KR20240055600A - A system for tagging security information and a method thereof - Google Patents

A system for tagging security information and a method thereof Download PDF

Info

Publication number
KR20240055600A
KR20240055600A KR1020230007558A KR20230007558A KR20240055600A KR 20240055600 A KR20240055600 A KR 20240055600A KR 1020230007558 A KR1020230007558 A KR 1020230007558A KR 20230007558 A KR20230007558 A KR 20230007558A KR 20240055600 A KR20240055600 A KR 20240055600A
Authority
KR
South Korea
Prior art keywords
information
tagging
security information
security
unit
Prior art date
Application number
KR1020230007558A
Other languages
Korean (ko)
Inventor
송중석
고영민
김규일
이준
권태웅
최상수
Original Assignee
한국과학기술정보연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국과학기술정보연구원 filed Critical 한국과학기술정보연구원
Publication of KR20240055600A publication Critical patent/KR20240055600A/en

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F40/00Handling natural language data
    • G06F40/10Text processing
    • G06F40/103Formatting, i.e. changing of presentation of documents
    • G06F40/117Tagging; Marking up; Designating a block; Setting of attributes

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Health & Medical Sciences (AREA)
  • Artificial Intelligence (AREA)
  • Audiology, Speech & Language Pathology (AREA)
  • Computational Linguistics (AREA)
  • General Health & Medical Sciences (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

실시예들에 따른 보안정보 태깅 시스템은, 보안정보를 분석하는 보안정보분석부 및 보안정보분석부의 판단 결과에 대응하여 보안정보를 태깅하는 보안정보태깅부를 포함하고, 보안정보태깅부는 보안정보를 자동으로 태깅하는 자동태깅부와 보안정보를 수동으로 태깅하는 수동태깅부를 포함한다.The security information tagging system according to embodiments includes a security information analysis unit that analyzes security information and a security information tagging unit that tags security information in response to the decision results of the security information analysis unit, and the security information tagging unit automatically collects security information. It includes an automatic tagging unit that tags and a manual tagging unit that manually tags security information.

Description

보안정보 태깅 시스템 및 태깅 방법{A SYSTEM FOR TAGGING SECURITY INFORMATION AND A METHOD THEREOF}Security information tagging system and tagging method {A SYSTEM FOR TAGGING SECURITY INFORMATION AND A METHOD THEREOF}

이하의 개시는 일관성 있는 보안이벤트 분석을 위한 보안정보 태깅 시스템 및 태깅 방법에 관한 것이다.The following disclosure relates to a security information tagging system and tagging method for consistent security event analysis.

보안 장치에 기록되는 보안 로그 정보는, 보안 관리 대상인 네트워크로 진입하는 접근 액션의 허용 또는 차단에 대해 기록하는 중요한 사이버 보안 정보이다. 그러나 보안 로그 정보의 분석은 디지털 포렌식 등 전문 지식이 필요한 영역이며, 관제요원의 보안 이벤트 분석은 개인별 차이가 큰 실정이다.Security log information recorded in a security device is important cybersecurity information that records the permission or blocking of access actions entering a network subject to security management. However, analysis of security log information is an area that requires specialized knowledge such as digital forensics, and security event analysis by control personnel varies greatly from person to person.

분석가마다 보안 이벤트에 대한 전문지식의 차이 및 태깅 방식의 차이로 보안 이벤트에 대한 판단에 영향을 미칠 수 있다. 예를 들어, 동일한 보안 이벤트에 대하여 분석가마다 다른 태깅 방식이 수행될 수 있다. 개인마다 다른 태깅 방식의 차이로 인해 수집된 보안 정보에 대한 분석이 어렵고, 휴먼 에러 발생 가능성이 높아 분석의 신뢰도가 저하될 수 있다.Differences in expert knowledge of security events and differences in tagging methods among analysts may affect judgments about security events. For example, different tagging methods may be performed by different analysts for the same security event. Due to differences in tagging methods for each individual, it is difficult to analyze the collected security information, and the reliability of the analysis may be reduced due to the high possibility of human error.

즉, 보안 이벤트의 분석 및 결과의 신뢰도 향상을 위해 개인차에 관계없이 일관성 있는 태깅 수행이 요구되지만, 전문지식과 경험에서 개인별 편차가 큰 만큼 일관성 있는 분석 결과를 도출하기 어려운 문제가 있다.In other words, consistent tagging is required regardless of individual differences in order to analyze security events and improve the reliability of the results. However, there is a problem that it is difficult to derive consistent analysis results as individual differences in expert knowledge and experience are large.

따라서 보안 이벤트 분석가의 개인별 분석 편차를 줄이고 일관된 분석을 용이하게 하는 기술이 필요하다.Therefore, technology is needed to reduce individual analysis deviations of security event analysts and facilitate consistent analysis.

이하에서 개시하는 실시예의 목적은, 일관된 보안 이벤트 분석을 가능케 하는 보안 정보 태깅 시스템 및 태깅 방법, 보안 정보 태깅 프로그램을 저장하는 저장매체를 제공하는 것이다.The purpose of the embodiments disclosed below is to provide a security information tagging system and tagging method that enables consistent security event analysis, and a storage medium for storing a security information tagging program.

이하에서 개시하는 실시예의 다른 목적은, 보안 이벤트 분석에 대한 전문지식이 서로 다른 분석가들 사이에 일관된 태깅을 가능케하는 보안 정보 태깅 시스템 및 방법, 보안 정보 태깅 프로그램을 저장하는 저장매체를 제공하는 것이다.Another purpose of the embodiment disclosed below is to provide a security information tagging system and method that enables consistent tagging among analysts with different expertise in security event analysis, and a storage medium for storing a security information tagging program.

실시예들에 따른 보안정보 태깅 시스템은, 보안정보를 분석하는 보안정보분석부 및 보안정보분석부의 판단 결과에 대응하여 보안정보를 태깅하는 보안정보태깅부를 포함하고, 보안정보태깅부는 보안정보를 자동으로 태깅하는 자동태깅부와 보안정보를 수동으로 태깅하는 수동태깅부를 포함한다.The security information tagging system according to embodiments includes a security information analysis unit that analyzes security information and a security information tagging unit that tags security information in response to the decision results of the security information analysis unit, and the security information tagging unit automatically collects security information. It includes an automatic tagging unit that tags and a manual tagging unit that manually tags security information.

바람직하게는, 보안정보분석부는, 보안정보의 유사도를 산출하는 유사도산출부와, 유사도산출부에서 산출한 유사도 결과에 대응하여 보안정보의 유사 부분 외에 부분에 추가 정보가 존재하는지 여부를 판단하는 추가정보검출부와,Preferably, the security information analysis unit includes a similarity calculation unit that calculates the similarity of the security information, and an additional unit that determines whether additional information exists in parts other than the similar part of the security information in response to the similarity result calculated by the similarity calculation unit. Information detection department,

추가정보검출부의 판단 결과에 대응하여 외부위협정보를 검사하는 외부위협정보검사부를 포함한다.It includes an external threat information inspection unit that inspects external threat information in response to the judgment results of the additional information detection unit.

바람직하게는, 유사도산출부는 보안정보를 벡터화하여 코사인유사도를 산출하고, 추가정보검출부는 산출된 코사인유사도가 임의의 임계치보다 클 때, 보안정보의 유사 부분 이외에 부분에 추가 정보가 존재하는지 확인한다.Preferably, the similarity calculation unit vectorizes the security information to calculate cosine similarity, and the additional information detection unit checks whether additional information exists in parts other than the similar part of the security information when the calculated cosine similarity is greater than an arbitrary threshold.

또한, 바람직하게는, 외부위협정보검사부는 추가정보검출부에서 추가 정보가 존재하는 것을 확인했을 때 상기 추가 정보에 외부위협정보가 있는지 여부를 확인한다.Also, preferably, the external threat information inspection unit checks whether the additional information includes external threat information when the additional information detection unit confirms that additional information exists.

또한, 바람직하게는, 자동태깅부는, 추가정보검출부에서 추가 정보가 존재하지 않음을 확인하거나 외부위협정보검사부에서 추가 정보에 외부위협정보가 있음을 확인했을 때 태깅을 수행하고, 수동태깅부는, 산출된 코사인유사도가 임의의 임계치 이하이거나, 추가 정보에 외부위협정보가 없음을 확인했을 때 태깅을 수행한다.Also, preferably, the automatic tagging unit performs tagging when the additional information detection unit confirms that no additional information exists or the external threat information inspection unit confirms that the additional information contains external threat information, and the manual tagging unit performs the calculation. Tagging is performed when the cosine similarity is below a certain threshold or when it is confirmed that there is no external threat information in the additional information.

또한, 바람직하게는, 수동태깅부는, 보안정보에 대하여 통계 정보를 기반으로 추천 태그 정보를 생성하고, 태그 정보의 특징에 기반하여 상기 태그 정보의 색상을 표시한다. 또한, 태그 정보에 대한 통계 정보를 시각화한다.Also, preferably, the manual tagging unit generates recommended tag information based on statistical information about security information and displays the color of the tag information based on the characteristics of the tag information. Additionally, statistical information about tag information is visualized.

실시예들에 따른 보안정보 태깅 방법으로서, 보안정보를 분석하는 단계와, 분석하는 단계의 판단 결과에 대응하여 보안정보를 태깅하는 단계를 포함하고, 보안정보를 분석하는 단계는, 보안정보의 유사도를 산출하여 유사 여부를 판단하는 단계와, 유사 여부 판단 결과에 대응하여 추가 정보의 존재 여부를 판단하는 단계와, 추가 정보의 존재 여부 판단 결과에 대응하여 외부위협정보를 검사하는 단계를 포함한다.A security information tagging method according to embodiments, comprising the step of analyzing security information and the step of tagging the security information in response to the determination result of the analysis step, and the step of analyzing the security information includes determining the similarity of the security information. It includes a step of calculating and determining whether there is similarity, a step of determining whether additional information exists in response to the similarity determination result, and a step of examining external threat information in response to the determination result of the presence of additional information.

이하의 실시예에 따르면, 개인 별 전문 지식의 편차에 관계없이 일관된 보안 이벤트 태깅을 수행할 수 있고, 그 결과 일관된 보안 이벤트 분석 결과를 도출할 수 있다.According to the following embodiment, consistent security event tagging can be performed regardless of differences in individual expert knowledge, and as a result, consistent security event analysis results can be derived.

이하의 실시예에 따르면, 일관된 태깅 데이터를 기반으로 보안 이벤트에 대한 데이터를 축적할 수 있고, 축적된 데이터를 기반으로 보안 이벤트 분석이 가능하다.According to the following embodiment, data on security events can be accumulated based on consistent tagging data, and security events can be analyzed based on the accumulated data.

이하의 실시예에 따르면, 보안 이벤트에 대한 태깅 작업이 용이하고, 작업에 수행되는 시간과 노력을 절감할 수 있다. 즉, 관제요원의 태깅 업무의 효율성이 향상될 수 있다.According to the following embodiment, tagging a security event is easy and the time and effort required for the task can be reduced. In other words, the efficiency of the control personnel's tagging work can be improved.

도 1은 보안 정보 태깅 시스템의 일 실시예를 나타낸 도면이다.
도 2는 보안 정보 태깅 방법의 일 실시예를 예시한 도면이다.
도 3은 실시예에 따른 보안 정보 분석 방법을 예시한 도면이다.
도 4는 실시예에 따른 추가 SYNTAX 확인 방법을 예시한 도면이다.
도 5는 실시예에 따른 추가 SYNTAX 확인 방법을 예시한 도면이다.
도 6은 실시예들에 따른 외부 위협 정보 확인 방법을 예시한 도면이다.
도 7은 실시예들에 따른 수동태깅부에서 제공하는 UI/UX를 예시한 도면이다.
도 8은 실시예들에 따른 수동태깅부에서 제공하는 UI/UX를 예시한 도면이다.
도 9는 실시예들에 따른 수동태깅부에서 제공하는 UI/UX를 예시한 도면이다.1 is a diagram showing an embodiment of a security information tagging system.
Figure 2 is a diagram illustrating an embodiment of a security information tagging method.
Figure 3 is a diagram illustrating a security information analysis method according to an embodiment.
Figure 4 is a diagram illustrating an additional SYNTAX confirmation method according to an embodiment.
Figure 5 is a diagram illustrating an additional SYNTAX confirmation method according to an embodiment.
Figure 6 is a diagram illustrating a method for confirming external threat information according to embodiments.
Figure 7 is a diagram illustrating UI/UX provided by a manual tagging unit according to embodiments.
Figure 8 is a diagram illustrating UI/UX provided by a manual tagging unit according to embodiments.
Figure 9 is a diagram illustrating UI/UX provided by a manual tagging unit according to embodiments.

이하에서는 첨부한 도면을 참고로 하여 본 발명의 실시예에 대하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시예에 한정되지 않는다. 그리고 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 유사한 부분에 대해서는 유사한 도면 부호를 붙였다.Hereinafter, with reference to the attached drawings, embodiments of the present invention will be described in detail so that those skilled in the art can easily implement the present invention. However, the present invention may be implemented in many different forms and is not limited to the embodiments described herein. In order to clearly explain the present invention in the drawings, parts unrelated to the description are omitted, and similar parts are given similar reference numerals throughout the specification.

명세서 전체에서, 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다.Throughout the specification, when a part is said to “include” a certain element, this means that it may further include other elements rather than excluding other elements, unless specifically stated to the contrary.

도 1은 보안정보 태깅 시스템(100)(이하, “태깅 시스템”이라고 함)의 일 실시예를 나타낸 도면이다. 도 2는 보안정보 태깅 방법(이하, “태깅 방법”이라고 함)의 일 실시예를 나타낸 도면이다. 도 2의 태깅 방법은 도 1의 태깅 시스템(100)에 의하여 수행될 수 있다. Figure 1 is a diagram showing an embodiment of a security information tagging system 100 (hereinafter referred to as “tagging system”). Figure 2 is a diagram showing an embodiment of a security information tagging method (hereinafter referred to as “tagging method”). The tagging method of FIG. 2 may be performed by the tagging system 100 of FIG. 1.

실시예들에 따른 태깅 시스템(100) 또는 태깅 방법은 보안 관제 요원의 개인별 특성 차이에도 불구하고 보안 이벤트를 일관되게 분석할 수 있다. 따라서, 규격화된 보안 이벤트 분석 데이터를 생성함으로써 태그 추천 및 자동화가 가능하다. 또한, 태깅 시스템(100) 또는 방법은 생성된 분석 데이터를 정탐, 오탐 또는 미탐의 탐지 근거로 관리하고 활용함으로써 보안 시스템의 위협 분석 능력과 위협 탐지 성능을 개선할 수 있다.The tagging system 100 or tagging method according to embodiments can consistently analyze security events despite differences in individual characteristics of security control personnel. Therefore, tag recommendation and automation are possible by generating standardized security event analysis data. In addition, the tagging system 100 or method can improve the threat analysis ability and threat detection performance of the security system by managing and utilizing the generated analysis data as a basis for detection of true positives, false positives, or false positives.

도 1을 참조하면, 보안정보 태깅 시스템(100)은 보안정보수집부(130), 보안정보분석부(110), 보안정보태깅부(120), 외부위협정보수집및분석부(140) 및/또는 데이터베이스(150)를 포함할 수 있다.Referring to Figure 1, the security information tagging system 100 includes a security information collection unit 130, a security information analysis unit 110, a security information tagging unit 120, an external threat information collection and analysis unit 140, and/ Alternatively, it may include a database 150.

데이터베이스(150)는 보안정보에 대한 분석 결과 또는 태깅 이력을 저장하고, 태깅 동작을 보조하기 위한 관련 정보들을 생성 및 송수신할 수 있다.The database 150 stores analysis results or tagging history for security information, and can generate, transmit, and receive related information to assist tagging operations.

보안정보수집부(130)는 보안 관제 시스템으로부터 보안정보(또는, 보안이벤트)를 수집한다. 보안정보수집부(130)에서 수집된 보안정보는 보안정보분석부(110)로 전달되어 보안정보 분석에 사용될 수 있다.The security information collection unit 130 collects security information (or security events) from the security control system. Security information collected in the security information collection unit 130 may be transmitted to the security information analysis unit 110 and used for security information analysis.

보안정보분석부(110)는 보안정보수집부(130)에서 수집된 보안정보에 대하여 분석한다. 보안정보분석부(110)는 유사도산출부(112), 추가정보검출부(114) 및/또는 외부위협정보검사부(116)를 포함할 수 있다.The security information analysis unit 110 analyzes the security information collected by the security information collection unit 130. The security information analysis unit 110 may include a similarity calculation unit 112, an additional information detection unit 114, and/or an external threat information inspection unit 116.

유사도산출부(112)는 보안정보(또는, 페이로드라고 지칭될 수 있다.)에 대하여 이미 태깅 이력이 있는 보안정보와 유사도를 산출하고, 유사 여부를 판단한다. 태깅 이력이 있는 보안정보는 데이터베이스(150)로부터 불러올 수 있다.The similarity calculation unit 112 calculates the similarity between security information (or, it may be referred to as payload) with security information that already has a tagging history, and determines whether it is similar. Security information with tagging history can be retrieved from the database 150.

도 2의 S122 단계는 유사도산출부(112)에서 수행되는 유사 판단을 나타낸다. 실시예들에 따른 태깅 방법은 S122 단계에서 YES 인 경우 S124 단계를 수행하고, NO 인 경우 S130 단계에서 보안정보를 수동으로 태깅할 수 있다.Step S122 in FIG. 2 represents the similarity judgment performed by the similarity calculation unit 112. In the tagging method according to embodiments, if the answer is YES in step S122, step S124 is performed, and if the answer is NO, security information can be manually tagged in step S130.

도 3은 실시예들에 따른 유사도산출부(112)의 보안정보 분석 과정을 예시한다. 도 3을 참조하면, 유사도산출부(112)는 이미 태그 이력이 있는 보안정보 A(301)와 다른 보안정보 A', A`(302), B, C, D, E, ...(303) 의 유사도를 판단한다.Figure 3 illustrates the security information analysis process of the similarity calculation unit 112 according to embodiments. Referring to Figure 3, the similarity calculation unit 112 already has a tag history and other security information A', A' (302), B, C, D, E, ... (303). ) Determine the similarity of .

유사도 판단 시, TF-IDF(Term Frequency - Inverse Document Frequency) 기반으로 보안정보(또는, 페이로드)를 벡터화한다. 벡터화는 one-hot encoding 방식, word embedding 방식을 포함할 수 있다. 유사도산출부(112)는 보안정보를 벡터화한 후, 자카드 유사도(Jaccard Similarity), 코사인 유사도(Cosine Similarity), 유클리디언 유사도(L2 Distance) 또는 맨하탄 유사도(L1 Distance)를 산출하여 유사도를 판단할 수 있다. 바람직하게는, 유사도산출부(112)는 TF-IDF 기반으로 보안정보를 벡터화한 후, 코사인 유사도를 산출하여 유사 여부를 판단한다.When determining similarity, security information (or payload) is vectorized based on TF-IDF (Term Frequency - Inverse Document Frequency). Vectorization may include one-hot encoding method and word embedding method. The similarity calculation unit 112 vectorizes the security information and determines the similarity by calculating Jaccard Similarity, Cosine Similarity, Euclidean Similarity (L2 Distance), or Manhattan Similarity (L1 Distance). You can. Preferably, the similarity calculation unit 112 vectorizes the security information based on TF-IDF and then determines similarity by calculating cosine similarity.

유사도산출부(112)에서 유사 여부를 판단 시, 유사도를 임의의 임계값과 비교할 수 있다. 유사도산출부(112)는 산출한 유사도 값이 임의의 임계값보다 큰 경우 유사로 판단하고, 임의의 임계값 이하인 경우 비 유사로 판단할 수 있다.When determining similarity in the similarity calculation unit 112, the similarity may be compared with an arbitrary threshold value. The similarity calculation unit 112 may determine similarity if the calculated similarity value is greater than a certain threshold, and dissimilarity if the calculated similarity value is less than or equal to a certain threshold.

도 3은 90%를 임의의 임계값으로 설정한 유사 판단 과정의 예시이다.Figure 3 is an example of a similar judgment process in which 90% is set as an arbitrary threshold.

도 3을 참조하면, 태그 이력이 있는 보안정보 A(301)와 다른 보안정보(또는, 페이로드) A', A`(302), B, C, D, E, ...(303)의 유사도를 판단한 결과, A', A`(302)는 A와 유사도가 90% 이상이므로 유사로 판단되고, 나머지 보안정보 B, C, D, E, ...(303)는 A와 유사도가 90% 미만이므로 비 유사로 판단될 수 있다.Referring to FIG. 3, security information A (301) with tag history and other security information (or payload) A', A` (302), B, C, D, E, ... (303) As a result of judging the similarity, A' and A` (302) are judged to be similar because they have a similarity of over 90% with A, and the remaining security information B, C, D, E, ... (303) have a similarity of 90% with A. Since it is less than %, it can be judged as dissimilar.

A와 유사한 것으로 판단된 A', A`에 대해서는 후술하는 다음 과정(도 2의 S124)이 수행되고, A와 비 유사 판단된 B, C, D, E, ... 에 대해서는 수동 태깅이 수행될 수 있다(도 2의 S130). 그 다음, 수동 태깅으로 태그 이력이 발생한 보안정보 B(305)와 다른 보안정보 C(306), D, E, ...(307) 사이에 유사 판단이 수행될 수 있다. 예를 들어, 보안정보 B(305)에 대하여 수동 태깅 후, 태그 이력이 있는 B(305)와 다른 보안정보 C(306), D, E, ...(307) 간에 유사 판단이 수행되고, 유사 판단 결과에 대응하여 자동 태깅 또는 수동 태깅이 수행될 수 있다.The next process (S124 in FIG. 2) described later is performed for A' and A` that are judged to be similar to A, and manual tagging is performed for B, C, D, E, ... that are judged to be dissimilar to A. It can be (S130 in FIG. 2). Next, a similarity determination can be made between security information B (305), for which tag history has occurred through manual tagging, and other security information C (306), D, E, ... (307). For example, after manual tagging of security information B (305), a similarity judgment is performed between B (305) with tag history and other security information C (306), D, E, ... (307), Automatic tagging or manual tagging may be performed in response to the similarity determination result.

추가정보검출부(114)는 유사도산출부(112)에서 유사 판단된 보안정보에 대하여 유사 부분 이외에 부분에 추가 신택스(SYNTAX)가 있는 지 여부를 판단한다. 즉, 추가정보검출부(114)는 유사 부분 이외에 부분에 다른 로직이 있는지 여부를 판단한다. 이는 도 2의 S124 단계와 대응할 수 있다. S124 단계에서 다른 신택스(SYNTAX)의 존재가 확인되지 않는 경우(NO), 보안정보태깅부(120)에서 해당 보안정보에 대해 자동 태깅한다(도 2의 S130). S124 단계에서 다른 신택스의 존재가 확인된 경우(YES), S126 단계가 수행될 수 있다. The additional information detection unit 114 determines whether there is additional syntax (SYNTAX) in parts other than the similar parts with respect to the security information determined to be similar in the similarity calculation unit 112. That is, the additional information detection unit 114 determines whether there is other logic in parts other than similar parts. This may correspond to step S124 in FIG. 2. If the existence of another syntax (SYNTAX) is not confirmed in step S124 (NO), the security information tagging unit 120 automatically tags the corresponding security information (S130 in FIG. 2). If the existence of another syntax is confirmed in step S124 (YES), step S126 may be performed.

보안정보에서 이미 태그 이력이 있는 보안정보와 유사한 부분 이외 부분에 다른 로직이 존재한다면, 해당 로직에 의해 다른 악성 행위가 존재할 수 있음을 나타내므로 확인하는 것이다. 추가정보검출부(114)는 php, phython, .NET, NodeJS, java, ruby, swift, go 등 다양한 문법의 신택스를 확인할 수 있다. If other logic exists in the security information other than the part similar to the security information that already has a tag history, it is checked because it indicates that other malicious actions may occur due to the logic. The additional information detection unit 114 can check the syntax of various grammars such as php, phython, .NET, NodeJS, java, ruby, swift, and go.

도 4는 실시예에 따른 추가 신택스(SYNTAX) 확인 방법을 예시한 도면이다.Figure 4 is a diagram illustrating a method for checking additional syntax (SYNTAX) according to an embodiment.

도 4를 참조하면, (a)는 이미 태그 이력이 있는 보안정보(401, A)를 나타내고, (b)는 유사 부분 이외에 추가 신택스(SYNTAX)가 존재하는 보안정보(402, A')를 나타낸다. 도 4의 (b)에서 403 영역은 유사 부분 이외에 부분에 추가 신택스가 존재하는 것으로 판단될 수 있다. 추가정보검출부(114)에서 추가 신택스가 존재한다고 판단한 경우(YES), 도 2의 S126 단계가 수행된다.Referring to FIG. 4, (a) represents security information (401, A) that already has a tag history, and (b) represents security information (402, A') that has additional syntax (SYNTAX) in addition to similar parts. . In (b) of FIG. 4, area 403 may be determined to have additional syntax in addition to the similar portion. If the additional information detection unit 114 determines that additional syntax exists (YES), step S126 of FIG. 2 is performed.

도 5는 실시예에 따른 추가 신택스(SYNTAX) 확인 방법을 예시한 도면이다.Figure 5 is a diagram illustrating a method for checking additional syntax (SYNTAX) according to an embodiment.

도 5를 참조하면, 보안정보(501, A`)는 유사 부분 이외에 부분(502)에 추가 신택스(SYNTAX)가 존재하지 않는다고 판단될 수 있다. 추가 신택스가 존재하지 않는 경우, 커스텀 인코딩, 브루트포스 또는 암호화로 간주될 수 있다. 추가정보검출부(114)에서 추가 신택스가 존재하지 않는다고 판단한 경우(NO), 도 2의 S130 단계에서 보안정보가 자동으로 태깅될 수 있다. Referring to FIG. 5, it may be determined that the security information 501 (A′) does not have additional syntax (SYNTAX) in the portion 502 other than the similar portion. If no additional syntax is present, it can be considered custom encoding, brute force, or encryption. If the additional information detection unit 114 determines that no additional syntax exists (NO), security information may be automatically tagged in step S130 of FIG. 2.

전술한 추가 정보(또는, 추가 신택스) 확인 방법은 대괄호, 중괄호, 소괄호를 기준으로 페이로드(payload)를 분절하여 신택스를 검증할 수 있다. 즉, 분절된 페이로드에 대하여 추가 정보 또는 신택스가 있는지 여부를 판단 할 수 있다. 분절된 페이로드(또는, 페이로드에 포함된 문자열) 중에서 이전에 태깅된 내용과 유사한 내용을 포함하는 페이로드는 제외된다. 유사하지 않은 페이로드 부분에서 이전에 태깅된 내용에 대비하여 변화가 있으나 신택스 또는 로직이 존재하지 않는 경우, 그 내용이 변수/인자 값에 해당(브루트포스 또는 쉘 코드 전송)하거나 네트워크 단에서 탐지 회피 행위(암호화, 커스텀 페이로드)에 해당하는 것으로 간주되어 자동으로 태깅될 수 있다.The above-described method of verifying additional information (or additional syntax) can verify syntax by segmenting the payload based on square brackets, braces, and parentheses. In other words, it can be determined whether there is additional information or syntax for the segmented payload. Among segmented payloads (or strings included in the payload), payloads containing content similar to previously tagged content are excluded. If there is a change in the dissimilar payload portion compared to the previously tagged content, but no syntax or logic exists, the content corresponds to a variable/argument value (brute force or shell code transmission) or is detected at the network end. It may be considered an evasion activity (encryption, custom payload) and automatically tagged.

한편, 외부위협정보검사부(116)는 추가정보검출부(114)에서 추가 신택스가 존재한다고 판단한 보안정보에 대하여 외부위협정보 관련 데이터가 존재하는지 여부를 판단한다.Meanwhile, the external threat information inspection unit 116 determines whether data related to external threat information exists with respect to the security information for which the additional information detection unit 114 determines that additional syntax exists.

외부위협정보란 CTI(Cyber threat intelligence) 등에 의하여 시스템 외부로부터 수집된 사이버 위협에 대한 정보를 일컬을 수 있다. 외부위협정보는 STIX 포맷 중 artifact의 payload_bin 또는 확보된 악성파일 분석 시 검출된 특징적 감염 신호 등이 해당할 수 있다. 외부위협정보는 외부위협정보수집및분석부(140)에 의해서 수집, 분석될 수 있다. 외부위협정보수집및분석부(140)는 외부위협정보를 수집하고 분석하여 보안정보분석부(110)에서 분석 또는 판단할 수 있는 외부위협정보를 제공한다.External threat information refers to information about cyber threats collected from outside the system through CTI (Cyber threat intelligence), etc. External threat information may include payload_bin of an artifact in the STIX format or characteristic infection signals detected when analyzing a secured malicious file. External threat information can be collected and analyzed by the external threat information collection and analysis unit 140. The external threat information collection and analysis unit 140 collects and analyzes external threat information and provides external threat information that can be analyzed or judged by the security information analysis unit 110.

외부위협정보검사부(116)는 도 2의 S126 단계를 수행할 수 있다. 보안정보의 유사 부분 외에 부분에 추가 신택스가 있는 경우, 외부위협정보검사부(116)는 추가 신택스에 외부위협정보가 있는지 검사한다. 외부위협정보가 없는 경우 도 2의 S130 단계와 같이 보안정보를 수동으로 태깅하고, 외부위협정보가 있는 경우 도 2의 S130 단계와 같이 보안정보를 자동으로 태깅한다.The external threat information inspection unit 116 may perform step S126 of FIG. 2. If there is additional syntax in parts other than the similar part of the security information, the external threat information inspection unit 116 checks whether there is external threat information in the additional syntax. If there is no external threat information, the security information is manually tagged as in step S130 of FIG. 2, and if there is external threat information, the security information is automatically tagged as in step S130 of FIG. 2.

도 6은 실시예들에 따른 외부 위협 정보 확인 방법을 예시한 도면이다.Figure 6 is a diagram illustrating a method for confirming external threat information according to embodiments.

도 6을 참조하면, 보안정보(601, A')의 추가 신택스가 있는 부분에 외부위협정보(602)가 존재하는 것이 나타낸다. 외부위협정보수집및분석부(140)는 수집한 외부위협정보의 리스트(603)를 보관할 수 있고, 외부위협정보검사부(116)는 리스트(603)를 기반으로 보안정보에 외부위협정보가 포함되었는지 여부를 판단할 수 있다.Referring to FIG. 6, it is shown that external threat information 602 is present in the additional syntax portion of the security information 601 (A'). The external threat information collection and analysis unit 140 can store a list 603 of the collected external threat information, and the external threat information inspection unit 116 checks whether external threat information is included in the security information based on the list 603. You can judge whether or not.

도 1 내지 도 6에서 전술한 내용에 따라 보안정보분석부(110)를 설명하면, 보안정보분석부(110)는 유사도산출부(112), 추가정보검출부(114) 및/또는 외부위협정보검사부(116)를 포함할 수 있다. 도 2와 같이, 보안정보분석부(110)는 보안정보를 분석하는 단계를 수행한다(S120). 여기서, 보안정보를 분석하는 단계(S120)는 보안정보의 유사도를 산출하여 유사 여부를 판단하는 S122 단계, 유사 부분 외에 추가 신택스가 존재하는지 판단하는 S124 단계 및/또는 외부위협정보의 유무를 판단하는 S126 단계를 포함한다. 유사도산출부(112)는 S122 단계를 수행하고, 추가정보검출부(114)는 S124 단계를 수행하며, 외부위협정보검사부(116)는 S126 단계를 수행할 수 있다.When explaining the security information analysis unit 110 according to the above-mentioned contents in FIGS. 1 to 6, the security information analysis unit 110 includes a similarity calculation unit 112, an additional information detection unit 114, and/or an external threat information inspection unit. It may include (116). As shown in Figure 2, the security information analysis unit 110 performs the step of analyzing security information (S120). Here, the step of analyzing the security information (S120) is step S122 of calculating the similarity of the security information to determine whether it is similar, step S124 of determining whether additional syntax exists in addition to the similar part, and/or determining the presence of external threat information. Includes step S126. The similarity calculation unit 112 may perform step S122, the additional information detection unit 114 may perform step S124, and the external threat information inspection unit 116 may perform step S126.

보안정보태깅부(120)는 보안정보분석부(110)에서 수행한 분석 결과에 대응하여 보안정보에 태깅을 수행한다. 보안정보태깅부(120)는 자동태깅부(122)와 수동태깅부(124)를 포함하고, 수동태깅부(124)는 태깅보조부(1241)를 포함할 수 있다.The security information tagging unit 120 tags security information in response to the analysis results performed by the security information analysis unit 110. The security information tagging unit 120 includes an automatic tagging unit 122 and a manual tagging unit 124, and the manual tagging unit 124 may include a tagging auxiliary unit 1241.

태깅이란, 보안정보(또는, 페이로드)에 대하여 특정한 방식으로 표시하는 것을 나타낸다. 보다 구체적으로, 보안정보가 포함하는 특정 문자열에 대하여, 그 문자열이 가지는 의미에 따라 특정한 방식으로 해당 문자열에 표시를 할 수 있다. 태그 표시는 색상, 키워드, 글꼴 등 다양한 방법으로 구분될 수 있다.Tagging refers to displaying security information (or payload) in a specific way. More specifically, for a specific string included in security information, the string can be displayed in a specific way according to the meaning of the string. Tag display can be distinguished in various ways, such as color, keyword, and font.

자동태깅부(122)는 보안정보에 대하여 자동으로 태깅을 수행한다. 도 2를 참조하면, 보안 정보가 이미 태그 이력이 있는 보안 정보와 유사하고, 유사 부분 외에 부분에 추가 신택스가 없는 경우 자동 태깅이 수행된다. 또한, 보안 정보가 이미 태그 이력이 있는 보안 정보와 유사하고, 유사 부분 외에 부분에 추가 신택스가 존재하며, 추가 신택스에 외부위협정보가 있는 경우 자동 태깅이 수행된다.The automatic tagging unit 122 automatically tags security information. Referring to Figure 2, if the security information is similar to security information that already has a tag history and there is no additional syntax in parts other than the similar part, automatic tagging is performed. Additionally, if the security information is similar to security information that already has a tag history, additional syntax exists in parts other than the similar part, and there is external threat information in the additional syntax, automatic tagging is performed.

수동태깅부(124)는 보안정보에 대하여 수동으로 태깅을 수행한다. 즉, 사용자에 의하여 보안정보에 대한 태깅이 수행될 수 있다. 수동태깅부(124)는 사용자가 태깅을 수행하기 위한 UI/UX 구성 요소들 또는 기능을 제공한다. 수동태깅부(124)는 태깅보조부(1241)를 포함하며, 태깅보조부(1241)는 수동 태깅 을 보조할 수 있는 UI/UX 구성 요소 및 기능, 관련된 정보를 생성하여 제공할 수 있다. The manual tagging unit 124 manually tags security information. In other words, tagging of security information can be performed by the user. The manual tagging unit 124 provides UI/UX components or functions for users to perform tagging. The manual tagging unit 124 includes a tagging auxiliary unit 1241, and the tagging auxiliary unit 1241 can generate and provide UI/UX components and functions that can assist manual tagging, and related information.

도 2를 참조하면, 보안 정보가 이미 태그 이력이 있는 보안 정보와 유사하지 않는 경우, 수동 태깅이 수행된다. 또한, 보안 정보가 이미 태그 이력이 있는 보안 정보와 유사하고, 유사 부분 외에 부분에 추가 신택스가 있으나, 추가 신택스에 외부위협정보가 없는 경우 수동 태깅이 수행된다.Referring to Figure 2, if the security information is not similar to security information that already has a tag history, manual tagging is performed. Additionally, if the security information is similar to security information that already has a tag history and there is additional syntax in parts other than the similar part, but there is no external threat information in the additional syntax, manual tagging is performed.

도 7은 실시예들에 따른 수동태깅부(124)에서 제공하는 UI/UX를 예시한 도면이다.Figure 7 is a diagram illustrating UI/UX provided by the manual tagging unit 124 according to embodiments.

수동태깅부(124)는 보안정보의 정탐/오탐 근거에 대하여 태깅을 수행할 수 있다. 수동태깅부(124)는 사용자가 태깅 작업을 수행하기 위한 UI/UX 화면(701) 또는 기능을 제공할 수 있다. 수동태깅부(124)는 태그 종류에 따라 색상(또는, 채도, 명도 등의 시각적 표현)을 다르게 표시하는 기능을 제공하여 사용자가 태그된 내용을 쉽게 구분하도록 할 수 있다. 수동태깅부(124)는 보안정보의 문자열을 사용자가 클릭하고 드래그(703)하여 태깅하는 기능을 제공한다. 그리고, 수동태깅부(124)는 사용자에 의해 클릭 또는 드래그된 문자열에 대하여 추천되는 태그 정보를 표시(704)하고, 해당 문자열에 대한 통계 정보를 생성하여 시각화할 수 있다. 또한, 수동태깅부(124)는 사용자가 태깅의 근거를 입력할 수 있는 별도의 입력 창을 제공할 수 있다.The manual tagging unit 124 can perform tagging on the basis of true/false positives of security information. The manual tagging unit 124 may provide a UI/UX screen 701 or functions for the user to perform tagging tasks. The manual tagging unit 124 provides a function to display colors (or visual expressions such as saturation and brightness) differently depending on the type of tag, allowing users to easily distinguish tagged content. The manual tagging unit 124 provides a function for the user to tag a string of security information by clicking and dragging (703). Additionally, the manual tagging unit 124 displays recommended tag information for a string clicked or dragged by the user (704), and can generate and visualize statistical information about the string. Additionally, the manual tagging unit 124 may provide a separate input window where the user can input the basis for tagging.

도 8은 실시예들에 따른 수동태깅부(124)에서 제공하는 UI/UX를 예시한 도면이다. Figure 8 is a diagram illustrating UI/UX provided by the manual tagging unit 124 according to embodiments.

수동태깅부(124)는 사용자가 태깅 수행 시, 도 8과 같은 인터페이스를 제공할 수 있다. 이때, 태깅보조부(1241)는 보안정보의 수동 태깅을 지원한다. 수동태깅부(124)는 추천 태그 정보를 생성할 수 있고, 태그 정보의 특징에 따라 시각적 표현을 다르게 구분하여 표시할 수 있다. 수동태깅부(124)는 사용자가 태깅 이력이 있는 문자열에 마우스 커서를 이동 시, 도 8과 같은 상세 정보 화면을 표시할 수 있다. 상세 정보 화면은 해당 문자열에 대한 통계 정보, 태그 이력 및 관련 외부 정보를 시각화한다. The manual tagging unit 124 may provide an interface as shown in FIG. 8 when the user performs tagging. At this time, the tagging auxiliary unit 1241 supports manual tagging of security information. The manual tagging unit 124 can generate recommended tag information and display visual expressions differently depending on the characteristics of the tag information. The manual tagging unit 124 can display a detailed information screen as shown in FIG. 8 when the user moves the mouse cursor to a string with a tagging history. The detailed information screen visualizes statistical information, tag history, and related external information about the string.

수동태깅부(124)는 태그 이력 정보를 분석하여 사용자가 클릭 또는 드래그한 문자열에 대한 통계 정보를 표시할 수 있다. 예를 들어, 수동태깅부(124)는 특정 기간 중 해당 문자열에 대한 태깅 빈도를 나타내는 그래프(801)를 표시할 수 있다. 또한, 수동태깅부(124)는 전체 태그 개수에서 해당 문자열에 대한 태그의 개수가 차지하는 비율을 나타내는 그래프(802)를 표시할 수 있다. 수동태깅부(124)는 사용자가 클릭 또는 커서를 놓은 문자열에 대한 추천 태그 정보를 표시할 수 있다(803). 추천 태그 정보는 태깅 이력 및 관련된 외부 정보와 함께 표시될 수 있다. 예를 들어, “wordpress, php, CVE-2021-26609, 최근 1달 242회 태깅, 이전 탐지 근거: 경유지 악용..” 등의 정보가 추천 태그 정보와 함께 표시될 수 있다.The manual tagging unit 124 may analyze tag history information and display statistical information about the string clicked or dragged by the user. For example, the manual tagging unit 124 may display a graph 801 showing the tagging frequency for the corresponding string during a specific period. Additionally, the manual tagging unit 124 may display a graph 802 showing the ratio of the number of tags for the corresponding string to the total number of tags. The manual tagging unit 124 can display recommended tag information for the string that the user clicks or places the cursor on (803). Recommended tag information may be displayed along with tagging history and related external information. For example, information such as “wordpress, php, CVE-2021-26609, tagged 242 times in the last month, previous detection basis: waypoint abuse..” may be displayed along with recommended tag information.

실시예들에 따른 통계 정보는 보안 이벤트 별, 기간 별, 기관별 태깅 빈도를 표시한 통계 정보를 포함할 수 있다. 수동태깅부(124)는 통계 정보를 기반으로 태그 정보를 추천할 수 있다. 수동태깅부(124)는 태그 이력 정보를 클러스터링 또는 NLP(Natural Language Processing) 방식으로 분석하여 태그 정보를 추천할 수 있다. 태그 정보는 특정한 색상, 명도 또는 채도 등이 적용된 태그 문자일 수 있다.Statistical information according to embodiments may include statistical information indicating the tagging frequency by security event, period, and institution. The manual tagging unit 124 can recommend tag information based on statistical information. The manual tagging unit 124 may recommend tag information by analyzing tag history information using clustering or NLP (Natural Language Processing). Tag information may be tag characters to which a specific color, brightness, or saturation has been applied.

보안 이벤트 별 통계 정보는 특정 취약점, 특정 IP와 같이 특정 이벤트에 대한 태그의 빈도를 나타낸다. 따라서, 특정 집단이 수행하는 공격으로 인해 발생하는 보안 이벤트의 태깅에 장점이 있다.Statistical information for each security event indicates the frequency of tags for specific events, such as specific vulnerabilities and specific IPs. Therefore, there is an advantage in tagging security events that occur due to attacks performed by a specific group.

기간 별 통계 정보는 특정 기간동안 발생한 태그의 빈도를 나타낸다. 기간 별 통계 정보는 단기간에 발생한 보안 이벤트의 태깅에 장점이 있다.Statistical information by period indicates the frequency of tags that occurred during a specific period. Period-specific statistical information has the advantage of tagging security events that occurred in a short period of time.

기관 별 통계 정보는 특정 기관에서 발생한 보안 이벤트의 태그 빈도를 나타낸다. 기관 별 통계 정보는 장기간에 발생한 보안 이벤트의 태깅에 장점이 있다.Statistical information by organization indicates the tag frequency of security events that occurred in a specific organization. Agency-specific statistical information has the advantage of tagging security events that occurred over a long period of time.

도 9는 실시예들에 따른 수동태깅부(124)에서 제공하는 UI/UX를 예시한 도면이다.Figure 9 is a diagram illustrating UI/UX provided by the manual tagging unit 124 according to embodiments.

수동태깅부(124)는 사용자가 보안정보의 특정 문자열을 드래그 시, 해당 문자열에 대응하는 헥스(HEX) 값(또는, 2진수, 8진수, 10진수 등)과 디코딩된 문자열(예를 들면, 아스키(ASCII) 코드 문자열)을 함께 강조하여 표시하는 기능을 제공할 수 있다. 예를 들어, 도 9에서 사용자가 “convenient”라는 문자열(901)을 마우스로 드래그 한 경우, “convenient”에 대응하는 HEX 값(902)이 함께 강조 표시될 수 있다. 사용자는 해당 문자열(901)을 특정 영역(903)에 드래그하고, 해당 문자열(901)에 대하여 추천된 태깅 정보(tag1, tag2, tag3) 중 어느 하나를 선택하여 태깅 작업을 수행할 수 있다.When the user drags a specific string of security information, the manual tagging unit 124 generates a HEX value (or binary number, octal number, decimal number, etc.) corresponding to the string and a decoded string (e.g., A function can be provided to highlight and display ASCII code strings. For example, in FIG. 9 , when the user drags the string 901 called “convenient” with the mouse, the HEX value 902 corresponding to “convenient” may also be highlighted. The user can perform tagging by dragging the string 901 to a specific area 903 and selecting one of the recommended tagging information (tag1, tag2, tag3) for the string 901.

다른 실시예로서, 사용자가 “convenient”라는 문자열(901)을 마우스로 드래그 한 경우, “convenient”에 대응하는 HEX 값(902)이 함께 강조 표시되고, 동시에 해당 문자열(901)에 대한 추천 태깅 정보(tag1, tag2, tag3)(905)가 팝업 형식으로 표시될 수 있다. 사용자는 표시된 추천 태깅 정보 중 어느 하나를 선택할 수 있으며, 선택된 문자열과 그에 해당하는 HEX 값 및 태그가 자동으로 화면 입력창에 입력될 수 있다.As another embodiment, when the user drags the string 901 called “convenient” with the mouse, the HEX value 902 corresponding to “convenient” is highlighted, and at the same time, recommended tagging information for the string 901 (tag1, tag2, tag3) 905 may be displayed in pop-up format. The user can select any one of the displayed recommended tagging information, and the selected string and the corresponding HEX value and tag can be automatically entered into the screen input window.

태깅보조부(1241)는 수동태깅부(124)에서 사용자의 태깅 수행을 위해 UI/UX 구성, 기능 및 통계 정보들을 제공하는 것을 지원할 수 있다. 예를 들어, 태깅보조부(1241)는 수동태깅부(124)에서 표시하는 정보들을 생성하기 위한 연산을 수행하거나, 또는 기능을 제공할 수 있다.The tagging auxiliary unit 1241 can support the manual tagging unit 124 in providing UI/UX configuration, functions, and statistical information for the user to perform tagging. For example, the tagging auxiliary unit 1241 may perform an operation to generate information displayed by the manual tagging unit 124 or provide a function.

도 1을 참조하면, 태깅 시스템(100)은 개념적 또는 논리적으로 구분되어 표현된다. 하지만, 태깅 시스템(100)의 구성 요소들은 물리적으로 구분되지 않은 것일 수 있으며, 하나 이상의 프로세서, 하나 이상의 메모리 및 메모리에 저장된 명령어에 의하여 태깅 방법을 수행하는 장치일 수 있다.Referring to FIG. 1, the tagging system 100 is expressed conceptually or logically. However, the components of the tagging system 100 may not be physically separated, and may be a device that performs a tagging method using one or more processors, one or more memories, and instructions stored in the memory.

실시예들에 따른 태깅 방법은 소프트웨어 프로그램으로 작성되어 컴퓨터로 판독이 가능한 기록 매체에 저장될 수 있다. 실시예들에 따른 발명의 동작은 “컴퓨터”(시스템 온 칩(system on chip; SoC) 또는 마이크로 프로세서 등을 포함하는 포괄적인 개념)에 의해 구현, 실시 또는 실행될 수 있는 코드 또는 상기 코드를 저장 또는 포함한 어플리케이션, 컴퓨터-판독 가능한 저장 매체 또는 컴퓨터 프로그램 제품(product) 등으로도 제공될 수 있다.The tagging method according to embodiments may be written as a software program and stored in a computer-readable recording medium. The operation of the invention according to the embodiments includes code that can be implemented, implemented, or executed by a “computer” (a comprehensive concept including a system on chip (SoC) or microprocessor, etc.), or storing or storing the code. It may also be provided as an application, computer-readable storage medium, or computer program product.

본 발명의 바람직한 실시예들에 대한 상세한 설명은 당업자가 본 발명을 구현하고 실시할 수 있도록 제공되었다. 상기에서는 본 발명의 바람직한 실시예들을 참조하여 설명하였지만, 해당 기술 분야의 숙련된 당업자는 본 발명의 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있다. 예를 들어, 당업자는 상술한 실시예들에 기재된 각 구성을 서로 조합하는 방식으로 이용할 수 있다.A detailed description of preferred embodiments of the invention is provided to enable any person skilled in the art to make or practice the invention. Although the present invention has been described above with reference to preferred embodiments, those skilled in the art may make various modifications and changes to the present invention without departing from the scope of the present invention. For example, a person skilled in the art may use each configuration described in the above-described embodiments by combining them with each other.

따라서, 본 발명은 여기에 나타난 실시예들에 의해 제한되는 것이 아니라, 여기서 개시된 원리들 및 신규한 특징들을 포함하는 최광의의 기술적 사상으로 이해될 수 있다.Accordingly, the present invention is not limited to the embodiments shown herein, but should be understood in its broadest technical spirit, including the principles and novel features disclosed herein.

Claims (16)

보안정보 태깅 시스템으로서,
보안정보를 분석하는 보안정보분석부; 및
상기 보안정보분석부의 판단 결과에 대응하여 상기 보안정보를 태깅하는 보안정보태깅부를 포함하고,
상기 보안정보태깅부는,
상기 보안정보를 자동으로 태깅하는 자동태깅부와 상기 보안정보를 수동으로 태깅하는 수동태깅부를 포함하는,
보안정보 태깅 시스템.As a security information tagging system,
Security Information Analysis Department, which analyzes security information; and
It includes a security information tagging unit that tags the security information in response to the decision result of the security information analysis unit,
The security information tagging unit,
Comprising an automatic tagging unit that automatically tags the security information and a manual tagging unit that manually tags the security information,
Security information tagging system. 제 1항에 있어서,
상기 보안정보분석부는,
상기 보안정보의 유사도를 산출하는 유사도산출부와,
상기 유사도산출부에서 산출한 유사도 결과에 대응하여 상기 보안정보의 유사 부분 외에 부분에 추가 정보가 존재하는지 여부를 판단하는 추가정보검출부와,
상기 추가정보검출부의 판단 결과에 대응하여 외부위협정보를 검사하는 외부위협정보검사부를 포함하는,
보안정보 태깅 시스템.According to clause 1,
The security information analysis department,
A similarity calculation unit that calculates the similarity of the security information,
an additional information detection unit that determines whether additional information exists in parts other than the similar part of the security information in response to the similarity result calculated by the similarity calculation unit;
Comprising an external threat information inspection unit that inspects external threat information in response to the judgment result of the additional information detection unit,
Security information tagging system. 제 2항에 있어서,
상기 유사도산출부는,
상기 보안정보를 벡터화하여 코사인유사도를 산출하고,
상기 추가정보검출부는,
산출된 코사인유사도가 임의의 임계치보다 클 때, 상기 보안정보의 유사 부분 이외에 부분에 추가 정보가 존재하는지 확인하는,
보안정보 태깅 시스템.According to clause 2,
The similarity calculation unit,
The security information is vectorized to calculate cosine similarity,
The additional information detection unit,
When the calculated cosine similarity is greater than an arbitrary threshold, it is checked whether additional information exists in parts other than the similar part of the security information.
Security information tagging system. 제 3항에 있어서,
상기 외부위협정보검사부는,
상기 추가정보검출부에서 상기 추가 정보가 존재하는 것을 확인했을 때 상기 추가 정보에 외부위협정보가 있는지 여부를 확인하는,
보안정보 태깅 시스템.According to clause 3,
The external threat information inspection department,
When the additional information detection unit confirms that the additional information exists, it checks whether the additional information contains external threat information.
Security information tagging system. 제 4항에 있어서,
상기 자동태깅부는,
상기 추가정보검출부에서 상기 추가 정보가 존재하지 않음을 확인하거나 상기 외부위협정보검사부에서 상기 추가 정보에 외부위협정보가 있음을 확인했을 때 태깅을 수행하고,
상기 수동태깅부는,
상기 산출된 코사인유사도가 임의의 임계치 이하이거나, 상기 추가 정보에 외부위협정보가 없음을 확인했을 때 태깅을 수행하는,
보안정보 태깅 시스템.According to clause 4,
The automatic tagging unit,
Tagging is performed when the additional information detection unit confirms that the additional information does not exist or when the external threat information inspection unit confirms that the additional information contains external threat information,
The manual tagging unit,
Tagging is performed when the calculated cosine similarity is below a certain threshold or when it is confirmed that there is no external threat information in the additional information.
Security information tagging system. 제 5항에 있어서,
상기 수동태깅부는,
상기 보안정보에 대하여 통계 정보를 기반으로 추천 태그 정보를 생성하고,
태그 정보의 특징에 기반하여 상기 태그 정보의 색상을 표시하는,
보안정보 태깅 시스템.According to clause 5,
The manual tagging unit,
Generate recommended tag information based on statistical information about the security information,
Displaying the color of the tag information based on the characteristics of the tag information,
Security information tagging system. 제 6항에 있어서,
상기 수동태깅부는,
상기 태그 정보에 대한 통계 정보를 시각화하는,
보안정보 태깅 시스템.According to clause 6,
The manual tagging unit,
Visualizing statistical information about the tag information,
Security information tagging system. 제 7항에 있어서,
상기 통계 정보는,
임의의 기간동안 발생한 상기 태그 정보의 빈도를 포함하는,
보안정보 태깅 시스템.According to clause 7,
The above statistical information is,
Including the frequency of the tag information occurring during a certain period of time,
Security information tagging system. 제 8항에 있어서,
상기 수동태깅부는,
사용자의 드래그 또는 클릭 입력에 대응하여, 드래그 또는 클릭된 문자열에 대한 HEX 값 및 디코딩된 문자열을 함께 표시하고, 상기 드래그 또는 클릭된 문자열에 대한 상기 추천 태그 정보를 표시하는,
보안정보 태깅 시스템.According to clause 8,
The manual tagging unit,
In response to the user's drag or click input, displaying the HEX value and the decoded string for the dragged or clicked string together, and displaying the recommended tag information for the dragged or clicked string,
Security information tagging system. 보안정보 태깅 방법에 있어서,
보안정보를 분석하는 단계와,
상기 분석하는 단계의 판단 결과에 대응하여 보안정보를 태깅하는 단계를 포함하고,
상기 보안정보를 분석하는 단계는,
상기 보안정보의 유사도를 산출하여 유사 여부를 판단하는 단계와,
유사 여부 판단 결과에 대응하여 추가 정보의 존재 여부를 판단하는 단계와,
추가 정보의 존재 여부 판단 결과에 대응하여 외부위협정보를 검사하는 단계를 포함하는,
보안정보 태깅 방법.In the security information tagging method,
Analyzing security information,
A step of tagging security information in response to the determination result of the analysis step,
The step of analyzing the security information is,
Calculating the similarity of the security information and determining whether it is similar;
A step of determining whether additional information exists in response to the similarity determination result;
Including the step of examining external threat information in response to the result of determining whether additional information exists,
How to tag security information. 청구항 10에 있어서,
상기 유사 여부를 판단하는 단계는,
상기 보안정보를 TF-IDF 기반으로 벡터화하고, 코사인 유사도를 산출하여 유사 여부를 판단하는,
보안정보 태깅 방법.In claim 10,
The step of determining whether the similarity is
The security information is vectorized based on TF-IDF and cosine similarity is calculated to determine similarity.
How to tag security information. 청구항 11에 있어서,
상기 추가 정보의 존재 여부를 판단하는 단계는,
상기 산출된 코사인 유사도가 임의의 임계치보다 클 때, 상기 보안정보의 유사 부분 이외에 부분에 추가 정보가 존재하는지 확인하는,
보안정보 태깅 방법.In claim 11,
The step of determining whether the additional information exists is,
When the calculated cosine similarity is greater than a certain threshold, checking whether additional information exists in parts other than the similar part of the security information,
How to tag security information. 청구항 12에 있어서,
상기 외부위협정보를 검사하는 단계는,
상기 추가 정보가 존재하는 경우 상기 추가 정보에 외부위협정보가 있는지 확인하는,
보안정보 태깅 방법.In claim 12,
The step of examining the external threat information is,
If the additional information exists, check whether the additional information contains external threat information,
How to tag security information. 청구항 13에 있어서,
상기 태깅하는 단계는,
상기 추가 정보가 존재하지 않고 상기 외부위협정보가 존재하는 경우 자동으로 태깅을 수행하고,
상기 산출된 코사인 유사도가 상기 임의의 임계치 이하이거나 상기 외부위협정보가 존재하지 않는 경우 수동으로 태깅을 수행하는,
보안정보 태깅 방법.In claim 13,
The tagging step is,
If the additional information does not exist and the external threat information exists, tagging is automatically performed,
Manually performing tagging when the calculated cosine similarity is below the arbitrary threshold or when the external threat information does not exist,
How to tag security information. 청구항 14에 있어서,
상기 태깅하는 단계는,
수동으로 태깅을 수행할 때, 상기 보안정보에 대하여 추천 태그 정보를 생성하고, 태그 정보에 대한 통계 정보를 시각화하는,
보안정보 태깅 방법.In claim 14,
The tagging step is,
When manually tagging, generate recommended tag information for the security information and visualize statistical information about the tag information.
How to tag security information. 1) 보안정보에 대하여 유사도를 산출하고 유사 여부를 판단하는 단계;
2) 상기 산출된 유사도의 판단 결과에 대응하여 추가 정보를 확인하는 단계;
3) 상기 추가 정보의 존재 여부에 대응하여 외부위협정보의 유무를 검사하는 단계; 및
4) 상기 1), 2) 및 3) 단계의 판단 결과에 대응하여 상기 보안정보를 자동 또는 수동으로 태깅하는 단계를 수행하는,
보안정보 태깅 프로그램이 저장된 기록매체.1) Calculating the degree of similarity for security information and determining whether it is similar;
2) confirming additional information in response to the calculated similarity determination result;
3) checking the presence or absence of external threat information in response to the presence or absence of the additional information; and
4) Performing the step of automatically or manually tagging the security information in response to the determination results of steps 1), 2), and 3),
A recording medium in which the security information tagging program is stored.
KR1020230007558A 2022-10-20 2023-01-18 A system for tagging security information and a method thereof KR20240055600A (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR1020220135920 2022-10-20
KR20220135920 2022-10-20

Publications (1)

Publication Number Publication Date
KR20240055600A true KR20240055600A (en) 2024-04-29

Family

ID=90883768

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020230007558A KR20240055600A (en) 2022-10-20 2023-01-18 A system for tagging security information and a method thereof

Country Status (1)

Country Link
KR (1) KR20240055600A (en)

Similar Documents

Publication Publication Date Title
CN112394922B (en) Decision configuration method, business decision method and decision engine system
US11888883B2 (en) Threat disposition analysis and modeling using supervised machine learning
EP3537325B1 (en) Interactive user interfaces
EP2963578B1 (en) Malware data item analysis
US9324038B2 (en) Method and system for clustering, modeling, and visualizing process models from noisy logs
US10318402B2 (en) Automated software compliance analysis
US9400958B2 (en) Techniques for display of information related to policies
US10776569B2 (en) Generation of annotated computerized visualizations with explanations for areas of interest
US20170206268A1 (en) Visualization of graphical representations of log files
US8381178B2 (en) Intuitive visualization of Boolean expressions using flows
US20180181483A1 (en) Automated software compliance analysis
US20180373880A1 (en) Machine Learning Statistical Methods Estimating Software System's Security Analysis Assessment or Audit Effort, Cost and Processing Decisions
US20130311242A1 (en) Business Process Analytics
Lu et al. Semi-supervised log pattern detection and exploration using event concurrence and contextual information
Sopan et al. Building a Machine Learning Model for the SOC, by the Input from the SOC, and Analyzing it for the SOC
US8286087B1 (en) Active route validation in workflow process authoring
US20140067458A1 (en) Process transformation recommendation generation
CN111638883B (en) Decision engine implementation method based on decision tree
AfzaliSeresht et al. An explainable intelligence model for security event analysis
KR20240055600A (en) A system for tagging security information and a method thereof
JP2019192265A (en) Information processing apparatus, information processing method, and program
US20180336242A1 (en) Apparatus and method for generating a multiple-event pattern query
US8510149B1 (en) Method of constructing causality network graphs and visual inference presentations for business rule applications
JP2010250677A (en) Security-evaluating device, security-evaluating method for security-evaluating device, and security-evaluating program for security-evaluating device
Satapathy et al. Automated software engineering: a deep learning-based approach