KR101897395B1 - Design and System for managing Security Vulnerability based Standard Dataset for Developing and Validating Cyber Warfare Scenarios - Google Patents

Design and System for managing Security Vulnerability based Standard Dataset for Developing and Validating Cyber Warfare Scenarios Download PDF

Info

Publication number
KR101897395B1
KR101897395B1 KR1020170024614A KR20170024614A KR101897395B1 KR 101897395 B1 KR101897395 B1 KR 101897395B1 KR 1020170024614 A KR1020170024614 A KR 1020170024614A KR 20170024614 A KR20170024614 A KR 20170024614A KR 101897395 B1 KR101897395 B1 KR 101897395B1
Authority
KR
South Korea
Prior art keywords
cve
information
vulnerability
scenario
cpe
Prior art date
Application number
KR1020170024614A
Other languages
Korean (ko)
Other versions
KR20180097885A (en
Inventor
조완수
김용현
김태규
류한얼
Original Assignee
국방과학연구소
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 국방과학연구소 filed Critical 국방과학연구소
Priority to KR1020170024614A priority Critical patent/KR101897395B1/en
Publication of KR20180097885A publication Critical patent/KR20180097885A/en
Application granted granted Critical
Publication of KR101897395B1 publication Critical patent/KR101897395B1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/24Querying
    • G06F17/30386

Abstract

본 발명은 사이버전 구성 모의 기술에 관한 것으로서, 더 상세하게는 사이버전 구성모의 환경(Constructive Modeling Environment)에서 사이버전 시나리오 작성의 효율성과 사이버 공격의 유효성 확인을 위한 보안 취약점 데이터베이스(Database) 설계를 위한 표준 데이터 기반 보안 취약점 대응 방법 및 시스템에 대한 것이다.
본 발명에 따르면, 보안 취약점 DB를 이용하면 사이버전 시나리오를 작성할 때 어떠한 취약점을 이용할 것인지에 대한 취약점 선택 기준을 시나리오 작성 목적에 적합하도록 제공함으로써 사이버전 시나리오 작성의 효율성을 지원할 수 있다.More particularly, the present invention relates to a technique for designing a security vulnerability database for verifying the effectiveness of cyberspace scenario creation and the validity of a cyber attack in an environment of a cyberspace modeling environment (Constructive Modeling Environment) And a system and method for responding to standard data-based security vulnerabilities.
According to the present invention, by using the vulnerability database, it is possible to support the efficiency of creating the interim scenario by providing a selection criterion for selecting a vulnerability for exploiting the weakness when creating the interim scenario, in accordance with the purpose of the scenario.

Description

사이버전 시나리오 작성 및 유효성 확인을 위한 표준 데이터 기반 보안 취약점 대응 방법 및 시스템{Design and System for managing Security Vulnerability based Standard Dataset for Developing and Validating Cyber Warfare Scenarios}Technical Field [1] The present invention relates to a method and system for responding to a standard data base security vulnerability for creating a cyber scenario,

본 발명은 사이버전 구성 모의 기술에 관한 것으로서, 더 상세하게는 사이버전 구성모의 환경(Constructive Modeling Environment)에서 사이버전 시나리오 작성의 효율성과 사이버 공격의 유효성 확인을 위한 보안 취약점 데이터베이스(Database : 이하 DB) 설계를 위한 표준 데이터 기반 보안 취약점 대응 방법 및 시스템에 대한 것이다.More particularly, the present invention relates to a security vulnerability database (DB) for verifying the effectiveness of cyberspace scenario creation and the effectiveness of a cyber attack in an environment of a cyber-modeling environment (Constructive Modeling Environment) And a system and method for responding to standard data-based security vulnerabilities for design.

또한, 본 발명은 공통 보안 취약점 및 노출(Common Vulnerability and Exposure: 이하 CVE), 공통 취약점 목록(Common Weakness Enumeration : 이하 CWE), 공통 플랫폼 목록(Common Platform Enumeration : 이하 CPE), 공통 취약점 점수화 시스템(Common Vulnerability Scoring System : 이하 CVSS) 등 보안 취약점 자료를 관리하는 공개 표준 데이터를 기반으로 보안 취약점 DB를 설계하고 구축하는 표준 데이터 기반 보안 취약점 대응 방법 및 시스템에 대한 것이다.In addition, the present invention can be applied to common vulnerability and exposure (CVE), Common Weakness Enumeration (CWE), Common Platform Enumeration (CPE), Common Vulnerability Scoring System Vulnerability Scoring System (CVSS), and the like), which are designed and constructed based on open standard data that manages security vulnerability data.

사이버전 구성모의 환경은 사이버전 수행 공간으로서의 군 전장통신환경을 모의하는 사이버전 운용환경과 사이버 공격 및 방어기술을 모델링하고 시뮬레이션 하기 위한 환경이다. 구성모의 방식의 사이버전 환경은 모델의 추상화에 의하여 사이버 공격을 이루는 탐지 및 침투(exploit), 그리고 악성 행위(payload)가 적용되는 공격 대상 소프트웨어(운용체제, 각종 응용 프로그램 등)의 소스 코드가 실제로 존재하지 않기 때문에 사이버전 시나리오 작성 및 사이버 공격의 유효성을 확인하기 위한 기준이 필요하다. 이러한 기준은 임의로 결정되어서는 안되며, 실제의 사이버 공격이 작동되고 피해를 일으키는 과정을 최대한 정확하게 반영할 수 있어야 한다.The environment of the interim configuration model is an environment for modeling and simulating the interim operation environment simulating the military field communication environment as the interim version execution space and the cyber attack and defense technology. The source code of the target software (operating system, various application programs, etc.) to which detection and infiltration (cyber attack) and exploit (malicious behavior) Since there is no such standard, it is necessary to establish standards for verifying the validity of cyber attack and scenario version creation. These standards should not be arbitrarily determined, and should be able to accurately reflect the process by which actual cyber attacks are triggered and the damage is occurring.

한편 컴퓨터 시스템에 존재하는 보안 취약점 정보를 관리하고 이러한 정보의 공유를 지원하기 위하여 선진국의 정부 기관, 대학 및 연구소, 보안 도구 제조업체, 기타 보안 전문가 등 보안 관련 기관의 대표들이 포함된 조직체에서는 보안 취약점에 관련된 다양한 정보를 발표하고 있다. On the other hand, organizations that include representatives of security-related organizations, such as government agencies, universities and research institutes, security tool manufacturers, and other security experts in developed countries to manage and share security vulnerability information in computer systems, Related information.

이러한 노력의 일환으로 가장 대표적인 CVE(Common Vulnerability and Exposure)는 사이버 공격의 진원지가 되는 알려져 있는(known) 보안 취약점 정보를 공유하기 위한 식별자 제공 목적으로 활용되고 있으며 CVE 목록은 CVE 명칭, 취약점 및 노출 개요, 대응 참조 사항 등으로 작성된다.As part of this effort, Common Vulnerability and Exposure (CVE) is used to provide identifiers for sharing information of known vulnerabilities that are the epicenter of cyber attacks. The CVE list includes CVE name, vulnerability and exposure summary , And corresponding reference materials.

또한, CVE를 관리하기 위해 취약점 유형 목록이자 분류 체계인 CWE(Common Weakness Enumeration) 연구가 시작되었으며, 2008년 9월 정식버전 공개 후 약 40여개 이상의 업체와 연구기관이 협력하여 지속적으로 개발 및 발전시켜 나가고 있다. CWE는 SQL 인젝션, 크로스 사이트 스크립팅, 버퍼 오버플로우 등 다양한 소프트웨어 취약점을 식별하기 위해 취약점 유형을 체계적으로 목록화하여 제공한다.In addition, to manage CVE, the Common Weakness Enumeration (CWE) study, which is a list and classification system of vulnerability types, was launched. After the release of the full version in September 2008, more than 40 companies and research institutes cooperated and developed continuously. Going out. CWE systematically catalogs vulnerability types to identify various software vulnerabilities such as SQL injection, cross-site scripting, and buffer overflow.

CPE(Common Platform Enumeration)는 하드웨어, 소프트웨어, 운영체제, 응용 프로그램 등과 관련된 취약점 정보를 식별하기 위해 정의된 목록이다.Common Platform Enumeration (CPE) is a defined list to identify vulnerability information related to hardware, software, operating systems, applications, and so on.

CVSS(Common Vulnerability Scoring System)는 다양한 이기종 하드웨어와 소프트웨어 플랫폼에 대한 취약점들에 대해 심각도 순위를 정할 수 있도록 점수화하는 오픈 프레임워크이다. 모든 하드웨어 및 소프트웨어 플랫폼에 걸쳐 취약점에 대한 점수 일반화를 통해 일률적인 취약점 관리 정책이 가능하다. CVSS는 기본(Base), 임시(Temporal), 환경(Environment) 등의 3가지 그룹이 있으며 각각의 그룹은 0에서 10까지의 범위로 수치화된 점수를 제공한다.The Common Vulnerability Scoring System (CVSS) is an open framework that scales vulnerabilities to a variety of heterogeneous hardware and software platforms to rank their severity. Scoring vulnerability points across all hardware and software platforms allows uniform vulnerability management policies. There are three groups of CVSS: Base, Temporal, and Environment. Each group provides numeric scores ranging from 0 to 10.

구성모의 방식의 사이버전 환경에서 사이버전 시나리오를 작성하고 사이버 공격의 유효성을 확인하기 위한 기준으로 이러한 취약점 정보를 활용할 수 있다. 그러나, CVE, CWE, CPE, CVSS는 각각의 목록으로 독립적으로 제공될 뿐이어서 사이버전 공격의 유효성 확인이나 사이버전 공격 및 방어 시나리오 작성을 지원하기 위한 다양한 공개 표준 데이터 간의 연관성 분석 및 이를 지원하는 구조적인 시스템이 없다. 따라서, 사용자의 필요에 따라 관련된 데이터를 수동적으로 활용해야 하는 어려움이 존재한다는 단점이 있다. We can use the vulnerability information as a criterion for creating the interim scenario and checking the validity of the cyber attack in the interim version environment. However, since CVE, CWE, CPE, and CVSS are provided independently of each other, it is possible to analyze the association between various open standard data to support the validation of interim attack or to create interim attack and defense scenario, There is no system. Therefore, there is a disadvantage that there is a difficulty in manually utilizing related data according to the user's needs.

