KR102198104B1 - Playbook Automatic Generation System Using Machine Learning and Method Thereof - Google Patents

Playbook Automatic Generation System Using Machine Learning and Method Thereof Download PDF

Info

Publication number
KR102198104B1
KR102198104B1 KR1020200075029A KR20200075029A KR102198104B1 KR 102198104 B1 KR102198104 B1 KR 102198104B1 KR 1020200075029 A KR1020200075029 A KR 1020200075029A KR 20200075029 A KR20200075029 A KR 20200075029A KR 102198104 B1 KR102198104 B1 KR 102198104B1
Authority
KR
South Korea
Prior art keywords
playbook
module
learning
prediction
action
Prior art date
Application number
KR1020200075029A
Other languages
Korean (ko)
Inventor
신윤섭
반 딴 응
Original Assignee
주식회사 이글루시큐리티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 이글루시큐리티 filed Critical 주식회사 이글루시큐리티
Priority to KR1020200075029A priority Critical patent/KR102198104B1/en
Application granted granted Critical
Publication of KR102198104B1 publication Critical patent/KR102198104B1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/04Forecasting or optimisation specially adapted for administrative or management purposes, e.g. linear programming or "cutting stock problem"
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/10Office automation; Time management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Theoretical Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • Strategic Management (AREA)
  • Human Resources & Organizations (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • Entrepreneurship & Innovation (AREA)
  • Economics (AREA)
  • General Engineering & Computer Science (AREA)
  • Quality & Reliability (AREA)
  • Tourism & Hospitality (AREA)
  • Computer Hardware Design (AREA)
  • Data Mining & Analysis (AREA)
  • General Business, Economics & Management (AREA)
  • Computing Systems (AREA)
  • Marketing (AREA)
  • Operations Research (AREA)
  • Mathematical Physics (AREA)
  • Medical Informatics (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Artificial Intelligence (AREA)
  • Evolutionary Computation (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Development Economics (AREA)
  • Game Theory and Decision Science (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

The present invention relates to a playbook automatic generation system using machine learning and to a method thereof. More specifically, in the playbook automatic generation system using machine learning and the method thereof, by learning each step-by-step response process based on machine learning and re-learning through verification and update during an operation period, a next playbook action is recommended/guided and automatically set by initial prerequisites when generating a new response process.

Description

머신러닝을 이용한 플레이북 자동 생성 시스템 및 그 방법 {Playbook Automatic Generation System Using Machine Learning and Method Thereof}Playbook Automatic Generation System Using Machine Learning and Method Thereof}

본 발명은 머신러닝을 이용한 플레이북 자동 생성 시스템 및 그 방법에 관한 것으로, 더욱 상세하게는, 각 단계별 대응 프로세스를 머신러닝 기반으로 학습하고, 운영기간 중 검증 및 업데이트를 통해 재학습시킴으로써, 신규 대응 프로세스 생성시 초기 선행 조건에 의해 다음 단계의 플레이북(Playbook) 액션(Action)을 권고/가이드 및 자동 설정해 줄 수 있도록 하는, 머신러닝을 이용한 플레이북 자동 생성 시스템 및 그 방법에 관한 것이다.The present invention relates to a system and method for automatically generating playbooks using machine learning, and in more detail, by learning each step-by-step response process based on machine learning, and by re-learning through verification and update during the operation period, a new response The present invention relates to an automatic playbook generation system using machine learning and a method thereof that recommends/guides and automatically sets a playbook action of a next step according to an initial prerequisite when creating a process.

사이버 공격의 규모가 커지고, 그 정교함이 끊임없이 진화함에 따라, 보안 분야 전문가들은 이러한 사이버 공격에 대응하기 위한 다양한 방안을 모색해 나가고 있으나, 시간, 기술, 리소스 측면 등에서 한계에 부딪히고 있다.As the scale of cyber attacks increases and their sophistication is constantly evolving, experts in the security field are seeking various ways to respond to such cyber attacks, but they are facing limitations in terms of time, technology, and resources.

도 1은 종래의 보안 관제 시스템(90)을 도시한 도면으로, 이는 한국등록특허공보 제10-1486307호(2015.01.20.)에 개시되어 있다. 도 1을 참고하여 설명하면, 종래의 보안 관제 시스템(90)은, 보안 관제 장치(91)가 보안 관제 센터(Security Operation Center, SOC)(93)와 연동하여 동작하며, 일반적으로 보안 관제 센터(93)에서는 DDoS(Distributed Denial of Service) 대응 장비, 침입 차단 시스템(File Wall, FW), 위협 관리 시스템(Threat Management System, TMS), 침입 방지 시스템(Instruction Protection System, IPS), 웹 어플리케이션 방화벽(Web Application Firewall, WAF) 등 수많은 보안 관제 장치(91)를 사용하는데, 이러한 복수의 보안 관제 장치(91)를 소수의 보안 담당자가 모니터링하고 있는바, 정확한 보안 관제가 이루어지기 어려운 상황이다.1 is a view showing a conventional security control system 90, which is disclosed in Korean Patent Registration No. 10-1486307 (2015.01.20.). Referring to FIG. 1, in the conventional security control system 90, the security control device 91 operates in conjunction with a security operation center (SOC) 93, and generally, a security control center ( 93), DDoS (Distributed Denial of Service) response equipment, intrusion prevention system (File Wall, FW), threat management system (Threat Management System, TMS), intrusion prevention system (Instruction Protection System, IPS), web application firewall (Web Application Firewall, WAF), etc., a number of security control devices 91 are used, and since a few security personnel monitor the plurality of security control devices 91, it is difficult to perform accurate security control.

보안의 강도를 높이기 위해 보안 장비의 수를 늘릴수록, 보안 담당자가 모니터링해야 하는 보안 장비의 수가 많아지게 되어, 보안 담당자의 피로감이 극심해 질 수밖에 없으며, 이로 인해 제대로된 보안 관제가 이루어지기 어렵고, 보안 담당자별로 성향, 능력, 경험, 숙련도 등이 상이하기 때문에 담당자별로 편차 없는 보안 관제를 기대하는 것이 사실상 불가능하다.As the number of security devices increases in order to increase the strength of security, the number of security devices that must be monitored by security personnel increases, which inevitably increases the fatigue of security personnel, which makes proper security control difficult and security. Because the propensity, ability, experience, and skill level are different for each person in charge, it is virtually impossible to expect security control without deviation for each person in charge.

이런 문제점을 해결하기 위해, 최근 보안 업계에서는 보안 오케스트레이션, 자동화 및 대응(Security Orchestration, Automation and Response)을 의미하는 SOAR에 주목하고 있다.To solve this problem, the security industry is paying attention to SOAR, which stands for Security Orchestration, Automation and Response.

SOAR(Security Orchestration, Automation and Response)은 다양한 보안 위협에 대한 대응 프로세스를 자동화해 낮은 수준의 보안 이벤트는 사람의 도움없이 처리하고, 보안 사고 발생시 표준화된 업무 프로세스에 따라 직원이 쉽게 대응할 수 있게 도와주는 보안 솔루션을 말한다.SOAR (Security Orchestration, Automation and Response) automates the process of responding to various security threats so that low-level security events are handled without human assistance, and in the event of a security incident, it helps employees easily respond according to standardized work processes. Refers to a security solution.

즉, 상기 SOAR은 사람, 기술 및 프로세스를 조율하고 자동화함으로써 조직에서 사고 대응 효율성과 일관성을 개선하여, 사고 대응 자동화, 효율화, 리소스 최소화, 빠른 대응, 인력별 업무 결과의 상향 평준화, 업무성과 및 ROI(Return On Investment) 파악, 협업에 대한 운영의 효율성 증가를 가져오고자 하는 것이다.In other words, the SOAR improves the efficiency and consistency of incident response in the organization by coordinating and automating people, technologies, and processes, thereby automating incident response, efficiency, minimizing resources, rapid response, upward leveling of work results by manpower, work performance and ROI. (Return On Investment) This is to bring about an increase in the efficiency of operation for identification and collaboration.

일반적으로, 상기 SOAR(Security Orchestration, Automation and Response)은 SOA(Security Orchestration and Automation) 영역과, SIRP(Security Incident Response Platforms) 영역과, TIP(Threat Intelligence Platforms) 영역으로 구분된다.In general, the SOAR (Security Orchestration, Automation and Response) is divided into an SOA (Security Orchestration and Automation) area, a SIRP (Security Incident Response Platforms) area, and a TIP (Threat Intelligence Platforms) area.

상기 SOA(Security Orchestration and Automation) 영역은, 보안 대응팀의 단조롭고 반복적인 업무를 파악하고 그 업무에 소요되는 시간을 감소시켜주며, 툴 간의 워크플로우를 자동화시키는 영역을 가리킨다.The SOA (Security Orchestration and Automation) area refers to an area that identifies monotonous and repetitive tasks of the security response team, reduces the time required for the task, and automates the workflow between tools.

상기 SIRP(Security Incident Response Platforms) 영역은, 툴 간 자동화가 아니라, 프로세스를 자동화하여, 보안 사고가 발생하면 사고 유형별로 내부 보안 사고 대응 정책에 의해 미리 정해진 프로세스에 따라 어떤 업무를 할 것인지, 해당 업무가 누구에게 할당되고 언제까지 마무리해야 하는지를 관리하는 영역을 의미한다.The SIRP (Security Incident Response Platforms) area is not between tools, but by automating processes, and when a security incident occurs, what kind of work will be performed according to the process predetermined by the internal security incident response policy for each type of incident, It is an area that manages who is assigned to and by when.

상기 TIP(Threat Intelligence Platforms) 영역은, 조직에서 발생하는 보안 위협의 분석 업무를 지원하기 위해 여러 소스의 위협 데이터를 실시간으로 수집하고 상관 분석해 제공하며, 분석된 위협 정보 데이터를 기업의 기존 보안시스템이나 대응 솔루션과 연계해 위협 요소를 제공함으로써 보안 인력의 사전 대응력을 향상시키는 영역이다.The TIP (Threat Intelligence Platforms) area collects threat data from multiple sources in real time and provides correlation analysis to support the analysis of security threats occurring in the organization, and the analyzed threat information data It is an area that improves the proactive response of security personnel by providing threat elements in connection with response solutions.

상기 SOAR(Security Orchestration, Automation and Response)에서는 공격 유형별, 상황별 대응 프로세스를 가리키는 플레이북(Playbook)이 실행된다.In the SOAR (Security Orchestration, Automation and Response), a playbook indicating a response process by attack type and situation is executed.

상기 플레이북(Playbook)은 통상 초기에 정해진 이벤트를 기준으로 실행되는데, 구체적인 예를 들자면, 발생된 경보/이벤트 내의 필드 매칭, '공격명=sql injection schema(HTTP)' 등의 액션(Action)이 시작되고, 그 후에 IP가 악성 배포지인지 여부를 확인하며, 파일의 해쉬(Hash)를 확인하고, 분석가 승인하는 등의 대응 프로세스가 진행될 수 있다. 초기 액션의 시작은 전술한 경보/이벤트 공격명 뿐만 아니라, 'IP가 1.1.1.1 일 때' 등 다양한 방식에 의해서도 시작될 수 있으며, SOAR에 연동된 모든 데이터를 기준으로 할 수 있다.The playbook is usually executed based on an initially determined event. For a specific example, actions such as field matching in an alarm/event generated and'attack name = sql injection schema (HTTP)' are performed. It is started, and after that, a response process such as checking whether the IP is a malicious distribution location, checking the hash of the file, and approving the analyst may proceed. The initial action can be initiated not only by the aforementioned alarm/event attack name, but also by various methods such as'when IP is 1.1.1.1', and can be based on all data linked to SOAR.

문제는, 이러한 플레이북(Playbook)을 초기에 설정한 그대로 계속해서 사용할 수 없다는 점이다. The problem is that such a playbook cannot be used continuously as it was initially set.

지금도 새로운 위협은 계속적으로 만들어지고 있으며, 이러한 위협들이 갈수록 고도화, 정교화되고, 보안 위협에 대응하기 위한 경보/이벤트 발생 룰(Rule)은 계속 바뀌어 각각 다른 확인 프로세스와 대응, 차단 프로세스의 수행이 필요하기 때문에, 상기 플레이북(Playbook) 역시 그에 따라 업그레이드될 필요가 있는 것이다.Even now, new threats are constantly being created, and these threats are becoming more sophisticated and sophisticated, and the alarm/event generation rules for responding to security threats are constantly changing, requiring different verification processes, response, and blocking processes. Therefore, the Playbook also needs to be upgraded accordingly.

대형 사이트에서는 하루에 신규 룰이 몇 백 개씩 업데이트되고, 기존 룰의 커스터마이징(Customizing) 작업이 이루어지는데, 담당 보안 인력들은 일일이 대응 프로세스를 매번 새로 만들거나 업데이트 해야 하는 상황에 놓여 있다.At large sites, hundreds of new rules are updated a day and customizing of existing rules is performed, and security personnel in charge are in a situation where they must create or update the response process each time.

SOAR을 도입한 고객은 초기 고객사가 맞닥뜨린 위협에 대한 적절한 대응 프로세스를 고려하여 대응 프로세스인 플레이북(Playbook)을 공격 유형별로 구축할 것이나, 운영기간이 길어질수록, 고도화된 신규 위협이 계속적으로 쏟아져 나오는바, 이에 적절히 대응하기 위해서는 보안 운영 인력, 보안 분석가들이 지속적으로 대응 프로세스를 개발하고, 적절한 플레이북(Playbook)을 재설정해야 할 필요가 있다.Customers who have introduced SOAR will consider the appropriate response process to the threats encountered by the initial customer and build a response process, Playbook, by attack type, but the longer the operating period, the more advanced new threats continue to pour out. Bar, in order to respond appropriately to this, it is necessary for security operations personnel and security analysts to continuously develop a response process and reset an appropriate playbook.

하지만, 보안 인력이 수많은 플레이북(Playbook)을 관리하는게 쉽지 않으며, 보안 인력별로 경험, 능력, 숙련도 등이 상이해 대응의 편차가 발생할 수 밖에 없고, 이로 인해, 적절한 대응 프로세스가 수립되지 못하거나 잘못된 대응 프로세스의 설정에 의해 보안에 큰 허점이 발생할 수 있다.However, it is not easy for security personnel to manage numerous playbooks, and differences in response are inevitable due to differences in experience, ability, and skill level for each security personnel, and due to this, an appropriate response process cannot be established or There may be a big flaw in security by setting the response process.

이에 관련 업계에서는, 신규 플레이북(Playbook)의 개발 및 설정 등을 쉽고 빠르며 정확하게 적용할 수 있도록 하는 기술의 개발을 요구하고 있는 실정이다.Accordingly, the related industry is demanding the development of a technology that enables the development and setting of a new playbook to be applied easily, quickly and accurately.

한국등록특허공보 제10-1486307호 (2015.01.20.)Korean Registered Patent Publication No. 10-1486307 (2015.01.20.)

본 발명은 상기와 같은 문제점을 해결하고자 안출된 것으로,The present invention was devised to solve the above problems,

본 발명의 목적은, 각 단계별 대응 프로세스를 머신러닝 기반으로 학습하고, 운영기간 중 검증 및 업데이트를 통해 재학습시킴으로써, 신규 대응 프로세스 생성시 초기 선행 조건에 의해 다음 단계의 플레이북(Playbook) 액션(Action)을 권고/가이드 및 자동 설정해 줄 수 있도록 하는 것이다.It is an object of the present invention to learn each step-by-step response process based on machine learning, and by re-learning through verification and update during the operation period, when creating a new response process, a Playbook action ( Action) is recommended/guided and automatically set.

본 발명의 다른 목적은, 학습데이터를 초기에 정의된 플레이북(Playbook) 리스트를 기반으로 할 수 있으며, 운영자가 신규로 생성하여 발생된 대응 프로세스로 학습데이터를 업데이트하여 모델을 개선(재학습 또는 증분)할 수 있도록 하는 것이다.Another object of the present invention is that the learning data may be based on an initially defined playbook list, and the model is improved by updating the learning data with the corresponding process newly created and generated by the operator (retraining or Incremental).

본 발명의 또 다른 목적은, 새로운 위협에 대응하기 위해 자동 대응 프로세스인 플레이북(Playbook)을 매번 새롭게 만들거나 업데이트 함에 따라 발생하는 노고, 시간, 비용을 줄이고, 프로세스 설정을 보안 인력에 의해 진행했을 때 발생할 수 있는 보안 인력간의 경험, 능력 등에 따른 편차와 설정 오류 등의 문제를 차단하는 것이다.Another object of the present invention is to reduce the labor, time, and cost that occur as the automatic response process, Playbook, is newly created or updated every time to respond to new threats, and the process setting must be performed by security personnel. This is to block problems such as deviations and configuration errors between security personnel, which may occur when security personnel have experience and capabilities.

본 발명의 또 다른 목적은, SOAR(Security Orchestration, Automation and Response)을 도입한 뒤 운영기간이 길어지더라도, 학습에 의해 대응 프로세스가 계속적으로 자동 생성되어 업데이트 되도록 함으로써, 진화하는 보안 위협으로 시스템을 안전하게 보호하는 것이다.Another object of the present invention is that even if the operating period is prolonged after the introduction of SOAR (Security Orchestration, Automation and Response), the response process is continuously automatically generated and updated by learning, thereby making the system a It is to protect it safely.

본 발명의 또 다른 목적은, 머신러닝 기반의 대응 프로세스 자동 생성 및 권고 기술을 적용함으로써, 신규 대응 프로세스의 개발 및 설정을 쉽고 빠르며 정확하게 할 수 있도록 하면서, 운영자의 부담을 덜어주는 것이다.Another object of the present invention is to reduce the burden on the operator while making it possible to quickly and accurately develop and set a new response process by applying a machine learning-based response process automatic generation and recommendation technology.

본 발명의 또 다른 목적은, 이벤트 또는 공격유형 등에 따라 자동 대응 프로세스를 학습시킬 수 있도록 하는 것이다.Another object of the present invention is to be able to learn an automatic response process according to an event or attack type.

본 발명의 또 다른 목적은, 머신러닝 시스템에서 데이터 조건(공격명, 공격유형 등)에 따라 대응 프로세스의 선후행 액션을 학습할 수 있도록 하는 것이다.Another object of the present invention is to enable a machine learning system to learn the preceding and following actions of a response process according to data conditions (attack name, attack type, etc.).

본 발명의 또 다른 목적은, 초기 액션에 대한 후행 액션이 자동 완성 또는 권고될 수 있도록 하는 것이다.Another object of the present invention is to enable automatic completion or recommendation of a subsequent action to an initial action.

본 발명의 또 다른 목적은, 후행 액션에 대한 그 후행 액션이 자동 완성 또는 권고될 수 있도록 하는 것이다.Another object of the present invention is to enable the subsequent action to be auto-completed or recommended for the subsequent action.

본 발명의 또 다른 목적은, 중간 액션에 대한 그 선후행 액션이 자동 완성 또는 권고될 수 있도록 하는 것이다.Another object of the present invention is to enable automatic completion or recommendation of an action that precedes or follows an intermediate action.

본 발명의 또 다른 목적은, 신규 위협에 관한 데이터가 입력되면, 확률상 가장 근사치에 맞는 플레이북 리스트를 권고하여 적절한 플레이북이 생성될 수 있도록 하는 것이다.Another object of the present invention is to recommend a playbook list that fits the closest probability in case data on a new threat is input so that an appropriate playbook can be generated.

본 발명은 앞서 본 목적을 달성하기 위해서 다음과 같은 구성을 가진 실시예에 의해서 구현된다.The present invention is implemented by an embodiment having the following configuration in order to achieve the above object.

본 발명의 일 실시예에 따르면, 본 발명은, 플레이북을 저장하고 이벤트/공격유형에 따라 플레이북을 실행해 대응하는 보안자동화대응부와, 상기 보안자동화대응부와 연결되어 설정된 플레이북 액션 데이터를 학습해 모델을 생성하고 생성된 모델로 설정된 플레이북 액션 데이터에 대한 전후 플레이북 액션 데이터를 예측하는 머신러닝부를 포함하는 것을 특징으로 한다.According to an embodiment of the present invention, the present invention stores a playbook and executes a playbook according to an event/attack type to respond to a security automation response unit, and playbook action data set in connection with the security automation response unit. It characterized in that it comprises a machine learning unit that generates a model by learning to, and predicts playbook action data before and after the playbook action data set as the generated model.

본 발명의 다른 실시예에 따르면, 본 발명은, 상기 보안자동화대응부는, 이벤트를 수집하는 이벤트수집모듈과, 이벤트별/공격유형별 플레이북을 등록하는 플레이북플로우설정모듈과, 일측은 상기 이벤트수집모듈과 연결되고 타측은 상기 플레이북플로우설정모듈과 연결되어 이벤트별/공격유형별로 플레이북을 실행하는 사고대응자동화엔진모듈과, 일측은 상기 사고대응자동화엔진모듈과 연결되고 타측은 상기 플레이북플로우설정모듈과 연결되어 실행된 사고 대응 프로세스를 출력하고, 상기 플레이북플로우설정모듈로부터 설정된 플레이북 액션 데이터를 수신하는 사고대응관리모듈을 포함하는 것을 특징으로 한다.According to another embodiment of the present invention, the security automation response unit includes an event collection module for collecting events, a playbook flow setting module for registering playbooks for each event/attack type, and one side of the event collection An accident response automation engine module that is connected to the module and the other side is connected to the playbook flow setting module to execute playbooks by event/attack type, and one side is connected to the accident response automation engine module, and the other side is the playbook flow. It characterized in that it comprises an accident response management module for outputting the accident response process, which is connected to the setting module and executed, and receives the playbook action data set from the playbook flow setting module.

본 발명의 또 다른 실시예에 따르면, 본 발명은, 상기 보안자동화대응부는, 학습을 위해 상기 사고대응관리모듈과 연결되어 플레이북 액션 데이터를 상기 머신러닝부로 전송하는 학습데이터추출모듈을 포함하는 것을 특징으로 한다.According to another embodiment of the present invention, the security automation response unit comprises a learning data extraction module connected to the accident response management module for learning and transmitting playbook action data to the machine learning unit. It is characterized.

본 발명의 또 다른 실시예에 따르면, 본 발명은, 상기 머신러닝부는, 상기 학습데이터추출모듈과 연결되어, 플레이북 액션 데이터를 이용하여 각 액션별 전후상황의 학습을 수행해 모델을 생성하는 학습모듈을 포함하는 것을 특징으로 한다.According to another embodiment of the present invention, the machine learning unit is a learning module that is connected to the learning data extraction module, and generates a model by learning the context of each action using playbook action data. It characterized in that it comprises a.

본 발명의 또 다른 실시예에 따르면, 본 발명은, 상기 머신러닝부는, 상기 학습모듈과 연결되어 학습에 의해 생성된 모델을 저장하는 모델저장모듈을 포함하는 것을 특징으로 한다.According to another embodiment of the present invention, the machine learning unit includes a model storage module connected to the learning module to store a model generated by learning.

본 발명의 또 다른 실시예에 따르면, 본 발명은, 상기 보안자동화대응부는, 예측을 위해 상기 사고대응관리모듈과 연결되어 설정된 플레이북 액션 데이터를 상기 머신러닝부로 전송하는 예측데이터추출모듈을 포함하는 것을 특징으로 한다.According to another embodiment of the present invention, the security automation response unit includes a prediction data extraction module that is connected to the accident response management module for prediction and transmits set playbook action data to the machine learning unit. It features.

본 발명의 또 다른 실시예에 따르면, 본 발명은, 상기 머신러닝부는, 일측은 상기 예측데이터추출모듈과 연결되고, 타측은 상기 모델저장모듈과 연결되어, 상기 학습모듈을 통해 생성된 모델에 상기 예측데이터추출모듈로부터 전송받은 설정된 플레이북 액션 데이터를 입력해 설정된 플레이북 액션 데이터에 대한 전후 플레이북 액션 데이터를 예측하는 예측모듈을 포함하는 것을 특징으로 한다.According to another embodiment of the present invention, the machine learning unit, one side is connected to the prediction data extraction module, the other side is connected to the model storage module, the model generated through the learning module It characterized in that it comprises a prediction module for predicting the playbook action data before and after the set playbook action data by inputting the set playbook action data transmitted from the prediction data extraction module.

본 발명의 또 다른 실시예에 따르면, 본 발명은, 상기 예측모듈은, 상기 사고대응관리모듈과 연결되어 상기 사고대응관리모듈에 예측된 플레이북 액션 데이터를 전송하는 것을 특징으로 한다.According to another embodiment of the present invention, the prediction module is connected to the accident response management module to transmit the predicted playbook action data to the accident response management module.

본 발명의 또 다른 실시예에 따르면, 본 발명은, 상기 사고대응관리모듈은, 상기 플레이북플로우설정모듈에 예측된 플레이북 액션 데이터를 전송해 플레이북을 자동 완성하는 것을 특징으로 한다.According to another embodiment of the present invention, the accident response management module is characterized in that the playbook is automatically completed by transmitting the predicted playbook action data to the playbook flow setting module.

본 발명의 또 다른 실시예에 따르면, 본 발명은, 보안자동화대응부가 플레이북을 저장하고 이벤트/공격유형에 따라 플레이북을 실행해 대응하는 보안자동화대응단계와, 상기 보안자동화대응단계 이후에, 머신러닝부의 학습모듈이 플레이북 액션 데이터를 이용하여 각 액션별 전후상황의 학습을 수행해 모델을 생성하는 학습단계와, 상기 학습단계 이후에, 머신러닝부의 예측모듈이 상기 학습모듈이 생성한 모델로 설정된 플레이북 액션 데이터에 대한 전후 플레이북 액션 데이터를 예측하는 예측단계를 포함하는 것을 특징으로 한다.According to another embodiment of the present invention, the present invention provides a security automation response step corresponding by storing the playbook by the security automation response unit and executing the playbook according to the event/attack type, and after the security automation response step, A learning step in which the learning module of the machine learning unit generates a model by learning the context of each action using playbook action data, and after the learning step, the prediction module of the machine learning unit uses the model generated by the learning module. It characterized in that it comprises a prediction step of predicting the playbook action data before and after the set playbook action data.

본 발명의 또 다른 실시예에 따르면, 본 발명은, 상기 학습단계는, 보안자동화대응부의 학습데이터추출모듈이 학습을 위해 보안자동화대응부의 사고대응관리모듈과 연결되어 플레이북 액션 데이터를 상기 머신러닝부로 전송하는 학습데이터추출단계와, 상기 학습데이터추출단계 이후에, 상기 학습모듈이 상기 학습데이터추출모듈과 연결되어, 플레이북 액션 데이터를 이용하여 각 액션별 전후상황의 학습을 수행해 모델을 생성하는 모델생성단계를 포함하는 것을 특징으로 한다.According to another embodiment of the present invention, in the learning step, the learning data extraction module of the security automation response unit is connected to the incident response management module of the security automation response unit for learning, so that the playbook action data is transmitted to the machine learning. After the learning data extraction step transmitted to the part and the learning data extraction step, the learning module is connected to the learning data extraction module, and the learning of the context for each action is performed using playbook action data to generate a model. It characterized in that it comprises a model generation step.

본 발명의 또 다른 실시예에 따르면, 본 발명은, 상기 예측단계는, 보안자동화대응부의 예측데이터추출모듈이 예측을 위해 보안자동화대응부의 사고대응관리모듈과 연결되어 설정된 플레이북 액션 데이터를 머신러닝부의 예측모듈로 전송하는 예측데이터추출단계와, 상기 예측데이터추출단계 이후에, 상기 예측모듈이 상기 예측데이터추출모듈과 연결되어, 상기 학습모듈을 통해 생성된 모델에 상기 예측데이터추출모듈로부터 전송받은 설정된 플레이북 액션 데이터를 입력해 설정된 플레이북 액션 데이터에 대한 전후 플레이북 액션 데이터를 예측하는 액션예측단계를 포함하는 것을 특징으로 한다.According to another embodiment of the present invention, in the prediction step, the prediction data extraction module of the security automation response unit is connected to the incident response management module of the security automation response unit for prediction, and the set playbook action data is machine-learned. The prediction data extraction step transmitted to the negative prediction module, and after the prediction data extraction step, the prediction module is connected to the prediction data extraction module, and the model generated through the learning module is transmitted from the prediction data extraction module. And an action prediction step of inputting set playbook action data to predict before and after playbook action data for the set playbook action data.

본 발명의 또 다른 실시예에 따르면, 본 발명은, 상기 플레이북의 자동 생성 방법은, 상기 예측단계 이후에, 상기 예측모듈이 보안자동화대응부의 사고대응관리모듈에 예측된 플레이북 액션 데이터를 전송하는 예측액션전송단계를 추가로 포함하는 것을 특징으로 한다.According to another embodiment of the present invention, in the method of automatically generating the playbook, after the prediction step, the prediction module transmits the predicted playbook action data to the incident response management module of the security automation response unit. It characterized in that it further comprises a predictive action transmission step.

본 발명의 또 다른 실시예에 따르면, 본 발명은, 상기 플레이북의 자동 생성 방법은, 상기 예측액션전송단계 이후에, 상기 사고대응관리모듈이 보안자동화대응부의 플레이북플로우설정모듈에 예측된 플레이북 액션 데이터를 전송해 플레이북을 자동 완성하는 플레이북자동완성단계를 추가로 포함하는 것을 특징으로 한다.According to another embodiment of the present invention, in the present invention, the method for automatically generating the playbook includes, after the predicted action transmission step, the accident response management module is predicted by the playbook flow setting module of the security automation response unit. It characterized in that it further comprises a playbook automatic completion step of automatically completing the playbook by transmitting the book action data.

본 발명은 앞서 본 실시예와 하기에 설명할 구성과 결합, 사용관계에 의해 다음과 같은 효과를 얻을 수 있다.The present invention can obtain the following effects by the configuration, combination, and use relationship that will be described below with the present embodiment.

본 발명은, 각 단계별 대응 프로세스를 머신러닝 기반으로 학습하고, 운영기간 중 검증 및 업데이트를 통해 재학습시킴으로써, 신규 대응 프로세스 생성시 초기 선행 조건에 의해 다음 단계의 플레이북(Playbook) 액션(Action)을 권고/가이드 및 자동 설정해 줄 수 있도록 하는 효과를 가진다.In the present invention, by learning each step-by-step response process based on machine learning, and re-learning through verification and update during the operation period, a playbook action of the next step according to an initial prerequisite when creating a new response process It has the effect of making recommendations/guides and automatic setting.

본 발명은, 학습데이터를 초기에 정의된 플레이북(Playbook) 리스트를 기반으로 할 수 있으며, 운영자가 신규로 생성하여 발생된 대응 프로세스로 학습데이터를 업데이트하여 모델을 개선(재학습 또는 증분)할 수 있도록 하는 효과를 도출한다.In the present invention, the learning data can be based on an initially defined playbook list, and the model can be improved (retrained or incremented) by updating the learning data with the corresponding process newly created and generated by the operator. Derives the effect that enables it.

본 발명은, 새로운 위협에 대응하기 위해 자동 대응 프로세스인 플레이북(Playbook)을 매번 새롭게 만들거나 업데이트 함에 따라 발생하는 노고, 시간, 비용을 줄이고, 프로세스 설정을 보안 인력에 의해 진행했을 때 발생할 수 있는 보안 인력간의 경험, 능력 등에 따른 편차와 설정 오류 등의 문제를 차단하는 효과가 있다.The present invention reduces the labor, time, and cost that occur as an automatic response process, Playbook, is newly created or updated every time to respond to new threats, and can occur when the process setting is performed by security personnel. It has the effect of blocking problems such as deviations and setting errors between security personnel.

본 발명은, SOAR(Security Orchestration, Automation and Response)을 도입한 뒤 운영기간이 길어지더라도, 학습에 의해 대응 프로세스가 계속적으로 자동 생성되어 업데이트 되도록 함으로써, 진화하는 보안 위협으로 시스템을 안전하게 보호하는 효과를 가진다.In the present invention, even if the operating period is prolonged after the introduction of SOAR (Security Orchestration, Automation and Response), the response process is continuously automatically generated and updated by learning, thereby protecting the system safely with evolving security threats. Have.

본 발명은, 머신러닝 기반의 대응 프로세스 자동 생성 및 권고 기술을 적용함으로써, 신규 대응 프로세스의 개발 및 설정을 쉽고 빠르며 정확하게 할 수 있도록 하면서, 운영자의 부담을 덜어주는 효과를 도출한다.The present invention, by applying a machine learning-based response process automatic generation and recommendation technology, enables the development and setting of a new response process to be made easily, quickly and accurately, while reducing the burden on the operator.

본 발명은, 이벤트 또는 공격유형 등에 따라 자동 대응 프로세스를 학습시킬 수 있도록 하는 효과가 있다.The present invention has the effect of allowing an automatic response process to be learned according to an event or attack type.

본 발명은, 머신러닝 시스템에서 데이터 조건(공격명, 공격유형 등)에 따라 대응 프로세스의 선후행 액션을 학습할 수 있도록 하는 효과를 가진다.The present invention has the effect of allowing a machine learning system to learn the preceding and following actions of a response process according to data conditions (attack name, attack type, etc.).

본 발명은, 초기 액션에 대한 후행 액션이 자동 완성 또는 권고될 수 있도록 하는 효과를 도출한다.The present invention derives an effect of allowing a subsequent action to an initial action to be automatically completed or recommended.

본 발명은, 후행 액션에 대한 그 후행 액션이 자동 완성 또는 권고될 수 있도록 하는 효과가 있다.The present invention has the effect of allowing the subsequent action to be automatically completed or recommended for the subsequent action.

본 발명은, 중간 액션에 대한 그 선후행 액션이 자동 완성 또는 권고될 수 있도록 하는 효과를 가진다.The present invention has the effect of allowing the preceding and following actions to be automatically completed or recommended for intermediate actions.

본 발명은, 신규 위협에 관한 데이터가 입력되면, 확률상 가장 근사치에 맞는 플레이북 리스트를 권고하여 적절한 플레이북이 생성될 수 있도록 하는 효과를 도출한다.The present invention derives an effect of generating an appropriate playbook by recommending a playbook list that best approximates probability when data on a new threat is input.

도 1은 종래의 보안 관제 시스템을 도시한 도면.
도 2는 본 발명의 일 실시예에 따른 머신러닝을 이용한 플레이북 자동 생성 시스템을 도시한 도면.
도 3은 도 2의 보안자동화대응부와 머신러닝부의 일 실시예를 도시한 도면.
도 4는 본 발명의 일 실시예에 따른 머신러닝을 이용한 플레이북 자동 생성 방법을 도시한 도면.
도 5는 본 발명의 다른 실시예에 따른 머신러닝을 이용한 플레이북 자동 생성 방법을 도시한 도면.1 is a view showing a conventional security control system.
2 is a diagram illustrating a system for automatically generating playbooks using machine learning according to an embodiment of the present invention.
3 is a diagram showing an embodiment of a security automation response unit and a machine learning unit of FIG. 2;
4 is a diagram illustrating a method for automatically generating playbooks using machine learning according to an embodiment of the present invention.
5 is a diagram illustrating a method for automatically generating playbooks using machine learning according to another embodiment of the present invention.

이하에서는 본 발명에 따른 머신러닝을 이용한 플레이북 자동 생성 시스템 및 그 방법의 바람직한 실시 예들을 첨부된 도면을 참고하여 상세히 설명한다. 하기에서 본 발명을 설명함에 있어 공지의 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략하도록 한다. 특별한 정의가 없는 한 본 명세서의 모든 용어는 본 발명이 속하는 기술분야의 통상의 지식을 가진 기술자가 이해하는 당해 용어의 일반적 의미와 동일하고 만약 본 명세서에서 사용된 용어의 의미와 충돌하는 경우에는 본 명세서에서 사용된 정의에 따른다.Hereinafter, preferred embodiments of the automatic playbook generation system and method using machine learning according to the present invention will be described in detail with reference to the accompanying drawings. In the following description of the present invention, if it is determined that a detailed description of a known function or configuration may unnecessarily obscure the subject matter of the present invention, a detailed description thereof will be omitted. Unless otherwise defined, all terms in this specification are the same as the general meanings of the terms understood by those of ordinary skill in the art to which the present invention belongs, and in case of conflict with the meanings of terms used in the present specification, the present disclosure According to the definitions used in the specification.

도 2는 본 발명의 일 실시예에 따른 머신러닝을 이용한 플레이북 자동 생성 시스템(1)을 도시한 도면으로, 도 2를 참고하면, 상기 머신러닝을 이용한 플레이북 자동 생성 시스템(1)은, 보안관제부(10), 보안자동화대응부(30), 머신러닝부(50)를 포함한다.2 is a view showing an automatic playbook generation system 1 using machine learning according to an embodiment of the present invention. Referring to FIG. 2, the automatic playbook generation system 1 using machine learning, It includes a security control unit 10, a security automation response unit 30, and a machine learning unit 50.

상기 보안관제부(10)는, 빅데이터 기반 보안관제 시스템으로, 경보/이벤트를 생성해 후술할 보안자동화대응부(30)의 이벤트수집모듈(31)에 상기 경보/이벤트를 전달하는 구성을 말한다. 이를 위해 상기 보안관제부(10)는 이벤트수집모듈(31)과 연결될 수 있다. The security control unit 10 is a big data-based security control system that generates an alarm/event and transmits the alarm/event to the event collection module 31 of the security automation response unit 30 to be described later. To this end, the security control unit 10 may be connected to the event collection module 31.

상기 보안자동화대응부(30)는, 플레이북(Playbook)을 저장하고 이벤트/공격유형에 따라 플레이북(Playbook)을 실행해 대응하는 구성을 말한다. 바람직하게는 상기 보안자동화대응부(30)는 SOAR(Security Orchestration, Automation and Response)이며, 플레이북(Playbook)은, 상기 SOAR에서 공격 유형별, 상황별 대응 자동화 프로세스를 의미한다.The security automation response unit 30 refers to a configuration that stores a playbook and executes a playbook according to an event/attack type to respond. Preferably, the security automation response unit 30 is a SOAR (Security Orchestration, Automation and Response), and a playbook means an automated process for each attack type and situation in the SOAR.

플레이북(Playbook)은 통상 초기 설정에 의해 1 단계 또는 다단계 확인 항목(예를 들어, '공격명 method=sql injection' 이고 risk=2)과, 자동프로세스단계로 구분할 수 있는데, 각 단계별로 선행 조건 또는 대응 액션(Action)에 따라 다음 단계를 설정하는 방식이다. 예를 들어, 공격명이 이메일 악성코드 이벤트일 때, 이메일 서버에서 악성코드를 가져오고, 메일 내 url을 질의하거나 악성코드를 추출하여 해시(Hash)를 질의 하는 순으로 진행하여 이메일 서버에서 해당 메일을 삭제할 수 있다.Playbooks can usually be classified into one-step or multi-step verification items (for example,'attack name method=sql injection' and risk=2) and automatic process steps by initial setting. Prerequisites for each step Alternatively, the next step is set according to the corresponding action. For example, when the attack name is an email malicious code event, the email server retrieves the malicious code from the email server, queries the url in the email, or extracts the malicious code and queries the hash. Can be deleted.

상기 보안자동화대응부(30)를 통해, 다양한 보안 위협에 대한 대응 프로세스를 자동화해 낮은 수준의 보안 이벤트는 사람의 도움없이 처리하고, 보안 사고 발생시 표준화된 업무 프로세스에 따라 직원이 쉽게 대응하도록 할 수 있다.Through the security automation response unit 30, the response process for various security threats is automated, so that low-level security events can be handled without human assistance, and when a security incident occurs, employees can easily respond according to standardized work processes. have.

다만, 계속적으로 새로운 위협이 만들어지고, 이러한 위협들이 갈수록 정교화, 고도화 되고 있는바, 초기에 설정한 플레이북(Playbook)을 그대로 계속해서 사용할 수 없으며, 지속적인 업그레이드가 필요하다. 종래에는 보안 운영 인력, 보안 분석가들이 직접 지속적으로 대응 프로세스를 개발하고, 적절한 플레이북(Playbook)을 재설정하였는데, 보안 인력별로 경험, 능력, 숙련도 등이 상이해 대응의 편차가 발생할 수 밖에 없고, 이로 인해, 적절한 대응 프로세스가 수립되지 못하거나 잘못된 대응 프로세스의 설정에 의해 보안에 큰 허점이 발생할 수 있었다.However, as new threats are continuously created, and these threats are becoming more sophisticated and advanced, the playbook set in the beginning cannot be used continuously, and continuous upgrades are required. In the past, security operations personnel and security analysts directly continuously developed a response process and reset an appropriate playbook. However, differences in response were inevitable due to differences in experience, ability, and skill level by security personnel. For this reason, an appropriate response process could not be established, or a large flaw could occur in security due to incorrect setting of the response process.

그러나, 본 발명은 상기 보안자동화대응부(30)에 후술할 머신러닝부(50)를 결합하여, 상기 플레이북(Playbook)이 자동으로 생성되도록 하고, 보안 인력에 플레이북(Playbook)을 권고(가이드)할 수 있게 된다.However, in the present invention, by combining the machine learning unit 50 to be described later with the security automation response unit 30, the playbook is automatically generated, and a playbook is recommended to the security personnel ( Guide).

도 3을 참고하면, 이러한 상기 보안자동화대응부(30)는, 이벤트수집모듈(31), 플레이북플로우설정모듈(32), 사고대응자동화엔진모듈(33), 사고대응관리모듈(34), 학습데이터추출모듈(35), 예측데이터추출모듈(36)을 포함한다.Referring to FIG. 3, the security automation response unit 30 includes an event collection module 31, a playbook flow setting module 32, an accident response automation engine module 33, an accident response management module 34, And a learning data extraction module 35 and a prediction data extraction module 36.

상기 이벤트수집모듈(31)은, 이벤트를 수집하는 구성으로, 상기 보안관제부(10)와 연결되어, 보안관제부(10)가 생성한 경보/이벤트를 수신하게 된다. 상기 이벤트수집모듈(31)은 후술할 사고대응자동화엔진모듈(33)과 연결되어 수집된 데이터들이 DDoS(Distributed Denial of Service) 대응 장비, 침입 차단 시스템(File Wall, FW), 위협 관리 시스템(Threat Management System, TMS), 침입 방지 시스템(Instruction Protection System, IPS), 웹 어플리케이션 방화벽(Web Application Firewall, WAF) 등 수많은 보안 관제 장치에 의해 모니터링될 수 있다.The event collection module 31 is configured to collect events and is connected to the security control unit 10 to receive the alarm/event generated by the security control unit 10. The event collection module 31 is connected to an accident response automation engine module 33 to be described later, and the collected data is DDoS (Distributed Denial of Service) response equipment, intrusion prevention system (File Wall, FW), threat management system (Threat Management System, TMS), Instruction Protection System (IPS), Web Application Firewall (WAF), etc. can be monitored by numerous security control devices.

상기 플레이북플로우설정모듈(32)은, 이벤트별/공격유형별 대응 자동화 프로세스인 플레이북(Playbook)을 등록하는 구성을 말한다. 상기 플레이북플로우설정모듈(32)에 의해 후술할 사고대응자동화엔진모듈(33)의 동작이 결정되는바, 보안 분석가는 이벤트별/공격유형별 조건에 맞는 액션(Action)에 대해 자동화 엔진이 자동화 대응 프로세스를 실행할 수 있도록 상기 플레이북플로우설정모듈(32)에 복수의 플레이북(Playbook) 플로우를 설정할 수 있다. 상기 플레이북플로우설정모듈(32)은, 후술할 사고대응관리모듈(34)과 연결되어, 설정된 플레이북 액션 데이터를 사고대응관리모듈(34)에 전송하고, 사고대응관리모듈(34)로부터 예측된 플레이북 액션 데이터를 전송받아 플레이북을 자동 업데이트할 수 있다.The playbook flow setting module 32 refers to a configuration for registering a playbook, which is an automated process corresponding to each event/attack type. The operation of the accident response automation engine module 33, which will be described later, is determined by the playbook flow setting module 32, and the security analyst automatically responds to the actions that meet the conditions for each event/attack type. A plurality of playbook flows may be set in the playbook flow setting module 32 so that the process can be executed. The playbook flow setting module 32 is connected to the accident response management module 34 to be described later, transmits the set playbook action data to the accident response management module 34, and predicts from the accident response management module 34. It is possible to automatically update the playbook by receiving the playbook action data.

상기 사고대응자동화엔진모듈(33)은, 일측은 상기 이벤트수집모듈(31)과 연결되고 타측은 상기 플레이북플로우설정모듈(32)과 연결되어 이벤트별/공격유형별로 대응 자동화 프로세스인 플레이북을 실행하는 구성을 말한다. 상기 사고대응자동화엔진모듈(33)에 의해 DDoS(Distributed Denial of Service) 대응 장비, 침입 차단 시스템(File Wall, FW), 위협 관리 시스템(Threat Management System, TMS), 침입 방지 시스템(Instruction Protection System, IPS), 웹 어플리케이션 방화벽(Web Application Firewall, WAF) 등이 자동으로 실행될 수 있게 된다.The accident response automation engine module 33, one side is connected to the event collection module 31 and the other side is connected to the playbook flow setting module 32, the playbook, which is a response automation process for each event/attack type. It refers to the configuration to be executed. DDoS (Distributed Denial of Service) response equipment, intrusion prevention system (File Wall, FW), threat management system (Threat Management System, TMS), intrusion prevention system (Instruction Protection System) by the accident response automation engine module 33 IPS), Web Application Firewall (WAF), etc. can be automatically executed.

상기 사고대응관리모듈(34)은, 일측은 상기 사고대응자동화엔진모듈(33)과 연결되고 타측은 상기 플레이북플로우설정모듈(32)과 연결되어 실행된 사고 대응 프로세스를 출력하고, 상기 플레이북플로우설정모듈로(32)부터 설정된 플레이북 액션 데이터를 수신하는 구성을 말한다. 상기 사고대응관리모듈(34)에 의해 실행된 사고 대응 프로세스는 보안 분석가가 보는 화면에 표출될 수 있다. 상기 사고대응관리모듈(34)은 후술할 학습데이터추출모듈(35)과 연결되어, 학습데이터추출모듈(35)에 플레이북 액션 데이터를 전송할 수 있고, 후술할 예측데이터추출모듈(36)과도 연결되어, 예측데이터추출모듈(36)에 설정된 플레이북 액션 데이터를 전송할 수도 있으며, 예측데이터추출모듈(36)로부터 예측된 플레이북 액션 데이터를 전송받아 상기 플레이북플로우설정모듈(32)에 저장되는 플레이북(Playbook)을 자동으로 완성할 수 있다. The accident response management module 34, one side is connected to the accident response automation engine module 33, the other side is connected to the playbook flow setting module 32 and outputs an executed accident response process, and the playbook Refers to a configuration for receiving playbook action data set from the flow setting module 32. The incident response process executed by the incident response management module 34 may be displayed on a screen viewed by a security analyst. The accident response management module 34 is connected to a learning data extraction module 35 to be described later, and can transmit playbook action data to the learning data extraction module 35, and is also connected to a prediction data extraction module 36 to be described later. As a result, playbook action data set in the prediction data extraction module 36 may be transmitted, and play stored in the playbook flow setting module 32 by receiving the predicted playbook action data from the prediction data extraction module 36 You can automatically complete a Playbook.

또한, 상기 사고대응관리모듈(34)은 후술할 예측데이터추출모듈(36)로부터 전송 받은 예측된 플레이북 액션 데이터가 보안 분석가의 화면에 출력되도록 함으로써, 초기 설정 액션에 맞는 후행 액션을 권고/가이드하거나, 후행 액션 선택 후 다시 후행 액션을 권고/가이드할 수도 있고, 중간 액션 수정시 선행/후행 경우의 수에 따라 권고/가이드를 할 수도 있으며, 신규 위협 조건/데이터 입력시 확률상 제일 근사치에 맞는 플레이북(Playbook) 리스트를 권고/가이드할 수도 있다.In addition, the accident response management module 34 recommends/guides a subsequent action suitable for the initial setting action by allowing the predicted playbook action data transmitted from the prediction data extraction module 36 to be described later to be output on the screen of the security analyst. Or, after selecting the following action, the following action can be recommended/guided again, or when modifying an intermediate action, it can be recommended/guided according to the number of preceding/following cases. When entering new threat conditions/data, You can also recommend/guide a list of playbooks.

상기 학습데이터추출모듈(35)은, 학습을 위해 상기 사고대응관리모듈(34)과 연결되어 플레이북 액션 데이터를 머신러닝부(50)로 전송하는 구성을 말한다. 상기 학습데이터추출모듈(35)은 이벤트/공격유형/플레이북별로 수행/확인/수집된 데이터를 머신러닝부(50)로 전송할 수 있다. 이를 위해 상기 학습데이터추출모듈(35)은 후술할 머신러닝부(50)의 학습모듈(51)과 연결된다.The learning data extraction module 35 is connected to the accident response management module 34 for learning and transmits playbook action data to the machine learning unit 50. The learning data extraction module 35 may transmit data performed/checked/collected for each event/attack type/playbook to the machine learning unit 50. To this end, the learning data extraction module 35 is connected to the learning module 51 of the machine learning unit 50 to be described later.

상기 예측데이터추출모듈(36)은, 예측을 위해 상기 사고대응관리모듈(34)과 연결되어 상기 사고대응관리모듈(34)이 상기 플레이북플로우설정모듈(32)로부터 전송 받은 설정된 플레이북 액션 데이터를 머신러닝부(50)로 전송하는 구성을 가리킨다. 머신러닝부(50)로 전송된 설정된 플레이북 액션 데이터는 학습모듈(51)에 의해 생성된 모델에 의해 해당 액션에 대한 전후 액션 데이터가 예측될 수 있다. 바람직하게는 상기 학습데이터추출모듈(35)과 상기 예측데이터추출모듈(36)은 도 3에 도시된 바와 같이, 독립적으로 분리 구성될 수 있다.The prediction data extraction module 36 is connected to the accident response management module 34 for prediction, and the set playbook action data received by the accident response management module 34 from the playbook flow setting module 32 Refers to a configuration for transmitting to the machine learning unit 50. As for the set playbook action data transmitted to the machine learning unit 50, before and after action data for the corresponding action may be predicted by the model generated by the learning module 51. Preferably, the learning data extraction module 35 and the prediction data extraction module 36 may be independently configured as shown in FIG. 3.

상기 머신러닝부(50)는, 상기 보안자동화대응부(30)와 연결되어 설정된 플레이북 액션 데이터를 학습해 모델을 생성하고 생성된 모델로 설정된 플레이북 액션 데이터에 대한 전후 플레이북 액션 데이터를 예측하는 구성을 말한다. 상기 머신러닝부(50)를 구성해, 보안 인력이 고도화 되는 위협에 따라 플레이북(Playbook)을 갱신하고자 할 때, 보안 인력의 개입 없이고 플레이북(Playbook)이 자동으로 갱신되도록 할 수 있으며, 보안 인력에게 플레이북(Playbook)의 갱신 방향을 안내 할 수도 있는바, 보안 인력의 업무 부담이 크게 줄어들게 되고, 플레이북(Playbook)이 보안 인력별로 편차가 심하게 변경되거나, 잘못된 대응 프로세스의 설정에 의해 보안상에 문제가 발생하는 것을 방지할 수 있게 된다. 이러한 상기 머신러닝부(50)는, 학습모듈(51), 모델저장모듈(52), 예측모듈(53)을 포함한다.The machine learning unit 50 generates a model by learning playbook action data set in connection with the security automation response unit 30, and predicts playbook action data before and after the playbook action data set as the generated model. It refers to the composition. By configuring the machine learning unit 50, when a security manpower wants to update a playbook according to an advanced threat, the playbook can be automatically updated without the intervention of the security manpower, The security personnel can also be guided in the direction of the update of the Playbook, which greatly reduces the workload of the security personnel, and the Playbook is severely changed by security personnel, or due to the setting of an incorrect response process. Security problems can be prevented. The machine learning unit 50 includes a learning module 51, a model storage module 52, and a prediction module 53.

상기 학습모듈(51)은, 상기 학습데이터추출모듈(35)과 연결되어, 플레이북 액션 데이터를 이용하여 각 액션별 전후상황의 학습을 수행해 모델을 생성하는 구성을 말한다. 초기 설정되는 대응 프로세스와 운영 중 설정한 대응 프로세스의 조건, 단계, 대응 액션이 학습데이터가 될 수 있다. 즉, 상기 학습모듈(51)을 통해 SOAR 자동 대응 프로세스가 학습되며, 이러한 학습은 지도학습에 의해 예측 모델을 생성하는 것으로 볼 수 있다. 상기 학습모듈(51)은 후술할 모델저장모듈(52)과 연결이 되어, 학습을 통해 생성한 모델을 모델저장모듈(52)에 저장할 수 있다.The learning module 51 is connected to the learning data extraction module 35 and refers to a configuration in which a model is generated by learning the context of each action before and after each action using playbook action data. Learning data may be a response process initially set and conditions, steps, and response actions of the response process set during operation. That is, the SOAR automatic response process is learned through the learning module 51, and this learning can be viewed as generating a predictive model through supervised learning. The learning module 51 is connected to a model storage module 52 to be described later, and may store a model generated through learning in the model storage module 52.

상기 모델저장모듈(52)은, 상기 학습모듈(51)과 연결되어 학습에 의해 생성된 모델을 저장하는 구성을 말한다. 상기 모델저장모듈(52)은 후술할 예측모듈(53)과도 연결이 되며, 예측모듈(53)이 특정 액션에 대한 전후 액션 데이터를 예측할 때 저장된 모델을 제공할 수 있다.The model storage module 52 is connected to the learning module 51 to store a model generated by learning. The model storage module 52 is also connected to a prediction module 53 to be described later, and may provide a stored model when the prediction module 53 predicts before and after action data for a specific action.

상기 예측모듈(53)은, 일측은 상기 예측데이터추출모듈(36)과 연결되고, 타측은 상기 모델저장모듈(52)과 연결되어, 상기 학습모듈(51)을 통해 생성된 모델에 상기 예측데이터추출모듈(36)로부터 전송받은 설정된 플레이북 액션 데이터를 입력해 설정된 플레이북 액션 데이터에 대한 전후 플레이북 액션 데이터를 예측하는 구성을 말한다. 상기 예측모듈(53)은, 상기 사고대응관리모듈(34)과 연결되어 상기 사고대응관리모듈(34)에 예측된 플레이북 액션 데이터를 전송할 수 있다. 예측된 플레이북 액션 데이터는, 초기 설정 액션에 맞는 후행 액션의 자동 완성 및/또는 플레이북 가이드, 후행 선택 후 다시 후행 자동 완성 및/또는 플레이북 가이드, 화면상 초기 조건에 의해 후행 모든 액션 자동 생성, 중간 액션 수정시 선행/후행 경우의 수에 따라 플레이북 자동 생성 및/또는 권고, 신규 위협 조건/데이터 입력시 확률상 제일 근사치에 맞는 플레이북 리스트를 권고하는 등에 사용될 수 있다.The prediction module 53, one side is connected to the prediction data extraction module 36, the other side is connected to the model storage module 52, the prediction data in the model generated through the learning module 51 Refers to a configuration for predicting before and after playbook action data for the set playbook action data by inputting set playbook action data transmitted from the extraction module 36. The prediction module 53 may be connected to the accident response management module 34 to transmit the predicted playbook action data to the accident response management module 34. The predicted playbook action data is automatically completed and/or a playbook guide for a subsequent action suitable for an initial setting action, an automatic completion and/or a playbook guide after selecting a post, and all subsequent actions automatically generated according to the initial condition on the screen , It can be used to automatically generate and/or recommend a playbook according to the number of preceding/following cases when modifying an intermediate action, and recommending a playbook list that best approximates the probability when entering new threat conditions/data.

이하에서는, 머신러닝을 이용한 플레이북 자동 생성 방법(S1)에 대해 설명하겠다. 중복된 서술을 방지하기 위해, 이미 언급한 내용에 관해서는 그에 관한 설명을 생략하거나 간략히 하겠다.Hereinafter, a method for automatically generating playbooks using machine learning (S1) will be described. In order to avoid redundant descriptions, descriptions about the already mentioned content will be omitted or simplified.

도 4 및 도 5는 머신러닝을 이용한 플레이북 자동 생성 방법(S1)을 도시한 도면으로, 도 4 및 도 5를 참고하면, 상기 머신러닝을 이용한 플레이북 자동 생성 방법(S1)은 보안자동화대응단계(S10), 학습단계(S30), 예측단계(S50), 예측액션전송단계(S70), 플레이북자동완성단계(S90)를 포함한다.4 and 5 are diagrams showing an automatic playbook generation method (S1) using machine learning. Referring to FIGS. 4 and 5, the automatic playbook generation method (S1) using machine learning corresponds to security automation. It includes a step (S10), a learning step (S30), a prediction step (S50), a prediction action transmission step (S70), and an automatic playbook completion step (S90).

상기 보안자동화대응단계(S10)는, 보안자동화대응부(30)가 플레이북을 저장하고 이벤트/공격유형에 따라 플레이북을 실행해 대응하는 단계를 말한다. 상기 보안자동화대응단계(S10)에서는 대응 자동화 프로세스인 플레이북(Playbook)이 실행되는바, 다양한 보안 위협에 대한 대응 프로세스의 자동화가 가능해진다. 하지만, 초기의 플레이북(Playbook)만을 고수할 경우, 변화하는 위협에 적절히 대응할 수 없기에, 상기 플레이북(Playbook)을 지속적으로 업데이트 시켜줄 필요가 있고, 기존 방식처럼 보안 분석가 등에 의해 직접적인 업데이트가 이루어질 경우, 잘못된 플레이북(Playbook) 설정이 이루어질 수도 있고, 보안 인력이 과도한 업무 부담을 느낄 수도 있으므로, 플레이북(Playbook)을 자동으로 생성하거나, 이에 관한 갱신이 가이드될 수 있도록 하는 이하의 과정이 진행된다.The security automation response step (S10) refers to a step in which the security automation response unit 30 stores the playbook and executes the playbook according to the event/attack type to respond. In the security automation response step (S10), a playbook, which is a response automation process, is executed, so that the response process for various security threats can be automated. However, if only the initial Playbook is adhered to, it is not possible to adequately respond to changing threats, so it is necessary to continuously update the Playbook, and if direct updates are made by a security analyst, etc. , Incorrect playbook settings may be made, and security personnel may feel an excessive workload, so the following process is performed to automatically generate a playbook or to guide updates thereof. .

상기 학습단계(S30)는, 상기 보안자동화대응단계(S10) 이후에, 머신러닝부(50)의 학습모듈(51)이 플레이북 액션 데이터를 이용하여 각 액션별 전후상황의 학습을 수행해 모델을 생성하는 단계를 말한다. 사고대응자동화엔진모듈(33)에 의해 이벤트/공격유형별 플레이북(Playbook)이 실행되면, 이에 관한 데이터가 사고대응관리모듈(34)에 수신되고, 사고대응관리모듈(34)은 이벤트별/공격유형별/플레이북별로 수행/확인/수집된 데이터를 학습데이터추출모듈(35)을 통해 머신러닝부(50)로 전송하여 모델 학습에 사용되도록 한다. 이러한 상기 학습단계(S30)는, 학습데이터추출단계(S31)와, 모델생성단계(S33)를 포함한다.In the learning step (S30), after the security automation response step (S10), the learning module 51 of the machine learning unit 50 uses playbook action data to learn the context of each action before and after the model. It refers to the stage of creation. When a playbook for each event/attack type is executed by the accident response automation engine module 33, data about this is received by the accident response management module 34, and the accident response management module 34 is configured for each event/attack. The data performed/checked/collected by type/playbook is transmitted to the machine learning unit 50 through the training data extraction module 35 to be used for model training. The learning step (S30) includes a learning data extraction step (S31) and a model generation step (S33).

상기 학습데이터추출단계(S31)는, 보안자동화대응부(30)의 학습데이터추출모듈(35)이 학습을 위해 보안자동화대응부(30)의 사고대응관리모듈(34)과 연결되어 플레이북 액션 데이터를 상기 머신러닝부(50)로 전송하는 단계를 말한다. 상기 학습데이터추출모듈(35)은 머신러닝부(50)의 학습모듈(51)과 연결되어 이벤트/공격유형/플레이북별로 수행/확인/수집된 데이터를 머신러닝부(50)로 전송하게 된다.In the learning data extraction step (S31), the learning data extraction module 35 of the security automation response unit 30 is connected to the accident response management module 34 of the security automation response unit 30 for learning, and a playbook action Refers to the step of transmitting data to the machine learning unit 50. The learning data extraction module 35 is connected to the learning module 51 of the machine learning unit 50 and transmits the data executed/checked/collected by event/attack type/playbook to the machine learning unit 50. .

상기 모델생성단계(S33)는, 상기 학습데이터추출단계(S31) 이후에, 상기 학습모듈(51)이 상기 학습데이터추출모듈(35)과 연결되어, 플레이북 액션 데이터를 이용하여 각 액션별 전후상황의 학습을 수행해 모델을 생성하는 단계를 말한다. 상기 모델생성단계(S33)를 통해 생성된 모델은 상기 모델저장모듈(52)에 저장이 되어 후술할 예측단계(S50)에서 이용될 수 있다. In the model generation step (S33), after the learning data extraction step (S31), the learning module 51 is connected to the learning data extraction module 35, and before and after each action using playbook action data. It refers to the step of creating a model by performing situational learning. The model generated through the model generation step (S33) is stored in the model storage module 52 and may be used in a prediction step (S50) to be described later.

상기 예측단계(S50)는, 상기 학습단계(S30) 이후에, 머신러닝부(50)의 예측모듈(53)이 상기 학습모듈(51)이 생성한 모델로 설정된 플레이북 액션 데이터에 대한 전후 플레이북 액션 데이터를 예측하는 단계를 말한다. 이러한 상기 예측단계(S50)는, 예측데이터추출단계(S51)와, 액션예측단계(S53)를 포함한다.The prediction step (S50) is, after the learning step (S30), the prediction module 53 of the machine learning unit 50 plays before and after the playbook action data set as the model generated by the learning module 51. It refers to the step of predicting book action data. The prediction step (S50) includes a prediction data extraction step (S51) and an action prediction step (S53).

상기 예측데이터추출단계(S51)는, 보안자동화대응부(30)의 예측데이터추출모듈(36)이 예측을 위해 보안자동화대응부(30)의 사고대응관리모듈(34)과 연결되어 설정된 플레이북 액션 데이터를 머신러닝부(50)의 예측모듈(53)로 전송하는 단계를 말한다.In the predicted data extraction step (S51), the predicted data extraction module 36 of the security automation response unit 30 is connected to the accident response management module 34 of the security automation response unit 30 for prediction, and the playbook is set. Refers to the step of transmitting the action data to the prediction module 53 of the machine learning unit 50.

상기 액션예측단계(S53)는, 상기 예측데이터추출단계(S51) 이후에, 상기 예측모듈(53)이 상기 예측데이터추출모듈(36)과 연결되어, 상기 학습모듈(51)을 통해 생성된 모델에 상기 예측데이터추출모듈(36)로부터 전송받은 설정된 플레이북 액션 데이터를 입력해 설정된 플레이북 액션 데이터에 대한 전후 플레이북 액션 데이터를 예측하는 단계를 말한다.In the action prediction step (S53), after the prediction data extraction step (S51), the prediction module 53 is connected to the prediction data extraction module 36, and the model generated through the learning module 51 It refers to the step of predicting the playbook action data before and after the set playbook action data by inputting the set playbook action data transmitted from the prediction data extraction module 36.

상기 예측액션전송단계(S70)는, 상기 예측단계(S50) 이후에, 상기 예측모듈(53)이 보안자동화대응부(30)의 사고대응관리모듈(34)에 예측된 플레이북 액션 데이터를 전송하는 단계를 말한다. 상기 사고대응관리모듈(34)은 보안 분석가 측의 장치와 연결되는바, 예측된 플레이북 액션 데이터가 보안 분석가의 디스플레이부 등을 통해 출력될 수 있고, 보안 분석가는 출력된 예측 플레이북 액션 데이터를 통해 플레이북(Playbook)의 갱신 방향을 안내받을 수 있게 되며, 권고되는 플레이북 리스크를 제공받아 그 중 어느 하나를 선택해 새로운 플레이북을 생성할 수도 있다.In the prediction action transmission step (S70), after the prediction step (S50), the prediction module 53 transmits the predicted playbook action data to the accident response management module 34 of the security automation response unit 30. Say the steps to do. The incident response management module 34 is connected to the security analyst's device, so that the predicted playbook action data may be output through a display unit of the security analyst, and the security analyst may display the output predicted playbook action data. Through this, it is possible to receive guidance on the update direction of the Playbook, and to create a new playbook by selecting any one of the recommended playbook risks.

상기 플레이북자동완성단계(S90)는, 상기 예측액션전송단계(S70) 이후에, 상기 사고대응관리모듈(34)이 보안자동화대응부(30)의 플레이북플로우설정모듈(32)에 예측된 플레이북 액션 데이터를 전송해 플레이북을 자동 완성하는 단계를 말한다. 전술한 바와 같이, 사고대응관리모듈(34)에 수신된 플레이북 액션 데이터는 보안 분석가 측에 제공되어 보안 분석가에 의한 플레이북을 생성을 기대할 수 있음은 물론, 사고대응관리모듈(34)이 플레이북플로우설정모듈(32)과 연결되어, 새로운 플레이북을 자동으로 생성할 수도 있다. 상기 플레이북자동완성단계(S90)를 통해 보안 분석가가 일일이 플레이북을 생성해야 하는 불편은 사라질 수 있게 된다.In the playbook automatic completion step (S90), after the predicted action transmission step (S70), the accident response management module 34 is predicted by the playbook flow setting module 32 of the security automation response unit 30. It refers to the step of automatically completing a playbook by transmitting playbook action data. As described above, the playbook action data received by the accident response management module 34 is provided to the security analyst, so that the playbook can be generated by the security analyst, as well as the accident response management module 34 It is connected to the bookflow setting module 32, and a new playbook may be automatically generated. Through the playbook automatic completion step (S90), the inconvenience that the security analyst has to create a playbook can be eliminated.

이상의 상세한 설명은 본 발명을 예시하는 것이다. 또한, 전술한 내용은 본 발명의 바람직한 실시 형태를 나타내어 설명하는 것이며, 본 발명은 다양한 다른 조합, 변경 및 환경에서 사용할 수 있다. 즉 본 명세서에 개시된 발명의 개념의 범위, 저술한 개시 내용과 균등한 범위 및/또는 당업계의 기술 또는 지식의 범위내에서 변경 또는 수정이 가능하다. 저술한 실시예는 본 발명의 기술적 사상을 구현하기 위한 최선의 상태를 설명하는 것이며, 본 발명의 구체적인 적용 분야 및 용도에서 요구되는 다양한 변경도 가능하다. 따라서 이상의 발명의 상세한 설명은 개시된 실시 상태로 본 발명을 제한하려는 의도가 아니다. 또한 첨부된 청구범위는 다른 실시 상태도 포함하는 것으로 해석되어야 한다.The detailed description above is illustrative of the present invention. In addition, the above description shows and describes preferred embodiments of the present invention, and the present invention can be used in various other combinations, modifications and environments. That is, changes or modifications may be made within the scope of the concept of the invention disclosed in the present specification, the scope equivalent to the disclosed contents, and/or the skill or knowledge of the art. The above-described embodiments describe the best state for implementing the technical idea of the present invention, and various changes required in the specific application fields and uses of the present invention are possible. Therefore, the detailed description of the invention is not intended to limit the invention to the disclosed embodiment. In addition, the appended claims should be construed as including other embodiments.

1: 머신러닝을 이용한 플레이북 자동 생성 시스템
10: 보안관제부
30: 보안자동화대응부
31: 이벤트수집모듈
32: 플레이북플로우설정모듈
33: 사고대응자동화엔진모듈
34: 사고대응관리모듈
35: 학습데이터추출모듈
36: 예측데이터추출모듈
50: 머신러닝부
51: 학습모듈
52: 모델저장모듈
53: 예측모듈
S1: 머신러닝을 이용한 플레이북 자동 생성 방법
S10: 보안자동화대응단계
S30: 학습단계
S31: 학습데이터추출단계
S33: 모델생성단계
S50: 예측단계
S51: 예측데이터추출단계
S53: 액션예측단계
S70: 예측액션전송단계
S90: 플레이북자동완성단계1: Automatic playbook generation system using machine learning
10: Security Control Department
30: Security Automation Response Department
31: event collection module
32: playbook flow setting module
33: accident response automation engine module
34: accident response management module
35: learning data extraction module
36: predictive data extraction module
50: Machine Learning Department
51: learning module
52: model storage module
53: prediction module
S1: How to automatically generate playbooks using machine learning
S10: Security automation response stage
S30: Learning stage
S31: learning data extraction step
S33: Model generation step
S50: prediction stage
S51: Prediction data extraction step
S53: Action prediction step
S70: Prediction action transmission step
S90: Playbook automatic completion stage

Claims (14)

플레이북을 저장하고 이벤트/공격유형에 따라 플레이북을 실행해 대응하는 보안자동화대응부와, 상기 보안자동화대응부와 연결되어 설정된 플레이북 액션 데이터를 학습해 모델을 생성하고 생성된 모델로 설정된 플레이북 액션 데이터에 대한 전후 플레이북 액션 데이터를 예측하는 머신러닝부를 포함하고,
상기 보안자동화대응부는, 실행된 사고 대응 프로세스를 출력하고 설정된 플레이북 액션 데이터를 수신하는 사고대응관리모듈과, 학습을 위해 상기 사고대응관리모듈과 연결되어 플레이북 액션 데이터를 상기 머신러닝부로 전송하는 학습데이터추출모듈과, 예측을 위해 상기 사고대응관리모듈과 연결되어 설정된 플레이북 액션 데이터를 상기 머신러닝부로 전송하는 예측데이터추출모듈을 포함하며,
상기 머신러닝부는, 상기 학습데이터추출모듈과 연결되어, 플레이북 액션 데이터를 이용하여 각 액션별 전후상황의 학습을 수행해 모델을 생성하는 학습모듈과, 상기 학습모듈과 연결되어 학습에 의해 생성된 모델을 저장하는 모델저장모듈과, 일측은 상기 예측데이터추출모듈과 연결되고, 타측은 상기 모델저장모듈과 연결되어, 상기 학습모듈을 통해 생성된 모델에 상기 예측데이터추출모듈로부터 전송받은 설정된 플레이북 액션 데이터를 입력해 설정된 플레이북 액션 데이터에 대한 전후 플레이북 액션 데이터를 예측하는 예측모듈을 포함하는 것을 특징으로 하는, 머신러닝을 이용한 플레이북 자동 생성 시스템.Save the playbook and execute the playbook according to the event/attack type to respond to the security automation response unit, and the playbook action data set in connection with the security automation response unit to create a model and play set as the created model Including a machine learning unit that predicts playbook action data before and after the book action data,
The security automation response unit includes an accident response management module that outputs an executed accident response process and receives set playbook action data, and is connected to the accident response management module for learning to transmit playbook action data to the machine learning unit. A learning data extraction module and a prediction data extraction module for transmitting the set playbook action data connected to the accident response management module for prediction to the machine learning unit,
The machine learning unit is connected to the learning data extraction module, a learning module that generates a model by learning before and after each action using playbook action data, and a model generated by learning by being connected to the learning module A model storage module for storing, and one side is connected to the prediction data extraction module, and the other side is connected to the model storage module, and a set playbook action transmitted from the prediction data extraction module to the model generated through the learning module A playbook automatic generation system using machine learning, characterized in that it comprises a prediction module that predicts before and after playbook action data for playbook action data set by inputting data. 제1항에 있어서,
상기 보안자동화대응부는, 이벤트를 수집하는 이벤트수집모듈과, 이벤트별/공격유형별 플레이북을 등록하는 플레이북플로우설정모듈과, 일측은 상기 이벤트수집모듈과 연결되고 타측은 상기 플레이북플로우설정모듈과 연결되어 이벤트별/공격유형별로 플레이북을 실행하는 사고대응자동화엔진모듈을 포함하는 것을 특징으로 하는, 머신러닝을 이용한 플레이북 자동 생성 시스템.The method of claim 1,
The security automation response unit includes an event collection module for collecting events, a playbook flow setting module for registering playbooks for each event/attack type, one side is connected to the event collection module, and the other side is the playbook flow setting module. An automatic playbook generation system using machine learning, characterized in that it comprises an accident response automation engine module that is connected to execute a playbook for each event/attack type. 삭제delete 삭제delete 삭제delete 삭제delete 삭제delete 제1항에 있어서,
상기 예측모듈은, 상기 사고대응관리모듈과 연결되어 상기 사고대응관리모듈에 예측된 플레이북 액션 데이터를 전송하는 것을 특징으로 하는, 머신러닝을 이용한 플레이북 자동 생성 시스템.The method of claim 1,
The prediction module is connected to the accident response management module to transmit the predicted playbook action data to the accident response management module. A playbook automatic generation system using machine learning. 제2항에 있어서,
상기 사고대응관리모듈은, 상기 플레이북플로우설정모듈에 예측된 플레이북 액션 데이터를 전송해 플레이북을 자동 완성하는 것을 특징으로 하는, 머신러닝을 이용한 플레이북 자동 생성 시스템.The method of claim 2,
The accident response management module, characterized in that the automatic completion of the playbook by transmitting the predicted playbook action data to the playbook flow setting module, automatic playbook generation system using machine learning. 보안자동화대응부가 플레이북을 저장하고 이벤트/공격유형에 따라 플레이북을 실행해 대응하는 보안자동화대응단계와, 상기 보안자동화대응단계 이후에, 머신러닝부의 학습모듈이 플레이북 액션 데이터를 이용하여 각 액션별 전후상황의 학습을 수행해 모델을 생성하는 학습단계와, 상기 학습단계 이후에, 머신러닝부의 예측모듈이 상기 학습모듈이 생성한 모델로 설정된 플레이북 액션 데이터에 대한 전후 플레이북 액션 데이터를 예측하는 예측단계를 포함하고,
상기 학습단계는, 보안자동화대응부의 학습데이터추출모듈이 학습을 위해 보안자동화대응부의 사고대응관리모듈과 연결되어 플레이북 액션 데이터를 상기 머신러닝부로 전송하는 학습데이터추출단계와, 상기 학습데이터추출단계 이후에, 상기 학습모듈이 상기 학습데이터추출모듈과 연결되어, 플레이북 액션 데이터를 이용하여 각 액션별 전후상황의 학습을 수행해 모델을 생성하는 모델생성단계를 포함하며,
상기 예측단계는, 보안자동화대응부의 예측데이터추출모듈이 예측을 위해 보안자동화대응부의 사고대응관리모듈과 연결되어 설정된 플레이북 액션 데이터를 머신러닝부의 예측모듈로 전송하는 예측데이터추출단계와, 상기 예측데이터추출단계 이후에, 상기 예측모듈이 상기 예측데이터추출모듈과 연결되어, 상기 학습모듈을 통해 생성된 모델에 상기 예측데이터추출모듈로부터 전송받은 설정된 플레이북 액션 데이터를 입력해 설정된 플레이북 액션 데이터에 대한 전후 플레이북 액션 데이터를 예측하는 액션예측단계를 포함하는 것을 특징으로 하는, 머신러닝을 이용한 플레이북 자동 생성 방법.The security automation response step in which the security automation response unit stores the playbook and executes the playbook according to the event/attack type, and after the security automation response step, the learning module of the machine learning unit uses the playbook action data. A learning step in which a model is generated by learning the context of each action, and after the learning step, the prediction module of the machine learning unit predicts the playbook action data before and after the playbook action data set as the model generated by the learning module Includes a prediction step,
The learning step includes a learning data extraction step in which a learning data extraction module of a security automation response unit is connected to an accident response management module of a security automation response unit for learning and transmits playbook action data to the machine learning unit, and the learning data extraction step Thereafter, the learning module is connected to the learning data extraction module and includes a model generation step of generating a model by performing learning of the context for each action using playbook action data,
The prediction step includes a prediction data extraction step in which the prediction data extraction module of the security automation response unit transmits the set playbook action data to the prediction module of the machine learning unit by being connected to the accident response management module of the security automation response unit for prediction, and the prediction After the data extraction step, the prediction module is connected to the prediction data extraction module, and the set playbook action data transmitted from the prediction data extraction module is input to the model generated through the learning module to the set playbook action data. A method for automatically generating playbooks using machine learning, characterized in that it comprises an action prediction step of predicting the before and after playbook action data. 삭제delete 삭제delete 제10항에 있어서,
상기 플레이북의 자동 생성 방법은, 상기 예측단계 이후에, 상기 예측모듈이 보안자동화대응부의 사고대응관리모듈에 예측된 플레이북 액션 데이터를 전송하는 예측액션전송단계를 추가로 포함하는 것을 특징으로 하는, 머신러닝을 이용한 플레이북 자동 생성 방법.The method of claim 10,
The method of automatically generating the playbook, after the prediction step, further comprises a prediction action transmission step of transmitting, by the prediction module, the predicted playbook action data to the incident response management module of the security automation response unit. , A method of automatically generating playbooks using machine learning. 보안자동화대응부가 플레이북을 저장하고 이벤트/공격유형에 따라 플레이북을 실행해 대응하는 보안자동화대응단계와,
상기 보안자동화대응단계 이후에, 머신러닝부의 학습모듈이 플레이북 액션 데이터를 이용하여 각 액션별 전후상황의 학습을 수행해 모델을 생성하는 학습단계와,
상기 학습단계 이후에, 머신러닝부의 예측모듈이 상기 학습모듈이 생성한 모델로 설정된 플레이북 액션 데이터에 대한 전후 플레이북 액션 데이터를 예측하는 예측단계와,
상기 예측단계 이후에, 상기 예측모듈이 보안자동화대응부의 사고대응관리모듈에 예측된 플레이북 액션 데이터를 전송하는 예측액션전송단계와,
상기 예측액션전송단계 이후에, 상기 사고대응관리모듈이 보안자동화대응부의 플레이북플로우설정모듈에 예측된 플레이북 액션 데이터를 전송해 플레이북을 자동 완성하는 플레이북자동완성단계를 포함하는 것을 특징으로 하는, 머신러닝을 이용한 플레이북 자동 생성 방법.The security automation response step in which the security automation response department stores the playbook and executes the playbook according to the event/attack type,
After the security automation response step, a learning step in which the learning module of the machine learning unit performs learning of the context for each action using playbook action data to generate a model; and
After the learning step, a prediction step in which the prediction module of the machine learning unit predicts the before and after playbook action data for the playbook action data set as the model generated by the learning module;
After the prediction step, the prediction module transmits the predicted playbook action data to the accident response management module of the security automation response unit, a prediction action transmission step,
After the predicted action transmission step, the accident response management module transmits the predicted playbook action data to the playbook flow setting module of the security automation response unit to automatically complete the playbook. How to automatically generate playbooks using machine learning.
KR1020200075029A 2020-06-19 2020-06-19 Playbook Automatic Generation System Using Machine Learning and Method Thereof KR102198104B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020200075029A KR102198104B1 (en) 2020-06-19 2020-06-19 Playbook Automatic Generation System Using Machine Learning and Method Thereof

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020200075029A KR102198104B1 (en) 2020-06-19 2020-06-19 Playbook Automatic Generation System Using Machine Learning and Method Thereof

Publications (1)

Publication Number Publication Date
KR102198104B1 true KR102198104B1 (en) 2021-01-05

Family

ID=74140633

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020200075029A KR102198104B1 (en) 2020-06-19 2020-06-19 Playbook Automatic Generation System Using Machine Learning and Method Thereof

Country Status (1)

Country Link
KR (1) KR102198104B1 (en)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102402166B1 (en) * 2021-10-07 2022-05-31 (주)시큐레이어 Method and device for supporting managing security event by using playbook based on interactive simulation
KR102419451B1 (en) * 2021-11-17 2022-07-11 한국인터넷진흥원 Artificial intelligence based threat analysis automation system and method
KR102443400B1 (en) * 2022-04-14 2022-09-19 (주)시큐레이어 Method and device for validating playbook to cope with security event
KR20230134199A (en) * 2022-03-14 2023-09-21 주식회사 이글루코퍼레이션 Apparatus and method for security automation response for soar platform
KR20240067476A (en) 2022-11-09 2024-05-17 한국인터넷진흥원 System and method for generating automatically playbook and verifying validity of playbook based on artificial intelligence

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101486307B1 (en) 2013-11-18 2015-01-29 한국전자통신연구원 Apparatus and method for security monitoring
US10681071B1 (en) * 2016-08-02 2020-06-09 ThreatConnect, Inc. Enrichment and analysis of cybersecurity threat intelligence and orchestrating application of threat intelligence to selected network security events

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101486307B1 (en) 2013-11-18 2015-01-29 한국전자통신연구원 Apparatus and method for security monitoring
US10681071B1 (en) * 2016-08-02 2020-06-09 ThreatConnect, Inc. Enrichment and analysis of cybersecurity threat intelligence and orchestrating application of threat intelligence to selected network security events

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102402166B1 (en) * 2021-10-07 2022-05-31 (주)시큐레이어 Method and device for supporting managing security event by using playbook based on interactive simulation
KR102419451B1 (en) * 2021-11-17 2022-07-11 한국인터넷진흥원 Artificial intelligence based threat analysis automation system and method
KR20230134199A (en) * 2022-03-14 2023-09-21 주식회사 이글루코퍼레이션 Apparatus and method for security automation response for soar platform
KR102677230B1 (en) * 2022-03-14 2024-06-21 주식회사 이글루코퍼레이션 Apparatus and method for security automation response for soar platform
KR102443400B1 (en) * 2022-04-14 2022-09-19 (주)시큐레이어 Method and device for validating playbook to cope with security event
KR20240067476A (en) 2022-11-09 2024-05-17 한국인터넷진흥원 System and method for generating automatically playbook and verifying validity of playbook based on artificial intelligence

Similar Documents

Publication Publication Date Title
KR102198104B1 (en) Playbook Automatic Generation System Using Machine Learning and Method Thereof
AU2019232804B2 (en) Decision tables and flow engine for building automated flows within a cloud based development platform
US10901727B2 (en) Monitoring code sensitivity to cause software build breaks during software project development
US8996394B2 (en) System and method for enabling decision activities in a process management and design environment
US20200090087A1 (en) Dynamic real-time feedback for agents
Jansen et al. Mitigating risks of digitalization through managed industrial security services
US8200606B2 (en) Alert management system and method
CN102982396A (en) General process modeling framework
WO2020087011A2 (en) Resource configuration and management system
Ali et al. Towards requirement change management for global software development using case base reasoning
Qian et al. Rationalism with a dose of empiricism: combining goal reasoning and case-based reasoning for self-adaptive software systems
US20200067776A1 (en) Persona/individual based actions based on community specific trigger
KR102197590B1 (en) Playbook Approval Process Improvement System Using Machine Learning and Method Thereof
Omerovic et al. A feasibility study of a method for identification and modelling of cybersecurity risks in the context of smart power grid
Bubak et al. K-wfgrid-the knowledge-based workflow system for grid applications
Mees Security by design in an enterprise architecture framework
Shwartz et al. Quality of IT service delivery—Analysis and framework for human error prevention
Jansen Stabilizing the industrial system: Managed security services’ contribution to cyber-peace
EP3624027A1 (en) Decision tables and flow engine for building automated flows within a cloud based development platform
Asnar et al. Secure and dependable patterns in organizations: An empirical approach
EP3082085A1 (en) Methods and systems for adaptive and contextual collaboraiton in a network
van Tooren et al. Research Questions in the Acceptance of Cybersecurity by SMEs in the EU
Ylätalo Development of process and tools for vulnerability management
Yari et al. Design and implementation of organizational architecture in organizations in charge of combating smuggling of goods and currency with the aim of improving the management of organizational networks
US20220027831A1 (en) System and method for security analyst modeling and management

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant