KR102001958B1 - System and method for analyzing trend of infringement by calculating entropy of graph data and computer program for the same - Google Patents
System and method for analyzing trend of infringement by calculating entropy of graph data and computer program for the same Download PDFInfo
- Publication number
- KR102001958B1 KR102001958B1 KR1020180147817A KR20180147817A KR102001958B1 KR 102001958 B1 KR102001958 B1 KR 102001958B1 KR 1020180147817 A KR1020180147817 A KR 1020180147817A KR 20180147817 A KR20180147817 A KR 20180147817A KR 102001958 B1 KR102001958 B1 KR 102001958B1
- Authority
- KR
- South Korea
- Prior art keywords
- graph
- entropy
- graph data
- data
- information amount
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/901—Indexing; Data structures therefor; Storage structures
- G06F16/9024—Graphs; Linked lists
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/30—Information retrieval; Database structures therefor; File system structures therefor of unstructured textual data
- G06F16/33—Querying
- G06F16/338—Presentation of query results
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/903—Querying
- G06F16/9038—Presentation of query results
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Software Systems (AREA)
- Computer Security & Cryptography (AREA)
- Computational Linguistics (AREA)
- Computer Hardware Design (AREA)
- Quality & Reliability (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
Description
실시예들은 침해 활동 추이 분석 시스템 및 방법과 이를 위한 컴퓨터 프로그램에 관한 것으로, 보다 상세하게는 그래프 데이터에 대한 엔트로피(entropy) 값의 계산을 통해 데이터의 변화량을 관찰하고 침해 활동의 추이를 분석하는 기술에 대한 것이다.More particularly, the present invention relates to a system and method for analyzing trends in infringing activities and a computer program for the same. More particularly, the present invention relates to a technique for analyzing trends of infringing activities by observing data variation through calculation of entropy values for graph data Lt; / RTI >
빅 데이터 관련 기술들이 활발하게 연구되면서, 빅 데이터를 저장 관리하는 기술 및 데이터를 분류 및 예측하는 기계 학습 분야의 연구가 활발히 진행되고 있다. 패턴 분류 기술은 뉴스, 블로그, SNS 등의 문서 분류, 이슈 분류, 감성 분류 등에 활용되고 있다. 한편, 데이터를 저장 관리하는 기술로서 종래에는 테이블(table) 형태로 데이터를 저장하는 관계형 데이터베이스가 주로 사용되었다. As the big data related technologies are actively researched, researches in the field of machine learning that classifies and predicts the technology for storing and managing big data and data are actively being carried out. Pattern classification technology is used for document classification such as news, blog, SNS, issue classification, emotional classification. On the other hand, a relational database for storing data in the form of a table has been mainly used as a technique for storing and managing data.
최근에는, 데이터의 저장 및 관리 기술로서 각 데이터 객체와 이 객체가 가진 연관 관계를 명시적으로 표현하여 저장하는 솔루션인 그래프 데이터베이스가 등장하였다. 테이블을 사전에 정의한 스키마(schema) 구조 형태에 맞추어 각 객체들을 저장하는 관계형 데이터베이스에 비하여, 그래프 데이터베이스는 각 데이터들을 하나의 객체로서 저장하고 각 객체의 특성을 해치치 않으면서 객체 간의 연관 관계를 지속적으로 확장할 수 있어 정형 및 비정형 데이터의 통합적인 저장 관리에 유리하다.In recent years, as a data storage and management technique, a graph database has emerged as a solution for expressing and storing each data object and the association relation of the object. Compared to a relational database that stores each object in accordance with the schema structure defined in the table, the graph database stores each data as one object and maintains the relationship between the objects without detracting from the characteristics of each object And it is advantageous for integrated storage management of fixed and unstructured data.
예컨대, 도 1은 그래프 데이터베이스에 저장되는 그래프 데이터의 예시적인 형태를 나타내는 것으로서, [R1: A → B], [R2: A+B → C+D], [R3: D → E]의 관계를 가지는 화학반응을 그래프 데이터로 나타낸 것이다. A 내지 E는 화학반응에 참여하는 반응 물질을 나타내고, 이는 그래프 데이터의 각 노드(node)에 해당한다. R1 내지 R3는 화학 반응을 나타내고, 이는 그래프 데이터의 각 에지(edge)에 해당한다.For example, as Figure 1 is an exemplary form of the graph data stored in the graph database, [R 1: A → B ], [R 2: A + B → C + D], [R 3: D → E] Is represented by graph data. A to E represent reactants participating in the chemical reaction, which correspond to each node of the graph data. R 1 to R 3 represent chemical reactions, which correspond to the respective edges of the graph data.
본 발명의 일 측면에 따르면, 그래프 형태로 저장된 데이터의 활용 방안으로서 그래프 데이터에 대한 주기적인 엔트로피(entropy) 계산 및 추출을 통해 현재 비활성 상태(또는, 활동 전 상태)인 위협 정보에 대한 지속적인 감시 기능을 제공하는 침해 활동 추이 분석 시스템 및 방법과, 이를 위한 컴퓨터 프로그램을 제공할 수 있다.According to one aspect of the present invention, as a utilization method of data stored in the form of a graph, periodic entropy calculation and extraction of graph data to continuously monitor the current inactive state (or the pre-activity state) And a computer program for the infiltration activity change analysis system and method.
일 실시예에 따른 침해 활동 추이 분석 시스템은, 엔트로피(entropy) 계산을 위한 호출 여부를 결정하도록 구성된 이벤트 처리부; 상기 이벤트 처리부에 의해 호출되어, 엔트로피 계산을 위한 그래프 질의를 생성하며, 침해 활동에 연관된 하나 이상의 그래프 데이터를 포함하는 그래프 데이터베이스로부터 상기 그래프 질의에 상응하여 수신된 반환값에 기초하여 상기 그래프 데이터베이스의 엔트로피 값을 산출하도록 구성된 정보량 변화 계산부; 상기 정보량 변화 계산부로부터 상기 그래프 질의를 수신하고, 상기 그래프 질의에 기초하여 상기 그래프 데이터베이스를 조회하여 상기 반환값을 수신하도록 구성된 그래프 데이터베이스 질의 처리부; 및 상기 정보량 변화 계산부에 의해 복수의 시점에 산출된 상기 엔트로피 값들의 합계를 감시하도록 구성된 임계치 감시부를 포함한다.The infiltration activity trend analyzing system according to an embodiment includes an event processor configured to determine whether to call for entropy calculation; Invoking by the event processor to generate a graph query for entropy computation and to retrieve entropy of the graph database based on a return value received corresponding to the graph query from a graph database containing one or more graph data associated with an infringement activity, An information amount change calculation unit configured to calculate a value; A graph database query processing unit configured to receive the graph query from the information amount change calculation unit, receive the return value by querying the graph database based on the graph query; And a threshold monitoring unit configured to monitor a sum of the entropy values calculated at a plurality of time points by the information amount change calculation unit.
일 실시예에서, 상기 이벤트 처리부는, 사용자로부터 수신된 요청에 대한 응답으로 또는 주기적으로 상기 정보량 변화 계산부를 호출하도록 더 구성된다.In one embodiment, the event processing unit is further configured to call the information amount change calculation unit in response to a request received from the user or periodically.
일 실시예에서, 상기 임계치 감시부는, 주기적으로 산출된 상기 엔트로피 값들의 누적 합계가 미리 설정된 임계치를 넘는지 여부를 감시하도록 더 구성된다.In one embodiment, the threshold monitoring unit is further configured to monitor whether a cumulative sum of the periodically calculated entropy values exceeds a preset threshold value.
일 실시예에서, 상기 정보량 변화 계산부는, 상기 그래프 데이터베이스에서, 미리 설정된 조건을 충족하는 그래프 데이터의 개수에 대한 상기 미리 설정된 조건을 충족하며 신규 생성 또는 변화된 그래프 데이터의 개수의 비율을 이용하여 상기 엔트로피 값을 산출하도록 더 구성된다.In one embodiment, the information amount change calculation unit may calculate, in the graph database, the entropy value using the ratio of the number of graph data that satisfies the preset condition for the number of graph data satisfying the preset condition and newly generated or changed Lt; / RTI >
일 실시예에서, 상기 정보량 변화 계산부는, 상기 엔트로피 값을 H(x), 상기 미리 설정된 조건을 충족하는 그래프 데이터의 개수를 G, 시간을 t, 시간 구간 i에서 상기 미리 설정된 조건을 충족하며 신규 생성 또는 변화된 그래프 데이터의 개수를 Gi, 상기 미리 설정된 조건을 충족하는 전체 그래프 데이터 중에서 신규 생성 또는 변화된 그래프 데이터가 나타난 확률을 라고 할 경우, 의 수학식에 의하여 상기 엔트로피 값을 계산하도록 더 구성된다.In one embodiment, the information amount change calculator calculates the entropy value as H (x), the number of graph data satisfying the preset condition as G, the time as t, the time interval i, G i is the number of generated or changed graph data, and the probability that the newly generated or changed graph data appears in the entire graph data satisfying the preset condition If so, To calculate the entropy value according to the following equation.
일 실시예에 따른 침해 활동 추이 분석 방법은, 침해 활동 추이 분석 시스템의 이벤트 처리부가 상기 침해 활동 추이 분석 시스템의 정보량 변화 계산부를 호출하는 단계; 상기 정보량 변화 계산부가, 엔트로피 계산을 위한 그래프 질의를 생성하는 단계; 상기 침해 활동 추이 분석 시스템의 그래프 데이터베이스 질의 처리부가, 상기 그래프 질의에 기초하여 하나 이상의 그래프 데이터를 포함하는 그래프 데이터베이스를 조회함으로써 상기 그래프 데이터베이스로부터 반환값을 수신하는 단계; 상기 정보량 변화 계산부가, 상기 반환값에 기초하여 상기 그래프 데이터베이스의 엔트로피 값을 산출하는 단계; 및 상기 침해 활동 추이 분석 시스템의 임계치 감시부가, 상기 정보량 변화 계산부에 의해 복수의 시점에 산출된 상기 엔트로피 값들의 합계를 감시하는 단계를 포함한다.The method for analyzing infringement activity according to an exemplary embodiment includes the steps of: an event processing unit of an infringement activity trend analyzing system calls an information amount change calculating unit of the infringement activity trend analyzing system; Wherein the information amount change calculation unit generates a graph query for entropy calculation; Receiving a return value from the graph database by querying a graph database including one or more graph data based on the graph query, the graph database query processing unit of the infiltration activity trend analysis system; Calculating an entropy value of the graph database based on the return value; And a threshold monitoring unit of the infiltration activity trend analyzing system monitors the sum of the entropy values calculated at a plurality of time points by the information amount change calculating unit.
일 실시예에서, 상기 정보량 변화 계산부를 호출하는 단계는, 사용자로부터 상기 이벤트 처리부에 수신된 요청에 대한 응답으로 또는 주기적으로 수행된다.In one embodiment, the step of calling the information amount change calculator is performed in response to a request received from the user to the event processing unit or periodically.
일 실시예에서, 상기 엔트로피 값들의 합계를 감시하는 단계는, 주기적으로 산출된 상기 엔트로피 값들의 누적 합계가 미리 설정된 임계치를 넘는지 여부를 감시하는 단계를 포함한다.In one embodiment, monitoring the sum of the entropy values comprises monitoring whether the cumulative sum of the periodically calculated entropy values exceeds a predetermined threshold.
일 실시예에서, 상기 엔트로피 값을 산출하는 단계는, 상기 그래프 데이터베이스에서, 미리 설정된 조건을 충족하는 그래프 데이터의 개수에 대한 상기 미리 설정된 조건을 충족하며 신규 생성 또는 변화된 그래프 데이터의 개수의 비율을 이용하여 상기 엔트로피 값을 계산하는 단계를 포함한다.In one embodiment, the step of calculating the entropy value may include calculating, in the graph database, a ratio of the number of graph data that satisfies the preset condition for the number of graph data satisfying the preset condition and newly generated or changed And calculating the entropy value.
일 실시예에서, 상기 엔트로피 값을 계산하는 단계는, 상기 엔트로피 값을 H(x), 상기 미리 설정된 조건을 충족하는 그래프 데이터의 개수를 G, 시간을 t, 시간 구간 i에서 상기 미리 설정된 조건을 충족하며 신규 생성 또는 변화된 그래프 데이터의 개수를 Gi, 상기 미리 설정된 조건을 충족하는 전체 그래프 데이터 중에서 신규 생성 또는 변화된 그래프 데이터가 나타난 확률을 라고 할 경우, 의 수학식에 의하여 상기 엔트로피 값을 산출하는 단계를 포함한다.In one embodiment, the step of calculating the entropy value may include calculating the entropy value as H (x), the number of graph data satisfying the preset condition as G, the time as t, G i is the number of graph data that satisfies the predetermined condition, and G i is the number of newly generated or changed graph data. If so, And calculating the entropy value according to the following equation.
일 실시예에 따른 컴퓨터 프로그램은 하드웨어와 결합되어 전술한 실시예들에 따른 침해 활동 추이 분석 방법을 실행하기 위한 것으로서 컴퓨터로 판독 가능한 매체에 저장된 것일 수 있다.The computer program according to one embodiment may be stored in a computer-readable medium for execution of the infringement activity trend analysis method according to the above-described embodiments in combination with hardware.
본 발명의 일 측면에 따른 침해 활동 추이 분석 시스템 및 방법에 의하면, 설정된 일정(예컨대, 시간 값)에 따라 그래프 데이터베이스 내 위협정보에 대해 변화량을 엔트로피 값의 형식으로 추출하는 스케줄러(scheduler)를 두고, 엔트로피 값의 총합에 대한 감시를 통해 그래프 데이터베이스 내 축적되어 있는 침해 위협 정보를 지속적으로 조회 추출할 수 있고, 추출된 엔트로피와 시계열 변화 추이 정보를 이용하여, 현재 비활성 상태(또는 활동 전 상태)인 위협 정보에 대하여 지속적인 감시(기능 또는 서비스 형태)를 구현할 수 있다.According to an exemplary embodiment of the present invention, there is provided a system and method for analyzing an infringement activity, comprising: a scheduler for extracting a change amount with respect to threat information in a graph database in a form of an entropy value according to a predetermined schedule (e.g., Through the monitoring of the sum of entropy values, infiltration threat information accumulated in the graph database can be continuously inquired and extracted. Using the extracted entropy and the time series change information, it is possible to detect the current inactive state It is possible to implement continuous monitoring (function or service type) on the information.
도 1은 그래프 데이터베이스에 저장되는 그래프 데이터의 예시적인 형태를 나타낸 개념도이다.
도 2는 일 실시예에 따른 침해 활동 추이 분석 시스템의 개략적인 블록도이다.
도 3은 일 실시예에 따른 침해 활동 추이 분석 방법의 순서도이다.1 is a conceptual diagram showing an exemplary form of graph data stored in a graph database.
2 is a schematic block diagram of an infringement activity trend analysis system according to an embodiment.
FIG. 3 is a flowchart of a method for analyzing an infringement activity trend according to an embodiment.
이하에서, 도면을 참조하여 본 발명의 실시예들에 대하여 상세히 살펴본다.Hereinafter, embodiments of the present invention will be described in detail with reference to the drawings.
도 2는 일 실시예에 따른 침해 활동 추이 분석 시스템의 개략적인 블록도이다.2 is a schematic block diagram of an infringement activity trend analysis system according to an embodiment.
일 실시예에서, 침해 활동 추이 분석 시스템은 이벤트(event) 처리부(10), 정보량 변화 계산부(20), 그래프 데이터베이스 질의 처리부(31) 및 임계치 감시부(40)를 포함한다. 일 실시예에서, 침해 활동 추이 분석 시스템은 하나 이상의 그래프 데이터를 포함하는 그래프 데이터베이스가 저장되는 그래프 데이터베이스 저장부(32)를 더 포함한다.In one embodiment, the infringement activity trend analysis system includes an
실시예들에 따른 침해 활동 추이 분석 시스템(10)은 전적으로 하드웨어이거나, 또는 부분적으로 하드웨어이고 부분적으로 소프트웨어인 측면을 가질 수 있다. 예컨대, 침해 활동 추이 분석 시스템(10)에 포함된 각 부(unit)는 특정 형식 및 내용의 데이터를 처리하거나 또는/또한 전자통신 방식으로 주고받기 위한 하드웨어 및 이에 관련된 소프트웨어를 통칭할 수 있다. 본 명세서에서 "부", "모듈", "장치", "단말기", "서버" 또는 "시스템" 등의 용어는 하드웨어 및 해당 하드웨어에 의해 구동되는 소프트웨어의 조합을 지칭하는 것으로 의도된다. 예를 들어, 하드웨어는 CPU 또는 다른 프로세서(processor)를 포함하는 데이터 처리 기기일 수 있다. 또한, 하드웨어에 의해 구동되는 소프트웨어는 실행중인 프로세스, 객체(object), 실행파일(executable), 실행 스레드(thread of execution), 프로그램(program) 등을 지칭할 수 있다.The infiltration activity
또한, 본 실시예에 따른 침해 활동 추이 분석 시스템을 구성하는 각각의 요소는 반드시 서로 물리적으로 구분되는 별개의 장치를 지칭하는 것으로 의도되지 않는다. 즉, 도 2의 이벤트 처리부(10), 정보량 변화 계산부(20), 그래프 데이터베이스 질의 처리부(31), 그래프 데이터베이스 저장부(32) 및 임계치 감시부(40)는 침해 활동 추이 분석 시스템을 구성하는 하드웨어를 해당 하드웨어에 의해 수행되는 동작에 따라 기능적으로 구분한 것일 뿐, 반드시 각각의 부가 서로 독립적으로 구비되어야 하는 것이 아니다. 물론, 실시예에 따라서는 이벤트 처리부(10), 정보량 변화 계산부(20), 그래프 데이터베이스 질의 처리부(31), 그래프 데이터베이스 저장부(32) 및 임계치 감시부(40) 중 하나 이상이 서로 물리적으로 구분되는 별개의 장치로 구현되는 것도 가능하다.In addition, each element constituting the infringing activity trend analysis system according to the present embodiment is not intended to refer to a separate apparatus which is physically separated from each other. That is, the
그래프 데이터베이스 저장부(32)는 하나 이상의 그래프 데이터를 포함하는 그래프 데이터베이스를 저장한다. 그래프 데이터베이스 저장부(32)에 저장된 그래프 데이터베이스의 그래프 데이터는, 데이터 객체에 각각 상응하는 복수 개의 노드(node) 및 각 노드 사이를 연결하고 데이터 객체 사이의 연관관계를 나타내는 에지(edge)를 포함한다. 이때, 하나의 에지에 복수 개의 노드가 동시에 연결될 수도 있다. 또한, 각각의 에지는 방향성을 가지는 벡터일 수 있다.The graph
이때, 그래프 데이터베이스에 포함된 하나 이상의 그래프 데이터는 침해 활동에 연관된 것일 수 있다. 본 명세서에서 침해 활동이란, 통신 네트워크를 통하여 프로세스, 파일, 레지스트리(registry), 네트워크, 시스템을 대상으로 무단 액세스(access), 기능 장애, 오용, 수정, 파괴 등을 일으키는 임의의 악의적인 행위를 지칭한다. 그래프 데이터는 이러한 침해 활동에 연관되는 것으로서 다양한 형태를 지니는 침해지표(Indicators of Compromise; IoC) 데이터 객체와 이들 사이의 연관관계를 저장할 수 있다.At this time, one or more graph data included in the graph database may be related to infringement activity. In this specification, infringing activity refers to any malicious activity that causes unauthorized access, malfunction, misuse, modification, destruction, etc. to a process, a file, a registry, a network, do. Graph data can store various types of Indicators of Compromise (IoC) data objects associated with these infringing activities and their associations.
예를 들어, "특정 해커 집단 A가 특정 해쉬값을 가진 소프트웨어 도구를 사용하여 특정 도메인을 공격하였으며, 이 때 우회를 위하여 사용한 아이피(IP) 구간은 XXX.XXX.XXX.XXX ~ YYY.YYY.YYY.YYY 이다" 라는 문장을 그래프 데이터로 저장하고자 할 경우를 가정한다. 이때 그래프 데이터의 데이터 구조는 문장 내에 포함된 침해 정보인 아이피, 도메인, 소프트웨어 도구, 해쉬값, 해커 집단 A 등을 데이터 객체인 각 노드로 하고, 이들의 연관 관계를 각 노드 사이의 에지로 표현한 것일 수 있다.For example, "A specific hacker group A attacked a specific domain using a software tool with a particular hash value, and the IP interval used for the bypass was XXX.XXX.XXX.XXX ~ YYY.YYY. YYY.YYY "is to be stored as graph data. At this time, the data structure of the graph data is defined as nodes of the data object, such as IP, domain, software tool, hash value, and hacker group A, which are infringement information included in the sentence, .
또한, 실시예들에서 그래프 데이터는 객체 사이의 에지에 여러 개의 관계 및 가중치가 존재할 수 있는 프로퍼티 그래프(property graph)일 수도 있으나, 이에 한정되는 것은 아니다.Also, in the embodiments, the graph data may be a property graph, but it is not limited thereto, in which there can exist several relations and weights at edges between objects.
본 실시예에 따른 침해 활동 추이 분석 시스템은, 전술한 것과 같은 그래프 데이터가 저장된 그래프 데이터베이스를 대상으로 주기적인 엔트로피(entropy) 계산 및 추출을 통해 현재 비활성 상태(또는, 활동 전 상태)인 위협 정보에 대한 지속적인 감시 기능을 구현하는 것을 목적으로 한다.The infiltration activity trend analysis system according to the present embodiment is a system for analyzing infringement activity according to the present invention by calculating and extracting periodic entropy on the graph database storing the graph data as described above, The purpose of this study is to implement continuous monitoring function.
상기 목적을 위하여, 이벤트 처리부(10)는 특정 시간 또는 특정 이벤트에 따라 발생하는 사용자로부터의 요청에 따라 또는 주기적으로 정보량 변화 계산부(20)를 호출할 수 있다.For this purpose, the
정보량 변화 계산부(20)는, 이벤트 처리부(10)에 의해 호출될 경우, 엔트로피 계산을 위한 그래프 질의를 생성할 수 있다. 그래프 질의는 그래프 데이터로부터 위협 정보 데이터를 추출하기 위한 그래프 질의 언어를 조합하여 생성될 수 있다. 정보량 변화 계산부(20)는 생성된 그래프 질의를 그래프 데이터베이스 질의 처리부(31)로 전달할 수 있다.When invoked by the
그래프 데이터베이스 질의 처리부(31)에서는 전달된 그래프 질의를 기반으로 그래프 데이터베이스 저장부(32)에 저장되어 있는 그래프 데이터베이스를 조회하여 반환값을 얻을 수 있다. 그래프 데이터베이스 질의 처리부(31)와 그래프 데이터베이스 저장부(32)는 하나의 데이터베이스 저장 장치(30)로 구현될 수도 있으나, 이에 한정되는 것은 아니다.The graph database
정보량 변화 계산부(20)는, 그래프 데이터베이스로부터의 반환값을 기반으로 그래프 데이터베이스에 대한 현 시간대의 위협 정보의 엔트로피 값을 계산할 수 있다. 또한, 정보량 변화 계산부(20)는, 시간 값과 계산된 엔트로피 값을 정렬하여 저장할 수 있다. 엔트로피 값은 그래프 데이터베이스 저장부(32)에 그래프 데이터베이스와 함께 저장될 수도 있으며, 또는 정보량 변화 계산부(20) 내에 자체적으로 저장될 수도 있다.The information
임계치 감시부(40)는 정보량 변화 계산부(20)에 의해 저장된 엔트로피 값들의 총합을 확인하여, 특정 위협 정보의 엔트로피 총합이 미리 설정된 임계치를 넘는지를 감시할 수 있다. 예컨대, 임계치 감시부(40)는 시계열적인 엔트로피 값들의 총합을 주기적으로 확인할 수 있다. 엔트로피 값들의 총합이 임계치를 넘는 경우, 임계치 감시부(40)는 해당 정보를 사용자 장치(미도시) 또는 연계 시스템(미도시)에 통지할 수도 있다.The threshold
도 3은 일 실시예에 따른 침해 활동 추이 분석 방법의 순서도이다. 설명의 편의를 위하여, 이하에서는 도 2 및 도 3을 참조하여 본 실시예에 따른 침해 활동 추이 분석 방법에 대하여 설명한다.FIG. 3 is a flowchart of a method for analyzing an infringement activity trend according to an embodiment. For convenience of explanation, the method of analyzing the infringing activity according to the present embodiment will be described below with reference to FIG. 2 and FIG.
먼저, 이벤트 처리부(10)에서는 사전에 설정된 이벤트 처리 주기를 확인하여(S2), 엔트로피 계산을 위한 호출 주기인지 여부를 결정할 수 있다(S3). 이벤트 처리 주기는 시간에 따라 일정 시간마다 호출하도록 구성될 수도 있고, 또는 사용자의 특정 행동에 대한 응답으로 호출이 이루어지도록 구성할 수도 있다.First, in the
호출 주기가 도래하였다면, 이벤트 처리부(10)는 엔트로피 계산을 위해 정보량 변화 계산부(20)를 호출한다(S4). 일 실시예에서, 정보량 변화 계산부(20)에서는 이전의 시간 주기에서 그래프 데이터베이스에 저장되어 있던 데이터와 비교하여 현재 시각에서 데이터의 변화가 있는지 여부를 확인한다(S5). 데이터 변화 여부의 확인은, 그래프 데이터베이스에 해당하는 전자파일의 용량 및 변경 일자, 또는 정보량 변화 계산부(20)에 의하여 생성되어 저장된 그래프 데이터베이스의 해쉬(hash)값 등을 이용하여 이루어질 수 있다.If the paging cycle has arrived, the
정보의 변화가 있을 경우, 이벤트 처리부(10)는 그래프 질의를 생성하고 이를 기반으로 그래프 데이터베이스 질의 처리부(31)를 통하여 그래프 데이터베이스 저장부(32)를 조회하는 방식으로 그래프 데이터베이스로부터의 반환값을 수신한다. 다음으로, 이벤트 처리부(10)는 그래프 데이터베이스로부터의 반환값을 이용하여 엔트로피의 계산 작업을 수행할 수 있다(S6).When there is a change in information, the
구체적으로, 정보량 변화 계산부(20)에 의한 엔트로피의 계산은 그래프 데이터베이스에서 소정의 조건을 충족하는 그래프 데이터의 개수에 대해 상기 소정의 조건을 충족하면서 신규 생성 또는 변화된 그래프 데이터의 개수의 비율을 기반으로 계산될 수 있다. 이때 소정의 조건이란, 그래프 데이터에서 침해 활동에 해당하는 침해지표(Indicators of Compromise; IoC)를 찾기 위한 것으로, 침해 활동에 따라 다양하게 설정될 수 있다.Specifically, the calculation of the entropy by the information amount
예컨대, 정보량 변화 계산부(20)에 의해 얻어지는 엔트로피 값을 H(x), 침해 활동의 조건을 충족하는 그래프 데이터의 총 개수를 G, 시간을 t, 시간 구간 i에서 침해 활동의 조건을 충족하면서 신규 생성 또는 변화된 그래프 데이터의 개수를 Gi라고 하고, 침해 활동의 조건을 충족하는 전체 그래프 데이터 중에서 신규 생성 또는 변화된 그래프 데이터가 나타난 확률을 라고 할 경우, 정보량 변화 계산부(20)는 하기 수학식 1에 의하여 엔트로피 값을 산출할 수 있다.For example, when the entropy value obtained by the information amount
[수학식 1][Equation 1]
상기 수학식 1은 정보 이론(information theory)을 기초로 도출된 정보 엔트로피(또는, 쉐넌 엔트로피)에 해당하는 것으로, 그래프 데이터에서 신규 생성 또는 변화된 그래프의 비율이라는 정보는 그 기댓값(또는, 평균)이 수학식 1의 엔트로피 값이며 확률분포로 표현되는 확률변수를 형성한다. 이때, 수학식 1의 엔트로피 값은 자주 발생하는 사건이 상대적으로 낮은 정보량을 가지며 낮은 빈도로 발생하는 사건이 상대적으로 높은 정보량을 갖도록 하여 기존 정보 대비 정보 변화량을 측정하기 위한 것으로, 낮은 확률 값을 가지는 사건이 높은 정보량을 갖도록 음의 로그를 이용하여 엔트로피 값을 정의하였으며, 0에서 1 사이의 확률 값에 음의 로그를 붙여 결과값이 범위를 벗어나지 않도록 하였다.Equation (1) corresponds to the information entropy (or the Shannon entropy) derived on the basis of the information theory. The information of the ratio of the graph newly generated or changed in the graph data is the expected value The entropy value of Equation (1) is formed and a random variable represented by a probability distribution is formed. In this case, the entropy value of Equation (1) is for measuring a change amount of information with respect to existing information by causing a relatively low information amount to occur frequently and a relatively high information amount to occur at a low frequency occurrence, The entropy value is defined using the logarithm of the event so that the event has a high information amount, and the logarithm of the probability value between 0 and 1 is added so that the resultant value does not deviate from the range.
다음으로, 정보량 변화 계산부(20)는 계산된 엔트로피 값을 데이터로 저장할 수 있다(S7). 엔트로피 값은 그래프 데이터베이스 저장부(32)에 저장될 수도 있으며, 또는 정보량 변화 계산부(20) 내에 자체적으로 저장될 수도 있다. 이상의 엔트로피 값의 계산과 저장 과정은, 호출 주기에 따라 반복적으로 수행된다.Next, the information amount
임계치 감시부(40)는, 정보량 변화 계산부(20)에 의해 계산된 엔트로피 값을 요청하고 그 총합을 감시하는 역할을 한다(S8). 임계치 감시부(40)는, 시계열적으로(예컨대, 주기적으로) 계산된 엔트로피 값들의 총합이 사전에 설정된 임계치를 넘는지 여부를 관찰하고(S9), 임계치를 넘는 경우에는 해당 정보를 사용자 장치 또는 연계 시스템에 전파하는 작업을 수행할 수 있다(S12).The threshold
반대로, 현재 단계에서 계산된 엔트로피 값들의 총합이 임계치를 넘지 않는 경우에는, 임계치 감시부(40)는 통상시의 동작으로 돌아가 임계치 검사 주기를 확인하고(S10), 검사 주기가 도래하였을 경우(S11), 엔트로피 값을 요청하여 그 총합을 검토하는 과정(S8)을 반복적으로 수행한다.On the other hand, when the total sum of the entropy values calculated at the present stage does not exceed the threshold value, the threshold
구체적으로, 임계치 감시부(40)에 의해 시계열적인 엔트로피 값들의 총합을 계산하는 과정의 일 예는 하기 표 1과 같다.Specifically, an example of a process of calculating a sum of time-series entropy values by the threshold
표 1을 참조하면, 시간 t=0에서 침해 조건에 해당하는 그래프 데이터의 변화 개수 Gi는 55개이고, 시간 t=0이 첫 번째 시간 구간이므로 침해 조건에 해당하는 그래프 데이터 전체의 개수도 55개이다.Referring to Table 1, since the number of change G i of the graph data corresponding to the infringement condition at time t = 0 is 55, and the time t = 0 is the first time period, the total number of graph data corresponding to the infringement condition is 55 .
다음으로, 시간 t=1에서 침해 조건에 해당하는 그래프 데이터의 변화 개수 Gi는 25개라고 하면, 침해 조건에 해당하는 그래프 데이터 전체의 개수 G는 80(=55+25)이 된다. 이때, Gi/G = 25/80 = 0.3125 이고, 이 값을 수학식 1의 우변에 대입하면 (-1)*(0.3125)*(log2(0.3125)) 의 계산에 의하여 엔트로피 값 H(x)는 약 0.52439745로 얻어진다.Next, when the number of change G i of the graph data corresponding to the infringement condition at time t = 1 is 25, the number G of the entire graph data corresponding to the infringement condition is 80 (= 55 + 25). At this time, G i / G = 25/80 = 0.3125 , and this value is substituted in the right-hand side of equation (1) (-1) * (0.3125) * entropy value by the calculation of the (log 2 (0.3125)) H (x ) Is obtained as about 0.52439745.
다음으로, 시간 t=2에서 전술한 것과 동일한 과정으로 엔트로피 값 H(x)를 계산하면 약 0.3522139의 값이 얻어진다. 이때, 임계치 감시부(40)는 시계열적인 엔트로피 값들의 총합을 계산하므로 H(x)의 총합은 (0.52439745 + 0.3522139)로 0.87661366의 값이 얻어진다. 동일한 방식으로, 임계치 감시부(40)는 t=3, 4, 5에서의 H(x)의 값의 총합을 각각 1.2776621, 1.7006791 및 2.1592404로 얻을 수 있다.Next, when the entropy value H (x) is calculated at the time t = 2 in the same manner as described above, a value of about 0.3522139 is obtained. At this time, since the threshold
이때, 임계치 감시부(40)는 표 1에 기재된 것과 같은 H(x)의 총합을 미리 설정된 임계치와 비교하여 H(x)의 총합이 특정 임계치를 넘었을 때를 감지하는 역할을 한다. 예컨대, 표 1의 예에서 임계치가 1이라고 가정하면, t=3, 4, 5의 시간 구간은 H(x)의 총합이 임계치를 넘으므로 정보 전파 작업이 이루어져야 하는 시점에 해당한다.At this time, the
이상에서 설명한 본 발명의 실시예들에 의하면, 설정된 일정(예컨대, 시간 값)에 따라 그래프 데이터베이스 내 위협정보에 대해 변화량을 엔트로피 값의 형식으로 추출하는 스케줄러(scheduler)를 두고, 엔트로피 값의 총합에 대한 감시를 통해 그래프 데이터베이스 내 축적되어 있는 침해 위협 정보를 지속적으로 조회 추출할 수 있고, 추출된 엔트로피와 시계열 변화 추이 정보를 이용하여, 현재 비활성 상태(또는 활동 전 상태)인 위협 정보에 대하여 지속적인 감시(기능 또는 서비스 형태)를 구현할 수 있다.According to the embodiments of the present invention described above, a scheduler for extracting a change amount in the form of an entropy value with respect to threat information in a graph database according to a predetermined schedule (for example, a time value) The threat information on the graph database can be continuously inquired and extracted by using the extracted entropy and time series change information to continuously monitor threat information in the current inactive state (Function or service type).
특히, 실시예들에서는 그래프 데이터베이스로부터 추출된 엔트로피 값을 시계열 형태(시간 순서 데이터)로 축적함으로써, 이를 기반으로 특정 침해 사고의 생명주기(life cycle) 분석 및 변화 추이를 관리할 수 있다. 예컨대, 임계치 감시부(40)는 데이터의 사용 목적 및 요청에 따라 지속적으로 침해 정보의 시계열 데이터를 관리하면서, 엔트로피 값이 임계치를 넘는 경우 또는 시계열 데이터를 통해 분석된 침해의 생명주기에 따라 관리가 필요한 것으로 판단되는 경우에 엔트로피 감소를 위한 데이터 최적화 작업을 수행할 수 있다. 이와 같이, 단순 위협 정보를 가지고 측정할 수 없었던 침해 변화 추이에 대한 대응을 통해, 위협 정보 연결 그래프를 지속적으로 관리하고 이를 다른 기술과 접목할 수 있는 이점이 있다.Particularly, in the embodiments, the entropy value extracted from the graph database can be accumulated in a time-series form (time sequence data), and the life cycle analysis and change trend of a specific invasion accident can be managed based on the entropy value. For example, the
이상에서 설명한 실시예들에 따른 침해 활동 추이 분석 방법에 의한 동작은 적어도 부분적으로 컴퓨터 프로그램으로 구현되고 컴퓨터로 읽을 수 있는 기록매체에 기록될 수 있다. 실시예들에 따른 침해 활동 추이 분석 방법에 의한 동작을 구현하기 위한 프로그램이 기록되고 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록장치를 포함한다. 컴퓨터가 읽을 수 있는 기록매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 플로피디스크, 광 데이터 저장장치 등이 있다. 또한 컴퓨터가 읽을 수 있는 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어, 분산 방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수도 있다. 또한, 본 실시예를 구현하기 위한 기능적인 프로그램, 코드 및 코드 세그먼트(segment)들은 본 실시예가 속하는 기술 분야의 통상의 기술자에 의해 용이하게 이해될 수 있을 것이다.The operations according to the infringing activity trend analysis method according to the embodiments described above can be at least partially implemented in a computer program and recorded on a computer readable recording medium. The program for realizing the operation according to the infiltration activity trend analysis method according to the embodiments is recorded, and the computer readable recording medium includes all kinds of recording apparatuses in which data that can be read by the computer is stored. Examples of the computer-readable recording medium include ROM, RAM, CD-ROM, magnetic tape, floppy disk, optical data storage, and the like. The computer readable recording medium may also be distributed over a networked computer system so that computer readable code is stored and executed in a distributed manner. In addition, functional programs, codes, and code segments for implementing the present embodiment may be easily understood by those skilled in the art to which this embodiment belongs.
이상에서 살펴본 본 발명은 도면에 도시된 실시예들을 참고로 하여 설명하였으나 이는 예시적인 것에 불과하며 당해 분야에서 통상의 지식을 가진 자라면 이로부터 다양한 변형 및 실시예의 변형이 가능하다는 점을 이해할 것이다. 그러나, 이와 같은 변형은 본 발명의 기술적 보호범위 내에 있다고 보아야 한다. 따라서, 본 발명의 진정한 기술적 보호범위는 첨부된 청구범위의 기술적 사상에 의해서 정해져야 할 것이다.While the invention has been shown and described with reference to certain embodiments thereof, it will be understood by those skilled in the art that various changes and modifications may be made therein without departing from the spirit and scope of the invention as defined by the appended claims. However, it should be understood that such modifications are within the technical scope of the present invention. Accordingly, the true scope of the present invention should be determined by the technical idea of the appended claims.
Claims (11)
상기 이벤트 처리부에 의해 호출되어, 엔트로피 계산을 위한 그래프 질의를 생성하며, 침해 활동에 연관된 하나 이상의 그래프 데이터를 포함하는 그래프 데이터베이스로부터 상기 그래프 질의에 상응하여 수신된 반환값에 기초하여 상기 그래프 데이터베이스의 엔트로피 값을 산출하도록 구성된 정보량 변화 계산부;
상기 정보량 변화 계산부로부터 상기 그래프 질의를 수신하고, 상기 그래프 질의에 기초하여 상기 그래프 데이터베이스를 조회하여 상기 반환값을 수신하도록 구성된 그래프 데이터베이스 질의 처리부; 및
상기 정보량 변화 계산부에 의해 복수의 시점에 산출된 상기 엔트로피 값들의 합계를 감시하도록 구성된 임계치 감시부를 포함하되,
상기 그래프 데이터는 침해지표 데이터 객체에 상응하는 복수 개의 노드 및 상기 침해지표 데이터 객체 사이의 연관 관계에 상응하는 상기 노드 사이의 에지를 포함하고,
상기 이벤트 처리부는, 주기적으로 상기 정보량 변화 계산부를 호출하도록 더 구성되며,
상기 임계치 감시부는, 주기적으로 산출된 상기 엔트로피 값들의 누적 합계가 미리 설정된 임계치를 넘는지 여부를 감시하고, 상기 엔트로피 값들의 누적 합계가 상기 임계치를 넘는 경우, 엔트로피 감소를 위한 데이터 최적화 작업을 수행하도록 더 구성된 침해 활동 추이 분석 시스템.An event processing unit configured to determine whether or not to call for entropy calculation;
Invoking by the event processor to generate a graph query for entropy computation and to retrieve entropy of the graph database based on a return value received corresponding to the graph query from a graph database containing one or more graph data associated with an infringement activity, An information amount change calculation unit configured to calculate a value;
A graph database query processing unit configured to receive the graph query from the information amount change calculation unit, receive the return value by querying the graph database based on the graph query; And
And a threshold monitoring unit configured to monitor a sum of the entropy values calculated at a plurality of time points by the information amount change calculation unit,
The graph data comprising a plurality of nodes corresponding to an infringing indicator data object and an edge between the nodes corresponding to an association between the infringing indicator data objects,
Wherein the event processing unit is further configured to periodically call the information amount change calculation unit,
The threshold monitoring unit monitors whether a cumulative sum of the entropy values calculated periodically exceeds a preset threshold value and performs a data optimization operation for reducing entropy when the cumulative sum of the entropy values exceeds the threshold value More structured infiltration activity analysis system.
상기 정보량 변화 계산부는, 상기 그래프 데이터베이스에서, 미리 설정된 조건을 충족하는 그래프 데이터의 개수에 대한 상기 미리 설정된 조건을 충족하며 신규 생성 또는 변화된 그래프 데이터의 개수의 비율을 이용하여 상기 엔트로피 값을 산출하도록 더 구성된 침해 활동 추이 분석 시스템.The method according to claim 1,
The information amount change calculation unit may calculate the entropy value using the ratio of the number of graph data that satisfies the preset condition for the number of graph data satisfying the preset condition and is newly generated or changed in the graph database Infiltration activity trend analysis system.
상기 정보량 변화 계산부는,
상기 엔트로피 값을 H(x), 상기 미리 설정된 조건을 충족하는 그래프 데이터의 개수를 G, 시간을 t, 시간 구간 i에서 상기 미리 설정된 조건을 충족하며 신규 생성 또는 변화된 그래프 데이터의 개수를 Gi, 상기 미리 설정된 조건을 충족하는 전체 그래프 데이터 중에서 신규 생성 또는 변화된 그래프 데이터가 나타난 확률을 라고 할 경우,
의 수학식에 의하여 상기 엔트로피 값을 계산하도록 더 구성된 침해 활동 추이 분석 시스템.5. The method of claim 4,
The information amount change calculator calculates,
G is the number of pieces of graph data satisfying the predetermined condition, Gi is time, t is the number of graph data that satisfies the preset condition and newly generated or changed at time interval i, Gi is the number of pieces of graph data, The probability that the newly generated or changed graph data appears in the entire graph data satisfying the predetermined condition If so,
To calculate the entropy value according to the following equation: < EMI ID = 1.0 >
상기 정보량 변화 계산부가, 엔트로피 계산을 위한 그래프 질의를 생성하는 단계;
상기 침해 활동 추이 분석 시스템의 그래프 데이터베이스 질의 처리부가, 상기 그래프 질의에 기초하여 하나 이상의 그래프 데이터를 포함하는 그래프 데이터베이스를 조회함으로써 상기 그래프 데이터베이스로부터 반환값을 수신하는 단계;
상기 정보량 변화 계산부가, 상기 반환값에 기초하여 상기 그래프 데이터베이스의 엔트로피 값을 산출하는 단계; 및
상기 침해 활동 추이 분석 시스템의 임계치 감시부가, 상기 정보량 변화 계산부에 의해 복수의 시점에 산출된 상기 엔트로피 값들의 합계를 감시하는 단계를 포함하되,
상기 그래프 데이터는 침해지표 데이터 객체에 상응하는 복수 개의 노드 및 상기 침해지표 데이터 객체 사이의 연관 관계에 상응하는 상기 노드 사이의 에지를 포함하고,
상기 정보량 변화 계산부를 호출하는 단계는 주기적으로 수행되며,
상기 엔트로피 값들의 합계를 감시하는 단계는,
주기적으로 산출된 상기 엔트로피 값들의 누적 합계가 미리 설정된 임계치를 넘는지 여부를 감시하는 단계; 및
상기 엔트로피 값들의 누적 합계가 상기 임계치를 넘는 경우, 엔트로피 감소를 위한 데이터 최적화 작업을 수행하는 단계를 포함하는 침해 활동 추이 분석 방법.An event processing unit of the infringement activity trend analysis system calls an information amount change calculation unit of the infringement activity trend analysis system;
Wherein the information amount change calculation unit generates a graph query for entropy calculation;
Receiving a return value from the graph database by querying a graph database including one or more graph data based on the graph query, the graph database query processing unit of the infiltration activity trend analysis system;
Calculating an entropy value of the graph database based on the return value; And
Monitoring a total of the entropy values calculated at a plurality of time points by the information amount change calculation unit, wherein the threshold monitoring unit of the violation activity trend analysis system includes:
The graph data comprising a plurality of nodes corresponding to an infringing indicator data object and an edge between the nodes corresponding to an association between the infringing indicator data objects,
The step of calling the information amount change calculator is periodically performed,
Wherein monitoring the sum of entropy values comprises:
Monitoring whether a cumulative sum of the entropy values periodically calculated exceeds a preset threshold value; And
And performing a data optimization operation for reducing entropy when a cumulative sum of the entropy values exceeds the threshold value.
상기 엔트로피 값을 산출하는 단계는, 상기 그래프 데이터베이스에서, 미리 설정된 조건을 충족하는 그래프 데이터의 개수에 대한 상기 미리 설정된 조건을 충족하며 신규 생성 또는 변화된 그래프 데이터의 개수의 비율을 이용하여 상기 엔트로피 값을 계산하는 단계를 포함하는 침해 활동 추이 분석 방법.The method according to claim 6,
Wherein the calculating of the entropy value comprises: calculating, in the graph database, the entropy value by using a ratio of the number of graph data that satisfies the preset condition for the number of graph data satisfying the preset condition and newly generated or changed A method for analyzing the trend of infringing activities including a step of calculating the infringing activity.
상기 엔트로피 값을 산출하는 단계는,
상기 엔트로피 값을 H(x), 상기 미리 설정된 조건을 충족하는 그래프 데이터의 개수를 G, 시간을 t, 시간 구간 i에서 상기 미리 설정된 조건을 충족하며 신규 생성 또는 변화된 그래프 데이터의 개수를 Gi, 상기 미리 설정된 조건을 충족하는 전체 그래프 데이터 중에서 신규 생성 또는 변화된 그래프 데이터가 나타난 확률을 라고 할 경우,
의 수학식에 의하여 상기 엔트로피 값을 계산하는 단계를 포함하는 침해 활동 추이 분석 방법.10. The method of claim 9,
The step of calculating the entropy value includes:
G is the number of pieces of graph data satisfying the predetermined condition, Gi is time, t is the number of graph data that satisfies the preset condition and newly generated or changed at time interval i, Gi is the number of pieces of graph data, The probability that the newly generated or changed graph data appears in the entire graph data satisfying the predetermined condition If so,
And calculating the entropy value according to the following equation.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020180147817A KR102001958B1 (en) | 2018-11-26 | 2018-11-26 | System and method for analyzing trend of infringement by calculating entropy of graph data and computer program for the same |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020180147817A KR102001958B1 (en) | 2018-11-26 | 2018-11-26 | System and method for analyzing trend of infringement by calculating entropy of graph data and computer program for the same |
Publications (1)
Publication Number | Publication Date |
---|---|
KR102001958B1 true KR102001958B1 (en) | 2019-07-23 |
Family
ID=67439813
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020180147817A KR102001958B1 (en) | 2018-11-26 | 2018-11-26 | System and method for analyzing trend of infringement by calculating entropy of graph data and computer program for the same |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR102001958B1 (en) |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20110100508A (en) * | 2010-03-04 | 2011-09-14 | 고려대학교 산학협력단 | Method and apparatus for unpacking packed executables using entropy analysis |
KR20120105759A (en) * | 2011-03-16 | 2012-09-26 | 한국전자통신연구원 | Malicious code visualization apparatus, apparatus and method for detecting malicious code |
KR101697875B1 (en) | 2015-10-30 | 2017-01-18 | 아주대학교산학협력단 | Method for analying document based on graph model and system thereof |
-
2018
- 2018-11-26 KR KR1020180147817A patent/KR102001958B1/en active IP Right Grant
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20110100508A (en) * | 2010-03-04 | 2011-09-14 | 고려대학교 산학협력단 | Method and apparatus for unpacking packed executables using entropy analysis |
KR20120105759A (en) * | 2011-03-16 | 2012-09-26 | 한국전자통신연구원 | Malicious code visualization apparatus, apparatus and method for detecting malicious code |
KR101697875B1 (en) | 2015-10-30 | 2017-01-18 | 아주대학교산학협력단 | Method for analying document based on graph model and system thereof |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9413773B2 (en) | Method and apparatus for classifying and combining computer attack information | |
CN111786950B (en) | Network security monitoring method, device, equipment and medium based on situation awareness | |
CN112073389B (en) | Cloud host security situation awareness system, method, device and storage medium | |
CN110162976B (en) | Risk assessment method and device and terminal | |
KR100892415B1 (en) | Cyber Threat Forecasting System and Method therefor | |
CN109543891B (en) | Method and apparatus for establishing capacity prediction model, and computer-readable storage medium | |
CN111740868B (en) | Alarm data processing method and device and storage medium | |
CN110602135B (en) | Network attack processing method and device and electronic equipment | |
CA2779325C (en) | Health care incident prediction | |
CN114548706A (en) | Early warning method for business risk and related equipment | |
JP2021027505A (en) | Monitoring device, monitoring method, and monitoring program | |
CN116488989A (en) | Method for monitoring abnormality of interface access data, computer equipment and computer readable storage medium | |
US8364776B1 (en) | Method and system for employing user input for website classification | |
CN114116391A (en) | Redis instance health detection method, device, equipment and storage medium | |
CN116938600B (en) | Threat event analysis method, electronic device and storage medium | |
CN113760642A (en) | Monitoring processing method and device | |
CN113901441A (en) | User abnormal request detection method, device, equipment and storage medium | |
CN112861142A (en) | Database risk level determination method and device, storage medium and electronic device | |
KR102001958B1 (en) | System and method for analyzing trend of infringement by calculating entropy of graph data and computer program for the same | |
CN112349431A (en) | Method, system and computer readable medium for generating health index of pharmacovigilance system | |
CN110210221B (en) | File risk detection method and device | |
CN116795631A (en) | Service system monitoring alarm method, device, equipment and medium | |
Lu et al. | Economic–statistical Design of Maximum Exponentially Weighted Moving Average Control Charts | |
CN115374088A (en) | Database health degree analysis method, device and equipment and readable storage medium | |
CN114143173A (en) | Data processing method, device, equipment and storage medium |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant |