KR102533101B1 - 매트릭스 기반 TTPs 관점 사이버 위협 행위 표시 방법 및 위협 행위 분석 장치 - Google Patents
매트릭스 기반 TTPs 관점 사이버 위협 행위 표시 방법 및 위협 행위 분석 장치 Download PDFInfo
- Publication number
- KR102533101B1 KR102533101B1 KR1020220140080A KR20220140080A KR102533101B1 KR 102533101 B1 KR102533101 B1 KR 102533101B1 KR 1020220140080 A KR1020220140080 A KR 1020220140080A KR 20220140080 A KR20220140080 A KR 20220140080A KR 102533101 B1 KR102533101 B1 KR 102533101B1
- Authority
- KR
- South Korea
- Prior art keywords
- data
- block
- threat
- threat behavior
- host
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 61
- 238000004458 analytical method Methods 0.000 title claims description 24
- 239000011159 matrix material Substances 0.000 title claims description 18
- 201000007023 Thrombotic Thrombocytopenic Purpura Diseases 0.000 title 1
- 230000006399 behavior Effects 0.000 claims abstract description 127
- 238000013480 data collection Methods 0.000 claims abstract description 20
- 230000000903 blocking effect Effects 0.000 claims abstract description 6
- 230000009471 action Effects 0.000 claims description 26
- 238000004891 communication Methods 0.000 claims description 18
- 230000008859 change Effects 0.000 claims description 8
- 230000008569 process Effects 0.000 claims description 4
- 239000000284 extract Substances 0.000 claims description 3
- 230000010365 information processing Effects 0.000 claims description 2
- 238000010586 diagram Methods 0.000 description 14
- 238000012545 processing Methods 0.000 description 14
- 238000005516 engineering process Methods 0.000 description 10
- 230000000694 effects Effects 0.000 description 6
- 238000011156 evaluation Methods 0.000 description 5
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 239000003086 colorant Substances 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 230000010267 cellular communication Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 230000036541 health Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Computer And Data Communications (AREA)
Abstract
본 발명은 단말의 위협 행위 표시 방법에 관한 것으로, 네트워크 내에서 지정된 시간동안 패킷을 분석하여 위협 행위 데이터를 수집하고, 위협 행위 데이터를 정형화된 공격 식별자, 호스트 및 공격 유형에 따라 분류하는 데이터 수집 단계, 이를 블록화하여 제1 색상으로 표시하는 제1 블록 표시단계, 화면의 제2 영역에 데이터를 호스트별로 분류하고, 이를 블록화하여 표시하는 제2 블록 표시단계, 임의의 제2 블록을 선택하는 제스처가 수신되면, 제1 블록 중 제2 블록의 호스트와 관련된 위협 행위에 대응되는 블록을 제2 색상으로 표시하는 단계를 포함한다. 본 발명에 따르면, 보안 담당자는 위협 행위를 동적으로 분석하여 보다 용이하게 가해진 위협 행위를 파악할 수 있으며, 호스트 정보 및 피어 정보도 용이하게 파악할 수 있다.
Description
이 발명은 위협 행위 표시 방법 및 위협 행위 분석 장치에 관한 것으로, 더욱 상세하게는 사용자의 선택에 대응하여 동적으로 위협 행위 정보를 분석하고, 분석된 정보를 제공하는 사이버 위협 행위 표시 방법 및 분석 장치에 관한 것이다.
신종 또는 변종 등의 악성코드를 중심으로 점차 고도화되고 있는 사이버 보안 위협의 피해가 커지고 있다. 이러한 피해를 조금이라도 줄이고 조기에 대응하기 위해서 다차원의 패턴 구성 및 각종 복합 분석 등을 통해서 대응 기술에 대한 고도화를 병행해 나가고 있다. 그러나, 최근의 사이버 공격은 제어 범위 내에 적절하게 대응되기 보다는 오히려 나날이 위협이 증가하고 있는 추세이다. 이러한 사이버 공격은 기존 ICT (Information and Communication Technology) 기반 시설을 넘어서 우리 삶에 직접적으로 영향을 끼치는 금융, 교통, 환경, 건강 등에까지 위협을 가하고 있다.
현존하는 대부분의 사이버 보안 위협을 탐지하고 대응하는 기반 기술 중에 하나는 사이버 공격 또는 악성 코드에 대한 패턴을 데이터베이스를 사전에 생성하고 데이터 흐름이 필요한 곳에 적절한 모니터링 기술을 활용한다. 다만, 기존의 모니터링 기술은 전체적인 위협 상황을 대략적으로 파악할 수는 있었으나, 공격자별 또는 공격 대상을 특정하거나, 공격을 유형별로 나누어 파악하는 데에는 한계가 있다는 문제점이 있었다.
본 발명은 일정시간 발생한 위협 행위의 주체 및 대상을 특정하고, 위협 행위를 분류하여 표시함으로써 사용자가 위협 행위를 용이하게 파악 가능하도록 하는 위협 행위 표시 방법 및 분석 장치를 제공하고자 한다.
본 발명은 전술한 목적을 달성하기 위한 것으로, 본 발명에 따른 위협 행위 표시 방법은 네트워크 내에서 지정된 시간동안 패킷을 분석하여 위협 행위 데이터를 수집하고, 위협 행위 데이터를 정형화된 공격 식별자, 호스트 및 공격 유형에 따라 분류하는 데이터 수집 단계, 단말 화면의 제1 영역에 데이터를 정형화된 공격 식별자로 분류하고 이를 블록화하여 제1 색상으로 표시하는 제1 블록 표시단계, 화면의 제2 영역에 데이터를 호스트별로 분류하고, 이를 블록화하여 표시하는 제2 블록 표시단계, 임의의 제2 블록을 선택하는 제스처가 수신되면, 제1 블록 중 상기 제2 블록의 호스트와 관련된 위협 행위에 대응되는 블록을 제2 색상으로 표시하는 단계를 포함할 수 있다.
