IP Force 特許公報掲載プロジェクト 2022.1.31 β版

ホーム > 特許ランキング > ASTRONSECURITY

このエントリーをはてなブックマークに追加

知財求人 - 知財ポータルサイト「IP Force」

▶ アストロンセキュリティーの特許一覧

特許7570482サイバー脅威フレームワークに基づいて時系列データを探知及び解析する方法
<>
  • 特許-サイバー脅威フレームワークに基づいて時系列データを探知及び解析する方法 図1
  • 特許-サイバー脅威フレームワークに基づいて時系列データを探知及び解析する方法 図2
  • 特許-サイバー脅威フレームワークに基づいて時系列データを探知及び解析する方法 図3
  • 特許-サイバー脅威フレームワークに基づいて時系列データを探知及び解析する方法 図4
  • 特許-サイバー脅威フレームワークに基づいて時系列データを探知及び解析する方法 図5
  • 特許-サイバー脅威フレームワークに基づいて時系列データを探知及び解析する方法 図6
  • 特許-サイバー脅威フレームワークに基づいて時系列データを探知及び解析する方法 図7
  • 特許-サイバー脅威フレームワークに基づいて時系列データを探知及び解析する方法 図8
  • 特許-サイバー脅威フレームワークに基づいて時系列データを探知及び解析する方法 図9
< >
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B1)
(11)【特許番号】
(24)【登録日】2024-10-10
(45)【発行日】2024-10-21
(54)【発明の名称】サイバー脅威フレームワークに基づいて時系列データを探知及び解析する方法
(51)【国際特許分類】
   G06F 21/55 20130101AFI20241011BHJP
【FI】
G06F21/55 320
【請求項の数】 12
(21)【出願番号】P 2023155443
(22)【出願日】2023-09-21
【審査請求日】2023-09-21
(31)【優先権主張番号】10-2023-0088474
(32)【優先日】2023-07-07
(33)【優先権主張国・地域又は機関】KR
(73)【特許権者】
【識別番号】522192920
【氏名又は名称】アストロンセキュリティー
【氏名又は名称原語表記】ASTRONSECURITY
(74)【代理人】
【識別番号】110002789
【氏名又は名称】弁理士法人IPX
(72)【発明者】
【氏名】チョ・グンソク
(72)【発明者】
【氏名】クァク・ドンイク
【審査官】青木 重徳
(56)【参考文献】
【文献】特開2022-131621(JP,A)
【文献】特開2021-82083(JP,A)
【文献】米国特許出願公開第2022/0385678(US,A1)
【文献】韓国公開特許第10-2014-0139384(KR,A)
【文献】韓国登録特許第10-2516819(KR,B1)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21/55
(57)【特許請求の範囲】
【請求項1】
サイバー脅威フレームワークに基づいて時系列データを探知及び解析する方法であって、
クラウド環境に保存された複数のイベントを含むイベントセットの中、予め定められた条件により少なくとも一つの対象APIイベントを決定するイベントの決定段階;
予め保存された脅威行為プロファイルに基づいて、上記の対象APIイベントを脅威行為解析マトリックスに含まれる少なくとも一つの技法に対応される脅威行為の類型にマッピングする、マッピング段階-上記の脅威行為解析マトリックスは複数の戦術グループ及び上記の戦術グループに含まれる少なくとも一つの技法で構成される-;
上記の脅威行為の類型に基づいて、上記の対象APIイベントの中の少なくとも一つを組み合わせ、少なくとも一つの脅威シナリオを生成する、シナリオの生成段階;
データベースに基づいて、上記の脅威シナリオの一致度及び危険度を算出する、数値の算出段階;
上記の一致度及び上記の危険度の中の少なくとも一つに基づいて、上記の脅威シナリオの危険グレードを決定する、危険グレードの決定段階;
上記の危険グレードに基づいて、上記の脅威シナリオに対応される予測脅威行為を決定する、脅威行為の決定段階;及び
上記の予測脅威行為に基づいて、プロンプトを生成し提供する、ソリューションの提供段階;を含むことを特徴とする、方法。
【請求項2】
上記のイベントの決定段階は、
上記のイベントセットを地域、時間、アカウント、行為の類型の中の少なくとも一つを含む分類条件に従ってフィルタリングし、上記の対象APIイベントを決定することを特徴とする、
請求項1に記載の方法。
【請求項3】
上記のマッピング段階は、
上記の脅威行為プロファイルに基づいて、上記の対象APIイベントと対応される脅威行為の類型及び個別脅威行為をマッピングすることを特徴とする、
請求項1に記載の方法。
【請求項4】
上記の数値の算出段階は、
上記のデータベースに既に保存された過去シナリオと上記の脅威シナリオを比べて、上記の過去シナリオに含まれた脅威行為の類型と上記の脅威シナリオに含まれた対象APIイベントの間の一致度を算出する、一致度の算出段階を含むことを特徴とする、
請求項1に記載の方法。
【請求項5】
上記の数値の算出段階は、
メインサーバーは上記の脅威シナリオに含まれた脅威行為の類型に従って上記の脅威シナリオの危険度を算出する、危険度の算出段階を含むことを特徴とする、
請求項1に記載の方法。
【請求項6】
上記の危険グレードの決定段階は、
上記の一致度及び上記の危険度に基づいて算出される総合危険数値に基づいて上記の脅威シナリオの危険グレードを決定することを特徴とする、
請求項1に記載の方法。
【請求項7】
上記のソリューションの提供段階は、
上記の決定された予測脅威行為に対応されるセキュリティ強化ソリューションプロンプトを生成し提供することを特徴とする、
請求項1に記載の方法。
【請求項8】
上記のソリューションの提供段階は、
上記の決定された予測脅威行為に対応されるシステム復旧プロンプトを生成し提供することを特徴とする、
請求項1に記載の方法。
【請求項9】
上記のソリューションの提供段階は、
上記の決定された予測脅威の行為及び上記の脅威シナリオに対応される解析プロンプトを生成し提供することを特徴とする、
請求項1に記載の方法。
【請求項10】
上記のソリューションの提供段階は、
上記の決定された予測脅威の行為に対応される教育プロンプトを生成し提供することを特徴とする、
請求項1に記載の方法。
【請求項11】
上記の危険グレードの決定段階は、
上記の一致度及び上記の危険度にそれぞれの加重値を反映して算出される総合危険数値に基づいて上記の脅威シナリオの危険グレードを決定することを特徴とする、
請求項6に記載の方法。
【請求項12】
上記の脅威行為の決定段階は、
上記の危険グレードに基づいて複数の上記の脅威シナリオの中のいずれか一つを選択する、選択段階;
上記の選択された脅威シナリオと一致度が最も高い過去シナリオを抽出する、抽出段階;
上記の抽出された過去シナリオと上記の選択された脅威シナリオに含まれた対象APIイベントを比べて予測脅威の行為を決定する、決定段階;を含むことを特徴とする、
請求項1に記載の方法。
【発明の詳細な説明】
【技術分野】
【0001】
本発明はサイバー脅威フレームワークに基づいて時系列データを探知及び解析する方法に関するものであり、より詳しく説明すると、時系列的に発生するAPIイベントデータに基づいて、仮想の脅威シナリオを生成し、これを過去の記録と比べてサイバー脅威を予め解析及び対処できるようにする方法に関するものである。
【背景技術】
【0002】
近来に入って、新型または変種などの悪性コードを中心に次第に高度化しているサイバーセキュリティ脅威の被害が大きくなっている。特に、サーバーの脆弱性を用いた攻撃はゼロデイ攻撃に進行されており、該当の攻撃はウェブアプリケーションの脆弱性を通じて簡単かつ迅速にサーバーに浸透できる方式である。
【0003】
このような被害を少しでも減らし早期に対応するために、多次元のパタンの構成及び各種の複合分析などを通じて対応技術に対する高度化を並行しているが、最近のサイバー攻撃は制御範囲内で適切に対応されるよりも、むしろ日々脅威が増加している傾向である。
【0004】
このようなサイバー攻撃は従来のICT(Information and Communication Technology)基盤の施設を超え、我々の生活に直接影響を与える金融、交通、環境、健康などにまで脅威を与えている。
【0005】
現存するほとんどのサイバーセキュリティ脅威を探知し対応する基盤技術の中の一つはサイバー攻撃または悪性コードに関するパタンデータベースを事前に生成しデータの流れが必要なところに適切なモニタリング技術を活用することである。
【0006】
このようなサイバーセキュリティ脅威の探知及び対応技術はモニタリングされたパタンと一致するデータの流れまたはコードが探知されると、脅威を識別し対応する方式に基づいて発展してきた。
【0007】
しかし、このような従来の技術は事前に確保されたパタンを一致すると、迅速かつ正確に探知することができるという長所があるが、パタンが確保されなかったり、迂回する新型、変種の脅威の場合、解析するのに非常に時間が長く所要される問題点があった。
【0008】
これに対する先行技術として、大韓民国登録特許第10-2419451号に「人工知能に基盤する脅威解析自動化システム及び方法」が開示されている。
【0009】
上記の先行技術は、人工知能に基盤する脅威解析自動化システム及び方法に関するものであって、AI学習モデルを用いてテンプレート基盤のプレイブックを生成するプレイブック自動生成モジュール、上記のプレイブック自動生成モジュールで生成されたプレイブックに対する有効性を検証し管理するプレイブックの検証及び管理モジュール、上記のプレイブックの検証及び管理モジュールにより検証されたプレイブックを保存するプレイブックDB、及び上記のプレイブックDBで探知イベントに対応するためプレイブックをマッチングして自動実行するプレイブック実行モジュールを含めて、プレイブックを自動に生成及び検証し、セキュリティ管制センターの性格に合うようにプレイブックを強化する業務を自動化することにより、セキュリティ管制人材(管制員)が重要なセキュリティイベントのみに集中して解析及び対応できる環境を設けることができることを特徴にする。
【0010】
しかし、このような先行技術の場合、生成されたプレイブックに対してのみ解析
及び対応を行うため、日々変化し新しくなるサイバーセキュリティ脅威に対応できないという限界性が存在する。
【先行技術文献】
【特許文献】
【0011】
【文献】大韓民国登録特許第10-2419451号
【発明の概要】
【発明が解決しようとする課題】
【0012】
本発明は大量のサイバーセキュリティデータを解析し、攻撃トレンド、技法(テクニック)、脅威方式に対する洞察力を提供し対応できるようにする目的がある。
【課題を解決するための手段】
【0013】
本発明のサイバー脅威フレームワークに基づいて時系列データを探知及び解析する方法は、クラウド環境に保存された複数のイベントを含むイベントセットの中、予め定められた条件により少なくとも一つの対象APIイベントを決定するイベントの決定段階、予め保存された脅威行為プロファイルに基づいて、上記の対象APIイベントを脅威行為解析マトリックスに含まれる少なくとも一つの技法に対応される脅威行為の類型にマッピングするマッピング段階-上記の脅威行為解析マトリックスは複数の戦術グループ及び上記の戦術グループに含まれる少なくとも一つの技法で構成される-、上記の脅威行為の類型に基づいて、上記の対象APIイベントの中の少なくとも一つを組み合わせ、少なくとも一つの脅威シナリオを生成するシナリオの生成段階、データベースに基づいて、上記の脅威シナリオの一致度及び危険度を算出する数値の算出段階、上記の一致度及び上記の危険度の中の少なくとも一つに基づいて上記の脅威シナリオの危険グレードを決定する危険グレードの決定段階、上記の危険グレードに基づいて上記の脅威シナリオに対応される予測脅威行為を決定する脅威行為の決定段階及び上記の予測脅威行為に基づいてプロンプトを生成し提供するソリューションの提供段階を含むことを特徴とする。
【0014】
本発明の一実施例において、上記のイベントの決定段階は、上記のイベントセットを地域、時間、アカウント、行為の類型の中の少なくとも一つを含む分類条件に従ってフィルタリングし、上記の対象APIイベントを決定することを特徴とすることができる。
【0015】
本発明の一実施例において、上記のマッピング段階は、上記の脅威行為プロファイルに基づいて、上記の対象APIイベントと対応される脅威行為の類型及び個別脅威行為をマッピングすることを特徴とすることができる。
【0016】
本発明の一実施例において、上記の数値の算出段階は、上記のデータベースに既に保存された過去シナリオと上記の脅威シナリオを比べて、上記の過去シナリオに含まれた脅威行為の類型と上記の脅威シナリオに含まれた対象APIイベントの間の一致度を算出する、一致度の算出段階を含むことを特徴とすることができる。
【0017】
本発明の一実施例において、上記の数値の算出段階は、メインサーバーは上記の脅威シナリオに含まれた脅威行為の類型に従って上記の脅威シナリオの危険度を算出する、危険度の算出段階を含むことを特徴とすることができる。
【0018】
本発明の一実施例において、上記の危険グレードの決定段階は、上記の一致度及び上記の危険度に基づいて算出される総合危険数値に基づいて上記の脅威シナリオの危険グレードを決定することを特徴とすることができる。
【0019】
本発明の一実施例において、上記のソリューションの提供段階は、上記の決定された予測脅威行為に対応されるセキュリティ強化ソリューションプロンプトを生成し提供することを特徴とすることができる。
【0020】
本発明の一実施例において、上記のソリューションの提供段階は、上記の決定された予測脅威行為に対応されるシステム復旧プロンプトを生成し提供することを特徴とすることができる。
【0021】
本発明の一実施例において、上記のソリューションの提供段階は、上記の決定された予測脅威の行為及び上記の脅威シナリオに対応される解析プロンプトを生成し提供することを特徴とすることができる。
【0022】
本発明の一実施例において、上記のソリューションの提供段階は、上記の決定された予測脅威の行為に対応される教育プロンプトを生成し提供することを特徴とすることができる。
【0023】
本発明の一実施例において、上記の危険グレードの決定段階は、上記の一致度及び上記の危険度にそれぞれの加重値を反映し算出される総合危険数値に基づいて上記の脅威シナリオの危険グレードを決定することを特徴とすることができる。
【0024】
本発明の一実施例において、
上記の脅威行為の決定段階は、
上記の危険グレードに基づいて複数の上記の脅威シナリオの中のいずれか一つを選択する選択段階、上記の選択された脅威シナリオと一致度が最も高い過去シナリオを抽出する抽出段階、上記の抽出された過去シナリオと上記の選択された脅威シナリオに含まれた対象APIイベントを比べて予測脅威の行為を決定する決定段階を含むことを特徴とすることができる。
【発明の効果】
【0025】
本発明のサイバー脅威フレームワークに基づいて時系列データを探知及び解析する方法によれば、
【0026】
大量のサイバーセキュリティデータを解析し、攻撃トレンド、技法、脅威方式に対する洞察力を提供し対応できるようにする長所がある。
【図面の簡単な説明】
【0027】
図1】本発明のネットワーク環境を示す概念図である。
図2】本発明の脅威行為の類型及び個別脅威行為を示す表である。
図3】本発明の探知及び解析方法を示すフローチャートである。
図4】本発明のマッピング結果を示す表である。
図5】本発明の脅威シナリオの生成の例示を示す概念図である。
図6】本発明の数値の算出段階を示すフローチャートである。
図7】本発明の数値及びグレードの算出の例示を示す概念図である。
図8】本発明の脅威行為の決定の例示を示す概念図である。
図9】本発明の脅威行為の決定段階を示すフローチャートである。
【発明を実施するための形態】
【0028】
以下、添付された図面を参考に、本明細書に開示された実施例を詳しく説明するが、図面符号に関係なく同一であったり、類似な構成要素は同一な参照番号を付与し、これに対する重複される説明は省略するようにする。また、本明細書に開示された実施例を説明するのにおいて、関連される公知技術に対する詳しい説明が本明細書に開示された実施例の要旨を不明瞭にすると判断される場合、その詳しい説明を省略する。
【0029】
第1、第2などのような序数を含む用語は様々な構成要素を説明するのに用いることができるが、上記の構成要素は上記の用語により限定されない。上記の用語は一つの構成要素を他の構成要素から区別する目的にのみ用いられる。
【0030】
単数の表現は文脈上明白に異なる意味を持たない限り、複数の表現を含む。
【0031】
本出願で、説明される各段階は特別な因果関係により羅列された順序に従って行われるべきである場合を除いて、羅列された順序を関係なく行われることができる。
【0032】
本出願で、「含む」または「有する」などの用語は明細書上に記載された特徴、数字、段階、動作、構成要素、部品またはこれらを組み合わせたものが存在することを指定しようとするものであって、一つまたはそれ以上の他の特徴若しくは数字、段階、動作、構成要素、部品またはこれらを組み合わせたものの存在または付加可能性を予め排除しないものと理解するべきである。
【0033】
【0034】
以下、添付された図面を参考にし、本発明について説明する。
【0035】
図1は本発明のネットワーク環境を示す概念図であり、図2は本発明の脅威行為の類型及び個別脅威行為を示す表である。
【0036】
図1及び図2と一緒に説明すると、本発明のサイバー脅威フレームワークに基づいて時系列データを探知及び解析するシステムはクラウドサーバー10、データベース20、ユーザー端末30、AIエンジン40、メインサーバー50を含むことができる。
【0037】
この際、クラウドサーバー10、データベース20、ユーザー端末30、AIエンジン40、メインサーバー50は通信、すなわちネットワークに基づいてお互いに連結されることができる。ここで、ネットワークは通信方式が制限されなく、ネットワークが含むことができる通信網(一例に、移動通信網、有線インターネット、無線インターネット、放送網)を活用する通信方式と電気信号(アナログ信号、デジタル信号、シリアル信号、Pulse Width Modulation)だけではなく、近距離無線通信も含まれることができる。
【0038】
クラウドサーバー10は企業内にサーバーと保存装置を設けなく、外部にアウトソーシングして用いるサービスであるクラウドサービスのためのサーバーを意味し、ここでクラウドサーバー10はパブリック(開放型)クラウドのためのパブリックデータセンター(Amazon AWS、Microsoft Azure)及びプライベート(閉鎖型)クラウドのための社内データセンターを含むことができる。
【0039】
このようなクラウドサーバー10は命令、コード、ファイル、コンテンツ、サービスなどを提供するコンピューター装置または複数のコンピューター装置に具現されることができる。クラウドサーバー10はシステムを構築する他のサーバー及び端末とネットワークを通じて通信し情報を送受信することができる。
【0040】
このような、クラウドサーバー10には該当のサーバーを用いるユーザーのすべてのデータ及びインフラが保存でき、この際、特定のユーザー、またはユーザーグループはいずれかのクラウドサーバー10のみに用いることもできるが、複数のクラウドサーバー10を用いることもできる。
【0041】
この際、望ましくは複数のクラウドサーバー10が用いられる場合、複数のクラウドサーバー10に分散保存されたデータ管理のための統合管制サーバーが別に具備することができ、より望ましくは後述するメインサーバー50が統合管制サーバーの役割を行うことができる。
【0042】
ユーザー端末30はクラウドサーバー10に保存された特定企業や団体のデータに接続しデータを読み書く主体である。この際、該当のクラウドサーバー10に接続が許容されたユーザー端末30の場合、一般的に企業や団体、グループの構成員であることができ、接続が許容されないユーザーが該当の企業、団体、グループのクラウドサーバー10に接続する場合、これをサイバー脅威や攻撃、すなわちハッキングと称するようになる。
【0043】
このようなユーザー端末30は命令、コード、コンテンツ、サービスなどを提供するコンピューター装置または複数のコンピューター装置に具現することができる。クラウドサーバー10はシステムを構築する他のサーバー及び端末とネットワークを通じて通信し、情報を送受信することができる。
【0044】
データベース20はデータの保存のための保存媒体としての役割を行い、望ましく本発明でのデータベース20とは過去に発生したサイバー脅威、すなわち、ハッキングのシナリオを保存することができる。
【0045】
このようなデータベース20は命令、コード、ファイル、コンテンツ、サービスなどを提供するコンピューター装置または複数のコンピューター装置に具現することができる。また、データベース20はシステムを構築する他のサーバー及び端末とネットワークを通じて通信し、情報を送受信することができる。
【0046】
さらに、該当のサイバー脅威に対して防御者(管理者)が攻撃を予防し探知するために取ることができる行動(防御策)や公開的に名称が付与されたハッキング団体に対する情報と攻撃技法(テクニック)を分析したデータを保存することができる。
【0047】
ここでシナリオとはサイバー攻撃を行うための攻撃者が段階的に行う作業をプロセス化したもので、各段階別に攻撃者によって起こされる行動を時系列的に羅列したものである。
【0048】
したがって、基本的にデータベース20には過去に起こったシナリオ、すなわち過去シナリオが保存されることができるが、望ましくここでシナリオはMITRE Att&CK(Adversarial Tactics、 Techniques、and Common Knowledge)に保存されたキルチェーン(kill chain)であることができる。具体的に、MITRE ATT&CKはMITRE Corporationが制作したサイバーセキュリティ関連知識ベースで、サイバー攻撃者の目標及び各段階に対するカテゴリーを含む戦術グループ(Tactic)と各戦術グループ(Tactic)に対する具体的な方法である技法(Technique)で構成されることができる。
【0049】
したがって、脅威行為は少なくとも一つの戦術グループ(Tactic)に含まれて、戦術グループ(Tactic)に含まれる少なくとも一つの技法(Technique)に対応される。
【0050】
また、このようなデータベース20に保存されたシナリオは実際サイバー攻撃の事例を観察した後、攻撃者が用いた悪意的の行為(Adversary behaviors)に対して、戦術グループ(Tactic)と技術(Technique)の観点で解析し、様々な攻撃グループの攻撃技法に対する情報を分類しリスト化したデータである。詳しくに、シナリオは攻撃者が攻撃の目標である少なくとも一つの戦術グループ(Tactic)を達成するための方法で、各段階である少なくとも一つの技法(Technique)を含む。例えば、技法(Technique)に対応される脅威行為の類型はイーメールスピアフィッシング(Spearphishing via Email)、ドライブバイ攻撃(Drive-by Compromise)、認証情報のダンプ(Credential Dumping)
【0051】
MITM攻撃(Man-in-the-Middle)及び代替プロトコルを通じた命令及び制御(Command and Control over alternative protocol)などがありうる。
【0052】
AIエンジン40は従来の人工知能(AI)エンジンを意味するもので、従来に提供される様々なAIエンジン40を意味することができる。このようなAIエンジン40はデータフィルタリングやマッピングの機能を提供することができる。
【0053】
AIエンジン40は命令、コード、ファイル、コンテンツ、サービスなどを提供するコンピューター装置または複数のコンピューター装置に具現することができる。また、AIエンジン40はシステムを構築する他のサーバー及び端末とネットワークを通じて通信し情報を送受信することができる。
【0054】
メインサーバー50は上述するように複数のクラウドサーバー10に対する統合管制の機能を行うと同時にサイバー脅威に対する探知及び解析を行って許可されたユーザー端末30、すなわち、防御者(管理者)のユーザー端末30に様々なプロンプトを提供する機能を行う。
【0055】
このようなメインサーバー50は命令、コード、ファイル、コンテンツ、サービスなどを提供するコンピューター装置または複数のコンピューター装置に具現することができる。このようなメインサーバー50はシステムを構築する他のサーバー及び端末とネットワークを通じて通信し情報を送受信することができる。
【0056】
図3は本発明の探知及び解析方法を示すフローチャートであり、図4は本発明のマッピングの結果を示す表であって、図5は本発明の脅威シナリオの生成の例示を示す概念図である。図6は本発明の数値算出段階を示すフローチャートであり、図7は本発明の数値及びグレードの算出の例示を示す概念図である。図8は本発明の脅威行為の決定の例示を示す概念図であり、図9は本発明の脅威行為の決定段階を示すフローチャートである。
【0057】
図3ないし図9を参考に説明すれば、本発明のサイバー脅威フレームワークに基づいて時系列データを探知及び解析する方法はイベントの決定段階S10、マッピング段階S20、シナリオの生成段階S30、数値の算出段階S40、危険グレードの決定段階S50、脅威行為の決定段階S60及びソリューションの提供段階S70を含むことができる。
【0058】
イベントの決定段階S10でメインサーバー50はクラウドサーバー10を通じて構築されたクラウド環境に保存された複数のイベントを含むイベントセットの中の予め定められた条件に従って少なくとも一つの対象APIイベントを決定することができる。
【0059】
クラウドサーバー10には該当の企業や団体、グループのウェブページやアプリケーションにおいてユーザー端末30により発生したすべての行動(イベント)がAPI形態に保存されるが、この際、ユーザー端末30により発生した連続的な複数のイベントによりイベントセットが生成される。
【0060】
したがって、クラウド環境には複数のイベントを含むイベントセットが保存できるし、この際、保存されたイベントセットに含まれたイベントの中で予め定められた条件に従って、探知及び解析の対象になる対象APIイベントが決定できる。
【0061】
この際、望ましくはイベントセットの中で、予め定められた条件によりフィルタリングが行われて複数の対象APIイベントが決定できる。
【0062】
一実施例として、上記の複数のイベントセットを地域、時間、アカウント、行為の類型の中の少なくとも一つを含む分類条件に従ってフィルタリングし、上記の対象APIイベントを決定することができる。
【0063】
ここで、地域はAPIが生成された地域ということができ、APIを生成したIPに基づいて地域を把握することができる。したがって、保存されたイベントセットを生成地域によってフィルタリングし、特定地域で生成されたイベントだけを対象APIイベントとして決定することができる。
【0064】
時間はAPIが生成された時間ということができ、保存されたイベントセットを生成時間帯に従ってフィルタリングし、特定の時間帯に生成されたイベントだけを対象APIイベントとして決定することができる。
【0065】
アカウントはAPIが生成されたアカウントということができ、該当のウェブサイトやアプリケーションに接続し行動を行ったアカウントの中の特定のアカウントだけをフィルタリングし、イベントセットの中で特定アカウントで生成されたイベントだけを対象APIイベントとして決定することができる。
【0066】
行為の類型は上述した脅威行為の類型と対応されるものとして、特定な行為の類型を含むイベントをフィルタリングし、対象APIイベントとして決定することができる。例えば、図2で示すように、行為の類型としてdefense evasion、すなわち、防御回避の行為の類型を含むイベントをフィルタリングすることができる。
【0067】
より詳しい実施例として、該当の脅威行為の類型(defense evasion)に含まれた個別脅威行為を含むイベントだけをフィルタリングし、対象APIイベントを決定することができる。
【0068】
続いて、マッピング段階S20でメインサーバー50はデータベース20に予め保存された脅威行為プロファイルに基づいて、上記の対象APIイベントを脅威行為解析マトリックスに含まれる少なくとも一つの技法に対応される脅威行為の類型にマッピングする。ここで、脅威行為の解析マトリックスはMITRE Corporationでサイバー脅威に対応するために開発されたサイバーセキュリティ関連の知識ベースであるMITRE ATT&CKということができ、より望ましくはMITRE ATT&CKの核心構成要素である戦術グループ(Tactic)と技法(Technique)が結合されたMatrixということができる。
【0069】
ここでマッピング(mapping)とは対照APIイベントと脅威行為の類型をお互いに対応させる過程であり、より望ましくは対象APIイベントと対応される脅威行為の類型を探して連結する過程といえる。
【0070】
より詳しく説明すれば、脅威行為のプロファイルに基づいて上記の対象APIイベントと対応される脅威行為の類型及び個別脅威行為をマッピングすることができる。
【0071】
ここで、脅威行為のプロファイルというのは、上述したデータベース20に保存された脅威行為の類型、そして該当の脅威行為の類型に属する個別脅威行為を含む。
【0072】
したがって、対象APIイベントとマッチングされる個別脅威行為がある場合、該当の個別脅威行為を含む脅威行為の類型が対象APIイベントとマッピングすることができる。
【0073】
この際、一つの個別脅威行為が一つの脅威行為の類型だけに含まれることができるが、複数の脅威行為の類型に特定の脅威行為の類型がすべて含まれることができ、該当の対象APIイベントがマッピングできる個別脅威行為は望ましく複数個であることができる。
【0074】
したがって、望ましくは上述したAIエンジン40を用いて対象APIイベントの脅威行為の類型をマッピングすることによって、対象APIイベントと対応できるすべての脅威行為の類型をマッピングすることができる。
【0075】
次に、シナリオの生成段階S30でメインサーバー50は上記の脅威行為の類型に基づいて、上記の対象APIイベントの中の少なくとも一つを組み合わせて、少なくとも一つの脅威シナリオを生成する。
【0076】
言い換えれば、お互いに異なる脅威行為の類型を有する対象APIイベントを組み合わせて、脅威シナリオを生成することで、上述したデータベース20に保存されたシナリオのように脅威行為の類型を組み合わせるものといえる。
【0077】
この際、指定された対象APIイベントの中の少なくとも一つを組み合わせて可能なすべての脅威シナリオを生成することができ、この際、脅威シナリオは少なくとも一つの対象APIイベントに対応される脅威行為の類型の組み合わせとすることができる。
【0078】
したがって、望ましく脅威シナリオはAIエンジン40を用いて生成されることができ、可能なすべての組み合わせの脅威シナリオを迅速に生成することができる。
【0079】
数値の算出段階S40でメインサーバー50は、データベース20に基づいて上記の脅威シナリオの一致度及び危険度を算出する。
【0080】
望ましくは、データベース20に保存された過去シナリオと脅威シナリオの間の一致度を算出し、データベース20に保存された脅威行為の類型別の危険度により、脅威シナリオの危険度を算出する機能を行う。
【0081】
この際、危険シナリオの危険度というのは、脅威シナリオに含まれた複数の脅威行為の類型のそれぞれに対する危険度の中の最大値であることができる。
【0082】
一実施例として、数値の算出段階S40は一致度の算出段階S41と危険度の算出段階S42を含むことができる。
【0083】
一致度の算出段階S41でメインサーバー50はデータベース20に既に保存された過去のシナリオと上記の脅威シナリオを比べて、上記の過去シナリオに含まれた脅威行為の類型と上記の脅威シナリオに含まれた対象APIイベントの間の一致度を算出する。
【0084】
言い換えれば、データベース20に保存された過去シナリオは攻撃者が過去に行った攻撃、すなわち脅威行為のシナリオを意味し、言い換えれば、過去に攻撃者が実際に行った脅威行為の類型及び該当の脅威行為の類型に含まれる個別脅威行為が時系列的に羅列されていることを意味する。
【0085】
したがって、過去シナリオには複数の脅威行為の類型が含まれており、脅威シナリオにも少なくとも一つの対象APIイベントが含まれている。したがって、過去シナリオと脅威シナリオの間の一致度の算出によって脅威シナリオの中のデータベース20に保存された過去シナリオと一致度が最も高い脅威シナリオを把握することができる。
【0086】
この際、一致度は数値化され表示でき、過去シナリオと脅威シナリオの間の一致率が一致度として算出されることができる。
【0087】
ここで、望ましくはデータベース20に保存されたすべての過去シナリオと脅威シナリオの一致度を算出し、算出された一致度の最大値が脅威シナリオの一致度として把握することができる。
【0088】
危険度の算出段階S42でメインサーバー50は上記の脅威シナリオに含まれた脅威行為の類型によって上記の脅威シナリオの危険度を算出することができる。
【0089】
ここで、脅威シナリオの危険度というのは、該当の脅威シナリオに含まれた脅威行為の類型の危険度の中の最大値であることができる。
【0090】
したがって望ましく危険度を算出することにおいて、データベース20に含まれたすべての脅威行為の類型の危険度を予め設定する過程が行われることができる。
【0091】
以後、該当の脅威シナリオに含まれた脅威行為の類型をデータベース20と比較勝利し、脅威シナリオに含まれた脅威行為の類型に対するすべての危険度を把握し、その中の最大値を該当の脅威シナリオの危険度として算出することができる。
【0092】
一例に、脅威シナリオが初期接近(initial access)までの脅威行為の類型だけを含む場合、危険度が相対的に低いが、脅威シナリオが資格証明アクセス(credential access)を含む場合、初期接近だけを含む脅威シナリオに比べて危険度が高いことができる。
【0093】
危険グレードの決定段階S50でメインサーバー50は上記の一致度及び上記の危険度の中の少なくとも一つに基づいて、上記の脅威シナリオの危険グレードを決定することができる。
【0094】
該当の脅威シナリオが過去シナリオとどれだけ一致するか(一致度)、脅威シナリオに含まれた脅威行為の類型の危険度がどれだけ高いのか(危険度)によって危険グレードが決定できる。
【0095】
ここで、脅威シナリオに対して算出された一致度及び危険度を用いて、危険グレードを決定する方法には別の制限を設けないことを基本にし、望ましくは一致度及び危険度の中の少なくとも一つが、望ましくは一致度及び危険度が高いほど危険グレードが高く設定されることができる。
【0096】
この際、危険グレードの決定段階S50では一致度及び危険度の中の少なくとも一つを基に、脅威シナリオの危険グレードを決定することができるが、より望ましくは一致度及び危険度を基に,言い換えれば、一致度及び危険度をすべて反映し危険シナリオの危険グレードを決定することができる。
【0097】
一実施例として、上記の一致度及び上記の危険度を基に、総合危険数値を算出し、総合危険数値に基づいて、上記の脅威シナリオの危険グレードを決定することができる。
【0098】
この際、総合危険数値の算出において、一致度及び危険度の加重値を同等に設定することができるが、一実施例として、上記の一致度及び上記の危険度にそれぞれの加重値を反映し、総合危険数値を算出することができる。
【0099】
言い換えれば、一致度と危険度の加重値はお互いに異なることができ、一致度と危険度にそれぞれ付与される加重値は管理者(防御者)によって設定できる値として別の制限を設けない。
【0100】
したがって、一致度及び危険度に加重値を反映し総合的に算出された総合危険数値を基に個別脅威シナリオの危険グレードが設定できる。
【0101】
脅威行為の決定段階S60でメインサーバー50は上記の危険グレードに基づいて上記の脅威シナリオに対応される脅威行為を決定する。
【0102】
ここで脅威行為の決定段階S60で行われる脅威行為の決定とは望ましく危険グレードが最も高い脅威シナリオに属する脅威行為(対象APIイベント)及び脅威シナリオに追加的に含まれることができる予想脅威行為を決定することでありうる。
【0103】
言い換えれば、脅威行為の決定段階S60は脅威シナリオには含まれていないが、過去シナリオを基に判断したとき、追加的に含まれることができると予想される個別脅威行為である予想脅威行為を決定する段階であることができる。
【0104】
一実施例として、脅威行為の決定段階S61は選択段階S61、抽出段階S62及び決定段階S63を含むことができる。
【0105】
選択段階S61でメインサーバー50は上記の危険グレードに基づいて複数の上記の脅威シナリオの中のいずれかの一つを選択する。望ましくは危険グレードが最も高い脅威シナリオを選択したり、危険グレードに応じて降順に整理して危険グレードが高い複数の脅威シナリオだけを選択することができる。
【0106】
抽出段階S62でメインサーバー50は上記の選択された脅威シナリオと上記の一致度が最も高い過去シナリオを抽出する。上述した一致度の算出段階S41で脅威シナリオと過去シナリオの間の一致度がすべて算出され、算出された一致度の最大値が脅威シナリオの一致度がなるとした。したがって、該当の脅威シナリオとの一致度が最も高いと判断された過去シナリオを抽出することである。
【0107】
決定段階S63でメインサーバー50は上記の抽出された過去シナリオと上記の選択された脅威シナリオに含まれた脅威行為の類型を比べて予測脅威行為を決定する。
【0108】
ここで予測脅威行為は抽出された過去シナリオの中で脅威シナリオに含まれていない脅威行為の類型に含まれた個別脅威行為を意味することである。
【0109】
言い換えれば、抽出された過去シナリオの中では脅威シナリオに含まれていない脅威行為の類型がありうるし、該当の脅威行為の類型は個別脅威行為を含むので、該当の脅威シナリオに応じて攻撃者が行うと予想できるすべての個別脅威行為が予測脅威行為として決定されるものである。
【0110】
ソリューションの提供段階S70でメインサーバー50は上記の決定された予測脅威行為に基づいてプロンプトを生成し、ユーザー端末30に提供することができる。
【0111】
一例示に、ソリューションの提供段階S70でメインサーバー50は上記の決定された予測脅威行為に対応されるセキュリティ強化ソリューションプロンプトを生成しユーザー端末30に提供することができる。
【0112】
ここで、セキュリティ強化ソリューションプロンプトというのは、決定された予測脅威行為と対応し脆弱性を補完し、セキュリティ設定を強化するソリューションに関連されるプロンプトであることができる。ここでは、セキュリティ設定ガイド、パッチ及びアップデート案内、セキュリティツールの最適設定方法などが含まれることができる。
【0113】
また、セキュリティ強化ソリューションプロンプトは決定された予測脅威行為を検出し対応する方法に対するインテリジェンスを提供することでありうる。ここでは脅威探知アルゴリズムの改善、異常兆候基盤探知の適用方法、迅速な対応のためのSOP(Standard Operating Procedure)などを含むことができる。
【0114】
一例示で、ソリューションの提供段階S70でメインサーバー50は上記の決定された予測脅威行為に対応されるシステム復旧プロンプトを生成し、ユーザー端末30に提供することができる。
【0115】
ここで、システム復旧プロンプトはシステム復旧に必要なガイドと復旧プロセスに対するbest practicesを含むことができ、さらに上記の決定された予測脅威行為によって追加に発生できる脅威を最小化する方法を案内し、システムを安全な状態に復元するのに必要な指針を含むことができる。
【0116】
一例示で、ソリューションの提供段階S70でメインサーバー50は上記の決定された予測脅威行為及び上記の脅威シナリオに対応される解析プロンプトを生成しユーザー端末30に提供することができる。
【0117】
ここで、解析プロンプトは脅威シナリオに含まれた個別APIイベントに対する詳しいログ情報を提供して、どのTTPSが用いられたか、どのユーザーやシステムがターゲットであったか、どのデータが危険にさらされたのか、システムのどの部分が脆弱だったのかに関する情報を提供することができる。
【0118】
一例示で、ソリューションの提供段階S70でメインサーバー50は上記の決定された予測脅威行為に対応される教育プロンプトを生成しユーザー端末30に提供することができる。
【0119】
ここで、教育プロンプトは決定された予測危険行為を備えてユーザーを教育するメッセージまたは資料であることができ、教育プロンプトには決定された予測危険行為に関する説明、主意事項、安全な使用法などが含まれることができる。
【0120】
【0121】
本発明の各実施例に開示された技術的な特徴は該当の実施例にのみ限定されるものではなく、お互いに両立不可能でない以上、各実施例に開示された技術的な特徴はお互いに異なる実施例に併合され適用できる。
【0122】
したがって、各実施例ではそれぞれの技術的な特徴を中心に説明するが、各技術的な特徴がお互いに両立不可能でない以上、お互い併合され適用できる。
【0123】
本発明は上述した実施例及び添付された図面に限定されるものではなく、本発明が属する分野で通常の知識を有するものの観点で様々な修正及び変形が可能である。したがって本発明の範囲は本明細書の請求範囲だけでなく、この請求範囲と均等なものによって定められるべきである。
【符号の説明】
【0124】
10:クラウドサーバー
20:データベース
30:ユーザー端末
40:AIエンジン
50:メインサーバー
【要約】      (修正有)
【課題】時系列的に発生するAPIイベントデータに基づいて、仮想の脅威シナリオを生成し、これを過去の記録と比べてサイバー脅威を予め解析及び対処する方法を提供する。
【解決手段】方法は、クラウド環境に保存されたイベントセットの中の対象APIイベントを決定する決定段階、脅威行為プロファイルに基づいて、対象APIイベントを脅威行為の類型にマッピングするマッピング段階、脅威行為の類型に基づいて対象APIイベントの脅威シナリオを生成する生成段階、データベースに基づいて、脅威シナリオの一致度及び危険度を算出する算出段階、一致度及び危険度に基づいて、脅威シナリオの危険グレードを決定する危険グレード決定段階、危険グレードに基づいて、脅威シナリオに対応される予測脅威行為を決定する、脅威行為の決定段階及び脅威行為に基づいて、プロンプトを生成し提供するソリューションの提供段階を含む。
【選択図】図3
図1
図2
図3
図4
図5
図6
図7
図8
図9
Copyright © 2010-2025 Science Impact Inc. All Rights Reserved.