KR20210089327A - 임무수행능력을 고려한 공격 대응방책 선정장치 및 방법 - Google Patents

임무수행능력을 고려한 공격 대응방책 선정장치 및 방법 Download PDF

Info

Publication number
KR20210089327A
KR20210089327A KR1020200002354A KR20200002354A KR20210089327A KR 20210089327 A KR20210089327 A KR 20210089327A KR 1020200002354 A KR1020200002354 A KR 1020200002354A KR 20200002354 A KR20200002354 A KR 20200002354A KR 20210089327 A KR20210089327 A KR 20210089327A
Authority
KR
South Korea
Prior art keywords
attack
mission
cost
countermeasure
countermeasures
Prior art date
Application number
KR1020200002354A
Other languages
English (en)
Other versions
KR102322171B1 (ko
Inventor
심신우
Original Assignee
엘아이지넥스원 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 엘아이지넥스원 주식회사 filed Critical 엘아이지넥스원 주식회사
Priority to KR1020200002354A priority Critical patent/KR102322171B1/ko
Publication of KR20210089327A publication Critical patent/KR20210089327A/ko
Application granted granted Critical
Publication of KR102322171B1 publication Critical patent/KR102322171B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 사이버 공격을 예측하고 대응하기 위한 사이버 시스템에 관한 것으로, 더욱 상세하게는 공격에 대한 여러가지 방책들에 대해 정량화하여 공격에 대한 최적의 대응방책을 선정할 수 있는 임무수행능력을 고려한 공격 대응방책 선정장치 및 방법에 관한 것이다. 본 발명의 일 실시예에 따른 임무수행능력을 고려한 공격 대응방책 선정장치는, 사이버 운용환경에서 공격자가 수행할 수 있는 공격방법들을 분석하고, 해당 공격들에 대응하여 수행할 수 있는 다수의 대응방책을 매핑하는 분석 및 매핑모듈; 분석 및 매핑모듈에서 매핑된 각 공격에 대해 수행할 수 있는 다수의 대응방책들에 대해서 기준으로 설정된 값을 이용하여, 공격에 대한 방어능력 효과도, 대응방책 수행시 발생하는 비용, 대응방책 수행시 임무 수행에 미치는 임무영향도를 평가하는 평가모듈; 및 평가모듈에서 평가된 임의의 공격에 대한 해당 대응방책의 효과도, 비용, 임무영향도를 기반으로 대응방책 별로 종합점수를 정량화하고 높은 점수를 가진 대응방책 순서로 추천하는 정량화모듈을 포함하는 것을 특징으로 한다.

Description

임무수행능력을 고려한 공격 대응방책 선정장치 및 방법{Apparatus and method for selecting countermeasures against attack}
본 발명은 사이버 공격을 예측하고 대응하기 위한 사이버 시스템에 관한 것으로, 더욱 상세하게는 공격에 대한 여러가지 방책들에 대해 정량화하여 공격에 대한 최적의 대응방책을 선정할 수 있는 임무수행능력을 고려한 공격 대응방책 선정장치 및 방법에 관한 것이다.
이 부분에 기술된 내용은 단순히 본 실시예에 대한 배경 정보를 제공할 뿐 종래기술을 구성하는 것은 아니다.
현대는 정보 기술이 계속해서 발전함에 따라, 컴퓨터 시스템들은 많은 보안 위협들(security threats) 및 취약점들(vulnerabilties)에 빠지기 쉽다. 더군다나 시스템 관리자들에게 새로운 취약점들 및 패치들에 대한 정보를 수집하고 유지 보수해야 하는 과중한 부담이 지워질 수 있을 뿐만 아니라, 시스템 관리자들은 어떤 패치들이 어떤 시스템들에 적용되어야 하는지를 판정하는 작업과 씨름해야 할 수도 있다.
따라서 사이버 시스템에서는 여러 종류의 보안장비에서 발생하는 정보를 취합하고, 사이버 공격을 탐지 및 발생한 공격에 대해 대응하고, 위협에 대한 분석을 통해서 위협이 발생된 원인 등을 찾아내는 업무를 효율적으로 수행할 필요성이 있다.
또한, 모든 시스템은 가진 임무가 있고, 임무 달성을 위해 시스템과 시스템을 구성하는 구성품이 서로 연계되어서 동작한다. 특히, 현대전은 사이버전이라고 표현될 만큼 사이버 위협에 대한 문제가 매우 중요하고, 군 사이버 운용 환경에서 적의 공격으로부터 군 사이버 시스템을 보호하고, 대응방책을 수립하는 것은 국가가 적으로부터 국민을 보호하기 위한 가장 중요한 일부분이 되었다.
따라서 사이버 지휘통제시스템에서 공격이 발생하였을 때, 수행할 수 있는 대응방책의 효과도, 대응방책에 소요되는 비용, 해당 시스템이 수행해야 하는 임무 수행 능력을 고려하여 여러 방책들에 대한 정량화를 필요로 하고, 정량화의 값을 활용하므로서 공격에 대한 최적의 대응방책을 선정할 수 있는 기술을 필요로 한다.
한국등록특허공보 10-1941039(발명의 명칭 : 사이버 위협 예측 시스템 및 방버)
따라서 본 발명의 목적은 사이버 공격에 대한 여러가지 대응방책을 수행함에 있어서 해당 대응방책이 임무 수행에 미칠 수 있는 영향도를 분석할 수 있는 임무수행능력을 고려한 공격 대응방책 선정장치 및 방법을 제공함에 있다.
본 발명의 다른 목적은 사이버 공격에 대한 여러가지 대응방책들을 효과도, 비용, 임무 영향도를 고려하여 정량화하고, 정량화된 값을 활용하여 공격에 대한 최적의 대응방책을 선정할 수 있는 임무수행능력을 고려한 공격 대응방책 선정장치 및 방법을 제공함에 있다.
상기와 같은 기술적 과제를 해결하기 위해 본 발명의 일 실시예에 따른 임무수행능력을 고려한 공격 대응방책 선정장치는, 사이버 운용환경에서 공격자가 수행할 수 있는 공격방법들을 분석하고, 해당 공격들에 대응하여 수행할 수 있는 다수의 대응방책을 매핑하는 분석 및 매핑모듈; 분석 및 매핑모듈에서 매핑된 각 공격에 대해 수행할 수 있는 다수의 대응방책들에 대해서 기준으로 설정된 값을 이용하여, 공격에 대한 방어능력 효과도, 대응방책 수행시 발생하는 비용, 대응방책 수행시 임무 수행에 미치는 임무영향도를 평가하는 평가모듈; 및 평가모듈에서 평가된 임의의 공격에 대한 해당 대응방책의 효과도, 비용, 임무영향도를 기반으로 대응방책 별로 종합점수를 정량화하고 높은 점수를 가진 대응방책 순서로 추천하는 정량화모듈을 포함하는 것을 특징으로 한다.
바람직하게는 평가모듈은 기준으로 설정된 값을 이용하여 대응방책에 대한 효과도, 비용, 임무영향도를 평가하되, 기준으로 설정된 값은 해당 분야 전문가와 실무자의 협의를 통해서 미리 기설정되어 저장되고, 이를 이용하여 효과도, 비용, 임무영향도에 대한 정량화를 수행하는 것을 특징으로 한다.
바람직하게는 평가모듈은 다수의 대응방책에 대해서 공격에 대한 효과도를 정의할 때, 해당 공격에 대한 방어율이 80% 이상이면 5로 설정하고, 해당 공격에 대한 방어율이 60 내지 80%에 포함되면 4로 설정하고, 해당 공격에 대한 방어율이 40 내지 60%에 포함되면 3으로 설정하고, 해당공격에 대한 방어율이 20 내지 40%에 포함되면 2로 설정하고, 해당 공격에 대한 방어율이 20% 미만이면 1로 설정하는 것을 특징으로 한다.
바람직하게는 평가모듈은 다수의 대응방책에 대해서 공격에 대한 임무영향도를 정의할 때, 해당 공격에 대응하여 대응방책을 수행했을 때, 임무수행능력을 80% 이상 하락시키면 5로 설정하고, 임무수행능력을 60 내지 80% 범위로 하락시키면 4로 설정하고, 임무수행능력을 40 내지 60% 범위로 하락시키면 3으로 설정하고, 임무수행능력을 20 내지 40% 범위로 하락시키면 2로 설정하고, 임무수행능력을 20% 미만으로 하락시키면 1로 설정하는 것을 특징으로 한다.
바람직하게는 평가모듈은 해당 방책의 수행에 소요되는 비용이 무시할 수준의 경우 1로 설정하고, 해당 방책의 수행에 소요되는 비용이 매우 많은 경우 5로 설정하고, 해당 방책의 수행에 소요되는 비용이 많지만 5보다는 상대적으로 작은 경우에는 4로 설정하고, 해당 방책의 수행을 위하여 설정 비용과 같이 무시할 수준은 아니지만 작은 경우에서는 2로 설정하고, 해당 방책의 수행을 위하여 2 설정 비용과 4 설정 비용의 중간값에 해당될 때, 3으로 설정하는 것을 특징으로 한다.
바람직하게는 정량화모듈은 비용에 대한 설정값 대비 효과도에 대한 설정값을 계산하고, 이 계산된 값을 임무영향도에 대한 설정값을 적용하여 계산해서, 비용과 효과도와 임무영향도가 고려된 정량화 값을 산출하고, 해당 공격별로 각 대응방책에 대해서 산출된 정량화 값을 높은 순서로 우선순위를 할당하여 추천을 제어하는 것을 특징으로 한다.
바람직하게는 분석 및 매핑모듈은 MITRE ATT&CK에 정의되어 있는 TTPs(Tactic, Technique, Procedure)를 활용하는 것을 특징으로 한다.
상기와 같은 기술적 과제를 해결하기 위해 본 발명의 일 실시예에 따른 임무수행능력을 고려한 공격 대응방책 선정방법은 사이버 운용환경에서 공격자가 수행할 수 있는 공격방법들을 분석하고, 해당 공격들에 대응하여 수행할 수 있는 다수의 대응방책을 매핑하는 분석 및 매핑단계; 분석 및 매핑단계에서 매핑된 각 공격에 대해 수행할 수 있는 다수의 대응방책들에 대해서 기준으로 설정된 값을 이용하여, 공격에 대한 방어능력 효과도, 대응방책 수행시 발생하는 비용, 대응방책 수행시 임무 수행에 미치는 임무영향도를 평가하는 평가단계; 및 평가단계에서 평가된 임의의 공격에 대한 해당 대응방책의 효과도, 비용, 임무영향도를 기반으로 대응방책 별로 종합점수를 정량화하고 높은 점수를 가진 대응방책 순서로 추천하는 정량화단계를 포함하는 것을 특징으로 한다.
바람직하게는 평가단계는 기준으로 설정된 값을 이용하여 대응방책에 대한 효과도, 비용, 임무영향도를 평가하되, 기준으로 설정된 값은 해당 분야 전문가와 실무자의 협의를 통해서 미리 기설정되어 저장되고, 이를 이용하여 효과도, 비용, 임무영향도에 대한 정량화를 수행하는 것을 특징으로 한다.
바람직하게는 평가단계는 다수의 대응방책에 대해서 공격에 대한 효과도를 정의할 때, 해당 공격에 대한 방어율이 80% 이상이면 5로 설정하고, 해당 공격에 대한 방어율이 60 내지 80%에 포함되면 4로 설정하고, 해당 공격에 대한 방어율이 40 내지 60%에 포함되면 3으로 설정하고, 해당공격에 대한 방어율이 20 내지 40%에 포함되면 2로 설정하고, 해당 공격에 대한 방어율이 20% 미만이면 1로 설정하는 것을 특징으로 한다.
바람직하게는 평가단계는 다수의 대응방책에 대해서 공격에 대한 임무영향도를 정의할 때, 해당 공격에 대응하여 대응방책을 수행했을 때, 임무수행능력을 80% 이상 하락시키면 5로 설정하고, 임무수행능력을 60 내지 80% 범위로 하락시키면 4로 설정하고, 임무수행능력을 40 내지 60% 범위로 하락시키면 3으로 설정하고, 임무수행능력을 20 내지 40% 범위로 하락시키면 2로 설정하고, 임무수행능력을 20% 미만으로 하락시키면 1로 설정하는 것을 특징으로 한다.
바람직하게는 평가단계는 해당 방책의 수행에 소요되는 비용이 무시할 수준의 경우 1로 설정하고, 해당 방책의 수행에 소요되는 비용이 매우 많은 경우 5로 설정하고, 해당 방책의 수행에 소요되는 비용이 많지만 5보다는 상대적으로 작은 경우에는 4로 설정하고, 해당 방책의 수행을 위하여 1 설정 비용과 같이 무시할 수준은 아니지만 작은 경우에서는 2로 설정하고, 해당 방책의 수행을 위하여 2 설정 비용과 4 설정 비용의 중간값에 해당될 때, 3으로 설정하는 것을 특징으로 한다.
바람직하게는 정량화단계는 비용에 대한 설정값 대비 효과도에 대한 설정값을 계산하고, 이 계산된 값을 임무영향도에 대한 설정값을 적용하여 계산해서, 비용과 효과도와 임무영향도가 고려된 정량화 값을 산출하고, 해당 공격별로 각 대응방책에 대해서 산출된 정량화 값을 높은 순서로 우선순위를 할당하여 추천을 제어하는 것을 특징으로 한다.
바람직하게는 분석 및 매핑단계는 MITRE ATT&CK에 정의되어 있는 TTPs(Tactic, Technique, Procedure)를 활용하는 것을 특징으로 한다.
본 발명의 일 실시예에 따른 임무수행능력을 고려한 공격 대응방책 선정장치 및 방법은 사이버 공격에 대한 여러가지 대응방책을 선정하고 수행하기 위해서 임무수행능력을 고려하여 가장 최적의 대응방책이 선정되는 것이 가능하다. 즉, 본 발명에서는 해당공격에 대한 특정 대응방책을 수행했을 때, 방어율이 어느 정도인지를 확인하여, 해당 대응방책에 대한 효과도를 수치로 정량화한다. 또한 본 발명은 해당공격에 대한 대응방책을 수행했을 때, 임무에 미치는 영향이 어느 정도인지를 확인하여, 해당 대응방책에 대한 임무영향도를 수치로 정량화한다. 그리고 본 발명은 해당공격에 대한 대응방책을 수행할 때, 소요되는 비용이 어느 정도인지를 확인하여, 해당 대응방책에 대한 비용을 수치로 정량화한다. 이와 같이 정량화된 효과도, 임무영향도, 비용을 종합적으로 고려하고, 해당 대응방책에 대한 종합점수를 산출해서, 그 값을 기반으로 대응방책의 우선순위를 결정한다. 따라서 본 발명은 공격에 대한 여러가지 대응방책 중 가장 최적의 대응방책을 선정하고 이를 추천하는 것이 가능해진다.
또한, 본 발명은 사이버 공격에 대한 여러가지 대응방책을 수행함에 있어서 해당 대응방책이 임무 수행에 미칠 수 있는 영향도를 분석할 수 있는 임무수행능력을 고려한 대응방책을 추천하는 것이 가능해진다. 이는 단순히 공격에 대응하는 것 외에도 임무 수행에 최적인 대응방책을 추천할 수 있으므로, 사이버 공격 및 방어에 적절한 대응이 가능한 효과를 얻을 수 있다.
도 1은 본 발명의 사이버 시스템의 전체적인 구성 모듈을 도시하고 있다.
도 2는 본 발명의 베이지안 네트워크 생성모듈(200)의 예시도를 도시하고 있다.
도 3은 본 발명의 엔드(AND) 관계 그룹을 가진 베이지안 네트워크의 부분 예시도를 도시하고 있다.
도 4는 본 발명의 베이지안 네트워크의 조건부 확률값 테이블의 예시도를 도시하고 있다.
도 5는 본 발명에서 임무(M1)이 실패했다고 가정했을 때, 임무 실패에 대한 원인을 제공한 자산에 대해 추론하는 실시예를 베이지안 네트워크로 구성하고 있다.
도 6은 도 5의 자산, 과업, 임무를 본 발명의 사이버 시스템에 적용한 각 노드들에 대한 실시예를 도시하고 있다.
도 7은 도 5로 구현한 실시예에서 임무(M1)가 실패하여 참(T)으로 관측될 때, 각각의 자산들(A1~A14)이 임무(M1)의 실패에 영향을 미치는 정도를 참(T)의 확률값으로 산출한 예를 도시하고 있다.
도 8은 본 발명의 일 실시예에 따른 임무수행능력을 고려한 공격 대응방책 선정장치를 설명하기 위한 구성도를 도시하고 있다.
도 9는 본 발명의 일 실시예에 따른 임무수행능력을 고려한 공격 대응방책 선정장치을 이용하여 공격방법과 대응방책 간의 매핑 및 효과도, 임무영향도, 비용 등의 분석을 수행하는 분석표의 예시도이다.
도 10은 본 발명의 일 실시예에 따른 임무수행능력을 고려한 공격 대응방책 선정장치에서 공격방법을 분석하고, 각 공격방법에 대해서 대응 가능한 대응방책을 설정한 예시도이다.
도 11은 본 발명의 일 실시예에 따른 임무수행능력을 고려한 공격 대응방책 선정장치에서 공격방법에 대한 대응방책을 적용했을 때, 효과도, 임무영향도, 비용 등을 정량화한 예시도이다.
도 12에 도시하고 있는 것은 본 발명의 일 실시예에 따른 임무수행능력을 고려한 공격 대응방책 선정장치에서 공격방법에 대한 대응방책을 적용했을 때, 효과도, 임무영향도, 비용 등을 정량화하기 위한 기준을 나타낸다.
도 13은 본 발명의 일 실시예에 따른 임무수행능력을 고려한 공격 대응방책 선정장치에서 공격발생시 대응방책별로 효과도, 임무영향도, 비용을 종합적으로 고려하여 종합점수를 정량화한 예시도를 도시하고 있다.
이하, 첨부된 도면을 참조하여 본 명세서에 개시된 실시 예를 상세히 설명하되, 도면 부호에 관계없이 동일하거나 유사한 구성요소는 동일한 참조 번호를 부여하고 이에 대한 중복되는 설명은 생략하기로 한다. 이하의 설명에서 사용되는 구성요소에 대한 접미사 "부"와 "기", "모듈"과 "부", 등은 명세서 작성의 용이함 만이 고려되어 부여되거나 혼용되는 것으로서, 그 자체로 서로 구별되는 의미 또는 역할을 갖는 것은 아니다.
또한, 본 명세서에 개시된 실시 예를 설명함에 있어서 관련된 공지 기술에 대한 구체적인 설명이 본 명세서에 개시된 실시 예의 요지를 흐릴 수 있다고 판단되는 경우 그 상세한 설명을 생략한다. 또한, 첨부된 도면은 본 명세서에 개시된 실시 예를 쉽게 이해할 수 있도록 하기 위한 것일 뿐, 첨부된 도면에 의해 본 명세서에 개시된 기술적 사상이 제한되지 않으며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.
제1, 제2 등과 같이 서수를 포함하는 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되지는 않는다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다.
어떤 구성요소가 다른 구성요소에 "연결되어" 있다거나 "접속되어" 있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어" 있다거나 "직접 접속되어" 있다고 언급된 때에는, 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다.
단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다.
본 출원에서, "포함한다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
이하, 도면들을 참조하여 본 발명의 실시 예에 대해 상세히 설명하기로 한다. 본 발명은 본 발명의 정신 및 필수적 특징을 벗어나지 않는 범위에서 다른 특정한 형태로 구체화될 수 있음은 당업자에게 자명하다.
도 1은 본 발명의 일 실시예에 따른 사이버 시스템의 전체적인 구성 모듈을 도시하고 있다.
본 발명의 사이버 시스템은 기본적으로 컴퓨터의 하드웨어 그리고 소프트웨어 기능을 탑재하고, 자산, 과업, 임무를 식별하고, 각 요소들의 관계를 설정하는 관계설정모듈(100)을 포함한다.
여기서 자산은 군 운용 환경 및 기타 시스템 운용 환경에서 연결되고 있는 모든 하드웨어 구성들의 구성, 프로세스, 애플리케이션, 프로그램 등으로 정의 가능하다. 그리고 과업은 한 개 이상의 자산을 통해서 수행되는 하드웨어 및 소프트웨어 구성이고, 임무는 한개 이상의 과업을 통해 이루어지는 하드웨어 및 소프트웨어 구성으로 정의 가능하다.
관계설정모듈(100)은 사이버 시스템 전체적으로 자산, 과업, 임무를 식별하고, 자산과 과업의 관계, 과업과 임무의 관계를 설정한다. 일 예로서 관계설정모듈(100)은 군 운용 환경에서 전투 시나리오에 따라서 가상전투환경에 참여하는 다수의 자산, 다수의 과업, 다수의 임무를 식별하고, 자산과 과업, 과업과 임무의 관계를 설정한다. 이와 같은 자산, 과업, 임무의 일 형태는 도 6에 도시하고 있다.
관계설정모듈(100)은 자산과 과업, 과업과 임무 사이의 엔드 관계를 가진 엣지와 오아 관계를 가진 엣지를 설정하고, 각 엣지의 확률을 설정한다. 관계설정모듈(100)의 엔드 엣지와 오아 엣지를 설정하고, 각 엣지의 확률을 설정하는 구성은 시스템 운용자에 의해서 이루어지고, 초기 설정값이다. 이를 위해서 본 발명의 사이버 시스템은 도시하지는 않지만, 사용자 인터페이스가 포함되고, 입력정보, 추론 결과 정보 등을 표시하는 표시장치도 포함되어진다. 그리고 관계설정모듈(100)에서 설정된 엔드 엣지와 오아 엣지, 각 엣지의 확률값 등은 후술되는 자산 영향을 추론하고, 이를 기반으로 변경, 갱신, 추가 등의 제어가 이루어질 수 있다.
본 발명은 관계설정모듈(100)에서 설정한 관계를 이용하여 베이지안 네트워크를 생성하는 베이지안 네트워크 생성모듈(200)을 포함한다. 생성모듈(200)은 베이지안 네트워크에 포함하는 변수들간의 조건부 확률 테이블값을 산출한다. 여기서 변수는 베이지안 네트워크를 구성하는 모든 구성요소를 나타낸다. 즉, 변수는 모든 자산, 모든 과업, 모든 임무가 된다.
생성모듈(200)의 각 변수들의 조건부 확률 테이블값 계산을 위하여, 베이지안 네트워크에서 같은 구성요건을 갖추고, 같은 기능을 수행하는 자산은 하나의 엔드관계그룹으로 설정한다. 엔드관계그룹에 묶인 자산들은 모두 같은 기능을 수행하므로 적어도 하나의 자산이 수행 가능상태이면, 자산과 관계되는 과업 수행에 아무런 영향을 미치지 않는다. 물론 과업 수행에 동일한 기능을 갖는 다수의 자산에 대해서 하나의 자산이면 충분하다는 전제 조건 하이다.
마찬가지로 생성모듈(200)의 각 변수들의 조건부 확률 테이블값 계산을 위하여, 베이지안 네트워크에서 같은 구성요건을 갖추고, 같은 기능을 수행하는 과업은 하나의 엔드관계그룹으로 설정한다. 엔드관계그룹에 묶인 과업들은 모두 같은 기능을 수행하므로 적어도 하나의 과업이 수행 가능상태이면, 과업과 관계되는 임무 수행에 아무런 영향을 미치지 않는다. 물론 임무 수행에 동일한 기능을 갖는 다수의 과업에 대해서 하나의 과업이면 충분하다는 전제 조건 하이다.
생성모듈(200)의 각 변수들의 조건부 확률값 계산은 후술되는 수학식1에 의해서 산출이 이루어진다.
본 발명은 베이지안 네트워크 생성모듈(200)을 활용하여 주요 임무 실패시 자산의 실패확률을 추론하는 추론모듈(300)을 포함한다. 추론모듈(300)에서는 사이버 복원력이 요청되는 임무에 대하여 가상으로 해당 임무가 실패했다고 가정하고, 그 상황에서 자산의 실패 확률을 추론한다. 추론모듈(300)은 공지된 베이즈 정리를 이용한다.
본 발명은 추론 모듈(300)을 통하여 특정 임무를 실패시킬 수 있는 주요 요인과 자산에 대해서 분석하고, 해당 자산에 대해서 보완, 또는 대응방책을 수행할 수 있는 방책 수행모듈(400)을 포함한다. 방책 수행모듈(400)은 실패 확률이 높은 자산에 대해 우선적으로 자산에 대한 보완이 이루어질 수 있도록 한다.
따라서 본 발명은 임무에 대한 실패 원인을 분석하고, 해당 원인을 제공하는 자산에 대해 우선순위를 결정하므로써 선조치하여야 할 자산에 대해서 파악하는 것이 가능하고, 실패 확률이 높은 자산에 대해 우선적으로 자산에 대한 보완을 수행한다.
이후, 본 발명은 추론모듈(300)과 수행모듈(400)을 반복적으로 재수행하여 지속적으로 사이버 복원력을 증대시키기 위한 제어를 수행한다.
도 2는 본 발명의 일 실시예에 따른 베이지안 네트워크 생성모듈(200)의 예시도를 도시하고 있다.
도시하고 있는 바와 같이, 자산(An), 과업(Tn), 임무(Mn)와 그 관계를 도시하고 있다. 도시되고 있는 베이지안 네트워크는 일반적인 베이지안 네트워크를 활용하여 본 발명에 필요한 요소들을 종합하여 설계된 구성이다. 임무는 한개 이상의 과업을 통해 이루어지고, 과업은 한 개 이상의 자산을 통해 수행된다.
엣지(연결선)은 임무를 수행하는데 필요한 과업, 과업을 수행하는데 필요한 자산의 관계를 표시한다.
일 예로, 과업(T1)을 수행하는데 필요한 자산은 (A1)과 (A2)를 앤드(AND) 결합한 구성이고, 과업(T2)를 수행하는데 필요한 자산은 (A3)와 (A4)를 앤드(AND) 결합하고, (A2)를 오아(OR) 결합한 구성이다. 또한 과업(T3)을 수행하는데 필요한 자산은 (A4)이다. 또한 임무(M1)를 수행하는데 필요한 과업은 (T1,T2,T3)를 오아(OR) 결합한 구성이고, 임무(M2)를 수행하는데 필요한 과업은 (T2,T3)를 오아(OR) 결합한 구성이다.
이와 같이 자산과 과업의 관계, 과업과 임무의 관계는 오아 관계 또는 엔드 관계로 구성되고, 이는 관계설정모듈(100)에서 설정된다. 이는 시스템 운용자(전문가)가 관계설정모듈(100)을 통해서 전투 시나리오에 따라서 가상전투환경에 참여하는 자산, 과업, 임무를 식별하고, 해당 관계를 설정한다.
그리고 자산과 과업 사이의 엣지의 확률은 각 자산이 제기능을 하지 못할 때, 해당 과업이 실패할 확률을 나타낸다. 마찬가지로 과업과 임무 사이의 엣지의 확률은 각 과업이 제기능을 하지 못할 때, 해당 임무가 실패할 확률을 나타낸다.
일 예로, 자산(A1)이 제기능을 하지 못하면 과업(T1)이 실패할 확률은 0.6이고, 자산(A2)이 제기능을 하지 못할 때 과업(T1)이 실패할 확률은 0.6이다. 반면에 과업(T2)은 자산(A2)이 제기능을 하지 못할 때 실패할 확률은 0.8이고, 자산(A3)와 자산(A4)이 제기능을 하지 못할 때 실패할 확률은 각각 0.9이다. 즉, 각각의 자산에 따라서 과업이 실패할 확률이 가변적으로 결정되고, 이는 각 자산이 과업에 미치는 영향에 기반해서 관계설정모듈(100)에서 기설정된다.
또한, 과업(T1)이 제기능을 하지 못하면 임무(M1)가 실패할 확률은 0.8이고, 과업(T2)이 제기능을 하지 못하면 임무(M1)가 실패할 확률은 0.6이고, 과업(T3)이 제기능을 하지 못하면 임무(M1)가 실패할 확률은 0.5이다. 즉, 각각의 과업에 따라서 임무가 실패할 확률이 가변적으로 결정되고, 이는 각 과업이 임무에 미치는 영향에 기반해서 관계설정모듈(100)에서 기설정된다.
이와 같이 본 발명의 베이지안 네트워크 생성모듈(200)에서는 관계설정모듈(100)에서 파악한 자산, 과업, 임무 및 자산과 과업, 과업과 임무의 관계에 따라서 엣지의 확률과 관계 구성 등의 설정에 기반해서 베이지안 네트워크를 생성한다.
관계설정모듈(100)은 사이버 복원력 및 임무수행능력을 증대할 수 있도록 모든 경우의 수에 대하여 관계를 설정한다. 관계설정모듈(100)의 관계 설정, 엣지 확률 등은 초기 설정과정에서 설정되고, 이후 사이버 시스템의 운영 상태에서도 구성요소의 추가 또는 영향력의 변경 등에 기반해서 업데이트 가능하도록 한다.
한편, 본 발명에서 자산, 과업, 임무의 상태는 수행가능과 수행불가 두가지 상태로 정의하되, 수행불가 상태를 참(1), 수행가능 상태를 거짓(0)으로 정의한다. 이 부분에 대해서는 도 4의 조건부 확률 테이블을 참조해서 자세하게 후술한다.
도 3은 본 발명의 일 실시예에 따른 엔드(AND) 관계 그룹을 가진 베이지안 네트워크의 부분 예시도를 도시하고 있다.
도시하고 있는 바와 같이, 같은 기능을 수행하는 자산(An)이나 과업(Tn)은 한 그룹으로 묶어서 표시한다. 일 예로 자산(A5)과 자산(A6)은 같은 기능(1)을 가지며, 또한 과업(T4)을 수행함에 있어서 각 자산(A5,A6)가 정상 동작을 하지 못할 때, 같은 값(0.7)의 실패 확률을 갖는다. 이 두개의 자산(A5,A6)은 과업(T4)에 대해서 엔드 관계의 그룹으로 정의된다.
또한, 자산(A7,A8,A9)은 같은 기능(2)을 가지고, 과업(T4)를 수행함에 있어서도 각 자산(A7,A8,A9)가 정상 동작을 하지 못할 때, 같은 값의 실패 확률(0.8)을 갖는다. 이 세개의 자산(A7,A8,A9)은 과업(T4)에 대해서 엔드 관계의 그룹으로 정의된다.
이와 같이 정의된 상태에서, 과업(A4)을 수행함에 있어서, 자산(A5) 또는 자산(A6)가 수행 가능상태이면 과업(A4) 수행에 영향을 미치지 않고, 마찬가지로 과업(A4)를 수행함에 있어서 자산(A7) 또는 자산(A8) 또는 자산(A9) 중 하나의 자산이 수행 가능상태이면 과업(A4)를 수행하는데 영향을 미치지 않는다. 이와 같은 구성의 관계는 사이버 시스템 설계시에 시스템의 가용도를 높이기 위해서 자산이나 과업을 이중화 또는 다중화 하고 있음을 나타낸다. 이것을 본 발명에서는 엔드(AND) 엣지, 엔드 그룹에 대한 개념으로 정의하고 있다.
다음, 도 4는 본 발명의 일 실시예에 따른 베이지안 네트워크의 조건부 확률값 테이블의 예시도를 도시하고 있다.
도시하고 있는 확률 테이블은 도 2에 도시하고 있는 과업(T2)에 대한 확률값이다. 도 2에 도시하고 있는 바와 같이 과업(T2)은 자산(A2), 자산(A3), 그리고 자산(A4)의 관계로부터 구성된다. 그리고 자산(A2)은 과업(T2)에 오아의 관계를 갖고, 이때 엣지의 확률은 0.8을 갖는다. 자산(A3,A4)은 과업(T2)에 엔드의 관계를 갖고, 이때 엣지의 확률은 각각 0.9를 갖는다.
도 4에 도시되고 있는 각 과업과 임무의 조건부 확률값은 하기 수학식1에 의해서 확률값 계산이 이루어진다. 본 발명에서도 엔드(AND) 관계에서 조건부 확률, 오아(OR) 관계에서의 조건부 확률을 구하는 식은 공지된 내용을 이용한다. 단지 본 발명에서는 엔드(AND) 관계와 오아(OR) 관계를 융합하는 확률값 계산식과, 엔드(AND) 그룹에 대하여 설정한 개념을 통해서 확률값 계산이 이루어지는 부분에서 하기 수학식1을 이용하여 계산이 이루어진다.
수학식1
Figure pat00001
수학식1에 나타나고 있는 바와 같이, 엔드(AND) 그룹에 속하는 엣지에 대한 확률을 계산하고, 이를 한 노드로 보고 이후 오아(OR) 관계에 속하는 엣지들에 대한 확률을 계산한다.
엔드 그룹에 대해서는 도 3에서 설명한 바와 같이, 동일한 기능을 갖고 있는 엔드 관계 그룹에 대해서는 하나의 자산이 정상 동작되는 상태에서는 관계를 갖는 과업을 수행하는데 아무런 영향을 주지 않는다.
또한 수학식1에서, 동일 기능을 갖는 엔드 그룹 내 N개의 자산을 이용해서 해당 과업이 실패할 값은 모든 자산들의 엣지의 확률{p(en)}을 곱한 값으로 결정한다.
또한 수학식1에서 오아 관계의 자산을 이용해서 해당 과업이 실패할 값은 자산의 엣지의 확률{p(eK)}로 결정한다.
그리고 수학식1에서, 모든 값(Yk)의 상태가 거짓(F)일 때, 확률값{p(Xi)}은 0으로 결정한다. 그리고 수학식1에서 모든 값(Yk)의 상태가 거짓(F)이 아닌 경우에 대해서는, 1에서 엔드 그룹에 포함된 모든 엣지의 확률을 곱한 값을 빼고, 또한 1에서 오아 관계의 엣지의 확률값을 뺀 다음에, 두 값을 곱한 값으로 결정한다.
다음, 도 4의 조건부 확률 테이블을 각 경우의 수에 대한 확률값의 산출과정을 살펴보면 다음과 같다.
우선 자산들(A2,A3,A4)에 대한 확률 경우의 수를 나열하면, 2^3으로 8가지(FFF,FFT,FTF,FTT, TFF,TFT,TTF,TTT)이다. 여기서 F는 피해를 받지 않아서 수행 가능한 상태, 거짓(0)으로 정의되고, T는 수행 불가한 상태, 참(1)으로 정의된다.
첫번째 경우의 수(FFF)를 살펴보면, 모든 자산(A2,A3,A4)이 정상적으로 동작 가능한 상태이고, 따라서 모든 자산에 대한 값은 거짓(F)이다. 수학식1에서 모든 자산의 값이 거짓일 때, 확률값{p(Xi)}은 0으로 설정하고 있다. 따라서 과업(T2)가 실패할 확률값(T)은 0이고, 이에 기반해서 과업(T2)이 성공할 확률값(F)은 1이 된다.
두번째 경우의 수(FFT)와 세번째 경우의 수(FTF)를 살펴보면, 자산(A2)는 과업(T2)에 대해서 오아의 관계를 갖고, 자산(A3,A4)는 엔드의 관계를 갖는다. 그리고 자산(A2)은 항상 정상동작이 가능한 거짓(F)의 값을 갖고 있고, 엔드 관계의 자산(A3,A4)은 각각 하나만이 정상 동작이 가능한 거짓(F)의 값을 갖는다.
본 발명의 엔드 관계 그룹의 정의를 통해서 엔드 관계를 갖는 두개의 자산(A3,A4)은 하나가 정상동작 가능한 상태이면, 과업(T2)의 수행에 영향을 주지 않는다. 따라서 두번째와 세번째의 경우의 수에서, 과업(T2)가 실패할 확률(T)은 0이고, 이에 기반해서 과업(T2)이 성공할 확률값(F)은 1이 된다.
네번째 경우의 수(FTT)를 살펴보면, 자산(A2)은 정상 동작이 가능한 거짓(F)의 값을 갖고, 엔드 관계를 갖는 두개의 자산(A3,A4)는 정상 동작이 불가능한 참(T)의 값을 갖는다.
이 경우, 엔드 관계를 갖는 자산(A3,A4)은 모든 엣지의 확률이 0.8의 값을 갖게 되고, 수학식1에서 엔드그룹 관계 구성들에 대해서 모든 자산(A3,A4)에 해당하는 모든 엣지의 확률을 곱한 값으로 결정하고 있다. 즉, 0.9 * 0.9 = 0.81으로 산출되어서, 과업(T2)가 실패할 확률은 0.81 된다. 이에 기반해서 네번째 경우의 수에서 과업(T2)가 성공할 확률값(F)은 1-0.81 = 0.19로 산출된다.
다음, 다섯번째 경우의 수(TFF), 여섯번째 경우의 수(TFT), 그리고 일곱번째 경우의 수(TTF)는, 오아 관계를 갖는 자산(T2)는 정상 동작이 불가능한 참(T)의 값을 갖고, 엔드 관계를 갖는 두개의 자산(A3,A4)은 적어도 하나의 자산이 정상 동작이 가능한 거짓(F)의 값을 갖는다.
이 경우, 엔드 관계를 갖는 자산(A3,A4)으로부터 과업(T2)의 수행에 영향을 미치지 않게 되지만, 오아 관계를 갖는 자산(A2)이 참(T)의 값을 갖기 때문에, 과업(T2)가 실패할 확률값(T)은 자산(A2)의 엣지의 확률 값이 된다. 따라서 과업(T2)가 실패할 확률값(T)은 0.8이고, 이에 기반해서 과업(T2)가 성공할 확률값(F)은 1-0.8 = 0.2로 산출된다.
마지막으로 여덟번째의 경우의 수(TTT)는 오아 관계의 자산(A2)는 참의 값(T)을 갖고, 엔드 관계의 자산(A3,A4)도 참의 값(T)을 갖는다.
이 경우, 수학식1을 참고하면, 첫번째, 엔드 그룹의 관계 확률를 구하고, 두번째 오아 관계의 확률을 구한 후, 세번째 엔드 관계와 오아 관계를 융합하도록 구성하고 있다. 따라서 엔드 그룹에 속한 모든 엣지 값에 대해서 곱한 값이 두개의 자산(A3,A4)으로부터 과업(T2)이 실패할 확률이 결정된다. 즉, 0.9 * 0.9 = 0.81로 산출된다.
다음 오아 관계의 자산(A2)에 대한 엣지의 참일 확률은 0.8임을 확인할 수 있다.
그리고 본 발명에서는 이렇게 산출한 엔드관계의 값과 오아관계의 값을 융합하여, 원하는 확률값을 산출하고 있다. 다시 수학식1을 참고하면, 자산(A2,A3,A4)에 대한 확률값이 (T,T,T)일 때, 과업(T2)가 성공할 확률(F)은 (1-엔드관계의 값) * (1- 오아관계의 값) = (1-0.81) * (1-0.8) = 0.19 * 0.2 = 0.038으로 산출된다. 이에 기반해서 과업(T2)가 실패할 확률(T)은 1-0.038 = 0.962로 산출된다.
이와 같이 수학식1의 조건으로 모든 자산, 과업, 임무에 대한 조건부 확률 테이블이 결정되면, 이를 관찰값으로 하여 베이지안 네트워크의 주요 임무에 대한 실패를 가정하고, 자산의 영향을 추론하는 것이 가능해진다.
다음, 도 5는 본 발명에서 임무(M1)이 실패했다고 가정했을 때, 임무 실패에 대한 원인을 제공한 자산에 대해 추론하는 실시예를 베이지안 네트워크로 구성하고 있다.
도 5는, A1 ~A14까지 14개의 자산, T1~T5의 다섯개의 과업, 다시 2개의 임무M1,M2의 관계를 구성하고 있는 베이지안 네트워크를 구성하고 있다. 모든 자산의 초기 공격 가능 확률은 0.3으로 모두 동일하게 설정하고 있고, 자산의 피해 전파 확률, 과업의 피해 전파 확률은 각 엣지에 표시된 값과 같다. 그리고 자산과 과업, 그리고 과업과 임무 사이에는 엔드 관계, 오아 관계의 구성이 연결되고 있다. 그리고 임무(M1)가 실패했다고 가정하고, 각 자산이 실패할 확률을 일반적인 베이지안 네트워크의 추론 확률을 통해서 산출하였다.
도 6은 도 5의 자산, 과업, 임무를 본 발명의 사이버 시스템에 적용한 각 노드들에 대한 실시예를 도시하고 있다.
도시되는 실시예에서 시스템이 가지고 있는 임무는 2개로, M1은 지대공 공격 방어, M2는 공대공 공격 방어를 나타낸다. 이 임무를 수행하기 위한 과업은 5개로 구성되고, T1은 지대공 방어 임무에서의 공중표적탐지, T2는 지대공 방어 임무에서의 공중표적격추, T3는 정보 공유, T4는 공대지 방어 임무에서의 공중표적탐지, T5는 공대지 방어임무에서의 공중표적격추를 나타낸다. 그리고 이 과업을 지원하는 자산은 14개로 구성되고, A1,A2는 레이더 송수신기, A3는 레이더 신호 처리기, A4와 A5는 미사일 발사기, A6과 A7은 전술 데이터 링크 장비, A8과 A9는 전술 데이터 링크 장비, A10과 A11은 레이다 송수신기, A12는 레이더 신호 처리기, A13과 A14는 미사일 발사기를 나타낸다.
이 실시예를 베이지안 네트워크에 적용한 도 5를 보면, 자산 A1과 자산A2가 레이다 송수신기로 동일한 기능을 갖고 과업 T1에 엔드 관계로 구성됨을 확인할 수 있다. 그리고 자산A3는 레이다 신호 처리기의 구성으로서 과업T1에 오아 관계로 구성되고 있다. 그리고 자산A4과 자산A5가 미사일 발사기로 과업(T2)에 엔드 관계로 구성되고, 자산A6과 자산A7은 전술 데이터 링크 장비로 기능(1), 자산A8과 자산A9는 전술 데이터 링크 장비로 기능(2)로 과업T3에 엔드 관계 구성으로 연결된다.그리고 세개의 과업(T1,T2,T3)가 임무(M1)에 오아 관계 구성으로 연결되어진다.
또한, 이와 유사하게 임무(M2)를 구성하기 위해서 자산과 과업들이 추가적으로 연결되고 있다.
즉, 전술 시나리오에 따라서 가상전투환경에 참여하는 다수의 자산, 다수의 과업, 다수의 임무를 식별하고, 자산과 과업 그리고 과업과 임무의 관계들이 도 6과 같이 설정되어진다.
이렇게 해서 추론 결과 얻어진 임무(M1)이 실패했다고 가정하고, 각 자산이 실패하였을 확률을 공지된 베이지안 네트워크의 공지된 조건부 확률을 이용해서 산출된 값을 도 7에 도시하고 있다.
즉, 도 7은 도 5로 구현한 실시예에서 임무(M1)가 실패하였을 때, 즉 임무(M1)가 참(T)으로 관측되었을 때, 각각의 자산들(A1~A14)이 참(T)이 될 확률을 구한 값이다. 이후 사이버 시스템 내에서 높은 확률을 갖는 자산부터 보완이 이루어지도록 하여 사이버 시스템의 복원력을 향상시키는 것이 가능해진다.
한편, 도 5의 실시예로 구성된 베이지안 네트워크를 공지된 베이즈 정리를 활용하여, 임무(M1)에 대한 실패시 자산의 영향을 추론한 도 7을 참조하면 다음의 사항들을 확인할 수 있다.
먼저 도 5에 구성되고 있는 각 자산들(A1~A14)이 실패할 수 있는 기본 확률은 큰 차이가 나타나지 않는다. 즉, 도 5의 실시예만을 참고하여 본 발명의 사이버 시스템의 사이버 복원력을 높이기 위하여 자산의 안정성을 향상시키고자 할 때, 보완해야 할 자산에 대해서 우선순위를 선정하기가 쉽지 않다. 그러나 공지된 베이즈 정리를 통해서 임무(M1)가 실패하였다고 가정하고, 임무(M1)의 실패에 대해 영향을 미쳤을 자산들의 실패확률을 구해보면, 자산(A3)가 확연하게 높음을 확인할 수 있었다.
따라서 본 발명의 사이버 시스템은 이와 같은 추론을 통해서 사이버 시스템의 사이버 복원력을 높일 수 있도록 자산(A3)에 대한 보완을 우선적으로 수행해야 함을 확인할 수 있다. 또한 얻어진 결과에 기반해서 자산 보완의 우선순위를 결정할 수 있다. 따라서 본 발명은 효율적으로 시스템의 임무 안정성을 높일 수 있도록 자산에 대한 보완 우선순위를 선정하는 것이 가능해진다.
이상에서 설명하고 있는 바와 같은 자산, 과업, 임무의 관계로 구성되는 사이버 시스템의 경우, 지금까지는 사이버 공격이 발생하였을 때, MITRE의 TARA(Threat Assessment and Remediation Analysis) 방법론에 기술된 것을 참고로 대응방책을 추천하여 사용하였다. 그러나 본 발명에서는 대응방책 수행에 따른 임무 영향도를 정량화하고, 대응방책의 효과도, 대응방책 수행에 소요되는 비용, 대응방책 수행시 시스템의 임무에 미치는 임무 영향도를 고려한 최적의 대응방책을 추천할 수 있도록 구성한다.
이하에서는 본 발명의 사이버 시스템에서 임무수행능력을 고려한 공격대응방책 선정을 위한 제어구성에 대해서 살펴보기로 한다.
도 8은 본 발명의 일 실시예에 따른 임무수행능력을 고려한 공격 대응방책 선정장치(이하 '공격 대응방책 선정장치'라고 명명 함)을 설명하기 위한 개략적인 특징도를 도시하고 있다. 이하 설명되는 공격 대응방책 선정장치는 앞서 설명한 본 발명의 사이버 시스템에 포함되는 구성이다.
본 발명의 공격 대응방책 선정장치는 기본적으로 컴퓨터의 하드웨어 그리고 소프트웨어 기능을 탑재한 시스템을 이용한다. 본 발명은 공격방법을 분석하고, 분석된 것에 기반해서 대응방책을 매핑하는 분석 및 매핑모듈(500)을 포함한다. 여기서 공격방법은 보호하고자 하는 시스템에 대해 공격자가 수행할 수 있는 공격수단의 목록을 기재한다. 이는 MITRE ATT&CK에 정의되어 있는 TTPs(Tactic, Technique, Procedure)를 활용하는 것이 바람직하다.
마찬가지로 임의의 공격방법에 대해서 대응되는 대응방책은 해당 공격에 대해 방어할 수 있는 방법에 대해 기재한다. 이는 MITRE ATT&CK에 정의되어 있는 TTPs(Tactic, Technique, Procedure) 등을 참고한다. 하나의 공격방법에 대해서 다수의 대응방책이 존재 가능하고, 따라서 하나의 공격 방법에 다수의 대응방책이 매핑 가능하다.
앞서 도 1의 설명 중에, 수행모듈(400)은 자산에 대한 대응방책을 수행하는 구성으로 설명하였다. 즉, 추론모듈(300)에서 주요 임무 실패를 가정하고, 자산의 영향을 추론하여 해당 자산에 대한 대응방책을 수행하는 것을 의미한다. 이 과정에서 최적의 대응방책을 수행하기 위해서는 공격 방법을 분석하고, 분석된 정보에 기반해서 최적의 대응방책의 매핑이 필요하다. 따라서 여기서 설명하는 대응방책은 자산의 보완을 위하여 자산에 대한 대응방책을 수립하는 것, 해당 공격을 분석하고 그 공격을 방어할 수 있도록 대응방책을 수립하는 것, 이 모든 것을 포함한다고 볼 수 있다.
본 발명의 공격 대응방책 선정장치는 분석 및 매핑모듈(500)에서 매핑된 공격방법과 대응방책에 대해서 효과도, 비용, 임무영향도를 평가하는 평가모듈(600)을 포함한다. 평가모듈(600)은 특정 공격방법에 대한 특정 대응방책이 얼마만큼의 효과가 있는지에 효과도를 정의한다. 평가모듈(600)은 대응방책을 수행했을 때, 임무에 미치는 영향을 임무영향도로 정의한다. 평가모듈(600)은 대응방책을 수행하는데 소요되는 비용을 수치화하여 비용으로 정의한다.
본 발명의 공격 대응방책 선정장치는 평가모듈(600)에서 평가한 효과도, 비용, 임무영향도를 종합적으로 고려하여, 각 대응방책들에 대한 정량화를 수립하는 정량화모듈(700)을 포함한다. 정량화모듈(700)에서 각 대응방책들에 대한 정량화 값을 기반으로 임의의 공격에 대한 대응방책 우선순위를 선정하고, 추천하는 것이 가능해진다.
도 9는 본 발명의 일 실시예에 따른 공격 대응방책 선정장치를 이용하여 공격방법과 대응방책 간의 매핑 및 효과도, 임무영향도, 비용 등의 분석을 수행하는 분석표의 예시도이다.
도 9는 MITRE ATT&CK에 정의되어 있는 TTPs(Tactic, Technique, Procedure) 등을 참고하여 공격방법 별로 적용 가능한 대응방책을 매핑하고, 해당 공격방법에 대한 각 대응방책의 효과도, 임무영향도, 비용 및 대응평가 종합점수 등을 나타내고 있다.
도 10은 본 발명의 일 실시예에 따른 공격 대응방책 선정장치에서 공격방법을 분석하고, 각 공격방법에 대해서 대응 가능한 대응방책을 설정한 예시도이다.
이는 본 발명의 분석 및 매핑모듈(500)에서 수행한다. 분석 및 매핑모듈(500)은 먼저 공격 방법을 분석하고, 이를 도 10에 도시된 바와 같이 나열한다. 공격방법은 보호하고자 하는 시스템에 대해 공격자가 수행할 수 있는 공격수단의 목록이다. 다양한 공격방법이 제시될 수 있으나, MITRE ATT&CK에 정의되어 있는 TTPs(Tactic, Technique, Procedure)를 활용하여 작성 가능하다.
공격방법(T00001,.....)의 기재가 이루어지면, 각 공격방법에 대한 분석을 수행하고, 각 공격방법에 대응할 수 있는 대응방책을 매핑시킨다. 대응방책(C00001, C00005,....)은 특정 공격(T00001)에 대해 방어할 수 있는 방법이다. 다양한 대응방책이 제시 가능하고, MITRE ATT&CK에 정의되어 있는 TTPs(Tactic, Technique, Procedure) 등을 참고하여 작성 가능하다.
하나의 공격방법에는 다수의 대응방책이 존재 가능하고, 따라서 하나의 공격방법에 대해서 다수의 대응방책이 매핑 가능하다. 일 예로서 네트워크 상에서 전송되는 데이터를 가로채서 정보를 습득하는 스니핑(sniffing) 공격방법에 대해서, 송수신 데이터를 암호화할 수 있도록 SSL/TLS와 같은 암호화 프로토콜을 사용하는 대응방책 #1, 아이디/패스워드 외 OTP와 같은 추가 인증 방안이 추가(다요소 인증 사용)되는 대응방책 #2가 매핑될 수 있다.
이와 같이 임의의 공격방법을 분석하고, 해당 공격방법 대해서 방어할 수 있는 대응방책을 매핑하는 것은 분석 및 매핑모듈(500)에서 이루어진다. 본 발명의 시스템은 도시하지 않지만, 사용자 인터페이스를 포함하고, 사용자 인터페이스를 이용하여 공격방법과 대응방책의 매핑을 위한 정보입력 등이 이루어진다. 또한 본 발명의 시스템은 표시장치를 포함하고, 해당 입력정보 및 매핑정보, 그리고 후술되는 종합점수 등을 표시하는 것이 가능하다. 그리고 분석 및 매핑모듈(500)은 시스템 운용자(전문가)의 제어하에 공격방법, 대응방책 등의 분석 및 매핑의 설정이 이루어진다.
다음, 도 11은 본 발명의 일 실시예에 따른 공격 대응방책 선정장치에서 공격방법에 대한 대응방책을 적용했을 때, 효과도, 임무영향도, 비용 등을 정량화한 예시도이다.
이는 본 발명의 평가모듈(600)에서 이루어진다. 평가모듈(600)은 각 공격에 대해 수행할 수 있는 각 방책들에 대해 공격에 대한 효과도, 방책 수행시 발생하는 비용, 대응방책 적용시 발생하는 임무능력 저하도를 평가한다.
평가모듈(600)은 각 항목에 대해서 평가를 1에서 5까지의 수치로 정량화한다. 효과도는 특정 공격 방법에 대한 특정 대응방책이 얼마만큼의 효과가 있는지에 대해서 정의한 것으로, 공격에 대해 방어하는 효과가 매우 좋으면 5, 매우 적으면 1로 설정한다.
이를 판단하는 기준값을 도 12와 같이 설정 가능하다. 즉, 특정 공격 방법에 대한 특정 대응방책이 얼마만큼의 효과가 있는지에 대한 설정은, 해당 공격에 대한 방어율이 20% 미만이면 1로 설정한다. 해당 공격에 대한 방어율이 20 내지 40%의 범위에 포함되면 2로 설정한다. 해당 공격에 대한 방어율이 40 내지 60%의 범위에 포함되면 3으로 설정한다. 해당 공격에 대한 방어율이 60 내지 80%의 범위에 포함되면 4로 설정한다. 그리고 해당 공격에 대한 방어율이 80%를 넘으면 5로 설정한다.
여기서 도 12와 같은 효과도를 판단하는 기준으로 설정된 값은, 해당분야 전문가와 실무자의 협의를 통해서 미리 기설정되어 저장되는 것이 바람직하다. 일 예로 특정공격과 특정 대응방책에 대해서, 방어율이 20% 미만을 판단하기 위한 조건들, 방어율을 20 내지 40%의 범위로 판단하기 위한 조건들, 방어율이 40 내지 60%의 범위로 판단하기 위한 조건들, 그리고 방어율이 80% 이상으로 판단하기 위한 조건들을 기설정하고, 이를 기준으로 효과도를 정량화 하는 것이 가능해진다.
이러한 설정과정은 모든 공격과 모든 대응방책에 대해서 이루어진다. 이를 위해서 공격자와 유사한 형태로 다양한 공격 시나리오를 만들고, 공격 시뮬레이션을 수행하여 공격상태와 각 대응방책에 대한 결과를 시각화할 수 있다. 그리고 이러한 시뮬레이션 과정에서 해당분야 전문가와 실무자의 협의를 통해서 효과도를 정량화하기 위한 조건들을 기설정하는 것이 가능해진다.
평가모듈(600)은 해당 공격에 대응해서 대응방책을 수행했을 때, 임무에 미치는 영향으로 정의한다.
여기서 임무는, 복수의 기능을 이용하여 구현되는 최종 과업으로 정의 가능하다. 즉, 도 6에 도시되는 실시예에서와 같이, 지대공 공격 방어(M1), 공대공 공격방어(M2) 등이 될 수 있다. 또는 복수의 자산을 통해서 달성하는 과업들(T)도 각각 하나의 임무로 정의 가능하다. 즉, 임무는 복수의 자산 또는 복수의 과업들을 이용해서 달성되는 과업 또는 최종 과업으로 정의 가능하다.
한편, 공격자의 공격에 대응하는 대응방책이 '운용자 교육"의 항목에 해당될 때, 해당 방책은 사이버 시스템이 수행해야 할 임무에 미치는 영향은 작을 것이다. 그러나 공격자의 공격에 대응하는 대응방책이 '서버 장비 셧다운'이라면 해당 방책은 사이버 시스템이 수행해야 할 임무에 미치는 영향이 매우 크게 된다. 따라서 임무 영향도는 해당 방책이 임무에 미칠 수 있는 영향을 수치로 정량화한 값이다. 임무에 미치는 영향이 거의 없는 방책의 경우에는 1, 임무 능력을 크게 저하시키는 방책일 경우는 5로 설정한다.
이를 판단하는 기준값을 도 12와 같이 설정 가능하다. 즉, 특정 공격 방법에 대한 특정 대응방책이 임무 영향도에 얼마만큼의 영향을 미치는 지에 대한 설정은, 해당 방책이 임무에 대한 영향이 20% 미만이면 1로 설정한다. 해당 방책이 임무 수행 능력을 20 내지 40%의 범위로 하락시킬 때, 2로 설정한다. 해당 방책이 임무 수행 능력을 40 내지 60%의 범위로 하락시키면 3으로 설정한다. 해당 방책이 임무 수행 능력을 60 내지 80%의 범위로 하락시키면 4로 설정한다. 그리고 해당 방책이 임무 수행 능력을 80% 이상 하락시키면 5로 설정한다.
여기서 도 12와 같은 임무영향도를 판단하는 기준으로 설정된 값은, 해당분야 전문가와 실무자의 협의를 통해서 미리 기설정되어 저장되는 것이 바람직하다. 일 예로 해당 방책 수행시에 임무에 대한 영향이 20% 미만을 판단하기 위한 조건들, 임무에 대한 영향이 20 내지 40%의 범위로 판단하기 위한 조건들, 임무에 대한 영향이 40 내지 60%의 범위로 판단하기 위한 조건들, 그리고 임무에 대한 영향이 80% 이상으로 판단하기 위한 조건들을 기설정하고, 이를 기준으로 임무영향도에 대한 정량화 설정이 가능해진다.
이러한 설정과정은 모든 공격과 모든 대응방책에 대해서 이루어진다. 이를 위해서 공격자와 유사한 형태로 다양한 공격 시나리오를 만들고, 공격 시뮬레이션을 수행하여 공격상태와 각 대응방책을 수행할 때, 시스템의 정상 임무 수행을 위한 영향도를 시각화할 수 있다. 그리고 이러한 시뮬레이션 과정에서 해당분야 전문가와 실무자의 협의를 통해서 임무영향도를 정량화하기 위한 조건들을 기설정하는 것이 가능해진다.
평가모듈(600)은 각 대응방책을 수행하는 소요되는 비용을 1에서 5까지의 수치로 정량화한다. 비용이 많이 드는 경우는 5, 비용이 가장 적게 소요되는 경우는 1로 설정한다.
이를 판단하는 기준값을 도 12와 같이 설정 가능하다. 즉, 특정 공격 방법에 대한 특정 대응방책을 수행할 때 소요되는 비용의 설정은, 해당 방책의 수행에 소요되는 비용이 무시할 수준의 경우 1로 설정한다. 해당 방책의 수행에 소요되는 비용이 매우 많은 경우 5로 설정한다. 그리고 해당 방책의 수행에 소요되는 비용이 많지만 5보다는 상대적으로 작은 경우에는 4로 설정한다. 해당 방책의 수행을 위하여 1 설정 비용과 같이 무시할 수준은 아니지만 작은 경우에서는 2로 설정한다. 그리고 해당 방책의 수행을 위하여 2 설정 비용과 4 설정 비용의 중간값에 해당될 때, 3으로 설정한다.
비용 부분에 대해서도, 도 12와 같은 임무영향도를 판단하는 기준으로 설정된 값은, 해당분야 전문가와 실무자의 협의를 통해서 미리 기설정되어 저장되는 것이 바람직하다. 일 예로 해당 방책 수행시에 소요 비용이 무시할 만한 수준에 포함되기 위한 조건들, 소요 비용이 적음으로 판단하기 위한 조건들, 소요비용이 보통으로 판단하기 위한 조건들, 소요비용이 많음으로 판단하기 위한 조건, 소요비용이 매우 많음으로 판단하기 위한 조건을 기설정하고, 이를 기준으로 비용에 대한 정량화 설정이 가능해진다.
이러한 설정과정은 모든 공격과 모든 대응방책에 대해서 이루어진다. 이를 위해서 공격자와 유사한 형태로 다양한 공격 시나리오를 만들고, 공격 시뮬레이션을 수행하여 공격상태와 각 대응방책 수행에 대한 결과를 시각화할 수 있다. 그리고 이러한 시뮬레이션 과정에서 해당분야 전문가와 실무자의 협의를 통해서 소요비용을 정량화하기 위한 조건들을 기설정하는 것이 가능해진다.
즉, 도 12에 도시하고 있는 것은 본 발명의 일 실시예에 따른 공격 대응방책 선정장치에서 공격방법에 대한 대응방책을 적용했을 때, 효과도, 임무영향도, 비용 등을 정량화하기 위한 기준을 나타낸다. 효과도, 임무영향도, 비용 산정은 해당 분야 전문가와 실무자의 협의를 통해서 이루어져야 하고, 도 12는 이렇게 얻어진 효과도, 임무영향도, 비용 수치 산정의 일 실시예이다.
또한, 도 12에 따른 기준값을 이용한 효과도, 임무영향도, 비용에 따른 정량화를 수행함에 있어서, 본 발명의 시스템은 사용자 인터페이스를 이용한 값 입력, 표시장치를 통한 시뮬레이션의 수행과정 및 수행결과 표시, 그리고 설정된 기준값을 저장하기 위한 메모리 등의 구성이 포함됨은 당연하다.
다음 도 13은 본 발명의 일 실시예에 따른 공격 대응방책 선정장치에서 공격발생시 대응방책 별로 효과도, 임무영향도, 비용을 종합적으로 고려하여 종합점수를 정량화한 예시도를 도시하고 있다.
일 예시로 공격방법(T00001)에 대한 대응방책(C00001)을 수행했을 때, 도 12에 도시한 기준을 가지고 효과도 5, 임무영향도 4, 비용 3으로 산출이 이루어졌다. 다른 예시로 공격방법(T00001)에 대한 대응방책(C00005)을 수행했을 때, 도 12에 도시한 기준을 가지고 효과도 2, 임무영향도 3, 비용 2로 산출이 이루어졌다.
이와 같이 산출이 이루어진 값을 이용하여, 먼저 비용 대비 효과도를 계산한다. 즉, 임무영향도를 고려하지 않은 비용 대비 효과도 점수를 산출한다. 그리고 이렇게 산출된 값을 다시 임무영향도를 고려하여 계산한다. 이때 최종 얻어진 값이, 효과도, 비용, 임무영향도를 모두 고려한 종합점수가 된다.
이를 수학식으로 표현하면, 종합점수는 다음과 같이 계산이 이루어진다.
종합점수 = (효과도 / 비용) / 임무영향도
따라서 공격방법(T00001)에 대한 대응방책(C00001)의 종합점수는, (5/3)/4 = 0.417으로 산출된다. 그리고 공격방법(T00001)에 대한 대응방책(C000025)의 종합점수는, (2/2)/3 = 0.333으로 산출된다.
이러한 계산방법에 따르면, 공격방법(T00001)에 대해서 대응방책(C00001)이 다른 대응방책(C00005)보다 상대적으로 높은 대응방책의 우선순위를 갖게 된다.
따라서 이와 같은 종합점수를 통해서 어떤 대응방책이 효과도는 높으면서 비용과 임무영향도가 적은지 정량적으로 수치화하는 것이 가능해진다. 그리고 산출된 종합점수를 기반으로 종합점수가 높은 순으로 대응방책의 우선순위를 결정하고, 해당 공격에 대한 대응방책 순위를 선정하고 추천하는 것이 가능해진다.
다시 도 9을 참고하면, 공격방법(T00001)에 대응하는 다수의 대응방책이 있다. 이 대응방책들의 임무영향도를 고려한 종합점수는 대응방책(C00001)은 0.417, 대응방책(C00005)는 0.333, 대응방책(C00007)은 0.375으로 산출되었다. 따라서 시스템은 공격방법(T00001)에 대한 대응방책으로서 C00001을 1순위로 추천 가능하고, 그다음 순위로 C00007, 그리고 마지막으로 C00005의 순서로 대응방책에 대한 순위를 결정하고, 이에 기반해서 추천을 하는 것이 바람직하다.
이상의 상세한 설명은 모든 면에서 제한적으로 해석되어서는 아니되고 예시적인 것으로 고려되어야 한다. 본 발명의 범위는 첨부된 청구항의 합리적 해석에 의해 결정되어야 하고, 본 발명의 등가적 범위 내에서의 모든 변경은 본 발명의 범위에 포함된다.
100 : 관계설정모듈
200 : 생성모듈
300 : 추론모듈
400 : 수행모듈
500 : 분석 및 매핑모듈
600 : 평가모듈
700 : 정량화모듈

Claims (14)

  1. 사이버 운용환경에서 공격자가 수행할 수 있는 공격방법들을 분석하고, 해당 공격들에 대응하여 수행할 수 있는 다수의 대응방책을 매핑하는 분석 및 매핑모듈;
    분석 및 매핑모듈에서 매핑된 각 공격에 대해 수행할 수 있는 다수의 대응방책들에 대해서 기준으로 설정된 값을 이용하여, 공격에 대한 방어능력 효과도, 대응방책 수행시 발생하는 비용, 대응방책 수행시 임무 수행에 미치는 임무영향도를 평가하는 평가모듈; 및
    평가모듈에서 평가된 임의의 공격에 대한 해당 대응방책의 효과도, 비용, 임무영향도를 기반으로 대응방책 별로 종합점수를 정량화하고 높은 점수를 가진 대응방책 순서로 추천하는 정량화모듈을 포함하는 임무수행능력을 고려한 공격 대응방책 선정장치.
  2. 청구항 1에 있어서,
    평가모듈은 기준으로 설정된 값을 이용하여 대응방책에 대한 효과도, 비용, 임무영향도를 평가하되, 기준으로 설정된 값은 해당 분야 전문가와 실무자의 협의를 통해서 미리 기설정되어 저장되고, 이를 이용하여 효과도, 비용, 임무영향도에 대한 정량화를 수행하는 임무수행능력을 고려한 공격 대응방책 선정장치.
  3. 청구항 1에 있어서,
    평가모듈은 다수의 대응방책에 대해서 공격에 대한 효과도를 정의할 때, 해당 공격에 대한 방어율이 80% 이상이면 5로 설정하고, 해당 공격에 대한 방어율이 60 내지 80%에 포함되면 4로 설정하고, 해당 공격에 대한 방어율이 40 내지 60%에 포함되면 3으로 설정하고, 해당공격에 대한 방어율이 20 내지 40%에 포함되면 2로 설정하고, 해당 공격에 대한 방어율이 20% 미만이면 1로 설정하는 임무수행능력을 고려한 공격 대응방책 선정장치.
  4. 청구항 3에 있어서,
    평가모듈은 다수의 대응방책에 대해서 공격에 대한 임무영향도를 정의할 때, 해당 공격에 대응하여 대응방책을 수행했을 때, 임무수행능력을 80% 이상 하락시키면 5로 설정하고, 임무수행능력을 60 내지 80% 범위로 하락시키면 4로 설정하고, 임무수행능력을 40 내지 60% 범위로 하락시키면 3으로 설정하고, 임무수행능력을 20 내지 40% 범위로 하락시키면 2로 설정하고, 임무수행능력을 20% 미만으로 하락시키면 1로 설정하는 임무수행능력을 고려한 공격 대응방책 선정장치.
  5. 청구항 4에 있어서,
    평가모듈은 해당 방책의 수행에 소요되는 비용이 무시할 수준의 경우 1로 설정하고, 해당 방책의 수행에 소요되는 비용이 매우 많은 경우 5로 설정하고, 해당 방책의 수행에 소요되는 비용이 많지만 5보다는 상대적으로 작은 경우에는 4로 설정하고, 해당 방책의 수행을 위하여 1 설정 비용과 같이 무시할 수준은 아니지만 작은 경우에서는 2로 설정하고, 해당 방책의 수행을 위하여 2 설정 비용과 4 설정 비용의 중간값에 해당될 때, 3으로 설정하는 임무수행능력을 고려한 공격 대응방책 선정장치.
  6. 청구항 1 내지 청구항 5 중 어느 한 청구항에 있어서,
    정량화모듈은 비용에 대한 설정값 대비 효과도에 대한 설정값을 계산하고, 이 계산된 값을 임무영향도에 대한 설정값을 적용하여 계산해서, 비용과 효과도와 임무영향도가 고려된 정량화 값을 산출하고,
    해당 공격별로 각 대응방책에 대해서 산출된 정량화 값을 높은 순서로 우선순위를 할당하여 추천을 제어하는 임무수행능력을 고려한 공격 대응방책 선정장치.
  7. 청구항 6에 있어서,
    분석 및 매핑모듈은 MITRE ATT&CK에 정의되어 있는 TTPs(Tactic, Technique, Procedure)를 활용하는 임무수행능력을 고려한 공격 대응방책 선정장치.
  8. 사이버 운용환경에서 공격자가 수행할 수 있는 공격방법들을 분석하고, 해당 공격들에 대응하여 수행할 수 있는 다수의 대응방책을 매핑하는 분석 및 매핑단계;
    분석 및 매핑단계에서 매핑된 각 공격에 대해 수행할 수 있는 다수의 대응방책들에 대해서 기준으로 설정된 값을 이용하여, 공격에 대한 방어능력 효과도, 대응방책 수행시 발생하는 비용, 대응방책 수행시 임무 수행에 미치는 임무영향도를 평가하는 평가단계; 및
    평가단계에서 평가된 임의의 공격에 대한 해당 대응방책의 효과도, 비용, 임무영향도를 기반으로 대응방책 별로 종합점수를 정량화하고 높은 점수를 가진 대응방책 순서로 추천하는 정량화단계를 포함하는 임무수행능력을 고려한 공격 대응방책 선정방법.
  9. 청구항 8에 있어서,
    평가단계는 기준으로 설정된 값을 이용하여 대응방책에 대한 효과도, 비용, 임무영향도를 평가하되, 기준으로 설정된 값은 해당 분야 전문가와 실무자의 협의를 통해서 미리 기설정되어 저장되고, 이를 이용하여 효과도, 비용, 임무영향도에 대한 정량화를 수행하는 임무수행능력을 고려한 공격 대응방책 선정방법.
  10. 청구항 9에 있어서,
    평가단계는 다수의 대응방책에 대해서 공격에 대한 효과도를 정의할 때, 해당 공격에 대한 방어율이 80% 이상이면 5로 설정하고, 해당 공격에 대한 방어율이 60 내지 80%에 포함되면 4로 설정하고, 해당 공격에 대한 방어율이 40 내지 60%에 포함되면 3으로 설정하고, 해당공격에 대한 방어율이 20 내지 40%에 포함되면 2로 설정하고, 해당 공격에 대한 방어율이 20% 미만이면 1로 설정하는 임무수행능력을 고려한 공격 대응방책 선정방법.
  11. 청구항 10에 있어서,
    평가단계는 다수의 대응방책에 대해서 공격에 대한 임무영향도를 정의할 때, 해당 공격에 대응하여 대응방책을 수행했을 때, 임무수행능력을 80% 이상 하락시키면 5로 설정하고, 임무수행능력을 60 내지 80% 범위로 하락시키면 4로 설정하고, 임무수행능력을 40 내지 60% 범위로 하락시키면 3으로 설정하고, 임무수행능력을 20 내지 40% 범위로 하락시키면 2로 설정하고, 임무수행능력을 20% 미만으로 하락시키면 1로 설정하는 임무수행능력을 고려한 공격 대응방책 선정방법.
  12. 청구항 11에 있어서,
    평가단계는 해당 방책의 수행에 소요되는 비용이 무시할 수준의 경우 1로 설정하고, 해당 방책의 수행에 소요되는 비용이 매우 많은 경우 5로 설정하고, 해당 방책의 수행에 소요되는 비용이 많지만 5보다는 상대적으로 작은 경우에는 4로 설정하고, 해당 방책의 수행을 위하여 1 설정 비용과 같이 무시할 수준은 아니지만 작은 경우에서는 2로 설정하고, 해당 방책의 수행을 위하여 2 설정 비용과 4 설정 비용의 중간값에 해당될 때, 3으로 설정하는 임무수행능력을 고려한 공격 대응방책 선정방법.
  13. 청구항 8 내지 청구항 12 중 어느 한 청구항에 있어서,
    정량화단계는 비용에 대한 설정값 대비 효과도에 대한 설정값을 계산하고, 이 계산된 값을 임무영향도에 대한 설정값을 적용하여 계산해서, 비용과 효과도와 임무영향도가 고려된 정량화 값을 산출하고,
    해당 공격별로 각 대응방책에 대해서 산출된 정량화 값을 높은 순서로 우선순위를 할당하여 추천을 제어하는 임무수행능력을 고려한 공격 대응방책 선정방법.
  14. 청구항 13에 있어서,
    분석 및 매핑단계는 MITRE ATT&CK에 정의되어 있는 TTPs(Tactic, Technique, Procedure)를 활용하는 임무수행능력을 고려한 공격 대응방책 선정방법.
KR1020200002354A 2020-01-08 2020-01-08 임무수행능력을 고려한 공격 대응방책 선정장치 및 방법 KR102322171B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020200002354A KR102322171B1 (ko) 2020-01-08 2020-01-08 임무수행능력을 고려한 공격 대응방책 선정장치 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020200002354A KR102322171B1 (ko) 2020-01-08 2020-01-08 임무수행능력을 고려한 공격 대응방책 선정장치 및 방법

Publications (2)

Publication Number Publication Date
KR20210089327A true KR20210089327A (ko) 2021-07-16
KR102322171B1 KR102322171B1 (ko) 2021-11-05

Family

ID=77151049

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020200002354A KR102322171B1 (ko) 2020-01-08 2020-01-08 임무수행능력을 고려한 공격 대응방책 선정장치 및 방법

Country Status (1)

Country Link
KR (1) KR102322171B1 (ko)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102468156B1 (ko) 2022-06-29 2022-11-17 국방과학연구소 사이버 위협 대응 대상 우선순위 산출 장치, 방법, 컴퓨터 판독 가능한 기록 매체 및 컴퓨터 프로그램
KR20240002500A (ko) 2022-06-29 2024-01-05 국방과학연구소 사이버 공세적 대응 대상 우선순위 분석 장치, 방법, 컴퓨터 판독 가능한 기록 매체 및 컴퓨터 프로그램
KR20240015510A (ko) 2022-07-27 2024-02-05 국방과학연구소 사이버 공격 스코어링 장치 및 방법
KR20240028209A (ko) 2022-08-24 2024-03-05 국방과학연구소 공격 체인 기반 공격 탐지 장치 및 방법

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2018032354A (ja) * 2016-08-26 2018-03-01 富士通株式会社 サイバー攻撃分析支援プログラム、サイバー攻撃分析支援方法およびサイバー攻撃分析支援装置
JP2018045327A (ja) * 2016-09-12 2018-03-22 株式会社日立アドバンストシステムズ セキュリティ対策装置
JP2018077597A (ja) * 2016-11-08 2018-05-17 株式会社日立製作所 セキュリティ対策立案支援システムおよび方法
KR101941039B1 (ko) 2018-05-29 2019-01-23 한화시스템(주) 사이버 위협 예측 시스템 및 방법

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2018032354A (ja) * 2016-08-26 2018-03-01 富士通株式会社 サイバー攻撃分析支援プログラム、サイバー攻撃分析支援方法およびサイバー攻撃分析支援装置
JP2018045327A (ja) * 2016-09-12 2018-03-22 株式会社日立アドバンストシステムズ セキュリティ対策装置
JP2018077597A (ja) * 2016-11-08 2018-05-17 株式会社日立製作所 セキュリティ対策立案支援システムおよび方法
KR101941039B1 (ko) 2018-05-29 2019-01-23 한화시스템(주) 사이버 위협 예측 시스템 및 방법

Also Published As

Publication number Publication date
KR102322171B1 (ko) 2021-11-05

Similar Documents

Publication Publication Date Title
KR102322171B1 (ko) 임무수행능력을 고려한 공격 대응방책 선정장치 및 방법
US11277432B2 (en) Generating attack graphs in agile security platforms
Bodeau et al. Cyber threat modeling: Survey, assessment, and representative framework
US10419474B2 (en) Selection of countermeasures against cyber attacks
US10862918B2 (en) Multi-dimensional heuristic search as part of an integrated decision engine for evolving defenses
US11438385B2 (en) User interface supporting an integrated decision engine for evolving defenses
US11985157B2 (en) Interactive interfaces and data structures representing physical and/or visual information using smart pins
Stytz et al. Toward attaining cyber dominance
Lin et al. Effective proactive and reactive defense strategies against malicious attacks in a virtualized honeynet
Gallagher et al. Cyber joint munitions effectiveness manual (JMEM)
Defense Science Board Resilient military systems and the advanced cyber threat
Wigness et al. Efficient and resilient edge intelligence for the internet of battlefield things
Hemanidhi et al. Cyber risk evaluation framework based on risk environment of military operation
Dobson et al. A computational model of cyber situational awareness
SO Cyberspace Operations
Giachetti System of systems capability needs analysis via a stochastic network model
CN110798454A (zh) 一种基于攻击组织能力评估对攻击进行防御的方法
KR20210089332A (ko) 사이버 방어시스템 및 제어방법
Herrick et al. Combating complexity: Offensive cyber capabilities and integrated warfighting
Lemay et al. Lessons from the strategic corporal: Implications of cyber incident response
Vega et al. Computer network operations methodology
Erbacher Extending command and control infrastructures to cyber warfare assets
Work Who Hath Measured the (Proving) Ground: Variation in Offensive Capabilities Test and Evaluation
Woods Implementing cyber coercion
Islam February 25, 2018 IASP 470 (Capstone) Individual Project (Militaries Cyber Defense)

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant