 구성 요소로 분할할 때, 기준이 되는 의미 기반의 타입(501) 또는 관리 대상 타입을 식별할 수 있다. 또한, GDB 생성 장치(100)는 이를 기초로 도 3의 단계(S50)에서 침해 자원이 분할된 이후 생성되는 자원 노드와 속성 노드 사이의 관계를 설정할 수 있다.
도 3의 단계(S60)에서, GDB 생성 장치(100)는 생성된 속성 노드에 대응되는 관리 대상 타입에 대한 정보를 상기 속성 노드의 값에 추가시킬 수 있다.
예시적인 속성 노드(530)를 참조하면, 스트링이 매핑된 속성 노드(530)에 속성 노드 값뿐만 아니라 관리 대상 타입에 대한 정보가 포함될 수 있다. 예를 들어, 속성 노드(530)에는 속성 노드 값으로 스트링 값인 index.html이 저장되어 있고, 관리 대상 타입에 대한 정보 Filename이 저장될 수 있다.
도 6은 본 발명의 몇몇 실시예에서 참조되는, 침해 자원이 URL인 경우, 생성되는 그래프의 예시도이다. 도 5에서 상술한 바와 같이, GDB 생성 장치(100)가 침해 자원인 URL(500)을 분할하여, 관리 대상 타입에 매칭되는 구성 요소로 Domain String, Path, Filename, Parameter이 생성되었다고 가정한다.
이를 기초로, 도 3의 단계(S70)에서, 그래프 데이터베이스가 생성될 수 있다. 도 6을 참조하면, GDB 생성 장치(100)는 URL(500)이 자원 노드로 생성하고, 구성 요소인 Domain String(601), Path(603), Filename(605), Parameter(607)이 속성 노드로 생성할 수 있다.
또한, GDB 생성 장치(100)는 자원 노드 및 속성 노드를 엣지로 연결할 수 있다. 도 6에서 속성 노드가 자원 노드의 구성 요소임을 나타내는 "composition"(610)이 자원 노드와 속성 노드의 관계로 설정된 경우가 예시되었다. 이에 따라, GDB 생성 장치(100)는 자원 노드와 속성 노드에 대하여 설정된 "composition"(610) 관계를 엣지에 매핑할 수 있다.
도 7은 본 발명의 몇몇 실시예에서 참조되는, 침해 자원이 E-mail인 경우, 침해 자원의 분할 관리 방법을 설명하기 위한 예시도이다. 도 7에서 침해 자원인 Email(700) 및 Email(700)의 의미 기반 타입(701)이 도시되었으며, 침해 자원의 값으로 Email(700)의 스트링 값(710)이 도시되었다. 또한, 도 7에서, Email(700)의 의미 기반 타입(701)에 따라, 분할된 구성 요소에 대한 정보(720) 및 예시적인 속성 노드(730)가 도시되었다.
GDB 생성 장치(100)는 침해 자원인 Email(700)로부터 추출된 메타데이터의 스트링을 미리 등록된 의미 기반의 타입에 기초하여 복수의 구성 요소 스트링으로 분할할 수 있다. GDB 생성 장치(100)는 추출된 메타데이터를 이용하여 침해 자원이 Email(700)인 것을 식별할 수 있으며 Email(700)의 각 구성 요소에 대한 미리 등록된 의미 기반의 타입(701)을 식별하여, 침해 자원을 구성 요소 스트링으로 분할할 수 있다. Email(700)에 대한 의미 기반의 타입(701)은, Account, Sub Domain, Domain String, SLD, TLD 등을 포함할 수 있다.
분할된 구성 요소에 대한 정보(720)는 각 구성 요소 스트링에 매칭되는 의미 기반 타입(701) 및 각 구성 요소 스트링의 스트링 값, 각 의미 기반 타입(701) 중, 관리 대상 타입에 대한 정보를 포함할 수 있다. 도 7에서, Email(700)의 관리 대상 타입으로 GDB 생성 장치(100)에 Account, Domain String이 미리 설정된 경우가 도시되었다.
