KR101959213B1 - 침해 사고 예측 방법 및 그 장치 - Google Patents
침해 사고 예측 방법 및 그 장치 Download PDFInfo
- Publication number
- KR101959213B1 KR101959213B1 KR1020170026392A KR20170026392A KR101959213B1 KR 101959213 B1 KR101959213 B1 KR 101959213B1 KR 1020170026392 A KR1020170026392 A KR 1020170026392A KR 20170026392 A KR20170026392 A KR 20170026392A KR 101959213 B1 KR101959213 B1 KR 101959213B1
- Authority
- KR
- South Korea
- Prior art keywords
- infringement
- infringing
- resource node
- infringing resource
- prediction
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 77
- 238000004364 calculation method Methods 0.000 claims description 14
- 238000004422 calculation algorithm Methods 0.000 claims description 13
- 238000004891 communication Methods 0.000 claims description 10
- 238000004590 computer program Methods 0.000 claims description 10
- 238000001514 detection method Methods 0.000 claims description 10
- 230000009545 invasion Effects 0.000 claims description 10
- 230000008859 change Effects 0.000 claims description 9
- 238000012502 risk assessment Methods 0.000 claims 4
- 230000008595 infiltration Effects 0.000 description 11
- 238000001764 infiltration Methods 0.000 description 11
- 238000010586 diagram Methods 0.000 description 8
- 230000002265 prevention Effects 0.000 description 8
- 238000012360 testing method Methods 0.000 description 7
- 238000013507 mapping Methods 0.000 description 6
- 230000006870 function Effects 0.000 description 5
- 230000008569 process Effects 0.000 description 4
- 238000012545 processing Methods 0.000 description 4
- 239000000470 constituent Substances 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 208000015181 infectious disease Diseases 0.000 description 2
- 239000000203 mixture Substances 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000011160 research Methods 0.000 description 2
- 238000000926 separation method Methods 0.000 description 2
- 230000009897 systematic effect Effects 0.000 description 2
- 238000007792 addition Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000006835 compression Effects 0.000 description 1
- 238000007906 compression Methods 0.000 description 1
- 238000013016 damping Methods 0.000 description 1
- 230000007423 decrease Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 230000010365 information processing Effects 0.000 description 1
- 230000001151 other effect Effects 0.000 description 1
- 238000007670 refining Methods 0.000 description 1
- 239000010454 slate Substances 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
침해 사고 그래프를 이용한 침해 사고 예측 방법이 제공된다. 침해 사고 예측 장치에 의해 수행되는 침해 사고 예측 방법은, 침해 사고 그래프를 구성하는 복수의 침해 자원 노드 각각에 대하여, 침해 자원 노드의 간선의 개수를 기초로 각 침해 자원 노드의 악용 지수를 산출하되, 상기 악용 지수는 상기 침해 사고 그래프에서 각 침해 자원 노드가 침해 사고에 악용된 상대적 빈도를 나타내는 것인, 단계, 상기 복수의 침해 자원 노드 중에서 어느 하나의 예측 기준 침해 자원 노드를 결정하는 단계, 상기 침해 사고 그래프에서, 상기 예측 기준 침해 자원 노드로부터 다른 침해 자원 노드까지의 최단 거리를 기초로 각 침해 자원 노드에 대한 가중치를 결정하는 단계 및 상기 악용 지수 및 상기 가중치를 이용하여, 상기 예측 기준 침해 자원 노드가 가리키는 침해 자원이 악용된 경우 상기 복수의 침해 자원 노드 중에서 지정된 예측 대상 침해 자원 노드가 가리키는 침해 자원이 침해 사고에 악용될 가능성을 예측하는 단계를 포함할 수 있다.
Description
본 발명은 침해 사고 예측 방법 및 그 장치에 관한 것이다. 보다 자세하게는, 침해 사고 그래프를 이용하여 침해 사고에 악용된 기준 침해 자원이 주어진 경우 향후 악용될 가능성이 높은 침해 자원을 예측하는 방법 및 장치에 관한 것이다.
급증하고 있는 침해 사고에 대응하기 위하여 국내외 공공 기관 및 민간 기업 사이에서 침해 사고와 관련된 정보가 공유되고 있다. 나아가, 공유된 침해 사고에 대한 정보를 인텔리전스(intelligence) 정보로 정제하여 관리함으로써, 침해 자원에 의한 공격을 사전에 방어하기 위한 다양한 방법이 시도되고 있다.
최근에는, 침해 사고 간의 유기적인 관계를 분석하기 위해 공유된 침해 사고에 대한 정보를 재귀적으로 수집하고, 수집된 정보를 기초로 침해 사고 그래프를 생성하며, 이를 그래프 DB(Graph Database)로 구축하는 연구가 진행되고 있다. 여기서, 그래프 DB란 데이터 자체만큼이나 데이터 간의 관계가 주요한 의미를 갖는 데이터를 그래프 형태로 저장하는 DB 데이터를 말한다. 그래프 DB는 간선에 속성을 부여하여 의미적인 연결 관계를 나타낼 수 있고, 기존의 관계형 DB(Relational Database)와는 달리 엄격한 스키마(schema)를 요구하지 않기 때문에, 침해 사고 간의 유기적인 관계를 분석하는데 적합한 구조를 갖고 있다.
그러나, 현재까지 대부분의 연구는 상기와 같은 침해 사고 그래프 DB를 구축하는 데에만 초점을 맞추어 진행되고 있고, 생성된 침해 사고 그래프를 활용하여 향후 발생 가능성이 높은 침해 사고를 예측하는 방법에 대해서는 제안된 바가 없는 실정이다. 즉, 침해 자원에 의한 사이버 공격에 대해 신속한 대책을 수립하고 피해 규모를 최소화하기 위해서는, 무엇보다 향후 악용될 가능성이 높은 침해 자원을 예측해야 함에도 불구하고, 이에 대한 체계적인 연구는 아직까지 미미한 실정이다.
본 발명이 해결하고자 하는 기술적 과제는, 침해 사고 그래프를 이용하여 향후 악용될 가능성이 높은 침해 자원을 체계적으로 예측하는 방법 및 장치를 제공하는 것이다.
본 발명이 해결하고자 하는 다른 기술적 과제는, 침해 사고 그래프에서 공통된 특성을 공유하는 침해 자원들이 악용될 확률을 예측하는 방법을 제공하는 것이다.
본 발명이 해결하고자 하는 또 다른 기술적 과제는, 침해 사고 그래프를 구성하는 각각의 침해 자원 노드에 대한 악용 지수를 체계적으로 산출하는 방법을 제공하는 것이다.
본 발명이 해결하고자 하는 또 다른 기술적 과제는, 침해 사고 그래프 기반으로 각 침해 자원의 예측된 악용 지수를 가리키는 악용 예측 지수를 산출하고, 이를 기초로 향후 발생이 예측되는 침해 사고의 위험도를 체계적으로 산출하는 방법을 제공하는 것이다.
본 발명의 기술적 과제들은 이상에서 언급한 기술적 과제들로 제한되지 않으며, 언급되지 않은 또 다른 기술적 과제들은 아래의 기재로부터 통상의 기술자에게 명확하게 이해될 수 있을 것이다.
상술한 기술적 과제를 해결하기 위한 본 발명의 일 실시예에 따른 침해 사고 예측 방법은, 침해 사고 예측 장치에 의해 수행되는 침해 사고 예측 방법에 있어서, 침해 사고 그래프를 구성하는 복수의 침해 자원 노드 각각에 대하여, 침해 자원 노드의 간선의 개수를 기초로 각 침해 자원 노드의 악용 지수를 산출하되, 상기 악용 지수는 상기 침해 사고 그래프에서 각 침해 자원 노드가 침해 사고에 악용된 상대적 빈도를 나타내는 것인, 단계, 상기 복수의 침해 자원 노드 중에서 어느 하나의 예측 기준 침해 자원 노드를 결정하는 단계, 상기 침해 사고 그래프에서, 상기 예측 기준 침해 자원 노드로부터 다른 침해 자원 노드까지의 최단 거리를 기초로 각 침해 자원 노드에 대한 가중치를 결정하는 단계 및 상기 악용 지수 및 상기 가중치를 이용하여, 상기 예측 기준 침해 자원 노드가 가리키는 침해 자원이 악용된 경우 상기 복수의 침해 자원 노드 중에서 지정된 예측 대상 침해 자원 노드가 가리키는 침해 자원이 침해 사고에 악용될 가능성을 예측하는 단계를 포함할 수 있다.
상술한 기술적 과제를 해결하기 위한 본 발명의 다른 실시예에 따른 침해 사고 예측 장치는, 하나 이상의 프로세서, 네트워크 인터페이스, 상기 프로세서에 의하여 수행되는 컴퓨터 프로그램을 로드(Load)하는 메모리 및 침해 사고 그래프 및 상기 컴퓨터 프로그램을 저장하는 스토리지를 포함하되, 상기 컴퓨터 프로그램은,상기 침해 사고 그래프를 구성하는 복수의 침해 자원 노드 각각에 대하여, 침해 자원 노드의 간선의 개수를 기초로 각 침해 자원 노드의 악용 지수를 산출하되, 상기 악용 지수는 상기 침해 사고 그래프에서 각 침해 자원 노드가 침해 사고에 악용된 상대적 빈도를 나타내는 것인, 오퍼레이션, 상기 복수의 침해 자원 노드 중에서 어느 하나의 예측 기준 침해 자원 노드를 결정하는 오퍼레이션, 상기 침해 사고 그래프에서, 상기 예측 기준 침해 자원 노드로부터 다른 침해 자원 노드까지의 최단 거리를 기초로 각 침해 자원 노드에 대한 가중치를 결정하는 오퍼레이션 및 상기 악용 지수 및 상기 가중치를 이용하여, 상기 예측 기준 침해 자원 노드가 가리키는 침해 자원이 악용된 경우 상기 복수의 침해 자원 노드 중에서 지정된 예측 대상 침해 자원 노드가 가리키는 침해 자원이 침해 사고에 악용될 가능성을 예측하는 오퍼레이션을 포함할 수 있다.
상술한 기술적 과제를 해결하기 위한 본 발명의 또 다른 실시예에 따른 침해 사고 예측 컴퓨터 프로그램은, 컴퓨팅 장치와 결합되어, 침해 사고 그래프를 구성하는 복수의 침해 자원 노드 각각에 대하여, 침해 자원 노드의 간선의 개수를 기초로 각 침해 자원 노드의 악용 지수를 산출하되, 상기 악용 지수는 상기 침해 사고 그래프에서 각 침해 자원 노드가 침해 사고에 악용된 상대적 빈도를 나타내는 것인, 단계, 상기 복수의 침해 자원 노드 중에서 어느 하나의 예측 기준 침해 자원 노드를 결정하는 단계, 상기 침해 사고 그래프에서, 상기 예측 기준 침해 자원 노드로부터 다른 침해 자원 노드까지의 최단 거리를 기초로 각 침해 자원 노드에 대한 가중치를 결정하는 단계 및 상기 악용 지수 및 상기 가중치를 이용하여, 상기 예측 기준 침해 자원 노드가 가리키는 침해 자원이 악용된 경우 상기 복수의 침해 자원 노드 중에서 지정된 예측 대상 침해 자원 노드가 가리키는 침해 자원이 침해 사고에 악용될 가능성을 예측하는 단계를 실행시키기 위하여 기록 매체에 저장될 수 있다.
상술한 본 발명에 따르면, 기준 침해 자원이 주어진 경우, 향후 침해 사고에 악용될 가능성이 높은 침해 자원이 예측될 수 있다. 이를 통해, 침해 사고에 대한 신속한 대응 기회를 제공하고, 침해 사고 발생에 따른 피해 규모를 최소화할 수 있다는 효과가 있다.
또한, 각 침해 자원의 예측 악용 지수 또는 악용 확률이 정량적인 값으로 제공될 수 있다. 이를 통해, 특정 침해 자원에 의해 발생되는 침해 사고를 우선적으로 대응할 수 있는 기회를 제공할 수 있다.
또한, 침해 사고 그래프에서 각 침해 자원 노드의 예측 악용 지수 기준으로 침해 사고의 위험도가 정량적인 값으로 산정될 수 있다. 이를 통해, 각 침해 사고의 위험도를 고려한 체계적인 대책 수립 기회를 제공할 수 있다.
본 발명의 효과들은 이상에서 언급한 효과들로 제한되지 않으며, 언급되지 않은 또 다른 효과들은 아래의 기재로부터 통상의 기술자에게 명확하게 이해될 수 있을 것이다.
도 1은 본 발명의 일 실시예에 따른 침해 사고 예측 시스템의 구성도이다.
도 2는 도 1에 도시된 침해 사고 정보 수집 시스템에서 수행되는 재귀적 침해 사고 정보 수집 방법을 설명하기 위한 도면이다.
도 3a 및 도 3b는 본 발명의 다른 실시예에 따른 침해 사고 예측 장치의 블록도이다.
도 4는 본 발명의 또 다른 실시예에 따른 침해 사고 예측 장치의 하드웨어 구성도이다.
도 5 내지 도 6e는 본 발명의 몇몇 실시예에서 참조되는 침해 사고 그래프 DB 생성 방법을 설명하기 위한 도면이다.
도 7 내지 도 12b는 본 발명의 또 다른 실시예에 따른 침해 사고 예측 방법을 설명하기 위한 도면이다.
도 2는 도 1에 도시된 침해 사고 정보 수집 시스템에서 수행되는 재귀적 침해 사고 정보 수집 방법을 설명하기 위한 도면이다.
도 3a 및 도 3b는 본 발명의 다른 실시예에 따른 침해 사고 예측 장치의 블록도이다.
도 4는 본 발명의 또 다른 실시예에 따른 침해 사고 예측 장치의 하드웨어 구성도이다.
도 5 내지 도 6e는 본 발명의 몇몇 실시예에서 참조되는 침해 사고 그래프 DB 생성 방법을 설명하기 위한 도면이다.
도 7 내지 도 12b는 본 발명의 또 다른 실시예에 따른 침해 사고 예측 방법을 설명하기 위한 도면이다.
이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시예를 상세히 설명한다. 본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시 예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시예에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시 예들은 본 발명의 개시가 완전하도록 하고, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다. 명세서 전체에 걸쳐 동일 참조 부호는 동일 구성 요소를 지칭한다.
다른 정의가 없다면, 본 명세서에서 사용되는 모든 용어(기술 및 과학적 용어를 포함)는 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에게 공통으로 이해될 수 있는 의미로 사용될 수 있을 것이다. 또 일반적으로 사용되는 사전에 정의되어 있는 용어들은 명백하게 특별히 정의되어 있지 않는 한 이상적으로 또는 과도하게 해석되지 않는다. 본 명세서에서 사용된 용어는 실시예들을 설명하기 위한 것이며 본 발명을 제한하고자 하는 것은 아니다. 본 명세서에서, 단수형은 문구에서 특별히 언급하지 않는 한 복수형도 포함한다.
명세서에서 사용되는 "포함한다 (comprises)" 및/또는 "포함하는 (comprising)"은 언급된 구성 요소, 단계, 동작 및/또는 소자는 하나 이상의 다른 구성 요소, 단계, 동작 및/또는 소자의 존재 또는 추가를 배제하지 않는다.
본 명세서에서 이용되는 용어의 정의는 다음과 같다.
침해 사고는 정보처리 시스템을 구성하는 자산을 대상으로 사이버 공격 등의 악의적 행위(Malicious Act)가 수행된 사례를 의미한다. 또한, 침해 사고 정보는 상기 침해 사고에 연관된 모든 정보를 포함하는 개념이다. 즉, 침해 사고 정보는 침해 사고에 악용된 침해 자원에 관한 정보 및 상기 침해 자원과 연관된 침해 연관 정보를 포함하며, 침해 정보 공유 채널을 통해 수집되는 정보들뿐만 아니라, 수집된 정보를 기초로 생성되거나 가공되는 정보들까지 포함하는 보다 넓은 개념의 용어로서 이해될 수 있다.
침해 자원은 악성 행위자, 악성 행위 수행을 위한 인프라 및 악성 도구와 같은 침해 사고와 연관된 모든 정보로서, 예를 들어, 아이피(IP), 도메인(Domain), 이메일(E-mail) 및 악성코드 등을 포함할 수 있다.
침해 연관 정보는 침해 자원과 연관된 정보를 의미하고, 예를 들어 침해 자원이 도메인인 경우 TLD(Top Level Domain)/SLD(Second Level Domain) 기준 유사 도메인 정보가 될 수 있다. 침해 연관 정보는 침해 자원의 종류에 따라 달라질 수 있으며, 침해 연관 정보의 자세한 예시는 후술한다.
침해 정보 공유 채널은 침해 자원에 관한 정보 또는 침해 연관 정보를 제공하는 정보 채널로, 각 채널 별로 제공되는 정보는 달라질 수 있으며, 침해 정보 공유 채널의 자세한 예시는 후술한다.
침해 사고 그래프는 침해 사고에 관련된 침해 자원 정보 및 침해 연관 정보를 노드로 표현하고 각 정보 간의 연결 관계를 간선으로 표현한 그래프를 의미한다. 침해 사고 그래프를 생성하는 방법은 도 5 내지 도 6e를 참조하여 후술하도록 한다.
침해 자원의 악용 지수는 개별 침해 자원이 침해 사고에 악용된 빈도 또는 횟수를 의미할 수 있다. 이는 침해 사고 그래프에서 침해 자원 노드가 갖는 상대적 인용 지수로 표현될 수 있고, 이에 대한 설명은 후술하도록 한다.
이하, 본 발명에 대하여 첨부된 도면에 따라 보다 상세히 설명한다.
도 1은 본 발명의 일 실시예에 따른 침해 사고 예측 시스템의 구성도이다.
도 1을 참조하면 침해 사고 예측 시스템은 하나 이상의 침해 사고 정보 수집 시스템(50) 및 침해 사고 정보 분석 시스템(100)을 포함할 수 있다. . 단, 이는 본 발명의 목적을 달성하기 위한 바람직한 실시예일 뿐이며, 필요에 따라 일부 구성 요소가 추가되거나 삭제될 수 있음은 물론이다. 침해 사고 예측 시스템은, 예를 들어, AEGIS(Accumulated and intEGrated Intelligence System)일 수 있다. 침해 사고 정보 수집 시스템(50) 및 침해 사고 정보 분석 시스템(100)은 네트워크로 연결되고 상호 간에 통신할 수 있는 컴퓨팅 장치를 적어도 하나 포함하는 시스템일 수 있다.
상기 컴퓨팅 장치는 예를 들어 스마트 폰(smart phone), 노트북 컴퓨터(laptop computer), PDA(personal digital assistants), PMP(portable multimedia player), 내비게이션, 슬레이트 PC(slate PC), 태블릿 PC(tablet PC), 데스크톱 컴퓨터 등이 될 수 있으나, 이에 국한되는 것은 아니며 컴퓨팅 기능 및 통신 기능이 구비된 모든 장치를 포함할 수 있다.
상기 네트워크는 근거리 통신망(Local Area Network; LAN), 광역 통신망(Wide Area Network; WAN), 이동 통신망(mobile radio communication network), Wibro(Wireless Broadband Internet) 등과 같은 모든 종류의 유/무선 네트워크로 구현될 수 있다.
침해 사고 정보 수집 시스템(50)은 침해 사고에 대한 각종 침해 사고 정보를 다양한 침해 정보 공유 채널(10, 공유 채널 #1, 공유 채널 #2, …, 공유 채널 #n)로부터 재귀적으로 수집할 수 있다. 예를 들어, 도 2에 도시된 바와 같이, 침해 사고 정보 수집 시스템(50)은 침해 정보 공유 채널(10)로부터 침해 자원에 관한 정보(e.g. IP, 도메인, 악성 코드 등)를 수집하고, 상기 침해 자원과 연관된 침해 연관 정보(e.g. 지리적 위치, 도메인 소유자 이메일, 유사 악성 코드 등)를 침해 정보 공유 채널(10)로부터 수집할 수 있다. 또한, 수집된 침해 연관 정보가 침해 자원의 타입(e.g. IP, 도메인, 악성 코드 등)에 해당되는 경우 침해 정보 공유 채널(10)로부터 재귀적으로 침해 연관 정보를 수집할 수 있다.
침해 정보 공유 채널(10)은 침해 자원에 관한 정보를 제공하는 제1 정보 공유 채널과 상기 침해 자원과 연관된 침해 연관 정보를 제공하는 제2 정보 공유 채널로 분류될 수 있다. 여기서, 상기 제1 정보 공유 채널은 예를 들어 사이버 블랙박스, C-share(한국 인터넷 진흥원에서 운영하는 침해 사고 정보 공유 시스템), DNSBL(Domain Name Server based Black List), virusshare.com 등의 유포지/악성코드 공유 사이트 등일 수 있으나, 이에 한정되는 것은 아니다.
또한, 상기 제2 정보 공유 채널은 침해 사고 정보의 타입 별로 기 설정되어 있을 수 있고, 예를 들어 하기의 표 1과 같이 설정될 수 있다. 단, 이에 국한되는 것은 아니며 얼마든지 다른 정보 공유 채널이 추가될 수 있다.
| 침해 사고 정보의 타입 | 제2 정보 공유 채널 |
| IP 정보 | IP2Location, DNS/PTR 레코드 |
| 도메인 정보 | Whois, SLD(Second Level Domain), TLD(Top Level Domain), DNS, 구글 침해 사고 이력 |
| 악성 코드 정보 | 악성 코드 변종 탐지 시스템, 악성 코드 행위 분석 시스템 |
표 1을 참조하여 부연 설명하면, 침해 사고 정보 수집 시스템(50)은 수집된 침해 자원 정보가 블랙리스트 IP, C&C IP 등의 IP 정보인 경우, 침해 사고 정보 수집 시스템(50)는 IP2Location, DNS/PTR 레코드 각각의 공유 채널로부터 침해 연관 정보를 조회하고, 조회된 정보를 수집한다. 또는, 수집된 침해 자원 정보가 도메인 정보인 경우, 침해 사고 정보 수집 시스템(50)는 Whois, SLD, TLD, DNS 또는 구글 침해 사고 이력 각각의 공유 채널로부터 침해 연관 정보를 조회하고, 조회된 정보를 침해 연관 정보로 수집하게 된다.
침해 사고 정보 수집 시스템(50)이 침해 정보 공유 채널(10)로부터 수집하는 침해 사고 정보는 침해 정보 공유 채널 별로 그 형식이 다를 수 있다. 예를 들어, 침해 사고 정보가 악성 코드인 경우, 다수의 악성 코드에 대한 해시 값 및 침해 공유 채널 정보로 구성된 테이블 형태의 정보일 수 있다.
침해 사고 정보 분석 시스템(100)은 침해 사고 정보 수집 시스템(50)으로부터 수집된 침해 사고 정보를 분할 관리할 수 있다. 특히, 침해 사고 정보 수집 시스템(50)으로부터 수집된 침해 자원 사고 정보는 침해 정보 공유 채널 별로 그 형식이 다를 수 있으므로, 침해 사고 정보 분석 시스템(100)은, 침해 사고 정보에 정규 표현식(Regular expression)을 적용하여, 수집된 침해 사고 정보를 통일된 데이터 형식으로 저장할 수 있다.
침해 사고 정보 분석 시스템(100)은 분할 관리 되는 침해 사고 정보를 그래프로 생성하고, 생성된 그래프를 그래프 DB에 저장할 수 있다. 이와 같이 그래프 데이터 베이스가 구축됨에 따라, 침해 사고 정보 분석 시스템(100)의 사용자는 시각적으로 제공되는 침해 사고 그래프 상의 각 노드 사이의 관계를 분석함으로써, 복수의 침해 자원 사이의 연관 관계를 직관적으로 판단할 수 있게 된다.
본 발명의 일 실시예에 따르면, 침해 사고 정보 분석 시스템(100)은 침해 사고 정보를 정규 표현화하고, 침해 사고 정보 및 침해 사고 정보의 구성 요소를 노드로 구성하여 침해 사고 그래프 또는 침해 사고 그래프 DB를 생성할 수 있다. 이 같은 실시예에 한하여, 본 발명의 실시예에 따른 침해 사고 정보 분석 시스템(100)은, 침해 사고 그래프 DB 생성 장치(100)로 칭할 수도 있다. 침해 사고 그래프 DB 생성 장치(100)가 그래프 DB를 생성하는 방법에 대한 설명은 도 5 내지 도 6e를 참조하여 후술하도록 한다.
본 발명의 일 실시예에 따르면, 침해 사고 정보 분석 시스템(100)은 침해 사고 그래프를 생성하고, 생성된 그래프 기반으로 침해 사고에 악용된 특정 침해 자원이 주어진 경우, 상기 특정 침해 자원을 기준으로 다른 침해 자원의 악용 확률 또는 동일한 특성을 공유하는 적어도 하나의 침해 자원의 악용 확률을 산출할 수 있다. 이를 통해, 침해 사고 정보 분석 시스템(100)은 향후 침해 사고에서 악용될 가능성이 높은 침해 자원을 예측하고, 상기 침해 자원에 의해 발생되는 침해 사고에 대해 신속하게 대응할 수 있는 기회를 제공할 수 있다. 이 같은 실시예에 한하여, 본 발명의 실시예에 따른 침해 사고 정보 분석 시스템(100)은, 침해 사고 예측 장치(100)로 칭할 수도 있다. 침해 사고 예측 장치(100)가 추후 악용될 침해 자원을 예측하는 방법에 대한 설명은 도 7 내지 도 12b를 참조하여 상세하게 설명하도록 한다.
침해 사고 예측 시스템은, 침해 사고 정보 수집 시스템(50) 및 침해 사고 정보 분석 시스템(100) 외에 별도의 컴퓨팅 장치를 더 포함할 수도 있다. 예를 들어, 침해 사고 예측 시스템은 이와 같은 별도의 컴퓨팅 장치는, 침해 사고 예측 시스템의 관리자 또는 별도의 컴퓨팅 장치의 사용자에게 침해 사고 정보 분석 시스템(100)에서 생성한 그래프 DB 및 침해 자원의 악용 확률을 그래픽 유저 인터페이스(Graphic user interface, GUI)를 통해 디스플레이할 수 있다. 이 경우, 별도의 컴퓨팅 장치는 침해 사고 정보 분석 시스템(100)을 통해 그래픽 유저 인터페이스를 제공 받을 수도 있다.
도 1에서, 침해 사고 정보 수집 시스템(50)과 침해 사고 정보 분석 시스템(100)은 별도의 구성으로 설명되었으나, 상기 침해 사고 예측 시스템의 구성 요소는 통합된 형태로 구성될 수도 있다.
지금까지 도 1 내지 도 2를 참조하여 본 발명의 일 실시예에 따른 침해 사고 예측 시스템에 대하여 설명하였다. 다음으로, 침해 사고 예측 장치(100)의 구성 및 동작에 대하여 도 3a 내지 도 4를 참조하여 설명한다.
도 3a 및 도 3b는 본 발명의 또 다른 실시예에 따른 침해 사고 예측 장치(100)의 블록도이다.
도 3a 및 도 3b를 참조하면, 침해 사고 예측 장치(100)는 침해 사고 그래프 생성부(110), 침해 악용 지수 산출부(120) 및 침해 사고 예측부(130)를 포함할 수 있다. 다만, 도 3a에는 본 발명의 실시예와 관련 있는 구성요소들만이 도시되어 있다. 따라서, 본 발명이 속한 기술분야의 통상의 기술자라면 도 3a에 도시된 구성요소들 외에 다른 범용적인 구성 요소들이 더 포함될 수 있음을 알 수 있다.
침해 사고 그래프 생성부(110)는 침해 사고 정보 수집 시스템(50)에서 수집된 침해 사고 정보를 기초로 침해 사고 그래프를 생성한다. 즉, 수집된 침해 사고 정보에 포함된 침해 자원 정보 및 침해 자원 연관 정보 각각을 노드로 생성하고, 연관성 있는 정보를 가리키는 노드를 간선으로 연결함으로써 침해 사고 그래프를 생성한다. 생성된 침해 사고 그래프는 침해 사고 그래프 DB에 저장되고 관리될 수 있다. 상기 침해 사고 그래프를 생성하는 방법에 대한 자세한 사항은 도 5 내지 도 6e를 참조하여 후술한다.
침해 악용 지수 산출부(120)는 침해 사고 그래프에서 개별 침해 자원 각각에 대한 악용 지수를 산출한다. 상기 악용 지수를 산출하는 방법에 대한 자세한 사항은 도 7 및 도 8을 참조하여 후술하기로 한다.
침해 사고 예측부(130)는 침해 사고 그래프를 이용하여 예측 기준 침해 자원이 주어진 경우, 이를 기준으로 다른 침해 자원의 악용 확률을 산출하고, 상기 악용 확률을 기초로 향후 악용될 가능성이 높은 침해 자원을 예측한다. 여기서, 상기 다른 침해 자원의 악용 확률은 특정 침해 자원이 침해 사고에 악용된 경우, 상기 특정 침해 자원을 제외한 다른 침해 자원이 침해 사고에 악용될 가능성을 가리키는 조건부 확률의 개념으로 이해될 수 있다.
침해 사고 예측부(130)는 가중치 결정부(131), 제1 침해 자원 악용 확률 산출부(132), 제2 침해 자원 악용 확률 산출부(133) 및 위험도 산출부(134)를 포함할 수 있다.
가중치 결정부(131)는 침해 사고 그래프에서 예측 기준 침해 자원을 가리키는 예측 기준 노드에서 다른 침해 자원 노드까지의 최단 거리를 산출하고, 상기 최단 거리를 기초로 다른 침해 자원 노드의 가중치를 결정한다. 예를 들어, 상기 가중치는 상기 산출된 최단 거리의 역수로 결정될 수 있다. 이는, 침해 사고 그래프에서 두 침해 자원 노드의 거리가 클수록 두 침해 자원의 연관성이 떨어지는 것을 반영한 것으로 이해될 수 있다. 상기 결정된 가중치는 이후 예측 대상 침해 자원의 악용 예측 지수 또는 악용 확률을 산출하는데 이용된다.
제1 침해 자원 악용 확률 산출부(132)는 예측 기준 침해 자원이 주어진 경우, 상기 예측 기준 침해 자원을 포함하는 침해 사고 그래프에서, 적어도 하나의 예측 대상 침해 자원 노드를 결정하고, 상기 예측 대상 침해 자원 노드의 개별 악용 예측 지수를 산출한다. 또한, 제1 침해 자원 악용 확률 산출부(132)는 침해 사고 그래프를 구성하는 복수의 침해 자원 노드에 대한 전체 악용 예측 지수와 상기 개별 악용 예측 지수를 이용하여 악용 확률을 산출할 수 있다. 이에 대한 자세한 사항은 도 9, 도 11a 및 도 11b를 참조하여 후술하도록 한다.
제2 침해 자원 악용 확률 산출부(133)는 예측 기준 침해 자원이 주어진 경우, 상기 예측 기준 침해 자원을 포함하는 침해 사고 그래프에서, 동일한 특성 값을 갖는 침해 자원 노드에 대한 악용 예측 지수와 동일한 특성 타입을 갖는 복수의 침해 자원 노드에 대한 전체 악용 예측 지수를 산출할 수 있다. 또한, 상기 악용 예측 지수와 전체 악용 예측 지수를 이용하여, 악용 확률이 산출될 수 있다. 이를 통해, 특정 특성을 공유하는 침해 자원이 향후 악용될 가능성이 예측될 수 있다. 이에 대한 자세한 사항은 도 9b, 도 12a 및 도 12b를 참조하여 후술하도록 한다.
위험도 산출부(134)는 제1 또는 제2 침해 자원 악용 확률 산출부(132, 133)에서 산출된 악용 예측 지수 또는 악용 확률을 기초로 앞으로 발생할 침해 사고의 위험도를 예측할 수 있다.
일 실시예에서, 위험도 산출부(134)는 기 설정된 임계 값 이상의 개별 악용 예측 지수를 갖는 침해 자원 노드의 개수가 많을수록 위험도가 높다고 산출할 수 있다. 이는, 향후 악용될 가능성이 높은 침해 자원이 다수 존재하는 경우, 침해 사고의 위험도가 증가될 수 있다는 것을 반영한 것으로 이해될 수 있다.
다른 실시예에서, 위험도 산출부(134)는 침해 자원 악용 확률이 임계 값 이상인 침해 자원 노드를 결정하고, 결정된 침해 자원 노드의 침해 자원 악용 확률(또는 개별 악용 예측 지수)과 침해 자원 노드 각각에 설정된 위험지수의 곱의 합(sum-of-product)이 클수록 위험도가 높다고 예측할 수 있다. 여기서, 개별 침해 자원 노드의 위험지수는 예를 들어, 하기의 표 2 와 같이 기 설정된 기준에 의하여 설정될 수 있다. 단, 위험지수 산정 기준은 얼마든지 변경될 수 있다.
| 위험지수 산정 기준 | 지표 | 기준 위험지수 |
| ① 탐지 경로 | 악성 코드 유포지 | 5 |
| C&C IP | 5 | |
| 악성 코드 경유지 | 3 | |
| ② 탐지 시간 | 1 개월 이내 | 5 |
| 1 ~ 3 개월 | 3 | |
| 3 개월 이전 | 1 | |
| ③ 블랙리스트 등록 여부 | Live | 3 |
| un-Live | 1 | |
| ④ DNS 변경 이력 | ~10 | 5 |
| 11 ~ 40 | 3 | |
| 41 ~ | 1 | |
| ⑤ 악성 URL의 개수 | ~10 | 5 |
| 11 ~ 40 | 3 | |
| 41 ~ | 1 | |
| ⑥ 악성 코드의 개수 | ~10 | 5 |
| 11 ~ 40 | 3 | |
| 41 ~ | 1 |
표 2를 참조하면, 침해 자원 노드가 탐지 경로와 관련된 정보를 가리키는 경우 악성 코드 경유지보다 C&C IP 또는 악성 코드 유포지의 위험지수가 더 높게 설정될 수 있다. 이는, 사이버 공격에 직접 활용된 공격 정보일수록, 위험도가 상대적으로 높다는 것을 반영한 것이다.
또한, 침해 자원 노드가 최근 탐지된 정보일수록, 기준 위험지수가 더 높게 설정될 수 있다. 이는, 사이버 공격에 활용된 침해 자원이 일정 기간 이후 재사용되는 경향이 높다는 점을 반영한 것이다. 즉, 최근 탐지된 정보수록 위험도가 상대적으로 높다는 점을 반영한 것으로 이해될 수 있다.
또한, 침해 자원 노드가 블랙리스트로 등록된 경우, 기준 위험지수는 더 높게 설정될 수 있다. 이는, 블랙리스트로 등록된 침해 자원의 경우 위험도가 상대적으로 높다는 점을 반영한 것이다.
또한, 침해 자원 노드의 DNS 변경 이력, 악성 URL 및 악성 코드가 많을수록 기준 위험지수가 높게 설정될 수 있다. 이는, DNS 변경 이력, 악성 URL 및 악성 코드가 많을수록 위험도가 상대적으로 높다는 점을 반영한 것이다. 참고로, 상기 DNS 변경 이력은 주어진 도메인에 대한 IP 변경 이력과 주어진 IP에 대한 도메인 변경 이력을 포함할 수 있다.
개별 침해 자원 노드의 위험지수는 각 위험지수 산정 기준에 따라 설정된 기준 위험 지수를 합산하는 방식으로 산출될 수 있다. 예를 들어, 침해 자원 노드가 블랙리스트에 포함된 C&C IP를 가리키는 경우, 해당 침해 자원 노드의 위험지수는 8(5+3 = 8)이 될 수 있다.
한편, 도 6c 및 도 6d에서 후술하는 바와 같이, 침해 사고 그래프를 구성하는 복수의 침해 자원 노드 중 일부는 침해 사고 노드에 대응될 수 있다. 따라서, 위험도 산출부(134)는 각 침해 사고 노드 별로 상술한 방식으로 위험도를 산출할 수 있다. 이에 따라, 개별 침해 사고 별로 위험도가 정량적인 값으로 산정될 수 있다. 이와 같은 실시예에 따르면, 향후 발생이 예상되는 복수의 침해 사고 중에서 위험도가 높은 침해 사고에 대하여 우선적으로 대응할 수 있는 기회가 제공될 수 있고, 위험도 우선순위에 따라서 체계적으로 침해 사고에 대응할 수 있는 기회가 제공되는 효과가 있다.
도 3a 및 도 3b의 각 구성 요소는 소프트웨어(Software) 또는, FPGA(Field Programmable Gate Array)나 ASIC(Application-Specific Integrated Circuit)과 같은 하드웨어(Hardware)를 의미할 수 있다. 그렇지만, 상기 구성 요소들은 소프트웨어 또는 하드웨어에 한정되는 의미는 아니며, 어드레싱(Addressing)할 수 있는 저장 매체에 있도록 구성될 수도 있고, 하나 또는 그 이상의 프로세서들을 실행시키도록 구성될 수도 있다. 상기 구성 요소들 안에서 제공되는 기능은 더 세분화된 구성 요소에 의하여 구현될 수 있으며, 복수의 구성 요소들을 합하여 특정한 기능을 수행하는 하나의 구성 요소로 구현될 수도 있다.
다음으로, 도 4는 본 발명의 또 다른 실시예에 따른 침해 사고 예측 장치(100)의 하드웨어 구성도이다.
도 4을 참조하면, 침해 사고 예측 장치(100)는 하나 이상의 프로세서(101), 버스(105), 네트워크 인터페이스(107), 프로세서(101)에 의하여 수행되는 컴퓨터 프로그램을 로드(load)하는 메모리(103)와, 침해 사고 예측 소프트웨어(109)를 저장하는 스토리지(109)를 포함할 수 있다. 다만, 도 4에는 본 발명의 실시예와 관련 있는 구성요소들만이 도시되어 있다. 따라서, 본 발명이 속한 기술분야의 통상의 기술자라면 도 4에 도시된 구성요소들 외에 다른 범용적인 구성 요소들이 더 포함될 수 있음을 알 수 있다.
프로세서(101)는 침해 사고 예측 장치(100)의 각 구성의 전반적인 동작을 제어한다. 프로세서(101)는 CPU(Central Processing Unit), MPU(Micro Processor Unit), MCU(Micro Controller Unit), GPU(Graphic Processing Unit) 또는 본 발명의 기술 분야에 잘 알려진 임의의 형태의 프로세서를 포함하여 구성될 수 있다. 또한, 프로세서(101)는 본 발명의 실시예들에 따른 방법을 실행하기 위한 적어도 하나의 애플리케이션 또는 프로그램에 대한 연산을 수행할 수 있다. 침해 사고 예측 장치(100)는 하나 이상의 프로세서를 구비할 수 있다.
메모리(103)는 각종 데이터, 명령 및/또는 정보를 저장한다. 메모리(103)는 본 발명의 실시예들에 따른 침해 사고 예측 방법을 실행하기 위하여 스토리지(109)로부터 하나 이상의 프로그램(109)을 로드할 수 있다. 도 6에서 메모리(103)의 예시로 RAM이 도시되었다.
버스(105)는 침해 사고 예측 장치(100)의 구성 요소 간 통신 기능을 제공한다. 버스(105)는 주소 버스(Address Bus), 데이터 버스(Data Bus) 및 제어 버스(Control Bus) 등 다양한 형태의 버스로 구현될 수 있다.
네트워크 인터페이스(107)는 침해 사고 예측 장치(100)의 유무선 인터넷 통신을 지원한다. 또한, 네트워크 인터페이스(107)는 인터넷 통신 외의 다양한 통신 방식을 지원할 수도 있다. 이를 위해, 네트워크 인터페이스(107)는 본 발명의 기술 분야에 잘 알려진 통신 모듈을 포함하여 구성될 수 있다.
스토리지(109)는 침해 사고 그래프(109b) 및 상기 하나 이상의 프로그램(109)을 비임시적으로 저장할 수 있다. 도 4에서 상기 하나 이상의 프로그램(109)의 예시로 침해 사고 예측 소프트웨어(109)가 도시되었다.
스토리지(109)는 ROM(Read Only Memory), EPROM(Erasable Programmable ROM), EEPROM(Electrically Erasable Programmable ROM), 플래시 메모리 등과 같은 비휘발성 메모리, 하드 디스크, 착탈형 디스크, 또는 본 발명이 속하는 기술 분야에서 잘 알려진 임의의 형태의 컴퓨터로 읽을 수 있는 기록 매체를 포함하여 구성될 수 있다.
침해 사고 예측 소프트웨어(109)는 본 발명의 실시예에 따라 침해 사고 예측 방법을 실행하기 위한 오퍼레이션을 포함할 수 있다.
구체적으로, 침해 사고 예측 소프트웨어(109)는 메모리(103)에 로드되어, 하나 이상의 프로세서(101)에 의해, 침해 사고 그래프를 구성하는 복수의 침해 자원 노드 각각에 대하여, 침해 자원 노드의 간선의 개수를 기초로 각 침해 자원 노드의 악용 지수를 산출하되, 상기 악용 지수는 상기 침해 사고 그래프에서 각 침해 자원 노드가 침해 사고에 악용된 상대적 빈도를 나타내는 것인, 오퍼레이션, 상기 복수의 침해 자원 노드 중에서 어느 하나의 예측 기준 침해 자원 노드를 결정하는 오퍼레이션, 상기 침해 사고 그래프에서, 상기 예측 기준 침해 자원 노드로부터 다른 침해 자원 노드까지의 최단 거리를 기초로 각 침해 자원 노드에 대한 가중치를 결정하는 오퍼레이션 및 상기 악용 지수 및 상기 가중치를 이용하여, 상기 예측 기준 침해 자원 노드가 가리키는 침해 자원이 악용된 경우 상기 복수의 침해 자원 노드 중에서 지정된 예측 대상 침해 자원 노드가 가리키는 침해 자원이 침해 사고에 악용될 가능성을 예측하는 오퍼레이션을 포함할 수 있다.
지금까지, 도 3 내지 도 4를 참조하여 본 발명의 실시예에 따른 침해 사고 예측 장치(100)의 구성 및 동작에 대하여 설명하였다. 다음으로, 도 5 내지 도 6e를 참조하여 침해 사고 그래프 DB 생성 방법에 대하여 설명한다.
본 발명의 실시예에 따른 침해 사고 그래프 DB 생성 방법의 각 단계는, 컴퓨팅 장치에 의해 수행될 수 있다. 예를 들어, 상기 컴퓨팅 장치는 침해 사고 그래프 DB 생성 장치(100) 또는 침해 사고 예측 장치(100)일 수 있다. 단, 설명의 편의를 위해 침해 사고 그래프 DB 생성 방법에 포함되는 각 동작의 주체는 생략될 수 있음에 유의한다. 참고로, 침해 사고 그래프 DB 생성 방법의 각 단계는 침해 사고 그래프 DB 생성 장치(100) 또는 침해 사고 예측 장치(100)가 프로세서(101)에 의해 실행됨으로써, 침해 사고 그래프 DB 생성 장치(100) 또는 침해 사고 예측 장치(100) 에서 수행되는 오퍼레이션일 수 있다.
도 5는 본 발명의 또 다른 실시예에 따른 침해 자원에 대한 그래프 DB 생성 방법의 순서도이다. 단, 이는 본 발명의 목적을 달성하기 위한 바람직한 실시예일 뿐이며, 필요에 따라 일부 단계가 추가되거나 삭제될 수 있음은 물론이다. 이하에서는, 설명의 편의를 위해 침해 사고 그래프 DB 생성 장치(100)를 GDB(Graph Database) 생성 장치(100)로 약칭하기로 한다.
도 5를 참조하면, GDB 생성 장치(100)는 수집된 침해 사고 정보를 수신할 수 있다(S10). 앞서 설명된 바와 같이 GDB 생성 장치(100)는 침해 사고 정보를 수집 시스템(50)으로부터 수신할 수 있으나, 본 발명의 실시예는 이에 한정되지 않으며, GDB 생성 장치(100)는 외부 수집 채널로부터 침해 사고 정보를 직접적으로 수신할 수도 있다.
GDB 생성 장치(100)는 침해 사고 정보 중, 유효 침해 자원 정보를 추출할 수 있다(S20). 수집 시스템(50)에서 수집된 침해 사고 정보는, 침해 사고 정보를 제공한 수집 채널 별로 각각 다른 데이터 형식을 가질 수 있다.
이와 같은 경우 수집된 침해 사고 정보의 가공을 용이하게 하기 위하여, GDB 생성 장치(100)는, 수신된 침해 사고 정보에 대하여 미리 설정된 정규 표현식을 적용할 수 있다. 이를 위해, GDB 생성 장치(100)는 정규 표현식을 스토리지(109)에 미리 저장할 수 있다. 침해 사고 정보에 정규 표현식이 적용되면, 침해 사고 정보를 하나의 통일된 형식으로 관리할 수 있다.
GDB 생성 장치(100)는 정규 표현식이 적용된 침해 사고 정보에 포함된 정보 중, 미리 설정된 정보를 상기 유효 침해 자원 정보로 결정할 수 있다. 예를 들어, 침해 사고 정보가 테이블 형태의 데이터인 경우, 침해 자원 분석에 테이블 상의 모든 정보가 필요하지 않을 수 있다. 즉, 테이블 상의 특정 컬럼(Column)에 기록된 정보만이 침해 자원 분석에 유용한 정보일 수 있다. 이 경우, GDB 생성 장치(100)는 특정 컬럼에 기록된 정보만을 유효 침해 자원 정보로 결정하고, 특정 컬럼에 기록된 정보만을 추출하여 침해 자원 분석 및 침해 자원에 대한 그래프 DB 생성에 활용할 수 있다. 상기 예에서, 정규 표현식이 적용된 침해 사고 정보의 특정 컬럼이 GDB 생성 장치(100)의 추출 대상으로 미리 설정되어 있을 수 있다.
GDB 생성 장치(100)는 유효 침해 자원 정보에 포함된 침해 자원에 대하여 자원 아이디(Resource ID, 이하, RID)를 설정할 수 있다(S30).
이때, GDB 생성 장치(100)는 유효 침해 자원 정보에 포함된 침해 자원의 값을 기초로, 유효 침해 자원 정보 상에 상기 침해 자원과 중복된 침해 자원이 존재하는지 판단할 수 있다. 판단 결과로 침해 자원과 중복된 침해 자원이 존재하지 않는 경우, GDB 생성 장치(100)는 침해 자원에 RID를 설정할 수 있다. 이는, 중복된 침해 자원, 즉, 동일한 침해 자원에 대하여 서로 다른 복수의 아이디를 설정하지 않기 위함이다. 동일한 침해 자원에 대하여, 하나의 아이디만이 부여됨으로써, 그래프 DB는, 하나의 침해 자원에 대하여 하나의 노드를 갖게 된다.
예를 들어, 유효 침해 자원이 악성 코드에 대한 해시, IP, 도메인, Email인 경우, GDB 생성 장치(100)는 각각에 대하여 RID를 설정할 수 있다.
다음으로, GDB 생성 장치(100)는 침해 자원의 복수의 구성 요소에 대하여 각각 속성 아이디(Attribute ID, 이하, AID)를 설정할 수 있다(S40). 침해 자원으로부터 복수의 구성 요소를 획득하기 위하여 GDB 생성 장치(100)는 침해 자원과 연관된 침해 연관 정보 또는 상기 침해 자원의 메타데이터를 추출할 수 있다. GDB 생성 장치(100)는 추출된 메타데이터의 스트링을 식별할 수 있다.
GDB 생성 장치(100)는 식별된 스트링을 적어도 하나의 스트링으로 분할할 수 있다. 예를 들어, GDB 생성 장치(100)는 식별된 스트링을 제1 스트링 및 제2 스트링으로 분할할 수 있다. GDB 생성 장치(100)는 분할된 제1 스트링 및 제2 스트링을 침해 자원의 구성 요소로 결정하고, 제1 스트링 및 제2 스트링에 각각 AID를 설정할 수 있다.
다음으로, GDB 생성 장치(100)는 RID가 설정된 침해 자원과 AID가 각각 설정된 복수의 구성 요소 사이의 관계(Relationship, 간선의 속성)를 설정할 수 있다(S40). GDB 생성 장치(100)는 RID가 설정된 침해 자원과 AID가 설정된 구성 요소 사이의 관계, 서로 다른 RID가 설정된 복수의 침해 자원 사이의 관계, 서로 다른 AID가 설정된 복수의 구성 요소 사이의 관계를 설정할 수도 있다. 예를 들어, 두 침해 자원의 속성이 가리키는 속성 정보가 동일한 경우, 두 침해 자원 사이에 관계가 설정될 수 있다. 보다 구체적인 예를 들어, 침해 자원이 악성 코드인 경우, 해당 악성 코드의 속성 값 중 유포지 IP가 동일하면, 두 침해 자원은 연결 관계가 설정될 수 있다.
GDB 생성 장치(100)는 RID를 기초로, 침해 자원을 가리키는 침해 자원 노드(incident resource node)를 생성하고, AID를 기초로, 복수의 구성 요소에 대하여 각각의 속성 노드(attribute node)를 생성할 수 있다(S60). 여기에서, 침해 자원 노드는 RID로 식별되며, 침해 자원에 대한 정보, 예를 들어 침해 자원의 값이 매핑된 노드이다. 또한, 속성 노드는 AID로 식별되며, 구성 요소에 대한 정보, 예를 들어 구성 요소의 값이 매핑된 노드이다.
예를 들어, 침해 자원이 악성 코드의 해시인 경우, 해시 값이 침해 자원 노드에 매핑되고, 침해 자원 노드는 RID로 식별된다. 이때, 해시 값이 분할된 일부 스트링이 침해 자원의 구성 요소로서, 일부 스트링 값이 속성 노드에 매핑되며, 속성 노드는 AID로 식별될 수 있다.
GDB 생성 장치(100)는 침해 자원 노드와 속성 노드가 설정된 관계를 가리키는 속성을 갖는 간선으로 연결된 그래프 DB를 생성할 수 있다(S70). 여기서, 그래프 DB를 생성한다는 것은 상술한 단계를 통해 침해 사고 그래프를 생성하고, 이를 그래프 DB에 저장하고 관리한다는 것을 의미할 수 있다. 즉, GDB 생성 장치(100)는 침해 자원 노드와 속성 노드를 간선으로 연결하며, 간선은 침해 자원 노드와 속성 노드 사이의 관계에 대한 설정 값(간선의 속성 값)을 저장할 수 있다.
도 6a는 본 발명의 몇몇 실시예에서 참조되는, 그래프 DB의 노드를 설명하기 위한 예시도이다.
도 1의 침해 사고 정보 분석 시스템(100)은 침해 사고 정보 수집 시스템(50)에서 수집된 침해 자원을 그래프 DB로 저장하기 위하여, 침해 자원을 단계(S60)에서 생성된, 자원 노드와 속성 노드로 구분할 수 있다. 예를 들어, 수집 시스템(50)으로부터 침해 자원인 악성 코드에 대한 해시가 수신되면, GDB 생성 장치(100)은 수신된 해시의 해시 값을 자원 노드로 설정하고 이에 대한 RID를 부여할 수 있다. 또한, GDB 생성 장치(100)은 해시 값의 구성 요소인 스트링을 속성 노드로 설정하고, AID를 부여할 수 있다.
도 6a에서, 침해 자원 노드(210)로 설정된 각각의 노드 및 속성 노드(220)로 설정된 각각의 노드가 예시되었다. 예를 들어, 침해 자원 노드(210)는 도메인 노드(211), 이메일 노드(212) 등을 포함할 수 있으며, 속성 노드(220)는 URL(221), 스트링(222) 등을 포함할 수 있다.
도 6a에 도시된 바와 같이 침해 자원 노드(210) 및 속성 노드(220)는 GDB 생성 장치(100)에서, 별도의 레이블을 갖는 그룹으로 관리될 수 있음과 동시에, 침해 자원 노드(210) 및 속성 노드(220)는 단계(S70)에서 생성된 침해 사고 그래프 상에서 혼재되어 서로 간선으로 연결될 수 있다.
도 6b 본 발명의 몇몇 실시예에서 참조될 수 있는, 예시적인 그래프 DB 스키마의 나타내는 도면이다.
도 6b를 참조하면, 침해 사고 그래프를 생성하기 위해 예시된 그래프 DB 스키마를 이용될 수 있다. 예를 들어, 도 6a에 도시된 노드(210, 220)를 연결하는 간선에는 도 6b에 도시된 관계에 대한 설정 값(간선의 속성 값)이 부여될 수 있다. 여기서, 각 간선의 속성은 Admin, Attack, Authorized_agency, Blacklist, Cnc, Communicate, Create_malware, Composition, Deface, Distribute, Dropped_file, Dropped_file name, Dropped_file path, Filename, Filestring, Isp, Location, Malicious, Mapping, New_domain, Process, Registrant, Update_domain 및 Via 중 어느 하나일 수 있다. 그러나 이는 침해 사고 그래프의 예시적인 스키마에 불과하며 얼마든지 다른 속성이 추가되거나 삭제될 수 있다.
보다 구체적으로, 침해 사고 그래프 상에서 간선에 부여된 속성은 제1 노드와 제2 노드가 어떠한 연결 관계를 통해 연결되어 있는지를 나타내는 값으로서, Admin은 도메인 소유자 정보, Attack은 공격자 IP 또는 피해자 IP, Authorized_agency는 도메인 등록 회사, Blacklist는 블랙리스트에의 등재 여부, CNC는 C&C 통신 여부, Communicate는 통신 여부, Create_malware는 악성코드가 생성된 시간, Composition은 문자열 구성 형태, Deface는 IP나 Domain의 변조 여부, Distribute는 유포 여부, Dropped_file은 악성코드가 생성한 파일인지 여부, Dropped_file name은 악성코드가 생성한 파일 이름, Dropped_file path는 악성코드가 생성한 파일의 경로, Filename은 악성코드의 파일 이름, Filestring은 파일 내부의 문자열, Isp는 도메인 등록대행사의 정보, Location은 IP나 Domain의 위치, Malicious는 IP가 악성으로 수행하는지, Domain이 악성으로 수행하는지, 악성 URL인지, 악성코드 최초 발생 시간, Mapping은 Domain과 IP가 맵핑되어 있는지 여부, New_domain은 신규 등록된 도메인 정보인지 여부, Process는 생성한 프로세스 정보, Registrant 도메인 등록자의 이름이나 이메일, Update_domain은 도메인 등록정보 수정시간, Via는 경유 정보를 의미한다.
도 5에 도시된 방법을 통해 생성된 제1 침해 사고 그래프는 도 6c에 도시된 노드만으로 구성된 그래프로 압축될 수 있다.
몇몇 실시예에서, GDB 생성 장치(100)는 제1 침해 사고 그래프에서 속성 노드를 제외함으로써, 제1 침해 사고 그래프를 침해 자원 노드로만 구성된 제2 침해 사고 그래프로 압축할 수 있다.
몇몇 실시예에서, GDB 생성 장치(100)는 상기 제2 침해 사고 그래프에서 동일한 침해 사고에 관련된 침해 자원 노드를 그룹핑하고, 그룹핑된 침해 자원 노드를 침해 사고 노드로 매핑함으로써, 제2 침해 사고 그래프를 침해 사고 노드로만 구성된 제3 침해 사고 그래프로 압축할 수 있다.
몇몇 실시예에서, GDB 생성 장치(100)는 동일한 침해 자원 노드를 공유하는 제1 침해 사고 노드와 제2 침해 사고 노드를 하나의 침해 사고 그룹 노드로 매핑하고, 해당 과정을 반복함으로써, 제3 침해 사고 그래프를 침해 사고 그룹 노드로만 구성된 제4 침해 사고 그래프를 생성할 수 있다. 예를 들어, 도 6d 및 6e에 도시된 바와 같이, 제1 침해 자원 노드 내지 제6 침해 자원 노드가 매핑된 제1 침해 사고 노드(231)와 제7 침해 자원 노드 내지 제11 침해 자원 노드가 매핑된 제2 침해 사고 노드(233)는 제6 침해 자원 노드를 공유하고 있다. 따라서, 제1 침해 자원 노드(231)과 제2 침해 자원 노드가(233)가 침해 사고 그룹 노드(230)로 매핑될 수 있다.
이와 같은, 그래프 압축을 통해, GDB 생성 장치(100)는 침해 사고에 대한 요약된 정보를 제공할 수 있고, 계층적으로 도시된 그래프에 대한 GUI를 사용자 또는 관리자에게 제공할 수도 있다.
지금까지, 도 5 내지 도 6e를 참조하여, 본 발명의 실시예에 따른 침해 사고 그래프 DB 생성 방법에 대하여 설명하였다. 다음으로, 도 7 내지 도 12b를 참조하여 본 발명의 실시예에 따른 침해 사고 예측 방법에 대하여 설명한다.
이하, 본 발명의 실시예에 따른 침해 사고 예측 방법의 각 단계는, 컴퓨팅 장치에 의해 수행될 수 있다. 예를 들어, 상기 컴퓨팅 장치는 침해 사고 예측 장치(100)일 수 있다. 단, 설명의 편의를 위해 침해 사고 예측 방법에 포함되는 각 동작의 주체는 생략될 수 있음에 유의한다. 참고로, 침해 사고 예측 방법의 각 단계는 침해 사고 예측 장치(100)가 프로세서(101)에 의해 실행됨으로써, 또는 침해 사고 예측 장치(100)에서 수행되는 오퍼레이션일 수 있다.
도 7은 침해 사고 예측 방법의 순서도이다. 단, 이는 본 발명의 목적을 달성하기 위한 바람직한 실시예일 뿐이며, 필요에 따라 일부 단계가 추가되거나 삭제될 수 있음은 물론이다.
도 7을 참조하면, 침해 사고 예측 장치(100)는 침해 사고 그래프를 구성하는 침해 자원 노드 각각의 악용 지수를 산출한다. 여기서, 상기 침해 사고 그래프는, 침해 자원 노드로만 구성된 그래프일 수 있고, 이는 상술한 바와 같이 침해 사고 그래프에서 속성 노드를 제거함으로써 생성될 수 있다. 즉, 속성 노드는 침해 자원의 연관 정보 또는 메타 데이터에 관한 정보를 가리키므로, 침해 사고에 직접적으로 관련되지 않은 바, 침해 자원 노드에 대해서만 악용 지수, 악용 예측 지수 또는 악용 확률 등이 산출될 수 있다.
상기 침해 자원 노드의 악용 지수는 악용 예측 지수를 산출하기 전에 미리 계산될 수 있다. 예를 들어, 침해 사고 예측 장치(100)는 침해 사고 그래프를 생성한 시점 또는 수집된 침해 사고 정보를 더 추가하여 상기 침해 사고 그래프를 갱신한 시점에 각 침해 자원 노드의 악용 지수를 산출할 수 있다. 실시예에 따라, 후술할 페이지 랭크 알고리즘을 이용하여 악용 지수를 산출하는 경우, 상기 페이지 랭크 알고리즘은 재귀적 알고리즘으로 수행 시간이 길어질 수 있는 바, 침해 사고 예측 장치(100)는 유휴 시간(idle time)에 상기 악용 지수를 산출할 수도 있다.
또한, 본 단계(S110)는 단계(S120)와 순서에 관계 없이 수행될 수도 있다. 즉, 예측 기준 침해 자원 정보를 입력 받기 전에 미리 수행되어도 무방하고, 상기 예측 기준 침해 자원 정보를 입력 받은 후에 단계(S110)이 수행되어도 무방하다.
각 침해 자원 노드의 악용 지수는 연결된 이웃 침해 자원 노드의 악용 지수와 상기 이웃 침해 자원 노드의 간선의 수를 기초로 산출될 수 있다. 예를 들어, 이웃 침해 자원 노드의 악용 빈도가 높을수록(또는 해당 침해 자원 노드의 간선의 개수가 많을수록) 해당 침해 자원 노드의 악용 빈도도 높을 것이므로, 해당 침해 자원 노드의 악용 지수가 높을수록 이웃 침해 자원 노드의 악용 지수 또한 높은 값으로 산출 될 수 있다. 또한, 이웃 침해 자원 노드의 간선이 많을수록 해당 침해 자원 노드에 미치는 영향이 작을 것이므로, 해당 침해 자원 노드의 악용 지수는 이웃 침해 자원 노드의 간선의 수가 많을수록 작아질 수 있다. 상기 이웃 침해 자원 노드의 간선 수에 반비례하도록 각 침해 자원 노드의 악용 지수가 산출될 수 있다.
위와 같은 점을 반영하여, 각 침해 자원 노드의 침해 악용지수는 하기의 수학식 1에 따라 산출될 수 있다. 수학식 1은 구글의 페이지랭크 알고리즘에 대한 수식으로, 각 페이지의 중요도 및 연결된 페이지의 백링크에 기초하여 각 페이지의 상대적 중요도를 결정하는 알고리즘이다. 예를 들어, 도 8에 도시된 바와 같이, 페이지(ID=1)는 다른 페이지로부터 많이 인용되므로(=백링크가 많으므로) 페이지랭크(0.304)가 상대적으로 높고, 해당 페이지(ID=1)가 인용하는 페이지 또한 페이지랭크(0.34)의 영향으로 상대적으로 높은 페이지랭크를 갖게 된다. 페이지 랭크에 대한 자세한 설명은 위키피디아(https ://en. wikipedia . org / wiki / PageRank)를 참조하도록 한다.
참고로, 댐핑 팩터(d)는 예를 들어 0.85로 설정될 수 있으나, 본 값은 실시예에 따라 달라질 수 있으며, 침해 사고 그래프는 무방향 그래프인 바, 수학식 1에서 백링크의 개수(C(Tx))는 해당 침해 자원 노드의 간선의 개수(= 진입 차수 = 진출 차수)가 이용될 수 있다.
한편, 본 발명의 다른 실시예에 따르면, 악용 지수 산출을 위해 페이지랭크 외에 당해 기술분야에서 널리 알려진 랭킹 알고리즘이 이용될 수도 있다.
본 발명의 실시예에 따르면, 각 침해 자원 노드의 악용 지수를 보다 정확하게 산출하기 위해, 해당 침해 자원의 최근 악용 빈도가 더 고려될 수 있다. 예를 들어, 침해 사고 예측 장치(100)는 현재 시점부터 기 설정된 이전 시점까지 해당 침해 자원이 침해 사고에 악용된 횟수가 많을수록 해당 침해 자원의 악용 지수를 더 높은 값으로 조정할 수 있다. 이는, 최근의 침해 사고에 악용된 침해 자원이 가까운 시일 내에 다시 재활용될 확률이 높다는 점을 반영한 것으로 이해될 수 있다.
다시, 도 7을 참고하면, 침해 사고 예측 장치(100)는 예측 기준 침해 자원 정보를 입력 받는다(S120). 일 실시예에서, 상기 예측 기준 침해 자원 정보는 최근 발생한 침해 사고에서 악용된 침해 자원을 의미하는 것일 수 있다. 이와 같은 경우, 후속되는 침해 사고에서 악용될 가능성이 높은 침해 자원이 예측될 수 있다. 단, 다른 실시예에서는 상기 예측 기준 침해 자원 정보는 침해 사고 그래프에 포함된 임의의 침해 자원 노드일 수도 있다.
다음으로, 침해 사고 예측 장치(100)는 예측 기준 침해 자원 정보가 악용된 경우 예측 대상 침해 자원이 악용될 확률을 산출할 수 있다(S130). 또는, 예측 대상 특성을 공유하는 복수의 침해 악용 자원에 대한 악용 확률이 산출될 수도 있다. 여기서, 특성은 침해 자원 노드와 연결된 속성 노드의 값을 의미하는 것으로, 이를 통해 동일한 속성 값을 갖는 복수의 침해 자원에 대한 악용 확률이 산출될 수 있다.
이하에서, 도 9, 도 10a 내지 도 11b를 참조하여, 단계(S130)에 대하여 상세하게 설명하도록 한다.
도 9는 단계(S130)의 예시적인 상세 순서도이고, 도 10a 내지 도 11b는 예측 기준 침해 자원(test.com)이 입력된 경우 침해 사고 그래프에서 예측 대상 침해 자원(3bc123a…)의 악용 확률을 산출하는 예시도이다. 참고로, 도 10a 내지 도 11b에 예시적으로 도시된 침해 사고 그래프의 각 침해 자원 노드의 크기는 악용 지수에 비례하도록 도시되었다. 또한, 도 10a에 도시된 침해 사고 그래프에서, 각 노드 내부에 기재된 값은 침해 자원을 가리킨다. 구체적으로 1.1.1.1 등은 침해 자원(IP)을 가리키고, zxc.kr 등은 침해 자원(도메인)을 가리키며, abc12312bd… 등은 악성 코드의 해시 값을 가리킨다.
도 9를 참조하면, 침해 사고 예측 장치(100)는, 침해 사고 그래프 상에서, 예측 기준 노드에서 다른 침해 자원 노드까지의 최단 거리를 산출하고, 최단 거리를 기초로 각 침해 자원 노드의 가중치를 결정한다(S131). 상기 최단 거리는 예를 들어 다익스트라(dijkstra), 벨만포드(bellman-ford), 플로이드-워셜(Floyd-warshall) 등의 최단 거리 알고리즘이 이용될 수고, DFS, BFS 등의 그래프 순회 알고리즘을 이용하여 산출될 수도 있다. 또한, 각 침해 자원 노드의 가중치는 예측 기준 노드로부터 멀어질수록 연관성이 떨어진다는 점을 고려하여, 산출된 최단 거리에 반비례하는 값(e.g. 역수)으로 결정될 수 있다.
도 10b에 도시된 거리/가중치는 도 10a에 도시된 예시적인 침해 사고 그래프에서, 예측 기준 침해 자원(test.com)에 대한 최단거리와 상기 최단 거리의 역수로 산출된 가중치가 도시되어 있다.
한편, 도 10b에 도시된 최단 거리 도 10a의 침해 사고 그래프에서, 최단 거리 산출 시 간선에 부여된 가중치는 동일하다고 가정하여 산출하였다.
그러나, 본 발명의 다른 실시예에 따르면 침해 사고 그래프의 간선에 침해 자원 노드 간의 연관성을 가리키는 가중치가 부여되고, 상기 가중치를 고려하여 최단 거리가 산출될 수 있다. 즉, 상기 가중치는 노드 간의 연관성이 낮을수록 큰 값으로 부여되는 가중치일 수 있다.
일 실시예에서, 상기 간선에 부여된 가중치는 정보 공유 채널(10)의 신뢰도에 기초하여 부여될 수 있다. 침해 자원 간의 연결 관계는 정보 공유 채널(10)을 통해 침해 사고 정보가 재귀적으로 수집되고 이를 기초로 생성되는 것인 바, 정보 공유 채널(10)의 신뢰도가 낮을수록 연관성이 낮은 침해 자원 노드와 연결될 확률이 높기 때문이다. 즉, 정보 공유 채널(10) 각각의 신뢰도에 기초하여 간선에 적어도 일부는 서로 다른 가중치가 부여될 수 있다.
다른 실시예에서, 상기 간선에 부여된 가중치는 연결 관계 자체에 기 설정된 가중치 가 이용될 수 있다. 예를 들어, 도 6b를 참조하여 설명한 바와 같이, 그래프 DB 스키마에 다양한 연결 관계가 정의되어 있을 수 있고, 상기 연결 관계가 가리키는 연관성의 정도는 다를 수 있다. 따라서, 이를 고려하여 미리 연결 관계에 설정된 가중치를 간선에 그대로 부여하여 최단 거리 산출에 이용될 수 있다. 보다 자세한 예를 들어, 도 6b에서 IP와 Domain의 Mapping 관계는 연관성이 높은 바, 상대적으로 작은 가중치가 간선에 부여되고, IP와 URL의 via 관계는 경유 정보를 말하는 것으로 연관성이 다소 떨어지는 바 상대적으로 높은 가중치가 부여될 수 있다.
다시, 도 9를 참조하면, 단계(S131)를 통해 가중치를 결정한 다음, 침해 사고 예측 장치(100)는, 예측 대상 노드의 악용 지수와 가중치의 곱의 합(sum of product)을 통해 개별 악용 예측 지수 산출하고(S132), 침해 사고 그래프에서 전체 침해 자원 노드 각각의 악용 예측 지수를 합산하여 전체 악용 예측 지수를 산출한다(S133). 또한, 침해 사고 예측 장치(100)는 전체 악용 예측 지수와 예측 대상 노드의 악용 예측 지수를 기초로 예측 대상 침해 자원의 악용 확률(e.g. 백분율)을 산출한다(S134).
예를 들어, 도 10a에서 예측 기준 침해 자원(test.com)이 악용된 경우, 예측 대상 침해 자원(3bc123a…)의 악용 예측 지수는 0.8*1.2*0.5로 산출될 수 있다. 여기서, 0.8은 예측 기준 침해 자원(test.com)의 악용 지수고, 1.2는 예측 대상 침해 자원(3bc123a…)의 악용 지수며, 0.5는 최단 거리(2)의 역수로 산출된 가중치를 가리킨다. 또한, 도 10a에 도시된 침해 사고 그래프에서 전체 악용 예측 지수는 동일한 방식으로 산출된 각 침해 자원 노드의 개별 악용 지수를 합산한 값으로 산출되며, 상기 전체 악용 지수 대비 상기 개별 악용 예측 지수의 백분율이 예측 대상 침해 자원(3bc123a…)의 악용 확률이 될 수 있다.
본 발명의 몇몇 실시예에서, 상술한 침해 사고 그래프는 동일한 침해 사고 노드에 매핑된 침해 자원 노드로 구성된 그래프일 수 있다. 또는, 동일한 침해 사고 그룹 노드에 매핑된 침해 자원 노드로 구성된 그래프일 수 있다. 즉, 전체 악용 예측 지수를 산출하는 침해 사고 그래프의 범위는 악용 확률의 정확도를 높이고, 소요되는 컴퓨팅 비용은 낮추기 위해 적절하게 제한될 수 있다.
본 발명의 몇몇 실시예에서, 개별 악용 예측 지수는 예측 대상 침해 자원과 동일한 타입의 침해 자원에 대해서만 산출될 수 있다. 예를 들어, 예측 대상 침해 자원이 악성 코드인 경우, 침해 사고 그래프에서 악성 코드 타입의 침해 자원 노드에 대해서만 개별 악용 예측 지수가 산출되고, 이를 기초로 전체 악용 예측 지수가 산출될 수 있다. 이와 같은 경우, 동일한 타입의 침해 자원 중에서 예측 대상 침해 자원이 악용될 악용 확률이 산출될 수 있다.
한편, 본 발명의 다른 실시예에 따르면, 하기의 수학식 2를 이용하여 악용 확률(P1)이 산출될 수 있다. 수학식 2에서, Mr은 침해 사고 그래프에서 예측 대상 침해 자원과 동일한 타입을 갖는 침해 자원 노드를 가리키고, Cr은 예측 대상 침해 자원과 기 설정된 관계에 있는 침해 자원 노드를 가리키며, Rx는 침해 자원 노드(x)의 악용 지수를 가리키고, Wx는 침해 자원 노드(x)의 가중치(e.g. 최단 거리의 역수)를 가리키고, t는 예측 대상 침해 자원 노드를 가리키며, b는 Mr에 포함된 각각의 침해 자원 노드(c)와 기 설정된 관계에 있는 침해 자원 노드를 가리킨다. 여기서, 상기 기 설정된 관계는 예를 들어 침해 자원의 타입이 악성 코드인 경우, distribute(유포지)일 수 있다. 이와 같은 경우, 도 10a에서 예측 대상 침해 자원 노드가 악성코드(3bc123a…)인 경우, Cr은 악성코드(3bc123a…)의 유포지를 가리키는 침해 자원 노드(1.1.1.1, 2.2.2.2)가 된다.
이하에서는, 보다 이해의 편의를 제공하기 위해 상기 수학식 2를 이용하여 예측 대상 침해 자원(3bc123a…)의 침해 악용 확률을 산출하는 예를 도 11a 및 도 11b를 참조하여 설명하도록 한다.
도 11a를 참조하면, 예측 대상 침해 자원(3bc123a…)은 악성 코드이므로 Mr은 동일한 타입인 침해 자원 노드(3bc123a…, 842af3e1…, abc12312bd…, 4a2c1fda… )이 되고, Cr은 유포지를 가리키는 침해 자원 노드(1.1.1.1, 2.2.2.2)가 된다. 또한, 상기 수학식 2의 분모의 b는 침해 자원 노드(3bc123a…)에 대해서는 침해 자원 노드(1.1.1.1, 2.2.2.2)가 되고, 침해 자원 노드(842af3e1…)에 대해서는 침해 자원 노드(3.3.3.3, 2.2.2.2)가 된다. 다른 침해 자원 노드(abc12312bd…, 4a2c1fda…)에 대해서도 동일한 방식으로 b가 설정될 수 있다.
도 11b는 예측 대상 침해 자원 노드(3bc123a…)의 악용 예측 지수 산출에 이용되는 침해 자원 노드만을 표시한 그래프이다. 도 11b에서 distance는 산출된 최단 거리는 나타내고, rank는 각 노드의 악용 지수를 의미한다.
도 11b를 참조하면, 예측 대상 침해 자원 노드(3bc123a…)의 악용 예측 지수는 유포지를 가리키는 침해 자원 노드(1.1.1.1, 2.2.2.2)의 악용 지수(1.5, 0.8), 예측 대상 침해 자원 노드(3bc123a…)의 악용 지수(1.2) 및 침해 자원 노드(1.1.1.1, 2.2.2.2)의 가중치(1, 1/3)의 곱의 합으로 산출될 수 있다. 즉, 예측 대상 침해 자원 노드(3bc123a…)의 악용 예측 지수는 1.2*1.5*1 + 1.2*0.8*0.33 = 2.1168이 된다.
다음으로, 악성 코드 타입의 침해 자원 노드(3bc123a…, 842af3e1…, abc12312bd…, 4a2c1fda… ) 각각에 대하여 동일하게 악용 예측 지수가 산출될 수 있다. 예를 들어, 침해 자원 노드(842af3e1…)의 악용 예측 지수는 유포지를 가리키는 침해 자원 노드(3.3.3.3, 2.2.2.2)의 악용 지수(1.3, 0.8), 침해 자원 노드(842af3e1…)의 악용 지수(1.2) 및 침해 자원 노드(3.3.3.3, 2.2.2.2)의 가중치(1, 1/3)의 곱의 합으로 산출될 수 있다. 즉, 침해 자원 노드(842af3e1…)의 악용 예측 지수는 1.3*1.2*1 + 0.8*1.2*0.33 = 1.8768이 된다. 동일한 방식으로 계산하면, 다른 침해 자원 노드(abc12312bd…, 4a2c1fda… )의 악용 예측 지수는 각각 2.1168, 0.2112가 된다. 산출된 개별 악용 예측 지수를 합산하면 전체 악용 예측 지수는 5.8548이 되고, 예측 대상 침해 자원 노드(3bc123a…)의 악용 확률은 2.1168/5.8548*100 = 36.15%가 된다. 해당 결과는, 침해 자원(test.com)이 침해 사고에 악용된 경우, 다른 악성 코드와 비교하여 향후 악성 코드(3bc123a…)가 유포될 확률이 36.15%가 된다는 것을 의미하는 것으로 이해될 수 있다.
지금까지, 예측 기준 침해 자원이 입력된 경우, 예측 대상 침해 자원의 악용 확률을 산출하는 방법에 대하여 상세하게 설명하였다. 다음으로, 도 10a 및 도 10b. 도 12a 및 도 12b를 참조하여, 예측 대상 특성을 갖는 적어도 하나의 침해 자원 노드에 대하여 악용 확률을 산출하는 방법을 설명하도록 한다.
본 발명의 실시예에 따르면, 예측 기준 침해 자원이 입력된 경우, 예측 대상 특성을 공유하는 적어도 하나의 침해 자원 노드에 대한 악용 확률이 산출될 수 있다. 이를 통해, 예측 대상 특성을 갖는 침해 자원이 침해 사고에 악용될 가능성이 예측될 수 있다. 여기서, 특성이란 각 침해 자원 노드에 부여된 침해 연관 정보를 의미하고, 상기 연관 정보는 침해 자원의 타입에 따라 달라질 수 있으며, 침해 자원과 연관 정보의 대응 관계는 미리 설정될 수 있다. 예를 들어, 침해 자원이 도메인인 경우, 대응되는 침해 연관 정보는 도메인 소유자의 이메일 등이 될 수 있다.
본 발명의 실시예에 따르면, 하기의 수학식 3을 이용하여 예측 대상 특성을 갖는 적어도 하나의 침해 자원에 대한 악용 확률(P2)이 산출될 수 있다. 수학식 3에서, Mr은 침해 사고 그래프에서 예측 대상 특성과 동일한 타입을 갖는 침해 자원 노드를 가리키고, Tr은 예측 대상 특성을 공유하는 침해 자원 노드를 가리키며, b는 Tr에 포함된 각각의 침해 자원 노드(t)와 기 설정된 관계에 있는 침해 자원 노드를 가리키고, Rx는 침해 자원 노드(x)의 악용 지수를 가리키며, Wx는 침해 자원 노드(x)의 가중치(e.g. 최단 거리의 역수)를 가리키고, b'는 Mr에 포함된 각각의 침해 자원 노드(a)와 기 설정된 관계에 있는 침해 자원 노드를 가리킨다. 여기서, 상기 기 설정된 관계는 예를 들어 침해 자원의 타입이 도메인 경우, Mapping(맵핑 관계)일 수 있다. 이와 같은 경우, 도 12a에서 예측 대상 특성이 도메인 소유자 이메일(bb@gmail.com)인 경우, Tr은 도메인 소유자 이메일(bb@gmail.com)을 공유하는 침해 자원 노드(link.co.kr, infomark.net)가 된다(도 10b 참조).
상기 수학식 3에서, 분자는 예측 대상 특성을 공유하는(= 특성 값이 동일한) 침해 자원 노드의 개별 악용 예측 지수의 합으로 볼 수 있고, 분모는 예측 대상 특성과 타입이 동일한 모든 침해 자원 노드의 개별 악용 예측 지수의 합(또는 전체 악용 예측 지수로 명명될 수도 있음)으로 볼 수 있다.
이하에서는, 보다 이해의 편의를 제공하기 위해 상기 수학식 3을 이용하여 예측 기준 침해 자원(test.com)이 주어진 경우 예측 대상 특성(bb@gmail.com)을 공유하는 침해 자원에 대한 침해 악용 확률을 산출하는 예를 도 12a 및 도 12b를 참조하여 설명하도록 한다.
도 12a를 참조하면, 예측 대상 특성(bb@gmail.com)은 도메인 소유자 이메일이므로 Mr은 동일한 타입의 특성을 갖는 침해 자원 노드(link.co.kr, zxc.kr, infomark.net)이 되고, Tr은 동일한 특성을 공유하는 침해 자원 노드(link.co.kr, infomark.net)가 된다. 또한, 상기 수학식 3의 분자의 b는 침해 자원 노드(link.co.kr)에 대해서는 매핑 관계에 있는 침해 자원 노드(1.1.1.1, 3.3.3.3)가 되고, 침해 자원 노드(infomark.net)에 대해서는 매핑 관계에 있는 침해 자원 노드(1.1.1.1, 2.2.2.2)가 된다. 분모의 b'도 동일한 방식으로 설정될 수 있다.
도 12b는 예측 대상 특성(bb@gmail.com)을 공유하는 침해 자원 노드(link.co.kr, infomark.net)에 대한 악용 예측 지수 산출에 이용되는 침해 자원 노드만을 표시한 그래프이다. 도 12b에서 distance는 산출된 최단 거리는 나타내고, rank는 각 노드의 악용 지수를 의미한다.
도 12b를 참조하면, 침해 자원 노드(link.co.kr)의 개별 악용 예측 지수는 매핑 관계에 있는 침해 자원 노드(1.1.1.1, 3.3.3.3)의 악용 지수(1.5, 1.3) 및 가중치(1, 1), 침해 자원 노드(link.co.kr)의 악용 지수(0.8) 및 가중치(1/2)의 곱의 합으로 산출될 수 있다. 즉, 침해 자원 노드(link.co.kr)의 개별 악용 예측 지수는 1.5*0.8*1*0.5 + 1.3*0.8*1*0.5 = 1.12가 된다. 또한, 동일한 방식으로 침해 자원 노드(infomark.net)의 개별 악용 예측 지수를 산출하면 0.7056이 되고, 합산하면 수학식 3의 분자는 1.8256으로 계산된다.
다음으로, 수학식 3의 분모를 계산하면, 도메인 소유자 이메일 타입의 특성(cc@gmail.com)을 공유하는 침해 자원 노드(zxc.kr)에 대하여 동일하게 악용 예측 지수가 산출될 수 있다. 구체적으로, 침해 자원 노드(zxc.kr)의 악용 예측 지수는 매핑 관계에 있는 침해 자원 노드(1.1.1.1)의 악용 지수(1.5) 및 가중치(1), 침해 자원 노드(zxc.kr)의 악용 지수(0.8) 및 가중치(1/2)의 곱의 합으로 산출될 수 있다. 즉, 침해 자원 노드(zxc.kr)의 악용 예측 지수는 1.5*0.8*1*0.5 = 0.6이 된다. 산출된 개별 악용 예측 지수(분자 계산에서 산출된 예측 지수 포함)를 합산하면 전체 악용 예측 지수는 3.0256이 되고, 예측 대상 특성(bb@gmail.com)을 공유하는 침해 자원 노드(link.co.kr, infomark.net)에 대한 악용 확률은 1.8256/3.0256*100 = 60.34%가 된다. 해당 결과는, 예측 기준 침해 자원(test.com)이 침해 사고에 악용된 경우, 도메인의 소유자의 이메일 특성을 갖는 침해 자원에 대해서 예측 대상 특성(bb@gmail.com)을 공유하는 침해 자원이 악용될 확률이 60.34%가 된다는 것을 의미하는 것으로 이해될 수 있다.
지금까지, 예측 기준 침해 자원이 입력된 경우, 예측 대상 특성을 공유하는 적어도 하나의 침해 자원에 대한 악용 확률을 산출하는 방법에 대하여 상세하게 설명하였다.
한편, 본 발명의 실시예에 의하면, 악용 예측 지수 또는 악용 확률을 이용하여 향후 발생할 침해 사고의 위험도가 산출될 수 있다. 이에 대한 설명은 도 3b의 위험도 산출부(134)를 참조하여 설명한 바, 중복된 설명을 배제하기 위해 생략하기로 한다.
지금까지 도 1 내지 도 12b를 참조하여 설명된 본 발명의 개념은 컴퓨터가 읽을 수 있는 매체 상에 컴퓨터가 읽을 수 있는 코드로 구현될 수 있다. 상기 컴퓨터로 읽을 수 있는 기록 매체는, 예를 들어 이동형 기록 매체(CD, DVD, 블루레이 디스크, USB 저장 장치, 이동식 하드 디스크)이거나, 고정식 기록 매체(ROM, RAM, 컴퓨터 구비 형 하드 디스크)일 수 있다. 상기 컴퓨터로 읽을 수 있는 기록 매체에 기록된 상기 컴퓨터 프로그램은 인터넷 등의 네트워크를 통하여 다른 컴퓨팅 장치에 전송되어 상기 다른 컴퓨팅 장치에 설치될 수 있고, 이로써 상기 다른 컴퓨팅 장치에서 사용될 수 있다.
도면에서 동작들이 특정한 순서로 도시되어 있지만, 반드시 동작들이 도시된 특정한 순서로 또는 순차적 순서로 실행되어야만 하거나 또는 모든 도시 된 동작들이 실행되어야만 원하는 결과를 얻을 수 있는 것으로 이해되어서는 안 된다. 특정 상황에서는, 멀티태스킹 및 병렬 처리가 유리할 수도 있다. 더욱이, 위에 설명한 실시예들에서 다양한 구성들의 분리는 그러한 분리가 반드시 필요한 것으로 이해되어서는 안 되고, 설명된 프로그램 컴포넌트들 및 시스템들은 일반적으로 단일 소프트웨어 제품으로 함께 통합되거나 다수의 소프트웨어 제품으로 패키지 될 수 있음을 이해하여야 한다.
이상 첨부된 도면을 참조하여 본 발명의 실시예들을 설명하였지만, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자는 본 발명이 그 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 실시될 수 있다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해해야만 한다.
Claims (19)
- 침해 사고 예측 장치에 의해 수행되는 침해 사고 예측 방법에 있어서,
침해 자원 간의 연결 관계를 나타내는 침해 사고 그래프를 구성하는 복수의 침해 자원 노드 각각에 대하여, 침해 자원 노드의 간선의 개수를 기초로 각 침해 자원 노드의 악용 지수를 산출하되, 상기 악용 지수는 상기 침해 사고 그래프에서 각 침해 자원 노드가 가리키는 침해 자원이 침해 사고에 악용된 상대적 빈도를 나타내는 것인, 단계;
상기 복수의 침해 자원 노드 중에서 어느 하나의 예측 기준 침해 자원 노드를 결정하는 단계;
상기 침해 사고 그래프에서, 상기 예측 기준 침해 자원 노드로부터 다른 침해 자원 노드까지의 최단 거리를 기초로 각 침해 자원 노드에 대한 가중치를 결정하는 단계; 및
상기 악용 지수 및 상기 가중치를 이용하여, 상기 예측 기준 침해 자원 노드가 가리키는 침해 자원이 악용된 경우 상기 복수의 침해 자원 노드 중에서 지정된 예측 대상 침해 자원 노드가 가리키는 침해 자원이 침해 사고에 악용될 가능성을 예측하는 단계를 포함하되,
상기 각 침해 자원 노드의 악용 지수를 산출하는 단계는,
상기 침해 사고 그래프에서, 페이지랭크(pagerank) 알고리즘을 이용하여 상기 악용 지수를 산출하는 단계를 포함하고,
상기 페이지랭크 알고리즘에 이용되는 백링크의 값은 상기 각 침해 자원 노드의 간선의 개수로 설정되는 것을 특징으로 하는,
침해 사고 예측 방법. - 삭제
- 제1 항에 있어서,
상기 각 침해 자원 노드의 악용 지수를 산출하는 단계는,
현재 시점부터 기 설정된 이전 시점까지 상기 각 침해 자원 노드가 가리키는 침해 자원이 침해 사고에 악용된 횟수를 이용하여 상기 산출된 악용 지수를 조정하는 단계를 더 포함하되,
상기 악용된 횟수가 많을수록 상기 산출된 악용 지수는 높은 값으로 조정되는 것을 특징으로 하는,
침해 사고 예측 방법. - 제1 항에 있어서,
상기 침해 사고 그래프는,
하나의 침해 사고 그룹 노드에 대응되는 침해 자원 노드로 구성되는 것을 특징으로 하는,
침해 사고 예측 방법. - 제1 항에 있어서,
상기 침해 사고 그래프에 포함된 복수의 간선 각각에는 간선 가중치가 부여되고,
상기 간선 가중치는 침해 사고 정보를 제공하는 정보 공유 채널의 신뢰도에 기초하여 적어도 일부는 다른 값으로 설정되며,
상기 예측 기준 침해 자원 노드로부터 다른 침해 자원 노드까지의 최단 거리는, 상기 간선 가중치에 기초하여 산출되는 것을 특징으로 하는,
침해 사고 예측 방법. - 제1 항에 있어서,
상기 침해 사고에 악용될 가능성을 예측하는 단계는,
상기 예측 대상 침해 자원 노드의 악용 지수, 상기 예측 대상 침해 자원 노드의 가중치 및 상기 예측 대상 침해 자원 노드에 연결된 이웃 침해 자원 노드 중 지정된 연결 관계를 갖는 이웃 침해 자원 노드의 악용 지수를 이용하여, 상기 예측 대상 침해 자원 노드의 악용 예측 지수를 산출하는 단계; 및
상기 예측 대상 침해 자원 노드의 악용 예측 지수를 이용하여, 상기 침해 사고에 악용될 가능성을 예측하는 단계를 포함하는 것을 특징으로 하는,
침해 사고 예측 방법. - 제6 항에 있어서,
상기 지정된 연결 관계를 갖는 이웃 침해 자원 노드는 제1 이웃 침해 자원 노드 및 제2 이웃 침해 자원 노드를 포함하고,
상기 예측 대상 침해 자원 노드의 악용 예측 지수를 산출하는 단계는,
상기 예측 대상 침해 자원 노드의 악용 지수, 상기 예측 대상 침해 자원 노드의 가중치 및 상기 제1 이웃 침해 자원 노드의 악용 지수를 이용하여, 제1 악용 예측 지수를 산출하는 단계;
상기 예측 대상 침해 자원 노드의 악용 지수, 상기 예측 대상 침해 자원 노드의 가중치 및 상기 제2 이웃 침해 자원 노드의 악용 지수를 이용하여, 제2 악용 예측 지수를 산출하는 단계;
상기 제1 악용 예측 지수 및 상기 제2 악용 예측 지수를 합산하여 상기 예측 대상 침해 자원 노드의 악용 예측 지수를 산출하는 단계를 포함하는 것을 특징으로 하는,
침해 사고 예측 방법. - 제6 항에 있어서,
상기 예측 대상 침해 자원 노드의 악용 예측 지수를 이용하여, 상기 침해 사고에 악용될 가능성을 예측하는 단계는,
상기 예측 대상 침해 자원 노드가 가리키는 침해 자원과 동일한 타입의 침해 자원을 가리키는 침해 자원 노드를 결정하고, 상기 결정된 침해 자원 노드 각각에 대하여 악용 예측 지수를 산출하는 단계;
상기 결정된 침해 자원 노드의 악용 예측 지수를 합산하여 전체 악용 예측 지수를 산출하는 단계;
상기 전체 악용 예측 지수 및 상기 예측 대상 침해 자원 노드의 악용 예측 지수를 이용하여, 상기 예측 대상 침해 자원 노드에 대한 악용 확률을 산출하는 단계; 및
상기 악용 확률을 이용하여, 상기 침해 사고에 악용될 가능성을 예측하는 단계를 포함하는 것을 특징으로 하는,
침해 사고 예측 방법. - 제8 항에 있어서,
상기 침해 자원의 타입은,
IP, 도메인 및 악성 코드 중 적어도 하나를 포함하는 것을 특징으로 하는,
침해 사고 예측 방법. - 제6 항에 있어서,
상기 지정된 연결 관계는,
상기 예측 대상 침해 자원 노드가 가리키는 침해 자원의 타입에 따라 달라지고,
상기 예측 대상 침해 자원 노드가 가리키는 침해 자원의 타입이 악성 코드인 경우, 상기 지정된 연결 관계는 유포지(distribute)를 포함하는 것을 특징으로 하는,
침해 사고 예측 방법. - 제1 항에 있어서,
상기 복수의 침해 자원 노드 각각은 적어도 하나의 특성을 갖고,
상기 예측 대상 침해 자원 노드는 동일한 특성 값을 갖는 적어도 하나의 침해 자원 노드를 포함하며,
상기 침해 사고에 악용될 가능성을 예측하는 단계는,
상기 예측 대상 침해 자원 노드의 악용 지수 및 제1 가중치와 상기 예측 대상 침해 자원 노드에 연결된 이웃 침해 자원 노드 중 지정된 연결 관계를 갖는 이웃 침해 자원 노드의 악용 지수 및 제2 가중치를 이용하여, 상기 예측 대상 침해 자원 노드의 악용 예측 지수를 산출하는 단계; 및
상기 예측 대상 침해 자원 노드의 악용 예측 지수를 이용하여, 상기 침해 사고에 악용될 가능성을 예측하는 단계를 포함하는 것을 특징으로 하는,
침해 사고 예측 방법. - 제11 항에 있어서,
상기 예측 대상 침해 자원 노드의 악용 예측 지수를 이용하여, 상기 침해 사고에 악용될 가능성을 예측하는 단계는,
상기 예측 대상 침해 자원 노드와 동일한 타입의 특성을 갖는 적어도 하나의 침해 자원 노드를 결정하고, 상기 결정된 침해 자원 노드 각각에 대하여 악용 예측 지수를 산출하는 단계;
상기 결정된 침해 자원 노드의 악용 예측 지수를 합산하여 전체 악용 예측 지수를 산출하는 단계;
상기 전체 악용 예측 지수 및 상기 예측 대상 침해 자원 노드의 악용 예측 지수를 이용하여, 상기 예측 대상 침해 자원 노드에 대한 악용 확률을 산출하는 단계; 및
상기 악용 확률을 이용하여, 상기 침해 사고에 악용될 가능성을 예측하는 단계를 포함하는 것을 특징으로 하는,
침해 사고 예측 방법. - 제1 항에 있어서,
상기 침해 사고에 악용될 가능성을 예측하는 단계는,
상기 악용 지수 및 상기 가중치를 이용하여, 상기 복수의 침해 자원 노드 각각의 악용 예측 지수를 산출하고, 산출된 악용 예측 지수를 기초로, 상기 침해 사고에 악용될 가능성을 예측하는 단계를 포함하고,
상기 악용 예측 지수가 기 설정된 임계 값 이상인 침해 자원 노드의 개수를 카운팅하는 단계;
상기 침해 자원 노드의 개수를 기초로 상기 침해 사고의 위험도를 산정하는 단계를 더 포함하되,
상기 침해 사고의 위험도는 상기 침해 자원 노드의 개수가 많을수록 높은 값으로 산정되는 것을 특징으로 하는,
침해 사고 예측 방법. - 제1 항에 있어서,
상기 침해 사고에 악용될 가능성을 예측하는 단계는,
상기 악용 지수 및 상기 가중치를 이용하여, 상기 복수의 침해 자원 노드 각각의 악용 예측 지수를 산출하고, 산출된 악용 예측 지수를 기초로, 상기 침해 사고에 악용될 가능성을 예측하는 단계를 포함하고,
상기 악용 예측 지수가 기 설정된 임계 값 이상인 침해 자원 노드의 개수를 결정하는 단계;
기 설정된 위험도 산정 기준과 기 설정된 위험도 산정 기준 별 기준 위험 지수를 이용하여, 상기 결정된 침해 자원 노드의 위험 지수를 산출하는 단계;
상기 결정된 침해 자원 노드의 악용 예측 지수 및 상기 결정된 침해 자원 노드의 위험 지수를 이용하여, 상기 침해 사고의 위험도를 산정하는 단계를 더 포함하는 것을 특징으로 하는,
침해 사고 예측 방법. - 제14 항에 있어서,
상기 기 설정된 위험도 산정 기준은 탐지 경로를 포함하고,
상기 탐지 경로에 대한 기준 위험 지수는,
상기 탐지 경로가 C&C 통신지 또는 악성 코드 유포지인 경우 악성 코드 경유지에 해당하는 경우보다 더 높은 기준 위험 지수가 설정되는 것을 특징으로 하는,
침해 사고 예측 방법. - 제14 항에 있어서,
상기 기 설정된 위험도 산정 기준은 탐지 시간을 포함하고,
상기 탐지 시간에 대한 기준 위험 지수는,
상기 탐지 시간이 최근일수록 더 높은 기준 위험 지수가 설정되는 것을 특징으로 하는,
침해 사고 예측 방법. - 제14 항에 있어서,
상기 기 설정된 위험도 산정 기준은 DNS 변경 이력, 악성 URL의 개수 및 악성 코드의 개수를 포함하고,
상기 DNS 변경 이력, 상기 악성 URL의 개수 및 상기 악성 코드의 개수에 각각에 대한 기준 위험 지수는,
상기 DNS 변경 이력, 상기 악성 URL의 개수 및 상기 악성 코드의 개수 각각이 많을수록 더 높은 기준 위험 지수가 설정되는 것을 특징으로 하는,
침해 사고 예측 방법. - 프로세서;
상기 프로세서에 의하여 수행되는 컴퓨터 프로그램을 로드(Load)하는 메모리; 및
침해 자원 간의 연결 관계를 나타내는 침해 사고 그래프 및 상기 컴퓨터 프로그램을 저장하는 스토리지를 포함하되,
상기 컴퓨터 프로그램은,
상기 침해 사고 그래프를 구성하는 복수의 침해 자원 노드 각각에 대하여, 침해 자원 노드의 간선의 개수를 기초로 각 침해 자원 노드의 악용 지수를 산출하되, 상기 악용 지수는 상기 침해 사고 그래프에서 각 침해 자원 노드가 가리키는 침해 자원이 침해 사고에 악용된 상대적 빈도를 나타내는 것인, 오퍼레이션;
상기 복수의 침해 자원 노드 중에서 어느 하나의 예측 기준 침해 자원 노드를 결정하는 오퍼레이션;
상기 침해 사고 그래프에서, 상기 예측 기준 침해 자원 노드로부터 다른 침해 자원 노드까지의 최단 거리를 기초로 각 침해 자원 노드에 대한 가중치를 결정하는 오퍼레이션; 및
상기 악용 지수 및 상기 가중치를 이용하여, 상기 예측 기준 침해 자원 노드가 가리키는 침해 자원이 악용된 경우 상기 복수의 침해 자원 노드 중에서 지정된 예측 대상 침해 자원 노드가 가리키는 침해 자원이 침해 사고에 악용될 가능성을 예측하는 오퍼레이션을 포함하되,
상기 각 침해 자원 노드의 악용 지수를 산출하는 오퍼레이션은,
상기 침해 사고 그래프에서, 페이지랭크(pagerank) 알고리즘을 이용하여 상기 악용 지수를 산출하는 오퍼레이션을 포함하고,
상기 페이지랭크 알고리즘에 이용되는 백링크의 값은 상기 각 침해 자원 노드의 간선의 개수로 설정되는 것을 특징으로 하는,
침해 사고 예측 장치. - 컴퓨팅 장치와 결합되어,
침해 자원 간의 연결 관계를 나타내는 침해 사고 그래프를 구성하는 복수의 침해 자원 노드 각각에 대하여, 침해 자원 노드의 간선의 개수를 기초로 각 침해 자원 노드의 악용 지수를 산출하되, 상기 악용 지수는 상기 침해 사고 그래프에서 각 침해 자원 노드가 가리키는 침해 자원이 침해 사고에 악용된 상대적 빈도를 나타내는 것인, 단계;
상기 복수의 침해 자원 노드 중에서 어느 하나의 예측 기준 침해 자원 노드를 결정하는 단계;
상기 침해 사고 그래프에서, 상기 예측 기준 침해 자원 노드로부터 다른 침해 자원 노드까지의 최단 거리를 기초로 각 침해 자원 노드에 대한 가중치를 결정하는 단계; 및
상기 악용 지수 및 상기 가중치를 이용하여, 상기 예측 기준 침해 자원 노드가 가리키는 침해 자원이 악용된 경우 상기 복수의 침해 자원 노드 중에서 지정된 예측 대상 침해 자원 노드가 가리키는 침해 자원이 침해 사고에 악용될 가능성을 예측하는 단계를 실행시키되,
상기 각 침해 자원 노드의 악용 지수를 산출하는 단계는,
상기 침해 사고 그래프에서, 페이지랭크(pagerank) 알고리즘을 이용하여 상기 악용 지수를 산출하는 단계를 포함하고,
상기 페이지랭크 알고리즘에 이용되는 백링크의 값은 상기 각 침해 자원 노드의 간선의 개수로 설정되는, 컴퓨터로 판독가능한 기록 매체에 저장된,
컴퓨터 프로그램.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020170026392A KR101959213B1 (ko) | 2017-02-28 | 2017-02-28 | 침해 사고 예측 방법 및 그 장치 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020170026392A KR101959213B1 (ko) | 2017-02-28 | 2017-02-28 | 침해 사고 예측 방법 및 그 장치 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| KR20180099238A KR20180099238A (ko) | 2018-09-05 |
| KR101959213B1 true KR101959213B1 (ko) | 2019-03-18 |
Family
ID=63594852
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020170026392A Active KR101959213B1 (ko) | 2017-02-28 | 2017-02-28 | 침해 사고 예측 방법 및 그 장치 |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR101959213B1 (ko) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR102291977B1 (ko) * | 2019-11-12 | 2021-08-20 | 고려대학교 산학협력단 | 악성코드 공격 피해 규모 측정 방법, 이를 수행하기 위한 기록 매체 및 장치 |
| CN112988371A (zh) * | 2019-12-13 | 2021-06-18 | 天翼电子商务有限公司 | 基于大规模分布式运维系统的机房资源预测方法及装置 |
| KR102592868B1 (ko) * | 2022-06-07 | 2023-10-20 | 주식회사 카카오페이 | 조직에 대한 사이버 보안 위협을 분석하기 위한 방법 및 전자 장치 |
| WO2025070946A1 (ko) * | 2023-09-25 | 2025-04-03 | 주식회사 디알엠인사이드 | 콘텐츠의 불법 유통 방지를 위한 서비스 제공 장치 및 방법 |
| CN118628133A (zh) * | 2024-08-12 | 2024-09-10 | 北京中域智科国际网络技术有限公司 | 侵权评价方法、系统、装置、设备、存储介质和程序产品 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2016206943A (ja) * | 2015-04-22 | 2016-12-08 | 株式会社日立製作所 | サイバー攻撃分析装置及びサイバー攻撃分析方法 |
| JP2016218695A (ja) * | 2015-05-20 | 2016-12-22 | 三菱電機株式会社 | リスク分析結果表示装置 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101262992B1 (ko) * | 2011-08-19 | 2013-05-10 | 경희대학교 산학협력단 | 무선 센서 네트워크 보호를 위한 침입 탐지 장치 및 그 방법 |
| KR102061833B1 (ko) | 2015-01-20 | 2020-01-02 | 한국전자통신연구원 | 사이버 침해 사고 조사 장치 및 방법 |
-
2017
- 2017-02-28 KR KR1020170026392A patent/KR101959213B1/ko active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2016206943A (ja) * | 2015-04-22 | 2016-12-08 | 株式会社日立製作所 | サイバー攻撃分析装置及びサイバー攻撃分析方法 |
| JP2016218695A (ja) * | 2015-05-20 | 2016-12-22 | 三菱電機株式会社 | リスク分析結果表示装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| KR20180099238A (ko) | 2018-09-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR101781450B1 (ko) | 사이버 공격에 대한 위험도 산출 방법 및 장치 | |
| KR101959213B1 (ko) | 침해 사고 예측 방법 및 그 장치 | |
| CN109271420B (zh) | 信息推送方法、装置、计算机设备和存储介质 | |
| TWI634492B (zh) | 風險評估方法、裝置、電腦設備及存儲介質 | |
| CN109241461B (zh) | 一种用户画像构建方法及装置 | |
| US11170027B2 (en) | Error factor and uniqueness level for anonymized datasets | |
| JP6422617B2 (ja) | ネットワークアクセス動作識別プログラム、サーバ及び記憶媒体 | |
| Drakonakis et al. | Please forget where I was last summer: The privacy risks of public location (meta) data | |
| US20130042306A1 (en) | Determining machine behavior | |
| US20180191736A1 (en) | Method and apparatus for collecting cyber incident information | |
| CN104731816A (zh) | 一种处理异常业务数据的方法和装置 | |
| WO2014150987A1 (en) | Systems and methods for identifying entites using geographical and social mapping | |
| US20160269431A1 (en) | Predictive analytics utilizing real time events | |
| Porter et al. | Evaluating temporally weighted kernel density methods for predicting the next event location in a series | |
| JP2016511891A (ja) | 大規模データへの妨害攻撃に対するプライバシー | |
| JP6988521B2 (ja) | 情報処理プログラム、情報処理方法および情報処理装置 | |
| CN116228439A (zh) | 基于知识图谱的风险识别方法、装置、设备以及存储介质 | |
| KR101664109B1 (ko) | 웹사이트 구조 기반 개인정보 노출 위험도 제공 서비스 방법 및 시스템 | |
| KR101832292B1 (ko) | 침해 사고 정보의 재귀적 수집 방법 및 그를 실행하는 프로그램이 기록된 컴퓨터 판독 가능한 매체 | |
| JP2020135471A (ja) | 推定装置、推定方法及びプログラム | |
| KR101648349B1 (ko) | 웹사이트 위험도 산출 장치 및 그 방법 | |
| Ju et al. | Location privacy protection for smartphone users using quadtree entropy maps | |
| CN112085369A (zh) | 规则模型的安全性检测方法、装置、设备及系统 | |
| CN118337403A (zh) | 基于ioc的攻击路径还原方法、装置、电子设备及介质 | |
| CN114491563A (zh) | 一种获取信息安全事件的风险等级的方法及相关装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PA0109 | Patent application |
Patent event code: PA01091R01D Comment text: Patent Application Patent event date: 20170228 |
|
| PA0201 | Request for examination | ||
| PG1501 | Laying open of application | ||
| E902 | Notification of reason for refusal | ||
| PE0902 | Notice of grounds for rejection |
Comment text: Notification of reason for refusal Patent event date: 20180906 Patent event code: PE09021S01D |
|
| E701 | Decision to grant or registration of patent right | ||
| PE0701 | Decision of registration |
Patent event code: PE07011S01D Comment text: Decision to Grant Registration Patent event date: 20190307 |
|
| GRNT | Written decision to grant | ||
| PR0701 | Registration of establishment |
Comment text: Registration of Establishment Patent event date: 20190312 Patent event code: PR07011E01D |
|
| PR1002 | Payment of registration fee |
Payment date: 20190313 End annual number: 3 Start annual number: 1 |
|
| PG1601 | Publication of registration | ||
| PR1001 | Payment of annual fee |
Payment date: 20220223 Start annual number: 4 End annual number: 4 |
|
| PR1001 | Payment of annual fee |
Payment date: 20230105 Start annual number: 5 End annual number: 5 |
|
| PR1001 | Payment of annual fee |
Payment date: 20240115 Start annual number: 6 End annual number: 6 |