KR102088310B1 - 공격빈도, 자산중요도 및 취약정도에 따른 위험지수 보정시스템 및 그 방법 - Google Patents

공격빈도, 자산중요도 및 취약정도에 따른 위험지수 보정시스템 및 그 방법 Download PDF

Info

Publication number
KR102088310B1
KR102088310B1 KR1020180140853A KR20180140853A KR102088310B1 KR 102088310 B1 KR102088310 B1 KR 102088310B1 KR 1020180140853 A KR1020180140853 A KR 1020180140853A KR 20180140853 A KR20180140853 A KR 20180140853A KR 102088310 B1 KR102088310 B1 KR 102088310B1
Authority
KR
South Korea
Prior art keywords
asset
risk index
vulnerability
importance
value
Prior art date
Application number
KR1020180140853A
Other languages
English (en)
Inventor
박종성
Original Assignee
주식회사 이글루시큐리티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 이글루시큐리티 filed Critical 주식회사 이글루시큐리티
Priority to KR1020180140853A priority Critical patent/KR102088310B1/ko
Application granted granted Critical
Publication of KR102088310B1 publication Critical patent/KR102088310B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/06Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
    • G06Q10/063Operations research, analysis or management
    • G06Q10/0637Strategic management or analysis, e.g. setting a goal or target of an organisation; Planning actions based on goals; Analysis or evaluation of effectiveness of goals

Landscapes

  • Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Human Resources & Organizations (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Entrepreneurship & Innovation (AREA)
  • Software Systems (AREA)
  • Educational Administration (AREA)
  • Strategic Management (AREA)
  • Economics (AREA)
  • Physics & Mathematics (AREA)
  • Quality & Reliability (AREA)
  • Game Theory and Decision Science (AREA)
  • General Business, Economics & Management (AREA)
  • Tourism & Hospitality (AREA)
  • Development Economics (AREA)
  • Computing Systems (AREA)
  • Operations Research (AREA)
  • Marketing (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

본 발명은 공격빈도, 자산중요도 및 취약정도에 따른 위험지수 보정시스템 및 그 방법에 관한 것으로, 더욱 상세하게는, 실제 보안관리 업무에 적용가능한 위험지수의 산출과정에 있어서, 정보 자산에 대한 공격빈도, 자산중요도 및 취약정도에 따른 자동 보정기술을 적용함으로써, 보안이벤트의 위험지수 값의 정확도를 획기적으로 향상시키고, 이를 통하여 자산별 위험지수 값의 정확도까지 개선할 수 있는 방법을 제시하며 위험지수의 관리체계의 자동화 및 신뢰성 확보를 통해 보안관리 업무의 효율성을 증대할 수 있는, 공격빈도, 자산중요도 및 취약정도에 따른 위험지수 보정시스템 및 그 방법에 관한 것이다.

Description

공격빈도, 자산중요도 및 취약정도에 따른 위험지수 보정시스템 및 그 방법{Risk Index Correction System Based on Attack Frequency, Asset Importance, and Severity}
본 발명은 공격빈도, 자산중요도 및 취약정도에 따른 위험지수 보정시스템 및 그 방법에 관한 것으로, 더욱 상세하게는, 실제 보안관리 업무에 적용가능한 위험지수의 산출과정에 있어서, 정보 자산에 대한 공격빈도, 자산중요도 및 취약정도에 따른 자동 보정기술을 적용함으로써, 보안이벤트의 위험지수 값의 정확도를 획기적으로 향상시키고, 이를 통하여 자산별 위험지수 값의 정확도까지 개선할 수 있는 방법을 제시하며 위험지수의 관리체계의 자동화 및 신뢰성 확보를 통해 보안관리 업무의 효율성을 증대할 수 있는, 공격빈도, 자산중요도 및 취약정도에 따른 위험지수 보정시스템 및 그 방법에 관한 것이다.
정보자산 내의 정보의 중요성과 정보의 양이 커짐에 따라, 네트워크 상 보안의 중요성 역시 대두되었다. 정보자산의 보안을 위하여 통합보안관리시스템, 위협관리시스템, 방화벽 등의 보안장비 및 보안시스템이 사용되고 있다. 현재 지속적이고 가변성인 사이버 침해 시도 증가에 따라 많은 양의 보안이벤트가 발생하고 있으며 변화하는 공격에 대한 효율적인 대응이 필요한 상황이다.
한편, 디지털 장비를 사용하는 사용자가 급격히 증가하였고, 이에 따라 사용자들이 디지털 장비를 사용한 흔적인 로그와 데이터의 양 또한 기하급수적으로 증가하여 이른바 빅데이터(Big Data) 환경이 도래하였다. 다양한 사용자의 단말기, 즉 엔드포인트(EndPoint)나 네트워크 상의 보안시스템 등에서 발생하는 보안 침해에 관한 보안이벤트는 이벤트로그로 기록된다.
네트워크 환경이 빅데이터 환경으로 진입하면서 보안이벤트는 폭발적으로 증가하는 추세이다. 때문에 최근에는 전산 자원에 대한 효과적인 보안을 위하여 중앙집중적인 관제시스템의 활용이 필수적이라 할 수 있다.
보안관제 및 시스템 관리 분야에 주로 활용되는 관제시스템들은 효과적인 관제를 위하여 관리대상 시스템들의 각종 위협 정도를 수치로 지표화한 위험지수를 사용하고 있다. 보안 위험지수란, 보호해야 할 정보자산에 대한 각종 위협 및 취약점을 분석하여 위험도를 산출한 지표이다.
그 예로는 시만텍 보안연구소가 글로벌 위협을 분석하여 1~4단계 위기경보를 발령하는 ThreatCon 지수가 있으며, 국가사이버안전센터가 사이버공격에 대한 국가차원의 체계적 대응을 위해 발령하는 4단계 위기경보 체계가 있다. 또한 산업통상자원부나 안전행정부 등과 같이 자체적인 사이버안전센터를 운영중인 정부부처들이 산하기관의 정보보호관리실태 등을 종합하여 위험수준을 평가하기 위하여 개발한 사이버안전지수(MOTIE-CSI)도 있다.
도 1은 종래 정보자산에 대하여 자산별로 위험도를 평가하고 위험지수를 도출하는 시스템인 한국등록특허공보 제10-1623843호에 개시된 정보자산의 위험평가시스템을 도시한 도면이다. 종래의 위험평가시스템은 자산별로 입력되거나 설정된 정보를 이용하여 자산가치, 취약성 및 위협성을 산출하고, 입력된 선택신호에 대응하여 적용비율을 선택한 후 위험도값을 산출하는 시스템을 구비하고 있다.
그러나 종래의 위험평가시스템은 기존에 존재하거나 관리자가 임의로 설정한 가치판단의 기준에 기초하여 위험지수를 부여하는 바, 실시간성 및 신뢰도가 충분하지 않다는 문제점이 있다.
또한, 기존의 위험지수는 일정기간 동안의 위협을 분석한 후 보안이벤트의 유형에 따라 임의로 설정된 위험지수를 사용하여 위험도를 결정하는 수준으로, 실시간성이 부족하고 특정 타겟을 대상으로 한 APT(Advanced Persistent Threat, 지능형 지속 공격)나 일정기간 동안 대량의 공격을 집중하는 DoS(서비스 거부 공격)와 같은 고도화된 사이버위협 대응에 한계를 가질 수밖에 없었다.
기존의 연구 및 보안제품들에 있어서, 이들의 보안지표 산출 방법은 대부분 관리자의 임의적인 가치판단에 기초하여 각각의 위협이벤트마다 고정된 위험지수를 부여하고, 이에 기반하여 시스템 및 관리조직, 기관에 대한 위험도가 산출됨에 따라 위험지수 자체에 대한 신뢰도가 낮아 관리자들에게 외면받고 있는 실정이다.
이에 관련업계에서는 기존의 보안 위험지수 산출 방법의 문제점을 개선하여 정확도와 신뢰도를 높임으로써, 빅데이터 기반의 대량의 시스템 관리 시에도 위협 대응 능력이 향상된 시스템의 개발을 요구하고 있다.
한국등록특허공보 제10-1623843호(2016.05.18)
본 발명은 상기와 같은 문제점을 해결하고자 안출된 것으로,
본 발명의 목적은, 수집된 로그를 자산별 및/또는 위협유형별로 분류하는 분류부와 기준치를 산출하고, 위협지수를 산출하고 종합하여 위험지수를 도출하는 위험지수산출부를 포함하며, 상기 위험지수산출부는 사용자가 입력한 입력값에 따라 기준치 및/또는 위험지수가 변화하도록 구성함으로써, 공격상황 및 피해자산의 현황을 반영하여 위험지수를 자동으로 보정하고 위험지수 값의 정확도를 향상시켜 보안관리 업무의 효율성을 증대하는 공격빈도, 자산중요도 및 취약정도에 따른 위험지수 보정 시스템을 제공하는 것이다.
본 발명의 다른 목적은, 상기 위험지수산출부는 입출력부로부터 제공받거나 설정된 제1설정값과 분류부로부터 제공받은 자산별 및/또는 위협유형별 로그로부터 기준치를 산출하는 기준치산출모듈과 자산별 취약도와 중요도를 참조하여 가중치를 산출 또는 참조하고 입출력부로부터 제공받거나 설정된 제2설정값과 분류부로부터 제공받은 자산별 및/또는 위협유형별 로그로부터 자산별위험지수를 산출하는 자산별위험지수산출모듈을 포함하도록 구성함으로써, 공격상황 및 피해자산의 현황을 반영하여 위험지수를 자동으로 보정하고 위험지수 값의 정확도를 향상시켜 보안관리 업무의 효율성을 증대하는 공격빈도, 자산중요도 및 취약정도에 따른 위험지수 보정 시스템을 제공하는 것이다.
본 발명의 또 다른 목적은, 상기 기준치산출모듈은, 시스템상에서 설정된 제1변수에서 제1설정값을 뺀 시점부터 제1변수 시점까지 탐지된 자산별 및/또는 위협유형별 이벤트량을 기초로 하여 기준치를 산출하도록 구성함으로써, 기준치를 시간에 따라 변화시켜 위험지수 값의 정확도를 향상시키고 보안관리 업무의 효율성을 증대하는 공격빈도, 자산중요도 및 취약정도에 따른 위험지수 보정 시스템을 제공하는 것이다.
본 발명의 또 다른 목적은, 상기 자산별위험지수산출모듈은, 시스템상에서 설정된 제2변수에서 제2설정값을 뺀 시점부터 제2변수 시점까지 탐지된 자산별 및/또는 위협유형별 이벤트량, 자산의 중요도가중치, 취약도가중치 및 기준치산출모듈에서 산출된 기준치를 기초로 자산별위험지수를 산출하도록 구성함으로써, 중요도가중치, 취약도가중치를 반영하여 시간에 따라 변화하는 자산별위험지수를 산출하고 위험지수 값의 정확도를 향상시켜 보안관리 업무의 효율성을 증대하는 공격빈도, 자산중요도 및 취약정도에 따른 위험지수 보정 시스템을 제공하는 것이다.
본 발명의 또 다른 목적은, 상기 위험지수산출부는, 자산별위험지수를 종합 또는 수합하여 위험지수를 판단하는 종합모듈을 더 포함하도록 구성함으로써, 산출된 변수값을 종합하여 최종 위험지수를 도출함으로써 위험지수 값의 정확도를 향상시켜 보안관리 업무의 효율성을 증대하는 공격빈도, 자산중요도 및 취약정도에 따른 위험지수 보정 시스템을 제공하는 것이다.
본 발명의 또 다른 목적은, 상기 종합모듈은, 위험지수의 기준치 대비 증가율에 따라 단계적인 경보 수준을 출력모듈에 통지하도록 구성함으로써, 합리적인 수치로 경보수준을 통지하여 위험지수 값의 정확도를 향상시켜 보안관리 업무의 효율성을 증대하는 공격빈도, 자산중요도 및 취약정도에 따른 위험지수 보정 시스템을 제공하는 것이다.
본 발명의 또 다른 목적은, 상기 분류부는, 제공받은 전처리된 로그를 자산별 로그로 분류하는 자산별분류모듈과 제공받은 전처리된 로그를 위협유형별 로그로 분류하는 위협유형별분류모듈을 포함하도록 구성하여 외부로부터의 위협에 대하여 자산별 및 위협유형별로 효과적으로 대처하며 위험지수를 자동으로 보정하고 위험지수 값의 정확도를 향상시켜 보안관리 업무의 효율성을 증대하는 공격빈도, 자산중요도 및 취약정도에 따른 위험지수 보정 시스템을 제공하는 것이다.
본 발명의 또 다른 목적은, 상기 입출력부는, 사용자로부터 입력값을 입력받는 입력모듈과 상기 위험지수산출부에서 산출한 결과값을 출력하는 출력모듈을 포함하며, 상기 입력값은 기준치 산출에 이용되는 제1설정값과 위험지수 산출에 이용되는 제2설정값 중 적어도 하나 이상을 포함하도록 구성함으로써, 사용자가 원하는 시간동안 기준치 및/또는 자산별위험지수를 수집하여 위험지수를 자동으로 보정하고 위험지수 값의 정확도를 향상시켜 보안관리 업무의 효율성을 증대하는 공격빈도, 자산중요도 및 취약정도에 따른 위험지수 보정 시스템을 제공하는 것이다.
본 발명의 또 다른 목적은, 보안장비로부터 전달되는 로그를 수집하는 로그수집단계, 수집한 상기 로그를 정규 형식으로 변환하고 가공하는 전처리단계, 제공받은 전처리된 로그를 각 정보 자산별로 분류하는 자산별분류단계, 분류된 로그를 다시 위협유형별로 분류하는 위협유형별분류단계, 시스템의 위험지수를 산출하는 위험지수산출단계 및 산출한 위험지수를 출력하는 출력단계를 포함하도록 구성함으로써, 위험지수를 자동으로 보정하고 위험지수 값의 정확도를 향상시켜 보안관리 업무의 효율성을 증대하는 공격빈도, 자산중요도 및 취약정도에 따른 위험지수 보정방법을 제공하는 것이다.
본 발명의 또 다른 목적은, 상기 위험지수산출단계는, 입출력부로부터 제공받거나 설정된 제1설정값과 분류부로부터 제공받은 자산별 및/또는 위협유형별 로그로부터 기준치를 산출하는 기준치산출단계, 자산별 취약도와 중요도를 참조하여 취약도가중치 및/또는 중요도가중치를 산출 또는 참조하는 가중치결정단계 및 입출력부로부터 제공받거나 설정된 제2설정값과 분류부로부터 제공받은 자산별 및/또는 위협유형별 로그로부터 자산별위험지수를 산출하는 자산별위험지수산출단계를 포함하도록 구성하여 실시간성을 만족하며 공격빈도에 따라 위험지수를 자동으로 보정하고 위험지수 값의 정확도를 향상시켜 보안관리 업무의 효율성을 증대하는 공격빈도, 자산중요도 및 취약정도에 따른 위험지수 보정방법을 제공하는 것이다.
본 발명의 또 다른 목적은, 상기 기준치산출단계는, 자산별 및/또는 위협유형별 이벤트량을 수신하는 단계, 제1설정값이 입력값에 존재하는지 판단하는 단계, 제1설정값이 입력값에 존재하지 않는 경우 예시적 설정값을 설정하는 단계 및 기준치를 산출하는 단계를 포함하도록 구성하여 예시적인 기준치를 설정할 수 있는 보안관리 업무의 효율성을 증대하는 공격빈도, 자산중요도 및 취약정도에 따른 위험지수 보정방법을 제공하는 것이다.
본 발명의 또 다른 목적은, 상기 가중치결정단계는, 데이터베이스부에 중요도 및/또는 취약도가중치가 존재하는지 판단하는 단계, 데이터베이스부에 중요도 및 취약도가중치가 존재하지 않는 경우 입력값에 중요도 및/또는 취약도가 존재하는지 판단하고 존재하는 경우 중요도 및/또는 취약도를 입력하는 단계, 입력값에 중요도 및/또는 취약도가 존재하지 않는 경우 데이터베이스부 내에서 중요도 및 취약도를 색인하여 입력하는 단계, 입력받은 중요도 및/또는 취약도를 근거로 중요도가중치 및/또는 취약도가중치를 분류하는 단계 및 중요도가중치 및/또는 취약도가중치를 결정하는 단계를 포함하도록 구성하여 가중치를 제어할 수 있어 보안관리 업무의 효율성을 증대하는 공격빈도, 자산중요도 및 취약정도에 따른 위험지수 보정방법을 제공하는 것이다.
본 발명의 또 다른 목적은,상기 자산별위험지수산출단계는, 자산별 및/또는 위협유형별 이벤트량을 수신하는 단계, 기준치, 중요도가중치 및 취약도가중치를 수신하는 단계, 제2설정값이 입력값에 존재하는지 판단하는 단계, 제2설정값이 입력값에 존재하지 않는 경우 예시적 설정값을 산출하는 단계 및 상기 수학식 2를 통하여 자산별위험지수를 산출하는 단계를 포함하도록 구성함으로써, 예시적 시간에 따라 수집된 보안이벤트를 기초로 위험지수를 도출하는 공격빈도, 자산중요도 및 취약정도에 따른 위험지수 보정방법을 제공하는 것이다.
본 발명은 앞서 본 목적을 달성하기 위해서 다음과 같은 구성을 가진 실시예에 의해서 구현된다.
본 발명의 일 실시예에 따르면, 본 발명은, 수집된 로그를 자산별 및/또는 위협유형별로 분류하는 분류부와, 자산 및 유형별 기준치를 산출하고, 자산 및 유형별 위협지수를 산출하고 종합하여 위험지수를 도출하는 위험지수산출부를 포함하며, 상기 위험지수산출부는 사용자가 입력한 입력값에 따라 기준치 및/또는 위험지수가 변화하는 것을 특징으로 한다.
본 발명의 다른 실시예에 따르면, 본 발명은, 상기 위험지수산출부는 입출력부로부터 제공받거나 설정된 제1설정값과 분류부로부터 제공받은 자산별 및/또는 위협유형별 로그로부터 기준치를 산출하는 기준치산출모듈과 자산별 취약도와 중요도를 참조하여 가중치를 산출 또는 참조하고 입출력부로부터 제공받거나 설정된 제2설정값과 분류부로부터 제공받은 자산별 및/또는 위협유형별 로그로부터 자산별위험지수를 산출하는 자산별위험지수산출모듈을 포함하는 것을 특징으로 한다.
본 발명의 또 다른 실시예에 따르면, 본 발명은, 상기 기준치산출모듈은, 시스템상에서 설정된 제1변수에서 제1설정값을 뺀 시점부터 제1변수 시점까지 탐지된 자산별 및/또는 위협유형별 이벤트량을 기초로 하여 기준치를 산출하는 것을 특징으로 한다.
본 발명의 또 다른 실시예에 따르면, 본 발명은, 상기 자산별위험지수산출모듈은, 시스템상에서 설정된 제2변수에서 제2설정값을 뺀 시점부터 제2변수 시점까지 탐지된 자산별 및/또는 위협유형별 이벤트량, 자산의 중요도가중치, 취약도가중치 및 기준치산출모듈에서 산출된 기준치를 기초로 자산별위험지수를 산출하는 것을 특징으로 한다.
본 발명의 또 다른 실시예에 따르면, 본 발명은, 상기 위험지수산출부는, 자산별위험지수를 종합 또는 수합하여 위험지수를 판단하는 종합모듈을 더 포함하고, 상기 종합모듈은, 위험지수의 기준치 대비 증가율에 따라 단계적인 경보 수준을 출력모듈에 통지하는 것을 특징으로 한다.
본 발명의 또 다른 실시예에 따르면, 본 발명은, 상기 분류부는, 제공받은 전처리된 로그를 자산별 로그로 분류하는 자산별분류모듈과 위협유형별 로그로 분류하는 위협유형별분류모듈을 포함하는 것을 특징으로 한다.
본 발명의 또 다른 실시예에 따르면, 본 발명은, 상기 입출력부는, 사용자로부터 입력값을 입력받는 입력모듈과 상기 위험지수산출부에서 산출한 결과값을 출력하는 출력모듈을 포함하며, 상기 입력값은 기준치 산출에 이용되는 제1설정값과 위험지수 산출에 이용되는 제2설정값 중 적어도 하나 이상을 포함하는 것을 특징으로 한다.
본 발명의 또 다른 실시예에 따르면, 본 발명은, 상기 입력값은, 자산별 중요도와 취약도 중 적어도 하나 이상을 더 포함하는 것을 특징으로 한다.
본 발명의 또 다른 실시예에 따르면, 본 발명은, 보안장비로부터 전달되는 로그를 수집하는 로그수집단계, 수집한 상기 로그를 정규 형식으로 변환하고 가공하는 전처리단계, 제공받은 전처리된 로그를 각 정보 자산별로 분류하는 자산별분류단계, 분류된 로그를 다시 위협유형별로 분류하는 위협유형별분류단계, 시스템의 위험지수를 산출하는 위험지수산출단계 및 산출한 위험지수를 출력하는 출력단계를 포함하는 것을 특징으로 한다.
본 발명의 또 다른 실시예에 따르면, 본 발명은, 상기 위험지수산출단계는, 입출력부로부터 제공받거나 설정된 제1설정값과 분류부로부터 제공받은 자산별 및/또는 위협유형별 로그로부터 기준치를 산출하는 기준치산출단계, 자산별 취약도와 중요도를 참조하여 취약도가중치 및/또는 중요도가중치를 산출 또는 참조하는 가중치결정단계 및 입출력부로부터 제공받거나 설정된 제2설정값과 분류부로부터 제공받은 자산별 및/또는 위협유형별 로그로부터 자산별위험지수를 산출하는 자산별위험지수산출단계를 포함하는 것을 특징으로 한다.
본 발명의 또 다른 실시예에 따르면, 본 발명은, 상기 기준치산출단계는, 자산별 및/또는 위협유형별 이벤트량을 수신하는 단계, 제1설정값이 입력값에 존재하는지 판단하는 단계, 제1설정값이 입력값에 존재하지 않는 경우 예시적 설정값을 설정하는 단계 및 상기 수학식 1을 통하여 기준치를 산출하는 단계를 포함하는 것을 특징으로 한다.
본 발명의 또 다른 실시예에 따르면, 본 발명은, 상기 가중치결정단계는, 데이터베이스부에 중요도 및/또는 취약도가중치가 존재하는지 판단하는 단계, 데이터베이스부에 중요도 및 취약도가중치가 존재하지 않는 경우 입력값에 중요도 및/또는 취약도가 존재하는지 판단하고 존재하는 경우 중요도 및/또는 취약도를 입력하는 단계, 입력값에 중요도 및/또는 취약도가 존재하지 않는 경우 데이터베이스부 내에서 중요도 및 취약도를 색인하여 입력하는 단계, 입력받은 중요도 및/또는 취약도를 근거로 중요도가중치 및/또는 취약도가중치를 분류하는 단계 및 중요도가중치 및/또는 취약도가중치를 결정하는 단계를 포함하는 것을 특징으로 한다.
본 발명의 또 다른 실시예에 따르면, 본 발명은, 상기 자산별위험지수산출단계는, 자산별 및/또는 위협유형별 이벤트량을 수신하는 단계, 기준치, 중요도가중치 및 취약도가중치를 수신하는 단계, 제2설정값이 입력값에 존재하는지 판단하는 단계, 제2설정값이 입력값에 존재하지 않는 경우 예시적 설정값을 산출하는 단계 및 상기 수학식 2를 통하여 자산별위험지수를 산출하는 단계를 포함하는 것을 특징으로 한다.
본 발명의 또 다른 실시예에 따르면, 본 발명은, 제1설정값, 제2설정값, 자산별 취약도 및 중요도 중 적어도 하나 이상을 선택적으로 입력받는 입력단계를 더 포함하는 것을 특징으로 한다.
본 발명은 앞서 본 실시예와 하기에 설명할 구성과 결합, 사용관계에 의해 다음과 같은 효과를 얻을 수 있다.
본 발명은, 수집된 로그를 자산별 및/또는 위협유형별로 분류하는 분류부와, 사용자로부터 변수 정보를 입력받고 위험지수를 출력하는 입출력부와, 자산 중요도 및 자산 취약도 데이터베이스가 저장된 데이터베이스부 및 기준치를 산출하고, 위협지수를 산출하고 종합하여 위험지수를 도출하는 위험지수산출부를 포함하며, 상기 위험지수산출부는 사용자가 입력한 입력값에 따라 기준치 및/또는 위험지수가 변화하도록 구성함으로써, 공격상황 및 피해자산의 현황을 반영하여 위험지수를 자동으로 보정하고 위험지수 값의 정확도를 향상시켜 보안관리 업무의 효율성을 증대하는 공격빈도, 자산중요도 및 취약정도에 따른 위험지수 보정 시스템을 제공하는 효과를 가진다.
본 발명은, 상기 위험지수산출부는 입출력부로부터 제공받거나 설정된 제1설정값과 분류부로부터 제공받은 자산별 및/또는 위협유형별 로그로부터 기준치를 산출하는 기준치산출모듈과 자산별 취약도와 중요도를 참조하여 가중치를 산출 또는 참조하고 입출력부로부터 제공받거나 설정된 제2설정값과 분류부로부터 제공받은 자산별 및/또는 위협유형별 로그로부터 자산별위험지수를 산출하는 자산별위험지수산출모듈을 포함하도록 구성함으로써, 공격상황 및 피해자산의 현황을 반영하여 위험지수를 자동으로 보정하고 위험지수 값의 정확도를 향상시켜 보안관리 업무의 효율성을 증대하는 공격빈도, 자산중요도 및 취약정도에 따른 위험지수 보정 시스템을 제공하는 효과를 가진다.
본 발명은, 상기 기준치산출모듈은, 시스템상에서 설정된 제1변수에서 제1설정값을 뺀 시점부터 제1변수 시점까지 탐지된 자산별 및/또는 위협유형별 이벤트량을 기초로 하여 기준치를 산출하도록 구성함으로써, 기준치를 시간에 따라 변화시켜 위험지수 값의 정확도를 향상시키고 보안관리 업무의 효율성을 증대하는 공격빈도, 자산중요도 및 취약정도에 따른 위험지수 보정 시스템을 제공하는 효과가 있다.
본 발명은, 상기 자산별위험지수산출모듈은, 시스템상에서 설정된 제2변수에서 제2설정값을 뺀 시점부터 제2변수 시점까지 탐지된 자산별 및/또는 위협유형별 이벤트량, 자산의 중요도가중치, 취약도가중치 및 기준치산출모듈에서 산출된 기준치를 기초로 자산별위험지수를 산출하도록 구성함으로써, 중요도가중치, 취약도가중치를 반영하여 시간에 따라 변화하는 자산별위험지수를 산출하고 위험지수 값의 정확도를 향상시켜 보안관리 업무의 효율성을 증대하는 공격빈도, 자산중요도 및 취약정도에 따른 위험지수 보정 시스템을 제공하는 효과를 도출한다.
본 발명은, 상기 위험지수산출부는, 자산별위험지수를 종합 또는 수합하여 위험지수를 판단하는 종합모듈을 더 포함하도록 구성함으로써, 산출된 변수값을 종합하여 최종 위험지수를 도출함으로써 위험지수 값의 정확도를 향상시켜 보안관리 업무의 효율성을 증대하는 공격빈도, 자산중요도 및 취약정도에 따른 위험지수 보정 시스템을 제공하는 효과를 가진다.
본 발명은, 상기 종합모듈은, 위험지수의 기준치 대비 증가율에 따라 단계적인 경보 수준을 출력모듈에 통지하도록 구성함으로써, 합리적인 수치로 경보수준을 통지하여 위험지수 값의 정확도를 향상시켜 보안관리 업무의 효율성을 증대하는 공격빈도, 자산중요도 및 취약정도에 따른 위험지수 보정 시스템을 제공하는 효과를 제공한다.
본 발명은, 상기 분류부는, 제공받은 전처리된 로그를 자산별 로그로 분류하는 자산별분류모듈과 제공받은 전처리된 로그를 위협유형별 로그로 분류하는 위협유형별분류모듈을 포함하도록 구성하여 외부로부터의 위협에 대하여 자산별 및 위협유형별로 효과적으로 대처하며 위험지수를 자동으로 보정하고 위험지수 값의 정확도를 향상시켜 보안관리 업무의 효율성을 증대하는 공격빈도, 자산중요도 및 취약정도에 따른 위험지수 보정 시스템을 제공하는 효과를 가진다.
본 발명은, 상기 입출력부는, 사용자로부터 입력값을 입력받는 입력모듈과 상기 위험지수산출부에서 산출한 결과값을 출력하는 출력모듈을 포함하며, 상기 입력값은 기준치 산출에 이용되는 제1설정값과 위험지수 산출에 이용되는 제2설정값 중 적어도 하나 이상을 포함하도록 구성함으로써, 사용자가 원하는 시간동안 기준치 및/또는 자산별위험지수를 수집하여 위험지수를 자동으로 보정하고 위험지수 값의 정확도를 향상시켜 보안관리 업무의 효율성을 증대하는 공격빈도, 자산중요도 및 취약정도에 따른 위험지수 보정 시스템을 제공하는 효과가 있다.
본 발명은, 보안장비로부터 전달되는 로그를 수집하는 로그수집단계, 수집한 상기 로그를 정규 형식으로 변환하고 가공하는 전처리단계, 제공받은 전처리된 로그를 각 정보 자산별로 분류하는 자산별분류단계, 분류된 로그를 다시 위협유형별로 분류하는 위협유형별분류단계, 시스템의 위험지수를 산출하는 위험지수산출단계 및 산출한 위험지수를 출력하는 출력단계를 포함하도록 구성함으로써, 위험지수를 자동으로 보정하고 위험지수 값의 정확도를 향상시켜 보안관리 업무의 효율성을 증대하는 공격빈도, 자산중요도 및 취약정도에 따른 위험지수 보정방법을 제공하는 효과를 가진다.
본 발명은, 상기 위험지수산출단계는, 입출력부로부터 제공받거나 설정된 제1설정값과 분류부로부터 제공받은 자산별 및/또는 위협유형별 로그로부터 기준치를 산출하는 기준치산출단계, 자산별 취약도와 중요도를 참조하여 취약도가중치 및/또는 중요도가중치를 산출 또는 참조하는 가중치결정단계 및 입출력부로부터 제공받거나 설정된 제2설정값과 분류부로부터 제공받은 자산별 및/또는 위협유형별 로그로부터 자산별위험지수를 산출하는 자산별위험지수산출단계를 포함하도록 구성하여 실시간성을 만족하며 공격빈도에 따라 위험지수를 자동으로 보정하고 위험지수 값의 정확도를 향상시켜 보안관리 업무의 효율성을 증대하는 공격빈도, 자산중요도 및 취약정도에 따른 위험지수 보정방법을 제공하는 효과를 볼 수 있다.
본 발명은, 상기 기준치산출단계는, 자산별 및/또는 위협유형별 이벤트량을 수신하는 단계, 제1설정값이 입력값에 존재하는지 판단하는 단계, 제1설정값이 입력값에 존재하지 않는 경우 예시적 설정값을 설정하는 단계 및 기준치를 산출하는 단계를 포함하도록 구성하여 예시적인 기준치를 설정할 수 있는 보안관리 업무의 효율성을 증대하는 공격빈도, 자산중요도 및 취약정도에 따른 위험지수 보정방법을 제공하는 효과를 수반한다.
본 발명은, 상기 가중치결정단계는, 데이터베이스부에 중요도 및/또는 취약도가중치가 존재하는지 판단하는 단계, 데이터베이스부에 중요도 및 취약도가중치가 존재하지 않는 경우 입력값에 중요도 및/또는 취약도가 존재하는지 판단하고 존재하는 경우 중요도 및/또는 취약도를 입력하는 단계, 입력값에 중요도 및/또는 취약도가 존재하지 않는 경우 데이터베이스부 내에서 중요도 및 취약도를 색인하여 입력하는 단계, 입력받은 중요도 및/또는 취약도를 근거로 중요도가중치 및/또는 취약도가중치를 분류하는 단계 및 중요도가중치 및/또는 취약도가중치를 결정하는 단계를 포함하도록 구성하여 가중치를 제어할 수 있어 보안관리 업무의 효율성을 증대하는 공격빈도, 자산중요도 및 취약정도에 따른 위험지수 보정방법을 제공하는 효과가 있다.
본 발명은, 상기 자산별위험지수산출단계는, 자산별 및/또는 위협유형별 이벤트량을 수신하는 단계, 기준치, 중요도가중치 및 취약도가중치를 수신하는 단계, 제2설정값이 입력값에 존재하는지 판단하는 단계, 제2설정값이 입력값에 존재하지 않는 경우 예시적 설정값을 산출하는 단계 및 상기 수학식 2를 통하여 자산별위험지수를 산출하는 단계를 포함하도록 구성함으로써, 예시적 시간에 따라 수집된 보안이벤트를 기초로 위험지수를 도출하는 공격빈도, 자산중요도 및 취약정도에 따른 위험지수 보정방법을 제공하는 효과를 수반한다.
도 1은 종래의 정보자산의 위험평가시스템을 도시한 도면.
도 2는 본 발명의 일 실시예에 따른 공격빈도, 자산중요도 및 취약정도에 따른 위험지수 보정 시스템의 블록도.
도 3은 도 2의 공격빈도, 자산중요도 및 취약정도에 따른 위험지수 보정 시스템에서 위험지수를 산출하는 방법의 흐름도.
도 4는 도 3의 위험지수산출단계의 산출과정을 도시한 흐름도.
도 5는 도 4의 기준치산출단계의 산출과정을 도시한 흐름도.
도 6은 도 4의 가중치결정단계의 결정과정을 도시한 흐름도.
도 7은 도 4의 자산별위험지수산출단계의 산출과정을 도시한 흐름도.
이하에서는 본 발명에 따른 공격빈도, 자산중요도 및 취약정도에 따른 위험지수 보정 시스템 및 그 방법의 바람직한 실시 예들을 첨부된 도면을 참조하여 상세히 설명한다. 하기에서 본 발명을 설명함에 있어 공지의 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략하도록 한다. 특별한 정의가 없는 한 본 명세서의 모든 용어는 본 발명이 속하는 기술분야의 통상의 지식을 가진 기술자가 이해하는 당해 용어의 일반적 의미와 동일하고 만약 본 명세서에서 사용된 용어의 의미와 충돌하는 경우에는 본 명세서에서 사용된 정의에 따른다.
명세서 전체에서, 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니고, 다른 구성요소 또한 더 포함할 수 있는 것을 의미하며, 명세서에 기재된 "~부","~모듈" 등의 용어는 적어도 하나 이상의 기능이나 동작을 처리하는 단위를 의미하고, 이는 하드웨어나 소프트웨어 또는 하드웨어와 소프트웨어의 결합으로 구현될 수 있다. 이하, 첨부한 도면을 참조하여 본 발명의 바람직한 실시예를 설명함으로써 본 발명을 상세히 설명한다.
도 2는 본 발명의 일 실시예에 따른 공격빈도, 자산중요도 및 취약정도에 따른 위험지수 보정 시스템의 블록도이다. 도 2를 참조하면, 공격빈도, 자산중요도 및 취약정도에 따른 위험지수 보정 시스템(1)은 공격상황 및 피해자산의 현황을 반영하여 위험지수를 자동으로 보정하고 위험지수 값의 정확도를 향상시켜 보안관리 업무의 효율성을 증대시킬 수 있으며, 로그수집부(10), 분류부(30), 입출력부(50), 데이터베이스부(70) 및 위험지수산출부(80)를 포함한다.
상기 로그수집부(10)는 보안장비로부터 전달되는 로그를 수집하고 수집한 로그를 정규 형식으로 변환하고 가공한다. 보안장비란 네트워크 및/또는 정보 자산을 내외부 위협으로부터 보호하기 위하여 작동하는 기계, 시스템, 소프트웨어 등을 지칭하며, 위험관리시스템(RMS), 위협관리시스템(TMS), 침입탐지시스템(IDS) 등의 보안시스템도 가능하고, 방화벽(Firewall) 등의 기기일 수도 있다. 보안장비는 상기 열거한 보안시스템 내지 보안기기에 한정되지 않으며, 정보보안의 기능이 있고 로그를 발생 또는 전송시킬 수 있는 것이면 무방하다. 상기 로그수집부(10)는 수집모듈(11)과 전처리모듈(13)을 포함한다.
상기 수집모듈(11)은 보안장비로부터 전달되는 로그를 수집하는 기능을 한다. 로그란 시스템의 기록을 담고 있는 데이터로, 로그 데이터 분석을 통하여 외부로부터의 침입 감지 및 추적, 시스템 성능관리 등이 가능하다. 웹 로그, 웹탑 로그 등이 존재하며, 보안로그는 각 개체에 대해 설정한 보안정책에 정의된 대로 각 이벤트를 기록한다.
상기 전처리모듈(13)은 상기 수집모듈(11)이 수집한 로그를 정규 형식으로 변환하거나 가공한다. 예를 들면, 로그는 출발지 IP정보(source IP), 목적지 IP(destination IP) 정보, 출발지 포트(source port) 정보, 목적지 포트(destination port) 정보, 호스트(host) 정보, 페이로드(payload) 정보, HTTP 레퍼러(hypertext transfer protocol referer) 정보 및 보안이벤트의 개수 정보 중 적어도 하나를 포함할 수 있다.
상기 전처리모듈(13)에서는 상기 수집한 로그를 정규 형식으로 변환한다. 일예로, 정규화된 로그는 Time, Type, SentIP, DestIP, Payload 등을 비롯한 필드를 포함하는 데이터로 구성될 수 있다. 이때, Time은 이벤트의 탐지시각, Type은 이벤트의 유형, SentIP는 출발지 IP, DestIP는 이벤트의 목적지 IP, Payload는 로그에 담긴 공격의 정보가 될 수 있다. 상기 로그 및 정규화된 로그가 포함하고 있는 정보 및/또는 필드는 예시적인 사항이며, 보안관제에 필요한 다른 정보 및/또는 필드를 포함할 수 있는 것을 알 수 있다.
상기 분류부(30)는 상기 로그수집부(10)에서 수집하고 정규 형식으로 변환한 전처리된 로그에 대하여 공격 대상에 해당하는 정보자산별 및/또는 공격 유형에 해당하는 위협유형별로 제공받은 전처리된 로그를 분류한다. 상기 분류부(30)는 자산별분류모듈(31)과 위협유형별분류모듈(33)을 포함한다.
상기 자산별분류모듈(31)은 제공받은 전처리된 로그에 대하여 공격대상이 된 정보자산별로 각 로그를 분류한다. 정보자산은 관리대상이 되는 정보 및 정보시스템의 총칭이며, 관리대상인 모든 하드웨어, 소프트웨어, 네트워크가 포함될 수 있다. 상기 자산별분류모듈(31)은 전처리된 로그에서 필요한 필드를 탐색하여 공격이벤트에 해당할 시 공격대상이 된 정보자산별로 해당 공격이벤트를 분류한다. 분류 기준이 되는 필드로써, 바람직하게는 DestIP 필드를 통하여 공격대상이 된 정보자산을 확인할 수 있으나, DestIP가 아닌 필드를 탐색하여 공격대상이 된 정보자산을 확인할 수도 있으며, 복수 개의 필드를 참조하여 정보자산을 확인할 수도 있다.
상기 위협유형별분류모듈(33)은 제공받은 전처리된 로그에 대하여 보안이벤트의 위협유형별로 각 로그를 분류한다. 위협유형은 외부 및/또는 내부에서 행해지는 정보자산에 대한 공격의 유형을 말하며, 트래픽 기반의 공격이 될 수 있고, HTTP 기반의 공격도 될 수 있으며, DDos 또는 APT를 포함하여 공지된 또는 공지되지 않은 정보자산에 대한 공격방법을 지칭한다. 분류 기준이 되는 필드로써, 바람직하게는 Type 필드를 통하여 보안이벤트의 위협유형을 확인할 수 있으나, Payload를 비롯한 다른 필드 또는 복수개의 필드를 참조하여 위협유형을 확인할 수 있다.
상기 입출력부(50)는 사용자, 바람직하게는 보안관리자에게서 데이터, 명령, 설정값, 또는 변수를 입력받고, 정보를 출력하여 사용자에게 알려주거나 통지한다. 상기 입출력부는 입력모듈(51)과 출력모듈(53)을 포함한다.
상기 입력모듈(51)은 사용자에게서 데이터, 명령, 설정값, 또는 변수를 입력받는다. 상기 입력모듈(51)은 키보드, 마우스 등 컴퓨터를 구성하는 기기를 포함할 수 있으며, 음성인식을 이용한 입력장치와 같이 데이터, 명령 등을 입력할 수 있다면 공지된 또는 공지될 요소를 포함할 수 있다. 사용자 입력하는 값을 입력값이라 한다.
본 발명의 일 실시예에서, 상기 입력값은 기준치(X) 산출에 이용되는 제1설정값과 자산별위험지수(Y) 산출에 이용되는 제2설정값 중 적어도 하나 이상을 포함할 수 있고, 자산별 중요도와 취약도 중 적어도 하나 이상을 포함할 수 있다. 상기 제1설정값, 제2설정값, 자산별 중요도 및 취약도에 대해서는 후술한다.
상기 출력모듈(53)은 계산된 정보 혹은 본 발명에 따른 위험지수를 사용자에게 통지하는 구성요소이다. 상기 출력모듈은 모니터, 스피커등 일반적인 컴퓨터를 구성하는 기기를 포함할 수 있으며, 사용자에게 정보를 전달할 수 있는 기기면 어떠한 방식의 기기를 사용하더라도 무방하다.
상기 데이터베이스부(70)는 정보자산에 대한 데이터를 저장해놓은 곳이다. 정보자산의 데이터는 자산의 가치와 자산의 취약도를 포함한다. 자산의 가치는 자산의 중요도에 대한 평가를 기반으로 하며, 자산의 취약도는 취약점 진단 결과를 기반으로 한다. 상기 데이터베이스부(70)는 또한 정보자산에 대한 공격인 위협요소에 대한 데이터를 포함할 수 있다. 상기 데이터베이스부(70)는 중요도DB(71)와 취약도DB(73)를 포함한다.
상기 중요도DB(71)는 자산의 가치에 대한 평가를 수치화, 정보화 등을 거쳐 저장해놓은 데이터베이스이다. 일반적으로 자산의 중요도는 이에 대한 평가를 근거로 상, 중, 하와 같은 등급으로 관리될 수 있으며, 따라서 상기 중요도DB(71)에는 자산의 가치에 대한 평가를 기반으로 한 중요도가 수치화되어 저장될 수 있으며, 해당 수치에 따라 중요도의 등급이 저장될 수 있으며, 나아가 중요도 등급에 따른 중요도가중치가 저장될 수 있다.
본 발명의 일 실시예에서, 상기 중요도DB부(71)에는 어떤 엔드포인트(Endpoint)의 수치화된 중요도가 저장될 수 있으며, 수치화된 중요도에 따른 평가를 기반으로 '상'등급의 중요도 등급이 저장될 수 있고, 중요도 등급을 기반으로 1.1의 중요도가중치가 저장될 수 있다. 상기 중요도가중치는 중요도 등급이 상인 경우 1.1, 중인 경우 1.0, 하인 경우 0.9로 설정될 수 있다. 그러나, 본 발명의 다른 실시예에서는 중요도가중치가 다른 값으로 설정될 수 있으며, 중요도 등급 또한 다른 등급으로 나뉠 수 있다.
상기 취약도DB(73)는 자산의 취약점 진단 결과를 수치화, 정보화 등을 거쳐 저장해놓은 데이터베이스이다. 일반적으로 자산의 취약도는 자산의 취약점 진단결과를 근거로 하여 양호, 취약 등을 포함하는 등급으로 관리된다. 이에 따라 상기 취약도DB(73)에는 진단결과에 따른 수치가 저장될 수 있으며, 해당 수치에 따라 분류된 등급이 저장될 수 있으며, 분류된 등급에 따라 취약도가중치가 저장될 수 있다.
본 발명의 일 실시예에서, 상기 취약도DB부(73)는 어떤 엔드포인트(Endpoint)의 진단결과에 따라 수치화된 취약도가 저장될 수 있으며, 취약도 평가를 기반으로 '취약'등급의 취약도 등급이 저장될 수 있으며, 이에 따라 취약도가중치 1,1이 저장될 수 있다. 상기 취약도가중치는 취약도 등급이 취약인 경우 1.1, 양호인 경우 0.9, 미진단의 경우 1.0으로 설정될 수 있으나, 본 발명의 다른 실시예에서는 취약도가중치가 다른 값으로 설정될 수 있고, 취약도 등급 역시 다른 여러 등급을 포함할 수 있다.
상기 위험지수산출부(80)는 상기 분류부(30), 입출력부(50), 데이터베이스부(70)로부터 정보를 제공받아 자산별 및 유형별 기준치(X)를 산출하고, 자산별 및 유형별 위험지수를 산출하고 종합하여 위험지수를 도출하고, 상기 위험지수에 따른 경보 수준을 상기 입출력부(50)에 통지할 수 있다. 상기 기준치(X) 및/또는 위험지수는 사용자가 입력한 입력값 및/또는 시간에 따라 그 값이 변화할 수 있다. 상기 위험지수산출부(80)는 기준치산출모듈(81), 자산별위험지수산출모듈(83), 종합모듈(85)을 포함한다.
상기 기준치산출모듈(81)은 위험지수 산출에 기준이 되는 단위시간당 보안이벤트의 양을 산출한다. 기준치(X)는 시스템 상에서 설정된 제1변수에서 상기 제1설정값을 뺀 시점부터 제1변수 시점까지 탐지된 자산별 및/또는 위협유형별 이벤트량에 대하여 하기의 수학식 1에 따라 산출된다.
(수학식 1)
Figure 112018113797652-pat00001
이때, 본 발명의 일 실시예에서, X는 기준치, D는 시스템상에서 설정된 제1변수이다. 상기 제1변수는 시스템 상에서 측정된 날짜에 대한 변수로, 바람직하게는 오늘 날짜이다. d는 입력받거나 설정된 제1설정값이다. 상기 제1설정값은 입력단계(S51)에서 입력받거나 후술하는 기준치산출단계(S81)에서 설정되는 값이며, 바람직하게는 사용자 설정 일수이다.
따라서 기준치(X)는 사용자가 설정한 제1설정값에 해당하는 일수에 대하여 해당 일수 동안 탐지된 상기 자산별 및/또는 위협유형별 이벤트량의 평균치라 볼 수 있다. 한편, 본 발명의 다른 실시예에서는 상기 제1변수(D)와 제1설정값(d)는 일수가 아닌 시간, 주, 월 등 다른 단위일 수 있다.
예를 들어, 본 발명의 일 실시예에서 상기 수학식 1에 따라 산출되는 기준치(X)를 상세히 설명하면, 시스템상에서 설정된 상기 제1변수는 2018년 10월 15일이고, 상기 제1설정값은 3일일 수 있다. 이때, 상기 기준치산출모듈(81)은 2018년 10월 12일 00시부터 10월 15일 00시까지 탐지된 정보자산에 대한 공격빈도에 해당하는 상기 자산별 및/또는 위협유형별 이벤트량을 상기 제1설정값인 3으로 나눠 상기 기준치(X)를 산출한다.
종래기술에서는 위험지수가 관리자가 초기에 임의대로 설정한 고정된 값으로 유지되는바, 시시각각 변화하는 기관 내 공격 빈도와 같은 정량적 지표와 자산의 중요도 및 취약도와 같은 정성적 지표가 반영되지 않아 신뢰도가 낮았다. 이에 반해 본 발명의 일 실시예에서 상기 기준치(X)는 바람직하게는 오늘 날짜인 상기 제1변수와 바람직하게는 사용자 설정 일수인 상기 제1설정값을 변수 요인으로 가지고, 시간 또는 날짜에 따라서 각 자산별 및/또는 위협유형별 이벤트량은 변화하므로, 기준치(X) 역시 날짜에 따라 변화하는 값을 가진다. 또한, 바람직하게는 일평균 자산별 및/또는 위협유형별 이벤트량을 기준치(X)로 산출이 가능하다.
상기 자산별위험지수산출모듈(83)은 상기 기준치(X), 자산별 및/또는 위협유형별 이벤트량, 중요도가중치 및 취약도가중치에 근거하여 개별 정보자산에 대한 위험지수를 산출한다. 자산별위험지수(Y)는 시스템상에서 설정된 제2변수에서 상기 제2설정값을 뺀 시점부터 제2변수 시점가지 탐지된 탐지된 자산별 및/또는 위협유형별 이벤트량에 대하여 하기의 수학식 2에 따라 산출된다.
(수학식 2)
Figure 112018113797652-pat00002
이때, 본 발명의 일 실시예에서, Y는 자산별위험지수이고, T는 시스템상에서 설정된 제2변수이다. 상기 제2변수는 시스템상에서 측정된 시간에 대한 변수로, 바람직하게는 현재 시각일 수 있다. t는 입력받거나 설정된 제2설정값이다. 상기 제2설정값은 입력단계(S51)에서 입력받거나 후술하는 자산별위험지수산출단계(S85)에서 설정되고, 바람직하게는 사용자 설정 시간일 수 있다.
따라서 상기 자산별위험지수(Y)는 상기 제2설정값(t) 동안 탐지된 자산별 및/또는 위협유형별 이벤트량에 대해서 상기 자산별 및/또는 위협유형별 이벤트량의 단위시간에 대한 평균치가 상기 기준치(X)의 몇배에 해당하는지를 로그함수로 나타낸 것에 해당할 수 있다. 본 발명의 다른 실시예에서는 상기 수학식 2에서 중요도가중치 및/또는 취약도가중치를 고려하지 않고 자산별위험지수(Y)를 산출할 수도 있으며, 또 다른 실시예에서는 이외에 다른 가중치를 이벤트량에 곱하는 등의 부가를 할 수 있으나, 이는 본 발명의 균등범위 내라고 볼 수 있다.
예를 들어, 본 발명의 일 실시예에서 상기 수학식 2에 따라 산출되는 자산별위험지수(Y)를 상세히 설명하면, 시스템상에서 설정된 상기 제2변수는 2018년 10월 15일 13시이고, 상기 제2설정값은 1시간일 수 있다. 이때, 상기 자산별위험지수산출모듈(83)은 2018년 10월 15일 12시부터 10월 15일 13시까지 탐지된 정보자산에 대한 공격빈도에 해당하는 상기 자산별 및/또는 위협유형별 이벤트량에 후술하는 가중치결정단계(S83)에서 결정된 중요도가중치 및 취약도가중치를 곱한 후 제2설정값인 1시간으로 나누고, 이것을 다시 기준값으로 나눈 것에 자연로그를 취하여 상기 자산별위험지수(Y)를 산출한다.
종래기술에서는 위험지수가 관리자가 초기에 임의대로 설정한 고정된 값으로 유지되는바, 시시각각 변화하는 기관 내 공격 빈도와 같은 정량적 지표와 자산의 중요도 및 취약도와 같은 정성적 지표가 반영되지 않아 신뢰도가 낮았다. 이에 반해 본 발명의 일 실시예에서 상기 자산별위험지수(Y)는 바람직하게는 현재 시각인 상기 제2변수와 바람직하게는 사용자 설정 시간인 상기 제2설정값을 변수 요인으로 가지고, 시간에 따른 각 자산별 및/또는 위협유형별 이벤트량은 변화하므로, 자산별위험지수(Y) 역시 시간에 따라 변화하는 값을 가진다. 이에 따라 상기 자산별위험지수(Y)는 변화하는 공격에 대한 이벤트량과 같은 정량적인 지표와 자산의 중요도 및 취약도 등의 정성적인 지표를 감안하여 보정될 수 있다.
상기 종합모듈(85)은 상기 자산별위험지수(Y)를 종합 또는 수합하여 전체 시스템의 위험지수를 판단할 수 있다. 또한 상기 종합모듈은 위험지수의 값에 따라 단계적인 경보 수준을 상기 출력모듈(53)에 통지할 수 있다. 본 발명의 일 실시예에 대하여, 탐지된 자산별 및/또는 위협유형별 이벤트량의 기준치(X) 대비 증가율과 위험지수 및 경보 수준을 표로 나타내면 하기의 표 1과 같다. 표 1의 수치 및 경보 수준은 본 발명의 예시적인 실시 형태를 나타내며, 기준이 되는 위험지수와 경보의 명칭은 균등한 범위 내에서 바뀌는 것이 허용될 수 있다.
이벤트량의
기준치 대비 증가율		 위험지수 경보 수준
1배 초과 2.7배 이하 0 초과 1 이하 정상
2.7배 초과 7.4배 이하 1 초과 2 이하 관심
7.4배 초과 20.1배 이하 2 초과 3 이하 주의
20.1배 초과 54.6배 이하 3 초과 4 이하 경계
54.6배 초과 4 초과 심각
이러한 구성을 가진 본 발명의 실시예에 따른 공격빈도, 자산중요도 및 취약정도에 따른 위험지수 보정시스템의 동작 프로세스에 해당하는 공격빈도, 자산중요도 및 취약정도에 따른 위험지수 보정방법을 도 3 내지 도 7을 참고하여 상세히 설명하면 다음과 같다.
도 3은 본 발명의 일 실시예에 따른 공격빈도, 자산중요도 및 취약정도에 따른 위험지수 보정방법을 위한 데이터 처리 흐름도이며, 도 4는 위험지수산출단계(S80)의 산출 방법을 나타낸 흐름도이다.
본 발명은 로그수집부(10)에서 수행되는 로그수집단계(S11)와 전처리단계(S13)를 포함하며, 분류부(30)에서 수행되는 자산별분류단계(S31)와 위협유형별분류단계(S33)를 포함한다. 위험지수산출부(80)에서 수행되는 위험지수산출단계(S80)를 포함하며, 입출력부(50)에서 수행되는 입력단계(S51)와 출력단계(S53)를 포함할 수 있다.
상기 로그수집단계(S11)는 보안장비로부터 전달되는 로그를 수집한다.
상기 전처리단계(S13)는 상기 로그수집단계(S11)에서 수집된 로그를 정규 형식으로 변환한다.
상기 자산별분류단계(S31)는 제공받은 전처리된 로그에 대하여 공격대상이 된 정보자산별로 전처리된 로그를 분류한다. 해당 과정에 의하여 각 정보자산에 대한 보안이벤트의 총 양이 산출될 수 있다.
상기 위협유형별분류단계(S33)는 보안이벤트의 위협유형별로 전처리된 로그를 분류한다. 해당 과정을 거침으로써 각 정보자산에 대하여 위협유형별 보안이벤트량이 산출될 수 있다.
상기 입력단계(S51)는 상기 입력모듈(51)을 통하여 사용자에게서 정보를 입력받으며, 이때 입력받은 정보를 입력값이라 한다.
상기 출력단계(S53)는 상기 위험지수산출단계(S80)에서 산출된 위험지수 및/또는 이에 대한 경보 수준을 사용자에게 전달할 수 있다. 전달된 위험지수 및/또는 경보 수준에 따라 사용자는 보안정책을 업데이트하거나 보안이벤트에 대해서 판단할 수 있다.
상기 위험지수산출단계(S80)는 제공받은 데이터들에 근거하여 시스템의 위험지수를 산출한다. 상기 위험지수산출단계(S80)는 기준치산출단계(S81), 가중치결정단계(S83), 자산별위험지수산출단계(S85) 및 종합단계(S87)를 포함할 수 있다.
도 5를 참고하면, 상기 기준치산출단계(S81)는 제공받은 자산별 및/또는 위협유형별 이벤트량과 상기 제1설정값을 근거로 하여 상기 기준치(X)를 산출한다. 본 발명의 일 실시예에서, 상기 기준치산출단계(S81)의 순서를 설명하면 다음과 같다.
상기 분류부(30)에서 자산별 및/또는 위협유형별 이벤트량을 수신한다(S811). 그리고 나서 제1설정값이 입력값에 존재하는지 판단한다(S813). 상기 제1설정값이 상기 입력값에 존재하지 않는 경우 예시적 설정값을 산출하여 이것을 제1설정값으로 한다(S815). 그리고 상기 수학식 1을 이용하여 기준치(X)를 산출한다(S817).
본 발명의 다른 실시예에서는, 상기 기준치산출단계(S81)에서 제1설정값이 입력값에 존재하는지 판단하는 단계(S813)를 거치지 않고, 사용자는 상기 제1설정값을 확정적으로 입력하고 단순히 상기 입력된 제1설정값을 근거로 하여 상기 수학식 1을 통해 기준치(X)를 산출할 수도 있다.
도 6을 참고하면, 상기 가중치결정단계(S83)는 상기 데이터베이스부(70)에 존재하거나 입력된 자산의 중요도 및/또는 취약도를 기반으로 하여 상기 수학식 2에 산입될 중요도가중치 및/또는 취약도가중치를 결정한다. 본 발명의 일 실시예에 따른 상기 가중치결정단계(S83)의 순서를 설명하면 다음과 같다.
입력값에 중요도 및/또는 취약도가 존재하는지 판단한다(S831). 상기 입력값에 중요도 및/또는 취약도가 존재하지 않는 경우 데이터베이스부(70)에 중요도가중치 및/또는 취약도가중치가 존재하는지 판단한다(S833). 상기 데이터베이스부(70)에 중요도가중치 및/또는 취약도가중치가 존재하지 않는 경우 상기 데이터베이스부(70) 내에서 중요도 및/또는 취약도를 색인한다(S835). 색인하거나 입력된 중요도 및/또는 취약도를 근거로 하여 중요도 등급 및/또는 취약도 등급을 분류한다(S837). 그리고 나서 중요도가중치 및/또는 취약도가중치를 결정한다(S839).
본 발명의 다른 실시예에서는, 상기 가중치결정단계(S83)에서 중요도 및/또는 취약도를 입력받지 않고 단순히 데이터베이스부(70)에서 색인하여 중요도가중치 및/또는 취약도가중치를 결정할 수 있다.
도 7을 참고하면, 상기 자산별위험지수산출단계(S85)는 각 정보자산별로 기준치(X)에 대비한 단위시간당 이벤트량을 로그함수로 나타낸 위험지수를 산출하는 단계이다. 본 발명의 일 실시예에 따른 상기 자산별위험지수산출단계(S85)의 순서를 설명하면 다음과 같다.
자산별 및/또는 위협유형별 이벤트량을 수신한다(S851). 기준치(X), 중요도가중치 및/또는 취약도가중치를 수신한다(S853). 제2설정값이 입력값에 존재하는지 판단한다(S855). 상기 제2설정값이 입력값에 존재하지 않는 경우 예시적 설정값을 산출하여 제2설정값으로 한다(S857). 그리고 상기 수학식 2를 통하여 자산별위험지수(Y)를 산출한다(S859).
본 발명의 다른 실시예에서는, 상기 자산별위험지수산출단계(S85)에서 제2설정값이 입력값에 존재하는지 판단하는 단계(S855)를 거치지 않고, 사용자는 상기 제2설정값을 확정적으로 입력하고 단순히 상기 입력된 제2설정값을 근거로 하여 상기 수학식 2을 통해 자산별위험지수(Y)를 산출할 수도 있다.
상기 종합단계(S87)는 산출된 자산별위험지수(Y)를 종합 또는 수합하여 위험지수를 판단하고 상기 위험지수에 따른 단계적인 경보 수준을 출력모듈에 통지한다.
상기 종합단계(S87)에서 상기 자산별위험지수(Y)를 종합하여 위험지수를 산출하는 방법은 여러가지 알고리즘을 따를 수 있다. 본 발명의 일 실시예에 따라서는 가장 큰 값의 자산별위험지수(Y)를 위험지수로 할 수 있으며, 다른 실시예에 따라서는 각 자산별위험지수(Y)의 평균값을 위험지수로 할 수도 있다. 또 다른 실시예에 따라서는 자산별위험지수에 대하여 위협요소별 값을 평균내어 연산할 수도 있으며, 경우에 따라서는 자산별위험지수(Y)들에 대하여 순위를 두어 사용자에게 통지할 수도 있다. 종합 및/또는 통지하는 방법으로는 효과적으로 위험지수를 보정할 수 있을 정도로 합리적이면 족하며 공지된 또는 공지될 다른 알고리즘을 따를 수 있다.
이상의 과정으로 위험지수가 공격빈도, 자산중요도 및 취약정도에 따라 실시간으로 보정되며, 보정된 위험지수가 경보 수준으로 사용자에게 통지된다.
이상의 상세한 설명은 본 발명을 예시하는 것이다. 또한, 전술한 내용은 본 발명의 바람직한 실시 형태를 나타내어 설명하는 것이며, 본 발명은 다양한 다른 조합, 변경 및 환경에서 사용할 수 있다. 즉 본 명세서에 개시된 발명의 개념의 범위, 저술한 개시 내용과 균등한 범위 및/또는 당업계의 기술 또는 지식의 범위내에서 변경 또는 수정이 가능하다. 저술한 실시예는 본 발명의 기술적 사상을 구현하기 위한 최선의 상태를 설명하는 것이며, 본 발명의 구체적인 적용 분야 및 용도에서 요구되는 다양한 변경도 가능하다. 따라서 이상의 발명의 상세한 설명은 개시된 실시 상태로 본 발명을 제한하려는 의도가 아니다. 또한 첨부된 청구범위는 다른 실시 상태도 포함하는 것으로 해석되어야 한다.
1: 공격빈도, 자산중요도 및 취약정도에 따른 위험지수 보정시스템
10: 로그수집부 11: 수집모듈
13: 전처리모듈 30: 분류부
31: 자산별분류모듈 33: 위협유형별분류모듈
50: 입출력부 51: 입력모듈
53: 출력모듈 70: 데이터베이스부
71: 중요도DB 73: 취약도DB
80: 위험지수산출부 81: 기준치산출모듈
83: 자산별위험지수산출모듈 85: 종합모듈
S11: 로그수집단계 S13: 전처리단계
S31: 자산별분류단계 S33: 위협유형별분류단계
S51: 입력단계 S53: 출력단계
S80: 위험지수산출단계 S81: 기준치산출단계
S83: 가중치결정단계 S85: 자산별위험지수산출단계
S87: 종합단계 X: 기준치
Y: 자산별위험지수

Claims (17)

  1. 수집된 로그를 자산별 및/또는 위협유형별로 분류하는 분류부와
    자산 및 유형별 기준치를 산출하고, 자산 및 유형별 위험지수를 산출하고 종합하여 위험지수를 도출하는 위험지수산출부를 포함하며,
    상기 위험지수산출부는 입출력부로부터 제공받거나 설정된 제1설정값과 탐지된 자산별 및/또는 위협유형별 이벤트량을 기반으로 하여 기준치를 산출하는 기준치산출모듈을 포함하여 사용자가 입력한 입력값 및/또는 시간에 따라 상기 산출되는 기준치 및/또는 위험지수가 변화하되,
    상기 기준치는 시스템상에서 설정된 제1변수에서 제1설정값을 뺀 시점부터 제1변수 시점까지 탐지된 자산별 및/또는 위협유형별 이벤트량을 기반으로 하기의 수학식 1에 따라 산출되는 것을 특징으로 하는, 공격빈도, 자산중요도 및 취약정도에 따른 위험지수 보정 시스템.
    (수학식 1)
    Figure 112019128556663-pat00013

    이때, X는 기준치, D는 시스템상에서 설정된 제1변수, 바람직하게는 오늘 날짜이며, d는 입력받거나 설정된 제1설정값, 바람직하게는 사용자 설정 일수임
  2. 제1항에 있어서, 상기 위험지수산출부는, 자산별 취약도와 중요도를 참조하여 가중치를 산출 또는 참조하고 입출력부로부터 제공받거나 설정된 제2설정값과 분류된 자산별 및/또는 위협유형별 로그로부터 자산별위험지수를 산출하는 자산별위험지수산출모듈을 더 포함하는 것을 특징으로 하는, 공격빈도, 자산중요도 및 취약정도에 따른 위험지수 보정 시스템.
  3. 삭제
  4. 삭제
  5. 제2항에 있어서, 상기 자산별위험지수산출모듈은, 탐지된 자산별 및/또는 위협유형별 이벤트량, 자산의 중요도가중치, 취약도가중치 및 기준치산출모듈에서 산출된 기준치를 기반으로 자산별위험지수를 산출하되,
    상기 자산별위험지수는 상기 사용자가 입력한 입력값 및/또는 시간에 따라 값이 변화하는 것을 특징으로 하는, 공격빈도, 자산중요도 및 취약정도에 따른 위험지수 보정 시스템.
  6. 제5항에 있어서, 상기 자산별위험지수는 시스템상에서 설정된 제2변수에서 제2설정값을 뺀 시점부터 제2변수 시점까지 탐지된 자산별 및/또는 위협유형별 이벤트량, 자산의 중요도가중치, 취약도가중치 및 기준치산출모듈에서 산출된 기준치를 기반으로 하여 하기의 수학식 2에 따라 산출되는 것을 특징으로 하는, 공격빈도, 자산중요도 및 취약정도에 따른 위험지수 보정 시스템.
    (수학식 2)
    Figure 112018113797652-pat00004

    이때, Y는 자산별위험지수, T는 시스템상에서 설정된 제2변수, 바람직하게는 현재 시각이며, t는 입력받거나 설정된 제2설정값, 바람직하게는 사용자 설정 시간임
  7. 제2항에 있어서, 상기 위험지수산출부는, 자산별위험지수를 종합 또는 수합하여 위험지수를 판단하는 종합모듈을 더 포함하고,
    상기 종합모듈은, 상기 위험지수에 따른 단계적인 경보 수준을 출력모듈에 통지하는 것을 특징으로 하는, 공격빈도, 자산중요도 및 취약정도에 따른 위험지수 보정 시스템.
  8. 제1항에 있어서, 상기 분류부는, 제공받은 전처리된 로그를 자산별 로그로 분류하는 자산별분류모듈과
    제공받은 전처리된 로그를 위협유형별 로그로 분류하는 위협유형별분류모듈을 포함하는 것을 특징으로 하는, 공격빈도, 자산중요도 및 취약정도에 따른 위험지수 보정 시스템.
  9. 제8항에 있어서, 보안장비로부터 전달되는 로그를 수집하고 상기 로그를 정규 형식으로 변환 및 가공하는 로그수집부와,
    사용자로부터 변수 정보를 입력받고 위험지수를 출력하는 입출력부 및
    자산 중요도 및 자산 취약도 데이터베이스가 저장된 데이터베이스부를 더 포함하는 것을 특징으로 하는, 공격빈도, 자산중요도 및 취약정도에 따른 위험지수 보정 시스템.
  10. 제9항에 있어서, 상기 입출력부는, 사용자로부터 입력값을 입력받는 입력모듈과 상기 위험지수산출부에서 산출한 결과값을 출력하는 출력모듈을 포함하며,
    상기 입력값은 기준치 산출에 이용되는 제1설정값과 자산별위험지수 산출에 이용되는 제2설정값 중 적어도 하나 이상을 포함하는 것을 특징으로 하는, 공격빈도, 자산중요도 및 취약정도에 따른 위험지수 보정 시스템.
  11. 제10항에 있어서, 상기 입력값은, 자산별 중요도와 취약도 중 적어도 하나 이상을 더 포함하는 것을 특징으로 하는, 공격빈도, 자산중요도 및 취약정도에 따른 위험지수 보정 시스템.
  12. 삭제
  13. 삭제
  14. 수집된 로그를 각 정보 자산별로 분류하는 자산별분류단계, 분류된 로그를 다시 위협유형별로 분류하는 위협유형별분류단계 및 시스템의 위험지수를 산출하는 위험지수산출단계를 포함하고,
    상기 위험지수산출단계는, 입출력부로부터 제공받거나 설정된 제1설정값과 분류부로부터 제공받은 자산별 및/또는 위협유형별 로그로부터 기준치를 산출하는 기준치산출단계, 자산별 취약도와 중요도를 참조하여 취약도가중치 및/또는 중요도가중치를 산출 또는 참조하는 가중치결정단계, 입출력부로부터 제공받거나 설정된 제2설정값과 분류부로부터 제공받은 자산별 및/또는 위협유형별 로그로부터 자산별위험지수를 산출하는 자산별위험지수산출단계 및 자산별위험지수를 종합 또는 수합하여 위험지수를 판단하고 상기 위험지수에 따른 단계적인 경보 수준을 출력모듈에 통지하는 종합단계를 포함하며,
    상기 기준치산출단계는, 자산별 및/또는 위협유형별 이벤트량을 수신하는 단계, 제1설정값이 입력값에 존재하는지 판단하는 단계, 제1설정값이 입력값에 존재하지 않는 경우 예시적 설정값을 설정하는 단계 및 하기 수학식 1을 통하여 기준치를 산출하는 단계를 포함하는 것을 특징으로 하는, 공격빈도, 자산중요도 및 취약정도에 따른 위험지수 보정방법.
    (수학식 1)
    Figure 112019128556663-pat00014

    이때, X는 기준치, D는 시스템상에서 설정된 제1변수, 바람직하게는 오늘 날짜이며, d는 입력받거나 설정된 제1설정값, 바람직하게는 사용자 설정 일수임
  15. 수집된 로그를 각 정보 자산별로 분류하는 자산별분류단계, 분류된 로그를 다시 위협유형별로 분류하는 위협유형별분류단계 및 시스템의 위험지수를 산출하는 위험지수산출단계를 포함하고,
    상기 위험지수산출단계는, 입출력부로부터 제공받거나 설정된 제1설정값과 분류부로부터 제공받은 자산별 및/또는 위협유형별 로그로부터 기준치를 산출하는 기준치산출단계, 자산별 취약도와 중요도를 참조하여 취약도가중치 및/또는 중요도가중치를 산출 또는 참조하는 가중치결정단계, 입출력부로부터 제공받거나 설정된 제2설정값과 분류부로부터 제공받은 자산별 및/또는 위협유형별 로그로부터 자산별위험지수를 산출하는 자산별위험지수산출단계 및 자산별위험지수를 종합 또는 수합하여 위험지수를 판단하고 상기 위험지수에 따른 단계적인 경보 수준을 출력모듈에 통지하는 종합단계를 포함하며,
    상기 가중치결정단계는, 데이터베이스부에 중요도 및/또는 취약도가중치가 존재하는지 판단하는 단계, 데이터베이스부에 중요도 및 취약도가중치가 존재하지 않는 경우 입력값에 중요도 및/또는 취약도가 존재하는지 판단하고 존재하는 경우 중요도 및/또는 취약도를 입력하는 단계, 입력값에 중요도 및/또는 취약도가 존재하지 않는 경우 데이터베이스부 내에서 중요도 및 취약도를 색인하여 입력하는 단계, 입력받은 중요도 및/또는 취약도를 근거로 중요도가중치 및/또는 취약도가중치를 분류하는 단계 및 중요도가중치 및/또는 취약도가중치를 결정하는 단계를 포함하는 것을 특징으로 하는, 공격빈도, 자산중요도 및 취약정도에 따른 위험지수 보정방법.
  16. 수집된 로그를 각 정보 자산별로 분류하는 자산별분류단계, 분류된 로그를 다시 위협유형별로 분류하는 위협유형별분류단계 및 시스템의 위험지수를 산출하는 위험지수산출단계를 포함하고,
    상기 위험지수산출단계는, 입출력부로부터 제공받거나 설정된 제1설정값과 분류부로부터 제공받은 자산별 및/또는 위협유형별 로그로부터 기준치를 산출하는 기준치산출단계, 자산별 취약도와 중요도를 참조하여 취약도가중치 및/또는 중요도가중치를 산출 또는 참조하는 가중치결정단계, 입출력부로부터 제공받거나 설정된 제2설정값과 분류부로부터 제공받은 자산별 및/또는 위협유형별 로그로부터 자산별위험지수를 산출하는 자산별위험지수산출단계 및 자산별위험지수를 종합 또는 수합하여 위험지수를 판단하고 상기 위험지수에 따른 단계적인 경보 수준을 출력모듈에 통지하는 종합단계를 포함하며,
    상기 자산별위험지수산출단계는, 자산별 및/또는 위협유형별 이벤트량을 수신하는 단계, 기준치, 중요도가중치 및 취약도가중치를 수신하는 단계, 제2설정값이 입력값에 존재하는지 판단하는 단계, 제2설정값이 입력값에 존재하지 않는 경우 예시적 설정값을 산출하는 단계 및 하기의 수학식 2를 통하여 자산별위험지수를 산출하는 단계를 포함하는 것을 특징으로 하는, 공격빈도, 자산중요도 및 취약정도에 따른 위험지수 보정방법.
    (수학식 2)
    Figure 112019128556663-pat00015

    이때, Y는 자산별위험지수, T는 시스템상에서 설정된 제2변수, 바람직하게는 현재 시각이며, t는 입력받거나 설정된 제2설정값, 바람직하게는 사용자 설정 시간임
  17. 제14항 내지 제16항 중 어느 한 항에 있어서, 상기 자산별분류단계 이전에 보안장비로부터 전달되는 로그를 수집하는 로그수집단계, 수집한 상기 로그를 정규 형식으로 변환하고 가공하는 전처리단계를 포함하고,
    제1설정값, 제2설정값, 자산별 취약도 및 중요도 중 적어도 하나 이상을 선택적으로 입력받는 입력단계 및 상기 위험지수산출단계에서 산출한 위험지수를 출력하는 출력단계를 더 포함하는 것을 특징으로 하는, 공격빈도, 자산중요도 및 취약정도에 따른 위험지수 보정방법.
KR1020180140853A 2018-11-15 2018-11-15 공격빈도, 자산중요도 및 취약정도에 따른 위험지수 보정시스템 및 그 방법 KR102088310B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020180140853A KR102088310B1 (ko) 2018-11-15 2018-11-15 공격빈도, 자산중요도 및 취약정도에 따른 위험지수 보정시스템 및 그 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020180140853A KR102088310B1 (ko) 2018-11-15 2018-11-15 공격빈도, 자산중요도 및 취약정도에 따른 위험지수 보정시스템 및 그 방법

Publications (1)

Publication Number Publication Date
KR102088310B1 true KR102088310B1 (ko) 2020-03-16

Family

ID=69948385

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020180140853A KR102088310B1 (ko) 2018-11-15 2018-11-15 공격빈도, 자산중요도 및 취약정도에 따른 위험지수 보정시스템 및 그 방법

Country Status (1)

Country Link
KR (1) KR102088310B1 (ko)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102230441B1 (ko) * 2020-12-14 2021-03-22 주식회사 이글루시큐리티 보안 취약점 진단 결과를 기반으로 보안 조치 보고서를 생성하는 방법, 장치 및 프로그램
KR102244036B1 (ko) * 2020-08-24 2021-04-23 주식회사 로그프레소 네트워크 플로우 데이터를 이용한 네트워크 자산 분류 방법 및 상기 방법에 의해 분류된 네트워크 자산에 대한 위협 탐지 방법
CN113778806A (zh) * 2021-09-16 2021-12-10 恒安嘉新(北京)科技股份公司 一种安全告警事件的处理方法、装置、设备和存储介质
KR102384542B1 (ko) * 2021-11-09 2022-04-08 주식회사 이글루시큐리티 위험도 분포의 상세 분석을 통한 종합 위험도 분석 방법, 장치 및 프로그램
WO2022264650A1 (ja) * 2021-06-16 2022-12-22 株式会社日立製作所 サイバーセキュリティ管理装置、サイバーセキュリティ管理方法及びサイバーセキュリティ管理システム
KR102606713B1 (ko) * 2023-07-13 2023-11-30 주식회사 이글루코퍼레이션 쿠버네티스 클러스터의 모니터링을 위한 통합 보안관제 시스템, 장치, 방법 및 프로그램

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003150748A (ja) * 2001-11-09 2003-05-23 Asgent Inc リスク評価方法
KR20040011858A (ko) * 2002-07-31 2004-02-11 컨설팅하우스 주식회사 실시간 정보보안 위험분석 시스템 및 그 방법
KR20050093196A (ko) * 2004-03-18 2005-09-23 한재호 정보자산에 대한 실시간 위험지수 산정 방법 및 시스템
JP2009104478A (ja) * 2007-10-24 2009-05-14 Ricoh Co Ltd 情報資産危険度評価システム
KR101623843B1 (ko) 2014-07-04 2016-05-24 (주)비트러스트 정보자산의 위험평가시스템 및 그 방법

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003150748A (ja) * 2001-11-09 2003-05-23 Asgent Inc リスク評価方法
KR20040011858A (ko) * 2002-07-31 2004-02-11 컨설팅하우스 주식회사 실시간 정보보안 위험분석 시스템 및 그 방법
KR20050093196A (ko) * 2004-03-18 2005-09-23 한재호 정보자산에 대한 실시간 위험지수 산정 방법 및 시스템
JP2009104478A (ja) * 2007-10-24 2009-05-14 Ricoh Co Ltd 情報資産危険度評価システム
KR101623843B1 (ko) 2014-07-04 2016-05-24 (주)비트러스트 정보자산의 위험평가시스템 및 그 방법

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102244036B1 (ko) * 2020-08-24 2021-04-23 주식회사 로그프레소 네트워크 플로우 데이터를 이용한 네트워크 자산 분류 방법 및 상기 방법에 의해 분류된 네트워크 자산에 대한 위협 탐지 방법
KR102230441B1 (ko) * 2020-12-14 2021-03-22 주식회사 이글루시큐리티 보안 취약점 진단 결과를 기반으로 보안 조치 보고서를 생성하는 방법, 장치 및 프로그램
WO2022264650A1 (ja) * 2021-06-16 2022-12-22 株式会社日立製作所 サイバーセキュリティ管理装置、サイバーセキュリティ管理方法及びサイバーセキュリティ管理システム
CN113778806A (zh) * 2021-09-16 2021-12-10 恒安嘉新(北京)科技股份公司 一种安全告警事件的处理方法、装置、设备和存储介质
KR102384542B1 (ko) * 2021-11-09 2022-04-08 주식회사 이글루시큐리티 위험도 분포의 상세 분석을 통한 종합 위험도 분석 방법, 장치 및 프로그램
KR102606713B1 (ko) * 2023-07-13 2023-11-30 주식회사 이글루코퍼레이션 쿠버네티스 클러스터의 모니터링을 위한 통합 보안관제 시스템, 장치, 방법 및 프로그램

Similar Documents

Publication Publication Date Title
KR102088310B1 (ko) 공격빈도, 자산중요도 및 취약정도에 따른 위험지수 보정시스템 및 그 방법
EP3343867B1 (en) Methods and apparatus for processing threat metrics to determine a risk of loss due to the compromise of an organization asset
CN107239707B (zh) 一种用于信息系统的威胁数据处理方法
CN101610174B (zh) 一种日志事件关联分析系统与方法
EP2892197B1 (en) Determination of a threat score for an IP address
CN114584405B (zh) 一种电力终端安全防护方法及系统
CN110620759A (zh) 基于多维关联的网络安全事件危害指数评估方法及其系统
CN111245793A (zh) 网络数据的异常分析方法及装置
CN105516130B (zh) 一种数据处理方法和装置
CN105009132A (zh) 基于置信因子的事件关联
KR102055843B1 (ko) 이벤트 기반 보안정책 실시간 최적화 시스템 및 그 방법
US20190044961A1 (en) System and methods for computer network security involving user confirmation of network connections
US9961047B2 (en) Network security management
KR20040035572A (ko) 정보 인프라에서의 종합 침해사고 대응시스템 및 그운영방법
KR101692982B1 (ko) 로그 분석 및 특징 자동 학습을 통한 위험 감지 및 접근제어 자동화 시스템
CN105812200A (zh) 异常行为检测方法及装置
CN110830467A (zh) 基于模糊预测的网络可疑资产识别方法
CN115225384B (zh) 一种网络威胁度评估方法、装置、电子设备及存储介质
CN113709170A (zh) 资产安全运营系统、方法和装置
CN113468542A (zh) 一种暴露面资产风险评估方法、装置、设备及介质
CN111147300B (zh) 一种网络安全告警置信度评估方法及装置
Mishra et al. Optimal configuration of intrusion detection systems
CN114417329A (zh) 基于联邦学习的威胁情报生产与分析方法
CN116827697A (zh) 网络攻击事件的推送方法、电子设备及存储介质
CN115632884B (zh) 基于事件分析的网络安全态势感知方法与系统

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant