KR20220131051A

KR20220131051A - 머신러닝 기반 pc 보안수준 관리정책 자동생성 시스템 및 방법

Info

Publication number: KR20220131051A
Application number: KR1020210036106A
Authority: KR
Inventors: 최성준
Original assignee: 스콥정보통신 주식회사
Priority date: 2021-03-19
Filing date: 2021-03-19
Publication date: 2022-09-27

Abstract

본 발명은 머신러닝 기반 PC 보안수준 관리정책 자동생성 시스템 및 방법에 관한 것으로, 본 개시에 따른 PC 보안수준 관리 정책 자동생성 시스템 및 방법은, 머신러닝을 이용한 알려진 위협 탐지, 알려지지 않은 위협 탐지, 악성 파일 검출 등을 계속적으로 학습함으로써, 분석된 위험도를 기반으로 관리 대상의 PC들의 관리정책을 자동으로 생성해주는 것을 특징으로 한다.

Description

머신러닝 기반 PC 보안수준 관리정책 자동생성 시스템 및 방법{SYSTEM AND METHOD FOR MACHINE LEARNING-BASED PC SECURITY LEVEL MANAGEMENT POLICY AUTOMATIC GENERATION}

본 발명은 PC 보안수준 관리정책 자동생성 기술에 관한 것이다.

정보통신 기술과 IoT 기술의 발전에 힘입어 네트워크를 사용하는 전자 장치를 제어할 수 있는 장치의 보급과 이용이 급속도로 증가하고 있다. 일반적으로 기업이나 개인의 컴퓨터, 서버, 네트워크를 사용하는 디바이스에서는 존재하는 바이러스 등 멀웨어를 분석하고 치료 및 방어하는 소프트웨어인 안티바이러스(Anti-Virus)를 사용하고 있다. 이는 알려진 위협에 대응하기 위한 보안 방식이며, 전례가 없는 새로운 바이러스 또는 새로운 위협에 매우 취약한 단점이 있다. 최근 이를 해결하기 위한 새로운 방식의 보안 제품인 EDR(Endpoint Detection and Response) 솔루션을 도입하는 추세이다. 하지만, 새로운 지능형 보안 제품인 EDR에서도 관리자가 수동으로 관리정책을 설정하여, 감염 전 상태로 회복하기 위한 조치를 수동으로 처리해야 하는 문제를 안고 있다.

본 발명이 해결하고자 하는 기술적인 과제는 엔드포인트에서 수행하는 PC 보안 수준 관리 제품과 머신러닝을 활용한 룰 기반 지능형 엔드포인트 보안 솔루션을 사용할 때 기업에서 사용하는 내부 네트워크 디바이스들의 보안 수준을 관리하기 위한 관리정책 자동생성 시스템 및 방법을 제공하는 것이다.

상기 과제 이외에도 구체적으로 언급되지 않은 다른 과제를 달성하는 데 본 발명에 따른 실시예가 사용될 수 있다.

본 발명은 앞서 본 목적을 달성하기 위해서 다음과 같은 구성을 가진 실시예에 의해서 구현된다.

본 발명의 일 실시예에 따르면, 본 발명은, 엔드포인트에서 수행하는 에이전트 어플리케이션으로부터 로그를 수집하고 저장하며, PC보안수준, 위협요소를 탐지, 위험도를 판단하여 PC보안수준 관리/EDR 정책 서버(이하 정책서버)로 데이터를 전송하며, 머신러닝을 통한 위협도, PC보안수준을 알고리즘을 통해 관리정책을 자동으로 생성하는 정책생성부를 포함하되, 상기 자동 생성된 보안 정책은 엔드포인트 보안 관리자가 설정한 보안 수준에 의거하여 에이전트가 수행할 관리 정책을 생성하는 것을 특징으로 한다.

본 발명은 앞서 본 실시예와 하기에 설명할 구성과 결합, 사용관계에 의해 다음과 같은 효과를 얻을 수 있다.

본 발명은, 엔드포인트에서 사용하는 안티바이러스(Anti-Virus), OS 업데이트, White list application, Black list application, OS 방화벽 등의 로그를 수집하고 저장하며, 위협요소를 탐지한 위험도를 판단하고 PC 보안점수를 산정하여 제공할 수 있다.

본 발명은, 머신러닝 기반 위협요소를 탐지한 위험도를 측정하기 위해 멀웨어, 알려진 룰 및 시그니처 기반의 악성 코드 등을 탐지하며, 머신러닝에 적합한 데이터를 가공하여 보안관리 업무의 효율성을 증대시키는 효과를 도출한다.

도 1은 종래의 에이전트 기반의 정보보호 시스템을 도시한 도면이다.
도 2는 본 실시예에 따른 에이전트의 보안 준수 정책을 변경하는 과정을 나타낸 순서도이다.
도 3은 본 실시예에 따른 에이전트의 보안 정책을 변경하는 과정을 나타낸 순서도이다.
도 4는 본 실시예에 따른 정책서버에서 관리정책을 자동 생성하는 흐름도이다.

첨부한 도면을 참고로 하여 본 발명의 실시예에 대해 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다. 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시예에 한정되지 않는다. 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 동일 또는 유사한 구성요소에 대해서는 동일한 도면부호가 사용되었다. 또한 널리 알려져 있는 공지기술의 경우 그 구체적인 설명은 생략한다.

명세서 전체에서, 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다.

또한, 명세서에 기재된 "…부", "…기", "…모듈" 등의 용어는 적어도 하나의 기능이나 동작을 처리하는 단위를 의미하며, 이는 하드웨어나 소프트웨어 또는 하드웨어 및 소프트웨어의 결합으로 구현될 수 있다.

본 발명에서 설명하는 장치는 적어도 하나의 프로세서, 메모리 장치, 통신 장치 등을 포함하는 하드웨어로 구성되고, 지정된 장소에 하드웨어와 결합되어 실행되는 프로그램이 저장된다. 하드웨어는 본 발명의 방법을 실행할 수 있는 구성과 성능을 가진다. 프로그램은 도면들을 참고로 설명한 본 발명의 동작 방법을 구현한 명령어(instructions)를 포함하고, 프로세서와 메모리 장치 등의 하드웨어와 결합하여 본 발명을 실행한다.

본 명세서에서 "전송 또는 제공"은 직접적인 전송 또는 제공하는 것뿐만 아니라 다른 장치를 통해 또는 우회 경로를 이용하여 간접적으로 전송 또는 제공도 포함할 수 있다.

본 명세서에서 단수로 기재된 표현은 "하나" 또는 "단일" 등의 명시적인 표현을 사용하지 않은 이상, 단수 또는 복수로 해석될 수 있다.

본 명세서에서 도면을 참고하여 설명한 실시예들에서, 임의의 실시예로 단독 구현될 수도 있고, 여러 실시예가 병합되거나 분할될 수도 있고, 각 실시예에서 특정 동작은 수행되지 않을 수 있다.

도 1은 종래의 에이전트 기반의 정보보호 시스템을 도시한 도면이다.

도 2는 본 실시예에 따른 에이전트의 보안 준수 정책을 변경하는 과정을 나타낸 순서도이다.

도 2에 도시한 바와 같이, 에이전트는 PC 보안 준수 사항을 점검하고, 그에 따른 PC 보안 준수 사항 결과를 정책 서버로 송신한다.

에이전트는 엔드포인트에서 수행하는 에이전트 어플리케이션으로부터 로그를 수집하여 PC 보안 준수 사항을 점검할 수 있다.

에이전트는 정책 서버로부터 PC 보안 준수 정책 수신하면 해당 PC 보안 준수 정책으로 업데이트한다. 그리고 에이전트는 업데이트된 PC 보안 준수 정책을 수행한다.

도 3은 본 실시예에 따른 에이전트의 보안 정책을 변경하는 과정을 나타낸 순서도이다.

도 3에 도시한 바와 같이, 에이전트는 EDR 멀웨어, 악성코드 탐지를 수행하고, 그에 따른 EDR(멀웨어, 악성코드) 탐지 결과를 정책서버로 송신한다.

에이전트는 엔드포인트에서 수행하는 에이전트 어플리케이션으로부터 로그를 수집하여 EDR 멀웨어, 악성코드 탐지를 수행할 수 있다.

에이전트는 정책 서버로부터 보안정책을 수신하면 해당 보안 정책으로 업데이트한다. 그리고 에이전트는 업데이트된 보안 정책을 수행한다.

도 4는 본 실시예에 따른 정책서버에서 관리정책을 자동 생성하는 흐름도이다.

도 4에 도시한 바와 같이, 정책서버는 연동되는 에이전트로부터 PC 보안 준수 사항 또는 EDR 탐지 결과를 수신한다.

그리고 정책 서버는 이전 시점 또는 실시간으로 관리자에 의해 지정된 보안 수준에 맞게 정책을 생성한다.

여기서, 정책은 사내 메신저 외 통신 차단, 화이트 리스트 어플리케이션 리스트 생성, 탐지 결과 기반 위험도에 따른 PC 단말 격리 등 중에 적어도 하나를 포함할 수 있다.

이때, 정책 서버는 미리 설정된 보안 수준에 기초하여 학습이 완료된 머신러닝 알고리즘을 통해 관리 정책(PC 보안 준수 정책 또는 EDR 보안정책)을 획득할 수 있다.

정책 서버는 이 생성되면, 생성된 PC 보안 준수 정책 또는 EDR 보안정책을 에이전트로 송신한다.

편의상 정책 서버를 하나의 서버로 설명하였지만, 구현되는 환경에 기초하여 PC보안수준 관리 서버 또는 EDR 정책 서버로 분리되어 구현될 수 있다.

이와 같이, 본 발명의 일 실시예에 따르면, 본 발명은, 엔드포인트에서 수행하는 에이전트 어플리케이션으로부터 로그를 수집하고 저장하며, PC보안수준, 위협요소를 탐지, 위험도를 판단하여 PC보안수준 관리/EDR 정책 서버(이하 정책서버)로 데이터를 전송하며, 머신러닝을 통한 위협도, PC보안수준을 알고리즘을 통해 관리정책을 자동으로 생성하는 정책생성부를 포함하되, 상기 자동 생성된 보안 정책은 엔드포인트 보안 관리자가 설정한 보안 수준에 의거하여 에이전트가 수행할 관리 정책을 생성하는 것을 특징으로 한다.

PC 보안수준 관리 정책을 생성시키기 위한 프로그램은 컴퓨터 판독 가능한 기록 매체에 기록될 수 있다.

컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체는 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체, CD-ROM, DVD와 같은 광기록 매체, 플롭티컬 디스크와 같은 자기-광 매체, 및 롬, 램, 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 여기서 매체는 프로그램 명령, 데이터 구조 등을 지정하는 신호를 전송하는 반송파를 포함하는 광 또는 금속선, 도파관 등의 전송 매체일 수도 있다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드가 포함된다.

이상에서 본 발명의 바람직한 실시예에 대하여 상세하게 설명하였지만 본 발명의 권리범위는 이에 한정되는 것은 아니고 다음의 청구범위에서 정의하고 있는 본 발명의 기본 개념을 이용한 당업자의 여러 변형 및 개량 형태 또한 본 발명의 권리범위에 속하는 것이다.

Claims

정책 서버와 네트워크로 연결된 에이전트의 동작 방법에 있어서,
엔드포인트에서 수행하는 에이전트 어플리케이션으로부터 로그를 수집하고 저장하는 단계,
PC보안수준을 점검하거나 보완 위협요소를 탐지하여 정책서버로 점검 또는 탐지 데이터를 전송하는 단계, 그리고
상기 정책 서버로부터 에이전트가 수행할 관리 정책을 수신하여 수행하는 단계를 포함하고,
상기 관리 정책은,
수신한 점검 데이터 또는 탐지 데이터를 미리 설정된 보안 수준에 기초하여 학습이 완료된 머신러닝 알고리즘에 입력하여 획득된 동작 방법.