KR20220026858A - 위협 경보 유형 디스플레이 장치 및 방법 - Google Patents

위협 경보 유형 디스플레이 장치 및 방법 Download PDF

Info

Publication number
KR20220026858A
KR20220026858A KR1020200107908A KR20200107908A KR20220026858A KR 20220026858 A KR20220026858 A KR 20220026858A KR 1020200107908 A KR1020200107908 A KR 1020200107908A KR 20200107908 A KR20200107908 A KR 20200107908A KR 20220026858 A KR20220026858 A KR 20220026858A
Authority
KR
South Korea
Prior art keywords
threat alert
alert type
threat
type
types
Prior art date
Application number
KR1020200107908A
Other languages
English (en)
Other versions
KR102443486B1 (ko
Inventor
조성영
한인성
김민철
박용우
Original Assignee
국방과학연구소
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 국방과학연구소 filed Critical 국방과학연구소
Priority to KR1020200107908A priority Critical patent/KR102443486B1/ko
Publication of KR20220026858A publication Critical patent/KR20220026858A/ko
Application granted granted Critical
Publication of KR102443486B1 publication Critical patent/KR102443486B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G08SIGNALLING
    • G08BSIGNALLING OR CALLING SYSTEMS; ORDER TELEGRAPHS; ALARM SYSTEMS
    • G08B5/00Visible signalling systems, e.g. personal calling systems, remote indication of seats occupied
    • G08B5/22Visible signalling systems, e.g. personal calling systems, remote indication of seats occupied using electric transmission; using electromagnetic transmission
    • G08B5/222Personal calling arrangements or devices, i.e. paging systems
    • G08B5/223Personal calling arrangements or devices, i.e. paging systems using wireless transmission
    • G08B5/224Paging receivers with visible signalling details
    • G08B5/225Display details
    • G08B5/226Display details with alphanumeric or graphic display means
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/30Information retrieval; Database structures therefor; File system structures therefor of unstructured textual data
    • G06F16/33Querying
    • G06F16/3331Query processing
    • G06F16/334Query execution
    • G06F16/3346Query execution using probabilistic model
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/901Indexing; Data structures therefor; Storage structures

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Databases & Information Systems (AREA)
  • Data Mining & Analysis (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Electromagnetism (AREA)
  • Probability & Statistics with Applications (AREA)
  • Computational Linguistics (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Alarm Systems (AREA)

Abstract

위협 경보 유형 디스플레이 장치 및 방법이 제공될 수 있다. 일 실시예에 따른 위협 경보 유형 디스플레이 장치는, 기 발생된 복수 개의 과거 위협 경보 유형 및 상기 복수 개의 과거 위협 경보 유형 각각에 대해 그 이후에 발생 가능성이 있는 후보 위협 경보 유형에 대한 정보를 저장하는 데이터베이스, 분석 대상인 대상 위협 경보 유형을 입력받는 입력부, 상기 복수 개의 과거 위협 경보 유형 중에서 상기 대상 위협 경보 유형이 상기 후보 위협 경보 유형에 할당되어 있는 과거 위협 경보 유형을 획득하는 정보 획득부 및 상기 대상 위협 경보 유형을 중심으로, 상기 획득된 과거 위협 경보 유형을 상기 대상 위협 경보 유형에 연결해서 디스플레이하는 디스플레이부를 포함할 수 있다.

