KR102118191B1 - 사이버 지휘통제 지원 방법 및 장치 - Google Patents

사이버 지휘통제 지원 방법 및 장치 Download PDF

Info

Publication number
KR102118191B1
KR102118191B1 KR1020180059759A KR20180059759A KR102118191B1 KR 102118191 B1 KR102118191 B1 KR 102118191B1 KR 1020180059759 A KR1020180059759 A KR 1020180059759A KR 20180059759 A KR20180059759 A KR 20180059759A KR 102118191 B1 KR102118191 B1 KR 102118191B1
Authority
KR
South Korea
Prior art keywords
threat
cyber
factor
loss
frequency
Prior art date
Application number
KR1020180059759A
Other languages
English (en)
Other versions
KR20190134297A (ko
Inventor
고장혁
오행록
이경호
박무규
서준우
Original Assignee
국방과학연구소
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 국방과학연구소 filed Critical 국방과학연구소
Priority to KR1020180059759A priority Critical patent/KR102118191B1/ko
Publication of KR20190134297A publication Critical patent/KR20190134297A/ko
Application granted granted Critical
Publication of KR102118191B1 publication Critical patent/KR102118191B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Stored Programmes (AREA)

Abstract

개시된 사이버 지휘통제 지원 장치에서 수행되는 사이버 지휘통제 지원 방법은, 사이버 위협정보 언어의 위협요소들을 위협 분석 모델의 복수의 입력요소에 맵핑하는 단계와, 위협 분석 모델을 이용하여 사이버 위협의 위험도에 대한 정보를 제공하는 단계를 포함하고, 복수의 입력요소는, 접촉 빈도 요소, 적의 위협 확률 요소, 위협 역량 요소, 위협에 대한 저항력 요소, 지연시간 측정 요소 및 복구 소요사항 요소를 포함하며, 위험도에 대한 정보는, 손실 빈도와 손실 크기를 포함한다.

Description

사이버 지휘통제 지원 방법 및 장치{METHOD AND APPARATUS FOR SUPPORTING CYBER COMMAND AND CONTROL}
본 발명은 사이버 위협정보에 대한 사이버 지휘통제를 지원하는 방법 및 장치에 관한 것이다.
현재의 전장이 5차원(지상, 공중, 해상, 우주, 사이버) 전장으로 확장되어 감에 따라 사이버 지휘통제의 중요성이 부각되고 있으며, 사이버 공간 상의 정보가 물리 공간상의 정보와 연계가 될 수 있다는 관점이 생기면서 사이버 위협정보에 대한 중요성이 증가하였다.
사이버 공간에서 국가 또는 단체에 속한 해커들이 지속적으로 새로운 기술을 활용하여 사이버 공간뿐만 아니라 물리 공간에 영향을 주는 다양한 공격을 시도하고 있기 때문에, 사이버 위협정보와 위협정보 공유는 국가 안보 전략에서 현재 중요한 비중을 차지하고 있다.
따라서, 사이버 공간의 위협정보에 대응하는 사이버 지휘통제를 지원할 수 있는 시스템이 필요한 실정이다.
한국등록특허공보 제10-0892415호, 등록일자 2009년 04월 01일.
이에 해결하고자 하는 과제는, 사이버 위협정보 언어의 위협요소들을 기초로 사이버 위협의 위험도에 대한 정보를 제공하는 방법 및 장치를 제공한다.
해결하고자 하는 과제는 이상에서 언급한 것으로 제한되지 않으며, 언급되지 않은 또 다른 해결하고자 하는 과제는 아래의 기재로부터 본 발명이 속하는 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.
제 1 관점에 따른 사이버 지휘통제 지원 장치에서 수행되는 사이버 지휘통제 지원 방법은, 사이버 위협정보 언어의 위협요소들을 위협 분석 모델의 복수의 입력요소에 맵핑하는 단계와, 상기 위협 분석 모델을 이용하여 사이버 위협의 위험도에 대한 정보를 제공하는 단계를 포함하고, 상기 복수의 입력요소는, 접촉 빈도 요소, 적의 위협 확률 요소, 위협 역량 요소, 위협에 대한 저항력 요소, 지연시간 측정 요소 및 복구 소요사항 요소를 포함하며, 상기 위험도에 대한 정보는, 손실 빈도와 손실 크기를 포함한다.
제 2 관점에 따른 사이버 지휘통제 지원 장치는, 사이버 위협정보 언어의 위협요소들을 위협 분석 모델의 복수의 입력요소에 맵핑하는 위협요소 맵핑부와, 상기 위협 분석 모델을 이용하여 사이버 위협의 위험도에 대한 정보를 제공하는 정보 제공부를 포함하고, 상기 복수의 입력요소는, 접촉 빈도 요소, 적의 위협 확률 요소, 위협 역량 요소, 위협에 대한 저항력 요소, 지연시간 측정 요소 및 복구 소요사항 요소를 포함하며, 상기 정보 제공부는, 상기 위험도에 대한 정보로서 손실 빈도와 손실 크기를 산출한다.
일 실시예에 따르면, 사이버 위협정보 언어의 위협요소들을 위협 분석 모델의 입력요소들에 맵핑하여 사이버 위협의 위험도에 대한 정보를 제공하기 때문에, 사이버 지휘통제를 위한 의사결정의 오류가 최소화되도록 한다. 더욱이, 사이버 공격에 의한 피해를 복구하기 위해 필요한 시간, 인력 및 자본 등을 포함하는 복구 소요사항 요소를 반영하여 손실 크기를 측정하기 때문에, 지연시간 측정을 통해 1차 피해만을 측정하는 경우와 비교할 때에 부수적인 2차 피해가 추가로 반영되어 최종 제공되는 위험도에 대한 정보의 신뢰성이 향상되고, 이는 사이버 지휘통제를 위한 의사결정의 오류를 더욱 줄어들게 하는 효과가 있다.
도 1은 본 발명의 일 실시예에 따른 사이버 지휘통제 지원 장치의 블록 구성도이다.
도 2는 본 발명의 일 실시예에 따른 사이버 지휘통제 지원 장치에서 수행되는 사이버 지휘통제 지원 방법을 설명하기 위한 흐름도이다.
도 3은 본 발명의 일 실시예에 따라 위협정보 언어의 위협요소들을 위협 분석 모델의 복수의 입력요소에 맵핑한 상태는 나타낸 도면이다.
본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시예들에 한정되는 것이 아니라 다양한 형태로 구현될 수 있으며, 단지 본 실시예들은 본 발명의 개시가 완전하도록 하고, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명의 범주는 청구항에 의해 정의될 뿐이다.
본 발명의 실시예들을 설명함에 있어서 공지 기능 또는 구성에 대한 구체적인 설명은 본 발명의 실시예들을 설명함에 있어 실제로 필요한 경우 외에는 생략될 것이다. 그리고 후술되는 용어들은 본 발명의 실시예에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.
도 1은 본 발명의 일 실시예에 따른 사이버 지휘통제 지원 장치의 블록 구성도이다.
도 1에 예시한 바와 같이 일 실시예에 따른 사이버 지휘통제 지원 장치(100)는 위협요소 맵핑부(110) 및 정보 제공부(120)를 포함한다.
이러한 사이버 지휘통제 지원 장치(100)는 사이버 공간의 다양한 위협요소들이 사이버 위협정보 언어로 표현된 위협정보 데이터를 입력받고, 위협정보 데이터로부터 위협 분석 모델을 이용해 측정된 사이버 위협의 위험도에 대한 정보를 출력한다. 예를 들어, 사이버 지휘통제 지원 장치(100)가 처리할 수 있는 사이버 위협정보 언어로는 STIX(Structured Threat Information eXpression), OpenIOC(Indicator Of Compromise), MAEC(Malware Attribute Enumeration and Characterization) 등을 포함할 수 있다.
그리고, 사이버 지휘통제 지원 장치(100)는 위협 분석 모델로서, 요소단위로 정보 리스크를 측정하는 모델인 FAIR(Factor Analysis for Information Risk) 모델을 참고할 수 있다. 그리고, FAIR 모델의 총 8개의 입력요소를 이용해 사이버 전장 환경에 적합한 총 6개의 입력요소를 선정한다. 예컨대, 위협요소 맵핑부(110)는 위협 분석 모델의 입력요소로서 접촉 빈도 요소, 적의 위협 확률 요소, 위협 역량 요소, 위협에 대한 저항력 요소, 지연시간 측정 요소 및 복구 소요사항 요소를 선정할 수 있다. 여기서, 복구 소요사항 요소는 사이버 공격에 의한 피해를 복구하기 위해 필요한 시간, 인력 및 자본 등을 포함할 수 있다. 위협요소 맵핑부(110)가 이용할 수 있는 위협 분석 모델의 접촉 빈도 요소는 FAIR 모델의 Contact Frequency(CF)에 대응하고, 위협 분석 모델의 적의 위협 확률 요소는 FAIR 모델의 Probability of Action(PoA)에 대응하며, 위협 분석 모델의 위협 역량 요소는 FAIR 모델의 Threat Capability(TCap)에 대응하고, 위협 분석 모델의 위협에 대한 저항력 요소는 FAIR 모델의 Control Strength(CS)에 대응하며, 위협 분석 모델의 지연시간 측정 요소는 FAIR 모델의 Primary Loss Event Frequency(PLEF)와 Primary Loss Magnitude(PLM)에 대응하고, 위협 분석 모델의 복구 소요사항 요소는 FAIR 모델의 Secondary Loss Event Frequency(SLEF)와 Secondary Loss Magnitude(SLM)에 대응한다.
사이버 지휘통제 지원 장치(100)의 위협요소 맵핑부(110)는 입력된 위협정보 데이터에 포함된 사이버 위협정보 언어의 위협요소들을 위협 분석 모델의 복수의 입력요소에 맵핑한다. 예를 들어, 사이버 위협정보 언어의 어떤 위협요소를 위협 분석 모델의 어떤 입력요소에 맵핑할 것인지는 딥러닝(deep learning) 알고리즘 등을 이용할 수 있다.
위협요소 맵핑부(110)는 STIX의 위협요소에 포함된 ID 유형(Identity Type) 요소 또는 희생물(Victim) 요소를 접촉 빈도 요소에 맵핑할 수 있으며, 동기(Motivation) 요소 또는 기여한 공격자(Attributed_Threat_Actors) 요소를 적의 위협 확률 요소에 맵핑할 수 있고, 의도된 효과(Intended_Effect) 요소를 위협에 대한 저항력 요소에 맵핑할 수 있으며, 정교함(Sophistication) 요소를 위협 역량 요소에 맵핑할 수 있고, 일반적 적용성(Generally applicable) 요소를 복구 소요사항 요소에 맵핑할 수 있다.
그리고, 위협요소 맵핑부(110)는 OpenIOC의 위협요소에 포함된 파일 접근 시간(File Accessed Time) 요소를 지연시간 측정 요소에 맵핑할 수 있고, 서비스 DLL(Service DLL) 요소를 위협 역량 요소에 맵핑할 수 있으며, 파일 수정 시간(File Modified Time) 요소를 접촉 빈도 요소에 맵핑할 수 있다.
아울러, 위협요소 맵핑부(110)는 MAEC의 위협요소에 포함된 행동(Action) 요소를 지연시간 측정 요소에 맵핑할 수 있고, 동작(Behavior) 요소를 적의 위협 확률 요소에 맵핑할 수 있으며, 역량(Capability) 요소를 위협 역량 요소에 맵핑할 수 있다.
사이버 지휘통제 지원 장치(100)의 정보 제공부(120)는 위협요소 맵핑부(110)에 의해 사이버 위협정보 언어의 위협요소들이 입력요소들에 맵핑된 위협 분석 모델을 이용하여 사이버 위협의 위험도에 대한 정보를 생성해 출력한다. 예를 들어, 정보 제공부(120)는 위협 분석 모델을 이용하여 손실 빈도와 손실 크기를 산출하고, 산출된 손실 빈도와 손실 크기를 이용해 최종 위협을 판단하여 사이버 위협의 위험도에 대한 정보를 다양한 형태로 시각화하여 출력할 수 있다. 이를 위해, 정보 제공부(120)는 위협 분석 모델을 이용하여 위험도에 대한 정보를 생성함에 있어서, 접촉 빈도 요소 및 적의 위협 확률 요소를 이용하여 위협 빈도를 산출하고, 위협 역량 요소 및 위협에 대한 저항력 요소를 이용하여 취약점을 산출한다. 그리고, 정보 제공부(120)는 앞서 산출된 위험 빈도와 취약점을 이용하여 손실 빈도를 산출한다. 아울러, 정보 제공부(120)는 위협 분석 모델을 이용하여 위험도에 대한 정보를 생성함에 있어서, 지연시간 측정 요소를 이용하여 1차 손실을 산출하고, 복구 소요사항을 이용하여 2차 손실을 산출하며, 1차 손실과 2차 손실에 기초하여 손실 크기를 산출한다.
도 2는 본 발명의 일 실시예에 따른 사이버 지휘통제 지원 장치에서 수행되는 사이버 지휘통제 지원 방법을 설명하기 위한 흐름도이다.
도 2에 예시한 바와 같이 일 실시예에 따른 사이버 지휘통제 지원 방법은 위협정보 데이터에 포함된 사이버 위협정보 언어의 위협요소들을 위협 분석 모델의 복수의 입력요소에 맵핑하는 단계(S210)를 포함한다. 예를 들어, 이러한 요소 맵핑 단계(S210)에서 사이버 위협정보 언어의 어떤 위협요소를 위협 분석 모델의 어떤 입력요소에 맵핑할 것인지는 딥러닝 알고리즘 등을 이용할 수 있다.
실시예에 따른 요소 맵핑 단계(S210)에서는 STIX의 위협요소에 포함된 ID 유형 요소 또는 희생물 요소를 접촉 빈도 요소에 맵핑할 수 있으며, 동기 요소 또는 기여한 공격자 요소를 적의 위협 확률 요소에 맵핑할 수 있고, 의도된 효과 요소를 위협에 대한 저항력 요소에 맵핑할 수 있으며, 정교함 요소를 위협 역량 요소에 맵핑할 수 있고, 일반적 적용성 요소를 복구 소요사항 요소에 맵핑할 수 있다.
그리고, 요소 맵핑 단계(S210)에서는 OpenIOC의 위협요소에 포함된 파일 접근 시간 요소를 지연시간 측정 요소에 맵핑할 수 있고, 서비스 DLL 요소를 위협 역량 요소에 맵핑할 수 있으며, 파일 수정 시간 요소를 접촉 빈도 요소에 맵핑할 수 있다.
아울러, 요소 맵핑 단계(S210)에서는 MAEC의 위협요소에 포함된 행동 요소를 지연시간 측정 요소에 맵핑할 수 있고, 동작 요소를 적의 위협 확률 요소에 맵핑할 수 있으며, 역량 요소를 위협 역량 요소에 맵핑할 수 있다.
다음으로, 일 실시예에 따른 사이버 지휘통제 지원 방법은 요소 맵핑 단계(S210)에서 사이버 위협정보 언어의 위협요소들이 입력요소들에 맵핑된 위협 분석 모델을 이용하여 사이버 위협의 위험도에 대한 정보를 생성해 출력하는 단계(S220)를 더 포함한다. 예를 들어, 이러한 정보 출력 단계(S220)에서 위협 분석 모델을 이용하여 손실 빈도와 손실 크기를 산출하고, 산출된 손실 빈도와 손실 크기를 이용해 최종 위협을 판단하여 사이버 위협의 위험도에 대한 정보를 다양한 형태로 시각화하여 출력할 수 있다. 이를 위해, 정보 출력 단계(S220)에서는 위협 분석 모델을 이용하여 위험도에 대한 정보를 생성함에 있어서, 접촉 빈도 요소 및 적의 위협 확률 요소를 이용하여 위협 빈도를 산출하고, 위협 역량 요소 및 위협에 대한 저항력 요소를 이용하여 취약점을 산출한다. 그리고, 정보 출력 단계(S220)에서는 앞서 산출된 위험 빈도와 취약점을 이용하여 손실 빈도를 산출한다. 아울러, 정보 출력 단계(S220)에서는 위협 분석 모델을 이용하여 위험도에 대한 정보를 생성함에 있어서, 지연시간 측정 요소를 이용하여 1차 손실을 산출하고, 복구 소요사항을 이용하여 2차 손실을 산출하며, 1차 손실과 2차 손실에 기초하여 손실 크기를 산출한다.
도 3은 본 발명의 일 실시예에 따라 위협정보 언어의 위협요소들을 위협 분석 모델의 복수의 입력요소에 맵핑한 상태는 나타낸 도면이다.
이하, 도 1 내지 도 3을 참조하여 본 발명의 일 실시예에 따른 사이버 지휘통제 지원 장치에서 수행되는 사이버 지휘통제 지원 방법에 대해 더 자세히 살펴보기로 한다.
먼저, 사이버 공간의 다양한 위협요소들이 사이버 위협정보 언어로 표현된 위협정보 데이터가 사이버 지휘통제 지원 장치(100)의 위협요소 맵핑부(110)로 입력된다. 예를 들어, 사이버 위협정보 언어로는 STIX, OpenIOC, MAEC 등이 이용될 수 있다.
그러면, 위협요소 맵핑부(110)는 위협정보 데이터에 포함된 사이버 위협정보 언어의 위협요소들을 위협 분석 모델의 복수의 입력요소에 맵핑한다(S210). 예를 들어, 위협요소 맵핑부(110)가 사이버 위협정보 언어의 어떤 위협요소를 위협 분석 모델의 어떤 입력요소에 맵핑할 것인지는 딥러닝 알고리즘 등을 이용할 수 있다.
실시예에 따르면, 위협요소 맵핑부(110)는 딥러닝 알고리즘의 결과를 반영하여 도 3에 예시한 바와 같이, STIX의 위협요소에 포함된 ID 유형 요소 또는 희생물 요소를 접촉 빈도 요소에 맵핑할 수 있으며, 동기 요소 또는 기여한 공격자 요소를 적의 위협 확률 요소에 맵핑할 수 있고, 의도된 효과 요소를 위협에 대한 저항력 요소에 맵핑할 수 있으며, 정교함 요소를 위협 역량 요소에 맵핑할 수 있고, 일반적 적용성 요소를 복구 소요사항 요소에 맵핑할 수 있다. 예컨대, 위협 행위가 DB탈취를 목적으로 서버에 접근하였을 경우에 위협 확률이 높을 가능성이 있기 때문에 적의 위협 확률 요소에 맵핑할 수 있다.
그리고, 위협요소 맵핑부(110)는 딥러닝 알고리즘의 결과를 반영하여 도 3에 예시한 바와 같이, OpenIOC의 위협요소에 포함된 파일 접근 시간 요소를 지연시간 측정 요소에 맵핑할 수 있고, 서비스 DLL 요소를 위협 역량 요소에 맵핑할 수 있으며, 파일 수정 시간 요소를 접촉 빈도 요소에 맵핑할 수 있다. 예컨대, 자산의 파일 수정 시간이 변경될 경우에 자산의 종류인 파일에 접촉하는 빈도수를 나타내는 접촉 빈도 요소에 맵핑할 수 있다.
아울러, 위협요소 맵핑부(110)는 딥러닝 알고리즘의 결과를 반영하여 도 3에 예시한 바와 같이, MAEC의 위협요소에 포함된 행동 요소를 지연시간 측정 요소에 맵핑할 수 있고, 동작 요소를 적의 위협 확률 요소에 맵핑할 수 있으며, 역량 요소를 위협 역량 요소에 맵핑할 수 있다.
