KR102047782B1 - 보안 이벤트의 연관 분석을 통한 사이버 침해 위협 탐지 방법 및 장치 - Google Patents

보안 이벤트의 연관 분석을 통한 사이버 침해 위협 탐지 방법 및 장치 Download PDF

Info

Publication number
KR102047782B1
KR102047782B1 KR1020170001183A KR20170001183A KR102047782B1 KR 102047782 B1 KR102047782 B1 KR 102047782B1 KR 1020170001183 A KR1020170001183 A KR 1020170001183A KR 20170001183 A KR20170001183 A KR 20170001183A KR 102047782 B1 KR102047782 B1 KR 102047782B1
Authority
KR
South Korea
Prior art keywords
event
data set
extracting
security
occurrence
Prior art date
Application number
KR1020170001183A
Other languages
English (en)
Other versions
KR20180080449A (ko
Inventor
이종훈
김익균
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020170001183A priority Critical patent/KR102047782B1/ko
Priority to US15/823,209 priority patent/US10523697B2/en
Publication of KR20180080449A publication Critical patent/KR20180080449A/ko
Application granted granted Critical
Publication of KR102047782B1 publication Critical patent/KR102047782B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/30Information retrieval; Database structures therefor; File system structures therefor of unstructured textual data
    • G06F16/33Querying
    • G06F16/3331Query processing
    • G06F16/334Query execution
    • G06F16/3347Query execution using vector based model
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/121Timestamp
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Databases & Information Systems (AREA)
  • Data Mining & Analysis (AREA)
  • Computational Linguistics (AREA)
  • Alarm Systems (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Telephone Function (AREA)

Abstract

관제 솔루션이 자동적으로 결정하는 경우의 수를 높임으로써, 실제 관제 요원들이 직접 분석을 해야 하는 분석 대상이 되는 이벤트의 건수를 감소시킬 수 있는 보안 이벤트의 연관 분석을 통한 사이버 침해 위협 탐지 기술이 개시된다. 이를 위해, 본 발명의 일 실시예에 따른 보안 이벤트의 연관 분석을 통한 사이버 침해 위협 탐지 방법은 원시데이터에서 오탐이 발생되었던 시간을 기준으로 소정의 단위시간 동안의 보안 이벤트의 정보를 추출하여 오탐 데이터 셋을 추출하는 단계; 원시데이터에서 정탐이 발생되었던 시간을 기준으로 소정의 단위시간 동안의 보안 이벤트의 정보를 추출하여 정탐 데이터 셋을 추출하는 단계; 분석 대상이 되는 데이터에서 소정의 단위시간 동안의 보안 이벤트의 정보를 추출하여 현재 데이터 셋을 추출하는 단계; 오탐 데이터 셋, 정탐 데이터 셋 및 현재 데이터 셋 각각에서 보안 이벤트 별 동시 발생 빈도를 추출 및 통계화하여 이벤트 동시 발생 통계를 생성하는 단계; 이벤트 동시 발생 통계에 기초하여 이벤트 벡터를 생성하는 단계; 및 상기 이벤트 벡터에 기초하여 공간 벡터 모델링을 통하여 침해 위협 탐지를 수행하는 단계를 포함하는 것을 특징으로 한다.

Description

보안 이벤트의 연관 분석을 통한 사이버 침해 위협 탐지 방법 및 장치{METHOD AND APPARATUS FOR RECOGNIZING CYBER THREATS USING CORRELATIONAL ANALYTICS}
본 발명은 보안 이벤트의 연관 분석을 통한 사이버 침해 위협 탐지 방법 및 장치에 관한 것으로, 특히 본 발명은 관제 솔루션이 자동적으로 결정하는 경우의 수를 높임으로써, 실제 관제 요원들이 직접 분석을 해야 하는 분석 대상이 되는 이벤트의 건수를 감소시킬 수 있는 보안 이벤트의 연관 분석을 통한 사이버 침해 위협 탐지 방법 및 장치에 관한 것이다.
현재 지능형 사이버 표적 공격은 공격자가 장기간에 걸쳐서 다양한 신종 변종된 공격 기법을 활용하고 있고, 이는 기업망이나 조직에 상당한 위협으로 대두되고 있고 이를 탐지하기 위한 다양한 보안 시스템과 솔루션이 개발되고 있다. 보편적인 네트워크의 칩입을 탐지하는 IDS(Intrusion Detection System)와 IPS(Intrusion Prevension System) 시스템의 경우 룰 기반으로 DDoS, 포트 스캔, 컴퓨터를 크랙하려는 시도와 같은 공격이 발생한 경우에는 이를 인지하고 보안 이벤트를 생성하게 되고 이를 보안 관제 센터에서 분석하여 침해 위협 발생을 인지하게 된다.
대부분의 보안 관제 센터의 관제 솔루션은 수집되는 원천 보안 이벤트에 대해서 필터링, 시나리오 분석, 영향도 분석등을 통해 자동적으로 침해 위협 사고를 탐지하거나 분석대상이 되는 이벤트를 탐지하여 관제 센터 운용 요원에 의해 수동적으로 분석을 하고 있다. 그러나, 통상의 관제 솔루션들은 IDS/IPS 시스템에서 생성되는 보안 이벤트의 양이 방대하고 실제 분석을 위한 관제 요원에 의해 분석을 수행하더라고 오탐으로 결정되는 경우가 많은 상황이다.
관련하여 한국공개특허 제2016-0089800호는 '사이버 침해 사고 조사 장치 및 방법'을 개시한다.
본 발명의 목적은 침해 위협 발생 여부를 자동으로 탐지하는 것이다. 즉, 본 발명은 관제 솔루션이 자동적으로 결정하는 경우의 수를 높임으로써, 실제 관제 요원들이 직접 분석을 해야 하는 분석 대상이 되는 이벤트의 건수를 감소시키는 것을 목적으로 한다.
상기한 목적을 달성하기 위한 본 발명의 일 실시예에 따른 보안 이벤트의 연관 분석을 통한 사이버 침해 위협 탐지 방법은 원시데이터에서 오탐이 발생되었던 시간을 기준으로 소정의 단위시간 동안의 보안 이벤트의 정보를 추출하여 오탐 데이터 셋을 추출하는 단계; 원시데이터에서 정탐이 발생되었던 시간을 기준으로 소정의 단위시간 동안의 보안 이벤트의 정보를 추출하여 정탐 데이터 셋을 추출하는 단계; 분석 대상이 되는 데이터에서 소정의 단위시간 동안의 보안 이벤트의 정보를 추출하여 현재 데이터 셋을 추출하는 단계; 상기 오탐 데이터 셋, 상기 정탐 데이터 셋 및 상기 현재 데이터 셋 각각에서 보안 이벤트 별 동시 발생 빈도를 추출 및 통계화하여 이벤트 동시 발생 통계를 생성하는 단계; 상기 이벤트 동시 발생 통계에 기초하여 이벤트 벡터를 생성하는 단계; 및 상기 이벤트 벡터에 기초하여 공간 벡터 모델링을 통하여 침해 위협 탐지를 수행하는 단계를 포함한다.
이 때, 상기 현재 데이터 셋을 추출하는 단계는, 상기 분석 대상이 되는 데이터에서 소정의 단위시간 동안의 보안 이벤트를 추출하는 단계; 및 상기 보안 이벤트의 발생 시간 및 이름을 식별화하여 상기 분석 대상이 되는 데이터에서 보안 이벤트의 정보를 추출하여 현재 데이터 셋을 추출하는 단계를 포함할 수 있다.
이 때, 상기 이벤트 벡터를 생성하는 단계에서는, 상기 이벤트 동시 발생 통계에 대한 데이터 노멀라이징을 통해 이벤트 벡터를 생성할 수 있다.
이 때, 상기 이벤트 벡터를 생성하는 단계에서는, 상기 이벤트 동시 발생 통계에 대하여 각각의 보안 이벤트가 단위 데이터 셋 내에서의 발생 빈도를 나타내는 TF(Term Frequency) 및 각각의 보안 이벤트가 전체 데이터 셋 내에서의 발생 빈도를 나타내는 IDF(Inverse Document Frequency)에 기초한 TF-IDF 값을 계산한 데이터 노멀라이징을 통해 이벤트 벡터를 생성할 수 있다.
이 때, 상기 TF-IDF 값은, 각각의 보안 이벤트가 단위 데이터 셋 내에서의 발생 빈도를 나타내는 TF의 값 및 각각의 보안 이벤트가 전체 데이터 셋 내에서의 발생 빈도를 나타내는 IDF의 값의 곱으로 계산될 수 있다.
이 때, 상기 침해 위협 탐지를 수행하는 단계에서는, 상기 이벤트 벡터의 공간 벡터 모델링을 통한 Long-term 연관 이벤트 분석에 기초하여 침해 위협 탐지를 수행할 수 있다.
이 때, 상기 침해 위협 탐지를 수행하는 단계에서는, 상기 현재 데이터 셋의 이벤트 벡터와 상기 오탐 데이터 셋 및 상기 정탐 데이터 셋의 이벤트 벡터의 유사도를 계산하고, 유사도 값의 기 설정된 임계치와의 비교를 통하여 침해 위협 탐지를 수행할 수 있다.
또한, 상기한 목적을 달성하기 위한 본 발명의 일 실시예에 따른 보안 이벤트의 연관 분석을 통한 사이버 침해 위협 탐지 장치는 원시데이터에서 오탐이 발생되었던 시간을 기준으로 소정의 단위시간 동안의 보안 이벤트의 정보를 추출하여 오탐 데이터 셋을 추출하는 오탐 데이터 셋 추출부; 원시데이터에서 정탐이 발생되었던 시간을 기준으로 소정의 단위시간 동안의 보안 이벤트의 정보를 추출하여 정탐 데이터 셋을 추출하는 정탐 데이터 셋 추출부; 분석 대상이 되는 데이터에서 소정의 단위시간 동안의 보안 이벤트의 정보를 추출하여 현재 데이터 셋을 추출하는 현재 데이터 셋 추출부; 상기 오탐 데이터 셋, 상기 정탐 데이터 셋 및 상기 현재 데이터 셋 각각에서 보안 이벤트 별 동시 발생 빈도를 추출 및 통계화하여 이벤트 동시 발생 통계를 생성하는 이벤트 동시 발생 통계 추출부; 상기 이벤트 동시 발생 통계에 기초하여 이벤트 벡터를 생성하는 이벤트 벡터 생성부; 및 상기 이벤트 벡터에 기초하여 공간 벡터 모델링을 통하여 침해 위협 탐지를 수행하는 침해 위협 결정부를 포함한다.
이 때, 현재 데이터 셋 추출부는, 상기 분석 대상이 되는 데이터에서 소정의 단위시간 동안의 보안 이벤트를 추출하는 이벤트 추출부; 및 상기 보안 이벤트의 발생 시간 및 이름을 식별화하여 상기 분석 대상이 되는 데이터에서 보안 이벤트의 정보를 추출하여 현재 데이터 셋을 추출하는 이벤트 텍스트 파서를 포함할 수 있다.
이 때, 상기 이벤트 벡터 생성부는, 상기 이벤트 동시 발생 통계에 대한 데이터 노멀라이징을 통해 이벤트 벡터를 생성할 수 있다.
이 때, 상기 이벤트 벡터 생성부는, 상기 이벤트 동시 발생 통계에 대하여 각각의 보안 이벤트가 단위 데이터 셋 내에서의 발생 빈도를 나타내는 TF(Term Frequency) 및 각각의 보안 이벤트가 전체 데이터 셋 내에서의 발생 빈도를 나타내는 IDF(Inverse Document Frequency)에 기초한 TF-IDF 값을 계산한 데이터 노멀라이징을 통해 이벤트 벡터를 생성할 수 있다.
이 때, 상기 TF-IDF 값은, 각각의 보안 이벤트가 단위 데이터 셋 내에서의 발생 빈도를 나타내는 TF의 값 및 각각의 보안 이벤트가 전체 데이터 셋 내에서의 발생 빈도를 나타내는 IDF의 값의 곱으로 계산될 수 있다.
이 때, 상기 침해 위협 결정부는, 상기 이벤트 벡터의 공간 벡터 모델링을 통한 Long-term 연관 이벤트 분석에 기초하여 침해 위협 탐지를 수행할 수 있다.
이 때, 상기 침해 위협 결정부는, 상기 현재 데이터 셋의 이벤트 벡터와 상기 오탐 데이터 셋 및 상기 정탐 데이터 셋의 이벤트 벡터의 유사도를 계산하고, 유사도 값의 기 설정된 임계치와의 비교를 통하여 침해 위협 탐지를 수행할 수 있다.
본 발명에 따르면, 침해 위협 발생 여부를 자동으로 탐지할 수 있다. 즉, 본 발명은 관제 솔루션이 자동적으로 결정하는 경우의 수를 높임으로써, 실제 관제 요원들이 직접 분석을 해야 하는 분석 대상이 되는 이벤트의 건수를 감소시킬 수 있다.
도 1은 본 발명의 실시예에 따른 보안 이벤트의 연관 분석을 통한 사이버 침해 위협 탐지 방법을 설명하기 위한 플로우챠트이다.
도 2는 본 발명의 실시예에 따른 보안 이벤트의 연관 분석을 통한 사이버 침해 위협 탐지 장치의 구성을 나타낸 블록도이다.
도 3은 본 발명의 실시예에 따른 보안 이벤트의 연관 분석을 통한 사이버 침해 위협 탐지 기술에 있어서, 보안 이벤트 분석의 과정을 보다 구체적으로 설명하기 위한 도면이다.
도 4는 본 발명의 실시예에 따른 보안 이벤트의 연관 분석을 통한 사이버 침해 위협 탐지 기술에 있어서, 정탐 및 오탐 데이터 셋의 추출 과정을 보다 구체적으로 설명하기 위한 도면이다.
도 5 및 도 6은 본 발명의 실시예에 따른 보안 이벤트의 연관 분석을 통한 사이버 침해 위협 탐지 기술에 있어서, 이벤트 벡터를 생성하는 과정을 보다 구체적으로 설명하기 위한 도면이다.
본 발명을 첨부된 도면을 참조하여 상세히 설명하면 다음과 같다. 여기서, 반복되는 설명, 본 발명의 요지를 불필요하게 흐릴 수 있는 공지 기능, 및 구성에 대한 상세한 설명은 생략한다. 본 발명의 실시형태는 당 업계에서 평균적인 지식을 가진 자에게 본 발명을 보다 완전하게 설명하기 위해서 제공되는 것이다. 따라서, 도면에서의 요소들의 형상 및 크기 등은 보다 명확한 설명을 위해 과장될 수 있다.
이하, 본 발명의 일 실시예에 따른 보안 이벤트의 연관 분석을 통한 사이버 침해 위협 탐지 방법에 대하여 설명한다.
도 1은 본 발명의 실시예에 따른 보안 이벤트의 연관 분석을 통한 사이버 침해 위협 탐지 방법을 설명하기 위한 플로우챠트이다.
도 1을 참조하면, 본 발명의 실시예에 따른 보안 이벤트의 연관 분석을 통한 사이버 침해 위협 탐지 방법은 먼저, 원시데이터에서 오탐이 발생되었던 시간을 기준으로 소정의 단위시간 동안의 보안 이벤트의 정보를 추출하여 오탐 데이터 셋을 추출한다(S110). 그리고, 원시데이터에서 정탐이 발생되었던 시간을 기준으로 소정의 단위시간 동안의 보안 이벤트의 정보를 추출하여 정탐 데이터 셋을 추출한다(S120).
이 후, 분석 대상이 되는 데이터에서 소정의 단위시간 동안의 보안 이벤트의 정보를 추출하여 현재 데이터 셋을 추출한다(S130). 이 때, S130 단계는 분석 대상이 되는 데이터에서 소정의 단위시간 동안의 보안 이벤트를 추출하는 단계 및 보안 이벤트의 발생 시간 및 이름을 식별화하여 분석 대상이 되는 데이터에서 보안 이벤트의 정보를 추출하여 현재 데이터 셋을 추출하는 단계를 포함하여 수행될 수 있다.
그리고, 상기 오탐 데이터 셋, 상기 정탐 데이터 셋 및 상기 현재 데이터 셋 각각에서 보안 이벤트 별 동시 발생 빈도를 추출 및 통계화하여 이벤트 동시 발생 통계를 생성한다(S140).
S140 단계에서 생성한 이벤트 동시 발생 통계에 기초하여 이벤트 벡터를 생성한다(S150). 이 때, S150 단계에서는 이벤트 동시 발생 통계에 대한 데이터 노멀라이징을 통해 이벤트 벡터를 생성한다. 그리고, S150 단계에서는 이벤트 동시 발생 통계에 대하여 각각의 보안 이벤트가 단위 데이터 셋 내에서의 발생 빈도를 나타내는 TF(Term Frequency) 및 각각의 보안 이벤트가 전체 데이터 셋 내에서의 발생 빈도를 나타내는 IDF(Inverse Document Frequency)에 기초한 TF-IDF 값을 계산한 데이터 노멀라이징을 통해 이벤트 벡터를 생성할 수 있다. 이 때, TF-IDF 값은, 각각의 보안 이벤트가 단위 데이터 셋 내에서의 발생 빈도를 나타내는 TF의 값 및 각각의 보안 이벤트가 전체 데이터 셋 내에서의 발생 빈도를 나타내는 IDF의 값의 곱으로 계산될 수 있다.
그리고, S150 단계에서 생성한 이벤트 벡터에 기초하여 공간 벡터 모델링을 통하여 침해 위협 탐지를 수행한다(S160). 이 때, S160 단계에서는 이벤트 벡터의 공간 벡터 모델링을 통한 Long-term 연관 이벤트 분석에 기초하여 침해 위협 탐지를 수행할 수 있다. 또한, S160 단계에서는 현재 데이터 셋의 이벤트 벡터와 상기 오탐 데이터 셋 및 상기 정탐 데이터 셋의 이벤트 벡터의 유사도를 계산하고, 유사도 값의 기 설정된 임계치와의 비교를 통하여 침해 위협 탐지를 수행할 수 있다.
이러한 본 발명에 따른 보안 이벤트의 연관 분석을 통한 사이버 침해 위협 탐지 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다.  상기 매체에 기록되는 프로그램 명령은 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다.  컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 모든 형태의 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함할 수 있다.  이러한 하드웨어 장치는 본 발명의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.
본 발명의 원리들의 교시들은 하드웨어와 소프트웨어의 조합으로서 구현될 수 있다. 또한, 소프트웨어는 프로그램 저장부 상에서 실재로 구현되는 응용 프로그램으로서 구현될 수 있다. 응용 프로그램은 임의의 적절한 아키텍쳐를 포함하는 머신에 업로드되고 머신에 의해 실행될 수 있다. 바람직하게는, 머신은 하나 이상의 중앙 처리 장치들(CPU), 컴퓨터 프로세서, 랜덤 액세스 메모리(RAM), 및 입/출력(I/O) 인터페이스들과 같은 하드웨어를 갖는 컴퓨터 플랫폼 상에 구현될 수 있다. 또한, 컴퓨터 플랫폼은 운영 체제 및 마이크로 명령 코드를 포함할 수 있다. 여기서 설명된 다양한 프로세스들 및 기능들은 마이크로 명령 코드의 일부 또는 응용 프로그램의 일부, 또는 이들의 임의의 조합일 수 있고, 이들은 CPU를 포함하는 다양한 처리 장치에 의해 실행될 수 있다. 추가로, 추가 데이터 저장부 및 프린터와 같은 다양한 다른 주변 장치들이 컴퓨터 플랫폼에 접속될 수 있다.
첨부 도면들에서 도시된 구성 시스템 컴포넌트들 및 방법들의 일부가 바람직하게는 소프트웨어로 구현되므로, 시스템 컴포넌트들 또는 프로세스 기능 블록들 사이의 실제 접속들은 본 발명의 원리들이 프로그래밍되는 방식에 따라 달라질 수 있다는 점이 추가로 이해되어야 한다. 여기서의 교시들이 주어지면, 관련 기술분야의 당업자는 본 발명의 원리들의 이들 및 유사한 구현예들 또는 구성들을 참작할 수 있을 것이다.
이하에서는 본 발명의 실시예에 따른 보안 이벤트의 연관 분석을 통한 사이버 침해 위협 탐지 장치의 구성 및 동작에 대하여 설명하도록 한다.
도 2는 본 발명의 실시예에 따른 보안 이벤트의 연관 분석을 통한 사이버 침해 위협 탐지 장치의 구성을 나타낸 블록도이다.
도 2를 참조하면, 본 발명의 실시예에 따른 보안 이벤트의 연관 분석을 통한 사이버 침해 위협 탐지 장치(100)는 오탐 데이터 셋 추출부(110), 정탐 데이터 셋 추출부(120), 현재 데이터 셋 추출부(130), 이벤트 동시 발생 통계 추출부(140), 이벤트 벡터 생성부(150) 및 침해 위협 결정부(160)를 포함하여 형성될 수 있다.
오탐 데이터 셋 추출부(110)는 원시데이터에서 오탐이 발생되었던 시간을 기준으로 소정의 단위시간 동안의 보안 이벤트의 정보를 추출하여 오탐 데이터 셋을 추출한다.
정탐 데이터 셋 추출부(120)는 원시데이터에서 정탐이 발생되었던 시간을 기준으로 소정의 단위시간 동안의 보안 이벤트의 정보를 추출하여 정탐 데이터 셋을 추출한다.
현재 데이터 셋 추출부(130)는 분석 대상이 되는 데이터에서 소정의 단위시간 동안의 보안 이벤트의 정보를 추출하여 현재 데이터 셋을 추출한다. 그리고, 현재 데이터 셋 추출부(130)는 분석 대상이 되는 데이터에서 소정의 단위시간 동안의 보안 이벤트를 추출하는 이벤트 추출부(미도시) 및 보안 이벤트의 발생 시간 및 이름을 식별화하여 상기 분석 대상이 되는 데이터에서 보안 이벤트의 정보를 추출하여 현재 데이터 셋을 추출하는 이벤트 텍스트 파서(미도시)를 포함하여 형성될 수 있다.
이벤트 동시 발생 통계 추출부(140)는 오탐 데이터 셋, 정탐 데이터 셋 및 현재 데이터 셋 각각에서 보안 이벤트 별 동시 발생 빈도를 추출 및 통계화하여 이벤트 동시 발생 통계를 생성한다.
이벤트 벡터 생성부(150)는 이벤트 동시 발생 통계에 기초하여 이벤트 벡터를 생성한다. 그리고, 이벤트 벡터 생성부(150)는 이벤트 동시 발생 통계에 대한 데이터 노멀라이징을 통해 이벤트 벡터를 생성할 수 있다. 또한, 이벤트 벡터 생성부(150)는 이벤트 동시 발생 통계에 대하여 각각의 보안 이벤트가 단위 데이터 셋 내에서의 발생 빈도를 나타내는 TF(Term Frequency) 및 각각의 보안 이벤트가 전체 데이터 셋 내에서의 발생 빈도를 나타내는 IDF(Inverse Document Frequency)에 기초한 TF-IDF 값을 계산한 데이터 노멀라이징을 통해 이벤트 벡터를 생성할 수 있다. 이 때, TF-IDF 값은, 각각의 보안 이벤트가 단위 데이터 셋 내에서의 발생 빈도를 나타내는 TF의 값 및 각각의 보안 이벤트가 전체 데이터 셋 내에서의 발생 빈도를 나타내는 IDF의 값의 곱으로 계산될 수 있다.
침해 위협 결정부(160)는 이벤트 벡터에 기초하여 공간 벡터 모델링을 통하여 침해 위협 탐지를 수행한다. 그리고, 침해 위협 결정부(160)는 이벤트 벡터의 공간 벡터 모델링을 통한 Long-term 연관 이벤트 분석에 기초하여 침해 위협 탐지를 수행할 수 있다. 또한, 침해 위협 결정부(160)는 현재 데이터 셋의 이벤트 벡터와 상기 오탐 데이터 셋 및 상기 정탐 데이터 셋의 이벤트 벡터의 유사도를 계산하고, 유사도 값의 기 설정된 임계치와의 비교를 통하여 침해 위협 탐지를 수행한다.
이하에서는 본 발명의 실시예에 따른 보안 이벤트의 연관 분석을 통한 사이버 침해 위협 탐지 기술에 대하여 추가 설명하도록 한다.
도 3은 본 발명의 실시예에 따른 보안 이벤트의 연관 분석을 통한 사이버 침해 위협 탐지 기술에 있어서, 보안 이벤트 분석의 과정을 보다 구체적으로 설명하기 위한 도면이다.
도 3을 참조하면 본 발명에 따른 보안 이벤트 분석 과정도를 보여준다. 구성 요소로는 발생되는 보안이벤트 이름의 종류를 식별화하기 위한 보안 이벤트 identification(131), 보안이벤트에서 시간 및 보안이벤트 이름을 추출하기 위한 이벤트 텍스트 파서(132), 과거 정탐이 발생한 시간의 단위 시간(예, 사고 발생 전후 5분)동안 발생한 보안 이벤트의 세트를 수집하기 위한 정탐 데이터 셋 추출부(120)와 정탐 데이터 셋(125), 과거 오탐이 발생한 시간의 단위 시간동안 발생한 보안 이벤트의 세트를 수집하기 위한 오탐 데이터 셋 추출부(110), 오탐 데이터 셋(115)을 포함한다. 또한, 현재 데이터 셋(미도시), 정탐 데이터 셋(125), 오탐 데이터 셋(115)에서 동시 발생한 이벤트 빈도 정보를 추출하기 위한 이벤트 동시 발생 통계 추출부(140)와 이를 저장한 이벤트 통계 데이터(145), 이벤트 통계 데이터(145)에서 TF-IDF 값을 계산한 데이터 노멀라이징(150a)과 이를 통해 이벤트 벡터를 생성하기 위한 이벤트 벡터 생성부(150)와 이를 저장한 이벤트 벡터 데이터(155), 생성된 이벤트 벡터 데이터를 공간 벡터 모뎅링을 통한 Long-term 연관 이벤트 분석을 위한 Long-term 연관 이벤트 분석부(160a)와 알고리즘의 보정을 위한 알고리즘 보정, 그리고 최종적으로 침해 위협 사고를 탐지하기 위한 침해위협 결정부(160)로 구성될 수 있다.
도 4는 본 발명의 실시예에 따른 보안 이벤트의 연관 분석을 통한 사이버 침해 위협 탐지 기술에 있어서, 정탐 및 오탐 데이터 셋의 추출 과정을 보다 구체적으로 설명하기 위한 도면이다.
도 4는 정탐 및 오탐 데이터 셋을 구성하기 위한 추출 과정을 위한 과정도로, 원시데이터에서 침해위협이 발생된 시간의 단위시간(예를 들어 전후 2분간)에 발생한 보안 이벤트 정보를 추출하여 이를 저장하기 위한 것으로써, 정탐 데이터셋 추출부(120)는 정탐이 발생 되었던 각각의 시간에 대하여 원시 데이터내에서 단위 시간동안 발생한 모든 보안 이벤트를 추출하여 정탐 데이터 셋(125)으로 생성하여 DB에 저장하고, 똑같이 오탐 데이터셋 추출부(110)는 오탐이 발생 되었던 각각의 시간에 대하여 원시 데이터내에서 단위 시간동안 발생한 모든 보안 이벤트를 추출하여 오탐 데이터 셋(115)으로 생성하여 DB에 저장을 한다.
도 5 및 도 6은 본 발명의 실시예에 따른 보안 이벤트의 연관 분석을 통한 사이버 침해 위협 탐지 기술에 있어서, 이벤트 벡터를 생성하는 과정을 보다 구체적으로 설명하기 위한 도면이다.
도 5 및 도 6을 참조하면, 먼저 실시간으로 수집되는 이벤트를 수집하여 단위 시간대별로 데이터를 Aggregation 을 한 후, Aggregation 된 데이터 셋을 파싱하기 위한 이벤트 파서를 할당을 한다. 보안 이벤트 Identification(131) 및 이벤트 텍스트 Parsing(132)는 단위 데이터셋에 대하여 데이터 파싱을 하고 원시 데이터에서 이벤트 발생 시간, 이벤트 네임들을 추출한다.
이벤트 동시 발생 통계 추출부(140)는 현재 데이터 셋, 오탐 데이터 셋(115) 및 정탐 데이터 셋(125)과 같이 추출된 데이터에서 이벤트별 동시 발생 빈도를 카운트하기 위한 루틴을 수행하여 단위시간 내에 보안 이벤트 이름별로 발생된 빈도와 보안 이벤트별로 포함된 데이터셋의 수 등을 계산 후 이벤트 통계 데이터(145)로 저장한다. 그리고, 데이터 노멀라이징(150a)은 각각의 데이터 셋과 이벤트에 대해 TF-IDF 알고리즘에 의해 TFIDF 값을 생성하고 이를 저장한다. TF-IDF 알고리즘은 특정 단어와 문서 사이에 연관성을 구하는 알고리즘으로, 이벤트 네임을 알고리즘에서 단어로, 단위시간의 데이터 셋을 알고리즘에서 문서로 대치하여 알고리즘을 적용한다. TFIDF 알고리즘에서 TF(단어 빈도, term frequency)는 각각의 이벤트가 단위 데이터셋내에 얼마나 빈번히 발생하는지를 나타내는 값, IDF(역문서 빈도, inverse document frequency) 각각의 이벤트가 전체 데이터 셋내에서 얼마나 빈번하게 발생하였는지에 대한 값으로 TFIDF 는 이 둘의 곱으로 계산된다. 즉, TF는 [발생된 보안이벤트 t수/발생된 전체 보안이벤트 수]일 수 있으며, IDF는 [log (데이터 셋의 총 수/보안이벤트 t를 발생한 데이터 셋의 수)일 수 있고, TF는 [TF*IDF]일 수 있다.
이와 같이 생성된 값에 대해서 이벤트 벡터 생성부(150)는 각각의 데이터셋에 대하여 발생된 이벤트 이름에 대한 TFIDF 값으로 벡터화를 하여 이를 이벤트 벡터 데이터(155)로 저장한다. 벡터의 크기는 이벤트의 전체 종류 수만큼의 차원을 가지게 된다. 예를 들어 이벤트 전체 종류수가 10 이고, e_1 의 tfidf = 0.8, e_7 tfidf= 0.4 인 경우에 이벤트 벡터는 e i = {e1, e2, e3, e4, e5, e6, e7, e8, e9, 10} = {0.8, 0, 0, 0, 0, 0, 0.4, 0, 0, 0} 와 같이 되고 이를 이벤트 벡터 데이터에 저장을 한다. Long-term 연관 이벤트 분석부에서는 현재 분석 대상이 되는 이벤트의 데이터셋의 이벤트 벡터와 과거 정탐 및 오탐이 발생한 경우의 이벤트 벡터와의 관련도를 코사인 유사도를 계산하여 유사도값이 정해진 임계치를 넘는 과거 이벤트 벡터를 정렬하여, 정렬된 이벤트의 정탐 및 오탐 분포를 기반으로 정탐 여부를 침해위협 결정부에서 결정하게 된다. 예를 들어 현재 분석대상이 되는 이벤트 벡터가 정탐 데이터셋에서 임계치를 넘는 유사도를 가지는 횟수와 오탐 데이터셋에서 임계치를 넘는 유사도를 가지는 경우 횟수에 대해서 비중과 순서에 대한 가중치를 기준으로 정탐 및 오탐의 여부를 종합적으로 결정한다.
이상에서와 같이 본 발명에 따른 보안 이벤트의 연관 분석을 통한 사이버 침해 위협 탐지 방법 및 장치는 상기한 바와 같이 설명된 실시예들의 구성과 방법이 한정되게 적용될 수 있는 것이 아니라, 상기 실시예들은 다양한 변형이 이루어질 수 있도록 각 실시예들의 전부 또는 일부가 선택적으로 조합되어 구성될 수도 있다.
100; 보안 이벤트의 연관 분석을 통한 사이버 침해 위협 탐지 장치
110; 오탐 데이터 셋 추출부
120; 정탐 데이터 셋 추출부
130; 현재 데이터 셋 추출 부
140; 이벤트 동시 발생 통계 추출부
150; 이벤트 벡터 생성부
160; 침해 위협 결정부

Claims (14)

  1. 원시데이터에서 오탐이 발생되었던 시간을 기준으로 소정의 단위시간 동안의 보안 이벤트의 정보를 추출하여 오탐 데이터 셋을 추출하는 단계;
    원시데이터에서 정탐이 발생되었던 시간을 기준으로 소정의 단위시간 동안의 보안 이벤트의 정보를 추출하여 정탐 데이터 셋을 추출하는 단계;
    분석 대상이 되는 데이터에서 소정의 단위시간 동안의 보안 이벤트의 정보를 추출하여 현재 데이터 셋을 추출하는 단계;
    상기 오탐 데이터 셋, 상기 정탐 데이터 셋 및 상기 현재 데이터 셋 각각에서 보안 이벤트 별 동시 발생 빈도를 추출 및 통계화하여 이벤트 동시 발생 통계를 생성하는 단계;
    상기 이벤트 동시 발생 통계에 기초하여 이벤트 벡터를 생성하는 단계; 및
    상기 이벤트 벡터에 기초하여 공간 벡터 모델링을 통하여 침해 위협 탐지를 수행하는 단계를 포함하고,
    상기 이벤트 동시 발생 통계를 생성하는 단계는,
    추출된 데이터에서 이벤트 별 동시 발생 빈도를 카운트하기 위한 루틴을 수행함으로써 단위시간 내에 보안 이벤트 이름 별로 발생된 빈도와 보안 이벤트 별로 포함된 데이터 셋의 수를 계산한 후 이벤트 통계 데이터로 저장 단계를 포함하는 것을 특징으로 하는 보안 이벤트의 연관 분석을 통한 사이버 침해 위협 탐지 방법.
  2. 청구항 1에 있어서,
    상기 현재 데이터 셋을 추출하는 단계는,
    상기 분석 대상이 되는 데이터에서 소정의 단위시간 동안의 보안 이벤트를 추출하는 단계; 및
    상기 보안 이벤트의 발생 시간 및 이름을 식별화하여 상기 분석 대상이 되는 데이터에서 보안 이벤트의 정보를 추출하여 현재 데이터 셋을 추출하는 단계를 포함하는 것을 특징으로 하는 보안 이벤트의 연관 분석을 통한 사이버 침해 위협 탐지 방법.
  3. 청구항 1에 있어서,
    상기 이벤트 벡터를 생성하는 단계에서는,
    상기 이벤트 동시 발생 통계에 대한 데이터 노멀라이징을 통해 이벤트 벡터를 생성하는 것을 특징으로 하는 보안 이벤트의 연관 분석을 통한 사이버 침해 위협 탐지 방법.
  4. 청구항 3에 있어서,
    상기 이벤트 벡터를 생성하는 단계에서는,
    상기 이벤트 동시 발생 통계에 대하여 각각의 보안 이벤트가 단위 데이터 셋 내에서의 발생 빈도를 나타내는 TF(Term Frequency) 및 각각의 보안 이벤트가 전체 데이터 셋 내에서의 발생 빈도를 나타내는 IDF(Inverse Document Frequency)에 기초한 TF-IDF 값을 계산한 데이터 노멀라이징을 통해 이벤트 벡터를 생성하는 것을 특징으로 하는 보안 이벤트의 연관 분석을 통한 사이버 침해 위협 탐지 방법.
  5. 청구항 4에 있어서,
    상기 TF-IDF 값은,
    각각의 보안 이벤트가 단위 데이터 셋 내에서의 발생 빈도를 나타내는 TF의 값 및 각각의 보안 이벤트가 전체 데이터 셋 내에서의 발생 빈도를 나타내는 IDF의 값의 곱으로 계산되는 것을 특징으로 하는 보안 이벤트의 연관 분석을 통한 사이버 침해 위협 탐지 방법.
  6. 청구항 1에 있어서,
    상기 침해 위협 탐지를 수행하는 단계에서는,
    상기 이벤트 벡터의 공간 벡터 모델링을 통한 Long-term 연관 이벤트 분석에 기초하여 침해 위협 탐지를 수행하는 것을 특징으로 하는 보안 이벤트의 연관 분석을 통한 사이버 침해 위협 탐지 방법.
  7. 청구항 1에 있어서,
    상기 침해 위협 탐지를 수행하는 단계에서는,
    상기 현재 데이터 셋의 이벤트 벡터와 상기 오탐 데이터 셋 및 상기 정탐 데이터 셋의 이벤트 벡터의 유사도를 계산하고, 유사도 값의 기 설정된 임계치와의 비교를 통하여 침해 위협 탐지를 수행하는 것을 특징으로 하는 보안 이벤트의 연관 분석을 통한 사이버 침해 위협 탐지 방법.
  8. 원시데이터에서 오탐이 발생되었던 시간을 기준으로 소정의 단위시간 동안의 보안 이벤트의 정보를 추출하여 오탐 데이터 셋을 추출하는 오탐 데이터 셋 추출부;
    원시데이터에서 정탐이 발생되었던 시간을 기준으로 소정의 단위시간 동안의 보안 이벤트의 정보를 추출하여 정탐 데이터 셋을 추출하는 정탐 데이터 셋 추출부;
    분석 대상이 되는 데이터에서 소정의 단위시간 동안의 보안 이벤트의 정보를 추출하여 현재 데이터 셋을 추출하는 현재 데이터 셋 추출부;
    상기 오탐 데이터 셋, 상기 정탐 데이터 셋 및 상기 현재 데이터 셋 각각에서 보안 이벤트 별 동시 발생 빈도를 추출 및 통계화하여 이벤트 동시 발생 통계를 생성하는 이벤트 동시 발생 통계 추출부;
    상기 이벤트 동시 발생 통계에 기초하여 이벤트 벡터를 생성하는 이벤트 벡터 생성부; 및
    상기 이벤트 벡터에 기초하여 공간 벡터 모델링을 통하여 침해 위협 탐지를 수행하는 침해 위협 결정부를 포함하고,
    상기 이벤트 동시 발생 통계 추출부는,
    추출된 데이터에서 이벤트 별 동시 발생 빈도를 카운트하기 위한 루틴을 수행함으로써 단위시간 내에 보안 이벤트 이름 별로 발생된 빈도와 보안 이벤트 별로 포함된 데이터 셋의 수를 계산한 후 이벤트 통계 데이터로 저장하는 것을 특징으로 하는 보안 이벤트의 연관 분석을 통한 사이버 침해 위협 탐지 장치.
  9. 삭제
  10. 삭제
  11. 삭제
  12. 삭제
  13. 삭제
  14. 삭제
KR1020170001183A 2017-01-04 2017-01-04 보안 이벤트의 연관 분석을 통한 사이버 침해 위협 탐지 방법 및 장치 KR102047782B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020170001183A KR102047782B1 (ko) 2017-01-04 2017-01-04 보안 이벤트의 연관 분석을 통한 사이버 침해 위협 탐지 방법 및 장치
US15/823,209 US10523697B2 (en) 2017-01-04 2017-11-27 Method and apparatus for detecting cyberthreats through correlation analysis

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020170001183A KR102047782B1 (ko) 2017-01-04 2017-01-04 보안 이벤트의 연관 분석을 통한 사이버 침해 위협 탐지 방법 및 장치

Publications (2)

Publication Number Publication Date
KR20180080449A KR20180080449A (ko) 2018-07-12
KR102047782B1 true KR102047782B1 (ko) 2019-11-22

Family

ID=62711398

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020170001183A KR102047782B1 (ko) 2017-01-04 2017-01-04 보안 이벤트의 연관 분석을 통한 사이버 침해 위협 탐지 방법 및 장치

Country Status (2)

Country Link
US (1) US10523697B2 (ko)
KR (1) KR102047782B1 (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102267564B1 (ko) 2020-11-16 2021-06-21 주식회사 케이사인 원격 단말기의 능동적 보안 위협 탐지 방법
KR20230039977A (ko) * 2021-09-15 2023-03-22 주식회사 리니어리티 네트워크 공격 탐지 방법 및 장치

Families Citing this family (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11086751B2 (en) 2016-03-16 2021-08-10 Asg Technologies Group, Inc. Intelligent metadata management and data lineage tracing
US11847040B2 (en) 2016-03-16 2023-12-19 Asg Technologies Group, Inc. Systems and methods for detecting data alteration from source to target
US11057500B2 (en) 2017-11-20 2021-07-06 Asg Technologies Group, Inc. Publication of applications using server-side virtual screen change capture
US11611633B2 (en) 2017-12-29 2023-03-21 Asg Technologies Group, Inc. Systems and methods for platform-independent application publishing to a front-end interface
US10812611B2 (en) 2017-12-29 2020-10-20 Asg Technologies Group, Inc. Platform-independent application publishing to a personalized front-end interface by encapsulating published content into a container
US10877740B2 (en) 2017-12-29 2020-12-29 Asg Technologies Group, Inc. Dynamically deploying a component in an application
US11762634B2 (en) 2019-06-28 2023-09-19 Asg Technologies Group, Inc. Systems and methods for seamlessly integrating multiple products by using a common visual modeler
US11941137B2 (en) 2019-10-18 2024-03-26 Asg Technologies Group, Inc. Use of multi-faceted trust scores for decision making, action triggering, and data analysis and interpretation
US11755760B2 (en) 2019-10-18 2023-09-12 Asg Technologies Group, Inc. Systems and methods for secure policies-based information governance
US11055067B2 (en) 2019-10-18 2021-07-06 Asg Technologies Group, Inc. Unified digital automation platform
US11269660B2 (en) 2019-10-18 2022-03-08 Asg Technologies Group, Inc. Methods and systems for integrated development environment editor support with a single code base
US11886397B2 (en) 2019-10-18 2024-01-30 Asg Technologies Group, Inc. Multi-faceted trust system
KR102354094B1 (ko) 2019-10-18 2022-01-20 에스케이텔레콤 주식회사 머신러닝 기반 보안관제 장치 및 방법
EP3926501B1 (en) * 2020-06-19 2023-08-02 AO Kaspersky Lab System and method of processing information security events to detect cyberattacks
CN112257755B (zh) * 2020-09-24 2023-07-28 北京航天测控技术有限公司 航天器运行状态的分析方法和装置
WO2022081476A1 (en) 2020-10-13 2022-04-21 ASG Technologies Group, Inc. dba ASG Technologies Geolocation-based policy rules
KR102470364B1 (ko) * 2020-11-27 2022-11-25 한국과학기술정보연구원 보안 이벤트 학습데이터 생성 방법 및 보안 이벤트 학습데이터 생성 장치
CN113672913A (zh) * 2021-08-20 2021-11-19 绿盟科技集团股份有限公司 一种安全事件处理方法、装置及电子设备
KR102433831B1 (ko) * 2021-11-17 2022-08-18 한국인터넷진흥원 보안관제 의사결정 지원 시스템 및 방법
CN113836527B (zh) * 2021-11-23 2022-02-18 北京微步在线科技有限公司 入侵事件检测模型构建方法、装置及入侵事件检测方法
CN115497295A (zh) * 2022-09-21 2022-12-20 联通智网科技股份有限公司 安全预警方法和装置
CN116962080B (zh) * 2023-09-19 2023-12-15 中孚信息股份有限公司 基于网络节点风险评估的告警过滤方法、系统及介质

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20100024037A1 (en) * 2006-11-09 2010-01-28 Grzymala-Busse Witold J System and method for providing identity theft security
KR101689296B1 (ko) * 2015-10-19 2016-12-23 한국과학기술정보연구원 보안이벤트 자동 검증 방법 및 장치

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1334442A2 (en) * 2000-11-06 2003-08-13 Thrasos, Inc. Computer method and apparatus for classifying objects
KR100838799B1 (ko) 2007-03-09 2008-06-17 에스케이 텔레콤주식회사 해킹 현상을 검출하는 종합보안관리 시스템 및 운용방법
KR101039717B1 (ko) 2009-07-07 2011-06-09 한국전자통신연구원 사이버위협을 예측하기 위한 사이버위협 예측 엔진 시스템 및 상기 시스템을 이용한 사이버위협 예측 방법
KR101113615B1 (ko) 2010-03-08 2012-02-13 주식회사 제이컴정보 네트워크 위험도 종합 분석 시스템 및 그 방법
US20130318609A1 (en) 2012-05-25 2013-11-28 Electronics And Telecommunications Research Institute Method and apparatus for quantifying threat situations to recognize network threat in advance
KR102061833B1 (ko) 2015-01-20 2020-01-02 한국전자통신연구원 사이버 침해 사고 조사 장치 및 방법

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20100024037A1 (en) * 2006-11-09 2010-01-28 Grzymala-Busse Witold J System and method for providing identity theft security
KR101689296B1 (ko) * 2015-10-19 2016-12-23 한국과학기술정보연구원 보안이벤트 자동 검증 방법 및 장치

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
Mohsen Kakavand et al, "A Text Mining-Based Anomaly Detection Model in Network Security", Global Journal of Computer Science and Technology, Volume 14, Issue 5, pp. 23-31(2014.)*

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102267564B1 (ko) 2020-11-16 2021-06-21 주식회사 케이사인 원격 단말기의 능동적 보안 위협 탐지 방법
KR20230039977A (ko) * 2021-09-15 2023-03-22 주식회사 리니어리티 네트워크 공격 탐지 방법 및 장치
KR102574205B1 (ko) * 2021-09-15 2023-09-04 주식회사 리니어리티 네트워크 공격 탐지 방법 및 장치

Also Published As

Publication number Publication date
KR20180080449A (ko) 2018-07-12
US10523697B2 (en) 2019-12-31
US20180191761A1 (en) 2018-07-05

Similar Documents

Publication Publication Date Title
KR102047782B1 (ko) 보안 이벤트의 연관 분석을 통한 사이버 침해 위협 탐지 방법 및 장치
EP2860937B1 (en) Log analysis device, method, and program
EP2988468B1 (en) Apparatus, method, and program
JP6528448B2 (ja) ネットワーク攻撃監視装置、ネットワーク攻撃監視方法、及びプログラム
CN105247532A (zh) 使用硬件特征的无监督的基于异常的恶意软件检测
KR102185869B1 (ko) 머신러닝과 자연어처리 기술을 활용한 사이버위협 탐지 방법
CN109376537B (zh) 一种基于多因子融合的资产评分方法及系统
US10462170B1 (en) Systems and methods for log and snort synchronized threat detection
KR101937325B1 (ko) 악성코드 감지 및 차단방법 및 그 장치
CN112910918A (zh) 基于随机森林的工控网络DDoS攻击流量检测方法及装置
Azad et al. Data mining based hybrid intrusion detection system
CN106845217B (zh) 一种安卓应用恶意行为的检测方法
CN112804204B (zh) 一种基于大数据分析的智能网络安全系统
Osaghae Classifying packed programs as malicious software detected
KR20160087187A (ko) 사이버 블랙박스 시스템 및 그 방법
Chen et al. Jujutsu: A two-stage defense against adversarial patch attacks on deep neural networks
CN112953948A (zh) 一种实时网络横向蠕虫攻击流量检测方法及装置
Zyad et al. An effective network intrusion detection based on truncated mean LDA
KR101725670B1 (ko) 웹 서버 점검을 이용해서 악성 코드를 탐지하고 차단하는 시스템 및 방법
CN109391626B (zh) 一种判定网络攻击结果未遂的方法和相关装置
CN115333874B (zh) 一种工业终端主机监测方法
US20230315848A1 (en) Forensic analysis on consistent system footprints
CN116305130B (zh) 基于系统环境识别的双系统智能切换方法、系统及介质
CN114745200B (zh) 一种基于恶意代码动态取证模型的恶意代码检测方法
CN116846587A (zh) 不依赖于ioc的加密挖矿流量检测分析方法及装置

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant