KR102592624B1 - Threat hunting system and method for against social issue-based advanced persistent threat using artificial intelligence - Google Patents
Threat hunting system and method for against social issue-based advanced persistent threat using artificial intelligence Download PDFInfo
- Publication number
- KR102592624B1 KR102592624B1 KR1020210178526A KR20210178526A KR102592624B1 KR 102592624 B1 KR102592624 B1 KR 102592624B1 KR 1020210178526 A KR1020210178526 A KR 1020210178526A KR 20210178526 A KR20210178526 A KR 20210178526A KR 102592624 B1 KR102592624 B1 KR 102592624B1
- Authority
- KR
- South Korea
- Prior art keywords
- attack
- data
- social issue
- cyber
- threat
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
Abstract
본 발명은 사회이슈형 사이버 표적공격의 대응을 위한 인공지능 기법을 이용한 위협 헌팅 시스템 및 그 방법에 관한 것으로서, 가상의 사회이슈형 사이버 표적공격 시나리오에 따른 시뮬레이션을 수행하여, 수행 결과를 분석하여 발생할 수 있는 사회이슈형 사이버 표적공격에 의한 위협을 사전에 제거할 수 있는 기술에 관한 것이다.The present invention relates to a threat hunting system and method using artificial intelligence techniques to respond to social issue-type cyber targeted attacks. The present invention relates to a threat hunting system and method using artificial intelligence techniques to respond to social issue-type cyber targeted attacks, by performing simulations according to a virtual social issue-type cyber targeted attack scenario and analyzing the performance results. It is about technology that can eliminate threats caused by cyber-targeted attacks in the form of social issues in advance.
Description
본 발명은 사회이슈형 사이버 표적공격의 대응을 위한 인공지능 기법을 이용한 위협 헌팅 시스템 및 그 방법에 관한 것으로, 더욱 상세하게는 인공지능 기법을 이용하여 가상의 사회이슈형 사이버 표적공격 시나리오를 생성하고, 이에 따른 시뮬레이션을 통해 발생할 수 있는 사회이슈형 사이버 표적공격에 대한 위협 헌팅을 수행할 수 있는 사회이슈형 사이버 표적공격의 대응을 위한 인공지능 기법을 이용한 위협 헌팅 시스템 및 그 방법에 관한 것이다.The present invention relates to a threat hunting system and method using artificial intelligence techniques to respond to social issue-type cyber targeted attacks, and more specifically, to generate a virtual social issue-type cyber targeted attack scenario using artificial intelligence techniques. , It is about a threat hunting system and method using artificial intelligence techniques to respond to social issue-type cyber targeting attacks that can perform threat hunting for social issue-type cyber targeting attacks that may occur through simulation.
사이버 표적공격은 잠행적이고 지속적인 컴퓨터 해킹 프로세스들의 집합으로, 특정 실체를 목표로 하는 사람이나 사람들에 의해 이루어지며, 보통 개인, 단체, 국가, 사업체 또는, 정치 단체 등(이들의 운영서버/운영시스템)을 표적으로 삼는다.Cyber targeted attacks are a set of stealthy and persistent computer hacking processes, carried out by a person or persons targeting a specific entity, usually an individual, organization, country, business, or political organization (their operating server/operating system). targets.
이러한 사이버 표적공격은 오랜 시간 동안 상당한 정도의 은밀함이 요구되어, 표적으로 삼고 있는 운영서버(또는 운영시스템 등) 내의 취약점을 공격하기 위한 악성 소프트웨어를 이용하며, 이러한 악성 소프트웨어를 생성하기 위해 외부에서 지속적으로 표적 대상들에 대한 데이터를 감시하고 추출하게 된다.These cyber-targeted attacks require a considerable degree of stealth over a long period of time, using malicious software to attack vulnerabilities within the targeted operating server (or operating system, etc.), and continuously deploy from the outside to create such malicious software. This monitors and extracts data on targeted targets.
이러한 사이버 표적공격 중 사회이슈를 기반으로 한 사이버 표적공격(SAPT, Social issue-based Advanced Persistent Threat)은 공격자 조직 별로 노리는 사회/경제적 이슈(정상회담, 올림픽, 가상화폐 등)와 공격 기법(개인, 기관 등)의 특징이 있어, 공격 기법을 사회이슈와 연관지어 분석할 수 있는 특징이 있어, 이를 사회이슈형 사이버 표적공격이라고 한다.Among these cyber targeted attacks, cyber targeted attacks based on social issues (SAPT, Social issue-based Advanced Persistent Threat) target social/economic issues (summit, Olympics, virtual currency, etc.) and attack techniques (individual, institutions, etc.), and the attack technique can be analyzed in relation to social issues, so this is called a social issue-type cyber targeted attack.
이러한 사회이슈형 사이버 표적공격은 통상적으로 다수의 공격 대상에 대해 연쇄적이면서도 동시 다발적으로 또는, 연속적으로 사이버 공격을 시도함으로써, 사회적으로도 많은 피해를 야기한다.These social issue-type cyber targeted attacks usually cause a lot of damage to society by attempting cyber attacks simultaneously or sequentially against multiple attack targets.
종래의 사이버 표적공격은 국가 차원에서 위협이 될 수 있는 요소로 판단되어 이에 따른 투자가 확대되고 있으나, 사회이슈형 사이버 표적공격의 경우, 단일 기관이 아닌 다중 기관(공격 대상)에서 대응이 이루어져야 하기 때문에, 각각 갖추고 있는 보안 솔루션 또는, 보안 프레임 워크로는 그 한계가 분명히 존재한다.Conventional cyber targeted attacks are judged to be a threat at the national level, and investment is increasing accordingly. However, in the case of social issue-type cyber targeted attacks, responses must be made from multiple agencies (targets of attack) rather than a single agency. Therefore, there are clear limitations to each security solution or security framework.
즉, 각각의 서버에서 개별적으로 보안 기법을 적용하고 있어, 동시 다발적으로, 그리고 연쇄적으로 발생하는 사회이슈형 사이버 표적공격이 발생할 경우, 이를 하나의 공격 기조로 인식하지 못하고, 개별적인 사이버 표적공격으로만 판단하여 개별 대응을 진행함으로써, 최초 발생한 사회이슈형 사이버 표적공격에 대한 탐지가 늦어짐으로써 다수의 공격 대상에 대해 이루어지는 사이버 공격에 대한 대응이 늦어지는 문제점이 있다.In other words, security techniques are applied individually on each server, so when a social issue-type cyber target attack occurs simultaneously and in a chain, it is not recognized as a single attack pattern and individual cyber target attacks are carried out. There is a problem in that the detection of the first social issue-type cyber target attack that occurs is delayed and the response to cyber attacks against multiple attack targets is delayed by making individual responses based on judgment only.
그렇기 때문에, 이러한 사회이슈형 사이버 표적공격은 발생되었던 공격 기법을 기초로 동일한 또는, 유사한 공격 패턴이 발생할 경우, 이를 빠르게 인지하여 위협을 탐지(detection)하는 기술을 통해서 대응하고 있다. 이는 알려진 발생한 공격을 신속하게 탐지하는 것에 그칠 뿐, 공격에 취약한 부분을 사전에 탐지하여 이에 대한 보완을 통한 공격이 이루어지더라도 이를 방어할 수 있는 기술이 요구되고 있다.Therefore, these social issue-type cyber targeted attacks are responded to through technology that quickly recognizes and detects threats when the same or similar attack pattern occurs based on the attack technique that occurred. This is limited to quickly detecting known attacks, but technology is required to detect vulnerable areas in advance and defend against attacks by supplementing them.
본 발명은 상기한 바와 같은 종래 기술의 문제점을 해결하기 위하여 안출된 것으로, 본 발명의 목적은 사회이슈형 사이버 표적공격에 대해 선제적으로 대응하기 위해, 인공지능 알고리즘을 이용하여 가상의 사회이슈형 사이버 표적공격 시나리오를 생성하고, 이에 따른 시뮬레이션을 통해 발생할 수 있는 사회이슈형 사이버 표적공격에 의한 위협 탐지를 수행할 수 있는 사회이슈형 사이버 표적공격의 대응을 위한 인공지능 기법을 이용한 위협 헌팅 시스템 및 그 방법을 제공하는 것이다.The present invention was created to solve the problems of the prior art as described above. The purpose of the present invention is to preemptively respond to social issue-type cyber targeted attacks by using artificial intelligence algorithms to create virtual social issue-type attacks. A threat hunting system using artificial intelligence techniques to respond to social issue-type cyber-targeted attacks that can generate cyber-targeted attack scenarios and detect threats caused by social-issue-type cyber-targeted attacks that may occur through simulations, and That method is provided.
본 발명의 일 실시예에 따른 사회이슈형 사이버 표적공격의 대응을 위한 인공지능 기법을 이용한 위협 헌팅 시스템에 있어서, 과거 발생한 사회이슈형 사이버 표적공격 관련 데이터를 수집하는 과거 데이터 수집부(100), 인공지능 알고리즘을 이용하여, 상기 과거 데이터 수집부(100)의 수집 데이터에 대한 학습 처리를 수행하는 학습 처리부(200), 실시간으로 소정 기간 동안 발생하는 키워드 데이터를 수집하는 신규 데이터 수집부(300), 상기 학습 처리부(200)에 의한 학습 모델에 상기 신규 데이터 수집부(300)의 수집 데이터를 적용하여, 가상의 사회이슈형 사이버 표적공격 시나리오를 생성하는 공격 생성부(400), 상기 공격 생성부(400)의 상기 가상의 사회이슈형 사이버 표적공격 시나리오를 이용하여, 인공지능 기법을 이용한 위협 헌팅 시스템을 적용하여 사회이슈형 사이버 표적공격을 대응하고자 하는 기관의 운영 시스템에 공격 시뮬레이션을 수행하는 공격 수행부(500), 상기 운영 시스템으로부터, 상기 공격 수행부(500)의 공격 시뮬레이션에 의해 발생되는 관련 데이터를 수집하여 분석하는 결과 처리부(600) 및 상기 결과 처리부(600)에 의한 분석 결과를 이용하여, 사회이슈형 사이버 표적공격에 대한 위협 헌팅을 수행하는 위협 관리부(700)를 포함하는 것이 바람직하다.In the threat hunting system using artificial intelligence techniques to respond to social issue-type cyber targeted attacks according to an embodiment of the present invention, a past
더 나아가, 상기 과거 데이터 수집부(100)는 과거 발생한 다수의 사이버 표적공격 관련 데이터를 수집하는 공격 수집부(110), 과거 각각의 사이버 표적공격이 발생한 시점을 기준으로 소정 기간 동안 나타난 키워드 데이터를 수집하는 키워드 수집부(120) 및 상기 키워드 수집부(120)의 수집 데이터를 분석하여, 키워드 데이터 간의 연관성 분석을 통한 그룹화를 수행하여, 사회이슈 데이터를 도출하는 사회이슈 수집부(130)를 포함하는 것이 바람직하다.Furthermore, the past
더 나아가, 상기 학습 처리부(200)는 적대적 생성 신경망(GAN, Generative Adversarial Networks)을 이용하여, 적대적 반복 학습을 수행하고, 상기 공격 생성부(400)는 적대적 반복 학습에 의한 학습 모델에 상기 신규 데이터 수집부(300)의 수집 데이터를 입력하여, 가상의 사회이슈형 사이버 표적공격 시나리오를 생성하는 것이 바람직하다.Furthermore, the
더 나아가, 상기 결과 처리부(600)는 상기 운영 시스템으로부터, 상기 공격 수행부(500)의 공격 시뮬레이션에 의해 발생되는 관련 데이터를 수집하는 결과 수집부(610) 및 상기 결과 수집부(610)의 수집 데이터를 분석하여, 가상의 사회이슈형 사이버 표적공격에 의한 위협 헌팅 데이터를 생성하는 결과 탐지부(620)를 포함하는 것이 바람직하다.Furthermore, the
더 나아가, 상기 위협 관리부(700)는 상기 결과 탐지부(620)의 위협 헌팅 데이터를 이용하여, 사회이슈형 사이버 표적공격을 방어하거나 또는, 사회이슈형 사이버 표적공격 발생 시 대응할 수 있는 정보를 생성하고, 생성한 정보를 기반으로 상기 운영 시스템의 관리를 수행하는 것이 바람직하다.Furthermore, the
본 발명의 또 다른 일 실시예에 따른 컴퓨터로 구현되는 사회이슈형 사이버 표적공격의 대응을 위한 인공지능 기법을 이용한 위협 헌팅 시스템에 의해 각 단계가 수행되는 사회이슈형 사이버 표적공격의 대응을 위한 인공지능 기법을 이용한 위협 헌팅 방법에 있어서, 과거 데이터 수집부에서, 과거 발생한 다수의 사이버 표적공격 관련 데이터를 수집하는 공격 데이터 수집 단계(S100), 과거 데이터 수집부에서, 상기 공격 데이터 수집 단계(S100)에 의한 각 사이버 표적공격이 발생한 시점을 기준으로 소정 기간 동안 나타난 키워드 데이터를 수집하는 키워드 데이터 수집 단계(S200), 과거 데이터 수집부에서, 상기 키워드 데이터 수집 단계(S200)에 의해 수집한 상기 키워드 데이터를 분석하여, 키워드 데이터 간의 연관성 분석을 통한 그룹화를 수행하여, 사회이슈 데이터를 도출하는 사회이슈 데이터 수집 단계(S300), 학습 처리부에서, 인공지능 알고리즘을 이용하여 상기 공격 데이터 수집 단계(S100), 사회이슈 데이터 수집 단계(S300)에 의한 데이터들을 학습 데이터로 입력하여, 학습 처리를 수행하는 학습 처리 단계(S400), 신규 데이터 수집부에서, 실시간으로 소정 기간 동안 발생하는 키워드 데이터를 수집하는 신규 데이터 수집 단계(S500), 공격 생성부에서, 상기 학습 처리 단계(S400)에 의한 학습 모델에 상기 신규 데이터 수집 단계(S500)에 의한 키워드 데이터를 적용하여, 가상의 사회이슈형 사이버 표적공격 시나리오를 생성하는 공격 시나리오 생성 단계(S600), 공격 수행부에서, 상기 공격 시나리오 생성 단계(S600)에 의한 상기 가상의 사회이슈형 사이버 표적공격 시나리오를 이용하여, 공격 시뮬레이션을 수행하는 공격 수행 단계(S700), 결과 처리부에서, 상기 공격 수행 단계(S700)에 의해 발생되는 관련 데이터를 수집하고, 수집 데이터들을 분석하여 가상의 사회이슈형 사이버 표적공격에 의한 위협 헌팅 데이터를 생성하는 결과 분석 단계(S800) 및 위협 관리부에서, 상기 결과 분석 단계(S800)에 의한 분석 결과를 이용하여, 사회이슈형 사이버 표적공격에 대한 위협 헌팅을 수행하는 위협 관리 단계(S900)를 포함하는 것이 바람직하다.Artificial intelligence to respond to social issue-type cyber targeted attacks, where each step is performed by a threat hunting system using artificial intelligence techniques to respond to social issue-type cyber targeted attacks implemented by a computer according to another embodiment of the present invention. In a threat hunting method using an intelligence technique, an attack data collection step (S100) in which a past data collection unit collects data related to a number of cyber target attacks that occurred in the past, and a past data collection unit, the attack data collection step (S100) Keyword data collection step (S200) of collecting keyword data that appeared over a predetermined period of time based on the time when each cyber target attack occurred. The keyword data collected by the past data collection unit through the keyword data collection step (S200) A social issue data collection step (S300) in which social issue data is derived by analyzing and grouping through correlation analysis between keyword data; a learning processing unit using an artificial intelligence algorithm to collect the attack data (S100); A learning processing step (S400) that inputs data from the social issue data collection step (S300) as learning data and performs learning processing, and in the new data collection unit, new data that collects keyword data generated in real time over a predetermined period of time. In the collection step (S500), the attack generation unit applies the keyword data from the new data collection step (S500) to the learning model from the learning processing step (S400) to create a virtual social issue-type cyber target attack scenario. An attack scenario creation step (S600), an attack execution step (S700) in which an attack execution unit performs an attack simulation using the hypothetical social issue-type cyber target attack scenario in the attack scenario creation step (S600), In the result processing unit, related data generated by the attack execution step (S700) is collected, and the collected data is analyzed to generate threat hunting data caused by a virtual social issue-type cyber target attack. A result analysis step (S800) and threat In the management department, it is desirable to include a threat management step (S900) in which threat hunting for social issue-type cyber target attacks is performed using the analysis results of the result analysis step (S800).
더 나아가, 상기 학습 처리 단계(S400)는 적대적 생성 신경망(GAN, Generative Adversarial Networks)을 이용하여, 적대적 반복 학습에 의한 학습 모델을 출력하는 것이 바람직하다.Furthermore, the learning processing step (S400) preferably outputs a learning model through adversarial iterative learning using Generative Adversarial Networks (GAN).
더 나아가, 상기 위협 관리 단계(S900)는 상기 결과 분석 단계(S800)에 의한 위협 헌팅 데이터를 이용하여, 사회이슈형 사이버 표적공격의 발생을 방어하거나 또는, 사회이슈형 사이버 표적공격 발생 시 대응할 수 있는 정보를 생성하고, 생성한 정보를 기반으로 관리를 수행하는 것이 바람직하다.Furthermore, the threat management step (S900) can use the threat hunting data from the result analysis step (S800) to prevent the occurrence of a social issue-type cyber targeted attack or to respond when a social issue-type cyber targeted attack occurs. It is desirable to generate existing information and perform management based on the generated information.
상기와 같은 구성에 의한 본 발명의 사회이슈형 사이버 표적공격의 대응을 위한 인공지능 기법을 이용한 위협 헌팅 시스템 및 그 방법은 필연적으로 특정 사회이슈에 대한 취약점을 내재하고 있어 발생할 가능성이 높은 사회이슈형 사이버 표적공격의 대상 서버/시스템/프로세스 등(기관, 기업, 개인 등)에서 발생할 수 있는 사회이슈형 사이버 표적공격에 대해 선제적으로 대응하기 위해, 임의로 가상의 사회이슈형 사이버 표적공격을 발생시킨 후 이에 따라 발생하는 데이터를 이용하여 위협 헌팅을 수행할 수 있는 장점이 있다.The threat hunting system and method using artificial intelligence techniques to respond to social issue-type cyber targeted attacks of the present invention with the above configuration inevitably have inherent vulnerabilities to specific social issues, which are highly likely to occur. In order to preemptively respond to social issue-type cyber-targeted attacks that may occur on servers/systems/processes, etc. (institutions, companies, individuals, etc.) that are subject to cyber-targeted attacks, a virtual social-issue-type cyber-targeted attack is randomly generated. There is an advantage in that threat hunting can be performed using the data generated accordingly.
이 때, 가상의 사회이슈 사이버 표적공격을 발생시키기 위한 시나리오에 있어서, 적대적 생성 신경망(GAN, Generative Adversarial Networks)을 이용하여, 가상의 사이버 공격 수행 시나리오는 생성함으로써, 가상이지만 실제 발생하는 사이버 공격 패턴과 유사도가 높은 시나리오를 생성할 수 있을 뿐 아니라, 위협 헌터의 역량에 의존하지 않고 누구나 새롭게 생성되는 공격 시나리오를 이용하여 위협 헌팅을 수행할 수 있는 장점이 있다.At this time, in a scenario to generate a virtual social issue cyber target attack, a virtual cyber attack execution scenario is created using Generative Adversarial Networks (GAN), thereby creating a virtual but actual cyber attack pattern. Not only can it create a scenario with a high degree of similarity, but it also has the advantage of allowing anyone to perform threat hunting using the newly created attack scenario without relying on the capabilities of the threat hunter.
이에 따라, 본 발명의 일 실시예에 따른 사회이슈형 사이버 표적공격의 대응을 위한 인공지능 기법을 위협 헌팅 시스템 및 그 방법은, 위협 헌터의 능력치에 따라서 생성되는 사이버 표적공격 시나리오를 활용하는 것이 아니라, 적대적 생성 신경망을 이용하여 실제 사회이슈형 사이버 표적공격과 유사한 가상의 사회이슈형 사이버 표적공격 시나리오를 생성하여 이를 통해서 위협 헌팅을 수행함으로써, 발생할 수 있는 사회이슈형 사이버 표적공격의 공격 취약점에 대한 선제적 대응을 수행할 수 있는 장점이 있다.Accordingly, the threat hunting system and method using artificial intelligence techniques for responding to social issue-type cyber targeted attacks according to an embodiment of the present invention do not utilize cyber targeted attack scenarios generated according to the capabilities of the threat hunter. By using an adversarial generation neural network to create a virtual social issue-type cyber target attack scenario similar to an actual social issue-type cyber target attack and performing threat hunting through it, the attack vulnerabilities of social issue-type cyber targeted attacks that may occur are identified. There is an advantage in being able to carry out preemptive response.
사회이슈형 사이버 표적공격의 대응을 위한 인공지능 기법을 이용한 위협 헌팅 시스템 및 그 방법
도 1은 본 발명에 일 실시예에 따른 진동 신호 도메인 변환 적대적 생성 신경망을 이용한 감시 시스템을 나타낸 구성 예시도이다.
도 2는 본 발명의 일 실시예에 따른 진동 신호 도메인 변환 적대적 생성 신경망을 이용한 감시 방법을 나타낸 순서 예시도이다.
Threat hunting system and method using artificial intelligence techniques to respond to social issue-type cyber targeted attacks
Figure 1 is an exemplary configuration diagram showing a monitoring system using a vibration signal domain transformation adversarial generative neural network according to an embodiment of the present invention.
Figure 2 is a sequence diagram showing a monitoring method using a vibration signal domain transformation adversarial generative neural network according to an embodiment of the present invention.
이하 첨부한 도면들을 참조하여 본 발명의 사회이슈형 사이버 표적공격의 대응을 위한 인공지능 기법을 이용한 위협 헌팅 시스템 및 그 방법을 상세히 설명한다. 다음에 소개되는 도면들은 당업자에게 본 발명의 사상이 충분히 전달될 수 있도록 하기 위해 예로서 제공되는 것이다. 따라서, 본 발명은 이하 제시되는 도면들에 한정되지 않고 다른 형태로 구체화될 수도 있다. 또한, 명세서 전반에 걸쳐서 동일한 참조번호들은 동일한 구성요소들을 나타낸다.Hereinafter, with reference to the attached drawings, the threat hunting system and method using artificial intelligence techniques for responding to social issue-type cyber targeted attacks of the present invention will be described in detail. The drawings introduced below are provided as examples so that the idea of the present invention can be sufficiently conveyed to those skilled in the art. Accordingly, the present invention is not limited to the drawings presented below and may be embodied in other forms. Additionally, like reference numerals refer to like elements throughout the specification.
이때, 사용되는 기술 용어 및 과학 용어에 있어서 다른 정의가 없다면, 이 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 통상적으로 이해하고 있는 의미를 가지며, 하기의 설명 및 첨부 도면에서 본 발명의 요지를 불필요하게 흐릴 수 있는 공지 기능 및 구성에 대한 설명은 생략한다.At this time, if there is no other definition in the technical and scientific terms used, they have the meaning commonly understood by those skilled in the art to which this invention pertains, and the gist of the present invention is summarized in the following description and attached drawings. Descriptions of known functions and configurations that may be unnecessarily obscure are omitted.
더불어, 시스템은 필요한 기능을 수행하기 위하여 조직화되고 규칙적으로 상호 작용하는 장치, 기구 및 수단 등을 포함하는 구성 요소들의 집합을 의미한다.In addition, a system refers to a set of components including devices, mechanisms, and means that are organized and interact regularly to perform necessary functions.
최근들어 '위협 헌팅(threat hunting)' 기술이 대두되고 있다.Recently, ‘threat hunting’ technology has been on the rise.
위협 헌팅이란, 어떤 위협이 존재하는지 모르는 상태에서 숨어있는 위협을 찾아내는 과정으로, 환경 및 프로세스를 조사하면서 의심이 가거나 실제 숨어있는 위협을 찾게 되고, 결과적으로 액션을 취하거나 위협 탐지를 위한 정책 또는, 알고리즘을 생성하도록 단서를 제공하는 역할을 하게 된다.Threat hunting is the process of finding hidden threats without knowing what threats exist. While investigating the environment and processes, suspicious or actual hidden threats are found, and as a result, action is taken or a policy or policy for threat detection is established. It serves to provide clues to generate algorithms.
다시 말하자면, 조직 또는, 내부 시스템의 네트워크(또는 시스템)를 탐색하여, 위협(또는 공격자)을 탐지하는 것으로, 외부와 내부 시스템의 경계에서 악성 트래픽을 차단하는 보안 솔루션과는 분명한 차이가 있다.In other words, it detects threats (or attackers) by exploring the network (or system) of an organization or internal system, and there is a clear difference from a security solution that blocks malicious traffic at the boundary between external and internal systems.
이를 통해서, 위협 헌팅은 알려진 공격 패턴의 탐지 규칙을 적용시키고 이를 업데이트하면서 공격 패턴 발생시 이를 차단하는 것이 아니라, 기존의 보안 솔루션을 우회하는 위협을 능동적으로 탐색하고 반복적으로 수행하여 내부 위협을 지속적으로 탐지하고 제거해 나가는 과정을 의미한다.Through this, threat hunting does not block attack patterns when they occur by applying and updating detection rules for known attack patterns, but continuously detects internal threats by actively searching for threats that bypass existing security solutions and performing it repeatedly. It means the process of removing it.
본 발명의 일 실시예에 따른 사회이슈형 사이버 표적공격의 대응을 위한 인공지능 기법을 이용한 위협 헌팅 시스템 및 그 방법은, 필연적으로 특정 사회이슈에 대한 취약점을 내재하고 있어 발생할 가능성이 높은 사회이슈형 사이버 표적공격의 대상 서버/시스템/프로세스 등(기관, 기업, 개인 등)에서 발생할 수 있는 사회이슈형 사이버 표적공격에 대해 선제적으로 대응하기 위해, 임의로 가상의 사회이슈형 사이버 표적공격을 발생시킨 후 이에 따라 발생하는 데이터를 이용하여 위협 헌팅을 수행할 수 있는 기술에 관한 것이다.The threat hunting system and method using artificial intelligence techniques for responding to social issue-type cyber targeted attacks according to an embodiment of the present invention inevitably have inherent vulnerabilities to specific social issues and are highly likely to occur. In order to preemptively respond to social issue-type cyber-targeted attacks that may occur on servers/systems/processes, etc. (institutions, companies, individuals, etc.) that are subject to cyber-targeted attacks, a virtual social-issue-type cyber-targeted attack is randomly generated. It is about a technology that can perform threat hunting using the data generated accordingly.
도 1은 본 발명의 일 실시예에 따른 사회이슈형 사이버 표적공격의 대응을 위한 인공지능 기법을 이용한 위협 헌팅 시스템을 나타낸 구성 예시도로서, 도 1을 참조로 하여 본 발명의 일 실시예에 따른 사회이슈형 사이버 표적공격의 대응을 위한 인공지능 기법을 이용한 위협 헌팅 시스템을 상세히 설명한다.Figure 1 is an exemplary configuration diagram showing a threat hunting system using artificial intelligence techniques for responding to social issue-type cyber targeted attacks according to an embodiment of the present invention. Referring to Figure 1, according to an embodiment of the present invention. A threat hunting system using artificial intelligence techniques to respond to social issue-type cyber targeted attacks is explained in detail.
본 발명의 일 실시예에 따른 사회이슈형 사이버 표적공격의 대응을 위한 인공지능 기법을 이용한 위협 헌팅 시스템은 도 1에 도시된 바와 같이, 과거 데이터 수집부(100), 학습 처리부(200), 신규 데이터 수집부(300), 공격 생성부(400), 공격 수행부(500), 결과 처리부(600 및 위협 관리부(700)를 포함하여 구성되는 것이 바람직하다. 또한, 각 구성들은 컴퓨터를 포함하는 적어도 하나 이상의 연산처리수단에 각각 또는 통합 포함되어 동작을 수행하는 것이 바람직하다.As shown in FIG. 1, the threat hunting system using artificial intelligence techniques to respond to social issue-type cyber targeted attacks according to an embodiment of the present invention includes a past
일반적인 위협 헌팅의 절차는, 먼저 내부 시스템 환경에서 발생할 수 있는 악성행위(일 예를 들자면, 서버를 이용한 원격 명령 수행, 백도어 통신, 데이터 유출)를 이용하여 공격 시나리오를 생성한 후, 생성한 시나리오를 내부 시스템에 적용하여 발생하는 데이터(로그, 연결 데이터, 네트워크 페이로드 등)에 대해 다양한 분석 도구와 기법(연결 데이터 분석, 가시화, 통계 분석, 머신러닝 등)을 통해 공격자의 전술, 기술, 방법(TTPs, Tactics, Techniques, Procedures)을 수집하게 된다. 이를 통해서, 공격자의 새로운 TTPs이 발견될 경우, 위협 헌팅을 수행하는 조직에 기록되고 공유되어야 하며, 추적 관리를 진행함으로써, 해당 공격을 사전에 예방할 수 있어야 한다. 마지막으로, 새로운 위협 헌팅 시나리오를 생성하는데 집중할 수 있도록 기존의 시나리오를 지속적으로 반복 수행하기 위한 자동화 시스템이 구축되게 된다.The general threat hunting process is to first create an attack scenario using malicious actions that can occur in the internal system environment (for example, performing remote commands using a server, backdoor communication, and data leakage), and then The attacker's tactics, techniques, and methods (connected data analysis, visualization, statistical analysis, machine learning, etc.) are used to analyze data (logs, connection data, network payload, etc.) generated by applying them to the internal system. TTPs, Tactics, Techniques, Procedures) are collected. Through this, if an attacker's new TTPs are discovered, they must be recorded and shared with the organization performing threat hunting, and the attack must be prevented in advance by tracking and managing it. Finally, an automated system will be built to continuously repeat existing scenarios so that you can focus on creating new threat hunting scenarios.
이러한 기존의 위협 헌팅은 위협 헌터(관리자, 사용자 등)가 자신이 보유하고 있는 능력(보안 관련 지식, 위협 관련 최신 데이터 등)을 기반으로, 사이버 공격 수행 시나리오를 정립하고 이를 내부 시스템에 적용하여, 이에 따른 위협을 제거하는 방식이다. 그렇지만, 대부분의 사이버 보안 위협이 그러하든 새로운 기술을 개발하더라도 항상 공격자 집단의 뒤를 쫓는 것에 불과하기 때문에, 아무리 사이버 공격 수행 시나리오를 정립하더라도 이미 알려져 있는 정보를 기반으로 하기 때문에, 아직 발생하지 않은 사이버 공격 수행에 대응하는 것은 사실상 불가능하다.In this existing threat hunting, threat hunters (administrators, users, etc.) establish a cyber attack performance scenario based on their capabilities (security-related knowledge, latest threat-related data, etc.) and apply it to the internal system. This is a way to eliminate the threat that comes with it. However, as with most cyber security threats, even if new technologies are developed, they are always just chasing after a group of attackers. No matter how much a cyber attack scenario is established, it is based on information that is already known, so a cyber attack that has not yet occurred. It is virtually impossible to respond to performance.
그렇기 때문에, 본 발명의 일 실시예에 따른 본 발명의 일 실시예에 따른 사회이슈형 사이버 표적공격의 대응을 위한 인공지능 기법을 이용한 위협 헌팅 시스템 및 그 방법은, 적대적 생성 신경망(GAN, Generative Adversarial Networks)을 이용하여, 가상의 사이버 공격 수행 시나리오는 생성함으로써, 가상이지만 실제 발생하는 사이버 공격 패턴과 유사도가 높은 시나리오를 생성할 수 있을 뿐 아니라, 위협 헌터의 역량에 의존하지 않고 누구나 새롭게 생성되는 공격 시나리오를 이용하여 위협 헌팅을 수행할 수 있다.Therefore, according to an embodiment of the present invention, a threat hunting system and method using artificial intelligence techniques for responding to social issue-type cyber targeted attacks according to an embodiment of the present invention are developed using an adversarial generative neural network (GAN). By creating a virtual cyber attack scenario using (Networks), not only can a scenario that is virtual but highly similar to an actual cyber attack pattern be created, but also a newly created attack can be created by anyone without relying on the capabilities of the threat hunter. Threat hunting can be performed using scenarios.
이를 통해서, 공격 시나리오의 시뮬레이션을 통해서 생성되는 데이터를 분석하여, 내부 시스템에 포함되어 있는 사이버 표적공격이 발생할 수 있는 경로, 시작점 등에 대한 보안책을 생성하고, 이들을 통해서 발생할 수 있는 공격 기법 등을 사전에 제거할 수 있는 방법을 제시할 수 있다.Through this, data generated through simulation of attack scenarios is analyzed to create security measures for the paths and starting points where cyber-targeted attacks contained in the internal system can occur, and to pre-develop attack techniques that may occur through these. We can suggest a way to remove it.
이러한 본 발명의 일 실시예에 따른 본 발명의 일 실시예에 따른 사회이슈형 사이버 표적공격의 대응을 위한 인공지능 기법을 이용한 위협 헌팅 시스템의 각 구성에 대해서 자세히 알아보자면,Let's take a closer look at each configuration of the threat hunting system using artificial intelligence techniques to respond to social issue-type cyber targeted attacks according to an embodiment of the present invention,
상기 과거 데이터 수집부(100)는 과거 발생한 사회이슈형 사이버 표적공격 관련 데이터를 수집하는 것이 바람직하다. 이 때, 상기 과거 데이터 수집부(100)는 사회이슈형 사이버 표적공격의 대응을 위한 인공지능 기법을 이용한 위협 헌팅 시스템을 적용하고자 하는 기관(개인, 기업, 기관 등)의 운영서버(또는, 운영 시스템)로부터 과거 발생한 사회이슈형 사이버 표적공격에 의한 보안 관련 운영 데이터를 입력받아, 이를 수집하게 된다.It is desirable that the past
여기서, 상기 사회이슈형 사이버 표적공격의 대응을 위한 인공지능 기법을 이용한 위협 헌팅 시스템을 적용하고자 하는 기관의 운영서버는 반드시 사회이슈형 사이버 표적공격이 아니더라도, 사이버 표적공격의 발생을 우려하여 위협 헌팅을 통해 사전 대응 조치를 취하고자 하는 운영서버를 의미한다.Here, the operation server of an organization that wants to apply a threat hunting system using artificial intelligence techniques to respond to the social issue-type cyber target attack is concerned about the occurrence of a cyber target attack, even if it is not necessarily a social issue-type cyber target attack. This refers to an operating server that intends to take proactive measures through .
이를 위해, 상기 과거 데이터 수집부(100)는 도 1에 도시된 바와 같이, 공격 수집부(110), 키워드 수집부(120) 및 사회이슈 수집부(130)를 포함하여 구성되게 된다.To this end, the past
상기 공격 수집부(110)는 과거 발생한 다수의 사이버 표적공격 관련 데이터를 수집하는 것이 바람직하다. 상세하게는, 과거 발생한 사이버 표적공격의 유형을 파악하여 발생할 당시의 공격대상 기관정보, 공격의 세부적인 유형 정보, 공격자 정보, 공격코드 정보, 공격코드 유형 정보 등을 포함한 사이버 표적공격 관련 데이터를 수집하는 것이 바람직하다.It is desirable that the
즉, 상기 공격 수집부(110)는 과거 발생했던 사이버 표적공격에 대한 공격자 그룹의 공격 전략 및 테크닉을 수집하게 된다. 현재까지 발생한 대부분의 사이버 표적공격에서 사용된 공격 기술을 수집하는 것이 바람직하며, attack.mitre.org에는 14가지 형태의 사이버 표적공격 전략과 500여 가지의 사이버 공격 테크닉을 개시하고 있으며, 공격자 그룹별로 사이버 표적공격을 수행할 때 사용한 공격 테크닉을 수집할 수도 있다.That is, the
상기 키워드 수집부(120)는 과거 각각의 사이버 표적공격이 발생한 시점을 기준으로 소정 기간 동안 나타난 키워드 데이터를 수집하게 된다.The
상세하게는, 상기 키워드 수집부(120)는 상기 공격 수집부(110)를 통해서 수집한 과거 발생한 다수의 사이버 표적공격이 발생한 시점을 기준으로, 소정 기간 동안의 사회이슈 관련 데이터를 수집하는 것이 바람직하다. 일 예를 들자면, 상기 공격 수집부(110)를 통해서 과거 발생한 A, B 사이버 표적공격의 관련 데이터들이 수집되었다면, 상기 키워드 수집부(700)는 과거 A 사이버 표적공격이 발생한 시점을 기준으로 소정 기간 전부터 소정 기간 후까지의 키워드 데이터와, 과거 B 사이버 표적공격이 발생한 시점을 기준으로 소정 기간 전부터 소정 기간 후까지의 키워드 데이터를 수집하게 된다. 이 때, 상기 키워드 데이터는 분석 대상 사이트들의 다양한 웹 문서 데이터(웹 페이지 데이터, SNS 등)에 대한 크롤링 등을 수행하여 수집하는 것이 바람직하다. 즉 웹 상에 존재하는 뉴스 사이트와 SNS를 활용하여 설정한 기간(소정 기간)에 존재하는 다양한 키워드들을 수집하게 된다. 사회적인 이슈들은 포털 사이트의 뉴스란이나 다양한 방송사의 SNS에서 검색할 수 있기 때문에, 이를 활용하여 사회이슈에 사용된 키워드를 추출하는 것이 바람직하다.In detail, it is preferable that the
이러한 언론사 등에서 이슈화하여 내보내고 있는 기사들을 종합하여 볼 때 사회이슈를 추측할 수 있다. 그렇지만, 언론사에서 발간(발생, 생성, 업로드 등)하는 기사들을 수집하여 이에 대한 주요 키워드들을 추출할 경우, 가령 언론기사 분석을 통해 '정부'라는 키워드가 많이 나타났다고 분석될 경우, 단순히 해당 키워드만을 가지고는 앞뒤 상황을 유추하기가 어렵기 때문에 이를 사회이슈 키워드라 도출할 수 없다.Social issues can be inferred by looking at the articles being published by these media outlets. However, when collecting articles published (generated, created, uploaded, etc.) by media companies and extracting key keywords for them, for example, if it is analyzed that the keyword 'government' appears frequently through analysis of media articles, simply using only the relevant keywords Since it is difficult to infer the situation before and after, it cannot be derived as a social issue keyword.
뿐만 아니라, 이를 사회이슈로 단정지었다 할지라도 추후에 이에 대한 사회상황 해석이 거의 불가능하다.In addition, even if this is determined to be a social issue, it is almost impossible to interpret the social situation later.
그렇기 때문에, 상기 사회이슈 수집부(130)는 통해서 상기 키워드 수집부(120)의 수집 데이터를 분석하여, 키워드 데이터 간의 연관성 분석을 통한 그룹화를 수행하여, 상기 사회이슈 데이터를 도출하는 것이 바람직하다.Therefore, it is preferable that the social
상세하게는, 언론사 등에서 이슈화하여 내보내고 있는 기사들을 수집하여 수집한 기사들을 분석하여 발견된 핵심 키워드를 중심으로, 연관된 키워드들까지 같이 추출하여 하나의 그룹으로 묶어 이를 사회이슈로 도출하는 것이 바람직하다. 이를 통해서, 특정기간에 발생한 사회이슈 데이터와 더 나아가 그 사회이슈가 발생한 이유, 경과 등을 일목요연하게 정리하여 확인할 수 있다.In detail, it is desirable to collect articles that are being published as issues by media companies, analyze the collected articles, extract related keywords based on the discovered keywords, group them into one group, and derive them as social issues. Through this, it is possible to clearly organize and confirm data on social issues that occurred during a specific period, as well as the reasons and progress of the social issues.
즉, 상기 사회이슈 수집부(130)는 상기 키워드 수집부(120)의 수집 데이터들을 활용하여 해당 기간의 키워드 간 연관성을 분석하여 샤회이슈를 도출하는 것이 바람직하다. 연관성 분석을 위해서 키워드 그룹화(정치, 경제, 사회, 문화 등)를 선행되는 것이 바람직하며, 그룹 내 키워드 간의 빈도 분석, 단어 조합 등을 수행하여, 상기 사회이슈 데이터(올림픽, 청문회, 무역제재 등)를 도출할 수 있다.In other words, it is desirable that the social
이에 따라, 상기 사회이슈 데이터는 단순히 하나의 단어가 아니라 특정 기간 동안 이슈화되고 있는 키워드들, 다시 말하자면 연관성이 있는 키워드들의 집합을 의미하는 것이 바람직하다.Accordingly, it is preferable that the social issue data is not simply a single word but a set of keywords that have become an issue during a specific period of time, that is, a set of related keywords.
상기 학습 처리부(200)는 미리 저장된 인공지능 알고리즘을 이용하여, 상기 과거 데이터 수집부(100)의 수집 데이터, 다시 말하자면, 상기 공격 수집부(110)의 수집 데이터와 상기 사회이슈 수집부(130)의 도출 데이터에 대한 학습 처리를 수행하는 것이 바람직하다. 상세하게는, 상기 학습 처리부(200)는 수집된 사이버 표적공격 전략 및 테크닉과, 도출한 사회이슈 데이터를 인공지능 학습에 사용할 수 있도록 정형화하고, 정형화된 학습 데이터를 미리 저장되어 있는 인공지능 알고리즘에 입력하여, 학습 결과 모델을 출력받게 된다.The
여기서, 데이터 정형화란, 인공지능 학습에 값을 입력하기 위한 문자, 문자역, 정수형 등의 다양한 데이터를 수치화하는 것을 의미한다.Here, data normalization means digitizing various data such as characters, character translations, and integer types to input values into artificial intelligence learning.
또한, 상기 학습 처리부(200)는 미리 저장된 인공지능 알고리즘으로 적대적 생성 신경망(GAN, Generative Adversarial Networks)을 이용하여 적대적 반복 학습을 수행하여, 상기 학습 결과 모델(학습 모델)을 출력하는 것이 바람직하다.In addition, the
적대적 생성 신경망이란, 컨볼루션 신경망으로 구현되는 생성기(generator)와 판별기(discriminator)를 포함하여 구성되며, 생성기는 실제와 가장 비슷한 가상 데이터를 생성하고, 판별기는 실제 데이터와 가상 데이터를 판별하되, 생성기는 실제와 가장 비슷한 가상 데이터를 생성하기 위해 반복 학습을 수행하고, 판별기 역시도 실제 데이터와 가상 데이터를 보다 정확하게 판별하기 위하여 반복 학습을 수행하게 된다. 즉, 생성기와 판별기가 적대적 학습을 반복 수행함으로써, 학습 모델이 출력되게 된다.An adversarial generative neural network consists of a generator and a discriminator implemented as a convolutional neural network. The generator generates virtual data that is most similar to reality, and the discriminator distinguishes between real data and virtual data. The generator performs iterative learning to generate virtual data that is most similar to reality, and the discriminator also performs iterative learning to more accurately distinguish between real data and virtual data. In other words, the generator and discriminator repeatedly perform adversarial learning, and a learning model is output.
이를 통해서, 상기 학습 처리부(200)는 수집된 사이버 표적공격 전략 및 테크닉과, 도출한 사회이슈 데이터를 학습 처리함으로써, 상기 학습 모델을 출력하게 되며, 상기 학습 모델은 실제 발생하지 않은 사이버 표적공격 시나리오를 생성하되, 생성한 가상의 사이버 표적공격 시나리오는 실제 발생한 사이버 표적공격과 전략 및 테크닉이 거의 흡사하게 된다.Through this, the
상기 신규 데이터 수집부(300)는 실시간으로 소정 기간 동안 발생한 키워드 데이터를 수집하는 것이 바람직하다.The new
상세하게는, 상기 신규 데이터 수집부(300)는 분석 대상 사이트들의 다양한 웹 문서 데이터에 대한 크롤링 등을 수행하여, 다양한 키워드들을 수집하게 된다. 이 때, 상기 신규 데이터 수집부(300)는 실시간 사회이슈 데이터를 도출하는 것이 아니라, 실시간 키워드 데이터를 수집하여, 해당 키워드가 사회이슈 데이터로 연장되어 사이버 표적공격의 시발점이 될 가능성이 있는지 활용하게 된다.In detail, the new
상기 공격 생성부(400)는 상기 학습 처리부(200)에 의한 학습 모델(학습 결과 모델)에 상기 신규 데이터 수집부(300)에 의한 수집 데이터를 입력하여, 가상의 사회이슈형 사이버 표적공격 시나리오를 생성하는 것이 바람직하다.The
이 때, 상기 학습 모델을 통해서 출력되는 가상의 사회이슈형 사이버 표적공격 시나리오는 적대적 생성 신경망을 특성에 의해, 생성기와 판별기 간의 적대적 반복 학습을 통해서, 가상의 사회이슈형 사이버 표적공격이지만 실제와 흡사한 사회이슈형 사이버 표적공격을 일으킬 수 있는 시나리오인 것이 바람직하다.At this time, the hypothetical social issue-type cyber target attack scenario output through the learning model is a virtual social issue-type cyber target attack, but it is a virtual social issue-type cyber target attack based on the characteristics of an adversarial generative neural network and through adversarial iterative learning between the generator and discriminator. It is desirable that it is a scenario that can cause a similar social issue-type cyber target attack.
즉, 상기 공격 생성부(400)는 위협 헌팅을 수행하기 위한 공격 시나리오를 생성하는 구성으로, 상기 신규 데이터 수집부(300)에 의한 수집 데이터인 키워드 데이터를 기반으로 가상의 사회이슈형 사이버 표적공격 시나리오를 생성하게 된다.That is, the
상기 공격 수행부(500)는 상기 공격 생성부(400)에서 생성한 가상의 사회이슈형 사이버 표적공격 시나리오를 이용하여, 기관의 운영서버(운영시스템 등)에 공격 시뮬레이션을 수행하는 것이 바람직하다. 즉, 상기 공격 수행부(500)는 상기 공격 생성부(400)에 의해 생성한 가상의 사회이슈형 사이버 표적공격 시나리오에 맞게 내부 시스템에 사이버 표적공격을 수행하는 것으로서, 위협 헌팅은 내부 시스템에 공격을 수행하면서 발생하는 정보를 분석하는 과정이기 때문에, 상기 공격 수행부(500)를 통한 공격 시뮬레이션이 필수로 요구된다.The
상기 결과 처리부(600)는 기관의 운영서버(운영시스템 등)로부터 상기 공격 수행부(500)에 의한 가상의 사회이슈형 사이버 표적공격 시나리오에 따른 공격 시뮬레이션이 이루어지고 난 후, 발생되는 관련 데이터를 수집하여 분석하는 것이 바람직하다.The
상세하게는, 상기 결과 처리부(600)는 도 1에 도시된 바와 같이, 결과 수집부(610)와 결과 탐지부(620)를 포함하여 구성되게 된다.In detail, the
상기 결과 수집부(610)는 간략하게 말하자면, 가상의 사회이슈형 사이버 표적공격이 진행되면서 발생하는 데이터를 수집하게 된다. 일 예를 들자면, 기관의 운영서버(운영시스템 등)로부터 가상의 사회이슈형 사이버 표적공격이 진행되면서 발생하는 운영체제 로그, 네트워크 정보, 파일 열람 기록, 실행 프로그램 목록 등 다양한 정보를 수집하여 저장 및 관리하게 된다. 이를 위한 별도의 데이터베이스 수단을 포함하여 구성되는 것이 바람직하다.To put it briefly, the result collection unit 610 collects data generated as a virtual social issue-type cyber target attack progresses. For example, various information such as operating system logs, network information, file viewing records, and executable program lists that occur as a virtual social issue-type cyber target attack progresses from the organization's operating server (operating system, etc.) is collected, stored, and managed. I do it. It is desirable to include a separate database means for this.
상기 결과 탐지부(620)는 상기 결과 수집부(610)의 수집 데이터(일 예를 들자면, 운영체제 로그, 네트워크 정보, 파일 열람 기록, 실행 프로그램 목록 등)를 분석하여, 가상의 사회이슈형 사이버 표적공격에 의한 위협 헌팅 데이터를 생성하는 것이 바람직하다.The result detection unit 620 analyzes the collected data of the result collection unit 610 (for example, operating system logs, network information, file viewing records, executable program lists, etc.) to identify virtual social issue-type cyber targets. It is desirable to generate threat hunting data from attacks.
상세하게는, 상기 결과 탐지부(620)는 상기 결과 수집부(610)의 수집 데이터를 다양한 분석 기법을 이용하여, 다시 말하자면, 통계 분석, 공격자 행위 이벤트 분석, 네트워크 정보 분석, 운영체제 로그 분석, 시계열 분석 등을 수행하여, 위협 헌팅 데이터인 공격자의 전술, 기술, 방법(TTPs, Tactics, Techniques, Procedures)을 생성하게 된다.In detail, the result detection unit 620 uses various analysis techniques to collect data from the result collection unit 610, that is, statistical analysis, attacker behavior event analysis, network information analysis, operating system log analysis, and time series analysis. By performing analysis, etc., the attacker's tactics, techniques, and methods (TTPs, Tactics, Techniques, and Procedures), which are threat hunting data, are generated.
상기 위협 관리부(700)는 상기 결과 처리부(600)에 의한 분석 결과를 이용하여, 사회이슈형 사이버 표적공격에 대한 위협 헌팅을 수행하게 된다.The
상세하게는, 상기 위협 관리부(700)는 상기 결과 탐지부(620)에 의한 위협 헌팅 데이터를 이용하여, 사회이슈형 사이버 표적공격이 발생을 비연에 방지하거나 또는, 사회이슈형 사이버 표적공격 발생 시 신속하게 대응할 수 있는 정보를 생성하고, 생성한 정보를 기반으로 기관의 운영서버(운영시스템 등)의 위협 관리를 수행하는 것이 바람직하다.In detail, the
물론, 상기 위협 관리부(700)는 상기 공격 생성부(400)에서 생성한 가상의 사회이슈형 사이버 표적공격 시나리오인 신규 사회이슈형 사이버 표적공격 시나리오의 관리, 학습 결과 모델의 관리, 상기 결과 탐지부(620)에 의한 위협 헌팅 데이터의 관리, 이에 따른 분석 결과의 관리를 수행하게 된다.Of course, the
상기 위협 관리부(700)는 상기 결과 탐지부(620)에 의한 위협 헌팅 데이터를 가시화하여 보여줄 뿐 아니라, 가상의 사회이슈형 사이버 표적공격 시나리오에 의해 일어난 피해 정도, 피해 경로 등을 분석하여, 공격의 시작점이 되는 경로, 공격 기법 등에 대한 대비책을 제공할 수 있다. 또한, 과거 발생한 사회이슈형 사이버 표적공격에 대한 탐지만 가능한 것이 아니라, 아직 발생한 적은 없지만 이미 가상의 사회이슈형 사이버 표적공격 시나리오를 통해서 공격에 대한 학습이 이루어졌기 때문에, 실제 공격이 이루어질 경우, 이에 대한 신속 대응할 수 있다.The
도 2는 본 발명의 일 실시예에 따른 사회이슈형 사이버 표적공격의 대응을 위한 인공지능 기법을 위협 헌팅 방법을 나타낸 순서 예시도이다. 도 2를 참조로 하여, 본 발명의 일 실시예에 따른 사회이슈형 사이버 표적공격의 대응을 위한 인공지능 기법을 위협 헌팅 방법을 상세히 설명한다.Figure 2 is a flow diagram showing a threat hunting method using artificial intelligence techniques to respond to social issue-type cyber targeted attacks according to an embodiment of the present invention. With reference to FIG. 2, a threat hunting method using an artificial intelligence technique for responding to a social issue-type cyber target attack according to an embodiment of the present invention will be described in detail.
본 발명의 일 실시예에 따른 사회이슈형 사이버 표적공격의 대응을 위한 인공지능 기법을 위협 헌팅 방법은 도 2에 도시된 바와 같이, 공격 데이터 수집 단계(S100), 키워드 데이터 수집 단계(S200), 사회이슈 데이터 수집 단계(S300), 학습 처리 단계(S400), 신규 데이터 수집 단계(S500), 공격 시나리오 생성 단계(S600), 공격 수행 단계(S700), 결과 분석 단계(S800) 및 위협 관리 단계(S900)를 포함하여 구성되는 것이 바람직하다. 또한, 컴퓨터로 구현되는 사회이슈형 사이버 표적공격의 대응을 위한 인공지능 기법을 위협 헌팅 시스템에 의해 각 단계가 수행되게 된다.As shown in FIG. 2, the threat hunting method using artificial intelligence techniques to respond to social issue-type cyber targeted attacks according to an embodiment of the present invention includes an attack data collection step (S100), a keyword data collection step (S200), Social issue data collection step (S300), learning processing step (S400), new data collection step (S500), attack scenario creation step (S600), attack execution step (S700), result analysis step (S800), and threat management step ( It is preferable that it is configured to include S900). In addition, each step is performed by a threat hunting system using artificial intelligence techniques to respond to computer-implemented social issue-type cyber targeting attacks.
각 단계에 대해서 자세히 알아보자면,To learn more about each step,
상기 공격 데이터 수집 단계(S100)는 상기 과거 데이터 수집부(100)에서, 과거 발생한 사회이슈형 사이버 표적공격 관련 데이터를 수집하게 된다. 이 때, 사회이슈형 사이버 표적공격의 대응을 위한 인공지능 기법을 이용한 위협 헌팅 시스템을 적용하고자 하는 기관(개인, 기업, 기관 등)의 운영서버(또는, 운영 시스템)로부터 과거 발생한 사회이슈형 사이버 표적공격에 의한 보안 관련 운영 데이터를 입력받아, 이를 수집하게 된다.In the attack data collection step (S100), the past
여기서, 상기 사회이슈형 사이버 표적공격의 대응을 위한 인공지능 기법을 이용한 위협 헌팅 시스템을 적용하고자 하는 기관의 운영서버는 반드시 사회이슈형 사이버 표적공격이 아니더라도, 사이버 표적공격의 발생을 우려하여 위협 헌팅을 통해 사전 대응 조치를 취하고자 하는 운영서버를 의미한다.Here, the operation server of an organization that wants to apply a threat hunting system using artificial intelligence techniques to respond to the social issue-type cyber target attack is concerned about the occurrence of a cyber target attack, even if it is not necessarily a social issue-type cyber target attack. This refers to an operating server that intends to take proactive measures through .
이를 통해서, 상기 공격 데이터 수집 단계(S100)는 과거 발생한 다수의 사이버 표적공격 관련 데이터, 다시 말하자면, 과거 발생한 사이버 표적공격의 유형을 파악하여 발생할 당시의 공격대상 기관정보, 공격의 세부적인 유형 정보, 공격자 정보, 공격코드 정보, 공격코드 유형 정보 등을 포함한 사이버 표적공격 관련 데이터를 수집하게 된다.Through this, the attack data collection step (S100) includes data related to a large number of cyber-targeted attacks that have occurred in the past, that is, by identifying the types of cyber-targeted attacks that have occurred in the past, information on the target organization at the time of occurrence, detailed type information of the attack, Data related to cyber targeted attacks, including attacker information, attack code information, and attack code type information, is collected.
이를 통해서, 상기 공격 데이터 수집 단계(S100)는 과거 발생했던 사이버 표적공격에 대한 공격자 그룹의 공격 전략 및 테크닉을 수집하게 된다. 현재까지 발생한 대부분의 사이버 표적공격에서 사용된 공격 기술을 수집하는 것이 바람직하며, attack.mitre.org에는 14가지 형태의 사이버 표적공격 전략과 500여 가지의 사이버 공격 테크닉을 개시하고 있으며, 공격자 그룹별로 사이버 표적공격을 수행할 때 사용한 공격 테크닉을 수집할 수도 있다.Through this, the attack data collection step (S100) collects the attack strategies and techniques of the attacker group for cyber-targeted attacks that occurred in the past. It is desirable to collect attack techniques used in most cyber-targeted attacks that have occurred to date, and attack.mitre.org lists 14 types of cyber-targeted attack strategies and over 500 cyber-attack techniques, and is categorized by attacker group. It is also possible to collect attack techniques used when carrying out targeted cyber attacks.
상기 키워드 데이터 수집 단계(S200)는 상기 과거 데이터 수집부(100)에서, 상기 공격 데이터 수집 단계(S100)에 의한 과거 발생한 다수의 사이버 표적공격이 발생한 시점을 기준으로, 소정 기간 동안의 사회이슈 관련 데이터를 수집하게 된다.The keyword data collection step (S200) is performed in the past
이 때, 상기 키워드 데이터는 분석 대상 사이트들의 다양한 웹 문서 데이터(웹 페이지 데이터, SNS 등)에 대한 크롤링 등을 수행하여 수집하는 것으로, 웹 상에 존재하는 뉴스 사이트와 SNS를 활용하여 설정한 기간(소정 기간)에 존재하는 다양한 키워드들을 수집하게 된다. 사회적인 이슈들은 포털 사이트의 뉴스란이나 다양한 방송사의 SNS에서 검색할 수 있기 때문에, 이를 활용하여 사회이슈에 사용된 키워드를 추출하게 된다.At this time, the keyword data is collected by crawling various web document data (web page data, SNS, etc.) of sites subject to analysis, and is collected for a period (period) set using news sites and SNS existing on the web. Various keywords that exist over a certain period of time are collected. Since social issues can be searched in the news section of portal sites or SNS of various broadcasting companies, keywords used in social issues can be extracted using this.
이러한 언론사 등에서 이슈화하여 내보내고 있는 기사들을 종합하여 볼 때 사회이슈를 추측할 수 있다. 그렇지만, 언론사에서 발간(발생, 생성, 업로드 등)하는 기사들을 수집하여 이에 대한 주요 키워드들을 추출할 경우, 가령 언론기사 분석을 통해 '정부'라는 키워드가 많이 나타났다고 분석될 경우, 단순히 해당 키워드만을 가지고는 앞뒤 상황을 유추하기가 어렵기 때문에 이를 사회이슈 키워드라 도출할 수 없다.Social issues can be inferred by looking at the articles being published by these media outlets. However, when collecting articles published (generated, created, uploaded, etc.) by media companies and extracting key keywords for them, for example, if it is analyzed that the keyword 'government' appears frequently through analysis of media articles, simply using only the relevant keywords Since it is difficult to infer the situation before and after, it cannot be derived as a social issue keyword.
뿐만 아니라, 이를 사회이슈로 단정지었다 할지라도 추후에 이에 대한 사회상황 해석이 거의 불가능하다.In addition, even if this is determined to be a social issue, it is almost impossible to interpret the social situation later.
그렇기 때문에, 상기 사회이슈 데이터 수집 단계(S300)를 통해서, 사회이슈 데이터를 도출하는 것이 바람직하다.Therefore, it is desirable to derive social issue data through the social issue data collection step (S300).
상기 사회이슈 데이터 수집 단계(S300)는 상기 과거 데이터 수집부(100)에서, 상기 키워드 데이터 수집 단계(S200)에 의한 수집 데이터를 분석하여, 키워드 데이터 간의 연관성 분석을 통한 그룹화를 수행하여, 상기 사회이슈 데이터를 도출하게 된다.The social issue data collection step (S300) analyzes the data collected by the keyword data collection step (S200) in the past
상세하게는, 언론사 등에서 이슈화하여 내보내고 있는 기사들을 수집하여 수집한 기사들을 분석하여 발견된 핵심 키워드를 중심으로, 연관된 키워드들까지 같이 추출하여 하나의 그룹으로 묶어 이를 사회이슈로 도출하는 것이 바람직하다. 이를 통해서, 특정기간에 발생한 사회이슈 데이터와 더 나아가 그 사회이슈가 발생한 이유, 경과 등을 일목요연하게 정리하여 확인할 수 있다.In detail, it is desirable to collect articles that are being published as issues by media companies, analyze the collected articles, extract related keywords based on the discovered keywords, group them into one group, and derive them as social issues. Through this, it is possible to clearly organize and confirm data on social issues that occurred during a specific period, as well as the reasons and progress of the social issues.
즉, 상기 사회이슈 데이터 수집 단계(S300)는 상기 키워드 데이터 수집 단계(S200)에 의한 수집 데이터들을 활용하여 해당 기간의 키워드 간 연관성을 분석하여 샤회이슈를 도출하는 것으로, 연관성 분석을 위해서 키워드 그룹화(정치, 경제, 사회, 문화 등)를 선행되는 것이 바람직하며, 그룹 내 키워드 간의 빈도 분석, 단어 조합 등을 수행하여, 상기 사회이슈 데이터(올림픽, 청문회, 무역제재 등)를 도출할 수 있다.In other words, the social issue data collection step (S300) utilizes the data collected in the keyword data collection step (S200) to analyze the relationship between keywords in the relevant period to derive social issues, and for correlation analysis, keyword grouping ( Politics, economy, society, culture, etc.) is preferably preceded, and the social issue data (Olympics, hearings, trade sanctions, etc.) can be derived by performing frequency analysis and word combinations among keywords within the group.
이에 따라, 상기 사회이슈 데이터는 단순히 하나의 단어가 아니라 특정 기간 동안 이슈화되고 있는 키워드들, 다시 말하자면 연관성이 있는 키워드들의 집합을 의미하는 것이 바람직하다.Accordingly, it is preferable that the social issue data is not simply a single word but a set of keywords that have become an issue during a specific period of time, that is, a set of related keywords.
상기 학습 처리 단계(S400)는 상기 학습 처리부(200)에서, 인공지능 알고리즘을 이용하여, 상기 공격 데이터 수집 단계(S100), 사회이슈 데이터 수집 단계(S300)에 의한 데이터들을 학습 데이터로 입력하여, 학습 처리를 수행하게 된다.In the learning processing step (S400), the
상기 학습 처리 단계(S400)는 수집된 사이버 표적공격 전략 및 테크닉과, 도출한 사회이슈 데이터를 인공지능 학습에 사용할 수 있도록 정형화하고, 정형화된 학습 데이터를 미리 저장되어 있는 인공지능 알고리즘에 입력하여, 학습 결과 모델을 출력받게 된다.The learning processing step (S400) formalizes the collected cyber target attack strategies and techniques and derived social issue data so that they can be used for artificial intelligence learning, and inputs the standardized learning data into a pre-stored artificial intelligence algorithm, The learning result model is output.
여기서, 데이터 정형화란, 인공지능 학습에 값을 입력하기 위한 문자, 문자역, 정수형 등의 다양한 데이터를 수치화하는 것을 의미한다.Here, data normalization means digitizing various data such as characters, character translations, and integer types to input values into artificial intelligence learning.
미리 저장된 인공지능 알고리즘으로 적대적 생성 신경망(GAN, Generative Adversarial Networks)을 이용하여 적대적 반복 학습을 수행하여, 상기 학습 결과 모델(학습 모델)을 출력하게 된다.Adversarial iterative learning is performed using a pre-stored artificial intelligence algorithm using Generative Adversarial Networks (GAN), and the learning result model (learning model) is output.
적대적 생성 신경망이란, 컨볼루션 신경망으로 구현되는 생성기(generator)와 판별기(discriminator)를 포함하여 구성되며, 생성기는 실제와 가장 비슷한 가상 데이터를 생성하고, 판별기는 실제 데이터와 가상 데이터를 판별하되, 생성기는 실제와 가장 비슷한 가상 데이터를 생성하기 위해 반복 학습을 수행하고, 판별기 역시도 실제 데이터와 가상 데이터를 보다 정확하게 판별하기 위하여 반복 학습을 수행하게 된다. 즉, 생성기와 판별기가 적대적 학습을 반복 수행함으로써, 학습 모델이 출력되게 된다.An adversarial generative neural network consists of a generator and a discriminator implemented as a convolutional neural network. The generator generates virtual data that is most similar to reality, and the discriminator distinguishes between real data and virtual data. The generator performs iterative learning to generate virtual data that is most similar to reality, and the discriminator also performs iterative learning to more accurately distinguish between real data and virtual data. In other words, the generator and discriminator repeatedly perform adversarial learning, and a learning model is output.
이를 통해서, 상기 학습 처리 단계(S400)는 수집된 사이버 표적공격 전략 및 테크닉과, 도출한 사회이슈 데이터를 학습 처리함으로써, 상기 학습 모델을 출력하게 되며, 상기 학습 모델은 실제 발생하지 않은 사이버 표적공격 시나리오를 생성하되, 생성한 가상의 사이버 표적공격 시나리오는 실제 발생한 사이버 표적공격과 전략 및 테크닉이 거의 흡사하게 된다.Through this, the learning processing step (S400) outputs the learning model by learning and processing the collected cyber target attack strategies and techniques and derived social issue data, and the learning model is a cyber target attack that did not actually occur. Create a scenario, but the created virtual cyber target attack scenario is almost similar in strategy and technique to the actual cyber target attack.
상기 신규 데이터 수집 단계(S500)는 상기 신규 데이터 수집부(300)에서, 실시간으로 소정 기간 동안 발생한 키워드 데이터를 수집하게 된다. 상세하게는, 분석 대상 사이트들의 다양한 웹 문서 데이터에 대한 크롤링 등을 수행하여, 다양한 키워드들을 수집하는 것으로, 실시간 사회이슈 데이터를 도출하는 것이 아니라, 실시간 키워드 데이터를 수집하여, 해당 키워드가 사회이슈 데이터로 연장되어 사이버 표적공격의 시발점이 될 가능성이 있는지 활용하게 된다.In the new data collection step (S500), the new
상기 공격 시나리오 생성 단계(S600)는 상기 공격 생성부(400)에서, 상기 학습 처리 단계(S400)에 의한 학습 모델에 상기 신규 데이터 수집 단계(S500)에 의한 키워드 데이터를 적용하여, 가상의 사회이슈형 사이버 표적공격 시나리오를 생성하게 된다.In the attack scenario creation step (S600), the
이 때, 상기 학습 모델을 통해서 출력되는 가상의 사회이슈형 사이버 표적공격 시나리오는 적대적 생성 신경망을 특성에 의해, 생성기와 판별기 간의 적대적 반복 학습을 통해서, 가상의 사회이슈형 사이버 표적공격이지만 실제와 흡사한 사회이슈형 사이버 표적공격을 일으킬 수 있는 시나리오인 것이 바람직하다.At this time, the hypothetical social issue-type cyber target attack scenario output through the learning model is a virtual social issue-type cyber target attack, but it is a virtual social issue-type cyber target attack based on the characteristics of an adversarial generative neural network and through adversarial iterative learning between the generator and discriminator. It is desirable that it is a scenario that can cause a similar social issue-type cyber target attack.
상기 공격 시나리오 생성 단계(S600)는 위협 헌팅을 수행하기 위한 공격 시나리오를 생성하는 구성으로, 상기 신규 데이터 수집 단계(S500)에 의한 키워드 데이터를 기반으로 가상의 사회이슈형 사이버 표적공격 시나리오를 생성하게 된다.The attack scenario creation step (S600) is a configuration that generates an attack scenario to perform threat hunting, and generates a virtual social issue-type cyber target attack scenario based on the keyword data from the new data collection step (S500). do.
상기 공격 수행 단계(S700)는 상기 공격 수행부(500)에서, 상기 공격 시나리오 생성 단계(S600)에 의한 상기 가상의 사회이슈형 사이버 표적공격 시나리오를 이용하여, 기관의 운영서버(운영시스템 등)에 공격 시뮬레이션을 수행하게 된다.In the attack execution step (S700), the
즉, 가상의 사회이슈형 사이버 표적공격 시나리오에 맞게 내부 시스템에 사이버 표적공격을 수행하는 것으로서, 위협 헌팅은 내부 시스템에 공격을 수행하면서 발생하는 정보를 분석하는 과정이기 때문에, 공격 시뮬레이션이 필수로 요구된다.In other words, a cyber-targeted attack is performed on an internal system in accordance with a hypothetical social issue-type cyber-targeted attack scenario. Since threat hunting is a process of analyzing information generated while performing an attack on an internal system, attack simulation is essential. do.
상기 결과 분석 단계(S800)는 상기 결과 처리부(600)에서, 상기 공격 수행 단계(S700)에 의해 발생되는 관련 데이터를 수집하고, 수집 데이터들을 분석하여 가상의 사회이슈형 사이버 표적공격에 의한 위협 헌팅 데이터를 생성하게 된다.In the result analysis step (S800), the
상세하게는, 상기 결과 분석 단계(S800)는 기관의 운영서버(운영시스템 등)로부터 가상의 사회이슈형 사이버 표적공격 시나리오에 따른 공격 시뮬레이션이 이루어지고 난 후, 발생되는 관련 데이터를 수집하여 분석하게 된다.In detail, the result analysis step (S800) collects and analyzes related data generated after an attack simulation is performed according to a virtual social issue-type cyber target attack scenario from the organization's operating server (operating system, etc.). do.
즉, 가상의 사회이슈형 사이버 표적공격이 진행되면서 발생하는 데이터(운영체제 로그, 네트워크 정보, 파일 열람 기록, 실행 프로그램 목록 등 다양한 정보)를 수집하여 저장 및 관리하고, 이를 분석하여 가상의 사회이슈형 사이버 표적공격에 의한 위협 헌팅 데이터를 생성하게 된다.In other words, data generated as a virtual social issue-type cyber target attack progresses (various information such as operating system logs, network information, file browsing records, executable program lists, etc.) is collected, stored, and managed, and this is analyzed to create a virtual social issue type. Threat hunting data is generated from targeted cyber attacks.
상기 결과 분석 단계(S800)는 다양한 분석 기법을 이용하여, 다시 말하자면, 통계 분석, 공격자 행위 이벤트 분석, 네트워크 정보 분석, 운영체제 로그 분석, 시계열 분석 등을 수행하여, 위협 헌팅 데이터인 공격자의 전술, 기술, 방법(TTPs, Tactics, Techniques, Procedures)을 생성하게 된다.The result analysis step (S800) uses various analysis techniques, that is, statistical analysis, attacker behavior event analysis, network information analysis, operating system log analysis, time series analysis, etc. to perform threat hunting data, including the attacker's tactics and techniques. , methods (TTPs, Tactics, Techniques, Procedures) are created.
상기 위협 관리 단계(S900)는 상기 위협 관리부(700)에서, 상기 결과 분석 단계(S800)에 의한 분석 결과를 이용하여, 사회이슈형 사이버 표적공격에 대한 위협 헌팅을 수행하게 된다.In the threat management step (S900), the threat management unit (700) performs threat hunting for social issue-type cyber targeted attacks using the analysis results of the result analysis step (S800).
상기 위협 관리 단계(S900)는 상기 결과 분석 단계(S800)에 의한 분석 결과인 위협 헌팅 데이터를 이용하여, 사회이슈형 사이버 표적공격이 발생을 비연에 방지하거나 또는, 사회이슈형 사이버 표적공격 발생 시 신속하게 대응할 수 있는 정보를 생성하고, 생성한 정보를 기반으로 기관의 운영서버(운영시스템 등)의 위협 관리를 수행하게 된다.The threat management step (S900) uses the threat hunting data that is the analysis result of the result analysis step (S800) to prevent the occurrence of a social issue-type cyber targeted attack, or when a social issue-type cyber targeted attack occurs. Information that can be responded to quickly is generated, and threat management of the organization's operating server (operating system, etc.) is performed based on the generated information.
상세하게는, 위협 헌팅 데이터를 가시화하여 보여줄 뿐 아니라, 가상의 사회이슈형 사이버 표적공격 시나리오에 의해 일어난 피해 정도, 피해 경로 등을 분석하여, 공격의 시작점이 되는 경로, 공격 기법 등에 대한 대비책을 제공할 수 있다. 또한, 과거 발생한 사회이슈형 사이버 표적공격에 대한 탐지만 가능한 것이 아니라, 아직 발생한 적은 없지만 이미 가상의 사회이슈형 사이버 표적공격 시나리오를 통해서 공격에 대한 학습이 이루어졌기 때문에, 실제 공격이 이루어질 경우, 이에 대한 신속 대응할 수 있다.In detail, it not only visualizes and displays threat hunting data, but also analyzes the degree of damage and damage path caused by a hypothetical social issue-type cyber target attack scenario, providing preparedness measures for the path that becomes the starting point of the attack and attack techniques. can do. In addition, it is not only possible to detect social issue-type cyber targeted attacks that have occurred in the past, but has already learned about attacks through hypothetical social issue-type cyber target attack scenarios that have not occurred yet, so if an actual attack occurs, can respond quickly.
즉, 다시 말하자면, 본 발명의 일 실시예에 따른 사회이슈형 사이버 표적공격의 대응을 위한 인공지능 기법을 위협 헌팅 시스템 및 그 방법은, 위협 헌터의 능력치에 따라서 생성되는 사이버 표적공격 시나리오를 활용하는 것이 아니라, 적대적 생성 신경망을 이용하여 실제 사회이슈형 사이버 표적공격과 유사한 가상의 사회이슈형 사이버 표적공격 시나리오를 생성하여 이를 통해서 위협 헌팅을 수행함으로써, 발생할 수 있는 사회이슈형 사이버 표적공격의 공격 취약점에 대한 선제적 대응을 수행할 수 있는 장점이 있다.In other words, the threat hunting system and method using artificial intelligence techniques for responding to social issue-type cyber targeted attacks according to an embodiment of the present invention utilize cyber targeted attack scenarios generated according to the capabilities of the threat hunter. Rather, by using an adversarial generative neural network to create a virtual social issue-type cyber target attack scenario similar to an actual social issue-type cyber target attack and performing threat hunting through it, the attack vulnerability of social issue-type cyber target attacks can occur. There is an advantage in being able to take preemptive action against .
이상과 같이 본 발명에서는 구체적인 구성 소자 등과 같은 특정 사항들과 한정된 실시예 도면에 의해 설명되었으나 이는 본 발명의 보다 전반적인 이해를 돕기 위해서 제공된 것 일 뿐, 본 발명은 상기의 일 실시예에 한정되는 것이 아니며, 본 발명이 속하는 분야에서 통상의 지식을 가진 자라면 이러한 기재로부터 다양한 수정 및 변형이 가능하다.As described above, the present invention has been described with reference to specific details such as specific components and drawings of limited embodiments, but this is only provided to facilitate a more general understanding of the present invention, and the present invention is not limited to the above-mentioned embodiment. No, those skilled in the art can make various modifications and variations from this description.
따라서, 본 발명의 사상은 설명된 실시예에 국한되어 정해져서는 아니 되며, 후술하는 특허 청구 범위뿐 아니라 이 특허 청구 범위와 균등하거나 등가적 변형이 있는 모든 것들은 본 발명 사상의 범주에 속한다고 할 것이다.Accordingly, the spirit of the present invention should not be limited to the described embodiments, and all matters that are equivalent or equivalent to the claims of this patent as well as the claims described below shall fall within the scope of the spirit of the present invention. .
100 : 과거 데이터 수집부
110 : 공격 수집부 120 : 키워드 수집부
130 : 사회이슈 수집부
200 : 학습 처리부
300 : 신규 데이터 수집부
400 : 공격 생성부
500 : 공격 수행부
600 : 결과 처리부
610 : 결과 수집부 620 : 결과 탐지부
700 : 위협 관리부100: Past data collection unit
110: Attack collection unit 120: Keyword collection unit
130: Social Issue Collection Department
200: Learning processing unit
300: New data collection unit
400: Attack generator
500: Attack execution unit
600: Result processing unit
610: Result collection unit 620: Result detection unit
700: Threat Management Department
Claims (8)
인공지능 알고리즘을 이용하여, 상기 과거 데이터 수집부(100)의 수집 데이터에 대한 학습 처리를 수행하는 학습 처리부(200);
실시간으로 소정 기간 동안 발생하는 키워드 데이터를 수집하는 신규 데이터 수집부(300);
상기 학습 처리부(200)에 의한 학습 모델에 상기 신규 데이터 수집부(300)의 수집 데이터를 적용하여, 가상의 사회이슈형 사이버 표적공격 시나리오를 생성하는 공격 생성부(400);
상기 공격 생성부(400)에 의해 생성한 상기 가상의 사회이슈형 사이버 표적공격 시나리오를 이용하여, 인공지능 기법을 이용한 위협 헌팅 시스템을 적용하여 사회이슈형 사이버 표적공격을 대응하고자 하는 기관의 운영 시스템에 공격 시뮬레이션을 수행하는 공격 수행부(500);
상기 운영 시스템으로부터, 상기 공격 수행부(500)의 공격 시뮬레이션에 의해 발생되는 관련 데이터를 수집하여 분석하는 결과 처리부(600); 및
상기 결과 처리부(600)에 의한 분석 결과를 이용하여, 상기 가상의 사회이슈형 사이버 표적공격 시나리오에 의한 사회이슈형 사이버 표적공격에 대한 위협 헌팅을 수행하는 위협 관리부(700);
를 포함하며,
상기 과거 데이터 수집부(100)는
과거 발생한 다수의 사이버 표적공격 관련 데이터를 수집하는 공격 수집부(110);
과거 각각의 사이버 표적공격이 발생한 시점을 기준으로 소정 기간 동안 나타난 키워드 데이터를 수집하는 키워드 수집부(120); 및
상기 키워드 수집부(120)의 수집 데이터를 분석하여, 키워드 데이터 간의 연관성 분석을 통한 그룹화를 수행하여, 사회이슈 데이터를 도출하는 사회이슈 수집부(130);
를 포함하고,
상기 학습 처리부(200)는
적대적 생성 신경망(GAN, Generative Adversarial Networks)을 이용하여, 상기 공격 수집부(110)에 의해 수집한 과거 발생한 다수의 사이버 표적공격 관련 데이터와 상기 사회이슈 수집부(130)에 의해 도출한 사회이슈 데이터를 입력받아, 적대적 반복 학습 처리를 수행하며,
상기 공격 생성부(400)는
상기 학습 처리부(200)를 통해서 생성된 학습 모델에 상기 신규 데이터 수집부(300)에 의해 실시간으로 소정 기간 동안 발생한 키워드 데이터를 입력하여, 과거 발생한 사이버 표적공격과 전략 및 테크닉이 유사하면서도 실제 발생하지 않은 가상의 사회이슈형 사이버 표적공격 시나리오를 생성하는, 사회이슈형 사이버 표적공격의 대응을 위한 인공지능 기법을 이용한 위협 헌팅 시스템.
A past data collection unit (100) that collects data related to social issue-type cyber targeting attacks that occurred in the past;
A learning processing unit 200 that performs learning processing on the data collected by the past data collection unit 100 using an artificial intelligence algorithm;
A new data collection unit 300 that collects keyword data generated over a predetermined period of time in real time;
An attack generation unit 400 that generates a virtual social issue-type cyber target attack scenario by applying the collected data of the new data collection unit 300 to the learning model by the learning processing unit 200;
An operating system for an organization that seeks to respond to a social issue-type cyber target attack by applying a threat hunting system using artificial intelligence techniques using the virtual social issue-type cyber target attack scenario generated by the attack generator 400. an attack execution unit 500 that performs attack simulation;
a result processing unit 600 that collects and analyzes related data generated by an attack simulation of the attack execution unit 500 from the operating system; and
a threat management unit 700 that performs threat hunting for a social issue-type cyber target attack based on the hypothetical social issue-type cyber target attack scenario using the analysis results of the result processing unit 600;
Includes,
The past data collection unit 100
An attack collection unit 110 that collects data related to numerous cyber-targeted attacks that occurred in the past;
a keyword collection unit 120 that collects keyword data that appears over a predetermined period of time based on the time when each cyber target attack occurred in the past; and
a social issue collection unit 130 that analyzes the data collected by the keyword collection unit 120, performs grouping through correlation analysis between keyword data, and derives social issue data;
Including,
The learning processing unit 200
Using Generative Adversarial Networks (GAN), data related to numerous cyber-targeted attacks that occurred in the past collected by the attack collection unit 110 and social issue data derived by the social issue collection unit 130 receives input and performs adversarial iterative learning processing,
The attack generator 400
By inputting keyword data generated over a predetermined period of time in real time by the new data collection unit 300 into the learning model created through the learning processing unit 200, the strategies and techniques are similar to cyber target attacks that have occurred in the past, but have not actually occurred. A threat hunting system using artificial intelligence techniques to respond to social issue-type cyber targeting attacks that generates hypothetical social issue-type cyber target attack scenarios.
상기 결과 처리부(600)는
상기 운영 시스템으로부터, 상기 공격 수행부(500)의 공격 시뮬레이션에 의해 발생되는 관련 데이터를 수집하는 결과 수집부(610); 및
상기 결과 수집부(610)의 수집 데이터를 분석하여, 가상의 사회이슈형 사이버 표적공격에 의한 위협 헌팅 데이터를 생성하는 결과 탐지부(620);
를 포함하는, 사회이슈형 사이버 표적공격의 대응을 위한 인공지능 기법을 이용한 위협 헌팅 시스템.
According to clause 1,
The result processing unit 600
a result collection unit 610 that collects related data generated by an attack simulation of the attack execution unit 500 from the operating system; and
a result detection unit 620 that analyzes the data collected by the result collection unit 610 and generates threat hunting data caused by a virtual social issue-type cyber target attack;
A threat hunting system using artificial intelligence techniques to respond to social issue-type cyber targeted attacks, including.
상기 위협 관리부(700)는
상기 결과 탐지부(620)의 위협 헌팅 데이터를 이용하여, 사회이슈형 사이버 표적공격을 방어하거나 또는, 사회이슈형 사이버 표적공격 발생 시 대응할 수 있는 정보를 생성하고, 생성한 정보를 기반으로 상기 운영 시스템의 관리를 수행하는, 사회이슈형 사이버 표적공격의 대응을 위한 인공지능 기법을 이용한 위협 헌팅 시스템.
According to clause 4,
The threat management unit 700
Using the threat hunting data of the result detection unit 620, information that can be used to defend against social issue-type cyber targeting attacks or respond to social issue-type cyber targeting attacks is generated, and the operation is performed based on the generated information. A threat hunting system using artificial intelligence techniques to manage the system and respond to social issue-type cyber targeted attacks.
과거 데이터 수집부에서, 과거 발생한 다수의 사이버 표적공격 관련 데이터를 수집하는 공격 데이터 수집 단계(S100);
과거 데이터 수집부에서, 상기 공격 데이터 수집 단계(S100)에 의한 각 사이버 표적공격이 발생한 시점을 기준으로 소정 기간 동안 나타난 키워드 데이터를 수집하는 키워드 데이터 수집 단계(S200);
과거 데이터 수집부에서, 상기 키워드 데이터 수집 단계(S200)에 의해 수집한 상기 키워드 데이터를 분석하여, 키워드 데이터 간의 연관성 분석을 통한 그룹화를 수행하여, 사회이슈 데이터를 도출하는 사회이슈 데이터 수집 단계(S300);
학습 처리부에서, 적대적 생성 신경망(GAN, Generative Adversarial Networks)으로 상기 공격 데이터 수집 단계(S100), 사회이슈 데이터 수집 단계(S300)에 의한 데이터들을 학습 데이터로 입력하여, 적대적 반복 학습 처리를 수행하여, 학습 모델을 생성하는 학습 처리 단계(S400);
신규 데이터 수집부에서, 실시간으로 소정 기간 동안 발생하는 키워드 데이터를 수집하는 신규 데이터 수집 단계(S500);
공격 생성부에서, 상기 학습 처리 단계(S400)에 의한 학습 모델에 상기 신규 데이터 수집 단계(S500)에 의한 키워드 데이터를 적용하여, 과거 발생한 사이버 표적공격과 전략 및 테크닉이 유사하면서도 실제 발생하지 않은 가상의 사회이슈형 사이버 표적공격 시나리오를 생성하는 공격 시나리오 생성 단계(S600);
공격 수행부에서, 상기 공격 시나리오 생성 단계(S600)에 의해 생성한 상기 가상의 사회이슈형 사이버 표적공격 시나리오를 이용하여, 인공지능 기법을 이용한 위협 헌팅 시스템을 적용하여 사회이슈형 사이버 표적공격을 대응하고자 하는 기관의 운영 시스템에 공격 시뮬레이션을 수행하는 공격 수행 단계(S700);
결과 처리부에서, 상기 공격 수행 단계(S700)에 의해 발생되는 관련 데이터를 수집하고, 수집 데이터들을 분석하여 가상의 사회이슈형 사이버 표적공격에 의한 위협 헌팅 데이터를 생성하는 결과 분석 단계(S800); 및
위협 관리부에서, 상기 결과 분석 단계(S800)에 의한 분석 결과를 이용하여, 상기 가상의 사회이슈형 사이버 표적공격 시나리오에 의한 사회이슈형 사이버 표적공격에 대한 위협 헌팅을 수행하는 위협 관리 단계(S900);
를 포함하는, 사회이슈형 사이버 표적공격의 대응을 위한 인공지능 기법을 이용한 위협 헌팅 방법.
In the threat hunting method using artificial intelligence techniques to respond to social issue-type cyber targeted attacks, where each step is performed by a threat hunting system using artificial intelligence techniques to respond to social issue-type cyber targeted attacks implemented by computers,
An attack data collection step (S100) in which the past data collection unit collects data related to a number of cyber-targeted attacks that occurred in the past;
In the past data collection unit, a keyword data collection step (S200) of collecting keyword data that appears over a predetermined period of time based on the time when each cyber target attack occurred in the attack data collection step (S100);
In the past data collection unit, the keyword data collected in the keyword data collection step (S200) is analyzed, grouping is performed through correlation analysis between keyword data, and social issue data is derived (S300) );
In the learning processing unit, the data from the attack data collection step (S100) and the social issue data collection step (S300) are input as learning data to Generative Adversarial Networks (GAN), and adversarial iterative learning processing is performed, A learning processing step (S400) that generates a learning model;
A new data collection step (S500) in which the new data collection unit collects keyword data generated over a predetermined period of time in real time;
In the attack generation unit, the keyword data from the new data collection step (S500) is applied to the learning model from the learning processing step (S400) to create a virtual target attack that is similar in strategy and technique to a cyber target attack that occurred in the past but did not actually occur. An attack scenario generation step (S600) that generates a social issue-type cyber target attack scenario;
In the attack execution unit, using the virtual social issue-type cyber target attack scenario created in the attack scenario creation step (S600), a threat hunting system using artificial intelligence techniques is applied to respond to social issue-type cyber target attacks. An attack execution step (S700) in which an attack simulation is performed on the operating system of the desired organization;
A result analysis step (S800) in which the result processing unit collects related data generated by the attack execution step (S700), analyzes the collected data, and generates threat hunting data by a virtual social issue-type cyber target attack; and
A threat management step (S900) in which the threat management department uses the analysis results from the result analysis step (S800) to perform threat hunting for a social issue-type cyber target attack based on the hypothetical social issue-type cyber target attack scenario. ;
A threat hunting method using artificial intelligence techniques to respond to social issue-type cyber targeted attacks, including.
상기 위협 관리 단계(S900)는
상기 결과 분석 단계(S800)에 의한 위협 헌팅 데이터를 이용하여, 사회이슈형 사이버 표적공격의 발생을 방어하거나 또는, 사회이슈형 사이버 표적공격 발생 시 대응할 수 있는 정보를 생성하고, 생성한 정보를 기반으로 관리를 수행하는, 사회이슈형 사이버 표적공격의 대응을 위한 인공지능 기법을 이용한 위협 헌팅 방법.
According to clause 6,
The threat management step (S900) is
Using the threat hunting data from the result analysis step (S800), information that can be used to prevent the occurrence of a social issue-type cyber targeted attack or to respond in the event of a social issue-type cyber targeted attack is generated, based on the generated information. A threat hunting method using artificial intelligence techniques to respond to social issue-type cyber targeted attacks, which is managed with
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020210178526A KR102592624B1 (en) | 2021-12-14 | 2021-12-14 | Threat hunting system and method for against social issue-based advanced persistent threat using artificial intelligence |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020210178526A KR102592624B1 (en) | 2021-12-14 | 2021-12-14 | Threat hunting system and method for against social issue-based advanced persistent threat using artificial intelligence |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| KR20230089822A KR20230089822A (en) | 2023-06-21 |
| KR102592624B1 true KR102592624B1 (en) | 2023-10-24 |
Family
ID=86989951
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020210178526A KR102592624B1 (en) | 2021-12-14 | 2021-12-14 | Threat hunting system and method for against social issue-based advanced persistent threat using artificial intelligence |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR102592624B1 (en) |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR102120232B1 (en) * | 2019-11-04 | 2020-06-16 | (주)유엠로직스 | Cyber targeted attack detect system and method using kalman-filter algorithm |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10812510B2 (en) * | 2018-01-12 | 2020-10-20 | The Boeing Company | Anticipatory cyber defense |
-
2021
- 2021-12-14 KR KR1020210178526A patent/KR102592624B1/en active IP Right Grant
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR102120232B1 (en) * | 2019-11-04 | 2020-06-16 | (주)유엠로직스 | Cyber targeted attack detect system and method using kalman-filter algorithm |
Non-Patent Citations (2)
| Title |
|---|
| Abdul Basit Ajmal et al., "Offensive Security: Towards Proactive Threat Hunting via Adversary Emulation"(2021.09.)* |
| Nidhi N. Sakhala, "Generation of Cyber Attack Data Using Generative Techniques"(2019.05.)* |
Also Published As
| Publication number | Publication date |
|---|---|
| KR20230089822A (en) | 2023-06-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Nguyen et al. | Design and implementation of intrusion detection system using convolutional neural network for DoS detection | |
| US7530105B2 (en) | Tactical and strategic attack detection and prediction | |
| US20220360597A1 (en) | Cyber security system utilizing interactions between detected and hypothesize cyber-incidents | |
| Babiker et al. | Web application attack detection and forensics: A survey | |
| Ahmed et al. | Network traffic pattern analysis using improved information theoretic co-clustering based collective anomaly detection | |
| Ju et al. | HeteMSD: a big data analytics framework for targeted cyber-attacks detection using heterogeneous multisource data | |
| Cohen et al. | DANTE: A framework for mining and monitoring darknet traffic | |
| Hwang et al. | Semi-supervised based unknown attack detection in EDR environment | |
| Gnatyuk et al. | Studies on Cloud-based Cyber Incidents Detection and Identification in Critical Infrastructure. | |
| Chun et al. | An empirical study of intelligent security analysis methods utilizing big data | |
| Kajal et al. | A hybrid approach for cyber security: improved intrusion detection system using Ann-Svm | |
| Sakthivelu et al. | Advanced Persistent Threat Detection and Mitigation Using Machine Learning Model. | |
| Amarasinghe et al. | AI based cyber threats and vulnerability detection, prevention and prediction system | |
| KR102562671B1 (en) | Threat hunting system and method for against social issue-based advanced persistent threat using genetic algorithm | |
| Patil et al. | Learning to Detect Phishing Web Pages Using Lexical and String Complexity Analysis | |
| KR102592624B1 (en) | Threat hunting system and method for against social issue-based advanced persistent threat using artificial intelligence | |
| EP4024252A1 (en) | A system and method for identifying exploited cves using honeypots | |
| CA3226148A1 (en) | Cyber security system utilizing interactions between detected and hypothesize cyber-incidents | |
| Parameswarappa et al. | A Machine Learning-Based Approach for Anomaly Detection for Secure Cloud Computing Environments | |
| Salih et al. | Cyber security: performance analysis and challenges for cyber attacks detection | |
| Rani et al. | Analysis of machine learning and deep learning intrusion detection system in Internet of Things network | |
| Penmatsa et al. | Web phishing detection: feature selection using rough sets and ant colony optimisation | |
| Cheng et al. | Correlate the advanced persistent threat alerts and logs for cyber situation comprehension | |
| Hussain et al. | An Enhanced Intelligent Intrusion Detection System to Secure E-Commerce Communication Systems | |
| Shirazi et al. | Attack pattern recognition through correlating cyber situational awareness in computer networks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| E902 | Notification of reason for refusal | ||
| E701 | Decision to grant or registration of patent right | ||
| GRNT | Written decision to grant |