KR101880217B1 - Apparatus and method for generating scenario automatically for security threat analysis - Google Patents
Apparatus and method for generating scenario automatically for security threat analysis Download PDFInfo
- Publication number
- KR101880217B1 KR101880217B1 KR1020170162912A KR20170162912A KR101880217B1 KR 101880217 B1 KR101880217 B1 KR 101880217B1 KR 1020170162912 A KR1020170162912 A KR 1020170162912A KR 20170162912 A KR20170162912 A KR 20170162912A KR 101880217 B1 KR101880217 B1 KR 101880217B1
- Authority
- KR
- South Korea
- Prior art keywords
- scenario
- security
- scenarios
- stored
- security threat
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Debugging And Monitoring (AREA)
Abstract
Description
본 발명은 보안 위협 분석을 위한 시나리오 자동 생성 장치 및 방법에 관한 것으로, 더욱 상세하게는 보안 이벤트를 분석하여 보안 위협 분석을 위한 시나리오를 자동으로 생성하는 장치 및 방법에 관한 것이다.The present invention relates to an automatic scenario generation apparatus and method for analyzing a security threat, and more particularly, to an apparatus and method for automatically generating a scenario for security threat analysis by analyzing a security event.
보안 위협을 분석하는데 이용되는 시나리오의 생성은 과거에 발생된 위협을 분석하여 시나리오 정책으로 만들어야 한다는 특성을 가지고 있다. 이는 보안 전문가가 미래에 발생할 보안 위협을 미리 예측하여 시나리오를 만들 수 없기 때문이다.The creation of scenarios used to analyze security threats is characterized by the need to analyze past threats and make them into scenario policies. This is because security experts can not anticipate future security threats and create scenarios.
그러나, 이 방식은 시나리오 정책으로 등록되지 않은 새로운 보안 위협이 발생되었을 때 즉각적으로 대응할 수 없고 새로운 보안 위협을 수동으로 분석 후 시나리오 정책을 등록하여야 하는 단점이 있다.However, this method has a drawback in that it can not respond immediately when a new security threat that is not registered as a scenario policy occurs, and a scenario policy is registered after manually analyzing a new security threat.
새로운 보안 위협은 하루에도 수없이 새롭게 생성되고 있고 시나리오 등록 행위를 보안 전문가가 수동으로 수행하여야 하기 때문에, 새로운 보안 위협에 적절히 대응하는 것은 현실적으로 불가능하다. 또한, 시나리오를 보안 전문가가 수동으로 등록하여야 하기 때문에 새롭게 발생된 보안 위협뿐만 아니라 이전에 발생된 보안 위협에 의해서도 지속적이고 연속적인 피해가 발생되고 있는 상황이다.Since new security threats are being generated many times a day, it is practically impossible to respond to new security threats, since the scenario registration act must be performed manually by security experts. In addition, since scenarios must be manually registered by a security specialist, continuous and continuous damage is occurring due to newly generated security threats as well as previous security threats.
본 발명이 이루고자 하는 기술적 과제는, 보안 이벤트를 분석하여 보안 위협 분석을 위한 시나리오를 자동으로 생성하는 보안 위협 분석을 위한 시나리오 자동 생성 장치 및 방법을 제공하는 데 있다.An aspect of the present invention is to provide an apparatus and method for automatically generating a scenario for analyzing a security event and automatically generating a scenario for security threat analysis.
상기의 기술적 과제를 달성하기 위한 본 발명에 따른 보안 위협 분석을 위한 시나리오 자동 생성 장치는, 저장부, 미리 설정된 기간 동안의 보안 이벤트를 시간 기준으로 오름차순 정렬하고, 정렬된 보안 이벤트를 기반으로 시간 단위의 호스트(host) 행위를 획득하며, 획득된 시간 단위의 호스트 행위를 기반으로 보안 위협 분석을 위한 시나리오를 자동으로 생성하는 시나리오 생성부, 및 시나리오 생성부를 통해 자동으로 생성된 시나리오를 저장부에 저장하는 시나리오 관리부를 포함한다.According to an aspect of the present invention, there is provided an apparatus for automatically generating scenarios for analyzing security threats, the apparatus comprising: a storage unit configured to sort security events for a preset period in ascending order based on time, A scenario generating unit for automatically generating a scenario for security threat analysis based on the obtained host behavior, and a scenario generation unit for generating a scenario automatically generated by the scenario generating unit in a storage unit And a scenario management unit.
시나리오 생성부는 저장부에 기 저장되어 있는 시나리오를 통해 탐지된 출발지 IP 중 가장 많이 탐지된 출발지 IP를 기준으로 조회된 보안 이벤트를 기반으로 시나리오를 자동으로 생성할 수 있다.The scenario generating unit may automatically generate a scenario based on the security events searched based on the source IPs detected most frequently among the source IPs detected through the scenario stored in the storage unit.
시나리오 관리부는 저장부에 기 저장되어 있는 시나리오 및 시나리오 생성부를 통해 자동으로 생성된 시나리오가 동시에 매칭되는 시간대를 획득하고, 획득한 시간대에 대응하는 호스트 행위를 기반으로 서브 시나리오를 생성하여 저장부에 저장할 수 있다.The scenario management unit obtains a time zone in which scenarios automatically generated through the scenarios and scenario generating units stored in the storage unit are matched at the same time, generates a sub-scenario based on the host behavior corresponding to the acquired time zone, .
시나리오 관리부는 저장부에 저장된 시나리오 각각의 활용 횟수 및 탐지 횟수를 기반으로 시나리오 각각의 우선순위를 결정할 수 있다.The scenario management unit can determine the priorities of the respective scenarios based on the utilization count and the detection count of each of the scenarios stored in the storage unit.
시나리오 관리부는 저장부에 저장된 시나리오 각각의 활용 횟수를 기반으로 미리 설정된 기간 동안 활용되지 않은 시나리오를 저장부에서 삭제할 수 있다.The scenario management unit may delete, from the storage unit, scenarios that have not been used for a preset period of time based on the utilization count of each of the scenarios stored in the storage unit.
상기의 기술적 과제를 달성하기 위한 본 발명에 따른 보안 위협 분석을 위한 시나리오 자동 생성 방법은, 보안 위협 분석을 위한 시나리오 자동 생성 장치의 시나리오 자동 생성 방법으로서, 미리 설정된 기간 동안의 보안 이벤트를 시간 기준으로 오름차순 정렬하고, 정렬된 보안 이벤트를 기반으로 시간 단위의 호스트(host) 행위를 획득하며, 획득된 시간 단위의 호스트 행위를 기반으로 보안 위협 분석을 위한 시나리오를 자동으로 생성하는 단계, 및 자동으로 생성된 시나리오를 저장하는 단계를 포함한다.According to another aspect of the present invention, there is provided a method for automatically generating a scenario for analyzing security threats, the method comprising: Automatically generating a scenario for analyzing a security threat based on the host behavior of the acquired time unit, and automatically generating a scenario for security threat analysis based on the acquired host behavior, Lt; RTI ID = 0.0 > scenario. ≪ / RTI >
시나리오 자동 생성 단계는 기 저장되어 있는 시나리오를 통해 탐지된 출발지 IP 중 가장 많이 탐지된 출발지 IP를 기준으로 조회된 보안 이벤트를 기반으로 시나리오를 자동으로 생성하는 것으로 이루어질 수 있다.The scenario automatic generation step may be performed by automatically generating scenarios based on the security events searched based on the source IPs detected the most among the source IPs detected through the stored scenarios.
기 저장되어 있는 시나리오 및 자동으로 생성된 시나리오가 동시에 매칭되는 시간대를 획득하고, 획득한 시간대에 대응하는 호스트 행위를 기반으로 서브 시나리오를 생성하여 저장하는 단계를 더 포함할 수 있다.Acquiring a time zone during which the previously stored scenario and the automatically generated scenario are simultaneously matched, and generating and storing a sub scenario based on the host behavior corresponding to the acquired time zone.
저장되어 있는 시나리오 각각의 활용 횟수 및 탐지 횟수를 기반으로 시나리오 각각의 우선순위를 결정하는 단계를 더 포함할 수 있다.And determining the priority of each of the scenarios based on the utilization count and the detection count of each of the stored scenarios.
저장된 시나리오 각각의 활용 횟수를 기반으로 미리 설정된 기간 동안 활용되지 않은 시나리오를 삭제하는 단계를 더 포함할 수 있다.And deleting scenarios that have not been utilized for a preset period of time based on the utilization count of each of the stored scenarios.
상기의 기술적 과제를 달성하기 위한 본 발명에 따른 컴퓨터 프로그램은 컴퓨터로 읽을 수 있는 기록 매체에 저장되어 상기한 방법 중 어느 하나를 컴퓨터에서 실행시킨다.According to an aspect of the present invention, there is provided a computer program for use in a computer readable recording medium, the computer program causing the computer to execute any one of the methods.
본 발명에 따른 보안 위협 분석을 위한 시나리오 자동 생성 장치 및 방법에 의하면, 보안 이벤트를 분석하여 보안 위협 분석을 위한 시나리오를 자동으로 생성함으로써, 보안 위협 탐지 행위를 자동화된 시스템으로 수행할 수 있다. 또한, 새로운 보안 위협이 발생된 경우에도 시나리오 자동 생성 알고리즘을 통해 자동으로 분석을 수행하여 동일한 보안 위협이 발생될 때 이를 찾아낼 수 있는 시나리오를 신속하게 자동으로 생성할 수 있다.According to an apparatus and method for automatically generating a scenario for analyzing a security threat according to the present invention, a security threat detection operation can be performed as an automated system by automatically generating a scenario for security threat analysis by analyzing a security event. In addition, even when a new security threat occurs, the scenario automatic generation algorithm can automatically analyze the scenario and automatically generate a scenario that can be detected when the same security threat occurs.
도 1은 본 발명의 바람직한 실시예에 따른 보안 위협 분석을 위한 시나리오 자동 생성 장치를 설명하기 위한 블록도이다.
도 2는 도 1에 도시한 시나리오 자동 생성 장치의 구현 일례를 설명하기 위한 도면이다.
도 3은 본 발명의 바람직한 실시예에 따른 보안 위협 분석을 위한 시나리오 자동 생성 방법을 설명하기 위한 흐름도이다.
도 4는 도 3에 도시한 시나리오 자동 생성 단계를 보다 자세히 설명하기 위한 흐름도이다.1 is a block diagram illustrating an automatic scenario generation apparatus for analyzing security threats according to a preferred embodiment of the present invention.
FIG. 2 is a diagram for explaining an example of implementation of the scenario automatic generation apparatus shown in FIG.
3 is a flowchart illustrating a method for automatically generating a scenario for analyzing security threats according to a preferred embodiment of the present invention.
FIG. 4 is a flowchart for explaining the scenario automatic generation step shown in FIG. 3 in more detail.
이하에서 첨부한 도면을 참조하여 본 발명에 따른 보안 위협 분석을 위한 시나리오 자동 생성 장치 및 방법의 바람직한 실시예에 대해 상세하게 설명한다.DETAILED DESCRIPTION OF THE PREFERRED EMBODIMENTS Hereinafter, a preferred embodiment of an apparatus and method for automatically generating scenarios for security threat analysis according to the present invention will be described in detail with reference to the accompanying drawings.
먼저, 도 1 및 도 2를 참조하여 본 발명의 바람직한 실시예에 따른 보안 위협 분석을 위한 시나리오 자동 생성 장치에 대하여 설명한다.First, a scenario automatic generation apparatus for analyzing security threats according to a preferred embodiment of the present invention will be described with reference to FIGS. 1 and 2. FIG.
도 1은 본 발명의 바람직한 실시예에 따른 보안 위협 분석을 위한 시나리오 자동 생성 장치를 설명하기 위한 블록도이고, 도 2는 도 1에 도시한 시나리오 자동 생성 장치의 구현 일례를 설명하기 위한 도면이다.FIG. 1 is a block diagram for explaining an automatic scenario generation apparatus for a security threat analysis according to a preferred embodiment of the present invention. FIG. 2 is a view for explaining an example of an implementation of the scenario automatic generation apparatus shown in FIG.
도 1을 참조하면, 본 발명의 바람직한 실시예에 따른 보안 위협 분석을 위한 시나리오 자동 생성 장치(100)(이하 '시나리오 자동 생성 장치'라 한다)는 보안 이벤트 저장소(200)에 저장되어 있는 보안 이벤트를 분석하여 보안 위협 분석을 위한 시나리오를 자동 생성한다.Referring to FIG. 1, a scenario
여기서, 보안 이벤트는 시스템, 네트워크, 응용 서비스 등으로부터 발생되는 보안 로그 데이터를 말한다. 예컨대, 보안 이벤트에는 「EventName="udp flooding - same ip" SigIndex=3477 Severity=High Time="2017/07/27 19:35:37" Protocol=UDP AttackerIP=1.1.1.1 AttackerPort=443 VictimIP=2.2.2.2 VictimPort=55795 Count=3 PktTTL=54 PktSize=350904 PktCount=4500 Pattern="" Direct= SensorIP=150.183.8.98 Sensor="SE01" Network="NODATA" VSensor="SE01" Packet="28 94 0F FE 4E 00 C0 67 AF 4A A8 40 08 00 45 00 00 40 00 00 40 00 36 11 DA B4 AC D9 18 8F 93 2F 11 61 01 BB D9 F3 00 2C 32 68」 등이 있다.Here, the security event refers to security log data generated from a system, a network, an application service, and the like. For example, in the security event, "EventName =" udp flooding - same ip "SigIndex = 3477 Severity = High Time =" 2017/07/27 19:35:37 "Protocol = UDP AttackerIP = 1.1.1.1 AttackerPort = 443 VictimIP = 2.2. 2.2 VictimPort = 55795 Count = 3 PktTTL = 54 PktSize = 350904 PktCount = 4500 Pattern = "" Direct = SensorIP = 150.183.8.98 Sensor = "SE01" Network = "NODATA" VSensor = "SE01" Packet = 00 C0 67 AF 4A A8 40 08 00 45 00 00 40 00 00 40 00 36 11 B4 AC D9 18 8F 93 2F 11 61 01 BB D9 F3 00 2C 32 68 ".
한편, 시나리오 자동 생성 장치(100)가 보안 이벤트 저장소(200)에 직접 연결된 것으로 도시하였으나, 본 발명은 이에 한정되지 않고 실시예에 따라 시나리오 자동 생성 장치(100)는 통신망(도시하지 않음)을 통해 보안 이벤트 저장소(200)에 연결될 수 있다. 또한, 본 발명에 따른 시나리오 자동 생성 장치(100)는 서로 독립적인 복수의 보안 이벤트 저장소(200)와 연결되어 복수의 보안 이벤트 저장소(200)에 저장되어 있는 보안 이벤트를 조회할 수도 있다. Although the scenario
이를 위해, 도 1 및 도 2를 참조하면, 시나리오 자동 생성 장치(100)는 저장부(110), 보안 이벤트 조회부(130), 시나리오 생성부(150), 시나리오 실행부(170) 및 시나리오 관리부(190)를 포함할 수 있다.1 and 2, the scenario
저장부(110)는 시나리오 자동 생성 장치(100)의 동작에 필요한 프로그램 및 데이터를 저장하는 역할을 수행하며, 프로그램 영역과 데이터 영역으로 구분될 수 있다.The
프로그램 영역은 시나리오 자동 생성 장치(100)의 전반적인 동작을 제어하는 프로그램, 시나리오 자동 생성 장치(100)를 부팅시키는 운영체제(Operating System, OS), 보안 이벤트 조회, 시나리오 자동 생성, 시나리오를 이용한 보안 위협 분석 수행, 시나리오 관리 등과 같은 시나리오 자동 생성 장치(100)의 동작에 필요한 응용 프로그램 등을 저장할 수 있다.The program area includes a program for controlling overall operation of the scenario
데이터 영역은 시나리오 자동 생성 장치(100)의 사용에 따라 발생하는 데이터가 저장되는 영역으로서, 조회된 보안 이벤트, 생성된 시나리오, 시나리오에 대한 관련 정보(활용 횟수, 탐지 횟수, 우선순위 등) 등을 저장할 수 있다.The data area is an area in which data generated according to the use of the automatic
보안 이벤트 조회부(130)는 보안 이벤트 저장소(200)에 저장되어 있는 보안 이벤트를 API(Application Programming Interface)를 통해 미리 설정된 시간 단위(예컨대, 1분 등)로 조회할 수 있다. 여기서, API는 RESTful, Java, Python, C++, C# 등을 활용할 수 있다.The security
그리고, 보안 이벤트 조회부(130)는 조회한 보안 이벤트를 저장부(110)에 저장할 수 있다.The security
시나리오 생성부(150)는 보안 이벤트 조회부(130)를 통해 조회한 보안 이벤트를 분석하여 자동으로 보안 위협 분석을 위한 시나리오를 생성할 수 있다.The
즉, 시나리오 생성부(150)는 보안 이벤트 조회부(130)를 통해 미리 설정된 기간(예컨대, 10분 전 ~ 현재 등) 동안의 보안 이벤트를 조회할 수 있다.That is, the
이때, 시나리오 생성부(150)는 저장부(110)에 기 저장되어 있는 시나리오를 통해 탐지된 출발지 IP 중 가장 많이 탐지된 출발지 IP를 기준으로 보안 이벤트를 조회할 수 있다.At this time, the
그리고, 시나리오 생성부(150)는 미리 설정된 기간 동안의 보안 이벤트를 시간 기준으로 오름차순 정렬할 수 있다.The
그런 다음, 시나리오 생성부(150)는 정렬된 보안 이벤트를 기반으로 시간 단위의 호스트(host) 행위를 획득할 수 있다. 여기서, 호스트 행위는 보안 이벤트에 따른 호스트의 수행 행위를 말한다. 예컨대, 호스트 행위에는 "특정 시스템에 접근", "특정 IP와 통신", "특정 어플리케이션을 사용", "특정 이메일을 송수신", "로그인 시도", "데이터베이스 접근" 등이 있다.Then, the
마지막으로, 시나리오 생성부(150)는 획득된 시간 단위의 호스트 행위를 기반으로 시나리오를 자동으로 생성할 수 있다.Finally, the
시나리오 관리부(190)는 저장부(110)에 기 저장되어 있는 시나리오와 시나리오 생성부(150)를 통해 새롭게 생성된 시나리오를 관리할 수 있다.The
즉, 시나리오 관리부(190)는 시나리오 생성부(150)를 통해 자동으로 생성된 시나리오를 저장부(110)에 저장할 수 있다.That is, the
그리고, 시나리오 관리부(190)는 저장부(110)에 기 저장되어 있는 시나리오 및 시나리오 생성부(150)를 통해 자동으로 생성된 새로운 시나리오를 기반으로 서브 시나리오를 생성하여 저장부(110)에 저장할 수 있다. 여기서, 서브 시나리오는 독립적인 하나의 시나리오이다.The
보다 자세히 설명하면, 시나리오 관리부(190)는 저장부(110)에 기 저장되어 있는 시나리오 및 시나리오 생성부(150)를 통해 자동으로 생성된 새로운 시나리오가 동시에 매칭되는 시간대를 획득할 수 있다. 그런 다음, 시나리오 관리부(190)는 획득한 시간대에 대응하는 호스트 행위를 기반으로 서브 시나리오를 생성하여 저장부(110)에 저장할 수 있다. 예컨대, "시나리오 A"가 기 등록되어 있는 상태에서, 새로운 "시나리오 B"가 자동으로 생성되어 등록되었다고 가정하고, "시나리오 A"와 "시나리오 B"가 동시에 다발적으로 매칭된 경우, 동시에 다발적으로 매칭된 시간대를 파악하여 해당 시간대의 호스트 행위로 이루어진 별도의 서브 시나리오를 생성할 수 있다.More specifically, the
또한, 시나리오 관리부(190)는 저장부(110)에 저장된 시나리오 각각의 활용 횟수 및 탐지 횟수를 기반으로 시나리오 각각의 우선순위를 결정할 수 있다. 여기서, 활용 횟수는 시나리오가 구동된 횟수를 말하며, 탐지 횟수는 시나리오가 구동되어 보안 위협이 탐지된 횟수를 말한다. 예컨대, 빈번하게 활용된, 즉 활용 횟수가 높고 활용 횟수 대비 탐지 횟수가 높은, 즉 탐지율도 높은 시나리오의 우선순위를 높게 설정할 수 있다.In addition, the
그리고, 시나리오 관리부(190)는 저장부(110)에 저장된 시나리오 각각의 활용 횟수를 기반으로 미리 설정된 기간 동안 활용되지 않은 시나리오를 저장부(110)에서 삭제할 수 있다. 예컨대, 시나리오 관리부(190)는 6개월 동안 활용 횟수가 "0"인 시나리오를 삭제할 수 있다.The
시나리오 실행부(170)는 저장부(110)에 저장되어 있는 시나리오를 이용하여 보안 위협 분석을 수행할 수 있다.The
즉, 시나리오 실행부(170)는 저장부(110)에 저장되어 있는 시나리오를 호출하여 해당 시나리오를 실행하여 보안 위협을 탐지할 수 있다. 이때, 시나리오 실행부(170)는 시나리오별 구동 시간(예컨대, 1시간, 30분 등)에 따라 시나리오를 호출하여 실행할 수 있다.That is, the
그리고, 시나리오 실행부(170)는 실행된 시나리오와 그 결과(탐지 여부)를 시나리오 관리부(190)에 제공하여 시나리오를 관리하도록 할 수 있다.Then, the
그러면, 도 3 및 도 4를 참조하여 본 발명의 바람직한 실시예에 따른 보안 위협 분석을 위한 시나리오 자동 생성 방법에 대하여 설명한다.3 and 4, a description will now be made of a scenario automatic generation method for security threat analysis according to a preferred embodiment of the present invention.
도 3은 본 발명의 바람직한 실시예에 따른 보안 위협 분석을 위한 시나리오 자동 생성 방법을 설명하기 위한 흐름도이다.3 is a flowchart illustrating a method for automatically generating a scenario for analyzing security threats according to a preferred embodiment of the present invention.
도 3을 참조하면, 시나리오 자동 생성 장치(100)는 미리 설정된 기간(예컨대, 10분 전 ~ 현재 등) 동안의 보안 이벤트를 기반으로 보안 위협 분석을 위한 시나리오를 자동으로 생성할 수 있다(S110).Referring to FIG. 3, the scenario
그리고, 시나리오 자동 생성 장치(100)는 자동으로 생성된 시나리오를 저장할 수 있다(S130).Then, the scenario
이후, 시나리오 자동 생성 장치(100)는 저장되어 있는 시나리오를 이용하여 보안 위협 분석을 수행할 수 있다(S150). 즉, 시나리오 자동 생성 장치(100)는 저장되어 있는 시나리오를 호출하여 해당 시나리오를 실행하여 보안 위협을 탐지할 수 있다.Thereafter, the scenario
이때, 시나리오 자동 생성 장치(100)는 서브 시나리오를 생성하여 저장할 수 있다(S170). 즉, 시나리오 자동 생성 장치(100)는 기 저장되어 있는 시나리오 및 자동으로 생성된 새로운 시나리오를 기반으로 서브 시나리오를 생성하여 저장할 수 있다. 보다 자세히 설명하면, 시나리오 자동 생성 장치(100)는 기 저장되어 있는 시나리오 및 자동으로 생성된 새로운 시나리오가 동시에 매칭되는 시간대를 획득할 수 있다. 그런 다음, 시나리오 자동 생성 장치(100)는 획득한 시간대에 대응하는 호스트 행위를 기반으로 서브 시나리오를 생성하여 저장할 수 있다.At this time, the scenario
그리고, 시나리오 자동 생성 장치(100)는 저장되어 있는 시나리오를 관리할 수 있다(S190). 즉, 시나리오 자동 생성 장치(100)는 저장된 시나리오 각각의 활용 횟수 및 탐지 횟수를 기반으로 시나리오 각각의 우선순위를 결정할 수 있다. 또한, 시나리오 자동 생성 장치(100)는 시나리오 각각의 활용 횟수를 기반으로 미리 설정된 기간 동안 활용되지 않은 시나리오를 삭제할 수 있다.Then, the scenario
도 4는 도 3에 도시한 시나리오 자동 생성 단계를 보다 자세히 설명하기 위한 흐름도이다.FIG. 4 is a flowchart for explaining the scenario automatic generation step shown in FIG. 3 in more detail.
도 4를 참조하면, 시나리오 자동 생성 장치(100)는 미리 설정된 기간 동안의 보안 이벤트를 조회할 수 있다(S111).Referring to FIG. 4, the scenario
이때, 시나리오 자동 생성 장치(100)는 기 저장되어 있는 시나리오를 통해 탐지된 출발지 IP 중 가장 많이 탐지된 출발지 IP를 기준으로 보안 이벤트를 조회할 수 있다.At this time, the scenario
그리고, 시나리오 자동 생성 장치(100)는 조회된 보안 이벤트를 기반으로 시간 단위의 호스트 행위를 획득할 수 있다(S113). 즉, 시나리오 자동 생성 장치(100)는 미리 설정된 기간 동안의 보안 이벤트를 시간 기준으로 오름차순 정렬하고, 정렬된 보안 이벤트를 기반으로 시간 단위의 호스트 행위를 확인할 수 있다.Then, the scenario
그런 다음, 시나리오 자동 생성 장치(100)는 획득된 시간 단위의 호스트 행위를 기반으로 보안 위협 분석을 위한 시나리오를 자동으로 생성할 수 있다(S115).Then, the scenario
본 발명은 또한 컴퓨터로 읽을 수 있는 기록 매체에 컴퓨터가 읽을 수 있는 코드로서 구현하는 것이 가능하다. 컴퓨터로 읽을 수 있는 기록 매체는 컴퓨터에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록 장치를 포함한다. 컴퓨터가 읽을 수 있는 기록 매체의 예로는 롬(ROM), 램(RAM), 씨디-롬(CD-ROM), 자기 테이프, 플로피 디스크, 광 데이터 저장장치 등이 있다. 또한, 컴퓨터가 읽을 수 있는 기록 매체는 유무선 통신망으로 연결된 컴퓨터 장치에 분산되어 분산 방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수 있다.The present invention can also be embodied as computer-readable codes on a computer-readable recording medium. A computer-readable recording medium includes all kinds of recording apparatuses in which data that can be read by a computer is stored. Examples of the computer-readable recording medium include a ROM, a RAM, a CD-ROM, a magnetic tape, a floppy disk, and an optical data storage device. In addition, the computer-readable recording medium may be distributed to computer devices connected to a wired / wireless communication network, and a computer-readable code may be stored and executed in a distributed manner.
이상에서 본 발명의 바람직한 실시예에 대하여 상세하게 설명하였지만 본 발명은 상술한 특정의 바람직한 실시예에 한정되지 아니하며, 다음의 청구범위에서 청구하는 본 발명의 요지를 벗어남이 없이 당해 발명이 속하는 기술분야에서 통상의 지식을 가진 자라면 누구든지 다양한 변형 실시가 가능한 것은 물론이고, 그와 같은 변경은 청구범위 기재의 범위 내에 있게 된다.While the present invention has been particularly shown and described with reference to exemplary embodiments thereof, it is to be understood that the invention is not limited to the disclosed exemplary embodiments, but, on the contrary, It will be understood by those skilled in the art that various changes may be made and equivalents may be substituted without departing from the scope of the appended claims.
100 : 시나리오 자동 생성 장치, 110 : 저장부,
130 : 보안 이벤트 조회부, 150 : 시나리오 생성부,
170 : 시나리오 실행부, 190 : 시나리오 관리부,
200 : 보안 이벤트 저장소100: scenario automatic generation apparatus, 110: storage section,
130: security event inquiry unit, 150: scenario generation unit,
170: scenario executing section, 190: scenario managing section,
200: Security Event Store
Claims (11)
미리 설정된 기간 동안의 보안 이벤트를 시간 기준으로 오름차순 정렬하고, 정렬된 상기 보안 이벤트를 기반으로 시간 단위의 호스트(host) 행위를 획득하며, 획득된 시간 단위의 호스트 행위를 기반으로 보안 위협 분석을 위한 시나리오를 자동으로 생성하는 시나리오 생성부; 및
상기 시나리오 생성부를 통해 자동으로 생성된 시나리오를 상기 저장부에 저장하며, 상기 저장부에 기 저장되어 있는 시나리오 및 상기 시나리오 생성부를 통해 자동으로 생성된 시나리오가 동시에 매칭되는 시간대를 획득하고, 획득한 시간대에 대응하는 호스트 행위를 기반으로 서브 시나리오를 생성하여 상기 저장부에 저장하는 시나리오 관리부;
를 포함하는 보안 위협 분석을 위한 시나리오 자동 생성 장치.A storage unit;
The method includes: sorting security events for a predetermined period in ascending order based on time, acquiring a host action on a time basis based on the sorted security events, A scenario generation unit for automatically generating a scenario; And
A scenario generated automatically by the scenario generation unit is stored in the storage unit and a time zone in which scenarios stored in the storage unit and scenarios automatically generated through the scenario generation unit are simultaneously matched are acquired, A scenario manager for generating a sub-scenario based on a host behavior corresponding to the scenario and storing the sub-scenario in the storage;
A scenario generating unit for generating a scenario;
상기 시나리오 생성부는,
상기 저장부에 기 저장되어 있는 시나리오를 통해 탐지된 출발지 IP 중 가장 많이 탐지된 출발지 IP를 기준으로 조회된 상기 보안 이벤트를 기반으로 시나리오를 자동으로 생성하는,
보안 위협 분석을 위한 시나리오 자동 생성 장치.The method of claim 1,
The scenario generation unit generates,
And automatically generating a scenario on the basis of the security event searched based on a source IP which is detected the most from the detected source IPs through the scenario stored in the storage unit,
Scenario automatic generation device for security threat analysis.
상기 시나리오 관리부는,
상기 저장부에 저장된 시나리오 각각의 활용 횟수 및 탐지 횟수를 기반으로 시나리오 각각의 우선순위를 결정하는,
보안 위협 분석을 위한 시나리오 자동 생성 장치.The method of claim 1,
The scenario management unit,
Determining a priority of each of the scenarios based on the utilization count and the detection count of each of the scenarios stored in the storage unit,
Scenario automatic generation device for security threat analysis.
상기 시나리오 관리부는,
상기 저장부에 저장된 시나리오 각각의 활용 횟수를 기반으로 미리 설정된 기간 동안 활용되지 않은 시나리오를 상기 저장부에서 삭제하는,
보안 위협 분석을 위한 시나리오 자동 생성 장치.The method of claim 1,
The scenario management unit,
A scenario in which the scenario is not utilized for a preset period of time based on utilization counts of the scenarios stored in the storage unit,
Scenario automatic generation device for security threat analysis.
미리 설정된 기간 동안의 보안 이벤트를 시간 기준으로 오름차순 정렬하고, 정렬된 상기 보안 이벤트를 기반으로 시간 단위의 호스트(host) 행위를 획득하며, 획득된 시간 단위의 호스트 행위를 기반으로 보안 위협 분석을 위한 시나리오를 자동으로 생성하는 단계;
자동으로 생성된 시나리오를 저장하는 단계; 및
기 저장되어 있는 시나리오 및 자동으로 생성된 시나리오가 동시에 매칭되는 시간대를 획득하고, 획득한 시간대에 대응하는 호스트 행위를 기반으로 서브 시나리오를 생성하여 저장하는 단계;
를 포함하는 보안 위협 분석을 위한 시나리오 자동 생성 방법.A method for automatically generating a scenario of an automatic scenario generation device for a security threat analysis,
The method includes: sorting security events for a predetermined period in ascending order based on time, acquiring a host action on a time basis based on the sorted security events, Automatically generating a scenario;
Storing an automatically generated scenario; And
Acquiring a time zone in which a previously stored scenario and an automatically generated scenario are simultaneously matched, generating and storing a sub scenario based on a host behavior corresponding to the acquired time zone,
A method for automatic generation of a scenario for analyzing a security threat,
상기 시나리오 자동 생성 단계는,
기 저장되어 있는 시나리오를 통해 탐지된 출발지 IP 중 가장 많이 탐지된 출발지 IP를 기준으로 조회된 상기 보안 이벤트를 기반으로 시나리오를 자동으로 생성하는 것으로 이루어진,
보안 위협 분석을 위한 시나리오 자동 생성 방법.The method of claim 6,
The scenario automatic generation step may include:
And automatically generating a scenario on the basis of the security event searched based on the IP address of the source IP that is detected the most from the detected source IPs through the stored scenario.
Automated generation of scenarios for security threat analysis.
저장되어 있는 시나리오 각각의 활용 횟수 및 탐지 횟수를 기반으로 시나리오 각각의 우선순위를 결정하는 단계;
를 더 포함하는 보안 위협 분석을 위한 시나리오 자동 생성 방법.The method of claim 6,
Determining priorities of scenarios based on utilization counts and detection counts of stored scenarios;
The method comprising the steps of:
저장된 시나리오 각각의 활용 횟수를 기반으로 미리 설정된 기간 동안 활용되지 않은 시나리오를 삭제하는 단계;
를 더 포함하는 보안 위협 분석을 위한 시나리오 자동 생성 방법.The method of claim 6,
Deleting scenarios that are not utilized for a preset period of time based on utilization counts of the stored scenarios;
The method comprising the steps of:
A computer program stored in a computer readable recording medium for causing a computer to execute a method for automatically generating a scenario for security threat analysis according to any one of claims 6, 7, 9 and 10.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020170162912A KR101880217B1 (en) | 2017-11-30 | 2017-11-30 | Apparatus and method for generating scenario automatically for security threat analysis |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020170162912A KR101880217B1 (en) | 2017-11-30 | 2017-11-30 | Apparatus and method for generating scenario automatically for security threat analysis |
Publications (1)
Publication Number | Publication Date |
---|---|
KR101880217B1 true KR101880217B1 (en) | 2018-07-19 |
Family
ID=63058503
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020170162912A KR101880217B1 (en) | 2017-11-30 | 2017-11-30 | Apparatus and method for generating scenario automatically for security threat analysis |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR101880217B1 (en) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20060033603A (en) | 2004-10-15 | 2006-04-19 | 유문수 | Automatic security service system by use of scenario and method |
KR20100118422A (en) * | 2009-04-28 | 2010-11-05 | 에스케이 텔레콤주식회사 | System and method for tracing signature security information |
KR20110117421A (en) * | 2010-04-21 | 2011-10-27 | 유넷시스템주식회사 | Security management system and securuty management method for compute |
KR20170046001A (en) * | 2015-10-20 | 2017-04-28 | 에스케이플래닛 주식회사 | System and method for improvement invasion detection |
-
2017
- 2017-11-30 KR KR1020170162912A patent/KR101880217B1/en active IP Right Grant
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20060033603A (en) | 2004-10-15 | 2006-04-19 | 유문수 | Automatic security service system by use of scenario and method |
KR20100118422A (en) * | 2009-04-28 | 2010-11-05 | 에스케이 텔레콤주식회사 | System and method for tracing signature security information |
KR20110117421A (en) * | 2010-04-21 | 2011-10-27 | 유넷시스템주식회사 | Security management system and securuty management method for compute |
KR20170046001A (en) * | 2015-10-20 | 2017-04-28 | 에스케이플래닛 주식회사 | System and method for improvement invasion detection |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11727333B2 (en) | Endpoint with remotely programmable data recorder | |
US10997294B2 (en) | Deferred malware scanning | |
US8516586B1 (en) | Classification of unknown computer network traffic | |
US10291471B1 (en) | Methods and apparatus for remediation execution | |
CN103679031B (en) | A kind of immune method and apparatus of file virus | |
US9026646B2 (en) | Methods and apparatus for remediating policy test failures, including correlating changes to remediation processes | |
JP2008516308A (en) | Method and apparatus for querying a plurality of computerized devices | |
JP2020508523A (en) | System and method for role-based computer security configuration | |
CN110519263B (en) | Anti-swipe method, device, apparatus, and computer-readable storage medium | |
US10594579B2 (en) | System monitoring device | |
WO2020046575A1 (en) | Enterprise network threat detection | |
CN110049004B (en) | Method for generating white list baseline of industrial control environment traffic | |
KR20190078768A (en) | Apparatus and method for analysing information of computerized asset automatically | |
KR101880217B1 (en) | Apparatus and method for generating scenario automatically for security threat analysis | |
CN110555308B (en) | Terminal application behavior tracking and threat risk assessment method and system | |
JP2019101448A (en) | Security control system and security control method | |
KR20120073021A (en) | System and method of network activity monitoring to particular process |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant |