KR101929522B1 - STIX Conversion Apparatus and Method thereof - Google Patents

STIX Conversion Apparatus and Method thereof Download PDF

Info

Publication number
KR101929522B1
KR101929522B1 KR1020170135939A KR20170135939A KR101929522B1 KR 101929522 B1 KR101929522 B1 KR 101929522B1 KR 1020170135939 A KR1020170135939 A KR 1020170135939A KR 20170135939 A KR20170135939 A KR 20170135939A KR 101929522 B1 KR101929522 B1 KR 101929522B1
Authority
KR
South Korea
Prior art keywords
stix
data
field
security event
unit
Prior art date
Application number
KR1020170135939A
Other languages
Korean (ko)
Inventor
이석형
박지영
이교택
Original Assignee
주식회사 이글루시큐리티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 이글루시큐리티 filed Critical 주식회사 이글루시큐리티
Priority to KR1020170135939A priority Critical patent/KR101929522B1/en
Application granted granted Critical
Publication of KR101929522B1 publication Critical patent/KR101929522B1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/25Integrating or interfacing systems involving database management systems
    • G06F16/258Data format conversion from or to a database
    • G06F17/30569

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Databases & Information Systems (AREA)
  • Computer Hardware Design (AREA)
  • Data Mining & Analysis (AREA)
  • Computer And Data Communications (AREA)

Abstract

The present invention relates to a structured threat information expression (STIX) conversion apparatus and a STIX conversion method which can smoothly share security information among heterogeneous types of security equipment. More specifically, the present invention relates to a STIX conversion apparatus which comprises a STIX conversion module for converting security event data which are not formed as a STIX standard format into STIX data in the STIX standard format, and a STIX conversion method which comprises a STIX conversion step performed by the STIX conversion module.

Description

STIX 변환 장치 및 방법{STIX Conversion Apparatus and Method thereof}STIX Conversion Apparatus and Method < RTI ID = 0.0 >

본 발명은 STIX 변환 장치 및 방법에 관한 것으로 더욱 상세하게는, STIX(Structured Threat Information Expression) 표준 형식으로 이루어지지 않은 보안 이벤트 데이터를 STIX 표준 형식의 STIX 데이터로 변환하는 STIX 변환 모듈을 포함하는 STIX 변환 장치 및 STIX 변환 모듈에 의한 STIX 변환단계를 포함하는 STIX 변환 방법에 관한 것이다.The present invention relates to an STIX conversion apparatus and method, and more particularly, to an STIX conversion apparatus and method that includes an STIX conversion module for converting security event data not formed in a STIX (Structured Threat Information Expression) standard format into STIX standard format STIX data. And a STIX conversion method including an STIX conversion step by a STIX conversion module.

정보 시스템 및 각종 데이터 등을 포함하는 정보 자산은 기업, 공공기관 등과 같은 조직의 사업 영위에 있어 중요 자산이다. 근래 다양한 형태의 사이버 공격이 등장하면서 정보 자산에 위협 요인이 되는 취약 요소, 과거 공격 내역 등의 정보를 기반으로 사이버 보안 위협에 효과적으로 대응하는 방법을 의미하는 TI(Threat Intelligence)의 중요성이 부각되고 있다. TI를 통해 기존의 위협 정보를 수집·분석·활용함으로써, 지능형 지속 위협(APT)과 같은 공격을 사전에 방어할 수 있기 때문이다.Information assets, including information systems and various data, are important assets for the organization's business, such as corporations and public institutions. Recently, the importance of TI (Threat Intelligence), which means a method of effectively responding to cyber security threats based on information such as vulnerable factors and past attack details, which are threats to information assets, is emerging in various types of cyber attacks . TI can collect, analyze and utilize existing threat information to protect against attacks such as Intelligent Continuous Threat (APT).

최근에는 지능형 지속 위협과 같은 보안 위협에 대응하기 위해서 GTI(Global Threat Intelligence)가 중요하며, 이를 위해서 조직 간 위협정보의 공유가 필요하다는 데에 공감대가 형성되고 있다. 즉, 새로운 유형의 사이버 위협 공격은 개별적인 기존 보안 장비만으로는 인지되기 어렵기 때문에 효율적인 탐지와 대응을 위해서 위협정보를 공유 및 대응할 수 있는 위협 대응 체계의 구축 필요성이 커지고 있다.In recent years, GTI (Global Threat Intelligence) is important to cope with security threats such as intelligent persistent threats, and a consensus is formed that the sharing of threat information between organizations is required. In other words, the new types of cyber threat attacks are hardly perceived by individual existing security equipment. Therefore, it is necessary to construct a threat response system that can share and respond to threat information for efficient detection and response.

이와 관련하여 사이버 위협정보 관련 표준으로서 STIX(Structure Threat Information Expression)가 제시되고 있다. STIX는 사이버 보안 상황 인식, 실시간 네트워크 방어, 정교한 위협 분석에 대한 정보를 자동으로 공유하기 위해 설계된 언어이다. 구체적으로, STIX는 사이버공간에서 관찰 가능한 모든 이벤트 관련 구조체인 Observables, 위협지표를 위한 데이터 모음 구조체인 Indicators, 특정 적의 행동의 사례를 설명하는 구조체인 Incidents, 'Incident' 배후의 전략 및 기술, 절차 등 공격기법 관련 구조체인 Tactics,Techiniques and Procedure(TTP), 'TTP'의 수행주체, Campaign ThreatActor의 의도를 달성하기 위한 1개 이상의 Incident 및 TTP로 구성된 행위 등 공격자 관련 구조체인 ThreatActor, 'ThreatActor의 TTP' 실행을 위한 SW 및 시스템, 네트워크, 설정정보의 취약점 등 취약점 관련 구조체인 Exploit Targets, 'ExploitTarget' 치료 및 'Incident' 대응 등 리포트(Report) STIX 내용과 관련된 집합 등 대응관련 구조체인 Course of Action(COA) 등과 같은 다양한 구조체와 그들의 관계들로 구성되어 있다.In this regard, STIX (Structure Threat Information Expression) is proposed as a cyber threat information related standard. STIX is a language designed to automatically share information about cyber security situation awareness, real-time network defense, and sophisticated threat analysis. In particular, STIX is a collection of all observable event-related structures such as Observables, Indicators, a collection structure for threat indexes, Incidents that describe cases of specific enemy actions, and strategies, techniques, and procedures behind 'Incident' ThreatActor, ThreatActor's TTP, which is an attacker-related structure such as Tactics, Techiniques and Procedures (TTP), TTP agent, Campaign ThreatActor's intention, Exploit Targets, Exploit Targets, Incident Response, etc., which are vulnerability related structures such as SW for execution, weakness of system, network, and configuration information Report (Report) ), And so on.

그러나 종래 다양한 보안 장비(Firewall, IPS, IDS 등)에서 네트워크상의 트래픽을 수집하고 표현하는 데이터 형태는 STIX 등과 같은 표준을 따르는 것이 아니라 제조사 혹은 장비의 성격에 따라 각기 상이하여, 보안담당자가 수많은 장비마다 각기 다른 형태의 보안 이벤트 데이터를 보고 모두 이해하는 것이 매우 어려운 실정이다. 따라서 조직 간 위협정보의 공유를 통한 실효적인 GTI의 실현을 위해서는 이기종 보안장비에서 생성된 보안 이벤트 데이터가 정형화된 포맷에 맞추어 변환 및 정리되는 것이 반드시 필요하다.However, in the past, various types of data collecting and expressing traffic on the network in various security devices (firewalls, IPS, IDS, etc.) do not conform to standards such as STIX but are different according to the characteristics of the manufacturer or equipment. It is very difficult to understand and understand all the different types of security event data. Therefore, in order to realize an effective GTI by sharing the information of threats between organizations, it is essential that the security event data generated in the heterogeneous security device is converted and arranged according to the format of the format.

등록특허 10-1671594 "실시간 맞춤화된 위협 보호를 위한 시스템 및 방법", 2016. 11. 0110-1671594 "Systems and Methods for Real-Time Customized Threat Protection ", Nov. 01, 2016

본 발명은 전술한 종래기술의 문제점을 해결하기 위한 것으로,SUMMARY OF THE INVENTION The present invention has been made to solve the above problems of the prior art,

본 발명의 목적은, STIX(Structured Threat Information Expression) 표준 형식으로 이루어지지 않은 보안 이벤트 데이터를 STIX 표준 형식의 STIX 데이터로 변환함으로써 이기종 보안 장비 간의 보안 정보의 공유가 원활하게 이루어질 수 있게 해주는 STIX 변환 장치 및 방법을 제공하는 것이다.It is an object of the present invention to provide an STIX conversion device which can smoothly share security information between heterogeneous security devices by converting security event data not made in STIX (Structured Threat Information Expression) standard format into STIX standard format STIX data And a method thereof.

본 발명의 다른 목적은, 다양한 종류의 보안 장비로부터 수집된 보안 이벤트 데이터를 STIX 표준 형식으로 변환함으로써 지능형 지속 위협과 같은 보안 위협에 대응하기 위한 GTI(Global Threat Intelligence)를 실현할 수 있게 해주는 STIX 변환 장치 및 방법을 제공하는 것이다.It is another object of the present invention to provide an STIX transcoder which can realize GTI (Global Threat Intelligence) to cope with security threats such as intelligent continuous threat by converting security event data collected from various types of security equipment into STIX standard format And a method thereof.

본 발명의 또 다른 목적은, 보안 이벤트 데이터에서 필드 및 해당 필드의 데이터를 추출하고, 이를 STIX 표준의 옵저버블(Observables) 객체로 변환하는 STIX 변환 장치 및 방법을 제공하는 것이다.It is still another object of the present invention to provide an STIX conversion apparatus and method for extracting fields and corresponding field data from security event data and converting the data into observer objects of the STIX standard.

본 발명의 또 다른 목적은, 옵저버블(Observables) 객체를 수집하여 STIX 패키지(Package)를 생성하는 STIX 변환 장치 및 방법을 제공하는 것이다.It is still another object of the present invention to provide an STIX conversion apparatus and method for collecting observer objects to generate an STIX package.

본 발명은 앞서 본 목적을 달성하기 위해서 다음과 같은 구성을 가진 실시예에 의해서 구현된다.In order to achieve the above object, the present invention is implemented by the following embodiments.

본 발명의 일 실시예에 따르면, 본 발명의 STIX 변환 장치는, STIX(Structured Threat Information Expression) 표준 형식으로 이루어지지 않은 보안 이벤트 데이터를 STIX 표준 형식의 STIX 데이터로 변환하는 STIX 변환 모듈을 포함한다.According to an embodiment of the present invention, the STIX conversion apparatus of the present invention includes an STIX conversion module for converting security event data not formed in a STIX (Structured Threat Information Expression) standard format into STIX standard format STIX data.

본 발명의 다른 일 실시예에 따르면, 본 발명의 STIX 변환 장치는, 상기 STIX 변환 모듈은 상기 보안 이벤트 데이터에서 필드 및 해당 필드의 데이터를 추출하는 필드 추출부를 포함하는 것을 특징으로 한다.According to another embodiment of the present invention, in the STIX conversion apparatus of the present invention, the STIX conversion module includes a field extracting unit for extracting a field and data of a corresponding field from the security event data.

본 발명의 또 다른 일 실시예에 따르면, 본 발명의 STIX 변환 장치는, 상기 STIX 변환 모듈은 상기 필드 추출부에 의해 추출된 필드 및 해당 필드의 데이터를 STIX 표준의 옵저버블(Observables) 객체로 변환하는 STIX 데이터 모델 생성부를 더 포함하는 것을 특징으로 한다.According to another embodiment of the present invention, in the STIX conversion apparatus of the present invention, the STIX conversion module converts the field extracted by the field extraction unit and the data of the corresponding field into an Observables object of the STIX standard And a STIX data model generating unit.

본 발명의 또 다른 일 실시예에 따르면, 본 발명의 STIX 변환 장치는, 상기 STIX 변환 모듈은 상기 STIX 데이터 모델 생성부에 의해 생성된 옵저버블(Observables) 객체를 수집하여 STIX 패키지(Package)를 생성하는 STIX 데이터 생성부를 더 포함하는 것을 특징으로 한다.According to another embodiment of the present invention, in the STIX conversion apparatus of the present invention, the STIX conversion module collects Observables objects generated by the STIX data model generation unit to generate an STIX package And an STIX data generator for generating STIX data.

본 발명의 또 다른 일 실시예에 따르면, 본 발명의 STIX 변환 장치는, 상기 필드 추출부는 상기 보안 이벤트 데이터를 제이슨 오브젝트(JSON Object)로 변환하여, 필드를 추출하고 해당 필드의 데이터 존재유무를 확인하여 데이터가 존재할 경우 스트링(String) 형태로 저장하는 것을 특징으로 한다.According to another embodiment of the present invention, in the STIX conversion apparatus of the present invention, the field extracting unit converts the security event data into a JSON object, extracts a field, And stores the data in the form of a string when data exists.

본 발명의 또 다른 일 실시예에 따르면, 본 발명의 STIX 변환 장치는, 상기 STIX 데이터 모델 생성부는 상기 필드 추출부에 의해 추출된 필드 및 해당 필드의 데이터를 확인하여 해당 필드의 데이터가 널(null)이 아닌 경우에만 STIX 표준의 옵저버블(Observables) 객체로 변환하는 것을 특징으로 한다.According to another embodiment of the present invention, in the STIX conversion apparatus of the present invention, the STIX data model generation unit checks the field extracted by the field extraction unit and the data of the corresponding field, ) Is converted into an Observables object of the STIX standard only when it is not.

본 발명의 또 다른 일 실시예에 따르면, 본 발명의 STIX 변환 장치는, 상기 STIX 데이터 생성부는 STIX 패키지(Package) 생성 시 헤더(header)를 설정하되, 타이틀 및 시간 중 어느 하나 이상을 설정하는 것을 특징으로 한다.According to another embodiment of the present invention, in the STIX conversion apparatus of the present invention, the STIX data generation unit sets a header at the time of creating an STIX package, and sets at least one of a title and a time .

본 발명의 일 실시예에 따르면, 본 발명의 STIX 변환 방법은, STIX 변환 모듈이 STIX(Structured Threat Information Expression) 표준 형식으로 이루어지지 않은 보안 이벤트 데이터를 STIX 표준 형식의 STIX 데이터로 변환하는 STIX 변환단계를 포함한다.According to an embodiment of the present invention, the STIX conversion method of the present invention includes an STIX conversion step of converting STIX conversion module into STIX standard formatted security event data that is not formed in a STIX (Structured Threat Information Expression) standard format .

본 발명의 다른 일 실시예에 따르면, 본 발명의 STIX 변환 방법은, 상기 STIX 변환단계는 필드 추출부가 상기 보안 이벤트 데이터에서 필드 및 해당 필드의 데이터를 추출하는 필드 추출단계를 포함하는 것을 특징으로 한다.According to another embodiment of the present invention, in the STIX conversion method of the present invention, the STIX conversion step includes a field extracting step of extracting fields and corresponding field data from the security event data, .

본 발명의 또 다른 일 실시예에 따르면, 본 발명의 STIX 변환 방법은, 상기 STIX 변환단계는 STIX 데이터 모델 생성부가 상기 필드 추출부에 의해 추출된 필드 및 해당 필드의 데이터를 STIX 표준의 옵저버블(Observables) 객체로 변환하는 STIX 데이터 모델 생성단계를 더 포함하는 것을 특징으로 한다.According to another embodiment of the present invention, in the STIX conversion method of the present invention, in the STIX conversion step, the STIX data model generation unit converts the field extracted by the field extraction unit and the data of the corresponding field into an STIX standard observer Observables ") object in the STIX data model.

본 발명의 또 다른 일 실시예에 따르면, 본 발명의 STIX 변환 방법은, 상기 STIX 변환단계는 STIX 데이터 생성부가 상기 STIX 데이터 모델 생성부에 의해 생성된 옵저버블(Observables) 객체를 수집하여 STIX 패키지(Package)를 생성하는 STIX 데이터 생성단계를 더 포함하는 것을 특징으로 한다.According to another embodiment of the present invention, in the STIX conversion method of the present invention, the STIX data generation unit collects Observables objects generated by the STIX data model generation unit, (STIX) data generating step of generating the STIX data.

본 발명의 또 다른 일 실시예에 따르면, 본 발명의 STIX 변환 방법은, 상기 필드 추출단계는 상기 필드 추출부가 상기 보안 이벤트 데이터를 제이슨 오브젝트(JSON Object)로 변환하여, 필드를 추출하고 해당 필드의 데이터 존재유무를 확인하여 데이터가 존재할 경우 스트링(String) 형태로 저장하는 것을 특징으로 한다.According to another embodiment of the present invention, in the STIX conversion method of the present invention, in the field extracting step, the field extracting unit converts the security event data into a JSON object, extracts a field, The presence or absence of data is confirmed, and if data exists, the data is stored in the form of a string.

본 발명의 또 다른 일 실시예에 따르면, 본 발명의 STIX 변환 방법은, 상기 STIX 데이터 모델 생성단계는 상기 STIX 데이터 모델 생성부가 상기 필드 추출부에 의해 추출된 필드 및 해당 필드의 데이터를 확인하여 해당 필드의 데이터가 널(null)이 아닌 경우에만 STIX 표준의 옵저버블(Observables) 객체로 변환하는 것을 특징으로 한다.According to another embodiment of the present invention, in the STIX data model generation step of the present invention, the STIX data model generation unit checks the fields extracted by the field extraction unit and data of corresponding fields, And converts it into an STIX standard Observables object only when the data of the field is not null.

본 발명의 또 다른 일 실시예에 따르면, 본 발명의 STIX 변환 방법은, 상기 STIX 데이터 생성단계는 상기 STIX 데이터 생성부가 STIX 패키지(Package) 생성 시 헤더(header)를 설정하되, 타이틀 및 시간 중 어느 하나 이상을 설정하는 것을 특징으로 한다.According to another embodiment of the present invention, in the STIX conversion method of the present invention, in the STIX data generation step, the STIX data generation unit sets a header when generating an STIX package, And at least one of them is set.

본 발명은 전술한 구성을 통해 다음과 같은 효과를 제공한다.The present invention provides the following effects through the above-described configuration.

본 발명은 STIX(Structured Threat Information Expression) 표준 형식으로 이루어지지 않은 보안 이벤트 데이터를 STIX 표준 형식의 STIX 데이터로 변환함으로써 이기종 보안 장비 간의 보안 정보의 공유가 원활하게 이루어질 수 있게 해주는 STIX 변환 장치 및 방법을 제공하는 효과를 가진다.The present invention relates to an STIX conversion apparatus and method for enabling security information to be shared smoothly between heterogeneous security devices by converting security event data not in the STIX (Structured Threat Information Expression) standard format into STIX standard formatted STIX data .

본 발명은 다양한 종류의 보안 장비로부터 수집된 보안 이벤트 데이터를 STIX 표준 형식으로 변환함으로써 지능형 지속 위협과 같은 보안 위협에 대응하기 위한 GTI(Global Threat Intelligence)를 실현할 수 있게 해주는 STIX 변환 장치 및 방법을 제공하는 효과를 나타낸다.The present invention provides an STIX conversion apparatus and method that can realize a Global Threat Intelligence (GTI) for responding to a security threat such as an intelligent continuous threat by converting security event data collected from various types of security equipment into an STIX standard format .

본 발명은 보안 이벤트 데이터에서 필드 및 해당 필드의 데이터를 추출하고, 이를 STIX 표준의 옵저버블(Observables) 객체로 변환하는 STIX 변환 장치 및 방법을 제공하는 효과를 보여준다.The present invention provides an STIX conversion apparatus and method for extracting fields and corresponding field data from security event data and converting the data into observer objects of the STIX standard.

본 발명은 옵저버블(Observables) 객체를 수집하여 STIX 패키지(Package)를 생성하는 STIX 변환 장치 및 방법을 제공하는 효과가 있다.The present invention provides an STIX conversion apparatus and method for collecting observer objects to generate an STIX package.

도 1은 본 발명의 일 실시예에 따른 STIX 변환 장치의 구성도
도 2는 필드 추출부에 의해 추출된 필드 및 데이터의 일 실시예의 테이블
도 3 내지 5는 STIX 데이터 모델 생성부에 의해 생성된 STIX 데이터 모델의 실시예를 나타낸 도면
도 6은 본 발명의 STIX 변환 장치에 의해 생성된 STIX 데이터의 실시예를 나타낸 도면
도 7은 본 발명의 일 실시예에 따른 STIX 변환 방법의 순서도
도 8은 도 7의 전처리 단계의 일 실시예의 순서도
도 9는 도 7의 STIX 변환 단계의 일 실시예의 순서도1 is a block diagram of an STIX converter according to an embodiment of the present invention;
2 is a table of fields and data extracted by the field extracting unit in one embodiment
3 to 5 are diagrams showing an embodiment of the STIX data model generated by the STIX data model generation unit
6 is a diagram showing an embodiment of STIX data generated by the STIX conversion apparatus of the present invention
7 is a flow chart of the STIX conversion method according to an embodiment of the present invention
Figure 8 is a flow chart of one embodiment of the pre-
9 is a flow chart of one embodiment of the STIX conversion step of Fig. 7

이하에서는 본 발명에 따른 STIX(Structured Threat Information Expression) 변환 장치 및 방법을 첨부된 도면을 참조하여 상세히 설명한다. 특별한 정의가 없는 한 본 명세서의 모든 용어는 본 발명이 속하는 기술분야의 통상의 지식을 가진 기술자가 이해하는 당해 용어의 일반적 의미와 동일하고 만약 본 명세서에 사용된 용어의 의미와 충돌하는 경우에는 본 명세서에 사용된 정의에 따른다. 또한, 본 발명의 요지를 불필요하게 흐릴 수 있는 공지 기능 및 구성에 대해 상세한 설명은 생략한다.Hereinafter, a structured threat information expression (STIX) conversion apparatus and method according to the present invention will be described in detail with reference to the accompanying drawings. Unless defined otherwise, all terms used herein have the same meaning as commonly understood by one of ordinary skill in the art to which this invention belongs and, if conflict with the meaning of the terms used herein, It follows the definition used in the specification. Further, the detailed description of known functions and configurations that may unnecessarily obscure the subject matter of the present invention will be omitted.

도 1을 참조하면, 본 발명의 일 실시예에 따른 STIX 변환 장치(1)는 전처리 모듈(11) 및 STIX 변환 모듈(13)을 포함한다.Referring to FIG. 1, an STIX conversion apparatus 1 according to an embodiment of the present invention includes a preprocessing module 11 and a STIX conversion module 13.

상기 전처리 모듈(11)은 각종 보안 장비들(A1, A2, …, An)로부터 전송되는 보안 이벤트 데이터를 상기 STIX 변환 모듈(13)이 효율적으로 STIX 데이터로 변환할 수 있도록 전처리하는 역할을 수행한다. 전처리 모듈(11)은 보안 이벤트 데이터 수집부(111), 정규화부(112), 필드 추출 및 변환부(113)를 포함할 수 있다.The preprocessing module 11 preprocesses the security event data transmitted from the various security devices A1, A2, ..., An so that the STIX conversion module 13 can efficiently convert the security event data into STIX data . The pre-processing module 11 may include a security event data collection unit 111, a normalization unit 112, and a field extraction and conversion unit 113.

상기 보안 이벤트 데이터 수집부(111)는 각종 보안 장비들(A1, A2, …, An)로부터 보안 이벤트 데이터를 수집한다. 보안 이벤트 데이터 수집부(111)는 원격에 설치된 각 보안 장비(A1, A2, …, An)로부터 유무선 통신수단을 통해 보안 이벤트 데이터를 전송받을 수 있다. 각종 보안 장비들(A1, A2, …, An)은 STIX 표준이 아닌 고유의 포맷으로 보안 이벤트 데이터를 생성하는 장비들이며, 방화벽, IDS(Intrusion Detection System), IPS(Intrusion Prevention System), 웹 방화벽, L7 방화벽 등이 될 수 있다. 이와 같이 보안 이벤트 데이터 수집부(111)에 의해 수집되는 보안 이벤트 데이터는 서로 다른 이기종 장비들로부터 얻어질 수 있으며, 각 보안 이벤트 데이터는 그 출처가 되는 보안 장비별로 형태 즉, 포함하고 있는 필드의 종류, 개수, 데이터 포맷 등이 상이하다.The security event data collection unit 111 collects security event data from various security devices A1, A2, ..., An. The security event data collection unit 111 can receive security event data from each security equipment A1, A2, ..., An installed in the remote place through wired / wireless communication means. The various security devices A1, A2, ..., An are devices that generate security event data in a format other than the STIX standard. The security devices are firewalls, Intrusion Detection Systems (IDS), Intrusion Prevention Systems (IPS) L7 firewall, and the like. In this manner, the security event data collected by the security event data collection unit 111 can be obtained from different types of heterogeneous devices, and each security event data is classified according to the type of security equipment, , The number, the data format, and the like.

상기 정규화부(112)는 보안 이벤트 데이터 수집부(111)에서 수집한 보안 이벤트 데이터를 정규화하여 준다. 앞서 살펴본 바와 같이 보안 이벤트 데이터는 그 출처가 되는 보안 장비에 따라 형태 즉, 필드의 종류, 개수, 데이터 포맷 등이 상이한데, 정규화부(112)는 각 보안 장비별 보안 이벤트 데이터의 형태를 사전에 인지하고 있다. 다시 말하면, 각 보안 장비(A1, A2, …, An)가 전송하는 보안 이벤트 데이터에 포함된 필드의 종류, 개수, 데이터 포맷 등을 이벤트 로그 샘플 등을 통하여 사전에 인식하여, 각 보안 장비(A1, A2, …, An) 별로 대응되는 정규화식 즉, 해당 보안 장비로부터 수집된 보안 이벤트 데이터에 포함된 필드 및 필드 데이터를 인식하기 위해 사용되는 변환식을 저장하고 있다. 정규화부(112)는 이러한 보안 장비별 정규화식을 토대로 각 보안 장비(A1, A2, …, An)로부터 수집한 보안 이벤트 데이터에 포함된 필드 및 필드 데이터를 상기 필드 추출 및 변환부(113)가 인식할 수 있는 형태로 변환하여 준다.The normalization unit 112 normalizes the security event data collected by the security event data collection unit 111. As described above, the security event data differs in type, number of fields, number of data formats, and the like depending on the security equipment as a source of the security event data. The normalization unit 112 stores the type of security event data for each security device in advance I know. In other words, the type, number, and data format of the fields included in the security event data transmitted by each security device A1, A2, ..., An are recognized in advance through event log samples, , A2, ..., An), that is, a field included in the security event data collected from the security device, and a conversion formula used to recognize the field data. The normalization unit 112 outputs the field and field data included in the security event data collected from each security device A1, A2, ..., An based on the normalization formula for each security device to the field extraction and conversion unit 113 And converts it into a recognizable form.

상기 필드 추출 및 변환부(113)는 정규화부(112)에 의해 변환된 보안 이벤트 데이터 즉, 보안 장비별 정규화식에 따라 인식 가능한 형태로 변환된 개개의 보안 이벤트 데이터에서 사전에 설정된 필드를 추출하고, 해당 필드의 데이터 포맷을 사전에 설정된 일정한 포맷으로 변환하여 준다. 전술한 바와 같이, 보안 이벤트 데이터는 그 출처가 되는 보안 장비별로 그 형태 즉, 포함하고 있는 필드의 종류, 개수, 데이터 포맷 등이 상이한데, 필드 추출 및 변환부(113)는 정규화부(112)에 의해 변환된 보안 이벤트 데이터에서 상기 STIX 변환 모듈(13)에 의해 생성될 STIX 데이터에 포함될 필드만을 추출하여 해당 필드의 데이터 포맷을 일정한 포맷으로 변환함으로써 상기 STIX 변환 모듈(13)로 하여금 필드 추출 후 별도의 데이터 포맷 변경을 수행하지 않고 STIX 데이터 모델 및 STIX 데이터를 생성할 수 있게 해준다.The field extracting and converting unit 113 extracts a field set in advance from the security event data converted by the normalizing unit 112, that is, the individual security event data converted into a recognizable form according to the normalization formula for each security device , And converts the data format of the corresponding field into a preset format. As described above, the security event data differs in the type, number, and data format of the included security fields, that is, the type of security fields included in the security event data. The field extraction and conversion unit 113 includes a normalization unit 112, Extracts only the fields to be included in the STIX data to be generated by the STIX conversion module 13 in the security event data converted by the STIX conversion module 13 and converts the data format of the corresponding field into a predetermined format, It is possible to generate the STIX data model and the STIX data without performing a separate data format change.

예를 들면, 필드 추출 및 변환부(113)는 각 보안 이벤트 데이터에서 보안 이벤트의 개시 시점을 나타내는 start_time, 보안 이벤트의 종료 시점을 나타내는 end_time, 각각 보안 이벤트의 발신지 IP 및 포트를 나타내는 s_ip와 s_port, 각각 보안 이벤트의 수신지 IP 및 포트를 나타내는 d_ip와 d-port, 각각 보안 이벤트의 발신지 국가 및 수신지 국가를 나타내는 s_country와 d_country, 보안 이벤트의 프로토콜을 나타내는 protocol, 보안 이벤트의 바이트수를 나타내는 total_bytes 등의 필드를 추출하되, 보안 이벤트 데이터의 개시 시점을 나타내는 start_time 필드의 데이터 포맷은 4자리수의 연도-2자리수의 월-2자리수의 일, 2자리수의 시-2자리수의 분-2자리수의 초로 나타나도록 변환할 수 있다. 물론, 이러한 필드 추출 및 변환 예는 예시적인 것이며, 다른 필드의 추출 및 다른 형태의 데이터 포맷도 얼마든지 가능하다.For example, the field extraction and conversion unit 113 extracts start_time indicating the start time of the security event, end_time indicating the end time of the security event, s_ip and s_port indicating the source IP and port of the security event, D_ip and d-port indicating the destination IP and port of the security event, respectively, s_country and d_country indicating the source and destination country of the security event, protocol indicating the protocol of the security event, total_bytes indicating the number of bytes of the security event The data format of the start_time field indicating the start time of the security event data is expressed as a 4-digit year-2-digit month-2-digit day, a 2-digit hour-2-digit minute, . Of course, these field extraction and conversion examples are exemplary, and other field extraction and other types of data formats are possible as well.

상기 STIX 변환 모듈(13)은 STIX(Structured Threat Information Expression) 표준 형식으로 이루어지지 않은 보안 이벤트 데이터를 STIX 표준 형식의 STIX 데이터로 변환하는 모듈이다. 도 1에 나타난 바와 같이, STIX 변환 모듈(13)은 상기 전처리 모듈(11)에 의해 전처리된 보안 이벤트 데이터를 STIX 데이터로 변환할 수 있으며, 필드 추출부(131), STIX 데이터 모델 생성부(132) 및 STIX 데이터 생성부(133)를 포함할 수 있다.The STIX conversion module 13 is a module for converting security event data not made in the STIX (Structured Threat Information Expression) standard format into STIX data in the STIX standard format. 1, the STIX conversion module 13 can convert the security event data, which has been pre-processed by the preprocessing module 11, into STIX data. The STIX conversion module 13 includes a field extraction unit 131, an STIX data model generation unit 132 And an STIX data generation unit 133. [0033]

상기 필드 추출부(131)는 상기 보안 이벤트 데이터에서 필드 및 해당 필드의 데이터를 추출한다. 필드 추출부(131)는 상기 보안 이벤트 데이터를 제이슨 오브젝트(JSON Object)로 변환하여, 필드를 추출하고 해당 필드의 데이터 존재 유무를 확인하여 데이터가 존재할 경우 스트링(String) 형태로 저장하는 것을 특징으로 할 수 있다.The field extractor 131 extracts fields and corresponding field data from the security event data. The field extracting unit 131 converts the security event data into a JSON object, extracts a field, confirms presence or absence of data of the corresponding field, and stores the data in the form of a String if data exists can do.

제이슨 오브젝트(JSON Object)란 속성-값 쌍으로 이루어진 데이터 오브젝트를 전달하기 위해 텍스트를 사용하는 개방형 표준 포맷을 의미한다. 제이슨 오브젝트(JSON Object)는 자료의 종류에 별다른 제한이 없고, 특히 컴퓨터 프로그램의 변수값을 표현하는 데 적합한 장점을 가진다. 필드 추출부(131)는 제이슨 오브젝트(JSON Object)로 변환된 보안 이벤트 데이터에서 각 필드 별로 데이터 존재 유무를 확인하고, 데이터가 존재할 경우 저장을 수행할 수 있다.A JSON object is an open standard format that uses text to convey data objects consisting of attribute-value pairs. The JSON Object has no particular restrictions on the type of data, and is particularly well suited for representing variable values in computer programs. The field extracting unit 131 may check presence or absence of data for each field in the security event data converted into a JSON object, and may perform storage when data exists.

도 2에는 필드 추출부(131)에 의해 추출된 필드 및 데이터의 구체적인 실시예의 테이블이 나타나 있다. 이를 상세하게 살펴보면, 필드 추출부(131)가 어떠한 보안 이벤트 데이터로부터, 보안 이벤트의 개시 시점을 나타내는 start_time, 보안 이벤트의 종료 시점을 나타내는 end_time, 각각 보안 이벤트의 발신지 IP 및 포트를 나타내는 s_ip와 s_port, 각각 보안 이벤트의 수신지 IP 및 포트를 나타내는 d_ip와 d-port, 각각 보안 이벤트의 발신지 국가 및 수신지 국가를 나타내는 s_country와 d_country, 보안 이벤트의 프로토콜을 나타내는 protocol, 보안 이벤트의 바이트수를 나타내는 total_bytes 등을 필드로 추출하였음을 확인할 수 있다. 도 2의 테이블에는 추출된 각각의 필드에 매칭되는 데이터들이 나타나 있다. 물론, 도 2의 테이블은 예시적인 것이며, 도 2에 나타난 필드 외에 다른 필드 및 데이터도 얼마든지 추출될 수 있다.2 shows a table of specific embodiments of the fields and data extracted by the field extracting unit 131. As shown in FIG. In detail, the field extracting unit 131 extracts, from any security event data, start_time indicating the start time of the security event, end_time indicating the end time of the security event, s_ip and s_port indicating the source IP and port of the security event, D_ip and d-port indicating the destination IP and port of the security event, respectively, s_country and d_country indicating the source and destination country of the security event, protocol indicating the protocol of the security event, total_bytes indicating the number of bytes of the security event Is extracted as a field. In the table of FIG. 2, data matched to each extracted field is shown. Of course, the table of FIG. 2 is an example, and other fields and data besides the fields shown in FIG. 2 can be extracted at any time.

상기 STIX 데이터 모델 생성부(132)는 상기 필드 추출부(131)에 의해 추출된 필드 및 해당 필드의 데이터를 STIX 표준의 옵저버블(Observables) 객체로 변환한다. STIX 데이터 모델 생성부(132)는 상기 필드 추출부(131)에 의해 추출된 필드 및 해당 필드의 데이터를 확인하고, 해당 필드의 데이터가 널(null)이 아닌 경우 추출된 각 필드 및 해당 필드의 데이터를 STIX 표준의 옵저버블(Observables) 객체로 변환할 수 있는데, 각 필드 및 해당 필드의 데이터를 STIX 표준의 옵저버블(Observables) 객체로 변환하는 함수 알고리즘이 실행되는 프로세서를 통해 변환을 수행할 수 있다.The STIX data model generation unit 132 converts the field extracted by the field extraction unit 131 and the data of the corresponding field into an STIX standard Observables object. The STIX data model generating unit 132 checks the field extracted by the field extracting unit 131 and the data of the corresponding field, and if the data of the corresponding field is not null, Data can be transformed into Observables objects in the STIX standard, which can perform transformations through a processor running a function algorithm that converts the data in each field and its fields into an Observables object in the STIX standard. have.

도 3 내지 5를 참조하면, STIX 데이터 모델 생성부(132)에 의해 생성된 STIX 데이터 모델의 실시예들을 확인할 수 있다. 도 3을 살펴보면, 도 2의 테이블에서 s_ip 필드 및 s_port 필드가 STIX 표준의 옵저버블(Observables) 객체로 변환된 것을 확인할 수 있다. 또한, 도 4에는 d_ip 필드 및 d_port 필드가 STIX 표준의 옵저버블(Observables) 객체로 변환된 결과가 나타나 있고, 도 5에는 start_time 필드, end_time 필드, s_country 필드, d_country 필드 및 total_bytes 필드가 STIX 표준의 옵저버블(Observables) 객체로 변환된 결과가 나타나 있다.3 to 5, embodiments of the STIX data model generated by the STIX data model generation unit 132 can be confirmed. Referring to FIG. 3, it can be seen that the s_ip field and the s_port field are converted into Observables objects of the STIX standard in the table of FIG. 4 shows a result of converting the d_ip field and the d_port field into an Observables object of the STIX standard. In FIG. 5, the start_time field, the end_time field, the s_country field, the d_country field, Observables objects are transformed.

상기 STIX 데이터 생성부(133)는 상기 STIX 데이터 모델 생성부(132)에 의해 생성된 옵저버블(Observables) 객체를 수집하여 STIX 패키지(Package)를 생성한다. 즉, STIX 데이터 생성부(133)는 STIX 표준에 따라 보안 이벤트 데이터에 포함된 각종 필드 및 해당 데이터를 정리하여 보여주는 STIX 데이터를 생성한다. STIX 데이터 생성부(133)는 STIX 데이터 모델 생성부(132)에 의해 생성된 STIX 표준의 옵저버블(Observables) 객체를 취합하여 STIX 패키지(Package)로 변환하는 함수 알고리즘이 실행되는 프로세서를 통해 STIX 데이터를 생성할 수 있다.The STIX data generation unit 133 collects Observables objects generated by the STIX data model generation unit 132 and generates an STIX package. That is, the STIX data generator 133 generates various fields included in the security event data according to the STIX standard, and STIX data showing the corresponding data. The STIX data generating unit 133 receives the STIX data from the STIX data generating unit 132 through a processor in which a function algorithm for collecting Observables objects of the STIX standard generated by the STIX data model generating unit 132 is converted into an STIX package Lt; / RTI >

STIX 데이터 생성부(133)는 STIX 패키지(Package) 생성 시 헤더(header)를 설정하되, 타이틀 및 시간 중 어느 하나 이상을 설정하는 것을 특징으로 할 수 있다. 이를 통해 STIX 데이터 생성부(133)에 의해 생성된 STIX 데이터가 추후 주제 또는 시간에 따라 분류, 저장 및 분석될 수 있게 된다.The STIX data generation unit 133 may set a header when generating an STIX package, and may set one or more of a title and a time. Accordingly, the STIX data generated by the STIX data generation unit 133 can be sorted, stored and analyzed according to a topic or time.

도 6을 참조하면, STIX 데이터 생성부(133)에 의해 최종적으로 생성된 STIX 데이터의 구체적인 실시예가 나타나 있는데, STIX 표준 형식에 따른 XML 형태의 데이터가 생성되었음을 확인할 수 있다.Referring to FIG. 6, a specific embodiment of the STIX data finally generated by the STIX data generation unit 133 is shown, and it can be confirmed that XML type data according to the STIX standard format is generated.

도 7을 참조하면, 본 발명의 일 실시예에 따른 STIX 변환 방법은 전처리단계(S1) 및 STIX 변환단계(S3)를 포함할 수 있다.Referring to FIG. 7, the STIX conversion method according to an embodiment of the present invention may include a preprocessing step S1 and an STIX conversion step S3.

상기 전처리단계(S1)는 상기 전처리 모듈(11)이 각종 보안 장비들로부터 전송되는 보안 이벤트 데이터가 상기 STIX 변환 모듈(13)에 의해 효율적으로 STIX 데이터로 변환될 수 있도록 전처리하는 단계이다. 도 8에 나타난 바와 같이, 전처리단계(S1)는 보안 이벤트 데이터 수집단계(S11), 정규화단계(S12), 필드 추출 및 변환단계(S13)를 포함할 수 있다.The preprocessing step S1 is a step of preprocessing the security event data transmitted from various security devices of the preprocessing module 11 so that the security event data can be efficiently converted into STIX data by the STIX conversion module 13. [ As shown in FIG. 8, the preprocessing step S1 may include a security event data collection step S11, a normalization step S12, a field extraction and conversion step S13.

상기 보안 이벤트 데이터 수집단계(S11)는 상기 보안 이벤트 데이터 수집부(111)가 각종 보안 장비들(A1, A2, …, An)로부터 보안 이벤트 데이터를 수집하는 단계이다. 보안 이벤트 데이터 수집단계(S11)에서 보안 이벤트 데이터 수집부(111)는 원격에 설치된 각종 보안 장비로부터 유무선 통신수단을 통해 보안 이벤트 데이터를 전송받을 수 있다. 각종 보안 장비들(A1, A2, …, An)은 STIX 표준이 아닌 고유의 포맷으로 보안 이벤트 데이터를 생성하는 장비들이며, 방화벽, IDS(Intrusion Detection System), IPS(Intrusion Prevention System), 웹 방화벽, L7 방화벽 등이 될 수 있다. 보안 이벤트 데이터 수집단계(S11)에서 수집되는 보안 이벤트 데이터는 서로 다른 이기종 장비들로부터 얻어질 수 있으며, 각 보안 이벤트 데이터는 그 출처가 되는 보안 장비별로 형태 즉, 포함하고 있는 필드의 종류, 개수, 데이터 포맷 등이 상이하다.The security event data collection step S11 is a step in which the security event data collection unit 111 collects security event data from the various security equipments A1, A2, ..., An. In the security event data collection step S11, the security event data collection unit 111 can receive security event data from various remote security equipment through wired / wireless communication means. The various security devices A1, A2, ..., An are devices that generate security event data in a format other than the STIX standard. The security devices are firewalls, Intrusion Detection Systems (IDS), Intrusion Prevention Systems (IPS) L7 firewall, and the like. The security event data collected in the security event data collection step S11 may be obtained from different types of heterogeneous devices, and each security event data may be classified into types, numbers, Data formats, and the like.

상기 정규화단계(S12)는 상기 정규화부(112)가 보안 이벤트 데이터 수집단계(S11)에서 수집된 보안 이벤트 데이터를 정규화하는 단계이다. 정규화단계(S12)에서 정규화부(112)는 보안 이벤트 데이터 수집단계(S11)에서 수집된 보안 이벤트 데이터를 정규화하여 준다. 보안 이벤트 데이터는 그 출처가 되는 보안 장비에 따라 형태 즉, 필드의 종류, 개수, 데이터 포맷 등이 상이하다. 정규화부(112)는 각 보안 장비별 보안 이벤트 데이터의 형태를 사전에 인지하고 있다. 다시 말하면, 각 보안 장비(A1, A2, …, An)가 전송하는 보안 이벤트 데이터에 포함된 필드의 종류, 개수, 데이터 포맷 등을 이벤트 로그 샘플 등을 통하여 사전에 인식하여, 각 보안 장비(A1, A2, …, An) 별로 대응되는 정규화식 즉, 해당 보안 장비로부터 수집된 보안 이벤트 데이터에 포함된 필드 및 필드 데이터를 인식하기 위해 사용되는 변환식을 저장하고 있다. 정규화단계(S12)에서 정규화부(112)는 이러한 보안 장비별 정규화식을 토대로 각 보안 장비(A1, A2, …, An)로부터 수집된 보안 이벤트 데이터에 포함된 필드 및 필드 데이터를 상기 필드 추출 및 변환부(113)가 인식할 수 있는 형태로 변환하여 준다.In the normalization step S12, the normalization unit 112 normalizes the security event data collected in the security event data collection step S11. In the normalization step S12, the normalization unit 112 normalizes the security event data collected in the security event data collection step S11. The security event data is different depending on the type of the security equipment as its source, that is, the type, number, and data format of the field. The normalization unit 112 recognizes the type of security event data for each security device in advance. In other words, the type, number, and data format of the fields included in the security event data transmitted by each security device A1, A2, ..., An are recognized in advance through event log samples, , A2, ..., An), that is, a field included in the security event data collected from the security device, and a conversion formula used to recognize the field data. In the normalization step S12, the normalization unit 112 extracts field and field data included in the security event data collected from each security device A1, A2, ..., An based on the normalization formula for each security device, And converts it into a form recognizable by the converting unit 113.

상기 필드 추출 및 변환단계(S13)는 상기 필드 추출 및 변환부(113)가 정규화단계(S12)에서 변환된 보안 이벤트 데이터 즉, 보안 장비별 정규화식에 따라 인식 가능한 형태로 변환된 개개의 보안 이벤트 데이터에서 사전에 설정된 필드를 추출하고, 해당 필드의 데이터 포맷을 사전에 설정된 일정한 포맷으로 변환하는 단계이다.The field extracting and converting step S13 is a step in which the field extracting and converting unit 113 extracts security event data converted in the normalization step S12, that is, individual security events Extracting a field set in advance from the data, and converting the data format of the field into a preset format.

전술한 바와 같이, 보안 이벤트 데이터는 그 출처가 되는 보안 장비별로 그 형태 즉, 포함하고 있는 필드의 종류, 개수, 데이터 포맷 등이 상이한데, 필드 추출 및 변환단계(S13)에서 필드 추출 및 변환부(113)는 정규화부(112)에 의해 변환된 보안 이벤트 데이터에서 상기 STIX 변환 모듈(13)에 의해 STIX 데이터에 포함될 필드만을 추출하여 해당 필드의 데이터 포맷을 일정한 포맷으로 변환함으로써 상기 STIX 변환 모듈(13)이 필드 추출 후 별도의 데이터 포맷 변경을 수행하지 않고 STIX 데이터 모델 및 STIX 데이터를 생성할 수 있게 해준다.As described above, the security event data differs in type, number, and data format of the included security fields, that is, the type of security fields included in the security event data, and in the field extraction and conversion step S13, The STIX conversion module 13 extracts only the fields to be included in the STIX data from the security event data converted by the normalization unit 112 by the STIX conversion module 13 and converts the data format of the corresponding field into a predetermined format, 13), it is possible to generate the STIX data model and STIX data without performing a separate data format change after extracting the field.

예를 들면, 필드 추출 및 변환부(113)는 각 보안 이벤트 데이터에서 보안 이벤트의 개시 시점을 나타내는 start_time, 보안 이벤트의 종료 시점을 나타내는 end_time, 각각 보안 이벤트의 발신지 IP 및 포트를 나타내는 s_ip와 s_port, 각각 보안 이벤트의 수신지 IP 및 포트를 나타내는 d_ip와 d-port, 각각 보안 이벤트의 발신지 국가 및 수신지 국가를 나타내는 s_country와 d_country, 보안 이벤트의 프로토콜을 나타내는 protocol, 보안 이벤트의 바이트수를 나타내는 total_bytes 등의 필드를 추출하되, 보안 이벤트 데이터의 개시 시점을 나타내는 start_time 필드의 데이터 포맷은 4자리수의 연도-2자리수의 월-2자리수의 일, 2자리수의 시-2자리수의 분-2자리수의 초로 나타나도록 변환할 수 있다. 물론, 이러한 필드 추출 및 변환 예는 예시적인 것이며, 다른 필드의 추출 및 다른 형태의 데이터 포맷도 얼마든지 가능하다.For example, the field extraction and conversion unit 113 extracts start_time indicating the start time of the security event, end_time indicating the end time of the security event, s_ip and s_port indicating the source IP and port of the security event, D_ip and d-port indicating the destination IP and port of the security event, respectively, s_country and d_country indicating the source and destination country of the security event, protocol indicating the protocol of the security event, total_bytes indicating the number of bytes of the security event The data format of the start_time field indicating the start time of the security event data is expressed as a 4-digit year-2-digit month-2-digit day, a 2-digit hour-2-digit minute, . Of course, these field extraction and conversion examples are exemplary, and other field extraction and other types of data formats are possible as well.

상기 STIX 변환단계(S3)는 상기 STIX 변환 모듈(13)이 STIX 표준 형식으로 이루어지지 않은 보안 이벤트 데이터를 STIX 표준 형식의 STIX 데이터로 변환하는 단계이다. 도 9에 나타난 바와 같이, STIX 변환단계(S3)는 필드 추출단계(S31), STIX 데이터 모델 생성단계(S32) 및 STIX 데이터 생성단계(S33)를 포함할 수 있다.The STIX conversion step S3 is a step of converting the security event data not made in the STIX standard format into the STIX standard format STIX data by the STIX conversion module 13. As shown in FIG. 9, the STIX conversion step S3 may include a field extracting step S31, an STIX data model generating step S32, and a STIX data generating step S33.

상기 필드 추출단계(S31)는 상기 필드 추출부(131)가 상기 보안 이벤트 데이터에서 필드 및 해당 필드의 데이터를 추출하는 단계이다. 필드 추출단계(S31)는 상기 필드 추출부(131)가 상기 보안 이벤트 데이터를 제이슨 오브젝트(JSON Object)로 변환하여, 필드를 추출하고 해당 필드의 데이터 존재유무를 확인하여 데이터가 존재할 경우 스트링(String) 형태로 저장하는 것을 특징으로 할 수 있다.In the field extracting step S31, the field extracting unit 131 extracts fields and corresponding field data from the security event data. In the field extracting step S31, the field extracting unit 131 converts the security event data into a JSON object, extracts a field, checks presence or absence of data of the corresponding field, and outputs a string ). ≪ / RTI >

전술한 바와 같이, 제이슨 오브젝트(JSON Object)는 자료의 종류에 별다른 제한이 없고, 특히 컴퓨터 프로그램의 변수값을 표현하는 데 적합한 장점을 가진다. 필드 추출단계(S31)에서 필드 추출부(131)는 제이슨 오브젝트(JSON Object) 변환된 보안 이벤트 데이터에서 각 필드 별로 데이터 존재 유무를 확인하고, 데이터가 존재할 경우 저장을 수행할 수 있다. 그 결과 도 2에 나타난 바와 같은 필드 및 데이터의 대응 테이블을 얻을 수 있다.As described above, the JSON object has no particular restriction on the type of data, and is particularly suitable for representing the value of a variable in a computer program. In the field extracting step S31, the field extracting unit 131 may check presence or absence of data for each field in the JSON Object-converted security event data, and may perform the storing if there is data. As a result, a correspondence table of fields and data as shown in Fig. 2 can be obtained.

상기 STIX 데이터 모델 생성단계(S32)는 상기 STIX 데이터 모델 생성부(132)가 상기 필드 추출단계(S31)에서 추출된 필드 및 해당 필드의 데이터를 STIX 표준의 옵저버블(Observables) 객체로 변환하는 단계이다. STIX 데이터 모델 생성단계(S32)는 상기 STIX 데이터 모델 생성부(132)가 상기 필드 추출단계(S31)에서 추출된 필드 및 해당 필드의 데이터를 STIX 표준의 옵저버블(Observables) 객체로 변환하는데, STIX 데이터 모델 생성부(132)는 상기 필드 추출부(131)에 의해 추출된 필드 및 해당 필드의 데이터를 확인하고, 해당 필드의 데이터가 널(null)이 아닌 경우 추출된 각 필드 및 해당 필드의 데이터를 STIX 표준의 옵저버블(Observables) 객체로 변환할 수 있다. 더욱 상세하게는, 각 필드 및 해당 필드의 데이터를 STIX 표준의 옵저버블(Observables) 객체로 변환하는 함수 알고리즘이 실행되는 프로세서를 통해 변환을 수행할 수 있다. 이를 통해, 도 3 내지 5에 나타난 바와 같은 STIX 데이터 모델들을 얻을 수 있다.The STIX data model generation step S32 is a step of the STIX data model generation unit 132 converting the fields extracted in the field extracting step S31 and the data of the corresponding fields into an Observables object of the STIX standard to be. In the STIX data model generation step S32, the STIX data model generation unit 132 converts the field extracted in the field extracting step S31 and the data of the corresponding field into an Observables object of the STIX standard. The data model generation unit 132 checks the field extracted by the field extraction unit 131 and the data of the corresponding field, and if the data of the corresponding field is not null, To an Observables object of the STIX standard. More specifically, the conversion can be performed through a processor in which a function algorithm for converting the data of each field and the corresponding field into an Observables object of the STIX standard is executed. Through this, STIX data models as shown in FIGS. 3 to 5 can be obtained.

상기 STIX 데이터 생성단계(S33)는 상기 STIX 데이터 생성부(133)가 상기 STIX 데이터 모델 생성단계(S32)에서 생성된 옵저버블(Observables) 객체를 수집하여 STIX 패키지(Package)를 생성하는 단계이다. STIX 데이터 생성단계(S33)에서 STIX 데이터 생성부(133)는 STIX 표준에 따라 보안 이벤트 데이터에 포함된 각종 필드 및 해당 데이터를 정리하여 보여주는 STIX 데이터를 생성하는데, STIX 데이터 모델 생성단계(S32)에서 생성된 STIX 표준의 옵저버블(Observables) 객체를 취합하여 STIX 패키지(Package)로 변환하는 함수 알고리즘이 실행되는 프로세서를 통해 STIX 데이터를 생성할 수 있다. 구체적으로, 도 6에 나타난 바와 같이, STIX 표준 형식에 따른 XML 형태의 데이터가 생성될 수 있다.The STIX data generation step S33 is a step in which the STIX data generation unit 133 collects observer objects generated in the STIX data model generation step S32 to generate an STIX package. In the STIX data generation step S33, the STIX data generation unit 133 generates various fields included in the security event data and STIX data showing the corresponding data in accordance with the STIX standard. In the STIX data model generation step S32 STIX data can be generated through a processor in which function algorithms for collecting Observables objects of the created STIX standard and converting them into STIX packages are executed. Specifically, as shown in FIG. 6, data in XML format according to the STIX standard format can be generated.

STIX 데이터 생성단계(S33)는 상기 STIX 데이터 생성부(133)가 STIX 패키지(Package) 생성 시 헤더(header)를 설정하되, 타이틀 및 시간 중 어느 하나 이상을 설정하는 것을 특징으로 할 수 있다. 이를 통해 STIX 데이터 생성단계(S33)를 통해 생성된 STIX 데이터가 추후에 주제 또는 시간에 따라 분류, 저장 및 분석될 수 있게 된다.The STIX data generation step S33 may be configured such that the STIX data generation unit 133 sets a header at the time of generating the STIX package and sets at least one of the title and the time. Accordingly, the STIX data generated through the STIX data generation step (S33) can be classified, stored and analyzed according to a topic or time.

이상에서, 출원인은 본 발명의 다양한 실시예들을 설명하였지만, 이와 같은 실시예들은 본 발명의 기술적 사상을 구현하는 일 실시예일 뿐이며, 본 발명의 기술적 사상을 구현하는 한 어떠한 변경예 또는 수정예도 본 발명의 범위에 속하는 것으로 해석되어야 한다.While the present invention has been described in connection with what is presently considered to be practical exemplary embodiments, it is to be understood that the invention is not limited to the disclosed embodiments, but, on the contrary, Should be interpreted as falling within the scope of.

1: STIX 변환 장치
11: 전처리 모듈
111: 보안 이벤트 데이터 수집부 112: 정규화부
113: 필드 추출 및 변환부
13: STIX 변환 모듈
131: 필드 추출부 132: STIX 데이터 모델 생성부
133: STIX 데이터 생성부
S1: 전처리단계
S11: 보안 이벤트 데이터 수집단계 S12: 정규화단계
S13: 필드 추출 및 변환단계
S3: STIX 변환단계
S31: 필드 추출단계 S32: STIX 데이터 모델 생성단계
S33: STIX 데이터 생성단계1: STIX converter
11: Pre-processing module
111: security event data collection unit 112: normalization unit
113: field extraction and conversion unit
13: STIX conversion module
131: field extracting unit 132: STIX data model generating unit
133: STIX data generation unit
S1: preprocessing step
S11: Security event data collection step S12: Normalization step
S13: field extraction and conversion step
S3: STIX conversion step
S31: Field extraction step S32: STIX data model generation step
S33: STIX data generation step

Claims (14)

보안 장비로부터 전송되는 보안 이벤트 데이터를 전처리하는 전처리 모듈과, 상기 전처리 모듈과 연결되어 STIX(Structured Threat Information Expression) 표준 형식으로 이루어지지 않은 보안 이벤트 데이터를 STIX 표준 형식의 STIX 데이터로 변환하는 STIX 변환 모듈을 포함하고,
상기 전처리 모듈은, 보안 장비로부터 보안 이벤트 데이터를 수집하는 보안 이벤트 데이터 수집부와, 상기 보안 이벤트 데이터 수집부에서 수집한 보안 이벤트 데이터를 정규화하는 정규화부와, 상기 정규화부에 의해 변환된 보안 이벤트 데이터에서 사전에 설정된 필드를 추출하고 해당 필드의 데이터 포맷을 사전에 설정된 일정한 포맷으로 변환하는 필드 추출 및 변환부를 포함하여, 상기 STIX 변환 모듈이 별도의 데이터 포맷 변경을 수행하지 않고도 STIX 데이터를 생성하도록 하는 STIX 변환 장치.
A pre-processing module for pre-processing the security event data transmitted from the security device; and an STIX conversion module for converting the security event data, which is connected to the preprocessing module, into STIX standard formatted STIX data in the STIX (Structured Threat Information Expression) / RTI >
The pre-processing module includes: a security event data collection unit for collecting security event data from the security device; a normalization unit for normalizing the security event data collected by the security event data collection unit; And a field extracting and converting unit for extracting a predetermined field from the field and converting the data format of the corresponding field into a preset format so that the STIX converting module generates STIX data without performing a separate data format change STIX converter.
제1항에 있어서,
상기 STIX 변환 모듈은 상기 보안 이벤트 데이터에서 필드 및 해당 필드의 데이터를 추출하는 필드 추출부를 포함하는 것을 특징으로 하는 STIX 변환 장치.
The method according to claim 1,
Wherein the STIX conversion module includes a field extraction unit for extracting a field and data of a corresponding field from the security event data.
제2항에 있어서,
상기 STIX 변환 모듈은 상기 필드 추출부에 의해 추출된 필드 및 해당 필드의 데이터를 STIX 표준의 옵저버블(Observables) 객체로 변환하는 STIX 데이터 모델 생성부를 더 포함하는 것을 특징으로 하는 STIX 변환 장치.
3. The method of claim 2,
Wherein the STIX conversion module further comprises an STIX data model generation unit for converting the field extracted by the field extraction unit and the data of the corresponding field into an Observables object of the STIX standard.
제3항에 있어서,
상기 STIX 변환 모듈은 상기 STIX 데이터 모델 생성부에 의해 생성된 옵저버블(Observables) 객체를 수집하여 STIX 패키지(Package)를 생성하는 STIX 데이터 생성부를 더 포함하는 것을 특징으로 하는 STIX 변환 장치.
The method of claim 3,
Wherein the STIX conversion module further comprises an STIX data generation unit for collecting observer objects generated by the STIX data model generation unit and generating an STIX package.
제2항에 있어서,
상기 필드 추출부는 상기 보안 이벤트 데이터를 제이슨 오브젝트(JSON Object)로 변환하여, 필드를 추출하고 해당 필드의 데이터 존재유무를 확인하여 데이터가 존재할 경우 스트링(String) 형태로 저장하는 것을 특징으로 하는 STIX 변환 장치.
3. The method of claim 2,
Wherein the field extracting unit converts the security event data into a JSON object, extracts a field, confirms presence or absence of data of the corresponding field, and stores the data in the form of a String when data exists. Device.
제3항에 있어서,
상기 STIX 데이터 모델 생성부는 상기 필드 추출부에 의해 추출된 필드 및 해당 필드의 데이터를 확인하여 해당 필드의 데이터가 널(null)이 아닌 경우에만 STIX 표준의 옵저버블(Observables) 객체로 변환하는 것을 특징으로 하는 STIX 변환 장치.
The method of claim 3,
The STIX data model generation unit identifies the field extracted by the field extraction unit and the data of the corresponding field and converts the data into an Observables object of the STIX standard only when the data of the corresponding field is not null The STIX conversion apparatus comprising:
제4항에 있어서,
상기 STIX 데이터 생성부는 STIX 패키지(Package) 생성 시 헤더(header)를 설정하되, 타이틀 및 시간 중 어느 하나 이상을 설정하는 것을 특징으로 하는 STIX 변환 장치.
5. The method of claim 4,
Wherein the STIX data generator sets a header when generating an STIX package, and sets at least one of a title and a time.
전처리 모듈이 보안 장비로부터 전송되는 보안 이벤트 데이터를 전처리하는 전처리단계와, 상기 전처리단계 이후에, STIX 변환 모듈이 STIX(Structured Threat Information Expression) 표준 형식으로 이루어지지 않은 보안 이벤트 데이터를 STIX 표준 형식의 STIX 데이터로 변환하는 STIX 변환단계를 포함하고,
상기 전처리단계는, 보안 이벤트 데이터 수집부가 보안 장비로부터 보안 이벤트 데이터를 수집하는 보안 이벤트 데이터 수집단계와, 상기 보안 이벤트 데이터 수집단계 이후에, 정규화부가 상기 보안 이벤트 데이터 수집부에서 수집한 보안 이벤트 데이터를 정규화하는 정규화단계와, 상기 정규화단계 이후에, 필드 추출 및 변환부가 상기 정규화부에 의해 변환된 보안 이벤트 데이터에서 사전에 설정된 필드를 추출하고 해당 필드의 데이터 포맷을 사전에 설정된 일정한 포맷으로 변환하는 필드 추출 및 변환단계를 포함하여, 상기 STIX 변환 모듈이 별도의 데이터 포맷 변경을 수행하지 않고도 STIX 데이터를 생성하도록 하는 STIX 변환 방법.
A preprocessing step of preprocessing the security event data transmitted from the security device by the preprocessing module; and a preprocessing step of preprocessing the security event data, which is not performed in the STIX (Structured Threat Information Expression) standard format, And converting the STIX data into data,
The pre-processing step may include: collecting security event data from the security event data collection unit from the security device; and transmitting the security event data collected by the normalization unit to the security event data collection unit after the security event data collection step. A normalization step of normalizing the fields of the security event data, and a step of extracting fields preset in the security event data converted by the normalization unit by the field extraction and conversion unit after the normalization step and converting the data format of the corresponding fields into a predetermined format Extracting and transforming the STIX transform module to generate STIX data without performing a separate data format change.
제8항에 있어서,
상기 STIX 변환단계는 필드 추출부가 상기 보안 이벤트 데이터에서 필드 및 해당 필드의 데이터를 추출하는 필드 추출단계를 포함하는 것을 특징으로 하는 STIX 변환 방법.
9. The method of claim 8,
Wherein the STIX conversion step includes a field extracting step of extracting a field and data of a corresponding field from the security event data.
제9항에 있어서,
상기 STIX 변환단계는 STIX 데이터 모델 생성부가 상기 필드 추출부에 의해 추출된 필드 및 해당 필드의 데이터를 STIX 표준의 옵저버블(Observables) 객체로 변환하는 STIX 데이터 모델 생성단계를 더 포함하는 것을 특징으로 하는 STIX 변환 방법.
10. The method of claim 9,
The STIX conversion step may further include a STIX data model generation step of converting the field extracted by the field extraction unit and the data of the corresponding field into an Observables object of the STIX standard STIX conversion method.
제10항에 있어서,
상기 STIX 변환단계는 STIX 데이터 생성부가 상기 STIX 데이터 모델 생성부에 의해 생성된 옵저버블(Observables) 객체를 수집하여 STIX 패키지(Package)를 생성하는 STIX 데이터 생성단계를 더 포함하는 것을 특징으로 하는 STIX 변환 방법.
11. The method of claim 10,
Wherein the STIX conversion step further comprises an STIX data generation step in which an STIX data generation unit collects Observables objects generated by the STIX data model generation unit to generate an STIX package, Way.
제9항에 있어서,
상기 필드 추출단계는 상기 필드 추출부가 상기 보안 이벤트 데이터를 제이슨 오브젝트(JSON Object)로 변환하여, 필드를 추출하고 해당 필드의 데이터 존재유무를 확인하여 데이터가 존재할 경우 스트링(String) 형태로 저장하는 것을 특징으로 하는 STIX 변환 방법.
10. The method of claim 9,
In the field extracting step, the field extracting unit converts the security event data into a JSON object, extracts a field, confirms presence or absence of data of the corresponding field, and stores the data in the form of a String if data exists Characterized in that the STIX conversion method.
제10항에 있어서,
상기 STIX 데이터 모델 생성단계는 상기 STIX 데이터 모델 생성부가 상기 필드 추출부에 의해 추출된 필드 및 해당 필드의 데이터를 확인하여 해당 필드의 데이터가 널(null)이 아닌 경우에만 STIX 표준의 옵저버블(Observables) 객체로 변환하는 것을 특징으로 하는 STIX 변환 방법.
11. The method of claim 10,
In the STIX data model generation step, the STIX data model generation unit checks the field extracted by the field extraction unit and the data of the corresponding field, and only when the data of the corresponding field is not null, the Observables ) ≪ / RTI > object.
제11항에 있어서,
상기 STIX 데이터 생성단계는 상기 STIX 데이터 생성부가 STIX 패키지(Package) 생성 시 헤더(header)를 설정하되, 타이틀 및 시간 중 어느 하나 이상을 설정하는 것을 특징으로 하는 STIX 변환 방법.12. The method of claim 11,
Wherein the STIX data generation step sets a header when the STIX data generator generates a STIX package, and sets at least one of a title and a time.
KR1020170135939A 2017-10-19 2017-10-19 STIX Conversion Apparatus and Method thereof KR101929522B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020170135939A KR101929522B1 (en) 2017-10-19 2017-10-19 STIX Conversion Apparatus and Method thereof

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020170135939A KR101929522B1 (en) 2017-10-19 2017-10-19 STIX Conversion Apparatus and Method thereof

Publications (1)

Publication Number Publication Date
KR101929522B1 true KR101929522B1 (en) 2018-12-17

Family

ID=65007625

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020170135939A KR101929522B1 (en) 2017-10-19 2017-10-19 STIX Conversion Apparatus and Method thereof

Country Status (1)

Country Link
KR (1) KR101929522B1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102437481B1 (en) * 2021-11-26 2022-08-29 한국인터넷진흥원 System and method for detecting 5G standalone mode network intrusion

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20160366174A1 (en) * 2015-04-17 2016-12-15 Soltra Solutions, Llc Computerized system and method for securely distributing and exchanging cyber-threat information in a standardized format
US20170171235A1 (en) * 2015-12-09 2017-06-15 Accenture Global Solutions Limited Connected security system

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20160366174A1 (en) * 2015-04-17 2016-12-15 Soltra Solutions, Llc Computerized system and method for securely distributing and exchanging cyber-threat information in a standardized format
US20170171235A1 (en) * 2015-12-09 2017-06-15 Accenture Global Solutions Limited Connected security system

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102437481B1 (en) * 2021-11-26 2022-08-29 한국인터넷진흥원 System and method for detecting 5G standalone mode network intrusion

Similar Documents

Publication Publication Date Title
CN104937886B (en) Log analysis device, information processing method
US11115434B2 (en) Computerized system and method for securely distributing and exchanging cyber-threat information in a standardized format
CN104753946A (en) Security analysis framework based on network traffic metadata
CN103795735B (en) Safety means, server and server info safety implementation method
US10218731B2 (en) Method and system for data breach and malware detection
US10855549B2 (en) Network data processing driver for a cognitive artificial intelligence system
CN108270716A (en) A kind of audit of information security method based on cloud computing
CN105027510A (en) Network monitoring device, network monitoring method, and network monitoring program
CN103023924A (en) Content distribution network based DDoS (distributed denial of service) attack protecting method and content distribution network based DDoS attack protecting system for cloud distribution platform
CN113691566B (en) Mail server secret stealing detection method based on space mapping and network flow statistics
CN101820413A (en) Method for selecting optimized protection strategy for network security
CN106096406B (en) A kind of security breaches backtracking analysis method and device
SG184120A1 (en) Method of identifying a protocol giving rise to a data flow
CN113609234A (en) Network entity behavior association construction method and system
Vast et al. Artificial intelligence based security orchestration, automation and response system
Lee et al. A study on efficient log visualization using d3 component against apt: How to visualize security logs efficiently?
CN113904829B (en) Application firewall system based on machine learning
KR101929522B1 (en) STIX Conversion Apparatus and Method thereof
Waagsnes et al. Intrusion Detection System Test Framework for SCADA Systems.
CN101296224B (en) P2P flux recognition system and method
KR102384672B1 (en) Security equipment, apparatus and method for analyzing of security threat
CN110460620B (en) Website defense method, device, equipment and storage medium
KR101384618B1 (en) A system for analyzing dangerous situation using node analysis
CN106209867A (en) A kind of Advanced threat defence method and system
Garg et al. Identifying anomalies in network traffic using hybrid Intrusion Detection System

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant