1 |
1
침해 사고 분석에 필요한 침해 사고 정보를 침해 사고 관리 시스템을 통해 통합적으로 수집하기 위한 방법으로서,상기 침해 사고 관리 시스템의 침해 사고 수집기가 제1 정보 공유 채널을 통해 침해 사고를 발생시키는 적어도 하나의 침해 악용 자원을 수집하는 단계;상기 침해 사고 관리 시스템의 침해 사고 조회기가 제2 정보 공유 채널에 접속하여 상기 수집된 적어도 하나의 침해 악용 자원마다 상기 침해 사고간 유사성을 갖는 침해 연관 정보를 조회하는 단계; 및상기 침해 사고 조회기가 상기 조회된 침해 연관 정보를 상기 제2 정보 공유 채널로부터 수집하는 단계를 포함하되,상기 적어도 하나의 침해 악용 자원은, 상기 침해 사고에 악용된 도메인(Domain) 정보, IP 정보, Hash 정보 및 E-mail 정보를 포함하되,상기 제1 정보 공유 채널이 사이버 블랙박스인 경우, 상기 적어도 하나의 침해 악용 자원은, 상기 침해 사고 수집기가 사이버 블랙박스의 분석요청 디렉토리를 주기적으로 폴링하여 수집한 상기 침해 사고에 악용된 IP 정보 및 해쉬 파일 정보를 포함하되,상기 제1 정보 공유 채널이 C-share인 경우, 상기 적어도 하나의 침해 악용 자원은, 상기 침해 사고 수집기가 Export API를 실행하여 실시간으로 수집한 상기 침해 사고에 악용된 악성코드 유포지/경유지, CnC IP, 공격 IP 및 악성코드 정보를 포함하되,상기 제1 정보 공유 채널이 악성코드 공유 채널인 경우, 상기 적어도 하나의 침해 악용 자원은, 상기 침해 사고 수집기가 주기적으로 공유 웹사이트에 접근하여 신규정보 업데이트 시, 웹페이지를 크롤링하여 수집한 신규 및 변종악성코드 정보 및 해쉬 파일 정보를 포함하는, 침해 사고 정보의 수집 방법
|
2 |
2
삭제
|
3 |
3
삭제
|
4 |
4
삭제
|
5 |
5
제1항에 있어서,상기 제1 정보 공유 채널이 DNSBL의 Blacklist 채널인 경우, 상기 적어도 하나의 침해 악용 자원은, 상기 침해 사고에 악용된 블랙리스트 IP 정보, RBL 파일 정보 및 블랙리스트 도메인 정보를 포함하는, 침해 사고 정보의 수집 방법
|
6 |
6
삭제
|
7 |
7
제1항에 있어서,상기 제2 정보 공유 채널이 DNS/PTR record인 경우, 상기 침해 연관 정보는, 도메인 활성화를 위한 DNS 레코드 정보와 IP 활성화를 위한 PTR 레코드 정보를 포함하는, 침해 사고 정보의 수집 방법
|
8 |
8
제1항에 있어서,상기 제2 정보 공유 채널이 Whois인 경우, 상기 침해 연관 정보는, 상기 도메인의 소유주를 확인하기 위한 국내외 Whois 정보를 포함하는, 침해 사고 정보의 수집 방법
|
9 |
9
제1항에 있어서,상기 제2 정보 공유 채널이 IP2Location인 경우, 상기 침해 연관 정보는, 상기 IP의 국가코드(CC), 지리 정보(위/경도) 및 ISP 정보를 포함하는, 침해 사고 정보의 수집 방법
|
10 |
10
제1항에 있어서,상기 제2 정보 공유 채널이 Google 침해사고이력, SLD(Second Level Domain), 파일 분석 시스템, 악성코드 유사도 분석시스템, SPEED 및 TLD(Top Level Domain) 중 적어도 하나인 경우, 상기 침해 연관 정보는, 악성코드 유포이력, 백신진단명, SLD 기준 유사 도메인, API 호출 정보, 정적/동적분석 결과 정보, 악성코드 유사도 정보, 백신 점검 정보 및 TLD 기준 유사 도메인 정보를 포함하는, 침해 사고 정보의 수집 방법
|
11 |
11
청구항 제1항 및 제5항 및 제7항 내지 제10항 중 어느 한 항에 따른 침해 사고 정보의 수집 방법을 실행하는 프로그램이 기록된 컴퓨터 판독 가능한 저장 매체
|