KR20230149925A - Terminal security system and terminal security method using the system - Google Patents

Terminal security system and terminal security method using the system Download PDF

Info

Publication number
KR20230149925A
KR20230149925A KR1020220049230A KR20220049230A KR20230149925A KR 20230149925 A KR20230149925 A KR 20230149925A KR 1020220049230 A KR1020220049230 A KR 1020220049230A KR 20220049230 A KR20220049230 A KR 20220049230A KR 20230149925 A KR20230149925 A KR 20230149925A
Authority
KR
South Korea
Prior art keywords
terminal
security
nodes
threat intelligence
threats
Prior art date
Application number
KR1020220049230A
Other languages
Korean (ko)
Inventor
송유진
Original Assignee
동국대학교 와이즈캠퍼스 산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 동국대학교 와이즈캠퍼스 산학협력단 filed Critical 동국대학교 와이즈캠퍼스 산학협력단
Priority to KR1020220049230A priority Critical patent/KR20230149925A/en
Publication of KR20230149925A publication Critical patent/KR20230149925A/en

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Computer And Data Communications (AREA)

Abstract

단말기에서 생성된 위협 인텔리전스를 안전하게 보호하면서 활용할 수 있는 단말기 보안 시스템 및 이를 이용한 단말기 보안 방법이 개시된다. 이러한 단말기 보안 시스템은 블록체인 시스템 및 적어도 하나의 단말기 A를 포함한다. 상기 블록체인 시스템은 복수의 노드들을 포함한다. 상기 적어도 하나의 단말기 A는 보안 상의 위협을 이용하여 위협 인텔리전스(threat Intelligence)를 생성하고, 상기 위협 인텔리전스를 상기 노드들 중 어느 하나의 노드로 전송시킨다. 상기 위협 인텔리전스를 전송받은 상기 노드들 중 어느 하나의 노드는, 상기 위협 인텔리전스를 포함하는 블록을 생성한 후 상기 노드들에게 전송하여 블록체인 형태로 저장시킨다. 이와 같이, 임의의 단말기에서 생성된 위협 인텔리전스가 블록체인 형태로 복수의 노드들에 분산 저장됨에 따라 안전하게 보호될 수 있다. A terminal security system that can safely protect and utilize threat intelligence generated in a terminal and a terminal security method using the same are disclosed. This terminal security system includes a blockchain system and at least one terminal A. The blockchain system includes a plurality of nodes. The at least one terminal A generates threat intelligence using a security threat and transmits the threat intelligence to one of the nodes. Any one of the nodes that have received the threat intelligence creates a block containing the threat intelligence and then transmits it to the nodes and stores it in blockchain form. In this way, threat intelligence generated from an arbitrary terminal can be safely protected by being distributed and stored across multiple nodes in the form of a blockchain.

Description

단말기 보안 시스템 및 이를 이용한 단말기 보안 방법{TERMINAL SECURITY SYSTEM AND TERMINAL SECURITY METHOD USING THE SYSTEM}Terminal security system and terminal security method using the same {TERMINAL SECURITY SYSTEM AND TERMINAL SECURITY METHOD USING THE SYSTEM}

본 발명은 단말기 보안 시스템 및 이를 이용한 단말기 보안 방법에 관한 것으로, 단말기에서의 보안을 수행할 수 있는 단말기 보안 시스템 및 이를 이용한 단말기 보안 방법에 관한 것이다.The present invention relates to a terminal security system and a terminal security method using the same. It relates to a terminal security system capable of performing security in a terminal and a terminal security method using the same.

일반적으로 방화벽이나 IDS(Intrusion Detection System; 침입 감지 시스템) 등에 사용되는 위협 탐지 기술은 이미 알려진 특정 시그니처 값(IOC, Indicator of Compromised; 침입 지표)을 기준으로 탐지를 수행하고, 경고(Alert) 메시지를 분석가에게 알려주는 방식으로 동작한다. 따라서, 알려진 악성코드나 공격 패킷만 탐지가 가능하고, 알려지지 않거나 변형된 악성코드에 의한 공격을 막기 어렵다는 단점이 존재한다.Threat detection technology, which is generally used in firewalls or IDS (Intrusion Detection System), performs detection based on a specific signature value (IOC, Indicator of Compromised) and sends an alert message. It works by informing the analyst. Therefore, there is a disadvantage that only known malicious code or attack packets can be detected, and it is difficult to prevent attacks by unknown or modified malicious code.

또한, EDR(Endpoint Detection & Response)과 같이 악성코드의 행위를 탐지하는 위협 탐지 기술은, API(Application Programming Interface) 사용 패턴이나 단일 장치 수준에서 수집되는 정보만으로 위협을 판단하기 때문에 APT(Advanced Persistent Threat; 지능형 지속 공격) 공격을 추적하거나 탐지하는데 효과적이지 못하다.In addition, threat detection technology that detects the behavior of malware, such as EDR (Endpoint Detection & Response), determines threats only based on API (Application Programming Interface) usage patterns or information collected at the single device level, so APT (Advanced Persistent Threat) ; Intelligent continuous attack) is not effective in tracking or detecting attacks.

또한, SIEM(Security Information and Event Management), ESM(Enterprise Security Management; 통합 보안 관제 시스템)과 같은 위협 탐지 기술은 Alert이나 Event들을 그대로 한 곳에 저장하여 분석하지만, 이벤트간의 연관성 분석이 IOC 수준으로 연결되어 이벤트간 연결 의미와 흐름이 결여되는 문제가 있다. 이러한 경우, 탐지된 이벤트들의 전후 관계, 탐지된 결과의 의미 등을 분석가가 직접 파악하여 판단해야 하므로 시간 소요가 큰 단점이 있고, 알려지지 않은 APT 공격 탐지에 한계가 있다.In addition, threat detection technologies such as SIEM (Security Information and Event Management) and ESM (Enterprise Security Management) store and analyze alerts and events in one place, but the correlation analysis between events is connected at the IOC level. There is a problem with the lack of connection meaning and flow between events. In this case, the analyst must directly understand and determine the context of the detected events and the meaning of the detected results, which has the disadvantage of being time-consuming and limiting the detection of unknown APT attacks.

이와 같은 한계를 보완하기 위하여, 위협 헌팅(Threat Hunting)이라는 APT 공격 탐지 개념이 제시되었다. 위협 헌팅은 종래의 기술을 활용하여 분석가가 APT 공격을 탐지하기 위한 TTP기반 탐지가설을 세우고, 가설을 주기적으로 검증하여 대량의 이벤트에서 APT 관련 정황을 도출하는 절차를 의미한다. 근래의 위협 헌팅은 공격자의 공격기술(TTP)을 분류하고, 이를 기준으로 탐지가설과 탐지를 수행하는 절차로써 구체화되었다. 사용되는 공격기술 분류 기준은 MITRE에서 제시한 ATT&CK TM을 주도적으로 사용하고 있고, ATT&CK TM은 MITRE에 의해 주기적으로 갱신되고 있다.To compensate for these limitations, an APT attack detection concept called threat hunting was proposed. Threat hunting refers to a process in which an analyst uses conventional technology to establish a TTP-based detection hypothesis to detect APT attacks, periodically verifies the hypothesis, and derives APT-related circumstances from a large number of events. Recently, threat hunting has been specified as a procedure to classify the attacker's attack technique (TTP) and perform detection hypotheses and detection based on this. The attack technology classification standard used is primarily the ATT&CK TM presented by MITER, and ATT&CK TM is periodically updated by MITER.

한편, 위협 헌팅을 통해 생성된 결과물인 위협 인텔리전스(threat Intelligence)는 사이버 보안 전문가가 사이버 공격에 대해 정리하고 분석한 증거 기반 정보라고 할 수 있다. 이때, 위협 인텔리전스는 정적인 개념보다는 동적인 개념이라 할 수 있고, 위협 인텔리전스라고 일컬어지는 정보들이 담고있는 침해지표, TTPs(Tactic, Technique, Procedure, 전술, 기법, 절차)들은 공격의 방향성 혹은 흐름, 그리고 연관성을 포함해 장기간 축적된 히스토리를 포함하고 있는 정보 자산이라고 볼 수 있다. 따라서, 위협 인텔리전스를 안전하게 보호하면서 활용할 필요가 있다.Meanwhile, threat intelligence, which is the result of threat hunting, can be said to be evidence-based information organized and analyzed by cybersecurity experts about cyber attacks. At this time, threat intelligence can be said to be a dynamic concept rather than a static concept, and the infringement indicators and TTPs (Tactics, Techniques, Procedures) contained in the information called threat intelligence indicate the direction or flow of the attack, And it can be viewed as an information asset that contains long-term accumulated history, including relevance. Therefore, it is necessary to utilize threat intelligence while protecting it safely.

따라서, 본 발명은 이러한 문제점을 해결하기 위한 것으로, 본 발명의 해결하고자 하는 과제는 단말기에서 생성된 위협 인텔리전스를 안전하게 보호하면서 활용할 수 있는 단말기 보안 시스템을 제공하는 것이다.Therefore, the present invention is intended to solve this problem, and the problem to be solved by the present invention is to provide a terminal security system that can safely protect and utilize threat intelligence generated in the terminal.

또한, 본 발명의 해결하고자 하는 다른 과제는 상기 단말기 보안 시스템을 이용한 단말기 보안 방법을 제공하는 것이다.In addition, another problem to be solved by the present invention is to provide a terminal security method using the terminal security system.

본 발명의 일 실시예에 의한 단말기 보안 시스템은 블록체인 시스템 및 적어도 하나의 단말기 A를 포함한다. 상기 블록체인 시스템은 복수의 노드들을 포함한다. 상기 적어도 하나의 단말기 A는 보안 상의 위협을 이용하여 위협 인텔리전스(threat Intelligence)를 생성하고, 상기 위협 인텔리전스를 상기 노드들 중 어느 하나의 노드로 전송시킨다. 상기 위협 인텔리전스를 전송받은 상기 노드들 중 어느 하나의 노드는, 상기 위협 인텔리전스를 포함하는 블록을 생성한 후 상기 노드들에게 전송하여 블록체인 형태로 저장시킨다.A terminal security system according to an embodiment of the present invention includes a blockchain system and at least one terminal A. The blockchain system includes a plurality of nodes. The at least one terminal A generates threat intelligence using a security threat and transmits the threat intelligence to one of the nodes. Any one of the nodes that have received the threat intelligence creates a block containing the threat intelligence and then transmits it to the nodes and stores it in blockchain form.

상기 단말기 보안 시스템은, 상기 노드들 중 어느 하나의 노드로부터 상기 위협 인텔리전스를 전송받고, 상기 위협 인텔리전스를 이용하여 보안 솔루션을 생성하는 적어도 하나의 단말기 B를 더 포함할 수 있다. 이때, 상기 단말기 B는, 상기 보안 솔루션을 이용하여, 상기 단말기 B에서 발생되고 있는 위협으로부터 사이버 자산을 보호할 수 있다.The terminal security system may further include at least one terminal B that receives the threat intelligence from any one of the nodes and generates a security solution using the threat intelligence. At this time, the terminal B can protect cyber assets from threats occurring in the terminal B using the security solution.

이와 다르게, 상기 단말기 보안 시스템은, 상기 노드들 중 어느 하나의 노드로부터 상기 위협 인텔리전스를 전송받고, 상기 위협 인텔리전스를 이용하여 보안 솔루션을 생성하는 보안 솔루션 서버를 더 포함할 수 있다. 이때, 상기 단말기 A를 포함하여 적어도 하나의 단말기가, 상기 보안 솔루션 서버에서 생성된 상기 보안 솔루션을 외부로부터 제공받을 수 있다. 구체적으로 설명하면, 상기 보안 솔루션 서버는 상기 보안 솔루션을 상기 노드들 중 어느 하나의 노드로 전송할 수 있고, 상기 보안 솔루션을 전송받은 상기 노드들 중 어느 하나의 노드는 상기 보안 솔루션을 포함하는 블록을 생성한 후 상기 노드들에게 전송하여 블록체인 형태로 저장시킬 수 있으며, 상기 단말기 A를 포함하여 적어도 하나의 단말기가 상기 노드들 중 어느 하나의 노드로부터 상기 보안 솔루션을 전송받을 수 있다. 이후, 상기 단말기 A를 포함하여 적어도 하나의 단말기가, 상기 보안 솔루션을 이용하여, 현재 발생되고 있는 위협으로부터 사이버 자산을 보호할 수 있다.Alternatively, the terminal security system may further include a security solution server that receives the threat intelligence from any one of the nodes and generates a security solution using the threat intelligence. At this time, at least one terminal, including the terminal A, may receive the security solution generated by the security solution server from an external source. Specifically, the security solution server may transmit the security solution to any one of the nodes, and any one of the nodes that received the security solution may send a block containing the security solution. After it is created, it can be transmitted to the nodes and stored in blockchain form, and at least one terminal, including the terminal A, can receive the security solution from any one of the nodes. Afterwards, at least one terminal, including the terminal A, can use the security solution to protect cyber assets from threats currently occurring.

상기 보안 솔루션은, 상기 위협 인텔리전스를 분석하여, 상기 위협에 대한 사이버 자산의 취약점을 찾아내어, 상기 위협으로부터 상기 사이버 자신을 보호하는 방법을 포함할 수 있다. 구체적으로 설명하면, 상기 보안 솔루션은, 상기 위협 인텔리전스를 분석하여, 앞으로 발생될 미래 위협을 우선 예측하고, 상기 위협 및 상기 미래 위협에 대한 상기 사이버 자산의 취약점을 찾아내어, 상기 위협 및 상기 미래 위협으로부터 상기 사이버 자산을 보호하는 방법을 포함할 수 있다.The security solution may include a method of analyzing the threat intelligence to find vulnerabilities of cyber assets to the threats and protecting the cyber self from the threats. Specifically, the security solution analyzes the threat intelligence, first predicts future threats that will occur in the future, finds vulnerabilities in the cyber assets against the threats and the future threats, and detects the threats and the future threats. It may include a method of protecting the cyber assets from.

상기 위협 인텔리전스는, 상기 위협에 대한 로그 수집 정보, 침해 지표, 공격 패턴, 악성코드 정보, 히스토리 정보 중 적어도 하나를 포함할 수 있고, 상기 히스토리 정보는 이전 위협에 대한 로그 수집 정보, 침해 지표, 공격 패턴 및 악성코드 정보 중 적어도 하나의 축적 정보를 포함할 수 있다.The threat intelligence may include at least one of log collection information about the threat, infringement indicators, attack patterns, malware information, and history information, and the history information includes log collection information about previous threats, infringement indicators, and attacks. It may include at least one accumulated information of pattern and malicious code information.

이어서, 본 발명의 일 실시예에 따른 단말기 보안 방법은, 적어도 하나의 단말기 A가, 보안 상의 위협을 이용하여 위협 인텔리전스(threat Intelligence)를 생성하는 단계; 상기 단말기 A가, 상기 위협 인텔리전스를 블록체인 시스템에 포함된 복수의 노드들 중 어느 하나의 노드로 전송시키는 단계; 및 상기 위협 인텔리전스를 전송받은 상기 노드들 중 어느 하나의 노드가, 상기 위협 인텔리전스를 포함하는 블록을 생성한 후 상기 노드들에게 전송하여 블록체인 형태로 저장시키는 단계를 포함한다.Next, the terminal security method according to an embodiment of the present invention includes the steps of generating, by at least one terminal A, threat intelligence using a security threat; transmitting, by the terminal A, the threat intelligence to any one node among a plurality of nodes included in the blockchain system; And a step of one of the nodes receiving the threat intelligence generating a block containing the threat intelligence and then transmitting the block to the nodes and storing it in blockchain form.

상기 단말기 보안 방법은, 적어도 하나의 단말기 B가, 상기 노드들 중 어느 하나의 노드로부터 상기 위협 인텔리전스를 전송받는 단계; 및 상기 단말기 B가, 상기 위협 인텔리전스를 이용하여 보안 솔루션을 생성하는 단계를 더 포함할 수도 있다. 이때, 상기 단말기 보안 방법은, 상기 단말기 B가, 상기 보안 솔루션을 이용하여, 상기 단말기 B에서 발생되고 있는 위협으로부터 사이버 자산을 보호하는 단계를 더 포함할 수 있다.The terminal security method includes: receiving, by at least one terminal B, the threat intelligence from any one of the nodes; And the terminal B may further include generating a security solution using the threat intelligence. At this time, the terminal security method may further include the step of the terminal B protecting cyber assets from threats occurring in the terminal B using the security solution.

이와 다르게, 상기 단말기 보안 방법은, 보안 솔루션 서버가, 상기 노드들 중 어느 하나의 노드로부터 상기 위협 인텔리전스를 전송받는 단계; 및 상기 보안 솔루션 서버가, 상기 위협 인텔리전스를 이용하여 보안 솔루션을 생성하는 단계를 더 포함할 수 있다. 이때, 상기 단말기 보안 방법은, 상기 단말기 A를 포함하여 적어도 하나의 단말기가, 상기 보안 솔루션 서버에서 생성된 상기 보안 솔루션을 외부로부터 제공받는 단계를 더 포함할 수 있다. 구체적으로 설명하면, 상기 단말기 A를 포함하여 적어도 하나의 단말기가 상기 보안 솔루션을 외부로부터 제공받는 단계는, 상기 보안 솔루션 서버가, 상기 보안 솔루션을 상기 노드들 중 어느 하나의 노드로 전송하는 단계; 상기 보안 솔루션을 전송받은 상기 노드들 중 어느 하나의 노드가, 상기 보안 솔루션을 포함하는 블록을 생성한 후 상기 노드들에게 전송하여 블록체인 형태로 저장시키는 단계; 및 상기 단말기 A를 포함하여 적어도 하나의 단말기가, 상기 노드들 중 어느 하나의 노드로부터 상기 보안 솔루션을 전송받는 단계를 포함할 수 있다. 또한, 상기 단말기 보안 방법은, 상기 단말기 A를 포함하여 적어도 하나의 단말기가, 상기 보안 솔루션을 이용하여, 현재 발생되고 있는 위협으로부터 사이버 자산을 보호하는 단계를 더 포함할 수 있다.Differently, the terminal security method includes: receiving, by a security solution server, the threat intelligence from any one of the nodes; And the security solution server may further include generating a security solution using the threat intelligence. At this time, the terminal security method may further include a step where at least one terminal, including the terminal A, receives the security solution generated by the security solution server from an external source. Specifically, the step of receiving the security solution from an external source at least one terminal, including the terminal A, includes: transmitting, by the security solution server, the security solution to one of the nodes; A step of one of the nodes receiving the security solution generating a block containing the security solution and then transmitting the block to the nodes and storing it in blockchain form; and receiving, by at least one terminal including the terminal A, the security solution from any one of the nodes. In addition, the terminal security method may further include the step of protecting cyber assets from currently occurring threats by using the security solution at least one terminal, including the terminal A.

상기 보안 솔루션은, 상기 위협 인텔리전스를 분석하여, 상기 위협에 대한 사이버 자산의 취약점을 찾아내어, 상기 위협으로부터 상기 사이버 자신을 보호하는 방법을 포함할 수 있다. 구체적으로 설명하면, 상기 보안 솔루션은, 상기 위협 인텔리전스를 분석하여, 앞으로 발생될 미래 위협을 우선 예측하고, 상기 위협 및 상기 미래 위협에 대한 상기 사이버 자산의 취약점을 찾아내어, 상기 위협 및 상기 미래 위협으로부터 상기 사이버 자산을 보호하는 방법을 포함할 수 있다.The security solution may include a method of analyzing the threat intelligence to find vulnerabilities of cyber assets to the threats and protecting the cyber self from the threats. Specifically, the security solution analyzes the threat intelligence, first predicts future threats that will occur in the future, finds vulnerabilities in the cyber assets against the threats and the future threats, and detects the threats and the future threats. It may include a method of protecting the cyber assets from.

상기 위협 인텔리전스는 상기 위협에 대한 로그 수집 정보, 침해 지표, 공격 패턴, 악성코드 정보, 히스토리 정보 중 적어도 하나를 포함할 수 있고, 상기 히스토리 정보는 이전 위협에 대한 로그 수집 정보, 침해 지표, 공격 패턴 및 악성코드 정보 중 적어도 하나의 축적 정보를 포함할 수 있다.The threat intelligence may include at least one of log collection information about the threat, infringement indicators, attack patterns, malware information, and history information, and the history information includes log collection information about previous threats, infringement indicators, and attack patterns. and may include at least one accumulated information of malicious code information.

이와 같이 본 발명에 의한 단말기 보안 시스템 및 이를 이용한 단말기 보안 방법에 따르면, 임의의 단말기에서 생성된 위협 인텔리전스가 블록체인 시스템으로 전송되어 복수의 노드들에 블록체인 형태로 저장됨에 따라, 상기 위협 인텔리전스가 상기 블록체인 시스템 내에서 안전하게 보호될 수 있다.According to the terminal security system according to the present invention and the terminal security method using the same, the threat intelligence generated in an arbitrary terminal is transmitted to the blockchain system and stored in blockchain form in a plurality of nodes, so that the threat intelligence It can be safely protected within the blockchain system.

또한, 상기 블록체인 시스템으로의 접근 권한이 있는 단말기가 상기 블록체인 시스템에 접속하여 상기 위협 인텔리전스를 제공받음에 따라, 해당 단말기는 상기 위협 인텔리전스를 이용하여 자신에게 발생되고 있는 위협으로부터 사이버 자산을 보호할 수 있다.In addition, as a terminal with access to the blockchain system accesses the blockchain system and receives the threat intelligence, the terminal uses the threat intelligence to protect cyber assets from threats occurring to itself. can do.

도 1은 본 발명의 제1 실시예에 따른 단말기 보안 시스템 중 단말기 A에서 위협 인텔리전스를 생성하는 과정을 설명하기 위한 개념도이다.
도 2는 도 1의 단말기 보안 시스템 중 단말기 A에서 생성된 위협 인텔리전스가 블록체인 시스템에 저장되는 과정을 설명하기 위한 개념도이다.
도 3은 도 1의 단말기 보안 시스템 중 블록체인 시스템에 저장된 위협 인텔리전스가 단말기 B로 전송된 후, 단말기 B에서 보안 솔루션이 생성되는 과정을 설명하기 위한 개념도이다.
도 4는 본 발명의 제2 실시예에 따른 단말기 보안 시스템 중 단말기 A에서 위협 인텔리전스를 생성하는 과정을 설명하기 위한 개념도이다.
도 5는 도 4의 단말기 보안 시스템 중 단말기 A에서 생성된 위협 인텔리전스가 블록체인 시스템에 저장되어 보안 솔루션 서버로 전송된 후, 보안 솔루션 서버에서 보안 솔루션이 생성되는 과정을 설명하기 위한 개념도이다.
도 6은 도 4의 단말기 보안 시스템 중 보안 솔루션 서버에서 생성된 보안 솔루션이 단말기 A로 전송되는 과정을 설명하기 위한 개념도이다.Figure 1 is a conceptual diagram illustrating a process of generating threat intelligence in terminal A of the terminal security system according to the first embodiment of the present invention.
Figure 2 is a conceptual diagram to explain the process in which threat intelligence generated in terminal A of the terminal security system of Figure 1 is stored in the blockchain system.
FIG. 3 is a conceptual diagram illustrating the process in which a security solution is created in terminal B after threat intelligence stored in the blockchain system of the terminal security system of FIG. 1 is transmitted to terminal B.
Figure 4 is a conceptual diagram illustrating the process of generating threat intelligence in terminal A of the terminal security system according to the second embodiment of the present invention.
FIG. 5 is a conceptual diagram illustrating the process in which threat intelligence generated in terminal A of the terminal security system of FIG. 4 is stored in the blockchain system and transmitted to the security solution server, and then a security solution is created in the security solution server.
FIG. 6 is a conceptual diagram illustrating a process in which a security solution generated by a security solution server in the terminal security system of FIG. 4 is transmitted to terminal A.

본 발명은 다양한 변경을 가할 수 있고 여러 가지 형태를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 본문에 상세하게 설명하고자 한다.Since the present invention can be subject to various changes and have various forms, specific embodiments will be illustrated in the drawings and described in detail in the text.

그러나, 이는 본 발명을 특정한 개시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다. 제1, 제2 등의 용어는 다양한 구성 요소들을 설명하는데 사용될 수 있지만, 상기 구성 요소들은 상기 용어들에 의해 한정되어서는 안된다. 상기 용어들은 하나의 구성 요소를 다른 구성 요소로부터 구별하는 목적으로만 사용된다. 예를 들어, 본 발명의 권리 범위를 벗어나지 않으면서 제1 구성 요소는 제2 구성 요소로 명명될 수 있고, 유사하게 제2 구성 요소도 제1 구성 요소로 명명될 수 있다.However, this is not intended to limit the present invention to a specific disclosed form, and should be understood to include all changes, equivalents, and substitutes included in the spirit and technical scope of the present invention. Terms such as first, second, etc. may be used to describe various components, but the components should not be limited by the terms. The above terms are used only for the purpose of distinguishing one component from another. For example, a first component may be referred to as a second component, and similarly, the second component may also be referred to as a first component without departing from the scope of the present invention.

본 출원에서 사용한 용어는 단지 특정한 실시예들을 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 명세서에 기재된 특징, 숫자, 단계, 동작, 구성 요소, 부분품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성 요소, 부분품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.The terms used in this application are merely used to describe specific embodiments and are not intended to limit the invention. Singular expressions include plural expressions unless the context clearly dictates otherwise. In this application, terms such as “comprise” or “have” are intended to designate the presence of features, numbers, steps, operations, components, parts, or combinations thereof described in the specification, but are not intended to indicate the presence of one or more other features or It should be understood that this does not exclude in advance the possibility of the presence or addition of numbers, steps, operations, components, parts, or combinations thereof.

이하, 첨부한 도면들을 참조하여, 본 발명의 바람직한 실시예들을 보다 상세하게 설명한다.Hereinafter, preferred embodiments of the present invention will be described in more detail with reference to the attached drawings.

<실시예 1><Example 1>

도 1은 본 발명의 제1 실시예에 따른 단말기 보안 시스템 중 단말기 A에서 위협 인텔리전스를 생성하는 과정을 설명하기 위한 개념도이다.Figure 1 is a conceptual diagram illustrating a process of generating threat intelligence in terminal A of the terminal security system according to the first embodiment of the present invention.

도 1을 참조하면, 본 실시예에 의한 단말기 보안 시스템은 블록체인 시스템(100) 및 복수의 단말기들을 포함할 수 있다. 이때, 상기 단말기들에는, 적어도 하나의 단말기 A(200) 및 적어도 하나의 단말기 B(300)이 포함되어 있을 수 있다.Referring to FIG. 1, the terminal security system according to this embodiment may include a blockchain system 100 and a plurality of terminals. At this time, the terminals may include at least one terminal A (200) and at least one terminal B (300).

상기 블록체인 시스템(100)은 서로 연결된 복수의 노드들(110)을 포함할 수 있다. 상기 블록체인 시스템(100)은 상기 노드들(110) 중 어느 하나의 노드에서 생성된 블록을 다른 노드들로 전송한 후 블록체인을 형성하여 정보를 보안성이 높게 공유할 수 있는 정보 공유 시스템일 수 있다. 예를 들어, 상기 노드들(110) 중 어느 하나의 노드가 임의의 정보를 수집 또는 생성하고 검증을 통해 블록을 생성한 후 해당 블록을 자신을 포함한 상기 노드들(110)로 전파하면, 상기 노드들(110) 각각은 기 저장되어 있는 블록체인에 전송받은 블록을 연결시켜 신규 블록체인을 형성하여 저장시킬 수 있다.The blockchain system 100 may include a plurality of nodes 110 connected to each other. The blockchain system 100 is an information sharing system that transmits blocks generated in one of the nodes 110 to other nodes and then forms a blockchain to share information with high security. You can. For example, if one of the nodes 110 collects or generates random information, creates a block through verification, and then propagates the block to the nodes 110 including itself, the node Each of the blocks 110 can form and store a new blockchain by connecting the received block to a previously stored blockchain.

본 실시예에서, 상기 노드들(110) 중 적어도 일부는 상기 단말기들과 무선 또는 유선으로 직접 연결되어 지능형 분산 컴퓨팅(Distributed Intelligence Computing) 기능을 수행할 수 있다. 예를 들어, 상기 블록체인 시스템(100)은 지능형 분산 컴퓨팅을 수행할 수 있는 적어도 하나의 노드로 구성된 포그(fog) 시스템을 포함할 수 있다.In this embodiment, at least some of the nodes 110 may be directly connected to the terminals wirelessly or wired to perform a distributed intelligence computing function. For example, the blockchain system 100 may include a fog system consisting of at least one node capable of performing intelligent distributed computing.

상기 단말기들은 임의의 유선 또는 무선 네트워크를 통해 서로 신호를 주고받을 수 있고, 상기 노드들(110)과 연결되어 신호를 주고받을 수 있다. 상기 단말기들 각각은 예를 들어 노트북, 데스크탑과 같은 컴퓨터 시스템이거나, 스마트폰, 테플릿 PC와 같은 모바일 단말기일 수 있다. 이때, 상기 단말기들 각각은 자체적으로 보안을 담당할 수 있는 단말기 보안 에이전트가 자체적으로 설치되어 있을 수 있다.The terminals can send and receive signals to each other through any wired or wireless network, and can be connected to the nodes 110 to send and receive signals. Each of the terminals may be, for example, a computer system such as a laptop or desktop, or a mobile terminal such as a smartphone or tablet PC. At this time, each of the terminals may have its own terminal security agent installed, which is responsible for its own security.

이하, 위에서 설명한 상기 단말기 보안 시스템을 이용하여 상기 단말기들 각각에서의 보안을 수행하는 단말기 보안 방법에 대하여 자세하게 설명하도록 하겠다.Hereinafter, a terminal security method for performing security in each of the terminals using the terminal security system described above will be described in detail.

도 1을 다시 참조하면, 우선, 상기 단말기 A(200)가 보안 상의 위협을 이용하여 위협 인텔리전스(threat Intelligence)를 생성할 수 있다.Referring again to FIG. 1, first, the terminal A (200) can generate threat intelligence using security threats.

본 실시예에서, 상기 위협 인텔리전스는 상기 단말기 A(200) 자신 또는 상기 단말기 A(200)을 포함하는 네트워크 상의 IT나 정보자산에 위협이 될 수 있는 부분에 실행 가능한 조언을 콘텍스트나 메커니즘, 지표 등으로 제시하는 정보일 수 있다. 예를 들어, 상기 위협 인텔리전스는 상기 위협에 대한 로그 수집 정보, 침해 지표, 공격 패턴, 악성코드 정보, 히스토리 정보 중 적어도 하나를 포함할 수 있다. 이때, 상기 히스토리 정보는 이전 위협에 대한 로그 수집 정보, 침해 지표, 공격 패턴 및 악성코드 정보 중 적어도 하나의 축적 정보를 포함할 수 있다. 상기 로그 수집 정보는 네트워크 계층 로그, 엔드 포인트 계층 로그, 사용자 인증 로그, 위협 정보 로그 등을 포함할 수 있다.In this embodiment, the threat intelligence provides actionable advice on areas that may pose a threat to the terminal A (200) itself or IT or information assets on the network including the terminal A (200), such as context, mechanisms, indicators, etc. It may be information presented as . For example, the threat intelligence may include at least one of log collection information about the threat, infringement indicators, attack patterns, malware information, and history information. At this time, the history information may include at least one accumulated information among log collection information about previous threats, infringement indicators, attack patterns, and malware information. The log collection information may include network layer logs, endpoint layer logs, user authentication logs, threat information logs, etc.

도 2는 도 1의 단말기 보안 시스템 중 단말기 A에서 생성된 위협 인텔리전스가 블록체인 시스템에 저장되는 과정을 설명하기 위한 개념도이다.Figure 2 is a conceptual diagram to explain the process in which threat intelligence generated in terminal A of the terminal security system of Figure 1 is stored in the blockchain system.

도 2를 참조하면, 상기 단말기 A(200)가 상기 위협 인텔리전스를 생성한 후, 상기 단말기 A(200)가 상기 블록체인 시스템(100)에 포함된 상기 노드들(110) 중 어느 하나의 노드와 접속하여, 상기 위협 인텔리전스를 해당 노드로 전송시킬 수 있다.Referring to FIG. 2, after the terminal A (200) generates the threat intelligence, the terminal A (200) connects with any one of the nodes (110) included in the blockchain system (100). By connecting, the threat intelligence can be transmitted to the corresponding node.

이어서, 상기 위협 인텔리전스를 전송받은 상기 노드들(110) 중 어느 하나의 노드가, 상기 위협 인텔리전스를 포함하는 블록을 생성한 후 상기 노드들(110)에게 전송하여 블록체인 형태로 저장시킬 수 있다. 그 결과, 상기 위협 인텔리전스는 상기 노드들(110)에 블록체인 형태로 분산 저장되어 외부 침입으로부터 안전하게 보호될 수 있다.Subsequently, one of the nodes 110 that received the threat intelligence may generate a block containing the threat intelligence and transmit it to the nodes 110 to store it in blockchain form. As a result, the threat intelligence can be distributed and stored in the nodes 110 in blockchain form and safely protected from external intrusion.

도 3은 도 1의 단말기 보안 시스템 중 블록체인 시스템에 저장된 위협 인텔리전스가 단말기 B로 전송된 후, 단말기 B에서 보안 솔루션이 생성되는 과정을 설명하기 위한 개념도이다.FIG. 3 is a conceptual diagram illustrating the process in which a security solution is created in terminal B after threat intelligence stored in the blockchain system of the terminal security system of FIG. 1 is transmitted to terminal B.

도 3을 참조하면, 상기 노드들(110)에게 상기 위협 인텔리전스가 분산 저장된 후, 상기 단말기 B(300)가 상기 노드들(110) 중 어느 하나의 노드와 접속하여, 해당 노드로부터 상기 위협 인텔리전스를 전송받을 수 있다. 이때, 상기 단말기 B(300)는 상기 노드들(110) 중 어느 하나의 노드와 접속하여 상기 위협 인텔리전스를 전송받을 수 있는 권한을 갖고 있을 수 있다.Referring to FIG. 3, after the threat intelligence is distributed and stored in the nodes 110, the terminal B (300) connects to any one of the nodes 110 and receives the threat intelligence from that node. You can receive it. At this time, the terminal B (300) may have the authority to connect to any one of the nodes (110) and receive the threat intelligence.

이어서, 상기 단말기 B(300)가 상기 위협 인텔리전스를 이용하여 보안 솔루션을 생성할 수 있다.Subsequently, the terminal B (300) can create a security solution using the threat intelligence.

이어서, 상기 단말기 B(300)가 상기 보안 솔루션을 이용하여, 상기 단말기 B(300)에서 발생되고 있는 위협으로부터 사이버 자산을 보호할 수 있다.Subsequently, the terminal B (300) can use the security solution to protect cyber assets from threats occurring in the terminal B (300).

본 실시예에서, 상기 사이버 자산은 상기 단말기 B(300) 자신 또는 상기 단말기 B(300) 자신을 포함하는 네트워크 시스템에 저장된 정보, 운영체제, 네트워크 정보 등을 포함할 수 있다.In this embodiment, the cyber asset may include the terminal B (300) itself or information stored in a network system including the terminal B (300), an operating system, network information, etc.

본 실시예에서, 상기 보안 솔루션은, 상기 위협 인텔리전스를 분석하여, 상기 위협에 대한 사이버 자산의 취약점을 찾아내어, 상기 위협으로부터 상기 사이버 자신을 보호하는 방법을 포함할 수 있다. 더 나아가, 상기 보안 솔루션은, 상기 위협 인텔리전스를 분석하여, 앞으로 발생될 미래 위협을 우선 예측하고, 상기 위협 및 상기 미래 위협에 대한 상기 사이버 자산의 취약점을 찾아내어, 상기 위협 및 상기 미래 위협으로부터 상기 사이버 자산을 보호하는 방법을 포함할 수 있다.In this embodiment, the security solution may include a method for analyzing the threat intelligence to find vulnerabilities in cyber assets against the threat, thereby protecting the cyber self from the threat. Furthermore, the security solution analyzes the threat intelligence to first predict future threats that will occur in the future, finds vulnerabilities in the cyber assets against the threats and the future threats, and protects against the threats and the future threats. May include ways to protect cyber assets.

이와 같이 본 실시예에 따르면, 임의의 단말기에서 생성된 위협 인텔리전스가 상기 블록체인 시스템(100)으로 전송되어 상기 노드들(110)에 블록체인 형태로 저장됨에 따라, 상기 위협 인텔리전스가 상기 블록체인 시스템(100) 내에서 안전하게 보호될 수 있다.According to this embodiment, as threat intelligence generated in an arbitrary terminal is transmitted to the blockchain system 100 and stored in the nodes 110 in blockchain form, the threat intelligence is transmitted to the blockchain system 100. It can be safely protected within (100).

또한, 상기 블록체인 시스템(100)으로의 접근 권한이 있는 단말기가 상기 블록체인 시스템(100)에 접속하여 상기 위협 인텔리전스를 제공받음에 따라, 해당 단말기는 상기 위협 인텔리전스를 이용하여 자신에게 발생되고 있는 위협으로부터 사이버 자산을 보호할 수 있다.In addition, as a terminal with access rights to the blockchain system 100 accesses the blockchain system 100 and receives the threat intelligence, the terminal uses the threat intelligence to Protect your cyber assets from threats.

<실시예 2><Example 2>

도 4는 본 발명의 제2 실시예에 따른 단말기 보안 시스템 중 단말기 A에서 위협 인텔리전스를 생성하는 과정을 설명하기 위한 개념도이다.Figure 4 is a conceptual diagram illustrating the process of generating threat intelligence in terminal A of the terminal security system according to the second embodiment of the present invention.

도 4를 참조하면, 본 실시예에 의한 단말기 보안 시스템은 블록체인 시스템(100), 적어도 하나의 단말기 A(200)이 포함된 복수의 단말기들 및 보안 솔루션 서버(400)를 포함할 수 있다.Referring to FIG. 4, the terminal security system according to this embodiment may include a blockchain system 100, a plurality of terminals including at least one terminal A (200), and a security solution server 400.

상기 블록체인 시스템(100)은 서로 연결된 복수의 노드들(110)을 포함할 수 있다. 상기 블록체인 시스템(100)은 상기 노드들(110) 중 어느 하나의 노드에서 생성된 블록을 다른 노드들로 전송한 후 블록체인을 형성하여 정보를 보안성이 높게 공유할 수 있는 정보 공유 시스템일 수 있다. 예를 들어, 상기 노드들(110) 중 어느 하나의 노드가 임의의 정보를 수집 또는 생성하고 검증을 통해 블록을 생성한 후 해당 블록을 자신을 포함한 상기 노드들(110)로 전파하면, 상기 노드들(110) 각각은 기 저장되어 있는 블록체인에 전송받은 블록을 연결시켜 신규 블록체인을 형성하여 저장시킬 수 있다.The blockchain system 100 may include a plurality of nodes 110 connected to each other. The blockchain system 100 is an information sharing system that transmits blocks generated in one of the nodes 110 to other nodes and then forms a blockchain to share information with high security. You can. For example, if one of the nodes 110 collects or generates random information, creates a block through verification, and then propagates the block to the nodes 110 including itself, the node Each of the blocks 110 can form and store a new blockchain by connecting the received block to a previously stored blockchain.

본 실시예에서, 상기 노드들(110) 중 적어도 일부는 상기 단말기들과 무선 또는 유선으로 직접 연결되어 지능형 분산 컴퓨팅(Distributed Intelligence Computing) 기능을 수행할 수 있다. 예를 들어, 상기 블록체인 시스템(100)은 지능형 분산 컴퓨팅을 수행할 수 있는 적어도 하나의 노드로 구성된 포그(fog) 시스템을 포함할 수 있다.In this embodiment, at least some of the nodes 110 may be directly connected to the terminals wirelessly or wired to perform a distributed intelligence computing function. For example, the blockchain system 100 may include a fog system consisting of at least one node capable of performing intelligent distributed computing.

상기 단말기들은 임의의 유선 또는 무선 네트워크를 통해 서로 신호를 주고받을 수 있고, 상기 노드들(110)과 연결되어 신호를 주고받을 수 있다. 상기 단말기들 각각은 예를 들어 노트북, 데스크탑과 같은 컴퓨터 시스템이거나, 스마트폰, 테플릿 PC와 같은 모바일 단말기일 수 있다.The terminals can send and receive signals to each other through any wired or wireless network, and can be connected to the nodes 110 to send and receive signals. Each of the terminals may be, for example, a computer system such as a laptop or desktop, or a mobile terminal such as a smartphone or tablet PC.

상기 보안 솔루션 서버(400)는 임의의 유선 또는 무선 네트워크를 통해 상기 노드들(110)과 연결되어 신호를 주고받을 수 있고, 상기 단말기들과도 직접 연결되어 신호를 주고받을 수 있다. 상기 보안 솔루션 서버(400)는 상기 단말기들의 보안을 각각 제어할 수 있는 연합 보안 에이전트가 자체적으로 설치되어 있을 수 있다.The security solution server 400 can be connected to the nodes 110 through any wired or wireless network to exchange signals, and can also be directly connected to the terminals to exchange signals. The security solution server 400 may have its own joint security agent installed to control the security of each terminal.

이하, 위에서 설명한 상기 단말기 보안 시스템을 이용하여 상기 단말기들 각각에서의 보안을 수행하는 단말기 보안 방법에 대하여 자세하게 설명하도록 하겠다.Hereinafter, a terminal security method for performing security in each of the terminals using the terminal security system described above will be described in detail.

도 4를 다시 참조하면, 우선, 상기 단말기 A(200)가 보안 상의 위협을 이용하여 위협 인텔리전스(threat Intelligence)를 생성할 수 있다.Referring again to FIG. 4, first, the terminal A (200) can generate threat intelligence using security threats.

본 실시예에서, 상기 위협 인텔리전스는 상기 단말기 A(200) 자신 또는 상기 단말기 A(200)을 포함하는 네트워크 상의 IT나 정보자산에 위협이 될 수 있는 부분에 실행 가능한 조언을 콘텍스트나 메커니즘, 지표 등으로 제시하는 정보일 수 있다. 예를 들어, 상기 위협 인텔리전스는 상기 위협에 대한 로그 수집 정보, 침해 지표, 공격 패턴, 악성코드 정보, 히스토리 정보 중 적어도 하나를 포함할 수 있다. 이때, 상기 히스토리 정보는 이전 위협에 대한 로그 수집 정보, 침해 지표, 공격 패턴 및 악성코드 정보 중 적어도 하나의 축적 정보를 포함할 수 있다. 상기 로그 수집 정보는 네트워크 계층 로그, 엔드 포인트 계층 로그, 사용자 인증 로그, 위협 정보 로그 등을 포함할 수 있다.In this embodiment, the threat intelligence provides actionable advice on areas that may pose a threat to the terminal A (200) itself or IT or information assets on the network including the terminal A (200), such as context, mechanisms, indicators, etc. It may be information presented as . For example, the threat intelligence may include at least one of log collection information about the threat, infringement indicators, attack patterns, malware information, and history information. At this time, the history information may include at least one accumulated information among log collection information about previous threats, infringement indicators, attack patterns, and malware information. The log collection information may include network layer logs, endpoint layer logs, user authentication logs, threat information logs, etc.

도 5는 도 4의 단말기 보안 시스템 중 단말기 A에서 생성된 위협 인텔리전스가 블록체인 시스템에 저장되어 보안 솔루션 서버로 전송된 후, 보안 솔루션 서버에서 보안 솔루션이 생성되는 과정을 설명하기 위한 개념도이다.FIG. 5 is a conceptual diagram illustrating the process in which threat intelligence generated in terminal A of the terminal security system of FIG. 4 is stored in the blockchain system and transmitted to the security solution server, and then a security solution is created in the security solution server.

도 5를 참조하면, 상기 단말기 A(200)가 상기 위협 인텔리전스를 생성한 후, 상기 단말기 A(200)가 상기 블록체인 시스템(100)에 포함된 상기 노드들(110) 중 어느 하나의 노드와 접속하여, 상기 위협 인텔리전스를 해당 노드로 전송시킬 수 있다.Referring to FIG. 5, after the terminal A (200) generates the threat intelligence, the terminal A (200) connects with any one of the nodes (110) included in the blockchain system (100). By connecting, the threat intelligence can be transmitted to the corresponding node.

이어서, 상기 위협 인텔리전스를 전송받은 상기 노드들(110) 중 어느 하나의 노드가, 상기 위협 인텔리전스를 포함하는 블록을 생성한 후 상기 노드들(110)에게 전송하여 블록체인 형태로 저장시킬 수 있다. 그 결과, 상기 위협 인텔리전스는 상기 노드들(110)에 블록체인 형태로 분산 저장되어 외부 침입으로부터 안전하게 보호될 수 있다.Subsequently, one of the nodes 110 that received the threat intelligence may generate a block containing the threat intelligence and transmit it to the nodes 110 to store it in blockchain form. As a result, the threat intelligence can be distributed and stored in the nodes 110 in blockchain form and safely protected from external intrusion.

이어서, 상기 보안 솔루션 서버(400)는 상기 노드들(110) 중 어느 하나의 노드와 접속하여, 해당 노드로부터 상기 위협 인텔리전스를 전송받을 수 있다. 이때, 상기 보안 솔루션 서버(400)는 상기 노드들(110) 중 어느 하나의 노드와 접속하여 상기 위협 인텔리전스를 전송받을 수 있는 권한을 갖고 있을 수 있다.Subsequently, the security solution server 400 may connect to any one of the nodes 110 and receive the threat intelligence from the corresponding node. At this time, the security solution server 400 may have the authority to connect to any one of the nodes 110 and receive the threat intelligence.

이어서, 상기 보안 솔루션 서버(400)는 상기 위협 인텔리전스를 이용하여 보안 솔루션을 생성할 수 있다.Subsequently, the security solution server 400 may create a security solution using the threat intelligence.

도 6은 도 4의 단말기 보안 시스템 중 보안 솔루션 서버에서 생성된 보안 솔루션이 단말기 A로 전송되는 과정을 설명하기 위한 개념도이다.FIG. 6 is a conceptual diagram illustrating a process in which a security solution generated by a security solution server in the terminal security system of FIG. 4 is transmitted to terminal A.

도 6을 참조하면, 상기 보안 솔루션 서버(400)가 상기 보안 솔루션을 생성한 후, 상기 단말기 A(200)를 포함하여 적어도 하나의 단말기가 상기 보안 솔루션 서버(400)에서 생성된 상기 보안 솔루션을 외부로부터 제공받을 수 있다.Referring to FIG. 6, after the security solution server 400 creates the security solution, at least one terminal, including the terminal A (200), uses the security solution created by the security solution server 400. It can be provided from outside.

구체적으로 예를 들면, 상기 보안 솔루션 서버(400)가 상기 노드들(110) 중 어느 하나의 노드와 접속하여 상기 보안 솔루션을 해당 노드로 전송하면, 상기 보안 솔루션을 전송받은 상기 노드들(110) 중 어느 하나의 노드가 상기 보안 솔루션을 포함하는 블록을 생성한 후 상기 노드들(110)에게 전송하여 블록체인 형태로 저장시킬 수 있다. 이후, 상기 단말기 A(200)를 포함하여 적어도 하나의 단말기가, 상기 노드들(110) 중 어느 하나의 노드로부터 상기 보안 솔루션을 전송받을 수 있다. 이와 다르게, 상기 단말기 A(200)를 포함하여 적어도 하나의 단말기가, 상기 보안 솔루션 서버(400)에 직접 접속하여 상기 보안 솔루션을 전송받을 수도 있다.Specifically, for example, when the security solution server 400 connects to one of the nodes 110 and transmits the security solution to that node, the nodes 110 that received the security solution After one of the nodes generates a block containing the security solution, it can be transmitted to the nodes 110 and stored in blockchain form. Thereafter, at least one terminal, including terminal A (200), may receive the security solution from any one of the nodes (110). Alternatively, at least one terminal, including terminal A (200), may receive the security solution by directly accessing the security solution server (400).

이어서, 상기 단말기 A를 포함하여 적어도 하나의 단말기가, 상기 보안 솔루션을 이용하여, 현재 발생되고 있는 위협으로부터 사이버 자산을 보호할 수 있다.Subsequently, at least one terminal, including the terminal A, can use the security solution to protect cyber assets from threats currently occurring.

본 실시예에서, 상기 사이버 자산은 단말기 자신 또는 단말기 자신을 포함하는 네트워크 시스템에 저장된 정보, 운영체제, 네트워크 정보 등을 포함할 수 있다.In this embodiment, the cyber asset may include information stored in the terminal itself or a network system including the terminal itself, an operating system, network information, etc.

본 실시예에서, 상기 보안 솔루션은, 상기 위협 인텔리전스를 분석하여, 상기 위협에 대한 사이버 자산의 취약점을 찾아내어, 상기 위협으로부터 상기 사이버 자신을 보호하는 방법을 포함할 수 있다. 더 나아가, 상기 보안 솔루션은, 상기 위협 인텔리전스를 분석하여, 앞으로 발생될 미래 위협을 우선 예측하고, 상기 위협 및 상기 미래 위협에 대한 상기 사이버 자산의 취약점을 찾아내어, 상기 위협 및 상기 미래 위협으로부터 상기 사이버 자산을 보호하는 방법을 포함할 수 있다.In this embodiment, the security solution may include a method for analyzing the threat intelligence to find vulnerabilities in cyber assets against the threat, thereby protecting the cyber self from the threat. Furthermore, the security solution analyzes the threat intelligence to first predict future threats that will occur in the future, finds vulnerabilities in the cyber assets against the threats and the future threats, and protects against the threats and the future threats. May include ways to protect cyber assets.

이와 같이 본 실시예에 따르면, 임의의 단말기에서 생성된 위협 인텔리전스가 상기 블록체인 시스템(100)으로 전송되어 상기 노드들(110)에 블록체인 형태로 저장되면, 상기 보안 솔루션 서버(400)가 상기 블록체인 시스템(100)에 접속하여 상기 위협 인텔리전스를 제공받아 상기 보안 솔루션을 생성하게 됨에 따라, 상기 단말기들 각각은 상기 보안 솔루션을 제공받아 자신에게 발생되고 있는 위협으로부터 상기 사이버 자산을 안전하게 보호할 수 있다.According to this embodiment, when threat intelligence generated in an arbitrary terminal is transmitted to the blockchain system 100 and stored in the nodes 110 in blockchain form, the security solution server 400 As the security solution is created by accessing the blockchain system 100 and receiving the threat intelligence, each of the terminals can safely protect the cyber assets from threats occurring to itself by receiving the security solution. there is.

앞서 설명한 본 발명의 상세한 설명에서는 본 발명의 바람직한 실시예들을 참조하여 설명하였지만, 해당 기술분야의 숙련된 당업자 또는 해당 기술분야에 통상의 지식을 갖는 자라면 후술될 특허청구범위에 기재된 본 발명의 사상 및 기술 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.Although the detailed description of the present invention described above has been described with reference to preferred embodiments of the present invention, those skilled in the art or those skilled in the art will understand the spirit of the present invention as described in the patent claims to be described later. It will be understood that the present invention can be modified and changed in various ways without departing from the technical scope.

100 : 블록체인 시스템 110 : 노드
200 : 단말기 A 300 : 단말기 B
400 : 보안 솔루션 서버100: Blockchain system 110: Node
200: Terminal A 300: Terminal B
400: Security solution server

Claims (20)

복수의 노드들을 포함하는 블록체인 시스템; 및
보안 상의 위협을 이용하여 위협 인텔리전스(threat Intelligence)를 생성하고, 상기 위협 인텔리전스를 상기 노드들 중 어느 하나의 노드로 전송시키는 적어도 하나의 단말기 A를 포함하고,
상기 위협 인텔리전스를 전송받은 상기 노드들 중 어느 하나의 노드는,
상기 위협 인텔리전스를 포함하는 블록을 생성한 후 상기 노드들에게 전송하여 블록체인 형태로 저장시키는 것을 특징으로 하는 단말기 보안 시스템.A blockchain system including a plurality of nodes; and
It includes at least one terminal A that generates threat intelligence using security threats and transmits the threat intelligence to any one of the nodes,
Any one of the nodes that received the threat intelligence,
A terminal security system characterized by generating a block containing the threat intelligence and then transmitting it to the nodes and storing it in blockchain form. 제1항에 있어서,
상기 노드들 중 어느 하나의 노드로부터 상기 위협 인텔리전스를 전송받고, 상기 위협 인텔리전스를 이용하여 보안 솔루션을 생성하는 적어도 하나의 단말기 B를 더 포함하는 것을 특징으로 하는 단말기 보안 시스템.According to paragraph 1,
A terminal security system further comprising at least one terminal B that receives the threat intelligence from any one of the nodes and generates a security solution using the threat intelligence. 제2항에 있어서,
상기 단말기 B는
상기 보안 솔루션을 이용하여, 상기 단말기 B에서 발생되고 있는 위협으로부터 사이버 자산을 보호하는 것을 특징으로 하는 단말기 보안 시스템.According to paragraph 2,
The terminal B is
A terminal security system, characterized in that it protects cyber assets from threats occurring in the terminal B using the security solution. 제1항에 있어서,
상기 노드들 중 어느 하나의 노드로부터 상기 위협 인텔리전스를 전송받고, 상기 위협 인텔리전스를 이용하여 보안 솔루션을 생성하는 보안 솔루션 서버를 더 포함하는 것을 특징으로 하는 단말기 보안 시스템.According to paragraph 1,
A terminal security system further comprising a security solution server that receives the threat intelligence from any one of the nodes and generates a security solution using the threat intelligence. 제4항에 있어서,
상기 단말기 A를 포함하여 적어도 하나의 단말기가,
상기 보안 솔루션 서버에서 생성된 상기 보안 솔루션을 외부로부터 제공받는 것을 특징으로 하는 단말기 보안 시스템.According to paragraph 4,
At least one terminal, including terminal A,
A terminal security system characterized in that the security solution generated by the security solution server is provided from an external source. 제5항에 있어서,
상기 보안 솔루션 서버는,
상기 보안 솔루션을 상기 노드들 중 어느 하나의 노드로 전송하고,
상기 보안 솔루션을 전송받은 상기 노드들 중 어느 하나의 노드는,
상기 보안 솔루션을 포함하는 블록을 생성한 후 상기 노드들에게 전송하여 블록체인 형태로 저장시키며,
상기 단말기 A를 포함하여 적어도 하나의 단말기가,
상기 노드들 중 어느 하나의 노드로부터 상기 보안 솔루션을 전송받는 것을 특징으로 하는 단말기 보안 시스템.According to clause 5,
The security solution server is,
transmitting the security solution to any one of the nodes,
Any one of the nodes that received the security solution,
After creating a block containing the security solution, it is sent to the nodes and stored in blockchain form,
At least one terminal, including terminal A,
A terminal security system, characterized in that the security solution is transmitted from any one of the nodes. 제5항에 있어서,
상기 단말기 A를 포함하여 적어도 하나의 단말기가,
상기 보안 솔루션을 이용하여, 현재 발생되고 있는 위협으로부터 사이버 자산을 보호하는 것을 특징으로 하는 단말기 보안 시스템.According to clause 5,
At least one terminal, including terminal A,
A terminal security system that protects cyber assets from currently occurring threats using the security solution. 제2항 및 제4항 중 어느 한 항에 있어서,
상기 보안 솔루션은
상기 위협 인텔리전스를 분석하여, 상기 위협에 대한 사이버 자산의 취약점을 찾아내어, 상기 위협으로부터 상기 사이버 자신을 보호하는 방법을 포함하는 것을 특징으로 하는 단말기 보안 시스템.According to any one of paragraphs 2 and 4,
The security solution is
A terminal security system comprising a method of analyzing the threat intelligence, finding vulnerabilities of cyber assets against the threats, and protecting the cyber itself from the threats. 제8항에 있어서,
상기 보안 솔루션은
상기 위협 인텔리전스를 분석하여, 앞으로 발생될 미래 위협을 우선 예측하고, 상기 위협 및 상기 미래 위협에 대한 상기 사이버 자산의 취약점을 찾아내어, 상기 위협 및 상기 미래 위협으로부터 상기 사이버 자산을 보호하는 방법을 포함하는 것을 특징으로 하는 단말기 보안 시스템.According to clause 8,
The security solution is
Including a method of analyzing the threat intelligence to first predict future threats that will occur in the future, finding vulnerabilities of the cyber assets to the threats and the future threats, and protecting the cyber assets from the threats and the future threats. A terminal security system characterized in that. 제1항에 있어서,
상기 위협 인텔리전스는
상기 위협에 대한 로그 수집 정보, 침해 지표, 공격 패턴, 악성코드 정보, 히스토리 정보 중 적어도 하나를 포함하고,
상기 히스토리 정보는 이전 위협에 대한 로그 수집 정보, 침해 지표, 공격 패턴 및 악성코드 정보 중 적어도 하나의 축적 정보를 포함하는 것을 특징으로 하는 단말기 보안 시스템.According to paragraph 1,
The above threat intelligence is
Contains at least one of log collection information, infringement indicators, attack patterns, malware information, and history information about the threat,
The history information is a terminal security system characterized in that it includes at least one accumulated information among log collection information about previous threats, infringement indicators, attack patterns, and malware information. 적어도 하나의 단말기 A가, 보안 상의 위협을 이용하여 위협 인텔리전스(threat Intelligence)를 생성하는 단계;
상기 단말기 A가, 상기 위협 인텔리전스를 블록체인 시스템에 포함된 복수의 노드들 중 어느 하나의 노드로 전송시키는 단계; 및
상기 위협 인텔리전스를 전송받은 상기 노드들 중 어느 하나의 노드가, 상기 위협 인텔리전스를 포함하는 블록을 생성한 후 상기 노드들에게 전송하여 블록체인 형태로 저장시키는 단계를 포함하는 단말기 보안 방법.At least one terminal A generating threat intelligence using a security threat;
transmitting, by the terminal A, the threat intelligence to any one node among a plurality of nodes included in the blockchain system; and
A terminal security method comprising the step of having one of the nodes receiving the threat intelligence generate a block containing the threat intelligence and then transmitting the block to the nodes and storing it in blockchain form. 제11항에 있어서,
적어도 하나의 단말기 B가, 상기 노드들 중 어느 하나의 노드로부터 상기 위협 인텔리전스를 전송받는 단계; 및
상기 단말기 B가, 상기 위협 인텔리전스를 이용하여 보안 솔루션을 생성하는 단계를 더 포함하는 것을 특징으로 하는 단말기 보안 방법.According to clause 11,
At least one terminal B receiving the threat intelligence from any one of the nodes; and
A terminal security method further comprising the step of generating, by the terminal B, a security solution using the threat intelligence. 제12항에 있어서,
상기 단말기 B가, 상기 보안 솔루션을 이용하여, 상기 단말기 B에서 발생되고 있는 위협으로부터 사이버 자산을 보호하는 단계를 더 포함하는 것을 특징으로 하는 단말기 보안 방법.According to clause 12,
Terminal security method further comprising the step of protecting cyber assets from threats occurring in terminal B, by terminal B, using the security solution. 제11항에 있어서,
보안 솔루션 서버가, 상기 노드들 중 어느 하나의 노드로부터 상기 위협 인텔리전스를 전송받는 단계; 및
상기 보안 솔루션 서버가, 상기 위협 인텔리전스를 이용하여 보안 솔루션을 생성하는 단계를 더 포함하는 것을 특징으로 하는 단말기 보안 방법.According to clause 11,
A security solution server receiving the threat intelligence from any one of the nodes; and
A terminal security method further comprising the step of generating, by the security solution server, a security solution using the threat intelligence. 제14항에 있어서,
상기 단말기 A를 포함하여 적어도 하나의 단말기가, 상기 보안 솔루션 서버에서 생성된 상기 보안 솔루션을 외부로부터 제공받는 단계를 더 포함하는 것을 특징으로 하는 단말기 보안 방법.According to clause 14,
A terminal security method further comprising receiving, at least one terminal including the terminal A, the security solution generated by the security solution server from an external source. 제15항에 있어서,
상기 단말기 A를 포함하여 적어도 하나의 단말기가, 상기 보안 솔루션을 외부로부터 제공받는 단계는,
상기 보안 솔루션 서버가, 상기 보안 솔루션을 상기 노드들 중 어느 하나의 노드로 전송하는 단계;
상기 보안 솔루션을 전송받은 상기 노드들 중 어느 하나의 노드가, 상기 보안 솔루션을 포함하는 블록을 생성한 후 상기 노드들에게 전송하여 블록체인 형태로 저장시키는 단계; 및
상기 단말기 A를 포함하여 적어도 하나의 단말기가, 상기 노드들 중 어느 하나의 노드로부터 상기 보안 솔루션을 전송받는 단계를 포함하는 것을 특징으로 하는 단말기 보안 방법.According to clause 15,
The step of receiving, by at least one terminal including the terminal A, the security solution from an external source,
transmitting, by the security solution server, the security solution to any one of the nodes;
One of the nodes receiving the security solution creates a block containing the security solution and then transmits the block to the nodes and stores it in blockchain form; and
A terminal security method comprising the step of receiving, by at least one terminal including the terminal A, the security solution from any one of the nodes. 제15항에 있어서,
상기 단말기 A를 포함하여 적어도 하나의 단말기가, 상기 보안 솔루션을 이용하여, 현재 발생되고 있는 위협으로부터 사이버 자산을 보호하는 단계를 더 포함하는 것을 특징으로 하는 단말기 보안 방법.According to clause 15,
A terminal security method further comprising protecting cyber assets from currently occurring threats by using the security solution, at least one terminal including the terminal A. 제12항 및 제14항 중 어느 한 항에 있어서,
상기 보안 솔루션은
상기 위협 인텔리전스를 분석하여, 상기 위협에 대한 사이버 자산의 취약점을 찾아내어, 상기 위협으로부터 상기 사이버 자신을 보호하는 방법을 포함하는 것을 특징으로 하는 단말기 보안 방법.According to any one of claims 12 and 14,
The security solution is
A terminal security method comprising a method of analyzing the threat intelligence, finding vulnerabilities of cyber assets against the threats, and protecting the cyber itself from the threats. 제18항에 있어서,
상기 보안 솔루션은
상기 위협 인텔리전스를 분석하여, 앞으로 발생될 미래 위협을 우선 예측하고, 상기 위협 및 상기 미래 위협에 대한 상기 사이버 자산의 취약점을 찾아내어, 상기 위협 및 상기 미래 위협으로부터 상기 사이버 자산을 보호하는 방법을 포함하는 것을 특징으로 하는 단말기 보안 방법.According to clause 18,
The security solution is
Including a method of analyzing the threat intelligence to first predict future threats that will occur in the future, finding vulnerabilities of the cyber assets to the threats and the future threats, and protecting the cyber assets from the threats and the future threats. A terminal security method characterized by: 제11항에 있어서,
상기 위협 인텔리전스는
상기 위협에 대한 로그 수집 정보, 침해 지표, 공격 패턴, 악성코드 정보, 히스토리 정보 중 적어도 하나를 포함하고,
상기 히스토리 정보는 이전 위협에 대한 로그 수집 정보, 침해 지표, 공격 패턴 및 악성코드 정보 중 적어도 하나의 축적 정보를 포함하는 것을 특징으로 하는 단말기 보안 방법.According to clause 11,
The above threat intelligence is
Contains at least one of log collection information, infringement indicators, attack patterns, malware information, and history information about the threat,
The history information includes at least one accumulated information of log collection information about previous threats, infringement indicators, attack patterns, and malware information.
KR1020220049230A 2022-04-21 2022-04-21 Terminal security system and terminal security method using the system KR20230149925A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020220049230A KR20230149925A (en) 2022-04-21 2022-04-21 Terminal security system and terminal security method using the system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020220049230A KR20230149925A (en) 2022-04-21 2022-04-21 Terminal security system and terminal security method using the system

Publications (1)

Publication Number Publication Date
KR20230149925A true KR20230149925A (en) 2023-10-30

Family

ID=88558053

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020220049230A KR20230149925A (en) 2022-04-21 2022-04-21 Terminal security system and terminal security method using the system

Country Status (1)

Country Link
KR (1) KR20230149925A (en)

Similar Documents

Publication Publication Date Title
Banerjee et al. A blockchain future for internet of things security: a position paper
US9516062B2 (en) System and method for determining and using local reputations of users and hosts to protect information in a network environment
US11206281B2 (en) Validating the use of user credentials in a penetration testing campaign
CN111274583A (en) Big data computer network safety protection device and control method thereof
Kott Towards fundamental science of cyber security
CN113660224B (en) Situation awareness defense method, device and system based on network vulnerability scanning
US20170155683A1 (en) Remedial action for release of threat data
US10339307B2 (en) Intrusion detection system in a device comprising a first operating system and a second operating system
Ziegler et al. Privacy and security threats on the Internet of Things
CN113411297A (en) Situation awareness defense method and system based on attribute access control
CN113411295A (en) Role-based access control situation awareness defense method and system
Rajput et al. A survey on different network intrusion detection systems and countermeasure
CN113660222A (en) Situation awareness defense method and system based on mandatory access control
Arul et al. Supervised deep learning vector quantization to detect MemCached DDOS malware attack on cloud
Huang et al. Farsighted risk mitigation of lateral movement using dynamic cognitive honeypots
Qurashi Securing Hypervisors in Cloud Computing Environments against Malware Injection
El-Taj et al. Intrusion detection and prevention response based on signature-based and anomaly-based: Investigation study
KR20230149925A (en) Terminal security system and terminal security method using the system
US11184369B2 (en) Malicious relay and jump-system detection using behavioral indicators of actors
KR20190020523A (en) Apparatus and method for detecting attack by using log analysis
Ogwara et al. Enhancing Data Security in the User Layer of Mobile Cloud Computing Environment: A Novel Approach
Kott Science of cyber security as a system of models and problems
Kolokotronis et al. Cyber-trust: The shield for IoT cyber-attacks
KR20100067383A (en) Server security system and server security method
Rajaallah et al. Intrusion Detection Systems: To an Optimal Hybrid Intrusion Detection System

Legal Events

Date Code Title Description
E902 Notification of reason for refusal