KR20230094607A - Method and apparatus for protecting device - Google Patents

Method and apparatus for protecting device Download PDF

Info

Publication number
KR20230094607A
KR20230094607A KR1020210183907A KR20210183907A KR20230094607A KR 20230094607 A KR20230094607 A KR 20230094607A KR 1020210183907 A KR1020210183907 A KR 1020210183907A KR 20210183907 A KR20210183907 A KR 20210183907A KR 20230094607 A KR20230094607 A KR 20230094607A
Authority
KR
South Korea
Prior art keywords
information
threat information
iot
threat
type
Prior art date
Application number
KR1020210183907A
Other languages
Korean (ko)
Inventor
임재덕
손선경
김경태
김영호
김정녀
이윤경
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020210183907A priority Critical patent/KR20230094607A/en
Publication of KR20230094607A publication Critical patent/KR20230094607A/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/306Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information intercepting packet switched data communications, e.g. Web, Internet or IMS communications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/308Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information retaining data, e.g. retaining successful, unsuccessful communication attempts, internet access, or e-mail, internet telephony, intercept related information or call content
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/144Detection or countermeasures against botnets

Abstract

본 발명의 일 실시예에 따른 디바이스 보호 방법은 외부 도메인로부터 표준 규격(STIX) 기반의 위협 정보를 수신하는 단계와, 상기 위협 정보를 기초로 사물봇 감염 정보를 추출하는 단계와, 상기 사물봇 감염 정보를 기초로 관리 도메인 내에서 격리시킬 격리 디바이스 그룹을 결정하는 단계와, 상기 격리 디바이스 그룹에 네트워크 접속을 차단시키는 차단 정책을 분배하는 단계를 포함할 수 있다.A device protection method according to an embodiment of the present invention includes the steps of receiving threat information based on standard specifications (STIX) from an external domain, extracting IoT infection information based on the threat information, and infecting the IoT robot. The method may include determining an isolation device group to be isolated within the management domain based on the information, and distributing a blocking policy for blocking network access to the isolation device group.

Description

디바이스 보호 방법 및 장치{METHOD AND APPARATUS FOR PROTECTING DEVICE}Device protection method and apparatus {METHOD AND APPARATUS FOR PROTECTING DEVICE}

본 발명은 디바이스 보호 방법에 관한 것으로, 특히 악성코드의 감염으로부터 디바이스를 보호하기 위한 디바이스 보호 방법 및 장치에 관한 것이다.The present invention relates to a device protection method, and more particularly, to a device protection method and apparatus for protecting a device from being infected with a malicious code.

최근 사물인터넷 기반 서비스의 발달과 IoT 디바이스 규모가 증가함에 따라 서비스 장애를 일으키는 분산서비스거부(DDoS) 공격이 사물인터넷 환경에서 증가하고 있다.With the recent development of IoT-based services and the increase in the size of IoT devices, Distributed Denial of Service (DDoS) attacks that cause service failures are increasing in the IoT environment.

초경량/저전력/저성능의 특징을 가지는 IoT 디바이스들은 보안 기능이 탑재되지 않거나 취약점 개선을 위한 펌웨어 업데이트 등의 관리되지 않은 대량의 디바이스로 인해 보안 위협이 발생된다.IoT devices with ultra-light/low-power/low-performance features are not equipped with security functions or security threats are generated due to unmanaged mass devices such as firmware updates to improve vulnerabilities.

특히, 대량의 디바이스들은 다양한 네트워크로 구성되기 때문에 DDoS 공격의 원인이 되는 사물봇 악성코드가 빠르게 전파될 수 있으며, 그 피해는 심각해 질 수 있다.In particular, since a large number of devices are composed of various networks, the IoT malware that causes DDoS attacks can spread rapidly, and the damage can be serious.

DDoS 공격을 방어하는 기술로는 DDoS 공격 자체를 방어하는 기술과 DDoS 공격의 원인이 되는 사물봇을 방어하는 기술이 있다. 특히, 사물봇을 방어하는 기술은 DDoS 공격 원인에 대응하여 공격 발생 가능성을 줄일 수 있다는 점에서 효과적이다.Technologies for defending against DDoS attacks include technologies for defending against DDoS attacks themselves and technologies for defending robots that cause DDoS attacks. In particular, the technology for defending IoT is effective in that it can reduce the possibility of an attack by responding to the cause of a DDoS attack.

하지만, 종래에는 관리 도메인에서 발생하는 보안 위협에 의존하여 보안 위협의 확산을 방지하고 있으나, 관리 도메인에서 보안 위협이 발생하지 않게 되면 보안 위협에 대응하지 못하게 된다.However, in the related art, the proliferation of security threats is prevented by relying on security threats occurring in the management domain. However, if the security threats do not occur in the management domain, it is impossible to respond to the security threats.

한국공개특허 제10-2020-0108742호 (2020.09.21 공개)Korean Patent Publication No. 10-2020-0108742 (published on September 21, 2020) 한국공개특허 제10-2020-0113836호 (2020.10.07 공개)Korean Patent Publication No. 10-2020-0113836 (published on October 7, 2020)

본 발명의 목적은 DDos 공격을 유발하는 사물봇 보안 위협의 확산을 사전에 방지하기 위한 디바이스 보호 방법 및 장치를 제공하는 것이다.An object of the present invention is to provide a device protection method and apparatus for preventing the proliferation of IoT security threats that cause DDoS attacks in advance.

상기한 목적을 달성하기 위한 본 발명의 일 실시예에 따른 디바이스 보호 방법은 외부 도메인로부터 표준 규격(STIX) 기반의 위협 정보를 수신하는 단계와, 상기 위협 정보를 기초로 사물봇 감염 정보를 추출하는 단계와, 상기 사물봇 감염 정보를 기초로 관리 도메인 내에서 격리시킬 격리 디바이스 그룹을 결정하는 단계와, 상기 격리 디바이스 그룹에 네트워크 접속을 차단시키는 차단 정책을 분배하는 단계를 포함할 수 있다.To achieve the above object, a device protection method according to an embodiment of the present invention includes receiving threat information based on standard specifications (STIX) from an external domain, and extracting IoT infection information based on the threat information. The method may include determining an isolation device group to be isolated within a management domain based on the IoT infection information, and distributing a blocking policy for blocking network access to the isolation device group.

상기 사물봇 감염 정보를 추출하는 단계는, 상기 위협 정보를 기초로 사물봇 위협 정보를 식별하는 단계와, 상기 사물봇 위협 정보를 기초로 감염된 디바이스의 속성 정보를 추출하는 단계를 포함할 수 있다.The extracting of the IoT infection information may include identifying IoT threat information based on the threat information, and extracting attribute information of an infected device based on the IoT threat information.

상기 사물봇 위협 정보를 식별하는 단계는, 상기 위협 정보의 객체 타입이 'infrastructure'인지 확인하는 단계와, 상기 위협 정보의 객체 타입이 'infrastructure'이면, 'infrastructure'객체가 표현하는 위협 정보의 타입이 'botnet'인지 확인하는 단계와, 상기 'infrastructure'객체가 표현하는 위협 정보의 타입이 'botnet'이면 위협정보 확인 플래그를 설정하는 단계를 포함할 수 있다.The identifying of the IoT threat information may include checking whether the object type of the threat information is 'infrastructure', and if the object type of the threat information is 'infrastructure', the type of threat information represented by the 'infrastructure' object. It may include checking whether the 'botnet' is a 'botnet', and setting a threat information check flag if the type of threat information represented by the 'infrastructure' object is 'botnet'.

