KR20170135495A - 보안 위협 정보 분석 및 관리 시스템 - Google Patents

보안 위협 정보 분석 및 관리 시스템 Download PDF

Info

Publication number
KR20170135495A
KR20170135495A KR1020160067504A KR20160067504A KR20170135495A KR 20170135495 A KR20170135495 A KR 20170135495A KR 1020160067504 A KR1020160067504 A KR 1020160067504A KR 20160067504 A KR20160067504 A KR 20160067504A KR 20170135495 A KR20170135495 A KR 20170135495A
Authority
KR
South Korea
Prior art keywords
threat information
security
internal
security threat
external
Prior art date
Application number
KR1020160067504A
Other languages
English (en)
Inventor
조홍연
장성민
오승용
Original Assignee
주식회사 씨티아이랩
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 씨티아이랩 filed Critical 주식회사 씨티아이랩
Priority to KR1020160067504A priority Critical patent/KR20170135495A/ko
Publication of KR20170135495A publication Critical patent/KR20170135495A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

본 발명은 보안 위협 정보 분석 및 관리 시스템에 관한 것으로, 본 발명에 따른 시스템은, 보안 서비스 대상 시스템에 설치되어 운영되는 복수의 보안 모듈로부터 탐지되는 내부 보안 위협 정보를 수집하는 내부 수집부, 보안 서비스 대상 시스템의 외부로부터 외부 보안 위협 정보를 수집하는 외부 수집부, 그리고 내부 수집부에서 수집되는 내부 보안 위협 정보와 수집된 외부 보안 위협 정보와 상관 분석을 통해 미리 정해진 유사도를 가지는 내부 보안 위협 정보를 인디케이터로 추출하는 위협 요소 분석부를 포함한다. 본 발명에 의하면, 내부 보안 위협 정보와 보안 서비스 대상 시스템의 외부에서 수집되는 외부 보안 위협 정보의 유사도 분석을 통해 추출된 인디케이터를 이용하여 동일한 공격에 관련 있는 다른 위협 요소를 실시간으로 탐지하고 멀티벡터 공격을 탐지해내고 그에 따른 대응 조치를 취할 수 있는 장점이 있다.

Description

보안 위협 정보 분석 및 관리 시스템{Cyber Threat Information Analysis and Management System}
본 발명은 보안 위협 정보 분석 및 관리 시스템에 관한 것으로, 보안 서비스 대상 시스템의 내부에서 수집되는 내부 보안 위협 정보와 보안 서비스 대상 시스템의 외부에서 수집되는 외부 보안 위협 정보의 유사도 분석을 통해 추출된 인디케이터를 이용하여 동일한 공격에 관련 있는 다른 위협 요소를 탐지할 수 있는 보안 위협 정보 분석 및 관리 시스템에 관한 것이다.
최근 들어 다중 공격 기법을 사용한 멀티 벡터 공격이 크게 증가하고 있다.
도 7은 종래 사이버 멀티벡터 공격이 이루어지는 예를 나타낸 도면이다.
해커와 같은 공격자는 사이버 공격을 위해서 다음과 같은 공격 벡터를 다양하게 조합하여 사용할 수 있다. C&C 서버, 이메일 서버, 배포 서버에 대한 도메인 생성 및 등록(악성 도메인 생성, 임시 도메인 생성), 내부 사용자를 감염시켜 원격에서 접근 가능한 백도어를 만들고 시스템을 파괴시키는 악성 코드 생성, 등록한 메일 서버를 통하여 악성코드 배포서버 링크가 포함된 메일을 내부 사용자에게 전송하는 악성 이메일, 메일을 받은 내부 사용자가 C&C 서버에 접속 시도시에 IP 정보를 제공하는 악성 DNS 서버 등을 사용할 수 있다.
이와 같은 특징을 보이는 최근 사이버 공격은 기존 보안 시스템으로 탐지하기에는 한계가 있다. 계속해서 변경되는 도메인과 내부 보안 시스템을 우회하여 내부 사용자까지 손쉽게 전달되는 악성 이메일 전송, 샌드박스와 같은 악성코드 분석시스템을 우회하는 기법을 사용하고 있기 때문이다. 또한, 타겟(target)을 공격하기 위해서 수십 번의 도메인, 메일서버, C&C 변경하며 일단 내부로 침입을 성공한 이후에도 변이를 계속해서 수행한다.
이와 같이 종래의 보안 시스템에서는 다양한 공격 요소에서 방화벽에서는 내부로의 불법접근에 대한 로그만을 수집하고, 메일을 통한 악성코드와 악성 URL이 내부 사용자에게 아무런 문제없이 전달될 수 있다. 그리고 공격자가 새롭게 생성한 도메인과 메일서버 그리고 C&C 서버에 대해서 아무런 정보를 가질 수 없다.
이러한 멀티벡터 공격 특성을 탐지하고 차단하기가 어렵기 때문에 최근에는 기업 내의 모든 네트워크 트래픽(전수 패킷 수집)을 저장하여 분석하는 네트워크 포렌식 시스템이 등작하고 있는 추세이나 그 특성상 실시간 공격 대응에는 효과적이지 못하다.
따라서 본 발명이 해결하려는 과제는 보안 서비스 대상 시스템의 내부에서 수집되는 내부 보안 위협 정보와 보안 서비스 대상 시스템의 외부에서 수집되는 외부 보안 위협 정보의 유사도 분석을 통해 추출된 인디케이터를 이용하여 동일한 공격에 관련 있는 다른 위협 요소를 실시간으로 탐지하고 멀티벡터 공격을 탐지해낼 수 있는 보안 위협 정보 분석 및 관리 시스템을 제공하는 것이다.
이러한 기술적 과제를 해결하기 위한 본 발명의 한 실시예에 따른 보안 위협 정보 분석 및 관리 시스템은, 보안 서비스 대상 시스템에 설치되어 운영되는 복수의 보안 모듈로부터 탐지되는 내부 보안 위협 정보를 수집하는 내부 수집부, 상기 보안 서비스 대상 시스템의 외부로부터 외부 보안 위협 정보를 수집하는 외부 수집부, 그리고 상기 내부 수집부에서 수집되는 내부 보안 위협 정보와 상기 수집된 외부 보안 위협 정보와 상관 분석을 통해 미리 정해진 유사도를 가지는 내부 보안 위협 정보를 인디케이터로 추출하는 위협 요소 분석부를 포함한다.
상기 내부 수집부에서 수집되는 내부 보안 위협 정보를 데이터베이스로 축적하는 이력 데이터베이스를 더 포함할 수 있다.
상기 위협 요소 분석부는 상기 추출된 인디케이터와 관련된 내부 보안 위협 정보를 상기 이력 데이터베이스에서 추출할 수 있다.
상기 위협 요소 분석부는, 상기 추출된 인디케이터와 관련된 내부 보안 위협 정보를 이용하여 다중 공격벡터를 탐지할 수 있다.
상기 위협 요소 분석부에서 탐지된 멀티 벡터 공격에 대처하기 위한 보안 정책을 생성하는 보안 정책 관리부를 더 포함할 수 있다.
상기 내부 보안 위협 정보는 상기 복수의 보안 모듈에서 탐지된 로그 또는 이벤트 데이터이고, 상기 외부 보안 위협 정보는 상기 보안 서비스 대상 시스템의 외부에서 보안 위협 정보로 분석되어 공유되는 정보일 수 있다.
이러한 기술적 과제를 해결하기 위한 본 발명의 한 실시예에 따른 보안 위협 정보 분석 및 관리 방법은, 보안 서비스 대상 시스템에 설치되어 운영되는 복수의 보안 모듈로부터 탐지되는 내부 보안 위협 정보를 수집하는 단계, 상기 보안 서비스 대상 시스템의 외부로부터 외부 보안 위협 정보를 수집하는 단계, 그리고 상기 내부 수집부에서 수집되는 내부 보안 위협 정보와 상기 수집된 외부 보안 위협 정보와 상관 분석을 통해 미리 정해진 유사도를 가지는 내부 보안 위협 정보를 인디케이터로 추출하는 단계를 포함한다.
상기 내부 수집부에서 수집되는 내부 보안 위협 정보를 데이터베이스로 축적하는 단계, 그리고 상기 추출된 인디케이터와 관련된 내부 보안 위협 정보를 상기 이력 데이터베이스에서 추출하는 단계를 더 포함할 수 있다.
상기 추출된 인디케이터와 관련된 내부 보안 위협 정보를 이용하여 다중 공격벡터를 탐지하는 단계를 더 포함할 수 있다.
상기 위협 요소 분석부에서 탐지된 멀티 벡터 공격에 대처하기 위한 보안 정책을 생성하는 단계를 더 포함할 수 있다.
본 발명의 다른 실시예에 따른 컴퓨터로 읽을 수 있는 매체는 상기한 방법 중 어느 하나를 컴퓨터에 실행시키기 위한 프로그램을 기록한다.
본 발명에 의하면, 내부 보안 위협 정보와 보안 서비스 대상 시스템의 외부에서 수집되는 외부 보안 위협 정보의 유사도 분석을 통해 추출된 인디케이터를 이용하여 동일한 공격에 관련 있는 다른 위협 요소를 실시간으로 탐지하고 멀티벡터 공격을 탐지해내고 그에 따른 대응 조치를 취할 수 있는 장점이 있다.
도 1은 본 발명의 일 실시예에 따른 보안 위협 정보 분석 및 관리 시스템의 구성을 나타낸 블록도이다.
도 2 내지 도 5는 본 발명에 따른 IP 유사도, 도메인 유사도, Malware 유사도 및 Email 유사도에서 고려되는 내용을 예시한 도면이다.
도 6은 본 발명의 일 실시예에 따른 보안 위협 정보 분석 및 관리 시스템의 동작을 설명하기 위한 흐름도이다.
도 7은 종래 사이버 멀티벡터 공격이 이루어지는 예를 나타낸 도면이다.
그러면 첨부한 도면을 참고로 하여 본 발명의 실시예에 대하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다.
도 1은 본 발명의 일 실시예에 따른 보안 위협 정보 분석 및 관리 시스템의 구성을 나타낸 블록도이다.
도 1을 참고하면, 본 발명에 따른 보안 위협 정보 분석 및 관리 시스템(100)은 외부에서 수집되는 외부 보안 위협 정보와 보안 서비스 대상 시스템(10)에서 수집되는 내부 보안 위협 정보의 유사성을 분석하여 멀티벡터 공격 등과 같은 잠재적인 공격 요소를 탐지하고 대응하는 기능을 수행한다.
보안 서비스 대상 시스템(10)은 정부, 공공 기관, 교육 기관, 민간 기업, 사설 기관 등에서 운용되는 시스템으로, 보안이 요구되는 각종 정보 및 데이터를 취급할 수 있다.
보안 서비스 대상 시스템(10)은 서버(도시하지 않음), 사용자 단말(도시하지 않음) 등이 내부망으로 연결되어 있을 수 있고, 방화벽 등과 같은 보안 모듈에 의해 외부망과도 연결되어 각종 요청 및 데이터를 교환할 수 있다.
보안 모듈(20a, 20b, …, 20n)은 보안 서비스 대상 시스템(10)에 대한 내부 또는 외부에서 행해지는 각종 보안 공격을 탐지하거나 차단하는 기능을 수행한다. 보안 모듈(20a, 20b, …, 20n)은 방화벽, 침입 탐지 시스템, 침입 방어 시스템, DDoS 방어 시스템, 웹방화벽, APT(Advanced Persistent Threat) 대응 솔루션 시스템, 악성 코드 분석 시스템, 안티-바이러스(Anti-Virus) 시스템 등으로 구현될 수 있으며, 미리 정의된 보안 정책에 따라 각종 보안 공격을 탐지하거나 차단하는 기능을 수행한다.
보안 위협 정보 분석 및 관리 시스템(100)은 내부 수집부(110), 외부 수집부(130), 이력 데이터베이스(150), 위협 요소 분석부(170) 및 보안 정책 관리부(190)를 포함할 수 있다.
내부 수집부(110)는 보안 모듈(20a, 20b, …, 20n)로부터 탐지되는 내부 보안 위협 정보를 수집하는 기능을 수행한다. 내부 수집부(110)는 보안 모듈(20a, 20b, …, 20n)로부터 실시간으로 내부 보안 위협 정보를 수집할 수 있다.
내부 보안 위협 정보는 보안 모듈(20a, 20b, …, 20n)로부터 탐지된 로그/이벤트에 포함된 아이피(IP), URL, 도메인(Domain) 등과, 보안 모듈(20a, 20b, …, 20n)로부터 탐지된 파일(file), 이메일(email) 및 패킷 등을 포함할 수 있다.
외부 수집부(130)는 보안 서비스 대상 시스템(10)의 외부로부터 외부 보안 위협 정보를 수집하는 기능을 수행한다. 예를 들어 ISAC(Information Sharing & Analysis Center)(30a, 30b, …, 30m)에서 제공하는 사이버 위협 정보나, 기타 기관, 기업 및 단체 등에서 공유하는 보안 위협 정보를 외부 수집부(150)는 뉴스 피드(News Feed), RSS Feed 및 TAXII(Trusted Automated eXchange of Indicator Information) 등의 전송 규격을 통해 외부로부터 수집할 수 있다. 물론 그 외에도 다양한 방법으로 외부 보안 위협 정보를 수집하는 것도 가능하다.
외부 보안 위협 정보는 아이피, URL, 도메인, 악성웨어(Malware), CVE(Common Vulnerabilities & Exposures) 정보 및 익스플로잇(Exploit) 정보 등을 포함할 수 있다. 외부 보안 위협 정보는 STIX(Structured Threat Information eXpression), CyberOS(Cyber Observable eXpression) 등과 같은 사이버 위협 정보 표현 규격에 따라 공유될 수도 있다. CVE 정보는 보안 취약성과 기타 정보 보안 노출 사항을 기록한 규격화된 목록으로 역시 외부 보안 위협 정보로 공유될 수 있다.
이력 데이터베이스(150)는 내부 수집부(110)에서 수집된 내부 보안 위협 정보와 외부 수집부(130)에서 수집된 외부 보안 위협 정보를 일정 기간동안 축적한 데이터베이스로 구현될 수 있다. 예컨대 내부 보안 위협 정보가 내부 수집부(110)에서 수집된 시점으로부터 24개월, 36개월 등 미리 정해진 기간동안 이력 데이터베이스(150)에 축적될 수 있다. 마찬가지로 외부 보안 위협 정보도 외부 수집부(130)에서 수집된 시점으로부터 24개월, 36개월 등 미리 정해진 기간 동안에 이력 데이터베이스(150)에 축적될 수 있다. 물론 실시예에 따라 이력 데이터베이스(130)에 해당 데이터들이 저장되는 기간을 더 길게 설정하거나 제한을 없앨 수 있으며, 외부 보안 위협 정보는 이력 데이터베이스(150)에 별도로 저장하지 않을 수도 있다.
위협 요소 분석부(170)는 내부 수집부(110)에서 수집된 내부 보안 위협 정보 중에서 외부 수집부(130)에서 수집된 외부 보안 위협 정보와 상관 분석을 통해 소정의 유사도를 가지는 내부 보안 위협 정보를 인디케이터(indicator)로 추출할 수 있다.
위협 요소 분석부(170)는 외부 수집부(150)에서 현재 시점으로부터 일정 기간 동안에 수집된 외부 보안 위협 정보를 고속의 빅데이터 엔진으로 인덱싱하여 내부 수집부(110)에서 수집되는 내부 보안 위협 정보와 실시간으로 유사도 분석을 수행할 수 있다. 그리고 위협 요소 분석부(170)는 일정 기간동안 수집된 외부 보안 위협 정보와 소정 기준 이상의 유사도를 가지는 내부 보안 위협 정보를 인디케이터로 실시간으로 추출해낼 수 있다.
외부 보안 위협 정보가 이력 데이터베이스(150)에 축적되는 기간(24개월, 36개월 등)보다는 짧은 기간, 예컨대 2개월, 3개월 등으로 상대적으로 최근에 수집된 외부 보안 위협 정보를 대상으로 유사도 분석을 먼저 수행하여 인디케이터를 추출함으로써, 시스템에 부하를 줄이면서도 비교적 최근에 보고되는 멀티벡터 공격과 관련된 위협 요소들을 탐지해내는데 유리하다.
내부 보안 위협 정보와 외부 보안 위협 정보에 대한 상관 분석을 통한 유사도 분석은 다음과 같이 이루어질 수 있다.
도 2 내지 도 5는 본 발명에 따른 IP 유사도, 도메인 유사도, Malware 유사도 및 Email 유사도에서 고려되는 내용을 예시한 도면이다.
내부 수집부(110)에서 수집된 내부 보안 위협 정보와 외부 보안 위협 정보를 IP 유사도 분석을 통해 인디케이터를 추출해낼 수 있다. 내부 수집부(110)에서 수집된 내부 보안 위협 정보에 포함된 아이피(IP)와 외부 보안 위협 정보의 IP 범위(Range)를 매칭하여 유사도(Simlilarity)를 분석할 수 있다. 예를 들어 내부 보안 위협 정보의 IP가 인덱싱된 외부 보안 위협 정보의 아이피 범위(Range)에 포함되는 경우, 해당 IP와 연계된 도메인이 외부 보안 위협 정보에 포함되어 있는 경우, 해당 IP로 접근한 malware(HASH), 해당 IP에서 유포된 malware(HASH) 등이 외부 보안 위협 정보에 포함되어 있는 경우, 해당 IP와 관련된 Exploit 정보나 CVE 정보 등이 외부 보안 위협 정보에 포함되어 있는 경우에 내부 보안 위협 정보에 포함된 IP를 인디케이터로 추출해낼 수 있다.
마찬가지로 내부 보안 위협 정보와 외부 보안 위협 정보를 도메인 유사도, Malware 유사도, Email 유사도 등의 분석을 통해 인디케이터를 추출해낼 수 있다.
위협 요소 분석부(170)는 내부 보안 위협 정보와 외부 보안 위협 정보에 대해 실시간으로 유사도 상관 분석을 통해 추출된 인디케이터와 관련된 내부 보안 위협 정보를 이력 데이터베이스(150)에서 추가로 추출해낼 수 있다.
이와 같이 위협 요소 분석부(170)는 보안 모듈(20a, 20b, …, 20n)로부터 수집되는 내부 보안 위협 정보를 실시간으로 최근 기간에 수집된 외부 보안 위협 정보와 상관 분석을 통해 일정한 유사도를 가지는 내부 보안 위협 정보를 인디케이터로 추출해낼 수 있다. 그리고 오랜 기간에 걸쳐 지속적으로 이루어지고 있는 동일한 공격의 추출된 인디케이터와 관련 있는 다른 내부 보안 위협 정보 또는 외부 보안 위협 정보를 이력 데이터베이스(150)에서 추출해낼 수 있다.
위협 요소 분석부(170)는 인디케이터 및 인디케이터와 관련 있는 내부 보안 위협 정보와 외부 보안 위협 정보를 분석함으로써 비교적 장기간에 걸쳐 다양한 공격 방법을 혼합하여 이루어지는 멀티 벡터 공격을 탐지해낼 수 있다. 실시예에 따라서는 인디케이터와 관련된 내부 보안 위협 정보만을 이력 데이터베이스(150)에서 추출하여 멀티 벡터 공격을 탐지해낼 수도 있다.
보안 정책 관리부(190)는 위협 요소 분석부(170)에서 분석된 멀티 벡터 공격 등에 대처하기 위한 보안 정책을 생성하여 보안 모듈(20a, 20b, …, 20n)에 반영할 수 있다.
도 6은 본 발명의 일 실시예에 따른 보안 위협 정보 분석 및 관리 시스템의 동작을 설명하기 위한 흐름도이다.
도 1 및 도 6을 참고하면, 내부 수집부(110)는 보안 모듈(20a, 20b, …, 20n)에서 탐지되는 내부 보안 위협 정보를 실시간 또는 일정 주기별로 수집할 수 있다(S210).
한편 외부 수집부(130)는 보안 서비스 대상 시스템(10)의 외부, 예컨대 ISAC(30a, 30b, …, 30m) 등으로부터 외부 보안 위협 정보를 수집할 수 있다(S220).
이력 데이터베이스(150)는 내부 수집부(110)에서 수집된 내부 보안 위협 정보와 외부 수집부(130)에서 수집된 외부 보안 위협 정보를 일정 기간동안 축적한 이력 데이터베이스(150)를 구축할 수 있다(S230). 예컨대 이력 데이터베이스(150)는 현재 시점으로부터 24개월, 36개월 등 미리 정해진 기간 이전부터 현재까지 수집된 내부 보안 위협 정보와 외부 보안 위협 정보를 추적한 데이터베이스로 구현될 수 있다. 실시예에 따라서 이력 데이터베이스(150)는 내부 보안 위협 정보 데이터베이스로 구축할 수도 있다.
위험 요소 분석부(170)는 내부 수집부(110)에서 수집된 내부 보안 위협 정보 중에서 외부 수집부(130)에서 수집된 외부 보안 위협 정보와 상관 분석을 통해 소정의 유사도를 가지는 내부 보안 위협 정보를 인디케이터(indicator)로 추출할 수 있다(S240). 단계(S240)에서 인디케이터 추출을 위한 상관 분석 대상으로 이용되는 외부 보안 위협 정보는 이력 데이터베이스(150)에서 데이터를 축적하는 기간보다는 상대적으로 짧은 기간동안 수집된 것을 대상으로 한다. 예컨대 2개월, 3개월 등으로 상대적으로 최근에 수집된 외부 보안 위협 정보를 대상으로 유사도 분석을 수행함으로써 시스템에 부하를 줄이면서도 비교적 최근에 보고되는 멀티벡터 공격과 관련된 위협 요소들을 탐지해내는데 유리하다.
한편 위협 요소 분석부(170)는 외부 수집부(150)에서 현재 시점으로부터 일정 기간동안에 수집된 외부 보안 위협 정보를 고속의 빅데이터 엔진으로 인덱싱하여 내부 수집부(110)에서 수집되는 내부 보안 위협 정보와 실시간으로 유사도 분석을 수행하는 것이 바람직하다.
다음으로 위협 요소 분석부(170)는 내부 보안 위협 정보와 외부 보안 위협 정보에 대해 실시간으로 유사도 상관 분석을 통해 추출된 인디케이터와 관련된 내부 보안 위협 정보 및 외부 보안 위협 정보를 이력 데이터베이스(150)에서 추가로 추출할 수 있다(S250).
이후 위협 요소 분석부(170)는 인디케이터 및 인디케이터와 관련 있는 내부 보안 위협 정보와 외부 보안 위협 정보를 분석함으로써 비교적 장기간에 걸쳐 다양한 공격 방법을 혼합하여 이루어지는 멀티 벡터 공격을 탐지해낼 수 있다(S260).
실시예에 따라서는 단계(S250)에서 인디케이터와 관련된 내부 보안 위협 정보만을 이력 데이터베이스(150)에서 추출하고, 이를 분석하여 단계(S260)에서 멀티 벡터 공격을 탐지해낼 수도 있다.
다음으로 보안 정책 관리부(190)는 위협 요소 분석부(170)에서 분석된 멀티 벡터 공격 등에 대처하기 위한 보안 정책을 생성하여 보안 모듈(20a, 20b, …, 20n)에 반영할 수 있다(S270).
본 발명의 실시예는 다양한 컴퓨터로 구현되는 동작을 수행하기 위한 프로그램 명령을 포함하는 컴퓨터로 읽을 수 있는 매체를 포함한다. 이 매체는 앞서 설명한 보안 위협 정보 분석 및 관리 방법을 실행시키기 위한 프로그램을 기록한다. 이 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 이러한 매체의 예에는 하드디스크, 플로피디스크 및 자기 테이프와 같은 자기 매체, CD 및 DVD와 같은 광기록 매체, 플롭티컬 디스크(floptical disk)와 자기-광 매체, 롬, 램, 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 구성된 하드웨어 장치 등이 있다. 또는 이러한 매체는 프로그램 명령, 데이터 구조 등을 지정하는 신호를 전송하는 반송파를 포함하는 광 또는 금속선, 도파관 등의 전송 매체일 수 있다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다.
이상에서 본 발명의 바람직한 실시예에 대하여 상세하게 설명하였지만 본 발명의 권리범위는 이에 한정되는 것은 아니고 다음의 청구범위에서 정의하고 있는 본 발명의 기본 개념을 이용한 당업자의 여러 변형 및 개량 형태 또한 본 발명의 권리범위에 속하는 것이다.

Claims (11)

  1. 보안 서비스 대상 시스템에 설치되어 운영되는 복수의 보안 모듈로부터 탐지되는 내부 보안 위협 정보를 수집하는 내부 수집부,
    상기 보안 서비스 대상 시스템의 외부로부터 외부 보안 위협 정보를 수집하는 외부 수집부, 그리고
    상기 내부 수집부에서 수집되는 내부 보안 위협 정보와 상기 수집된 외부 보안 위협 정보와 상관 분석을 통해 미리 정해진 유사도를 가지는 내부 보안 위협 정보를 인디케이터로 추출하는 위협 요소 분석부
    를 포함하는 보안 위협 정보 분석 및 관리 시스템.
  2. 제 1 항에서,
    상기 내부 수집부에서 수집되는 내부 보안 위협 정보를 데이터베이스로 축적하는 이력 데이터베이스
    를 더 포함하고,
    상기 위협 요소 분석부는 상기 추출된 인디케이터와 관련된 내부 보안 위협 정보를 상기 이력 데이터베이스에서 추출하는 보안 위협 정보 분석 및 관리 시스템.
  3. 제 2 항에서,
    상기 위협 요소 분석부는,
    상기 추출된 인디케이터와 관련된 내부 보안 위협 정보를 이용하여 다중 공격벡터를 탐지하는 보안 위협 정보 분석 및 관리 시스템.
  4. 제 3 항에서,
    상기 위협 요소 분석부에서 탐지된 멀티 벡터 공격에 대처하기 위한 보안 정책을 생성하는 보안 정책 관리부
    를 더 포함하는 보안 위협 정보 분석 및 관리 시스템.
  5. 제 1 항에서,
    상기 내부 보안 위협 정보는 상기 복수의 보안 모듈에서 탐지된 로그 또는 이벤트 데이터이고,
    상기 외부 보안 위협 정보는 상기 보안 서비스 대상 시스템의 외부에서 보안 위협 정보로 분석되어 공유되는 정보인 보안 위협 정보 분석 및 관리 시스템.
  6. 보안 서비스 대상 시스템에 설치되어 운영되는 복수의 보안 모듈로부터 탐지되는 내부 보안 위협 정보를 수집하는 단계,
    상기 보안 서비스 대상 시스템의 외부로부터 외부 보안 위협 정보를 수집하는 단계, 그리고
    상기 내부 수집부에서 수집되는 내부 보안 위협 정보와 상기 수집된 외부 보안 위협 정보와 상관 분석을 통해 미리 정해진 유사도를 가지는 내부 보안 위협 정보를 인디케이터로 추출하는 단계
    를 포함하는 보안 위협 정보 분석 및 관리 방법.
  7. 제 6 항에서,
    상기 내부 수집부에서 수집되는 내부 보안 위협 정보를 데이터베이스로 축적하는 단계, 그리고
    상기 추출된 인디케이터와 관련된 내부 보안 위협 정보를 상기 이력 데이터베이스에서 추출하는 단계
    를 더 포함하는 보안 위협 정보 분석 및 관리 방법.
  8. 제 7 항에서,
    상기 추출된 인디케이터와 관련된 내부 보안 위협 정보를 이용하여 다중 공격벡터를 탐지하는 단계
    를 더 포함하는 보안 위협 정보 분석 및 관리 방법.
  9. 제 8 항에서,
    상기 위협 요소 분석부에서 탐지된 멀티 벡터 공격에 대처하기 위한 보안 정책을 생성하는 단계
    를 더 포함하는 보안 위협 정보 분석 및 관리 방법.
  10. 제 6 항에서,
    상기 내부 보안 위협 정보는 상기 복수의 보안 모듈에서 탐지된 로그 또는 이벤트 데이터이고,
    상기 외부 보안 위협 정보는 상기 보안 서비스 대상 시스템의 외부에서 보안 위협 정보로 분석되어 공유되는 정보인 보안 위협 정보 분석 및 관리 방법.
  11. 컴퓨터에 제5항 내지 제10항 중 어느 한 항의 방법을 실행시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 매체.
KR1020160067504A 2016-05-31 2016-05-31 보안 위협 정보 분석 및 관리 시스템 KR20170135495A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020160067504A KR20170135495A (ko) 2016-05-31 2016-05-31 보안 위협 정보 분석 및 관리 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020160067504A KR20170135495A (ko) 2016-05-31 2016-05-31 보안 위협 정보 분석 및 관리 시스템

Publications (1)

Publication Number Publication Date
KR20170135495A true KR20170135495A (ko) 2017-12-08

Family

ID=60920252

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020160067504A KR20170135495A (ko) 2016-05-31 2016-05-31 보안 위협 정보 분석 및 관리 시스템

Country Status (1)

Country Link
KR (1) KR20170135495A (ko)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108873733A (zh) * 2018-06-07 2018-11-23 广州供电局有限公司 电力信息物理系统中信息预想事故影响的分析方法
KR101964592B1 (ko) * 2018-04-25 2019-04-02 한국전자통신연구원 보안위협 정보 공유 장치 및 방법
KR20190070583A (ko) * 2017-12-13 2019-06-21 건국대학교 산학협력단 사이버 위협 정보에 대한 통합 표현 규격 데이터 생성 방법 및 장치
KR102158784B1 (ko) * 2020-05-14 2020-09-22 주식회사 쿼리시스템즈 이기종 보안 장비와 연동하는 보안위협 자동 차단 시스템
KR20230076593A (ko) * 2021-11-24 2023-05-31 고인구 디지털 트윈이 적용된 다차원 보안 자동 관리 시스템 및 보안 관리 방법

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100625096B1 (ko) * 2006-03-27 2006-09-15 주식회사 윈스테크넷 트래픽 변화량과 해킹 위협률의 상호 연관성 분석에 기초한예경보 방법 및 그 시스템
KR100684602B1 (ko) * 2006-05-16 2007-02-22 어울림정보기술주식회사 세션 상태전이를 이용한 시나리오 기반 침입대응 시스템 및그 방법
US20070226797A1 (en) * 2006-03-24 2007-09-27 Exploit Prevention Labs, Inc. Software vulnerability exploitation shield
KR100838799B1 (ko) * 2007-03-09 2008-06-17 에스케이 텔레콤주식회사 해킹 현상을 검출하는 종합보안관리 시스템 및 운용방법
KR20080079767A (ko) * 2007-02-28 2008-09-02 학교법인 대전기독학원 대형 네트워크에서 실시간 사이버 침입에 대한 이벤트유형의 정형화 시스템 및 방법

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070226797A1 (en) * 2006-03-24 2007-09-27 Exploit Prevention Labs, Inc. Software vulnerability exploitation shield
KR100625096B1 (ko) * 2006-03-27 2006-09-15 주식회사 윈스테크넷 트래픽 변화량과 해킹 위협률의 상호 연관성 분석에 기초한예경보 방법 및 그 시스템
KR100684602B1 (ko) * 2006-05-16 2007-02-22 어울림정보기술주식회사 세션 상태전이를 이용한 시나리오 기반 침입대응 시스템 및그 방법
KR20080079767A (ko) * 2007-02-28 2008-09-02 학교법인 대전기독학원 대형 네트워크에서 실시간 사이버 침입에 대한 이벤트유형의 정형화 시스템 및 방법
KR100838799B1 (ko) * 2007-03-09 2008-06-17 에스케이 텔레콤주식회사 해킹 현상을 검출하는 종합보안관리 시스템 및 운용방법

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20190070583A (ko) * 2017-12-13 2019-06-21 건국대학교 산학협력단 사이버 위협 정보에 대한 통합 표현 규격 데이터 생성 방법 및 장치
KR101964592B1 (ko) * 2018-04-25 2019-04-02 한국전자통신연구원 보안위협 정보 공유 장치 및 방법
US11064026B2 (en) 2018-04-25 2021-07-13 Electronics And Telecommunications Research Institute Apparatus and method for sharing security threat information
CN108873733A (zh) * 2018-06-07 2018-11-23 广州供电局有限公司 电力信息物理系统中信息预想事故影响的分析方法
CN108873733B (zh) * 2018-06-07 2021-08-06 广州供电局有限公司 电力信息物理系统中信息预想事故影响的分析方法
KR102158784B1 (ko) * 2020-05-14 2020-09-22 주식회사 쿼리시스템즈 이기종 보안 장비와 연동하는 보안위협 자동 차단 시스템
KR20230076593A (ko) * 2021-11-24 2023-05-31 고인구 디지털 트윈이 적용된 다차원 보안 자동 관리 시스템 및 보안 관리 방법

Similar Documents

Publication Publication Date Title
EP3588898B1 (en) Defense against apt attack
US11102223B2 (en) Multi-host threat tracking
Khamphakdee et al. Improving intrusion detection system based on snort rules for network probe attack detection
Ghafir et al. Proposed approach for targeted attacks detection
CN107888607A (zh) 一种网络威胁检测方法、装置及网络管理设备
Singh et al. Characterizing the nature and dynamics of tor exit blocking
Ahn et al. Big data analysis system concept for detecting unknown attacks
KR20170135495A (ko) 보안 위협 정보 분석 및 관리 시스템
Fachkha et al. Investigating the dark cyberspace: Profiling, threat-based analysis and correlation
Hatada et al. Empowering anti-malware research in Japan by sharing the MWS datasets
Khan et al. Applying data mining techniques in cyber crimes
Ghafir et al. Advanced persistent threat and spear phishing emails
CN110868403B (zh) 一种识别高级持续性攻击apt的方法及设备
Jiang et al. Novel intrusion prediction mechanism based on honeypot log similarity
Carvalho et al. Owlsight: Platform for real-time detection and visualization of cyber threats
Suthar et al. A signature-based botnet (emotet) detection mechanism
Kim et al. Fast attack detection system using log analysis and attack tree generation
Kim et al. A study on a cyber threat intelligence analysis (CTI) platform for the proactive detection of cyber attacks based on automated analysis
Alsharabi et al. Detecting Unusual Activities in Local Network Using Snort and Wireshark Tools
Syaifuddin et al. Automation snort rule for XSS detection with honeypot
Katkar et al. Novel DoS/DDoS attack detection and signature generation
Al-Saedi et al. Research Proposal: an Intrusion Detection System Alert Reduction and Assessment Framework based on Data Mining.
Ng et al. Introduction to Honeypot
Maccari et al. Detection: Definition of new model to reveal advanced persistent threat
Гарасимчук et al. Analysis of principles and systems for detecting remote attacks through the internet

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E601 Decision to refuse application