Description

위협 경보 유형 디스플레이 장치 및 방법{METHOD AND APPARATUS FOR DISPLAYING THREAT ALERT TYPE}
본 발명은 위협 경보 유형 디스플레이 장치 및 방법에 관한 것이다. 보다 구체적으로, 본 발명은 사이버 위협 경보 유형들 간 상관관계 분석 결과를 디스플레이하는 장치 및 방법에 대한 발명이다.
특정 조직을 지속적으로 공격하여 데이터의 유출 등과 같은 공격 목표를 달성하는 지능형 지속적 위협(Advanced Persistent Threat, APT), 서비스 거부 공격(Denial Of Service, DOS) 및 분산 서비스 거부 공격(Distributed Denial Of Service, DDOS) 등의 최근 사이버 공격은 발생 빈도가 잦아지고, 그 방법 또한 정교해지고 있다.
이와 같은 사이버 공격에 대응하기 위해 대부분의 조직에서는 라우터 및 스위치 등의 네트워크 장치, 침입 탐지 시스템(Intrusion Detection System, IDS) 및 방화벽 등의 범용 네트워크 보안 장치, 웹 방화벽(Web Application Firewall, WAF) 및 안티 DDOS 장비 등의 애플리케이션 수준 네트워크 보안 장치 및 디지털 저작권 관리(Digital Rights Management, DRM) 및 안티 바이러스(Anti Virus, AV) 등의 애플리케이션 수준 솔루션 등을 도입하여 운영하고 있다. 또한, 대부분의 조직에서는 감사(audit) 목적 또는 침해 사고를 당한 경우의 사고 분석 및 대응을 위한 목적으로 시스템의 로그를 의무적으로 보관하고 있다.
또한, 다양한 보안 솔루션으로부터 수집되는 정보 및 시스템의 로그를 분석하여 사이버 공격에 대응하기 위해 전사적 보안 관리 시스템(Enterprise Security Management, ESM) 및 보안 정보 이벤트 시스템(Security Information and Event System, SIEM) 등이 도입되어 운영되고 있다. 또는, 다양한 로그를 통합 및 관리하여 다양한 사이버 공격을 탐지하고 이에 대응하기 위한 기술들이 개발되고 있다.
그러나, 현재의 사이버 공격은 일회성에 그치지 않고, 공격자가 공격 목표를 달성하기 위해 장시간 동안 여러 공격 방법들을 순차적으로 수행하므로, 이러한 사이버 공격들을 효과적으로 방어 및 대응하기 위해서는 현재 사이버 공간의 상황을 정확히 인식하는 것이 중요하다. 이를 위해, 다양한 정보를 수집 및 분석하여 특정 공격들을 식별하고, 시나리오 기반으로 사이버 공격의 이력을 추적하고 대응하기 위한 방법이 필요한 실정이다.
본 발명은 사이버 위협 경보 유형들 간 상관관계 분석 결과를 디스플레이하는 장치 및 방법을 제공하는 것을 목적으로 한다.
또한, 본 발명은, 시나리오를 기반으로 현재 공격의 맥락을 파악할 수 있는 장치 및 방법을 제공하는 것을 목적으로 한다.
또한, 본 발명은, 시나리오를 기반으로 현재 공격의 맥락을 파악하여 향후 발생할 공격을 예측할 수 있는 장치 및 방법을 제공하는 것을 목적으로 한다.
본 발명에서 이루고자 하는 기술적 과제들은 이상에서 언급한 기술적 과제들로 제한되지 않으며, 언급하지 않은 또 다른 기술적 과제들은 아래의 기재로부터 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.
본 발명의 일 실시예에 따른 위협 경보 유형 디스플레이 장치는, 기 발생된 복수 개의 과거 위협 경보 유형 및 상기 복수 개의 과거 위협 경보 유형 각각에 대해 그 이후에 발생 가능성이 있는 후보 위협 경보 유형에 대한 정보를 저장하는 데이터베이스; 분석 대상인 대상 위협 경보 유형을 입력받는 입력부; 상기 복수 개의 과거 위협 경보 유형 중에서 상기 대상 위협 경보 유형이 상기 후보 위협 경보 유형에 할당되어 있는 과거 위협 경보 유형을 획득하는 정보 획득부; 및 상기 대상 위협 경보 유형을 중심으로, 상기 획득된 과거 위협 경보 유형을 상기 대상 위협 경보 유형에 연결해서 디스플레이하는 디스플레이부를 포함할 수 있다.
상기 위협 경보 유형 디스플레이 장치에 있어서, 상기 정보 획득부는, 상기 대상 위협 경보 유형 이후에 발생 가능성이 있는 후보 위협 경보 유형을 상기 데이터베이스로부터 추가적으로 획득하고, 상기 디스플레이부는, 상기 대상 위협 경보 유형에 상기 획득된 후보 위협 경보 유형을 추가적으로 연결해서 디스플레이할 수 있다.
상기 위협 경보 유형 디스플레이 장치에 있어서, 상기 디스플레이부는, 상기 대상 위협 경보 유형과 상기 획득된 과거 위협 경보 유형들 간의 연결 관계를, 상기 대상 위협 경보 유형과 상기 획득된 후보 위협 경보 유형들 간의 연결 관계와 상이하게 디스플레이할 수 있다.
상기 위협 경보 유형 디스플레이 장치에 있어서, 상기 데이터베이스에는, 상기 복수 개의 과거 위협 경보 유형 각각에 대해 그 이후에 발생 가능성이 있는 후보 위협 경보 유형에 대한 발생 가능성이 확률로서 저장될 수 있다.
상기 위협 경보 유형 디스플레이 장치에 있어서, 상기 데이터베이스에는, 상기 복수 개의 과거 위협 경보 유형 각각에 대해 그 이후에 발생 가능성이 있는 후보 위협 경보 유형에 대한 발생 조건이 추가적으로 저장될 수 있다.
상기 위협 경보 유형 디스플레이 장치에 있어서, 상기 데이터베이스에는, 상기 복수 개의 과거 위협 경보 유형 각각에 대한 속성 정보가 추가적으로 저장되어 있고, 상기 정보 획득부는, 상기 대상 위협 경보 유형 및 상기 획득된 과거 위협 경보 유형에 대한 속성 정보를 상기 데이터베이스로부터 획득하여 클러스터링(clustering)하고, 상기 디스플레이부는, 상기 클러스터링된 결과에 기초하여, 상기 대상 위협 경보 유형 및 상기 획득된 과거 위협 경보 유형을 디스플레이할 수 있다.
본 발명의 다른 실시예에 따른 위협 경보 유형 디스플레이 방법은, 상기 위협 경보 유형 디스플레이 장치에 의해 수행될 수 있고, 기 발생된 복수 개의 과거 위협 경보 유형 및 상기 복수 개의 과거 위협 경보 유형 각각에 대해 그 이후에 발생 가능성이 있는 후보 위협 경보 유형에 대한 정보를 데이터베이스에 저장하는 단계; 분석 대상인 대상 위협 경보 유형을 입력받는 단계; 상기 복수 개의 과거 위협 경보 유형 중에서 상기 대상 위협 경보 유형이 상기 후보 위협 경보 유형에 할당되어 있는 과거 위협 경보 유형을 획득하는 단계; 및 상기 대상 위협 경보 유형을 중심으로, 상기 획득된 과거 위협 경보 유형을 상기 대상 위협 경보 유형에 연결해서 디스플레이하는 단계를 포함할 수 있다.
상기 위협 경보 유형 디스플레이 방법에 있어서, 상기 획득하는 단계는, 상기 대상 위협 경보 유형 이후에 발생 가능성이 있는 후보 위협 경보 유형을 상기 데이터베이스로부터 획득하는 단계를 포함하고, 상기 디스플레이하는 단계는, 상기 대상 위협 경보 유형에 상기 획득된 후보 위협 경보 유형을 추가적으로 연결해서 디스플레이하는 단계를 포함할 수 있다.
상기 위협 경보 유형 디스플레이 방법에 있어서, 상기 디스플레이하는 단계는, 상기 대상 위협 경보 유형과 상기 획득된 과거 위협 경보 유형들 간의 연결 관계를, 상기 대상 위협 경보 유형과 상기 획득된 후보 위협 경보 유형들 간의 연결 관계와 상이하게 디스플레이할 수 있다.
상기 위협 경보 유형 디스플레이 방법에 있어서, 상기 데이터베이스에는, 상기 복수 개의 과거 위협 경보 유형 각각에 대해 그 이후에 발생 가능성이 있는 후보 위협 경보 유형에 대한 발생 가능성이 확률로서 저장될 수 있다.
상기 위협 경보 유형 디스플레이 방법에 있어서, 상기 데이터베이스에는, 상기 복수 개의 과거 위협 경보 유형 각각에 대해 그 이후에 발생 가능성이 있는 후보 위협 경보 유형에 대한 발생 조건이 추가적으로 저장될 수 있다.
상기 위협 경보 유형 디스플레이 방법에 있어서, 상기 데이터베이스에는, 상기 복수 개의 과거 위협 경보 유형 각각에 대한 속성 정보가 추가적으로 저장되어 있고, 상기 획득하는 단계는, 상기 대상 위협 경보 유형 및 상기 획득된 과거 위협 경보 유형에 대한 속성 정보를 상기 데이터베이스로부터 획득하여 클러스터링(clustering)하는 단계를 포함하고, 상기 디스플레이하는 단계는, 상기 클러스터링된 결과에 기초하여, 상기 대상 위협 경보 유형 및 상기 획득된 과거 위협 경보 유형을 디스플레이하는 단계를 포함할 수 있다.
본 발명에 따르면, 사이버 위협 경보 유형들 간 상관관계 분석 결과를 디스플레이하는 장치 및 방법이 제공될 수 있다.
또한, 본 발명에 따르면, 시나리오를 기반으로 현재 공격의 맥락을 파악할 수 있는 장치 및 방법이 제공될 수 있다.
또한, 본 발명에 따르면, 시나리오를 기반으로 현재 공격의 맥락을 파악하여 향후 발생할 공격을 예측할 수 있는 장치 및 방법이 제공될 수 있다.
본 발명에서 얻을 수 있는 효과는 이상에서 언급한 효과들로 제한되지 않으며, 언급하지 않은 또 다른 효과들은 아래의 기재로부터 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.
도 1은 본 발명의 일 실시예에 따른 위협 경보 유형 디스플레이 장치를 설명하기 위한 도면이다.
도 2 및 도 3은 본 발명의 일 실시예에 따른 위협 경보 유형들 간의 연결 관계를 설명하기 위한 도면이다.
도 4 내지 도 6은 본 발명의 일 실시예에 따른 위협 연관 관계 그래프가 디스플레이되는 형태를 설명하기 위한 도면이다.
도 7 및 도 8은 본 발명의 일 실시예에 따른 위협 연관 경보 현황이 디스플레이되는 형태를 설명하기 위한 도면이다.
도 9는 본 발명의 일 실시예에 따른 위협 경보 유형 디스플레이 방법을 설명하기 위한 도면이다.
본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시예들은 본 발명의 개시가 완전하도록 하고, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다. 명세서 전체에 걸쳐 동일 도면부호는 동일 구성 요소를 지칭한다.
본 발명의 실시예들을 설명함에 있어서 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다. 그리고 후술되는 용어들은 본 발명의 실시예에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.
이하 사용되는 '…부', '…기' 등의 용어는 적어도 하나의 기능이나 동작을 처리하는 단위를 의미하며, 이는 하드웨어나 소프트웨어, 또는, 하드웨어 및 소프트웨어의 결합으로 구현될 수 있다.
이하, 첨부된 도면을 참조하여 본 발명의 실시예에 대해 상세히 설명하기로 한다.
도 1은 본 발명의 일 실시예에 따른 위협 경보 유형 디스플레이 장치를 설명하기 위한 도면이다.
도 1을 참조하면, 본 발명의 일 실시예에 따른 위협 경보 유형 디스플레이 장치(100)는 데이터베이스(110), 입력부(120), 정보획득부(130) 및 디스플레이부(140)를 포함할 수 있다. 다만, 이에 한정되지 않고, 위협 경보 유형 디스플레이에 필요한 모듈을 추가적으로 더 포함할 수 있다.
위협 경보는 사이버 공격에 대응되는 경보(alert)로서, 기 설정된 분류 체계(taxonomy)에 따라 하나 이상의 위협 경보 유형으로 분류될 수 있다. 이때, 상기 기 설정된 분류 체계는 사이버 공격 유형에 따른 위협 경보들을 분류하기 위한 분류 체계를 의미할 수 있다. 또한, 상기 위협 경보는 킬체인 단계, 전술, 행동, 기술 및 절차 수준에 따라 정의된 위협 분류 체계에서 각 수준 중 하나에 매핑될 수 있다.
데이터베이스(110)에는 적어도 하나 이상의 위협 경보 유형에 대한 정보가 저장될 수 있다. 데이터베이스(110)에 저장되는 적어도 하나 이상의 위협 경보 유형은, 기 발생된 과거 위협 경보 유형 및 상기 과거 위협 경보 유형에 대해 아직 탐지되지 않았지만 그 이후 발생 가능성이 있는 후보 위협 경보 유형을 포함할 수 있다. 후보 위협 경보 유형은 적어도 하나 이상일 수 있다.
이때, 데이터베이스(110)에는 복수 개의 과거 위협 경보 유형 각각에 대해 아직 탐지되지 않았지만 그 이후 발생 가능성이 있는 후보 위협 경보 유형에 대한 발생 조건 및 발생 확률이 저장될 수 있다.
상기 발생 확률은, 특정한 발생 조건에 대해 과거 위협 경보 유형으로부터 후보 위협 경보 유형이 발생할 수 있는 확률을 의미할 수 있다. 예를 들어, 위협 경보 유형 'A' 이후에 위협 경보 유형 'B'가 발생한 횟수가 5회이고, 위협 경보 유형 'A' 이후에 위협 경보 유형 'C'가 발생한 횟수가 6회이며, 'A'이후에 'B' 또는 'C'외에 다른 위협 경보 유형이 발생한 이력이 없는 경우, 데이터베이스에는 'A' 이후에 'B'가 발생할 확률로 '5/11'이 저장될 수 있고, 'A' 이후에 'C'가 발생할 확률로 '6/11'이 저장될 수 있다.
또한, 데이터베이스(110)에는 복수 개의 과거 위협 경보 유형 각각에 대한 속성 정보가 저장될 수 있다. 상기 속성 정보는 위협 분류 체계 중 킬체인 단계에서의 분류 기준일 수 있다. 예를 들어, 상기 속성 정보는 정찰, 침투, 거점 장악, 목표 달성 및 공격 지원 중 적어도 하나일 수 있다. 킬체인 단계에서의 분류 기준에 따른 위협 경보 유형의 디스플레이 형태에 대해서는 도 7과 관련된 설명에서 후술한다.
데이터베이스(110)는 휘발성 메모리 및 비휘발성 메모리 중 적어도 하나를 포함할 수 있다.
입력부(120)는 분석 대상인 대상 위협 경보 유형을 입력받을 수 있다. 구체적으로, 입력부(120)는 대상 위협 경보가 기 설정된 분류 체계에 따라 분류된 대상 위협 경보 유형을 입력받을 수 있다. 또는, 입력부(120)는 대상 위협 경보 자체를 입력받고, 입력받은 위협 경보는 위협 경보 유형 디스플레이 장치(100) 내부에서 기 설정된 분류 체계에 따라 하나 이상의 대상 위협 경보 유형으로 분류될 수도 있다. 상기 대상 위협 경보 유형에 대한 속성 정보는 데이터베이스(110)에 저장될 수 있다.
정보 획득부(130)는 데이터베이스(110)에 저장된 복수 개의 과거 위협 경보 유형 중에서 대상 위협 경보 유형이 후보 위협 경보 유형에 할당되어 있는 과거 위협 경보 유형을 획득할 수 있다.
예를 들어, 데이터베이스(110)에 과거 위협 경보 유형으로 A, B가 저장되어있고, A, B 각각에 후보 위협 경보 유형으로 C, D가 할당될 수 있다. 이때, 입력부(120)를 통해 입력받은 대상 위협 경보 유형이 C인 경우, 정보 획득부(130)는 C가 후보 위협 경보 유형으로 할당되어 있는 과거 위협 경보 유형 A를 획득할 수 있다.
또한, 정보 획득부(130)는 대상 위협 경보 유형 이후 발생 가능성이 있는 후보 위협 경보 유형을 데이터베이스(110)로부터 획득할 수 있다.
예를 들어, 대상 위협 경보 유형이 C인 경우, 정보 획득부(130)는 C 이후 발생 가능성이 있는 후보 위협 경보 유형을 데이터베이스(110)로부터 획득할 수 있다.
또한, 정보 획득부(130)는 대상 위협 경보 유형 및 과거 위협 경보 유형에 대한 속성 정보를 데이터베이스(110)로부터 획득하여 클러스터링(clustering)을 수행할 수 있다. 이때, 속성 정보는 상술한 위협 분류 체계 중 킬체인 단계에서의 분류 기준일 수 있다. 구체적으로, 정보 획득부(130)는 속성 정보를 기준으로 하여, 대상 위협 경보 유형 및 과거 위협 경보 유형을 보다 상위 단계로 클러스터링할 수 있다. 클러스터링에 따른 위협 경보 유형의 디스플레이 형태에 대해서는 도 5 및 도 6과 관련된 설명에서 후술한다.
디스플레이부(140)는 대상 위협 경보 유형을 중심으로, 과거 위협 경보 유형을 대상 위협 경보 유형에 연결해서 디스플레이할 수 있다. 또한, 디스플레이부(140)는 대상 위협 경보 유형에 후보 위협 경보 유형을 추가적으로 연결해서 디스플레이할 수 있다.
이때, 디스플레이부(140)는 상기 대상 위협 경보 유형과 상기 획득된 과거 위협 경보 유형들 간의 연결 관계를, 상기 대상 위협 경보 유형과 상기 획득된 후보 위협 경보 유형들 간의 연결 관계와 상이하게 디스플레이할 수 있다. 예를 들어, 디스플레이부(140)는 상기 대상 위협 경보 유형과 상기 획득된 과거 위협 경보 유형들 간의 연결 관계를 실선의 형태로, 상기 대상 위협 경보 유형과 상기 획득된 후보 위협 경보 유형들 간의 연결 관계를 점선의 형태로 디스플레이할 수 있다. 이때, 상기 실선 및 점선은 상관관계가 있을 확률에 따라 굵기가 다르게 표시될 수도 있다.
또한, 디스플레이부(140)는 정보 획득부(130)에서 속성 정보를 기준으로 하여 상위 단계로 클러스터링된 대상 위협 경보 유형 및 과거 위협 경보 유형을 디스플레이할 수 있다.
디스플레이부(140)는 위협 경보 유형의 상관관계를 위협 연관 관계 그래프 및 위협 경보 현황 중 적어도 하나의 형태로 디스플레이할 수 있다. 위협 연관 관계 그래프는 도 4 내지 도 6과 관련된 설명에서, 위협 경보 현황은 도 7 및 도 8과 관련된 설명에서 후술한다.
도 2 및 도 3은 본 발명의 일 실시예에 따른 위협 경보 유형들 간의 연결 관계를 설명하기 위한 도면이다.
도 2 및 도 3을 참조하면, 각 위협 경보 유형들이 원형으로 표시되어 있고, 각 원형 안에 위협 경보 유형의 수신/탐지 순서가 기재되어있다. 이하, 대상 위협 경보 유형이 과거 위협 경보 유형과 연결되는 형태 및 대상 위협 경보 유형이 후보 위협 경보 유형과 연결되는 형태에 대해 설명한다.
예를 들어, 도 2(a) 및 도 2(b)를 참조하면, 대상 위협 경보 유형'1' 및 '2'가 다른 위협 경보 유형의 후보 위협 경보 유형으로 할당되지 않은 경우, 상기 대상 위협 경보 유형'1' 및 '2'는 다른 위협 경보 유형과 실선의 형태로는 연결되지 않고, 각 대상 위협 경보 유형에 대해 점선의 형태로 후보 위협 경보 유형과만 연결될 수 있다. 일 예로, 대상 위협 경보 유형 '1' 및 '2'의 후보 위협 경보 유형에는, 위협 경보 유형 '3'이 포함될 수 있다. 도 2에서는 후보 위협 경보 유형이 2개인 것으로 도시되어 있으나, 이에 제한되지 않는다.
또한, 도 2(c)를 참조하면, 대상 위협 경보 유형이 '3'이고, '3'을 후보 위협 경보 유형으로 할당한 과거 위협 경보 유형이 각각 '1' 및 '2'인 경우, 도 2(c)에 도시된 바와 같이, 대상 위협 경보 유형'3'이 과거 위협 경보 유형 '1' 및 '2'와 실선 형태로 연결될 수 있다. 또한, 대상 위협 경보 유형'3'의 후보 위협 경보 유형이 점선으로 연결될 수 있다. 이때, 대상 위협 경보 유형'3'의 후보 위협 경보 유형에는 위협 경보 유형 '4'가 포함될 수 있다.
또한, 도 3(a)를 참조하면, 대상 위협 경보 유형이 '4'인 경우, '4'를 후보 위협 경보 유형으로 할당한 과거 위협 경보 유형 '3'이 대상 위협 경보 유형 '4'와 실선 형태로 연결될 수 있다. 또한, 도 3(b)를 참조하면, 과거 위협 경보 유형 '4'가 위협 경보 유형 '5'를 후보 위협 경보 유형으로 할당한 경우, 대상 위협 경보 유형 '5'가 입력되면, 과거 위협 경보 유형 '4' 및 대상 위협 경보 유형 '5'가 실선 형태로 연결될 수 있다.
따라서, 도 2 및 도 3에 도시된 바와 같이, 현재 발생한 위협 경보 유형 이전에 발생했던 과거 위협 경보 유형이 실선으로 연결되고, 현재 발생한 위협 경보 유형 다음에 발생할 후보 위협 경보 유형이 점선으로 연결되어 디스플레이될 경우, 현재까지 공격자가 수행한 공격 흐름이 한눈에 분석될 수 있어, 관리자가 향후 공격의 진행 단계 및 방향을 예측하는데 효과적일 수 있다.
도 4 내지 도 6은 본 발명의 일 실시예에 따른 위협 연관 관계 그래프가 디스플레이되는 형태를 설명하기 위한 도면이다. 이하 도 4 내지 도 6의 속성 1 내지 속성 3은, 위협 경보 유형의 속성 정보로서, 상기 속성 정보는 위협 분류 체계 중 킬체인 단계에서의 분류 기준일 수 있다. 예를 들어, 상기 속성 정보는 정찰, 침투, 거점 장악, 목표 달성 및 공격 지원 중 적어도 하나일 수 있다. 또한, 도 4 내지 도 6에는 속성이 3개인 것으로 도시되어있으나, 이에 제한되지 않는다.
도 4에는 경보 단계의 위협 연관 관계 그래프가 도시되어 있다. 구체적으로, 각 위협 경보는 속성 정보(예: 속성 1, 속성 2 및 속성 3)에 따라 다른 색으로 구분되어있으며, 상관 관계가 있는 위협 경보가 실선의 형태로 연결되어 디스플레이될 수 있다.
예를 들어, 도 4를 참조하면, 속성 3을 갖는 위협 경보 '109'가, 속성 1을 갖는 위협 경보 '116'과 상관 관계가 존재하여 실선의 형태로 연결될 수 있다. 또한, 속성 1을 갖는 위협 경보 '116'이 속성 2를 갖는 위협 경보 '117'과 상관 관계가 존재하여 실선의 형태로 연결될 수 있다.
도 5 및 도 6은 위협 연관 관계 그래프로서, 복수의 위협 경보 유형들이 상관관계에 기초하여 연결되어있고, 속성 정보(예: 속성 1, 속성 2 및 속성 3)에 따라 다른 색으로 구분되어있다. 이때, 도 5는 '단계 1'의 위협 연관 관계 그래프로, 도 6에 도시된 '단계 2'의 위협 경보 유형들이 클러스터링된 상위 단계의 위협 연관 관계 그래프일 수 있다. 즉, 도 6에 도시된 위협 경보 유형들은, 각 위협 경보 유형들의 속성 정보에 따라 상위 단계로 클러스터링되어 도 5와 같이 디스플레이될 수 있다. 도 5 및 도 6에는 단계가 2개인 것으로 도시되어있으나, 반드시 이에 제한되는 것은 아니다.
일 예로, 단계 1은 위협 분류 체계 중 '전술'단계일 수 있으며, 단계 2는 위협 분류 체계 중 '행동'단계일 수 있으나, 반드시 이에 한정되는 것은 아니다.
또한, 도 5에 도시된 각 위협 경보 유형(예: 유형 1 내지 7)은 단계 1(예: 전술 단계)에 해당하는 위협 경보 유형일 수 있다. 예를 들어, 유형 1 내지 유형 7은 권한 상승, 내부 정찰, 실행, 명령제어 통신, 정보 유출, 정보 수집, 방어 회피, 자산 정보 수집 중 적어도 하나일 수 있다.
또한, 도 6에 도시된 각 위협 경보 유형(예: 유형 8 내지 16)은 단계 2(예: 행동 단계)에 해당하는 위협 경보 유형일 수 있다. 예를 들어, 유형 8 내지 유형 16은 취약한 접근제어 익스플로잇, 데이터 압축, 명령제어 통신, 원격 서비스 이용, 로컬 시스템에서 수집, OS/소프트웨어 정보 발견, 취약점 익스플로잇 중 적어도 하나일 수 있다.
이때, 상기 도 5 및 도 6에는 위협 경보 유형이 16개인 것으로 도시되어있으나, 이에 제한되지 않는다.
따라서, 본 발명의 일 실시예에 따르면, 현재 발생한 위협 경보 유형 이전에 발생했던 과거 위협 경보 유형이 실선으로 연결되고, 각 위협 경보 유형의 속성 정보가 표시되므로, 관리자가 공격 맥락을 쉽게 파악할 수 있는 효과가 있다. 또한, 도 5에 도시된 바와 같이, 각 위협 경보 유형이 상위 단계로 클러스터링된 결과가 디스플레이 됨에 따라, 관리자가 시나리오 기반으로 다단계 공격을 분석 가능하여 현재 공격의 공격 맥락을 파악하고, 이를 효과적으로 대응할 수 있다.
도 7 및 도 8은 본 발명의 일 실시예에 따른 위협 연관 경보 현황이 디스플레이되는 형태를 설명하기 위한 도면이다.
도 7은 위협 경보 현황이 킬체인 뷰로 도시된 형태이고, 도 8은 위협 경보 현황이 타임라인 뷰 형태로 도시된 형태이다.
킬체인 뷰는, 분류 기준인 속성 정보에 따라 각 위협 경보 유형을 분류한 것일 수 있다. 예를 들어, 상기 속성 정보는 정찰, 침투, 거점 장악, 목표 달성 및 공격 지원 중 적어도 하나일 수 있다. 구체적으로, 도 7을 참조하면, 각 속성 정보(예: 속성 1 내지 3)에 따라 위협 경보 유형들이 분류되어있고, 각 위협 경보 유형의 상관관계가 실선 및/또는 점선의 형태로 연결되어있다.
이때, 킬체인 뷰에서는 특정한 위협 경보 유형이 선택된 경우, 상기 위협 경보 유형이 할당한 후보 위협 경보 유형이 점선의 형태로 연결되어 디스플레이될 수 있다.
또한, 상관관계가 있는 위협 경보 유형끼리는 실선의 형태로 연결되어 디스플레이될 수 있다.
예를 들어, 도 7을 참조하면, 위협 경보 유형 '6'이 선택된 경우, 상기 위협 경보 유형'6'이 할당한 후보 위협 경보 유형 '1' 및 '8'이 위협 경보 유형 '6'과 점선의 형태로 연결되어 디스플레이될 수 있다. 또한, 위협 경보 유형 '6'을 후보 위협 경보 유형으로 할당한 과거 위협 경보 유형 '2', '4' 및 '5'가 위협 경보 유형 '6'과 실선의 형태로 연결되어 디스플레이될 수 있다.
또한, 도시되지 않았으나, 킬체인 뷰 또한 상술한 도 5 및 도 6에서와 마찬가지로, 속성 정보를 기준으로 적어도 하나 이상의 단계로 클러스터링되어 디스플레이될 수 있다.
타임라인 뷰는, 각 위협 경보 유형이 시간 순서에 따라 디스플레이된 형태일 수 있다. 예를 들어, 도 8을 참조하면, '2020-03-05 00:42:24'에 발생/탐지된 위협 경보 유형 '6'이, '2020-03-05 00:42:24'에 발생/탐지된 위협 경보 유형 '5'와 상관관계가 존재하여 실선 형태로 연결되어 있다.
도 9는 본 발명의 일 실시예에 따른 위협 경보 유형 디스플레이 방법을 설명하기 위한 도면이다.
본 발명의 일 실시예에 따른 위협 경보 유형 디스플레이 장치는, 기 발생된 복수 개의 과거 위협 경보 유형 및 상기 복수 개의 과거 위협 경보 유형 각각에 대해 그 이후에 발생 가능성이 있는 후보 위협 경보 유형에 대한 정보를 데이터베이스에 저장할 수 있다(S901). 그러나, 상기 S901 단계는 위협 경보 유형 디스플레이 방법의 수행 이전에 미리 수행되어있을 수 있다.
또한, 위협 경보 유형 디스플레이 장치는, 분석 대상인 대상 위협 경보 유형을 입력받을 수 있다(S902).
또한, 위협 경보 유형 디스플레이 장치는, 복수 개의 과거 위협 경보 유형 중에서 상기 대상 위협 경보 유형이 상기 후보 위협 경보 유형에 할당되어 있는 과거 위협 경보 유형을 획득할 수 있다(S903).
이때, 상기 S903 단계는, 상기 대상 위협 경보 유형 이후에 발생 가능성이 있는 후보 위협 경보 유형을 상기 데이터베이스로부터 획득하는 단계를 포함할 수 있다.
또한, 상기 S903 단계는, 대상 위협 경보 유형 및 획득된 과거 위협 경보 유형에 대한 속성 정보를 상기 데이터베이스로부터 획득하여 클러스터링(clustering)하는 단계를 포함할 수 있다.
또한, 위협 경보 유형 디스플레이 장치는, 상기 대상 위협 경보 유형을 중심으로, 상기 획득된 과거 위협 경보 유형을 상기 대상 위협 경보 유형에 연결해서 디스플레이할 수 있다(S904).
이때, 상기 S904 단계는, 상기 대상 위협 경보 유형에 상기 획득된 후보 위협 경보 유형을 추가적으로 연결해서 디스플레이하는 단계를 포함할 수 있다.
또한, 상기 S904 단계는, 상기 대상 위협 경보 유형과 상기 획득된 과거 위협 경보 유형들 간의 연결 관계를, 상기 대상 위협 경보 유형과 상기 획득된 후보 위협 경보 유형들 간의 연결 관계와 상이하게 디스플레이할 수 있다.
또한, 상기 S904 단계는, 상기 클러스터링된 결과에 기초하여, 상기 대상 위협 경보 유형 및 상기 획득된 과거 위협 경보 유형을 디스플레이하는 단계를 포함할 수 있다.
본 명세서에 첨부된 블록도의 각 블록과 흐름도의 각 단계의 조합들은 컴퓨터 프로그램 인스트럭션들에 의해 수행될 수도 있다. 이들 컴퓨터 프로그램 인스트럭션들은 범용 컴퓨터, 특수용 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서에 탑재될 수 있으므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서를 통해 수행되는 그 인스트럭션들이 블록도의 각 블록 또는 흐름도의 각 단계에서 설명된 기능들을 수행하는 수단을 생성하게 된다. 이들 컴퓨터 프로그램 인스트럭션들은 특정 방식으로 기능을 구현하기 위해 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 지향할 수 있는 컴퓨터 이용 가능 또는 컴퓨터 판독 가능 메모리에 저장되는 것도 가능하므로, 그 컴퓨터 이용가능 또는 컴퓨터 판독 가능 메모리에 저장된 인스트럭션들은 블록도의 각 블록 또는 흐름도 각 단계에서 설명된 기능을 수행하는 인스트럭션 수단을 내포하는 제조 품목을 생산하는 것도 가능하다. 컴퓨터 프로그램 인스트럭션들은 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에 탑재되는 것도 가능하므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에서 일련의 동작 단계들이 수행되어 컴퓨터로 실행되는 프로세스를 생성해서 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 수행하는 인스트럭션들은 블록도의 각 블록 및 흐름도의 각 단계에서 설명된 기능들을 실행하기 위한 단계들을 제공하는 것도 가능하다.
또한, 각 블록 또는 각 단계는 특정된 논리적 기능(들)을 실행하기 위한 하나 이상의 실행 가능한 인스트럭션들을 포함하는 모듈, 세그먼트 또는 코드의 일부를 나타낼 수 있다. 또, 몇 가지 대체 실시예들에서는 블록들 또는 단계들에서 언급된 기능들이 순서를 벗어나서 발생하는 것도 가능함을 주목해야 한다. 예컨대, 잇달아 도시되어 있는 두 개의 블록들 또는 단계들은 사실 실질적으로 동시에 수행되는 것도 가능하고 또는 그 블록들 또는 단계들이 때때로 해당하는 기능에 따라 역순으로 수행되는 것도 가능하다.
이상의 설명은 본 발명의 기술 사상을 예시적으로 설명한 것에 불과한 것으로서, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 발명의 본질적인 품질에서 벗어나지 않는 범위에서 다양한 수정 및 변형이 가능할 것이다. 따라서, 본 명세서에 개시된 실시예들은 본 발명의 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시예에 의하여 본 발명의 기술 사상의 범위가 한정되는 것은 아니다. 본 발명의 보호 범위는 아래의 청구범위에 의하여 해석되어야 하며, 그와 균등한 범위 내에 있는 모든 기술사상은 본 발명의 권리범위에 포함되는 것으로 해석되어야 할 것이다.
100: 위협 경보 유형 디스플레이 장치
110: 데이터베이스
120: 입력부
130: 정보획득부
140: 디스플레이부

Claims (12)

  1. 위협 경보 유형 디스플레이 장치에 있어서,
    기 발생된 복수 개의 과거 위협 경보 유형 및 상기 복수 개의 과거 위협 경보 유형 각각에 대해 그 이후에 발생 가능성이 있는 후보 위협 경보 유형에 대한 정보를 저장하는 데이터베이스;
    분석 대상인 대상 위협 경보 유형을 입력받는 입력부;
    상기 복수 개의 과거 위협 경보 유형 중에서 상기 대상 위협 경보 유형이 상기 후보 위협 경보 유형에 할당되어 있는 과거 위협 경보 유형을 획득하는 정보 획득부; 및
    상기 대상 위협 경보 유형을 중심으로, 상기 획득된 과거 위협 경보 유형을 상기 대상 위협 경보 유형에 연결해서 디스플레이하는 디스플레이부를 포함하는
    위협 경보 유형 디스플레이 장치.
  2. 제1항에 있어서,
    상기 정보 획득부는,
    상기 대상 위협 경보 유형 이후에 발생 가능성이 있는 후보 위협 경보 유형을 상기 데이터베이스로부터 추가적으로 획득하고,
    상기 디스플레이부는,
    상기 대상 위협 경보 유형에 상기 획득된 후보 위협 경보 유형을 추가적으로 연결해서 디스플레이하는
    위협 경보 유형 디스플레이 장치.
  3. 제2항에 있어서,
    상기 디스플레이부는,
    상기 대상 위협 경보 유형과 상기 획득된 과거 위협 경보 유형들 간의 연결 관계를, 상기 대상 위협 경보 유형과 상기 획득된 후보 위협 경보 유형들 간의 연결 관계와 상이하게 디스플레이하는
    위협 경보 유형 디스플레이 장치.
  4. 제1항에 있어서,
    상기 데이터베이스에는,
    상기 복수 개의 과거 위협 경보 유형 각각에 대해 그 이후에 발생 가능성이 있는 후보 위협 경보 유형에 대한 발생 가능성이 확률로서 저장되어 있는
    위협 경보 유형 디스플레이 장치.
  5. 제1항에 있어서,
    상기 데이터베이스에는,
    상기 복수 개의 과거 위협 경보 유형 각각에 대해 그 이후에 발생 가능성이 있는 후보 위협 경보 유형에 대한 발생 조건이 추가적으로 저장되어 있는
    위협 경보 유형 디스플레이 장치.
  6. 제1항에 있어서,
    상기 데이터베이스에는,
    상기 복수 개의 과거 위협 경보 유형 각각에 대한 속성 정보가 추가적으로 저장되어 있고,
    상기 정보 획득부는,
    상기 대상 위협 경보 유형 및 상기 획득된 과거 위협 경보 유형에 대한 속성 정보를 상기 데이터베이스로부터 획득하여 클러스터링(clustering)하고,
    상기 디스플레이부는,
    상기 클러스터링된 결과에 기초하여, 상기 대상 위협 경보 유형 및 상기 획득된 과거 위협 경보 유형을 디스플레이하는
    위협 경보 유형 디스플레이 장치.
  7. 위협 경보 유형 디스플레이 장치에 의해 수행되는 위협 경보 유형 디스플레이 방법으로서,
    기 발생된 복수 개의 과거 위협 경보 유형 및 상기 복수 개의 과거 위협 경보 유형 각각에 대해 그 이후에 발생 가능성이 있는 후보 위협 경보 유형에 대한 정보를 데이터베이스에 저장하는 단계;
    분석 대상인 대상 위협 경보 유형을 입력받는 단계;
    상기 복수 개의 과거 위협 경보 유형 중에서 상기 대상 위협 경보 유형이 상기 후보 위협 경보 유형에 할당되어 있는 과거 위협 경보 유형을 획득하는 단계; 및
    상기 대상 위협 경보 유형을 중심으로, 상기 획득된 과거 위협 경보 유형을 상기 대상 위협 경보 유형에 연결해서 디스플레이하는 단계를 포함하는
    위협 경보 유형 디스플레이 방법.
  8. 제7항에 있어서,
    상기 획득하는 단계는,
    상기 대상 위협 경보 유형 이후에 발생 가능성이 있는 후보 위협 경보 유형을 상기 데이터베이스로부터 획득하는 단계를 포함하고,
    상기 디스플레이하는 단계는,
    상기 대상 위협 경보 유형에 상기 획득된 후보 위협 경보 유형을 추가적으로 연결해서 디스플레이하는 단계를 포함하는
    위협 경보 유형 디스플레이 방법.
  9. 제8항에 있어서,
    상기 디스플레이하는 단계는,
    상기 대상 위협 경보 유형과 상기 획득된 과거 위협 경보 유형들 간의 연결 관계를, 상기 대상 위협 경보 유형과 상기 획득된 후보 위협 경보 유형들 간의 연결 관계와 상이하게 디스플레이하는
    위협 경보 유형 디스플레이 방법.
  10. 제7항에 있어서,
    상기 데이터베이스에는,
    상기 복수 개의 과거 위협 경보 유형 각각에 대해 그 이후에 발생 가능성이 있는 후보 위협 경보 유형에 대한 발생 가능성이 확률로서 저장되어 있는
    위협 경보 유형 디스플레이 방법.
  11. 제7항에 있어서,
    상기 데이터베이스에는,
    상기 복수 개의 과거 위협 경보 유형 각각에 대해 그 이후에 발생 가능성이 있는 후보 위협 경보 유형에 대한 발생 조건이 추가적으로 저장되어 있는
    위협 경보 유형 디스플레이 방법.
  12. 제7항에 있어서,
    상기 데이터베이스에는,
    상기 복수 개의 과거 위협 경보 유형 각각에 대한 속성 정보가 추가적으로 저장되어 있고,
    상기 획득하는 단계는,
    상기 대상 위협 경보 유형 및 상기 획득된 과거 위협 경보 유형에 대한 속성 정보를 상기 데이터베이스로부터 획득하여 클러스터링(clustering)하는 단계를 포함하고,
    상기 디스플레이하는 단계는,
    상기 클러스터링된 결과에 기초하여, 상기 대상 위협 경보 유형 및 상기 획득된 과거 위협 경보 유형을 디스플레이하는 단계를 포함하는
    위협 경보 유형 디스플레이 방법.
KR1020200107908A 2020-08-26 2020-08-26 위협 경보 유형 디스플레이 장치 및 방법 KR102443486B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020200107908A KR102443486B1 (ko) 2020-08-26 2020-08-26 위협 경보 유형 디스플레이 장치 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020200107908A KR102443486B1 (ko) 2020-08-26 2020-08-26 위협 경보 유형 디스플레이 장치 및 방법

Publications (2)

Publication Number Publication Date
KR20220026858A true KR20220026858A (ko) 2022-03-07
KR102443486B1 KR102443486B1 (ko) 2022-09-15

Family

ID=80817792

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020200107908A KR102443486B1 (ko) 2020-08-26 2020-08-26 위협 경보 유형 디스플레이 장치 및 방법

Country Status (1)

Country Link
KR (1) KR102443486B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117118687A (zh) * 2023-08-10 2023-11-24 国网冀北电力有限公司张家口供电公司 一种基于无监督学习的多阶段攻击动态检测系统

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20150091775A (ko) * 2014-02-04 2015-08-12 한국전자통신연구원 비정상 행위 탐지를 위한 네트워크 트래픽 분석 방법 및 시스템

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20150091775A (ko) * 2014-02-04 2015-08-12 한국전자통신연구원 비정상 행위 탐지를 위한 네트워크 트래픽 분석 방법 및 시스템

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117118687A (zh) * 2023-08-10 2023-11-24 国网冀北电力有限公司张家口供电公司 一种基于无监督学习的多阶段攻击动态检测系统

Also Published As

Publication number Publication date
KR102443486B1 (ko) 2022-09-15

Similar Documents

Publication Publication Date Title
US9369484B1 (en) Dynamic security hardening of security critical functions
Cho et al. Cyber kill chain based threat taxonomy and its application on cyber common operational picture
KR102293773B1 (ko) 인공지능을 사용한 네트워크 트래픽 분석 장치 및 방법
US20220070185A1 (en) Method for responding to threat transmitted through communication network
US10178109B1 (en) Discovery of groupings of security alert types and corresponding complex multipart attacks, from analysis of massive security telemetry
CN112073437B (zh) 多维度的安全威胁事件分析方法、装置、设备及存储介质
CN114640548A (zh) 一种基于大数据的网络安全感知和预警的方法及系统
Nijim et al. FastDetict: A data mining engine for predecting and preventing DDoS attacks
Razaq et al. A big data analytics based approach to anomaly detection
Sumanth et al. Raspberry Pi based intrusion detection system using k-means clustering algorithm
Roponena et al. Towards a Human-in-the-Loop Intelligent Intrusion Detection System.
KR102443486B1 (ko) 위협 경보 유형 디스플레이 장치 및 방법
Repetto Adaptive monitoring, detection, and response for agile digital service chains
CN117319090A (zh) 一种网络安全智能防护系统
Seker Cyber Threat Intelligence Understanding Fundamentals
CN113132335A (zh) 一种虚拟变换系统、方法及网络安全系统与方法
Yinka-Banjo et al. Intrusion detection using anomaly detection algorithm and snort
KR101518233B1 (ko) 기업 내부 전산환경의 위협탐지를 위한 보안 장치
Naaz et al. Enhancement of network security through intrusion detection
Vaid et al. Intrusion detection system in software defined network using machine learning approach-survey
Sandhu et al. A study of the novel approaches used in intrusion detection and prevention systems
Kawakani et al. Discovering attackers past behavior to generate online hyper-alerts
Hiruta et al. Ids alert priority determination based on traffic behavior
Fanfara et al. Autonomous hybrid honeypot as the future of distributed computer systems security
US12086247B2 (en) Logical identification of malicious threats across a plurality of end-point devices

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right