1 |
1
외부 도메인로부터 표준 규격(STIX) 기반의 위협 정보를 수신하는 단계;상기 위협 정보를 기초로 사물봇 감염 정보를 추출하는 단계; 상기 사물봇 감염 정보를 기초로 관리 도메인 내에서 격리시킬 격리 디바이스 그룹을 결정하는 단계; 및상기 격리 디바이스 그룹에 네트워크 접속을 차단시키는 차단 정책을 분배하는 단계;를 포함하는 디바이스 보호 방법
|
2 |
2
청구항 1에 있어서,상기 사물봇 감염 정보를 추출하는 단계는,상기 위협 정보를 기초로 사물봇 위협 정보를 식별하는 단계; 및상기 사물봇 위협 정보를 기초로 감염된 디바이스의 속성 정보를 추출하는 단계;를 포함하는 디바이스 보호 방법
|
3 |
3
청구항 2에 있어서,상기 사물봇 위협 정보를 식별하는 단계는,상기 위협 정보의 객체 타입이 'infrastructure'인지 확인하는 단계;상기 위협 정보의 객체 타입이 'infrastructure'이면, 'infrastructure'객체가 표현하는 위협 정보의 타입이 'botnet'인지 확인하는 단계; 및상기 'infrastructure'객체가 표현하는 위협 정보의 타입이 'botnet'이면 위협정보 확인 플래그를 설정하는 단계;를 포함하는 디바이스 보호 방법
|
4 |
4
청구항 3에 있어서,상기 사물봇 위협 정보를 식별하는 단계는,상기 위협 정보의 객체 타입이 'relationship' 인지 확인하는 단계;상기 위협 정보의 객체 타입이 'relationship' 이면, 'relationship' 객체가 표현하는 위협 정보의 타입이 'consist-of' 인지 확인하는 단계; 및상기 'relationship' 객체가 표현하는 위협 정보의 타입이 'consist-of' 이면 디바이스의 감염 여부 확인 플래그를 설정하는 단계;를 포함하는 디바이스 보호 방법
|
5 |
5
청구항 4에 있어서,상기 사물봇 위협 정보를 식별하는 단계는,상기 위협정보 확인 플래그 및 상기 디바이스의 감염 여부 확인 플래그 설정되면 이어서 확인되는 객체가 'ipv4-addr' 객체 타입인지 확인하는 단계;를 포함하는 디바이스 보호 방법
|
6 |
6
제5항에 있어서,상기 감염된 디바이스의 속성 정보를 추출하는 단계는,상기 두 플래그가 설정되어 있고, 이어서 확인되는 객체가 'ipv4-addr' 객체 타입이면, 상기 감염된 디바이스의 속성 정보를 추출하는 디바이스 보호 방법
|
7 |
7
청구항 2에 있어서,상기 감염된 디바이스 속성 정보는 디바이스 타입, 디바이스 제조사, 디바이스 제품명, 디바이스 운영체제 버전 중 적어도 하나 이상을 포함하는 디바이스 보호 방법
|
8 |
8
청구항 2에 있어서,상기 사물봇 감염 정보를 기초로 관리 도메인 내에서 격리시킬 격리 디바이스 그룹을 결정하는 단계는,상기 감염된 디바이스의 속성 정보와 상기 관리 도메인 내의 디바이스의 속성 정보 간의 코사인 유사도를 산출하는 단계; 및상기 코사인 유사도를 고려하여 관리 도메인 내에서 격리시킬 격리 디바이스 그룹을 결정하는 단계;를 포함하는 디바이스 보호 방법
|
9 |
9
외부 도메인로부터 표준 규격(STIX) 기반의 위협 정보를 수신하는 위협정보 수신부;상기 위협 정보를 기초로 사물봇 감염 정보를 추출하는 감염정보 추출부;상기 사물봇 감염 정보를 기초로 관리 도메인 내에서 격리시킬 격리 디바이스 그룹을 결정하는 격리 디바이스 그룹 결정부; 및상기 격리 디바이스 그룹의 네트워크 접속을 차단시키는 차단 정책을 분배하는 정책 분배부;를 포함하는 디바이스 보호 장치
|
10 |
10
제9항에 있어서, 상기 감염정보 추출부는,상기 위협 정보를 기초로 사물봇 위협 정보를 식별하는 위협정보 식별부; 및상기 사물봇 위협 정보를 기초로 감염된 디바이스의 속성 정보를 추출하는 속성정보 추출부;를 포함하는 디바이스 보호 장치
|
11 |
11
청구항 10에 있어서,상기 위협정보 식별부는,상기 위협 정보의 객체 타입이 'infrastructure' 인지 확인하고, 상기 위협 정보의 객체 타입이 'infrastructure' 이면, 'infrastructure' 객체가 표현하는 위협 정보의 타입이 'botnet' 인지 확인하고, 상기 'infrastructure' 객체가 표현하는 위협 정보의 타입이 'botnet' 이면 위협정보 확인 플래그를 설정하는 디바이스 보호 장치
|
12 |
12
청구항 11에 있어서,상기 위협정보 식별부는,상기 위협 정보의 객체 타입이 'relationship' 인지 확인하고, 상기 위협 정보의 객체 타입이 'relationship' 이면, 'relationship' 객체가 표현하는 위협 정보의 타입이 'consist-of' 인지 확인하고, 상기 'relationship' 객체가 표현하는 위협 정보의 타입이 'consist-of' 이면 디바이스의 감염 여부 확인 플래그를 설정하는 디바이스 보호 장치
|
13 |
13
청구항 12에 있어서,상기 위협정보 식별부는,상기 위협정보 확인 플래그 및 상기 디바이스의 감염 여부 확인 플래그설정되면 이어서 확인되는 객체가 'ipv4-addr' 객체 타입인지 확인하는 디바이스 보호 장치
|
14 |
14
제13항에 있어서,상기 속성정보 추출부는,상기 두 플래그가 설정되어 있고, 이어서 확인되는 객체가 'ipv4-addr' 객체 타입이면, 상기 감염된 디바이스의 속성 정보를 추출하는 디바이스 보호 장치
|
15 |
15
청구항 10에 있어서,상기 감염된 디바이스 속성 정보는 디바이스 타입, 디바이스 제조사, 디바이스 제품명, 디바이스 운영체제 버전 중 적어도 하나 이상을 포함하는 디바이스 보호 장치
|
16 |
16
청구항 10에 있어서,상기 격리 디바이스 그룹 결정부는,상기 감염된 디바이스의 속성 정보와 상기 관리 도메인 내의 디바이스의 속성 정보 간의 코사인 유사도를 산출하고, 상기 코사인 유사도를 고려하여 관리 도메인 내에서 격리시킬 격리 디바이스 그룹을 결정하는 디바이스 보호 장치
|