[go: up one dir, main page]

KR101929528B1 - Apparatus and Method for Automatic Compensating a Risk Index - Google Patents

Apparatus and Method for Automatic Compensating a Risk Index Download PDF

Info

Publication number
KR101929528B1
KR101929528B1 KR1020170152254A KR20170152254A KR101929528B1 KR 101929528 B1 KR101929528 B1 KR 101929528B1 KR 1020170152254 A KR1020170152254 A KR 1020170152254A KR 20170152254 A KR20170152254 A KR 20170152254A KR 101929528 B1 KR101929528 B1 KR 101929528B1
Authority
KR
South Korea
Prior art keywords
security event
security
risk index
category
threat
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
KR1020170152254A
Other languages
Korean (ko)
Inventor
박종성
Original Assignee
주식회사 이글루시큐리티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 이글루시큐리티 filed Critical 주식회사 이글루시큐리티
Priority to KR1020170152254A priority Critical patent/KR101929528B1/en
Application granted granted Critical
Publication of KR101929528B1 publication Critical patent/KR101929528B1/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 위험지수 자동 보정 장치 및 방법에 관한 것으로 더욱 상세하게는, 인터넷 환경에서 각종 보안장비에서 발생하는 보안이벤트 및 당해 보안이벤트의 판정내역에 근거하여 당해 보안이벤트의 위험지수를 사전에 설정된 비율로 상향 또는 하향 조정함으로써 개별 보안이벤트에 대한 위험지수 및 개별 보안이벤트에 대한 위험지수에 기반하여 도출되는 각종 상위 위험지수의 적정성 및 신뢰도를 향상시켜주는 위험지수 자동 보정 장치 및 방법에 관한 것이다.The present invention relates to an apparatus and method for automatically correcting a risk index and, more particularly, to a system and method for automatically correcting a risk index of a security event based on security events occurring in various security equipments in the Internet environment, To an apparatus and method for automatically correcting a risk index to improve the suitability and reliability of various high risk indexes derived based on the risk indexes for individual security events and the risk indexes for individual security events.

Description

위험지수 자동 보정 장치 및 방법{Apparatus and Method for Automatic Compensating a Risk Index}Technical Field [0001] The present invention relates to an apparatus and method for automatically correcting a risk index,

본 발명은 위험지수 자동 보정 장치 및 방법에 관한 것으로 더욱 상세하게는, 인터넷 환경에서 각종 보안장비에서 발생하는 보안이벤트 및 당해 보안이벤트의 판정내역에 근거하여 당해 보안이벤트의 위험지수를 사전에 설정된 비율로 상향 또는 하향 조정함으로써 개별 보안이벤트에 대한 위험지수 및 개별 보안이벤트에 대한 위험지수에 기반하여 도출되는 각종 상위 위험지수의 적정성 및 신뢰도를 향상시켜주는 위험지수 자동 보정 장치 및 방법에 관한 것이다.The present invention relates to an apparatus and method for automatically correcting a risk index and, more particularly, to a system and method for automatically correcting a risk index of a security event based on security events occurring in various security equipments in the Internet environment, To an apparatus and method for automatically correcting a risk index to improve the suitability and reliability of various high risk indexes derived based on the risk indexes for individual security events and the risk indexes for individual security events.

정보 시스템 및 각종 데이터 등을 포함하는 정보 자산은 기업, 정부부처 등과 같은 기관의 사업 영위에 있어 중요 자산이다. 이와 같은 정보 자산을 해킹, 악성코드 등과 같은 각종 사이버 공격으로부터 보호하기 위해서는 정보 시스템 관리를 통해 각종 보안이벤트의 위협 여부를 정확하게 탐지하는 것이 무엇보다 선행되어야 한다. 또한, 근래에는 IoT(Internet of Things, 사물인터넷) 기기의 보급이 널리 이루어지면서 IoT 기기들에 대해 다양한 형태의 보안 위협이 증가하고 있는데, IoT 기기는 저사양의 소형 기기들이므로 보안을 위해서는 중앙 집중적인 관제 시스템을 통해 각종 보안이벤트들의 위협 여부를 탐지할 필요성이 커지고 있다.Information systems, including information systems and data, are important assets in the conduct of businesses such as corporations and government departments. In order to protect such information assets from various kinds of cyber attacks such as hacking and malicious codes, it is necessary to precisely detect the threat of various security events through information system management. In recent years, various types of security threats to IoT devices have been increasing due to the widespread use of Internet of Things (IoT) devices. Since IoT devices are low-cost small devices, a centralized There is a growing need to detect threats to various security events through the control system.

이와 같은 정보 시스템 관리 및 보안 관제 분야에서는 관리대상 시스템들의 각종 위협 정도를 수치로 지표화한 위험지수가 사용되고 있다. 대부분의 글로벌 보안기업, 국가사이버안전센터 등이 각자의 기준에 따라 위험지수를 산출하여 공표하고 있다. 구체적인 예를 들면, 시만텍 보안연구소가 글로벌 위협을 분석하여 1∼4단계 위기경보를 발령하는 ThreatCon지수, 국가사이버안전센터가 사이버공격에 대한 국가차원의 체계적 대응을 위해 사이버 위협을 평시(녹색), 주의(청색), 경고(황색) 및 위험(적색) 등 4단계로 나눠 경보하는 위기경보 체계, 산업통상자원부나 안정행정부 등과 같이 자체적인 사이버안전센터를 운영 중인 정부 부처들이 산하기관의 정보보호관리실태 등을 종합하여 위험수준을 평가하기 위해 개발한 사이버안전지수(MOTIE-CSI등) 등이 있다.In such information system management and security control areas, a risk index is used which indexes the degree of various threats of the managed systems. Most global security companies and national cyber safety centers calculate and publish risk indices based on their own standards. For example, the ThreatCon Index, where Symantec Security Response analyzes the global threats and issues threats 1 to 4, and the National Cyber Safety Center, a cyber threat (green) to systematically respond to cyber attacks, The governmental departments that operate their own cyber safety centers, such as the Crisis Alert System, which is divided into four stages, such as caution (blue), warning (yellow) and danger (red) And the cyber safety index (MOTIE-CSI, etc.) developed to evaluate the level of risk by combining the actual conditions.

도 1에는 종래 일 기관의 위험지수 산출의 실시예가 나타나 있다. 도 1에서 일 기관은 기업이나 정부부처 등이 될 수 있는데, 기관이 하부 조직으로 부서 1 및 부서 2를 포함하고, 부서 1은 시스템 가, 나, 다를 포함하고, 부서 2는 시스템 라 및 마를 포함하며, 각 시스템에 보안이벤트 A, B, C, D 및 E 중 하나 이상이 발생한다고 할 때, 시스템별, 조직별 및 기관 전체 위험지수의 산출 결과를 확인할 수 있다.FIG. 1 shows an example of the calculation of the risk index of the prior art. In FIG. 1, the organization may be a corporation or a government department, where the organization includes departments 1 and 2 as subsystems, department 1 includes systems, me and others, and department 2 includes systems la and la , And each of the security events A, B, C, D, and E occurs in each system.

개별 보안이벤트 A, B, C, D 및 E는 각각 8, 2, 4, 1 및 1로 주어진 위험지수를 가지고 있는데, 이는 보안관리자 등에 의해 임의로 설정된 값들이다. 이와 같은 개별 보안이벤트의 위험지수에 근거하여 시스템별, 조직별 및 기관 전체 위험지수는 위험지수의 단순 평균값을 계산함으로써 얻어진다. 구체적으로 살펴보면, 시스템 가의 위험지수는 시스템 가에서 발생한 보안이벤트 A, B 및 C의 위험지수 8,2 및 4의 평균값인 4.7로 산출되고, 부서 1의 위험지수는 시스템 가, 나 및 다의 위험지수들인 4.7, 3 및 5의 평균값인 4.2로 산출되며, 기관 전체의 위험지수는 부서 1 및 2의 위험지수들인 4.2 및 3.4의 평균값인 3.8로 산출된다.The individual security events A, B, C, D and E have a risk index given as 8, 2, 4, 1 and 1, respectively, which are arbitrarily set by the security administrator. Based on the risk indices of these individual security events, the system-specific, organizational, and institutional risk indices are obtained by calculating the simple average of the risk indices. Specifically, the system risk index is calculated as 4.7, which is the average of the risk indices 8, 2, and 4 of the security events A, B, and C that occurred in the system, and the risk index of the system 1 is calculated as the risk 4.2, which is the average of the risk factors of departments 1 and 2, which is the average value of 4.2 and 3.4, which is 3.8.

이와 같이 종래의 위험지수는 일정 기간의 위협을 분석한 후 개별 보안이벤트별 위험지수의 산술 합산이나 평균값 산정 등의 단순한 산출식을 사용하여 위험도를 결정하는 수준에 머무르고 있어 실시간성이 부족하고, 특정 타겟을 대상으로 한 APT(Advanced Persistent Threat, 지능형 지속 공격)와 같은 고도화된 사이버 위협 대응에 한계를 가지고 있다. 또한, 무엇보다 개별 보안이벤트의 위험지수를 관리자가 임의적인 가치 판단에 기초하여 일정한 값으로 설정하고, 이에 기초하여 시스템, 조직 및 기관 등의 위험지수가 산출되므로, 그 적정성 내지 정확성 측면에서 신뢰를 얻지 못하고 있는 실정이다.In this way, the conventional risk index analyzes the threats for a certain period of time and then remains at a level that determines the risk level by using a simple calculation expression such as an arithmetic addition or an average value calculation of the risk index for each security event, (Advanced Persistent Threat), which is targeted against the target. Moreover, since the risk index of the individual security event is set to a certain value based on the arbitrary value judgment, and the risk index of the system, the organization, and the institution is calculated on the basis thereof, I do not get it.

