제10항에 있어서,상기 제어부는,SHAP 기법을 기초로, 상기 분류된 적어도 하나의 공격유형 각각에 대해 상기 네트워크 트래픽에 포함된 특징들 각각의 Shapley Value를 획득하고,획득된 Shapley Value에 기초하여 상기 특징들 각각의 기여도를 판단하는,시스템.

적어도 하나의 컴퓨팅 디바이스를 포함하는 사이버 공격 분석 시스템을 이용하여, 각각 복수의 디바이스들로 구성된 융합 환경들이 네트워크를 통해 연결되는 인터넷 환경에 대한 사이버 공격을 분석하는 방법에 있어서,상기 사이버 공격 분석 시스템이, 상기 인터넷 환경에 포함된 융합 환경, 디바이스, 및 시스템 중 적어도 일부로부터 보안 위협과 관련하여 발생한 네트워크 트래픽을 포함하는 데이터셋을 수집하는 단계;수집된 데이터셋에 포함된 특징들(features)에 기초하여, 상기 보안 위협을 구성하는 적어도 하나의 공격유형을 분류하는 단계;분류결과에 기초하여, 상기 보안 위협을 구성하는 공격과 관련된 특징들의 기여도를 판단하는 단계;상기 판단된 기여도에 기초하여, 상기 특징들 중 상기 인터넷 환경에 대한 공격 특징을 분석하는 단계; 및분석된 공격 특징 및 상기 인터넷 환경에 대해 정의된 킬 체인 프레임워크를 기반으로 대응체계를 수립하는 단계를 포함하는,방법.

제1항에 있어서, 상기 공격유형을 분류하는 단계는,상기 수집된 데이터셋의 전처리를 수행하는 단계; 및전처리된 데이터셋에 기초하여 상기 적어도 하나의 공격유형을 분류하는 단계를 포함하는,방법.

제1항에 있어서, 상기 공격유형을 분류하는 단계는,학습된 랜덤 포레스트(Random Forest) 모델에 상기 데이터셋을 입력하여, 상기 보안 위협을 구성하는 적어도 하나의 공격유형을 분류하는 단계를 포함하는,방법.

제3항에 있어서, 상기 보안 위협을 구성하는 공격과 관련된 특징들의 기여도를 판단하는 단계는,상기 랜덤 포레스트 모델의 분류 결과를 분석하는 단계; 및분석 결과에 기초하여, 상기 보안 위협을 구성하는 공격과 관련된 특징들의 기여도를 판단하는 단계를 포함하는,방법.

제4항에 있어서, 상기 분류 결과를 분석하는 단계는,SHAP(Shapley Additive exPlanations) 기법을 기초로, 상기 분류된 적어도 하나의 공격유형 각각에 대한 상기 데이터셋에 포함된 특징들 각각의 Shapley Value를 획득하는 단계를 포함하고,상기 기여도를 판단하는 단계는,획득된 Shapley Value에 기초하여 상기 특징들 각각의 기여도를 판단하는 단계를 포함하는,방법.

제1항에 있어서,상기 인터넷 환경에 대한 공격 특징을 분석하는 단계는,상기 판단된 특징들 각각의 기여도에 기초하여, 상기 분류된 적어도 하나의 공격유형별로, 기여도가 가장 높은 소정 개수의 특징들을 상기 인터넷 환경에 대한 공격 특징으로 확인하는 단계를 포함하는,방법.

제6항에 있어서,상기 인터넷 환경에 대한 공격 특징을 분석하는 단계는,상기 적어도 하나의 공격유형 중 제1 공격유형과 제2 공격유형에 대해 확인된 공격 특징이 서로 동일한 경우, 상기 제1 공격유형과 제2 공격유형이 서로 연계된 공격에 해당하는 것으로 추론하는 단계를 더 포함하는,방법.

제1항에 있어서,상기 인터넷 환경에 대해 정의된 킬 체인 프레임워크는,공격자가 공격대상으로 선정할 디바이스 및 시스템 중 적어도 일부를 정찰하는 단계와, 스캐닝한 공격대상에 대해 사용할 악성 프로그램을 생성하는 단계를 포함하는 제1 루프(loop); 공격 대상에 대한 권한을 획득하는 단계, 상기 공격 대상 내에 악성 프로그램을 설치하는 단계, 상기 공격 대상에 대한 명령어 전달 또는 원격 제어를 수행하는 단계, 및 상기 공격 대상에 대한 공격을 실행하는 단계를 포함하는 제2 루프; 및공격자가 현재 침투한 공격 대상에서 접근할 상기 인터넷 환경 내의 다른 공격 대상을 탐색하는 단계, 탐색된 공격 대상으로 연결 및 이동하는 단계를 포함하는 제3 루프를 포함하여 정의되고,각 루프에 포함된 단계들은 서로 반복하여 수행 가능한,방법.

적어도 하나의 컴퓨팅 디바이스를 포함하고, 각각 복수의 디바이스들로 구성된 융합 환경들이 네트워크를 통해 연결되는 인터넷 환경에 대한 사이버 공격을 분석하는 시스템에 있어서,상기 인터넷 환경에 포함된 융합 환경, 디바이스, 및 시스템 중 적어도 일부로부터 보안 위협과 관련하여 발생한 네트워크 트래픽을 수신하는 통신부; 및수신된 네트워크 트래픽에 포함된 특징들(features)에 기초하여, 상기 보안 위협을 구성하는 적어도 하나의 공격유형을 분류하고,분류 결과에 기초하여, 상기 보안 위협을 구성하는 공격과 관련된 특징들의 기여도를 판단하고,판단된 기여도에 기초하여, 상기 특징들 중 상기 인터넷 환경에 대한 공격 특징을 분석하고,분석된 공격 특징 및 상기 인터넷 환경에 대해 정의된 킬 체인 프레임워크를 기반으로 대응체계를 수립하는 제어부를 포함하는,시스템.

제9항에 있어서,상기 제어부는,학습된 랜덤 포레스트 모델에 상기 네트워크 트래픽을 입력하여, 상기 보안 위협을 구성하는 적어도 하나의 공격유형을 분류하는,시스템.

제9항에 있어서,상기 제어부는,상기 판단된 특징들 각각의 기여도에 기초하여, 상기 분류된 적어도 하나의 공격유형별로, 기여도가 가장 높은 소정 개수의 특징들을 상기 인터넷 환경에 대한 공격 특징으로 확인하는,시스템.

제12항에 있어서,상기 제어부는,상기 적어도 하나의 공격유형 중 제1 공격유형과 제2 공격유형에 대해 확인된 공격 특징이 서로 동일한 경우, 상기 제1 공격유형과 제2 공격유형이 서로 연계된 공격에 해당하는 것으로 추론하는,시스템.

제9항에 있어서,상기 인터넷 환경에 대해 정의된 킬 체인 프레임워크는,공격자가 공격대상으로 선정할 디바이스 및 시스템 중 적어도 일부를 정찰하는 단계와, 스캐닝한 공격대상에 대해 사용할 악성 프로그램을 생성하는 단계를 포함하는 제1 루프(loop); 공격 대상에 대한 권한을 획득하는 단계, 상기 공격 대상 내에 악성 프로그램을 설치하는 단계, 상기 공격 대상에 대한 명령어 전달 또는 원격 제어를 수행하는 단계, 및 상기 공격 대상에 대한 공격을 실행하는 단계를 포함하는 제2 루프; 및공격자가 현재 침투한 공격 대상에서 접근할 상기 인터넷 환경 내의 다른 공격 대상을 탐색하는 단계, 탐색된 공격 대상으로 연결 및 이동하는 단계를 포함하는 제3 루프를 포함하여 정의되고,각 루프에 포함된 단계들은 서로 반복하여 수행 가능한,시스템.