1. 한국등록특허번호 제10-1460589호(등록일: 2014.11.05)1. Korean Registered Patent No. 10-1460589 (Registered on May 31, 2014)

1. 홍영란, "사이버전 양상 및 대응전략"학술논문 군사과학정책연구 제6권 (2013년) pp.1-69 1. Hong, Young-Ran, "Siderification Modes and Response Strategies" Military Science Policy Research Vol.6 No.1 (2013) pp.1-69

본 발명은 위 배경기술에 따른 문제점을 해소하기 위해 제안된 것으로서, 사이버전 구성모의 환경에서 사이버전 시나리오를 작성할 때 알려진 취약점 정보를 보안 취약점 DB로부터 확인하여 사이버 공격의 침투 및 악성 행위 시도가 성공할 수 있는지 판단할 수 있도록 CVE(Common Vulnerability and Exposure), CWE(Common Weakness Enumeration), CPE(Common Platform Enumeration), CVSS(Common Vulnerability Scoring System) 등 공개 표준 데이터를 기반으로 사이버 공격의 유효성을 확인하는 보안 취약점 DB 설계를 위한 표준 데이터 기반 보안 취약점 대응 방법 및 시스템을 제공하는데 그 목적이 있다.The present invention has been proposed in order to solve the problem according to the above background art, and it is possible to confirm the known vulnerability information from the security vulnerability DB when creating the interim scenario in the environment of the version version scheme, A security vulnerability that verifies the validity of cyber attacks based on open standard data such as Common Vulnerability and Exposure (CVE), Common Weakness Enumeration (CWE), Common Platform Enumeration (CPE), and Common Vulnerability Scoring System (CVSS) The purpose of this paper is to provide a standard data foundation security vulnerability countermeasure method and system for DB design.

또한, 본 발명은 특정 사이버 공격의 대상이 되는 하드웨어 및/또는 소프트웨어 플랫폼에 대한 취약점 정보를 CVSS 심각도 기반, 침해지표(Indicators of Compromise : 이하 IOC) 분석 기반, 모의 분석 결과의 효과지표 기반, 사용자 분석 정보 기반으로 정렬하여 제공함으로써 사용자의 사이버전 시나리오 작성에 적합한 취약점을 합목적적으로 선택할 수 있도록 하는 표준 데이터 기반 보안 취약점 대응 방법 및 시스템을 제공하는데 다른 목적이 있다.In addition, the present invention provides vulnerability information for a hardware and / or software platform to be subjected to a specific cyber attack based on CVSS severity, based on Indicators of Compromise (IOC) analysis, The present invention also provides a system and method for responding to security vulnerabilities based on standard data, which enables a user to select a vulnerability suitable for creating a user-side version scenario.

본 발명은 위에서 제시된 과제를 달성하기 위해, 사이버전 구성모의 환경에서 사이버전 시나리오를 작성할 때 알려진 취약점 정보를 보안 취약점 DB로부터 확인하여 사이버 공격의 침투 및 악성 행위 시도가 성공할 수 있는지 판단할 수 있도록 CVE(Common Vulnerability and Exposure), CWE(Common Weakness Enumeration), CPE(Common Platform Enumeration), CVSS(Common Vulnerability Scoring System) 등 공개 표준 데이터를 기반으로 사이버 공격의 유효성을 확인하는 보안 취약점 DB 설계를 위한 표준 데이터 기반 보안 취약점 대응 방법을 제공한다.In order to accomplish the above-mentioned object, in order to achieve the above-mentioned object, in order to determine whether the cyber attack is infiltrative or malicious attempt is successful, CVE Standard data for designing a security vulnerability DB that verifies the validity of cyber attacks based on open standard data such as Common Vulnerability and Exposure, Common Weakness Enumeration (CWE), Common Platform Enumeration (CPE), and Common Vulnerability Scoring System (CVSS) Based security vulnerability.

상기 표준 데이터 기반 보안 취약점 대응 방법은, 사이버전 구성모의 환경에서 사이버전 시나리오 작성 및 유효성 확인을 위한 표준 데이터 기반 보안 취약점 대응 방법으로서,The standard data-based security vulnerability countermeasure method is a standard data-based security vulnerability countermeasure method for creating and verifying the interim scenario in the environment of the sideview configurator,

(a) 시나리오 생성 모듈이 사이버 공격 모의를 위해 사이버전 시나리오를 생성하여 모델을 배치하고 배치된 모델의 속성을 변경하는 단계;(a) creating a sideview scenario for the cyber attack simulation by the scenario generation module, arranging the model and changing attributes of the deployed model;

(b) 질의 처리 모듈이 CVE(Common Vulnerability and Exposure)에 대해 취약한 CPE(Common Platform Enumeration) 정보를 미리 설정되어 있는 보안 취약점 데이터베이스로 질의하는 단계;(b) querying the Common Platform Vulnerability and Exposure (CVE) with weak Common Platform Enumeration (CPE) information to a predefined security vulnerability database;

(c) 상기 질의 처리 모듈이 CPE 플랫폼 정보에 대한 취약점 CVE 정보를 상기 보안 취약점 데이터베이스로 질의하는 단계;(c) querying the vulnerability CVE information for the CPE platform information by the query processing module to the vulnerability database;

(d) 상기 질의 처리 모듈이 상기 CVE에 대한 CVSS(Common Vulnerability Scoring System) 정보를 상기 보안 취약점 데이터베이스로 질의하는 단계;(d) querying the Common Vulnerability Scoring System (CVSS) information for the CVE by the query processing module to the vulnerability database;

(e) 상기 질의 처리 모듈이 상기 CVE에 대한 관련 IOC(Indicators of Compromise) 정보를 보안 취약점 데이터베이스로 질의하는 단계;(e) the query processing module queries an IOC (Indicators of Compromise) information about the CVE to a security vulnerability database;

(f) 상기 질의 처리 모듈이 상기 CVE에 대한 사용자 분석 결과를 상기 보안 취약점 데이터베이스로 질의하는 단계;(f) the query processing module querying the security vulnerability database for a user analysis result for the CVE;

(g) 상기 질의 처리 모듈이 CVE 설명(Description) 관련 키워드를 상기 보안 취약점 데이터베이스로 질의하는 단계;(g) querying the CVE description related keyword to the security vulnerability database by the query processing module;

(h) 모의 모듈이 상기 사이버전 시나리오를 기반으로 모의를 수행하는 단계; 및 (h) performing a simulation based on the interim version scenario by the simulated module; And

(i) 상기 질의 처리 모듈이 사이버전 공격에 대한 유효성 확인 정보를 상기 보안 취약점 데이터베이스로 질의하는 단계;를 포함하는 것을 특징으로 할 수 있다.(i) the query processing module queries the security vulnerability database for validation information on an interim version attack.

이때, 상기 (i) 단계는, 해당 CPE가 CVE 취약점을 보유하고 있어서 피해 가능성이 있는지를 응답 값으로 도출하여 제공하는 단계;를 더 포함하는 것을 특징으로 할 수 있다.In this case, the step (i) may further include determining whether the corresponding CPE has a CVE vulnerability, and determining whether there is a possibility of the CVE vulnerability, as a response value.

또한, 상기 표준 데이터 기반 보안 취약점 대응 방법은, 상기 (i) 단계 이후, 모의 종료에 따라 모의 결과를 상기 보안 취약점 데이터베이스에 저장하는 단계;를 더 포함하는 것을 특징으로 할 수 있다.The method may further include storing the simulation result in the security vulnerability database according to the simulation end after the step (i).

또한, 상기 보안 취약점 데이터베이스는 표 1에 의해 생성되는 것을 특징으로 할 수 있다.Also, the security vulnerability database may be generated according to Table 1.

순번turn 테이블 명Table name 테이블 식별자Table identifier 내용Contents 1One IOC 테이블IOC table IOCIOC IOC 주요 필드 정보 저장IOC saves main field information 22 IOC-CVE 맵핑 테이블IOC-CVE mapping table IOC_has_CVEIOC_has_CVE IOC 및 CVE 맵핑 정보 저장Save IOC and CVE mapping information 33 CVE-CPE-CWE 맵핑 테이블CVE-CPE-CWE mapping table NVD_CVENVD_CVE NVD Data feed 데이터 저장NVD Data feed data storage 44 CPE 사전 테이블CPE Dictionary Table Vul-platform-CPEVul-platform-CPE CPE 딕셔너리 정보 저장Store CPE dictionary information 55 CVE-CWE 맵핑 테이블CVE-CWE mapping table CWE_has_NVD-CVECWE_has_NVD-CVE CVE 및 CWE 맵핑 정보저장Save CVE and CWE mapping information 66 CWE 기본 정보 테이블CWE basic information table CWECWE CWE 주요 필드 정보 저장CWE Main Field Information Storage 77 CWE 취약성 범위 테이블CWE Vulnerability Scope Table CWE-Consequence_ScopeCWE-Consequence_Scope CWE Consequence 범위 저장Save CWE Consequence Range 88 CWE 기술 영향도 테이블CWE Technology Impact Tables CWE-Consequence_Technical_ImpactCWE-Consequence_Technical_Impact CWE Consequence 기술 영향도 맵핑 정보 저장Save CWE Consequence Technology Impact Mapping Information 99 분석 결과 테이블Analysis result table Analysis_ResultAnalysis_Result 분석 결과 정보 저장Save your analysis results 1010 분석 결과 CPE 테이블Analysis results CPE table Analysis_Result-CPEAnalysis_Result-CPE 분석 결과 산출에 활용된 CPE 리스트List of CPEs used in the analysis 1111 분석 결과 CVE 테이블Analysis of the CVE table Analysis_Result-CVEAnalysis_Result-CVE 분석 결과 산출에 활용된 CVE 리스트List of CVEs used in the analysis 1212 CVE 기본 정보 테이블CVE Basic Information Table CVECVE CVE 설명 정보 저장Save CVE description information 1313 CVE 레퍼런스CVE Reference CVE-referenceCVE-reference CVE 레퍼런스 정보 저장Store CVE reference information 1414 CVE 검색 키워드CVE search keywords CVE_keywordsCVE_keywords CVE 키워드 정보 저장Save CVE keyword information 1515 구성모의 Cyber Effect 키워드Cyber Effect Keywords Cyber_EffectCyber_Effect Cyber-effect 정보 저장Save Cyber-effect information 1616 CVE-CyberEffect 맵핑 테이블CVE-CyberEffect mapping table CVE_has_Cyber_EffectCVE_has_Cyber_Effect CVE 및 Cyber-effect 맵핑 정보 저장Save CVE and Cyber-effect mapping information 1717 CVE-CVE키워드 맵핑 테이블CVE-CVE Keyword Mapping Table CVE_has_CVE_keywordsCVE_has_CVE_keywords CVE와 CVE 키워드 맵핑 정보 저장Save CVE and CVE keyword mapping information 1818 Cyber Effet-CVE 키워드 맵핑 테이블Cyber Effet-CVE Keyword Mapping Table Cyber_Effect_has_CVE_keywordsCyber_Effect_has_CVE_keywords Cyber-effect와 CVE 키워드 맵핑 정보 저장Save Cyber-effect and CVE keyword mapping information

또한, 상기 IOC 테이블은 침해사건 ID(Identification), 관련 사건 ID, 발견 일시, 시작 일시, 종료 일시, 보고 일시, 설명, 평가, 사용 기법, 연락처 정보를 포함할 수 있다.In addition, the IOC table may include an infringement event ID, an associated event ID, a date and time of discovery, a start date and time, an end date and time, a report date and time, an explanation, an evaluation, a use method and contact information.

또한, 상기 IOC-CVE 맵핑 테이블은 사건 ID, CVE ID 정보를 포함하며, 상기 CVE-CPE-CWE 맵핑 테이블은 CVE ID, CVSS 점수, CVSS 접근 위치, CVSS 접근 복잡도, CVSS 인증 횟수, CVSS 기밀성 영향도, CVSS 무결성 영향도, CVSS 가용성 영향도, 출처, CWE ID 정보를 포함할 수 있다.Also, the IOC-CVE mapping table includes an event ID and CVE ID information, and the CVE-CPE-CWE mapping table includes CVE ID, CVSS score, CVSS access location, CVSS access complexity, CVSS authentication count, , CVSS Integrity Impact Factor, CVSS Availability Impact Factor, Source, and CWE ID information.

또한, 상기 CPE 사전 테이블은 CVE ID, CPE ID 정보를 포함하며, 상기 CVE-CWE 맵핑 테이블은 CVE ID, CWE ID 정보를 포함할 수 있다.Also, the CPE dictionary table includes a CVE ID and CPE ID information, and the CVE-CWE mapping table may include CVE ID and CWE ID information.

또한, 상기 CWE 기본 정보 테이블은 CWE ID, 분류, 취약점명, 상태, 설명 정보를 포함하며, 상기 분석 결과 테이블은 분석 결과 ID, 공격 성공률, 방어 성공률, 호스트 감염률, 호스트 감염 차단률, IER(Information Exchange Requirement) 성공률 정보를 포함할 수 있다. The analysis result table includes an analysis result ID, an attack success rate, a defense success rate, a host infection rate, a host infection blocking rate, an IER (Information Security Information (IER) Information) information, a CWE ID, a classification, Exchange Requirement) success rate information.

또한, 상기 분석 결과 CPE 테이블은 분석 결과 ID, CPE ID 정보를 포함하며,Also, as a result of the analysis, the CPE table includes an analysis result ID and CPE ID information,

상기 분석 결과 CVE 테이블은 분석 결과 ID, CVE ID 정보를 포함하며, 상기 CVE 기본 정보 테이블은 CVE ID, 상태, 설명, 관련 IOC 수, 누적 공격 성공률, 누적 방어 성공률, 누적 호스트 감염률, 누적 호스트 감염 차단률, 누적 IER 성공률, 사용자 분석 횟수 정보를 포함할 수 있다.As a result of the analysis, the CVE table includes an analysis result ID and CVE ID information. The CVE basic information table includes a CVE ID, a status, a description, a related IOC count, a cumulative attack success rate, a cumulative host infection rate, Rate, cumulative IER success rate, and user analysis frequency information.

또한, 상기 CVE 레퍼런스 테이블은 CVE ID, 정보출처, 정보출처 관리 ID, 레퍼런스 URL(uniform resource locator) 정보를 포함하며, 상기 CWE 취약성 범위 테이블은 CWE ID, 취약점 영향 분류 정보를 포함하며, 상기 CWE 기술 영향도 테이블은 CWE ID, 기술영향도 분류 정보를 포함할 수 있다.In addition, the CVE reference table includes a CVE ID, an information source, an information source management ID, and reference URL (uniform resource locator) information. The CWE vulnerability range table includes a CWE ID and vulnerability impact classification information. The impact table may include CWE ID, technical impact classification information.

또한, 상기 CVE-Cyber Effect 맵핑 테이블은 CVE ID, 사이버 효과 ID 정보를 포함하며, 상기 CVE-CVE 키워드 맵핑 테이블은 CVE ID, 공격 위치, 공격 행위자, 공격 행위 정보를 포함하며, 상기 검색 키워드 테이블은 공격 위치, 공격 행위자, 공격 행위 정보를 포함할 수 있다.Also, the CVE-Cyber Effect mapping table includes a CVE ID and cyber effect ID information, and the CVE-CVE keyword mapping table includes a CVE ID, an attack position, an attack agent, and attack behavior information, An attack position, an attack agent, and attack information.

또한, 상기 CVE-CVE 키워드 맵핑 테이블은 사이버 효과 ID, 공격 위치, 공격 행위자 정보를 포함하는 것을 특징으로 할 수 있다.In addition, the CVE-CVE keyword mapping table may include a cyber effect ID, an attack position, and attack agent information.

또한, 응답된 CVE 정보를 CVSS 점수, 관련 IOC 수, 누적 효과지표, 사용자 분석 횟수를 기반으로 정렬하여 시나리오 작성 목적 관련도가 높은 취약점을 우선 제시하는 것을 특징으로 할 수 있다.In addition, the responding CVE information is sorted based on the CVSS score, the number of related IOCs, the cumulative effect index, and the number of analyzed users, so that a vulnerability having a high degree of relevance for scenario creation purposes is presented first.

또한, 상기 관련 IOC 수를 기반으로 정렬은 사이버 침해 사고 정보를 공유하기 위한 IOC의 정보에 포함되어 있는 CVE 자료를 활용하여 해당 CVE가 포함된 IOC 수를 기준으로 사용할 수 있다.In addition, the sorting based on the number of related IOCs can be used based on the number of IOCs containing CVEs by using the CVE data included in the information of the IOC for sharing the cyber infringement accident information.

또한, 상기 누적 효과지표를 기반으로 정렬은 해당 CVE가 포함된 시나리오 실행 결과로 산출된 각 사이버전 효과지표의 평균값을 사용하며, 상기 사용자 분석 횟수를 기반으로 정렬은 사용자에 의해 해당 CVE가 분석에 사용된 횟수를 기준으로 하는 것을 특징으로 할 수 있다.In addition, the sorting based on the cumulative effect index uses an average value of each interim effect index calculated as a result of executing the scenario including the CVE, and the sorting based on the user analysis count is performed by the user. And the number of times of use is used as a reference.

다른 한편으로, 본 발명의 일실시예는, 사이버전 구성모의 환경에서 사이버전 시나리오 작성 및 유효성 확인을 위한 표준 데이터 기반 보안 취약점 대응 시스템으로서, 입력부에 의해 생성되는 입력정보를 통해 사이버 공격 모의를 위해 사이버전 시나리오를 생성하여 모델을 배치하고 배치된 모델의 속성을 변경하는 시나리오 생성 모듈; CVE(Common Vulnerability and Exposure)에 대한 취약한 CPE(Common Platform Enumeration) 정보를 미리 설정되는 보안 취약점 데이터베이스로 질의하고, 상기 질의 처리 모듈이 CPE 플랫폼 정보에 대한 취약점 CVE 정보를 상기 보안 취약점 데이터베이스로 질의하고, 상기 질의 처리 모듈이 상기 CVE에 대한 CVSS(Common Vulnerability Scoring System) 정보를 상기 보안 취약점 데이터베이스로 질의하고, 상기 CVE에 대한 관련 IOC(Indicators of Compromise) 정보를 보안 취약점 데이터베이스로 질의하고, 상기 질의 처리 모듈이 상기 CVE에 대한 사용자 분석 결과를 상기 보안 취약점 데이터베이스로 질의하고, 상기 질의 처리 모듈이 CVE 설명(Description) 관련 키워드를 상기 보안 취약점 데이터베이스로 질의하는 질의 처리 모듈; 및 상기 사이버전 시나리오를 기반으로 모의를 수행하는 모의 모듈;을 포함하는 표준 데이터 기반 보안 취약점 대응 시스템을 제공할 수 있다.On the other hand, one embodiment of the present invention is a standard data-based security vulnerability countermeasure system for creating and verifying validity of an interim scenario in an environment of a sideview configurator, wherein the input information generated by the input unit is used for simulating a cyber attack A scenario generation module for generating a interim scenario and arranging the model and changing attributes of the deployed model; The method includes: querying vulnerable Common Platform Enumeration (CPE) information for Common Vulnerability and Exposure (CVE) to a previously set security vulnerability database; querying the vulnerability CVE information for the CPE platform information to the vulnerability database; The inquiry processing module queries the CVS information about the CVE to the security vulnerability database, queries the relevant IOC (Indicators of Compromise) information about the CVE to the security vulnerability database, A query processing module for querying the user analysis result of the CVE with the security vulnerability database and the query processing module querying the CVE description related keyword to the security vulnerability database; And a simulation module for performing simulation on the basis of the sideview scenario.

이때, 상기 질의 처리 모듈이 사이버전 공격에 대한 유효성 확인 정보를 상기 보안 취약점 데이터베이스로 질의하는 것을 특징으로 할 수 있다. In this case, the inquiry processing module may query the security vulnerability database for validation information on the sideview attack.

본 발명에 따르면, 보안 취약점 DB를 이용하면 사이버전 시나리오를 작성할 때 어떠한 취약점을 이용할 것인지에 대한 취약점 선택 기준을 시나리오 작성 목적에 적합하도록 제공함으로써 사이버전 시나리오 작성의 효율성을 지원할 수 있다. According to the present invention, by using the vulnerability database, it is possible to support the efficiency of creating the interim scenario by providing a selection criterion for selecting a vulnerability for exploiting the weakness when creating the interim scenario, in accordance with the purpose of the scenario.

또한, 본 발명의 다른 효과로서는 사이버전 구성모의 환경에서 사이버전 시나리오를 작성할 때 알려진 취약점 정보를 보안 취약점 DB로부터 확인하여 사이버 공격의 침투 및 악성행위 시도가 성공할 수 있는지 시나리오 실행 이전에 판단할 수 있으며, 또한 사이버전 시나리오 작성 목적에 맞는 취약점 선택 기준을 제공함으로써 사이버전 시나리오 작성의 효율성을 향상시킬 수 있다는 점을 들 수 있다.In addition, as another effect of the present invention, vulnerability information known at the time of creating the interim scenario in the environment of the version version configurationmodule can be checked from the security vulnerability database to determine whether penetration of the cyber attack or malicious behavior attempt is successful before the execution of the scenario , And the ability to improve the efficiency of sideview scenario creation by providing vulnerability selection criteria for the purpose of creating a sideview scenario.

또한, 본 발명의 또 다른 효과로서는 CVE(Common Vulnerability and Exposure), CWE(Common Weakness Enumeration), CPE(Common Platform Enumeration), CVSS(Common Vulnerability Scoring System) 기반의 보안 취약점 DB를 통해 CVE 질의에 대하여 해당 CVE에 취약한 CPE 정보를 얻을 수 있으며, CPE 질의에 대하여 해당 CPE에 존재하는 CVE 정보를 얻을 수 있다는 점을 들 수 있다.Further, as another effect of the present invention, CVE (Common Vulnerability and Exposure), Common Weakness Enumeration (CWE), Common Platform Enumeration (CPE), and Common Vulnerability Scoring System The vulnerable CPE information can be obtained from the CVE, and the CVE information existing in the CPE can be obtained for the CPE query.

또한, 본 발명의 또 다른 효과로서는 키워드(Keyword) 검색을 통해 관련 CVE 설명(Description) 정보를 조회할 수 있고, 사이버 공격에 대한 유효성을 확인할 수 있다는 점을 들 수 있다.In addition, another effect of the present invention is that the CVE description information can be retrieved through a keyword search, and the validity of a cyber attack can be confirmed.

또한, 본 발명의 또 다른 효과로서는 특정 CPE에 대한 취약점 정보 제공 시 CVSS 심각도 기반, IOC 분석 기반, 기존 모의 분석 결과를 이용한 효과지표 기반, 사용자 분석 정보 기반으로 취약점을 정렬하여 시나리오 작성 목적과의 관련도가 높은 취약점을 사용자에게 제시함으로써 취약점 대응 및 분석 시 효율적으로 정보를 제공할 수 있다는 점을 들 수 있다.Further, as another effect of the present invention, when providing vulnerability information for a specific CPE, it is based on CVSS severity, IOC analysis basis, effect index based on existing simulation analysis result, sort of vulnerability based on user analysis information, And the ability to provide information efficiently when responding to and analyzing vulnerabilities by presenting high-level vulnerabilities to users.

도 1은 본 발명의 일실시예에 따른 취약점 데이터베이스(100)의 보안 취약점 DB 테이블 및 테이블 간 관계에 대해 나타낸다.
도 2는 도 1에 도시된 취약점 DB(100)에 대한 질의 및 응답 개념을 나타낸 개념도이다.
도 3은 본 발명의 일실시예에 따른 사이버전 구성모의 환경에서 취약점 DB를 활용하여 시나리오를 작성하는 과정을 나타낸 흐름도이다.
도 4는 본 발명의 일실시예에 따른 표준 데이터 기반 보안 취약점 대응 시스템(400)의 구성 블록도이다.
도 5는 본 발명의 일실시예에 따른 보안 취약점 DB를 구성하는 테이블의 식별자 및 내용에 대한 목록을 보여주는 표이다.
도 6은 본 발명의 일실시예에 따른 CPE(Common Platform Enumeration)에 대한 CVE(Common Vulnerability and Exposure) 정보 응답 시 사용자에게 제공되는 화면 예시이다. FIG. 1 illustrates a relationship between a security vulnerability DB table and a table of a vulnerability database 100 according to an embodiment of the present invention.
2 is a conceptual diagram illustrating a concept of a query and a response to the vulnerability DB 100 shown in FIG.
FIG. 3 is a flowchart illustrating a process of creating a scenario using a vulnerability DB in an environment of a version version configuration model according to an exemplary embodiment of the present invention.
4 is a block diagram of a system 400 for supporting a standard data-based security vulnerability according to an embodiment of the present invention.
FIG. 5 is a table showing a list of identifiers and contents of tables constituting a security vulnerability DB according to an embodiment of the present invention.
FIG. 6 is an exemplary screen provided to a user in response to a Common Vulnerability and Exposure (CVE) information response to a Common Platform Enumeration (CPE) according to an exemplary embodiment of the present invention.

본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는바, 특정 실시예들을 도면에 예시하고 상세한 설명에 구체적으로 설명하고자 한다. 그러나 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.While the invention is susceptible to various modifications and alternative forms, specific embodiments thereof are shown by way of example in the drawings and will herein be described in detail. It is to be understood, however, that the invention is not to be limited to the specific embodiments, but includes all modifications, equivalents, and alternatives falling within the spirit and scope of the invention.

각 도면을 설명하면서 유사한 참조부호를 유사한 구성요소에 대해 사용한다.Like reference numerals are used for similar elements in describing each drawing.

제 1, 제 2등의 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되어서는 안 된다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다.The terms first, second, etc. may be used to describe various components, but the components should not be limited by the terms. The terms are used only for the purpose of distinguishing one component from another.

예를 들어, 본 발명의 권리 범위를 벗어나지 않으면서 제 1 구성요소는 제 2 구성요소로 명명될 수 있고, 유사하게 제 2 구성요소도 제 1 구성요소로 명명될 수 있다. "및/또는" 이라는 용어는 복수의 관련된 기재된 항목들의 조합 또는 복수의 관련된 기재된 항목들 중의 어느 항목을 포함한다.For example, without departing from the scope of the present invention, the first component may be referred to as a second component, and similarly, the second component may also be referred to as a first component. The term "and / or" includes any combination of a plurality of related listed items or any of a plurality of related listed items.

다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미가 있다.Unless otherwise defined, all terms used herein, including technical or scientific terms, have the same meaning as commonly understood by one of ordinary skill in the art to which this invention belongs.

일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥상 가지는 의미와 일치하는 의미를 가지는 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않아야 한다.Terms such as those defined in commonly used dictionaries are to be interpreted as having a meaning consistent with the contextual meaning of the related art and are to be interpreted as either ideal or overly formal in the sense of the present application Should not.

이하 첨부된 도면을 참조하여 본 발명의 일실시예에 따른 사이버전 시나리오 작성 및 유효성 확인을 위한 표준 데이터 기반 보안 취약점 대응 방법 및 시스템을 상세하게 설명하기로 한다.DETAILED DESCRIPTION OF THE PREFERRED EMBODIMENTS Reference will now be made in detail to the preferred embodiments of the present invention, examples of which are illustrated in the accompanying drawings, wherein like reference numerals refer to like elements throughout.

도 1은 본 발명의 일실시예에 따른 취약점 데이터베이스(100)의 보안 취약점 DB 테이블 및 테이블 간 관계에 대해 나타낸다. 도 1을 참조하면, IOC(Indicators of Compromise: 침해지표) 테이블(110)은 침해사건 ID(Identification), 관련 사건 ID, 발견 일시, 시작 일시, 종료 일시, 보고 일시, 설명, 평가, 사용 기법, 연락처 정보를 포함하며, 적어도 0개 이상의 IOC-CVE(Common Vulnerability and Exposure : 공통 보안 취약점 및 노출) 맵핑 테이블(IOC_has_CVE)(111) 정보를 포함한다.FIG. 1 illustrates a relationship between a security vulnerability DB table and a table of a vulnerability database 100 according to an embodiment of the present invention. Referring to FIG. 1, an IOC (Indicators of Compromise) table 110 includes an ID of an infringement event, an ID of an incident, a discovery date and time, a start date and time, a date and time, Contact information, and includes at least zero or more Common Vulnerability and Exposure (IOC-CVS) mapping table (IOC_has_CVE) 111 information.

IOC-CVE 맵핑 테이블(111)은 사건 ID, CVE ID 정보를 포함하며, IOC 테이블(110)과 CVE 기본 정보 테이블(120)에 반드시 포함된다.The IOC-CVE mapping table 111 includes an event ID and CVE ID information and is always included in the IOC table 110 and the CVE basic information table 120. [

CVE-CPE-CWE 맵핑 테이블(NVD(U.S.A. National Vulnerability Database)-CVE )(131)은 CVE ID, CVSS(Common Vulnerability Scoring System: 공통 취약점 점수화 시스템) 점수, CVSS 접근 위치, CVSS 접근 복잡도, CVSS 인증 횟수, CVSS 기밀성 영향도, CVSS 무결성 영향도, CVSS 가용성 영향도, 출처, CWE(Common Weakness Enumeration : 공통 취약점 목록) ID 정보를 포함할 수 있다. 또한, CVE-CPE-CWE 맵핑 테이블(131)은 적어도 0개 이상의 CPE 사전 테이블(Vul-platform-CPE)(130) 정보와 하나 이상의 CVE-CWE 맵핑 테이블(CWE_has_NVD-CVE)(140) 정보를 가지며, CVE 기본 정보 테이블(120)에 포함될 수 있다.The CVE-CPE-CWE mapping table (NVD (CVE) -CVE) 131 includes CVE ID, Common Vulnerability Scoring System (CVSS) score, CVSS access location, CVSS access complexity, , CVSS confidentiality impact level, CVSS integrity impact level, CVSS availability impact level, source, Common Weakness Enumeration (CWE) ID information. Also, the CVE-CPE-CWE mapping table 131 has at least zero CPE-table-to-CPE 130 information and one or more CVE-CWE mapping table CWE_has_NVD-CVE 140 information , And may be included in the CVE basic information table 120.

CPE 사전 테이블(130)은 CVE ID, CPE ID 정보를 포함하며, CVE-CPE-CWE 맵핑 테이블(131)에 반드시 포함된다.The CPE dictionary table 130 includes a CVE ID and CPE ID information, and is necessarily included in the CVE-CPE-CWE mapping table 131.

CVE-CWE 맵핑 테이블(140)은 CVE ID, CWE ID 정보를 포함하며, CVE-CPE-CWE 맵핑 테이블(131)과 CWE 기본 정보 테이블(150)에 반드시 포함된다. The CVE-CWE mapping table 140 includes a CVE ID and CWE ID information and is necessarily included in the CVE-CPE-CWE mapping table 131 and the CWE basic information table 150.

CWE 기본 정보 테이블(150)은 CWE ID, 분류, 취약점명, 상태, 설명 정보를 포함한다.The CWE basic information table 150 includes a CWE ID, classification, vulnerability name, status, and explanatory information.

분석 결과 테이블(Analysis_Result)(161)은 분석 결과 ID, 공격 성공률, 방어 성공률, 호스트 감염률, 호스트 감염 차단률, IER(Information Exchange Requirement) 성공률 정보를 포함할 수 있다. 또한, 분석 결과 테이블(161)은 하나 이상의 분석 결과 CPE 테이블(Analysis_Result-CPE)(161) 정보, 하나 이상의 분석 결과 CVE 테이블(Analysis_Result-CVE)(121) 정보를 가진다.The analysis result table (Analysis_Result) 161 may include an analysis result ID, an attack success rate, a defense success rate, a host infection rate, a host infection blocking rate, and an information exchange requirement (IER) success rate information. In addition, the analysis result table 161 has information on one or more analysis result CPE tables (Analysis_Result-CPE) 161 and one or more analysis result CVE tables (Analysis_Result-CVE) 121.

분석 결과 CPE 테이블(161)은 분석 결과 ID, CPE ID 정보를 포함하며, 분석 결과 테이블(160)에 반드시 포함된다.As a result of the analysis, the CPE table 161 includes an analysis result ID and CPE ID information and is necessarily included in the analysis result table 160.

분석 결과 CVE 테이블(Analysis_Result-CVE)(121)은 분석 결과 ID, CVE ID 정보를 포함하며, 분석 결과 테이블(Analysis_Result)(160)에 반드시 포함되며, 하나 이상의 CVE 기본 정보 테이블(120)에 포함된다.As a result of analysis, the CVE table (Analysis_Result-CVE) 121 includes the analysis result ID and the CVE ID information and is included in the analysis result table (Analysis_Result) 160 and is included in one or more CVE basic information tables 120 .

CVE 기본 정보 테이블(120)은 CVE ID, 상태, 설명, 관련 IOC 수, 누적 공격 성공률, 누적 방어 성공률, 누적 호스트 감염률, 누적 호스트 감염 차단률, 누적 IER 성공률, 사용자 분석 횟수 정보를 포함할 수 있다. 또한, CVE 기본 정보 테이블(120)은 하나의 CVE-CPE-CWE 맵핑 테이블(131) 정보를 가질 수 있으며, 0개 이상의 IOC-CVE 맵핑 테이블(111) 정보, 0개 이상의 CVE 레퍼런스 테이블(CVE-reference(122) 정보, 0개 이상의 CVE-CyberEffect 맵핑 테이블(CVE_has_Cyber_Effect)(123) 정보, 하나 이상의 CVE-CVE 키워드 맵핑 테이블(CVE_has_Cyber_keywords)(171) 정보를 가진다.The CVE basic information table 120 may include a CVE ID, a status, a description, the number of related IOCs, a cumulative attack success rate, a cumulative defense success rate, a cumulative host infection rate, a cumulative host infection blocking rate, a cumulative IER success rate, . The CVE basic information table 120 may have information on one CVE-CPE-CWE mapping table 131, and may include zero or more IOC-CVE mapping table 111 information, zero or more CVE reference tables (CVE- (122) information, at least one CVE-CyberEffect mapping table (CVE_has_Cyber_Effect) 123 information, and at least one CVE-CVE keyword mapping table (CVE_has_Cyber_keywords) 171 information.

CVE 레퍼런스 테이블(122)은 CVE ID, 정보출처, 정보출처 관리 ID, 레퍼런스 URL(uniform resource locator) 정보를 포함하며, CVE 기본 정보 테이블(120)에 포함될 수 있다.The CVE reference table 122 includes a CVE ID, an information source, an information source management ID, and reference URL (uniform resource locator) information, and may be included in the CVE basic information table 120.

CWE 기본 정보 테이블(150)은 CWE ID, 분류, 취약점명, 상태, 설명 정보를 포함하며, 하나 이상의 CVE-CWE 맵핑 테이블(140) 정보와 0개 이상의 CWE 취약점 범위 테이블(CWE-Consequence_Scope)(151) 정보와 0개 이상의 CWE 기술 영향도 테이블(CWE-Consequence_Technical_Impact)(152) 정보를 갖는다.The CWE basic information table 150 includes at least one CVE-CWE mapping table 140 information and at least CWE-Consequence_Scope 151 (CWE-CWE) information including CWE ID, classification, vulnerability name, ) Information and zero or more CWE technology influence tables (CWE-Consequence_Technical_Impact) 152 information.

CWE 취약점 범위 테이블(151)은 CWE ID, 취약점 영향 분류 정보를 포함하며, CWE 기본 정보 테이블(150)에 포함될 수 있다.The CWE vulnerability range table 151 includes the CWE ID and the vulnerability impact classification information, and may be included in the CWE basic information table 150.

CWE 기술 영향도 테이블(152)은 CWE ID, 기술영향도 분류 정보를 포함하며, CWE 기본 정보 테이블(150)에 포함될 수 있다.The CWE technology influence table 152 includes a CWE ID and a technology influence classification information and may be included in the CWE basic information table 150. [

CVE-Cyber Effect 맵핑 테이블(CVE_has_Cyber_Effect)(123)은 CVE ID, 사이버 효과 ID 정보를 포함하며, CVE 기본 정보 테이블(120)과 Cyber_Effect 테이블(180)에 포함될 수 있다.The CVE-Cyber Effect mapping table (CVE_has_Cyber_Effect) 123 includes a CVE ID and cyber effect ID information, and may be included in the CVE basic information table 120 and the Cyber_Effect table 180.

Cyber_Effect 테이블(180)은 사이버 효과 ID 정보를 포함하며, 0개 이상의 CVE-Cyber Effect 맵핑 테이블(CVE_has_Cyber_Effect)(123) 정보와 0개 이상의 Cyber Effect-CVE 키워드 맵핑 테이블(Cyber_Effect_has_CVE_keywords)(181) 정보를 가질 수 있다.The Cyber_Effect table 180 includes cyber effect ID information and has information of 0 or more CVE-Cyber Effect mapping table (CVE_has_Cyber_Effect) 123 and information of 0 or more Cyber Effect-CVE keyword mapping table (Cyber_Effect_has_CVE_keywords) 181 .

CVE-CVE 키워드 맵핑 테이블(CVE_has_Cyber_keywords)(171)은 CVE ID, 공격 위치, 공격 행위자, 공격 행위 정보를 포함하며, CVE 기본 정보 테이블(120)과 CVE 검색 키워드 테이블(CVE_keywords)(170)에 반드시 포함된다.The CVE-CVE keyword mapping table (CVE_has_Cyber_keywords) 171 includes a CVE ID, an attack position, an attacking agent, and attacking information, and is necessarily included in the CVE basic information table 120 and the CVE search keyword table (CVE_keywords) do.

검색 키워드 테이블(170)은 공격 위치, 공격 행위자, 공격 행위 정보를 포함하며, CVE_has_Cyber_keywords 테이블(171) 정보를 포함하며, Cyber_Effect_has_ CVE_keywords 테이블(181) 정보를 가질 수 있다.The search keyword table 170 includes an attack position, an attack agent, and attack action information, and includes information on the CVE_has_Cyber_keywords table 171 and information on the Cyber_Effect_has_CVE_keywords table 181.

CVE-CVE 키워드 맵핑 테이블(Cyber_Effect_has_CVE_keywords)(181)은 사이버 효과 ID, 공격 위치, 공격 행위자 정보를 포함하며, 구성모의 Cyber Effect 키워드 테이블(Cyber_Effect)(180)과 CVE 검색 키워드 테이블(CVE_keywords)(170)에 포함될 수 있다.The CVE-CVE keyword mapping table (Cyber_Effect_has_CVE_keywords) 181 includes a cyber effect ID, an attack position and an attacking agent information. The Cyber Effect keyword table (Cyber_Effect) 180 and the CVE search keyword table (CVE_keywords) .

도 2는 도 1에 도시된 취약점 DB(100)에 대한 질의 및 응답 개념을 나타낸 개념도이다. 도 2를 참조하면, 도 1을 기반으로 구성된 보안 취약점 DB(100)는 사이버전 구성모의 환경에서 시나리오 작성 시 CVE 질의(270)에 대하여 해당 취약점을 보유한 하나 이상의 CPE 정보를 응답 값으로 도출하고, CPE 질의(260)에 대하여 해당 플랫폼이 보유한 취약점인 CVE 정보를 응답 값으로 도출한다. 2 is a conceptual diagram illustrating a concept of a query and a response to the vulnerability DB 100 shown in FIG. Referring to FIG. 2, the security vulnerability database 100 constructed based on FIG. 1 derives one or more CPE information having a corresponding vulnerability as a response value to the CVE query 270 at the time of creating a scenario in the environment of the sideview configurator, CVE information, which is a vulnerability of the platform, to the CPE query 260 is derived as a response value.

CVE 정보 응답 시 CVSS 점수, 관련 IOC 수, 누적 효과지표, 사용자 분석 횟수 정보를 함께 제공하고, 사용자가 각 분류 선택 시 CVE 정보를 위협도가 높은 순으로 정렬하여 도시한다.In response to the CVE information, the CVSS score, the number of related IOCs, the cumulative effect index, and the user analysis frequency information are provided together, and when the user selects each classification, the CVE information is sorted in descending order of the degree of threat.

CVSS 점수 기반 정렬은 CVSS 접근 위치, 접근 복잡도, 인증 횟수, 기밀성 영향도, 무결성 영향도, 가용성 영향도를 기반으로 산출된 CVSS 점수를 기준으로 사용한다. CVSS score-based sorting is based on the CVSS score calculated based on CVSS access location, access complexity, number of authentications, confidentiality impact, integrity impact, and availability impact.

관련 IOC 수 기반 정렬은 사이버 침해 사고 정보를 공유하기 위한 IOC의 정보에 포함되어 있는 CVE 자료를 활용하여 해당 CVE가 포함된 IOC 수를 기준으로 사용한다. Relevant IOC-based sorting is based on the number of IOCs that contain CVEs using CVE data contained in the IOC's information for sharing cyber-infringement incident information.

누적 효과지표 기반 정렬은 해당 CVE가 포함된 시나리오 실행 결과로 산출된 각 사이버전 효과지표의 평균값을 사용하며, 사용자 분석 횟수 기반 정렬은 사용자에 의해 해당 CVE가 분석에 사용된 횟수를 기준으로 사용한다.Cumulative effect index-based sorting uses the average value of each interim effect index calculated as a result of execution of a scenario containing the CVE, and the sorting based on the number of analysis times is based on the number of times the corresponding CVE is used by the user .

이때 관련 CVSS에 대한 상세 정보 조회를 위해 CVE 질의(220)시 해당 CVE의 CVSS 접근 위치, 접근 복잡도, 인증 횟수, 기밀성 영향도, 무결성 영향도, 가용성 영향도 점수를 제공한다. 또한, IOC에 대한 상세 정보 조회를 위해 CVE 질의(230)시 해당 CVE가 포함된 관련 IOC의 리스트를 제공하며, 사용자 분석 결과 상세 정보 조회를 위해 CVE 질의(240)시 해당 CVE가 포함된 기존 분석 결과 리스트를 제공한다.In order to inquire detailed information about the related CVSS, the CVS access location, access complexity, authentication frequency, confidentiality degree, integrity impact degree, and availability impact score of the corresponding CVE are provided at the CVE inquiry (220). In order to inquire detailed information about the IOC, a list of related IOCs including the corresponding CVE is provided at the CVE inquiry 230. In order to inquire detailed information of the user analysis result, the existing analysis including the corresponding CVE at the CVE inquiry (240) Provide a list of results.

또한 보안 취약점 DB는 CVE 관련 Keyword 검색(210)을 통해 해당 CVE ID 및 Description 정보를 응답 값으로 도출하며, 작성된 시나리오를 기반으로 모의 수행 시 CPE, CVE 질의(250)를 통해서 해당 CPE가 CVE 취약점을 보유하고 있어 피해 가능성이 있는지를 응답 값으로 도출한다.In addition, the security vulnerability DB derives CVE ID and description information as a response value through a CVE-related keyword search 210. When the simulation is performed based on the created scenario, the CPE detects a CVE vulnerability through the CVE query 250 And whether there is a possibility of damage.

도 3은 본 발명의 일실시예에 따른 사이버전 구성모의 환경에서 취약점 DB를 활용하여 시나리오를 작성하는 과정을 나타낸 흐름도이다. 도 2를 기반으로 도 3을 참조하여 사이버전 구성모의 환경에서 보안 취약점 DB를 활용한 시나리오 작성 과정을 설명하면, 우선 사이버전 구성모의 분석 대상 시스템 및 네트워크 구축을 위해 시나리오를 생성한다(단계 S310).FIG. 3 is a flowchart illustrating a process of creating a scenario using a vulnerability DB in an environment of a version version configuration model according to an exemplary embodiment of the present invention. Referring to FIG. 3, a scenario creation process using the security vulnerability DB in the environment of the Said version configuration model will be described with reference to FIG. 3. First, a scenario for the analysis target system and network construction of Said version configuration model is created (step S310) .

그리고, 생성된 시나리오에 모델을 배치하고 모델의 속성을 변경한다(단계 S320). 배치하는 모델 및 속성을 결정하기 위해 보안 취약점 DB로 CVE에 대한 취약 CPE 정보 질의(단계 S330), CPE 플랫폼 정보에 대한 취약점 정보 질의(단계 S340), CVE에 대한 CVSS 질의(단계 S350), CVE에 대한 IOC 질의(단계 S360), CVE에 대한 사용자 분석 결과 질의(단계 S370), CVE 설명 키워드(Description Keyword) 질의(단계 S380)를 통해 필요한 정보를 조회하여 적용한다. Then, the model is placed in the generated scenario and the attribute of the model is changed (step S320). In order to determine the model and attribute to be deployed, the vulnerable CPE information for the CVE is inquired (step S330), the vulnerability information for the CPE platform information is inquired (step S340), the CVSS query for CVE (step S350) The IOOC query (step S360), the user analysis result query for CVE (step S370), and the CVE description keyword (step S380).

여기서 CVE에 대한 취약 CPE 정보 질의는 CVE 질의에 대한 CPE 응답, CPE 플랫폼 정보에 대한 취약점 정보 질의는 CPE 질의에 대한 CVE 응답, CVE에 대한 CVSS 질의는 CVE 질의에 대한 CVSS 항목별 점수 응답, CVE에 대한 IOC 질의는 CVE 질의에 대한 IOC 리스트 응답, CVE에 대한 사용자 분석 결과 질의는 CVE 질의에 대한 분석 결과 리스트 응답, CVE Description Keyword 질의는 Keywords 질의에 대한 CVE ID 및 Description 응답으로 이루어진다.Here, the weak CPE information query for CVE includes the CPE response to the CVE query, the vulnerability information query to the CPE platform information, the CVE response to the CPE query, the CVSS query to the CVE, the CVE item score response to the CVE query, The IOC query for the IOC consists of an IOC list response to the CVE query, a user analysis result for the CVE query result is an analysis result list response to the CVE query, and a CVE Description Keyword query consists of the CVE ID and Description response to the Keywords query.

이후 시나리오 작성 완료 여부를 판단한다(단계 S381). 판단 결과, 단계 S381에서 시나리오 작성이 완료되지 않으면 단계 S310 내지 S381을 반복수행한다. 즉, 시나리오 작성이 완료되지 않은 것으로 판별되면 추가적으로 모델 배치 및 속성 변경을 수행한다.Then, it is determined whether or not the scenario creation is completed (step S381). If it is determined in step S381 that the scenario creation is not completed, steps S310 to S381 are repeated. That is, if it is determined that the scenario creation is not completed, additional model placement and attribute change are performed.

이와 달리, 단계 S381에서 시나리오 작성이 완료된 것으로 판단되면 시나리오 실행에 의한 모의 수행으로 넘어간다(단계 S390). On the other hand, if it is determined in step S381 that the scenario creation is completed, the process proceeds to the simulation execution by executing the scenario (step S390).

이후, 모의 수행 중 사이버전 공격에 대한 유효성 확인을 위해 보안 취약점 DB로 질의한다(단계 S391). 사이버전 공격 유효성 정보 질의는 CPE 및 CVE 질의에 대한 피해 가능성 응답으로 이루어진다. Thereafter, the security vulnerability DB is inquired for validity against the interim version attack during the simulation (step S391). The interim version attack validity information query consists of the victim response to the CPE and CVE queries.

이후, 모의 수행 시간 등 모의 종료 조건을 확인하여 종료 여부를 판별한다(단계 S393). 판단 결과, 단계 S393에서, 만일 종료 조건이 만족되는 것으로 판별되면 보안 취약점 데이터베이스(도 2의 100)에 모의결과 저장 후 모의를 종료한다(단계 S395).Thereafter, the simulation end condition such as the simulation execution time is checked and it is determined whether or not it is finished (step S393). If it is determined in step S393 that the termination condition is satisfied, the simulation result is stored in the security vulnerability database (100 of FIG. 2) and the simulation is terminated (step S395).

이와 달리, 단계 S393에서, 종료 조건이 만족되지 않은 것으로 판별되면 모의 수행을 계속 수행한다. 부연하면, 단계 S390 내지 S393이 다시 수행된다.On the other hand, if it is determined in step S393 that the end condition is not satisfied, the simulation execution is continued. If it is further determined, steps S390 to S393 are performed again.

모의결과 저장 시 분석 결과 테이블에 효과지표와 모의 시 사용된 CVE 및 CPE 정보를 저장하고, CVE 테이블의 누적 효과지표와 사용자 분석 횟수를 업데이트한다.When saving simulation results, it stores the effect indicators and CVE and CPE information used in simulation in the analysis result table, and updates cumulative effect indicators and user analysis counts of CVE table.

도 4는 본 발명의 일실시예에 따른 표준 데이터 기반 보안 취약점 대응 시스템(400)의 구성 블록도이다. 도 4를 참조하면, 사용자의 입력을 받아 입력 정보를 생성하는 입력부(410), 입력 정보에 따라 시나리오를 생성하는 시나리오 생성 모듈(430), 생성된 시나리오에 따라 취약점 데이터베이스(도 1의 100)에 질의하여 응답 정보를 취득하는 질의 처리 모듈(420), 시나리오에 따른 모의(시뮬레이션)를 수행하는 모의 모듈(440), 모의 모듈(440)과 연계되는 네트워크(450) 등을 포함하여 구성될 수 있다.4 is a block diagram of a system 400 for supporting a standard data-based security vulnerability according to an embodiment of the present invention. 4, an input unit 410 for receiving input from a user and generating input information, a scenario generation module 430 for generating a scenario according to input information, and a vulnerability database (100 in FIG. 1) A query module 420 for querying and obtaining response information, a simulation module 440 for performing a simulation according to a scenario, a network 450 connected to a simulation module 440, and the like .

시나리오 생성 모듈(430)은 입력부(410)에 의해 생성되는 입력정보를 통해 사이버 공격 모의를 위해 사이버전 시나리오를 생성하여 모델을 배치하고 배치된 모델의 속성을 변경하는 기능을 수행한다.The scenario generation module 430 generates a sideview scenario for cyber attack simulation through the input information generated by the input unit 410, and arranges the model and changes the attributes of the deployed model.

질의 처리 모듈(420)은 CVE(Common Vulnerability and Exposure)에 대한 취약한 CPE(Common Platform Enumeration) 정보를 미리 설정되는 보안 취약점 데이터베이스로 질의하고, 상기 질의 처리 모듈이 CPE 플랫폼 정보에 대한 취약점 CVE 정보를 상기 보안 취약점 데이터베이스로 질의하고, 상기 질의 처리 모듈이 상기 CVE에 대한 CVSS(Common Vulnerability Scoring System) 정보를 상기 보안 취약점 데이터베이스로 질의하고, 상기 CVE에 대한 관련 IOC(Indicators of Compromise) 정보를 보안 취약점 데이터베이스로 질의하고, 상기 질의 처리 모듈이 상기 CVE에 대한 사용자 분석 결과를 상기 보안 취약점 데이터베이스로 질의하고, 상기 질의 처리 모듈이 CVE 설명(Description) 관련 키워드를 상기 보안 취약점 데이터베이스로 질의하는 기능을 수행한다.The query processing module 420 queries the vulnerable Common Platform Enumeration (CPE) information for CVE (Common Vulnerability and Exposure) to a preset security vulnerability database, and the query processing module transmits vulnerability CVE information for the CPE platform information Querying the security vulnerability database, and the inquiry processing module queries the CVS information about the CVE to the security vulnerability database, and transmits related IOC (Indicators of Compromise) information to the security vulnerability database The query processing module queries the vulnerability database of the user analysis result of the CVE, and the query processing module performs a function of querying the CVE description related keyword to the security vulnerability database.

네트워크(450)는 시나리오를 적용할 수 있는 군 통신망이 될 수 있다. The network 450 may be a military communication network to which the scenario can be applied.

도 5는 본 발명의 일실시예에 따른 보안 취약점 DB를 구성하는 테이블의 식별자 및 내용에 대한 목록을 보여주는 표이다. FIG. 5 is a table showing a list of identifiers and contents of tables constituting a security vulnerability DB according to an embodiment of the present invention.

도 6은 본 발명의 일실시예에 따른 CPE(Common Platform Enumeration)에 대한 CVE(Common Vulnerability and Exposure) 정보 응답 시 사용자에게 제공되는 화면 예시이다. 도 6을 참조하면, CPE에 대한 CVE 정보 응답 시 사용자에게 제공되는 화면 예시로, 사용자가 질의한 CPE에 대한 CVE 정보를 CVE ID 별로 CVSS 점수, 관련 IOC 수, 효과지표별 누적 평균값, 사용자 분석 횟수 정보를 도시하며, 각 항목 별로 우선순위 정렬을 통해 사용자가 원하는 CVE 항목을 우선 제공한다.FIG. 6 is an exemplary screen provided to a user in response to a Common Vulnerability and Exposure (CVE) information response to a Common Platform Enumeration (CPE) according to an exemplary embodiment of the present invention. Referring to FIG. 6, an example of a screen provided to a user in response to a CVE information response to a CPE includes CVE information about the CPE that the user has queried, CVSS score, number of related IOCs, cumulative average value, And provides the user with the desired CVE item through priority sorting for each item.

추가적으로 CVSS 점수 부분을 상세 조회 시 해당 CVE의 접근 위치, 접근 복잡도, 인증 횟수, 기밀성 영향도, 무결성 영향도, 가용성 영향도 정보를 제공하며, 관련 IOC 부분 상세 조회 시 해당 CVE가 포함된 IOC의 사건 ID, 관련 사건 ID, 발견 일시, 시작 일시, 종료 일시, 보고 일시, 설명, 평가, 사용 기법, 연락처 정보를 제공한다. 또한 사용자 분석 부분을 상세 조회 시 과거 사용자가 분석했던 결과를 각각의 효과지표와 분석에 활용했던 CPE, CVE 리스트를 제공할 수 있다.In addition, when the CVSS score part is inquired in detail, it provides information on access location, access complexity, number of authentication, confidentiality degree, integrity impact degree, availability impact degree of corresponding CVE, and IOC event ID, related event ID, date and time of discovery, date and time of start, end date, date and time of report, description, evaluation, usage technique, and contact information. In addition, it can provide a list of CPE and CVE that used the results analyzed by the past users in each effect indicator and analysis when detailing the user analysis part.

명세서에 기재된 "…부", "모듈" 등의 용어는 적어도 하나의 기능이나 동작을 처리하는 단위를 의미하며, 이는 하드웨어나 소프트웨어 또는 하드웨어 및 소프트웨어의 결합으로 구현될 수 있다.The terms " part, "" module," and the like, which are described in the specification, denote a unit for processing at least one function or operation, and may be implemented by hardware or software or a combination of hardware and software.

하드웨어 구현에 있어, 상술한 기능을 수행하기 위해 디자인된 ASIC(application specific integrated circuit), DSP(digital signal processing), PLD(programmable logic device), FPGA(field programmable gate array), 프로세서, 제어기, 마이크로프로세서, 다른 전자 유닛 또는 이들의 조합으로 구현될 수 있다. 소프트웨어 구현에 있어, 상술한 기능을 수행하는 모듈로 구현될 수 있다. 소프트웨어는 메모리 유닛에 저장될 수 있고, 프로세서에 의해 실행된다. 메모리 유닛이나 프로세서는 당업자에게 잘 알려진 다양한 수단을 채용할 수 있다(DSP), a programmable logic device (PLD), a field programmable gate array (FPGA), a processor, a controller, a microprocessor, and the like, which are designed to perform the above- , Other electronic units, or a combination thereof. In software implementation, it may be implemented as a module that performs the above-described functions. The software may be stored in a memory unit and executed by a processor. The memory unit or processor may employ various means well known to those skilled in the art

100: 보안 취약점 데이터베이스
400: 표준 데이터 기반 보안 취약점 대응 시스템
410: 입력부
420: 질의 처리 모듈
430: 시나리오 생성 모듈
440: 모의 모듈
450: 네트워크100: Security Vulnerability Database
400: Standard Data Foundation Security Vulnerability Response System
410:
420: Query Processing Module
430: scenario generation module
440: Simulation module
450: Network

Claims (6)

사이버전 구성모의 환경에서 사이버전 시나리오 작성 및 유효성 확인을 위한 표준 데이터 기반 보안 취약점 대응 방법에 있어서,
(a) 시나리오 생성 모듈이 사이버 공격 모의를 위해 사이버전 시나리오를 생성하여 모델을 배치하고 배치된 모델의 속성을 변경하는 단계;
(b) 질의 처리 모듈이 CVE(Common Vulnerability and Exposure)에 대해 취약한 CPE(Common Platform Enumeration) 정보를 미리 설정되어 있는 보안 취약점 데이터베이스로 질의하는 단계;
(c) 상기 질의 처리 모듈이 CPE 플랫폼 정보에 대한 취약점 CVE 정보를 상기 보안 취약점 데이터베이스로 질의하는 단계;
(d) 상기 질의 처리 모듈이 상기 CVE에 대한 CVSS(Common Vulnerability Scoring System) 정보를 상기 보안 취약점 데이터베이스로 질의하는 단계;
(e) 상기 질의 처리 모듈이 상기 CVE에 대한 관련 IOC(Indicators of Compromise) 정보를 보안 취약점 데이터베이스로 질의하는 단계;
(f) 상기 질의 처리 모듈이 상기 CVE에 대한 사용자 분석 결과를 상기 보안 취약점 데이터베이스로 질의하는 단계;
(g) 상기 질의 처리 모듈이 CVE 설명(Description) 관련 키워드를 상기 보안 취약점 데이터베이스로 질의하는 단계;
(h) 모의 모듈이 상기 사이버전 시나리오를 기반으로 모의를 수행하는 단계; 및
(i) 상기 질의 처리 모듈이 사이버전 공격에 대한 유효성 확인 정보를 상기 보안 취약점 데이터베이스로 질의하는 단계;
를 포함하는 것을 특징으로 하는 사이버전 시나리오 작성 및 유효성 확인을 위한 표준 데이터 기반 보안 취약점 대응 방법.
In a standard data foundation security vulnerability countermeasure method for creating and verifying the interim scenario in the environment of the interim version configuration,
(a) creating a sideview scenario for the cyber attack simulation by the scenario generation module, arranging the model and changing attributes of the deployed model;
(b) querying the Common Platform Vulnerability and Exposure (CVE) with weak Common Platform Enumeration (CPE) information to a predefined security vulnerability database;
(c) querying the vulnerability CVE information for the CPE platform information by the query processing module to the vulnerability database;
(d) querying the Common Vulnerability Scoring System (CVSS) information for the CVE by the query processing module to the vulnerability database;
(e) the query processing module queries an IOC (Indicators of Compromise) information about the CVE to a security vulnerability database;
(f) the query processing module querying the security vulnerability database for a user analysis result for the CVE;
(g) querying the CVE description related keyword to the security vulnerability database by the query processing module;
(h) performing a simulation based on the interim version scenario by the simulated module; And
(i) the query processing module querying the security vulnerability database for validation information for an interim version attack;
And generating a SIDVISION scenario and verifying validity of the SIDVISION scenario.
제1항에 있어서,
상기 (i) 단계는 해당 CPE가 CVE 취약점을 보유하고 있어서 피해 가능성이 있는지를 응답 값으로 도출하여 제공하는 단계;를 더 포함하는 것을 특징으로 하는 사이버전 시나리오 작성 및 유효성 확인을 위한 표준 데이터 기반 보안 취약점 대응 방법.
The method according to claim 1,
The method of claim 1, wherein the step (i) further comprises the step of providing, as a response value, whether the CPE has a CVE vulnerability, How to respond to the vulnerability.
제 1 항에 있어서,
상기 보안 취약점 데이터베이스는 표 1에 의해 생성되는 것을 특징으로 하는 사이버전 시나리오 작성 및 유효성 확인을 위한 표준 데이터 기반 보안 취약점 대응 방법.
[표 1]
Figure 112017019212827-pat00001
The method according to claim 1,
Wherein the security vulnerability database is generated according to Table 1, and a standard data-based security vulnerability countermeasure method for creating and validating a saver version scenario.
[Table 1]
Figure 112017019212827-pat00001
 제 3 항에 있어서,
상기 IOC 테이블은 침해사건 ID(Identification), 관련 사건 ID, 발견 일시, 시작 일시, 종료 일시, 보고 일시, 설명, 평가, 사용 기법, 연락처 정보를 포함하며,
상기 IOC-CVE 맵핑 테이블은 사건 ID, CVE ID 정보를 포함하며,
상기 CVE-CPE-CWE 맵핑 테이블 CVE ID, CVSS 점수, CVSS 접근 위치, CVSS 접근 복잡도, CVSS 인증 횟수, CVSS 기밀성 영향도, CVSS 무결성 영향도, CVSS 가용성 영향도, 출처, CWE ID 정보를 포함하며,
상기 CPE 사전 테이블은 CVE ID, CPE ID 정보를 포함하며,
상기 CVE-CWE 맵핑 테이블은 CVE ID, CWE ID 정보를 포함하며,
상기 CWE 기본 정보 테이블은 CWE ID, 분류, 취약점명, 상태, 설명 정보를 포함하며,
상기 분석 결과 테이블은 분석 결과 ID, 공격 성공률, 방어 성공률, 호스트 감염률, 호스트 감염 차단률, IER(Information Exchange Requirement) 성공률 정보를 포함하며,
상기 분석 결과 CPE 테이블은 분석 결과 ID, CPE ID 정보를 포함하며,
상기 분석 결과 CVE 테이블은 분석 결과 ID, CVE ID 정보를 포함하며,
상기 CVE 기본 정보 테이블은 CVE ID, 상태, 설명, 관련 IOC 수, 누적 공격 성공률, 누적 방어 성공률, 누적 호스트 감염률, 누적 호스트 감염 차단률, 누적 IER 성공률, 사용자 분석 횟수 정보를 포함하며,
상기 CVE 레퍼런스 테이블은 CVE ID, 정보출처, 정보출처 관리 ID, 레퍼런스 URL(uniform resource locator) 정보를 포함하며,
상기 CWE 취약성 범위 테이블은 CWE ID, 취약점 영향 분류 정보를 포함하며,
상기 CWE 기술 영향도 테이블은 CWE ID, 기술영향도 분류 정보를 포함하며,
상기 CVE-Cyber Effect 맵핑 테이블은 CVE ID, 사이버 효과 ID 정보를 포함하며,
상기 CVE-CVE 키워드 맵핑 테이블은 CVE ID, 공격 위치, 공격 행위자, 공격 행위 정보를 포함하며,
상기 검색 키워드 테이블은 공격 위치, 공격 행위자, 공격 행위 정보를 포함하며,
상기 CVE-CVE 키워드 맵핑 테이블은 사이버 효과 ID, 공격 위치, 공격 행위자 정보를 포함하는 것을 특징으로 하는 사이버전 시나리오 작성 및 유효성 확인을 위한 표준 데이터 기반 보안 취약점 대응 방법.
The method of claim 3,
The IOC table includes an infringement event ID, an incident event ID, a discovery date and time, a start date and time, an end date and time, a report date and time, a description, an evaluation,
The IOC-CVE mapping table includes an event ID and CVE ID information,
The CVE-CPE-CWE mapping table includes CVE ID, CVSS score, CVSS access location, CVSS access complexity, CVSS authentication count, CVSS confidentiality impact degree, CVSS integrity impact degree, CVSS availability impact degree, source, CWE ID information,
The CPE dictionary table includes CVE ID and CPE ID information,
The CVE-CWE mapping table includes CVE ID and CWE ID information,
The CWE basic information table includes a CWE ID, a classification, a vulnerability name, a status, and explanation information,
The analysis result table includes the ID of the analysis result, the attack success rate, the defense success rate, the host infection rate, the host infection blocking rate, and the information exchange requirement (IER) success rate information,
As a result of the analysis, the CPE table includes an analysis result ID and CPE ID information,
As a result of the analysis, the CVE table includes an analysis result ID and CVE ID information,
The CVE basic information table includes CVE ID, status, description, related IOC count, accumulated attack success rate, cumulative defense success rate, cumulative host infection rate, cumulative host infection blocking rate, accumulated IER success rate,
The CVE reference table includes a CVE ID, an information source, an information source management ID, and a reference URL (uniform resource locator)
The CWE vulnerability range table includes a CWE ID and vulnerability impact classification information,
The CWE technology influence table includes CWE ID, technical impact classification information,
The CVE-Cyber Effect mapping table includes a CVE ID and cyber effect ID information,
The CVE-CVE keyword mapping table includes a CVE ID, an attack position, an attacking agent, and attacking action information,
Wherein the search keyword table includes an attack position, an attack agent, and attack behavior information,
Wherein the CVE-CVE keyword mapping table includes a cyber-effect ID, an attack location, and attacker information.
제4항에 있어서,
응답된 CVE 정보를 CVSS 점수, 관련 IOC 수, 누적 효과지표, 사용자 분석 횟수를 기반으로 정렬하여 시나리오 작성 목적 관련도가 높은 취약점을 우선 제시하며,
상기 관련 IOC 수를 기반으로 정렬은 사이버 침해 사고 정보를 공유하기 위한 IOC의 정보에 포함되어 있는 CVE 자료를 활용하여 해당 CVE가 포함된 IOC 수를 기준으로 사용하며, 상기 누적 효과지표를 기반으로 정렬은 해당 CVE가 포함된 시나리오 실행 결과로 산출된 각 사이버전 효과지표의 평균값을 사용하며, 상기 사용자 분석 횟수를 기반으로 정렬은 사용자에 의해 해당 CVE가 분석에 사용된 횟수를 기준으로 하는 것을 특징으로 하는 사이버전 시나리오 작성 및 유효성 확인을 위한 표준 데이터 기반 보안 취약점 대응 방법.
5. The method of claim 4,
The respondent CVE information is sorted based on the CVSS score, the number of related IOCs, the cumulative effect index, and the number of users analyzed.
The sorting based on the number of related IOCs is performed based on the number of IOCs containing the CVE using the CVE data included in the information of the IOC for sharing the cyber infringement accident information, Is used as an average value of the interim effect indicators calculated as a result of executing the scenario including the CVE, and the sorting is based on the number of times the corresponding CVE is used by the user based on the user analysis count. How to respond to standard data foundation security vulnerabilities for creating version scenarios and validating them.
사이버전 구성모의 환경에서 사이버전 시나리오 작성 및 유효성 확인을 위한 표준 데이터 기반 보안 취약점 대응 시스템에 있어서,
입력부에 의해 생성되는 입력정보를 통해 사이버 공격 모의를 위해 사이버전 시나리오를 생성하여 모델을 배치하고 배치된 모델의 속성을 변경하는 시나리오 생성 모듈;
CVE(Common Vulnerability and Exposure)에 대한 취약한 CPE(Common Platform Enumeration) 정보를 미리 설정되는 보안 취약점 데이터베이스로 질의하고, 상기 질의 처리 모듈이 CPE 플랫폼 정보에 대한 취약점 CVE 정보를 상기 보안 취약점 데이터베이스로 질의하고, 상기 질의 처리 모듈이 상기 CVE에 대한 CVSS(Common Vulnerability Scoring System) 정보를 상기 보안 취약점 데이터베이스로 질의하고, 상기 CVE에 대한 관련 IOC(Indicators of Compromise) 정보를 보안 취약점 데이터베이스로 질의하고, 상기 질의 처리 모듈이 상기 CVE에 대한 사용자 분석 결과를 상기 보안 취약점 데이터베이스로 질의하고, 상기 질의 처리 모듈이 CVE 설명(Description) 관련 키워드를 상기 보안 취약점 데이터베이스로 질의하는 질의 처리 모듈; 및
상기 사이버전 시나리오를 기반으로 모의를 수행하는 모의 모듈;을 포함하며,
상기 질의 처리 모듈이 사이버전 공격에 대한 유효성 확인 정보를 상기 보안 취약점 데이터베이스로 질의하는 것을 특징으로 하는 사이버전 시나리오 작성 및 유효성 확인을 위한 표준 데이터 기반 보안 취약점 대응 시스템.In a standard data foundation security vulnerability countermeasure system for creating and validating interim scenarios in the environment of a middleware version,
A scenario generation module for generating an interim scenario for the cyber attack simulation through the input information generated by the input unit and arranging the model and changing attributes of the deployed model;
The method includes: querying vulnerable Common Platform Enumeration (CPE) information for Common Vulnerability and Exposure (CVE) to a previously set security vulnerability database; querying the vulnerability CVE information for the CPE platform information to the vulnerability database; The inquiry processing module queries the CVS information about the CVE to the security vulnerability database, queries the relevant IOC (Indicators of Compromise) information about the CVE to the security vulnerability database, A query processing module for querying the user analysis result of the CVE with the security vulnerability database and the query processing module querying the CVE description related keyword to the security vulnerability database; And
And a simulation module that performs simulation based on the Said version scenario,
Wherein the query processing module queries the security vulnerability database for validation information on the sideview attack, and generates a sideview scenario and validates the security vulnerability.
KR1020170024614A 2017-02-24 2017-02-24 Design and System for managing Security Vulnerability based Standard Dataset for Developing and Validating Cyber Warfare Scenarios KR101897395B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020170024614A KR101897395B1 (en) 2017-02-24 2017-02-24 Design and System for managing Security Vulnerability based Standard Dataset for Developing and Validating Cyber Warfare Scenarios

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020170024614A KR101897395B1 (en) 2017-02-24 2017-02-24 Design and System for managing Security Vulnerability based Standard Dataset for Developing and Validating Cyber Warfare Scenarios

Publications (2)

Publication Number Publication Date
KR20180097885A KR20180097885A (en) 2018-09-03
KR101897395B1 true KR101897395B1 (en) 2018-09-10

Family

ID=63593983

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020170024614A KR101897395B1 (en) 2017-02-24 2017-02-24 Design and System for managing Security Vulnerability based Standard Dataset for Developing and Validating Cyber Warfare Scenarios

Country Status (1)

Country Link
KR (1) KR101897395B1 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102324489B1 (en) * 2019-11-22 2021-11-11 한국전자통신연구원 Method for calculating risk for industrial control system and apparatus using the same

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100851521B1 (en) * 2007-01-31 2008-08-11 성균관대학교산학협력단 Cyber Attack System for Vulnerability Assessment and Method Thereof
KR101079442B1 (en) * 2010-03-22 2011-11-03 주식회사 퓨쳐시스템 Apparatus and Method for Incident Response
US9954884B2 (en) * 2012-10-23 2018-04-24 Raytheon Company Method and device for simulating network resiliance against attacks
KR101460589B1 (en) 2014-04-10 2014-11-12 한국정보보호연구소 주식회사 Server for controlling simulation training in cyber warfare

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
김영인 외 1인, "효과 기반 작전 방법론을 적용한 V-C 연동체계에서 전투효과 분석방법 연구", Journal of the korea academy-industrial cooperation society, Vol.13,No.3, pp.1337-1345, 2012.
김철호, "국방 사이버 공격 및 대응 체계기술", 국방과학연구소, 2014.06.24.

Also Published As

Publication number Publication date
KR20180097885A (en) 2018-09-03

Similar Documents

Publication Publication Date Title
US10162967B1 (en) Methods and systems for identifying legitimate computer files
Costin et al. A {Large-scale} analysis of the security of embedded firmwares
US9602529B2 (en) Threat modeling and analysis
US11693962B2 (en) Malware clustering based on function call graph similarity
US9990501B2 (en) Diagnosing and tracking product vulnerabilities for telecommunication devices via a database
US10362052B2 (en) Generating a virtual database to test data security of a real database
EP3371953B1 (en) System and methods for detecting domain generation algorithm (dga) malware
Musa Shuaibu et al. Systematic review of web application security development model
US20150213272A1 (en) Conjoint vulnerability identifiers
US20210240829A1 (en) Malware Clustering Based on Analysis of Execution-Behavior Reports
US20190114341A1 (en) Generic runtime protection for transactional data
CN104375935B (en) The test method and device of SQL injection attack
KR101897395B1 (en) Design and System for managing Security Vulnerability based Standard Dataset for Developing and Validating Cyber Warfare Scenarios
KR101639869B1 (en) Program for detecting malignant code distributing network
CN115001724B (en) Network threat intelligence management method, device, computing equipment and computer readable storage medium
Srivastava et al. Verity: Blockchains to detect insider attacks in DBMS
de Castro et al. EVINCED: Integrity verification scheme for embedded systems based on time and clock cycles
US20170200013A1 (en) Determining terms for security test
CN114598509B (en) Method and device for determining vulnerability result
WO2016199582A1 (en) Cyberattack countermeasure range prioritizing system, and cyberattack countermeasure range prioritizing method
Bhagat et al. Preventing SQLIA using ORM Tool with HQL
Garfinkel Android Forensics
Ruia et al. An indexing method for efficient querying of an attack graph
Bamodu et al. Secure Web Based System Development
Krishnamoorthi et al. Fuzzy Expert System in Requirement Based System Test Case Prioritization of New and Regression Test Cases

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant