[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

KR102061833B1 - Apparatus and method for investigating cyber incidents - Google Patents

Apparatus and method for investigating cyber incidents Download PDF

Info

Publication number
KR102061833B1
KR102061833B1 KR1020150009473A KR20150009473A KR102061833B1 KR 102061833 B1 KR102061833 B1 KR 102061833B1 KR 1020150009473 A KR1020150009473 A KR 1020150009473A KR 20150009473 A KR20150009473 A KR 20150009473A KR 102061833 B1 KR102061833 B1 KR 102061833B1
Authority
KR
South Korea
Prior art keywords
survey
data
investigation
node
range
Prior art date
Application number
KR1020150009473A
Other languages
Korean (ko)
Other versions
KR20160089800A (en
Inventor
이주영
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020150009473A priority Critical patent/KR102061833B1/en
Publication of KR20160089800A publication Critical patent/KR20160089800A/en
Application granted granted Critical
Publication of KR102061833B1 publication Critical patent/KR102061833B1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명의 일 실시예에 따른 사이버 침해 조사 장치는 조사 대상 데이터, 조사 대상 망 정보 및 조사 단서 정보를 입력 받는 통신 인터페이스, 미리 지정된 프로그램을 저장하는 메모리 및 프로그램에 따라 사이버 침해 조사를 수행하는 프로세서를 포함하되, 프로그램은, 조사 대상 데이터 및 조사 대상 망 정보 중 조사 단서 정보와 관련된 데이터를 미리 지정된 기준에 따라 선별하여 수집하고, 데이터에 따라 속성에 따라 위험 노출 지표를 산출하고, 미리 지정된 임계치에 대해 위험 노출 지표가 초과되는 여부에 따라 노드별 피해 레벨을 결정하고, 피해 레벨에 따라 각 노드를 하나 이상의 그룹으로 설정하고, 각 그룹에 상응하는 조사 범위를 표시하고, 조사 범위에 해당하는 노드에 대해 추가 정보를 획득하고, 조사 범위를 피해 범위로 설정하고, 피해 범위에 해당하는 노드에 대한 보고 자료를 생성하도록 구성된다.The cyber infringement investigation apparatus according to an embodiment of the present invention includes a communication interface for receiving survey data, survey network information, and investigation clue information, a memory for storing a predetermined program, and a processor for performing cyber infringement investigation according to the program. The program may include collecting and collecting data related to the survey clue information among the surveyed data and the surveyed network information according to predetermined criteria, calculating the risk exposure indicator according to the attribute according to the data, and for the predetermined threshold. Determine the damage level for each node based on whether the hazard indicators are exceeded, set each node to one or more groups according to the damage level, display the coverage for each group, and for the nodes that fall under the coverage. Obtain additional information, set the scope of the investigation to damage, It is configured to generate a report of a node corresponding to the range.

Description

사이버 침해 사고 조사 장치 및 방법{APPARATUS AND METHOD FOR INVESTIGATING CYBER INCIDENTS}Apparatus and Method for Investigating Cyber Breach Incidents {APPARATUS AND METHOD FOR INVESTIGATING CYBER INCIDENTS}

본 발명은 사이버 침해 사고에 대한 조사를 수행하는 기술에 관한 것으로, 보다 상세하게는 사이버침해사고 발생 시, 사고에 따른 피해 범위를 산정하는 기술에 관한 것이다.
The present invention relates to a technology for performing investigations on cyber infringement accidents, and more particularly, to a technology for calculating a damage range according to an accident when a cyber infringement accident occurs.

최근의 지능적인 사이버 공격은 공격목적, 공격방법, 공격기간 등의 여러 가지 측면에서 기존 사이버 공격과 다른 차원의 양상을 보이면서, 공공기관 및 주요 사회 기반 시설에 큰 위협이 되고 있을 뿐 아니라 일반 기업과 사용자에게 있어서는 기업 기밀정보와 개인정보 침해에 대한 우려를 제공하고 있다.Recently, intelligent cyber attacks show a different dimension from existing cyber attacks in various aspects such as attack purpose, attack method, and duration of attack, and are not only a big threat to public institutions and major social infrastructure, Users are concerned about corporate confidentiality and privacy infringement.

하지만 지금까지는 이러한 공격으로 인해 사이버 침해 사고가 발생했을 때를 대비하기 위한 시스템 및 인력이 갖춰져 있지 않은 실정으로 적시에 사고 원인 규명 및 사고에 따른 피해규모 파악이 어려워 이러한 사고에 대한 체계적인 대응이 어렵다는 문제점이 있다. However, until now, it is difficult to identify the cause of the accident in a timely manner and to identify the damage caused by the accident because it is not equipped with a system and manpower to prepare for when the cyber infringement occurred due to such an attack. There is this.

사이버 침해사고 발생 시, 조직에게 가장 필요로 하는 정보 중에 하나가 정보유출이 발생되었는지 여부와 어떤 정보가 유출되었는지, 얼만큼의 시스템이 어느 정도 피해를 입었는지 등의 피해 규모 및 범위에 대한 정보임에도 불구하고 현실적으로는 이런 내용들은 일일이 수작업에 의해 조사되고 통계를 산출하여 보고되는 상황이다. In the event of a cyber infringement, one of the most necessary information for the organization is information about the extent and extent of the damage, such as whether information leakage has occurred, what information has been leaked, and how much the system has been damaged. Nevertheless, in reality, these contents are manually investigated and statistics are reported.

하지만, 기존에 제안된 방법들은 사이버 침해 사고에 따른 조사 범위를 제안하거나 피해 범위를 산정하는 방법을 제안하지 못함으로써 실질적으로 사이버 침해사고 분석을 위해서는 네트워크 전문가가 수집 및 분석 도구를 기반으로 수집된 데이터를 하나씩 탐색해가면서 의심이 되는 상황을 점검해나가면서 원인을 파악하고, 피해를 받은 시스템을 확인해나가는 방식을 취해오고 있다. 이는 인력 및 시간 등의 비용이 많이 소요될 뿐 아니라 방법이나 산정 기준에 있어 체계적이지 못한 방법으로 인해 결과에 오류가 발생할 확률이 높다는 문제점이 있다.
However, since the proposed methods do not suggest the scope of investigation or estimate the extent of damage due to cyber infringement incidents, the data collected by network experts based on the collection and analysis tools are actually used for the analysis of cyber infringement incidents. We've been exploring each one, looking for suspicious situations, identifying the cause, and identifying the affected system. This is not only costly in terms of manpower and time, but also has a problem in that errors are likely to occur in the result due to an unstructured method in the method or calculation criteria.