상기 사물봇 위협 정보를 식별하는 단계는, 상기 위협 정보의 객체 타입이 'relationship'인지 확인하는 단계와, 상기 위협 정보의 객체 타입이 'relationship'이면, 'relationship'객체가 표현하는 위협 정보의 타입이 'consist-of'인지 확인하는 단계와, 상기 'relationship'객체가 표현하는 위협 정보의 타입이 'consist-of'이면 디바이스의 감염 여부 확인 플래그를 설정하는 단계를 포함할 수 있다.The identifying the object robot threat information may include checking whether the object type of the threat information is 'relationship', and if the object type of the threat information is 'relationship', the type of threat information represented by the 'relationship' object. It may include checking whether the 'relationship' object is 'consist-of', and if the type of threat information expressed by the 'relationship' object is 'consist-of', setting a device infection check flag.

상기 사물봇 위협 정보를 식별하는 단계는, 상기 위협정보 확인 플래그 및 상기 디바이스의 감염 여부 확인 플래그 설정되면 이어서 확인되는 객체가 'ipv4-addr'객체 타입인지 확인하는 단계를 포함할 수 있다.The identifying the IoT threat information may include checking whether an object to be checked subsequently is an 'ipv4-addr' object type when the threat information check flag and the device infection check flag are set.

상기 감염된 디바이스의 속성 정보를 추출하는 단계는, 상기 두 플래그가 설정되어 있고, 이어서 확인되는 객체가 'ipv4-addr'객체 타입이면, 상기 감염된 디바이스의 속성 정보를 추출할 수 있다.In the step of extracting the attribute information of the infected device, if the two flags are set and the object to be checked subsequently is an 'ipv4-addr' object type, the attribute information of the infected device may be extracted.

상기 감염돈 디바이스 속성 정보는 디바이스 타입, 디바이스 제조사, 디바이스 제품명, 디바이스 운영체제 버전 중 적어도 하나 이상을 포함할 수 있다.The infected device attribute information may include at least one of a device type, a device manufacturer, a device product name, and a device operating system version.

상기 사물봇 감염 정보를 기초로 관리 도메인 내에서 격리시킬 격리 디바이스 그룹을 결정하는 단계는, 상기 감염된 디바이스의 속성 정보와 상기 관리 도메인 내의 디바이스의 속성 정보 간의 코사인 유사도를 산출하는 단계와, 상기 코사인 유사도를 고려하여 관리 도메인 내에서 격리시킬 격리 디바이스 그룹을 결정하는 단계를 포함할 수 있다.Determining an isolated device group to be isolated in the management domain based on the IoT infection information may include calculating a cosine similarity between the attribute information of the infected device and the attribute information of the device in the management domain; It may include determining an isolation device group to be isolated within the management domain in consideration of.

또한, 실시예에 따른 디바이스 보호 장치는 외부 도메인로부터 표준 규격(STIX) 기반의 위협 정보를 수신하는 위협정보 수신부와, 상기 위협 정보를 기초로 사물봇 감염 정보를 추출하는 감염정보 추출부와, 상기 사물봇 감염 정보를 기초로 관리 도메인 내에서 격리시킬 격리 디바이스 그룹을 결정하는 격리 디바이스 그룹 결정부와, 상기 격리 디바이스 그룹의 네트워크 접속을 차단시키는 차단 정책을 분배하는 정책 분배부를 포함할 수 있다.In addition, the device protection apparatus according to the embodiment includes a threat information receiving unit receiving standard specification (STIX)-based threat information from an external domain, an infection information extracting unit extracting IoT infection information based on the threat information, and the It may include an isolation device group determination unit that determines an isolation device group to be isolated within the management domain based on the IoT infection information, and a policy distribution unit that distributes a blocking policy for blocking network access of the isolation device group.

상기 감염정보 추출부는, 상기 위협 정보를 기초로 사물봇 위협 정보를 식별하는 위협정보 식별부와, 상기 사물봇 위협 정보를 기초로 감염된 디바이스의 속성 정보를 추출하는 속성정보 추출부를 포함할 수 있다.The infection information extraction unit may include a threat information identification unit that identifies IoT threat information based on the threat information, and an attribute information extraction unit that extracts attribute information of an infected device based on the IoT threat information.

상기 위협정보 식별부는, 상기 위협 정보의 객체 타입이 'infrastructure'인지 확인하고, 상기 위협 정보의 객체 타입이 'infrastructure'이면, 'infrastructure'객체가 표현하는 위협 정보의 타입이 'botnet'인지 확인하고, 상기 'infrastructure'객체가 표현하는 위협 정보의 타입이 'botnet'이면 위협정보 확인 플래그를 설정할 수 있다.The threat information identification unit checks whether the object type of the threat information is 'infrastructure', and if the object type of the threat information is 'infrastructure', checks whether the type of threat information represented by the 'infrastructure' object is 'botnet' , If the type of threat information represented by the 'infrastructure' object is 'botnet', a threat information check flag can be set.

상기 위협정보 식별부는, 상기 위협 정보의 객체 타입이 'relationship'인지 확인하고, 상기 위협 정보의 객체 타입이 'relationship'이면, 'relationship'객체가 표현하는 위협 정보의 타입이 'consist-of'인지 확인하고, 상기 'relationship'객체가 표현하는 위협 정보의 타입이 'consist-of'이면 디바이스의 감염 여부 확인 플래그를 설정할 수 있다.The threat information identification unit checks whether the object type of the threat information is 'relationship', and if the object type of the threat information is 'relationship', whether the threat information type represented by the 'relationship' object is 'consist-of'. If the type of threat information expressed by the 'relationship' object is 'consist-of', a flag for checking whether the device is infected can be set.

상기 위협정보 식별부는, 상기 위협정보 확인 플래그 및 상기 디바이스의 감염 여부 확인 플래그설정되면 이어서 확인되는 객체가 'ipv4-addr'객체 타입인지 확인할 수 있다.The threat information identification unit may determine whether an object to be checked subsequently is an 'ipv4-addr' object type when the threat information check flag and the device infection check flag are set.

상기 속성정보 추출부는, 상기 두 플래그가 설정되어 있고, 이어서 확인되는 객체가 'ipv4-addr'객체 타입이면, 상기 감염된 디바이스의 속성 정보를 추출할 수 있다.The attribute information extraction unit may extract attribute information of the infected device if the two flags are set and the object to be checked subsequently is an 'ipv4-addr' object type.

상기 감염된 디바이스 속성 정보는 디바이스 타입, 디바이스 제조사, 디바이스 제품명, 디바이스 운영체제 버전 중 적어도 하나 이상을 포함할 수 있다.The infected device attribute information may include at least one of a device type, a device manufacturer, a device product name, and a device operating system version.

상기 격리 디바이스 그룹 결정부는, 상기 감염된 디바이스의 속성 정보와 상기 관리 도메인 내의 디바이스의 속성 정보 간의 코사인 유사도를 산출하고, 상기 코사인 유사도를 고려하여 관리 도메인 내에서 격리시킬 격리 디바이스 그룹을 결정할 수 있다.The isolation device group determiner may calculate a cosine similarity between attribute information of the infected device and attribute information of a device in the management domain, and determine an isolation device group to be isolated in the management domain in consideration of the cosine similarity.

본 발명은 외부에서 탐지된 사물봇 감염 정보를 공유함으로써, 사물봇 위협 정보의 확산을 방지할 수 있다.The present invention can prevent the spread of IoT threat information by sharing IoT infection information detected from the outside.

또한, 본 발명은 감염 위험성이 높은 디바이스 그룹에 대해 사전에 대응이 가능한 효과가 있다.In addition, the present invention has an effect capable of responding in advance to a device group having a high risk of infection.

도 1은 본 발명의 일 실시예에 따른 디바이스 보호 방법을 나타낸 동작 흐름도이다.
도 2는 본 발명에서 위협 정보 구조를 설명하기 위해 SCO 객체 중 하나를 확장한 도면이다.
도 3은 본 발명의 일 실시예에 따른 사물봇 감염 정보를 추출하는 단계를 나타낸 동작 흐름도이다.
도 4 및 도 5는 임의의 위협정보에서 사물봇 위협 정보 및 디바이스 보호를 위해 정보를 추출하는 방법을 설명하기 위한 도면이다.
도 6은 본 발명의 일 실시예에 따른 사물봇 감염 정보를 추출하는 세부 단계를 나타낸 동작 흐름도이다.
도 7은 본 발명의 일 실시예에 따른 디바이스 보호 장치를 나타낸 블록도이다.
도 8은 본 발명의 일실시예에 따른 컴퓨터 시스템의 구성을 나타낸 블록도이다.1 is an operational flowchart illustrating a device protection method according to an embodiment of the present invention.
2 is a diagram in which one of the SCO objects is expanded to explain the threat information structure in the present invention.
3 is an operation flowchart illustrating a step of extracting IoT infection information according to an embodiment of the present invention.
4 and 5 are views for explaining a method of extracting IoT threat information from arbitrary threat information and information for device protection.
6 is an operation flowchart illustrating detailed steps of extracting IoT infection information according to an embodiment of the present invention.
7 is a block diagram illustrating a device protection apparatus according to an embodiment of the present invention.
8 is a block diagram showing the configuration of a computer system according to an embodiment of the present invention.

본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 것이며, 단지 본 실시예들은 본 발명의 개시가 완전하도록 하며, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다. 명세서 전체에 걸쳐 동일 참조 부호는 동일 구성 요소를 지칭한다.Advantages and features of the present invention, and methods of achieving them, will become clear with reference to the detailed description of the following embodiments taken in conjunction with the accompanying drawings. However, the present invention is not limited to the embodiments disclosed below, but will be implemented in various different forms, only these embodiments make the disclosure of the present invention complete, and common knowledge in the art to which the present invention belongs. It is provided to fully inform the holder of the scope of the invention, and the present invention is only defined by the scope of the claims. Like reference numbers designate like elements throughout the specification.

비록 "제1" 또는 "제2" 등이 다양한 구성요소를 서술하기 위해서 사용되나, 이러한 구성요소는 상기와 같은 용어에 의해 제한되지 않는다. 상기와 같은 용어는 단지 하나의 구성요소를 다른 구성요소와 구별하기 위하여 사용될 수 있다. 따라서, 이하에서 언급되는 제1 구성요소는 본 발명의 기술적 사상 내에서 제2 구성요소일 수도 있다.Although "first" or "second" is used to describe various elements, these elements are not limited by the above terms. Such terms may only be used to distinguish one component from another. Therefore, the first component mentioned below may also be the second component within the technical spirit of the present invention.

본 명세서에서 사용된 용어는 실시예를 설명하기 위한 것이며 본 발명을 제한하고자 하는 것은 아니다. 본 명세서에서, 단수형은 문구에서 특별히 언급하지 않는 한 복수형도 포함한다. 명세서에서 사용되는 "포함한다(comprises)" 또는 "포함하는(comprising)"은 언급된 구성요소 또는 단계가 하나 이상의 다른 구성요소 또는 단계의 존재 또는 추가를 배제하지 않는다는 의미를 내포한다.Terms used in this specification are for describing embodiments and are not intended to limit the present invention. In this specification, singular forms also include plural forms unless specifically stated otherwise in a phrase. As used herein, "comprises" or "comprising" implies that a stated component or step does not preclude the presence or addition of one or more other components or steps.

다른 정의가 없다면, 본 명세서에서 사용되는 모든 용어는 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 공통적으로 이해될 수 있는 의미로 해석될 수 있다. 또한, 일반적으로 사용되는 사전에 정의되어 있는 용어들은 명백하게 특별히 정의되어 있지 않는 한 이상적으로 또는 과도하게 해석되지 않는다.Unless otherwise defined, all terms used herein may be interpreted as meanings commonly understood by those of ordinary skill in the art to which the present invention belongs. In addition, terms defined in commonly used dictionaries are not interpreted ideally or excessively unless explicitly specifically defined.

이하, 첨부된 도면을 참조하여 본 발명의 실시예들을 상세히 설명하기로 하며, 도면을 참조하여 설명할 때 동일하거나 대응하는 구성 요소는 동일한 도면 부호를 부여하고 이에 대한 중복되는 설명은 생략하기로 한다.Hereinafter, embodiments of the present invention will be described in detail with reference to the accompanying drawings, and when describing with reference to the drawings, the same or corresponding components are given the same reference numerals, and overlapping descriptions thereof will be omitted. .

도 1은 본 발명의 일 실시예에 따른 디바이스 보호 방법을 나타낸 동작 흐름도이다.1 is an operational flowchart illustrating a device protection method according to an embodiment of the present invention.

도 1을 참조하면, 본 발명의 일 실시예에 따른 디바이스 보호 방법은 위협 정보를 수신하는 단계(S100)와, 위협 정보를 기초로 사물봇 감염 정보를 추출하는 단계(S200)와, 사물봇 감염 정보를 기초로 격리 디바이스 그룹을 결정하는 단계(S300)와, 격리 디바이스 그룹의 네트워크 접속을 차단시키는 차단 정책을 분배하는 단계(S400)를 포함할 수 있다. 여기서, 디바이스 보호 방법은 이후 설명될 도 7의 디바이스 보호 장치(100)에서 수행될 수 있다.Referring to FIG. 1 , a device protection method according to an embodiment of the present invention includes receiving threat information (S100), extracting IoT infection information based on the threat information (S200), and IoT infection information. It may include determining an isolation device group based on the information (S300) and distributing a blocking policy for blocking network access of the isolation device group (S400). Here, the device protection method may be performed in the device protection apparatus 100 of FIG. 7 to be described later.

단계(S100)에서, 디바이스 보호 장치(100)는 외부 도메인으로부터 위협 정보를 수신할 수 있다. 위협 정보는 공유 체계가 갖추어진 도메인 간에 공유될 수 있으며, 디바이스 보호 장치(100)는 탐지된 모든 위협 정보를 수신할 수 있다. 위협 정보는 표준 규격인 STIX v2.1에서 정의하고 있는 위협 정보 공유 체계를 기반으로 할 수 있다. STIX 2.1에는 SDO(STIX Domain Objects), SRO(STIX Relationship Objects), SCO(STIX Cyber-observable Objects) 등으로 정의된 객체들로 위협 정보를 구성한다. SDO는 위협을 이해할 수 있도록 위협 행위와 관련된 공격 패턴, 악의적 동작 및 활동, 관측 정보, 악성코드 정보, 위협 주체 등과 같은 위협정보를 표현하는 객체이고, SCO는 위협을 보다 더 정확히 이해할 수 있도록 위협과 관련한 호스트 및 네트워크 기반의 관측된 정보를 표현하기 위한 객체이며, SRO는 SDO들, SCO들 혹은 SDO 및 SCO의 관계를 표현하는 객체이다.In step S100, the device protection apparatus 100 may receive threat information from an external domain. Threat information may be shared between domains equipped with a sharing system, and the device protection apparatus 100 may receive all detected threat information. Threat information can be based on the threat information sharing system defined in STIX v2.1, a standard specification. In STIX 2.1, threat information is composed of objects defined as STIX Domain Objects (SDO), STIX Relationship Objects (SRO), and STIX Cyber-observable Objects (SCO). SDO is an object that expresses threat information such as attack patterns, malicious actions and activities, observation information, malicious code information, and threat subjects related to threat behavior to understand threats. It is an object for expressing related host and network-based observed information, and SRO is an object for expressing SDOs, SCOs, or the relationship between SDOs and SCOs.

도 2는 본 발명에서 위협 정보 구조를 설명하기 위해 SCO 객체 중 하나를 확장한 도면이다.2 is a diagram in which one of the SCO objects is expanded to explain the threat information structure in the present invention.

본 발명에서 제안하는 사물봇 위협정보 공유를 위해 Directory, Domain Name, Email Address, File 등 18개의 객체로 정의된 SCO 객체 중 'IPv4 Address' 및 'IPv6 Address' 객체(10)를 확장한다. 'IPv4 Address' 및 'IPv6 Address' 객체(10)는 'type'(11), 'id'(11), 'value'(12) 및 'extension'(14) 속성 필드로 이루어지며, 'extension'(14) 속성 필드에는 디바이스 속성 정보를 표현하는 'dev_pops' 필드(F1)를 추가하여 확장할 수 있다. 디바이스 속성 정보(15)는 디바이스 타입(dev_type,), 디바이스 제조사(vendor), 디바이스 제품명(product), 디바이스 운영체제 버전(os_ver) 등을 포함할 수 있으나, 이에 한정되지 않는다.To share IoT threat information proposed in the present invention, 'IPv4 Address' and 'IPv6 Address' objects (10) are extended among SCO objects defined as 18 objects such as Directory, Domain Name, Email Address, and File. 'IPv4 Address' and 'IPv6 Address' objects (10) consist of 'type' (11), 'id' (11), 'value' (12) and 'extension' (14) attribute fields, and 'extension' (14) The attribute field can be extended by adding a 'dev_pops' field (F1) expressing device attribute information. The device attribute information 15 may include, but is not limited to, a device type (dev_type), a device manufacturer (vendor), a device product name (product), and a device operating system version (os_ver).

실시예는 위협 정보에 디바이스 속성 정보가 정의됨으로써, 사물봇 감염 정보에 대해 관리 도메인 내의 감염 가능성이 있는 디바이스들을 효과적으로 찾아낼 수 있게 된다.In the embodiment, device attribute information is defined in the threat information, so that potentially infected devices within the management domain can be effectively found with respect to the IoT infection information.

단계(S200)에서, 디바이스 보호 장치(100)는 위협 정보를 기초로 사물봇 감염 정보를 추출할 수 있다.In step S200, the device protection apparatus 100 may extract IoT infection information based on the threat information.

도 3은 본 발명의 일 실시예에 따른 사물봇 감염 정보를 추출하는 단계를 나타낸 동작 흐름도이고, 도 4 및 도 5는 임의의 위협정보에서 사물봇 위협 정보 및 디바이스 보호를 위해 정보를 추출하는 방법을 설명하기 위한 도면이다.FIG. 3 is an operation flowchart illustrating a step of extracting IoT infection information according to an embodiment of the present invention, and FIGS. 4 and 5 are methods of extracting IoT threat information and device protection information from arbitrary threat information. It is a drawing for explaining.

도 3을 참조하면, 먼저, 디바이스 보호 장치(100)는 위협 정보를 기초로 사물봇 위협 정보를 식별하는 단계(S210)를 수행할 수 있다. 디바이스 보호 장치(100)는 위협 정보의 객체 타입을 이용하여 사물봇 위협 정보를 식별할 수 있다(S210).Referring to FIG. 3 , first, the device protection apparatus 100 may perform step S210 of identifying IoT threat information based on the threat information. The device protection apparatus 100 may identify IoT threat information by using the object type of the threat information (S210).

도 4는 악성 코드 식별 정보와 감염된 호스트 정보로 구성된 사물봇 위협 정보 예시를 나타내고, 도 5는 감염된 호스트, 제어 및 명령 서버, 공격 대상으로 구성된 사물봇 위협 정보의 예시를 보여준다.4 shows an example of IoT threat information composed of malicious code identification information and infected host information, and FIG. 5 shows an example of IoT threat information composed of an infected host, a control and command server, and an attack target.

도 4 및 도 5에 도시된 바와 같이, 사물봇이 된 호스트(H)는 공통적인 특징을 가지고 있다. 즉,'infrastructure'SDO를 중심으로 'consist-of'타입의 SRO를 이용하여 'IPv4 Address'타입의 SCO로 연결되어 있다. 여기서, 'infrastructure'SDO가 사물봇 위협 정보를 표현할 때는 타입(Type) 값으로 'botnet'을 가진다. 또한, 'IPv4 Address'SCO는 'IPv6 Address'SCO로 구성될 수 있으며, 'IPv4 Address'SCO 와 'IPv6 Address'SCO 는 주소 타입만 다르다.As shown in FIGS. 4 and 5 , hosts H that have become IoT robots have common characteristics. That is, the 'infrastructure' SDO is connected to the 'IPv4 Address' type SCO using the 'consist-of' type SRO. Here, when the 'infrastructure' SDO expresses IoT threat information, it has 'botnet' as a type value. In addition, the 'IPv4 Address' SCO can be composed of the 'IPv6 Address' SCO, and the 'IPv4 Address' SCO and the 'IPv6 Address' SCO differ only in the address type.

따라서, 디바이스 보호 장치(100)는 사물봇 위협 정보의 특징인 객체 타입들을 이용하여 사물봇 위협 정보를 식별할 수 있다.Accordingly, the device protection apparatus 100 may identify the IoT threat information by using the object types that are characteristics of the IoT threat information.

디바이스 보호 장치(100)는 식별된 사물봇 위협 정보를 기초로 감염된 디바이스의 속성 정보를 추출할 수 있다(S220).The device protection apparatus 100 may extract attribute information of an infected device based on the identified IoT threat information (S220).

위협 정보를 기초로 사물봇 감염 정보를 추출하는 단계(S200)를 보다 상세히 살펴보면 아래와 같다.The step of extracting IoT infection information based on the threat information (S200) will be described in more detail below.

도 6은 본 발명의 일 실시예에 따른 사물봇 감염 정보를 추출하는 세부 단계를 나타낸 동작 흐름도이다.6 is an operation flowchart illustrating detailed steps of extracting IoT infection information according to an embodiment of the present invention.

먼저, 디바이스 보호 장치(100)는 위협 정보의 객체 타입이'infrastructure' 인지 확인할 수 있다(S211). 위협 정보의 객체 타입이 'infrastructure' 이면, 'infrastructure' 객체가 표현하는 위협 정보 타입이 사물봇을 의미하는 'botnet' 인지 확인할 수 있다(S212).First, the device protection apparatus 100 may check whether the object type of the threat information is 'infrastructure' (S211). If the object type of the threat information is 'infrastructure', it can be checked whether the threat information type represented by the 'infrastructure' object is 'botnet', which means an IoT robot (S212).

'infrastructure' 객체가 표현하는 위협 정보 타입이 'botnet'이면, 객체는 사물봇과 관련된 정보라는 의미로 위협정보 확인 플래그를 설정할 수 있다(S213). 위협정보 확인 플래그의 설정을 마치면 다음 객체를 확인할 수 있다(S240).If the threat information type represented by the 'infrastructure' object is 'botnet', the object may set a threat information check flag to mean information related to the IoT (S213). After setting the threat information check flag, the next object can be checked (S240).

이어서, 감염된 디바이스는 'infrastructure' 객체와 'consist-of' 타입의 'relationship' 객체에 연결되기 때문에, 객체 타입이 'relationship' 인지 확인할 수 있다(S214).Subsequently, since the infected device is connected to the 'infrastructure' object and the 'consist-of' type 'relationship' object, it can be confirmed whether the object type is 'relationship' (S214).

객체 타입이 'relationship' 이면, 'relationship' 객체가 표현하는 위협 정보 타입이 'consist-of' 인지 확인할 수 있다(S215). relationship' 객체가 표현하는 위협 정보 타입이 'consist-of' 이면 디바이스와 관련된 정보라는 의미로 디바이스의 감염 여부 확인 플래그를 설정할 수 있다(S216). 디바이스의 감염 여부 확인 플래그 설정을 마치면 다음 객체를 확인할 수 있다(S240).If the object type is 'relationship', it can be checked whether the threat information type represented by the 'relationship' object is 'consist-of' (S215). If the threat information type expressed by the 'relationship' object is 'consist-of', a device-infected check flag may be set to mean information related to the device (S216). After setting the device infection check flag, the next object can be checked (S240).

디바이스 보호 장치(100)는 위협정보 확인 플래그와 디바이스의 감염 여부 확인 플래그의 설정이 완료되면, 감염된 디바이스를 확인하고(S217), 감염된 디바이스 정보를 의미하는 'ipv4-addr' 객체인지 확인할 수 있다(S218).When the setting of the threat information check flag and the device infection check flag is completed, the device protection apparatus 100 checks the infected device (S217) and can check whether it is an 'ipv4-addr' object meaning infected device information (S217). S218).

이어서, 확인된 객체 타입이 'ipv4-addr' 객체이면, 감염된 디바이스의 속성 정보를 추출하는 과정을 수행할 수 있다(S220). 감염된 디바이스의 속성 정보는 디바이스 타입, 디바이스 제조사, 디바이스 제품명, 디바이스 운영체제 버전을 포함할 수 있으나, 그 종류는 한정되지 않는다.Subsequently, if the identified object type is an 'ipv4-addr' object, a process of extracting attribute information of the infected device may be performed (S220). Attribute information of an infected device may include device type, device manufacturer, device product name, and device operating system version, but the type is not limited.

상기와 같은 과정을 완료하면 감염된 디바이스의 속성 정보 공유가 완료될 수 있다.When the above process is completed, sharing of the attribute information of the infected device can be completed.

도 1로 돌아가서, 단계(S300)에서, 디바이스 보호 장치(100)는 감염된 디바이스의 속성 정보를 기초로 관리 도메인 내에서 격리시킬 격리 디바이스 그룹을 결정할 수 있다(S300).Returning to FIG. 1 , in step S300, the device protection apparatus 100 may determine an isolation device group to be isolated within the management domain based on the attribute information of the infected device (S300).

디바이스 보호 장치(100)는 감염된 디바이스의 속성 정보와 관리 도메인 내의 디바이스의 속성 정보 간의 코사인 유사도를 산출할 수 있다. 디바이스 보호 장치(100)는 코사인 유사도를 고려하여 관리 도메인 내에서 격리시킬 격리 디바이스 그룹을 결정할 수 있다.The device protection apparatus 100 may calculate a cosine similarity between attribute information of an infected device and attribute information of a device in the management domain. The device protection apparatus 100 may determine an isolation device group to be isolated within the management domain by considering the cosine similarity.

디바이스 보호 장치(100)는 감염된 디바이스 그룹들의 각각의 속성 정보의 특징 벡터와 격리 디바이스 그룹들의 각각의 속성 정보의 특징 벡터을 산출하고, 산출된 감염된 디바이스 그룹들의 각각의 속성 정보의 특징 벡터와 격리 디바이스 그룹들의 각각의 속성 정보의 특징 벡터 간 각도의 코사인 값을 이용하여 코사인 유사도를 산출할 수 있다.The device protection apparatus 100 calculates a feature vector of each attribute information of the infected device groups and a feature vector of each attribute information of the isolated device groups, and calculates a feature vector of each attribute information of the infected device groups and the isolated device group. A cosine similarity may be calculated using a cosine value of an angle between feature vectors of each attribute information of .

디바이스의 속성 정보의 특징은 대부분 텍스트 정보이므로 숫자 형식으로 변환하여 처리해야 한다. 따라서, 문서 간의 유사도를 구하거나 문서에서 핵심 단어를 추출할 때 주로 사용되는 TF-IDF(Term Frequency-Inverse Document Frequency) 알고리즘을 이용하여 특징으로부터 단어 토큰을 추출하고, 단어의 상대적 출연 빈도수를 구하여 특징 벡터를 생성할 수 있다.Characteristics of device attribute information are mostly text information, so it must be converted into a number format and processed. Therefore, word tokens are extracted from features using the TF-IDF (Term Frequency-Inverse Document Frequency) algorithm, which is mainly used when obtaining similarity between documents or extracting key words from documents, and finding the relative frequency of occurrence of words to find the characteristics Vectors can be created.

코사인 유사도는 0 이상 1 이하의 값으로 표현될 수 있으며, 값이 클수록 유사할 수 있다. 예를 들어, 두 벡터간 각도가 0도일 때의 코사인 값은 1이며, 다른 모든 각도의 코사인 값은 1보다 작을 수 있다. 따라서, 코사인 유사도 값이 1이면 감염된 디바이스의 특징 벡터와 격리 디바이스의 특징 벡터의 방향은 동일한 것으로 판단할 수 있다.The cosine similarity may be expressed as a value of 0 or more and 1 or less, and the higher the value, the more similar it is. For example, when the angle between the two vectors is 0 degrees, the cosine value is 1, and the cosine values of all other angles may be less than 1. Therefore, if the cosine similarity value is 1, it can be determined that the direction of the feature vector of the infected device and the feature vector of the isolated device are the same.

디바이스 보호 장치(100)는 코사인 유사도를 고려하여 기준값을 설정하고, 기준값 이상 또는 이하인 경우에 따라 격리 디바이스를 선정할 수 있게 된다.The device protection apparatus 100 may set a reference value in consideration of the cosine similarity, and select an isolation device depending on whether the reference value is greater than or less than the reference value.

단계(S400)에서, 디바이스 보호 장치(100)는 격리 디바이스 그룹 또는 격리가 필요한 격리 디바이스에 네트워크 접속을 차단하는 차단 정책을 분배할 수 있다.In operation S400 , the device protection apparatus 100 may distribute a blocking policy for blocking network access to an isolation device group or an isolation device requiring isolation.

도 7은 본 발명의 일 실시예에 따른 디바이스 보호 장치를 나타낸 블록도이다.7 is a block diagram illustrating a device protection apparatus according to an embodiment of the present invention.

도 7을 참조하면, 본 발명의 일 실시예에 따른 디바이스 보호 동작을 수행하는 디바이스 보호 장치(100)는 위협정보 수신부(110)와, 감염정보 추출부(120)와, 격리 디바이스 그룹 결정부(130)와, 정책 분배부(140)를 포함할 수 있다.Referring to FIG. 7 , the device protection apparatus 100 performing a device protection operation according to an embodiment of the present invention includes a threat information receiver 110, an infection information extractor 120, and an isolation device group determiner ( 130) and a policy distribution unit 140.

위협정보 수신부(110)는 외부 도메인로부터 표준 규격(STIX) 기반의 위협 정보를 수신할 수 있다.The threat information receiving unit 110 may receive standard specification (STIX)-based threat information from an external domain.

감염정보 추출부(120)는 위협 정보를 기초로 사물봇 감염 정보를 추출할 수 있다. 감염정보 추출부(120)는 위협정보 식별부(121)와, 속성정보 추출부(123)를 포함할 수 있다.The infection information extraction unit 120 may extract IoT infection information based on the threat information. The infection information extraction unit 120 may include a threat information identification unit 121 and an attribute information extraction unit 123 .

위협정보 식별부(121)는 위협 정보를 기초로 사물봇 위협 정보를 식별할 수 있다. 속성정보 추출부(123)는 사물봇 위협 정보를 기초로 감염된 디바이스의 속성 정보를 추출할 수 있다.The threat information identification unit 121 may identify IoT threat information based on the threat information. The attribute information extractor 123 may extract attribute information of an infected device based on IoT threat information.

보다 상세하게, 위협정보 식별부(121)는 위협 정보의 객체 타입이 'infrastructure' 인지 확인하고, 위협 정보의 객체 타입이 'infrastructure' 이면, 'infrastructure' 객체가 표현하는 위협 정보의 타입이 'botnet' 인지 확인하고, 'infrastructure' 객체가 표현하는 위협 정보의 타입이 'botnet' 이면 위협정보 확인 플래그를 설정할 수 있다,In more detail, the threat information identification unit 121 checks whether the object type of the threat information is 'infrastructure', and if the object type of the threat information is 'infrastructure', the threat information type represented by the 'infrastructure' object is 'botnet'. ', and if the type of threat information represented by the 'infrastructure' object is 'botnet', the threat information check flag can be set.

위협정보 식별부(121)는 위협 정보의 객체 타입이 'relationship' 인지 확인하고, 위협 정보의 객체 타입이 'relationship' 이면, 'relationship' 객체가 표현하는 위협 정보의 타입이 'consist-of' 인지 확인하고, 'relationship' 객체가 표현하는 위협 정보의 타입이 'consist-of' 이면 디바이스의 감염 여부 확인 플래그를 설정할 수 있다.The threat information identification unit 121 checks whether the object type of the threat information is 'relationship', and if the object type of the threat information is 'relationship', whether the threat information type represented by the 'relationship' object is 'consist-of'. If the type of threat information expressed by the 'relationship' object is 'consist-of', the device infection check flag can be set.

위협정보 식별부(121)는 위협정보 확인 플래그 및 디바이스의 감염 여부 확인 플래그가 설정되면, 이어서 확인되는 객체가 'ipv4-addr' 객체 타입인지 확인할 수 있다.When the threat information identification unit 121 sets the threat information check flag and the device infection check flag, it may check whether the object to be checked is of the 'ipv4-addr' object type.

속성정보 추출부(123)는 두 플래그가 설정된 후 확인되는 객체가 'ipv4-addr' 객체 타입이면, 상기 감염된 디바이스의 속성 정보를 추출할 수 있다. 여기서, 감염된 디바이스 속성 정보는 디바이스 타입, 디바이스 제조사, 디바이스 제품명, 디바이스 운영체제 버전 중 적어도 하나 이상을 포함할 수 있다. The attribute information extraction unit 123 may extract attribute information of the infected device if the object to be checked after the two flags are set is the 'ipv4-addr' object type. Here, the infected device attribute information may include at least one of device type, device manufacturer, device product name, and device operating system version.

격리 디바이스 그룹 결정부(130)는 사물봇 감염 정보를 기초로 관리 도메인 내에서 격리시킬 격리 디바이스 그룹을 결정할 수 있다.The isolation device group determining unit 130 may determine an isolation device group to be isolated within the management domain based on the IoT infection information.

격리 디바이스 그룹 결정부(130)는 감염된 디바이스의 속성 정보와 상기 관리 도메인 내의 디바이스의 속성 정보 간의 코사인 유사도를 산출하고, 상기 코사인 유사도를 고려하여 관리 도메인 내에서 격리시킬 격리 디바이스 그룹을 결정할 수 있다.The isolation device group determining unit 130 may calculate a cosine similarity between attribute information of an infected device and attribute information of a device in the management domain, and determine an isolation device group to be isolated in the management domain by considering the cosine similarity.

정책 분배부(140)는 격리 디바이스 그룹의 네트워크 접속을 차단시키는 차단 정책을 분배할 수 있다.The policy distribution unit 140 may distribute a blocking policy for blocking network access of the isolated device group.

도 8은 본 발명의 일실시예에 따른 컴퓨터 시스템의 구성을 나타낸 블록도이다.8 is a block diagram showing the configuration of a computer system according to an embodiment of the present invention.

실시예에 따른 디바이스 보호 장치는 컴퓨터 판독 가능한 기록매체와 같은 컴퓨터 시스템(1000)에서 구현될 수 있다.The device protection apparatus according to the embodiment may be implemented in the computer system 1000 such as a computer readable recording medium.

도 9를 참조하면, 실시예에 따른 컴퓨터 시스템(1000)은 버스(1020)를 통하여 서로 통신하는 하나 이상의 프로세서(1010), 메모리(1030), 사용자 인터페이스 입력 장치(1040), 사용자 인터페이스 출력 장치(1050) 및 스토리지(1060)를 포함할 수 있다. 또한, 컴퓨터 시스템(1000)은 네트워크에 연결되는 네트워크 인터페이스(1070)를 더 포함할 수 있다.Referring to FIG. 9, a computer system 1000 according to an embodiment includes one or more processors 1010, a memory 1030, a user interface input device 1040, and a user interface output device communicating with each other through a bus 1020 ( 1050) and storage 1060. In addition, the computer system 1000 may further include a network interface 1070 connected to a network.

프로세서(1010)는 중앙 처리 장치 또는 메모리나 스토리지에 저장된 프로그램 또는 프로세싱 인스트럭션들을 실행하는 반도체 장치일 수 있다. 메모리(1030) 및 스토리지(1060)는 휘발성 매체, 비휘발성 매체, 분리형 매체, 비분리형 매체, 통신 매체, 또는 정보 전달 매체 중에서 적어도 하나 이상을 포함하는 저장 매체일 수 있다. 예를 들어, 메모리(1030)는 ROM(1031)이나 RAM(1032)을 포함할 수 있다.The processor 1010 may be a central processing unit or a semiconductor device that executes programs or processing instructions stored in memory or storage. The memory 1030 and the storage 1060 may be storage media including at least one of volatile media, nonvolatile media, removable media, non-removable media, communication media, and information delivery media. For example, memory 1030 may include ROM 1031 or RAM 1032 .

일 실시예에 따르면, 컴퓨터 프로그램을 저장하고 있는 컴퓨터 판독 가능한 기록 매체로서, 외부 도메인로부터 표준 규격(STIX) 기반의 위협 정보를 수신하는 동작, 상기 위협 정보를 기초로 사물봇 감염 정보를 추출하는 동작, 상기 사물봇 감염 정보를 기초로 관리 도메인 내에서 격리시킬 격리 디바이스 그룹을 결정하는 동작, 상기 격리 디바이스 그룹에 네트워크 접속을 차단시키는 차단 정책을 분배하는 동작을 포함하는 방법을 프로세서가 수행하도록 하기 위한 명령어를 포함할 수 있다.According to an embodiment, as a computer-readable recording medium storing a computer program, an operation of receiving standard specification (STIX)-based threat information from an external domain and an operation of extracting IoT infection information based on the threat information , determining an isolation device group to be isolated in the management domain based on the IoT infection information, and distributing a blocking policy for blocking network access to the isolation device group Can contain commands.

일 실시예에 따르면, 컴퓨터 판독 가능한 기록매체에 저장되어 있는 컴퓨터 프로그램으로서, 외부 도메인로부터 표준 규격(STIX) 기반의 위협 정보를 수신하는 동작, 상기 위협 정보를 기초로 사물봇 감염 정보를 추출하는 동작, 상기 사물봇 감염 정보를 기초로 관리 도메인 내에서 격리시킬 격리 디바이스 그룹을 결정하는 동작, 상기 격리 디바이스 그룹에 네트워크 접속을 차단시키는 차단 정책을 분배하는 동작을 포함하는 방법을 프로세서가 수행하도록 하기 위한 명령어를 포함할 수 있다.According to an embodiment, as a computer program stored on a computer-readable recording medium, an operation of receiving standard specification (STIX)-based threat information from an external domain and an operation of extracting IoT infection information based on the threat information , determining an isolation device group to be isolated in the management domain based on the IoT infection information, and distributing a blocking policy for blocking network access to the isolation device group Can contain commands.

본 발명에서 설명하는 특정 실행들은 실시예들로서, 어떠한 방법으로도 본 발명의 범위를 한정하는 것은 아니다. 명세서의 간결함을 위하여, 종래 전자적인 구성들, 제어시스템들, 소프트웨어, 상기 시스템들의 다른 기능적인 측면들의 기재는 생략될 수 있다. 또한, 도면에 도시된 구성 요소들 간의 선들의 연결 또는 연결 부재들은 기능적인 연결 및/또는 물리적 또는 회로적 연결들을 예시적으로 나타낸 것으로서, 실제 장치에서는 대체 가능하거나 추가의 다양한 기능적인 연결, 물리적인 연결, 또는 회로 연결들로서 나타내어질 수 있다. 또한, "필수적인", "중요하게" 등과 같은 구체적인 언급이 없다면 본 발명의 적용을 위하여 반드시 필요한 구성 요소가 아닐 수 있다.The specific implementations described herein are examples and do not limit the scope of the present invention in any way. For brevity of the specification, description of conventional electronic components, control systems, software, and other functional aspects of the systems may be omitted. In addition, the connection of lines or connecting members between the components shown in the drawings are examples of functional connections and / or physical or circuit connections, which can be replaced in actual devices or additional various functional connections, physical connection, or circuit connections. In addition, if there is no specific reference such as "essential" or "important", it may not be a necessary component for the application of the present invention.

따라서, 본 발명의 사상은 상기 설명된 실시예에 국한되어 정해져서는 아니되며, 후술하는 특허청구범위뿐만 아니라 이 특허청구범위와 균등한 또는 이로부터 등가적으로 변경된 모든 범위는 본 발명의 사상의 범주에 속한다고 할 것이다.Therefore, the spirit of the present invention should not be limited to the above-described embodiments and should not be determined, and all scopes equivalent to or equivalently changed from the claims as well as the claims to be described later are within the scope of the spirit of the present invention. will be said to belong to

100: 디바이스 보호 장치
110: 위협정보 수신부
120: 감염정보 추출부
130: 격리 디바이스 그룹 결정부
140: 정책 분배부100: device protection device
110: threat information receiver
120: infection information extraction unit
130: isolation device group determining unit
140: policy distribution unit

Claims (16)

외부 도메인로부터 표준 규격(STIX) 기반의 위협 정보를 수신하는 단계;
상기 위협 정보를 기초로 사물봇 감염 정보를 추출하는 단계;
상기 사물봇 감염 정보를 기초로 관리 도메인 내에서 격리시킬 격리 디바이스 그룹을 결정하는 단계; 및
상기 격리 디바이스 그룹에 네트워크 접속을 차단시키는 차단 정책을 분배하는 단계;
를 포함하는 디바이스 보호 방법.Receiving standard specification (STIX) based threat information from an external domain;
extracting IoT infection information based on the threat information;
determining an isolation device group to be isolated within a management domain based on the IoT infection information; and
distributing a blocking policy for blocking network access to the isolated device group;
Device protection method comprising a. 청구항 1에 있어서,
상기 사물봇 감염 정보를 추출하는 단계는,
상기 위협 정보를 기초로 사물봇 위협 정보를 식별하는 단계; 및
상기 사물봇 위협 정보를 기초로 감염된 디바이스의 속성 정보를 추출하는 단계;
를 포함하는 디바이스 보호 방법.The method of claim 1,
In the step of extracting the IoT infection information,
identifying IoT threat information based on the threat information; and
extracting attribute information of an infected device based on the IoT threat information;
Device protection method comprising a. 청구항 2에 있어서,
상기 사물봇 위협 정보를 식별하는 단계는,
상기 위협 정보의 객체 타입이 'infrastructure'인지 확인하는 단계;
상기 위협 정보의 객체 타입이 'infrastructure'이면, 'infrastructure'객체가 표현하는 위협 정보의 타입이 'botnet'인지 확인하는 단계; 및
상기 'infrastructure'객체가 표현하는 위협 정보의 타입이 'botnet'이면 위협정보 확인 플래그를 설정하는 단계;
를 포함하는 디바이스 보호 방법.The method of claim 2,
In the step of identifying the IoT threat information,
checking whether the object type of the threat information is 'infrastructure';
If the object type of the threat information is 'infrastructure', checking whether the type of threat information represented by the 'infrastructure' object is 'botnet'; and
setting a threat information check flag if the type of threat information represented by the 'infrastructure' object is 'botnet';
Device protection method comprising a. 청구항 3에 있어서,
상기 사물봇 위협 정보를 식별하는 단계는,
상기 위협 정보의 객체 타입이 'relationship' 인지 확인하는 단계;
상기 위협 정보의 객체 타입이 'relationship' 이면, 'relationship' 객체가 표현하는 위협 정보의 타입이 'consist-of' 인지 확인하는 단계; 및
상기 'relationship' 객체가 표현하는 위협 정보의 타입이 'consist-of' 이면 디바이스의 감염 여부 확인 플래그를 설정하는 단계;
를 포함하는 디바이스 보호 방법.The method of claim 3,
In the step of identifying the IoT threat information,
checking whether the object type of the threat information is 'relationship';
if the object type of the threat information is 'relationship', checking whether the type of threat information represented by the 'relationship' object is 'consist-of'; and
setting a device infection check flag if the type of threat information represented by the 'relationship' object is 'consist-of';
Device protection method comprising a. 청구항 4에 있어서,
상기 사물봇 위협 정보를 식별하는 단계는,
상기 위협정보 확인 플래그 및 상기 디바이스의 감염 여부 확인 플래그 설정되면 이어서 확인되는 객체가 'ipv4-addr' 객체 타입인지 확인하는 단계;
를 포함하는 디바이스 보호 방법.The method of claim 4,
In the step of identifying the IoT threat information,
if the threat information check flag and the device infection check flag are set, checking whether an object to be checked subsequently is an 'ipv4-addr' object type;
Device protection method comprising a. 제5항에 있어서,
상기 감염된 디바이스의 속성 정보를 추출하는 단계는,
상기 두 플래그가 설정되어 있고, 이어서 확인되는 객체가 'ipv4-addr' 객체 타입이면, 상기 감염된 디바이스의 속성 정보를 추출하는 디바이스 보호 방법.According to claim 5,
The step of extracting the attribute information of the infected device,
If the two flags are set and the object to be checked subsequently is an 'ipv4-addr' object type, extracting attribute information of the infected device. 청구항 2에 있어서,
상기 감염된 디바이스 속성 정보는 디바이스 타입, 디바이스 제조사, 디바이스 제품명, 디바이스 운영체제 버전 중 적어도 하나 이상을 포함하는 디바이스 보호 방법.The method of claim 2,
The infected device attribute information includes at least one or more of a device type, a device manufacturer, a device product name, and a device operating system version. 청구항 2에 있어서,
상기 사물봇 감염 정보를 기초로 관리 도메인 내에서 격리시킬 격리 디바이스 그룹을 결정하는 단계는,
상기 감염된 디바이스의 속성 정보와 상기 관리 도메인 내의 디바이스의 속성 정보 간의 코사인 유사도를 산출하는 단계; 및
상기 코사인 유사도를 고려하여 관리 도메인 내에서 격리시킬 격리 디바이스 그룹을 결정하는 단계;
를 포함하는 디바이스 보호 방법.The method of claim 2,
Determining an isolation device group to be isolated within a management domain based on the IoT infection information includes:
calculating a cosine similarity between attribute information of the infected device and attribute information of devices in the management domain; and
determining an isolation device group to be isolated within a management domain by considering the cosine similarity;
Device protection method comprising a. 외부 도메인로부터 표준 규격(STIX) 기반의 위협 정보를 수신하는 위협정보 수신부;
상기 위협 정보를 기초로 사물봇 감염 정보를 추출하는 감염정보 추출부;
상기 사물봇 감염 정보를 기초로 관리 도메인 내에서 격리시킬 격리 디바이스 그룹을 결정하는 격리 디바이스 그룹 결정부; 및
상기 격리 디바이스 그룹의 네트워크 접속을 차단시키는 차단 정책을 분배하는 정책 분배부;
를 포함하는 디바이스 보호 장치.a threat information receiving unit that receives threat information based on standard specifications (STIX) from an external domain;
an infection information extraction unit extracting IoT infection information based on the threat information;
an isolation device group determination unit determining an isolation device group to be isolated within a management domain based on the IoT infection information; and
a policy distribution unit distributing a blocking policy for blocking network access of the isolation device group;
Device protection device comprising a. 제9항에 있어서,
상기 감염정보 추출부는,
상기 위협 정보를 기초로 사물봇 위협 정보를 식별하는 위협정보 식별부; 및
상기 사물봇 위협 정보를 기초로 감염된 디바이스의 속성 정보를 추출하는 속성정보 추출부;
를 포함하는 디바이스 보호 장치.According to claim 9,
The infection information extraction unit,
a threat information identification unit that identifies IoT threat information based on the threat information; and
an attribute information extraction unit extracting attribute information of an infected device based on the IoT threat information;
Device protection device comprising a. 청구항 10에 있어서,
상기 위협정보 식별부는,
상기 위협 정보의 객체 타입이 'infrastructure' 인지 확인하고, 상기 위협 정보의 객체 타입이 'infrastructure' 이면, 'infrastructure' 객체가 표현하는 위협 정보의 타입이 'botnet' 인지 확인하고, 상기 'infrastructure' 객체가 표현하는 위협 정보의 타입이 'botnet' 이면 위협정보 확인 플래그를 설정하는 디바이스 보호 장치.The method of claim 10,
The threat information identification unit,
It is checked whether the object type of the threat information is 'infrastructure', and if the object type of the threat information is 'infrastructure', it is checked whether the type of threat information represented by the 'infrastructure' object is 'botnet', and the 'infrastructure' object If the type of threat information expressed by 'botnet' is 'botnet', a device protection device that sets a threat information check flag. 청구항 11에 있어서,
상기 위협정보 식별부는,
상기 위협 정보의 객체 타입이 'relationship' 인지 확인하고, 상기 위협 정보의 객체 타입이 'relationship' 이면, 'relationship' 객체가 표현하는 위협 정보의 타입이 'consist-of' 인지 확인하고, 상기 'relationship' 객체가 표현하는 위협 정보의 타입이 'consist-of' 이면 디바이스의 감염 여부 확인 플래그를 설정하는 디바이스 보호 장치.The method of claim 11,
The threat information identification unit,
It is checked whether the object type of the threat information is 'relationship', and if the object type of the threat information is 'relationship', it is checked whether the type of threat information represented by the 'relationship' object is 'consist-of', and the 'relationship'' If the type of threat information expressed by the object is 'consist-of', a device protection device that sets a flag to check if the device is infected. 청구항 12에 있어서,
상기 위협정보 식별부는,
상기 위협정보 확인 플래그 및 상기 디바이스의 감염 여부 확인 플래그설정되면 이어서 확인되는 객체가 'ipv4-addr' 객체 타입인지 확인하는 디바이스 보호 장치.The method of claim 12,
The threat information identification unit,
If the threat information check flag and the device infection check flag are set, the device protection device checks whether an object to be checked subsequently is an 'ipv4-addr' object type. 제13항에 있어서,
상기 속성정보 추출부는,
상기 두 플래그가 설정되어 있고, 이어서 확인되는 객체가 'ipv4-addr' 객체 타입이면, 상기 감염된 디바이스의 속성 정보를 추출하는 디바이스 보호 장치.According to claim 13,
The attribute information extraction unit,
If the two flags are set and the object to be checked subsequently is an 'ipv4-addr' object type, the device protection device extracts attribute information of the infected device. 청구항 10에 있어서,
상기 감염된 디바이스 속성 정보는 디바이스 타입, 디바이스 제조사, 디바이스 제품명, 디바이스 운영체제 버전 중 적어도 하나 이상을 포함하는 디바이스 보호 장치.The method of claim 10,
The device protection apparatus of claim 1, wherein the infected device attribute information includes at least one of a device type, a device manufacturer, a device product name, and a device operating system version. 청구항 10에 있어서,
상기 격리 디바이스 그룹 결정부는,
상기 감염된 디바이스의 속성 정보와 상기 관리 도메인 내의 디바이스의 속성 정보 간의 코사인 유사도를 산출하고, 상기 코사인 유사도를 고려하여 관리 도메인 내에서 격리시킬 격리 디바이스 그룹을 결정하는 디바이스 보호 장치.The method of claim 10,
The isolation device group determination unit,
The device protection device for calculating a cosine similarity between the attribute information of the infected device and the attribute information of a device in the management domain, and determining an isolation device group to be isolated in the management domain in consideration of the cosine similarity.
KR1020210183907A 2021-12-21 2021-12-21 Method and apparatus for protecting device KR20230094607A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020210183907A KR20230094607A (en) 2021-12-21 2021-12-21 Method and apparatus for protecting device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020210183907A KR20230094607A (en) 2021-12-21 2021-12-21 Method and apparatus for protecting device

Publications (1)

Publication Number Publication Date
KR20230094607A true KR20230094607A (en) 2023-06-28

Family

ID=86994293

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020210183907A KR20230094607A (en) 2021-12-21 2021-12-21 Method and apparatus for protecting device

Country Status (1)

Country Link
KR (1) KR20230094607A (en)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20200108742A (en) 2019-03-11 2020-09-21 한국전자통신연구원 Apparatus and method for security control in IoT infrastructure environment
KR20200113836A (en) 2019-03-26 2020-10-07 한국전자통신연구원 Apparatus and method for security control

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20200108742A (en) 2019-03-11 2020-09-21 한국전자통신연구원 Apparatus and method for security control in IoT infrastructure environment
KR20200113836A (en) 2019-03-26 2020-10-07 한국전자통신연구원 Apparatus and method for security control

Similar Documents

Publication Publication Date Title
US10616246B2 (en) SDN controller
CN107426242B (en) Network security protection method, device and storage medium
US9648032B2 (en) System and method for blocking execution of scripts
CN111737696A (en) Method, system and equipment for detecting malicious file and readable storage medium
US8819835B2 (en) Silent-mode signature testing in anti-malware processing
US8479292B1 (en) Disabling malware that infects boot drivers
US10033745B2 (en) Method and system for virtual security isolation
EP3335145B1 (en) Using multiple layers of policy management to manage risk
US11888879B2 (en) System and method for monitoring security of a computer network
US10579798B2 (en) Electronic device and method for detecting malicious file
CN112115457B (en) Power terminal access method and system
US11652818B2 (en) Method and apparatus for accessing service system
WO2016125837A1 (en) Malicious communication pattern extraction device, malicious communication pattern extraction system, malicious communication pattern extraction method and malicious communication pattern extraction program
EP3252648B1 (en) Security measure invalidation prevention device, security measure invalidation prevention method, and security measure invalidation prevention program
KR20210089592A (en) METHOD FOR DETECTING DRDoS ATTACK, AND APPARATUSES PERFORMING THE SAME
KR20230094607A (en) Method and apparatus for protecting device
CN114726579B (en) Method, device, equipment, storage medium and program product for defending network attack
KR102119317B1 (en) Apparatus and method for identifying a user terminal and blocking access to a wireless access point
KR101593897B1 (en) Network scan method for circumventing firewall, IDS or IPS
CN113328976B (en) Security threat event identification method, device and equipment
US20220070179A1 (en) Dynamic segmentation apparatus and method for preventing spread of security threat
CN112395617A (en) Method and device for protecting docker escape vulnerability, storage medium and computer equipment
US20240022589A1 (en) Risk analysis device, analysis target element determination device, and method
CN114553452B (en) Attack defense method and protection equipment
KR101692619B1 (en) Apparatus and method for preventing intrusion in network