ホーム > 特許ランキング > NPCore,Inc.
知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公表特許公報(A)
(11)【公表番号】
(43)【公表日】2024-11-19
(54)【発明の名称】悪性イベントログ自動分析装置および方法
(51)【国際特許分類】
G06F 21/56 20130101AFI20241112BHJP
【FI】
G06F21/56
【審査請求】有
【予備審査請求】未請求
(21)【出願番号】P 2024529547
(86)(22)【出願日】2022-11-16
(85)【翻訳文提出日】2024-05-17
(86)【国際出願番号】 KR2022018125
(87)【国際公開番号】W WO2023090864
(87)【国際公開日】2023-05-25
(31)【優先権主張番号】10-2021-0159268
(32)【優先日】2021-11-18
(33)【優先権主張国・地域又は機関】KR
(31)【優先権主張番号】10-2021-0191721
(32)【優先日】2021-12-29
(33)【優先権主張国・地域又は機関】KR
(81)【指定国・地域】
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.WINDOWS
2.TENSORFLOW
(71)【出願人】
【識別番号】514303802
【氏名又は名称】エヌピーコア インコーポレイテッド
【氏名又は名称原語表記】NPCore,Inc.
(74)【代理人】
【識別番号】100121728
【弁理士】
【氏名又は名称】井関 勝守
(74)【代理人】
【識別番号】100165803
【弁理士】
【氏名又は名称】金子 修平
(74)【代理人】
【識別番号】100179648
【弁理士】
【氏名又は名称】田中 咲江
(74)【代理人】
【識別番号】100222885
【弁理士】
【氏名又は名称】早川 康
(74)【代理人】
【識別番号】100140338
【弁理士】
【氏名又は名称】竹内 直樹
(74)【代理人】
【識別番号】100227695
【弁理士】
【氏名又は名称】有川 智章
(74)【代理人】
【識別番号】100170896
【弁理士】
【氏名又は名称】寺薗 健一
(74)【代理人】
【識別番号】100219313
【弁理士】
【氏名又は名称】米口 麻子
(74)【代理人】
【識別番号】100161610
【弁理士】
【氏名又は名称】藤野 香子
(74)【代理人】
【識別番号】100206586
【弁理士】
【氏名又は名称】市田 哲
(72)【発明者】
【氏名】ハン スンチョル
(72)【発明者】
【氏名】バン ヒョソプ
(72)【発明者】
【氏名】ソン ドンファン
(57)【要約】
人工知能(AI)基盤チャットボットエンジンを適用してエンドポイント威嚇イベントである悪性イベントログを自動分析する方法および装置が開示される。エンドポイント自動分析方法は、イベントログの効率的な分析のためのプロセス別グループ化でログを加工し、AI分析のための神経-言語プログラミング技法を通じてのプロセス行為に対する文章を生成し、実際に動作する悪性行為をデータ化してAIモデル学習のための学習データとして使用し、学習データを学習させるためにトランスフォーマーアルゴリズム基盤の学習体系を具現し、実際の悪性行為を分析するためにBERTおよびLSTMアルゴリズム基盤のイベント悪性有無自動分析器を通じてグループ化したイベントログをリアルタイムで確認して悪性行為対象が一定の類似度以上である場合に探知して威嚇イベントと自動判断する。
【選択図】図1
【選択図】図1
【特許請求の範囲】
【請求項1】
統合分析サーバーに人工知能モジュールとイベントログを保存するデータベースを構築し、エンドポイントにエージェントを設置し前記エージェントでイベントログに対するルール(rule)マッチングを進行して悪性イベントログを分析する方法であって、プロセス識別子(process ID)およびセッション(session)情報を活用してイベントログに対するグループ化を進行する段階、
前記イベントログに基づいてプロセス行為順に文章を生成する段階、および
前記行為順に生成された文章を含むデータセットに基づいてエンドポイントでのイベントログを分析する段階、を含む、エンドポイント自動分析方法。
【請求項2】
前記生成する段階はトランスフォーマーモデルに基づいて遂行され、前記トランスフォーマーモデルはエンコーダ階層とデコーダ階層を具備し、
【数1】
【請求項3】
前記生成する段階はトランスフォーマーモデルに基づいて遂行され、前記トランスフォーマーモデルはエンコーダ階層とデコーダ階層を具備し、
【数2】
【請求項4】
前記生成する段階はトランスフォーマーモデル基盤で遂行し、前記トランスフォーマーモデルはエンコーダ(encoders)階層とデコーダ(decoders)階層を具備し、前記デコーダ階層を含むデコーダ構造は文章行列から各時点の単語を予測するように訓練され、未来にある単語を参考できないように未来時点の単語をマスクするレイヤをデコーダサブレイヤのうち最も前の段に適用する、請求項1に記載のエンドポイント自動分析方法。
【請求項5】
前記分析する段階で得た悪性イベントログまたは威嚇イベントログの探知根拠を提供するためにトランスフォーマーネットワークの分析結果とプロセスツリーを提供する段階をさらに含む、請求項1に記載のエンドポイント自動分析方法。
【請求項6】
イベントログの効率的な分析のためのプロセス別グループ化でログを加工する段階、AI分析のためのNLP(Natural Language Processing)技法を通じてプロセス行為に対する文章を生成する段階、
実際に動作する悪性行為をデータ化してAIモデル学習のための学習データとして使う段階、
学習データを学習させるためにトランスフォーマー(transfomer)アルゴリズム基盤の学習体系を生成する段階、
実際の悪性行為を分析するためにBERTおよびLSTMアルゴリズム基盤のイベント悪性有無自動分析するイベント分析器(event analyzer)を通じてグループ化したイベントログをリアルタイムで確認する段階、および
悪性行為対象が一定の類似度以上である場合に探知して威嚇イベントと自動判断する段階を含む、エンドポイント自動分析方法。
【請求項7】
前記トランスフォーマーアルゴリズムのためのトランスフォーマーモデルはエンコーダ(encoders)階層とデコーダ(decoders)階層を具備し、【数1】
【請求項8】
前記トランスフォーマーアルゴリズムのためのトランスフォーマーモデルはエンコーダ(encoders)階層とデコーダ(decoders)階層を具備し、【数2】
【請求項9】
前記トランスフォーマーアルゴリズムのためのトランスフォーマーモデルはエンコーダ(encoders)階層とデコーダ(decoders)階層を具備し、前記デコーダ階層を含むデコーダ構造は文章行列から各時点の単語を予測するように訓練され、未来にある単語を参考できないように未来時点の単語をマスクするレイヤをデコーダサブレイヤのうち最も前の段に適用する、請求項6に記載のエンドポイント自動分析方法。
【請求項10】
人工知能(AI)基盤チャットボットエンジンを適用したエンドポイント威嚇探知および対応(endpoint detection & response、EDR)用エンドポイント自動分析装置であって、プロセッサとメモリを含み、メモリに保存された少なくとも一つの命令によってプロセッサが、
イベントログの効率的な分析のためのプロセス別グループ化でログを加工し、AI分析のためのNLP(Natural Language Processing)技法を通じてのプロセス行為に対する文章を生成し、実際に動作する悪性行為をデータ化してAIモデル学習のための学習データとして使用し、学習データを学習させるためにトランスフォーマー(transfomer)アルゴリズム基盤の学習体系を具現し、実際の悪性行為を分析するためにBERT(bidirectional encoder representations form transformers)およびLSTM(long short-term memory)アルゴリズム基盤のイベント悪性有無自動分析器を通じてグループ化したイベントログをリアルタイムで確認して悪性行為対象が一定の類似度以上である場合に探知して威嚇イベントと自動判断する、エンドポイント自動分析装置。
【請求項11】
前記トランスフォーマーアルゴリズムのためのトランスフォーマーモデルはエンコーダ(encoders)階層とデコーダ(decoders)階層を具備し、【数1】
【請求項12】
前記トランスフォーマーアルゴリズムのためのトランスフォーマーモデルはエンコーダ(encoders)階層とデコーダ(decoders)階層を具備し、【数2】
【請求項13】
前記トランスフォーマーアルゴリズムのためのトランスフォーマーモデルはエンコーダ(encoders)階層とデコーダ(decoders)階層を具備し、前記デコーダ階層を含むデコーダ構造は文章行列から各時点の単語を予測するように訓練され、未来にある単語を参考できないように未来時点の単語をマスクするレイヤをデコーダサブレイヤのうち最も前の段に適用する、請求項10に記載のエンドポイント自動分析装置。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は悪性イベントログ自動分析方案に関し、より詳細には、人工知能(airtificial intelligence、AI)基盤チャットボットエンジン(chatbot engine)を適用してエンドポイント威嚇イベントである悪性イベントログを自動分析する方法および装置に関する。
【背景技術】
【0002】
情報通信インフラが持続的に拡大するにつれて、情報通信(IT)インフラを利用した多様な形態のセキュリティ威嚇が急増している。最近このような知能型持続的威嚇(Advanced Persistent Threat、以下、APT)は悪性コードを利用した企業内主要情報流出事故および内部使用者の非業務サイト接近による業務集中度の弱化とこれによる情報流出事故が頻繁に発生しており、これを防止するための対策が切実に要求されている。
【0003】
持続的に被害が発生しているセキュリティ威嚇に対応するためには膨大な量の悪性コードと威嚇関連データを分析する必要があり、関連データの効果的な分析のためには自動学習でイメージを分析する悪性コード学習および分類モジュールに対する開発が要求される。
【0004】
一方、既存の悪性コード探知および対応技術に関連した海外および国内APTソリューションメーカーは新種または変種の悪性コードに対応するために各業者別に多様な形態で対応ソリューションを提示しているが、次第に膨大になり知能化されるセキュリティ威嚇にリアルタイムで対応するのが容易でないのが実情である。
【0005】
このため、マシンラーニングを活用した悪性コード探知技術を研究しているエンドポイント威嚇探知および対応(endpoint detection & response、EDR)ソリューション開発業者では人工知能(artificial intelligence、AI)技術を積極的に活用してシグネチャ基盤、ルール基盤などの既存ソリューションで探知できない一部のサイバー威嚇を探知している。
【0006】
また、エンドポイント機器で情報を収集してサイバー攻撃の兆候を相関分析およびマシンラーニングでリアルタイムで自動探知し対応するためのエンドポイント侵害事故対応ソリューションも積極的に導入されている状況である。
【0007】
また、業務用パソコン(personal computer、PC)で悪性行為に対する事前対応技術として、分散遠隔フォレンジックに対する多様な威嚇インテリジェンス道具が開発されている。そして、C/C++、ルビー、パイソンなど多様な言語で開発したソフトウェアアプリケーションのセキュリティをテストできるSAST(static application security testing)道具も多様に開発中である状況である。
【0008】
しかし、前述した悪性コードや威嚇攻撃に対する分析および対応を効果的にするためには、PC、端末、サーバーなどに設置されたエージェント内部で悪性コードを直接分析する形態が最も好ましいが、これまでそのような形態のソリューションは提案されていない。
【発明の概要】
【発明が解決しようとする課題】
【0009】
本発明の目的は、チャットボットエンジンを活用して威嚇イベント自動分析および探知をエンドポイントで自動遂行できるエンドポイントセキュリティソリューションを提供するところにある。
【0010】
本発明の他の目的は、イベントログデータセット構築のための大容量データベース(database、DB)であるエラスティックサーチデータベース管理システム(DB management system、DBMS)を構築し、威嚇イベントログ自動分析および探知のためのトランスフォーマー(transformer)ネットワークとLSTM(long short-term memory)ネットワーク基盤学習体系を構築し、これに基づくテキスト分類機能で悪性行為イベントを効果的に分類できる自動化された行為イベント分析機能を具備しつつ、エンドポイントイベント探知ルールと連動して悪性イベント探知を遂行できるエンドポイント自動分析装置および方法を提供するところにある。
【0011】
本発明のさらに他の目的は、チャットボットエンジンを適用した人工知能(AI)基盤エンドポイント威嚇探知および対応(endpoint detection and response、EDR)ソリューションを提供するところにある。
【0012】
本発明のさらに他の目的は、分析サーバーにAIモジュールとイベントログを保存するAIデータベースを構築し、使用者PCにエージェントを設置してエージェントで使用者PCのイベントをルール(rule)マッチングを進行して分析し、分析結果を分析サーバーのAIデータベースと連動して分析結果を伝送し、プロセス識別子(process ID)およびセッション(session)情報を活用してグループ化を進行し、進行順にプロセス行為順に文章を生成してAIデータベースに伝送してデータセットを構築することによって、効果的に悪性イベントログを自動分析できるエンドポイント自動分析装置および方法を提供するところにある。
【0013】
本発明のさらに他の目的は、人工知能技術の適用を通じて威嚇イベントデータとイベントログを収集してプロセス識別子およびセッション識別子別にグループ化、プロセス別グループ化を進行して人工知能基盤で威嚇プロセスを自動分析し、自動分析に基づいた威嚇イベントを自動判断し、探知根拠を提供するためにトランスフォーマーネットワークの分析結果とプロセスツリーを提供できる、エンドポイント自動分析装置および方法を提供するところにある。
【課題を解決するための手段】
【0014】
前記技術的課題を解決するための本発明の一側面に係る悪性イベントログ自動分析装置は、人工知能(artificial intelligence、AI)基盤チャットボットエンジン(chatbot engine)を適用したイベント自動分析および探知のためのエンドポイント威嚇探知および対応(endpoint detection & response、EDR)装置であって、プロセッサとメモリを含み、メモリに保存された少なくとも一つの命令によってプロセッサが、イベントログの効率的な分析のためのプロセス別グループ化でログを加工し、AI分析のためのNLP(Natural Language Processing)技法を通じてのプロセス行為に対する文章を生成し、実際に動作する悪性行為をデータ化してAIモデル学習のための学習データとして使用し、学習データを使用してAIモデルを学習させるためにトランスフォーマー(transfomer)アルゴリズム基盤の学習体系を具現し、実際の悪性行為を分析するためにBERT(bidirectional encoder representations from transformers)およびLSTM(long short-term memory)アルゴリズム基盤のイベント悪性有無自動分析器を通じてグループ化したイベントログをリアルタイムで確認して悪性行為対象が一定の類似度以上である場合に探知して威嚇イベントと自動判断するように構成され得る。
【0015】
一実施例において、イベントログ分類のためのディープラーニング基盤チャットボットエンジンは、威嚇プロセス行為を使用してAIモデルを学習させるための行為文章生成およびラベリング方式で動作し、トランスフォーマーアーキテクチャのエンコーダ階層およびデコーダ階層6個を基準として性能により最適階層で設計され、モデル学習時に必要な費用(cost)の最適化のための学習率(learning rate)を学習進行時間によりその速度を調整するように構成され、トランスフォーマー基盤BERTモデルと密集レイヤ(dense layer)を結合したモデルで構成され得、LSTMおよびゲート循環ユニット(gated recurrent uint、GRU)基盤の伝統的な循環ニューラルネットワーク(recurrent neural network、RNN)モデルとトランスフォーマー基盤モデル間のF1-score比較による最適モデルが利用され得る。
【0016】
一実施例において、イベント分析のためのAIモジュールがEDRシステムと連動され得る。ここで、AIモジュールはクラウド基盤EDRソリューションと連動されて統合サービスを提供することができる。
【0017】
一実施例において、AIモジュールはそれぞれサイト別に配置されるアプライアンス形態の管理サーバーによって管理されるか、クラウド(cloud)基盤でネットワーク上で直接サービスされ得る。
【0018】
前記技術的課題を解決するための本発明の他の側面に係る悪性イベントログ自動分析方法は、統合分析サーバーに人工知能モジュールとイベントログを保存するデータベースを構築し、エンドポイントにエージェントを設置し前記エージェントでイベントログに対するルール(rule)マッチングを進行して悪性イベントログを分析する方法であって、プロセス識別子(process ID)およびセッション(session)情報を活用してイベントログに対するグループ化を進行する段階;前記イベントログに基づいてプロセス行為順に文章を生成する段階;前記行為順に生成された文章に含むデータセットに基づいてエンドポイントでの悪性イベントログを自動分析する段階を含む。
【0019】
前記技術的課題を解決するための本発明のさらに他の側面に係る悪性イベントログ自動分析方法は、イベントログの効率的な分析のためのプロセス別グループ化でログを加工する段階;AI分析のためのNLP(Natural Language Processing)技法を通じてプロセス行為に対する文章を生成する段階;実際に動作する悪性行為をデータ化してAIモデル学習のための学習データとして使う段階;学習データでAIモデルを学習させるためにトランスフォーマー(transfomer)アルゴリズム基盤の学習体系を生成する段階;実際の悪性行為を分析するためにBERTおよびLSTMアルゴリズム基盤のイベント悪性有無自動分析器を通じてグループ化したイベントログをリアルタイムで確認する段階;および悪性行為対象が一定の類似度以上である場合に探知して威嚇イベントと自動判断する段階を含む。
【0020】
前記技術的課題を解決するための本発明のさらに他の側面に係る悪性イベントログ自動分析装置は、統合分析サーバーに人工知能モジュールとイベントログを保存するデータベースを構築し、エンドポイントにエージェントを設置し前記エージェントでイベントログに対するルール(rule)マッチングを進行して悪性イベントログを分析する装置であって、プロセッサ、および前記プロセッサによって実行される少なくとも一つの命令を保存するメモリを含み、前記プロセッサは前記少なくとも一つの命令によって、プロセス識別子(process ID)およびセッション(session)情報を活用してイベントログに対するグループ化を進行する段階;前記イベントログに基づいてプロセス行為順に文章を生成する段階;前記行為順に生成された文章に含むデータセットに基づいてエンドポイントでの悪性イベントログを自動分析する段階を遂行するように構成される。
【0021】
前記技術的課題を解決するための本発明のさらに他の側面に係る悪性イベントログ自動分析装置は、人工知能(AI)基盤チャットボットエンジンを適用したエンドポイント威嚇探知および対応(endpoint detection & response、EDR)用エンドポイント自動分析装置であって、プロセッサとメモリを含み、メモリに保存された少なくとも一つの命令によってプロセッサが:イベントログの効率的な分析のためのプロセス別グループ化でログを加工し、AI分析のためのNLP(Natural Language Processing)技法を通じてのプロセス行為に対する文章を生成し、実際に動作する悪性行為をデータ化してAIモデル学習のための学習データとして使用し、この学習データでAIモデルを学習させるためにトランスフォーマー(transfomer)アルゴリズム基盤の学習体系を具現し、実際の悪性行為を分析するためにBERT(bidirectional encoder representations form transformers)およびLSTM(long short-term memory)アルゴリズム基盤のイベント悪性有無自動分析器を通じてグループ化したイベントログをリアルタイムで確認して悪性行為対象が一定の類似度以上である場合に探知して威嚇イベントと自動判断するように構成される。
【0022】
一実施例において、前記トランスフォーマーアルゴリズムのためのトランスフォーマーモデルはエンコーダ(encoders)階層とデコーダ(decoders)階層を具備し、入力側レイヤの位置エンコーディング(Postional Encoding)で各単語のエンべディング(embedding)ベクトルでエンべディング次元の位置に1を足した値が奇数である場合にコサイン(cos)関数である下記の数1(数学式)を活用して単語の位置を計算することによって悪性行為の位置情報を生成するように構成され得る。
【0023】
一実施例において、前記トランスフォーマーアルゴリズムのためのトランスフォーマーモデルはエンコーダ(encoders)階層とデコーダ(decoders)階層を具備し、入力側レイヤの位置エンコーディング(Postional Encoding)で各単語のエンべディング(embedding)ベクトルでエンべディング次元の位置に1を足した値が偶数である場合にサイン(sin)関数である下記の数2(数学式)を活用して単語の位置を計算することによって悪性行為の位置情報を生成するように構成され得る。
【0024】
一実施例において、前記デコーダ階層を含むデコーダ構造は文章行列から各時点の単語を予測するように訓練され、未来にある単語を参考できないように未来時点の単語をマスクするレイヤをデコーダサブレイヤのうち最も前の段に適用するように構成され得る。
【発明の効果】
【0025】
前述した本発明によると、人工知能(AI)基盤チャットボットエンジンを適用した悪性イベントログ自動分析装置や方法は、エンドポイント威嚇探知および対応(endpoint detection & response、EDR)ソリューションを核心エンジンとして適用して多量のログを効率的かつ迅速に分類および分析が必要なソリューションの分析モジュールとして活用し、専門的な分析家がなくてもAIによって威嚇行為が発生した時に侵害の有無を自動で判断するソリューションとして活用することができる。
【0026】
また、本発明に係るAIを利用した自動分析はエンドポイントイベントログ分析に限定されず、悪性コードをテストできる可視化プラットフォームに適用して悪性コードおよび悪性行為の分析結果値の信頼度を非常に高めることができ、SECaaS(security as a service)のようなクラウド基盤セキュリティサービス製品などに直ちに適用が可能である長所がある。
【0027】
前述した本発明の悪性イベントログ自動分析装置や方法を次のような分野に効果的に適用することができる。APT対応分野の場合、知能型持続的威嚇対応のためのオンプレミス(on-premise)タイプのソリューションに適用することができる。EDRソリューション分野の場合、エンドポイントイベント行為分析と原因分析および対応ソリューションに適用することができる。SECaaS分野の場合、クラウド基盤のAPTおよびランサムウェア対応ソリューションに適用することができる。そして、セキュリティオペレーション分野の場合、セキュリティオペレーション自動化のためのエンドポイント威嚇情報可視化分野に適用することができる。
【図面の簡単な説明】
【0028】
【図1】本発明の一実施例に係る人工知能(AI)基盤チャットボットエンジンを適用したイベント自動分析および探知システム(以下、簡略に「自動分析装置」)の主要構成およびその作動原理を説明するための図面である。
【図2】図1の自動分析装置に採用できるエンドポイント威嚇探知および対応(endpoint detection & response、EDR)に適用される侵害威嚇AI分析過程を説明するための図面である。
【図9】本発明の他の実施例に係る悪性イベントログ自動分析方法(以下、簡略に「自動分析方法」)でセッションIDとプロセスIDを束ねてプロセッサ別にグループ化する過程を説明するための例示図である。
【図19】本発明のさらに他の実施例に係る自動分析装置の主要構成を説明するブロック図である。
【発明を実施するための形態】
【0029】
本発明は多様な変更を加えることができ、種々の実施例を有することができるところ、特定実施例を図面に例示して詳細な説明に詳細に説明しようとする。しかし、これは本発明を特定の実施形態に対して限定しようとするものではなく、本発明の思想および技術範囲に含まれるすべての変更、均等物乃至代替物を含むものと理解されるべきである。各図面を説明するにおいて、類似する参照符号を類似する構成要素に対して使った。
【0030】
第1、第2、A、Bなどの用語は多様な構成要素の説明に使われ得るが、前記構成要素は前記用語によって限定されてはならない。前記用語は一つの構成要素を他の構成要素から区別する目的でのみ使われる。例えば、本発明の権利範囲を逸脱することなく第1構成要素は第2構成要素と命名され得、同様に第2構成要素も第1構成要素と命名され得る。「および/または」という用語は複数の関連した記載された項目の組み合わせまたは複数の関連した記載されたいずれかの項目を含む。
【0031】
或る構成要素が他の構成要素に「連結されて」いるとか「接続されて」いると言及された時には、その他の構成要素に直接的に連結されていたりまたは接続されていてもよいが、中間に他の構成要素が存在してもよいと理解されるべきである。反面、或る構成要素が他の構成要素に「直接連結されて」いるとか「直接接続されて」いると言及された時には、中間に他の構成要素が存在しないものと理解されるべきである。
【0032】
