KR20210084993A - Apparatus and method for determining security control target in iot environment - Google Patents

Apparatus and method for determining security control target in iot environment Download PDF

Info

Publication number
KR20210084993A
KR20210084993A KR1020190177563A KR20190177563A KR20210084993A KR 20210084993 A KR20210084993 A KR 20210084993A KR 1020190177563 A KR1020190177563 A KR 1020190177563A KR 20190177563 A KR20190177563 A KR 20190177563A KR 20210084993 A KR20210084993 A KR 20210084993A
Authority
KR
South Korea
Prior art keywords
security
control target
security control
security threat
iot
Prior art date
Application number
KR1020190177563A
Other languages
Korean (ko)
Other versions
KR102648496B1 (en
Inventor
손선경
김경태
김정녀
이윤경
임재덕
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020190177563A priority Critical patent/KR102648496B1/en
Publication of KR20210084993A publication Critical patent/KR20210084993A/en
Application granted granted Critical
Publication of KR102648496B1 publication Critical patent/KR102648496B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/104Grouping of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Abstract

Disclosed are a security control target determining device in an Internet of Things environment and a method thereof. According to an embodiment of the present invention, the security control target determining device in an Internet of Things environment comprises: one or more processors; and an execution memory for storing one or more programs to be executed by the one or more processors. The one or more programs register one or more IoT devices connected to an IoT infrastructure, classify the one or more IoT devices into one or more device groups, analyze security threats that may occur in the IoT devices, set the IoT devices as security control targets based on a spreading possibility of the security threats, and isolate the security control targets from the IoT infrastructure. According to the present invention, it is possible to prevent spread of security threats generated inside the IoT infrastructure.

Description

사물인터넷 환경에서의 보안통제 대상 결정 장치 및 방법{APPARATUS AND METHOD FOR DETERMINING SECURITY CONTROL TARGET IN IOT ENVIRONMENT}DETERMINING SECURITY CONTROL TARGET IN IOT ENVIRONMENT {APPARATUS AND METHOD FOR DETERMINING SECURITY CONTROL TARGET IN IOT ENVIRONMENT}

본 발명은 사물인터넷 환경에서의 보안통제 대상을 결정하는 장치 및 방법에 관한 것으로써, 사물인터넷 환경에서 발생하는 보안위협의 확산을 방지하기 위한 IoT 보안 기술에 관한 것이다.The present invention relates to an apparatus and method for determining a security control target in an Internet of Things environment, and to an IoT security technology for preventing the spread of security threats occurring in the Internet of Things environment.

본 명세서에서 달리 표시되지 않는 한, 이 섹션에 설명되는 내용들은 이 출원의 청구항들에 대한 종래 기술이 아니며, 이 섹션에 포함된다고 하여 종래 기술이라고 인정되는 것은 아니다.Unless otherwise indicated herein, the material described in this section is not prior art to the claims of this application, and inclusion in this section is not an admission that it is prior art.

사물인터넷 환경에서의 보안위협은 IoT 디바이스의 취약점을 악용하여 디바이스에 대한 권한을 탈취하고, 대규모 봇넷을 형성해 DDoS 공격을 일으키는 방식으로 이루어진다. Security threats in the Internet of Things (IoT) environment are made in a way that exploits vulnerabilities in IoT devices to take over devices, and forms large-scale botnets to cause DDoS attacks.

또한, 악성코드에 감염된 IoT 디바이스들은 암호 화폐 악성 채굴이나 사생활 유출 등의 위협에 악용되기도 한다.In addition, IoT devices infected with malware are often used for threats such as cryptocurrency mining or privacy leaks.

대부분의 IoT 디바이스들은 저사양, 저전력 특징으로 인해 보안 기능을 탑재하지 않아 사이버 공격에 취약하다.Most IoT devices are vulnerable to cyberattacks because they do not have security functions due to their low-spec and low-power characteristics.

또한, IoT 디바이스의 수가 대규모로 늘어나고 있어, 공격자가 IoT 디바이스를 공격의 수단으로 악용하기 쉽다.In addition, as the number of IoT devices is increasing on a large scale, it is easy for attackers to use IoT devices as a means of attack.

따라서, IoT 인프라에 침투한 보안위협이 IoT 인프라 전체로 확산되는 것을 차단함으로써 IoT 서비스의 피해를 최소화하는 기술이 필요하다.Therefore, there is a need for a technology that minimizes damage to IoT services by blocking the spread of security threats that have penetrated the IoT infrastructure to the entire IoT infrastructure.

이에, 한국공개특허 제10-2017-0120291호는 사물인터넷 디바이스의 이상 디바이스 차단장치 및 차단방법을 개시하고 있다. 그러나, 본 선행기술은 발생되는 트래픽이 임계치를 넘어서는 디바이스를 차단할 수 있으나, 사전에 피해를 예방할 수 있는 구성은 개시하고 있지 않다.Accordingly, Korean Patent Application Laid-Open No. 10-2017-0120291 discloses an apparatus for blocking an abnormal device and a method for blocking an IoT device. However, the present prior art may block a device in which generated traffic exceeds a threshold, but does not disclose a configuration capable of preventing damage in advance.

한국공개특허 제10-2017-0120291호, 2017년 10월 31일 공개(명칭: 사물인터넷 디바이스의 이상 디바이스 차단장치 및 차단방법)Korean Patent Laid-Open Patent No. 10-2017-0120291, published on October 31, 2017 (Title: Device and blocking method for abnormal devices of IoT devices)

본 발명의 목적은 사물인터넷 인프라 내부에서 발생된 보안위협의 확산을 방지하는 것이다.It is an object of the present invention to prevent the spread of security threats generated inside the IoT infrastructure.

또한, 본 발명의 목적은 동일 또는 유사한 특성을 가진 사물인터넷 디바이스들을 디바이스 그룹으로 분류하여 보안위협의 확산을 방지하는 것이다.Another object of the present invention is to prevent the spread of security threats by classifying IoT devices having the same or similar characteristics into a device group.

또한, 본 발명의 목적은 보안위협의 확산 가능성을 판단하여 선별적으로 통제할 사물인터넷 디바이스를 설정하는 것이다.Another object of the present invention is to set up an IoT device to selectively control by determining the spread of a security threat.

또한 상술한 바와 같은 목적들로 한정되지 않으며, 이하의 설명으로부터 또 다른 목적이 도출될 수도 있음은 자명하다.In addition, it is not limited to the above-described objects, and it is obvious that other objects may be derived from the following description.

상기한 목적을 달성하기 위하여 본 발명의 일실시예에 따른 사물인터넷 환경에서의 보안통제 대상 결정 장치는 하나 이상의 프로세서 및 상기 하나 이상의 프로세서에 의해 실행되는 적어도 하나 이상의 프로그램을 저장하는 실행메모리를 포함하고, 상기 적어도 하나 이상의 프로그램은, 사물인터넷 인프라에 연결된 하나 이상의 사물인터넷 디바이스를 등록하고, 상기 하나 이상의 사물인터넷 디바이스를 하나 이상의 디바이스 그룹으로 분류하고, 상기 사물인터넷 디바이스에 발생될 수 있는 보안위협을 분석하고, 상기 보안위협의 확산 가능성에 기반하여 상기 사물인터넷 디바이스를 보안통제 대상으로 설정하고, 상기 보안통제 대상을 사물인터넷 인프라에서 격리한다.In order to achieve the above object, an apparatus for determining a security control target in an IoT environment according to an embodiment of the present invention includes one or more processors and an execution memory for storing at least one or more programs executed by the one or more processors, , the at least one program registers one or more IoT devices connected to the IoT infrastructure, classifies the one or more IoT devices into one or more device groups, and analyzes security threats that may be generated in the IoT devices and set the IoT device as a security control target based on the possibility of spreading the security threat, and isolate the security control target from the IoT infrastructure.

이 때, 상기 적어도 하나 이상의 프로그램은, 상기 하나 이상의 사물인터넷 디바이스를 종류, 제조사, 제품군, 사용자, 설치위치, 연결된 네트워크 장치 및 사용서비스 중 적어도 어느 하나를 포함하는 특성에 따라 하나 이상의 디바이스 그룹으로 분류하고, 상기 디바이스 그룹에 포함된 상기 사물인터넷 디바이스가 상기 보안통제 대상으로 설정된 경우, 상기 디바이스 그룹 전체를 보안통제 대상으로 설정할 수 있다.In this case, the at least one program classifies the one or more IoT devices into one or more device groups according to characteristics including at least one of a type, a manufacturer, a product family, a user, an installation location, a connected network device, and a service used. and, when the IoT device included in the device group is set as the security control target, the entire device group may be set as the security control target.

이 때, 상기 확산 가능성은, 상기 보안위협의 확산속도와 각 디바이스 그룹의 보안위협 발생 비율에 기반하여 판단되는 것일 수 있다.In this case, the probability of spreading may be determined based on the rate of spread of the security threat and the rate of occurrence of the security threat in each device group.

이 때, 상기 확산속도는, 임의로 설정된 분석주기로 분석한 상기 보안위협의 평균발생량과 상기 보안위협의 현재발생량을 비교하여, 상기 현재발생량이 상기 평균발생량보다 크면 빠름으로 판단되고, 상기 현재발생량이 상기 평균발생량보다 작으면 느림으로 판단되는 것일 수 있다.At this time, the spreading rate is determined to be faster if the current generation amount is greater than the average generation amount by comparing the average generation amount of the security threat analyzed at an arbitrarily set analysis period with the current generation amount of the security threat, and the current generation amount is the If it is less than the average amount, it may be judged to be slow.

이 때, 상기 보안위협 발생 비율은, 상기 디바이스 그룹에 포함된 전체 사물인터넷 디바이스 개수 대비 상기 디바이스 그룹에 포함된 사물인터넷 디바이스 중 상기 보안위협이 발생한 사물인터넷 디바이스 개수의 비율일 수 있다.In this case, the security threat occurrence ratio may be a ratio of the number of IoT devices in which the security threat occurs among the IoT devices included in the device group to the total number of IoT devices included in the device group.

이 때, 상기 적어도 하나 이상의 프로그램은, 상기 확산속도가 느림으로 판단된 경우, 상기 보안위협 발생 비율이 가장 높은 디바이스 그룹을 보안통제 대상으로 설정하고, 상기 확산속도가 빠름으로 판단된 경우, 상기 보안위협 발생 비율이 임의로 설정된 임계값보다 큰 모든 디바이스 그룹을 보안통제 대상으로 설정할 수 있다.In this case, the at least one program sets the device group having the highest rate of occurrence of security threats as a security control target when it is determined that the spreading rate is slow, and when it is determined that the spreading rate is fast, the security Any device group with a threat occurrence rate greater than an arbitrarily set threshold can be set as a security control target.

이 때, 상기 적어도 하나 이상의 프로그램은, 상기 사물인터넷 인프라 내부에서 상기 보안위협이 탐지된 경우, 상기 보안위협이 확산 가능성을 분석해야 할 대상인지 식별할 수 있다.In this case, when the security threat is detected within the IoT infrastructure, the at least one program may identify whether the security threat is a target to be analyzed for spreading possibility.

이 때, 상기 적어도 하나 이상의 프로그램은, 상기 식별된 보안위협을 종류별로 분류하고, 임의로 설정된 분석주기 별로 통계정보를 생성할 수 있다.In this case, the at least one program may classify the identified security threats by type and generate statistical information for each arbitrarily set analysis period.

이 때, 상기 통계정보는, 상기 분석주기마다 상기 보안위협이 발생한 사물인터넷 디바이스의 개수정보 및 상기 디바이스 그룹별로 상기 보안위협이 발생한 사물인터넷 디바이스의 개수정보를 포함할 수 있다.In this case, the statistical information may include information on the number of IoT devices in which the security threat has occurred for each analysis period and information on the number of IoT devices in which the security threat has occurred for each device group.

또한, 상기한 목적을 달성하기 위하여 본 발명의 일실시예에 따른 사물인터넷 환경에서의 보안통제 대상 결정 방법은, 사물인터넷 인프라에 사물인터넷 디바이스를 등록하는 단계, 상기 사물인터넷 디바이스를 디바이스 그룹으로 분류하는 단계, 상기 사물인터넷 인프라에서 발생한 보안위협을 탐지하는 단계, 상기 보안위협의 확산 가능성에 기반하여 상기 디바이스 그룹을 보안통제 대상으로 설정하는 단계 및 상기 보안통제 대상으로 설정된 디바이스 그룹을 상기 사물인터넷 인프라에서 격리하는 단계를 포함한다.In addition, in order to achieve the above object, a method for determining a security control target in an IoT environment according to an embodiment of the present invention includes registering an IoT device in an IoT infrastructure, and classifying the IoT device into a device group. Detecting a security threat generated in the IoT infrastructure, setting the device group as a security control target based on the possibility of spreading the security threat, and setting the device group as the security control target to the IoT infrastructure isolating from

이 때, 상기 확산 가능성은, 상기 보안위협의 확산속도와 각 디바이스 그룹의 보안위협 발생 비율에 기반하여 판단되는 것일 수 있다.In this case, the probability of spreading may be determined based on the rate of spread of the security threat and the rate of occurrence of the security threat in each device group.

이 때, 상기 확산속도는, 임의로 설정된 분석주기로 분석한 상기 보안위협의 평균발생량과 상기 보안위협의 현재발생량을 비교하여, 상기 현재발생량이 상기 평균발생량보다 크면 빠름으로 판단되고, 상기 현재발생량이 상기 평균발생량보다 작으면 느림으로 판단되는 것일 수 있다.At this time, the spreading rate is determined to be faster if the current generation amount is greater than the average generation amount by comparing the average generation amount of the security threat analyzed at an arbitrarily set analysis period with the current generation amount of the security threat, and the current generation amount is the If it is less than the average amount, it may be judged to be slow.

이 때, 상기 보안위협 발생 비율은, 상기 디바이스 그룹에 포함된 전체 사물인터넷 디바이스 개수 대비 상기 디바이스 그룹에 포함된 사물인터넷 디바이스 중 상기 보안위협이 발생한 사물인터넷 디바이스 개수의 비율일 수 있다.In this case, the security threat occurrence ratio may be a ratio of the number of IoT devices in which the security threat occurs among the IoT devices included in the device group to the total number of IoT devices included in the device group.

이 때, 상기 보안통제 대상으로 설정하는 단계는, 상기 보안위협의 확산속도가 느림인 경우, 상기 보안위협 발생 비율이 가장 높은 디바이스 그룹을 보안통제 대상으로 설정하고, 상기 보안위협의 확산속도가 빠름인 경우, 상기 보안위협 발생 비율이 임의로 설정된 임계값보다 큰 모든 디바이스 그룹을 보안통제 대상으로 설정할 수 있다.In this case, in the step of setting the security control target, when the rate of spread of the security threat is slow, the device group with the highest rate of occurrence of the security threat is set as the security control target, and the rate of spread of the security threat is fast In the case of , all device groups in which the rate of occurrence of the security threat is greater than an arbitrarily set threshold may be set as a security control target.

이 때, 본 발명의 일실시예에 따른 사물인터넷 환경에서의 보안통제 대상 결정 방법은, 상기 사물인터넷 인프라 내부에서 상기 보안위협이 탐지된 경우, 상기 보안위협이 확산 가능성을 분석해야 할 대상인지 식별하는 단계를 더 포함할 수 있다.In this case, the method for determining a security control target in an Internet of Things environment according to an embodiment of the present invention identifies whether the security threat is a target to be analyzed for spreading possibility when the security threat is detected within the IoT infrastructure It may further include the step of

이 때, 본 발명의 일실시예에 따른 사물인터넷 환경에서의 보안통제 대상 결정 방법은, 상기 식별된 보안위협을 종류별로 분류하고, 임의로 설정된 분석주기 별로 통계정보를 생성하는 단계를 더 포함할 수 있다.In this case, the method for determining a security control target in an Internet of Things environment according to an embodiment of the present invention may further include classifying the identified security threats by type and generating statistical information for each arbitrarily set analysis period. have.

이 때, 상기 통계정보는, 상기 분석주기마다 상기 보안위협이 발생한 사물인터넷 디바이스의 개수정보 및 상기 디바이스 그룹별로 상기 보안위협이 발생한 사물인터넷 디바이스의 개수정보를 포함할 수 있다.In this case, the statistical information may include information on the number of IoT devices in which the security threat has occurred for each analysis period and information on the number of IoT devices in which the security threat has occurred for each device group.

본 발명에 따르면, 사물인터넷 인프라 내부에서 발생된 보안위협의 확산을 방지할 수 있다.According to the present invention, it is possible to prevent the spread of security threats generated inside the IoT infrastructure.

또한, 본 발명에 따르면, 동일 또는 유사한 특성을 가진 사물인터넷 디바이스들을 디바이스 그룹으로 분류하여 보안위협의 확산을 방지할 수 있다.In addition, according to the present invention, it is possible to prevent the spread of security threats by classifying IoT devices having the same or similar characteristics into a device group.

또한, 본 발명에 따르면, 보안위협의 확산 가능성을 판단하여 선별적으로 통제할 사물인터넷 디바이스를 설정할 수 있다.In addition, according to the present invention, it is possible to set an IoT device to selectively control by determining the spread of a security threat.

본 실시 예들의 효과는 이상에서 언급한 효과들로 제한되지 않으며, 언급되지 않은 또 다른 효과들은 청구범위의 기재로부터 통상의 기술자에게 명확하게 이해될 수 있을 것이다.Effects of the present embodiments are not limited to the above-mentioned effects, and other effects not mentioned will be clearly understood by those skilled in the art from the description of the claims.

도 1은 본 발명의 일실시예에 따른 사물인터넷 환경에서의 보안통제 대상 결정 방법 및 장치의 사용상태도이다.
도 2 내지 도 5는 본 발명의 일실시예에 따른 사물인터넷 환경에서의 보안통제 대상 결정 장치의 블록도이다.
도 6은 본 발명의 일실시예에 따른 디바이스 관리부의 동작 흐름도이다.
도 7은 본 발명의 일실시예에 따른 보안위협 수신부의 동작 흐름도이다.
도 8은 본 발명의 일실시예에 따른 보안통제 결정부의 동작 흐름도이다.
도 9는 본 발명의 일실시예에 따른 사물인터넷 환경에서의 보안통제 대상 결정 방법의 흐름도이다.
도 10은 본 발명의 일실시예에 따른 컴퓨터 시스템을 나타낸 도면이다.1 is a state diagram of a method and an apparatus for determining a security control target in an Internet of Things environment according to an embodiment of the present invention.
2 to 5 are block diagrams of an apparatus for determining a security control target in an Internet of Things environment according to an embodiment of the present invention.
6 is a flowchart illustrating an operation of a device manager according to an embodiment of the present invention.
7 is a flowchart of an operation of a security threat receiver according to an embodiment of the present invention.
8 is an operation flowchart of a security control determining unit according to an embodiment of the present invention.
9 is a flowchart of a method for determining a security control target in an Internet of Things environment according to an embodiment of the present invention.
10 is a diagram illustrating a computer system according to an embodiment of the present invention.

본 발명을 첨부된 도면을 참조하여 상세히 설명하면 다음과 같다. 여기서, 반복되는 설명, 본 발명의 요지를 불필요하게 흐릴 수 있는 공지 기능, 및 구성에 대한 상세한 설명은 생략한다. 본 발명의 실시형태는 당 업계에서 평균적인 지식을 가진 자에게 본 발명을 보다 완전하게 설명하기 위해서 제공되는 것이다. 따라서, 도면에서의 요소들의 형상 및 크기 등은 보다 명확한 설명을 위해 과장될 수 있다.The present invention will be described in detail with reference to the accompanying drawings as follows. Here, repeated descriptions, well-known functions that may unnecessarily obscure the gist of the present invention, and detailed descriptions of configurations will be omitted. The embodiments of the present invention are provided in order to more completely explain the present invention to those of ordinary skill in the art. Accordingly, the shapes and sizes of elements in the drawings may be exaggerated for clearer description.

이하, 본 발명에 따른 바람직한 실시예를 첨부된 도면을 참조하여 상세하게 설명한다.Hereinafter, preferred embodiments according to the present invention will be described in detail with reference to the accompanying drawings.

도 1은 본 발명의 일실시예에 따른 사물인터넷 환경에서의 보안통제 대상 결정 방법 및 장치의 사용상태도이다.1 is a state diagram of a method and an apparatus for determining a security control target in an Internet of Things environment according to an embodiment of the present invention.

도 1은 본 발명의 일실시예를 실시하기 위한 구성으로 보안통제 대상 결정 장치(110), 사물인터넷 서비스 제공 장치(120), 네트워크 장치(130) 및 사물인터넷 디바이스(140)를 포함할 수 있다. 1 is a configuration for implementing an embodiment of the present invention and may include a security control target determining device 110 , an IoT service providing device 120 , a network device 130 , and an IoT device 140 . .

보안통제 대상 결정 장치(110)는 본 발명의 일실시예에 따른 사물인터넷 환경에서의 보안통제 대상 결정 장치와 동일한 구성일 수 있으며, 본 발명의 일실시예에 따른 사물인터넷 환경에서의 보안통제 대상 결정 방법이 실행되는 장치일 수 있다.The security control target determining device 110 may have the same configuration as the security control target determining device in the Internet of Things environment according to an embodiment of the present invention, and may have the same configuration as the security control target determining device in the Internet of Things environment according to an embodiment of the present invention. It may be a device in which the determining method is executed.

또한, 보안통제 대상 결정 장치(110)는 네트워크 장치(130)를 통해 사물인터넷 디바이스(140)가 보안통제 대상에 해당하는지 결정할 수 있다.Also, the security control target determining device 110 may determine whether the IoT device 140 corresponds to the security control target through the network device 130 .

네트워크 장치(130)는 하나 이상의 사물인터넷 디바이스(140)를 연결하기 위해 형성될 수 있다.The network device 130 may be formed to connect one or more IoT devices 140 .

사물인터넷 디바이스(140)는 네트워크 장치(130)를 통해 사물인터넷 서비스 제공 장치(120)에 연결될 수 있다.The IoT device 140 may be connected to the IoT service providing apparatus 120 through the network device 130 .

도 2 내지 도 5는 본 발명의 일실시예에 따른 사물인터넷 환경에서의 보안통제 대상 결정 장치(110)의 블록도이다.2 to 5 are block diagrams of an apparatus 110 for determining a security control target in an Internet of Things environment according to an embodiment of the present invention.

도 2 내지 도 5를 참조하면, 본 발명의 일실시예에 따른 사물인터넷 환경에서의 보안통제 대상 결정 장치(110)는 디바이스 관리부(210), 보안위협 수신부(220) 및 보안통제 결정부(230)를 포함한다.2 to 5 , the apparatus 110 for determining a security control target in an Internet of Things environment according to an embodiment of the present invention includes a device manager 210 , a security threat receiver 220 , and a security control determiner 230 . ) is included.

이 때, 디바이스 관리부(210)는 사물인터넷 디바이스들을 다수의 그룹으로 구성할 수 있는 디바이스 그룹 구성 모듈(320)과 디바이스들의 보안통제 상태를 모니터링 하는 디바이스 상태 모니터링 모듈(310)을 포함할 수 있다.In this case, the device manager 210 may include a device group configuration module 320 that can configure IoT devices into a plurality of groups and a device status monitoring module 310 that monitors the security control status of the devices.

상기 디바이스 그룹은 보안통제의 기본 단위가 될 수 있으며, 유사한 특징을 가진 사물인터넷 디바이스들을 하나의 그룹으로 구성되도록 할 수 있다.The device group may be a basic unit of security control, and IoT devices having similar characteristics may be configured as one group.

이 때, 상기 유사한 특징은 상기 사물인터넷 디바이스들의 종류, 제조사, 제품군, 사용자, 설치위치, 연결된 네트워크 장치 및 사용서비스와 같은 디바이스의 특성을 포함할 수 있다.In this case, the similar characteristics may include device characteristics such as types of IoT devices, manufacturers, product groups, users, installation locations, connected network devices, and services used.

상기 디바이스 그룹을 구성하는 목적은 동일 또는 유사한 특징을 가진 사물인터넷 디바이스들은 동일한 보안취약점을 가지고 있어, 보안위협이 발생한 사물인터넷 디바이스와 동일 또는 유사한 특징을 가진 다른 디바이스에서 동일한 보안위협이 발생할 가능성이 높기 때문이다.The purpose of configuring the device group is that IoT devices with the same or similar characteristics have the same security vulnerabilities, so that the same security threat is highly likely to occur in other devices having the same or similar characteristics as the IoT device in which the security threat occurred. Because.

또한, 보안위협 수신부(220)는 별도로 구성된 보안위협 탐지 시스템으로부터 보안위협 정보를 수신하는 보안위협 수신 모듈(410)과 확산 가능성이 있는 보안위협들을 필터링하여 종류별로 분류하고 통계정보를 생성하는 보안위협 처리 모듈(420)을 포함할 수 있다.In addition, the security threat receiving unit 220 filters the security threat reception module 410 that receives security threat information from a separately configured security threat detection system and the security threats that have the potential to spread, classifies them by type and generates statistical information. A processing module 420 may be included.

이 때, 상기 보안위협은 악성코드, 봇넷, DDoS 등 사물인터넷 디바이스의 권한을 탈취하거나 오작동하게 할 수 있는 어떠한 구성도 포함될 수 있다.In this case, the security threat may include any configuration that can take over the authority of the IoT device or cause it to malfunction, such as malicious code, botnet, and DDoS.

또한, 보안통제 결정부(230)는 수신한 보안위협을 분석하여 확산가능성이 있는 보안위협을 식별하는 보안위협 분석 모듈(510)과 보안통제를 적용할 디바이스 그룹을 결정하는 보안통제 대상 결정 모듈(520)을 포함할 수 있다.In addition, the security control determination unit 230 analyzes the received security threat to identify a security threat with a potential for spread, a security threat analysis module 510, and a security control target determination module ( 520) may be included.

상기 보안통제는 보안위협 확산 가능성이 높은 사물인터넷 디바이스들을 사물인터넷 인프라에서 격리하기 위해 디바이스, 네트워크 및 서비스 등의 네트워크 연결을 차단하는 것을 의미한다.The security control refers to blocking network connections such as devices, networks, and services in order to isolate IoT devices, which are highly likely to spread security threats, from the IoT infrastructure.

도 6은 본 발명의 일실시예에 따른 디바이스 관리부의 동작 흐름도이다.6 is a flowchart illustrating an operation of a device manager according to an embodiment of the present invention.

도 6을 참조하면, 본 발명의 일실시예에 따른 디바이스 관리부는 먼저, 사물인터넷 인프라에 포함될 사물인터넷 디바이스들을 등록한다(S610).Referring to FIG. 6 , the device manager according to an embodiment of the present invention first registers IoT devices to be included in the IoT infrastructure ( S610 ).

또한, 본 발명의 일실시예에 따른 디바이스 관리부는 등록된 사물인터넷 디바이스들을 디바이스의 종류, 제조자, 제품군, 사용자, 설치위치, 연결된 네트워크 장치 및 사용서비스와 같은 디바이스의 특징에 따라 분류하여 하나 이상의 디바이스 그룹으로 구성한다(S620).In addition, the device management unit according to an embodiment of the present invention classifies the registered IoT devices according to device characteristics such as device type, manufacturer, product family, user, installation location, connected network device, and service to use, and classifies one or more devices. Organize into groups (S620).

이 때, 단계(S620)는 동일 또는 유사한 특징을 가진 사물인터넷 디바이스들은 동일한 보안 취약점을 가지고 있을 가능성이 매우 높기 때문에, 디바이스 그룹별로 보안통제 대상을 설정하기 위한 단계이다.At this time, step S620 is a step for setting a security control target for each device group, since there is a very high possibility that IoT devices having the same or similar characteristics have the same security vulnerability.

도 7은 본 발명의 일실시예에 따른 보안위협 수신부의 동작 흐름도이다.7 is a flowchart of an operation of a security threat receiver according to an embodiment of the present invention.

도 7을 참조하면, 본 발명의 일실시예에 따른 보안위협 수신부는 사물인터넷 인프라에서 발생한 보안위협을 탐지하는 제3 의 시스템으로부터 보안위협 정보를 수신한다(S710).Referring to FIG. 7 , the security threat receiver according to an embodiment of the present invention receives security threat information from a third system that detects a security threat generated in the IoT infrastructure ( S710 ).

이 때, 본 발명의 일실시예에 따른 보안위협 수신부는 직접 보안위협을 탐지할 수도 있다.In this case, the security threat receiver according to an embodiment of the present invention may directly detect the security threat.

또한, 본 발명의 일실시예에 따른 보안위협 수신부는 상기 상기 보안위협의 확산 가능성 여부를 판단하여 불필요한 보안위협은 필터링한다(S720).In addition, the security threat receiver according to an embodiment of the present invention determines whether the security threat is likely to spread, and filters unnecessary security threats (S720).

또한, 본 발명의 일실시예에 따른 보안위협 수신부는 상기 필터링에서 확산 가능성이 있다고 판단된 보안위협을 임의로 설정된 분석주기 별로 통계정보를 생성한다(S730).In addition, the security threat receiver according to an embodiment of the present invention generates statistical information for each arbitrarily set analysis period for the security threat determined to have a possibility of spreading in the filtering (S730).

도 8은 본 발명의 일실시예에 따른 보안통제 결정부의 동작 흐름도이다.8 is an operation flowchart of a security control determining unit according to an embodiment of the present invention.

도 8을 참조하면, 본 발명의 일실시예에 따른 보안통제 결정부는 상기 분석주기 내에서 가장 많이 발생한 보안위협을 식별한다(S810). Referring to FIG. 8 , the security control determining unit according to an embodiment of the present invention identifies the most frequently generated security threat within the analysis period ( S810 ).

이 때, 단계(S810)는, 유의미하게 통제할 보안위협만을 식별하여 효율성을 향상시킬 수 있다.In this case, in step S810, efficiency can be improved by identifying only security threats to be significantly controlled.

또한, 본 발명의 일실시예에 따른 보안통제 결정부는 상기 식별된 보안위협의 사물인터넷 인프라 내에서의 확산속도를 계산한다(S840).In addition, the security control determining unit according to an embodiment of the present invention calculates the spread rate of the identified security threat within the IoT infrastructure (S840).

이 때, 상기 확산속도는 분석주기 별로 생성된 보안위협 통계정보에서 해당 보안위협의 평균 발생량(해당 보안위협이 발생한 디바이스 개수의 평균값)과 현재 분석주기의 보안위협 발생량(현재 분석주기에서 해당 보안위협이 발생한 디바이스 개수)을 비교하여 구할 수 있다.In this case, the spread rate is the average amount of security threat generated (average value of the number of devices in which the security threat occurred) in the security threat statistical information generated for each analysis cycle and the amount of security threat generated in the current analysis cycle (the corresponding security threat in the current analysis cycle) This can be obtained by comparing the number of devices).

예를 들면, 상기 확산속도는 현재 분석주기의 보안위협 발생량이 평균 발생량보다 크면 빠른 것으로 판단될 수 있고, 현재 분석주기의 보안위협 발생량이 평균 발생량보다 작으면 느린 것으로 판단될 수 있다.For example, the diffusion rate may be determined to be fast if the amount of security threat generation in the current analysis cycle is greater than the average generation amount, and may be determined to be slow if the security threat generation amount in the current analysis cycle is smaller than the average generation amount.

또한, 본 발명의 일실시예에 따른 보안통제 결정부는 상기 보안위협이 발생한 사물인터넷 디바이스를 포함하는 디바이스 그룹을 선택한다(S820).In addition, the security control determining unit according to an embodiment of the present invention selects a device group including the IoT device in which the security threat is generated ( S820 ).

이 때, 상기 디바이스 그룹은 하나 이상 선택될 수 있다.In this case, one or more device groups may be selected.

또한, 본 발명의 일실시예에 따른 보안통제 결정부는 각 디바이스 그룹에서 상기 보안위협이 발생한 비율을 계산한다(S830).In addition, the security control determining unit according to an embodiment of the present invention calculates the rate at which the security threat occurs in each device group (S830).

이 때, 상기 비율은 상기 디바이스 그룹에 포함된 전체 사물인터넷 디바이스 개수 대비 상기 디바이스 그룹에 포함된 사물인터넷 디바이스 중 상기 보안위협이 발생한 사물인터넷 디바이스 개수의 비율일 수 있다.In this case, the ratio may be a ratio of the number of IoT devices in which the security threat occurs among the IoT devices included in the device group to the total number of IoT devices included in the device group.

예를 들면, 총 100개의 사물인터넷 디바이스로 구성된 디바이스 그룹에서 30개의 사물인터넷 디바이스에서 동일한 종류의 보안위협이 발생하였다면, 해당 디바이스 그룹의 보안위협 발생 비율은 0.3으로 계산될 수 있다.For example, if the same type of security threat occurs in 30 IoT devices in a device group consisting of a total of 100 IoT devices, the security threat occurrence ratio of the corresponding device group may be calculated as 0.3.

또한, 본 발명의 일실시예에 따른 보안통제 결정부는 상기 보안위협 발생 비율과 확산속도에 기반하여 보안통제할 대상을 설정한다(S850).In addition, the security control determining unit according to an embodiment of the present invention sets a target to be controlled by security based on the rate of occurrence of the security threat and the rate of spread (S850).

이 때, 단계(S850)는, 상기 보안위협의 확산속도가 느리면 보안위협 발생 비율이 가장 높은 디바이스 그룹을 보안통제 대상으로 설정하고, 상기 보안위협의 확산속도가 빠르면 보안위협 발생 비율이 임의로 설정된 임계값보다 큰 모든 디바이스 그룹을 통제 대상으로 설정할 수 있다.At this time, in step S850, when the rate of proliferation of the security threat is slow, the device group with the highest rate of occurrence of security threats is set as a security control target, and when the rate of spread of the security threat is fast, the rate of occurrence of security threats is set arbitrarily. All device groups larger than the value can be set as control targets.

또한, 본 발명의 일실시예에 따른 보안통제 결정부는 상기 보안통제 대상으로 설정된 디바이스 그룹을 사물인터넷 인프라에서 격리한다(S860).In addition, the security control determining unit according to an embodiment of the present invention isolates the device group set as the security control target from the IoT infrastructure (S860).

이 때, 단계(S860)는 보안통제 대상을 상기 사물인터넷 인프라에서 격리함으로써, 보안위협의 확산을 방지할 수 있다.In this case, in step S860, the security threat can be prevented from spreading by isolating the security control target from the IoT infrastructure.

도 9는 본 발명의 일실시예에 따른 사물인터넷 환경에서의 보안통제 대상 결정 방법의 흐름도이다.9 is a flowchart of a method for determining a security control target in an Internet of Things environment according to an embodiment of the present invention.

도 9를 참조하면, 본 발명의 일실시예에 따른 사물인터넷 환경에서의 보안통제 대상 결정 방법은 먼저 사물인터넷 인프라에 사물인터넷 디바이스를 등록한다(S910).Referring to FIG. 9 , in the method for determining a security control target in an IoT environment according to an embodiment of the present invention, an IoT device is first registered in the IoT infrastructure (S910).

또한, 본 발명의 일실시예에 따른 사물인터넷 환경에서의 보안통제 대상 결정 방법은 상기 사물인터넷 디바이스를 디바이스 그룹으로 분류한다(S920).In addition, the method for determining a security control target in an IoT environment according to an embodiment of the present invention classifies the IoT device into a device group ( S920 ).

또한, 본 발명의 일실시예에 따른 사물인터넷 환경에서의 보안통제 대상 결정 방법은 상기 사물인터넷 인프라에서 발생한 보안위협을 탐지한다(S930).In addition, the method for determining a security control target in an IoT environment according to an embodiment of the present invention detects a security threat generated in the IoT infrastructure (S930).

이 때, 단계(S930)는, 상기 사물인터넷 인프라 내부에서 상기 보안위협이 탐지된 경우, 상기 보안위협이 확산 가능성을 분석해야 할 대상인지 식별하는 단계(S940)를 더 포함할 수 있다.In this case, when the security threat is detected in the IoT infrastructure, the step S930 may further include a step S940 of identifying whether the security threat is a target to be analyzed for spreading possibility.

이 때, 단계(S940)는 상기 식별된 보안위협을 종류별로 분류하고, 임의로 설정된 분석주기 별로 통계정보를 생성하는 단계(S950)를 더 포함할 수 있다.In this case, step S940 may further include classifying the identified security threats by type and generating statistical information for each arbitrarily set analysis period (S950).

이 때, 상기 통계정보는, 상기 분석주기마다 상기 보안위협이 발생한 사물인터넷 디바이스의 개수정보 및 상기 디바이스 그룹별로 상기 보안위협이 발생한 사물인터넷 디바이스의 개수정보를 포함할 수 있다.In this case, the statistical information may include information on the number of IoT devices in which the security threat has occurred for each analysis period and information on the number of IoT devices in which the security threat has occurred for each device group.

또한, 본 발명의 일실시예에 따른 사물인터넷 환경에서의 보안통제 대상 결정 방법은 상기 보안위협의 확산 가능성에 기반하여 상기 디바이스 그룹을 보안통제 대상으로 설정한다(S960).In addition, the method for determining a security control target in an Internet of Things environment according to an embodiment of the present invention sets the device group as a security control target based on the possibility of spreading the security threat ( S960 ).

이 때, 상기 확산 가능성은, 상기 보안위협의 확산속도와 각 디바이스 그룹의 보안위협 발생 비율에 기반하여 판단될 수 있다.In this case, the probability of spreading may be determined based on the rate of spread of the security threat and the rate of occurrence of the security threat in each device group.

이 때, 상기 확산속도는, 임의로 설정된 분석주기로 분석한 상기 보안위협의 평균발생량과 상기 보안위협의 현재발생량을 비교하여, 상기 현재발생량이 상기 평균발생량보다 크면 빠름으로 판단되고, 상기 현재발생량이 상기 평균발생량보다 작으면 느림으로 판단될 수 있다.In this case, the spreading rate is determined to be faster if the current generation amount is greater than the average generation amount by comparing the average generation amount of the security threat analyzed at an arbitrarily set analysis period with the current generation amount of the security threat, and the current generation amount is the If it is smaller than the average amount, it can be judged to be slow.

이 때, 상기 보안위협 발생 비율은, 상기 디바이스 그룹에 포함된 전체 사물인터넷 디바이스 개수 대비 상기 디바이스 그룹에 포함된 사물인터넷 디바이스 중 상기 보안위협이 발생한 사물인터넷 디바이스 개수의 비율일 수 있다.In this case, the security threat occurrence ratio may be a ratio of the number of IoT devices in which the security threat occurs among the IoT devices included in the device group to the total number of IoT devices included in the device group.

이 때, 단계(S960)는, 상기 보안위협의 확산속도가 느림인 경우, 상기 보안위협 발생 비율이 가장 높은 디바이스 그룹을 보안통제 대상으로 설정하고, 상기 보안위협의 확산속도가 빠름인 경우, 상기 보안위협 발생 비율이 임의로 설정된 임계값보다 큰 모든 디바이스 그룹을 보안통제 대상으로 설정할 수 있다.At this time, in step S960, when the rate of spread of the security threat is slow, the device group having the highest rate of occurrence of the security threat is set as a security control target, and when the rate of spread of the security threat is fast, the All device groups whose rate of occurrence of security threats is greater than an arbitrarily set threshold can be set as a security control target.

또한, 본 발명의 일실시예에 따른 사물인터넷 환경에서의 보안통제 대상 결정 방법은 상기 보안통제 대상으로 설정된 디바이스 그룹을 상기 사물인터넷 인프라에서 격리한다(S970).Also, in the method for determining a security control target in an Internet of Things environment according to an embodiment of the present invention, the device group set as the security control target is isolated from the Internet of Things infrastructure (S970).

도 10은 본 발명의 일실시예에 따른 컴퓨터 시스템을 나타낸 도면이다.10 is a diagram illustrating a computer system according to an embodiment of the present invention.

도 10을 참조하면, 본 발명의 실시예는 컴퓨터로 읽을 수 있는 기록매체와 같은 컴퓨터 시스템에서 구현될 수 있다. 도 10에 도시된 바와 같이, 컴퓨터 시스템(1000)은 버스(1020)를 통하여 서로 통신하는 하나 이상의 프로세서(1010), 메모리(1030), 사용자 인터페이스 입력 장치(1040), 사용자 인터페이스 출력 장치(1050) 및 스토리지(1060)를 포함할 수 있다. 또한, 컴퓨터 시스템(1000)은 네트워크(1080)에 연결되는 네트워크 인터페이스(1070)를 더 포함할 수 있다. 프로세서(1010)는 중앙 처리 장치 또는 메모리(1030)나 스토리지(1060)에 저장된 프로세싱 인스트럭션들을 실행하는 반도체 장치일 수 있다. 메모리(1030) 및 스토리지(1060)는 다양한 형태의 휘발성 또는 비휘발성 저장 매체일 수 있다. 예를 들어, 메모리는 ROM(1031)이나 RAM(1032)을 포함할 수 있다.Referring to FIG. 10 , an embodiment of the present invention may be implemented in a computer system such as a computer-readable recording medium. As shown in FIG. 10 , the computer system 1000 includes one or more processors 1010 , a memory 1030 , a user interface input device 1040 , and a user interface output device 1050 that communicate with each other via a bus 1020 . and storage 1060 . Additionally, the computer system 1000 may further include a network interface 1070 coupled to the network 1080 . The processor 1010 may be a central processing unit or a semiconductor device that executes processing instructions stored in the memory 1030 or the storage 1060 . The memory 1030 and the storage 1060 may be various types of volatile or non-volatile storage media. For example, the memory may include ROM 1031 or RAM 1032 .

이 때, 본 발명의 일실시예에 따른 사물인터넷 환경에서의 보안통제 대상 결정 장치는 하나 이상의 프로세서(1010) 및 상기 하나 이상의 프로세서(1010)에 의해 실행되는 적어도 하나 이상의 프로그램을 저장하는 실행메모리(1030)를 포함하고, 상기 적어도 하나 이상의 프로그램은 사물인터넷 인프라에 연결된 하나 이상의 사물인터넷 디바이스를 등록하고, 상기 하나 이상의 사물인터넷 디바이스를 하나 이상의 디바이스 그룹으로 분류하고, 상기 사물인터넷 디바이스에 발생될 수 있는 보안위협을 분석하고, 상기 보안위협의 확산 가능성에 기반하여 상기 사물인터넷 디바이스를 보안통제 대상으로 설정하고, 상기 보안통제 대상을 사물인터넷 인프라에서 격리한다.At this time, the apparatus for determining a security control target in an Internet of Things environment according to an embodiment of the present invention includes one or more processors 1010 and an execution memory for storing at least one or more programs executed by the one or more processors 1010 ( 1030), wherein the at least one program registers one or more IoT devices connected to the IoT infrastructure, classifies the one or more IoT devices into one or more device groups, and can be generated in the IoT device. A security threat is analyzed, and the IoT device is set as a security control target based on the spread of the security threat, and the security control target is isolated from the IoT infrastructure.

이 때, 상기 적어도 하나 이상의 프로그램은, 상기 하나 이상의 사물인터넷 디바이스를 종류, 제조사, 제품군, 사용자, 설치위치, 연결된 네트워크 장치 및 사용서비스 중 적어도 어느 하나를 포함하는 특성에 따라 하나 이상의 디바이스 그룹으로 분류하고, 상기 디바이스 그룹에 포함된 상기 사물인터넷 디바이스가 상기 보안통제 대상으로 설정된 경우, 상기 디바이스 그룹 전체를 보안통제 대상으로 설정할 수 있다.In this case, the at least one program classifies the one or more IoT devices into one or more device groups according to characteristics including at least one of a type, a manufacturer, a product family, a user, an installation location, a connected network device, and a service used. and, when the IoT device included in the device group is set as the security control target, the entire device group may be set as the security control target.

이 때, 상기 확산 가능성은, 상기 보안위협의 확산속도와 각 디바이스 그룹의 보안위협 발생 비율에 기반하여 판단될 수 있다.In this case, the probability of spreading may be determined based on the rate of spread of the security threat and the rate of occurrence of the security threat in each device group.

이 때, 상기 확산속도는, 임의로 설정된 분석주기로 분석한 상기 보안위협의 평균발생량과 상기 보안위협의 현재발생량을 비교하여, 상기 현재발생량이 상기 평균발생량보다 크면 빠름으로 판단되고, 상기 현재발생량이 상기 평균발생량보다 작으면 느림으로 판단될 수 있다.At this time, the spreading rate is determined to be faster if the current generation amount is greater than the average generation amount by comparing the average generation amount of the security threat analyzed at an arbitrarily set analysis period with the current generation amount of the security threat, and the current generation amount is the If it is smaller than the average amount, it can be judged to be slow.

이 때, 상기 보안위협 발생 비율은, 상기 디바이스 그룹에 포함된 전체 사물인터넷 디바이스 개수 대비 상기 디바이스 그룹에 포함된 사물인터넷 디바이스 중 상기 보안위협이 발생한 사물인터넷 디바이스 개수의 비율일 수 있다.In this case, the security threat occurrence ratio may be a ratio of the number of IoT devices in which the security threat occurs among the IoT devices included in the device group to the total number of IoT devices included in the device group.

이 때, 상기 적어도 하나 이상의 프로그램은, 상기 확산속도가 느림으로 판단된 경우, 상기 보안위협 발생 비율이 가장 높은 디바이스 그룹을 보안통제 대상으로 설정하고, 상기 확산속도가 빠름으로 판단된 경우, 상기 보안위협 발생 비율이 임의로 설정된 임계값보다 큰 모든 디바이스 그룹을 보안통제 대상으로 설정할 수 있다.In this case, the at least one program sets the device group having the highest rate of occurrence of security threats as a security control target when it is determined that the spreading rate is slow, and when it is determined that the spreading rate is fast, the security Any device group with a threat occurrence rate greater than an arbitrarily set threshold can be set as a security control target.

이 때, 상기 적어도 하나 이상의 프로그램은, 상기 사물인터넷 인프라 내부에서 상기 보안위협이 탐지된 경우, 상기 보안위협이 확산 가능성을 분석해야 할 대상인지 식별할 수 있다.In this case, when the security threat is detected within the IoT infrastructure, the at least one program may identify whether the security threat is a target to be analyzed for spreading possibility.

이 때, 상기 적어도 하나 이상의 프로그램은, 상기 식별된 보안위협을 종류별로 분류하고, 임의로 설정된 분석주기 별로 통계정보를 생성할 수 있다.In this case, the at least one program may classify the identified security threats by type and generate statistical information for each arbitrarily set analysis period.

이 때, 상기 통계정보는, 상기 분석주기마다 상기 보안위협이 발생한 사물인터넷 디바이스의 개수정보 및 상기 디바이스 그룹별로 상기 보안위협이 발생한 사물인터넷 디바이스의 개수정보를 포함할 수 있다.In this case, the statistical information may include information on the number of IoT devices in which the security threat has occurred for each analysis period and information on the number of IoT devices in which the security threat has occurred for each device group.

따라서, 본 발명의 실시예는 컴퓨터로 구현된 방법이나 컴퓨터에서 실행 가능한 명령어들이 기록된 비일시적인 컴퓨터에서 읽을 수 있는 매체로 구현될 수 있다. 컴퓨터에서 읽을 수 있는 명령어들이 프로세서에 의해서 수행될 때, 컴퓨터에서 읽을 수 있는 명령어들은 본 발명의 적어도 한 가지 측면에 따른 방법을 수행할 수 있다.Accordingly, the embodiment of the present invention may be implemented as a computer-implemented method or a non-transitory computer-readable medium in which computer-executable instructions are recorded. When the computer readable instructions are executed by a processor, the computer readable instructions may perform a method according to at least one aspect of the present invention.

이상에서와 같이 본 발명에 따른 사물인터넷 환경에서의 보안통제 대상 결정 장치 및 방법은 상기한 바와 같이 설명한 실시예들의 구성과 방법이 한정되게 적용될 수 있는 것이 아니라, 상기 실시예들은 다양한 변형이 이루어질 수 있도록 각 실시예들의 전부 또는 일부가 선택적으로 조합되어 구성될 수도 있다.As described above, in the apparatus and method for determining a security control target in an Internet of Things environment according to the present invention, the configuration and method of the embodiments described above cannot be limitedly applied, and various modifications can be made to the embodiments. All or part of each embodiment may be selectively combined and configured.

110 : 보안통제 대상 결정 장치
120 : 사물인터넷 서비스 제공 장치
130 : 네트워크 장치
140 : 사물인터넷 디바이스
210 : 디바이스 관리부
220 : 보안위협 수신부
230 : 보안통제 결정부110: security control target determining device
120: IoT service providing device
130: network device
140: IoT device
210: device management unit
220: security threat receiver
230: security control decision unit

Claims (17)

하나 이상의 프로세서; 및
상기 하나 이상의 프로세서에 의해 실행되는 적어도 하나 이상의 프로그램을 저장하는 실행메모리;
를 포함하고,
상기 적어도 하나 이상의 프로그램은,
사물인터넷 인프라에 연결된 하나 이상의 사물인터넷 디바이스를 등록하고, 상기 하나 이상의 사물인터넷 디바이스를 하나 이상의 디바이스 그룹으로 분류하고, 상기 사물인터넷 디바이스에 발생될 수 있는 보안위협을 분석하고, 상기 보안위협의 확산 가능성에 기반하여 상기 사물인터넷 디바이스를 보안통제 대상으로 설정하고, 상기 보안통제 대상을 사물인터넷 인프라에서 격리하는 사물인터넷 환경에서의 보안통제 대상 결정 장치.one or more processors; and
an execution memory for storing at least one or more programs executed by the one or more processors;
including,
The at least one or more programs,
Register one or more IoT devices connected to the IoT infrastructure, classify the one or more IoT devices into one or more device groups, analyze security threats that may occur in the IoT devices, and spread the security threats A device for determining a security control target in an Internet of Things environment that sets the IoT device as a security control target based on the and isolates the security control target from the IoT infrastructure. 청구항 1에 있어서,
상기 적어도 하나 이상의 프로그램은,
상기 하나 이상의 사물인터넷 디바이스를 종류, 제조사, 제품군, 사용자, 설치위치, 연결된 네트워크 장치 및 사용서비스 중 적어도 어느 하나를 포함하는 특성에 따라 하나 이상의 디바이스 그룹으로 분류하고, 상기 디바이스 그룹에 포함된 상기 사물인터넷 디바이스가 상기 보안통제 대상으로 설정된 경우, 상기 디바이스 그룹 전체를 보안통제 대상으로 설정하는 것을 특징으로 하는 사물인터넷 환경에서의 보안통제 대상 결정 장치.The method according to claim 1,
The at least one or more programs,
Classifying the one or more IoT devices into one or more device groups according to characteristics including at least one of a type, a manufacturer, a product family, a user, an installation location, a connected network device, and a service used, and the things included in the device group When an Internet device is set as the security control target, the security control target determination apparatus in the Internet of Things environment, characterized in that the entire device group is set as the security control target. 청구항 2에 있어서,
상기 확산 가능성은,
상기 보안위협의 확산속도와 각 디바이스 그룹의 보안위협 발생 비율에 기반하여 판단되는 것을 특징으로 하는 사물인터넷 환경에서의 보안통제 대상 결정 장치.3. The method according to claim 2,
The spread is
The apparatus for determining a security control target in an Internet of Things environment, characterized in that the determination is made based on the rate of spread of the security threat and the rate of occurrence of the security threat of each device group. 청구항 3에 있어서,
상기 확산속도는,
임의로 설정된 분석주기로 분석한 상기 보안위협의 평균발생량과 상기 보안위협의 현재발생량을 비교하여, 상기 현재발생량이 상기 평균발생량보다 크면 빠름으로 판단되고, 상기 현재발생량이 상기 평균발생량보다 작으면 느림으로 판단되는 것을 특징으로 하는 사물인터넷 환경에서의 보안통제 대상 결정 장치.4. The method according to claim 3,
The diffusion rate is
Comparing the average generation amount of the security threat analyzed at an arbitrarily set analysis period and the current generation amount of the security threat, if the current generation amount is greater than the average generation amount, it is determined as fast, and if the current generation amount is smaller than the average generation amount, it is determined as slow Security control target determination device in the Internet of Things environment, characterized in that 청구항 4에 있어서,
상기 보안위협 발생 비율은,
상기 디바이스 그룹에 포함된 전체 사물인터넷 디바이스 개수 대비 상기 디바이스 그룹에 포함된 사물인터넷 디바이스 중 상기 보안위협이 발생한 사물인터넷 디바이스 개수의 비율인 것을 특징으로 하는 사물인터넷 환경에서의 보안통제 대상 결정 장치.5. The method according to claim 4,
The rate of occurrence of the security threat is,
The apparatus for determining a security control target in an Internet of Things environment, characterized in that it is a ratio of the number of IoT devices in which the security threat occurs among the IoT devices included in the device group to the total number of IoT devices included in the device group. 청구항 5에 있어서,
상기 적어도 하나 이상의 프로그램은,
상기 확산속도가 느림으로 판단된 경우, 상기 보안위협 발생 비율이 가장 높은 디바이스 그룹을 보안통제 대상으로 설정하고,
상기 확산속도가 빠름으로 판단된 경우, 상기 보안위협 발생 비율이 임의로 설정된 임계값보다 큰 모든 디바이스 그룹을 보안통제 대상으로 설정하는 것을 특징으로 하는 사물인터넷 환경에서의 보안통제 대상 결정 장치.6. The method of claim 5,
The at least one or more programs,
When it is determined that the spread rate is slow, the device group with the highest rate of occurrence of the security threat is set as a security control target,
The apparatus for determining a security control target in an Internet of Things environment, characterized in that when it is determined that the spreading rate is fast, all device groups having a rate of occurrence of a security threat greater than an arbitrarily set threshold are set as security control targets. 청구항 1에 있어서,
상기 적어도 하나 이상의 프로그램은,
상기 사물인터넷 인프라 내부에서 상기 보안위협이 탐지된 경우, 상기 보안위협이 확산 가능성을 분석해야 할 대상인지 식별하는 것을 특징으로 하는 사물인터넷 환경에서의 보안통제 대상 결정 장치.The method according to claim 1,
The at least one or more programs,
The device for determining a security control target in an IoT environment, characterized in that when the security threat is detected within the IoT infrastructure, whether the security threat is a target to be analyzed for spreading possibility. 청구항 7에 있어서,
상기 적어도 하나 이상의 프로그램은,
상기 식별된 보안위협을 종류별로 분류하고, 임의로 설정된 분석주기 별로 통계정보를 생성하는 것을 특징으로 하는 사물인터넷 환경에서의 보안통제 대상 결정 장치.8. The method of claim 7,
The at least one or more programs,
A device for determining a security control target in an Internet of Things environment, characterized in that classifying the identified security threats by type and generating statistical information for each arbitrarily set analysis period. 청구항 8에 있어서,
상기 통계정보는,
상기 분석주기마다 상기 보안위협이 발생한 사물인터넷 디바이스의 개수정보 및 상기 디바이스 그룹별로 상기 보안위협이 발생한 사물인터넷 디바이스의 개수정보를 포함하는 것을 특징으로 하는 사물인터넷 환경에서의 보안통제 대상 결정 장치.9. The method of claim 8,
The statistical information is
The apparatus for determining a security control target in an Internet of Things environment, characterized in that it includes information on the number of IoT devices in which the security threat has occurred for each analysis cycle and information on the number of IoT devices in which the security threat has occurred for each device group. 사물인터넷 인프라에 사물인터넷 디바이스를 등록하는 단계;
상기 사물인터넷 디바이스를 디바이스 그룹으로 분류하는 단계;
상기 사물인터넷 인프라에서 발생한 보안위협을 탐지하는 단계;
상기 보안위협의 확산 가능성에 기반하여 상기 디바이스 그룹을 보안통제 대상으로 설정하는 단계; 및
상기 보안통제 대상으로 설정된 디바이스 그룹을 상기 사물인터넷 인프라에서 격리하는 단계; 를 포함하는 사물인터넷 환경에서의 보안통제 대상 결정 방법.registering the IoT device in the IoT infrastructure;
classifying the IoT devices into device groups;
detecting a security threat generated in the IoT infrastructure;
setting the device group as a security control target based on the possibility of spreading the security threat; and
isolating the device group set as the security control target from the IoT infrastructure; A method of determining a target for security control in an Internet of Things environment, including 청구항 10에 있어서,
상기 확산 가능성은,
상기 보안위협의 확산속도와 각 디바이스 그룹의 보안위협 발생 비율에 기반하여 판단되는 것을 특징으로 하는 사물인터넷 환경에서의 보안통제 대상 결정 방법.11. The method of claim 10,
The spread is
A method for determining a security control target in an Internet of Things environment, characterized in that the determination is made based on the rate of spread of the security threat and the rate of occurrence of the security threat of each device group. 청구항 11에 있어서,
상기 확산속도는,
임의로 설정된 분석주기로 분석한 상기 보안위협의 평균발생량과 상기 보안위협의 현재발생량을 비교하여, 상기 현재발생량이 상기 평균발생량보다 크면 빠름으로 판단되고, 상기 현재발생량이 상기 평균발생량보다 작으면 느림으로 판단되는 것을 특징으로 하는 사물인터넷 환경에서의 보안통제 대상 결정 방법.12. The method of claim 11,
The diffusion rate is
Comparing the average generation amount of the security threat analyzed at an arbitrarily set analysis period and the current generation amount of the security threat, if the current generation amount is greater than the average generation amount, it is determined as fast, and if the current generation amount is smaller than the average generation amount, it is determined as slow A method of determining a security control target in an Internet of Things environment, characterized in that 청구항 12에 있어서,
상기 보안위협 발생 비율은,
상기 디바이스 그룹에 포함된 전체 사물인터넷 디바이스 개수 대비 상기 디바이스 그룹에 포함된 사물인터넷 디바이스 중 상기 보안위협이 발생한 사물인터넷 디바이스 개수의 비율인 것을 특징으로 하는 사물인터넷 환경에서의 보안통제 대상 결정 방법.13. The method of claim 12,
The rate of occurrence of the security threat is,
The method for determining a security control target in an Internet of Things environment, characterized in that it is a ratio of the number of IoT devices in which the security threat occurs among the IoT devices included in the device group to the total number of IoT devices included in the device group. 청구항 13에 있어서,
상기 보안통제 대상으로 설정하는 단계는,
상기 보안위협의 확산속도가 느림인 경우, 상기 보안위협 발생 비율이 가장 높은 디바이스 그룹을 보안통제 대상으로 설정하고,
상기 보안위협의 확산속도가 빠름인 경우, 상기 보안위협 발생 비율이 임의로 설정된 임계값보다 큰 모든 디바이스 그룹을 보안통제 대상으로 설정하는 것을 특징으로 하는 사물인터넷 환경에서의 보안통제 대상 결정 방법.14. The method of claim 13,
The step of setting the security control target includes:
When the rate of spread of the security threat is slow, the device group with the highest rate of occurrence of the security threat is set as a security control target;
A method for determining a security control target in an Internet of Things environment, characterized in that when the rate of spread of the security threat is fast, all device groups having a rate of occurrence of the security threat greater than an arbitrarily set threshold are set as security control targets. 청구항 10에 있어서,
상기 사물인터넷 인프라 내부에서 상기 보안위협이 탐지된 경우, 상기 보안위협이 확산 가능성을 분석해야 할 대상인지 식별하는 단계; 를 더 포함하는 것을 특징으로 하는 사물인터넷 환경에서의 보안통제 대상 결정 방법.11. The method of claim 10,
when the security threat is detected within the IoT infrastructure, identifying whether the security threat is a target to be analyzed for spreading possibility; Security control target determination method in the Internet of Things environment, characterized in that it further comprises. 청구항 15에 있어서,
상기 식별된 보안위협을 종류별로 분류하고, 임의로 설정된 분석주기 별로 통계정보를 생성하는 단계; 를 더 포함하는 것을 특징으로 하는 사물인터넷 환경에서의 보안통제 대상 결정 방법.16. The method of claim 15,
classifying the identified security threats by type and generating statistical information for each arbitrarily set analysis period; Security control target determination method in the Internet of Things environment, characterized in that it further comprises. 청구항 16에 있어서,
상기 통계정보는,
상기 분석주기마다 상기 보안위협이 발생한 사물인터넷 디바이스의 개수정보 및 상기 디바이스 그룹별로 상기 보안위협이 발생한 사물인터넷 디바이스의 개수정보를 포함하는 것을 특징으로 하는 사물인터넷 환경에서의 보안통제 대상 결정 방법.17. The method of claim 16,
The statistical information is
The method for determining a security control target in an Internet of Things environment, characterized in that it includes information on the number of IoT devices in which the security threat has occurred for each analysis period and information on the number of IoT devices in which the security threat has occurred for each device group.
KR1020190177563A 2019-12-30 2019-12-30 Apparatus and method for determining security control target in iot environment KR102648496B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020190177563A KR102648496B1 (en) 2019-12-30 2019-12-30 Apparatus and method for determining security control target in iot environment

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020190177563A KR102648496B1 (en) 2019-12-30 2019-12-30 Apparatus and method for determining security control target in iot environment

Publications (2)

Publication Number Publication Date
KR20210084993A true KR20210084993A (en) 2021-07-08
KR102648496B1 KR102648496B1 (en) 2024-03-19

Family

ID=76893350

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020190177563A KR102648496B1 (en) 2019-12-30 2019-12-30 Apparatus and method for determining security control target in iot environment

Country Status (1)

Country Link
KR (1) KR102648496B1 (en)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100992066B1 (en) * 2010-04-19 2010-11-05 주식회사 이글루시큐리티 An enterprise security management system using an 3d picture
KR20160006915A (en) * 2014-07-10 2016-01-20 주식회사 올포스 The Management Method and Apparatus for the Internet of Things
KR20170120291A (en) 2016-04-21 2017-10-31 주식회사 나온웍스 Blocking apparatus for abnormal device of internet of things devices and blocking method for the same
KR20190076382A (en) * 2017-12-22 2019-07-02 한국전자통신연구원 Security threat detection gateway, security control server and method for security threat detecting of iot terminal

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100992066B1 (en) * 2010-04-19 2010-11-05 주식회사 이글루시큐리티 An enterprise security management system using an 3d picture
KR20160006915A (en) * 2014-07-10 2016-01-20 주식회사 올포스 The Management Method and Apparatus for the Internet of Things
KR20170120291A (en) 2016-04-21 2017-10-31 주식회사 나온웍스 Blocking apparatus for abnormal device of internet of things devices and blocking method for the same
KR20190076382A (en) * 2017-12-22 2019-07-02 한국전자통신연구원 Security threat detection gateway, security control server and method for security threat detecting of iot terminal

Also Published As

Publication number Publication date
KR102648496B1 (en) 2024-03-19

Similar Documents

Publication Publication Date Title
US10505953B2 (en) Proactive prediction and mitigation of cyber-threats
US10601853B2 (en) Generation of cyber-attacks investigation policies
US9848016B2 (en) Identifying malicious devices within a computer network
US9560068B2 (en) Network intrusion detection with distributed correlation
US10187422B2 (en) Mitigation of computer network attacks
US10834596B2 (en) Method for blocking connection in wireless intrusion prevention system and device therefor
US20160021131A1 (en) Identifying stealth packets in network communications through use of packet headers
US10469528B2 (en) Algorithmically detecting malicious packets in DDoS attacks
US11153334B2 (en) Automatic detection of malicious packets in DDoS attacks using an encoding scheme
US11316861B2 (en) Automatic device selection for private network security
KR102119718B1 (en) Technique for Detecting Suspicious Electronic Messages
US10951649B2 (en) Statistical automatic detection of malicious packets in DDoS attacks using an encoding scheme associated with payload content
US11947669B1 (en) System and method for circumventing evasive code for cyberthreat detection
KR101499470B1 (en) Advanced Persistent Threat attack defense system and method using transfer detection of malignant code
KR102648496B1 (en) Apparatus and method for determining security control target in iot environment
KR101427412B1 (en) Method and device for detecting malicious code for preventing outflow data
Bojjagani et al. Early DDoS Detection and Prevention with Traced-Back Blocking in SDN Environment.
CN115208596B (en) Network intrusion prevention method, device and storage medium
US20230328083A1 (en) Network vulnerability assessment
US20230164176A1 (en) Algorithmically detecting malicious packets in ddos attacks
KR20220030657A (en) Dynamic segmentation apparatus and method for preventing security threat
Oh et al. Detection of Malware for Android Smartphones
CN116264510A (en) Denial of service attack defense method and device, and readable storage medium
Faisal Cognitive Radio Networks: Defense against–PUEA

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant