KR101886147B1 - 사이버 위협 인텔리전스 데이터 분석 방법 및 그 장치 - Google Patents

사이버 위협 인텔리전스 데이터 분석 방법 및 그 장치 Download PDF

Info

Publication number
KR101886147B1
KR101886147B1 KR1020170157950A KR20170157950A KR101886147B1 KR 101886147 B1 KR101886147 B1 KR 101886147B1 KR 1020170157950 A KR1020170157950 A KR 1020170157950A KR 20170157950 A KR20170157950 A KR 20170157950A KR 101886147 B1 KR101886147 B1 KR 101886147B1
Authority
KR
South Korea
Prior art keywords
cti
data
graph
similarity
item
Prior art date
Application number
KR1020170157950A
Other languages
English (en)
Inventor
이슬기
김낙현
조혜선
김병익
박준형
Original Assignee
한국인터넷진흥원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국인터넷진흥원 filed Critical 한국인터넷진흥원
Priority to KR1020170157950A priority Critical patent/KR101886147B1/ko
Application granted granted Critical
Publication of KR101886147B1 publication Critical patent/KR101886147B1/ko
Priority to US16/173,856 priority patent/US11005869B2/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • G06F17/30958
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators

Abstract

사이버 위협 인텔리전스(Cyber Threat Intelligence; CTI) 데이터를 분석하는 방법 및 장치가 제공 된다. 본 발명의 일 실시예에 따른 CTI 데이터 분석 방법은, 제1 분류 항목에 기초하여 분류된 제1 CTI 데이터로 구성된 제1 정점(vertex)을 포함하는 제1 CTI 그래프 및 제1 분류 항목에 기초하여 분류된 제2 CTI 데이터로 구성된 제2 정점을 포함하는 제2 CTI 그래프를 획득하는 단계, 제1 분류 항목에 따라 결정되는 제2 분류 항목에 기초하여 제1 CTI 데이터 및 제2 CTI 데이터를 분류하는 단계 및 제1 CTI 데이터 및 제2 CTI 데이터가 동일한 분류에 속하는 경우, 제1 CTI 데이터 및 제2 CTI 데이터 사이의 제1 CTI 유사도에 기초하여 결정되는 제1 CTI 그래프 및 제2 CTI 그래프의 그래프 유사도를 출력하는 단계를 포함한다.

Description

사이버 위협 인텔리전스 데이터 분석 방법 및 그 장치{METHOD FOR ANALYSING CYBER THREAT INTELLEGENCE DATA AND APPARAUTS THEREOF}
본 발명은 사이버 위협 인텔리전스 데이터를 분석하는 방법 및 장치에 관한 것이다. 보다 자세하게는, 그래프 데이터베이스(graph database)로 구축된 사이버 위협 인텔리전스 데이터를 분석함으로써 데이터 접근이 용이하도록 하는 방법 및 장치에 관한 것이다.
컴퓨팅 시스템에 대해 침해 사고가 급증함에 따라 침해 사고와 관련된 정보가 공개 출처 정보(Open Source Intelligence; OSINT)를 통해서 공유되고 있다. 나아가, 공유된 침해 사고에 대한 정보를 인텔리전스(intelligence) 정보, 즉 사이버 위협 인텔리전스(Cyber Threat intelligence; CTI)로 정제하고 관리함으로써, 침해 자원에 의한 공격을 사전에 방어하기 위한 다양한 방법이 시도되고 있다. 침해 자원은 보안 침해에 사용된 자원을 의미한다.
예를 들면, 침해 사고에 대한 정보가 침해 자원에 대한 그래프 데이터베이스(Graph Database)로 구축되고 있다. 그래프 데이터베이스란 데이터를 그래프의 형태로 저장함으로써 구조를 일반화하고 접근성을 높인 형태의 데이터베이스를 의미한다. 침해 자원의 그래프 데이터베이스는 침해 자원 및 침해 자원의 속성(property)을 정점(vertex)에 저장하고, 정점과 다른 정점 사이를 연결하는 간선(edge)의 속성 값에 연결 관계(relationship)를 기록한 형태로 구성된다. 정점은 그래프의 노드(node)를 구성한다.
네트워크를 통해 수집된 다양한 침해 자원에 대한 그래프 데이터베이스는, 정점과 간선으로만 구성되어 전체적인 구조가 매우 간단하므로 침해 자원에 의한 공격을 사전에 방어하기 위한 전략을 수립하는데 용이하다. 그러나, 수집한 침해 자원의 수는 매우 많은 것이 일반적이며, 무수히 많은 정점들이 그래프 데이터베이스에 포함될 수 있다. 정점들의 수가 지나치게 많아지면 원하는 데이터에 대한 접근이 어려워지는 문제가 있다.
따라서 침해 자원에 대한 데이터베이스는 다양한 정보를 공통적인 분모로 묶어 구조를 최대한 단순하게 구성함으로써 원하는 데이터에 접근이 용이하도록 구성될 필요가 있다. 또한, 새로운 침해 자원이 수시로 발생함에 따라 새로운 침해 자원에 대한 데이터가 수시로 수집되므로, 새로운 침해 자원에 대한 갱신이 용이해야 할 필요가 있다.
일 기술적 과제는, 침해 자원에 대한 정보를 포함하는 CTI 데이터를 그룹 별으로 분류하여 관리함으로써 보다 이용하기 용이한 데이터베이스를 제공할 수 있는 CTI 데이터 분석 방법 및 장치를 제공하는 것이다.
또한, 다른 기술적 과제는 CTI 데이터의 그룹들 사이의 유사도를 결정함으로써 보다 유용한 CTI 데이터를 제공하는 CTI 데이터 분석 방법 및 장치를 제공하는 것이다.
본 발명의 기술적 과제들은 이상에서 언급한 기술적 과제들로 제한되지 않으며, 언급되지 않은 또 다른 기술적 과제들은 아래의 기재로부터 본 발명의 기술분야에서의 통상의 기술자에게 명확하게 이해 될 수 있을 것이다.
상기 기술적 과제를 해결하기 위한, 본 발명의 일 실시예에 따른 사이버 위협 인텔리전스 데이터 분석 방법은, 제1 분류 항목에 기초하여 분류된 제1 CTI 데이터로 구성된 제1 정점(vertex)을 포함하는 제1 CTI 그래프 및 상기 제1 분류 항목에 기초하여 분류된 제2 CTI 데이터로 구성된 제2 정점을 포함하는 제2 CTI 그래프를 획득하는 단계, 상기 제1 분류 항목에 따라 결정되는 제2 분류 항목에 기초하여 상기 제1 CTI 데이터 및 제2 CTI 데이터를 분류하는 단계 및 상기 분류 결과, 상기 제1 CTI 데이터 및 상기 제2 CTI 데이터가 동일한 분류에 속하는 경우, 상기 제1 CTI 데이터 및 상기 제2 CTI 데이터 사이의 제1 CTI 유사도에 기초하여 결정되는 상기 제1 CTI 그래프 및 상기 제2 CTI 그래프의 그래프 유사도를 출력하는 단계를 포함할 수 있다.
또한, 다른 실시 예에 따르면, 상기 제1 CTI 그래프는 상기 제1 정점과 제1 간선(edge)으로 연결되고, 제3 CTI 데이터로 구성된 제3 정점을 포함하고, 상기 제2 CTI 그래프는 상기 제2 정점과 제2 간선으로 연결된 제4 CTI 데이터로 구성된 제4 정점을 포함하며, 상기 유사도를 출력하는 단계는 상기 제1 CTI 유사도와 제2 CTI 유사도의 곱에 기초하여 상기 그래프 유사도를 결정하는 단계를 포함하고, 상기 제1 CTI 유사도는 상기 제1 정점과 상기 제2 정점 사이의 거리에 기초하여 결정되며, 상기 제2 CTI 유사도는 상기 제3 정점과 상기 제4 정점 사이의 거리에 기초하여 결정되는 것을 특징으로 할 수 있다.
또한, 또 다른 실시 예에 따르면, 상기 결정하는 단계는 상기 제1 간선 및 상기 제2 간선의 유형이 동일한 경우에만 상기 제1 CTI 유사도 및 상기 제2 CTI 유사도의 곱을 상기 그래프 유사도에 반영하는 것을 특징으로 할 수 있다.
또한, 또 다른 실시 예에 따르면, 상기 제1 분류 항목은, 취약점 항목을 포함하고, 상기 제2 분류 항목은, 서브도메인(subdomain) 항목, 도메인 문자열(domainstring) 항목, 최상위 도메인(Top Level Domain) 항목, 2단계 도메인(Second Level Domain) 항목, 경로 항목, 파일명 항목 및 CVE(Common Vulnerability Enumeration) 항목을 포함할 수 있다.
또한, 또 다른 실시 예에 따르면, 상기 그래프 유사도를 출력하는 단계는,
상기 서브도메인 항목으로 분류된 정보의 길이가 임계값 이상인 경우에만 상기 취약점 항목으로 분류된 데이터로부터 상기 제1 CTI 유사도를 산출하고, 상기 산출된 제1 CTI 유사도에 기초하여 상기 그래프 유사도를 결정하는 것을 특징으로 할 수 있다.
또한, 또 다른 실시 예에 따르면, 상기 제1 분류 항목은, 파일 항목을 포함하고, 상기 제2 분류 항목은 파일명 항목 및 해시(hash) 항목을 포함할 수 있다.
또한, 또 다른 실시 예에 따르면, 상기 그래프 유사도를 출력하는 단계는 상기 해시 항목으로 분류된 정보는 유사도 산출 대상에서 제외하는 것을 특징으로 할 수 있다.
또한, 또 다른 실시 예에 따르면, 상기 제1 분류 항목은 도메인 항목을 포함하고, 상기 제2 분류 항목은 서브도메인 항목, 도메인 문자열 항목, 최상위 도메인(Top Level Domain) 항목 및 2단계 도메인(Second Level Domain) 항목을 포함하는 것을 특징으로 할 수 있다.
또한, 또 다른 실시 예에 따르면, 상기 그래프 유사도를 출력하는 단계는 상기 서브도메인 항목 및 상기 도메인 문자열 항목으로 분류된 정보들 사이의 문자열 비교를 수행함으로써 복수의 유사도 값들을 획득하고, 복수의 유사도 값들 중 가장 높은 값을 상기 CTI 유사도로 결정하는 것을 특징으로 할 수 있다.
또한, 또 다른 실시 예에 따르면, 상기 사이버 위협 인텔리전스 데이터 분석 방법은, 상기 그래프 유사도가 임계값 이상인 경우, 상기 제1 CTI 그래프 및 상기 제2 CTI 그래프가 하나의 그룹에 포함되도록 설정하는 단계 및 상기 제1 CTI 데이터 및 상기 제2 CTI 데이터를 포함하는 CTI 정보를 그룹 별로 출력하는 단계를 더 포함할 수 있다.
상기 기술적 과제를 해결하기 위한, 본 발명의 일 실시예에 따른 사이버 위협 인텔리전스 데이터 분석 장치는, 프로세서 및 상기 프로세서에 의해 실행되는 하나 이상의 인스트럭션을 저장하는 메모리를 포함하되, 상기 하나 이상의 인스트럭션은, 제1 분류 항목에 기초하여 분류된 제1 CTI 데이터로 구성된 제1 정점(vertex)를 포함하는 제1 CTI 그래프 및 상기 제1 분류 항목에 기초하여 분류된 제2 CTI 데이터로 구성된 제2 정점(vertex)를 포함하는 제2 CTI 그래프를 획득하는 인스트럭션, 상기 제1 분류 항목에 따라 결정되는 제2 분류 항목에 기초하여 상기 제1 CTI 데이터 및 제2 CTI 데이터를 분류하는 인스트럭션 및 상기 제1 CTI 데이터 및 상기 제2 CTI 데이터가 동일한 분류에 속하는 경우, 상기 제1 CTI 데이터 및 상기 제2 CTI 데이터 사이의 제1 CTI 유사도에 기초하여 결정되는 상기 제1 CTI 그래프 및 상기 제2 CTI 그래프의 그래프 유사도를 출력하는 인스트럭션을 포함할 수 있다.
상기 기술적 과제를 해결하기 위한, 본 발명의 일 실시예에 따른 비일시적(non-transitory) 컴퓨터 판독 가능한 매체에 기록된 컴퓨터 프로그램은, 상기 컴퓨터 프로그램의 명령어들이 사이버 위협 인텔리전스 데이터 분석 장치 의 프로세서에 의해 실행되는 경우에, 제1 분류 항목에 기초하여 분류된 제1 CTI 데이터로 구성된 제1 정점(vertex)를 포함하는 제1 CTI 그래프 및 상기 제1 분류 항목에 기초하여 분류된 제2 CTI 데이터로 구성된 제2 정점(vertex)를 포함하는 제2 CTI 그래프를 획득하는 단계, 상기 제1 분류 항목에 따라 결정되는 제2 분류 항목에 기초하여 상기 제1 CTI 데이터 및 제2 CTI 데이터를 분류하는 단계 및 상기 제1 CTI 데이터 및 상기 제2 CTI 데이터가 동일한 분류에 속하는 경우, 상기 제1 CTI 데이터 및 상기 제2 CTI 데이터 사이의 제1 CTI 유사도에 기초하여 결정되는 상기 제1 CTI 그래프 및 상기 제2 CTI 그래프의 그래프 유사도를 출력하는 단계가 수행되는 것을 특징으로 할 수 있다.
상기 기술적 과제를 해결하기 위한, 본 발명의 일 실시예에 따른 사이버 위협 정보 분석 및 공유 시스템은, 제1 채널을 통해서 수집된 제1 CTI 데이터를 제1 CTI 그래프의 제1 정점에 기록하고, 제2 채널을 통해서 수집된 제2 CTI 데이터를 제2 CTI 그래프의 제2 정점에 기록하는 위협 정보 저장/관리 플랫폼, 상기 제1 CTI 그래프 및 상기 제2 CTI 그래프를 저장하는 데이터베이스, 상기 제1 CTI 데이터 및 상기 제2 CTI 데이터를 제1 분류 항목에 기초하여 분류하는 위협 정보 분류 모듈 및 상기 제1 분류 항목에 따라 결정되는 제2 분류 항목에 기초하여 상기 제1 CTI 데이터 및 제2 CTI 데이터를 분류하고, 상기 제1 CTI 데이터 및 상기 제2 CTI 데이터가 동일한 분류에 속하는 경우, 상기 제1 CTI 데이터 및 상기 제2 CTI 데이터 사이의 제1 CTI 유사도에 기초하여 결정되는 상기 제1 CTI 그래프 및 상기 제2 CTI 그래프의 그래프 유사도를 출력하는 사이버 위협 인텔리전스 데이터 분석 장치를 포함할 수 있다.
도 1은 일 실시 예에 따른 사이버 위협 정보 분석 및 공유(Cyber Threat Information Analysis and Sharing; CTIAS) 시스템을 도시한 도면이다.
도 2는 일 실시 예에 따른 사이버 위협 인텔리전스 데이터 분석 장치의 구조를 도시한 도면이다.
도 3은 정점 및 간선을 포함하는 CTI 그래프의 개념을 도시한 도면이다.
도 4는 일 실시 예에 따라 CTI 데이터를 분석하는 프로세스를 도시한 도면이다.
도 5는 제1 분류 항목에 기초하여 분류된 CTI 데이터의 예시를 도시한 도면이다.
도 6은 일 실시 예에 따른 제1 분류 항목과 제2 분류 항목 사이의 관계를 설명하기 위한 예시를 도시한 도면이다.
도 7은 일 실시 예에 따라 제1 분류 항목에 기초하여 분류된 CTI 데이터가 제2 분류 항목에 기초하여 분류되는 예시를 도시한 도면이다.
도 8은 일 실시 예에 따라 제2 분류 항목에 따라 분류된 CTI 데이터의 예시를 도시한 도면이다.
도 9는 일 실시 예에 따라 제2 분류 항목에 기초하여 분류된 CTI 데이터로부터 그래프 유사도를 산출하기 위해 수행되는 CTI 유사도를 산출하는 연산의 목록에 대한 예시를 도시한 도면이다.
도 10은 일 실시 예에 따라 그래프 유사도를 산출하는 방법에 대한 개념을 도시한 도면이다.
이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시예들을 상세히 설명한다. 본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시 예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 게시되는 실시 예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시 예들은 본 발명의 게시가 완전하도록 하고, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다. 명세서 전체에 걸쳐 동일 참조 부호는 동일 구성 요소를 지칭한다.
다른 정의가 없다면, 본 명세서에서 사용되는 모든 용어(기술 및 과학적 용어를 포함)는 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 공통적으로 이해될 수 있는 의미로 사용될 수 있다. 또 일반적으로 사용되는 사전에 정의되어 있는 용어들은 명백하게 특별히 정의되어 있지 않는 한 이상적으로 또는 과도하게 해석되지 않는다. 본 명세서에서 사용된 용어는 실시예들을 설명하기 위한 것이며 본 발명을 제한하고자 하는 것은 아니다. 본 명세서에서, 단수형은 문구에서 특별히 언급하지 않는 한 복수형도 포함한다.
본 명세서에서 사용되는 "포함한다(compreses)" 또는 "포함하는(comprising)"으로 언급된 구성 요소, 단계, 동작 또는 소자는 하나 이상의 다른 구성 요소, 단계, 동작 또는 소자의 존재 또는 추가를 배제하지 않는다.
본 명세서에서 침해 사고는 정보처리 시스템을 구성하는 자산을 대상으로 악의적 행위(Malicious Action)가 수행된 사례를 의미한다. 또한, 침해 자원은 악성 행위자, 악성 행위 수행을 위한 인프라 및 악성 도구와 같은 침해 사고와 연관된 정보를 의미한다. 예를 들어, 침해 자원은 침해 사고에 이용된 아이피(IP), 도메인(Domain), 공격 유형(Attack Type), 공격 경로(Path), 취약점(Vulnerability) 및 멀웨어(Malware) 등에 대한 정보를 포함할 수 있다.
또한, 본 명세서에서 사이버 위협 인텔리전스(Cyber Threat Intelligenct; CTI) 데이터는 침해 자원에 대한 정보를 포함하는 데이터를 의미한다. 또한, CTI 그래프는 그래프 데이터베이스에 저장된 CTI 데이터의 집합을 의미한다.
또한, 본 명세서에서 CTI 유사도는 CTI 데이터와 다른 CTI 데이터가 서로 유사한 정도를 의미한다. 또한, 본 명세서에서 그래프 유사도는 CTI 그래프와 다른 CTI 그래프가 서로 유사한 정도를 의미한다.
이하, 도면들을 참조하여 본 발명의 몇몇 실시예들을 설명한다.
도 1은 일 실시 예에 따른 사이버 위협 정보 분석 및 공유 시스템(10)을 도시한 도면이다. 다만, 도 1은 일 실시 예를 설명하기 위한 것에 불과하며, 실시 예에 따라 동일한 기능을 수행할 수 있도록 도 1에 도시된 구성은 수정될 수 있다.
사이버 위협 정보 분석 및 공유 시스템(10)은 외부로부터 수집된 CTI 데이터를 저장 및 관리할 수 있다. 또한, 사이버 위협 정보 분석 및 공유 시스템(10)은 저장된 CTI 데이터를 외부로 출력할 수 있다. 예를 들어, 사이버 위협 정보 분석 및 공유 시스템(10)은 CTI 데이터를 공유 가능한 포맷의 파일인 JSON(Javascript Object Notation) 파일(91), STIX(Structured Threat Information Expression) 파일(92) 또는 XML(extensible markup language) 파일(93)의 형태로 제공할 수 있다. 다른 예를 들면, 사이버 위협 정보 분석 및 공유 시스템(10)은 시각화된 사용자 인터페이스(UI)(94)를 통해서 CTI 데이터를 출력할 수도 있다.
일 실시 예에 따른 사이버 위협 정보 분석 및 공유 시스템(10)은 연동 플랫폼(20)과 데이터 송수신을 수행하기 위한 외부 인터페이스(30)를 포함할 수 있다. 일 실시 예에 따른 사이버 위협 정보 분석 및 공유 시스템(10)은 연동 플랫폼(20)을 통해서 CTI 데이터를 수집할 수 있다.
또한, 일 실시 예에 따르면, 사이버 위협 정보 분석 및 공유 시스템(10)은 위협 정보 저장/관리 플랫폼(60), 위협 정보 분류 모듈(70), 시스템 운영부(50), 사이버 위협 인텔리전스 데이터 분석 장치(100), 데이터 공유 모듈(80) 및 데이터베이스(110)를 포함할 수 있다. 위협 정보 저장/관리 플랫폼(60)은 외부로부터 이벤트 핸들러(40)를 통해서 수집된 CTI 데이터를 데이터베이스(110)에 그래프 데이터베이스의 형태로 저장하고, 저장된 CTI 데이터를 관리할 수 있다. 또한, 위협 정보 저장/관리 플랫폼(60)은 CTI 데이터를 CTI 데이터가 수집된 채널 별로 분류하여 저장할 수 있다. 즉, 위협 정보 저장/관리 플랫폼(60)은 한 채널에서 들어온 CTI 데이터들이 하나의 그래프에 포함되도록 CTI 데이터를 데이터베이스(110)에 저장할 수 있다. 예를 들어, 제1 채널을 통해서 수집된 제1 CTI 데이터는 제1 CTI 그래프의 제1 정점에 기록되고, 제2 채널을 통해서 수집된 제2 CTI 데이터는 제2 CTI 그래프의 제2 정점에 기록될 수 있다. 위협 정보 저장/관리 플랫폼(60)이 수집된 CTI 데이터를 저장함에 있어서, 위협 정보 분류 모듈(70)은 CTI 데이터가 제1 분류 항목에 기초하여 분류된 상태로 데이터베이스(110)에 저장되도록 할 수 있다.
또한, 사이버 위협 인텔리전스 데이터 분석 장치(100)는 데이터베이스(110)에 저장된 CTI 데이터를 분석할 수 있다. 일 실시 예에 따르면, 사이버 위협 인텔리전스 데이터 분석 장치(100)는 데이터베이스(110)에 저장된 CTI가 속하는 제1 분류 항목에 따라 제2 분류 항목을 결정할 수 있다. 사이버 위협 인텔리전스 데이터 분석 장치(100)는 결정된 제2 분류 항목에 따라 CTI 데이터를 다시 분류할 수 있다. 일 실시 예에 따른 사이버 위협 인텔리전스 데이터 분석 장치(100)는 제1 분류 항목에 따라 결정되는 제2 분류 항목으로 CTI 데이터를 보다 세부적으로 분류함으로써, 불필요한 연산을 제외하면서도 유사도 판단 결과의 신뢰도를 높일 수 있다. 일 실시 예에 따르면, 사이버 위협 인텔리전스 데이터 분석 장치(100)는 유사도 판단 결과에 기초하여 데이터베이스(110)에 저장된 CTI 그래프에 대한 그룹을 설정할 수 있다. 즉, 서로 유사한 것으로 판단되는 CTI 그래프들끼리 같은 그룹에 속하도록 각 CTI 그래프에 대한 그룹을 설정할 수 있다.
또한, 사이버 위협 정보 분석 및 공유 시스템(10)의 시스템 운영부(50)는 사이버 위협 정보 분석 및 공유 시스템(10)의 각 구성부의 동작을 관리할 수 있다. 시스템 운영부(50)는 시스템의 동작을 감시하는 시스템 감시 모듈(51), 시스템의 기능을 관리하는 시스템 관리 모듈(52) 및 시각화된 사용자 인터페이스를 생성하고 출력하는 사용자 화면 인터페이스 모듈(53)을 포함할 수 있다.
데이터 공유 모듈(80)은 출력 방식에 따라 데이터베이스(110)에 저장된 CTI 데이터 포함하는 출력 데이터(90)를 출력할 수 있다.
도 2는 일 실시 예에 따른 사이버 위협 인텔리전스 데이터 분석 장치(100)의 구조를 도시한 도면이다.
사이버 위협 인텔리전스 데이터 분석 장치(100)는 메모리(210) 및 프로세서(220)를 포함하는 컴퓨팅 장치일 수 있다. 메모리(210)는 저장 매체에 포함된 하나 이상의 인스트럭션(instruction)을 로드(load)할 수 있다. 프로세서(220)는 메모리(210)에 저장된 하나 이상의 인스트럭션을 실행함으로써 일 실시 예에 따른 사이버 위협 인텔리전스 데이터 분석 장치(100)의 동작을 제어할 수 있다. 여기서, 하나 이상의 인스트럭션은 CTI 데이터를 분석하는 프로세스를 사이버 위협 인텔리전스 데이터 분석 장치(100)가 수행하도록 할 수 있다. 사이버 위협 인텔리전스 데이터 분석 장치(100)의 각 구성요소는 시스템 버스(230)를 통해서 서로 데이터를 송신 또는 수신할 수 있다.
일 실시 예에 따르면, 사이버 위협 인텔리전스 데이터 분석 장치(100)의 프로세서(220)는 데이터베이스(110)에 저장된 CTI 데이터를 분석하는 프로세스를 실행함으로써 CTI 그래프 간의 그래프 유사도를 획득하고, 그래프 유사도에 기초하여 생성된 출력 데이터(90)를 출력할 수 있다. 사이버 위협 인텔리전스 데이터 분석 장치(100)가 출력 데이터(90)를 출력함으로써, 출력 데이터(90)는 데이터베이스(110)에 반영되거나, 또는 외부로 출력될 수 있다.
도 2에서 데이터베이스(110)는 사이버 위협 인텔리전스 데이터 분석 장치(100)와 별도로 도시되었으나, 다른 실시 예에 따르면, 사이버 위협 인텔리전스 데이터 분석 장치(100)는 데이터베이스(110)를 포함할 수도 있다.
도 3은 정점 및 간선을 포함하는 CTI 그래프의 개념을 도시한 도면이다.
데이터베이스(110)는 CTI 데이터가 수집된 채널 별로 CTI 그래프를 구축할 수 있다. 도 3을 참조하면, 제1 채널을 통해 수집된 CTI 데이터에 기초하여 제1 CTI 그래프(310)가 구성되고, 제2 채널을 통해 수집된 CTI 데이터에 기초하여 제2 CTI 그래프(320)가 구성될 수 있다.
CTI 그래프들(310, 320)은 각각 정점들(311, 312, 321, 322) 및 간선들(313, 323)로 구성된다. 제1 정점(311)은 제1 채널을 통해 수집된 제1 CTI 데이터가 제1 분류 항목에 따라 분류된 형태로 구성될 수 있다. 또한, 제3 정점(312)은 제1 채널을 통해 수집된 제3 CTI 데이터가 제1 분류 항목에 따라 분류된 형태로 구성될 수 있다. 또한, 제1 간선(313)은 제1 정점(311) 및 제3 정점(312) 사이의 관계가 그 속성 값으로 기록된다. 유사하게, 제2 정점(321)은 제2 채널을 통해 수집된 제2 CTI 데이터가 제1 분류 항목에 따라 분류된 형태로 구성될 수 있다. 또한, 제4 정점(322)은 제1 채널을 통해 수집된 제4 CTI 데이터가 제1 분류 항목에 따라 분류된 형태로 구성될 수 있다. 또한, 제2 간선(313)은 제1 정점(311) 및 제3 정점(312) 사이의 관계가 그 속성 값으로 기록된다.
일 실시 예에 따른 사이버 위협 인텔리전스 데이터 분석 장치(100)는 제1 CTI 그래프(310)와 제2 CTI 그래프(320) 사이의 그래프 유사도를 결정할 수 있다. 일 실시 예에 따르면, 사이버 위협 인텔리전스 데이터 분석 장치(100)는 그래프 유사도를 결정하기 위해 제1 CTI 그래프(310)에 포함된 정점들의 값들과 제2 CTI 그래프(320)에 포함된 정점들의 값들 사이의 유사도 값들을 산출할 수 있다. 사이버 위협 인텔리전스 데이터 분석 장치(100)는 유사도 값들의 합에 기초하여 그래프 유사도를 결정할 수 있다.
도 4는 일 실시 예에 따라 CTI 데이터를 분석하는 프로세스를 도시한 도면이다.
먼저 단계 S410에서, 사이버 위협 인텔리전스 데이터 분석 장치(100)는 제1 CTI 그래프 및 제2 CTI 그래프를 획득할 수 있다. 일 실시 예에 따르면, 제1 CTI 그래프 및 제2 CTI 그래프는 데이터베이스(110)로부터 획득될 수 있다. 여기서, 제1 CTI 그래프 및 제2 CTI 그래프에 포함된 제1 CTI 데이터 및 제2 CTI 데이터는 제1 분류 항목에 기초하여 분류된 것일 수 있다. 제1 CTI 데이터 및 제2 CTI 데이터는 각각 제1 CTI 그래프 및 제2 CTI 그래프에 포함된 제1 정점 및 제2 정점에 기록된 것일 수 있다.
도 5를 참조하면, 제1 분류 항목에 기초하여 분류된 제1 CTI 데이터(510) 및 제2 CTI 데이터(520)의 예시가 도시되어 있다. 본 예시에 따르면, 제1 CTI 데이터(510) 및 제2 CTI 데이터(520)의 CTI 데이터 값들이 IP, 도메인(domain), 공격 유형(attack type), 멀웨어(malware) 및 취약점(vulnerability)으로 분류되어 있다. 다만, 도 5에 도시된 제1 분류 항목은 실시 예에 따라 변경될 수 있다.
다시 도 4를 참조하면, 단계 S420에서 사이버 위협 인텔리전스 데이터 분석 장치(100)는 제1 CTI 데이터(510) 및 제2 CTI 데이터(520)의 CTI 데이터 값들이 분류된 제1 분류 항목에 기초하여 제2 분류 항목을 결정할 수 있다. 즉, 사이버 위협 인텔리전스 데이터 분석 장치(100)는 CTI 데이터 값이 어떤 항목으로 분류되어 있는지에 따라서 2차적으로 CTI 데이터를 분류할 항목을 결정할 수 있다.
도 6을 참조하면, 일 실시 예에 따라 제1 분류 항목에 따라 결정되는 제 2 분류 항목과 분류 항목에 따른 유사도 산출 방법이 도시되어 있다. 도 6에 도시된 실시 예에 따르면, IP 정보, 공격유형 정보, 파일명 유형(type) 멀웨어 정보, 및 CVE(Common Vulnerabilities and Exposures) 유형 취약점 정보로 분류된 CTI 데이터 값에 대해서는 제1 분류 항목 하나에 대한 제2 분류 항목이 하나가 선택되므로 추가적인 분류가 수행되지 않을 수 있다.
반면, 도메인으로 분류된 CTI 데이터 값에 대해서는 제2 분류 항목으로 서브도메인, 도메인 문자열, 2단계 도메인(Second Level Domain; SLD) 및 최상위 도메인(Top Level Domain; TLD)이 선택될 수 있다. 이와 유사하게, URL 유형 멀웨어 정보나 URL 유형 취약점 정보로 분류된 데이터 값에 대해서는 서브도메인, 도메인 문자열, 2단계 도메인, 최상위 도메인, 경로 및 파일명이 제2 분류 항목으로 결정될 수 있다.
다시 도 4를 참조하면, 단계 S430에서 사이버 위협 인텔리전스 데이터 분석 장치(100)는 선택된 제2 분류 항목에 기초하여 제1 CTI 데이터 및 제2 CTI 데이터를 분류할 수 있다.
예를 들면, 도 7에 도시된 바와 같이 제1 분류 항목에 따라 1차 분류된 CTI 데이터 값들을 제2 분류 항목에 따라 2차 분류된 CTI 데이터 값들로 분류할 수 있다. 제1 CTI 데이터의 제1 분류 항목 중 malware 항목을 참조하면 CTI 데이터 값 hxxp://www.g*****e.co.kr/castlephp/java.exe가 malware 항목에 대한 제2 분류 항목인 domainstring(도메인 문자열), path(경로) 및 filename(파일명) 항목으로 각각 분류되어 있음을 확인할 수 있다.
이후, 단계 S440에서 사이버 위협 인텔리전스 데이터 분석 장치(100)는 제1 CTI 데이터와 제2 CTI 데이터가 동일한 제2 분류 항목에 속하는지 여부를 판단할 수 있다(S440). CTI 데이터가 동일한 제2 분류 항목에 속하는 경우, 사이버 위협 인텔리전스 데이터 분석 장치(100)는 CTI 유사도를 산출할 수 있다. 즉, 사이버 위협 인텔리전스 데이터 분석 장치(100)는 동일한 제2 분류 항목에 속하는 CTI 데이터들 사이에 대해서만 CTI 유사도를 산출할 수 있다. 임의의 CTI 데이터들 사이에 대한 유사도를 산출하는 대신 관련성이 도출될 수 있는 제2 분류 항목을 이용하여 분류된 CTI 데이터들에 대한 유사도를 산출함으로써, 산출된 CTI 유사도의 신뢰도를 높일 수 있다. 예를 들어, Hash의 형태로 파일에 대한 위협 정보가 공유되는 경우, Hash 값들 간의 유사도가 높다고 하더라도 실제 정보의 유사한 정도와는 일치하지 않으므로 신뢰도를 저하시키는 결과를 발생시킬 수 있다. 이는 해시(Hash) 값이 유사하더라도 그 파일은 동일하거나 유사한 파일이 아닐 수 있기 때문이다.
일 실시 예에 따르면, CTI 유사도를 산출하는 방법 및 CTI 유사도 산출 대상으로 포함시킬지 여부에 대한 조건은 제2 분류 항목에 따라 달라질 수 있다. 도 6을 참조하면, 예를 들어, IP로 분류된 CTI 데이터에 대해서는 CTI 데이터에 포함된 IP 주소가 ISP들에 할당된 IP를 재할당하는 정보에 포함되어 있는 경우, 경우 동일 범위인지 여부를 확인하고, 재할당 정보가 없는 경우 C-class 대역까지 동일여부를 확인할 수 있다. 여기서, IP가 동일하게 존재하는 경우 CTI 유사도는 0에 가깝게 산출되고, 유사하지 않은 경우 1에 가깝게 산출될 수 있다. 즉, 유사도는 데이터(또는 두 정점) 사이의 거리를 의미할 수 있다. 또한, 도메인, URL 유형 멀웨어, URL 유형 취약점 정보의 경우 사이버 위협 인텔리전스 데이터 분석 장치(100)는 서브도메인으로 분류된 문자열의 길이가 임계값 이상인 경우에만 유사도 산출 대상으로 포함시킬 수 있다.
도 7에 도시된 바와 같이 제2 분류 항목에 기초하여 제1 CTI 데이터 및 제2 CTI 데이터의 데이터 값들을 분류함으로써, 도 8에 도시된 바와 같이 제2 분류 항목 별로 제1 CTI 데이터 및 제2 CTI 데이터가 분류될 수 있다. 사이버 위협 인텔리전스 데이터 분석 장치(100)는 제2 분류 항목에 따라 분류된 제1 CTI 데이터와 동일한 제2 분류 항목에 속하는 제2 CTI 데이터들 각각에 대한 유사도를 산출하는 연산을 수행할 수 있다.
예를 들어, 도 9를 참조하면, 일 일시 예에 따른 사이버 위협 인텔리전스 데이터 분석 장치(100)가 도메인 문자열 항목으로 분류된 CTI 데이터에 대하여 수행하게 되는 CTI 유사도를 산출하는 연산의 목록이 도시되어 있다. 도 8에 도시된 바와 같이 제1 CTI 데이터 및 제2 CTI 데이터가 분류된 경우, 사이버 위협 인텔리전스 데이터 분석 장치(100)는 spo***kac라는 제1 CTI 데이터의 값으로부터 sp***ok, sp***hkrp, sp***khre, g*****e, spo***ok라는 제2 CTI 데이터의 값들 각각에 대한 CTI 유사도를 각각 산출할 수 있다. 이와 유사하게, 제1 CTI 데이터 중 CTI 데이터 값이 spo***hkrr 및 spo***khrf인 데이터에 대해 제2 CTI 데이터의 값들 각각에 대한 CTI 유사도를 각각 산출할 수 있다.
이와 같이 제2 분류 항목으로 재분류된 CTI 데이터로부터 유사도를 산출함으로써, 제1 분류 항목에 기초해서는 동일한 분류로 속하지 않는 CTI 데이터의 값(예를 들어, 도메인 항목, 멀웨어 항목 및 취약점 항목)들에 대한 유사도를 동일한 유형의 정보로 판단하여 유사도 판단의 수행을 가능하게 하고, 유사도 판단에 보다 적합한 유형으로 CTI 데이터를 분류함으로써 유사도 판단의 신뢰도를 높일 수 있다.
일 실시 예에 따른 사이버 위협 인텔리전스 데이터 분석 장치(100)는 하기 수학식 1에 기초하여 CTI 유사도를 산출할 수 있다.
Figure 112017117204838-pat00001
여기서, v 1 은 제1 정점, v 2 는 제2 정점을 의미한다. S(v 1 ,v 2 )는 제1 정점과 제2 정점 사이의 유사도, 즉 제1 정점에 포함된 제1 CTI 데이터와 제2 정점에 포함된 제2 CTI 데이터 사이의 유사도를 의미한다. Editdistance(v 1 ,v 2 )는 제1 정점과 제2 정점 사이의 거리를 의미한다. max(length(v 1 ),length(v 2 ))는 제1 정점과 제2 정점 내의 데이터의 길이의 최대값으로서, Editdistance(v 1 ,v 2 )의 최대값을 의미한다. 따라서, 유사도 S(v 1 ,v 2 )는 0 이상 1 이하의 값을 가질 수 있다.
사이버 위협 인텔리전스 데이터 분석 장치(100)는 제1 CTI 데이터와 제2 CTI 데이터가 동일한 제2 분류 항목에 속하는 데이터인 경우, 제1 CTI 데이터와 제2 CTI 데이터 사이의 유사도에 기초하여 그래프 유사도를 산출할 수 있다(S450). 여기서, 사이버 위협 인텔리전스 데이터 분석 장치(100)는 하기 수학식 2에 기초하여 그래프 유사도를 산출할 수 있다.
Figure 112017117204838-pat00002
여기서, K msp (G 1 ,G 2 )는 제1 그래프(G 1 )와 제2 그래프(G 2) 사이의 유사도를 의미한다. M 1 은 제1 그래프에 포함된 간선의 개수를 의미한다. M 2 는 제2 그래프에 포함된 간선의 개수를 의미한다.
여기서, e 1 , e 2 가 각각 1이라고 정의할 경우, 수학식 2는 하기 수학식 3과 같이 정리되며, 사이버 위협 인텔리전스 데이터 분석 장치(100)는 하기 수학식 3에 기초하여 그래프 유사도를 산출할 수 있다.
Figure 112017117204838-pat00003
여기서, 일 실시 예에 따르면, 제1 정점(v 1 )과 제3 정점(w 1 )을 연결하는 간선과 제2 정점(v 2 )과 제4 정점(w 4 )를 연결하는 간선은 서로 유형(type)이 동일한 것을 조건으로 할 수 있다. 서로 유형이 다른 경우 CTI 유사도의 값은 0(zero)으로 처리될 수 있다.
도 10은 일 실시 예에 따라 그래프 유사도를 산출하는 방법에 대한 개념을 도시한 도면이다. 특히, 도 10은 제1 그래프의 제1 정점(1010) 및 제2 정점(1030)은 동일한 제2 분류 유형으로 분류된 경우인 것으로 가정한다. 유사하게, 제1 그래프의 제3 정점(1030) 및 제3 정점(1030)은 동일한 제2 분류 유형으로 분류된 경우인 것으로 가정한다. 또한, 제1 그래프의 제5 정점(1050) 및 제6 정점(1060)은 동일한 제2 분류 유형으로 분류된 경우인 것으로 가정한다.
사이버 위협 인텔리전스 데이터 분석 장치(100)는 제1 CTI 그래프의 제1 정점(1010) 및 제2 CTI 그래프의 제2 정점(1020) 사이의 거리를 산출할 수 있다. 도 10을 참조하면, 제1 정점(1010) 및 제2 정점(1020) 사이에 기초하여 상기 수학식 1을 이용하여 제1 정점(1010) 및 제2 정점(1020) 사이의 유사도를 결정할 수 있다.
도 10에 도시된 바에 따르면, 제1 정점(1010) 및 제2 정점(1020) 사이의 거리는 0.1로 산출되고, 제3 정점(1030) 및 제4 정점(1040) 사이의 거리는 0.1로 산출되고, 제5 정점(1050) 및 제6 정점(10620) 사이의 거리는 0.5로 산출된 것으로 도시되어 있다. 또한, 제1 CTI 그래프의 간선의 개수가 2이므로, M1은 2가 된다. 또한, 제2 CTI 그래프의 간선의 개수가 2이므로, M2는 2가 된다.
수학식 3에 기초하여 도 10에 도시된 제1 CTI 그래프와 제2 CTI 그래프 사이의 그래프 유사도 K msp 를 산출하면 아래 수학식 4와 같은 연산이 수행된다.
Figure 112017117204838-pat00004
상기 수학식 4에서 값이 0인 항목은 간선 e1_A와 간선 e2_B는 서로 유형(type)이 다르고, 간선 e1_B와 간선 e2_A도 서로 유형이 다르므로 유사도 값을 연산하지 않고 값을 0으로 처리한 것이다.
결과적으로, 도 10에 도시된 예제에 따르면 그래프 유사도는 0.315가 된다.
일 실시 예에 따르면, 사이버 위협 정보 분석 및 공유 시스템(10)은 산출된 유사도를 시각화된 사용자 인터페이스를 통해 출력할 수 있다. 또한, 다른 실시 예에 따르면, 사이버 위협 정보 분석 및 공유 시스템(10)은 산출된 그래프 유사도가 임계값(예를 들어, 0.5) 이상인 경우 제1 CTI 그래프 및 제2 CTI 그래프가 하나의 그룹에 포함되도록 설정할 수 있다. 또한, 사이버 위협 정보 분석 및 공유 시스템(10)은 CTI 데이터를 설정된 그룹에 따라서 그룹 별로 제1 CTI 그래프 및 제2 CTI 그래프를 포함하는 CTI 정보가 출력되도록 데이터베이스에 반영할 수 있다.
지금까지 설명된 본 발명의 실시예에 따른 방법들은 컴퓨터가 읽을 수 있는 코드로 구현된 컴퓨터프로그램의 실행에 의하여 수행될 수 있다. 상기 컴퓨터프로그램은 인터넷 등의 네트워크를 통하여 제1 컴퓨팅 장치로부터 제2 컴퓨팅 장치에 전송되어 상기 제2 컴퓨팅 장치에 설치될 수 있고, 이로써 상기 제2 컴퓨팅 장치에서 사용될 수 있다. 상기 제1 컴퓨팅 장치 및 상기 제2 컴퓨팅 장치는, 서버 장치, 클라우드 서비스를 위한 서버 풀에 속한 물리 서버, 데스크탑 피씨와 같은 고정식 컴퓨팅 장치를 모두 포함한다.
상기 컴퓨터프로그램은 DVD-ROM, 플래시 메모리 장치 등의 기록매체에 저장된 것일 수도 있다.
이상 첨부된 도면을 참조하여 본 발명의 실시예들을 설명하였지만, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 본 발명이 그 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 실시될 수 있다는 것을 이해할 수 있다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적인 것이 아닌 것으로 이해해야만 한다.

Claims (14)

  1. 컴퓨팅 장치가 사이버 위협 인텔리전스(Cyber Threat Intelligence; CTI) 데이터를 분석하는 방법에 있어서,
    제1 분류 항목에 기초하여 분류된 제1 CTI 데이터로 구성된 제1 정점(vertex)을 포함하는 제1 CTI 그래프 및 상기 제1 분류 항목에 기초하여 분류된 제2 CTI 데이터로 구성된 제2 정점을 포함하는 제2 CTI 그래프를 획득하는 단계;
    상기 제1 분류 항목에 따라 결정되는 제2 분류 항목에 기초하여 상기 제1 CTI 데이터 및 제2 CTI 데이터를 분류하는 단계;
    상기 분류 결과, 상기 제1 CTI 데이터 및 상기 제2 CTI 데이터가 동일한 분류에 속하는 경우, 상기 제1 CTI 데이터 및 상기 제2 CTI 데이터 사이의 제1 CTI 유사도에 기초하여 결정되는 상기 제1 CTI 그래프 및 상기 제2 CTI 그래프의 그래프 유사도를 출력하는 단계;
    상기 그래프 유사도가 임계값 이상인 경우, 상기 제1 CTI 그래프 및 상기 제2 CTI 그래프가 하나의 그룹에 포함되도록 설정하는 단계; 및
    상기 제1 CTI 데이터 및 상기 제2 CTI 데이터를 포함하는 CTI 정보를 그룹 별로 출력하는 단계;
    를 포함하는,
    사이버 위협 인텔리전스 데이터 분석 방법.
  2. 제1항에 있어서,
    상기 제1 CTI 그래프는 상기 제1 정점과 제1 간선(edge)으로 연결되고, 제3 CTI 데이터로 구성된 제3 정점을 포함하고,
    상기 제2 CTI 그래프는 상기 제2 정점과 제2 간선으로 연결된 제4 CTI 데이터로 구성된 제4 정점을 포함하고,
    상기 유사도를 출력하는 단계는,
    상기 제1 CTI 유사도와 제2 CTI 유사도의 곱에 기초하여 상기 그래프 유사도를 결정하는 단계를 포함하고,
    상기 제1 CTI 유사도는 상기 제1 정점과 상기 제2 정점 사이의 거리에 기초하여 결정되며, 상기 제2 CTI 유사도는 상기 제3 정점과 상기 제4 정점 사이의 거리에 기초하여 결정되는,
    사이버 위협 인텔리전스 데이터 분석 방법.
  3. 제2 항에 있어서,
    상기 결정하는 단계는,
    상기 제1 간선 및 상기 제2 간선의 유형이 동일한 경우에만 상기 제1 CTI 유사도 및 상기 제2 CTI 유사도의 곱을 상기 그래프 유사도에 반영하는 것을 특징으로 하는,
    사이버 위협 인텔리전스 데이터 분석 방법.
  4. 제2 항에 있어서,
    상기 그래프 유사도를 결정하는 단계는,
    하기 수학식에 기초하여 상기 그래프 유사도를 결정하는 것을 특징으로 하며,
    Figure 112017117204838-pat00005

    G 1 은 제1 CTI 그래프이고, G 2 는 제2 CTI 그래프이고, M 1 은 제1 CTI 그래프에 포함된 간선의 수이고, M 2 는 제2 CTI 그래프에 포함된 간선의 수이고, v 1 은 제1 정점이고, v 2 는 제2 정점이고, w 1 은 제3 정점이고, w 2 는 제4 정점이며, e 1 은 제1 간선이고, e 2 는 제2 간선이고, c는 상수이고, S(v 1 ,v 2 )는 제1 정점 및 제2 정점으로부터 산출되는 상기 제1 CTI 유사도인 것을 특징으로 하는,
    사이버 위협 인텔리전스 데이터 분석 방법.
  5. 제1항에 있어서,
    상기 제1 분류 항목은, 취약점 항목을 포함하고,
    상기 제2 분류 항목은, 서브도메인(subdomain) 항목, 도메인 문자열(domainstring) 항목, 최상위 도메인(Top Level Domain) 항목, 2단계 도메인(Second Level Domain) 항목, 경로 항목, 파일명 항목 및 CVE(Common Vulnerability Enumeration) 항목을 포함하는,
    사이버 위협 인텔리전스 데이터 분석 방법.
  6. 제5항에 있어서,
    상기 그래프 유사도를 출력하는 단계는,
    상기 서브도메인 항목으로 분류된 정보의 길이가 임계값 이상인 경우에만 상기 취약점 항목으로 분류된 데이터로부터 상기 제1 CTI 유사도를 산출하고, 상기 산출된 제1 CTI 유사도에 기초하여 상기 그래프 유사도를 결정하는 것을 특징으로 하는,
    사이버 위협 인텔리전스 데이터 분석 방법.
  7. 제1항에 있어서,
    상기 제1 분류 항목은, 파일 항목을 포함하고,
    상기 제2 분류 항목은 파일명 항목 및 해시(hash) 항목을 포함하는,
    사이버 위협 인텔리전스 데이터 분석 방법.
  8. 제7항에 있어서,
    상기 그래프 유사도를 출력하는 단계는,
    상기 해시 항목으로 분류된 정보는 유사도 산출 대상에서 제외하는 것을 특징으로 하는,
    사이버 위협 인텔리전스 데이터 분석 방법.
  9. 제1항에 있어서,
    상기 제1 분류 항목은, 도메인 항목을 포함하고,
    상기 제2 분류 항목은 서브도메인 항목, 도메인 문자열 항목, 최상위 도메인(Top Level Domain) 항목 및 2단계 도메인(Second Level Domain) 항목을 포함하는,
    사이버 위협 인텔리전스 데이터 분석 방법.
  10. 제9항에 있어서,
    상기 그래프 유사도를 출력하는 단계는,
    상기 서브도메인 항목 및 상기 도메인 문자열 항목으로 분류된 정보들 사이의 문자열 비교를 수행함으로써 복수의 유사도 값들을 획득하고, 복수의 유사도 값들 중 가장 높은 값을 상기 CTI 유사도로 결정하는,
    사이버 위협 인텔리전스 데이터 분석 방법.
  11. 삭제
  12. 프로세서; 및
    상기 프로세서에 의해 실행되는 하나 이상의 인스트럭션을 저장하는 메모리를 포함하되,
    상기 하나 이상의 인스트럭션은,
    제1 분류 항목에 기초하여 분류된 제1 CTI 데이터로 구성된 제1 정점(vertex)를 포함하는 제1 CTI 그래프 및 상기 제1 분류 항목에 기초하여 분류된 제2 CTI 데이터로 구성된 제2 정점(vertex)를 포함하는 제2 CTI 그래프를 획득하는 인스트럭션;
    상기 제1 분류 항목에 따라 결정되는 제2 분류 항목에 기초하여 상기 제1 CTI 데이터 및 제2 CTI 데이터를 분류하는 인스트럭션;
    상기 분류 결과, 상기 제1 CTI 데이터 및 상기 제2 CTI 데이터가 동일한 분류에 속하는 경우, 상기 제1 CTI 데이터 및 상기 제2 CTI 데이터 사이의 제1 CTI 유사도에 기초하여 결정되는 상기 제1 CTI 그래프 및 상기 제2 CTI 그래프의 그래프 유사도를 출력하는 인스트럭션;
    상기 그래프 유사도가 임계값 이상인 경우, 상기 제1 CTI 그래프 및 상기 제2 CTI 그래프가 하나의 그룹에 포함되도록 설정하는 인스트럭션; 및
    상기 제1 CTI 데이터 및 상기 제2 CTI 데이터를 포함하는 CTI 정보를 그룹 별로 출력하는 인스트럭션;을 포함하는,
    사이버 위협 인텔리전스 데이터 분석 장치.
  13. 비일시적(non-transitory) 컴퓨터 판독 가능한 매체에 기록된 컴퓨터 프로그램으로서, 상기 컴퓨터 프로그램의 명령어들이 사이버 위협 인텔리전스 데이터 분석 장치의 프로세서에 의해 실행되는 경우에,
    제1 분류 항목에 기초하여 분류된 제1 CTI 데이터로 구성된 제1 정점(vertex)를 포함하는 제1 CTI 그래프 및 상기 제1 분류 항목에 기초하여 분류된 제2 CTI 데이터로 구성된 제2 정점(vertex)를 포함하는 제2 CTI 그래프를 획득하는 단계;
    상기 제1 분류 항목에 따라 결정되는 제2 분류 항목에 기초하여 상기 제1 CTI 데이터 및 제2 CTI 데이터를 분류하는 단계;
    상기 분류 결과, 상기 제1 CTI 데이터 및 상기 제2 CTI 데이터가 동일한 분류에 속하는 경우, 상기 제1 CTI 데이터 및 상기 제2 CTI 데이터 사이의 제1 CTI 유사도에 기초하여 결정되는 상기 제1 CTI 그래프 및 상기 제2 CTI 그래프의 그래프 유사도를 출력하는 단계;
    상기 그래프 유사도가 임계값 이상인 경우, 상기 제1 CTI 그래프 및 상기 제2 CTI 그래프가 하나의 그룹에 포함되도록 설정하는 단계; 및
    상기 제1 CTI 데이터 및 상기 제2 CTI 데이터를 포함하는 CTI 정보를 그룹 별로 출력하는 단계;를 수행하는,
    컴퓨터 프로그램.
  14. 제1 채널을 통해서 수집된 제1 CTI 데이터를 제1 CTI 그래프의 제1 정점에 기록하고, 제2 채널을 통해서 수집된 제2 CTI 데이터를 제2 CTI 그래프의 제2 정점에 기록하는 위협 정보 저장/관리 플랫폼;
    상기 제1 CTI 그래프 및 상기 제2 CTI 그래프를 저장하는 데이터베이스;
    상기 제1 CTI 데이터 및 상기 제2 CTI 데이터를 제1 분류 항목에 기초하여 분류하는 위협 정보 분류 모듈; 및
    상기 제1 분류 항목에 따라 결정되는 제2 분류 항목에 기초하여 상기 제1 CTI 데이터 및 제2 CTI 데이터를 분류하고, 상기 제1 CTI 데이터 및 상기 제2 CTI 데이터가 동일한 분류에 속하는 경우, 상기 제1 CTI 데이터 및 상기 제2 CTI 데이터 사이의 제1 CTI 유사도에 기초하여 결정되는 상기 제1 CTI 그래프 및 상기 제2 CTI 그래프의 그래프 유사도를 출력하고, 상기 그래프 유사도가 임계값 이상인 경우, 상기 제1 CTI 그래프 및 상기 제2 CTI 그래프가 하나의 그룹에 포함되도록 설정하여 상기 제1 CTI 데이터 및 상기 제2 CTI 데이터를 포함하는 CTI 정보를 그룹 별로 출력하는 사이버 위협 인텔리전스 데이터 분석 장치를 포함하는,
    사이버 위협 정보 분석 시스템.

KR1020170157950A 2017-11-24 2017-11-24 사이버 위협 인텔리전스 데이터 분석 방법 및 그 장치 KR101886147B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020170157950A KR101886147B1 (ko) 2017-11-24 2017-11-24 사이버 위협 인텔리전스 데이터 분석 방법 및 그 장치
US16/173,856 US11005869B2 (en) 2017-11-24 2018-10-29 Method for analyzing cyber threat intelligence data and apparatus thereof

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020170157950A KR101886147B1 (ko) 2017-11-24 2017-11-24 사이버 위협 인텔리전스 데이터 분석 방법 및 그 장치

Related Child Applications (1)

Application Number Title Priority Date Filing Date
KR1020180089698A Division KR101936263B1 (ko) 2017-11-24 2018-08-01 사이버 위협 인텔리전스 데이터 분석 방법 및 그 장치

Publications (1)

Publication Number Publication Date
KR101886147B1 true KR101886147B1 (ko) 2018-08-08

Family

ID=63230126

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020170157950A KR101886147B1 (ko) 2017-11-24 2017-11-24 사이버 위협 인텔리전스 데이터 분석 방법 및 그 장치

Country Status (1)

Country Link
KR (1) KR101886147B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113032775A (zh) * 2019-12-25 2021-06-25 中国电信股份有限公司 情报处理方法和情报处理系统

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101097419B1 (ko) * 2008-12-11 2011-12-23 한국인터넷진흥원 넷플로우 통계정보를 이용한 비정상 에스아이피 트래픽 폭주공격 탐지 및 모니터링시스템과 그 방법
KR20160089800A (ko) * 2015-01-20 2016-07-28 한국전자통신연구원 사이버 침해 사고 조사 장치 및 방법
KR101733000B1 (ko) * 2017-01-05 2017-05-08 한국인터넷진흥원 침해 사고 정보 수집 방법 및 장치
KR20170086898A (ko) * 2016-01-19 2017-07-27 한국인터넷진흥원 침해 사고 정보의 재귀적 수집 방법 및 그를 실행하는 프로그램이 기록된 컴퓨터 판독 가능한 매체
KR101780933B1 (ko) * 2017-01-05 2017-09-26 한국인터넷진흥원 침해 자원 사이의 연관 관계 시각화 방법 및 그 장치

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101097419B1 (ko) * 2008-12-11 2011-12-23 한국인터넷진흥원 넷플로우 통계정보를 이용한 비정상 에스아이피 트래픽 폭주공격 탐지 및 모니터링시스템과 그 방법
KR20160089800A (ko) * 2015-01-20 2016-07-28 한국전자통신연구원 사이버 침해 사고 조사 장치 및 방법
KR20170086898A (ko) * 2016-01-19 2017-07-27 한국인터넷진흥원 침해 사고 정보의 재귀적 수집 방법 및 그를 실행하는 프로그램이 기록된 컴퓨터 판독 가능한 매체
KR101733000B1 (ko) * 2017-01-05 2017-05-08 한국인터넷진흥원 침해 사고 정보 수집 방법 및 장치
KR101780933B1 (ko) * 2017-01-05 2017-09-26 한국인터넷진흥원 침해 자원 사이의 연관 관계 시각화 방법 및 그 장치

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113032775A (zh) * 2019-12-25 2021-06-25 中国电信股份有限公司 情报处理方法和情报处理系统
CN113032775B (zh) * 2019-12-25 2024-02-06 中国电信股份有限公司 情报处理方法和情报处理系统

Similar Documents

Publication Publication Date Title
US11748480B2 (en) Policy-based detection of anomalous control and data flow paths in an application program
US11089040B2 (en) Cognitive analysis of security data with signal flow-based graph exploration
CN113302609B (zh) 用人工智能检测存在未认证的api请求时的不当活动
US20200120115A1 (en) Cognitive offense analysis using contextual data and knowledge graphs
CN106796635B (zh) 确定装置、确定方法
US20200201989A1 (en) Multi-point causality tracking in cyber incident reasoning
EP3287927B1 (en) Non-transitory computer-readable recording medium storing cyber attack analysis support program, cyber attack analysis support method, and cyber attack analysis support device
US11184374B2 (en) Endpoint inter-process activity extraction and pattern matching
EP3048772B1 (en) Representing identity data relationships using graphs
US11936661B2 (en) Detecting malicious beaconing communities using lockstep detection and co-occurrence graph
US11818145B2 (en) Characterizing user behavior in a computer system by automated learning of intention embedded in a system-generated event graph
US20200177608A1 (en) Ontology Based Persistent Attack Campaign Detection
JP6687761B2 (ja) 結合装置、結合方法および結合プログラム
CN106534146A (zh) 一种安全监测系统及方法
KR101859562B1 (ko) 취약점 정보 분석 방법 및 장치
US11330007B2 (en) Graphical temporal graph pattern editor
WO2023042000A1 (en) Graph neural network (gnn) training using meta-path neighbor sampling and contrastive learning
Ekelhart et al. The slogert framework for automated log knowledge graph construction
US10951645B2 (en) System and method for prevention of threat
JPWO2017094377A1 (ja) 分類方法、分類装置および分類プログラム
Muñoz et al. Analyzing the traffic of penetration testing tools with an IDS
Negoita et al. Enhanced security using elasticsearch and machine learning
KR101847277B1 (ko) 효율적인 침해사고 대응을 위한 침해지표 자동 생성 방법 및 시스템
KR101936263B1 (ko) 사이버 위협 인텔리전스 데이터 분석 방법 및 그 장치
US11005869B2 (en) Method for analyzing cyber threat intelligence data and apparatus thereof

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
A107 Divisional application of patent
GRNT Written decision to grant