KR102617150B1 - Device, method and program for preventing false positives based on artificial intelligence using rule filtering - Google Patents

Device, method and program for preventing false positives based on artificial intelligence using rule filtering Download PDF

Info

Publication number
KR102617150B1
KR102617150B1 KR1020220053308A KR20220053308A KR102617150B1 KR 102617150 B1 KR102617150 B1 KR 102617150B1 KR 1020220053308 A KR1020220053308 A KR 1020220053308A KR 20220053308 A KR20220053308 A KR 20220053308A KR 102617150 B1 KR102617150 B1 KR 102617150B1
Authority
KR
South Korea
Prior art keywords
log data
rule
false positive
security
artificial intelligence
Prior art date
Application number
KR1020220053308A
Other languages
Korean (ko)
Other versions
KR20230154339A (en
Inventor
서인덕
유재혁
이호중
Original Assignee
주식회사 이글루코퍼레이션
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 이글루코퍼레이션 filed Critical 주식회사 이글루코퍼레이션
Priority to KR1020220053308A priority Critical patent/KR102617150B1/en
Publication of KR20230154339A publication Critical patent/KR20230154339A/en
Priority to KR1020230185609A priority patent/KR20240000427A/en
Application granted granted Critical
Publication of KR102617150B1 publication Critical patent/KR102617150B1/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/028Capturing of monitoring data by filtering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/04Processing captured monitoring data, e.g. for logfile generation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Abstract

본 개시는 룰 필터링을 이용한 인공지능 기반의 오탐 방지 장치에 관한 것으로, 감시 대상 자산에 대한 인공지능 기반의 예측 데이터가 생성되면, 룰 필터를 적용하여 위협 여부를 예측하고, 예측 결과의 오탐 여부를 판별할 수 있다.This disclosure relates to an artificial intelligence-based false positive prevention device using rule filtering. When artificial intelligence-based prediction data for a monitored asset is generated, a rule filter is applied to predict whether there is a threat, and whether the prediction result is a false positive. It can be determined.

Description

룰 필터링을 이용한 인공지능 기반의 오탐 방지 장치, 방법 및 프로그램 {Device, method and program for preventing false positives based on artificial intelligence using rule filtering}Device, method and program for preventing false positives based on artificial intelligence using rule filtering}

본 개시는 오탐 방지 장치에 관한 것이다.This disclosure relates to a device for preventing false positives.

인터넷과 시스템의 발전으로 보안 관제 분야에도 많은 변화가 진행되고 있다.With the development of the Internet and systems, many changes are taking place in the security control field.

이러한 변화를 바탕으로 보안 관제에 필요한 데이터가 기하 급수적으로 발생하게 되고, 이로 인해 보안관제 요원들이 확인해야 할 데이터들이 방대하게 발생하고 사람이 모든 상황을 관제할 수 없는 상황에 이르렀다.Based on these changes, the data required for security control is generated exponentially, resulting in a large amount of data that security control agents need to check, leading to a situation where people cannot control all situations.

이러한 문제점을 해결할 수 있는 방법 중 하나로 AI의 필요성이 대두되고 있으며, 실제로 보안관제 분야에 AI를 도입하는 시도가 이뤄지고 있다.The need for AI is emerging as one of the ways to solve these problems, and attempts are actually being made to introduce AI into the security control field.

하지만, AI를 사용한 보안관제에서 방대한 데이터와 잘못된 학습데이터 등에 따른 부작용으로 AI의 예측 데이터가 오탐인 경우가 발생하게 되고, 이로 인해 보안 관제 요원들의 시간 소모가 많아지는 문제점이 발생하게 되었다.However, in security control using AI, side effects due to large amounts of data and incorrect learning data cause false positives in AI's predicted data, which causes the problem of increased time consumption for security control agents.

대한민국 등록특허 제10-1871406호, (2018.06.20)Republic of Korea Patent No. 10-1871406, (2018.06.20)

본 개시에 개시된 실시예는 룰 필터링을 이용한 인공지능 기반의 오탐 방지 장치를 제공하는데 그 목적이 있다.The purpose of the embodiment disclosed in this disclosure is to provide an artificial intelligence-based false positive prevention device using rule filtering.

또한, 본 개시에 개시된 실시예는 인공지능 기반의 오탐 예측에서 발생하는 오탐 발생 문제를 해결하고자 한다.In addition, the embodiment disclosed in the present disclosure seeks to solve the problem of false positives occurring in artificial intelligence-based false positive prediction.

본 개시가 해결하고자 하는 과제들은 이상에서 언급된 과제로 제한되지 않으며, 언급되지 않은 또 다른 과제들은 아래의 기재로부터 통상의 기술자에게 명확하게 이해될 수 있을 것이다.The problems to be solved by the present disclosure are not limited to the problems mentioned above, and other problems not mentioned can be clearly understood by those skilled in the art from the description below.

상술한 과제를 해결하기 위한 본 개시의 일 실시예에 따른 룰 필터링을 이용한 인공지능 기반의 오탐 방지 장치는, 보안 위험도에 따라 로그 데이터의 보안 등급을 분류하는 분류부; 기 설정된 적어도 하나의 보안 등급으로 분류된 로그 데이터를 분석하여 감시 대상 장비에 대한 보안 위협 여부를 예측하는 예측 모델; 상기 예측 모델을 통해 보안 위험상태로 예측된 제1 로그 데이터의 오탐 여부를 판별하기 위한 적어도 하나의 룰을 포함하는 룰 테이블이 저장된 메모리; 및 상기 적어도 하나의 룰을 기반으로, 상기 예측 결과의 오탐 여부를 판별하는 프로세서를 포함한다.An artificial intelligence-based false positive prevention device using rule filtering according to an embodiment of the present disclosure to solve the above-described problem includes: a classification unit that classifies the security level of log data according to security risk; A prediction model that predicts whether there is a security threat to the monitored equipment by analyzing log data classified into at least one preset security level; a memory storing a rule table including at least one rule for determining whether first log data predicted to be in a security risk state through the prediction model is a false positive; and a processor that determines whether the prediction result is a false positive based on the at least one rule.

또한, 상기 프로세서는, 상기 판별 결과를 기반으로, 상기 예측 모델을 통해 보안 위험상태로 예측된 로그 데이터 중에서 상기 오탐으로 판별된 로그 데이터를 제외한 제2 로그 데이터를 보안 관제 요원에게 제공할 수 있다.In addition, based on the determination result, the processor may provide the security control agent with second log data excluding the log data determined to be a false positive among the log data predicted to be in a security risk state through the prediction model.

또한, 상기 프로세서는, 기 설정된 특정 시간 동안 상기 예측 모델을 통해 보안 위험상태로 예측된 상기 제1 로그 데이터의 양을 산출하고, 상기 특정 시간 동안 상기 보안 관제 요원에게 제공된 상기 제2 로그 데이터의 양을 산출하고, 상기 산출된 제1 로그 데이터 및 제2 로그 데이터의 양을 기반으로 상기 룰 테이블의 효율도를 산출할 수 있다.In addition, the processor calculates the amount of the first log data predicted to be in a security risk state through the prediction model during a preset specific time, and the amount of the second log data provided to the security control agent during the specific time. and the efficiency of the rule table can be calculated based on the calculated amounts of first log data and second log data.

또한, 상기 특정 시간 동안 상기 보안 관제 요원에게 제공된 상기 제2 로그 데이터 중에서 상기 보안 관제 요원으로부터 보안 위험상태로 선택된 로그 데이터의 양을 기반으로, 상기 룰 테이블의 실질 효율도를 산출할 수 있다.In addition, the actual efficiency of the rule table can be calculated based on the amount of log data selected as a security risk state by the security control agent among the second log data provided to the security control personnel during the specific time.

또한, 상기 프로세서는, 상기 산출된 효율도 및 상기 산출된 실질 효율도 중 적어도 하나가 기 설정된 수치 이하인 경우, 상기 보안 관제 요원에게 상기 룰 테이블의 점검을 요청할 수 있다.Additionally, if at least one of the calculated efficiency and the calculated actual efficiency is less than or equal to a preset value, the processor may request the security control agent to check the rule table.

또한, 상기 프로세서는, 적어도 하나의 신규 룰이 수신되는 경우, 상기 룰 테이블에 포함된 적어도 하나의 룰과 상기 수신된 적어도 하나의 신규 룰을 룰 카테고리를 기반으로 비교하여 각 룰 카테고리의 룰 패턴 변경점 및 신규 룰 패턴 중 적어도 하나를 도출하고, 상기 도출된 룰 패턴 변경점 및 신규 룰 패턴을 기반으로 상기 예측 모델에 입력하기 위한 학습데이터를 생성할 수 있다.In addition, when at least one new rule is received, the processor compares at least one rule included in the rule table and the received at least one new rule based on rule categories to determine rule pattern changes in each rule category. and derive at least one of a new rule pattern, and generate learning data for input into the prediction model based on the derived rule pattern change point and the new rule pattern.

또한, 상기 감시 대상 장비의 보안 관련 로그 데이터를 실시간 분석하여 보안 위험도를 산출하는 위협 점수 산출부를 더 포함하고, 상기 분류부는 상기 산출된 보안 위험도에 따라 상기 로그 데이터의 보안 등급을 분류할 수 있다.In addition, it further includes a threat score calculation unit that calculates a security risk by analyzing security-related log data of the monitored equipment in real time, and the classification unit can classify the security level of the log data according to the calculated security risk.

또한, 상기 메모리는 상기 감시 대상 장비의 장비 종류에 따라 설정된 적어도 하나의 감시 요소에 대한 정보가 저장되어 있으며, 상기 예측 모델은 상기 분류된 로그 데이터를 분석하여 상기 감시 대상 장비에 대하여 설정된 적어도 하나의 감시 요소에 대한 위협 가능성이 존재하는 위험 인자 존재 여부를 판단함으로써, 상기 감시 대상 장비에 대한 보안 위협 여부를 예측할 수 있다.In addition, the memory stores information on at least one monitoring element set according to the equipment type of the monitoring target device, and the prediction model analyzes the classified log data to determine at least one monitoring element set for the monitoring target device. By determining whether a risk factor that poses a threat to the monitored element exists, it is possible to predict whether there is a security threat to the monitored equipment.

또한, 상술한 과제를 해결하기 위한 본 개시의 일 실시예에 따른 룰 필터링을 이용한 인공지능 기반의 오탐 방지 방법은, 오탐 방지 장치에 의해 수행되는 방법으로, 보안 위험도에 따라 감시 대상 장비에 대한 로그 데이터의 보안 등급을 분류하는 단계; 상기 분류된 로그 데이터를 분석하여 상기 감시 대상 장비에 대한 보안 위협 여부를 판단하는 단계; 및 예측 모델을 통해 보안 위험상태로 예측된 제1 로그 데이터의 오탐 여부를 판별하기 위한 적어도 하나의 룰을 기반으로, 상기 예측 결과의 오탐 여부를 판별하는 단계를 포함한다.In addition, the artificial intelligence-based false positive prevention method using rule filtering according to an embodiment of the present disclosure to solve the above-described problem is a method performed by a false positive prevention device, and logs of devices to be monitored according to security risk. Classifying the security level of data; Analyzing the classified log data to determine whether there is a security threat to the monitored equipment; and determining whether the prediction result is a false positive based on at least one rule for determining whether the first log data predicted to be in a security risk state through a prediction model is a false positive.

이 외에도, 본 개시를 구현하기 위한 실행하기 위한 컴퓨터 판독 가능한 기록 매체에 저장된 컴퓨터 프로그램이 더 제공될 수 있다.In addition to this, a computer program stored in a computer-readable recording medium for execution to implement the present disclosure may be further provided.

이 외에도, 본 개시를 구현하기 위한 방법을 실행하기 위한 컴퓨터 프로그램을 기록하는 컴퓨터 판독 가능한 기록 매체가 더 제공될 수 있다.In addition, a computer-readable recording medium recording a computer program for executing a method for implementing the present disclosure may be further provided.

본 개시의 전술한 과제 해결 수단에 의하면, 룰 필터링을 이용하여 인공지능 기반으로 오탐을 방지할 수 있는 효과를 제공한다.According to the means for solving the above-described problem of the present disclosure, the effect of preventing false positives based on artificial intelligence is provided using rule filtering.

또한, 본 개시의 전술한 과제 해결 수단에 의하면, 감시 대상 자산에 대한 인공지능 기반의 예측 데이터가 생성되면, 룰 필터를 적용하여 위협 여부를 예측하고, 예측 결과의 오탐 여부를 판별할 수 있다.In addition, according to the means for solving the above-described problem of the present disclosure, when artificial intelligence-based prediction data for an asset to be monitored is generated, it is possible to predict whether there is a threat by applying a rule filter and determine whether the prediction result is a false positive.

본 개시의 효과들은 이상에서 언급된 효과로 제한되지 않으며, 언급되지 않은 또 다른 효과들은 아래의 기재로부터 통상의 기술자에게 명확하게 이해될 수 있을 것이다.The effects of the present disclosure are not limited to the effects mentioned above, and other effects not mentioned may be clearly understood by those skilled in the art from the description below.

도 1은 종래에 보안관제 요원과 인공지능 모델이 보안 관제를 실시하던 것을 예시한 도면이다.
도 2는 본 개시의 실시예에 따른 룰 필터링을 이용한 인공지능 기반의 오탐 방지 장치의 개략도이다.
도 3은 본 개시의 실시예에 따른 룰 필터링을 이용한 인공지능 기반의 오탐 방지 시스템의 블록도이다.
도 4는 본 개시의 실시예에 따른 룰 필터링을 이용한 인공지능 기반의 오탐 방지 방법의 흐름도이다.
도 5는 개시의 실시예에 따른 룰 필터링을 이용한 인공지능 기반의 오탐 방지 장치의 작동을 예시한 도면이다.
도 6은 메모리에 장비 종류별로 설정된 룰이 저장된 것을 예시한 도면이다.
도 7은 감시 대상 장비에서 발생되는 로그 데이터에 대한 인공지능 모델의 단계별 동작을 예시한 도면이다.Figure 1 is a diagram illustrating the conventional way security control agents and artificial intelligence models performed security control.
Figure 2 is a schematic diagram of an artificial intelligence-based false positive prevention device using rule filtering according to an embodiment of the present disclosure.
Figure 3 is a block diagram of an artificial intelligence-based false positive prevention system using rule filtering according to an embodiment of the present disclosure.
Figure 4 is a flowchart of an artificial intelligence-based false positive prevention method using rule filtering according to an embodiment of the present disclosure.
Figure 5 is a diagram illustrating the operation of an artificial intelligence-based false positive prevention device using rule filtering according to an embodiment of the disclosure.
Figure 6 is a diagram illustrating that rules set for each equipment type are stored in memory.
Figure 7 is a diagram illustrating the step-by-step operation of an artificial intelligence model for log data generated from monitored equipment.

본 개시의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나, 본 개시는 이하에서 개시되는 실시예들에 제한되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시예들은 본 개시의 개시가 완전하도록 하고, 본 개시가 속하는 기술 분야의 통상의 기술자에게 본 개시의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 개시는 청구항의 범주에 의해 정의될 뿐이다.The advantages and features of the present disclosure and methods for achieving them will become clear by referring to the embodiments described in detail below along with the accompanying drawings. However, the present disclosure is not limited to the embodiments disclosed below and may be implemented in various different forms. The present embodiments are merely provided to ensure that the disclosure is complete and to provide a general understanding of the technical field to which the present disclosure pertains. It is provided to fully inform those skilled in the art of the scope of the present disclosure, and the present disclosure is defined only by the scope of the claims.

본 명세서에서 사용된 용어는 실시예들을 설명하기 위한 것이며 본 개시를 제한하고자 하는 것은 아니다. 본 명세서에서, 단수형은 문구에서 특별히 언급하지 않는 한 복수형도 포함한다. 명세서에서 사용되는 "포함한다(comprises)" 및/또는 "포함하는(comprising)"은 언급된 구성요소 외에 하나 이상의 다른 구성요소의 존재 또는 추가를 배제하지 않는다. 명세서 전체에 걸쳐 동일한 도면 부호는 동일한 구성 요소를 지칭하며, "및/또는"은 언급된 구성요소들의 각각 및 하나 이상의 모든 조합을 포함한다. 비록 "제1", "제2" 등이 다양한 구성요소들을 서술하기 위해서 사용되나, 이들 구성요소들은 이들 용어에 의해 제한되지 않음은 물론이다. 이들 용어들은 단지 하나의 구성요소를 다른 구성요소와 구별하기 위하여 사용하는 것이다. 따라서, 이하에서 언급되는 제1 구성요소는 본 개시의 기술적 사상 내에서 제2 구성요소일 수도 있음은 물론이다.The terminology used herein is for the purpose of describing embodiments and is not intended to limit the disclosure. As used herein, singular forms also include plural forms, unless specifically stated otherwise in the context. As used in the specification, “comprises” and/or “comprising” does not exclude the presence or addition of one or more other elements in addition to the mentioned elements. Like reference numerals refer to like elements throughout the specification, and “and/or” includes each and every combination of one or more of the referenced elements. Although “first”, “second”, etc. are used to describe various components, these components are of course not limited by these terms. These terms are merely used to distinguish one component from another. Therefore, it goes without saying that the first component mentioned below may also be the second component within the technical spirit of the present disclosure.

다른 정의가 없다면, 본 명세서에서 사용되는 모든 용어(기술 및 과학적 용어를 포함)는 본 개시가 속하는 기술분야의 통상의 기술자에게 공통적으로 이해될 수 있는 의미로 사용될 수 있을 것이다. 또한, 일반적으로 사용되는 사전에 정의되어 있는 용어들은 명백하게 특별히 정의되어 있지 않는 한 이상적으로 또는 과도하게 해석되지 않는다.Unless otherwise defined, all terms (including technical and scientific terms) used in this specification may be used with meanings commonly understood by those skilled in the art to which this disclosure pertains. Additionally, terms defined in commonly used dictionaries are not interpreted ideally or excessively unless clearly specifically defined.

도 1은 종래에 보안관제 요원과 인공지능 모델이 보안 관제를 실시하던 것을 예시한 도면이다.Figure 1 is a diagram illustrating the conventional way security control agents and artificial intelligence models performed security control.

도 1의 (A)를 참조하면, 종래 보안관제 분야에 인공지능 모델이 적용되기 전에 보안관제 요원이 감시 대상 장비의 로그 데이터를 직접 감시하여 보안관제를 수행하였으나, 데이터의 양이 점점 방대해지면서 사람이 직접 모든 보안관제를 수행하는 것에 어려움이 발생하고 있다.Referring to (A) in Figure 1, before artificial intelligence models were applied to the conventional security control field, security control personnel performed security control by directly monitoring log data of monitored equipment. However, as the amount of data became increasingly vast, human It is difficult to perform all security control directly.

도 1의 (B)를 참조하면, 인공지능 모델을 적용하여 감시 대상 장비의 로그 데이터를 감시하고 보안관제를 수행하고 있다.Referring to Figure 1 (B), an artificial intelligence model is applied to monitor log data of the monitored equipment and perform security control.

하지만, 보안 위협 여부를 판단하는 것은 단순하게 결정할 수 있는 것이 아니며, 인공지능 모델은 로그 데이터를 분석하여 보안 위협 여부를 판단할 때 케이스마다 별도로 정해진 룰이 없기 때문에 오탐이 자주 발생하고, 결국 보안관제 요원이 이중으로 체크해야 한다는 문제점이 있다.However, determining whether there is a security threat is not a simple decision, and artificial intelligence models do not have separate rules for each case when analyzing log data to determine whether there is a security threat, so false positives often occur, which ultimately leads to security control issues. The problem is that the agent has to double check.

본 개시의 발명자는 본 개시의 실시예에 따른 룰 필터링을 이용한 인공지능 기반의 오탐 방지 장치, 방법을 통해서 전술한 종래 기술의 문제점들을 해결하고자 한다.The inventor of the present disclosure seeks to solve the problems of the prior art described above through an artificial intelligence-based false positive prevention device and method using rule filtering according to an embodiment of the present disclosure.

도 2는 본 개시의 실시예에 따른 룰 필터링을 이용한 인공지능 기반의 오탐 방지 장치(100)의 개략도이다.Figure 2 is a schematic diagram of an artificial intelligence-based false positive prevention device 100 using rule filtering according to an embodiment of the present disclosure.

도 2를 참조하면, 본 개시의 실시예에 따른 룰 필터링을 이용한 인공지능 기반의 오탐 방지 장치(100)는 AI의 보안 감시, 보안 관제에 룰 필터(Rule Filter)를 적용하여 기존에 비하여 오탐 발생 확률을 현저하게 감소시키는 것이 예시되어 있다.Referring to FIG. 2, the artificial intelligence-based false positive prevention device 100 using rule filtering according to an embodiment of the present disclosure applies a rule filter to AI security monitoring and security control to reduce the occurrence of false positives compared to the existing device. Significantly reducing the probability is illustrated.

이하, 첨부된 도면을 참조하여 본 개시의 실시예를 상세하게 설명한다.Hereinafter, embodiments of the present disclosure will be described in detail with reference to the attached drawings.

도 3은 본 개시의 실시예에 따른 룰 필터링을 이용한 인공지능 기반의 오탐 방지 시스템(10)의 블록도이다.Figure 3 is a block diagram of an artificial intelligence-based false positive prevention system 10 using rule filtering according to an embodiment of the present disclosure.

도 4는 본 개시의 실시예에 따른 룰 필터링을 이용한 인공지능 기반의 오탐 방지 방법의 흐름도이다.Figure 4 is a flowchart of an artificial intelligence-based false positive prevention method using rule filtering according to an embodiment of the present disclosure.

도 3을 참조하면, 본 개시의 실시예에 따른 오탐 방지 장치(100)는 프로세서(110), 통신부(120), 분류부(130), 예측 모델(140), 메모리(150), 인공지능 모델(160) 및 통계 모듈(170)을 포함한다.Referring to FIG. 3, the false positive detection device 100 according to an embodiment of the present disclosure includes a processor 110, a communication unit 120, a classification unit 130, a prediction model 140, a memory 150, and an artificial intelligence model. (160) and statistical module (170).

다만, 몇몇 실시예에서 오탐 방지 장치(100)는 도 3에 도시된 구성요소보다 더 적은 수의 구성요소나 더 많은 구성요소를 포함할 수도 있다.However, in some embodiments, the false positive detection device 100 may include fewer or more components than those shown in FIG. 3 .

통신부(120)는 오탐 방지 장치(100)의 감시 대상으로 설정된 감시 대상 장비의 로그 데이터를 실시간으로 수신하거나 실시간으로 로딩할 수 있다.The communication unit 120 may receive or load log data of monitoring target equipment set as a monitoring target of the false positive detection device 100 in real time.

분류부(130)는 보안 위험도에 따라 로그 데이터의 보안 등급을 분류할 수 있다.The classification unit 130 may classify the security level of log data according to the security risk.

예측 모델(140)은 기 설정된 적어도 하나의 보안 등급으로 분류된 로그 데이터를 분석하여 감시 대상 장비에 대한 보안 위협 여부를 예측한다.The prediction model 140 predicts whether there is a security threat to the monitored equipment by analyzing log data classified into at least one preset security level.

이때, 예측 모델(140)은 딥러닝, 머신러닝 등을 통해 학습된 인공지능 모델(160)이 적용될 수 있다.At this time, the prediction model 140 may be an artificial intelligence model 160 learned through deep learning, machine learning, etc.

메모리(150)는 적어도 하나의 룰을 포함하는 룰 테이블이 저장되어 있다.The memory 150 stores a rule table including at least one rule.

본 개시의 실시예에 따른 오탐 방지 장치(100)는 인공지능 기반의 예측 모델(140)을 이용하여 로그 데이터를 분석하여 감시 대상 장비의 보안 위협 여부를 판단한다.The false positive detection device 100 according to an embodiment of the present disclosure analyzes log data using an artificial intelligence-based prediction model 140 to determine whether the monitored equipment poses a security threat.

이러한 인공지능 기반의 예측 모델(140)은 사람(보안 관제 요원)이 직접하는 것보다 빠르게 판단할 수 있지만, 오탐 발생 확률이 급격하게 증가한다는 문제점이 있다.This artificial intelligence-based prediction model 140 can make decisions faster than those made by humans (security control personnel), but it has the problem that the probability of false positives rapidly increases.

본 개시의 실시예에서 룰(Rule)은 인공지능 기반의 예측 모델(140)이 감시 대상 장비에 대하여 보안 위험상태로 예측한 로그 데이터의 오탐 여부를 판별하기 위한 것이다.In the embodiment of the present disclosure, the rule is used to determine whether log data predicted by the artificial intelligence-based prediction model 140 to be in a security risk state for the monitored equipment is a false positive.

따라서, 개시된 실시예에서 프로세서(110)는 인공지능 모델(160)을 이용하여 룰 필터링(Rule Filtering) 작업을 진행함으로써 오탐을 필터링하여 보안 관제 요원에게 보안 위협에 관한 정보를 제공하게 된다.Therefore, in the disclosed embodiment, the processor 110 performs rule filtering using the artificial intelligence model 160 to filter out false positives and provide information about security threats to security control agents.

메모리(150)는 본 개시의 실시예에 따른 오탐 방지 방법을 실행하기 위한 각종 명령어, 알고리즘 등이 저장되어 있으며, 인공지능 모델(160)이 저장될 수도 있다.The memory 150 stores various commands, algorithms, etc. for executing the false positive prevention method according to an embodiment of the present disclosure, and may also store an artificial intelligence model 160.

또한, 메모리(150)는 인공지능 모델(160)을 학습, 업그레이드하기 위한 각종 학습데이터가 저장될 수도 있다.Additionally, the memory 150 may store various learning data for learning and upgrading the artificial intelligence model 160.

통계 모듈(170)은 오탐 방지 장치(100)의 룰 필터링 효율, 성능 등을 산출하여 통계 정보를 생성할 수 있다.The statistical module 170 may generate statistical information by calculating the rule filtering efficiency and performance of the false positive detection device 100.

프로세서(110)는 오탐 방지 장치(100) 내 구성들의 제어를 담당하며, 메모리(150)에 저장되어 있는 명령어, 알고리즘을 실행하여 오탐 방지 방법, 프로그램을 실행할 수 있다.The processor 110 is responsible for controlling the components within the false positive detection device 100 and can execute false positive prevention methods and programs by executing instructions and algorithms stored in the memory 150.

도 4는 본 개시의 실시예에 따른 룰 필터링을 이용한 인공지능 기반의 오탐 방지 방법의 흐름도이다.Figure 4 is a flowchart of an artificial intelligence-based false positive prevention method using rule filtering according to an embodiment of the present disclosure.

도 5는 개시의 실시예에 따른 룰 필터링을 이용한 인공지능 기반의 오탐 방지 장치(100)의 작동을 예시한 도면이다.FIG. 5 is a diagram illustrating the operation of the artificial intelligence-based false positive prevention device 100 using rule filtering according to an embodiment of the disclosure.

도 6은 메모리(150)에 장비 종류별로 설정된 룰이 저장된 것을 예시한 도면이다.Figure 6 is a diagram illustrating that rules set for each equipment type are stored in the memory 150.

도 7은 감시 대상 장비에서 발생되는 로그 데이터에 대한 인공지능 모델(160)의 단계별 동작을 예시한 도면이다.Figure 7 is a diagram illustrating the step-by-step operation of the artificial intelligence model 160 for log data generated from monitored equipment.

아래에서 도 4의 흐름도와 다른 도면들을 함께 참조하여 본 개시의 실시예에 따른 오탐 방지 장치(100), 방법에 대해서 설명하도록 한다.Below, the false positive detection device 100 and method according to an embodiment of the present disclosure will be described with reference to the flowchart of FIG. 4 and other drawings.

프로세서(110)가 분류부(130)를 제어하여 보안 위험도에 따라 감시 대상 장비에 대한 로그 데이터의 보안 등급을 분류한다. (S100)The processor 110 controls the classification unit 130 to classify the security level of log data for the monitored equipment according to the security risk. (S100)

본 개시의 실시예에 따른 오탐 방지 장치(100)는 감시 대상 장비의 보안 관련 로그 데이터를 실시간 분석하여 보안 위험도를 산출하는 위협 점수 산출부를 더 포함할 수 있다.The false positive detection device 100 according to an embodiment of the present disclosure may further include a threat score calculation unit that calculates the security risk by analyzing security-related log data of the monitored equipment in real time.

일 실시예로, 메모리(150)는 감시 대상 장비의 장비 종류에 따라 설정된 적어도 하나의 감시 요소에 대한 정보가 저장되어 있다.In one embodiment, the memory 150 stores information on at least one monitoring element set according to the type of equipment to be monitored.

이러한 감시 요소 정보는 감시 대상 장비가 감시하는 타겟, 목적, 주의점 등을 의미하며, 감시 대상 장비의 보안 등급, 보안 중요도, 보안 위험도 중 적어도 하나를 결정하는 요소로 작용할 수 있다.This monitoring element information refers to the target, purpose, and precautions monitored by the monitored equipment, and can serve as a factor in determining at least one of the security level, security importance, and security risk of the monitored equipment.

도 6을 참조하면, 메모리(150)에 장비 종류별로 분류된 룰셋(Rule Set)이 저장된 것이 예시되다.Referring to FIG. 6, it is exemplified that a rule set classified by equipment type is stored in the memory 150.

이는, 오탐 방지 장치(100)가 관리하는 감시 대상 장비의 종류에 따라 분류된 것을 예시한 것이다.This is an example of classification according to the type of monitoring target equipment managed by the false positive detection device 100.

하지만, 룰셋의 분류는 이에 한정되지 않으며, 감시 대상 장비의 종류, 보안 등급 및 감시 요소 정보 중 적어도 하나를 기반으로 분류되어 보다 상세하게 오탐 여부를 판별할 수도 있다.However, the classification of the ruleset is not limited to this, and may be classified based on at least one of the type of equipment to be monitored, security level, and monitoring element information to determine whether false positives are detected in more detail.

프로세서(110)가 S100에서 분류된 로그 데이터를 분석하여, 감시 대상 장비에 대한 보안 위협 여부를 판단한다. (S200)The processor 110 analyzes the log data classified in S100 and determines whether there is a security threat to the monitored equipment. (S200)

프로세서(110)가 예측 모델(140)을 통해 보안 위험상태로 예측된 제1 로그 데이터의 오탐 여부를 판별하기 위한 적어도 하나의 룰을 기반으로, S200의 예측 결과의 오탐 여부를 판별한다. (S300)The processor 110 determines whether the prediction result of S200 is a false positive based on at least one rule for determining whether the first log data predicted to be in a security risk state through the prediction model 140 is a false positive. (S300)

상세하게는, 프로세서(110)는 인공지능 기반의 예측 모델(140)을 이용하여 S100에서 분류된 로그 데이터를 분석하여 감시 대상 장비에 대한 보안 위협이 있는지 여부를 예측한다.In detail, the processor 110 analyzes the log data classified in S100 using the artificial intelligence-based prediction model 140 to predict whether there is a security threat to the monitored equipment.

일 실시예로, 예측 모델(140)은 S100에서 분류된 로그 데이터를 분석하는 과정에서 In one embodiment, the prediction model 140 is used in the process of analyzing log data classified in S100.

S300에서 프로세서(110)는 인공지능 모델(160)을 이용하여 적어도 하나의 룰을 기반으로 S200 예측 결과의 오탐 여부를 판별하며, 이때 예측 결과에 해당하는 감시 대상 장비의 보안 등급도 고려하여 오탐 여부를 판별할 수 있다.In S300, the processor 110 uses the artificial intelligence model 160 to determine whether the S200 prediction result is a false positive based on at least one rule. At this time, the security level of the monitored equipment corresponding to the predicted result is also considered to determine whether it is a false positive. can be determined.

일 실시예로, 메모리(150)에는 기 설정된 시간 이상 (장시간) 누적된 감시 대상 장비 종류별 평균 오탐 발생률이 저장되어 있으며, 몇몇 실시예에서 시간대별 평균 오탐 발생률이 저장되어 있을 수도 있다.In one embodiment, the memory 150 stores the average false positive rate for each type of monitored equipment accumulated over a preset time (long time), and in some embodiments, the average false positive rate for each time period may be stored.

프로세서(110)는 인공지능 모델(160)을 이용하여 적어도 하나의 룰을 기반으로 S200 예측 결과의 오탐 여부를 판별할 때, 예측 결과에 해당하는 감시 대상 장비의 평균 오탐 발생률을 참고하여 오탐 여부를 판별할 수 있다.When the processor 110 uses the artificial intelligence model 160 to determine whether the S200 prediction result is a false positive based on at least one rule, it determines whether the S200 prediction result is a false positive by referring to the average false positive rate of the monitored equipment corresponding to the predicted result. It can be determined.

몇몇 실시예에서, 프로세서(110)는 현재 시간을 더 고려하여 오탐 여부를 판별할 수 있다.In some embodiments, the processor 110 may further consider the current time to determine whether a false positive is present.

프로세서(110)는 S300의 판별 결과를 기반으로, 예측 모델(140)을 통해 보안 위험 상태로 예측된 로그 데이터 중에서 오탐으로 판별된 로그 데이터를 제외한 제2 로그 데이터를 보안 관제 요원에게 제공한다.Based on the determination result of S300, the processor 110 provides the security control agent with second log data excluding the log data determined to be a false positive among the log data predicted to be a security risk state through the prediction model 140.

이때, 프로세서(110)는 오탐 방지 장치(100)의 출력수단(예: 영상, 음성 등)을 통해서 제2 로그 데이터를 출력할 수도 있고, 통신부(120)를 통해 보안 관제 요원의 단말로 전송하여 제공할 수도 있다.At this time, the processor 110 may output the second log data through the output means (e.g., video, voice, etc.) of the false positive detection device 100, and transmit it to the terminal of the security control agent through the communication unit 120. You can also provide it.

프로세서(110)는 기 설정된 특정 시간 동안 예측 모델(140)을 통해 보안 위험상태로 예측된 제1 로그 데이터의 양을 산출한다.The processor 110 calculates the amount of first log data predicted to be in a security risk state through the prediction model 140 during a preset specific time.

프로세서(110)는 기 설정된 특정 시간 동안 보안 관제 요원에게 제공된 제2 로그 데이터의 양을 산출한다.The processor 110 calculates the amount of second log data provided to the security control personnel during a specific preset time.

그리고, 프로세서(110)는 산출된 제1 로그 데이터 및 산출된 제2 로그 데이터의 양을 기반으로 룰 테이블의 효율도를 산출할 수 있다.Additionally, the processor 110 may calculate the efficiency of the rule table based on the amount of calculated first log data and calculated second log data.

일 실시예로, 프로세서(110)는 제2 로그 데이터를 보안 관제 요원에게 제공한 후, 보안 관제 요원으로부터 제2 로그 데이터가 감시 대상 장비의 위험상태가 맞는지 여부를 판단 요청하고, 보안 관제 요원의 판단 결과를 수신할 수 있다.In one embodiment, the processor 110 provides the second log data to the security control agent, then requests the security control agent to determine whether the second log data corresponds to the dangerous state of the monitored equipment, and the security control agent The judgment result can be received.

일 실시예로, 프로세서(110)는 특정 시간 동안 보안 관제 요원에게 제공된 제2 로그 데이터 중에서 보안 관제 요원으로부터 보안 위험상태로 선택된 로그 데이터의 양을 기반으로 룰 테이블의 실질 효율도를 산출할 수 있다.In one embodiment, the processor 110 may calculate the actual efficiency of the rule table based on the amount of log data selected as a security risk state by the security control agent among the second log data provided to the security control personnel during a specific time. .

전술한 룰 테이블의 효율도는 프로세서(110)가 산출하는 수치상의 효율도였다면, 룰 테이블의 실질 효율도는 보안 관제 요원으로부터 수신된 피드백 정보를 함께 이용하여 판단된 실질적인 효율도를 의미할 수 있다.If the efficiency of the rule table described above was a numerical efficiency calculated by the processor 110, the actual efficiency of the rule table may mean the actual efficiency determined by using feedback information received from security control personnel. .

일 실시예로, 프로세서(110)는 산출된 효율도 미 산출된 실질 효율도 중 적어도 하나가 기 설정된 수치 이하인 경우, 보안 관제 요원에게 룰 테이블의 점검을 요청할 수 있다.In one embodiment, the processor 110 may request a security control agent to check the rule table when at least one of the calculated efficiency and the uncalculated actual efficiency is less than or equal to a preset value.

일 실시예로, 프로세서(110)는 적어도 하나의 신규 룰이 수신되는 경우, 룰 테이블에 포함된 적어도 하나의 룰과 수신된 적어도 하나의 신규 룰을 룰 카테고리(종류)를 기반으로 비교하여 각 룰 카테고리의 룰 패턴 변경점 및 신규 룰 패턴 중 적어도 하나를 도출할 수 있다.In one embodiment, when at least one new rule is received, the processor 110 compares at least one rule included in the rule table and at least one new rule received based on the rule category (type) to determine each rule. At least one of a category's rule pattern change and a new rule pattern can be derived.

그리고, 프로세서(110)는 도출된 룰 패턴 변경점 및 신규 룰 패턴을 기반으로 예측 모델(140)에 입력하기 위한 학습 데이터를 생성할 수 있다.Additionally, the processor 110 may generate learning data to be input into the prediction model 140 based on the derived rule pattern changes and new rule patterns.

일 실시예로, 프로세서(110)는 감시 대상 장비의 추가, 변경 및 업데이트 중 적어도 하나가 감지되는 경우, 감지 결과를 기반으로 룰 테이블 내 적어도 하나의 룰 중에서 확인이 필요한 룰의 존재 여부를 체크할 수 있다.In one embodiment, when at least one of the addition, change, and update of the monitored equipment is detected, the processor 110 checks whether a rule that needs to be confirmed exists among at least one rule in the rule table based on the detection result. You can.

이상에서 전술한 본 개시의 일 실시예에 따른 방법은, 하드웨어인 서버와 결합되어 실행되기 위해 프로그램(또는 어플리케이션)으로 구현되어 매체에 저장될 수 있다.The method according to an embodiment of the present disclosure described above may be implemented as a program (or application) and stored in a medium in order to be executed in combination with a server, which is hardware.

상기 전술한 프로그램은, 상기 컴퓨터가 프로그램을 읽어 들여 프로그램으로 구현된 상기 방법들을 실행시키기 위하여, 상기 컴퓨터의 프로세서(CPU)가 상기 컴퓨터의 장치 인터페이스를 통해 읽힐 수 있는 C, C++, JAVA, 기계어 등의 컴퓨터 언어로 코드화된 코드(Code)를 포함할 수 있다. 이러한 코드는 상기 방법들을 실행하는 필요한 기능들을 정의한 함수 등과 관련된 기능적인 코드(Functional Code)를 포함할 수 있고, 상기 기능들을 상기 컴퓨터의 프로세서가 소정의 절차대로 실행시키는데 필요한 실행 절차 관련 제어 코드를 포함할 수 있다. 또한, 이러한 코드는 상기 기능들을 상기 컴퓨터의 프로세서가 실행시키는데 필요한 추가 정보나 미디어가 상기 컴퓨터의 내부 또는 외부 메모리의 어느 위치(주소 번지)에서 참조되어야 하는지에 대한 메모리 참조관련 코드를 더 포함할 수 있다. 또한, 상기 컴퓨터의 프로세서가 상기 기능들을 실행시키기 위하여 원격(Remote)에 있는 어떠한 다른 컴퓨터나 서버 등과 통신이 필요한 경우, 코드는 상기 컴퓨터의 통신 모듈을 이용하여 원격에 있는 어떠한 다른 컴퓨터나 서버 등과 어떻게 통신해야 하는지, 통신 시 어떠한 정보나 미디어를 송수신해야 하는지 등에 대한 통신 관련 코드를 더 포함할 수 있다.The above-mentioned program is C, C++, JAVA, machine language, etc. that can be read by the processor (CPU) of the computer through the device interface of the computer in order for the computer to read the program and execute the methods implemented in the program. It may include code coded in a computer language. These codes may include functional codes related to functions that define the necessary functions for executing the methods, and include control codes related to execution procedures necessary for the computer's processor to execute the functions according to predetermined procedures. can do. In addition, these codes may further include memory reference-related codes that indicate at which location (address address) in the computer's internal or external memory additional information or media required for the computer's processor to execute the above functions should be referenced. there is. In addition, if the computer's processor needs to communicate with any other remote computer or server in order to execute the above functions, the code uses the computer's communication module to determine how to communicate with any other remote computer or server. It may further include communication-related codes regarding whether communication should be performed and what information or media should be transmitted and received during communication.

상기 저장되는 매체는, 레지스터, 캐쉬, 메모리 등과 같이 짧은 순간 동안 데이터를 저장하는 매체가 아니라 반영구적으로 데이터를 저장하며, 기기에 의해 판독(reading)이 가능한 매체를 의미한다. 구체적으로는, 상기 저장되는 매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 플로피디스크, 광 데이터 저장장치 등이 있지만, 이에 제한되지 않는다. 즉, 상기 프로그램은 상기 컴퓨터가 접속할 수 있는 다양한 서버 상의 다양한 기록매체 또는 사용자의 상기 컴퓨터상의 다양한 기록매체에 저장될 수 있다. 또한, 상기 매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어, 분산방식으로 컴퓨터가 읽을 수 있는 코드가 저장될 수 있다.The storage medium refers to a medium that stores data semi-permanently and can be read by a device, rather than a medium that stores data for a short period of time, such as a register, cache, or memory. Specifically, examples of the storage medium include ROM, RAM, CD-ROM, magnetic tape, floppy disk, optical data storage device, etc., but are not limited thereto. That is, the program may be stored in various recording media on various servers that the computer can access or on various recording media on the user's computer. Additionally, the medium may be distributed to computer systems connected to a network, and computer-readable code may be stored in a distributed manner.

본 개시의 실시예와 관련하여 설명된 방법 또는 알고리즘의 단계들은 하드웨어로 직접 구현되거나, 하드웨어에 의해 실행되는 소프트웨어 모듈로 구현되거나, 또는 이들의 결합에 의해 구현될 수 있다. 소프트웨어 모듈은 RAM(Random Access Memory), ROM(Read Only Memory), EPROM(Erasable Programmable ROM), EEPROM(Electrically Erasable Programmable ROM), 플래시 메모리(Flash Memory), 하드 디스크, 착탈형 디스크, CD-ROM, 또는 본 개시가 속하는 기술 분야에서 잘 알려진 임의의 형태의 컴퓨터 판독가능 기록매체에 상주할 수도 있다.The steps of the method or algorithm described in connection with the embodiments of the present disclosure may be implemented directly in hardware, implemented as a software module executed by hardware, or a combination thereof. The software module may be RAM (Random Access Memory), ROM (Read Only Memory), EPROM (Erasable Programmable ROM), EEPROM (Electrically Erasable Programmable ROM), Flash Memory, hard disk, removable disk, CD-ROM, or It may reside on any type of computer-readable recording medium well known in the art to which this disclosure pertains.

이상, 첨부된 도면을 참조로 하여 본 개시의 실시예를 설명하였지만, 본 개시가 속하는 기술분야의 통상의 기술자는 본 개시가 그 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 실시될 수 있다는 것을 이해할 수 있을 것이다. 그러므로, 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며, 제한적이 아닌 것으로 이해해야만 한다.Above, embodiments of the present disclosure have been described with reference to the attached drawings, but those skilled in the art will understand that the present disclosure can be implemented in other specific forms without changing its technical idea or essential features. You will be able to understand it. Therefore, the embodiments described above should be understood in all respects as illustrative and not restrictive.

10: 오탐 방지 시스템
100: 오탐 방지 장치
110: 프로세서
120: 통신부
130: 분류부
140: 예측 모델
150: 메모리
160: 인공지능 모델
170: 통계 모듈10: False positive prevention system
100: False positive prevention device
110: processor
120: Department of Communications
130: Classification department
140: Prediction model
150: memory
160: Artificial intelligence model
170: Statistics module

Claims (10)

보안 위험도에 따라 로그 데이터의 보안 등급을 분류하는 분류부;
기 설정된 적어도 하나의 보안 등급으로 분류된 로그 데이터를 분석하여 감시 대상 장비에 대한 보안 위협 여부를 예측하는 예측 모델;
상기 예측 모델을 통해 보안 위험상태로 예측된 제1 로그 데이터의 오탐 여부를 판별하기 위한 적어도 하나의 룰을 포함하는 룰 테이블이 저장된 메모리; 및
상기 적어도 하나의 룰을 기반으로, 상기 예측 결과의 오탐 여부를 판별하는 프로세서를 포함하고,
상기 프로세서는,
상기 판별 결과를 기반으로, 상기 예측 모델을 통해 보안 위험상태로 예측된 로그 데이터 중에서 상기 오탐으로 판별된 로그 데이터를 제외한 제2 로그 데이터를 보안 관제 요원에게 제공하고,
기 설정된 특정 시간 동안 상기 예측 모델을 통해 보안 위험상태로 예측된 상기 제1 로그 데이터의 양을 산출하고,
상기 특정 시간 동안 상기 보안 관제 요원에게 제공된 상기 제2 로그 데이터의 양을 산출하고,
상기 산출된 제1 로그 데이터 및 제2 로그 데이터의 양을 기반으로 상기 룰 테이블의 효율도를 산출하는 것을 특징으로 하는,
룰 필터링을 이용한 인공지능 기반의 오탐 방지 장치.
A classification unit that classifies the security level of log data according to security risk;
A prediction model that predicts whether there is a security threat to the monitored equipment by analyzing log data classified into at least one preset security level;
a memory storing a rule table including at least one rule for determining whether first log data predicted to be in a security risk state through the prediction model is a false positive; and
A processor that determines whether the prediction result is a false positive based on the at least one rule,
The processor,
Based on the determination result, providing second log data excluding the log data determined as a false positive among the log data predicted to be in a security risk state through the prediction model to the security control agent,
Calculating the amount of the first log data predicted to be in a security risk state through the prediction model during a preset specific time,
Calculating the amount of the second log data provided to the security control personnel during the specific time,
Characterized in calculating the efficiency of the rule table based on the calculated amounts of first log data and second log data,
Artificial intelligence-based false positive prevention device using rule filtering.
 삭제delete 삭제delete 제1항에 있어서,
상기 특정 시간 동안 상기 보안 관제 요원에게 제공된 상기 제2 로그 데이터 중에서 상기 보안 관제 요원으로부터 보안 위험상태로 선택된 로그 데이터의 양을 기반으로, 상기 룰 테이블의 실질 효율도를 산출하는 것을 특징으로 하는,
룰 필터링을 이용한 인공지능 기반의 오탐 방지 장치.
According to paragraph 1,
Characterized in calculating the actual efficiency of the rule table based on the amount of log data selected as a security risk state by the security control agent among the second log data provided to the security control agent during the specific time.
Artificial intelligence-based false positive prevention device using rule filtering.
 제4항에 있어서,
상기 프로세서는,
상기 산출된 효율도 및 상기 산출된 실질 효율도 중 적어도 하나가 기 설정된 수치 이하인 경우, 상기 보안 관제 요원에게 상기 룰 테이블의 점검을 요청하는 것을 특징으로 하는,
룰 필터링을 이용한 인공지능 기반의 오탐 방지 장치.
According to paragraph 4,
The processor,
When at least one of the calculated efficiency and the calculated actual efficiency is less than or equal to a preset value, requesting the security control agent to check the rule table,
Artificial intelligence-based false positive prevention device using rule filtering.
 제1항에 있어서,
상기 프로세서는,
적어도 하나의 신규 룰이 수신되는 경우,
상기 룰 테이블에 포함된 적어도 하나의 룰과 상기 수신된 적어도 하나의 신규 룰을 룰 카테고리를 기반으로 비교하여 각 룰 카테고리의 룰 패턴 변경점 및 신규 룰 패턴 중 적어도 하나를 도출하고,
상기 도출된 룰 패턴 변경점 및 신규 룰 패턴을 기반으로 상기 예측 모델에 입력하기 위한 학습데이터를 생성하는 것을 특징으로 하는,
룰 필터링을 이용한 인공지능 기반의 오탐 방지 장치.
According to paragraph 1,
The processor,
If at least one new rule is received,
Compare at least one rule included in the rule table and the at least one new rule received based on the rule category to derive at least one of a rule pattern change point and a new rule pattern for each rule category,
Characterized in generating learning data for input into the prediction model based on the derived rule pattern changes and new rule patterns,
Artificial intelligence-based false positive prevention device using rule filtering.
 제1항에 있어서,
상기 감시 대상 장비의 보안 관련 로그 데이터를 실시간 분석하여 보안 위험도를 산출하는 위협 점수 산출부를 더 포함하고,
상기 분류부는 상기 산출된 보안 위험도에 따라 상기 로그 데이터의 보안 등급을 분류하는 것을 특징으로 하는,
룰 필터링을 이용한 인공지능 기반의 오탐 방지 장치.
According to paragraph 1,
It further includes a threat score calculation unit that calculates a security risk level by analyzing security-related log data of the monitored equipment in real time,
The classification unit classifies the security level of the log data according to the calculated security risk,
Artificial intelligence-based false positive prevention device using rule filtering.
 제1항에 있어서,
상기 메모리는 상기 감시 대상 장비의 장비 종류에 따라 설정된 적어도 하나의 감시 요소에 대한 정보가 저장되어 있으며,
상기 예측 모델은 상기 분류된 로그 데이터를 분석하여 상기 감시 대상 장비에 대하여 설정된 적어도 하나의 감시 요소에 대한 위협 가능성이 존재하는 위험 인자 존재 여부를 판단함으로써, 상기 감시 대상 장비에 대한 보안 위협 여부를 예측하는 것을 특징으로 하는,
룰 필터링을 이용한 인공지능 기반의 오탐 방지 장치.
According to paragraph 1,
The memory stores information about at least one monitoring element set according to the equipment type of the monitoring target equipment,
The prediction model predicts whether there is a security threat to the monitored device by analyzing the classified log data and determining whether there is a risk factor that may pose a threat to at least one monitoring element set for the monitored device. Characterized in that,
Artificial intelligence-based false positive prevention device using rule filtering.
 오탐 방지 장치에 의해 수행되는 방법으로,
보안 위험도에 따라 감시 대상 장비에 대한 로그 데이터의 보안 등급을 분류하는 단계;
상기 분류된 로그 데이터를 분석하여 상기 감시 대상 장비에 대한 보안 위협 여부를 판단하는 단계; 및
예측 모델을 통해 보안 위험상태로 예측된 제1 로그 데이터의 오탐 여부를 판별하기 위한 적어도 하나의 룰을 기반으로, 상기 예측 결과의 오탐 여부를 판별하는 단계를 포함하며,
상기 오탐 방지 장치는,
상기 판별 결과를 기반으로, 상기 예측 모델을 통해 보안 위험상태로 예측된 로그 데이터 중에서 상기 오탐으로 판별된 로그 데이터를 제외한 제2 로그 데이터를 보안 관제 요원에게 제공하고,
기 설정된 특정 시간 동안 상기 예측 모델을 통해 보안 위험상태로 예측된 상기 제1 로그 데이터의 양을 산출하고,
상기 특정 시간 동안 상기 보안 관제 요원에게 제공된 상기 제2 로그 데이터의 양을 산출하고,
상기 산출된 제1 로그 데이터 및 제2 로그 데이터의 양을 기반으로 룰 테이블의 효율도를 산출하는 것을 특징으로 하는,
룰 필터링을 이용한 인공지능 기반의 오탐 방지 방법.
In a manner carried out by an anti-false positive device,
Classifying the security level of log data for monitored equipment according to security risk;
Analyzing the classified log data to determine whether there is a security threat to the monitored equipment; and
It includes determining whether the prediction result is a false positive based on at least one rule for determining whether the first log data predicted to be in a security risk state through a prediction model is a false positive,
The false positive prevention device,
Based on the determination result, providing second log data excluding the log data determined as a false positive among the log data predicted to be in a security risk state through the prediction model to the security control agent,
Calculate the amount of the first log data predicted to be in a security risk state through the prediction model during a preset specific time,
Calculate the amount of the second log data provided to the security control personnel during the specific time,
Characterized in calculating the efficiency of the rule table based on the calculated amounts of first log data and second log data,
Artificial intelligence-based false positive prevention method using rule filtering.
 하드웨어인 컴퓨터와 결합되어, 제9항의 방법을 실행시키기 위한 프로그램이 저장된 컴퓨터 판독 가능한 기록매체.A computer-readable recording medium combined with a hardware computer and storing a program for executing the method of claim 9.
KR1020220053308A 2022-04-29 2022-04-29 Device, method and program for preventing false positives based on artificial intelligence using rule filtering KR102617150B1 (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020220053308A KR102617150B1 (en) 2022-04-29 2022-04-29 Device, method and program for preventing false positives based on artificial intelligence using rule filtering
KR1020230185609A KR20240000427A (en) 2022-04-29 2023-12-19 Apparatus, method, and program to prevent false positives using a security risk prediction model

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020220053308A KR102617150B1 (en) 2022-04-29 2022-04-29 Device, method and program for preventing false positives based on artificial intelligence using rule filtering

Related Child Applications (1)

Application Number Title Priority Date Filing Date
KR1020230185609A Division KR20240000427A (en) 2022-04-29 2023-12-19 Apparatus, method, and program to prevent false positives using a security risk prediction model

Publications (2)

Publication Number Publication Date
KR20230154339A KR20230154339A (en) 2023-11-08
KR102617150B1 true KR102617150B1 (en) 2023-12-28

Family

ID=88746161

Family Applications (2)

Application Number Title Priority Date Filing Date
KR1020220053308A KR102617150B1 (en) 2022-04-29 2022-04-29 Device, method and program for preventing false positives based on artificial intelligence using rule filtering
KR1020230185609A KR20240000427A (en) 2022-04-29 2023-12-19 Apparatus, method, and program to prevent false positives using a security risk prediction model

Family Applications After (1)

Application Number Title Priority Date Filing Date
KR1020230185609A KR20240000427A (en) 2022-04-29 2023-12-19 Apparatus, method, and program to prevent false positives using a security risk prediction model

Country Status (1)

Country Link
KR (2) KR102617150B1 (en)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101689299B1 (en) * 2015-10-19 2016-12-23 한국과학기술정보연구원 Automated verification method of security event and automated verification apparatus of security event
KR101754964B1 (en) * 2016-01-15 2017-07-06 주식회사 쿼리시스템즈 Method and Apparatus for Detecting Malicious Behavior
KR102247181B1 (en) * 2020-12-18 2021-05-03 주식회사 이글루시큐리티 Method and device for generating anomalous behavior detection model using learning data generated based on xai
KR102361766B1 (en) * 2021-10-08 2022-02-14 주식회사 이글루시큐리티 Method of optimizing alert rules of siem by collecting asset server information and apparatus thereof

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101871406B1 (en) 2016-05-13 2018-06-26 한국전자통신연구원 Method for securiting control system using whitelist and system for the same

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101689299B1 (en) * 2015-10-19 2016-12-23 한국과학기술정보연구원 Automated verification method of security event and automated verification apparatus of security event
KR101754964B1 (en) * 2016-01-15 2017-07-06 주식회사 쿼리시스템즈 Method and Apparatus for Detecting Malicious Behavior
KR102247181B1 (en) * 2020-12-18 2021-05-03 주식회사 이글루시큐리티 Method and device for generating anomalous behavior detection model using learning data generated based on xai
KR102361766B1 (en) * 2021-10-08 2022-02-14 주식회사 이글루시큐리티 Method of optimizing alert rules of siem by collecting asset server information and apparatus thereof

Also Published As

Publication number Publication date
KR20240000427A (en) 2024-01-02
KR20230154339A (en) 2023-11-08

Similar Documents

Publication Publication Date Title
CN113965404B (en) Network security situation self-adaptive active defense system and method
CN111344708B (en) Adaptive statistics de-identification based on evolved data streams
US8150717B2 (en) Automated risk assessments using a contextual data model that correlates physical and logical assets
CN112800116B (en) Method and device for detecting abnormity of service data
CN110929648A (en) Monitoring data processing method and device, computer equipment and storage medium
CN108833416A (en) A kind of SCADA system Information Security Risk Assessment Methods and system
KR102247181B1 (en) Method and device for generating anomalous behavior detection model using learning data generated based on xai
Al-Janabi Pragmatic miner to risk analysis for intrusion detection (PMRA-ID)
CN114859758A (en) Attack-defense confrontation simulation test method and system for network model
CN114881349A (en) Big data analysis-based early warning method and storage medium
KR102617150B1 (en) Device, method and program for preventing false positives based on artificial intelligence using rule filtering
Shah et al. Dynamic optimization of the level of operational effectiveness of a CSOC under adverse conditions
Wei Application of Bayesian algorithm in risk quantification for network security
US11880464B2 (en) Vulnerability-driven cyberattack protection system and method for industrial assets
CN115085956B (en) Intrusion detection method, intrusion detection device, electronic equipment and storage medium
CN114448718A (en) Network security guarantee method for parallel detection and repair
CN112511568A (en) Correlation analysis method, device and storage medium for network security event
CN115001771B (en) Verification code defending method, system, equipment and storage medium based on automatic updating
US20240073241A1 (en) Intrusion response determination
KR102111136B1 (en) Method, device and program for generating respond directions against attack event
US20230171282A1 (en) Systems, methods and computer program products for branching based automation driven analysis
CN116405287B (en) Industrial control system network security assessment method, equipment and medium
KR102348359B1 (en) Apparatus and methods for endpoint detection and reponse based on action of interest
Stepanova et al. Large-scale systems security evolution: control theory approach
Azhar Identity Management Capability Powered by Artificial Intelligence to Transform the Way User Access Privileges Are Managed, Monitored and Controlled

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
A107 Divisional application of patent
GRNT Written decision to grant