이에 따라, 도 3의 단계(S40)에서, GDB 생성 장치(100)는, Email(700) 스트링을 분할한 구성 요소 스트링에 대응되는 의미 기반 타입이 관리 대상 타입에 포함되는 경우, 상기 구성 요소 스트링을 침해 자원의 구성 요소로 결정할 수 있다. 또한, GDB 생성 장치(100)는, 침해 자원의 구성 요소로 결정된 스트링에 AID를 설정할 수 있다.
예시적인 속성 노드(730)를 참조하면, 스트링이 매핑된 속성 노드(730)에 속성 노드 값뿐만 아니라 관리 대상 타입에 대한 정보가 포함될 수 있다. 예를 들어, 속성 노드(730)에는 속성 노드 값으로 스트링 값이 저장되어 있고, 관리 대상 타입에 대한 정보 Account가 저장될 수 있다.
도 8은 본 발명의 몇몇 실시예에서 참조되는, 침해 자원이 E-mail인 경우, 생성되는 그래프의 예시도이다.
도 3의 단계(S70)에서, 그래프 데이터베이스가 생성될 수 있다. 도 8을 참조하면, GDB 생성 장치(100)는 Email(700)이 자원 노드로 생성하고, 구성 요소인 Account(801), Domain string(802), Filename(605), Parameter(607)이 속성 노드로 생성할 수 있다.
또한, GDB 생성 장치(100)는 자원 노드 및 속성 노드를 엣지로 연결할 수 있다. 도 6에서 속성 노드가 자원 노드의 구성 요소임을 나타내는 "composition"(810)이 자원 노드와 속성 노드의 관계로 설정된 경우가 예시되었다. 이에 따라, GDB 생성 장치(100)는 자원 노드와 속성 노드에 대하여 설정된 "composition"(810) 관계를 엣지에 매핑할 수 있다.
도 5 내지 도 8에 대한 설명에서, GDB 생성 장치(100)가 침해 자원에 대한 미리 등록된 의미 기반의 타입을 식별하고, 식별된 의미 기반의 타입 중 관리 대상 타입에 매칭되는 구성 요소를 이용하여 노드를 생성하는 방법이 주로 설명되었다. 본 발명의 실시예는 이에 한정되지 않으며, GDB 생성 장치(100)가 침해 자원에 대하여 미리 등록된 의미 기반의 타입을 식별하지 못한 경우에는, 침해 자원에 대한 자원 노드에 적용하기 위한 패턴 타입을 생성할 수 있다. 이하, 도 9를 참조하여 이에 대하여 자세히 설명한다.
도 9는 본 발명의 몇몇 실시예에서 참조되는, 침해 자원에 추가적인 패턴 타입을 지정하는 방법의 예시도이다. 도 9에서 침해 자원인 스트링(900), 스트링(900)에 대한 패턴 분석 과정(910), 스트링(900)의 스트링 값(911) 및 스트링(900)에 지정된 패턴 타입이 포함된 자원 노드의 값(912) 및 예시적인 자원 노드(920)이 도시되었다.
도 9를 참조하면, GDB 생성 장치(100)는 도 3의 단계(S20)에서 침해 자원의 메타데이터를 추출할 수 있다. 이에 따라, GDB 생성 장치(100)는 자원 노드로 스트링(900)을 식별할 수 있다.
GDB 생성 장치(100)는 추출된 메타데이터의 스트링에 대하여 미리 설정된 의미 기반의 타입이 식별되는지 판단할 수 있다. 상기 판단 결과, 미리 등록된 의미 기반 타입이 식별되지 않는 경우, GDB 생성 장치(100)는 메타데이터의 스트링에 대한 패턴 분석을 수행할 수 있다.
패턴 분석 과정(910)을 참조하면, GDB 생성 장치(100)는 패턴 분석의 수행 결과를 기초로, 상기 메타데이터의 스트링에 대한 패턴 타입을 생성할 수 있다. 여기에서, 패턴 타입이란, GDB 생성 장치(100)의 패턴 분석의 수행 결과에 따라, 침해 자원에 부여되는 타입을 의미한다. 패턴 분석은 본 발명이 속한 기술 분야에서 널리 알려진 패턴 분석 방법이 이용될 수 있다. 예를 들어, 스트링의 문자열을 분석하여 공통된 문자열이 반복되는지 여부를 판단하는 패턴 분석 방법이 이용될 수 있다.
GDB 생성 장치(100)는 생성된 패턴 타입을 스트링(900)에 타입으로 부여할 수 있다.
도 3의 단계(S60)에서, GDB 생성 장치(100)는 생성된 자원 노드의 값에 생성된 패턴 타입에 대한 정보를 추가시킬 수 있다. 자원 노드의 값(912)를 참조하면, 자원 노드의 값(912)은 자원 노드에 대한 RID, 자원 노드의 값인 스트링 값 및 자원 노드에 지정된 패턴 타입에 대한 정보를 포함할 수 있다.
예시적인 자원 노드(920)을 참조하면, 자원 노드에 노드 값으로 스트링 값이 저장되고, 패턴 타입 @debug_path가 지정된 경우가 예시되었다.
도 3의 단계(S70)에서, GDB 생성 장치(100) 패턴 타입에 대한 정보를 기초로, 자원 노드와 다른 자원 노드가 엣지로 연결된 그래프 데이터베이스를 생성할 수 있다. 즉, GDB 생성 장치(100)는 제1 자원 노드와 제2 자원 노드 사이의 관계를 패턴 타입에 대한 정보로 설정할 수 있다. 이에 따라, 제1 자원 노드와 제2 자원 노드가 패턴 타입에 대한 정보를 지시하는 엣지로 연결될 수 있다.
또한, GDB 생성 장치(100) 패턴 타입에 대한 정보를 기초로, 자원 노드와 다른 자원 노드의 속성 노드가 엣지로 연결된 그래프 데이터베이스를 생성할 수 있다. 즉, 제1 자원 노드는 패턴 타입에 대한 정보를 기초로, 제2 자원 노드의 구성 요소에 매핑된 속성 노드와 연결될 수도 있다.
도 10은 본 발명의 몇몇 실시예에서 참조되는, 침해 자원의 분할 결과에 따른 자원 노드와 속성 노드의 관계를 설명하기 위한 예시도이다.
도 10을 참조하면, 분할 대상 GDB type은 침해 자원의 타입일 수 있다. 침해 자원의 메타데이터로부터 추출되며, 주로 스트링이다. 본 발명의 실시예에 따르면, 분할 대상 GDB type에 해당하는 스트링에는 GDB 생성 장치(100)에 의해 RID가 설정될 수 있다. 분할 대상 의미는 침해 자원의 메타데이터로부터 식별되는 침해 자원이다.
분할 결과 GDB type은, 침해 자원의 구성 요소의 타입일 수 있다. 분할 대상 스트링이 분할되므로, 결과 역시 스트링이다. 분할 결과 스트링에는 GDB 생성 장치(100)에 의해 AID가 설정될 수 있다.
분할 결과 의미는, 상술한 의미 기반의 타입일 수 있다. 또한, 분할ㅇ 결과 의미는 생성된 패턴 타입일 수도 있다.
GDB 생성 장치(100)는 RID를 기초로, 분할 대상 GDB type에 해당하는 스트링에 매핑되는 자원 노드를 생성하고, AID를 기초로 분할 결과 GDB type에 해당하는 스트링에 매핑되는 속성 노드를 생성할 수 있다. 또한, GDB 생성 장치(100)는 자원 노드와 속성 노드를 분할 결과 의미를 나타내는 엣지로 연결할 수 있다.
한편, 도 3의 단계(S60)에서 GDB 생성 장치(100)는 생성된 속성 노드에 포함된 제1 속성 노드와 제2 속성 노드의 값을 비교할 수 있다. 상기 판단 결과, 제1 속성 노드의 값과 제2 속성 노드의 값이 동일한 경우, GDB 생성 장치(100)는 동일한 노드 값을 갖는 속성 노드를 생성하게 될 수 있다.
