KR101910787B1 - 침해 사고 그래프 데이터베이스에서의 사이버 킬 체인 분류 방법 및 그 장치 - Google Patents

침해 사고 그래프 데이터베이스에서의 사이버 킬 체인 분류 방법 및 그 장치 Download PDF

Info

Publication number
KR101910787B1
KR101910787B1 KR1020170026410A KR20170026410A KR101910787B1 KR 101910787 B1 KR101910787 B1 KR 101910787B1 KR 1020170026410 A KR1020170026410 A KR 1020170026410A KR 20170026410 A KR20170026410 A KR 20170026410A KR 101910787 B1 KR101910787 B1 KR 101910787B1
Authority
KR
South Korea
Prior art keywords
ckc
classification
infringement
attribute
graph database
Prior art date
Application number
KR1020170026410A
Other languages
English (en)
Other versions
KR20180099246A (ko
Inventor
조혜선
이슬기
김낙현
김병익
Original Assignee
한국인터넷진흥원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국인터넷진흥원 filed Critical 한국인터넷진흥원
Priority to KR1020170026410A priority Critical patent/KR101910787B1/ko
Publication of KR20180099246A publication Critical patent/KR20180099246A/ko
Application granted granted Critical
Publication of KR101910787B1 publication Critical patent/KR101910787B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/901Indexing; Data structures therefor; Storage structures
    • G06F16/9024Graphs; Linked lists
    • G06F17/30958

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Databases & Information Systems (AREA)
  • Data Mining & Analysis (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

본 발명의 일 실시 예에 따른 침해 사고 그래프 데이터베이스에서의 사이버 킬 체인 분류 방법은, 사이버 킬 체인(CKC, Cyber Kill Chain) 분류 장치가, 침해 사고 그래프 데이터베이스(Graph Database)를 구성하는 모든 노드(Node)에 CKC 속성을 생성하고, 상기 생성한 CKC 속성값을 초기화하는 단계, 상기 사이버 킬 체인 분류 장치가, 상기 침해 사고 그래프 데이터베이스 내에서 CKC 분류를 위한 단일 침해 사고를 선택하는 단계, 상기 사이버 킬 체인 분류 장치가, 상기 선택한 단일 침해 사고를 구성하는 모든 노드 및 상기 노드를 연결하는 모든 에지(Edge)에 대하여 부여된 속성인 연결관계(Relationship)에 대하여 제1 내지 제3 CKC 분류 기준 중 어느 하나 이상을 이용하여 CKC 분류를 수행하는 단계 및 상기 사이버 킬 체인 분류 장치가, 상기 수행한 CKC 분류 결과에 따라 상기 선택한 단일 침해 사고를 구성하는 모든 노드에 대하여 상기 초기화한 CKC 속성값을 업데이트하는 단계를 포함한다.

Description

침해 사고 그래프 데이터베이스에서의 사이버 킬 체인 분류 방법 및 그 장치{METHOD AND APPARATUS FOR CLASSIFYING CYBER KILL CHAIN IN GRAPH DATABASE CORRESPONDING INCIDENT}
본 발명은 침해 사고 그래프 데이터베이스에서의 사이버 킬 체인 분류 방법 및 그 장치에 관한 것이다. 보다 자세하게는, 침해 사고 그래프 데이터베이스 내에서 선택한 단일 침해 사고에 대하여 사이버 킬 체인 분류를 수행하는 방법 및 그 장치에 관한 것이다.
급증하고 있는 침해 사고에 대응하기 위하여 국내외 공공 기관 및 민간 기업 사이에서 침해 사고와 관련된 정보가 공유되고 있다. 나아가, 공유된 침해 사고에 대한 정보를 인텔리전스(intelligence) 정보로 정제하여 관리함으로써, 침해 자원에 의한 공격을 사전에 방어하기 위한 다양한 방법이 시도되고 있다.
일 예로, 일 예로, 침해 자원의 그래프 데이터베이스(Graph Database) 구축(이하, "침해 사고 그래프 데이터베이스"라고 한다.)을 들 수 있다. 침해 사고 그래프 데이터베이스는 침해 자원 및 침해 자원의 속성을 노드에 저장하고, 노드 사이를 연결하는 에지의 속성 값에 연결 관계(RelationShip)를 기록한 형태를 나타내는바, 전체적인 구조가 매우 간단하여 침해 자원의 체계적인 관리가 가능하며, 침해 자원에 의한 공격을 사전에 방어하기 위한 전략을 수립하는데 매우 용이하다.
한편, 침해 자원에 의한 공격을 사전에 방어하기 위한 또 다른 방법 중에, 록히드마틴사에서 최초 제안한, 네트워크상의 침입자들이 목적을 달성하기 위해 수행하는 사이버 공격의 일련의 과정을 7단계로 정의한 사이버 킬 체인(Cyber Kill Chain)이 최근 주목 받고 있으며, 각 단계와 그에 대한 설명은 도 1에서 확인할 수 있다. 사이버 킬 체인이 주목 받는 이유는 사이버 공격의 각 단계를 체계적으로 분류해 놓았기 때문에 침해 사고의 전체적인 흐름 파악이 용이하며, 이를 통해 한 단계라도 탐지나 방어가 성공한다면 침입자의 공격을 사전에 차단할 수 있기 때문이다.
이렇듯 침해 자원에 의한 공격을 사전에 방어하기 위한 전략 중 하나인 침해 사고 그래프 데이터베이스와 사이버 킬 체인은 침해 자원을 이용한다는 넓은 의미의 공통점을 제외하고는 기술적으로 전혀 상이한 개념이나, 침해 사고 그래프 데이터베이스에 사이버 킬 체인의 개념을 도입한다면 각각의 장점에 따른 시너지 효과를 예상할 수 있을 것이다. 그러나 기술적으로 해결해야 하는 과제가 많으며, 대표적으로 침해 사고 그래프 데이터베이스에 저장된, 그리고 새롭게 저장될 무수히 많은 침해 자원을 사이버 킬 체인의 각 단계에 정확하고 체계적으로 매칭시켜 분류하는 것을 들 수 있다. 본 발명은 이와 관련된 것이다.
대한민국 공개특허공보 제10-2015-0081889호(2015.07.15)
본 발명이 해결하고자 하는 기술적 과제는 침해 자원을 기초로 구축한 침해 사고 그래프 데이터베이스를 구성하는 모든 노드에 대하여 사이버 킬 체인 모델을 도입해 침해 사고를 분류함으로써 침해 사고에 대한 전략 수립이 용이한 침해 사고 그래프 데이터베이스에서의 사이버 킬 체인 분류 방법 및 그 장치를 제공하는 것이다.
본 발명의 기술적 과제들은 이상에서 언급한 기술적 과제들로 제한되지 않으며, 언급되지 않은 또 다른 기술적 과제들은 아래의 기재로부터 통상의 기술자에게 명확하게 이해될 수 있을 것이다.
상기 기술적 과제를 달성하기 위한 본 발명의 일 실시 예에 따른 침해 사고 그래프 데이터베이스에서의 사이버 킬 체인 분류 방법은, 사이버 킬 체인(CKC, Cyber Kill Chain) 분류 장치가, 침해 사고 그래프 데이터베이스(Graph Database)를 구성하는 모든 노드(Node)에 CKC 속성을 생성하고, 상기 생성한 CKC 속성값을 초기화하는 단계, 상기 사이버 킬 체인 분류 장치가, 상기 침해 사고 그래프 데이터베이스 내에서 CKC 분류를 위한 단일 침해 사고를 선택하는 단계, 상기 사이버 킬 체인 분류 장치가, 상기 선택한 단일 침해 사고를 구성하는 모든 노드 및 상기 노드를 연결하는 모든 에지(Edge)에 대하여 부여된 속성인 연결관계(Relationship)에 대하여 제1 내지 제3 CKC 분류 기준 중 어느 하나 이상을 이용하여 CKC 분류를 수행하는 단계 및 상기 사이버 킬 체인 분류 장치가, 상기 수행한 CKC 분류 결과에 따라 상기 선택한 단일 침해 사고를 구성하는 모든 노드에 대하여 상기 초기화한 CKC 속성값을 업데이트하는 단계를 포함한다.
일 실시 예에 따르면, 상기 침해 사고 그래프 데이터베이스는, 상기 침해 사고 그래프 데이터베이스를 구성하는 모든 노드와 상기 노드를 연결하는 모든 에지에 대하여 부여된 연결관계(Relationship)에 따라 하나 이상의 침해 사고 노드(Incident Node) 또는 침해 사고 그룹 노드가 형성된 것일 수 있다.
일 실시 예에 따르면, 상기 CKC 속성값을 초기화하는 단계는, 상기 생성한 CKC 속성값을 General로 초기화하며, 상기 General은, 정찰(Reconnaissance), 무기화(Weaponization), 전달(Delivery), 익스플로잇(Exploitation), 설치(Installation), 명령제어(Command and Control) 및 활동(Actions on Objectives)으로 구성된 CKC 분류로 분류가 불가능한 침해자원을 저장하기 위한 속성값일 수 있다.
일 실시 예에 따르면, 상기 CKC 분류를 수행하는 단계에서, 상기 제1 CKC 분류는 수집채널에 의한 CKC 분류, 상기 제2 CKC 분류는 연관정보에 의한 CKC 분류, 상기 제3 CKC 분류는 참조정보에 의한 CKC 분류 일 수 있다.
일 실시 예에 따르면, 상기 CKC 분류를 수행하는 단계에서, 상기 수집채널에 의한 CKC 분류, 연관정보에 의한 CKC 분류 및 참조정보에 의한 CKC 분류를 순차적으로 수행할 수 있다.
일 실시 예에 따르면, 상기 수집채널에 의한 CKC 분류는, 상기 선택한 단일 침해 사고를 구성하는 모든 노드에 대한 Origin 속성을 추출하는 단계 및
상기 추출한 Origin 속성값이 제1 내지 제7 수집채널 중 어느 하나에 해당하는지 순차적으로 판단하는 단계를 포함할 수 있다.
일 실시 예에 따르면, 상기 연관정보에 의한 CKC 분류는, 상기 선택한 단일 침해 사고를 구성하는 모든 노드를 연결하는 에지에 대하여 부여된 속성인 연결관계를 추출하는 단계 및 상기 추출한 연결관계가 제1 내지 제2 연관정보 중 어느 하나에 해당하는지 순차적으로 판단하는 단계를 포함할 수 있다.
일 실시 예에 따르면, 상기 참조정보에 의한 CKC 분류는, 상기 선택한 단일 침해 사고를 구성하는 모든 노드 및 상기 노드와 연결된 에지에 대하여 부여된 속성이 연결관계를 추출하는 단계 및 상기 추출한 연결관계가 제1 참조정보에 해당하는지 판단하는 단계를 포함하며, 상기 추출한 연결관계가 제1 참조정보에 해당한다고 판단한 경우, 상기 초기화한 CKC 속성값을 업데이트 하는 단계는, 상기 연결관계가 부여된 에지에 연결된 노드에 대하여 상기 노드의 참조 노드에 부여된 CKC 속성값을 상기 노드의 CKC 속성값으로 업데이트하는 단계를 포함할 수 있다.
또한, 상기 기술적 과제를 달성하기 위한 본 발명의 일 실시 예에 따른 기록매체에 저장된 컴퓨터 프로그램은 컴퓨팅 장치와 결합하여, 침해 사고 그래프 데이터베이스(Graph Database)를 구성하는 모든 노드(Node)에 CKC 속성을 생성하고, 상기 생성한 CKC 속성값을 초기화하는 단계, 상기 침해 사고 그래프 데이터베이스 내에서 CKC 분류를 위한 단일 침해 사고를 선택하는 단계, 상기 선택한 단일 침해 사고를 구성하는 모든 노드 및 상기 노드를 연결하는 모든 에지(Edge)에 대하여 부여된 속성인 연결관계(Relationship)에 대하여 제1 내지 제3 CKC 분류 기준 중 어느 하나 이상을 이용하여 CKC 분류를 수행하는 단계 및
상기 수행한 CKC 분류 결과에 따라 상기 선택한 단일 침해 사고를 구성하는 모든 노드에 대하여 상기 초기화한 CKC 속성값을 업데이트하는 단계를 포함한다.
또한, 상기 기술적 과제를 달성하기 위한 본 발명의 일 실시 예에 따른 침해 사고 그래프 데이터베이스를 위한 사이버 킬 체인 분류 장치는 침해 사고 그래프 데이터베이스(Graph Database)를 구성하는 모든 노드(Node)에 CKC 속성을 생성하고, 상기 생성한 CKC 속성값을 초기화하는 CKC 속성 생성부, 상기 침해 사고 그래프 데이터베이스 내에서 CKC 분류를 위한 단일 침해 사고를 선택하는 침해 사고 선택부, 상기 침해 사고 선택부가 선택한 단일 침해 사고를 구성하는 모든 노드 및 상기 노드를 연결하는 모든 에지(Edge)에 대하여 부여된 속성인 연결관계(Relationship)에 대하여 제1 내지 제3 CKC 분류 기준 중 어느 하나 이상을 이용하여 CKC 분류를 수행하는 CKC 분류부 및 상기 CKC 분류부가 수행한 CKC 분류 결과에 따라 상기 침해 사고 선택부가 선택한 단일 침해 사고를 구성하는 모든 노드에 대하여 상기 CKC 속성 생성부가 초기화한 CKC 속성값을 업데이트하는 CKC 속성 업데이트부를 포함한다.
일 실시 예에 따르면, 상 기 제1 CKC 분류는 수집채널에 의한 CKC 분류, 상기 제2 CKC 분류는 연관정보에 의한 CKC 분류, 상기 제3 CKC 분류는 참조정보에 의한 CKC 분류일 수 있다.
일 실시 예에 따르면, 상기 CKC 분류부는, 상기 수집채널에 의한 CKC분류, 연관정보에 의한 CKC 분류 및 참조정보에 의한 CKC 분류를 순차적으로 수행할 수 있다.
일 실시 예에 따르면, 상기 CKC 분류부는, 상기 침해 사고 선택부가 선택한 단일 침해 사고를 구성하는 모든 노드에 대한 Origin 속성을 추출하고, 상기 추출한 Origin 속성값이 제1 내지 제7 수집채널 중 어느 하나에 해당하는지 순차적으로 판단하는 제1 CKC 분류부를 포함할 수 있다.
일 실시 예에 따르면, 상기 CKC 분류부는, 상기 침해 사고 선택부가 선택한 단일 침해 사고를 구성하는 모든 노드를 연결하는 에지에 대하여 부여된 속성인 연결관계를 추출하고, 상기 추출한 연결관계가 제1 내지 제2 연관정보 중 어느 하나에 해당하는지 순차적으로 판단하는 제2 CKC 분류부를 포함할 수 있다.
일 실시 예에 따르면, 상기 CKC 분류부는, 상기 침해 사고 선택부가 선택한 단일 침해 사고를 구성하는 모든 노드 및 상기 노드와 연결된 에지에 대하여 부여된 속성이 연결관계를 추출하고, 상기 추출한 연결관계가 제1 참조정보에 해당하는지 판단하는 제3 CKC 분류부를 포함하며, 상기 제3 CKC 분류부가, 상기 추출한 연결관계가 제1 참조정보에 해당한다고 판단한 경우, 상기 CKC 속성 업데이트부는, 상기 연결관계가 부여된 에지에 연결된 노드에 대하여 상기 노드의 참조 노드에 부여된 CKC 속성값을 상기 노드의 CKC 속성값으로 업데이트할 수 있다.
상기와 같은 본 발명에 따르면, 침해 자원을 기초로 구축한 침해 사고 그래프 데이터베이스를 구성하는 모든 노드에 대하여 사이버 킬 체인 모델을 도입해 침해 사고를 분류함으로써 침해 사고에 대한 전략 수립이 용이해질 수 있는 효과가 있다.
또한, 기존이 발생했던 유사한 침해 사고가 사이버 킬 체인 모델로 정리되어 있기 때문에 향후 발생할 수 있는 공격에 대한 예측이 가능해질 것이며, 더 나아가, 향후 공격에 대한 사전 탐지와 사이버 킬 체인의 각 단계에 따른 맞춤형 전략 수립도 가능해질 수 있는 효과가 있다.
본 발명의 효과들은 이상에서 언급한 효과들로 제한되지 않으며, 언급되지 않은 또 다른 효과들은 아래의 기재로부터 통상의 기술자에게 명확하게 이해 될 수 있을 것이다.
도 1은 사이버 킬 체인의 각 단계과 그에 대한 설명을 나타낸 도면이다.
도 2는 침해 사고 노드와 침해 사고 그룹 노드를 포함하는 침해 사고 그래프데이터베이스를 예시적으로 나타낸 도면이다.
도 3은 본 발명의 일 실시 예에 따른 침해 사고 그래프 데이터베이스를 위한 사이버 킬 체인 분류 장치의 전체 구성을 나타낸 도면이다.
도 4는 본 발명의 일 실시 예에 따른 침해 사고 그래프 데이터베이스에서의 사이버 킬 체인 분류 방법의 순서도를 나타낸 도면이다.
도 5는 본 발명의 일 실시 예에 따른 사이버 킬 체인 분류 방법, 보다 구체적으로 수집채널에 의한 CKC 분류의 순서도를 나타낸 도면이다.
도 6은 도 5의 수집채널에 의한 CKC 분류의 순서도를 세분화한 순서도를 나타낸 도면이다.
도 7은 본 발명의 일 실시 예에 따른 사이버 킬 체인 분류 방법, 보다 구체적으로 연관정보에 의한 CKC 분류의 순서도를 나타낸 도면이다
도 8은 도 7의 연관정보에 의한 CKC 분류의 순서도를 세분화한 순서도를 나타낸 도면이다.
도 9는 본 발명의 일 실시 예에 따른 사이버 킬 체인 분류 방법, 보다 구체적으로 참조정보에 의한 CKC 분류의 순서도를 나타낸 도면이다.
도 10은 수집채널에 의한 CKC 분류, 연관정보에 의한 CKC 분류 및 참조정보에 의한 CKC 분류를 테이블로 나타낸 도면이다.
이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시 예를 상세히 설명한다. 본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시 예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 게시되는 실시 예에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시 예들은 본 발명의 게시가 완전하도록 하고, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다. 명세서 전체에 걸쳐 동일 참조 부호는 동일 구성 요소를 지칭한다.
다른 정의가 없다면, 본 명세서에서 사용되는 모든 용어(기술 및 과학적 용어를 포함)는 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에게 공통적으로 이해될 수 있는 의미로 사용될 수 있을 것이다. 또 일반적으로 사용되는 사전에 정의되어 있는 용어들은 명백하게 특별히 정의되어 있지 않는 한 이상적으로 또는 과도하게 해석되지 않는다. 본 명세서에서 사용된 용어는 실시 예들을 설명하기 위한 것이며 본 발명을 제한하고자 하는 것은 아니다. 본 명세서에서, 단수형은 문구에서 특별히 언급하지 않는 한 복수형도 포함한다.
본 명세서에서 사용되는 "포함한다 (comprises)" 및/또는 "포함하는 (comprising)"은 언급된 구성 요소, 단계, 동작 및/또는 소자는 하나 이상의 다른 구성 요소, 단계, 동작 및/또는 소자의 존재 또는 추가를 배제하지 않는다.
본 명세서에서, 침해 사고는 정보처리 시스템을 구성하는 자산을 대상으로 악의적 행위(Malicious Act)가 수행된 사례를 의미한다. 또한, 침해 자원은 악성 행위자, 악성 행위 수행을 위한 인프라 및 악성 도구와 같은 침해 사고와 연관된 모든 정보로서, 예를 들어, 아이피(IP), 도메인(Domain), 이메일(E-mail) 및 악성코드 등을 포함할 수 있다.
또한, 본 발명을 설명하기에 앞서, 침해 사고 그래프 데이터베이스의 기본적인 형태는 이미 구축되어 있다는 것을 전제로 한다. 구체적으로, 네트워크를 통해 수집한 다양한 침해 자원이 노드에 저장되어 있으며, 각 노드 사이의 연결 관계가 에지를 통해 연결되어 있다.
더 나아가, 구축된 침해 사고 그래프 데이터베이스에는 침해 자원간의 일정한 연결관계(Relationship)에 따라 침해 사고 노드 및 침해 사고 그룹 노드가 생성되어 있는 상태이며, 이에 대해서는 도 2에 도시되어 있다.
이하, 본 발명에 대하여 첨부된 도면에 따라 보다 상세히 설명한다.
도 3은 본 발명의 일 실시 예에 따른 침해 사고 그래프 데이터베이스를 위한 사이버 킬 체인 분류 장치(100, 이하 "사이버 킬 체인 분류 장치"라 한다)의 전체 구성을 나타낸 도면이다.
사이버 킬 체인 분류 장치(100)는 CKC 속성 생성부(10), 침해 사고 선택부(20), CKC 분류뷰(30) 및 CKC 속성 업데이트부(40)를 포함할 수 있으며, 기타 본 발명의 목적을 달성함에 있어서 필요한 부가적인 구성들 역시 모두 포함할 수 있고, 필요에 따라 일부 구성이 삭제될 수도 있음은 물론이다.
한편, 여기서 기재하는 용어 CKC는 사이버 킬 체인(Cyber Kill Chain)의 약자로써, 작성의 편의에 의해 부여한 명칭임을 미리 밝힌다.
CKC 속성 생성부(10)는 침해 사고 그래프 데이터베이스를 구성하는 모든 노드에 CKC 속성을 생성하고, 생성한 CKC 속성값을 초기화한다.
여기서 침해 사고 그래프 데이터베이스는 복수의 노드를 포함하고 있으며, 여기서 노드는 IP, Domain, Hash등이 저장된 자원노드(Resource Node)와 Email, Domain Name, Location 등이 저장된 속성노드(Attribute Node)를 모두 포함할 수 있다.
이러한 노드는 기본적인 속성을 이미 가지고 있으나, CKC 속성 생성부(10)에 의해 별도의 CKC 속성이 생성되는 것이며, 이는 기본적인 속성과 별도로 관리될 수 도 있고, 함께 관리될 수도 있다.
CKC 속성 생성부(10)는 노드에 대하여 생성한 CKC 속성의 속성값을 초기화하며, 여기서 초기화는 속성값을 General로 설정하는 것이다. 보다 구체적으로 General은 정찰(Reconnaissance), 무기화(Weaponization), 전달(Delivery), 익스플로잇(Exploitation), 설치(Installation), 명령제어(Command and Control) 및 활동(Actions on Objectives)으로 구성된 사이버 킬 체인의 각 단계로 분류되기 이전 상태의 침해자원뿐만 아니라 분류가 어렵거나 불가능한 상태의 침해자원까지 모두 포함하는 개념이다. 아울러, 여기서 General이라는 용어는 하나의 예시일 뿐이며, 상기 설명한 바와 같은 역할을 수행하는 경우 어떠한 용어를 사용하여 속성값을 초기화하여도 무방하다.
CKC 속성 생성부(10)에 의해 속성값이 General로 초기화되면 침해자원이 사이버 킬 체인의 각 단계로 분류되기 이전의 상태가 된다.
침해 사고 선택부(20)는 침해 사고 그래프 데이터베이스 내에서 CKC 분류를 위한 단일 침해 사고를 선택한다.
여기서 단일 침해 사고는 도 2에 도시된 침해 사고 노드 및 침해 사고 그룹 노드 중 어떠한 것이라도 무방하며, 심지어 단일의 노드라도 무방하다. 복수의 침해 사고를 선택하는 경우도 가능할 수 있겠으나, 이 경우 CKC 분류를 수행함에 있어 과부하가 걸려 전체 프로세스가 더디게 진행될 수 있으므로 삼가는 것이 바람직할 것이다.
CKC 분류부(30)는 침해 사고 선택부(20)가 선택한 단일 침해 사고를 구성하는 모든 노드 및 상기 노드를 연결하는 모든 에지에 대하여 부여된 속성인 연결관계에 대하여 제1 내지 제3 CKC 분류 기준 중 어느 하나 이상을 이용하여 CKC 분류를 수행한다.
여기서 제1 내지 제3 CKC 분류는 수집채널에 의한 CKC 분류, 연관정보에 의한 CKC 분류, 참조정보에 의한 CKC 분류일 수 있으며, 수집채널에 의한 CKC 분류, 연관정보에 의한 CKC 분류 및 참조정보에 의한 CKC 분류를 순차적으로 수행하는 것이 바람직하다. 예를 들어, 수집채널에 의한 CKC 분류를 수행한 이후에 속성값이 General인 노드가 존재한다면 연관정보에 의한 CKC 분류를 수행하며, 연관정보에 의한 CKC 분류를 수행한 이후에도 속성값이 General인 노드가 존재한다면 참조정보에 의한 CKC 분류를 수행할 수 있다. 따라서, CKC 분류를 수행한 이후에 속성값이 General인 노드가 존재하지 않는다면 연관정보에 의한 CKC 분류는 수행하지 않을 수 있으며, 연관정보에 의한 CKC 분류를 수행한 이후에 속성값이 General인 노드가 존재하지 않는다면 참조정보에 의한 CKC 분류 역시 수행하지 않을 수 있다.
한편, CKC 분류부(30)는 수집채널에 의한 CKC 분류를 수행하는 제1 CKC 분류부(31), 연관정보에 의한 CKC 분류를 수행하는 제2 CKC 분류부(32) 및 참조정보에 의한 CKC 분류를 수행하는 제3 CKC 분류부(33)를 포함할 수 있으나, 각각에 대해서는 후술할 본 발명의 일 실시 예에 따른 침해 사고 그래프 데이터베이스에서의 사이버 킬 체인 분류 방법에서 자세하게 설명하도록 한다.
CKC 속성 업데이트부(40)는 CKC 분류부(30)가 수행한 CKC 분류 결과에 따라 침해 사고 선택부(20)가 선택한 단일 침해 사고를 구성하는 모든 노드에 대하여 상기 CKC 속성 생성부(10)가 초기화한 CKC 속성값을 업데이트한다.
여기서 CKC 속성값의 업데이트는 사이버 킬 체인의 각 단계로 분류된 결과를 업데이트 하는 것이다. 예를 들어, 특정 노드에 대한 CKC 분류 결과가 정찰(Reconnaissance)이라면, CKC 속성값은 General에서 정찰(Reconnaissance)로 업데이트되며, CKC 분류 결과가 무기화(Weaponization)라면, CKC 속성값은 General에서 무기화(Weaponization)로 업데이트 된다.
한편, CKC 속성 업데이트부(40)는 CKC 속성 생성부(10)가 생성하고 초기화한 CKC 속성값을 업데이트하는 역할만 수행하기 때문에 사이버 킬 체인 분류 장치(100)에서 별도의 구성으로 구비하지 않을 수도 있으며, 이 경우 CKC 속성 업데이트는 CKC 속성 생성부(10) 또는 CKC 분류부(30)가 자체적으로 수행할 수 있다.
지금까지 본 발명의 일 실시 예에 따른 사이버 킬 체인 분류 장치(100)의 전체적인 구성에 대하여 설명하였다. 이하, 본 발명의 또 다른 실시 예에 따른 침해 사고 그래프 데이터베이스에서의 사이버 킬 체인 분류 방법(이하, "사이버 킬 체인 분류 방법"이라 한다)에 대하여 설명하도록 한다.
도 4는 본 발명의 일 실시 예에 따른 사이버 킬 체인 분류 방법의 순서도를 나타낸 도면이다. 그러나 이는 본 발명의 목적을 달성함에 있어 바람직한 실시 예일 뿐이며, 필요에 따라 일부 단계가 추가되거나 삭제될 수 있음은 물론이다.
아울러, 각 단계는 상기 도 3을 참조하며 설명한 사이버 킬 체인 분류 장치(100)가 포함하는 각 구성들에 의해 수행되나, 설명의 편의를 위해 사이버 킬 체인 분류 장치(100)가 수행하는 것으로 통일하도록 한다.
우선, 사이버 킬 체인 분류 장치(100)가 침해 사고 그래프 데이터베이스를 구성하는 모든 노드에 CKC 속성을 생성하고, 생성한 CKC 속성값을 초기화한다(S410).
여기서 침해 사고 그래프 데이터베이스는 복수의 노드를 포함하고 있으며, 여기서 노드는 IP, Domain, Hash등이 저장된 자원노드(Resource Node)와 Email, Domain Name, Location 등이 저장된 속성노드(Attribute Node)를 모두 포함할 수 있다.
이러한 노드는 기본적인 속성을 이미 가지고 있으나, 사이버 킬 체인 분류 장치(100)에 의해 별도의 CKC 속성이 생성되는 것이며, 이는 기본적인 속성과 별도로 관리될 수 도 있고, 함께 관리될 수도 있다.
사이버 킬 체인 분류 장치(100)는 노드에 대하여 생성한 CKC 속성의 속성값을 초기화하며, 여기서 초기화는 속성값을 General로 설정하는 것이다. 보다 구체적으로 General은 정찰(Reconnaissance), 무기화(Weaponization), 전달(Delivery), 익스플로잇(Exploitation), 설치(Installation), 명령제어(Command and Control) 및 활동(Actions on Objectives)으로 구성된 사이버 킬 체인의 각 단계로 분류되기 이전 상태의 침해자원뿐만 아니라 분류가 어렵거나 불가능한 상태의 침해자원까지 모두 포함하는 개념이다. 아울러, 여기서 General이라는 용어는 하나의 예시일 뿐이며, 상기 설명한 바와 같은 역할을 수행하는 경우 어떠한 용어를 사용하여 속성값을 초기화하여도 무방하다.
사이버 킬 체인 분류 장치(100)에 의해 속성값이 General로 초기화되면 침해자원이 사이버 킬 체인의 각 단계로 분류되기 이전의 상태가 된다.
이후, 사이버 킬 체인 분류 장치(100)가 침해 사고 그래프 데이터베이스에서 CKC 분류를 위한 단일 침해 사고를 선택한다(S420).
여기서 단일 침해 사고는 도 2에 도시된 침해 사고 노드 및 침해 사고 그룹 노드 중 어떠한 것이라도 무방하며, 심지어 단일의 노드라도 무방하다. 복수의 침해 사고를 선택하는 경우도 가능할 수 있겠으나, 이 경우 CKC 분류를 수행함에 있어 과부하가 걸려 전체 프로세스가 더디게 진행될 수 있으므로 삼가는 것이 바람직할 것이다.
다음으로, 사이버 킬 체인 분류 장치(100)가 상기 선택한 단일 침해 사고를 구성하는 모든 노드 및 상기 노드를 연결하는 모든 에지에 대하여 부여된 속성인 연결관계에 대하여 제1 내지 제3 CKC 분류 기준 중 어느 하나 이상을 이용하여 CKC 분류를 수행한다(S430).
여기서 제1 내지 제3 CKC 분류는 수집채널에 의한 CKC 분류, 연관정보에 의한 CKC 분류, 참조정보에 의한 CKC 분류일 수 있으며, 수집채널에 의한 CKC 분류, 연관정보에 의한 CKC 분류 및 참조정보에 의한 CKC 분류를 순차적으로 수행할 수도 있다. 예를 들어, 수집채널에 의한 CKC 분류를 수행한 이후에 속성값이 General인 노드가 존재한다면 연관정보에 의한 CKC 분류를 수행하며, 연관정보에 의한 CKC 분류를 수행한 이후에도 속성값이 General인 노드가 존재한다면 참조정보에 의한 CKC 분류를 수행할 수 있다. 따라서, CKC 분류를 수행한 이후에 속성값이 General인 노드가 존재하지 않는다면 연관정보에 의한 CKC 분류는 수행하지 않을 수 있으며, 연관정보에 의한 CKC 분류를 수행한 이후에 속성값이 General인 노드가 존재하지 않는다면 참조정보에 의한 CKC 분류 역시 수행하지 않을 수 있다.
이하, 도 5 내지 9를 참조하며 수집채널에 의한 CKC 분류, 연관정보에 의한 CKC 분류, 참조정보에 의한 CKC 분류 각각에 대한 설명을 하도록 한다.
도 5는 본 발명의 일 실시 예에 따른 사이버 킬 체인 분류 방법, 보다 구체적으로 수집채널에 의한 CKC 분류의 순서도를 나타낸 도면이다. 그러나 이는 본 발명의 목적을 달성함에 있어 바람직한 실시 예일 뿐이며, 필요에 따라 일부 단계가 추가되거나 삭제될 수 있음은 물론이다.
우선, 사이버 킬 체인 분류 장치(100)가 CKC 분류를 위해 선택한 단일 침해 사고를 구성하는 모든 노드에 대한 Origin 속성을 추출한다(S510).
여기서 Origin 속성은 mal_emai, Cshare_inf_ip, Cshare_Atk_IP, Dnsbh, mal_email, Cshare_Via, Cshare_Spread, mac0de, CVE, Cshare_MalPC, Virus_share, Cuckoo_analysis, Cshare_CnC 및 Cuckoo_network 중 어느 하나일 수 있다.
다음으로, 추출한 Origin 속성의 속성값이 제1 내지 제7 수집채널 중 어느 하나에 해당하는지 순차적으로 판단한다(S520).
여기서 제1 내지 제7 수집채널은 사이버 킬 체인의 각 단계를 의미하며, 예를 들어 제1 채널은 정찰(Reconnaissance), 제2 채널은 무기화(Weaponization), 제3 채널은 전달(Delivery), 제4 채널은 익스플로잇(Exploitation), 제5 채널은 설치(Installation), 제6 채널은 명령제어(Command and Control) 및 제7 채널은 활동(Actions on Objectives)일 수 있다.
아울러, 순차적으로 판단한다는 것은 도 6을 참조하면 확인할 수 있는바, 사이버 킬 체인 분류 장치(100)는 추출한 Origin 속성이 mal_emai 또는 Cshare_inf_ip에 해당하는지 판단하여(S521) 해당한다면 CKC 속성값을 정찰(Reconnaissance, 제1 채널)로(S522), 해당하지 않는다면 추출한 Origin 속성이 Cshare_Atk_IP 또는 Dnsbh에 해당하는지 판단한다(S523). 판단결과 해당한다면 CKC 속성값을 무기화(Weaponization, 제2 채널)로(S524), 해당하지 않는다면 추출한 Origin 속성이 mal_email, Cshare_Via, Cshare_Spread 또는 mac0de 중 어느 하나에 해당하는지 판단한다(S525). 판단결과 해당한다면 CKC 속성값을 전달(Delivery, 제3 채널)로(S526), 해당하지 않는다면 추출한 Origin 속성이 CVE에 해당하는지 판단한다(S527). 판단결과 해당한다면 CKC 속성값을 익스플로잇(Exploitation, 제4 채널)으로(S528), 해당하지 않는다면 추출한 Origin 속성이 Cshare_MalPC, Virus_share 또는 Cuckoo_analysis에 해당하는지 판단한다(S529), 판단결과 해당한다면 CKC 속성값을 설치(Installation, 제5 채널)로(S531), 해당하지 않는다면 추출한 Origin 속성이 Cshare_CnC에 해당하는지 판단한다(S532). 판단결과 해당한다면 CKC 속성값을 명령제어(Command and Control, 제6 채널)로(S533), 해당하지 않는다면 추출한 Origin 속성이 Cuckoo_network에 해당하는지 판단한다(S534). 판단결과 해당한다면 CKC 속성값을 활동(Actions on Objectives, 제7 채널)으로(S535), 해당하지 않는다면 종료되어 연관정보에 의한 CKC 분류로 넘어간다.
이렇게 추출한 Origin 속성이 특정 수집채널에 해당하는지 판단하며, 특정 수집채널에 해당하지 않다고 판단되는 경우 CKC 속성은 종래의 General이 그대로 유지되어 다음 단계로 넘어가게 된다. 예를 들어, 추출한 Origin 속성이 mal_emai 또는 Cshare_inf_ip에 해당하는지 판단하여 해당한다면 CKC 속성값은 정찰(Reconnaissance, 제1 채널)이 되나, 해당하지 않는다면 그대로 General을 유지한 상태에서 Cshare_Atk_IP 또는 Dnsbh에 해당하는지 판단한다. 따라서, 제7 채널에 해당하는지 까지 판단한 이후에 해당하지 않는다면 CKC 속성값이 General을 유지한 상태에서 종료되어 연관정보에 의한 CKC 분류로 넘어갈 것이다.
도 7은 본 발명의 일 실시 예에 따른 사이버 킬 체인 분류 방법, 보다 구체적으로 연관정보에 의한 CKC 분류의 순서도를 나타낸 도면이다. 그러나 이는 본 발명의 목적을 달성함에 있어 바람직한 실시 예일 뿐이며, 필요에 따라 일부 단계가 추가되거나 삭제될 수 있음은 물론이다.
우선, 사이버 킬 체인 분류 장치(100)가 CKC 분류를 위해 선택한 단일 침해 사고를 구성하는 모든 노드를 연결하는 에지에 대하여 부여된 속성인 연결관계를 추출한다(S710).
여기서 연결관계는 distriute, via, CNC 및 communicate 중 어느 하나일 수 있다.
다음으로, 추출한 연결관계가 제1 내지 제2 연관정보 중 어느 하나에 해당하는지 순차적으로 판단한다(S720).
여기서 제1 연관정보는 전달(Delivery), 제2 연관정보는 명령제어(Command and Control)일 수 있다. 어디로부터 전달되어 왔는지, 어디로부터 명령을 받아 어떠한 것을 제어하려 하는지에 대한 사항은 송신과 수신에 관련된 연관성이 존재하기 때문이다.
아울러, 순차적으로 판단한다는 것은 도 8을 참조하면 확인할 수 있는바, 사이버 킬 체인 분류 장치(100)는 추출한 연결관계가 distribute 또는 via에 해당하는지 판단하여(S721), 해당한다면 CKC 속성값을 전달(Delivery)로(S722), 해당하지 않는다면 추출한 연결관계가 CNC 또는 communicate에 해당하는지 판단한다(S723). 판단결과 해당한다면 CKC 속성값을 명령제어(Command and Control)로(S724), 해당하지 않는다면 종료되어 참조정보에 의한 CKC 분류로 넘어간다.
이렇게 추출한 연결관계가 특정 연관정보에 해당하는지 판단하며, 특정 연관정보에 해당하지 않다고 판단되는 경우 CKC 속성은 종래의 General이 그대로 유지되어 다음 단계로 넘어가게 된다. 예를 들어, 추출한 연결관계가 distribute 또는 via에 해당하는지 판단하여 해당한다면 CKC 속성값은 전달(Delivery)이 되나, 해당하지 않는다면 그대로 General을 유지한 상태에서 CNC 또는 communicate에 해당하는지 판단한다. 따라서, 제2 연관정보에 해당하는지 까지 판단한 이후에 해당하지 않는다면 CKC 속성값이 General을 유지한 상태에서 종료되어 참조정보에 의한 CKC 분류로 넘어갈 것이다.
도 9는 본 발명의 일 실시 예에 따른 사이버 킬 체인 분류 방법, 보다 구체적으로 참조정보에 의한 CKC 분류의 순서도를 나타낸 도면이다. 그러나 이는 본 발명의 목적을 달성함에 있어 바람직한 실시 예일 뿐이며, 필요에 따라 일부 단계가 추가되거나 삭제될 수 있음은 물론이다.
우선, 사이버 킬 체인 분류 장치(100)가 CKC 분류를 위해 선택한 단일 침해 사고를 구성하는 모든 노드 및 상기 노드와 연결된 에지에 대하여 부여된 속성인 연결관계를 추출한다(S910).
다음으로 추출한 연결관계가 제1 참조정보에 해당하는지 판단하고(S920), 해당한다면 CKC 속성값을 노드의 참조 노드에 부여된 CKC 속성값으로 부여한다(S930).
여기서, 제1 참조정보는 mapping 또는 registrant일 수 있으며, 참조정보에 의한 CKC 분류는 CKC 속성값이 부여된 노드에 대한 사항을 참조하기 때문에 수집채널에 의한 CKC 분류와 연관정보에 의한 CKC 분류가 수행된 이후에 수행되어야만 한다. 그러나 제1 참조정보에 해당하지 않는다면 CKC 속성값이 General인 상태로 종료된다.
상기 설명한 수집채널에 의한 CKC 분류, 연관정보에 의한 CKC 분류 및 참조정보에 의한 CKC 분류를 도 10에 테이블로 도시하였으며, 상기 S430단계 이후에 사이버 킬 체인 분류 장치(100)가 CKC 분류 결과에 따라 상기 선택한 단일 침해 사고를 구성하는 모든 노드에 대하여 초기화한 CKC 속성값을 업데이트한다(S440).
이 경우, S430단계를 통해 CKC 속성값이 부여된 노드의 경우 그에 해당하는 CKC 속성값의 업데이트가 수행될 것이며, CKC 속성값이 부여되지 않은 노드의 경우 CKC 속성값이 General인 상태 그대로 유지될 것이다.
아울러, S440단계는 별도의 단계가 아니라 S430단계에서 CKC 속성값이 부여되는 경우 실시간으로 수행될 수도 있다. 예를 들어, 사이버 킬 체인 분류 장치(100)는 추출한 Origin 속성이 mal_emai 또는 Cshare_inf_ip에 해당하는지 판단하여 해당한다면 CKC 속성값을 정찰(Reconnaissance, 제1 채널)로 곧바로 업데이트할 수 있다.
지금까지 설명한 S410 내지 S440단계에 따른 사이버 킬 체인 분류 방법에 따르면 침해 사고 그래프 데이터베이스에 저장된, 그리고 새롭게 저장될 무수히 많은 침해 자원을 사이버 킬 체인의 각 단계에 정확하고 체계적으로 매칭시켜 분류할 수 있으므로 침해 자원에 의한 공격을 사전에 방어하기 위한 전략 수립이 매우 용이해질 것이며, 기존이 발생했던 유사한 침해 사고가 사이버 킬 체인 모델로 정리되어 있기 때문에 향후 발생할 수 있는 공격에 대한 예측이 가능해질 것이다. 더 나아가, 향후 공격에 대한 사전 탐지까지 가능해질 것이며, 사이버 킬 체인의 각 단계에 따른 맞춤형 전략 수립도 가능해질 것이다.
아울러, 설명의 편의를 위해 모든 단계가 사이버 킬 체인 분류 장치(100)에 의해 수행된다고 하였으나, S410단계는 CKC 속성 생성부(10), S420단계는 침해 사고 선택부(20), S430 단계는 CKC 분류부(30), S440단계는 CKC 속성 업데이트부(40)에 의해 수행될 것이며, 수집채널에 의한 CKC 분류는 제1 CKC 분류부(31), 연관정보에 의한 CKC 분류는 제2 CKC 분류부(32), 참조정보에 의한 CKC 분류는 제3 CKC 분류부(33)에 의해 수행될 것이다.
한편, 본 발명의 일 실시 예에 따른 사이버 킬 체인 분류 방법은 컴퓨터에서 실행 가능한 저장 매체 또는 매체에 저장된 프로그램의 형태로 구현될 수 있으며, 이 경우 사이버 킬 체인 분류 방법의 모든 기술적 특징을 동일하게 구현할 수 있으나, 중복 서술을 방지하기 위해 자세한 설명은 생략하도록 한다.
이상 첨부된 도면을 참조하여 본 발명의 실시 예들을 설명하였지만, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자는 본 발명이 그 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 실시될 수 있다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시 예들은 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해해야만 한다.
100: 사이버 킬 체인 분류 장치
10: CKC 속성 생성부
20: 침해 사고 선택부
30: CKC 분류부
31: 제1 CKC 분류부
32: 제2 CKC 분류부
33: 제3 CKC 분류부
40: CKC 속성 업데이트부

Claims (15)

  1. 사이버 킬 체인(CKC, Cyber Kill Chain) 분류 장치가, 침해 사고 그래프 데이터베이스(Graph Database)를 구성하는 모든 노드(Node)에 CKC 속성을 생성하고, 상기 생성한 CKC 속성값을 초기화하는 단계;
    상기 사이버 킬 체인 분류 장치가, 상기 침해 사고 그래프 데이터베이스 내에서 CKC 분류를 위한 단일 침해 사고를 선택하는 단계;
    상기 사이버 킬 체인 분류 장치가, 상기 선택한 단일 침해 사고를 구성하는 모든 노드 및 상기 노드를 연결하는 모든 에지(Edge)에 대하여 부여된 속성인 연결관계(Relationship)에 대하여 제1 내지 제3 CKC 분류 기준 중 어느 하나 이상을 이용하여 CKC 분류를 수행하는 단계; 및
    상기 사이버 킬 체인 분류 장치가, 상기 수행한 CKC 분류 결과에 따라 상기 선택한 단일 침해 사고를 구성하는 모든 노드에 대하여 상기 초기화한 CKC 속성값을 업데이트하는 단계;
    를 포함하는 침해 사고 그래프 데이터베이스에서의 사이버 킬 체인 분류 방법.
  2. 제1항에 있어서,
    상기 침해 사고 그래프 데이터베이스는,
    상기 침해 사고 그래프 데이터베이스를 구성하는 모든 노드와 상기 노드를 연결하는 모든 에지에 대하여 부여된 연결관계(Relationship)에 따라 하나 이상의 침해 사고 노드(Incident Node) 또는 침해 사고 그룹 노드(Incident Group Node)가 형성된,
    침해 사고 그래프 데이터베이스에서의 사이버 킬 체인 분류 방법.
  3. 제1항에 있어서,
    상기 CKC 속성값을 초기화하는 단계는,
    상기 생성한 CKC 속성값을 General로 초기화하며,
    상기 General은,
    정찰(Reconnaissance), 무기화(Weaponization), 전달(Delivery), 익스플로잇(Exploitation), 설치(Installation), 명령제어(Command and Control) 및 활동(Actions on Objectives)으로 구성된 CKC 분류로 분류가 불가능한 침해자원을 저장하기 위한 속성값인,
    침해 사고 그래프 데이터베이스에서의 사이버 킬 체인 분류 방법.
  4. 제1항에 있어서,
    상기 CKC 분류를 수행하는 단계에서,
    상기 제1 CKC 분류는 수집채널에 의한 CKC 분류, 상기 제2 CKC 분류는 연관정보에 의한 CKC 분류, 상기 제3 CKC 분류는 참조정보에 의한 CKC 분류인,
    침해 사고 그래프 데이터베이스에서의 사이버 킬 체인 분류 방법.
  5. 제4항에 있어서,
    상기 CKC 분류를 수행하는 단계에서,
    상기 수집채널에 의한 CKC 분류, 연관정보에 의한 CKC 분류 및 참조정보에 의한 CKC 분류를 순차적으로 수행하는,
    침해사고 그래프 데이터베이스에서의 사이버 킬 체인 분류 방법.
  6. 제4항에 있어서,
    상기 수집채널에 의한 CKC 분류는,
    상기 선택한 단일 침해 사고를 구성하는 모든 노드에 대한 Origin 속성을 추출하는 단계; 및
    상기 추출한 Origin 속성값이 제1 내지 제7 수집채널 중 어느 하나에 해당하는지 순차적으로 판단하는 단계;
    를 포함하는 침해 사고 그래프 데이터베이스에서의 사이버 킬 체인 분류 방법.
  7. 제4항에 있어서,
    상기 연관정보에 의한 CKC 분류는,
    상기 선택한 단일 침해 사고를 구성하는 모든 노드를 연결하는 에지에 대하여 부여된 속성인 연결관계를 추출하는 단계; 및
    상기 추출한 연결관계가 제1 내지 제2 연관정보 중 어느 하나에 해당하는지 순차적으로 판단하는 단계;
    를 포함하는 침해 사고 그래프 데이터베이스에서의 사이버 킬 체인 분류 방법.
  8. 제4항에 있어서,
    상기 참조정보에 의한 CKC 분류는,
    상기 선택한 단일 침해 사고를 구성하는 모든 노드 및 상기 노드와 연결된 에지에 대하여 부여된 속성이 연결관계를 추출하는 단계; 및
    상기 추출한 연결관계가 제1 참조정보에 해당하는지 판단하는 단계;
    를 포함하며,
    상기 추출한 연결관계가 제1 참조정보에 해당한다고 판단한 경우, 상기 초기화한 CKC 속성값을 업데이트 하는 단계는,
    상기 연결관계가 부여된 에지에 연결된 노드에 대하여 상기 노드의 참조 노드에 부여된 CKC 속성값을 상기 노드의 CKC 속성값으로 업데이트하는 단계;
    를 포함하는 침해 사고 그래프 데이터베이스에서의 사이버 킬 체인 분류 방법.
  9. 컴퓨팅 장치와 결합하여,
    침해 사고 그래프 데이터베이스(Graph Database)를 구성하는 모든 노드(Node)에 CKC 속성을 생성하고, 상기 생성한 CKC 속성값을 초기화하는 단계;
    상기 침해 사고 그래프 데이터베이스 내에서 CKC 분류를 위한 단일 침해 사고를 선택하는 단계;
    상기 선택한 단일 침해 사고를 구성하는 모든 노드 및 상기 노드를 연결하는 모든 에지(Edge)에 대하여 부여된 속성인 연결관계(Relationship)에 대하여 제1 내지 제3 CKC 분류 기준 중 어느 하나 이상을 이용하여 CKC 분류를 수행하는 단계; 및
    상기 수행한 CKC 분류 결과에 따라 상기 선택한 단일 침해 사고를 구성하는 모든 노드에 대하여 상기 초기화한 CKC 속성값을 업데이트하는 단계;
    를 실행시키기 위하여, 기록매체에 저장된 컴퓨터 프로그램.
  10. 침해 사고 그래프 데이터베이스(Graph Database)를 구성하는 모든 노드(Node)에 CKC 속성을 생성하고, 상기 생성한 CKC 속성값을 초기화하는 CKC 속성 생성부;
    상기 침해 사고 그래프 데이터베이스 내에서 CKC 분류를 위한 단일 침해 사고를 선택하는 침해 사고 선택부;
    상기 침해 사고 선택부가 선택한 단일 침해 사고를 구성하는 모든 노드 및 상기 노드를 연결하는 모든 에지(Edge)에 대하여 부여된 속성인 연결관계(Relationship)에 대하여 제1 내지 제3 CKC 분류 기준 중 어느 하나 이상을 이용하여 CKC 분류를 수행하는 CKC 분류부; 및
    상기 CKC 분류부가 수행한 CKC 분류 결과에 따라 상기 침해 사고 선택부가 선택한 단일 침해 사고를 구성하는 모든 노드에 대하여 상기 CKC 속성 생성부가 초기화한 CKC 속성값을 업데이트하는 CKC 속성 업데이트부;
    를 포함하는 침해 사고 그래프 데이터베이스를 위한 사이버 킬 체인 분류 장치.
  11. 제10항에 있어서,
    상기 제1 CKC 분류는 수집채널에 의한 CKC 분류, 상기 제2 CKC 분류는 연관정보에 의한 CKC 분류, 상기 제3 CKC 분류는 참조정보에 의한 CKC 분류인,
    침해 사고 그래프 데이터베이스를 위한 사이버 킬 체인 분류 장치.
  12. 제11항에 있어서,
    상기 CKC 분류부는,
    상기 수집채널에 의한 CKC분류, 연관정보에 의한 CKC 분류 및 참조정보에 의한 CKC 분류를 순차적으로 수행하는,
    침해사고 그래프 데이터베이스에서의 사이버 킬 체인 분류 장치.
  13. 제11항에 있어서,
    상기 CKC 분류부는,
    상기 침해 사고 선택부가 선택한 단일 침해 사고를 구성하는 모든 노드에 대한 Origin 속성을 추출하고, 상기 추출한 Origin 속성값이 제1 내지 제7 수집채널 중 어느 하나에 해당하는지 순차적으로 판단하는 제1 CKC 분류부;
    를 포함하는 침해 사고 그래프 데이터베이스를 위한 사이버 킬 체인 분류 장치.
  14. 제11항에 있어서,
    상기 CKC 분류부는,
    상기 침해 사고 선택부가 선택한 단일 침해 사고를 구성하는 모든 노드를 연결하는 에지에 대하여 부여된 속성인 연결관계를 추출하고, 상기 추출한 연결관계가 제1 내지 제2 연관정보 중 어느 하나에 해당하는지 순차적으로 판단하는 제2 CKC 분류부;
    를 포함하는 침해 사고 그래프 데이터베이스를 위한 사이버 킬 체인 분류 장치.
  15. 제11항에 있어서,
    상기 CKC 분류부는,
    상기 침해 사고 선택부가 선택한 단일 침해 사고를 구성하는 모든 노드 및 상기 노드와 연결된 에지에 대하여 부여된 속성이 연결관계를 추출하고, 상기 추출한 연결관계가 제1 참조정보에 해당하는지 판단하는 제3 CKC 분류부;
    를 포함하며,
    상기 제3 CKC 분류부가, 상기 추출한 연결관계가 제1 참조정보에 해당한다고 판단한 경우, 상기 CKC 속성 업데이트부는,
    상기 연결관계가 부여된 에지에 연결된 노드에 대하여 상기 노드의 참조 노드에 부여된 CKC 속성값을 상기 노드의 CKC 속성값으로 업데이트하는,
    침해 사고 그래프 데이터베이스에서를 위한 사이버 킬 체인 분류 장치.
KR1020170026410A 2017-02-28 2017-02-28 침해 사고 그래프 데이터베이스에서의 사이버 킬 체인 분류 방법 및 그 장치 KR101910787B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020170026410A KR101910787B1 (ko) 2017-02-28 2017-02-28 침해 사고 그래프 데이터베이스에서의 사이버 킬 체인 분류 방법 및 그 장치

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020170026410A KR101910787B1 (ko) 2017-02-28 2017-02-28 침해 사고 그래프 데이터베이스에서의 사이버 킬 체인 분류 방법 및 그 장치

Publications (2)

Publication Number Publication Date
KR20180099246A KR20180099246A (ko) 2018-09-05
KR101910787B1 true KR101910787B1 (ko) 2018-10-23

Family

ID=63594769

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020170026410A KR101910787B1 (ko) 2017-02-28 2017-02-28 침해 사고 그래프 데이터베이스에서의 사이버 킬 체인 분류 방법 및 그 장치

Country Status (1)

Country Link
KR (1) KR101910787B1 (ko)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101576358B1 (ko) 2013-07-12 2015-12-11 경희대학교 산학협력단 온라인 분석 처리를 위한 그래프 큐브의 생성 방법
JP2016206943A (ja) 2015-04-22 2016-12-08 株式会社日立製作所 サイバー攻撃分析装置及びサイバー攻撃分析方法

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101711022B1 (ko) 2014-01-07 2017-02-28 한국전자통신연구원 제어 네트워크 침해사고 탐지 장치 및 탐지 방법

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101576358B1 (ko) 2013-07-12 2015-12-11 경희대학교 산학협력단 온라인 분석 처리를 위한 그래프 큐브의 생성 방법
JP2016206943A (ja) 2015-04-22 2016-12-08 株式会社日立製作所 サイバー攻撃分析装置及びサイバー攻撃分析方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
김지수-"사이버 킬 체인을 이용한 웹 공격 보안관제 모델 연구", 고려대학교 정보보호대학원: 사이버보안학과, pp1-45

Also Published As

Publication number Publication date
KR20180099246A (ko) 2018-09-05

Similar Documents

Publication Publication Date Title
EP3528461B1 (en) A cyber threat defense system protecting email networks with machine learning models
Kumar et al. An integrated rule based intrusion detection system: analysis on UNSW-NB15 data set and the real time online dataset
Mirheidari et al. Alert correlation algorithms: A survey and taxonomy
CN107517216B (zh) 一种网络安全事件关联方法
CN107800709B (zh) 一种生成网络攻击检测策略的方法及装置
US10282542B2 (en) Information processing apparatus, information processing method, and computer readable medium
CN103150509B (zh) 一种基于虚拟执行的病毒检测系统
Aung et al. An analysis of random forest algorithm based network intrusion detection system
CN106663169A (zh) 使用无监督式机器学习和优先权算法的高速威胁情报管理的系统及方法
JP5739034B1 (ja) 攻撃検知システム、攻撃検知装置、攻撃検知方法および攻撃検知プログラム
Ahmadian Ramaki et al. Causal knowledge analysis for detecting and modeling multi‐step attacks
CN113221109B (zh) 一种基于生成对抗网络的恶意文件智能分析方法
CN114499982B (zh) 蜜网动态配置策略生成方法、配置方法及存储介质
Qu et al. A network security situation evaluation method based on DS evidence theory
Ioannou et al. A Markov multi-phase transferable belief model: An application for predicting data exfiltration APTs
Aung et al. Hybrid intrusion detection system using k-means and classification and regression trees algorithms
Waguih A data mining approach for the detection of denial of service attack
CN113904795A (zh) 一种基于网络安全探针的流量快速精确检测方法
Alserhani Alert correlation and aggregation techniques for reduction of security alerts and detection of multistage attack
CN109344042A (zh) 异常操作行为的识别方法、装置、设备及介质
US10897472B1 (en) IT computer network threat analysis, detection and containment
KR101910787B1 (ko) 침해 사고 그래프 데이터베이스에서의 사이버 킬 체인 분류 방법 및 그 장치
CN105488394B (zh) 一种面向蜜罐系统进行入侵行为识别和分类的方法及系统
Mahmood et al. Analyzing NB, DT and NBtree intrusion detection algorithms
Kianmehr An incremental semi rule-based learning model for cybersecurity in cyberinfrastructures

Legal Events

Date Code Title Description
A201 Request for examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant