1 |
1
적어도 하나의 프로그램이 기록된 메모리; 및프로그램을 실행하는 프로세서를 포함하며,프로그램은,공격 매트릭스 웹페이지에서 제어시스템 보안이벤트의 공격전략별로 분류된 공격기술 설명문서를 추출하여 상응하는 공격전략을 레이블링하는 학습데이터 추출부; 및공격기술 설명문서를 입력받아 레이블링된 공격전략을 예측하도록 분류모델을 학습시키는 분류모델 학습부를 포함하는, 제어시스템 보안이벤트의 공격전략 분류 모델 생성 장치
|
2 |
2
제1 항에 있어서, 학습데이터 추출부는, 정보 기술(Information Technology, 이하 'IT'로 기재함) 및 운영 기술(Operational Technology, 이하 'OT'라 기재함) 별로 공격전략별 공격기술 설명문서를 추출하고, 분류모델 학습부는,IT 및 OT 별로 분류모델을 학습시키는, 제어시스템 보안이벤트의 공격전략 분류 모델 생성 장치
|
3 |
3
제2 항에 있어서, 공격기술 설명문서를 텍스트 기반으로 전처리하는 학습데이터 전처리부를 더 포함하되, 학습데이터 전처리부는,비 알파벳 문자 삭제, 불용어(stop words)의 삭제, 대문자의 소문자 변경(lowering), 어간 추출(stemming), 특수 문자(punctuation) 제거, 단어 분할(split) 및 중복 단어 제거 중 적어도 하나를 수행하는, 제어시스템 보안이벤트의 공격전략 분류 모델 생성 장치
|
4 |
4
제3 항에 있어서, 학습데이터 전처리부는,공격기술 설명문서에서 단어 출현빈도(Term Frequency), TF-IDF(Term Frequency Inverse Document Frequency) 및 WMD(Word Mover's Distance)를 포함하는 추출 알고리즘들 중 하나를 통해 특징을 추출하는, 제어시스템 보안이벤트의 공격전략 분류 모델 생성 장치
|
5 |
5
제4 항에 있어서, 분류모델 학습부는,학습 알고리즘으로 다중 클래스를 판별하는 Naive Bayes Classifier, Multi-class SVM(Support Vector Machine), Logistic Regression, DNN(Deep Neural Network) 및 CNN(Convolutional Neural Network) 중 적어도 하나의 머신러닝 알고리즘을 사용하는, 제어시스템 보안이벤트의 공격전략 분류 모델 생성 장치
|
6 |
6
제4 항에 있어서, 학습데이터 추출부는, 공격 매트릭스 웹페이지를 모니터링하여 콘텐츠 변경 여부에 따라, 공격 매트릭스 웹페이지에서 공격전략별로 분류된 공격기술 설명문서를 재 추출하고, 학습데이터 전처리부는, 재 추출된 공격기술 설명문서를 텍스트 기반으로 전처리하고, 분류모델 학습부는, 전처리된 재 추출된 공격기술 설명문서로 분류모델을 재 학습시키는, 제어시스템 보안이벤트의 공격전략 분류 모델 생성 장치
|
7 |
7
적어도 하나의 프로그램이 기록된 메모리; 및프로그램을 실행하는 프로세서를 포함하며,프로그램은,입력되는 제어시스템의 보안이벤트에 정보를 증강하는 보안이벤트 정보증강부; 및보안이벤트를 공격기술 설명문서를 입력받아 레이블링된 공격전략을 예측하도록 미리 학습된 분류모델에 투입하여 공격전략별 유사도 벡터를 계산하는 공격전략 유사도 벡터 계산부를 포함하는, 제어시스템 보안이벤트의 공격전략 분류 장치
|
8 |
8
제7 항에 있어서, 공격전략 유사도 벡터 계산부는, 정보 기술(Information Technology, 이하 'IT'로 기재함) 분류 모델 및 운영 기술(Operational Technology, 이하 'OT'라 기재함) 분류 모델을 포함하고, IT 보안이벤트 및 OT 보안이벤트를 각각 상응하는 분류모델에 투입하여 공격전략별 유사도 벡터를 계산하는, 제어시스템 보안이벤트의 공격전략 분류 장치
|
9 |
9
제8 항에 있어서, 보안이벤트 정보증강부는,보안이벤트 내에 CVE(Common Vulnerability Enumeration)를 포함하는 취약점 코드가 존재하고, API를 지원하는 CVE 데이터베이스일 경우, 전용 API를 통해 CVE코드 기반으로 쿼리를 전송한 후, 리턴되는 결과값 내에 포함된 정보를 보안이벤트에 증강하는, 제어시스템 보안이벤트의 공격전략 분류 장치
|
10 |
10
제8 항에 있어서, 보안이벤트 정보증강부는,보안이벤트 내에 CVE(Common Vulnerability Enumeration)를 포함하는 취약점 코드가 존재하고, API를 지원하지 않는 CVE 데이터베이스일 경우, 홈페이지에서 직접 크롤링하여 취약점 정보를 취득하여 보안이벤트에 증강하는, 제어시스템 보안이벤트의 공격전략 분류 장치
|
11 |
11
제8 항에 있어서, 보안이벤트 정보증강부는,보안이벤트 내에 CVE(Common Vulnerability Enumeration)를 포함하는 취약점 코드가 존재하지 않을 경우, 보안이벤트 텍스트 전체를 검색 쿼리로 하여 검색 엔진으로부터 검색된 소정 개수의 문서들로부터 추출된 공통 키워드를 보안이벤트에 증강하는, 제어시스템 보안이벤트의 공격전략 분류 장치
|
12 |
12
제8 항에 있어서, 보안이벤트 정보증강부로부터 출력된 보안이벤트를 텍스트 기반으로 전처리하는 입력데이터 전처리부를 더 포함하되, 입력데이터 전처리부는,비 알파벳 문자 삭제, 불용어(stop words)의 삭제, 대문자의 소문자 변경(lowering), 어간 추출(stemming), 특수 문자(punctuation) 제거, 단어 분할(split) 및 중복 단어 제거 중 적어도 하나를 수행하는, 제어시스템 보안이벤트의 공격전략 분류 장치
|
13 |
13
제12 항에 있어서, 입력데이터 전처리부는,공격기술 설명문서에서 단어 출현빈도(Term Frequency), TF-IDF(Term Frequency Inverse Document Frequency) 및 WMD(Word Mover's Distance)를 포함하는 추출 알고리즘들 중 하나를 통해 특징을 추출하는, 제어시스템 보안이벤트의 공격전략 분류 장치
|
14 |
14
입력되는 제어시스템의 보안이벤트에 정보를 증강하는 단계; 및보안이벤트를 공격기술 설명문서를 입력받아 레이블링된 공격전략을 예측하도록 미리 학습된 분류모델에 투입하여 공격전략별 유사도 벡터를 계산하는 단계를 포함하는 제어시스템 보안이벤트의 공격전략 분류 방법
|
15 |
15
제14 항에 있어서, 공격전략별 유사도 벡터를 계산하는 단계는, 정보 기술(Information Technology, 이하 'IT'로 기재함) 분류 모델 및 운영 기술(Operational Technology, 이하 'OT'라 기재함) 분류 모델을 포함하고, IT 보안이벤트 및 OT 보안이벤트를 각각 상응하는 분류모델에 투입하여 공격전략별 유사도 벡터를 계산하는, 제어시스템 보안이벤트의 공격전략 분류 방법
|
16 |
16
제15 항에 있어서, 정보를 증강하는 단계는,보안이벤트 내에 CVE(Common Vulnerability Enumeration)를 포함하는 취약점 코드가 존재하고, API를 지원하는 CVE 데이터베이스일 경우, 전용 API를 통해 CVE코드 기반으로 쿼리를 전송한 후, 리턴되는 결과값 내에 포함된 정보를 보안이벤트에 증강하는, 제어시스템 보안이벤트의 공격전략 분류 방법
|
17 |
17
제15 항에 있어서, 정보를 증강하는 단계는,보안이벤트 내에 CVE(Common Vulnerability Enumeration)를 포함하는 취약점 코드가 존재하고, API를 지원하지 않는 CVE 데이터베이스일 경우, 홈페이지에서 직접 크롤링하여 취약점 정보를 취득하여 보안이벤트에 증강하는, 제어시스템 보안이벤트의 공격전략 분류 방법
|
18 |
18
제15 항에 있어서, 정보를 증강하는 단계는,보안이벤트 내에 CVE(Common Vulnerability Enumeration)를 포함하는 취약점 코드가 존재하지 않을 경우, 보안이벤트 텍스트 전체를 검색 쿼리로 하여 검색 엔진으로부터 검색된 소정 개수의 문서들로부터 추출된 공통 키워드를 보안이벤트에 증강하는, 제어시스템 보안이벤트의 공격전략 분류 방법
|
19 |
19
제14 항에 있어서, 보안이벤트를 텍스트 기반으로 전처리하는 단계를 더 포함하되, 전처리하는 단계는,비 알파벳 문자 삭제, 불용어(stop words)의 삭제, 대문자의 소문자 변경(lowering), 어간 추출(stemming), 특수 문자(punctuation) 제거, 단어 분할(split) 및 중복 단어 제거 중 적어도 하나를 수행하는 단계를 포함하는, 제어시스템 보안이벤트의 공격전략 분류 방법
|
20 |
20
제18 항에 있어서, 전처리하는 단계는,공격기술 설명문서에서 단어 출현빈도(Term Frequency), TF-IDF(Term Frequency Inverse Document Frequency) 및 WMD(Word Mover's Distance)를 포함하는 추출 알고리즘들 중 하나를 통해 특징을 추출하는 단계를 포함하는, 제어시스템 보안이벤트의 공격전략 분류 방법
|