본 기술은 보안 인텔리젼스를 위한 Long-term 연관성 분석 기술로 네트워크 보안 장비에서 발생되는 대량의 보안 이벤트에 대해서 의미 있는 정보를 추출하기 위한 데이터 마이닝을 수행하여 과거 Long-term 데이터와의 연관성을 분석하여 침해 위협(Threat)을 인지하고 탐지하기 위한 기술임.
<목적>
- 본 기술은 보안 이벤트 수집 및 파싱, 데이터 발생 통계 실시간 모니터링, 과거 데이터 학습 및 Long-term 연관성 분석을 통한 보안 인텔리젼스 제공함.
<필요성>
- 3.20 사이버테러 등 최근 보안 사고들은 점차 규모가 커지고 있으며, 지능형 지속 위협(APT)과 같이 고도화/지능화된 공격이 등장하고 있음
- 각종 보안 위협이 날이 갈수록 증가하고 있고, 해킹의 위협은 더 정교해지고 치밀해져 가고 있고, 이를 위한 모든 사이버 위협의 실시간 탐지, 예측 및 대응을 위한 솔루션이 요구되고 있음.
- 방화벽이나 침입방지시스템(IPS), 망분리와 같이 사이버 공격에 대비하기 위한 다양한 보안 솔루션들이 인프라 단에서 구축되고 있고, 이를 기반으로 사이버 침해 위협 사고와 보안 이벤트, 보안 로그, 리포트를 데이터화하고, 장기간 데이터에 대한 심층 분석이 필요함
- 따라서, IT기반 시설의 사용자, 네트워크, 시스템, 응용서비스 등으로부터 발생하는 데이터 및 보안이벤트를 수집 저장 관리하고, 연관성을 분석하여 보안 인텔리젼스를 향상시키는 지능형 보안 위협 탐지를 위한 대용량 데이터 연관성 분석 기술 필요함
- 기존 SIEM 솔루션이나 SOC 센터에서 사이버 침해 위협 탐지 및 분석을 위해 수집된 보안 이벤트에 대해 공격 룰 기반으로 분석을 해왔으나, 본 기술은 룰 없이 데이터 마이닝을 기반으로 과거 Long-term 데이터와의 연관성을 분석하여 침해 위협을 인지하기 위한 침해 위협 분석 기술임
- 과거 발생한 침해 위협 사고(Threat) 과의 이벤트 발생 패턴, 접속 IP와의 연관성을 분석하여 실시간 침해 위협을 인지하고 탐지하고, 이를 위해 과거 침해 위협 사고(Threat)에서 연관되는 연관도와 정상인 상황과 연관되는 연관도를 TF-IDF알고리즘과 공간 벡터 모델링 방법을 통한 분석을 수행하여 이를 기반으로 침해 위협을 분석하고 탐지함.
- 과거 침해위협 데이터에 대하여 데이터 마이닝을 통해서, 연관성 분석을 수행함으로써, 보안 분석 운용을 위한 SOC 센터에서 Heuristic 하게 분석해왔던 분석 방법에 대해 자동화하는데 추후 활용이 가능함.
- 본 기술은 다양한 보안이벤트를 수집하여 저장하고, 연관성을 분석 및 검색하여 이를 공격 징후에 판단하기 위한 시스템을 제공하고, 대용량 데이터 수용을 위한 분산 환경 기반으로 데이터마이닝 기술을 적용하여 사이버 침해 위협의 분석이 가능한 지능형 보안 위협 분석 기술을 제공함
- 본 기술은 분산 환경기반 vSIEM 대용량 보안 이벤트 처리 및 연관성 분석 기술로 네트워크 보안 장비에서 발생되는 보안 이벤트 로그를 분산 환경을 이용하여 수집하고, 보안 이벤트별 단위 시간 발생 통계를 추출하기 위한 분산 환경기반 보안 이벤트 수집 처리 기술 (A)과 이를 기반으로 과거 침해 사고시 발생한 보안 이벤트 데이터를 학습하여 과거 데이터와의 연관성을 분석하여 침해 위협 사고를 탐지하고 분석하기 위한 Long-term 연관성 분석 기술, 그리고 수집되는 보안 이벤트를 모니터링하고 연관성 분석 결과를 시각화하기 위한 보안 이벤트 연관성 분석을 위한 사용자 도구가 포함된 분산 환경 기반 분산 환경기반 보안 이벤트 연관성 분석 기술 (B)로 구성된다.
A. 기술명 : 분산 환경기반 대용량 보안 이벤트 수집 처리 기술
- KAFKA 기반 다중 소스 보안 이벤트 수집 및 데이터 파서 기능
- 수집 이벤트 실시간 통계 데이터 추출을 위한 데이터 처리(Storm Bolt) 기능
B. 기술명 : 분산 환경기반 보안 이벤트 연관성 분석 기술
- TF-IDF 알고리즘을 이용한 이벤트 벡터화 및 학습 기능
- 공간 벡터 모델링을 통한 Long-term 연관 이벤트 분석 및 침해 위협 탐지 기능
- 보안 이벤트별 단위시간 발생 Statistics 및 실시간 모니터링 뷰
- 보안 이벤트 Long-term 연관성 분석 시각화 뷰
A. 기술명 : 분산 환경기반 대용량 보안이벤트 수집 처리 기술
- 소스코드: 분산 환경 기반 보안 이벤트 수집 및 처리 프로그램,
- 문서: vSIEM 연관성 분석 요구사항정의서/시험 절차 및 결과서/사용자 매뉴얼
* 단, 문서중 수집 및 처리 기술에 해당되는 문서 내용만 이전 대상에 포함됨.
- 특허: PR20160642KR / PR20160602KR / PR20160626KR
B. 기술명 : 분산 환경기반 보안 이벤트 연관성 분석 기술
- 소스코드: 분산 환경 기반 보안 이벤트 수집 및 처리 프로그램
침해 위협 탐지를 위한 보안 이벤트 연관성 분석 프로그램,
대용량 보안 이벤트 연관성 분석을 위한 사용자 도구 프로그램
- 문서: vSIEM 연관성 분석 요구사항정의서/시험 절차 및 결과서/사용자 매뉴얼
- 특허: PR20160642KR / PR20160602KR / PR20160626KR
o 지능형 보안 분석 분야의 SIEM(Security Information and Event Management) 솔루션 개발
. 실시간 보안 데이터 수집 및 처리, APT 공격 탐지, 네트워크 데이터 분석, 실시간 이벤트 처리 및 분석 분야에 활용 가능
. 지능형 칩입 탐지를 위한 통합모니터링/접속 관리 등 다양한 범위로 확장되어 보안/운용/어플리케이션 분석을 제공하는 보안 솔루션 분야에 적용 가능
o 클라우드 기반 보안 솔루션 분야
. 클라우드기반 SIEM 확장을 통한 SecaaS 서비스 제공에 활용
. 클라우드 기반 서비스를 제공하는 중소 이상의 사업자에 클라우드 기반의 맞춤형 보안 서비스 제공에 활용 가능
o SOC를 위한 보안 관제 AI 분야
. 데이터 마이닝을 이용한 머신 러닝을 통한 인공지능 기반 침해 위협 탐지 솔루션 개발 분야에 활용이 가능