KR102291977B1 - Method for assessment damage of malware attack, recording medium and device for performing the method - Google Patents

Method for assessment damage of malware attack, recording medium and device for performing the method Download PDF

Info

Publication number
KR102291977B1
KR102291977B1 KR1020190144206A KR20190144206A KR102291977B1 KR 102291977 B1 KR102291977 B1 KR 102291977B1 KR 1020190144206 A KR1020190144206 A KR 1020190144206A KR 20190144206 A KR20190144206 A KR 20190144206A KR 102291977 B1 KR102291977 B1 KR 102291977B1
Authority
KR
South Korea
Prior art keywords
malicious code
damage
attack
dmu
measuring
Prior art date
Application number
KR1020190144206A
Other languages
Korean (ko)
Other versions
KR20210057446A (en
Inventor
이경호
이채은
오준형
백인주
박세미
김채운
윤현식
Original Assignee
고려대학교 산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 고려대학교 산학협력단 filed Critical 고려대학교 산학협력단
Priority to KR1020190144206A priority Critical patent/KR102291977B1/en
Publication of KR20210057446A publication Critical patent/KR20210057446A/en
Application granted granted Critical
Publication of KR102291977B1 publication Critical patent/KR102291977B1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/06Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
    • G06Q10/063Operations research, analysis or management
    • G06Q10/0637Strategic management or analysis, e.g. setting a goal or target of an organisation; Planning actions based on goals; Analysis or evaluation of effectiveness of goals
    • G06Q10/06375Prediction of business process outcome or impact based on a proposed change

Abstract

악성코드 공격 피해 규모 측정 방법은, 악성코드로 인해 발생한 시스템 변화 로그를 기준으로 하여 DEA 모델의 기본 단위가 되는 DMU(Decision Making Unit)를 선정하는 단계; 머신러닝을 통해 악성코드 공격 피해 규모의 산출요소를 구성하는 투입요소 및 상기 각 투입요소 별 가중치를 자동으로 결정하는 단계; 상기 투입요소 및 상기 각 투입요소 별 가중치를 이용한 악성코드의 공격 피해 규모를 계산하는 단계; 및 계산된 공격 피해 규모를 이용하여 수집한 DMU 중 피해 규모가 가장 큰 DMU를 대상으로 각 투입요소를 축으로 가지는 k차원 벡터 공간에서의 거리를 기초로 악성코드의 공격 피해 규모를 측정하는 단계;를 포함한다. 이에 따라, DEA 모델을 이용하여 모바일 악성코드 공격 피해 규모 계산 및 예측이 가능하다.The method of measuring the damage size of a malicious code attack includes the steps of selecting a Decision Making Unit (DMU), which is the basic unit of the DEA model, based on a log of system changes caused by malicious code; automatically determining input factors constituting a calculation factor of a malicious code attack damage scale and a weight for each input factor through machine learning; calculating an attack damage magnitude of the malicious code using the input factors and a weight for each input factor; and measuring the attack damage scale of the malicious code based on the distance in the k-dimensional vector space having each input element as an axis for the DMU with the largest damage scale among the DMUs collected using the calculated attack damage scale; includes Accordingly, it is possible to calculate and predict the damage size of a mobile malware attack using the DEA model.

Description

악성코드 공격 피해 규모 측정 방법, 이를 수행하기 위한 기록 매체 및 장치{METHOD FOR ASSESSMENT DAMAGE OF MALWARE ATTACK, RECORDING MEDIUM AND DEVICE FOR PERFORMING THE METHOD}A method for measuring the size of a malicious code attack damage, and a recording medium and device for performing it

본 발명은 악성코드 공격 피해 규모 측정 검증 방법, 이를 수행하기 위한 기록 매체 및 장치에 관한 것으로서, 더욱 상세하게는 악성코드 공격을 통해 받은 피해 규모를 DEA(Data Envelopment Analysis) 모델을 이용해 측정하는 방법에 관한 것이다.The present invention relates to a method for measuring and verifying the size of a malicious code attack damage, and a recording medium and apparatus for performing the same, and more particularly, to a method of measuring the damage received through a malicious code attack using a DEA (Data Envelopment Analysis) model. it's about

세계적으로 사이버 환경에서 사이버 위험(Cyber Risk)이 부상하고 있으며, 사이버 위험관리 수단 가운데 하나인 사이버보험(Cyber Insurance)의 중요성이 증대하고 있다.Cyber risk is emerging in the global cyber environment, and the importance of cyber insurance, which is one of the cyber risk management tools, is increasing.

반면, 국내에서는 아직 사이버보험의 역할과 관련하여 충분한 연구가 축적되어 있지 않은 상황이다. 특히, 2018년 5월 28일 정보통신망법이 개정되어 정보통신서비스 제공자도 의무적으로 손해배상 수단을 마련해야 하며 일정규모 이상의 정보통신서비스 제공자 등은 손해배상책임의 이행을 위하여 보험 또는 공제에 가입하거나 준비금을 적립하는 등의 조치를 취하도록 되어 있다.On the other hand, in Korea, sufficient research on the role of cyber insurance has not yet been accumulated. In particular, as the Information and Communications Network Act was amended on May 28, 2018, information and communications service providers are obliged to provide means for compensation for damages. It is necessary to take measures such as accumulation.

그러나, 기존의 악성코드 관련 기술은 악성코드 탐지에 집중되어 있어, 악성코드 공격에 의한 피해 규모 산출 연구 및 피해규모 예측이 어려운 문제점이 있다. However, existing technologies related to malicious code are focused on detecting malicious code, so there is a problem in that it is difficult to study and predict damage caused by a malicious code attack.

또한, 다양한 타입의 악성코드 유입이 빠르게 증가하는 추세이며 이에 따라 악성코드 공격을 통해 받은 피해 규모의 측정이 중요하게 부각되고 있다.In addition, the inflow of various types of malicious code is rapidly increasing, and accordingly, measuring the amount of damage received through a malicious code attack is becoming increasingly important.

US 2019-0149570 A1US 2019-0149570 A1 KR 2019-0010956 AKR 2019-0010956 A KR 1880686 B1KR 1880686 B1

이에, 본 발명의 기술적 과제는 이러한 점에서 착안된 것으로 본 발명의 목적은 머신러닝을 활용하여 악성코드 공격 피해 규모 측정 방법을 제공하는 것이다.Accordingly, it is an object of the present invention to provide a method for measuring the size of a malicious code attack damage using machine learning.

본 발명의 다른 목적은 상기 악성코드 공격 피해 규모 측정 방법을 수행하기 위한 컴퓨터 프로그램이 기록된 기록 매체를 제공하는 것이다.Another object of the present invention is to provide a recording medium in which a computer program for performing the method of measuring the magnitude of a malicious code attack damage is recorded.

본 발명의 또 다른 목적은 상기 악성코드 공격 피해 규모 측정 방법을 수행하기 위한 장치를 제공하는 것이다.Another object of the present invention is to provide an apparatus for performing the method for measuring the damage size of a malicious code attack.

상기한 본 발명의 목적을 실현하기 위한 일 실시예에 따른 악성코드 공격 피해 규모 측정 방법은, 악성코드로 인해 발생한 시스템 변화 로그를 기준으로 하여 DEA 모델의 기본 단위가 되는 DMU(Decision Making Unit)를 선정하는 단계; 머신러닝을 통해 악성코드 공격 피해 규모의 산출요소를 구성하는 투입요소 및 상기 각 투입요소 별 가중치를 자동으로 결정하는 단계; 상기 투입요소 및 상기 각 투입요소 별 가중치를 이용한 악성코드의 공격 피해 규모를 계산하는 단계; 및 계산된 공격 피해 규모를 이용하여 수집한 DMU 중 피해 규모가 가장 큰 DMU를 대상으로 각 투입요소를 축으로 가지는 k차원 벡터 공간에서의 거리를 기초로 악성코드의 공격 피해 규모를 측정하는 단계;를 포함한다.A method for measuring the size of a malicious code attack damage according to an embodiment for realizing the above object of the present invention is to use a Decision Making Unit (DMU), which is a basic unit of the DEA model, based on a system change log caused by malicious code. selecting; automatically determining input factors constituting a calculation factor of a malicious code attack damage scale and a weight for each input factor through machine learning; calculating an attack damage magnitude of the malicious code using the input factors and a weight for each input factor; and measuring the attack damage scale of the malicious code based on the distance in the k-dimensional vector space having each input element as an axis for the DMU with the largest damage scale among the DMUs collected using the calculated attack damage scale; includes

본 발명의 실시예에서, 상기 머신러닝을 통해 악성코드 공격 피해 규모의 산출요소를 구성하는 투입요소 및 상기 각 투입요소 별 가중치를 자동으로 결정하는 단계는, 상기 시스템 변화 로그로 수집한 각 시스템 구성요소의 사용률로 지정하고, 산출요소는 악성코드 피해 규모로 지정한 DEA(Data Envelopment Analysis) 모델을 기초로 수행될 수 있다.In an embodiment of the present invention, the step of automatically determining the input factors constituting the calculation factors of the malicious code attack damage scale and the weight for each input factor through the machine learning comprises each system configuration collected by the system change log. It can be performed based on the DEA (Data Envelopment Analysis) model, which is designated as the factor usage rate and the calculation factor is the malicious code damage scale.

본 발명의 실시예에서, 상기 악성코드의 공격 피해 규모를 측정하는 단계는, 상기 피해 규모가 가장 큰 DMU로부터의 거리를 기준으로, 거리가 가까워질수록 피해 규모가 큰 것으로 판단할 수 있다.In an embodiment of the present invention, measuring the magnitude of the attack damage of the malicious code may include determining that the damage magnitude increases as the distance increases, based on the distance from the DMU having the largest damage magnitude.

본 발명의 실시예에서, 상기 DEA 모델의 기본 단위가 되는 DMU(Decision Making Unit)를 선정하는 단계는, 악성코드 분석 샌드박스를 이용하여 각 악성코드 실행 이후의 시스템 변화 로그를 수집하는 단계를 더 포함할 수 있다.In an embodiment of the present invention, the step of selecting a decision making unit (DMU), which is the basic unit of the DEA model, further includes the step of collecting system change logs after each malicious code execution using a malicious code analysis sandbox. may include

본 발명의 실시예에서, 상기 시스템 변화 로그는, CPU 사용률, 메모리 사용률, 하드디스크 사용률, 네트워크 사용률 중 적어도 하나를 포함할 수 있다.In an embodiment of the present invention, the system change log may include at least one of a CPU usage rate, a memory usage rate, a hard disk usage rate, and a network usage rate.

상기한 본 발명의 다른 목적을 실현하기 위한 일 실시예에 따른 컴퓨터로 판독 가능한 저장 매체에는, 악성코드 공격 피해 규모 측정 방법을 수행하기 위한 컴퓨터 프로그램이 기록되어 있다. In a computer-readable storage medium according to an embodiment for realizing another object of the present invention, a computer program for performing a method of measuring the size of a malicious code attack is recorded.

상기한 본 발명의 또 다른 목적을 실현하기 위한 일 실시예에 따른 악성코드 공격 피해 규모 측정 장치는, 악성코드로 인해 발생한 시스템 변화 로그를 기준으로 하여 DEA 모델의 기본 단위가 되는 DMU(Decision Making Unit)를 선정하는 DMU 선정부; 머신러닝을 통해 악성코드 공격 피해 규모의 산출요소를 구성하는 투입요소 및 상기 각 투입요소 별 가중치를 자동으로 결정하는 DEA 모델부; 상기 투입요소 및 상기 각 투입요소 별 가중치를 이용한 악성코드의 공격 피해 규모를 계산하는 계산부; 및 계산된 공격 피해 규모를 이용하여 수집한 DMU 중 피해 규모가 가장 큰 DMU를 대상으로 각 투입요소를 축으로 가지는 k차원 벡터 공간에서의 거리를 기초로 악성코드의 공격 피해 규모를 측정하는 거리 측정부;를 포함한다.A malicious code attack damage measurement apparatus according to an embodiment for realizing another object of the present invention is a Decision Making Unit (DMU), which is a basic unit of a DEA model based on a system change log caused by malicious code. ) the DMU selection unit to select; a DEA model unit for automatically determining input factors constituting a calculation factor of a malicious code attack damage scale and a weight for each input factor through machine learning; a calculation unit for calculating the attack damage scale of the malicious code using the input factors and weights for each input factor; and a distance measurement to measure the attack damage scale of a malicious code based on the distance in the k-dimensional vector space with each input element as an axis for the DMU with the largest damage scale among the DMUs collected using the calculated attack damage scale includes;

본 발명의 실시예에서, 상기 DEA 모델부는, 상기 시스템 변화 로그로 수집한 각 시스템 구성요소의 사용률로 지정하고, 산출요소는 악성코드 피해 규모로 지정한 DEA(Data Envelopment Analysis) 모델을 기초로 수행될 수 있다.In an embodiment of the present invention, the DEA model unit specifies the usage rate of each system component collected by the system change log, and the calculation factor is performed based on a DEA (Data Envelopment Analysis) model specified as the malicious code damage scale. can

본 발명의 실시예에서, 상기 거리 측정부는, 상기 피해 규모가 가장 큰 DMU로부터의 거리를 기준으로, 거리가 가까워질수록 피해 규모가 큰 것으로 판단할 수 있다.In an embodiment of the present invention, the distance measuring unit may determine that the damage scale is larger as the distance increases, based on the distance from the DMU having the largest damage scale.

본 발명의 실시예에서, 상기 DMU 선정부는, 악성코드 분석 샌드박스를 이용하여 각 악성코드 실행 이후의 시스템 변화 로그를 수집하고, 상기 시스템 변화 로그는, CPU 사용률, 메모리 사용률, 하드디스크 사용률, 네트워크 사용률 중 적어도 하나를 포함할 수 있다.In an embodiment of the present invention, the DMU selector collects system change logs after each malicious code execution using a malicious code analysis sandbox, and the system change logs include CPU usage rate, memory usage rate, hard disk usage rate, and network It may include at least one of the usage rates.

이와 같은 악성코드 공격 피해 규모 측정 방법에 따르면, DEA 모델을 이용해 악성코드 공격을 통한 피해 규모를 측정하는 방법을 제시하였다. 이를 통해 유사 악성코드 공격 사례에 대한 피해 규모를 예측해 볼 수 있으며, 신종 악성코드 공격에 대한 피해 규모를 통계를 활용하여 추정할 수 있다. 더 나아가 산정한 피해 규모는 악성코드 위험관리(Risk Management)에 활용할 수 있다.According to this method of measuring the damage size of a malicious code attack, a method of measuring the damage size through a malicious code attack using the DEA model is presented. Through this, it is possible to predict the size of damage to similar malicious code attack cases, and to estimate the damage size for new malicious code attacks using statistics. Furthermore, the calculated damage size can be used for malicious code risk management.

도 1은 본 발명의 일 실시예에 따른 악성코드 공격 피해 규모 측정 장치의 블록도이다.
도 2는 도 1의 악성코드 공격 피해 규모 측정 장치에서 사용하는 DMU를 보여주는 예시이다.
도 3은 본 발명에 따른 악성코드 공격 피해 규모를 측정을 설명하기 위한 도면이다.
도 4는 본 발명의 일 실시예에 따른 악성코드 공격 피해 규모 측정 방법의 흐름도이다.1 is a block diagram of an apparatus for measuring the size of a malicious code attack damage according to an embodiment of the present invention.
FIG. 2 is an example showing a DMU used in the apparatus for measuring the damage size of a malicious code attack of FIG. 1 .
3 is a diagram for explaining the measurement of the damage scale of a malicious code attack according to the present invention.
4 is a flowchart of a method for measuring the damage size of a malicious code attack according to an embodiment of the present invention.

후술하는 본 발명에 대한 상세한 설명은, 본 발명이 실시될 수 있는 특정 실시예를 예시로서 도시하는 첨부 도면을 참조한다. 이들 실시예는 당업자가 본 발명을 실시할 수 있기에 충분하도록 상세히 설명된다. 본 발명의 다양한 실시예는 서로 다르지만 상호 배타적일 필요는 없음이 이해되어야 한다. 예를 들어, 여기에 기재되어 있는 특정 형상, 구조 및 특성은 일 실시예에 관련하여 본 발명의 정신 및 범위를 벗어나지 않으면서 다른 실시예로 구현될 수 있다. 또한, 각각의 개시된 실시예 내의 개별 구성요소의 위치 또는 배치는 본 발명의 정신 및 범위를 벗어나지 않으면서 변경될 수 있음이 이해되어야 한다. 따라서, 후술하는 상세한 설명은 한정적인 의미로서 취하려는 것이 아니며, 본 발명의 범위는, 적절하게 설명된다면, 그 청구항들이 주장하는 것과 균등한 모든 범위와 더불어 첨부된 청구항에 의해서만 한정된다. 도면에서 유사한 참조부호는 여러 측면에 걸쳐서 동일하거나 유사한 기능을 지칭한다.DETAILED DESCRIPTION OF THE PREFERRED EMBODIMENTS [0010] DETAILED DESCRIPTION OF THE PREFERRED EMBODIMENTS [0010] DETAILED DESCRIPTION OF THE PREFERRED EMBODIMENTS [0023] Reference is made to the accompanying drawings, which show by way of illustration specific embodiments in which the present invention may be practiced. These embodiments are described in sufficient detail to enable those skilled in the art to practice the present invention. It should be understood that the various embodiments of the present invention are different but need not be mutually exclusive. For example, certain shapes, structures, and characteristics described herein with respect to one embodiment may be embodied in other embodiments without departing from the spirit and scope of the invention. In addition, it should be understood that the location or arrangement of individual components within each disclosed embodiment may be changed without departing from the spirit and scope of the present invention. Accordingly, the following detailed description is not intended to be taken in a limiting sense, and the scope of the present invention, if properly described, is limited only by the appended claims, along with all scope equivalents to those claimed. Like reference numerals in the drawings refer to the same or similar functions throughout the various aspects.

이하, 도면들을 참조하여 본 발명의 바람직한 실시예들을 보다 상세하게 설명하기로 한다. Hereinafter, preferred embodiments of the present invention will be described in more detail with reference to the drawings.

도 1은 본 발명의 일 실시예에 따른 악성코드 공격 피해 규모 측정 장치의 블록도이다. 도 2는 도 1의 악성코드 공격 피해 규모 측정 장치에서 사용하는 DMU를 보여주는 예시이다. 도 3은 본 발명에 따른 악성코드 공격 피해 규모를 측정을 설명하기 위한 도면이다.1 is a block diagram of an apparatus for measuring the size of a malicious code attack damage according to an embodiment of the present invention. FIG. 2 is an example showing a DMU used in the apparatus for measuring the damage of a malicious code attack of FIG. 1 . 3 is a diagram for explaining the measurement of the damage scale of a malicious code attack according to the present invention.

본 발명에 따른 악성코드 공격 피해 규모 측정 장치(10, 이하 장치)는 악성코드 공격 피해를 머신러닝을 활용하여 측정하는 방법에 관한 것으로서, 보다 상세하게는 악성코드 공격을 통해 받은 피해 규모를 DEA(Data Envelopment Analysis) 모델을 이용해 측정하는 기술에 관한 것이다.The apparatus for measuring the size of a malicious code attack damage (10, hereinafter device) according to the present invention relates to a method of measuring the damage of a malicious code attack by using machine learning, and more specifically, the amount of damage received through the malicious code attack is measured by DEA ( It is about technology to measure using Data Envelopment Analysis) model.

도 1을 참조하면, 본 발명에 따른 장치(10)는 DMU 선정부(110), DEA 모델부(130), 계산부(170) 및 거리 측정부(170)를 포함한다.Referring to FIG. 1 , the device 10 according to the present invention includes a DMU selection unit 110 , a DEA model unit 130 , a calculation unit 170 , and a distance measurement unit 170 .

본 발명의 상기 장치(10)는 악성코드 공격 피해 규모 측정을 수행하기 위한 소프트웨어(애플리케이션)가 설치되어 실행될 수 있으며, 상기 DMU 선정부(110), 상기 DEA 모델부(130), 상기 계산부(170) 및 상기 거리 측정부(170)의 구성은 상기 장치(10)에서 실행되는 상기 악성코드 공격 피해 규모 측정을 수행하기 위한 소프트웨어에 의해 제어될 수 있다. The device 10 of the present invention may be installed and executed with software (application) for performing the measurement of the damage size of a malicious code attack, and the DMU selection unit 110, the DEA model unit 130, and the calculation unit ( 170) and the configuration of the distance measuring unit 170 may be controlled by software for measuring the damage size of the malicious code attack executed in the device 10 .

상기 장치(10)는 별도의 단말이거나 또는 단말의 일부 모듈일 수 있다. 또한, 상기 DMU 선정부(110), 상기 DEA 모델부(130), 상기 계산부(170) 및 상기 거리 측정부(170)의 구성은 통합 모듈로 형성되거나, 하나 이상의 모듈로 이루어 질 수 있다. 그러나, 이와 반대로 각 구성은 별도의 모듈로 이루어질 수도 있다.The device 10 may be a separate terminal or a module of the terminal. In addition, the configuration of the DMU selection unit 110 , the DEA model unit 130 , the calculation unit 170 , and the distance measurement unit 170 may be formed as an integrated module or may be formed of one or more modules. However, on the contrary, each configuration may be formed of a separate module.

상기 장치(10)는 이동성을 갖거나 고정될 수 있다. 상기 장치(10)는, 서버(server) 또는 엔진(engine) 형태일 수 있으며, 디바이스(device), 기구(apparatus), 단말(terminal), UE(user equipment), MS(mobile station), 무선기기(wireless device), 휴대기기(handheld device) 등 다른 용어로 불릴 수 있다. The device 10 may be movable or stationary. The apparatus 10 may be in the form of a server or an engine, and may be a device, an application, a terminal, a user equipment (UE), a mobile station (MS), or a wireless device. (wireless device), may be called other terms such as a handheld device (handheld device).

상기 DMU 선정부(110)는 악성코드로 인해 발생한 시스템 변화 로그를 기준으로 하여 DEA 모델의 기본 단위가 되는 DMU(Decision Making Unit)를 선정한다.The DMU selection unit 110 selects a Decision Making Unit (DMU), which is the basic unit of the DEA model, based on the system change log generated by the malicious code.

구체적으로, 악성코드 공격 피해에 대한 변화 요인의 특성을 수집하고, 이를 바탕으로 악성코드 피해 규모를 측정한다. 악성코드 공격 발생 시 피해 규모 측정 과정에는 머신러닝을 통한 악성코드 피해 변화 요인을 찾는 과정을 포함한다.Specifically, the characteristics of change factors for malicious code attack damage are collected, and the size of malicious code damage is measured based on this. When a malicious code attack occurs, the process of measuring the size of the damage includes the process of finding the factors that change the malicious code damage through machine learning.

또한, 악성코드 분석 샌드박스(예: CUCKOO 샌드박스)를 이용하여 각 악성코드 실행 이후의 시스템 변화 로그를 수집한다. 시스템 변화 로그는 CPU 사용률, 메모리 사용률, 하드디스크 사용률, 네트워크 사용률 등을 포함할 수 있다.In addition, it collects system change logs after each malicious code execution by using a malicious code analysis sandbox (eg CUCKOO sandbox). The system change log may include CPU utilization, memory utilization, hard disk utilization, network utilization, and the like.

상기 시스템 변화 로그가 수집되는 시스템은, 안드로이드 OS, iOS, 윈도우 모바일 OS, 바다 OS, 심비안 OS, 블랙베리 OS 등 모바일 컴퓨터 운영체제 및 윈도우 계열, 리눅스 계열, 유닉스 계열, MAC, AIX, HP-UX 등 컴퓨터 운영체제를 모두 포함할 수 있다.The system in which the system change log is collected is a mobile computer operating system such as Android OS, iOS, Windows Mobile OS, Bada OS, Symbian OS, Blackberry OS, and Windows, Linux, Unix, MAC, AIX, HP-UX, etc. It may include any computer operating system.

상기 DEA 모델부(130)는 활용하여 산출요소(피해 규모)를 구성하는 핵심 투입요소(Feature)와 가중치를 자동으로 결정한다.The DEA model unit 130 automatically determines the key input factors (Features) and weights constituting the calculation factors (damage scale) by utilizing them.

DEA 모델은 일명 자료포락분석(Data Envelopment Analysis, DEA)으로 불리며, 상대적인 관점으로 조직간의 비교, 분석 등을 통해 효율성을 파악할 수 있다. 본 발명은 DEA 모형으로 산출한 효율성의 측정값을 악성코드 공격을 통한 피해 규모를 측정하는 방법에 반영할 수 있다.The DEA model is called Data Envelopment Analysis (DEA), and from a relative point of view, efficiency can be identified through comparison and analysis between organizations. According to the present invention, the measured value of efficiency calculated by the DEA model can be reflected in a method of measuring the size of damage through a malicious code attack.

구체적으로, 다수의 투입 요소와 다수의 산출 요소를 갖는 의사결정단위의 효율성을 투입 요소들의 가중 합과 산출 요소들의 가중 합의 비율로 측정한 후, 이를 유사한 활동을 수행하는 다른 의사결정단위(Decision Making Unit, DMU)들의 효율성과 비교하여 상대적인 효율성을 결정하는 방법이다. Specifically, after measuring the efficiency of a decision-making unit having multiple input factors and multiple output factors as the ratio of the weighted sum of input factors to the weighted sum of output factors, it is used in other decision-making units that perform similar activities (Decision Making). It is a method to determine the relative efficiency by comparing the efficiency of units and DMUs).

모든 비교대상 의사결정단위들의 효율성은 1보다 작거나 같다는 제약조건 하에서 평가하고자 하는 의사결정단위의 효율성을 극대화하도록 요소 별 가중치를 결정하고, 이를 바탕으로 효율성 평가가 이루어진다. The weight of each factor is determined to maximize the efficiency of the decision-making unit to be evaluated under the constraint that the efficiency of all decision-making units to be compared is less than or equal to 1, and efficiency evaluation is performed based on this.

DEA는 비교가 가능한 DMU들의 상대적 효율성 평가를 위한 일종의 선형계획(Linear Programming, LP) 방법으로, DMU들의 성과를 평가하기 위해 EES(Empirical Efficient Surface)를 생성한다. DEA is a kind of linear programming (LP) method for evaluating the relative efficiency of comparable DMUs, and generates an Empirical Efficient Surface (EES) to evaluate the performance of DMUs.

EES 상에 위치하는 DMU는 효율적인 DMU이며, 그렇지 않은 경우에는 비효율적인 DMU가 된다. EES 상에 위치한, 즉 효율적인 DMU의 효율성은 100%가 되며, 비교 그룹 내에 존재하는 효율적인 DMU를 기준으로 비효율적인 DMU의 상대적인 효율성이 계산되는 방식이다.A DMU located on the EES is an efficient DMU, otherwise it is an inefficient DMU. The efficiency of the efficient DMU located on the EES becomes 100%, and the relative efficiency of the inefficient DMU is calculated based on the efficient DMU existing in the comparison group.

이에 따라, 본 발명은 머신러닝을 활용하여 악성코드의 공격을 통한 피해 규모 측정하는 방법을 DEA(Data Envelopment Analysis) 모델을 기반으로 사용자의 피해 규모를 산정할 수 있다.Accordingly, the present invention can calculate the damage size of the user based on the DEA (Data Envelopment Analysis) model for a method of measuring the damage size through the attack of the malicious code using machine learning.

DEA 모형의 기본 단위가 되는 DMU(Decision Making Unit)의 경우, 한 악성코드로 인해 발생한 시스템 변화 로그를 기준으로 한다. 투입요소는 상기 시스템 변화 로그로 수집한 각 시스템 구성요소의 사용률로 지정하며, 산출요소는 악성코드 피해 규모로 지정한다. In the case of the Decision Making Unit (DMU), which is the basic unit of the DEA model, it is based on a system change log caused by a malicious code. The input factor is designated as the utilization rate of each system component collected by the system change log, and the output factor is designated as the malicious code damage scale.

예를 들어, 상기 투입요소는 EES(Empirical Efficient Surface)가 100%로 나온 요소들만 선정될 수 있으며, 다른 예로 EES를 최상위로부터 미리 설정된 순위까지 선정될 수도 있다.For example, as the input element, only elements having an Empirical Efficient Surface (EES) of 100% may be selected, and as another example, EES may be selected from the highest to a preset rank.

기존의 악성코드 관련 기술은 악성코드 탐지에 집중되어 악성코드 공격에 의한 피해 규모 산출 연구 및 피해규모 예측이 어려움이 있었다. 그러나, 본 발명에서는 DEA 모델을 이용하여 모바일 악성코드 공격 피해 규모 계산 및 예측이 가능하다.Existing malicious code-related technologies focused on detecting malicious code, so it was difficult to study and predict damage caused by malicious code attacks. However, in the present invention, it is possible to calculate and predict the damage size of a mobile malicious code attack using the DEA model.

DEA 모델은 효율성 측정을 위한 투입과 산출의 요소가 복수의 개념으로 적용되며, 개별 투입과 산출에 대하여 각각의 가중치를 사전에 결정하거나 동일하게 적용하지 않아 객관적이다.In the DEA model, the elements of input and output for efficiency measurement are applied as multiple concepts, and each weight is not determined in advance or applied equally to each input and output, so it is objective.

여러 DMU의 효율성을 분석하기 때문에 비효율적인 대상 DMU의 비효율성 정도를 측정할 수 있으며, 의사결정자가 투입요소나 산출요소의 양을 조절하여 그 결과를 분석 가능하다.Because the efficiency of multiple DMUs is analyzed, the degree of inefficiency of the inefficient target DMU can be measured, and the decision maker can adjust the amount of input or output factors and analyze the results.

도 2를 참조하면, DMU의 피해 규모의 산출요소를 구성하는 투입요소는 CPU 사용률, 메모리 사용률, 하드디스크 사용률, 네트워크 사용률로 지정되고, 산출요소는 악성코드 피해 규모로 지정될 수 있다. 그러나, 이는 일례에 불과하고 머신러닝 결과에 따라 산출요소는 변경될 수 있다.Referring to FIG. 2 , the input factors constituting the calculation factors of the damage scale of the DMU may be designated as CPU usage ratio, memory usage ratio, hard disk usage ratio, and network usage ratio, and the calculation factor may be designated as the malicious code damage scale. However, this is only an example, and the calculation factor may be changed according to the machine learning results.

상기 계산부(170)는 상기 투입요소 및 상기 각 투입요소 별 가중치를 이용한 악성코드의 공격 피해 규모를 계산한다. 이러한 계산은 아래의 수학식 1을 이용할 수 있다.The calculator 170 calculates the attack damage scale of the malicious code using the input factors and the weights for each input factor. For this calculation, Equation 1 below may be used.

[수학식 1][Equation 1]

Figure 112019115958418-pat00001
Figure 112019115958418-pat00001

여기서, X 1 , X 2 , X 3 ,..., X K 는 각 투입요소이며, a, b, c,..., m은 상기 각 투입요소에 대응하는 가중치를 나타낸다.Here, X 1 , X 2 , X 3 , ..., X K are input factors, and a, b, c, ..., m represent weights corresponding to the input factors.

상기 거리 측정부(170)는 계산된 피해 규모를 이용하여 수집한 DMU 중 피해 규모가 가장 큰 DMU를 대상으로 각 투입요소를 축으로 가지는 k차원 벡터 공간에서의 거리를 측정하여 악성코드의 공격 피해 규모를 측정한다. The distance measuring unit 170 measures the distance in the k-dimensional vector space having each input element as an axis for the DMU with the largest damage scale among the DMUs collected using the calculated damage scale, thereby causing the attack damage of the malicious code. measure the scale

상기 k차원 벡터 공간에서의 거리는 아래의 수학식 2에 의해 계산될 수 있다.The distance in the k-dimensional vector space may be calculated by Equation 2 below.

[수학식 2] [Equation 2]

Figure 112019115958418-pat00002
Figure 112019115958418-pat00002

여기서, X i 는 특정 DMU의 i번째 투입요소, A i 는 피해 규모가 가장 큰 DMU의 i번째 투입요소를 나타낸다.Here, X i denotes the i-th input element of a specific DMU, and A i denotes the i-th input element of the DMU with the largest damage.

도 3을 참조하면, 피해 규모가 가장 큰 DMU부터의 유클리드 거리를 이용해, 거리가 가까우면 피해 규모가 크고, 거리가 멀면 피해 규모가 작은 방법으로 피해 규모를 측정할 수 있다.Referring to FIG. 3 , by using the Euclidean distance from the DMU having the largest damage scale, the damage scale can be measured in a manner that is large when the distance is close and is small when the distance is far.

이에 따라, 본 발명은 DEA 모델을 이용해 악성코드 공격을 통한 피해 규모 측정하는 방법을 토대로 유사 악성코드 공격 사례에 대한 피해 규모 예측 가능하다. 또한, 신종 악성코드 공격에 대한 피해 규모를 통계를 활용하여 추정 가능하다.Accordingly, according to the present invention, it is possible to predict the amount of damage in a case of a similar malicious code attack based on a method of measuring the amount of damage through a malicious code attack using the DEA model. In addition, it is possible to estimate the amount of damage caused by a new malicious code attack using statistics.

또한, 악성코드 공격 피해 규모를 측정 및 산정한 후 산정한 피해 규모를 위험관리(Risk Management)에 활용할 수 있으며, 악성코드 공격으로 발생하는 사고를 본 특허 방법론을 적용하여 사이버 리스크 진단 및 평가 후 담보별 예상 손해 산정 가능하다,In addition, after measuring and calculating the damage size of a malicious code attack, the calculated damage size can be used for risk management. Incidents caused by a malicious code attack are covered by cyber risk diagnosis and evaluation by applying this patent methodology. Estimated damage can be calculated

나아가, 기업의 위자료 배상 결정의 계산 방법으로 기여하여 기업이 사이버보험을 통해 배상 능력을 확보할 수 있는 등 비즈니스로서의 활용가치 또한 높다.Furthermore, it has a high utility value as a business, such as contributing to the calculation method of the company's alimony compensation decision, allowing the company to secure compensation capabilities through cyber insurance.

도 4는 본 발명의 일 실시예에 따른 악성코드 공격 피해 규모 측정 방법의 흐름도이다.4 is a flowchart of a method for measuring the size of a malicious code attack damage according to an embodiment of the present invention.

본 실시예에 따른 악성코드 공격 피해 규모 측정 방법은, 도 1의 장치(10)와 실질적으로 동일한 구성에서 진행될 수 있다. 따라서, 도 1의 장치(10)와 동일한 구성요소는 동일한 도면부호를 부여하고, 반복되는 설명은 생략한다. The method of measuring the magnitude of the malicious code attack damage according to the present embodiment may be performed in substantially the same configuration as the device 10 of FIG. 1 . Accordingly, the same components as those of the device 10 of FIG. 1 are given the same reference numerals, and repeated descriptions are omitted.

또한, 본 실시예에 따른 악성코드 공격 피해 규모 측정 방법은 악성코드 공격 피해 규모 측정을 수행하기 위한 소프트웨어(애플리케이션)에 의해 실행될 수 있다.In addition, the method for measuring the magnitude of the malicious code attack damage according to the present embodiment may be executed by software (application) for performing the measurement of the magnitude of the malicious code attack damage.

본 발명에 따른 악성코드 공격 피해 규모 측정 방법은 악성코드 공격 피해를 머신러닝을 활용하여 측정하는 방법에 관한 것으로서, 보다 상세하게는 악성코드 공격을 통해 받은 피해 규모를 DEA(Data Envelopment Analysis) 모델을 이용해 측정하는 기술에 관한 것이다.The method of measuring the damage of a malicious code attack according to the present invention relates to a method of measuring the damage of a malicious code attack by using machine learning. It is about the technology used to measure.

도 4를 참조하면, 본 실시예에 따른 악성코드 공격 피해 규모 측정 방법은, 악성코드로 인해 발생한 시스템 변화 로그를 기준으로 하여 DEA 모델의 기본 단위가 되는 DMU(Decision Making Unit)를 선정한다(단계 S100). Referring to FIG. 4 , in the method of measuring the damage size of a malicious code attack according to the present embodiment, a Decision Making Unit (DMU), which is the basic unit of the DEA model, is selected based on a system change log caused by the malicious code (step S100).

구체적으로, 악성코드 공격 피해에 대한 변화 요인의 특성을 수집하고, 이를 바탕으로 악성코드 피해 규모를 측정한다. 악성코드 공격 발생 시 피해 규모 측정 과정에는 머신러닝을 통한 악성코드 피해 변화 요인을 찾는 과정을 포함한다.Specifically, the characteristics of change factors for malicious code attack damage are collected, and the size of malicious code damage is measured based on this. When a malicious code attack occurs, the process of measuring the size of the damage includes the process of finding the factors that change the malicious code damage through machine learning.

또한, 악성코드 분석 샌드박스(예: CUCKOO 샌드박스)를 이용하여 각 악성코드 실행 이후의 시스템 변화 로그를 수집한다. 시스템 변화 로그는 CPU 사용률, 메모리 사용률, 하드디스크 사용률, 네트워크 사용률 등을 포함할 수 있다.In addition, it collects system change logs after each malicious code execution by using a malicious code analysis sandbox (eg CUCKOO sandbox). The system change log may include CPU utilization, memory utilization, hard disk utilization, network utilization, and the like.

상기 시스템 변화 로그가 수집되는 시스템은, 안드로이드 OS, iOS, 윈도우 모바일 OS, 바다 OS, 심비안 OS, 블랙베리 OS 등 모바일 컴퓨터 운영체제 및 윈도우 계열, 리눅스 계열, 유닉스 계열, MAC, AIX, HP-UX 등 컴퓨터 운영체제를 모두 포함할 수 있다.The system in which the system change log is collected is a mobile computer operating system such as Android OS, iOS, Windows Mobile OS, Bada OS, Symbian OS, Blackberry OS, and Windows, Linux, Unix, MAC, AIX, HP-UX, etc. It may include any computer operating system.

DMU가 선정되면, 머신러닝을 통해 피해 규모의 산출요소를 구성하는 투입요소 및 상기 각 투입요소 별 가중치를 자동으로 결정한다(단계 S300). 즉, 머신러닝을 활용하여 산출요소(피해 규모)를 구성하는 핵심 투입요소(Feature)와 가중치를 자동으로 결정한다.When the DMU is selected, input factors constituting the calculation factors of the damage scale and weights for each input factor are automatically determined through machine learning (step S300). In other words, by using machine learning, the key input factors (features) and weights that make up the output factors (damage scale) are automatically determined.

DEA 모델은 일명 자료포락분석(Data Envelopment Analysis, DEA)으로 불리며, 상대적인 관점으로 조직간의 비교, 분석 등을 통해 효율성을 파악할 수 있다. 본 발명은 DEA 모형으로 산출한 효율성의 측정값을 악성코드 공격을 통한 피해 규모를 측정하는 방법에 반영할 수 있다.The DEA model is called Data Envelopment Analysis (DEA), and from a relative point of view, efficiency can be identified through comparison and analysis between organizations. According to the present invention, the measured value of efficiency calculated by the DEA model can be reflected in a method of measuring the size of damage through a malicious code attack.

구체적으로, 다수의 투입 요소와 다수의 산출 요소를 갖는 의사결정단위의 효율성을 투입 요소들의 가중 합과 산출 요소들의 가중 합의 비율로 측정한 후, 이를 유사한 활동을 수행하는 다른 의사결정단위(Decision Making Unit, DMU)들의 효율성과 비교하여 상대적인 효율성을 결정하는 방법이다. Specifically, after measuring the efficiency of a decision-making unit having multiple input factors and multiple output factors as the ratio of the weighted sum of input factors and the weighted sum of output factors, it is used in other decision-making units that perform similar activities (Decision Making). It is a method to determine the relative efficiency by comparing the efficiency of units and DMUs).

모든 비교대상 의사결정단위들의 효율성은 1보다 작거나 같다는 제약조건 하에서 평가하고자 하는 의사결정단위의 효율성을 극대화하도록 요소 별 가중치를 결정하고, 이를 바탕으로 효율성 평가가 이루어진다. The weight of each factor is determined to maximize the efficiency of the decision-making unit to be evaluated under the constraint that the efficiency of all decision-making units to be compared is less than or equal to 1, and efficiency evaluation is performed based on this.

DEA는 비교가 가능한 DMU들의 상대적 효율성 평가를 위한 일종의 선형계획(Linear Programming, LP) 방법으로, DMU들의 성과를 평가하기 위해 EES(Empirical Efficient Surface)를 생성한다. DEA is a kind of linear programming (LP) method for evaluating the relative efficiency of comparable DMUs, and generates an Empirical Efficient Surface (EES) to evaluate the performance of DMUs.

EES 상에 위치하는 DMU는 효율적인 DMU이며, 그렇지 않은 경우에는 비효율적인 DMU가 된다. EES 상에 위치한, 즉 효율적인 DMU의 효율성은 100%가 되며, 비교 그룹 내에 존재하는 효율적인 DMU를 기준으로 비효율적인 DMU의 상대적인 효율성이 계산되는 방식이다.A DMU located on the EES is an efficient DMU, otherwise it is an inefficient DMU. The efficiency of the efficient DMU located on the EES becomes 100%, and the relative efficiency of the inefficient DMU is calculated based on the efficient DMU existing in the comparison group.

이에 따라, 본 발명은 머신러닝을 활용하여 악성코드의 공격을 통한 피해 규모 측정하는 방법을 DEA(Data Envelopment Analysis) 모델을 기반으로 사용자의 피해 규모를 산정할 수 있다.Accordingly, the present invention can calculate the damage size of the user based on the DEA (Data Envelopment Analysis) model for a method of measuring the damage size through the attack of the malicious code using machine learning.

DEA 모형의 기본 단위가 되는 DMU(Decision Making Unit)의 경우, 한 악성코드로 인해 발생한 시스템 변화 로그를 기준으로 한다. 투입요소는 상기 시스템 변화 로그로 수집한 각 시스템 구성요소의 사용률로 지정하며, 산출요소는 악성코드 피해 규모로 지정한다. In the case of the Decision Making Unit (DMU), which is the basic unit of the DEA model, it is based on a system change log caused by a malicious code. The input factor is designated as the utilization rate of each system component collected by the system change log, and the output factor is designated as the malicious code damage scale.

예를 들어, 상기 투입요소는 EES(Empirical Efficient Surface)가 100%로 나온 요소들만 선정될 수 있으며, 다른 예로 EES를 최상위로부터 미리 설정된 순위까지 선정될 수도 있다.For example, as the input element, only elements having an Empirical Efficient Surface (EES) of 100% may be selected, and as another example, EES may be selected from the highest to a preset rank.

기존의 악성코드 관련 기술은 악성코드 탐지에 집중되어 악성코드 공격에 의한 피해 규모 산출 연구 및 피해규모 예측이 어려움이 있었다. 그러나, 본 발명에서는 DEA 모델을 이용하여 모바일 악성코드 공격 피해 규모 계산 및 예측이 가능하다.Existing malicious code-related technologies focused on detecting malicious code, so it was difficult to study and predict damage caused by malicious code attacks. However, in the present invention, it is possible to calculate and predict the damage size of a mobile malicious code attack using the DEA model.

DEA 모델은 효율성 측정을 위한 투입과 산출의 요소가 복수의 개념으로 적용되며, 개별 투입과 산출에 대하여 각각의 가중치를 사전에 결정하거나 동일하게 적용하지 않아 객관적이다.In the DEA model, the elements of input and output for efficiency measurement are applied as multiple concepts, and each weight is not determined in advance or applied equally to each input and output, so it is objective.

여러 DMU의 효율성을 분석하기 때문에 비효율적인 대상 DMU의 비효율성 정도를 측정할 수 있으며, 의사결정자가 투입요소나 산출요소의 양을 조절하여 그 결과를 분석 가능하다.Because the efficiency of multiple DMUs is analyzed, the degree of inefficiency of an inefficient target DMU can be measured, and the decision maker can adjust the amount of input or output factors and analyze the results.

DMU의 피해 규모의 산출요소를 구성하는 투입요소는 CPU 사용률, 메모리 사용률, 하드디스크 사용률, 네트워크 사용률로 지정되고, 산출요소는 악성코드 피해 규모로 지정될 수 있다. 그러나, 이는 일례에 불과하고 머신러닝 결과에 따라 산출요소는 변경될 수 있다.The input factors constituting the calculation factor of the damage scale of DMU are designated as CPU usage ratio, memory usage ratio, hard disk usage ratio, and network usage ratio, and the output factor can be designated as the malicious code damage scale. However, this is only an example, and the calculation factor may be changed according to the machine learning results.

상기 피해 규모의 산출요소를 구성하는 투입요소 및 상기 각 투입요소 별 가중치가 결정되면, 상기 투입요소 및 상기 각 투입요소 별 가중치를 이용한 악성코드의 공격 피해 규모를 계산한다(단계 S300). 단계 S300에서의 계산은 상기의 수학식 1을 이용할 수 있다.When the input factors constituting the calculation factors of the damage scale and the weights for each input factors are determined, the attack damage scale of the malicious code is calculated using the input factors and the weights for each input factor (step S300). The calculation in step S300 may use Equation 1 above.

상기 계산된 피해 규모를 이용하여 수집한 DMU 중 피해 규모가 가장 큰 DMU를 대상으로 각 투입요소를 축으로 가지는 k차원 벡터 공간에서의 거리를 측정하여 악성코드의 공격 피해 규모를 측정한다(단계 S500). By measuring the distance in the k-dimensional vector space having each input element as an axis for the DMU with the largest damage among the DMUs collected using the calculated damage scale, the attack damage scale of the malicious code is measured (step S500) ).

단계 S500에서의 상기 k차원 벡터 공간에서의 거리는 상기 수학식 2에 의해 계산될 수 있다.The distance in the k-dimensional vector space in step S500 may be calculated by Equation 2 above.

피해 규모가 가장 큰 DMU부터의 유클리드 거리를 이용해, 거리가 가까우면 피해 규모가 크고, 거리가 멀면 피해 규모가 작은 방법으로 피해 규모를 측정할 수 있다.Using the Euclidean distance from the DMU with the largest damage, it is possible to measure the size of the damage using a method where the damage is large when the distance is close and the damage is small when the distance is large.

이에 따라, 본 발명은 DEA 모델을 이용해 악성코드 공격을 통한 피해 규모 측정하는 방법을 토대로 유사 악성코드 공격 사례에 대한 피해 규모 예측 가능하다. 또한, 신종 악성코드 공격에 대한 피해 규모를 통계를 활용하여 추정 가능하다.Accordingly, according to the present invention, it is possible to predict the amount of damage in a case of a similar malicious code attack based on a method of measuring the amount of damage through a malicious code attack using the DEA model. In addition, it is possible to estimate the amount of damage caused by a new malicious code attack using statistics.

또한, 악성코드 공격 피해 규모를 측정 및 산정한 후 산정한 피해 규모를 위험관리(Risk Management)에 활용할 수 있으며, 악성코드 공격으로 발생하는 사고를 본 특허 방법론을 적용하여 사이버 리스크 진단 및 평가 후 담보별 예상 손해 산정 가능하다,In addition, after measuring and calculating the damage size of a malicious code attack, the calculated damage size can be used for risk management. Incidents caused by a malicious code attack are covered by cyber risk diagnosis and evaluation by applying this patent methodology. Estimated damage can be calculated

나아가, 기업의 위자료 배상 결정의 계산 방법으로 기여하여 기업이 사이버보험을 통해 배상 능력을 확보할 수 있는 등 비즈니스로서의 활용가치 또한 높다.Furthermore, it has a high utility value as a business, such as contributing to the calculation method of the company's alimony compensation decision, allowing the company to secure compensation capabilities through cyber insurance.

이와 같은, 악성코드 공격 피해 규모 측정 방법은 애플리케이션으로 구현되거나 다양한 컴퓨터 구성요소를 통하여 수행될 수 있는 프로그램 명령어의 형태로 구현되어 컴퓨터 판독 가능한 기록 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능한 기록 매체는 프로그램 명령어, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. Such a malicious code attack damage measurement method may be implemented as an application or implemented in the form of program instructions that may be executed through various computer components and recorded in a computer-readable recording medium. The computer-readable recording medium may include program instructions, data files, data structures, etc. alone or in combination.

상기 컴퓨터 판독 가능한 기록 매체에 기록되는 프로그램 명령어는 본 발명을 위하여 특별히 설계되고 구성된 것들이거니와 컴퓨터 소프트웨어 분야의 당업자에게 공지되어 사용 가능한 것일 수도 있다. The program instructions recorded on the computer-readable recording medium are specially designed and configured for the present invention, and may be known and available to those skilled in the computer software field.

컴퓨터 판독 가능한 기록 매체의 예에는, 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체, CD-ROM, DVD와 같은 광기록 매체, 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 ROM, RAM, 플래시 메모리 등과 같은 프로그램 명령어를 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. Examples of the computer-readable recording medium include a hard disk, a magnetic medium such as a floppy disk and a magnetic tape, an optical recording medium such as a CD-ROM, a DVD, and a magneto-optical medium such as a floppy disk. media), and hardware devices specially configured to store and execute program instructions, such as ROM, RAM, flash memory, and the like.

프로그램 명령어의 예에는, 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드도 포함된다. 상기 하드웨어 장치는 본 발명에 따른 처리를 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.Examples of program instructions include not only machine language codes such as those generated by a compiler, but also high-level language codes that can be executed by a computer using an interpreter or the like. The hardware device may be configured to operate as one or more software modules to perform processing according to the present invention, and vice versa.

이상에서는 실시예들을 참조하여 설명하였지만, 해당 기술 분야의 숙련된 당업자는 하기의 특허 청구의 범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.Although described above with reference to the embodiments, those skilled in the art can variously modify and change the present invention within the scope without departing from the spirit and scope of the present invention described in the claims below You will understand.

사이버 리스크에 대한 우려 증가로 사이버 보험 시장은 지속적으로 성장 중이다. 주요 기관들은 향후 전 세계 사이버보험 시장이 빠른 속도로 성장할 것으로 전망하고 있다.The cyber insurance market continues to grow due to growing concerns about cyber risks. Major institutions predict that the global cyber insurance market will grow at a rapid pace in the future.

그러나, 국내 사이버보험 시장은 연평균 성장률 23% 수준으로, 미국(GDP 0.17%) 대비 시장 규모(GDP 0.0026%)가 상대적으로 미미하다. However, the domestic cyber insurance market is growing at an average annual rate of 23%, which is relatively insignificant compared to the US (0.17% of GDP) market size (0.0026% of GDP).

또한, 개인정보유출 배상, 전자금융거래 배상책임 보험 등 의무보험이 69.3%를 점유할 것으로 예상되나, 종합 사이버 보험은 약 6%로 매출 비중이 미미하다. In addition, compulsory insurance, such as personal information leakage compensation and electronic financial transaction liability insurance, is expected to account for 69.3%, but comprehensive cyber insurance accounts for only 6% of sales, which is insignificant.

본 발명에 따르면, 이를 통해 유사 악성코드 공격 사례에 대한 피해 규모를 예측해 볼 수 있으며, 신종 악성코드 공격에 대한 피해 규모를 통계를 활용하여 추정할 수 있다. 더 나아가 산정한 피해 규모는 악성코드 위험관리(Risk Management)에 활용할 수 있다. According to the present invention, through this, it is possible to predict the magnitude of damage to similar malicious code attack cases, and to estimate the damage magnitude for a new malicious code attack by using statistics. Furthermore, the calculated damage can be used for malicious code risk management.

또한, 사이버 보험에서의 손해배상 계산 방법의 근거가 되며, 기업이 ICT 서비스를 할 때 보안에 대한 투자 의사결정의 기준이 될 수 있다.In addition, it is the basis for the method of calculating damages in cyber insurance, and can be a criterion for investment decision-making for security when a company provides ICT services.

10: 악성코드 공격 피해 규모 측정 장치
110: DMU 선정부
130: DEA 모델부
150: 계산부
170: 거리 측정부10: Malware attack damage scale measurement device
110: DMU selection unit
130: DEA model unit
150: calculator
170: distance measuring unit

Claims (10)

악성코드로 인해 발생한 시스템 변화 로그를 기준으로 하여 DEA 모델의 기본 단위가 되는 DMU(Decision Making Unit)를 선정하는 단계;
머신러닝을 통해 악성코드 공격 피해 규모의 산출요소를 구성하는 투입요소 및 상기 각 투입요소 별 가중치를 자동으로 결정하는 단계;
상기 투입요소 및 상기 각 투입요소 별 가중치를 이용한 악성코드의 공격 피해 규모를 계산하는 단계; 및
계산된 공격 피해 규모를 이용하여 수집한 DMU 중 피해 규모가 가장 큰 DMU를 대상으로 각 투입요소를 축으로 가지는 k차원 벡터 공간에서의 거리를 기초로 악성코드의 공격 피해 규모를 측정하는 단계;를 포함하고,
상기 머신러닝을 통해 악성코드 공격 피해 규모의 산출요소를 구성하는 투입요소 및 상기 각 투입요소 별 가중치를 자동으로 결정하는 단계는,
상기 시스템 변화 로그로 수집한 각 시스템 구성요소의 사용률로 지정하고, 산출요소는 악성코드 피해 규모로 지정한 DEA(Data Envelopment Analysis) 모델을 기초로 수행되는, 악성코드 공격 피해 규모 측정 방법.
selecting a DMU (Decision Making Unit), which is the basic unit of the DEA model, based on the system change log caused by the malicious code;
automatically determining input factors constituting a calculation factor of a malicious code attack damage scale and a weight for each input factor through machine learning;
calculating an attack damage magnitude of the malicious code using the input factors and a weight for each input factor; and
Measuring the attack damage scale of the malicious code based on the distance in the k-dimensional vector space with each input element as an axis for the DMU with the largest damage among the DMUs collected using the calculated attack damage scale; including,
The step of automatically determining the input factors constituting the calculation factors of the malicious code attack damage scale and the weight for each input factor through the machine learning,
A method of measuring the damage size of a malicious code attack, which is performed based on a Data Envelopment Analysis (DEA) model in which the usage rate of each system component collected by the system change log is specified, and the calculation factor is the malicious code damage size.
 삭제delete 제1항에 있어서, 상기 악성코드의 공격 피해 규모를 측정하는 단계는,
상기 피해 규모가 가장 큰 DMU로부터의 거리를 기준으로, 거리가 가까워질수록 피해 규모가 큰 것으로 판단하는, 악성코드 공격 피해 규모 측정 방법.
The method of claim 1, wherein measuring the attack damage scale of the malicious code comprises:
Based on the distance from the DMU having the largest damage scale, it is determined that the damage scale increases as the distance increases.
 제1항에 있어서, 상기 DEA 모델의 기본 단위가 되는 DMU(Decision Making Unit)를 선정하는 단계는,
악성코드 분석 샌드박스를 이용하여 각 악성코드 실행 이후의 시스템 변화 로그를 수집하는 단계를 더 포함하는, 악성코드 공격 피해 규모 측정 방법.
According to claim 1, wherein the step of selecting a DMU (Decision Making Unit), which is the basic unit of the DEA model,
A method of measuring the size of a malicious code attack damage, further comprising collecting a system change log after each malicious code execution by using a malicious code analysis sandbox.
 제1항에 있어서, 상기 시스템 변화 로그는,
CPU 사용률, 메모리 사용률, 하드디스크 사용률, 네트워크 사용률 중 적어도 하나를 포함하는, 악성코드 공격 피해 규모 측정 방법.
According to claim 1, wherein the system change log,
A method of measuring the damage size of a malicious code attack, including at least one of CPU usage rate, memory usage rate, hard disk usage rate, and network usage rate.
 제1항, 제3항 내지 제5항 중 어느 하나의 항에 따른 상기 악성코드 공격 피해 규모 측정 방법을 수행하기 위한 컴퓨터 프로그램이 기록된 컴퓨터로 판독 가능한 저장 매체.
A computer-readable storage medium in which a computer program for performing the method of measuring the magnitude of the malicious code attack damage according to any one of claims 1 to 5 is recorded.
 악성코드로 인해 발생한 시스템 변화 로그를 기준으로 하여 DEA 모델의 기본 단위가 되는 DMU(Decision Making Unit)를 선정하는 DMU 선정부;
머신러닝을 통해 악성코드 공격 피해 규모의 산출요소를 구성하는 투입요소 및 상기 각 투입요소 별 가중치를 자동으로 결정하는 DEA 모델부;
상기 투입요소 및 상기 각 투입요소 별 가중치를 이용한 악성코드의 공격 피해 규모를 계산하는 계산부; 및
계산된 공격 피해 규모를 이용하여 수집한 DMU 중 피해 규모가 가장 큰 DMU를 대상으로 각 투입요소를 축으로 가지는 k차원 벡터 공간에서의 거리를 기초로 악성코드의 공격 피해 규모를 측정하는 거리 측정부;를 포함하고,
상기 DEA 모델부는,
상기 시스템 변화 로그로 수집한 각 시스템 구성요소의 사용률로 지정하고, 산출요소는 악성코드 피해 규모로 지정한 DEA(Data Envelopment Analysis) 모델을 기초로 수행되는, 악성코드 공격 피해 규모 측정 장치.
a DMU selection unit that selects a Decision Making Unit (DMU), which is the basic unit of the DEA model, based on the system change log caused by malicious code;
a DEA model unit for automatically determining input factors constituting a calculation factor of a malicious code attack damage scale and a weight for each input factor through machine learning;
a calculator for calculating the attack damage scale of the malicious code using the input factors and weights for each input factor; and
A distance measuring unit that measures the attack damage scale of malicious code based on the distance in the k-dimensional vector space with each input element as an axis for the DMU with the largest damage among the DMUs collected using the calculated attack damage scale including;
The DEA model unit,
A device for measuring the size of a malicious code attack damage, which is performed based on a DEA (Data Envelopment Analysis) model designated as the usage rate of each system component collected by the system change log, and the calculation factor is the malicious code damage size.
 삭제delete 제7항에 있어서, 상기 거리 측정부는,
상기 피해 규모가 가장 큰 DMU로부터의 거리를 기준으로, 거리가 가까워질수록 피해 규모가 큰 것으로 판단하는, 악성코드 공격 피해 규모 측정 장치.
The method of claim 7, wherein the distance measuring unit,
Based on the distance from the DMU with the largest damage scale, it is determined that the damage scale is larger as the distance increases.
 제7항에 있어서, 상기 DMU 선정부는,
악성코드 분석 샌드박스를 이용하여 각 악성코드 실행 이후의 시스템 변화 로그를 수집하고, 상기 시스템 변화 로그는, CPU 사용률, 메모리 사용률, 하드디스크 사용률, 네트워크 사용률 중 적어도 하나를 포함하는, 악성코드 공격 피해 규모 측정 장치.
The method of claim 7, wherein the DMU selection unit,
A malicious code analysis sandbox is used to collect a system change log after each malicious code is executed, and the system change log includes at least one of CPU usage rate, memory usage rate, hard disk usage rate, and network usage rate, malicious code attack damage scale measuring device.
KR1020190144206A 2019-11-12 2019-11-12 Method for assessment damage of malware attack, recording medium and device for performing the method KR102291977B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020190144206A KR102291977B1 (en) 2019-11-12 2019-11-12 Method for assessment damage of malware attack, recording medium and device for performing the method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020190144206A KR102291977B1 (en) 2019-11-12 2019-11-12 Method for assessment damage of malware attack, recording medium and device for performing the method

Publications (2)

Publication Number Publication Date
KR20210057446A KR20210057446A (en) 2021-05-21
KR102291977B1 true KR102291977B1 (en) 2021-08-20

Family

ID=76157647

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020190144206A KR102291977B1 (en) 2019-11-12 2019-11-12 Method for assessment damage of malware attack, recording medium and device for performing the method

Country Status (1)

Country Link
KR (1) KR102291977B1 (en)

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101099873B1 (en) * 2009-10-20 2011-12-28 부산대학교 산학협력단 Stratification Benchmarking System And method thereof
US11356467B2 (en) 2016-06-13 2022-06-07 Nippon Telegraph And Telephone Corporation Log analysis device, log analysis method, and log analysis program
KR101959213B1 (en) * 2017-02-28 2019-03-18 한국인터넷진흥원 Method for predicting cyber incident and Apparatus thereof
KR102442061B1 (en) * 2017-04-06 2022-09-13 삼성전자주식회사 Electronic apparatus, alert message providing method of thereof and non-transitory computer readable recording medium
KR102033169B1 (en) 2017-07-24 2019-10-16 주식회사 시큐리티인사이드 intelligence type security log analysis method
KR101880686B1 (en) 2018-02-28 2018-07-20 에스지에이솔루션즈 주식회사 A malware code detecting system based on AI(Artificial Intelligence) deep learning

Also Published As

Publication number Publication date
KR20210057446A (en) 2021-05-21

Similar Documents

Publication Publication Date Title
Mancini et al. Identifying the brownian covariation from the co-jumps given discrete observations
AU2001255994B8 (en) Method of Business Analysis
CN105719033B (en) Method and device for identifying object risk
CN105468510A (en) Method and system for evaluating and tracking software quality
AU2001255994A1 (en) Method of Business Analysis
KR102140096B1 (en) Prediction apparatus for spreading of epidemic, and control method thereof
US20090282273A1 (en) Method and System For Data Migration
CN111192140A (en) Method and device for predicting customer default probability
WO2014141344A1 (en) Data prediction device
CA2713889A1 (en) System and method for estimating combined workloads of systems with uncorrelated and non-deterministic workload patterns
KR102042442B1 (en) Regtech platform apparatus for digital compliance and risk management, method for risk management of financial transactions and computer program for the same
KR102291977B1 (en) Method for assessment damage of malware attack, recording medium and device for performing the method
JP6502062B2 (en) Communication quality prediction device and communication quality prediction program
CN114124260A (en) Spectrum prediction method, apparatus, medium, and device based on composite 2D-LSTM network
CN117376228A (en) Network security testing tool determining method and device
Haak et al. Autonomic benchmarking for cloud infrastructures: an economic optimization model
CN110163407A (en) The optimization method and device of quantization strategy
KR20190088395A (en) Sales estimation system based on the amount of power usage and method thereof
US20150248679A1 (en) Pulse-width modulated representation of the effect of social parameters upon resource criticality
KR101524671B1 (en) APPARATUS FOR EVALUATing SECURITY THREAT BASED ON ATTACK ROUTE AND METHOD THEREOF
CN115130887A (en) Reservoir dam environmental impact evaluation method and device, electronic equipment and storage medium
CN116777220B (en) Enterprise wind control management method and system
KR100992157B1 (en) The method and apparatus for determining security solution
Gonçalves et al. A model-based approach to anomaly detection trading detection time and false alarm rate
Hoste et al. Analyzing commercial processor performance numbers for predicting performance of applications of interest

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right