본 발명의 해결하고자 하는 과제는 사이버 침해 사고 조사하여 피해 범위 및 규모를 산정하는 사이버 침해 사고 조사 장치 및 방법을 제공하는 것이다.
The problem to be solved of the present invention is to provide a cyber infringement incident investigation apparatus and method for investigating a cyber infringement incident to calculate the extent and scale of the damage.

본 발명의 일 측면에 따르면, 조사 대상 데이터, 조사 대상 망 정보 및 조사 단서 정보를 입력 받는 통신 인터페이스; 미리 지정된 프로그램을 저장하는 메모리; 및 상기 프로그램에 따라 사이버 침해 조사를 수행하는 프로세서;를 포함하되, 상기 프로그램은, 상기 조사 대상 데이터 및 상기 조사 대상 망 정보 중 상기 조사 단서 정보와 관련된 데이터를 미리 지정된 기준에 따라 선별하여 수집하고, 상기 데이터에 따라 속성에 따라 위험 노출 지표를 산출하고, 미리 지정된 임계치에 대해 상기 위험 노출 지표가 초과되는 여부에 따라 노드별 피해 레벨을 결정하고, 상기 피해 레벨에 따라 각 노드를 하나 이상의 그룹으로 설정하고, 각 그룹에 상응하는 조사 범위를 표시하고, 상기 조사 범위에 해당하는 노드에 대해 추가 정보를 획득하고, 상기 조사 범위를 피해 범위로 설정하고, 상기 피해 범위에 해당하는 노드에 대한 보고 자료를 생성하도록 구성되는 것을 특징으로 하는 사이버 침해 조사 장치가 제공된다.According to an aspect of the present invention, a communication interface for receiving survey object data, survey object network information, and survey clue information; A memory for storing a predetermined program; And a processor configured to perform a cyber infringement investigation according to the program, wherein the program selects and collects data related to the investigation clue information among the investigation target data and the investigation target network information according to a predetermined criterion, The risk exposure index is calculated according to the attribute according to the data, the damage level for each node is determined according to whether the risk exposure index is exceeded for a predetermined threshold, and each node is set to one or more groups according to the damage level. Display a survey range corresponding to each group, obtain additional information on the nodes corresponding to the survey range, set the survey range as the damage range, and report data on the nodes corresponding to the damage range. There is provided a cyber infringement investigation apparatus, which is configured to generate.

상기 프로그램은, 각 상기 노드를 조사 범위에 임의로 추가하거나 제거하고, 노드 간의 연결 관계를 변경하는 사용자 인터페이스를 표시하고, 상기 사용자 인터페이스를 통한 사용자 입력에 따라 상기 조사 범위를 변경하도록 구성될 수 있다.The program may be configured to arbitrarily add or remove each node to a survey range, display a user interface for changing a connection relationship between nodes, and change the survey range according to a user input through the user interface.

상기 사용자 인터페이스는 새로운 피해 레벨을 생성하거나 일 피해 레벨에 포함된 노드를 타 피해 레벨로 이동시키는 사용자 인터페이스일 수 있다.The user interface may be a user interface for creating a new damage level or moving a node included in one damage level to another damage level.

상기 프로그램은, 상기 노드 간 데이터가 송수신되는 경로에 따라 상기 노드 간을 연결선으로 연결하고, 상기 조사 범위에 해당하는 노드를 포함하도록 하는 단일폐곡선을 표시하도록 구성될 수 있다.The program may be configured to display a single closed curve connecting the nodes between the nodes according to a path through which data is transmitted and received between the nodes, and including a node corresponding to the irradiation range.

상기 프로그램은, 상기 속성과 각 속성에 대해 미리 설정된 가중치의 곱을 모드 합하여 상기 위험 노출 지표를 산출하도록 구성될 수 있다.The program may be configured to mode sum the product of the attribute and a preset weight for each attribute to calculate the risk exposure indicator.

상기 추가 정보를 획득한 이후 사용자로부터 조사의 계속 진행을 명령하는 입력을 받는 경우, 사용자 입력에 따라 사이버 침해에 해당하지 않는 데이터를 시드 데이터로부터 제외, 가중치 또는 피해레벨을 변경 및 새로운 시드 데이터를 설정 중 하나 이상을 수행하고, 상기 위험 노출 지표를 재산출하여 상기 조사 범위를 재설정할 수 있다.
After receiving the additional information, if the user receives an input for continuing the investigation, excludes data that does not correspond to cyber infringement from the seed data, changes the weight or damage level, and sets new seed data according to the user input. The survey scope may be reset by performing one or more of the above and recalculating the risk exposure indicators.

본 발명의 다른 측면에 따르면, 사이버 침해 조사 장치가 사이버 침해를 조사하는 방법에 있어서, 조사 대상 데이터, 조사 대상 망 정보 및 조사 단서 정보를 입력 받는 단계; 상기 조사 대상 데이터 및 상기 조사 대상 망 정보 중 상기 조사 단서 정보와 관련된 데이터를 미리 지정된 기준에 따라 선별하여 수집하는 단계; 상기 데이터에 따라 속성에 따라 위험 노출 지표를 산출하는 단계; 미리 지정된 임계치(Threshold)에 대해 상기 위험 노출 지표가 초과되는 여부에 따라 노드별 피해 레벨을 결정하는 단계; 상기 피해 레벨에 따라 각 노드를 하나 이상의 그룹으로 설정하고, 각 그룹에 상응하는 조사 범위를 표시하는 단계; 상기 조사 범위에 해당하는 노드에 대해 추가 정보를 획득하는 단계; 상기 조사 범위를 피해 범위로 설정하고, 상기 피해 범위에 해당하는 노드에 대한 보고 자료를 생성하는 단계;를 포함하는 사이버 침해 조사 방법이 제공된다.According to another aspect of the present invention, a method for investigating cyber infringement by the cyber infringement investigation apparatus, the method comprising the steps of: receiving the investigation target data, the investigation target network information and the investigation clue information; Selecting and collecting data related to the survey clue information from the survey target data and the survey target network information according to a predetermined criterion; Calculating a risk exposure indicator according to an attribute according to the data; Determining a damage level for each node according to whether the risk exposure indicator is exceeded for a predetermined threshold; Setting each node to at least one group according to the damage level, and displaying an irradiation range corresponding to each group; Obtaining additional information about a node corresponding to the survey range; A cyber infringement investigation method is provided, comprising: setting the investigation range to a damage range, and generating report data for a node corresponding to the damage range.

상기 사이버 침해 조사 방법은 각 상기 노드를 조사 범위에 임의로 추가하거나 제거하고, 노드 간의 연결 관계를 변경하는 사용자 인터페이스를 표시하는 단계; 및 상기 사용자 인터페이스를 통한 사용자 입력에 따라 상기 조사 범위를 변경하는 단계를 더 포함할 수 있다.The cyber breach investigation method may further include adding or removing each node to an investigation range and displaying a user interface for changing a connection relationship between nodes; And changing the survey range according to a user input through the user interface.

상기 사용자 인터페이스는 새로운 피해 레벨을 생성하거나 일 피해 레벨에 포함된 노드를 타 피해 레벨로 이동시키는 사용자 인터페이스일 수 있다.The user interface may be a user interface for generating a new damage level or moving a node included in one damage level to another damage level.

상기 피해 레벨에 따라 각 노드를 하나 이상의 그룹으로 설정하고, 각 그룹에 상응하는 조사 범위를 표시하는 단계는, 상기 노드 간 데이터가 송수신되는 경로에 따라 상기 노드 간을 연결선으로 연결하고, 상기 조사 범위에 해당하는 노드를 포함하도록 하는 단일폐곡선을 표시하는 단계일 수 있다.The step of setting each node to one or more groups according to the damage level, and displaying the irradiation range corresponding to each group, connecting the nodes between the nodes by a connection line according to the path of the data transmission and reception between the nodes, the irradiation range It may be a step of displaying a single closed curve to include a node corresponding to.

상기 데이터에 따라 속성에 따라 위험 노출 지표를 산출하는 단계는, 상기 속성과 각 속성에 대해 미리 설정된 가중치의 곱을 모드 합하여 상기 위험 노출 지표를 산출하는 단계일 수 있다.The calculating of the risk exposure indicator according to the attribute according to the data may be a step of calculating the risk exposure indicator by mode sum of a product of the attribute and a preset weight for each attribute.

상기 사이버 침해 조사 방법은 상기 추가 정보를 획득한 이후 사용자로부터 조사의 계속 진행을 명령하는 입력을 받는 경우, 사용자 입력에 따라 사이버 침해에 해당하지 않는 데이터를 시드 데이터로부터 제외, 가중치 또는 피해레벨을 변경 및 새로운 시드 데이터를 설정 중 하나 이상을 수행하고, 상기 위험 노출 지표를 재산출하여 상기 조사 범위를 재설정하는 단계를 더 포함할 수 있다.
The cyber infringement investigation method excludes data that does not correspond to cyber infringement from the seed data, and changes the weight or damage level according to the user input when the user receives an input for instructing the investigation to continue after obtaining the additional information. And resetting the survey range by performing one or more of setting new seed data and recalculating the risk exposure indicator.

본 발명의 일 실시예에 따르면, 비전문가 조사관이 장치에서 제공하는 직관적인 정보를 가지고 보다 정확한 사고 원인과 침해 여부 및 범위를 파악하도록 할 수 있다.According to an embodiment of the present invention, a non-expert investigator may have an intuitive information provided by the device to determine a more accurate cause of the accident and whether or not to infringe.

본 발명의 일 실시예에 따르면, 사이버 침해 사고를 조사하기 위한 인력 및 시간 등의 비용을 절감할 수 있다.According to an embodiment of the present invention, it is possible to reduce costs such as manpower and time for investigating cyber infringement incidents.

본 발명의 일 실시에에 따르면, 사이버 침해 사고 조사에 대한 체계적인 방법과 피해에 대한 체계적인 산정 기준을 제공함으로써 조사 및 피해 결과에 신뢰를 높일 수 있다.
According to one embodiment of the present invention, it is possible to increase the confidence in the investigation and damage results by providing a systematic method for the cyber infringement incident investigation and a systematic calculation criteria for damage.

도 1은 본 발명의 일 실시예에 따른 사이버 침해 조사 장치를 예시한 블록도.
도 2는 본 발명의 일 실시예에 따른 사이버 침해 조사 장치가 사이버 침해 조사를 수행하는 과정을 예시한 순서도.
도 3은 본 발명의 일 실시예에 따른 사이버 침해 조사 장치가 조사 범위를 제시한 화면을 예시한 도면.1 is a block diagram illustrating a cyber infringement investigation apparatus according to an embodiment of the present invention.
2 is a flowchart illustrating a process of performing a cyber infringement investigation by the cyber infringement investigation apparatus according to an embodiment of the present invention.
3 is a diagram illustrating a screen in which a cyber infringement investigation apparatus according to an embodiment of the present invention presents an investigation range.

본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 이를 상세한 설명을 통해 상세히 설명하고자 한다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.The present invention may be variously modified and have various embodiments, and specific embodiments will be illustrated in the drawings and described in detail with reference to the accompanying drawings. However, this is not intended to limit the present invention to specific embodiments, it should be understood to include all modifications, equivalents, and substitutes included in the spirit and scope of the present invention.

본 발명을 설명함에 있어서, 관련된 공지 기술에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우 그 상세한 설명을 생략한다. 또한, 본 명세서의 설명 과정에서 이용되는 숫자(예를 들어, 제1, 제2 등)는 하나의 구성요소를 다른 구성요소와 구분하기 위한 식별기호에 불과하다.In describing the present invention, when it is determined that the detailed description of the related known technology may unnecessarily obscure the subject matter of the present invention, the detailed description thereof will be omitted. In addition, numerals (eg, first, second, etc.) used in the description process of the present specification are merely identification symbols for distinguishing one component from another component.

또한, 본 명세서에서, 일 구성요소가 다른 구성요소와 "연결된다" 거나 "접속된다" 등으로 언급된 때에는, 상기 일 구성요소가 상기 다른 구성요소와 직접 연결되거나 또는 직접 접속될 수도 있지만, 특별히 반대되는 기재가 존재하지 않는 이상, 중간에 또 다른 구성요소를 매개하여 연결되거나 또는 접속될 수도 있다고 이해되어야 할 것이다.In addition, in the present specification, when one component is referred to as "connected" or "connected" with another component, the one component may be directly connected or directly connected to the other component, but in particular It is to be understood that, unless there is an opposite substrate, it may be connected or connected via another component in the middle.

이하, 본 발명의 실시예를 첨부한 도면들을 참조하여 상세히 설명하기로 한다. 본 발명을 설명함에 있어 전체적인 이해를 용이하게 하기 위하여 도면 번호에 상관없이 동일한 수단에 대해서는 동일한 참조 번호를 사용하기로 한다.
Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings. In the following description of the present invention, the same reference numerals will be used for the same means regardless of the reference numerals in order to facilitate the overall understanding.

도 1은 본 발명의 일 실시예에 따른 사이버 침해 조사 장치를 예시한 블록도이다.1 is a block diagram illustrating a cyber infringement investigation apparatus according to an embodiment of the present invention.

도 1을 참조하면, 본 발명의 일 실시예에 따른 사이버 침해 조사 장치는 통신 인터페이스(110), 프로세서(120), 메모리(130), 스토리지(140), 디스플레이(150) 및 입력 인터페이스(160)를 포함한다.Referring to FIG. 1, a cyber infringement investigation apparatus according to an embodiment of the present invention may include a communication interface 110, a processor 120, a memory 130, a storage 140, a display 150, and an input interface 160. It includes.

통신 인터페이스(110)는 미리 지정된 프로토콜에 따라 외부 디바이스 또는 통신망을 통해 조사 대상 데이터, 조사 대상이 되는 도메인의 조사 대상 망 정보 및 조사 단서 정보를 입력으로 받는다. 여기서 조사 대상 데이터는 네트워크 패킷, 보안 장비 로그, 시스템 로그, 악성 파일 정보, 각 패킷의 발신 또는 수신지의 IP 주소(Internet Protocol address) 및 URL(Uniform Resource Locator) 정보 등 사고 조사를 위해 수집 가능한 모든 데이터를 의미한다. 조사 대상 망 정보는 조사 기관 내부 망 구조 및 현황을 파악할 수 있는 정보로써 네트워크 토폴로지, 시스템 이름, 각 시스템의 IP 주소, 시스템 간의 물리적 연결성을 파악할 수 있는 정보를 의미한다. 조사 단서 정보는 조사관이 조사를 시작하기 위해 입력하는 정보로 IP 주소, URI, 악성코드 정보, 시간 정보 등이 될 수 있다.The communication interface 110 receives, as an input, survey target data, survey target network information, and survey clue information of a domain to be surveyed through an external device or a communication network according to a predetermined protocol. Here, the data to be investigated can be collected for all incident investigation such as network packet, security equipment log, system log, malicious file information, Internet Protocol address (IP address) and Uniform Resource Locator (URL) information of each packet origination or destination. Means data. The network information to be investigated is information that can grasp the internal structure and current status of the research institute, and means information that can identify the network topology, system name, IP address of each system, and physical connectivity between systems. Investigation lead information is information input by an investigator to start an investigation, and may be an IP address, a URI, malware information, or time information.

프로세서(120)는 메모리(130)에 저장된 프로그램에 따라 사이버 침해 조사를 수행하여 피해 범위 및 규모를 산정한다.The processor 120 performs a cyber infringement investigation according to a program stored in the memory 130 to calculate a damage range and magnitude.

메모리(130)는 사이버 침해 조사를 수행하여 피해 범위 및 규모를 산정하는 프로그램을 로딩하고, 해당 프로그램을 프로세서(120)로 제공한다. 메모리(130)는 랜덤 엑세스 메모리 등의 휘발성 메모리일 수 있다.The memory 130 loads a program that performs a cyber infringement investigation to calculate a damage range and magnitude, and provides the program to the processor 120. The memory 130 may be a volatile memory such as a random access memory.

스토리지(140)는 프로그램을 저장하고, 메모리(130)는 스토리지(140)에 저장된 프로그램을 로딩할 수 있다. 스토리지(140)는 하드디스크, 플래시(flash) 메모리 등의 비휘발성 저장 매체일 수 있다.The storage 140 may store a program, and the memory 130 may load a program stored in the storage 140. The storage 140 may be a nonvolatile storage medium such as a hard disk or a flash memory.

디스플레이(150)는 프로세서(120)에 의해서 산정된 사이버 침해에 따른 피해 범위 및 규모를 표시한다. 또한, 디스플레이(150)는 사용자로부터 사이버 침해 조사에 필요한 입력을 받기 위한 사용자 인터페이스(user interface)를 출력한다.The display 150 displays the extent and magnitude of the damage caused by the cyber infringement calculated by the processor 120. In addition, the display 150 outputs a user interface for receiving input required for cyber infringement investigation from the user.

입력 인터페이스(160)는 사용자의 입력을 받는다. 입력 인터페이스(160)는 키보드, 마우스 등의 공지된 방식의 입력 장치일 수 있다.
The input interface 160 receives a user's input. The input interface 160 may be a known type of input device such as a keyboard or a mouse.

도 2는 본 발명의 일 실시예에 따른 사이버 침해 조사 장치가 사이버 침해 조사를 수행하는 과정을 예시한 순서도이고, 도 3은 본 발명의 일 실시예에 따른 사이버 침해 조사 장치가 조사 범위를 제시한 화면을 예시한 도면이다. 이하 설명하는 각 과정은 사이버 침해 조사 장치를 구성하는 각 기능부를 통해 수행되는 과정이나 발명의 간결하고 명확한 설명을 위해 각 단계의 주체를 사이버 침해 조사 장치로 통칭하고, 각 기능부 간의 신호 전송 과정 등의 일반적인 과정에 대한 설명은 생략하기로 한다.2 is a flowchart illustrating a process of performing a cyber infringement investigation by the cyber infringement investigation apparatus according to an embodiment of the present invention, Figure 3 is a cyber infringement investigation apparatus according to an embodiment of the present invention showing the scope of investigation The figure illustrates a screen. Each process described below is a process performed through each functional unit constituting the cyber infringement investigation apparatus or collectively referred to as the cyber infringement investigation apparatus for the concise and clear explanation of the invention, the signal transmission process between each functional unit, etc. A description of the general process of the description will be omitted.

도 2를 참조하면, 단계 210에서 사이버 침해 조사 장치는 조사 대상 데이터, 조사 대상 망 정보 및 조사 단서 정보를 입력 받는다.Referring to FIG. 2, in step 210, the cyber infringement investigation apparatus receives the investigation target data, the investigation target network information, and the investigation clue information.

단계 220에서 사이버 침해 조사 장치는 공격 시나리오 모델링 및 데이터 수집을 수행한다. 예를 들어, 사이버 침해 조사 장치는 조사 대상 데이터를 시드 데이터(seed data)로 설정하고, 시드 데이터에 대해 미리 지정된 공지된 방법에 따라 공격 시나리오를 모델링한다. 사이버 침해 조사 장치는 특정 IP 주소나 URL이 포함된 세션 데이터, 트랜잭션 데이터, 패킷 데이터를 수집, 특정 시간 내의 송수신 또는 발생한 모든 데이터를 수집 및 특정 악성코드를 포함하는 파일들을 수집하는 등 조사 대상 정보 및 조사 대상 망 정보 중에서 조사 단서 정보와 관계가 있을 것으로 여겨지는 데이터를 미리 지정된 기준에 따라 선별해서 수집한다. 이 때, 사이버 침해 조사 장치는 복수의 공격 시나리오 각각에 상응하는 데이터 선별 기준을 미리 저장할 수 있고, 모델링된 공격 시나리오에 상응하는 데이터 선별 기준에 따라 조사 대상 정보 및 조사 대상 망 정보 중 일부를 선별할 수 있다.In operation 220, the cyber breach investigation apparatus performs attack scenario modeling and data collection. For example, the cyber infringement investigation apparatus sets the investigation target data as seed data and models an attack scenario according to a known method previously specified for the seed data. The cyber infringement investigation apparatus collects session data, transaction data, and packet data including a specific IP address or URL, collects all data transmitted or received within a specific time, and collects files including specific malicious code, Among the network information to be surveyed, data that is considered to be related to the survey clue information is collected and collected according to predetermined criteria. In this case, the cyber infringement investigation apparatus may store data selection criteria corresponding to each of the plurality of attack scenarios in advance, and select some of the investigation target information and the investigation target network information according to the data selection criteria corresponding to the modeled attack scenario. Can be.

단계 230에서 사이버 침해 조사 장치는 노드 별 위험 노출 지표 산출한다. 예를 들어, 사이버 침해 조사 장치는 수집된 데이터 및 입력 정보를 이용해 노드 간의 인접성, 정보(악성정보 및 행위 등에 따른 정보)의 흐름 파악을 통한 구조 분석에 따른 노드의 중요도(예를 들어, 각 노드에 대한 역할, 타 노드에 의해 접속되는 횟수, 미리 지정된 주요 서버에 연결되는 여부 등의 미리 지정된 기준에 따라 중요도가 설정될 수 있음), 단서 발견 여부, 단서의 위험도(미리 설정된 분류 기준에 따라 조사 단서 정보를 분류하고, 분류에 따라 각 조사 단서 정보의 위험도가 설정될 수 있음) 등을 통한 노드 분석 결과를 반영하여 노드 별 위험 노출 지표를 하기의 수학식 1과 같이 계산한다. 이 때, 노드는 단일 시스템 또는 각 시스템을 구성하는 장치를 지칭한다.In operation 230, the cyber breach investigation apparatus calculates a risk exposure index for each node. For example, the cyber infringement investigation apparatus uses the collected data and the input information to determine the importance of the nodes (eg, each node) according to the structural analysis through grasping the flow of proximity between the nodes and information (information based on malicious information and behavior). The importance can be set according to predefined criteria such as the role of the server, the number of connections by other nodes, and whether it is connected to a pre-designated major server. The risk exposure index for each node is calculated as shown in Equation 1 below by classifying the clue information and reflecting the result of the node analysis through the classification). At this time, the node refers to a single system or a device constituting each system.

[수학식 1][Equation 1]

Figure 112015005989708-pat00001
Figure 112015005989708-pat00001

Where,

Figure 112015005989708-pat00002

Where,
Figure 112015005989708-pat00002

여기서 A는 위험 노출 지표 계산에 반영되는 속성들의 집합이고, W는 A의 각 요소에 대응하는 가중치들의 집합이다. 위험 노출 지표 계산에 반영되는 속성은 노드 간의 인접성, 정보(악성정보 및 행위 등에 따른 정보)의 흐름 파악을 통한 구조 분석에 따른 노드의 중요성, 사건 단서 발견 여부, 단서의 위험도 등을 미리 설정된 기준에 따라 산정한 수치일 수 있다.Where A is a set of attributes reflected in the risk exposure indicator calculation and W is a set of weights corresponding to each element of A. The attributes reflected in the risk exposure indicator calculation are based on the pre-established criteria such as the importance of the nodes according to the structural analysis through the analysis of the proximity of the nodes and the flow of information (information based on malicious information and behaviors). It can be calculated according to.

단계 240에서 사이버 침해 조사 장치는 노드별 위험 노출 지표에 따른 노드별 피해 레벨을 결정한다. 예를 들어, 사이버 침해 조사 장치는 각 피해 레벨에 상응하여 미리 지정된 임계치(Threshold)에 대해 위험 노출 지표가 초과되는 여부에 따라 노드별 피해 레벨을 결정할 수 있다. In operation 240, the cyber breach investigation apparatus determines the damage level for each node according to the risk exposure index for each node. For example, the cyber infringement investigation apparatus may determine the damage level for each node according to whether the risk exposure indicator is exceeded for a predetermined threshold corresponding to each damage level.

단계 250에서 사이버 침해 조사 장치는 피해 레벨에 따라 각 노드를 하나 이상의 그룹으로 설정하고, 각 그룹에 상응하는 조사 범위를 사용자에게 제안한다. 이 때, 조사 범위는 각 피해 레벨 별로 미리 지정될 수 있고, 사이버 침해 조사 장치는 각 피해 레벨에 상응하는 조사 범위를 표시할 수 있다. 또한, 사이버 침해 조사 장치는 각 조사 범위 내에서 위험 노출 지표가 높은 순으로 각 노드의 조사 우선 순위를 표시할 수 있다. 이 때, 조사 우선 순위는 조사가 진행되는 순서를 의미한다. 도 3을 참조하면, 사이버 침해 조사 장치는 피해 대상이 포함된 전체 시스템의 노드들이 연결선으로 연결되도록 도식화하고, 각 조사 범위를 해당 조사 범위에 해당하는 노드를 포함하도록 하는 단일폐곡선으로 표시할 수 있다. 즉, 사이버 침해 조사 장치는 310과 같이 4개의 노드를 포함하는 단일 폐곡선을 제1 피해 레벨에 따른 조사 범위로써 표시하고, 11개의 노드를 포함하는 단일 폐곡선을 제2 피해 레벨에 따른 조사 범위로써 표시할 수 있다. 사이버 침해 조사 장치는 각 노드간의 연결선을 통해 시스템 간의 인접성 및 시스템간 정보의 흐름(데이터가 송수신되는 경로)을 표현할 수 있다. 또한, 사이버 침해 조사 장치는 위험 노출 레벨에 따라 그라데이션으로 표시하는 등의 각 노드의 색상을 달리 표시하거나 각 노드의 크기를 달리 표시하여 각 노드에 대한 위험 노출 정도를 표시할 수 있다.In operation 250, the cyber infringement investigation apparatus sets each node into one or more groups according to the damage level, and proposes a survey range corresponding to each group to the user. In this case, the irradiation range may be previously designated for each damage level, and the cyber infringement investigation apparatus may display an irradiation range corresponding to each damage level. In addition, the cyber infringement investigation apparatus may display the investigation priority of each node in the order of the high risk exposure index within each investigation range. At this time, the research priority means the order in which the research proceeds. Referring to FIG. 3, the cyber infringement investigation apparatus may map nodes of the entire system including the victim to be connected by a connection line, and display each investigation range as a single closed curve to include nodes corresponding to the investigation range. . That is, the cyber infringement investigation apparatus displays a single closed curve including four nodes as the irradiation range according to the first damage level, such as 310, and displays a single closed curve including eleven nodes as the irradiation range according to the second damage level. can do. The cyber infringement investigation apparatus may express the proximity between systems and the flow of information (paths through which data is transmitted and received) between systems through connection lines between nodes. In addition, the cyber infringement investigation apparatus may display the risk exposure level for each node by differently displaying the color of each node such as gradation according to the risk exposure level or by displaying the size of each node differently.

또한, 사이버 침해 조사 장치는 노드를 조사 범위에 임의로 추가하거나 제거하고, 노드 간의 연결선을 편집하여 노드 간 연결 관계를 변경하고, 새로운 피해 레벨을 생성하거나 일 피해 레벨에 포함된 노드를 타 피해 레벨로 이동시키는 등의 편집을 수행할 수 있는 사용자 인터페이스를 표시하고, 해당 사용자 인터페이스에 대한 사용자의 입력에 따라 조사 범위를 수정할 수 있다. In addition, the cyber infringement investigation apparatus arbitrarily adds or removes nodes to the scope of investigation, edits the connection lines between nodes to change the connection relationship between nodes, creates new damage levels, or moves nodes included in one damage level to other damage levels. A user interface for editing such as moving can be displayed, and the survey range can be modified according to a user's input to the user interface.

단계 260에서 사이버 침해 조사 장치는 타임라인 분석, 내용 분석, 연관 분석 등 공지된 조사 기능을 이용하여 침해 사고와 연관이 있는 데이터 검색 및 분석을 통한 추가 정보를 획득한다. 이 때, 사이버 침해 조사 장치는 추가 정보를 표시한다.In operation 260, the cyber infringement investigation apparatus obtains additional information through data search and analysis related to the infringement incident using a known investigation function such as timeline analysis, content analysis, and association analysis. At this time, the cyber infringement investigation apparatus displays additional information.

단계 270에서 사이버 침해 조사 장치는 사용자로부터 사이버 침해 조사를 종료할지 여부를 선택하는 조사 완료 선택 입력을 받는다. 이 때, 사용자는 추가 정보 확인하여 조사를 완료하거나 조사를 계속 진행하는 것을 명령하는 조사 완료 선택 입력을 할 수 있다.In operation 270, the cyber infringement investigation apparatus receives an investigation completion selection input for selecting whether to terminate the cyber infringement investigation. At this time, the user may make a survey completion selection input for confirming additional information to complete the survey or to continue the survey.

단계 270에서 조사 완료 선택 입력이 조사 완료를 명령하는 입력인 경우, 단계 280에서 사이버 침해 조사 장치는 현 조사 범위를 피해 범위를 확정하고, 피해 범위에 해당하는 각 노드의 정보를 포함하는 보고 자료를 생성한다.If the investigation completion selection input in step 270 is an input for commanding the investigation completion, in step 280, the cyber infringement investigation apparatus determines the damage range of the current investigation range, and reports the report data including the information of each node corresponding to the damage range. Create

단계 270에서 조사 완료 선택 입력이 조사의 계속 진행을 명령하는 입력인 경우, 단계 290에서 사이버 침해 조사 장치는 사용자로부터 사이버 침해에 해당하지 않는 데이터를 시드 데이터로부터 제외하여 오류를 수정하는 입력, 가중치 또는 피해레벨을 변경하는 입력 및 새로운 시드 데이터를 설정하는 입력을 받을 수 있다. 이후, 사이버 침해 조사 장치는 단계 220부터의 과정을 다시 수행한다.
In step 270, if the investigation completed selection input is an input for instructing the investigation to continue, in step 290, the cyber infringement investigation apparatus excludes data that does not correspond to cyber infringement from the user from the seed data to correct an error, weight or You can receive input to change the damage level and input to set new seed data. Thereafter, the cyber infringement investigation apparatus performs the process from step 220 again.

상기에서는 본 발명의 바람직한 실시예를 참조하여 설명하였지만, 해당 기술 분야에서 통상의 지식을 가진 자라면 하기의 특허 청구의 범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.Although the above has been described with reference to a preferred embodiment of the present invention, those skilled in the art to which the present invention pertains without departing from the spirit and scope of the present invention as set forth in the claims below It will be appreciated that modifications and variations can be made.

Claims (12)

조사 대상 데이터, 조사 대상 망 정보 및 조사 단서 정보를 입력 받는 통신 인터페이스;
미리 지정된 프로그램을 저장하는 메모리; 및
상기 프로그램에 따라 사이버 침해 조사를 수행하는 프로세서를 포함하되,
상기 프로그램은,
상기 조사 대상 데이터 및 상기 조사 대상 망 정보 중 상기 조사 단서 정보와 관련된 데이터를 미리 지정된 기준에 따라 선별하여 수집하고,
상기 수집된 데이터의 속성에 따라 위험 노출 지표를 산출하고,
미리 지정된 임계치에 대해 상기 위험 노출 지표가 초과되는 여부에 따라 노드별 피해 레벨을 결정하고,
상기 피해 레벨에 따라 각 노드를 하나 이상의 그룹으로 설정하고, 각 그룹에 상응하는 조사 범위를 표시하고,
상기 조사 범위에 해당하는 노드에 대해 추가 정보를 획득하고,
상기 조사 범위를 피해 범위로 설정하고, 상기 피해 범위에 해당하는 노드에 대한 보고 자료를 생성하도록 구성되고,
상기 수집된 데이터의 속성은 노드 간의 인접성, 정보의 흐름 파악을 통한 구조 분석에 따른 노드의 중요도, 단서 발견 여부, 혹은 단서의 위험도에 대응하는 미리 설정된 기준에 따른 수치들을 포함하고,
상기 수치들의 각각에 대응하는 가중치가 결정된 것을 특징으로 하는 사이버 침해 조사 장치.
A communication interface for receiving survey data, survey network information, and survey clue information;
A memory for storing a predetermined program; And
Including a processor for performing a cyber infringement investigation in accordance with the program,
The program,
Selecting and collecting data related to the survey clue information from the survey target data and the survey target network information according to a predetermined criterion;
Calculating a risk exposure indicator according to the attributes of the collected data,
Determine the damage level for each node according to whether the risk exposure indicator is exceeded for a predetermined threshold,
Set each node to one or more groups according to the damage level, display a survey range corresponding to each group,
Obtaining additional information about a node corresponding to the survey range,
Set the investigation range to a damage range, and generate report data for a node corresponding to the damage range;
The attributes of the collected data include numerical values according to predetermined criteria corresponding to node importance, clue finding, or risk of clue according to structural analysis through grasping flow of information.
And a weight corresponding to each of the numerical values is determined.
제1 항에 있어서,
상기 프로그램은,
각 상기 노드를 조사 범위에 임의로 추가하거나 제거하고, 노드 간의 연결 관계를 변경하는 사용자 인터페이스를 표시하고,
상기 사용자 인터페이스를 통한 사용자 입력에 따라 상기 조사 범위를 변경하도록 구성되는 것을 특징으로 하는 사이버 침해 조사 장치.
According to claim 1,
The program,
Display a user interface for arbitrarily adding or removing each said node to a survey range, changing the connection relationship between the nodes,
The cyber infringement investigation apparatus, characterized in that configured to change the investigation range in accordance with a user input through the user interface.
제2 항에 있어서,
상기 사용자 인터페이스는 새로운 피해 레벨을 생성하거나 일 피해 레벨에 포함된 노드를 타 피해 레벨로 이동시키는 사용자 인터페이스인 것을 특징으로 하는 사이버 침해 조사 장치.
The method of claim 2,
And the user interface is a user interface for generating a new damage level or moving a node included in one damage level to another damage level.
제1 항에 있어서,
상기 프로그램은,
상기 노드 간 데이터가 송수신되는 경로에 따라 상기 노드 간을 연결선으로 연결하고,
상기 조사 범위에 해당하는 노드를 포함하도록 하는 단일폐곡선을 표시하도록 구성되는 것을 특징으로 하는 사이버 침해 조사 장치.
According to claim 1,
The program,
Connecting the nodes between the nodes according to a path through which data is transmitted and received between the nodes;
And a single closed curve for displaying a node corresponding to the survey range.
제1 항에 있어서,
상기 프로그램은,
상기 속성과 각 속성에 대해 미리 설정된 가중치의 곱을 모드 합하여 상기 위험 노출 지표를 산출하도록 구성되는 것을 특징으로 하는 사이버 침해 조사 장치.
According to claim 1,
The program,
And summing the product of the attribute and a preset weight for each attribute to calculate the risk exposure indicator.
제5 항에 있어서,
상기 프로그램은,
상기 추가 정보를 획득한 이후 사용자로부터 조사의 계속 진행을 명령하는 입력을 받는 경우, 사용자 입력에 따라 사이버 침해에 해당하지 않는 데이터를 시드 데이터로부터 제외, 가중치 또는 피해레벨을 변경 및 새로운 시드 데이터를 설정 중 하나 이상을 수행하고, 상기 위험 노출 지표를 재산출하여 상기 조사 범위를 재설정하는 것을 특징으로 하는 사이버 침해 조사 장치.
The method of claim 5,
The program,
After receiving the additional information, if the user receives an input for continuing the investigation, excludes data that does not correspond to cyber infringement from the seed data, changes the weight or damage level, and sets new seed data according to the user input. And conducting at least one of the at least one risk exposure indicator and resetting the survey range.
사이버 침해 조사 장치가 사이버 침해를 조사하는 방법에 있어서,
조사 대상 데이터, 조사 대상 망 정보 및 조사 단서 정보를 입력 받는 단계;
상기 조사 대상 데이터 및 상기 조사 대상 망 정보 중 상기 조사 단서 정보와 관련된 데이터를 미리 지정된 기준에 따라 선별하여 수집하는 단계;
상기 데이터에 따라 속성에 따라 위험 노출 지표를 산출하는 단계;
미리 지정된 임계치(Threshold)에 대해 상기 위험 노출 지표가 초과되는 여부에 따라 노드별 피해 레벨을 결정하는 단계;
상기 피해 레벨에 따라 각 노드를 하나 이상의 그룹으로 설정하고, 각 그룹에 상응하는 조사 범위를 표시하는 단계;
상기 조사 범위에 해당하는 노드에 대해 추가 정보를 획득하는 단계;
상기 조사 범위를 피해 범위로 설정하고, 상기 피해 범위에 해당하는 노드에 대한 보고 자료를 생성하는 단계;를 포함하고,
상기 수집된 데이터의 속성은 노드 간의 인접성, 정보의 흐름 파악을 통한 구조 분석에 따른 노드의 중요도, 단서 발견 여부, 혹은 단서의 위험도에 대응하는 미리 설정된 기준에 따른 수치들을 포함하고,
상기 수치들의 각각에 대응하는 가중치가 결정된 것을 특징으로 하는 사이버 침해 조사 방법.
In the way that the cyber infringement investigation device investigates cyber infringement,
Receiving survey data, survey network information, and survey clue information;
Selecting and collecting data related to the survey clue information from the survey target data and the survey target network information according to a predetermined criterion;
Calculating a risk exposure indicator according to an attribute according to the data;
Determining a damage level for each node according to whether the risk exposure indicator is exceeded for a predetermined threshold;
Setting each node to at least one group according to the damage level, and displaying an irradiation range corresponding to each group;
Obtaining additional information about a node corresponding to the survey range;
Setting the survey range to a damage range and generating report data on a node corresponding to the damage range;
The attributes of the collected data include numerical values according to predetermined criteria corresponding to node importance, clue finding, or risk of clue according to structural analysis through grasping flow of information.
And a weight corresponding to each of the numerical values is determined.
삭제delete 삭제delete 삭제delete 삭제delete 삭제delete
KR1020150009473A 2015-01-20 2015-01-20 Apparatus and method for investigating cyber incidents KR102061833B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020150009473A KR102061833B1 (en) 2015-01-20 2015-01-20 Apparatus and method for investigating cyber incidents

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020150009473A KR102061833B1 (en) 2015-01-20 2015-01-20 Apparatus and method for investigating cyber incidents

Publications (2)

Publication Number Publication Date
KR20160089800A KR20160089800A (en) 2016-07-28
KR102061833B1 true KR102061833B1 (en) 2020-01-02

Family

ID=56681714

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020150009473A KR102061833B1 (en) 2015-01-20 2015-01-20 Apparatus and method for investigating cyber incidents

Country Status (1)

Country Link
KR (1) KR102061833B1 (en)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102047782B1 (en) 2017-01-04 2019-11-22 한국전자통신연구원 Method and apparatus for recognizing cyber threats using correlational analytics
KR101910789B1 (en) 2017-02-28 2018-10-24 한국인터넷진흥원 Method for calculating similarity between incident resources
KR101959213B1 (en) 2017-02-28 2019-03-18 한국인터넷진흥원 Method for predicting cyber incident and Apparatus thereof
KR101886147B1 (en) * 2017-11-24 2018-08-08 한국인터넷진흥원 Method for analysing cyber threat intellegence data and apparauts thereof
US11005869B2 (en) 2017-11-24 2021-05-11 Korea Internet & Security Agency Method for analyzing cyber threat intelligence data and apparatus thereof
KR102592868B1 (en) * 2022-06-07 2023-10-20 주식회사 카카오페이 Methods and electronic devices for analyzing cybersecurity threats to organizations
US11729195B1 (en) 2022-09-15 2023-08-15 Cyviation Ltd Computerized-system and computerized-method for detecting cyber-attacks on avionic communications of an airborne computerized-device

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009504104A (en) * 2005-08-03 2009-01-29 カリプティクス セキュリティ System and method for realizing adaptive security by dynamically learning network environment
KR100980117B1 (en) * 2010-06-25 2010-09-07 (주)뉴데이소프트 Analyzing method for leakage threat of internal information
KR101384618B1 (en) * 2013-10-30 2014-04-11 주식회사 이글루시큐리티 A system for analyzing dangerous situation using node analysis

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009504104A (en) * 2005-08-03 2009-01-29 カリプティクス セキュリティ System and method for realizing adaptive security by dynamically learning network environment
KR100980117B1 (en) * 2010-06-25 2010-09-07 (주)뉴데이소프트 Analyzing method for leakage threat of internal information
KR101384618B1 (en) * 2013-10-30 2014-04-11 주식회사 이글루시큐리티 A system for analyzing dangerous situation using node analysis

Also Published As

Publication number Publication date
KR20160089800A (en) 2016-07-28

Similar Documents

Publication Publication Date Title
KR102061833B1 (en) Apparatus and method for investigating cyber incidents
US20220014556A1 (en) Cybersecurity profiling and rating using active and passive external reconnaissance
CN106534146B (en) A kind of safety monitoring system and method
US12058177B2 (en) Cybersecurity risk analysis and anomaly detection using active and passive external reconnaissance
US20240364749A1 (en) Automated internet-scale web application vulnerability scanning and enhanced security profiling
CN111355697B (en) Detection method, device, equipment and storage medium for botnet domain name family
CN106209759A (en) Detection resides in the apocrypha on network
US20210281609A1 (en) Rating organization cybersecurity using probe-based network reconnaissance techniques
CN105659245A (en) Context-aware network forensics
CN101588247A (en) A system and method for detecting server leak
KR20180082504A (en) Methods and equipment for application information risk management
CN105404631B (en) Picture identification method and device
CN110365698A (en) Methods of risk assessment and device
CN107342913B (en) Detection method and device for CDN node
US9917858B2 (en) Honey user
CN106034054A (en) Redundant access control list ACL rule file detection method and apparatus thereof
KR20210030361A (en) Systems and methods for reporting computer security incidents
CN104486320B (en) Intranet sensitive information leakage evidence-obtaining system and method based on sweet network technology
KR20180079434A (en) Virus database acquisition methods and devices, equipment, servers and systems
CN107294743A (en) A kind of network path detection method, controller and the network equipment
CN110891071A (en) Network traffic information acquisition method, device and related equipment
CN113032774B (en) Training method, device and equipment of anomaly detection model and computer storage medium
JPWO2019224932A1 (en) Security coping ability measurement system, method and program
CN107332731A (en) A kind of test system and test envelope for network security monitoring device
Ashawa et al. Digital Forensics Challenges in Cyberspace: Overcoming Legitimacy and Privacy Issues Through Modularisation

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant