KR102562665B1 - 공격자 그룹 유사도 기법을 활용한 사회이슈 기반 사이버 표적공격 탐지 시스템 및 그 방법 - Google Patents

공격자 그룹 유사도 기법을 활용한 사회이슈 기반 사이버 표적공격 탐지 시스템 및 그 방법 Download PDF

Info

Publication number
KR102562665B1
KR102562665B1 KR1020210165771A KR20210165771A KR102562665B1 KR 102562665 B1 KR102562665 B1 KR 102562665B1 KR 1020210165771 A KR1020210165771 A KR 1020210165771A KR 20210165771 A KR20210165771 A KR 20210165771A KR 102562665 B1 KR102562665 B1 KR 102562665B1
Authority
KR
South Korea
Prior art keywords
data
attack
cyber
similarity
social
Prior art date
Application number
KR1020210165771A
Other languages
English (en)
Other versions
KR20230078219A (ko
Inventor
남기효
정문권
한주리
Original Assignee
(주)유엠로직스
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)유엠로직스 filed Critical (주)유엠로직스
Priority to KR1020210165771A priority Critical patent/KR102562665B1/ko
Publication of KR20230078219A publication Critical patent/KR20230078219A/ko
Application granted granted Critical
Publication of KR102562665B1 publication Critical patent/KR102562665B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • G06N20/20Ensemble learning
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Artificial Intelligence (AREA)
  • Data Mining & Analysis (AREA)
  • Evolutionary Computation (AREA)
  • Medical Informatics (AREA)
  • Mathematical Physics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

본 발명은 공격자 그룹 유사도 기법을 활용한 사회이슈 기반 사이버 표적공격 탐지 시스템 및 그 방법에 관한 것으로서, 과거에 사이버 표적공격이 발생된 시점의 사회이슈와 공격자 그룹 특성을 분석하여, 사회이슈 기반 사이버 표적공격 발생시 이를 신속하게 탐지할 수 있는 기술에 관한 것이다.

Description

공격자 그룹 유사도 기법을 활용한 사회이슈 기반 사이버 표적공격 탐지 시스템 및 그 방법 {Social advanced persistent threat detection system and method based on attacker group similarity}
본 발명은 공격자 그룹 유사도 기법을 활용한 사회이슈 기반 사이버 표적공격 탐지 시스템 및 그 방법에 관한 것으로, 더욱 상세하게는 발생한 사회이슈 기반 사이버 표적공격을 신속하게 탐지할 수 있는 공격자 그룹 유사도 기법을 활용한 사회이슈 기반 사이버 표적공격 탐지 시스템 및 그 방법에 관한 것이다.
사이버 표적공격이란, 특정 실체를 목표로 하는 사람들에 의해 잠행적이고 지속적인 컴퓨터 해킹 프로세스들의 집합에 의해 공격이 이루어지며, 보통 개인, 단체, 국가 또는, 사업체나 정치단체(이들의 운영서버 등)를 그 표적으로 삼는다.
이러한 사이버 표적공격은 오랜 시간 동안 상당한 정도의 은밀함이 요구되어, 표적으로 삼고 있는 운영서버(또는, 운영 시스템) 내의 취약점을 공격하기 위한 악성 소프트웨어를 이용하며, 이러한 악성 소프트웨어를 생성하기 위해 외부에서 지속적으로 표적 대상들에 대한 데이터를 감시하고 추출하게 된다.
이러한 사이버 표적공격 중 사회이슈를 기반으로 한 사이버 표적공격(SAPT, Social Advanced Persistent Threat)은 공격자 조직이 특정 사회적 이슈 등을 빌미로 이와 연관되어 있는 여러 개의 공격 대상에 대해 전략적으로 벌이는 사이버 표적공격을 의미한다. 이러한 사회이슈 기반 사이버 표적공격은 다수의 공격 대상에 대해 연쇄적이면서도 동시 다발적으로 또는, 연속적으로 사이버 공격을 시도함으로써, 사회적으로도 많은 피해를 야기하게 된다.
시만텍의 발표에 따르면, 국내 사이버 표적공격에 평창 올림픽 사이버 공격, 국방, 하이테크, 금융업계 등 2017년도에만 약 140여개의 공격자 그룹으로부터 세계 6번째로 많은 사이버 표적공격을 받았다. 과거의 사이버 표적공격은 기밀 데이터, 주요 자산 정보 및 개인정보 등 조직 내부의 중요한 정보를 갈취하는 것이지만, 현대의 사이버 표적공격은 중요정보를 갈취할 뿐 아니라, 경제적인 이익을 얻기 위해 공격을 감행하고 있다. 또한, 공격자는 기업 및 기관 내 시스템에 마비, 파괴 또는, 협박에 이르기까지 목적과 수단이 더욱 지능화되고 고도화 되어 지고 있다.
종래의 사이버 표적공격은 국가 차원에서 위협이 될 수 있는 요소로 판단되어 이에 따른 투자가 확대되고 있으나, 사회이슈 기반 사이버 표적공격은 단일 기관이 아닌 다중 기관(공격 대상)에서 대응이 이루어져야 하기 때문에, 기존 보안 솔루션과 보안 프레임워크로는 한계가 분명히 존재한다.
즉, 각각의 서버(기관 등)에서 개별적으로 보안 기법을 적용하고 있어, 동시 다발적으로, 그리고 연쇄적으로 발생하는 사회이슈 기반 사이버 표적공격이 발생하게 되면, 이를 하나의 공격 기조로 인식하지 못하고, 개별적안 사이버 표적공격으로만 판단하여, 각각의 서버에서 개별적으로 대응하기 때문에, 발생한 사회이슈 기반 사이버 표적공격, 특히 최초 발생한 사회이슈 기반 사이버 표적공격에 대한 탐지가 늦어지는 문제점이 있다. 이에 따라 결국에는, 다수의 공격 대상에 대해 이루어지는 사이버 표적공격에 대한 대응이 늦어지는 문제점이 있다.
건국대학교 석사학위논문 사회이슈기반 사이버 표적공격 탐지를 위한 Rick Hash 기반 악성코드 분석에 관한 연구(2021.08.)
본 발명은 상기한 바와 같은 종래 기술의 문제점을 해결하기 위하여 안출된 것으로, 본 발명의 목적은 발생한 사회이슈 기반 사이버 표적공격을 신속하게 탐지, 특히 최초 발생한 사회이슈 기반 사이버 표적공격을 비교적 정확하게 탐지할 수 있어, 동시 다발적으로 다수의 공격 대상에 대해 이루어지는 사이버 표적공격으로 인한 대규모 피해를 방지할 수 있는 공격자 그룹 유사도 기법을 활용한 사회이슈 기반 사이버 표적공격 탐지 시스템 및 그 방법을 제공하는 것이다.
본 발명의 일 실시예에 따른 공격자 그룹 유사도 기법을 활용한 사회이슈 기반 사이버 표적공격 탐지 시스템에 있어서, 공격자 그룹 유사도 기법을 활용한 사회이슈 기반 사이버 표적공격 탐지 시스템을 적용하고자 하는 다수의 기관의 운영서버로부터 보안 관련 운영 데이터를 각각 입력받는 데이터 수집부(100), 상기 데이터 수집부(100)에 의한 각 보안 관련 운영 데이터를 인공지능 학습을 위한 학습 데이터 셋으로 생성하고, 다수의 인공지능 알고리즘을 이용하여 상기 학습 데이터 셋에 대한 학습 처리를 수행하는 학습 처리부(200), 상기 다수의 기관의 운영서버 중 적어도 어느 하나로부터 실시간 운영 데이터를 입력받는 데이터 입력부(300), 상기 학습 처리부(200)에 의해 생성한 다수의 인공지능 모델을 적용한 앙상블 기법을 이용하여, 상기 데이터 입력부(300)에 의한 상기 실시간 운영 데이터를 입력하여, 상기 실시간 운영 데이터에 대한 사회이슈 기반 사이버 표적공격의 발생 위험도를 산출하는 위험도 분석부(400) 및 상기 위험도 분석부(400)에서 산출한 위험도가 기설정된 임계치를 초과할 경우, 저장되는 공격자 그룹별 공격 특성 DB를 이용하여 상기 실시간 운영 데이터에 대한 사회이슈 기반 사이버 표적공격 발생 여부를 탐지하는 공격 탐지부(500)를 포함하는 것이 바람직하다.
더 나아가, 상기 공격자 그룹 유사도 기법을 활용한 사회이슈 기반 사이버 표적공격 탐지 시스템은 과거 발생한 다수의 사이버 표적공격 관련 데이터를 수집하는 제1 수집부(600), 과거 각각의 사이버 표적공격이 발생한 시점을 기준으로 소정기간 동안의 사회이슈 관련 데이터를 수집하는 제2 수집부(700), 상기 제1 수집부(600)와 제2 수집부(700)에 의한 수집 데이터 간의 유사도를 분석하는 유사도 분석부(800) 및 상기 유사도 분석부(800)에서 분석한 유사도를 기준으로 과거 사이버 표적공격을 일으킨 공격자를 그룹화하고, 그룹 별로 상기 수집 데이터를 매칭시켜 데이터베이스화하며, 이를 상기 공격 탐지부(500)로 전송 및 저장하는 공격자 그룹 분석부(900)를 더 포함하는 것이 바람직하다.
더 나아가, 상기 학습 처리부(200)는 다수의 인공지능 알고리즘을 적용한 앙상블 기법을 이용하여, 생성한 상기 학습 데이터 셋을 각각 적용하여 병렬적 학습 처리를 수행하는 것이 바람직하다.
더 나아가, 상기 위험도 분석부(400)는 다수의 인공지능 모델을 적용한 앙상블 기법을 이용하여, 다수의 인공지능 모델에 상기 실시간 운영 데이터를 각각 입력하고, 다수의 인공지능 모델로부터 상기 실시간 운영 데이터에 대한 각각의 분석 결과를 비교 판단하여, 해당하는 운영서버에 대한 사회이슈 기반 사이버 표적공격의 발생 위험도를 산출하는 것이 바람직하다.
더 나아가, 상기 공격자 그룹 유사도 기법을 활용한 사회이슈 기반 사이버 표 적공격 탐지 시스템은 상기 공격 탐지부(500)에서 탐지한 사회이슈 기반 사이버 표적공격 발생 여부에 따라, 해당하는 공격자 그룹 또는, 해당하는 운영서버에 매칭되는 사전 대응 조치 정보를 생성하는 후속 처리부(1000)를 더 포함하는 것이 바람직하다.
본 발명의 또 다른 일 실시예에 따른 컴퓨터로 구현되는 공격자 그룹 유사도 기법을 활용한 사회이슈 기반 사이버 표적공격 탐지 시스템에 의해 각 단계가 수행되는 공격자 그룹 유사도 기법을 활용한 사회이슈 기반 사이버 표적공격 탐지 방법에 있어서, 데이터 수집부에서, 공격자 그룹 유사도 기법을 활용한 사회이슈 기반 사이버 표적공격 탐지 시스템을 적용하고자 하는 다수의 기관의 운영서버로부터 보안 관련 운영 데이터를 각각 입력받는 운영 데이터 입력 단계(S100), 학습 처리부에서, 상기 운영 데이터 입력 단계(S100)에 의해 입력받은 상기 보안 관련 운영 데이터를 인공지능 학습을 위한 학습 데이터 셋으로 생성하고, 다수의 인공지능 알고리즘을 이용하여 상기 학습 데이터 셋에 대한 학습 처리를 수행하는 학습 처리 단계(S200), 데이터 입력부에서, 상기 다수의 기관의 운영서버 중 적어도 어느 하나로부터 실시간 운영 데이터를 입력받는 실시간 데이터 입력 단계(S300), 위험도 분석부에서, 상기 학습 처리 단계(S200)에 의해 생성한 다수의 인공지능 모델을 적용한 앙상블 기법을 이용하여, 상기 실시간 데이터 입력 단계(S300)에 의한 상기 실시간 운영 데이터를 입력하여, 상기 실시간 운영 데이터에 대한 사회이슈 기반 사이버 표적공격의 발생 위험도를 산출하는 위험도 산출 단계(S400), 공격 탐지부에서, 상기 위험도 산출 단계(S400)에 의해 산출한 위험도가 기설정된 임계치를 초과할 경우, 저장되는 공격자 그룹별 공격 특성 DB를 이용하여, 상기 실시간 운영 데이터에 대한 사회이슈 기반 사이버 표적공격 발생 여부를 탐지하는 공격 탐지 단계(S500) 및 후속 처리부에서, 상기 공격 탐지 단계(S500)의 수행 결과를 이용하여, 해당하는 공격자 그룹 또는, 해당하는 운영서버에 매칭되는 사전 대응 조치 정보를 생성 및 전송하는 대응 단계(S600)를 포함하는 것이 바람직하다.
더 나아가, 상기 학습 처리 단계(S200)는 다수의 인공지능 알고리즘을 적용한 앙상블 기법을 이용하여, 생성한 상기 학습 데이터 셋을 각각 적용하여 병렬적 학습 처리를 수행하는 것이 바람직하다.
더 나아가, 상기 공격자 그룹 유사도 기법을 활용한 사회이슈 기반 사이버 표적공격 탐지 방법은 제1 수집부에서, 과거 발생한 다수의 사이버 표적공격 관련 데이터를 수집하고, 제2 수집부에서, 과거 각각의 사이버 표적공격이 발생한 시점을 기준으로 소정기간 동안의 사회이슈 관련 데이터를 수집하는 과거 데이터 수집 단계(S510), 유사도 분석부에서, 상기 과거 데이터 수집 단계(S510)에 의한 수집 데이터들 간의 유사도를 분석하는 유사도 분석 단계(S520) 및 공격자 그룹 분석부에서, 상기 유사도 분석 단계(S520)에 의해 분석한 유사도를 기준으로 과거 사이버 표적공격을 일으킨 공격자를 그룹화하고, 그룹 별로 상기 과거 데이터 수집 단계(S510)에 의한 수집 데이터를 매칭시켜 데이터베이스화하는 공격자 분석 단계(S530)를 더 포함하고, 상기 예측 분석 단계(S500)는 상기 공격자 분석 단계(S530)에 의해 데이터베이스화한 데이터를 상기 공격자 그룹별 공격 특성 DB로 이용하는 것이 바람직하다.
상기와 같은 구성에 의한 본 발명의 공격자 그룹 유사도 기법을 활용한 사회이슈 기반 사이버 표적공격 탐지 시스템 및 그 방법은 과거 발생한 사이버 표적공격 관련 데이터를 사회이슈 관련 데이터와 연계하여 수집하고, 이들의 유사성을 분석하여 공격자 그룹과 이들의 공격 특성을 DB화하여 활용함으로써, 발생한 사회이슈 기반 사이버 표적공격을 신속하게 탐지할 수 있는 장점이 있다.
특히, 다수의 인공지능 모델을 적용한 앙상블 기법을 채용하여, 높은 정확도/신뢰도를 갖는 분석 결과를 제공할 수 있다.
이를 통해서, 특정 사회이슈 등을 빌미로 다수의 공격 대상에 전략적으로 수행하는 '사회이슈 기반 사이버 표적공격'의 위험도와 파급효과를 고려하여, 보다 능동적으로/적극적으로 정확한 공격 발생 여부를 탐지할 수 있는 장점이 있다.
도 1은 본 발명의 일 실시예에 따른 공격자 그룹 유사도 기법을 활용한 사회이슈 기반 사이버 표적공격 탐지 시스템을 나타낸 구성 예시도이다.
도 2는 본 발명의 일 실시예에 따른 공격자 그룹 유사도 기법을 활용한 사회이슈 기반 사이버 표적공격 탐지 방법을 나타낸 순서 예시도이다.
이하 첨부한 도면들을 참조하여 본 발명의 공격자 그룹 유사도 기법을 활용한 사회이슈 기반 사이버 표적공격 탐지 시스템 및 그 방법을 상세히 설명한다. 다음에 소개되는 도면들은 당업자에게 본 발명의 사상이 충분히 전달될 수 있도록 하기 위해 예로서 제공되는 것이다. 따라서, 본 발명은 이하 제시되는 도면들에 한정되지 않고 다른 형태로 구체화될 수도 있다. 또한, 명세서 전반에 걸쳐서 동일한 참조번호들은 동일한 구성요소들을 나타낸다.
이때, 사용되는 기술 용어 및 과학 용어에 있어서 다른 정의가 없다면, 이 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 통상적으로 이해하고 있는 의미를 가지며, 하기의 설명 및 첨부 도면에서 본 발명의 요지를 불필요하게 흐릴 수 있는 공지 기능 및 구성에 대한 설명은 생략한다.
더불어, 시스템은 필요한 기능을 수행하기 위하여 조직화되고 규칙적으로 상호 작용하는 장치, 기구 및 수단 등을 포함하는 구성 요소들의 집합을 의미한다.
본 발명의 일 실시예에 따른 공격자 그룹 유사도 기법을 활용한 사회이슈 기반 사이버 표적공격 탐지 시스템 및 그 방법은, 상술한 문제점을 해소하기 위하여, 과거 사이버 표적공격이 발생한 시점의 사회이슈 데이터와 해당하는 공격자 그룹의 특성을 분석하여 이들 간의 유사도를 측정하고, 이를 활용하여 다수의 기관의 운영서버에서 발생되는 운영 데이터를 분석하여 사회이슈 기반 사이버 표적공격이 발생시, 이를 신속하게 탐지할 수 있는 기술에 관한 것이다.
즉, 과거 사이버 표적공격이 발생한 시점의 사회이슈, 공격자 그룹 특성을 분석한 후, 다수의 기관의 운영서버에서 발생되는 운영 데이터를 기반으로 과거 데이터인 분석 데이터와 신규 데이터인 운영 데이터 간의 유사도를 산출하여, 사회이슈 기반 사이버 표적공격을 예측할 수 있다.
특히, 본 발명의 일 실시예에 따른 공격자 그룹 유사도 기법을 활용한 사회이슈 기반 사이버 표적공격 탐지 시스템 및 그 방법은, 다수의 인공지능 알고리즘을 적용한 앙상블 기법을 이용함으로써, 사회이슈 기반 사이버 표적공격의 발생 여부를 높은 정확도로 신속하게 탐지할 수 있다.
종래에도 인공지능 기법을 이용하여 사이버 표적공격을 방어하는 기술들이 개발되어 왔으나, 다양한 공격 대상 서버로부터 다양한 환경에 의해 생성되는 운영 데이터를 학습 데이터의 소스로 활용해야 하는 사회이슈 기반 사이버 표적공격에는 적합하지 않아 그 한계가 분명히 존재하였다.
여기서, 앙상블 기법에 대해서 먼저 알아보자면, 다수의 인공지능 학습 알고리즘을 이용하여 병렬적 학습을 수행하고 학습 결과에 의한 예측 모델(모형)들을 결합하여, 안정성과 예측력이 증가한 하나의 예측 결과를 생성하는 학습 방법이다.
즉, 다수의 인공지능 학습 알고리즘을 이용하여 병렬적 학습을 수행하고, 학습 결과에 의한 예측 모델으로부터 각각의 분석 값들을 출력받아, 이들을 비교 판단함으로써, 하나의 가장 나은 분석 값을 결과로 도출할 수 있는 학습 기법이다.
이를 통해서, 단일 인공지능 학습 모델을 사용하는 것에 비해 성능을 분산시킬 수 있어 과적합(overfitting)을 감소시킬 수 있으며, 각각의 학습 예측 모델의 성능이 좋지 않더라도 더 좋은 예측 성능을 얻을 수 있다.
단일 인공지능 학습 알고리즘을 이용할 경우, 여러 개의 학습 데이터(기관 별로 상이한 운영 데이터)가 들어오면 학습 처리 결과가 공평하지 않아, 이를 각각의 기관에 적용하더라도 그 효과는 미비할 수 밖에 없다.
이러한 문제점을 해결하기 위하여, 상술한 바와 같이, 본 발명의 일 실시예에 따른 공격자 그룹 유사도 기법을 활용한 사회이슈 기반 사이버 표적공격 탐지 시스템 및 그 방법은, 다수의 인공지능 알고리즘을 적용한 앙상블 기법을 이용함으로써, 다수의 인공지능 학습 알고리즘을 이용하여 병렬적 학습을 수행하고, 학습 결과에 의한 다수의 예측 모델들을 결합하여 가장 정확한 분석 값(예측 값)을 산출할 수 있다.
이러한 앙상블 기법으로는 대표적으로 다수결/투표 기반(voting), 배깅(bagging)과 페이스팅(pasting) 등의 방법이 있다.
다수결/투표 기반 앙상블 기법은, 학습 과정에서 다수 개의 인공지능 학습 알고리즘을 이용하여 동일한 학습 데이터에 대한 학습을 수행하고, 각각의 학습 결과 모델들의 분석 값을 가지고 다수결 투표를 진행하여 최종 결과 값을 산출하는 방법이다. 이러한 다수결/투표 기반 앙상블 기법은 가장 성능이 좋은 인공지능 기법보다 정확도가 높은 것으로 알려져 있다.
또한, 배깅과 페이스팅의 앙상블 기법은, 동일한 인공지능 학습 알고리즘을 다수 개 이용하지만, 학습 데이터를 랜덤하게 입력함으로써, 결론적으로 생성되는 학습 결과 모델 자체가 각기 다르게 학습을 수행하게 된다. 이를 통해서, 각각의 학습 결과 모델들의 분석값을 모아서 새로운 결과 값을 예측하는 방법이다.
다수 개의 동일한 인공지능 학습 알고리즘에 랜덤하게 학습 데이터를 입력하는 과정에서, 중복을 허용하여 샘플링하는 방식을 배깅이라고 하고, 중복을 허용하지 않고 샘플링하는 방식을 페이스팅이라고 한다.
도 1은 본 발명의 일 실시예에 따른 공격자 그룹 유사도 기법을 활용한 사회이슈 기반 사이버 표적공격 탐지 시스템을 나타낸 구성 예시도로서, 도 1을 참조로 하여 본 발명의 일 실시예에 따른 공격자 그룹 유사도 기법을 활용한 사회이슈 기반 사이버 표적공격 탐지 시스템을 상세히 설명한다.
본 발명의 일 실시예에 따른 공격자 그룹 유사도 기법을 활용한 사회이슈 기반 사이버 표적공격 탐지 시스템은 도 1에 도시된 바와 같이, 데이터 수집부(100), 학습 처리부(200), 데이터 입력부(300), 위험도 분석부(400) 및 공격 탐지부(500)를 포함하여 구성되는 것이 바람직하다. 또한, 각 구성들은 컴퓨터를 포함하는 적어도 하나 이상의 연산처리수단에 각각 또는 통합 포함되어 동작을 수행하는 것이 바람직하다.
각 구성에 대해서 자세히 알아보자면,
상기 데이터 수집부(100)는 공격자 그룹 유사도 기법을 활용한 사회이슈 기반 사이버 표적공격 탐지 시스템을 적용하고자 하는 다수의 기관의 운영서버로부터 보안 관련 운영 데이터를 각각 입력받는 것이 바람직하다.
이 때, 상기 다수의 기관의 운영서버란, 반드시 사회이슈 기반 사이버 표적공격이 아니더라도, 사이버 표적공격의 발생을 우려하여 사전에 대응 조치를 취하고자 하는 개인, 단체, 기관, 정부 등이 운영하는 운영서버를 의미한다.
상기 데이터 수집부(100)는 각각의 운영서버로부터 정상 정보를 포함하는 보안 관련 운영 데이터 뿐 아니라, 공격 정보를 포함하는 보안 관련 운영 데이터, 상세하게는, 과거에 사회이슈 기반 사이버 표적공격 또는, 사회이슈 기반이 아니더라도 발생했던 사이버 표적공격 관련 정보(시간 정보를 포함하고 있는 보안 이벤트 로그, 웹 트래픽 정보 등)를 입력받는 것이 바람직하다.
상기 학습 처리부(200)는 상기 데이터 수집부(100)에 의한 각 운영서버의 보안 관련 운영 데이터를 인공지능 학습을 위한 학습 데이터 셋으로 생성하는 것이 바람직하다. 상세하게는, 상기 학습 데이터 셋은 각각의 운영서버로부터 전달받은 상기 보안 관련 운영 데이터, 즉, 포함되어 있는 정상 운영 정보, 공격 운영 정보, 사회이슈 기반 공격 정보 등을 이용하여 생성하게 된다.
또한, 각 운영서버의 보안 관련 운영 데이터를 다양하게 조합하여 상기 학습 데이터 셋을 생성하는 것이 바람직하다. 일 예를 들자면, a, b, c 운영서버로부터 d, e, f 보안 관련 운영 데이터가 입력될 경우, d, e, f 보안 관련 운영 데이터를 각각의 학습 데이터 셋으로 생성하거나, 통합하여 하나의 학습 데이터 셋으로 생성할 수 있으며, d 보안 관련 운영 데이터에는 정상 운영 정보만을 포함하고 있을 경우, d 보안 관련 운영 데이터와 e, f 보안 관련 운영 데이터를 각각 학습 데이터 셋으로 생성할 수도 있다. 이러한 학습 데이터 셋을 생성하는데 적용되는 설정 값은 사회이슈 기반 사이버 표적공격의 예측 정확도를 향상시키기 위해 외부 사용자의 제어에 의해 설정되는 것이 바람직하다.
더불어, 상기 학습 처리부(200)는 다수의 인공지능 알고리즘을 이용하여 생성한 상기 학습 데이터 셋에 대한 학습 처리를 수행하는 것이 바람직하다.
상세하게는, 다수의 인공지능 알고리즘을 적용한 앙상블 기법을 이용하여 생성한 상기 학습 데이터 셋을 각각 적용하여 병렬적 학습 처리를 수행하게 된다. 물론, 상술한 바와 같이, 상기 학습 처리부(200)는 설정된 앙상블 기법의 세부 기법에 의해 다수의 인공지능 알고리즘이 모두 동일한 인공지능 학습 알고리즘이 적용될지, 모두 상이한 인공지능 학습 알고리즘이 적용될지 설정되는 것이 바람직하며, 상기 학습 데이터 셋의 생성 역시도 설정된 앙상블 기법의 세부 기법에 의해 제어될 수도 있다.
다만, 상기 학습 처리부(200)는 동일한 기초 데이터(다수의 기관의 운영서버로부터 입력받은 보안 관련 운영 데이터)를 토대로 생성된 학습 데이터 셋에 대해 다수의 인공지능 학습 알고리즘을 이용하여 학습 처리를 수행하는 것이 바람직하다.
상기 데이터 입력부(300)는 상기 다수의 기관의 운영서버 중 적어도 어느 하나로부터 실시간 운영 데이터를 입력받는 것이 바람직하다. 상기 데이터 수집부(100)에 의해 입력받은 데이터가 과거 데이터라면, 상기 데이터 입력부(300)에 의해 입력받은 데이터는 실시간 데이터인 신규 데이터에 해당한다.
즉, 상기 학습 처리부(200)에 의해 학습이 완료된 후, 그 시점에서부터 수집되는 운영 데이터를 상기 실시간 운영 데이터로 입력받게 된다.
상기 위험도 분석부(400)는 상기 학습 처리부(200)에 의해 생성한 다수의 인공지능 모델을 적용한 앙상블 기법을 이용하여, 상기 데이터 입력부(300)에 의한 상기 실시간 운영 데이터를 입력하여, 상기 실시간 운영 데이터에 대한 사회이슈 기반 사이버 표적공격의 발생 위험도를 산출하는 것이 바람직하다.
이 때, 사회이슈 기반 사이버 표적공격의 발생 위험도란, 사회이슈 기반 사이버 표적공격의 발생 징후를 의미한다.
상세하게는, 상기 위험도 분석부(400)는 상기 학습 처리부(200)에 의해 생성한 다수의 인공지능 모델에 상기 데이터 입력부(300)에 의한 상기 실시간 운영 데이터를 각각 입력하여, 다수의 인공지능 모델에서 각각 출력한 다수의 분석 결과를 종합함으로써, 상기 실시간 운영 데이터에 대한 사회이슈 기반 사이버 표적공격의 발생 위험도를 산출하게 된다.
이 때, 상기 위험도 분석부(400)는 다수의 인공지능 모델에서 각각 출력한 다수의 분석 결과를 비교 판단하여, 다수결 결과 또는, 평균값 결과를 활용하여 해당하는 운영서버에 대한 사회이슈 기반 사이버 표적공격의 발생 위험도를 산출하게 된다.
다수의 인공지능 모델을 적용한 앙상블 기법을 이용함에 따른 결과 산출의 경우, 다양하게 설정이 제어되는 것이 바람직하다.
상기 공격 탐지부(500)는 상기 위험도 분석부(400)에서 산출한 위험도가 미리 설정된 임계치를 초과할 경우, 저장되는 공격자 그룹별 공격 특성 DB를 이용하여, 상기 실시간 운영 데이터에 대한 사회이슈 기반 사이버 표적공격의 발생 여부를 탐지하는 것이 바람직하다.
상세하게는, 상기 공격 탐지부(500)는 상기 위험도 분석부(400)에서 산출한 해당하는 운영서버에 대한 사회이슈 기반 사이버 표적공격의 발생 위험도가 미리 설정된 임계치를 기준으로 초과할 경우, 산출한 위험도가 단순한 위협에 불과인지, 아니면 실제 사회이슈 기반 사이버 표적공격이 발생했는지 탐지하는 것이 바람직하다. 이 때, 운영서버마다 보안 등급 등이 상이하기 때문에, 위험도 임계치는 상이하게 설정될 수 있다.
이 때, 상기 공격 탐지부(500)로 상기 공격자 그룹별 공격 특성 DB를 저장하기 위하여, 본 발명의 일 실시예에 따른 공격자 그룹 유사도 기법을 활용한 사회이슈 기반 사이버 표적공격 탐지 시스템은 도 1에 도시된 바와 같이, 제1 수집부(600), 제2 수집부(700), 유사도 분석부(800) 및 공격자 그룹 분석부(900)를 더 포함하여 구성되는 것이 바람직하다.
상기 제1 수집부(600)는 과거 발생한 다수의 사이버 표적공격 관련 데이터를 수집하는 것이 바람직하다. 이 때, 상기 제1 수집부(600)를 통해서 수집하는 상기 사이버 표적공격 관련 데이터로는 발생한 사이버 표적공격의 유형을 파악하여 발생할 당시의 공격대상 기관정보, 공격의 세부적인 유형 정보, 공격자 정보, 공격코드 정보, 공격코드 유형 정보 등을 포함하여 구성된다.
상기 제2 수집부(700)는 상기 제1 수집부(600)를 통해서 수집한 과거 발생한 다수의 사이버 표적공격이 발생한 시점을 기준으로 소정기간 동안의 사회이슈 관련 데이터를 수집하는 것이 바람직하다. 즉, 상기 제1 수집부(600)로부터 과거 발생한 A, B 사이버 표적공격의 관련 데이터들이 수집되었다면, 상기 제2 수집부(700)는 과거 A 사이버 표적공격이 발생한 시점을 기준으로 소정기간 전부터 소정기간 후까지의 사회이슈 데이터와, 과거 B 사이버 표적공격이 발생한 시점을 기준으로 소정기간 전부터 소정기간 후까지의 사회이슈 데이터를 수집하는 것이 바람직하다.
이를 위해, 상기 제2 수집부(700)는 분석 대상 사이트들의 크롤링을 수행하여 상기 사회이슈 데이터를 수집하는 것이 바람직하다.
즉, 상기 제2 수집부(700)는 분석 대상 사이트들의 크롤링을 수행하여, 수집한 해당 사이트의 다양한 웹 문서 데이터(웹 페이지 데이터 등)들을 분석하여, 해당 기간에 발생한 사회이슈 데이터들을 수집하는 것이 바람직하다.
이 때, 상기 사회이슈 데이터란, 언론사 등에서 이슈화하여 내보내고 있는 기사들을 종합하여 볼 때 사회이슈를 추측할 수 있다.
그렇지만, 언론사에서 발간(발생, 생성, 업로드 등)하는 기사들을 수집하여 이에 대한 주요 키워드들을 추출할 경우, 가령 언론기사 분석을 통해 '정부'라는 키워드가 많이 나타났다고 분석될 경우, 단순히 해당 키워드만을 가지고는 앞뒤 상황을 유추하기가 어렵기 때문에 이를 사회이슈 키워드라고 단정할 수 없다. 뿐만 아니라, 이를 사회이슈로 단정지었다 할지라도 추후에 이에 대한 사회상황 해석이 거의 불가능하게 된다. 그렇기 때문에, 이러한 점을 감안하여, 언론사 등에서 이슈화하여 내보내고 있는 기사들을 수집하여 수집한 기사들을 분석하여 발견된 핵심 키워드를 중심으로, 연관된 키워드들까지 같이 추출하여 하나의 그룹으로 묶어 이를 사회이슈로 도출하는 것이 바람직하다. 특정기간에 발생한 사회이슈 데이터와 더 나아가 그 사회이슈가 발생한 이유, 경과 등을 일목요연하게 정리하여 확인할 수 있다.
이에 따라, 상기 제2 수집부(700)에서 수집한 상기 사회이슈 데이터는 단순히 하나의 단어가 아니라 특정 기간에 이슈화되고 있는 키워드들, 다시 말하자면 연관성이 있는 키워드들의 집합을 의미할 수도 있다.
상기 유사도 분석부(800)는 상기 제1 수집부(600)와 제2 수집부(700)에 의한 수집 데이터 간의 유사도를 분석하는 것이 바람직하다. 다시 말하자면, 상기 제1 수집부(600)는 과거 발생한 사이버 표적공격 별로 해당하는 공격 관련 데이터가 수집되며, 상기 제2 수집부(700)는 상기 제1 수집부(600)에 의해 수집한 적어도 어느 하나의 사이버 표적공격이 발생한 시점에 대한 사회이슈 데이터를 수집하게 된다.
상술한 바와 같이, 제1 수집부(600)와 제2 수집부(700)는 단일 사이버 표적공격에 대해서만 수집하는 것이 아니기 때문에, 과거 발생한 사이버 표적공격 별로 매칭하여 공격 관련 데이터 ?? 사회이슈 데이터를 수집할 수 있다.
이를 이용하여, 상기 유사도 분석부(800)는 상기 수집 데이터들 간의 유사도를 분석함으로써, 발생한 사이버 표적공격들 간의 유사도를 분석하게 된다.
상기 공격자 그룹 분석부(900)는 상기 유사도 분석부(800)에서 분석한 유사도를 기준으로 과거 사이버 표적공격을 일으킨 공격자를 그룹화하고, 그룹 별로 상기 수집 데이터를 매칭시켜 데이터베이스화하는 것이 바람직하다. 또한, 상기 데이터베이스화한 데이터인 상기 공격자 그룹별 공격 특성 DB를 상기 공격 탐지부(500)로 전송하여, 사회이슈 기반 사이버 표적공격의 발생시점을 예측하는데 활용하도록 한다.
즉, 상기 공격자 그룹 분석부(900)는 상기 유사도 분석부(800)에 의해 분석한 사이버 표적공격들 간의 유사도를 분석하여, 유사도가 일정치 이상(일 예를 들자면, 80%)인 사이버 표적공격을 일으킨 공격자를 그룹화하는 것이 바람직하다. 이 후, 공격자 그룹 별로 공격 특성을 알 수 있는 상기 수집 데이터(공격 관련 데이터 ?? 사회이슈 데이터)를 매칭시켜, 데이터베이스화하는 것이 바람직하다.
이를 통해서, 상기 공격자 그룹 분석부(900)에서 생성한 데이터베이스인 상기 공격자 그룹별 공격 특성 DB를 통해서, 단순하게 한번 발생한 사이버 표적공격이 아닌, 유사성을 띄고 있는 다수 개의 사이버 표적공격에 대한 공격 특성 데이터(공격대상 기관정보, 공격의 세부적인 유형 정보, 공격자 정보, 공격코드 정보, 공격코드 유형 정보, 사회이슈 데이터)를 용이하게 확인할 수 있다.
이를 통해서, 상기 공격 탐지부(500)는 상기 위험도 분석부(400)에 의해 분석한 사회이슈 기반 사이버 표적공격의 발생 위험도가 해당하는 운영서버의 미리 설정된 위험도 임계치를 초과할 경우, 상기 공격자 그룹별 공격 특성 DB와의 비교를 통해서 실제로 사회이슈 기반 사이버 표적공격이 이루어졌는지 분석하게 된다.
또한, 본 발명의 일 실시예에 따른 공격자 그룹 유사도 기법을 활용한 사회이슈 기반 사이버 표적공격 탐지 시스템은 도 1에 도시된 바와 같이, 후속 처리부(1000)를 더 포함하여 구성되는 것이 바람직하다.
상기 후속 처리부(1000)는 상기 공격 탐지부(500)에서 탐지한 사회이슈 기반 사이버 표적공격의 발생 여부에 따라, 해당하는 공격자 그룹 또는, 해당하는 운영서버에 매칭되는 사전 대응 조치 정보를 생성하는 것이 바람직하다.
사회이슈 기반 사이버 표적공격의 발생 위험도가 높은 상기 실시간 운영 데이터와 실제 발생된 사회이슈 기반 사이버 표적공격의 공격자 그룹들의 공격 특성 데이터를 비교하여, 그 특성이 일치하는 경우에는 실제 사회이슈 기반 사이버 표적공격이 일어난 것으로 판단하게 된다.
이를 통해서, 공격을 가하는 공격자 그룹의 특성에 맞게 사전 대응 조치 정보를 생성하거나, 공격을 당하는 운영서버의 특성에 맞게 사전 대응 조치 정보를 생성할 수도 있다. 이는 사전에 대응 조치 관련 정보를 입력받는 것이 바람직하다.
상기 후속 처리부(1000)를 통해서, 상기 공격 탐지부(500)에서의 탐지 결과를 이용하여, 발생된 사회이슈 기반 사이버 표적공격의 성향에 따른 적절한 대처가 이루어지도록 하는 것이 바람직하다.
도 2는 본 발명의 일 실시예에 따른 공격자 그룹 유사도 기법을 활용한 사회이슈 기반 사이버 표적공격 탐지 방법을 나타낸 순서 예시도이다. 도 2를 참조로 하여, 본 발명의 일 실시예에 따른 공격자 그룹 유사도 기법을 활용한 사회이슈 기반 사이버 표적공격 탐지 방법을 상세히 설명한다.
본 발명의 일 실시예에 따른 공격자 그룹 유사도 기법을 활용한 사회이슈 기반 사이버 표적공격 탐지 방법은 도 2에 도시된 바와 같이, 운영 데이터 입력 단계(S100), 학습 처리 단계(S200), 실시간 데이터 입력 단계(S300), 위험도 산출 단계(S400), 공격 탐지 단계(S500) 및 대응 단계(S600)를 포함하는 것이 바람직하다. 또한, 컴퓨터로 구현되는 공격자 그룹 유사도 기법을 활용한 사회이슈 기반 사이버 표적공격 탐지 시스템에 의해 각 단계가 수행되게 된다.
각 단계에 대해서 자세히 알아보자면,
상기 운영 데이터 입력 단계(S100)는 상기 데이터 수집부(100)에서, 공격자 그룹 유사도 기법을 활용한 사회이슈 기반 사이버 표적공격 탐지 시스템을 적용하고자 하는 다수의 기관의 운영서버로부터 보안 관련 운영 데이터를 각각 입력받게 된다.
이 때, 상기 다수의 기관의 운영서버란, 반드시 사회이슈 기반 사이버 표적공격이 아니더라도, 사이버 표적공격의 발생을 우려하여 사전에 대응 조치를 취하고자 하는 개인, 단체, 기관, 정부 등이 운영하는 운영서버를 의미한다.
상기 운영 데이터 입력 단계(S100)는 각각의 운영서버로부터 정상 정보를 포함하는 보안 관련 운영 데이터 뿐 아니라, 공격 정보를 포함하는 보안 관련 운영 데이터, 상세하게는, 과거에 사회이슈 기반 사이버 표적공격 또는, 사회이슈 기반이 아니더라도 발생했던 사이버 표적공격 관련 정보(시간 정보를 포함하고 있는 보안 이벤트 로그, 웹 트래픽 정보 등)를 입력받게 된다.
상기 학습 처리 단계(S200)는 상기 학습 처리부(200)에서, 상기 운영 데이터 입력 단계(S100)에 의해 입력받은 각 운영서버의 보안 관련 운영 데이터를 인공지능 학습을 위한 학습 데이터 셋으로 생성하게 된다.
상세하게는, 상기 학습 데이터 셋은 각각의 운영서버로부터 전달받은 상기 보안 관련 운영 데이터, 즉, 포함되어 있는 정상 운영 정보, 공격 운영 정보, 사회이슈 기반 공격 정보 등을 이용하여 생성하게 된다.
또한, 각 운영서버의 보안 관련 운영 데이터를 다양하게 조합하여 상기 학습 데이터 셋을 생성하는 것이 바람직하다. 일 예를 들자면, a, b, c 운영서버로부터 d, e, f 보안 관련 운영 데이터가 입력될 경우, d, e, f 보안 관련 운영 데이터를 각각의 학습 데이터 셋으로 생성하거나, 통합하여 하나의 학습 데이터 셋으로 생성할 수 있으며, d 보안 관련 운영 데이터에는 정상 운영 정보만을 포함하고 있을 경우, d 보안 관련 운영 데이터와 e, f 보안 관련 운영 데이터를 각각 학습 데이터 셋으로 생성할 수도 있다. 이러한 학습 데이터 셋을 생성하는데 적용되는 설정 값은 사회이슈 기반 사이버 표적공격의 예측 정확도를 향상시키기 위해 외부 사용자의 제어에 의해 설정되는 것이 바람직하다.
더불어, 상기 학습 처리 단계(S200)는 다수의 인공지능 알고리즘을 이용하여 생성한 상기 학습 데이터 셋에 대한 학습 처리를 수행하게 된다.
상세하게는, 다수의 인공지능 알고리즘을 적용한 앙상블 기법을 이용하여 생성한 상기 학습 데이터 셋을 각각 적용하여 병렬적 학습 처리를 수행하게 된다. 물론, 상술한 바와 같이, 설정된 앙상블 기법의 세부 기법에 의해 다수의 인공지능 알고리즘이 모두 동일한 인공지능 학습 알고리즘이 적용될지, 모두 상이한 인공지능 학습 알고리즘이 적용될지 설정되는 것이 바람직하며, 상기 학습 데이터 셋의 생성 역시도 설정된 앙상블 기법의 세부 기법에 의해 제어될 수도 있다.
다만, 상기 학습 처리 단계(S200)는 동일한 기초 데이터(다수의 기관의 운영서버로부터 입력받은 보안 관련 운영 데이터)를 토대로 생성된 학습 데이터 셋에 대해 다수의 인공지능 학습 알고리즘을 이용하여 학습 처리를 수행하는 것이 바람직하다.
상기 실시간 데이터 입력 단계(S300)는 상기 데이터 입력부(300)에서, 상기 다수의 기관의 운영서버 중 적어도 어느 하나로부터 실시간 운영 데이터를 입력받게 된다. 즉, 상기 학습 처리 단계(S200)에 의해 학습이 완료된 후, 그 시점에서부터 수집되는 운영 데이터를 상기 실시간 운영 데이터로 입력받게 된다.
상기 위험도 산출 단계(S400)는 상기 위험도 분석부(400)에서, 상기 학습 처리 단계(S200)에 의해 생성한 다수의 인공지능 모델을 적용한 앙상블 기법을 이용하여, 상기 실시간 데이터 입력 단계(S300)에 의한 상기 실시간 운영 데이터를 입력하여, 상기 실시간 운영 데이터에 대한 사회이슈 기반 사이버 표적공격의 발생 위험도를 산출하게 된다. 이 때, 사회이슈 기반 사이버 표적공격의 발생 위험도란, 사회이슈 기반 사이버 표적공격의 발생 징후를 의미한다.
상세하게는, 상기 위험도 산출 단계(S400)는 상기 학습 처리 단계(S200)에 의해 생성한 다수의 인공지능 모델에 상기 실시간 데이터 입력 단계(S300)에 의한 상기 실시간 운영 데이터를 각각 입력하여, 다수의 인공지능 모델에서 각각 출력한 다수의 분석 결과를 종합함으로써, 상기 실시간 운영 데이터에 대한 사회이슈 기반 사이버 표적공격의 발생 위험도를 산출하게 된다.
이 때, 다수의 인공지능 모델에서 각각 출력한 다수의 분석 결과를 비교 판단하여, 다수결 결과 또는, 평균값 결과를 활용하여 해당하는 운영서버에 대한 사회이슈 기반 사이버 표적공격의 발생 위험도를 산출하게 된다.
다수의 인공지능 모델을 적용한 앙상블 기법을 이용함에 따른 결과 산출의 경우, 다양하게 설정이 제어되게 된다.
상기 공격 탐지 단계(S500)는 상기 위험도 산출 단계(S400)에 의해 분석한 사회이슈 기반 사이버 표적공격의 발생 위험도가 해당하는 운영서버의 미리 설정된 위험도 임계치를 초과할 경우, 상기 공격 탐지부(400)에서 저장되는 공격자 그룹별 공격 특성 DB를 이용하여, 상기 실시간 운영 데이터에 대한 사회이슈 기반 사이버 표적공격의 발생 여부를 탐지하게 된다.
이 때, 상기 공격 탐지 단계(S500)는 상기 위험도 산출 단계(S400)에 의해 산출한 해당하는 운영서버에 대한 사회이슈 기반 사이버 표적공격의 발생 위험도가 미리 설정된 임계치를 기준으로 초과할 경우, 산출한 위험도가 단순한 위협에 불과한지, 아니면 실제 사회이슈 기반 사이버 표적공격이 발생했는지 탐지하게 된다. 이 때, 운영서버마다 보안 등급 등이 상이하기 때문에, 위험도 임계치는 상이하게 설정될 수 있다.
여기서, 상기 공격자 그룹별 공격 특성 DB를 저장하기 위하여, 본 발명의 일 실시예에 따른 공격자 그룹 유사도 기법을 활용한 사회이슈 기반 사이버 표적공격 탐지 방법은 도 2에 도시된 바와 같이, 과거 데이터 수집 단계(S510), 유사도 분석 단계(S520) 및 공격자 분석 단계(S530)를 더 포함하여 수행하게 된다.
상세하게는, 상기 과거 데이터 수집 단계(S510)는 상기 제1 수집부(600)에서, 과거 발생한 다수의 사이버 표적공격 관련 데이터를 수집하게 된다. 수집하는 상기 사이버 표적공격 관련 데이터로는 발생한 사이버 표적공격의 유형을 파악하여 발생할 당시의 공격대상 기관정보, 공격의 세부적인 유형 정보, 공격자 정보, 공격코드 정보, 공격코드 유형 정보 등을 포함하여 구성된다.
더불어, 상기 제2 수집부(700)에서, 수집한 과거 발생한 다수의 사이버 표적공격이 발생한 시점을 기준으로 소정기간 동안의 사회이슈 관련 데이터를 수집하게 된다.
즉, 상기 과거 데이터 수집 단계(S510)는 상기 제1 수집부(600)에서, 과거 발생한 A, B 사이버 표적공격의 관련 데이터들이 수집되었다면, 상기 제2 수집부(700)에서, 과거 A 사이버 표적공격이 발생한 시점을 기준으로 소정기간 전부터 소정기간 후까지의 사회이슈 데이터와, 과거 B 사이버 표적공격이 발생한 시점을 기준으로 소정기간 전부터 소정기간 후까지의 사회이슈 데이터를 수집하게 된다.
이를 위해, 상기 과거 데이터 수집 단계(S510)는 분석 대상 사이트들의 크롤링을 수행하여 상기 사회이슈 데이터를 수집하게 된다.
분석 대상 사이트들의 크롤링을 수행하여, 수집한 해당 사이트의 다양한 웹 문서 데이터(웹 페이지 데이터 등)들을 분석하여, 해당 기간에 발생한 사회이슈 데이터들을 수집하는 것으로, 이 때, 상기 사회이슈 데이터란, 언론사 등에서 이슈화하여 내보내고 있는 기사들을 종합하여 볼 때 사회이슈를 추측할 수 있다.
그렇지만, 언론사에서 발간(발생, 생성, 업로드 등)하는 기사들을 수집하여 이에 대한 주요 키워드들을 추출할 경우, 가령 언론기사 분석을 통해 '정부'라는 키워드가 많이 나타났다고 분석될 경우, 단순히 해당 키워드만을 가지고는 앞뒤 상황을 유추하기가 어렵기 때문에 이를 사회이슈 키워드라고 단정할 수 없다. 뿐만 아니라, 이를 사회이슈로 단정지었다 할지라도 추후에 이에 대한 사회상황 해석이 거의 불가능하게 된다. 그렇기 때문에, 이러한 점을 감안하여, 언론사 등에서 이슈화하여 내보내고 있는 기사들을 수집하여 수집한 기사들을 분석하여 발견된 핵심 키워드를 중심으로, 연관된 키워드들까지 같이 추출하여 하나의 그룹으로 묶어 이를 사회이슈로 도출하는 것이 바람직하다. 특정기간에 발생한 사회이슈 데이터와 더 나아가 그 사회이슈가 발생한 이유, 경과 등을 일목요연하게 정리하여 확인할 수 있다.
이에 따라, 상기 과거 데이터 수집 단계(S510)는 수집한 상기 사회이슈 데이터는 단순히 하나의 단어가 아니라 특정 기간에 이슈화되고 있는 키워드들, 다시 말하자면 연관성이 있는 키워드들의 집합을 의미할 수도 있다.
상기 유사도 분석 단계(S520)는 상기 유사도 분석부(800)에서, 상기 과거 데이터 수집 단계(S510)에 의한 수집 데이터 간의 유사도를 분석하는 것이 바람직하다.
다시 말하자면, 상기 과거 데이터 수집 단계(S510)는 과거 발생한 사이버 표적공격 별로 해당하는 공격 관련 데이터가 수집되며, 이에 연계(연관)된 적어도 어느 하나의 사이버 표적공격이 발생한 시점에 대한 사회이슈 데이터를 수집하게 된다.
이 때, 상기 과거 데이터 수집 단계(S510)는 단일 사이버 표적공격에 대해서만 수집하는 것이 아니기 때문에, 과거 발생한 사이버 표적공격 별로 매칭하여 공격 관련 데이터 ?? 사회이슈 데이터를 수집할 수 있다.
이를 이용하여, 상기 유사도 분석 단계(S520)는 상기 수집 데이터들 간의 유사도를 분석함으로써, 발생한 사이버 표적공격들 간의 유사도를 분석하게 된다.
상기 공격자 분석 단계(S530)는 상기 공격자 그룹 분석부(900)에서, 상기 유사도 분석 단계(S520)에 의해 분석한 유사도를 기준으로 과거 사이버 표적공격을 일으킨 공격자를 그룹화하고, 그룹 별로 상기 과거 데이터 수집 단계(S510)에 의한 수집 데이터를 매칭시켜 데이터베이스화하게 된다.
다시 말하자면, 상기 공격자 분석 단계(S530)는 상기 유사도 분석 단계(S520)에 의해 분석한 사이버 표적공격들 간의 유사도를 분석하여, 유사도가 일정치 이상(일 예를 들자면, 80%)인 사이버 표적공격을 일으킨 공격자를 그룹화하는 것이 바람직하다. 이 후, 공격자 그룹 별로 공격 특성을 알 수 있는 상기 수집 데이터(공격 관련 데이터 ?? 사회이슈 데이터)를 매칭시켜, 데이터베이스화하게 된다.
이를 통해서, 생성한 데이터베이스인 상기 공격자 그룹별 공격 특성 DB를 통해서, 단순하게 한번 발생한 사이버 표적공격이 아닌, 유사성을 띄고 있는 다수 개의 사이버 표적공격에 대한 공격 특성 데이터(공격대상 기관정보, 공격의 세부적인 유형 정보, 공격자 정보, 공격코드 정보, 공격코드 유형 정보, 사회이슈 데이터)를 용이하게 확인할 수 있다.
상기 대응 단계(S600)는 상기 후속 처리부(1000)에서, 상기 공격 탐지 단계(S500)의 수행 결과를 이용하여, 해당하는 공격자 그룹 또는, 운영서버에 매칭되는 사전 대응 조치 정보를 생성하게 된다.
상기 공격 탐지 단계(S500)는 사회이슈 기반 사이버 표적공격의 발생 위험도가 높은 상기 실시간 운영 데이터와 실제 발생된 사회이슈 기반 사이버 표적공격의 공격자 그룹들의 공격 특성 데이터를 비교하여, 그 특성이 일치하는 경우에는 실제 사회이슈 기반 사이버 표적공격이 일어난 것으로 판단하게 된다.
이를 통해서, 상기 대응 단계(S600)는 공격을 가하는 공격자 그룹의 특성에 맞게 사전 대응 조치 정보를 생성하거나, 공격을 당하는 운영서버의 특성에 맞게 사전 대응 조치 정보를 생성할 수도 있다. 이는 사전에 대응 조치 관련 정보를 입력받게 된다. 물론, 이러한 사전 대응 조치 관련 정보에 대해서는 해당하는 운영서버마다 상이할 수 있기 때문에, 이에 대해서 한정하는 것은 아니다.
즉, 다시 말하자면, 본 발명의 일 실시예에 따른 공격자 그룹 유사도 기법을 활용한 사회이슈 기반 사이버 표적공격 탐지 시스템 및 그 방법은, 다수의 공격 대상을 향해 일어나는 사회이슈 기반 사이버 표적공격의 최초 공격을 높은 정확도로 신속하게 탐지할 수 있는 장점이 있다.
이상과 같이 본 발명에서는 구체적인 구성 소자 등과 같은 특정 사항들과 한정된 실시예 도면에 의해 설명되었으나 이는 본 발명의 보다 전반적인 이해를 돕기 위해서 제공된 것 일 뿐, 본 발명은 상기의 일 실시예에 한정되는 것이 아니며, 본 발명이 속하는 분야에서 통상의 지식을 가진 자라면 이러한 기재로부터 다양한 수정 및 변형이 가능하다.
따라서, 본 발명의 사상은 설명된 실시예에 국한되어 정해져서는 아니 되며, 후술하는 특허 청구 범위뿐 아니라 이 특허 청구 범위와 균등하거나 등가적 변형이 있는 모든 것들은 본 발명 사상의 범주에 속한다고 할 것이다.
100 : 데이터 수집부
200 : 학습 처리부
300 : 데이터 입력부
400 : 위험도 분석부
500 : 공격 탐지부
600 : 제1 수집부
700 : 제2 수집부
800 : 유사도 분석부
900 : 공격자 그룹 분석부
100 : 후속 처리부

Claims (8)

  1. 공격자 그룹 유사도 기법을 활용한 사회이슈 기반 사이버 표적공격 탐지 시스템을 적용하고자 하는 다수의 기관의 운영서버로부터 보안 관련 운영 데이터를 각각 입력받는 데이터 수집부(100);
    상기 데이터 수집부(100)에 의한 각 보안 관련 운영 데이터를 인공지능 학습을 위한 학습 데이터 셋으로 생성하고, 다수의 인공지능 알고리즘을 이용하여 상기 학습 데이터 셋에 대한 학습 처리를 수행하는 학습 처리부(200);
    상기 다수의 기관의 운영서버 중 적어도 어느 하나로부터 실시간 운영 데이터를 입력받는 데이터 입력부(300);
    상기 학습 처리부(200)에 의해 생성한 다수의 인공지능 모델을 적용한 앙상블 기법을 이용하여, 상기 데이터 입력부(300)에 의한 상기 실시간 운영 데이터를 입력하여, 상기 실시간 운영 데이터에 대한 사회이슈 기반 사이버 표적공격의 발생 위험도를 산출하는 위험도 분석부(400); 및
    상기 위험도 분석부(400)에서 산출한 위험도가 기설정된 임계치를 초과할 경우, 저장되는 공격자 그룹별 공격 특성 DB를 이용하여 상기 실시간 운영 데이터에 대한 사회이슈 기반 사이버 표적공격 발생 여부를 탐지하는 공격 탐지부(500);
    를 포함하며,
    상기 공격 탐지부(500)에 공격자 그룹별 공격 특성 DB를 저장하기 위하여,
    과거 발생한 다수의 사이버 표적공격 관련 데이터를 수집하는 제1 수집부(600);
    과거 각각의 사이버 표적공격이 발생한 시점을 기준으로 소정기간 동안의 사회이슈 관련 데이터를 수집하는 제2 수집부(700);
    상기 제1 수집부(600)와 제2 수집부(700)에 의한 수집 데이터 간의 유사도를 분석하여, 과거 발생한 사이버 표적공격 간의 유사도를 분석하는 유사도 분석부(800); 및
    상기 유사도 분석부(800)에서 분석한 과거 발생한 사이버 표적공격 간의 유사도를 기준으로, 유사도가 소정치 이상인 사이버 표적공격을 일으킨 공격자를 그룹화하고, 그룹 별로 상기 수집 데이터를 매칭시켜 데이터베이스화하며, 이를 상기 공격 탐지부(500)로 전송 및 저장하는 공격자 그룹 분석부(900);
    를 더 포함하고,
    상기 공격 탐지부(500)는
    상기 위험도 분석부(400)에 의해 분석한 상기 실시간 운영 데이터에 대한 사회이슈 기반 사이버 표적공격의 발생 위험도가 해당하는 운영서버의 미리 설정된 위험도 임계치를 초과할 경우,
    상기 공격자 그룹 분석부(900)에 의해 데이터베이스화한 데이터를 상기 공격자 그룹별 공격 특성 DB로 이용하여, 상기 실시간 운영 데이터에 기초하여 해당하는 운영서버에 사이버 표적공격이 발생했는지 또는, 사회이슈 기반 사이버 표적공격이 발생했는지 탐지하는, 공격자 그룹 유사도 기법을 활용한 사회이슈 기반 사이버 표적공격 탐지 시스템.
  2. 삭제
  3. 제 1항에 있어서,
    상기 학습 처리부(200)는
    다수의 인공지능 알고리즘을 적용한 앙상블 기법을 이용하여, 생성한 상기 학습 데이터 셋을 각각 적용하여 병렬적 학습 처리를 수행하는, 공격자 그룹 유사도 기법을 활용한 사회이슈 기반 사이버 표적공격 탐지 시스템.
  4. 제 1항에 있어서,
    상기 위험도 분석부(400)는
    다수의 인공지능 모델을 적용한 앙상블 기법을 이용하여, 다수의 인공지능 모델에 상기 실시간 운영 데이터를 각각 입력하고, 다수의 인공지능 모델로부터 상기 실시간 운영 데이터에 대한 각각의 분석 결과를 비교 판단하여, 해당하는 운영서버에 대한 사회이슈 기반 사이버 표적공격의 발생 위험도를 산출하는, 공격자 그룹 유사도 기법을 활용한 사회이슈 기반 사이버 표적공격 탐지 시스템.
  5. 제 1항에 있어서,
    상기 공격자 그룹 유사도 기법을 활용한 사회이슈 기반 사이버 표적공격 탐지 시스템은
    상기 공격 탐지부(500)에서 탐지한 사회이슈 기반 사이버 표적공격 발생 여부에 따라, 해당하는 공격자 그룹 또는, 해당하는 운영서버에 매칭되는 사전 대응 조치 정보를 생성하는 후속 처리부(1000);
    를 더 포함하는, 공격자 그룹 유사도 기법을 활용한 사회이슈 기반 사이버 표적공격 탐지 시스템.
  6. 컴퓨터로 구현되는 공격자 그룹 유사도 기법을 활용한 사회이슈 기반 사이버 표적공격 탐지 시스템에 의해 각 단계가 수행되는 공격자 그룹 유사도 기법을 활용한 사회이슈 기반 사이버 표적공격 탐지 방법에 있어서,
    데이터 수집부에서, 공격자 그룹 유사도 기법을 활용한 사회이슈 기반 사이버 표적공격 탐지 시스템을 적용하고자 하는 다수의 기관의 운영서버로부터 보안 관련 운영 데이터를 각각 입력받는 운영 데이터 입력 단계(S100);
    학습 처리부에서, 상기 운영 데이터 입력 단계(S100)에 의해 입력받은 상기 보안 관련 운영 데이터를 인공지능 학습을 위한 학습 데이터 셋으로 생성하고, 다수의 인공지능 알고리즘을 이용하여 상기 학습 데이터 셋에 대한 학습 처리를 수행하는 학습 처리 단계(S200);
    데이터 입력부에서, 상기 다수의 기관의 운영서버 중 적어도 어느 하나로부터 실시간 운영 데이터를 입력받는 실시간 데이터 입력 단계(S300);
    위험도 분석부에서, 상기 학습 처리 단계(S200)에 의해 생성한 다수의 인공지능 모델을 적용한 앙상블 기법을 이용하여, 상기 실시간 데이터 입력 단계(S300)에 의한 상기 실시간 운영 데이터를 입력하여, 상기 실시간 운영 데이터에 대한 사회이슈 기반 사이버 표적공격의 발생 위험도를 산출하는 위험도 산출 단계(S400);
    공격 탐지부에서, 상기 위험도 산출 단계(S400)에 의해 산출한 위험도가 기설정된 임계치를 초과할 경우, 저장되는 공격자 그룹별 공격 특성 DB를 이용하여, 상기 실시간 운영 데이터에 대한 사회이슈 기반 사이버 표적공격 발생 여부를 탐지하는 공격 탐지 단계(S500); 및
    후속 처리부에서, 상기 공격 탐지 단계(S500)의 수행 결과를 이용하여, 해당하는 공격자 그룹 또는, 해당하는 운영서버에 매칭되는 사전 대응 조치 정보를 생성 및 전송하는 대응 단계(S600);
    를 포함하며,
    제1 수집부에서, 과거 발생한 다수의 사이버 표적공격 관련 데이터를 수집하고, 제2 수집부에서, 과거 각각의 사이버 표적공격이 발생한 시점을 기준으로 소정기간 동안의 사회이슈 관련 데이터를 수집하는 과거 데이터 수집 단계(S510);
    유사도 분석부에서, 상기 과거 데이터 수집 단계(S510)에 의한 수집 데이터들 간의 유사도를 분석하여, 과거 발생한 사이버 표적공격 간의 유사도를 분석하는 유사도 분석 단계(S520); 및
    공격자 그룹 분석부에서, 상기 유사도 분석 단계(S520)에 의해 분석한 과거 발생한 사이버 표적공격 간의 유사도를 기준으로, 유사도가 소정치 이상인 사이버 표적공격을 일으킨 공격자를 그룹화하고, 그룹 별로 상기 과거 데이터 수집 단계(S510)에 의한 수집 데이터를 매칭시켜 데이터베이스화하는 공격자 분석 단계(S530);
    를 더 포함하고,
    상기 공격 탐지 단계(S500)는
    상기 위험도 산출 단계(S400)에 의해 산출한 상기 실시간 운영 데이터에 대한 사회이슈 기반 사이버 표적공격의 발생 위험도가 해당하는 운영서버의 미리 설정된 위험도 임계치를 초과할 경우,에 의해 데이터베이스화한 데이터를 상기 공격자 그룹별 공격 특성 DB로 이용하여, 상기 실시간 운영 데이터에 기초하여 해당하는 운영서버에 사이버 표적공격이 발생했는지 또는, 사회이슈 기반 사이버 표적공격이 발생했는지 탐지하는, 공격자 그룹 유사도 기법을 활용한 사회이슈 기반 사이버 표적공격 탐지 방법.
  7. 제 6항에 있어서,
    상기 학습 처리 단계(S200)는
    다수의 인공지능 알고리즘을 적용한 앙상블 기법을 이용하여, 생성한 상기 학습 데이터 셋을 각각 적용하여 병렬적 학습 처리를 수행하는, 공격자 그룹 유사도 기법을 활용한 사회이슈 기반 사이버 표적공격 탐지 방법.
  8. 삭제
KR1020210165771A 2021-11-26 2021-11-26 공격자 그룹 유사도 기법을 활용한 사회이슈 기반 사이버 표적공격 탐지 시스템 및 그 방법 KR102562665B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020210165771A KR102562665B1 (ko) 2021-11-26 2021-11-26 공격자 그룹 유사도 기법을 활용한 사회이슈 기반 사이버 표적공격 탐지 시스템 및 그 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020210165771A KR102562665B1 (ko) 2021-11-26 2021-11-26 공격자 그룹 유사도 기법을 활용한 사회이슈 기반 사이버 표적공격 탐지 시스템 및 그 방법

Publications (2)

Publication Number Publication Date
KR20230078219A KR20230078219A (ko) 2023-06-02
KR102562665B1 true KR102562665B1 (ko) 2023-08-03

Family

ID=86755805

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020210165771A KR102562665B1 (ko) 2021-11-26 2021-11-26 공격자 그룹 유사도 기법을 활용한 사회이슈 기반 사이버 표적공격 탐지 시스템 및 그 방법

Country Status (1)

Country Link
KR (1) KR102562665B1 (ko)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102120214B1 (ko) * 2019-11-15 2020-06-08 (주)유엠로직스 앙상블 기계학습 기법을 이용한 사이버 표적공격 탐지 시스템 및 그 탐지 방법
KR102120232B1 (ko) * 2019-11-04 2020-06-16 (주)유엠로직스 칼만필터 알고리즘을 이용한 사이버 표적공격 탐지 시스템 및 그 탐지 방법

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102075715B1 (ko) * 2018-05-29 2020-02-10 국방과학연구소 공격 주체 분류 장치 및 방법

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102120232B1 (ko) * 2019-11-04 2020-06-16 (주)유엠로직스 칼만필터 알고리즘을 이용한 사이버 표적공격 탐지 시스템 및 그 탐지 방법
KR102120214B1 (ko) * 2019-11-15 2020-06-08 (주)유엠로직스 앙상블 기계학습 기법을 이용한 사이버 표적공격 탐지 시스템 및 그 탐지 방법

Also Published As

Publication number Publication date
KR20230078219A (ko) 2023-06-02

Similar Documents

Publication Publication Date Title
CN109347801B (zh) 一种基于多源词嵌入和知识图谱的漏洞利用风险评估方法
Osanaiye et al. Ensemble-based multi-filter feature selection method for DDoS detection in cloud computing
CN107241352B (zh) 一种网络安全事件分类与预测方法及系统
Nguyen et al. Design and implementation of intrusion detection system using convolutional neural network for DoS detection
Peng et al. Network intrusion detection based on deep learning
KR102120214B1 (ko) 앙상블 기계학습 기법을 이용한 사이버 표적공격 탐지 시스템 및 그 탐지 방법
Zhu et al. Android malware detection based on multi-head squeeze-and-excitation residual network
Babiker et al. Web application attack detection and forensics: A survey
Haider et al. Towards reliable data feature retrieval and decision engine in host-based anomaly detection systems
US20200145455A1 (en) Detecting zero-day attacks with unknown signatures via mining correlation in behavioral change of entities over time
Popp et al. Countering terrorism through information and privacy protection technologies
Kim et al. Cost-effective valuable data detection based on the reliability of artificial intelligence
Almajed et al. Using machine learning algorithm for detection of cyber-attacks in cyber physical systems
Kumar et al. A semantic machine learning algorithm for cyber threat detection and monitoring security
Mahalaxmi et al. Data Analysis with Blockchain Technology: A Review
KR102433581B1 (ko) 시계열 학습형 앙상블 인공지능 기법을 이용한 사회이슈 기반 사이버 표적공격 예측 시스템 및 그 예측 방법
KR102562665B1 (ko) 공격자 그룹 유사도 기법을 활용한 사회이슈 기반 사이버 표적공격 탐지 시스템 및 그 방법
Ngo et al. Toward an approach using graph-theoretic for IoT botnet detection
KR102556463B1 (ko) 공격자 그룹 유사도 기법을 활용한 사회이슈 기반 사이버 표적공격 예측 시스템 및 그 방법
KR102562671B1 (ko) 사회이슈형 사이버 표적공격의 대응을 위한 유전 알고리즘을 이용한 위협 헌팅 시스템 및 그 방법
Thomas et al. Comparative analysis of dimensionality reduction techniques on datasets for zero-day attack vulnerability
Kang et al. ActDetector: A Sequence-based Framework for Network Attack Activity Detection
Wang et al. APTSID: an ensemble learning method for APT attack stage identification
Tian et al. Network attack path reconstruction based on similarity computation
Banadaki et al. Design of intrusion detection systems on the internet of things infrastructure using machine learning algorithms

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right