종래 위험지수가 가진 문제점 및 한계를 극복하기 위해서는 결국 개별 보안이벤트별로 부여되는 위험지수의 정확성 내지 적정성을 높이는 것이 중요한데, 이를 위하여 개별 보안이벤트에 대한 위험지수가 해당 보안이벤트에 대한 보안관리자 또는 시스템관리자의 위협 여부에 대한 판단내역에 따라 조정될 수 있게 해주는 위험지수 자동 보정 기술의 개발이 요구되고 있는 실정이다.In order to overcome the problems and limitations of the conventional risk index, it is important to increase the accuracy or appropriateness of the risk index assigned to each security event. To this end, the risk index for the individual security event is managed by the security manager or the system administrator It is necessary to develop a risk index automatic correction technique that can be adjusted according to the judgment history of the threat of the risk.

등록특허 10-1013077 "정량적 안전지수 산출에 근거한 IT 위험 관리 방법 및 시스템", 2011. 02. 14Patent No. 10-1013077 "IT Risk Management Method and System Based on Quantitative Safety Index Calculation", 2011. 02. 14

본 발명은 전술한 종래기술의 문제점을 해결하기 위한 것으로,SUMMARY OF THE INVENTION The present invention has been made to solve the above problems of the prior art,

본 발명의 목적은, 종래 임의적인 판단에 의해 설정되었던 개별 보안이벤트의 위험지수를 당해 보안이벤트의 위협 여부에 대한 실제 판정내역에 근거하여 상향 또는 하향 조절함으로써 개별 보안이벤트의 위험지수가 실질적인 위협 정도를 정확하게 나타낼 수 있게 해주는 위험지수 자동 보정 장치 및 방법을 제공하는 것이다.It is an object of the present invention to provide a security risk management method and a security risk management method in which a risk index of an individual security event that has been set by an arbitrary judgment is adjusted up or down based on an actual determination result on whether or not a security event is threatened, And a method for automatically correcting the risk index.

본 발명의 다른 목적은, 개별 보안이벤트를 당해 보안이벤트에 대한 보안관리자 및 시스템관리자의 위협 여부 판단에 근거하여 범주화하고, 범주화 결과에 따라 당해 보안이벤트의 위험지수를 설정된 비율로 상향 또는 하향 조절함으로써 적절성, 정확성 및 신뢰성 있는 위험지수를 산출하는 위험지수 자동 보정 장치 및 방법을 제공하는 것이다.Another object of the present invention is to categorize individual security events on the basis of the threat judgment of the security administrators and the system administrators for the security events and adjust the risk index of the security events up or down according to the categorization result And to provide an apparatus and method for automatically correcting a risk index that calculates a suitability, accuracy and a reliable risk index.

본 발명의 또 다른 목적은, 개별 보안이벤트의 위험지수 상향 또는 하향 조정을 설정된 임계 조정횟수 범위 내에서 수행함으로써 개별 보안이벤트에 대한 위험지수가 무한대 또는 O으로 수렴하지 않고 적정 수준에서 조정될 수 있게 해주는 위험지수 자동 보정 장치 및 방법을 제공하는 것이다.It is a further object of the present invention to provide a method and system for enabling a risk index for an individual security event to be adjusted at an appropriate level without converging to infinity or O by performing a risk index upwards or downwards adjustment of individual security events within a set threshold adjustment frequency range And an apparatus and method for automatically correcting a risk index.

본 발명은 앞서 본 목적을 달성하기 위해서 다음과 같은 구성을 가진 실시예에 의해서 구현된다.In order to achieve the above object, the present invention is implemented by the following embodiments.

본 발명의 일 실시예에 따르면, 본 발명의 위험지수 자동 보정 장치는, 보안이벤트별 위험지수가 저장된 저장부와, 보안장비에서 발생한 보안이벤트 및 판정내역을 수신하는 수신부와, 상기 수신부가 수신한 보안이벤트를 당해 보안이벤트의 판정내역에 근거하여 카테고리로 분류하는 범주화부와, 상기 저장부에 저장된 당해 보안이벤트의 위험지수를 상기 범주화부에 의해 분류된 카테고리에 따라 사전에 설정된 비율로 상향 또는 하향 조정하는 보정부를 포함한다.According to an embodiment of the present invention, an apparatus for automatically correcting a risk index includes a storage unit storing a risk index for each security event, a receiver for receiving a security event and a determination result generated in the security apparatus, A categorization unit that classifies security events into categories based on the determination history of the security events; and a control unit that, when the security indexes of the security events stored in the storage unit are up or down at a predetermined ratio according to the categories classified by the categorizing unit And a correcting unit for adjusting the light intensity.

본 발명의 다른 일 실시예에 따르면, 본 발명의 위험지수 자동 보정 장치는, 상기 판정내역은 당해 보안이벤트의 위협 또는 비위협 여부에 관한 보안관리자의 1차적 판단 및 1차적 판단이 위협인 경우 시스템관리자에 의해 추가적으로 이루어지는 당해 보안이벤트의 위협 또는 비위협 여부에 관한 2차적 판단을 포함하고, 상기 범주화부는 당해 보안이벤트를 당해 보안이벤트에 대한 1차적 판단 및 2차적 판단이 모두 위협인 경우 제1카테고리로, 당해 보안이벤트에 대한 1차적 판단은 위협이나 2차적 판단은 비위협인 경우 제2카테고리로, 당해 보안이벤트에 대한 1차적 판단이 비위협인 경우 제3카테고리로 분류하는 것을 특징으로 한다.According to another embodiment of the present invention, the risk index automatic correction apparatus of the present invention is characterized in that, when the security manager's primary judgment and primary judgment as to whether the security event is threat or non-threatening is a threat, And a secondary determination as to whether the security event is threatened or non-threatened, which is additionally performed by the administrator, and the categorizing unit is configured to detect a security event in the first category , The primary category for the security event is classified into a second category when the threat is non-threatening, and the third category when the primary category for the security event is non-threatening.

본 발명의 또 다른 일 실시예에 따르면, 본 발명의 위험지수 자동 보정 장치는, 상기 보정부는 당해 보안이벤트가 제1카테고리로 분류된 경우 당해 보안이벤트의 위험지수를 제1비율로 상향 조정하고, 당해 보안이벤트가 제2카테고리로 분류된 경우 당해 보안이벤트의 위험지수를 제2비율로 하향 조정하고, 당해 보안이벤트가 제3카테고리로 분류된 경우 당해 보안이벤트의 위험지수를 제2비율보다 높은 제3비율로 하향 조정하는 것을 특징으로 한다.According to another embodiment of the present invention, the risk index automatic correction apparatus of the present invention is characterized in that the correction section raises the risk index of the security event to a first rate when the security event is classified into the first category, If the security event is classified into the second category, the risk index of the security event is lowered to the second ratio. If the security event is classified into the third category, the risk index of the security event is classified into a category higher than the second ratio 3 ratio.

본 발명의 또 다른 일 실시예에 따르면, 본 발명의 위험지수 자동 보정 장치는, 당해 보안이벤트의 위험지수의 상향 또는 하향 조정횟수가 설정된 임계 조정횟수를 초과하였는지 여부를 판단하는 임계 조정횟수 판단부를 더 포함하고, 상기 임계 조정횟수 판단부의 판단 결과 당해 보안이벤트에 대한 위험지수의 상향 또는 하향 조정횟수가 임계 조정횟수를 초과한 경우 상기 보정부는 당해 보안이벤트에 대한 위험지수의 상향 또는 하향 조정을 수행하지 않는 것을 특징으로 한다.According to another embodiment of the present invention, the risk index automatic correction apparatus of the present invention further includes a threshold adjustment number determination unit for determining whether the number of times of upward or downward adjustment of the risk index of the security event exceeds a preset threshold adjustment number And when the number of upward or downward adjustment of the risk index for the security event exceeds a threshold adjustment number as a result of the determination by the threshold adjustment number determination unit, the correcting unit performs upward or downward adjustment of the risk index for the security event .

본 발명의 일 실시예에 따르면, 본 발명의 위험지수 자동 보정 방법은, 수신부가 보안장비에서 발생한 보안이벤트 및 판정내역을 수신하는 수신단계와, 범주화부가 상기 수신부가 수신한 보안이벤트를 당해 보안이벤트의 판정내역에 근거하여 카테고리로 분류하는 범주화단계와, 보정부가 저장부에 저장된 당해 보안이벤트의 위험지수를 상기 범주화부에 의해 분류된 카테고리에 따라 사전에 설정된 비율로 상향 또는 하향 조정하는 보정단계를 포함한다.According to an embodiment of the present invention, a risk index automatic correction method of the present invention includes: a receiving step of receiving a security event and a determination result generated in a security device by a receiving unit; And a correcting step of adjusting the risk index of the security event stored in the correcting unit storage unit up or down at a preset ratio according to the category classified by the categorizing unit .

본 발명의 다른 일 실시예에 따르면, 본 발명의 위험지수 자동 보정 방법은, 상기 판정내역은 당해 보안이벤트의 위협 또는 비위협 여부에 관한 보안관리자의 1차적 판단 및 1차적 판단이 위협인 경우 시스템관리자에 의해 추가적으로 이루어지는 당해 보안이벤트의 위협 또는 비위협 여부에 관한 2차적 판단을 포함하고, 상기 범주화단계는 상기 범주화부가 당해 보안이벤트를 당해 보안이벤트에 대한 1차적 판단 및 2차적 판단이 모두 위협인 경우 제1카테고리로, 당해 보안이벤트에 대한 1차적 판단은 위협이나 2차적 판단은 비위협인 경우 제2카테고리로, 당해 보안이벤트에 대한 1차적 판단이 비위협인 경우 제3카테고리로 분류하는 방식으로 수행되는 것을 특징으로 한다.According to another embodiment of the present invention, in the risk index automatic correction method of the present invention, when the primary judgment and the primary judgment of the security manager regarding threat or non-threat of the concerned security event is a threat, Wherein the categorization step includes a categorization step of categorizing the security event in response to a security event, the categorization step being performed by the categorizer, The first category is classified into the second category when the primary judgment for the security event is a threat or the secondary judgment is non-threat and the third category when the primary judgment for the security event is non-threatening .

본 발명의 또 다른 일 실시예에 따르면, 본 발명의 위험지수 자동 보정 방법은, 상기 보정단계는 상기 보정부가 당해 보안이벤트가 제1카테고리로 분류된 경우 당해 보안이벤트의 위험지수를 제1비율로 상향 조정하고, 당해 보안이벤트가 제2카테고리로 분류된 경우 당해 보안이벤트의 위험지수를 제2비율로 하향 조정하고, 당해 보안이벤트가 제3카테고리로 분류된 경우 당해 보안이벤트의 위험지수를 제2비율보다 높은 제3비율로 하향 조정하는 방식으로 수행되는 것을 특징으로 한다.According to another embodiment of the present invention, there is provided a method of automatically correcting a risk index according to the present invention, wherein the correcting step includes a step of, when the security event is classified into the first category, And if the security event is classified into the second category, the risk index of the security event is lowered to the second ratio, and if the security event is classified into the third category, Ratio to a third rate higher than the first rate.

본 발명의 또 다른 일 실시예에 따르면, 본 발명의 위험지수 자동 보정 방법은, 상기 보정단계 전에, 임계 조정횟수 판단부가 당해 보안이벤트의 위험지수의 상향 또는 하향 조정횟수가 설정된 임계 조정횟수를 초과하였는지 여부를 판단하는 임계 조정횟수 판단단계를 더 포함하고, 상기 임계 조정횟수 판단부의 판단 결과 당해 보안이벤트에 대한 위험지수의 상향 또는 하향 조정횟수가 임계 조정횟수 내인 경우 상기 보정단계를 진행하되, 임계 조정횟수를 초과한 경우 상기 보정단계를 진행하지 않는 것을 특징으로 한다.According to another embodiment of the present invention, the risk index automatic correction method of the present invention is characterized in that, before the correction step, the threshold adjustment number determination unit determines whether the number of times the upward or downward adjustment of the risk index of the security event is exceeded Wherein when the number of times of upward or downward adjustment of the risk index for the security event is within the threshold adjustment number as a result of the determination by the threshold adjustment number determination unit, the correction step is performed, And the correction step is not performed when the number of times of adjustment is exceeded.

본 발명은 전술한 구성을 통해 다음과 같은 효과를 제공한다.The present invention provides the following effects through the above-described configuration.

본 발명은 종래 임의적인 판단에 의해 설정되었던 개별 보안이벤트의 위험지수를 당해 보안이벤트의 위협 여부에 대한 실제 판정내역에 근거하여 상향 또는 하향 조절함으로써 개별 보안이벤트의 위험지수가 실질적인 위협 정도를 정확하게 나타낼 수 있게 해주는 위험지수 자동 보정 장치 및 방법을 제공하는 효과가 있다.The present invention adjusts the risk index of an individual security event that has been set by a conventional arbitrary judgment to an upward or downward adjustment based on an actual judgment result as to whether or not the security event is threatened to thereby accurately represent the actual threat level The risk index is automatically corrected.

본 발명은 개별 보안이벤트를 당해 보안이벤트에 대한 보안관리자 및 시스템관리자의 위협 여부 판단에 근거하여 범주화하고, 범주화 결과에 따라 당해 보안이벤트의 위험지수를 설정된 비율로 상향 또는 하향 조절함으로써 적절성, 정확성 및 신뢰성 있는 위험지수를 산출하는 위험지수 자동 보정 장치 및 방법을 제공하는 효과를 가진다.The present invention categorizes individual security events on the basis of the threat judgment of security administrators and system administrators for the security events and adjusts the risk index of the security events to a predetermined ratio according to the categorization result, There is provided an apparatus and method for automatically correcting a risk index that calculates a reliable risk index.

본 발명은 개별 보안이벤트의 위험지수 상향 또는 하향 조정을 설정된 임계 조정횟수 범위 내에서 수행함으로써 개별 보안이벤트에 대한 위험지수가 무한대 또는 O으로 수렴하지 않고 적정 수준에서 조정될 수 있게 해주는 위험지수 자동 보정 장치 및 방법을 제공하는 효과를 나타낸다.The present invention relates to a risk index automatic correction device (hereinafter, referred to as " risk index automatic correction device ") that enables a risk index for individual security events to be adjusted at an appropriate level without converging to infinity or 0, And an effect of providing a method.

도 1은 종래 일 기관의 위험지수 산출 실시예를 나타낸 도면
도 2는 본 발명의 일 실시예에 따른 위험지수 자동 보정 장치의 구성도
도 3은 보안이벤트 및 위험지수 테이블의 실시예를 나타낸 도면
도 4는 개별 보안이벤트에 대한 실제 위협 여부 판정 과정을 나타낸 도면
도 5는 본 발명의 일 실시예에 따른 위험지수 자동 보정 방법의 순서도
도 6은 본 발명의 다른 일 실시예에 따른 위험지수 자동 보정 방법의 순서도1 is a diagram showing an example of calculating the risk index of a conventional organization;
2 is a block diagram of an apparatus for automatically correcting a risk index according to an embodiment of the present invention
3 is a diagram illustrating an embodiment of a security event and risk index table
4 is a diagram showing a process of judging whether an actual security threat is actually threatened or not
5 is a flowchart of a method of automatically correcting a risk index according to an embodiment of the present invention
6 is a flow chart of a risk index automatic correction method according to another embodiment of the present invention

이하에서는 본 발명에 따른 위험지수 자동 보정 장치 및 방법을 첨부된 도면을 참조하여 상세히 설명한다. 특별한 정의가 없는 한 본 명세서의 모든 용어는 본 발명이 속하는 기술분야의 통상의 지식을 가진 기술자가 이해하는 당해 용어의 일반적 의미와 동일하고 만약 본 명세서에 사용된 용어의 의미와 충돌하는 경우에는 본 명세서에 사용된 정의에 따른다. 또한, 본 발명의 요지를 불필요하게 흐릴 수 있는 공지 기능 및 구성에 대해 상세한 설명은 생략한다.DETAILED DESCRIPTION OF THE PREFERRED EMBODIMENTS Hereinafter, an apparatus and method for automatically correcting a risk index according to the present invention will be described in detail with reference to the accompanying drawings. Unless defined otherwise, all terms used herein have the same meaning as commonly understood by one of ordinary skill in the art to which this invention belongs and, if conflict with the meaning of the terms used herein, It follows the definition used in the specification. Further, the detailed description of known functions and configurations that may unnecessarily obscure the subject matter of the present invention will be omitted.

도 2에는 본 발명의 일 실시예에 따른 위험지수 자동 보정 장치의 구성도가 도시되어 있다.FIG. 2 is a block diagram of a risk index automatic correction apparatus according to an embodiment of the present invention.

도 2를 참조하면, 본 발명의 위험지수 자동 보정 장치(1)는 저장부(11), 수신부(12), 범주화부(13), 보정부(14) 및 임계 조정횟수 판단부(15)를 포함한다.2, the risk index automatic correction apparatus 1 according to the present invention includes a storage unit 11, a receiving unit 12, a categorizing unit 13, a correcting unit 14, and a threshold adjusting frequency determining unit 15 .

상기 저장부(11)는 보안이벤트별 위험지수가 저장된 부분이다. 저장부(11)는 1 이상의 보안이벤트 및 당해 보안이벤트에 대해 부여된 위험지수를 저장하고 있는 데이터 베이스(DB)로서 롬(ROM), 하드디스크, 플래시메모리 등 각종 저장 매체로 구현될 수 있다.The storage unit 11 stores a risk index for each security event. The storage unit 11 is a database (DB) storing one or more security events and a risk index assigned to the security events, and may be implemented as various storage media such as a ROM, a hard disk, and a flash memory.

보안이벤트는 보안장비에서 발생하는 이벤트를 의미하는데, 보안장비는 방화벽, IDS(Intrusion Detection System), IPS(Intrusion Prevention System), 웹 방화벽, L7 방화벽 등이 될 수 있으며, 보안이벤트는 그 출처가 되는 보안장비별로 형태 즉, 포함하고 있는 필드의 종류, 개수, 데이터 포맷 등이 상이할 수 있다.A security event is an event occurring in a security device. The security device may be a firewall, an Intrusion Detection System (IDS), an Intrusion Prevention System (IPS), a web firewall, an L7 firewall, There are different types of security devices, that is, types, numbers, data formats, etc. of the included fields.

도 3을 살펴보면 보안이벤트 및 위험지수 테이블의 실시예가 나타나 있는데, 이는 출원인의 통합보안관리 제품 IS-SIGMA에 실제 빈번하게 보고되는 보안이벤트들과 위험지수 설정예를 나타낸 것이다. 구체적으로 개별 보안이벤트로는 악성사이트로 공격, TCP 플러딩(Flooding) 공격 및 포트 스캔(Port Scan) 등이 기재되어 있다. 악성사이트로 공격은 시스템이나 단말에 악성코드를 감염시켜 악성사이트로 해당 시스템이나 단말의 데이터를 전송하도록 만드는 것을 의미한다. 또한, TCP 플러딩 공격은 TCP(Transmission Control Protocol)의 취약점을 이용하여 프로토콜을 악용하여 과다한 데이터 패킷의 전송, 규약에 어긋나는 형태의 데이터 패킷의 전송 등의 방법으로 시스템이나 단말의 통신을 불가능하게 만드는 것을 의미한다. 한편, 포트 스캔은 컴퓨터 네트워크를 통해 서버의 포트(port)를 스캔하여 서버가 제공하고 있는 서비스들을 찾아내 것으로서, 해커들이 컴퓨터의 취약점을 찾기 위한 공격으로도 사용되기도 한다.3, an embodiment of the security event and risk index table is shown, which shows security events and risk index setting examples that are frequently reported in the applicant's integrated security management product IS-SIGMA. Specifically, individual security events include malicious site attacks, TCP flooding attacks, and port scans. An attack by a malicious site means that the system or terminal is infected with malicious code to transmit data of the system or terminal to the malicious site. In addition, the TCP flooding attack exploits the weakness of the TCP (Transmission Control Protocol) to make the communication of the system or the terminal impossible by transmitting the excessive data packet by using the protocol and transmitting the data packet in a form contrary to the protocol it means. Port scan, on the other hand, scans the port of a server through a computer network to find out what services the server is providing. It can also be used as an attack by hackers to find vulnerabilities in a computer.

도 3의 테이블에서 개별 보안이벤트의 위험지수는 사전에 임의로 결정되어 있는데, 일정 범위의 자연수로 주어져 있다. 상세하게 살펴보면, 악성사이트로 공격은 3점, TCP 플러딩 공격은 12점, 포트 스캔은 4점으로 결정되어 있음을 확인할 수 있다.In the table of FIG. 3, the risk index of each security event is arbitrarily determined in advance, and is given as a natural number within a certain range. In detail, it can be seen that the malicious site is determined as 3 points, TCP flooding attack is 12 points, and port scan is 4 points.

상기 수신부(12)는 보안장비에서 발생한 보안이벤트 및 판정내역을 수신한다. 수신부(12)는 보안장비로부터 보안이벤트 내역을 전송받고, 당해 보안이벤트에 대한 보안관리자의 판정내역 및 시스템관리자의 판정내역을 각각 보안관리자 단말 및 시스템관리자 단말로부터 전송받을 수 있다. 또한, 수신부(12)가 외부의 시스템으로부터 보안이벤트 및 판정내역을 수신하는 경우 외부 시스템이 내부의 보안장비에서 발생한 보안이벤트 및 당해 보안이벤트에 대한 판정내역을 취합하여 함께 전송할 수도 있다.The receiving unit 12 receives a security event and a determination result generated in the security device. The receiving unit 12 receives the security event details from the security device, and receives the security manager's determination history and the system administrator's determination information about the security event from the security manager terminal and the system administrator terminal, respectively. Also, when the receiving unit 12 receives the security event and the determination details from the external system, the external system may collect the security event generated in the internal security equipment and the determination details about the security event and transmit the security event and the determination information together.

도 4에는 개별 보안이벤트에 대한 실제 위협 여부 판정 과정이 나타나 있다. 도 4를 참조하면, 보안장비에서 보안이벤트 E1, E2 및 E3이 발생하였고, 이에 대해 보안관리자 단말 및 시스템관리자 단말에서 위협 여부의 판정이 이루어지는 것을 확인할 수 있다. 이와 같이 보안장비에서 발생한 보안이벤트가 실제 위협인지 여부를 판정하는 것은 보안관리자 및 시스템관리자의 판단을 통해 이루어지는데, 보안관리자의 판단은 보안관리자 단말을 통해 입력 또는 생성되며, 시스템관리자의 판단은 시스템관리자 단말을 통해 입력 또는 생성되는데, 보안관리자 단말과 시스템관리자 단말은 동일한 단말일 수도 있다.FIG. 4 shows an actual threat determination process for an individual security event. Referring to FIG. 4, security events E1, E2, and E3 have occurred in the security device, and it can be confirmed that the security manager terminal and the system administrator terminal determine the threat. It is determined by the security administrator and the system administrator whether or not the security event generated in the security device is a real threat. The security manager's judgment is inputted or generated through the security manager terminal, The security administrator terminal and the system administrator terminal may be input or generated through the administrator terminal.

이때, 보안관리자의 1차적 판단이 위협인 경우에만 시스템관리자에 의한 2차적 판단이 이루어지게 되며, 시스템관리자 역시 위협으로 판단하여 조치한 후 보안관리자에게 피드백하거나 시스템관리자는 비위협으로 판단하여 보안관리자에게 피드백하게 된다. 한편, 보안관리자의 판단이 비위협인 경우 시스템관리자에 의한 추가적인 판단은 이루어지지 않는다.At this time, only when the primary decision of the security manager is a threat, the secondary decision is made by the system administrator. Also, the system administrator judges it as a threat and feeds back to the security manager, . On the other hand, if the security administrator's judgment is non-threat, no further judgment by the system administrator is made.

더욱 상세하게 보안이벤트 E1, E2 및 E3을 각각 악성사이트로 공격, TCP 플러딩 공격 및 포트 스캔이라고 가정하면, 도 4에서 악성사이트로 공격은 보안관리자 및 시스템관리자에 의해 모두 보안에 위협이 되는 것으로 판단되었고, TCP 플러딩은 보안관리자에게 의해서는 위협으로 판단되었으나 시스템관리자에 의해서는 비위협으로 판단되었으며, 포트 스캔은 보안관리자에 의해 비위협으로 판단되었다.Assuming that the security events E1, E2, and E3 are respectively attacked by a malicious site, a TCP flooding attack, and a port scan, the attack by a malicious site is considered to be a threat to security by both the security administrator and the system administrator TCP flooding is considered to be a threat by the security administrator but it is not threatened by the system administrator and port scan is considered non - threat by the security administrator.

실제적으로, 악성사이트로 공격은 비교적 다수의 보안장비에서 발생하고 있으며 그 위험도가 높게 평가되고, 그에 대한 조치율 또한 상당히 높은 편이고, TCP 플러딩 공격은 간헐적으로 발생되는 이벤트로서 위협으로 판단되어 조치되는 조치율이 낮기는 하지만 무시되지는 않는 실정이며, 포트 스캔의 경우 다수의 장비에서 빈번하게 이벤트가 발생함에도 불구하고 대부분 비위협으로 판단되는 유형의 보안이벤트이다.In practice, malicious sites are attacked in a relatively large number of security devices, and the risk is highly evaluated and the rate of action is also high. TCP flooding attacks are intermittent events, Although the rate is low, it is not ignored. In the case of port scans, it is a type of security event that is considered to be mostly non-threat despite frequent events occurring in many devices.

상기 범주화부(13)는 상기 수신부(12)가 수신한 보안이벤트를 당해 보안이벤트의 판정내역에 근거하여 카테고리로 분류한다. 전술한 바와 같이, 상기 판정내역은 당해 보안이벤트의 위협 또는 비위협 여부에 관한 보안관리자의 1차적 판단 및 1차적 판단이 위협인 경우 시스템관리자에 의해 추가적으로 이루어지는 당해 보안이벤트의 위협 또는 비위협 여부에 관한 2차적 판단을 포함할 수 있다. 이때, 범주화부(13)는 당해 보안이벤트를 당해 보안이벤트에 대한 1차적 판단 및 2차적 판단이 모두 위협인 경우 제1카테고리로, 당해 보안이벤트에 대한 1차적 판단은 위협이나 2차적 판단은 비위협인 경우 제2카테고리로, 당해 보안이벤트에 대한 1차적 판단이 비위협인 경우 제3카테고리로 분류할 수 있다.The categorizing unit 13 classifies the security events received by the receiving unit 12 into categories based on the details of the security events. As described above, the determination history indicates whether the security administrator's primary judgment about the threat or non-threat of the security event is threat or non-threat of the security event additionally performed by the system administrator in case the threat is a threat And the like. In this case, the categorizing unit 13 may be classified into a first category when the primary event and the secondary event are both threats to the security event, the primary event is a threat or the secondary event is a non- In case of threat, it can be classified into the second category, and if the primary judgment about the security event is non-threat, it can be classified into the third category.

전술한 예를 이어서 살펴보면, 범주화부(13)는 악성사이트로 공격은 보안관리자 및 시스템관리자에 의해 모두 보안에 위협이 되는 것으로 판단되었으므로 제1카테고리로 분류하고, TCP 플러딩 공격은 보안관리자에게 의해서는 위협으로 판단되었으나 시스템관리자에 의해서는 비위협으로 판단되었으므로 제2카테고리로 분류하고, 포트 스캔은 보안관리자에 의해 비위협으로 판단되었으므로 제3카테고리로 분류할 수 있다.The categorizing unit 13 classifies the attack into a first category because it is determined that the attack is a threat to security by both the security administrator and the system administrator, and the TCP flooding attack is performed by the security administrator Since it was judged to be a threat by the system administrator but it was judged to be non-threat, it is classified into the second category. Since the port scan is judged as non-threat by the security administrator, it can be classified into the third category.

상기 보정부(14)는 상기 저장부(11)에 저장된 당해 보안이벤트의 위험지수를 상기 범주화부(13)에 의해 분류된 카테고리에 따라 사전에 설정된 비율로 상향 또는 하향 조정한다. 더욱 상세하게, 보정부(14)는 당해 보안이벤트가 제1카테고리로 분류된 경우 당해 보안이벤트의 위험지수를 제1비율로 상향 조정하고, 당해 보안이벤트가 제2카테고리로 분류된 경우 당해 보안이벤트의 위험지수를 제2비율로 하향 조정하고, 당해 보안이벤트가 제3카테고리로 분류된 경우 당해 보안이벤트의 위험지수를 제2비율보다 높은 제3비율로 하향 조정하는 것을 특징으로 할 수 있다.The correcting unit 14 adjusts the risk index of the security event stored in the storage unit 11 to a predetermined ratio according to the category classified by the categorization unit 13. [ More specifically, when the security event is classified into the first category, the security manager 14 raises the risk index of the security event to a first rate, and when the security event is classified into the second category, If the security event is classified into the third category, the risk index of the security event is adjusted to a third ratio higher than the second ratio.

구체적인 예를 들면, 제1비율은 15~25%, 제2비율은 5~15%, 제3비율은 25~35%에서 선택될 수 있는데, 일 예로서, 제1비율은 20%, 제2비율은 10%, 제3비율은 30%인 것을 특징으로 할 수 있다.As a specific example, the first ratio may be selected from 15% to 25%, the second ratio from 5% to 15%, and the third ratio from 25% to 35% The ratio is 10%, and the third ratio is 30%.

도 3의 테이블을 살펴보면, 범주화부(13)에 의하여 제1카테고리로 분류된 악성사이트로 공격은 위험지수가 3점, 제2카테고리로 분류된 TCP 플러딩 공격은 12점, 제3카테고리로 분류된 포트 스캔은 4점으로 결정되어 있는데, 악성사이트로 공격은 실제 위협 여부에 대한 판정내역에 비하여 위험지수가 저평가 되어 있고, TCP 플러딩 공격 및 포트 스캔은 실제 위협 여부에 대한 판정내역에 비하여 위험지수가 높게 설정되어 있다고 볼 수 있다.3, the risk index is 3, the TCP flooding attack classified into the second category is 12, and the third category is the attack by the malicious site classified into the first category by the categorizing unit 13 The port scan is determined to be 4 points. The risk index is undervalued compared to the actual threat judgment, and the TCP flooding attack and the port scan have a risk index It can be said that it is set high.

이와 같은 상황에서 보정부(14)는 제1카테고리로 분류된 악성사이트로 공격의 위험지수를 3점에서 20% 상향된 3.6점으로 조정하고, 제2카테고리로 분류된 TCP 플러딩 공격의 위험지수를 12점에서 10% 하향된 10.8점으로 조정하고, 제3카테고리로 분류된 포트 스캔의 위험지수를 4점에서 30% 하향된 2.8점으로 조정할 수 있다. 상기 보정부(14)가 이러한 방식으로 각 개별 보안이벤트의 위험지수를 상향 또는 하향 조정하는 것을 반복할 경우 각 개별 보안이벤트의 위험지수가 보안관리자나 시스템관리자의 실제 위협 여부에 대한 판단에 상응하는 값으로 조정되게 되어 각 개별 보안이벤트의 위험지수의 적정성 내지 정확성이 향상될 수 있으며, 더 나아가 이를 기초로 산출되는 시스템별 위험지수, 조직별 위험지수 및 기관 전체 위험지수 등의 신뢰성이 향상될 수 있게 된다.In such a situation, the security administrator 14 adjusts the risk index of the attack to 3.6, which is 20% up from 3, to the malicious site classified as the first category, and the risk index of the TCP flooding attack classified into the second category From 10 points to 10.8 points, and the risk index of port scans classified in the third category can be adjusted down from 4 points to 30 points down to 2.8 points. If the correcting unit 14 repeats the upward or downward adjustment of the risk index of each individual security event in this manner, the risk index of each individual security event corresponds to a judgment as to whether the security manager or the system administrator actually threatened It is possible to improve the reliability and accuracy of the risk index of each individual security event and further improve the reliability of the system risk index, .

상기 임계 조정횟수 판단부(15)는 당해 보안이벤트의 위험지수의 상향 또는 하향 조정횟수가 설정된 임계 조정횟수를 초과하였는지 여부를 판단한다. 임계 조정횟수 판단부(15)의 판단 결과 당해 보안이벤트에 대한 위험지수의 상향 또는 하향 조정횟수가 임계 조정횟수를 초과한 경우 상기 보정부(14)는 당해 보안이벤트에 대한 위험지수의 상향 또는 하향 조정을 수행하지 않는 것을 특징으로 할 수 있다.The threshold adjustment number determination unit 15 determines whether the number of times of upward or downward adjustment of the risk index of the security event exceeds a preset threshold adjustment number. As a result of the determination by the threshold adjustment number determination unit 15, if the upward or downward adjustment number of the risk index for the security event exceeds the threshold adjustment number, the correction unit 14 updates the risk index for the security event And the adjustment is not performed.

만약 보정부(14)가 각 개별 보안이벤트의 위험지수에 대한 상향 또는 하향 조정을 무한정 계속적으로 수행할 경우 개별 보안이벤트의 위험지수가 무한대로 상향되거나 0으로 수렴하는 문제가 발생할 수 있다. 임계 조정횟수 판단부(15)는 이러한 문제를 방지하기 위하여 개별 보안이벤트의 위험지수 상향 또는 하향이 적정한 횟수 내에서 이루어질 수 있게 해준다. 예를 들어 임계 조정횟수 판단부(15)는 5회로 설정된 임계 조정횟수를 기준으로 판단을 수행할 수 있으며, 특정 개별 보안이벤트에 대한 위험지수 상향 또는 하향이 5회를 초과한 경우 즉, 6회째인 경우 더 이상 보정부(14)에 의한 조정이 수행되지 않도록 할 수 있다.If the verification unit 14 continuously performs upward or downward adjustment of the risk index of each individual security event indefinitely, the risk index of the individual security event may rise to infinity or converge to zero. In order to prevent such a problem, the threshold adjustment number determination unit 15 allows an increase or decrease in the risk index of individual security events to be performed within a proper number of times. For example, the threshold adjustment time determination unit 15 may perform the determination based on the threshold adjustment times set five times. If the upward or downward risk index for a specific individual security event exceeds five times, that is, The adjustment by the correcting unit 14 can be prevented from being performed any more.

이와 같이 임계 조정횟수 판단부(15)에 의해 개별 보안이벤트에 대한 위험지수 조정이 일정 횟수 범위 내에서 수행됨으로써 위험지수의 적정성 내지 정확성을 최적의 상태에서 유지할 수 있게 된다. 위의 예에서, 임계 조정횟수가 5회인 경우 제1카테고리로 분류된 악성사이트로 공격의 초기 설정 위험지수 3점은 최대 5회 20% 상향 조정될 경우 3→3.6→4.3→5.2→6.2→7.4로 상향 조정될 수 있고, 제2카테고리로 분류된 TCP 플러딩 공격의 초기 설정 위험지수 12점은 12→10.8→9.7→8.7→7.8→7로 하향 조정될 수 있고, 제3카테고리로 분류된 포트 스캔의 초기 설정 위험지수 4점은 4→2.8→2.0→1.4→1.0→0.7로 하향 조정될 수 있다.As described above, the threshold adjustment time determination unit 15 performs the adjustment of the risk index for the individual security events within a predetermined number of times, so that the adequacy or accuracy of the risk index can be maintained in an optimum state. In the above example, if the threshold adjustment frequency is 5, the malicious site classified as the first category, the initial risk index of the attack is 3 → 3.6 → 4.3 → 5.2 → 6.2 → 7.4 The initial risk index 12 of the TCP flooding attack classified into the second category can be downgraded from 12? 10.8? 9.7? 8.7? 7.8? 7, and initial setting of the port scan classified into the third category The risk index 4 points can be adjusted down from 4 → 2.8 → 2.0 → 1.4 → 1.0 → 0.7.

물론, 임계 조정횟수는 필요에 따라 적절한 범위에서 다른 값으로 설정될 수 있으며, 임계 조정횟수 판단부(15)를 통해 보정부(14)에 의한 개별 보안이벤트의 위험지수 조정이 적정한 범위 내에서 이루어짐으로써 개별 보안이벤트의 위험지수의 적정성 내지 정확성, 시스템별 위험지수, 조직별 위험지수 및 기관 전체 위험지수 등의 신뢰성이 최적으로 유지될 수 있게 된다.Of course, the number of threshold adjustment times may be set to a different value in an appropriate range according to need, and the risk index adjustment of individual security events by the correcting unit 14 is performed within a proper range through the threshold adjustment number determining unit 15 It is possible to optimally maintain the reliability and accuracy of the risk index of individual security events, the risk index of each system, the risk index of each organization, and the risk index of the entire organization.

도 5에는 본 발명의 일 실시예에 따른 위험지수 자동 보정 방법의 순서도가 도시되어 있다.FIG. 5 is a flowchart illustrating a method of automatically correcting a risk index according to an embodiment of the present invention.

도 5를 참조하면, 본 발명의 위험지수 자동 보정 방법(S1)는 수신단계(S11), 범주화단계(S13) 및 보정단계(S15)를 포함할 수 있다.Referring to FIG. 5, the risk index automatic correction method S1 of the present invention may include a receiving step S11, a categorization step S13, and a correction step S15.

상기 수신단계(S11)는 상기 수신부(12)가 보안장비에서 발생한 보안이벤트 및 판정내역을 수신하는 단계이다. 수신단계(S11)에서 수신부(12)는 보안장비로부터 보안이벤트 내역을 전송받고, 당해 보안이벤트에 대한 보안관리자의 판정내역 및 시스템관리자의 판정내역을 각각 보안관리자 단말 및 시스템관리자 단말로부터 전송받을 수 있다. 또한, 수신부(12)가 외부의 시스템으로부터 보안이벤트 및 판정내역을 수신하는 경우 외부 시스템이 내부의 보안장비에서 발생한 보안이벤트 및 당해 보안이벤트에 대한 판정내역을 취합하여 함께 전송할 수도 있다.The receiving step S11 is a step in which the receiving unit 12 receives the security event and the judgment details generated in the security equipment. In the receiving step S11, the receiving unit 12 receives the security event details from the security device and receives the security manager's determination history and the system manager's determination history for the security event from the security manager terminal and the system administrator terminal, respectively have. Also, when the receiving unit 12 receives the security event and the determination details from the external system, the external system may collect the security event generated in the internal security equipment and the determination details about the security event and transmit the security event and the determination information together.

보안장비는 방화벽, IDS(Intrusion Detection System), IPS(Intrusion Prevention System), 웹 방화벽, L7 방화벽 등이 될 수 있으며, 상기 판정내역은 당해 보안이벤트의 위협 또는 비위협 여부에 관한 보안관리자의 1차적 판단 및 1차적 판단이 위협인 경우 시스템관리자에 의해 추가적으로 이루어지는 당해 보안이벤트의 위협 또는 비위협 여부에 관한 2차적 판단을 포함할 수 있다.The security device may be a firewall, an Intrusion Detection System (IDS), an Intrusion Prevention System (IPS), a Web firewall, an L7 firewall, and the like. And secondary judgment as to whether threats or non-threats to the security event are additionally made by the system administrator if the threat or primary judgment is a threat.

도 3 및 4와 관련하여 살펴본 바와 같이, 보안이벤트는 악성사이트로 공격, TCP 플러딩 공격 및 포트 스캔으로서, 그 판정내역은 악성사이트로 공격은 보안관리자 및 시스템관리자에 의해 모두 보안에 위협이 되는 것으로 판단되었고, TCP 플러딩은 보안관리자에게 의해서는 위협으로 판단되었으나 시스템관리자에 의해서는 비위협으로 판단되었으며, 포트 스캔은 보안관리자에 의해 비위협으로 판단된 것일 수 있다.3 and 4, the security event is a malicious site attack, a TCP flooding attack, and a port scan. The determination result is a malicious site attack, which is a security threat to both security administrators and system administrators And the TCP flooding was determined to be a threat by the security administrator, but it was judged to be non-threat by the system administrator, and the port scan may be judged as non-threat by the security administrator.

상기 범주화단계(S13)는 상기 범주화부(13)가 상기 수신부(12)가 수신한 보안이벤트를 당해 보안이벤트의 판정내역에 근거하여 카테고리로 분류하는 단계이다. 범주화단계(S13)는 범주화부(13)가 당해 보안이벤트를 당해 보안이벤트에 대한 1차적 판단 및 2차적 판단이 모두 위협인 경우 제1카테고리로, 당해 보안이벤트에 대한 1차적 판단은 위협이나 2차적 판단은 비위협인 경우 제2카테고리로, 당해 보안이벤트에 대한 1차적 판단이 비위협인 경우 제3카테고리로 분류하는 방식으로 수행될 수 있다.The categorizing step S13 classifies the security events received by the receiving unit 12 into categories based on the details of the security events. The categorization step S13 is a first category when the categorization unit 13 is a threat to both the primary event and the secondary event for the security event in question, The secondary determination may be performed in a second category in the case of non-threat and a third category in the case that the primary judgment of the security event is non-threatening.

도 3 및 4와 관련하여 살펴본 바와 같이, 범주화단계(S13)에서 범주화부(13)는 악성사이트로 공격은 보안관리자 및 시스템관리자에 의해 모두 보안에 위협이 되는 것으로 판단되었으므로 제1카테고리로 분류하고, TCP 플러딩 공격은 보안관리자에게 의해서는 위협으로 판단되었으나 시스템관리자에 의해서는 비위협으로 판단되었으므로 제2카테고리로 분류하고, 포트 스캔은 보안관리자에 의해 비위협으로 판단되었으므로 제3카테고리로 분류할 수 있다.3 and 4, since the categorizing unit 13 in the categorization step S13 judges that the attack by the malicious site is a threat to security by both the security administrator and the system administrator, it is classified into the first category , The TCP flooding attack was classified as the second category because it was judged to be a threat by the security administrator but was considered non-threatening by the system administrator and the port scan was judged as non-threat by the security administrator. have.

상기 보정단계(S15)는 상기 보정부(14)가 저장부(11)에 저장된 당해 보안이벤트의 위험지수를 상기 범주화부(13)에 의해 분류된 카테고리에 따라 사전에 설정된 비율로 상향 또는 하향 조정하는 단계이다. 보정단계(S15)는 보정부(14)가 당해 보안이벤트가 제1카테고리로 분류된 경우 당해 보안이벤트의 위험지수를 제1비율로 상향 조정하고, 당해 보안이벤트가 제2카테고리로 분류된 경우 당해 보안이벤트의 위험지수를 제2비율로 하향 조정하고, 당해 보안이벤트가 제3카테고리로 분류된 경우 당해 보안이벤트의 위험지수를 제2비율보다 높은 제3비율로 하향 조정하는 방식으로 수행되는 것을 특징으로 할 수 있다.The correcting step S15 is a step in which the correcting unit 14 adjusts the risk index of the security event stored in the storing unit 11 to a predetermined ratio according to the category classified by the categorizing unit 13 . The correction step S15 adjusts the security index of the security event to a first rate when the security event is classified into the first category and when the security event is classified into the second category, The risk index of the security event is lowered to a second rate and the risk index of the security event is lowered to a third rate higher than the second rate when the security event is classified into the third category .

구체적인 예를 들면, 제1비율은 15~25%, 제2비율은 5~15%, 제3비율은 25~35%에서 선택될 수 있는데, 일 예로서, 제1비율은 20%, 제2비율은 10%, 제3비율은 30%인 것을 특징으로 할 수 있다.As a specific example, the first ratio may be selected from 15% to 25%, the second ratio from 5% to 15%, and the third ratio from 25% to 35% The ratio is 10%, and the third ratio is 30%.

도 3 및 4와 관련하여 살펴본 바와 같이, 범주화부(13)에 의하여 제1카테고리로 분류된 악성사이트로 공격은 위험지수가 3점, 제2카테고리로 분류된 TCP 플러딩 공격은 12점, 제3카테고리로 분류된 포트 스캔은 4점으로 결정되어 상기 저장부(11)에 저장되어 있는 경우, 악성사이트로 공격은 실제 위협 여부에 대한 판정내역에 비하여 위험지수가 저평가 되어 있고, TCP 플러딩 공격 및 포트 스캔은 실제 위협 여부에 대한 판정내역에 비하여 위험지수가 높게 설정되어 있다고 볼 수 있다.3 and 4, the risk index is 3, the TCP flooding attack classified into the second category is 12, and the third category is the attack by malicious sites classified into the first category by the categorizing unit 13, In the case where the port scans classified into the categories are determined to be four points and stored in the storage unit 11, the risk index is undervalued in comparison with the judgment result as to whether or not an actual attack to the malicious site is an actual threat, Scans can be considered to have a higher risk index than the actual threats.

이와 같은 상황에서 보정단계(S15)를 통하여 보정부(14)는 제1카테고리로 분류된 악성사이트로 공격의 위험지수를 3점에서 20% 상향된 3.6점으로 조정하고, 제2카테고리로 분류된 TCP 플러딩 공격의 위험지수를 12점에서 10% 하향된 10.8점으로 조정하고, 제3카테고리로 분류된 포트 스캔의 위험지수를 4점에서 30% 하향된 2.8점으로 조정할 수 있다.Through the correction step S15, the correcting unit 14 adjusts the risk index of the attack from 3 points to 3.6 points, which is raised to 20 points, to the malicious sites classified into the first category, The risk index of TCP flooding attacks can be adjusted from 10.8 to 10.8, and the risk index of port scans classified into the third category can be adjusted from 4.8 to 2.8.

상기 보정단계(S15)를 통하여 각 개별 보안이벤트의 위험지수를 상향 또는 하향 조정하는 것을 반복할 경우 개별 보안이벤트의 위험지수가 보안관리자나 시스템관리자의 실제 위협 여부 판단에 상응하는 값으로 조정되게 되어 각 개별 보안이벤트의 위험지수의 적정성 내지 정확성이 향상될 수 있으며, 더 나아가 이를 기초로 산출되는 시스템별 위험지수, 조직별 위험지수 및 기관 전체 위험지수 등의 신뢰성이 향상될 수 있게 된다.If the risk index of each individual security event is repeatedly adjusted up or down through the correction step S15, the risk index of the individual security event is adjusted to a value corresponding to the actual threat judgment of the security manager or the system administrator The appropriateness or accuracy of the risk index of each individual security event can be improved, and reliability of the system-specific risk index, the organization-specific risk index, and the entire organization risk index calculated on the basis of the risk index can be improved.

도 6에는 본 발명의 다른 일 실시예에 따른 위험지수 자동 보정 방법의 순서도가 나타나 있다.FIG. 6 is a flowchart illustrating a method of automatically correcting a risk index according to another embodiment of the present invention.

도 6을 참조하면, 본 발명의 다른 일 실시예에 따른 위험지수 자동 보정 방법은 도 5의 실시예와 비교하여 임계 조정횟수 판단단계(S14)를 더 포함하고 있는 것을 특징으로 한다. 수신단계(S11), 범주화단계(S13) 및 보정단계(S15)는 위에서 설명한 바와 동일하므로, 이하에서는 임계 조정횟수 판단단계(S14)에 관해서만 설명한다.Referring to FIG. 6, the method of automatically correcting a risk index according to another embodiment of the present invention further includes a step of determining a threshold adjustment number (S14) in comparison with the embodiment of FIG. Since the receiving step S11, the categorizing step S13 and the correcting step S15 are the same as those described above, only the threshold adjusting frequency determining step S14 will be described below.

상기 임계 조정횟수 판단단계(S14)는 상기 보정단계(S15) 전에, 상기 임계 조정횟수 판단부(15)가 당해 보안이벤트의 위험지수의 상향 또는 하향 조정횟수가 설정된 임계 조정횟수를 초과하였는지 여부를 판단하는 단계이다. 상기 임계 조정횟수 판단단계(S14)에서 임계 조정횟수 판단부(15)의 판단 결과 당해 보안이벤트에 대한 위험지수의 상향 또는 하향 조정횟수가 임계 조정횟수 내인 경우 상기 보정단계(S15)를 진행하되, 임계 조정횟수를 초과한 경우 상기 보정단계(S15)가 진행되지 않게 한다.The threshold adjustment number determination step S14 may be configured to determine whether the threshold adjustment time determination unit 15 has exceeded the threshold adjustment number of times of the upward or downward adjustment of the risk index of the security event before the correction step S15 . If it is determined in the threshold adjustment number determination step S14 that the upward or downward adjustment number of the risk index for the security event is within the threshold adjustment number as a result of the determination by the threshold adjustment number determination unit 15, If the number of threshold adjustment times is exceeded, the correction step (S15) is prevented from proceeding.

전술한 바와 같이, 상기 보정단계(S15)를 통해 보정부(14)가 각 개별 보안이벤트의 위험지수에 대한 상향 또는 하향 조정을 무한정 계속적으로 수행할 경우 위험지수가 무한대로 상향되거나 0으로 수렴하는 문제가 발생할 수 있다. 임계 조정횟수 판단단계(S14)는 이러한 문제를 방지하기 위하여 각 개별 보안이벤트의 위험지수 상향 또는 하향이 적정한 횟수 내에서 이루어질 수 있게 해준다.As described above, when the correcting unit 14 continuously performs upward or downward adjustment of the risk index of each individual security event through the correction step S15, the risk index is increased to infinity or converged to zero Problems can arise. In order to prevent such a problem, the step S14 of determining the number of threshold adjustment times allows the upward or downward risk index of each individual security event to be performed within a proper number of times.

예를 들어, 임계 조정횟수 판단단계(S14)에서 임계 조정횟수 판단부(15)는 5회로 설정된 임계 조정횟수를 기준으로 판단을 수행할 수 있으며, 특정 개별 보안이벤트에 대한 위험지수 상향 또는 하향이 5회를 초과한 경우 즉, 6회째인 경우 더 이상 보정단계(S15)가 수행되지 않도록 할 수 있다. 임계 조정횟수는 필요에 따라 적절한 범위에서 다른 값으로 설정될 수 있으며, 임계 조정횟수 판단단계(S14)를 통해 보정단계(S15)에 의한 개별 보안이벤트의 위험지수 조정이 적정한 범위 내에서 이루어짐으로써 각 개별 보안이벤트의 위험지수의 적정성 내지 정확성, 시스템별 위험지수, 조직별 위험지수 및 기관 전체 위험지수 등의 신뢰성이 최적으로 유지될 수 있게 된다.For example, in the threshold adjustment number determination step S14, the threshold adjustment number determination unit 15 may perform the determination based on the threshold adjustment times set five times, and may update the risk index upward or downward for a specific individual security event If the number of times is more than five, that is, the sixth time, the correction step S15 may not be performed any more. The number of threshold adjustment times can be set to a different value in an appropriate range as needed. The risk index adjustment of the individual security events by the correction step S15 is performed within an appropriate range through the threshold adjustment number determination step S14, Reliability of individual security events such as adequacy or accuracy of risk index, risk index by system, risk index by organization, and risk index of whole organization can be maintained optimally.

이상에서, 출원인은 본 발명의 다양한 실시예들을 설명하였지만, 이와 같은 실시예들은 본 발명의 기술적 사상을 구현하는 일 실시예일 뿐이며, 본 발명의 기술적 사상을 구현하는 한 어떠한 변경예 또는 수정예도 본 발명의 범위에 속하는 것으로 해석되어야 한다.While the present invention has been described in connection with what is presently considered to be practical exemplary embodiments, it is to be understood that the invention is not limited to the disclosed embodiments, but, on the contrary, Should be interpreted as falling within the scope of.

1: 위험지수 자동 보정 장치
11: 저장부 12: 수신부
13: 범주화부 14: 보정부
15: 임계 조정횟수 판단부
S1: 위험지수 자동 보정 방법
S11: 수신단계 S13: 범주화단계
S14: 임계 조정횟수 판단단계 S15: 보정단계1: Risk index automatic correction device
11: storage unit 12: receiving unit
13: Categorization part 14:
15: threshold adjustment number determination unit
S1: How to automatically correct the risk index
S11: Receiving step S13: Categorizing step
S14: Determination of the number of threshold adjustment times S15:

Claims (8)

보안이벤트별 위험지수가 저장된 저장부와,
보안장비에서 발생한 보안이벤트 및 판정내역을 수신하는 수신부와,
상기 수신부가 수신한 보안이벤트를 당해 보안이벤트의 판정내역에 근거하여 카테고리로 분류하는 범주화부와,
상기 저장부에 저장된 당해 보안이벤트의 위험지수를 상기 범주화부에 의해 분류된 카테고리에 따라 사전에 설정된 비율로 상향 또는 하향 조정하는 보정부를 포함하며,
상기 판정내역은 당해 보안이벤트의 위협 또는 비위협 여부에 관한 보안관리자의 1차적 판단 및 1차적 판단이 위협인 경우 시스템관리자에 의해 추가적으로 이루어지는 당해 보안이벤트의 위협 또는 비위협 여부에 관한 2차적 판단을 포함하고,
상기 범주화부는 당해 보안이벤트를 당해 보안이벤트에 대한 1차적 판단 및 2차적 판단이 모두 위협인 경우 제1카테고리로, 당해 보안이벤트에 대한 1차적 판단은 위협이나 2차적 판단은 비위협인 경우 제2카테고리로, 당해 보안이벤트에 대한 1차적 판단이 비위협인 경우 제3카테고리로 분류하는 것을 특징으로 하는 위험지수 자동 보정 장치.
A storage unit for storing a risk index for each security event,
A receiving unit for receiving a security event and a determination result generated in the security device;
A categorizing unit for classifying the security events received by the receiving unit into categories based on a determination result of the security event;
And a correction unit that adjusts the risk index of the security event stored in the storage unit to a predetermined ratio according to a category classified by the categorization unit,
The above judgment may be made based on a secondary judgment of whether the security manager's primary judgment about the threat or non-threat of the security event is threat or non-threat of the security event additionally performed by the system administrator Including,
The categorizing unit may be classified into a first category when the primary event and the secondary event are both threats to the security event. If the primary event is a threat or the secondary event is non-threat, Category, and if the primary judgment of the security event is non-threat, classification into the third category.
삭제delete 제1항에 있어서,
상기 보정부는 당해 보안이벤트가 제1카테고리로 분류된 경우 당해 보안이벤트의 위험지수를 제1비율로 상향 조정하고, 당해 보안이벤트가 제2카테고리로 분류된 경우 당해 보안이벤트의 위험지수를 제2비율로 하향 조정하고, 당해 보안이벤트가 제3카테고리로 분류된 경우 당해 보안이벤트의 위험지수를 제2비율보다 높은 제3비율로 하향 조정하는 것을 특징으로 하는 위험지수 자동 보정 장치.
The method according to claim 1,
Wherein the correcting unit raises the risk index of the security event to a first rate when the security event is classified into the first category and when the security event is classified into the second category, , And when the security event is classified into the third category, the risk index of the security event is adjusted to a third ratio higher than the second ratio.
제1항 및 제3항 중 어느 한 항에 있어서,
당해 보안이벤트의 위험지수의 상향 또는 하향 조정횟수가 설정된 임계 조정횟수를 초과하였는지 여부를 판단하는 임계 조정횟수 판단부를 더 포함하고,
상기 임계 조정횟수 판단부의 판단 결과 당해 보안이벤트에 대한 위험지수의 상향 또는 하향 조정횟수가 임계 조정횟수를 초과한 경우 상기 보정부는 당해 보안이벤트에 대한 위험지수의 상향 또는 하향 조정을 수행하지 않는 것을 특징으로 하는 위험지수 자동 보정 장치.
4. The method according to any one of claims 1 to 3,
Further comprising a threshold adjustment number determination unit for determining whether the number of upward or downward adjustment of the risk index of the security event exceeds a preset threshold adjustment number,
When the number of times of upward or downward adjustment of the risk index for the security event exceeds a threshold adjustment number as a result of the determination by the threshold adjustment number determination unit, the correcting unit does not perform upward or downward adjustment of the risk index for the security event A device for automatically correcting the risk index.
수신부가 보안장비에서 발생한 보안이벤트 및 판정내역을 수신하는 수신단계와,
범주화부가 상기 수신부가 수신한 보안이벤트를 당해 보안이벤트의 판정내역에 근거하여 카테고리로 분류하는 범주화단계와,
보정부가 저장부에 저장된 당해 보안이벤트의 위험지수를 상기 범주화부에 의해 분류된 카테고리에 따라 사전에 설정된 비율로 상향 또는 하향 조정하는 보정단계를 포함하며,
상기 판정내역은 당해 보안이벤트의 위협 또는 비위협 여부에 관한 보안관리자의 1차적 판단 및 1차적 판단이 위협인 경우 시스템관리자에 의해 추가적으로 이루어지는 당해 보안이벤트의 위협 또는 비위협 여부에 관한 2차적 판단을 포함하고,
상기 범주화단계는 상기 범주화부가 당해 보안이벤트를 당해 보안이벤트에 대한 1차적 판단 및 2차적 판단이 모두 위협인 경우 제1카테고리로, 당해 보안이벤트에 대한 1차적 판단은 위협이나 2차적 판단은 비위협인 경우 제2카테고리로, 당해 보안이벤트에 대한 1차적 판단이 비위협인 경우 제3카테고리로 분류하는 방식으로 수행되는 것을 특징으로 하는 위험지수 자동 보정 방법.
A receiving step of receiving a security event and a determination result generated in the security device by the receiving unit;
A categorizing step of categorizing the security events received by the receiving unit into categories based on a determination result of the security events;
And a correction step of adjusting the risk index of the security event stored in the storage unit by the correction unit in accordance with a category classified by the categorization unit,
The above judgment may be made based on a secondary judgment of whether the security manager's primary judgment about the threat or non-threat of the security event is threat or non-threat of the security event additionally performed by the system administrator Including,
Wherein the categorization step comprises the steps of: if the categorization unit is in a first category when both the primary judgment and the secondary judgment of the security event are a threat to the security event concerned, the primary judgment of the security event is a threat or the secondary judgment is non- Is classified into a second category in the case of a non-threatening security event and a third category in the case where a primary judgment on the security event is non-threatening.
삭제delete 제5항에 있어서,
상기 보정단계는 상기 보정부가 당해 보안이벤트가 제1카테고리로 분류된 경우 당해 보안이벤트의 위험지수를 제1비율로 상향 조정하고, 당해 보안이벤트가 제2카테고리로 분류된 경우 당해 보안이벤트의 위험지수를 제2비율로 하향 조정하고, 당해 보안이벤트가 제3카테고리로 분류된 경우 당해 보안이벤트의 위험지수를 제2비율보다 높은 제3비율로 하향 조정하는 방식으로 수행되는 것을 특징으로 하는 위험지수 자동 보정 방법.
6. The method of claim 5,
Wherein the correcting step raises the risk index of the security event to a first rate when the security event is classified into the first category and if the security event is classified into the second category, The risk index of the security event is lowered to a third rate higher than the second rate when the security event is classified into the third category, Correction method.
제5항 및 제7항 중 어느 한 항에 있어서,
상기 보정단계 전에,
임계 조정횟수 판단부가 당해 보안이벤트의 위험지수의 상향 또는 하향 조정횟수가 설정된 임계 조정횟수를 초과하였는지 여부를 판단하는 임계 조정횟수 판단단계를 더 포함하고,
상기 임계 조정횟수 판단부의 판단 결과 당해 보안이벤트에 대한 위험지수의 상향 또는 하향 조정횟수가 임계 조정횟수 내인 경우 상기 보정단계를 진행하되, 임계 조정횟수를 초과한 경우 상기 보정단계를 진행하지 않는 것을 특징으로 하는 위험지수 자동 보정 방법.
8. The method according to any one of claims 5 and 7,
Before the correction step,
Further comprising a threshold adjustment number determination step of determining whether a threshold adjustment number determination unit has exceeded a preset threshold adjustment number of times of upward or downward adjustment of a risk index of the security event,
When the number of times of upward or downward adjustment of the risk index for the security event is within the threshold adjustment number as a result of the determination by the threshold adjustment number determination unit, the correction step is performed, and when the threshold adjustment time is exceeded, A method for automatically correcting a risk index.
KR1020170152254A 2017-11-15 2017-11-15 Apparatus and Method for Automatic Compensating a Risk Index Active KR101929528B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020170152254A KR101929528B1 (en) 2017-11-15 2017-11-15 Apparatus and Method for Automatic Compensating a Risk Index

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020170152254A KR101929528B1 (en) 2017-11-15 2017-11-15 Apparatus and Method for Automatic Compensating a Risk Index

Publications (1)

Publication Number Publication Date
KR101929528B1 true KR101929528B1 (en) 2018-12-17

Family

ID=65007654

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020170152254A Active KR101929528B1 (en) 2017-11-15 2017-11-15 Apparatus and Method for Automatic Compensating a Risk Index

Country Status (1)

Country Link
KR (1) KR101929528B1 (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102338505B1 (en) * 2021-04-08 2021-12-13 주식회사 인코어드 테크놀로지스 System and method for detecting abnormality of solar power generation
KR102379984B1 (en) * 2021-12-06 2022-03-29 주식회사 인코어드 테크놀로지스 System for managing renewable energy generator
JP7686843B1 (en) * 2024-05-20 2025-06-02 セコムトラストシステムズ株式会社 Information processing system and information processing method

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101180092B1 (en) * 2012-03-05 2012-09-05 워치아이시스템주식회사 Method and system for analyzing security event, and recording medium thereof
KR101524671B1 (en) 2014-04-30 2015-06-03 아주대학교산학협력단 APPARATUS FOR EVALUATing SECURITY THREAT BASED ON ATTACK ROUTE AND METHOD THEREOF
KR101781450B1 (en) * 2017-01-03 2017-09-25 한국인터넷진흥원 Method and Apparatus for Calculating Risk of Cyber Attack

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101180092B1 (en) * 2012-03-05 2012-09-05 워치아이시스템주식회사 Method and system for analyzing security event, and recording medium thereof
KR101524671B1 (en) 2014-04-30 2015-06-03 아주대학교산학협력단 APPARATUS FOR EVALUATing SECURITY THREAT BASED ON ATTACK ROUTE AND METHOD THEREOF
KR101781450B1 (en) * 2017-01-03 2017-09-25 한국인터넷진흥원 Method and Apparatus for Calculating Risk of Cyber Attack

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102338505B1 (en) * 2021-04-08 2021-12-13 주식회사 인코어드 테크놀로지스 System and method for detecting abnormality of solar power generation
KR102379984B1 (en) * 2021-12-06 2022-03-29 주식회사 인코어드 테크놀로지스 System for managing renewable energy generator
JP7686843B1 (en) * 2024-05-20 2025-06-02 セコムトラストシステムズ株式会社 Information processing system and information processing method

Similar Documents

Publication Publication Date Title
EP4047870B1 (en) Automated prioritization of process-aware cyber risk mitigation
EP3664411B1 (en) Generating attack graphs in agile security platforms
EP3764263B1 (en) Evaluating efficacy of security controls in enterprise networks using graph values
US11831675B2 (en) Process risk calculation based on hardness of attack paths
EP3461103B1 (en) Ip reputation
US11265718B2 (en) Detecting IoT security attacks using physical communication layer characteristics
US7594270B2 (en) Threat scoring system and method for intrusion detection security networks
US7549162B2 (en) Methods of providing security for data distributions in a data network and related devices, networks, and computer program products
EP3211854A1 (en) Cyber security
US20130333036A1 (en) System, method and program for identifying and preventing malicious intrusions
US20230403294A1 (en) Cyber security restoration engine
US20170041336A1 (en) Signature rule processing method, server, and intrusion prevention system
US8726380B2 (en) Methods, devices, systems, and computer program products for edge driven communications network security monitoring
AU2016269514A1 (en) Connected security system
KR101929528B1 (en) Apparatus and Method for Automatic Compensating a Risk Index
EP2805282A1 (en) Calculating quantitative asset risk
CN104883356A (en) Target model-based network attack detection method
CN109995736A (en) Detection threatens method, apparatus, equipment and the storage medium of attack
US20250030744A1 (en) Contextualized cyber security awareness training
CN114301700B (en) Method, device, system and storage medium for adjusting network security defense scheme
Kuswara et al. Intrusion detection system using incremental learning method
KR102377784B1 (en) Network security system that provides security optimization function of internal network
CN115967570A (en) Network communication environment safety supervision system based on big data
US11258828B2 (en) Systems and methods for monitoring and correcting computer system security practices
US20250126135A1 (en) Method for determining threat scenario

Legal Events

Date Code Title Description
PA0109 Patent application

Patent event code: PA01091R01D

Comment text: Patent Application

Patent event date: 20171115

PA0201 Request for examination
PA0302 Request for accelerated examination

Patent event date: 20180601

Patent event code: PA03022R01D

Comment text: Request for Accelerated Examination

Patent event date: 20171115

Patent event code: PA03021R01I

Comment text: Patent Application

PE0902 Notice of grounds for rejection

Comment text: Notification of reason for refusal

Patent event date: 20180808

Patent event code: PE09021S01D

E701 Decision to grant or registration of patent right
PE0701 Decision of registration

Patent event code: PE07011S01D

Comment text: Decision to Grant Registration

Patent event date: 20181128

GRNT Written decision to grant
PR0701 Registration of establishment

Comment text: Registration of Establishment

Patent event date: 20181210

Patent event code: PR07011E01D

PR1002 Payment of registration fee

Payment date: 20181211

End annual number: 3

Start annual number: 1

PG1601 Publication of registration
PR1001 Payment of annual fee

Payment date: 20210106

Start annual number: 4

End annual number: 4