KR20240000427A - 보안 위험도 예측 모델을 이용한 오탐 방지 장치, 방법 및 프로그램 - Google Patents
보안 위험도 예측 모델을 이용한 오탐 방지 장치, 방법 및 프로그램 Download PDFInfo
- Publication number
- KR20240000427A KR20240000427A KR1020230185609A KR20230185609A KR20240000427A KR 20240000427 A KR20240000427 A KR 20240000427A KR 1020230185609 A KR1020230185609 A KR 1020230185609A KR 20230185609 A KR20230185609 A KR 20230185609A KR 20240000427 A KR20240000427 A KR 20240000427A
- Authority
- KR
- South Korea
- Prior art keywords
- false positive
- rule
- security
- log data
- prediction model
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims description 22
- 238000013058 risk prediction model Methods 0.000 title claims description 11
- 230000002265 prevention Effects 0.000 claims abstract description 29
- 238000012544 monitoring process Methods 0.000 claims description 15
- 238000004364 calculation method Methods 0.000 claims description 3
- 238000013473 artificial intelligence Methods 0.000 abstract description 38
- 238000001914 filtration Methods 0.000 abstract description 18
- 238000010586 diagram Methods 0.000 description 12
- 238000001514 detection method Methods 0.000 description 11
- 238000004891 communication Methods 0.000 description 8
- 230000006870 function Effects 0.000 description 5
- 230000000694 effects Effects 0.000 description 4
- 238000004422 calculation algorithm Methods 0.000 description 3
- 238000004590 computer program Methods 0.000 description 2
- 238000013500 data storage Methods 0.000 description 1
- 238000013135 deep learning Methods 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000001151 other effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/02—Capturing of monitoring data
- H04L43/028—Capturing of monitoring data by filtering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/04—Processing captured monitoring data, e.g. for logfile generation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Data Mining & Analysis (AREA)
- Evolutionary Computation (AREA)
- Medical Informatics (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Mathematical Physics (AREA)
- Artificial Intelligence (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Storage Device Security (AREA)
- Telephone Function (AREA)
Abstract
본 개시는 룰 필터링을 이용한 인공지능 기반의 오탐 방지 장치에 관한 것으로, 감시 대상 자산에 대한 인공지능 기반의 예측 데이터가 생성되면, 룰 필터를 적용하여 위협 여부를 예측하고, 예측 결과의 오탐 여부를 판별할 수 있다.
Description
본 개시는 보안 위험도 예측 모델을 이용한 오탐 방지 장치에 관한 것이다.
인터넷과 시스템의 발전으로 보안 관제 분야에도 많은 변화가 진행되고 있다.
이러한 변화를 바탕으로 보안 관제에 필요한 데이터가 기하 급수적으로 발생하게 되고, 이로 인해 보안관제 요원들이 확인해야 할 데이터들이 방대하게 발생하고 사람이 모든 상황을 관제할 수 없는 상황에 이르렀다.
이러한 문제점을 해결할 수 있는 방법 중 하나로 AI의 필요성이 대두되고 있으며, 실제로 보안관제 분야에 AI를 도입하는 시도가 이뤄지고 있다.
하지만, AI를 사용한 보안관제에서 방대한 데이터와 잘못된 학습데이터 등에 따른 부작용으로 AI의 예측 데이터가 오탐인 경우가 발생하게 되고, 이로 인해 보안 관제 요원들의 시간 소모가 많아지는 문제점이 발생하게 되었다.
본 개시에 개시된 실시예는 룰 필터링을 이용한 인공지능 기반의 오탐 방지 장치를 제공하는데 그 목적이 있다.
또한, 본 개시에 개시된 실시예는 인공지능 기반의 오탐 예측에서 발생하는 오탐 발생 문제를 해결하고자 한다.
본 개시가 해결하고자 하는 과제들은 이상에서 언급된 과제로 제한되지 않으며, 언급되지 않은 또 다른 과제들은 아래의 기재로부터 통상의 기술자에게 명확하게 이해될 수 있을 것이다.
상술한 과제를 해결하기 위한 본 개시의 일 실시예에 따른 룰 필터링을 이용한 인공지능 기반의 오탐 방지 장치는, 보안 위험도에 따라 로그 데이터의 보안 등급을 분류하는 분류부; 기 설정된 적어도 하나의 보안 등급으로 분류된 로그 데이터를 분석하여 감시 대상 장비에 대한 보안 위협 여부를 예측하는 예측 모델; 상기 예측 모델을 통해 보안 위험상태로 예측된 제1 로그 데이터의 오탐 여부를 판별하기 위한 적어도 하나의 룰을 포함하는 룰 테이블이 저장된 메모리; 및 상기 적어도 하나의 룰을 기반으로, 상기 예측 결과의 오탐 여부를 판별하는 프로세서를 포함한다.
또한, 상기 프로세서는, 상기 판별 결과를 기반으로, 상기 예측 모델을 통해 보안 위험상태로 예측된 로그 데이터 중에서 상기 오탐으로 판별된 로그 데이터를 제외한 제2 로그 데이터를 보안 관제 요원에게 제공할 수 있다.
또한, 상기 프로세서는, 기 설정된 특정 시간 동안 상기 예측 모델을 통해 보안 위험상태로 예측된 상기 제1 로그 데이터의 양을 산출하고, 상기 특정 시간 동안 상기 보안 관제 요원에게 제공된 상기 제2 로그 데이터의 양을 산출하고, 상기 산출된 제1 로그 데이터 및 제2 로그 데이터의 양을 기반으로 상기 룰 테이블의 효율도를 산출할 수 있다.
또한, 상기 특정 시간 동안 상기 보안 관제 요원에게 제공된 상기 제2 로그 데이터 중에서 상기 보안 관제 요원으로부터 보안 위험상태로 선택된 로그 데이터의 양을 기반으로, 상기 룰 테이블의 실질 효율도를 산출할 수 있다.
또한, 상기 프로세서는, 상기 산출된 효율도 및 상기 산출된 실질 효율도 중 적어도 하나가 기 설정된 수치 이하인 경우, 상기 보안 관제 요원에게 상기 룰 테이블의 점검을 요청할 수 있다.
또한, 상기 프로세서는, 적어도 하나의 신규 룰이 수신되는 경우, 상기 룰 테이블에 포함된 적어도 하나의 룰과 상기 수신된 적어도 하나의 신규 룰을 룰 카테고리를 기반으로 비교하여 각 룰 카테고리의 룰 패턴 변경점 및 신규 룰 패턴 중 적어도 하나를 도출하고, 상기 도출된 룰 패턴 변경점 및 신규 룰 패턴을 기반으로 상기 예측 모델에 입력하기 위한 학습데이터를 생성할 수 있다.
또한, 상기 감시 대상 장비의 보안 관련 로그 데이터를 실시간 분석하여 보안 위험도를 산출하는 위협 점수 산출부를 더 포함하고, 상기 분류부는 상기 산출된 보안 위험도에 따라 상기 로그 데이터의 보안 등급을 분류할 수 있다.
또한, 상기 메모리는 상기 감시 대상 장비의 장비 종류에 따라 설정된 적어도 하나의 감시 요소에 대한 정보가 저장되어 있으며, 상기 예측 모델은 상기 분류된 로그 데이터를 분석하여 상기 감시 대상 장비에 대하여 설정된 적어도 하나의 감시 요소에 대한 위협 가능성이 존재하는 위험 인자 존재 여부를 판단함으로써, 상기 감시 대상 장비에 대한 보안 위협 여부를 예측할 수 있다.
또한, 상술한 과제를 해결하기 위한 본 개시의 일 실시예에 따른 룰 필터링을 이용한 인공지능 기반의 오탐 방지 방법은, 오탐 방지 장치에 의해 수행되는 방법으로, 보안 위험도에 따라 감시 대상 장비에 대한 로그 데이터의 보안 등급을 분류하는 단계; 상기 분류된 로그 데이터를 분석하여 상기 감시 대상 장비에 대한 보안 위협 여부를 판단하는 단계; 및 예측 모델을 통해 보안 위험상태로 예측된 제1 로그 데이터의 오탐 여부를 판별하기 위한 적어도 하나의 룰을 기반으로, 상기 예측 결과의 오탐 여부를 판별하는 단계를 포함한다.
이 외에도, 본 개시를 구현하기 위한 실행하기 위한 컴퓨터 판독 가능한 기록 매체에 저장된 컴퓨터 프로그램이 더 제공될 수 있다.
이 외에도, 본 개시를 구현하기 위한 방법을 실행하기 위한 컴퓨터 프로그램을 기록하는 컴퓨터 판독 가능한 기록 매체가 더 제공될 수 있다.
본 개시의 전술한 과제 해결 수단에 의하면, 룰 필터링을 이용하여 인공지능 기반으로 오탐을 방지할 수 있는 효과를 제공한다.
또한, 본 개시의 전술한 과제 해결 수단에 의하면, 감시 대상 자산에 대한 인공지능 기반의 예측 데이터가 생성되면, 룰 필터를 적용하여 위협 여부를 예측하고, 예측 결과의 오탐 여부를 판별할 수 있다.
본 개시의 효과들은 이상에서 언급된 효과로 제한되지 않으며, 언급되지 않은 또 다른 효과들은 아래의 기재로부터 통상의 기술자에게 명확하게 이해될 수 있을 것이다.
도 1은 종래에 보안관제 요원과 인공지능 모델이 보안 관제를 실시하던 것을 예시한 도면이다.
도 2는 본 개시의 실시예에 따른 룰 필터링을 이용한 인공지능 기반의 오탐 방지 장치의 개략도이다.
도 3은 본 개시의 실시예에 따른 룰 필터링을 이용한 인공지능 기반의 오탐 방지 시스템의 블록도이다.
도 4는 본 개시의 실시예에 따른 룰 필터링을 이용한 인공지능 기반의 오탐 방지 방법의 흐름도이다.
도 5는 개시의 실시예에 따른 룰 필터링을 이용한 인공지능 기반의 오탐 방지 장치의 작동을 예시한 도면이다.
도 6은 메모리에 장비 종류별로 설정된 룰이 저장된 것을 예시한 도면이다.
도 7은 감시 대상 장비에서 발생되는 로그 데이터에 대한 인공지능 모델의 단계별 동작을 예시한 도면이다.
도 2는 본 개시의 실시예에 따른 룰 필터링을 이용한 인공지능 기반의 오탐 방지 장치의 개략도이다.
도 3은 본 개시의 실시예에 따른 룰 필터링을 이용한 인공지능 기반의 오탐 방지 시스템의 블록도이다.
도 4는 본 개시의 실시예에 따른 룰 필터링을 이용한 인공지능 기반의 오탐 방지 방법의 흐름도이다.
도 5는 개시의 실시예에 따른 룰 필터링을 이용한 인공지능 기반의 오탐 방지 장치의 작동을 예시한 도면이다.
도 6은 메모리에 장비 종류별로 설정된 룰이 저장된 것을 예시한 도면이다.
도 7은 감시 대상 장비에서 발생되는 로그 데이터에 대한 인공지능 모델의 단계별 동작을 예시한 도면이다.
본 개시의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나, 본 개시는 이하에서 개시되는 실시예들에 제한되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시예들은 본 개시의 개시가 완전하도록 하고, 본 개시가 속하는 기술 분야의 통상의 기술자에게 본 개시의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 개시는 청구항의 범주에 의해 정의될 뿐이다.
본 명세서에서 사용된 용어는 실시예들을 설명하기 위한 것이며 본 개시를 제한하고자 하는 것은 아니다. 본 명세서에서, 단수형은 문구에서 특별히 언급하지 않는 한 복수형도 포함한다. 명세서에서 사용되는 "포함한다(comprises)" 및/또는 "포함하는(comprising)"은 언급된 구성요소 외에 하나 이상의 다른 구성요소의 존재 또는 추가를 배제하지 않는다. 명세서 전체에 걸쳐 동일한 도면 부호는 동일한 구성 요소를 지칭하며, "및/또는"은 언급된 구성요소들의 각각 및 하나 이상의 모든 조합을 포함한다. 비록 "제1", "제2" 등이 다양한 구성요소들을 서술하기 위해서 사용되나, 이들 구성요소들은 이들 용어에 의해 제한되지 않음은 물론이다. 이들 용어들은 단지 하나의 구성요소를 다른 구성요소와 구별하기 위하여 사용하는 것이다. 따라서, 이하에서 언급되는 제1 구성요소는 본 개시의 기술적 사상 내에서 제2 구성요소일 수도 있음은 물론이다.
다른 정의가 없다면, 본 명세서에서 사용되는 모든 용어(기술 및 과학적 용어를 포함)는 본 개시가 속하는 기술분야의 통상의 기술자에게 공통적으로 이해될 수 있는 의미로 사용될 수 있을 것이다. 또한, 일반적으로 사용되는 사전에 정의되어 있는 용어들은 명백하게 특별히 정의되어 있지 않는 한 이상적으로 또는 과도하게 해석되지 않는다.
도 1은 종래에 보안관제 요원과 인공지능 모델이 보안 관제를 실시하던 것을 예시한 도면이다.
도 1의 (A)를 참조하면, 종래 보안관제 분야에 인공지능 모델이 적용되기 전에 보안관제 요원이 감시 대상 장비의 로그 데이터를 직접 감시하여 보안관제를 수행하였으나, 데이터의 양이 점점 방대해지면서 사람이 직접 모든 보안관제를 수행하는 것에 어려움이 발생하고 있다.
도 1의 (B)를 참조하면, 인공지능 모델을 적용하여 감시 대상 장비의 로그 데이터를 감시하고 보안관제를 수행하고 있다.
하지만, 보안 위협 여부를 판단하는 것은 단순하게 결정할 수 있는 것이 아니며, 인공지능 모델은 로그 데이터를 분석하여 보안 위협 여부를 판단할 때 케이스마다 별도로 정해진 룰이 없기 때문에 오탐이 자주 발생하고, 결국 보안관제 요원이 이중으로 체크해야 한다는 문제점이 있다.
본 개시의 발명자는 본 개시의 실시예에 따른 룰 필터링을 이용한 인공지능 기반의 오탐 방지 장치, 방법을 통해서 전술한 종래 기술의 문제점들을 해결하고자 한다.
도 2는 본 개시의 실시예에 따른 룰 필터링을 이용한 인공지능 기반의 오탐 방지 장치(100)의 개략도이다.
도 2를 참조하면, 본 개시의 실시예에 따른 룰 필터링을 이용한 인공지능 기반의 오탐 방지 장치(100)는 AI의 보안 감시, 보안 관제에 룰 필터(Rule Filter)를 적용하여 기존에 비하여 오탐 발생 확률을 현저하게 감소시키는 것이 예시되어 있다.
이하, 첨부된 도면을 참조하여 본 개시의 실시예를 상세하게 설명한다.
도 3은 본 개시의 실시예에 따른 룰 필터링을 이용한 인공지능 기반의 오탐 방지 시스템(10)의 블록도이다.
도 4는 본 개시의 실시예에 따른 룰 필터링을 이용한 인공지능 기반의 오탐 방지 방법의 흐름도이다.
도 3을 참조하면, 본 개시의 실시예에 따른 오탐 방지 장치(100)는 프로세서(110), 통신부(120), 분류부(130), 예측 모델(140), 메모리(150), 인공지능 모델(160) 및 통계 모듈(170)을 포함한다.
다만, 몇몇 실시예에서 오탐 방지 장치(100)는 도 3에 도시된 구성요소보다 더 적은 수의 구성요소나 더 많은 구성요소를 포함할 수도 있다.
통신부(120)는 오탐 방지 장치(100)의 감시 대상으로 설정된 감시 대상 장비의 로그 데이터를 실시간으로 수신하거나 실시간으로 로딩할 수 있다.
분류부(130)는 보안 위험도에 따라 로그 데이터의 보안 등급을 분류할 수 있다.
예측 모델(140)은 기 설정된 적어도 하나의 보안 등급으로 분류된 로그 데이터를 분석하여 감시 대상 장비에 대한 보안 위협 여부를 예측한다.
이때, 예측 모델(140)은 딥러닝, 머신러닝 등을 통해 학습된 인공지능 모델(160)이 적용될 수 있다.
메모리(150)는 적어도 하나의 룰을 포함하는 룰 테이블이 저장되어 있다.
본 개시의 실시예에 따른 오탐 방지 장치(100)는 인공지능 기반의 예측 모델(140)을 이용하여 로그 데이터를 분석하여 감시 대상 장비의 보안 위협 여부를 판단한다.
이러한 인공지능 기반의 예측 모델(140)은 사람(보안 관제 요원)이 직접하는 것보다 빠르게 판단할 수 있지만, 오탐 발생 확률이 급격하게 증가한다는 문제점이 있다.
본 개시의 실시예에서 룰(Rule)은 인공지능 기반의 예측 모델(140)이 감시 대상 장비에 대하여 보안 위험상태로 예측한 로그 데이터의 오탐 여부를 판별하기 위한 것이다.
따라서, 개시된 실시예에서 프로세서(110)는 인공지능 모델(160)을 이용하여 룰 필터링(Rule Filtering) 작업을 진행함으로써 오탐을 필터링하여 보안 관제 요원에게 보안 위협에 관한 정보를 제공하게 된다.
메모리(150)는 본 개시의 실시예에 따른 오탐 방지 방법을 실행하기 위한 각종 명령어, 알고리즘 등이 저장되어 있으며, 인공지능 모델(160)이 저장될 수도 있다.
또한, 메모리(150)는 인공지능 모델(160)을 학습, 업그레이드하기 위한 각종 학습데이터가 저장될 수도 있다.
통계 모듈(170)은 오탐 방지 장치(100)의 룰 필터링 효율, 성능 등을 산출하여 통계 정보를 생성할 수 있다.
프로세서(110)는 오탐 방지 장치(100) 내 구성들의 제어를 담당하며, 메모리(150)에 저장되어 있는 명령어, 알고리즘을 실행하여 오탐 방지 방법, 프로그램을 실행할 수 있다.
도 4는 본 개시의 실시예에 따른 룰 필터링을 이용한 인공지능 기반의 오탐 방지 방법의 흐름도이다.
도 5는 개시의 실시예에 따른 룰 필터링을 이용한 인공지능 기반의 오탐 방지 장치(100)의 작동을 예시한 도면이다.
도 6은 메모리(150)에 장비 종류별로 설정된 룰이 저장된 것을 예시한 도면이다.
도 7은 감시 대상 장비에서 발생되는 로그 데이터에 대한 인공지능 모델(160)의 단계별 동작을 예시한 도면이다.
아래에서 도 4의 흐름도와 다른 도면들을 함께 참조하여 본 개시의 실시예에 따른 오탐 방지 장치(100), 방법에 대해서 설명하도록 한다.
프로세서(110)가 분류부(130)를 제어하여 보안 위험도에 따라 감시 대상 장비에 대한 로그 데이터의 보안 등급을 분류한다. (S100)
본 개시의 실시예에 따른 오탐 방지 장치(100)는 감시 대상 장비의 보안 관련 로그 데이터를 실시간 분석하여 보안 위험도를 산출하는 위협 점수 산출부를 더 포함할 수 있다.
일 실시예로, 메모리(150)는 감시 대상 장비의 장비 종류에 따라 설정된 적어도 하나의 감시 요소에 대한 정보가 저장되어 있다.
이러한 감시 요소 정보는 감시 대상 장비가 감시하는 타겟, 목적, 주의점 등을 의미하며, 감시 대상 장비의 보안 등급, 보안 중요도, 보안 위험도 중 적어도 하나를 결정하는 요소로 작용할 수 있다.
도 6을 참조하면, 메모리(150)에 장비 종류별로 분류된 룰셋(Rule Set)이 저장된 것이 예시되다.
이는, 오탐 방지 장치(100)가 관리하는 감시 대상 장비의 종류에 따라 분류된 것을 예시한 것이다.
하지만, 룰셋의 분류는 이에 한정되지 않으며, 감시 대상 장비의 종류, 보안 등급 및 감시 요소 정보 중 적어도 하나를 기반으로 분류되어 보다 상세하게 오탐 여부를 판별할 수도 있다.
프로세서(110)가 S100에서 분류된 로그 데이터를 분석하여, 감시 대상 장비에 대한 보안 위협 여부를 판단한다. (S200)
프로세서(110)가 예측 모델(140)을 통해 보안 위험상태로 예측된 제1 로그 데이터의 오탐 여부를 판별하기 위한 적어도 하나의 룰을 기반으로, S200의 예측 결과의 오탐 여부를 판별한다. (S300)
상세하게는, 프로세서(110)는 인공지능 기반의 예측 모델(140)을 이용하여 S100에서 분류된 로그 데이터를 분석하여 감시 대상 장비에 대한 보안 위협이 있는지 여부를 예측한다.
일 실시예로, 예측 모델(140)은 S100에서 분류된 로그 데이터를 분석하는 과정에서
S300에서 프로세서(110)는 인공지능 모델(160)을 이용하여 적어도 하나의 룰을 기반으로 S200 예측 결과의 오탐 여부를 판별하며, 이때 예측 결과에 해당하는 감시 대상 장비의 보안 등급도 고려하여 오탐 여부를 판별할 수 있다.
일 실시예로, 메모리(150)에는 기 설정된 시간 이상 (장시간) 누적된 감시 대상 장비 종류별 평균 오탐 발생률이 저장되어 있으며, 몇몇 실시예에서 시간대별 평균 오탐 발생률이 저장되어 있을 수도 있다.
프로세서(110)는 인공지능 모델(160)을 이용하여 적어도 하나의 룰을 기반으로 S200 예측 결과의 오탐 여부를 판별할 때, 예측 결과에 해당하는 감시 대상 장비의 평균 오탐 발생률을 참고하여 오탐 여부를 판별할 수 있다.
몇몇 실시예에서, 프로세서(110)는 현재 시간을 더 고려하여 오탐 여부를 판별할 수 있다.
프로세서(110)는 S300의 판별 결과를 기반으로, 예측 모델(140)을 통해 보안 위험 상태로 예측된 로그 데이터 중에서 오탐으로 판별된 로그 데이터를 제외한 제2 로그 데이터를 보안 관제 요원에게 제공한다.
이때, 프로세서(110)는 오탐 방지 장치(100)의 출력수단(예: 영상, 음성 등)을 통해서 제2 로그 데이터를 출력할 수도 있고, 통신부(120)를 통해 보안 관제 요원의 단말로 전송하여 제공할 수도 있다.
프로세서(110)는 기 설정된 특정 시간 동안 예측 모델(140)을 통해 보안 위험상태로 예측된 제1 로그 데이터의 양을 산출한다.
프로세서(110)는 기 설정된 특정 시간 동안 보안 관제 요원에게 제공된 제2 로그 데이터의 양을 산출한다.
그리고, 프로세서(110)는 산출된 제1 로그 데이터 및 산출된 제2 로그 데이터의 양을 기반으로 룰 테이블의 효율도를 산출할 수 있다.
일 실시예로, 프로세서(110)는 제2 로그 데이터를 보안 관제 요원에게 제공한 후, 보안 관제 요원으로부터 제2 로그 데이터가 감시 대상 장비의 위험상태가 맞는지 여부를 판단 요청하고, 보안 관제 요원의 판단 결과를 수신할 수 있다.
일 실시예로, 프로세서(110)는 특정 시간 동안 보안 관제 요원에게 제공된 제2 로그 데이터 중에서 보안 관제 요원으로부터 보안 위험상태로 선택된 로그 데이터의 양을 기반으로 룰 테이블의 실질 효율도를 산출할 수 있다.
전술한 룰 테이블의 효율도는 프로세서(110)가 산출하는 수치상의 효율도였다면, 룰 테이블의 실질 효율도는 보안 관제 요원으로부터 수신된 피드백 정보를 함께 이용하여 판단된 실질적인 효율도를 의미할 수 있다.
일 실시예로, 프로세서(110)는 산출된 효율도 미 산출된 실질 효율도 중 적어도 하나가 기 설정된 수치 이하인 경우, 보안 관제 요원에게 룰 테이블의 점검을 요청할 수 있다.
일 실시예로, 프로세서(110)는 적어도 하나의 신규 룰이 수신되는 경우, 룰 테이블에 포함된 적어도 하나의 룰과 수신된 적어도 하나의 신규 룰을 룰 카테고리(종류)를 기반으로 비교하여 각 룰 카테고리의 룰 패턴 변경점 및 신규 룰 패턴 중 적어도 하나를 도출할 수 있다.
그리고, 프로세서(110)는 도출된 룰 패턴 변경점 및 신규 룰 패턴을 기반으로 예측 모델(140)에 입력하기 위한 학습 데이터를 생성할 수 있다.
일 실시예로, 프로세서(110)는 감시 대상 장비의 추가, 변경 및 업데이트 중 적어도 하나가 감지되는 경우, 감지 결과를 기반으로 룰 테이블 내 적어도 하나의 룰 중에서 확인이 필요한 룰의 존재 여부를 체크할 수 있다.
이상에서 전술한 본 개시의 일 실시예에 따른 방법은, 하드웨어인 서버와 결합되어 실행되기 위해 프로그램(또는 어플리케이션)으로 구현되어 매체에 저장될 수 있다.
상기 전술한 프로그램은, 상기 컴퓨터가 프로그램을 읽어 들여 프로그램으로 구현된 상기 방법들을 실행시키기 위하여, 상기 컴퓨터의 프로세서(CPU)가 상기 컴퓨터의 장치 인터페이스를 통해 읽힐 수 있는 C, C++, JAVA, 기계어 등의 컴퓨터 언어로 코드화된 코드(Code)를 포함할 수 있다. 이러한 코드는 상기 방법들을 실행하는 필요한 기능들을 정의한 함수 등과 관련된 기능적인 코드(Functional Code)를 포함할 수 있고, 상기 기능들을 상기 컴퓨터의 프로세서가 소정의 절차대로 실행시키는데 필요한 실행 절차 관련 제어 코드를 포함할 수 있다. 또한, 이러한 코드는 상기 기능들을 상기 컴퓨터의 프로세서가 실행시키는데 필요한 추가 정보나 미디어가 상기 컴퓨터의 내부 또는 외부 메모리의 어느 위치(주소 번지)에서 참조되어야 하는지에 대한 메모리 참조관련 코드를 더 포함할 수 있다. 또한, 상기 컴퓨터의 프로세서가 상기 기능들을 실행시키기 위하여 원격(Remote)에 있는 어떠한 다른 컴퓨터나 서버 등과 통신이 필요한 경우, 코드는 상기 컴퓨터의 통신 모듈을 이용하여 원격에 있는 어떠한 다른 컴퓨터나 서버 등과 어떻게 통신해야 하는지, 통신 시 어떠한 정보나 미디어를 송수신해야 하는지 등에 대한 통신 관련 코드를 더 포함할 수 있다.
상기 저장되는 매체는, 레지스터, 캐쉬, 메모리 등과 같이 짧은 순간 동안 데이터를 저장하는 매체가 아니라 반영구적으로 데이터를 저장하며, 기기에 의해 판독(reading)이 가능한 매체를 의미한다. 구체적으로는, 상기 저장되는 매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 플로피디스크, 광 데이터 저장장치 등이 있지만, 이에 제한되지 않는다. 즉, 상기 프로그램은 상기 컴퓨터가 접속할 수 있는 다양한 서버 상의 다양한 기록매체 또는 사용자의 상기 컴퓨터상의 다양한 기록매체에 저장될 수 있다. 또한, 상기 매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어, 분산방식으로 컴퓨터가 읽을 수 있는 코드가 저장될 수 있다.
본 개시의 실시예와 관련하여 설명된 방법 또는 알고리즘의 단계들은 하드웨어로 직접 구현되거나, 하드웨어에 의해 실행되는 소프트웨어 모듈로 구현되거나, 또는 이들의 결합에 의해 구현될 수 있다. 소프트웨어 모듈은 RAM(Random Access Memory), ROM(Read Only Memory), EPROM(Erasable Programmable ROM), EEPROM(Electrically Erasable Programmable ROM), 플래시 메모리(Flash Memory), 하드 디스크, 착탈형 디스크, CD-ROM, 또는 본 개시가 속하는 기술 분야에서 잘 알려진 임의의 형태의 컴퓨터 판독가능 기록매체에 상주할 수도 있다.
이상, 첨부된 도면을 참조로 하여 본 개시의 실시예를 설명하였지만, 본 개시가 속하는 기술분야의 통상의 기술자는 본 개시가 그 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 실시될 수 있다는 것을 이해할 수 있을 것이다. 그러므로, 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며, 제한적이 아닌 것으로 이해해야만 한다.
10: 오탐 방지 시스템
100: 오탐 방지 장치
110: 프로세서
120: 통신부
130: 분류부
140: 예측 모델
150: 메모리
160: 인공지능 모델
170: 통계 모듈
100: 오탐 방지 장치
110: 프로세서
120: 통신부
130: 분류부
140: 예측 모델
150: 메모리
160: 인공지능 모델
170: 통계 모듈
Claims (10)
- 보안 위험도에 따라 로그 데이터의 보안 등급을 분류하는 분류부;
기 설정된 적어도 하나의 보안 등급으로 분류된 로그 데이터를 분석하여 감시 대상 장비에 대한 보안 위협 여부를 예측하는 예측 모델;
상기 예측 모델을 통해 보안 위험상태로 예측된 제1 로그 데이터의 오탐 여부를 판별하기 위한 적어도 하나의 룰을 포함하는 룰 테이블이 저장된 메모리; 및
상기 적어도 하나의 룰을 기반으로, 상기 예측 결과의 오탐 여부를 판별하는 프로세서를 포함하는,
보안 위험도 예측 모델을 이용한 오탐 방지 장치.
- 제1항에 있어서,
상기 프로세서는,
적어도 하나의 신규 룰이 수신되는 경우,
상기 룰 테이블에 포함된 적어도 하나의 룰과 상기 수신된 적어도 하나의 신규 룰을 룰 카테고리를 기반으로 비교하고,
상기 비교한 결과를 기반으로 각 룰 카테고리의 룰 패턴 변경점 및 신규 룰 패턴 중 적어도 하나를 도출하는 것을 특징으로 하는,
보안 위험도 예측 모델을 이용한 오탐 방지 장치.
- 제2항에 있어서,
상기 프로세서는,
상기 도출된 룰 패턴 변경점 및 신규 룰 패턴을 기반으로 상기 예측 모델에 입력하기 위한 학습데이터를 생성하는 것을 특징으로 하는,
보안 위험도 예측 모델을 이용한 오탐 방지 장치.
- 제1항에 있어서,
상기 프로세서는,
상기 판별 결과를 기반으로, 상기 예측 모델을 통해 보안 위험상태로 예측된 로그 데이터 중에서 상기 오탐으로 판별된 로그 데이터를 제외한 제2 로그 데이터를 보안 관제 요원에게 제공하고,
기 설정된 시간 동안 제공된 상기 제2 로그 데이터 중에서 상기 보안 관제 요원으로부터 보안 위험상태로 선택된 로그 데이터의 양을 기반으로, 상기 룰 테이블의 실질 효율도를 산출하는 것을 특징으로 하는,
보안 위험도 예측 모델을 이용한 오탐 방지 장치.
- 제4항에 있어서,
상기 프로세서는,
상기 산출된 효율도 및 상기 산출된 실질 효율도 중 적어도 하나가 기 설정된 수치 이하인 경우, 상기 보안 관제 요원에게 상기 룰 테이블의 점검을 요청하는 것을 특징으로 하는,
보안 위험도 예측 모델을 이용한 오탐 방지 장치.
- 제1항에 있어서,
상기 감시 대상 장비의 보안 관련 로그 데이터를 실시간 분석하여 보안 위험도를 산출하는 위협 점수 산출부를 더 포함하고,
상기 분류부는 상기 산출된 보안 위험도에 따라 상기 로그 데이터의 보안 등급을 분류하는 것을 특징으로 하는,
보안 위험도 예측 모델을 이용한 오탐 방지 장치.
- 제1항에 있어서,
상기 메모리는 상기 감시 대상 장비의 장비 종류에 따라 설정된 적어도 하나의 감시 요소에 대한 정보가 저장되어 있으며,
상기 예측 모델은 상기 분류된 로그 데이터를 분석하여 상기 감시 대상 장비에 대하여 설정된 적어도 하나의 감시 요소에 대한 위협 가능성이 존재하는 위험 인자 존재 여부를 판단함으로써, 상기 감시 대상 장비에 대한 보안 위협 여부를 예측하는 것을 특징으로 하는,
보안 위험도 예측 모델을 이용한 오탐 방지 장치.
- 제1항에 있어서,
상기 메모리는,
상기 감시 대상 장비의 종류별 제1 평균 오탐 발생률 및 상기 감시 대상 장비의 시간대별 제2 평균 오탐 발생률이 저장되어 있으며,
상기 프로세서는,
상기 예측 결과에 해당하는 감시 대상 장비의 보안 등급, 상기 제1 평균 오탐 발생률 및 상기 제2 평균 오탐 발생률을 고려하여 상기 예측 결과의 오탐 여부를 판별하는 것을 특징으로 하는,
보안 위험도 예측 모델을 이용한 오탐 방지 장치.
- 오탐 여부를 판별하기 위한 적어도 하나의 룰을 포함하는 룰 테이블이 저장된 오탐 방지 장치에 의해 수행되는 방법으로,
보안 위험도에 따라 감시 대상 장비에 대한 로그 데이터의 보안 등급을 분류하는 단계;
상기 분류된 로그 데이터를 분석하여 상기 감시 대상 장비에 대한 보안 위협 여부를 판단하는 단계; 및
예측 모델을 통해 보안 위험상태로 예측된 제1 로그 데이터의 오탐 여부를 판별하기 위한 적어도 하나의 룰을 기반으로, 상기 예측 결과의 오탐 여부를 판별하는 단계를 포함하는,
보안 위험도 예측 모델을 이용한 오탐 방지 방법.
- 하드웨어인 컴퓨터와 결합되어, 제9항의 방법을 실행시키기 위하여 매체에 저장된, 프로그램.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020230185609A KR20240000427A (ko) | 2022-04-29 | 2023-12-19 | 보안 위험도 예측 모델을 이용한 오탐 방지 장치, 방법 및 프로그램 |
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020220053308A KR102617150B1 (ko) | 2022-04-29 | 2022-04-29 | 룰 필터링을 이용한 인공지능 기반의 오탐 방지 장치, 방법 및 프로그램 |
| KR1020230185609A KR20240000427A (ko) | 2022-04-29 | 2023-12-19 | 보안 위험도 예측 모델을 이용한 오탐 방지 장치, 방법 및 프로그램 |
Related Parent Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020220053308A Division KR102617150B1 (ko) | 2022-04-29 | 2022-04-29 | 룰 필터링을 이용한 인공지능 기반의 오탐 방지 장치, 방법 및 프로그램 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| KR20240000427A true KR20240000427A (ko) | 2024-01-02 |
Family
ID=88746161
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020220053308A KR102617150B1 (ko) | 2022-04-29 | 2022-04-29 | 룰 필터링을 이용한 인공지능 기반의 오탐 방지 장치, 방법 및 프로그램 |
| KR1020230185609A KR20240000427A (ko) | 2022-04-29 | 2023-12-19 | 보안 위험도 예측 모델을 이용한 오탐 방지 장치, 방법 및 프로그램 |
Family Applications Before (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020220053308A KR102617150B1 (ko) | 2022-04-29 | 2022-04-29 | 룰 필터링을 이용한 인공지능 기반의 오탐 방지 장치, 방법 및 프로그램 |
Country Status (1)
| Country | Link |
|---|---|
| KR (2) | KR102617150B1 (ko) |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101871406B1 (ko) | 2016-05-13 | 2018-06-26 | 한국전자통신연구원 | 화이트리스트를 이용한 제어시스템의 보안관제 방법 및 이를 위한 시스템 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101689299B1 (ko) * | 2015-10-19 | 2016-12-23 | 한국과학기술정보연구원 | 보안이벤트 자동 검증 방법 및 장치 |
| KR101754964B1 (ko) * | 2016-01-15 | 2017-07-06 | 주식회사 쿼리시스템즈 | 악성 행위 탐지 방법 및 시스템 |
| KR102247181B1 (ko) * | 2020-12-18 | 2021-05-03 | 주식회사 이글루시큐리티 | Xai에 기초하여 생성된 학습데이터를 이용한 이상행위탐지모델 생성방법 및 장치 |
| KR102361766B1 (ko) * | 2021-10-08 | 2022-02-14 | 주식회사 이글루시큐리티 | 자산 서버 정보를 수집함으로써 siem의 경보 규칙을 최적화하는 방법 및 이를 지원하는 장치 |
-
2022
- 2022-04-29 KR KR1020220053308A patent/KR102617150B1/ko active IP Right Grant
-
2023
- 2023-12-19 KR KR1020230185609A patent/KR20240000427A/ko active Application Filing
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101871406B1 (ko) | 2016-05-13 | 2018-06-26 | 한국전자통신연구원 | 화이트리스트를 이용한 제어시스템의 보안관제 방법 및 이를 위한 시스템 |
Also Published As
| Publication number | Publication date |
|---|---|
| KR102617150B1 (ko) | 2023-12-28 |
| KR20230154339A (ko) | 2023-11-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11151113B2 (en) | Adaptive statistical data de-identification based on evolving data streams | |
| US8150717B2 (en) | Automated risk assessments using a contextual data model that correlates physical and logical assets | |
| KR102247181B1 (ko) | Xai에 기초하여 생성된 학습데이터를 이용한 이상행위탐지모델 생성방법 및 장치 | |
| CN112800116B (zh) | 一种业务数据的异常检测方法及装置 | |
| CN110929648A (zh) | 监控数据处理方法、装置、计算机设备以及存储介质 | |
| CN114859758A (zh) | 一种针对网络模型的攻防对抗仿真测试方法及系统 | |
| JP2019219898A (ja) | セキュリティ対策検討ツール | |
| CN110162963B (zh) | 一种识别过权应用程序的方法 | |
| KR102617150B1 (ko) | 룰 필터링을 이용한 인공지능 기반의 오탐 방지 장치, 방법 및 프로그램 | |
| CN112039867A (zh) | 基于abac属性补全的安全策略冲突检测与消除方法 | |
| CN115085956B (zh) | 入侵检测方法、装置、电子设备及存储介质 | |
| CN112511568A (zh) | 一种网络安全事件的关联分析方法、装置及存储介质 | |
| CN115001771B (zh) | 基于自动更新的验证码防御方法、系统、设备及存储介质 | |
| KR102111136B1 (ko) | 대응지시서를 생성하고, 적용 결과를 분석하는 방법, 감시장치 및 프로그램 | |
| US20240073241A1 (en) | Intrusion response determination | |
| CN116405287B (zh) | 工控系统网络安全评估方法、设备和介质 | |
| US20230171282A1 (en) | Systems, methods and computer program products for branching based automation driven analysis | |
| US20240152608A1 (en) | Method for supporting decision-making in security control environment based on artificial intelligence | |
| US20240152604A1 (en) | System and method for automatically generating playbook and verifying validity of playbook based on artificial intelligence | |
| KR102348359B1 (ko) | 관심 동작 영역 기반의 edr 장치 및 방법 | |
| CN116743503B (zh) | 一种基于工控资产的健康度评估方法 | |
| CN117692187B (zh) | 一种基于动态的漏洞修复优先级排序方法及装置 | |
| CN114638548B (zh) | 一种工业控制系统的风控方法、装置及电子设备 | |
| CN114091716A (zh) | 网络态势的预测方法和装置 | |
| CN117955721A (zh) | 一种基于ai算法的安全事件自适应流转方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A107 | Divisional application of patent |