KR102128008B1 - 사이버 위협 정보 처리 방법 및 장치 - Google Patents

사이버 위협 정보 처리 방법 및 장치 Download PDF

Info

Publication number
KR102128008B1
KR102128008B1 KR1020180094455A KR20180094455A KR102128008B1 KR 102128008 B1 KR102128008 B1 KR 102128008B1 KR 1020180094455 A KR1020180094455 A KR 1020180094455A KR 20180094455 A KR20180094455 A KR 20180094455A KR 102128008 B1 KR102128008 B1 KR 102128008B1
Authority
KR
South Korea
Prior art keywords
cyber threat
response data
data
threat response
security rule
Prior art date
Application number
KR1020180094455A
Other languages
English (en)
Other versions
KR20200018966A (ko
Inventor
고장혁
오행록
김형식
김은수
신동순
진범진
Original Assignee
국방과학연구소
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 국방과학연구소 filed Critical 국방과학연구소
Priority to KR1020180094455A priority Critical patent/KR102128008B1/ko
Publication of KR20200018966A publication Critical patent/KR20200018966A/ko
Application granted granted Critical
Publication of KR102128008B1 publication Critical patent/KR102128008B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Computing Systems (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Computer And Data Communications (AREA)

Abstract

개시된 사이버 위협 정보 처리 장치에서 수행되는 사이버 위협 정보 처리 방법은, 복수의 소스로부터 사이버 위협 대응 데이터를 수집하는 단계, 수집된 사이버 위협 대응 데이터를 단일 형식으로 변환하여 통합하는 단계, 통합된 사이버 위협 대응 데이터를 기초로 보안 규칙을 자동으로 생성하는 단계를 포함한다.

Description

사이버 위협 정보 처리 방법 및 장치{METHOD AND APPARATUS FOR PROCESSING CYBER THREAT INFORMATION}
본 발명은 사이버 위협 정보를 처리하는 사이버 위협 정보 처리 방법과 이러한 방법을 수행하는 사이버 위협 정보 처리 장치에 관한 것이다.
현재의 전장이 5차원(지상, 공중, 해상, 우주, 사이버) 전장으로 확장되어 감에 따라 사이버 지휘통제의 중요성이 부각되고 있으며, 사이버 공간 상의 정보가 물리 공간상의 정보와 연계가 될 수 있다는 관점이 생기면서 사이버 위협 대응(Cyber Threat Intelligence, CTI)에 대한 중요성이 증가하였다.
사이버 공간에서 국가 또는 단체에 속한 해커들이 지속적으로 새로운 기술을 활용하여 사이버 공간뿐만 아니라 물리 공간에 영향을 주는 다양한 공격을 시도하고 있기 때문에 사이버 위협 대응 데이터를 수집하고, 수집된 사이버 위협 대응 데이터를 다른 관련 기관(예컨대, 조직 및 네트워크, 호스트 리소스 등)과 공유하는 것은 국가 안보 전략에서 현재 중요한 비중을 차지하고 있다.
종래에는 사이버 위협 대응 데이터가 대부분 임시방편으로 관리되었으며, 몇 명의 보안 분석가의 경험치에 의존하여 수동으로 공유 및 관리되었다.
따라서, 사이버 공간의 위협 대응 데이터를 효율적으로 공유 및 관리할 수 있는 시스템이 필요한 실정이다.
한국공개특허공보 제10-2009-0001609호, 공개일자 2009년 01월 09일.
일 실시예에 따른 해결하고자 하는 과제는, 다양한 사이버 위협 대응 데이터를 단일 형식으로 변환하여 통합함으로써, 사이버 위협 대응 데이터의 공유 및 관리가 용이하도록 하는 사이버 위협 정보 처리 방법 및 장치를 제공한다.
해결하고자 하는 과제는 이상에서 언급한 것으로 제한되지 않으며, 언급되지 않은 또 다른 해결하고자 하는 과제는 아래의 기재로부터 본 발명이 속하는 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.
제 1 관점에 따른 사이버 위협 정보 처리 장치에 의해 수행되는 사이버 위협 정보 처리 방법은, 복수의 소스(sources)로부터 사이버 위협 대응(Cyber Threat Intelligence, CTI) 데이터를 수집하는 단계; 상기 수집된 사이버 위협 대응 데이터를 단일 형식으로 변환하여 통합하는 단계; 상기 통합된 사이버 위협 대응 데이터를 기초로, 보안 규칙을 자동으로 생성하는 단계를 포함한다.
상기 복수의 소스는, STIX(Structured Threat Information eXpression) 서버, 오픈 TAXII(Trusted Automated eXchange of Indicator Information) 서버 또는 외부 사이버 위협 대응 데이터베이스를 포함할 수 있고, 상기 사이버 위협 대응 데이터를 수집하는 단계는, TAXII 프로토콜을 사용하여 TAXII 클라이언트를 통해 상기 STIX 서버, 상기 오픈 TAXII 서버 또는 상기 외부 사이버 위협 대응 데이터베이스로부터 상기 사이버 위협 대응 데이터를 수집하는 단계를 포함할 수 있다.
상기 사이버 위협 대응 데이터를 수집하는 단계는, 상기 사이버 위협 대응 데이터로서 상기 외부 사이버 위협 대응 데이터베이스로부터 MAEC(Malware Attribute Enumeration and Characterization) 데이터 파일 또는 MISP(Malware Information Sharing Platform) 데이터 파일을 수집할 수 있다.
상기 복수의 소스는, 멀웨어(Malware) 샘플을 포함할 수 있고, 상기 사이버 위협 대응 데이터를 수집하는 단계는, 멀웨어 분석 도구를 사용하여 상기 멀웨어 샘플에 대한 정보를 상기 사이버 위협 대응 데이터로서 수집하는 단계를 포함할 수 있다.
상기 단일 형식으로 변환하여 통합하는 단계는, 상기 수집된 사이버 위협 대응 데이터를 JSON(JavaScript Object Notation) 형식으로 변환하는 단계를 포함할 수 있다.
상기 보안 규칙을 자동으로 생성하는 단계는, 상기 통합된 사이버 위협 대응 데이터에 포함된 악성 URL(Uniform Resource Identifier), 악성 도메인(Domain) 또는 악성 IP(Internet Protocol) 주소의 일부 기능 문자열을 추출한 후, 추출된 일부 기능 문자열을 대상 보안 응용 프로그램의 상기 보안 규칙의 악성 호스트 정보(Malicious host information)로 맵핑하는 단계를 포함할 수 있다.
상기 사이버 위협 정보 처리 방법은, 상기 보안 규칙의 무결성을 체크하는 단계; 상기 무결성을 갖는 보안 규칙을 대상 보안 응용 프로그램에 적용하는 단계를 더 포함할 수 있다.
제 2 관점에 따른 컴퓨터 판독 가능 기록매체는, 복수의 소스로부터 사이버 위협 대응 데이터를 수집하는 단계; 상기 수집된 사이버 위협 대응 데이터를 단일 형식으로 변환하여 통합하는 단계; 상기 통합된 사이버 위협 대응 데이터를 기초로 보안 규칙을 자동으로 생성하는 단계를 포함하는 사이버 위협 정보 처리 방법에 따른 각각의 단계를 수행하는 명령어를 포함하는 컴퓨터 프로그램이 기록된다.
제 3 관점에 따른 사이버 위협 정보 처리 장치는, 복수의 소스로부터 사이버 위협 대응 데이터를 수집하는 데이터 수집부; 상기 수집된 사이버 위협 대응 데이터를 단일 형식으로 변환하여 통합하는 형식 통합부; 상기 통합된 사이버 위협 대응 데이터를 기초로, 보안 규칙을 자동으로 생성하는 보안 규칙 생성부를 포함한다.
상기 복수의 소스는, STIX 서버, 오픈 TAXII 서버 또는 외부 사이버 위협 대응 데이터베이스를 포함할 수 있고, 상기 데이터 수집부는, TAXII 프로토콜을 사용하여 TAXII 클라이언트를 통해 상기 STIX 서버, 상기 오픈 TAXII 서버 또는 외부 사이버 위협 대응 데이터베이스로부터 상기 사이버 위협 대응 데이터를 수집할 수 있다.
상기 데이터 수집부는, 상기 외부 사이버 위협 대응 데이터베이스로부터 MAEC 데이터 파일 또는 MISP 데이터 파일을 상기 사이버 위협 대응 데이터로서 수집할 수 있다.
상기 복수의 소스는, 멀웨어 샘플을 포함할 수 있고, 상기 데이터 수집부는, 멀웨어 분석 도구를 사용하여 상기 멀웨어 샘플에 대한 정보를 상기 사이버 위협 대응 데이터로서 수집할 수 있다.
상기 형식 통합부는, 상기 수집된 사이버 위협 대응 데이터를 JSON 형식으로 변환할 수 있다.
상기 보안 규칙 생성부는, 상기 통합된 사이버 위협 대응 데이터에 포함된 악성 URL, 악성 도메인 또는 악성 IP 주소의 일부 기능 문자열을 추출한 후, 추출된 일부 기능 문자열을 대상 보안 응용 프로그램의 상기 보안 규칙의 악성 호스트 정보(Malicious host information)로 맵핑할 수 있다.
상기 보안 규칙 생성부는, 상기 보안 규칙의 무결성을 체크한 후, 상기 무결성을 갖는 보안 규칙을 대상 보안 응용 프로그램에 적용할 수 있다.
일 실시예에 따르면, 다양한 소스로부터 수집된 사이버 위협 대응 데이터를 단일 형식으로 변환하여 통합함으로써, 사이버 위협 대응 데이터의 공유 및 관리가 용이하게 한다.
또한, 통합된 사이버 위협 대응 데이터를 기초로 보안 규칙을 자동으로 생성함으로써, 보안 장비들에게 보안 규칙을 효율적으로 적용할 수 있는 효과가 있다.
도 1은 본 발명의 일 실시예에 따른 사이버 위협 정보 처리 장치의 구성도이다.
도 2는 본 발명의 일 실시예에 따른 사이버 위협 정보 처리 장치에서 수행되는 사이버 위협 정보 처리 방법을 설명하기 위한 흐름도이다.
본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시예들에 한정되는 것이 아니라 다양한 형태로 구현될 수 있으며, 단지 본 실시예들은 본 발명의 개시가 완전하도록 하고, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명의 범주는 청구항에 의해 정의될 뿐이다.
본 발명의 실시예들을 설명함에 있어서 공지 기능 또는 구성에 대한 구체적인 설명은 본 발명의 실시예들을 설명함에 있어 실제로 필요한 경우 외에는 생략될 것이다. 그리고 후술되는 용어들은 본 발명의 실시예에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.
도 1은 본 발명의 일 실시예에 따른 사이버 위협 정보 처리 장치의 구성도이다.
도 1에 예시한 바와 같이 일 실시예에 따른 사이버 위협 정보 처리 장치(100)는 데이터 수집부(110), 형식 통합부(120) 및 보안 규칙 생성부(130)를 포함한다. 예를 들어, 데이터 수집부(110), 형식 통합부(120) 및 보안 규칙 생성부(130)는 마이크로프로세서(micro processor)를 포함할 수 있다.
데이터 수집부(110)는 복수의 소스(sources)로부터 사이버 위협 대응(Cyber Threat Intelligence, CTI) 데이터를 수집하고, 수집된 사이버 위협 대응 데이터를 형식 통합부(120)로 제공한다. 이러한 데이터 수집부(110)는 TAXII(Trusted Automated eXchange of Indicator Information) 클라이언트(111) 및 멀웨어 분석 도구(112)를 포함할 수 있다. 복수의 소스는 STIX(Structured Threat Information eXpression) 서버, 오픈 TAXII 서버, 외부 사이버 위협 대응 데이터베이스, 멀웨어(Malware) 샘플 등을 포함한다. TAXII 클라이언트(111)는 TAXII 프로토콜을 사용하여 STIX 서버, 오픈 TAXII 서버 또는 외부 사이버 위협 대응 데이터베이스로부터 사이버 위협 대응 데이터를 수집하여 형식 통합부(120)로 제공할 수 있다. 여기서, 데이터 수집부(110)는 외부 사이버 위협 대응 데이터베이스로부터 MAEC(Malware Attribute Enumeration and Characterization) 데이터 파일 또는 MISP(Malware Information Sharing Platform) 데이터 파일을 사이버 위협 대응 데이터로서 수집할 수 있다. 멀웨어 분석 도구(112)는 멀웨어 샘플을 분석하여 멀웨어 샘플에 대한 정보를 형식 통합부(120)로 제공할 수 있다.
형식 통합부(120)는 데이터 수집부(110)로부터 제공받은 사이버 위협 대응 데이터를 단일 형식으로 변환하여 통합한다. 이러한 형식 통합부(120)는 사이버 위협 대응 데이터를 JSON(JavaScript Object Notation) 형식으로 변환할 수 있다. 이러한 형식 통합부(120)는 STIX 데이터 변환기(121) 및 CTI 데이터 변환기(122)를 포함할 수 있다. TAXII 클라이언트(111)가 TAXII 프로토콜을 사용하여 STIX 서버 또는 오픈 TAXII 서버로부터 수집한 사이버 위협 대응 데이터는 STIX 1.x(XML) 또는 STIX 2.x(JSON)로 표시되는데, STIX 데이터 변환기(121)는 오픈 TAXII 서버로부터 수집된 사이버 위협 대응 데이터를 모두 STIX 2.0 형식, 즉 JSON 형식으로 변환한다. 아울러, TAXII 클라이언트(111)가 TAXII 프로토콜을 사용하여 외부 사이버 위협 대응 데이터베이스로 수집한 MAEC 데이터 파일 및 MISP 데이터 파일의 형식은 XML 스키마 아래에서 구조화 된 형식을 가지므로 CTI 데이터 변환기(122)가 STIX 2.0 형식, 즉 JSON 형식으로 변환한다. 또한, 멀웨어 분석 도구(112)로부터 제공되는 멀웨어 샘플에 대한 정보는 CTI 데이터 변환기(122)에 의해 STIX 2.0 형식, 즉 JSON 형식으로 변환된다.
보안 규칙 생성부(130)는 형식 통합부(120)에 의해 통합된 사이버 위협 대응 데이터를 기초로 보안 규칙을 자동으로 생성한다. 이러한 보안 규칙 생성부(130)는 통합된 사이버 위협 대응 데이터에 포함된 악성 URL(Uniform Resource Identifier), 악성 도메인(Domain) 또는 악성 IP(Internet Protocol) 주소의 일부 기능 문자열을 추출한 후, 추출된 일부 기능 문자열을 대상 보안 응용 프로그램의 보안 규칙의 악성 호스트 정보(Malicious host information)로 맵핑할 수 있다. 그리고, 보안 규칙 생성부(130)는 자동 생성한 보안 규칙의 무결성을 체크한 후, 무결성을 갖는 보안 규칙을 대상 보안 응용 프로그램에 적용할 수 있다.
도 1에 나타낸 사이버 위협 정보 처리 장치(100)의 구성 요소 및 각 구성 요소들의 연결 관계는 본 발명의 일 실시예에 불과하므로, 도 1에 의해 본 발명의 기술적 사상이 한정 해석되는 것은 아니다. 예를 들어, 데이터 수집부(110)는 TAXII 클라이언트(111)와 멀웨어 분석 도구(112) 중 어느 하나만 포함할 수 있고, 형식 통합부(120)는 STIX 데이터 변환기(121)와 CTI 데이터 변환기(122) 중 어느 하나만 포함할 수 있다.
이하, 도 1에 도시된 본 발명의 일 실시예에 따른 사이버 위협 정보 처리 장치(100)에서 수행되는 사이버 위협 정보 처리 방법에 대해 도 2의 흐름도를 참조하여 자세히 살펴보기로 한다.
먼저, 사이버 위협 정보 처리 장치(100)의 데이터 수집부(110)는 데이터 수집부(110)는 복수의 소스, 예를 들어 STIX 서버, 오픈 TAXII 서버, 외부 사이버 위협 대응 데이터베이스, 멀웨어 샘플 등을 대상으로 하여 사이버 위협 대응 데이터를 수집하고, 수집된 사이버 위협 대응 데이터를 형식 통합부(120)로 제공한다(S210).
이러한 단계 S210에 의한 사이버 위협 대응 데이터의 수집 과정을 상술하면, 데이터 수집부(110)의 TAXII 클라이언트(111)는 TAXII 프로토콜을 사용하여 STIX 서버, 오픈 TAXII 서버 및 외부 사이버 위협 대응 데이터베이스로부터 사이버 위협 대응 데이터를 수집하여 형식 통합부(120)로 제공할 수 있다. 여기서, 데이터 수집부(110)는 외부 사이버 위협 대응 데이터베이스로부터 MAEC 데이터 파일 및 MISP 데이터 파일을 사이버 위협 대응 데이터로서 수집할 수 있다. 멀웨어 분석 도구(112)는 멀웨어 샘플을 분석하여 멀웨어 샘플에 대한 정보를 예컨대, 분석 보고서 형태로 형식 통합부(120)로 제공할 수 있다. 예컨대, 멀웨어 분석 도구(112)로는 VirusTotal 또는 Cuckoo 샌드 박스가 이용될 수 있다.
이어서, 사이버 위협 정보 처리 장치(100)의 형식 통합부(120)는 데이터 수집부(110)로부터 제공받은 사이버 위협 대응 데이터를 단일 형식으로 변환하여 통합한다(S220).
이러한 단계 S220에 의한 사이버 위협 대응 데이터의 형식 통합 과정을 상술하면, TAXII 클라이언트(111)가 TAXII 프로토콜을 사용하여 STIX 서버 또는 오픈 TAXII 서버로부터 수집한 사이버 위협 대응 데이터는 STIX 1.x(XML) 또는 STIX 2.x(JSON)로 표시되는데, STIX 데이터 변환기(121)는 오픈 TAXII 서버로부터 수집된 사이버 위협 대응 데이터를 모두 STIX 2.0 형식, 즉 JSON 형식으로 변환한다. 아울러, TAXII 클라이언트(111)가 TAXII 프로토콜을 사용하여 외부 사이버 위협 대응 데이터베이스로 수집한 MAEC 데이터 파일 및 MISP 데이터 파일의 형식은 XML 스키마 아래에서 구조화 된 형식을 가지므로 CTI 데이터 변환기(122)가 STIX 2.0 형식, 즉 JSON 형식으로 변환한다. 또한, 멀웨어 분석 도구(112)로부터 제공되는 멀웨어 샘플에 대한 정보, 예컨대 분석 보고서 형태의 정보는 CTI 데이터 변환기(122)에 의해 STIX 2.0 형식, 즉 JSON 형식으로 변환된다.
다음으로, 사이버 위협 정보 처리 장치(100)의 보안 규칙 생성부(130)는 형식 통합부(120)에 의해 통합된 사이버 위협 대응 데이터를 기초로 보안 규칙을 자동으로 생성한다(S230).
이러한 단계 S230에 의한 보안 규칙 생성 과정을 상술하면, 보안 규칙 생성부(130)는 통합된 사이버 위협 대응 데이터에 포함된 악성 URL, 악성 도메인 또는 악성 IP 주소의 일부 기능 문자열을 추출한 후, 추출된 일부 기능 문자열을 대상 보안 응용 프로그램의 보안 규칙의 악성 호스트 정보로 맵핑할 수 있다. 이외에도, 보안 규칙 생성부(130)는 통합된 사이버 위협 대응 데이터에 포함된 아이덴티(Identity)를 추출한 후, 추출된 아이덴티를 대상 보안 응용 프로그램의 보안 규칙의 메시지 콘텐츠(Message content)로 맵핑할 수 있다. 그리고, 보안 규칙 생성부(130)는 통합된 사이버 위협 대응 데이터에 포함된 레퍼런스(Reference)를 추출한 후, 추출된 레퍼런스를 대상 보안 응용 프로그램의 보안 규칙의 레퍼런스로 맵핑할 수 있다. 또한, 보안 규칙 생성부(130)는 통합된 사이버 위협 대응 데이터에 포함된 라벨들(Labels)을 추출한 후, 추출된 라벨들을 대상 보안 응용 프로그램의 보안 규칙의 클래스 타입(Class type)으로 맵핑할 수 있다.
또한, 사이버 위협 정보 처리 장치(100)의 보안 규칙 생성부(130)는 단계 S230에서 자동 생성된 보안 규칙의 무결성을 체크한 후(S240), 무결성을 갖는 보안 규칙을 대상 보안 응용 프로그램에 적용한다(S250). 예를 들어, 보안 규칙 생성부(130)는 단계 S230에서 생성된 보안 규칙을 시험 적용한 후에 그 결과와 사전에 마련된 블랙리스트 또는 화이트리스트와 비교함으로써 무결성을 체크할 수 있다. 또는, 보안 규칙 생성부(130)는 다른 사이버 위협 대응 엔진에 단계 S230에서 생성된 보안 규칙을 시험 적용한 결과에 기초하여 무결성을 체크할 수도 있다.
지금까지 설명한 바와 같이 본 발명의 일 실시예에 따르면, 다양한 소스로부터 수집된 사이버 위협 대응 데이터를 단일 형식으로 변환하여 통합함으로써, 사이버 위협 대응 데이터의 공유 및 관리가 용이하게 한다.
또한, 통합된 사이버 위협 대응 데이터를 기초로 보안 규칙을 자동으로 생성함으로써, 보안 장비들에게 보안 규칙을 효율적으로 적용할 수 있다.
본 발명에 첨부된 블록도의 각 블록과 흐름도의 각 단계의 조합들은 컴퓨터 프로그램 인스트럭션들에 의해 수행될 수도 있다. 이들 컴퓨터 프로그램 인스트럭션들은 범용 컴퓨터, 특수용 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서에 탑재될 수 있으므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서를 통해 수행되는 그 인스트럭션들이 블록도의 각 블록 또는 흐름도의 각 단계에서 설명된 기능들을 수행하는 수단을 생성하게 된다. 이들 컴퓨터 프로그램 인스트럭션들은 특정 방식으로 기능을 구현하기 위해 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 지향할 수 있는 컴퓨터 이용 가능 또는 컴퓨터 판독 가능 기록매체에 저장되는 것도 가능하므로, 그 컴퓨터 이용가능 또는 컴퓨터 판독 가능 기록매체에 저장된 인스트럭션들은 블록도의 각 블록 또는 흐름도 각 단계에서 설명된 기능을 수행하는 인스트럭션 수단을 내포하는 제조 품목을 생산하는 것도 가능하다. 컴퓨터 프로그램 인스트럭션들은 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에 탑재되는 것도 가능하므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에서 일련의 동작 단계들이 수행되어 컴퓨터로 실행되는 프로세스를 생성해서 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 수행하는 인스트럭션들은 블록도의 각 블록 및 흐름도의 각 단계에서 설명된 기능들을 실행하기 위한 단계들을 제공하는 것도 가능하다.
또한, 각 블록 또는 각 단계는 특정된 논리적 기능(들)을 실행하기 위한 하나 이상의 실행 가능한 인스트럭션들을 포함하는 모듈, 세그먼트 또는 코드의 일부를 나타낼 수 있다. 또, 몇 가지 대체 실시예들에서는 블록들 또는 단계들에서 언급된 기능들이 순서를 벗어나서 발생하는 것도 가능함을 주목해야 한다. 예컨대, 잇달아 도시되어 있는 두 개의 블록들 또는 단계들은 사실 실질적으로 동시에 수행되는 것도 가능하고 또는 그 블록들 또는 단계들이 때때로 해당하는 기능에 따라 역순으로 수행되는 것도 가능하다.
이상의 설명은 본 발명의 기술 사상을 예시적으로 설명한 것에 불과한 것으로서, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자라면 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 다양한 수정 및 변형이 가능할 것이다. 따라서, 본 발명에 개시된 실시예들은 본 발명의 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시예에 의하여 본 발명의 기술 사상의 범위가 한정되는 것은 아니다. 본 발명의 보호 범위는 아래의 청구범위에 의하여 해석되어야 하며, 그와 동등한 범위 내에 있는 모든 기술사상은 본 발명의 권리범위에 포함되는 것으로 해석되어야 할 것이다.
100 : 사이버 위협 정보 처리 장치
110 : 데이터 수집부
120 : 형식 통합부
130 : 보안 규칙 생성부

Claims (15)

  1. 삭제
  2. 사이버 위협 정보 처리 장치에 의해 수행되는 사이버 위협 정보 처리 방법으로서,
    복수의 소스로부터 사이버 위협 대응(Cyber Threat Intelligence, CTI) 데이터를 수집하는 단계;
    상기 수집된 사이버 위협 대응 데이터를 단일 형식으로 변환하여 통합하는 단계; 및
    상기 통합된 사이버 위협 대응 데이터를 기초로, 보안 규칙을 자동으로 생성하는 단계를 포함하며,
    상기 복수의 소스는, STIX(Structured Threat Information eXpression) 서버, 오픈 TAXII(Trusted Automated eXchange of Indicator Information) 서버 또는 외부 사이버 위협 대응 데이터베이스를 포함하고,
    상기 사이버 위협 대응 데이터를 수집하는 단계는, TAXII 프로토콜을 사용하여 TAXII 클라이언트를 통해 상기 STIX 서버, 상기 오픈 TAXII 서버 또는 상기 외부 사이버 위협 대응 데이터베이스로부터 상기 사이버 위협 대응 데이터를 수집하는 단계를 포함하는
    사이버 위협 정보 처리 방법.
  3. 제 2 항에 있어서,
    상기 사이버 위협 대응 데이터를 수집하는 단계는, 상기 사이버 위협 대응 데이터로서 상기 외부 사이버 위협 대응 데이터베이스로부터 MAEC(Malware Attribute Enumeration and Characterization) 데이터 파일 또는 MISP(Malware Information Sharing Platform) 데이터 파일을 수집하는
    사이버 위협 정보 처리 방법.
  4. 사이버 위협 정보 처리 장치에 의해 수행되는 사이버 위협 정보 처리 방법으로서,
    복수의 소스로부터 사이버 위협 대응(Cyber Threat Intelligence, CTI) 데이터를 수집하는 단계;
    상기 수집된 사이버 위협 대응 데이터를 단일 형식으로 변환하여 통합하는 단계; 및
    상기 통합된 사이버 위협 대응 데이터를 기초로, 보안 규칙을 자동으로 생성하는 단계를 포함하며,
    상기 복수의 소스는, 멀웨어 샘플을 포함하고,
    상기 사이버 위협 대응 데이터를 수집하는 단계는, 멀웨어 분석 도구를 사용하여 상기 멀웨어 샘플에 대한 정보를 상기 사이버 위협 대응 데이터로서 수집하는 단계를 포함하는
    사이버 위협 정보 처리 방법.
  5. 제 2 항에 있어서,
    상기 단일 형식으로 변환하여 통합하는 단계는, 상기 수집된 사이버 위협 대응 데이터를 JSON(JavaScript Object Notation) 형식으로 변환하는 단계를 포함하는
    사이버 위협 정보 처리 방법.
  6. 사이버 위협 정보 처리 장치에 의해 수행되는 사이버 위협 정보 처리 방법으로서,
    복수의 소스로부터 사이버 위협 대응(Cyber Threat Intelligence, CTI) 데이터를 수집하는 단계;
    상기 수집된 사이버 위협 대응 데이터를 단일 형식으로 변환하여 통합하는 단계; 및
    상기 통합된 사이버 위협 대응 데이터를 기초로, 보안 규칙을 자동으로 생성하는 단계를 포함하며,
    상기 보안 규칙을 자동으로 생성하는 단계는, 상기 통합된 사이버 위협 대응 데이터에 포함된 악성 URL(Uniform Resource Identifier), 악성 도메인(Domain) 또는 악성 IP(Internet Protocol) 주소의 일부 기능 문자열을 추출한 후, 추출된 일부 기능 문자열을 대상 보안 응용 프로그램의 상기 보안 규칙의 악성 호스트 정보로 맵핑하는 단계를 포함하는
    사이버 위협 정보 처리 방법.
  7. 제 2 항에 있어서, 상기 사이버 위협 정보 처리 방법은,
    상기 보안 규칙의 무결성을 체크하는 단계; 및
    상기 무결성을 갖는 보안 규칙을 대상 보안 응용 프로그램에 적용하는 단계를 더 포함하는
    사이버 위협 정보 처리 방법.
  8. 복수의 소스로부터 사이버 위협 대응(Cyber Threat Intelligence, CTI) 데이터를 수집하는 단계;
    상기 수집된 사이버 위협 대응 데이터를 단일 형식으로 변환하여 통합하는 단계; 및
    상기 통합된 사이버 위협 대응 데이터를 기초로 보안 규칙을 자동으로 생성하는 단계를 포함하며,
    상기 복수의 소스는, STIX(Structured Threat Information eXpression) 서버, 오픈 TAXII(Trusted Automated eXchange of Indicator Information) 서버 또는 외부 사이버 위협 대응 데이터베이스를 포함하고,
    상기 사이버 위협 대응 데이터를 수집하는 단계는, TAXII 프로토콜을 사용하여 TAXII 클라이언트를 통해 상기 STIX 서버, 상기 오픈 TAXII 서버 또는 상기 외부 사이버 위협 대응 데이터베이스로부터 상기 사이버 위협 대응 데이터를 수집하는 단계를 포함하는, 사이버 위협 정보 처리 방법에 따른 각각의 단계를 수행하는 명령어를 포함하는
    컴퓨터 프로그램이 기록된 컴퓨터 판독 가능 기록매체.
  9. 삭제
  10. 복수의 소스로부터 사이버 위협 대응(Cyber Threat Intelligence, CTI) 데이터를 수집하는 데이터 수집부;
    상기 수집된 사이버 위협 대응 데이터를 단일 형식으로 변환하여 통합하는 형식 통합부; 및
    상기 통합된 사이버 위협 대응 데이터를 기초로, 보안 규칙을 자동으로 생성하는 보안 규칙 생성부를 포함하며,
    상기 복수의 소스는, STIX(Structured Threat Information eXpression) 서버, 오픈 TAXII(Trusted Automated eXchange of Indicator Information) 서버 또는 외부 사이버 위협 대응 데이터베이스를 포함하고,
    상기 데이터 수집부는, TAXII 프로토콜을 사용하여 TAXII 클라이언트를 통해 상기 STIX 서버, 상기 오픈 TAXII 서버 또는 외부 사이버 위협 대응 데이터베이스로부터 상기 사이버 위협 대응 데이터를 수집하는
    사이버 위협 정보 처리 장치.
  11. 제 10 항에 있어서,
    상기 데이터 수집부는, 상기 외부 사이버 위협 대응 데이터베이스로부터 MAEC(Malware Attribute Enumeration and Characterization) 데이터 파일 또는 MISP(Malware Information Sharing Platform) 데이터 파일을 상기 사이버 위협 대응 데이터로서 수집하는
    사이버 위협 정보 처리 장치.
  12. 복수의 소스로부터 사이버 위협 대응(Cyber Threat Intelligence, CTI) 데이터를 수집하는 데이터 수집부;
    상기 수집된 사이버 위협 대응 데이터를 단일 형식으로 변환하여 통합하는 형식 통합부; 및
    상기 통합된 사이버 위협 대응 데이터를 기초로, 보안 규칙을 자동으로 생성하는 보안 규칙 생성부를 포함하며,
    상기 복수의 소스는, 멀웨어 샘플을 포함하고,
    상기 데이터 수집부는, 멀웨어 분석 도구를 사용하여 상기 멀웨어 샘플에 대한 정보를 상기 사이버 위협 대응 데이터로서 수집하는
    사이버 위협 정보 처리 장치.
  13. 제 10 항에 있어서,
    상기 형식 통합부는, 상기 수집된 사이버 위협 대응 데이터를 JSON(JavaScript Object Notation) 형식으로 변환하는
    사이버 위협 정보 처리 장치.
  14. 복수의 소스로부터 사이버 위협 대응(Cyber Threat Intelligence, CTI) 데이터를 수집하는 데이터 수집부;
    상기 수집된 사이버 위협 대응 데이터를 단일 형식으로 변환하여 통합하는 형식 통합부; 및
    상기 통합된 사이버 위협 대응 데이터를 기초로, 보안 규칙을 자동으로 생성하는 보안 규칙 생성부를 포함하며,
    상기 보안 규칙 생성부는, 상기 통합된 사이버 위협 대응 데이터에 포함된 악성 URL(Uniform Resource Identifier), 악성 도메인(Domain) 또는 악성 IP(Internet Protocol) 주소의 일부 기능 문자열을 추출한 후, 추출된 일부 기능 문자열을 대상 보안 응용 프로그램의 상기 보안 규칙의 악성 호스트 정보로 맵핑하는
    사이버 위협 정보 처리 장치.
  15. 제 10 항에 있어서,
    상기 보안 규칙 생성부는, 상기 보안 규칙의 무결성을 체크한 후, 상기 무결성을 갖는 보안 규칙을 대상 보안 응용 프로그램에 적용하는
    사이버 위협 정보 처리 장치.
KR1020180094455A 2018-08-13 2018-08-13 사이버 위협 정보 처리 방법 및 장치 KR102128008B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020180094455A KR102128008B1 (ko) 2018-08-13 2018-08-13 사이버 위협 정보 처리 방법 및 장치

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020180094455A KR102128008B1 (ko) 2018-08-13 2018-08-13 사이버 위협 정보 처리 방법 및 장치

Publications (2)

Publication Number Publication Date
KR20200018966A KR20200018966A (ko) 2020-02-21
KR102128008B1 true KR102128008B1 (ko) 2020-06-29

Family

ID=69671210

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020180094455A KR102128008B1 (ko) 2018-08-13 2018-08-13 사이버 위협 정보 처리 방법 및 장치

Country Status (1)

Country Link
KR (1) KR102128008B1 (ko)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11503047B2 (en) 2020-03-13 2022-11-15 International Business Machines Corporation Relationship-based conversion of cyber threat data into a narrative-like format
KR102502539B1 (ko) * 2020-12-31 2023-02-23 서울과학기술대학교 산학협력단 사이버 위협 인텔리전스 시스템
CN115529207A (zh) * 2021-06-08 2022-12-27 南京联成科技发展股份有限公司 一种集中管控中心与多个集中管控互联的安全网关

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100892415B1 (ko) 2006-11-13 2009-04-10 한국전자통신연구원 사이버위협 예보 시스템 및 방법
KR20090071502A (ko) * 2007-12-26 2009-07-01 넷시큐어테크놀러지 주식회사 지능형 소프트웨어 로봇의 행동특성을 이용한 위협탐지 방법 및 이를 위한 시스템

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
‘테라데이타-몽고 DB, JSON통합으로 빅데이터 전략 지원 강화’, IT WORLD NEWS, 2014.06.23.

Also Published As

Publication number Publication date
KR20200018966A (ko) 2020-02-21

Similar Documents

Publication Publication Date Title
US11089040B2 (en) Cognitive analysis of security data with signal flow-based graph exploration
US10956566B2 (en) Multi-point causality tracking in cyber incident reasoning
US20210248443A1 (en) Fuzzy Cyber Detection Pattern Matching
US11941054B2 (en) Iterative constraint solving in abstract graph matching for cyber incident reasoning
US9300682B2 (en) Composite analysis of executable content across enterprise network
US11184374B2 (en) Endpoint inter-process activity extraction and pattern matching
CN111935192A (zh) 网络攻击事件溯源处理方法、装置、设备和存储介质
CN110691080B (zh) 自动溯源方法、装置、设备及介质
KR102128008B1 (ko) 사이버 위협 정보 처리 방법 및 장치
Berrueta et al. Open repository for the evaluation of ransomware detection tools
CN111104579A (zh) 一种公网资产的识别方法、装置及存储介质
CN112131571B (zh) 威胁溯源方法及相关设备
Lovanshi et al. Comparative study of digital forensic tools
Serketzis et al. Actionable threat intelligence for digital forensics readiness
Li et al. An approach to model network exploitations using exploitation graphs
Mathew et al. Understanding multistage attacks by attack-track based visualization of heterogeneous event streams
Sivamohan et al. Efficient Multi-platform Honeypot for Capturing Real-time Cyber Attacks
Buchanan et al. On generating and labeling network traffic with realistic, self-propagating malware
Ruiz et al. Overconfidence: Personal behaviors regarding privacy that allows the leakage of information in private browsing mode
US20200162339A1 (en) Extending encrypted traffic analytics with traffic flow data
CN115314271A (zh) 一种访问请求的检测方法、系统及计算机存储介质
KR101886147B1 (ko) 사이버 위협 인텔리전스 데이터 분석 방법 및 그 장치
Hemdan et al. Exploring digital forensic investigation issues for cyber crimes in cloud computing environment
IL279893A (en) A system and method for detecting exposures of online vulnerabilities, which are abused using honey traps
Vilches et al. Aztarna, a footprinting tool for robots

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant