[go: up one dir, main page]

KR20160089800A - Apparatus and method for investigating cyber incidents - Google Patents

Apparatus and method for investigating cyber incidents Download PDF

Info

Publication number
KR20160089800A
KR20160089800A KR1020150009473A KR20150009473A KR20160089800A KR 20160089800 A KR20160089800 A KR 20160089800A KR 1020150009473 A KR1020150009473 A KR 1020150009473A KR 20150009473 A KR20150009473 A KR 20150009473A KR 20160089800 A KR20160089800 A KR 20160089800A
Authority
KR
South Korea
Prior art keywords
survey
data
range
node
cyber
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
KR1020150009473A
Other languages
Korean (ko)
Other versions
KR102061833B1 (en
Inventor
이주영
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020150009473A priority Critical patent/KR102061833B1/en
Publication of KR20160089800A publication Critical patent/KR20160089800A/en
Application granted granted Critical
Publication of KR102061833B1 publication Critical patent/KR102061833B1/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명의 일 실시예에 따른 사이버 침해 조사 장치는 조사 대상 데이터, 조사 대상 망 정보 및 조사 단서 정보를 입력 받는 통신 인터페이스, 미리 지정된 프로그램을 저장하는 메모리 및 프로그램에 따라 사이버 침해 조사를 수행하는 프로세서를 포함하되, 프로그램은, 조사 대상 데이터 및 조사 대상 망 정보 중 조사 단서 정보와 관련된 데이터를 미리 지정된 기준에 따라 선별하여 수집하고, 데이터에 따라 속성에 따라 위험 노출 지표를 산출하고, 미리 지정된 임계치에 대해 위험 노출 지표가 초과되는 여부에 따라 노드별 피해 레벨을 결정하고, 피해 레벨에 따라 각 노드를 하나 이상의 그룹으로 설정하고, 각 그룹에 상응하는 조사 범위를 표시하고, 조사 범위에 해당하는 노드에 대해 추가 정보를 획득하고, 조사 범위를 피해 범위로 설정하고, 피해 범위에 해당하는 노드에 대한 보고 자료를 생성하도록 구성된다.A cyber infringement investigation apparatus according to an embodiment of the present invention includes a communication interface for receiving survey target data, survey target network information and survey cue information, a memory for storing a predetermined program, and a processor for performing a cyber infringement survey according to the program The program collects the data related to the investigation cue information among the survey target data and the survey target network information according to predetermined criteria and calculates the risk exposure index according to the data according to the data, The damage level for each node is determined according to whether the risk exposure index is exceeded, each node is set as one or more groups according to the damage level, the corresponding investigation range is displayed for each group, Obtain additional information, set the scope of investigation to the extent of the damage, It is configured to generate a report of a node corresponding to the range.

Description

사이버 침해 사고 조사 장치 및 방법{APPARATUS AND METHOD FOR INVESTIGATING CYBER INCIDENTS}[0001] APPARATUS AND METHOD FOR INVESTIGATING CYBER INCIDENTS [0002]

본 발명은 사이버 침해 사고에 대한 조사를 수행하는 기술에 관한 것으로, 보다 상세하게는 사이버침해사고 발생 시, 사고에 따른 피해 범위를 산정하는 기술에 관한 것이다.
TECHNICAL FIELD The present invention relates to a technique for conducting an investigation of a cyber-infringement accident, and more particularly, to a technique for calculating a range of a damage caused by an accident when a cyber-infringement occurs.

최근의 지능적인 사이버 공격은 공격목적, 공격방법, 공격기간 등의 여러 가지 측면에서 기존 사이버 공격과 다른 차원의 양상을 보이면서, 공공기관 및 주요 사회 기반 시설에 큰 위협이 되고 있을 뿐 아니라 일반 기업과 사용자에게 있어서는 기업 기밀정보와 개인정보 침해에 대한 우려를 제공하고 있다.Recent intelligent cyber attacks are not only a serious threat to public institutions and major social infrastructures, but also show different aspects from the existing cyber attacks in terms of attack purpose, attack method and attack period. And provides users with concerns about corporate confidential information and personal information infringement.

하지만 지금까지는 이러한 공격으로 인해 사이버 침해 사고가 발생했을 때를 대비하기 위한 시스템 및 인력이 갖춰져 있지 않은 실정으로 적시에 사고 원인 규명 및 사고에 따른 피해규모 파악이 어려워 이러한 사고에 대한 체계적인 대응이 어렵다는 문제점이 있다. However, until now, there has been no system or manpower to prepare for the cyber-infringement accident due to such an attack. Therefore, it is difficult to identify the cause of the accident in a timely manner, .

사이버 침해사고 발생 시, 조직에게 가장 필요로 하는 정보 중에 하나가 정보유출이 발생되었는지 여부와 어떤 정보가 유출되었는지, 얼만큼의 시스템이 어느 정도 피해를 입었는지 등의 피해 규모 및 범위에 대한 정보임에도 불구하고 현실적으로는 이런 내용들은 일일이 수작업에 의해 조사되고 통계를 산출하여 보고되는 상황이다. One of the most needed information for an organization in the event of a cyber-infringement is information on the extent and extent of damage, such as whether information leakage has occurred, what information has been leaked, how much damage has been done to the system In reality, however, such information is hand-picked, and statistics are reported and reported.

하지만, 기존에 제안된 방법들은 사이버 침해 사고에 따른 조사 범위를 제안하거나 피해 범위를 산정하는 방법을 제안하지 못함으로써 실질적으로 사이버 침해사고 분석을 위해서는 네트워크 전문가가 수집 및 분석 도구를 기반으로 수집된 데이터를 하나씩 탐색해가면서 의심이 되는 상황을 점검해나가면서 원인을 파악하고, 피해를 받은 시스템을 확인해나가는 방식을 취해오고 있다. 이는 인력 및 시간 등의 비용이 많이 소요될 뿐 아니라 방법이나 산정 기준에 있어 체계적이지 못한 방법으로 인해 결과에 오류가 발생할 확률이 높다는 문제점이 있다.
However, the proposed methods do not propose a scope of investigation due to a cyber-infringement accident or suggest a method of calculating the extent of the damage. Therefore, in order to actually analyze the cyber-infringement incident, the network experts collect data As well as checking the suspicious situation, identifying the cause, and checking the damaged system. This is not only costly in terms of manpower and time, but also has a problem in that the method is inconvenient in terms of methods and calculation methods, resulting in errors in the results.

본 발명의 해결하고자 하는 과제는 사이버 침해 사고 조사하여 피해 범위 및 규모를 산정하는 사이버 침해 사고 조사 장치 및 방법을 제공하는 것이다.
A problem to be solved by the present invention is to provide a cyber-infringement accident investigation apparatus and method for estimating a scope and scale of a cyber-infestation accident.

본 발명의 일 측면에 따르면, 조사 대상 데이터, 조사 대상 망 정보 및 조사 단서 정보를 입력 받는 통신 인터페이스; 미리 지정된 프로그램을 저장하는 메모리; 및 상기 프로그램에 따라 사이버 침해 조사를 수행하는 프로세서;를 포함하되, 상기 프로그램은, 상기 조사 대상 데이터 및 상기 조사 대상 망 정보 중 상기 조사 단서 정보와 관련된 데이터를 미리 지정된 기준에 따라 선별하여 수집하고, 상기 데이터에 따라 속성에 따라 위험 노출 지표를 산출하고, 미리 지정된 임계치에 대해 상기 위험 노출 지표가 초과되는 여부에 따라 노드별 피해 레벨을 결정하고, 상기 피해 레벨에 따라 각 노드를 하나 이상의 그룹으로 설정하고, 각 그룹에 상응하는 조사 범위를 표시하고, 상기 조사 범위에 해당하는 노드에 대해 추가 정보를 획득하고, 상기 조사 범위를 피해 범위로 설정하고, 상기 피해 범위에 해당하는 노드에 대한 보고 자료를 생성하도록 구성되는 것을 특징으로 하는 사이버 침해 조사 장치가 제공된다.According to an aspect of the present invention, there is provided a communication system, comprising: a communication interface for receiving survey target data, survey target network information, and survey cue information; A memory for storing a predetermined program; And a processor for performing a cyber infringement investigation according to the program, wherein the program collects data related to the inquiry clue information among the survey object data and the survey object network information according to a predetermined criterion, Determining a damage level for each node according to whether the risk exposure index is exceeded for a predetermined threshold, and setting each node as one or more groups according to the damage level And the additional information is acquired for the node corresponding to the investigation range, the investigation range is set to the range of damage, and the report data for the node corresponding to the damage range is displayed The cyber infringement examination apparatus comprising:

상기 프로그램은, 각 상기 노드를 조사 범위에 임의로 추가하거나 제거하고, 노드 간의 연결 관계를 변경하는 사용자 인터페이스를 표시하고, 상기 사용자 인터페이스를 통한 사용자 입력에 따라 상기 조사 범위를 변경하도록 구성될 수 있다.The program may be configured to display a user interface that arbitrarily adds or removes each of the nodes to the survey range, changes the connection relationship between the nodes, and changes the survey range according to user input through the user interface.

상기 사용자 인터페이스는 새로운 피해 레벨을 생성하거나 일 피해 레벨에 포함된 노드를 타 피해 레벨로 이동시키는 사용자 인터페이스일 수 있다.The user interface may be a user interface for creating a new damage level or moving a node included in a damage level to another damage level.

상기 프로그램은, 상기 노드 간 데이터가 송수신되는 경로에 따라 상기 노드 간을 연결선으로 연결하고, 상기 조사 범위에 해당하는 노드를 포함하도록 하는 단일폐곡선을 표시하도록 구성될 수 있다.The program may be configured to display a single closed curve connecting a node between the nodes according to a path through which the inter-node data is transmitted and received, and including a node corresponding to the survey range.

상기 프로그램은, 상기 속성과 각 속성에 대해 미리 설정된 가중치의 곱을 모드 합하여 상기 위험 노출 지표를 산출하도록 구성될 수 있다.The program may be configured to calculate the risk exposure index by adding a mode of a product of the attribute and a predetermined weight to each attribute.

상기 추가 정보를 획득한 이후 사용자로부터 조사의 계속 진행을 명령하는 입력을 받는 경우, 사용자 입력에 따라 사이버 침해에 해당하지 않는 데이터를 시드 데이터로부터 제외, 가중치 또는 피해레벨을 변경 및 새로운 시드 데이터를 설정 중 하나 이상을 수행하고, 상기 위험 노출 지표를 재산출하여 상기 조사 범위를 재설정할 수 있다.
If the user inputs an instruction to continue the investigation after obtaining the additional information, data not corresponding to the cyber infringement is excluded from the seed data, the weight or the damage level is changed, and the new seed data is set , And re-calculating the risk exposure index to reset the survey range.

본 발명의 다른 측면에 따르면, 사이버 침해 조사 장치가 사이버 침해를 조사하는 방법에 있어서, 조사 대상 데이터, 조사 대상 망 정보 및 조사 단서 정보를 입력 받는 단계; 상기 조사 대상 데이터 및 상기 조사 대상 망 정보 중 상기 조사 단서 정보와 관련된 데이터를 미리 지정된 기준에 따라 선별하여 수집하는 단계; 상기 데이터에 따라 속성에 따라 위험 노출 지표를 산출하는 단계; 미리 지정된 임계치(Threshold)에 대해 상기 위험 노출 지표가 초과되는 여부에 따라 노드별 피해 레벨을 결정하는 단계; 상기 피해 레벨에 따라 각 노드를 하나 이상의 그룹으로 설정하고, 각 그룹에 상응하는 조사 범위를 표시하는 단계; 상기 조사 범위에 해당하는 노드에 대해 추가 정보를 획득하는 단계; 상기 조사 범위를 피해 범위로 설정하고, 상기 피해 범위에 해당하는 노드에 대한 보고 자료를 생성하는 단계;를 포함하는 사이버 침해 조사 방법이 제공된다.According to another aspect of the present invention, there is provided a cyber infringement investigation apparatus for examining a cyber infestation, comprising: inputting survey target data, survey target network information and survey cue information; Collecting data related to the survey cue information among the survey subject data and the survey subject network information according to predetermined criteria; Calculating a risk exposure index according to the attribute according to the data; Determining a damage level for each node according to whether the risk exposure index is exceeded for a predetermined threshold value; Setting each node as one or more groups according to the damage level, and displaying an irradiation range corresponding to each group; Obtaining additional information for a node corresponding to the survey range; Setting a range of the investigation range to a range of damage, and generating report data for a node corresponding to the range of damage.

상기 사이버 침해 조사 방법은 각 상기 노드를 조사 범위에 임의로 추가하거나 제거하고, 노드 간의 연결 관계를 변경하는 사용자 인터페이스를 표시하는 단계; 및 상기 사용자 인터페이스를 통한 사용자 입력에 따라 상기 조사 범위를 변경하는 단계를 더 포함할 수 있다.The cyber infringement investigation method comprising the steps of: displaying a user interface for arbitrarily adding or removing each of the nodes to an investigation range and changing a connection relationship between the nodes; And changing the survey range according to user input through the user interface.

상기 사용자 인터페이스는 새로운 피해 레벨을 생성하거나 일 피해 레벨에 포함된 노드를 타 피해 레벨로 이동시키는 사용자 인터페이스일 수 있다.The user interface may be a user interface for creating a new damage level or moving a node included in a damage level to another damage level.