동일한 노드 값을 갖는 속성 노드가 생성되면, 속성 노드가 중복되어 그래프 데이터베이스 상에서 존재하게 되는데, 이때, 중복된 속성 노드가 다른 타입을 갖는다면, GDB 생성 장치(100)는 이를 별도의 속성 노드로 관리할 수 있다.
동일한 노드 값을 갖는 속성 노드를 별도의 속성 노드로 관리하기 위하여, GDB 생성 장치(100)는 제1 속성 노드에 제1 패턴 타입을 지정하고 제2 속성 노드에 제2 패턴 타입을 지정할 수 있다. 이를 위해, GDB 생성 장치(100)는 제1 속성 노드의 값 및 제2 속성 노드의 값에 대하여 각각 패턴 분석을 수행하여, 제1 속성 노드에 대한 제1 패턴 타입을 결정하고, 제2 속성 노드에 대한 제2 패턴 타입을 결정할 수 있다. GDB 생성 장치(100)는 결정된 제1 패턴 타입을 제1 속성 노드의 값에 추가하고, 결정된 제2 패턴 타입을 상기 제2 속성 노드의 값에 추가할 수 있다.
이에 따라, 제1 속성 노드와 제2 속성 노드의 노드 값이 패턴 타입 외에 모두 동일하더라고, GDB 생성 장치(100)는 제1 속성 노드와 제2 속성 노드를 모두 생성하여 별도로 관리할 수 있다.
도 11은 본 발명의 몇몇 실시예에서 참조되는, 그래프 데이터베이스의 예시이다.
도 11을 참조하면, GDB 생성 장치(100)는 자원 노드 및 속성 노드를 생성하고, 이에 대한 관계를 엣지로 설정함에 따라, 그래프 데이터베이스를 생성할 수 있다. 도 11에서 GDB 생성 장치(100)에서 구축되고 저장된 그래프 데이터베이스가 예로써 도시되었다.
도 11을 참조하면, 그래프 데이터베이스의 자원 노드와 속성 노드는 엣지로 연결될 수 있으며, 자원 노드끼리 또한, 속성 노드끼리도 엣지로 연결될 수 있다. 도 11에서 엣지로 연결된 각 노드의 관계 또한 도시되었다.
지금까지 도 1 내지 도 11을 참조하여 설명된 본 발명의 실시예들은 컴퓨터가 읽을 수 있는 매체 상에 컴퓨터가 읽을 수 있는 코드로 구현될 수 있다. 상기 컴퓨터로 읽을 수 있는 기록 매체는, 예를 들어 이동형 기록 매체(CD, DVD, 블루레이 디스크, USB 저장 장치, 이동식 하드 디스크)이거나, 고정식 기록 매체(ROM, RAM, 컴퓨터 구비 형 하드 디스크)일 수 있다. 상기 컴퓨터로 읽을 수 있는 기록 매체에 기록 된 상기 컴퓨터 프로그램은 인터넷 등의 네트워크를 통하여 다른 컴퓨팅 장치에 전송되어 상기 다른 컴퓨팅 장치에 설치될 수 있고, 이로써 상기 다른 컴퓨팅 장치에서 사용될 수 있다.
또한, 도면에서 동작들이 특정한 순서로 도시되어 있지만, 반드시 동작들이 도시된 특정한 순서로 또는 순차적 순서로 실행되어야만 하거나 또는 모든 도시 된 동작들이 실행되어야만 원하는 결과를 얻을 수 있는 것으로 이해되어서는 안 된다. 특정 상황에서는, 멀티태스킹 및 병렬 처리가 유리할 수도 있다. 더욱이, 위에 설명한 실시예들에서 다양한 구성들의 분리는 그러한 분리가 반드시 필요한 것으로 이해되어서는 안되고, 설명된 프로그램 컴포넌트들 및 시스템들은 일반적으로 단일 소프트웨어 제품으로 함께 통합되거나 다수의 소프트웨어 제품으로 패키지 될 수 있음을 이해하여야 한다.
이상 첨부된 도면을 참조하여 본 발명의 실시예들을 설명하였지만, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자는 본 발명이 그 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 실시될 수 있다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해해야만 한다.

Claims (14)

  1. 침해 자원 데이터 셋을 수신하는 단계;
    상기 침해 자원 데이터 셋 중, 유효 침해 자원 정보를 추출하는 단계;
    상기 유효 침해 자원 정보에 포함된 침해 자원에 대하여 자원 아이디를 설정하는 단계;
    상기 침해 자원의 복수의 구성 요소에 대하여 각각 속성 아이디를 설정하는 단계;
    상기 자원 아이디가 설정된 침해 자원과 상기 속성 아이디가 각각 설정된 복수의 구성 요소 사이의 관계를 설정하는 단계;
    상기 자원 아이디를 기초로, 상기 침해 자원에 대한 자원 노드를 생성하는 단계;
    상기 속성 아이디를 기초로, 상기 복수의 구성 요소에 대하여 각각의 속성 노드를 생성하는 단계; 및
    상기 자원 노드와 상기 속성 노드가 상기 설정된 관계를 지시하는 엣지로 연결된 그래프 데이터베이스를 생성하는 단계를 포함하는,
    침해 자원에 대한 그래프 데이터베이스 생성 방법.
  2. 제 1 항에 있어서,
    상기 침해 자원의 복수의 구성 요소에 대하여 각각 속성 아이디를 설정하는 단계는,
    상기 침해 자원의 메타데이터를 추출하는 단계;
    상기 추출된 메타데이터의 스트링을 제1 스트링 및 제2 스트링으로 분할하는 단계;
    상기 제1 스트링 및 상기 제2 스트링을 상기 침해 자원의 구성 요소로 결정하는 단계; 및
    상기 제1 스트링 및 상기 제2 스트링에 각각 속성 아이디를 설정하는 단계를 포함하는,
    침해 자원에 대한 그래프 데이터베이스 생성 방법.
  3. 제 2 항에 있어서,
    상기 제1 스트링을 제1 서브 스트링 및 제2 서브 스트링으로 분할하는 단계;
    상기 제1 서브 스트링 및 상기 제2 서브 스트링을 상기 침해 자원의 구성요소로 결정하는 단계; 및
    상기 제1 서브 스트링 및 상기 제2 서브 스트링에 각각 속성 아이디를 설정하는 단계를 더 포함하는,
    침해 자원에 대한 그래프 데이터베이스 생성 방법.
  4. 제 2 항에 있어서,
    상기 추출된 메타데이터의 스트링을 제1 스트링 및 제2 스트링으로 분할하는 단계는,
    상기 메타데이터의 스트링을 미리 등록된 의미 기반의 타입에 기초하여 상기 제1 스트링 및 상기 제2 스트링으로 분할하는 단계를 포함하고,
    상기 침해 자원의 복수의 구성 요소에 대하여 각각 속성 아이디를 설정하는 단계는,
    상기 제1 스트링에 대응되는 제1 의미 기반 타입 및 상기 제2 스트링에 대응되는 제2 의미 기반 타입 중 적어도 하나가 관리 대상 타입에 포함되는 경우, 상기 관리 대상 타입에 대응되는 스트링을 침해 자원의 구성 요소로 결정하는 단계; 및
    상기 침해 자원의 구성 요소로 결정된 스트링에 속성 아이디를 설정하는 단계를 포함하는,
    침해 자원에 대한 그래프 데이터베이스 생성 방법.
  5. 제 4 항에 있어서,
    상기 속성 아이디를 기초로, 상기 복수의 구성 요소에 대하여 각각의 속성 노드를 생성하는 단계는,
    상기 생성된 속성 노드에 대응되는 상기 관리 대상 타입에 대한 정보를 상기 속성 노드의 값에 추가시키는 단계를 포함하는,
    침해 자원에 대한 그래프 데이터베이스 생성 방법.
  6. 제 1 항에 있어서,
    상기 유효 침해 자원 정보에 포함된 침해 자원에 대하여 자원 아이디를 설정하는 단계는,
    상기 침해 자원의 메타데이터를 추출하는 단계;
    상기 추출된 메타데이터의 스트링에 대하여 미리 설정된 의미 기반의 타입이 식별되는지 판단하는 단계;
    상기 판단 결과, 상기 미리 설정된 의미 기반 타입이 식별되지 않는 경우, 상기 메타데이터의 스트링에 대한 패턴 분석을 수행하는 단계; 및
    상기 패턴 분석의 수행 결과를 기초로, 상기 메타데이터의 스트링에 대한 패턴 타입을 생성하는 단계를 포함하고,
    상기 자원 아이디를 기초로, 상기 침해 자원에 대한 자원 노드를 생성하는 단계는,
    상기 생성된 자원 노드의 값에 상기 생성된 패턴 타입에 대한 정보를 추가시키는 단계를 포함하는,
    침해 자원에 대한 그래프 데이터베이스 생성 방법.
  7. 제 6 항에 있어서,
    상기 자원 노드와 상기 속성 노드가 상기 설정된 관계를 지시하는 엣지로 연결된 그래프 데이터베이스를 생성하는 단계는,
    상기 패턴 타입에 대한 정보를 기초로, 상기 자원 노드와, 다른 자원 노드의 속성 노드가 엣지로 연결된 그래프 데이터베이스를 생성하는 단계를 포함하는,
    침해 자원에 대한 그래프 데이터베이스 생성 방법.
  8. 제 7 항에 있어서,
    상기 자원 노드와 다른 자원 노드가 엣지로 연결된 그래프 데이터베이스를 생성하는 단계는,
    상기 패턴 타입에 대한 정보를 기초로, 상기 자원 노드와, 상기 다른 자원 노드의 속성 노드가 엣지로 연결된 그래프 데이터베이스를 생성하는 단계를 포함하는,
    침해 자원에 대한 그래프 데이터베이스 생성 방법.
  9. 제 1 항에 있어서,
    상기 침해 자원에 대하여 자원 아이디를 설정하는 단계는,
    상기 침해 자원의 값을 기초로, 상기 유효 침해 자원 정보 상에 상기 침해 자원과 중복된 침해 자원이 존재하는지 판단하는 단계; 및
    상기 판단 결과, 상기 침해 자원과 중복된 침해 자원이 존재하지 않는 경우, 상기 침해 자원에 상기 자원 아이디를 설정하는 단계를 포함하는,
    침해 자원에 대한 그래프 데이터베이스 생성 방법.
  10. 제 1 항에 있어서,
    상기 속성 아이디를 기초로, 상기 복수의 구성 요소에 대하여 각각의 속성 노드를 생성하는 단계는,
    상기 생성된 속성 노드에 포함된 제1 속성 노드와 제2 속성 노드의 값을 비교하는 단계; 및
    상기 비교 결과에 따라, 상기 제1 속성 노드의 값과 상기 제2 속성 노드의 값이 동일한 경우, 상기 제1 속성 노드에 제1 패턴 타입을 지정하고 상기 제2 속성 노드에 제2 패턴 타입을 지정하는 단계; 및
    상기 제1 패턴 타입 및 상기 제2 패턴 타입이 서로 다른 경우, 상기 제1 속성 노드 및 상기 제2 속성 노드를 생성하는 단계를 포함하는,
    침해 자원에 대한 그래프 데이터베이스 생성 방법.
  11. 제 10 항에 있어서,
    상기 제1 속성 노드에 제1 패턴 타입을 지정하고 상기 제2 속성 노드에 제2 패턴 타입을 지정하는 단계는,
    상기 제1 속성 노드의 값 및 상기 제2 속성 노드의 값에 대하여 각각 패턴 분석을 수행하여, 상기 제1 속성 노드에 대한 제1 패턴 타입을 결정하고, 상기 제2 속성 노드에 대한 제2 패턴 타입을 결정하는 단계; 및
    상기 결정된 제1 패턴 타입을 상기 제1 속성 노드의 값에 추가하고, 상기 결정된 제2 패턴 타입을 상기 제2 속성 노드의 값에 추가하는 단계를 포함하는,
    침해 자원에 대한 그래프 데이터베이스 생성 방법.
  12. 제 1 항에 있어서,
    상기 침해 자원 데이터 셋 중, 유효 침해 자원 정보를 추출하는 단계는,
    상기 수신된 침해 자원 데이터 셋에 대하여 미리 설정된 정규 표현식(Regular expression)을 적용하는 단계; 및
    상기 정규 표현식이 적용된 침해 자원 데이터 셋에 포함된 정보 중, 미리 설정된 정보를 상기 유효 침해 자원 정보로 결정하는 단계를 포함하는,
    침해 자원에 대한 그래프 데이터베이스 생성 방법.
  13. 컴퓨팅 장치와 결합하여,
    침해 자원 데이터 셋을 수신하는 단계;
    상기 침해 자원 데이터 셋 중, 유효 침해 자원 정보를 추출하는 단계;
    상기 유효 침해 자원 정보에 포함된 침해 자원에 대하여 자원 아이디를 설정하는 단계;
    상기 침해 자원의 구성 요소에 대하여 속성 아이디를 설정하는 단계;
    상기 자원 아이디가 설정된 침해 자원 및 상기 속성 아이디가 설정된 구성 요소에 대한 관계를 설정하는 단계;
    상기 자원 아이디를 기초로, 상기 침해 자원에 대한 자원 노드를 생성하는 단계;
    상기 속성 아이디를 기초로, 상기 구성 요소에 대한 속성 노드를 생성하는 단계; 및
    상기 자원 노드와 상기 속성 노드가 상기 설정된 관계를 지시하는 엣지로 연결된 그래프 데이터베이스를 생성하는 단계를 실행시키기 위하여,
    기록매체에 저장된, 침해 자원에 대한 그래프 데이터베이스 생성 프로그램.
  14. 하나 이상의 프로세서;
    상기 프로세서에 의하여 수행되는 컴퓨터 프로그램을 로드(load)하는 메모리;
    수집 시스템으로부터 침해 자원 데이터 셋을 수신하는 네트워크 인터페이스; 및
    상기 컴퓨터 프로그램과 상기 침해 자원 데이터 셋을 저장하는 스토리지를 포함하되,
    상기 컴퓨터 프로그램은,
    침해 자원 데이터 셋을 수신하는 오퍼레이션;
    상기 침해 자원 데이터 셋 중, 유효 침해 자원 정보를 추출하는 오퍼레이션;
    상기 유효 침해 자원 정보에 포함된 침해 자원에 대하여 자원 아이디를 설정하는 오퍼레이션;
    상기 침해 자원의 복수의 구성 요소에 대하여 각각 속성 아이디를 설정하는 오퍼레이션;
    상기 자원 아이디가 설정된 침해 자원과 상기 속성 아이디가 각각 설정된 복수의 구성 요소 사이의 관계를 설정하는 오퍼레이션;
    상기 자원 아이디를 기초로, 상기 침해 자원에 대한 자원 노드를 생성하는 오퍼레이션;
    상기 속성 아이디를 기초로, 상기 복수의 구성 요소에 대하여 각각의 속성 노드를 생성하는 오퍼레이션; 및
    상기 자원 노드와 상기 속성 노드가 상기 설정된 관계를 지시하는 엣지로 연결된 그래프 데이터베이스를 생성하는 오퍼레이션을 포함하는,
    침해 자원에 대한 그래프 데이터베이스 생성 장치.
KR1020170002459A 2017-01-06 2017-01-06 침해 자원에 대한 그래프 데이터베이스 생성 방법 및 그 장치 KR101764674B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020170002459A KR101764674B1 (ko) 2017-01-06 2017-01-06 침해 자원에 대한 그래프 데이터베이스 생성 방법 및 그 장치
US15/420,666 US20180196861A1 (en) 2017-01-06 2017-01-31 Method for generating graph database of incident resources and apparatus thereof

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020170002459A KR101764674B1 (ko) 2017-01-06 2017-01-06 침해 자원에 대한 그래프 데이터베이스 생성 방법 및 그 장치

Publications (1)

Publication Number Publication Date
KR101764674B1 true KR101764674B1 (ko) 2017-08-03

Family

ID=59655665

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020170002459A KR101764674B1 (ko) 2017-01-06 2017-01-06 침해 자원에 대한 그래프 데이터베이스 생성 방법 및 그 장치

Country Status (2)

Country Link
US (1) US20180196861A1 (ko)
KR (1) KR101764674B1 (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102088304B1 (ko) 2019-04-12 2020-03-13 주식회사 이글루시큐리티 그래프데이터베이스 기반 로그데이터 유사패턴 매칭 및 위험관리 방법
KR102345890B1 (ko) * 2021-06-11 2022-01-03 주식회사 사이람 정형 데이터의 그래프 모델링 방법 및 그래프 모델링 장치

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10242202B1 (en) * 2017-09-15 2019-03-26 Respond Software, Inc. Apparatus and method for staged graph processing to produce a risk inference measure
RU2697958C1 (ru) 2018-06-29 2019-08-21 Акционерное общество "Лаборатория Касперского" Система и способ обнаружения вредоносной активности на компьютерной системе
CN110825743B (zh) * 2019-10-31 2022-03-01 北京百度网讯科技有限公司 一种图数据库的数据导入方法、装置、电子设备和介质
US20230275907A1 (en) * 2022-02-28 2023-08-31 Microsoft Technology Licensing, Llc Graph-based techniques for security incident matching

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2016206943A (ja) 2015-04-22 2016-12-08 株式会社日立製作所 サイバー攻撃分析装置及びサイバー攻撃分析方法

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9699205B2 (en) * 2015-08-31 2017-07-04 Splunk Inc. Network security system

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2016206943A (ja) 2015-04-22 2016-12-08 株式会社日立製作所 サイバー攻撃分析装置及びサイバー攻撃分析方法

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102088304B1 (ko) 2019-04-12 2020-03-13 주식회사 이글루시큐리티 그래프데이터베이스 기반 로그데이터 유사패턴 매칭 및 위험관리 방법
KR102345890B1 (ko) * 2021-06-11 2022-01-03 주식회사 사이람 정형 데이터의 그래프 모델링 방법 및 그래프 모델링 장치

Also Published As

Publication number Publication date
US20180196861A1 (en) 2018-07-12

Similar Documents

Publication Publication Date Title
KR101764674B1 (ko) 침해 자원에 대한 그래프 데이터베이스 생성 방법 및 그 장치
US20210273972A1 (en) Dynamic Hierarchical Tagging System and Method
US20220006828A1 (en) System and user context in enterprise threat detection
US11196756B2 (en) Identifying notable events based on execution of correlation searches
US10534773B2 (en) Intelligent query parameterization of database workloads
US9069930B1 (en) Security information and event management system employing security business objects and workflows
US9489233B1 (en) Parallel modeling and execution framework for distributed computation and file system access
US10915508B2 (en) Data linking
US20170032117A1 (en) Identifying Software Components in a Software Codebase
US20170178026A1 (en) Log normalization in enterprise threat detection
US20170178025A1 (en) Knowledge base in enterprise threat detection
JP5542859B2 (ja) ログ管理装置、ログ蓄積方法、ログ検索方法、およびプログラム
Jeong et al. Anomaly teletraffic intrusion detection systems on hadoop-based platforms: A survey of some problems and solutions
US10324710B2 (en) Indicating a trait of a continuous delivery pipeline
US10097586B1 (en) Identifying inconsistent security policies in a computer cluster
US20180189416A1 (en) Method and apparatus for visualizing relations between incident resources
WO2023029275A1 (zh) 数据关联分析方法、装置、计算机设备和存储介质
CN103077254A (zh) 网页获取方法和装置
CN111723245B (zh) 数据存储系统中建立不同类型存储对象关联关系的方法
US20220121665A1 (en) Computerized Methods and Systems for Selecting a View of Query Results
US10872103B2 (en) Relevance optimized representative content associated with a data storage system
US9904536B1 (en) Systems and methods for administering web widgets
Lee et al. Detecting anomaly teletraffic using stochastic self-similarity based on Hadoop
Nembhard et al. Extracting knowledge from open source projects to improve program security
US9678982B2 (en) Accessibility advisement system for digital assets

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant