KR102562671B1 - 사회이슈형 사이버 표적공격의 대응을 위한 유전 알고리즘을 이용한 위협 헌팅 시스템 및 그 방법 - Google Patents

사회이슈형 사이버 표적공격의 대응을 위한 유전 알고리즘을 이용한 위협 헌팅 시스템 및 그 방법 Download PDF

Info

Publication number
KR102562671B1
KR102562671B1 KR1020210180721A KR20210180721A KR102562671B1 KR 102562671 B1 KR102562671 B1 KR 102562671B1 KR 1020210180721 A KR1020210180721 A KR 1020210180721A KR 20210180721 A KR20210180721 A KR 20210180721A KR 102562671 B1 KR102562671 B1 KR 102562671B1
Authority
KR
South Korea
Prior art keywords
attack
social issue
data
cyber
threat
Prior art date
Application number
KR1020210180721A
Other languages
English (en)
Other versions
KR20230091529A (ko
Inventor
남기효
정문권
안성호
이희웅
Original Assignee
(주)유엠로직스
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)유엠로직스 filed Critical (주)유엠로직스
Priority to KR1020210180721A priority Critical patent/KR102562671B1/ko
Publication of KR20230091529A publication Critical patent/KR20230091529A/ko
Application granted granted Critical
Publication of KR102562671B1 publication Critical patent/KR102562671B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/12Computing arrangements based on biological models using genetic models
    • G06N3/126Evolutionary algorithms, e.g. genetic algorithms or genetic programming

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • General Engineering & Computer Science (AREA)
  • Biophysics (AREA)
  • Software Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • General Health & Medical Sciences (AREA)
  • General Physics & Mathematics (AREA)
  • Molecular Biology (AREA)
  • Computer Hardware Design (AREA)
  • Biomedical Technology (AREA)
  • Evolutionary Biology (AREA)
  • Computational Linguistics (AREA)
  • Data Mining & Analysis (AREA)
  • Evolutionary Computation (AREA)
  • Artificial Intelligence (AREA)
  • Computing Systems (AREA)
  • Mathematical Physics (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Virology (AREA)
  • Physiology (AREA)
  • Genetics & Genomics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 사회이슈형 사이버 표적공격의 대응을 위한 유전 알고리즘을 이용한 위협 헌팅 시스템 및 그 방법에 관한 것으로서, 가상의 사회이슈형 사이버 표적공격 시나리오에 따른 시뮬레이션을 수행하여, 수행 결과를 분석하여 발생할 수 있는 사회이슈형 사이버 표적공격에 의한 위협을 사전에 제거할 수 있는 기술에 관한 것이다.

Description

사회이슈형 사이버 표적공격의 대응을 위한 유전 알고리즘을 이용한 위협 헌팅 시스템 및 그 방법 {Threat hunting system and method for against social issue-based advanced persistent threat using genetic algorithm}
본 발명은 사회이슈형 사이버 표적공격의 대응을 위한 유전 알고리즘을 이용한 위협 헌팅 시스템 및 그 방법에 관한 것으로, 더욱 상세하게는 사회이슈형 사이버 표적공격을 방어하기 위하여, 사회이슈 키워드에 대응하여 생성한 가상의 사이버 표적공격 시나리오에 대해서 유전 알고리즘을 기술을 적용하여 최적의 사이버 표적공격 시나리오를 도출하여 위협 헌팅을 수행할 수 있는 사회이슈형 사이버 표적공격의 대응을 위한 유전 알고리즘을 이용한 위협 헌팅 시스템 및 그 방법에 관한 것이다.
사이버 표적공격은 잠행적이고 지속적인 컴퓨터 해킹 프로세스들의 집합으로, 특정 실체를 목표로 하는 사람이나 사람들에 의해 이루어지며, 보통 개인, 단체, 국가, 사업체 또는, 정치 단체 등(이들의 운영서버/운영시스템)을 표적으로 삼는다.
이러한 사이버 표적공격은 오랜 시간 동안 상당한 정도의 은밀함이 요구되어, 표적으로 삼고 있는 운영서버(또는 운영시스템 등) 내의 취약점을 공격하기 위한 악성 소프트웨어를 이용하며, 이러한 악성 소프트웨어를 생성하기 위해 외부에서 지속적으로 표적 대상들에 대한 데이터를 감시하고 추출하게 된다.
이러한 사이버 표적공격 중 사회이슈를 기반으로 한 사이버 표적공격(SAPT, Social issue-based Advanced Persistent Threat)은 공격자 조직 별로 노리는 사회/경제적 이슈(정상회담, 올림픽, 가상화폐 등)와 공격 기법(개인, 기관 등)의 특징이 있어, 공격 기법을 사회이슈와 연관지어 분석할 수 있는 특징이 있어, 이를 사회이슈형 사이버 표적공격이라고 한다.
이러한 사회이슈형 사이버 표적공격은 통상적으로 다수의 공격 대상에 대해 연쇄적이면서도 동시 다발적으로 또는, 연속적으로 사이버 공격을 시도함으로써, 사회적으로도 많은 피해를 야기한다.
종래의 사이버 표적공격은 국가 차원에서 위협이 될 수 있는 요소로 판단되어 이에 따른 투자가 확대되고 있으나, 사회이슈형 사이버 표적공격의 경우, 단일 기관이 아닌 다중 기관(공격 대상)에서 대응이 이루어져야 하기 때문에, 각각 갖추고 있는 보안 솔루션 또는, 보안 프레임 워크로는 그 한계가 분명히 존재한다.
즉, 각각의 서버에서 개별적으로 보안 기법을 적용하고 있어, 동시 다발적으로, 그리고 연쇄적으로 발생하는 사회이슈형 사이버 표적공격이 발생할 경우, 이를 하나의 공격 기조로 인식하지 못하고, 개별적인 사이버 표적공격으로만 판단하여 개별 대응을 진행함으로써, 최초 발생한 사회이슈형 사이버 표적공격에 대한 탐지가 늦어짐으로써 다수의 공격 대상에 대해 이루어지는 사이버 공격에 대한 대응이 늦어지는 문제점이 있다.
그렇기 때문에, 이러한 사회이슈형 사이버 표적공격은 발생되었던 공격 기법을 기초로 동일한 또는, 유사한 공격 패턴이 발생할 경우, 이를 빠르게 인지하여 위협을 탐지(detection)하는 기술을 통해서 대응하고 있다. 이는 알려진 발생한 공격을 신속하게 탐지하는 것에 그칠 뿐, 공격에 취약한 부분을 사전에 탐지하여 이에 대한 보완을 통한 공격이 이루어지더라도 이를 방어할 수 있는 기술이 요구되고 있다.
건국대학교 석사학위논문 사회이슈기반 사이버 표적공격 탐지를 위한 Rick Hash 기반 악성코드 분석에 관한 연구(2021.08.)
본 발명은 상기한 바와 같은 종래 기술의 문제점을 해결하기 위하여 안출된 것으로, 본 발명의 목적은 사회이슈형 사이버 표적공격에 대해 선제적으로 대응하기 위해, 유전 알고리즘 기법을 이용하여 사회이슈 키워드를 바탕으로 가상의 사회이슈형 사이버 표적공격 시나리오를 조합하여 위협 헌팅을 위한 공격 시나리오를 생성하고, 이를 통한 위협 탐지를 수행할 수 있는 사회이슈형 사이버 표적공격의 대응을 위한 유전 알고리즘을 이용한 위협 헌팅 시스템 및 그 방법을 제공하는 것이다.
본 발명의 일 실시예에 따른 사회이슈형 사이버 표적공격의 대응을 위한 유전 알고리즘을 이용한 위협 헌팅 시스템에 있어서, 소정 기간 동안 분석 대상 사이트들의 다양한 웹 문서 데이터를 통해서 나타난 키워드 데이터를 수집하고, 이를 분석하여 사회이슈 데이터를 도출하는 키워드 처리부(100), 과거 발생한 다수의 사이버 표적공격 관련 데이터를 수집하는 공격 처리부(200), 인공지능 알고리즘을 이용하여, 상기 키워드 처리부(100)에 의해 도출한 사회이슈 데이터와 상기 공격 처리부(200)에 의해 수집한 상기 사이버 표적공격 관련 데이터에 대한 학습 처리를 수행하는 학습 처리부(300), 상기 학습 처리부(300)에 의한 학습 모델에 상기 키워드 처리부(100)에 의해 도출한 사회이슈 데이터를 입력하여, 가상의 사이버 표적공격 시나리오를 출력받고, 유전 알고리즘을 이용하여, 위협 헌팅을 위한 가상의 사회이슈형 사이버 표적공격 시나리오를 도출하는 공격 도출부(400), 상기 공격 도출부(400)에 의해 도출한 상기 가상의 사회이슈형 사이버 표적공격 시나리오를 이용하여, 사회이슈형 사이버 표적공격을 대응하고자 하는 기관의 운영 시스템에 공격 시뮬레이션을 수행하는 공격 수행부(500), 상기 운영 시스템으로부터, 상기 공격 수행부(500)의 공격 시뮬레이션에 의해 발생되는 관련 데이터를 수집하여 분석하는 결과 처리부(600) 및 상기 결과 처리부(600)에 의한 분석 결과를 이용하여, 사회이슈형 사이버 표적공격에 대한 위협 헌팅을 수행하는 위협 관리부(700)를 포함하는 것이 바람직하다.
더 나아가, 상기 키워드 처리부(100)는 소정 기간 동안 분석 대상 사이트들의 다양한 웹 문서 데이터를 통해서 나타난 키워드 데이터를 수집하는 키워드 수집부(110) 및 상기 키워드 수집부(110)의 수집 데이터를 분석하여, 키워드 데이터 간의 연관성 분석을 통한 그룹화를 수행하여, 사회이슈 데이터를 도출하는 사회이슈 도출부(120)를 포함하는 것이 바람직하다.
더 나아가, 상기 학습 처리부(300)는 적대적 생성 신경망(GAN, Generative Adversarial Networks)을 이용하여, 적대적 반복 학습을 수행하고, 상기 공격 도출부(400)는 적대적 반복 학습에 의한 학습 모델에 상기 사회이슈 도출부(120에 의해 도출한 사회이슈 데이터를 입력하여, 가상의 사이버 표적공격 시나리오를 생성하는 것이 바람직하다.
더 나아가, 상기 공격 도출부(400)는 유전 알고리즘(genetic algorithm)을 이용하여, 상기 사회이슈 도출부(120에 의해 도출한 사회이슈 데이터를 유전 정보로 적용하고, 생성한 상기 가상의 사이버 표적공격 시나리오에 의한 공격 위험도를 분석하여, 상기 사회이슈 데이터와 상기 가상의 사이버 표적공격 시나리오를 조합하여 위헙 헌팅을 위한 가상의 사회이슈형 사이버 표적공격 시나리오를 도출하는 것이 바람직하다.
더 나아가, 상기 결과 처리부(600)는 상기 운영 시스템으로부터, 상기 공격 수행부(500)의 공격 시뮬레이션에 의해 발생되는 관련 데이터를 수집하는 결과 수집부(610) 및 상기 결과 수집부(610)의 수집 데이터를 분석하여, 가상의 사회이슈형 사이버 표적공격에 의한 위협 헌팅 데이터를 생성하는 결과 탐지부(620)를 포함하는 것이 바람직하다.
더 나아가, 상기 위협 관리부(700)는 상기 결과 탐지부(620)의 위협 헌팅 데이터를 이용하여, 사회이슈형 사이버 표적공격을 방어하거나 또는, 사회이슈형 사이버 표적공격 발생 시 대응할 수 있는 정보를 생성하고, 생성한 정보를 기반으로 상기 운영 시스템의 관리를 수행하는 것이 바람직하다.
본 발명의 또 다른 일 실시예에 따른 컴퓨터로 구현되는 사회이슈형 사이버 표적공격의 대응을 위한 유전 알고리즘을 이용한 위협 헌팅 시스템에 의해 각 단계가 수행되는 사회이슈형 사이버 표적공격의 대응을 위한 유전 알고리즘을 이용한 위협 헌팅 방법에 있어서, 키워드 처리부에서, 소정 기간 동안 분석 대상 사이트들의 다양한 웹 문서 데이터를 통해서 나타난 키워드 데이터를 수집하는 키워드 수집 단계(S100), 키워드 처리부에서, 상기 키워드 수집 단계(S100)에 의해 수집한 상기 키워드 데이터를 분석하여, 키워드 데이터 간의 연관성 분석을 통한 그룹화를 수행하여, 사회이슈 데이터를 도출하는 사회이슈 도출 단계(S200), 공격 처리부에서, 과거 발생한 다수의 사이버 표적공격 관련 데이터를 수집하는 공격 수집 단계(S300), 학습 처리부에서, 인공지능 알고리즘을 이용하여 상기 사회이슈 도출 단계(S200)에 의해 도출한 사회이슈 데이터와 상기 공격 수집 단계(S300)에 의해 수집한 상기 사이버 표적공격 관련 데이터들을 학습 데이터로 입력하여, 학습 처리를 수행하는 학습 처리 단계(S400), 공격 도출부에서, 상기 학습 처리 단계(S400)에 의한 학습 모델에 상기 사회이슈 도출 단계(S200)에 의해 도출한 사회이슈 데이터를 입력하여, 가상의 사이버 표적공격 시나리오를 출력받는 시나리오 생성 단계(S500), 공격 도출부에서, 유전 알고리즘을 이용하여, 상기 사회이슈 도출 단계(S200)에 의해 도출한 사회이슈 데이터를 유전 정보로 적용하고, 각 사회이슈 데이터 별 상기 시나리오 생성 단계(S500)에 의해 출력된 상기 가상의 사이버 표적공격 시나리오에 의한 공격 위험도를 분석하여, 위협 헌팅을 위한 가상의 사회이슈형 사이버 표적공격 시나리오를 도출하는 시나리오 도출 단계(S600), 공격 수행부에서, 상기 시나리오 도출 단계(S600)에 의한 상기 가상의 사회이슈형 사이버 표적공격 시나리오를 이용하여, 공격 시뮬레이션을 수행하는 공격 수행 단계(S700), 결과 처리부에서, 상기 공격 수행 단계(S700)에 의해 발생되는 관련 데이터를 수집하고, 수집 데이터들을 분석하여 가상의 사회이슈형 사이버 표적공격에 의한 위협 헌팅 데이터를 생성하는 결과 분석 단계(S800) 및 위협 관리부에서, 상기 결과 분석 단계(S800)에 의한 분석 결과를 이용하여, 사회이슈형 사이버 표적공격에 대한 위협 헌팅을 수행하는 위협 관리 단계(S900)를 포함하 것이 바람직하다.
더 나아가, 상기 학습 처리 단계(S400)는 적대적 생성 신경망(GAN, Generative Adversarial Networks)을 이용하여, 적대적 반복 학습에 의한 학습 모델을 출력하 것이 바람직하다.
더 나아가, 상기 시나리오 도출 단계(S600)는 유전 알고리즘을 이용하여, 상기 사회이슈 도출 단계(S200)에 의해 도출한 사회이슈 데이터를 유전 정보로 적용하고, 각 사회이슈 데이터 별 상기 시나리오 생성 단계(S500)에 의해 출력된 상기 가상의 사이버 표적공격 시나리오에 의한 공격 위험도를 분석하여, 상기 사회이슈 데이터와 상기 가상의 사이버 표적공격 시나리오를 조합하여 위헙 헌팅을 위한 가상의 사회이슈형 사이버 표적공격 시나리오를 도출하 것이 바람직하다.
더 나아가, 상기 위협 관리 단계(S900)는 상기 결과 분석 단계(S800)에 의한 위협 헌팅 데이터를 이용하여, 사회이슈형 사이버 표적공격의 발생을 방어하거나 또는, 사회이슈형 사이버 표적공격 발생 시 대응할 수 있는 정보를 생성하고, 생성한 정보를 기반으로 관리를 수행하 것이 바람직하다.
상기와 같은 구성에 의한 본 발명의 사회이슈형 사이버 표적공격의 대응을 위한 유전 알고리즘을 이용한 위협 헌팅 시스템 및 그 방법은 필연적으로 특정 사회이슈에 대한 취약점을 내재하고 있어 발생할 가능성이 높은 사회이슈형 사이버 표적공격에 대해 선제적으로 대응하기 위해, 임의로 가상의 사이버 표적공격을 발생시킨 후 유전 알고리즘을 이용하여 사회이슈 데이터와 생성한 사이버 표적공격 시나리오 간의 분석을 수행하여, 가장 발생 위험도/발생 가능성이 큰 가상의 사회이슈형 사이버 표적공격 시나리오를 도출할 수 있는 장점이 있다.
이를 통해서, 공격 시뮬레이션을 수행하여, 발생하는 데이터를 이용하여 위협 헌팅을 수행할 수 있는 장점이 있다.
이 때, 가상의 사회이슈 사이버 표적공격을 발생시키기 위한 시나리오에 있어서, 적대적 생성 신경망(GAN, Generative Adversarial Networks)을 이용하여, 가상의 사이버 공격 수행 시나리오는 생성함으로써, 가상이지만 실제 발생하는 사이버 공격 패턴과 유사도가 높은 시나리오를 생성할 수 있을 뿐 아니라, 위협 헌터의 역량에 의존하지 않고 누구나 새롭게 생성되는 공격 시나리오를 이용하여 위협 헌팅을 수행할 수 있는 장점이 있다.
또한, 유전 알고리즘을 이용하여, 생성한 가상의 공격 시나리오에 대한 발생 가능성/공격 위험성이 가장 높은 사회이슈 데이터-공격 시나리오의 조합을 도출하여, 불필요한 공격 시뮬레이션을 최소화할 수 있다.
도 1은 본 발명에 일 실시예에 따른 사회이슈형 사이버 표적공격의 대응을 위한 유전 알고리즘을 이용한 위협 헌팅 시스템을 나타낸 구성 예시도이다.
도 2는 본 발명의 일 실시예에 따른 사회이슈형 사이버 표적공격의 대응을 위한 유전 알고리즘을 이용한 위협 헌팅 방법을 나타낸 순서 예시도이다.
이하 첨부한 도면들을 참조하여 본 발명의 사회이슈형 사이버 표적공격의 대응을 위한 유전 알고리즘을 이용한 위협 헌팅 시스템 및 그 방법을 상세히 설명한다. 다음에 소개되는 도면들은 당업자에게 본 발명의 사상이 충분히 전달될 수 있도록 하기 위해 예로서 제공되는 것이다. 따라서, 본 발명은 이하 제시되는 도면들에 한정되지 않고 다른 형태로 구체화될 수도 있다. 또한, 명세서 전반에 걸쳐서 동일한 참조번호들은 동일한 구성요소들을 나타낸다.
이때, 사용되는 기술 용어 및 과학 용어에 있어서 다른 정의가 없다면, 이 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 통상적으로 이해하고 있는 의미를 가지며, 하기의 설명 및 첨부 도면에서 본 발명의 요지를 불필요하게 흐릴 수 있는 공지 기능 및 구성에 대한 설명은 생략한다.
더불어, 시스템은 필요한 기능을 수행하기 위하여 조직화되고 규칙적으로 상호 작용하는 장치, 기구 및 수단 등을 포함하는 구성 요소들의 집합을 의미한다.
최근들어 '위협 헌팅(threat hunting)' 기술이 대두되고 있다.
위협 헌팅이란, 어떤 위협이 존재하는지 모르는 상태에서 숨어있는 위협을 찾아내는 과정으로, 환경 및 프로세스를 조사하면서 의심이 가거나 실제 숨어있는 위협을 찾게 되고, 결과적으로 액션을 취하거나 위협 탐지를 위한 정책 또는, 알고리즘을 생성하도록 단서를 제공하는 역할을 하게 된다.
다시 말하자면, 조직 또는, 내부 시스템의 네트워크(또는 시스템)를 탐색하여, 위협(또는 공격자)을 탐지하는 것으로, 외부와 내부 시스템의 경계에서 악성 트래픽을 차단하는 보안 솔루션과는 분명한 차이가 있다.
이를 통해서, 위협 헌팅은 알려진 공격 패턴의 탐지 규칙을 적용시키고 이를 업데이트하면서 공격 패턴 발생시 이를 차단하는 것이 아니라, 기존의 보안 솔루션을 우회하는 위협을 능동적으로 탐색하고 반복적으로 수행하여 내부 위협을 지속적으로 탐지하고 제거해 나가는 과정을 의미한다.
본 발명의 일 실시예에 따른 사회이슈형 사이버 표적공격의 대응을 위한 유전 알고리즘을 이용한 위협 헌팅 시스템 및 그 방법은, 필연적으로 특정 사회이슈에 대한 취약점을 내재하고 있어 발생할 가능성이 높은 사회이슈형 사이버 표적공격의 대상 서버/시스템/프로세스 등(기관, 기업, 개인 등)에서 발생할 수 있는 사회이슈형 사이버 표적공격에 대해 선제적으로 대응하기 위해, 임의로 가상의 사이버 표적공격을 발생시킨 후 이에 따라 발생하는 데이터를 이용하여 위협 헌팅을 수행할 수 있는 기술에 관한 것이다.
이 때, 본 발명의 일 실시예에 따른 사회이슈형 사이버 표적공격의 대응을 위한 유전 알고리즘을 이용한 위협 헌팅 시스템 및 그 방법은, 임의로 가상의 사이버 표적공격 시나리오를 생성함에 있어서, 적대적 생성 신경망(GAN, Generative Adversarial Networks)을 이용하여, 가상이지만 실제 발생하는 사이버 공격 패턴과 유사도가 높은 시나리오를 생성할 수 있을 뿐 아니라, 위협 헌터의 역량에 의존하지 않고 누구나 새롭게 생성되는 공격 시나리오를 이용하여 위협 헌팅을 수행할 수 있다.
적대적 생성 신경망이란, 컨볼루션 신경망으로 구현되는 생성기(generator)와 판별기(discriminator)를 포함하여 구성되며, 생성기는 실제와 가장 비슷한 가상 데이터를 생성하고, 판별기는 실제 데이터와 가상 데이터를 판별하되, 생성기는 실제와 가장 비슷한 가상 데이터를 생성하기 위해 반복 학습을 수행하고, 판별기 역시도 실제 데이터와 가상 데이터를 보다 정확하게 판별하기 위하여 반복 학습을 수행하게 된다. 즉, 생성기와 판별기가 적대적 학습을 반복 수행함으로써, 학습 모델이 출력되게 된다.
또한, 본 발명의 일 실시예에 따른 사회이슈형 사이버 표적공격의 대응을 위한 유전 알고리즘을 이용한 위협 헌팅 시스템 및 그 방법은, 적대적 생성 신경망을 이용하여 생성되는 수많은 공격 시나리오들 중 사회이슈 키워드를 바탕으로 가장 공격 가능성이 큰 공격 시나리오를 조합하여, 위헙 헌팅을 위한 최종 공격 시나리오로 도출하는 것이 바람직하다. 이러한 최종 공격 시나리오의 도출은 유전 알고리즘을 이용하는 것이 바람직하다. 즉, 적대적 생성 신경망을 이용하여 생성되는 수많은 공격 시나리오들이 사회이슈 키워드를 바탕으로 가장 공격 가능성/공격 위험도가 높은 공격 시나리오를 분석해내는 과정에 있어서 유전 알고리즘을 이용하게 된다.
유전 알고리즘이란, 생물의 유전/진화 과정을 모방한 최적화 알고리즘이다. 일 예를 들자면, 서로 다른 DNA를 가진 1세대 부모가 아이를 낳으면, 아이(2세대)는 부모의 DNA를 반씩 물려받게 된다. 환경에 적응하지 못하는 2세대 일부 개체는 도태되어 사라지며, 환경에 적응한 2세대 일부 개체만 살아남게 된다. 이렇게 살아남은 2세대가 다시 짝을 이루어 탄생한 3세대는 이전 세대보다 높은 생존율을 갖게 된다.
이러한 유전 알고리즘은 선택, 교차, 변이, 대치 등의 주요 연산으로 다음 세대로 이어질 유전 형질을 도출하게 된다. 선택은 짝을 이루기 위한 후보들을 선택하는 것을 의미하고, 교차는 교배를 통해 다음 세대를 생성하는 것을 의미한다.
변이는 직접적으로 임의의 값으로 교차하여 살아남을 확률이 존재하므로, 이러한 가능성을 두고 임의의 값을 교차하여 다음 세대를 생성하는 과정을 의미한다.
또한, 대체는 교차/변이 과정을 거쳐서 만들어진 새로운 세대의 개체들 중 열등한 개체를 가려내어 제외시키는 연산을 의미한다. 유전 알고리즘을 어떠한 문제에 적용하기 위해서는, 해를 유전자의 형식으로 표현할 수 있어야 하며, 이 해가 얼마나 적합한 지를 적합도 함수를 통해서 연산할 수 있어야 한다.
도 1은 본 발명의 일 실시예에 따른 사회이슈형 사이버 표적공격의 대응을 위한 유전 알고리즘을 이용한 위협 헌팅 시스템을 나타낸 구성 예시도로서, 도 1을 참조로 하여 본 발명의 일 실시예에 따른 사회이슈형 사이버 표적공격의 대응을 위한 유전 알고리즘을 이용한 위협 헌팅 시스템을 상세히 설명한다.
본 발명의 일 실시예에 따른 사회이슈형 사이버 표적공격의 대응을 위한 유전 알고리즘을 이용한 위협 헌팅 시스템은 도 1에 도시된 바와 같이, 키워드 처리부(100), 공격 처리부(200), 학습 처리부(300), 공격 도출부(400), 공격 수행부(500), 결과 처리부(600) 및 위협 관리부(700)를 포함하여 구성되는 것이 바람직하다. 또한, 각 구성들은 컴퓨터를 포함하는 적어도 하나 이상의 연산처리수단에 각각 또는 통합 포함되어 동작을 수행하는 것이 바람직하다.
일반적인 위협 헌팅의 절차는, 먼저 내부 시스템 환경에서 발생할 수 있는 악성행위(일 예를 들자면, 서버를 이용한 원격 명령 수행, 백도어 통신, 데이터 유출)를 이용하여 공격 시나리오를 생성한 후, 생성한 시나리오를 내부 시스템에 적용하여 발생하는 데이터(로그, 연결 데이터, 네트워크 페이로드 등)에 대해 다양한 분석 도구와 기법(연결 데이터 분석, 가시화, 통계 분석, 머신러닝 등)을 통해 공격자의 전술, 기술, 방법(TTPs, Tactics, Techniques, Procedures)을 수집하게 된다. 이를 통해서, 공격자의 새로운 TTPs이 발견될 경우, 위협 헌팅을 수행하는 조직에 기록되고 공유되어야 하며, 추적 관리를 진행함으로써, 해당 공격을 사전에 예방할 수 있어야 한다. 마지막으로, 새로운 위협 헌팅 시나리오를 생성하는데 집중할 수 있도록 기존의 시나리오를 지속적으로 반복 수행하기 위한 자동화 시스템이 구축되게 된다.
이러한 기존의 위협 헌팅은 위협 헌터(관리자, 사용자 등)가 자신이 보유하고 있는 능력(보안 관련 지식, 위협 관련 최신 데이터 등)을 기반으로, 사이버 공격 수행 시나리오를 정립하고 이를 내부 시스템에 적용하여, 이에 따른 위협을 제거하는 방식이다. 그렇지만, 대부분의 사이버 보안 위협이 그러하든 새로운 기술을 개발하더라도 항상 공격자 집단의 뒤를 쫓는 것에 불과하기 때문에, 아무리 사이버 공격 수행 시나리오를 정립하더라도 이미 알려져 있는 정보를 기반으로 하기 때문에, 아직 발생하지 않은 사이버 공격 수행에 대응하는 것은 사실상 불가능하다.
그렇기 때문에, 본 발명의 일 실시예에 따른 본 발명의 일 실시예에 따른 사회이슈형 사이버 표적공격의 대응을 위한 유전 알고리즘을 이용한 위협 헌팅 시스템 및 그 방법은, 적대적 생성 신경망(GAN, Generative Adversarial Networks)을 이용하여, 가상의 사이버 공격 수행 시나리오는 생성하고, 생성한 사이버 공격 수행 시나리오에 대해서 유전 알고리즘을 이용하여, 사회이슈 키워드를 바탕으로 최적의 시나리오를 도출함으로써, 가상이지만 실제 발생하는 사이버 공격 패턴과 유사도가 높은 시나리오를 생성할 수 있을 뿐 아니라, 위협 헌터의 역량에 의존하지 않고 누구나 새롭게 생성되는 공격 시나리오를 이용하여 위협 헌팅을 수행할 수 있다.
이를 통해서, 공격 시나리오의 시뮬레이션을 통해서 생성되는 데이터를 분석하여, 내부 시스템에 포함되어 있는 사이버 표적공격이 발생할 수 있는 경로, 시작점 등에 대한 보안책을 생성하고, 이들을 통해서 발생할 수 있는 공격 기법 등을 사전에 제거할 수 있는 방법을 제시할 수 있다.
상기 키워드 처리부(100)는 소정 기간 동안 분석 대상 사이트들의 다양한 웹 문서 데이터를 통해서 나타난 키워드 데이터를 수집하고, 이를 분석하여 사회이슈 데이터를 도출하는 것이 바람직하다.
상기 키워드 처리부(100)는 도 1에 도시된 바와 같이, 키워드 수집부(110) 및 사회이슈 도출부(120)를 포함하여 구성되는 것이 바람직하다.
상기 키워드 수집부(110)는 사회이슈 데이터를 도출하기 위하여 뉴스, SNS 등에서 나타나는 키워드를 수집하는 구성으로서, 외부로부터 입력되는 소정 기간 동안, 분석 대상 사이트들의 다양한 웹 문서 데이터(웹 페이지 데이터, SNS 등)에 대한 크롤링 등을 수행하여 수집하게 된다. 즉 웹 상에 존재하는 뉴스 사이트와 SNS를 활용하여 설정한 기간(소정 기간)에 존재하는 다양한 키워드들을 수집하게 된다. 사회적인 이슈들은 포털 사이트의 뉴스란이나 다양한 방송사의 SNS에서 검색할 수 있기 때문에, 이를 활용하여 사회이슈에 사용된 키워드를 추출하는 것이 바람직하다.
이러한 언론사 등에서 이슈화하여 내보내고 있는 기사들을 종합하여 볼 때 사회이슈를 추측할 수 있다. 그렇지만, 언론사에서 발간(발생, 생성, 업로드 등)하는 기사들을 수집하여 이에 대한 주요 키워드들을 추출할 경우, 가령 언론기사 분석을 통해 '정부'라는 키워드가 많이 나타났다고 분석될 경우, 단순히 해당 키워드만을 가지고는 앞뒤 상황을 유추하기가 어렵기 때문에 이를 사회이슈 키워드라 도출할 수 없다. 뿐만 아니라, 이를 사회이슈로 단정지었다 할지라도 추후에 이에 대한 사회상황 해석이 거의 불가능하다.
그렇기 때문에, 상기 사회이슈 도출부(120)를 통해서, 상기 키워드 수집부(110)의 수집 데이터를 분석하여, 키워드 데이터 간의 연관성 분석을 통한 그룹화를 수행하여, 상기 사회이슈 데이터를 도출하게 된다.
상세하게는, 언론사 등에서 이슈화하여 내보내고 있는 기사들을 수집하여 수집한 기사들을 분석하여 발견된 핵심 키워드를 중심으로, 연관된 키워드들까지 같이 추출하여 하나의 그룹으로 묶어 이를 사회이슈로 도출하는 것이 바람직하다. 이를 통해서, 특정기간에 발생한 사회이슈 데이터와 더 나아가 그 사회이슈가 발생한 이유, 경과 등을 일목요연하게 정리하여 확인할 수 있다.
상기 사회이슈 도출부(120)는 상기 키워드 수집부(110)의 수집 데이터들을 활용하여 해당 기간의 키워드 간 연관성을 분석하여 샤회이슈를 도출하는 것이 바람직하다. 연관성 분석을 위해서 키워드 그룹화(정치, 경제, 사회, 문화 등)를 선행되는 것이 바람직하며, 그룹 내 키워드 간의 빈도 분석, 단어 조합 등을 수행하여, 상기 사회이슈 데이터(올림픽, 청문회, 무역제재 등)를 도출할 수 있다.
이에 따라, 상기 사회이슈 데이터는 단순히 하나의 단어가 아니라 특정 기간 동안 이슈화되고 있는 키워드들, 다시 말하자면 연관성이 있는 키워드들의 집합을 의미하는 것이 바람직하다.
상기 공격 처리부(200)는 과거 발생한 다수의 사이버 표적공격 관련 데이터를 수집하는 것이 바람직하다.
상세하게는, 상기 공격 처리부(200)는 사회이슈형 사이버 표적공격의 대응을 위한 유전 알고리즘을 이용한 위협 헌팅 시스템을 적용하고자 하는 기관(개인, 기업, 기관 등)의 운영서버(또는, 운영 시스템)로부터 과거 발생한 사이버 표적공격에 의한 보안 관련 운영 데이터를 입력받아, 이를 수집하게 된다.
과거 발생한 사이버 표적공격의 유형을 파악하여 발생할 당시의 공격대상 기관정보, 공격의 세부적인 유형 정보, 공격자 정보, 공격코드 정보, 공격코드 유형 정보 등을 포함한 사이버 표적공격 관련 데이터를 수집하는 것으로, 이를 통해 과거 발생했던 사이버 표적공격에 대한 공격자 그룹의 공격 전략 및 테크닉을 수집하게 된다. 현재까지 발생한 대부분의 사이버 표적공격에서 사용된 공격 기술을 수집하는 것이 바람직하며, attack.mitre.org에는 14가지 형태의 사이버 표적공격 전략과 500여 가지의 사이버 공격 테크닉을 개시하고 있으며, 공격자 그룹별로 사이버 표적공격을 수행할 때 사용한 공격 테크닉을 수집할 수도 있다.
상기 학습 처리부(300)는 미리 저장된 인공지능 알고리즘을 이용하여, 상기 키워드 처리부(100)에 의해 도출한 사회이슈 데이터와 상기 공격 처리부(200)에 의해 수집한 상기 사이버 표적공격 관련 데이터에 대한 학습 처리를 수행하는 것이 바람직하다.
상기 학습 처리부(300)는 수집된 사이버 표적공격 전략 및 테크닉과, 도출한 사회이슈 데이터를 인공지능 학습에 사용할 수 있도록 정형화하고, 정형화된 학습 데이터를 미리 저장되어 있는 인공지능 알고리즘에 입력하여, 학습 결과 모델을 출력받게 된다. 여기서, 데이터 정형화란, 인공지능 학습에 값을 입력하기 위한 문자, 문자역, 정수형 등의 다양한 데이터를 수치화하는 것을 의미한다.
또한, 상기 학습 처리부(300)는 미리 저장된 인공지능 알고리즘으로 적대적 생성 신경망(GAN, Generative Adversarial Networks)을 이용하여 적대적 반복 학습을 수행하여, 상기 학습 결과 모델(학습 모델)을 출력하는 것이 바람직하다. 상술한 바와 같이, 상기 적대적 생성 신경망에 의한 학습 모델은 실제 발생하지 않은 사이버 표적공격 시나리오를 생성하되, 생성한 가상의 사이버 표적공격 시나리오는 실제 발생한 사이버 표적공격과 전략 및 테크닉이 거의 흡사하게 된다.
상기 공격 도출부(400)는 상기 학습 처리부(300)에 의한 학습 모델에 상기 키워드 처리부(100)에 의해 도출한 사회이슈 데이터를 입력하여, 가상의 사이버 표적공격 시나리오를 출력받고, 유전 알고리즘을 이용하여, 위협 헌팅을 위한 가상의 사회이슈형 사이버 표적공격 시나리오를 도출하는 것이 바람직하다.
즉, 상기 공격 도출부(400)는 적대적 반복 학습에 의한 학습 모델에 상기 사회이슈 도출부(120)에 의해 도출한 사회이슈 데이터를 입력하여, 가상의 사이버 표적공격 시나리오를 출력받게 된다.
상세하게는, 상기 공격 도출부(400)는 상기 사회이슈 도출부(120)에 의해 도출한 사회이슈 데이터와 상기 학습 처리부(300)에 의한 학습 결과를 유전 알고리즘(genetic algorithm)에 적용하는 것이 바람직하다. 상기 사회이슈 도출부(120)에 의해 도출한 사회이슈 데이터를 유전 알고리즘 계산을 위한 피처값으로 적용하여, 각 사회이슈 데이터를 이루고 있는 키워드들을 이용하여 사회이슈 그룹을 구성하고, 각 그룹별 사이버 표적공격 분석을 수행하여, 공격 위험도가 가장 높은 사회이슈 그룹을 우수 유전자 그룹으로 선택한다. 반복 수행을 통해 도출한 우수 유전자 그룹에 속한 키워드 별로 다시 한번 사이버 표적공격 분석을 수행함으로써, 가장 위험도가 높은 결과값을 갖는 키워드 데이터에 대해 가중치를 부여하여 유전 알고리즘 분석 모듈에 피처값으로 적용하여 결과를 도출한다. 이러한 유전 알고리즘 분석 모델을 통해 결정된 키워드 데이터가 포함되는 사회이슈 그룹(사회이슈 데이터)을 바탕으로 상기 학습 처리부(300)에 의한 학습 모델에서 가상의 사이버 표적공격 시나리오를 생성하고, 이를 가상의 사회이슈형 사이버 표적공격 시나리오로 도출하게 된다.
다시 말하자면, 상기 공격 도출부(400)는 유전 알고리즘을 이용하여, 상기 키워드 도출부(120)에 의해 도출한 사회이슈 데이터를 유전 정보로 적용하고, 상기 학습 처리부(300)에 의한 학습 모델을 통해서 임의로 생성되는 가상의 사이버 표적공격 시나리오에 의한 각 사회이슈 데이터 별 공격 위험도를 분석하게 된다.
공격 위험도가 높은 소정 개수의 사회이슈 데이터를 다음 세대 유전 정보로 설정하고, 다시 한번 해당하는 사회이슈 데이터를 이루고 있는 각각의 키워드 데이터에 대해 임의로 생성되는 가상의 사이버 표적공격 시나리오에 의한 공격 위험도를 분석하게 된다.
이를 통해서, 가장 높은 공격 위험도를 갖고 있는 키워드 데이터를 도출할 수 있으며, 상기 학습 처리부(300)에 의한 학습 모델에 해당하는 키워드 데이터가 포함되는 사회이슈 데이터를 입력하여, 가상의 사이버 표적공격 시나리오를 출력받게 된다.
이 때, 도출한 키워드 데이터가 포함되는 사회이슈 데이터와 이를 기반으로 생성한 상기 가상의 사이버 표적공격 시나리오를 위협 헌팅을 위한 가상의 사회이슈형 사이버 표적공격 시나리오로 설정하여, 도출하는 것이 바람직하다.
가상의 사회이슈형 사이버 표적공격이지만 실제와 흡사한 사회이슈형 사이버 표적공격을 일으킬 수 있는 시나리오인 것이 바람직하며, 가장 공격 위험도가 높은 사회이슈 데이터를 기반으로 생성된 만큼 위협 헌팅을 통해서 공격 취약점을 보완할 경우, 그 만큼 공격에 대한 보다 효과적인 대비가 이루어질 수 있다.
상기 공격 수행부(500)는 상기 공격 도출부(400)에서 생성한 가상의 사회이슈형 사이버 표적공격 시나리오를 이용하여, 기관의 운영서버(운영시스템 등)에 공격 시뮬레이션을 수행하는 것이 바람직하다. 즉, 상기 공격 수행부(500)는 상기 공격 도출부(400)에 의해 생성한 가상의 사회이슈형 사이버 표적공격 시나리오에 맞게 내부 시스템에 사이버 표적공격을 수행하는 것으로서, 위협 헌팅은 내부 시스템에 공격을 수행하면서 발생하는 정보를 분석하는 과정이기 때문에, 상기 공격 수행부(500)를 통한 공격 시뮬레이션이 필수로 요구된다.
상기 결과 처리부(600)는 기관의 운영서버(운영시스템 등)로부터 상기 공격 수행부(500)에 의한 가상의 사회이슈형 사이버 표적공격 시나리오에 따른 공격 시뮬레이션이 이루어지고 난 후, 발생되는 관련 데이터를 수집하여 분석하는 것이 바람직하다.
상세하게는, 상기 결과 처리부(600)는 도 1에 도시된 바와 같이, 결과 수집부(610)와 결과 탐지부(620)를 포함하여 구성되게 된다.
상기 결과 수집부(610)는 간략하게 말하자면, 가상의 사회이슈형 사이버 표적공격이 진행되면서 발생하는 데이터를 수집하게 된다. 일 예를 들자면, 기관의 운영서버(운영시스템 등)로부터 가상의 사회이슈형 사이버 표적공격이 진행되면서 발생하는 운영체제 로그, 네트워크 정보, 파일 열람 기록, 실행 프로그램 목록 등 다양한 정보를 수집하여 저장 및 관리하게 된다. 이를 위한 별도의 데이터베이스 수단을 포함하여 구성되는 것이 바람직하다.
상기 결과 탐지부(620)는 상기 결과 수집부(610)의 수집 데이터(일 예를 들자면, 운영체제 로그, 네트워크 정보, 파일 열람 기록, 실행 프로그램 목록 등)를 분석하여, 가상의 사회이슈형 사이버 표적공격에 의한 위협 헌팅 데이터를 생성하는 것이 바람직하다.
상세하게는, 상기 결과 탐지부(620)는 상기 결과 수집부(610)의 수집 데이터를 다양한 분석 기법을 이용하여, 다시 말하자면, 통계 분석, 공격자 행위 이벤트 분석, 네트워크 정보 분석, 운영체제 로그 분석, 시계열 분석 등을 수행하여, 위협 헌팅 데이터인 공격자의 전술, 기술, 방법(TTPs, Tactics, Techniques, Procedures)을 생성하게 된다.
상기 위협 관리부(700)는 상기 결과 처리부(600)에 의한 분석 결과를 이용하여, 사회이슈형 사이버 표적공격에 대한 위협 헌팅을 수행하게 된다.
상세하게는, 상기 위협 관리부(700)는 상기 결과 탐지부(620)에 의한 위협 헌팅 데이터를 이용하여, 사회이슈형 사이버 표적공격이 발생을 미연에 방지하거나 또는, 사회이슈형 사이버 표적공격 발생 시 신속하게 대응할 수 있는 정보를 생성하고, 생성한 정보를 기반으로 기관의 운영서버(운영시스템 등)의 위협 관리를 수행하는 것이 바람직하다.
물론, 상기 위협 관리부(700)는 상기 공격 도출부(400)에서 생성한 가상의 사회이슈형 사이버 표적공격 시나리오인 신규 사회이슈형 사이버 표적공격 시나리오의 관리, 학습 결과 모델의 관리, 상기 결과 탐지부(620)에 의한 위협 헌팅 데이터의 관리, 이에 따른 분석 결과의 관리를 수행하게 된다.
상기 위협 관리부(700)는 상기 결과 탐지부(620)에 의한 위협 헌팅 데이터를 가시화하여 보여줄 뿐 아니라, 가상의 사회이슈형 사이버 표적공격 시나리오에 의해 일어난 피해 정도, 피해 경로 등을 분석하여, 공격의 시작점이 되는 경로, 공격 기법 등에 대한 대비책을 제공할 수 있다. 또한, 과거 발생한 사회이슈형 사이버 표적공격에 대한 탐지만 가능한 것이 아니라, 아직 발생한 적은 없지만 이미 가상의 사회이슈형 사이버 표적공격 시나리오를 통해서 공격에 대한 학습이 이루어졌기 때문에, 실제 공격이 이루어질 경우, 이에 대한 신속 대응할 수 있다.
도 2는 본 발명의 일 실시예에 따른 사회이슈형 사이버 표적공격의 대응을 위한 인공지능 기법을 위협 헌팅 방법을 나타낸 순서 예시도이다. 도 2를 참조로 하여, 본 발명의 일 실시예에 따른 사회이슈형 사이버 표적공격의 대응을 위한 인공지능 기법을 위협 헌팅 방법을 상세히 설명한다.
본 발명의 일 실시예에 따른 사회이슈형 사이버 표적공격의 대응을 위한 인공지능 기법을 위협 헌팅 방법은 도 2에 도시된 바와 같이, 키워드 수집 단계(S100), 사회이슈 도출 단계(S200), 공격 수집 단계(S300), 학습 처리 단계(S400), 시나리오 생성 단계(S500), 시나리오 도출 단계(S600), 공격 수행 단계(S700), 결과 분석 단계(S800) 및 위협 관리 단계(S900)를 포함하여 구성되는 것이 바람직하다. 또한, 컴퓨터로 구현되는 사회이슈형 사이버 표적공격의 대응을 위한 인공지능 기법을 위협 헌팅 시스템에 의해 각 단계가 수행되게 된다.
각 단계에 대해서 자세히 알아보자면,
상기 키워드 수집 단계(S100)는 상기 키워드 처리부(100)에서, 소정 기간 동안 분석 대상 사이트들의 다양한 웹 문서 데이터를 통해서 나타난 키워드 데이터를 수집하게 된다.
상기 키워드 수집 단계(S100)는 사회이슈 데이터를 도출하기 위하여 뉴스, SNS 등에서 나타나는 키워드를 수집하는 구성으로서, 외부로부터 입력되는 소정 기간 동안, 분석 대상 사이트들의 다양한 웹 문서 데이터(웹 페이지 데이터, SNS 등)에 대한 크롤링 등을 수행하여 수집하게 된다. 즉 웹 상에 존재하는 뉴스 사이트와 SNS를 활용하여 설정한 기간(소정 기간)에 존재하는 다양한 키워드들을 수집하게 된다. 사회적인 이슈들은 포털 사이트의 뉴스란이나 다양한 방송사의 SNS에서 검색할 수 있기 때문에, 이를 활용하여 사회이슈에 사용된 키워드를 추출하는 것이 바람직하다.
이러한 언론사 등에서 이슈화하여 내보내고 있는 기사들을 종합하여 볼 때 사회이슈를 추측할 수 있다. 그렇지만, 언론사에서 발간(발생, 생성, 업로드 등)하는 기사들을 수집하여 이에 대한 주요 키워드들을 추출할 경우, 가령 언론기사 분석을 통해 '정부'라는 키워드가 많이 나타났다고 분석될 경우, 단순히 해당 키워드만을 가지고는 앞뒤 상황을 유추하기가 어렵기 때문에 이를 사회이슈 키워드라 도출할 수 없다. 뿐만 아니라, 이를 사회이슈로 단정지었다 할지라도 추후에 이에 대한 사회상황 해석이 거의 불가능하다.
그렇기 때문에, 상기 사회이슈 도출 단계(S200)를 수행하여, 상기 키워드 수집 단계(S100)에 의한 수집 데이터를 분석하여, 키워드 데이터 간의 연관성 분석을 통한 그룹화를 수행하여, 상기 사회이슈 데이터를 도출하게 된다.
상기 사회이슈 도출 단계(S200)는 상기 키워드 처리부(100)에서, 언론사 등에서 이슈화하여 내보내고 있는 기사들을 수집하여 수집한 기사들을 분석하여 발견된 핵심 키워드를 중심으로, 연관된 키워드들까지 같이 추출하여 하나의 그룹으로 묶어 이를 사회이슈로 도출하는 것이 바람직하다. 이를 통해서, 특정기간에 발생한 사회이슈 데이터와 더 나아가 그 사회이슈가 발생한 이유, 경과 등을 일목요연하게 정리하여 확인할 수 있다. 즉, 상기 키워드 수집 단계(S100)에 의한 수집 데이터들을 활용하여 해당 기간의 키워드 간 연관성을 분석하여 샤회이슈를 도출하는 것이 바람직하다. 연관성 분석을 위해서 키워드 그룹화(정치, 경제, 사회, 문화 등)를 선행되는 것이 바람직하며, 그룹 내 키워드 간의 빈도 분석, 단어 조합 등을 수행하여, 상기 사회이슈 데이터(올림픽, 청문회, 무역제재 등)를 도출할 수 있다.
이에 따라, 상기 사회이슈 데이터는 단순히 하나의 단어가 아니라 특정 기간 동안 이슈화되고 있는 키워드들, 다시 말하자면 연관성이 있는 키워드들의 집합을 의미하게 된다.
상기 공격 수집 단계(S300)는 상기 공격 처리부(200)에서, 과거 발생한 다수의 사이버 표적공격 관련 데이터를 수집하게 된다.
사회이슈형 사이버 표적공격의 대응을 위한 유전 알고리즘을 이용한 위협 헌팅 시스템을 적용하고자 하는 기관(개인, 기업, 기관 등)의 운영서버(또는, 운영 시스템)로부터 과거 발생한 사이버 표적공격에 의한 보안 관련 운영 데이터를 입력받아, 이를 수집하게 된다.
과거 발생한 사이버 표적공격의 유형을 파악하여 발생할 당시의 공격대상 기관정보, 공격의 세부적인 유형 정보, 공격자 정보, 공격코드 정보, 공격코드 유형 정보 등을 포함한 사이버 표적공격 관련 데이터를 수집하는 것으로, 이를 통해 과거 발생했던 사이버 표적공격에 대한 공격자 그룹의 공격 전략 및 테크닉을 수집하게 된다. 현재까지 발생한 대부분의 사이버 표적공격에서 사용된 공격 기술을 수집하는 것이 바람직하며, attack.mitre.org에는 14가지 형태의 사이버 표적공격 전략과 500여 가지의 사이버 공격 테크닉을 개시하고 있으며, 공격자 그룹별로 사이버 표적공격을 수행할 때 사용한 공격 테크닉을 수집할 수도 있다.
상기 학습 처리 단계(S400)는 상기 학습 처리부(300)에서, 미리 저장된 인공지능 알고리즘을 이용하여, 상기 사회이슈 도출 단계(S200)에 의해 도출한 사회이슈 데이터와 상기 공격 수집 단계(S300)에 의해 수집한 상기 사이버 표적공격 관련 데이터에 대한 학습 처리를 수행하게 된다.
상세하게는, 수집된 사이버 표적공격 전략 및 테크닉과, 도출한 사회이슈 데이터를 인공지능 학습에 사용할 수 있도록 정형화하고, 정형화된 학습 데이터를 미리 저장되어 있는 인공지능 알고리즘에 입력하여, 학습 결과 모델을 출력받게 된다. 여기서, 데이터 정형화란, 인공지능 학습에 값을 입력하기 위한 문자, 문자역, 정수형 등의 다양한 데이터를 수치화하는 것을 의미한다.
상기 학습 처리 단계(S400)는 미리 저장된 인공지능 알고리즘으로 적대적 생성 신경망(GAN, Generative Adversarial Networks)을 이용하여 적대적 반복 학습을 수행하여, 상기 학습 결과 모델(학습 모델)을 출력하는 것이 바람직하다. 상술한 바와 같이, 상기 적대적 생성 신경망에 의한 학습 모델은 실제 발생하지 않은 사이버 표적공격 시나리오를 생성하되, 생성한 가상의 사이버 표적공격 시나리오는 실제 발생한 사이버 표적공격과 전략 및 테크닉이 거의 흡사하게 된다.
상기 시나리오 생성 단계(S500)는 상기 공격 도출부(400)에서, 상기 학습 처리 단계(S400)에 의한 학습 모델에 상기 사회이슈 도출 단계(S200)에 의해 도출한 사회이슈 데이터를 입력하여, 가상의 사이버 표적공격 시나리오를 출력받고, 유전 알고리즘을 이용하여, 위협 헌팅을 위한 가상의 사회이슈형 사이버 표적공격 시나리오를 도출하게 된다.
정리하자면, 상기 시나리오 생성 단계(S500)는 적대적 반복 학습에 의한 학습 모델에 도출한 사회이슈 데이터를 입력하여, 가상의 사이버 표적공격 시나리오를 출력받게 된다.
상기 시나리오 도출 단계(S600)는 상기 공격 도출부(400)에서, 유전 알고리즘을 이용하여, 상기 사회이슈 도출 단계(S200)에 의해 도출한 사회이슈 데이터를 유전 정보로 적용하고, 각 사회이슈 데이터 별 상기 시나리오 생성 단계(S500)에 의해 출력된 상기 가상의 사이버 표적공격 시나리오에 의한 공격 위험도를 분석하여, 위헙 헌팅을 위한 가상의 사회이슈형 사이버 표적공격 시나리오를 도출하게 된다.
상세하게는, 상기 시나리오 도출 단계(S600)는 상기 학습 처리 단계(S400)에 의한 학습 모델에 상기 사회이슈 도출 단계(S200)에 의해 도출한 사회이슈 데이터를 유전 알고리즘(genetic algorithm)에 적용하는 것이 바람직하다.
상기 시나리오 도출 단계(S600)는 상기 사회이슈 도출 단계(S200)에 의해 도출한 사회이슈 데이터를 유전 알고리즘 계산을 위한 피처값으로 적용하여, 각 사회이슈 데이터를 이루고 있는 키워드들을 이용하여 사회이슈 그룹을 구성하고, 각 그룹별 사이버 표적공격 분석을 수행하여, 공격 위험도가 가장 높은 사회이슈 그룹을 우수 유전자 그룹으로 선택한다. 반복 수행을 통해 도출한 우수 유전자 그룹에 속한 키워드 별로 다시 한번 사이버 표적공격 분석을 수행함으로써, 가장 위험도가 높은 결과값을 갖는 키워드 데이터에 대해 가중치를 부여하여 유전 알고리즘 분석 모듈에 피처값으로 적용하여 결과를 도출한다. 이러한 유전 알고리즘 분석 모델을 통해 결정된 키워드 데이터가 포함되는 사회이슈 그룹(사회이슈 데이터)을 바탕으로 상기 학습 처리 단계(S400)에 의한 학습 모델에서 가상의 사이버 표적공격 시나리오를 생성하고, 이를 가상의 사회이슈형 사이버 표적공격 시나리오로 도출하게 된다.
다시 말하자면, 상기 시나리오 도출 단계(S600)는 유전 알고리즘을 이용하여, 도출한 사회이슈 데이터를 유전 정보로 적용하고, 학습 모델을 통해서 임의로 생성되는 가상의 사이버 표적공격 시나리오에 의한 각 사회이슈 데이터 별 공격 위험도를 분석하게 된다.
공격 위험도가 높은 소정 개수의 사회이슈 데이터를 다음 세대 유전 정보로 설정하고, 다시 한번 해당하는 사회이슈 데이터를 이루고 있는 각각의 키워드 데이터에 대해 임의로 생성되는 가상의 사이버 표적공격 시나리오에 의한 공격 위험도를 분석하게 된다.
이를 통해서, 가장 높은 공격 위험도를 갖고 있는 키워드 데이터를 도출할 수 있으며, 상기 학습 처리부(300)에 의한 학습 모델에 해당하는 키워드 데이터가 포함되는 사회이슈 데이터를 입력하여, 가상의 사이버 표적공격 시나리오를 출력받게 된다.
이 때, 도출한 키워드 데이터가 포함되는 사회이슈 데이터와 이를 기반으로 생성한 상기 가상의 사이버 표적공격 시나리오를 위협 헌팅을 위한 가상의 사회이슈형 사이버 표적공격 시나리오로 설정하여, 도출하는 것이 바람직하다.
가상의 사회이슈형 사이버 표적공격이지만 실제와 흡사한 사회이슈형 사이버 표적공격을 일으킬 수 있는 시나리오인 것이 바람직하며, 가장 공격 위험도가 높은 사회이슈 데이터를 기반으로 생성된 만큼 위협 헌팅을 통해서 공격 취약점을 보완할 경우, 그 만큼 공격에 대한 보다 효과적인 대비가 이루어질 수 있다.
상기 공격 수행 단계(S700)는 상기 공격 수행부(500)에서, 상기 시나리오 도출 단계(S600)에 의한 상기 가상의 사회이슈형 사이버 표적공격 시나리오를 이용하여, 기관의 운영서버(운영시스템 등)에 공격 시뮬레이션을 수행하게 된다.
즉, 가상의 사회이슈형 사이버 표적공격 시나리오에 맞게 내부 시스템에 사이버 표적공격을 수행하는 것으로서, 위협 헌팅은 내부 시스템에 공격을 수행하면서 발생하는 정보를 분석하는 과정이기 때문에, 공격 시뮬레이션이 필수로 요구된다.
상기 결과 분석 단계(S800)는 상기 결과 처리부(600)에서, 상기 공격 수행 단계(S700)에 의해 발생되는 관련 데이터를 수집하고, 수집 데이터들을 분석하여 가상의 사회이슈형 사이버 표적공격에 의한 위협 헌팅 데이터를 생성하게 된다.
상세하게는, 상기 결과 분석 단계(S800)는 기관의 운영서버(운영시스템 등)로부터 가상의 사회이슈형 사이버 표적공격 시나리오에 따른 공격 시뮬레이션이 이루어지고 난 후, 발생되는 관련 데이터를 수집하여 분석하게 된다.
즉, 가상의 사회이슈형 사이버 표적공격이 진행되면서 발생하는 데이터(운영체제 로그, 네트워크 정보, 파일 열람 기록, 실행 프로그램 목록 등 다양한 정보)를 수집하여 저장 및 관리하고, 이를 분석하여 가상의 사회이슈형 사이버 표적공격에 의한 위협 헌팅 데이터를 생성하게 된다.
상기 결과 분석 단계(S800)는 다양한 분석 기법을 이용하여, 다시 말하자면, 통계 분석, 공격자 행위 이벤트 분석, 네트워크 정보 분석, 운영체제 로그 분석, 시계열 분석 등을 수행하여, 위협 헌팅 데이터인 공격자의 전술, 기술, 방법(TTPs, Tactics, Techniques, Procedures)을 생성하게 된다.
상기 위협 관리 단계(S900)는 상기 위협 관리부(700)에서, 상기 결과 분석 단계(S800)에 의한 분석 결과를 이용하여, 사회이슈형 사이버 표적공격에 대한 위협 헌팅을 수행하게 된다.
상기 위협 관리 단계(S900)는 상기 결과 분석 단계(S800)에 의한 분석 결과인 위협 헌팅 데이터를 이용하여, 사회이슈형 사이버 표적공격이 발생을 미연에 방지하거나 또는, 사회이슈형 사이버 표적공격 발생 시 신속하게 대응할 수 있는 정보를 생성하고, 생성한 정보를 기반으로 기관의 운영서버(운영시스템 등)의 위협 관리를 수행하게 된다.
상세하게는, 위협 헌팅 데이터를 가시화하여 보여줄 뿐 아니라, 가상의 사회이슈형 사이버 표적공격 시나리오에 의해 일어난 피해 정도, 피해 경로 등을 분석하여, 공격의 시작점이 되는 경로, 공격 기법 등에 대한 대비책을 제공할 수 있다. 또한, 과거 발생한 사회이슈형 사이버 표적공격에 대한 탐지만 가능한 것이 아니라, 아직 발생한 적은 없지만 이미 가상의 사회이슈형 사이버 표적공격 시나리오를 통해서 공격에 대한 학습이 이루어졌기 때문에, 실제 공격이 이루어질 경우, 이에 대한 신속 대응할 수 있다.
즉, 다시 말하자면, 본 발명의 일 실시예에 따른 사회이슈형 사이버 표적공격의 대응을 위한 인공지능 기법을 위협 헌팅 시스템 및 그 방법은, 위협 헌터의 능력치에 따라서 생성되는 사이버 표적공격 시나리오를 활용하는 것이 아니라, 적대적 생성 신경망을 이용하여 실제 사회이슈형 사이버 표적공격과 유사한 가상의 사이버 표적공격 시나리오를 생성하고, 유전 알고리즘을 이용하여 도출한 사회이슈 데이터와 생성한 사이버 표적공격 시나리오 조합을 통해 가상의 사회이슈헝 사이버 표적공격 시나리오를 도출한 후, 이를 통해서 위협 헌팅을 수행함으로써, 발생할 수 있는 사회이슈형 사이버 표적공격의 공격 취약점에 대한 선제적 대응을 수행할 수 있는 장점이 있다.
이상과 같이 본 발명에서는 구체적인 구성 소자 등과 같은 특정 사항들과 한정된 실시예 도면에 의해 설명되었으나 이는 본 발명의 보다 전반적인 이해를 돕기 위해서 제공된 것 일 뿐, 본 발명은 상기의 일 실시예에 한정되는 것이 아니며, 본 발명이 속하는 분야에서 통상의 지식을 가진 자라면 이러한 기재로부터 다양한 수정 및 변형이 가능하다.
따라서, 본 발명의 사상은 설명된 실시예에 국한되어 정해져서는 아니 되며, 후술하는 특허 청구 범위뿐 아니라 이 특허 청구 범위와 균등하거나 등가적 변형이 있는 모든 것들은 본 발명 사상의 범주에 속한다고 할 것이다.
100 : 키워드 처리부
110 : 키워드 수집부 120 : 사회이슈 도출부
200 : 공격 처리부
300 : 학습 처리부
400 : 공격 도출부
500 : 공격 수행부
600 : 결과 처리부
610 : 결과 수집부 620 : 결과 탐지부
700 : 위협 관리부

Claims (10)

  1. 소정 기간 동안 분석 대상 사이트들의 다양한 웹 문서 데이터를 통해서 나타난 키워드 데이터를 수집하고, 이를 분석하여 사회이슈 데이터를 도출하는 키워드 처리부(100);
    과거 발생한 다수의 사이버 표적공격 관련 데이터를 수집하는 공격 처리부(200);
    인공지능 알고리즘을 이용하여, 상기 키워드 처리부(100)에 의해 도출한 사회이슈 데이터와 상기 공격 처리부(200)에 의해 수집한 상기 사이버 표적공격 관련 데이터에 대한 학습 처리를 수행하는 학습 처리부(300);
    상기 학습 처리부(300)에 의한 학습 모델에 상기 키워드 처리부(100)에 의해 도출한 사회이슈 데이터를 입력하여, 가상의 사이버 표적공격 시나리오를 출력받고, 유전 알고리즘(genetic algorithm)을 이용하여, 도출한 사회이슈 데이터를 유전 정보로 적용하여, 생성한 상기 가상의 사이버 표적공격 시나리오에 의한 공격 위험도를 분석하고, 상기 사회이슈 데이터와 상기 가상의 사이버 표적공격 시나리오를 조합하여 위협 헌팅을 위한 가상의 사회이슈형 사이버 표적공격 시나리오를 도출하는 공격 도출부(400);
    상기 공격 도출부(400)에 의해 도출한 상기 가상의 사회이슈형 사이버 표적공격 시나리오를 이용하여, 사회이슈형 사이버 표적공격을 대응하고자 하는 기관의 운영 시스템에 공격 시뮬레이션을 수행하는 공격 수행부(500);
    상기 운영 시스템으로부터, 상기 공격 수행부(500)의 공격 시뮬레이션에 의해 발생되는 관련 데이터를 수집하여 분석하는 결과 처리부(600); 및
    상기 결과 처리부(600)에 의한 분석 결과를 이용하여, 사회이슈형 사이버 표적공격에 대한 위협 헌팅을 수행하는 위협 관리부(700);
    를 포함하는, 사회이슈형 사이버 표적공격의 대응을 위한 유전 알고리즘을 이용한 위협 헌팅 시스템.
  2. 제 1항에 있어서,
    상기 키워드 처리부(100)는
    소정 기간 동안 분석 대상 사이트들의 다양한 웹 문서 데이터를 통해서 나타난 키워드 데이터를 수집하는 키워드 수집부(110); 및
    상기 키워드 수집부(110)의 수집 데이터를 분석하여, 키워드 데이터 간의 연관성 분석을 통한 그룹화를 수행하여, 사회이슈 데이터를 도출하는 사회이슈 도출부(120);
    를 포함하는, 사회이슈형 사이버 표적공격의 대응을 위한 유전 알고리즘을 이용한 위협 헌팅 시스템.
  3. 제 2항에 있어서,
    상기 학습 처리부(300)는
    적대적 생성 신경망(GAN, Generative Adversarial Networks)을 이용하여, 적대적 반복 학습을 수행하고,
    상기 공격 도출부(400)는
    적대적 반복 학습에 의한 학습 모델에 상기 사회이슈 도출부(120에 의해 도출한 사회이슈 데이터를 입력하여, 가상의 사이버 표적공격 시나리오를 생성하는, 사회이슈형 사이버 표적공격의 대응을 위한 유전 알고리즘을 이용한 위협 헌팅 시스템.
  4. 삭제
  5. 제 3항에 있어서,
    상기 결과 처리부(600)는
    상기 운영 시스템으로부터, 상기 공격 수행부(500)의 공격 시뮬레이션에 의해 발생되는 관련 데이터를 수집하는 결과 수집부(610); 및
    상기 결과 수집부(610)의 수집 데이터를 분석하여, 가상의 사회이슈형 사이버 표적공격에 의한 위협 헌팅 데이터를 생성하는 결과 탐지부(620);
    를 포함하는, 사회이슈형 사이버 표적공격의 대응을 위한 유전 알고리즘을 이용한 위협 헌팅 시스템.
  6. 제 5항에 있어서,
    상기 위협 관리부(700)는
    상기 결과 탐지부(620)의 위협 헌팅 데이터를 이용하여, 사회이슈형 사이버 표적공격을 방어하거나 또는, 사회이슈형 사이버 표적공격 발생 시 대응할 수 있는 정보를 생성하고, 생성한 정보를 기반으로 상기 운영 시스템의 관리를 수행하는, 사회이슈형 사이버 표적공격의 대응을 위한 유전 알고리즘을 이용한 위협 헌팅 시스템.
  7. 컴퓨터로 구현되는 사회이슈형 사이버 표적공격의 대응을 위한 유전 알고리즘을 이용한 위협 헌팅 시스템에 의해 각 단계가 수행되는 사회이슈형 사이버 표적공격의 대응을 위한 유전 알고리즘을 이용한 위협 헌팅 방법에 있어서,
    키워드 처리부에서, 소정 기간 동안 분석 대상 사이트들의 다양한 웹 문서 데이터를 통해서 나타난 키워드 데이터를 수집하는 키워드 수집 단계(S100);
    키워드 처리부에서, 상기 키워드 수집 단계(S100)에 의해 수집한 상기 키워드 데이터를 분석하여, 키워드 데이터 간의 연관성 분석을 통한 그룹화를 수행하여, 사회이슈 데이터를 도출하는 사회이슈 도출 단계(S200);
    공격 처리부에서, 과거 발생한 다수의 사이버 표적공격 관련 데이터를 수집하는 공격 수집 단계(S300);
    학습 처리부에서, 인공지능 알고리즘을 이용하여 상기 사회이슈 도출 단계(S200)에 의해 도출한 사회이슈 데이터와 상기 공격 수집 단계(S300)에 의해 수집한 상기 사이버 표적공격 관련 데이터들을 학습 데이터로 입력하여, 학습 처리를 수행하는 학습 처리 단계(S400);
    공격 도출부에서, 상기 학습 처리 단계(S400)에 의한 학습 모델에 상기 사회이슈 도출 단계(S200)에 의해 도출한 사회이슈 데이터를 입력하여, 가상의 사이버 표적공격 시나리오를 출력받는 시나리오 생성 단계(S500);
    공격 도출부에서, 유전 알고리즘을 이용하여, 상기 사회이슈 도출 단계(S200)에 의해 도출한 사회이슈 데이터를 유전 정보로 적용하고, 각 사회이슈 데이터 별 상기 시나리오 생성 단계(S500)에 의해 출력된 상기 가상의 사이버 표적공격 시나리오에 의한 공격 위험도를 분석하여, 위협 헌팅을 위한 가상의 사회이슈형 사이버 표적공격 시나리오를 도출하는 시나리오 도출 단계(S600);
    공격 수행부에서, 상기 시나리오 도출 단계(S600)에 의한 상기 가상의 사회이슈형 사이버 표적공격 시나리오를 이용하여, 공격 시뮬레이션을 수행하는 공격 수행 단계(S700);
    결과 처리부에서, 상기 공격 수행 단계(S700)에 의해 발생되는 관련 데이터를 수집하고, 수집 데이터들을 분석하여 가상의 사회이슈형 사이버 표적공격에 의한 위협 헌팅 데이터를 생성하는 결과 분석 단계(S800); 및
    위협 관리부에서, 상기 결과 분석 단계(S800)에 의한 분석 결과를 이용하여, 사회이슈형 사이버 표적공격에 대한 위협 헌팅을 수행하는 위협 관리 단계(S900);
    를 포함하는, 사회이슈형 사이버 표적공격의 대응을 위한 유전 알고리즘을 이용한 위협 헌팅 방법.
  8. 제 7항에 있어서,
    상기 학습 처리 단계(S400)는
    적대적 생성 신경망(GAN, Generative Adversarial Networks)을 이용하여, 적대적 반복 학습에 의한 학습 모델을 출력하는, 사회이슈형 사이버 표적공격의 대응을 위한 유전 알고리즘을 이용한 위협 헌팅 방법.
  9. 제 8항에 있어서,
    상기 시나리오 도출 단계(S600)는
    유전 알고리즘을 이용하여, 상기 사회이슈 도출 단계(S200)에 의해 도출한 사회이슈 데이터를 유전 정보로 적용하고, 각 사회이슈 데이터 별 상기 시나리오 생성 단계(S500)에 의해 출력된 상기 가상의 사이버 표적공격 시나리오에 의한 공격 위험도를 분석하여, 상기 사회이슈 데이터와 상기 가상의 사이버 표적공격 시나리오를 조합하여 위헙 헌팅을 위한 가상의 사회이슈형 사이버 표적공격 시나리오를 도출하는, 사회이슈형 사이버 표적공격의 대응을 위한 유전 알고리즘을 이용한 위협 헌팅 방법.
  10. 제 7항에 있어서,
    상기 위협 관리 단계(S900)는
    상기 결과 분석 단계(S800)에 의한 위협 헌팅 데이터를 이용하여, 사회이슈형 사이버 표적공격의 발생을 방어하거나 또는, 사회이슈형 사이버 표적공격 발생 시 대응할 수 있는 정보를 생성하고, 생성한 정보를 기반으로 관리를 수행하는, 사회이슈형 사이버 표적공격의 대응을 위한 유전 알고리즘을 이용한 위협 헌팅 방법.
KR1020210180721A 2021-12-16 2021-12-16 사회이슈형 사이버 표적공격의 대응을 위한 유전 알고리즘을 이용한 위협 헌팅 시스템 및 그 방법 KR102562671B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020210180721A KR102562671B1 (ko) 2021-12-16 2021-12-16 사회이슈형 사이버 표적공격의 대응을 위한 유전 알고리즘을 이용한 위협 헌팅 시스템 및 그 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020210180721A KR102562671B1 (ko) 2021-12-16 2021-12-16 사회이슈형 사이버 표적공격의 대응을 위한 유전 알고리즘을 이용한 위협 헌팅 시스템 및 그 방법

Publications (2)

Publication Number Publication Date
KR20230091529A KR20230091529A (ko) 2023-06-23
KR102562671B1 true KR102562671B1 (ko) 2023-08-03

Family

ID=86993926

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020210180721A KR102562671B1 (ko) 2021-12-16 2021-12-16 사회이슈형 사이버 표적공격의 대응을 위한 유전 알고리즘을 이용한 위협 헌팅 시스템 및 그 방법

Country Status (1)

Country Link
KR (1) KR102562671B1 (ko)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102617219B1 (ko) * 2023-09-09 2023-12-27 주식회사 엔키 악성 코드를 이용한 침투 테스트 방법 및 장치

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102120232B1 (ko) * 2019-11-04 2020-06-16 (주)유엠로직스 칼만필터 알고리즘을 이용한 사이버 표적공격 탐지 시스템 및 그 탐지 방법

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10812510B2 (en) * 2018-01-12 2020-10-20 The Boeing Company Anticipatory cyber defense

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102120232B1 (ko) * 2019-11-04 2020-06-16 (주)유엠로직스 칼만필터 알고리즘을 이용한 사이버 표적공격 탐지 시스템 및 그 탐지 방법

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
Dimitar Karev et al., "Cyber Threat Hunting Through the Use of an Isolation Forest"(2017.06.)*
Nidhi N. Sakhala, "Generation of Cyber Attack Data Using Generative Techniques"(2019.05.)*

Also Published As

Publication number Publication date
KR20230091529A (ko) 2023-06-23

Similar Documents

Publication Publication Date Title
Guembe et al. The emerging threat of ai-driven cyber attacks: A review
Alam et al. Phishing attacks detection using machine learning approach
Nguyen et al. Design and implementation of intrusion detection system using convolutional neural network for DoS detection
CN112738015B (zh) 一种基于可解释卷积神经网络cnn与图检测的多步攻击检测方法
CN111953697B (zh) 一种apt攻击识别及防御方法
Ahmed Thwarting dos attacks: A framework for detection based on collective anomalies and clustering
Haas et al. Efficient attack correlation and identification of attack scenarios based on network-motifs
Atawodi A machine learning approach to network intrusion detection system using K nearest neighbor and random forest
Chun et al. An empirical study of intelligent security analysis methods utilizing big data
KR102562671B1 (ko) 사회이슈형 사이버 표적공격의 대응을 위한 유전 알고리즘을 이용한 위협 헌팅 시스템 및 그 방법
Amarasinghe et al. AI based cyber threats and vulnerability detection, prevention and prediction system
Kuraku et al. Phishing Website URL’s Detection Using NLP and Machine Learning Techniques
Patil et al. Learning to Detect Phishing Web Pages Using Lexical and String Complexity Analysis
Srilatha et al. DDoSNet: A Deep Learning Model for detecting Network Attacks in Cloud Computing
EP4024252A1 (en) A system and method for identifying exploited cves using honeypots
KR102592624B1 (ko) 사회이슈형 사이버 표적공격의 대응을 위한 인공지능 기법을 이용한 위협 헌팅 시스템 및 그 방법
Aliabadi et al. Detection of attacks in the Internet of Things with the feature selection approach based on the whale optimization algorithm and learning by majority voting
Parameswarappa et al. A Machine Learning-Based Approach for Anomaly Detection for Secure Cloud Computing Environments
Sangwan et al. Comparison of various classification techniques in cyber security using iot
Prabhu et al. Detection of DDoS Attacks in IoT Devices
Anand et al. Mitigating Cyber-Security Risks using Cyber-Analytics
Penmatsa et al. Web phishing detection: feature selection using rough sets and ant colony optimisation
Cheng et al. Correlate the advanced persistent threat alerts and logs for cyber situation comprehension
Alosaimi et al. Computer Vision‐Based Intrusion Detection System for Internet of Things
KR102556463B1 (ko) 공격자 그룹 유사도 기법을 활용한 사회이슈 기반 사이버 표적공격 예측 시스템 및 그 방법

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right