KR101619059B1 - Apparatus, system and method for generation and distribution lightweight signature - Google Patents

Apparatus, system and method for generation and distribution lightweight signature Download PDF

Info

Publication number
KR101619059B1
KR101619059B1 KR1020140172470A KR20140172470A KR101619059B1 KR 101619059 B1 KR101619059 B1 KR 101619059B1 KR 1020140172470 A KR1020140172470 A KR 1020140172470A KR 20140172470 A KR20140172470 A KR 20140172470A KR 101619059 B1 KR101619059 B1 KR 101619059B1
Authority
KR
South Korea
Prior art keywords
signature
detection
script
unit
information
Prior art date
Application number
KR1020140172470A
Other languages
Korean (ko)
Inventor
임채태
정종훈
배한철
추현록
장웅
오상환
윤수진
Original Assignee
한국인터넷진흥원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국인터넷진흥원 filed Critical 한국인터넷진흥원
Priority to KR1020140172470A priority Critical patent/KR101619059B1/en
Application granted granted Critical
Publication of KR101619059B1 publication Critical patent/KR101619059B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

Provides are malicious script signature management apparatus, system and method. The malicious script signature management apparatus comprises: a detection information analysis unit which receives first detection information related to a malicious code, computes a detection hit rate for an existing first signature, and generates second detection information; a signature generation unit which receives the second detection information, and generates a second signature; and a signature distribution management unit which receives the second signature, distributes the second signature to an external system, and manages a distribution cycle related to the second signature.

Description

악성 스크립트 탐지를 위한 경량 시그니처 생성 및 배포 장치, 시스템 및 방법{Apparatus, system and method for generation and distribution lightweight signature}[0001] Apparatus, system and method for generation and distribution of lightweight signatures for malicious script detection [

본 발명은 악성 스크립트 탐지를 위한 경량 시그니처 생성 및 배포 장치, 시스템 및 방법에 관한 것이다.The present invention relates to a lightweight signature generation and distribution apparatus, system, and method for malicious script detection.

네트워크의 보안을 위해서는 우선 공격 패킷들의 특성을 파악하여 두는 작업이 필요하다. 이러한 공격 패킷의 특성을 시그니처(signature)로 등록해두고, 수신된 패킷에서 등록된 시그니처가 감지되면 그에 해당하는 보안정책을 적용하여 악성 사용자나 프로그램으로부터 대상 네트워크를 보호하게 된다. In order to secure the network, it is necessary to grasp the characteristics of attack packets first. When the registered signature is registered in the received packet, the corresponding security policy is applied to protect the target network from the malicious user or program by registering the characteristics of the attack packet as a signature.

네트워크상의 공격 패킷들의 특성을 추출하는 기술은 대부분 인터넷상의 웹 문서를 포함하는 전자문서들의 유사성을 검사하거나, 분류하는 기술을 기반으로 한다. 방대한 양의 전자 문서들 간의 유사성을 검사하기 위해서는, 우선 각각의 문서들이 가지는 특성을 간략하게 표현할 필요가 있다. 이렇게 간략화 된 문서들을 비교함으로써 유사성 검증에 소요되는 연산량을 최소화할 수 있다.Most of the techniques for extracting the characteristics of attack packets on the network are based on techniques for checking or classifying the similarity of electronic documents including web documents on the Internet. In order to check the similarity between vast amounts of electronic documents, it is first necessary to briefly describe the characteristics of each document. By comparing these simplified documents, the amount of computation required to verify similarity can be minimized.

한국공개특허 제2010-0073134호에는 시그니처 자동생성 시스템을 위한 문자열 포함성 결정장치 및 방법에 관하여 개시되어 있다. Korean Patent Publication No. 2010-0073134 discloses an apparatus and a method for determining string inclusion for an automatic signature generation system.

본 발명이 해결하고자 하는 과제는, 악성 스크립트에 대한 트래픽 정보 및 소스 정보를 수집하고, 수집된 악성 스크립트를 기반으로 시그니처를 생성, 배포, 관리할 수 있는 악성 스크립트 시그니처 관리 장치를 제공하는 것이다. A problem to be solved by the present invention is to provide a malicious script signature management apparatus capable of collecting traffic information and source information for a malicious script and generating, distributing and managing the signature based on the collected malicious script.

본 발명이 해결하고자 하는 다른 과제는, 악성 스크립트에 대한 트래픽 정보 및 소스 정보를 수집하고, 수집된 악성 스크립트를 기반으로 시그니처를 생성, 배포, 관리할 수 있는 악성 스크립트 시그니처 관리 시스템을 제공하는 것이다. Another problem to be solved by the present invention is to provide a malicious script signature management system capable of collecting traffic information and source information for a malicious script and generating, distributing and managing the signature based on the collected malicious script.

본 발명이 해결하고자 하는 또 다른 과제는, 악성 스크립트에 대한 트래픽 정보 및 소스 정보를 수집하고, 수집된 악성 스크립트를 기반으로 시그니처를 생성, 배포, 관리할 수 있는 악성 스크립트 시그니처 관리 방법을 제공하는 것이다. Another object of the present invention is to provide a malicious script signature management method capable of collecting traffic information and source information on a malicious script and generating, distributing, and managing signatures based on the collected malicious script .

본 발명이 해결하고자 하는 과제들은 이상에서 언급한 과제들로 제한되지 않으며, 언급되지 않은 또 다른 과제들은 아래의 기재로부터 당업자에게 명확하게 이해될 수 있을 것이다.The problems to be solved by the present invention are not limited to the above-mentioned problems, and other matters not mentioned can be clearly understood by those skilled in the art from the following description.

상기 과제를 해결하기 위한 본 발명의 악성 스크립트 시그니처 관리 장치의 일 실시예는, 악성 코드에 관한 제1 탐지 정보를 제공받아 기 존재하는 제1 시그니처의 탐지 적중률을 연산하고, 제2 탐지 정보를 생성하는 탐지 정보 분석부, 상기 제2 탐지 정보를 제공받아 제2 시그니처를 생성하는 시그니처 생성부, 및 상기 제2 시그니처를 제공받아 외부 시스템으로 상기 제2 시그니처를 배포하고, 상기 제2 시그니처에 관한 배포 주기를 관리하는 시그니처 배포 관리부를 포함한다. According to an aspect of the present invention, there is provided an apparatus for managing malicious script signatures, the apparatus comprising: a first detection unit configured to detect first malicious code, A signature generating unit for receiving the second detection information and generating a second signature, and distributing the second signature to the external system by receiving the second signature, and distributing the second signature to the external system, And a signature distribution management unit for managing the period.

본 발명의 몇몇 실시예에서, 상기 탐지 정보 분석부는 탐지 정보 추출부와, 탐지 적중률 연산부를 포함하고, 상기 탐지 정보 추출부는 상기 제1 탐지 정보로부터 상기 제1 시그니처에 관한 제1 ID를 추출하고, 상기 탐지 적중률 연산부는 상기 제1 ID를 이용하여 탐지 정보 저장부로부터 상기 제1 시그니처에 관한 탐지 빈도 정보를 제공받아 탐지 적중률을 연산할 수 있다. In some embodiments of the present invention, the detection information analyzing unit includes a detection information extracting unit and a detection accuracy ratio calculating unit. The detection information extracting unit extracts a first ID of the first signature from the first detection information, The detection hit rate calculation unit may receive the detection frequency information about the first signature from the detection information storage unit using the first ID and calculate a detection hit rate.

본 발명의 몇몇 실시예에서, 상기 시그니처 생성부는 스크립트 클러스터링부를 포함하고, 상기 스크립트 클러스터링부는 상기 제2 탐지 정보로부터 새롭게 탐지된 제2 스크립트를 추출하고, 상기 제1 시그니처로부터 기 탐지된 제1 스크립트를 추출하고, 상기 제1 및 제2 스크립트를 클러스터링하여 클러스터를 생성할 수 있다. In some embodiments of the present invention, the signature generation unit includes a script clustering unit, the script clustering unit extracts a newly detected second script from the second detection information, and detects a first detected script from the first signature And clustering the first and second scripts to create a cluster.

본 발명의 몇몇 실시예에서, 상기 시그니처 생성부는 결합 시그니처 생성부를 더 포함하고, 상기 결합 시그니처 생성부는 상기 클러스터를 기초로 하여 결합 시그니처를 생성할 수 있다. In some embodiments of the present invention, the signature generator may further include an association signature generator, and the association signature generator may generate a binding signature based on the cluster.

본 발명의 몇몇 실시예에서, 상기 시그니처 생성부는 시그니처 정제부를 더 포함하고, 상기 시그니처 정제부는 상기 결합 시그니처를 정제하여 상기 결합 시그니처의 코드 길이를 감소시킬 수 있다. In some embodiments of the present invention, the signature generator further includes a signature refiner, and the signature refiner may refine the combiner signature to reduce the code length of the combiner signature.

본 발명의 몇몇 실시예에서, 상기 시그니처 생성부는 시그니처 형태 변환부를 더 포함하고, 상기 시그니처 형태 변환부는 코드 길이가 감소된 상기 결합 시그니처를 특정 모듈에서 동작하는 상기 제2 시그니처로 변환할 수 있다. In some embodiments of the present invention, the signature generator may further include a signature type conversion unit, and the signature type conversion unit may convert the combined signature whose code length is reduced to the second signature that operates in a specific module.

본 발명의 몇몇 실시예에서, 상기 시그니처 배포 관리부는 활성 시그니처 조회 모듈과, 시그니처 배포 모듈을 포함하고, 상기 활성 시그니처 조회 모듈은 활성 시그니처 저장부로부터 상기 제2 시그니처를 제공받고, 상기 시그니처 배포 모듈은 시스템 정보 저장부를 조회하여 상기 제2 시그니처에 관한 배포 주기를 결정할 수 있다. In some embodiments of the present invention, the signature distribution management module includes an active signature inquiry module and a signature distribution module, and the active signature inquiry module is provided with the second signature from the active signature store, The system information storage unit can be inquired to determine the distribution cycle for the second signature.

상기 과제를 해결하기 위한 본 발명의 악성 스크립트 시그니처 관리 시스템의 일 실시예는, 제1 또는 제2 시그니처를 이용하여 웹 페이지에 포함된 제1 스크립트를 분석하고, 상기 제1 스크립트에 악성 스크립트가 존재하는지 판단하고, 분석 결과에 따라 상기 제1 스크립트를 처리하는 악성 스크립트 탐지 차단 장치, 및 상기 제1 또는 제2 시그니처를 생성하고 저장하며, 요청에 따라 상기 악성 스크립트 탐지 차단 장치로 상기 제1 또는 제2 시그니처를 제공하는 악성 스크립트 시그니처 관리 장치를 포함하되, 상기 제1 시그니처는 기 탐지된 악성 스크립트의 코드 패턴 정보를 포함하고, 상기 제2 시그니처는 상기 제1 스크립트에 관한 제1 탐지 정보를 기초로 하여 상기 제1 시그니처의 탐지 적중률을 연산하여 생성된다. According to another aspect of the present invention, there is provided a malicious script signature management system for analyzing a first script included in a web page using a first signature or a second signature, A malicious script detection interception device for processing the first script according to an analysis result and generating and storing the first or second signature, and if the first or second signature is detected by the malicious script detection interception device upon request, 2 signature, wherein the first signature includes code pattern information of a maliciously-detected script, and the second signature is based on first detection information about the first script And calculating a detection hit ratio of the first signature.

본 발명의 몇몇 실시예에서, 상기 악성 스크립트 시그니처 관리 장치는 탐지 정보 분석부와, 시그니처 생성부와, 시그니처 배포 관리부를 포함하고, 상기 탐지 정보 분석부는, 상기 제1 탐지 정보를 제공받아 상기 제1 시그니처의 탐지 적중률을 연산하고, 제2 탐지 정보를 생성하고, 상기 시그니처 생성부는, 상기 제2 탐지 정보를 제공받아 상기 제2 시그니처를 생성하고, 상기 시그니처 배포 관리부는, 상기 제2 시그니처를 제공받아 상기 악성 스크립트 탐지 차단 장치로 상기 제2 시그니처를 배포하고, 상기 제2 시그니처에 관한 배포 주기를 관리할 수 있다. In some embodiments of the present invention, the malicious script signature management apparatus includes a detection information analysis unit, a signature generation unit, and a signature distribution management unit, and the detection information analysis unit may receive the first detection information, The signature generation unit generates the second signature by receiving the second detection information, and the signature distribution management unit receives the second signature, calculates the detection probability of the signature, generates the second detection information, Distribute the second signature to the malicious script detection interception device, and manage the distribution period for the second signature.

본 발명의 몇몇 실시예에서, 상기 탐지 정보 분석부는 탐지 정보 추출부와, 탐지 적중률 연산부를 포함하고, 상기 탐지 정보 추출부는, 상기 제1 탐지 정보로부터 상기 제1 시그니처에 관한 제1 ID를 추출하고, 상기 탐지 적중률 연산부는, 상기 제1 ID를 이용하여 탐지 정보 저장부로부터 상기 제1 시그니처에 관한 탐지 빈도 정보를 제공받아 탐지 적중률을 연산할 수 있다. In some embodiments of the present invention, the detection information analyzing unit includes a detection information extracting unit and a detection ratio calculating unit, and the detection information extracting unit extracts a first ID related to the first signature from the first detection information , The detection hit rate calculation unit may receive the detection frequency information on the first signature from the detection information storage unit using the first ID and calculate the detection hit rate.

본 발명의 몇몇 실시예에서, 상기 시그니처 생성부는 스크립트 클러스터링부와, 결합 시그니처 생성부와, 시그니처 정제부와, 시그니처 형태 변환부를 포함하고, 상기 스크립트 클러스터링부는, 악성 코드로 새롭게 탐지된 상기 제1 스크립트와 악성 코드로 기 탐지된 제2 스크립트를 클러스터링하여 클러스터를 생성하고, 상기 결합 시그니처 생성부는, 상기 클러스터를 기초로 하여 결합 시그니처를 생성하고, 상기 시그니처 정제부는, 상기 결합 시그니처를 정제하여 상기 결합 시그니처의 코드 길이를 감소시키고, 상기 시그니처 형태 변환부는, 코드 길이가 감소된 상기 결합 시그니처를 특정 모듈에서 동작하는 상기 제2 시그니처로 변환할 수 있다. In some embodiments of the present invention, the signature generation unit includes a script clustering unit, a combination signature generation unit, a signature refinement unit, and a signature type conversion unit. The script clustering unit combines the first script And a second script detected as a malicious code are clustered to generate a cluster, and the combination signature generation unit generates a combination signature based on the cluster, and the signature refinement unit refines the combination signature, And the signature type conversion unit may convert the combining signatures whose code length is reduced to the second signature operating in a specific module.

본 발명의 몇몇 실시예에서, 상기 시그니처 배포 관리부는 활성 시그니처 조회 모듈과, 시그니처 배포 모듈을 포함하고, 상기 활성 시그니처 조회 모듈은, 활성 시그니처 저장부로부터 상기 제2 시그니처를 제공받고, 상기 시그니처 배포 모듈은, 시스템 정보 저장부를 조회하여 상기 제2 시그니처에 관한 배포 주기를 결정할 수 있다. In some embodiments of the present invention, the signature distribution management module includes an active signature inquiry module and a signature distribution module, wherein the active signature inquiry module is provided with the second signature from the active signature store, Can inquire the system information storage unit to determine the distribution period for the second signature.

상기 과제를 해결하기 위한 본 발명의 악성 스크립트 시그니처 관리 방법의 일 실시예는, 악성 코드에 관한 제1 탐지 정보를 제공받아 기 존재하는 제1 시그니처의 탐지 적중률을 연산하고, 상기 제1 시그니처의 탐지 적중률을 기초로 하여 제2 탐지 정보를 생성하고, 상기 제2 탐지 정보를 제공받아 제2 시그니처를 생성하고, 상기 제2 시그니처를 외부 시스템으로 배포하는 것을 포함하되, 상기 제1 시그니처는 기 탐지된 악성 스크립트의 코드 패턴 정보를 포함하고, 상기 제2 시그니처는 상기 제2 탐지 정보로부터 추출된 새로운 악성 스크립트와 상기 제1 시그니처로부터 추출된 기 탐지된 악성 스크립트를 클러스터링하여 생성된다. According to another aspect of the present invention, there is provided a method for managing malicious script signatures, comprising the steps of: detecting first malicious code detection information, Generating second detection information based on a hit ratio, generating a second signature by receiving the second detection information, and distributing the second signature to an external system, wherein the first signature includes And the second signature is generated by clustering a new malicious script extracted from the second detection information and a previously detected malicious script extracted from the first signature.

본 발명의 몇몇 실시예에서, 상기 제2 시그니처를 생성하는 것은, 상기 클러스터링이 적용된 클러스터를 기초로 하여 결합 시그니처를 생성하고, 상기 결합 시그니처를 정제하여 상기 결합 시그니처의 코드 길이를 감소시키고, 코드 길이가 감소된 상기 결합 시그니처를 특정 모듈에서 동작하는 상기 제2 시그니처로 변환하는 것을 포함할 수 있다. In some embodiments of the present invention, generating the second signature comprises generating a binding signature based on the clustering applied clustering, refining the binding signature to reduce the code length of the binding signature, And converting the combined signature to a second signature operating in a particular module.

본 발명의 몇몇 실시예에서, 상기 제2 시그니처를 배포하는 것은, 상기 제2 시그니처에 관한 배포 주기를 설정하고, 상기 설정된 배포 주기에 따라 배포할 수 있다. In some embodiments of the present invention, distributing the second signature may set a distribution period for the second signature and may be distributed according to the set distribution period.

본 발명의 기타 구체적인 사항들은 상세한 설명 및 도면들에 포함되어 있다.Other specific details of the invention are included in the detailed description and drawings.

본 발명에 따른 악성 스크립트 시그니처 관리 장치, 시스템 및 방법에 의하면, 악성 스크립트에 대한 트래픽 정보 및 소스 정보를 수집하고, 수집된 악성 스크립트를 기반으로 시그니처를 생성, 배포, 관리할 수 있다. According to the malicious script signature management apparatus, system, and method according to the present invention, traffic information and source information on a malicious script can be collected and a signature can be generated, distributed, and managed based on the collected malicious script.

도 1은 본 발명의 일 실시예에 따른 악성 스크립트 시그니처 관리 시스템의 개략적인 블록도이다.
도 2는 도 1의 악성 스크립트 시그니처 관리 장치에 포함된 세부 모듈을 도시한 블록도이다.
도 3은 도 2의 탐지 정보 분석부에 포함된 세부 모듈을 도시한 블록도이다.
도 4는 탐지 정보 분석부에 포함된 탐지 정보 추출부의 동작을 설명하기 위한 흐름도이다.
도 5는 탐지 정보 분석부에 포함된 탐지 적중률 연산부의 동작을 설명하기 위한 흐름도이다.
도 6은 도 2의 시그니처 생성부에 포함된 세부 모듈을 도시한 블록도이다.
도 7은 시그니처 생성부의 동작을 설명하기 위한 흐름도이다.
도 8은 시그니처 생성부에 포함된 스크립트 클러스터링부의 동작을 설명하기 위한 흐름도이다.
도 9는 시그니처 생성부에 포함된 결합 시그니처 생성부의 동작을 설명하기 위한 흐름도이다.
도 10은 시그니처 생성부에 포함된 시그니처 정제부의 동작을 설명하기 위한 흐름도이다.
도 11은 시그니처 생성부에 포함된 시그니처 형태 변환부의 동작을 설명하기 위한 흐름도이다.
도 12는 도 2의 시그니처 배포 관리부에 포함된 세부 모듈을 도시한 블록도이다.
도 13은 본 발명의 일 실시예에 따른 악성 스크립트 시그니처 관리 방법을 순차적으로 나타낸 흐름도이다. 1 is a schematic block diagram of a malicious script signature management system according to an embodiment of the present invention.
2 is a block diagram illustrating a detailed module included in the malicious script signature management apparatus of FIG.
3 is a block diagram illustrating a detailed module included in the detection information analysis unit of FIG.
4 is a flowchart for explaining the operation of the detection information extracting unit included in the detection information analyzing unit.
5 is a flowchart for explaining the operation of the detection hit ratio calculation unit included in the detection information analysis unit.
FIG. 6 is a block diagram illustrating the detail module included in the signature generation unit of FIG. 2. FIG.
7 is a flowchart for explaining the operation of the signature generation unit.
8 is a flowchart for explaining the operation of the script clustering unit included in the signature generation unit.
9 is a flowchart for explaining the operation of the combined signature generation unit included in the signature generation unit.
10 is a flowchart for explaining the operation of the signature refiner included in the signature generator;
11 is a flowchart for explaining the operation of the signature type conversion unit included in the signature generation unit.
FIG. 12 is a block diagram showing a detailed module included in the signature distribution management unit of FIG. 2. FIG.
13 is a flowchart sequentially illustrating a malicious script signature management method according to an embodiment of the present invention.

본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 것이며, 단지 본 실시예들은 본 발명의 개시가 완전하도록 하며, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다. 명세서 전체에 걸쳐 동일 참조 부호는 동일 구성 요소를 지칭한다.BRIEF DESCRIPTION OF THE DRAWINGS The advantages and features of the present invention, and the manner of achieving them, will be apparent from and elucidated with reference to the embodiments described hereinafter in conjunction with the accompanying drawings. The present invention may, however, be embodied in many different forms and should not be construed as being limited to the embodiments set forth herein. Rather, these embodiments are provided so that this disclosure will be thorough and complete, and will fully convey the scope of the invention to those skilled in the art. Is provided to fully convey the scope of the invention to those skilled in the art, and the invention is only defined by the scope of the claims. Like reference numerals refer to like elements throughout the specification.

각 블록은 특정된 논리적 기능(들)을 실행하기 위한 하나 이상의 실행 가능한 인스트럭션들을 포함하는 모듈, 세그먼트 또는 코드의 일부를 나타낼 수 있다. 또한, 몇 가지 대체 실행 예들에서는 블록들에서 언급된 기능들이 순서를 벗어나서 발생하는 것도 가능함을 주목해야 한다. 예컨대 잇달아 도시되어 있는 두 개의 블록들은 사실 실질적으로 동시에 수행되는 것도 가능하고 또는 그 블록들이 때때로 해당하는 기능에 따라 역순으로 수행되는 것도 가능하다.Each block may represent a portion of a module, segment, or code that includes one or more executable instructions for executing the specified logical function (s). It should also be noted that in some alternative implementations the functions mentioned in the blocks may occur out of order. For example, two blocks that are shown one after the other may actually be executed substantially concurrently, or the blocks may sometimes be performed in reverse order according to the corresponding function.

비록 제1, 제2 등이 다양한 소자, 구성요소 및/또는 섹션들을 서술하기 위해서 사용되나, 이들 소자, 구성요소 및/또는 섹션들은 이들 용어에 의해 제한되지 않음은 물론이다. 이들 용어들은 단지 하나의 소자, 구성요소 또는 섹션들을 다른 소자, 구성요소 또는 섹션들과 구별하기 위하여 사용하는 것이다. 따라서, 이하에서 언급되는 제1 소자, 제1 구성요소 또는 제1 섹션은 본 발명의 기술적 사상 내에서 제2 소자, 제2 구성요소 또는 제2 섹션일 수도 있음은 물론이다.Although the first, second, etc. are used to describe various elements, components and / or sections, it is needless to say that these elements, components and / or sections are not limited by these terms. These terms are only used to distinguish one element, element or section from another element, element or section. Therefore, it goes without saying that the first element, the first element or the first section mentioned below may be the second element, the second element or the second section within the technical spirit of the present invention.

본 명세서에서 사용된 용어는 실시예들을 설명하기 위한 것이며 본 발명을 제한하고자 하는 것은 아니다. 본 명세서에서, 단수형은 문구에서 특별히 언급하지 않는 한 복수형도 포함한다. 명세서에서 사용되는 "포함한다(comprises)" 및/또는 "포함하는(comprising)"은 언급된 구성요소, 단계, 동작 및/또는 소자는 하나 이상의 다른 구성요소, 단계, 동작 및/또는 소자의 존재 또는 추가를 배제하지 않는다.The terminology used herein is for the purpose of illustrating embodiments and is not intended to be limiting of the present invention. In the present specification, the singular form includes plural forms unless otherwise specified in the specification. It is noted that the terms "comprises" and / or "comprising" used in the specification are intended to be inclusive in a manner similar to the components, steps, operations, and / Or additions.

다른 정의가 없다면, 본 명세서에서 사용되는 모든 용어(기술 및 과학적 용어를 포함)는 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 공통적으로 이해될 수 있는 의미로 사용될 수 있을 것이다. 또 일반적으로 사용되는 사전에 정의되어 있는 용어들은 명백하게 특별히 정의되어 있지 않는 한 이상적으로 또는 과도하게 해석되지 않는다.Unless defined otherwise, all terms (including technical and scientific terms) used herein may be used in a sense commonly understood by one of ordinary skill in the art to which this invention belongs. Also, commonly used predefined terms are not ideally or excessively interpreted unless explicitly defined otherwise.

도 1은 본 발명의 일 실시예에 따른 악성 스크립트 시그니처 관리 시스템의 개략적인 블록도이다. 도 2는 도 1의 악성 스크립트 시그니처 관리 장치에 포함된 세부 모듈을 도시한 블록도이다. 도 3은 도 2의 탐지 정보 분석부에 포함된 세부 모듈을 도시한 블록도이다. 도 4는 탐지 정보 분석부에 포함된 탐지 정보 추출부의 동작을 설명하기 위한 흐름도이다. 도 5는 탐지 정보 분석부에 포함된 탐지 적중률 연산부의 동작을 설명하기 위한 흐름도이다. 도 6은 도 2의 시그니처 생성부에 포함된 세부 모듈을 도시한 블록도이다. 도 7은 시그니처 생성부의 동작을 설명하기 위한 흐름도이다. 도 8은 시그니처 생성부에 포함된 스크립트 클러스터링부의 동작을 설명하기 위한 흐름도이다. 도 9는 시그니처 생성부에 포함된 결합 시그니처 생성부의 동작을 설명하기 위한 흐름도이다. 도 10은 시그니처 생성부에 포함된 시그니처 정제부의 동작을 설명하기 위한 흐름도이다. 도 11은 시그니처 생성부에 포함된 시그니처 형태 변환부의 동작을 설명하기 위한 흐름도이다. 도 12는 도 2의 시그니처 배포 관리부에 포함된 세부 모듈을 도시한 블록도이다.1 is a schematic block diagram of a malicious script signature management system according to an embodiment of the present invention. 2 is a block diagram illustrating a detailed module included in the malicious script signature management apparatus of FIG. 3 is a block diagram illustrating a detailed module included in the detection information analysis unit of FIG. 4 is a flowchart for explaining the operation of the detection information extracting unit included in the detection information analyzing unit. 5 is a flowchart for explaining the operation of the detection hit ratio calculation unit included in the detection information analysis unit. FIG. 6 is a block diagram illustrating the detail module included in the signature generation unit of FIG. 2. FIG. 7 is a flowchart for explaining the operation of the signature generation unit. 8 is a flowchart for explaining the operation of the script clustering unit included in the signature generation unit. 9 is a flowchart for explaining the operation of the combined signature generation unit included in the signature generation unit. 10 is a flowchart for explaining the operation of the signature refiner included in the signature generator; 11 is a flowchart for explaining the operation of the signature type conversion unit included in the signature generation unit. FIG. 12 is a block diagram showing a detailed module included in the signature distribution management unit of FIG. 2. FIG.

이하에서는, 본 발명에 따른 악성 스크립트 시그니처 관리 시스템에 대하여 설명한다. 설명에 앞서, 이하의 명세서 내에서 사용되는 용어를 다음과 같이 정의한다. 시그니처(signature)는 스크립트 분석 엔진에서 악성 스크립트 탐지를 위해 사용되는 패턴 정보로서, 기존에 탐지된 악성 스크립트에 관한 패턴 정보를 가진 객체로 정의한다. 토큰이란 특정한 의미를 갖는 언어 요소로 정의한다. 결합 시그니처는 결합 대상이 되는 스크립트 간의 공통된 토큰을 추출하고 이를 결합하여 생성된 시그니처로 정의한다. YARA 시그니처는 YARA 모듈에서 멀웨어 탐지에 사용되는 툴로서 YARA 모듈의 탐지 규칙을 포함하는 시그니처이다. IDS 시그니처는 IDS(Intrusion Detection System)에서 사용되는 툴로서 IDS의 탐지 규칙을 포함하는 시그니처이다. 콜 트래이스(Call Trace)는 탐지 동작 실행 중에 호출되는 API의 Call 흐름 정보를 정규화하고, PageRank를 추가하여 생성한 시그니처이다. TF-IDF(Term Frequency-Inverse Document Frequency)는 문서 내에서 특정 단어의 중요성을 판단하기 위해, 특정 단어가 문서 내에서 출현하는 빈도수를 이용하여 수치화하는 방법이다. 활성 시그니처는 외부 시스템으로 배포할 대상이 되는 시그니처이다. 비활성 시그니처는 외부 시스템으로 배포되지 않는 시그니처이다. Hereinafter, a malicious script signature management system according to the present invention will be described. Prior to the description, terms used in the following description are defined as follows. A signature is a pattern information used for detecting a malicious script in a script analysis engine, and is defined as an object having pattern information about a malicious script that has been detected. A token is defined as a language element with a specific meaning. The binding signature extracts a common token between the script to be combined and defines it as a generated signature by combining them. The YARA signature is a tool used for malware detection in the YARA module, which is a signature that contains the detection rules of the YARA module. The IDS signature is a tool used in the IDS (Intrusion Detection System), which is a signature that includes detection rules of the IDS. Call Trace is a signature created by normalizing the call flow information of the API that is called during the detection operation and adding PageRank. The TF-IDF (Term Frequency-Inverse Document Frequency) is a method of quantifying the frequency of occurrence of a specific word in a document in order to determine the importance of a specific word in the document. The active signature is the signature to be distributed to the external system. Inactive signatures are signatures that are not distributed to external systems.

도 1을 참조하면, 본 발명의 일 실시예에 따른 악성 스크립트 시그니처 관리 시스템(1)은, 악성 스크립트 탐지 차단 장치(100), 악성 스크립트 시그니처 관리 장치(200)를 포함한다. Referring to FIG. 1, a malicious script signature management system 1 according to an embodiment of the present invention includes a malicious script detection blocking apparatus 100 and a malicious script signature management apparatus 200.

악성 스크립트 시그니처 관리 시스템(1)은 악성 스크립트 탐지 차단 장치(100)에서 탐지한 악성 스크립트 정보와 기존의 시그니처 탐지 정보를 이용하여, 기존 시그니처로 탐지할 수 없는 새로운 악성 스크립트에 적합한 새로운 시그니처를 생성하고, 기존 시그니처에 대해 탐지 적중률이 높은 시그니처를 외부 시스템으로 배포하는 동작을 수행한다. 이러한 악성 스크립트 시그니처 관리 시스템(1)은 특정 네트워크에 종속되지 않고, 탐지 정보를 제공받아 악성 스크립트와 시그니처를 관리하고 주기적으로 외부 시스템으로 시그니처를 제공하도록 동작한다. The malicious script signature management system 1 generates a new signature suitable for a new malicious script which can not be detected as an existing signature by using the existing malicious script information and the existing signature detection information detected by the malicious script detection interception apparatus 100 , And distributes a signature having a high detection hit ratio to an external system for an existing signature. The malicious script signature management system 1 is not dependent on a specific network but operates to manage malicious scripts and signatures by receiving detection information and periodically provide signatures to external systems.

악성 스크립트 탐지 차단 장치(100)는 악성 스크립트를 탐지하는 역할을 한다. 악성 스크립트 탐지 차단 장치(100)는 악성 스크립트 시그니처 관리 장치(200)로부터 시그니처를 제공받아 악성 스크립트를 탐지하는 동작을 수행하며, 악성 스크립트를 탐지한 결과는 다시 악성 스크립트 시그니처 관리 장치(200)로 제공되어 추후에 생성되는 시그니처에 반영된다. 추후에 생성되는 시그니처를 이용하여, 변형되거나 다형화 된 악성 스크립트에 대해 탐지 동작을 수행할 수 있다. The malicious script detection interception device 100 serves to detect a malicious script. The malicious script detection blocking device 100 performs an operation of receiving a signature from the malicious script signature management device 200 to detect a malicious script. The result of detecting the malicious script is provided again to the malicious script signature management device 200 And is reflected in the signatures generated later. A detection operation can be performed on the malicious script which has been deformed or polymorphized by using the signature generated later.

악성 스크립트 시그니처 관리 시스템(1)은 시그니처 생성 기능, 탐지 정보 수집/분석 기능, 시그니처 배포 기능을 수행한다. 시그니처를 생성하는 것은, 외부 시스템에서 새롭게 탐지한 악성 스크립트를 기존에 탐지한 악성 스크립트에 오버랩하여 클러스터링(clustering)하고, 클러스터링된 클러스터(cluster)를 기준으로 결합 시그니처를 생성하고, 결합 시그니처의 코드 길이를 감소시키고, 코드 길이가 감소된 결합 시그니처를 YARA 시그니처 또는 IDS 시그니처 형태로 변환하는 것이다. 생성된 YARA 시그니처와 IDS 시그니처는 시그니처 저장부에 저장된다. 관리자에 의해 수동 입력된 악성 스크립트에 대해서는 콜 트래이스를 생성하여 시그니처 저장부에 저장한다.The malicious script signature management system 1 performs a signature generation function, a detection information collection / analysis function, and a signature distribution function. The signature is created by overlapping and clustering malicious script newly detected by an external system with malicious script that has been detected previously, generating a combined signature based on a clustered cluster, And to convert the combined signature with reduced code length into a YARA signature or an IDS signature. The generated YARA signature and IDS signature are stored in the signature store. For malicious scripts manually entered by the administrator, a call trace is generated and stored in the signature storage.

탐지 정보를 수집/분석하는 것은, 외부 시스템에서 제공된 탐지 정보를 수집/분석하여 기 등록된 외부 시스템으로부터 제공된 정보가 맞는지 인증하고, 인증된 경우에만 탐지 정보를 분류하여 악성 스크립트 시그니처 관리 장치(200)를 호출할 API를 선택한다. 그리고, 기존의 시그니처를 이용하여 탐지한 경우에는, 탐지 정보를 이용하여 해당 시그니처의 탐지 적중률을 연산한다. The collection / analysis of the detection information is performed by collecting / analyzing the detection information provided by the external system, authenticating whether the information provided from the external system registered is correct, classifying the detection information only when the information is authenticated, Select the API to call. When detecting using the existing signature, the detection hit ratio of the signature is calculated using the detection information.

시그니처를 배포하는 것은, 외부 시스템으로 활성 시그니처를 기 설정된 배포 주기에 따라 배포한다. 시그니처 배포 방식은 일괄 배포, 변동된 시그니처만 배포하는 변동 배포, 특정 악성 스크립트의 갑작스러운 증가에 따른 긴급 배포가 있다. Deploying signatures distributes the active signatures to an external system according to a predefined distribution cycle. Signature deployments include batch deployments, floating deployments where only variant signatures are deployed, and emergency deployments due to a sudden increase in certain malicious scripts.

도 2 내지 도 12를 참조하여, 악성 스크립트 시그니처 관리 장치(200)의 세부 모듈에 대해 구체적으로 설명하기로 한다. The detailed module of the malicious script signature management apparatus 200 will be described in detail with reference to FIG. 2 to FIG.

악성 스크립트 시그니처 관리 장치(200)는 탐지 정보 분석부(210), 시그니처 생성부(220), 시그니처 배포 관리부(230)를 포함한다. The malicious script signature management apparatus 200 includes a detection information analysis unit 210, a signature generation unit 220, and a signature distribution management unit 230.

탐지 정보 분석부(210)는 악성 코드에 관한 제1 탐지 정보(DI1)를 제공받아 기 존재하는 제1 시그니처(SN1)의 탐지 적중률을 연산하고, 제2 탐지 정보(DI2)를 생성한다. 여기에서, 제1 탐지 정보(DI1)는 악성 스크립트 탐지 차단 장치(100)로부터 악성 스크립트 코드를 탐지한 결과에 따라 제공되는 정보를 의미한다. 즉, 제1 탐지 정보(DI1)는 예를 들어, 악성 스크립트 정보, 악성 행위 정보, 시그니처 ID 정보, 난독화 정보, 유포지 IP 정보, 유포지 Port 정보, 유포지의 네트워크 프로토콜 정보, 탐지 시간 정보 등을 포함할 수 있다(이하 동일). The detection information analysis unit 210 receives the first detection information DI1 related to the malicious code and calculates the detection hit ratio of the first signature SN1 that exists and generates the second detection information DI2. Here, the first detection information DI1 means information provided according to the result of detecting malicious script code from the malicious script detection interception apparatus 100. [ That is, the first detection information DI1 includes, for example, malicious script information, malicious action information, signature ID information, obfuscation information, MPO IP information, MPO Port information, network protocol information of the MPO, (Hereinafter the same).

또한, 제1 시그니처(SN1)는 기 탐지된 악성 스크립트의 코드 패턴 정보를 포함하는 시그니처로서, 정적 분석 시에 비교 대상이 되는 코드 패턴을 의미한다(이하 동일).Also, the first signature SN1 is a signature including code pattern information of a maliciously-detected script and means a code pattern to be compared at the time of static analysis (the same applies hereinafter).

또한, 제2 탐지 정보(DI2)는 악성 스크립트 정보, 악성 행위 정보, 시그니처 ID 정보, 난독화 정보, 유포지 IP 정보, 유포지 Port 정보, 유포지의 네트워크 프로토콜 정보, 탐지 시간 정보, 탐지 적중률 연산 정보 등을 포함할 수 있다(이하 동일).The second detection information DI2 includes malicious script information, malicious behavior information, signature ID information, obfuscation information, spreader IP information, spread port information, network protocol information of the spreader, detection time information, (Hereinafter the same).

탐지 정보 분석부(210)는 탐지 정보 추출부(211), 탐지 적중률 연산부(212), 탐지 정보 저장부(213)를 포함할 수 있다. The detection information analysis unit 210 may include a detection information extraction unit 211, a detection hit ratio calculation unit 212, and a detection information storage unit 213.

탐지 정보 추출부(211)는 제1 탐지 정보(DI1)로부터 제1 시그니처(SN1)에 관한 제1 ID(ID1)를 추출하고, 제1 ID(ID1)를 탐지 적중률 연산부(212)로 제공한다. The detection information extraction unit 211 extracts the first ID ID1 of the first signature SN1 from the first detection information DI1 and provides the first ID ID1 to the detection hit ratio calculation unit 212 .

구체적으로, 도 4를 참조하면, 탐지 정보 추출부(211)는 입력 유형에 따라 동작이 달라지며, 입력 데이터가 이벤트 정보(EI)인 경우에 관리 장치 API를 통하여 시그니처 생성부(220)에 해당 이벤트를 기록하고 종료한다. 그리고, 탐지 정보 추출부(211)는 입력 데이터가 제1 탐지 정보(DI1)인 경우에 탐지 적중률 연산부(212)를 호출하고, 관리 장치 API를 통하여 시그니처 생성부(220)에 제2 탐지 정보(DI2)를 기록하고 종료한다.4, when the input data is event information (EI), the detection information extracting unit 211 determines whether the input data corresponds to the event information EI Record the event and exit. The detection information extraction unit 211 calls the detection hit ratio calculation unit 212 when the input data is the first detection information DI1 and the second detection information RTI ID = 0.0 > DI2 < / RTI >

탐지 적중률 연산부(212)는 제1 ID(ID1)를 이용하여 탐지 정보 저장부(213)로부터 제1 시그니처(SN1)에 관한 탐지 빈도 정보(DFI)를 제공받고, 탐지 빈도 정보(DFI)를 이용하여 제1 시그니처(SN1)의 탐지 적중률을 연산한다. The detection hit ratio calculation unit 212 receives the detection frequency information DFI related to the first signature SN1 from the detection information storage unit 213 using the first ID ID1 and uses the detection frequency information DFI And calculates a detection hit ratio of the first signature SN1.

구체적으로, 도 5를 참조하면, 탐지 적중률 연산부(212)는 제1 시그니처(SN1)에 관한 제1 ID(ID1)를 입력받고, 제1 ID(ID1)를 이용하여 탐지 정보 저장부(213)에 기존 탐지 적중률 정보를 조회한다. 그리고, 제1 ID(ID1)를 이용하여 연산하고자 하는 기간의 탐지 빈도 정보(DFI)을 조회한다. 조회한 탐지 빈도 정보(DFI)를 이용하여 (최근 빈도수 / (최근 빈도수 + 과거 빈도수))*10 의 수학식에 따라 탐지 적중률을 연산한다. 예를 들어, 최근 기간을 1주일로, 과거 기간을 3개월로 설정할 수 있다. 연산된 탐지 적중률은 시스템 정보 저장부(DB2)에 저장된다. 5, the detection hit ratio calculation unit 212 receives a first ID (ID1) related to the first signature SN1 and receives the first ID (ID1) from the detection information storage unit 213 using the first ID (ID1) The existing detection hit ratio information is inquired. Then, the detection frequency information DFI of the period to be calculated is inquired using the first ID (ID1). The detection hit ratio is calculated according to the mathematical expression of (latest frequency / (latest frequency + past frequency)) * 10 using the detected detection frequency information (DFI). For example, the recent period can be set to one week, and the past period can be set to three months. The computed detection hit ratio is stored in the system information storage unit DB2.

시그니처 생성부(220)는 제2 탐지 정보(DI2)를 제공받아 제2 시그니처(SN2)를 생성한다. The signature generator 220 receives the second detection information DI2 and generates a second signature SN2.

시그니처 생성부(220)는 스크립트 클러스터링부(221), 결합 시그니처 생성부(222), 시그니처 정제부(223), 시그니처 형태 변환부(224)를 포함할 수 있다. The signature generating unit 220 may include a script clustering unit 221, a combining signature generating unit 222, a signature refining unit 223, and a signature type converting unit 224. [

구체적으로, 도 7을 참조하면, 시그니처 생성부(220)는 입력 데이터의 종류에 따라 동작이 달라진다. 입력 데이터가 관리자가 입력한 악성 스크립트 정보인 경우에, 콜 트래이스 모듈에서 콜 트래이스(call trace)를 생성한다. 그리고, 입력 데이터가 제2 탐지 정보(DI2)로부터 추출된 새롭게 탐지된 제2 스크립트(SC2)인 경우에, 스크립트 클러스터링, 결합 시그니처 생성, 시그니처 정제, 시그니처 형태 변환을 거쳐 YARA 시그니처, IDS 시그니처를 생성한다. Specifically, referring to FIG. 7, the operation of the signature generation unit 220 varies according to the type of input data. If the input data is the malicious script information entered by the administrator, call trace is generated in the call trace module. Then, when the input data is the newly detected second script SC2 extracted from the second detection information DI2, generation of a YARA signature and an IDS signature are performed through script clustering, combining signature generation, signature refinement and signature type conversion. do.

이하에서, 시그니처 생성부(220)의 세부 모듈의 구체적인 동작에 대해 설명한다. Hereinafter, a specific operation of the detailed module of the signature generation unit 220 will be described.

스크립트 클러스터링부(221)는 제2 탐지 정보(DI2)를 제공받고, 제2 탐지 정보(DI2)로부터 새롭게 탐지된 제2 스크립트(SC2)를 추출하고, 제1 시그니처(SN1)로부터 기 탐지된 제1 스크립트(SC1)를 추출하고, 제1 스크립트(SC1)와 제2 스크립트(SC2)를 클러스터링 하여 클러스터(C)를 생성한다. The script clustering unit 221 receives the second detection information DI2 and extracts a second detected script SC2 from the second detection information DI2 and detects the second detected script DI2 from the first signature SN1 One script (SC1) is extracted, and the first script (SC1) and the second script (SC2) are clustered to generate the cluster (C).

구체적으로, 도 8을 참조하면, 스크립트 클러스터링부(221)는 제2 탐지 정보(DI2)를 제공받고, 새롭게 탐지된 제2 스크립트(SC2)를 추출한다. 그리고, 제2 스크립트(SC2)에 대해 악성 행위와 난독화 여부로 분류하고, 제2 스크립트(SC2) 중에서 실질적으로 악성 행위를 하는 부분을 추출한다. 그리고, 추출한 부분의 주석을 제거하고, IP와 같이 내용은 다르지만 형태가 같은 요소들을 특정 값으로 대체한다. 추출한 부분을 기준으로 토큰들을 추출한다. 추출된 토큰 중에서 일반적인 토큰(예를 들어, function), 3글자 이하의 토큰을 제거한다. 남은 토큰들의 TF-IDF 값을 연산하고, 해당 값을 벡터화한다. 이 때, 오픈 소스인 Lucene을 이용할 수 있다. 생성된 벡터의 길이가 1이 되도록 정규화한다. 그리고, 악성 행위와 난독화 여부로 분류한 항목에 클러스터가 존재하는지 확인한다. 클러스터가 없으면 새롭게 클러스터를 형성한다. 클러스터가 있을 경우에, 클러스터의 각 스크립트에 대해서 TF-IDF 벡터를 이용한 거리에 네트워크 정보를 반영한 변형 거리를 연산하여 가장 가까운 기존 스크립트를 탐색한다. 가장 가까운 기존 스크립트가 포함된 클러스터와 새로운 스크립트 간의 거리가 설정값 이하인 경우에, 해당 클러스터에 새로운 스크립트를 병합시킨다. 만약에, 설정값을 초과하는 경우에는 새로운 클러스터를 생성한다. Specifically, referring to FIG. 8, the script clustering unit 221 receives the second detection information DI2 and extracts a newly detected second script SC2. Then, the second script SC2 is classified as malicious and obfuscated, and the portion of the second script SC2 that actually acts as malicious is extracted. Then, remove the annotations of the extracted parts, and substitute specific values for elements having the same contents but different contents, such as IP. Extract the tokens based on the extracted part. Removes a normal token (for example, a function) and a token of three or fewer characters from the extracted tokens. Computes the TF-IDF value of the remaining tokens, and vectorizes the value. You can use Lucene, which is open source. And the length of the generated vector is normalized to be 1. Then, it is confirmed whether or not the cluster exists in the item classified as malicious behavior and obfuscation. If there is no cluster, a new cluster is formed. In the case of a cluster, the transformation distance reflecting the network information is calculated for each script of the cluster using the TF-IDF vector to search for the closest existing script. When the distance between the cluster containing the closest existing script and the new script is less than the set value, the new script is merged into the cluster. If the set value is exceeded, a new cluster is created.

결합 시그니처 생성부(222)는 클러스터(C)를 기초로 하여 결합 시그니처(US)를 생성한다.The combining signature generation unit 222 generates a combining signature US based on the cluster C. [

구체적으로, 도 9를 참조하면, 결합 시그니처 생성부(222)는 클러스터링 정보를 입력 데이터로 제공받는다. 이 때, 클러스터링 정보는 클러스터링 번호, 해당 클러스터링 CF(스크립트 수, Linear Sum, Square Sum) 등을 포함할 수 있다. 결합 시그니처 생성부(222)는 클러스터링 번호를 기초로 하여 동일 클러스터 내의 악성 스크립트를 조회한다. 새로운 스크립트가 추가된 클러스터의 모든 스크립트들 간의 공통된 토큰을 추출한다. 이렇게 추출된 공통된 토큰의 결합이 결합 시그니처(US)이다. 스크립트 클러스터링에서 치환한 동일 형태 토큰을 형태를 나타낼 수 있는 정규식으로 바꾼다. 결합 시그니처 생성부(222)는 입력받은 클러스터링 정보와 결합 시그니처(US)를 출력한다. Specifically, referring to FIG. 9, the combining signature generation unit 222 receives clustering information as input data. In this case, the clustering information may include a clustering number, a corresponding clustering CF (number of scripts, a linear sum, a square sum), and the like. The binding signature generation unit 222 queries the malicious script in the same cluster based on the clustering number. Extract a common token between all scripts in the cluster to which the new script has been added. The combination of the extracted common tokens is the binding signature (US). In script clustering, replace the same-form token that you replace with a regular expression that can represent a type. The combining signature generating unit 222 outputs the input clustering information and the combining signature US.

시그니처 정제부(223)는 결합 시그니처(US)를 정제하여 결합 시그니처(US)의 코드 길이를 감소시킨다.The signature refinement section 223 refines the binding signature US to reduce the cord length of the binding signature US.

구체적으로, 도 10을 참조하면, 시그니처 정제부(223)는 클러스터링 정보와 결합 시그니처(US)를 입력 데이터로 제공받는다. 그리고, 내용적으로 다른 토큰에 포함되는 중복 토큰을 제거한다. 그리고, 후속 과정에서 삭제되어서는 안되는 핵심 토큰에 대해 선처리 한다. 그리고, TF-IDF를 이용한 정제가 설정되었는지 확인 후, 설정되어 있으면 해당 시그니처의 가장 큰 TF-IDF 값의 10% 미만 TF-IDF 값을 갖는 토큰을 삭제하는 정제를 수행한다. 그리고, JACCARD 유사도를 이용한 정제가 설정되었는지 확인 후, 설정되어 있으면 해당 시그니처가 기존 시그니처들과 JACCARD 유사도가 0.9 이상일 때, 두 시그니처의 중복되는 부분을 이용하여 하나의 시그니처로 만들고, 나머지 두 시그니처를 삭제하는 정제를 수행한다. 시그니처 정제부(223)는 입력받은 클러스터링 정보와 정제를 수행한 결합 시그니처(US)를 출력한다. Specifically, referring to FIG. 10, the signature refinement unit 223 receives clustering information and a combination signature US as input data. Then, remove duplicate tokens contained in other tokens. It preprocesses the core token that should not be deleted in the subsequent process. After confirming that the tablets using the TF-IDF are set, the tablets having the TF-IDF value less than 10% of the largest TF-IDF value of the corresponding signature are refined. If the signature is set to be greater than 0.9 and the JACCARD similarity to the existing signatures is greater than 0.9, a duplicate part of the two signatures is used to make one signature, and the remaining two signatures are deleted. Lt; / RTI > The signature refinement unit 223 outputs the input clustering information and the combination signature US that performed the refinement.

시그니처 형태 변환부(224)는 정제된 결합 시그니처(US)를 특정 모듈(예를 들어, YARA, IDS)에서 동작하는 제2 시그니처(SN2)로 변환한다. The signature type conversion unit 224 converts the refined join signature US into a second signature SN2 that operates in a specific module (e.g., YARA, IDS).

구체적으로, 도 11을 참조하면, 시그니처 형태 변환부(224)는 클러스터링 정보와 정제를 수행한 결합 시그니처(US)를 입력 데이터로 제공받는다. 그리고, 결합 시그니처(US)를 YARA 시그니처로 생성한다. YARA 시그니처에 META 옵션으로 메타 정보인 네트워크 정보를 추가한다. YARA 시그니처를 IDS 시그니처로 변환한다. 시그니처 형태 변환부(224)는 입력받은 클러스터링 정보 및 결합 시그니처(US)와 함께, YARA 시그니처, IDS 시그니처를 출력한다.Specifically, referring to FIG. 11, the signature type conversion unit 224 receives the clustering information and the combination signature US performed as the input data. Then, the binding signature (US) is generated with the YARA signature. Add network information that is meta information to the YARA signature with the META option. Converts YARA signatures to IDS signatures. The signature type conversion unit 224 outputs a YARA signature and an IDS signature together with the received clustering information and the combination signature US.

시그니처 배포 관리부(230)는 제2 시그니처(SN2)를 제공받아 악성 스크립트 탐지 차단 장치(100)로 제2 시그니처(SN2)를 배포하고, 제2 시그니처(SN2)를 악성 스크립트 탐지 차단 장치(100)로 배포하는 주기를 관리한다. The signature distribution management unit 230 receives the second signature SN2 and distributes the second signature SN2 to the malicious script detection blocking apparatus 100 and transmits the second signature SN2 to the malicious script detection blocking apparatus 100. [ As shown in FIG.

시그니처 배포 관리부(230)는 활성 시그니처 조회 모듈(231), 시그니처 배포 모듈(232)을 포함할 수 있다. The signature distribution management unit 230 may include an active signature inquiry module 231 and a signature distribution module 232. [

구체적으로, 도 12를 참조하면, 활성 시그니처 조회 모듈(231)은 활성 시그니처 저장부(DB1)로부터 제2 시그니처(SN2)를 제공받아 시그니처 배포 모듈(232)로 제2 시그니처(SN2)를 제공한다. 이 때, 활성 시그니처 조회 모듈(231)은 시그니처 API를 통하여 입력받은 LUV를 이용하여, 활성 시그니처 저장부(DB1)로부터 해당되는 활성 시그니처를 조회한다. LUV가 0일 경우, 모든 활성 시그니처를 조회하고, LUV가 n일 경우, LUV가 (n+1) 이상인 모든 활성 시그니처를 조회한다. 12, the active signature inquiry module 231 receives the second signature SN2 from the active signature storage DB1 and provides the second signature SN2 to the signature deployment module 232 . At this time, the active signature inquiry module 231 inquires the corresponding active signature from the active signature storage DB1 using the LUV inputted through the signature API. When LUV is 0, all active signatures are inquired, and when LUV is n, all active signatures whose LUV is (n + 1) or more are inquired.

활성 시그니처 조회 모듈(231)은 조회한 활성 시그니처를 ZIP으로 압축하여, 시그니처 배포 모듈(232)로 제공한다. The active signature inquiry module 231 compresses the inquired active signature into a ZIP and provides it to the signature distribution module 232.

시그니처 배포 모듈(232)은 시스템 정보 저장부(DB2)를 조회하여 제2 시그니처(SN2)에 관한 배포 주기(DP)를 결정하고, 배포 주기(DP)에 따라 악성 스크립트 탐지 차단 장치(100)로 제2 시그니처(SN2)를 배포한다. The signature distribution module 232 inquires the system information storage unit DB2 to determine the distribution period DP related to the second signature SN2 and transmits the distribution period DP to the malicious script detection / And distributes the second signature SN2.

이하에서는, 본 발명의 일 실시예에 따른 악성 스크립트 시그니처 관리 방법에 대하여 설명하기로 한다.Hereinafter, a malicious script signature management method according to an embodiment of the present invention will be described.

도 13은 본 발명의 일 실시예에 따른 악성 스크립트 시그니처 관리 방법을 순차적으로 나타낸 흐름도이다. 13 is a flowchart sequentially illustrating a malicious script signature management method according to an embodiment of the present invention.

도 13을 참조하면, 본 발명의 일 실시예에 따른 악성 스크립트 시그니처 관리 방법은, 우선, 악성 코드에 관한 제1 탐지 정보(DI1)를 제공받아 기 존재하는 제1 시그니처(SN1)의 탐지 적중률을 연산한다(S100).Referring to FIG. 13, a malicious script signature management method according to an embodiment of the present invention includes: receiving first detection information DI1 regarding a malicious code and detecting a detection hit rate of an existing first signature SN1 (S100).

제1 시그니처(SN1)에 관한 제1 ID(ID1)를 입력받고, 제1 ID(ID1)를 이용하여 탐지 정보 저장부(213)에 기존 탐지 적중률 정보를 조회한다. 그리고, 제1 ID(ID1)를 이용하여 연산하고자 하는 기간의 탐지 빈도 정보(DFI)을 조회한다. 조회한 탐지 빈도 정보(DFI)를 이용하여 (최근 빈도수 / (최근 빈도수 + 과거 빈도수))*10 의 수학식에 따라 탐지 적중률을 연산한다.Receives the first ID (ID1) related to the first signature SN1 and inquires the existing detection hit ratio information in the detection information storage unit 213 using the first ID (ID1). Then, the detection frequency information DFI of the period to be calculated is inquired using the first ID (ID1). The detection hit ratio is calculated according to the mathematical expression of (latest frequency / (latest frequency + past frequency)) * 10 using the detected detection frequency information (DFI).

이어서, 제1 시그니처(SN1)의 탐지 적중률을 기초로 하여 제2 탐지 정보(DI2)를 생성한다(S110).Subsequently, the second detection information DI2 is generated based on the detection hit ratio of the first signature SN1 (S110).

제2 탐지 정보(DI2)는 악성 스크립트 정보, 악성 행위 정보, 시그니처 ID 정보, 난독화 정보, 유포지 IP 정보, 유포지 Port 정보, 유포지의 네트워크 프로토콜 정보, 탐지 시간 정보, 탐지 적중률 연산 정보 등을 포함할 수 있다.The second detection information DI2 includes malicious script information, malicious action information, signature ID information, obfuscation information, spoof IP information, spread port information, network protocol information of the spoof, detection time information, detection hit ratio calculation information, .

이어서, 제2 탐지 정보(DI2)를 제공받아 제2 시그니처(SN2)를 생성한다(S120).Then, the second signature SN2 is generated by receiving the second detection information DI2 (S120).

시그니처 생성부(220)의 입력 데이터가 제2 탐지 정보(DI2)로부터 추출된 새롭게 탐지된 제2 스크립트(SC2)인 경우에, 스크립트 클러스터링, 결합 시그니처 생성, 시그니처 정제, 시그니처 형태 변환을 거쳐 YARA 시그니처, IDS 시그니처를 생성할 수 있다. When the input data of the signature generating unit 220 is the newly detected second script SC2 extracted from the second detection information DI2, script clustering, join signature generation, signature refinement, signature type conversion, and YARA signature , An IDS signature can be generated.

이어서, 제2 시그니처(SN2)를 외부 시스템으로 배포한다(S130).Then, the second signature SN2 is distributed to the external system (S130).

시그니처 배포 모듈(232)은 시스템 정보 저장부(DB2)를 조회하여 제2 시그니처(SN2)에 관한 배포 주기(DP)를 결정하고, 배포 주기(DP)에 따라 악성 스크립트 탐지 차단 장치(100)로 제2 시그니처(SN2)를 배포할 수 있다. The signature distribution module 232 inquires the system information storage unit DB2 to determine the distribution period DP related to the second signature SN2 and transmits the distribution period DP to the malicious script detection / The second signature SN2 can be distributed.

본 발명의 실시예들과 관련하여 설명된 방법 또는 알고리즘의 단계는, 프로세서에 의해 실행되는 하드웨어 모듈, 소프트웨어 모듈, 또는 그 2개의 결합으로 직접 구현될 수 있다. 소프트웨어 모듈은 RAM 메모리, 플래시 메모리, ROM 메모리, EPROM 메모리, EEPROM 메모리, 레지스터, 하드 디스크, 착탈형 디스크, CD-ROM, 또는 본 발명의 기술 분야에서 잘 알려진 임의의 형태의 컴퓨터로 읽을 수 있는 기록 매체에 상주할 수도 있다. 예시적인 기록 매체는 프로세서에 연결되며, 그 프로세서는 기록 매체로부터 정보를 독출할 수 있고 기록 매체에 정보를 기입할 수 있다. 다른 방법으로, 기록 매체는 프로세서와 일체형일 수도 있다. 프로세서 및 기록 매체는 주문형 집적회로(ASIC) 내에 상주할 수도 있다. ASIC는 사용자 단말기 내에 상주할 수도 있다. 다른 방법으로, 프로세서 및 기록 매체는 사용자 단말기 내에 개별 구성 요소로서 상주할 수도 있다.The steps of a method or algorithm described in connection with the embodiments of the invention may be embodied directly in hardware, software modules, or a combination of the two, executed by a processor. A software module may reside in RAM memory, flash memory, ROM memory, EPROM memory, EEPROM memory, registers, a hard disk, a removable disk, a CD-ROM, or any form of computer readable media known in the art Lt; / RTI > An exemplary recording medium is coupled to a processor, which is capable of reading information from, and writing information to, the recording medium. Alternatively, the recording medium may be integral with the processor. The processor and the recording medium may reside in an application specific integrated circuit (ASIC). The ASIC may reside within the user terminal. Alternatively, the processor and the recording medium may reside as discrete components in a user terminal.

이상 첨부된 도면을 참조하여 본 발명의 실시예를 설명하였지만, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 본 발명이 그 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 실시될 수 있다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해해야만 한다.While the present invention has been described in connection with what is presently considered to be practical exemplary embodiments, it is to be understood that the invention is not limited to the disclosed embodiments, but, on the contrary, You will understand. It is therefore to be understood that the above-described embodiments are illustrative in all aspects and not restrictive.

100: 악성 스크립트 탐지 차단 장치
200: 악성 스크립트 시그니처 관리 장치
210: 탐지 정보 분석부
220: 시그니처 생성부
230: 시그니처 배포 관리부100: Malicious script detection blocker
200: malicious script signature management device
210: Detection Information Analysis Unit
220: Signature Generator
230: Signature Distribution Management Section

Claims (15)

악성 코드에 관한 제1 탐지 정보를 제공받아 기 존재하는 제1 시그니처의 탐지 적중률을 연산하고, 제2 탐지 정보를 생성하는 탐지 정보 분석부;
상기 제2 탐지 정보를 제공받아 제2 시그니처를 생성하는 시그니처 생성부; 및
상기 제2 시그니처를 제공받아 외부 시스템으로 상기 제2 시그니처를 배포하고, 상기 제2 시그니처에 관한 배포 주기를 관리하는 시그니처 배포 관리부를 포함하되,
상기 탐지 정보 분석부는 탐지 정보 추출부와, 탐지 적중률 연산부를 포함하고,
상기 탐지 정보 추출부는 상기 제1 탐지 정보로부터 상기 제1 시그니처에 관한 제1 ID를 추출하고,
상기 탐지 적중률 연산부는 상기 제1 ID를 이용하여 탐지 정보 저장부로부터 상기 제1 시그니처에 관한 탐지 빈도 정보를 제공받아, 상기 탐지 빈도 정보를 이용하여 (a/(a+b))*10의 수학식에 따라 탐지 적중률을 연산하고, a는 현재 시점과 제1 과거 시점 사이의 탐지 빈도 정보를 포함하고, b는 현재 시점과 제2 과거 시점 사이의 탐지 빈도 정보를 포함하고, 제2 과거 시점은 제1 과거 시점보다 이전의 시점인 악성 스크립트 시그니처 관리 장치.A detection information analyzer for receiving first detection information on malicious code to calculate a detection hit rate of a first signature existing and generating second detection information;
A signature generator for receiving the second detection information and generating a second signature; And
And a signature distribution manager for receiving the second signature and distributing the second signature to an external system, and managing a distribution cycle of the second signature,
Wherein the detection information analyzing unit includes a detection information extracting unit and a detection ratio calculating unit,
Wherein the detection information extraction unit extracts a first ID related to the first signature from the first detection information,
The detection hit ratio calculation unit receives the detection frequency information on the first signature from the detection information storage unit using the first ID and calculates a detection rate information of the first signature using a mathematical expression (a / (a + b) Wherein a includes detection frequency information between a current time point and a first past time point, b includes detection frequency information between a current time point and a second past time point, and a second past time point includes detection frequency information between a current time point and a second past time point, Wherein the malicious script signature management device is a time point before the first past time point. 삭제delete 제 1항에 있어서,
상기 시그니처 생성부는 스크립트 클러스터링부를 포함하고,
상기 스크립트 클러스터링부는 상기 제2 탐지 정보로부터 새롭게 탐지된 제2 스크립트를 추출하고, 상기 제1 시그니처로부터 기 탐지된 제1 스크립트를 추출하고, 상기 제1 및 제2 스크립트를 클러스터링하여 클러스터를 생성하는 악성 스크립트 시그니처 관리 장치.The method according to claim 1,
Wherein the signature generation unit includes a script clustering unit,
Wherein the script clustering unit extracts a second script newly detected from the second detection information, extracts a first script detected from the first signature, clusters the first and second scripts to generate a cluster, Script signature management device. 제 3항에 있어서,
상기 시그니처 생성부는 결합 시그니처 생성부를 더 포함하고,
상기 결합 시그니처 생성부는 상기 클러스터를 기초로 하여 결합 시그니처를 생성하는 악성 스크립트 시그니처 관리 장치.The method of claim 3,
Wherein the signature generator further comprises a combining signature generator,
Wherein the combined signature generation unit generates a combined signature based on the cluster. 제 4항에 있어서,
상기 시그니처 생성부는 시그니처 정제부를 더 포함하고,
상기 시그니처 정제부는 상기 결합 시그니처를 정제하여 상기 결합 시그니처의 코드 길이를 감소시키는 악성 스크립트 시그니처 관리 장치.5. The method of claim 4,
Wherein the signature generator further comprises a signature refiner,
And the signature refinement unit refines the binding signature to reduce the code length of the binding signature. 제 5항에 있어서,
상기 시그니처 생성부는 시그니처 형태 변환부를 더 포함하고,
상기 시그니처 형태 변환부는 코드 길이가 감소된 상기 결합 시그니처를 특정 모듈에서 동작하는 상기 제2 시그니처로 변환하는 악성 스크립트 시그니처 관리 장치.6. The method of claim 5,
Wherein the signature generation unit further includes a signature type conversion unit,
Wherein the signature type conversion unit converts the combined signature having a reduced code length into the second signature operating in a specific module. 제 1항에 있어서,
상기 시그니처 배포 관리부는 활성 시그니처 조회 모듈과, 시그니처 배포 모듈을 포함하고,
상기 활성 시그니처 조회 모듈은 활성 시그니처 저장부로부터 상기 제2 시그니처를 제공받고,
상기 시그니처 배포 모듈은 시스템 정보 저장부를 조회하여 상기 제2 시그니처에 관한 배포 주기를 결정하는 악성 스크립트 시그니처 관리 장치.The method according to claim 1,
Wherein the signature distribution management section includes an active signature inquiry module and a signature distribution module,
Wherein the active signature inquiry module receives the second signature from the active signature store,
Wherein the signature distribution module inquires a system information storage unit to determine a distribution cycle for the second signature. 제1 또는 제2 시그니처를 이용하여 웹 페이지에 포함된 제1 스크립트를 분석하고, 상기 제1 스크립트에 악성 스크립트가 존재하는지 판단하고, 분석 결과에 따라 상기 제1 스크립트를 처리하는 악성 스크립트 탐지 차단 장치; 및
상기 제1 또는 제2 시그니처를 생성하고 저장하며, 요청에 따라 상기 악성 스크립트 탐지 차단 장치로 상기 제1 또는 제2 시그니처를 제공하는 악성 스크립트 시그니처 관리 장치를 포함하되,
상기 제1 시그니처는 기 탐지된 악성 스크립트의 코드 패턴 정보를 포함하고,
상기 제2 시그니처는 상기 제1 스크립트에 관한 제1 탐지 정보를 기초로 하여 상기 제1 시그니처의 탐지 적중률을 연산하여 생성되고,
상기 탐지 적중률은 상기 제1 시그니처에 관한 탐지 빈도 정보를 이용하여 (a/(a+b))*10의 수학식에 따라 연산되고, a는 현재 시점과 제1 과거 시점 사이의 탐지 빈도 정보를 포함하고, b는 현재 시점과 제2 과거 시점 사이의 탐지 빈도 정보를 포함하고, 제2 과거 시점은 제1 과거 시점보다 이전의 시점인 악성 스크립트 시그니처 관리 시스템.A malicious script detection and blocking device for analyzing a first script included in a web page using first or second signatures, determining whether a malicious script exists in the first script, ; And
A malicious script signature management apparatus for generating and storing the first or second signature and providing the first or second signature to the malicious script detection interception apparatus upon request,
Wherein the first signature includes code pattern information of a maliciously-detected script,
Wherein the second signature is generated by computing a detection hit ratio of the first signature based on first detection information about the first script,
The detection hit rate is calculated according to a formula (a / (a + b)) * 10 using the detection frequency information about the first signature, and a is the detection frequency information between the current time and the first past time And b is the detection frequency information between the current time and the second past time point, and the second past time point is before the first past time point. 제 8항에 있어서,
상기 악성 스크립트 시그니처 관리 장치는 탐지 정보 분석부와, 시그니처 생성부와, 시그니처 배포 관리부를 포함하고,
상기 탐지 정보 분석부는, 상기 제1 탐지 정보를 제공받아 상기 제1 시그니처의 탐지 적중률을 연산하고, 제2 탐지 정보를 생성하고,
상기 시그니처 생성부는, 상기 제2 탐지 정보를 제공받아 상기 제2 시그니처를 생성하고,
상기 시그니처 배포 관리부는, 상기 제2 시그니처를 제공받아 상기 악성 스크립트 탐지 차단 장치로 상기 제2 시그니처를 배포하고, 상기 제2 시그니처에 관한 배포 주기를 관리하는 악성 스크립트 시그니처 관리 시스템.9. The method of claim 8,
Wherein the malicious script signature management apparatus includes a detection information analysis unit, a signature generation unit, and a signature distribution management unit,
The detection information analyzing unit receives the first detection information, calculates a detection hit ratio of the first signature, generates second detection information,
Wherein the signature generator generates the second signature by receiving the second detection information,
Wherein the signature distribution management unit receives the second signature, distributes the second signature to the malicious script detection blocking apparatus, and manages a distribution cycle for the second signature. 삭제delete 제 9항에 있어서,
상기 시그니처 생성부는 스크립트 클러스터링부와, 결합 시그니처 생성부와, 시그니처 정제부와, 시그니처 형태 변환부를 포함하고,
상기 스크립트 클러스터링부는, 악성 코드로 새롭게 탐지된 상기 제1 스크립트와 악성 코드로 기 탐지된 제2 스크립트를 클러스터링하여 클러스터를 생성하고,
상기 결합 시그니처 생성부는, 상기 클러스터를 기초로 하여 결합 시그니처를 생성하고,
상기 시그니처 정제부는, 상기 결합 시그니처를 정제하여 상기 결합 시그니처의 코드 길이를 감소시키고,
상기 시그니처 형태 변환부는, 코드 길이가 감소된 상기 결합 시그니처를 특정 모듈에서 동작하는 상기 제2 시그니처로 변환하는 악성 스크립트 시그니처 관리 시스템.10. The method of claim 9,
Wherein the signature generation unit includes a script clustering unit, a combining signature generation unit, a signature refinement unit, and a signature type conversion unit,
The script clustering unit clusters the first script newly detected as a malicious code and the second script detected as a malicious code to generate a cluster,
Wherein the combining signature generation unit generates a combining signature based on the cluster,
The signature refiner may refine the binding signature to reduce the code length of the binding signature,
Wherein the signature type conversion unit converts the combined signature having a reduced code length into the second signature operating in a specific module. 제 9항에 있어서,
상기 시그니처 배포 관리부는 활성 시그니처 조회 모듈과, 시그니처 배포 모듈을 포함하고,
상기 활성 시그니처 조회 모듈은, 활성 시그니처 저장부로부터 상기 제2 시그니처를 제공받고,
상기 시그니처 배포 모듈은, 시스템 정보 저장부를 조회하여 상기 제2 시그니처에 관한 배포 주기를 결정하는 악성 스크립트 시그니처 관리 시스템.10. The method of claim 9,
Wherein the signature distribution management section includes an active signature inquiry module and a signature distribution module,
Wherein the active signature inquiry module receives the second signature from the active signature store,
Wherein the signature distribution module inquires of the system information storage unit to determine a distribution cycle of the second signature. 삭제delete 삭제delete 삭제delete
KR1020140172470A 2014-12-03 2014-12-03 Apparatus, system and method for generation and distribution lightweight signature KR101619059B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020140172470A KR101619059B1 (en) 2014-12-03 2014-12-03 Apparatus, system and method for generation and distribution lightweight signature

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020140172470A KR101619059B1 (en) 2014-12-03 2014-12-03 Apparatus, system and method for generation and distribution lightweight signature

Publications (1)

Publication Number Publication Date
KR101619059B1 true KR101619059B1 (en) 2016-05-10

Family

ID=56021121

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020140172470A KR101619059B1 (en) 2014-12-03 2014-12-03 Apparatus, system and method for generation and distribution lightweight signature

Country Status (1)

Country Link
KR (1) KR101619059B1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20200015198A (en) * 2018-08-03 2020-02-12 국민대학교산학협력단 Malicious code detecting apparatus based on bipartite graph

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
윤수진, 정종훈, 임채태, "TF-IDF를 이용한 악성 자바스크립트 시그니처 자동 생성 기술", 2014년도 한국인터넷정보학회 추계학술발표대회 논문집 제15권2호 (2014.10.)*

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20200015198A (en) * 2018-08-03 2020-02-12 국민대학교산학협력단 Malicious code detecting apparatus based on bipartite graph
KR102121741B1 (en) * 2018-08-03 2020-06-11 국민대학교산학협력단 Malicious code detecting apparatus based on bipartite graph

Similar Documents

Publication Publication Date Title
US11188650B2 (en) Detection of malware using feature hashing
US11030311B1 (en) Detecting and protecting against computing breaches based on lateral movement of a computer file within an enterprise
Kim et al. Improvement of malware detection and classification using API call sequence alignment and visualization
US9621571B2 (en) Apparatus and method for searching for similar malicious code based on malicious code feature information
JP6106340B2 (en) Log analysis device, attack detection device, attack detection method and program
US9300682B2 (en) Composite analysis of executable content across enterprise network
RU2614557C2 (en) System and method for detecting malicious files on mobile devices
CN105956180B (en) A kind of filtering sensitive words method
US11470097B2 (en) Profile generation device, attack detection device, profile generation method, and profile generation computer program
Rabadi et al. Advanced windows methods on malware detection and classification
RU2624552C2 (en) Method of malicious files detecting, executed by means of the stack-based virtual machine
Zhu et al. Android malware detection based on multi-head squeeze-and-excitation residual network
US11689547B2 (en) Information analysis system, information analysis method, and recording medium
JP6039826B2 (en) Unauthorized access detection method and system
WO2017012241A1 (en) File inspection method, device, apparatus and non-volatile computer storage medium
Abbas et al. Low-complexity signature-based malware detection for IoT devices
CN109413016B (en) Rule-based message detection method and device
KR102120200B1 (en) Malware Crawling Method and System
CN109684072A (en) The system and method for being used to detect the computing resource of malicious file based on machine learning model management
Shrivastava et al. Privacy issues of android application permissions: A literature review
CN110135162A (en) The recognition methods of the back door WEBSHELL, device, equipment and storage medium
Gonzalez et al. Authorship attribution of android apps
Feichtner et al. Obfuscation-resilient code recognition in Android apps
KR101619059B1 (en) Apparatus, system and method for generation and distribution lightweight signature
US11321453B2 (en) Method and system for detecting and classifying malware based on families

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
LAPS Lapse due to unpaid annual fee