KR102468156B1 - Apparatus, method, computer-readable storage medium and computer program for calculating priority of targets in response to cyber threats - Google Patents
Apparatus, method, computer-readable storage medium and computer program for calculating priority of targets in response to cyber threats Download PDFInfo
- Publication number
- KR102468156B1 KR102468156B1 KR1020220079753A KR20220079753A KR102468156B1 KR 102468156 B1 KR102468156 B1 KR 102468156B1 KR 1020220079753 A KR1020220079753 A KR 1020220079753A KR 20220079753 A KR20220079753 A KR 20220079753A KR 102468156 B1 KR102468156 B1 KR 102468156B1
- Authority
- KR
- South Korea
- Prior art keywords
- target
- cyber
- asset
- index
- information
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/901—Indexing; Data structures therefor; Storage structures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/906—Clustering; Classification
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- Data Mining & Analysis (AREA)
- Computing Systems (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
Description
본 발명은 사이버 위협 대응 대상 우선순위 산출 장치, 방법, 컴퓨터 판독 가능한 기록 매체 및 컴퓨터 프로그램에 관한 것으로, 더욱 상세하게는 사이버 자산에 관한 위협 대응 우선순위 정보를 제공함으로써 사이버 자산의 피해를 예방하는 데에 도움이 되는 사이버 위협 대응 대상 우선순위 산출 장치, 방법, 컴퓨터 판독 가능한 기록 매체 및 컴퓨터 프로그램에 관한 것이다.The present invention relates to an apparatus, method, computer readable recording medium, and computer program for calculating cyber threat response target priority, and more particularly, to prevent damage to cyber assets by providing threat response priority information on cyber assets. It relates to a device, method, computer readable recording medium, and computer program for calculating priorities of cyber threat countermeasures that are helpful for
현대는 정보 기술이 계속해서 발전함에 따라, 컴퓨터 시스템들은 많은 보안 위협들(security threats) 및 취약점들에 빠지기 쉽다. 더군다나 시스템 관리자들에게 새로운 취약점에 대한 정보를 수집하고 유지 보수해야 하는 과중한 부담이 지워질 수 있을 뿐만 아니라, 시스템 관리자들은 어떤 패치들이 어떤 시스템들에 적용되어야 하는지를 판정하는 작업과 씨름해야 할 수도 있다.As information technology continues to develop in modern times, computer systems are susceptible to many security threats and vulnerabilities. What's more, not only can system administrators be burdened with collecting and maintaining information about new vulnerabilities, but they may also have to grapple with determining which patches should be applied to which systems.
따라서 사이버 시스템에서는 여러 종류의 보안장비에서 발생하는 정보를 취합하고, 사이버 공격을 탐지 및 발생한 공격에 대해 대응하고, 위협에 대한 분석을 통해서 위협이 발생된 원인 등을 찾아내는 업무를 효율적으로 수행할 필요성이 있다.Therefore, in the cyber system, it is necessary to efficiently perform tasks such as collecting information generated from various types of security devices, detecting cyber attacks, responding to occurred attacks, and finding the cause of threats through threat analysis. there is
또한, 모든 사이버 자산은 임무가 있고, 임무 달성을 위해 자산과 자산을 구성하는 구성품이 서로 연계되어서 동작한다. 특히, 현대전은 사이버전이라고 표현될 만큼 사이버 위협에 대한 문제가 매우 중요하고, 군 사이버 운용 환경에서 적의 공격으로부터 군 사이버 시스템을 보호하고, 대응방책을 수립하는 것은 국가가 적으로부터 국민을 보호하기 위한 가장 중요한 일부분이 되었다.In addition, all cyber assets have missions, and assets and components constituting assets operate in conjunction with each other to achieve missions. In particular, in modern warfare, the issue of cyber threats is very important to the extent that it is expressed as cyber warfare. became the most important part.
따라서, 많은 수의 사이버 자산과 이에 연관된 응용 서비스들의 규모가 방대해짐에 따라 위협 대응 대상 우선순위를 분석하여, 사이버 자산의 피해를 예방하는 기술을 필요로 한다. Therefore, as the scale of a large number of cyber assets and related application services increases, a technique for preventing damage to cyber assets by analyzing the priority of a threat response target is required.
따라서, 본 발명은 상술한 바와 같은 문제점을 해결하기 위하여 제안된 것으로, 사이버 자산에 관한 위협 대응 우선순위 정보를 제공함으로써 사이버 자산의 피해를 예방하는 데에 도움이 되는 사이버 위협 대응 대상 우선순위 산출 장치, 방법, 컴퓨터 판독 가능한 기록 매체 및 컴퓨터 프로그램을 제공하는데 목적이 있다.Therefore, the present invention has been proposed to solve the above-described problems, and a cyber threat response target priority calculation device that helps prevent damage to cyber assets by providing threat response priority information on cyber assets. , a method, a computer readable recording medium, and a computer program.
본 발명의 목적은 이상에서 언급한 것으로 제한되지 않으며, 언급되지 않은 또 다른 목적들은 아래의 기재로부터 본 발명이 속하는 기술 분야의 통상의 지식을 가진 자에게 명확히 이해될 수 있을 것이다.Objects of the present invention are not limited to those mentioned above, and other objects not mentioned above will be clearly understood by those skilled in the art from the description below.
상기와 같은 목적을 달성하기 위한 본 발명의 실시예에 따른 사이버 위협 대응 대상 우선순위 산출 장치는 사이버 자산에 관한 사이버 자산 정보를 수집하여 전처리하는 정보 수집부; 상기 사이버 자산 정보를 자산별로 분류하는 분류부; 분류된 상기 사이버 자산 정보를 저장하고 관리하는 데이터베이스부; 및 상기 사이버 자산 정보의 표적연결도 지수 및 표적긴요도 지수를 산출하고, 산출된 상기 표적연결도 지수 및 표적긴요도 지수에 기초하여 상기 사이버 자산별 위협 대응 대상 우선순위 점수를 산출하는 우선순위 산출부를 포함한다.In order to achieve the above object, according to an embodiment of the present invention, a cyber threat response target priority calculation device includes an information collection unit that collects and pre-processes cyber asset information about cyber assets; a classification unit that classifies the cyber asset information by asset; a database unit for storing and managing the classified cyber asset information; and calculating a target connectivity index and a target urgency index of the cyber asset information, and calculating a priority score for threat response for each cyber asset based on the calculated target connectivity index and target urgency index. includes wealth
여기서, 상기 위협 대응 대상 우선순위 점수를 산출하기 위한 사이버 자산에 관한 정보를 입력하거나, 산출된 상기 위협 대응 대상 우선순위 정보를 출력하는 입출력부를 더 포함한다.Here, it further includes an input/output unit for inputting information about cyber assets for calculating the threat response target priority score or outputting the calculated threat response target priority information.
또한, 상기 정보 수집부는, 상기 사이버 자산에 관한 취약점 정보, 네트워크 정보 및 애플리케이션 정보 중 적어도 하나를 상기 사이버 자산 정보로서 수집한다.In addition, the information collection unit collects at least one of vulnerability information, network information, and application information about the cyber asset as the cyber asset information.
또한, 상기 분류부는, 상기 사이버 자산 정보를 하드웨어, 소프트웨어 및 네트워크 별로 분류한다.In addition, the classification unit classifies the cyber asset information by hardware, software, and network.
또한, 상기 데이터베이스부는, 상기 분류부에서 전달된 상기 사이버 자산 정보에 해당하는 자산과 타 자산과의 네트워크 상 연결관계에 관한 정보를 수치화하여 저장하는 표적연결도 DB; 및 상기 자산이 지원하는 임무의 상기 자산과의 연관관계 및 영향성을 수치화하여 저장하는 표적긴요도 DB;를 포함한다.In addition, the database unit may include: a target connection diagram DB for quantifying and storing information about connection relationships between an asset corresponding to the cyber asset information transmitted from the classification unit and other assets on a network; and a target criticality DB for quantifying and storing the relationship and impact of the mission supported by the asset with the asset.
또한, 상기 우선순위 산출부는, 상기 사이버 자산과 연결된 네트워크 상의 타 자산과의 연결관계의 수 및 연결관계의 강도 중 적어도 하나에 관한 상기 사이버 자산의 연결도 수준을 수치화하여 상기 표적연결도 지수를 산출한다.In addition, the priority calculation unit calculates the target connectivity index by quantifying the connectivity level of the cyber asset in relation to at least one of the number and strength of connectivity with other assets on the network connected to the cyber asset. do.
또한, 상기 우선순위 산출부는, 상기 표적연결도 지수를In addition, the priority calculation unit, the target connectivity index
(여기서, 는 호스트 i의 표적연결도 값이고, 는 호스트 j에서 호스트 k까지 최단경로, 는 네트워크 토폴로지 상의 모든 두 호스트 간의 최단 경로 개수, 는 네트워크 토폴로지 상의 모든 두 호스트 간의 최단경로 개수 중 임의의 호스트(i)가 포함되는 최단경로 개수를 의미)를 통해 산출한다.(here, is the target connectivity value of host i, is the shortest path from host j to host k, is the number of shortest paths between all two hosts in the network topology, means the number of shortest paths including a random host (i) among the number of shortest paths between all two hosts on the network topology).
또한, 상기 우선순위 산출부는, 상기 사이버 자산이 지원하는 임무에 대한 가치평가 점수, 임무에 대한 기여도, 해당 사이버 자산의 서비스가 중단되는 경우 해당 임무에 미치는 영향도를 종합적으로 수치화하여 상기 표적긴요도 지수를 산출한다.In addition, the priority calculation unit comprehensively quantifies the value evaluation score for the mission supported by the cyber asset, the contribution to the mission, and the degree of impact on the mission when the service of the corresponding cyber asset is interrupted, Calculate the index.
또한, 상기 표적긴요도 지수는,In addition, the target urgency index,
(여기서, 는 호스트 i의 표적긴요도 값이고, x는 호스트 i의 자산중요도 값이며, MIN(최소값) MAX(최대값))를 통해 산출한다.(here, is the target importance value of host i, x is the asset importance value of host i, and MIN(minimum value) MAX (maximum value)).
또한, 상기 입출력부는, 사용자에게서 데이터, 명령, 설정값 및 변수 중 적어도 하나를 입력 받거나, 상기 우선순위 산출부로부터 산출된 위협 대응 대상 우선순위 분석 결과를 출력한다.In addition, the input/output unit receives at least one of data, commands, setting values, and variables from a user, or outputs a threat countermeasure target priority analysis result calculated from the priority calculation unit.
본 발명의 다른 측면의 실시예에 따른 사이버 위협 대응 대상 우선순위 산출 방법은 사이버 자산에 관한 사이버 자산 정보를 수집하여 전처리하는 단계; 전처리된 상기 사이버 자산 정보를 자산 별로 분류하는 단계; 분류된 상기 사이버 자산의 표적연결도 지수 및 표적긴요도 지수를 산출하는 단계; 및 산출된 상기 표적연결도 지수 및 표적긴요도 지수에 기초하여 위협 대응 대상 우선순위 점수를 산출하는 단계;를 포함한다.According to another aspect of the present invention, a method for calculating priority of a cyber threat response target includes collecting and pre-processing cyber asset information about cyber assets; classifying the pre-processed cyber asset information by asset; Calculating a target connectivity index and a target urgency index of the classified cyber assets; and calculating a threat response target priority score based on the calculated target connectivity index and target urgency index.
또한, 상기 위협 대응 대상 우선순위 점수를 산출하기 위한 정보를 입력하는 단계 및 산출된 상기 위협 대응 대상 우선순위 점수를 출력하는 단계 중 적어도 하나를 더 포함한다.The method may further include at least one of inputting information for calculating the threat response target priority score and outputting the calculated threat response target priority score.
또한, 상기 표적연결도 지수를 산출하는 단계는, 상기 사이버 자산과 연결된 네트워크 상의 타 사이버 자산과의 연결관계의 수 및 연결관계의 강도 중 적어도 하나에 관한 상기 사이버 자산의 연결도 수준을 수치화하여 상기 표적연결도 지수를 산출한다.In addition, the step of calculating the target connectivity index digitizes the level of connectivity of the cyber asset in relation to at least one of the number of connections with other cyber assets on the network connected to the cyber asset and the strength of the connection relationship. Calculate the target connectivity index.
또한, 상기 표적긴요도 지수를 산출하는 단계는, 상기 자산이 지원하는 임무의 가치평가 점수, 임무에 대한 기여도, 해당 자산의 서비스가 중단되는 경우 해당 임무에 미치는 영향도를 종합적으로 수치화하여 상기 표적긴요도 지수를 산출한다.In addition, the step of calculating the target criticality index comprehensively quantifies the value evaluation score of the mission supported by the asset, the degree of contribution to the mission, and the degree of impact on the mission when the service of the asset is discontinued. Calculate the urgency index.
본 발명의 또 다른 일 측면은 컴퓨터 프로그램을 저장하고 있는 컴퓨터 판독 가능 기록매체로서, 상기 컴퓨터 프로그램은, 프로세서에 의해 실행되면, 사이버 자산에 관한 사이버 자산 정보를 수집하여 전처리하는 단계; 전처리된 상기 사이버 자산 정보를 자산 별로 분류하는 단계; 분류된 상기 사이버 자산의 표적연결도 지수 및 표적긴요도 지수를 산출하는 단계; 및 산출된 상기 표적연결도 지수 및 표적긴요도 지수에 기초하여 상기 사이버 자산별 위협 대응 대상 우선순위 점수를 산출하는 단계;를 포함한다.Another aspect of the present invention is a computer readable recording medium storing a computer program, wherein the computer program, when executed by a processor, collects and pre-processes cyber asset information about cyber assets; classifying the pre-processed cyber asset information by asset; Calculating a target connectivity index and a target urgency index of the classified cyber assets; and calculating a priority score for threat response for each cyber asset based on the calculated target connectivity index and target urgency index.
본 발명의 다른 일 측면은 컴퓨터 판독 가능 기록매체에 저장된 컴퓨터 프로그램으로서, 상기 컴퓨터 프로그램은, 프로세서에 의해 실행되면, 사이버 자산에 관한 사이버 자산 정보를 수집하여 전처리하는 단계; 전처리된 상기 사이버 자산 정보를 자산 별로 분류하는 단계; 분류된 상기 사이버 자산의 표적연결도 지수 및 표적긴요도 지수를 산출하는 단계; 및 산출된 상기 표적연결도 지수 및 표적긴요도 지수에 기초하여 상기 사이버 자산별 위협 대응 대상 우선순위 점수를 산출하는 단계;를 포함하는 방법을 상기 프로세서가 수행하도록 하기 위한 명령어를 포함하는, 컴퓨터 프로그램일 수 있다.Another aspect of the present invention is a computer program stored in a computer readable recording medium, wherein the computer program, when executed by a processor, collects and pre-processes cyber asset information about cyber assets; classifying the pre-processed cyber asset information by asset; Calculating a target connectivity index and a target urgency index of the classified cyber assets; and calculating a priority score for threat response for each cyber asset based on the calculated target connectivity index and target relevance index, comprising instructions for causing the processor to perform a method including; can be
본 발명의 일 실시예에 따른 사이버 위협 대응 대상 우선순위 산출 장치 및 방법에 의하면, 사이버 자산에 관한 위협 대응 대상 우선순위를 분석하여, 사이버 자산의 피해를 예방할 수 있다.According to the apparatus and method for calculating cyber threat response target priorities according to an embodiment of the present invention, damage to cyber assets can be prevented by analyzing threat response target priorities related to cyber assets.
본 발명의 효과는 이상에서 언급한 것으로 제한되지 않으며, 언급되지 않은 또 다른 효과들은 아래의 기재로부터 본 발명이 속하는 기술 분야의 통상의 지식을 가진 자에게 명확히 이해될 수 있을 것이다.Effects of the present invention are not limited to those mentioned above, and other effects not mentioned will be clearly understood by those skilled in the art from the description below.
도 1은 본 발명의 일 실시예에 따른 사이버 위협 대응 대상 우선순위 산출 장치의 구성을 도시하는 블록도이다.
도 2는 본 발명의 일 실시예에 따른 사이버 위협 대응 대상 우선순위 산출 방법을 설명하기 위한 순서도이다.
도 3은 일 실시예에 따른 사이버 자산의 표적연결도 지수를 산출하는 과정을 설명하기 위한 순서도이다.
도 4는 본 발명의 일 실시예에 따른 사이버 자산의 표적긴요도 지수를 산출하는 과정을 설명하기 위한 순서도이다.
도 5는 본 발명의 일 실시예에 따른 표적노출도 지수를 산출하는 과정을 설명하기 위한 순서도이다.1 is a block diagram showing the configuration of an apparatus for calculating the priority of a cyber threat countermeasure target according to an embodiment of the present invention.
2 is a flowchart for explaining a method for calculating the priority of a cyber threat countermeasure target according to an embodiment of the present invention.
3 is a flowchart for explaining a process of calculating a target connectivity index of a cyber asset according to an embodiment.
4 is a flowchart illustrating a process of calculating a target criticality index of a cyber asset according to an embodiment of the present invention.
5 is a flowchart for explaining a process of calculating a target exposure index according to an embodiment of the present invention.
본 발명의 목적 및 효과, 그리고 그것들을 달성하기 위한 기술적 구성들은 첨부되는 도면과 함께 상세하게 뒤에 설명이 되는 실시 예들을 참조하면 명확해질 것이다. 본 발명을 설명함에 있어서 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다. 그리고 뒤에 설명되는 용어들은 본 발명에서의 구조, 역할 및 기능 등을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다.Objects and effects of the present invention, and technical configurations for achieving them will become clear with reference to embodiments to be described later in detail in conjunction with the accompanying drawings. In describing the present invention, if it is determined that a detailed description of a known function or configuration may unnecessarily obscure the gist of the present invention, the detailed description will be omitted. In addition, the terms described later are terms defined in consideration of the structure, role, and function in the present invention, which may vary according to the intention or custom of a user or operator.
그러나 본 발명은 이하에서 개시되는 실시 예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있다. 단지 본 실시 예들은 본 발명의 개시가 완전하도록 하고, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 오로지 특허청구범위에 기재된 청구항의 범주에 의하여 정의될 뿐이다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.However, the present invention is not limited to the embodiments disclosed below and may be implemented in a variety of different forms. Only these embodiments are provided to complete the disclosure of the present invention and to fully inform those skilled in the art of the scope of the invention, and the present invention is described only in the claims. It is only defined by the scope of the claims. Therefore, the definition should be made based on the contents throughout this specification.
명세서 전체에서, 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다.Throughout the specification, when a certain component is said to "include", it means that it may further include other components without excluding other components unless otherwise stated.
이하에서는 첨부한 도면을 참조하며, 본 발명의 바람직한 실시예들을 보다 상세하게 설명하기로 한다. Hereinafter, with reference to the accompanying drawings, preferred embodiments of the present invention will be described in more detail.
도 1은 본 발명의 일 실시예에 따른 사이버 위협 대응 대상 우선순위 산출 장치의 구성을 도시하는 블록도이다.1 is a block diagram showing the configuration of an apparatus for calculating the priority of a cyber threat countermeasure target according to an embodiment of the present invention.
도 1의 사이버 위협 대응 대상 우선순위 산출 장치(100)는 일 실시예에 따른 것으로서, 도 1에 도시된 모든 블록이 필수 구성요소는 아니며, 다른 실시예에서 사이버 위협 대응 대상 우선순위 산출 장치(100)에 포함된 일부 블록이 추가, 변경 또는 삭제될 수 있다.The
도 1을 참조하면, 본 발명의 일 실시예에 따른 사이버 위협 대응 대상 우선순위 산출 장치(100)는 정보 수집부(110), 분류부(130), 입출력부(150), 데이터베이스부(170) 및 우선순위 산출부(190)를 포함할 수 있다.Referring to FIG. 1 , an
정보 수집부(110)는 사이버 자산에 관한 네트워크 정보, 애플리케이션 정보 및 취약점 정보 중 적어도 하나를 사이버 자산 정보로서 수집하고, 수집한 사이버 자산 정보를 정규 형식으로 변환하고 가공할 수 있다. The
정보 수집부(110)는 정보 수집 모듈(111)과 전처리 모듈(113)을 포함할 수 있다.The
정보 수집 모듈(111)은 사이버 자산의 네트워크 정보, 애플리케이션 정보 및 취약점 정보 등을 수집하거나 소정의 데이터베이스로부터 추출할 수 있다.The information collection module 111 may collect network information, application information, and vulnerability information of cyber assets or extract them from a predetermined database.
여기서, 취약점 정보는 사이버 자산의 공개 취약점 정보와 취약점 점검 결과 정보 등을 포함하는 정보일 수 있다.Here, the vulnerability information may be information including open vulnerability information and vulnerability check result information of cyber assets.
네트워크 정보는 사이버 자산의 네트워크 토폴로지, 접근 제어목록 정보 등을 포함하는 정보일 수 있다.The network information may be information including network topology of cyber assets, access control list information, and the like.
애플리케이션 정보는 사이버 자산에서 실행 가능한 응용 서비스 정보, 소유자 계정 정보 및 인증정보 등을 포함하는 정보일 수 있다. 여기서, 응용 서비스 정보는 응용 서비스의 명칭과 버전에 관한 정보 등을 포함할 수 있다.The application information may be information including application service information executable in the cyber asset, owner account information, authentication information, and the like. Here, the application service information may include information about the name and version of the application service.
전처리 모듈(113)은 정보 수집 모듈(111)이 수집한 정보를 정규 형식으로 변환하거나 가공할 수 있다.The
분류부(130)는 정보 수집부(110)에서 수집하고 정규 형식으로 변환한 전처리된 사이버 자산 정보를 위협 대응 대상에 해당하는 정보 자산별로 분류할 수 있다.The
이를 위해, 분류부(130)는 자산별 분류 모듈(131)을 포함할 수 있다.To this end, the
자산별 분류 모듈(131)은 정보 수집부(110)에서 제공받은 전처리된 사이버 자산 정보를 위협 대응 대상 정보 자산별로 분류할 수 있다. The asset-
사이버 자산 정보는 우선순위 분석 대상이 되는 정보 및 정보 시스템의 총칭일 수 있으며, 일 실시예로, 우선순위 분석 대상인 모든 하드웨어, 소프트웨어, 네트워크가 포함될 수 있다.Cyber asset information may be a generic term for information and information systems subject to priority analysis, and as an example, may include all hardware, software, and networks subject to priority analysis.
입출력부(150)는 사용자 또는 사용자 단말로부터 데이터, 명령, 설정값 또는 변수를 입력받거나, 정보를 출력하여 사용자에게 알려주거나 통지할 수 있다. 이를 위해 입출력부(150)는 입력 모듈(151)과 출력 모듈(153)을 포함할 수 있다.The input/
입력 모듈(151)은 사용자에게서 데이터, 명령, 설정값 또는 변수를 입력받을 수 있다. 일 예로, 입력 모듈(151)은 키보드, 마우스 등 컴퓨터를 구성하는 입력 기기로 구비될 수 있으며, 음성인식을 이용한 입력장치 등, 데이터나 명령을 입력할 수 있는 공지된 또는 공지될 요소를 채용할 수 있다. The
출력 모듈(153)은 계산된 정보 혹은 위협 대응 대상 우선순위 분석 결과를 사용자에게 통지하는 구성일 수 있다. 일 예로, 출력 모듈(153)은 모니터, 스피커 등 일반적인 컴퓨터를 구성하는 기기를 채용할 수 있으며, 이 외에도 사용자에게 정보를 전달할 수 있는 기기라면 어떠한 방식의 기기를 사용하더라도 무방하다.The
데이터베이스부(170)는 사이버 자산 정보에 대한 데이터를 저장할 수 있다. 사이버 자산 정보는 자산의 연결도, 자산의 가치, 자산의 노출도 등에 관한 정보일 수 있다. 여기서, 자산의 연결도는 자산과 타 자산과의 연결관계를 기반으로 하는 정보라 할 수 있다. 자산의 가치는 자산 표적긴요도에 대한 평가를 기반으로 하는 정보라 할 수 있다. 자산의 노출도는 자산과 관련된 취약점 정보를 기반으로 하는 정보라 할 수 있다.The
데이터베이스부(170)는 표적연결도 DB(171), 표적긴요도 DB(173) 및 표적노출도 DB(175)를 포함할 수 있다.The
표적연결도 DB(171)는 분류부(130)에서 전달된 사이버 자산 정보에 해당하는 사이버 자산과 타 사이버 자산과의 네트워크 상 연결관계에 관한 정보를 수치화하여 생성된 표적연결도를 저장하는DB일 수 있다.The target
표적긴요도 DB(172)는 사이버 자산이 지원하는 임무와 상기 사이버 자산과의 연관관계 및 영향성을 수치화하여 생성된 생성된 표적긴요도를 저장하는 DB일 수 있다. The target criticality DB 172 may be a DB for storing a generated target criticality generated by quantifying the relationship and influence between a mission supported by a cyber asset and the cyber asset.
일 실시예로, 사이버 자산의 표적긴요도는 각 사이버 자산에 대한 평가를 근거로 상, 중, 하와 같은 등급으로 관리될 수 있다. 이에 따라, 표적긴요도 DB(172)는 사이버 자산의 가치에 대한 평가를 기반으로 생성된 표적긴요도가 수치화되어 저장될 수 있으며, 해당 수치에 따라 표적긴요도의 등급이 저장될 수 있고, 나아가 표적긴요도 등급에 따른 표적긴요도 지수가 저장될 수 있다.In one embodiment, the target criticality of cyber assets may be managed in grades such as high, medium, and low based on the evaluation of each cyber asset. Accordingly, in the target criticality DB 172, the target criticality generated based on the evaluation of the value of cyber assets can be digitized and stored, and a target criticality grade can be stored according to the corresponding numerical value. A target urgency index according to a target urgency level may be stored.
표적노출도 DB(173)는 사이버 자산 정보와 관계된 공개 취약점 및 취약점 진단 결과를 수치화하여 생성된 표적노출도를 저장하는 DB일 수 있다.The
일반적으로 자산의 노출도는 사이버 자산의 취약점 진단결과를 근거로 하여 양호 또는 취약으로 분류되는 등급으로 관리될 수 있다.In general, the exposure of assets can be managed in a grade classified as good or vulnerable based on the result of vulnerabilities diagnosis of cyber assets.
이에 따라 표적노출도 DB(173)는 사이버 자산에 관한 상기 진단결과에 따른 수치를 저장할 수 있으며, 해당 수치에 따라 분류된 등급을 함께 저장할 수 있고, 이때 수치와 등급 및 표적 노출도 지수를 매핑하여 저장할 수 있다.Accordingly, the
우선순위 산출부(190)는 사이버 자산 정보의 표적연결도 지수, 표적긴요도 지수 및 표적노출도 지수를 산출하고, 산출된 사이버 자산 정보의 표적연결도 지수, 표적긴요도 지수 및 표적노출도 지수에 기초하여 위협 대응 대상 우선순위 점수를 산출할 수 있다.The
일 실시예로, 우선순위 산출부(190)는 사이버 자산과 연결된 네트워크 상의 타 자산과의 연결관계의 수 및 연결관계의 강도 중 적어도 하나에 관한 연결도 정보를 종합적으로 수치화하여 표적연결도 지수를 산출할 수 있다.In one embodiment, the
구체적으로, 표적연결도 지수는 다음의 수학식 1을 통해 구할 수 있다.Specifically, the target connectivity index can be obtained through Equation 1 below.
[수학식 1][Equation 1]
여기서, 는 호스트 i의 표적연결도 값이고, 는 호스트 j에서 호스트 k까지 최단경로, 는 네트워크 토폴로지 상의 모든 두 호스트 간의 최단 경로 개수, 는 네트워크 토폴로지 상의 모든 두 호스트 간의 최단경로 개수 중 임의의 호스트(i)가 포함되는 최단경로 개수를 의미한다.here, is the target connectivity value of host i, is the shortest path from host j to host k, is the number of shortest paths between all two hosts in the network topology, Means the number of shortest paths including a random host (i) among the numbers of shortest paths between all two hosts on the network topology.
또한, 우선순위 산출부(190)는 사이버 자산이 지원하는 임무의 가치, 임무에 대한 기여도, 해당 사이버 자산의 서비스가 중단되는 경우 해당 임무에 미치는 영향도를 종합적으로 수치화하여 표적긴요도 지수를 산출할 수 있다.In addition, the
구체적으로, 표적긴요도 지수는 다음의 수학식 2를 통해 구할 수 있다.Specifically, the target urgency index can be obtained through Equation 2 below.
[수학식 2][Equation 2]
는 호스트 i의 표적긴요도 값이고, x는 호스트 i의 자산중요도 값이며, MIN(최소값) MAX(최대값)이다. is the target importance value of host i, x is the asset importance value of host i, and MIN(minimum value) is MAX (maximum value).
또한, 우선순위 산출부(190)는 해당 사이버 자산 및 해당 사이버 자산에 탑재된 애플리케이션과 관련된 취약점 정보, 해당 자산과 관련된 취약점 분석 결과를 종합적으로 수치화하여 표적노출도 지수를 산출할 수 있다.In addition, the
구체적으로, 표적노출도 지수는 다음의 수학식 3을 통해 구할 수 있다.Specifically, the target exposure index can be obtained through Equation 3 below.
[수학식 3][Equation 3]
여기서, 는 호스트 i의 표적노출도 값이고, MAX는 최대값, CVSS(Common Vulnerability Scoring System)는 호스트의 취약점(Common Vulnerabilities and Exposures)에 대응하는 값이며, 는 CVSS 목록에서 k번째 해당하는 CVSS 값이다. here, is the target exposure value of host i, MAX is the maximum value, CVSS (Common Vulnerability Scoring System) is a value corresponding to the host's vulnerabilities (Common Vulnerabilities and Exposures), is the k-th corresponding CVSS value in the CVSS list.
도 2는 본 발명의 일 실시예에 따른 사이버 위협 대응 대상 우선순위 산출 방법을 설명하기 위한 순서도이고, 도 3 내지 도 5는 본 발명의 일 실시예에 따른 사이버 자산의 표적연결도 지수, 표적긴요도 지수 및 표적노출도 지수 각각을 산출하는 과정을 설명하기 위한 순서도이다.2 is a flow chart illustrating a method for calculating the priority of a cyber threat countermeasure target according to an embodiment of the present invention, and FIGS. 3 to 5 are a target connectivity index and target criticality index of cyber assets according to an embodiment of the present invention. It is a flowchart for explaining the process of calculating each degree index and target exposure index.
본 실시예에 따른 사이버 위협 대응 대상 우선순위 산출 방법은, 도 1의 장치(100)와 실질적으로 동일한 구성에서 진행될 수 있다. 따라서, 도 1의 장치(100)와 동일한 구성요소는 동일한 도면부호를 부여하고, 반복되는 설명은 생략한다.The method for calculating the priority of cyber threat countermeasures according to the present embodiment may be performed in substantially the same configuration as that of the
또한, 본 발명의 일 실시예에 따른 사이버 위협 대응 대상 우선순위 산출 방법은 소프트웨어에 의해 실행될 수 있다.In addition, the method for calculating the priority of cyber threat countermeasures according to an embodiment of the present invention may be executed by software.
도 2를 참조하면, 본 발명의 일 실시예에 따른 사이버 위협 대응 대상 우선순위 산출 방법은 먼저, 사이버 자산 정보를 수집하고 전처리할 수 있다(S110).Referring to FIG. 2 , in the method for calculating priority of cyber threat countermeasures according to an embodiment of the present invention, first, cyber asset information may be collected and pre-processed (S110).
이를 위해, 사이버 위협 대응 대상 우선순위 산출 장치(100)는 사이버 자산에 관한 네트워크 정보, 애플리케이션 정보 및 취약점 정보 중 적어도 하나를 사이버 자산 정보로서 수집하고, 수집한 사이버 자산 정보를 정규 형식으로 변환하고 가공할 수 있다. To this end, the cyber threat response
일 예로, 사이버 자산의 네트워크 정보, 애플리케이션 정보 및 취약점 정보 등을 수집하거나 소정의 데이터베이스로부터 추출할 수 있다. 여기서, 취약점 정보는 사이버 자산의 공개 취약점 정보와 취약점 점검 결과 정보 등을 포함하는 정보일 수 있다. 네트워크 정보는 사이버 자산의 네트워크 토폴로지, 접근 제어목록 정보 등을 포함하는 정보일 수 있다. 애플리케이션 정보는 사이버 자산에서 실행 가능한 응용 서비스 정보, 소유자 계정 정보 및 인증정보 등을 포함하는 정보일 수 있다. 여기서, 응용 서비스 정보는 응용 서비스의 명칭과 버전에 관한 정보 등을 포함할 수 있다.For example, network information, application information, and vulnerability information of cyber assets may be collected or extracted from a predetermined database. Here, the vulnerability information may be information including open vulnerability information and vulnerability check result information of cyber assets. The network information may be information including network topology of cyber assets, access control list information, and the like. The application information may be information including application service information executable in the cyber asset, owner account information, authentication information, and the like. Here, the application service information may include information about the name and version of the application service.
그리고, 사이버 위협 대응 대상 우선순위 산출 장치(100)는 상기와 같이 수집된 정보를 정규 형식으로 변환하거나 가공할 수 있다.In addition, the cyber threat response
다음으로, 전처리된 상기 사이버 자산 정보를 자산 별로 분류할 수 있다(S120).Next, the pre-processed cyber asset information may be classified by asset (S120).
이를 위해, 사이버 위협 대응 대상 우선순위 산출 장치(100)는 이전 단계에서 수집하고 정규 형식으로 변환한 전처리된 사이버 자산 정보를 위협 대응 대상에 해당하는 정보 자산별로 분류할 수 있다.To this end, the
일 실시예로, 사이버 자산 정보는 우선순위 분석 대상이 되는 정보 및 정보 시스템의 총칭일 수 있으며, 일 실시예로, 우선순위 분석 대상인 모든 하드웨어, 소프트웨어 및 네트워크가 포함될 수 있다.In one embodiment, cyber asset information may be a generic term for information and information systems subject to priority analysis, and may include all hardware, software, and networks subject to priority analysis.
다음으로, 분류된 상기 사이버 자산의 표적연결도 지수, 표적긴요도 지수 및 표적노출도 지수를 산출할 수 있다(S130). Next, the target connectivity index, target urgency index, and target exposure index of the classified cyber assets may be calculated (S130).
이를 위해, 사이버 위협 대응 대상 우선순위 산출 장치(100)는 사이버 자산과 연결된 네트워크 상의 타 자산과의 연결관계의 수 및 연결관계의 강도 중 적어도 하나에 관한 연결도 정보를 수치화하여 표적연결도 지수를 산출할 수 있다. To this end, the cyber threat response target
구체적으로, 도 3을 참조하면, 사이버 위협 대응 대상 우선순위 산출 장치(100)는 네트워크 토폴로지 상 두 호스트 간 경로에 관한 정보를 수신할 수 있다(S210). 그리고, 데이터베이스부에 기준치 및 표적연결도 가중치가 존재하는지 판단하고(S220), 존재하지 않는 것으로 판단된 경우, 표적연결도 지수에 관한 기준치와 가중치를 설정할 수 있다(S230). 여기서, 표적연결도 가중치란, 표적연결도 지수가 기 설정된 수치 이상이거나 이하일 경우, 표적연결도 지수에 부여하는 중요도 개념일 수 있다. Specifically, referring to FIG. 3 , the cyber threat response
한편, 데이터베이스부에 기준치 및 표적연결도 가중치가 존재하는 것으로 판단된 경우, 데이터베이스부로부터 기준치 및 표적연결도 가중치를 검출할 수 있다(S240). 다음으로, 전술한 수학식 1을 통해 자산별 표적연결도 지수를 산출할 수 있다(S250).Meanwhile, when it is determined that the database unit has the reference value and target connectivity weights, the reference value and target connectivity weights may be detected from the database unit (S240). Next, the target connectivity index for each asset may be calculated through Equation 1 described above (S250).
여기서, 는 호스트 i의 표적연결도 값이고, 는 호스트 j에서 호스트 k까지 최단경로, 는 네트워크 토폴로지 상의 모든 두 호스트 간의 최단 경로 개수, 는 네트워크 토폴로지 상의 모든 두 호스트 간의 최단경로 개수 중 임의의 호스트(i)가 포함되는 최단경로 개수를 의미한다.here, is the target connectivity value of host i, is the shortest path from host j to host k, is the number of shortest paths between all two hosts in the network topology, Means the number of shortest paths including a random host (i) among the numbers of shortest paths between all two hosts on the network topology.
또한, 사이버 위협 대응 대상 우선순위 산출 장치(100)는 사이버 자산이 지원하는 임무에 대한 가치평가 점수, 임무에 대한 기여도, 해당 사이버 자산의 서비스가 중단되는 경우 해당 임무에 미치는 영향도를 종합적으로 수치화하여 표적긴요도 지수를 산출할 수 있다.In addition, the cyber threat
구체적으로, 도 4를 참조하면, 사이버 위협 대응 대상 우선순위 산출 장치(100)는 임무 가치 평가 점수, 임무 기여도, 임무 영향도를 포함하는 임무에 관한 정보를 수신할 수 있다(S310). 그리고, 데이터베이스부에 기준치 및 표적긴요도 가중치가 존재하는지 판단하고(S320), 존재하지 않는 것으로 판단된 경우, 표적긴요도 지수에 관한 기준치와 가중치를 설정할 수 있다(S330). 여기서, 표적긴요도 가중치란, 표적긴요도 지수가 기 설정된 수치 이상이거나 이하일 경우, 표적긴요도 지수에 부여하는 중요도 개념일 수 있다. Specifically, referring to FIG. 4 , the
한편, 데이터베이스부에 기준치 및 표적긴요도 가중치가 존재하는 것으로 판단된 경우, 데이터베이스부로부터 기준치 및 표적긴요도 가중치를 검출할 수 있다(S340). 다음으로, 전술한 수학식2를 통해 자산별 표적긴요도 지수를 산출할 수 있다(S350).Meanwhile, when it is determined that the reference value and target urgency weight exist in the database unit, the reference value and target urgency weight may be detected from the database unit (S340). Next, the target urgency index for each asset may be calculated through Equation 2 described above (S350).
는 호스트 i의 표적긴요도 값이고, x는 호스트 i의 자산중요도 값이며, MIN(최소값) MAX(최대값)이다. is the target importance value of host i, x is the asset importance value of host i, and MIN(minimum value) is MAX (maximum value).
또한, 사이버 위협 대응 대상 우선순위 산출 장치(100)는 해당 사이버 자산 및 해당 사이버 자산에 탑재된 애플리케이션과 관련된 취약점 정보, 해당 자산과 관련된 취약점 분석 결과를 종합적으로 수치화하여 표적노출도 지수를 산출할 수 있다.In addition, the cyber threat
구체적으로, 도 5를 참조하면, 사이버 위협 대응 대상 우선순위 산출 장치(100)는 자산과 연관된 취약점 정보를 수신한다(S410). 그리고, 데이터베이스부에 기준치 및 표적노출도 가중치가 존재하는지 판단하고(S420), 존재하지 않는 것으로 판단된 경우, 표적노출도 지수에 관한 기준치와 가중치를 설정할 수 있다(S430). 여기서, 표적노출도 가중치란, 표적노출도 지수가 기 설정된 수치 이상이거나 이하일 경우, 표적노출도 지수에 부여하는 중요도 개념일 수 있다. Specifically, referring to FIG. 5 , the
반면, 데이터베이스부에 기준치 및 표적노출도 가중치가 존재하는 것으로 판단된 경우, 데이터베이스부로부터 기준치 및 표적노출도 가중치를 검출할 수 있다(S440). 다음으로, 전술한 수학식3을 통해 자산별 표적노출도 지수를 산출할 수 있다(S450).On the other hand, if it is determined that the database unit has the reference value and target exposure weights, the reference value and target exposure weights may be detected from the database unit (S440). Next, the target exposure index for each asset can be calculated through Equation 3 above (S450).
여기서, 는 호스트 i의 표적노출도 값이고, MAX는 최대값, CVSS(Common Vulnerability Scoring System)는 호스트의 취약점(Common Vulnerabilities and Exposures)에 대응하는 값이며, 는 CVSS 목록에서 k번째 해당하는 CVSS 값이다. here, is the target exposure value of host i, MAX is the maximum value, CVSS (Common Vulnerability Scoring System) is a value corresponding to the host's vulnerabilities (Common Vulnerabilities and Exposures), is the k-th corresponding CVSS value in the CVSS list.
다음으로, 표적연결도 지수, 표적긴요도 지수 및 표적노출도 지수에 기초하여 사이버 자산별 위협 대응 대상 우선순위 점수를 산출할 수 있다(S140).Next, based on the target connectivity index, the target urgency index, and the target exposure index, a threat countermeasure priority score for each cyber asset may be calculated (S140).
이를 위해, 사이버 위협 대응 대상 우선순위 산출 장치(100)는 일 예로, 표적연결도 지수, 표적긴요도 지수 및 표적노출도 지수를 수합하여 위협 대응 대상 자산별 우선순위 점수를 산출할 수 있다. 여기서, 위협 대응 대상 자산별 우선순위 점수 산출 방법은 이에 한정하지 않으며, 수합 이외에 평균 산출 및 To this end, the
이와 같은 사이버 위협 대응 대상 우선순위 산출 장치(100)는 위협 대응이 가능한 자산별 표적연결도 지수, 표적긴요도 지수, 표적노출도 지수에 따른 위협 대응 우선순위 정보를 실시간으로 산출할 수 있으며, 산출된 우선순위 정보를 사용자에게 통지할 수 있다.The cyber threat
본 문서의 다양한 실시예들은 기기(machine)(예: 컴퓨터)로 읽을 수 있는 저장 매체(machine-readable storage media)(예: 메모리(내장 메모리 또는 외장 메모리))에 저장된 명령어를 포함하는 소프트웨어(예: 프로그램)로 구현될 수 있다. 기기는, 저장 매체로부터 저장된 명령어를 호출하고, 호출된 명령어에 따라 동작이 가능한 장치로서, 개시된 실시예들에 따른 전자 장치(예: 장치)를 포함할 수 있다.Various embodiments of the present document are software (eg, machine-readable storage media) (eg, memory (internal memory or external memory)) including instructions stored in a storage medium readable by a machine (eg, a computer). : program). A device is a device capable of calling a stored command from a storage medium and operating according to the called command, and may include an electronic device (eg, a device) according to the disclosed embodiments.
상기 명령이 프로세서(예: 프로세서)에 의해 실행될 경우, 프로세서가 직접, 또는 상기 프로세서의 제어 하에 다른 구성요소들을 이용하여 상기 명령에 해당하는 기능을 수행할 수 있다. 명령은 컴파일러 또는 인터프리터에 의해 생성 또는 실행되는 코드를 포함할 수 있다. 기기로 읽을 수 있는 저장매체는, 비일시적(nontransitory)저장매체의 형태로 제공될 수 있다. 여기서, '비일시적'은 저장매체가 신호(signal)를 포함하지 않으며 실재(tangible)한다는 것을 의미할 뿐 데이터가 저장매체에 반영구적 또는 임시적으로 저장됨을 구분하지 않는다.When the command is executed by a processor (eg, a processor), the processor may directly or use other components under the control of the processor to perform a function corresponding to the command. An instruction may include code generated or executed by a compiler or interpreter. The device-readable storage medium may be provided in the form of a non-transitory storage medium. Here, 'non-temporary' only means that the storage medium does not contain a signal and is tangible, but does not distinguish whether data is stored semi-permanently or temporarily in the storage medium.
일 실시예에 따르면, 본 문서에 개시된 다양한 실시예들에 따른 방법은 컴퓨터 프로그램 제품(computer program product)에 포함되어 제공될 수 있다.According to one embodiment, the method according to various embodiments disclosed in this document may be provided by being included in a computer program product.
이상의 설명은 본 발명의 기술 사상을 예시적으로 설명한 것에 불과한 것으로서, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 발명의 본질적인 품질에서 벗어나지 않는 범위에서 다양한 수정 및 변형이 가능할 것이다. 따라서, 본 발명에 개시된 실시예들은 본 발명의 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시예에 의하여 본 발명의 기술 사상의 범위가 한정되는 것은 아니다. 본 발명의 보호 범위는 아래의 청구범위에 의하여 해석되어야 하며, 그와 균등한 범위 내에 있는 모든 기술사상은 본 발명의 권리범위에 포함되는 것으로 해석되어야 할 것이다.The above description is merely an example of the technical idea of the present invention, and various modifications and variations can be made to those skilled in the art without departing from the essential qualities of the present invention. Therefore, the embodiments disclosed in the present invention are not intended to limit the technical spirit of the present invention, but to explain, and the scope of the technical spirit of the present invention is not limited by these embodiments. The protection scope of the present invention should be interpreted according to the claims below, and all technical ideas within the scope equivalent thereto should be construed as being included in the scope of the present invention.
100: 사이버 위협 대응 대상 우선순위 산출 장치
110: 정보 수집부
130: 분류부
150: 입출력부
170: 데이터베이스부
190: 우선순위 산출부100: Priority calculator for cyber threat response
110: information collection unit
130: classification unit
150: input/output unit
170: database unit
190: priority calculation unit
Claims (18)
상기 사이버 자산 정보를 자산별로 분류하는 분류부;
분류된 상기 사이버 자산 정보를 저장하고 관리하는 데이터베이스부; 및
상기 사이버 자산 정보의 표적연결도 지수 및 표적긴요도 지수를 산출하고, 산출된 상기 표적연결도 지수 및 표적긴요도 지수에 기초하여 상기 사이버 자산별 위협 대응 대상 우선순위 점수를 산출하는 우선순위 산출부를 포함하되,
상기 데이터베이스부는,
상기 분류부에서 전달된 상기 사이버 자산 정보에 해당하는 자산과 타 자산과의 네트워크 상 연결관계에 관한 정보를 수치화하여 저장하는 표적연결도 DB; 및
상기 자산이 지원하는 임무의 상기 자산과의 연관관계 및 영향성을 수치화하여 저장하는 표적긴요도 DB;를 포함하며,
상기 표적긴요도 DB는 상기 사이버 자산 정보의 가치에 대한 평가를 근거로 표적긴요도를 등급별로 관리하고, 상기 등급에 따라 상기 표적긴요도 지수를 저장하는 것을 특징으로 하는 사이버 위협 대응 대상 우선순위 산출 장치.an information collection unit that collects and pre-processes cyber asset information on cyber assets;
a classification unit that classifies the cyber asset information by asset;
a database unit for storing and managing the classified cyber asset information; and
A priority calculation unit that calculates a target connectivity index and a target urgency index of the cyber asset information, and calculates a priority score for responding to threats for each cyber asset based on the calculated target connectivity index and target urgency index. include,
The database unit,
a target connection diagram DB for quantifying and storing information on network connectivity between an asset corresponding to the cyber asset information transmitted from the classification unit and other assets; and
A target criticality DB for quantifying and storing the relationship and impact of the mission supported by the asset with the asset;
The target criticality DB manages the target criticality by grade based on the evaluation of the value of the cyber asset information, and calculates the priority of the target to respond to cyber threats, characterized in that it stores the target criticality index according to the grade. Device.
상기 위협 대응 대상 우선순위 점수를 산출하기 위한 사이버 자산에 관한 정보를 입력하거나, 산출된 상기 위협 대응 대상 우선순위 정보를 출력하는 입출력부를 더 포함하는 것을 특징으로 하는 사이버 위협 대응 대상 우선순위 산출 장치.According to claim 1,
The cyber threat response target priority calculation device further comprising an input/output unit inputting information on cyber assets for calculating the threat response target priority score or outputting the calculated threat response target priority information.
상기 정보 수집부는,
상기 사이버 자산에 관한 취약점 정보, 네트워크 정보 및 애플리케이션 정보 중 적어도 하나를 상기 사이버 자산 정보로서 수집하는 것을 특징으로 하는 사이버 위협 대응 대상 우선순위 산출 장치.According to claim 1,
The information collection unit,
The cyber threat response target priority calculation device, characterized in that for collecting at least one of vulnerability information, network information, and application information on the cyber asset as the cyber asset information.
상기 분류부는,
상기 사이버 자산 정보를 하드웨어, 소프트웨어 및 네트워크 별로 분류하는 것을 특징으로 하는 사이버 위협 대응 대상 우선순위 산출 장치.According to claim 1,
The classification unit,
A cyber threat response target priority calculation device, characterized in that for classifying the cyber asset information by hardware, software and network.
상기 우선순위 산출부는,
상기 사이버 자산과 연결된 네트워크 상의 타 자산과의 연결관계의 수 및 연결관계의 강도 중 적어도 하나에 관한 상기 사이버 자산의 연결도 수준을 수치화하여 상기 표적연결도 지수를 산출하는 것을 특징으로 하는 사이버 위협 대응 대상 우선순위 산출 장치.According to claim 1,
The priority calculator,
Counteracting cyber threats characterized in that the target connectivity index is calculated by quantifying a connectivity level of the cyber asset in relation to at least one of the number and strength of connectivity with other assets on a network connected to the cyber asset. Target Priority Calculator.
상기 우선순위 산출부는,
상기 표적연결도 지수를
(여기서, 는 호스트 i의 표적연결도 값이고, 는 호스트 j에서 호스트 k까지 최단경로, 는 네트워크 토폴로지 상의 모든 두 호스트 간의 최단 경로 개수, 는 네트워크 토폴로지 상의 모든 두 호스트 간의 최단경로 개수 중 임의의 호스트(i)가 포함되는 최단경로 개수를 의미)를 통해 산출하는 것을 특징으로 하는 사이버 위협 대응 대상 우선순위 산출 장치.According to claim 1,
The priority calculator,
The target connectivity index
(here, is the target connectivity value of host i, is the shortest path from host j to host k, is the number of shortest paths between all two hosts in the network topology, means the number of shortest paths including a random host (i) among the number of shortest paths between all two hosts on the network topology).
상기 우선순위 산출부는,
상기 사이버 자산이 지원하는 임무에 대한 가치평가 점수, 임무에 대한 기여도, 해당 사이버 자산의 서비스가 중단되는 경우 해당 임무에 미치는 영향도를 종합적으로 수치화하여 상기 표적긴요도 지수를 산출하는 것을 특징으로 하는 사이버 위협 대응 대상 우선순위 산출 장치.According to claim 1,
The priority calculator,
Comprehensively quantifying the value evaluation score for the mission supported by the cyber asset, the contribution to the mission, and the degree of impact on the mission when the service of the cyber asset is interrupted to calculate the target urgency index Priority calculation device for countermeasures against cyber threats.
상기 표적긴요도 지수는
(여기서, 는 호스트 i의 표적긴요도 값이고, x는 호스트 i의 자산중요도 값이며, MIN(최소값) MAX(최대값))를 통해 산출하는 것을 특징으로 하는 사이버 위협 대응 대상 우선순위 산출 장치.According to claim 1,
The target urgency index is
(here, is the target importance value of host i, x is the asset importance value of host i, and MIN(minimum value) An apparatus for calculating the priority of a cyber threat response target, characterized in that for calculating through MAX (maximum value)).
상기 입출력부는,
사용자에게서 데이터, 명령, 설정값 및 변수 중 적어도 하나를 입력 받거나, 상기 우선순위 산출부로부터 산출된 위협 대응 대상 우선순위 분석 결과를 출력하는 것을 특징으로 하는 사이버 위협 대응 대상 우선순위 산출 장치.According to claim 2,
The input/output unit,
A cyber threat response target priority calculation device, characterized in that for receiving at least one of data, commands, setting values, and variables from a user, or outputting a threat response target priority analysis result calculated from the priority calculator.
전처리된 상기 사이버 자산 정보를 자산 별로 분류하는 단계;
분류된 상기 사이버 자산의 표적연결도 지수 및 표적긴요도 지수를 산출하는 단계; 및
산출된 상기 표적연결도 지수 및 표적긴요도 지수에 기초하여 위협 대응 대상 우선순위 점수를 산출하는 단계;를 포함하되,
상기 사이버 자산의 표적연결도 지수 및 표적긴요도 지수를 산출하는 단계는,
상기 사이버 자산 정보의 가치에 대한 평가를 근거로 생성된 표적긴요도를 수치화하는 단계;
수치화된 상기 표적긴요도를 등급별로 저장하는 단계; 및
상기 등급에 따라 상기 표적긴요도 지수를 저장하는 단계;를 포함하는 것을 특징으로 하는 사이버 위협 대응 대상 우선순위 산출 방법.Collecting and pre-processing cyber asset information about cyber assets;
classifying the pre-processed cyber asset information by asset;
Calculating a target connectivity index and a target urgency index of the classified cyber assets; and
Calculating a threat response target priority score based on the calculated target connectivity index and target urgency index;
In the step of calculating the target connectivity index and target urgency index of the cyber asset,
quantifying a target criticality generated based on the evaluation of the value of the cyber asset information;
Storing the digitized target urgency according to ranks; and
and storing the target criticality index according to the rank.
상기 위협 대응 대상 우선순위 점수를 산출하기 위한 정보를 입력하는 단계 및
산출된 상기 위협 대응 대상 우선순위 점수를 출력하는 단계 중 적어도 하나를 더 포함하는 것을 특징으로 하는 사이버 위협 대응 대상 우선순위 산출 방법.According to claim 11,
inputting information for calculating the threat response target priority score; and
The method of calculating the priority of the cyber threat response target, further comprising at least one step of outputting the calculated priority score of the target response target to the threat.
상기 표적연결도 지수를 산출하는 단계는,
상기 사이버 자산과 연결된 네트워크 상의 타 사이버 자산과의 연결관계의 수 및 연결관계의 강도 중 적어도 하나에 관한 상기 사이버 자산의 연결도 수준을 수치화하여 상기 표적연결도 지수를 산출하는 것을 특징으로 하는 사이버 위협 대응 대상 우선순위 산출 방법.According to claim 11,
The step of calculating the target connectivity index,
The cyber threat characterized by calculating the target connectivity index by quantifying the connectivity level of the cyber asset in relation to at least one of the number and strength of connectivity with other cyber assets on a network connected to the cyber asset. Method of calculating response target priority.
상기 표적연결도 지수를 산출하는 단계는,
(여기서, 는 호스트 i의 표적연결도 값이고, 는 호스트 j에서 호스트 k까지 최단경로, 는 네트워크 토폴로지 상의 모든 두 호스트 간의 최단 경로 개수, 는 네트워크 토폴로지 상의 모든 두 호스트 간의 최단경로 개수 중 임의의 호스트(i)가 포함되는 최단경로 개수를 의미)를 통해 산출하는 것을 특징으로 하는 사이버 위협 대응 대상 우선순위 산출 방법.According to claim 11,
The step of calculating the target connectivity index,
(here, is the target connectivity value of host i, is the shortest path from host j to host k, is the number of shortest paths between all two hosts in the network topology, means the number of shortest paths including a random host (i) among the number of shortest paths between all two hosts on the network topology).
상기 표적긴요도 지수를 산출하는 단계는,
상기 자산이 지원하는 임무의 가치평가 점수, 임무에 대한 기여도, 해당 자산의 서비스가 중단되는 경우 해당 임무에 미치는 영향도를 종합적으로 수치화하여 상기 표적긴요도 지수를 산출하는 것을 특징으로 하는 사이버 위협 대응 대상 우선순위 산출 방법.According to claim 11,
In the step of calculating the target urgency index,
Cyber threat response characterized in that the target criticality index is calculated by comprehensively quantifying the value evaluation score of the mission supported by the asset, the contribution to the mission, and the impact on the mission when the service of the asset is stopped Target priority calculation method.
상기 표적긴요도 지수를 산출하는 단계는,
(여기서, 는 호스트 i의 표적긴요도 값이고, x는 호스트 i의 자산중요도 값이며, MIN(최소값) MAX(최대값))를 통해 산출하는 것을 특징으로 하는 사이버 위협 대응 대상 우선순위 산출 방법.According to claim 11,
In the step of calculating the target urgency index,
(here, is the target importance value of host i, x is the asset importance value of host i, and MIN(minimum value) A method for calculating the priority of cyber threat countermeasures, characterized in that it is calculated through MAX (maximum value)).
상기 컴퓨터 프로그램은, 프로세서에 의해 실행되면,
사이버 자산에 관한 사이버 자산 정보를 수집하여 전처리하는 단계;
전처리된 상기 사이버 자산 정보를 자산 별로 분류하는 단계;
분류된 상기 사이버 자산의 표적연결도 지수 및 표적긴요도 지수를 산출하는 단계; 및
산출된 상기 표적연결도 지수 및 표적긴요도 지수에 기초하여 상기 사이버 자산별 위협 대응 대상 우선순위 점수를 산출하는 단계;를 포함하되,
상기 사이버 자산의 표적연결도 지수 및 표적긴요도 지수를 산출하는 단계는,
상기 사이버 자산 정보의 가치에 대한 평가를 근거로 생성된 표적긴요도를 수치화하는 단계;
수치화된 상기 표적긴요도를 등급별로 저장하는 단계; 및
상기 등급에 따라 상기 표적긴요도 지수를 저장하는 단계;를 포함하는 방법을 상기 프로세서가 수행하도록 하기 위한 명령어를 포함하는
컴퓨터 판독 가능한 기록매체.A computer-readable recording medium storing a computer program,
When the computer program is executed by a processor,
Collecting and pre-processing cyber asset information about cyber assets;
classifying the pre-processed cyber asset information by asset;
Calculating a target connectivity index and a target urgency index of the classified cyber assets; and
Calculating a threat response target priority score for each cyber asset based on the calculated target connectivity index and target urgency index;
In the step of calculating the target connectivity index and target urgency index of the cyber asset,
quantifying a target criticality generated based on the evaluation of the value of the cyber asset information;
Storing the digitized target urgency according to ranks; and
Including instructions for causing the processor to perform a method including; storing the target urgency index according to the rank
A computer-readable recording medium.
상기 컴퓨터 프로그램은, 프로세서에 의해 실행되면,
사이버 자산에 관한 사이버 자산 정보를 수집하여 전처리하는 단계;
전처리된 상기 사이버 자산 정보를 자산 별로 분류하는 단계;
분류된 상기 사이버 자산의 표적연결도 지수 및 표적긴요도 지수를 산출하는 단계; 및
산출된 상기 표적연결도 지수 및 표적긴요도 지수에 기초하여 상기 사이버 자산별 위협 대응 대상 우선순위 점수를 산출하는 단계;를 포함하되,
상기 사이버 자산의 표적연결도 지수 및 표적긴요도 지수를 산출하는 단계는,
상기 사이버 자산 정보의 가치에 대한 평가를 근거로 생성된 표적긴요도를 수치화하는 단계;
수치화된 상기 표적긴요도를 등급별로 저장하는 단계; 및
상기 등급에 따라 상기 표적긴요도 지수를 저장하는 단계;를 포함하는 방법을 상기 프로세서가 수행하도록 하기 위한 명령어를 포함하는
기록매체에 저장된 컴퓨터 프로그램.As a computer program stored on a computer-readable recording medium,
When the computer program is executed by a processor,
Collecting and pre-processing cyber asset information about cyber assets;
classifying the pre-processed cyber asset information by asset;
Calculating a target connectivity index and a target urgency index of the classified cyber assets; and
Calculating a threat response target priority score for each cyber asset based on the calculated target connectivity index and target urgency index;
In the step of calculating the target connectivity index and target urgency index of the cyber asset,
quantifying a target criticality generated based on the evaluation of the value of the cyber asset information;
Storing the digitized target urgency according to ranks; and
Including instructions for causing the processor to perform a method including; storing the target urgency index according to the rank
A computer program stored on a recording medium.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020220079753A KR102468156B1 (en) | 2022-06-29 | 2022-06-29 | Apparatus, method, computer-readable storage medium and computer program for calculating priority of targets in response to cyber threats |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020220079753A KR102468156B1 (en) | 2022-06-29 | 2022-06-29 | Apparatus, method, computer-readable storage medium and computer program for calculating priority of targets in response to cyber threats |
Publications (1)
Publication Number | Publication Date |
---|---|
KR102468156B1 true KR102468156B1 (en) | 2022-11-17 |
Family
ID=84233212
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020220079753A KR102468156B1 (en) | 2022-06-29 | 2022-06-29 | Apparatus, method, computer-readable storage medium and computer program for calculating priority of targets in response to cyber threats |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR102468156B1 (en) |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP5304243B2 (en) * | 2006-07-06 | 2013-10-02 | 日本電気株式会社 | Security risk management system, apparatus, method, and program |
KR101941039B1 (en) | 2018-05-29 | 2019-01-23 | 한화시스템(주) | System and method for forecasting cyber threat |
KR20210065687A (en) * | 2019-11-27 | 2021-06-04 | 국방과학연구소 | Apparatus, method, storage medium of storing program and computer program for analyzing cyber assets damage using system operation status information |
KR102322171B1 (en) | 2020-01-08 | 2021-11-05 | 엘아이지넥스원 주식회사 | Apparatus and method for selecting countermeasures against attack |
KR20220018318A (en) * | 2020-08-06 | 2022-02-15 | 한국전자통신연구원 | Method and apparatus for predicting attack vulnerability of computer network |
-
2022
- 2022-06-29 KR KR1020220079753A patent/KR102468156B1/en active IP Right Grant
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP5304243B2 (en) * | 2006-07-06 | 2013-10-02 | 日本電気株式会社 | Security risk management system, apparatus, method, and program |
KR101941039B1 (en) | 2018-05-29 | 2019-01-23 | 한화시스템(주) | System and method for forecasting cyber threat |
KR20210065687A (en) * | 2019-11-27 | 2021-06-04 | 국방과학연구소 | Apparatus, method, storage medium of storing program and computer program for analyzing cyber assets damage using system operation status information |
KR102322171B1 (en) | 2020-01-08 | 2021-11-05 | 엘아이지넥스원 주식회사 | Apparatus and method for selecting countermeasures against attack |
KR20220018318A (en) * | 2020-08-06 | 2022-02-15 | 한국전자통신연구원 | Method and apparatus for predicting attack vulnerability of computer network |
Non-Patent Citations (1)
Title |
---|
임창완 외 5인, ‘실시간 사이버 위협 지능형 분석 및 예측 기술’, 한국정보과학회 컴퓨팅의 실제 논문지, 제25권 제11호, 2019.11.* * |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20230336584A1 (en) | System and method for analyzing binary code for malware classification using artificial neural network techniques | |
EP3899770B1 (en) | System and method for detecting data anomalies by analysing morphologies of known and/or unknown cybersecurity threats | |
US20170091461A1 (en) | Malicious code analysis method and system, data processing apparatus, and electronic apparatus | |
US9916445B2 (en) | Attack detection device, attack detection method, and non-transitory computer readable recording medium recorded with attack detection program | |
US20130212681A1 (en) | Security Monitoring System and Security Monitoring Method | |
CN110135166B (en) | Detection method and system for service logic vulnerability attack | |
US11847216B2 (en) | Analysis device, analysis method and computer-readable recording medium | |
CN116303290B (en) | Office document detection method, device, equipment and medium | |
KR102230441B1 (en) | Method, Device and program for generating security action report based on the results of the security vulnerability assessment | |
US20200104503A1 (en) | Information processing apparatus, information processing method, and computer readable medium | |
US20230418943A1 (en) | Method and device for image-based malware detection, and artificial intelligence-based endpoint detection and response system using same | |
US9773116B2 (en) | Automated local exception rule generation system, method and computer program product | |
US20190156037A1 (en) | Using a machine learning model in quantized steps for malware detection | |
KR102468156B1 (en) | Apparatus, method, computer-readable storage medium and computer program for calculating priority of targets in response to cyber threats | |
CN116305129B (en) | Document detection method, device, equipment and medium based on VSTO | |
US10417414B2 (en) | Baseline calculation for firewalling | |
CA3125101A1 (en) | System and method for detecting data anomalies by analysing morphologies of known and/or unknown cybersecurity threats | |
KR20210046423A (en) | Method and Apparatus for Security Management Based on Machine Learning | |
KR20240002500A (en) | Apparatus, method, computer-readable storage medium and computer program for priority analysis for cyber offensive countemeasures | |
CN114925365A (en) | File processing method and device, electronic equipment and storage medium | |
US11201874B2 (en) | Information processing apparatus, control method, and program | |
CN113962712A (en) | Method for predicting fraud gangs and related equipment | |
CN112995168A (en) | Web server safety protection method, system and computer storage medium | |
US20210279614A1 (en) | Abductive inference apparatus, abductive inference method, and computer readable recording medium | |
CN117201193B (en) | Virus detection method and device, storage medium and electronic equipment |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant |