KR20190070583A - Apparatus and method for generating integrated representation specification data for cyber threat information - Google Patents

Apparatus and method for generating integrated representation specification data for cyber threat information Download PDF

Info

Publication number
KR20190070583A
KR20190070583A KR1020170171242A KR20170171242A KR20190070583A KR 20190070583 A KR20190070583 A KR 20190070583A KR 1020170171242 A KR1020170171242 A KR 1020170171242A KR 20170171242 A KR20170171242 A KR 20170171242A KR 20190070583 A KR20190070583 A KR 20190070583A
Authority
KR
South Korea
Prior art keywords
integrated
information
standard data
cyber threat
individual information
Prior art date
Application number
KR1020170171242A
Other languages
Korean (ko)
Other versions
KR102081492B1 (en
Inventor
김기천
진정하
유요셉
Original Assignee
건국대학교 산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 건국대학교 산학협력단 filed Critical 건국대학교 산학협력단
Priority to KR1020170171242A priority Critical patent/KR102081492B1/en
Publication of KR20190070583A publication Critical patent/KR20190070583A/en
Application granted granted Critical
Publication of KR102081492B1 publication Critical patent/KR102081492B1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/25Integrating or interfacing systems involving database management systems
    • G06F16/258Data format conversion from or to a database

Landscapes

  • Engineering & Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Databases & Information Systems (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Data Mining & Analysis (AREA)
  • Computing Systems (AREA)
  • Stored Programmes (AREA)

Abstract

Disclosed are a method and an apparatus for generating integrated representation specification data for cyber threat information. The method for generating integrated representation specification data comprises the following steps: receiving representation specification data for cyber threat information; analyzing individual information elements included in the representation specification data; and generating integrated representation specification data for the cyber threat information which includes features of the individual information elements based on the analysis result and is converted as a predefined structure.

Description

사이버 위협 정보에 대한 통합 표현 규격 데이터 생성 방법 및 장치{APPARATUS AND METHOD FOR GENERATING INTEGRATED REPRESENTATION SPECIFICATION DATA FOR CYBER THREAT INFORMATION}TECHNICAL FIELD [0001] The present invention relates to a method and an apparatus for generating integrated expression standard data for cyber threat information,

아래의 설명은 사이버 위협 정보에 대한 통합 표현 규격 데이터 생성 방법 및 장치에 관한 것이다.The following description relates to a method and apparatus for generating integrated expression standard data for cyber threat information.

STIX(The Structured Threat Information eXpression)은 미국 국토안보부에서 사이버 정보 위협에 대한 내용을 표준화하고 구조화시킨 것으로서, 사이버 위협에 대해 일관적인 분석 및 자동화된 해석을 가능하게 하는 표현 규격 데이터이다. STIX는 등록된 사이버 위협 정보에 대해서는 자동화된 해석을 지원할 수 있지만 새로운 공격에 대한 사이버 위협 정보를 자동으로 추가하는 방식을 지원할 수는 없다.The Structured Threat Information eXpression (STIX) standardized and structured cyber information threats in the US Department of Homeland Security (DHS), which is a specification data that enables consistent analysis and automated interpretation of cyber threats. STIX can support automated interpretation of registered cyber threat information, but it can not support the automatic addition of cyber threat information to new attacks.

일 실시예에 따른 통합 표현 규격 데이터 생성 방법은 사이버 위협 정보에 대한 표현 규격 데이터를 수신하는 단계; 상기 표현 규격 데이터에 포함된 개별 정보 요소들을 분석하는 단계; 및 상기 분석 결과에 기초하여, 상기 개별 정보 요소들의 특징을 포함하고, 미리 정의된 구조체로 변환된 상기 사이버 위협 정보에 대한 통합 표현 규격 데이터를 생성하는 단계를 포함할 수 있다.A method of generating integrated presentation specification data according to an embodiment includes receiving presentation specification data for cyber threat information; Analyzing individual information elements included in the expression specification data; And generating integrated presentation specification data for the cyber threat information including the characteristics of the individual information elements and converted into a predefined structure based on the analysis result.

일 실시예에 따른 통합 표현 규격 데이터는 STIX(The Structured Threat Information eXpression)일 수 있다.The integrated presentation specification data according to one embodiment may be STIX (The Structured Threat Information eXpression).

일 실시예에 따른 통합 표현 규격 데이터를 생성하는 단계는 상기 개별 정보 요소들의 특징 또는 상기 개별 정보 요소들에게 필수적으로 요구되는 특징 중 공통되는 특징 또는 상기 개별 정보 요소들에게 필수적으로 요구되는 특징을 상기 통합 표현 규격 데이터의 일 특징으로 결정할 수 있다.The step of generating integrated presentation standard data according to an exemplary embodiment may further include a step of creating a common feature among the features of the individual information elements or features essential to the individual information elements or a feature required for the individual information elements Can be determined as a feature of integrated presentation specification data.

일 실시예에 따른 상기 통합 표현 규격 데이터를 생성하는 단계는 상기 개별 정보 요소의 특징 중 유사한 역할을 수행하는 서로 다른 명칭의 특징을 상기 통합 표현 규격 데이터 상의 동일한 특징으로 결정할 수 있다.The step of generating the integrated presentation standard data according to an exemplary embodiment may determine characteristics of different names that perform a similar role among the features of the individual information elements as the same characteristics on the integrated presentation standard data.

일 실시예에 따른 통합 표현 규격 데이터를 생성하는 단계는 상기 사이버 위협 정보를 분석하는 분석 도구에서 사용되는 특징을 상기 통합 표현 규격 데이터 상의 일 특징으로 결정할 수 있다.The step of generating integrated presentation standard data according to an exemplary embodiment may determine a feature used in the analysis tool for analyzing the cyber threat information as a feature on the integrated presentation standard data.

일 실시예에 따른 분석 도구는 머신 러닝(machine learning)을 포함할 수 있다.The analysis tool according to one embodiment may include machine learning.

일 실시예에 따른 통합 표현 규격 데이터는 상기 개별 정보 요소의 유형에 대한 정보 및 상기 개별 정보 요소의 식별자에 대한 정보를 포함할 수 있다.The integrated presentation specification data according to an embodiment may include information on the type of the individual information element and information on the identifier of the individual information element.

일 실시예에 따른 통합 표현 규격 데이터는 상기 개별 정보 요소에 포함되는 세부 정보 요소에 대한 정보를 포함할 수 있다.The integrated presentation specification data according to an exemplary embodiment may include information on detailed information elements included in the individual information elements.

일 실시예에 따른 통합 표현 규격 데이터는 사이버 위협에 대한 대응 방안에 대한 정보를 포함할 수 있다.The integrated presentation specification data according to one embodiment may include information on countermeasures against cyber threats.

일 실시예에 따른 사이버 위협 정보 가공 방법은 사이버 위협 정보를 수신하는 단계; 사이버 위협 정보에 대한 표현 규격 데이터에 기초하여, 상기 사이버 위협 정보에 대한 통합 표현 규격 데이터를 생성하는 단계; 및 상기 통합 표현 규격 데이터에 기초하여, 상기 사이버 위협 정보를 가공하는 단계를 포함할 수 있다.A method for processing cyber threat information according to an exemplary embodiment includes: receiving cyber threat information; Generating integrated expression specification data for the cyber threat information based on expression standard data on cyber threat information; And processing the cyber threat information based on the integrated expression standard data.

일 실시예에 따른 상기 사이버 위협 정보를 가공하는 단계는 상기 통합 표현 규격 데이터에 포함되는 특징들에 기초하여 상기 사이버 위협 정보를 분류할 수 있다.The step of processing cyber threat information according to an exemplary embodiment may classify the cyber threat information based on features included in the integrated presentation standard data.

일 실시예에 따른 통합 표현 규격 데이터를 생성하는 단계는 상기 사이버 위협 정보에 대한 표현 규격 데이터에 포함된 개별 정보 요소의 특징에 대한 정보를 획득하는 단계; 및 상기 개별 정보 요소의 특징에 대한 정보에 기초하여, 상기 개별 정보 요소의 특징을 모두 포함하고, 미리 정의된 구조체로 변환된 상기 사이버 위협 정보에 대한 통합 표현 규격 데이터를 생성하는 단계를 포함할 수 있다.The step of generating integrated presentation standard data according to an exemplary embodiment of the present invention includes the steps of: acquiring information on characteristics of individual information elements included in the presentation standard data for the cyber threat information; And generating integrated presentation specification data for the cyber threat information including all of the characteristics of the individual information element and converted into a predefined structure based on the information about the characteristics of the individual information element have.

일 실시예에 따른 통합 표현 규격 데이터를 생성하는 단계는 상기 개별 정보 요소의 특징 중 공통되는 특징 또는 상기 개별 정보 요소들에게 필수적으로 요구되는 특징을 상기 통합 표현 규격 데이터의 일 특징으로 결정할 수 있다.The step of generating integrated presentation specification data according to an embodiment may determine a feature common to the individual information elements or a feature required for the individual information elements as a characteristic of the integrated presentation specification data.

일 실시예에 따른 통합 표현 규격 데이터를 생성하는 단계는 상기 개별 정보 요소의 특징 중 유사한 역할을 수행하는 서로 다른 명칭의 특징을 상기 통합 사이버 위협 표현 규격 데이터 상의 동일한 특징으로 결정할 수 있다.The step of generating integrated presentation standard data according to an exemplary embodiment may determine characteristics of different names that perform a similar role among the features of the individual information elements as the same features on the integrated cyber threat expression standard data.

일 실시예에 따른 상기 통합 표현 규격 데이터를 생성하는 단계는 상기 사이버 위협 정보를 분석하는 분석 도구에서 사용되는 특징을 상기 통합 표현 규격 데이터 상의 일 특징으로 결정할 수 있다.The step of generating the integrated presentation standard data according to an exemplary embodiment may determine a feature used in the analysis tool for analyzing the cyber threat information as a feature on the integrated presentation standard data.

일 실시예에 따른 통합 표현 규격 데이터 생성 장치는 사이버 위협 정보에 대한 표현 규격 데이터를 수신하는 수신부; 상기 표현 규격 데이터에 포함된 개별 정보 요소의 특징에 대한 정보를 획득하는 특징 정보 획득부; 및 상기 개별 정보 요소의 특징에 대한 정보에 기초하여, 상기 개별 정보 요소의 특징을 모두 포함하고, 미리 정의된 구조체로 변환된 통합 표현 규격 데이터를 생성하는, 통합 표현 규격 데이터 생성부를 포함할 수 있다.The apparatus for generating an integrated presentation standard data according to an exemplary embodiment includes a receiving unit for receiving presentation standard data for cyber threat information; A feature information obtaining unit that obtains information on a feature of the individual information element included in the expression standard data; And an integrated expression specification data generation unit that includes all of the characteristics of the individual information element based on the information about the characteristic of the individual information element and generates integrated expression specification data converted into a predefined structure .

일 실시예에 따른 통합 표현 규격 데이터 생성부는 상기 개별 정보 요소의 특징 중 공통되는 특징 또는 상기 개별 정보 요소들에게 필수적으로 요구되는 특징을 상기 통합 표현 규격 데이터의 일 특징으로 결정할 수 있다.The integrated presentation specification data generation unit according to an embodiment may determine a characteristic common to all the characteristics of the individual information elements or a characteristic required for the individual information elements as a characteristic of the integrated presentation standard data.

일 실시예에 따른 통합 표현 규격 데이터 생성부는 상기 개별 정보 요소의 특징 중 유사한 역할을 수행하는 서로 다른 명칭의 특징을 상기 통합 표현 규격 데이터 상의 동일한 특징으로 결정할 수 있다.The integrated presentation standard data generation unit according to the embodiment may determine characteristics of different names that perform a similar role among the characteristics of the individual information elements as the same characteristics on the integrated presentation standard data.

일 실시예에 따른 상기 통합 표현 규격 데이터 생성부는 상기 사이버 위협 정보를 분석하는 분석 도구에서 사용되는 특징을 상기 통합 표현 규격 데이터 상의 일 특징으로 결정할 수 있다.The integrated presentation standard data generation unit according to an exemplary embodiment may determine a feature used in an analysis tool for analyzing the cyber threat information as a feature on the integrated presentation standard data.

도 1은 일 실시예에 따른 통합 표현 규격 데이터 생성 방법을 설명하기 위한 흐름도이다.
도 2a는 일 실시예에 따른 사이버 위협 정보에 대한 표현 규격 데이터의 형태를 설명하기 위한 도면이다.
도 2b는 일 실시예에 따른 일 개별 정보 요소의 표현 형태의 일례를 도시하는 도면이다.
도 3a는 일 실시예에 따른 사이버 위협 정보에 대한 통합 표현 규격 데이터의 형태를 설명하기 위한 도면이다.
도 3b는 일 실시예에 따른 통합 표현 규격 데이터의 표현 형태의 일례를 도시하는 도면이다.
도 4는 일 실시예에 따른 통합 표현 규격 데이터에 기초하여 사이버 위협 정보를 가공하는 가공방법을 설명하기 위한 흐름도이다.
도 5는 일 실시예에 따른 통합 표현 규격 데이터 생성 장치의 전체적인 구성을 도시하는 도면이다.FIG. 1 is a flowchart illustrating a method of generating integrated presentation specification data according to an exemplary embodiment of the present invention.
FIG. 2A is a view for explaining a form of presentation standard data for cyber threat information according to an embodiment.
FIG. 2B is a diagram showing an example of a representation form of one individual information element according to an embodiment. FIG.
FIG. 3A is a diagram for explaining a form of integrated presentation standard data for cyber threat information according to an embodiment.
FIG. 3B is a diagram showing an example of a representation format of integrated presentation standard data according to an embodiment.
FIG. 4 is a flowchart for explaining a processing method for processing cyber threat information based on integrated presentation standard data according to an embodiment.
5 is a diagram showing an overall configuration of an integrated presentation standard data generating apparatus according to an embodiment.

실시예들에 대한 구조적 또는 기능적 설명들은 단지 예시를 위한 목적으로 개시된 것으로서, 다양한 형태로 변경되어 실시될 수 있다. 따라서, 본 명세서의 범위는 개시된 실시예들의 특정한 형태로 한정되는 것이 아니라 설명한 기술적 사상에 포함되는 변경, 균등물, 또는 대체물을 포함한다.Structural or functional descriptions of embodiments are set forth for illustrative purposes only, and may be embodied with various changes and modifications. Accordingly, the scope of this disclosure is not intended to be limited to the specific forms of the disclosed embodiments, but includes variations, equivalents, or alternatives included in the described technical concepts.

제1 또는 제2 등의 용어를 다양한 구성요소들을 설명하는데 사용될 수 있지만, 이런 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 해석되어야 한다. 예를 들어, 제1 구성요소는 제2 구성요소로 명명될 수 있고, 유사하게 제2 구성요소는 제1 구성요소로도 명명될 수 있다.The terms first or second, etc. may be used to describe various elements, but such terms should be interpreted solely for the purpose of distinguishing one element from another. For example, the first component may be referred to as a second component, and similarly, the second component may also be referred to as a first component.

어떤 구성요소가 다른 구성요소에 "연결되어" 있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다.It is to be understood that when an element is referred to as being "connected" to another element, it may be directly connected or connected to the other element, although other elements may be present in between.

단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 명세서에서, "포함하다" 또는 "가지다" 등의 용어는 설명된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함으로 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.The singular expressions include plural expressions unless the context clearly dictates otherwise. In this specification, the terms "comprises ", or" having ", and the like, are used to specify one or more of the described features, integers, steps, But do not preclude the presence or addition of steps, operations, elements, parts, or combinations thereof.

다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 해당 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가진다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥상 가지는 의미와 일치하는 의미를 갖는 것으로 해석되어야 하며, 본 명세서에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.Unless otherwise defined, all terms used herein, including technical or scientific terms, have the same meaning as commonly understood by one of ordinary skill in the art. Terms such as those defined in commonly used dictionaries are to be interpreted as having a meaning consistent with the meaning of the context in the relevant art and, unless explicitly defined herein, are to be interpreted as ideal or overly formal Do not.

한편, 어떤 실시예가 달리 구현 가능한 경우에 특정 블록 내에 명기된 기능 또는 동작이 순서도와 다르게 수행될 수 있다. 예를 들어, 연속하는 두 블록들이 실제로는 실질적으로 동시에 수행될 수도 있고, 관련된 기능 또는 동작에 따라서는 해당 블록들의 순서가 뒤바뀌어 수행될 수도 있다.On the other hand, if an embodiment is otherwise feasible, the function or operation specified in a particular block may be performed differently from the flowchart. For example, two consecutive blocks may actually be executed at substantially the same time, and the blocks may be rearranged depending on the related function or operation.

이하, 실시예들을 첨부된 도면들을 참조하여 상세하게 설명한다. 첨부 도면을 참조하여 설명함에 있어, 도면 부호에 관계없이 동일한 구성 요소는 동일한 참조 부호를 부여하고, 이에 대한 중복되는 설명은 생략하기로 한다.Hereinafter, embodiments will be described in detail with reference to the accompanying drawings. DETAILED DESCRIPTION OF THE PREFERRED EMBODIMENTS In the following description of the present invention with reference to the accompanying drawings, the same components are denoted by the same reference numerals regardless of the reference numerals, and a duplicate description thereof will be omitted.

사이버 위협 정보를 표현하는 STIX(The Structured threat Information eXpression)을 토대로 머신 러닝(Machine Learning)을 통해 새로운 사이버 위협 정보를 추출하기 위하여, 자동화된 빅데이터 분석을 수행하기 위해서는, 머신 러닝에 대한 입력으로써 단일 형태의 입력 데이터가 요구된다. STIX의 데이터는 서로 다른 형태의 개별 정보 요소를 포함하기 때문에, 머신 러닝을 통한 데이터 분석을 위해서는 STIX에 포함된 데이터를 단일 형태의 데이터로 변환할 필요가 있다. 통합 표현 규격 데이터 생성 시스템은 데이터 분석을 위한 단일 형태의 입력 데이터 생성을 위하여 통합 표현 규격 데이터를 생성하고, 생성된 통합 표현 규격 데이터를 통해 사이버 위협 정보를 가공할 수 있다. 가공된 사이버 위협 정보는 머신 러닝을 위한 초기 입력으로 사용될 수 있고, 머신 러닝을 통한 데이터 분석을 통해 새로운 사이버 위협 정보가 추출될 수 있다. 본 명세서에서 사용되는 사이버 위협 정보라는 용어는 다양한 형태의 사이버 공격에 대한 내용을 포함하는 정보를 의미할 수 있다.In order to perform automated big data analysis in order to extract new cyber threat information through Machine Learning based on STIX (Representative Threat Information eXpression) representing cyber threat information, Type input data is required. Since the data of STIX includes different types of individual information elements, it is necessary to convert the data included in STIX into a single type of data in order to analyze data through machine learning. The integrated presentation standard data generation system can generate integrated presentation standard data for generating a single type of input data for data analysis, and process cyber threat information through the generated integrated presentation standard data. The processed cyber threat information can be used as an initial input for machine learning, and new cyber threat information can be extracted through data analysis through machine learning. As used herein, the term cyber threat information may refer to information including contents of various types of cyber attacks.

도 1은 일 실시예에 따른 통합 표현 규격 데이터 생성 방법을 설명하기 위한 흐름도이다.FIG. 1 is a flowchart illustrating a method of generating integrated presentation specification data according to an exemplary embodiment of the present invention.

도 1을 참조하면, 단계(110)에서 통합 표현 규격 데이터 생성 장치는 사이버 위협 정보에 대한 표현 규격 데이터를 수신할 수 있다. 일 실시예에 따르면, 사이버 위협 정보에 대한 표현 규격 데이터는 STIX일 수 있다. STIX는 미국의 국토안보부에서 사이버 위협 정보를 표준화한 것으로, STIX는 지속적인 업데이트를 통해 변화하는 사이버 공격에 대한 사이버 위협 정보가 반영될 수 있다. 통합 표현 규격 데이터 생성 장치는 업데이트가 진행된 현재 버전의 STIX를 수신하고, 수신한 STIX를 토대로 통합 표현 규격 데이터를 생성할 수 있다.Referring to FIG. 1, in step 110, the integrated presentation standard data generating apparatus may receive presentation standard data for cyber threat information. According to one embodiment, the presentation specification data for the cyber threat information may be STIX. STIX is a standardization of cyber threat information by the US Department of Homeland Security, and STIX can be updated with cyber threat information about cyber attacks. The integrated presentation specification data generation device may receive the current version of STIX that has been updated, and may generate the integrated presentation specification data based on the received STIX.

단계(130)에서 통합 표현 규격 데이터 생성 장치는 수신한 표현 규격 데이터에 포함된 개별 정보 요소들을 분석할 수 있다. 사이버 위협 정보에 대한 표현 규격 데이터는 공격에 대한 공격자의 행태 양식에 대한 개별 정보 요소, 위협 탐지를 위한 패턴에 대한 개별 정보 요소와 같이 복수 개의 개별 정보 요소를 포함할 수 있다.In step 130, the integrated presentation specification data generation device may analyze the individual information elements included in the received presentation specification data. The expression specification data for the cyber threat information may include a plurality of individual information elements such as an individual information element for an attacker's behavior pattern for an attack and individual information elements for a pattern for threat detection.

일 실시예에 따르면, 개별 정보 요소들은 모든 개별 정보 요소들이 공통으로 포함하는 특징을 포함할 수 있다. 예를 들어, 모든 개별 정보 요소들이 공통으로 포함하는 특징은 개별 정보 요소의 유형에 대한 특징, 개별 정보 요소의 유형에 대한 식별자에 대한 특징, 개별 정보 요소가 생성된 날짜에 대한 정보를 포함할 수 있지만, 공통으로 포함되는 특징은 제시된 예시에 한정되지 않을 수 있다.According to one embodiment, the individual information elements may include features that are common to all individual information elements. For example, the characteristics that all the individual information elements commonly include may include information about the type of the individual information element, a characteristic of the identifier for the type of the individual information element, and information about the date when the individual information element was created However, the features included in common may not be limited to the examples shown.

일 실시예에 따르면, 개별 정보 요소는 개별 정보 요소마다 정의된 특징을 포함할 수 있다. 개별 정보 요소마다 정의된 특징은 해당 특징에 대한 특징 값이 반드시 필요한 특징, 선택적으로 포함할 수 있는 특징, 미래에 사용될 것으로 대비하여 할당되는 특징으로 유형이 분류될 수 있다.According to one embodiment, the individual information elements may include features defined for each individual information element. The features defined for each individual information element can be classified into the features that the feature values for the feature must necessarily have, the features that can be selectively included, and the features that are allocated in preparation for future use.

일 실시예에 따르면 개별 정보 요소는 일부 개별 정보 요소와 연관되는 특징을 포함할 수 있다. 예를 들어, 개별 정보 요소가 포함하는 일 특징은 일부의 개별 정보 요소들에는 포함되지만, 나머지 개별 정보 요소에는 포함되지 않을 수 있다.According to one embodiment, the individual information elements may include features associated with some individual information elements. For example, one feature included in the individual information element may be included in some individual information elements, but not in the remaining individual information elements.

통합 표현 규격 데이터 생성 장치는 단계(110)에서 수신한 표현 규격 데이터에 포함된 개별 정보 요소들에 모두에 포함된 공통 특징들 및 개별 정보 요소에 대하여 고유하게 정의된 특징들을 분류하고, 개별 정보 요소에 고유하게 정의된 특징들의 유형을 분류함으로써, 표현 규격 데이터에 포함된 개별 정보 요소들을 분석할 수 있다.The integrated expression standard data generation apparatus classifies the characteristics defined uniquely for the common characteristics and the individual information elements contained in all of the individual information elements included in the expression standard data received in step 110, The individual information elements included in the expression specification data can be analyzed by classifying the types of the characteristics uniquely defined in the expression specification data.

단계(150)에서, 통합 표현 규격 데이터 생성 장치는 단계(130)의 분석 결과에 기초하여 개별 정보 요소들의 특징을 모두 포함하고, 미리 정의된 구조체로 변환된 사이버 위협 정보에 대한 통합 표현 규격 데이터를 생성할 수 있다.In step 150, the integrated presentation specification data generation device includes all of the characteristics of the individual information elements based on the analysis result of step 130, and stores the integrated presentation specification data on cyber threat information converted into the predefined structure Can be generated.

일 실시예에 따르면, 통합 표현 규격 데이터 생성 장치는 개별 정보 요소들의 특징 중 공통되는 특징 또는 개별 정보 요소들에게 필수적으로 요구되는 특징을 통합 표현 규격 데이터의 일 특징으로 결정할 수 있다. 예를 들어, 통합 표현 규격 데이터 생성 장치는 개별 정보 요소의 유형에 대한 특징과 같이 모든 개별 정보 요소가 포함하거나 개별 정보 요소들에게 필수적으로 요구되는 특징을 통합 표현 규격 데이터의 일 특징으로 결정할 수 있다.According to one embodiment, the integrated presentation specification data generating device may determine, as a feature of the integrated presentation specification data, a feature that is common to the individual information elements or a feature required for the individual information elements. For example, the integrated presentation specification data generation apparatus may determine, as a characteristic of the integrated presentation specification data, a characteristic that all the individual information elements include or are essential to the individual information elements, such as a characteristic of the type of the individual information element .

일 실시예에 따르면, 통합 표현 규격 데이터 생성 장치는 개별 정보 요소의 특징들 중 유사한 역할을 수행하는 서로 다른 명칭의 특징을 통합 표현 규격 데이터 상의 동일한 특징으로 결정할 수 있다. 예를 들어, 개별 정보 요소가 생성된 날짜에 대한 특징이 일 개별 정보 요소와 다른 개별 정보 요소에서 서로 다른 명칭으로 정의되어 있는 경우, 통합 표현 규격 데이터 생성 장치는 서로 다른 명칭으로 정의된 특징을 동일한 명칭을 통해 통합 표현 규격 데이터 상에 일 특징으로 통합시킬 수 있다.According to one embodiment, the integrated presentation specification data generation apparatus can determine characteristics of different names that perform similar roles among the features of the individual information elements as the same characteristics on the integrated presentation specification data. For example, when a characteristic of a date on which an individual information element is generated is defined as a different name in one individual information element and in a different individual information element, the integrated expression standard data generation device generates a characteristic defined by a different name May be integrated into the integrated representation data specification via a name.

일 실시예에 따르면, 통합 표현 규격 데이터 생성 장치는 사이버 위협 정보를 분석하는 분석 도구에서 사용되는 특징을 통합 표현 규격 데이터 상의 일 특징으로 결정할 수 있다. 예를 들어, 통합 표현 규격 데이터 생성 장치는 사이버 위협 정보를 분석하는 분석 도구로써 사용되는 머신 러닝에서 데이터 분석에 필수적으로 사용되는 특징을 통합 표현 규격 데이터의 일 특징으로 결정할 수 있다.According to one embodiment, the integrated presentation specification data generating device can determine a feature used in an analysis tool for analyzing cyber threat information as a feature on integrated presentation specification data. For example, the integrated presentation standard data generating apparatus can determine a feature, which is essential for data analysis in machine learning used as an analysis tool for analyzing cyber threat information, as a feature of integrated presentation specification data.

도 2a는 일 실시예에 따른 사이버 위협 정보에 대한 표현 규격 데이터의 형태를 설명하기 위한 도면이다.FIG. 2A is a view for explaining a form of presentation standard data for cyber threat information according to an embodiment.

도 2a를 참조하면, 표현 규격 데이터는 공격에 대한 공격자의 행태 양식에 개별 정보 요소, 대상에 대한 공격 행동의 그룹에 대한 개별 정보 요소, 공격에 대응하기 위한 조치에 대한 개별 정보 요소, 공격 및 위협요소를 나타내는 ID에 대한 개별 정보 요소, 위협 탐지를 위한 패턴에 대한 개별 정보 요소, 공통된 속성의 공격 set에 대한 개별 정보 요소, 악성 코드 정보에 대한 개별 정보 요소, 시스템/네트워크에서 관찰된 정보에 대한 개별 정보 요소, 위협 정보 모음에 대한 개별 정보 요소, 악의적인 행위자로 간주되는 주체에 대한 개별 정보 요소, 공격에 사용될 수 있는 도구에 대한 개별 정보 요소, 소프트웨어의 실수로 발생하는 취약점에 대한 개별 정보 요소를 포함할 수 있다. 표현 규격 데이터에 포함되는 개별 정보 요소는 제시된 예시에 한정되지 않고, 사이버 위협 정보와 관련된 임의의 정보 요소를 포함할 수 있다.Referring to FIG. 2A, the expression specification data includes an individual information element in an attacker's behavior form for an attack, individual information elements for a group of attacking actions on an object, individual information elements for an action to respond to an attack, An individual information element for the ID indicating the element, an individual information element for the pattern for the threat detection, individual information elements for the attack set of the common attribute, individual information elements for the malicious code information, information for the system / Individual Information Elements, Individual Information Elements for the Threat Information Collection, Individual Information Elements for the Subject to be considered Malicious Actors, Individual Information Elements for the Tools that can be Used for Attacks, Individual Information Elements for Vulnerable Software Vulnerabilities . ≪ / RTI > The individual information elements included in the expression specification data are not limited to the example shown and may include any information element related to the cyber threat information.

도 2b는 일 실시예에 따른 일 개별 정보 요소의 표현 형태의 일례를 도시하는 도면이다.FIG. 2B is a diagram showing an example of a representation form of one individual information element according to an embodiment. FIG.

도 2b에는 소프트웨어의 실수로 발생하는 취약점에 대한 개별 정보 요소인 'Vulnerability'에 포함되는 특징들 및 특징들에 대응되는 특징 값을 포함하는 데이터 구조체가 도시된다. 개별 정보 요소 'Vulnerability'는 특징으로 'type', 'id', 'created', 'modified', 'name' 및 'external_references'를 포함할 수 있고, 제시된 특징들에 대한 특징 값들은 특징들에 대응하여 데이터 구조체 상에 제시될 수 있다.FIG. 2B shows a data structure including feature values corresponding to features and features included in 'Vulnerability', which is an individual information element for a vulnerability that occurs due to a mistake in software. The individual information element 'Vulnerability' may include 'type', 'id', 'created', 'modified', 'name' and 'external_references', and the feature values for the presented features may correspond to the features And presented on the data structure.

도 3a는 일 실시예에 따른 사이버 위협 정보에 대한 통합 표현 규격 데이터의 형태를 설명하기 위한 도면이다.FIG. 3A is a diagram for explaining a form of integrated presentation standard data for cyber threat information according to an embodiment.

일 실시예에 따르면, 통합 표현 규격 데이터 생성 장치는 개별 정보 요소들의 특징 중 공통되는 특징 또는 개별 정보 요소들에게 필수적으로 요구되는 특징을 통합 표현 규격 데이터의 일 특징으로 결정할 수 있고, 개별 정보 요소의 특징들 중 유사한 역할을 수행하는 서로 다른 명칭의 특징들을 통합 표현 규격 데이터 상의 동일한 특징으로 결정할 수 있고, 사이버 위협 정보를 분석하는 분석 도구에서 사용되는 특징을 통합 표현 규격 데이터 상의 일 특징으로 결정할 수 있다.According to one embodiment, the integrated presentation specification data generation apparatus can determine, as a characteristic of the integrated presentation specification data, a characteristic that is essential to the common characteristics or individual information elements of the characteristics of the individual information elements, Features of different names that perform similar roles among the features can be determined as the same features on the integrated presentation specification data and features used in the analysis tool for analyzing the cyber threat information can be determined as a feature on the integrated presentation specification data .

도 3a를 참조하면, 통합 표현 규격 데이터는 개별 정보 요소의 유형에 대한 정보, 개별 정보 요소의 식별자에 대한 정보, 처음 생성된 날짜에 대한 정보, 포함된 세부 정보 요소의 세부적 유형에 대한 정보, 세부 정보 요소의 식별자에 대한 정보, 위협에 대한 대응 및 예방할 수 있는 행동에 대한 정보, 위협에 대하여 관찰되는 패턴에 대한 정보, 목적 및 목표에 대한 정보, 핵심 특징을 포함하는 자세한 설명에 대한 정보, 세부 정보 요소에 대한 내용의 외부 참조에 대한 정보를 일 특징으로 포함할 수 있다. 통합 표현 규격 데이터에 포함되는 특징에 대한 정보는 제시된 예시에 한정되지 않고, 임의의 사이버 위협에 대한 정보 및 사이버 위협 정보의 분석을 위한 정보를 포함할 수 있다.Referring to FIG. 3A, the integrated presentation specification data includes information on the type of the individual information element, information on the identifier of the individual information element, information on the date of the first generation, information on the detailed type of the detailed information element included, Information about the identifiers of the information elements, information about the responses to the threats and actions that can be prevented, information about the patterns observed for the threats, information about the goals and objectives, information about the detailed descriptions including key features, Information about the external reference of the content to the information element. The information on the characteristics included in the integrated presentation standard data is not limited to the examples shown, but may include information on any cyber threat and information on analysis of the cyber threat information.

도 3b는 일 실시예에 따른 통합 표현 규격 데이터의 표현 형태의 일례를 도시하는 도면이다.FIG. 3B is a diagram showing an example of a representation format of integrated presentation standard data according to an embodiment.

도 3b에는 소프트웨어의 실수로 발생하는 취약점에 대한 개별 정보 요소인 'Vulnerability'에 대한 데이터를 통합 표현 규격 데이터를 통해 표현한 데이터 구조체의 일례를 도시하는 도면이다. 개별 정보 요소 'Vulnerability'는 특징으로 'type', 'id', 'created', 'labels', 'name', 'action', 'pattern', 'goal', description 및 'references'를 포함할 수 있고, 제시된 특징들에 대한 특징 값들은 특징들에 대응하여 데이터 구조체 상에 제시될 수 있다.FIG. 3B is a diagram showing an example of a data structure in which data on 'Vulnerability', which is an individual information element for a vulnerability caused by a mistake of the software, is expressed through integrated expression standard data. Individual information element 'Vulnerability' can include 'type', 'id', 'created', 'labels', 'name', 'action', 'pattern', 'goal', description and 'references' And the feature values for the presented features may be presented on the data structure corresponding to the features.

도 4는 일 실시예에 따른 통합 표현 규격 데이터에 기초하여 사이버 위협 정보를 가공하는 가공방법을 설명하기 위한 흐름도이다.FIG. 4 is a flowchart for explaining a processing method for processing cyber threat information based on integrated presentation standard data according to an embodiment.

단계(410)에서 사이버 위협 정보 가공 장치는 사이버 위협 정보를 수신할 수 있다.In operation 410, the cyber threat information processing device may receive the cyber threat information.

단계(430)에서 사이버 위협 정보 가공 장치는 수신한 사이버 위협 정보에 대한 표현 규격 데이터에 기초하여 사이버 위협 정보에 대한 통합 표현 규격 데이터를 생성할 수 있다.In operation 430, the cyber threat information processing device may generate integrated expression standard data for cyber threat information based on the expression standard data on the received cyber threat information.

일 실시예에 따르면, 사이버 위협 정보 가공 장치는 사이버 위협 정보에 대한 표현 규격 데이터에 포함된 개별 정보 요소의 특징에 대한 정보를 획득하고, 획득한 개별 정보 요소의 특징에 대한 정보에 기초하여 개별 정보 요소의 특징을 모두 포함하고, 미리 정의된 구조체로 변환된 사이버 위협 정보에 대한 통합 표현 규격 데이터를 생성할 수 있다.According to one embodiment, the cyber threat information processing apparatus obtains information on the characteristics of the individual information elements included in the expression standard data for the cyber threat information, and based on the information on the characteristics of the acquired individual information elements, Integrated feature specification data for the cyber threat information including all the features of the element and converted into the predefined structure can be generated.

일 실시예에 따르면, 개별 정보 요소의 특징 중 공통되는 특징 또는 개별 정보 요소들에게 필수적으로 요구되는 특징은 통합 표현 규격 데이터 상의 일 특징으로 결정될 수 있다. 개별 정보 요소의 특징 중 유사한 역할을 수행하는 서로 다른 명칭의 특징들은 통합 사이버 위협 표현 규격 데이터 상의 동일한 특징으로 결정될 수 있다. 사이버 위협 정보를 분석하는 분석 도구에서 사용되는 특징은 통합 표현 규격 데이터 상의 일 특징으로 결정될 수 있다.According to one embodiment, features that are common among the features of the individual information elements or those that are essential to the individual information elements may be determined as a feature on the integrated presentation specification data. The characteristics of different names that perform similar roles among the features of the individual information elements can be determined by the same characteristics on the integrated cyber threat expression standard data. The features used in the analysis tool for analyzing the cyber threat information can be determined as a feature on the integrated presentation specification data.

단계(450)에서 사이버 위협 정보 가공 장치는 생성된 통합 표현 규격 데이터에 기초하여 사이버 위협 정보를 가공할 수 있다. 사이버 위협 정보 가공 장치는 통합 표현 규격 데이터에 포함되는 특징들에 기초하여 사이버 위협 정보를 분류함으로써 사이버 위협 정보를 가공할 수 있다. 예를 들어, 도 2b에 도시된 사이버 위협 정보는 가공을 통해 도 3b에 제시된 데이터로 변환됨으로써, 단일 형태의 데이터 구조체가 형성될 수 있다.In operation 450, the cyber threat information processing apparatus can process the cyber threat information based on the generated integrated expression standard data. The cyber threat information processing apparatus can process the cyber threat information by classifying the cyber threat information based on the characteristics included in the integrated presentation standard data. For example, the cyber threat information shown in FIG. 2B is transformed into data shown in FIG. 3B through processing, so that a single type of data structure can be formed.

도 5는 일 실시예에 따른 통합 표현 규격 데이터 생성 장치의 전체적인 구성을 도시하는 도면이다.5 is a diagram showing an overall configuration of an integrated presentation standard data generating apparatus according to an embodiment.

도 5를 참조하면, 통합 표현 규격 데이터 생성 장치(500)는 사이버 위협 정보에 대한 표현 규격 데이터를 수신하는 수신부(510), 표현 규격 데이터에 포함된 개별 정보 요소의 특징에 대한 정보를 획득하는 특징 정보 획득부(530), 사이버 위협 정보에 대한 통합 표현 규격 데이터를 생성하는 통합 표현 규격 데이터 생성부(550) 및 생성된 통합 표현 규격 데이터를 저장하는 데이터 베이스(570)를 포함할 수 있다.Referring to FIG. 5, the integrated presentation standard data generating apparatus 500 includes a receiving unit 510 for receiving presentation standard data for cyber threat information, a feature for acquiring information on characteristics of the individual information elements included in the presentation standard data, An information acquisition unit 530, an integrated expression standard data generation unit 550 for generating integrated expression standard data for the cyber threat information, and a database 570 for storing the generated integrated expression standard data.

일 실시예에 따르면 통합 표현 규격 데이터 생성부(550)는 특징 정보 획득부(530)를 통해 획득한 개별 요소의 특징에 대한 정보에 기초하여 개별 정보 요소의 특징을 모두 포함하고, 미리 정의된 구조체로 변환된 통합 규격 데이터를 생성할 수 있다. 예를 들어, 사이버 위협 정보에 대한 표현 규격 데이터는 STIX일 수 있고, 통합 표현 규격 데이터 생성부(550)는 표현 규격 데이터에 포함된 개별 정보 요소의 특징들 중 공통되는 특징 또는 개별 정보 요소들에게 필수적으로 요구되는 특징을 통합 표현 규격 데이터의 일 특징으로 결정할 수 있다. 통합 표현 규격 데이터 생성부(550)는 개별 정보 요소의 특징 중 유사한 역할을 수행하는 서로 다른 명칭의 특징을 통합 표현 규격 데이터 상의 동일한 특징으로 결정할 수 있다. 또한, 통합 표현 규격 데이터 생성부(550)는 사이버 위협 정보를 분석하는 분석 도구에서 사용되는 특징을 통합 표현 규격 데이터 상의 일 특징으로 결정할 수 있다.According to one embodiment, the integrated presentation standard data generation unit 550 includes all the characteristics of the individual information elements based on the information about the characteristics of the individual elements acquired through the characteristic information acquisition unit 530, The integrated standard data can be generated. For example, the presentation standard data for the cyber threat information may be STIX, and the integrated presentation standard data generator 550 may generate the common presentation characteristic data or individual information elements of the individual information elements included in the presentation standard data It is possible to determine the essential required features as one characteristic of the integrated presentation specification data. The integrated presentation standard data generation unit 550 may determine the characteristics of the different names that perform similar roles among the features of the individual information elements as the same characteristics on the integrated presentation standard data. In addition, the integrated presentation standard data generation unit 550 may determine a feature used in the analysis tool for analyzing the cyber threat information as a feature on the integrated presentation standard data.

실시예들에서 설명된 구성요소들은 하나 이상의 DSP (digital signal processor), 프로세서, 컨트롤러, ASIC (application specific integrated circuit), FPGA (field programmable gate array)와 같은 프로그래머블 논리 소자, 다른 전자 기기들 및 이것들의 조합 중 하나 이상을 포함하는 하드웨어 구성 요소에 의해 구현될 수 있다. 실시예들에서 설명된 과정들 또는 기능들 중 적어도 일부는 소프트웨어에 의해 구현될 수 있고, 해당 소프트웨어는 기록 매체에 기록될 수 있다. 실시예들에서 설명된 구성요소들, 기능들 및 과정들은 하드웨어와 소프트웨어의 조합에 의해 구현될 수 있다.The components described in the embodiments may be implemented by one or more programmable logic devices such as a digital signal processor (DSP), a processor, a controller, an application specific integrated circuit (ASIC), a field programmable gate array (FPGA), other electronic devices, Or a combination of hardware and software. At least some of the processes or functions described in the embodiments may be implemented by software, and the software may be recorded on a recording medium. The components, functions and processes described in the embodiments may be implemented by a combination of hardware and software.

실시예에 따른 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 컴퓨터 판독 가능 매체에 기록되는 프로그램 명령은 실시예를 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 실시예의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.The method according to an embodiment may be implemented in the form of a program command that can be executed through various computer means and recorded in a computer-readable medium. The computer readable medium may include program instructions, data files, data structures, and the like, alone or in combination. Program instructions to be recorded on a computer-readable medium may be those specially designed and constructed for an embodiment or may be available to those skilled in the art of computer software. Examples of computer-readable media include magnetic media such as hard disks, floppy disks and magnetic tape; optical media such as CD-ROMs and DVDs; magnetic media such as floppy disks; Magneto-optical media, and hardware devices specifically configured to store and execute program instructions such as ROM, RAM, flash memory, and the like. Examples of program instructions include machine language code such as those produced by a compiler, as well as high-level language code that can be executed by a computer using an interpreter or the like. The hardware devices described above may be configured to operate as one or more software modules to perform the operations of the embodiments, and vice versa.

이상과 같이 실시예들이 비록 한정된 도면에 의해 설명되었으나, 해당 기술분야에서 통상의 지식을 가진 자라면 상기를 기초로 다양한 기술적 수정 및 변형을 적용할 수 있다. 예를 들어, 설명된 기술들이 설명된 방법과 다른 순서로 수행되거나, 및/또는 설명된 시스템, 구조, 장치, 회로 등의 구성요소들이 설명된 방법과 다른 형태로 결합 또는 조합되거나, 다른 구성요소 또는 균등물에 의하여 대치되거나 치환되더라도 적절한 결과가 달성될 수 있다.Although the embodiments have been described with reference to the drawings, various technical modifications and variations may be applied to those skilled in the art. For example, it is to be understood that the techniques described may be performed in a different order than the described methods, and / or that components of the described systems, structures, devices, circuits, Lt; / RTI > or equivalents, even if it is replaced or replaced.

Claims (20)

사이버 위협 정보에 대한 표현 규격 데이터를 수신하는 단계;
상기 표현 규격 데이터에 포함된 개별 정보 요소들을 분석하는 단계; 및
상기 분석 결과에 기초하여, 상기 개별 정보 요소들의 특징을 포함하고, 미리 정의된 구조체로 변환된 상기 사이버 위협 정보에 대한 통합 표현 규격 데이터를 생성하는 단계
를 포함하는, 통합 표현 규격 데이터 생성 방법.Receiving expression specification data for cyber threat information;
Analyzing individual information elements included in the expression specification data; And
Generating integrated presentation specification data for the cyber threat information including the characteristics of the individual information elements based on the analysis result and converted into a predefined structure;
And generating the integrated representation specification data. 제1항에 있어서,
상기 사이버 위협 정보에 대한 표현 규격 데이터 표현 규격 데이터는,
STIX(The Structured Threat Information eXpression)인, 통합 표현 규격 데이터 생성 방법.The method according to claim 1,
Wherein the expression standard data expression standard data for the cyber threat information comprises:
A method for generating an integrated representation specification data, the STIX (Structured Threat Information Expression). 제1항에 있어서,
상기 통합 표현 규격 데이터를 생성하는 단계는,
상기 개별 정보 요소들의 특징 중 공통되는 특징 또는 상기 개별 정보 요소들에게 필수적으로 요구되는 특징을 상기 통합 표현 규격 데이터의 일 특징으로 결정하는, 통합 표현 규격 데이터 생성 방법.The method according to claim 1,
Wherein the step of generating the integrated presentation specification data comprises:
Wherein a characteristic common to all of the characteristics of the individual information elements or a characteristic essential to the individual information elements is determined as a characteristic of the integrated representation standard data. 제1항에 있어서,
상기 통합 표현 규격 데이터를 생성하는 단계는,
상기 개별 정보 요소의 특징들 중 유사한 역할을 수행하는 서로 다른 명칭의 특징을 상기 통합 표현 규격 데이터 상의 동일한 특징으로 결정하는, 통합 표현 규격 데이터 생성 방법.The method according to claim 1,
Wherein the step of generating the integrated presentation specification data comprises:
Wherein the characteristics of different names that perform a similar role among the features of the individual information elements are determined as the same features on the integrated expression standard data. 제1항에 있어서,
상기 통합 표현 규격 데이터를 생성하는 단계는,
상기 사이버 위협 정보를 분석하는 분석 도구에서 사용되는 특징을 상기 통합 표현 규격 데이터 상의 일 특징으로 결정하는, 통합 표현 규격 데이터 생성 방법.The method according to claim 1,
Wherein the step of generating the integrated presentation specification data comprises:
Wherein the feature used in the analysis tool for analyzing the cyber threat information is determined as a feature on the integrated presentation standard data. 제5항에 있어서,
상기 분석 도구는,
머신 러닝(machine learning)을 포함하는, 통합 표현 규격 데이터 생성 방법.6. The method of claim 5,
The analysis tool comprises:
A method of generating integrated representation specification data, comprising machine learning. 제1항에 있어서,
상기 통합 표현 규격 데이터는,
상기 개별 정보 요소의 유형에 대한 정보 및 상기 개별 정보 요소의 식별자에 대한 정보를 일 특징으로 포함하는, 통합 표현 규격 데이터 생성 방법.The method according to claim 1,
The integrated presentation standard data includes:
Information on the type of the individual information element and information on the identifier of the individual information element. 제1항에 있어서,
상기 통합 표현 규격 데이터는,
상기 개별 정보 요소에 포함되는 세부 정보 요소에 대한 정보를 일 특징으로 포함하는, 통합 표현 규격 데이터 생성 방법.The method according to claim 1,
The integrated presentation standard data includes:
And information on detailed information elements included in the individual information elements. 제1항에 있어서,
상기 통합 표현 규격 데이터는,
사이버 위협에 대한 대응 방안에 대한 정보를 일 특징으로 포함하는, 통합 표현 규격 데이터 생성 방법.The method according to claim 1,
The integrated presentation standard data includes:
Wherein the information about the countermeasure against the cyber threat is included as one feature. 사이버 위협 정보를 수신하는 단계;
상기 사이버 위협 정보에 대한 표현 규격 데이터에 기초하여, 상기 사이버 위협 정보에 대한 통합 표현 규격 데이터를 생성하는 단계; 및
상기 통합 표현 규격 데이터에 기초하여, 상기 사이버 위협 정보를 가공하는 단계
를 포함하는, 사이버 위협 정보 가공방법.Receiving cyber threat information;
Generating integrated expression standard data for the cyber threat information based on the expression standard data for the cyber threat information; And
Processing the cyber threat information based on the integrated expression standard data
And processing the cyber threat information. 제10항에 있어서,
상기 사이버 위협 정보를 가공하는 단계는,
상기 통합 표현 규격 데이터에 포함되는 특징들에 기초하여 상기 사이버 위협 정보를 분류하는, 사이버 위협 정보 가공 방법.11. The method of claim 10,
The step of processing the cyber threat information includes:
And classifying the cyber threat information based on features included in the integrated presentation standard data. 제10항에 있어서,
상기 통합 표현 규격 데이터를 생성하는 단계는,
상기 사이버 위협 정보에 대한 표현 규격 데이터에 포함된 개별 정보 요소의 특징에 대한 정보를 획득하는 단계; 및
상기 개별 정보 요소의 특징에 대한 정보에 기초하여, 상기 개별 정보 요소의 특징을 모두 포함하고, 미리 정의된 구조체로 변환된 상기 사이버 위협 정보에 대한 통합 표현 규격 데이터를 생성하는 단계
를 포함하는, 사이버 위협 정보 가공방법.11. The method of claim 10,
Wherein the step of generating the integrated presentation specification data comprises:
Obtaining information on characteristics of the individual information elements included in the expression standard data for the cyber threat information; And
Generating integrated expression standard data for the cyber threat information including all of the characteristics of the individual information element and converted into a predefined structure based on the information about the characteristic of the individual information element
And processing the cyber threat information. 제12항에 있어서,
상기 통합 표현 규격 데이터를 생성하는 단계는,
상기 개별 정보 요소의 특징 중 공통되는 특징 또는 상기 개별 정보 요소들에게 필수적으로 요구되는 특징을 상기 통합 표현 규격 데이터의 일 특징으로 결정하는, 사이버 위협 정보 가공방법.13. The method of claim 12,
Wherein the step of generating the integrated presentation specification data comprises:
Wherein a characteristic common to all of the features of the individual information elements or features essential to the individual information elements is determined as a characteristic of the integrated presentation standard data. 제12항에 있어서,
상기 통합 표현 규격 데이터를 생성하는 단계는,
상기 개별 정보 요소의 특징 중 유사한 역할을 수행하는 서로 다른 명칭의 특징을 상기 통합 사이버 위협 표현 규격 데이터 상의 동일한 특징으로 결정하는, 사이버 위협 정보 가공방법.13. The method of claim 12,
Wherein the step of generating the integrated presentation specification data comprises:
Wherein a characteristic of a different name that performs a similar role among the features of the individual information element is determined to be the same feature on the integrated cyber threat expression standard data. 제12항에 있어서,
상기 통합 표현 규격 데이터를 생성하는 단계는,
상기 사이버 위협 정보를 분석하는 분석 도구에서 사용되는 특징을 상기 통합 표현 규격 데이터 상의 일 특징으로 결정하는, 사이버 위협 정보 가공방법.13. The method of claim 12,
Wherein the step of generating the integrated presentation specification data comprises:
Wherein the feature used in the analysis tool for analyzing the cyber threat information is determined as a feature on the integrated expression standard data. 사이버 위협 정보에 대한 표현 규격 데이터를 수신하는 수신부;
상기 표현 규격 데이터에 포함된 개별 정보 요소의 특징에 대한 정보를 획득하는 특징 정보 획득부; 및
상기 개별 정보 요소의 특징에 대한 정보에 기초하여, 상기 개별 정보 요소의 특징을 모두 포함하고, 미리 정의된 구조체로 변환된 통합 표현 규격 데이터를 생성하는, 통합 표현 규격 데이터 생성부
를 포함하는, 통합 표현 규격 데이터 생성 장치.A receiving unit for receiving the presentation standard data for the cyber threat information;
A feature information obtaining unit that obtains information on a feature of the individual information element included in the expression standard data; And
And generating integrated expression specification data including all of the characteristics of the individual information elements and converted into a predefined structure based on information on the characteristic of the individual information element,
Wherein the integrated expression specification data generation apparatus comprises: 제16항에 있어서,
상기 통합 표현 규격 데이터 생성부는,
상기 개별 정보 요소의 특징 중 공통되는 특징 또는 상기 개별 정보 요소들에게 필수적으로 요구되는 특징을 상기 통합 표현 규격 데이터의 일 특징으로 결정하는, 통합 표현 규격 데이터 생성 장치.17. The method of claim 16,
Wherein the integrated expression standard data generation unit comprises:
Wherein the characteristic of the integrated presentation specification data is determined as a characteristic common to all the features of the individual information element or a feature required for the individual information elements as a characteristic of the integrated presentation standard data. 제16항에 있어서,
상기 통합 표현 규격 데이터 생성부는,
상기 개별 정보 요소의 특징 중 유사한 역할을 수행하는 서로 다른 명칭의 특징을 상기 통합 표현 규격 데이터 상의 동일한 특징으로 결정하는, 통합 표현 규격 데이터 생성 장치.17. The method of claim 16,
Wherein the integrated expression standard data generation unit comprises:
Wherein the characteristics of different names that perform similar roles among the features of the individual information elements are determined as the same features on the integrated expression standard data. 제16항에 있어서,
상기 통합 표현 규격 데이터 생성부는,
상기 사이버 위협 정보를 분석하는 분석 도구에서 사용되는 특징을 상기 통합 표현 규격 데이터 상의 일 특징으로 결정하는, 통합 표현 규격 데이터 생성 장치.17. The method of claim 16,
Wherein the integrated expression standard data generation unit comprises:
And the feature used in the analysis tool for analyzing the cyber threat information is determined as a feature on the integrated expression standard data. 제1항 내지 제15항 중 어느 한 항의 방법을 구현하기 위한 프로그램이 기록된 컴퓨터로 읽을 수 있는 기록 매체.15. A computer-readable recording medium on which a program for implementing the method of any one of claims 1 to 15 is recorded.
KR1020170171242A 2017-12-13 2017-12-13 Apparatus and method for generating integrated representation specification data for cyber threat information KR102081492B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020170171242A KR102081492B1 (en) 2017-12-13 2017-12-13 Apparatus and method for generating integrated representation specification data for cyber threat information

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020170171242A KR102081492B1 (en) 2017-12-13 2017-12-13 Apparatus and method for generating integrated representation specification data for cyber threat information

Publications (2)

Publication Number Publication Date
KR20190070583A true KR20190070583A (en) 2019-06-21
KR102081492B1 KR102081492B1 (en) 2020-02-25

Family

ID=67056626

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020170171242A KR102081492B1 (en) 2017-12-13 2017-12-13 Apparatus and method for generating integrated representation specification data for cyber threat information

Country Status (1)

Country Link
KR (1) KR102081492B1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11503047B2 (en) 2020-03-13 2022-11-15 International Business Machines Corporation Relationship-based conversion of cyber threat data into a narrative-like format

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20160119678A (en) * 2015-10-30 2016-10-14 엑스브레인 주식회사 Method and apparatus for detecting malicious web traffic using machine learning technology
US20160366174A1 (en) * 2015-04-17 2016-12-15 Soltra Solutions, Llc Computerized system and method for securely distributing and exchanging cyber-threat information in a standardized format
KR20170035248A (en) * 2015-09-22 2017-03-30 국방과학연구소 Apparatus for automatically classifying electronic war threatening signal using statistical model
KR20170135495A (en) * 2016-05-31 2017-12-08 주식회사 씨티아이랩 Cyber Threat Information Analysis and Management System

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20160366174A1 (en) * 2015-04-17 2016-12-15 Soltra Solutions, Llc Computerized system and method for securely distributing and exchanging cyber-threat information in a standardized format
KR20170035248A (en) * 2015-09-22 2017-03-30 국방과학연구소 Apparatus for automatically classifying electronic war threatening signal using statistical model
KR20160119678A (en) * 2015-10-30 2016-10-14 엑스브레인 주식회사 Method and apparatus for detecting malicious web traffic using machine learning technology
KR20170135495A (en) * 2016-05-31 2017-12-08 주식회사 씨티아이랩 Cyber Threat Information Analysis and Management System

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11503047B2 (en) 2020-03-13 2022-11-15 International Business Machines Corporation Relationship-based conversion of cyber threat data into a narrative-like format
US11991193B2 (en) 2020-03-13 2024-05-21 International Business Machines Corporation Relationship-based conversion of cyber threat data into a narrative-like format

Also Published As

Publication number Publication date
KR102081492B1 (en) 2020-02-25

Similar Documents

Publication Publication Date Title
US10303873B2 (en) Device for detecting malware infected terminal, system for detecting malware infected terminal, method for detecting malware infected terminal, and program for detecting malware infected terminal
CN107247902B (en) Malicious software classification system and method
KR101676366B1 (en) Attacks tracking system and method for tracking malware path and behaviors for the defense against cyber attacks
EP3566166B1 (en) Management of security vulnerabilities
EP3547121B1 (en) Combining device, combining method and combining program
US10462170B1 (en) Systems and methods for log and snort synchronized threat detection
US11797668B2 (en) Sample data generation apparatus, sample data generation method, and computer readable medium
US20160219068A1 (en) Method and apparatus for automatically identifying signature of malicious traffic using latent dirichlet allocation
KR101859562B1 (en) Method and Apparatus for Analyzing Vulnerability Information
CN107209834B (en) Malicious communication pattern extraction device, system and method thereof, and recording medium
JP6717206B2 (en) Anti-malware device, anti-malware system, anti-malware method, and anti-malware program
CN113162794B (en) Next attack event prediction method and related equipment
JP6523582B2 (en) INFORMATION PROCESSING APPARATUS, INFORMATION PROCESSING METHOD, AND INFORMATION PROCESSING PROGRAM
US10970391B2 (en) Classification method, classification device, and classification program
US10462168B2 (en) Access classifying device, access classifying method, and access classifying program
US20170155683A1 (en) Remedial action for release of threat data
US20170277887A1 (en) Information processing apparatus, information processing method, and computer readable medium
JP2016091549A (en) Systems, devices, and methods for separating malware and background events
KR101847277B1 (en) Automatic generation method of Indicators of Compromise and its application for digital forensic investigation of cyber attack and System thereof
KR20190070583A (en) Apparatus and method for generating integrated representation specification data for cyber threat information
JP6541903B2 (en) Attack / abnormality detection device, attack / abnormality detection method, and attack / abnormality detection program
US20220237238A1 (en) Training device, determination device, training method, determination method, training method, and determination program
KR100961992B1 (en) Method and Apparatus of cyber criminal activity analysis using markov chain and Recording medium using it
CN113055396B (en) Cross-terminal traceability analysis method, device, system and storage medium
US20240220604A1 (en) Log processing device, log processing method and computer readable medium

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E90F Notification of reason for final refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant