KR102653193B1 - 사이버 공격의 위장 전술 판단 방법 및 이를 수행하기 위한 장치 - Google Patents
사이버 공격의 위장 전술 판단 방법 및 이를 수행하기 위한 장치 Download PDFInfo
- Publication number
- KR102653193B1 KR102653193B1 KR1020230177433A KR20230177433A KR102653193B1 KR 102653193 B1 KR102653193 B1 KR 102653193B1 KR 1020230177433 A KR1020230177433 A KR 1020230177433A KR 20230177433 A KR20230177433 A KR 20230177433A KR 102653193 B1 KR102653193 B1 KR 102653193B1
- Authority
- KR
- South Korea
- Prior art keywords
- attack
- index
- camouflage
- artifact
- cyber
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 61
- 238000011156 evaluation Methods 0.000 claims abstract description 86
- 238000004364 calculation method Methods 0.000 claims description 27
- 230000006399 behavior Effects 0.000 claims description 16
- 238000011161 development Methods 0.000 claims description 15
- 238000012856 packing Methods 0.000 claims description 8
- 239000000284 extract Substances 0.000 claims description 6
- 238000004891 communication Methods 0.000 description 10
- 238000004458 analytical method Methods 0.000 description 7
- 238000005516 engineering process Methods 0.000 description 6
- 238000010586 diagram Methods 0.000 description 4
- 230000000694 effects Effects 0.000 description 4
- 238000001514 detection method Methods 0.000 description 3
- 230000009471 action Effects 0.000 description 2
- 230000003542 behavioural effect Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 238000011835 investigation Methods 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 230000009897 systematic effect Effects 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 230000002155 anti-virotic effect Effects 0.000 description 1
- 230000009365 direct transmission Effects 0.000 description 1
- 238000009313 farming Methods 0.000 description 1
- 230000014509 gene expression Effects 0.000 description 1
- 238000003384 imaging method Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000004806 packaging method and process Methods 0.000 description 1
- 230000035755 proliferation Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 239000002699 waste material Substances 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
사이버 공격의 위장 전술 판단 방법 및 이를 수행하기 위한 장치가 개시된다. 본 발명의 일 실시예에 따른 사이버 공격의 위장 전술 판단 방법 및 이를 수행하기 위한 장치는 하나 이상의 프로세서들, 및 상기 하나 이상의 프로세서들에 의해 실행되는 하나 이상의 프로그램들을 저장하는 메모리를 구비한 컴퓨팅 장치에서 수행되는 사이버 공격의 위장 전술 판단 방법으로서, 상기 컴퓨팅 장치에서, 외부 서버로부터 사이버 침해 정보를 수집하는 단계; 상기 컴퓨팅 장치에서, 상기 수집된 사이버 침해 정보 중 기 설정된 기준에 따라 아티팩트를 선별하는 단계; 상기 컴퓨팅 장치에서, 상기 선별된 아티팩트의 속성에 따라 평가 지표로 분류하는 단계; 및 상기 컴퓨팅 장치에서, 상기 분류된 평가 지표를 기반으로 위장 전술 지수를 산출하는 단계를 포함한다.
Description
본 발명의 실시예들은 사이버 공격의 위장 전술을 판단하는 방법과 관련된다.
사이버 세계에서는 공격자인 해커에 의한 공격과 방어자인 보안 분석가의 추적이 팽팽하게 대립하고 있다. 공격자는 자신의 공격행위를 숨기려고 노력하고 분석가는 공격자의 실체를 추적하기 위한 사이버 전쟁이 벌어지고 있다. 이 때, 보안 분석가는 공격자의 해킹행위를 침해사고에서 수집한 흔적(Artifact)을 기반으로 분석할 수밖에 없으며 침해사고에서 수집한 흔적에 의존하게 된다.
그러나, 사이버 공격기술이 발전하면 할수록 공격자의 위장전술(False flag)도 발전하고 있기 때문에 분석가는 공격자의 위장전술에 쉽게 기만당할 수 있게 된다. 이에 기존의 침해사고 분석이나 공격자 추적 방식으로는 공격자의 위장전술을 대응하는 것이 더욱 어려워지고 있으며, 잘못된 침해대응이 금전적인 손실 및 예산 낭비를 초래하고 있다.
즉, 기존의 침해사고 분석이나 공격자 추적 방식은 분석가의 경험과 보안의 관점만을 고려하고 있기 때문에 사이버 위장전술을 실제로 실행하는 공격자의 관점이 배제되어 위장전술의 실제적인 대응이 어려운 문제가 있다.
본 발명의 실시예들은 사이버 공격의 방어자인 보안 분석가의 관점 뿐만 아니라 공격자인 해커의 관점이 반영된 침해흔적(Artifact)을 기반으로 사이버 공격의 위장 전술을 판단하기 위한 것이다.
본 발명의 예시적인 실시예에 따르면, 하나 이상의 프로세서들, 및 상기 하나 이상의 프로세서들에 의해 실행되는 하나 이상의 프로그램들을 저장하는 메모리를 구비한 컴퓨팅 장치에서 수행되는 사이버 공격의 위장 전술 판단 방법으로서, 상기 컴퓨팅 장치에서, 외부 서버로부터 사이버 침해 정보를 수집하는 단계; 상기 컴퓨팅 장치에서, 상기 수집된 사이버 침해 정보 중 기 설정된 기준에 따라 아티팩트를 선별하는 단계; 상기 컴퓨팅 장치에서, 상기 선별된 아티팩트의 속성에 따라 평가 지표로 분류하는 단계; 및 상기 컴퓨팅 장치에서, 상기 분류된 평가 지표를 기반으로 위장 전술 지수를 산출하는 단계를 포함하는, 사이버 공격의 위장 전술 판단 방법이 제공된다.
상기 사이버 공격의 위장 전술 판단 방법은, 상기 컴퓨팅 장치에서, 상기 산출된 위장 전술 지수를 기반으로 상기 수집된 사이버 침해 정보에 대한 위장 전술을 판단하는 단계; 및 판단 결과를 사용자에게 제공하는 단계를 더 포함할 수 있다.
상기 사이버 침해 정보를 수집하는 단계는, 상기 컴퓨팅 장치에서, 상기 수집된 사이버 침해 정보를 공격자별로 분류하여 공격자별 사이버 침해 정보를 저장하는 단계를 더 포함할 수 있다.
상기 아티팩트는, 아이피(internet protocol; IP), 도메인(Domain), 포트(Port), URL(uniform resource locator), C2 서버(Command & Control server), 서버 호스팅 기록(Server hosting records), HTTP 리퍼러(HTTP referrer), 로그(Log), 이메일 주소(Email address), 암호 화폐 주소(Cryptocurrency address), 하드웨어 정보(Hardware Information), 암호화/복호화 방법(Encryption/decryption method), 난독화(Obfuscation), 메타데이터(Meta Data), 디지털 인증서(Digital certificate), 패킹(Packing), 개발 정보(Development information), 타임 스탬프(Time stamp), 지역(Region), 언어(Language), 해시값(Hash value), 파일 형식(File type), 행위 패턴(Behavior pattern), 라이브러리(Library), Zero-day, N-day, 원격 코드 실행(Remote Code Execution; RCE), 권한 상승(Privilege Escalation), 쉘코드(Shellcode), 미끼 문서(Decoy document), 피싱&파밍(Phishing & Pharming), SNS 계정(SNS account) 및 공격 대상(Attack target) 중 하나 이상일 수 있다.
상기 평가 지표는, 인프라 관련 기본 요소(Fundamental factor)를 기반으로 한 네트워크(Network), 서버(Server), 호스트(Host) 및 공격 기법 관련 공격 요소(Attack factor)를 기반으로 안티 디버깅(Anti-debugging), 개발 환경(Development Environment), 멀웨어(Malware), 취약성(Vulnerability), 사회 공학(Social Engineering) 중 하나 이상일 수 있다.
상기 위장 전술 지수를 산출하는 단계는, 상기 컴퓨팅 장치에서, 상기 선별된 아티팩트별 공격 지수를 산출하는 단계; 상기 컴퓨팅 장치에서, 상기 산출된 아티팩트별 공격 지수를 기반으로 평가 지표별 공격 지수를 산출하는 단계; 상기 컴퓨팅 장치에서, 상기 산출된 평가 지표별 공격 지수를 모두 합산하여 총 공격 지수를 산출하는 단계; 상기 컴퓨팅 장치에서, 상기 산출된 총 공격 지수 및 평가 지표 간의 연관관계에 따른 가중치를 기반으로 실제 공격 지수를 산출하는 단계; 및 상기 컴퓨팅 장치에서, 상기 산출된 실제 공격 지수를 기반으로 상기 위장 전술 지수를 산출하는 단계를 더 포함할 수 있다.
상기 선별된 아티팩트별 공격 지수를 산출하는 단계는, 상기 컴퓨팅 장치에서, 상기 선별된 아티팩트에 각각 기 설정된 가중치를 부여하여 아티팩트별 가중치를 설정하는 단계; 상기 컴퓨팅 장치에서, 기 저장된 아티팩트 및 상기 선별된 아티팩트를 비교하여 아티팩트별 유사도를 산출하는 단계; 및 상기 컴퓨팅 장치에서, 상기 설정된 아티팩트별 가중치 및 상기 산출된 아티팩트별 유사도를 기반으로 상기 아티팩트별 공격 지수를 산출하는 단계를 더 포함할 수 있다.
상기 아티팩트별 유사도를 산출하는 단계는 상기 컴퓨팅 장치에서, 기 저장된 공격자별 아티팩트 중 특정 공격자에 대한 아티팩트를 추출하는 단계; 및 상기 컴퓨팅 장치에서, 상기 추출된 특정 공격자에 대한 아티팩트와 상기 선별된 아티팩트를 비교하여 상기 특정 공격자에 대한 아티팩트별 유사도를 산출하는 단계를 더 포함할 수 있다.
상기 평가 지표별 공격 지수를 산출하는 단계는, 상기 컴퓨팅 장치에서, 상기 분류된 평가 지표에 따라 각 평가 지표에 포함된 아티팩트 공격 지수를 각각 합산하여 상기 평가 지표별 공격 지수를 산출하는 단계를 더 포함할 수 있다.
본 발명의 다른 예시적인 실시예에 따르면, 외부 서버로부터 사이버 침해 정보를 수집하는 정보 수집부; 상기 수집된 사이버 침해 정보 중 기 설정된 기준에 따라 아티팩트를 선별하는 아티팩트 선별부; 상기 선별된 아티팩트의 속성에 따라 평가 지표로 분류하는 위장 전술 지수 산출부; 및 상기 분류된 평가 지표를 기반으로 위장 전술 지수를 산출하는 위장 전술 지수 산출부를 포함하는, 사이버 공격의 위장 전술 판단 장치가 제공된다.
본 발명의 실시예들에 따르면, 사이버 공격의 방어자인 보안 분석가의 관점 뿐만 아니라 공격자인 해커의 관점이 반영된 침해흔적(Artifact)을 기반으로 사이버 공격의 위장 전술을 판단함으로써, 사이버 공격의 위장전술을 보다 체계적이고 객관적으로 판단할 수 있으며, 보다 효과적으로 침해대응을 할 수 있다.
또한, 본 발명의 실시예들에 따르면, 기 저장된 해커별 사이버 침해 정보 및 수집한 사이버 침해 정보를 이용하여 사이버 침해 흔적이 사이버 공격을 수행한 해커의 위장 전술을 판단함으로써, 사이버 공격의 위장전술을 보다 체계적이고 객관적으로 판단할 수 있으며, 보다 효과적으로 침해대응을 할 수 있다.
도 1은 본 발명의 일 실시예에 따른 사이버 공격의 위장 전술 판단 장치를 설명하기 위한 구성도
도 2는 본 발명의 일 실시예에 따른 사이버 공격의 위장 전술 판단 방법을 설명하기 위한 흐름도
도 3은 본 발명의 일 실시예에 따른 사이버 공격의 위장 전술 판단 방법의 단계 340을 설명하기 위한 흐름도
도 4는 예시적인 실시예들에서 사용되기에 적합한 컴퓨팅 장치를 포함하는 컴퓨팅 환경을 예시하여 설명하기 위한 블록도
도 2는 본 발명의 일 실시예에 따른 사이버 공격의 위장 전술 판단 방법을 설명하기 위한 흐름도
도 3은 본 발명의 일 실시예에 따른 사이버 공격의 위장 전술 판단 방법의 단계 340을 설명하기 위한 흐름도
도 4는 예시적인 실시예들에서 사용되기에 적합한 컴퓨팅 장치를 포함하는 컴퓨팅 환경을 예시하여 설명하기 위한 블록도
이하, 도면을 참조하여 본 발명의 구체적인 실시형태를 설명하기로 한다. 이하의 상세한 설명은 본 명세서에서 기술된 방법, 장치 및/또는 시스템에 대한 포괄적인 이해를 돕기 위해 제공된다. 그러나 이는 예시에 불과하며 본 발명은 이에 제한되지 않는다.
본 발명의 실시예들을 설명함에 있어서, 본 발명과 관련된 공지기술에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략하기로 한다. 그리고, 후술되는 용어들은 본 발명에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다. 상세한 설명에서 사용되는 용어는 단지 본 발명의 실시예들을 기술하기 위한 것이며, 결코 제한적이어서는 안 된다. 명확하게 달리 사용되지 않는 한, 단수 형태의 표현은 복수 형태의 의미를 포함한다. 본 설명에서, "포함" 또는 "구비"와 같은 표현은 어떤 특성들, 숫자들, 단계들, 동작들, 요소들, 이들의 일부 또는 조합을 가리키기 위한 것이며, 기술된 것 이외에 하나 또는 그 이상의 다른 특성, 숫자, 단계, 동작, 요소, 이들의 일부 또는 조합의 존재 또는 가능성을 배제하도록 해석되어서는 안 된다.
이하의 설명에 있어서, 신호 또는 정보의 "전송", "통신", "송신", "수신" 기타 이와 유사한 의미의 용어는 일 구성요소에서 다른 구성요소로 신호 또는 정보가 직접 전달되는 것뿐만이 아니라 다른 구성요소를 거쳐 전달되는 것도 포함한다. 특히 신호 또는 정보를 일 구성요소로 "전송" 또는 "송신"한다는 것은 그 신호 또는 정보의 최종 목적지를 지시하는 것이고 직접적인 목적지를 의미하는 것이 아니다. 이는 신호 또는 정보의 "수신"에 있어서도 동일하다. 또한 본 명세서에 있어서, 2 이상의 데이터 또는 정보가 "관련"된다는 것은 하나의 데이터(또는 정보)를 획득하면, 그에 기초하여 다른 데이터(또는 정보)의 적어도 일부를 획득할 수 있음을 의미한다.
도 1은 본 발명의 일 실시예에 따른 사이버 공격의 위장 전술 판단 장치(100)를 설명하기 위한 구성도이다.
도 1을 참조하면, 본 발명의 일 실시예에 따른 사이버 공격의 위장 전술 판단 장치(100)는 정보 수집부(110), 아티팩트 선별부(120), 평가 지표 분류부(130), 위장 전술 지수 산출부(140) 및 위장 전술 판단부(150)를 포함할 수 있다.
한편, 사이버 공격의 위장 전술 판단 장치(100)는 사이버 공격과 관련된 다양한 침해 사고 정보를 수집하고, 수집된 침해 사고 정보를 분석하여 사이버 공격을 수행한 해커의 위장 전술을 판단하는 장치이다. 여기서, 사이버 공격은 해킹, 컴퓨터 바이러스 등 정보 통신 기술을 활용하여 네트워크나 컴퓨터 시스템 등을 공격함으로써 사회적 또는 경제적 피해를 야기할 수 있는 모든 행위를 의미한다. 또한, 사이버 공격과 연관된 침해 사고 정보는 사이버 공격에 직접적 또는 간접적으로 연관된 모든 종류의 침해 사고 정보를 포함한다. 이 때, 침해 사고 정보 중 사이버 공격 과정에서 해커가 남긴 디지털 흔적이나 증거를 아티팩트(artifact)라 한다. 이러한 아티팩트는 사이버 침해 사고 조사 및 사후 분석을 통해 해커의 행위, 공격 방법, 침입 경로 및 악의적인 활동의 흔적을 식별할 수 있다. 또한, 위장 전술이란 해커가 자신의 출처, 신원, 공격 기술 등의 특성을 마치 다른 해커인 것처럼 속이거나 착각하게 만드는 방법을 의미한다.
즉, 본 발명의 일 실시예에 따른 사이버 공격의 위장 전술 판단 장치(100)는 기 저장된 해커별 사이버 침해 정보 및 수집한 사이버 침해 정보를 이용하여 사이버 침해 흔적이 사이버 공격을 수행한 해커의 위장 전술일 가능성을 판단하기 위한 것이다.
정보 수집부(110)는 사이버 침해 정보를 수집할 수 있다. 구체적으로, 정보 수집부(110)는 복수의 정보 공유 채널로부터 사이버 공격에 대한 사이버 침해 정보를 수집할 수 있다. 예를 들어, 복수의 정보 공유 채널은 사이버 블랙박스, C-share(한국 인터넷 진흥원에서 운영하는 침해사고 정보 공유 시스템), DNSBL(Domain Name Server based Black List), 유포지/악성코드 공유채널(예 : virusshare.com 등)등이 될 수 있다. 여기서, 사이버 침해 정보는 침해지표(INDICATORS OF COMPROMISE; IOC), 공격지표(INDICATORS OF ATTACK; IOA) 및 행동지표(INDICATORS OF BEHAVIOR; IOB)를 포함할 수 있다. 침해지표는 사고 발생시 해커를 인식할 수 있는 지표를 의미하며, 공격지표는 공격이 성공하기 전의 선제적 조치(코드 실행, 명령 제어, 지속적인 은폐, 확산 등)을 의미하며, 행동 지표는 시스템이나 네트워크에서 관찰된 특정 행동 패턴을 의미할 수 있다. 이 때, 정보 수집부(110)는 사이버 침해 정보를 주요 공격자(해커)별로 사이버 침해 정보를 수집하여 공격자별 사이버 침해 정보를 분류할 수 있다.
아티팩트 선별부(120)는 사이버 침해 정보 중 아티팩트를 선별할 수 있다. 구체적으로, 아티팩트 선별부(120)는 사이버 침해 정보 중 기 설정된 기준에 따라 아티팩트를 선별할 수 있다. 예를 들어, 아티팩트 선별부(120)는 사이버 침해 정보 중 인프라 관련 기본 요소(Fundamental factor)와 공격 기법 관련 공격 요소(Attack factor)로 구분하여 33가지의 아티팩트를 선별할 수 있다.
아티팩트로는 아이피(internet protocol; IP), 도메인(Domain), 포트(Port), URL(uniform resource locator), C2 서버(Command & Control server), 서버 호스팅 기록(Server hosting records), HTTP 리퍼러(HTTP referrer), 로그(Log), 이메일 주소(Email address), 암호 화폐 주소(Cryptocurrency address), 하드웨어 정보(Hardware Information), 암호화/복호화 방법(Encryption/decryption method), 난독화(Obfuscation), 메타데이터(Meta Data), 디지털 인증서(Digital certificate), 패킹(Packing), 개발 정보(Development information), 타임 스탬프(Time stamp), 지역(Region), 언어(Language), 해시값(Hash value), 파일 형식(File type), 행위 패턴(Behavior pattern), 라이브러리(Library), Zero-day, N-day, 원격 코드 실행(Remote Code Execution; RCE), 권한 상승(Privilege Escalation), 쉘코드(Shellcode), 미끼 문서(Decoy document), 피싱&파밍(Phishing & Pharming), SNS 계정(SNS account) 및 공격 대상(Attack target)을 포함할 수 있다. 이러한 아티팩트는 AHP(Analytic Hierarchy Process)를 기반으로 공격자인 해커의 관점과 방어자인 보안 분석가의 관점을 고려하여 사이버 침해 정보 중 위장 전술 분석에 유용한 아티팩트를 선정하여 구성될 수 있다. 한편, 본 발명에서는 사이버 침해 정보 중 기 선정된 33개의 아티팩트를 선별하는 것으로 설명하였으나, 이에 한정되는 것은 아니며, 해커 및 보안 분석가의 관점에 따라 33개보다 많거나 또는 적은 아티팩트를 선별할 수도 있다.
평가 지표 분류부(130)는 아티팩트의 속성에 따라 평가 지표로 분류할 수 있다. 구체적으로, 평가 지표 분류부(130)는 아티팩트 선별부(120)에서 선별된 33개의 아티팩트들의 속성에 따라 평가 지표로 분류할 수 있다. 예를 들어, 아티팩트의 속성에 따라 분류되는 평가 지표는 인프라 관련 기본 요소(Fundamental factor)를 기반으로 한 네트워크(Network), 서버(Server), 호스트(Host) 및 공격 기법 관련 공격 요소(Attack factor)를 기반으로 안티 디버깅(Anti-debugging), 개발 환경(Development Environment), 멀웨어(Malware), 취약성(Vulnerability), 사회 공학(Social Engineering)를 포함할 수 있다.
주요 평가 지표의 내용을 정리하면 아래와 같다.
- 네트워크(Network)는 사이버 보안 사고 분석의 기본 요소로써, 아이피(IP), 도메인(Domain) 및 포트(Port)를 포함할 수 있다.
IP는 인터넷에 연결된 장치에 할당된 고유 식별자를 의미할 수 있다. 해커는 VPN, 프록시를 활용하거나 스푸핑과 같은 해킹 기술을 사용하여 IP를 위장하려고 시도하며, IP는 비영속성과 강한 변동성으로 인해 추적에 어려움을 겪을 수 있어 위장 전술에 유용할 수 있다. 사이버 보안 사고에서 동일한 컴퓨터나 디지털 기기가 동일한 인프라를 사용하여 반복적으로 탐지된 경우 증거가 될 수 있다.
도메인은 인터넷에 연결된 장치, 서비스 또는 관련 개체의 이름을 지정하는 시스템을 의미할 수 있다. 해커는 호스팅 제공업체의 계정을 통해 도메인을 제어하는 경우가 많다. 이러한 도메인은 사이버 보안 조사에서 증거가 될 수 있다.
포트는 통신 채널을 의미할 수 있다. 포트는 필요에 따라 변경할 수 있으며, 해커는 포트를 사용하여 악의적인 트래픽을 합법적인 TLS 트래픽으로 위장할 수 있다.
- 서버(Server)는 공격 전파에 중요한 요소로써, URL(uniform resource locator), C2 서버(Command & Control server), 서버 호스팅 기록(Server hosting records), HTTP 리퍼러(HTTP referrer) 및 로그(Log)를 포함할 수 있다.
URL은 인터넷 상의 여러 컴퓨터 사이에서 데이터를 교환하기 위한 주소를 의미할 수 있으며, 웹 페이지의 위치를 나타낼 수 있다. URL은 다양한 기술을 통하여 위장 전술에 악용될 수 있으며, 예를 들어, URL 스푸핑을 사용할 수 있다. 즉, URL 스푸핑을 이용하여 인터넷에 표시된 주소를 속이거나 위장하여 다른 특정 사이트처럼 보이도록 만들 수 있다.
C2 서버는 피해자 시스템을 제어하고 악성 코드를 통하여 명령을 내리기 위해 활용되어 위장 전술의 핵심 구성 요소일 수 있다. 예를 들어, 악성코드 및 시스템 해킹에 사용되는 해커의 C2 서버가 차단되어 접속이 불가능해지더라도 호스팅 제공업체가 유지하는 계정으로 로그인하면 서버를 관리할 수 있다. 결과적으로, 해커는 호스팅 제공업체가 관리하는 C2 서버를 합법적으로 활용하거나 위장하기 위해 해킹 기술을 사용할 수 있다.
서버 호스팅 기록은 호스팅 제공업체에서 제공되는 호스팅 기록을 의미할 수 있다. 해커는 악성코드와의 통신을 위해 호스팅 제공업체로부터 C2 서버를 임대하는 경우가 많으며, 특정 절차를 통하여 호스팅 제공업체로부터 서버 호스팅 기록을 확인하거나, 웹 엔진에서 제공하는 정보를 검사하여 기록을 추적할 수 있다.
HTTP 리퍼러는 현재 웹페이지의 소스에 대한 정보를 의미할 수 있다. 이러한 현재 웹페이지의 소스에 대한 정보를 서버로 전송하여 관리자가 사용자 트래픽 소스를 식별할 수 있다. 이 때, 리퍼러 데이터는 방화벽 및 프록시 시스템을 통해 스푸핑되거나, HTTP URI(Uniform Resource Identifier) 헤더 필드를 조작하여 위장될 수 있다.
로그는 운영 체제나 소프트웨어의 운영 활동을 기록하는 파일을 의미할 수 있다. 로그는 사이버 보안 사고 조사 시 공격 방법을 분석하는데 일반적으로 사용될 수 있다. 이 때, 해커는 운영체제에 내장된 도구를 이용하여 은밀하게 활동할 경우 로그 파일을 삭제하거나 공격 탐지를 어렵게 만들 수 있다.
- 호스트(Host)는 해커 및 피해자 호스트와 관련된 정보를 추적하기 위한 요소로써, 이메일 주소(Email address), 암호 화폐 주소(Cryptocurrency address) 및 하드웨어 정보(Hardware Information)를 포함할 수 있다.
이메일 주소는 피해자를 유인하거나 해커의 신원을 숨기기 위해 위장할 수 있다. 이메일 주소는 이메일 전송을 담당하는 SMTP 프로토콜에 취약점이 있어, 이메일 헤더가 스푸핑을 통해 다른 소스에서 온 것처럼 나타낼 수 있다. 이를 통해 해커는 자신의 신원을 숨기고 위장 전술에 이용할 수 있다.
암호화폐는 계정 소유자 정보를 공개하지 않고 거래를 용이하게 하는 컴퓨터 코드를 의미할 수 있다. 암호화폐는 블록체인 기술을 통해 작동되어 기존 은행 시스템 외부에서 자금을 세탁할 수 있다.
하드웨어 정보는 하드 드라이브, 네트워크 인터페이스 카드, MAC 주소, SIM 카드, IMEI 번호 등 시스템의 하드웨어 구성 요소에 대한 데이터가 포함될 수 있다. 하드웨어 정보는 시스템을 식별하는데 활용될 수 있다.
- 안티 디버깅(Anti-debugging)는 침입 분석을 복잡하게 만드는 요소로써, 암호화/복호화 방법(Encryption/decryption method), 난독화(Obfuscation), 메타데이터(Meta Data), 디지털 인증서(Digital certificate) 및 패킹(Packing)를 포함할 수 있다.
암호화/복호화 방법은 해커가 통신 보안을 강화하거나 악성 코드로부터 통신 데이터 및 공격 코드를 숨기기 위해 암호화 기술을 사용할 수 있다. 특히, 랜섬웨어는 고유한 암호화 방법을 사용하여 대상 파일을 암호화하는 경우가 많아 해커의 특징을 나타낼 수 있다.
난독화는 해커가 악성 또는 공격 코드를 분석하기 어렵게 만들기 위해 사용하는 기술을 의미할 수 있다. 해커들은 서로 다른 난독화 방법을 사용하기 때문에 해커의 특징을 나타낼 수 있다.
메타 데이터는 작성자 정보, 권한 조건, 사용 조건, 사용 내역 등 특정 규칙에 따라 빠른 검색을 위해 사용되는 정보를 의미할 수 있다.
디지털 인증서는 인증 기관에서 발행하는 보증서를 의미할 수 있다. 실행 파일을 디지털 인증서로 서명하면 안전한 것으로 인식될 수 있다. 이러한 디지털 인증서는 사람의 실수나 해킹으로 인해 바이러스 백신 시스템을 통과할 수 있다.
패킹은 해커가 자신의 코드를 숨기기 위해 사용할 수 있는 실행 파일을 압축하거나 암호화하는 기술을 의미할 수 있다. 해커는 탐지를 회피하기 위해 패키징 기술을 사용할 수 있으며, 해커의 특징을 나타낼 수 있다.
- 개발 환경(Development Environment)은 공격 기술을 개발할 때 포함될 수 있는 요소로써, 개발 정보(Development information), 타임 스탬프(Time stamp), 지역(Region) 및 언어(Language)를 포함할 수 있다.
개발 정보는 문자열 및 디버그 경로를 포함할 수 있다. 디버그 경로에는 작성자가 선호하는 이름이 포함될 수 있다.
타임스탬프는 악성 코드의 컴파일에 포함될 수 있다. 타임스탬프는 악성코드가 개발된 근무시간과 시간대를 나타낼 수 있다.
지역은 해커의 위치에 대한 정보를 나타낼 수 있다. 해커는 자신의 활동을 숨기기 위해 익명화된 서비스를 사용하는 경우가 많으나 실수에 의해 공격자의 위치에 대한 정보가 유출될 수 있다.
언어는 악성 코드에 포함된 글꼴을 의미할 수 있다. 언어는 특정 국가의 언어로 되어 있는 경우, 해커의 특징을 나타낼 수 있다.
- 멀웨어(Malware)는 악성코드의 특성과 관련된 요소로써, 해시값(Hash value), 파일 형식(File type) 및 행위 패턴(Behavior pattern)을 포함할 수 있다.
해시값은 악성코드를 식별하기 위해 사용되며, 단방향 알고리즘을 사용하여 파일에 포함된 데이터를 계산할 수 있다.
파일 유형은 악성코드가 특정 파일 형식과 연관되어 있는 것을 통하여 흔적을 식별할 수 있다.
행위 패턴은 악성코드가 나타내는 고유한 패턴을 의미할 수 있다. 동일한 해커가 전송한 악성코드는 유사성을 나타낼 수 있다. 또한, 동일한 악성 코드 계열 내에서는 코드 개발자나 소스 코드에 유사성을 나타낼 수 있다. 이러한 특징은 악성코드 분석에 이용될 수 있다.
라이브러리는 소프트웨어 개발 단계에서 의존적으로 사용될 수 있다. 자주 사용되는 라이브러리를 통해 해커의 특징이 나타날 수 있다.
- 취약성(Vulnerability)은 실제 공격 방법과 관련된 요소로써, Zero-day, N-day, 원격 코드 실행(Remote Code Execution; RCE), 권한 상승(Privilege Escalation) 및 쉘코드(Shellcode)를 포함할 수 있다.
제로데이는 표적 공격에 사용되는 제로데이의 취약성을 나타낼 수 있다.
N-day는 패치가 제공되었으나 여전히 악용되고 있는 N-데이의 취약성을 나타낼 수 있다.
원격 코드 실행은 해커가 시스템이나 네트워크에 원격으로 악성 코드를 설치하는 사이버 공격의 일종을 나타낼 수 있다.
권한 상승은 해커가 초기에 시스템 액세스 권한이 부족할 때 상승된 권한을 얻으려고 시도하는 사이버 공격의 일종을 나타낼 수 있다.
쉘코드는 해커가 취약성을 이용하여 시스템을 완전히 제어하기 위해 사용하는 공격 코드를 의미할 수 있다. 쉘코드는 일반적으로 16진수 opcode 형식으로 작성되나, 해커는 탐지를 어렵게 만들기 위해 고급 쉘코드를 제작하게 된다. 이는 해커의 특징을 나타낼 수 있다.
- 사회 공학(Social Engineering)은 공격 대상과 관련된 요소로써, 미끼 문서(Decoy document), 피싱&파밍(Phishing & Pharming), SNS 계정(SNS account) 및 공격 대상(Attack target)를 포함할 수 있다.
미끼 문서는 해커가 피해자를 유인하여 악성 코드를 설치하도록 유도하기 위해 사용되는 문서일 수 있다. 이러한 문서는 해커의 공격 여부, 정보 유출 정도 및 해커의 의도를 파악할 수 있다.
피싱은 이메일, URL, 웹사이트, 온라인 게임, 소셜 미디어 등의 방법을 사용하여 비밀번호, 신용카드 정보 등의 개인정보를 부정하게 얻는 방법을 의미할 수 있다. 또한, 파밍은 사용자를 가짜 웹사이트로 안내하는 방법을 의미할 수 있다. 이러한 방법들은 해커의 특징을 나타낼 수 있다.
SNS 계정은 이메일 계정과 연결되어 해커를 식별하는데 도움이 될 수 있다. 예를 들어, 이전 해킹에서 식별된 이메일 계정을 사용하여 소셜 미디어 계정을 생성하고, 그 이후 지속적으로 활용한 경우 분석에 사용될 수 있다.
공격 대상은 해커와의 사이에서 정치적, 문화적 갈등 관계가 있거나 정치적 관련성이 있는 경우, 해커를 식별하는데 도움이 될 수 있다.
위장 전술 지수 산출부(140)는 평가 지표를 기반으로 위장 전술 지수를 산출할 수 있다.
예시적인 실시예에서, 위장 전술 지수 산출부(140)는 선별된 아티팩트에 기 설정된 가중치를 부여하여 아티팩트별 가중치를 설정할 수 있다. 구체적으로, 위장 전술 지수 산출부(140)는 AHP(Analytic Hierarchy Process)를 기반으로 공격자인 해커의 관점과 방어자인 보안 분석가의 관점을 고려하여 선정된 33개의 아티팩트에 대하여 아티팩트의 우선순위 및 중요도에 따라 기 설정된 가중치를 각각 부여할 수 있다. 이 때, 기 설정된 가중치의 총 합이 1이 되도록 각각의 아티팩트에 기 설정된 가중치를 부여하여 아티팩트별 가중치를 설정할 수 있다. 예를 들어, 각 아티팩트에 설정된 가중치는 아래 표와 같다.
| 우선 순위 | 아티팩트 | 가중치 |
| 1 | Zero-day | 0.297028888 |
| 2 | 권한 상승 | 0.049701241 |
| 3 | 쉘코드 | 0.048673115 |
| 4 | 원격 코드 실행 | 0.045817191 |
| 5 | 공격 대상 | 0.043882166 |
| 6 | 행위 패턴 | 0.043274665 |
| 7 | 개발 정보 | 0.042781236 |
| 8 | 디지털 인증서 | 0.039464996 |
| 9 | N-day | 0.036768101 |
| 10 | 라이브러리 | 0.027196932 |
| 11 | 암호 화폐 주소 | 0.024661593 |
| 12 | 언어 | 0.024026261 |
| 13 | 서버 호스팅 기록 | 0.023897947 |
| 14 | 로그 | 0.020599153 |
| 15 | 미끼 문서 | 0.020521488 |
| 16 | 타임스탬프 | 0.018997814 |
| 17 | IP | 0.018832682 |
| 18 | 해쉬값 | 0.018465057 |
| 19 | C2 서버 | 0.017768075 |
| 20 | 지역 | 0.017057027 |
| 21 | 피싱 & 파밍 | 0.013137802 |
| 22 | SNS 계정 | 0.012854965 |
| 23 | 암호화/복호화 방법 | 0.012808789 |
| 24 | 파일 형식 | 0.012616192 |
| 25 | 난독화 | 0.012196382 |
| 26 | 하드웨어 정보 | 0.010647166 |
| 27 | 도메인 | 0.008398051 |
| 28 | URL | 0.007680378 |
| 29 | 메타 데이터 | 0.007280107 |
| 30 | HTTP 리퍼러 | 0.007014646 |
| 31 | 패킹 | 0.006274525 |
| 32 | 이메일 주소 | 0.005741198 |
| 33 | 포트 | 0.003934171 |
| 합계 | 1 | |
또한, 위장 전술 지수 산출부(140)는 기 저장된 아티팩트와 선별된 아티팩트를 비교하여 아티팩트별 유사도 산출할 수 있다. 구체적으로, 위장 전술 지수 산출부(140)는 기 저장된 해커별 아티팩트 중 특정 해커에 대한 아티팩트를 추출하고, 특정 해커에 대한 아티팩트와 선별된 아티팩트를 비교하여 특정 해커에 대한 아티팩트별 유사도를 산출할 수 있다. 이 때, 특정 해커는 사이버 공격을 수행한 것으로 예상되는 해커일 수 있다. 즉, 특정 해커와의 아티팩트별 유사도를 산출함으로써, 특정 해커의 위장 전술 가능성을 판단할 수 있게 된다. 위장 전술 지수 산출부(140)는 기 설정된 기준에 따라 아티팩트별 유사도를 산출할 수 있다. 예를 들어, 기 설정된 기준은 유사성이 70%이상인 경우, 유사도가 높음으로 판단하여 3을 유사도로 산출할 수 있다. 또한, 유사성이 40%이상인 경우, 유사도를 중간으로 판단하여 2를 유사도로 산출할 수 있다. 또한, 유사성이 10%이상인 경우, 유사도를 낮음으로 판단하여 1을 유사도로 산출할 수 있다. 또한, 유사성이 10%미만이거나 해당 아티팩트가 수집되지 않은 경우, 유사도가 없음으로 판단하여 0을 유사도로 산출할 수 있다.
또한, 위장 전술 지수 산출부(140)는 아티팩트별 가중치 및 아티팩트별 유사도를 기반으로 아티팩트별 공격 지수를 산출할 수 있다. 구제척으로, 위장 전술 지수 산출부(140)는 설정된 아티팩트별 가중치 및 산출된 아티팩트별 유사도를 곱하여 각 아티팩트의 공격 지수를 산출할 수 있다. 예를 들어, 아이피의 경우, 설정된 가중치가 0.018832682이고, 유사도가 3으로 산출된 경우, 아이피의 공격 지수는 0.056498046일 수 있다.
또한, 위장 전술 지수 산출부(140)는 아티팩트별 공격 지수를 기반으로 평가 지표별 공격 지수를 산출할 수 있다. 구체적으로, 위장 전술 지수 산출부(140)는 기 분류된 평가 지표에 따라 각 평가 지표에 포함된 아티팩트 공격 지수를 각각 합산하여 평가 지표별 공격 지수를 산출할 수 있다. 예를 들어, 평가 지표가 네트워크인 경우, 네트워크에 포함된 아티팩트(아이피, 도메인, 포트)의 공격 지수를 모두 합산하여 네트워크의 공격 지수를 산출할 수 있다.
또한, 위장 전술 지수 산출부(140)는 평가 지표별 공격 지수를 모두 합산하여 총 공격 지수를 산출할 수 있다. 이 때, 산출된 총 공격 지수는 백분율로 표시될 수 있다.
또한, 위장 전술 지수 산출부(140)는 아티팩트별 유사도를 기반으로 평가 지표 간의 연관관계에 따른 가중치를 설정할 수 있다. 예를 들어, 위장 전술 지수 산출부(140)는 아티팩트 유사도가 3인 아티팩트를 추출하고, 아티팩트가 추출되면 1배의 가중치를 부여하고, 추출된 아티팩트가 2개의 평가 지표에 포함되면 2배의 가중치를 부여하며, 추출된 아티팩트가 3개 이상의 평가 지표에 포함되면 3배의 가중치를 부여할 수 있다. 또한, 위장 전술 지수 산출부(140)는 아티팩트 유사도가 3인 아티팩트를 추출하고, 추출된 아티팩트가 기 설정된 평가 지표에 포함되면 3배의 가중치를 부여할 수 있다. 여기서, 기 설정된 평가 지표는 멀웨어(해시값, 파일 유형, 행위 패턴, 라이브러리) 및 인프라(네트워크(IP, 도메인, 포트) 및 서버(URL, C2 서버, 서버 호스팅 기록))일 수 있다. 이 때, 평가 지표 간의 연관관계에 따른 가중치는 부여된 가중치 중 가장 높은 값을 설정할 수 있다. 또한, 평가 지표 간의 연관관계에 따른 가중치는 1배, 2배, 3배 중 하나를 설정할 수 있다. 이는 해커가 위장 전술을 달성하기 위하여 다양한 아티팩트 간의 일관성과 동기화를 유지하는 것이 어렵기 때문에, 여러 아티팩트 간의 연관관계를 통하여 가중치를 부여함으로써, 실제 공격일 가능성을 높일 수 있다.
또한, 위장 전술 지수 산출부(140)는 총 공격 지수 및 평가 지표 간의 연관관계에 따른 가중치를 기반으로 실제 공격 지수를 산출할 수 있다. 구제척으로, 위장 전술 지수 산출부(140)는 총 공격 지수와 평가 지표 간의 연관관계에 따른 가중치를 곱하여 실제 공격 지수를 산출할 수 있다. 여기서, 실제 공격 지수는 사이버 공격의 침해흔적이 실제 공격일 가능성의 정도를 표현한 값을 의미할 수 있다.
또한, 위장 전술 지수 산출부(140)는 실제 공격 지수를 기반으로 위장 전술 지수를 산출할 수 있다. 예를 들어, 위장 전술 지수 산출부(140)는 100에서 실제 공격 지수를 뺀 값을 위장 전술 지수로 산출할 수 있다. 여기서, 위장 전술 지수는 사이버 공격의 침해흔적이 위장전술일 가능성의 정도를 표현한 값을 의미할 수 있다. 본 발명에서는 사이버 공격에 대한 평가는 실제 공격 또는 위장 전술 공격이라는 가정하에 위장 전술 지수를 산출(위장 전술 지수 = 100 - 실제 공격 지수)할 수 있다.
위장 전술 판단부(150)는 위장 전술 지수를 기반으로 위장 전술을 판단할 수 있다. 구체적으로, 위장 전술 판단부(150)는 위장 전술 지수를 기반으로 수집한 사이버 침해 정보가 위장 전술일 가능성을 판단할 수 있다. 예를 들어, 위장 전술 판단부(150)는 위장 전술 지수가 0인 경우, 위장 전술일 가능성이 없음으로 판단할 수 있다. 또한, 위장 전술 판단부(150)는 위장 전술 지수가 1 내지 40인 경우, 위장 전술일 가능성이 낮음으로 판단할 수 있다. 또한, 위장 전술 판단부(150)는 위장 전술 지수가 41 내지 70인 경우, 위장 전술일 가능성이 중간으로 판단할 수 있다. 또한, 위장 전술 판단부(150)는 위장 전술 지수가 71~90인 경우, 위장 전술일 가능성이 높음으로 판단할 수 있다. 또한, 위장 전술 판단부(150)는 위장 전술 지수가 91~100인 경우, 위장 전술일 가능성이 매우 높음으로 판단할 수 있다.
또한, 위장 전술 판단부(150)는 판단 결과를 사용자에게 제공할 수 있다.
예를 들어, 사이버 침해 정보로부터 특정 해커와 유사한 행동 패턴과 IP를 수집했다고 가정하면, 행동 패턴에 설정된 가중치는 0.043274665이고, IP에 설정된 가중치는 0.018832682이다. 특정 해커와 유사한 아티팩트를 수집했으므로, 기 저장된 특정 해커에 대한 아티팩트와 선별된 아티팩트를 비교하면 행동 패턴과 IP의 유사도는 각각 3으로 산출할 수 있다. 또한, 행동 패턴과 IP의 유사도가 3이고, 기 설정된 평가 지표(멀웨어 및 네트워크)에 포함되므로, 평가 지표 간의 연관관계에 따른 가중치는 3배의 가중치를 부여할 수 있다. 이를 기반으로 실제 공격 지수를 산출하게 되면, (0.043274665 * 3 + 0.018832682 * 3) * 100 * 3 = 55.90이 되며, 위장 전술 지수는 100 - 55.90 = 44.10이 될 수 있다. 위장 전술 지수가 41 내지 70인 경우, 특정 해커의 위장 전술일 가능성이 중간으로 판단할 수 있다.
예를 들어, 사이버 침해 정보로부터 특정 해커 A 및 B 와 유사한 아티팩트(행동 패턴, C2 서버, N-day, 언어, 공격 대상, 디지털 인증서)를 수집했다고 가정하면, 아래 표 2와 같이, 특정 해커 A 및 B에 대한 위장 전술일 가능성을 판단할 수 있다.
| 아티팩트 | 가중치 | 유사도 | |
| A | B | ||
| 동작 패턴 | 0.043274665 | 3 | 3 |
| C2 서버 | 0.017768075 | 3 | 0 |
| N-day | 0.036768101 | 0 | 0 |
| 언어 | 0.024026261 | 0 | 3 |
| 공격 대상 | 0.043882166 | 3 | 0 |
| 디지털 인증서 | 0.039464996 | 3 | 0 |
| 연관 관계에 따른 가중치 | 3 | 2 | |
| 실제 공격 지수 | 100 | 40.3805556 | |
| 위장 전술 지수 | 0 | 59.619444 | |
상기 표 2와 같이, 기 저장된 특정 해커 A와 선별된 아티팩트를 비교하면, 행동 패턴, C2 서버, 공격 대상 및 디지털 인증서의 유사도를 각각 3으로 산출할 수 있다. 또한, 기 저장된 특정 해커 B와 선별된 아티팩트를 비교하면, 동작 패턴 및 언어의 유사도를 각각 3으로 산출할 수 있다. 특정 해커 A에 대해서는, 동작 패턴과 C2 서버의 유사도가 3이고, 기 설정된 평가 지표(멀웨어 및 서버)에 포함되므로, 평가 지표간의 연관관계에 따른 가중치는 3배의 가중치를 부여할 수 있다. 특정 해커 B에 대해서는, 동작 패턴 과 언어의 유사도가 3이고, 2개의 평가 지표에 포함되므로, 평가 지표간의 연관관계에 따른 가중치는 2배의 가중치를 부여할 수 있다. 이를 기반으로 특정 해커 A에 대하여 실제 공격 지수를 산출하게 되면, (0.043274665 * 3 + 0.017768075 * 3 + 0.043882166 * 3 + 0.039464996 * 3) * 100 * 3 = 129.9509118이므로 실제 공격 지수는 100이 되며, 위장 전술 지수는 0이 된다. 또한, 특정 해커 B에 대하여 실제 공격 지수를 산출하게 되면, (0.043274665 * 3 + 0.024026261 * 3) * 100 * 2 = 40.3805556이므로 실제 공격 지수는 40.38이 되며, 위장 전술 지수는 100 - 40.38 = 59.62가 된다. 따라서, 수집한 사이버 침해 정보는 특정 해커 A의 실제 공격일 가능성이 매우 높은 것으로 판단할 수 있으며, 특정 해커 B의 위장 공격일 가능성이 중간인 것으로 판단할 수 있다.
즉, 본 발명의 일 실시예에 따른 사이버 공격의 위장 전술 판단 장치(100)는 기 저장된 해커별 사이버 침해 정보 및 수집한 사이버 침해 정보를 이용하여 사이버 침해 흔적이 사이버 공격을 수행한 해커의 위장 전술일 가능성을 판단할 수 있다.
도 2는 본 발명의 일 실시예에 따른 사이버 공격의 위장 전술 판단 방법을 설명하기 위한 흐름도이다. 도 2에 도시된 방법은 예를 들어, 전술한 사이버 공격의 위장 전술 판단 장치에 의해 수행될 수 있다. 도시된 흐름도에서는 상기 방법을 복수 개의 단계로 나누어 기재하였으나, 적어도 일부의 단계들은 순서를 바꾸어 수행되거나, 다른 단계와 결합되어 함께 수행되거나, 생략되거나, 세부 단계들로 나뉘어 수행되거나, 또는 도시되지 않은 하나 이상의 단계가 부가되어 수행될 수 있다.
단계 210에서, 컴퓨팅 장치(12)는 사이버 침해 정보를 수집할 수 있다. 구체적으로, 컴퓨팅 장치(12)는 복수의 정보 공유 채널로부터 사이버 공격에 대한 사이버 침해 정보를 수집할 수 있다.
단계 220에서, 컴퓨팅 장치(12)는 사이버 침해 정보 중 아티팩트를 선별할 수 있다. 구체적으로, 컴퓨팅 장치(12)는 사이버 침해 정보 중 기 설정된 기준에 따라 아티팩트를 선별할 수 있다. 예를 들어, 아티팩트 선별부는 사이버 침해 정보 중 인프라 관련 기본 요소(Fundamental factor)와 공격 기법 관련 공격 요소(Attack factor)로 구분하여 33가지의 아티팩트를 선별할 수 있다.
단계 230에서, 컴퓨팅 장치(12)는 아티팩트의 속성에 따라 평가 지표로 분류할 수 있다. 구체적으로, 컴퓨팅 장치(12)는 아티팩트 선별부에서 선별된 33개의 아티팩트들의 속성에 따라 평가 지표로 분류할 수 있다. 예를 들어, 아티팩트의 속성에 따라 분류되는 평가 지표는 인프라 관련 기본 요소(Fundamental factor)를 기반으로 한 네트워크(Network), 서버(Server), 호스트(Host) 및 공격 기법 관련 공격 요소(Attack factor)를 기반으로 안티 디버깅(Anti-debugging), 개발 환경(Development Environment), 멀웨어(Malware), 취약성(Vulnerability), 사회 공학(Social Engineering)를 포함할 수 있다.
단계 240에서, 컴퓨팅 장치(12)는 평가 지표를 기반으로 위장 전술 지수를 산출할 수 있다. 단계 240은 하기 도 3을 참조하여 보다 자세히 설명하기로 한다.
단계 250에서, 컴퓨팅 장치(12)는 위장 전술 지수를 기반으로 위장 전술을 판단할 수 있다. 구체적으로, 컴퓨팅 장치(12)는 위장 전술 지수를 기반으로 수집한 사이버 침해 정보가 위장 전술일 가능성을 판단할 수 있다.
도 3은 본 발명의 일 실시예에 따른 사이버 공격의 위장 전술 판단 방법의 단계 240을 설명하기 위한 흐름도이다.
단계 241에서, 컴퓨팅 장치(12)는 아티팩트별 공격 지수를 산출할 수 있다. 이 때, 컴퓨팅 장치(12)는 선별된 아티팩트에 기 설정된 가중치를 부여하여 아티팩트별 가중치 산출할 수 있다. 또한, 컴퓨팅 장치(12)는 기 저장된 아티팩트와 선별된 아티팩트를 비교하여 아티팩트별 유사도 산출할 수 있다. 또한, 컴퓨팅 장치(12)는 아티팩트별 가중치 및 아티팩트별 유사도를 기반으로 아티팩트별 공격 지수를 산출할 수 있다. 즉, 컴퓨팅 장치(12)는 기 분류된 평가 지표에 따라 각 평가 지표에 포함된 아티팩트 공격 지수를 각각 합산하여 평가 지표별 공격 지수를 산출할 수 있다.
단계 242에서, 컴퓨팅 장치(12)는 아티팩트별 공격 지수를 기반으로 평가 지표별 공격 지수를 산출할 수 있다. 이 때, 산출된 총 공격 지수는 백분율로 표시될 수 있다.
단계 243에서, 컴퓨팅 장치(12)는 산출된 평가 지표별 공격 지수를 모두 합산하여 총 공격 지수를 산출할 수 있다.
단계 244에서, 컴퓨팅 장치(12)는 총 공격 지수 및 평가 지표 간의 연관관계에 따른 가중치를 기반으로 실제 공격 지수를 산출할 수 있다. 이 때, 컴퓨팅 장치(12)는 아티팩트별 유사도를 기반으로 평가 지표 간의 연관관계에 따른 가중치를 설정할 수 있다. 예를 들어, 컴퓨팅 장치(12)는 아티팩트 유사도가 3인 아티팩트를 추출하고, 아티팩트가 추출되면 1배의 가중치를 부여하고, 추출된 아티팩트가 2개의 평가 지표에 포함되면 2배의 가중치를 부여하며, 추출된 아티팩트가 3개 이상의 평가 지표에 포함되면 3배의 가중치를 부여할 수 있다. 또한, 컴퓨팅 장치(12)는 아티팩트 유사도가 3인 아티팩트를 추출하고, 추출된 아티팩트가 기 설정된 평가 지표에 포함되면 3배의 가중치를 부여할 수 있다. 여기서, 기 설정된 평가 지표는 멀웨어(해시값, 파일 유형, 행위 패턴, 라이브러리) 및 인프라(네트워크(IP, 도메인, 포트) 및 서버(URL, C2 서버, 서버 호스팅 기록))일 수 있다. 이 때, 평가 지표 간의 연관관계에 따른 가중치는 부여된 가중치 중 가장 높은 값을 설정할 수 있다. 또한, 평가 지표 간의 연관관계에 따른 가중치는 1배, 2배, 3배 중 하나를 설정할 수 있다. 또한, 컴퓨팅 장치(12)는 총 공격 지수와 평가 지표 간의 연관관계에 따른 가중치를 곱하여 실제 공격 지수를 산출할 수 있다. 여기서, 실제 공격 지수는 사이버 공격의 침해흔적이 실제 공격일 가능성의 정도를 표현한 값을 의미할 수 있다.
단계 245에서, 컴퓨팅 장치(12)는 실제 공격 지수를 기반으로 위장 전술 지수를 산출할 수 있다. 예를 들어, 컴퓨팅 장치(12)는 100에서 실제 공격 지수를 뺀 값을 위장 전술 지수로 산출할 수 있다. 여기서, 위장 전술 지수는 사이버 공격의 침해흔적이 위장전술일 가능성의 정도를 표현한 값을 의미할 수 있다. 본 발명에서는 사이버 공격에 대한 평가는 실제 공격 또는 위장 전술 공격이라는 가정하에 위장 전술 지수를 산출(위장 전술 지수 = 100 - 실제 공격 지수)할 수 있다.
따라서, 본 발명의 일 실시예에 따른 사이버 공격의 위장 전술 판단 장치는 기 저장된 해커별 사이버 침해 정보 및 수집한 사이버 침해 정보를 이용하여 사이버 침해 흔적이 사이버 공격을 수행한 해커의 위장 전술일 가능성을 판단할 수 있다.
도 4는 예시적인 실시예들에서 사용되기에 적합한 컴퓨팅 장치를 포함하는 컴퓨팅 환경(10)을 예시하여 설명하기 위한 블록도이다. 도시된 실시예에서, 각 컴포넌트들은 이하에 기술된 것 이외에 상이한 기능 및 능력을 가질 수 있고, 이하에 기술된 것 이외에도 추가적인 컴포넌트를 포함할 수 있다.
도시된 컴퓨팅 환경(10)은 컴퓨팅 장치(12)를 포함한다. 일 실시예에서, 컴퓨팅 장치(12)는 사이버 공격의 위장 전술 판단 장치(100)일 수 있다.
컴퓨팅 장치(12)는 적어도 하나의 프로세서(14), 컴퓨터 판독 가능 저장 매체(16) 및 통신 버스(18)를 포함한다. 프로세서(14)는 컴퓨팅 장치(12)로 하여금 앞서 언급된 예시적인 실시예에 따라 동작하도록 할 수 있다. 예컨대, 프로세서(14)는 컴퓨터 판독 가능 저장 매체(16)에 저장된 하나 이상의 프로그램들을 실행할 수 있다. 상기 하나 이상의 프로그램들은 하나 이상의 컴퓨터 실행 가능 명령어를 포함할 수 있으며, 상기 컴퓨터 실행 가능 명령어는 프로세서(14)에 의해 실행되는 경우 컴퓨팅 장치(12)로 하여금 예시적인 실시예에 따른 동작들을 수행하도록 구성될 수 있다.
컴퓨터 판독 가능 저장 매체(16)는 컴퓨터 실행 가능 명령어 내지 프로그램 코드, 프로그램 데이터 및/또는 다른 적합한 형태의 정보를 저장하도록 구성된다. 컴퓨터 판독 가능 저장 매체(16)에 저장된 프로그램(20)은 프로세서(14)에 의해 실행 가능한 명령어의 집합을 포함한다. 일 실시예에서, 컴퓨터 판독 가능 저장 매체(16)는 메모리(랜덤 액세스 메모리와 같은 휘발성 메모리, 비휘발성 메모리, 또는 이들의 적절한 조합), 하나 이상의 자기 디스크 저장 디바이스들, 광학 디스크 저장 디바이스들, 플래시 메모리 디바이스들, 그 밖에 컴퓨팅 장치(12)에 의해 액세스되고 원하는 정보를 저장할 수 있는 다른 형태의 저장 매체, 또는 이들의 적합한 조합일 수 있다.
통신 버스(18)는 프로세서(14), 컴퓨터 판독 가능 저장 매체(16)를 포함하여 컴퓨팅 장치(12)의 다른 다양한 컴포넌트들을 상호 연결한다.
컴퓨팅 장치(12)는 또한 하나 이상의 입출력 장치(24)를 위한 인터페이스를 제공하는 하나 이상의 입출력 인터페이스(22) 및 하나 이상의 네트워크 통신 인터페이스(26)를 포함할 수 있다. 입출력 인터페이스(22) 및 네트워크 통신 인터페이스(26)는 통신 버스(18)에 연결된다. 입출력 장치(24)는 입출력 인터페이스(22)를 통해 컴퓨팅 장치(12)의 다른 컴포넌트들에 연결될 수 있다. 예시적인 입출력 장치(24)는 포인팅 장치(마우스 또는 트랙패드 등), 키보드, 터치 입력 장치(터치패드 또는 터치스크린 등), 음성 또는 소리 입력 장치, 다양한 종류의 센서 장치 및/또는 촬영 장치와 같은 입력 장치, 및/또는 디스플레이 장치, 프린터, 스피커 및/또는 네트워크 카드와 같은 출력 장치를 포함할 수 있다. 예시적인 입출력 장치(24)는 컴퓨팅 장치(12)를 구성하는 일 컴포넌트로서 컴퓨팅 장치(12)의 내부에 포함될 수도 있고, 컴퓨팅 장치(12)와는 구별되는 별개의 장치로 컴퓨팅 장치(12)와 연결될 수도 있다.
이상에서 본 발명의 대표적인 실시예들을 상세하게 설명하였으나, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 상술한 실시예에 대하여 본 발명의 범주에서 벗어나지 않는 한도 내에서 다양한 변형이 가능함을 이해할 것이다. 그러므로 본 발명의 권리범위는 설명된 실시예에 국한되어 정해져서는 안 되며, 후술하는 특허청구범위뿐만 아니라 이 특허청구범위와 균등한 것들에 의해 정해져야 한다.
100 : 사이버 공격의 위장 전술 판단 장치
110 : 정보 수집부
120 : 아티팩트 선별부
130 : 평가 지표 분류부
140 : 위장 전술 지수 산출부
150 : 위장 전술 판단부
110 : 정보 수집부
120 : 아티팩트 선별부
130 : 평가 지표 분류부
140 : 위장 전술 지수 산출부
150 : 위장 전술 판단부
Claims (18)
- 하나 이상의 프로세서들, 및
상기 하나 이상의 프로세서들에 의해 실행되는 하나 이상의 프로그램들을 저장하는 메모리를 구비한 컴퓨팅 장치에서 수행되는 사이버 공격의 위장 전술 판단 방법으로서,
상기 컴퓨팅 장치에서, 외부 서버로부터 사이버 침해 정보를 수집하는 단계;
상기 컴퓨팅 장치에서, 상기 수집된 사이버 침해 정보 중 기 설정된 기준에 따라 아티팩트를 선별하는 단계;
상기 컴퓨팅 장치에서, 상기 선별된 아티팩트의 속성에 따라 평가 지표로 분류하는 단계; 및
상기 컴퓨팅 장치에서, 상기 분류된 평가 지표를 기반으로 위장 전술 지수를 산출하는 단계를 포함하고,
상기 위장 전술 지수를 산출하는 단계는,
상기 컴퓨팅 장치에서, 상기 선별된 아티팩트별 공격 지수를 산출하는 단계;
상기 컴퓨팅 장치에서, 상기 산출된 아티팩트별 공격 지수를 기반으로 평가 지표별 공격 지수를 산출하는 단계;
상기 컴퓨팅 장치에서, 상기 산출된 평가 지표별 공격 지수를 모두 합산하여 총 공격 지수를 산출하는 단계;
상기 컴퓨팅 장치에서, 상기 산출된 총 공격 지수 및 평가 지표 간의 연관관계에 따른 가중치를 기반으로 실제 공격 지수를 산출하는 단계; 및
상기 컴퓨팅 장치에서, 상기 산출된 실제 공격 지수를 기반으로 상기 위장 전술 지수를 산출하는 단계를 더 포함하고,
상기 선별된 아티팩트별 공격 지수를 산출하는 단계는,
상기 컴퓨팅 장치에서, 상기 선별된 아티팩트에 각각 기 설정된 가중치를 부여하여 아티팩트별 가중치를 설정하는 단계;
상기 컴퓨팅 장치에서, 기 저장된 아티팩트 및 상기 선별된 아티팩트를 비교하여 아티팩트별 유사도를 산출하는 단계; 및
상기 컴퓨팅 장치에서, 상기 설정된 아티팩트별 가중치 및 상기 산출된 아티팩트별 유사도를 기반으로 상기 아티팩트별 공격 지수를 산출하는 단계를 더 포함하고,
상기 평가 지표 간의 연관관계에 따른 가중치는 상기 산출된 아티팩트별 유사도와 상기 분류된 평가 지표 간의 연관관계에 따른 가중치인, 사이버 공격의 위장 전술 판단 방법.
- 청구항 1에 있어서,
상기 사이버 공격의 위장 전술 판단 방법은,
상기 컴퓨팅 장치에서, 상기 산출된 위장 전술 지수를 기반으로 상기 수집된 사이버 침해 정보에 대한 위장 전술을 판단하는 단계; 및
판단 결과를 사용자에게 제공하는 단계를 더 포함하는, 사이버 공격의 위장 전술 판단 방법.
- 청구항 1에 있어서,
상기 사이버 침해 정보를 수집하는 단계는,
상기 컴퓨팅 장치에서, 상기 수집된 사이버 침해 정보를 공격자별로 분류하여 공격자별 사이버 침해 정보를 저장하는 단계를 더 포함하는, 사이버 공격의 위장 전술 판단 방법.
- 청구항 1에 있어서,
상기 아티팩트는,
아이피(internet protocol; IP), 도메인(Domain), 포트(Port), URL(uniform resource locator), C2 서버(Command & Control server), 서버 호스팅 기록(Server hosting records), HTTP 리퍼러(HTTP referrer), 로그(Log), 이메일 주소(Email address), 암호 화폐 주소(Cryptocurrency address), 하드웨어 정보(Hardware Information), 암호화/복호화 방법(Encryption/decryption method), 난독화(Obfuscation), 메타데이터(Meta Data), 디지털 인증서(Digital certificate), 패킹(Packing), 개발 정보(Development information), 타임 스탬프(Time stamp), 지역(Region), 언어(Language), 해시값(Hash value), 파일 형식(File type), 행위 패턴(Behavior pattern), 라이브러리(Library), Zero-day, N-day, 원격 코드 실행(Remote Code Execution; RCE), 권한 상승(Privilege Escalation), 쉘코드(Shellcode), 미끼 문서(Decoy document), 피싱&파밍(Phishing & Pharming), SNS 계정(SNS account) 및 공격 대상(Attack target) 중 하나 이상인, 사이버 공격의 위장 전술 판단 방법.
- 청구항 1에 있어서,
상기 평가 지표는,
인프라 관련 기본 요소(Fundamental factor)를 기반으로 한 네트워크(Network), 서버(Server), 호스트(Host) 및 공격 기법 관련 공격 요소(Attack factor)를 기반으로 안티 디버깅(Anti-debugging), 개발 환경(Development Environment), 멀웨어(Malware), 취약성(Vulnerability), 사회 공학(Social Engineering) 중 하나 이상인, 사이버 공격의 위장 전술 판단 방법.
- 삭제
- 삭제
- 청구항 1에 있어서,
상기 아티팩트별 유사도를 산출하는 단계는,
상기 컴퓨팅 장치에서, 기 저장된 공격자별 아티팩트 중 특정 공격자에 대한 아티팩트를 추출하는 단계; 및
상기 컴퓨팅 장치에서, 상기 추출된 특정 공격자에 대한 아티팩트와 상기 선별된 아티팩트를 비교하여 상기 특정 공격자에 대한 아티팩트별 유사도를 산출하는 단계를 더 포함하는, 사이버 공격의 위장 전술 판단 방법.
- 청구항 1에 있어서,
상기 평가 지표별 공격 지수를 산출하는 단계는,
상기 컴퓨팅 장치에서, 상기 분류된 평가 지표에 따라 각 평가 지표에 포함된 아티팩트 공격 지수를 각각 합산하여 상기 평가 지표별 공격 지수를 산출하는 단계를 더 포함하는, 사이버 공격의 위장 전술 판단 방법.
- 외부 서버로부터 사이버 침해 정보를 수집하는 정보 수집부;
상기 수집된 사이버 침해 정보 중 기 설정된 기준에 따라 아티팩트를 선별하는 아티팩트 선별부;
상기 선별된 아티팩트의 속성에 따라 평가 지표로 분류하는 평가 지표 분류부; 및
상기 분류된 평가 지표를 기반으로 위장 전술 지수를 산출하는 위장 전술 지수 산출부를 포함하고,
상기 위장 전술 지수 산출부는,
상기 선별된 아티팩트별 공격 지수를 산출하고, 상기 산출된 아티팩트별 공격 지수를 기반으로 평가 지표별 공격 지수를 산출하며, 상기 산출된 평가 지표별 공격 지수를 모두 합산하여 총 공격 지수를 산출하며, 상기 산출된 총 공격 지수 및 평가 지표 간의 연관관계에 따른 가중치를 기반으로 실제 공격 지수를 산출하며, 상기 산출된 실제 공격 지수를 기반으로 상기 위장 전술 지수를 산출하고,
상기 위장 전술 지수 산출부는,
상기 선별된 아티팩트에 각각 기 설정된 가중치를 부여하여 아티팩트별 가중치를 설정하고, 기 저장된 아티팩트 및 상기 선별된 아티팩트를 비교하여 아티팩트별 유사도를 산출하며, 상기 설정된 아티팩트별 가중치 및 상기 산출된 아티팩트별 유사도를 기반으로 상기 아티팩트별 공격 지수를 산출하고,
상기 평가 지표 간의 연관관계에 따른 가중치는 상기 산출된 아티팩트별 유사도와 상기 분류된 평가 지표 간의 연관관계에 따른 가중치인, 사이버 공격의 위장 전술 판단 장치.
- 청구항 10에 있어서,
상기 사이버 공격의 위장 전술 판단 장치는,
상기 산출된 위장 전술 지수를 기반으로 상기 수집된 사이버 침해 정보에 대한 위장 전술을 판단하고, 판단 결과를 사용자에게 제공하는 위장 전술 판단부를 더 포함하는, 사이버 공격의 위장 전술 판단 장치.
- 청구항 10에 있어서,
상기 정보 수집부는,
상기 수집된 사이버 침해 정보를 공격자별로 분류하여 공격자별 사이버 침해 정보를 저장하는, 사이버 공격의 위장 전술 판단 장치.
- 청구항 10에 있어서,
상기 아티팩트는,
아이피(internet protocol; IP), 도메인(Domain), 포트(Port), URL(uniform resource locator), C2 서버(Command & Control server), 서버 호스팅 기록(Server hosting records), HTTP 리퍼러(HTTP referrer), 로그(Log), 이메일 주소(Email address), 암호 화폐 주소(Cryptocurrency address), 하드웨어 정보(Hardware Information), 암호화/복호화 방법(Encryption/decryption method), 난독화(Obfuscation), 메타데이터(Meta Data), 디지털 인증서(Digital certificate), 패킹(Packing), 개발 정보(Development information), 타임 스탬프(Time stamp), 지역(Region), 언어(Language), 해시값(Hash value), 파일 형식(File type), 행위 패턴(Behavior pattern), 라이브러리(Library), Zero-day, N-day, 원격 코드 실행(Remote Code Execution; RCE), 권한 상승(Privilege Escalation), 쉘코드(Shellcode), 미끼 문서(Decoy document), 피싱&파밍(Phishing & Pharming), SNS 계정(SNS account) 및 공격 대상(Attack target) 중 하나 이상인, 사이버 공격의 위장 전술 판단 장치.
- 청구항 10에 있어서,
상기 평가 지표는,
인프라 관련 기본 요소(Fundamental factor)를 기반으로 한 네트워크(Network), 서버(Server), 호스트(Host) 및 공격 기법 관련 공격 요소(Attack factor)를 기반으로 안티 디버깅(Anti-debugging), 개발 환경(Development Environment), 멀웨어(Malware), 취약성(Vulnerability), 사회 공학(Social Engineering) 중 하나 이상인, 사이버 공격의 위장 전술 판단 장치.
- 삭제
- 삭제
- 청구항 10에 있어서,
상기 위장 전술 지수 산출부는,
기 저장된 공격자별 아티팩트 중 특정 공격자에 대한 아티팩트를 추출하고, 상기 추출된 특정 공격자에 대한 아티팩트와 상기 선별된 아티팩트를 비교하여 상기 특정 공격자에 대한 아티팩트별 유사도를 산출하는, 사이버 공격의 위장 전술 판단 장치.
- 청구항 10에 있어서,
상기 위장 전술 지수 산출부는,
상기 분류된 평가 지표에 따라 각 평가 지표에 포함된 아티팩트 공격 지수를 각각 합산하여 상기 평가 지표별 공격 지수를 산출하는, 사이버 공격의 위장 전술 판단 장치.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020230177433A KR102653193B1 (ko) | 2023-12-08 | 2023-12-08 | 사이버 공격의 위장 전술 판단 방법 및 이를 수행하기 위한 장치 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020230177433A KR102653193B1 (ko) | 2023-12-08 | 2023-12-08 | 사이버 공격의 위장 전술 판단 방법 및 이를 수행하기 위한 장치 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| KR102653193B1 true KR102653193B1 (ko) | 2024-03-29 |
Family
ID=90483570
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020230177433A KR102653193B1 (ko) | 2023-12-08 | 2023-12-08 | 사이버 공격의 위장 전술 판단 방법 및 이를 수행하기 위한 장치 |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR102653193B1 (ko) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101781450B1 (ko) * | 2017-01-03 | 2017-09-25 | 한국인터넷진흥원 | 사이버 공격에 대한 위험도 산출 방법 및 장치 |
| KR20180013270A (ko) * | 2016-07-29 | 2018-02-07 | 국방과학연구소 | 효율적인 침해사고 대응을 위한 침해지표 자동 생성 방법 및 시스템 |
| KR101832292B1 (ko) | 2016-01-19 | 2018-04-04 | 한국인터넷진흥원 | 침해 사고 정보의 재귀적 수집 방법 및 그를 실행하는 프로그램이 기록된 컴퓨터 판독 가능한 매체 |
| WO2023012849A1 (ja) * | 2021-08-02 | 2023-02-09 | 日本電気株式会社 | 推論装置、推論方法、及び、記憶媒体 |
-
2023
- 2023-12-08 KR KR1020230177433A patent/KR102653193B1/ko active IP Right Grant
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101832292B1 (ko) | 2016-01-19 | 2018-04-04 | 한국인터넷진흥원 | 침해 사고 정보의 재귀적 수집 방법 및 그를 실행하는 프로그램이 기록된 컴퓨터 판독 가능한 매체 |
| KR20180013270A (ko) * | 2016-07-29 | 2018-02-07 | 국방과학연구소 | 효율적인 침해사고 대응을 위한 침해지표 자동 생성 방법 및 시스템 |
| KR101781450B1 (ko) * | 2017-01-03 | 2017-09-25 | 한국인터넷진흥원 | 사이버 공격에 대한 위험도 산출 방법 및 장치 |
| WO2023012849A1 (ja) * | 2021-08-02 | 2023-02-09 | 日本電気株式会社 | 推論装置、推論方法、及び、記憶媒体 |
Non-Patent Citations (1)
| Title |
|---|
| Florian Skopik and Timea Pahi, "Under false flag: using technical artifacts for cyber attack attribution"(2020.03.)* * |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Alshamrani et al. | A survey on advanced persistent threats: Techniques, solutions, challenges, and research opportunities | |
| US10333924B2 (en) | Reliable selection of security countermeasures | |
| US11831785B2 (en) | Systems and methods for digital certificate security | |
| US10326790B2 (en) | Reverse proxy computer: deploying countermeasures in response to detecting an autonomous browser executing on a client computer | |
| US9311476B2 (en) | Methods, systems, and media for masquerade attack detection by monitoring computer user behavior | |
| Krupp et al. | Linking amplification DDoS attacks to booter services | |
| Ko et al. | Management platform of threats information in IoT environment | |
| Lee et al. | Fileless cyberattacks: Analysis and classification | |
| KR102653193B1 (ko) | 사이버 공격의 위장 전술 판단 방법 및 이를 수행하기 위한 장치 | |
| Li | An empirical analysis on threat intelligence: Data characteristics and real-world uses | |
| Dahiya | Malware detection in IoT | |
| Berchi et al. | Security Issues in Cloud-based IoT Systems | |
| Virvilis-Kollitiris | Detecting advanced persistent threats through deception techniques | |
| Ariyathilake et al. | SQL injection detection and prevention solution for web applications | |
| Jawad et al. | Intelligent Cybersecurity Threat Management in Modern Information Technologies Systems | |
| Andalibi | Leveraging machine learning for end-user security and privacy protection | |
| Teichmann et al. | Phishing attacks: risks and challenges for law firms | |
| US20240154997A1 (en) | Tor-based malware detection | |
| US20220245249A1 (en) | Specific file detection baked into machine learning pipelines | |
| Falguni et al. | 'E-SPY': DETECTION AND PREDICTION OF WEBSITE ATTACKS. | |
| Bijjou | Web Application Firewall Bypassing: An Approach for Penetra | |
| Kuzuno | A Study on Kernel Memory Protection and Application Traffic Monitoring for Information Leakage Prevention | |
| Santos et al. | Analysis of web-related threats in ten years of logs from a scientific portal | |
| Ariyathilake et al. | SQL Injection Detection and Preventive Approach for Web Applications | |
| Çelik et al. | Detection of Trickbot and Emotet Banking Trojans with Machine Learning |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| E701 | Decision to grant or registration of patent right | ||
| GRNT | Written decision to grant |