ETRI 기술이전 사이트에 오신걸 환영합니다.

- 급증하는 대량의 보안이벤트와 로그 및 사이버 침해 위협으로 보안 관제요원들이 보안장비에서 발생하는 대량의 이벤트에 대한 데이터 분석의 어려움이 있고, 빅데이터 로그 기술 기반으로 보안 위협을 탐지하기 위한 많은 시간과 인력이 소요됨
- 따라서, 이와같은 보안 이벤트와 로그를 운영자가 수동적으로 분석하여 탐지하는데 한계가 있기 때문에 인공지능(AI) 을 통한 학습과 AI 기술을 이용한 침해위협 탐지가 필요함.
- 본 기술은 보안 이벤트와 로그를 기계학습과 딥러닝 기술을 이용해 학습하고 학습된 모델을 기반으로 정탐 로그(True Alert) 를 실시간 분석하여 실시간 침해위협(Threat)을 탐지하는 기술을 제공하기 위한 기술임.
- 본 기술은 이와 같은 인공신경망 적용을 위한 데이터전처리, 딥러닝기반 학습, 실시간 분석 탐지, 학습모델 관리을 위한 분석 탐지 엔진과 사용자도구, 사용자 GUI 가 포함된 인공지능기반 보안이벤트 학습 및 탐지 기술을 제공함.

<목적>

- 본 기술은 DDoS 및 해킹 공격에 대한 실시간 탐지 및 분석 기술에 대한 시장의 급속한 요구에 대응 가능한 SIEM(Security Information and Event Management) 인공신경망 기반 네트워크 침해 위협 분석 및 탐지 기술을 제공함.
- 네트워크 보안 장비에서 발생되는 대량의 보안 이벤트에 대해 운영자가 수동적으로 분석하여 탐지하는 한계를 극복하기 위한 인공신경망 기반 침해 위협 분석 및 탐지 기술에 목적을 두고 있음.

<필요성>
- 3.20 사이버테러 등 최근 보안 사고들은 점차 규모가 커지고 있으며, 지능형 지속 위협(APT)과 같이 고도화/지능화된 공격이 등장하고 있음
- 각종 보안 위협이 날이 갈수록 증가하고 있고, 해킹의 위협은 더 정교해지고 치밀해져 가고 있고, 이를 위한 모든 사이버 위협의 실시간 탐지, 예측 및 대응을 위한 솔루션이 요구되고 있음.
- 방화벽이나 침입방지시스템(IPS), 망분리와 같이 사이버 공격에 대비하기 위한 다양한 보안 솔루션들이 인프라 단에서 구축되고 있고, 이를 기반으로 사이버 침해 위협 사고와 보안 이벤트, 보안 로그, 리포트를 데이터화하고, 장기간 데이터에 대한 심층 분석이 필요함
-빅데이터 플랫폼 기반의 기존 SIEM 은 점점 더 증가하는 보안이벤트 로그에 대한 실시간 분석을 위해 정책 및 룰 기반의 침해 위협 탐지를 제공하고 있으나, 급증하는 신종보안 위협에 대하여 적절히 대처를 하지 못하는 실정이고, 이를 분석하기 위한 보안관제센터(SOC : Security Operating Center) 의 관제 요원의 분석 및 대응 업무가 날로 증가함.
- 지능화돼가는 사이버 위협에 대비하기 위해 보안관제센터에 인공지능기반 기술의 도입이 필요한 추세이고, 지능형 보안 위협 탐지를 위해, IT기반 시설의 네트워크 보안장비에서 발생하는 대량의 데이터 및 보안이벤트에 대하여 연관된 보안이벤트를 추출하여 인공지능(머신러닝 및 딥러닝) 기반의 침해위협 분석 기술이 필요함

- 본 기술은 보안 이벤트와 로그를 기계학습과 딥러닝 기술을 이용해 학습하고 학습된 모델을 기반으로 정탐(TP:True Positive) 로그를 실시간 분류하여 실시간 침해위협(Threat)을 탐지하는 기술을 제공
- 본 기술은 이와 같은 AI 적용을 위한 데이터전처리, 딥러닝기반 학습, 실시간 분석 탐지, 학습모델 관리, 사용자 GUI 가 포함된 인공지능기반 보안이벤트 학습 및 탐지 기술임.
- 보안이벤트 데이터 학습, 모델 생성, 실시간 추론을 위한 AI 기반 지능형 분석 기술이 적용된 AI-SIEM 시스템으로 텐서플로우기반 인공신경망을 이용한 침해 위협 분석 기술을 제공함.
- 본 기술은 데이터 전처리부, 데이터 학습부, 실시간 AI 탐지추론부, 모델 관리부로 구성된 AI-SIEM 시스템으로써 K-NN, TF-IDF, Vector Space Medel 을 통한 사전 학습 알고리즘 제공함.
- 본 기술은 DNN, RNN. LSTM 등 다중 딥러닝 학습 알고리즘 제공하고, 데이터 전처리 및 학습을 위한 사용자 도구 와 AI 기반 실시간 모니터링과 모델 및 데이터 관리를 위한 웹기반 AI-SIEM 사용자 응용을 제공함.

