| 1 |
1
보안관제센터 및 위협분석 자동화 시스템 중 어느 하나로부터 보안 이벤트의 위협 가시화 요청, 보안 이벤트 우선처리 선정 요청 및 최적 대응 정책 요청 중 적어도 하나를 포함하는 의사결정 지원 요청을 수신하는 인터페이스부;상기 수신되는 의사결정 지원 요청에 따라 위협 가시화, 보안 이벤트 우선처리 선정 및 최적 대응 정책 추천 중 적어도 하나에 대한 의사결정을 지원하는 처리부;상기 보안관제센터의 피드백 정보와, 상기 보안관제센터 또는 위협분석 자동화 시스템의 대응이력 정보, 외부의 보안 위협 데이터, 내부 보안솔루션의 데이터, 공격자 전술 전략 정보, 내부 자산 정보 중 적어도 하나를 포함하는 보안 데이터를 수집하는 수집부; 및상기 보안 데이터를 학습 데이터로 이용하되 상기 피드백 정보를 보상함수로 사용하여 강화학습을 수행하고, 상기 보안 데이터를 학습 데이터로 이용하되 보안 이벤트 특성 정보를 이용하여 지도학습을 수행하여 AI 모델을 생성 및 업데이트하여 처리부에 적용하는 학습부;를 포함하며,상기 처리부는, 상기 의사결정 지원 요청 수신 시 가시화 요청 정보를 수신하여 유형을 분류하고,상기 분류된 유형이 이벤트 정보인 제1 유형인 경우, 수신된 가시화 요청 정보로부터 IP 및 탐지명 중 어느 하나를 포함하는 위협 식별이 가능한 이벤트 특성 정보를 추출하고, 이전에 생성되거나 입력된 네트워크 토폴로지가 조회되면 해당 네트워크 토폴로지를 사용하고, 조회되지 않으면 내부 자산 정보를 기반으로 네트워크 토폴로지를 생성하고, 상기 수신된 가시화 요청 정보에 기반하여 TTP 정보를 추출하고, 상기 추출된 TTP 정보와 상기 추출된 이벤트 특성 정보를 매칭하고, 상기 추출된 TTP 정보와 상기 추출된 이벤트 특성 정보의 매칭 정보에 기반하여 공격 예측 경로를 생성한 후, 상기 생성된 공격 예측 경로 및 상기 네트워크 토폴로지를 기반으로 위협 가시화 정보를 생성하여 상기 보안관제센터 및 위협분석 자동화 시스템 중 어느 하나로 전송하며,상기 분류된 유형이 블록 정보인 제2 유형인 경우, 연관 분석을 위한 블록 연결 정보를 포함하는 블록 정보에 기반하여 DB에서 위협 정보들을 조회하고,상기 조회된 위협 정보들의 연관 분석을 통해, 상기 조회된 위협 정보들을 블록 연결 정보에 기반하여 블록 연결 순서에 맞춰 연결하여 상기 위협 정보들 간의 연관성 정보를 생성하고,상기 생성되는 위협 정보들 간의 연관성 정보에 기반하여 위협 가시화 정보를 생성하여 상기 보안관제센터 및 위협분석 자동화 시스템 중 어느 하나로 전송하는 것을 특징으로 하는 보안관제 의사결정 지원 시스템
|
| 2 |
2
삭제
|
| 3 |
3
삭제
|
| 4 |
4
청구항 1에 있어서,상기 처리부는,상기 의사결정 지원 요청 수신 시 적어도 둘 이상의 보안 이벤트를 수신하여 전처리하고,강화학습 기반 AI 모델을 이용하여 상기 적어도 둘 이상의 보안 이벤트로부터 제1 우선처리 이벤트를 분류하고,지도학습 기반 AI 모델을 이용하여 상기 적어도 둘 이상의 보안 이벤트로부터 제2 우선처리 이벤트를 분류하고,상기 제1 우선처리 이벤트 및 상기 제2 우선처리 이벤트에 기반하여 우선처리 선정 결과를 생성하는 것을 특징으로 하는 보안관제 의사결정 지원 시스템
|
| 5 |
5
청구항 1에 있어서,상기 처리부는,상기 의사결정 지원 요청 수신 시 단일 보안 이벤트를 수신하여 전처리하고,대응이력 통계 정보를 이용하여 상기 단일 보안 이벤트에 대한 대응 정책 정보를 추천하고,강화학습 기반 AI 모델을 이용하여 상기 단일 보안 이벤트에 대한 최적 대응 정책 정보를 추천하고,상기 추천된 대응 정책 정보 및 상기 추천된 최적 대응 정책 정보에 기반하여 최종적으로 최적 대응 정책을 결정하는 것을 특징으로 하는 보안관제 의사결정 지원 시스템
|
| 6 |
6
삭제
|
| 7 |
7
삭제
|
| 8 |
8
인터페이스부가 보안관제센터 및 위협분석 자동화 시스템 중 어느 하나로부터 보안 이벤트의 위협 가시화 요청, 보안 이벤트 우선처리 선정 요청 및 최적 대응 정책 요청 중 적어도 하나를 포함하는 의사결정 지원 요청을 수신하는 단계;처리부가 상기 수신되는 의사결정 지원 요청에 따라 위협 가시화, 보안 이벤트 우선처리 선정 및 최적 대응 정책 추천 중 적어도 하나에 대한 의사결정을 지원하는 단계;수집부가 보안관제센터의 피드백 정보와, 상기 보안관제센터 또는 위협분석 자동화 시스템의 대응이력 정보, 외부의 보안 위협 데이터, 내부 보안솔루션의 데이터, 공격자 전술 전략 정보, 내부 자산 정보 중 적어도 하나를 포함하는 보안 데이터를 수집하는 단계; 및학습부가 보안 데이터를 학습 데이터로 이용하되 상기 피드백 정보를 보상함수로 사용하여 강화학습을 수행하고, 상기 보안 데이터를 학습 데이터로 이용하되 보안 이벤트 특성 정보를 이용하여 지도학습을 수행하여 AI 모델을 생성 및 업데이트하여 상기 처리부에 적용하는 단계;를 포함하고,상기 처리부가 의사결정을 지원하는 단계는,상기 의사결정 지원 요청 수신 시 가시화 요청 정보를 수신하여 유형을 분류하는 단계;상기 분류된 유형이 이벤트 정보인 제1 유형인 경우, 수신된 가시화 요청 정보로부터 IP 및 탐지명 중 적어도 하나를 포함하는 위협 식별이 가능한 이벤트 특성 정보를 추출하는 단계;이전에 생성되거나 입력된 네트워크 토폴로지가 조회되면 해당 네트워크 토폴로지를 사용하고, 조회되지 않으면 내부 자산 정보를 기반으로 네트워크 토폴로지를 생성하는 단계;상기 수신된 가시화 요청 정보에 기반하여 TTP 정보를 추출하는 단계;상기 추출된 TTP 정보와 상기 추출된 이벤트 특성 정보를 매칭하는 단계;상기 추출된 TTP 정보와 상기 추출된 이벤트 특성 정보의 매칭 정보에 기반하여 공격 예측 경로를 생성하는 단계; 및상기 생성된 공격 예측 경로 및 상기 네트워크 토폴로지를 기반으로 위협 가시화 정보를 생성하는 단계;를 포함하고,상기 분류된 유형이 블록 정보인 제2 유형인 경우, 연관 분석을 위한 블록 연결 정보를 포함하는 블록 정보에 기반하여 DB에서 위협 정보들을 조회하는 단계;상기 조회된 위협 정보들의 연관 분석을 통해, 상기 조회된 위협 정보들을 블록 연결 정보에 기반하여 블록 연결 순서에 맞춰 연결하여 상기 위협 정보들 간의 연관성 정보를 생성하는 단계; 및상기 생성되는 위협 정보들 간의 연관성 정보에 기반하여 위협 가시화 정보를 생성하여 상기 보안관제센터 및 위협분석 자동화 시스템 중 어느 하나로 전송하는 단계;를 포함하는 것을 특징으로 하는 보안관제 의사결정 지원 방법
|
| 9 |
9
삭제
|
| 10 |
10
삭제
|
| 11 |
11
청구항 8에 있어서,상기 의사결정을 지원하는 단계는,상기 의사결정 지원 요청 수신 시 적어도 둘 이상의 보안 이벤트를 수신하여 전처리하는 단계;강화학습 기반 AI 모델을 이용하여 상기 적어도 둘 이상의 보안 이벤트로부터 제1 우선처리 이벤트를 분류하는 단계;지도학습 기반 AI 모델을 이용하여 상기 적어도 둘 이상의 보안 이벤트로부터 제2 우선처리 이벤트를 분류하는 단계; 및상기 제1 우선처리 이벤트 및 상기 제2 우선처리 이벤트에 기반하여 우선처리 선정 결과를 생성하는 단계를 포함하는 것을 특징으로 하는 보안관제 의사결정 지원 방법
|
| 12 |
12
청구항 8에 있어서,상기 의사결정을 지원하는 단계는,상기 의사결정 지원 요청 수신 시 단일 보안 이벤트를 수신하여 전처리하는 단계;대응이력 통계 정보를 이용하여 상기 단일 보안 이벤트에 대한 대응 정책 정보를 추천하는 단계;강화학습 기반 AI 모델을 이용하여 상기 단일 보안 이벤트에 대한 최적 대응 정책 정보를 추천하는 단계; 및상기 추천된 대응 정책 정보 및 상기 추천된 최적 대응 정책 정보에 기반하여 최종적으로 최적 대응 정책을 결정하는 단계를 포함하는 것을 특징으로 하는 보안관제 의사결정 지원 방법
|
| 13 |
13
삭제
|
| 14 |
14
삭제
|