本出願で使った用語は単に特定の実施例を説明するために使われたものであり、本発明を限定しようとする意図ではない。単数の表現は文脈上明白に異なって意味しない限り、複数の表現を含む。本出願で、「含む」または「有する」等の用語は明細書上に記載された特徴、数字、段階、動作、構成要素、部品またはこれらを組み合わせたものが存在することを指定しようとするものであって、一つまたはそれ以上の他の特徴や数字、段階、動作、構成要素、部品またはこれらを組み合わせたものなどの存在または付加の可能性を予め排除しないものと理解されるべきである。
【0033】
異なって定義されない限り、技術的または科学的な用語を含んでここで使われるすべての用語は本発明が属する技術分野で通常の知識を有する者によって一般的に理解されるものと同じ意味を有している。一般的に使われる辞書に定義されているような用語は関連技術の文脈上有する意味と一致する意味を有すると解釈されるべきであり、本出願で明白に定義しない限り、理想的または過度に形式的な意味で解釈されない。
【0034】
以下、添付した図面を参照して、本発明の好ましい実施例をより詳細に説明しようとする。本発明を説明するにおいて全体的な理解を容易にするために図面上の同じ構成要素に対しては同じ参照符号を使用し、同じ構成要素に対して重複した説明は省略する。
【0035】
図1は、本発明の一実施例に係る人工知能(AI)基盤チャットボットエンジンを適用してエンドポイント威嚇イベントである悪性イベントのイベントログを自動分析する装置(以下、簡略に「自動分析装置」)の概略的な構成およびその作動原理を説明するための図面である。
【0036】
図1を参照すると、自動分析装置100は、グループ化のための第1モジュール110、保存のための第2モジュール120、構築のための第3モジュール130、分析のための第4モジュール140および自動判断のための第5モジュール150を含む。
【0037】
第1モジュール110は使用者パソコン(PC)から収集したログをグループ化する。第2モジュール120は収集したイベントログやグループ化されたログを定量化して保存する。第3モジュール130は定量化されたログに基づいてデータセットを構築する。第4モジュール140はトランスフォーマーモデル基盤でイベントログに対する自動分析を遂行する。第5モジュール150はイベントログに対する自動分析結果に基づいて威嚇イベントを自動判断する。
【0038】
トランスフォーマーアルゴリズムのためのトランスフォーマーモデルはエンコーダ(encoders)階層とデコーダ(decoders)階層を具備し、入力側レイヤの位置エンコーディング(Postional Encoding、PE)で各単語のエンべディング(embedding)ベクトルでエンべディング次元の位置に1を足した値が奇数である場合にコサイン(cos)関数である下記の数1を活用して単語の位置(pos)を計算することによって悪性行為の位置情報を生成するように構成され得る。
【数1】
【0039】
数1で、Dはイベント分析器(event analyzer)の入力次元の数を示し、iは前記入力次元の何番目であるかを示す。
【0040】
また、トランスフォーマーアルゴリズムのためのトランスフォーマーモデルはエンコーダ(encoders)階層とデコーダ(decoders)階層を具備し、入力側レイヤの位置エンコーディング(Postional Encoding)で各単語のエンべディング(embedding)ベクトルでエンべディング次元の位置に1を足した値が偶数である場合にサイン(sin)関数である下記の数2を活用して単語の位置を計算することによって悪性行為の位置情報を生成するように構成され得る。
【数2】
【0041】
数2で、Dはイベント分析器(event analyzer)の入力次元の数を示し、iは前記入力次元の何番目であるかを示す。
【0042】
自動分析装置100はネットワーク(network)を通じて人工知能(AI)分析ウェブ管理システム200に連結され得る。AI分析ウェブ管理システム200は使用者パソコンに連結されたAI分析サーバーに搭載され得、管理者に対する使用者管理を遂行するモジュール210、収集や分析現況に対するモニタリングを遂行するモジュール220、収集および分析システムに対する管理を遂行するモジュール230、AI分析現況を管理するモジュール240を具備することができる。
【0043】
前述した自動分析装置100は、人工知能(AI)基盤チャットボットエンジンを適用したイベント自動分析および探知のためのエンドポイント威嚇探知および対応(endpoint detection & response、EDR)装置であって、プロセッサとメモリを含み、メモリに保存された少なくとも一つの命令によってプロセッサが:イベントログの効率的な分析のためのプロセス別グループ化でログを加工し、AI分析のためのNLP(Natural Language Processing)技法を通じてのプロセス行為に対する文章を生成し、実際に動作する悪性行為をデータ化してAIモデル学習のための学習データとして使用し、このような学習データでAIモデルを学習させるためにトランスフォーマー(transfomer)アルゴリズム基盤の学習体系を具現し、実際の悪性行為を分析するためにBERT(bidirectional encoder representations form transformers)およびLSTM(long short-term memory)アルゴリズム基盤のイベント悪性有無自動分析器を通じてグループ化したイベントログをリアルタイムで確認して悪性行為対象が一定の類似度以上である場合に探知して威嚇イベントと自動判断する。
【0044】
イベントログ分類のためのディープラーニング基盤チャットボットエンジンは、チャットボットエンジンに威嚇プロセス行為を学習させるための行為文章生成およびラベリング方式で動作し、トランスフォーマーアーキテクチャのエンコーダ階層およびデコーダ階層6個を基準として性能により最適階層で設計され、モデル学習時に必要な費用(cost)の最適化のための学習率(learning rate)を学習進行時間によりその速度を調整するように構成され、トランスフォーマー基盤BERTモデルと密集レイヤ(dense layer)を結合したモデルで構成され得、LSTMおよびGRU(gated recurrent unit)基盤の伝統的なRNN(recurrent neural network)モデルとトランスフォーマー基盤モデルのF1-scoreの比較による最適モデルを利用することができる。
【0045】
また、イベント分析のためのAIモジュールはEDRシステムと連動することができる。ここで、AIモジュールはクラウド基盤EDRソリューションと連動されて統合サービスを提供することができる。このようなAIモジュールはそれぞれサイト別に配置されるアプライアンス形態の管理サーバーによって管理されたり、クラウド(cloud)基盤でネットワーク上で直接サービスされ得る。
【0046】
図2は、図1の自動分析装置に採用できるエンドポイント威嚇探知および対応(endpoint detection & response、EDR)に適用される侵害威嚇AI分析過程を説明するための図面である。図3は、図1の自動分析装置に採用できるEDRに適用されるAI基盤威嚇行為探知機能を説明するための図面である。そして図4は、図1の自動分析装置に採用できるAI分析モジュール適用に対する概略的な例示図である。
【0047】
図2を参照すると、自動分析装置に採用できるEDRに適用される侵害威嚇AI分析過程はEDRシステムまたは分析システムで分析システムAI DBにイベントログをグループ別に定形化して保存することができる(S21)。
【0048】
次に、プロセッサ識別子(process ID)およびセッション(session)別分析ログをグループ化することができる(S22)。
【0049】
次に、イベントログから行為文章を生成することができる(S23)。
【0050】
次に、AI基盤で行為文章を分析することができる(S24)。
【0051】
次に、分析された行為文章に基づいて威嚇イベントを自動で判断することができる(S25)。
【0052】
次に、自動判断結果はウェブサーバー(web server) DB例えばエラスティック(elastic) DB分析および判断結果を分散システムAI DBに伝送し、威嚇イベントツリーおよび分析情報を可視化するようにディスプレイ装置に伝送することができる(S26、S31)。
【0053】
そして、分析システムAI DBに保存されるイベントログは使用者パソコンに設置されるエージェントに伝達されてエージェントが侵害威嚇情報を収集するのに利用され得る(S27)。
【0054】
次に、収集された侵害威嚇情報に基づいてエージェントは威嚇行為を自動探知することができる(S28)。
【0055】
次に、威嚇行為自動探知を通じて収集されたイベントログは分析システムAI DBに報告され得る(S30)。
【0056】
すなわち、図3に示した通り、EDRに適用されるAI基盤威嚇行為探知方法は、威嚇イベントの自動判断段階(S31)後に自動分析段階(S32)、データ収集段階(S33)、ロググループ化段階(S34)、威嚇探知段階(S35)および威嚇イベント情報可視化段階(S36)を遂行するように構成され得る。
【0057】
換言すると、図4に図示した通り、イベントログを収集する段階(S41)以後に、イベント行為文章を生成する段階(S42)、AIモデル学習基盤の特徴抽出はルール(rule)を適用して遂行する段階(S43)、および結果データを伝送して悪性の有無を自動判定する段階(S44)を遂行するように構成され得る。
【0058】
前記において、図2および図4を参照して説明した通り、自動分析装置の一種であるチャットボットエンジンを適用した威嚇イベント自動分析および探知AIモジュールは、エンドポイントセキュリティのためにEDRシステムと連動することができる。
【0059】
AIモジュールは既存のEDRシステムに対するAI適用のために既存のウェブデータベース(web database)に伝達されたイベントログデータを新しく構築したAI分析データベースに伝達するようにインターフェースマイグレーション作業を遂行して構成され得る。
【0060】
また、AIモジュールはイベントログデータセット構築のために大容量データベース(DB)のエラスティックサーチDBMS(DB management system)を具備することができる。
【0061】
また、AIモジュールは威嚇イベントログ自動分析および探知のためにトランスフォーマー(transformer)アルゴリズム基盤学習体系を具備することができる。
【0062】
また、AIモジュールはテキスト分類機能で悪性行為イベントを分類できる自動化された行為イベント分析のための機能やこのような機能に対応する構成部を具備することができる。
【0063】
また、AIモジュールはエンドポイントイベント探知ルールと連動して悪性イベントを探知するように構成され得る。
【0064】
前述した構成のために、AIモジュールは、威嚇イベントデータ収集、イベントログを収集してプロセッサ識別子(process ID)およびセッション識別子(session ID)別にグループ化、プロセス別グループ化を進行してAI基盤威嚇プロセス自動分析、自動分析結果による威嚇イベント自動判断、そしてウェブユーザーインターフェース(Web UI)を通じての威嚇イベント自動分析および判断結果とプロセスツリーを可視化して表出することができる。
【0065】
このように、本実施例ではイベントログを自動で分析して悪性の有無も自動で判定でき、また、イベント分析の自動化体系を構築して高い正確度と迅速な分析の二つの利点を得ることができる。
【0066】
【0067】
図5を参照すると、自動分析装置に採用できるAIエンジンは、EDRを適用したチャットボットエンジンの一種であって、エンドポイント(endpoint)で抽出したイベントをルール(rule)を活用して1次分析し(S51、S52)、分析結果をAI分析サーバーDBに保存し(S53、54)、保存されたデータをAIモジュールがプロセス識別子(process ID)およびセッション識別子(session)別に分析ロググループ化を遂行できる。ルール(rule)はIOC(indicator of compromise)侵害指標とMITRE ATT&CK(adversarial tactics、techniques and common knoledge)攻撃手法を含むことができる。
【0068】
また、AIエンジンはイベントグループに関して順序を考慮したイベント行為文章生成と、生成された行為文章をAI DBに保存してデータを収集してデータセットとして構築することができる(S56)。このようなデータセットを利用すると、トランスフォーマー基盤モデルあるいはRNN系列のモデル学習に利用して学習された分析器を準備することができる。
【0069】
このような構成によると、入力されるイベントログを学習された分析器で自動分析と分類確率を計算し、これに基づいて威嚇イベントの自動判断を進行し、分析および判断結果をウェブサーバーDBに保存しウェブ使用者インターフェースマネジャー(web UI manager)を通じてトランスフォーマー基盤自動分析および判断結果とプロセスツリー行為順序を視角化して使用者に提供することができる。
【0070】
また、AIエンジンはエージェント(agent)を通じて収集される行為イベントログをプロセス識別子(process ID)およびセッションなどを活用してグループ化を進行し、威嚇行為イベントを行為文章で生成してデータセットを構築し(S57)、このように構築された行為イベントデータセットを活用してテキスト分類技法のうち速度と全体的な長文の構文分析のためのトランスフォーマー(transformer)基盤の分析器を通じて分析器から出た分析結果に基づいて威嚇イベントログを自動探知することができる(S58、S59)。
【0071】
自動探知された威嚇イベントはウェブサーバーDB、例えばエラスティック(elastic) DBに保存されて威嚇イベント自動判断に利用され得(S59)、ウェブサーバーDBやエラスティックDBで分析および判断結果を保存し(S60)、使用者インターフェース(user interface、UI)を通じて分析結果や判断結果を表出することができる(S61)。
【0072】
図6は、図1の自動分析装置に採用できるチャットボットエンジンを適用したAIモジュールが適用されたEDRシステムに対する概略的な構成図である。図7は、図1の自動分析装置に採用できるEDRソリューションとAIモジュール連動インターフェースを説明するための図面である。
【0073】
図6を参照すると、チャットボットエンジンを適用したAI基盤EDRシステム100は、自動分析装置の一種であって、AIモジュール160とイベントログを保存するAIデータベース(database)170を具備でき、AIモジュールを通じてネットワーク上の使用者PCに設置されたエージェントで使用者PCのイベントをルール(Rule)マッチングを進行して分析するようにし、分析結果を分析サーバーのAIデータベース170と連動して分析結果をネットワーク上の使用者PC、分析サーバー、エラスティックDB260等に伝送するように構成され得る。エラスティックDB260にはウェブブラウザ基盤使用者インターフェース270が設置されて使用者PC、その他使用者端末の接近を許容し使用者PCと通信することができる。
【0074】
AIモジュールの主な作動原理を図7を参照して説明すると次の通りである。以下で説明する過程は該当機能を遂行する構成部に対応され得る。
【0075】
イベントが発生すると(event occurred)、AIモジュールはエージェントからイベントログ収集(log collection)を遂行する(71)。収集されたログは特定フォルダ(folder)に保存される。次に、ルールモジュール(rule module、72)を通じてルールマッチングを進行し、その結果を特定フォルダに保存する。収集されたログとマッチング結果はマネジャー(manager、73)を通じてウェブ(web)上で使用者PCなどに提供されるかDB74に保存され得る。ここで、マネジャー73はサーバー用ハードウェアまたはクラウド環境で構築されて仮想化運営体制上でDBサーバーのようにAIモジュールと連動することができる。
【0076】
次に、DB74に保存されたログ(log)はグルーピング(grouping)され(75)、グルーピングされたログは行為文章(action sentence、76)として生成され得る。生成された行為文章76はデータベース74に保存され得る。
【0077】
また、DB74に保存されたログとマッチング結果に基づいて機械学習(machine leanrning、77)を学習させることができ、それによって学習モデルファイル(learning model file)を生成(create)することができる(78)。そして、先立って生成された行為文章76は学習モデルファイルを生成するのに利用され得る。
【0078】
次に、学習モデルファイルを利用して行為文章分析結果(action sentence analyzed results、79)を生成することができる。そして生成された行為文章分析結果79としきい値設定(threshold setting、80)に基づいて威嚇を自動判断(automatic judgement of threats)し(81)、判断結果が所定の基準値(threshold result、82)以上であるか以下であるとき、その結果をマネジャーDB83に保存するように構成され得る(83)。
【0079】
すなわち、エージェントで試みた分析結果を呼び出してプロセッサ識別子(process ID)およびセッション(session)情報を活用してグループ化を進行し、進行順にそしてプロセス行為順に文章を生成した後、人工知能データベース(AI DB)に伝送してデータセットを構築することができる。
【0080】
【0081】
図8を参照すると、EDRソリューションに対応するEDRシステムは、広い意味でEDR統合管理サーバー300とエージェント(Agent、100)を含むことができる。すなわち、本実施例のEDRシステムはイベント分析のためのAIモジュールを適用したAI基盤EDRシステムで構築され得る。
【0082】
EDR統合管理サーバー(以下、簡略に「統合管理サーバー」)300は使用者インターフェース(UI、310)、AI基盤イベント分析モジュール320、データベース管理システム(DBMS、330)、複数の行為分析エンジン350、Windows server 2016R2等のサーバー系列の運営体制360、ウインドウ運営体制(windows OS)、HPE ProLiantサーバーなどに設置されるESXi、アマゾンウェブサービス(amazon web services、AWS)、マイクロソフトアジュール(azure)等のクラウドコンピューティングサービス、NHN toastなどの公共機関用クラウドインフラなどのプラットフォーム370、これを支援するハードウェア(hardware、380)を具備することができる。ハードウェア380はクラウド(cloud)基盤ハードウェアであり得る。
【0083】
EDRシステムはエンドポイント100のエージェント(agent、180)でイベント情報を収集して統合管理サーバー300に伝送し、統合管理サーバー300内のDB管理システム330に該当情報を保存するようにすることができる。保存された情報はAI基盤イベント分析モジュール320で順次収集してAI基盤イベント分析を遂行し、分析された結果に基づいてエンドポイント100内の探知ルール(rule)182に適用するように構成され得る。
【0084】
エンドポイント100はウインドウ運営体制102とPCハードウェア(H/W)104を具備することができるが、これに限定されず、アンドロイド(登録商標)運営体制などのその他のエージェント180設置およびその動作が可能な環境を備えたその他の運営体制を具備することができる。
【0085】
本実施例に係る統合管理サーバー300のAI基盤イベント分析モジュール320やエンドポイント100のエージェント180は、本実施例の悪性イベントログ自動分析方法を遂行する装置であって、イベントログの効率的な分析のためのプロセス別グループ化でログを加工する段階;AI分析のためのNLP(Natural Language Processing)技法を通じてプロセス行為に対する文章を生成する段階;実際に動作する悪性行為をデータ化してAIモデル学習のための学習データとして使う段階;学習データを学習させるためにトランスフォーマー(transfomer)アルゴリズム基盤の学習体系を生成する段階;実際の悪性行為を分析するためにBERTおよびLSTMアルゴリズム基盤のイベント悪性有無自動分析器を通じてグループ化したイベントログをリアルタイムで確認する段階;悪性行為対象が一定の類似度以上である場合に探知して威嚇イベントと自動判断する段階を遂行するように構成され得る。
【0086】
図9は、本発明の他の実施例に係る悪性イベントログ自動分析方法(簡略に自動分析方法)でセッションIDとプロセスIDを束ねてプロセッサ別にグループ化する過程を説明するための例示図である。
【0087】
図9を参照すると、悪性イベントログ自動分析のためのグループ化過程はログ収集段階(S91)およびグループ化段階(S92)を含むことができ、グループ化されたデータを使用者インターフェースに表示するUI表示段階(S93)をさらに含むことができる。
【0088】
ログ収集段階(S91)ではセッション識別子(sesseion ID、SID)とプロセス識別子(process ID、PID)別にイベントログ(eventlog)を収集して保存する。
【0089】
グループ化段階(S92)では収集されたイベントログはセッション識別子別にあるいはプロセス識別子別にグルーピングする。
【0090】
【0091】
図10を参照すると、正常行為が集まってランサムウェア行為をする悪性イベントは、持続性維持などのための開始プログラム登録(S101)、金銭要求などのためのデスクトップ画面変更(S102)およびファイル暗号化のためのファイル名変更(S103)を同時に遂行する場合を含むことができる。このような同時イベントはランサムウェア(ransomware)動作の一種と見なされて悪性行為と判断され得る(S104)。
【0092】
【0093】
図11を参照すると、正常行為が集まってネットワーク情報収集または情報伝達行為をする悪性イベントは、プロセス実行(S111)、ファイル生成またはファイル書き込み(S112)およびネットワーク通信(S113)を同時に遂行する場合を含むことができる。このような同時イベントは悪性疑いイベントに分類されて悪性疑い行為と判断され得る(S114)。
【0094】
前述した図9~図11を参照して説明した通り、自動分析方法はプロセス行為別区分のためのイベントロググループ化技法を利用することができる。すなわち、一つのイベントログのみ分析時、該当イベントログが威嚇行為イベントである場合もあるが、多くの場合は正常行為イベントであり正常行為と判断された行為が集まって威嚇行為を進行するので親プロセスIDおよび現在プロセスIDのようなセッションIDを活用して時間順にグループ化を進行し、これを通じて悪性イベントを分析することができる。
【0095】
【0096】
図12を参照すると、自動分析方法はNLP技法のためにイベントログを活用したプロセス行為文章生成過程を利用することができる。すなわち、グループ化されたイベントログのうち行為が終了する(Terminated、S122)がない場合、プロセス終了まで進行されないことを意味するので、Terminatedイベントが存在するイベントグループでイベントタイプ、変更される値(value)、プロセス実行経路をその行為順序を考慮して文章を生成し、これを利用して悪性イベントログを自動分析することができる。
【0097】
また、学習モデル生成のために行為順序文章でデータセットを構築することができる。この場合、イベント行為文章生成器で生成された文章をAI分析サーバーのDBに保存でき、威嚇イベント探知のために生成したイベント行為文章にラベリング(labeling)を遂行できる。
【0098】
【0099】
図13を参照すると、自動分析装置はAI分析のためのトランスフォーマー(transformer)アルゴリズム基盤の学習体系を利用することができる。
【0100】
トランスフォーマーアルゴリズム基盤の学習体系は、並列処理が可能であり、単語間の意味把握に優れた性能を有しており、6個のエンコーダとデコーダの層で構成され得る。
【0101】
例えば、自動分析装置は、イベントログのエンべディング(embedding)を発生位置に関連してエンコーディングした(positional encoding)データを第1モジュールに入力し、第1モジュールの第1プロセス(S132)を通じて、入力データを多重ヘッドセルフアテンション(multi-head self-attention)を有するエンコーダセルフアテンション(encoder self-attention)を通じて処理し、入力データとエンコーダセルフアテンションで処理した結果を合わせて一般化し(add & Norm)、位置基準としてFFNNを遂行しその結果を一般化されたデータと合わせて一般化して出力することができる。
【0102】
次に、自動分析装置は、第1プロセス(S132)の処理結果を第2モジュールの第2プロセスの多重ヘッドセルフアテンションに入力することができる。第2モジュールの第2プロセス(S134)は多重ヘッドセルフアテンションの以前のステージとしてマスク多重ヘッドセルフアテンション(masked multi-head self-attention)を具備したマスクデコーダセルフアテンション(masked decoder self-attention)をさらに含むことができる。マスクデコーダセルフアテンションの処理結果は該当モジュールの入力データと合わせられて一般化された後、多重ヘッドセルフアテンションに入力され得る。この時、多重ヘッドセルフアテンションはエンコーダデコーダアテンション(encoder-decoder attention)に対応し得る。
【0103】
第2プロセス(S134)の出力は密集(dense)ニューラルネットワークのsoftmaxなどの出力端を通じて出力され得る。
【0104】
前述した第1モジュールと第2モジュールの二つの段階(S132、S134)での関係は複数のレイヤ(layers)でそれぞれ遂行される複数のプロセスの隣接した二つのレイヤにも同一に適用され得る。すなわち、自動分析装置はトランスフォーマーアルゴリズムを通じてイベントロググループ別に自動判断を同時に並列遂行できる。
【0105】
また、アテンション(attention)を進行する時、並列で進行するヘッド(head)の場合には8個に設定し、損失関数は多重クラス分類問題を解決するためにクロスエントロピー関数を採択することができる。損失関数最適化のための学習速度(learning rate)の場合、学習の進行経過により学習速度の大きさを次第に減らして損失関数がより収束に容易であるように数値をチューニングすることができる。
【0106】
【0107】
図14を参照すると、トランスフォーマーモデルはエンコーダ(encoders)階層(S142)とデコーダ(decoders)階層(S144)からなり得る。入力側レイヤの位置エンコーディング(Postional Encoding)で各単語のエンべディング(embedding)ベクトルで位置情報を足してモデル入力として使うことができる。
【0108】
また、デコーダ構造もエンコーダ構造と同一にポジショナルエンコーディングを経た後、文章行列が入力されるように構成され得る。そしてデコーダ構造は文章行列から各時点の単語を予測するように訓練され得る。また、未来にある単語を参考できないように未来時点の単語をマスクするレイヤをデコーダサブレイヤのうち最も前の段に適用することができる。
【0109】
【0110】
図15を参照すると、自動分析装置はBERTおよびLSTMモデルを活用したイベント自動分析器(S136)を利用することができる。この分析器(S136)は文章の主題探しと分類する問題の解決のための精密チューニング(fine-tuning)の長所があるBERTモデルを活用することができる。その場合、BERTモデルを事前学習して最後の分類時に学習させるラベル(lable)の個数だけの出力(output)を有する密集レイヤ(Dense Layers、S138)を付けて使うことができる。
【0111】
また、LSTMモデルを利用する場合、伝統的なRNNより長いシーケンスの入力を処理するのに性能が優れており、威嚇プロセスの順次的なイベント特性上、長い文章の形成可能性が高いので伝統的なRNNよりLSTMモデルを活用することが好ましいと言える。そして、テキスト分類とチャットボットシステムなどの種々の自然語処理に多く使われているのでトランスフォーマー基盤モデルとの性能比較により選択的に使うことも可能である。
【0112】
【0113】
図16を参照すると、トランスフォーマー基盤であるBERTモデルとLSTMおよびGRUを活用したモデルを同一のデータセットを活用してテキスト分類あるいは質疑応答モデルで学習して検証データとテストデータセット結果を比較してf1-scoreが優秀なモデルを選択的に利用することができる。
【0114】
例えば、「いつも私は口蹄疫が本当に嫌いだ」というテキスト入力に対して、エンべディングレイヤ(S161)を通じて多数のLSTM(S162)で前処理した後、畳み込みレイヤ(convolution layer、S163)で学習した後、Max pooling layer(S164)およびFCL(fully-connected layer、S165)を通じて自動分析結果を出力することができる。自動分析結果は悪性イベントである(+)、悪性イベントではない(-)、判断保留(0)で設定され得る。
【0115】
前述したイベント分析のためのコンピューティング装置(自動分析装置に対応する)やこのコンピューティング装置の少なくとも一部を構成するAIモジュールをEDRシステムに連動して構築することができる。
【0116】
それぞれサイト別にアプライアンス形態の管理サーバーを置いてセキュリティエージェントを管理し、サービスできる構築型AIモジュール連動EDRシステムやCloud基盤でセキュリティエージェントを管理しサービスするSECaaS形態で具現され得る。
【0117】
本実施例によると、AIモジュールは既に所定サービスを提供しているクラウド基盤EDRソリューションと連動して統合サービスを提供することができる。この場合、AIモジュールの設定インターフェースと分析された結果物情報はEDRシステムの管理システムであるGUIに連動して提供されるように構成され得る。
【0118】
また、知能型EDR分析システム(以下、簡略に分析システム)はチャットボットエンジンを活用した威嚇イベント自動分析および探知技術が適用されたエンドポイントセキュリティソリューションを含むことができる。このような分析システムはイベント収集のための使用者PCにエージェント設置形態で具現され、収集されるイベントをヤラ(yara)ルールを活用した1次分析進行後にAI DBに保存することができる。そしてAI DBに収集された分析結果をプロセスIDとセッション別イベントグループ化加工を進行した後、加工されたイベントをAI分析器を通じて自動分析し、自動分析結果によるイベント自動判断結果をウェブサーバーDBに保存することができる。
【0119】
また、分析システムはウェブブラウザ基盤使用者インターフェースを活用して分析結果と判断結果を可視化して表出することができる。
【0120】
また、分析システムは威嚇イベント自動探知の一種であって、イベント行為のAI基盤構文分析を通じて威嚇イベントを自動探知することができる。そして、自動探知された結果基盤で威嚇イベントを自動判定することができる。また、新変種悪性コード流入遮断のためのブラックリストと連動して行為分析を通じての威嚇プロセス判定後、ウェブ使用者インターフェースを通じてブラックリストを更新することができる。また、分析システムはヤラ(yara)ルールを活用したイベント探知のために使用者PCで収集されたイベントをヤラルールを活用して威嚇イベントを探知するように構成され得る。
【0121】
また、分析システムはエンドポイント、例えば使用者PCで発生するプロセス、レジストリ、ネットワーク、ファイル情報を収集し、MITRE ATT&CKで提供する攻撃戦術、攻撃技術、攻撃方式情報を受け、探知情報で高い比率のNone、TelemetryおよびGeneral Behavior、Tactic以下の探知機能を提供することができる。
【0122】
また、分析システムはAI分析機能を通じて自動でイベントログを分析して悪性の有無および侵害行為を判断して判断情報を表出することができる。このような判断情報はMITRE ATT&CKで提供する攻撃戦術、攻撃技術、攻撃方式情報を含み、General BehaviorおよびTactic段階以上まで増加させて保存され得る。
【0123】
【0124】
図17を参照すると、セキュリティサービス形態はチャットボットエンジンを適用したエンドポイント威嚇行為探知EDR製品の形態で具現され得る。
【0125】
このようなセキュリティサービスのための自動分析装置は、学習データ収集およびセキュリティ通知、そしてバックアップのための外部サーバー400で構築され得、HTTPで他の装置と通信することができる。外部サーバー400は短文メッセージサービスサーバー410、アップデートサーバー420、ウイルストータルサーバー430、ビットディフェンダー(bitdefender)サーバー440、メールサーバー450、バックアップサーバー460等を含むことができる。
【0126】
ここで、EDRソリューション管理のための統合管理サーバー300は、マネジャーの一種であって、サーバー用ハードウェアやクラウド環境で構築され、仮想化運営体制上に設置されてDBサーバーとともに連動するように設置され得る。
【0127】
また、自動分析装置を利用するAI基盤イベント分析システムは、エンドポイント100や統合管理サーバー300に搭載され得、PCハードウェアまたはクラウド環境の仮想環境で具現され、ウィンドウズ(登録商標)サーバーなどの運営体系で運営され得る。また、エンドポイントイベント収集および威嚇イベント対応のためのエージェント(Agent、180)は特定エンドポイントであるWindows 7、Windows 10等で運営されるように構成され得る。
【0128】
また、チャットボットエンジンを適用したエンドポイント威嚇行為探知システムは、自動分析装置を利用するAI基盤イベント分析システムの一種であって、使用者PCで発生するイベントログをルール(Rule)マッチングを進行してDBMSに使用者PCイベントログに伝送し、DBMSに収集された使用者Pcイベントログをプロセスツリーでグループ化した後DBMSに保存し、収集されたイベントログプロセスツリーを行為順に文章生成を進行し、生成された文章をAIモデル学習データセットとして活用してトランスポーカー基盤あるいはLSTM基盤のディープラーニング基盤AIモデルを生成することができる。
【0129】
また、前述したシステムは実際の使用者PCなどのエンドポイント100で発生するイベントログを統合管理サーバー300のAI分析システムに伝送して生成されたAIモデルで自動分析を進行して類似度を出力でき、威嚇プロセス自動判断分析結果と自動判断結果をDBMSに伝送し、Web UIを通じてプロセスツリーおよびAI自動分析および判断結果を可視化して表出することができる。
【0130】
また、前述したチャットボットエンジンを適用したエンドポイント威嚇行為探知システムは次のモジュール構成を具備することができる。すなわち、システムはプロセスツリー行為順序文章生成モジュール;テンソルフロー(tensorflow)フレームワークを活用したトランスフォーマー(Transformer)ネットワークおよびLSTM基盤ネットワークモデル学習モジュール;トランスフォーマーネットワーク基盤およびLSTMネットワーク基盤学習モデルを活用した自動分析および類似度出力モジュール;データセット処理のためのライブラリー;自動分析結果基盤威嚇プロセス自動探知モジュール;分析結果と自動判断結果ウェブ(Web)使用者インターフェースを通じての可視化モジュールを含むことができる。
【0131】
ライブラリーはScikit-learn、pandas、numpyライブラリーの中から選択されるいずれか一つ以上を含むことができる。
【0132】
本実施例によると、エンドポイントから行為情報を収集して保存中央サーバーに保存し、保存された行為情報に対するAI分析を通じてセキュリティ威嚇イベント自動分析過程を進行すると、多量のログを効率的かつ迅速に分類および分析が可能であり、専門的な分析家がなくてもAIによって威嚇行為が発生した時に侵害の有無を自動で判断することができる。
【0133】
また、AIを利用した自動分析はエンドポイントイベントログ分析だけでなく、悪性コードをテストできる可視化プラットフォームに適用して悪性コードおよび悪性行為の分析結果値の信頼度を非常に高めることができ、SECaaSのようなクラウド基盤セキュリティサービス製品などに直ちに適用できる長所がある。
【0134】
【0135】
図18を参照すると、AI基盤威嚇イベント自動分析方法に対する性能評価は次のように遂行され得る。
【0136】
まず、イベントログ収集段階(S181)で、悪性コードの実行により知られている悪性情報収集チャネル、例えばウイルストータル(Virus Total)、ウイルスサイン(Virus Sign)、ビットディフェンダー(Bitdefender)等の5個で悪性情報を収集して悪性情報収集チャネル別悪性200個と自体で保有した定常ファイル1000個を性能評価用試料として使うことができる。
【0137】
ここで、本実施例で説明した自動分析装置の一種である「仮想化基盤悪性行為手動分析可視化プラットフォーム」を活用して威嚇イベント自動分析を評価するテストベッドとして構築することができる。
【0138】
次に、悪性コード実行によりイベントログが収集されると、チャットボットエンジンを通じて威嚇イベント自動探知が遂行される(S182)。エンドポイントなどでの悪性コード実行による自動探知結果は、ルール(rule)分析(S185)結果とともに使用者インターフェースに可視化するように構成され得る(S186)。可視化される情報を通じて探知性能確認と報告書が使用者などに提供され得る。
【0139】
次に、自動探知結果はイベント自動分析過程(S183)を経て可視化システム(S184)に伝達され得る。
【0140】
次に、AIモジュールと連動される可視化システム(S184)のEDR GUIを通じてイベント自動分析結果を確認し、テストベッドUIを確認してテスト結果を測定することができる。
【0141】
前述した実施例によると、知られていないセキュリティ威嚇および既存アンチウイルスを無力化する新種および変種威嚇に効果的に対応することができる。また、IOC基盤フォレンジック分析を通じてのサイバー威嚇自動対応体系の構築で手動分析に依存したヒューマンエラーと時間的限界点を大幅に改善することができる。また、AI基盤イベント分析技術の導入で自動化された分析システムを通じて、ルール生成および配布で自律進化型威嚇対応システムを効率的に構築することができる。また、他の機関および他のシステムとの最新威嚇情報の共有を通じて信頼性ある情報生成および配布が可能であり、悪性威嚇に対する対応時間を短縮してサイバー被害を最小化するのに寄与することができる。
【0142】
図19は、本発明のさらに他の実施例に係るイメージ基盤悪性コード探知装置の主要構成を説明するブロック図である。
【0143】
本実施例の悪性イベントログ自動分析装置1000(簡略に自動分析装置)はサーバー側EDRシステムの少なくとも一部の構成部として設置されるか、エンドポイントエージェントの少なくとも一部の構成部として設置され得る。
【0144】
図19を参照すると、自動分析装置1000は、少なくとも一つのプロセッサ1100、メモリ1200およびネットワークと連結されて通信を遂行する通信インターフェース付き送受信装置1300を含むことができる。また、自動分析装置1000は入力インターフェース装置1400、出力インターフェース装置1500、保存装置1600をさらに含むことができる。自動分析装置1000に含まれたそれぞれの構成要素はバス(bus)1700により連結されて通信を遂行できる。
【0145】
ただし、自動分析装置1000に含まれたそれぞれの構成要素は共通バス1700ではなく、プロセッサ1100を中心に個別インターフェースまたは個別バスを通じて連結されてもよい。例えば、プロセッサ1100はメモリ1200、送受信装置1300、入力インターフェース装置1400、出力インターフェース装置1500および保存装置1600のうち少なくとも一つと専用インターフェースを通じて連結されてもよい。
【0146】
プロセッサ1100はメモリ1200および保存装置1600のうち少なくとも一つに保存されたプログラム命令(program command)を実行することができる。プロセッサ1100は中央処理装置(central processing unit、CPU)、グラフィック処理装置(graphics processing unit、GPU)、または本発明の実施例に係る方法が遂行される専用のプロセッサを意味し得る。
【0147】
メモリ1200および保存装置1600それぞれは揮発性保存媒体および不揮発性保存媒体のうち少なくとも一つで構成され得る。例えば、メモリ1200は読み取り専用メモリ(read only memory、ROM)およびランダムアクセスメモリ(random access memory、RAM)のうち少なくとも一つで構成され得る。
【0148】
メモリ1200または保存装置1600に保存されたりプロセッサ1100に搭載されて実行される少なくとも一つの命令は、プロセッサが;イベントログの効率的な分析のためのプロセス別グループ化でログを加工する段階;AI分析のためのNLP(Natural Language Processing)技法を通じてプロセス行為に対する文章を生成する段階;実際に動作する悪性行為をデータ化してAIモデル学習のための学習データとして使う段階;学習データでAIモデルを学習させるためにTransfomerアルゴリズム基盤の学習体系を生成する段階;実際の悪性行為を分析するためにBERTおよびLSTMアルゴリズム基盤のイベント悪性有無自動分析器を通じてグループ化したイベントログをリアルタイムで確認する段階;悪性行為対象が一定の類似度以上である場合に探知して威嚇イベントと自動判断する段階を遂行するように構成され得る。
【0149】
また、前述した本発明の実施例に係る方法の動作は、コンピュータで読み取り可能な記録媒体にコンピュータが読み取り可能なプログラムまたはコードで具現することが可能である。コンピュータが読み取り可能な記録媒体はコンピュータシステムによって読み込まれ得るデータが保存されるすべての種類の記録装置を含む。また、コンピュータが読み取り可能な記録媒体はネットワークに連結されたコンピュータシステムに分散されて分散方式でコンピュータで読み取り可能なプログラムまたはコードが保存され実行され得る。
【0150】
また、コンピュータが読み取り可能な記録媒体はロム(rom)、ラム(ram)、フラッシュメモリ(flash memory)等のようにプログラム命令を保存し遂行するように特別に構成されたハードウェア装置を含むことができる。プログラム命令はコンパイラ(compiler)により作られるような機械語コードだけでなくインタープリタ(interpreter)等を使ってコンピュータによって実行され得る高級言語コードを含むことができる。
【0151】
本発明の一部の側面は装置の文脈で説明されたが、それは相応する方法による説明も示すことができ、ここでブロックまたは装置は方法段階または方法段階の特徴に相応する。同様に、方法の文脈で説明された側面はまた相応するブロックまたはアイテムまたは相応する装置の特徴で示すことができる。方法段階のいくつか又は全部は例えば、マイクロプロセッサ、プログラム可能なコンピュータまたは電子回路のようなハードウェア装置によって(または利用して)遂行され得る。いくつかの実施例で、最も重要な方法段階の一つ以上はこのような装置によって遂行され得る。
【0152】
実施例で、プログラム可能なロジック装置(例えば、フィールドプログラマブルゲートアレイ)がここで説明された方法の機能の一部又は全部を遂行するために使われ得る。実施例で、フィールドプログラマブルゲートアレイはここで説明された方法のうち一つを遂行するためのマイクロプロセッサとともに作動することができる。一般的に、方法は何らかのハードウェア装置によって遂行されることが好ましい。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【国際調査報告】