단계 : 5

o 지능형 보안 분석 분야의 SIEM(Security Information and Event Management) 솔루션 개발 및 SOC를 위한 보안 관제 AI 분야
. 실시간 보안 데이터 처리 자동화, APT 공격 탐지, 네트워크 데이터 분석, 실시간 이벤트 처리 및 분석 분야에 활용 가능
. 머신러닝 등 AI 기술을 적용한 사이버 위협정보 탐지·분석 모델을 개발해 보안관제 시스템에 적용에 가능
. 사이버 공격을 자동으로 탐지하고 대응하는 AI 보안체계 구축에 적용 가능
. 지능형 칩입 탐지를 위한 지능형 통합모니터링/접속 관리 등 다양한 범위로 확장되어 보안/운용/어플리케이션 분석을 제공하는 인공지능 기반 보안 솔루션 분야에 적용 가능
. 데이터 마이닝 및 머신 러닝을 통한 인공지능 기반 침해 위협 탐지 솔루션 개발 분야에 활용이 가능
. 소규모 네트워크를 위한 보안 관제 및 Small 플랫폼형의 AI 보안관제 구축을 위한 솔루션

o 클라우드 기반 보안 솔루션 분야
. 클라우드기반 SIEM 확장을 통한 SecaaS 서비스 제공에 활용
. 클라우드 기반 서비스를 제공하는 중소 이상의 사업자에 클라우드 기반의 맞춤형 보안 서비스 제공에 활용 가능

< 기술이전의 내용 >

- 본 기술은 지능형 SIEM 을 위한 인공신경망기반 데이터 분석 및 탐지 기술로 기존 보안이벤트 로그 관리를 위한 SIEM 과 연동하여 다양한 이벤트에 대한 데이터 전처리 및 데이터 레이블링 및 데이터 프로파일링을 수행하고, 이에 대한 과거 발생 사례의 연관성을 분석하여 지도학습기반 인공신경망을 이용한 딥러닝 학습을 수행하고, 모델을 생성하여 사이버 침해위협의 징후를 판단하기 위한 기술임.
- 이를 위해 AI SIEM을 위한 데이터 전처리/사전학습/기계학습/모델관리를 위한 보안 데이터 학습 및 탐지 엔지 기술(A) 와 실시간 모니터링을 위한 사용자 실시간 모니터링 시각화 도구(B) 로 구성된다. 그리고 기존 기술이전 (기술이전명 : 분산 환경 기반 대용량 보안이벤트 처리 및 연관성 분석 기술)을 수행한 업체에 한해서 데이터 전처리/사전학습 기술이 제외된 보안 데이터 학습 및 탐지 엔지 기술(C) 로 구성된다.

A. 기술명 : AI SIEM 을 위한 보안 데이터 학습 및 탐지 엔진 기술
- 데이터 처리 및 연관성 분석 위한 K-NN, TF-IDF, 벡터공간모델기반 사전 학습 기술
- DNN, RNN, LSTM 딥러닝 알고리즘 학습 및 실시간 분석 기술
- 지도학습(Supervised Learning) 기반 데이터 학습 및 모델 관리 기술
- 데이터 전처리 및 학습을 위한 사용자 도구

B. 기술명 : AI SIEM 을 위한 사용자 실시간 모니터링 시각화 도구
- 딥러닝 탐지/관리를 위한 웹기반 사용자 GUI 기술
- 딥러닝 학습 및 모델 관리 사용자 GUI

C. 기술명 : AI SIEM 을 위한 보안 데이터 학습 및 탐지 엔진 기술 (기존 기술이전 업체)
- DNN, RNN, LSTM 딥러닝 알고리즘 학습 및 실시간 분석 기술
- 지도학습(Supervised Learning) 기반 데이터 학습 및 모델 관리 기술
- 데이터 전처리 및 학습을 위한 사용자 도구
- 본 세부 기술은 아래 기존 기술이전 수행 업체에 한함
o 기술이전계획번호 : 2110-2017-02418
o 기술이전명 : 분산 환경 기반 대용량 보안이벤트 처리 및 연관성 분석 기술
o 세부기술 : 분산 환경기반 보안 이벤트 연관성 분석 기술

< 기술이전의 범위 >
A. 기술명 : AI SIEM 을 위한 보안 데이터 학습 및 탐지 엔진 기술
- 소스코드:
o 침해 위협 탐지를 위한 보안 이벤트 연관성 분석 프로그램
o 인공신경망을 위한 보안 데이터 전처리 프로그램
o 에스아이이엠(SIEM)용 딥러닝 기반 데이터 학습 및 실시간 탐지 엔진 프로그램
- 문서: 시스템 요구사항 정의서(SecCurator 분석 서브 시스템) / vSiem 상세설계서/ AI SIEM 시스템 시험 절차서 및 결과서 / AI SIEM 사용자 매뉴얼
* 단, 문서중 수집 및 처리 기술에 해당되는 문서 내용만 이전 대상에 포함됨.
- 특허: PR20171282KR / PR20160642KR / PR20160602KR

B. 기술명 : AI SIEM 을 위한 사용자 실시간 모니터링 시각화 도구
- 소스코드
o 인공신경망기반 보안이벤트 학습 및 분석용 웹기반 사용자 응용 프로그램
- 문서 : 시스템 요구사항 정의서(SecCurator 분석 서브 시스템) / vSiem 상세설계서/ AI SIEM 시스템 시험 절차서 및 결과서 / AI SIEM 사용자 매뉴얼
* 단, 문서중 수집 및 처리 기술에 해당되는 문서 내용만 이전 대상에 포함됨.

C. 기술명 : AI SIEM 을 위한 보안 데이터 학습 및 탐지 엔진 기술 (기존 기술이전 업체)
- 소스코드:
o 인공신경망을 위한 보안 데이터 전처리 프로그램
o 에스아이이엠(SIEM)용 딥러닝 기반 데이터 학습 및 실시간 탐지 엔진 프로그램
- 문서: 시스템 요구사항 정의서(SecCurator 분석 서브 시스템) / vSiem 상세설계서/ AI SIEM 시스템 시험 절차서 및 결과서 / AI SIEM 사용자 매뉴얼
* 단, 문서중 수집 및 처리 기술에 해당되는 문서 내용만 이전 대상에 포함됨.
- 특허: PR20171282KR

특허 3건

1) 네트워크 보안 기능 가상화 기반의 클라우드 보안 분석 장치, 보안 정책 관리 장치 및 보안 정책 관리 방법
(출원번호 : 2017-0010978)
2) 보안 이벤트의 연관 분석을 통한 사이버 침해 위협 탐지 방법 및 장치
(출원번호 : 2017-0001183)
3) 심층 신경망을 이용한 사이버 위협 탐지 방법 및 장치
(출원번호 : 2018-0071694)

에스아이이엠(SIEM)용 딥러닝 기반 데이터 학습 및 실시간 탐지 엔진 프로그램 등 프로그램 3 건

시스템 요구사항 정의서(SecCurator 분석 서브 시스템) 등 기술문서 4건

실시권 허용범위

비독점적 통상실시권

계약기간

계약체결일로부터 5 년간

기술료조건(부가세별도)

※ 정액기술료(단위:천원)

구분	중소기업	중견기업	대기업
정액기술료	75,000	225,000	300,000

※ 중소기업 또는 중견기업 기술료조건을 적용받고자 하는 경우에는 중소기업확인증 또는 중견기업확인증 제출 필요

기술전수교육

3 개월 / 1,000 천원정(부가세 별도)

기타특기사항

ㅇ 세부기술별 기술이전 가능 (부가세별도)
-1세부 기술명 : AI SIEM 을 위한 보안 데이터 학습 및 탐지 엔진 기술 : 중소기업 기준 : 55,000천원
- 2세부 기술명 : AI SIEM 을 위한 사용자 실시간 모니터링 시각화 도구 : 중소기업 기준 : 20,000천원
- 3세부 기술명 : AI SIEM 을 위한 보안 데이터 학습 및 탐지 엔진 기술 (기존 기술이전 업체에 한함) : 중소기업 기준 35,000천원
* 3 세부 기술 경우, 1 세부 기술의 부분기술로써 위의 기존의 "분산 환경 기반 대용량 보안이벤트 처리 및 연관성 분석 기술의 세부기술 분산 환경기반 보안 이벤트 연관성 분석 기술"기술이전 업체에 한해서만 가능함.

기술관련

기술개발 발표당시	지능보안연구그룹 김종현 (042-860-3843, jhk@etri.re.kr)
현재	지능형네트워크보안연구실 김종현 (042-860-3843, jhk@etri.re.kr)

계약관련

기술이전실 서교웅 (042-860-4981, kwseo@etri.re.kr)