| 1 |
1
기업 및 기관 네트워크에 설치된 침해 사고 관리 시스템을 통해 수집된 침해 사고 분석에 필요한 침해 사고 정보를 체계적으로 관리하기 위한 방법으로서,적어도 하나의 침해 공유 채널에 주기적으로 자동 접속하여 상기 침해 공유 채널로부터 침해 악용 자원과 상기 침해 악용 자원마다 연관된 부속의 침해 연관 정보를 수집하고, 상기 수집된 침해 연관 정보를 재귀적으로 다시 분류한 침해 정보를 생성하는 단계;상기 수집된 침해 악용 자원과 침해 연관 정보 및 상기 침해 정보를 데이터베이스에 저장하는 단계; 및상기 침해 악용 자원, 상기 침해 연관 정보 및 상기 침해 정보를 수집 또는 조회시 상기 침해 악용 자원, 상기 침해 연관 정보 및 상기 침해 정보간 유기적인 연관 관계를 고려하여 적어도 하나의 인덱스(ID)를 부여하여 상기 데이터베이스에 저장하는 단계를 포함하되,상기 침해 악용 자원은 침해 공격에 악용된 도메인(Domain) 정보, IP 정보, Hash 정보 및 E-mail 정보 중 어느 하나 이상을 포함하되,상기 적어도 하나의 인덱스를 부여하여 상기 데이터베이스에 저장하는 단계는,상기 침해 악용 자원을 타입별로 수집시 상기 타입마다 제1 인덱스를 부여하는 단계;상기 제1 인덱스를 부여받은 상기 침해 악용 자원의 타입별 매칭된 침해 연관 정보를 조회시 조회 작업 단위로서 제2 인덱스를 부여하는 단계;상기 데이터베이스에 저장된 침해 연관 정보를 조회하거나 새로이 수집시, 상기 침해 연관 정보에 대한 수집 대상이 존재하는지를 상기 데이터베이스에서 확인하는 단계;상기 수집 대상이 존재하면, 해당하는 상기 침해 악용 자원을 상기 데이터베이스로부터 추출하는 단계;상기 추출된 침해 악용 자원에 대하여 설정 시간 이내 상기 제1 인덱스가 부여되어 있는지를 판단하는 단계;상기 판단의 결과, 상기 제1 인덱스가 부여되어 있으면, 상기 추출된 침해 악용 자원에 대해 기존 제1 인덱스를 부여하고, 상기 제1 인덱스가 부여되어 있지 않으면, 상기 추출된 침해 악용 자원에 대해 신규 제1 인덱스를 부여하는 단계;상기 기존 제1 인덱스가 부여된 경우, 설정 시간 이내 상기 추출된 침해 악용 자원에 매칭된 침해 연관 정보의 제2 인덱스가 존재하는지를 판단하는 단계; 및상기 판단의 결과, 상기 침해 연관 정보의 제2 인덱스가 존재하면, 상기 추출된 침해 악용 자원에 대한 이력 정보를 생성하고, 상기 침해 연관 정보의 제2 인덱스가 존재하지 않으면, 상기 침해 연관 정보에 대해 새로운 제2 인덱스를 부여하고, 신규 제1 인덱스를 부여한 침해 악용 자원에 대한 이력 정보를 생성하는 단계를 포함하여 이루어지는 것을 특징으로 하는 침해 악용 정보의 관리 방법
|
| 2 |
2
삭제
|
| 3 |
3
제1항에 있어서,상기 적어도 하나의 인덱스를 부여하여 상기 데이터베이스에 저장하는 단계는,상기 침해 연관 정보를 재귀적으로 조회할 때마다 또는 상기 침해 정보를 조회시 마다 부여된 제3 인덱스를 증가시키는 것을 특징으로 하는 침해 악용 정보의 관리 방법
|
| 4 |
4
제1항에 있어서,상기 적어도 하나의 인덱스를 부여하여 상기 데이터베이스에 저장하는 단계는,상기 침해 악용 자원을 수집시, 상기 수집된 침해 악용 자원마다 발생된 이력 정보를 상기 데이터베이스에 저장하는 단계; 및상기 데이터베이스에 저장된 이력 정보마다 제4 인덱스를 부여하는 단계를 더 포함하는 것을 특징으로 하는 침해 악용 정보의 관리 방법
|
| 5 |
5
삭제
|
| 6 |
6
삭제
|
| 7 |
7
기업 및 기관 네트워크에 설치된 침해 사고 분석에 필요한 침해 사고 정보를 체계적으로 관리하기 위한 침해 사고 관리 시스템으로서,적어도 하나의 침해 공유 채널에 주기적으로 자동 접속하여 상기 침해 공유 채널로부터 침해 악용 자원과 상기 침해 악용 자원마다 연관된 부속의 침해 연관 정보를 수집하고, 상기 수집된 침해 연관 정보를 재귀적으로 다시 분류한 침해 정보를 생성하는 데이터 수집 모듈;상기 수집된 침해 악용 자원, 상기 침해 연관 정보 및 상기 침해 정보를 저장하는 데이터베이스; 및상기 데이터베이스에 저장된 침해 악용 자원, 침해 연관 정보 및 침해 정보를 수집 또는 조회시 상기 침해 악용 자원, 상기 침해 연관 정보 및 상기 침해 정보간 유기적인 연관 관계를 고려하여 적어도 하나의 인덱스(ID)를 부여하는 데이터 관리 모듈을 포함하되,상기 침해 악용 자원은 침해 공격에 악용된 도메인(Domain) 정보, IP 정보, Hash 정보 및 E-mail 정보 중 어느 하나 이상을 포함하되,상기 데이터 관리 모듈은,상기 침해 악용 자원을 타입별로 수집시 상기 타입마다 제1 인덱스를 부여하는 침해 자원 관리 모듈; 및상기 제1 인덱스를 부여받은 상기 침해 악용 자원의 타입별 매칭된 침해 연관 정보를 조회시 조회 작업 단위로서 제2 인덱스를 부여하는 연관 정보 관리 모듈을 포함하되,상기 침해 자원 관리 모듈은,상기 데이터베이스에 저장된 침해 연관 정보를 조회하거나 새로이 수집시, 상기 침해 연관 정보에 대한 수집 대상이 존재하는지를 상기 데이터베이스에서 확인하는 수집 대상 확인 모듈;상기 수집 대상이 존재하면, 해당하는 상기 침해 악용 자원을 상기 데이터베이스로부터 추출하는 침해 자원 추출 모듈;상기 추출된 침해 악용 자원에 대하여 설정 시간 이내 상기 제1 인덱스가 부여되어 있는지를 판단하는 제1 인덱스 판단 모듈; 및상기 기존 제1 인덱스가 부여된 경우, 설정 시간 이내 상기 추출된 침해 악용 자원에 매칭된 침해 연관 정보의 제2 인덱스가 존재하는지를 판단하는 제2 인덱스 판단 모듈;을 포함하여 구성되며,상기 제1 인덱스 판단 모듈은, 상기 판단의 결과, 상기 제1 인덱스가 부여되어 있으면, 상기 추출된 침해 악용 자원에 대해 기존 제1 인덱스를 부여하고, 상기 제1 인덱스가 부여되어 있지 않으면, 상기 추출된 침해 악용 자원에 대해 신규 제1 인덱스를 부여하되,상기 제2 인덱스 판단 모듈은,상기 판단의 결과, 상기 침해 연관 정보의 제2 인덱스가 존재하면, 상기 추출된 침해 악용 자원에 대한 이력 정보를 생성하고, 상기 침해 연관 정보의 제2 인덱스가 존재하지 않으면, 상기 침해 연관 정보에 대해 새로운 제2 인덱스를 부여하고, 신규 제1 인덱스를 부여한 침해 악용 자원에 대한 이력 정보를 생성하는 것을 특징으로 하는 침해 사고 관리 시스템
|
| 8 |
8
삭제
|
| 9 |
9
제7항에 있어서,상기 데이터 관리 모듈은,상기 침해 연관 정보를 재귀적으로 조회할 때마다 또는 상기 침해 정보를 조회시 마다 부여된 제3 인덱스를 증가시키는 재귀적 조회 관리 모듈을 더 포함하는 것을 특징으로 하는 침해 사고 관리 시스템
|
| 10 |
10
제7항에 있어서,상기 데이터 관리 모듈은,상기 침해 악용 자원을 수집시, 상기 수집된 침해 악용 자원마다 이력 정보를 발생시키고, 발생된 이력 정보마다 제4 인덱스를 부여하여 상기 데이터베이스에 저장되도록 하는 이력 관리 모듈을 더 포함하는 것을 특징으로 하는 침해 사고 관리 시스템
|
| 11 |
11
삭제
|
| 12 |
12
삭제
|
