KR102081492B1 - Apparatus and method for generating integrated representation specification data for cyber threat information - Google Patents

Apparatus and method for generating integrated representation specification data for cyber threat information Download PDF

Info

Publication number
KR102081492B1
KR102081492B1 KR1020170171242A KR20170171242A KR102081492B1 KR 102081492 B1 KR102081492 B1 KR 102081492B1 KR 1020170171242 A KR1020170171242 A KR 1020170171242A KR 20170171242 A KR20170171242 A KR 20170171242A KR 102081492 B1 KR102081492 B1 KR 102081492B1
Authority
KR
South Korea
Prior art keywords
integrated
information
feature
specification data
cyber threat
Prior art date
Application number
KR1020170171242A
Other languages
Korean (ko)
Other versions
KR20190070583A (en
Inventor
김기천
진정하
유요셉
Original Assignee
건국대학교 산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 건국대학교 산학협력단 filed Critical 건국대학교 산학협력단
Priority to KR1020170171242A priority Critical patent/KR102081492B1/en
Publication of KR20190070583A publication Critical patent/KR20190070583A/en
Application granted granted Critical
Publication of KR102081492B1 publication Critical patent/KR102081492B1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/25Integrating or interfacing systems involving database management systems
    • G06F16/258Data format conversion from or to a database

Abstract

사이버 위협 정보에 대한 통합 표현 규격 데이터 생성 방법 및 장치가 개시된다. 통합 표현 규격 데이터 생성 방법은 사이버 위협 정보에 대한 표현 규격 데이터를 수신하는 단계, 상기 표현 규격 데이터에 포함된 개별 정보 요소들을 분석하는 단계, 및 상기 분석 결과에 기초하여, 상기 개별 정보 요소들의 특징을 포함하고, 미리 정의된 구조체로 변환된 상기 사이버 위협 정보에 대한 통합 표현 규격 데이터를 생성하는 단계를 포함할 수 있다.Disclosed are a method and apparatus for generating an integrated representation specification data for cyber threat information. The integrated representation specification data generation method includes receiving representation specification data for cyber threat information, analyzing individual information elements included in the expression specification data, and based on the analysis result, characterizing the individual information elements. And generating integrated representation specification data for the cyber threat information converted into a predefined structure.

Description

사이버 위협 정보에 대한 통합 표현 규격 데이터 생성 방법 및 장치{APPARATUS AND METHOD FOR GENERATING INTEGRATED REPRESENTATION SPECIFICATION DATA FOR CYBER THREAT INFORMATION}Method and apparatus for generating integrated representation specification data for cyber threat information {APPARATUS AND METHOD FOR GENERATING INTEGRATED REPRESENTATION SPECIFICATION DATA FOR CYBER THREAT INFORMATION}

아래의 설명은 사이버 위협 정보에 대한 통합 표현 규격 데이터 생성 방법 및 장치에 관한 것이다.The following description relates to a method and apparatus for generating an integrated representation specification data for cyber threat information.

STIX(The Structured Threat Information eXpression)은 미국 국토안보부에서 사이버 정보 위협에 대한 내용을 표준화하고 구조화시킨 것으로서, 사이버 위협에 대해 일관적인 분석 및 자동화된 해석을 가능하게 하는 표현 규격 데이터이다. STIX는 등록된 사이버 위협 정보에 대해서는 자동화된 해석을 지원할 수 있지만 새로운 공격에 대한 사이버 위협 정보를 자동으로 추가하는 방식을 지원할 수는 없다.The Structured Threat Information eXpression (STIX) is a standardized and structured content of cyber information threats in the US Department of Homeland Security. It is expression specification data that enables consistent analysis and automated interpretation of cyber threats. STIX can support automated interpretation of registered cyber threat information, but it cannot support the automatic addition of cyber threat information for new attacks.

일 실시예에 따른 통합 표현 규격 데이터 생성 방법은 사이버 위협 정보에 대한 표현 규격 데이터를 수신하는 단계; 상기 표현 규격 데이터에 포함된 개별 정보 요소들을 분석하는 단계; 및 상기 분석 결과에 기초하여, 상기 개별 정보 요소들의 특징을 포함하고, 미리 정의된 구조체로 변환된 상기 사이버 위협 정보에 대한 통합 표현 규격 데이터를 생성하는 단계를 포함할 수 있다.Integrated expression specification data generation method according to an embodiment comprises the steps of receiving the representation specification data for cyber threat information; Analyzing individual information elements included in the presentation specification data; And generating integrated representation specification data for the cyber threat information, which includes the characteristics of the individual information elements and is converted into a predefined structure, based on the analysis result.

일 실시예에 따른 통합 표현 규격 데이터는 STIX(The Structured Threat Information eXpression)일 수 있다.The integrated representation standard data according to an embodiment may be the structured threat information eXpression (STIX).

일 실시예에 따른 통합 표현 규격 데이터를 생성하는 단계는 상기 개별 정보 요소들의 특징 또는 상기 개별 정보 요소들에게 필수적으로 요구되는 특징 중 공통되는 특징 또는 상기 개별 정보 요소들에게 필수적으로 요구되는 특징을 상기 통합 표현 규격 데이터의 일 특징으로 결정할 수 있다.The generating of the integrated representation standard data according to an embodiment may include the common feature among the features of the individual information elements or the features required for the individual information elements or the feature required for the individual information elements. It can be determined as a feature of the integrated representation specification data.

일 실시예에 따른 상기 통합 표현 규격 데이터를 생성하는 단계는 상기 개별 정보 요소의 특징 중 유사한 역할을 수행하는 서로 다른 명칭의 특징을 상기 통합 표현 규격 데이터 상의 동일한 특징으로 결정할 수 있다.The generating of the integrated representation specification data according to an embodiment may determine the features of different names performing similar roles among the features of the individual information elements as the same features on the integrated representation specification data.

일 실시예에 따른 통합 표현 규격 데이터를 생성하는 단계는 상기 사이버 위협 정보를 분석하는 분석 도구에서 사용되는 특징을 상기 통합 표현 규격 데이터 상의 일 특징으로 결정할 수 있다.In the generating of the integrated representation specification data according to an embodiment, the feature used in the analysis tool for analyzing the cyber threat information may be determined as a feature on the integrated representation specification data.

일 실시예에 따른 분석 도구는 머신 러닝(machine learning)을 포함할 수 있다.An analysis tool according to one embodiment may include machine learning.

일 실시예에 따른 통합 표현 규격 데이터는 상기 개별 정보 요소의 유형에 대한 정보 및 상기 개별 정보 요소의 식별자에 대한 정보를 포함할 수 있다.Integrated representation standard data according to an embodiment may include information about the type of the individual information element and information about the identifier of the individual information element.

일 실시예에 따른 통합 표현 규격 데이터는 상기 개별 정보 요소에 포함되는 세부 정보 요소에 대한 정보를 포함할 수 있다.The integrated representation standard data according to an embodiment may include information on detailed information elements included in the individual information elements.

일 실시예에 따른 통합 표현 규격 데이터는 사이버 위협에 대한 대응 방안에 대한 정보를 포함할 수 있다.The integrated representation standard data according to an embodiment may include information on a countermeasure against cyber threats.

일 실시예에 따른 사이버 위협 정보 가공 방법은 사이버 위협 정보를 수신하는 단계; 사이버 위협 정보에 대한 표현 규격 데이터에 기초하여, 상기 사이버 위협 정보에 대한 통합 표현 규격 데이터를 생성하는 단계; 및 상기 통합 표현 규격 데이터에 기초하여, 상기 사이버 위협 정보를 가공하는 단계를 포함할 수 있다.Cyber threat information processing method according to one embodiment comprises the steps of receiving cyber threat information; Generating integrated representation specification data for the cyber threat information based on the representation specification data for cyber threat information; And processing the cyber threat information based on the integrated representation standard data.

일 실시예에 따른 상기 사이버 위협 정보를 가공하는 단계는 상기 통합 표현 규격 데이터에 포함되는 특징들에 기초하여 상기 사이버 위협 정보를 분류할 수 있다.The processing of the cyber threat information according to an embodiment may classify the cyber threat information based on features included in the integrated expression specification data.

일 실시예에 따른 통합 표현 규격 데이터를 생성하는 단계는 상기 사이버 위협 정보에 대한 표현 규격 데이터에 포함된 개별 정보 요소의 특징에 대한 정보를 획득하는 단계; 및 상기 개별 정보 요소의 특징에 대한 정보에 기초하여, 상기 개별 정보 요소의 특징을 모두 포함하고, 미리 정의된 구조체로 변환된 상기 사이버 위협 정보에 대한 통합 표현 규격 데이터를 생성하는 단계를 포함할 수 있다.Generating integrated presentation specification data according to an embodiment may include obtaining information on a feature of an individual information element included in the presentation specification data for cyber threat information; And generating integrated representation specification data for the cyber threat information, which includes all of the features of the individual information elements and is converted into a predefined structure, based on the information on the features of the individual information elements. have.

일 실시예에 따른 통합 표현 규격 데이터를 생성하는 단계는 상기 개별 정보 요소의 특징 중 공통되는 특징 또는 상기 개별 정보 요소들에게 필수적으로 요구되는 특징을 상기 통합 표현 규격 데이터의 일 특징으로 결정할 수 있다.The generating of the integrated representation standard data according to an embodiment may determine a common feature among the features of the individual information elements or a feature required for the individual information elements as one feature of the integrated expression standard data.

일 실시예에 따른 통합 표현 규격 데이터를 생성하는 단계는 상기 개별 정보 요소의 특징 중 유사한 역할을 수행하는 서로 다른 명칭의 특징을 상기 통합 사이버 위협 표현 규격 데이터 상의 동일한 특징으로 결정할 수 있다.The generating of the integrated representation specification data according to an embodiment may determine the features of different names performing similar roles among the features of the individual information elements as the same features on the integrated cyber threat expression specification data.

일 실시예에 따른 상기 통합 표현 규격 데이터를 생성하는 단계는 상기 사이버 위협 정보를 분석하는 분석 도구에서 사용되는 특징을 상기 통합 표현 규격 데이터 상의 일 특징으로 결정할 수 있다.In the generating of the integrated representation standard data according to an embodiment, the feature used in the analysis tool for analyzing the cyber threat information may be determined as a feature on the integrated representation standard data.

일 실시예에 따른 통합 표현 규격 데이터 생성 장치는 사이버 위협 정보에 대한 표현 규격 데이터를 수신하는 수신부; 상기 표현 규격 데이터에 포함된 개별 정보 요소의 특징에 대한 정보를 획득하는 특징 정보 획득부; 및 상기 개별 정보 요소의 특징에 대한 정보에 기초하여, 상기 개별 정보 요소의 특징을 모두 포함하고, 미리 정의된 구조체로 변환된 통합 표현 규격 데이터를 생성하는, 통합 표현 규격 데이터 생성부를 포함할 수 있다.In accordance with one embodiment, an apparatus for generating an integrated representation specification data includes a receiver configured to receive representation specification data for cyber threat information; A feature information obtaining unit which obtains information on a feature of each information element included in the expression standard data; And an integrated expression specification data generation unit including all of the characteristics of the individual information element and generating integrated expression standard data converted into a predefined structure based on the information on the characteristic of the individual information element. .

일 실시예에 따른 통합 표현 규격 데이터 생성부는 상기 개별 정보 요소의 특징 중 공통되는 특징 또는 상기 개별 정보 요소들에게 필수적으로 요구되는 특징을 상기 통합 표현 규격 데이터의 일 특징으로 결정할 수 있다.The integrated representation standard data generator according to an embodiment may determine a common feature among the features of the individual information elements or a feature required for the individual information elements as one feature of the integrated representation standard data.

일 실시예에 따른 통합 표현 규격 데이터 생성부는 상기 개별 정보 요소의 특징 중 유사한 역할을 수행하는 서로 다른 명칭의 특징을 상기 통합 표현 규격 데이터 상의 동일한 특징으로 결정할 수 있다.The integrated representation standard data generator according to an embodiment may determine a feature having a different name performing a similar role among the features of the individual information elements as the same feature on the integrated representation standard data.

일 실시예에 따른 상기 통합 표현 규격 데이터 생성부는 상기 사이버 위협 정보를 분석하는 분석 도구에서 사용되는 특징을 상기 통합 표현 규격 데이터 상의 일 특징으로 결정할 수 있다.The integrated representation specification data generator according to an embodiment may determine a feature used in an analysis tool for analyzing the cyber threat information as one feature on the integrated representation specification data.

도 1은 일 실시예에 따른 통합 표현 규격 데이터 생성 방법을 설명하기 위한 흐름도이다.
도 2a는 일 실시예에 따른 사이버 위협 정보에 대한 표현 규격 데이터의 형태를 설명하기 위한 도면이다.
도 2b는 일 실시예에 따른 일 개별 정보 요소의 표현 형태의 일례를 도시하는 도면이다.
도 3a는 일 실시예에 따른 사이버 위협 정보에 대한 통합 표현 규격 데이터의 형태를 설명하기 위한 도면이다.
도 3b는 일 실시예에 따른 통합 표현 규격 데이터의 표현 형태의 일례를 도시하는 도면이다.
도 4는 일 실시예에 따른 통합 표현 규격 데이터에 기초하여 사이버 위협 정보를 가공하는 가공방법을 설명하기 위한 흐름도이다.
도 5는 일 실시예에 따른 통합 표현 규격 데이터 생성 장치의 전체적인 구성을 도시하는 도면이다.1 is a flowchart illustrating a method of generating integrated representation standard data according to an exemplary embodiment.
2A is a diagram for describing a form of expression specification data for cyber threat information, according to an exemplary embodiment.
2B is a diagram illustrating an example of a representation form of one individual information element according to an embodiment.
3A is a diagram for describing a form of integrated expression standard data for cyber threat information, according to an exemplary embodiment.
3B is a diagram illustrating an example of a representation form of integrated representation standard data according to an embodiment.
4 is a flowchart illustrating a processing method of processing cyber threat information based on integrated representation standard data according to an exemplary embodiment.
5 is a diagram illustrating an overall configuration of an apparatus for generating an integrated representation standard data according to an embodiment.

실시예들에 대한 구조적 또는 기능적 설명들은 단지 예시를 위한 목적으로 개시된 것으로서, 다양한 형태로 변경되어 실시될 수 있다. 따라서, 본 명세서의 범위는 개시된 실시예들의 특정한 형태로 한정되는 것이 아니라 설명한 기술적 사상에 포함되는 변경, 균등물, 또는 대체물을 포함한다.The structural or functional descriptions of the embodiments are disclosed for the purpose of illustration only, and may be embodied in various forms. Accordingly, the scope of the present specification is not limited to the specific forms of the disclosed embodiments, but includes modifications, equivalents, or substitutes included in the technical spirit described.

제1 또는 제2 등의 용어를 다양한 구성요소들을 설명하는데 사용될 수 있지만, 이런 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 해석되어야 한다. 예를 들어, 제1 구성요소는 제2 구성요소로 명명될 수 있고, 유사하게 제2 구성요소는 제1 구성요소로도 명명될 수 있다.Terms such as first or second may be used to describe various components, but such terms should be interpreted only for the purpose of distinguishing one component from another. For example, the first component may be referred to as a second component, and similarly, the second component may also be referred to as a first component.

어떤 구성요소가 다른 구성요소에 "연결되어" 있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다.When a component is referred to as being "connected" to another component, it should be understood that there may be a direct connection or connection to that other component, but there may be other components in between.

단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 명세서에서, "포함하다" 또는 "가지다" 등의 용어는 설명된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함으로 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.Singular expressions include plural expressions unless the context clearly indicates otherwise. As used herein, the terms "comprise" or "have" are intended to designate that the described features, numbers, steps, operations, components, parts, or combinations thereof are present, but include one or more other features or numbers, It should be understood that it does not exclude in advance the possibility of the presence or addition of steps, actions, components, parts or combinations thereof.

다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 해당 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가진다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥상 가지는 의미와 일치하는 의미를 갖는 것으로 해석되어야 하며, 본 명세서에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.Unless defined otherwise, all terms used herein, including technical or scientific terms, have the same meaning as commonly understood by one of ordinary skill in the art. Terms such as those defined in the commonly used dictionaries should be construed as having meanings consistent with the meanings in the context of the related art, and are not construed in ideal or excessively formal meanings unless expressly defined herein. Do not.

한편, 어떤 실시예가 달리 구현 가능한 경우에 특정 블록 내에 명기된 기능 또는 동작이 순서도와 다르게 수행될 수 있다. 예를 들어, 연속하는 두 블록들이 실제로는 실질적으로 동시에 수행될 수도 있고, 관련된 기능 또는 동작에 따라서는 해당 블록들의 순서가 뒤바뀌어 수행될 수도 있다.On the other hand, when an embodiment is otherwise implemented, a function or operation specified in a specific block may be performed differently from the flowchart. For example, two consecutive blocks may actually be executed substantially simultaneously, or the blocks may be reversed according to related functions or operations.

이하, 실시예들을 첨부된 도면들을 참조하여 상세하게 설명한다. 첨부 도면을 참조하여 설명함에 있어, 도면 부호에 관계없이 동일한 구성 요소는 동일한 참조 부호를 부여하고, 이에 대한 중복되는 설명은 생략하기로 한다.Hereinafter, embodiments will be described in detail with reference to the accompanying drawings. In the description with reference to the accompanying drawings, the same components will be given the same reference numerals regardless of the reference numerals, and redundant description thereof will be omitted.

사이버 위협 정보를 표현하는 STIX(The Structured threat Information eXpression)을 토대로 머신 러닝(Machine Learning)을 통해 새로운 사이버 위협 정보를 추출하기 위하여, 자동화된 빅데이터 분석을 수행하기 위해서는, 머신 러닝에 대한 입력으로써 단일 형태의 입력 데이터가 요구된다. STIX의 데이터는 서로 다른 형태의 개별 정보 요소를 포함하기 때문에, 머신 러닝을 통한 데이터 분석을 위해서는 STIX에 포함된 데이터를 단일 형태의 데이터로 변환할 필요가 있다. 통합 표현 규격 데이터 생성 시스템은 데이터 분석을 위한 단일 형태의 입력 데이터 생성을 위하여 통합 표현 규격 데이터를 생성하고, 생성된 통합 표현 규격 데이터를 통해 사이버 위협 정보를 가공할 수 있다. 가공된 사이버 위협 정보는 머신 러닝을 위한 초기 입력으로 사용될 수 있고, 머신 러닝을 통한 데이터 분석을 통해 새로운 사이버 위협 정보가 추출될 수 있다. 본 명세서에서 사용되는 사이버 위협 정보라는 용어는 다양한 형태의 사이버 공격에 대한 내용을 포함하는 정보를 의미할 수 있다.To extract new cyber threat information through machine learning based on The Structured threat Information eXpression (STIX) that represents cyber threat information, and to perform automated big data analysis, a single input as machine learning Type of input data is required. Since the data of STIX includes different information elements, it is necessary to convert data included in STIX into a single type of data for data analysis through machine learning. The integrated expression specification data generation system may generate integrated expression specification data to generate a single type of input data for data analysis, and process cyber threat information through the generated integrated expression specification data. The processed cyber threat information can be used as an initial input for machine learning, and new cyber threat information can be extracted through data analysis through machine learning. As used herein, the term cyber threat information may refer to information including contents of various types of cyber attacks.

도 1은 일 실시예에 따른 통합 표현 규격 데이터 생성 방법을 설명하기 위한 흐름도이다.1 is a flowchart illustrating a method of generating integrated representation standard data according to an exemplary embodiment.

도 1을 참조하면, 단계(110)에서 통합 표현 규격 데이터 생성 장치는 사이버 위협 정보에 대한 표현 규격 데이터를 수신할 수 있다. 일 실시예에 따르면, 사이버 위협 정보에 대한 표현 규격 데이터는 STIX일 수 있다. STIX는 미국의 국토안보부에서 사이버 위협 정보를 표준화한 것으로, STIX는 지속적인 업데이트를 통해 변화하는 사이버 공격에 대한 사이버 위협 정보가 반영될 수 있다. 통합 표현 규격 데이터 생성 장치는 업데이트가 진행된 현재 버전의 STIX를 수신하고, 수신한 STIX를 토대로 통합 표현 규격 데이터를 생성할 수 있다.Referring to FIG. 1, in operation 110, the apparatus for generating integrated representation specification data may receive representation specification data for cyber threat information. According to one embodiment, the representation specification data for cyber threat information may be STIX. STIX is a standardization of cyber threat information by the US Department of Homeland Security. STIX can continuously update cyber threat information about changing cyber attacks. The apparatus for generating the integrated representation standard data may receive the current version of the STIX that has been updated and generate the integrated representation standard data based on the received STIX.

단계(130)에서 통합 표현 규격 데이터 생성 장치는 수신한 표현 규격 데이터에 포함된 개별 정보 요소들을 분석할 수 있다. 사이버 위협 정보에 대한 표현 규격 데이터는 공격에 대한 공격자의 행태 양식에 대한 개별 정보 요소, 위협 탐지를 위한 패턴에 대한 개별 정보 요소와 같이 복수 개의 개별 정보 요소를 포함할 수 있다.In operation 130, the apparatus for generating integrated representation specification data may analyze individual information elements included in the received representation specification data. Representation specification data for cyber threat information may include a plurality of individual information elements such as individual information elements for the attacker's behavior pattern for the attack and individual information elements for the pattern for threat detection.

일 실시예에 따르면, 개별 정보 요소들은 모든 개별 정보 요소들이 공통으로 포함하는 특징을 포함할 수 있다. 예를 들어, 모든 개별 정보 요소들이 공통으로 포함하는 특징은 개별 정보 요소의 유형에 대한 특징, 개별 정보 요소의 유형에 대한 식별자에 대한 특징, 개별 정보 요소가 생성된 날짜에 대한 정보를 포함할 수 있지만, 공통으로 포함되는 특징은 제시된 예시에 한정되지 않을 수 있다.According to one embodiment, the individual information elements may include features that all individual information elements include in common. For example, a feature that all individual information elements include in common may include a feature for the type of the individual information element, a feature for the identifier for the type of the individual information element, and information about the date the individual information element was created. However, features included in common may not be limited to the examples presented.

일 실시예에 따르면, 개별 정보 요소는 개별 정보 요소마다 정의된 특징을 포함할 수 있다. 개별 정보 요소마다 정의된 특징은 해당 특징에 대한 특징 값이 반드시 필요한 특징, 선택적으로 포함할 수 있는 특징, 미래에 사용될 것으로 대비하여 할당되는 특징으로 유형이 분류될 수 있다.According to one embodiment, the individual information elements may include features defined for each individual information element. A feature defined for each individual information element may be classified into a feature that requires a feature value for the feature, a feature that may be optionally included, and a feature that is allocated for future use.

일 실시예에 따르면 개별 정보 요소는 일부 개별 정보 요소와 연관되는 특징을 포함할 수 있다. 예를 들어, 개별 정보 요소가 포함하는 일 특징은 일부의 개별 정보 요소들에는 포함되지만, 나머지 개별 정보 요소에는 포함되지 않을 수 있다.According to one embodiment, the individual information elements may include features associated with some individual information elements. For example, one feature included by an individual information element may be included in some individual information elements but not in the other individual information elements.

통합 표현 규격 데이터 생성 장치는 단계(110)에서 수신한 표현 규격 데이터에 포함된 개별 정보 요소들에 모두에 포함된 공통 특징들 및 개별 정보 요소에 대하여 고유하게 정의된 특징들을 분류하고, 개별 정보 요소에 고유하게 정의된 특징들의 유형을 분류함으로써, 표현 규격 데이터에 포함된 개별 정보 요소들을 분석할 수 있다.The integrated expression specification data generating apparatus classifies the common features included in all of the individual information elements included in the expression specification data received in step 110 and the features uniquely defined for the individual information elements, and classifies the individual information elements. By classifying the types of features that are uniquely defined in, it is possible to analyze the individual information elements contained in the presentation specification data.

단계(150)에서, 통합 표현 규격 데이터 생성 장치는 단계(130)의 분석 결과에 기초하여 개별 정보 요소들의 특징을 모두 포함하고, 미리 정의된 구조체로 변환된 사이버 위협 정보에 대한 통합 표현 규격 데이터를 생성할 수 있다.In operation 150, the apparatus for generating an integrated representation specification data includes all of the features of individual information elements based on the analysis result of operation 130 and generates integrated representation specification data for cyber threat information converted into a predefined structure. Can be generated.

일 실시예에 따르면, 통합 표현 규격 데이터 생성 장치는 개별 정보 요소들의 특징 중 공통되는 특징 또는 개별 정보 요소들에게 필수적으로 요구되는 특징을 통합 표현 규격 데이터의 일 특징으로 결정할 수 있다. 예를 들어, 통합 표현 규격 데이터 생성 장치는 개별 정보 요소의 유형에 대한 특징과 같이 모든 개별 정보 요소가 포함하거나 개별 정보 요소들에게 필수적으로 요구되는 특징을 통합 표현 규격 데이터의 일 특징으로 결정할 수 있다.According to an embodiment of the present disclosure, the apparatus for generating an integrated representation standard data may determine a common feature among the characteristics of individual information elements or a feature required for the individual information elements as one feature of the integrated expression standard data. For example, the apparatus for generating an integrated representation specification data may determine, as a characteristic of the integrated representation specification data, a feature that all the individual information elements include or are required for the individual information elements, such as a characteristic of the type of the individual information elements. .

일 실시예에 따르면, 통합 표현 규격 데이터 생성 장치는 개별 정보 요소의 특징들 중 유사한 역할을 수행하는 서로 다른 명칭의 특징을 통합 표현 규격 데이터 상의 동일한 특징으로 결정할 수 있다. 예를 들어, 개별 정보 요소가 생성된 날짜에 대한 특징이 일 개별 정보 요소와 다른 개별 정보 요소에서 서로 다른 명칭으로 정의되어 있는 경우, 통합 표현 규격 데이터 생성 장치는 서로 다른 명칭으로 정의된 특징을 동일한 명칭을 통해 통합 표현 규격 데이터 상에 일 특징으로 통합시킬 수 있다.According to an embodiment of the present disclosure, the apparatus for generating an integrated representation standard data may determine a feature of different names performing similar roles among the features of individual information elements as the same feature on the integrated representation standard data. For example, if a feature for a date on which an individual information element was created is defined with different names in one individual information element and another individual information element, the apparatus for generating an integrated representation specification data may share the same feature defined with different names. The name may be incorporated into a feature on the integrated presentation specification data.

일 실시예에 따르면, 통합 표현 규격 데이터 생성 장치는 사이버 위협 정보를 분석하는 분석 도구에서 사용되는 특징을 통합 표현 규격 데이터 상의 일 특징으로 결정할 수 있다. 예를 들어, 통합 표현 규격 데이터 생성 장치는 사이버 위협 정보를 분석하는 분석 도구로써 사용되는 머신 러닝에서 데이터 분석에 필수적으로 사용되는 특징을 통합 표현 규격 데이터의 일 특징으로 결정할 수 있다.According to an embodiment, the apparatus for generating an integrated representation specification data may determine a feature used in an analysis tool for analyzing cyber threat information as one feature on the integrated representation specification data. For example, the integrated expression specification data generating device may determine a feature that is essential for data analysis in machine learning, which is used as an analysis tool for analyzing cyber threat information, as one feature of the integrated expression specification data.

도 2a는 일 실시예에 따른 사이버 위협 정보에 대한 표현 규격 데이터의 형태를 설명하기 위한 도면이다.2A is a diagram for describing a form of expression specification data for cyber threat information, according to an exemplary embodiment.

도 2a를 참조하면, 표현 규격 데이터는 공격에 대한 공격자의 행태 양식에 개별 정보 요소, 대상에 대한 공격 행동의 그룹에 대한 개별 정보 요소, 공격에 대응하기 위한 조치에 대한 개별 정보 요소, 공격 및 위협요소를 나타내는 ID에 대한 개별 정보 요소, 위협 탐지를 위한 패턴에 대한 개별 정보 요소, 공통된 속성의 공격 set에 대한 개별 정보 요소, 악성 코드 정보에 대한 개별 정보 요소, 시스템/네트워크에서 관찰된 정보에 대한 개별 정보 요소, 위협 정보 모음에 대한 개별 정보 요소, 악의적인 행위자로 간주되는 주체에 대한 개별 정보 요소, 공격에 사용될 수 있는 도구에 대한 개별 정보 요소, 소프트웨어의 실수로 발생하는 취약점에 대한 개별 정보 요소를 포함할 수 있다. 표현 규격 데이터에 포함되는 개별 정보 요소는 제시된 예시에 한정되지 않고, 사이버 위협 정보와 관련된 임의의 정보 요소를 포함할 수 있다.Referring to FIG. 2A, the presentation specification data may include individual information elements in the form of the attacker's behavior against the attack, individual information elements for the group of attack behaviors against the target, individual information elements for the actions to respond to the attack, attacks and threats. Individual information elements for IDs representing elements, individual information elements for patterns for threat detection, individual information elements for attack sets with common attributes, individual information elements for malicious code information, and information observed on systems / networks. Individual information elements, individual information elements for threat intelligence collections, individual information elements for subjects considered to be malicious actors, individual information elements for tools that can be used in an attack, and individual information elements for software accidental vulnerabilities. It may include. Individual information elements included in the presentation specification data are not limited to the examples presented, but may include any information element related to cyber threat information.

도 2b는 일 실시예에 따른 일 개별 정보 요소의 표현 형태의 일례를 도시하는 도면이다.2B is a diagram illustrating an example of a representation form of one individual information element according to an embodiment.

도 2b에는 소프트웨어의 실수로 발생하는 취약점에 대한 개별 정보 요소인 'Vulnerability'에 포함되는 특징들 및 특징들에 대응되는 특징 값을 포함하는 데이터 구조체가 도시된다. 개별 정보 요소 'Vulnerability'는 특징으로 'type', 'id', 'created', 'modified', 'name' 및 'external_references'를 포함할 수 있고, 제시된 특징들에 대한 특징 값들은 특징들에 대응하여 데이터 구조체 상에 제시될 수 있다.FIG. 2B shows a data structure that includes the features included in 'Vulnerability', which are individual information elements for vulnerabilities caused by software mistakes, and feature values corresponding to the features. The individual information element 'Vulnerability' may include 'type', 'id', 'created', 'modified', 'name' and 'external_references' as features, and the feature values for the presented features correspond to the features. Can be presented on a data structure.

도 3a는 일 실시예에 따른 사이버 위협 정보에 대한 통합 표현 규격 데이터의 형태를 설명하기 위한 도면이다.3A is a diagram for describing a form of integrated expression standard data for cyber threat information, according to an exemplary embodiment.

일 실시예에 따르면, 통합 표현 규격 데이터 생성 장치는 개별 정보 요소들의 특징 중 공통되는 특징 또는 개별 정보 요소들에게 필수적으로 요구되는 특징을 통합 표현 규격 데이터의 일 특징으로 결정할 수 있고, 개별 정보 요소의 특징들 중 유사한 역할을 수행하는 서로 다른 명칭의 특징들을 통합 표현 규격 데이터 상의 동일한 특징으로 결정할 수 있고, 사이버 위협 정보를 분석하는 분석 도구에서 사용되는 특징을 통합 표현 규격 데이터 상의 일 특징으로 결정할 수 있다.According to an embodiment, the apparatus for generating an integrated representation standard data may determine a common feature among the features of the individual information elements or a feature required for the individual information elements as one feature of the integrated expression standard data. Features of different names that perform similar roles among the features may be determined as the same feature on the integrated presentation specification data, and a feature used in an analysis tool for analyzing cyber threat information may be determined as a feature on the integrated presentation specification data. .

도 3a를 참조하면, 통합 표현 규격 데이터는 개별 정보 요소의 유형에 대한 정보, 개별 정보 요소의 식별자에 대한 정보, 처음 생성된 날짜에 대한 정보, 포함된 세부 정보 요소의 세부적 유형에 대한 정보, 세부 정보 요소의 식별자에 대한 정보, 위협에 대한 대응 및 예방할 수 있는 행동에 대한 정보, 위협에 대하여 관찰되는 패턴에 대한 정보, 목적 및 목표에 대한 정보, 핵심 특징을 포함하는 자세한 설명에 대한 정보, 세부 정보 요소에 대한 내용의 외부 참조에 대한 정보를 일 특징으로 포함할 수 있다. 통합 표현 규격 데이터에 포함되는 특징에 대한 정보는 제시된 예시에 한정되지 않고, 임의의 사이버 위협에 대한 정보 및 사이버 위협 정보의 분석을 위한 정보를 포함할 수 있다.Referring to FIG. 3A, the integrated representation specification data includes information on the type of individual information elements, information on the identifiers of the individual information elements, information on the date of initial creation, information on the detailed types of included detail elements, and details. Information on identifiers of information elements, information on responses to threats and preventable actions, information on patterns observed for threats, information on objectives and objectives, detailed descriptions including key features, details Information about an external reference of the content for the information element may be included as a feature. Information on the features included in the integrated representation standard data is not limited to the examples presented, and may include information on any cyber threat and information for analyzing the cyber threat information.

도 3b는 일 실시예에 따른 통합 표현 규격 데이터의 표현 형태의 일례를 도시하는 도면이다.3B is a diagram illustrating an example of a representation form of integrated representation standard data according to an embodiment.

도 3b에는 소프트웨어의 실수로 발생하는 취약점에 대한 개별 정보 요소인 'Vulnerability'에 대한 데이터를 통합 표현 규격 데이터를 통해 표현한 데이터 구조체의 일례를 도시하는 도면이다. 개별 정보 요소 'Vulnerability'는 특징으로 'type', 'id', 'created', 'labels', 'name', 'action', 'pattern', 'goal', description 및 'references'를 포함할 수 있고, 제시된 특징들에 대한 특징 값들은 특징들에 대응하여 데이터 구조체 상에 제시될 수 있다.FIG. 3B is a diagram illustrating an example of a data structure in which data on 'Vulnerability', which is an individual information element of a vulnerability caused by a software mistake, is expressed through integrated representation standard data. Individual information elements 'Vulnerability' may include 'type', 'id', 'created', 'labels', 'name', 'action', 'pattern', 'goal', description and 'references' And feature values for the presented features may be presented on the data structure corresponding to the features.

도 4는 일 실시예에 따른 통합 표현 규격 데이터에 기초하여 사이버 위협 정보를 가공하는 가공방법을 설명하기 위한 흐름도이다.4 is a flowchart illustrating a processing method of processing cyber threat information based on integrated representation standard data according to an exemplary embodiment.

단계(410)에서 사이버 위협 정보 가공 장치는 사이버 위협 정보를 수신할 수 있다.In operation 410, the cyber threat information processing apparatus may receive cyber threat information.

단계(430)에서 사이버 위협 정보 가공 장치는 수신한 사이버 위협 정보에 대한 표현 규격 데이터에 기초하여 사이버 위협 정보에 대한 통합 표현 규격 데이터를 생성할 수 있다.In operation 430, the cyber threat information processing apparatus may generate integrated representation specification data for cyber threat information based on the expression specification data for the received cyber threat information.

일 실시예에 따르면, 사이버 위협 정보 가공 장치는 사이버 위협 정보에 대한 표현 규격 데이터에 포함된 개별 정보 요소의 특징에 대한 정보를 획득하고, 획득한 개별 정보 요소의 특징에 대한 정보에 기초하여 개별 정보 요소의 특징을 모두 포함하고, 미리 정의된 구조체로 변환된 사이버 위협 정보에 대한 통합 표현 규격 데이터를 생성할 수 있다.According to one embodiment, the cyber threat information processing device obtains information on the characteristics of the individual information elements included in the expression specification data for the cyber threat information, the individual information based on the information on the characteristics of the obtained individual information elements It is possible to generate integrated presentation specification data for cyber threat information including all the features of an element and transformed into a predefined structure.

일 실시예에 따르면, 개별 정보 요소의 특징 중 공통되는 특징 또는 개별 정보 요소들에게 필수적으로 요구되는 특징은 통합 표현 규격 데이터 상의 일 특징으로 결정될 수 있다. 개별 정보 요소의 특징 중 유사한 역할을 수행하는 서로 다른 명칭의 특징들은 통합 사이버 위협 표현 규격 데이터 상의 동일한 특징으로 결정될 수 있다. 사이버 위협 정보를 분석하는 분석 도구에서 사용되는 특징은 통합 표현 규격 데이터 상의 일 특징으로 결정될 수 있다.According to an embodiment, the common feature among the features of the individual information elements or the features required for the individual information elements may be determined as one feature on the integrated presentation specification data. Features of different names that play a similar role among the features of individual information elements may be determined by the same features on the integrated cyber threat presentation specification data. The feature used in the analysis tool for analyzing cyber threat information may be determined as a feature on the integrated presentation specification data.

단계(450)에서 사이버 위협 정보 가공 장치는 생성된 통합 표현 규격 데이터에 기초하여 사이버 위협 정보를 가공할 수 있다. 사이버 위협 정보 가공 장치는 통합 표현 규격 데이터에 포함되는 특징들에 기초하여 사이버 위협 정보를 분류함으로써 사이버 위협 정보를 가공할 수 있다. 예를 들어, 도 2b에 도시된 사이버 위협 정보는 가공을 통해 도 3b에 제시된 데이터로 변환됨으로써, 단일 형태의 데이터 구조체가 형성될 수 있다.In operation 450, the cyber threat information processing apparatus may process the cyber threat information based on the generated integrated expression specification data. The cyber threat information processing apparatus can process the cyber threat information by classifying the cyber threat information based on the features included in the integrated expression specification data. For example, the cyber threat information shown in FIG. 2B may be converted into data shown in FIG. 3B through processing, thereby forming a single data structure.

도 5는 일 실시예에 따른 통합 표현 규격 데이터 생성 장치의 전체적인 구성을 도시하는 도면이다.5 is a diagram illustrating an overall configuration of an apparatus for generating an integrated representation standard data according to an embodiment.

도 5를 참조하면, 통합 표현 규격 데이터 생성 장치(500)는 사이버 위협 정보에 대한 표현 규격 데이터를 수신하는 수신부(510), 표현 규격 데이터에 포함된 개별 정보 요소의 특징에 대한 정보를 획득하는 특징 정보 획득부(530), 사이버 위협 정보에 대한 통합 표현 규격 데이터를 생성하는 통합 표현 규격 데이터 생성부(550) 및 생성된 통합 표현 규격 데이터를 저장하는 데이터 베이스(570)를 포함할 수 있다.Referring to FIG. 5, the apparatus 500 for generating an integrated representation standard data acquires information on a feature of an individual information element included in the receiver 510 for receiving representation standard data about cyber threat information and the expression standard data. The information acquisition unit 530 may include an integrated expression standard data generation unit 550 for generating integrated expression standard data for cyber threat information, and a database 570 for storing the generated integrated expression standard data.

일 실시예에 따르면 통합 표현 규격 데이터 생성부(550)는 특징 정보 획득부(530)를 통해 획득한 개별 요소의 특징에 대한 정보에 기초하여 개별 정보 요소의 특징을 모두 포함하고, 미리 정의된 구조체로 변환된 통합 규격 데이터를 생성할 수 있다. 예를 들어, 사이버 위협 정보에 대한 표현 규격 데이터는 STIX일 수 있고, 통합 표현 규격 데이터 생성부(550)는 표현 규격 데이터에 포함된 개별 정보 요소의 특징들 중 공통되는 특징 또는 개별 정보 요소들에게 필수적으로 요구되는 특징을 통합 표현 규격 데이터의 일 특징으로 결정할 수 있다. 통합 표현 규격 데이터 생성부(550)는 개별 정보 요소의 특징 중 유사한 역할을 수행하는 서로 다른 명칭의 특징을 통합 표현 규격 데이터 상의 동일한 특징으로 결정할 수 있다. 또한, 통합 표현 규격 데이터 생성부(550)는 사이버 위협 정보를 분석하는 분석 도구에서 사용되는 특징을 통합 표현 규격 데이터 상의 일 특징으로 결정할 수 있다.According to an embodiment, the integrated representation standard data generator 550 includes all of the features of the individual information elements based on the information about the features of the individual elements obtained through the feature information acquirer 530, and includes a predefined structure. The integrated specification data converted into can be generated. For example, the expression specification data for cyber threat information may be STIX, and the integrated expression specification data generation unit 550 may provide a common feature or individual information elements among the characteristics of the individual information elements included in the expression specification data. The required feature may be determined as one feature of the integrated presentation specification data. The integrated representation standard data generation unit 550 may determine the features of different names performing similar roles among the features of individual information elements as the same features on the integrated representation standard data. In addition, the integrated representation specification data generation unit 550 may determine a feature used in an analysis tool for analyzing cyber threat information as one feature on the integrated representation specification data.

실시예들에서 설명된 구성요소들은 하나 이상의 DSP (digital signal processor), 프로세서, 컨트롤러, ASIC (application specific integrated circuit), FPGA (field programmable gate array)와 같은 프로그래머블 논리 소자, 다른 전자 기기들 및 이것들의 조합 중 하나 이상을 포함하는 하드웨어 구성 요소에 의해 구현될 수 있다. 실시예들에서 설명된 과정들 또는 기능들 중 적어도 일부는 소프트웨어에 의해 구현될 수 있고, 해당 소프트웨어는 기록 매체에 기록될 수 있다. 실시예들에서 설명된 구성요소들, 기능들 및 과정들은 하드웨어와 소프트웨어의 조합에 의해 구현될 수 있다.The components described in the embodiments may include one or more digital signal processors (DSPs), processors, controllers, application specific integrated circuits (ASICs), programmable logic devices such as field programmable gate arrays (FPGAs), other electronic devices and their It may be implemented by a hardware component including one or more of the combination. At least some of the processes or functions described in the embodiments may be implemented by software, and the software may be recorded on the recording medium. The components, functions, and processes described in the embodiments may be implemented by a combination of hardware and software.

실시예에 따른 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 컴퓨터 판독 가능 매체에 기록되는 프로그램 명령은 실시예를 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 실시예의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.The method according to the embodiment may be embodied in the form of program instructions that can be executed by various computer means and recorded in a computer readable medium. Computer-readable media may include, alone or in combination with the program instructions, data files, data structures, and the like. The program instructions recorded on the computer readable medium may be those specially designed and constructed for the purposes of the embodiments, or they may be of the kind well known and available to those having skill in the computer software arts. Examples of computer-readable recording media include magnetic media such as hard disks, floppy disks, and magnetic tape, optical media such as CD-ROMs, DVDs, and magnetic disks, such as floppy disks. Magneto-optical media, and hardware devices specifically configured to store and execute program instructions, such as ROM, RAM, flash memory, and the like. Examples of program instructions include not only machine code generated by a compiler, but also high-level language code that can be executed by a computer using an interpreter or the like. The hardware device described above may be configured to operate as one or more software modules to perform the operations of the embodiments, and vice versa.

이상과 같이 실시예들이 비록 한정된 도면에 의해 설명되었으나, 해당 기술분야에서 통상의 지식을 가진 자라면 상기를 기초로 다양한 기술적 수정 및 변형을 적용할 수 있다. 예를 들어, 설명된 기술들이 설명된 방법과 다른 순서로 수행되거나, 및/또는 설명된 시스템, 구조, 장치, 회로 등의 구성요소들이 설명된 방법과 다른 형태로 결합 또는 조합되거나, 다른 구성요소 또는 균등물에 의하여 대치되거나 치환되더라도 적절한 결과가 달성될 수 있다.Although the embodiments have been described with reference to the accompanying drawings, those skilled in the art may apply various technical modifications and variations based on the above. For example, the described techniques may be performed in a different order than the described method, and / or components of the described systems, structures, devices, circuits, etc. may be combined or combined in a different form than the described method, or other components. Or, even if replaced or substituted by equivalents, an appropriate result can be achieved.

Claims (20)

사이버 위협 정보에 대한 표현 규격 데이터를 수신하는 단계;
상기 표현 규격 데이터에 포함된 개별 정보 요소들을 분석하는 단계; 및
상기 분석 결과에 기초하여, 상기 개별 정보 요소들의 특징을 포함하고, 미리 정의된 구조체로 변환된 상기 사이버 위협 정보에 대한 통합 표현 규격 데이터를 생성하는 단계
를 포함하고,
상기 통합 표현 규격 데이터를 생성하는 단계는,
상기 개별 정보 요소들의 특징 중 공통되는 특징 또는 상기 개별 정보 요소들에게 필수적으로 요구되는 특징을 상기 통합 표현 규격 데이터의 일 특징으로 결정하는, 통합 표현 규격 데이터 생성 방법.
Receiving presentation specification data for cyber threat information;
Analyzing individual information elements included in the presentation specification data; And
Generating integrated representation specification data for the cyber threat information including the characteristics of the individual information elements and converted into a predefined structure based on the analysis result;
Including,
Generating the integrated representation standard data,
And determining a common feature among the features of the individual information elements or a feature required for the individual information elements as one feature of the integrated expression specification data.
제1항에 있어서,
상기 사이버 위협 정보에 대한 표현 규격 데이터 표현 규격 데이터는,
STIX(The Structured Threat Information eXpression)인, 통합 표현 규격 데이터 생성 방법.The method of claim 1,
Expression specification data expression standard data for the cyber threat information,
A method of generating unified representation specification data, The Structured Threat Information eXpression (STIX). 삭제delete 제1항에 있어서,
상기 통합 표현 규격 데이터를 생성하는 단계는,
상기 개별 정보 요소의 특징들 중 유사한 역할을 수행하는 서로 다른 명칭의 특징을 상기 통합 표현 규격 데이터 상의 동일한 특징으로 결정하는, 통합 표현 규격 데이터 생성 방법.The method of claim 1,
Generating the integrated representation standard data,
Determining a feature of a different name performing a similar role among the features of the individual information elements as the same feature on the unified representation specification data. 제1항에 있어서,
상기 통합 표현 규격 데이터를 생성하는 단계는,
상기 사이버 위협 정보를 분석하는 분석 도구에서 사용되는 특징을 상기 통합 표현 규격 데이터 상의 일 특징으로 결정하는, 통합 표현 규격 데이터 생성 방법.The method of claim 1,
Generating the integrated representation standard data,
And determining a feature used in the analysis tool for analyzing the cyber threat information as one feature on the integrated presentation specification data. 제5항에 있어서,
상기 분석 도구는,
머신 러닝(machine learning)을 포함하는, 통합 표현 규격 데이터 생성 방법.The method of claim 5,
The analysis tool,
A method for generating unified representation specification data, including machine learning. 제1항에 있어서,
상기 통합 표현 규격 데이터는,
상기 개별 정보 요소의 유형에 대한 정보 및 상기 개별 정보 요소의 식별자에 대한 정보를 일 특징으로 포함하는, 통합 표현 규격 데이터 생성 방법.The method of claim 1,
The integrated representation standard data,
And information on the type of the individual information element and the information on the identifier of the individual information element. 제1항에 있어서,
상기 통합 표현 규격 데이터는,
상기 개별 정보 요소에 포함되는 세부 정보 요소에 대한 정보를 일 특징으로 포함하는, 통합 표현 규격 데이터 생성 방법.The method of claim 1,
The integrated representation standard data,
And information on a detailed information element included in the individual information elements. 제1항에 있어서,
상기 통합 표현 규격 데이터는,
사이버 위협에 대한 대응 방안에 대한 정보를 일 특징으로 포함하는, 통합 표현 규격 데이터 생성 방법.The method of claim 1,
The integrated representation standard data,
A method of generating integrated representation specification data, the information comprising information on how to respond to cyber threats. 사이버 위협 정보를 수신하는 단계;
상기 사이버 위협 정보에 대한 표현 규격 데이터에 기초하여, 상기 사이버 위협 정보에 대한 통합 표현 규격 데이터를 생성하는 단계; 및
상기 통합 표현 규격 데이터에 기초하여, 상기 사이버 위협 정보를 가공하는 단계
를 포함하고,
상기 통합 표현 규격 데이터를 생성하는 단계는,
개별 정보 요소들의 특징 중 공통되는 특징 또는 상기 개별 정보 요소들에게 필수적으로 요구되는 특징을 상기 통합 표현 규격 데이터의 일 특징으로 결정하는, 사이버 위협 정보 가공방법.
Receiving cyber threat information;
Generating integrated representation specification data for the cyber threat information based on the representation specification data for the cyber threat information; And
Processing the cyber threat information based on the integrated representation standard data
Including,
Generating the integrated representation standard data,
And determining a common feature among the features of the individual information elements or a feature required for the individual information elements as one feature of the integrated presentation specification data.
제10항에 있어서,
상기 사이버 위협 정보를 가공하는 단계는,
상기 통합 표현 규격 데이터에 포함되는 특징들에 기초하여 상기 사이버 위협 정보를 분류하는, 사이버 위협 정보 가공 방법.The method of claim 10,
Processing the cyber threat information,
And classifying the cyber threat information based on the features included in the integrated representation standard data. 제10항에 있어서,
상기 통합 표현 규격 데이터를 생성하는 단계는,
상기 사이버 위협 정보에 대한 표현 규격 데이터에 포함된 개별 정보 요소의 특징에 대한 정보를 획득하는 단계; 및
상기 개별 정보 요소의 특징에 대한 정보에 기초하여, 상기 개별 정보 요소의 특징을 모두 포함하고, 미리 정의된 구조체로 변환된 상기 사이버 위협 정보에 대한 통합 표현 규격 데이터를 생성하는 단계
를 포함하는, 사이버 위협 정보 가공방법.The method of claim 10,
Generating the integrated representation standard data,
Acquiring information on characteristics of individual information elements included in the expression specification data for the cyber threat information; And
Generating integrated representation specification data for the cyber threat information including all the features of the individual information element and converted into a predefined structure based on the information on the feature of the individual information element;
Including, cyber threat information processing method. 삭제delete 제12항에 있어서,
상기 통합 표현 규격 데이터를 생성하는 단계는,
상기 개별 정보 요소의 특징 중 유사한 역할을 수행하는 서로 다른 명칭의 특징을 통합 사이버 위협 표현 규격 데이터 상의 동일한 특징으로 결정하는, 사이버 위협 정보 가공방법.The method of claim 12,
Generating the integrated representation standard data,
And determining a feature of a different name performing a similar role among the features of the individual information elements as the same feature on the integrated cyber threat expression specification data. 제12항에 있어서,
상기 통합 표현 규격 데이터를 생성하는 단계는,
상기 사이버 위협 정보를 분석하는 분석 도구에서 사용되는 특징을 상기 통합 표현 규격 데이터 상의 일 특징으로 결정하는, 사이버 위협 정보 가공방법.The method of claim 12,
Generating the integrated representation standard data,
And determining the feature used in the analysis tool for analyzing the cyber threat information as one feature on the integrated expression specification data. 사이버 위협 정보에 대한 표현 규격 데이터를 수신하는 수신부;
상기 표현 규격 데이터에 포함된 개별 정보 요소의 특징에 대한 정보를 획득하는 특징 정보 획득부; 및
상기 개별 정보 요소의 특징에 대한 정보에 기초하여, 상기 개별 정보 요소의 특징을 모두 포함하고, 미리 정의된 구조체로 변환된 통합 표현 규격 데이터를 생성하는, 통합 표현 규격 데이터 생성부
를 포함하고,
상기 통합 표현 규격 데이터 생성부는,
상기 개별 정보 요소의 특징 중 공통되는 특징 또는 상기 개별 정보 요소들에게 필수적으로 요구되는 특징을 상기 통합 표현 규격 데이터의 일 특징으로 결정하는, 통합 표현 규격 데이터 생성 장치.

Receiving unit for receiving the expression specification data for cyber threat information;
A feature information obtaining unit which obtains information on a feature of each information element included in the expression standard data; And
On the basis of the information on the characteristics of the individual information elements, including all the characteristics of the individual information elements, generating a unified representation standard data converted into a predefined structure, integrated representation standard data generation unit
Including,
The integrated expression standard data generation unit,
And determine a common feature among the features of the individual information elements or a feature required for the individual information elements as one feature of the integrated expression standard data.

삭제delete 제16항에 있어서,
상기 통합 표현 규격 데이터 생성부는,
상기 개별 정보 요소의 특징 중 유사한 역할을 수행하는 서로 다른 명칭의 특징을 상기 통합 표현 규격 데이터 상의 동일한 특징으로 결정하는, 통합 표현 규격 데이터 생성 장치.The method of claim 16,
The integrated expression standard data generation unit,
And determine features of different names performing similar roles among the features of the individual information elements as the same features on the unified representation specification data. 제16항에 있어서,
상기 통합 표현 규격 데이터 생성부는,
상기 사이버 위협 정보를 분석하는 분석 도구에서 사용되는 특징을 상기 통합 표현 규격 데이터 상의 일 특징으로 결정하는, 통합 표현 규격 데이터 생성 장치.The method of claim 16,
The integrated expression standard data generation unit,
And determine a feature used in the analysis tool for analyzing the cyber threat information as one feature on the integrated representation specification data. 제1항, 제2항, 제4항 내지 제12항, 제14항 및 제15항 중 어느 한 항의 방법을 구현하기 위한 프로세서에 의해 실행되는 프로그램이 기록된 컴퓨터로 읽을 수 있는 기록 매체.
16. A computer readable recording medium having recorded thereon a program executed by a processor for implementing the method of any one of claims 1, 2, 4, 12, 14, and 15.
KR1020170171242A 2017-12-13 2017-12-13 Apparatus and method for generating integrated representation specification data for cyber threat information KR102081492B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020170171242A KR102081492B1 (en) 2017-12-13 2017-12-13 Apparatus and method for generating integrated representation specification data for cyber threat information

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020170171242A KR102081492B1 (en) 2017-12-13 2017-12-13 Apparatus and method for generating integrated representation specification data for cyber threat information

Publications (2)

Publication Number Publication Date
KR20190070583A KR20190070583A (en) 2019-06-21
KR102081492B1 true KR102081492B1 (en) 2020-02-25

Family

ID=67056626

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020170171242A KR102081492B1 (en) 2017-12-13 2017-12-13 Apparatus and method for generating integrated representation specification data for cyber threat information

Country Status (1)

Country Link
KR (1) KR102081492B1 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11503047B2 (en) 2020-03-13 2022-11-15 International Business Machines Corporation Relationship-based conversion of cyber threat data into a narrative-like format

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20160366174A1 (en) * 2015-04-17 2016-12-15 Soltra Solutions, Llc Computerized system and method for securely distributing and exchanging cyber-threat information in a standardized format

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20170035248A (en) * 2015-09-22 2017-03-30 국방과학연구소 Apparatus for automatically classifying electronic war threatening signal using statistical model
KR20160119678A (en) * 2015-10-30 2016-10-14 엑스브레인 주식회사 Method and apparatus for detecting malicious web traffic using machine learning technology
KR20170135495A (en) * 2016-05-31 2017-12-08 주식회사 씨티아이랩 Cyber Threat Information Analysis and Management System

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20160366174A1 (en) * 2015-04-17 2016-12-15 Soltra Solutions, Llc Computerized system and method for securely distributing and exchanging cyber-threat information in a standardized format

Also Published As

Publication number Publication date
KR20190070583A (en) 2019-06-21

Similar Documents

Publication Publication Date Title
US10303873B2 (en) Device for detecting malware infected terminal, system for detecting malware infected terminal, method for detecting malware infected terminal, and program for detecting malware infected terminal
EP3287927B1 (en) Non-transitory computer-readable recording medium storing cyber attack analysis support program, cyber attack analysis support method, and cyber attack analysis support device
US20160358083A1 (en) Identification and classification of web traffic inside encrypted network tunnels
US10691795B2 (en) Quantitative unified analytic neural networks
US20180307832A1 (en) Information processing device, information processing method, and computer readable medium
US11212297B2 (en) Access classification device, access classification method, and recording medium
US10462168B2 (en) Access classifying device, access classifying method, and access classifying program
KR20170060280A (en) Apparatus and method for automatically generating rules for malware detection
CN109344611B (en) Application access control method, terminal equipment and medium
US11019096B2 (en) Combining apparatus, combining method, and combining program
US10819717B2 (en) Malware infected terminal detecting apparatus, malware infected terminal detecting method, and malware infected terminal detecting program
US11270001B2 (en) Classification apparatus, classification method, and classification program
US20160219068A1 (en) Method and apparatus for automatically identifying signature of malicious traffic using latent dirichlet allocation
CN112134897B (en) Network attack data processing method and device
US10970391B2 (en) Classification method, classification device, and classification program
CN111368289B (en) Malicious software detection method and device
KR101859562B1 (en) Method and Apparatus for Analyzing Vulnerability Information
CN110149318B (en) Mail metadata processing method and device, storage medium and electronic device
US20170277887A1 (en) Information processing apparatus, information processing method, and computer readable medium
KR102280845B1 (en) Method and apparatus for detecting abnormal behavior in network
CN111183620A (en) Intrusion investigation
CN114024761B (en) Network threat data detection method and device, storage medium and electronic equipment
KR102081492B1 (en) Apparatus and method for generating integrated representation specification data for cyber threat information
CN115766258B (en) Multi-stage attack trend prediction method, equipment and storage medium based on causal relationship graph
CN110188537B (en) Data separation storage method and device, storage medium and electronic device

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E90F Notification of reason for final refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant