ホーム > 特許ランキング > ASTRONSECURITY
知財求人 - 知財ポータルサイト「IP Force」
特開2024-159413クラウドイベントに対するマッピング情報を生成する方法及びマッピングサーバー
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2024159413
(43)【公開日】2024-11-08
(54)【発明の名称】クラウドイベントに対するマッピング情報を生成する方法及びマッピングサーバー
(51)【国際特許分類】
G06Q 10/00 20230101AFI20241031BHJP
G06Q 50/10 20120101ALI20241031BHJP
【FI】
G06Q10/00
G06Q50/10
【審査請求】有
【請求項の数】18
【出願形態】OL
(21)【出願番号】P 2023155444
(22)【出願日】2023-09-21
(31)【優先権主張番号】10-2023-0056206
(32)【優先日】2023-04-28
(33)【優先権主張国・地域又は機関】KR
(31)【優先権主張番号】10-2023-0088478
(32)【優先日】2023-07-07
(33)【優先権主張国・地域又は機関】KR
(71)【出願人】
【識別番号】522192920
【氏名又は名称】アストロンセキュリティー
【氏名又は名称原語表記】ASTRONSECURITY
(74)【代理人】
【識別番号】110002789
【氏名又は名称】弁理士法人IPX
(72)【発明者】
【氏名】チョ・グンソク
(72)【発明者】
【氏名】クァク・ドンイク
【テーマコード(参考)】
5L010
5L049
5L050
【Fターム(参考)】
5L010AA01
5L049AA01
5L049CC11
5L050CC11
(57)【要約】 (修正有)
【課題】クラウドイベントを通じてユーザーの行為を判断するマッピング情報を生成する方法及びマッピングサーバーを提供する。
【解決手段】方法は、いずれか一つのマッピング対象イベントに対するドキュメントを獲得し、ドキュメントに基づいてマッピング対象イベントに対するトピック及びキーワードの中の少なくとも一つを生成し、それに基づいて、マッピング対象イベントがマッピングされる一つの戦術を選択し、マッピング対象イベントがマッピングされるテクニックを選択し、マッピング対象イベントに対するマッピング情報をマッピングディクショナリに保存し、各イベントに対するマッピング情報を生成し、マッピングディクショナリに保存することで、複数のイベントの中の少なくとも一部に対するマッピングディクショナリを生成するクラウドイベントに対するマッピング情報を生成する。
【選択図】図3
【解決手段】方法は、いずれか一つのマッピング対象イベントに対するドキュメントを獲得し、ドキュメントに基づいてマッピング対象イベントに対するトピック及びキーワードの中の少なくとも一つを生成し、それに基づいて、マッピング対象イベントがマッピングされる一つの戦術を選択し、マッピング対象イベントがマッピングされるテクニックを選択し、マッピング対象イベントに対するマッピング情報をマッピングディクショナリに保存し、各イベントに対するマッピング情報を生成し、マッピングディクショナリに保存することで、複数のイベントの中の少なくとも一部に対するマッピングディクショナリを生成するクラウドイベントに対するマッピング情報を生成する。
【選択図】図3
【特許請求の範囲】
【請求項1】
マッピングサーバーがクラウドサービスが提供する複数のイベントに対するマッピング情報を生成する方法において、
上記のマッピングサーバーは複数のテクニックが含まれた行為データベースを用いることができ-上記の複数のテクニックは複数の戦術グループの中のいずれか一つに含まれるものである-、
1)いずれか一つのマッピング対象イベントに対するドキュメントを獲得する段階-上記のマッピング対象イベントは上記の複数のイベントの中のいずれか一つである-;
2)上記のドキュメントに基づいて上記のマッピング対象イベントに対するトピック及びキーワードの中の少なくとも一つを生成する段階;
3)上記のトピック及びキーワードの中の少なくとも一つに基づいて、上記のマッピング対象イベントがマッピングされる一つの戦術を選択する段階;
4)上記のトピック及び上記のキーワードの中の少なくとも一つに基づいて、上記のマッピング対象イベントがマッピングされるテクニックを選択する段階-上記の選択されたテクニックは上記の選択された戦術に含まれる-;
5)上記の3)及び4)の段階を反復して上記の複数のイベントの中の少なくとも一部に対するマッピングディクショナリを生成する段階を含むクラウドイベントに対するマッピング情報を生成する方法。
上記のマッピングサーバーは複数のテクニックが含まれた行為データベースを用いることができ-上記の複数のテクニックは複数の戦術グループの中のいずれか一つに含まれるものである-、
1)いずれか一つのマッピング対象イベントに対するドキュメントを獲得する段階-上記のマッピング対象イベントは上記の複数のイベントの中のいずれか一つである-;
2)上記のドキュメントに基づいて上記のマッピング対象イベントに対するトピック及びキーワードの中の少なくとも一つを生成する段階;
3)上記のトピック及びキーワードの中の少なくとも一つに基づいて、上記のマッピング対象イベントがマッピングされる一つの戦術を選択する段階;
4)上記のトピック及び上記のキーワードの中の少なくとも一つに基づいて、上記のマッピング対象イベントがマッピングされるテクニックを選択する段階-上記の選択されたテクニックは上記の選択された戦術に含まれる-;
5)上記の3)及び4)の段階を反復して上記の複数のイベントの中の少なくとも一部に対するマッピングディクショナリを生成する段階を含むクラウドイベントに対するマッピング情報を生成する方法。
【請求項2】
7)クライアントからお問い合わせのイベントに対する情報を獲得する段階;
8)上記のマッピングディクショナリに基づいて、上記のお問い合わせが対応される対応戦術を探索する段階;
9)上記で探索した戦術に含まれる複数のテクニックの中の一つを探索する段階;及び、
10)上記のクライアントに上記のお問い合わせのイベントについて探索した上記の対応テクニック及び戦術をマッピング情報で提供する段階をさらに含む、
請求項1に記載のクラウドイベントに対するマッピング情報を生成する方法。
8)上記のマッピングディクショナリに基づいて、上記のお問い合わせが対応される対応戦術を探索する段階;
9)上記で探索した戦術に含まれる複数のテクニックの中の一つを探索する段階;及び、
10)上記のクライアントに上記のお問い合わせのイベントについて探索した上記の対応テクニック及び戦術をマッピング情報で提供する段階をさらに含む、
請求項1に記載のクラウドイベントに対するマッピング情報を生成する方法。
【請求項3】
上記の4)で上記のマッピング対象イベントに対するマッピング可能性のある複数のテクニックを選択する段階;
少なくとも一つの評価者の端末に上記の複数のテクニックを提供する段階;
上記の少なくとも一つの評価者の端末から上記の複数のテクニックに対する適切性の情報を獲得する段階;
上記の適切性の情報を取りまとめて上記の複数のテクニックの中の一つのテクニックを選択する段階;及び
上記のマッピング対象イベントに対するマッピング情報をマッピングディクショナリに保存する段階を含む、
請求項1に記載のクラウドイベントに対するマッピング情報を生成する方法。
少なくとも一つの評価者の端末に上記の複数のテクニックを提供する段階;
上記の少なくとも一つの評価者の端末から上記の複数のテクニックに対する適切性の情報を獲得する段階;
上記の適切性の情報を取りまとめて上記の複数のテクニックの中の一つのテクニックを選択する段階;及び
上記のマッピング対象イベントに対するマッピング情報をマッピングディクショナリに保存する段階を含む、
請求項1に記載のクラウドイベントに対するマッピング情報を生成する方法。
【請求項4】
上記のマッピング情報は該当のマッピング対象イベントに対する危険度の情報を含む、
請求項1に記載のクラウドイベントに対するマッピング情報を生成する方法。
請求項1に記載のクラウドイベントに対するマッピング情報を生成する方法。
【請求項5】
上記の危険度の情報は該当のマッピング対象イベントのそのものに対する基本危険度の情報と、該当のマッピング対象イベントとシーケンスに発生された第1イベントを考慮した連係危険度の情報を含む、
請求項4に記載のクラウドイベントに対するマッピング情報を生成する方法。
請求項4に記載のクラウドイベントに対するマッピング情報を生成する方法。
【請求項6】
上記の第1イベントが複数である場合に、上記の連係危険度の情報はそれぞれの第1イベントについてマッチングされている、
請求項5に記載のクラウドイベントに対するマッピング情報を生成する方法。
請求項5に記載のクラウドイベントに対するマッピング情報を生成する方法。
【請求項7】
クライアントから複数のお問い合わせのイベントが含まれたお問い合わせのイベントのシナリオを受信すると、
上記の複数のお問い合わせのイベント、それぞれに対する危険度の情報は上記のお問い合わせのイベントのシナリオに含まれた以前時間の他のお問い合わせのイベントに含まれた各イベントのテクニックまたは戦術の種類により異なるように選択されることができる、
請求項5に記載のクラウドイベントに対するマッピング情報を生成する方法。
上記の複数のお問い合わせのイベント、それぞれに対する危険度の情報は上記のお問い合わせのイベントのシナリオに含まれた以前時間の他のお問い合わせのイベントに含まれた各イベントのテクニックまたは戦術の種類により異なるように選択されることができる、
請求項5に記載のクラウドイベントに対するマッピング情報を生成する方法。
【請求項8】
11)上記のマッピングディクショナリに含まれていない未定義(undefined)イベントを識別する段階;
12)クライアント端末から上記の未定義イベントに対する危険評価情報を受信する段階;
13)上記の危険評価情報に基づいて、上記の未定義イベントを上記のマッピングディクショナリに追加する第1方法及び上記の未定義イベントを未危険イベントに分類する第2方法の中のいずれか一つを選択する段階;
14)上記の第1方法が選択された場合、上記の未定義イベントがマッピングされるマッピング情報をマッピングディクショナリに保存する段階を含む、
請求項1に記載のクラウドイベントに対するマッピング情報を生成する方法。
12)クライアント端末から上記の未定義イベントに対する危険評価情報を受信する段階;
13)上記の危険評価情報に基づいて、上記の未定義イベントを上記のマッピングディクショナリに追加する第1方法及び上記の未定義イベントを未危険イベントに分類する第2方法の中のいずれか一つを選択する段階;
14)上記の第1方法が選択された場合、上記の未定義イベントがマッピングされるマッピング情報をマッピングディクショナリに保存する段階を含む、
請求項1に記載のクラウドイベントに対するマッピング情報を生成する方法。
【請求項9】
上記の13)段階及び上記の14)段階の間で行われる、上記のクライアント端末から上記の未定義イベントに対するマッピング関連情報を受信する段階をさらに含めて、
上記の14)段階で、上記のマッピング情報は上記のマッピング関連情報に基づいて生成される、
請求項8に記載のクラウドイベントに対するマッピング情報を生成する方法。
上記の14)段階で、上記のマッピング情報は上記のマッピング関連情報に基づいて生成される、
請求項8に記載のクラウドイベントに対するマッピング情報を生成する方法。
【請求項10】
上記のマッピング関連情報は上記の未定義イベントに対するトピック及びキーワード情報の中の少なくとも一つに基つく、
請求項9に記載のクラウドイベントに対するマッピング情報を生成する方法。
請求項9に記載のクラウドイベントに対するマッピング情報を生成する方法。
【請求項11】
上記の13)段階及び上記の14)段階の間で行われる、生成型AIサーバーに上記の未定義イベントに対するマッピング関連情報を要請し、上記の生成型AIサーバーから上記のマッピング関連情報を受信する段階をさらに含めて、
上記の14)段階で、上記のマッピング情報は上記のマッピング関連情報に基づいて生成される、
請求項8に記載のクラウドイベントに対するマッピング情報を生成する方法。
上記の14)段階で、上記のマッピング情報は上記のマッピング関連情報に基づいて生成される、
請求項8に記載のクラウドイベントに対するマッピング情報を生成する方法。
【請求項12】
上記のマッピング関連情報を受信する段階は、
上記の未定義イベント、上記の戦術及び上記のテクニックに対する情報を含むプロンプティング情報を生成する段階;
上記のプロンプティング情報を上記の生成型AIサーバーに伝送して、回答情報を獲得する段階;及び
上記の回答情報から上記のマッピング関連情報を識別する段階を含む、
請求項11に記載のクラウドイベントに対するマッピング情報を生成する方法。
上記の未定義イベント、上記の戦術及び上記のテクニックに対する情報を含むプロンプティング情報を生成する段階;
上記のプロンプティング情報を上記の生成型AIサーバーに伝送して、回答情報を獲得する段階;及び
上記の回答情報から上記のマッピング関連情報を識別する段階を含む、
請求項11に記載のクラウドイベントに対するマッピング情報を生成する方法。
【請求項13】
上記のマッピング関連情報を受信する段階は、
上記のプロンプティング情報を生成する段階の以前に行われる、上記の未定義イベントのトピック及びキーワードの情報に基づいて、少なくとも一つの候補戦術及び候補テクニックを選定する段階をさらに含めて、
上記のプロンプティング情報を生成する段階で、上記のプロンプティング情報に含まれる上記の戦術及び上記のテクニックに対する情報は上記の候補戦術及び候補テクニックに対する情報である、
請求項12に記載のクラウドイベントに対するマッピング情報を生成する方法。
上記のプロンプティング情報を生成する段階の以前に行われる、上記の未定義イベントのトピック及びキーワードの情報に基づいて、少なくとも一つの候補戦術及び候補テクニックを選定する段階をさらに含めて、
上記のプロンプティング情報を生成する段階で、上記のプロンプティング情報に含まれる上記の戦術及び上記のテクニックに対する情報は上記の候補戦術及び候補テクニックに対する情報である、
請求項12に記載のクラウドイベントに対するマッピング情報を生成する方法。
【請求項14】
クラウドサービスが提供する複数のイベントに対するマッピング情報を生成するマッピングサーバーにおいて、
メモリ;
マッピングディクショナリ、複数の戦術及び上記の複数の戦術、それぞれに含まれた複数のテクニックを含む行為データベース;及び
上記のメモリと上記の行為データベースと連結されて、上記のメモリに含まれた命令を実行するように構成されたプロセッサを含めて、
上記のプロセッサは、
1)いずれか一つのマッピング対象イベントに対するドキュメントを獲得する段階-上記のマッピング対象イベントは上記の複数のイベントの中のいずれか一つである;
2)上記のドキュメントに基づいて上記のマッピング対象イベントに対するトピック及びキーワードの中の少なくとも一つを生成する段階;
3)上記のトピック及び上記のキーワードの中の少なくとも一つに基づいて、上記のマッピング対象イベントがマッピングされる一つの戦術を選択する段階;
4)上記のトピック及び上記のキーワードの中の少なくとも一つに基づいて、上記のマッピング対象イベントがマッピングされるテクニックを選択する段階-上記の選択されたテクニックは上記の選択された戦術に含まれる-;
5)上記の3)及び4)による上記のマッピング対象イベントに対するマッピング情報をマッピングディクショナリに保存する段階;及び
6)上記の1)から4)までの段階を反復して上記の複数のイベントの中の少なくとも一部に対するマッピングディクショナリを生成する段階を行うように構成される、
クラウドイベントに対するマッピング情報を生成するマッピングサーバー。
メモリ;
マッピングディクショナリ、複数の戦術及び上記の複数の戦術、それぞれに含まれた複数のテクニックを含む行為データベース;及び
上記のメモリと上記の行為データベースと連結されて、上記のメモリに含まれた命令を実行するように構成されたプロセッサを含めて、
上記のプロセッサは、
1)いずれか一つのマッピング対象イベントに対するドキュメントを獲得する段階-上記のマッピング対象イベントは上記の複数のイベントの中のいずれか一つである;
2)上記のドキュメントに基づいて上記のマッピング対象イベントに対するトピック及びキーワードの中の少なくとも一つを生成する段階;
3)上記のトピック及び上記のキーワードの中の少なくとも一つに基づいて、上記のマッピング対象イベントがマッピングされる一つの戦術を選択する段階;
4)上記のトピック及び上記のキーワードの中の少なくとも一つに基づいて、上記のマッピング対象イベントがマッピングされるテクニックを選択する段階-上記の選択されたテクニックは上記の選択された戦術に含まれる-;
5)上記の3)及び4)による上記のマッピング対象イベントに対するマッピング情報をマッピングディクショナリに保存する段階;及び
6)上記の1)から4)までの段階を反復して上記の複数のイベントの中の少なくとも一部に対するマッピングディクショナリを生成する段階を行うように構成される、
クラウドイベントに対するマッピング情報を生成するマッピングサーバー。
【請求項15】
上記のプロセッサは、
7)クライアントからお問い合わせのイベントに対する情報を獲得する段階;
8)上記のマッピングディクショナリに基づいて、上記のお問い合わせのイベントが対応される対応戦術を探索する段階;
9)上記で探索した戦術に含まれる複数のテクニックの中の一つを探索する段階;及び
10)上記のクライアントに上記のお問い合わせのイベントについて探索した上記の対応テクニック及び戦術をマッピング情報で提供する段階をさらに行うように構成される、
請求項14に記載のクラウドイベントに対するマッピング情報を生成するマッピングサーバー。
7)クライアントからお問い合わせのイベントに対する情報を獲得する段階;
8)上記のマッピングディクショナリに基づいて、上記のお問い合わせのイベントが対応される対応戦術を探索する段階;
9)上記で探索した戦術に含まれる複数のテクニックの中の一つを探索する段階;及び
10)上記のクライアントに上記のお問い合わせのイベントについて探索した上記の対応テクニック及び戦術をマッピング情報で提供する段階をさらに行うように構成される、
請求項14に記載のクラウドイベントに対するマッピング情報を生成するマッピングサーバー。
【請求項16】
上記のプロセッサは、
上記の4)で上記のマッピング対象イベントに対するマッピング可能性のある複数のテクニックの情報を選択する段階;
少なくとも一つの評価者の端末で上記の複数のテクニックを提供する段階;
上記の少なくとも一つの評価者の端末から上記の複数のテクニックに対する適切性の情報を獲得する段階;
上記の適切性の情報を取りまとめて上記の複数のテクニックの中の一つのテクニックを選択する段階;及び
上記のマッピング対象イベントに対するマッピング情報をマッピングディクショナリに保存する段階をさらに行うように構成される、
請求項14に記載のクラウドイベントに対するマッピング情報を生成するマッピングサーバー。
上記の4)で上記のマッピング対象イベントに対するマッピング可能性のある複数のテクニックの情報を選択する段階;
少なくとも一つの評価者の端末で上記の複数のテクニックを提供する段階;
上記の少なくとも一つの評価者の端末から上記の複数のテクニックに対する適切性の情報を獲得する段階;
上記の適切性の情報を取りまとめて上記の複数のテクニックの中の一つのテクニックを選択する段階;及び
上記のマッピング対象イベントに対するマッピング情報をマッピングディクショナリに保存する段階をさらに行うように構成される、
請求項14に記載のクラウドイベントに対するマッピング情報を生成するマッピングサーバー。
【請求項17】
上記のマッピング情報は該当のマッピング対象イベントに対する危険度の情報を含む、
請求項14に記載のクラウドイベントに対するマッピング情報を生成するマッピングサーバー。
請求項14に記載のクラウドイベントに対するマッピング情報を生成するマッピングサーバー。
【請求項18】
上記の危険度の情報は該当のマッピング対象イベントのそのものに対する基本危険度の情報と該当のマッピング対象イベントとシーケンスに発生された第1イベントを考慮した連係危険度の情報を含む、
請求項17に記載のクラウドイベントに対するマッピング情報を生成するマッピングサーバー。
請求項17に記載のクラウドイベントに対するマッピング情報を生成するマッピングサーバー。
【発明の詳細な説明】
【技術分野】
【0001】
本発明はクラウドイベントを通じてユーザーの行為を判断する技術に関するもので、より詳しくはクラウドコンピューティング環境で受信される各クラウドイベントを通じて収集したイベントを複数の戦術の中の少なくとも一つと複数のテクニックの少なくとも一つにマッピングするクラウドイベントに対するマッピング情報を生成する方法に関するものである。
【背景技術】
【0002】
最近、クラウドの技術の発達及び活用の極大化によりクラウドコンピューティングサービスが普遍化されている。そして、このようなクラウドコンピューティングサービスの普遍化に従ってクラウドコンピューティング環境でセキュリティを脅威するユーザーの行為を探知し防御することの重要性が増加している。
【0003】
クラウドコンピューティング環境でユーザーの行為はAPIを通じてイベントで収集され、ユーザーの行為の種類ごと収集されるイベントの種類が異なる。しかし、同一なユーザーの行為に対してそれそれ異なる事業者のクラウドごとお互い異なる種類のイベントで発生される場合があり、イベントの種類に対応しユーザーの行為が定義されていない。
【0004】
したがって、イベントを収集してもリアルタイムでユーザーの行為を判断することが難しく、特に悪意的な一連のユーザーの行為を直ちに判断しにくい問題がある。
【0005】
したがって、ユーザーの行為が悪意的な行為である否かを直ちに判断する要求が増大している。
【先行技術文献】
【特許文献】
【0006】
【特許文献1】大韓民国公開特許第10-2022-008686号(公開日:2022.06.23.)
【発明の概要】
【発明が解決しようとする課題】
【0007】
本発明は複数のイベントの中のマッピング対象イベントを該当のイベントに対応する行為を特定する少なくとも一つの戦術と少なくともテクニックにマッピングするクラウドイベントに対するマッピング情報を生成する方法及びマッピングサーバーを提供する目的がある。
【0008】
また、本発明はマッピング情報の生成の際にマッピング対象イベントに対する危険度の情報を含むクラウドイベントに対するマッピング情報を生成する方法及びマッピングサーバーを提供する目的がある。
【課題を解決するための手段】
【0009】
本発明のクラウドイベントに対するマッピング情報を生成する方法及びマッピングサーバーは、マッピングサーバーがクラウドサービスが提供する複数のイベントに対するマッピング情報を生成する方法において、上記のマッピングサーバーは複数のテクニックが含まれた行為データベースを用いることができ-上記の複数のテクニックは複数の戦術グループの中のいずれか一つに含まれるものである-、1)いずれか一つのマッピング対象イベントに対するドキュメントを獲得する段階-上記のマッピング対象イベントは上記の複数のイベントの中のいずれか一つである-、2)上記のドキュメントに基づいて上記のマッピング対象イベントに対するトピック及びキーワードの中の少なくとも一つを生成する段階、3)上記のトピック及びキーワードの中の少なくとも一つに基づいて、上記のマッピング対象イベントがマッピングされる一つの戦術を選択する段階、4)上記のトピック及び上記のキーワードの中の少なくとも一つに基づいて、上記のマッピング対象イベントがマッピングされるテクニックを選択する段階-上記の選択されたテクニックは上記の選択された戦術に含まれる-、5)上記の3)及び4)による上記のマッピング対象イベントに対するマッピング情報をマッピングディクショナリに保存する段階、及び6)上記の1)から4)までの段階を反復し上記の複数のイベントの中の少なくとも一部に対するマッピングディクショナリを生成する段階を含む。
【0010】
本発明の一実施例において、7)クライアントからお問い合わせのイベントに対する情報を獲得する段階、8)上記のマッピングディクショナリに基づいて、上記のお問い合わせが対応される対応戦術を探索する段階、9)上記で探索した戦術に含まれる複数のテクニックの中の一つを探索する段階、及び、10)上記のクライアントに上記のお問い合わせのイベントについて探索した上記の対応テクニック及び戦術をマッピング情報で提供する段階をさらに含むことができる。
【0011】
本発明の一実施例において、上記の4)で上記のマッピング対象イベントに対するマッピング可能性のある複数のテクニックを選択する段階、少なくとも一つの評価者の端末に上記の複数のテクニックを提供する段階、上記の少なくとも一つの評価者の端末から上記の複数のテクニックに対する適切性の情報を獲得する段階、上記の適切性の情報を取りまとめて上記の複数のテクニックの中の一つのテクニックを選択する段階、及び上記のマッピング対象イベントに対するマッピング情報をマッピングディクショナリに保存する段階を含むことができる。
【0012】
本発明の一実施例において、上記のマッピング情報は該当のマッピング対象イベントに対する危険度の情報を含むことができる。
【0013】
本発明の一実施例において、上記の危険度の情報は該当のマッピング対象イベントのそのものに対する基本危険度の情報と、該当のマッピング対象イベントとシーケンスに発生された第1イベントを考慮した連係危険度の情報を含むことができる。
【0014】
本発明の一実施例において、上記の第1イベントが複数である場合に、上記の連係危険度の情報はそれぞれの第1イベントについてマッチングされることができる。
【0015】
本発明の一実施例において、クライアントから複数のお問い合わせのイベントが含まれたお問い合わせのイベントのシナリオを受信すると、上記の複数のお問い合わせのイベント、それぞれに対する危険度の情報は上記のお問い合わせのイベントのシナリオに含まれた以前時間の他のお問い合わせのイベントに含まれた各イベントのテクニックまたは戦術の種類により異なるように選択されることができる。
【0016】
本発明の一実施例において、11)上記のマッピングディクショナリに含まれていない未定義(undefined)イベントを識別する段階、12)クライアント端末から上記の未定義イベントに対する危険評価情報を受信する段階、13)上記の危険評価情報に基づいて、上記の未定義イベントを上記のマッピングディクショナリに追加する第1方法及び上記の未定義イベントを未危険イベントに分類する第2方法の中のいずれか一つを選択する段階、14)上記の第1方法が選択された場合、上記の未定義イベントがマッピングされるマッピング情報をマッピングディクショナリに保存する段階を含むことができる。
【0017】
本発明の一実施例において、上記の13)段階及び上記の14)段階の間で行われる、上記のクライアント端末から上記の未定義イベントに対するマッピング関連情報を受信する段階をさらに含めて、上記の14)段階で、上記のマッピング情報は上記のマッピング関連情報に基づいて生成されることができる。
【0018】
本発明の一実施例において、上記のマッピング関連情報は上記の未定義イベントに対するトピック及びキーワード情報の中の少なくとも一つに基つくことができる。
【0019】
本発明の一実施例において上記の13)段階及び上記の14)段階の間で行われる、生成型AIサーバーに上記の未定義イベントに対するマッピング関連情報を要請し、上記の生成型AIサーバーから上記のマッピング関連情報を受信する段階をさらに含めて、上記の14)段階で、上記のマッピング情報は上記のマッピング関連情報に基づいて生成されることができる。
【0020】
本発明の一実施例において、上記のマッピング関連情報を受信する段階は、上記の未定義イベント、上記の戦術及び上記のテクニックに対する情報を含むプロンプティング情報を生成する段階、上記のプロンプティング情報を上記の生成型AIサーバーに伝送して、回答情報を獲得する段階、及び上記の回答情報から上記のマッピング関連情報を識別する段階を含むことができる。
【0021】
本発明の一実施例において、上記のマッピング関連情報を受信する段階は、上記のプロンプティング情報を生成する段階の以前に行われる、上記の未定義イベントのトピック及びキーワードの情報に基づいて、少なくとも一つの候補戦術及び候補テクニックを選定する段階をさらに含めて、上記のプロンプティング情報を生成する段階で、上記のプロンプティング情報に含まれる上記の戦術及び上記のテクニックに対する情報は上記の候補戦術及び候補テクニックに対する情報であることができる。
【0022】
本発明のクラウドイベントに対するマッピング情報を生成するマッピングサーバーは、クラウドサービスが提供する複数のイベントに対するマッピング情報を生成するマッピングサーバーにおいて、メモリ、マッピングディクショナリ、複数の戦術及び上記の複数の戦術、それぞれに含まれた複数のテクニックを含む行為データベース、及び上記のメモリと上記の行為データベースと連結されて、上記のメモリに含まれた命令を実行するように構成されたプロセッサを含めて、上記のプロセッサは、1)いずれか一つのマッピング対象イベントに対するドキュメントを獲得する段階-上記のマッピング対象イベントは上記の複数のイベントの中のいずれか一つである、2)上記のドキュメントに基づいて上記のマッピング対象イベントに対するトピック及びキーワードの中の少なくとも一つを生成する段階、3)上記のトピック及び上記のキーワードの中の少なくとも一つに基づいて、上記のマッピング対象イベントがマッピングされる一つの戦術を選択する段階、4)上記のトピック及び上記のキーワードの中の少なくとも一つに基づいて、上記のマッピング対象イベントがマッピングされるテクニックを選択する段階-上記の選択されたテクニックは上記の選択された戦術に含まれる-、5)上記の3)及び4)による上記のマッピング対象イベントに対するマッピング情報をマッピングディクショナリに保存する段階、及び6)上記の1)から4)までの段階を反復して上記の複数のイベントの中の少なくとも一部に対するマッピングディクショナリを生成する段階を行うように構成される。
【0023】
本発明の一実施例において、上記のプロセッサは、7)クライアントからお問い合わせのイベントに対する情報を獲得する段階、8)上記のマッピングディクショナリに基づいて、上記のお問い合わせのイベントが対応される対応戦術を探索する段階、9)上記で探索した戦術に含まれる複数のテクニックの中の一つを探索する段階、及び10)上記のクライアントに上記のお問い合わせのイベントについて探索した上記の対応テクニック及び戦術をマッピング情報で提供する段階をさらに行うように構成されることができる。
【0024】
本発明の一実施例において、上記のプロセッサは、上記の4)で上記のマッピング対象イベントに対するマッピング可能性のある複数のテクニックの情報を選択する段階、少なくとも一つの評価者の端末で上記の複数のテクニックを提供する段階、上記の少なくとも一つの評価者の端末から上記の複数のテクニックに対する適切性の情報を獲得する段階、上記の適切性の情報を取りまとめて上記の複数のテクニックの中の一つのテクニックを選択する段階、及び上記のマッピング対象イベントに対するマッピング情報をマッピングディクショナリに保存する段階をさらに行うことができる。
【0025】
本発明の一実施例において、上記のマッピング情報は該当のマッピング対象イベントに対する危険度の情報を含むことができる。
【0026】
本発明の一実施例において、上記の危険度の情報は該当のマッピング対象イベントのそのものに対する基本危険度の情報と、該当のマッピング対象イベントとシーケンスに発生された第1イベントを考慮した連係危険度の情報を含むことができる。
【発明の効果】
【0027】
本発明の実施例によれば、本発明は該当のアカウントで発生されるクラウドイベントに対するマッピング情報である戦術とテクニックを通じてどのような行為なのか及び危険の可否を直ちに判断できるようにする長所がある。
【図面の簡単な説明】
【0028】
【図1】本発明の実施例によるネットワーク環境の例を図示した図面である。
【図2】本発明の実施例によるマッピングサーバーのプロセッサに対するブロック構成図である。
【図3】本発明の実施例による本発明の実施例によるクラウドイベントに対するマッピング情報を生成する方法に対する全般的なフローチャートである。
【図4】本発明の実施例によるマッピング対象イベントが複数のテクニックに対応される場合の処理過程を示したフローチャートである。
【図5】本発明の実施例による戦術とテクニックの一例を示す図面である。
【図6】本発明の実施例による危険度の情報を生成する過程を示すフローチャートである。
【図7】本発明の第1実施例による行為シナリオで危険度の連関性による危険度のレベルを決定することを示す図面である。
【図8】本発明の第2実施例による行為シナリオで危険度の連関性による危険度のレベルを決定することを示す図面である。
【図9】本発明の実施例による未定義(undefined)イベントをマッピング方法に対する全般的なフローチャートである。
【図10】本発明の実施例による生成型のAIサーバーからマッピング関連情報を受信する方法に対する全般的なフローチャートである。
【発明を実施するための形態】
【0029】
以下、添付された図面を参考に、本明細書に開示された実施例を詳しく説明するが、図面符号に関係なく同一であったり、類似な構成要素は同一な参照番号を付与し、これに対する重複される説明は省略するようにする。また、本明細書に開示された実施例を説明するのにおいて、関連される公知技術に対する詳しい説明が本明細書に開示された実施例の要旨を不明瞭にすると判断される場合、その詳しい説明を省略する。
【0030】
第1、第2などのような序数を含む用語は様々な構成要素を説明するのに用いることができるが、上記の構成要素は上記の用語により限定されない。上記の用語は一つの構成要素を他の構成要素から区別する目的にのみ用いられる。
【0031】
単数の表現は文脈上明白に異なる意味がない限り、複数の表現を含む。
【0032】
本出願で、説明される各段階は特別な因果関係により羅列された順序に従って行われるべきである場合を除いて、羅列された順序と関係なく行われることができる。
【0033】
本出願で、「含む」または「有する」などの用語は明細書上に記載された特徴、数字、段階、動作、構成要素、部品またはこれらを組み合わせたものが存在することを指定しようとするものであって、一つまたはそれ以上の他の特徴や数字、段階、動作、構成要素、部品またはこれらを組み合わせたものの存在または付加可能性を予め排除しないものと理解するべきである。
【0034】
以下、添付された図面を参考にし、本発明について説明する。
【0035】
図1は本発明の一実施例によるネットワーク環境の例を図示した図面である。
【0036】
図1に図示された本発明の一実施例によるネットワーク環境はAPIサーバー10、ドキュメントサーバー20、クライアント端末30、評価者の端末40及びマッピングサーバー100を含むことができる。
【0037】
APIサーバー10は予め定められた規則またはユーザーの要請によりAPI(Application Programming Interface)を実行する装置である。APIサーバー10でAPIが実行されるとAPIに対応されるイベントが生成される。イベント情報は実行されたAPIのイベントの名前、APIの実行時刻、APIの実行主体及びイベントの応答シンタックス(Reponse Syntax)を含む。ここで、応答シンタックスはAPIサーバー10がAPIを実行することにより生成する情報の文法を意味する。APIサーバー10はこのような応答シンタックスをユーザー端末に提供することができる。
【0038】
APIサーバー10はAPIの実行結果に対する情報を保存するイベント記録部を含むことができる。イベント記録部は該当のサーバーが実行したAPIに対応するイベント情報をデータベース形態に保存することができる。このようなイベント記録部は例えば、該当のサーバーがAWS(Amazon Web Services)である場合、クラウドトレイル(CloudTrail)と呼ばれることができる。
【0039】
ドキュメントサーバー20はイベントに対するドキュメントを保存しているサーバーである。ここで、イベントに対するドキュメントはドキュメントの名前、定義、機能、要請シンタックス(Request Syntax)の形式、APIが実行されることにより生成または提供されるパラメータに対する説明及び応答シンタックスの形式などを説明する文書の情報であることができる。例えば、イベントの出力形式はJSON、YAML、YAML stream、Text、Table、CSVなどができる。
【0040】
このようなイベントに対するドキュメントはドキュメントサーバー20によりウェブページの形態で提供されたり、ダウンロードが可能な文書の形態に提供されることができる。このようなイベントに対するドキュメントはイベントの名前、またはイベントの名前により区分され、検索敵るように提供されたりリスト化されて提供されることができる。
【0041】
ドキュメントサーバー20は提供するドキュメントのAPIを実行するAPIサーバー10と同一または連関主体により生成され管理されることができる。したがって、ドキュメントサーバー20は関連されるAPIサーバー10で実行可能なイベントのドキュメントを選択的に保存することができる。ドキュメントサーバー20を生成し管理する連関主体はクラウドファンディングサービスを運営するアマゾン、グーグル、マイクロソフト、オラクル及びネイバーなどを含むクラウド事業者と理解できる。一方、ドキュメントサーバー20はマッピングサーバー100に含まれて実装されることができる。
【0042】
マッピングサーバー100はメモリ110、プロセッサ120、通信部130及び行為データベース140を含むことができる。
【0043】
メモリ110は保存媒体として機能を行い、マッピングサーバー100で駆動される多数の応用プログラム、マッピングサーバー100の動作のためのデータ及び命令語を保存することができる。
【0044】
プロセッサ120はメモリ110、通信部130及び行為データベース140の全般的な動作を制御しイベントに対するマッピング情報を生成する方法を行って、クライアント端末30がお問い合わせするお問い合わせイベントに対するマッピング情報を提供することができ、評価者の端末40にイベントに対するマッピング情報をお問い合わせすることができる。
【0045】
プロセッサ120はAPIサーバー10のイベント記録部からイベント情報を収集し、収集したイベント情報に含まれたイベントに対するドキュメントをドキュメントサーバー20から収集することができる。プロセッサ120は収集したイベント情報及びドキュメントに基づいて各イベントに対するマッピング情報を生成して、行為データベース140内のマッピングディクショナリに保存し管理することができる。
【0046】
ここで、マッピングサーバー100はクラウドアプリケーション、ITインフラ及びプラットフォームをインタネットブラウザを通じてイベントマッピングサービスをユーザー端末に提供するサービスとしてのソフトウェア(Software-as-a-Service、SaaS)に理解することができる。
【0047】
通信部130はネットワークを通じてAPIサーバー10、ドキュメントサーバー20、クライアント端末30及び評価者の端末40と有/無線方式で通信することができる。
【0048】
行為データベース140は複数の戦術に対する情報と各戦術(tactic)に含まれる複数のテクニック(technique)に対する情報を保存しており、プロセッサ120により生成されたマッピングディクショナリを保存することができる。マッピングディクショナリはプロセッサ120で解析した第1イベントと第1イベントに対応し判断したマッピング情報がマッチングされ記録された記録情報であり、このような記録情報はテーブルの形態など様々な形態で具現できる。上記で一つのイベントにマッチングされるマッピング情報には複数の戦術の中の一つの戦術と複数のテクニックの中の一つを含む。
【0049】
戦術はユーザーの正常的な行為及び悪意的な行為を含む行為(以下、「戦術行為」という)を定義した名称を意味し、テクニックは該当の戦術に対する細部の行動を正義する名称を意味する。プロセッサ120は発生されるイベントに対する該当のイベントに含まれるAPIに対する戦術またはテクニックを用いて正常的な行動なのか悪意的な行動なのかを判断する。
【0050】
複数の戦術は製作者により任意に設定することができ、攻撃行為の順序をもとに設定されることができる。
【0051】
【0052】
図5を参考にすれば、複数の戦術(A)は偵察、資源開発、目標接近、実行、被害の発生などを含むことができる。偵察は情報を収集し探索する行為であり、資源開発は目標行為のための資源(例えば;口座、インフラなど)を設ける行為であり、目標接近は目標行為に接近するための行為であって、実行は目標行為が発生されるようにする前段階の行為であり、被害の発生は目標行為に該当する。
【0053】
複数のテクニック(B)は戦術に該当する具体的な行為である。例えば、偵察に該当するテクニック(B)はホスト情報の収集、組織情報の収集、 身元情報の収集などがあり、資源開発に該当するテクニックはインフラの確報、アカウントの損傷、インフラの損傷、口座の開設などがある。目標接近に該当するテクニックは応用プログラムの悪用、ハードウェアの追加、供給網の妥協、信頼関係などがあり、実行にはアカウントの造作、SWバイナリーの損傷、アクセストークンの造作、ドメイン政策の修正などがある。
【0054】
一方、行為データベース140はAPIサーバー10で実行されるAPIに対する情報を保存することができる。このようなAPIに対する情報はAPIサーバー10から収集したAPIに対するイベント情報及びドキュメントサーバー20から収集したイベントに対するドキュメント情報に基づいて生成されることができる。
【0055】
クライアント端末30はマッピングサーバー100が提供するイベントに対するマッピング情報を生成するマッピングサービスの提供を受ける端末を意味する。また、クライアント端末30は予め定められた規則またはユーザーの要請をAPIサーバー10と通信を実行してAPIを呼出することができる。クライアント端末30の呼出によりAPIサーバー10が実行したイベントに対する結果はAPIサーバー10のイベント記録部に保存することができる。
【0056】
評価者の端末40はプロセッサ120から要請を受けたマッピング対象イベントに対してどのようなテクニックに該当するかを評価する評価者の端末である。この際、プロセッサ120はマッピング対象イベントに対して複数個の候補テクニックを把握し、候補テクニックを複数個の評価者の端末40に提供する。これに評価者の端末40は各候補テクニックについてマッピング対象APIに対する適切性の情報を評価し、各候補テクニックに対する適切性の情報をプロセッサ120に提供することができる。適切性の情報はマッピング対象イベントに符号する程度(例;レベルや点数など)に対する情報である。
【0057】
【0058】
ドキュメント収集部121はドキュメントサーバー20からマッピング対象イベントに対するドキュメントを収集し、イベント収集部122はAPIサーバー10でAPIの実行結果に対するイベント情報をデータベースの形態に保存されたイベント記録部に接続し実行されたAPIに対応されるイベント情報を予め定められた周期、時間間隔またはリアルタイムで収集することができる。
【0059】
ここで、イベント情報を収集することは、トラフィックまたはデータボトルネックエラーを防止するために、該当のサーバーのイベント記録部の照会要請の速度を反映して定めることができる。また、クラウドトレイルから照会要請の速度の情報も一緒に受信することができる。例えば、イベント記録部がAWSのクラウドトレイルである場合、リージョン別、アカウント別に秒あたり2回以下に制限されて、クラウドトレイルを通じて結果が提供されるのに最大15分が所要されることができる。したがってクラウドトレイルからAPIを収集するための間隔は制限条件を満足させる範囲内で決定されることができる。
【0060】
制御部123はドキュメント収集部121、イベント収集部122及び行為データベース140と連動されてマッピング対象イベントに対するマッピング情報を生成することができる。もちろん、制御部123はマッピング情報とともにマッピング情報の戦術に対する危険度の情報をマッピングすることができる。危険度の情報は該当のマッピング対象イベントそのものに対する基本危険度の情報と、該当のマッピング対象イベントとシーケンスに発生された第1イベントを考慮した連係危険度の情報を含むことができる。
【0061】
図3は本発明の実施例によるAPIに対するマッピング情報を生成する方法に対する全般的なフローチャートである。図3を参考にすれば、段階S301でプロセッサ120は第1アカウントで発生された一つのマッピング対象イベントをAPIサーバー10から受信する。そして、段階S302で、プロセッサ120は受信されたマッピング対象イベントに対するドキュメントをドキュメントサーバー20から獲得する。
【0062】
段階S303で、プロセッサ120はマッピング対象イベントに対するドキュメントに含まれたAPIの名前、定義、機能、要請シンタックス(Request Syntax)の形式、APIが実行されることによって生成または提供されるパラメータに対する説明を用いて、トピック及びキーワードの中の少なくとも一つを生成する。例えば、プロセッサ120はマッピング対象イベントがアカウントのアップデート(Account Update)に対するイベントである場合に「アカウントのアップデート」というトピックや「アカウント」と「アップデート」というキーワードを生成するようになるだろう。
【0063】
段階S304で、プロセッサ120はS303段階で生成したトピックまたはキーワードを基に行為データベース140に保存された複数の戦術の中で一つの戦術を選択する。その次の段階S305で、プロセッサ120は選択した戦術に含まれた複数のテクニックの中でS303段階で生成したトピックまたはキーワードに対応される少なくとも一つのテクニックを選択する。
【0064】
S304段階とS305段階を行うと、段階S305でプロセッサ120はS303段階で選択した戦術とS304段階で選択したテクニックをマッピング対象イベントに対するマッピング情報に設定し、マッピング対象イベント及びマッピング対象イベントに対するマッピング情報をマッチングさせてマッピングディクショナリに保存する。
【0065】
したがって、S301段階からS306段階までを複数のマッピング対象イベントに対して行うようになれば、マッピングディクショナリには全体イベントの中の複数のイベントに対するマッピング情報が記録されるようになり、新しいイベントが生成されないという仮定の下で時間が経つと全体イベントに対するマッピング情報が記録されたマッピングディクショナリが生成されることになる。
【0066】
図4は本発明の実施例によるマッピング対象イベントが複数のテクニックに対応される場合の処理過程を示したフローチャートである。図4を参考にすれば、前述した段階S305でプロセッサ120は選択した戦術に含まれる複数のテクニックの中の一つのマッピング対象イベントのトピックやキーワードに対応するテクニックを選択(把握)する。
【0067】
段階S401で、プロセッサ120はS305段階で把握したテクニックが二つ以上であるかを判断する。そして、判断の結果を通じて把握したテクニックが一つであればプロセッサ120はS306段階を行うが、把握したテクニックが二つ以上であればプロセッサ120は段階S402を通じて複数の設定された評価者の端末40でマッピング対象イベントのトピックやキーワードと一緒にS305段階で把握した複数のテクニックを提供する。
【0068】
このように各評価者の端末40でトピックやキーワード及び複数のテクニックを提供すれば、各評価者はトピックやキーワードを把握した後、複数のテクニックの中のトピックやキーワードに最も符合する一つを選択し「適切する」と表示またはタグ付けしたり、複数のテクニックのそれぞれに対してトピックやキーワードに符合する程度、すなわち、適切性を点数や適切性のレベルなどに表示する。ここで、適切性の程度は「適切する」という情報であったり、適切性の点数や適切性のレベルなどであることができる。
【0069】
次の段階S403で、プロセッサ120は複数の評価者の端末40、それぞれから複数のテクニックに対する適切性の情報を獲得(受信)する。そして、段階S404でプロセッサ120は、「適切する」という表示またはタグ付けが最も多い一つのテクニックを選択したり、各テクニックに対して付与された点数やレベルを平均し平均値が最も高い一つのテクニックを選択する。
【0070】
そして、プロセッサ120は段階S306のようにS404段階で、選択した一つのテクニックとS304段階で選択した一つの戦術をマッピング対象イベントに対するマッピング情報にしてマッピングディクショナリに保存する。
【0071】
図6は本発明の実施例による危険度の情報を生成する過程を示すフローチャートである。図6を参考にすれば、段階S601でプロセッサ120は第1アカウントで発生された第1イベント(第1APIを含む)を受信する。その次の段階S602でプロセッサ120は前述するように第1イベントに対する一つの戦術と該当の戦術に含まれる複数のテクニックの中の一つを選択してマッピング情報を生成する。
【0072】
段階S603で、プロセッサ120は第1アカウントに対するイベントシナリオを把握する。イベントシナリオは時系列的なイベントの羅列である。イベントシナリオは第1アカウントで2022年7月1日に第1イベントが発生されて、同じ年7月2日に第2イベントが発生され、同じ年8月31日に第3イベントが発生された。現在(同じ年9月15日)に第4イベントが発生されたとすれば、イベントシナリオは第1イベント、第2イベント、第3イベント及び第4イベントの時間順に含まれる。このようなイベントシナリオを通じて発生されたイベントの時間順に該当のイベントに対応される戦術またはテクニックを把握することができる。
【0073】
段階S604で、プロセッサ120は把握したイベントシナリオで第1イベントまたは該当の戦術または該当のテクニックと危険連関性を有する少なくとも一つの第2イベント(または、該当の戦術または該当のテクニック)が存在するかを把握する。第2イベントの把握は既に保存された危険度のテーブルを用いて、危険度のテーブルは危険度がある各イベント別に危険連関性のあるそれぞれのイベントの種類と危険度の程度(基本危険度の情報または連係危険度の情報)が記録されている。危険度の情報は危険度のレベルや危険度の点数で記録されることができる。
【0074】
段階S605で、プロセッサ120は第2イベントが存在するかを判断する。第2イベントが存在する場合に、プロセッサ120は段階S606を通じて第2イベントに対する第1イベントの連係危険度の情報を把握する。
【0075】
段階S606で、プロセッサ120はS605段階で把握した連係危険度の情報をマッピング情報に含め、段階S607でマッピング情報をマッピングディクショナリに保存する。
【0076】
【0077】
図7は本発明の第1実施例による行為シナリオで危険度の連関性による危険度のレベルを決定することを示す図面である。
【0078】
図7の(a)を参考にすれば、第1イベント(第1APIを含む)、第2イベント(第2APIを含む)及び第5イベント(第5APIを含む)の順序を有する第1イベントシナリオがあるとする。第1イベントシナリオの各イベント(または戦術またはテクニック)は相互の間に危険連関性がないと、プロセッサ120は各イベントに対して基本危険度の情報を付与する。例えば、第1イベント及び第2イベントには危険度が最も低い危険度のレベル1が付与され、第5イベントは第5APIがマッピングされた戦術を基にした基本危険度である危険度のレベル2が付与される。
【0079】
しかし、図7の(b)に図示されるように、第1イベント(第1APIを含む)、第3イベント(第3APIを含む)及び第5イベント(第5APIを含む)の順序を有する第2イベントシナリオで、プロセッサ120は第1イベントが第5イベントを危険連関性があったり、第3イベントが第5イベントと危険連関性があれば、第5イベントに危険度のレベル4を付与して第1イベントシナリオに比べて危険度が高いと判断する。
【0080】
したがって、図7の(a)と(b)とのように同一な第5イベントであるにも関わらず、第5イベントは、直前に発生されたイベントの種類(戦術の種類またはテクニックの種類)との危険連係性の可否によりお互いに異なる危険度のレベルや危険度の点数を付与されることができる。
【0081】
図8は本発明の第2実施例による行為シナリオで危険度の連関性による危険度のレベルを決定することを示す図面である。図8を参考にすれば、危険度の程度はイベントシナリオで危険連関性が多いほど危険度の程度が高く付与されることができる。
【0082】
図8の(a)を参考にすれば、第1イベント(第1APIを含む)、第3イベント(第3APIを含む)、第5イベント(第5API)及び第7イベント(第7APIを含む)の順序を有する第3イベントシナリオで、第7イベントは第5イベントと危険連関性があるため、連係危険性の情報である危険度のレベル3が付与されて、残りの第1、第3及び第5イベントは基本危険度の情報が付与された。
【0083】
これに対し、図8の(b)を参考にすれば、第1イベント(第1APIを含む)、第2イベント(第2APIを含む)、第5イベント(第5APIを含む)及び第7イベント(第7APIを含む)の順序を有する第3イベントシナリオで、第5イベントは第2イベントと危険連関性があるため、連係危険度の情報である危険度のレベル2が付与され、第7イベントは第5イベントの危険度のレベルが図8の(a)より高くなることによって、図8の(a)より高い危険度のレベル5が付与された。
【0084】
したがって、危険度のレベルはイベントシナリオで危険連関度が頻繁な場合に同じイベントでも危険度のレベルが高く付与されることがある。
【0085】
図9は本発明の実施例による未定義(undefined)イベントをマッピングする方法に対する全般的なフローチャートである。
【0086】
段階S910で、プロセッサ120はマッピングディクショナリに含まれない未定義(undefined)イベントを識別する。
【0087】
ここで、未定義イベントは別の実行フローやイベントを生成しないコードまたはソフトウェアである。詳しくは、自体的な実行フローやイベントを生成しなく、他のアプリケーションの要請によって作動したリ、他のコードにより活性化されるソフトウェアコンポーネントであることができる。例えば、ライブラリ(Libraries)、ミドルウェア(Middleware)及びLambdaレイヤー(Lambda Layer)などができる。
【0088】
段階S920で、プロセッサ120はクライアント端末30から未定義イベントに対する危険評価情報を受信する。
【0089】
ここで、危険評価情報は未定義イベントがシステムにどのような危険をもたらすかについての情報を含むことができる。例えば、未定義イベントの類型、可能な影響の範囲、脆弱性の存在及び深刻性の情報であることができる。または、クライアントが未定義イベントについて危険及び未危険に分類した情報であることができる。
【0090】
段階S930で、プロセッサ120は危険評価情報に基づいて、未定義イベントをマッピングディクショナリに追加する第1方法及び未定義イベントを未危険イベントに分類する第2方法の中のいずれか一つを選択する。
【0091】
ここで、第1方法は未定義イベントが危険評価情報に基づいて、システムにおいて、危険だと判断される場合、未定義イベントを解析し関連される戦術及びテクニックを選択してマッピングディクショナリに追加する方法である。
【0092】
ここで、第2方法は未定義イベントが危険評価情報に基づいて、システムにおいて、危険ではないと判断される場合、該当の未定義イベントに対する追加的な処理や解析なしに分類するようになりマッピング戦術及びテクニックにマッピングしないようにする方法である。例えば、クライアント端末30から特定の未定義イベントに対して「このデータはシステムの正常的な作動と関連があるので、脅威として見なす必要なし」という危険評価情報を受信した場合、該当の未定義イベントはマッピングディクショナリに追加されなく、セキュリティ解析やモニタリングから除外されることができる。
【0093】
段階S930及び段階S940の間には段階S931及び段階S932を含むことができる。段階931及び段階S932はお互い併合され適用されることができる。
【0094】
段階S931で、プロセッサ120はクライアント端末30から未定義イベントに対するマッピング関連情報を受信する。
【0095】
ここで、マッピング関連情報は未定義イベントを特定戦術またはテクニックにマッピングするのに必要な情報で未定義イベントに対するトピック及びキーワードの情報の中の少なくとも一つに基づくことができる。プロセッサ120はクライアント端末30から受信したマッピング関連情報に基づいてマッピング情報を生成することができる。
【0096】
段階S932で、プロセッサ120は生成型AIサーバーに未定義イベントに対するマッピング関連情報を要請し、生成型AIサーバーからマッピング関連情報を受信する。
【0097】
生成型AIは保有した学習データとアルゴリズムに基づいて、未定義イベントに対するマッピング関連情報を生成することができる。また、生成されたマッピング関連情報に基づいてマッピング情報を生成することができる。
【0098】
段階S940で、プロセッサ120は第1方法が選択された場合、未定義イベントがマッピングされるマッピング情報をマッピングディクショナリに保存する。プロセッサ120は段階S931及び段階S932で受信したマッピング関連情報に基づいてマッピング情報を生成し、生成されたマッピング情報をマッピングディクショナリに保存する。
【0099】
図10は本発明の実施例による生成型AIサーバーからマッピング関連情報を受信する方法に関する全般的なフローチャートである。
【0100】
段階S1010で、プロセッサ120は未定義イベントのトピック及びキーワードの情報に基づいて少なくとも一つの候補戦術及び候補テクニックを選定する。例えば、未定義イベントに対するトピック及びキーワードの情報が「非許容ファイルのアップロード」、「ユーザー」、「ファイルアップロード」及び「非許容ファイル」である場合に、MITRE ATT&CKのフレームワークに基づいて、候補戦術で「影響(Impact)」を、候補テクニックで「データの破壊(Data Destruction)」または「サービスの拒否(Denial of Service)」を選定することができる。
【0101】
段階S1020で、プロセッサ120は未定義イベント、戦術及びテクニックに対する情報を含むプロンプティング情報を生成する。
【0102】
ここで、プロンプティング情報は生成型AIサーバーに要請する際に必要な情報である。また、戦術及びテクニックに対する情報は段階S1010で選定された候補戦術及び候補テクニックに対する情報であることができる。例えば、プロセッサ120は未定義イベントを解析し、関連される可能性がある戦術及びテクニックに対する情報を抽出してプロンプティング情報を含めることができる。
【0103】
段階S1030で、プロセッサ120はプロンプティング情報を生成型AIサーバーに伝送し、回答情報を獲得する。
【0104】
生成型AIサーバーはプロンプティング情報に基づいて、未定義イベントに適合する戦術及びテクニックに対する回答情報を返還する。ここで、回答情報は未定義イベントに対するマッピング情報を含むことができる。
【0105】
段階S1040で、プロセッサ120は回答情報からマッピング関連情報を識別する。
【0106】
本発明の各実施例に開示された技術的な特徴は該当の実施例にのみ限定されるものではなく、お互いに両立不可能でない以上、各実施例に開示された技術的な特徴はお互いに異なる実施例に併合され適用できる。
【0107】
したがって、各実施例ではそれぞれの技術的な特徴を中心に説明するが、各技術的な特徴がお互いに両立不可能でない以上、お互い併合され適用できる。
【0108】
本発明は上述した実施例及び添付された図面に限定されるものではなく、本発明が属する分野で通常の知識を有するものの観点で様々な修正及び変形ができる。したがって本発明の範囲は本明細書の請求範囲だけでなく、この請求範囲と均等なものによって定められるべきである。
【符号の説明】
【0109】
10:APIサーバー
20:ドキュメントサーバー
30:クライアント端末
40:評価者の端末
100:マッピングサーバー
110:メモリ
120:プロセッサ
130:通信部
140:行為データベース
20:ドキュメントサーバー
30:クライアント端末
40:評価者の端末
100:マッピングサーバー
110:メモリ
120:プロセッサ
130:通信部
140:行為データベース
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