본 발명은 마이터 어택(MITRE ATT&CK) 기술 등을 동적으로 분석할 수 있는 위협 행위 표시 방법을 제공함으로써 위협 행위와 관련된 간결한 맥락을 제공할 수 있다.
도 1은 종래의 MITRE ATT&CK 행렬을 나타낸 도면이다.
도 2는 본 발명의 일 실시예에 따른 위협 행위 분석 장치의 그 운용 환경을 설명하기 위한 도면이다.
도 3은 본 발명의 일 실시예에 따른 위협 행위 분석 장치의 구성을 설명하기 위한 도면이다.
도 4는 본 발명의 일 실시예에 따른 데이터처리부의 데이터 처리 과정을 설명하기 위한 도면이다.
도 5는 본 발명의 일 실시예에 따른 해시맵을 설명하기 위한 도면이다.
도 6은 본 발명의 일 실시예에 따른 사용자 인터페이스를 설명하기 위한 도면이다.
도 7은 본 발명의 일 실시예에 따른 위협 행위 표시 방법의 순서도이다.
도 8은 본 발명의 일 실시예에 따른 위협 행위 데이터 수집 단계를 설명하기 위한 도면이다.
도 2는 본 발명의 일 실시예에 따른 위협 행위 분석 장치의 그 운용 환경을 설명하기 위한 도면이다.
도 3은 본 발명의 일 실시예에 따른 위협 행위 분석 장치의 구성을 설명하기 위한 도면이다.
도 4는 본 발명의 일 실시예에 따른 데이터처리부의 데이터 처리 과정을 설명하기 위한 도면이다.
도 5는 본 발명의 일 실시예에 따른 해시맵을 설명하기 위한 도면이다.
도 6은 본 발명의 일 실시예에 따른 사용자 인터페이스를 설명하기 위한 도면이다.
도 7은 본 발명의 일 실시예에 따른 위협 행위 표시 방법의 순서도이다.
도 8은 본 발명의 일 실시예에 따른 위협 행위 데이터 수집 단계를 설명하기 위한 도면이다.
본 명세서 또는 출원에 개시되어 있는 본 발명의 개념에 따른 실시 예들에 대해서 특정한 구조적 내지 기능적 설명들은 단지 본 발명의 개념에 따른 실시 예를 설명하기 위한 목적으로 예시된 것으로, 본 발명의 개념에 따른 실시 예들은 다양한 형태로 실시될 수 있으며 본 별명의 개념에 따른 실시 예들은 다양한 형태로 실시될 수 있으며 본 명세서 또는 출원에 설명된 실시 예들에 한정되는 것으로 해석되어서는 아니 된다.
본 발명의 개념에 따른 실시 예는 다양한 변경을 가할 수 있고 여러 가지 형태를 가질 수 있으므로 특정 실시 예들을 도면에 예시하고 본 명세서 또는 출원에 상세하게 설명하고자 한다. 그러나, 이는 본 발명의 개념에 따른 실시 예를 특정한 개시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.
다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥상 가지는 의미와 일치하는 의미를 가지는 것으로 해석되어야 하며, 본 명세서에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.
실시 예를 설명함에 있어서 본 발명이 속하는 기술 분야에 익히 알려져 있고 본 발명과 직접적으로 관련이 없는 기술 내용에 대해서는 설명을 생략한다. 이는 불필요한 설명을 생략함으로써 본 발명의 요지를 흐리지 않고 더욱 명확히 전달하기 위함이다.
본 명세서에서 '위협 행위 데이터'란 수집된 네트워크 패킷 데이터 중 사이버 보안 위협으로 탐지된 데이터를 의미한다.
'호스트'란 사용자 단말 중 위협 행위의 타겟이 된 장치 또는 위협 행위에 노출된 장치를 의미한다.
'피어'란 호스트와 통신행위를 한 장치로, 공격자 또는 위협 행위의 주체가 되는 장치를 의미한다.
'MITRE ATT&CK'이란, 보안 전문가 집단이 사이버 보안 위협 행위를 분류한 데이터 베이스의 일 예로, 사이버 보안 위협 행위를 매트릭스(Matrix)로 분류한 데이터베이스이다. 'MITRE ATT&CK'은 특정 보안 공격 기법이나 행위들을 매트릭스 형식의 구성 요소들로 표시함으로써, 공격 기법과 행위들을 일정한 데이터 세트 형식으로 식별할 수 있도록 한다. 'MITRE ATT&CK'은 해커 또는 악성 코드의 공격 기법에 대한 내용을 공격의 단계 별로 분류하여 CVE 코드(Common Vulnerabilities and Exposures Code, 알려진 취약점)의 매트릭스로 표현할 수 있으며, 사용자가 정의한 취약점도 매트릭스로 분류하여 표현할 수 있다. 사용자가 정의한 취약점이란, CVE 코드는 아니지만 사용자가 위협행위로 정의한 취약점을 의미한다. 구체적 실시예에 따르면, 웹서비스 운영 주체는 관리자 페이지에 인가받지 않은 IP주소로 접속을 시도할 경우, 보안 장비(방화벽 또는 IDS 등)에서 해당 행위를 위협 행위로 탐지하고 'MITRE ATT&CK'매트릭스에 분류하여 표현할 수 있습니다.
즉, 위협 행위 분석 장치는 네트워크 패킷 데이터를 분석함으로써 여러 가지 위협 행위들 중 특정 공격 행위를 식별하고, 식별된 타입의 공격 행위가 전문가 단체들이 인정하는 실제 수행되는 공격 코드들에 매칭되도록 함으로써 공격 행위 식별이 전문적이면서 공통으로 인식되는 요소들로 표현되도록 MITRE ATT&CK에 분류할 수 있다. 수집된 위협 행위는 MITRE ATT&CK 분류에 따른 전술(tactic), 기술(technique), 평가(evaluation)의 하위구성으로 분류될 수 있다. 도 1은 종래의 MITRE ATT&CK 행렬을 나타낸 도면이며, 종래의 분류는 14개의 전술(tactic) 및 222개의 기술(technique)을 포함한다. 다만, 전술 및 기술의 종류 및 개수는 계속하여 변경될 수 있는 바, 종래 행렬에 한정되는 것은 아니다.
이하에서는 이 발명의 실시 예에 대하여 첨부된 도면을 참조하여 더욱 구체적으로 설명하기로 한다.
도 2는 본 발명의 일 실시예에 따른 위협 행위 분석 장치의 운용 환경을 설명하기 위한 도면이며, 도 3은 본 발명의 일 실시예에 따른 위협 행위 분석 장치의 구성을 설명하기 위한 도면이다.
도 2 및 도 3을 참조하면, 위협 행위 분석 장치(200)는 데이터수집부(210), 데이터처리부(220), UI생성부(230), 통신부(240) 및 데이터베이스(300)를 포함하는 서버일 수 있다. 위협 행위 분석 장치(200)는 지정된 시간동안 호스트의 네트워크 패킷을 수집하고, 해당 패킷을 분석하여 위협 행위를 탐지하고, 탐지된 위협 행위의 공격자 및 공격 대상을 특정하고, 탐지된 위협 행위를 유형별로 나누어 동적으로 파악할 수 있도록 고안되었다. 또한, 위협 행위 분석 장치(200)는 공격자, 공격 대상, 위협 행위 등의 고속 검색이 가능하도록 해시테이블을 제작하고, 다양한 해쉬맵 형태로 데이터를 저장함으로써 위협 행위 데이터를 고속으로 동적 분석할 수 있도록 하였다. 위협 행위 분석 장치(200)가 네트워크 패킷을 수집하는 시간은 수분, 수시간, 수일, 수주 일 수 있으며, 위협 행위를 탐지 및 분석하고자 하는 주체가 지정하는 시간일 수 있다.
데이터수집부(210)는 지정된 시간동안 호스트가 유/무선 통신상 송/수신하는 패킷 데이터를 수집한다. 필요에 따라, 데이터수집부(210)는 기업 내 다수의 호스트의 패킷 데이터를 수집할 수 있다.
도 4는 본 발명의 일 실시예에 따른 데이터처리부(220)의 데이터 처리 과정을 설명하기 위한 도면이다.
데이터처리부(220)는 수집된 패킷 데이터를 분석하여 위협 행위 데이터를 추출하고, 위협 행위 데이터의 공격 기법, 호스트 및 피어 등을 식별한다. 추출된 위협 행위 데이터는 호스트 IP, 위협 행위의 공격 기법 정보, 피어(peer) IP 정보 등을 포함할 수 있다.
데이터처리부(220)는 위협 행위 데이터를 호스트별로 구조화하고, 이를 해시 테이블 형태로 처리하여 메모리에 저장한다. 이때 저장되는 데이터는 호스트 IP, 위협 행위의 공격 기법 정보, 피어(peer) IP, 피어(peer) DB 정보를 포함한다.
피어 DB 정보는 호스트에 위협 행위를 한 피어의 배열에 관한 정보를 의미한다. 보다 구체적으로, 본 발명의 데이터처리부(220)는 동일 호스트에 복수개의 피어가 위협 행위를 가한 경우, 고속 탐색을 위하여 복수의 피어 정보를 연속적으로 피어 배열(array)에 저장하도록 하였다. 또한, 데이터처리부(220)는 저장되는 위협 행위 데이터에 이러한 피어 DB위치 정보, 해당하는 피어의 수 정보를 포함시킴으로써 동적 분석 효율을 향상시켰다.
도 4를 참조하면, 도면상에서 호스트는 Dev로, 피어는 Dev Peer 표현된다. 데이터처리부(220)는 복수개의 위협 행위 데이터를 추출하였다. 추출된 위협 행위 데이터는 해시 테이블(Hash table)로 표현된 뒤, Dev 배열(Array) 상에 순차적으로 저장된다. 이 때, Dev 배열상에 저장된 데이터는 호스트의 IP 주소, 공격 기법 정보(Tech ID) 뿐만 아니라 호스트와 통신한 피어가 저장된 Dev Peer의 인덱스 주소 및 호스트와 통신한 피어의 갯수 정보(인덱스 칸의 개수)를 포함한다. 즉, 데이터처리부(220)는 Dev Peer의 배열 상에서 특정 호스트와 통신한 피어의 정보를 연속적으로 저장하는 바, Dev Peer의 인덱스 주소 및 갯수 정보만으로 특정 호스트와 통신한 피어 정보를 빠르게 찾을 수 있다.
보다 구체적으로, 도 4의 Dev 16 데이터를 참조하면, 호스트 중 하나인 Dev 16의 피어는 피어 해시 테이블 index 3에 저장되어 있으며(Dev_Peer_index:3), 2개의 피어가 Dev 16을 공격한 것으로(Peer_cnt:2), index 3으로부터 연속된 2개의 피어 정보(index 3 및 index 4)가 Dev 16(호스트)에 위협 행위를 가한 피어의 정보가 된다.
또한, 특정 호스트에 대응되는 피어는 연속적으로 배열되므로, 하나의 피어가 복수개의 호스트를 공격한 경우, 해당 피어의 정보는 Dev Peer 배열상에 복수 번 나타날 수 있다. 도 4의 Dev Peer 데이터는 인덱스 0과 인덱스 3에 동일한 피어 IP를 표시하고 있다.
도 5는 본 발명의 일 실시예에 따른 해시맵을 설명하기 위한 도면이다.
도 5를 참조하면, 데이터처리부(220)는 추출된 위협 행위 데이터를 정형화된 공격 식별자로 분류할 수 있으며, MITREE ATT&CK 분류에 따른 전술(tactic), 기술(technique), 평가 (evaluation)의 하위구성으로 분류할 수 있다. 이에 더하여, 데이터처리부(220)는 위협 행위 데이터를 전술, 기술, 평가 각각으로 분류하여 해시맵을 구성하고, 이를 저장할 수 있다. 데이터처리부(220)는 해시맵을 구성하여 저장함으로써 더 빠르게 동적 분석을 실행할 수 있도록 하였다. 또한, 이들 분류는 각각 Tech id로 넘버링되어 데이터상에 저장될 수 있다. 도 5는 해시맵 작성의 일 실시예로, 전술에 따른 해시맵 작성 방법을 도시화하였다.
위협 행위 분석 장치(200)는 처리된 데이터를 데이터베이스(300)에 저장하여 관리할 수 있다.
UI생성부(230)는 저장된 데이터를 웹페이지 또는 응용 프로그램에 표시하기 위한 사용자 인터페이스를 생성한다.
도 6은 본 발명의 일 실시예에 따른 사용자 인터페이스를 설명하기 위한 도면이다. 도 6을 참조하면, 사용자 단말에 표시되는 화면은 복수개의 영역으로 구분될 수 있다.
사용자 단말 화면의 제1 영역은 위협 행위 데이터를 정형화된 공격 식별자로 분류하고, 블록화하여 나타내는 영역이며, 하나 이상의 제1 블록으로 표시할 수 있다. 보다 구체적으로, 도 6에서는 제1 영역에 마이터 어택(MITRE ATT&CK) 매트릭스(Matrix)를 나타내었다. 제1 영역은 (a)영역에는 전술(tactic)별로, (b)영역에는 기술(technique)별로 분류하여 제1 블록으로 나타낼 수 있다. 제1 블록은 해당 블록에 포함되는 기술의 명칭, 위협 행위의 수, 위협행위의 대상이 되는 호스트 수 정보를 포함할 수 있다.
사용자 단말 화면의 제2 영역은 위협 행위 데이터를 호스트별로 분류하여 하나 이상의 제2 블록으로 표시할 수 있다. 도 6(c)는 위협 행위의 대상이 된 호스트를 블록화하여 나타내었다. 제2 블록에는 호스트의 IP 주소, 연관된 위협 행위 개수, 위협 행위 종류의 수 정보 등이 표시된다.
필요에 따라, 제2 블록은 호스트의 위협 정도에 따라 내림차순으로 정렬될 수 있다. 즉, 제2 블록은 다수의 위협 행위의 대상이 된 호스트 순, 위협도가 높은 위협 행위의 대상이 된 호스트 순, 혹은 위협 행위 별로 위협 점수를 매겨 가장 높은 점수를 차지한 호스트 순으로 제2 블록을 정렬될 수 있다.
필요에 따라, 제2 블록은 "호스트 별 탐지된 전술(tactic)의 수" 또는 "호스트 별 탐지된 기술(technique)의 수"에 따라 내림차순으로 정렬될 수 있다.
필요에 따라, 제3 영역에는 위협 행위 데이터에 관한 통계 데이터가 표시될 수 있다. 보다 구체적으로, 사용자 단말 화면의 제3 영역에는 위협 행위 데이터의 네트워크 통신방법, 호스트의 수, 위협 행위의 수를 포함하는 그룹에서 적어도 하나 이상을 포함하는 통계 데이터가 표시될 수 있다. 사용자는 이를 통해 위협 행위를 빠르게 분석할 수 있다.
UI생성부(230)는 사용자 단말로부터 제2 블록을 선택하는 제스처가 수신되면, 제1 블록 중 선택된 호스트의 위협 행위에 대응되는 블록의 색상을 변경하여 표시하도록 사용자 인터페이스를 설정할 수 있다. 즉, 사용자가 제2 블록 중 특정 호스트를 선택하는 경우, UI생성부(230)는 해당 호스트와 관련 있는 위협행위를 포함하는 제1 블록들의 색을 변경시킬 수 있다. 필요에 따라, 사용자가 복수개의 제2 블록을 연속적으로 선택하는 경우, UI생성부(230)는 복수개의 제2 블록의 호스트와 관련 있는 위협행위를 포함하는 모든 제1 블록들의 색을 변경시킬 수 있다.
UI생성부(230)는 단말로부터 제1 블록 내에 전술(tactic) 및 기술(technique)목록을 포함하는 그룹 중 적어도 하나 이상을 선택하는 제스처가 수신되면 이에 대응되는 제1 블록의 색상을 제3 색상으로 변경하여 표시하도록 사용자 인터페이스를 설정할 수 있다. 이 때, UI생성부(230)는 선택된 제1 블록의 호스트 목록을 제2 블록에 나열할 수 있으며, 나열된 제2 블록의 호스트를 가지고 탐지된 제1 블록의 색상을 제4 색상으로 변경하여 표시할 수 있다.
일 실시예에 따르면, 사용자 단말은 1개의 전술 및 2개의 기술을 선택하는 제스처를 수신할 수 있으며, UI생성부(230)는 이들 모두를 만족하는 제1 블록의 색상을 흰색으로 변경하여 표시할 수 있다. 또한, UI생성부(230)는 선택된 제1 블록의 호스트 목록을 제2 블록에 나열할 수 있으며, 나열된 제2 블록의 호스트와 관련된 제1 블록의 색상을 보라색으로 변경하여 표시할 수 있다.
통신부(240)는 사용자 인터페이스에 따라 표시되는 데이터를 사용자 단말에 전송한다. 위협 행위 분석 장치(200)의 통신부(240)는 임의의 외부 기기 및 내부 서버와 통신을 수행할 수 있다. 예컨대, 통신부(240)는 UI생성부(230)가 생성한 사용자 인터페이스를 사용자 단말에 전송하여, 사용자가 위협 행위를 분석할 수 있도록 한다.
위협 행위 분석 장치(200)는, 통신부(240)를 통해, 네트워크에 접속하여 각종 데이터를 송수신할 수 있다. 통신부(240)는 크게 유선 타입과 무선 타입을 포함할 수 있다. 유선 타입과 무선 타입은 각각의 장단점을 가지므로, 경우에 따라서 위협 행위 분석 장치(200)에는 유선 타입과 무선 타입이 동시에 마련될 수도 있다. 여기서, 무선 타입의 경우에는 주로 와이파이(Wi-Fi) 같은 WLAN(Wireless Local Area Network) 계열의 통신 방식을 이용할 수 있다. 또는, 무선 타입의 경우에는 셀룰러 통신, 예컨대, LTE, 5G 계열의 통신 방식을 이용할 수 있다. 다만, 무선 통신 프로토콜이 상술한 예시에 제한되는 것은 아니며, 임의의 적절한 무선 타입의 통신 방식을 이용하는 것도 가능하다. 유선 타입의 경우에는 LAN(Local Area Network)이나 USB(Universal Serial Bus) 통신이 대표적인 예이며 그 외의 다른 방식도 가능하다.
이하에서는 본 발명의 일 실시예에 따른 위협 행위 표시 방법을 간략하게 설명한다.
본 발명의 일 실시예에 따른 위협 행위 표시 방법은 동적 마이터 분석 기술을 통해 위협 행위 식별 및 대상 파악에 추가적인 정보를 제공하기 위해 고안되었다. 즉, 본 발명은 네트워크 패킷 데이터를 수집하고, 이를 분석하여 위협 행위별로 분류하여 저장하고, 동적 마이터 분석 기술을 통해 사용자가 위협을 보다 용이하게 파악할 수 있도록 도와주는 위협 행위 표시 방법 및 위협 정보 처리 장치에 관한 것이다.
도 7은 본 발명의 일 실시예에 따른 위협 행위 표시 방법의 순서도이다.
도 7을 참고하면, 서버의 위협 행위 표시 방법은 데이터 수집 단계(S1100), 제1 블록 표시단계(S1200), 제2 블록 표시단계(S1300) 및 제2 색상 표시단계(S1400)를 포함할 수 있다.
데이터 수집 단계(S1100)에서, 서버는 네트워크 내에서 지정된 시간동안 패킷을 수집한 뒤, 이를 분석하여 위협 행위와 관련된 데이터를 수집할 수 있다. 수집된 네트워크 패킷을 분석하여 위협 행위와 관련된 데이터(이하, 위협 행위 데이터)를 수집하는 방법은 종래 공개된 기술을 사용하는 바, 이에 대한 자세한 설명은 생략한다. 필요에 따라, 서버는 기업 내 다수 장치의 네트워크 패킷을 수집할 수 있다. 지정된 시간은 수 초, 수 분, 수 시간, 수 일, 수 주, 수십 일, 또는 수 년일 수 있으며, 사용자가 위협 행위를 분석하고 싶은 기간을 자유롭게 지정한 시간 일 수 있다.
데이터 수집 단계(S1100)에서, 서버는 위협 행위 데이터에 포함된 호스트 및 이와 통신한 피어(peer)를 추출할 수 있다.
도 8은 본 발명의 일 실시예에 따른 데이터 수집 단계(S1100)를 설명하기 위한 도면이다.
필요에 따라, 데이터 수집 단계(S1100)는 수집된 위협 행위 데이터를 분석하여 위협 행위를 분류하는 단계(S1110)를 포함할 수 있다. 위협 행위 분류 단계에서, 서버는 수집된 위협 행위 데이터를 정형화된 공격 식별자, 공격 유형 등으로 분류할 수 있다. 서버는 위협 행위를 분류하는 기준을 직접 만들어 위협 행위 데이터를 분류할 수 있으며, 또는 공개된 분류 기준에 맞추어 분류할 수 있다.
본 발명의 일 실시예에 따르면, 데이터 수집 단계(S1100)에서, 서버는 위협 행위 데이터를 MITRE ATT&CK 행렬에 따라 분류할 수 있다. MITRE ATT&CK 행렬은 위협 행위를 정형화된 전술(tactic), 기술(technique), 평가(evaluation)에 맞추어 분류하는 기법으로, 공지된 분류 기법인 바 이에 대한 자세한 설명은 생략하도록 한다. 또한, 서버는 MITRE ATT&CK 행렬에 따른 전술, 기술, 평가 내 각 항목요소에 Tech_id값을 부여하며, 수집된 위협 행위 데이터를 항목별로 분류한 뒤, 이에 해당하는 Tech_id값을 위협 행위 데이터에 부여할 수 있다.
필요에 따라, 데이터 수집 단계(S1100)는 해시 테이블을 생성하는 단계(S1120)를 포함할 수 있다. 데이터 수집 단계(S1100)에서, 서버는 위협 행위 데이터를 해싱하고, 적어도 하나 이상의 데이터가 분리 연결법(Separate changing) 방식으로 배열되도록 해시 테이블을 생성할 수 있다.
해시 테이블 생성단계(S1120)에서, 서버는 호스트(host) 및 피어(peer) 각각에 대응되도록 복수개의 해시 테이블을 생성할 수 있다.
해시 테이블 생성단계(S1120)에서, 서버는 호스트 해시 테이블과 피어 해시 테이블을 서로 연결할 수 있다. 보다 구체적으로, 서버는 각각의 해시 테이블을 배열(array) 형태로 저장할 수 있으며, 저장되는 호스트 배열에 호스트 IP, 위협 행위의 Tech_id 정보, 피어(peer) IP, 피어(peer) DB 정보를 포함하도록 하여, 호스트 해시 테이블과 피어 해시 테이블이 서로 연결되도록 해시 테이블을 생성할 수 있다.
또한, 데이터 수집 단계(S1100)는 해시 맵 생성 단계(S1130)를 포함할 수 있다. 해시 맵 생성 단계(S1130)에서, 서버는 분류된 위협 행위 데이터를 전술(tactic), 기술(technique)에 따라 별도의 해시 맵을 생성할 수 있다. 이는 데이터 동적 분석 시, 전술 별 또는 기술 별 검색 효율성을 향상시키기 위함이다.
제1 블록 표시단계(S1200)에서, 서버는 수집 및 분류된 데이터를 단말 화면의 제1 영역에 블록화하여 제1 색상으로 표시할 수 있다. 제1 블록은 제1 영역에 블록화하여 표시된 블록을 의미한다. 구체적 일 실시예에 따르면, 서버는 MITRE ATT&CK 행렬에 따라 분류된 위협 행위 데이터를 블록화하여 제1 색상으로 표시할 수 있다. 필요에 따라, 서버는 제1 블록에 해당 블록에 포함되는 기술의 명칭, 위협 행위의 수, 위협행위의 대상이 되는 호스트 수 정보 중 적어도 하나 이상의 정보를 표시할 수 있다.
제2 블록 표시단계(S1300)에서, 서버는 화면의 제2 영역에 수집 및 분류된 데이터를 호스트별로 블록화하여 표시할 수 있다. 제2 블록은 제2 영역에 블록화하여 표시된 블록을 의미한다. 필요에 따라, 제2 블록은 제1 블록과 동일한 색상으로 표시될 수 있으며, 다른 색상으로 표시될 수 있다. 서버는 위협 행위의 대상이 된 호스트별로 블록을 생성하여 호스트 관련 위협 정보를 표시할 수 있으며, 제2 블록에는 호스트의 IP 주소, 연관된 위협 행위 개수 정보, 피어의 수 정보 중 하나 이상의 정보가 포함될 수 있다.
필요에 따라, 서버는 제2 블록을 호스트의 위협 정도에 따라 내림차순으로 정렬할 수 있다. 보다 구체적으로, 서버는 대상이 된 위협 행위의 수가 많은 호스트의 순, 위협도가 높은 위협 행위의 대상이 된 호스트 순, 혹은 위협 행위 별로 위협 점수를 매긴 후, 합계가 가장 높은 점수를 차지한 호스트 순으로 제2 블록을 정렬할 수 있다.
필요에 따라, 제2 블록은 "호스트 별 탐지된 전술(tactic)의 수" 또는 "호스트 별 탐지된 기술(technique)의 수"에 따라 내림차순으로 정렬될 수 있다.
필요에 따라, 본 발명의 위협 행위 표시 방법은 제3 영역에 통계 데이터를 표시하는 단계를 더 포함할 수 있다. 서버는 수집 및 분류된 위협 행위 데이터를 이용하여 통계 데이터를 생성하고, 이를 제3 영역에 표시할 수 있다. 통계데이터는 수집된 위협 행위 데이터의 네트워크 통신방법, 호스트의 수, 위협 행위의 수를 포함하는 그룹에서 적어도 하나 이상의 정보를 포함한다.
제2 색상 표시단계(S1400)에서, 서버는 임의의 제2 블록을 선택하는 제스처가 수신되면, 제1 블록 중 제2 블록의 호스트와 관련된 위협 행위에 대응되는 블록을 제2 색상으로 변경 표시할 수 있다. 서버는 복수개의 제2 블록을 연속적으로 선택하는 제스처가 수신되는 경우, 복수개의 제2 블록의 호스트와 관련 있는 위협행위를 포함하는 모든 제1 블록들의 색상을 제2 색상으로 표시할 수 있다. 제2 색상은 제1 색상과 구별되는 색상을 의미하며, 사용자 지정에 따라 선택될 수 있다. 해당 단계를 통해 관리자는 위협 행위 데이터를 동적으로 분석할 수 있으며, 관리자는 보다 빠르게 호스트에 가해진 위협 행위를 파악할 수 있다. 또한, 서버는 호스트와 피어의 해시 테이블, 해시 맵을 이용하여 블록을 선택하는 제스처가 수신되는 경우, 즉각적으로 색상이 변경될 수 있도록 하였다. 관리자는 이를 통하여 시간별 위협 행위를 빠르게 파악할 수 있으며, 위협 정도가 높은 호스트를 파악하고 이에 대한 대응책을 마련할 수 있다.
위협 행위 표시 방법은 제3 색상 표시단계를 포함할 수 있다. 제3 색상 표시단계에서, 서버는 제1 영역에 MITRE ATT&CK 행렬 내에 전술(tactic) 및 기술(technique)목록 중 적어도 하나 이상을 선택하는 제스처가 수신되면, 이에 대응되는 제1 블록을 제3 색상으로 표시할 수 있다. 필요에 따라, 서버는 복수개의 조건을 선택하는 제스처가 수신되면, 해당 조건을 모두 만족하는 제1 블록만을 제3 색상으로 표시할 수 있다. 제3 색상은 제1 색상과 구별되는 색상을 의미하여, 사용자 지정에 따라 다양한 색상이 선택될 수 있으며, 제2 색상과 동일한 색상의 선택도 가능하다.
본 발명의 실시예에 따른 위협 행위 표시 방법에 의하면, 보안 담당자는 위협 행위를 동적으로 분석하여 보다 용이하게 가해진 위협 행위를 파악할 수 있으며, 호스트 정보 및 피어 정보도 용이하게 파악할 수 있다.
이상에서 실시 형태들에 설명된 특징, 구조, 효과 등은 본 발명의 적어도 하나의 실시 형태에 포함되며, 반드시 하나의 실시 형태에만 한정되는 것은 아니다. 나아가, 각 실시 형태에서 예시된 특징, 구조, 효과 등은 실시 형태들이 속하는 분야의 통상의 지식을 가지는 자에 의해 다른 실시 형태들에 대해서도 조합 또는 변형되어 실시 가능하다. 따라서 이러한 조합과 변형에 관계된 내용들은 본 발명의 범위에 포함되는 것으로 해석되어야 할 것이다.
또한, 이상에서 실시 형태를 중심으로 설명하였으나 이는 단지 예시일 뿐 본 발명을 한정하는 것이 아니며, 본 발명이 속하는 분야의 통상의 지식을 가진 자라면 본 실시 형태의 본질적인 특성을 벗어나지 않는 범위에서 이상에 예시되지 않은 여러 가지의 변형과 응용이 가능함을 알 수 있을 것이다. 즉, 실시 형태에 구체적으로 나타난 각 구성 요소는 변형하여 실시할 수 있는 것이다. 그리고 이러한 변형과 응용에 관계된 차이점들은 첨부된 청구 범위에서 규정하는 본 발명의 범위에 포함되는 것으로 해석되어야 할 것이다.
100: 호스트 200: 위협 행위 분석 장치
210: 데이터수집부 220: 데이터처리부
230: UI생성부 240: 통신부
300: 데이터베이스 500: 피어
210: 데이터수집부 220: 데이터처리부
230: UI생성부 240: 통신부
300: 데이터베이스 500: 피어
Claims (14)
- 서버의 위협 행위 표시 방법에 있어서,
네트워크 내에서 지정된 시간동안 패킷을 분석하여 위협 행위 데이터를 수집하고, 상기 위협 행위 데이터를 정형화된 공격 식별자, 호스트 및 공격 유형에 따라 분류하는 데이터 수집 단계;
단말 화면의 제1 영역에 분류된 상기 위협 행위 데이터를 블록화하여 제1 색상으로 표시하는 제1 블록 표시단계;
상기 화면의 제2 영역에 상기 위협 행위 데이터를 호스트별로 블록화하여 표시하는 제2 블록 표시단계;
임의의 제2 블록을 선택하는 제스처가 수신되면, 상기 제1 블록 중 상기 제2 블록의 호스트와 관련된 위협 행위에 대응되는 블록을 제2 색상으로 표시하는 단계;를 포함하며,
상기 데이터 수집 단계는,
상기 위협 행위 데이터에 포함된 호스트 및 이와 통신한 피어(peer)를 추출하는 단계;
상기 위협 행위 데이터를 MITRE ATT&CK 행렬에 따라 분류하는 단계;를 포함하고,
상기 제1 영역에 MITRE ATT&CK 행렬 내에 전술(tactic) 및 기술(technique)목록 중 적어도 하나 이상을 선택하는 제스처가 수신되면, 이에 대응되는 제1 블록을 제3 색상으로 표시하는 단계;를 더 포함하는,
위협 행위 표시 방법.
- 삭제
- 제1 항에 있어서,
제1 블록 표시단계는,
상기 MITRE ATT&CK 행렬에 따라 분류된 위협 행위 데이터를 블록화하여 제1 색상으로 표시하는 단계를 포함하는,
위협 행위 표시 방법.
- 삭제
- 제1 항에 있어서,
상기 화면의 제3 영역에 상기 위협 행위 데이터의 네트워크 통신방법, 호스트의 수, 위협 행위의 수를 포함하는 그룹에서 적어도 하나 이상을 포함하는 통계 데이터를 표시하는 단계;를 더 포함하는,
위협 행위 표시 방법.
- 제1 항에 있어서,
상기 제1 블록에는.
상기 블록에 대응되는 위협 행위의 수 및 호스트 수가 표시되는,
위협 행위 표시 방법.
- 제6 항에 있어서,
상기 제2 블록에는,
호스트의 IP 주소, 상기 호스트와 연관된 위협 행위 개수, 피어의 수를 포함하는 그룹에서 적어도 하나 이상의 정보가 표시되는,
위협 행위 표시 방법.
- 제1 항에 있어서,
상기 데이터 수집 단계는,
상기 위협 행위 데이터를 해싱하고, 적어도 하나 이상의 상기 데이터가 분리 연결법(Separate changing) 방식으로 배열되도록 해시 테이블을 생성하는 단계(S1120);를 포함하는,
위협 행위 표시 방법.
- 제8 항에 있어서,
상기 해시 테이블 생성단계는,
호스트(host) 및 피어(peer) 각각에 대응되도록 복수개의 해시 테이블을 생성하는 단계;를 포함하는,
위협 행위 표시 방법.
- 제9 항에 있어서,
제2 블록 표시단계는,
상기 제2 블록을 호스트의 위협 정도에 따라 내림차순 정렬표시하는 단계;를 포함하는,
위협 행위 표시 방법.
- 제10 항에 있어서,
상기 데이터 수집 단계는,
분류된 위협 행위 데이터를 전술(tactic) 및 기술(technique)에 대해 별도의 해시 맵을 생성하는 단계(S1130);를 포함하는,
위협 행위 표시 방법.
- 네트워크 내에서 지정된 시간동안 패킷 데이터를 수집하는 데이터수집부(210);
상기 수집된 데이터 중 위협 행위 데이터를 추출하고, 이를 해시 테이블 형태로 처리하는 데이터처리부(220);
상기 처리된 데이터를 저장하는 데이터베이스(300);
상기 저장된 데이터를 웹페이지 또는 응용 프로그램에 표시하기 위한 사용자 인터페이스를 생성하는 UI생성부(230);
상기 사용자 인터페이스에 따라 표시되는 상기 데이터를 사용자 단말에 전송하는 통신부(240);를 포함하고,
상기 UI생성부(230)는,
사용자 단말에 표시되는 화면의 제1 영역에 상기 데이터를 MITRE ATT&CK 행렬에 따라 분류하여 제1 색상의 제1 블록으로 표시하고, 상기 화면의 제2 영역에 상기 데이터를 호스트별로 분류하여 제2 블록으로 표시하며, 상기 단말로부터 제2 블록을 선택하는 제스처가 수신되면, 상기 제1 블록 중 선택된 호스트의 위협 행위에 대응되는 블록의 색상을 제2 색상으로 변경하여 표시하도록 상기 사용자 인터페이스를 설정하고,
상기 단말로부터 상기 제1 블록 내에 전술(tactic) 및 기술(technique)목록을 포함하는 그룹 중 적어도 하나 이상을 선택하는 제스처가 수신되면,
선택된 그룹에 대응되는 상기 제1 블록의 색상을 제3 색상으로 표시하도록 상기 사용자 인터페이스를 설정하는,
위협 행위 분석 장치(200).
- 제12 항에 있어서,
상기 UI생성부(230)는,
상기 제3 색상의 블록에 대응되는 호스트 목록을 제2 블록에 표시하고,
상기 제2 블록의 위협 행위에 대응되는 제1 블록의 색상을 제4 색상으로 변경하여 표시하도록 상기 사용자 인터페이스를 설정하는,
위협 행위 분석 장치(200).
- 제1 항 내지 제11 항의 방법 중 어느 하나의 방법을 실행시키기 위하여 컴퓨터 판독 가능 매체에 저장된 사이버 보안 위협 정보 처리 응용 프로그램.
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020220140080A KR102533101B1 (ko) | 2022-10-27 | 2022-10-27 | 매트릭스 기반 TTPs 관점 사이버 위협 행위 표시 방법 및 위협 행위 분석 장치 |
| KR1020230061049A KR20240059515A (ko) | 2022-10-27 | 2023-05-11 | 매트릭스 기반 TTPs 관점 사이버 위협 행위 표시 방법 및 위협 행위 분석 장치 |
| PCT/KR2023/012471 WO2024090761A1 (ko) | 2022-10-27 | 2023-08-23 | 매트릭스 기반 ttps 관점 사이버 위협 행위 표시 방법 및 위협 행위 분석 장치 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020220140080A KR102533101B1 (ko) | 2022-10-27 | 2022-10-27 | 매트릭스 기반 TTPs 관점 사이버 위협 행위 표시 방법 및 위협 행위 분석 장치 |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020230061049A Division KR20240059515A (ko) | 2022-10-27 | 2023-05-11 | 매트릭스 기반 TTPs 관점 사이버 위협 행위 표시 방법 및 위협 행위 분석 장치 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| KR102533101B1 true KR102533101B1 (ko) | 2023-05-16 |
Family
ID=86545760
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020220140080A KR102533101B1 (ko) | 2022-10-27 | 2022-10-27 | 매트릭스 기반 TTPs 관점 사이버 위협 행위 표시 방법 및 위협 행위 분석 장치 |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR102533101B1 (ko) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2024090761A1 (ko) * | 2022-10-27 | 2024-05-02 | 주식회사 쿼드마이너 | 매트릭스 기반 ttps 관점 사이버 위협 행위 표시 방법 및 위협 행위 분석 장치 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR102225460B1 (ko) * | 2019-10-16 | 2021-03-10 | 한국전자통신연구원 | 다중 센서 데이터를 이용한 위협 헌팅 기반의 위협 탐지 방법 및 이를 이용한 장치 |
-
2022
- 2022-10-27 KR KR1020220140080A patent/KR102533101B1/ko active IP Right Grant
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR102225460B1 (ko) * | 2019-10-16 | 2021-03-10 | 한국전자통신연구원 | 다중 센서 데이터를 이용한 위협 헌팅 기반의 위협 탐지 방법 및 이를 이용한 장치 |
Non-Patent Citations (2)
| Title |
|---|
| 등록특허공보 제10-2225460호(2021.03.10.)* |
| 최준용, "실제 대용량 공격 로그의 직접적 분석으로 밝힌 공격형태", 서울대학교 석사학위논문(2015.02.28.)* * |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2024090761A1 (ko) * | 2022-10-27 | 2024-05-02 | 주식회사 쿼드마이너 | 매트릭스 기반 ttps 관점 사이버 위협 행위 표시 방법 및 위협 행위 분석 장치 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Hamad et al. | Iot device identification via network-flow based fingerprinting and learning | |
| US10467411B1 (en) | System and method for generating a malware identifier | |
| US9628507B2 (en) | Advanced persistent threat (APT) detection center | |
| EP3528460A1 (en) | Artificial intelligence privacy protection for cybersecurity analysis | |
| EP1665011B1 (en) | Method and system for displaying network security incidents | |
| US20160127413A1 (en) | Network protection system and method | |
| EP2953298A1 (en) | Log analysis device, information processing method and program | |
| US8336098B2 (en) | Method and apparatus for classifying harmful packet | |
| CN110188538B (zh) | 采用沙箱集群检测数据的方法及装置 | |
| RU2757597C1 (ru) | Системы и способы сообщения об инцидентах компьютерной безопасности | |
| Kotenko et al. | Evaluation of Computer Network Security based on Attack Graphs and Security Event Processing. | |
| KR102533101B1 (ko) | 매트릭스 기반 TTPs 관점 사이버 위협 행위 표시 방법 및 위협 행위 분석 장치 | |
| CN110149318B (zh) | 邮件元数据的处理方法及装置、存储介质、电子装置 | |
| CN113037713B (zh) | 网络攻击的对抗方法、装置、设备及存储介质 | |
| CN115883223A (zh) | 用户风险画像的生成方法及装置、电子设备、存储介质 | |
| Ring et al. | A toolset for intrusion and insider threat detection | |
| US11863584B2 (en) | Infection spread attack detection device, attack origin specification method, and program | |
| Giacinto et al. | Alarm clustering for intrusion detection systems in computer networks | |
| CN113098852A (zh) | 一种日志处理方法及装置 | |
| JPWO2019142348A1 (ja) | ネットワーク制御装置およびネットワーク制御方法 | |
| Haseeb et al. | Iot attacks: Features identification and clustering | |
| KR101986738B1 (ko) | 네트워크 관제 서비스를 위한 정보의 시각화를 제공하는 방법 및 이를 이용한 장치 | |
| KR20240059515A (ko) | 매트릭스 기반 TTPs 관점 사이버 위협 행위 표시 방법 및 위협 행위 분석 장치 | |
| Kalamaras et al. | MoVA: a visual analytics tool providing insight in the big mobile network data | |
| CN113343231A (zh) | 一种基于集中管控的威胁情报的数据采集系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| E701 | Decision to grant or registration of patent right | ||
| A107 | Divisional application of patent | ||
| GRNT | Written decision to grant |