[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

KR102380559B1 - 사이버 위협 경보 유형들의 상관관계를 결정하는 방법 및 상기 방법을 수행하는 상관관계 결정 장치 - Google Patents

사이버 위협 경보 유형들의 상관관계를 결정하는 방법 및 상기 방법을 수행하는 상관관계 결정 장치 Download PDF

Info

Publication number
KR102380559B1
KR102380559B1 KR1020200056137A KR20200056137A KR102380559B1 KR 102380559 B1 KR102380559 B1 KR 102380559B1 KR 1020200056137 A KR1020200056137 A KR 1020200056137A KR 20200056137 A KR20200056137 A KR 20200056137A KR 102380559 B1 KR102380559 B1 KR 102380559B1
Authority
KR
South Korea
Prior art keywords
threat alert
threat
type
alert
correlation
Prior art date
Application number
KR1020200056137A
Other languages
English (en)
Other versions
KR20210137821A (ko
Inventor
박용우
조성영
한인성
김민철
Original Assignee
국방과학연구소
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 국방과학연구소 filed Critical 국방과학연구소
Priority to KR1020200056137A priority Critical patent/KR102380559B1/ko
Publication of KR20210137821A publication Critical patent/KR20210137821A/ko
Application granted granted Critical
Publication of KR102380559B1 publication Critical patent/KR102380559B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0631Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
    • H04L41/065Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis involving logical or physical relationship, e.g. grouping and hierarchies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/06Generation of reports

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Alarm Systems (AREA)

Abstract

본 발명의 일 실시 예에 따른 위협 경보 유형들의 상관관계를 결정하는 방법은, 복수의 위협 경보들을 기 설정된 분류체계에 따라 제1 위협 경보 유형과 제2 위협 경보 유형으로 분류하는 단계; 상기 제2 위협 경보 유형에 포함된 제2 위협 경보가 상기 제1 위협 경보 유형에 포함된 제1 위협 경보와 연관성이 있는지 여부를 결정하는 단계; 및 상기 연관성에 기초하여, 상기 제2 위협 경보 유형이 상기 제1 위협 경보 유형과 상관관계에 있는지 여부를 결정하는 단계를 포함할 수 있다.

Description

사이버 위협 경보 유형들의 상관관계를 결정하는 방법 및 상기 방법을 수행하는 상관관계 결정 장치 {METHOD OF DETERMINING CORRELATION OF CYBER THREAT ALERT TYPES AND CORRELATION DETERMINATION DEVICE PERFORMING METHOD}
본 발명은 사이버 위협 경보 유형들의 상관관계를 결정하는 방법 및 상기 방법을 수행하는 상관관계 분석 장치에 관한 것이다.
조직의 네트워크 및 호스트에 대한 정교한 사이버 공격이 지속적으로 증가함에 따라, IDS와 방화벽과 같은 보안 센서에서 많은 양의 위협 경보(threat alert)가 빠른 속도로 생성되고 있다. 수많은 위협 경보들 중에서 유의미한 정보를 수작업으로 분석하는 것은 사실상 불가능함에 따라, 수많은 위협 경보들 사이의 상관관계를 분석하고, 그 결과를 사람이 이해할 수 있는 형태로 요약하는 사이버 위협 경보 상관관계 분석 기술이 요구되고 있다.
사이버 위협 경보들 사이의 상관관계를 분석하는 방법으로는 전문가가 사전에 작성한 규칙을 이용하는 방법, 이전에 발생한 공격 시나리오와의 유사성을 비교하는 방법 및 확률 통계 기반의 머신러닝 알고리즘을 이용하는 방법 등이 널리 이용되고 있다.
다만, 종래의 방법은 전문가의 역량에 지나치게 의존하거나, 수학적 수식을 정의하는데 그쳐 알고리즘의 효율성이 떨어지는 문제가 있었다.
본 발명이 해결하고자 하는 과제는, 전술한 문제를 해결하기 위하여, 서로 다른 위협 경보 유형에 포함된 위협 경보들 사이에 연관성을 분석하여 위협 경보 유형들 사이의 상관관계를 결정하는 방법을 제공하는 것이다.
다만, 본 발명이 해결하고자 하는 과제는 이상에서 언급한 것으로 제한되지 않으며, 언급되지 않은 또 다른 해결하고자 하는 과제는 아래의 기재로부터 본 발명이 속하는 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.
본 발명의 일 실시 예에 따른 위협 경보 유형들의 상관관계를 결정하는 방법은, 복수의 위협 경보들을 기 설정된 분류체계에 따라 제1 위협 경보 유형과 제2 위협 경보 유형으로 분류하는 단계; 상기 제2 위협 경보 유형에 포함된 제2 위협 경보가 상기 제1 위협 경보 유형에 포함된 제1 위협 경보와 연관성이 있는지 여부를 결정하는 단계; 및 상기 연관성에 기초하여, 상기 제2 위협 경보 유형이 상기 제1 위협 경보 유형과 상관관계에 있는지 여부를 결정하는 단계를 포함할 수 있다.
상기 연관성이 있는지 여부를 결정하는 단계는, 기 설정된 속성 정보에 따라, 상기 제2 위협 경보로부터 제2 추출 값을 추출하는 단계; 상기 제2 추출 값이 상기 제1 위협 경보로부터 기 추출한 제1 추출 값과 동일한지 여부를 결정하는 단계; 상기 제2 위협 경보를 감지한 제2 감지 시간과 상기 제2 위협 경보가 감지되기 전에 감지된 상기 제1 위협 경보를 감지한 제1 감지 시간의 차이가 기 설정된 시간 구간 내에 있는지 여부를 결정하는 단계; 및 상기 동일 여부 및 상기 시간 구간 내에 있는지 여부에 기초하여, 상기 제2 위협 경보가 상기 제1 위협 경보와 연관성이 있는지 여부를 결정하는 단계를 포함할 수 있다.
상기 제2 추출 값이 상기 제1 추출 값과 동일하고, 상기 제2 감지 시간과 상기 제1 감지 시간의 차이가 상기 기 설정된 구간 내에 있는 경우, 상기 제2 위협 경보는 상기 제1 위협 경보와 연관성이 있다고 결정될 수 있다.
상기 제2 위협 경보 유형이 상기 제1 위협 경보 유형과 상관관계에 있는지 여부를 결정하는 단계는, 상기 제2 추출 값과 상기 제1 추출 값과 동일한 경우 대비 상기 제2 위협 경보가 상기 제1 위협 경보와 연관성이 있는 경우의 비가 기 설정된 값 이상인 경우, 상기 제2 위협 경보 유형이 상기 제1 위협 경보 유형과 상관관계에 있다고 결정할 수 있다.
상기 제2 위협 경보 유형이 상기 제1 위협 경보 유형과 상관관계에 있는지 여부를 결정하는 단계는, 아래의 수학식 1을 이용하여 상기 상관관계를 결정하고,
[수학식 1]
Figure 112020047486241-pat00001
여기서, Pf(A|B)는 상기 제2 위협 경보 유형이 상기 제1 위협 경보 유형과 상관관계에 있을 확률을 나타내고, A는 상기 제1 위협 경보 유형을 나타내고, B는 상기 제2 위협 경보 유형을 나타내고, a는 상기 제1 위협 경보를 나타내고, b는 상기 제2 위협 경보를 나타내고, fA(a)는 상기 제1 위협 경보로부터 추출한 제1 추출 값을 나타내고, fB(b)는 상기 제2 위협 경보로부터 추출한 제2 특징 값을 나타내고, Tw는 기 설정된 시간 구간을 나타내고, a.time은 상기 제1 위협 경보를 감지한 시간을 나타내고, b.time은 상기 제2 위협 경보를 감지한 시간을 나타낼 수 있다.
상기 제1 위협 경보 유형은 제3 위협 경보를 더 포함하고, 상기 제2 위협 경보 유형은 상기 제1 위협 경보, 제4 위협 경보를 더 포함하고, 상기 제2 위협 경보 유형이 상기 제1 위협 경보 유형과 상관관계에 있는지 여부를 결정하는 단계는, 상기 제1 위협 경보, 상기 제2 위협 경보, 상기 제3 위협 경보, 상기 제4 위협 경보 순으로 감지된 경우, 상기 제2 위협 경보가 상기 제1 위협 경보와 연관성이 있는지 여부, 및 상기 제4 위협 경보가 상기 제1 위협 경보 또는 상기 제3 위협 경보와 연관성이 있는지 여부에 기초하여, 상기 제2 위협 경보 유형이 상기 제1 위협 경보 유형과 상관관계에 있는지 여부를 결정할 수 있다.
상기 제1 위협 경보 유형과 제2 위협 경보 유형으로 분류하는 단계는, 상기 복수의 위협 경보들에 대한 정보가 저장된 위협 경보 테이블과는 구분되고, 상기 제1 위협 경보 유형과 상기 제2 위협 경보 유형에 포함된 위협 경보들에 대한 정보만을 포함하는 분류 테이블을 생성하는 단계를 포함할 수 있다.
상기 연관성이 있는지 여부를 결정하는 단계는, 상기 분류 테이블을 인덱스 순으로 검색하여 위협 경보 유형이 상기 제1 위협 경보 유형인 상기 제1 위협 경보를 검색하는 단계; 상기 제1 위협 경보로부터 추출한 제1 추출 값 및 상기 제1 위협 경보를 감지한 제1 감지 시간을 매핑하여 매핑 테이블에 저장하는 단계; 상기 제1 위협 경보를 검색한 이후, 상기 분류 테이블을 인덱스 순으로 검색하여 위협 경보 유형이 상기 제2 위협 경보 유형인 상기 제2 위협 경보를 검색하는 단계; 상기 제2 위협 경보로부터 추출한 제2 추출 값이 상기 제1 추출 값과 동일한지 여부를 결정하는 단계; 상기 제2 위협 경보를 감지한 제2 감지 시간과 상기 제1 감지 시간의 차이가 기 설정된 시간 구간 내에 있는지 여부를 결정하는 단계; 및 상기 동일 여부 및 상기 시간 구간 내에 있는지 여부에 기초하여, 상기 제2 위협 경보가 상기 제1 위협 경보와 연관성이 있는지 여부를 결정하는 단계를 포함할 수 있다.
상기 방법은, 상기 제1 위협 경보를 검색한 이후, 상기 분류 테이블을 인덱스 순으로 검색하여 위협 경보 유형이 상기 제1 위협 경보 유형인 제3 위협 경보를 검색하는 단계; 상기 제3 위협 경보로부터 제3 추출 값 및 상기 제3 위협 경보를 감지한 제3 감지 시간을 추출하는 단계; 및 상기 제3 추출 값이 상기 제1 추출 값과 동일한 경우, 상기 매핑 테이블에 저장된 상기 제1 감지 시간을 상기 제3 감지 시간으로 업데이트하는 단계를 더 포함할 수 있다.
본 발명의 다른 실시예에 따른 상관관계 결정 장치는, 복수의 위협 경보들을 수신하는 송수신기; 위협 경보 유형들의 상관관계를 결정하는 상관관계 결정 프로그램을 저장하는 메모리; 및 상기 송수신기 및 상기 메모리를 제어하는 프로세서를 포함하고, 상기 프로세서는, 상기 상관관계 결정 프로그램을 실행하여, 복수의 위협 경보들을 기 설정된 분류체계에 따라 제1 위협 경보 유형과 제2 위협 경보 유형으로 분류하고, 상기 제2 위협 경보 유형에 포함된 제2 위협 경보가 상기 제1 위협 경보 유형에 포함된 제1 위협 경보와 연관성이 있는지 여부를 결정하고, 상기 연관성에 기초하여, 상기 제2 위협 경보 유형이 상기 제1 위협 경보 유형과 상관관계에 있는지 여부를 결정할 수 있다.
본 발명의 실시 예에 의하면, 상관관계를 분석하고자 하는 위협 경보 유형들을 다른 위협 경보들과 분리하여 테이블을 생성하고, 생성한 테이블을 인덱스 순으로 한번만 검색하여 위협 경보들의 연관성을 결정함으로써, 위협 경보 유형들의 상관관계 분석을 보다 빠르게 수행할 수 있다.
도 1은 본 발명의 일 실시예에 따른 상관관계 분석 장치를 나타내는 블록도이다.
도 2는 본 발명의 일 실시예에 따른 상관관계 결정 프로그램의 기능을 개념적으로 나타내는 블록도이다.
도 3은 감지된 위협 경보들 중에서 제1 위협 경보 유형과 제2 위협 경보 유형을 분류하는 일 예시를 나타낸다.
도 4는 분류된 제1 위협 경보 유형과 제2 위협 경보 유형들 사이의 상관관계를 결정하는 일 예시를 나타낸다.
도 5는 제2 위협 경보들 각각의 시간 구간에 대한 일 예시를 나타낸다.
도 6은 본 발명의 일 실시예에 따라 위협 경보 유형들의 상관관계를 결정하는 방법을 나타내는 흐름도이다.
본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시 예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시 예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시 예들은 본 발명의 개시가 완전하도록 하고, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다.
본 발명의 실시 예들을 설명함에 있어서 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다. 그리고 후술되는 용어들은 본 발명의 실시 예에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.
도 1은 본 발명의 일 실시예에 따른 상관관계 분석 장치를 나타내는 블록도이다.
도 1을 참조하면, 상관관계 결정 장치(100)는 프로세서(110), 송수신기(120) 및 메모리(130)를 포함할 수 있다.
프로세서(110)는 상관관계 결정 장치(100)의 동작을 전반적으로 제어할 수 있다.
프로세서(110)는, 송수신기(120)를 이용하여, 상관관계를 분석할 위협 경보들을 수신할 수 있다.
본 발명에서는, 송수신기(120)가 위협 경보들을 수신하는 것으로 설명하였지만, 이에 한정되지 않는다. 즉, 실시예에 따라, 상관관계 결정 장치(100)는 입출력기(미도시)를 이용하여 상관관계를 분석할 위협 경보들을 입력받을 수도 있으며, 메모리(130) 또는 외부의 기억매체(미도시)에 기 저장된 위협 경보들을 로드할 수도 있다.
메모리(130)는 상관관계 결정 프로그램(200) 및/또는 상관관계 결정 프로그램(200)의 실행에 필요한 정보를 저장할 수 있다.
프로세서(110)는 상관관계 결정 프로그램(200)을 실행하기 위하여 메모리(130)에서 상관관계 결정 프로그램(200) 및/또는 상관관계 결정 프로그램(200)의 실행에 필요한 정보를 로드할 수 있다.
프로세서(110)는, 상관관계 결정 프로그램(200)을 실행하여, 위협 경보들 간의 상관관계를 분석하고, 분석 결과에 따라 상관관계가 있는 위협 경보들을 나타내는 테이블을 생성할 수 있다.
상관관계 결정 프로그램(200)의 기능 및/또는 동작에 대하여는 도 2를 통해 상세하게 살펴보기로 한다.
도 2는 본 발명의 일 실시예에 따른 상관관계 결정 프로그램의 기능을 개념적으로 나타내는 블록도이고, 도 3은 감지된 위협 경보들 중에서 제1 위협 경보 유형과 제2 위협 경보 유형을 분류하는 일 예시를 나타내고, 도 4는 분류된 제1 위협 경보 유형과 제2 위협 경보 유형들 사이의 상관관계를 결정하는 일 예시를 나타내고, 도 5는 제2 위협 경보들 각각의 시간 구간에 대한 일 예시를 나타낸다.
도 2를 참조하면, 상관관계 결정 프로그램(200)은 위협 경보 분류부(210), 연관성 결정부(220), 상관관계 결정부(230) 및 상관관계 저장부(240)를 포함할 수 있다.
도 2에 도시된 위협 경보 분류부(210), 연관성 결정부(220), 상관관계 결정부(230) 및 상관관계 저장부(240)는 상관관계 결정 프로그램(200)의 기능을 쉽게 설명하기 위하여 상관관계 결정 프로그램(200)의 기능을 개념적으로 나눈 것으로서, 이에 한정되지 않는다. 실시예들에 따라, 위협 경보 분류부(210), 연관성 결정부(220), 상관관계 결정부(230) 및 상관관계 저장부(240)의 기능은 병합/분리 가능하며, 하나의 프로그램에 포함된 일련의 명령어들로 구현될 수도 있다.
위협 경보 분류부(210)는 상관관계 결정 장치(100)가 수신/감지하여 기 저장된 위협 경보들을 기 설정된 분류 체계(taxonomy)에 따라 하나 이상의 위협 경보 유형으로 분류할 수 있다. 실시예에 따라, 상기 기 설정된 분류 체계는 공격 유형에 따라 위협 경보들을 분류하기 위한 분류 체계일 수 있다. 예컨대, 상기 기 설정된 분류 체계가 분류하는 공격 유형(즉, 위협 경보 유형)에는 포트스캔, Drive by Download, SQL injection, 크로스 사이트 스크립팅(XSS), 웹쉘 등이 포함될 수 있다.
도 3을 더 참조하면, 상관관계 결정 장치(100)는 하나 이상의 위협 경보를 수신/감지하고, 수신/감지 결과에 따라 위협 경보에 대한 정보를 위협 경보 테이블(TA_TABLE)로 저장할 수 있다.
수신/감지된 위협 경보는 수신/감지된 시간 순으로 위협 경보 테이블(TA_TABLE)에 저장될 수 있다. 도 3에는 도시하지 않았지만, 실시예에 따라, 위협 경보들은 감지된 순으로 인덱스가 부여되어 위협 경보 테이블(TA_TABLE)에 저장될 수도 있다.
상기 위협 경보에 대한 정보는 위협 경보의 속성 정보를 포함할 수 있다. 상기 속성 정보는 출발지-IP, 출발지-포트, 목적지-IP, 목적지-포트, 프로세스-PID, 프로세스-이름, 프로세스-PPID, 프로세스-부모-PPID, 프로세스-부모-이름, 해시(hash)-SHA256, 해시-MD5, 프로세스-해시-SHA1, 파일-경로, 프로세스-워킹-디렉토리, 프로세스-실행가능(executable), 프로세스-부모-실행가능, 사용자-이름, 호스트-IP, IP-릴레이-FWD 및 IP-릴레이-REV를 포함할 수 있지만, 이에 제한되지 않는다. 즉, 상기 속성 정보는 위협 경보들 사이의 연관성을 비교할 수 있는 모든 종류의 정보를 포함할 수 있다.
위협 경보 분류부(210)는, 기 생성된 위협 경보 테이블(TA_TABLE)로부터, 상관관계를 분석하고자 하는 둘 또는 둘 이상의 위협 경보 유형들을 분류할 수 있다. 위협 경보 분류부(210)는 분류된 위협 경보 유형들에 포함된 위협 경보들에 대한 정보만을 포함하는 분류 테이블(C_TABLE)을 생성할 수 있다. 상기 분류 테이블(C_TABLE)에는 분류된 위협 경보들이 수신/감지된 시간 순으로 정렬되어 저장될 수 있다.
실시예에 따라, 상기 상관관계 분석의 대상이 되는 위협 경보 유형들은 사용자(운용자)에 의해 선택될 수 있으며, 기 설정된 기준에 따라 선택될 수도 있다.
예컨대, 도 3에 도시된 바와 같이, 위협 경보 분류부(210)는, 사용자의 선택에 따라, 제2 위협 경보 유형(B)에 대한 제1 위협 경보 유형(A)의 상관관계(즉, 제1 위협 경보 유형(A)이 제2 위협 경보 유형(B)과 얼마만큼이나 상관관계에 있는지 여부)를 분석하기 위하여, 제1 위협 경보 유형(A)에 포함된 위협 경보들(a1, a2, a3, a4, a5) 및 제2 위협 경보 유형(B)에 포함된 위협 경보들(b1, b2)에 대한 정보만을 포함하는 분류 테이블(C_TABLE)을 생성할 수 있다.
연관성 결정부(220)는, 기 설정된 속성 정보를 기준으로, 분류 테이블(C_TABLE)에 저장된 제1 위협 경보 유형(A)에 포함된 하나 이상의 제1 위협 경보(a1, a2, a3, a4, a5)가 제2 위협 경보 유형(B)에 포함된 하나 이상의 제2 위협 경보(b1, b2)에 연관되는지 여부를 판단할 수 있다.
연관성 결정부(220)는, 제1 위협 경보(a1, a2, a3, a4, a5)가 제2 위협 경보(b1, b2)에 연관되는지 여부를 판단하기 위하여, 분류 테이블(C_TABLE)을 시간 순으로(인덱스 순으로) 검색할 수 있다.
연관성 결정부(220)는 위협 경보 유형이 제2 위협 경보 유형(B)인 제2 위협 경보(b1, b2)가 검색될 때까지 분류 테이블(C_TABLE)을 검색하여 제2 위협 경보(b1, b2)보다 이른 시간에 감지된(즉, 인덱스가 낮은) 제1 위협 경보(a1, a2, a3, a4, a5)의 기 설정된 속성 정보에 대한 추출 값과 상기 추출 값이 가장 마지막으로 감지된 감지 시간이 매핑된 매핑 테이블을 생성할 수 있다.
본 명세서에서는 설명의 편의를 위하여, 제1 위협 경보 유형(A)과 제2 위협 경보 유형(B)에 동일한 속성 정보를 기준으로 추출 값을 추출하는 것으로 설명하였지만, 이에 제한되지 않는다. 즉, 실시예에 따라, 제1 위협 경보 유형(A)과 제2 위협 경보 유형(B)에 서로 다른 속성 정보를 적용하여 추출 값을 추출할 수도 있다.
연관성 결정부(220)는 분류 테이블(C_TABLE)을 시간 순으로 검색하므로, 이전에 저장된 추출 값과 동일한 추출 값이 검색되는 경우, 연관성 결정부(220)는 새롭게 검색된 위협 경보의 감지 시간으로 매핑 테이블을 업데이트할 수 있다.
예컨대, 도 4를 더 참조하면, 제1 위협 경보(a1, a2, a3, a4, a5)가 제2 위협 경보(b1)에 연관되는지 여부를 판단하기 위한 기준이 되는 속성 정보가 사용자-이름으로 설정된 경우, 연관성 결정부(220)는 분류 테이블(C_TABLE)을 시간 순으로(인덱스 순으로) 검색하여, 위협 경보 유형이 제1 위협 경보 유형(A)인 위협 경보(a1)의 추출 값(Alice)과 감지 시간(t2)이 매핑된 매핑 정보를 매핑 테이블(M_TABLE)에 저장할 수 있다.
검색을 계속하여, 위협 경보 유형이 제1 위협 경보 유형(A)인 위협 경보 a2의 추출 값(Alice)이 매핑 테이블(M_TABLE)에 기 저장된 추출 값과 동일하므로, 연관성 결정부(220)는 매핑 테이블(M_TABLE)의 Alice에 매핑된 감지 시간을 t1에서 t2로 업데이트할 수 있다.
검색을 계속하여, 연관성 결정부(220)는 제1 위협 경보 유형(A)의 위협 경보 a3의 추출 값(Bob)과 감지 시간(t6)을 매핑하여 매핑 테이블(M_TABLE)에 저장할 수 있다.
이후, 연관성 결정부(220)가 분류 테이블(C_TABLE)에서 검색된 위협 경보 b1의 위협 경보 유형이 제2 위협 경보 유형(B)임을 인지하는 경우, 연관성 결정부(220)는 위협 경보 b1의 추출 값(Alice)이 매핑 테이블(M_TABLE)에 기 저장되어 있는지 여부를 확인할 수 있다. 확인 결과, 위협 경보 b1의 추출 값(Alice)가 매핑 테이블(M_TABLE)에 기 저장되어 있으므로, 연관성 결정부(220)는 위협 경보 b1의 감지 시간(t7)과 매핑 테이블(M_TABLE)에 저장된 Alice에 매핑된 감지 시간(t2)을 비교할 수 있다.
도 5를 더 참조하면, 비교 결과, 위협 경보 b1의 감지 시간(t7)과 매핑 테이블(M_TABLE)에 저장된 감지 시간(t2)의 차이가 기 설정된 시간 구간(Tw1)을 초과하므로, 연관성 결정부(220)는 위협 경보 b1은 제1 위협 경보들(a1, a2, a3)과 연관성이 없다고 결정할 수 있다.
연관성 결정부(220)는 검색을 계속하여, 위협 경보 b1 이후에 감지된 제1 위협 경보들(a4, a5)의 추출 값과 감지 시간을 매핑 테이블(M_TABLE)에 저장할 수 있다. 이때, 위협 경보 a5의 추출 값(Bob)은 이미 매핑 테이블(M_TABLE)에 저장되어 있으므로, 연관성 결정부(220)는 매핑 테이블(M_TABLE)의 Bob에 매핑된 감지 시간을 t6에서 t9로 업데이트할 수 있다.
이후, 연관성 결정부(220)가 분류 테이블(C_TABLE)에서 검색된 위협 경보 b2의 위협 경보 유형이 제2 위협 경보 유형(B)임을 인지하는 경우, 연관성 결정부(220)는 위협 경보 b2의 추출 값(Charlie)이 매핑 테이블(M_TABLE)에 기 저장되어 있는지 여부를 확인할 수 있다. 확인 결과, 위협 경보 b2의 추출 값(Charlie)가 매핑 테이블(M_TABLE)에 기 저장되어 있으므로, 연관성 결정부(220)는 위협 경보 b2의 감지 시간(t10)과 매핑 테이블(M_TABLE)에 저장된 Charlie에 매핑된 감지 시간(t8)을 비교할 수 있다.
도 5를 더 참조하면, 비교 결과, 위협 경보 b2의 감지 시간(t10)과 매핑 테이블(M_TABLE)에 저장된 감지 시간(t8)의 차이가 기 설정된 시간 구간(Tw2) 이내에 있으므로, 연관성 결정부(220)는 위협 경보 b2는 제1 위협 경보들(a1, a2, a3, a4, a5)과 연관성이 있다고 결정할 수 있다.
상관관계 결정부(230)는, 연관성 결정부(220)의 결정에 기초하여, 위협 경보 유형들이 서로 상관관계에 있는지 여부를 결정할 수 있다. 일 실시예에 따라, 상관관계 결정부(230)는 베이지안 상관관계(Bayesian Correlation) 모델을 이용하여 위협 경보 유형들이 서로 상관관계에 있는지 여부를 결정할 수 있다.
상관관계 결정부(230)는 아래의 수학식 1을 이용하여 위협 경보 유형들이 상관관계에 있는지 여부를 결정할 수 있다.
Figure 112020047486241-pat00002
여기서, Pf(A|B)는 제2 위협 경보 유형(B)이 제1 위협 경보 유형(A)과 상관관계에 있을 확률을 의미하고, "fA(a) = fB(b)"는 제2 위협 경보 유형(B)에 포함된 제2 위협 경보(b)의 추출 값이 제1 위협 경보 유형(A)에 포함된 제1 위협 경보(a)의 추출 값과 동일함을 의미하고, "a.time ≤ b.time"은 제1 위협 경보(a)를 수신한(감지한) 시간(a.time)이 제2 위협 경보(b)를 수신한(감지한) 시간(b.time)보다 빠르거나 같음을 의미하고, "b.time-Tw ≤ a.time ≤ b.time"은 제1 위협 경보(a)를 수신한 시간(a.time)은 제2 위협 경보(b)를 수신한 시간(b.time)으로부터 기 설정된 시간 구간(time window)(Tw) 내에 있음을 의미할 수 있다.
수학식 1을 이용하여, 도 3 및 도 4를 다시 참조하면, 위협 경보 b1의 추출 값(Alice)과 동일한 추출 값이 매핑 테이블(M_TABLE)에 저장되어 있으므로 수학식 1의 분모에 1이 추가되고, 매핑 테이블(M_TABLE)에 저장된 감지 시간(t2)은 위협 경보 b1을 감지한 감지 시간(t7)의 기 설정된 시간 구간(tw1) 밖에 있으므로, 수학식 1의 분자에는 0이 추가될 수 있다. 따라서, 제2 위협 경보 유형(B)이 제1 위협 경보 유형(A)과 상관관계에 있을 확률은 아래의 수학식 2와 같이 전개될 수 있다.
Figure 112020047486241-pat00003
또한, 위협 경보 b1에 더하여, 위협 경보 b2의 추출 값(Charlie) 또한 동일한 추출 값이 매핑 테이블(M_TABLE)에 저장되어 있으므로 수학식 1의 분모에 1이 추가되고, 매핑 테이블(M_TABLE)에 저장된 감지 시간(t8)은 위협 경보 b2를 감지한 감지 시간(t10)의 기 설정된 시간 구간(tw2) 내에 있으므로, 수학식 1의 분자에도 1이 추가될 수 있다. 따라서, 제2 위협 경보 유형(B)이 제1 위협 경보 유형(A)과 상관관계에 있을 확률은 위협 경보 b1에 더하여 아래의 수학식 3과 같이 결정될 수 있다.
Figure 112020047486241-pat00004
제2 위협 경보 유형(B)이 제1 위협 경보 유형(A)과 상관관계에 있을 확률은 0.5로서, 기 설정된 기준 값이 0.5 이하인 경우, 상관관계 결정부(230)는 제2 위협 경보 유형(B)이 제1 위협 경보 유형(A)과 상관관계에 있다고 결정할 수 있다.
여기서, 기 설정된 기준 값을 0.5라고 정의하였지만, 이에 한정되지 않는다. 즉, 기 설정된 기준 값은 실시예에 따라 상이할 수 있다. 즉, 기 설정된 기준 값은 기 결정된 값일 수도 있으며, 상관관계 결정 장치(100)의 운용 중에 변경 가능한 값일 수도 있다.
상관관계 저장부(240)는 상관관계가 있다고 결정된 제1 위협 경보 유형(A) 및 제2 위협 경보 유형(B)에 대한 정보(예컨대, 제1 위협 경보 유형(A) 및 제2 위협 경보 유형(B)을 매핑한 정보)를 생성하고, 생성한 정보를 메모리(130)에 저장할 수 있다.
실시예에 따라, 저장된 제1 위협 경보 유형(A) 및 제2 위협 경보 유형(B)에 대한 정보는 체인 형식으로 구성되어 디스플레이될 수 있다. 체인 형식으로 디스플레이된 위협 정보 유형에 대한 정보는 사용자(운용자)가 위협 경보들을 분석하는데 이용될 수 있다.
상관관계 저장부(240)가 위협 경보 유형에 대한 정보를 저장한 이후에 새롭게 위협 경보가 감지되는 경우, 연관성 결정부(220)는 새롭게 감지된 위협 경보와 상관관계 저장부(240)에서 위협 경보 유형에 포함되는 위협 경보들을 비교하고, 상관관계 결정부(230)는 새롭게 감지된 위협 경보가 포함된 위협 경보 유형이 기 저장된 위협 경보 유형과 상관관계가 있는지 여부를 결정할 수 있다.
새롭게 감지된 위협 경보와 상관관계 기 저장된 위협 경보들에 대한 정보들 사이에 상관관계가 있다고 결정된 경우, 상관관계 저장부(240)는 새롭게 감지된 위협 경보를 포함하는 위협 경보 유형을 그와 상관관계에 있는 위협 경보 유형과 매핑하여 저장할 수 있다. 매핑하여 저장된 위협 경보 유형들에 대한 정보는 체인 형식으로 디스플레이되어 사용자(운용자)가 위협 경보들을 분석하는데 이용될 수 있다.
도 6은 본 발명의 일 실시예에 따라 위협 경보 유형들의 상관관계를 결정하는 방법을 나타내는 흐름도이다.
도 2 내지 도 6을 참조하면, 위협 경보 분류부(210)는 상관관계 결정 장치(100)가 감지한 위협 경보들을 기 설정된 분류 체계(taxonomy)에 따라 분류하고, 분류 결과에 따라 제1 위협 경보 유형(A)과 제2 위협 경보 유형(B)을 생성할 수 있다(S600).
연관성 결정부(220)는 제1 위협 경보 유형(A)에 포함된 제1 위협 경보들(a1, a2, a3, a4, a5)과 제2 위협 경보 유형(B)에 포함된 제2 위협 경보들(b1, b2)을 비교하고, 제1 위협 경보들(a1, a2, a3, a4, a5)이 제2 위협 경보들(b1, b2) 각각에 연관성이 있는지 여부를 결정할 수 있다(S610).
상관관계 결정부(230)는, 결정된 연관성에 기초하여, 제2 위협 경보 유형(B)이 제1 위협 경보 유형(A)과 상관관계에 있는지 여부를 결정할 수 있다(S620).
상관관계 저장부(240)는 상관관계가 있다고 결정된 위협 경보 유형들에 대한 정보를 생성하고 저장할 수 있다(S630).
본 발명에 첨부된 블록도의 각 블록과 흐름도의 각 단계의 조합들은 컴퓨터 프로그램 인스트럭션들에 의해 수행될 수도 있다. 이들 컴퓨터 프로그램 인스트럭션들은 범용 컴퓨터, 특수용 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 인코딩 프로세서에 탑재될 수 있으므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 인코딩 프로세서를 통해 수행되는 그 인스트럭션들이 블록도의 각 블록 또는 흐름도의 각 단계에서 설명된 기능들을 수행하는 수단을 생성하게 된다. 이들 컴퓨터 프로그램 인스트럭션들은 특정 방법으로 기능을 구현하기 위해 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 지향할 수 있는 컴퓨터 이용 가능 또는 컴퓨터 판독 가능 메모리에 저장되는 것도 가능하므로, 그 컴퓨터 이용가능 또는 컴퓨터 판독 가능 메모리에 저장된 인스트럭션들은 블록도의 각 블록 또는 흐름도 각 단계에서 설명된 기능을 수행하는 인스트럭션 수단을 내포하는 제조 품목을 생산하는 것도 가능하다. 컴퓨터 프로그램 인스트럭션들은 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에 탑재되는 것도 가능하므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에서 일련의 동작 단계들이 수행되어 컴퓨터로 실행되는 프로세스를 생성해서 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 수행하는 인스트럭션들은 블록도의 각 블록 및 흐름도의 각 단계에서 설명된 기능들을 실행하기 위한 단계들을 제공하는 것도 가능하다.
또한, 각 블록 또는 각 단계는 특정된 논리적 기능(들)을 실행하기 위한 하나 이상의 실행 가능한 인스트럭션들을 포함하는 모듈, 세그먼트 또는 코드의 일부를 나타낼 수 있다. 또, 몇 가지 대체 실시예들에서는 블록들 또는 단계들에서 언급된 기능들이 순서를 벗어나서 발생하는 것도 가능함을 주목해야 한다. 예컨대, 잇달아 도시되어 있는 두 개의 블록들 또는 단계들은 사실 실질적으로 동시에 수행되는 것도 가능하고 또는 그 블록들 또는 단계들이 때때로 해당하는 기능에 따라 역순으로 수행되는 것도 가능하다.
이상의 설명은 본 발명의 기술 사상을 예시적으로 설명한 것에 불과한 것으로서, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 발명의 본질적인 품질에서 벗어나지 않는 범위에서 다양한 수정 및 변형이 가능할 것이다. 따라서, 본 발명에 개시된 실시 예들은 본 발명의 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시 예에 의하여 본 발명의 기술 사상의 범위가 한정되는 것은 아니다. 본 발명의 보호 범위는 아래의 청구범위에 의하여 해석되어야 하며, 그와 균등한 범위 내에 있는 모든 기술사상은 본 발명의 권리범위에 포함되는 것으로 해석되어야 할 것이다.
100: 상관관계 분석 장치
110: 프로세서
120: 송수신기
130: 메모리
200: 상관관계 분석 프로그램
210: 위협 경보 분류부
220: 연관성 결정부
230: 상관관계 결정부
240: 상관관계 저장부

Claims (20)

  1. 복수의 위협 경보들을 기 설정된 분류체계에 따라 제1 위협 경보 유형과 제2 위협 경보 유형으로 분류하는 단계;
    상기 제2 위협 경보 유형에 포함된 제2 위협 경보가 상기 제1 위협 경보 유형에 포함된 제1 위협 경보와 연관성이 있는지 여부를 결정하는 단계; 및
    상기 연관성에 기초하여, 제1 위협 경보를 감지한 제1 감지 시간과 제2 위협 경보를 감지한 제2 감지 시간의 차이가 기 설정된 시간 구간 내에 있는 경우만을 고려하여 상기 제2 위협 경보 유형이 상기 제1 위협 경보 유형과 상관관계에 있는지 여부를 결정하는 단계를 포함하되,
    상기 제1 위협 경보 유형은 제3 위협 경보를 더 포함하고,
    상기 제2 위협 경보 유형은 상기 제1 위협 경보, 제4 위협 경보를 더 포함하며,
    상기 제2 위협 경보 유형이 상기 제1 위협 경보 유형과 상관관계에 있는지 여부를 결정하는 단계는,
    상기 제1 위협 경보, 상기 제2 위협 경보, 상기 제3 위협 경보, 상기 제4 위협 경보 순으로 감지된 경우, 상기 제2 위협 경보가 상기 제1 위협 경보와 연관성이 있는지 여부, 및 상기 제4 위협 경보가 상기 제1 위협 경보 또는 상기 제3 위협 경보와 연관성이 있는지 여부에 기초하여, 상기 제2 위협 경보 유형이 상기 제1 위협 경보 유형과 상관관계에 있는지 여부를 결정하는
    위협 경보 유형들의 상관관계를 결정하는 방법.
  2. 제1 항에 있어서,
    상기 연관성이 있는지 여부를 결정하는 단계는,
    기 설정된 속성 정보에 따라, 상기 제2 위협 경보로부터 제2 추출 값을 추출하는 단계;
    상기 제2 추출 값이 상기 제1 위협 경보로부터 기 추출한 제1 추출 값과 동일한지 여부를 결정하는 단계;
    상기 제2 위협 경보를 감지한 상기 제2 감지 시간과 상기 제2 위협 경보가 감지되기 전에 감지된 상기 제1 위협 경보를 감지한 상기 제1 감지 시간의 차이가 기 설정된 시간 구간 내에 있는지 여부를 결정하는 단계; 및
    상기 동일 여부 및 상기 시간 구간 내에 있는지 여부에 기초하여, 상기 제2 위협 경보가 상기 제1 위협 경보와 연관성이 있는지 여부를 결정하는 단계를 포함하는
    위협 경보 유형들의 상관관계를 결정하는 방법.
  3. 제2 항에 있어서,
    상기 제2 추출 값이 상기 제1 추출 값과 동일하고, 상기 제2 감지 시간과 상기 제1 감지 시간의 차이가 상기 기 설정된 구간 내에 있는 경우, 상기 제2 위협 경보는 상기 제1 위협 경보와 연관성이 있다고 결정되는
    위협 경보 유형들의 상관관계를 결정하는 방법.
  4. 제2 항에 있어서,
    상기 제2 위협 경보 유형이 상기 제1 위협 경보 유형과 상관관계에 있는지 여부를 결정하는 단계는,
    상기 제2 추출 값과 상기 제1 추출 값과 동일한 경우 대비 상기 제2 위협 경보가 상기 제1 위협 경보와 연관성이 있는 경우의 비가 기 설정된 값 이상인 경우, 상기 제2 위협 경보 유형이 상기 제1 위협 경보 유형과 상관관계에 있다고 결정하는
    위협 경보 유형들의 상관관계를 결정하는 방법.
  5. 제1 항에 있어서,
    상기 제2 위협 경보 유형이 상기 제1 위협 경보 유형과 상관관계에 있는지 여부를 결정하는 단계는, 아래의 수학식 1을 이용하여 상기 상관관계를 결정하고,
    [수학식 1]
    Figure 112020047486241-pat00005

    여기서, Pf(A|B)는 상기 제2 위협 경보 유형이 상기 제1 위협 경보 유형과 상관관계에 있을 확률을 나타내고, A는 상기 제1 위협 경보 유형을 나타내고, B는 상기 제2 위협 경보 유형을 나타내고, a는 상기 제1 위협 경보를 나타내고, b는 상기 제2 위협 경보를 나타내고, fA(a)는 상기 제1 위협 경보로부터 추출한 제1 추출 값을 나타내고, fB(b)는 상기 제2 위협 경보로부터 추출한 제2 특징 값을 나타내고, Tw는 기 설정된 시간 구간을 나타내고, a.time은 상기 제1 위협 경보를 감지한 시간을 나타내고, b.time은 상기 제2 위협 경보를 감지한 시간을 나타내는
    위협 경보 유형들의 상관관계를 결정하는 방법.
  6. 복수의 위협 경보들을 기 설정된 분류체계에 따라 제1 위협 경보 유형과 제2 위협 경보 유형으로 분류하는 단계;
    상기 제2 위협 경보 유형에 포함된 제2 위협 경보가 상기 제1 위협 경보 유형에 포함된 제1 위협 경보와 연관성이 있는지 여부를 결정하는 단계; 및
    상기 연관성에 기초하여, 상기 제2 위협 경보 유형이 상기 제1 위협 경보 유형과 상관관계에 있는지 여부를 결정하는 단계를 포함하며,
    상기 제1 위협 경보 유형은 제3 위협 경보를 더 포함하고,
    상기 제2 위협 경보 유형은 상기 제1 위협 경보, 제4 위협 경보를 더 포함하고,
    상기 제2 위협 경보 유형이 상기 제1 위협 경보 유형과 상관관계에 있는지 여부를 결정하는 단계는,
    상기 제1 위협 경보, 상기 제2 위협 경보, 상기 제3 위협 경보, 상기 제4 위협 경보 순으로 감지된 경우, 상기 제2 위협 경보가 상기 제1 위협 경보와 연관성이 있는지 여부, 및 상기 제4 위협 경보가 상기 제1 위협 경보 또는 상기 제3 위협 경보와 연관성이 있는지 여부에 기초하여, 상기 제2 위협 경보 유형이 상기 제1 위협 경보 유형과 상관관계에 있는지 여부를 결정하는
    위협 경보 유형들의 상관관계를 결정하는 방법.
  7. 제1 항에 있어서,
    상기 제1 위협 경보 유형과 제2 위협 경보 유형으로 분류하는 단계는,
    상기 복수의 위협 경보들에 대한 정보가 저장된 위협 경보 테이블과는 구분되고, 상기 제1 위협 경보 유형과 상기 제2 위협 경보 유형에 포함된 위협 경보들에 대한 정보만을 포함하는 분류 테이블을 생성하는 단계를 포함하는
    위협 경보 유형들의 상관관계를 결정하는 방법.
  8. 제7 항에 있어서,
    상기 연관성이 있는지 여부를 결정하는 단계는,
    상기 분류 테이블을 인덱스 순으로 검색하여 위협 경보 유형이 상기 제1 위협 경보 유형인 상기 제1 위협 경보를 검색하는 단계;
    상기 제1 위협 경보로부터 추출한 제1 추출 값 및 상기 제1 위협 경보를 감지한 제1 감지 시간을 매핑하여 매핑 테이블에 저장하는 단계;
    상기 제1 위협 경보를 검색한 이후, 상기 분류 테이블을 인덱스 순으로 검색하여 위협 경보 유형이 상기 제2 위협 경보 유형인 상기 제2 위협 경보를 검색하는 단계;
    상기 제2 위협 경보로부터 추출한 제2 추출 값이 상기 제1 추출 값과 동일한지 여부를 결정하는 단계;
    상기 제2 위협 경보를 감지한 제2 감지 시간과 상기 제1 감지 시간의 차이가 기 설정된 시간 구간 내에 있는지 여부를 결정하는 단계; 및
    상기 동일 여부 및 상기 시간 구간 내에 있는지 여부에 기초하여, 상기 제2 위협 경보가 상기 제1 위협 경보와 연관성이 있는지 여부를 결정하는 단계를 포함하는
    위협 경보 유형들의 상관관계를 결정하는 방법.
  9. 제8 항에 있어서,
    상기 제1 위협 경보를 검색한 이후, 상기 분류 테이블을 인덱스 순으로 검색하여 위협 경보 유형이 상기 제1 위협 경보 유형인 제3 위협 경보를 검색하는 단계;
    상기 제3 위협 경보로부터 제3 추출 값 및 상기 제3 위협 경보를 감지한 제3 감지 시간을 추출하는 단계;
    상기 제3 추출 값이 상기 제1 추출 값과 동일한 경우, 상기 매핑 테이블에 저장된 상기 제1 감지 시간을 상기 제3 감지 시간으로 업데이트하는 단계를 더 포함하는
    위협 경보 유형들의 상관관계를 결정하는 방법.
  10. 복수의 위협 경보들을 수신하는 송수신기;
    위협 경보 유형들의 상관관계를 결정하는 상관관계 결정 프로그램을 저장하는 메모리; 및
    상기 송수신기 및 상기 메모리를 제어하는 프로세서를 포함하고,
    상기 프로세서는, 상기 상관관계 결정 프로그램을 실행하여,
    복수의 위협 경보들을 기 설정된 분류체계에 따라 제1 위협 경보 유형과 제2 위협 경보 유형으로 분류하고,
    상기 제2 위협 경보 유형에 포함된 제2 위협 경보가 상기 제1 위협 경보 유형에 포함된 제1 위협 경보와 연관성이 있는지 여부를 결정하고,
    상기 연관성에 기초하여, 제1 위협 경보를 감지한 제1 감지 시간과 제2 위협 경보를 감지한 제2 감지 시간의 차이가 기 설정된 시간 구간 내에 있는 경우만을 고려하여 상기 제2 위협 경보 유형이 상기 제1 위협 경보 유형과 상관관계에 있는지 여부를 결정하되,
    상기 제1 위협 경보 유형은 제3 위협 경보를 더 포함하고,
    상기 제2 위협 경보 유형은 상기 제1 위협 경보, 제4 위협 경보를 더 포함하며,
    상기 프로세서는,
    상기 제1 위협 경보, 상기 제2 위협 경보, 상기 제3 위협 경보, 상기 제4 위협 경보 순으로 감지된 경우, 상기 제2 위협 경보가 상기 제1 위협 경보와 연관성이 있는지 여부, 및 상기 제4 위협 경보가 상기 제1 위협 경보 또는 상기 제3 위협 경보와 연관성이 있는지 여부에 기초하여, 상기 제2 위협 경보 유형이 상기 제1 위협 경보 유형과 상관관계에 있는지 여부를 결정하는
    상관관계 결정 장치.
  11. 제10 항에 있어서,
    상기 프로세서는,
    기 설정된 속성 정보에 따라, 상기 제2 위협 경보로부터 제2 추출 값을 추출하고,
    상기 제2 추출 값이 상기 제1 위협 경보로부터 기 추출한 제1 추출 값과 동일한지 여부를 결정하고,
    상기 제2 위협 경보를 감지한 상기 제2 감지 시간과 상기 제2 위협 경보가 감지되기 전에 감지된 상기 제1 위협 경보를 감지한 상기 제1 감지 시간의 차이가 기 설정된 시간 구간 내에 있는지 여부를 결정하고,
    상기 동일 여부 및 상기 시간 구간 내에 있는지 여부에 기초하여, 상기 제2 위협 경보가 상기 제1 위협 경보와 연관성이 있는지 여부를 결정하는
    상관관계 결정 장치.
  12. 제11 항에 있어서,
    상기 프로세서는,
    상기 제2 추출 값이 상기 제1 추출 값과 동일하고, 상기 제2 감지 시간과 상기 제1 감지 시간의 차이가 상기 기 설정된 구간 내에 있는 경우, 상기 제2 위협 경보가 상기 제1 위협 경보와 연관성이 있다고 결정하는
    상관관계 결정 장치.
  13. 제11 항에 있어서,
    상기 프로세서는,
    상기 제2 추출 값과 상기 제1 추출 값과 동일한 경우 대비 상기 제2 위협 경보가 상기 제1 위협 경보와 연관성이 있는 경우의 비가 기 설정된 값 이상인 경우, 상기 제2 위협 경보 유형이 상기 제1 위협 경보 유형과 상관관계에 있다고 결정하는
    상관관계 결정 장치.
  14. 제10 항에 있어서,
    상기 프로세서는,
    아래의 수학식 1을 이용하여 상기 상관관계를 결정하고,
    [수학식 1]
    Figure 112020047486241-pat00006

    여기서, Pf(A|B)는 상기 제2 위협 경보 유형이 상기 제1 위협 경보 유형과 상관관계에 있을 확률을 나타내고, A는 상기 제1 위협 경보 유형을 나타내고, B는 상기 제2 위협 경보 유형을 나타내고, a는 상기 제1 위협 경보를 나타내고, b는 상기 제2 위협 경보를 나타내고, fA(a)는 상기 제1 위협 경보로부터 추출한 제1 추출 값을 나타내고, fB(b)는 상기 제2 위협 경보로부터 추출한 제2 특징 값을 나타내고, Tw는 기 설정된 시간 구간을 나타내고, a.time은 상기 제1 위협 경보를 감지한 시간을 나타내고, b.time은 상기 제2 위협 경보를 감지한 시간을 나타내는
    상관관계 결정 장치.
  15. 복수의 위협 경보들을 수신하는 송수신기;
    위협 경보 유형들의 상관관계를 결정하는 상관관계 결정 프로그램을 저장하는 메모리; 및
    상기 송수신기 및 상기 메모리를 제어하는 프로세서를 포함하고,
    상기 프로세서는, 상기 상관관계 결정 프로그램을 실행하여,
    복수의 위협 경보들을 기 설정된 분류체계에 따라 제1 위협 경보 유형과 제2 위협 경보 유형으로 분류하고,
    상기 제2 위협 경보 유형에 포함된 제2 위협 경보가 상기 제1 위협 경보 유형에 포함된 제1 위협 경보와 연관성이 있는지 여부를 결정하고,
    상기 연관성에 기초하여, 상기 제2 위협 경보 유형이 상기 제1 위협 경보 유형과 상관관계에 있는지 여부를 결정하며,
    상기 제1 위협 경보 유형은 제3 위협 경보를 더 포함하고,
    상기 제2 위협 경보 유형은 상기 제1 위협 경보, 제4 위협 경보를 더 포함하고,
    상기 프로세서는,
    상기 제1 위협 경보, 상기 제2 위협 경보, 상기 제3 위협 경보, 상기 제4 위협 경보 순으로 감지된 경우, 상기 제2 위협 경보가 상기 제1 위협 경보와 연관성이 있는지 여부, 및 상기 제4 위협 경보가 상기 제1 위협 경보 또는 상기 제3 위협 경보와 연관성이 있는지 여부에 기초하여, 상기 제2 위협 경보 유형이 상기 제1 위협 경보 유형과 상관관계에 있는지 여부를 결정하는
    상관관계 결정 장치.
  16. 제10 항에 있어서,
    상기 프로세서는,
    상기 복수의 위협 경보들에 대한 정보가 저장된 위협 경보 테이블과는 구분되고, 상기 제1 위협 경보 유형과 상기 제2 위협 경보 유형에 포함된 위협 경보들에 대한 정보만을 포함하는 분류 테이블을 생성하는
    상관관계 결정 장치.
  17. 제16 항에 있어서,
    상기 프로세서는,
    상기 분류 테이블을 인덱스 순으로 검색하여 위협 경보 유형이 상기 제1 위협 경보 유형인 상기 제1 위협 경보를 검색하고,
    상기 제1 위협 경보로부터 추출한 제1 추출 값 및 상기 제1 위협 경보를 감지한 제1 감지 시간을 매핑하여 매핑 테이블에 저장하고,
    상기 제1 위협 경보를 검색한 이후, 상기 분류 테이블을 인덱스 순으로 검색하여 위협 경보 유형이 상기 제2 위협 경보 유형인 상기 제2 위협 경보를 검색하고,
    상기 제2 위협 경보로부터 추출한 제2 추출 값이 상기 제1 추출 값과 동일한지 여부를 결정하고,
    상기 제2 위협 경보를 감지한 제2 감지 시간과 상기 제1 감지 시간의 차이가 기 설정된 시간 구간 내에 있는지 여부를 결정하고,
    상기 동일 여부 및 상기 시간 구간 내에 있는지 여부에 기초하여, 상기 제2 위협 경보가 상기 제1 위협 경보와 연관성이 있는지 여부를 결정하는
    상관관계 결정 장치.
  18. 제17 항에 있어서,
    상기 프로세서는,
    상기 제1 위협 경보를 검색한 이후, 상기 분류 테이블을 인덱스 순으로 검색하여 위협 경보 유형이 상기 제1 위협 경보 유형인 제3 위협 경보를 검색하고,
    상기 제3 위협 경보로부터 제3 추출 값 및 상기 제3 위협 경보를 감지한 제3 감지 시간을 추출하고,
    상기 제3 추출 값이 상기 제1 추출 값과 동일한 경우, 상기 매핑 테이블에 저장된 상기 제1 감지 시간을 상기 제3 감지 시간으로 업데이트하는
    상관관계 결정 장치.
  19. 컴퓨터 프로그램을 저장하고 있는 컴퓨터 판독 가능 기록매체로서,
    상기 컴퓨터 프로그램은,
    복수의 위협 경보들을 기 설정된 분류체계에 따라 제1 위협 경보 유형과 제2 위협 경보 유형으로 분류하는 단계;
    상기 제2 위협 경보 유형에 포함된 제2 위협 경보가 상기 제1 위협 경보 유형에 포함된 제1 위협 경보와 연관성이 있는지 여부를 결정하는 단계; 및
    상기 연관성에 기초하여, 제1 위협 경보를 감지한 제1 감지 시간과 제2 위협 경보를 감지한 제2 감지 시간의 차이가 기 설정된 시간 구간 내에 있는 경우만을 고려하여 상기 제2 위협 경보 유형이 상기 제1 위협 경보 유형과 상관관계에 있는지 여부를 결정하는 단계를 포함하되,
    상기 제1 위협 경보 유형은 제3 위협 경보를 더 포함하고,
    상기 제2 위협 경보 유형은 상기 제1 위협 경보, 제4 위협 경보를 더 포함하며,
    상기 제2 위협 경보 유형이 상기 제1 위협 경보 유형과 상관관계에 있는지 여부를 결정하는 단계는,
    상기 제1 위협 경보, 상기 제2 위협 경보, 상기 제3 위협 경보, 상기 제4 위협 경보 순으로 감지된 경우, 상기 제2 위협 경보가 상기 제1 위협 경보와 연관성이 있는지 여부, 및 상기 제4 위협 경보가 상기 제1 위협 경보 또는 상기 제3 위협 경보와 연관성이 있는지 여부에 기초하여, 상기 제2 위협 경보 유형이 상기 제1 위협 경보 유형과 상관관계에 있는지 여부를 결정하는
    위협 경보 유형들의 상관관계를 결정하는 방법을 프로세서가 수행하도록 하기 위한 명령어를 포함하는
    컴퓨터 판독 가능한 기록매체.
  20. 컴퓨터 판독 가능한 기록매체에 저장되어 있는 컴퓨터 프로그램으로서,
    상기 컴퓨터 프로그램은, 프로세서에 의해 실행되면,
    복수의 위협 경보들을 기 설정된 분류체계에 따라 제1 위협 경보 유형과 제2 위협 경보 유형으로 분류하는 단계;
    상기 제2 위협 경보 유형에 포함된 제2 위협 경보가 상기 제1 위협 경보 유형에 포함된 제1 위협 경보와 연관성이 있는지 여부를 결정하는 단계; 및
    상기 연관성에 기초하여, 제1 위협 경보를 감지한 제1 감지 시간과 제2 위협 경보를 감지한 제2 감지 시간의 차이가 기 설정된 시간 구간 내에 있는 경우만을 고려하여 상기 제2 위협 경보 유형이 상기 제1 위협 경보 유형과 상관관계에 있는지 여부를 결정하는 단계를 포함하되,
    상기 제1 위협 경보 유형은 제3 위협 경보를 더 포함하고,
    상기 제2 위협 경보 유형은 상기 제1 위협 경보, 제4 위협 경보를 더 포함하며,
    상기 제2 위협 경보 유형이 상기 제1 위협 경보 유형과 상관관계에 있는지 여부를 결정하는 단계는,
    상기 제1 위협 경보, 상기 제2 위협 경보, 상기 제3 위협 경보, 상기 제4 위협 경보 순으로 감지된 경우, 상기 제2 위협 경보가 상기 제1 위협 경보와 연관성이 있는지 여부, 및 상기 제4 위협 경보가 상기 제1 위협 경보 또는 상기 제3 위협 경보와 연관성이 있는지 여부에 기초하여, 상기 제2 위협 경보 유형이 상기 제1 위협 경보 유형과 상관관계에 있는지 여부를 결정하는
    위협 경보 유형들의 상관관계를 결정하는 방법을 상기 프로세서가 수행하도록 하기 위한 명령어를 포함하는
    컴퓨터 프로그램.
KR1020200056137A 2020-05-11 2020-05-11 사이버 위협 경보 유형들의 상관관계를 결정하는 방법 및 상기 방법을 수행하는 상관관계 결정 장치 KR102380559B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020200056137A KR102380559B1 (ko) 2020-05-11 2020-05-11 사이버 위협 경보 유형들의 상관관계를 결정하는 방법 및 상기 방법을 수행하는 상관관계 결정 장치

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020200056137A KR102380559B1 (ko) 2020-05-11 2020-05-11 사이버 위협 경보 유형들의 상관관계를 결정하는 방법 및 상기 방법을 수행하는 상관관계 결정 장치

Publications (2)

Publication Number Publication Date
KR20210137821A KR20210137821A (ko) 2021-11-18
KR102380559B1 true KR102380559B1 (ko) 2022-03-30

Family

ID=78717393

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020200056137A KR102380559B1 (ko) 2020-05-11 2020-05-11 사이버 위협 경보 유형들의 상관관계를 결정하는 방법 및 상기 방법을 수행하는 상관관계 결정 장치

Country Status (1)

Country Link
KR (1) KR102380559B1 (ko)

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6201614B2 (ja) * 2013-10-11 2017-09-27 富士通株式会社 ログ分析装置、方法およびプログラム

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100901696B1 (ko) * 2007-07-04 2009-06-08 한국전자통신연구원 보안 이벤트의 컨텐츠에 기반한 보안 이벤트 샘플링 장치및 방법
KR101308085B1 (ko) * 2012-01-26 2013-09-12 주식회사 시큐아이 관계형 공격 패턴을 이용하는 침입 차단 시스템 및 방법

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6201614B2 (ja) * 2013-10-11 2017-09-27 富士通株式会社 ログ分析装置、方法およびプログラム

Also Published As

Publication number Publication date
KR20210137821A (ko) 2021-11-18

Similar Documents

Publication Publication Date Title
US20210256127A1 (en) System and method for automated machine-learning, zero-day malware detection
Patgiri et al. An investigation on intrusion detection system using machine learning
US11003767B2 (en) Multi-layer data model for security analytics
US9292688B2 (en) System and method for automated machine-learning, zero-day malware detection
CN111753303B (zh) 一种基于深度学习和强化学习的多粒度代码漏洞检测方法
Mahmood et al. Intrusion detection system based on K-star classifier and feature set reduction
US20240330514A1 (en) Automated data masking with false positive detection and avoidance
US11647032B2 (en) Apparatus and method for classifying attack groups
EP2304649A1 (en) Frame based video matching
CN111740946B (zh) Webshell报文的检测方法及装置
US11106801B1 (en) Utilizing orchestration and augmented vulnerability triage for software security testing
Sun et al. Pattern recognition techniques for the classification of malware packers
US20080127043A1 (en) Automatic Extraction of Programming Rules
KR102247179B1 (ko) 이상행위탐지모델의 비지도 학습을 위한 xai 기반 정상학습데이터 생성방법 및 장치
CN111368289B (zh) 一种恶意软件检测方法和装置
CN113221109B (zh) 一种基于生成对抗网络的恶意文件智能分析方法
CN112817877B (zh) 异常脚本检测方法、装置、计算机设备和存储介质
EP3531328B1 (en) Cardinality based activity pattern detection
CN104504334A (zh) 用于评估分类规则选择性的系统及方法
KR102380559B1 (ko) 사이버 위협 경보 유형들의 상관관계를 결정하는 방법 및 상기 방법을 수행하는 상관관계 결정 장치
CN108491718B (zh) 一种实现信息分类的方法及装置
CN116821903A (zh) 检测规则确定及恶意二进制文件检测方法、设备及介质
US11556522B2 (en) Automated database updating and curation
CN115412274A (zh) 攻击溯源方法及相关数据处理、关联展示方法及装置
CN112818347A (zh) 一种文件标签确定方法、装置、设备及存储介质

Legal Events

Date Code Title Description
AMND Amendment
E601 Decision to refuse application
AMND Amendment
X701 Decision to grant (after re-examination)