KR102198104B1 - Playbook Automatic Generation System Using Machine Learning and Method Thereof - Google Patents
Playbook Automatic Generation System Using Machine Learning and Method Thereof Download PDFInfo
- Publication number
- KR102198104B1 KR102198104B1 KR1020200075029A KR20200075029A KR102198104B1 KR 102198104 B1 KR102198104 B1 KR 102198104B1 KR 1020200075029 A KR1020200075029 A KR 1020200075029A KR 20200075029 A KR20200075029 A KR 20200075029A KR 102198104 B1 KR102198104 B1 KR 102198104B1
- Authority
- KR
- South Korea
- Prior art keywords
- playbook
- module
- learning
- prediction
- action
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q10/00—Administration; Management
- G06Q10/04—Forecasting or optimisation specially adapted for administrative or management purposes, e.g. linear programming or "cutting stock problem"
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q10/00—Administration; Management
- G06Q10/10—Office automation; Time management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Theoretical Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computer Security & Cryptography (AREA)
- Strategic Management (AREA)
- Human Resources & Organizations (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- Entrepreneurship & Innovation (AREA)
- Economics (AREA)
- General Engineering & Computer Science (AREA)
- Quality & Reliability (AREA)
- Tourism & Hospitality (AREA)
- Computer Hardware Design (AREA)
- Data Mining & Analysis (AREA)
- General Business, Economics & Management (AREA)
- Computing Systems (AREA)
- Marketing (AREA)
- Operations Research (AREA)
- Mathematical Physics (AREA)
- Medical Informatics (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Artificial Intelligence (AREA)
- Evolutionary Computation (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Development Economics (AREA)
- Game Theory and Decision Science (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
Description
본 발명은 머신러닝을 이용한 플레이북 자동 생성 시스템 및 그 방법에 관한 것으로, 더욱 상세하게는, 각 단계별 대응 프로세스를 머신러닝 기반으로 학습하고, 운영기간 중 검증 및 업데이트를 통해 재학습시킴으로써, 신규 대응 프로세스 생성시 초기 선행 조건에 의해 다음 단계의 플레이북(Playbook) 액션(Action)을 권고/가이드 및 자동 설정해 줄 수 있도록 하는, 머신러닝을 이용한 플레이북 자동 생성 시스템 및 그 방법에 관한 것이다.The present invention relates to a system and method for automatically generating playbooks using machine learning, and in more detail, by learning each step-by-step response process based on machine learning, and by re-learning through verification and update during the operation period, a new response The present invention relates to an automatic playbook generation system using machine learning and a method thereof that recommends/guides and automatically sets a playbook action of a next step according to an initial prerequisite when creating a process.
사이버 공격의 규모가 커지고, 그 정교함이 끊임없이 진화함에 따라, 보안 분야 전문가들은 이러한 사이버 공격에 대응하기 위한 다양한 방안을 모색해 나가고 있으나, 시간, 기술, 리소스 측면 등에서 한계에 부딪히고 있다.As the scale of cyber attacks increases and their sophistication is constantly evolving, experts in the security field are seeking various ways to respond to such cyber attacks, but they are facing limitations in terms of time, technology, and resources.
도 1은 종래의 보안 관제 시스템(90)을 도시한 도면으로, 이는 한국등록특허공보 제10-1486307호(2015.01.20.)에 개시되어 있다. 도 1을 참고하여 설명하면, 종래의 보안 관제 시스템(90)은, 보안 관제 장치(91)가 보안 관제 센터(Security Operation Center, SOC)(93)와 연동하여 동작하며, 일반적으로 보안 관제 센터(93)에서는 DDoS(Distributed Denial of Service) 대응 장비, 침입 차단 시스템(File Wall, FW), 위협 관리 시스템(Threat Management System, TMS), 침입 방지 시스템(Instruction Protection System, IPS), 웹 어플리케이션 방화벽(Web Application Firewall, WAF) 등 수많은 보안 관제 장치(91)를 사용하는데, 이러한 복수의 보안 관제 장치(91)를 소수의 보안 담당자가 모니터링하고 있는바, 정확한 보안 관제가 이루어지기 어려운 상황이다.1 is a view showing a conventional
보안의 강도를 높이기 위해 보안 장비의 수를 늘릴수록, 보안 담당자가 모니터링해야 하는 보안 장비의 수가 많아지게 되어, 보안 담당자의 피로감이 극심해 질 수밖에 없으며, 이로 인해 제대로된 보안 관제가 이루어지기 어렵고, 보안 담당자별로 성향, 능력, 경험, 숙련도 등이 상이하기 때문에 담당자별로 편차 없는 보안 관제를 기대하는 것이 사실상 불가능하다.As the number of security devices increases in order to increase the strength of security, the number of security devices that must be monitored by security personnel increases, which inevitably increases the fatigue of security personnel, which makes proper security control difficult and security. Because the propensity, ability, experience, and skill level are different for each person in charge, it is virtually impossible to expect security control without deviation for each person in charge.
이런 문제점을 해결하기 위해, 최근 보안 업계에서는 보안 오케스트레이션, 자동화 및 대응(Security Orchestration, Automation and Response)을 의미하는 SOAR에 주목하고 있다.To solve this problem, the security industry is paying attention to SOAR, which stands for Security Orchestration, Automation and Response.
SOAR(Security Orchestration, Automation and Response)은 다양한 보안 위협에 대한 대응 프로세스를 자동화해 낮은 수준의 보안 이벤트는 사람의 도움없이 처리하고, 보안 사고 발생시 표준화된 업무 프로세스에 따라 직원이 쉽게 대응할 수 있게 도와주는 보안 솔루션을 말한다.SOAR (Security Orchestration, Automation and Response) automates the process of responding to various security threats so that low-level security events are handled without human assistance, and in the event of a security incident, it helps employees easily respond according to standardized work processes. Refers to a security solution.
즉, 상기 SOAR은 사람, 기술 및 프로세스를 조율하고 자동화함으로써 조직에서 사고 대응 효율성과 일관성을 개선하여, 사고 대응 자동화, 효율화, 리소스 최소화, 빠른 대응, 인력별 업무 결과의 상향 평준화, 업무성과 및 ROI(Return On Investment) 파악, 협업에 대한 운영의 효율성 증가를 가져오고자 하는 것이다.In other words, the SOAR improves the efficiency and consistency of incident response in the organization by coordinating and automating people, technologies, and processes, thereby automating incident response, efficiency, minimizing resources, rapid response, upward leveling of work results by manpower, work performance and ROI. (Return On Investment) This is to bring about an increase in the efficiency of operation for identification and collaboration.
일반적으로, 상기 SOAR(Security Orchestration, Automation and Response)은 SOA(Security Orchestration and Automation) 영역과, SIRP(Security Incident Response Platforms) 영역과, TIP(Threat Intelligence Platforms) 영역으로 구분된다.In general, the SOAR (Security Orchestration, Automation and Response) is divided into an SOA (Security Orchestration and Automation) area, a SIRP (Security Incident Response Platforms) area, and a TIP (Threat Intelligence Platforms) area.
상기 SOA(Security Orchestration and Automation) 영역은, 보안 대응팀의 단조롭고 반복적인 업무를 파악하고 그 업무에 소요되는 시간을 감소시켜주며, 툴 간의 워크플로우를 자동화시키는 영역을 가리킨다.The SOA (Security Orchestration and Automation) area refers to an area that identifies monotonous and repetitive tasks of the security response team, reduces the time required for the task, and automates the workflow between tools.
상기 SIRP(Security Incident Response Platforms) 영역은, 툴 간 자동화가 아니라, 프로세스를 자동화하여, 보안 사고가 발생하면 사고 유형별로 내부 보안 사고 대응 정책에 의해 미리 정해진 프로세스에 따라 어떤 업무를 할 것인지, 해당 업무가 누구에게 할당되고 언제까지 마무리해야 하는지를 관리하는 영역을 의미한다.The SIRP (Security Incident Response Platforms) area is not between tools, but by automating processes, and when a security incident occurs, what kind of work will be performed according to the process predetermined by the internal security incident response policy for each type of incident, It is an area that manages who is assigned to and by when.
상기 TIP(Threat Intelligence Platforms) 영역은, 조직에서 발생하는 보안 위협의 분석 업무를 지원하기 위해 여러 소스의 위협 데이터를 실시간으로 수집하고 상관 분석해 제공하며, 분석된 위협 정보 데이터를 기업의 기존 보안시스템이나 대응 솔루션과 연계해 위협 요소를 제공함으로써 보안 인력의 사전 대응력을 향상시키는 영역이다.The TIP (Threat Intelligence Platforms) area collects threat data from multiple sources in real time and provides correlation analysis to support the analysis of security threats occurring in the organization, and the analyzed threat information data It is an area that improves the proactive response of security personnel by providing threat elements in connection with response solutions.
상기 SOAR(Security Orchestration, Automation and Response)에서는 공격 유형별, 상황별 대응 프로세스를 가리키는 플레이북(Playbook)이 실행된다.In the SOAR (Security Orchestration, Automation and Response), a playbook indicating a response process by attack type and situation is executed.
상기 플레이북(Playbook)은 통상 초기에 정해진 이벤트를 기준으로 실행되는데, 구체적인 예를 들자면, 발생된 경보/이벤트 내의 필드 매칭, '공격명=sql injection schema(HTTP)' 등의 액션(Action)이 시작되고, 그 후에 IP가 악성 배포지인지 여부를 확인하며, 파일의 해쉬(Hash)를 확인하고, 분석가 승인하는 등의 대응 프로세스가 진행될 수 있다. 초기 액션의 시작은 전술한 경보/이벤트 공격명 뿐만 아니라, 'IP가 1.1.1.1 일 때' 등 다양한 방식에 의해서도 시작될 수 있으며, SOAR에 연동된 모든 데이터를 기준으로 할 수 있다.The playbook is usually executed based on an initially determined event. For a specific example, actions such as field matching in an alarm/event generated and'attack name = sql injection schema (HTTP)' are performed. It is started, and after that, a response process such as checking whether the IP is a malicious distribution location, checking the hash of the file, and approving the analyst may proceed. The initial action can be initiated not only by the aforementioned alarm/event attack name, but also by various methods such as'when IP is 1.1.1.1', and can be based on all data linked to SOAR.
문제는, 이러한 플레이북(Playbook)을 초기에 설정한 그대로 계속해서 사용할 수 없다는 점이다. The problem is that such a playbook cannot be used continuously as it was initially set.
지금도 새로운 위협은 계속적으로 만들어지고 있으며, 이러한 위협들이 갈수록 고도화, 정교화되고, 보안 위협에 대응하기 위한 경보/이벤트 발생 룰(Rule)은 계속 바뀌어 각각 다른 확인 프로세스와 대응, 차단 프로세스의 수행이 필요하기 때문에, 상기 플레이북(Playbook) 역시 그에 따라 업그레이드될 필요가 있는 것이다.Even now, new threats are constantly being created, and these threats are becoming more sophisticated and sophisticated, and the alarm/event generation rules for responding to security threats are constantly changing, requiring different verification processes, response, and blocking processes. Therefore, the Playbook also needs to be upgraded accordingly.
대형 사이트에서는 하루에 신규 룰이 몇 백 개씩 업데이트되고, 기존 룰의 커스터마이징(Customizing) 작업이 이루어지는데, 담당 보안 인력들은 일일이 대응 프로세스를 매번 새로 만들거나 업데이트 해야 하는 상황에 놓여 있다.At large sites, hundreds of new rules are updated a day and customizing of existing rules is performed, and security personnel in charge are in a situation where they must create or update the response process each time.
SOAR을 도입한 고객은 초기 고객사가 맞닥뜨린 위협에 대한 적절한 대응 프로세스를 고려하여 대응 프로세스인 플레이북(Playbook)을 공격 유형별로 구축할 것이나, 운영기간이 길어질수록, 고도화된 신규 위협이 계속적으로 쏟아져 나오는바, 이에 적절히 대응하기 위해서는 보안 운영 인력, 보안 분석가들이 지속적으로 대응 프로세스를 개발하고, 적절한 플레이북(Playbook)을 재설정해야 할 필요가 있다.Customers who have introduced SOAR will consider the appropriate response process to the threats encountered by the initial customer and build a response process, Playbook, by attack type, but the longer the operating period, the more advanced new threats continue to pour out. Bar, in order to respond appropriately to this, it is necessary for security operations personnel and security analysts to continuously develop a response process and reset an appropriate playbook.
하지만, 보안 인력이 수많은 플레이북(Playbook)을 관리하는게 쉽지 않으며, 보안 인력별로 경험, 능력, 숙련도 등이 상이해 대응의 편차가 발생할 수 밖에 없고, 이로 인해, 적절한 대응 프로세스가 수립되지 못하거나 잘못된 대응 프로세스의 설정에 의해 보안에 큰 허점이 발생할 수 있다.However, it is not easy for security personnel to manage numerous playbooks, and differences in response are inevitable due to differences in experience, ability, and skill level for each security personnel, and due to this, an appropriate response process cannot be established or There may be a big flaw in security by setting the response process.
이에 관련 업계에서는, 신규 플레이북(Playbook)의 개발 및 설정 등을 쉽고 빠르며 정확하게 적용할 수 있도록 하는 기술의 개발을 요구하고 있는 실정이다.Accordingly, the related industry is demanding the development of a technology that enables the development and setting of a new playbook to be applied easily, quickly and accurately.
본 발명은 상기와 같은 문제점을 해결하고자 안출된 것으로,The present invention was devised to solve the above problems,
본 발명의 목적은, 각 단계별 대응 프로세스를 머신러닝 기반으로 학습하고, 운영기간 중 검증 및 업데이트를 통해 재학습시킴으로써, 신규 대응 프로세스 생성시 초기 선행 조건에 의해 다음 단계의 플레이북(Playbook) 액션(Action)을 권고/가이드 및 자동 설정해 줄 수 있도록 하는 것이다.It is an object of the present invention to learn each step-by-step response process based on machine learning, and by re-learning through verification and update during the operation period, when creating a new response process, a Playbook action ( Action) is recommended/guided and automatically set.
본 발명의 다른 목적은, 학습데이터를 초기에 정의된 플레이북(Playbook) 리스트를 기반으로 할 수 있으며, 운영자가 신규로 생성하여 발생된 대응 프로세스로 학습데이터를 업데이트하여 모델을 개선(재학습 또는 증분)할 수 있도록 하는 것이다.Another object of the present invention is that the learning data may be based on an initially defined playbook list, and the model is improved by updating the learning data with the corresponding process newly created and generated by the operator (retraining or Incremental).
본 발명의 또 다른 목적은, 새로운 위협에 대응하기 위해 자동 대응 프로세스인 플레이북(Playbook)을 매번 새롭게 만들거나 업데이트 함에 따라 발생하는 노고, 시간, 비용을 줄이고, 프로세스 설정을 보안 인력에 의해 진행했을 때 발생할 수 있는 보안 인력간의 경험, 능력 등에 따른 편차와 설정 오류 등의 문제를 차단하는 것이다.Another object of the present invention is to reduce the labor, time, and cost that occur as the automatic response process, Playbook, is newly created or updated every time to respond to new threats, and the process setting must be performed by security personnel. This is to block problems such as deviations and configuration errors between security personnel, which may occur when security personnel have experience and capabilities.
본 발명의 또 다른 목적은, SOAR(Security Orchestration, Automation and Response)을 도입한 뒤 운영기간이 길어지더라도, 학습에 의해 대응 프로세스가 계속적으로 자동 생성되어 업데이트 되도록 함으로써, 진화하는 보안 위협으로 시스템을 안전하게 보호하는 것이다.Another object of the present invention is that even if the operating period is prolonged after the introduction of SOAR (Security Orchestration, Automation and Response), the response process is continuously automatically generated and updated by learning, thereby making the system a It is to protect it safely.
본 발명의 또 다른 목적은, 머신러닝 기반의 대응 프로세스 자동 생성 및 권고 기술을 적용함으로써, 신규 대응 프로세스의 개발 및 설정을 쉽고 빠르며 정확하게 할 수 있도록 하면서, 운영자의 부담을 덜어주는 것이다.Another object of the present invention is to reduce the burden on the operator while making it possible to quickly and accurately develop and set a new response process by applying a machine learning-based response process automatic generation and recommendation technology.
본 발명의 또 다른 목적은, 이벤트 또는 공격유형 등에 따라 자동 대응 프로세스를 학습시킬 수 있도록 하는 것이다.Another object of the present invention is to be able to learn an automatic response process according to an event or attack type.
본 발명의 또 다른 목적은, 머신러닝 시스템에서 데이터 조건(공격명, 공격유형 등)에 따라 대응 프로세스의 선후행 액션을 학습할 수 있도록 하는 것이다.Another object of the present invention is to enable a machine learning system to learn the preceding and following actions of a response process according to data conditions (attack name, attack type, etc.).
본 발명의 또 다른 목적은, 초기 액션에 대한 후행 액션이 자동 완성 또는 권고될 수 있도록 하는 것이다.Another object of the present invention is to enable automatic completion or recommendation of a subsequent action to an initial action.
본 발명의 또 다른 목적은, 후행 액션에 대한 그 후행 액션이 자동 완성 또는 권고될 수 있도록 하는 것이다.Another object of the present invention is to enable the subsequent action to be auto-completed or recommended for the subsequent action.
본 발명의 또 다른 목적은, 중간 액션에 대한 그 선후행 액션이 자동 완성 또는 권고될 수 있도록 하는 것이다.Another object of the present invention is to enable automatic completion or recommendation of an action that precedes or follows an intermediate action.
본 발명의 또 다른 목적은, 신규 위협에 관한 데이터가 입력되면, 확률상 가장 근사치에 맞는 플레이북 리스트를 권고하여 적절한 플레이북이 생성될 수 있도록 하는 것이다.Another object of the present invention is to recommend a playbook list that fits the closest probability in case data on a new threat is input so that an appropriate playbook can be generated.
본 발명은 앞서 본 목적을 달성하기 위해서 다음과 같은 구성을 가진 실시예에 의해서 구현된다.The present invention is implemented by an embodiment having the following configuration in order to achieve the above object.
본 발명의 일 실시예에 따르면, 본 발명은, 플레이북을 저장하고 이벤트/공격유형에 따라 플레이북을 실행해 대응하는 보안자동화대응부와, 상기 보안자동화대응부와 연결되어 설정된 플레이북 액션 데이터를 학습해 모델을 생성하고 생성된 모델로 설정된 플레이북 액션 데이터에 대한 전후 플레이북 액션 데이터를 예측하는 머신러닝부를 포함하는 것을 특징으로 한다.According to an embodiment of the present invention, the present invention stores a playbook and executes a playbook according to an event/attack type to respond to a security automation response unit, and playbook action data set in connection with the security automation response unit. It characterized in that it comprises a machine learning unit that generates a model by learning to, and predicts playbook action data before and after the playbook action data set as the generated model.
본 발명의 다른 실시예에 따르면, 본 발명은, 상기 보안자동화대응부는, 이벤트를 수집하는 이벤트수집모듈과, 이벤트별/공격유형별 플레이북을 등록하는 플레이북플로우설정모듈과, 일측은 상기 이벤트수집모듈과 연결되고 타측은 상기 플레이북플로우설정모듈과 연결되어 이벤트별/공격유형별로 플레이북을 실행하는 사고대응자동화엔진모듈과, 일측은 상기 사고대응자동화엔진모듈과 연결되고 타측은 상기 플레이북플로우설정모듈과 연결되어 실행된 사고 대응 프로세스를 출력하고, 상기 플레이북플로우설정모듈로부터 설정된 플레이북 액션 데이터를 수신하는 사고대응관리모듈을 포함하는 것을 특징으로 한다.According to another embodiment of the present invention, the security automation response unit includes an event collection module for collecting events, a playbook flow setting module for registering playbooks for each event/attack type, and one side of the event collection An accident response automation engine module that is connected to the module and the other side is connected to the playbook flow setting module to execute playbooks by event/attack type, and one side is connected to the accident response automation engine module, and the other side is the playbook flow. It characterized in that it comprises an accident response management module for outputting the accident response process, which is connected to the setting module and executed, and receives the playbook action data set from the playbook flow setting module.
본 발명의 또 다른 실시예에 따르면, 본 발명은, 상기 보안자동화대응부는, 학습을 위해 상기 사고대응관리모듈과 연결되어 플레이북 액션 데이터를 상기 머신러닝부로 전송하는 학습데이터추출모듈을 포함하는 것을 특징으로 한다.According to another embodiment of the present invention, the security automation response unit comprises a learning data extraction module connected to the accident response management module for learning and transmitting playbook action data to the machine learning unit. It is characterized.
본 발명의 또 다른 실시예에 따르면, 본 발명은, 상기 머신러닝부는, 상기 학습데이터추출모듈과 연결되어, 플레이북 액션 데이터를 이용하여 각 액션별 전후상황의 학습을 수행해 모델을 생성하는 학습모듈을 포함하는 것을 특징으로 한다.According to another embodiment of the present invention, the machine learning unit is a learning module that is connected to the learning data extraction module, and generates a model by learning the context of each action using playbook action data. It characterized in that it comprises a.
본 발명의 또 다른 실시예에 따르면, 본 발명은, 상기 머신러닝부는, 상기 학습모듈과 연결되어 학습에 의해 생성된 모델을 저장하는 모델저장모듈을 포함하는 것을 특징으로 한다.According to another embodiment of the present invention, the machine learning unit includes a model storage module connected to the learning module to store a model generated by learning.
본 발명의 또 다른 실시예에 따르면, 본 발명은, 상기 보안자동화대응부는, 예측을 위해 상기 사고대응관리모듈과 연결되어 설정된 플레이북 액션 데이터를 상기 머신러닝부로 전송하는 예측데이터추출모듈을 포함하는 것을 특징으로 한다.According to another embodiment of the present invention, the security automation response unit includes a prediction data extraction module that is connected to the accident response management module for prediction and transmits set playbook action data to the machine learning unit. It features.
본 발명의 또 다른 실시예에 따르면, 본 발명은, 상기 머신러닝부는, 일측은 상기 예측데이터추출모듈과 연결되고, 타측은 상기 모델저장모듈과 연결되어, 상기 학습모듈을 통해 생성된 모델에 상기 예측데이터추출모듈로부터 전송받은 설정된 플레이북 액션 데이터를 입력해 설정된 플레이북 액션 데이터에 대한 전후 플레이북 액션 데이터를 예측하는 예측모듈을 포함하는 것을 특징으로 한다.According to another embodiment of the present invention, the machine learning unit, one side is connected to the prediction data extraction module, the other side is connected to the model storage module, the model generated through the learning module It characterized in that it comprises a prediction module for predicting the playbook action data before and after the set playbook action data by inputting the set playbook action data transmitted from the prediction data extraction module.
본 발명의 또 다른 실시예에 따르면, 본 발명은, 상기 예측모듈은, 상기 사고대응관리모듈과 연결되어 상기 사고대응관리모듈에 예측된 플레이북 액션 데이터를 전송하는 것을 특징으로 한다.According to another embodiment of the present invention, the prediction module is connected to the accident response management module to transmit the predicted playbook action data to the accident response management module.
본 발명의 또 다른 실시예에 따르면, 본 발명은, 상기 사고대응관리모듈은, 상기 플레이북플로우설정모듈에 예측된 플레이북 액션 데이터를 전송해 플레이북을 자동 완성하는 것을 특징으로 한다.According to another embodiment of the present invention, the accident response management module is characterized in that the playbook is automatically completed by transmitting the predicted playbook action data to the playbook flow setting module.
본 발명의 또 다른 실시예에 따르면, 본 발명은, 보안자동화대응부가 플레이북을 저장하고 이벤트/공격유형에 따라 플레이북을 실행해 대응하는 보안자동화대응단계와, 상기 보안자동화대응단계 이후에, 머신러닝부의 학습모듈이 플레이북 액션 데이터를 이용하여 각 액션별 전후상황의 학습을 수행해 모델을 생성하는 학습단계와, 상기 학습단계 이후에, 머신러닝부의 예측모듈이 상기 학습모듈이 생성한 모델로 설정된 플레이북 액션 데이터에 대한 전후 플레이북 액션 데이터를 예측하는 예측단계를 포함하는 것을 특징으로 한다.According to another embodiment of the present invention, the present invention provides a security automation response step corresponding by storing the playbook by the security automation response unit and executing the playbook according to the event/attack type, and after the security automation response step, A learning step in which the learning module of the machine learning unit generates a model by learning the context of each action using playbook action data, and after the learning step, the prediction module of the machine learning unit uses the model generated by the learning module. It characterized in that it comprises a prediction step of predicting the playbook action data before and after the set playbook action data.
본 발명의 또 다른 실시예에 따르면, 본 발명은, 상기 학습단계는, 보안자동화대응부의 학습데이터추출모듈이 학습을 위해 보안자동화대응부의 사고대응관리모듈과 연결되어 플레이북 액션 데이터를 상기 머신러닝부로 전송하는 학습데이터추출단계와, 상기 학습데이터추출단계 이후에, 상기 학습모듈이 상기 학습데이터추출모듈과 연결되어, 플레이북 액션 데이터를 이용하여 각 액션별 전후상황의 학습을 수행해 모델을 생성하는 모델생성단계를 포함하는 것을 특징으로 한다.According to another embodiment of the present invention, in the learning step, the learning data extraction module of the security automation response unit is connected to the incident response management module of the security automation response unit for learning, so that the playbook action data is transmitted to the machine learning. After the learning data extraction step transmitted to the part and the learning data extraction step, the learning module is connected to the learning data extraction module, and the learning of the context for each action is performed using playbook action data to generate a model. It characterized in that it comprises a model generation step.
본 발명의 또 다른 실시예에 따르면, 본 발명은, 상기 예측단계는, 보안자동화대응부의 예측데이터추출모듈이 예측을 위해 보안자동화대응부의 사고대응관리모듈과 연결되어 설정된 플레이북 액션 데이터를 머신러닝부의 예측모듈로 전송하는 예측데이터추출단계와, 상기 예측데이터추출단계 이후에, 상기 예측모듈이 상기 예측데이터추출모듈과 연결되어, 상기 학습모듈을 통해 생성된 모델에 상기 예측데이터추출모듈로부터 전송받은 설정된 플레이북 액션 데이터를 입력해 설정된 플레이북 액션 데이터에 대한 전후 플레이북 액션 데이터를 예측하는 액션예측단계를 포함하는 것을 특징으로 한다.According to another embodiment of the present invention, in the prediction step, the prediction data extraction module of the security automation response unit is connected to the incident response management module of the security automation response unit for prediction, and the set playbook action data is machine-learned. The prediction data extraction step transmitted to the negative prediction module, and after the prediction data extraction step, the prediction module is connected to the prediction data extraction module, and the model generated through the learning module is transmitted from the prediction data extraction module. And an action prediction step of inputting set playbook action data to predict before and after playbook action data for the set playbook action data.
본 발명의 또 다른 실시예에 따르면, 본 발명은, 상기 플레이북의 자동 생성 방법은, 상기 예측단계 이후에, 상기 예측모듈이 보안자동화대응부의 사고대응관리모듈에 예측된 플레이북 액션 데이터를 전송하는 예측액션전송단계를 추가로 포함하는 것을 특징으로 한다.According to another embodiment of the present invention, in the method of automatically generating the playbook, after the prediction step, the prediction module transmits the predicted playbook action data to the incident response management module of the security automation response unit. It characterized in that it further comprises a predictive action transmission step.
본 발명의 또 다른 실시예에 따르면, 본 발명은, 상기 플레이북의 자동 생성 방법은, 상기 예측액션전송단계 이후에, 상기 사고대응관리모듈이 보안자동화대응부의 플레이북플로우설정모듈에 예측된 플레이북 액션 데이터를 전송해 플레이북을 자동 완성하는 플레이북자동완성단계를 추가로 포함하는 것을 특징으로 한다.According to another embodiment of the present invention, in the present invention, the method for automatically generating the playbook includes, after the predicted action transmission step, the accident response management module is predicted by the playbook flow setting module of the security automation response unit. It characterized in that it further comprises a playbook automatic completion step of automatically completing the playbook by transmitting the book action data.
본 발명은 앞서 본 실시예와 하기에 설명할 구성과 결합, 사용관계에 의해 다음과 같은 효과를 얻을 수 있다.The present invention can obtain the following effects by the configuration, combination, and use relationship that will be described below with the present embodiment.
본 발명은, 각 단계별 대응 프로세스를 머신러닝 기반으로 학습하고, 운영기간 중 검증 및 업데이트를 통해 재학습시킴으로써, 신규 대응 프로세스 생성시 초기 선행 조건에 의해 다음 단계의 플레이북(Playbook) 액션(Action)을 권고/가이드 및 자동 설정해 줄 수 있도록 하는 효과를 가진다.In the present invention, by learning each step-by-step response process based on machine learning, and re-learning through verification and update during the operation period, a playbook action of the next step according to an initial prerequisite when creating a new response process It has the effect of making recommendations/guides and automatic setting.
본 발명은, 학습데이터를 초기에 정의된 플레이북(Playbook) 리스트를 기반으로 할 수 있으며, 운영자가 신규로 생성하여 발생된 대응 프로세스로 학습데이터를 업데이트하여 모델을 개선(재학습 또는 증분)할 수 있도록 하는 효과를 도출한다.In the present invention, the learning data can be based on an initially defined playbook list, and the model can be improved (retrained or incremented) by updating the learning data with the corresponding process newly created and generated by the operator. Derives the effect that enables it.
본 발명은, 새로운 위협에 대응하기 위해 자동 대응 프로세스인 플레이북(Playbook)을 매번 새롭게 만들거나 업데이트 함에 따라 발생하는 노고, 시간, 비용을 줄이고, 프로세스 설정을 보안 인력에 의해 진행했을 때 발생할 수 있는 보안 인력간의 경험, 능력 등에 따른 편차와 설정 오류 등의 문제를 차단하는 효과가 있다.The present invention reduces the labor, time, and cost that occur as an automatic response process, Playbook, is newly created or updated every time to respond to new threats, and can occur when the process setting is performed by security personnel. It has the effect of blocking problems such as deviations and setting errors between security personnel.
본 발명은, SOAR(Security Orchestration, Automation and Response)을 도입한 뒤 운영기간이 길어지더라도, 학습에 의해 대응 프로세스가 계속적으로 자동 생성되어 업데이트 되도록 함으로써, 진화하는 보안 위협으로 시스템을 안전하게 보호하는 효과를 가진다.In the present invention, even if the operating period is prolonged after the introduction of SOAR (Security Orchestration, Automation and Response), the response process is continuously automatically generated and updated by learning, thereby protecting the system safely with evolving security threats. Have.
본 발명은, 머신러닝 기반의 대응 프로세스 자동 생성 및 권고 기술을 적용함으로써, 신규 대응 프로세스의 개발 및 설정을 쉽고 빠르며 정확하게 할 수 있도록 하면서, 운영자의 부담을 덜어주는 효과를 도출한다.The present invention, by applying a machine learning-based response process automatic generation and recommendation technology, enables the development and setting of a new response process to be made easily, quickly and accurately, while reducing the burden on the operator.
본 발명은, 이벤트 또는 공격유형 등에 따라 자동 대응 프로세스를 학습시킬 수 있도록 하는 효과가 있다.The present invention has the effect of allowing an automatic response process to be learned according to an event or attack type.
본 발명은, 머신러닝 시스템에서 데이터 조건(공격명, 공격유형 등)에 따라 대응 프로세스의 선후행 액션을 학습할 수 있도록 하는 효과를 가진다.The present invention has the effect of allowing a machine learning system to learn the preceding and following actions of a response process according to data conditions (attack name, attack type, etc.).
본 발명은, 초기 액션에 대한 후행 액션이 자동 완성 또는 권고될 수 있도록 하는 효과를 도출한다.The present invention derives an effect of allowing a subsequent action to an initial action to be automatically completed or recommended.
본 발명은, 후행 액션에 대한 그 후행 액션이 자동 완성 또는 권고될 수 있도록 하는 효과가 있다.The present invention has the effect of allowing the subsequent action to be automatically completed or recommended for the subsequent action.
본 발명은, 중간 액션에 대한 그 선후행 액션이 자동 완성 또는 권고될 수 있도록 하는 효과를 가진다.The present invention has the effect of allowing the preceding and following actions to be automatically completed or recommended for intermediate actions.
본 발명은, 신규 위협에 관한 데이터가 입력되면, 확률상 가장 근사치에 맞는 플레이북 리스트를 권고하여 적절한 플레이북이 생성될 수 있도록 하는 효과를 도출한다.The present invention derives an effect of generating an appropriate playbook by recommending a playbook list that best approximates probability when data on a new threat is input.
도 1은 종래의 보안 관제 시스템을 도시한 도면.
도 2는 본 발명의 일 실시예에 따른 머신러닝을 이용한 플레이북 자동 생성 시스템을 도시한 도면.
도 3은 도 2의 보안자동화대응부와 머신러닝부의 일 실시예를 도시한 도면.
도 4는 본 발명의 일 실시예에 따른 머신러닝을 이용한 플레이북 자동 생성 방법을 도시한 도면.
도 5는 본 발명의 다른 실시예에 따른 머신러닝을 이용한 플레이북 자동 생성 방법을 도시한 도면.1 is a view showing a conventional security control system.
2 is a diagram illustrating a system for automatically generating playbooks using machine learning according to an embodiment of the present invention.
3 is a diagram showing an embodiment of a security automation response unit and a machine learning unit of FIG. 2;
4 is a diagram illustrating a method for automatically generating playbooks using machine learning according to an embodiment of the present invention.
5 is a diagram illustrating a method for automatically generating playbooks using machine learning according to another embodiment of the present invention.
이하에서는 본 발명에 따른 머신러닝을 이용한 플레이북 자동 생성 시스템 및 그 방법의 바람직한 실시 예들을 첨부된 도면을 참고하여 상세히 설명한다. 하기에서 본 발명을 설명함에 있어 공지의 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략하도록 한다. 특별한 정의가 없는 한 본 명세서의 모든 용어는 본 발명이 속하는 기술분야의 통상의 지식을 가진 기술자가 이해하는 당해 용어의 일반적 의미와 동일하고 만약 본 명세서에서 사용된 용어의 의미와 충돌하는 경우에는 본 명세서에서 사용된 정의에 따른다.Hereinafter, preferred embodiments of the automatic playbook generation system and method using machine learning according to the present invention will be described in detail with reference to the accompanying drawings. In the following description of the present invention, if it is determined that a detailed description of a known function or configuration may unnecessarily obscure the subject matter of the present invention, a detailed description thereof will be omitted. Unless otherwise defined, all terms in this specification are the same as the general meanings of the terms understood by those of ordinary skill in the art to which the present invention belongs, and in case of conflict with the meanings of terms used in the present specification, the present disclosure According to the definitions used in the specification.
도 2는 본 발명의 일 실시예에 따른 머신러닝을 이용한 플레이북 자동 생성 시스템(1)을 도시한 도면으로, 도 2를 참고하면, 상기 머신러닝을 이용한 플레이북 자동 생성 시스템(1)은, 보안관제부(10), 보안자동화대응부(30), 머신러닝부(50)를 포함한다.2 is a view showing an automatic
상기 보안관제부(10)는, 빅데이터 기반 보안관제 시스템으로, 경보/이벤트를 생성해 후술할 보안자동화대응부(30)의 이벤트수집모듈(31)에 상기 경보/이벤트를 전달하는 구성을 말한다. 이를 위해 상기 보안관제부(10)는 이벤트수집모듈(31)과 연결될 수 있다. The
상기 보안자동화대응부(30)는, 플레이북(Playbook)을 저장하고 이벤트/공격유형에 따라 플레이북(Playbook)을 실행해 대응하는 구성을 말한다. 바람직하게는 상기 보안자동화대응부(30)는 SOAR(Security Orchestration, Automation and Response)이며, 플레이북(Playbook)은, 상기 SOAR에서 공격 유형별, 상황별 대응 자동화 프로세스를 의미한다.The security
플레이북(Playbook)은 통상 초기 설정에 의해 1 단계 또는 다단계 확인 항목(예를 들어, '공격명 method=sql injection' 이고 risk=2)과, 자동프로세스단계로 구분할 수 있는데, 각 단계별로 선행 조건 또는 대응 액션(Action)에 따라 다음 단계를 설정하는 방식이다. 예를 들어, 공격명이 이메일 악성코드 이벤트일 때, 이메일 서버에서 악성코드를 가져오고, 메일 내 url을 질의하거나 악성코드를 추출하여 해시(Hash)를 질의 하는 순으로 진행하여 이메일 서버에서 해당 메일을 삭제할 수 있다.Playbooks can usually be classified into one-step or multi-step verification items (for example,'attack name method=sql injection' and risk=2) and automatic process steps by initial setting. Prerequisites for each step Alternatively, the next step is set according to the corresponding action. For example, when the attack name is an email malicious code event, the email server retrieves the malicious code from the email server, queries the url in the email, or extracts the malicious code and queries the hash. Can be deleted.
상기 보안자동화대응부(30)를 통해, 다양한 보안 위협에 대한 대응 프로세스를 자동화해 낮은 수준의 보안 이벤트는 사람의 도움없이 처리하고, 보안 사고 발생시 표준화된 업무 프로세스에 따라 직원이 쉽게 대응하도록 할 수 있다.Through the security
다만, 계속적으로 새로운 위협이 만들어지고, 이러한 위협들이 갈수록 정교화, 고도화 되고 있는바, 초기에 설정한 플레이북(Playbook)을 그대로 계속해서 사용할 수 없으며, 지속적인 업그레이드가 필요하다. 종래에는 보안 운영 인력, 보안 분석가들이 직접 지속적으로 대응 프로세스를 개발하고, 적절한 플레이북(Playbook)을 재설정하였는데, 보안 인력별로 경험, 능력, 숙련도 등이 상이해 대응의 편차가 발생할 수 밖에 없고, 이로 인해, 적절한 대응 프로세스가 수립되지 못하거나 잘못된 대응 프로세스의 설정에 의해 보안에 큰 허점이 발생할 수 있었다.However, as new threats are continuously created, and these threats are becoming more sophisticated and advanced, the playbook set in the beginning cannot be used continuously, and continuous upgrades are required. In the past, security operations personnel and security analysts directly continuously developed a response process and reset an appropriate playbook. However, differences in response were inevitable due to differences in experience, ability, and skill level by security personnel. For this reason, an appropriate response process could not be established, or a large flaw could occur in security due to incorrect setting of the response process.
그러나, 본 발명은 상기 보안자동화대응부(30)에 후술할 머신러닝부(50)를 결합하여, 상기 플레이북(Playbook)이 자동으로 생성되도록 하고, 보안 인력에 플레이북(Playbook)을 권고(가이드)할 수 있게 된다.However, in the present invention, by combining the
도 3을 참고하면, 이러한 상기 보안자동화대응부(30)는, 이벤트수집모듈(31), 플레이북플로우설정모듈(32), 사고대응자동화엔진모듈(33), 사고대응관리모듈(34), 학습데이터추출모듈(35), 예측데이터추출모듈(36)을 포함한다.Referring to FIG. 3, the security
상기 이벤트수집모듈(31)은, 이벤트를 수집하는 구성으로, 상기 보안관제부(10)와 연결되어, 보안관제부(10)가 생성한 경보/이벤트를 수신하게 된다. 상기 이벤트수집모듈(31)은 후술할 사고대응자동화엔진모듈(33)과 연결되어 수집된 데이터들이 DDoS(Distributed Denial of Service) 대응 장비, 침입 차단 시스템(File Wall, FW), 위협 관리 시스템(Threat Management System, TMS), 침입 방지 시스템(Instruction Protection System, IPS), 웹 어플리케이션 방화벽(Web Application Firewall, WAF) 등 수많은 보안 관제 장치에 의해 모니터링될 수 있다.The
상기 플레이북플로우설정모듈(32)은, 이벤트별/공격유형별 대응 자동화 프로세스인 플레이북(Playbook)을 등록하는 구성을 말한다. 상기 플레이북플로우설정모듈(32)에 의해 후술할 사고대응자동화엔진모듈(33)의 동작이 결정되는바, 보안 분석가는 이벤트별/공격유형별 조건에 맞는 액션(Action)에 대해 자동화 엔진이 자동화 대응 프로세스를 실행할 수 있도록 상기 플레이북플로우설정모듈(32)에 복수의 플레이북(Playbook) 플로우를 설정할 수 있다. 상기 플레이북플로우설정모듈(32)은, 후술할 사고대응관리모듈(34)과 연결되어, 설정된 플레이북 액션 데이터를 사고대응관리모듈(34)에 전송하고, 사고대응관리모듈(34)로부터 예측된 플레이북 액션 데이터를 전송받아 플레이북을 자동 업데이트할 수 있다.The playbook
상기 사고대응자동화엔진모듈(33)은, 일측은 상기 이벤트수집모듈(31)과 연결되고 타측은 상기 플레이북플로우설정모듈(32)과 연결되어 이벤트별/공격유형별로 대응 자동화 프로세스인 플레이북을 실행하는 구성을 말한다. 상기 사고대응자동화엔진모듈(33)에 의해 DDoS(Distributed Denial of Service) 대응 장비, 침입 차단 시스템(File Wall, FW), 위협 관리 시스템(Threat Management System, TMS), 침입 방지 시스템(Instruction Protection System, IPS), 웹 어플리케이션 방화벽(Web Application Firewall, WAF) 등이 자동으로 실행될 수 있게 된다.The accident response
상기 사고대응관리모듈(34)은, 일측은 상기 사고대응자동화엔진모듈(33)과 연결되고 타측은 상기 플레이북플로우설정모듈(32)과 연결되어 실행된 사고 대응 프로세스를 출력하고, 상기 플레이북플로우설정모듈로(32)부터 설정된 플레이북 액션 데이터를 수신하는 구성을 말한다. 상기 사고대응관리모듈(34)에 의해 실행된 사고 대응 프로세스는 보안 분석가가 보는 화면에 표출될 수 있다. 상기 사고대응관리모듈(34)은 후술할 학습데이터추출모듈(35)과 연결되어, 학습데이터추출모듈(35)에 플레이북 액션 데이터를 전송할 수 있고, 후술할 예측데이터추출모듈(36)과도 연결되어, 예측데이터추출모듈(36)에 설정된 플레이북 액션 데이터를 전송할 수도 있으며, 예측데이터추출모듈(36)로부터 예측된 플레이북 액션 데이터를 전송받아 상기 플레이북플로우설정모듈(32)에 저장되는 플레이북(Playbook)을 자동으로 완성할 수 있다. The accident
또한, 상기 사고대응관리모듈(34)은 후술할 예측데이터추출모듈(36)로부터 전송 받은 예측된 플레이북 액션 데이터가 보안 분석가의 화면에 출력되도록 함으로써, 초기 설정 액션에 맞는 후행 액션을 권고/가이드하거나, 후행 액션 선택 후 다시 후행 액션을 권고/가이드할 수도 있고, 중간 액션 수정시 선행/후행 경우의 수에 따라 권고/가이드를 할 수도 있으며, 신규 위협 조건/데이터 입력시 확률상 제일 근사치에 맞는 플레이북(Playbook) 리스트를 권고/가이드할 수도 있다.In addition, the accident
상기 학습데이터추출모듈(35)은, 학습을 위해 상기 사고대응관리모듈(34)과 연결되어 플레이북 액션 데이터를 머신러닝부(50)로 전송하는 구성을 말한다. 상기 학습데이터추출모듈(35)은 이벤트/공격유형/플레이북별로 수행/확인/수집된 데이터를 머신러닝부(50)로 전송할 수 있다. 이를 위해 상기 학습데이터추출모듈(35)은 후술할 머신러닝부(50)의 학습모듈(51)과 연결된다.The learning
상기 예측데이터추출모듈(36)은, 예측을 위해 상기 사고대응관리모듈(34)과 연결되어 상기 사고대응관리모듈(34)이 상기 플레이북플로우설정모듈(32)로부터 전송 받은 설정된 플레이북 액션 데이터를 머신러닝부(50)로 전송하는 구성을 가리킨다. 머신러닝부(50)로 전송된 설정된 플레이북 액션 데이터는 학습모듈(51)에 의해 생성된 모델에 의해 해당 액션에 대한 전후 액션 데이터가 예측될 수 있다. 바람직하게는 상기 학습데이터추출모듈(35)과 상기 예측데이터추출모듈(36)은 도 3에 도시된 바와 같이, 독립적으로 분리 구성될 수 있다.The prediction
상기 머신러닝부(50)는, 상기 보안자동화대응부(30)와 연결되어 설정된 플레이북 액션 데이터를 학습해 모델을 생성하고 생성된 모델로 설정된 플레이북 액션 데이터에 대한 전후 플레이북 액션 데이터를 예측하는 구성을 말한다. 상기 머신러닝부(50)를 구성해, 보안 인력이 고도화 되는 위협에 따라 플레이북(Playbook)을 갱신하고자 할 때, 보안 인력의 개입 없이고 플레이북(Playbook)이 자동으로 갱신되도록 할 수 있으며, 보안 인력에게 플레이북(Playbook)의 갱신 방향을 안내 할 수도 있는바, 보안 인력의 업무 부담이 크게 줄어들게 되고, 플레이북(Playbook)이 보안 인력별로 편차가 심하게 변경되거나, 잘못된 대응 프로세스의 설정에 의해 보안상에 문제가 발생하는 것을 방지할 수 있게 된다. 이러한 상기 머신러닝부(50)는, 학습모듈(51), 모델저장모듈(52), 예측모듈(53)을 포함한다.The
상기 학습모듈(51)은, 상기 학습데이터추출모듈(35)과 연결되어, 플레이북 액션 데이터를 이용하여 각 액션별 전후상황의 학습을 수행해 모델을 생성하는 구성을 말한다. 초기 설정되는 대응 프로세스와 운영 중 설정한 대응 프로세스의 조건, 단계, 대응 액션이 학습데이터가 될 수 있다. 즉, 상기 학습모듈(51)을 통해 SOAR 자동 대응 프로세스가 학습되며, 이러한 학습은 지도학습에 의해 예측 모델을 생성하는 것으로 볼 수 있다. 상기 학습모듈(51)은 후술할 모델저장모듈(52)과 연결이 되어, 학습을 통해 생성한 모델을 모델저장모듈(52)에 저장할 수 있다.The
상기 모델저장모듈(52)은, 상기 학습모듈(51)과 연결되어 학습에 의해 생성된 모델을 저장하는 구성을 말한다. 상기 모델저장모듈(52)은 후술할 예측모듈(53)과도 연결이 되며, 예측모듈(53)이 특정 액션에 대한 전후 액션 데이터를 예측할 때 저장된 모델을 제공할 수 있다.The
상기 예측모듈(53)은, 일측은 상기 예측데이터추출모듈(36)과 연결되고, 타측은 상기 모델저장모듈(52)과 연결되어, 상기 학습모듈(51)을 통해 생성된 모델에 상기 예측데이터추출모듈(36)로부터 전송받은 설정된 플레이북 액션 데이터를 입력해 설정된 플레이북 액션 데이터에 대한 전후 플레이북 액션 데이터를 예측하는 구성을 말한다. 상기 예측모듈(53)은, 상기 사고대응관리모듈(34)과 연결되어 상기 사고대응관리모듈(34)에 예측된 플레이북 액션 데이터를 전송할 수 있다. 예측된 플레이북 액션 데이터는, 초기 설정 액션에 맞는 후행 액션의 자동 완성 및/또는 플레이북 가이드, 후행 선택 후 다시 후행 자동 완성 및/또는 플레이북 가이드, 화면상 초기 조건에 의해 후행 모든 액션 자동 생성, 중간 액션 수정시 선행/후행 경우의 수에 따라 플레이북 자동 생성 및/또는 권고, 신규 위협 조건/데이터 입력시 확률상 제일 근사치에 맞는 플레이북 리스트를 권고하는 등에 사용될 수 있다.The
이하에서는, 머신러닝을 이용한 플레이북 자동 생성 방법(S1)에 대해 설명하겠다. 중복된 서술을 방지하기 위해, 이미 언급한 내용에 관해서는 그에 관한 설명을 생략하거나 간략히 하겠다.Hereinafter, a method for automatically generating playbooks using machine learning (S1) will be described. In order to avoid redundant descriptions, descriptions about the already mentioned content will be omitted or simplified.
도 4 및 도 5는 머신러닝을 이용한 플레이북 자동 생성 방법(S1)을 도시한 도면으로, 도 4 및 도 5를 참고하면, 상기 머신러닝을 이용한 플레이북 자동 생성 방법(S1)은 보안자동화대응단계(S10), 학습단계(S30), 예측단계(S50), 예측액션전송단계(S70), 플레이북자동완성단계(S90)를 포함한다.4 and 5 are diagrams showing an automatic playbook generation method (S1) using machine learning. Referring to FIGS. 4 and 5, the automatic playbook generation method (S1) using machine learning corresponds to security automation. It includes a step (S10), a learning step (S30), a prediction step (S50), a prediction action transmission step (S70), and an automatic playbook completion step (S90).
상기 보안자동화대응단계(S10)는, 보안자동화대응부(30)가 플레이북을 저장하고 이벤트/공격유형에 따라 플레이북을 실행해 대응하는 단계를 말한다. 상기 보안자동화대응단계(S10)에서는 대응 자동화 프로세스인 플레이북(Playbook)이 실행되는바, 다양한 보안 위협에 대한 대응 프로세스의 자동화가 가능해진다. 하지만, 초기의 플레이북(Playbook)만을 고수할 경우, 변화하는 위협에 적절히 대응할 수 없기에, 상기 플레이북(Playbook)을 지속적으로 업데이트 시켜줄 필요가 있고, 기존 방식처럼 보안 분석가 등에 의해 직접적인 업데이트가 이루어질 경우, 잘못된 플레이북(Playbook) 설정이 이루어질 수도 있고, 보안 인력이 과도한 업무 부담을 느낄 수도 있으므로, 플레이북(Playbook)을 자동으로 생성하거나, 이에 관한 갱신이 가이드될 수 있도록 하는 이하의 과정이 진행된다.The security automation response step (S10) refers to a step in which the security
상기 학습단계(S30)는, 상기 보안자동화대응단계(S10) 이후에, 머신러닝부(50)의 학습모듈(51)이 플레이북 액션 데이터를 이용하여 각 액션별 전후상황의 학습을 수행해 모델을 생성하는 단계를 말한다. 사고대응자동화엔진모듈(33)에 의해 이벤트/공격유형별 플레이북(Playbook)이 실행되면, 이에 관한 데이터가 사고대응관리모듈(34)에 수신되고, 사고대응관리모듈(34)은 이벤트별/공격유형별/플레이북별로 수행/확인/수집된 데이터를 학습데이터추출모듈(35)을 통해 머신러닝부(50)로 전송하여 모델 학습에 사용되도록 한다. 이러한 상기 학습단계(S30)는, 학습데이터추출단계(S31)와, 모델생성단계(S33)를 포함한다.In the learning step (S30), after the security automation response step (S10), the
상기 학습데이터추출단계(S31)는, 보안자동화대응부(30)의 학습데이터추출모듈(35)이 학습을 위해 보안자동화대응부(30)의 사고대응관리모듈(34)과 연결되어 플레이북 액션 데이터를 상기 머신러닝부(50)로 전송하는 단계를 말한다. 상기 학습데이터추출모듈(35)은 머신러닝부(50)의 학습모듈(51)과 연결되어 이벤트/공격유형/플레이북별로 수행/확인/수집된 데이터를 머신러닝부(50)로 전송하게 된다.In the learning data extraction step (S31), the learning
상기 모델생성단계(S33)는, 상기 학습데이터추출단계(S31) 이후에, 상기 학습모듈(51)이 상기 학습데이터추출모듈(35)과 연결되어, 플레이북 액션 데이터를 이용하여 각 액션별 전후상황의 학습을 수행해 모델을 생성하는 단계를 말한다. 상기 모델생성단계(S33)를 통해 생성된 모델은 상기 모델저장모듈(52)에 저장이 되어 후술할 예측단계(S50)에서 이용될 수 있다. In the model generation step (S33), after the learning data extraction step (S31), the
상기 예측단계(S50)는, 상기 학습단계(S30) 이후에, 머신러닝부(50)의 예측모듈(53)이 상기 학습모듈(51)이 생성한 모델로 설정된 플레이북 액션 데이터에 대한 전후 플레이북 액션 데이터를 예측하는 단계를 말한다. 이러한 상기 예측단계(S50)는, 예측데이터추출단계(S51)와, 액션예측단계(S53)를 포함한다.The prediction step (S50) is, after the learning step (S30), the
상기 예측데이터추출단계(S51)는, 보안자동화대응부(30)의 예측데이터추출모듈(36)이 예측을 위해 보안자동화대응부(30)의 사고대응관리모듈(34)과 연결되어 설정된 플레이북 액션 데이터를 머신러닝부(50)의 예측모듈(53)로 전송하는 단계를 말한다.In the predicted data extraction step (S51), the predicted
상기 액션예측단계(S53)는, 상기 예측데이터추출단계(S51) 이후에, 상기 예측모듈(53)이 상기 예측데이터추출모듈(36)과 연결되어, 상기 학습모듈(51)을 통해 생성된 모델에 상기 예측데이터추출모듈(36)로부터 전송받은 설정된 플레이북 액션 데이터를 입력해 설정된 플레이북 액션 데이터에 대한 전후 플레이북 액션 데이터를 예측하는 단계를 말한다.In the action prediction step (S53), after the prediction data extraction step (S51), the
상기 예측액션전송단계(S70)는, 상기 예측단계(S50) 이후에, 상기 예측모듈(53)이 보안자동화대응부(30)의 사고대응관리모듈(34)에 예측된 플레이북 액션 데이터를 전송하는 단계를 말한다. 상기 사고대응관리모듈(34)은 보안 분석가 측의 장치와 연결되는바, 예측된 플레이북 액션 데이터가 보안 분석가의 디스플레이부 등을 통해 출력될 수 있고, 보안 분석가는 출력된 예측 플레이북 액션 데이터를 통해 플레이북(Playbook)의 갱신 방향을 안내받을 수 있게 되며, 권고되는 플레이북 리스크를 제공받아 그 중 어느 하나를 선택해 새로운 플레이북을 생성할 수도 있다.In the prediction action transmission step (S70), after the prediction step (S50), the
상기 플레이북자동완성단계(S90)는, 상기 예측액션전송단계(S70) 이후에, 상기 사고대응관리모듈(34)이 보안자동화대응부(30)의 플레이북플로우설정모듈(32)에 예측된 플레이북 액션 데이터를 전송해 플레이북을 자동 완성하는 단계를 말한다. 전술한 바와 같이, 사고대응관리모듈(34)에 수신된 플레이북 액션 데이터는 보안 분석가 측에 제공되어 보안 분석가에 의한 플레이북을 생성을 기대할 수 있음은 물론, 사고대응관리모듈(34)이 플레이북플로우설정모듈(32)과 연결되어, 새로운 플레이북을 자동으로 생성할 수도 있다. 상기 플레이북자동완성단계(S90)를 통해 보안 분석가가 일일이 플레이북을 생성해야 하는 불편은 사라질 수 있게 된다.In the playbook automatic completion step (S90), after the predicted action transmission step (S70), the accident
이상의 상세한 설명은 본 발명을 예시하는 것이다. 또한, 전술한 내용은 본 발명의 바람직한 실시 형태를 나타내어 설명하는 것이며, 본 발명은 다양한 다른 조합, 변경 및 환경에서 사용할 수 있다. 즉 본 명세서에 개시된 발명의 개념의 범위, 저술한 개시 내용과 균등한 범위 및/또는 당업계의 기술 또는 지식의 범위내에서 변경 또는 수정이 가능하다. 저술한 실시예는 본 발명의 기술적 사상을 구현하기 위한 최선의 상태를 설명하는 것이며, 본 발명의 구체적인 적용 분야 및 용도에서 요구되는 다양한 변경도 가능하다. 따라서 이상의 발명의 상세한 설명은 개시된 실시 상태로 본 발명을 제한하려는 의도가 아니다. 또한 첨부된 청구범위는 다른 실시 상태도 포함하는 것으로 해석되어야 한다.The detailed description above is illustrative of the present invention. In addition, the above description shows and describes preferred embodiments of the present invention, and the present invention can be used in various other combinations, modifications and environments. That is, changes or modifications may be made within the scope of the concept of the invention disclosed in the present specification, the scope equivalent to the disclosed contents, and/or the skill or knowledge of the art. The above-described embodiments describe the best state for implementing the technical idea of the present invention, and various changes required in the specific application fields and uses of the present invention are possible. Therefore, the detailed description of the invention is not intended to limit the invention to the disclosed embodiment. In addition, the appended claims should be construed as including other embodiments.
1: 머신러닝을 이용한 플레이북 자동 생성 시스템
10: 보안관제부
30: 보안자동화대응부
31: 이벤트수집모듈
32: 플레이북플로우설정모듈
33: 사고대응자동화엔진모듈
34: 사고대응관리모듈
35: 학습데이터추출모듈
36: 예측데이터추출모듈
50: 머신러닝부
51: 학습모듈
52: 모델저장모듈
53: 예측모듈
S1: 머신러닝을 이용한 플레이북 자동 생성 방법
S10: 보안자동화대응단계
S30: 학습단계
S31: 학습데이터추출단계
S33: 모델생성단계
S50: 예측단계
S51: 예측데이터추출단계
S53: 액션예측단계
S70: 예측액션전송단계
S90: 플레이북자동완성단계1: Automatic playbook generation system using machine learning
10: Security Control Department
30: Security Automation Response Department
31: event collection module
32: playbook flow setting module
33: accident response automation engine module
34: accident response management module
35: learning data extraction module
36: predictive data extraction module
50: Machine Learning Department
51: learning module
52: model storage module
53: prediction module
S1: How to automatically generate playbooks using machine learning
S10: Security automation response stage
S30: Learning stage
S31: learning data extraction step
S33: Model generation step
S50: prediction stage
S51: Prediction data extraction step
S53: Action prediction step
S70: Prediction action transmission step
S90: Playbook automatic completion stage
Claims (14)
상기 보안자동화대응부는, 실행된 사고 대응 프로세스를 출력하고 설정된 플레이북 액션 데이터를 수신하는 사고대응관리모듈과, 학습을 위해 상기 사고대응관리모듈과 연결되어 플레이북 액션 데이터를 상기 머신러닝부로 전송하는 학습데이터추출모듈과, 예측을 위해 상기 사고대응관리모듈과 연결되어 설정된 플레이북 액션 데이터를 상기 머신러닝부로 전송하는 예측데이터추출모듈을 포함하며,
상기 머신러닝부는, 상기 학습데이터추출모듈과 연결되어, 플레이북 액션 데이터를 이용하여 각 액션별 전후상황의 학습을 수행해 모델을 생성하는 학습모듈과, 상기 학습모듈과 연결되어 학습에 의해 생성된 모델을 저장하는 모델저장모듈과, 일측은 상기 예측데이터추출모듈과 연결되고, 타측은 상기 모델저장모듈과 연결되어, 상기 학습모듈을 통해 생성된 모델에 상기 예측데이터추출모듈로부터 전송받은 설정된 플레이북 액션 데이터를 입력해 설정된 플레이북 액션 데이터에 대한 전후 플레이북 액션 데이터를 예측하는 예측모듈을 포함하는 것을 특징으로 하는, 머신러닝을 이용한 플레이북 자동 생성 시스템.Save the playbook and execute the playbook according to the event/attack type to respond to the security automation response unit, and the playbook action data set in connection with the security automation response unit to create a model and play set as the created model Including a machine learning unit that predicts playbook action data before and after the book action data,
The security automation response unit includes an accident response management module that outputs an executed accident response process and receives set playbook action data, and is connected to the accident response management module for learning to transmit playbook action data to the machine learning unit. A learning data extraction module and a prediction data extraction module for transmitting the set playbook action data connected to the accident response management module for prediction to the machine learning unit,
The machine learning unit is connected to the learning data extraction module, a learning module that generates a model by learning before and after each action using playbook action data, and a model generated by learning by being connected to the learning module A model storage module for storing, and one side is connected to the prediction data extraction module, and the other side is connected to the model storage module, and a set playbook action transmitted from the prediction data extraction module to the model generated through the learning module A playbook automatic generation system using machine learning, characterized in that it comprises a prediction module that predicts before and after playbook action data for playbook action data set by inputting data.
상기 보안자동화대응부는, 이벤트를 수집하는 이벤트수집모듈과, 이벤트별/공격유형별 플레이북을 등록하는 플레이북플로우설정모듈과, 일측은 상기 이벤트수집모듈과 연결되고 타측은 상기 플레이북플로우설정모듈과 연결되어 이벤트별/공격유형별로 플레이북을 실행하는 사고대응자동화엔진모듈을 포함하는 것을 특징으로 하는, 머신러닝을 이용한 플레이북 자동 생성 시스템.The method of claim 1,
The security automation response unit includes an event collection module for collecting events, a playbook flow setting module for registering playbooks for each event/attack type, one side is connected to the event collection module, and the other side is the playbook flow setting module. An automatic playbook generation system using machine learning, characterized in that it comprises an accident response automation engine module that is connected to execute a playbook for each event/attack type.
상기 예측모듈은, 상기 사고대응관리모듈과 연결되어 상기 사고대응관리모듈에 예측된 플레이북 액션 데이터를 전송하는 것을 특징으로 하는, 머신러닝을 이용한 플레이북 자동 생성 시스템.The method of claim 1,
The prediction module is connected to the accident response management module to transmit the predicted playbook action data to the accident response management module. A playbook automatic generation system using machine learning.
상기 사고대응관리모듈은, 상기 플레이북플로우설정모듈에 예측된 플레이북 액션 데이터를 전송해 플레이북을 자동 완성하는 것을 특징으로 하는, 머신러닝을 이용한 플레이북 자동 생성 시스템.The method of claim 2,
The accident response management module, characterized in that the automatic completion of the playbook by transmitting the predicted playbook action data to the playbook flow setting module, automatic playbook generation system using machine learning.
상기 학습단계는, 보안자동화대응부의 학습데이터추출모듈이 학습을 위해 보안자동화대응부의 사고대응관리모듈과 연결되어 플레이북 액션 데이터를 상기 머신러닝부로 전송하는 학습데이터추출단계와, 상기 학습데이터추출단계 이후에, 상기 학습모듈이 상기 학습데이터추출모듈과 연결되어, 플레이북 액션 데이터를 이용하여 각 액션별 전후상황의 학습을 수행해 모델을 생성하는 모델생성단계를 포함하며,
상기 예측단계는, 보안자동화대응부의 예측데이터추출모듈이 예측을 위해 보안자동화대응부의 사고대응관리모듈과 연결되어 설정된 플레이북 액션 데이터를 머신러닝부의 예측모듈로 전송하는 예측데이터추출단계와, 상기 예측데이터추출단계 이후에, 상기 예측모듈이 상기 예측데이터추출모듈과 연결되어, 상기 학습모듈을 통해 생성된 모델에 상기 예측데이터추출모듈로부터 전송받은 설정된 플레이북 액션 데이터를 입력해 설정된 플레이북 액션 데이터에 대한 전후 플레이북 액션 데이터를 예측하는 액션예측단계를 포함하는 것을 특징으로 하는, 머신러닝을 이용한 플레이북 자동 생성 방법.The security automation response step in which the security automation response unit stores the playbook and executes the playbook according to the event/attack type, and after the security automation response step, the learning module of the machine learning unit uses the playbook action data. A learning step in which a model is generated by learning the context of each action, and after the learning step, the prediction module of the machine learning unit predicts the playbook action data before and after the playbook action data set as the model generated by the learning module Includes a prediction step,
The learning step includes a learning data extraction step in which a learning data extraction module of a security automation response unit is connected to an accident response management module of a security automation response unit for learning and transmits playbook action data to the machine learning unit, and the learning data extraction step Thereafter, the learning module is connected to the learning data extraction module and includes a model generation step of generating a model by performing learning of the context for each action using playbook action data,
The prediction step includes a prediction data extraction step in which the prediction data extraction module of the security automation response unit transmits the set playbook action data to the prediction module of the machine learning unit by being connected to the accident response management module of the security automation response unit for prediction, and the prediction After the data extraction step, the prediction module is connected to the prediction data extraction module, and the set playbook action data transmitted from the prediction data extraction module is input to the model generated through the learning module to the set playbook action data. A method for automatically generating playbooks using machine learning, characterized in that it comprises an action prediction step of predicting the before and after playbook action data.
상기 플레이북의 자동 생성 방법은, 상기 예측단계 이후에, 상기 예측모듈이 보안자동화대응부의 사고대응관리모듈에 예측된 플레이북 액션 데이터를 전송하는 예측액션전송단계를 추가로 포함하는 것을 특징으로 하는, 머신러닝을 이용한 플레이북 자동 생성 방법.The method of claim 10,
The method of automatically generating the playbook, after the prediction step, further comprises a prediction action transmission step of transmitting, by the prediction module, the predicted playbook action data to the incident response management module of the security automation response unit. , A method of automatically generating playbooks using machine learning.
상기 보안자동화대응단계 이후에, 머신러닝부의 학습모듈이 플레이북 액션 데이터를 이용하여 각 액션별 전후상황의 학습을 수행해 모델을 생성하는 학습단계와,
상기 학습단계 이후에, 머신러닝부의 예측모듈이 상기 학습모듈이 생성한 모델로 설정된 플레이북 액션 데이터에 대한 전후 플레이북 액션 데이터를 예측하는 예측단계와,
상기 예측단계 이후에, 상기 예측모듈이 보안자동화대응부의 사고대응관리모듈에 예측된 플레이북 액션 데이터를 전송하는 예측액션전송단계와,
상기 예측액션전송단계 이후에, 상기 사고대응관리모듈이 보안자동화대응부의 플레이북플로우설정모듈에 예측된 플레이북 액션 데이터를 전송해 플레이북을 자동 완성하는 플레이북자동완성단계를 포함하는 것을 특징으로 하는, 머신러닝을 이용한 플레이북 자동 생성 방법.The security automation response step in which the security automation response department stores the playbook and executes the playbook according to the event/attack type,
After the security automation response step, a learning step in which the learning module of the machine learning unit performs learning of the context for each action using playbook action data to generate a model; and
After the learning step, a prediction step in which the prediction module of the machine learning unit predicts the before and after playbook action data for the playbook action data set as the model generated by the learning module;
After the prediction step, the prediction module transmits the predicted playbook action data to the accident response management module of the security automation response unit, a prediction action transmission step,
After the predicted action transmission step, the accident response management module transmits the predicted playbook action data to the playbook flow setting module of the security automation response unit to automatically complete the playbook. How to automatically generate playbooks using machine learning.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020200075029A KR102198104B1 (en) | 2020-06-19 | 2020-06-19 | Playbook Automatic Generation System Using Machine Learning and Method Thereof |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020200075029A KR102198104B1 (en) | 2020-06-19 | 2020-06-19 | Playbook Automatic Generation System Using Machine Learning and Method Thereof |
Publications (1)
Publication Number | Publication Date |
---|---|
KR102198104B1 true KR102198104B1 (en) | 2021-01-05 |
Family
ID=74140633
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020200075029A KR102198104B1 (en) | 2020-06-19 | 2020-06-19 | Playbook Automatic Generation System Using Machine Learning and Method Thereof |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR102198104B1 (en) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR102402166B1 (en) * | 2021-10-07 | 2022-05-31 | (주)시큐레이어 | Method and device for supporting managing security event by using playbook based on interactive simulation |
KR102419451B1 (en) * | 2021-11-17 | 2022-07-11 | 한국인터넷진흥원 | Artificial intelligence based threat analysis automation system and method |
KR102443400B1 (en) * | 2022-04-14 | 2022-09-19 | (주)시큐레이어 | Method and device for validating playbook to cope with security event |
KR20230134199A (en) * | 2022-03-14 | 2023-09-21 | 주식회사 이글루코퍼레이션 | Apparatus and method for security automation response for soar platform |
KR20240067476A (en) | 2022-11-09 | 2024-05-17 | 한국인터넷진흥원 | System and method for generating automatically playbook and verifying validity of playbook based on artificial intelligence |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101486307B1 (en) | 2013-11-18 | 2015-01-29 | 한국전자통신연구원 | Apparatus and method for security monitoring |
US10681071B1 (en) * | 2016-08-02 | 2020-06-09 | ThreatConnect, Inc. | Enrichment and analysis of cybersecurity threat intelligence and orchestrating application of threat intelligence to selected network security events |
-
2020
- 2020-06-19 KR KR1020200075029A patent/KR102198104B1/en active IP Right Grant
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101486307B1 (en) | 2013-11-18 | 2015-01-29 | 한국전자통신연구원 | Apparatus and method for security monitoring |
US10681071B1 (en) * | 2016-08-02 | 2020-06-09 | ThreatConnect, Inc. | Enrichment and analysis of cybersecurity threat intelligence and orchestrating application of threat intelligence to selected network security events |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR102402166B1 (en) * | 2021-10-07 | 2022-05-31 | (주)시큐레이어 | Method and device for supporting managing security event by using playbook based on interactive simulation |
KR102419451B1 (en) * | 2021-11-17 | 2022-07-11 | 한국인터넷진흥원 | Artificial intelligence based threat analysis automation system and method |
KR20230134199A (en) * | 2022-03-14 | 2023-09-21 | 주식회사 이글루코퍼레이션 | Apparatus and method for security automation response for soar platform |
KR102677230B1 (en) * | 2022-03-14 | 2024-06-21 | 주식회사 이글루코퍼레이션 | Apparatus and method for security automation response for soar platform |
KR102443400B1 (en) * | 2022-04-14 | 2022-09-19 | (주)시큐레이어 | Method and device for validating playbook to cope with security event |
KR20240067476A (en) | 2022-11-09 | 2024-05-17 | 한국인터넷진흥원 | System and method for generating automatically playbook and verifying validity of playbook based on artificial intelligence |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR102198104B1 (en) | Playbook Automatic Generation System Using Machine Learning and Method Thereof | |
AU2019232804B2 (en) | Decision tables and flow engine for building automated flows within a cloud based development platform | |
US10901727B2 (en) | Monitoring code sensitivity to cause software build breaks during software project development | |
US8996394B2 (en) | System and method for enabling decision activities in a process management and design environment | |
US20200090087A1 (en) | Dynamic real-time feedback for agents | |
Jansen et al. | Mitigating risks of digitalization through managed industrial security services | |
US8200606B2 (en) | Alert management system and method | |
CN102982396A (en) | General process modeling framework | |
WO2020087011A2 (en) | Resource configuration and management system | |
Ali et al. | Towards requirement change management for global software development using case base reasoning | |
Qian et al. | Rationalism with a dose of empiricism: combining goal reasoning and case-based reasoning for self-adaptive software systems | |
US20200067776A1 (en) | Persona/individual based actions based on community specific trigger | |
KR102197590B1 (en) | Playbook Approval Process Improvement System Using Machine Learning and Method Thereof | |
Omerovic et al. | A feasibility study of a method for identification and modelling of cybersecurity risks in the context of smart power grid | |
Bubak et al. | K-wfgrid-the knowledge-based workflow system for grid applications | |
Mees | Security by design in an enterprise architecture framework | |
Shwartz et al. | Quality of IT service delivery—Analysis and framework for human error prevention | |
Jansen | Stabilizing the industrial system: Managed security services’ contribution to cyber-peace | |
EP3624027A1 (en) | Decision tables and flow engine for building automated flows within a cloud based development platform | |
Asnar et al. | Secure and dependable patterns in organizations: An empirical approach | |
EP3082085A1 (en) | Methods and systems for adaptive and contextual collaboraiton in a network | |
van Tooren et al. | Research Questions in the Acceptance of Cybersecurity by SMEs in the EU | |
Ylätalo | Development of process and tools for vulnerability management | |
Yari et al. | Design and implementation of organizational architecture in organizations in charge of combating smuggling of goods and currency with the aim of improving the management of organizational networks | |
US20220027831A1 (en) | System and method for security analyst modeling and management |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant |