1 |
1
전자 장치의 사이버 위협 탐지 방법에 있어서,사용자 행위 정보를 획득하는 단계;미리 정의된 적어도 하나의 룰을 이용하여 상기 사용자 행위 정보로부터 복수의 위협들을 확인하는 단계;상기 복수의 위협들이 적용되는 복수의 노드들 각각의 가중치를 계산하고, 상기 적어도 하나의 룰의 태그 정보를 이용하여 상기 복수의 위협들의 룰 위험도(Rule Risk)를 계산하는 단계; 및상기 복수의 노드들 각각의 가중치 및 상기 룰 위험도를 이용하여 상기 복수의 위협들 각각의 위협 지수를 결정하고, 상기 복수의 위협들 각각의 위협 지수를 기초로 상기 복수의 위협들의 위협 우선순위를 결정하는 단계를 포함하고, 상기 계산하는 단계는,상기 복수의 위협들 중 제1위협이 상기 복수의 노드들 중 제1노드 및 제2노드 사이의 에지에 적용되는 경우, 상기 제1노드의 가중치 및 상기 제2노드의 가중치를 기초로 상기 에지의 가중치를 계산하고, 상기 복수의 위협들 중 제2위협이 상기 복수의 노드들 중 제3노드에 적용되는 경우, 상기 제3노드의 가중치를 계산하는 단계를 포함하고,상기 결정하는 단계는,상기 에지의 가중치 및 상기 제1위협의 룰 위험도를 이용하여 상기 제1위협의 위협 지수를 결정하고, 상기 제3노드의 가중치 및 상기 제2위협의 룰 위험도를 이용하여 상기 제2위협의 위협 지수를 결정하고, 상기 제1위협의 위협 지수 및 상기 제2위협의 위협 지수를 기초로 상기 제1위협 및 상기 제2위협의 위협 우선순위를 결정하는 단계를 포함하는, 사이버 위협 탐지 방법
|
2 |
2
제1항에 있어서,상기 계산하는 단계는,TOPSIS(Technique for Order of Preference by Similarity to Ideal Solution) 알고리즘을 기초로 상기 복수의 노드들 각각의 노드 속성 값을 이용하여 상기 복수의 노드들 각각의 가중치를 계산하는 단계를 포함하는, 사이버 위협 탐지 방법
|
3 |
3
삭제
|
4 |
4
제1항에 있어서,상기 태그 정보는 사용자 정의 위험도(User Defined Risk Level), 기술 ID(Techniques ID), 및 상기 기술 ID에 대응하는 심각성(Typical Severity) 값 및 가능성(Likelihood) 값을 포함하고,상기 계산하는 단계는,상기 심각성 값 및 상기 가능성 값을 기초로 임시 위험도를 계산하는 단계; 및 상기 사용자 정의 위험도 및 상기 임시 위험도를 기초로 상기 복수의 위협들 중 제3위협의 룰 위험도를 계산하는 단계를 포함하는, 사이버 위협 탐지 방법
|
5 |
5
제4항에 있어서,상기 계산하는 단계는,상기 기술 ID를 이용하여 하나 이상의 공개 프레임워크로부터 상기 심각성 값 및 상기 가능성 값을 획득하는 단계를 포함하는, 사이버 위협 탐지 방법
|
6 |
6
제5항에 있어서,상기 하나 이상의 공개 프레임워크는 ATT0026#CK(Adversarial Tactics, Techniques 0026# Common Knowledge)와 CAPEC(Common Attack Pattern Enumeration and Classification)을 포함하는, 사이버 위협 탐지 방법
|
7 |
7
제1항에 있어서,상기 태그 정보는 사용자 정의 위험도, 기술 ID, 및 상기 기술 ID에 대응하는 심각성 값을 포함하고,상기 계산하는 단계는,상기 심각성 값을 기초로 임시 위험도를 결정하는 단계; 및 상기 사용자 정의 위험도 및 상기 임시 위험도를 기초로 상기 복수의 위협들 중 제4위협의 룰 위험도를 계산하는 단계를 포함하는, 사이버 위협 탐지 방법
|
8 |
8
제1항에 있어서,상기 태그 정보는 사용자 정의 위험도를 포함하고,상기 계산하는 단계는,상기 사용자 정의 위험도를 기초로 상기 복수의 위협들 중 제5위협의 룰 위험도를 결정하는 단계를 포함하는, 사이버 위협 탐지 방법
|
9 |
9
전자 장치로서,적어도 하나의 프로그램이 저장된 메모리; 및상기 적어도 하나의 프로그램을 실행함으로써, 사용자 행위 정보를 획득하고, 미리 정의된 적어도 하나의 룰을 이용하여 상기 사용자 행위 정보로부터 복수의 위협들을 확인하고, 상기 복수의 위협들이 적용되는 복수의 노드들 각각의 가중치를 계산하고, 상기 적어도 하나의 룰의 태그 정보를 이용하여 상기 복수의 위협들의 룰 위험도(Rule Risk)를 계산하고, 상기 복수의 노드들 각각의 가중치 및 상기 룰 위험도를 이용하여 상기 복수의 위협들 각각의 위협 지수를 결정하고, 상기 복수의 위협들 각각의 위협 지수를 기초로 상기 복수의 위협들의 위협 우선순위를 결정하도록 구성된 프로세서를 포함하고,상기 프로세서는,상기 복수의 위협들 중 제1위협이 상기 복수의 노드들 중 제1노드 및 제2노드 사이의 에지에 적용되는 경우, 상기 제1노드의 가중치 및 상기 제2노드의 가중치를 기초로 상기 에지의 가중치를 계산하고, 상기 복수의 위협들 중 제2위협이 상기 복수의 노드들 중 제3노드에 적용되는 경우, 상기 제3노드의 가중치를 계산하고,상기 에지의 가중치 및 상기 제1위협의 룰 위험도를 이용하여 상기 제1위협의 위협 지수를 결정하고, 상기 제3노드의 가중치 및 상기 제2위협의 룰 위험도를 이용하여 상기 제2위협의 위협 지수를 결정하고, 상기 제1위협의 위협 지수 및 상기 제2위협의 위협 지수를 기초로 상기 제1위협 및 상기 제2위협의 위협 우선순위를 결정하는, 전자 장치
|
10 |
10
전자 장치의 사이버 위협 탐지 방법을 컴퓨터에서 실행시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 비일시적 기록매체로서, 상기 사이버 위협 탐지 방법은,사용자 행위 정보를 획득하는 단계;미리 정의된 적어도 하나의 룰을 이용하여 상기 사용자 행위 정보로부터 복수의 위협들을 확인하는 단계;상기 복수의 위협들이 적용되는 복수의 노드들 각각의 가중치를 계산하고, 상기 적어도 하나의 룰의 태그 정보를 이용하여 상기 복수의 위협들의 룰 위험도(Rule Risk)를 계산하는 단계; 및상기 복수의 노드들 각각의 가중치 및 상기 룰 위험도를 이용하여 상기 복수의 위협들 각각의 위협 지수를 결정하고, 상기 복수의 위협들 각각의 위협 지수를 기초로 상기 복수의 위협들의 위협 우선순위를 결정하는 단계를 포함하고,상기 계산하는 단계는,상기 복수의 위협들 중 제1위협이 상기 복수의 노드들 중 제1노드 및 제2노드 사이의 에지에 적용되는 경우, 상기 제1노드의 가중치 및 상기 제2노드의 가중치를 기초로 상기 에지의 가중치를 계산하고, 상기 복수의 위협들 중 제2위협이 상기 복수의 노드들 중 제3노드에 적용되는 경우, 상기 제3노드의 가중치를 계산하는 단계를 포함하고,상기 결정하는 단계는,상기 에지의 가중치 및 상기 제1위협의 룰 위험도를 이용하여 상기 제1위협의 위협 지수를 결정하고, 상기 제3노드의 가중치 및 상기 제2위협의 룰 위험도를 이용하여 상기 제2위협의 위협 지수를 결정하고, 상기 제1위협의 위협 지수 및 상기 제2위협의 위협 지수를 기초로 상기 제1위협 및 상기 제2위협의 위협 우선순위를 결정하는 단계를 포함하는, 비일시적 기록매체
|