KR102502539B1 - 사이버 위협 인텔리전스 시스템 - Google Patents

사이버 위협 인텔리전스 시스템 Download PDF

Info

Publication number
KR102502539B1
KR102502539B1 KR1020210064280A KR20210064280A KR102502539B1 KR 102502539 B1 KR102502539 B1 KR 102502539B1 KR 1020210064280 A KR1020210064280 A KR 1020210064280A KR 20210064280 A KR20210064280 A KR 20210064280A KR 102502539 B1 KR102502539 B1 KR 102502539B1
Authority
KR
South Korea
Prior art keywords
cti
data
user
cyber
reliability
Prior art date
Application number
KR1020210064280A
Other languages
English (en)
Other versions
KR20220097126A (ko
Inventor
이창훈
공성현
Original Assignee
서울과학기술대학교 산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 서울과학기술대학교 산학협력단 filed Critical 서울과학기술대학교 산학협력단
Publication of KR20220097126A publication Critical patent/KR20220097126A/ko
Application granted granted Critical
Publication of KR102502539B1 publication Critical patent/KR102502539B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

본 발명의 실시예에 따른 사이버 위협 인텔리전스 시스템은 복수의 사용자 노드를 포함하고, 기 설정된 보안 소프트웨어를 이용하여 사이버 공격에 대한 CTI 데이터를 수집하는 사용자 계층; 복수의 CTI 피드를 포함하고, 상기 CTI 데이터를 분석하여 상기 복수의 사용자 노드에 대한 신뢰도를 생성하고, 상기 CTI 데이터에 기초하여 판별된 사이버 위협에 대응하는 보안 정책을 생성하는 피드 계층; 및 복수의 스마트 컨트렉트를 포함하고, 상기 CTI 데이터, 상기 신뢰도 및 상기 보안 정책을 저장 및 공유하는 블록체인 네트워크 계층;을 포함한다.

Description

사이버 위협 인텔리전스 시스템{CYBER THREAT INTELLIGENCE SYSTEM}
본 발명은 시빌공격(Sybil Attack)에 대한 취약성을 해결할 수 있는 사이버 위협 인텔리전스(Cyber Threat Intelligence, CTI) 시스템에 관한 것으로, 보다 상세하게는 블록체인(Blockchain) 기술을 통해 시빌 공격자의 평판 정보(Reputation Information)를 생성하고, 이를 공유함으로써 시빌 공격에 저항할 수 있는 사이버 위협 인텔리전스 시스템에 관한 것이다.
정보통신기술의 발전은 사물인터넷, 클라우드, 인공지능과 같은 새로운 IT 패러다임의 등장으로 인해 매우 고도화되었다. 오늘날 대다수의 장치들은 유선 혹은 무선으로 네트워크에 연결되어있으며, 이러한 현상은 네트워크의 다양성이 극도로 높아지는 현상을 초래한다. 네트워크의 다양성은 곧 네트워크에 접근할 수 있는 경로와 인터페이스의 다양성으로 이어진다. 이는 네트워크가 다양해지고 복잡해질수록 사이버 공격에 노출되는 부분은 점차 많아지며, 또한 공격자는 네트워크에 다양한 유형과 패턴의 사이버 공격을 수행할 수 있게 된다는 것을 의미한다. 이러한 이유로 인해, 기존의 고전적 보안 기법인 방화벽(Firewall), 침입탐지시스템(Intrusion Detection System, IDS) 등의 도구를 이용하여 고도화된 현대의 사이버 공격을 방어해내는 것은 기술적으로 어려운 문제가 되었다.
사이버 위협 인텔리전스(CTI)는 고도화된 사이버 공격의 매커니즘을 이해하고, 현실적인 대응 방안을 도출함으로써 고전적 보안 도구들의 한계점을 해소하기 위해 등장한 개념이다. 현대의 공격자는 고도화된 사이버 공격을 수행하기 위해 복잡한 네트워크의 여러 인터페이스를 통해 공격을 수행한다. 이 과정에서 공격자의 흔적 정보는 여러 네트워크 디바이스에 분포되어 남겨진다. CTI 기술은 복잡한 네트워크에 설치된 다양한 데이터 센서로부터 흩어져있는 공격자의 흔적들을 수집하고, 수집된 데이터들의 연관성을 분석함으로써 일련의 사이버 공격 사건에 대한 문맥적 지식(Contextual Intelligence)를 생성한다. 문맥적 지식이란 공격자가 누구이며, 어떤 기법과 수단을 통해 공격을 수행했으며, 어떠한 절차로 공격을 수행했는가 등 일련의 공격 사건에 대한 증거 기반의 지식을 의미한다. 이러한 지식 정보는 고도화된 사이버 공격에 대한 최적의 대응 방안과 정책을 산출하는 데에 유용하게 활용된다.
이처럼, CTI 기술은 수많은 데이터 센서로부터 다양한 유형의 사이버 공격 관련 데이터를 수집하기 위해 일반적으로 광범위한 규모의 데이터 센서 환경을 구축 및 활용하며, 그 중 대다수는 오픈된 네트워크를 데이터 센서로 활용함으로써 다수의 사용자 및 디바이스 노드가 자유롭게 공격 관련 데이터를 공유하는 환경을 이용한다. 이러한 환경은 수많은 형태의 데이터를 제공받을 수 있다는 장점을 가지고 있으며, 다양한 유형의 데이터와 많은 양의 데이터 볼륨은 곧 CTI 기술을 통한 사이버 공격 대응 능력의 정확도와 성능으로 직결된다. 그러나, 이러한 오픈 네트워크는 공격자 또한 데이터 수집 과정에 참여할 수 있다는 취약점을 가지고 있다. 공격자는 데이터 센서 네트워크로 실제 사이버 공격과 관련이 없는 데이터를, 사이버 공격 관련 데이터인 것처럼 위장하여 퍼뜨린다. 이러한 행위는 공격자가 CTI 데이터 수집 환경을 오염시키는 결과로 이어진다. CTI 기술을 통해 산출된 보안방안과 정책은 일반적으로 ‘공격자’일 것으로 예측되는 노드 혹은 ‘공격’으로 예상되는 행위를 차단하는 방식이다. 만약 공격자가 CTI 기술에 사용되는 데이터를 오염시킴으로써, CTI 기술이 잘못된 보안 정책을 산출하여 정상 사용자가 차단되게끔 유도한다면, 공격자는 결국 CTI 기술을 이용하여 공격을 수행할 수 있게 된다. 이러한 일종의 ‘평판(Reputation)’ 정보를 이용하여 공격하는 시빌(Sybil) 공격은 CTI 기술에 특히 치명적이다. 따라서, 고도화된 사이버 공격에 대응하기 위한 기술인 만큼, CTI 기술은 시빌 공격에 대한 특화된 보호 기법을 필수적으로 요구한다.
본 발명은 시빌 공격에 안전한 사이버 위협 인텔리전스(CTI) 시스템을 구축하는 방법과 그 시스템을 제공하기 위한 것이다.
실시 예에서 해결하고자 하는 과제는 이에 한정되는 것은 아니며, 아래에서 설명하는 과제의 해결수단이나 실시 형태로부터 파악될 수 있는 목적이나 효과도 포함된다고 할 것이다.
본 발명의 실시예에 따른 사이버 위협 인텔리전스 시스템은 복수의 사용자 노드를 포함하고, 기 설정된 보안 소프트웨어를 이용하여 사이버 공격에 대한 CTI 데이터를 수집하는 사용자 계층; 복수의 CTI 피드를 포함하고, 상기 CTI 데이터를 분석하여 상기 복수의 사용자 노드에 대한 신뢰도를 생성하고, 상기 CTI 데이터에 기초하여 판별된 사이버 위협에 대응하는 보안 정책을 생성하는 피드 계층; 및 복수의 스마트 컨트렉트를 포함하고, 상기 CTI 데이터, 상기 신뢰도 및 상기 보안 정책을 저장 및 공유하는 블록체인 네트워크 계층;을 포함한다.
상기 사용자 계층은, 블록체인 클라이언트 소프트웨어를 이용하여 상기 CTI 데이터를 제1 스마트 컨트랙트에 공유할 수 있다.
상기 피드 계층은, 상기 CTI 데이터가 사이버 위협에 관한 데이터인지를 평가하고, 상기 평가의 결과에 기초하여 상기 복수의 사용자 노드에 대한 신뢰도를 생성하고, 사이버 위협에 관한 데이터로 평가된 CTI 데이터 중 상기 복수의 CTI 피드 각각에 설정된 목표 보안 기능에 대응하는 CTI 데이터를 선별하고, 상기 선별된 CTI 데이터에 기초하여 사이버 위협에 대응하는 보안 정책을 생성하고, 상기 신뢰도를 제2 스마트 컨트랙트에 공유하고, 상기 보안 정책을 제3 스마트 컨트랙트에 공유할 수 있다.
상기 피드 계층은, 아래의 수학식을 이용하여 상기 신뢰도를 산출할 수 있다.
Figure 112021057540480-pat00001
여기서, 상기 ui는 사용자 노드 i를 의미하고, Fj는 CTI 피드 j를 의미하고, R(ui)는 사용자 노드 i의 신뢰도를 의미하고, dui는 사용자 노드 i가 한번의 스마트 컨트랙트 실행을 통해 공유한 CTI 데이터들의 집합을 의미하고, nT(dui)는 상기 CTI 데이터 집합에 포함된 전체 데이터의 개수를 의미하고, nF(dui)는 상기 CTI 데이터 집합에 포함된 사이버 공격 및 위협과 무관한 데이터의 개수를 의미하고, 상기 εFj는 상기 CTI 피드 j가 임의로 설정한 오류 가중치를 의미한다.
상기 블록체인 네트워크 계층은, 상기 신뢰도가 기 설정된 임계치보다 높거나 같은 사용자 노드에 상기 보안 정책을 공유하고, 상기 신뢰도가 상기 임계치보다 낮은 사용자 노드에 상기 보안 정책을 공유하지 않고, 상기 신뢰도가 상기 임계치보다 낮은 사용자 노드로부터의 상기 CTI 데이터 수신을 차단할 수 있다.
실시 예에 따르면, 본 발명은 블록체인 기반의 데이터 공유와 신뢰도 평가를 통해 공격자의 시빌 공격을 원천 차단하는 방법을 포함하고 있으며, 사용자의 신뢰도를 실질적으로 계산하는 수식을 통해 제안된 시스템의 구현 가능성을 높일 수 있다. 특히, 블록체인 기술을 통해 공유되는 CTI 데이터와 사용자의 평판 정보를 기록하고, 공유함으로써 전체 CTI 시스템의 가용성과 용이성, 확장성을 개선할 수 있는 장점이 있다.
본 발명의 다양하면서도 유익한 장점과 효과는 상술한 내용에 한정되지 않으며, 본 발명의 구체적인 실시형태를 설명하는 과정에서 보다 쉽게 이해될 수 있을 것이다.
도 1은 본 발명의 실시예에 따른 사이버 위협 인텔리전스 시스템의 구성도이다.
도 2는 본 발명의 실시예에 따른 사이버 위협 인텔리전스 시스템의 전체 프로세스의 개념도이고,
도 3은 본 발명의 실시예에 따른 사이버 위협 인텔리전스 시스템의 전체 프로세스의 순서도이다.
도 4는 도 3의 S350 단계를 구체적으로 도시한 순서도이다.
도 5는 도 3의 S365 단계를 구체적으로 도시한 순서도이다.
본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 설명하고자 한다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.
제2, 제1 등과 같이 서수를 포함하는 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되지는 않는다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다. 예를 들어, 본 발명의 권리 범위를 벗어나지 않으면서 제2 구성요소는 제1 구성요소로 명명될 수 있고, 유사하게 제1 구성요소도 제2 구성요소로 명명될 수 있다. 및/또는 이라는 용어는 복수의 관련된 기재된 항목들의 조합 또는 복수의 관련된 기재된 항목들 중의 어느 항목을 포함한다.
어떤 구성요소가 다른 구성요소에 "연결되어" 있다거나 "접속되어" 있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어" 있다거나 "직접 접속되어" 있다고 언급된 때에는, 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다.
본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥 상 가지는 의미와 일치하는 의미를 가지는 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.
이하, 첨부된 도면을 참조하여 실시예를 상세히 설명하되, 도면 부호에 관계없이 동일하거나 대응하는 구성 요소는 동일한 참조 번호를 부여하고 이에 대한 중복되는 설명은 생략하기로 한다.
도 1은 본 발명의 실시예에 따른 사이버 위협 인텔리전스 시스템의 구성도이다.
도 1을 참조하면 본 발명의 실시예에 따른 사이버 위협 인텔리전스 시스템은 사용자 계층(100), 피드 계층(300) 및 블록체인 네트워크 계층(200)을 포함할 수 있다.
사용자 계층(100)은 일반적인 인터넷 환경에 존재하는 모든 사용자들을 의미할 수 있다. 사용자는 사용자 노드로 불릴 수 있으며, 이에 따라 사용자 계층(100)은 복수의 사용자 노드를 포함할 수 있다. 사용자 노드는 일반적인 PC(personal computer) 환경을 의미할 수 있다. 사용자 노드는 컴퓨팅 환경을 이용하여 사이버 위협 인텔리전스 시스템에 참여할 수 있다. 사용자 계층(100)은 컴퓨팅 환경을 통해 일상적인 컴퓨팅 행위를 수행할 수 있으며, 이와 함께 컴퓨팅 환경에 설치된 보안 소프트웨어는 사이버 공격 및 위협과 관련된 CTI 데이터를 수집할 수 있다. 즉, 사용자 계층(100)은 기 설정된 보안 소프트웨어를 이용하여 사이버 공격에 대한 CTI 데이터를 수집할 수 있다. 기 설정된 보안 소프트웨어는 방화벽이나 안티바이러스 백신과 같은 보안 프로그램을 의미할 수 있다. 사용자 계층(100)은 수집된 CTI 데이터들을 블록체인 네트워크 계층(200)을 통해 피드 계층(300)에 제공할 수 있다. 그리고, 사용자 계층(100)은 블록체인 네트워크 계층(200)을 통해 사이버 공격 및 위협에 대한 대응 방안, 즉 보안 정책을 피드 계층(300)으로부터 제공받을 수 있다. 이와 같이, 본 발명의 실시예에 따른 사용자 계층(100)은 CTI 데이터를 수집하는 생산자, 기여자이자, 보안정책을 소비하는 소비자로서 역학을 수행할 수 있다.
블록체인 네트워크 계층(200)은 복수의 스마트 컨트렉트를 포함하고, CTI 데이터, 신뢰도 및 보안 정책을 저장 및 공유할 수 있다. 블록체인 네트워크 계층(200)은 복수의 블록체인 노드를 포함할 수 있다. 블록체인 네트워크 계층(200), 즉, 복수의 블록체인 노드는 사용자 노드로부터 수집된 CTI 데이터를 블록에 저장할 수 있다. 복수의 블록체인 노드는 블록에 저장된 CTI 데이터를 CTI 피드에 제공할 수 있다. 뿐만 아니라, 복수의 블록체인 노드는 사용자 노드의 역할을 병행할 수 있다. 블록체인 노드는 블록체인 네트워크에 대한 채굴(mining) 과정을 수행함으로써 블록체인 네트워크를 통해 CTI 데이터가 공유될 수 있도록 할 수 있다.
피드 계층(300)은 CTI 기술을 통해 사이버 공격 및 위협의 존재를 탐지할 수 있다. 피드 계층(300)은 사이버 공격 및 위협에 대응하기 위한 보안 정책을 생성할 수 있다. 피드 계층(300)은 생성된 보안 정책을 공유하는 보안 서비스를 제공할 수 있다. 이를 위해 피드 계층(300)은 복수의 CTI 피드를 포함할 수 있다. 복수의 CTI 피드는 이와 같은 보안 서비스를 제공하는 기업이나 보안 서비스 제공자일 수 있다. 복수의 CTI 피드는 블록체인 네트워크의 각 블록에 저장된 CTI 데이터를 식별하여 분석할 수 있다. 복수의 CTI 피드는 각각 자체적인 데이터베이스를 보유할 수 있고, 각각이 목표로 하는 보안 기능을 가질 수 있다. 복수의 CTI 피드는 목표로 하는 보안 기능을 달성하기 위하여 데이터를 선별적으로 사용할 수 있다. 구체적으로, 피드 계층(300)은 CTI 데이터를 분석하여 복수의 사용자 노드에 대한 신뢰도를 생성할 수있다. 피드 계층(300)은 CTI 데이터에 기초하여 판별된 사이버 위협에 대응하는 보안 정책을 생성할 수 있다. 피드 계층(300)은 생성된 사용자 노드에 대한 신뢰도와 판별된 사이버 위협에 대응하는 보안 정책을 블록체인 네트워크 계층(200)에 공유할 수 있다.
이하에서는 도 2 내지 도 5를 참조하여 본 발명의 실시예에 따른 사이버 위협 인텔리전스 시스템의 프로세스를 설명하도록 한다.
도 2는 본 발명의 실시예에 따른 사이버 위협 인텔리전스 시스템의 전체 프로세스의 개념도이고, 도 3은 본 발명의 실시예에 따른 사이버 위협 인텔리전스 시스템의 전체 프로세스의 순서도이다.
도면을 통해 설명되는 사용자 계층(100)은 복수의 사용자 노드를 의미할 수 있고, 블록체인 네트워크 계층(200)은 복수의 블록체인 노드를 의미할 수 있고, 피드 계층(300)은 복수의 CTI 피드를 의미할 수 있다.
도 2 및 도 3을 참조하면, 사용자 계층(100), 즉 사용자 노드는 기 설정된 보안 소프트웨어를 이용하여 CTI 데이터를 수집할 수 있다.
우선, 사용자 계층(100)은 기 설정된 보안 소프트웨어를 이용하여 데이터를 수집할 수 있다(S305). 구체적으로, 보안 소프트웨어는 사용자 노드의 컴퓨팅 환경에서 수집되는 모든 시스템 및 네트워크 관련 로그(log)와 트래픽(traffic) 데이터로부터 사이버 보안을 위한 데이터 분석에 사용 가능한 모든 형태의 데이터를 수집할 수 있다. 이러한 수집 데이터의 유형은 다음의 표 1과 같이 나타낼 수 있다.
데이터 유형 데이터 설명
시스템 로그
(system log)		 시스템 시작/종료 관련 로그
원격 접속 로그
사용자 권한 관련 로그
보안 로그
(security log)		 로그인 행위 관련 로그
프로세스 생성 관련 로그
서비스 설치 관련 로그
운영체제 구동 관련 로그
애플리케이션 로그
(application log)		 애플리케이션 오류(error) 관련 로그
서비스 공작 관련 로그
권한 그룹별 사용자 권한 할당 관련 로그
네트워크 로그
(network log)		 통신 IP 관련 로그
통신 프로토콜 관련 로그
파일 송수신 관련 로그
표 1을 참조하면, 사용자 계층(100)은 시스템 로그(system log)에 관한 데이터로서 시스템 시작/종료 관련 로그, 원격 접속 로그 및 사용자 권한 관련 로그를 수집할 수 있다. 사용자 계층(100)은 보안 로그(security log)에 관한 데이터로서 로그인 행위 관련 로그, 프로세스 생성 관련 로그, 서비스 설치 관련 로그 및 운영체제 구동 관련 로그를 수집할 수 있다. 사용자 계층(100)은 애플리케이션 로그(application log)로서 애플리케이션 오류(error) 관련 로그, 서비스 공작 관련 로그 및 권한 그룹별 사용자 권한 할당 관련 로그를 수집할 수 있다. 사용자 계층(100)은 네트워크 로그(network log)로서 통신 IP 관련 로그, 통신 프로토콜 관련 로그 및 파일 송수신 관련 로그를 수집할 수 있다. 표 1에 도시된 데이터들은 예시적인 것으로서, 이외에도 다양한 데이터가 수집될 수 있다.
그러면, 사용자 계층(100)은 수집된 데이터로부터 CTI 데이터를 선별할 수 있다(S310). 사용자 계층(100)은 수집된 데이터 중 사이버 공격 및 위협에 관한 데이터가 있는지를 소정의 규칙을 통해 평가함으로써 선별할 수 있다. 예를 들어, 소정의 규칙은 사이버 공격 및 위협에 관한 데이터인지를 판단하기 위한 규칙일 수 있다.
다음으로, 사용자 계층(100)은 CTI 데이터를 블록체인 네트워크 계층(200)에 공유할 수 있다(S315). 사용자 계층(100)은 블록체인 클라이언트 소프트웨어를 이용하여 CTI 데이터를 제1 스마트 컨트랙트에 공유할 수 있다. 여기서, 제1 스마트 컨트랙트는 블록체인 기반 CTI 데이터 공유 기능을 담당하는 스마트 컨트랙트를 의미할 수 있다. 사용자 계층(100)은 CTI 데이터를 공유하기 위한 블록체인 클라이언트 소프트웨어를 포함할 수 있다. 사용자 계층(100)은 CTI 데이터를 공유하기 위해 튜링-완전(Turing-Complete)한 언어를 이용할 수 있고 스마트 컨트랙트(Smart Contract)를 지원할 수 있는 블록체인 기반 기술을 이용할 수 있다. 예를 들어, 이더리움(Ethereum)과 같은 블록체인 기반 기술이 이용될 수 있다. 한편, 사용자 계층(100)은 블록체인 클라이언트 소프트웨어를 이용하여 CTI 데이터를 공유하기 위해 필요한 채굴 과정을 함께 수행할 수 있다. 채굴은 기본적으로 작업증명(Proof of Work)의 방식을 사용하며, 전체 시스템에서 사용되는 블록체인 기반 기술의 지원 역량에 따라 지분증명(Proof of Steak) 방식을 사용할 수도 있다.
블록체인 네트워크 계층(200)은 제1 스마트 컨트랙트를 이용하여, 사용자 계층(100)으로부터 공유된 CTI 데이터를 저장하고(S320) 피드 계층(300)으로 전송할 수 있다(S325). 즉, 블록체인 네트워크 계층(200)은 제1 스마트 컨트랙트를 이용하여 CTI 데이터를 공유할 수 있다. 이때, 블록체인 네트워크 계층(200)은 CTI 데이터를 표현하기 위해 JSON(JavaScript Object Notaion) 기반의 표현 기법을 이용할 수 있다. 이러한 데이터 구조체의 키-값 구조에 사용되는 표현 형식은 CTI 데이터 공유와 관련된 산업상 표준(de-facto standard)인 STIX(Structured Threat Information Expression)를 이용할 수 있다.
그러면, 피드 계층(300)은 CTI 데이터가 사이버 위협에 관한 데이터인지를 평가할 수 있다(S330). 구체적으로, 피드 계층(300)에 포함된 복수의 CTI 피드는 공유된 CTI 데이터를 확인하여 해당 CTI 데이터가 실질적으로 사이버 공격 및 위협과 관련된 데이터인지 평가할 수 있다. 예를 들어, 복수의 CTI 피드는 공유된 CTI 데이터가 사이버 공격 및 위협과 무관한 데이터인지, 즉, 비정상적인 CTI 데이터가 공유된 것인지를 평가할 수 있다.
피드 계층(300)은 평가의 결과에 기초하여 복수의 사용자 노드에 대한 신뢰도를 생성할 수 있다(S335). 피드 계층(300)은 아래의 수학식 1을 이용하여 사용자 노드에 대한 신뢰도를 생성할 수 있다.
Figure 112021057540480-pat00002
여기서, ui는 사용자 노드 i를 의미하고, Fj는 CTI 피드 j를 의미하고, R(ui)는 사용자 노드 i의 신뢰도를 의미하고, dui는 사용자 노드 i가 한번의 스마트 컨트랙트 실행을 통해 공유한 CTI 데이터의 집합을 의미하고, nT(dui)는 CTI 데이터 집합에 포함된 전체 데이터의 개수를 의미하고, nF(dui)는 CTI 데이터 집합에 포함된 사이버 공격 및 위협과 무관한 데이터의 개수를 의미하고, εFj는 CTI 피드 j가 임의로 설정한 오류 가중치를 의미한다. 이때, 오류 가중치는 사용자 노드들이 공유하는 데이터 중 오류 데이터(즉, 사이버 공격 및 위협과 무관한 데이터)에 대한 허용 범위이자 역치를 의미할 수 있다.
상기의 수학식 1을 참조하면, 사용자 노드가 공유한 CTI 데이터 중 오류 데이터의 수가 CTI 피드의 허용 범위를 넘을 경우, 해당 사용자 노드에 대한 신뢰도가 하락할 수 있다.
피드 계층(300)은 생성된 신뢰도를 블록체인 네트워크 계층(200)에 전송할 수 있다(S340). 피드 계층(300)은 생성된 신뢰도를 블록체인 네트워크 계층(200)의 제2 스마트 컨트랙트에 공유할 수 있다. 여기서, 제2 스마트 컨트랙트는 사용자 노드의 관리 및 평가 기능을 담당하는 스마트 컨트랙트를 의미할 수 있다.
S330 내지 S340 단계는 CTI 피드의 신뢰성 평가부에 의해 수행될 수 있다.
블록체인 네트워크 계층(200)은 전송받은 신뢰도를 저장할 수 있다(S345). 블록체인 네트워크 계층(200)은 제2 스마트 컨트랙트에 신뢰도를 저장할 수 있다. 저장된 신뢰도는 제2 스마트 컨트랙트에 의해 공개될 수 있고, 블록체인 네트워크 상에 공개된 정보로서 복수의 사용자 노드와 복수의 CTI 피드에 의해 이용될 수 있다.
피드 계층(300)은 CTI 데이터에 기초하여 보안 정책을 생성할 수 있다(S350).
도 4는 도 3의 S350 단계를 구체적으로 도시한 순서도이다.
우선, 피드 계층(300)은 사이버 위협에 관한 데이터로 평가된 CTI 데이터 중 복수의 CTI 피드 각각에 설정된 목표 보안 기능에 대응하는 CTI 데이터를 선별할 수 있다(S351). 일 실시예에 따르면, 피드 계층(300)에 포함된 복수의 CTI 피드는 각각에 설정된 사이버 위협 분석 기능을 이용하여 CTI 데이터에서 설정된 목표 보안 기능에 대응하는 사이버 공격 및 위협의 존재 여부를 판단함으로써 CTI 데이터를 선별할 수 있다.
그리고, 피드 계층(300)은 선별된 CTI 데이터에 기초하여 사이버 위협에 대응하는 보안 정책을 생성할 수 있다(S352). 즉, 피드 계층(300)에 포함된 복수의 CTI 피드는 CTI 선별 과정에서 판별된 사이버 공격 및 위협에 대한 보안 정책을 생성할 수 있다.
S350 단계는 CTI 피드의 보안정책 생성부에 의해 수행될 수 있다.
그러면, 피드 계층(300)은 보안 정책을 블록체인 네트워크 계층(200)에 전송할 수 있다(S355). 구체적으로, 피드 계층(300)은 보안 정책을 블록체인 너트워크의 제3 스마트 컨트랙트에 공유할 수 있다. 생성된 보안 정책들은 사용자 노드 환경에서 적용될 수 있는 네트워크 차단 정책의 형태로 제공될 수 있다. 보안 정책들은 STIX 기반의 JSON 데이터 형태로 변환되어 제3 스마트 컨트랙트에 공유될 수 있다. 여기서 제3 스마트 컨트랙트는 보안 정책 공유 및 전파 기능을 담당하는 스마트 컨트랙트를 의미할 수 있다.
S355 단계는 CTI 피드의 정책 공유부에 의해 수행될 수 있다.
블록체인 네트워크 계층(200)은 전송받은 보안 정책을 저장할 수 있다(S360).
다음으로, 블록체인 네트워크 계층(200)은 보안 정책의 공유 여부를 결정한 후 사용자 노드에 보안 정책을 공유할 수 있다(S365). 블록체인 네트워크 계층(200)은 제3 스마트 컨트랙트를 이용하여 보안 정책의 공유 여부 결정 및 보안 정책 공유를 수행할 수 있다. 보안 정책의 공유 여부 결정에는 제2 스마트 컨트랙트에 저장된 신뢰도를 이용할 수 있다.
도 5는 도 3의 S365 단계를 구체적으로 도시한 순서도이다.
우선, 블록체인 네트워크 계층(200)은 신뢰도와 기 설정된 임계치를 비교할 수 있다(S366). 이때, 임계치는 복수의 CTI 피드에 의해 설정될 수 있으며, 서로 상이하게 설정될 수 있다. 예를 들어, 제1 CTI 피드에 의해 생성된 보안 정책의 공유 여부 결정에 이용되는 임계치와 제2 CTI 피드에 의해 생성된 보안 정책의 공유 여부 결정에 이용되는 임계치는 서로 상이할 수 있다. 임계치는 각각의 CTI 피드에 의해 보안 정책을 공유할 때 설정될 수 있다.
블록체인 네트워크 계층(200)은 신뢰도가 임계치보다 낮은 사용자 노드로의 보안 정책 공유를 차단할수 있다(S367). 블록체인 네트워크 계층(200)은 신뢰도가 임계치보다 낮은 사용자 노드에 보안 정책을 공유하지 않을 수 있다.
블록체인 네트워크 계층(200)은 신뢰도가 임계치보다 낮은 사용자 노드로부터의 CTI 데이터 수신을 차단할 수 있다(S368).
블록체인 네트워크 계층(200)은 신뢰도가 기 설정된 임계치보다 높거나 같은 사용자 노드에 보안 정책을 공유할 수 있다(S369)
S365 단계는 아래의 수학식 2와 같이 나타낼 수 있다.
Figure 112021057540480-pat00003
여기서, Cui는 사용자 노드 ui가 CTI 피드로부터 전달받을 수 있는 최종 CTI 정보를 의미하고, pFj는 CTI 피드 Fj가 생성한 보안 정책을 의미한다. τFj는 CTI 피드 Fj가 생성한 보안 정책을 제공받기 위해 요구되는 사용자의 신뢰도에 대한 임계치를 의미할 수 있다.
이와 같이, 사용자 노드에 대한 신뢰도는 보안 정책을 공유받기 위한 권한으로 사용될 수 있다. 만약, 지속적으로 악성 CTI 데이터를 공유함으로써 신뢰도가 낮아진 사용자 노드는 향후 CTI 피드에서 생성된 보안 정책을 공유받지 못하게 될 뿐만 아니라 CTI 데이터를 블록체인 네트워크 상에 공유하지 못하게 되어, 사이버 위협 인텔리전스 시스템에서 제외될 수 있다. 이를 통해 악의적인 사용자의 시빌 공격을 효과적으로 차단할 수 있다.
사이버 위협 인텔리전스 기술은 고도화된 데이터 분석 기법을 통해 일련의 사이버 공격에 대한 추론적 지식을 산출한다는 점에서 그 기술적 가치와 역량이 매우 높다. 그러나. 대량의 데이터를 이용해야 한다는 점에서, 공격자의 시빌 공격에 매우 취약하다. 본 발명은 블록체인 기반의 데이터 공유와 신뢰도 평가를 통해 공격자의 시빌 공격을 원천 차단하는 방법을 포함하고 있으며, 사용자의 신뢰도를 실질적으로 계산하는 수식을 통해 제안된 시스템의 구현 가능성을 도모했다. 특히, 블록체인 기술을 통해 공유되는 CTI 데이터와 사용자의 평판 정보를 기록하고, 공유함으로써 전체 CTI 시스템의 가용성과 용이성, 확장성을 개선할 수 있는 기반 매커니즘을 포함하고 있다. 이는 CTI 시스템을 공격하려는 공격자의 행위를 원천적으로 차단할 수 있음과 동시에, 블록체인 기술과 CTI 기술을 융합함으로써 공격에 대한 고도화된 대응 방안을 도출했다는 점에서 그 독창성이 높다. 또한, 실제 상용 CTI 피드들이 데이터와 보안 정책을 공유하는 과정에 대한 호환성을 높이기 위해, 실 산업계의 표준을 차용함으로써 그 실현성과 적용가능성이 매우 높을 것으로 예상된다.
인공지능 기술을 필두로 하는 차세대 정보통신 기술은 데이터의 양과 품질에 의해 그 성능이 결정된다. 이러한 환경에서, 데이터의 신뢰성에 대한 이슈는 곧 정보통신 기술의 성능과 신뢰성에 직결된다는 점에서, 항상 최우선적으로 고려되어야 할 사안으로 작용한다. 본 발명은 최신 보안 기술의 영역인 CTI 기술에 대해, 데이터에 대한 신뢰성 평가를 기반으로 전체 시스템의 신뢰성과 성능을 개선하는 방법론과 그 시스템에 관한 것이다. 이는 최신 정보통신 기술의 핵심 이슈에 대한 근본적인 해결책으로 활용될 수 있으며, 더 나아가 타 사회 기반기술에 적용됨으로써, 미래 기술 사회의 핵심 요구사항을 만족할 수 있는 기반기술이 될 것으로 예상된다.
본 실시예에서 사용되는 '~부'라는 용어는 소프트웨어 또는 FPGA(field-programmable gate array) 또는 ASIC과 같은 하드웨어 구성요소를 의미하며, '~부'는 어떤 역할들을 수행한다. 그렇지만 '~부'는 소프트웨어 또는 하드웨어에 한정되는 의미는 아니다. '~부'는 어드레싱할 수 있는 저장 매체에 있도록 구성될 수도 있고 하나 또는 그 이상의 프로세서들을 재생시키도록 구성될 수도 있다. 따라서, 일 예로서 '~부'는 소프트웨어 구성요소들, 객체지향 소프트웨어 구성요소들, 클래스 구성요소들 및 태스크 구성요소들과 같은 구성요소들과, 프로세스들, 함수들, 속성들, 프로시저들, 서브루틴들, 프로그램 코드의 세그먼트들, 드라이버들, 펌웨어, 마이크로코드, 회로, 데이터, 데이터베이스, 데이터 구조들, 테이블들, 어레이들, 및 변수들을 포함한다. 구성요소들과 '~부'들 안에서 제공되는 기능은 더 작은 수의 구성요소들 및 '~부'들로 결합되거나 추가적인 구성요소들과 '~부'들로 더 분리될 수 있다. 뿐만 아니라, 구성요소들 및 '~부'들은 디바이스 또는 보안 멀티미디어카드 내의 하나 또는 그 이상의 CPU들을 재생시키도록 구현될 수도 있다.
이상에서 실시예를 중심으로 설명하였으나 이는 단지 예시일 뿐 본 발명을 한정하는 것이 아니며, 본 발명이 속하는 분야의 통상의 지식을 가진 자라면 본 실시예의 본질적인 특성을 벗어나지 않는 범위에서 이상에 예시되지 않은 여러 가지의 변형과 응용이 가능함을 알 수 있을 것이다. 예를 들어, 실시예에 구체적으로 나타난 각 구성 요소는 변형하여 실시할 수 있는 것이다. 그리고 이러한 변형과 응용에 관계된 차이점들은 첨부된 청구 범위에서 규정하는 본 발명의 범위에 포함되는 것으로 해석되어야 할 것이다.
100 : 사용자 계층
200 : 블록체인 네트워크 계층
300 : 피드 계층

Claims (5)

  1. 복수의 사용자 노드를 포함하고, 기 설정된 보안 소프트웨어를 이용하여 사이버 공격에 대한 CTI 데이터를 수집하는 사용자 계층;
    복수의 CTI 피드를 포함하고, 상기 CTI 데이터를 분석하여 상기 복수의 사용자 노드에 대한 신뢰도를 생성하고, 상기 CTI 데이터에 기초하여 판별된 사이버 위협에 대응하는 보안 정책을 생성하는 피드 계층; 및
    복수의 스마트 컨트렉트를 포함하고, 상기 CTI 데이터, 상기 신뢰도 및 상기 보안 정책을 저장 및 공유하는 블록체인 네트워크 계층;을 포함하고,
    상기 피드 계층은,
    상기 CTI 데이터가 사이버 위협에 관한 데이터인지를 평가하고,
    상기 평가의 결과에 기초하여 상기 복수의 사용자 노드에 대한 신뢰도를 생성하고,
    사이버 위협에 관한 데이터로 평가된 CTI 데이터 중 상기 복수의 CTI 피드 각각에 설정된 목표 보안 기능에 대응하는 CTI 데이터를 선별하고,
    상기 선별된 CTI 데이터에 기초하여 사이버 위협에 대응하는 보안 정책을 생성하고,
    상기 신뢰도를 제2 스마트 컨트랙트에 공유하고, 상기 보안 정책을 제3 스마트 컨트랙트에 공유하는 사이버 위협 인텔리전스 시스템.
  2. 제1항에 있어서,
    상기 사용자 계층은,
    블록체인 클라이언트 소프트웨어를 이용하여 상기 CTI 데이터를 제1 스마트 컨트랙트에 공유하는 사이버 위협 인텔리전스 시스템.
  3. 삭제
  4. 제1항에 있어서,
    상기 피드 계층은,
    아래의 수학식을 이용하여 상기 신뢰도를 산출하는 사이버 위협 인텔리전스 시스템.
    Figure 112022106535671-pat00004

    여기서, 상기 ui는 사용자 노드 i를 의미하고, Fj는 CTI 피드 j를 의미하고, R(ui)는 사용자 노드 i의 신뢰도를 의미하고, dui는 사용자 노드 i가 한번의 스마트 컨트랙트 실행을 통해 공유한 CTI 데이터들의 집합을 의미하고, nT(dui)는 상기 CTI 데이터 집합에 포함된 전체 데이터의 개수를 의미하고, nF(dui)는 상기 CTI 데이터 집합에 포함된 사이버 공격 및 위협과 무관한 데이터의 개수를 의미하고, 상기 εFj는 상기 CTI 피드 j가 임의로 설정한 오류 가중치를 의미한다.
  5. 복수의 사용자 노드를 포함하고, 기 설정된 보안 소프트웨어를 이용하여 사이버 공격에 대한 CTI 데이터를 수집하는 사용자 계층;
    복수의 CTI 피드를 포함하고, 상기 CTI 데이터를 분석하여 상기 복수의 사용자 노드에 대한 신뢰도를 생성하고, 상기 CTI 데이터에 기초하여 판별된 사이버 위협에 대응하는 보안 정책을 생성하는 피드 계층; 및
    복수의 스마트 컨트렉트를 포함하고, 상기 CTI 데이터, 상기 신뢰도 및 상기 보안 정책을 저장 및 공유하는 블록체인 네트워크 계층;을 포함하고,
    상기 블록체인 네트워크 계층은,
    상기 신뢰도가 기 설정된 임계치보다 높거나 같은 사용자 노드에 상기 보안 정책을 공유하고,
    상기 신뢰도가 상기 임계치보다 낮은 사용자 노드에 상기 보안 정책을 공유하지 않고,
    상기 신뢰도가 상기 임계치보다 낮은 사용자 노드로부터의 상기 CTI 데이터의 수신을 차단하는 사이버 위협 인텔리전스 시스템.
KR1020210064280A 2020-12-31 2021-05-18 사이버 위협 인텔리전스 시스템 KR102502539B1 (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR20200189023 2020-12-31
KR1020200189023 2020-12-31

Publications (2)

Publication Number Publication Date
KR20220097126A KR20220097126A (ko) 2022-07-07
KR102502539B1 true KR102502539B1 (ko) 2023-02-23

Family

ID=82398461

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020210064280A KR102502539B1 (ko) 2020-12-31 2021-05-18 사이버 위협 인텔리전스 시스템

Country Status (1)

Country Link
KR (1) KR102502539B1 (ko)

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102024991B1 (ko) * 2017-09-26 2019-11-04 한양대학교 산학협력단 이동체 기기 및 이의 데이터 전송 방법
KR102128008B1 (ko) * 2018-08-13 2020-06-29 국방과학연구소 사이버 위협 정보 처리 방법 및 장치

Also Published As

Publication number Publication date
KR20220097126A (ko) 2022-07-07

Similar Documents

Publication Publication Date Title
US20240064168A1 (en) Incorporating software-as-a-service data into a cyber threat defense system
US11089045B2 (en) User and entity behavioral analysis with network topology enhancements
US20210273957A1 (en) Cyber security for software-as-a-service factoring risk
US10728263B1 (en) Analytic-based security monitoring system and method
US20210250372A1 (en) Peer Device Protection
US20210273953A1 (en) ENDPOINT AGENT CLIENT SENSORS (cSENSORS) AND ASSOCIATED INFRASTRUCTURES FOR EXTENDING NETWORK VISIBILITY IN AN ARTIFICIAL INTELLIGENCE (AI) THREAT DEFENSE ENVIRONMENT
US11757920B2 (en) User and entity behavioral analysis with network topology enhancements
US20220201042A1 (en) Ai-driven defensive penetration test analysis and recommendation system
US11522877B2 (en) Systems and methods for identifying malicious actors or activities
US10484400B2 (en) Dynamic sensors
Sancho et al. New approach for threat classification and security risk estimations based on security event management
US20230009127A1 (en) Method for cyber threat risk analysis and mitigation in development environments
US20230205891A1 (en) Systems and methods for prioritizing security findings using machine learning models
US20230095415A1 (en) Helper agent and system
Patel et al. Taxonomy and proposed architecture of intrusion detection and prevention systems for cloud computing
Xuan et al. A multi-layer approach for advanced persistent threat detection using machine learning based on network traffic
Nkosi et al. Insider threat detection model for the cloud
US20230412620A1 (en) System and methods for cybersecurity analysis using ueba and network topology data and trigger - based network remediation
US9729505B2 (en) Security threat analysis
Khan et al. Towards augmented proactive cyberthreat intelligence
KR102502539B1 (ko) 사이버 위협 인텔리전스 시스템
Borisenko et al. Detecting the origin of DDoS attacks in openstack cloud platform using data mining techniques
Xuan et al. New approach for APT malware detection on the workstation based on process profile
Samir et al. Adaptive Controller to Identify Misconfigurations and Optimize the Performance of Kubernetes Clusters and IoT Edge Devices
Kumari et al. Leveraging blockchain and machine learning to counter DDoS attacks over IoT network

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right