KR101794187B1 - 침해 사고 정보를 관리하기 위한 방법과 침해 사고 관리 시스템, 및 컴퓨터 판독 가능한 매체 - Google Patents
침해 사고 정보를 관리하기 위한 방법과 침해 사고 관리 시스템, 및 컴퓨터 판독 가능한 매체 Download PDFInfo
- Publication number
- KR101794187B1 KR101794187B1 KR1020160006477A KR20160006477A KR101794187B1 KR 101794187 B1 KR101794187 B1 KR 101794187B1 KR 1020160006477 A KR1020160006477 A KR 1020160006477A KR 20160006477 A KR20160006477 A KR 20160006477A KR 101794187 B1 KR101794187 B1 KR 101794187B1
- Authority
- KR
- South Korea
- Prior art keywords
- infringement
- information
- index
- exploitation
- resource
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims description 43
- 238000004458 analytical method Methods 0.000 claims abstract description 34
- 238000007726 management method Methods 0.000 claims description 59
- 238000013523 data management Methods 0.000 claims description 48
- 238000013480 data collection Methods 0.000 claims description 24
- 230000009545 invasion Effects 0.000 claims description 16
- 238000012790 confirmation Methods 0.000 claims description 4
- 230000007246 mechanism Effects 0.000 abstract description 2
- 238000010586 diagram Methods 0.000 description 10
- 230000008595 infiltration Effects 0.000 description 8
- 238000001764 infiltration Methods 0.000 description 8
- 238000004891 communication Methods 0.000 description 7
- 239000008186 active pharmaceutical agent Substances 0.000 description 5
- 230000006399 behavior Effects 0.000 description 3
- 230000008859 change Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 238000000605 extraction Methods 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 229960005486 vaccine Drugs 0.000 description 3
- 230000004913 activation Effects 0.000 description 2
- 239000003814 drug Substances 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 238000012351 Integrated analysis Methods 0.000 description 1
- 206010033799 Paralysis Diseases 0.000 description 1
- 241000700605 Viruses Species 0.000 description 1
- 230000009471 action Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000003745 diagnosis Methods 0.000 description 1
- 208000015181 infectious disease Diseases 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 230000008450 motivation Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000001151 other effect Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 238000012384 transportation and delivery Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q50/00—Information and communication technology [ICT] specially adapted for implementation of business processes of specific business sectors, e.g. utilities or tourism
- G06Q50/10—Services
- G06Q50/26—Government or public services
- G06Q50/265—Personal security, identity or safety
-
- G06F17/30336—
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Business, Economics & Management (AREA)
- Tourism & Hospitality (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Economics (AREA)
- Primary Health Care (AREA)
- Health & Medical Sciences (AREA)
- Development Economics (AREA)
- General Health & Medical Sciences (AREA)
- Human Resources & Organizations (AREA)
- Marketing (AREA)
- Educational Administration (AREA)
- Strategic Management (AREA)
- Physics & Mathematics (AREA)
- General Business, Economics & Management (AREA)
- General Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Storage Device Security (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
본 실시예는 외부의 침해 공유 채널로부터 수집되거나 생성된 침해 악용 자원, 침해 연관 정보 및 침해 정보를 수집 또는 조회시 이들의 유기적인 연관 관계를 고려하여 적어도 하나의 인덱스(ID)를 부여하여 관리할 수 있는 메카니즘이 제공된다.
이에, 본 실시예는 침해사고 정보 관리를 통해, 그에 따른 침해 연관 성을 파악하고, 이를 분류 및 체계적으로 관리함으로써, 차후에 발생하는 침해 사고에 대해 지능적인 분석의 방향성을 제시할 수 있다.
이에, 본 실시예는 침해사고 정보 관리를 통해, 그에 따른 침해 연관 성을 파악하고, 이를 분류 및 체계적으로 관리함으로써, 차후에 발생하는 침해 사고에 대해 지능적인 분석의 방향성을 제시할 수 있다.
Description
본 실시예는 네트워크 통신에서 침해 사고를 통합적으로 분석하는데 필요한 침해 사고를 관리하기 위한 기술에 관한 것이다.
일반적으로, 침해 사고는 해킹, 바이러스, 악성코드 감염 등 악의적인 방법으로 정보유출, 서비스 마비 등의 피해를 발생시키는 행위를 말한다. 이러한 침해 사고의 목적은 개인의 과시욕 및 금전적 목적과 같은 단순한 행태를 벗어나 사회의 혼란 및 정치적인 목적을 달성하려는 경향이 있다.
이러한 특정 목적을 지닌 공격자들은 자신의 목적을 달성하기 위해 공격을 지속적으로 감행하는 특징을 보인다.
이를 해결하기 위하여 침해 사고를 탐지, 수집 및 분석하기 위한 기술들이 개발되고 있다. 침해 사고를 탐지 및 분석하기 위한 방법으로 악성코드가 감염된 호스트를 분석하거나, 네트워크의 트래픽, 로그 분석을 통해 해커의 행위를 추적하는 방법 혹은 여러 백신 업체, 사용자의 평판에 의한 분석 등 침해 사고를 분석하기 위한 다양한 기법이 존재한다.
하지만, 단일 침해 사고에 대한 분석은 다른 침해 사고와의 관계를 유기적으로 연결하지 못하기 때문에, 타 침해 사고와의 연관성 분석, 동일 공격자의 특성 파악을 통한 표적형 공격 및 향후 공격 예측을 지원하지 못하는 문제점이 있다.
침해 사고를 일으키는 침해 사고 정보들이 매우 다양하고, 수시로 발생하고 있지만, 침해 사고 정보간의 유기적인 수집 및 관리가 부족한 관계로, 전술한 침해 사고 분석이 어려운 문제점이 있다.
본 실시예는 침해 사고 정보를 공유하고 있는 침해 사고 공유 채널을 기반으로 침해 사고 정보의 연관 관계를 파악하여 분류 및 관리하기 위한 방법, 침해 사고 관리 시스템 및 컴퓨터 판독 가능한 매체를 제공하는데 그 목적이 있다.
하나의 일 실시예에 따르면, 침해 사고 관리 시스템을 통해 수집된 침해 사고 분석에 필요한 침해 사고 정보를 체계적으로 관리하기 위한 방법으로서, 적어도 하나의 침해 공유 채널로부터 침해 악용 자원과 상기 침해 악용 자원마다 연관된 부속의 침해 연관 정보를 수집하고, 상기 수집된 침해 연관 정보를 재귀적으로 다시 분류한 침해 정보를 생성하는 단계; 상기 수집된 침해 악용 자원과 침해 연관 정보 및 상기 침해 정보를 데이터베이스에 저장하는 단계; 및 상기 침해 악용 자원, 상기 침해 연관 정보 및 상기 침해 정보를 수집 또는 조회시 상기 침해 악용 자원, 상기 침해 연관 정보 및 상기 침해 정보간 유기적인 연관 관계를 고려하여 적어도 하나의 인덱스(ID)를 부여하여 상기 데이터베이스에 저장하는 단계를 포함하는 침해 악용 정보의 관리 방법을 제공한다.
상기 적어도 하나의 인덱스를 부여하여 상기 데이터베이스에 저장하는 단계는 상기 침해 악용 자원을 타입별로 수집시 상기 타입마다 제1 인덱스를 부여하는 단계; 및 상기 제1 인덱스를 부여받은 상기 침해 악용 자원의 타입별 매칭된 침해 연관 정보를 조회시 조회 작업 단위로서 제2 인덱스를 부여하는 단계를 포함할 수 있다.
상기 적어도 하나의 인덱스를 부여하여 상기 데이터베이스에 저장하는 단계는 상기 침해 연관 정보를 재귀적으로 조회할 때마다 또는 상기 침해 정보를 조회시 마다 부여된 제3 인덱스를 증가시킬 수 있다.
상기 적어도 하나의 인덱스를 부여하여 상기 데이터베이스에 저장하는 단계는 상기 침해 악용 자원을 수집시, 상기 수집된 침해 악용 자원마다 발생된 이력 정보를 상기 데이터베이스에 저장하는 단계; 및 상기 데이터베이스에 저장된 이력 정보마다 제4 인덱스를 부여하는 단계를 더 포함할 수 있다.
상기 적어도 하나의 인덱스를 부여하여 상기 데이터베이스에 저장하는 단계는 상기 데이터베이스에 저장된 침해 연관 정보를 조회하거나 새로이 수집시, 상기 침해 연관 정보에 대한 수집 대상이 존재하는지를 상기 데이터베이스에서 확인하는 단계; 상기 수집 대상이 존재하면, 해당하는 상기 침해 악용 자원을 상기 데이터베이스로부터 추출하는 단계; 상기 추출된 침해 악용 자원에 대하여 상기 제1 인덱스가 부여되어 있는지를 판단하는 단계; 및 상기 판단의 결과, 상기 제1 인덱스가 부여되어 있으면, 상기 추출된 침해 악용 자원에 대해 기존 제1 인덱스를 부여하고, 상기 제1 인덱스가 부여되어 있지 않으면, 상기 추출된 침해 악용 자원에 대해 신규 제1 인덱스를 부여하는 단계를 포함할 수 있다.
상기 적어도 하나의 인덱스를 부여하여 상기 데이터베이스에 저장하는 단계는 상기 기존 제1 인덱스가 부여된 경우, 설정 시간 이내 상기 추출된 침해 악용 자원에 매칭된 침해 연관 정보의 제2 인덱스가 존재하는지를 판단하는 단계; 및 상기 판단의 결과, 상기 침해 연관 정보의 제2 인덱스가 존재하면, 상기 추출된 침해 악용 자원에 대한 이력 정보를 생성하고, 상기 침해 연관 정보의 제2 인덱스가 존재하지 않으면, 상기 침해 연관 정보에 대해 새로운 제2 인덱스를 부여하는 단계를 포함할 수 있다.
하나의 일 실시예에 따르면, 침해 사고 분석에 필요한 침해 사고 정보를 체계적으로 관리하기 위한 침해 사고 관리 시스템으로서, 적어도 하나의 침해 공유 채널로부터 침해 악용 자원과 상기 침해 악용 자원마다 연관된 부속의 침해 연관 정보를 수집하고, 상기 수집된 침해 연관 정보를 재귀적으로 다시 분류한 침해 정보를 생성하는 데이터 수집 모듈; 상기 수집된 침해 악용 자원, 상기 침해 연관 정보 및 상기 침해 정보를 저장하는 데이터베이스; 및 상기 데이터베이스에 저장된 침해 악용 자원, 침해 연관 정보 및 침해 정보를 수집 또는 조회시 상기 침해 악용 자원, 상기 침해 연관 정보 및 상기 침해 정보간 유기적인 연관 관계를 고려하여 적어도 하나의 인덱스(ID)를 부여하는 데이터 관리 모듈을 포함하는 침해 사고 관리 시스템을 제공한다.
상기 데이터 관리 모듈은 상기 침해 악용 자원을 타입별로 수집시 상기 타입마다 제1 인덱스를 부여하는 침해 자원 관리 모듈; 및 상기 제1 인덱스를 부여받은 상기 침해 악용 자원의 타입별 매칭된 침해 연관 정보를 조회시 조회 작업 단위로서 제2 인덱스를 부여하는 연관 정보 관리 모듈을 포함할 수 있다.
상기 데이터 관리 모듈은 상기 침해 연관 정보를 재귀적으로 조회할 때마다 또는 상기 침해 정보를 조회시 마다 부여된 제3 인덱스를 증가시키는 재귀적 조회 관리 모듈을 더 포함할 수 있다.
상기 데이터 관리 모듈은 상기 침해 악용 자원을 수집시, 상기 수집된 침해 악용 자원마다 이력 정보를 발생시키고, 발생된 이력 정보마다 제4 인덱스를 부여하여 상기 데이터베이스에 저장되도록 하는 이력 관리 모듈을 더 포함할 수 있다.
상기 침해 자원 관리 모듈은 상기 데이터베이스에 저장된 침해 연관 정보를 조회하거나 새로이 수집시, 상기 침해 연관 정보에 대한 수집 대상이 존재하는지를 상기 데이터베이스에서 확인하는 수집 대상 확인 모듈; 상기 수집 대상이 존재하면, 해당하는 상기 침해 악용 자원을 상기 데이터베이스로부터 추출하는 침해 자원 추출 모듈; 및 상기 추출된 침해 악용 자원에 대하여 상기 제1 인덱스가 부여되어 있는지를 판단하는 제1 인덱스 판단 모듈을 포함할 수 있다.
상기 제1 인덱스 판단 모듈은 상기 판단의 결과, 상기 제1 인덱스가 부여되어 있으면, 상기 추출된 침해 악용 자원에 대해 기존 제1 인덱스를 부여하고, 상기 제1 인덱스가 부여되어 있지 않으면, 상기 추출된 침해 악용 자원에 대해 신규 제1 인덱스를 부여할 수 있다.
상기 침해 자원 관리 모듈은 연관 정보 관리 모듈은 상기 기존 제1 인덱스가 부여된 경우, 설정 시간 이내 상기 추출된 침해 악용 자원에 매칭된 침해 연관 정보의 제2 인덱스가 존재하는지를 판단하는 제2 인덱스 판단 모듈을 더 포함할 수 있다.
상기 제2 인덱스 판단 모듈은 상기 판단의 결과, 상기 침해 연관 정보의 제2 인덱스가 존재하면, 상기 추출된 침해 악용 자원에 대한 이력 정보를 생성하고, 상기 침해 연관 정보의 제2 인덱스가 존재하지 않으면, 상기 침해 연관 정보에 대해 새로운 제2 인덱스를 부여할 수 있다.
이상과 같이, 본 실시예는 침해사고 정보 관리를 통해, 그에 따른 침해 연관 성을 파악하고, 이를 분류 및 체계적으로 관리함으로써, 차후에 발생하는 침해 사고에 대해 지능적인 분석의 방향성을 제시할 수 있다.
이로써, 본 실시예는 침해 사고 이력을 지속적으로 축적 및 관리함으로써, 예상되는 침해 사고시 데이터 공유 및 조회를 할 수 있는 데이터웨어하우스의 역할을 기대할 수 있다.
이상에서 설명된 효과는 언급한 효과들로 제한되지 않으며 언급하지 않은 또 다른 효과들은 아래의 기재로부터 본 실시예들이 속하는 분야에서 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.
이하에 첨부되는 도면들은 본 실시예에 관한 이해를 돕기 위한 것으로, 상세한 설명과 함께 실시예들을 제공한다. 다만, 본 실시예의 기술적 특징이 특정 도면에 한정되는 것은 아니며, 각 도면에서 개시하는 특징들은 서로 조합되어 새로운 실시예로 구성될 수 있다.
도 1은 일 실시예에 따른 침해 악용 정보의 관리 방법을 예시적으로 나타낸 순서도이다.
도 2는 도 1의 침해 악용 정보의 관리 방법을 수행하는 침해 사고 관리 시스템의 일례를 예시적으로 나타낸 블럭 구성도이다.
도 3은 도 1의 210 단계에서 개시된 재귀적 분류의 수집 시나리오 일례를 나타낸 도면이다.
도 4는 도 1에서 개시한 재귀적 조회를 통한 연관된 침해정보 획득 과정을 나타낸 도면이다.
도 5는 도 1에서 개시한 RBL 파일 정보의 수집 형태를 나타낸 도면이다.
도 6은 도 1에서 개시한 230 단계의 인덱스 부여 방법을 보다 구체적으로 나타낸 순서도이다.
도 7은 도 1 및 도 6에서 개시한 인덱스 발급 절차를 예시적으로 나타낸 순서도이다.
도 8은 도 7과 다른 형태의 인덱스 발급 절차를 예시적으로 나타낸 순서도이다.
도 9는 일 실시예에 따른 침해 사고 관리 시스템의 일례를 예시적으로 나타낸 블럭 구성도이다.
도 10은 도 9의 데이터 관리 모듈의 구성을 상세히 나타낸 블럭 구성도이다.
도 11은 도 10의 침해 자원 관리 모듈의 구성을 예시적으로 나타탠 블럭 구성도이다.
도 1은 일 실시예에 따른 침해 악용 정보의 관리 방법을 예시적으로 나타낸 순서도이다.
도 2는 도 1의 침해 악용 정보의 관리 방법을 수행하는 침해 사고 관리 시스템의 일례를 예시적으로 나타낸 블럭 구성도이다.
도 3은 도 1의 210 단계에서 개시된 재귀적 분류의 수집 시나리오 일례를 나타낸 도면이다.
도 4는 도 1에서 개시한 재귀적 조회를 통한 연관된 침해정보 획득 과정을 나타낸 도면이다.
도 5는 도 1에서 개시한 RBL 파일 정보의 수집 형태를 나타낸 도면이다.
도 6은 도 1에서 개시한 230 단계의 인덱스 부여 방법을 보다 구체적으로 나타낸 순서도이다.
도 7은 도 1 및 도 6에서 개시한 인덱스 발급 절차를 예시적으로 나타낸 순서도이다.
도 8은 도 7과 다른 형태의 인덱스 발급 절차를 예시적으로 나타낸 순서도이다.
도 9는 일 실시예에 따른 침해 사고 관리 시스템의 일례를 예시적으로 나타낸 블럭 구성도이다.
도 10은 도 9의 데이터 관리 모듈의 구성을 상세히 나타낸 블럭 구성도이다.
도 11은 도 10의 침해 자원 관리 모듈의 구성을 예시적으로 나타탠 블럭 구성도이다.
이하, 첨부된 도면을 참조하여 본 명세서에 개시된 실시 예를 상세히 설명하되, 도면 부호에 관계없이 동일하거나 유사한 구성요소는 동일한 참조 번호를 부여하고 이에 대한 중복되는 설명은 생략하기로 한다.
이하의 본 명세서에 개시된 실시 예를 설명함에 있어서 관련된 공지 기술에 대한 구체적인 설명이 본 명세서에 개시된 실시 예의 요지를 흐릴 수 있다고 판단되는 경우 그 상세한 설명을 생략한다.
또한, 이하의 실시예에서 개시되는 '제1'과 '제2' 등과 같이 서수를 포함하는 용어는 다양한 구성 요소들을 설명하는데 사용될 수 있지만, 상기 구성 요소들은 상기 용어들에 의해 제한정되지는 않는다. 상기 용어들은 하나의 구성 요소를 다른 구성 요소로부터 구별하는 용도로서 사용된다.
또한, 이하의 실시예에서 개시되는 '및/또는'은 열거되는 관련 항목들 중 하나 이상의 항목에 대한 임의의 및 모든 가능한 조합들을 포함하는 것으로 이해되어야 한다.
또한, 첨부된 도면은 본 명세서에 개시된 실시 예를 쉽게 이해할 수 있도록 하기 위한 것일 뿐, 첨부된 도면에 의해 본 명세서에 개시된 기술적 사상이 제한되지 않으며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.
또한, 이하의 실시예에서 개시되는 "포함하다", 또는 "이루어지다" 등의 용어들은, 특별히 반대되는 기재가 없는 한, 해당 구성 요소가 내재될 수 있음을 의미하는 것으로, 다른 구성 요소를 제외하는 것이 아니라 다른 구성 요소를 더 구비하는 것으로 이해되어야 한다.
또한, 명세서 전반에 걸쳐 개시된 침해 사고 정보는 침해 공유 채널을 통해 수집되는 정보들 뿐만 아니라, 침해 사고 관리 시스템에 의해 조회, 생성 및 가공되는 정보들까지 포함하는 보다 넓은 개념의 용어로서 이해되어야 한다.
이하에서는, 전술한 침해 사고 정보를 관리하기 위한 방법 및 시스템 등의 관점에 대하여 보다 구체적으로 설명하고자 한다.
<침해 악용 정보의 관리 방법의 예>
도 1은 일 실시예에 따른 침해 악용 정보의 관리 방법을 예시적으로 나타낸 순서도이고, 도 2는 도 1의 침해 악용 정보의 관리 방법을 수행하는 침해 사고 관리 시스템의 일례를 예시적으로 나타낸 블럭 구성도이다.
도 2에 도시된 침해 사고 관리 시스템(100)은 적어도 하나의 침해 공유 채널로부터 침해 자원 및/또는 침해 연관 정보와 같은 데이터를 수집 및/또는 조회하기 위한 데이터 수집 모듈(110) 및 상기 데이터 수집 모듈(110)에 의해 수집되거나 조회된 데이터를 인덱스를 부여하여 관리하고, 더 나아가 해당 데이터를 조회시에도 인덱스를 부여하여 관리하기 위한 데이터 관리 모듈(120) 및 상기 데이터 수집 모듈(110)과 데이터 관리 모듈(120)에 의해 처리된 데이터를 저장하는 데이터 베이스(130)를 포함할 수 있다.
상기 침해 공유 채널은 외부의 침해 사고 공유 시스템(10)에서 운영하는 사이트 또는 정보 제공 채널로서, 제1 정보 공유 채널 및 제2 정보 공유 채널을 포함할 수 있다.
이런 경우, 상기 외부의 침해 사고 공유 시스템(10)과 침해 사고 관리 시스템(100) 사이에는 유선 통신망 또는 무선 통신망으로 연결될 수 있다.
이하에서는, 전술한 도 2의 침해 사고 관리 시스템(100)에 의해 수행되는 침해 악용 정보의 관리 방법은 다음과 같다.
도 1를 참조하면, 일 실시예에 따른 침해 악용 정보의 관리 방법(200)은 침해 사고 관리 시스템(100)을 통해 수집된 침해 사고 분석에 필요한 침해 사고 정보를 체계적으로 관리하기 위하여, 210 단계 내지 230 단계를 포함할 수 있다.
먼저, 예시적인 210 단계에서, 데이터 수집 모듈(110)은 적어도 하나의 침해 공유 채널로부터 침해 악용 자원과 상기 침해 악용 자원마다 연관된 부속의 침해 연관 정보를 수집할 수 있다.
예를 들면, 데이터 수집 모듈(110)은 외부의 침해 사고 공유 시스템(10)에 자동 접속하여 외부의 침해 사고 공유 시스템(10)에서 제공하는 사이버 블랙박스( 침해 자원 제공 사이트) 등을 포함하는 제1 정보 공유 채널로부터 침해사고 관련 정보(침해 악용 자원)를 수집할 수 있다.
언급된 제1 정보 공유 채널은 사이버 블랙박스, C-share, DNSBL, 유포지/악성코드 공유채널(예 : virusshare.com 등) 등일 수 있다. 그러나, 이러한 제 정보 공유 채널에 한정되지는 않는다.
반면, 언급된 적어도 하나의 침해 악용 자원은 침해 공격에 악용된 도메인(Domain) 정보, IP 정보, Hash 정보 및 E-mail 정보를 포함할 수 있다. 이러한 침해 악용 자원들은 전술한 제1 정보 공유 채널 중 적어도 하나로부터 수집되는 정보를 가리킬 수 있다.
게다가, 데이터 수집 모듈(110)은 침해 악용 자원에 대한 보다 구체적이고 연관된 정보를 제2 정보 공유 채널을 통해 획득하기 위하여, 외부의 침해 사고 공유 시스템(10)의 제2 정보 공유 채널에 접속한 후, 침해 악용 자원마다 조회한 결과로서, 침해 연관 정보를 제2 정보 공유 채널로부터 수집할 수 있다.
언급된 제2 정보 공유 채널은 DNS/PTR record, Whois, IP2Location, Google 침해사고이력, SLD(Second Level Domain), 파일 분석 시스템, 악성코드 유사도 분석시스템, SPEED 및 TLD(Top Level Domain)를 포함할 수 있다.
반면, 수집된 침해 연관 정보는 침해 공격에 악용된 도메인(Domain) 정보, IP 정보, Hash 정보 및 E-mail 정보를 포함한 조사 대상인 침해 악용 자원마다 연관성을 가지면서도 세분화된 정보일 수 있다.
더 나아가, 예시적인 210 단계의 데이터 수집 모듈(110)은 수집된 침해 연관 정보를 재귀적으로 다시 분류한 침해 정보를 생성할 수 있다.
상기 침해 정보는 수집된 침해 연관 정보가 침해 악용 자원의 재귀적으로 회귀하도록 분류한 정보를 가리킬 수 있다.
재귀적인 분류는 침해 연관 정보 중 공격에 사용된 주요자원(IP, Domain, Hash)에 대한 추가적 침해사고 연관 구조를 파악하기 위한 조치일 수 있다. 이러한 재귀적인 분류에 대한 구체적인 예는 도 3과 같이 나타낼 수 있다.
도 3은 도 1의 210 단계에서 개시된 재귀적 분류의 수집 시나리오 일례를 나타낸 도면이다.
도 3을 참조하면, 일 실시예에 따른 재귀적 분류의 수집 시나리오는 악성코드의 침해 악용 자원을 제1 정보 공유 채널을 통해 수집할 수 있고, 침해 악용 자원의 부속 정보로서, 제2 정보 공유 채널을 통해 악성코드에 대한 파일 분석 결과, 유포지 도메인, 접속 IP 및 악성코드 유사 정보를 수집할 수 있다.
예를 들면, 유포지 도메인의 침해 연관 정보를 재귀적으로 분류하면, 파일분석결과의 침해 연관 정보와 관련한 소유자 정보(이메일 정보) 및 유포지/경유지 정보를 분류해낼 수 있고, 악성코드의 침해 악용 자원과 관련한 유포 악성 코드를 분류해 내어, 원천적인 침해 악용 자원을 찾아낼 수 있다.
마찬가지로, 접속 IP 및 악성코드 유사 정보도 각각 재귀적으로 분류하면, 유사도가 높은 원천적인 침해 악용 자원을 찾아낼 수 있다. 이때, 찾아진 원천적인 침해 악용 자원을 가리켜 회귀된 침해 정보라 명명하기로 한다.
언급된 원천적인 침해 악용 자원으로 회귀된 침해 정보 및 침해 악용 자원과 침해 연관 정보간의 상관 관계를 도 4와 같이 나타낼 수 있다.
도 4는 귀적 조회를 통한 연관된 침해정보 획득 과정을 나타낸 도면으로서, 도 4에서는 IP의 침해 악용 자원으로부터 도메인 변경 정보 및 변경 이력, 악성코드 유포/침해 사고 악용 이력, 지리적 위치 등의 침해 연관 정보를 나뉘어지며, 이들로부터 재귀적으로 분류된 원천적인 침해 악용 자원인 IP 정보와 도메인 정보로 분류하고 있다.
한편, 전술한 블랙리스트 정보의 RBL 파일 정보에 대한 예는 하기의 (표 1)과 같이 나타낼 수 있으며, 수집되는 RBL 파일 정보 형태는 도 5와 같이 수집될 수 있다.
(표 1)
다시 도 1로 돌아와, 예시적인 220 단계에서, 데이터베이스(130)는 전술한 210 단계에 의해 처리되거나 수집 및 조회된 정보들, 예컨대 침해 악용 자원과 침해 연관 정보 및/또는 침해 정보를 저장할 수 있다.
이러한 데이터베이스(130)는 컴퓨터 판독 가능한 기록 매체를 포함하는 개념으로서, 협의의 데이터베이스뿐만 아니라, 파일 시스템에 기반한 데이터 기록 등을 포함하는 넓은 의미의 데이터베이스도 포함하여 지칭하며, 단순한 로그의 집합이라도 이를 검색하여 데이터를 추출할 수 있다면 본 발명에서 말하는 데이터베이스의 범주안에 포함된다.
마지막으로, 예시적인 230 단계에서, 데이터 관리 모듈(120)은 데이터베이스(130)에 저장된 침해 악용 자원, 침해 연관 정보 및/또는 침해 정보를 수집 또는 조회시 침해 악용 자원, 침해 연관 정보 및 침해 정보간 유기적인 연관 관계를 고려하여 적어도 하나의 인덱스(ID)를 부여할 수 있다.
예를 들면, 데이터 수집 모듈(110)이 침해 악용 자원을 수집할 때마다 데이터 관리 모듈(120)은 침해 악용 자원마다 고유의 인덱스(ID)를 부여할 수 있고, 데이터 수집 모듈(110)이 침해 연관 정보를 수집시 및/또는 데이터베이스(130)에 저장된 침해 연관 정보를 조회시마다 고유의 인덱스(ID)를 부여할 수 있다.
더 나아가, 데이터 관리 모듈(120)은 침해 악용 자원, 침해 연관 정보 및/또는 침해 정보를 생성하거나 수집시 또는 침해 악용 자원, 침해 연관 정보 및/또는 침해 정보 중 적어도 하나를 조회시 인덱스를 부여할 수도 있다.
전술한 인덱스 부여 방법에 대한 보다 구체적인 일례는 도 6 내지 도 8을 통해 설명하기로 한다.
<인덱스 부여 방법의 예>
도 6은 도 1에서 개시한 230 단계의 인덱스 부여 방법을 보다 구체적으로 나타낸 순서도이다.
도 6을 참조하면, 일 실시예에 따른 230 단계는 효율적인 인덱스 관리를 위하여 231 단계 내지 235 단계를 포함할 수 있다.
먼저, 예시적인 231 단계에서, 데이터 관리 모듈(120)은 침해 악용 자원을 효율적으로 관리하기 위하여 데이터베이스(130)에 저장된 침해 악용 자원의 타입들, 예컨대 도메인(Domain) 타입, IP 타입, Hash 타입 및 E-mail 타입을 검출하고, 검출된 각 타입마다 제1 인덱스(R_ID, Resource ID)를 부여할 수 있다.
예시적인 232 단계에서, 데이터 관리 모듈(120)은 제1 인덱스를 부여받은 침해 악용 자원의 타입별 매칭된 침해 연관 정보를 데이터베이스(130)로부터 조회시 조회된 침해 연관 정보마다 조회 작업 단위로서 제2 인덱스(Job_ID, 침해 연관 정보 조회 ID)를 부여할 수 있다.
제2 인덱스 부여는 지능적인 침해 사고 분석을 위한 하나의 단위(UNIT)으로 의미를 가질 수 있다. 이러한 제2 인덱스는 침해 악용 자원 관리시 항상 침해 악용 자원의 타입과 함께 관리됨으로써, 해당하는 제2 인덱스를 통해 침해 악용 자원의 각 타입을 구분해낼 수 있게 된다.
예시적인 233 단계에서, 데이터 관리 모듈(120)은 데이터베이스(130)에 저장된 침해 연관 정보를 재귀적으로 분류한 침해 정보가 생성될때마다 제3 인덱스를 부여할 수 있다.
이에 따라, 데이터 관리 모듈(120)은 제3 인덱스가 부여된 침해 정보를 조회하거나 침해 연관 정보를 재귀적으로 조회할 때마다 제3 인덱스를 증가시킬 수 있다.
제3 인덱스는 재귀적 조회 레벨을 가리킬 수 있다. 이러한 제3 인덱스를 증가시키는 이유는 지능적인 침해 사고 분석을 위한 그래프 생성에 활용되고, 침해 악용 자원과의 연관 관계(밀접도)를 파악하는데 유용하게 사용될 수 있다.
전술한 재귀적 조회가 필요한 대상은 하기의 (표 2)와 같이 나타낼 수 있다.
(표 2)에서 제1차 조회 유형은 침해 악용 자원의 각 타입 일례를 의미하고, 제2 차 조회 유형은 침해 약용 자원의 각 타입에 매칭된 침해 연관 정보 일례를 의미할 수 있다.
이런 경우, 침해 연관 정보를 마다 부여된 인덱스를 관리할 필요가 있으며, 재귀적 조회 대상은 "○"으로 표시되어져 있다. 이때 "○"으로 표시된 재귀적 조회 대상에 대한 근거에 따라 해당하는 침해 연관 정보를 재귀적으로 조회할 수 있다.
예시적인 234 단계에서, 데이터 관리 모듈(120)은 제1 정보 공유 채널로부터 침해 악용 자원을 수집시, 수집된 침해 악용 자원마다 발생된 이력 정보를 생성하고, 생성된 이력 정보를 데이터베이스(130)에 저장시킬 수 있다.
언급된 이력 정보의 생성은 어떤 외부 대상(CBS, Cshare…)에서 어떤 자원(value)을 언제(when) 분석 요청을 했는지를 파악하는데 유용하게 사용될 수 있다.
예시적인 235 단계에서, 데이터 관리 모듈(120)은 전술한 분석 요청을 파악하데 도움이 되기 위하여 데이터베이스(130)에 저장된 이력 정보마다 제4 인덱스를 부여할 수 있다.
한편, 전술한 인덱스 부여는 데이터베이스(130)에 테이블 형태로 저장될 수 있음은 물론이다.
이와 같이, 본 실시예는 해당하는 침해 악용 정보를 수집하거나 조회 또는 생성시 인덱스를 부여함으로써, 차후에 발생하는 침해 사고에 대해 지능적인 분석을 원활히 진행하는데 매우 도움을 줄 수 있다.
<인덱스 발급 절차의 예>
도 7은 도 1 및 도 6에서 개시한 인덱스 발급 절차를 예시적으로 나타낸 순서도이다.
도 7를 참조하면, 일 실시예에 따른 인덱스 발급 절차는 241 단계 내지 247 단계를 포함할 수 있다.
먼저, 예시적인 241 단계에서, 데이터 관리 모듈(120)은 데이터베이스(130)에 저장된 침해 연관 정보를 조회하거나 새로이 수집시, 침해 연관 정보에 대한 수집 대상(예: 침해 악용 자원)이 존재하는지를 데이터베이스(130)에서 확인할 수 있다.
예시적인 242 단계에서, 데이터 관리 모듈(120)은 수집 대상, 예컨대 해당하는 침해 악용 자원이 존재하는 것을 확인하면 해당하는 침해 악용 자원을 데이터베이스(130)로부터 추출할 수 있다.
그러나, 데이터 관리 모듈(120)은 수집 대상이 존재하지 않으면, 프로세서를 종료할 수 있다.
예시적인 243 단계에서, 데이터 관리 모듈(120)은 데이터베이스(130)로부터 추출된 침해 악용 자원에 대하여 제1 인덱스(R_ID)가 부여(존재하는)되어 있는지를 판단할 수 있다.
예를 들면, 데이터 관리 모듈(120)은 243 단계의 판단의 결과, 제1 인덱스가 부여되어 있으면, 추출된 침해 악용 자원에 대해 기존 제1 인덱스(기존 R_ID)를 부여하고, 제1 인덱스가 부여되어 있지 않으면, 추출된 침해 악용 자원에 대해 신규 제1 인덱스(신규 R_ID)를 부여할 수 있다.
예시적인 244 단계에서, 데이터 관리 모듈(120)은 238 단계의 기존 제1 인덱스가 부여된 경우, 설정 시간 이내 데이터베이스(230)로부터 추출된 침해 악용 자원에 매칭된 침해 연관 정보에 부여된 제2 인덱스(JOB ID)가 존재하는지를 판단할 수 있다.
예를 들면, 데이터 관리 모듈(120)은 244 단계의 판단 결과, 침해 연관 정보의 제2 인덱스가 존재하면, 추출된 침해 악용 자원에 대한 이력 정보를 생성하고(245), 침해 연관 정보의 제2 인덱스가 존재하지 않으면, 판단된 침해 연관 정보에 대해 새로운 제2 인덱스(신규 JOB ID)를 부여하고(246), 신규 제1 인덱스를 부여한 침해 악용 자원에 대한 이력 정보를 생성할 수 있다(247).
이와 같이, 본 실시예는 침해 악용 정보 및/또는 침해 연관 정보를 조회시 또는 수집시마다 새로운 각 인덱스를 부여함으로써, 이를 활용한 침해 사고 분석을 편하게 도와주며, 더 나아가 침해 사고시 적극적인 대응이 가능한 자료로 활용할 수 있다.
<인덱스 발급 절차의 다른 예>
도 8은 도 7과 다른 형태의 인덱스 발급 절차를 예시적으로 나타낸 순서도이다.
도 8을 참조하면, 일 실시예에 따른 다른 형태의 인덱스 발급 절차(250)는 251 단계 내지 259 단계를 포함할 수 있다.
먼저, 예시적인 251 단계에서, 데이터 관리 모듈(120)은 로그 스케쥴러(log scheduler)에 의해 조회 요청 대상인 침해 악용 자원을 데이터베이스(130)로부터 추출할 수 있다.
예시적인 252 단계에서, 데이터 관리 모듈(120)은 추출된 침해 악용 자원을 이용하여 침해 공유 채널, 예컨대 제2 정보 공유 채널에 접속하여 침해 악용 자원에 해당하는 침해 연관 정보가 있는지를 조회할 수 있다.
예시적인 253 단계에서, 데이터 관리 모듈(120)은 조회 결과, 해당하는 침해 악용 자원에 매칭된 침해 연관 정보가 있으면 해당하는 침해 연관 정보를 수신하고, 데이터베이스(130)에 저장시킴으로써, 조회 작업 결과를 갱신할 수 있다.
예시적인 254 단계에서, 데이터 관리 모듈(120)은 침해 연관 정보 조회 결과 갱싱된 침해 악용 자원에 대하여 제1 인덱스가 부여되어 있는지를 판단할 수 있다.
예를 들면, 데이터 관리 모듈(120)은 254 단계의 판단의 결과, 제1 인덱스가 부여되어 있으면, 추출된 침해 악용 자원에 대해 기존 제1 인덱스를 부여하고, 제1 인덱스가 부여되어 있지 않으면, 추출된 침해 악용 자원에 대해 신규 제1 인덱스를 부여할 수 있다.
예시적인 255 단계에서, 데이터 관리 모듈(120)은 신규 제1 인덱스를 부여한 후 선택 로그(collect log)를 생성하고, 생성된 선택 로그가 설정된 재귀적 조회(depth) 횟수를 초과하였는지를 판단할 수 있다.
예를 들면, 데이터 관리 모듈(120)은 선택 로그가 설정된 재귀적 조회(depth) 횟수를 초과하지 않으면 그에맞는 로그 스케쥴러를 생성하고(256), 선택 로그가 설정된 재귀적 조회(depth) 횟수를 초과하면 제2 인덱스 관리를 갱신할 수 있다(257).
예시적인 258 단계에서, 데이터 관리 모듈(120)은 254 단계의 기존 제1 인덱스가 부여된 경우, 설정 시간 이내 데이터베이스(230)로부터 추출된 침해 악용 자원에 매칭된 침해 연관 정보에 부여된 제2 인덱스가 존재하는지를 판단할 수 있다.
예를 들면, 데이터 관리 모듈(120)은 258 단계의 판단 결과, 설정 시간 이내 침해 연관 정보의 제2 인덱스가 존재하면, 기존 제2 인덱스를 참조 제2 인덱스(예:ref_Job_ID)를 부여하고(259), 제2 인덱스 관리를 갱신할 수 있다(257).
그러나, 데이터 관리 모듈(120)은 255 단계의 판단 결과, 침해 연관 정보의 제2 인덱스가 존재하지 않으면, 전술한 선택 로그를 생성하는 과정을 수행할 수 있다.
이와 같이, 본 실시예는 침해 악용 정보 및/또는 침해 연관 정보를 조회시때마다 새로운 각 인덱스를 부여하거나 연관 정보 재귀적 조회를 수행함으로써, 이를 활용한 침해 사고 분석을 편하게 도와주며, 더 나아가 침해 사고시 적극적인 대응이 가능한 자료로 활용할 수 있다.
<침해 사고 관리 시스템의 예>
도 9는 일 실시예에 따른 침해 사고 관리 시스템의 일례를 예시적으로 나타낸 블럭 구성도이다.
도 9를 참조하면, 일 실시예에 따른 침해 사고 관리 시스템(300)은 침해 사고 분석에 필요한 침해 사고 정보를 체계적으로 관리하기 위하여 데이터 수집 모듈(310), 데이터베이스(320) 및 데이터 관리 모듈(330)를 포함할 수 있다.
이러한 침해 사고 관리 시스템(300)은 유선 통신망 또는 무선 통신망을 통해 외부의 침해 사고 공유 시스템(301)과 연결될 수 있다.
먼저, 예시적인 데이터 수집 모듈(310)은 적어도 하나의 침해 공유 채널로부터 침해 악용 자원과 상기 침해 악용 자원마다 연관된 부속의 침해 연관 정보를 수집할 수 있다.
상기 침해 공유 채널은 외부의 침해 사고 공유 시스템(301)에서 운영하는 사이트 또는 정보 제공 채널로서, 제1 정보 공유 채널 및 제2 정보 공유 채널을 포함할 수 있다.
예를 들면, 데이터 수집 모듈(310)은 외부의 침해 사고 공유 시스템(10)에 자동 접속하여 외부의 침해 사고 공유 시스템(10)에서 제공하는 사이버 블랙박스( 침해 자원 제공 사이트) 등을 포함하는 제1 정보 공유 채널로부터 침해사고 관련 정보(침해 악용 자원)를 수집할 수 있다.
언급된 제1 정보 공유 채널은 사이버 블랙박스, C-share, DNSBL, 유포지/악성코드 공유채널(예 : virusshare.com 등) 등일 수 있다. 그러나, 이러한 제 정보 공유 채널에 한정되지는 않는다.
반면, 언급된 적어도 하나의 침해 악용 자원은 침해 공격에 악용된 도메인(Domain) 정보, IP 정보, Hash 정보 및 E-mail 정보를 포함한 복수의 타입 정보가질 수 있다.
일례로서, 데이터 수집 모듈(310)은 제1 정보 공유 채널이 각 기관에 위치한 사이버 블랙박스인 경우, 사이버 블랙박스의 분석요청 디렉토리를 주기적으로 폴링하여 침해 사고에 악용된 IP 정보 및 해쉬 파일 정보가 존재하는지를 확인할 수 있다.
이러한 데이터 수집 모듈(310)은 확인 결과, 사이버 블랙박스에 IP 정보 및 해쉬 파일 정보가 존재하면, IP 정보 및 해쉬 파일 정보를 사이버 블랙박스로부터 수집할 수 있다.
다른 예로서, 데이터 수집 모듈(310)은 제1 정보 공유 채널이 C-share인 경우, 침해 사고에 악용된 악성코드 유포지/경유지, CnC IP, 공격 IP 및 악성코드 정보를 포함한 침해 악용 자원을 C-share로부터 수집할 수 있다.
이때, C-share는 KISA에서 운영하는 침해사고 정보공유 시스템일 수 있다.
예를 들면, 데이터 수집 모듈(310)은 Export API를 실행하여, 실시간으로 침해사고에 악용된 IP, Domain, Hash 정보가 저장된 XML을 C-share로부터 수집할 수 있다.
Export API는 C-share 사이트에서 제공되는 침해사고 정보 실시간 공유 프로그램으로서, 실시간 수집을 위해서 API 동작을 정지하지 않고 있다.
또 다른 예로서, 데이터 수집 모듈(310)은 제1 정보 공유 채널이 DNSBL의 Blacklist 채널인 경우, 침해 사고에 악용된 블랙리스트 IP 정보, RBL 파일 정보 및 블랙리스트 도메인 정보를 포함한 침해 악용 자원을 DNSBL의 Blacklist 채널로부터 수집할 수 있다.
여기서, DNSBL의 Blacklist 채널은 Spamcannibal, Blocklist, Dnsbh, Uceprotect, Wpbl 사이트일 수 있다.
예를 들면, Spamcannibal, Blocklist, Uceprotect 및 Wpbl 사이트로부터 블랙리스트 IP 정보, RBL 파일 정보를 수집할 수 있고, Dnsbh로부터 블랙리스트 IP 정보 및 블랙리스트 도메인 정보를 수집할 수 있다.
이때, 수집된 RBL 파일 정보는 파싱된 정보일 수 있다.
또 다른 예로서, 데이터 수집 모듈(310)은 제1 정보 공유 채널이 악성코드 공유 채널인 경우, 신규 및 변종악성코드 정보를 확인하여 해쉬 파일 정보를 포함한 침해 악용 자원을 악성코드 공유 채널로부터 수집할 수 있다.
보다 구체적으로, 데이터 수집 모듈(310)은 주기적으로 악성코드를 공유하는 사이트에 접근하여 신규 및 변종악성코드 정보를 조회하고, 이에 대한 Hash/원본파일 정보를 조회할 수 있다.
신규 및 변종악성코드 정보를 확인/획득하는 방법은 주기적으로 공유 웹사이트에 접근하여 신규정보 업데이트 시, 웹페이지를 크롤링하여 신규 및 변종악성코드 정보를 조회할 수 있다.
예를 들어, 데이터 수집 모듈(310)은 주기적으로 virusshare.com의 메인 페이지에 접속하여 'SHA256'의 값을 확인하고, 최근에 수집한 악성 코드의 'SHA256'값과 일치하면(변경이 없으면) 작업을 종료하며, 최근에 수집한 악성코드의 'SHA256'값과 불일치 할 경우, 신규 및 변종악성코드 정보와 원본을 virusshare.com으로부터 수집할 수 있다.
게다가, 예시적인 데이터 수집 모듈(310)은 침해 악용 자원에 대한 보다 구체적이고 연관된 정보를 침해 공유 채널, 예컨대 제2 정보 공유 채널을 통해 획득하기 위하여, 외부의 침해 사고 공유 시스템(301)의 제2 정보 공유 채널에 접속한 후, 침해 악용 자원마다 조회한 결과로서, 침해 연관 정보를 제2 정보 공유 채널로부터 수집할 수 있다.
여기서, 언급된 제2 정보 공유 채널은 DNS/PTR record, Whois, IP2Location, Google 침해사고이력, SLD(Second Level Domain), 파일 분석 시스템, 악성코드 유사도 분석시스템, SPEED 및 TLD(Top Level Domain)를 포함할 수 있다.
반면, 수집된 침해 연관 정보는 침해 공격에 악용된 도메인(Domain) 정보, IP 정보, Hash 정보 및 E-mail 정보를 포함한 조사 대상인 침해 악용 자원마다 연관성을 가지면서도 세분화된 정보일 수 있다.
예를 들면, 데이터 수집 모듈(310)은 제2 정보 공유 채널이 DNS/PTR record인 경우, 도메인 활성화를 위한 DNS 레코드 정보와 IP 활성화를 위한 PTR 레코드 정보를 포함한 침해 연관 정보를 DNS/PTR record로부터 조회할 수 있다.
보다 구체적으로, 데이터 수집 모듈(310)은 IP의 활성화 여부를 판단하기 위하여 PTR 레코드 조회를 실행하고, PTR 레코드 정보를 이용하여 도메인을 확인하며, SOA레코드 정보를 활용하여 NS 도메인 정보와 관리자 도메인 정보를 PTR로부터 조회할 수 있다.
다른 예로서, 데이터 수집 모듈(310)은 제2 정보 공유 채널이 Whois인 경우, 도메인의 소유주를 확인하기 위한 국내외 Whois 정보를 포함한 침해 연관 정보를 Whois로부터 조회할 수 있다.
보다 구체적으로, 데이터 수집 모듈(310)은 도멘인의 소유주 정보를 확인하기 위해, 국내외 Whois정보를 조회하고, 해당 과정을 통해 (공격 혹은 정상)Domain의 소유주의 Email 계정 및 위치 정보를 hois로부터 조회할 수 있다.
또 다른 예로서, 데이터 수집 모듈(310)은 제2 정보 공유 채널이 IP2Location인 경우, IP의 국가코드(CC), 지리 정보(위/경도) 및 ISP 정보를 포함한 침해 연관 정보를 IP2Location로부터 조회할 수 있다.
조회 결과는 국가별 통계 뿐 아니라 IP의 위치를 지도로 표현할 수 있도록 하는데 그 특징이 있다.
또 다른 예로서, 데이터 수집 모듈(310)은 제2 정보 공유 채널이 Google 침해사고이력, SLD(Second Level Domain), 파일 분석 시스템, 악성코드 유사도 분석시스템, SPEED 및 TLD(Top Level Domain) 중 적어도 하나인 경우, 악성코드 유포이력, 백신진단명, SLD 기준 유사 도메인, API 호출 정보, 정적/동적분석 결과 정보, 악성코드 유사도 정보, 백신 점검 정보 및 TLD 기준 유사 도메인 정보를 포함한 침해 연관 정보를 Google 침해사고이력, SLD(Second Level Domain), 파일 분석 시스템, 악성코드 유사도 분석시스템, SPEED 및 TLD(Top Level Domain) 중 적어도 하나로부터 조회할 수 있다.
예를 들면, 데이터 수집 모듈(310)은 외부의 침해 사고 공유 시스템(301)의 malwares.com 사이트로부터 API 활용을 통해 침해 사고와 관련한 침해 연관 정보를 획득할 수 있다.
이외에, malwares.com 사이트는 악성코드 유포 정보, 과거 Domain-IP 맵핑 이력, 파일 정적/행위분석 정보 등을 제공한다.
더 나아가, 예시적인 데이터 수집 모듈(310)은 수집된 침해 연관 정보를 재귀적으로 다시 분류한 침해 정보를 생성할 수 있다.
생성된 침해 정보는 수집된 침해 연관 정보가 침해 악용 자원의 재귀적으로 회귀하도록 분류한 정보를 가리키며, 파싱된 정보일 수 있다.
일 실시예에서, 예시적인 데이터베이스(320)는 데이터 수집 모듈(310) 및 이후에 설명할 데이터 관리 모듈(330)에 의해 처리되거나 수집 및 조회된 정보들, 예컨대 침해 악용 자원과 침해 연관 정보 및/또는 침해 정보 및 인덱스 정보 등을 저장할 수 있다.
이러한 데이터베이스(320)는 컴퓨터 판독 가능한 기록 매체를 포함하는 개념으로서, 협의의 데이터베이스뿐만 아니라, 파일 시스템에 기반한 데이터 기록 등을 포함하는 넓은 의미의 데이터베이스도 포함하여 지칭하며, 단순한 로그의 집합이라도 이를 검색하여 데이터를 추출할 수 있다면 본 발명에서 말하는 데이터베이스의 범주안에 포함된다.
예시적인 데이터 관리 모듈(330)은 데이터베이스(320)에 저장된 침해 악용 자원, 침해 연관 정보 및/또는 침해 정보를 수집 또는 조회시 침해 악용 자원, 침해 연관 정보 및 침해 정보간 유기적인 연관 관계를 고려하여 적어도 하나의 인덱스(ID)를 부여할 수 있다.
예를 들면, 데이터 수집 모듈(310)이 침해 악용 자원을 수집할 때마다 데이터 관리 모듈(330)은 침해 악용 자원마다 고유의 인덱스(ID)를 부여할 수 있고, 데이터 수집 모듈(310)이 침해 연관 정보를 수집시 및/또는 데이터베이스(320)에 저장된 침해 연관 정보를 조회시마다 데이터 관리 모듈(330)은 고유의 인덱스(ID)를 부여할 수 있다.
더 나아가, 데이터 관리 모듈(330)은 침해 악용 자원, 침해 연관 정보 및/또는 침해 정보를 생성하거나 수집시 또는 침해 악용 자원, 침해 연관 정보 및/또는 침해 정보 중 적어도 하나를 조회시 인덱스를 부여할 수도 있다.
이하에서는, 전술한 데이터 관리 모듈에 대하여 보다 상세히 설명하고자 한다.
<데이터 관리 모듈의 구체적인 예>
도 10은 도 9의 데이터 관리 모듈의 구성을 상세히 나타낸 블럭 구성도이다.
도 10을 참조하면, 일 실시예에 따른 데이터 관리 모듈(330)은 침해 자원 관리 모듈(331), 연관 정보 관리 모듈(332), 재귀적 조회 관리 모듈(333) 및 이력 관리 모듈(334)를 포함할 수 있다.
예시적인 침해 자원 관리 모듈(331)은 침해 악용 자원을 효율적으로 관리하기 위하여 데이터베이스(130)에 저장된 침해 악용 자원의 타입들, 예컨대 도메인(Domain) 타입, IP 타입, Hash 타입 및 E-mail 타입을 검출하고, 검출된 각 타입마다 제1 인덱스(R_ID, Resource ID)를 부여할 수 있다.
예시적인 연관 정보 관리 모듈(332)은 제1 인덱스를 부여받은 침해 악용 자원의 타입별 매칭된 침해 연관 정보를 데이터베이스(130)로부터 조회시 조회된 침해 연관 정보마다 조회 작업 단위로서 제2 인덱스(Job_ID, 침해 연관 정보 조회 ID)를 부여할 수 있다.
제2 인덱스 부여는 지능적인 침해 사고 분석을 위한 하나의 단위(UNIT)으로 의미를 가질 수 있다. 이러한 제2 인덱스는 침해 악용 자원 관리시 항상 침해 악용 자원의 타입과 함께 관리됨으로써, 해당하는 제2 인덱스를 통해 침해 악용 자원의 각 타입을 구분해낼 수 있게 된다.
예시적인 재귀적 조회 관리 모듈(333)은 데이터베이스(130)에 저장된 침해 연관 정보를 재귀적으로 분류한 침해 정보가 생성될때마다 제3 인덱스를 부여할 수 있다.
이에 따라, 재귀적 조회 관리 모듈(333)은 제3 인덱스가 부여된 침해 정보를 조회하거나 침해 연관 정보를 재귀적으로 조회할 때마다 제3 인덱스를 증가시킬 수 있다.
제3 인덱스는 재귀적 조회 레벨을 가리킬 수 있다. 이러한 제3 인덱스를 증가시키는 이유는 지능적인 침해 사고 분석을 위한 그래프 생성에 활용되고, 침해 악용 자원과의 연관 관계(밀접도)를 파악하는데 유용하게 사용될 수 있다.
전술한 재귀적 조회가 필요한 대상은 전술한 (표 2)와 같이 나타낼 수 있다.
(표 2)에서 제1차 조회 유형은 침해 악용 자원의 각 타입 일례를 의미하고, 제2 차 조회 유형은 침해 약용 자원의 각 타입에 매칭된 침해 연관 정보 일례를 의미할 수 있다.
이런 경우, 침해 연관 정보를 마다 부여된 인덱스를 관리할 필요가 있으며, 재귀적 조회 대상은 "○"으로 표시되어져 있다. 이때 "○"으로 표시된 재귀적 조회 대상에 대한 근거에 따라 해당하는 침해 연관 정보를 재귀적으로 조회할 수 있다.
예시적인 이력 관리 모듈(334)은 제1 정보 공유 채널로부터 침해 악용 자원을 수집시, 수집된 침해 악용 자원마다 발생된 이력 정보를 생성하고, 생성된 이력 정보를 데이터베이스(130)에 저장시킬 수 있다.
언급된 이력 정보의 생성은 어떤 외부 대상(CBS, Cshare…)에서 어떤 자원(value)을 언제(when) 분석 요청을 했는지를 파악하는데 유용하게 사용될 수 있다.
이러한 이력 관리 모듈(334)은 전술한 분석 요청을 파악하데 도움이 되기 위하여 데이터베이스(130)에 저장된 이력 정보마다 제4 인덱스를 부여할 수 있다.
한편, 전술한 인덱스가 부여된 데이터들은 데이터베이스(320)에 테이블 형태로 저장될 수 있음은 물론이다.
이와 같이, 본 실시예는 해당하는 침해 악용 정보를 수집하거나 조회 또는 생성시 인덱스를 부여함으로써, 차후에 발생하는 침해 사고에 대해 지능적인 분석을 원활히 진행하는데 매우 도움을 줄 수 있다.
이하에서는, 전술한 침해 자원 관리 모듈에 대하여 상세히 설명하고자 한다.
<침해 자원 관리 모듈의 구체적인 예>
도 11은 도 10의 침해 자원 관리 모듈의 구성을 예시적으로 나타탠 블럭 구성도이다.
도 11를 참조하면, 일 실시예에 따른 침해 자원 관리 모듈(331)은 수집 대상 확인 모듈(331A), 침해 자원 추출 모듈(331B), 제1 인덱스 판단 모듈(331C) 및 제2 인덱스 판단 모듈(331D)을 포함할 수 있다.
예시적인 수집 대상 확인 모듈(331A)은 데이터베이스(320)에 저장된 침해 연관 정보를 조회하거나 새로이 수집시, 침해 연관 정보에 대한 수집 대상(예: 침해 악용 자원)이 존재하는지를 데이터베이스(320)에서 확인할 수 있다.
예시적인 침해 자원 추출 모듈(331B)은 수집 대상, 예컨대 해당하는 침해 악용 자원이 존재하는 것을 확인하면 확인된 해당하는 침해 악용 자원을 데이터베이스(320)로부터 추출할 수 있고, 수집 대상이 존재하지 않으면, 프로세서를 종료할 수 있다.
예시적인 제1 인덱스 판단 모듈(331C)은 데이터베이스(220)로부터 추출된 침해 악용 자원에 대하여 제1 인덱스가 부여되어 있는지를 판단할 수 있다.
예를 들면, 제1 인덱스 판단 모듈(331C)은 판단의 결과, 설정 시간 이내 제1 인덱스가 부여되어 있으면, 추출된 침해 악용 자원에 대해 기존 제1 인덱스를 부여하고, 제1 인덱스가 부여되어 있지 않으면, 추출된 침해 악용 자원에 대해 신규 제1 인덱스를 부여할 수 있다.
마지막으로, 예시적인 제2 인덱스 판단 모듈(331D)은 전술한 바와 같이 기존 제1 인덱스가 부여된 경우, 설정 시간 이내 데이터베이스(320)로부터 추출된 침해 악용 자원에 매칭된 침해 연관 정보에 부여된 제2 인덱스가 존재하는지를 판단할 수 있다.
예를 들면, 제2 인덱스 판단 모듈(331D)은 판단 결과, 침해 연관 정보의 제2 인덱스가 존재하면, 추출된 침해 악용 자원에 대한 이력 정보를 생성하고, 침해 연관 정보의 제2 인덱스가 존재하지 않으면, 판단된 침해 연관 정보에 대해 새로운 제2 인덱스를 부여하고, 신규 제1 인덱스를 부여한 침해 악용 자원에 대한 이력 정보를 생성할 수 있다.
이와 같이, 본 실시예는 침해 악용 정보 및/또는 침해 연관 정보를 조회시 또는 수집시마다 새로운 각 인덱스를 부여함으로써, 이를 활용한 침해 사고 분석을 편하게 도와주며, 더 나아가 침해 사고시 적극적인 대응이 가능한 자료로 활용할 수 있다.
한편, 전술한 데이터 관리 모듈(330)은 도 7에서 개시한 인덱스 발급의 다른 절차를 더 수행할 수 있다. 이에 대한 설명은 도 7에서 충분히 설명하였고 단지 관점이 다를뿐인 관계로, 그 설명은 생략하기로 한다.
이상에서 설명된 침해 악용 정보의 관리 방법은 다양한 컴퓨터 구성요소를 통하여 수행될 수 있는 프로그램 명령어의 형태로 구현되어 컴퓨터 판독 가능한 매체에 기록될 수 있다.
컴퓨터 판독 가능한 매체는 프로세서에 의해 액세스 가능한 임의의 매체일 수 있다. 이러한 매체는 휘발성 및 비휘발성 매체 둘 다, 착탈식과 비착탈식 매체, 통신 매체, 저장 매체 및 컴퓨터 저장 매체를 포함할 수 있다.
통신 매체는 컴퓨터 판독 가능한 명령어, 데이터 구조, 프로그램 모듈, 반송파 또는 기타 전송 메커니즘 등의 변조된 데이터 신호의 기타 데이터를 포함할 수 있고, 공지된 임의의 기타 형태의 정보 전달 매체를 포함할 수 있다.
저장 매체는 RAM, 플래시 메모리, ROM, EPROM, 전기적으로 소거 가능한 판독 전용 메모리("EEPROM"), 레지스터, 하드 디스크, 착탈식 디스크, 콤팩트 디스크 판독 전용 메모리("CD-ROM"), 또는 공지된 임의의 기타 형태의 저장 매체를 포함할 수 있다.
컴퓨터 저장 매체는, 컴퓨터 판독 가능 명령어, 데이터 구조, 프로그램 모듈 또는 그 밖의 데이터와 같은 정보를 저장하기 위한 임의의 방법이나 기술로 구현되는 착탈형(removable)과 고정형(non-removable), 및 휘발성과 비휘발성 매체를 포함한다.
이러한 컴퓨터 저장 매체는 RAM, ROM, EPROM, EEPROM, 플래시 메모리, 다른 고체 메모리 기술, CDROM, 디지털 다용도 디스크(DVD), 또는 다른 광 저장 장치, 자기 카세트, 자기 테이프, 자기 디스크 저장 장치 등과 같은 프로그램 명령어를 저장하고 수행하도록 특별히 구성된 하드웨어 장치를 포함할 수 있다.
프로그램 명령어의 예에는, 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드도 포함될 수 있다.
이상에서와 같이, 첨부된 도면을 참조하여 본 발명의 실시예를 설명하였으나, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 본 발명의 기술적 사상이나 필수적인 특징을 변경하지 않고 다른 구체적인 형태로 실시할 수 있다는 것을 이해할 수 있을 것이다. 따라서 이상에서 기술한 실시예는 모든 면에서 예시적인 것이며 한정적이 아닌 것이다.
10 : 침해 사고 공유 시스템 100,300 : 침해 사고 관리 시스템
110,310 : 데이터 수집 모듈 120,330 : 데이터 관리 모듈
130,320 : 데이터 베이스 331 : 침해 자원 관리 모듈
332 : 연관 정보 관리 모듈 333 : 재귀적 조회 관리 모듈
334 : 이력 관리 모듈 331A: 수집 대상 확인 모듈
331B : 침해 자원 추출 모듈 331C : 제1 인덱스 판단 모듈
331D : 제2 인덱스 판단 모듈
110,310 : 데이터 수집 모듈 120,330 : 데이터 관리 모듈
130,320 : 데이터 베이스 331 : 침해 자원 관리 모듈
332 : 연관 정보 관리 모듈 333 : 재귀적 조회 관리 모듈
334 : 이력 관리 모듈 331A: 수집 대상 확인 모듈
331B : 침해 자원 추출 모듈 331C : 제1 인덱스 판단 모듈
331D : 제2 인덱스 판단 모듈
Claims (12)
- 기업 및 기관 네트워크에 설치된 침해 사고 관리 시스템을 통해 수집된 침해 사고 분석에 필요한 침해 사고 정보를 체계적으로 관리하기 위한 방법으로서,
적어도 하나의 침해 공유 채널에 주기적으로 자동 접속하여 상기 침해 공유 채널로부터 침해 악용 자원과 상기 침해 악용 자원마다 연관된 부속의 침해 연관 정보를 수집하고, 상기 수집된 침해 연관 정보를 재귀적으로 다시 분류한 침해 정보를 생성하는 단계;
상기 수집된 침해 악용 자원과 침해 연관 정보 및 상기 침해 정보를 데이터베이스에 저장하는 단계; 및
상기 침해 악용 자원, 상기 침해 연관 정보 및 상기 침해 정보를 수집 또는 조회시 상기 침해 악용 자원, 상기 침해 연관 정보 및 상기 침해 정보간 유기적인 연관 관계를 고려하여 적어도 하나의 인덱스(ID)를 부여하여 상기 데이터베이스에 저장하는 단계를 포함하되,
상기 침해 악용 자원은 침해 공격에 악용된 도메인(Domain) 정보, IP 정보, Hash 정보 및 E-mail 정보 중 어느 하나 이상을 포함하되,
상기 적어도 하나의 인덱스를 부여하여 상기 데이터베이스에 저장하는 단계는,
상기 침해 악용 자원을 타입별로 수집시 상기 타입마다 제1 인덱스를 부여하는 단계;
상기 제1 인덱스를 부여받은 상기 침해 악용 자원의 타입별 매칭된 침해 연관 정보를 조회시 조회 작업 단위로서 제2 인덱스를 부여하는 단계;
상기 데이터베이스에 저장된 침해 연관 정보를 조회하거나 새로이 수집시, 상기 침해 연관 정보에 대한 수집 대상이 존재하는지를 상기 데이터베이스에서 확인하는 단계;
상기 수집 대상이 존재하면, 해당하는 상기 침해 악용 자원을 상기 데이터베이스로부터 추출하는 단계;
상기 추출된 침해 악용 자원에 대하여 설정 시간 이내 상기 제1 인덱스가 부여되어 있는지를 판단하는 단계;
상기 판단의 결과, 상기 제1 인덱스가 부여되어 있으면, 상기 추출된 침해 악용 자원에 대해 기존 제1 인덱스를 부여하고, 상기 제1 인덱스가 부여되어 있지 않으면, 상기 추출된 침해 악용 자원에 대해 신규 제1 인덱스를 부여하는 단계;
상기 기존 제1 인덱스가 부여된 경우, 설정 시간 이내 상기 추출된 침해 악용 자원에 매칭된 침해 연관 정보의 제2 인덱스가 존재하는지를 판단하는 단계; 및
상기 판단의 결과, 상기 침해 연관 정보의 제2 인덱스가 존재하면, 상기 추출된 침해 악용 자원에 대한 이력 정보를 생성하고, 상기 침해 연관 정보의 제2 인덱스가 존재하지 않으면, 상기 침해 연관 정보에 대해 새로운 제2 인덱스를 부여하고, 신규 제1 인덱스를 부여한 침해 악용 자원에 대한 이력 정보를 생성하는 단계를 포함하여 이루어지는 것을 특징으로 하는 침해 악용 정보의 관리 방법. - 삭제
- 제1항에 있어서,
상기 적어도 하나의 인덱스를 부여하여 상기 데이터베이스에 저장하는 단계는,
상기 침해 연관 정보를 재귀적으로 조회할 때마다 또는 상기 침해 정보를 조회시 마다 부여된 제3 인덱스를 증가시키는 것을 특징으로 하는 침해 악용 정보의 관리 방법. - 제1항에 있어서,
상기 적어도 하나의 인덱스를 부여하여 상기 데이터베이스에 저장하는 단계는,
상기 침해 악용 자원을 수집시, 상기 수집된 침해 악용 자원마다 발생된 이력 정보를 상기 데이터베이스에 저장하는 단계; 및
상기 데이터베이스에 저장된 이력 정보마다 제4 인덱스를 부여하는 단계를 더 포함하는 것을 특징으로 하는 침해 악용 정보의 관리 방법. - 삭제
- 삭제
- 기업 및 기관 네트워크에 설치된 침해 사고 분석에 필요한 침해 사고 정보를 체계적으로 관리하기 위한 침해 사고 관리 시스템으로서,
적어도 하나의 침해 공유 채널에 주기적으로 자동 접속하여 상기 침해 공유 채널로부터 침해 악용 자원과 상기 침해 악용 자원마다 연관된 부속의 침해 연관 정보를 수집하고, 상기 수집된 침해 연관 정보를 재귀적으로 다시 분류한 침해 정보를 생성하는 데이터 수집 모듈;
상기 수집된 침해 악용 자원, 상기 침해 연관 정보 및 상기 침해 정보를 저장하는 데이터베이스; 및
상기 데이터베이스에 저장된 침해 악용 자원, 침해 연관 정보 및 침해 정보를 수집 또는 조회시 상기 침해 악용 자원, 상기 침해 연관 정보 및 상기 침해 정보간 유기적인 연관 관계를 고려하여 적어도 하나의 인덱스(ID)를 부여하는 데이터 관리 모듈을 포함하되,
상기 침해 악용 자원은 침해 공격에 악용된 도메인(Domain) 정보, IP 정보, Hash 정보 및 E-mail 정보 중 어느 하나 이상을 포함하되,
상기 데이터 관리 모듈은,
상기 침해 악용 자원을 타입별로 수집시 상기 타입마다 제1 인덱스를 부여하는 침해 자원 관리 모듈; 및
상기 제1 인덱스를 부여받은 상기 침해 악용 자원의 타입별 매칭된 침해 연관 정보를 조회시 조회 작업 단위로서 제2 인덱스를 부여하는 연관 정보 관리 모듈을 포함하되,
상기 침해 자원 관리 모듈은,
상기 데이터베이스에 저장된 침해 연관 정보를 조회하거나 새로이 수집시, 상기 침해 연관 정보에 대한 수집 대상이 존재하는지를 상기 데이터베이스에서 확인하는 수집 대상 확인 모듈;
상기 수집 대상이 존재하면, 해당하는 상기 침해 악용 자원을 상기 데이터베이스로부터 추출하는 침해 자원 추출 모듈;
상기 추출된 침해 악용 자원에 대하여 설정 시간 이내 상기 제1 인덱스가 부여되어 있는지를 판단하는 제1 인덱스 판단 모듈; 및
상기 기존 제1 인덱스가 부여된 경우, 설정 시간 이내 상기 추출된 침해 악용 자원에 매칭된 침해 연관 정보의 제2 인덱스가 존재하는지를 판단하는 제2 인덱스 판단 모듈;을 포함하여 구성되며,
상기 제1 인덱스 판단 모듈은,
상기 판단의 결과, 상기 제1 인덱스가 부여되어 있으면, 상기 추출된 침해 악용 자원에 대해 기존 제1 인덱스를 부여하고, 상기 제1 인덱스가 부여되어 있지 않으면, 상기 추출된 침해 악용 자원에 대해 신규 제1 인덱스를 부여하되,
상기 제2 인덱스 판단 모듈은,
상기 판단의 결과, 상기 침해 연관 정보의 제2 인덱스가 존재하면, 상기 추출된 침해 악용 자원에 대한 이력 정보를 생성하고, 상기 침해 연관 정보의 제2 인덱스가 존재하지 않으면, 상기 침해 연관 정보에 대해 새로운 제2 인덱스를 부여하고, 신규 제1 인덱스를 부여한 침해 악용 자원에 대한 이력 정보를 생성하는 것을 특징으로 하는 침해 사고 관리 시스템. - 삭제
- 제7항에 있어서,
상기 데이터 관리 모듈은,
상기 침해 연관 정보를 재귀적으로 조회할 때마다 또는 상기 침해 정보를 조회시 마다 부여된 제3 인덱스를 증가시키는 재귀적 조회 관리 모듈을 더 포함하는 것을 특징으로 하는 침해 사고 관리 시스템. - 제7항에 있어서,
상기 데이터 관리 모듈은,
상기 침해 악용 자원을 수집시, 상기 수집된 침해 악용 자원마다 이력 정보를 발생시키고, 발생된 이력 정보마다 제4 인덱스를 부여하여 상기 데이터베이스에 저장되도록 하는 이력 관리 모듈을 더 포함하는 것을 특징으로 하는 침해 사고 관리 시스템. - 삭제
- 삭제
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020160006477A KR101794187B1 (ko) | 2016-01-19 | 2016-01-19 | 침해 사고 정보를 관리하기 위한 방법과 침해 사고 관리 시스템, 및 컴퓨터 판독 가능한 매체 |
US15/006,708 US20170206619A1 (en) | 2016-01-19 | 2016-01-26 | Method for managing violation incident information and violation incident management system and computer-readable recording medium |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020160006477A KR101794187B1 (ko) | 2016-01-19 | 2016-01-19 | 침해 사고 정보를 관리하기 위한 방법과 침해 사고 관리 시스템, 및 컴퓨터 판독 가능한 매체 |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20170086896A KR20170086896A (ko) | 2017-07-27 |
KR101794187B1 true KR101794187B1 (ko) | 2017-11-06 |
Family
ID=59314866
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020160006477A KR101794187B1 (ko) | 2016-01-19 | 2016-01-19 | 침해 사고 정보를 관리하기 위한 방법과 침해 사고 관리 시스템, 및 컴퓨터 판독 가능한 매체 |
Country Status (2)
Country | Link |
---|---|
US (1) | US20170206619A1 (ko) |
KR (1) | KR101794187B1 (ko) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR102246631B1 (ko) | 2017-07-10 | 2021-04-30 | 주식회사 엘지화학 | 리튬 금속 전극용 3d 패턴 타발기 |
CN109120613B (zh) * | 2018-08-08 | 2021-06-18 | 北京云中轮科技咨询有限公司 | 通讯数据的监控方法和系统 |
US11061745B2 (en) * | 2018-11-13 | 2021-07-13 | Infineon Technologies Ag | Shared resource analysis for embedded multi-core systems |
CN110290154A (zh) * | 2019-07-23 | 2019-09-27 | 北京威努特技术有限公司 | 一种非法外联检测设备、方法与存储介质 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20110213788A1 (en) * | 2008-03-05 | 2011-09-01 | Quantum Intelligence, Inc. | Information fusion for multiple anomaly detection systems |
US20150128267A1 (en) * | 2013-11-06 | 2015-05-07 | Mcafee, Inc. | Context-aware network forensics |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101260028B1 (ko) * | 2010-12-23 | 2013-05-06 | 한국인터넷진흥원 | 악성코드 그룹 및 변종 자동 관리 시스템 |
KR101329034B1 (ko) * | 2011-12-09 | 2013-11-14 | 한국인터넷진흥원 | 에스엔에스 검색 서비스를 이용한 유알엘 수집 시스템 및 방법 |
-
2016
- 2016-01-19 KR KR1020160006477A patent/KR101794187B1/ko active IP Right Grant
- 2016-01-26 US US15/006,708 patent/US20170206619A1/en not_active Abandoned
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20110213788A1 (en) * | 2008-03-05 | 2011-09-01 | Quantum Intelligence, Inc. | Information fusion for multiple anomaly detection systems |
US20150128267A1 (en) * | 2013-11-06 | 2015-05-07 | Mcafee, Inc. | Context-aware network forensics |
Non-Patent Citations (1)
Title |
---|
박해룡, "사이버 블랙박스 및 통합보안상황 분석 기술", Special Report, TTA Journal Vol.153 (2014.06.10.) |
Also Published As
Publication number | Publication date |
---|---|
KR20170086896A (ko) | 2017-07-27 |
US20170206619A1 (en) | 2017-07-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111600856B (zh) | 数据中心运维的安全系统 | |
KR101794187B1 (ko) | 침해 사고 정보를 관리하기 위한 방법과 침해 사고 관리 시스템, 및 컴퓨터 판독 가능한 매체 | |
KR101781450B1 (ko) | 사이버 공격에 대한 위험도 산출 방법 및 장치 | |
KR101733000B1 (ko) | 침해 사고 정보 수집 방법 및 장치 | |
EP2884715A1 (en) | Correlation based security risk identification | |
US20130340082A1 (en) | Open source security monitoring | |
CN111786966A (zh) | 浏览网页的方法和装置 | |
RU2722693C1 (ru) | Способ и система выявления инфраструктуры вредоносной программы или киберзлоумышленника | |
KR101832292B1 (ko) | 침해 사고 정보의 재귀적 수집 방법 및 그를 실행하는 프로그램이 기록된 컴퓨터 판독 가능한 매체 | |
CN105262730A (zh) | 基于企业域名安全的监控方法及装置 | |
JP2011193343A (ja) | 通信ネットワーク監視システム | |
CN107733699A (zh) | 互联网资产安全管理方法、系统、设备及可读存储介质 | |
KR101663288B1 (ko) | 개인정보 모니터링 시스템 및 방법 | |
KR101959213B1 (ko) | 침해 사고 예측 방법 및 그 장치 | |
EP3809298B1 (en) | System for performing bi-directional inquiry, comparison and tracking on security policies and audit logs, and method therefor | |
KR101169014B1 (ko) | 악성코드 경유-유포지 탐지 시스템 | |
CN112367340B (zh) | 一种内网资产风险评估方法、装置、设备及介质 | |
KR101840353B1 (ko) | 침해 사고 정보의 수집 방법 및 그를 실행하는 프로그램이 기록된 컴퓨터 판독 가능한 매체 | |
JP2020017065A (ja) | 車両不正アクセス対策装置、及び車両不正アクセス対策方法 | |
CN102546636A (zh) | 监测受限资源的方法和装置 | |
CN113992451A (zh) | 一种资产数据处理方法及装置 | |
KR20180044658A (ko) | 이기종 보안장비 이벤트를 이용한 하이 레벨 탐지 장치 | |
KR101794179B1 (ko) | 침해정보 인텔리젼스 분석 시스템을 구성하는 수집정보 분석모듈 | |
US12039017B2 (en) | User entity normalization and association | |
JP7280814B2 (ja) | 信頼度評価装置、信頼度評価方法及び信頼度評価プログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right |