KR102443486B1 - Method and apparatus for displaying threat alert type - Google Patents

Method and apparatus for displaying threat alert type Download PDF

Info

Publication number
KR102443486B1
KR102443486B1 KR1020200107908A KR20200107908A KR102443486B1 KR 102443486 B1 KR102443486 B1 KR 102443486B1 KR 1020200107908 A KR1020200107908 A KR 1020200107908A KR 20200107908 A KR20200107908 A KR 20200107908A KR 102443486 B1 KR102443486 B1 KR 102443486B1
Authority
KR
South Korea
Prior art keywords
threat alert
alert type
threat
type
past
Prior art date
Application number
KR1020200107908A
Other languages
Korean (ko)
Other versions
KR20220026858A (en
Inventor
조성영
한인성
김민철
박용우
Original Assignee
국방과학연구소
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 국방과학연구소 filed Critical 국방과학연구소
Priority to KR1020200107908A priority Critical patent/KR102443486B1/en
Publication of KR20220026858A publication Critical patent/KR20220026858A/en
Application granted granted Critical
Publication of KR102443486B1 publication Critical patent/KR102443486B1/en

Links

Images

Classifications

    • GPHYSICS
    • G08SIGNALLING
    • G08BSIGNALLING OR CALLING SYSTEMS; ORDER TELEGRAPHS; ALARM SYSTEMS
    • G08B5/00Visible signalling systems, e.g. personal calling systems, remote indication of seats occupied
    • G08B5/22Visible signalling systems, e.g. personal calling systems, remote indication of seats occupied using electric transmission; using electromagnetic transmission
    • G08B5/222Personal calling arrangements or devices, i.e. paging systems
    • G08B5/223Personal calling arrangements or devices, i.e. paging systems using wireless transmission
    • G08B5/224Paging receivers with visible signalling details
    • G08B5/225Display details
    • G08B5/226Display details with alphanumeric or graphic display means
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/30Information retrieval; Database structures therefor; File system structures therefor of unstructured textual data
    • G06F16/33Querying
    • G06F16/3331Query processing
    • G06F16/334Query execution
    • G06F16/3346Query execution using probabilistic model
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/901Indexing; Data structures therefor; Storage structures

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Databases & Information Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Data Mining & Analysis (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Electromagnetism (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Probability & Statistics with Applications (AREA)
  • Computational Linguistics (AREA)
  • Alarm Systems (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

위협 경보 유형 디스플레이 장치 및 방법이 제공될 수 있다. 일 실시예에 따른 위협 경보 유형 디스플레이 장치는, 기 발생된 복수 개의 과거 위협 경보 유형 및 상기 복수 개의 과거 위협 경보 유형 각각에 대해 그 이후에 발생 가능성이 있는 후보 위협 경보 유형에 대한 정보를 저장하는 데이터베이스, 분석 대상인 대상 위협 경보 유형을 입력받는 입력부, 상기 복수 개의 과거 위협 경보 유형 중에서 상기 대상 위협 경보 유형이 상기 후보 위협 경보 유형에 할당되어 있는 과거 위협 경보 유형을 획득하는 정보 획득부 및 상기 대상 위협 경보 유형을 중심으로, 상기 획득된 과거 위협 경보 유형을 상기 대상 위협 경보 유형에 연결해서 디스플레이하는 디스플레이부를 포함할 수 있다.A threat alert type display device and method may be provided. A device for displaying a threat alert type according to an embodiment includes a database storing information on a plurality of previously generated threat alert types and a candidate threat alert type that is likely to occur thereafter with respect to each of the plurality of past threat alert types , an input unit for receiving a target threat alert type to be analyzed, an information acquisition unit for acquiring a past threat alert type in which the target threat alert type is assigned to the candidate threat alert type from among the plurality of past threat alert types, and the target threat alert Based on the type, the display unit may include a display unit for displaying the acquired past threat alert type in connection with the target threat alert type.

Description

위협 경보 유형 디스플레이 장치 및 방법{METHOD AND APPARATUS FOR DISPLAYING THREAT ALERT TYPE}THREAT ALERT TYPE DISPLAY DEVICE AND METHODS

본 발명은 위협 경보 유형 디스플레이 장치 및 방법에 관한 것이다. 보다 구체적으로, 본 발명은 사이버 위협 경보 유형들 간 상관관계 분석 결과를 디스플레이하는 장치 및 방법에 대한 발명이다.The present invention relates to a threat alert type display apparatus and method. More specifically, the present invention relates to an apparatus and method for displaying a correlation analysis result between cyber threat alert types.

특정 조직을 지속적으로 공격하여 데이터의 유출 등과 같은 공격 목표를 달성하는 지능형 지속적 위협(Advanced Persistent Threat, APT), 서비스 거부 공격(Denial Of Service, DOS) 및 분산 서비스 거부 공격(Distributed Denial Of Service, DDOS) 등의 최근 사이버 공격은 발생 빈도가 잦아지고, 그 방법 또한 정교해지고 있다. Advanced Persistent Threat (APT), Denial Of Service (DOS), and Distributed Denial Of Service (DDOS) attacks that continuously attack specific organizations to achieve attack goals such as data exfiltration ) and other recent cyber attacks are occurring more frequently and their methods are becoming more sophisticated.

이와 같은 사이버 공격에 대응하기 위해 대부분의 조직에서는 라우터 및 스위치 등의 네트워크 장치, 침입 탐지 시스템(Intrusion Detection System, IDS) 및 방화벽 등의 범용 네트워크 보안 장치, 웹 방화벽(Web Application Firewall, WAF) 및 안티 DDOS 장비 등의 애플리케이션 수준 네트워크 보안 장치 및 디지털 저작권 관리(Digital Rights Management, DRM) 및 안티 바이러스(Anti Virus, AV) 등의 애플리케이션 수준 솔루션 등을 도입하여 운영하고 있다. 또한, 대부분의 조직에서는 감사(audit) 목적 또는 침해 사고를 당한 경우의 사고 분석 및 대응을 위한 목적으로 시스템의 로그를 의무적으로 보관하고 있다.In order to respond to such cyber attacks, most organizations have network devices such as routers and switches, general-purpose network security devices such as intrusion detection systems (IDS) and firewalls, web application firewalls (WAFs) and anti Application-level network security devices such as DDOS equipment and application-level solutions such as Digital Rights Management (DRM) and Anti-Virus (AV) have been introduced and operated. In addition, most organizations are obligated to keep system logs for audit purposes or for accident analysis and response in case of intrusion.

또한, 다양한 보안 솔루션으로부터 수집되는 정보 및 시스템의 로그를 분석하여 사이버 공격에 대응하기 위해 전사적 보안 관리 시스템(Enterprise Security Management, ESM) 및 보안 정보 이벤트 시스템(Security Information and Event System, SIEM) 등이 도입되어 운영되고 있다. 또는, 다양한 로그를 통합 및 관리하여 다양한 사이버 공격을 탐지하고 이에 대응하기 위한 기술들이 개발되고 있다.In addition, Enterprise Security Management (ESM) and Security Information and Event System (SIEM) are introduced to respond to cyber attacks by analyzing information and system logs collected from various security solutions. has been operated. Alternatively, technologies for detecting and responding to various cyber attacks by integrating and managing various logs are being developed.

그러나, 현재의 사이버 공격은 일회성에 그치지 않고, 공격자가 공격 목표를 달성하기 위해 장시간 동안 여러 공격 방법들을 순차적으로 수행하므로, 이러한 사이버 공격들을 효과적으로 방어 및 대응하기 위해서는 현재 사이버 공간의 상황을 정확히 인식하는 것이 중요하다. 이를 위해, 다양한 정보를 수집 및 분석하여 특정 공격들을 식별하고, 시나리오 기반으로 사이버 공격의 이력을 추적하고 대응하기 위한 방법이 필요한 실정이다.However, current cyber attacks are not limited to one-time attacks, and attackers sequentially perform various attack methods for a long time to achieve their attack goals. it is important To this end, there is a need for a method for identifying specific attacks by collecting and analyzing various information, and for tracking and responding to the history of a cyber attack based on a scenario.

본 발명은 사이버 위협 경보 유형들 간 상관관계 분석 결과를 디스플레이하는 장치 및 방법을 제공하는 것을 목적으로 한다.An object of the present invention is to provide an apparatus and method for displaying a correlation analysis result between cyber threat alert types.

또한, 본 발명은, 시나리오를 기반으로 현재 공격의 맥락을 파악할 수 있는 장치 및 방법을 제공하는 것을 목적으로 한다.Another object of the present invention is to provide an apparatus and method capable of grasping the context of a current attack based on a scenario.

또한, 본 발명은, 시나리오를 기반으로 현재 공격의 맥락을 파악하여 향후 발생할 공격을 예측할 수 있는 장치 및 방법을 제공하는 것을 목적으로 한다.Another object of the present invention is to provide an apparatus and method capable of predicting an attack that will occur in the future by grasping the context of a current attack based on a scenario.

본 발명에서 이루고자 하는 기술적 과제들은 이상에서 언급한 기술적 과제들로 제한되지 않으며, 언급하지 않은 또 다른 기술적 과제들은 아래의 기재로부터 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.The technical problems to be achieved in the present invention are not limited to the technical problems mentioned above, and other technical problems not mentioned will be clearly understood by those of ordinary skill in the art to which the present invention belongs from the description below. will be able

본 발명의 일 실시예에 따른 위협 경보 유형 디스플레이 장치는, 기 발생된 복수 개의 과거 위협 경보 유형 및 상기 복수 개의 과거 위협 경보 유형 각각에 대해 그 이후에 발생 가능성이 있는 후보 위협 경보 유형에 대한 정보를 저장하는 데이터베이스; 분석 대상인 대상 위협 경보 유형을 입력받는 입력부; 상기 복수 개의 과거 위협 경보 유형 중에서 상기 대상 위협 경보 유형이 상기 후보 위협 경보 유형에 할당되어 있는 과거 위협 경보 유형을 획득하는 정보 획득부; 및 상기 대상 위협 경보 유형을 중심으로, 상기 획득된 과거 위협 경보 유형을 상기 대상 위협 경보 유형에 연결해서 디스플레이하는 디스플레이부를 포함할 수 있다.The threat alert type display device according to an embodiment of the present invention provides information on a plurality of previously generated past threat alert types and a candidate threat alert type that is likely to occur thereafter for each of the plurality of past threat alert types. database to store; an input unit receiving an input of a target threat alert type to be analyzed; an information acquisition unit configured to acquire a past threat alert type in which the target threat alert type is assigned to the candidate threat alert type from among the plurality of past threat alert types; and a display unit for displaying the acquired past threat alert type with the target threat alert type as the center of the target threat alert type.

상기 위협 경보 유형 디스플레이 장치에 있어서, 상기 정보 획득부는, 상기 대상 위협 경보 유형 이후에 발생 가능성이 있는 후보 위협 경보 유형을 상기 데이터베이스로부터 추가적으로 획득하고, 상기 디스플레이부는, 상기 대상 위협 경보 유형에 상기 획득된 후보 위협 경보 유형을 추가적으로 연결해서 디스플레이할 수 있다.In the device for displaying the threat alert type, the information acquiring unit further acquires a candidate threat alert type that is likely to occur after the target threat alert type from the database, and the display unit includes: Candidate threat alert types can be further linked and displayed.

상기 위협 경보 유형 디스플레이 장치에 있어서, 상기 디스플레이부는, 상기 대상 위협 경보 유형과 상기 획득된 과거 위협 경보 유형들 간의 연결 관계를, 상기 대상 위협 경보 유형과 상기 획득된 후보 위협 경보 유형들 간의 연결 관계와 상이하게 디스플레이할 수 있다.In the device for displaying the threat alert type, the display unit is configured to determine a connection relationship between the target threat alert type and the acquired past threat alert types, a connection relationship between the target threat alert type and the acquired candidate threat alert types; can be displayed differently.

상기 위협 경보 유형 디스플레이 장치에 있어서, 상기 데이터베이스에는, 상기 복수 개의 과거 위협 경보 유형 각각에 대해 그 이후에 발생 가능성이 있는 후보 위협 경보 유형에 대한 발생 가능성이 확률로서 저장될 수 있다.In the device for displaying a threat alert type, a probability of occurrence of a candidate threat alert type that is likely to occur thereafter for each of the plurality of past threat alert types may be stored as a probability in the database.

상기 위협 경보 유형 디스플레이 장치에 있어서, 상기 데이터베이스에는, 상기 복수 개의 과거 위협 경보 유형 각각에 대해 그 이후에 발생 가능성이 있는 후보 위협 경보 유형에 대한 발생 조건이 추가적으로 저장될 수 있다.In the device for displaying a threat alert type, a generation condition for a candidate threat alert type that is likely to occur thereafter for each of the plurality of past threat alert types may be additionally stored in the database.

상기 위협 경보 유형 디스플레이 장치에 있어서, 상기 데이터베이스에는, 상기 복수 개의 과거 위협 경보 유형 각각에 대한 속성 정보가 추가적으로 저장되어 있고, 상기 정보 획득부는, 상기 대상 위협 경보 유형 및 상기 획득된 과거 위협 경보 유형에 대한 속성 정보를 상기 데이터베이스로부터 획득하여 클러스터링(clustering)하고, 상기 디스플레이부는, 상기 클러스터링된 결과에 기초하여, 상기 대상 위협 경보 유형 및 상기 획득된 과거 위협 경보 유형을 디스플레이할 수 있다.In the device for displaying the threat alert type, the database further stores attribute information for each of the plurality of past threat alert types, and the information acquisition unit includes: the target threat alert type and the acquired past threat alert type attribute information is obtained from the database and clustered, and the display unit may display the target threat alert type and the acquired past threat alert type based on the clustering result.

본 발명의 다른 실시예에 따른 위협 경보 유형 디스플레이 방법은, 상기 위협 경보 유형 디스플레이 장치에 의해 수행될 수 있고, 기 발생된 복수 개의 과거 위협 경보 유형 및 상기 복수 개의 과거 위협 경보 유형 각각에 대해 그 이후에 발생 가능성이 있는 후보 위협 경보 유형에 대한 정보를 데이터베이스에 저장하는 단계; 분석 대상인 대상 위협 경보 유형을 입력받는 단계; 상기 복수 개의 과거 위협 경보 유형 중에서 상기 대상 위협 경보 유형이 상기 후보 위협 경보 유형에 할당되어 있는 과거 위협 경보 유형을 획득하는 단계; 및 상기 대상 위협 경보 유형을 중심으로, 상기 획득된 과거 위협 경보 유형을 상기 대상 위협 경보 유형에 연결해서 디스플레이하는 단계를 포함할 수 있다.The method for displaying a threat alert type according to another embodiment of the present invention may be performed by the threat alert type display device, and thereafter for a plurality of previously generated threat alert types and each of the plurality of past threat alert types storing information on candidate threat alert types that are likely to occur in the database; receiving a target threat alert type to be analyzed; acquiring a past threat alert type in which the target threat alert type is assigned to the candidate threat alert type from among the plurality of past threat alert types; and linking the acquired past threat alert type to the target threat alert type and displaying the acquired threat alert type based on the target threat alert type.

상기 위협 경보 유형 디스플레이 방법에 있어서, 상기 획득하는 단계는, 상기 대상 위협 경보 유형 이후에 발생 가능성이 있는 후보 위협 경보 유형을 상기 데이터베이스로부터 획득하는 단계를 포함하고, 상기 디스플레이하는 단계는, 상기 대상 위협 경보 유형에 상기 획득된 후보 위협 경보 유형을 추가적으로 연결해서 디스플레이하는 단계를 포함할 수 있다.In the method for displaying a threat alert type, the acquiring includes: acquiring a candidate threat alert type that is likely to occur after the target threat alert type from the database, and the displaying includes: The method may include additionally connecting and displaying the acquired candidate threat alert type to the alert type.

상기 위협 경보 유형 디스플레이 방법에 있어서, 상기 디스플레이하는 단계는, 상기 대상 위협 경보 유형과 상기 획득된 과거 위협 경보 유형들 간의 연결 관계를, 상기 대상 위협 경보 유형과 상기 획득된 후보 위협 경보 유형들 간의 연결 관계와 상이하게 디스플레이할 수 있다.In the method for displaying a threat alert type, the displaying comprises: establishing a connection relationship between the target threat alert type and the acquired past threat alert types, and connecting the target threat alert type and the acquired candidate threat alert types It can be displayed differently from the relationship.

상기 위협 경보 유형 디스플레이 방법에 있어서, 상기 데이터베이스에는, 상기 복수 개의 과거 위협 경보 유형 각각에 대해 그 이후에 발생 가능성이 있는 후보 위협 경보 유형에 대한 발생 가능성이 확률로서 저장될 수 있다.In the method for displaying a threat alert type, a probability of occurrence of a candidate threat alert type that is likely to occur thereafter for each of the plurality of past threat alert types may be stored as a probability in the database.

상기 위협 경보 유형 디스플레이 방법에 있어서, 상기 데이터베이스에는, 상기 복수 개의 과거 위협 경보 유형 각각에 대해 그 이후에 발생 가능성이 있는 후보 위협 경보 유형에 대한 발생 조건이 추가적으로 저장될 수 있다.In the method for displaying a threat alert type, a generation condition for a candidate threat alert type that is likely to occur thereafter for each of the plurality of past threat alert types may be additionally stored in the database.

상기 위협 경보 유형 디스플레이 방법에 있어서, 상기 데이터베이스에는, 상기 복수 개의 과거 위협 경보 유형 각각에 대한 속성 정보가 추가적으로 저장되어 있고, 상기 획득하는 단계는, 상기 대상 위협 경보 유형 및 상기 획득된 과거 위협 경보 유형에 대한 속성 정보를 상기 데이터베이스로부터 획득하여 클러스터링(clustering)하는 단계를 포함하고, 상기 디스플레이하는 단계는, 상기 클러스터링된 결과에 기초하여, 상기 대상 위협 경보 유형 및 상기 획득된 과거 위협 경보 유형을 디스플레이하는 단계를 포함할 수 있다.In the method for displaying the threat alert type, the database additionally stores attribute information for each of the plurality of past threat alert types, and the acquiring includes: the target threat alert type and the acquired past threat alert type and clustering by acquiring attribute information on the from the database, wherein the displaying comprises: displaying the target threat alert type and the acquired past threat alert type based on the clustered result may include steps.

본 발명에 따르면, 사이버 위협 경보 유형들 간 상관관계 분석 결과를 디스플레이하는 장치 및 방법이 제공될 수 있다.According to the present invention, an apparatus and method for displaying a correlation analysis result between cyber threat alert types may be provided.

또한, 본 발명에 따르면, 시나리오를 기반으로 현재 공격의 맥락을 파악할 수 있는 장치 및 방법이 제공될 수 있다.Also, according to the present invention, an apparatus and method capable of grasping the context of a current attack based on a scenario may be provided.

또한, 본 발명에 따르면, 시나리오를 기반으로 현재 공격의 맥락을 파악하여 향후 발생할 공격을 예측할 수 있는 장치 및 방법이 제공될 수 있다.Further, according to the present invention, an apparatus and method for predicting an attack to occur in the future by grasping the context of a current attack based on a scenario may be provided.

본 발명에서 얻을 수 있는 효과는 이상에서 언급한 효과들로 제한되지 않으며, 언급하지 않은 또 다른 효과들은 아래의 기재로부터 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.The effects obtainable in the present invention are not limited to the above-mentioned effects, and other effects not mentioned may be clearly understood by those of ordinary skill in the art from the following description. will be.

도 1은 본 발명의 일 실시예에 따른 위협 경보 유형 디스플레이 장치를 설명하기 위한 도면이다.
도 2 및 도 3은 본 발명의 일 실시예에 따른 위협 경보 유형들 간의 연결 관계를 설명하기 위한 도면이다.
도 4 내지 도 6은 본 발명의 일 실시예에 따른 위협 연관 관계 그래프가 디스플레이되는 형태를 설명하기 위한 도면이다.
도 7 및 도 8은 본 발명의 일 실시예에 따른 위협 연관 경보 현황이 디스플레이되는 형태를 설명하기 위한 도면이다.
도 9는 본 발명의 일 실시예에 따른 위협 경보 유형 디스플레이 방법을 설명하기 위한 도면이다.1 is a diagram for explaining a threat alert type display device according to an embodiment of the present invention.
2 and 3 are diagrams for explaining a connection relationship between threat alert types according to an embodiment of the present invention.
4 to 6 are diagrams for explaining a display form of a threat association graph according to an embodiment of the present invention.
7 and 8 are diagrams for explaining a display form of a threat-related alert status according to an embodiment of the present invention.
9 is a diagram for explaining a method for displaying a threat alert type according to an embodiment of the present invention.

본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시예들은 본 발명의 개시가 완전하도록 하고, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다. 명세서 전체에 걸쳐 동일 도면부호는 동일 구성 요소를 지칭한다.Advantages and features of the present invention and methods of achieving them will become apparent with reference to the embodiments described below in detail in conjunction with the accompanying drawings. However, the present invention is not limited to the embodiments disclosed below, but may be implemented in various different forms, and only these embodiments allow the disclosure of the present invention to be complete, and common knowledge in the technical field to which the present invention pertains It is provided to fully inform those who have the scope of the invention, and the present invention is only defined by the scope of the claims. Like reference numerals refer to like elements throughout.

본 발명의 실시예들을 설명함에 있어서 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다. 그리고 후술되는 용어들은 본 발명의 실시예에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.In describing the embodiments of the present invention, if it is determined that a detailed description of a well-known function or configuration may unnecessarily obscure the gist of the present invention, the detailed description thereof will be omitted. In addition, the terms to be described later are terms defined in consideration of functions in an embodiment of the present invention, which may vary according to intentions or customs of users and operators. Therefore, the definition should be made based on the content throughout this specification.

이하 사용되는 '…부', '…기' 등의 용어는 적어도 하나의 기능이나 동작을 처리하는 단위를 의미하며, 이는 하드웨어나 소프트웨어, 또는, 하드웨어 및 소프트웨어의 결합으로 구현될 수 있다.Hereinafter used '… wealth', '… The term 'group' means a unit for processing at least one function or operation, which may be implemented as hardware or software, or a combination of hardware and software.

이하, 첨부된 도면을 참조하여 본 발명의 실시예에 대해 상세히 설명하기로 한다.Hereinafter, embodiments of the present invention will be described in detail with reference to the accompanying drawings.

도 1은 본 발명의 일 실시예에 따른 위협 경보 유형 디스플레이 장치를 설명하기 위한 도면이다.1 is a diagram for explaining a threat alert type display device according to an embodiment of the present invention.

도 1을 참조하면, 본 발명의 일 실시예에 따른 위협 경보 유형 디스플레이 장치(100)는 데이터베이스(110), 입력부(120), 정보획득부(130) 및 디스플레이부(140)를 포함할 수 있다. 다만, 이에 한정되지 않고, 위협 경보 유형 디스플레이에 필요한 모듈을 추가적으로 더 포함할 수 있다.Referring to FIG. 1 , an apparatus 100 for displaying a threat alert type according to an embodiment of the present invention may include a database 110 , an input unit 120 , an information acquisition unit 130 , and a display unit 140 . . However, the present invention is not limited thereto, and may further include a module necessary for displaying a threat alert type.

위협 경보는 사이버 공격에 대응되는 경보(alert)로서, 기 설정된 분류 체계(taxonomy)에 따라 하나 이상의 위협 경보 유형으로 분류될 수 있다. 이때, 상기 기 설정된 분류 체계는 사이버 공격 유형에 따른 위협 경보들을 분류하기 위한 분류 체계를 의미할 수 있다. 또한, 상기 위협 경보는 킬체인 단계, 전술, 행동, 기술 및 절차 수준에 따라 정의된 위협 분류 체계에서 각 수준 중 하나에 매핑될 수 있다. A threat alert is an alert corresponding to a cyber attack, and may be classified into one or more threat alert types according to a preset taxonomy. In this case, the preset classification system may refer to a classification system for classifying threat alerts according to cyber attack types. In addition, the threat alert may be mapped to one of each level in the threat classification system defined according to the kill chain stage, tactics, behaviors, skills and procedural levels.

데이터베이스(110)에는 적어도 하나 이상의 위협 경보 유형에 대한 정보가 저장될 수 있다. 데이터베이스(110)에 저장되는 적어도 하나 이상의 위협 경보 유형은, 기 발생된 과거 위협 경보 유형 및 상기 과거 위협 경보 유형에 대해 아직 탐지되지 않았지만 그 이후 발생 가능성이 있는 후보 위협 경보 유형을 포함할 수 있다. 후보 위협 경보 유형은 적어도 하나 이상일 수 있다. The database 110 may store information on at least one or more types of threat alerts. The at least one or more threat alert types stored in the database 110 may include a previously generated past threat alert type and a candidate threat alert type that has not yet been detected for the past threat alert type but is likely to occur thereafter. There may be at least one candidate threat alert type.

이때, 데이터베이스(110)에는 복수 개의 과거 위협 경보 유형 각각에 대해 아직 탐지되지 않았지만 그 이후 발생 가능성이 있는 후보 위협 경보 유형에 대한 발생 조건 및 발생 확률이 저장될 수 있다. In this case, the database 110 may store the occurrence condition and occurrence probability of a candidate threat alert type that has not yet been detected for each of the plurality of past threat alert types, but is likely to occur thereafter.

상기 발생 확률은, 특정한 발생 조건에 대해 과거 위협 경보 유형으로부터 후보 위협 경보 유형이 발생할 수 있는 확률을 의미할 수 있다. 예를 들어, 위협 경보 유형 'A' 이후에 위협 경보 유형 'B'가 발생한 횟수가 5회이고, 위협 경보 유형 'A' 이후에 위협 경보 유형 'C'가 발생한 횟수가 6회이며, 'A'이후에 'B' 또는 'C'외에 다른 위협 경보 유형이 발생한 이력이 없는 경우, 데이터베이스에는 'A' 이후에 'B'가 발생할 확률로 '5/11'이 저장될 수 있고, 'A' 이후에 'C'가 발생할 확률로 '6/11'이 저장될 수 있다.The occurrence probability may mean a probability that a candidate threat alert type may occur from a past threat alert type for a specific occurrence condition. For example, threat alert type 'A' followed by threat alert type 'B' 5 times, threat alert type 'A' followed by threat alert type 'C' 6 times, and 'A' If there is no history of occurrence of a threat alert type other than 'B' or 'C' after ', '5/11' may be stored with the probability that 'B' will occur after 'A' in the database, and 'A' Thereafter, '6/11' may be stored as a probability of occurrence of 'C'.

또한, 데이터베이스(110)에는 복수 개의 과거 위협 경보 유형 각각에 대한 속성 정보가 저장될 수 있다. 상기 속성 정보는 위협 분류 체계 중 킬체인 단계에서의 분류 기준일 수 있다. 예를 들어, 상기 속성 정보는 정찰, 침투, 거점 장악, 목표 달성 및 공격 지원 중 적어도 하나일 수 있다. 킬체인 단계에서의 분류 기준에 따른 위협 경보 유형의 디스플레이 형태에 대해서는 도 7과 관련된 설명에서 후술한다. In addition, attribute information for each of a plurality of past threat alert types may be stored in the database 110 . The attribute information may be a classification criterion in the kill chain stage of the threat classification system. For example, the attribute information may be at least one of reconnaissance, infiltration, base capture, goal achievement, and attack support. The display form of the threat alert type according to the classification criteria in the kill chain stage will be described later in the description related to FIG. 7 .

데이터베이스(110)는 휘발성 메모리 및 비휘발성 메모리 중 적어도 하나를 포함할 수 있다. The database 110 may include at least one of a volatile memory and a non-volatile memory.

입력부(120)는 분석 대상인 대상 위협 경보 유형을 입력받을 수 있다. 구체적으로, 입력부(120)는 대상 위협 경보가 기 설정된 분류 체계에 따라 분류된 대상 위협 경보 유형을 입력받을 수 있다. 또는, 입력부(120)는 대상 위협 경보 자체를 입력받고, 입력받은 위협 경보는 위협 경보 유형 디스플레이 장치(100) 내부에서 기 설정된 분류 체계에 따라 하나 이상의 대상 위협 경보 유형으로 분류될 수도 있다. 상기 대상 위협 경보 유형에 대한 속성 정보는 데이터베이스(110)에 저장될 수 있다.The input unit 120 may receive a target threat alert type to be analyzed. Specifically, the input unit 120 may receive a target threat alert type classified according to a preset classification system for the target threat alert. Alternatively, the input unit 120 may receive a target threat alert itself, and the received threat alert may be classified into one or more target threat alert types according to a classification system preset in the threat alert type display apparatus 100 . The attribute information on the target threat alert type may be stored in the database 110 .

정보 획득부(130)는 데이터베이스(110)에 저장된 복수 개의 과거 위협 경보 유형 중에서 대상 위협 경보 유형이 후보 위협 경보 유형에 할당되어 있는 과거 위협 경보 유형을 획득할 수 있다. The information acquisition unit 130 may acquire a past threat alert type in which a target threat alert type is assigned to a candidate threat alert type from among a plurality of past threat alert types stored in the database 110 .

예를 들어, 데이터베이스(110)에 과거 위협 경보 유형으로 A, B가 저장되어있고, A, B 각각에 후보 위협 경보 유형으로 C, D가 할당될 수 있다. 이때, 입력부(120)를 통해 입력받은 대상 위협 경보 유형이 C인 경우, 정보 획득부(130)는 C가 후보 위협 경보 유형으로 할당되어 있는 과거 위협 경보 유형 A를 획득할 수 있다.For example, A and B may be stored as past threat alert types in the database 110 , and C and D may be assigned to A and B as candidate threat alert types, respectively. In this case, if the target threat alert type received through the input unit 120 is C, the information acquisition unit 130 may acquire the past threat alert type A to which C is assigned as the candidate threat alert type.

또한, 정보 획득부(130)는 대상 위협 경보 유형 이후 발생 가능성이 있는 후보 위협 경보 유형을 데이터베이스(110)로부터 획득할 수 있다.Also, the information acquisition unit 130 may acquire a candidate threat alert type that is likely to occur after the target threat alert type from the database 110 .

예를 들어, 대상 위협 경보 유형이 C인 경우, 정보 획득부(130)는 C 이후 발생 가능성이 있는 후보 위협 경보 유형을 데이터베이스(110)로부터 획득할 수 있다.For example, when the target threat alert type is C, the information acquisition unit 130 may acquire a candidate threat alert type that is likely to occur after C from the database 110 .

또한, 정보 획득부(130)는 대상 위협 경보 유형 및 과거 위협 경보 유형에 대한 속성 정보를 데이터베이스(110)로부터 획득하여 클러스터링(clustering)을 수행할 수 있다. 이때, 속성 정보는 상술한 위협 분류 체계 중 킬체인 단계에서의 분류 기준일 수 있다. 구체적으로, 정보 획득부(130)는 속성 정보를 기준으로 하여, 대상 위협 경보 유형 및 과거 위협 경보 유형을 보다 상위 단계로 클러스터링할 수 있다. 클러스터링에 따른 위협 경보 유형의 디스플레이 형태에 대해서는 도 5 및 도 6과 관련된 설명에서 후술한다.In addition, the information acquisition unit 130 may perform clustering by acquiring attribute information on the target threat alert type and the past threat alert type from the database 110 . In this case, the attribute information may be a classification criterion in the kill chain stage of the aforementioned threat classification system. Specifically, the information acquisition unit 130 may cluster the target threat alert type and the past threat alert type to a higher level based on the attribute information. A display form of a threat alert type according to clustering will be described later in the description related to FIGS. 5 and 6 .

디스플레이부(140)는 대상 위협 경보 유형을 중심으로, 과거 위협 경보 유형을 대상 위협 경보 유형에 연결해서 디스플레이할 수 있다. 또한, 디스플레이부(140)는 대상 위협 경보 유형에 후보 위협 경보 유형을 추가적으로 연결해서 디스플레이할 수 있다. The display unit 140 may display the target threat alert type by connecting the past threat alert type to the target threat alert type. Also, the display unit 140 may additionally connect and display the candidate threat alert type to the target threat alert type.

이때, 디스플레이부(140)는 상기 대상 위협 경보 유형과 상기 획득된 과거 위협 경보 유형들 간의 연결 관계를, 상기 대상 위협 경보 유형과 상기 획득된 후보 위협 경보 유형들 간의 연결 관계와 상이하게 디스플레이할 수 있다. 예를 들어, 디스플레이부(140)는 상기 대상 위협 경보 유형과 상기 획득된 과거 위협 경보 유형들 간의 연결 관계를 실선의 형태로, 상기 대상 위협 경보 유형과 상기 획득된 후보 위협 경보 유형들 간의 연결 관계를 점선의 형태로 디스플레이할 수 있다. 이때, 상기 실선 및 점선은 상관관계가 있을 확률에 따라 굵기가 다르게 표시될 수도 있다.In this case, the display unit 140 may display the connection relationship between the target threat alert type and the acquired past threat alert types differently from the connection relationship between the target threat alert type and the acquired candidate threat alert types. have. For example, the display unit 140 may display a connection relationship between the target threat alert type and the acquired past threat alert types in the form of a solid line, and a connection relationship between the target threat alert type and the acquired candidate threat alert types can be displayed in the form of a dotted line. In this case, the solid line and the dotted line may be displayed with different thicknesses depending on the probability that there is a correlation.

또한, 디스플레이부(140)는 정보 획득부(130)에서 속성 정보를 기준으로 하여 상위 단계로 클러스터링된 대상 위협 경보 유형 및 과거 위협 경보 유형을 디스플레이할 수 있다.In addition, the display unit 140 may display the target threat alert type and the past threat alert type clustered to a higher level based on the attribute information in the information acquisition unit 130 .

디스플레이부(140)는 위협 경보 유형의 상관관계를 위협 연관 관계 그래프 및 위협 경보 현황 중 적어도 하나의 형태로 디스플레이할 수 있다. 위협 연관 관계 그래프는 도 4 내지 도 6과 관련된 설명에서, 위협 경보 현황은 도 7 및 도 8과 관련된 설명에서 후술한다. The display unit 140 may display the correlation of the threat alert type in the form of at least one of a threat correlation graph and a threat alert status. The threat association graph will be described later in the description related to FIGS. 4 to 6 , and the threat alert status will be described later in the description related to FIGS. 7 and 8 .

도 2 및 도 3은 본 발명의 일 실시예에 따른 위협 경보 유형들 간의 연결 관계를 설명하기 위한 도면이다. 2 and 3 are diagrams for explaining a connection relationship between threat alert types according to an embodiment of the present invention.

도 2 및 도 3을 참조하면, 각 위협 경보 유형들이 원형으로 표시되어 있고, 각 원형 안에 위협 경보 유형의 수신/탐지 순서가 기재되어있다. 이하, 대상 위협 경보 유형이 과거 위협 경보 유형과 연결되는 형태 및 대상 위협 경보 유형이 후보 위협 경보 유형과 연결되는 형태에 대해 설명한다. 2 and 3 , each threat alert type is indicated in a circle, and the order of reception/detection of the threat alert type is described in each circle. Hereinafter, a form in which a target threat alert type is connected to a past threat alert type and a form in which a target threat alert type is connected to a candidate threat alert type will be described.

예를 들어, 도 2(a) 및 도 2(b)를 참조하면, 대상 위협 경보 유형'1' 및 '2'가 다른 위협 경보 유형의 후보 위협 경보 유형으로 할당되지 않은 경우, 상기 대상 위협 경보 유형'1' 및 '2'는 다른 위협 경보 유형과 실선의 형태로는 연결되지 않고, 각 대상 위협 경보 유형에 대해 점선의 형태로 후보 위협 경보 유형과만 연결될 수 있다. 일 예로, 대상 위협 경보 유형 '1' 및 '2'의 후보 위협 경보 유형에는, 위협 경보 유형 '3'이 포함될 수 있다. 도 2에서는 후보 위협 경보 유형이 2개인 것으로 도시되어 있으나, 이에 제한되지 않는다. For example, referring to FIGS. 2A and 2B , when target threat alert types '1' and '2' are not assigned as candidate threat alert types of other threat alert types, the target threat alert Types '1' and '2' are not connected with other threat alert types in the form of a solid line, but may only be connected with a candidate threat alert type in the form of a dotted line for each target threat alert type. For example, candidate threat alert types of target threat alert types '1' and '2' may include threat alert type '3'. 2 shows that there are two candidate threat alert types, but is not limited thereto.

또한, 도 2(c)를 참조하면, 대상 위협 경보 유형이 '3'이고, '3'을 후보 위협 경보 유형으로 할당한 과거 위협 경보 유형이 각각 '1' 및 '2'인 경우, 도 2(c)에 도시된 바와 같이, 대상 위협 경보 유형'3'이 과거 위협 경보 유형 '1' 및 '2'와 실선 형태로 연결될 수 있다. 또한, 대상 위협 경보 유형'3'의 후보 위협 경보 유형이 점선으로 연결될 수 있다. 이때, 대상 위협 경보 유형'3'의 후보 위협 경보 유형에는 위협 경보 유형 '4'가 포함될 수 있다. Also, referring to FIG. 2( c ), when the target threat alert type is '3' and the past threat alert types assigned '3' as a candidate threat alert type are '1' and '2', respectively, FIG. 2 As shown in (c), the target threat alert type '3' may be connected to the past threat alert types '1' and '2' in the form of a solid line. Also, candidate threat alert types of target threat alert type '3' may be connected by a dotted line. In this case, the candidate threat alert type of the target threat alert type '3' may include the threat alert type '4'.

또한, 도 3(a)를 참조하면, 대상 위협 경보 유형이 '4'인 경우, '4'를 후보 위협 경보 유형으로 할당한 과거 위협 경보 유형 '3'이 대상 위협 경보 유형 '4'와 실선 형태로 연결될 수 있다. 또한, 도 3(b)를 참조하면, 과거 위협 경보 유형 '4'가 위협 경보 유형 '5'를 후보 위협 경보 유형으로 할당한 경우, 대상 위협 경보 유형 '5'가 입력되면, 과거 위협 경보 유형 '4' 및 대상 위협 경보 유형 '5'가 실선 형태로 연결될 수 있다.Also, referring to FIG. 3( a ), when the target threat alert type is '4', the past threat alert type '3', which assigned '4' as a candidate threat alert type, is the target threat alert type '4' and a solid line. form can be connected. Also, referring to FIG. 3(b) , when a threat alert type '5' is assigned to a threat alert type '5' as a candidate threat alert type in the past threat alert type '4', if a target threat alert type '5' is input, the past threat alert type A '4' and a target threat alert type '5' may be connected in the form of a solid line.

따라서, 도 2 및 도 3에 도시된 바와 같이, 현재 발생한 위협 경보 유형 이전에 발생했던 과거 위협 경보 유형이 실선으로 연결되고, 현재 발생한 위협 경보 유형 다음에 발생할 후보 위협 경보 유형이 점선으로 연결되어 디스플레이될 경우, 현재까지 공격자가 수행한 공격 흐름이 한눈에 분석될 수 있어, 관리자가 향후 공격의 진행 단계 및 방향을 예측하는데 효과적일 수 있다.Therefore, as shown in FIGS. 2 and 3 , the past threat alert types that occurred before the currently generated threat alert type are connected with a solid line, and the candidate threat alert type that will occur after the currently generated threat alert type is displayed with a dotted line. In this case, the attack flow performed by the attacker so far can be analyzed at a glance, and it can be effective for administrators to predict the stage and direction of the attack in the future.

도 4 내지 도 6은 본 발명의 일 실시예에 따른 위협 연관 관계 그래프가 디스플레이되는 형태를 설명하기 위한 도면이다. 이하 도 4 내지 도 6의 속성 1 내지 속성 3은, 위협 경보 유형의 속성 정보로서, 상기 속성 정보는 위협 분류 체계 중 킬체인 단계에서의 분류 기준일 수 있다. 예를 들어, 상기 속성 정보는 정찰, 침투, 거점 장악, 목표 달성 및 공격 지원 중 적어도 하나일 수 있다. 또한, 도 4 내지 도 6에는 속성이 3개인 것으로 도시되어있으나, 이에 제한되지 않는다. 4 to 6 are diagrams for explaining a display form of a threat association graph according to an embodiment of the present invention. Hereinafter, attributes 1 to 3 of FIGS. 4 to 6 are threat alert type attribute information, and the attribute information may be a classification criterion in the kill chain stage of the threat classification system. For example, the attribute information may be at least one of reconnaissance, infiltration, base capture, goal achievement, and attack support. In addition, although it is illustrated that there are three attributes in FIGS. 4 to 6 , the present invention is not limited thereto.

도 4에는 경보 단계의 위협 연관 관계 그래프가 도시되어 있다. 구체적으로, 각 위협 경보는 속성 정보(예: 속성 1, 속성 2 및 속성 3)에 따라 다른 색으로 구분되어있으며, 상관 관계가 있는 위협 경보가 실선의 형태로 연결되어 디스플레이될 수 있다.4 shows a threat correlation graph of the alert stage. Specifically, each threat alert is divided into different colors according to attribute information (eg, attribute 1, attribute 2, and attribute 3), and correlated threat alerts may be connected and displayed in the form of a solid line.

예를 들어, 도 4를 참조하면, 속성 3을 갖는 위협 경보 '109'가, 속성 1을 갖는 위협 경보 '116'과 상관 관계가 존재하여 실선의 형태로 연결될 수 있다. 또한, 속성 1을 갖는 위협 경보 '116'이 속성 2를 갖는 위협 경보 '117'과 상관 관계가 존재하여 실선의 형태로 연결될 수 있다.For example, referring to FIG. 4 , threat alert '109' having attribute 3 may be correlated with threat alert '116' having attribute 1 to be connected in the form of a solid line. Also, the threat alert '116' having the attribute 1 has a correlation with the threat alert '117' having the attribute 2, and thus may be connected in the form of a solid line.

도 5 및 도 6은 위협 연관 관계 그래프로서, 복수의 위협 경보 유형들이 상관관계에 기초하여 연결되어있고, 속성 정보(예: 속성 1, 속성 2 및 속성 3)에 따라 다른 색으로 구분되어있다. 이때, 도 5는 '단계 1'의 위협 연관 관계 그래프로, 도 6에 도시된 '단계 2'의 위협 경보 유형들이 클러스터링된 상위 단계의 위협 연관 관계 그래프일 수 있다. 즉, 도 6에 도시된 위협 경보 유형들은, 각 위협 경보 유형들의 속성 정보에 따라 상위 단계로 클러스터링되어 도 5와 같이 디스플레이될 수 있다. 도 5 및 도 6에는 단계가 2개인 것으로 도시되어있으나, 반드시 이에 제한되는 것은 아니다.5 and 6 are threat correlation graphs, in which a plurality of threat alert types are connected based on correlation, and are divided into different colors according to attribute information (eg, attribute 1, attribute 2, and attribute 3). In this case, FIG. 5 is a threat association graph of 'step 1', and may be a threat association graph of an upper stage in which the threat alert types of 'step 2' shown in FIG. 6 are clustered. That is, the threat alert types shown in FIG. 6 may be clustered to a higher level according to attribute information of each threat alert type and displayed as shown in FIG. 5 . Although it is illustrated that there are two steps in FIGS. 5 and 6 , the present invention is not limited thereto.

일 예로, 단계 1은 위협 분류 체계 중 '전술'단계일 수 있으며, 단계 2는 위협 분류 체계 중 '행동'단계일 수 있으나, 반드시 이에 한정되는 것은 아니다. For example, step 1 may be a 'tactical' step in the threat classification system, and step 2 may be a 'action' stage in the threat classification system, but is not limited thereto.

또한, 도 5에 도시된 각 위협 경보 유형(예: 유형 1 내지 7)은 단계 1(예: 전술 단계)에 해당하는 위협 경보 유형일 수 있다. 예를 들어, 유형 1 내지 유형 7은 권한 상승, 내부 정찰, 실행, 명령제어 통신, 정보 유출, 정보 수집, 방어 회피, 자산 정보 수집 중 적어도 하나일 수 있다.In addition, each threat alert type (eg, types 1 to 7) illustrated in FIG. 5 may be a threat alert type corresponding to step 1 (eg, tactical stage). For example, types 1 to 7 may be at least one of privilege elevation, internal reconnaissance, execution, command control communication, information leakage, information collection, defense evasion, and asset information collection.

또한, 도 6에 도시된 각 위협 경보 유형(예: 유형 8 내지 16)은 단계 2(예: 행동 단계)에 해당하는 위협 경보 유형일 수 있다. 예를 들어, 유형 8 내지 유형 16은 취약한 접근제어 익스플로잇, 데이터 압축, 명령제어 통신, 원격 서비스 이용, 로컬 시스템에서 수집, OS/소프트웨어 정보 발견, 취약점 익스플로잇 중 적어도 하나일 수 있다.In addition, each threat alert type (eg, types 8 to 16) illustrated in FIG. 6 may be a threat alert type corresponding to stage 2 (eg, action stage). For example, types 8 to 16 may be at least one of a weak access control exploit, data compression, command control communication, remote service use, collection from a local system, OS/software information discovery, and vulnerability exploitation.

이때, 상기 도 5 및 도 6에는 위협 경보 유형이 16개인 것으로 도시되어있으나, 이에 제한되지 않는다.In this case, although 16 types of threat alerts are illustrated in FIGS. 5 and 6 , the present invention is not limited thereto.

따라서, 본 발명의 일 실시예에 따르면, 현재 발생한 위협 경보 유형 이전에 발생했던 과거 위협 경보 유형이 실선으로 연결되고, 각 위협 경보 유형의 속성 정보가 표시되므로, 관리자가 공격 맥락을 쉽게 파악할 수 있는 효과가 있다. 또한, 도 5에 도시된 바와 같이, 각 위협 경보 유형이 상위 단계로 클러스터링된 결과가 디스플레이 됨에 따라, 관리자가 시나리오 기반으로 다단계 공격을 분석 가능하여 현재 공격의 공격 맥락을 파악하고, 이를 효과적으로 대응할 수 있다.Therefore, according to an embodiment of the present invention, past threat alert types that occurred before the current threat alert type are connected by a solid line and attribute information of each threat alert type is displayed, so that an administrator can easily understand the attack context. It works. In addition, as shown in FIG. 5 , as the result of clustering each threat alert type to a higher level is displayed, the administrator can analyze a multi-level attack based on a scenario, understand the attack context of the current attack, and effectively respond to it. have.

도 7 및 도 8은 본 발명의 일 실시예에 따른 위협 연관 경보 현황이 디스플레이되는 형태를 설명하기 위한 도면이다.7 and 8 are diagrams for explaining a display form of a threat-related alert status according to an embodiment of the present invention.

도 7은 위협 경보 현황이 킬체인 뷰로 도시된 형태이고, 도 8은 위협 경보 현황이 타임라인 뷰 형태로 도시된 형태이다.FIG. 7 shows the threat alert status in a kill chain view, and FIG. 8 shows the threat alert status in a timeline view.

킬체인 뷰는, 분류 기준인 속성 정보에 따라 각 위협 경보 유형을 분류한 것일 수 있다. 예를 들어, 상기 속성 정보는 정찰, 침투, 거점 장악, 목표 달성 및 공격 지원 중 적어도 하나일 수 있다. 구체적으로, 도 7을 참조하면, 각 속성 정보(예: 속성 1 내지 3)에 따라 위협 경보 유형들이 분류되어있고, 각 위협 경보 유형의 상관관계가 실선 및/또는 점선의 형태로 연결되어있다.The kill chain view may be a classification of each threat alert type according to attribute information as a classification criterion. For example, the attribute information may be at least one of reconnaissance, infiltration, base capture, goal achievement, and attack support. Specifically, referring to FIG. 7 , threat alert types are classified according to each attribute information (eg, attributes 1 to 3), and a correlation between each threat alert type is connected in the form of a solid line and/or a dotted line.

이때, 킬체인 뷰에서는 특정한 위협 경보 유형이 선택된 경우, 상기 위협 경보 유형이 할당한 후보 위협 경보 유형이 점선의 형태로 연결되어 디스플레이될 수 있다.In this case, when a specific threat alert type is selected in the kill chain view, the candidate threat alert types assigned by the threat alert type may be connected and displayed in the form of a dotted line.

또한, 상관관계가 있는 위협 경보 유형끼리는 실선의 형태로 연결되어 디스플레이될 수 있다.Also, the threat alert types that are correlated may be connected and displayed in the form of a solid line.

예를 들어, 도 7을 참조하면, 위협 경보 유형 '6'이 선택된 경우, 상기 위협 경보 유형'6'이 할당한 후보 위협 경보 유형 '1' 및 '8'이 위협 경보 유형 '6'과 점선의 형태로 연결되어 디스플레이될 수 있다. 또한, 위협 경보 유형 '6'을 후보 위협 경보 유형으로 할당한 과거 위협 경보 유형 '2', '4' 및 '5'가 위협 경보 유형 '6'과 실선의 형태로 연결되어 디스플레이될 수 있다.For example, referring to FIG. 7 , when the threat alert type '6' is selected, the candidate threat alert types '1' and '8' allocated by the threat alert type '6' are separated from the threat alert type '6' by a dotted line. It can be connected and displayed in the form of In addition, past threat alert types '2', '4' and '5' in which the threat alert type '6' is assigned as the candidate threat alert type may be displayed in connection with the threat alert type '6' in the form of a solid line.

또한, 도시되지 않았으나, 킬체인 뷰 또한 상술한 도 5 및 도 6에서와 마찬가지로, 속성 정보를 기준으로 적어도 하나 이상의 단계로 클러스터링되어 디스플레이될 수 있다.Also, although not shown, the kill chain view may also be clustered and displayed in at least one step based on attribute information, as in FIGS. 5 and 6 described above.

타임라인 뷰는, 각 위협 경보 유형이 시간 순서에 따라 디스플레이된 형태일 수 있다. 예를 들어, 도 8을 참조하면, '2020-03-05 00:42:24'에 발생/탐지된 위협 경보 유형 '6'이, '2020-03-05 00:42:24'에 발생/탐지된 위협 경보 유형 '5'와 상관관계가 존재하여 실선 형태로 연결되어 있다. In the timeline view, each threat alert type may be displayed in chronological order. For example, referring to FIG. 8 , threat alert type '6' generated/detected at '2020-03-05 00:42:24' occurs/at '2020-03-05 00:42:24' There is a correlation with the detected threat alert type '5' and is connected in the form of a solid line.

도 9는 본 발명의 일 실시예에 따른 위협 경보 유형 디스플레이 방법을 설명하기 위한 도면이다.9 is a diagram for explaining a method for displaying a threat alert type according to an embodiment of the present invention.

본 발명의 일 실시예에 따른 위협 경보 유형 디스플레이 장치는, 기 발생된 복수 개의 과거 위협 경보 유형 및 상기 복수 개의 과거 위협 경보 유형 각각에 대해 그 이후에 발생 가능성이 있는 후보 위협 경보 유형에 대한 정보를 데이터베이스에 저장할 수 있다(S901). 그러나, 상기 S901 단계는 위협 경보 유형 디스플레이 방법의 수행 이전에 미리 수행되어있을 수 있다. The threat alert type display device according to an embodiment of the present invention provides information on a plurality of previously generated past threat alert types and a candidate threat alert type that is likely to occur thereafter for each of the plurality of past threat alert types. It can be stored in the database (S901). However, the step S901 may be previously performed before the execution of the threat alert type display method.

또한, 위협 경보 유형 디스플레이 장치는, 분석 대상인 대상 위협 경보 유형을 입력받을 수 있다(S902). Also, the threat alert type display device may receive a target threat alert type to be analyzed (S902).

또한, 위협 경보 유형 디스플레이 장치는, 복수 개의 과거 위협 경보 유형 중에서 상기 대상 위협 경보 유형이 상기 후보 위협 경보 유형에 할당되어 있는 과거 위협 경보 유형을 획득할 수 있다(S903). Also, the device for displaying a threat alert type may acquire a past threat alert type in which the target threat alert type is assigned to the candidate threat alert type from among a plurality of past threat alert types ( S903 ).

이때, 상기 S903 단계는, 상기 대상 위협 경보 유형 이후에 발생 가능성이 있는 후보 위협 경보 유형을 상기 데이터베이스로부터 획득하는 단계를 포함할 수 있다.In this case, the step S903 may include acquiring a candidate threat alert type that is likely to occur after the target threat alert type from the database.

또한, 상기 S903 단계는, 대상 위협 경보 유형 및 획득된 과거 위협 경보 유형에 대한 속성 정보를 상기 데이터베이스로부터 획득하여 클러스터링(clustering)하는 단계를 포함할 수 있다.In addition, the step S903 may include clustering by acquiring the target threat alert type and attribute information on the acquired past threat alert type from the database.

또한, 위협 경보 유형 디스플레이 장치는, 상기 대상 위협 경보 유형을 중심으로, 상기 획득된 과거 위협 경보 유형을 상기 대상 위협 경보 유형에 연결해서 디스플레이할 수 있다(S904). In addition, the threat alert type display device may display the acquired past threat alert type with the target threat alert type as the center of the target threat alert type ( S904 ).

이때, 상기 S904 단계는, 상기 대상 위협 경보 유형에 상기 획득된 후보 위협 경보 유형을 추가적으로 연결해서 디스플레이하는 단계를 포함할 수 있다. In this case, the step S904 may include displaying the obtained candidate threat alert type by additionally connecting to the target threat alert type.

또한, 상기 S904 단계는, 상기 대상 위협 경보 유형과 상기 획득된 과거 위협 경보 유형들 간의 연결 관계를, 상기 대상 위협 경보 유형과 상기 획득된 후보 위협 경보 유형들 간의 연결 관계와 상이하게 디스플레이할 수 있다.In addition, in step S904, the connection relationship between the target threat alert type and the acquired past threat alert types may be displayed differently from the connection relationship between the target threat alert type and the acquired candidate threat alert types. .

또한, 상기 S904 단계는, 상기 클러스터링된 결과에 기초하여, 상기 대상 위협 경보 유형 및 상기 획득된 과거 위협 경보 유형을 디스플레이하는 단계를 포함할 수 있다.In addition, the step S904 may include displaying the target threat alert type and the acquired past threat alert type based on the clustered result.

본 명세서에 첨부된 블록도의 각 블록과 흐름도의 각 단계의 조합들은 컴퓨터 프로그램 인스트럭션들에 의해 수행될 수도 있다. 이들 컴퓨터 프로그램 인스트럭션들은 범용 컴퓨터, 특수용 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서에 탑재될 수 있으므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서를 통해 수행되는 그 인스트럭션들이 블록도의 각 블록 또는 흐름도의 각 단계에서 설명된 기능들을 수행하는 수단을 생성하게 된다. 이들 컴퓨터 프로그램 인스트럭션들은 특정 방식으로 기능을 구현하기 위해 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 지향할 수 있는 컴퓨터 이용 가능 또는 컴퓨터 판독 가능 메모리에 저장되는 것도 가능하므로, 그 컴퓨터 이용가능 또는 컴퓨터 판독 가능 메모리에 저장된 인스트럭션들은 블록도의 각 블록 또는 흐름도 각 단계에서 설명된 기능을 수행하는 인스트럭션 수단을 내포하는 제조 품목을 생산하는 것도 가능하다. 컴퓨터 프로그램 인스트럭션들은 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에 탑재되는 것도 가능하므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에서 일련의 동작 단계들이 수행되어 컴퓨터로 실행되는 프로세스를 생성해서 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 수행하는 인스트럭션들은 블록도의 각 블록 및 흐름도의 각 단계에서 설명된 기능들을 실행하기 위한 단계들을 제공하는 것도 가능하다.Combinations of each block in the block diagram attached to this specification and each step in the flowchart may be performed by computer program instructions. These computer program instructions may be embodied in a processor of a general-purpose computer, special-purpose computer, or other programmable data processing equipment, such that the instructions executed by the processor of the computer or other programmable data processing equipment correspond to each block in the block diagram or in the flowchart. Each step creates a means for performing the described functions. These computer program instructions may also be stored in a computer-usable or computer-readable memory that may direct a computer or other programmable data processing equipment to implement a function in a particular manner, and thus the computer-usable or computer-readable memory. The instructions stored in the block diagram may produce an article of manufacture containing instruction means for performing the functions described in each block in the block diagram or in each step in the flowchart. The computer program instructions may also be mounted on a computer or other programmable data processing equipment, such that a series of operational steps are performed on the computer or other programmable data processing equipment to create a computer-executed process to create a computer or other programmable data processing equipment. It is also possible that instructions for performing the processing equipment provide steps for performing the functions described in each block of the block diagram and each step of the flowchart.

또한, 각 블록 또는 각 단계는 특정된 논리적 기능(들)을 실행하기 위한 하나 이상의 실행 가능한 인스트럭션들을 포함하는 모듈, 세그먼트 또는 코드의 일부를 나타낼 수 있다. 또, 몇 가지 대체 실시예들에서는 블록들 또는 단계들에서 언급된 기능들이 순서를 벗어나서 발생하는 것도 가능함을 주목해야 한다. 예컨대, 잇달아 도시되어 있는 두 개의 블록들 또는 단계들은 사실 실질적으로 동시에 수행되는 것도 가능하고 또는 그 블록들 또는 단계들이 때때로 해당하는 기능에 따라 역순으로 수행되는 것도 가능하다.Further, each block or each step may represent a module, segment, or portion of code that includes one or more executable instructions for executing the specified logical function(s). It should also be noted that in some alternative embodiments it is also possible for the functions recited in blocks or steps to occur out of order. For example, it is possible that two blocks or steps shown one after another may in fact be performed substantially simultaneously, or that the blocks or steps may sometimes be performed in the reverse order according to the corresponding function.

이상의 설명은 본 발명의 기술 사상을 예시적으로 설명한 것에 불과한 것으로서, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 발명의 본질적인 품질에서 벗어나지 않는 범위에서 다양한 수정 및 변형이 가능할 것이다. 따라서, 본 명세서에 개시된 실시예들은 본 발명의 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시예에 의하여 본 발명의 기술 사상의 범위가 한정되는 것은 아니다. 본 발명의 보호 범위는 아래의 청구범위에 의하여 해석되어야 하며, 그와 균등한 범위 내에 있는 모든 기술사상은 본 발명의 권리범위에 포함되는 것으로 해석되어야 할 것이다.The above description is merely illustrative of the technical idea of the present invention, and various modifications and variations will be possible without departing from the essential quality of the present invention by those skilled in the art to which the present invention pertains. Accordingly, the embodiments disclosed in the present specification are for explanation rather than limiting the technical spirit of the present invention, and the scope of the technical spirit of the present invention is not limited by these embodiments. The protection scope of the present invention should be construed by the following claims, and all technical ideas within the scope equivalent thereto should be construed as being included in the scope of the present invention.

100: 위협 경보 유형 디스플레이 장치
110: 데이터베이스
120: 입력부
130: 정보획득부
140: 디스플레이부100: threat alert type display device
110: database
120: input unit
130: Information Acquisition Department
140: display unit

Claims (12)

위협 경보 유형 디스플레이 장치에 있어서,
기 발생된 복수 개의 과거 위협 경보 유형 및 상기 복수 개의 과거 위협 경보 유형 각각에 대해 그 이후에 발생 가능성이 있는 후보 위협 경보 유형에 대한 정보를 저장하는 데이터베이스;
분석 대상인 대상 위협 경보 유형을 입력받는 입력부;
상기 복수 개의 과거 위협 경보 유형 중에서 상기 대상 위협 경보 유형이 상기 후보 위협 경보 유형에 할당되어 있는 과거 위협 경보 유형을 획득하는 정보 획득부; 및
상기 대상 위협 경보 유형을 중심으로, 상기 획득된 과거 위협 경보 유형을 상기 대상 위협 경보 유형에 연결해서 디스플레이하는 디스플레이부를 포함하며,
상기 데이터베이스에는,
상기 복수 개의 과거 위협 경보 유형 각각에 대한 속성 정보가 추가적으로 저장되어 있고,
상기 정보 획득부는,
상기 대상 위협 경보 유형 이후에 발생 가능성이 있는 후보 위협 경보 유형을 상기 데이터베이스로부터 추가적으로 획득하고, 상기 대상 위협 경보 유형 및 상기 획득된 과거 위협 경보 유형에 대한 속성 정보를 상기 데이터베이스로부터 획득하여 클러스터링(clustering)하며,
상기 디스플레이부는,
상기 대상 위협 경보 유형에 상기 획득된 후보 위협 경보 유형을 추가적으로 연결해서 디스플레이하고, 상기 대상 위협 경보 유형과 상기 획득된 과거 위협 경보 유형들 간의 연결 관계를, 상기 대상 위협 경보 유형과 상기 획득된 후보 위협 경보 유형들 간의 연결 관계와 상이하게 디스플레이하며, 상기 클러스터링된 결과에 기초하여, 상기 대상 위협 경보 유형 및 상기 획득된 과거 위협 경보 유형을 디스플레이하고, 상기 속성 정보에 따라 각 위협 경보 유형을 분류한 위협 경보 현황을 킬체인 뷰 형태 또는 타임라인 뷰 형태로 디스플레이하며,
상기 킬체인 뷰 형태에서는, 특정한 위협 경보 유형이 선택된 경우 상기 위협 경보 유형이 할당한 후보 위협 경보 유형에 대한 선 연결 상태와 상관관계가 있는 위협 경보 유형끼리의 선 연결 상태가 서로 다르게 디스플레이되고,
상기 타임라인 뷰 형태에서는, 각 위협 경보 유형이 시간 순서에 따라 디스플레이되는
위협 경보 유형 디스플레이 장치.A threat alert type display device comprising:
a database for storing information on a plurality of previously generated past threat alert types and a candidate threat alert type that is likely to occur thereafter for each of the plurality of past threat alert types;
an input unit receiving an input of a target threat alert type to be analyzed;
an information acquisition unit configured to acquire a past threat alert type in which the target threat alert type is assigned to the candidate threat alert type from among the plurality of past threat alert types; and
and a display unit for displaying the acquired past threat alert type, centered on the target threat alert type, connected to the target threat alert type,
In the database,
Attribute information for each of the plurality of past threat alert types is additionally stored,
The information acquisition unit,
A candidate threat alert type that is likely to occur after the target threat alert type is additionally acquired from the database, and attribute information about the target threat alert type and the acquired past threat alert type is acquired from the database, and clustering is performed. and
The display unit,
The target threat alert type is additionally connected to the acquired candidate threat alert type and displayed, and a connection relationship between the target threat alert type and the acquired past threat alert types is determined by the target threat alert type and the acquired candidate threat. A threat that displays differently from the connection relationship between alert types, displays the target threat alert type and the acquired past threat alert type based on the clustered result, and classifies each threat alert type according to the attribute information Displays the alarm status in the form of a kill chain view or a timeline view,
In the form of the kill chain view, when a specific threat alert type is selected, the line connection status between the threat alert types correlated with the line connection status for the candidate threat alert type assigned by the threat alert type is displayed differently;
In the timeline view form, each threat alert type is displayed in chronological order.
Threat alert type display device. 삭제delete 삭제delete 제1항에 있어서,
상기 데이터베이스에는,
상기 복수 개의 과거 위협 경보 유형 각각에 대해 그 이후에 발생 가능성이 있는 후보 위협 경보 유형에 대한 발생 가능성이 확률로서 저장되어 있는
위협 경보 유형 디스플레이 장치.According to claim 1,
In the database,
For each of the plurality of past threat alert types, the probability of occurrence of a candidate threat alert type that is likely to occur thereafter is stored as a probability.
Threat alert type display device. 제1항에 있어서,
상기 데이터베이스에는,
상기 복수 개의 과거 위협 경보 유형 각각에 대해 그 이후에 발생 가능성이 있는 후보 위협 경보 유형에 대한 발생 조건이 추가적으로 저장되어 있는
위협 경보 유형 디스플레이 장치.According to claim 1,
In the database,
For each of the plurality of past threat alert types, an occurrence condition for a candidate threat alert type that is likely to occur thereafter is additionally stored.
Threat alert type display device. 삭제delete 위협 경보 유형 디스플레이 장치에 의해 수행되는 위협 경보 유형 디스플레이 방법으로서,
기 발생된 복수 개의 과거 위협 경보 유형 및 상기 복수 개의 과거 위협 경보 유형 각각에 대해 그 이후에 발생 가능성이 있는 후보 위협 경보 유형에 대한 정보를 데이터베이스에 저장하는 단계;
분석 대상인 대상 위협 경보 유형을 입력받는 단계;
상기 복수 개의 과거 위협 경보 유형 중에서 상기 대상 위협 경보 유형이 상기 후보 위협 경보 유형에 할당되어 있는 과거 위협 경보 유형을 획득하는 단계; 및
상기 대상 위협 경보 유형을 중심으로, 상기 획득된 과거 위협 경보 유형을 상기 대상 위협 경보 유형에 연결해서 디스플레이하는 단계를 포함하고,
상기 데이터베이스에는,
상기 복수 개의 과거 위협 경보 유형 각각에 대한 속성 정보가 추가적으로 저장되어 있고,
상기 획득하는 단계는,
상기 대상 위협 경보 유형 이후에 발생 가능성이 있는 후보 위협 경보 유형을 상기 데이터베이스로부터 획득하는 단계, 그리고 상기 대상 위협 경보 유형 및 상기 획득된 과거 위협 경보 유형에 대한 속성 정보를 상기 데이터베이스로부터 획득하여 클러스터링(clustering)하는 단계를 포함하고,
상기 디스플레이하는 단계는,
상기 대상 위협 경보 유형에 상기 획득된 후보 위협 경보 유형을 추가적으로 연결해서 디스플레이하는 단계, 그리고 상기 대상 위협 경보 유형과 상기 획득된 과거 위협 경보 유형들 간의 연결 관계를, 상기 대상 위협 경보 유형과 상기 획득된 후보 위협 경보 유형들 간의 연결 관계와 상이하게 디스플레이하는 단계, 상기 클러스터링된 결과에 기초하여, 상기 대상 위협 경보 유형 및 상기 획득된 과거 위협 경보 유형을 디스플레이하는 단계, 그리고 상기 속성 정보에 따라 각 위협 경보 유형을 분류한 위협 경보 현황을 킬체인 뷰 형태 또는 타임라인 뷰 형태로 디스플레이하는 단계를 포함하며,
상기 킬체인 뷰 형태에서는, 특정한 위협 경보 유형이 선택된 경우 상기 위협 경보 유형이 할당한 후보 위협 경보 유형에 대한 선 연결 상태와 상관관계가 있는 위협 경보 유형끼리의 선 연결 상태가 서로 다르게 디스플레이되고,
상기 타임라인 뷰 형태에서는, 각 위협 경보 유형이 시간 순서에 따라 디스플레이되는
위협 경보 유형 디스플레이 방법.A method for displaying a threat alert type performed by a threat alert type display device, the method comprising:
storing, in a database, information on a plurality of previously generated past threat alert types and candidate threat alert types that are likely to occur thereafter for each of the plurality of past threat alert types;
receiving a target threat alert type to be analyzed;
acquiring a past threat alert type in which the target threat alert type is assigned to the candidate threat alert type from among the plurality of past threat alert types; and
centering on the target threat alert type, and displaying the acquired past threat alert type in connection with the target threat alert type,
In the database,
Attribute information for each of the plurality of past threat alert types is additionally stored,
The obtaining step is
acquiring a candidate threat alert type that is likely to occur after the target threat alert type from the database, and acquiring attribute information about the target threat alert type and the acquired past threat alert type from the database for clustering ) comprising the step of
The displaying step is
additionally connecting and displaying the acquired candidate threat alert type to the target threat alert type, and establishing a connection relationship between the target threat alert type and the acquired past threat alert types, the target threat alert type and the acquired Displaying differently from the connection relationship between candidate threat alert types, displaying the target threat alert type and the acquired past threat alert type based on the clustered result, and each threat alert according to the attribute information Displaying the threat alert status classified by type in the form of a kill chain view or a timeline view,
In the form of the kill chain view, when a specific threat alert type is selected, the line connection status between the threat alert types correlated with the line connection status for the candidate threat alert type assigned by the threat alert type is displayed differently;
In the timeline view form, each threat alert type is displayed in chronological order.
How to display threat alert types. 삭제delete 삭제delete 제7항에 있어서,
상기 데이터베이스에는,
상기 복수 개의 과거 위협 경보 유형 각각에 대해 그 이후에 발생 가능성이 있는 후보 위협 경보 유형에 대한 발생 가능성이 확률로서 저장되어 있는
위협 경보 유형 디스플레이 방법.8. The method of claim 7,
In the database,
For each of the plurality of past threat alert types, the probability of occurrence of a candidate threat alert type that is likely to occur thereafter is stored as a probability.
How to display threat alert types. 제7항에 있어서,
상기 데이터베이스에는,
상기 복수 개의 과거 위협 경보 유형 각각에 대해 그 이후에 발생 가능성이 있는 후보 위협 경보 유형에 대한 발생 조건이 추가적으로 저장되어 있는
위협 경보 유형 디스플레이 방법.8. The method of claim 7,
In the database,
For each of the plurality of past threat alert types, an occurrence condition for a candidate threat alert type that is likely to occur thereafter is additionally stored.
How to display threat alert types. 삭제delete
KR1020200107908A 2020-08-26 2020-08-26 Method and apparatus for displaying threat alert type KR102443486B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020200107908A KR102443486B1 (en) 2020-08-26 2020-08-26 Method and apparatus for displaying threat alert type

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020200107908A KR102443486B1 (en) 2020-08-26 2020-08-26 Method and apparatus for displaying threat alert type

Publications (2)

Publication Number Publication Date
KR20220026858A KR20220026858A (en) 2022-03-07
KR102443486B1 true KR102443486B1 (en) 2022-09-15

Family

ID=80817792

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020200107908A KR102443486B1 (en) 2020-08-26 2020-08-26 Method and apparatus for displaying threat alert type

Country Status (1)

Country Link
KR (1) KR102443486B1 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117118687A (en) * 2023-08-10 2023-11-24 国网冀北电力有限公司张家口供电公司 Multi-stage attack dynamic detection system based on unsupervised learning

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20150091775A (en) * 2014-02-04 2015-08-12 한국전자통신연구원 Method and System of Network Traffic Analysis for Anomalous Behavior Detection

Also Published As

Publication number Publication date
KR20220026858A (en) 2022-03-07

Similar Documents

Publication Publication Date Title
US10601848B1 (en) Cyber-security system and method for weak indicator detection and correlation to generate strong indicators
US9369484B1 (en) Dynamic security hardening of security critical functions
Giacobe Application of the JDL data fusion process model for cyber security
Cho et al. Cyber kill chain based threat taxonomy and its application on cyber common operational picture
Liao et al. Network forensics based on fuzzy logic and expert system
US20050021683A1 (en) Method and apparatus for correlating network activity through visualizing network data
US20230012220A1 (en) Method for determining likely malicious behavior based on abnormal behavior pattern comparison
US10178109B1 (en) Discovery of groupings of security alert types and corresponding complex multipart attacks, from analysis of massive security telemetry
Nijim et al. FastDetict: A data mining engine for predecting and preventing DDoS attacks
EP4111660B1 (en) Cyberattack identification in a network environment
Sumanth et al. Raspberry Pi based intrusion detection system using k-means clustering algorithm
KR102443486B1 (en) Method and apparatus for displaying threat alert type
Repetto Adaptive monitoring, detection, and response for agile digital service chains
CN117319090A (en) Intelligent network safety protection system
Jaiganesh et al. An efficient algorithm for network intrusion detection system
CN110430199B (en) Method and system for identifying internet of things botnet attack source
Haseeb et al. Iot attacks: Features identification and clustering
CN113132335A (en) Virtual transformation system and method, network security system and method
Benzekri et al. Dynamic security management driven by situations: An exploratory analysis of logs for the identification of security situations
Roponena et al. Towards a Human-in-the-Loop Intelligent Intrusion Detection System.
KR101518233B1 (en) Security Apparatus for Threats Detection in the Enterprise Internal Computation Environment
CN116170167A (en) Network security monitoring method and device, electronic equipment and storage medium
Khoa et al. Sdn-based cyber deception deployment for proactive defense strategy using honey of things and cyber threat intelligence
Naaz et al. Enhancement of network security through intrusion detection
Vaid et al. Intrusion detection system in software defined network using machine learning approach-survey

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right