KR102585095B1 - 분석 정책 생성 및 폐기 기능을 지원하는 통합 보안 관제 방법 및 이를 위한 장치 - Google Patents
분석 정책 생성 및 폐기 기능을 지원하는 통합 보안 관제 방법 및 이를 위한 장치 Download PDFInfo
- Publication number
- KR102585095B1 KR102585095B1 KR1020230078238A KR20230078238A KR102585095B1 KR 102585095 B1 KR102585095 B1 KR 102585095B1 KR 1020230078238 A KR1020230078238 A KR 1020230078238A KR 20230078238 A KR20230078238 A KR 20230078238A KR 102585095 B1 KR102585095 B1 KR 102585095B1
- Authority
- KR
- South Korea
- Prior art keywords
- rule
- security
- security analysis
- rules
- processor
- Prior art date
Links
- 238000004458 analytical method Methods 0.000 title claims abstract description 154
- 238000000034 method Methods 0.000 title claims description 27
- 230000006378 damage Effects 0.000 title 1
- 238000012423 maintenance Methods 0.000 claims abstract description 69
- 230000004913 activation Effects 0.000 claims abstract description 47
- 230000009849 deactivation Effects 0.000 claims abstract description 31
- 238000012544 monitoring process Methods 0.000 claims abstract description 24
- 238000004891 communication Methods 0.000 claims abstract description 20
- 230000006870 function Effects 0.000 claims abstract description 14
- 230000015654 memory Effects 0.000 claims description 27
- 238000001514 detection method Methods 0.000 claims description 22
- 230000008859 change Effects 0.000 claims description 11
- 238000013528 artificial neural network Methods 0.000 description 20
- 238000010586 diagram Methods 0.000 description 16
- 238000013473 artificial intelligence Methods 0.000 description 14
- 238000007726 management method Methods 0.000 description 14
- 230000008569 process Effects 0.000 description 13
- 238000012545 processing Methods 0.000 description 7
- 230000002159 abnormal effect Effects 0.000 description 6
- 238000006243 chemical reaction Methods 0.000 description 6
- 238000004422 calculation algorithm Methods 0.000 description 5
- 238000013527 convolutional neural network Methods 0.000 description 5
- 230000000306 recurrent effect Effects 0.000 description 5
- 230000004044 response Effects 0.000 description 4
- 238000004364 calculation method Methods 0.000 description 3
- 238000004590 computer program Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000014509 gene expression Effects 0.000 description 2
- 230000001537 neural effect Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000006403 short-term memory Effects 0.000 description 2
- 230000000007 visual effect Effects 0.000 description 2
- 101100009348 Mus musculus Depp1 gene Proteins 0.000 description 1
- 101100009350 Rattus norvegicus Depp gene Proteins 0.000 description 1
- XUIMIQQOPSSXEZ-UHFFFAOYSA-N Silicon Chemical compound [Si] XUIMIQQOPSSXEZ-UHFFFAOYSA-N 0.000 description 1
- 230000002155 anti-virotic effect Effects 0.000 description 1
- 230000002457 bidirectional effect Effects 0.000 description 1
- 230000015572 biosynthetic process Effects 0.000 description 1
- 239000002775 capsule Substances 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 239000003795 chemical substances by application Substances 0.000 description 1
- 238000007405 data analysis Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000013135 deep learning Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 239000011521 glass Substances 0.000 description 1
- 239000007788 liquid Substances 0.000 description 1
- 239000000463 material Substances 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 238000003058 natural language processing Methods 0.000 description 1
- 238000003062 neural network model Methods 0.000 description 1
- 238000005457 optimization Methods 0.000 description 1
- 230000001151 other effect Effects 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 230000002787 reinforcement Effects 0.000 description 1
- 229910052710 silicon Inorganic materials 0.000 description 1
- 239000010703 silicon Substances 0.000 description 1
- 239000010454 slate Substances 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000003786 synthesis reaction Methods 0.000 description 1
- 238000000714 time series forecasting Methods 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
분석 정책 생성 및 폐기 기능을 지원하는 통합 보안 관제 장치가 개시된다. 본 장치는, 통신부 및 프로세서를 포함할 수 있다. 상기 프로세서는 복수의 보안 요소에 기초하여 하나 이상의 보안 분석 규칙을 자동으로 생성하고, 수집된 모니터링 데이터에 보안 분석 규칙을 적용하는 경우, 보안 분석 규칙이 제1 규칙 유지 조건을 충족하는지 모니터링하며, 제1 규칙 유지 조건을 충족하는 경우 보안 분석 규칙을 활성화 규칙으로 결정하고, 제1 규칙 유지 조건을 충족하지 못하는 경우 보안 분석 규칙을 비활성화 규칙으로 결정할 수 있으며, 활성화 규칙으로 결정된 보안 분석 규칙이 제2 규칙 유지 조건을 충족하는 경우 해당 보안 분석 규칙을 지속 유지 규칙으로 결정할 수 있다.
Description
본 개시는 보안 관제 기술에 관한 것이다. 보다 구체적으로, 본 개시는 분석 정책 생성 및 폐기 기능을 지원하는 통합 보안 관제 방법 및 이를 위한 장치에 관한 것이다.
이하에 기술되는 내용은 단순히 본 실시예와 관련되는 배경 정보만을 제공할 뿐 종래기술을 구성하는 것이 아니다.
IT(information technology) 환경이 발달함에 따라 사이버 공격도 다양화 및 고도화 되어 가고 있으며, 그에 대응하기 위한 보안 장비도 발전 및 증가하고 있으며, 장비 별 발생되는 이벤트의 양 또한 더욱 방대해지고 있다.
이러한 상황에 발맞추어 SIEM(security information and event management) 시스템을 통한 빅데이터 분석 처리 및 인공 지능을 이용한 분석이 대중화되고 있으며, SIEM 시스템은 보안 인프라에서 필수 요소로 널리 이용되고 있다.
특히 기업은 테라바이트(terabyte) 급의 정형 · 비정형 데이터와 보안 로그 속에서 침입자 공격을 빠른 속도로 분석하고 예측해야 한다. SIEM 시스템을 탑재한 보안 관제 시스템은 방화벽, 안티바이러스 솔루션, 서버 및 네트워크 장비 등으로부터 수집한 다양한 로그와 보안 이벤트 데이터를 빅데이터 기반으로 분석하며, 보안 위협 징후를 판단할 수 있는 통계 데이터를 생성하고 이 데이터를 사용하여 보안 사고를 분석하고 예방 및 대응할 수 있다.
다만, SIEM 시스템은 방대하게 수집되는 로그 및 이벤트를 상당수의 분석 규칙을 이용하여 침입을 탐지하는데, 분석 규칙을 보다 효과적으로 관리하고 운영하는 방법이 필요하다.
본 개시가 해결하고자 하는 과제는 보안 위협을 탐지하는 분석 규칙을 기준에 따라 생성하거나 폐기하는 통합 보안 관제 방법을 제공하는데 있다.
본 개시가 해결하고자 하는 과제들은 이상에서 언급된 과제로 제한되지 않으며, 언급되지 않은 또 다른 과제들은 아래의 기재로부터 통상의 기술자에게 명확하게 이해될 수 있을 것이다.
상술한 기술적 과제를 달성하기 위한 본 개시에 따른 분석 정책 생성 및 폐기 기능을 지원하는 통합 보안 관제 장치는, 통신부; 하나 이상의 인스트럭션을 저장하는 메모리; 및 상기 메모리에 저장된 상기 인스트럭션을 실행하는 하나 이상의 프로세서를 포함한다.
상기 프로세서는, 복수의 보안 요소에 기초하여 하나 이상의 보안 분석 규칙을 자동으로 생성하고, 상기 통신부를 통해 수집된 모니터링 데이터에 상기 보안 분석 규칙을 적용하는 경우, 상기 보안 분석 규칙이 제1 규칙 유지 조건을 충족하는지 모니터링하며, 상기 제1 규칙 유지 조건을 충족하는 경우 상기 보안 분석 규칙을 활성화 규칙으로 결정하고, 상기 제1 규칙 유지 조건을 충족하지 못하는 경우 상기 보안 분석 규칙을 비활성화 규칙으로 결정하며, 상기 활성화 규칙으로 결정된 보안 분석 규칙이 제2 규칙 유지 조건을 충족하는 경우 해당 보안 분석 규칙을 지속 유지 규칙으로 결정할 수 있다.
상기 프로세서는, 사이버 위기 경보 수준, 유해 IP(internet protocol), 유해 URL(uniform resource locator), 로그 유형, 특정 국가명, 버스트 패킷(bust packet), 패킷 사이즈, 특정 키워드, 취약 포인트, 취약 장비, 악성 코드 및 악성 코드에 연관된 해시에 관한 정보 중 적어도 하나의 보안 요소를 조합하여 하나 이상의 보안 분석 규칙을 자동 생성할 수 있다.
여기서, 상기 보안 분석 규칙을 상기 수집된 모니터링 데이터에 적용하여 위협 탐지가 소정 기간 내 성공하는 경우, 상기 제1 규칙 유지 조건이 충족될 수 있다.
또한, 상기 활성화 규칙으로 결정된 보안 분석 규칙이 소정의 정탐율을 확보한 경우, 상기 제2 규칙 유지 조건이 충족될 수 있다.
상기 프로세서는, 소정의 내림 기준에 따라 상기 지속 유지 규칙을 활성화 규칙 또는 비활성화 규칙으로 변경할 수 있다.
또한, 본 개시에 따른 분석 정책 생성 및 폐기 기능을 지원하는 통합 보안 관제 방법은, 복수의 보안 요소에 기초하여 하나 이상의 보안 분석 규칙을 자동으로 생성하는 단계; 수집된 모니터링 데이터에 상기 보안 분석 규칙을 적용하는 경우, 상기 보안 분석 규칙이 제1 규칙 유지 조건을 충족하는지 모니터링하는 단계; 상기 제1 규칙 유지 조건을 충족하는 경우 상기 보안 분석 규칙을 활성화 규칙으로 결정하는 단계; 상기 제1 규칙 유지 조건을 충족하지 못하는 경우 상기 보안 분석 규칙을 비활성화 규칙으로 결정하는 단계; 및 상기 활성화 규칙으로 결정된 보안 분석 규칙이 제2 규칙 유지 조건을 충족하는 경우 해당 보안 분석 규칙을 지속 유지 규칙으로 결정하는 단계를 포함할 수 있다.
상기 생성하는 단계는, 사이버 위기 경보 수준, 유해 IP, 유해 URL, 로그 유형, 특정 국가명, 버스트 패킷(bust packet), 패킷 사이즈, 특정 키워드, 취약 포인트, 취약 장비, 악성 코드 및 악성 코드에 연관된 해시에 관한 정보 중 적어도 하나의 보안 요소를 조합하여 하나 이상의 보안 분석 규칙을 자동 생성하는 단계를 포함할 수 있다.
상기 활성화 규칙으로 결정하는 단계는, 상기 보안 분석 규칙을 상기 수집된 모니터링 데이터에 적용하여 위협 탐지가 소정 기간 내 성공하는 경우, 상기 제1 규칙 유지 조건이 충족되는 단계를 포함할 수 있다.
상기 지속 유지 규칙으로 결정하는 단계는, 상기 활성화 규칙으로 결정된 보안 분석 규칙이 소정의 정탐율을 확보한 경우, 상기 제2 규칙 유지 조건이 충족되는 단계를 포함할 수 있다.
상기 통합 보안 관제 방법은, 소정의 내림 기준에 따라 상기 지속 유지 규칙을 활성화 규칙 또는 비활성화 규칙으로 변경하는 단계를 더 포함할 수 있다.
이 외에도, 본 개시를 구현하기 위한 방법을 실행하기 위해 컴퓨터 판독 가능한 기록 매체에 저장된 컴퓨터 프로그램이 더 제공될 수 있다.
이 외에도, 본 개시를 구현하기 위한 방법을 실행하기 위한 컴퓨터 프로그램을 기록하는 컴퓨터 판독 가능한 기록 매체가 더 제공될 수 있다.
본 개시의 전술한 과제 해결 수단에 의하면, 보안 위협을 탐지하는 분석 규칙을 기준에 따라 생성하거나 폐기하는 통합 보안 관제 방법이 제공됨으로써, 보안 위협 탐지 효율이 향상될 수 있다.
또한, 실시간으로 변화하는 보안 상황과 트랜드 보안 이슈에 맞는 집중 분석, 타겟 분석 및 맞춤 분석이 수행될 수 있으며, 유연한 운영이 가능하여 분석 정책 결과 중 오탐율이 줄어들 수 있고, 인적 자원이 효율적으로 사용될 수 있으며, 한정된 하드웨어 리소스에서 적합한 분석 정책이 유지 및 운영됨으로써, 물적 리소스가 효율적으로 사용될 수 있다.
본 개시의 효과들은 이상에서 언급된 효과로 제한되지 않으며, 언급되지 않은 또 다른 효과들은 아래의 기재로부터 통상의 기술자에게 명확하게 이해될 수 있을 것이다.
도 1은 본 개시에 따른 통합 보안 관리 시스템을 개략적으로 설명하기 위한 도면이다.
도 2는 본 개시에 따른 분석 정책 생성 및 폐기 기능을 지원하는 통합 보안 관제 장치의 구성을 나타내는 블록도이다.
도 3은 본 개시에 따른 분석 정책 생성 및 폐기 기능을 지원하는 통합 보안 관제 방법을 나타내는 시퀀스도이다.
도 4는 본 개시에 따른 복수의 보안 요소에 기초하여 보안 분석 규칙을 자동으로 생성하는 과정을 설명하기 위한 도면이다.
도 5는 본 개시에 따른 제1 규칙 유지 조건의 충족 여부를 구체적으로 적용하는 과정을 나타내는 시퀀스도이다.
도 6은 본 개시에 따른 제2 규칙 유지 조건의 충족 여부를 구체적으로 적용하는 과정을 나타내는 시퀀스도이다.
도 7은 본 개시에 따른 보안 분석 규칙이 소정의 규칙으로 카테고리화된 경우, 카테고리화된 규칙 간의 관계 및 변경을 설명하기 위한 도면이다.
도 8(a) 및 도 8(b)는 본 개시에 따른 입력 로그를 효과적으로 분석 또는 예측하기 위해 데이터를 가공하는 과정을 설명하기 위한 도면이다.
도 2는 본 개시에 따른 분석 정책 생성 및 폐기 기능을 지원하는 통합 보안 관제 장치의 구성을 나타내는 블록도이다.
도 3은 본 개시에 따른 분석 정책 생성 및 폐기 기능을 지원하는 통합 보안 관제 방법을 나타내는 시퀀스도이다.
도 4는 본 개시에 따른 복수의 보안 요소에 기초하여 보안 분석 규칙을 자동으로 생성하는 과정을 설명하기 위한 도면이다.
도 5는 본 개시에 따른 제1 규칙 유지 조건의 충족 여부를 구체적으로 적용하는 과정을 나타내는 시퀀스도이다.
도 6은 본 개시에 따른 제2 규칙 유지 조건의 충족 여부를 구체적으로 적용하는 과정을 나타내는 시퀀스도이다.
도 7은 본 개시에 따른 보안 분석 규칙이 소정의 규칙으로 카테고리화된 경우, 카테고리화된 규칙 간의 관계 및 변경을 설명하기 위한 도면이다.
도 8(a) 및 도 8(b)는 본 개시에 따른 입력 로그를 효과적으로 분석 또는 예측하기 위해 데이터를 가공하는 과정을 설명하기 위한 도면이다.
본 개시 전체에 걸쳐 동일 참조 부호는 동일 구성요소를 지칭한다. 본 개시가 실시예들의 모든 요소들을 설명하는 것은 아니며, 본 개시가 속하는 기술분야에서 일반적인 내용 또는 실시예들 간에 중복되는 내용은 생략한다. 명세서에서 사용되는 '부, 모듈, 부재, 블록'이라는 용어는 소프트웨어 또는 하드웨어로 구현될 수 있으며, 실시예들에 따라 복수의 '부, 모듈, 부재, 블록'이 하나의 구성요소로 구현되거나, 하나의 '부, 모듈, 부재, 블록'이 복수의 구성요소들을 포함하는 것도 가능하다.
명세서 전체에서, 어떤 부분이 다른 부분과 "연결"되어 있다고 할 때, 이는 직접적으로 연결되어 있는 경우뿐 아니라, 간접적으로 연결되어 있는 경우를 포함하고, 간접적인 연결은 무선 통신망을 통해 연결되는 것을 포함한다.
또한 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다.
명세서 전체에서, 어떤 부재가 다른 부재 "상에" 위치하고 있다고 할 때, 이는 어떤 부재가 다른 부재에 접해 있는 경우뿐 아니라 두 부재 사이에 또 다른 부재가 존재하는 경우도 포함한다.
제 1, 제 2 등의 용어는 하나의 구성요소를 다른 구성요소로부터 구별하기 위해 사용되는 것으로, 구성요소가 전술된 용어들에 의해 제한되는 것은 아니다.
단수의 표현은 문맥상 명백하게 예외가 있지 않는 한, 복수의 표현을 포함한다.
각 단계들에 있어 식별부호는 설명의 편의를 위하여 사용되는 것으로 식별부호는 각 단계들의 순서를 설명하는 것이 아니며, 각 단계들은 문맥상 명백하게 특정 순서를 기재하지 않는 이상 명기된 순서와 다르게 실시될 수 있다.
이하 첨부된 도면들을 참고하여 본 개시의 작용 원리 및 실시예들에 대해 설명한다.
본 명세서에서 '본 개시에 따른 통합 보안 관제 장치'는 클라우드, 클러스터 시스템뿐만 아니라 연산처리를 수행하여 사용자에게 결과를 제공할 수 있는 다양한 장치들로 구현될 수 있다. 예를 들어, 본 개시에 따른 통합 보안 관제 장치는, 컴퓨터, 서버 장치 및 휴대용 단말기를 모두 포함하거나, 또는 어느 하나의 형태가 될 수 있다.
여기에서, 상기 컴퓨터는 예를 들어, 웹 브라우저(WEB Browser)가 탑재된 노트북, 데스크톱(desktop), 랩톱(laptop), 태블릿 PC, 슬레이트 PC 등을 포함할 수 있다.
상기 서버 장치는 외부 장치와 통신을 수행하여 정보를 처리하는 서버로써, 애플리케이션 서버, 컴퓨팅 서버, 데이터베이스 서버, 파일 서버, 게임 서버, 메일 서버, 프록시 서버 및 웹 서버 등을 포함할 수 있다.
상기 휴대용 단말기는 예를 들어, 휴대성과 이동성이 보장되는 무선 통신 장치로서, PCS(Personal Communication System), GSM(Global System for Mobile communications), PDC(Personal Digital Cellular), PHS(Personal Handyphone System), PDA(Personal Digital Assistant), IMT(International Mobile Telecommunication)-2000, CDMA(Code Division Multiple Access)-2000, W-CDMA(W-Code Division Multiple Access), WiBro(Wireless Broadband Internet) 단말, 스마트 폰(Smart Phone) 등과 같은 모든 종류의 핸드헬드(Handheld) 기반의 무선 통신 장치와 시계, 반지, 팔찌, 발찌, 목걸이, 안경, 콘택트 렌즈, 또는 머리 착용형 장치(head-mounted-device(HMD) 등과 같은 웨어러블 장치를 포함할 수 있다.
본 개시에 따른 인공 지능과 관련된 기능은 프로세서와 메모리를 통해 동작된다. 프로세서는 하나 또는 복수의 프로세서로 구성될 수 있다. 이때, 하나 또는 복수의 프로세서는 CPU, AP, DSP(Digital Signal Processor) 등과 같은 범용 프로세서, GPU, VPU(Vision Processing Unit)와 같은 그래픽 전용 프로세서 또는 NPU와 같은 인공 지능 전용 프로세서일 수 있다. 하나 또는 복수의 프로세서는, 메모리에 저장된 기 정의된 동작 규칙 또는 인공 지능 모델에 따라, 입력 데이터를 처리하도록 제어한다. 또는, 하나 또는 복수의 프로세서가 인공 지능 전용 프로세서인 경우, 인공 지능 전용 프로세서는, 특정 인공 지능 모델의 처리에 특화된 하드웨어 구조로 설계될 수 있다.
미리 정의된 동작 규칙 또는 인공 지능 모델은 학습을 통해 만들어진 것을 특징으로 한다. 여기서, 학습을 통해 만들어진다는 것은, 기본 인공 지능 모델이 학습 알고리즘에 의하여 다수의 학습 데이터들을 이용하여 학습됨으로써, 원하는 특성(또는, 목적)을 수행하도록 설정된 기 정의된 동작 규칙 또는 인공 지능 모델이 만들어짐을 의미한다. 이러한 학습은 본 개시에 따른 인공 지능이 수행되는 기기 자체에서 이루어질 수도 있고, 별도의 서버 및/또는 시스템을 통해 이루어 질 수도 있다. 학습 알고리즘의 예로는, 지도형 학습(supervised learning), 비지도형 학습(unsupervised learning), 준지도형 학습(semi-supervised learning) 또는 강화 학습(reinforcement learning)이 있으나, 전술한 예에 한정되지 않는다.
인공 지능 모델은, 복수의 신경망 레이어들로 구성될 수 있다. 복수의 신경망 레이어들 각각은 복수의 가중치들 (weight values)을 갖고 있으며, 이전(previous) 레이어의 연산 결과와 복수의 가중치들 간의 연산을 통해 신경 망 연산을 수행한다. 복수의 신경망 레이어들이 갖고 있는 복수의 가중치들은 인공 지능 모델의 학습 결과에 의해 최적화될 수 있다. 예를 들어, 학습 과정 동안 인공 지능 모델에서 획득한 로스(loss) 값 또는 코스트(cost) 값이 감소 또는 최소화되도록 복수의 가중치들이 갱신될 수 있다. 인공 신경망은 심층 신경망(DNN:Deep Neural Network)를 포함할 수 있으며, 예를 들어, CNN (Convolutional Neural Network), DNN (Deep Neural Network), RNN (Recurrent Neural Network), RBM (Restricted Boltzmann Machine), DBN (Deep Belief Network), BRDNN(Bidirectional Recurrent Deep Neural Network) 또는 심층 Q-네트워크 (Deep Q-Networks) 등이 있으나, 전술한 예에 한정되지 않는다.
프로세서는 뉴럴 네트워크를 생성하거나, 뉴럴 네트워크를 훈련(train) 또는 학습(learn)하거나, 수신되는 입력 데이터를 기초로 연산을 수행하고, 수행 결과를 기초로 정보 신호(information signal)를 생성하거나, 뉴럴 네트워크를 재훈련(retrain)할 수 있다.
뉴럴 네트워크는 CNN(Convolutional Neural Network), RNN(Recurrent Neural Network), 퍼셉트론(perceptron), 다층 퍼셉트론(multilayer perceptron), FF(Feed Forward), RBF(Radial Basis Network), DFF(Deep Feed Forward), LSTM(Long Short Term Memory), GRU(Gated Recurrent Unit), AE(Auto Encoder), VAE(Variational Auto Encoder), DAE(Denoising Auto Encoder), SAE(Sparse Auto Encoder), MC(Markov Chain), HN(Hopfield Network), BM(Boltzmann Machine), RBM(Restricted Boltzmann Machine), DBN(Depp Belief Network), DCN(Deep Convolutional Network), DN(Deconvolutional Network), DCIGN(Deep Convolutional Inverse Graphics Network), GAN(Generative Adversarial Network), LSM(Liquid State Machine), ELM(Extreme Learning Machine), ESN(Echo State Network), DRN(Deep Residual Network), DNC(Differentiable Neural Computer), NTM(Neural Turning Machine), CN(Capsule Network), KN(Kohonen Network) 및 AN(Attention Network)를 포함할 수 있으나 이에 한정되는 것이 아닌 임의의 뉴럴 네트워크를 포함할 수 있음은 통상의 기술자가 이해할 것이다.
본 개시의 예시적인 실시예에 따르면, 프로세서는 GoogleNet, AlexNet, VGG Network 등과 같은 CNN(Convolution Neural Network), R-CNN(Region with Convolution Neural Network), RPN(Region Proposal Network), RNN(Recurrent Neural Network), S-DNN(Stacking-based deep Neural Network), S-SDNN(State-Space Dynamic Neural Network), Deconvolution Network, DBN(Deep Belief Network), RBM(Restrcted Boltzman Machine), Fully Convolutional Network, LSTM(Long Short-Term Memory) Network, Classification Network, Generative Modeling, eXplainable AI, Continual AI, Representation Learning, AI for Material Design, 자연어 처리를 위한 BERT, SP-BERT, MRC/QA, Text Analysis, Dialog System, GPT-3, GPT-4, 비전 처리를 위한 Visual Analytics, Visual Understanding, Video Synthesis, ResNet 데이터 지능을 위한 Anomaly Detection, Prediction, Time-Series Forecasting, Optimization, Recommendation, Data Creation 등 다양한 인공 지능 구조 및 알고리즘을 이용할 수 있으며, 이에 제한되지 않는다. 이하, 첨부된 도면을 참조하여 본 개시의 실시예를 상세하게 설명한다.
도면을 참조하여 설명하기에 앞서 몇몇 용어들을 정의하면 아래와 같습니다.
SIEM(security information and event management) 시스템은 보안 정보 관리(security information management, SIM)와 보안 이벤트 관리(security event management, SEM) 기능을 하나의 보안 관리 시스템으로 결합한 보안 정보/이벤트 관리 시스템이다.
SIEM 시스템은 규칙 기반이거나 통계적 상관 엔진을 사용하여 이벤트 로그 항목 간의 관계를 설정할 수 있다. SIEM 로그/이벤트 수집 및 관리하는 과정은 다음과 같이 4단계가 있다.
제1 단계(로그 수집 단계)는, 관제 대상 시스템에 설치된 에이전트 및 SNMP(simple network management protocol), syslog 서버로부터 로그를 수집하는 단계이고, 제2 단계(로그 분류 단계)는, 이벤트 발생 누적 횟수 등 유사 정보를 기준으로 그룹핑하여 분류하는 단계이며, 제3 단계(로그 변환 단계)는 다양한 로그 형식을 표준 형식으로 변환하는 단계이고, 제4 단계(로그 분석 단계)는 표준 형식으로 변환된 로그 중에서 타임스탬프, IP 주소 등을 기준으로 하여 연관성을 분석하는 단계이다.
SIEM 시스템은 SIEM 솔루션이 적용된 자산 시스템일 수 있으며, 복수의 자산 시스템을 통합적으로 관리하는 시스템을 포함할 수 있으나, 실시예가 이에 한정되는 것은 아니다.
SOAR(security orchestration, automation and response) 시스템은 보안관제 침해 대응 자동화 플랫폼을 제공하며, 대용량의 보안 로그와 트래픽 정보를 실시간으로 분석해 이를 기반으로 보안 시스템 운영 시 유입되는 사이버 위협 의심 정보를 자동으로 분류할 수 있다.
이때, 정탐은 올바르게 탐지한 경우로, 침입탐지솔루션으로 예를 들자면 정상 패킷을 정상으로 탐지하는 경우(True Positive)와 비정상 패킷을 비정상으로 탐지하는 경우(True Negative)를 포함할 수 있다. 오탐은 오류가 아닌데 오류라고 잘못된 판정을 하는 경우, 즉 잘못 탐지한 경우이다. 예를 들어 정상 패킷을 비정상으로 탐지한 경우(False Positive)가 있으며, 이 경우, 로그나 경고가 발생하므로 이를 확인하는 번거로움이 생기게 된다. 미탐은 탐지하지 못한 잘못된 판정을 의미한다. 예를 들어 비정상 패킷을 정상으로 탐지한 경우(False Negative)가 있으며 이 경우, 아무런 로그나 경고를 남기지 않아 호스트가 공격을 당할 위험이 발생할 수 있다.
도 1은 본 개시에 따른 통합 보안 관리 시스템(1000)을 개략적으로 설명하기 위한 도면이다.
통합 보안 관리 시스템(1000)은 시스템에 포함되거나 연계된 장치에 보안 관련 이슈를 통합적으로 관리하는 시스템으로, 분석 정책 생성 및 폐기 기능을 지원하는 통합 보안 관제 장치(100), 통합 관제 장치(100)로부터 알림 메시지를 제공받는 장치(200)를 포함할 수 있다.
통합 보안 관제 장치(100)는 SIEM(security information and event management) 솔루션을 적용한 장치일 수 있으며, 클라우드를 포함한 다양한 시스템 형태로 구현될 수 있고, 보안 정보 관리(SIM) 및 보안 이벤트 관리(SEM)를 동시에 수행할 수 있다.
통합 보안 관제 장치(100)는 SIEM 솔루션이 설치된 자산 장치일 수 있으며, 하나 이상의 자산 장치를 관리하는 통합 장치를 포함할 수 있다. 여기서, 자산 장치는 SIEM 솔루션이 설치되어 SIEM 솔루션에 의해 보호되는 장치로, 로그 데이터 및 이벤트 데이터에 기초하여 외부의 위협 및/또는 침입을 탐지할 수 있는 장치일 수 있다.
통합 보안 관제 장치(100)는 해커 등의 외부 침입을 탐지하기 위한 복수의 분석 규칙(정책)을 저장 및 적용할 수 있으며, 복수의 분석 규칙의 유지 여부를 별도의 조건을 이용하여 결정할 수 있고, 복수의 분석 규칙을 필요에 따라 생성하거나 폐기할 수 있다.
통합 보안 관제 장치(100)는 내부 또는 외부의 침입이 발생되는 경우(S10), 분석 규칙 기반으로 침입을 탐지할 수 있다(S20). 여기서, 분석 규칙은 복수의 보안 요소에 기초하여 자동 생성되어 적용될 수 있다.
여기서, 보안 요소는, 사이버 위기 경보 수준, 유해 IP(internet protocol), 유해 URL(uniform resource locator), 로그 유형, 특정 국가명, 버스트 패킷(bust packet), 패킷 사이즈, 특정 키워드, 취약 포인트, 취약 장비, 악성 코드 및 악성 코드에 연관된 해시에 관한 정보 등을 포함할 수 있으나, 실시예에 따라 더 많은 보안 요소가 부가 되거나 또는 제외될 수 있다.
통합 보안 관제 장치(100)는 침입을 탐지하는 경우, 관련 장치(200)에 알림 메시지를 제공할 수 있다(S30). 여기서, 관련 장치(200)는 SOAR 시스템을 포함하여 다양한 단말, 장치, 시스템 등을 포함할 수 있다.
실시예에서, 통합 보안 관제 장치(100)는 서버/클라이언트 구조의 서버뿐만 아니라, 클라우드로도 구현될 수 있다. 이 경우, 통합 보안 관제 장치(100)는 스토리지, 서버, 가상화 모듈/시스템, 운영체제, 미들웨어, 런타임 모듈, 데이터 및 애플리케이션 등을 모두 구비할 수 있다. 이에, 클라이언트 단의 사용자 단말에서는 서비스 애플리케이션만 구비하면, 클라우드 시스템이 제공하는 다양한 기능을 이용할 수 있으며, 사용량에 따라 과금될 수 있다. 가령, 통합 보안 관제 장치(100)는 SaaS(Server as a software) 기반으로 구현될 수 있으나, 실시예가 이에 한정되는 것은 아니다.
도 2는 본 개시에 따른 통합 보안 관제 장치(100)의 구성을 나타내는 블록도이다.
먼저, 본 개시에 따른 통합 보안 관제 장치(100)는 통신부(110), 입력부(120), 디스플레이(130), 메모리(150) 및 적어도 하나의 프로세서(190)를 포함할 수 있다. 도 2에 도시된 통합 보안 관제 장치(100)의 구성요소들은 본 개시에 따른 통합 보안 관제 장치(100)를 구현하는데 있어서 필수적인 것은 아니어서, 본 명세서 상에서 설명되는 통합 보안 관제 장치(100)는 위에서 열거된 구성요소들 보다 많거나, 또는 적은 구성요소들을 가질 수 있다. 가령, 통합 보안 관제 장치(100)는 하나 이상의 센싱부 등을 별도로 포함할 수 있으나, 실시예가 이에 한정되는 것은 아니다.
상기 구성요소들 중 통신부(110)는 통신 모듈을 구비한 다양한 장치와 통신을 가능하게 하는 하나 이상의 구성 요소를 포함할 수 있으며, 예를 들어, 방송 수신 모듈, 유선통신 모듈, 무선통신 모듈, 근거리 통신 모듈, 위치정보 모듈 중 적어도 하나를 포함할 수 있다. 통신부(110)는 외부 침입이 감지되면, 미리 결정된 장치에 알림 메시지를 제공할 수 있으며, 장치의 피드백을 수신할 수 있다.
입력부(120)는 영상 정보(또는 신호), 오디오 정보(또는 신호), 데이터, 또는 사용자로부터 입력되는 정보의 입력을 위한 것으로서, 적어도 하나의 카메라, 적어도 하나의 마이크로폰 및 사용자 입력 인터페이스 중 적어도 하나를 포함할 수 있다. 입력부(120)에서 수집한 음성 데이터나 이미지 데이터는 분석되어 사용자의 제어 명령으로 처리될 수 있다. 카메라는 통합 보안 관제 장치(100)의 외부에 배치된 하나 이상의 촬영 장치를 포함할 수 있으며, 카메라는 이미지 센서를 구비할 수 있다.
디스플레이(130)는 본 장치(100)에서 처리되는 정보를 표시(출력)한다. 예를 들어, 디스플레이(130)는 본 장치에서 구동되는 응용 프로그램(일 예로, 어플리케이션)의 실행화면 정보, 또는 이러한 실행화면 정보에 따른 UI(User Interface), GUI(Graphic User Interface) 정보를 표시할 수 있다.
메모리(150)는 통합 보안 관제 장치(100)의 다양한 기능을 지원하는 데이터와, 프로세서의 동작을 위한 프로그램을 저장할 수 있고, 입/출력되는 데이터들(예를 들어, 음악 파일, 정지영상, 동영상 등)을 저장할 있고, 통합 보안 관제 장치(100)에서 구동되는 다수의 응용 프로그램(application program 또는 애플리케이션(application)), 본 서버의 동작을 위한 데이터들, 명령어들을 저장할 수 있다. 이러한 응용 프로그램 중 적어도 일부는, 무선 통신을 통해 외부 서버로부터 다운로드 될 수 있다.
메모리(150)는 하나 이상의 인스트럭션을 저장할 수 있으며, 딥러닝 기반의 뉴럴 네트워크 모델을 저장할 수 있다.
이러한, 메모리(150)는 플래시 메모리 타입(flash memory type), 하드디스크 타입(hard disk type), SSD 타입(Solid State Disk type), SDD 타입(Silicon Disk Drive type), 멀티미디어 카드 마이크로 타입(multimedia card micro type), 카드 타입의 메모리(예를 들어 SD 또는 XD 메모리 등), 램(random access memory; RAM), SRAM(static random access memory), 롬(read-only memory; ROM), EEPROM(electrically erasable programmable read-only memory), PROM(programmable read-only memory), 자기 메모리, 자기 디스크 및 광디스크 중 적어도 하나의 타입에 해당하는 저장 매체를 포함할 수 있다. 또한, 메모리(150)는 통합 보안 관제 장치(100)와는 분리되어 있으나 유선 또는 무선으로 연결된 데이터베이스가 될 수도 있으며, 데이터 베이스 시스템으로 구현될 수도 있다.
프로세서(190)는 하나 이상의 프로세서를 포함하고, 적어도 하나의 코어를 포함할 수 있다. 프로세서(190)는 메모리(150)에 저장된 인스트럭션을 실행할 수 있다. 프로세서(190)는 통합 보안 관제 장치(100) 내 구성요소들의 동작을 제어하기 위한 알고리즘 또는 알고리즘을 재현한 프로그램에 대한 데이터를 저장하는 메모리, 및 메모리에 저장된 데이터를 이용하여 전술한 동작을 수행하는 적어도 하나의 프로세서(미도시)로 구현될 수 있다. 이때, 메모리와 프로세서는 각각 별개의 칩으로 구현될 수 있다. 또는, 메모리와 프로세서는 단일 칩으로 구현될 수도 있다. 프로세서(190)는 작업장의 안전 조업을 위한 다양한 UI를 제공할 수 있다.
실시예에서, 통합 보안 관제 장치(100)는 다양한 UI를 플랫폼 기반으로 웹 서비스 형태로 제공할 수 있는데, 가령, 웹 사이트, 웹 어플리케이션 형태로 제공할 수 있으나, 이에 한정되는 것은 아니다. 또한, 해당 플랫폼은 PC 어플리케이션, 모바일 어플리케이션 등의 형태로 제공될 수 있으나, 실시예가 이에 한정되는 것은 아니다. 이 경우, 다양한 사용자 단말은 통합 보안 관제 장치(100)가 제공하는 다양한 UI를 플랫폼 기반으로 이용할 수 있다.
도 2에 도시된 구성 요소들의 성능에 대응하여 적어도 하나의 구성요소가 추가되거나 삭제될 수 있다. 또한, 구성 요소들의 상호 위치는 시스템의 성능 또는 구조에 대응하여 변경될 수 있다는 것은 당해 기술 분야에서 통상의 지식을 가진 자에게 용이하게 이해될 것이다.
한편, 도 2에서 도시된 각각의 구성요소는 소프트웨어 및/또는 Field Programmable Gate Array(FPGA) 및 주문형 반도체(ASIC, Application Specific Integrated Circuit)와 같은 하드웨어 구성요소를 의미한다.
도 3은 본 개시에 따른 분석 정책 생성 및 폐기 기능을 지원하는 통합 보안 관제 방법을 나타내는 시퀀스도(S310 단계 내지 S360 단계 포함)이다. 도 4는 본 개시에 따른 보안 요소에 기초하여 보안 분석 규칙을 자동으로 생성하는 과정을 설명하기 위한 도면이다.
일단, 통합 보안 관제 장치(100)의 프로세서(190)는 복수의 보안 요소에 기초하여 하나 이상의 보안 분석 규칙을 자동으로 생성할 수 있다(S310 단계).
도 4를 함께 참조하면, 복수의 보안 요소(SE)는 사이버 위기 경보 수준, 유해 IP(internet protocol), 유해 URL(uniform resource locator), 로그 유형, 특정 국가명, 버스트 패킷(bust packet), 패킷 사이즈, 특정 키워드, 취약 포인트, 취약 장비, 악성 코드 및 악성 코드에 연관된 해시에 관한 정보 등을 포함할 수 있으며, 프로세서(190)는 복수의 보안 요소(SE)에 기초하여 하나 이상의 보안 분석 규칙(610)을 자동 생성할 수 있다.
보안 요소는 상술한 보안 요소 자체(카테고리)를 포함할 수 있으며, 보안 요소의 값, 특성, 조건 등이 함께 연관된 경우, 해당 값, 특성 및/또는 조건 등도 보안 요소에 포함될 수 있으며, 아래에서 예시적으로 설명하기로 한다.
구체적으로, 사이버 위기 경보 수준 관련 보안 요소의 경우, 경보 수준이 특정 단계(가령, 4단계)를 만족하는 경우 보안 요소로 설정될 수 있으나, 실시예가 이에 한정되는 것은 아니다.
또한, 유해 IP는 미리 저장된 IP 주소뿐만 아니라 소정 위치(가령, 신뢰도가 확보된 시스템)에 리스트업된 IP 주소도 포함하여 보안 요소로 설정될 수 있으나, 실시예가 이에 한정되는 것은 아니다.
또한, 유해 URL은 미리 저장된 URL 뿐만 아니라, 각종 URI(uniform resource indicator)를 포함할 수 있으며, 소정 위치(가령, 보안 업체의 시스템)에 리스트업된 URL 도 포함하여 보안 요소로 설정될 수 있으나, 실시예가 이에 한정되는 것은 아니다.
또한, 로그 유형은 방화벽, 각종 IPS(침입 방지 시스템, intrusion protection system), 각종 IDS(intrusion detection system) 등에서 유입된 로그 유형 등을 포함할 수 있으나, 실시예가 이에 한정되는 것은 아니다.
또한, 특정 국가명은 보안 위협 국가일 수 있으며, 러시아, 북한 등일 수 있으나, 실시예가 이에 한정되는 것은 아니다.
또한, 버스트 패킷(bust packet)은 입력되는 패킷, 로그 데이터, 이벤트 데이터의 사이즈가 일반적인 패킷 흐름과는 다르게, 여러 개의 패킷이 빠르게 연속으로 전송되는 상황 또는 그럴때의 패킷을 포함할 수 있다.
또한, 패킷 사이즈(packet size)는 소정 기준 사이즈보다 더 큰 패킷이 수집되는 경우, 해당 패킷 사이즈가 보안 요소일 수 있다.
또한, 특정 키워드는 보안 키워드, 트렌드 키워드 등을 포함할 수 있으나, 실시예가 이에 한정되는 것은 아니다.
또한, 취약 포인트 및/또는 장치는 범용적인 취약 포인트 및/또는 장치, 특정 위협/침입의 취약 포인트 및/또는 장치에 대한 정보를 포함할 수 있다.
가령, 취약 포인트는 CVE(common vulnerabilities and exposures), EDB(exploit database), GHDB(google hacking database) 등을 통해 획득될 수 있는데, CVE는 보안 취약점과 노출 사례를 식별하기 위해 사용되는 표준화된 식별자이며, EDB는 다양한 소프트웨어와 시스템에 대한 취약점과 관련된 정보를 수집하고 제공하는 온라인 데이터베이스이고, GHDB는 구글을 통해 검색할 때 사용되는 특정 검색어와 패턴을 활용하여 웹 서버, 네트워크 장치, 파일 등과 관련된 취약점과 노출된 정보를 탐지하는 데 사용되는 데이터베이스이다.
또한, 악성 코드 및/또는 악성 코드에 연관된 해시에 대한 정보는 특정 악성 코드에 대한 정보 및 악성 코드가 암호화된 해시값 내에 포함된 정보를 포함할 수 있다. 해시값은 침해 지표(IoC)에서 공유하는 악성코드(malware)의 해시값일 수 있으나, 실시예가 이에 한정되는 것은 아니다.
실시예에서, 프로세서(190)는 위협 우선 순위, 위협 빈도 순위, 위협 발생 시기, 장치(100)의 부하, 탐지 정확도, 보안 분석 규칙의 적용 시 시스템 부하 등에 기초하여, 자동으로 보안 분석 규칙을 생성할 수 있다.
실시예에서, 프로세서(190)는 미리 학습된 규칙 생성 모델을 이용하여, 보안 분석 규칙을 자동으로 생성할 수 있는데, 프로세서(190)는 보안 요소의 종류 정보(가령, 사이버 위기 경보 수준, 유해 IP(internet protocol), 유해 URL(uniform resource locator), 로그 유형, 특정 국가명, 버스트 패킷(bust packet), 패킷 사이즈, 특정 키워드, 취약 포인트, 취약 장비, 악성 코드 및 악성 코드에 연관된 해시에 관한 정보 등), 보안 요소 적용 강도 정보, 보안 요소 적용 시기 정보, 보안 요소의 값 정보, 보안 요소의 특징 정보, 보안 요소의 조건 정보, 보안 규칙 적용 시 장치의 부하 정보 및/또는 소정 기간 동안 가장 빈번하게 적용된 보안 분석 규칙인지 여부에 대한 정보 등을 규칙 생성 모델에 입력하여, 자동으로 보안 분석 규칙을 생성할 수 있다. 프로세서(190)는 탐지 정확도, 탐지 빈도수, 장치의 부하 정도 등에 기초하여, 규칙 생성 모델의 파라미터를 업데이트할 수 있다.
상기와 같이, 보안 요소를 구체적으로 설명하였으나, 상술한 보안 요소보다 더 많은 보안 요소가 실시예에 포함되거나 제외될 수 있다.
S310 단계(보안 분석 규칙이 자동 생성되는 단계) 이후, 프로세서(190)는 통신부(110)를 통해 수집된 모니터링 데이터에 보안 분석 규칙을 적용하는 경우, 보안 분석 규칙이 제1 규칙 유지 조건을 충족하는지 모니터링할 수 있다(S320 단계).
프로세서(190)는 일단 결정된 보안 분석 규칙을 실행 및/또는 적용할 수 있는데, 수집되는 모니터링 데이터(로그 데이터 및/또는 이벤트 데이터 포함)에 보안 분석 규칙을 적용하면서, 보안 분석 규칙이 제1 규칙 유지 조건을 충족하는지 여부를 모니터링할 수 있다.
여기서, 프로세서(190)는, 보안 분석 규칙을 통한 탐지가 성공하는 상황, 적용 기간(일, 주, 월 또는 년, 계절, 사이버 경보 수준이 소정 단계로 내려 갈때까지 등) 등을 제1 규칙 유지 조건으로 설정할 수 있다.
가령, 프로세서(190)는 보안 분석 규칙을 수집된 모니터링 데이터에 적용하여 위협 탐지가 소정의 적용 기간 내 성공하는 경우, 제1 규칙 유지 조건이 충족되는 것으로 결정할 수 있다. 다만, 제1 규칙 유지 조건은 실시예에 따라 다를 수 있다.
S320 단계 이후, 프로세서(190)는 보안 분석 규칙이 제1 규칙 유지 조건을 충족하는 경우(S330), 해당 보안 분석 규칙을 활성화 규칙으로 결정할 수 있다(S340).
프로세서(190)는 메모리(150)에 규칙 풀(도 7의 RS)을 저장할 수 있는데, 프로세서(190)는 규칙 풀 내의 활성화 규칙 풀에 활성화 규칙으로 결정된 보안 분석 규칙을 저장하거나 매핑할 수 있다.
만약, 보안 분석 규칙이 제1 규칙 유지 조건을 충족하지 못하는 경우(S330), 프로세서(190)는 해당 보안 분석 규칙을 비활성화 규칙으로 설정할 수 있다(S345).
또한, 프로세서(190)는 규칙 풀 내의 비활성 규칙 풀에 비활성화 규칙으로 결정된 보안 분석 규칙을 저장하거나 매핑할 수 있으며, 해당 비활성화 규칙의 실행 및/또는 적용을 보류할 수 있다.
실시예에서, 프로세서(190)는 보안 분석 규칙 적용으로 인해, 통합 보안 관제 장치(100)에 과도한 부하가 발생되는 경우, 해당 보안 분석 규칙을 비활성화 규칙으로 변경할 수 있다.
S340 단계 이후, 프로세서(190)는 활성화 규칙으로 결정된 보안 분석 규칙이 제2 규칙 유지 조건을 충족하는 경우(SS350), 해당 보안 분석 규칙을 지속 유지 규칙으로 결정할 수 있다(S360).
프로세서(190)는 활성화 규칙보다 지속 유지 규칙에 적용 우선 순위을 높게 설정하거나, 유지 기간을 영구적으로 설정하거나, 활성화 규칙보다 더 길게 유지 기간을 설정할 수 있으나, 실시예가 이에 한정되는 것은 아니다.
또한, 프로세서(190)는 규칙 풀 내의 지속 유지 규칙 풀에 해당 보안 분석 규칙을 저장 또는 매핑할 수 있다.
만약, 활성화 규칙으로 결정된 보안 분석 규칙이 제2 규칙 유지 조건을 충족하지 못하는 경우(S350), 해당 보안 분석 규칙을 활성화 규칙으로 유지할 수 있다(S355).
도 5는 본 개시에 따른 제1 규칙 유지 조건의 충족 여부를 구체적으로 적용하는 과정을 나타내는 시퀀스도(S331 단계 내지 S335 단계 포함)이다.
일단, 프로세서(190)는 보안 분석 규칙을 수집된 모니터링 데이터에 적용하여 위협 탐지가 소정 기간 내 성공하는 경우(S331), 제1 규칙 유지 조건이 충족된 것으로 결정할 수 있다(S333).
실시예에서, 프로세서(190)는 복수의 보안 분석 규칙에 대해서 위협 탐지가 성공한 보안 분석 규칙, 위협 탐지가 실패한 보안 분석 규칙, 위협 탐지가 아예 수행되지 않은 보안 분석 규칙 등으로 구분할 수 있다. 프로세서(190)는 위협 탐지가 성공한 보안 분석 규칙의 성공 횟수에 기초하여, 순위가 높은 보안 분석 규칙부터 활성화 규칙으로 결정할 수 있다(S340).
만약, 프로세서(190)는 보안 분석 규칙을 수집된 모니터링 데이터에 적용하여 위협 탐지가 소정 기간 내 성공하지 못하는 경우(S331), 제1 규칙 유지 조건이 불충족될 수 있다(S335).
그러면, 프로세서(190)는 해당 보안 분석 규칙을 비활성화 규칙으로 결정할 수 있다(S345).
도 6은 본 개시에 따른 제2 규칙 유지 조건의 충족 여부를 구체적으로 적용하는 과정을 나타내는 시퀀스도(S351 단계 내지 S355 단계)이다.
일단, 프로세서(190)는 활성화 규칙으로 결정된 보안 분석 규칙이 소정의 정탐율을 확보한 경우(S351), 제2 규칙 유지 조건이 충족된 것으로 판단할 수 있다(S353).
상술한 바아 같이, 정탐은 올바르게 탐지한 경우로, 프로세서(190)가 정상 패킷을 정상으로 탐지하는 경우(True Positive)와 비정상 패킷을 비정상으로 탐지하는 경우(True Negative)를 포함할 수 있다.
프로세서(190)는 보안 분석 규칙에 서로 다른 정탐율 기준을 적용할 수 있으며, 보안 분석 규칙마다 설정된 정탐율을 초과하는 경우, 활성화 규칙을 지속 유지 규칙으로 설정할 수 있다.
실시예에서, 프로세서(190)는 소정의 정탐율과 함께, 소정의 오탐율 및/또는 미탐율 미만일 때, 해당 보안 분석 규칙을 지속 유지 규칙으로 설정할 수 있다.
프로세서(190)는 제2 규칙 유지 조건이 충족된 경우, 해당 보안 분석 규칙을 지속 유지 규칙으로 결정할 수 있다(S360).
만약, 프로세서(190)는 는 활성화 규칙으로 결정된 보안 분석 규칙이 소정의 정탐율을 확보하지 못하는 경우(S351), 제2 규칙 유지 조건이 충족되지 않은 것으로 판단할 수 있다(S353).
그러면, 프로세서(190)는 해당 보안 분석 규칙을 활성화 규칙으로 유지할 수 있다(S355).
도 7은 본 개시에 따른 보안 분석 규칙이 소정의 규칙으로 카테고리화된 경우, 카테고리화된 규칙 간의 관계 및 변경을 설명하기 위한 도면이다.
일단, 프로세서(190)는 보안 분석 규칙(610)을 활성화 규칙(710), 지속 유지 규칙(720), 비활성화 규칙(730), 폐기 규칙(740)으로 구분하여 메모리(150)에 저장할 수 있다.
프로세서(190)는 활성화 규칙(710)을 지속 유지 규칙(720)으로 변경하거나 비활성화 규칙으로 변경할 수 있다.
프로세서(190)는 활성화 규칙(710) 적용(또는, 지속 유지 규칙(720) 적용)으로 인해, 통합 보안 관제 장치(100)의 부하가 가중되는 경우, 예를 들면, 특정 보안 분석 규칙에 의해 침입에 대한 로그 데이터 및/또는 이벤트 데이터(모니터링 데이터)가 중복적으로 발생되는 경우(버스트 패킷 발생 상황), 해당 중복을 제거하여 저장하는 알고리즘을 수행하면서, 해당 보안 분석 규칙을 비활성화 규칙으로 변경할 수 있다.
프로세서(190)는 중복적으로 발생되는 모니터링 데이터를 관리하기 위한 프로세스를 실행할 수 있으며, 해당 프로세스에는 싱글톤 인스턴스만 실행될 수 있다. 싱글톤 인스턴스는 중복 모니터링 데이터를 저장하는 데이터 구조(가령, 큐)와 중복 제거 로직 및 카운팅 로직을 포함할 수 있다. 싱글톤 인스턴스는 모니터링 데이터를 큐에 차곡차곡 순차적으로 저장한 후, 소정의 스케줄링 기준에 기초하여, 모니터링 데이터의 중복을 제거하면서(중복 제거 로직 이용), 중복 데이터의 수를 카운팅 로직을 통해 카운팅할 수 있다. 특히, 프로세서(190)는 중복이 제거된 모니터링 데이터(모니터링 데이터 및 모니터링 데이터에 관한 정보(가령, 분석 정보 등 포함))를 관련 데이터베이스에 저장할 수 있다. 이에 따라, 데이터베이스에 저장되는 중복 데이터의 개수가 확연히 줄 수 있어서, 데이터베이스 운용에 효과적일 수 있으며, 통합 보안 관제 장치(100)의 부하도 저감될 수 있다.
또한, 프로세서(190)는 비활성화 규칙(730)을 활성화 규칙(710), 폐기 규칙(740) 으로 변경할 수 있다.
프로세서(190)는 비활성화 규칙(730)으로 결정된 보안 분석 규칙에 대해서, 소정 주기로 탐지 가능 여부를 확인하기 위해, 비활성화 규칙(730)을 실행할 수 있다. 프로세서(190)는, 만약, 비활성화 규칙(730)을 소정 주기에 실행하여, 침입을 탐지하는 경우, 활성화 규칙(710)으로 변경할 수 있다.
또한, 프로세서(190)는 통합 보안 관제 장치(100)의 부하를 절감하기 위해, 활성화 규칙 또는 지속 유지 규칙을 비활성화 규칙으로 변경한 경우, 소정 주기로 해당 보안 분석 규칙을 실행하여, 통합 보안 관제 장치(100)의 부하가 소정 수준 이하인 경우, 해당 비활성화 규칙을 활성화 규칙 또는 지속 유지 규칙으로 원상 회복 시킬 수 있다.
실시예에서, 프로세서(190)는 비활성화 규칙(730)의 실행으로 통합 보안 관제 장치(100)에 문제가 발생되는 경우, 해당 비활성화 규칙(730)을 폐기 규칙(740)으로 변경할 수 있다.
또한, 프로세서(190)는 지속 유지 규칙(720)을 활성화 규칙(710) 또는 비활성화 규칙(730) 등으로 변경할 수 있다.
즉, 프로세서(190)는 소정의 내림 기준에 따라 지속 유지 규칙(720)을 활성화 규칙(710) 또는 비활성화 규칙(730)으로 변경할 수 있다.
가령, 프로세서(190)는 지속 유지 규칙(720)의 정탐율이 소정 수준 이하로 떨어지는 경우, 활성화 규칙(710) 또는 비활성화 규칙(730) 또는 폐기 규칙(740)으로 강등시킬 수 있다.
실시예에서, 프로세서(190)는 폐기 규칙(720)을 비활성화 규칙(730)으로 변경할 수 있다.
도 8(a) 및 도 8(b)는 본 개시에 따른 입력 로그를 효과적으로 분석 또는 예측하기 위해 데이터를 가공하는 과정을 설명하기 위한 도면이다.
도 8(a)를 참고하면, 프로세서(190)는 제1 타임 구간에 대응하는 입력 로그(IL1)와 제2 타임 구간에 대응하는 입력 로그(IL2)를 수집할 수 있다.
이때, 프로세서(190)는 제1 타임 구간의 로그 경향을 파악하기 위해 피팅 변환용 데이터를 입력 로그(IL1)에 반영할 수 있다. 피팅 변환용 데이터는 제1 타임 구간의 중간 범위에서 값이 상승하는 경향을 나타낸 데이터이며, 이에 기반하여 제1 타임 구간에 대응하는 입력 로그(IL1)의 입력 패턴 경향(EL1)을 예측할 수 있다.
프로세서(190)는 실제로 측정된 입력 패턴과 예측된 제1 타임 구간에 대응하는 입력 패턴(EL1)을 비교하여, 예측 정확도를 높일 수 있으며, 피팅 변환용 데이터의 적합 여부를 결정할 수 있다.
프로세서(190)는 제1 타임 구간에서 학습된 정보에 기초하여, 제2 타임 구간에 대응하는 입력 로그(IL2)에 대해서, 데이터 피팅을 위한 데이터(FF2)를 입력 로그(IL2)에 반영하여, 제2 타임 구간에 대응하는 입력 로그(IL2)의 입력 패턴(EL2)을 예측할 수 있다.
도 8(b)를 참고하면, 프로세서(190)는 제3 타임 구간에 대응하는 입력 로그(IL3)와 제4 타임 구간에 대응하는 입력 로그(IL4), 제5 타임 구간에 대응하는 입력 로그(IL5)를 입력 받을 수 있다.
프로세서(190)는 제3 타임 구간에 대응하는 입력 로그(IL3)와 제4 타임 구간(IL4)에 대응하는 입력 로그(IL4)를 더 세분화하기 위한 변환용 데이터(FF3, FF4)를 적용할 수 있다.
구체적으로, 프로세서(190)는 제3 타임 구간에 대응하는 입력 로그(IL3)에 변환용 데이터(FF3)를 적용하여, 제4 타임 구간에 대응하는 입력 로그(IL4)의 입력 패턴(EL3)을 예측할 수 있다.
또한, 프로세서(190)는 제4 타임 구간에 대응하는 입력 로그(IL4)에 변환용 데이터(FF4)를 적용하여, 제5 타임 구간에 대응하는 입력 로그(IL5)의 입력 패턴(EL4)을 예측할 수 있다.
실시예에서, 프로세서(190)는 디스플레이(130)에 다양한 분석 정보를 표시할 수 있다. 프로세서(190)는 자동 생성된 보안 분석 규칙을 디스플레이할 수 있으며, 자동 생성된 보안 분석 규칙에서 사용자 조작에 의해 보안 분석 규칙이 선택 및 결정될 수 있다.
프로세서(190)는 보안 분석 규칙마다 활성화 규칙인지, 비활성화 규칙인지, 지속 유지 규칙인지, 폐기 규칙인지 대응하여 디스플레이(130)에 출력할 수 있다.
또한, 프로세서(190)는 디스플레이(130) 상에 보안 분석 규칙의 규칙 카테고리 히스토리를 시계열적이 그래프로 표현하여, 언제 특정 카테고리의 규칙이였는지 표시할 수 있다.
프로세서(190)는 특정 보안 위협/침입에 대해, 어떤 보안 분석 규칙이 유효하고 소정의 정탐율을 확보했는지 디스플레이(130)에 제공할 수 있으며, 유사한 보안 위협/침입이 발생된 상황에서, 보안 분석 규칙의 카테고리를 추천하여 디스플레이(130)에 제공할 수 있으며, 관리자의 선택에 따라 보안 분석 규칙의 카테고리가 변경될 수 있다.
한편, 개시된 실시예들은 컴퓨터에 의해 실행 가능한 명령어를 저장하는 기록매체의 형태로 구현될 수 있다. 명령어는 프로그램 코드의 형태로 저장될 수 있으며, 프로세서에 의해 실행되었을 때, 프로그램 모듈을 생성하여 개시된 실시예들의 동작을 수행할 수 있다. 기록매체는 컴퓨터로 읽을 수 있는 기록매체로 구현될 수 있다.
컴퓨터가 읽을 수 있는 기록매체로는 컴퓨터에 의하여 해독될 수 있는 명령어가 저장된 모든 종류의 기록 매체를 포함한다. 예를 들어, ROM(Read Only Memory), RAM(Random Access Memory), 자기 테이프, 자기 디스크, 플래쉬 메모리, 광 데이터 저장장치 등이 있을 수 있다.
이상에서와 같이 첨부된 도면을 참조하여 개시된 실시예들을 설명하였다. 본 개시가 속하는 기술분야에서 통상의 지식을 가진 자는 본 개시의 기술적 사상이나 필수적인 특징을 변경하지 않고도, 개시된 실시예들과 다른 형태로 본 개시가 실시될 수 있음을 이해할 것이다. 개시된 실시예들은 예시적인 것이며, 한정적으로 해석되어서는 안 된다.
100 : 통합 보안 관제 장치, 190 : 프로세서.
Claims (10)
- 분석 정책 생성 및 폐기 기능을 지원하는 통합 보안 관제 장치로서,
통신부;
하나 이상의 인스트럭션을 저장하는 메모리; 및
상기 메모리에 저장된 상기 인스트럭션을 실행하는 하나 이상의 프로세서를 포함하며,
상기 프로세서는,
복수의 보안 요소에 기초하여 하나 이상의 보안 분석 규칙을 자동으로 생성하고,
상기 통신부를 통해 수집된 모니터링 데이터에 상기 보안 분석 규칙을 적용하는 경우, 상기 보안 분석 규칙이 제1 규칙 유지 조건을 충족하는지 모니터링하며,
상기 제1 규칙 유지 조건을 충족하는 경우 상기 보안 분석 규칙을 활성화 규칙으로 결정하고, 상기 제1 규칙 유지 조건을 충족하지 못하는 경우 상기 보안 분석 규칙을 비활성화 규칙으로 결정하며,
상기 활성화 규칙으로 결정된 보안 분석 규칙이 제2 규칙 유지 조건을 충족하는 경우 해당 보안 분석 규칙을 지속 유지 규칙으로 결정하며,
상기 프로세서는,
사이버 위기 경보 수준, 유해 IP(internet protocol), 유해 URL(uniform resource locator), 로그 유형, 특정 국가명, 버스트 패킷(bust packet), 패킷 사이즈, 특정 키워드, 취약 포인트, 취약 장비, 악성 코드 및 악성 코드에 연관된 해시에 관한 정보 중 적어도 하나의 보안 요소를 조합하여 하나 이상의 보안 분석 규칙을 자동 생성하며,
상기 수집된 모니터링 데이터에 적용하여 위협 탐지가 소정 기간 내 성공한 보안 분석 규칙에 대해 상기 제1 규칙 유지 조건이 충족된 것으로 결정하며,
상기 프로세서는,
상기 자동 생성된 보안 분석 규칙에 대해서 위협 탐지가 성공한 보안 분석 규칙, 위협 탐지가 실패한 보안 분석 규칙 및 위협 탐지가 수행되지 않은 보안 분석 규칙으로 구분하고,
위협 탐지가 성공한 보안 분석 규칙의 성공 횟수에 기초하여, 순위가 높은 보안 분석 규칙부터 활성화 규칙으로 결정하며, 상기 위협 탐지가 실패한 보안 분석 규칙 및 상기 위협 탐지가 수행되지 않은 보안 분석 규칙을 비활성 규칙으로 결정하도록 구성되는, 통합 보안 관제 장치. - 삭제
- 삭제
- 제1항에 있어서,
상기 활성화 규칙으로 결정된 보안 분석 규칙이 소정의 정탐율을 확보한 경우, 상기 제2 규칙 유지 조건이 충족되는, 통합 보안 관제 장치. - 제4항에 있어서,
상기 프로세서는,
소정의 내림 기준에 따라 상기 지속 유지 규칙을 활성화 규칙 또는 비활성화 규칙으로 변경하도록 구성되는, 통합 보안 관제 장치. - 통합 보안 관제 장치의 프로세서에 의해 수행되는 분석 정책 생성 및 폐기 기능을 지원하는 통합 보안 관제 방법으로서,
복수의 보안 요소에 기초하여 하나 이상의 보안 분석 규칙을 자동으로 생성하는 단계;
수집된 모니터링 데이터에 상기 보안 분석 규칙을 적용하는 경우, 상기 보안 분석 규칙이 제1 규칙 유지 조건을 충족하는지 모니터링하는 단계;
상기 제1 규칙 유지 조건을 충족하는 경우 상기 보안 분석 규칙을 활성화 규칙으로 결정하는 단계;
상기 제1 규칙 유지 조건을 충족하지 못하는 경우 상기 보안 분석 규칙을 비활성화 규칙으로 결정하는 단계; 및
상기 활성화 규칙으로 결정된 보안 분석 규칙이 제2 규칙 유지 조건을 충족하는 경우 해당 보안 분석 규칙을 지속 유지 규칙으로 결정하는 단계를 포함하며,
상기 생성하는 단계는,
사이버 위기 경보 수준, 유해 IP, 유해 URL, 로그 유형, 특정 국가명, 버스트 패킷(bust packet), 패킷 사이즈, 특정 키워드, 취약 포인트, 취약 장비, 악성 코드 및 악성 코드에 연관된 해시에 관한 정보 중 적어도 하나의 보안 요소를 조합하여 하나 이상의 보안 분석 규칙을 자동 생성하는 단계를 포함하며,
상기 활성화 규칙으로 결정하는 단계는,
상기 수집된 모니터링 데이터에 적용하여 위협 탐지가 소정 기간 내 성공한 보안 분석 규칙에 대해 상기 제1 규칙 유지 조건이 충족되는 단계를 포함하며,
상기 활성화 규칙으로 결정하는 단계는,
상기 자동 생성된 보안 분석 규칙에 대해서 위협 탐지가 성공한 보안 분석 규칙, 위협 탐지가 실패한 보안 분석 규칙 및 위협 탐지가 수행되지 않은 보안 분석 규칙으로 구분하고, 위협 탐지가 성공한 보안 분석 규칙의 성공 횟수에 기초하여, 순위가 높은 보안 분석 규칙부터 활성화 규칙으로 결정하는 단계를 포함하며,
상기 비활성화 규칙으로 결정하는 단계는,
상기 위협 탐지가 실패한 보안 분석 규칙 및 상기 위협 탐지가 수행되지 않은 보안 분석 규칙을 비활성 규칙으로 결정하는 단계를 포함하는, 통합 보안 관제 방법. - 삭제
- 삭제
- 제6항에 있어서,
상기 지속 유지 규칙으로 결정하는 단계는,
상기 활성화 규칙으로 결정된 보안 분석 규칙이 소정의 정탐율을 확보한 경우, 상기 제2 규칙 유지 조건이 충족되는 단계를 포함하는, 통합 보안 관제 방법. - 제9항에 있어서,
소정의 내림 기준에 따라 상기 지속 유지 규칙을 활성화 규칙 또는 비활성화 규칙으로 변경하는 단계를 더 포함하는, 통합 보안 관제 방법.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020230078238A KR102585095B1 (ko) | 2023-06-19 | 2023-06-19 | 분석 정책 생성 및 폐기 기능을 지원하는 통합 보안 관제 방법 및 이를 위한 장치 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020230078238A KR102585095B1 (ko) | 2023-06-19 | 2023-06-19 | 분석 정책 생성 및 폐기 기능을 지원하는 통합 보안 관제 방법 및 이를 위한 장치 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| KR102585095B1 true KR102585095B1 (ko) | 2023-10-06 |
Family
ID=88296065
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020230078238A KR102585095B1 (ko) | 2023-06-19 | 2023-06-19 | 분석 정책 생성 및 폐기 기능을 지원하는 통합 보안 관제 방법 및 이를 위한 장치 |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR102585095B1 (ko) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101451640B1 (ko) | 2006-12-28 | 2014-10-16 | 휴렛-팩커드 디벨롭먼트 컴퍼니, 엘.피. | 컴퓨터 네트워크 보안을 보조하기 위한, 로그 데이터의 효과적인 저장과 질의의 지원 |
| US20200186569A1 (en) * | 2018-12-05 | 2020-06-11 | International Business Machines Corporation | Security Rule Generation Based on Cognitive and Industry Analysis |
| KR102134653B1 (ko) * | 2019-11-25 | 2020-07-16 | 한국인터넷진흥원 | 익스플로잇 공격에 대한 탐지 정확도를 향상시키기 위한 룰 최적화 장치 및 그 방법 |
| KR102361766B1 (ko) * | 2021-10-08 | 2022-02-14 | 주식회사 이글루시큐리티 | 자산 서버 정보를 수집함으로써 siem의 경보 규칙을 최적화하는 방법 및 이를 지원하는 장치 |
-
2023
- 2023-06-19 KR KR1020230078238A patent/KR102585095B1/ko active IP Right Grant
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101451640B1 (ko) | 2006-12-28 | 2014-10-16 | 휴렛-팩커드 디벨롭먼트 컴퍼니, 엘.피. | 컴퓨터 네트워크 보안을 보조하기 위한, 로그 데이터의 효과적인 저장과 질의의 지원 |
| US20200186569A1 (en) * | 2018-12-05 | 2020-06-11 | International Business Machines Corporation | Security Rule Generation Based on Cognitive and Industry Analysis |
| KR102134653B1 (ko) * | 2019-11-25 | 2020-07-16 | 한국인터넷진흥원 | 익스플로잇 공격에 대한 탐지 정확도를 향상시키기 위한 룰 최적화 장치 및 그 방법 |
| KR102361766B1 (ko) * | 2021-10-08 | 2022-02-14 | 주식회사 이글루시큐리티 | 자산 서버 정보를 수집함으로써 siem의 경보 규칙을 최적화하는 방법 및 이를 지원하는 장치 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11973774B2 (en) | Multi-stage anomaly detection for process chains in multi-host environments | |
| Sarker | Machine learning for intelligent data analysis and automation in cybersecurity: current and future prospects | |
| US11012466B2 (en) | Computerized system and method for providing cybersecurity detection and response functionality | |
| EP3107026B1 (en) | Event anomaly analysis and prediction | |
| KR101826865B1 (ko) | 모바일 디바이스 거동들의 효율적인 분류를 위해 부스트 결정 그루터기들 및 공동의 특징 선택 및 선별 알고리즘들을 사용하는 방법들 및 시스템들 | |
| JP2022529220A (ja) | ロギングによる機密データの暴露の検出 | |
| US20130305101A1 (en) | Techniques for Autonomic Reverting to Behavioral Checkpoints | |
| US11146586B2 (en) | Detecting a root cause for a vulnerability using subjective logic in social media | |
| US11716337B2 (en) | Systems and methods of malware detection | |
| US20210026969A1 (en) | Detection and prevention of malicious script attacks using behavioral analysis of run-time script execution events | |
| US11663329B2 (en) | Similarity analysis for automated disposition of security alerts | |
| US20230291755A1 (en) | Enterprise cybersecurity ai platform | |
| Li et al. | Deep learning algorithms for cyber security applications: A survey | |
| Nour et al. | A survey on threat hunting in enterprise networks | |
| Cheng et al. | Kairos:: Practical Intrusion Detection and Investigation using Whole-system Provenance | |
| KR102585095B1 (ko) | 분석 정책 생성 및 폐기 기능을 지원하는 통합 보안 관제 방법 및 이를 위한 장치 | |
| Ravi et al. | A robust intrusion detection system using machine learning techniques for MANET | |
| Sallay et al. | Intrusion detection alert management for high‐speed networks: current researches and applications | |
| KR102583052B1 (ko) | 대용량 데이터 실시간 필터링을 위한 과부하 방지 자가보호 방법 및 이를 위한 장치 | |
| Xuan et al. | New approach for APT malware detection on the workstation based on process profile | |
| AlMasri et al. | Towards Generating a Practical SUNBURST Attack Dataset for Network Attack Detection. | |
| US20220174076A1 (en) | Methods and systems for recognizing video stream hijacking on edge devices | |
| KR102598126B1 (ko) | 클러스터 환경 내 중복된 보안 위협 데이터 관리 방법 및 이를 위한 장치 | |
| Annamalai et al. | FP-Fed: Privacy-Preserving Federated Detection of Browser Fingerprinting | |
| WO2023055395A1 (en) | Systems and methods for detecting malicious hands-on-keyboard activity via machine learning |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| E701 | Decision to grant or registration of patent right | ||
| GRNT | Written decision to grant |