KR102382951B1 - 딥웹 분석을 통한 사회이슈 기반 사이버 표적공격 예측 시스템 및 그 예측 방법 - Google Patents
딥웹 분석을 통한 사회이슈 기반 사이버 표적공격 예측 시스템 및 그 예측 방법 Download PDFInfo
- Publication number
- KR102382951B1 KR102382951B1 KR1020200154453A KR20200154453A KR102382951B1 KR 102382951 B1 KR102382951 B1 KR 102382951B1 KR 1020200154453 A KR1020200154453 A KR 1020200154453A KR 20200154453 A KR20200154453 A KR 20200154453A KR 102382951 B1 KR102382951 B1 KR 102382951B1
- Authority
- KR
- South Korea
- Prior art keywords
- attack
- social issue
- data
- web
- cyber
- Prior art date
Links
- 238000004458 analytical method Methods 0.000 title claims abstract description 199
- 238000000034 method Methods 0.000 title claims abstract description 42
- 230000002085 persistent effect Effects 0.000 title claims abstract description 7
- 230000009193 crawling Effects 0.000 claims abstract description 22
- 238000002360 preparation method Methods 0.000 claims description 15
- 239000000284 extract Substances 0.000 claims description 8
- 238000010835 comparative analysis Methods 0.000 claims description 7
- 230000000877 morphologic effect Effects 0.000 claims description 3
- 238000007726 management method Methods 0.000 description 25
- 230000008520 organization Effects 0.000 description 11
- 238000004891 communication Methods 0.000 description 4
- 239000003814 drug Substances 0.000 description 4
- 229940079593 drug Drugs 0.000 description 4
- 230000008901 benefit Effects 0.000 description 3
- 230000008859 change Effects 0.000 description 3
- 238000013523 data management Methods 0.000 description 2
- 238000013500 data storage Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 241000234282 Allium Species 0.000 description 1
- 235000002732 Allium cepa var. cepa Nutrition 0.000 description 1
- 101000898783 Candida tropicalis Candidapepsin Proteins 0.000 description 1
- 238000013480 data collection Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000003278 mimic effect Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 238000013177 single antiplatelet therapy Methods 0.000 description 1
- 230000008685 targeting Effects 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/10—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
- G06F21/12—Protecting executable software
- G06F21/121—Restricting unauthorised execution of programs
- G06F21/128—Restricting unauthorised execution of programs involving web programs, i.e. using technology especially used in internet, generally interacting with a web browser, e.g. hypertext markup language [HTML], applets, java
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/10—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
- G06F21/16—Program or content traceability, e.g. by watermarking
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Technology Law (AREA)
- Multimedia (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
본 발명은 딥웹 분석을 통한 사회이슈 기반 사이버 표적공격 예측 시스템 및 그 예측 방법에 관한 것으로서, 더욱 상세하게는, 분석 대상 딥웹 사이트들의 크롤링을 수행하여 악성코드 관련 정보들을 수집하고, 서피스웹에서 사이버 표적공격(APT, Advanced Persistent Threat) 발생시, 발생한 상기 사이버 표적공격에 대한 관련 정보들을 분석하고, 상기 사이버 표적공격 발생을 기준으로 소정기간 전부터 소정기간 후까지의 사회이슈 데이터들을 수집하여, 상기 정보와 데이터들을 통합 분석하여 악성코드 연관 데이터 셋을 생성하는 사회이슈 기반 공격 분석부(100) 및 서피스웹에서 발생하는 사회이슈 데이터들을 수집하고, 수집한 상기 사회이슈 데이터와 상기 사회이슈 기반 공격 분석부(100)에서 생성한 상기 악성코드 연관 데이터 셋을 통합 비교 분석하여, 사회이슈 기반 사이버 표적공격의 발생 가능성 정도를 예측하여 제공하는 사회이슈 기반 공격 예측부(200)를 포함하여 구성되는 것을 특징으로 하는 딥웹 분석을 통한 사회이슈 기반 사이버 표적공격 예측 시스템에 관한 것이다.
Description
본 발명은 딥웹 분석을 통한 사회이슈 기반 사이버 표적공격 예측 시스템 및 그 예측 방법에 관한 것으로, 더욱 상세하게는 특정 사회이슈에 민감하게 반응하는 공격자 그룹에 의한 사이버 표적공격에 관련된 정보들을 딥웹을 활용하여 사전에 분석함으로써, 실제 발생할 가능성이 높은 사회이슈 기반 사이버 표적공격을 예측할 수 있는 딥웹 분석을 통한 사회이슈 기반 사이버 표적공격 예측 시스템 및 그 예측 방법에 관한 것이다.
사회이슈를 기반으로 한 사이버 표적공격(SAPT, Social Advanced Persistent Threat)의 경우, 해당하는 사회이슈와 연관된 여러 기관들에 대해 연쇄적으로 발생하는 특징을 가지고 있다.
일 예로 2018년 평창올림픽이 개막하는 날 발생한 사이버 표적공격을 들 수 있다. 상세하게는, 러시아에서 약물 사용으로 인해 평창 올림픽에 출전이 금지됨으로 인해, 러시아 추정의 해킹 공격이 이루어진 사건으로, 러시아 해커조직 '팬시 베어스'에서 국제 올림픽 위원회 및 세계 도핑 기구를 해킹하였으며, 이 후에도 올림픽 조직 위원회 등 평창 올림픽 관련 홈페이지를 겨냥한 사이버 표적공격이 발생함으로써, 평창 올림픽의 입장권 예매가 지연되는 등의 문제가 발생했다. 즉, '평창 올림픽'이라는 사회적 이슈를 기반으로 사이버 표적공격이 발생하였으며, '평창 올림픽'과 연관된 여러 기관들인 국제 올림픽 위원회, 세계 도핑 기구, 올림픽 조직 위원회 등에 대해 연쇄적으로 발생하였다.
이와 같이, 국가 간의 분쟁과 같은 특정 사회이슈 발생시, 사이버 표적공격이 주로 발생하고 있으며, 이러한 특정 분쟁이나 이슈가 있을 때 발생하는 사이버 표적공격을 '사회이규 기반 사이버 표적공격'이라 정의하는 것이 바람직하다.
이 때, 일반적으로 생각되는 '사회이슈'라 함은, 포털 사이트 등의 검색 순위(실시간 검색어 등)를 통해 확인할 수 있다.
그렇지만, 이러한 포털 사이트 등의 검색 순위는 사용자로부터 직접 입력받은 다양한 검색어들을 통한 랭킹이 매겨지고 있기 때문에, 특정 집단에서 특정 키워드를 다수 입력하면, 랭킹이 상승함으로써 검색 순위에 나타나기 때문에, 단순하게 검색 순위를 사회이슈로 단정하기는 어렵다.
또한, 일반적으로 검색 순위에 올라가 있는 검색어의 경우, 단순한 단어로만 구성되어 있는 경우가 대부분이기 때문에, 특정 단어 및 특정 키워드만을 가지고, 이를 사회이슈로 해석하기에는 무리가 있다.
뿐만 아니라, 사이버 표적공격의 경우 익명성을 보장하는 딥웹(deep web)(또는 다크웹(dark web))에서 많이 이루어지고 있으며, 이러한 딥웹은 서피스웹과 상대되는 개념으로서, 웹 크롤러에 의해 검색되지 않아 일반적인 검색엔진 사이트 등을 통한 검색으로는 접근이 어려운 웹으로, 양적으로는 서피스웹보다 월등히 많으며(최근 조사에 따르면, 전체 웹 정보의 약 95% 이상이 딥웹 형태로 저장) 유료화 장벽으로 막혀있는 콘텐츠 등이 이에 해당된다.
이 때, 서피스웹(surface web)이란 일반적으로 사용자가 접하는 웹 페이지로서, 검색엔진 사이트(다음, 네이버, 구글 등)에 의해 색인(indexing)된 콘텐츠들로 구성된다. 이러한 검색엔진 사이트들은 방대한 웹을 돌아다니는 웹 크롤러에 의해 웹 사이트를 구성하는 웹 페이지들을 수집하기 때문에, 사용자가 이러한 웹 페이지를 검색을 통해서 찾을 수 있게 된다. 즉, 웹 크롤러라 불리는 프로그램을 이용하여 하이퍼링크를 따라 웹 페이지들을 방문하고, 방문한 웹 페이지의 인덱스를 생성하게 된다. 이를 이용하여, 악성코드를 유포하는 사이트나 음란물, 총기, 마약, 복제카드 거래 등 범죄에 악용될 수 있는 사이트들을 검색/탐지하여 사용자가 해당 사이트들을 검색하거나 접속하는 것을 차단하고 있다.
딥 웹은 상술한 바와 같이, 서피스웹에 비해 상술한 악성 정보(악성코드, 음란물, 총기, 마약, 복제카드 거래 등)를 공유하기에 최적화되어 있기 때문에, 실제 악성코드를 서피스웹에 유포하기 전에 테스트를 수행하거나, 서피스웹에서는 검색하기 힘든 음란물, 총기, 마약, 복제카드 거래 등 범죄에 악용될 수 있는 정보들이 공유되고 있는 실정이다.
그렇기 때문에, 딥웹을 통해서 악성코드 등 범죄와 관련된 정보들이 공유 및 배포되고 있는 관련 정보들을 사전에 발견하고, 이와 연관된 사회이슈 데이터를 수집하여 통합 관리함으로써, 특정 사회이슈 발생 시, 사회이슈 기반 사이버 표적공격이 이루어지기 전에 방지/예방하기 위한 보안 시스템에 요구되고 있는 실정이다.
이와 관련해서, 국내등록특허 제10-1852107호("다크웹 범죄정보 분석 시스템 및 그 방법")에서는, 다크웹의 스캐닝한 정보를 분석하여 범죄 프로파일링을 수행하는 기술을 개시하고 있다.
본 발명은 상기한 바와 같은 종래 기술의 문제점을 해결하기 위하여 안출된 것으로, 본 발명의 목적은 딥웹을 활용하여 특정 사회이슈에 민감하게 반응하는 공격자 그룹에 의한 사이버 표적공격에 관련된 정보들을 사전에 분석 및 수집한 후, 이 후 발생하는 사회이슈를 기반으로 실제 발생할 가능성이 높은 사회이슈 기반 사이버 표적공격을 예측하여 사전에 이에 대한 대비를 수행할 수 있는 딥웹 분석을 통한 사회이슈 기반 사이버 표적공격 예측 시스템 및 그 예측 방법을 제공하는 것이다.
본 발명의 일 실시예에 따른 딥웹 분석을 통한 사회이슈 기반 사이버 표적공격 예측 시스템은, 분석 대상 딥웹 사이트들의 크롤링을 수행하여 악성코드 관련 정보들을 수집하고, 서피스웹에서 사이버 표적공격(APT, Advanced Persistent Threat) 발생시, 발생한 상기 사이버 표적공격에 대한 관련 정보들을 분석하고, 상기 사이버 표적공격 발생을 기준으로 소정기간 전부터 소정기간 후까지의 사회이슈 데이터들을 수집하여, 상기 정보와 데이터들을 통합 분석하여 악성코드 연관 데이터 셋을 생성하는 사회이슈 기반 공격 분석부(100) 및 서피스웹에서 발생하는 사회이슈 데이터들을 수집하고, 수집한 상기 사회이슈 데이터와 상기 사회이슈 기반 공격 분석부(100)에서 생성한 상기 악성코드 연관 데이터 셋을 통합 비교 분석하여, 사회이슈 기반 사이버 표적공격의 발생 가능성 정도를 예측하여 제공하는 사회이슈 기반 공격 예측부(200)를 포함하여 구성되는 것이 바람직하다.
더 나아가, 상기 사회이슈 기반 공격 분석부(100)는 분석 대상 딥웹 사이트들의 크롤링을 수행하여, 수집한 웹 데이터들을 분석하여 악성코드 특성을 갖는 의심 웹 데이터를 추출하고, 추출한 의심 웹 데이터의 특성을 분석하여, 분석한 의심 웹 데이터의 특성과 함께, 추출한 딥웹 사이트 주소 정보를 포함하여 상기 악성코드 관련 정보로 저장 및 관리하는 딥웹 악성코드 분석부(110), 서피스웹에서 사이버 표적공격 발생시, 기저장된 보안 어플리케이션을 이용하여, 발생한 상기 사이버 표적공격에 대한 관련 정보들을 분석하여, 저장 및 관리하는 APT 공격 분석부(120), 상기 APT 공격 분석부(120)에서 분석한 상기 사이버 표적공격의 공격 유형 정보와 상기 딥웹 악성코드 분석부(110)에서 분석한 의심 웹 데이터의 특성의 유사도를 비교 분석하는 유사도 비교분석부(130) 및 상기 유사도 비교분석부(130)의 비교 분석 결과에 따라, 상기 사이버 표적공격의 공격 유형 정보와 상기 의심 웹 데이터의 특성이 소정값 이상 유사할 경우, 상기 의심 웹 데이터를 활용한 사이버 표적공격으로 판단하여, 상기 악성코드 관련 정보를 토대로 상기 의심 웹 데이터를 활용한 사이버 표적공격의 공격자를 특정하여 저장 및 관리하는 공격자 특정부(140)를 더 포함하여 구성되는 것이 바람직하다.
더 나아가, 상기 사회이슈 기반 공격 분석부(100)는 상기 APT 공격 분석부(120)에서 분석한 상기 사이버 표적공격이 발생한 시점을 기준으로 소정기간 전부터 소정기간 후까지의 분석 대상 서피스웹 사이트들의 크롤링을 수행하여 수집한 웹 데이터들을 분석하여, 발생한 사회이슈 데이터들을 수집하여 저장 및 관리하는 공격 사회이슈 수집부(150)를 더 포함하여 구성되는 것이 바람직하다.
더 나아가, 상기 사회이슈 기반 공격 분석부(100)는 상기 공격자 특정부(140)에서 특정한 상기 의심 웹 데이터를 활용한 사이버 표적공격의 공격자를 기준으로, 해당하는 상기 사이버 표적공격에 대한 관련 정보들, 해당하는 상기 악성코드 관련 정보들, 해당하는 상기 사회이슈 데이터들을 그룹화하여 상기 악성코드 연관 데이터 셋을 생성하여 저장 및 관리하는 통합 정보 관리부(160)를 더 포함하여 구성되는 것이 바람직하다.
더 나아가, 상기 딥웹 분석을 통합 사회이슈 기반 사이버 표적공격 예측 시스템은 상기 사회이슈 기반 공격 분석부(100)를 통한 반복 수행에 의해서, 다수의 상기 악성코드 연관 데이터 셋들을 생성 및 관리하는 것을이 바람직하다.
더 나아가, 상기 사회이슈 기반 공격 예측부(200)는 상기 사회이슈 기반 공격 분석부(100)를 통해서 기설정된 기준 개수 이상의 상기 악성코드 연관 데이터 셋들이 생성된 후, 분석 대상 서피스웹 사이트들의 크롤링을 수행하여 사회이슈 데이터들을 수집하여 저장 및 관리하는 예측 사회이슈 수집부(210) 및 상기 통합 정보 관리부(160)의 상기 악성코드 연관 데이터 셋을 기반으로, 상기 예측 사회이슈 수집부(210)에서 수집한 상기 사회이슈 데이터들과 상기 악성코드 연관 데이터 셋에 포함되어 있는 상기 사회이슈 데이터들의 유사도를 비교 분석하여, 비교 분석한 유사도를 기준으로 해당하는 사회이슈 기반 사이버 표적공격의 발생 가능성 정도를 예측하여 저장 및 관리하는 공격 예측부(220)를 더 포함하여 구성되는 것이 바람직하다.
더 나아가, 상기 사회이슈 기반 공격 예측부(200)는 상기 공격 예측부(220)에서 예측한 발생 가능성 정도를 이용하여, 해당하는 사회이슈 기반 사이버 표적공격에 의한 상기 악성코드 연관 데이터 셋을 분석하여, 보안 관련 정보를 생성하여 제공하는 공격 대비부(230)를 더 포함하여 구성되는 것이 바람직하다.
본 발명의 일 실시예에 따른 딥웹 분석을 통한 사회이슈 기반 사이버 표적공격 예측 방법은, 사회이슈 기반 공격 분석부에서, 분석 대상 딥웹 사이트들의 크롤링을 수행하여, 수집한 웹 데이터들을 분석하여, 악성코드 특성을 갖는 의심 웹 데이터를 추출하고, 추출한 의심 웹 데이터의 특성을 분석하여, 분석한 의심 웹 데이터의 특성 정보, 추출한 딥웹 사이트 관련 정보들을 포함하여 악성코드 관련 정보로 저장 및 관리하는 딥웹 분석단계(S100), 사회이슈 기반 공격 분석부에서, 사이버 표적공격(APT, Advanced Persistent Threat) 발생시, 발생한 상기 사이버 표적공격에 대한 관련 정보들을 분석하여 저장 및 관리하는 APT 분석단계(S200), 사회이슈 기반 공격 분석부에서, 상기 APT 분석단계(S200)에 의한 상기 사이버 표적공격의 관련 정보와 상기 딥웹 분석단계(S100에 의한 상기 악성코드 관련 정보들 간의 유사도를 비교 분석하는 유사도 분석단계(S300), 사회이슈 기반 공격 분석부에서, 상기 유사도 분석단계(S300)에 의한 비교 분석 결과, 유사도가 소정값 이상일 경우, 발생한 상기 사이버 표적공격이 해당하는 의심 웹 데이터를 활용한 사이버 표적공격으로 판단하고, 상기 악성코드 관련 정보를 토대로 상기 의심 웹 데이터를 활용한 사이버 표적공격의 공격자를 특정하는 공격자 특정단계(S400), 사회이슈 기반 공격 분석부에서, 상기 APT 분석단계(S200)에 의해 분석한 상기 사이버 표적공격이 발생한 시점을 기준으로, 소정기간 전부터 소정기간 후까지의 분석 대상 서피트웹 사이트들의 크롤링을 수행하여, 수집한 웹 데이터들을 분석하여, 발생한 사회이슈 데이터들을 수집하는 공격 사회이슈 수집단계(S500) 및 사회이슈 기반 공격 분석부에서, 상기 공격자 특정단계(S400)에 의해 특정한 상기 의심 웹 데이터를 활용한 사이버 표적공격의 공격자를 기준으로, 해당하는 상기 사이버 표적공격에 대한 관련 정보들, 해당하는 상기 악성코드 관련 정보들, 해당하는 상기 사회이슈 데이터들을 그룹화하여 상기 악성코드 연관 데이터 셋을 생성하는 통합 관리단계(S600)를 포함하여 구성되며, 반복 수행을 통해서 다수의 상기 악성코드 연관 데이터 셋들을 생성 및 관리하는 것이 바람직하다.
더 나아가, 상기 딥웹 분석을 통한 사회이슈 기반 사이버 표적공격 예측 방법은 상기 통합 관리단계(S600)를 수행하고 난 후, 사회이슈 기반 공격 예측부에서, 분석 대상 서피스웹 사이트들의 크롤링을 수행하여, 수집한 웹 데이터들을 분석하여 발생한 사회이슈 데이터들을 수집하는 예측 사회이슈 수집단계(S700) 및 사회이슈 기반 공격 예측부에서, 상기 통합 관리단계(S600)에 의한 상기 악성코드 연관 데이터 셋을 기반으로, 상기 예측 사회이슈 수집단계(S700)에 의해 수집한 상기 사회이슈 데이터들과 상기 악성코드 연관 데이터 셋에 포함되어 있는 상기 사회이슈 데이터 간의 유사도를 비교 분석하여, 비교 분석한 유사도를 기준으로 해당하는 사회이슈 기반 사이버 표적공격의 발생 가능성 정도를 예측하는 공격 예측단계(S800)를 더 포함하여 구성되는 것이 바람직하다.
더 나아가, 상기 딥웹 분석을 통한 사회이슈 기반 사이버 표적공격 예측 방법 은 상기 공격 예측단계(S800)를 수행하고 난 후, 상기 공격 예측단계(S800)에 의한 상기 사회이슈 기반 사이버 표적공격의 발생 가능성 정도를 이용하여, 해당하는 상기 사회이슈 기반 사이버 표적공격에 의한 상기 악성코드 연관 데이터 셋을 분석하여, 보안 관련 정보를 생성하는 보안 대비단계(S900)를 더 포함하여 구성되는 것이 바람직하다.
더 나아가, 상기 딥웹 분석단계(S100)는 서피스 웹 사이트에 접속 가능한 브라우저를 이용하여, 딥웹 사이트에 접속이 가능한 특정 브라우저의 동작 방식을 모사하여, 분석 대상 딥웹 사이트들의 크롤링을 수행하는 것이 바람직하다.
더 나아가, 상기 딥웹 분석을 통한 사회이슈 기반 사이버 표적공격 예측 방법은 수집한 웹 데이터들을 분석하여, 기설정된 웹 문서 형태에 해당하는 웹 문서 데이터들에 대해서만 텍스트 데이터들을 추출하고, 추출한 텍스트 데이터들에 대한 형태소 분석을 통한 키워드 데이터들을 분석하여, 수집한 상기 텍스트 데이터들과 분석한 상기 키워드 데이터들을 이용하여, 상기 키워드 데이터들의 발생 빈도수를 기준으로, 사회이슈 키워드로 설정하여 상기 사회이슈 데이터들을 수집하는 것이 바람직하다.
상기와 같은 구성에 의한 본 발명의 딥웹 분석을 통한 사회이슈 기반 사이버 표적공격 예측 시스템 및 그 예측 방법은 딥웹 크롤링을 통해서 사회이슈에 민감한 공격자 그룹을 특정하고, 해당 사회이슈가 발생했을 때, 사전에 특정한 공격자 그룹에 의한 사이버 표적공격 발생할 가능성이 있음을 예측할 수 있는 장점이 있다.
이를 통해서, 공격 대상 기관 등에 사회이슈 기반 사이버 표적공격의 발생 가능성을 알리고, 이에 따른 대응과정이 이루어질 수 있도록 하여, 사회이슈와 연관된 여러 기관들에 대해 연쇄적으로 발생하는 사회이슈 기반 사이버 표적공격에 의한 피해를 최소화할 수 있는 장점이 있다.
도 1은 본 발명의 일 실시예에 따른 딥웹 분석을 통한 사회이슈 기반 사이버 표적공격 예측 시스템을 나타낸 구성 예시도이다.
도 2는 본 발명의 일 실시예에 따른 딥웹 분석을 통한 사회이슈 기반 사이버 표적공격 예측 시스템의 각 구성의 세부 동작을 나타낸 예시도이다.
도 3은 본 발명의 일 실시예에 따른 딥웹 분석을 통한 사회이슈 기반 사이버 표적공격 예측 방법을 나타낸 순서 예시도이다.
도 2는 본 발명의 일 실시예에 따른 딥웹 분석을 통한 사회이슈 기반 사이버 표적공격 예측 시스템의 각 구성의 세부 동작을 나타낸 예시도이다.
도 3은 본 발명의 일 실시예에 따른 딥웹 분석을 통한 사회이슈 기반 사이버 표적공격 예측 방법을 나타낸 순서 예시도이다.
이하 첨부한 도면들을 참조하여 본 발명의 딥웹 분석을 통한 사회이슈 기반 사이버 표적공격 예측 시스템 및 그 예측 방법을 상세히 설명한다. 다음에 소개되는 도면들은 당업자에게 본 발명의 사상이 충분히 전달될 수 있도록 하기 위해 예로서 제공되는 것이다. 따라서, 본 발명은 이하 제시되는 도면들에 한정되지 않고 다른 형태로 구체화될 수도 있다. 또한, 명세서 전반에 걸쳐서 동일한 참조번호들은 동일한 구성요소들을 나타낸다.
이 때, 사용되는 기술 용어 및 과학 용어에 있어서 다른 정의가 없다면, 이 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 통상적으로 이해하고 있는 의미를 가지며, 하기의 설명 및 첨부 도면에서 본 발명의 요지를 불필요하게 흐릴 수 있는 공지 기능 및 구성에 대한 설명은 생략한다.
더불어, 시스템은 필요한 기능을 수행하기 위하여 조직화되고 규칙적으로 상호 작용하는 장치, 기구 및 수단 등을 포함하는 구성 요소들의 집합을 의미한다.
본 발명의 일 실시예에 따른 딥웹 분석을 통한 사회이슈 기반 사이버 표적공격 예측 시스템 및 그 예측 방법은, 딥웹을 활용하여 사회이슈에 민감한 공격자 그룹을 사전에 특정하고, 해당하는 사회이슈 발생시, 해당 공격자 그룹에 의한 사이버 표적공격이 발생할 수 있음을 예측하고, 이에 대한 대비를 수행할 수 있도록 하는 딥웹 분석을 통한 사회이슈 기반 사이버 표적공격 예측 시스템 및 그 예측 방법에 관한 것이다.
이러한, 본 발명의 일 실시예에 따른 딥웹 분석을 통한 사회이슈 기반 사이버 표적공격 예측 시스템은 도 1에 도시된 바와 같이, 사회이슈 기반 공격 분석부(100) 및 사회이슈 기반 공격 예측부(200)를 포함하여 구성되는 것이 바람직하다.
각 구성에 대해서 자세히 알아보자면,
상기 사회이슈 기반 공격 분석부(100)는 분석 대상 딥웹 사이트들의 크롤링을 수행하여 악성코드 관련 정보들을 수집하고, 서피스웹에서 발생하는 사이버 표적공격에 대한 관련 정보들을 분석하고, 발생한 사이버 표적공격을 기준으로 연관 사회이슈 데이터들을 수집하여, 사회이슈 데이터를 기준으로 발생한 사이버 표적공격 관련 정보, 이와 매칭되는 딥웹에서의 악성코드 관련 정보 등을 그룹화하여 악성코드 연관 데이터 셋을 생성하는 것이 바람직하다.
자세하게는, 상기 사회이슈 기반 공격 분석부(100)는 도 1 및 도 2에 도시된 바와 같이, 딥웹 악성코드 분석부(110), APT 공격 분석부(120), 유사도 비교분석부(300) 및 공격자 특정부(400)를 포함하여 구성되는 것이 바람직하다.
상기 딥웹 악성코드 분석부(110)는 딥웹에서 발생하는 악성코드들을 수집하고 수집한 상기 악성코드들을 분석하여, 상기 악성코드가 서피스웹에 활동하기 전에, 상기 악성코드들의 특징을 사전에 파악하는 것이 바람직하다.
상술한 바와 같이, 악성코드는 사전에 딥웹에 유포하여 테스트를 거친 뒤 서피스웹에서 실제 사이버 표적공격에 활용되는 경향이 있기 때문에, 상기 딥웹 악성코드 분석부(110)를 통해서, 우선적으로 딥웹 크롤링을 통해 악성코드들을 수집하고 수집한 악성코드들을 분석하여 발생할 수 있는 사이버 표적공격에 대한 대비를 수행하는 것이 바람직하다.
상세하게는, 상기 딥웹 악성코드 분석부(110)는 분석 대상 딥웹 사이트들의 크롤링을 수행하여, 수집한 웹 데이터들을 분석하여 악성코드 특성을 갖는 의심 웹 데이터를 추출하는 것이 바람직하다. 이 후, 추출한 상기 의심 웹 데이터의 특성을 분석하여, 분석한 의심 웹 데이터의 특성과 함께 추출한 상기 의심 웹 데이터가 발견된 딥웹 사이트 주소 정보, 동일 딥웹 사이트 내용 등을 포함하여 상기 악성코드 관련 정보로 저장 및 관리하는 것이 바람직하다.
다만, 딥웹은 상술한 바와 같이, 일반적인 서피스웹을 통해서는 접근이 불가능하며 토르(TOR, The Onion Routers)와 같은 특수한 브라우저를 사용한 특정 프로그램을 통해서만 접근이 가능할 뿐 아니라, 다수의 네트워크 노드(Proxy, VPN 등)들을 거쳐서만 접근이 가능하도록 네트워크 회선이 구성되어 있기 때문에, IP 추적이 매우 어려워 익명화를 보장받는 것이 특징이기 때문에, 일반적으로 활용되는 서피스웹에서의 크롤러를 통해서는 딥웹 사이트들의 분석을 수행할 수 없다.
즉, 서피스웹을 대상으로 하는 크롤러에서는 HTTP/HTTPS 프로토콜에 맞춰 직접적으로 크롤링을 수행하게 된다. 그렇지만, 딥웹에서는 해당 방식으로의 크롤링이 불가능하며, 딥웹 사이트에 접근하기 위해서는 상술한 바와 같이, 일반적으로는 토르 브라우저를 이용하게 된다. 토르 브라우저는 오픈소스인 파이어폭스를 기반으로 개발된 브라우저로서, 딥웹에 접근 가능한 토르 프로그램과 통합된 브라우저이다. 딥웹에 접근하기 위하여 토르 브라우저를 실행하면, 토르 프로그램이 같이 실행되며, 브라우저에서 요청하는 HTTP/HTTPS 웹 접근이 토르 네트워크(익명 네트워크)의 SOCKS5 기반의 프록시 포트를 통해 전달되어 딥웹에 접근 가능한 구성되어 있다.
이에 따라, 상기 딥웹 악성코드 분석부(110)는 제어 가능한 브라우저를 통해서 토르 브라우저의 동작 방식을 모사하면서 딥웹에 접근함으로써, 크롤링을 수행하여 딥웹 사이트들의 웹 데이터를 분석하는 것이 바람직하다.
상세하게는, 미리 설정된 딥웹 검색엔진 사이트를 통해 딥웹 사이트를 검색 및 수집하는 것이 바람직하다.
이 때, 미리 설정된 딥웹 검색엔진 사이트는 딥웹을 검색할 수 있도록 기존에 활용되고 있는 딥웹 검색엔진 사이트로서 Fresh Onion, not Evil, Candle, Ahmia, TORCH, Grams, Dark Web Links 등을 이용하여, 딥웹 사이트를 검색 및 수집하는 것이 바람직하다.
즉, 미리 설정된 딥웹 검색엔진 사이트들의 URL 링크와 검색 키워드가 들어가는 파라미터 부분을 추출하여, URL 정보와 검색 키워드 정보로 각각 데이터베이스화하여 저장 및 관리하는 것이 바람직하다.
이 후, 외부 사용자(관리자 등)로부터 딥웹을 분석하기 위한 검색 키워드(일 예를 들자면, 외부 사용자의 검색 목적에 따라 범죄유형별(악성코드, 음란물, 총기, 마약, 복제카드 거래 등)로 키워드가 상이하게 입력되며, 악성코드에 이용되는 딥웹 사이트를 검색하기 위한 검색 키워드로는, malware/ransomware/exploit/0day 등과 같은 키워드를 입력됨.)들을 입력받아, 입력된 상기 검색 키워드들을 기반으로, 딥웹 사이트를 검색하기 위한 '검색식'으로 조합하여 검색 URL 정보를 생성하는 것이 바람직하다.
이를 통해서, 딥웹 사이트를 검색할 수 있는 딥웹 검색엔진 사이트에서 검색 키워드를 입력한 후 검색을 수행할 때, 생성되는 URL의 구성을 살펴보자면, 딥웹 검색엔진 사이트 검색URL 주소와, 검색된 페이지 파라미터, 검색 키워드 파라미터, 기타 검색엔진 사이트 운영에 필요한 파라미터들로 구성되는 것을 알 수 있다. 일 예를 들자면, 딥웹 검색엔진 사이트에서 'search'는 검색 키워드가 들어가는 파라미터이며, 'page'는 검색된 페이지를 구분하는 파라미터이고, 'rep'는 검색엔진 사이트 운영에 필요한 파라미터이다.
이렇게 생성한 상기 검색 URL 정보, 즉, 딥웹 사이트의 URL에 대한 크롤링을 수행하는 것이 바람직하다.
즉, 딥웹 사이트에 접속이 가능한 특정 브라우저의 동작 방식을 모사하기 위하여, 이용 브라우저로는 서피스 웹 브라우저 또는 딥웹에 접속 가능한 특수 브라우저 등 제어 가능한 브라우저를 이용하여, 크롤링을 위한 URL이 설정되며, 다시 말하자면, 분석 대상 딥웹 사이트의 URL이 입력될 경우, 미리 설정되어 있는 브라우저의 요청 헤더를 특정 브라우저(본 발명에서는 특정 브라우저로 '토르 브라우저'로 한정하였으나, 이는 본 발명의 일 실시예에 불과함.)에서 사용하는 요청 헤더의 형식으로 변경하여 통신 네트워크 회선을 구성하고 있는 연결 라우터에서는 일반적인 토르 브라우저에서 요청한 것처럼 인식되도록 하는 것이 바람직하다.
더불어, 상기 요청 헤더를 변경할 뿐 아니라, URL 형식에 따라 HOST 및 GET/POST의 URL을 같이 삽입하는 것이 바람직하며, 상기 요청 헤더를 변경한 상기 이용 브라우저의 통신 프로토콜을 미리 설정된 통신 프로토콜로 변경할 수 있다. 즉, 토르 네트워크의 통신 프로토콜인 SOCKS5 기반 프록시 프로토콜로 변경하는 것이 바람직하다. 변경한 상기 통신 프로토콜을 이용하여 통신 네트워크에 접속한 후, 상기 분석 대상 딥웹 사이트의 URL 정보에 접속하는 것이 바람직하다.
이렇게 변경된 크롤러를 활용하여 딥웹 사이트의 크롤링을 수행함으로써, 웹 데이터, 다시 말하자면 웹 페이지를 수집하게 된다.
이를 통해서, 상기 딥웹 악성코드 분석부(110)는 악성코드에 이용되는 딥웹 사이트에 대한 크롤링을 수행하여, 수집한 웹 데이터들을 분석하여 악성코드 특성을 갖는 의심 웹 데이터를 추출하고 추출한 상기 의심 웹 데이터에 대한 특성, 다시 말하자면, 해당하는 의심 웹 데이터 정보, 포함되어 있는 악성코드 공격 유형 정보, 악성코드 유포지(딥웹 사이트 주소 정보) 등을 포함하여 상기 악성코드 관련 정보로 저장 및 관리하는 것이 바람직하다.
상기 APT 공격 분석부(120)는 서피스웹에서 사이버 표적공격 발생시, 발생한 상기 사이버 표적공격의 유형을 파악하여, 상기 사이버 표적공격이 발생할 당시의 공격대상 기관정보, 공격의 세부적인 유형 정보 등을 분석하는 것이 바람직하다.
즉, 상기 APT 공격 분석부(120)는 서피스웹에서 사이버 표적공격 발생시, 미리 저장된 보안 어플리케이션(일 예를 들자면, 각 서피스웹에서 미리 설정되어 있는 보안 시스템 등)을 이용하여, 발생한 상기 사이버 표적공격에 대한 관련 정보들을 분석하여 발생한 상기 사이버 표적공격 별, 공격대상 기관정보, 공격 유형 정보 등을 데이터베이스화하여 저장 및 관리하는 것이 바람직하다.
상기 유사도 비교분석부(130)는 서피스웹에서 발생한 상기 사이버 표적공격이 사전에 분석한 딥웹에서 발생한 악성코드들의 공격과 유사한지 판단하는 것이 바람직하다.
다시 말하자면, 상기 유사도 비교분석부(130)는 상기 APT 공격 분석부(120)에서 분석한 상기 사이버 표적공격의 공격 유형 정보와 상기 딥웹 악성코드 분석부(110)에서 분석한 상기 의심 웹 데이터의 특성의 유사도를 비교 분석하는 것이 바람직하며, 데이터 간의 유사도는 종래의 유사도 판단 알고리즘을 적용하는 것이 바람직하다.
상세하게는, 상기 유사도 비교분석부(130)는 상기 APT 공격 분석부(120)에서 분석한 상기 사이버 표적공격의 공격 유형 정보가 상기 딥웹 악성코드 분석부(110)에서 분석한 상기 의심 웹 데이터에 포함되어 있는 악성코드 공격 유형 정보과 동일한 유형인지 판단하는 것이 바람직하다.
이 때, 동일하다는 것은 유사도가 수치상 100에 해당하는 것이 아니라, 본 발명의 일 실시예에 따른 딥웹 분석을 통한 사회이슈 기반 사이버 표적공격 예측 시스템을 활용하고자 하는 외부 관리자(사용자 등)가 적용하고자 하는 보안 수단의 중요도에 따라 입력하는 소정 유사도 이상을 의미하는 것이 바람직하다. 즉, 그 중요도에 따라 유사도가 70 이상 유사하다고 판단될 경우, 동일한 것으로 판단할 수 있으며, 유사도가 100에 해당해야만 유사하다고 판단될 수도 있다.
상기 공격자 특정부(140)는 상기 유사도 비교분석부(130)의 비교 분석 결과에 따라, 유사하다고 판단될 경우, 연관된 악성코드가 수집된 딥웹 사이트 주소를 해당하는 상기 사이버 표적공격과 관련된 공격자 그룹이 활동하는 사이트로 지정하는 것이 바람직하다.
즉, 상기 유사도 비교분석부(130)의 비교 분석 결과에 따라, 상기 서피스웹에서 발생한 상기 사이버 표적공격의 공격 유형 정보와 상기 의심 웹 데이터에 포함되어 있는 악성코드 공격 유형 정보 간의 유사도가 소정값 이상일 경우, 상기 서피스웹에서 발생한 상기 사이버 표적공격이 상기 의심 웹 데이터에 포함되어 있는 악성코드에 따른 사이버 표적공격으로 판단하는 것이 바람직하다. 이 때, 상기 소정값이란, 상술한 바와 같이, 외부 관리자(사용자 등)로부터 입력받는 것이 바람직하다.
또한, 상기 공격자 특정부(140)는 상기 딥웹 악성코드 분석부(110)에서 저장 및 관리하고 있는 상기 악성코드 관련 정보를 전달받아, 상기 의심 웹 데이터에 포함되어 있는 악성코드에 따른 사이버 표적공격에 대한 공격자를 특정하여 저장 및 관리하는 것이 바람직하다.
다시 말하자면, 상기 공격자 특정부(140)는 상기 서피스웹에서 발생한 상기 사이버 표적공격이 상기 의심 웹 데이터에 포함되어 있는 악성코드에 따른 사이버 표적공격으로 판단될 경우, 상기 악성코드 관련 정보를 전달받아, 매칭되는 상기 의심 웹 데이터에 포함되어 있는 악성코드에 따른 사이버 표적공격을 수행하기 위한 해커조직이 활동하는 딥웹 사이트로 특정할 수 있다.
더불어, 본 발명의 일 실시예에 따른 딥웹 분석을 통한 사이버 표적공격 예측 시스템은 도 1 및 도 2에 도시된 바와 같이, 공격 사회이슈 수집부(150) 및 통합 정보 관리부(160)를 더 포함하여 구성되는 것이 바람직하다.
상기 공격 사회이슈 수집부(150)는 상기 APT 공격 분석부(120)에서 분석한 상기 사이버 표적공격이 발생한 시점을 기준으로 소정기간 전부터 소정기간 후까지의 분석 대상 서피스웹 사이트들의 크롤링을 수행하여, 수집한 웹 데이터들을 분석하여, 해당 기간에 발생한 사회이슈 데이터들을 수집하여 저장 및 관리하는 것이 바람직하다. 여기서 소정기간이란, 외부 관리자(사용자 등)로부터 입력받는 것이 바람직하다.
이 때, 사회이슈 데이터란, 언론사 등에서 이슈화하여 내보내고 있는 기사들을 종합하여 볼 때 사회이슈를 추측할 수 있는데, 언론사들에서 발간(발행, 생성, 업로드 등)하는 기사들을 수집하여 이에 대한 주요 키워드들을 추출하는 것은 가능하다.
가령 언론기사 분석을 통해, '정부'라는 키워드가 많이 나타났다고 분석될 경우, 단순히 해당 키워드만 가지고는 앞뒤 상황을 유추하기가 어려워 이를 사회이슈로 단정할 수 없을 뿐 아니라, 이를 사회이슈로 단정지었다 할지라도 추후에 이에 대한 사회상황 해석이 거의 불가능하게 된다.
그렇기 때문에, 이러한 점을 감안하여, 언론사 등에서 이슈화하여 내보내고 있는 기사들을 수집하여, 수집한 기사들을 분석하여 발견된 핵심 키워드를 중심으로, 연관된 키워드들까지 같이 추출하여 하나의 그룹으로 묶어 이를 사회이슈로 도출함으로써, 특정 기간에 발생한 사회이슈 데이터와 더 나아가, 그리고 그 사회이슈가 발생한 이유, 경과 등을 일목요연하게 정리하여 확인할 수 있다.
이에 따라, 상기 공격 사회이슈 수집부(150)에서의 '사회이슈'는 단순히 하나의 단어가 아니라, 특정 기간에 이슈화되고 있는 키워드들, 다시 말하자면, 연관성이 있는 키워드들의 집합을 의미한다.
이를 위해, 상기 공격 사회이슈 수집부(150)는 분석 대상 서피스웹 사이트들의 크롤링을 수행하여, 해당 사이트의 다양한 웹 문서 데이터(웹 페이지 데이터 등)를 수집하는 것이 바람직하다. 이 때, 상기 분석 대상 서피스웹 사이트들로는, 언론사 등의 사이트 정보, 언론사 등의 SNS 정보들로 설정할 수 있다.
이렇게 수집한 다양한 웹 문서 데이터들을 날짜별로 그룹화하여 관리하는 것이 바람직하다.
더불어, 수집된 웹 문서 데이터 내에 다음 페이지 링크, 다시 말하자면, 추가 웹 문서 데이터에 대한 링크 관련 정보가 포함되어 있을 경우, 해당 추가 웹 문서 데이터까지 수집하는 것이 바람직하다. 즉, 수집된 웹 페이지 내에서 다음 페이지 링크가 포함되어 있을 경우, 다음 페이지 링크로 들어가서 다음 웹 페이지까지 수집하는 것이 바람직하다. 이렇게 날짜별로 그룹화되어 수집된 상기 웹 문서 데이터들 중 미리 설정된 웹 문서 형태에 해당하는 웹 문서 데이터에 대해서만, 미리 설정된 항목 정보(일 예를 들자면, 포함되어 있는 날짜, 제목, 본문 등)에 대한 텍스트 데이터들을 추출하여 수집하는 것이 바람직하다.
이 후, 수집한 상기 텍스트 데이터들을 전달받아, 형태소 분석을 통한 키워드 데이터를 분석하는 것이 바람직하다. 이 때, 상기 웹 문서 데이터에서 추출한 날짜, 제목, 본문의 텍스트 데이터를 모두 전달받는 것이 아니라, 형태소 분석이 필요없는 날짜를 제외한 제목, 본문의 텍스트 데이터만을 전달받는 것이 바람직하다.
상기 공격 사회이슈 수집부(150)는 미리 저장되어 있는 형태소 분석 모듈과 사전 데이터베이스 모듈을 이용하여, 전달받은 상기 텍스트 데이터들에 대한 형태소 분석을 통해 의미가 정의되어 있는 명사 정보들을 추출하는 것이 바람직하다. 상세하게는, 상기 웹 문서 데이터에 포함되어 있는 제목, 본문의 텍스트 데이터를 전달받아, 형태소 분석을 통해 명사/형용사/부사 등으로 구분하여 단어를 추출한 후, 상기 사전 데이터베이스 모듈을 통해서, 정의가 되어있는 단어를 추출하여, 이를 상기 명사 정보로 설정하는 것이 바람직하다.
이 때, 상기 사전 데이터베이스 모듈에 의해 정의가 되어 있지 않은 단어의 경우, 신규로 발생한 단어일 가능성이 높아 상기 형태소 분석 모듈에서 이를 명사로 인식하지 못하는 경우가 발생할 수 있다.
이를 해소하기 위하여, 상기 공격 사회이슈 수집부(150)는 형태소 분석을 통해 단어가 추출되었으나, 상기 사전 데이터베이스 모듈을 통해서 정의가 되어 있지 않은 미정의 단어 정보를 전달받아, 이를 신규 용어 정보로 판단하는 것이 바람직하다.
일 예를 들자면, '지소미아'가 형태소 분석기의 사전에 등록되어 있지 않은 단어일 경우, '지소미아'라는 명사 정보로 설정되지 못하고 '지', '소미아'를 명사로 판단하여 찾아낼 가능성이 있다.
그렇기 때문에, 이를 해결하기 위하여, 분석된 단어가 뉴스기사 내용(텍스트 데이터) 상에서 공백이 없는 붙어있는 단어일 경우, 이를 신규 용어로 판단하여 상기 신규 용어 정보로 설정하는 것이 바람직하다.
뿐만 아니라, 판단한 상기 신규 용어 정보는 상기 형태소 분석 모듈과 사전 데이터베이스 모듈의 업데이트 정보로 활용함으로써, 추후 분석시 정상적인 키워드, 즉, 정상적인 명사 정보로 분석할 수 있다.
이 후, 상기 공격 사회이슈 수집부(150)는 전달받은 상기 텍스트 데이터 상에서 추출한 상기 명사 정보와 상기 신규 용어 정보에 대한 각각의 빈도수를 분석하여, 분석한 빈도수와 각각의 정보들을 매칭시켜 상기 키워드 데이터들로 저장 및 관리하는 것이 바람직하다. 즉, 중복되는 키워드 정보는 빈도수를 증가시켜 저장 및 관리하는 것이 바람직하다. 이를 통해서, 상기 키워드 데이터들의 발생 빈도수를 기준으로 사회이슈 키워드 정보인 사회이슈 데이터를 설정하는 것이 바람직하다.
더불어, 특정 날짜에 발생한 뉴스기사에서 가장 많은 비중을 차지하는 키워드를 순서대로 정렬함으로써, 특정 키워드가 주요 키워드로 판단되면, 주요 키워드가 발생한 뉴스기사를 통해 연관 키워드를 추출하고, 연관 키워드 역시 빈도수대로 정렬한 후, 상기 연관 키워드의 상위 소정 개수를 주요 키워드와 함께 그룹화하여 하나의 사회이슈 데이터로 설정할 수 있다.
상기 통합 정보 관리부(160)는 상기 APT 공격 분석부(120)에서 분석한 상기 사이버 표적공격이 발생하는 동안의 특정 사회이슈 데이터가 존재할 경우, 해당하는 상기 사이버 표적공격을 사회이슈 기반 사이버 표적공격으로 지정하여, 공격자 그룹, 공격 유형, 사회이슈 유형을 하나의 그룹으로 묶어 데이터 셋을 설정하는 것이 바람직하다.
다시 말하자면, 상기 공격 사회이슈 수집부(150)를 통해서 수집한 상기 사회이슈 데이터들은 다양하게 존재하게 된다. 그렇지만, 이 중 국가간 분쟁, 기관 간의 분쟁 등과 같이 종래의 사이버 표적공격에 기반이 되었던 사회이슈 데이터가 존재할 경우, 이로 인한 사이버 표적공격, 다시 말하자면, 사회이슈 기반 사이버 표적공격이 발생할 가능성이 높기 때문에, 상기 통합 정보 관리부(160)는 이러한 수집한 사회이슈 데이터와 발생했던 사이버 표적공격을 연관시켜 저장 및 관리하는 것이 바람직하다.
즉, 상기 통합 정보 관리부(160)는 상기 공격 사회이슈 수집부(150)를 통해서 수집한 상기 사회이슈 데이터들 중 종래의 사이버 표적공격에 기반이 되었던 사회이슈 데이터가 존재할 경우, 상기 APT 공격 분석부(120)에서 분석한 상기 사이버 표적공격이 사회이슈 기반 사이버 표적공격인 것으로 판단하는 것이 바람직하다.
이 후, 상기 통합 정보 관리부(160)는 상기 공격자 특정부(140)에서 상기 의심 웹 데이터에 포함되어 있는 악성코드에 따른 사이버 표적공격에 대한 공격자를 기준으로, 해당하는 상기 사이버 표적공격에 대한 관련 정보들(상기 APT 공격 분석부(120)에 저장 및 관리), 해당하는 상기 악성코드 관련 정보들(상기 딥웹 악성코드 분석부(110)에 저장 및 관리) 및 해당하는 상기 사회이슈 데이터들(상기 공격 사회이슈 수집부(150)에서 저장 및 관리)을 그룹화하여, 상기 악성코드 연관 데이터 셋을 생성하여 저장 및 관리하는 것이 바람직하다.
이 때, 상기 사회이슈 기반 공격 분석부(100)는 지속적으로 딥웹 사이트들과 서피스웹 사이트들을 크롤링하면서 상술한 과정을 반복 수행함으로써, 상기 통합 정보 관리부(160)는 다수의 악성코드 연관 데이터 셋들을 생성 및 관리하는 것이 바람직하다. 생성한 상기 악성코드 연관 데이터 셋들이 추후에 발생할 수 있는 사회이슈 기반 사이버 표적공격을 예측하기 위한 시드(seed) 역할을 수행하게 된다.
상기 사회이슈 기반 공격 예측부(200)는 서피스웹에서 발생하는 사회이슈 데이터들을 수집하고, 수집한 상기 사회이슈 데이터와 상기 사회이슈 기반 공격 분석부(100)에서 생성한 상기 악성코드 연관 데이터 셋을 통합 비교 분석하여, 사회이슈 기반 사이버 표적공격의 발생 가능성 정도를 예측하여 이를 외부 사용자(관리자 등)에게 제공하는 것이 바람직하다.
이를 위해, 상기 사회이슈 기반 공격 예측부(200)는 도 1 및 도 2에 도시된 바와 같이, 예측 사회이슈 수집부(210), 공격 예측부(220) 및 공격 대비부(230)를 포함하여 구성되는 것이 바람직하며, 상기 사회이슈 기반 공격 분석부(100)를 통해서 미리 설정된 기준 개수 이상의 상기 악성코드 연관 데이터 셋들이 생성된 후, 동작을 수행하는 것이 바람직하다. 즉, 미리 설정된 기준 개수 이상의 상기 악성코드 연관 데이터 셋들이 생성된 후에야 사회이슈 기반 사이버 표적공격의 발생 가능성 정도를 정확도 높게 예측할 수 있을 뿐 아니라, 사회이슈 기반 사이버 표적공격이 발생하더라도 충분히 대응할 수 있기 때문에, 미리 설정된 기준 개수 이상의 상기 악성코드 연관 데이터 셋들이 생성된 후, 동작을 수행하는 것이 바람직하다. 여기서, 미리 설정된 기준 개수로는, 외부 관리자(사용자 등)로부터 입력받는 것이 바람직하다.
상기 예측 사회이슈 수집부(210)는 분석 대상 서피스웹 사이트들의 크롤링을 수행하여 수집한 웹 데이터들을 분석하여, 발생한 사회이슈 데이터들을 수집하여 저장 및 관리하는 것이 바람직하다. 상기 예측 사회이슈 수집부(210)의 상세 동작은 상술한 상기 공격 사회이슈 수집부(150)와 비교하여 특정 기간이 존재하지 않다는 점만 차이가 있을 뿐 동일하기 때문에, 상세한 동작 설명은 생략한다.
상기 공격 예측부(220)는 상기 통합 정보 관리부(160)의 상기 악성코드 연관 데이터 셋을 기반으로, 상기 예측 사회이슈 수집부(210)에서 수집한 상기 사회이슈 데이터들 중 상기 악성코드 연관 데이터 셋에 포함되어 있는 상기 사회이슈 데이터(상기 공격 사회이슈 수집부(150)에서 저장 및 관리)가 발생할 경우, 사전 분석된 공격자 그룹이 활동할 위험도가 높다고 판단하고, 이에 의한 사이버 표적공격이 발생할 위험도가 높다고 예측하는 것이 바람직하다.
즉, 상기 공격 예측부(220)는 상기 통합 정보 관리부(160)의 상기 악성코드 연관 데이터 셋을 기반으로, 상기 예측 사회이슈 수집부(210)에서 수집한 상기 사회이슈 데이터들과 상기 악성코드 연관 데이터 셋에 포함되어 있는 상기 사회이슈 데이터들의 유사도를 비교 분석하여, 비교 분석한 유사도를 기준으로 해당하는 사회이슈 기반 사이버 표적공격의 발생 가능성 정도를 예측하여 저장 및 관리하는 것이 바람직하다.
다시 말하자면, 상기 공격 예측부(220)는 공격에 이용된 사회이슈 데이터와 새롭게 수집된 사회이슈 데이터가 완전히 일치될 수도 있지만, 연관 사회이슈(연관 키워드) 등을 통해서 완전 일치는 아니지만 유사하게 적용될 수 있기 때문에, 상기 사회이슈 데이터들의 유사도를 비교 분석하여, 비교 분석한 유사도가 소정값 이상일 경우, 해당하는 상기 예측 사회이슈 수집부(210)에서 수집한 상기 사회이슈 데이터에 의한 사이버 표적공격이 발생할 가능성이 있다고 판단하는 것이 바람직하다.
특히, 상기 공격 예측부(220)는 비교 분석한 유사도가 소정값 이상인 상기 예측 사회이슈 수집부(210)에서 수집한 상기 사회이슈 데이터가 분쟁의 위협이 있고 특정 기관과 연관된 사회이슈에 해당할 경우, 위험도를 높게 측정하여 해당하는 사회이슈 기반 사이버 표적공격의 발생 가능성 정도를 높게 예측하는 것이 바람직하다.
이러한 위험도가 높은 사회이슈 데이터는 학습을 통해서 습득되거나, 외부 사용자(관리자 등)을 통해서 연관 키워드를 사전에 입력받을 수도 있다.
일 예를 들자면, 국제 행사(올림픽 등) 기간, 분쟁 국가의 국가 기념일 기간 등에 해당하는 사회이슈 데이터가 상기 예측 사회이슈 수집부(210)를 통해서 수집될 경우, 해당하는 사회이슈 데이터와 연관된 기관(과거 사이버 표적공격을 통해서 학습 가능함.) 등에 해당하는 사회이슈 데이터와 연관된 공격자 그룹이 활동할 가능성이 높다는 것을 예측할 수 있다.
이 때, 상기 공격 예측부(220)에서의 사회이슈 기반 사이버 표적공격 예측으로는, 사회이슈 기반 사이버 표적공격 발생일, 사회이슈 기반 사이버 표적공격 대상 기관, 사회이슈 기반 사이버 표적공격 유형 등을 포함하여 구성되는 것이 바람직하다.
상기 공격 대비부(230)는 상기 공격 예측부(220)에서 예측한 사회이슈 기반 사이버 표적공격의 발생 가능성 정도를 이용하여, 해당하는 사회이슈 기반 사이버 표적공격에 의한 상기 악성코드 연관 데이터 셋을 분석하여 보안 관련 정보를 생성하여 외부 사용자(관리자 등)에게 제공하는 것이 바람직하다.
상세하게는, 상기 공격 대비부(230)는 상기 공격 예측부(220)를 통해서 사회이슈 기반 사이버 표적공격 발생일, 사회이슈 기반 사이버 표적공격 대상 기관, 사회이슈 기반 사이버 표적공격 유형 등의 예측이 완료되면, 해당 기관에 해당 공격이 발생할 가능성이 있으며, 이에 따른 추천 보안 대책 등을 알리고, 해당 기관에서는 이를 대비하여 보안점검을 수행하거나, 보안대책을 세워 사전에 대비하는 것이 바람직하다.
본 발명의 일 실시예에 따른 딥웹 분석을 통한 사회이슈 기반 사이버 표적공격 예측 방법은 도 3에 도시된 바와 같이, 딥웹 분석단계(S100), APT 분석단계(S200), 유사도 분석단계(S300), 공격자 특정단계(S400), 공격 사회이슈 수집단계(S500) 및 통합 관리단계(S600)를 포함하여 구성되는 것이 바람직하다.
각 단계에 대해서 자세히 알아보자면,
상기 딥웹 분석단계(S100)는 상기 딥웹 악성코드 분석부(110)에서, 딥웹에서 발생하는 악성코드들을 수집하고 수집한 상기 악성코드들을 분석하여, 상기 악성코드가 서피스웹에 활동하기 전에, 상기 악성코드들의 특징을 사전에 파악하는 것이 바람직하다.
상술한 바와 같이, 악성코드는 사전에 딥웹에 유포하여 테스트를 거친 뒤 서피스웹에서 실제 사이버 표적공격에 활용되는 경향이 있기 때문에, 상기 딥웹 분석단계(S100)를 통해서, 우선적으로 딥웹 크롤링을 통해 악성코드들을 수집하고 수집한 악성코드들을 분석하여 발생할 수 있는 사이버 표적공격에 대한 대비를 수행하는 것이 바람직하다.
상세하게는, 상기 딥웹 분석단계(S100)는 분석 대상 딥웹 사이트들의 크롤링을 수행하여, 수집한 웹 데이터들을 분석하여 악성코드 특성을 갖는 의심 웹 데이터를 추출하는 것이 바람직하다. 이 후, 추출한 상기 의심 웹 데이터의 특성을 분석하여, 분석한 의심 웹 데이터의 특성과 함께 추출한 상기 의심 웹 데이터가 발견된 딥웹 사이트 주소 정보, 동일 딥웹 사이트 내용 등을 포함하여 상기 악성코드 관련 정보로 저장 및 관리하는 것이 바람직하다.
다만, 딥웹은 상술한 바와 같이, 일반적인 서피스웹을 통해서는 접근이 불가능하며 토르와 같은 특수한 브라우저를 사용한 특정 프로그램을 통해서만 접근이 가능할 뿐 아니라, 다수의 네트워크 노드(Proxy, VPN 등)들을 거쳐서만 접근이 가능하도록 네트워크 회선이 구성되어 있기 때문에, IP 추적이 매우 어려워 익명화를 보장받는 것이 특징이다. 그렇기 때문에, 일반적으로 활용되는 서피스웹에서의 크롤러를 통해서는 딥웹 사이트들의 분석을 수행할 수 없다. 이에 따라, 상기 딥웹 분석단계(S100)는 상술한 상기 딥웹 악성코드 분석부(110)의 구성 동작을 수행하는 것이 바람직하며, 이에 대한 상세 설명은 생략한다.
상기 APT 분석단계(S200)는 상기 APT 공격 분석부(120)에서, 서피스웹에서 사이버 표적공격 발생시, 발생한 상기 사이버 표적공격의 유형을 파악하여, 상기 사이버 표적공격이 발생할 당시의 공격대상 기관정보, 공격의 세부적인 유형 정보 등을 분석하는 것이 바람직하다.
즉, 상기 APT 분석단계(S200)는 서피스웹에서 사이버 표적공격 발생시, 미리 저장된 보안 어플리케이션(일 예를 들자면, 각 서피스웹에서 미리 설정되어 있는 보안 시스템 등)을 이용하여, 발생한 상기 사이버 표적공격에 대한 관련 정보들을 분석하여 발생한 상기 사이버 표적공격 별, 공격대상 기관정보, 공격 유형 정보 등을 데이터베이스화하여 저장 및 관리하는 것이 바람직하다.
상기 유사도 분석단계(S300)는 상기 유사도 비교분석부(130)에서, 상기 APT 분석단계(S200)에 의한 서피스웹에서 발생한 상기 사이버 표적공격이 사전에 분석한 딥웹에서 발생한 악성코드들의 공격과 유사한지 판단하는 것이 바람직하다.
즉, 상기 유사도 분석단계(S300)는 상기 유사도 비교분석부(130)에서, 상기 APT 분석단계(S200)에 의해 분석한 상기 사이버 표적공격의 공격 유형 정보와 상기 딥웹 분석단계(S100)에 의해 분석한 상기 의심 웹 데이터의 특성의 유사도를 비교 분석하는 것이 바람직하며, 데이터 간의 유사도는 종래의 유사도 판단 알고리즘을 적용하는 것이 바람직하다.
이러한 상기 유사도 분석단계(S300)는 상기 APT 분석단계(S200)에 의해 분석한 상기 사이버 표적공격의 공격 유형 정보가 상기 딥웹 분석단계(S100)에 의해 분석한 상기 의심 웹 데이터에 포함되어 있는 악성코드 공격 유형 정보과 동일한 유형인지 판단하는 것이 바람직하다.
이 때, 동일하다는 것은 유사도가 수치상 100에 해당하는 것이 아니라, 본 발명의 일 실시예에 따른 딥웹 분석을 통한 사회이슈 기반 사이버 표적공격 예측 시스템을 활용하고자 하는 외부 관리자(사용자 등)가 적용하고자 하는 보안 수단의 중요도에 따라 입력하는 소정 유사도 이상을 의미하는 것이 바람직하다. 즉, 그 중요도에 따라 유사도가 70 이상 유사하다고 판단될 경우, 동일한 것으로 판단할 수 있으며, 유사도가 100에 해당해야만 유사하다고 판단될 수도 있다.
상기 공격자 특정단계(S400)는 상기 공격자 특정부(140)에서, 상기 유사도 분석단계(S300)에 의한 비교 분석 결과, 유사하다고 판단될 경우, 연관된 악성코드가 수집된 딥웹 사이트 주소를 해당하는 상기 사이버 표적공격과 관련된 공격자 그룹이 활동하는 사이트로 지정하는 것이 바람직하다.
즉, 상기 유사도 분석단계(S300)에 의한 비교 분석 결과에 따라, 상기 서피스웹에서 발생한 상기 사이버 표적공격의 공격 유형 정보와 상기 의심 웹 데이터에 포함되어 있는 악성코드 공격 유형 정보 간의 유사도가 소정값 이상일 경우, 상기 서피스웹에서 발생한 상기 사이버 표적공격이 상기 의심 웹 데이터에 포함되어 있는 악성코드에 따른 사이버 표적공격으로 판단하는 것이 바람직하다. 이 때, 상기 소정값이란, 상술한 바와 같이, 외부 관리자(사용자 등)로부터 입력받는 것이 바람직하다.
또한, 상기 공격자 특정단계(S400)는 상기 딥웹 분석단계(S100)에 의해 저장 및 관리하고 있는 상기 악성코드 관련 정보를 전달받아, 상기 의심 웹 데이터에 포함되어 있는 악성코드에 따른 사이버 표적공격에 대한 공격자를 특정하여 저장 및 관리하는 것이 바람직하다.
다시 말하자면, 상기 공격자 특정단계(S400)는 상기 서피스웹에서 발생한 상기 사이버 표적공격이 상기 의심 웹 데이터에 포함되어 있는 악성코드에 따른 사이버 표적공격으로 판단될 경우, 상기 악성코드 관련 정보를 전달받아, 매칭되는 상기 의심 웹 데이터에 포함되어 있는 악성코드에 따른 사이버 표적공격을 수행하기 위한 해커조직이 활동하는 딥웹 사이트로 특정할 수 있다.
상기 공격 사회이슈 수집단계(S500)는 상기 공격 사회이슈 수집부(150)에서, 상기 APT 분석단계(S200)에 의해 분석한 상기 사이버 표적공격이 발생한 시점을 기준으로 소정기간 전부터 소정기간 후까지의 분석 대상 서피스웹 사이트들의 크롤링을 수행하여, 수집한 웹 데이터들을 분석하여, 해당 기간에 발생한 사회이슈 데이터들을 수집하여 저장 및 관리하는 것이 바람직하다. 여기서 소정기간이란, 외부 관리자(사용자 등)로부터 입력받는 것이 바람직하다.
이 때, 사회이슈 데이터란, 언론사 등에서 이슈화하여 내보내고 있는 기사들을 종합하여 볼 때 사회이슈를 추측할 수 있는데, 언론사들에서 발간(발행, 생성, 업로드 등)하는 기사들을 수집하여 이에 대한 주요 키워드들을 추출하는 것은 가능하다.
가령 언론기사 분석을 통해, '정부'라는 키워드가 많이 나타났다고 분석될 경우, 단순히 해당 키워드만 가지고는 앞뒤 상황을 유추하기가 어려워 이를 사회이슈로 단정할 수 없을 뿐 아니라, 이를 사회이슈로 단정지었다 할지라도 추후에 이에 대한 사회상황 해석이 거의 불가능하게 된다.
그렇기 때문에, 이러한 점을 감안하여, 언론사 등에서 이슈화하여 내보내고 있는 기사들을 수집하여, 수집한 기사들을 분석하여 발견된 핵심 키워드를 중심으로, 연관된 키워드들까지 같이 추출하여 하나의 그룹으로 묶어 이를 사회이슈로 도출함으로써, 특정 기간에 발생한 사회이슈 데이터와 더 나아가, 그리고 그 사회이슈가 발생한 이유, 경과 등을 일목요연하게 정리하여 확인할 수 있다.
이에 따라, 상기 공격 사회이슈 수집단계(S500)에서의 '사회이슈'는 단순히 하나의 단어가 아니라, 특정 기간에 이슈화되고 있는 키워드들, 다시 말하자면, 연관성이 있는 키워드들의 집합을 의미한다.
이를 위해, 상기 공격 사회이슈 수집단계(S500)는 분석 대상 서피스웹 사이트들의 크롤링을 수행하여, 해당 사이트의 다양한 웹 문서 데이터(웹 페이지 데이터 등)를 수집하는 것이 바람직하다. 이 때, 상기 분석 대상 서피스웹 사이트들로는, 언론사 등의 사이트 정보, 언론사 등의 SNS 정보들로 설정할 수 있다.
이렇게 수집한 다양한 웹 문서 데이터들을 날짜별로 그룹화하여 관리하는 것이 바람직하다.
더불어, 수집된 웹 문서 데이터 내에 다음 페이지 링크, 다시 말하자면, 추가 웹 문서 데이터에 대한 링크 관련 정보가 포함되어 있을 경우, 해당 추가 웹 문서 데이터까지 수집하는 것이 바람직하다. 즉, 수집된 웹 페이지 내에서 다음 페이지 링크가 포함되어 있을 경우, 다음 페이지 링크로 들어가서 다음 웹 페이지까지 수집하는 것이 바람직하다. 이렇게 날짜별로 그룹화되어 수집된 상기 웹 문서 데이터들 중 미리 설정된 웹 문서 형태에 해당하는 웹 문서 데이터에 대해서만, 미리 설정된 항목 정보(일 예를 들자면, 포함되어 있는 날짜, 제목, 본문 등)에 대한 텍스트 데이터들을 추출하여 수집하는 것이 바람직하다.
이 후, 수집한 상기 텍스트 데이터들을 전달받아, 형태소 분석을 통한 키워드 데이터를 분석하는 것이 바람직하다. 이 때, 상기 웹 문서 데이터에서 추출한 날짜, 제목, 본문의 텍스트 데이터를 모두 전달받는 것이 아니라, 형태소 분석이 필요없는 날짜를 제외한 제목, 본문의 텍스트 데이터만을 전달받는 것이 바람직하다.
상기 공격 사회이슈 수집단계(S500)는 미리 저장되어 있는 형태소 분석 모듈과 사전 데이터베이스 모듈을 이용하여, 전달받은 상기 텍스트 데이터들에 대한 형태소 분석을 통해 의미가 정의되어 있는 명사 정보들을 추출하는 것이 바람직하다. 상세하게는, 상기 웹 문서 데이터에 포함되어 있는 제목, 본문의 텍스트 데이터를 전달받아, 형태소 분석을 통해 명사/형용사/부사 등으로 구분하여 단어를 추출한 후, 상기 사전 데이터베이스 모듈을 통해서, 정의가 되어있는 단어를 추출하여, 이를 상기 명사 정보로 설정하는 것이 바람직하다.
이 때, 상기 사전 데이터베이스 모듈에 의해 정의가 되어 있지 않은 단어의 경우, 신규로 발생한 단어일 가능성이 높아 상기 형태소 분석 모듈에서 이를 명사로 인식하지 못하는 경우가 발생할 수 있다.
이를 해소하기 위하여, 형태소 분석을 통해 단어가 추출되었으나, 상기 사전 데이터베이스 모듈을 통해서 정의가 되어 있지 않은 미정의 단어 정보를 전달받아, 이를 신규 용어 정보로 판단하는 것이 바람직하다.
일 예를 들자면, '지소미아'가 형태소 분석기의 사전에 등록되어 있지 않은 단어일 경우, '지소미아'라는 명사 정보로 설정되지 못하고 '지', '소미아'를 명사로 판단하여 찾아낼 가능성이 있다.
그렇기 때문에, 이를 해결하기 위하여, 분석된 단어가 뉴스기사 내용(텍스트 데이터) 상에서 공백이 없는 붙어있는 단어일 경우, 이를 신규 용어로 판단하여 상기 신규 용어 정보로 설정하는 것이 바람직하다.
뿐만 아니라, 판단한 상기 신규 용어 정보는 상기 형태소 분석 모듈과 사전 데이터베이스 모듈의 업데이트 정보로 활용함으로써, 추후 분석시 정상적인 키워드, 즉, 정상적인 명사 정보로 분석할 수 있다.
이 후, 전달받은 상기 텍스트 데이터 상에서 추출한 상기 명사 정보와 상기 신규 용어 정보에 대한 각각의 빈도수를 분석하여, 분석한 빈도수와 각각의 정보들을 매칭시켜 상기 키워드 데이터들로 저장 및 관리하는 것이 바람직하다. 즉, 중복되는 키워드 정보는 빈도수를 증가시켜 저장 및 관리하는 것이 바람직하다. 이를 통해서, 상기 키워드 데이터들의 발생 빈도수를 기준으로 사회이슈 키워드 정보인 사회이슈 데이터를 설정하는 것이 바람직하다.
더불어, 특정 날짜에 발생한 뉴스기사에서 가장 많은 비중을 차지하는 키워드를 순서대로 정렬함으로써, 특정 키워드가 주요 키워드로 판단되면, 주요 키워드가 발생한 뉴스기사를 통해 연관 키워드를 추출하고, 연관 키워드 역시 빈도수대로 정렬한 후, 상기 연관 키워드의 상위 소정 개수를 주요 키워드와 함께 그룹화하여 하나의 사회이슈 데이터로 설정할 수 있다.
상기 통합 관리단계(S600)는 상기 통합 정보 관리부(160)에서, 상기 공격자 특정단계(S400)에 의해 특정한 상기 의심 웹 데이터를 활용한 사이버 표적공격의 공격자를 기준으로, 해당하는 상기 사이버 표적공격에 대한 관련 정보들(상기 APT 분석단계(S200)에 의해 저장 및 관리), 해당하는 상기 악성코드 관련 정보들(상기 딥웹 분석단계(S100)에 의해 저장 및 관리) 및 해당하는 상기 사회이슈 데이터들(상기 공격 사회이슈 수집단계(S500)에 의해 저장 및 관리)을 그룹화하여, 상기 악성코드 연관 데이터 셋을 생성하여 저장 및 관리하는 것이 바람직하다.
다시 말하자면, 상기 통합 관리단계(S600)는 상기 APT 분석단계(S200)에 의해 분석한 상기 사이버 표적공격이 발생하는 동안의 특정 사회이슈 데이터가 존재할 경우, 해당하는 상기 사이버 표적공격을 사회이슈 기반 사이버 표적공격으로 지정하여, 공격자 그룹, 공격 유형, 사회이슈 유형을 하나의 그룹으로 묶어 데이터 셋을 설정하는 것이 바람직하다.
상세하게는, 상기 공격 사회이슈 수집부(S500)에 의해 수집한 상기 사회이슈 데이터들은 다양하게 존재하게 된다. 그렇지만, 이 중 국가간 분쟁, 기관 간의 분쟁 등과 같이 종래의 사이버 표적공격에 기반이 되었던 사회이슈 데이터가 존재할 경우, 이로 인한 사이버 표적공격, 다시 말하자면, 사회이슈 기반 사이버 표적공격이 발생할 가능성이 높기 때문에, 상기 통합 관리단계(S600)는 이러한 수집한 사회이슈 데이터와 발생했던 사이버 표적공격을 연관시켜 저장 및 관리하는 것이 바람직하다.
즉, 상기 통합 관리단계(S600)는 상기 공격 사회이슈 수집부(S500)에 의해 수집한 상기 사회이슈 데이터들 중 종래의 사이버 표적공격에 기반이 되었던 사회이슈 데이터가 존재할 경우, 상기 APT 분석단계(S200)에 의해 분석한 상기 사이버 표적공격이 사회이슈 기반 사이버 표적공격인 것으로 판단하는 것이 바람직하다.
이 때, 본 발명의 일 실시예에 따른 딥웹 분석을 통한 사회이슈 기반 사이버 표적공격 예측 방법은, 상기 딥웹 분석단계(S100), APT 분석단계(S200), 유사도 분석단계(S300), 공격자 특정단계(S400), 공격 사회이슈 수집단계(S500) 및 통합 관리단계(S600)를 반복 수행하면서, 지속적으로 딥웹 사이트들과 서피스웹 사이트들을 크롤링하여 상기 통합 관리단계(S600)에 의해 다수의 악성코드 연관 데이터 셋들을 생성 및 관리하는 것이 바람직하다. 생성한 상기 악성코드 연관 데이터 셋들이 추후에 발생할 수 있는 사회이슈 기반 사이버 표적공격을 예측하기 위한 시드(seed) 역할을 수행하게 된다.
더불어, 본 발명의 일 실시예에 따른 딥웹 분석을 통한 사회이슈 기반 사이버 표적공격 예측 방법은, 상기 통합 관리단계(S600)를 수행하고 난 후, 예측 사회이슈 수집단계(S700), 공격 예측단계(S800) 및 보안 대비단계(S900)를 더 포함하여 구성되는 것이 바람직하다.
이 때, 상기 예측 사회이슈 수집단계(S700), 공격 예측단계(S800) 및 보안 대비단계(S900)는 상기 통합 관리단계(S600)에 의해 미리 설정된 기준 개수 이상의 상기 악성코드 연관 데이터 셋들이 생성된 후, 동작을 수행하는 것이 바람직하다. 즉, 미리 설정된 기준 개수 이상의 상기 악성코드 연관 데이터 셋들이 생성된 후에야 사회이슈 기반 사이버 표적공격의 발생 가능성 정도를 정확도 높게 예측할 수 있을 뿐 아니라, 사회이슈 기반 사이버 표적공격이 발생하더라도 충분히 대응할 수 있기 때문에, 미리 설정된 기준 개수 이상의 상기 악성코드 연관 데이터 셋들이 생성된 후, 동작을 수행하는 것이 바람직하다. 여기서, 미리 설정된 기준 개수로는, 외부 관리자(사용자 등)로부터 입력받는 것이 바람직하다.
상기 예측 사회이슈 수집단계(S700)는 상기 예측 사회이슈 수집부(210)에서, 분석 대상 서피스웹 사이트들의 크롤링을 수행하여 수집한 웹 데이터들을 분석하여, 발생한 사회이슈 데이터들을 수집하여 저장 및 관리하는 것이 바람직하다. 상기 예측 사회이슈 수집단계(S700)의 상세 동작은 상술한 상기 공격 사회이슈 수집단계(S500)와 비교하여 특정 기간이 존재하지 않다는 점만 차이가 있을 뿐 동일하기 때문에, 상세한 동작 설명은 생략한다.
상기 공격 예측단계(S800)는 상기 공격 예측부(220)에서, 상기 통합 관리단계(S600)에 의한 상기 악성코드 연관 데이터 셋을 기반으로, 상기 예측 사회이슈 수집단계(S700)에 의해 수집한 상기 사회이슈 데이터들과 상기 악성코드 연관 데이터 셋에 포함되어 있는 상기 사회이슈 데이터 간의 유사도를 비교 분석하여, 비교 분석한 유사도를 기준으로 해당하는 사회이슈 기반 사이버 표적공격의 발생 가능성 정도를 예측하는 것이 바람직하다.
상세하게는, 상기 공격 예측단계(S800)는 공격에 이용된 사회이슈 데이터와 새롭게 수집된 사회이슈 데이터가 완전히 일치될 수도 있지만, 연관 사회이슈(연관 키워드) 등을 통해서 완전 일치는 아니지만 유사하게 적용될 수 있기 때문에, 상기 사회이슈 데이터들의 유사도를 비교 분석하여, 비교 분석한 유사도가 소정값 이상일 경우, 해당하는 상기 예측 사회이슈 수집단계(S700)에 의해 수집한 상기 사회이슈 데이터에 의한 사이버 표적공격이 발생할 가능성이 있다고 판단하는 것이 바람직하다.
특히, 상기 공격 예측단계(S800)는 비교 분석한 유사도가 소정값 이상인 상기 예측 사회이슈 수집단계(S700)에 의해 수집한 상기 사회이슈 데이터가 분쟁의 위협이 있고 특정 기관과 연관된 사회이슈에 해당할 경우, 위험도를 높게 측정하여 해당하는 사회이슈 기반 사이버 표적공격의 발생 가능성 정도를 높게 예측하는 것이 바람직하다.
이러한 위험도가 높은 사회이슈 데이터는 학습을 통해서 습득되거나, 외부 사용자(관리자 등)을 통해서 연관 키워드를 사전에 입력받을 수도 있다.
일 예를 들자면, 국제 행사(올림픽 등) 기간, 분쟁 국가의 국가 기념일 기간 등에 해당하는 사회이슈 데이터가 상기 예측 사회이슈 수집부(210)를 통해서 수집될 경우, 해당하는 사회이슈 데이터와 연관된 기관(과거 사이버 표적공격을 통해서 학습 가능함.) 등에 해당하는 사회이슈 데이터와 연관된 공격자 그룹이 활동할 가능성이 높다는 것을 예측할 수 있다.
이 때, 상기 공격 예측단계(S800)는 사회이슈 기반 사이버 표적공격 예측으로, 사회이슈 기반 사이버 표적공격 발생일, 사회이슈 기반 사이버 표적공격 대상 기관, 사회이슈 기반 사이버 표적공격 유형 등을 포함하여 구성되는 것이 바람직하다.
상기 보안 대비단계(S900)는 상기 공격 대비부(230)에서, 상기 공격 예측단계(S800)에 의한 사회이슈 기반 사이버 표적공격의 발생 가능성 정도를 이용하여, 해당하는 사회이슈 기반 사이버 표적공격에 의한 상기 악성코드 연관 데이터 셋을 분석하여 보안 관련 정보를 생성하여 외부 사용자(관리자 등)에게 제공하는 것이 바람직하다.
상세하게는, 상기 보안 대비단계(S900)는 상기 공격 예측단계(S800)에 의해 사회이슈 기반 사이버 표적공격 발생일, 사회이슈 기반 사이버 표적공격 대상 기관, 사회이슈 기반 사이버 표적공격 유형 등의 예측이 완료되면, 해당 기관에 해당 공격이 발생할 가능성이 있으며, 이에 따른 추천 보안 대책 등을 알리고, 해당 기관에서는 이를 대비하여 보안점검을 수행하거나, 보안대책을 세워 사전에 대비하는 것이 바람직하다.
즉, 다시 말하자면, 본 발명의 일 실시예에 따른 딥웹 분석을 통한 사회이슈 기반 사이버 표적공격 예측 시스템 및 그 예측 방법은, 사회이슈에 민감한 공격자 그룹을 특정하기 위하여, 딥웹을 활용하고, 사회이슈에 민감한 공격자 그룹이 특정되면, 해당 사회이슈가 발생했을 때, 특정한 공격자 그룹의 사이버 표적공격 발생을 예측할 수 있는 장점이 있다.
이상과 같이 본 발명에서는 구체적인 구성 소자 등과 같은 특정 사항들과 한정된 실시예 도면에 의해 설명되었으나 이는 본 발명의 보다 전반적인 이해를 돕기 위해서 제공된 것 일 뿐, 본 발명은 상기의 일 실시예에 한정되는 것이 아니며, 본 발명이 속하는 분야에서 통상의 지식을 가진 자라면 이러한 기재로부터 다양한 수정 및 변형이 가능하다.
따라서, 본 발명의 사상은 설명된 실시예에 국한되어 정해져서는 아니 되며, 후술하는 특허 청구 범위뿐 아니라 이 특허 청구 범위와 균등하거나 등가적 변형이 있는 모든 것들은 본 발명 사상의 범주에 속한다고 할 것이다.
100 : 사회이슈 기반 공격 분석부
110 : 딥웹 악성코드 분석부 120 : APT 공격 분석부
130 : 유사도 비교분석부 140 : 공격자 특정부
150 : 공격 사회이슈 수집부 160 : 통합 정보 관리부
200 : 사회이슈 기반 공격 예측부
210 : 예측 사회이슈 수집부 220 : 공격 예측부
230 : 공격 대비부
110 : 딥웹 악성코드 분석부 120 : APT 공격 분석부
130 : 유사도 비교분석부 140 : 공격자 특정부
150 : 공격 사회이슈 수집부 160 : 통합 정보 관리부
200 : 사회이슈 기반 공격 예측부
210 : 예측 사회이슈 수집부 220 : 공격 예측부
230 : 공격 대비부
Claims (12)
- 분석 대상 딥웹 사이트들의 크롤링을 수행하여 악성코드 관련 정보들을 수집하고, 서피스웹에서 사이버 표적공격(APT, Advanced Persistent Threat) 발생시, 발생한 상기 사이버 표적공격에 대한 관련 정보들을 분석하고, 상기 사이버 표적공격 발생을 기준으로 소정기간 전부터 소정기간 후까지의 사회이슈 데이터들을 수집하여, 상기 정보와 데이터들을 통합 분석하여 악성코드 연관 데이터 셋을 생성하는 사회이슈 기반 공격 분석부(100); 및
서피스웹에서 발생하는 사회이슈 데이터들을 수집하고, 수집한 상기 사회이슈 데이터와 상기 사회이슈 기반 공격 분석부(100)에서 생성한 상기 악성코드 연관 데이터 셋을 통합 비교 분석하여, 사회이슈 기반 사이버 표적공격의 발생 가능성 정도를 예측하여 제공하는 사회이슈 기반 공격 예측부(200);
를 포함하여 구성되며,
상기 사회이슈 기반 공격 분석부(100)는
분석 대상 딥웹 사이트들의 크롤링을 수행하여, 수집한 웹 데이터들을 분석하여 악성코드 특성을 갖는 의심 웹 데이터를 추출하고, 추출한 의심 웹 데이터의 특성을 분석하여, 분석한 의심 웹 데이터의 특성과 함께, 추출한 딥웹 사이트 주소 정보를 포함하여 상기 악성코드 관련 정보로 저장 및 관리하는 딥웹 악성코드 분석부(110)와, 서피스웹에서 사이버 표적공격 발생시, 기저장된 보안 어플리케이션을 이용하여, 발생한 상기 사이버 표적공격에 대한 관련 정보들을 분석하여, 저장 및 관리하는 APT 공격 분석부(120)와, 상기 APT 공격 분석부(120)에서 분석한 상기 사이버 표적공격의 공격 유형 정보와 상기 딥웹 악성코드 분석부(110)에서 분석한 의심 웹 데이터의 특성의 유사도를 비교 분석하는 유사도 비교분석부(130)와, 상기 유사도 비교분석부(130)의 비교 분석 결과에 따라, 상기 사이버 표적공격의 공격 유형 정보와 상기 의심 웹 데이터의 특성이 소정값 이상 유사할 경우, 상기 의심 웹 데이터를 활용한 사이버 표적공격으로 판단하여, 상기 악성코드 관련 정보를 토대로 상기 의심 웹 데이터를 활용한 사이버 표적공격의 공격자를 특정하여 저장 및 관리하는 공격자 특정부(140)와, 상기 공격자 특정부(140)에서 특정한 상기 의심 웹 데이터를 활용한 사이버 표적공격의 공격자를 기준으로, 해당하는 상기 사이버 표적공격에 대한 관련 정보들, 해당하는 상기 악성코드 관련 정보들, 해당하는 상기 사회이슈 데이터들을 그룹화하여 상기 악성코드 연관 데이터 셋을 생성하여 저장 및 관리하는 통합 정보 관리부(160)를 포함하는 것을 특징으로 하는 딥웹 분석을 통한 사회이슈 기반 사이버 표적공격 예측 시스템.
- 삭제
- 제 1항에 있어서,
상기 사회이슈 기반 공격 분석부(100)는
상기 APT 공격 분석부(120)에서 분석한 상기 사이버 표적공격이 발생한 시점을 기준으로 소정기간 전부터 소정기간 후까지의 분석 대상 서피스웹 사이트들의 크롤링을 수행하여 수집한 웹 데이터들을 분석하여, 발생한 사회이슈 데이터들을 수집하여 저장 및 관리하는 공격 사회이슈 수집부(150);
를 더 포함하여 구성되는 것을 특징으로 하는 딥웹 분석을 통한 사회이슈 기반 사이버 표적공격 예측 시스템.
- 삭제
- 제 3항에 있어서,
상기 딥웹 분석을 통합 사회이슈 기반 사이버 표적공격 예측 시스템은
상기 사회이슈 기반 공격 분석부(100)를 통한 반복 수행에 의해서, 다수의 상기 악성코드 연관 데이터 셋들을 생성 및 관리하는 것을 특징으로 하는 딥웹 분석을 통한 사회이슈 기반 사이버 표적공격 예측 시스템.
- 제 5항에 있어서,
상기 사회이슈 기반 공격 예측부(200)는
상기 사회이슈 기반 공격 분석부(100)를 통해서 기설정된 기준 개수 이상의 상기 악성코드 연관 데이터 셋들이 생성된 후,
분석 대상 서피스웹 사이트들의 크롤링을 수행하여 사회이슈 데이터들을 수집하여 저장 및 관리하는 예측 사회이슈 수집부(210); 및
상기 통합 정보 관리부(160)의 상기 악성코드 연관 데이터 셋을 기반으로, 상기 예측 사회이슈 수집부(210)에서 수집한 상기 사회이슈 데이터들과 상기 악성코드 연관 데이터 셋에 포함되어 있는 상기 사회이슈 데이터들의 유사도를 비교 분석하여, 비교 분석한 유사도를 기준으로 해당하는 사회이슈 기반 사이버 표적공격의 발생 가능성 정도를 예측하여 저장 및 관리하는 공격 예측부(220);
를 더 포함하여 구성되는 것을 특징으로 하는 딥웹 분석을 통한 사회이슈 기반 사이버 표적공격 예측 시스템.
- 제 6항에 있어서,
상기 사회이슈 기반 공격 예측부(200)는
상기 공격 예측부(220)에서 예측한 발생 가능성 정도를 이용하여, 해당하는 사회이슈 기반 사이버 표적공격에 의한 상기 악성코드 연관 데이터 셋을 분석하여, 보안 관련 정보를 생성하여 제공하는 공격 대비부(230);
를 더 포함하여 구성되는 것을 특징으로 하는 딥웹 분석을 통한 사회이슈 기반 사이버 표적공격 예측 시스템.
- 사회이슈 기반 공격 분석부에서, 분석 대상 딥웹 사이트들의 크롤링을 수행하여, 수집한 웹 데이터들을 분석하여, 악성코드 특성을 갖는 의심 웹 데이터를 추출하고, 추출한 의심 웹 데이터의 특성을 분석하여, 분석한 의심 웹 데이터의 특성 정보, 추출한 딥웹 사이트 관련 정보들을 포함하여 악성코드 관련 정보로 저장 및 관리하는 딥웹 분석단계(S100);
사회이슈 기반 공격 분석부에서, 사이버 표적공격(APT, Advanced Persistent Threat) 발생시, 발생한 상기 사이버 표적공격에 대한 관련 정보들을 분석하여 저장 및 관리하는 APT 분석단계(S200);
사회이슈 기반 공격 분석부에서, 상기 APT 분석단계(S200)에 의한 상기 사이버 표적공격의 관련 정보와 상기 딥웹 분석단계(S100에 의한 상기 악성코드 관련 정보들 간의 유사도를 비교 분석하는 유사도 분석단계(S300);
사회이슈 기반 공격 분석부에서, 상기 유사도 분석단계(S300)에 의한 비교 분석 결과, 유사도가 소정값 이상일 경우, 발생한 상기 사이버 표적공격이 해당하는 의심 웹 데이터를 활용한 사이버 표적공격으로 판단하고, 상기 악성코드 관련 정보를 토대로 상기 의심 웹 데이터를 활용한 사이버 표적공격의 공격자를 특정하는 공격자 특정단계(S400);
사회이슈 기반 공격 분석부에서, 상기 APT 분석단계(S200)에 의해 분석한 상기 사이버 표적공격이 발생한 시점을 기준으로, 소정기간 전부터 소정기간 후까지의 분석 대상 서피스웹 사이트들의 크롤링을 수행하여, 수집한 웹 데이터들을 분석하여, 발생한 사회이슈 데이터들을 수집하는 공격 사회이슈 수집단계(S500); 및
사회이슈 기반 공격 분석부에서, 상기 공격자 특정단계(S400)에 의해 특정한 상기 의심 웹 데이터를 활용한 사이버 표적공격의 공격자를 기준으로, 해당하는 상기 사이버 표적공격에 대한 관련 정보들, 해당하는 상기 악성코드 관련 정보들, 해당하는 상기 사회이슈 데이터들을 그룹화하여 악성코드 연관 데이터 셋을 생성하는 통합 관리단계(S600);
를 포함하여 구성되며,
반복 수행을 통해서 다수의 악성코드 연관 데이터 셋들을 생성 및 관리하는 것을 특징으로 하는 딥웹 분석을 통한 사회이슈 기반 사이버 표적공격 예측 방법.
- 제 8항에 있어서,
상기 딥웹 분석을 통한 사회이슈 기반 사이버 표적공격 예측 방법은
상기 통합 관리단계(S600)를 수행하고 난 후,
사회이슈 기반 공격 예측부에서, 분석 대상 서피스웹 사이트들의 크롤링을 수행하여, 수집한 웹 데이터들을 분석하여 발생한 사회이슈 데이터들을 수집하는 예측 사회이슈 수집단계(S700); 및
사회이슈 기반 공격 예측부에서, 상기 통합 관리단계(S600)에 의한 상기 악성코드 연관 데이터 셋을 기반으로, 상기 예측 사회이슈 수집단계(S700)에 의해 수집한 상기 사회이슈 데이터들과 상기 악성코드 연관 데이터 셋에 포함되어 있는 상기 사회이슈 데이터 간의 유사도를 비교 분석하여, 비교 분석한 유사도를 기준으로 해당하는 사회이슈 기반 사이버 표적공격의 발생 가능성 정도를 예측하는 공격 예측단계(S800);
를 더 포함하여 구성되는 것을 특징으로 하는 딥웹 분석을 통한 사회이슈 기반 사이버 표적공격 예측 방법.
- 제 9항에 있어서,
상기 딥웹 분석을 통한 사회이슈 기반 사이버 표적공격 예측 방법은
상기 공격 예측단계(S800)를 수행하고 난 후,
상기 공격 예측단계(S800)에 의한 상기 사회이슈 기반 사이버 표적공격의 발생 가능성 정도를 이용하여, 해당하는 상기 사회이슈 기반 사이버 표적공격에 의한 상기 악성코드 연관 데이터 셋을 분석하여, 보안 관련 정보를 생성하는 보안 대비단계(S900);
를 더 포함하여 구성되는 것을 특징으로 하는 딥웹 분석을 통한 사회이슈 기반 사이버 표적공격 예측 방법.
- 제 8항에 있어서,
상기 딥웹 분석단계(S100)는
서피스 웹 사이트에 접속 가능한 브라우저를 이용하여, 딥웹 사이트에 접속이 가능한 특정 브라우저의 동작 방식을 모사하여, 분석 대상 딥웹 사이트들의 크롤링을 수행하는 것을 특징으로 하는 딥웹 분석을 통한 사회이슈 기반 사이버 표적공격 예측 방법.
- 제 8항에 있어서,
상기 딥웹 분석을 통한 사회이슈 기반 사이버 표적공격 예측 방법은
수집한 웹 데이터들을 분석하여, 기설정된 웹 문서 형태에 해당하는 웹 문서 데이터들에 대해서만 텍스트 데이터들을 추출하고, 추출한 텍스트 데이터들에 대한 형태소 분석을 통한 키워드 데이터들을 분석하여, 수집한 상기 텍스트 데이터들과 분석한 상기 키워드 데이터들을 이용하여, 상기 키워드 데이터들의 발생 빈도수를 기준으로, 사회이슈 키워드로 설정하여 상기 사회이슈 데이터들을 수집하는 것을 특징으로 하는 딥웹 분석을 통한 사회이슈 기반 사이버 표적공격 예측 방법.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020200154453A KR102382951B1 (ko) | 2020-11-18 | 2020-11-18 | 딥웹 분석을 통한 사회이슈 기반 사이버 표적공격 예측 시스템 및 그 예측 방법 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020200154453A KR102382951B1 (ko) | 2020-11-18 | 2020-11-18 | 딥웹 분석을 통한 사회이슈 기반 사이버 표적공격 예측 시스템 및 그 예측 방법 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| KR102382951B1 true KR102382951B1 (ko) | 2022-04-05 |
Family
ID=81181632
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020200154453A KR102382951B1 (ko) | 2020-11-18 | 2020-11-18 | 딥웹 분석을 통한 사회이슈 기반 사이버 표적공격 예측 시스템 및 그 예측 방법 |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR102382951B1 (ko) |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101852107B1 (ko) | 2017-11-22 | 2018-04-25 | (주)유니스소프트 | 다크웹 범죄정보 분석 시스템 및 그 방법 |
| US20200067953A1 (en) * | 2018-08-22 | 2020-02-27 | Marlabs Innovations Private Limited | System and method for data analysis and detection of threat |
| KR102120232B1 (ko) * | 2019-11-04 | 2020-06-16 | (주)유엠로직스 | 칼만필터 알고리즘을 이용한 사이버 표적공격 탐지 시스템 및 그 탐지 방법 |
-
2020
- 2020-11-18 KR KR1020200154453A patent/KR102382951B1/ko active IP Right Grant
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101852107B1 (ko) | 2017-11-22 | 2018-04-25 | (주)유니스소프트 | 다크웹 범죄정보 분석 시스템 및 그 방법 |
| US20200067953A1 (en) * | 2018-08-22 | 2020-02-27 | Marlabs Innovations Private Limited | System and method for data analysis and detection of threat |
| KR102120232B1 (ko) * | 2019-11-04 | 2020-06-16 | (주)유엠로직스 | 칼만필터 알고리즘을 이용한 사이버 표적공격 탐지 시스템 및 그 탐지 방법 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111935192B (zh) | 网络攻击事件溯源处理方法、装置、设备和存储介质 | |
| Zulkarnine et al. | Surfacing collaborated networks in dark web to find illicit and criminal content | |
| US9680866B2 (en) | System and method for analyzing web content | |
| Marchal et al. | PhishStorm: Detecting phishing with streaming analytics | |
| US9723018B2 (en) | System and method of analyzing web content | |
| US9443019B2 (en) | Optimized web domains classification based on progressive crawling with clustering | |
| US7640235B2 (en) | System and method for correlating between HTTP requests and SQL queries | |
| Shyni et al. | Phishing detection in websites using parse tree validation | |
| Alshammery et al. | Crawling and mining the dark web: A survey on existing and new approaches | |
| KR102382951B1 (ko) | 딥웹 분석을 통한 사회이슈 기반 사이버 표적공격 예측 시스템 및 그 예측 방법 | |
| CN114500122B (zh) | 一种基于多源数据融合的特定网络行为分析方法和系统 | |
| Suri et al. | Comparative study of ranking algorithms | |
| KR102190316B1 (ko) | 브라우저 모사를 이용한 딥웹 분석 시스템 및 그 분석 방법 | |
| Garg et al. | A systematic review of attack graph generation and analysis techniques | |
| Tundis et al. | An exploratory analysis on the impact of Shodan scanning tool on the network attacks | |
| As-Suhbani et al. | Using data mining for discovering anomalies from firewall logs: a comprehensive review | |
| US20110208717A1 (en) | Chaffing search engines to obscure user activity and interests | |
| Almazrouei et al. | The Internet of Things Network Penetration Testing Model Using Attack Graph Analysis | |
| Azevedo et al. | Automated solution for enrichment and quality IoC creation from OSINT | |
| Mejía et al. | Proposal of content and security controls for a CSIRT website | |
| Boyapati et al. | Anti-phishing approaches in the era of the internet of things | |
| Trivedi et al. | Threat Intelligence Analysis of Onion Websites Using Sublinks and Keywords | |
| Alosaimi et al. | Computer Vision‐Based Intrusion Detection System for Internet of Things | |
| Husák et al. | On the Provision of Network-Wide Cyber Situational Awareness via Graph-Based Analytics | |
| Varghese et al. | Extraction of Actionable Threat Intelligence from Dark Web Data |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| E701 | Decision to grant or registration of patent right | ||
| GRNT | Written decision to grant |