상기 피해 레벨에 따라 각 노드를 하나 이상의 그룹으로 설정하고, 각 그룹에 상응하는 조사 범위를 표시하는 단계는, 상기 노드 간 데이터가 송수신되는 경로에 따라 상기 노드 간을 연결선으로 연결하고, 상기 조사 범위에 해당하는 노드를 포함하도록 하는 단일폐곡선을 표시하는 단계일 수 있다.Wherein the step of setting each node as one or more groups according to the damage level and displaying an investigation range corresponding to each group comprises connecting the nodes through a connection line according to a path through which the inter-node data is transmitted and received, A single closed curve that includes the corresponding node.

상기 데이터에 따라 속성에 따라 위험 노출 지표를 산출하는 단계는, 상기 속성과 각 속성에 대해 미리 설정된 가중치의 곱을 모드 합하여 상기 위험 노출 지표를 산출하는 단계일 수 있다.The step of calculating the risk exposure index according to the attribute according to the data may be a step of calculating the risk exposure index by combining the attribute and the product of the predetermined weight for each attribute.

상기 사이버 침해 조사 방법은 상기 추가 정보를 획득한 이후 사용자로부터 조사의 계속 진행을 명령하는 입력을 받는 경우, 사용자 입력에 따라 사이버 침해에 해당하지 않는 데이터를 시드 데이터로부터 제외, 가중치 또는 피해레벨을 변경 및 새로운 시드 데이터를 설정 중 하나 이상을 수행하고, 상기 위험 노출 지표를 재산출하여 상기 조사 범위를 재설정하는 단계를 더 포함할 수 있다.
In the cyber infringement investigation method, when the user inputs an instruction to continue the investigation after obtaining the additional information, data not corresponding to the cyber infringement is excluded from the seed data according to the user input, the weight or the damage level is changed And setting new seed data, and re-calculating the risk exposure index to reset the survey range.

본 발명의 일 실시예에 따르면, 비전문가 조사관이 장치에서 제공하는 직관적인 정보를 가지고 보다 정확한 사고 원인과 침해 여부 및 범위를 파악하도록 할 수 있다.According to an embodiment of the present invention, a non-specialist inspector can intuitively know the information provided by the device, thereby determining the cause of the accident and the extent and extent of the infringement.

본 발명의 일 실시예에 따르면, 사이버 침해 사고를 조사하기 위한 인력 및 시간 등의 비용을 절감할 수 있다.According to the embodiment of the present invention, it is possible to reduce costs such as manpower and time for investigating a cyber-infringement accident.

본 발명의 일 실시에에 따르면, 사이버 침해 사고 조사에 대한 체계적인 방법과 피해에 대한 체계적인 산정 기준을 제공함으로써 조사 및 피해 결과에 신뢰를 높일 수 있다.
According to one embodiment of the present invention, a systematic method for investigating cyber-infringement incidents and a systematic estimation criterion for damage can be provided to increase trust in investigation and damage results.

도 1은 본 발명의 일 실시예에 따른 사이버 침해 조사 장치를 예시한 블록도.
도 2는 본 발명의 일 실시예에 따른 사이버 침해 조사 장치가 사이버 침해 조사를 수행하는 과정을 예시한 순서도.
도 3은 본 발명의 일 실시예에 따른 사이버 침해 조사 장치가 조사 범위를 제시한 화면을 예시한 도면.1 is a block diagram illustrating a cyber-infringement investigation apparatus according to an embodiment of the present invention;
2 is a flowchart illustrating a cyber infringement investigation apparatus performing cyber infringement investigation according to an embodiment of the present invention.
3 is a view illustrating a screen in which a cyber infringement investigation apparatus according to an embodiment of the present invention presents survey ranges;

본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 이를 상세한 설명을 통해 상세히 설명하고자 한다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.While the present invention has been described in connection with certain exemplary embodiments, it is to be understood that the invention is not limited to the disclosed embodiments, but, on the contrary, is intended to cover various modifications and similarities. It should be understood, however, that the invention is not intended to be limited to the particular embodiments, but includes all modifications, equivalents, and alternatives falling within the spirit and scope of the invention.

본 발명을 설명함에 있어서, 관련된 공지 기술에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우 그 상세한 설명을 생략한다. 또한, 본 명세서의 설명 과정에서 이용되는 숫자(예를 들어, 제1, 제2 등)는 하나의 구성요소를 다른 구성요소와 구분하기 위한 식별기호에 불과하다.DETAILED DESCRIPTION OF THE PREFERRED EMBODIMENTS In the following description of the present invention, detailed description of known related arts will be omitted when it is determined that the gist of the present invention may be unnecessarily obscured. In addition, numerals (e.g., first, second, etc.) used in the description of the present invention are merely an identifier for distinguishing one component from another.

또한, 본 명세서에서, 일 구성요소가 다른 구성요소와 "연결된다" 거나 "접속된다" 등으로 언급된 때에는, 상기 일 구성요소가 상기 다른 구성요소와 직접 연결되거나 또는 직접 접속될 수도 있지만, 특별히 반대되는 기재가 존재하지 않는 이상, 중간에 또 다른 구성요소를 매개하여 연결되거나 또는 접속될 수도 있다고 이해되어야 할 것이다.Also, in this specification, when an element is referred to as being "connected" or "connected" with another element, the element may be directly connected or directly connected to the other element, It should be understood that, unless an opposite description is present, it may be connected or connected via another element in the middle.

이하, 본 발명의 실시예를 첨부한 도면들을 참조하여 상세히 설명하기로 한다. 본 발명을 설명함에 있어 전체적인 이해를 용이하게 하기 위하여 도면 번호에 상관없이 동일한 수단에 대해서는 동일한 참조 번호를 사용하기로 한다.
Hereinafter, embodiments of the present invention will be described in detail with reference to the accompanying drawings. In order to facilitate a thorough understanding of the present invention, the same reference numerals are used for the same means regardless of the number of the drawings.

도 1은 본 발명의 일 실시예에 따른 사이버 침해 조사 장치를 예시한 블록도이다.1 is a block diagram illustrating a cyber-infringement investigation apparatus according to an embodiment of the present invention.

도 1을 참조하면, 본 발명의 일 실시예에 따른 사이버 침해 조사 장치는 통신 인터페이스(110), 프로세서(120), 메모리(130), 스토리지(140), 디스플레이(150) 및 입력 인터페이스(160)를 포함한다.1, a cyber-infringement investigation apparatus according to an exemplary embodiment of the present invention includes a communication interface 110, a processor 120, a memory 130, a storage 140, a display 150, and an input interface 160, .

통신 인터페이스(110)는 미리 지정된 프로토콜에 따라 외부 디바이스 또는 통신망을 통해 조사 대상 데이터, 조사 대상이 되는 도메인의 조사 대상 망 정보 및 조사 단서 정보를 입력으로 받는다. 여기서 조사 대상 데이터는 네트워크 패킷, 보안 장비 로그, 시스템 로그, 악성 파일 정보, 각 패킷의 발신 또는 수신지의 IP 주소(Internet Protocol address) 및 URL(Uniform Resource Locator) 정보 등 사고 조사를 위해 수집 가능한 모든 데이터를 의미한다. 조사 대상 망 정보는 조사 기관 내부 망 구조 및 현황을 파악할 수 있는 정보로써 네트워크 토폴로지, 시스템 이름, 각 시스템의 IP 주소, 시스템 간의 물리적 연결성을 파악할 수 있는 정보를 의미한다. 조사 단서 정보는 조사관이 조사를 시작하기 위해 입력하는 정보로 IP 주소, URI, 악성코드 정보, 시간 정보 등이 될 수 있다.The communication interface 110 receives survey target data, survey target network information of the survey target domain, and survey cue information through an external device or a communication network according to a predetermined protocol. Here, the data to be researched includes all network packet, security device log, system log, malicious file information, IP address (Internet Protocol address) and URL (Uniform Resource Locator) Data. The surveyed network information is information that can grasp the internal network structure and status of the surveying organization, and is information that can identify the network topology, the system name, the IP address of each system, and the physical connectivity between the systems. The investigation clue information may be an IP address, URI, malicious code information, time information, etc., which the investigator inputs to start the investigation.

프로세서(120)는 메모리(130)에 저장된 프로그램에 따라 사이버 침해 조사를 수행하여 피해 범위 및 규모를 산정한다.The processor 120 performs a cyber infringement investigation according to a program stored in the memory 130 to estimate the extent and scale of the damage.

메모리(130)는 사이버 침해 조사를 수행하여 피해 범위 및 규모를 산정하는 프로그램을 로딩하고, 해당 프로그램을 프로세서(120)로 제공한다. 메모리(130)는 랜덤 엑세스 메모리 등의 휘발성 메모리일 수 있다.The memory 130 performs a cyber infringement investigation to load a program for calculating a damage range and a scale, and provides the program to the processor 120. The memory 130 may be a volatile memory such as a random access memory.

스토리지(140)는 프로그램을 저장하고, 메모리(130)는 스토리지(140)에 저장된 프로그램을 로딩할 수 있다. 스토리지(140)는 하드디스크, 플래시(flash) 메모리 등의 비휘발성 저장 매체일 수 있다.The storage 140 may store a program, and the memory 130 may load a program stored in the storage 140. The storage 140 may be a non-volatile storage medium such as a hard disk, flash memory, or the like.

디스플레이(150)는 프로세서(120)에 의해서 산정된 사이버 침해에 따른 피해 범위 및 규모를 표시한다. 또한, 디스플레이(150)는 사용자로부터 사이버 침해 조사에 필요한 입력을 받기 위한 사용자 인터페이스(user interface)를 출력한다.The display 150 displays the extent and scale of the damage due to the cyber infestation estimated by the processor 120. In addition, the display 150 outputs a user interface for receiving input necessary for cyber infringement investigation from the user.

입력 인터페이스(160)는 사용자의 입력을 받는다. 입력 인터페이스(160)는 키보드, 마우스 등의 공지된 방식의 입력 장치일 수 있다.
The input interface 160 receives input from the user. The input interface 160 may be an input device of a known type such as a keyboard, a mouse, and the like.

도 2는 본 발명의 일 실시예에 따른 사이버 침해 조사 장치가 사이버 침해 조사를 수행하는 과정을 예시한 순서도이고, 도 3은 본 발명의 일 실시예에 따른 사이버 침해 조사 장치가 조사 범위를 제시한 화면을 예시한 도면이다. 이하 설명하는 각 과정은 사이버 침해 조사 장치를 구성하는 각 기능부를 통해 수행되는 과정이나 발명의 간결하고 명확한 설명을 위해 각 단계의 주체를 사이버 침해 조사 장치로 통칭하고, 각 기능부 간의 신호 전송 과정 등의 일반적인 과정에 대한 설명은 생략하기로 한다.FIG. 2 is a flowchart illustrating a cyber-infringement investigation apparatus according to an exemplary embodiment of the present invention. FIG. 3 is a flowchart illustrating a cyber-infringement investigation apparatus according to an exemplary embodiment of the present invention. Fig. Each process described below is referred to as a cyber-infringement investigation device for the purpose of briefly and clearly explaining the process or the invention performed through each functional unit constituting the cyber-infringement investigation apparatus, and the signal transmission process between each functional unit A description of a general process of the present invention will be omitted.

도 2를 참조하면, 단계 210에서 사이버 침해 조사 장치는 조사 대상 데이터, 조사 대상 망 정보 및 조사 단서 정보를 입력 받는다.Referring to Fig. 2, in step 210, the cyber-infringement inspection apparatus receives survey target data, survey target network information, and survey cue information.

단계 220에서 사이버 침해 조사 장치는 공격 시나리오 모델링 및 데이터 수집을 수행한다. 예를 들어, 사이버 침해 조사 장치는 조사 대상 데이터를 시드 데이터(seed data)로 설정하고, 시드 데이터에 대해 미리 지정된 공지된 방법에 따라 공격 시나리오를 모델링한다. 사이버 침해 조사 장치는 특정 IP 주소나 URL이 포함된 세션 데이터, 트랜잭션 데이터, 패킷 데이터를 수집, 특정 시간 내의 송수신 또는 발생한 모든 데이터를 수집 및 특정 악성코드를 포함하는 파일들을 수집하는 등 조사 대상 정보 및 조사 대상 망 정보 중에서 조사 단서 정보와 관계가 있을 것으로 여겨지는 데이터를 미리 지정된 기준에 따라 선별해서 수집한다. 이 때, 사이버 침해 조사 장치는 복수의 공격 시나리오 각각에 상응하는 데이터 선별 기준을 미리 저장할 수 있고, 모델링된 공격 시나리오에 상응하는 데이터 선별 기준에 따라 조사 대상 정보 및 조사 대상 망 정보 중 일부를 선별할 수 있다.In operation 220, the cyber infringement survey apparatus performs attack scenario modeling and data collection. For example, the cyber infringement investigation apparatus sets the data to be searched as seed data, and models the attack scenario according to a known method predetermined for the seed data. The cyber-infringement investigation apparatus collects session data, transaction data, and packet data containing a specific IP address or URL, collects all data generated or transmitted within a specific time, collects files containing specific malicious code, Data that are considered to be related to the research clue information among the network information to be surveyed are selected and collected according to predetermined criteria. At this time, the cyber infringement investigation apparatus can previously store data selection criteria corresponding to each of the plurality of attack scenarios, and selects a part of the investigation subject information and the subject network information according to a data selection criterion corresponding to the modeled attack scenario .

단계 230에서 사이버 침해 조사 장치는 노드 별 위험 노출 지표 산출한다. 예를 들어, 사이버 침해 조사 장치는 수집된 데이터 및 입력 정보를 이용해 노드 간의 인접성, 정보(악성정보 및 행위 등에 따른 정보)의 흐름 파악을 통한 구조 분석에 따른 노드의 중요도(예를 들어, 각 노드에 대한 역할, 타 노드에 의해 접속되는 횟수, 미리 지정된 주요 서버에 연결되는 여부 등의 미리 지정된 기준에 따라 중요도가 설정될 수 있음), 단서 발견 여부, 단서의 위험도(미리 설정된 분류 기준에 따라 조사 단서 정보를 분류하고, 분류에 따라 각 조사 단서 정보의 위험도가 설정될 수 있음) 등을 통한 노드 분석 결과를 반영하여 노드 별 위험 노출 지표를 하기의 수학식 1과 같이 계산한다. 이 때, 노드는 단일 시스템 또는 각 시스템을 구성하는 장치를 지칭한다.In step 230, the cyber infringement survey apparatus calculates a risk exposure index for each node. For example, the cyber-infringement investigation apparatus can detect the importance of a node according to the structure analysis through the gathering of data and input information, the proximity among nodes, the flow of information (information based on malicious information and behavior) , The number of times of connection by other nodes, whether or not it is connected to a predetermined main server, etc.), whether or not the clue is found, the risk of the clue The risk information of each research cue information may be set according to the classification, and the node analysis result is calculated as shown in Equation (1) below. At this time, the node refers to a single system or a device constituting each system.

[수학식 1][Equation 1]

Figure pat00001
Figure pat00001

Where,

Figure pat00002

Where,
Figure pat00002

여기서 A는 위험 노출 지표 계산에 반영되는 속성들의 집합이고, W는 A의 각 요소에 대응하는 가중치들의 집합이다. 위험 노출 지표 계산에 반영되는 속성은 노드 간의 인접성, 정보(악성정보 및 행위 등에 따른 정보)의 흐름 파악을 통한 구조 분석에 따른 노드의 중요성, 사건 단서 발견 여부, 단서의 위험도 등을 미리 설정된 기준에 따라 산정한 수치일 수 있다.Where A is the set of attributes that are reflected in the risk-exposition calculation, and W is the set of weights corresponding to each element of A. The attributes that are reflected in the risk index calculation include the importance of nodes due to structure analysis through analysis of the adjacency between nodes and information (information based on malicious information and behavior), the occurrence of event clues, and the risk of clues It can be a numerical value calculated according to.

단계 240에서 사이버 침해 조사 장치는 노드별 위험 노출 지표에 따른 노드별 피해 레벨을 결정한다. 예를 들어, 사이버 침해 조사 장치는 각 피해 레벨에 상응하여 미리 지정된 임계치(Threshold)에 대해 위험 노출 지표가 초과되는 여부에 따라 노드별 피해 레벨을 결정할 수 있다. In step 240, the cyber infringement investigation apparatus determines the damage level for each node according to the risk exposure index for each node. For example, the cyber-infringement investigation apparatus can determine a damage level for each node according to whether the risk exposure index is exceeded for a predetermined threshold corresponding to each damage level.

단계 250에서 사이버 침해 조사 장치는 피해 레벨에 따라 각 노드를 하나 이상의 그룹으로 설정하고, 각 그룹에 상응하는 조사 범위를 사용자에게 제안한다. 이 때, 조사 범위는 각 피해 레벨 별로 미리 지정될 수 있고, 사이버 침해 조사 장치는 각 피해 레벨에 상응하는 조사 범위를 표시할 수 있다. 또한, 사이버 침해 조사 장치는 각 조사 범위 내에서 위험 노출 지표가 높은 순으로 각 노드의 조사 우선 순위를 표시할 수 있다. 이 때, 조사 우선 순위는 조사가 진행되는 순서를 의미한다. 도 3을 참조하면, 사이버 침해 조사 장치는 피해 대상이 포함된 전체 시스템의 노드들이 연결선으로 연결되도록 도식화하고, 각 조사 범위를 해당 조사 범위에 해당하는 노드를 포함하도록 하는 단일폐곡선으로 표시할 수 있다. 즉, 사이버 침해 조사 장치는 310과 같이 4개의 노드를 포함하는 단일 폐곡선을 제1 피해 레벨에 따른 조사 범위로써 표시하고, 11개의 노드를 포함하는 단일 폐곡선을 제2 피해 레벨에 따른 조사 범위로써 표시할 수 있다. 사이버 침해 조사 장치는 각 노드간의 연결선을 통해 시스템 간의 인접성 및 시스템간 정보의 흐름(데이터가 송수신되는 경로)을 표현할 수 있다. 또한, 사이버 침해 조사 장치는 위험 노출 레벨에 따라 그라데이션으로 표시하는 등의 각 노드의 색상을 달리 표시하거나 각 노드의 크기를 달리 표시하여 각 노드에 대한 위험 노출 정도를 표시할 수 있다.In step 250, the cyber infringement investigation apparatus sets each node to one or more groups according to the damage level, and proposes a survey range corresponding to each group to the user. At this time, the survey range can be designated in advance for each damage level, and the cyber-infringement investigation apparatus can display the survey range corresponding to each damage level. In addition, the cyber infringement investigation apparatus can display the irradiation priority of each node in descending order of the risk exposure index within each investigation range. In this case, the irradiation priority means the order in which the irradiation is proceeded. Referring to FIG. 3, the cyber-infringement inspection apparatus may be configured to display the nodes of the entire system including the object to be connected through a connection line, and to display each of the inspection ranges as a single closed curve including a node corresponding to the inspection range . That is, in the cyber infringement investigation apparatus, a single closed curve including four nodes such as 310 is displayed as an irradiation range according to the first damage level, and a single closed curve including 11 nodes is displayed as an irradiation range according to the second damage level can do. The cyber infringement investigation apparatus can express the adjacency between the systems and the flow of information (the path through which data is transmitted and received) through the connection lines between the nodes. In addition, the cyber infringement investigation apparatus can display the degree of risk exposure for each node by displaying the color of each node differently, such as displaying in gradation according to the risk exposure level, or displaying the size of each node differently.

또한, 사이버 침해 조사 장치는 노드를 조사 범위에 임의로 추가하거나 제거하고, 노드 간의 연결선을 편집하여 노드 간 연결 관계를 변경하고, 새로운 피해 레벨을 생성하거나 일 피해 레벨에 포함된 노드를 타 피해 레벨로 이동시키는 등의 편집을 수행할 수 있는 사용자 인터페이스를 표시하고, 해당 사용자 인터페이스에 대한 사용자의 입력에 따라 조사 범위를 수정할 수 있다. In addition, the cyber-infringement investigation apparatus arbitrarily adds or removes a node to an investigation range, edits a connection line between nodes to change a connection relationship between nodes, creates a new damage level, A user interface for performing editing such as moving the user interface, and can modify the survey range according to the user's input to the user interface.

단계 260에서 사이버 침해 조사 장치는 타임라인 분석, 내용 분석, 연관 분석 등 공지된 조사 기능을 이용하여 침해 사고와 연관이 있는 데이터 검색 및 분석을 통한 추가 정보를 획득한다. 이 때, 사이버 침해 조사 장치는 추가 정보를 표시한다.In step 260, the cyber-infringement investigator obtains additional information through data retrieval and analysis associated with the infringement incident using known investigative functions such as timeline analysis, content analysis, and association analysis. At this time, the cyber infringement survey apparatus displays additional information.

단계 270에서 사이버 침해 조사 장치는 사용자로부터 사이버 침해 조사를 종료할지 여부를 선택하는 조사 완료 선택 입력을 받는다. 이 때, 사용자는 추가 정보 확인하여 조사를 완료하거나 조사를 계속 진행하는 것을 명령하는 조사 완료 선택 입력을 할 수 있다.In step 270, the cyber-infringement examination apparatus receives a survey completion selection input for selecting whether to end the cyber-infringement investigation from the user. At this time, the user can make an inquiry completion selection input to confirm the additional information and to complete the investigation or continue the investigation.

단계 270에서 조사 완료 선택 입력이 조사 완료를 명령하는 입력인 경우, 단계 280에서 사이버 침해 조사 장치는 현 조사 범위를 피해 범위를 확정하고, 피해 범위에 해당하는 각 노드의 정보를 포함하는 보고 자료를 생성한다.If it is determined in step 270 that the survey completion selection input is an input instructing the completion of the investigation, the cyber infringement investigation apparatus determines the damage range in the current investigation range in step 280, and transmits the report including the information of each node corresponding to the damage range .

단계 270에서 조사 완료 선택 입력이 조사의 계속 진행을 명령하는 입력인 경우, 단계 290에서 사이버 침해 조사 장치는 사용자로부터 사이버 침해에 해당하지 않는 데이터를 시드 데이터로부터 제외하여 오류를 수정하는 입력, 가중치 또는 피해레벨을 변경하는 입력 및 새로운 시드 데이터를 설정하는 입력을 받을 수 있다. 이후, 사이버 침해 조사 장치는 단계 220부터의 과정을 다시 수행한다.
If the inquiry completion selection input is an input instructing the continuation of the investigation in step 270, in step 290, the cyber infringement examination apparatus excludes data not corresponding to cyber infringement from the user from the seed data, and inputs, An input for changing the damage level and an input for setting new seed data. Thereafter, the cyber-infringement investigation apparatus repeats the procedure from step 220.

상기에서는 본 발명의 바람직한 실시예를 참조하여 설명하였지만, 해당 기술 분야에서 통상의 지식을 가진 자라면 하기의 특허 청구의 범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.It will be apparent to those skilled in the art that various modifications and variations can be made in the present invention without departing from the spirit or scope of the invention as defined in the appended claims. It will be understood that the invention may be varied and varied without departing from the scope of the invention.

Claims (12)

조사 대상 데이터, 조사 대상 망 정보 및 조사 단서 정보를 입력 받는 통신 인터페이스;
미리 지정된 프로그램을 저장하는 메모리; 및
상기 프로그램에 따라 사이버 침해 조사를 수행하는 프로세서;
를 포함하되,
상기 프로그램은,
상기 조사 대상 데이터 및 상기 조사 대상 망 정보 중 상기 조사 단서 정보와 관련된 데이터를 미리 지정된 기준에 따라 선별하여 수집하고,
상기 데이터에 따라 속성에 따라 위험 노출 지표를 산출하고,
미리 지정된 임계치에 대해 상기 위험 노출 지표가 초과되는 여부에 따라 노드별 피해 레벨을 결정하고,
상기 피해 레벨에 따라 각 노드를 하나 이상의 그룹으로 설정하고, 각 그룹에 상응하는 조사 범위를 표시하고,
상기 조사 범위에 해당하는 노드에 대해 추가 정보를 획득하고,
상기 조사 범위를 피해 범위로 설정하고, 상기 피해 범위에 해당하는 노드에 대한 보고 자료를 생성하도록 구성되는 것을 특징으로 하는 사이버 침해 조사 장치.
A communication interface for receiving survey target data, survey target network information and survey cue information;
A memory for storing a predetermined program; And
A processor for performing a cyber infringement investigation according to the program;
, ≪ / RTI &
The program includes:
Data related to the survey cue information among the survey subject data and the survey subject network information is selected and collected according to a predetermined criterion,
The risk exposure index is calculated according to the attribute according to the data,
Determining a damage level for each node according to whether the risk exposure index is exceeded for a predetermined threshold,
Setting each node as one or more groups according to the damage level, displaying an irradiation range corresponding to each group,
Acquiring additional information for nodes corresponding to the survey range,
Wherein the search range is set to a damage range and report data for nodes corresponding to the damage range are generated.
제1 항에 있어서,
상기 프로그램은,
각 상기 노드를 조사 범위에 임의로 추가하거나 제거하고, 노드 간의 연결 관계를 변경하는 사용자 인터페이스를 표시하고,
상기 사용자 인터페이스를 통한 사용자 입력에 따라 상기 조사 범위를 변경하도록 구성되는 것을 특징으로 하는 사이버 침해 조사 장치.
The method according to claim 1,
The program includes:
Each of the nodes is arbitrarily added to or removed from an investigation range, a user interface for changing a connection relationship between nodes is displayed,
And change the survey range according to user input through the user interface.
제2 항에 있어서,
상기 사용자 인터페이스는 새로운 피해 레벨을 생성하거나 일 피해 레벨에 포함된 노드를 타 피해 레벨로 이동시키는 사용자 인터페이스인 것을 특징으로 하는 사이버 침해 조사 장치.
3. The method of claim 2,
Wherein the user interface is a user interface for generating a new damage level or moving a node included in a damage level to another damage level.
제1 항에 있어서,
상기 프로그램은,
상기 노드 간 데이터가 송수신되는 경로에 따라 상기 노드 간을 연결선으로 연결하고,
상기 조사 범위에 해당하는 노드를 포함하도록 하는 단일폐곡선을 표시하도록 구성되는 것을 특징으로 하는 사이버 침해 조사 장치.
The method according to claim 1,
The program includes:
Connecting the nodes through a connection line according to a path through which the inter-node data is transmitted and received,
Wherein the cyber infringement survey apparatus is configured to display a single closed curve that includes nodes corresponding to the survey range.
제1 항에 있어서,
상기 프로그램은,
상기 속성과 각 속성에 대해 미리 설정된 가중치의 곱을 모드 합하여 상기 위험 노출 지표를 산출하도록 구성되는 것을 특징으로 하는 사이버 침해 조사 장치.
The method according to claim 1,
The program includes:
And calculates the risk exposure index by summing the product of the attribute and a predetermined weight for each attribute.
제5 항에 있어서,
상기 프로그램은,
상기 추가 정보를 획득한 이후 사용자로부터 조사의 계속 진행을 명령하는 입력을 받는 경우, 사용자 입력에 따라 사이버 침해에 해당하지 않는 데이터를 시드 데이터로부터 제외, 가중치 또는 피해레벨을 변경 및 새로운 시드 데이터를 설정 중 하나 이상을 수행하고, 상기 위험 노출 지표를 재산출하여 상기 조사 범위를 재설정하는 것을 특징으로 하는 사이버 침해 조사 장치.
6. The method of claim 5,
The program includes:
If the user inputs an instruction to continue the investigation after obtaining the additional information, data not corresponding to the cyber infringement is excluded from the seed data, the weight or the damage level is changed, and the new seed data is set , And re-calculating the risk exposure index to reset the survey range.
사이버 침해 조사 장치가 사이버 침해를 조사하는 방법에 있어서,
조사 대상 데이터, 조사 대상 망 정보 및 조사 단서 정보를 입력 받는 단계;
상기 조사 대상 데이터 및 상기 조사 대상 망 정보 중 상기 조사 단서 정보와 관련된 데이터를 미리 지정된 기준에 따라 선별하여 수집하는 단계;
상기 데이터에 따라 속성에 따라 위험 노출 지표를 산출하는 단계;
미리 지정된 임계치(Threshold)에 대해 상기 위험 노출 지표가 초과되는 여부에 따라 노드별 피해 레벨을 결정하는 단계;
상기 피해 레벨에 따라 각 노드를 하나 이상의 그룹으로 설정하고, 각 그룹에 상응하는 조사 범위를 표시하는 단계;
상기 조사 범위에 해당하는 노드에 대해 추가 정보를 획득하는 단계;
상기 조사 범위를 피해 범위로 설정하고, 상기 피해 범위에 해당하는 노드에 대한 보고 자료를 생성하는 단계;
를 포함하는 사이버 침해 조사 방법.
A method for a cyber infringement survey apparatus for examining a cyber infestation,
Receiving survey data, survey target network information, and survey cue information;
Collecting data related to the survey cue information among the survey subject data and the survey subject network information according to predetermined criteria;
Calculating a risk exposure index according to the attribute according to the data;
Determining a damage level for each node according to whether the risk exposure index is exceeded for a predetermined threshold value;
Setting each node as one or more groups according to the damage level, and displaying an irradiation range corresponding to each group;
Obtaining additional information for a node corresponding to the survey range;
Setting the survey range as a damage range and generating report data for nodes corresponding to the damage range;
And a cyber infringement investigation method.
제7 항에 있어서,
각 상기 노드를 조사 범위에 임의로 추가하거나 제거하고, 노드 간의 연결 관계를 변경하는 사용자 인터페이스를 표시하는 단계; 및
상기 사용자 인터페이스를 통한 사용자 입력에 따라 상기 조사 범위를 변경하는 단계
를 더 포함하는 사이버 침해 조사 방법.
8. The method of claim 7,
Displaying a user interface for arbitrarily adding or removing each of the nodes to the survey range and changing a connection relationship between the nodes; And
Changing the survey range according to user input through the user interface
The cyber infringement investigation method further comprising:
제8 항에 있어서,
상기 사용자 인터페이스는 새로운 피해 레벨을 생성하거나 일 피해 레벨에 포함된 노드를 타 피해 레벨로 이동시키는 사용자 인터페이스인 것을 특징으로 하는 사이버 침해 조사 방법.
9. The method of claim 8,
Wherein the user interface is a user interface for creating a new damage level or moving a node included in a damage level to another damage level.
제7 항에 있어서,
상기 피해 레벨에 따라 각 노드를 하나 이상의 그룹으로 설정하고, 각 그룹에 상응하는 조사 범위를 표시하는 단계는,
상기 노드 간 데이터가 송수신되는 경로에 따라 상기 노드 간을 연결선으로 연결하고, 상기 조사 범위에 해당하는 노드를 포함하도록 하는 단일폐곡선을 표시하는 단계인 것을 특징으로 하는 사이버 침해 조사 방법.
8. The method of claim 7,
Setting each node to one or more groups according to the damage level, and displaying an irradiation range corresponding to each group,
And connecting the nodes to each other through a connection line according to a route through which the inter-node data is transmitted and received, and displaying a single closed curve including the node corresponding to the survey range.
제7 항에 있어서,
상기 데이터에 따라 속성에 따라 위험 노출 지표를 산출하는 단계는,
상기 속성과 각 속성에 대해 미리 설정된 가중치의 곱을 모드 합하여 상기 위험 노출 지표를 산출하는 단계인 것을 특징으로 하는 사이버 침해 조사 방법.
8. The method of claim 7,
The step of calculating the risk exposure index according to the attribute according to the data includes:
And calculating the risk exposure index by summing the product of the attribute and a predetermined weight for each attribute.
제11 항에 있어서,
상기 추가 정보를 획득한 이후 사용자로부터 조사의 계속 진행을 명령하는 입력을 받는 경우, 사용자 입력에 따라 사이버 침해에 해당하지 않는 데이터를 시드 데이터로부터 제외, 가중치 또는 피해레벨을 변경 및 새로운 시드 데이터를 설정 중 하나 이상을 수행하고, 상기 위험 노출 지표를 재산출하여 상기 조사 범위를 재설정하는 단계
를 더 포함하는 것을 특징으로 하는 사이버 침해 조사 방법.12. The method of claim 11,
If the user inputs an instruction to continue the investigation after obtaining the additional information, data not corresponding to the cyber infringement is excluded from the seed data, the weight or the damage level is changed, and the new seed data is set , And re-calculating the risk exposure index to reset the survey range
Further comprising the step of:
KR1020150009473A 2015-01-20 2015-01-20 Apparatus and method for investigating cyber incidents Expired - Fee Related KR102061833B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020150009473A KR102061833B1 (en) 2015-01-20 2015-01-20 Apparatus and method for investigating cyber incidents

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020150009473A KR102061833B1 (en) 2015-01-20 2015-01-20 Apparatus and method for investigating cyber incidents

Publications (2)

Publication Number Publication Date
KR20160089800A true KR20160089800A (en) 2016-07-28
KR102061833B1 KR102061833B1 (en) 2020-01-02

Family

ID=56681714

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020150009473A Expired - Fee Related KR102061833B1 (en) 2015-01-20 2015-01-20 Apparatus and method for investigating cyber incidents

Country Status (1)

Country Link
KR (1) KR102061833B1 (en)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101886147B1 (en) * 2017-11-24 2018-08-08 한국인터넷진흥원 Method for analysing cyber threat intellegence data and apparauts thereof
KR20180099238A (en) 2017-02-28 2018-09-05 한국인터넷진흥원 Method for predicting cyber incident and Apparatus thereof
KR20180099355A (en) 2017-02-28 2018-09-05 한국인터넷진흥원 Method for calculating similarity between incident resources
US10523697B2 (en) 2017-01-04 2019-12-31 Electronics And Telecommunications Research Institute Method and apparatus for detecting cyberthreats through correlation analysis
US11005869B2 (en) 2017-11-24 2021-05-11 Korea Internet & Security Agency Method for analyzing cyber threat intelligence data and apparatus thereof
US11729195B1 (en) 2022-09-15 2023-08-15 Cyviation Ltd Computerized-system and computerized-method for detecting cyber-attacks on avionic communications of an airborne computerized-device
KR102592868B1 (en) * 2022-06-07 2023-10-20 주식회사 카카오페이 Methods and electronic devices for analyzing cybersecurity threats to organizations

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070094491A1 (en) * 2005-08-03 2007-04-26 Teo Lawrence C S Systems and methods for dynamically learning network environments to achieve adaptive security
KR100980117B1 (en) * 2010-06-25 2010-09-07 (주)뉴데이소프트 Analyzing method for leakage threat of internal information
KR101384618B1 (en) * 2013-10-30 2014-04-11 주식회사 이글루시큐리티 A system for analyzing dangerous situation using node analysis

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10523697B2 (en) 2017-01-04 2019-12-31 Electronics And Telecommunications Research Institute Method and apparatus for detecting cyberthreats through correlation analysis
KR20180099238A (en) 2017-02-28 2018-09-05 한국인터넷진흥원 Method for predicting cyber incident and Apparatus thereof
KR20180099355A (en) 2017-02-28 2018-09-05 한국인터넷진흥원 Method for calculating similarity between incident resources
KR101886147B1 (en) * 2017-11-24 2018-08-08 한국인터넷진흥원 Method for analysing cyber threat intellegence data and apparauts thereof
US11005869B2 (en) 2017-11-24 2021-05-11 Korea Internet & Security Agency Method for analyzing cyber threat intelligence data and apparatus thereof
KR102592868B1 (en) * 2022-06-07 2023-10-20 주식회사 카카오페이 Methods and electronic devices for analyzing cybersecurity threats to organizations
US11729195B1 (en) 2022-09-15 2023-08-15 Cyviation Ltd Computerized-system and computerized-method for detecting cyber-attacks on avionic communications of an airborne computerized-device

Also Published As

Publication number Publication date
KR102061833B1 (en) 2020-01-02

Similar Documents

Publication Publication Date Title
KR20160089800A (en) Apparatus and method for investigating cyber incidents
CN105554007B (en) A kind of web method for detecting abnormality and device
CN107465651B (en) Network attack detection method and device
Dumitraş et al. Toward a standard benchmark for computer security research: The Worldwide Intelligence Network Environment (WINE)
JP6201614B2 (en) Log analysis apparatus, method and program
EP3913888A1 (en) Detection method for malicious domain name in domain name system and detection device
CN106534146A (en) Safety monitoring system and method
CN110365698A (en) Methods of risk assessment and device
CN111949803A (en) Method, device and equipment for detecting network abnormal user based on knowledge graph
CN105868256A (en) Method and system for processing user behavior data
US9866454B2 (en) Generating anonymous data from web data
CN106453320B (en) Method and device for identifying malicious samples
CN105659245A (en) Context-aware network forensics
GB2498762A (en) Computing user traffic at the website based on user actions
US20200342095A1 (en) Rule generaton apparatus and computer readable medium
CN105404631B (en) Picture identification method and device
JP2014502753A (en) Web page information detection method and system
CN107508816A (en) A kind of attack traffic means of defence and device
CN109104421B (en) Website content tampering detection method, device, equipment and readable storage medium
CN106776615A (en) Heating power drawing generating method and device
US20230246903A1 (en) Detecting a Network-Induced Contribution to a Quality of Experience Degradation
CN116155519A (en) Threat warning information processing method, device, computer equipment and storage medium
Suchacka Analysis of aggregated bot and human traffic on e-commerce site
Maghrabi et al. Improved software vulnerability patching techniques using CVSS and game theory
CN105430001A (en) APT attack detection method, terminal equipment, server and system

Legal Events

Date Code Title Description
PA0109 Patent application

St.27 status event code: A-0-1-A10-A12-nap-PA0109

PN2301 Change of applicant

St.27 status event code: A-3-3-R10-R13-asn-PN2301

St.27 status event code: A-3-3-R10-R11-asn-PN2301

PG1501 Laying open of application

St.27 status event code: A-1-1-Q10-Q12-nap-PG1501

R17-X000 Change to representative recorded

St.27 status event code: A-3-3-R10-R17-oth-X000

P11-X000 Amendment of application requested

St.27 status event code: A-2-2-P10-P11-nap-X000

P13-X000 Application amended

St.27 status event code: A-2-2-P10-P13-nap-X000

P22-X000 Classification modified

St.27 status event code: A-2-2-P10-P22-nap-X000

A201 Request for examination
PA0201 Request for examination

St.27 status event code: A-1-2-D10-D11-exm-PA0201

D13-X000 Search requested

St.27 status event code: A-1-2-D10-D13-srh-X000

D14-X000 Search report completed

St.27 status event code: A-1-2-D10-D14-srh-X000

E902 Notification of reason for refusal
PE0902 Notice of grounds for rejection

St.27 status event code: A-1-2-D10-D21-exm-PE0902

E13-X000 Pre-grant limitation requested

St.27 status event code: A-2-3-E10-E13-lim-X000

P11-X000 Amendment of application requested

St.27 status event code: A-2-2-P10-P11-nap-X000

P13-X000 Application amended

St.27 status event code: A-2-2-P10-P13-nap-X000

E701 Decision to grant or registration of patent right
PE0701 Decision of registration

St.27 status event code: A-1-2-D10-D22-exm-PE0701

GRNT Written decision to grant
PR0701 Registration of establishment

St.27 status event code: A-2-4-F10-F11-exm-PR0701

PR1002 Payment of registration fee

St.27 status event code: A-2-2-U10-U11-oth-PR1002

Fee payment year number: 1

PG1601 Publication of registration

St.27 status event code: A-4-4-Q10-Q13-nap-PG1601

PR1001 Payment of annual fee

St.27 status event code: A-4-4-U10-U11-oth-PR1001

Fee payment year number: 4

PR1001 Payment of annual fee

St.27 status event code: A-4-4-U10-U11-oth-PR1001

Fee payment year number: 5

PC1903 Unpaid annual fee

St.27 status event code: A-4-4-U10-U13-oth-PC1903

Not in force date: 20241227

Payment event data comment text: Termination Category : DEFAULT_OF_REGISTRATION_FEE

H13 Ip right lapsed

Free format text: ST27 STATUS EVENT CODE: N-4-6-H10-H13-OTH-PC1903 (AS PROVIDED BY THE NATIONAL OFFICE); TERMINATION CATEGORY : DEFAULT_OF_REGISTRATION_FEE

Effective date: 20241227

PC1903 Unpaid annual fee

St.27 status event code: N-4-6-H10-H13-oth-PC1903

Ip right cessation event data comment text: Termination Category : DEFAULT_OF_REGISTRATION_FEE

Not in force date: 20241227