다음으로, 사이버 지휘통제 지원 장치(100)의 정보 제공부(110)는 유협요소 맵핑부(110)에 의해 사이버 위협정보 언어의 위협요소들이 입력요소들에 맵핑된 위협 분석 모델을 이용하여 사이버 위협의 위험도에 대한 정보를 생성해 출력한다(S220). 예를 들어, 정보 제공부(110)는 위협 분석 모델을 이용하여 손실 빈도와 손실 크기를 산출하고, 산출된 손실 빈도와 손실 크기를 이용해 최종 위협을 판단하여 사이버 위협의 위험도에 대한 정보를 다양한 형태로 시각화하여 출력할 수 있다. 이를 위해, 정보 제공부(110)는 위협 분석 모델을 이용하여 위험도에 대한 정보를 생성함에 있어서, 접촉 빈도 요소 및 적의 위협 확률 요소를 이용하여 위협 빈도를 산출하고, 위협 역량 요소 및 위협에 대한 저항력 요소를 이용하여 취약점을 산출한다. 그리고, 정보 제공부(110)는 앞서 산출된 위험 빈도와 취약점을 이용하여 손실 빈도를 산출한다. 아울러, 정보 제공부(110)는 위협 분석 모델을 이용하여 위험도에 대한 정보를 생성함에 있어서, 지연시간 측정 요소를 이용하여 1차 손실을 산출하고, 복구 소요사항을 이용하여 2차 손실을 산출하며, 1차 손실과 2차 손실에 기초하여 손실 크기를 산출한다.
지금까지 설명한 바와 같이 본 발명의 실시예에 따르면, 사이버 위협정보 언어의 위협요소들을 위협 분석 모델의 입력요소들에 맵핑하여 사이버 위협의 위험도에 대한 정보를 제공하기 때문에, 사이버 지휘통제를 위한 의사결정의 오류가 최소화되도록 한다. 더욱이, 사이버 공격에 의한 피해를 복구하기 위해 필요한 시간, 인력 및 자본 등을 포함하는 복구 소요사항 요소를 반영하여 손실 크기를 측정하기 때문에, 지연시간 측정을 통해 1차 피해만을 측정하는 경우와 비교할 때에 부수적인 2차 피해가 추가로 반영되어 최종 제공되는 위험도에 대한 정보의 신뢰성이 향상되고, 이는 사이버 지휘통제를 위한 의사결정의 오류를 더욱 줄어들게 하는 효과가 있다.
본 발명에 첨부된 블록도의 각 블록과 흐름도의 각 단계의 조합들은 컴퓨터 프로그램 인스트럭션들에 의해 수행될 수도 있다. 이들 컴퓨터 프로그램 인스트럭션들은 범용 컴퓨터, 특수용 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서에 탑재될 수 있으므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서를 통해 수행되는 그 인스트럭션들이 블록도의 각 블록 또는 흐름도의 각 단계에서 설명된 기능들을 수행하는 수단을 생성하게 된다. 이들 컴퓨터 프로그램 인스트럭션들은 특정 방식으로 기능을 구현하기 위해 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 지향할 수 있는 컴퓨터 이용 가능 또는 컴퓨터 판독 가능 기록매체에 저장되는 것도 가능하므로, 그 컴퓨터 이용가능 또는 컴퓨터 판독 가능 기록매체에 저장된 인스트럭션들은 블록도의 각 블록 또는 흐름도 각 단계에서 설명된 기능을 수행하는 인스트럭션 수단을 내포하는 제조 품목을 생산하는 것도 가능하다. 컴퓨터 프로그램 인스트럭션들은 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에 탑재되는 것도 가능하므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에서 일련의 동작 단계들이 수행되어 컴퓨터로 실행되는 프로세스를 생성해서 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 수행하는 인스트럭션들은 블록도의 각 블록 및 흐름도의 각 단계에서 설명된 기능들을 실행하기 위한 단계들을 제공하는 것도 가능하다.
또한, 각 블록 또는 각 단계는 특정된 논리적 기능(들)을 실행하기 위한 하나 이상의 실행 가능한 인스트럭션들을 포함하는 모듈, 세그먼트 또는 코드의 일부를 나타낼 수 있다. 또, 몇 가지 대체 실시예들에서는 블록들 또는 단계들에서 언급된 기능들이 순서를 벗어나서 발생하는 것도 가능함을 주목해야 한다. 예컨대, 잇달아 도시되어 있는 두 개의 블록들 또는 단계들은 사실 실질적으로 동시에 수행되는 것도 가능하고 또는 그 블록들 또는 단계들이 때때로 해당하는 기능에 따라 역순으로 수행되는 것도 가능하다.
이상의 설명은 본 발명의 기술 사상을 예시적으로 설명한 것에 불과한 것으로서, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자라면 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 다양한 수정 및 변형이 가능할 것이다. 따라서, 본 발명에 개시된 실시예들은 본 발명의 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시예에 의하여 본 발명의 기술 사상의 범위가 한정되는 것은 아니다. 본 발명의 보호 범위는 아래의 청구범위에 의하여 해석되어야 하며, 그와 동등한 범위 내에 있는 모든 기술사상은 본 발명의 권리범위에 포함되는 것으로 해석되어야 할 것이다.
100 : 사이버 지휘통제 지원 장치
110 : 위협요소 맵핑부
120 : 정보 제공부

Claims (15)

  1. 사이버 지휘통제 지원 장치에서 수행되는 사이버 지휘통제 지원 방법으로서,
    사이버 위협정보 언어의 위협요소들을 위협 분석 모델의 복수의 입력요소에 맵핑하는 단계와,
    상기 위협 분석 모델을 이용하여 사이버 위협의 위험도에 대한 정보를 제공하는 단계를 포함하고,
    상기 복수의 입력요소는, 접촉 빈도 요소, 적의 위협 확률 요소, 위협 역량 요소, 위협에 대한 저항력 요소, 지연시간 측정 요소 및 복구 소요사항 요소를 포함하며,
    상기 위험도에 대한 정보는, 손실 빈도와 손실 크기를 포함하고,
    상기 사이버 위협정보 언어의 위협요소들을 위협 분석 모델의 복수의 입력요소에 맵핑하는 단계는 FAIR 모델을 이용하고,
    상기 FAIR 모델의 8개의 요소를 이용하여 6개의 복수의 입력요소를 선정하고,
    상기 접촉 빈도 요소는 상기 FAIR 모델의 Contact Frequency(CF)와 대응되고, 상기 적의 위협 확률 요소는 상기 FAIR 모델의 Probability of Action(PoA)에 대응되고, 상기 위협 역량 요소는 상기 FAIR 모델의 Threat Capability(TCap)에 대응되고, 상기 위협에 대한 저항력 요소는 상기 FAIR 모델의 Control Strength(CS)에 대응되며, 상기 지연시간 측정 요소는 상기 FAIR 모델의 Primary Loss Event Frequency(PLEF)와 Primary Loss Magnitude(PLM)에 대응되고, 상기 복구 소요사항 요소는 상기 FAIR 모델의 Secondary Loss Event Frequency(SLEF)와 Secondary Loss Magnitude(SLM)에 대응되는 사이버 지휘통제 지원 방법.
  2. 제 1 항에 있어서,
    상기 접촉 빈도 요소, 상기 적의 위협 확률 요소, 상기 위협 역량 요소 및 상기 위협에 대한 저항력 요소를 이용하여 상기 손실 빈도를 산출하고, 상기 지연시간 측정 요소 및 상기 복구 소요사항 요소를 이용하여 상기 손실 크기를 산출하는
    사이버 지휘통제 지원 방법.
  3. 제 2 항에 있어서,
    상기 접촉 빈도 요소 및 상기 적의 위협 확률 요소를 이용하여 위협 빈도를 산출하고, 상기 위협 역량 요소 및 상기 위협에 대한 저항력 요소를 이용하여 취약점을 산출하며, 상기 위협 빈도 및 상기 취약점을 이용하여 상기 손실 빈도를 산출하는
    사이버 지휘통제 지원 방법.
  4. 제 2 항에 있어서,
    상기 지연시간 측정 요소를 이용하여 1차 손실을 산출하고, 상기 복구 소요사항을 이용하여 2차 손실을 산출하며, 상기 1차 손실과 상기 2차 손실에 기초하여 상기 손실 크기를 산출하는
    사이버 지휘통제 지원 방법.
  5. 제 1 항에 있어서,
    상기 사이버 위협정보 언어는 STIX(Structured Threat Information eXpression)를 포함하고,
    상기 STIX의 위협요소에 포함된 ID 유형(Identity Type) 요소 또는 희생물(Victim) 요소를 상기 접촉 빈도 요소에 맵핑하며, 동기(Motivation) 요소 또는 기여한 공격자(Attributed_Threat_Actors) 요소를 상기 적의 위협 확률 요소에 맵핑하고, 의도된 효과(Intended_Effect) 요소를 상기 위협에 대한 저항력 요소에 맵핑하며, 정교함(Sophistication) 요소를 상기 위협 역량 요소에 맵핑하고, 일반적 적용성(Generally applicable) 요소를 상기 복구 소요사항 요소에 맵핑하는
    사이버 지휘통제 지원 방법.
  6. 제 1 항에 있어서,
    상기 사이버 위협정보 언어는 OpenIOC(Indicator Of Compromise)를 포함하며,
    상기 OpenIOC의 위협요소에 포함된 파일 접근 시간(File Accessed Time) 요소를 상기 지연시간 측정 요소에 맵핑하고, 서비스 DLL(Service DLL) 요소를 상기 위협 역량 요소에 맵핑하며, 파일 수정 시간(File Modified Time) 요소를 상기 접촉 빈도 요소에 맵핑하는
    사이버 지휘통제 지원 방법.
  7. 제 1 항에 있어서,
    상기 사이버 위협정보 언어는 MAEC(Malware Attribute Enumeration and Characterization)를 포함하며,
    상기 MAEC의 위협요소에 포함된 행동(Action) 요소를 상기 지연시간 측정 요소에 맵핑하고, 동작(Behavior) 요소를 상기 적의 위협 확률 요소에 맵핑하며, 역량(Capability) 요소를 상기 위협 역량 요소에 맵핑하는
    사이버 지휘통제 지원 방법.
  8. 사이버 위협정보 언어의 위협요소들을 위협 분석 모델의 복수의 입력요소에 맵핑하는 단계와,
    상기 위협 분석 모델을 이용하여 사이버 위협의 위험도에 대한 정보를 제공하는 단계를 포함하는 사이버 지휘통제 지원 방법에 따른 각각의 단계를 수행하는 명령어를 포함하되,
    상기 복수의 입력요소는, 접촉 빈도 요소, 적의 위협 확률 요소, 위협 역량 요소, 위협에 대한 저항력 요소, 지연시간 측정 요소 및 복구 소요사항 요소를 포함하며,
    상기 위험도에 대한 정보로서 손실 빈도와 손실 크기를 산출하고,
    상기 사이버 위협정보 언어의 위협요소들을 위협 분석 모델의 복수의 입력요소에 맵핑하는 단계는 FAIR 모델을 이용하고,
    상기 FAIR 모델의 8개의 요소를 이용하여 6개의 복수의 입력요소를 선정하고,
    상기 접촉 빈도 요소는 상기 FAIR 모델의 Contact Frequency(CF)와 대응되고, 상기 적의 위협 확률 요소는 상기 FAIR 모델의 Probability of Action(PoA)에 대응되고, 상기 위협 역량 요소는 상기 FAIR 모델의 Threat Capability(TCap)에 대응되고, 상기 위협에 대한 저항력 요소는 상기 FAIR 모델의 Control Strength(CS)에 대응되며, 상기 지연시간 측정 요소는 상기 FAIR 모델의 Primary Loss Event Frequency(PLEF)와 Primary Loss Magnitude(PLM)에 대응되고, 상기 복구 소요사항 요소는 FAIR 모델의 Secondary Loss Event Frequency(SLEF)와 Secondary Loss Magnitude(SLM)에 대응되는 컴퓨터 프로그램이 기록된 컴퓨터 프로그램이 기록된 컴퓨터 판독 가능 기록매체.
  9. 사이버 위협정보 언어의 위협요소들을 위협 분석 모델의 복수의 입력요소에 맵핑하는 위협요소 맵핑부와,
    상기 위협 분석 모델을 이용하여 사이버 위협의 위험도에 대한 정보를 제공하는 정보 제공부를 포함하고,
    상기 복수의 입력요소는, 접촉 빈도 요소, 적의 위협 확률 요소, 위협 역량 요소, 위협에 대한 저항력 요소, 지연시간 측정 요소 및 복구 소요사항 요소를 포함하며,
    상기 정보 제공부는, 상기 위험도에 대한 정보로서 손실 빈도와 손실 크기를 산출하고,
    상기 위협요소 맵핑부는 FAIR 모델을 이용하고,
    상기 FAIR 모델의 8개의 요소를 이용하여 6개의 복수의 입력요소를 선정하고,
    상기 접촉 빈도 요소는 상기 FAIR 모델의 Contact Frequency(CF)와 대응되고, 상기 적의 위협 확률 요소는 상기 FAIR 모델의 Probability of Action(PoA)에 대응되고, 상기 위협 역량 요소는 상기 FAIR 모델의 Threat Capability(TCap)에 대응되고, 상기 위협에 대한 저항력 요소는 상기 FAIR 모델의 Control Strength(CS)에 대응되며, 상기 지연시간 측정 요소는 상기 FAIR 모델의 Primary Loss Event Frequency(PLEF)와 Primary Loss Magnitude(PLM)에 대응되고, 상기 복구 소요사항 요소는 상기 FAIR 모델의 Secondary Loss Event Frequency(SLEF)와 Secondary Loss Magnitude(SLM)에 대응되는 사이버 지휘통제 지원 장치.
  10. 제 9 항에 있어서,
    상기 정보 제공부는, 상기 접촉 빈도 요소, 상기 적의 위협 확률 요소, 상기 위협 역량 요소 및 상기 위협에 대한 저항력 요소를 이용하여 상기 손실 빈도를 산출하고, 상기 지연시간 측정 요소 및 상기 복구 소요사항 요소를 이용하여 상기 손실 크기를 산출하는
    사이버 지휘통제 지원 장치.
  11. 제 10 항에 있어서,
    상기 정보 제공부는, 상기 접촉 빈도 요소 및 상기 적의 위협 확률 요소를 이용하여 위협 빈도를 산출하고, 상기 위협 역량 요소 및 상기 위협에 대한 저항력 요소를 이용하여 취약점을 산출하며, 상기 위협 빈도 및 상기 취약점을 이용하여 상기 손실 빈도를 산출하는
    사이버 지휘통제 지원 장치.
  12. 제 10 항에 있어서,
    상기 정보 제공부는, 상기 지연시간 측정 요소를 이용하여 1차 손실을 산출하고, 상기 복구 소요사항 요소를 이용하여 2차 손실을 산출하며, 상기 1차 손실과 상기 2차 손실에 기초하여 상기 손실 크기를 산출하는
    사이버 지휘통제 지원 장치.
  13. 제 10 항에 있어서,
    상기 사이버 위협정보 언어는 STIX(Structured Threat Information eXpression)를 포함하고,
    상기 위협요소 맵핑부는, 상기 STIX의 위협요소에 포함된 ID 유형(Identity Type) 요소 또는 희생물(Victim) 요소를 상기 접촉 빈도 요소에 맵핑하며, 동기(Motivation) 요소 또는 기여한 공격자(Attributed_Threat_Actors) 요소를 상기 적의 위협 확률 요소에 맵핑하고, 의도된 효과(Intended_Effect) 요소를 상기 위협에 대한 저항력 요소에 맵핑하며, 정교함(Sophistication) 요소를 상기 위협 역량 요소에 맵핑하고, 일반적 적용성(Generally applicable) 요소를 상기 복구 소요사항 요소에 맵핑하는
    사이버 지휘통제 지원 장치.
  14. 제 10 항에 있어서,
    상기 사이버 위협정보 언어는 OpenIOC(Indicator Of Compromise)를 포함하며,
    상기 위협요소 맵핑부는, 상기 OpenIOC의 위협요소에 포함된 파일 접근 시간(File Accessed Time) 요소를 상기 지연시간 측정 요소에 맵핑하고, 서비스 DLL(Service DLL) 요소를 상기 위협 역량 요소에 맵핑하며, 파일 수정 시간(File Modified Time) 요소를 상기 접촉 빈도 요소에 맵핑하는
    사이버 지휘통제 지원 장치.
  15. 제 10 항에 있어서,
    상기 사이버 위협정보 언어는 MAEC(Malware Attribute Enumeration and Characterization)를 포함하며,
    상기 위협요소 맵핑부는, 상기 MAEC의 위협요소에 포함된 행동(Action) 요소를 상기 지연시간 측정 요소에 맵핑하고, 동작(Behavior) 요소를 상기 적의 위협 확률 요소에 맵핑하며, 역량(Capability) 요소를 상기 위협 역량 요소에 맵핑하는
    사이버 지휘통제 지원 장치.
KR1020180059759A 2018-05-25 2018-05-25 사이버 지휘통제 지원 방법 및 장치 KR102118191B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020180059759A KR102118191B1 (ko) 2018-05-25 2018-05-25 사이버 지휘통제 지원 방법 및 장치

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020180059759A KR102118191B1 (ko) 2018-05-25 2018-05-25 사이버 지휘통제 지원 방법 및 장치

Publications (2)

Publication Number Publication Date
KR20190134297A KR20190134297A (ko) 2019-12-04
KR102118191B1 true KR102118191B1 (ko) 2020-06-02

Family

ID=69004814

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020180059759A KR102118191B1 (ko) 2018-05-25 2018-05-25 사이버 지휘통제 지원 방법 및 장치

Country Status (1)

Country Link
KR (1) KR102118191B1 (ko)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2008139856A1 (ja) * 2007-05-11 2008-11-20 Nec Corporation リスクモデル修正システム、リスクモデル修正方法およびリスクモデル修正用プログラム
WO2017104655A1 (ja) * 2015-12-14 2017-06-22 日本電気株式会社 情報分析システム、情報分析方法、及び、記録媒体

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100892415B1 (ko) 2006-11-13 2009-04-10 한국전자통신연구원 사이버위협 예보 시스템 및 방법
KR101847277B1 (ko) * 2016-07-29 2018-04-10 국방과학연구소 효율적인 침해사고 대응을 위한 침해지표 자동 생성 방법 및 시스템

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2008139856A1 (ja) * 2007-05-11 2008-11-20 Nec Corporation リスクモデル修正システム、リスクモデル修正方法およびリスクモデル修正用プログラム
WO2017104655A1 (ja) * 2015-12-14 2017-06-22 日本電気株式会社 情報分析システム、情報分析方法、及び、記録媒体

Also Published As

Publication number Publication date
KR20190134297A (ko) 2019-12-04

Similar Documents

Publication Publication Date Title
Taddeo Three ethical challenges of applications of artificial intelligence in cybersecurity
US9071636B2 (en) Predictive scoring management system for application behavior
Vastel et al. {Fp-Scanner}: The Privacy Implications of Browser Fingerprint Inconsistencies
US10387655B2 (en) Method, system and product for using a predictive model to predict if inputs reach a vulnerability of a program
Sklavos et al. Hardware security and trust
US20210034753A1 (en) Method and system for neural network based data analytics in software security vulnerability testing
KR20180105688A (ko) 인공 지능을 기반으로 한 컴퓨터 보안
CN105022957B (zh) 随选检测恶意程序的方法及其电子装置
CN110445769A (zh) 业务系统的访问方法及装置
CN105653951A (zh) 基于数字证书的信任等级来反病毒检查文件的系统和方法
EP3251047B1 (en) Protection against database injection attacks
CN107861793A (zh) 虚拟硬件平台启动方法、装置、设备及计算机存储介质
CN115277127A (zh) 基于系统溯源图搜索匹配攻击模式的攻击检测方法及装置
KR20220109418A (ko) 신경 흐름 증명
CN116527288A (zh) 基于知识图谱的网络攻击安全风险评估系统及方法
CN113472800A (zh) 汽车网络安全风险评估方法、装置、存储介质和电子设备
CN114428962B (zh) 漏洞风险优先级处置方法和装置
KR20120070299A (ko) 적응형 보안 모델 생성 장치 및 방법
CN109389400A (zh) 在用户与银行服务交互期间识别潜在危险设备的系统和方法
KR102118191B1 (ko) 사이버 지휘통제 지원 방법 및 장치
CN106302414B (zh) 网站内容防抓取方法和装置
Haga et al. Breaking the cyber kill chain by modelling resource costs
CN109660499A (zh) 攻击拦截方法和装置、计算设备及存储介质
EP3506145B1 (en) Data integrity protection method and device
Kim The impact of platform vulnerabilities in AI systems

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant