KR101880217B1 - Apparatus and method for generating scenario automatically for security threat analysis - Google Patents

Apparatus and method for generating scenario automatically for security threat analysis Download PDF

Info

Publication number
KR101880217B1
KR101880217B1 KR1020170162912A KR20170162912A KR101880217B1 KR 101880217 B1 KR101880217 B1 KR 101880217B1 KR 1020170162912 A KR1020170162912 A KR 1020170162912A KR 20170162912 A KR20170162912 A KR 20170162912A KR 101880217 B1 KR101880217 B1 KR 101880217B1
Authority
KR
South Korea
Prior art keywords
scenario
security
scenarios
stored
security threat
Prior art date
Application number
KR1020170162912A
Other languages
Korean (ko)
Inventor
최경호
Original Assignee
(주)씨커스
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)씨커스 filed Critical (주)씨커스
Priority to KR1020170162912A priority Critical patent/KR101880217B1/en
Application granted granted Critical
Publication of KR101880217B1 publication Critical patent/KR101880217B1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Debugging And Monitoring (AREA)

Abstract

Disclosed are a device and a method for automatically generating scenarios for a security threat analysis. The present invention automatically generates a scenario for a security threat analysis by analyzing a security event. According to the present invention, the device automatically generates the scenario for a security threat analysis by analyzing the security event, so that a security threat detecting behavior is performed with an automated system. In addition, even if a new security threat occurs, the device automatically performs an analysis through an automatic scenario generation algorithm. Therefore, when the same security threat occurs, the device can automatically and quickly generates a scenario for detecting the same.

Description

보안 위협 분석을 위한 시나리오 자동 생성 장치 및 방법{Apparatus and method for generating scenario automatically for security threat analysis}Technical Field [0001] The present invention relates to an apparatus and method for automatically generating a scenario for analyzing security threats,

본 발명은 보안 위협 분석을 위한 시나리오 자동 생성 장치 및 방법에 관한 것으로, 더욱 상세하게는 보안 이벤트를 분석하여 보안 위협 분석을 위한 시나리오를 자동으로 생성하는 장치 및 방법에 관한 것이다.The present invention relates to an automatic scenario generation apparatus and method for analyzing a security threat, and more particularly, to an apparatus and method for automatically generating a scenario for security threat analysis by analyzing a security event.

보안 위협을 분석하는데 이용되는 시나리오의 생성은 과거에 발생된 위협을 분석하여 시나리오 정책으로 만들어야 한다는 특성을 가지고 있다. 이는 보안 전문가가 미래에 발생할 보안 위협을 미리 예측하여 시나리오를 만들 수 없기 때문이다.The creation of scenarios used to analyze security threats is characterized by the need to analyze past threats and make them into scenario policies. This is because security experts can not anticipate future security threats and create scenarios.

그러나, 이 방식은 시나리오 정책으로 등록되지 않은 새로운 보안 위협이 발생되었을 때 즉각적으로 대응할 수 없고 새로운 보안 위협을 수동으로 분석 후 시나리오 정책을 등록하여야 하는 단점이 있다.However, this method has a drawback in that it can not respond immediately when a new security threat that is not registered as a scenario policy occurs, and a scenario policy is registered after manually analyzing a new security threat.

새로운 보안 위협은 하루에도 수없이 새롭게 생성되고 있고 시나리오 등록 행위를 보안 전문가가 수동으로 수행하여야 하기 때문에, 새로운 보안 위협에 적절히 대응하는 것은 현실적으로 불가능하다. 또한, 시나리오를 보안 전문가가 수동으로 등록하여야 하기 때문에 새롭게 발생된 보안 위협뿐만 아니라 이전에 발생된 보안 위협에 의해서도 지속적이고 연속적인 피해가 발생되고 있는 상황이다.Since new security threats are being generated many times a day, it is practically impossible to respond to new security threats, since the scenario registration act must be performed manually by security experts. In addition, since scenarios must be manually registered by a security specialist, continuous and continuous damage is occurring due to newly generated security threats as well as previous security threats.

한국공개특허 제2006-0033603호 (유문수) 2006. 4. 19. 특허문헌 1은 시나리오를 이용한 자동 보안 서비스 시스템 및 그 방법으로서, 특허문헌 1에는 사용자의 컴퓨터를 분석하여 보안취약부분 분석과 해결 방안의 시나리오를 생성하고, 생성된 시나리오에 따라 보안 점검 작업을 수행하는 내용이 개시되어 있다.Korean Patent Laid-Open No. 2006-0033603 (Yumunsoo) 2006. 4. 19. Patent Literature 1 discloses an automatic security service system and a method thereof using a scenario, and Patent Document 1 discloses a technique of analyzing a user's computer, And a security check job is performed according to the generated scenario.

본 발명이 이루고자 하는 기술적 과제는, 보안 이벤트를 분석하여 보안 위협 분석을 위한 시나리오를 자동으로 생성하는 보안 위협 분석을 위한 시나리오 자동 생성 장치 및 방법을 제공하는 데 있다.An aspect of the present invention is to provide an apparatus and method for automatically generating a scenario for analyzing a security event and automatically generating a scenario for security threat analysis.

상기의 기술적 과제를 달성하기 위한 본 발명에 따른 보안 위협 분석을 위한 시나리오 자동 생성 장치는, 저장부, 미리 설정된 기간 동안의 보안 이벤트를 시간 기준으로 오름차순 정렬하고, 정렬된 보안 이벤트를 기반으로 시간 단위의 호스트(host) 행위를 획득하며, 획득된 시간 단위의 호스트 행위를 기반으로 보안 위협 분석을 위한 시나리오를 자동으로 생성하는 시나리오 생성부, 및 시나리오 생성부를 통해 자동으로 생성된 시나리오를 저장부에 저장하는 시나리오 관리부를 포함한다.According to an aspect of the present invention, there is provided an apparatus for automatically generating scenarios for analyzing security threats, the apparatus comprising: a storage unit configured to sort security events for a preset period in ascending order based on time, A scenario generating unit for automatically generating a scenario for security threat analysis based on the obtained host behavior, and a scenario generation unit for generating a scenario automatically generated by the scenario generating unit in a storage unit And a scenario management unit.

시나리오 생성부는 저장부에 기 저장되어 있는 시나리오를 통해 탐지된 출발지 IP 중 가장 많이 탐지된 출발지 IP를 기준으로 조회된 보안 이벤트를 기반으로 시나리오를 자동으로 생성할 수 있다.The scenario generating unit may automatically generate a scenario based on the security events searched based on the source IPs detected most frequently among the source IPs detected through the scenario stored in the storage unit.

시나리오 관리부는 저장부에 기 저장되어 있는 시나리오 및 시나리오 생성부를 통해 자동으로 생성된 시나리오가 동시에 매칭되는 시간대를 획득하고, 획득한 시간대에 대응하는 호스트 행위를 기반으로 서브 시나리오를 생성하여 저장부에 저장할 수 있다.The scenario management unit obtains a time zone in which scenarios automatically generated through the scenarios and scenario generating units stored in the storage unit are matched at the same time, generates a sub-scenario based on the host behavior corresponding to the acquired time zone, .

시나리오 관리부는 저장부에 저장된 시나리오 각각의 활용 횟수 및 탐지 횟수를 기반으로 시나리오 각각의 우선순위를 결정할 수 있다.The scenario management unit can determine the priorities of the respective scenarios based on the utilization count and the detection count of each of the scenarios stored in the storage unit.

시나리오 관리부는 저장부에 저장된 시나리오 각각의 활용 횟수를 기반으로 미리 설정된 기간 동안 활용되지 않은 시나리오를 저장부에서 삭제할 수 있다.The scenario management unit may delete, from the storage unit, scenarios that have not been used for a preset period of time based on the utilization count of each of the scenarios stored in the storage unit.

상기의 기술적 과제를 달성하기 위한 본 발명에 따른 보안 위협 분석을 위한 시나리오 자동 생성 방법은, 보안 위협 분석을 위한 시나리오 자동 생성 장치의 시나리오 자동 생성 방법으로서, 미리 설정된 기간 동안의 보안 이벤트를 시간 기준으로 오름차순 정렬하고, 정렬된 보안 이벤트를 기반으로 시간 단위의 호스트(host) 행위를 획득하며, 획득된 시간 단위의 호스트 행위를 기반으로 보안 위협 분석을 위한 시나리오를 자동으로 생성하는 단계, 및 자동으로 생성된 시나리오를 저장하는 단계를 포함한다.According to another aspect of the present invention, there is provided a method for automatically generating a scenario for analyzing security threats, the method comprising: Automatically generating a scenario for analyzing a security threat based on the host behavior of the acquired time unit, and automatically generating a scenario for security threat analysis based on the acquired host behavior, Lt; RTI ID = 0.0 > scenario. ≪ / RTI >

시나리오 자동 생성 단계는 기 저장되어 있는 시나리오를 통해 탐지된 출발지 IP 중 가장 많이 탐지된 출발지 IP를 기준으로 조회된 보안 이벤트를 기반으로 시나리오를 자동으로 생성하는 것으로 이루어질 수 있다.The scenario automatic generation step may be performed by automatically generating scenarios based on the security events searched based on the source IPs detected the most among the source IPs detected through the stored scenarios.

기 저장되어 있는 시나리오 및 자동으로 생성된 시나리오가 동시에 매칭되는 시간대를 획득하고, 획득한 시간대에 대응하는 호스트 행위를 기반으로 서브 시나리오를 생성하여 저장하는 단계를 더 포함할 수 있다.Acquiring a time zone during which the previously stored scenario and the automatically generated scenario are simultaneously matched, and generating and storing a sub scenario based on the host behavior corresponding to the acquired time zone.

저장되어 있는 시나리오 각각의 활용 횟수 및 탐지 횟수를 기반으로 시나리오 각각의 우선순위를 결정하는 단계를 더 포함할 수 있다.And determining the priority of each of the scenarios based on the utilization count and the detection count of each of the stored scenarios.

저장된 시나리오 각각의 활용 횟수를 기반으로 미리 설정된 기간 동안 활용되지 않은 시나리오를 삭제하는 단계를 더 포함할 수 있다.And deleting scenarios that have not been utilized for a preset period of time based on the utilization count of each of the stored scenarios.

상기의 기술적 과제를 달성하기 위한 본 발명에 따른 컴퓨터 프로그램은 컴퓨터로 읽을 수 있는 기록 매체에 저장되어 상기한 방법 중 어느 하나를 컴퓨터에서 실행시킨다.According to an aspect of the present invention, there is provided a computer program for use in a computer readable recording medium, the computer program causing the computer to execute any one of the methods.

본 발명에 따른 보안 위협 분석을 위한 시나리오 자동 생성 장치 및 방법에 의하면, 보안 이벤트를 분석하여 보안 위협 분석을 위한 시나리오를 자동으로 생성함으로써, 보안 위협 탐지 행위를 자동화된 시스템으로 수행할 수 있다. 또한, 새로운 보안 위협이 발생된 경우에도 시나리오 자동 생성 알고리즘을 통해 자동으로 분석을 수행하여 동일한 보안 위협이 발생될 때 이를 찾아낼 수 있는 시나리오를 신속하게 자동으로 생성할 수 있다.According to an apparatus and method for automatically generating a scenario for analyzing a security threat according to the present invention, a security threat detection operation can be performed as an automated system by automatically generating a scenario for security threat analysis by analyzing a security event. In addition, even when a new security threat occurs, the scenario automatic generation algorithm can automatically analyze the scenario and automatically generate a scenario that can be detected when the same security threat occurs.

도 1은 본 발명의 바람직한 실시예에 따른 보안 위협 분석을 위한 시나리오 자동 생성 장치를 설명하기 위한 블록도이다.
도 2는 도 1에 도시한 시나리오 자동 생성 장치의 구현 일례를 설명하기 위한 도면이다.
도 3은 본 발명의 바람직한 실시예에 따른 보안 위협 분석을 위한 시나리오 자동 생성 방법을 설명하기 위한 흐름도이다.
도 4는 도 3에 도시한 시나리오 자동 생성 단계를 보다 자세히 설명하기 위한 흐름도이다.1 is a block diagram illustrating an automatic scenario generation apparatus for analyzing security threats according to a preferred embodiment of the present invention.
FIG. 2 is a diagram for explaining an example of implementation of the scenario automatic generation apparatus shown in FIG.
3 is a flowchart illustrating a method for automatically generating a scenario for analyzing security threats according to a preferred embodiment of the present invention.
FIG. 4 is a flowchart for explaining the scenario automatic generation step shown in FIG. 3 in more detail.

이하에서 첨부한 도면을 참조하여 본 발명에 따른 보안 위협 분석을 위한 시나리오 자동 생성 장치 및 방법의 바람직한 실시예에 대해 상세하게 설명한다.DETAILED DESCRIPTION OF THE PREFERRED EMBODIMENTS Hereinafter, a preferred embodiment of an apparatus and method for automatically generating scenarios for security threat analysis according to the present invention will be described in detail with reference to the accompanying drawings.

먼저, 도 1 및 도 2를 참조하여 본 발명의 바람직한 실시예에 따른 보안 위협 분석을 위한 시나리오 자동 생성 장치에 대하여 설명한다.First, a scenario automatic generation apparatus for analyzing security threats according to a preferred embodiment of the present invention will be described with reference to FIGS. 1 and 2. FIG.

도 1은 본 발명의 바람직한 실시예에 따른 보안 위협 분석을 위한 시나리오 자동 생성 장치를 설명하기 위한 블록도이고, 도 2는 도 1에 도시한 시나리오 자동 생성 장치의 구현 일례를 설명하기 위한 도면이다.FIG. 1 is a block diagram for explaining an automatic scenario generation apparatus for a security threat analysis according to a preferred embodiment of the present invention. FIG. 2 is a view for explaining an example of an implementation of the scenario automatic generation apparatus shown in FIG.

도 1을 참조하면, 본 발명의 바람직한 실시예에 따른 보안 위협 분석을 위한 시나리오 자동 생성 장치(100)(이하 '시나리오 자동 생성 장치'라 한다)는 보안 이벤트 저장소(200)에 저장되어 있는 보안 이벤트를 분석하여 보안 위협 분석을 위한 시나리오를 자동 생성한다.Referring to FIG. 1, a scenario automatic generation apparatus 100 for analyzing a security threat according to a preferred embodiment of the present invention (hereinafter referred to as a 'scenario scenario generation apparatus') receives a security event And automatically generates scenarios for security threat analysis.

여기서, 보안 이벤트는 시스템, 네트워크, 응용 서비스 등으로부터 발생되는 보안 로그 데이터를 말한다. 예컨대, 보안 이벤트에는 「EventName="udp flooding - same ip" SigIndex=3477 Severity=High Time="2017/07/27 19:35:37" Protocol=UDP AttackerIP=1.1.1.1 AttackerPort=443 VictimIP=2.2.2.2 VictimPort=55795 Count=3 PktTTL=54 PktSize=350904 PktCount=4500 Pattern="" Direct= SensorIP=150.183.8.98 Sensor="SE01" Network="NODATA" VSensor="SE01" Packet="28 94 0F FE 4E 00 C0 67 AF 4A A8 40 08 00 45 00 00 40 00 00 40 00 36 11 DA B4 AC D9 18 8F 93 2F 11 61 01 BB D9 F3 00 2C 32 68」 등이 있다.Here, the security event refers to security log data generated from a system, a network, an application service, and the like. For example, in the security event, "EventName =" udp flooding - same ip "SigIndex = 3477 Severity = High Time =" 2017/07/27 19:35:37 "Protocol = UDP AttackerIP = 1.1.1.1 AttackerPort = 443 VictimIP = 2.2. 2.2 VictimPort = 55795 Count = 3 PktTTL = 54 PktSize = 350904 PktCount = 4500 Pattern = "" Direct = SensorIP = 150.183.8.98 Sensor = "SE01" Network = "NODATA" VSensor = "SE01" Packet = 00 C0 67 AF 4A A8 40 08 00 45 00 00 40 00 00 40 00 36 11 B4 AC D9 18 8F 93 2F 11 61 01 BB D9 F3 00 2C 32 68 ".

한편, 시나리오 자동 생성 장치(100)가 보안 이벤트 저장소(200)에 직접 연결된 것으로 도시하였으나, 본 발명은 이에 한정되지 않고 실시예에 따라 시나리오 자동 생성 장치(100)는 통신망(도시하지 않음)을 통해 보안 이벤트 저장소(200)에 연결될 수 있다. 또한, 본 발명에 따른 시나리오 자동 생성 장치(100)는 서로 독립적인 복수의 보안 이벤트 저장소(200)와 연결되어 복수의 보안 이벤트 저장소(200)에 저장되어 있는 보안 이벤트를 조회할 수도 있다.  Although the scenario automatic generation apparatus 100 is directly connected to the security event storage 200, the present invention is not limited to this, and the scenario automatic generation apparatus 100 may be connected to the security event storage 200 through a communication network And may be connected to the security event repository 200. The automatic scenario generation apparatus 100 according to the present invention may also inquire security events stored in a plurality of security event stores 200 by being connected to a plurality of independent security event stores 200.

이를 위해, 도 1 및 도 2를 참조하면, 시나리오 자동 생성 장치(100)는 저장부(110), 보안 이벤트 조회부(130), 시나리오 생성부(150), 시나리오 실행부(170) 및 시나리오 관리부(190)를 포함할 수 있다.1 and 2, the scenario automatic generation apparatus 100 includes a storage unit 110, a security event inquiry unit 130, a scenario generation unit 150, a scenario execution unit 170, (Not shown).

저장부(110)는 시나리오 자동 생성 장치(100)의 동작에 필요한 프로그램 및 데이터를 저장하는 역할을 수행하며, 프로그램 영역과 데이터 영역으로 구분될 수 있다.The storage unit 110 stores programs and data necessary for the operation of the automatic scenario generation apparatus 100, and can be divided into a program area and a data area.

프로그램 영역은 시나리오 자동 생성 장치(100)의 전반적인 동작을 제어하는 프로그램, 시나리오 자동 생성 장치(100)를 부팅시키는 운영체제(Operating System, OS), 보안 이벤트 조회, 시나리오 자동 생성, 시나리오를 이용한 보안 위협 분석 수행, 시나리오 관리 등과 같은 시나리오 자동 생성 장치(100)의 동작에 필요한 응용 프로그램 등을 저장할 수 있다.The program area includes a program for controlling overall operation of the scenario automatic generation apparatus 100, an operating system (OS) for booting the scenario automatic generation apparatus 100, a security event inquiry, a scenario automatic generation, a security threat analysis using a scenario And an application program necessary for the operation of the scenario automatic generation apparatus 100 such as scenario management and the like.

데이터 영역은 시나리오 자동 생성 장치(100)의 사용에 따라 발생하는 데이터가 저장되는 영역으로서, 조회된 보안 이벤트, 생성된 시나리오, 시나리오에 대한 관련 정보(활용 횟수, 탐지 횟수, 우선순위 등) 등을 저장할 수 있다.The data area is an area in which data generated according to the use of the automatic scenario generation apparatus 100 is stored and stores related information (utilization frequency, detection frequency, priority, etc.) regarding the security events, the generated scenario, and the scenario Can be stored.

보안 이벤트 조회부(130)는 보안 이벤트 저장소(200)에 저장되어 있는 보안 이벤트를 API(Application Programming Interface)를 통해 미리 설정된 시간 단위(예컨대, 1분 등)로 조회할 수 있다. 여기서, API는 RESTful, Java, Python, C++, C# 등을 활용할 수 있다.The security event inquiry unit 130 may inquire security events stored in the security event storage 200 through a predetermined time unit (e.g., one minute) through an API (Application Programming Interface). Here, the API can utilize RESTful, Java, Python, C ++, C # and so on.

그리고, 보안 이벤트 조회부(130)는 조회한 보안 이벤트를 저장부(110)에 저장할 수 있다.The security event inquiry unit 130 may store the retrieved security events in the storage unit 110. [

시나리오 생성부(150)는 보안 이벤트 조회부(130)를 통해 조회한 보안 이벤트를 분석하여 자동으로 보안 위협 분석을 위한 시나리오를 생성할 수 있다.The scenario generating unit 150 may analyze the security events viewed through the security event inquiry unit 130 and automatically generate scenarios for security threat analysis.

즉, 시나리오 생성부(150)는 보안 이벤트 조회부(130)를 통해 미리 설정된 기간(예컨대, 10분 전 ~ 현재 등) 동안의 보안 이벤트를 조회할 수 있다.That is, the scenario generating unit 150 can inquire security events during a predetermined period (for example, 10 minutes before to the present) through the security event inquiry unit 130. [

이때, 시나리오 생성부(150)는 저장부(110)에 기 저장되어 있는 시나리오를 통해 탐지된 출발지 IP 중 가장 많이 탐지된 출발지 IP를 기준으로 보안 이벤트를 조회할 수 있다.At this time, the scenario generating unit 150 can inquire security events based on the most detected source IP among the source IPs detected through the scenario stored in the storage unit 110. FIG.

그리고, 시나리오 생성부(150)는 미리 설정된 기간 동안의 보안 이벤트를 시간 기준으로 오름차순 정렬할 수 있다.The scenario generating unit 150 may sort the security events for a preset period in ascending order based on time.

그런 다음, 시나리오 생성부(150)는 정렬된 보안 이벤트를 기반으로 시간 단위의 호스트(host) 행위를 획득할 수 있다. 여기서, 호스트 행위는 보안 이벤트에 따른 호스트의 수행 행위를 말한다. 예컨대, 호스트 행위에는 "특정 시스템에 접근", "특정 IP와 통신", "특정 어플리케이션을 사용", "특정 이메일을 송수신", "로그인 시도", "데이터베이스 접근" 등이 있다.Then, the scenario generating unit 150 may acquire a host action on a time basis based on the sorted security events. Here, the host activity refers to the host activity according to the security event. For example, host behaviors include "access to a specific system", "communication with a specific IP", "use a specific application", "send and receive a specific email", "login attempt", "database access"

마지막으로, 시나리오 생성부(150)는 획득된 시간 단위의 호스트 행위를 기반으로 시나리오를 자동으로 생성할 수 있다.Finally, the scenario generating unit 150 may automatically generate scenarios based on the acquired host actions.

시나리오 관리부(190)는 저장부(110)에 기 저장되어 있는 시나리오와 시나리오 생성부(150)를 통해 새롭게 생성된 시나리오를 관리할 수 있다.The scenario management unit 190 can manage scenarios newly stored in the scenario storage unit 110 and the scenario generation unit 150. [

즉, 시나리오 관리부(190)는 시나리오 생성부(150)를 통해 자동으로 생성된 시나리오를 저장부(110)에 저장할 수 있다.That is, the scenario management unit 190 may store the scenario automatically generated through the scenario generation unit 150 in the storage unit 110. [

그리고, 시나리오 관리부(190)는 저장부(110)에 기 저장되어 있는 시나리오 및 시나리오 생성부(150)를 통해 자동으로 생성된 새로운 시나리오를 기반으로 서브 시나리오를 생성하여 저장부(110)에 저장할 수 있다. 여기서, 서브 시나리오는 독립적인 하나의 시나리오이다.The scenario management unit 190 may generate a sub scenario based on a scenario stored in the storage unit 110 and a new scenario automatically generated through the scenario generation unit 150 and store the sub scenario in the storage unit 110 have. Here, the sub-scenario is an independent scenario.

보다 자세히 설명하면, 시나리오 관리부(190)는 저장부(110)에 기 저장되어 있는 시나리오 및 시나리오 생성부(150)를 통해 자동으로 생성된 새로운 시나리오가 동시에 매칭되는 시간대를 획득할 수 있다. 그런 다음, 시나리오 관리부(190)는 획득한 시간대에 대응하는 호스트 행위를 기반으로 서브 시나리오를 생성하여 저장부(110)에 저장할 수 있다. 예컨대, "시나리오 A"가 기 등록되어 있는 상태에서, 새로운 "시나리오 B"가 자동으로 생성되어 등록되었다고 가정하고, "시나리오 A"와 "시나리오 B"가 동시에 다발적으로 매칭된 경우, 동시에 다발적으로 매칭된 시간대를 파악하여 해당 시간대의 호스트 행위로 이루어진 별도의 서브 시나리오를 생성할 수 있다.More specifically, the scenario management unit 190 can acquire a time zone in which new scenarios automatically generated through the scenario and the scenario generation unit 150 stored in the storage unit 110 are simultaneously matched. Then, the scenario management unit 190 may generate a sub-scenario based on the host behavior corresponding to the acquired time zone, and store the sub-scenario in the storage unit 110. [ For example, if it is assumed that a new "scenario B" is automatically generated and registered while the "scenario A" is preliminarily registered, and the scenario A and the scenario B are simultaneously matched, And a separate sub-scenario composed of the host behavior of the corresponding time zone can be generated.

또한, 시나리오 관리부(190)는 저장부(110)에 저장된 시나리오 각각의 활용 횟수 및 탐지 횟수를 기반으로 시나리오 각각의 우선순위를 결정할 수 있다. 여기서, 활용 횟수는 시나리오가 구동된 횟수를 말하며, 탐지 횟수는 시나리오가 구동되어 보안 위협이 탐지된 횟수를 말한다. 예컨대, 빈번하게 활용된, 즉 활용 횟수가 높고 활용 횟수 대비 탐지 횟수가 높은, 즉 탐지율도 높은 시나리오의 우선순위를 높게 설정할 수 있다.In addition, the scenario management unit 190 can determine the priorities of the scenarios based on the utilization count and the detection count of each of the scenarios stored in the storage unit 110. [ Here, the utilization count refers to the number of times the scenario is driven, and the detection count refers to the number of times that the security threat is detected because the scenario is activated. For example, it is possible to set a high priority of scenarios that are frequently used, that is, the number of utilization is high and the number of detection times is high compared with the number of utilization times, that is, the detection rate is high.

그리고, 시나리오 관리부(190)는 저장부(110)에 저장된 시나리오 각각의 활용 횟수를 기반으로 미리 설정된 기간 동안 활용되지 않은 시나리오를 저장부(110)에서 삭제할 수 있다. 예컨대, 시나리오 관리부(190)는 6개월 동안 활용 횟수가 "0"인 시나리오를 삭제할 수 있다.The scenario management unit 190 may delete scenarios in the storage unit 110 that have not been used for a predetermined period of time based on the utilization count of each of the scenarios stored in the storage unit 110. [ For example, the scenario management unit 190 may delete a scenario in which the utilization count is "0" for 6 months.

시나리오 실행부(170)는 저장부(110)에 저장되어 있는 시나리오를 이용하여 보안 위협 분석을 수행할 수 있다.The scenario executing unit 170 may perform a security threat analysis using a scenario stored in the storage unit 110. [

즉, 시나리오 실행부(170)는 저장부(110)에 저장되어 있는 시나리오를 호출하여 해당 시나리오를 실행하여 보안 위협을 탐지할 수 있다. 이때, 시나리오 실행부(170)는 시나리오별 구동 시간(예컨대, 1시간, 30분 등)에 따라 시나리오를 호출하여 실행할 수 있다.That is, the scenario executing unit 170 may call a scenario stored in the storage unit 110 and execute a corresponding scenario to detect a security threat. At this time, the scenario executing section 170 can call and execute the scenario according to the driving time per scenario (for example, 1 hour, 30 minutes, etc.).

그리고, 시나리오 실행부(170)는 실행된 시나리오와 그 결과(탐지 여부)를 시나리오 관리부(190)에 제공하여 시나리오를 관리하도록 할 수 있다.Then, the scenario executing section 170 may provide the executed scenario and its result (detection status) to the scenario managing section 190 to manage the scenario.

그러면, 도 3 및 도 4를 참조하여 본 발명의 바람직한 실시예에 따른 보안 위협 분석을 위한 시나리오 자동 생성 방법에 대하여 설명한다.3 and 4, a description will now be made of a scenario automatic generation method for security threat analysis according to a preferred embodiment of the present invention.

도 3은 본 발명의 바람직한 실시예에 따른 보안 위협 분석을 위한 시나리오 자동 생성 방법을 설명하기 위한 흐름도이다.3 is a flowchart illustrating a method for automatically generating a scenario for analyzing security threats according to a preferred embodiment of the present invention.

도 3을 참조하면, 시나리오 자동 생성 장치(100)는 미리 설정된 기간(예컨대, 10분 전 ~ 현재 등) 동안의 보안 이벤트를 기반으로 보안 위협 분석을 위한 시나리오를 자동으로 생성할 수 있다(S110).Referring to FIG. 3, the scenario automatic generation apparatus 100 may automatically generate a scenario for security threat analysis based on a security event for a preset period (for example, 10 minutes before to the present) (S 110) .

그리고, 시나리오 자동 생성 장치(100)는 자동으로 생성된 시나리오를 저장할 수 있다(S130).Then, the scenario automatic generation apparatus 100 may store the automatically generated scenario (S130).

이후, 시나리오 자동 생성 장치(100)는 저장되어 있는 시나리오를 이용하여 보안 위협 분석을 수행할 수 있다(S150). 즉, 시나리오 자동 생성 장치(100)는 저장되어 있는 시나리오를 호출하여 해당 시나리오를 실행하여 보안 위협을 탐지할 수 있다.Thereafter, the scenario automatic generation apparatus 100 can perform a security threat analysis using the stored scenario (S150). That is, the scenario automatic generation apparatus 100 can call a stored scenario and execute a corresponding scenario to detect a security threat.

이때, 시나리오 자동 생성 장치(100)는 서브 시나리오를 생성하여 저장할 수 있다(S170). 즉, 시나리오 자동 생성 장치(100)는 기 저장되어 있는 시나리오 및 자동으로 생성된 새로운 시나리오를 기반으로 서브 시나리오를 생성하여 저장할 수 있다. 보다 자세히 설명하면, 시나리오 자동 생성 장치(100)는 기 저장되어 있는 시나리오 및 자동으로 생성된 새로운 시나리오가 동시에 매칭되는 시간대를 획득할 수 있다. 그런 다음, 시나리오 자동 생성 장치(100)는 획득한 시간대에 대응하는 호스트 행위를 기반으로 서브 시나리오를 생성하여 저장할 수 있다.At this time, the scenario automatic generation apparatus 100 may generate and store a sub-scenario (S170). That is, the scenario automatic generation apparatus 100 may generate and store a sub-scenario based on the stored scenario and the automatically generated new scenario. More specifically, the scenario automatic generation apparatus 100 may obtain a time zone in which previously stored scenarios and automatically generated new scenarios are simultaneously matched. Then, the scenario automatic generation apparatus 100 may generate and store a sub-scenario based on the host behavior corresponding to the acquired time zone.

그리고, 시나리오 자동 생성 장치(100)는 저장되어 있는 시나리오를 관리할 수 있다(S190). 즉, 시나리오 자동 생성 장치(100)는 저장된 시나리오 각각의 활용 횟수 및 탐지 횟수를 기반으로 시나리오 각각의 우선순위를 결정할 수 있다. 또한, 시나리오 자동 생성 장치(100)는 시나리오 각각의 활용 횟수를 기반으로 미리 설정된 기간 동안 활용되지 않은 시나리오를 삭제할 수 있다.Then, the scenario automatic generation apparatus 100 can manage the stored scenarios (S190). That is, the automatic scenario generating apparatus 100 can determine the priority of each of the scenarios based on the utilization count and the detection count of each of the stored scenarios. In addition, the automatic scenario generating apparatus 100 may delete scenarios that are not utilized for a predetermined period based on the utilization count of each scenario.

도 4는 도 3에 도시한 시나리오 자동 생성 단계를 보다 자세히 설명하기 위한 흐름도이다.FIG. 4 is a flowchart for explaining the scenario automatic generation step shown in FIG. 3 in more detail.

도 4를 참조하면, 시나리오 자동 생성 장치(100)는 미리 설정된 기간 동안의 보안 이벤트를 조회할 수 있다(S111).Referring to FIG. 4, the scenario automatic generation apparatus 100 may inquire a security event for a predetermined period (S111).

이때, 시나리오 자동 생성 장치(100)는 기 저장되어 있는 시나리오를 통해 탐지된 출발지 IP 중 가장 많이 탐지된 출발지 IP를 기준으로 보안 이벤트를 조회할 수 있다.At this time, the scenario automatic generation apparatus 100 can inquire security events based on the source IP of the most detected of the source IPs detected through the stored scenarios.

그리고, 시나리오 자동 생성 장치(100)는 조회된 보안 이벤트를 기반으로 시간 단위의 호스트 행위를 획득할 수 있다(S113). 즉, 시나리오 자동 생성 장치(100)는 미리 설정된 기간 동안의 보안 이벤트를 시간 기준으로 오름차순 정렬하고, 정렬된 보안 이벤트를 기반으로 시간 단위의 호스트 행위를 확인할 수 있다.Then, the scenario automatic generation apparatus 100 can acquire a host activity on a time basis based on the inquired security event (S113). That is, the scenario automatic generation apparatus 100 can arrange the security events for a predetermined period in ascending order on a time basis, and confirm the host activity on a time basis based on the sorted security events.

그런 다음, 시나리오 자동 생성 장치(100)는 획득된 시간 단위의 호스트 행위를 기반으로 보안 위협 분석을 위한 시나리오를 자동으로 생성할 수 있다(S115).Then, the scenario automatic generation apparatus 100 can automatically generate a scenario for analyzing the security threat based on the obtained host action of the time unit (S115).

본 발명은 또한 컴퓨터로 읽을 수 있는 기록 매체에 컴퓨터가 읽을 수 있는 코드로서 구현하는 것이 가능하다. 컴퓨터로 읽을 수 있는 기록 매체는 컴퓨터에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록 장치를 포함한다. 컴퓨터가 읽을 수 있는 기록 매체의 예로는 롬(ROM), 램(RAM), 씨디-롬(CD-ROM), 자기 테이프, 플로피 디스크, 광 데이터 저장장치 등이 있다. 또한, 컴퓨터가 읽을 수 있는 기록 매체는 유무선 통신망으로 연결된 컴퓨터 장치에 분산되어 분산 방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수 있다.The present invention can also be embodied as computer-readable codes on a computer-readable recording medium. A computer-readable recording medium includes all kinds of recording apparatuses in which data that can be read by a computer is stored. Examples of the computer-readable recording medium include a ROM, a RAM, a CD-ROM, a magnetic tape, a floppy disk, and an optical data storage device. In addition, the computer-readable recording medium may be distributed to computer devices connected to a wired / wireless communication network, and a computer-readable code may be stored and executed in a distributed manner.

이상에서 본 발명의 바람직한 실시예에 대하여 상세하게 설명하였지만 본 발명은 상술한 특정의 바람직한 실시예에 한정되지 아니하며, 다음의 청구범위에서 청구하는 본 발명의 요지를 벗어남이 없이 당해 발명이 속하는 기술분야에서 통상의 지식을 가진 자라면 누구든지 다양한 변형 실시가 가능한 것은 물론이고, 그와 같은 변경은 청구범위 기재의 범위 내에 있게 된다.While the present invention has been particularly shown and described with reference to exemplary embodiments thereof, it is to be understood that the invention is not limited to the disclosed exemplary embodiments, but, on the contrary, It will be understood by those skilled in the art that various changes may be made and equivalents may be substituted without departing from the scope of the appended claims.

100 : 시나리오 자동 생성 장치, 110 : 저장부,
130 : 보안 이벤트 조회부, 150 : 시나리오 생성부,
170 : 시나리오 실행부, 190 : 시나리오 관리부,
200 : 보안 이벤트 저장소100: scenario automatic generation apparatus, 110: storage section,
130: security event inquiry unit, 150: scenario generation unit,
170: scenario executing section, 190: scenario managing section,
200: Security Event Store

Claims (11)

저장부;
미리 설정된 기간 동안의 보안 이벤트를 시간 기준으로 오름차순 정렬하고, 정렬된 상기 보안 이벤트를 기반으로 시간 단위의 호스트(host) 행위를 획득하며, 획득된 시간 단위의 호스트 행위를 기반으로 보안 위협 분석을 위한 시나리오를 자동으로 생성하는 시나리오 생성부; 및
상기 시나리오 생성부를 통해 자동으로 생성된 시나리오를 상기 저장부에 저장하며, 상기 저장부에 기 저장되어 있는 시나리오 및 상기 시나리오 생성부를 통해 자동으로 생성된 시나리오가 동시에 매칭되는 시간대를 획득하고, 획득한 시간대에 대응하는 호스트 행위를 기반으로 서브 시나리오를 생성하여 상기 저장부에 저장하는 시나리오 관리부;
를 포함하는 보안 위협 분석을 위한 시나리오 자동 생성 장치.A storage unit;
The method includes: sorting security events for a predetermined period in ascending order based on time, acquiring a host action on a time basis based on the sorted security events, A scenario generation unit for automatically generating a scenario; And
A scenario generated automatically by the scenario generation unit is stored in the storage unit and a time zone in which scenarios stored in the storage unit and scenarios automatically generated through the scenario generation unit are simultaneously matched are acquired, A scenario manager for generating a sub-scenario based on a host behavior corresponding to the scenario and storing the sub-scenario in the storage;
A scenario generating unit for generating a scenario; 제1항에서,
상기 시나리오 생성부는,
상기 저장부에 기 저장되어 있는 시나리오를 통해 탐지된 출발지 IP 중 가장 많이 탐지된 출발지 IP를 기준으로 조회된 상기 보안 이벤트를 기반으로 시나리오를 자동으로 생성하는,
보안 위협 분석을 위한 시나리오 자동 생성 장치.The method of claim 1,
The scenario generation unit generates,
And automatically generating a scenario on the basis of the security event searched based on a source IP which is detected the most from the detected source IPs through the scenario stored in the storage unit,
Scenario automatic generation device for security threat analysis. 삭제delete 제1항에서,
상기 시나리오 관리부는,
상기 저장부에 저장된 시나리오 각각의 활용 횟수 및 탐지 횟수를 기반으로 시나리오 각각의 우선순위를 결정하는,
보안 위협 분석을 위한 시나리오 자동 생성 장치.The method of claim 1,
The scenario management unit,
Determining a priority of each of the scenarios based on the utilization count and the detection count of each of the scenarios stored in the storage unit,
Scenario automatic generation device for security threat analysis. 제1항에서,
상기 시나리오 관리부는,
상기 저장부에 저장된 시나리오 각각의 활용 횟수를 기반으로 미리 설정된 기간 동안 활용되지 않은 시나리오를 상기 저장부에서 삭제하는,
보안 위협 분석을 위한 시나리오 자동 생성 장치.The method of claim 1,
The scenario management unit,
A scenario in which the scenario is not utilized for a preset period of time based on utilization counts of the scenarios stored in the storage unit,
Scenario automatic generation device for security threat analysis. 보안 위협 분석을 위한 시나리오 자동 생성 장치의 시나리오 자동 생성 방법으로서,
미리 설정된 기간 동안의 보안 이벤트를 시간 기준으로 오름차순 정렬하고, 정렬된 상기 보안 이벤트를 기반으로 시간 단위의 호스트(host) 행위를 획득하며, 획득된 시간 단위의 호스트 행위를 기반으로 보안 위협 분석을 위한 시나리오를 자동으로 생성하는 단계;
자동으로 생성된 시나리오를 저장하는 단계; 및
기 저장되어 있는 시나리오 및 자동으로 생성된 시나리오가 동시에 매칭되는 시간대를 획득하고, 획득한 시간대에 대응하는 호스트 행위를 기반으로 서브 시나리오를 생성하여 저장하는 단계;
를 포함하는 보안 위협 분석을 위한 시나리오 자동 생성 방법.A method for automatically generating a scenario of an automatic scenario generation device for a security threat analysis,
The method includes: sorting security events for a predetermined period in ascending order based on time, acquiring a host action on a time basis based on the sorted security events, Automatically generating a scenario;
Storing an automatically generated scenario; And
Acquiring a time zone in which a previously stored scenario and an automatically generated scenario are simultaneously matched, generating and storing a sub scenario based on a host behavior corresponding to the acquired time zone,
A method for automatic generation of a scenario for analyzing a security threat, 제6항에서,
상기 시나리오 자동 생성 단계는,
기 저장되어 있는 시나리오를 통해 탐지된 출발지 IP 중 가장 많이 탐지된 출발지 IP를 기준으로 조회된 상기 보안 이벤트를 기반으로 시나리오를 자동으로 생성하는 것으로 이루어진,
보안 위협 분석을 위한 시나리오 자동 생성 방법.The method of claim 6,
The scenario automatic generation step may include:
And automatically generating a scenario on the basis of the security event searched based on the IP address of the source IP that is detected the most from the detected source IPs through the stored scenario.
Automated generation of scenarios for security threat analysis. 삭제delete 제6항에서,
저장되어 있는 시나리오 각각의 활용 횟수 및 탐지 횟수를 기반으로 시나리오 각각의 우선순위를 결정하는 단계;
를 더 포함하는 보안 위협 분석을 위한 시나리오 자동 생성 방법.The method of claim 6,
Determining priorities of scenarios based on utilization counts and detection counts of stored scenarios;
The method comprising the steps of: 제6항에서,
저장된 시나리오 각각의 활용 횟수를 기반으로 미리 설정된 기간 동안 활용되지 않은 시나리오를 삭제하는 단계;
를 더 포함하는 보안 위협 분석을 위한 시나리오 자동 생성 방법.The method of claim 6,
Deleting scenarios that are not utilized for a preset period of time based on utilization counts of the stored scenarios;
The method comprising the steps of: 제6항, 제7항, 제9항 및 제10항 중 어느 한 항에 기재된 보안 위협 분석을 위한 시나리오 자동 생성 방법을 컴퓨터에서 실행시키기 위하여 컴퓨터로 읽을 수 있는 기록 매체에 저장된 컴퓨터 프로그램.
A computer program stored in a computer readable recording medium for causing a computer to execute a method for automatically generating a scenario for security threat analysis according to any one of claims 6, 7, 9 and 10.
KR1020170162912A 2017-11-30 2017-11-30 Apparatus and method for generating scenario automatically for security threat analysis KR101880217B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020170162912A KR101880217B1 (en) 2017-11-30 2017-11-30 Apparatus and method for generating scenario automatically for security threat analysis

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020170162912A KR101880217B1 (en) 2017-11-30 2017-11-30 Apparatus and method for generating scenario automatically for security threat analysis

Publications (1)

Publication Number Publication Date
KR101880217B1 true KR101880217B1 (en) 2018-07-19

Family

ID=63058503

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020170162912A KR101880217B1 (en) 2017-11-30 2017-11-30 Apparatus and method for generating scenario automatically for security threat analysis

Country Status (1)

Country Link
KR (1) KR101880217B1 (en)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20060033603A (en) 2004-10-15 2006-04-19 유문수 Automatic security service system by use of scenario and method
KR20100118422A (en) * 2009-04-28 2010-11-05 에스케이 텔레콤주식회사 System and method for tracing signature security information
KR20110117421A (en) * 2010-04-21 2011-10-27 유넷시스템주식회사 Security management system and securuty management method for compute
KR20170046001A (en) * 2015-10-20 2017-04-28 에스케이플래닛 주식회사 System and method for improvement invasion detection

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20060033603A (en) 2004-10-15 2006-04-19 유문수 Automatic security service system by use of scenario and method
KR20100118422A (en) * 2009-04-28 2010-11-05 에스케이 텔레콤주식회사 System and method for tracing signature security information
KR20110117421A (en) * 2010-04-21 2011-10-27 유넷시스템주식회사 Security management system and securuty management method for compute
KR20170046001A (en) * 2015-10-20 2017-04-28 에스케이플래닛 주식회사 System and method for improvement invasion detection

Similar Documents

Publication Publication Date Title
US11727333B2 (en) Endpoint with remotely programmable data recorder
US11636206B2 (en) Deferred malware scanning
US8516586B1 (en) Classification of unknown computer network traffic
US10291471B1 (en) Methods and apparatus for remediation execution
CN103679031B (en) A kind of immune method and apparatus of file virus
US9026646B2 (en) Methods and apparatus for remediating policy test failures, including correlating changes to remediation processes
JP2020508523A (en) System and method for role-based computer security configuration
JP2008516308A (en) Method and apparatus for querying a plurality of computerized devices
CN110519263B (en) Anti-swipe method, device, apparatus, and computer-readable storage medium
US10594579B2 (en) System monitoring device
WO2020046575A1 (en) Enterprise network threat detection
CN110049004B (en) Method for generating white list baseline of industrial control environment traffic
KR20190078768A (en) Apparatus and method for analysing information of computerized asset automatically
KR101880217B1 (en) Apparatus and method for generating scenario automatically for security threat analysis
CN110555308B (en) Terminal application behavior tracking and threat risk assessment method and system
KR101188307B1 (en) System and method of network activity monitoring to particular process
CN113591076A (en) Method, system, equipment and computer program product for detecting database collision behavior

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant