KR101794179B1 - 침해정보 인텔리젼스 분석 시스템을 구성하는 수집정보 분석모듈 - Google Patents

Abstract

본 발명에 따른 수집정보 분석모듈은 AEGIS(Accumulated and intEGrated Intelligence System)의 침해정보 인텔리젼스(Intelligence) 분석 시스템을 구성하는 것으로서, 침해사고 연관정보 수집시스템으로부터 수신한 정보에서, 침해자원이나 속성과 같이 침해정보 ID로 관리할 수 있는 정보를 추출하고, 침해정보 ID관리부로부터 침해정보 ID를 획득한 후 상기 추출한 정보를 상기 획득한 침해정보 ID로 대체하는 RA추출부와, 침해정보 ID 추출기능으로 가공된 침해정보 데이터를 분석하여 침해정보 DB에서 관리하는 형태로 변환하는 Raw데이타 관리부와, 상기 수집시스템으로부터 수신한 원본 데이터를 기반으로 침해자원들 간 연관관계와 침해자원과 속성정보 간 연관관계를 분석하여 침해정보DB에서 관리하는 형태로 변환하는 릴레이션십 관리부를 포함하여 구성된다.
본 발명은, 수집 시스템과 분석 시스템으로 이루어진 통합 보안상황 분석시스템의 AEGIS(Accumulated and intEGrated Intelligence System)을 설계하고, 특히 AEGIS의 분석 시스템(예: 침해정보 인텔리젼스 분석 시스템)에 관한 구체적인 구성과 설계 방안을 제시하였다. 또한, 상기 AEGIS의 침해정보 인텔리젼스 분석 시스템에 부속된 수집정보 분석모듈에 관한 구체적인 구성과 설계 방안을 제시하였다.

Description

침해정보 인텔리젼스 분석 시스템을 구성하는 수집정보 분석모듈 {COLLECTION INFORMATION ANALYSIS MODULE COMPRISED IN INCIDENTS INFORMATION INTELLIGENCE ANALYSIS SYSTEM}

본 발명은 사이버 블랙박스 기술의 통합 보안상황 분석시스템에 관한 것으로, 특히 통합 보안상황 분석시스템의 AEGIS(Accumulated and intEGrated Intelligence System)에 관한 것이다.

최근 10년 간 PC 기반의 악성코드는 꾸준히 증가하고 있으며 2013년에는 약 1.9억 개의 악성코드가 유포된 것으로 집계되었다. 또한 사이버 침해의 대상이 특정기업, 기관 및 주요 시설을 겨냥하고 있어 그 피해 규모가 국가적인 것은 물론, 전세계적으로 확산되고 있는 추세이다.

이에 대한 대응기술 개발의 연구가 활발히 이루어지고 있으나, 3.20 사이버 테러의 공격 원인에 대한 분석에 수개월이 소요되는 등 적절한 대응에 한계를 보이고 있다. 이러한 한계를 극복하기 위해서는, 우선 침해사고의 원인 분석 및 공격 재현 기술이 필요하다. 그리고, 신속한 침해사고 관련 정보의 공유 및 대응체계가 필요하다. 그리고 마지막으로, 보안 인텔리전스(Intelligence) 서비스가 필요하다.

위 3가지 필요성을 만족시킬 수 있는 사이버 블랙박스 기술에 관한 다양한 연구와 기술개발이 진행 중에 있다.

도1은 사이버 블랙박스 기술에 관한 개념도이다.

도1에 도시된 바와 같이, 사이버 블랙박스 기술은 크게, 사이버 블랙박스와 통합보안상황 분석시스템으로 구성된다.

상기 사이버 블랙박스는 고도화된 침해공격에 대한 증거보존, 신속한 원인 분석 및 공격자 추적을 가능하게 하는 시스템으로, 10G급 대용량 네트워크 트래픽 정보를 실시간 수집하고 분석한다. 사이버 블랙박스는 신속한 분석을 통해 침해공격을 조기 탐지하고 대응할 수 있도록 한다.

상기 통합보안상황 분석시스템은 클라우드 기반 대규모 악성코드 분석, 모바일 침해사고 분석 및 대응, 침해사고 프로파일링 및 공격 예측, 침해사고 정보 공유 등을 수행한다.

통합 보안상황 분석시스템은 플랫폼별 위협 환경을 고려하여 PC와 모바일로 분류하여 처리하며, 기존 단순 탐지/분석 수준을 넘어 다양한 침해사고 정보를 기반으로 연관분석 및 프로파일링을 통한 공격자 추적 및 공격 예측을 가능하게 해 준다.

통합 보안상황 분석시스템은 다수의 사이버 블랙박스에서 수집된 정보를 기반으로 인텔리전스(Intelligence)한 정보 분석을 수행하기 위해, 다양한 시스템들을 통합하여 구현된다.

통합 보안상황 분석시스템은 사이버 블랙박스의 분석대상에 대한 근거자료를 산출하고, 인텔리전스(Intelligence) 분석으로 관련(또는 유사) 침해정보를 도출하는 AEGIS(Accumulated and intEGrated Intelligence System) 시스템을 구비해야 한다.

사이버 블랙박스 기술의 통합 보안상황 분석시스템은 사이버 블랙박스의 분석대상에 대한 근거자료를 산출하고, 인텔리전스(Intelligence) 분석으로 단일 침해사고 분석만으로는 파악할 수 없는 관련(또는 유사) 침해정보를 도출하기 위해 AEGIS(Accumulated and intEGrated Intelligence System) 시스템을 구비해야 하지만, AEGIS(Accumulated and intEGrated Intelligence System) 시스템에 관한 구체적인 구성과 설계 방안은 마련되어 있지 않은 상황이다.

또한, 상기 AEGIS(Accumulated and intEGrated Intelligence System)를 수집 시스템과 분석 시스템으로 구성되도록 설계하여, 이들 시스템(예: 수집 시스템과 분석 시스템)에 관한 구체적인 구성과 동작방법에 관한 연구와 기술개발이 필요한 상황이다.

본 발명은 상술한 문제점을 해결하기 위하여 안출된 것으로서, 통합 보안상황 분석시스템의 AEGIS를 구성하는 침해정보 인텔리젼스 분석 시스템을 제공하는데 그 목적이 있다.

또한, 본 발명은 AEGIS(Accumulated and intEGrated Intelligence System)의 침해정보 인텔리젼스(Intelligence) 분석 시스템을 구성하는 수집정보 분석모듈을 제공하는데 그 목적이 있다.

본 발명의 부가적인 특성 및 이점들은 아래의 설명에 기재될 것이며, 부분적으로는 상기 설명에 의해 명백해지거나 본 발명의 실행을 통해 숙지될 것이다. 본 발명의 목표 및 다른 이점들은 특히 아래 기재된 설명 및 부가된 도면뿐만 아니라 청구항에서 지적한 구조에 의해 구현될 것이다.

본 발명은, 수집 시스템과 분석 시스템으로 이루어진 통합 보안상황 분석시스템의 AEGIS을 설계하고, 특히 AEGIS의 분석 시스템(예: 침해정보 인텔리젼스 분석 시스템)에 관한 구체적인 구성과 설계 방안을 제시하였다.

또한, 상기 AEGIS의 침해정보 인텔리젼스(Intelligence) 분석 시스템에 부속된 수집정보 분석모듈에 관한 구체적인 구성과 설계 방안을 제시하였다.

본 발명은 AEGIS의 분석 시스템(예: 침해정보 인텔리젼스 분석 시스템)을 통해, 클라우드 기반 대규모 악성코드 분석, 모바일 침해사고 분석 및 대응, 침해사고 프로파일링 및 공격 예측, 침해사고 정보 공유 등을 수행할 수 있을 것으로 기대된다.

도1은 사이버 블랙박스 기술에 관한 개념도.
도2a는 본 발명에 따른 AEGIS의 블록 구성도.
도2b는 본 발명에 따른 침해정보 인텔리젼스 분석 시스템의 블록 구성도.
도3은 본 발명에 따른 침해정보 관리모듈의 블록 구성도.
도4는 본 발명에 따른 침해사고 연관정보 수집부의 시퀀스 다이어 그램.
도5는 본 발명에 따른 수집정보 분석모듈의 블록 구성도.
도6은 본 발명에 따른 RA추출부의 블록 구성도.
도7은 본 발명에 따른 인텔리젼스 생성 및 관리모듈의 블록 구성도.
도8은 본 발명에 따른 인텔리젼스 분석모듈의 블록 구성도.
도9는 N-Depth 분석에 따른 데이터 구성을 예시한 도면.
도10은 본 발명에 따른 침해정보 DB의 블록 구성도.

상기한 바와 같은 본 발명의 목적을 달성하기 위하여, 본 발명에 따른 수집정보 분석모듈은 AEGIS(Accumulated and intEGrated Intelligence System)의 침해정보 인텔리젼스(Intelligence) 분석 시스템을 구성하는 것으로서,

침해사고 연관정보 수집시스템으로부터 수신한 정보에서, 침해자원이나 속성과 같이 침해정보 ID로 관리할 수 있는 정보를 추출하고, 침해정보 ID관리부로부터 침해정보 ID를 획득한 후 상기 추출한 정보를 상기 획득한 침해정보 ID로 대체하는 RA추출부와, 침해정보 ID 추출기능으로 가공된 침해정보 데이터를 분석하여 침해정보 DB에서 관리하는 형태로 변환하는 Raw데이타 관리부와, 상기 수집시스템으로부터 수신한 원본 데이터를 기반으로 침해자원들 간 연관관계와 침해자원과 속성정보 간 연관관계를 분석하여 침해정보DB에서 관리하는 형태로 변환하는 릴레이션십 관리부를 포함하여 구성된다.

바람직하게, 상기 RA추출부는 상기 수집시스템에서 수신한 정보에서 침해정보 ID로 관리하기 위한 침해자원이나 속성 정보를 추출하는 침해정보 추출부와, 상기 ID추출부의 추출정보에 대응하는 침해정보 ID를 상기 침해정보 ID관리부로부터 획득하는 ID획득부와, 상기 ID추출부의 추출정보를 상기 획득한 침해정보 ID로 대체하는 정보 교환부를 포함하여 구성된다.

바람직하게, 상기 ID획득부는 상기 ID추출부의 추출정보가 침해정보DB에 존재하는지 확인하고, 상기 추출정보가 침해정보DB에 존재하는 경우, 추출정보에 대응하는 침해정보 ID를 상기 침해정보 ID관리부로부터 획득하고, 만일, 상기 추출정보가 침해정보DB에 존재하지 않는 경우, 새로운 침해정보 ID를 발급하는 것을 특징으로 한다.

바람직하게, 상기 릴레이션십 관리부는 입력값에 따라 연관관계(Relation ship)를 대분류 혹은 소분류로 나누고, 침해정보DB에서 저장 및 관리하는 tb_resource_relationship과 tb_attribute_ relationship의 명세를 기반으로 연관관계 (relationship) 클래스를 구성하는 것을 특징으로 한다.

이하, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 본 발명을 용이하게 실시할 수 있도록 하기 위하여, 본 발명의 바람직한 실시예들에 관하여 첨부된 도면을 참조하여 상세히 설명하기로 한다. 도면에서 유사한 참조부호는 여러 측면에 걸쳐서 동일하거나 유사한 기능을 지칭한다.

본 발명은 사이버 공격의 사전 및 사후 대응을 위한 사이버 블랙박스 및 통합 사이버보안 상황분석 기술 개발을 위한 침해정보 인텔리젼스(Intelligence) 분석 시스템을 구현하였다. 본 발명에 따른 침해정보 인텔리젼스(Intelligence) 분석 시스템은 사이버 침해사고에 대하여 수집시스템이 수집한 정보를 기반으로 통합 정보 구성 및 침해사고 모델을 구축하고 인텔리젼스(Intelligence) 분석기능을 수행한다.

본 발명의 설명에 앞서 이하, 침해정보 인텔리젼스 분석 시스템의 설명에 사용되는 각종 용어 즉, 침해사고, 침해사고정보, 침해자원, 속성, 분석근거, 연관정보, 인텔리젼스(Intelligence), 인텔리젼스(Intelligence) 분석, 침해사고 모델을 정의한다.

상기 침해사고는 정보처리 시스템을 구성하는 자산을 대상으로 악의적 행위(Malicious Act)가 수행된 사례를 의미한다.

상기 침해사고정보는 단일/다수의 침해정보 혹은 발췌된 침해자원 및 연관정보들의 결합을 통해 침해사고와 관련하여 분석되고 구조적으로 구성된 정보를 나타낸다.

상기 침해자원은 침해사고를 구성하는 주요 정보(예: IP, Domain, 악성코드 등)이다.

상기 속성은 침해자원을 수집/조회/분석할 때 산출된 값으로서, 침해자원의 범주에 속하지 않은 정보이다.

상기 분석근거는 인텔리젼스(Intelligence) 분석결과의 의미가 되는 근거이다.

상기 연관정보는 침해자원 간 상호 관계성을 포함한 정보이다.

상기 인텔리젼스(Intelligence)는 통상적인 통합보안관제 솔루션에서 제공하는 알림/로그성 정보 등 수집정보 분석을 통한 추가적인 정보를 탐지한 결과를 나타낸다.

상기 인텔리젼스(Intelligence) 분석은 인텔리젼스(Intelligence)를 생성하기 위한 분석 방법을 나타낸다.

상기 침해사고 모델은 침해정보 그룹대상 분석결과로 도출된 패턴을 기반으로 구축한 모델이다.

도2a는 본 발명에 따른 AEGIS의 블록 구성도이다.

도2a에 도시된 바와 같이, 상기 AEGIS(Accumulated and intEGrated Intelligence System)는 침해자원 연관정보 수집 시스템(100)과 침해정보 인텔리젼스 분석 시스템(200)으로 구성된다.

상기 침해자원 연관정보 수집 시스템(100)은 사이버 블랙박스를 비롯한 외부 침해사고 정보수집 채널(예: 사이버 블랙박스, C-share, DNSBL, 유포지/악성코드 공유채널(virusshare.com 외 5개 사이트) 등)에서 침해사고 관련 정보(침해자원)를 수집하고, 이에 대한 연관정보를 외부 자원조회 시스템에 조회하여 단일 침해자원에 대한 다양한 분석정보를 수집하여 관리한다.

상기 침해정보 인텔리젼스 분석 시스템(200)은 상기 침해사고 연관정보 수집시스템(100)이 수집한 사이버 침해사고 정보를 주기적/불규칙적으로 수집하여 인텔리젼스(Intelligence) 정보를 생성한다. 따라서 침해정보 인텔리젼스 분석시스템 (200)은 상기 침해사고 연관정보 수집시스템(100)에 종속되는 경향을 보인다. 이러한 문제점을 해결하기 위하여 상기 수집시스템(100)에서 채용하는 데이터베이스 저장형식을 준용하여 저장 및 관리하며 이를 통해 수집되는 정보가 없더라도 독립적으로 인텔리젼스(Intelligence) 분석을 수행할 수 있는 환경을 제공한다.

또한, 인텔리젼스 분석에 필요한 리소스가 방대하며 수집정보를 참조해야 하는 경우가 다양하기 때문에 인텔리젼스 분석 성능향상을 위하여 캐시(Cache)의 개념으로 분석시스템(200)에 정보를 저장하는 것이 효율적이다. 분석시스템 (200)에서 산출되는 인텔리젼스는 API 서비스 및 파일을 통하여 정보를 송부한다. 사이버 블랙박스와의 연계하는 부분에서는 상기 수집시스템(100)에서 송부하는 블랙박스 정보를 기기 단위로 저장하고 분석 씨드(SEED) 요청 및 그 결과 이력을 관리한다.

도2b는 본 발명에 따른 침해정보 인텔리젼스 분석 시스템의 블록 구성도이다.

도2b에 도시된 바와 같이, 본 발명에 따른 침해정보 인텔리젼스 분석 시스템(200)은 침해정보 관리모듈(210), 수집정보 분석 모듈(220), 인텔리젼스 (Intelligence) 생성 및 관리 모듈(230), 인텔리젼스 분석모듈(240), 침해정보 데이타베이스(250, 침해정보DB), 로깅모듈(260), 인터페이스 모듈(270)을 포함하여 구성된다.

상기 침해정보 관리모듈(210)은 상기 침해사고 연관정보 수집시스템(100) 으로부터 수신한 정보와 침해정보 인텔리젼스(Intelligence)분석 관련 정보를 관리하는 모듈이다. 침해정보 관리모듈(210)은 침해정보에 대한 데이터에 접근하여 원본데이터 및 연관관계 정보를 제공한다.

침해정보 관리모듈(210)은 상기 침해사고 연관정보 수집시스템(100)으로부터 수신한 정보를 분석하기 위한 메인 역할을 수행하고, 침해정보 ID를 관리한다. 또한, 침해정보DB에 접근하여 데이터를 조회하고 저장하는 등의 침해정보 관리기능을 수행한다. 상기 침해정보는 침해자원(Resource) 정보와 속성(Attribute)정보를 포함하여 구성된다.

상기 수집정보 분석 모듈(220)은 침해사고 연관정보 수집시스템으로부터 수신된 데이터를 기반으로 침해정보 ID를 추출하고 원본데이터(Raw Data)와 연관관계를 추출하는 모듈이다. 수집정보 분석 모듈(220)은 수집정보를 전달받아 분석하며, 상기 침해정보 관리모듈(210) 이외의 모듈과는 통신하지 않는다.

상기 인텔리젼스 생성 및 관리모듈(230)은 인텔리젼스(Intelligence) 생성 요청에 대응하여 시스템(200)에 저장되어 있는 정책을 기반으로 인텔리젼스를 생성하고, 외부로의 전달을 위하여 인텔리젼스 포맷변환 및 이력정보 저장을 수행한다. 인텔리젼스 생성 및 관리모듈(230)은 인텔리젼스 생성을 담당한다.

상기 인텔리젼스 분석모듈(240)은 침해정보DB에 저장되어 있는 정보를 기반으로 실제로 인텔리젼스 분석을 수행한다. 공통적으로 사용되는 정보추출과 이를 응용한 세부정보 분석(N-Depth 분석)과, 연관관계 분석 등을 지원하는 모듈이다. 인텔리젼스 분석모듈(240)은 상기 인텔리젼스 생성 및 관리모듈(230) 이외의 모듈과는 통신하지 않는다.

도3은 본 발명에 따른 침해정보 관리모듈의 블록 구성도이다.

도3에 도시된 바와 같이, 본 발명에 따른 침해정보 관리모듈(210)은 침해사고 연관정보 수집부(212), RA ID관리부(214), 침해정보 관리부(216)를 포함하여 구성되며, 상기 침해사고 연관정보 수집시스템(100)으로부터 수신한 정보와 침해정보 인텔리젼스 분석 관련 정보를 관리한다.

상기 침해사고 연관정보 수집부(212)는 상기 침해사고 연관정보 수집시스템(100)으로부터 수신한 정보를 분석하고, 그 분석된 정보를 로깅한다.

침해사고 연관정보 수집부(212)는 침해사고 연관정보 분석 요청, 침해정보 수집 로깅, CBS 우선요청 XML 포맷 분석을 수행한다.

상기 침해사고 연관정보 분석의 경우, 침해사고 연관정보 접근처리기 (인터페이스 모듈(270))는 도4에 도시된 바와 같이 먼저, 침해사고 연관정보 수집부(212)를 생성하고, 생성된 침해사고 연관정보 수집부(212)는 상기 침해사고 연관정보 수집시스템(100) 으로부터 전달된 정보를 수신한다. 그리고 수집정보 분석 모듈(220)의 Raw 데이터 관리부(224)를 실행시킨다.

그러면, 상기 Raw 데이터 관리부(224)는 RA추출부(222)를 실행시켜 원본데이터의 침해자원(Resource)과 속성(Attribute)에 대한 ID를 발급한다. 그리고 상기 침해자원과 속성을 대체하여 상기 발급한 ID를 저장한다.

또한, 침해사고 연관정보 수집부(212)는 릴레이션십(Relationship) 관리부(226)를 호출한다. 이때, Raw 데이터 관리부(224)의 파라미터인 원본데이터 주소가 파라미터로서 송신된다.

상기 침해정보 수집 로깅은, 침해사고 연관정보 분석이 완료된 후 침해정보 DB(250)에 저장된 프로세스와 관련된 이력을 로깅 모듈(260)에 요청하기 위한 절차이다.

침해정보 수집을 로깅하고자 하는 경우, 침해사고 연관정보 수집부(212)는 수집정보의 분석이 완료된 후, Raw데이타 관리부(224)와 릴레이션십(Relationship) 관리부(226)로부터 리턴(Return)값을 수신한다.

침해사고 연관정보 수집부(212)는 상기 침해정보 관리모듈(210)이 생성된 시간(예: 인터페이스 모듈(270)에서 수집정보를 수신하여 분석 요청한 시간)을 기준으로 도4에 도시된 바와 같이 로깅 모듈(260)로 침해정보 수집 로깅을 요청한다. 상기 침해정보 수집 로깅에 관한 포맷은 로깅 모듈(260)에서 정의된다. 도4는 본 발명에 따른 침해사고 연관정보 수집부의 시퀀스 다이어 그램으로서, 침해사고 연관정보 분석 요청 절차와 침해정보 수집 로깅 절차를 예시하고 있다.

상기 CBS 우선요청 XML 포맷 분석의 경우, 침해사고 연관정보 수집시스템(100)은 사이버 블랙박스에서 요청한 정보가 저장되어 있지 않은 경우, 상기 요청한 정보를 수집한다. 그리고, 상기 침해정보 인텔리젼스 분석 시스템(200) 측으로, XML 포맷으로 수집정보를 분석해 줄 것을 요청하는 메시지와 상기 수집정보를 함께 송신한다.

그러면, 상기 송신된 메시지와 수집정보는 침해정보 인텔리젼스 분석 시스템(200)의 인터페이스 모듈(270, 침해사고 연관정보 접근처리기)에 전달되고, 침해사고 연관정보 수집부(212)는 상기 전달된 정보분석 요청 메시지와 수집정보를 분석하여 원시데이터로 변환한다.

상기 RA ID관리부(214)는 침해정보DB(250)에 저장되어 있는 침해정보(침해 자원(Resource)정보와 속성(Attribute)정보를 포함)의 ID(이하, 'RA ID'라 한다)를 조회하고, 조회결과 ID가 할당되지 않은 침해정보에 대해 ID를 발급하는 구성요소이다.

RA ID 조회요청 메시지가 수신되면, RA ID관리부(214)는 침해정보DB 접근처리기를 생성하고, 상기 RA ID 조회요청 메시지의 입력값을 참조하여, 침해자원과 속성에 할당되어 있는 ID를 상기 침해정보DB 접근처리기를 통해 조회한다.

상기 RA ID 조회 요청 메시지의 입력값은 동작모드 정보, 침해자원/속성 값, 침해자원(R)/속성(A) 유형을 포함하며 이때, 침해자원(R)/속성(A) 유형정보는 옵션이다. 상기 동작모드는 단순조회와 생성조회로 설정되며, 동작모드가 생성조회로 설정된 경우, RA ID관리부(214)는 해당 침해자원 ID(이하, 'RID'라 한다) 혹은 속성 ID(이하, 'AID'라 한다)가 존재하지 않으면 새로운 침해자원(Resource)/ 속성(Attribute) ID(이하, 'RA ID'라 한다)를 발급하여 반환(return)한다.

상기 침해정보 관리부(216)는 침해정보DB에 저장된 원본 데이터나 연관관계 정보를 조회하거나 저장하고, 시스템 또는 관리자가 정의한 분석근거에 의하여 도출되는 정보를 침해정보DB(250)측에 조회한다. 침해정보 관리부(216)는 입력값으로서, 조회요청(5bits)과 침해정보 값을 갖는다.

침해정보 관리부(216)는 상기 입력값(예: 조회요청(5bits), 침해정보 값)을 참조하여, 상기 침해정보DB 접근처리기를 통해 상기 침해정보 값에 대한 원본데이터(Raw Data영역) 또는 연관관계 정보(Relationship 영역)에 관한 조회를 수행하고, 조회된 결과를 반환(return)한다.

침해정보 관리부(216)는 상기 입력값의 조회요청 정보에 따라, 원본데이터 조회, 침해자원 간 연관관계 From 조회, 침해자원 간 연관관계 To 조회, 침해자원/속성 간 연관관계 조회, 속성/침해자원 간 연관관계 조회 등을 수행한다.

상기 입력 값은 하기 [표 1]에 기재된 바와 같이 조회요청 정보(5bits)와 침해정보 값(value)으로 구성된다.

조회요청(5bits)					설명
RID(1)/AID(0)	원본 데이터	RR- From	RR- To	RA
1				1	RA-Relationship
			1		RR-Relationship 중 RID=To
		1			RR-Relationship 중 RID=From
	1				원본데이터(RawData)
0	0	0	0	0	속성과 연관된 침해자원 ID/값 반환

침해정보 관리부(216)는 상기 [표 1]의 비트 조합에 기반한 조회요청에 대응하여 데이터 블록을 반환(return)한다. 단, RID/AID로 분류되어 있는 조회요청은 조합하여 처리할 수 없다.

원본데이터 조회의 경우, 침해정보 관리부(216)는 먼저, 인터페이스 모듈의 침해정보DB 접근 처리기를 호출하여 해당 원본데이터(Raw Data영역)를 조회하고 조회된 결과값을 반환(return)한다.

침해정보 관리부(216)는 RA ID관리부(214)에 침해자원 값을 입력하여 침해자원 ID(Resource ID)를 획득한다.

그리고 상기 획득한 ID의 유형(type)을 기반으로 매핑(Mapping) 테이블을 조회하여, 원본 데이터(Raw Data) 테이블과 seq 위치를 확인한다.

이후, 침해정보 관리부(216)는 침해자원이 위치한 테이블의 수만큼 반복하여 데이터를 축적하고, 축적된 데이터를 반환(return)한다.

침해자원 간 연관관계 From 조회의 경우, 침해정보 관리부(216)는 RA ID관리부(214)에 침해자원(Resource) 값을 입력하여 침해자원(Resource) ID를 획득한다. 이후, 획득한 ID를 기반으로 tb_resource_relationship 테이블을 조회하고, 검출된 데이터를 반환(return)한다. 침해정보 관리부(216)는 From 컬럼에 침해자원이 존재하는 데이터만을 조회한다.

침해자원 간 연관관계 To 조회의 경우, 침해정보 관리부(216)는 RA ID관리부(214)에 침해자원(Resource) 값을 입력하여 침해자원(Resource) ID를 획득한다. 이후, 획득한 ID를 기반으로 tb_resource_relationship 테이블을 조회하고, 검출된 데이터를 반환(return)한다. 침해정보 관리부(216)는 To 컬럼에 침해자원이 존재하는 데이터만을 조회한다.

침해자원/속성 간 연관관계 조회의 경우, 침해정보 관리부(216)는 RA ID관리부(214)에 침해자원(Resource) 값을 입력하여 침해자원(Resource) ID를 획득한다. 이후, 획득한 ID를 기반으로 tb_attribute_relationship 테이블을 조회하고, 검출된 데이터를 반환(return)한다.

속성/침해자원 간 연관관계 조회의 경우, 침해정보 관리부(216)는 RA ID관리부(214)에 침해자원(Resource) 값을 입력하여 속성(Attribute) ID를 획득한다. 이후, 획득한 ID를 기반으로 tb_attribute_relationship 테이블을 조회하고, 검출된 데이터를 반환(return)한다.

본 발명에 따른 침해정보 관리부(216)는 또한, 침해정보 인텔리젼스 분석결과를 저장한다.

침해정보 관리부(216)는 상기 인텔리젼스 생성 및 관리 모듈(230)의 인텔리젼스 생성부(234)로부터 인텔리젼스 분석결과를 수신하여 침해정보DB 접근처리기를 통해 저장한다. 침해정보 관리부(216)는, 인텔리젼스 분석결과가 침해정보에 포함된다는 정의 하에 인텔리젼스 분석결과를 관리한다.

본 발명에 따른 침해정보 관리부(216)는 또한, 침해정보의 추가 수집을 요청할 수 있다.

침해정보 관리부(216)는 침해정보 인텔리젼스 분석을 수행하기 위한 데이터를 조회하는 기본적인 역할을 수행하지만, 만일 검출된 데이터가 없다면 API 도구를 통해 침해사고 연관정보 수집시스템(100)으로 추가적인 정보 수집을 요청할 수 있다.

도5는 본 발명에 따른 수집정보 분석모듈의 블록 구성도이다.

도5에 도시된 바와 같이, 본 발명에 따른 수집정보 분석모듈(220)은 RA추출부(222), Raw데이타 관리부(224), 릴레이션십(Relationship) 관리부(226)를 포함하여 구성되며, 상기 수신한 정보를 기반으로 침해정보 아이디(ID)를 추출하고 원본데이터 (Raw Data)와의 연관관계를 추출한다.

상기 RA추출부(222)는 상기 침해사고 연관정보 수집시스템(100)으로부터 수신한 정보에서, 침해자원이나 속성과 같이 침해정보 ID로 관리할 수 있는 정보를 추출하고, 침해정보 ID관리부(214)로부터 침해정보 ID를 획득한 후 상기 추출한 정보를 상기 획득한 침해정보 ID로 대체한다. 이를 위해, RA추출부(222)는 도6에 도시된 바와 같이, 침해정보 추출부(222a), ID획득부(222b), 정보 교환부(222c)를 포함하여 구성된다. 도6은 본 발명에 따른 RA추출부의 블록 구성도이다.

상기 침해정보 추출부(222a)는 상기 수집시스템(100)에서 수신한 정보에서 침해정보 ID로 관리하기 위한 침해자원이나 속성 정보를 추출한다.

상기 ID획득부(222b)는 상기 ID추출부의 추출정보에 대응하는 침해정보 ID를 상기 침해정보 ID관리부(214)로부터 획득한다. ID획득부(222b)는 상기 ID추출부의 추출정보가 침해정보DB에 존재하는지 확인하고, 상기 추출정보가 침해정보DB에 존재하는 경우, 추출정보에 대응하는 침해정보 ID를 상기 침해정보 ID관리부(214) 로부터 획득하고, 만일, 상기 추출정보가 침해정보DB(250)에 존재하지 않는 경우, 새로운 침해정보 ID를 발급한다.

상기 정보 교환부(222c)는 상기 ID추출부의 추출정보를 상기 획득한 침해정보 ID로 대체한다.

RA추출부(222)는 침해사고 연관정보 원본데이터에서 침해자원(Resource)과 속성(Attribute)에 해당하는 컬럼을 추출하여, 입력값에 따른 침해자원(Resource) ID와 속성(Attribute) ID를 조회하거나 발급한다. 상기 입력값은 동작모드 정보(예: RawData 추출, Value 조회), 침해정보(예: 침해자원/속성 값), 침해자원(R)/속성(A) 유형을 포함하며 이때, 침해자원(R)/속성(A) 유형정보는 옵션값이다. 상기 침해자원(R)/속성(A) 유형정보는 동작모드가 Value 조회모드로 지정된 때, 상기 입력값에 포함된다.

상기 동작모드가 Raw Data 추출모드로 지정된 경우, RA추출부(222)는 상기 입력값에 포함된 침해정보의 속성 값에 따라 추출해야 하는 주요 정보와 그 주요정보의 유형을 확인한다. 그리고, 상기 주요 정보의 유형에 기반하는 침해자원과 속성 중 어느 것의 ID를 조회 및 발급할지 결정한다.

이후, RA추출부(222)는 침해정보DB(250)를 조회하여, 상기 결정된 값(예: 침해자원 값 혹은 속성 값)이 존재하였는지 확인하고, 만일 상기 결정된 값이 존재하는 경우 한다면 그 결정된 값을 반환한다.

반면, 상기 결정된 값이 존재하지 않는다면, 상기 RA추출부(222)는 가장 최근에 반환한 값에 1을 더하여 ID를 발급하고 발급된 ID를 결과값으로서 반환(return)한다. 그리고, tb_resource_id(혹은 tb_attribute_id)에 상기 발급된 ID와 상기 결정된 값(예: 침해자원 값 혹은 속성 값)을 저장한다.

만일, 상기 동작모드가 Value 조회모드로 지정된 경우 RA추출부(222)는 상기 입력값에 포함된 침해자원(R)/속성(A) 유형정보를 확인하고, 침해자원(R)/속성(A) 유형에 기반을 두어 침해자원과 속성 중 어느 것의 ID를 조회 및 발급할지 결정한다.

상기 RA추출부(222)는 이후에 침해정보DB(250)를 조회하여, 상기 결정된 값(예: 침해자원 값 혹은 속성 값)이 존재하였는지 확인하고, 만일 상기 결정된 값이 존재하는 경우 한다면 그 결정된 값을 반환한다.

반면, 상기 결정된 값이 존재하지 않는다면, 상기 RA추출부(222)는 가장 최근에 반환한 값에 1을 더하여 ID를 발급하고 발급된 ID를 결과값으로서 반환(return)한다. 그리고, tb_resource_id(혹은 tb_attribute_id)에 상기 발급된 ID와 상기 결정된 값(예: 침해자원 값 혹은 속성 값)을 저장한다.

본 발명은 침해자원(Resource)과 속성(Attribute)에 관한 ID발급 기준을 갖는다.

침해자원(Resource)의 정의에 근거하는 ID발급 기준으로 IP, Domain, Hash가 있으며, 속성(Attribute)의 정의에 근거하는 ID발급 기준으로 Email, 지리정보, 유사도 그룹정보, 파일명(경로) 등이 있다.

RA추출부(222)는 동일한 형태를 보유하고 있다고 하여 무조건 ID를 발급하지 않는다. 그리고, 추후 활용하지 않을 것이라고 판단되는 데이터(예시. Whois 조회테이블 중 네임서버 주소)에 대해서도 ID를 발급하지 않는다.

이상과 같은 ID 발급기준에 의거하여 테이블 단위마다 주요정보 추출이 상이하다. 주요정보의 선정은 데이터베이스 명세서 혹은 별도의 문서를 통하여 공동연구기관과의 협의 하에 결정된다.

본 발명에 따른 Raw데이타 관리부(224)는 침해정보 ID 추출기능으로 가공된 침해정보 데이터를 분석하여 침해정보DB(250)에서 관리하는 형태로 변환한다. Raw데이타 관리부(224)는 RA추출부(222)를 호출하고, 원본 데이터(Raw Data)를 수정 및 저장한다.

Raw데이타 관리부(224)는 침해정보를 구성하는 요소 즉, 침해자원(Resource) 과 속성(Attribute)에 대한 ID를 획득하기 위하여 상기 RA추출부(222)를 호출한다. 그리고, 호출된 RA추출부(222)는 침해사고 연관정보 데이터 내에 존재하는 침해자원(Resource)정보 혹은 속성(Attribute)정보를 추출하고, 침해자원ID 혹은 속성ID를 획득한다.

상기 호출시, RA추출부(222)의 동작모드는 RawData 추출모드로 지정된다.

Raw데이타 관리부(224)는 주요 분석근거 정보의 값을 상기 획득한 ID(숫자)로 대체한 후, Raw데이타 저장절차를 통해 침해정보DB(250)에 저장한다.

Raw 데이터 저장절차 수행을 위해, Raw데이타 관리부(224)는 우선, 상기 침해정보 관리부(216)를 호출하여 상기 대체된 값을 침해정보DB(250)에 저장한다. 그리고, 상기 Raw데이타 관리부(224)를 호출했던 침해사고 연관정보 수집부(212) (혹은 침해정보 관리부(216))에 상기 결과값(예: 대체된 값)이 반환(return)된다. 상기 결과값 반환은 침해사고 연관정보를 분석하여 저장 완료했음을 로깅하기 위한 것이다.

상기 릴레이션십 관리부(226)는 침해사고 연관정보 수집시스템으로부터 수신한 원본데이터를 기반으로 침해자원들간 연관관계(Relationship)와 침해자원과 속성정보간 연관관계(Relationship)를 분석(추출)하여 침해정보DB(250)에서 관리하는 형태로 변환한다. 그리고, 입력값으로서, 침해자원(예: IP, Domain, Hash) 정보를 입력받는다.

연관관계(Relationship) 추출을 위해, 릴레이션십 관리부(226)는 우선 입력값(예: 침해자원(예: IP, Domain, Hash))에 따라 연관관계(Relationship)를 대분류 혹은 소분류로 나눈다.

연관관계(Relationship) 정보는 침해정보 ID(RA ID)를 기준으로 저장되기 때문에, 릴레이션십 관리부(226)는 상기 침해정보 관리모듈(210)의 RA ID 관리부(214)를 호출하여, 침해자원ID(or 속성ID)를 획득한다.

릴레이션십 관리부(226)는 하기 [표 2] 내지 [표 4]에 나타난 바와 같이, 침해정보DB(250)에서 저장 및 관리하는 tb_resource_relationship과 tb_attribute_ relationship의 명세를 기반으로 연관관계(relationship) 클래스를 구성한다. 이렇게 구성된 연관관계(relationship) 클래스는 침해정보DB(250)의 저장 포맷과 동일하므로, 릴레이션십 관리부(226)는 별도의 포맷 변환 절차를 수행하지 않는다.

하기 [표 2]는 입력값이 아이피(IP)인 경우의 분석근거 매핑 테이블이다.

입력 유형	분석근거		맵핑되는 DB 테이블 및 컬럼 테이블명.컬럼명 (IP획득을 위한 컬럼)	설명	활용
	대분류	소분류
IP	IP	IP대역	없음 ※ 쿼리를 활용한 IP대역 기반 IP추출	IP 할당 정보, 대역정보	동일 C-Class 대역의 악성IP 조회
		등록지	tb_ip2location.country_name (req_ip)	IP 할당 국가 및 지리정보	Domain-Mapping IP의 지리정보 상이점 조회
	Domain	Mapping Domain	tb_mapping_domain.domain	분석기간 중 IP를 이용한 Domain 정보	직접적으로 연결된 Domain 조회
		악성 Domain	tb_ctas_spread.domain tb_malcrawler_data.seed_url ※ malwares.com은 재논의 필요	IP를 악성코드 유포에 사용한 URL	과거 악성코드 유포이력이 있는 악성 Domain 조회
	Malware	유포	tb_cbs_file.hash tb_malwares_ip_dect_down_sample.sha256	IP에서 유포된 악성코드 파일명/Hash	유포한 악성코드 조회
		역접속	tb_malwares_ip_dect_comm_sample.sha256 tb_cuckoo_analysis_info.sha256	IP로 접근한 악성코드 파일명/Hash	C&C통신한 악성코드 조회
	BlackList	경유이력	tb_ctas_via.date+time	해당 IP가 경유지로 악용된 이력(날짜)	과거 악성활동 검증
		유포이력	tb_ctas_spread.date+time	해당 IP가 유포지로 악용된 이력(날짜)	과거 악성활동 검증
		역접속	tb_ctas_inf_ip.date+time tb_ctas_malpc.date+time tb_ctas_atk_ip.date+time tb_dnsbl_ip.download_dt	해당 IP가 C&C, 정보유출지 등으로 악성코드/PC가 연결된 이력(날짜)	과거 악성활동 검증

하기 [표 3]은 입력값이 도메인(Domain)인 경우의 분석근거 매핑 테이블이다.

입력 유형	분석근거		맵핑되는 DB 테이블 및 컬럼 테이블명.컬럼명 (IP획득을 위한 컬럼)	설명	활용
	대분류	소분류
Domain	IP	악성IP	tb_ctas_via.ip tb_ctas_spread.ip tb_ctas_cnc.ip tb_malwares_hostname_report.ip(단, dect_down_count/dect_comm_count > 0)	분석기간 중 Domain을 이용한 악성 IP	연관된 IP 중 악성이었던 IP만 선별하여 조회
		Mapping IP	tb_mapping_ip.ip	Domain에 맵핑된 IP조회
	Domain	유사 Domain	없음 ※ 쿼리를 활용한 유사 Domain 추출	TLD/SLD 기반 유사 Domain	유사 침해사고 조회 근거
		Email	tb_whois.registrant_email	Domain을 등록한 등록자 Email	유사 침해사고 조회 근거
		등록지	tb_whois.registrat_address	Domain을 등록한 주소지	IP 기반 지리정보와의 비교
	Malware	유포	tb_cbs_file.hash tb_malwares_hostname_dect_down_sample.sha256	Domain이 유포한 악성코드(Hash)
		역접속	tb_malwares_hostname_dect_comm_sample.sha256 tb_cuckoo_analysis_info.sha256	Domain과 C&C통신/정보유출을 한 악성코드(Hash)
	BlackList	경유이력	tb_ctas_via.date+time	Domain이 경유지로 쓰인 시간
		유포이력	tb_ctas_spread.date+time	Domain이 유포지로 쓰인 시간
		역접속이력	tb_ctas_cnc.date+time	Domain이 C&C통신지/정보유출지로 쓰인 시간

하기 [표 4]은 입력값이 해쉬(Hash)인 경우의 분석근거 매핑 테이블이다.

입력 유형	분석근거		맵핑되는 DB 테이블 및 컬럼 테이블명.컬럼명 (IP획득을 위한 컬럼)	설명	활용
	대분류	소분류
Hash	IP	유포	tb_cbs_file.ip_addr tb_malwares_ip_dect_down_sample.ip_idx	Hash가 유포된 IP
		역접속	tb_malwares_ip_dect_comm_sample.ip_idx	Hash가 접속한 IP
	Domain	유포	tb_malwares_hostname_dect_down_sample.hostname_idx	Hash가 유포된 Domain
		역접속	tb_malwares_hostname_comm_down_sample.hostname_idx	Hash가 접속한 Domain
	Malware	Child	tb_anubis_process_activity.process_cr_executable tb_anubis_file_activity.file_created	생성되는 Child 파일/프로세스	생성경로/파일을 공유하는 경우, 동일 공격자로 추정할 수 있음
		Name	tb_cbs_file.file_name tb_mwcrawler_data.file_name tb_cuckoo_analysis_info.filename tb_anubis_analysis_info..filename	Hash가 가지는 파일명	동일한 파일명을 공유하는 악성코드 조회 ※ 문자열 길이에 따라 정확도 차이가 존재함
		백신	tb_malwares_hash_detected.result ※ 주요 백신선정필요	Hash에 대한 백신탐지명	동일 행위로 분류되는 악성코드 조회
		행위	미정	API 행위 유사 그룹정보	유사 침해사고 조회 근거
		Signatures	없음 ※ 쿼리를 활용한 Hash 조회(tb_cuckoo_analysis_info.yara)	YARA Signatures 기반 유사 파일	유사 침해사고 조회 근거

도7은 본 발명에 따른 인텔리젼스 생성 및 관리모듈의 블록 구성도이다.

도7에 도시된 바와 같이, 본 발명에 따른 인텔리젼스 생성 및 관리모듈 (230)은 인텔리젼스 포맷 변환부(232), 인텔리젼스 생성부(234), 인텔리젼스 이력 관리부(236)를 포함하여 구성되며, 인텔리젼스 생성요청에 대응하여 시스템에 저장되어 있는 정책을 기반으로 인텔리젼스를 생성하고, 외부로의 전달을 위하여 인텔리젼스 포맷을 변환하고 이력정보를 저장한다.

상기 인텔리젼스 포맷 변환부(232)는 블랙박스 정보 접근제어기를 호출하여 블랙박스와 연동하기 위한 포맷(예: XML, JSON 등)으로 인텔리젼스 분석결과를 변환한다. 인텔리젼스 포맷 변환부(232)는 GUI와의 연동을 위해 JSON(JavaScript Object Notation) 포맷을 지원하고, 블랙박스와의 연동을 위해 XML(eXtensible Markup Language) 포맷을 지원한다.

상기 인텔리젼스 생성부(234)는 인텔리젼스 분석모듈(240)을 실행하여 분석된 결과에 기반한 인텔리젼스를 생성한다.

인텔리젼스 생성부(234)는 인텔리젼스 분석모듈(240)로 인텔리젼스 분석을 요청한다. 이때, 분석요청 메시지는 원하는 인텔리젼스 분석 유형에 관한 정보를 포함한다.

인텔리젼스 생성부(234)는 실질적으로 인텔리젼스 분석을 수행하는 "N-Depth분석부(244)와 연관관계 분석부(246)"의 동작을 위한 수집정보 교환 등의 인터페이스 역할을 수행한다. 그리고, 인텔리젼스 최초 분석 시발점과 인텔리젼스 이력관리 요청 등 인텔리젼스 분석 관리의 역할을 수행한다.

또한, 인텔리젼스 생성부(234)는 상기 인텔리젼스 포맷변환부(232)에 의해 변환된 인텔리젼스 분석결과를 송신하기 위하여 API 도구 등을 통해 소정의 요청 메시지를 발송한다. 인텔리젼스 생성부(234)는 분석요청 시간, 분석 시간, 요청자(예: GUI, 사용자, 시스템 등) 등의 정보를 상기 요청 메시지에 포함시켜, 인텔리젼스 이력 관리부(236)측에 이력관리를 요청한다.

상기 인텔리젼스 이력 관리부(236)는 인텔리젼스 분석 요청 및 결과를 조회하고 저장한다.

인텔리젼스 이력 관리부(236)는 인텔리젼스 분석요청과 분석결과에 대한 이력(인텔리젼스 이력)을 저장하고 조회하는 기능을 수행한다.

인텔리젼스 이력 저장 시, 인텔리젼스 이력 관리부(236)는 인텔리젼스 분석결과를 요약하여 저장한다. 이때, 저장되는 인텔리젼스 이력정보는 분석요청 시간, 분석 시간, 분석결과의 수, 요청자(예: GUI, 사용자, 시스템 등), 내용 등의 정보들로 구성된다.

인텔리젼스 이력 관리부(236)는 인텔리젼스 이력 저장기능을 통해 분석결과의 수와 내용에 관한 정보를 추가적으로 도출하여야 한다. 상기 내용은 인텔리젼스를 생성하는 유형에 따라 '블랙박스 인텔리젼스', 'N-Depth 분석', '연관관계 분석', '통합분석'으로 나누어진다. 상기 분석결과의 수는 블랙박스 인텔리젼스의 유형을 기반으로 설정된다.

인텔리젼스 이력 관리부(236)는 상기 인텔리젼스 이력 저장기능을 통해 저장된 인텔리젼스 분석 이력을 조회한다. 사용자로부터 요청대상과 시간범위를 입력받아, 확인하고자 하는 인텔리젼스 분석 이력을 조회한 후 결과값을 반환한다.

도8은 본 발명에 따른 인텔리젼스 분석모듈의 블록 구성도이다.

도8에 도시된 바와 같이, 본 발명에 따른 인텔리젼스 분석모듈(240)은 분석정보 추출부(242), N-Depth분석부(244), 연관관계 분석부(246)를 포함하여 구성되며, 침해정보DB로부터 추출된 정보를 응용한 세부정보 분석(N-Depth 분석)과 연관관계 분석을 지원한다.

상기 분석정보 추출부(242)는 인텔리젼스 분석을 위하여 필요한 기반정보를 조회하고 추가정보 수집을 요청한다.

분석정보 추출부(242)는 침해정보 인텔리젼스 분석을 위해, '원본데이터(Raw Data)', '연관관계(Relationship)', 그리고 '이전에 생성한 인텔리젼스 분석정보'를 추출한다.

분석정보 추출부(242)는 하기 [표 5]의 테이블에 나열된 바와 같이, 결과유형 (예: 원본데이터, 연관관계, Intelligence 분석정보), 요청정보 유형(예: 침해자원('1'), 속성('0'), 그리고 요청정보 ID를 입력받는다.

입력값		값	설명
결과유형 (3bits)	원본데이터	1	원본데이터 정보를 반환
	연관관계	1	연관관계 정보를 반환
	Intelligence	1	Intelligence 분석정보를 반환
요청정보 유형		침해자원: 1, 속성: 0	입력된 요청정보 ID의 유형
요청정보 ID		ID 값	침해자원/속성 ID

< 분석정보 추출부(242)의 입력값 테이블>

분석정보 추출부(242)는 상기 [표 5]의 테이블에 나열된 값들을 입력값으로 하여, 실행된다.

그리고, 실행된 분석정보 추출부(242)는 침해정보 관리부(216)의 침해정보 조회기능을 호출하여 상기 3bits의 결과유형 설정값에 따라 침해정보를 수집하고 그 수집된 값(예: 원본데이터 or 연관관계 or 인텔리젼스 분석정보)을 반환한다.

상기 3bits의 결과유형 설정값이 원본데이터와 연관관계를 모두 지정한 경우(예: 110), 분석정보 추출부(242)는 하기 [표 6]의 요약 테이블을 생성한다. 그리고, 그 생성된 요약 테이블을 원본데이터와 연관관계 정보와 함께 반환한다.

순번	컬럼	설명
1	no	행의 순번
2	rid	Resource ID ※ tid가 Resource 인 경우 rid는 From의 ID
3	tid	Attribute ID / Resource ID(To ID)
4	tid_type	tid의 유형(Resource: 1, Attribute: 0)
5	kind	연관관계에 맵핑된 원본데이터가 존재하는 테이블의 ID(kind)
6	seq	연관관계에 맵핑된 원본데이터가 존재하는 테이블의 인덱스(seq)

상기 N-Depth분석부(244)는 분석정보 추출기능을 활용하여 깊이(Depth) 설정값에 해당하는 N-Depth 연관관계를 구축하여 침해정보 데이터와 매핑하고, 그 매핑된 결과를 인텔리젼스 포맷의 데이터로 변환한다.

N-Depth분석부(244)는 1-Depth로 구성되는 관계들을 연계하여 N-Depth의 정보 시퀀스를 구성한다. 또한, 연관관계 정보와 맵핑되는 원본데이터 정보를 구조적으로 구축한다. 이를 구축하기 위하여 N-Depth분석부(244)는 입력값으로서, 침해자원 ID, Depth 값(예: N), 분석유형 정보(2bits)를 입력받는다. 이들 입력값 중, 상기 Depth 값(예: N)은 사용자로부터 입력받는다.

N-Depth분석부(244)는 도9에 도시된 바와 같이, 연관관계 침해정보 그래프와 원본데이터로 구성되는 N-Depth의 분석결과를 출력하며, 상기 연관관계 침해정보 그래프의 경우 인접 리스트(Adjacency list)방식으로 표현한다. 도9는 N-Depth 분석에 따른 데이터 구성을 예시한 도면이다.

상기 분석유형 정보는 하기 [표 7]에 표시된 바와 같이 2bits의 조합으로, 연관관계 데이터만 받는 경우, 원본데이터만 받는 경우, 원본데이터와 연관관계 데이터를 동시에 받는 경우를 표시할 수 있다.

조회요청(2bits)		설명
원본 데이터	연관관계
	1	입력된 침해자원의 N-Depth 분석결과에 대한 연관관계 정보를 수신
1		입력된 침해자원의 N-Depth 분석결과에 대한 원본데이터를 수신

상기 N-Depth분석부(244)는 인텔리젼스 생성 및 관리모듈(230)의 인텔리젼스 생성부(234)로부터 N-Depth 분석을 요청 받으면, 동작을 시작한다.

그리고, 동작을 시작한 N-Depth분석부(244)는 분석정보 추출부(242)를 실행하여 상기 입력값의 침해자원 ID에 관한 연관관계 정보를 조회한다. 이때, 실행된 분석정보 추출부(242)는 상기 침해정보 관리부(216)의 침해정보 조회기능을 RR-From, RA 획득 모드로 실행한 후, 연관관계 정보를 획득하여 반환한다.

N-Depth분석부(244)는 상기 획득한 연관관계 정보를 하기 [표 8]의 테이블에 표시된 바와 같이 RID, Depth, Vertices의 데이터 형태로 저장한다. 하기 [표 8]은 Vertex 구성을 나타낸 테이블이다.

RID	Depth	Vertices
침해자원 ID	Depth 차수	(복수) 연결된 RID, (복수) 연결된 AID

상기 Vertices는 '{RID값}, {AID값}'과 같이 표기하며, RID나 AID의 값이 Null인 경우 단순히 {}로 표기한다.

원본데이터를 반환하는 경우, 상기 N-Depth분석부(244)는 분석정보 추출부(242)를 실행하여 상기 [표 8]에 도시된 RID의 원본데이터 정보를 수신한다. 그리고, 상기 입력값의 분석유형 정보(2bits)에 따라 결과 값을 반환한다.

상기 연관관계 분석부(246)는 연관관계 분석을 위한 침해자원의 비교대상을 선정하고, 그 선정된 비교대상 간 동일하게 혹은 유사하게 사용되는 정보를 비교 및 조회한다. 연관관계 분석부(246)는 크게, N-Depth 정보 추출과 연관관계 분석을 수행한다.

상기 N-Depth 정보 추출을 위해, 연관관계 분석부(246)는 먼저, 상기 N-Depth 분석부(244)를 호출하여 연관관계 침해정보 트리를 산출한다. 그리고, 산출된 연관관계 침해정보 트리에서 트리의 노드정보만을 발췌하여 동일 선상으로 나열한다.

연관관계 분석부(246)는 입력값으로서, N개 침해자원과 N-Depth 수를 입력받는다. 이때, 상기 N개 침해자원은 Array 형태로 입력된다. 침해정보 중 침해자원만을 입력 값으로 사용되는 이유는 침해자원만이 분석채널에서 동작할 수 있기 때문이다.

연관관계 분석부(246)은 동작이 개시되면, 우선 상기 입력값 중 상기 N개 침해자원을 확인하고, 상기 분석정보 추출부(242)를 호출한다.

이후, 분석정보 추출부(242)가 결과값을 반환(return)하면, '입력된 침해자원'과 '산출된 침해정보'로 각각 분류하여 저장한다.

연관관계 분석부(246)는 이 같은 동작(예: 분석정보 추출부 호출 & 분류하여 저장)을 상기 입력값의 침해자원 수(N개)만큼 반복 수행한다.

또한, 연관관계 분석부(246)는 상기 반복 수행된 결과정보의 깊이(Depth)와는 무관하게 최초 입력된 침해자원에서 산출된 침해정보 모음을 저장한다. 그리고, 상기 산출된 침해정보를 파라미터로 하여 연관관계 분석절차를 수행한다.

연관관계 분석을 위해, 연관관계 분석부(246)는 우선, 다수의 침해자원(예: 최소 두 개 이상)을 파라미터로 입력받는다.

그리고, 상기 N-Depth 정보추출 절차에서 산출된 정보 중 동일하게 사용된 값을 조회한다. 또한, 상기 산출된 N-Depth 정보들 중, IP, Domain, 그리고 hash의 교집합에 해당하는 항목(예: 그룹(1.2.3.4&test.co.kr))을 별도로 구성한다.

예를 들어, 상기 N-Depth 정보추출 절차에서, IP(1.2.3.4)에 대해 산출된 N-Depth 정보가 a, b, c이고, Domain(test.co.kr)에 대해 산출된 N-Depth 정보가 b, c, d인 경우, IP(1.2.3.4)는 a의 결과값을 갖고, Domain(test.co.kr)은 d의 결과값을 갖고, 그룹(1.2.3.4&test.co.kr)은 b, c의 결과 값을 갖는다. 상기 예시는 설명의 편의를 위해, IP와 Domain만을 가지고 설명했다. 상기 예시에는 hash에 대해 산출된 N-Depth 정보도 추가될 수 있다.

이후, 연관관계 분석부(246)는 상기 N-Depth 정보추출 절차의 결과값을 반환하고, 동작을 종료한다.

도10은 본 발명에 따른 침해정보 DB의 블록 구성도이다.

도10에 도시된 바와 같이, 본 발명에 따른 침해정보 DB(250)는 8가지의 저장영역(테이블)으로 구성된다.

본 발명에 따른 침해정보 DB(250)는 침해자원/속성 ID관리 테이블(250a), 침해자원/속성 세부정보 테이블(250b), 침해자원 맵핑정보 테이블(250c), 침해자원 원본데이터 테이블(250d), 침해자원/속성 연관관계 테이블(250e), 침해정보 Intelligence 분석결과 관리 테이블(250f), 블랙박스 정보관리 테이블(250g), 기타 시스템 운용을 위한 테이블(250h)을 포함하여 구성된다.

침해자원 원본데이터 테이블(250d)의 경우, 침해정보DB(250)는 상기 침해사고 연관정보 수집시스템(100)에서 정의하는 수집/조회채널 테이블에 기반하여 원본 데이터(RawData)를 정의하며, 필요한 경우 테이블에 컬럼을 추가하여 운용한다.

침해자원(예: IP, Domain, Hash 등)이나 속성(예: Email, 지리정보, 유사도그룹 등)과 같이 ID를 관리하는 침해정보의 경우, 침해정보DB(250)는 원본 데이터를 ID로 변환하여 저장한다. 예를 들어, IP(1.2.3.4)가 포함된 원본 데이터가 수집된 경우, 침해정보DB(250)는 1.2.3.4의 ID를 발급(기저장된 정보가 없는 경우)하여 1.2.3.4를 발급된 ID(100)로 대체하여 저장한다.

본 발명에 따른 침해정보 인텔리젼스 분석 시스템은 소프트웨어, 하드웨어 또는 이들의 조합된 것을 이용하여 컴퓨터로 읽을 수 있는 기록매체 내에서 구현될 수 있다.

하드웨어적인 구현에 의하면, 여기에 설명되는 침해정보 인텔리젼스 분석 시스템은 ASICs(Application Specific Integrated Circuits), DSPs(Digital Signal Processors), DSPDs(Digital Signal Processing Devices), PLDs(Programmable Logic Devices), FPGAs (Field Programmable Gate Arrays), 프로세서(processors), 제어기(controllers), 마이크로 컨트롤러(micro-controllers), 마이크로 프로세서 (microprocessors), 기능 수행을 위한 전기적인 유닛 중 적어도 하나를 이용하여 구현될 수 있다. 일부의 경우에 본 명세서에서 설명되는 실시 예들이 침해정보 인텔리젼스 분석 시스템 자체로 구현될 수 있다.

본 발명은 도면에 도시된 실시 예(들)를 참고로 설명되었으나 이는 예시적인 것에 불과하며, 본 기술 분야의 통상의 지식을 가진 자라면 이로부터 다양한 변형이 이루어질 수 있으며, 상기 설명된 실시예(들)의 전부 또는 일부가 선택적으로 조합되어 구성될 수도 있다는 점을 이해할 것이다. 따라서, 본 발명의 진정한 기술적 보호 범위는 첨부된 특허청구범위의 기술적 사상에 의해 정해져야 할 것이다.

이상, 기술된 바와 같이, 본 발명은, 수집 시스템과 분석 시스템으로 이루어진 통합 보안상황 분석시스템의 AEGIS을 설계하고, 특히 AEGIS의 분석 시스템(예: 침해정보 인텔리젼스 분석 시스템)에 관한 구체적인 구성과 설계 방안을 제시하였다.

또한, 상기 AEGIS의 침해정보 인텔리젼스(Intelligence) 분석 시스템에 부속된 수집정보 분석모듈에 관한 구체적인 구성과 설계 방안을 제시하였다.

본 발명은 AEGIS의 분석 시스템(예: 침해정보 인텔리젼스 분석 시스템)을 통해, 클라우드 기반 대규모 악성코드 분석, 모바일 침해사고 분석 및 대응, 침해사고 프로파일링 및 공격 예측, 침해사고 정보 공유 등을 수행할 수 있을 것으로 기대된다.

100 : 침해사고 연관정보 수집시스템
200 : 침해정보 인텔리젼스 분석 시스템
210 : 침해정보 관리모듈 212 : 침해사고 연관정보 수집부
214 : RA ID관리부 216 : 침해정보 관리부
220 : 수집정보 분석 모듈 222 : RA추출부
222a : 침해정보 추출부 222b : ID획득부
222c : 정보 교환부
224 : Raw데이타 관리부 226 : 릴레이션십 관리부
230 : 인텔리젼스 생성 및 관리 모듈 232 : 인텔리젼스 포맷 변환부
234 : 인텔리젼스 생성부 236 : 인텔리젼스 이력 관리부
240 : 인텔리젼스 분석모듈 242 : 분석정보 추출부
244 : N-Depth분석부 246 : 연관관계 분석부
250 : 침해정보 데이터베이스 260 : 로깅모듈
270 : 인터페이스 모듈

Claims (7)

1. AEGIS(Accumulated and intEGrated Intelligence System)의 침해정보 인텔리젼스(Intelligence) 분석 시스템을 구성하는 수집정보 분석모듈(220)에 있어서,
   침해사고 연관정보 수집시스템(100)으로부터 수신한 정보에서, 침해자원이나 속성과 같이 침해정보 ID로 관리할 수 있는 정보를 추출하고, 침해정보 ID관리부(214)로부터 침해정보 ID를 획득한 후 상기 추출한 정보를 상기 획득한 침해정보 ID로 대체하는 RA추출부(222)와,
   침해정보 ID 추출기능으로 가공된 침해정보 데이터를 분석하여 침해정보 DB에서 관리하는 형태로 변환하는 Raw데이타 관리부(224)와,
   상기 수집시스템(100)으로부터 수신한 원본 데이터를 기반으로 침해자원들 간 연관관계와 침해자원과 속성정보 간 연관관계를 분석하여 침해정보DB에서 관리하는 형태로 변환하는 릴레이션십 관리부(226)를 포함하되,
   상기 RA추출부(222)는,
   상기 수집시스템(100)에서 수신한 침해사고 연관정보 원본데이터에서 침해자원 ID 또는 속성 ID로 관리하기 위한 침해자원 또는 속성 정보를 추출하는 침해정보 추출부(222a)와,
   입력값에 따라서 상기 침해정보 추출부(222a)의 추출정보에 대응하는 침해자원 ID 또는 속성 ID를 상기 침해정보 ID관리부(214)로부터 획득하는 ID획득부(222b)와,
   상기 침해정보 추출부(222a)의 추출정보를 상기 획득한 침해자원 ID 또는 속성 ID로 대체하는 정보 교환부(222c)를 포함하되,
   상기 ID획득부(222b)는
   입력값에 따라서 상기 침해정보 추출부(222a)의 추출정보가 침해정보DB에 존재하는지 확인하고,
   상기 추출정보가 침해정보DB에 존재하는 경우, 추출정보에 대응하는 침해정보 ID를 상기 침해정보 ID관리부(214)로부터 획득하고,
   만일, 상기 추출정보가 침해정보DB(250)에 존재하지 않는 경우, 새로운 침해정보 ID를 발급하는 것을 특징으로 하되,
   상기 릴레이션십 관리부(226)는,
   입력값에 따라 연관관계(Relationship)를 대분류 혹은 소분류로 나누고, 침해정보DB(250)에서 저장 및 관리하는 tb_resource_relationship과 tb_attribute_ relationship의 명세를 기반으로 상기 침해정보DB(250)의 저장 포맷과 동일한 연관관계(relationship) 클래스를 구성하는 것을 특징으로 하되,
   상기 릴레이션십 관리부(226)는,
   침해자원 정보를 포함하는 입력값을 가지며, 이때 침해자원 정보는 IP, Domain, 그리고 Hash 중 어느 하나인 것을 특징으로 하는 수집정보 분석모듈.
2. 삭제
3. 삭제
4. 제1항에 있어서, 상기 RA추출부(222)는,
   동작모드 정보, 침해정보, 그리고 침해자원(R)/속성(A) 유형정보가 포함된 입력값을 가지며, 상기 동작모드 정보는 Raw데이타 추출 모드와 Value조회 모드 중 어느 하나인 것을 특징으로 하는 수집정보 분석모듈.
   
5. 제4항에 있어서, 상기 침해자원(R)/속성(A) 유형정보는,
   옵션에 해당되는 정보이며, 상기 동작모드 정보가 Value조회 모드로 지정된 때, RA추출부(222) 입력값에 포함되는 것을 특징으로 하는 수집정보 분석모듈.
   
6. 삭제
7. 삭제

Images