KR20110032449A - 행위기반 탐지 장치 및 방법 - Google Patents

행위기반 탐지 장치 및 방법 Download PDF

Info

Publication number
KR20110032449A
KR20110032449A KR1020090089935A KR20090089935A KR20110032449A KR 20110032449 A KR20110032449 A KR 20110032449A KR 1020090089935 A KR1020090089935 A KR 1020090089935A KR 20090089935 A KR20090089935 A KR 20090089935A KR 20110032449 A KR20110032449 A KR 20110032449A
Authority
KR
South Korea
Prior art keywords
state
risk
list
dangerous
information
Prior art date
Application number
KR1020090089935A
Other languages
English (en)
Inventor
김대원
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020090089935A priority Critical patent/KR20110032449A/ko
Publication of KR20110032449A publication Critical patent/KR20110032449A/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3051Monitoring arrangements for monitoring the configuration of the computing system or of the computing system component, e.g. monitoring the presence of processing resources, peripherals, I/O links, software programs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Virology (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Computing Systems (AREA)
  • Quality & Reliability (AREA)
  • Debugging And Monitoring (AREA)

Abstract

본 발명은 행위기반 탐지 기술에 관한 것으로, 악성 프로그램이 설치된 컴퓨팅 장치에서 비정상 개별 상태들에 대한 위험치를 부여하고, 프로세스 별 위험치를 합산하여 설정값을 넘어서는 프로세스들을 분석하여 해당 프로세스들을 종료한 후, 해당 프로세스들의 실행 파일들을 찾아서 삭제하는 것을 특징으로 한다. 본 발명에 의하면, 비정상 상태 판단에 사용자 개입을 최소화시키고, 바이러스와 같은 악성 프로그램에 감염된 컴퓨팅장치의 치료기능을 최대한 지원할 수 있다.
컴퓨팅 장치, 악성 프로그램, 바이러스, 행위 기반 탐지

Description

행위기반 탐지 장치 및 방법{APPARATUS AND METHOD FOR BEHAVIOR-BASED DETECTION}
본 발명은 컴퓨팅장치 내의 악성 프로그램을 차단하는 기술에 관한 것으로서, 특히 백신업체 혹은 관련 보안 업체들에 의해 분석이 이루어지지 않은 신종 악성 프로그램들이 설치된 컴퓨팅 장치에서 신종 악성 프로그램들에 의한 악성 행위를 자동으로 판단하여 이를 차단하는데 적합한 행위기반 탐지 장치 및 방법에 관한 것이다.
본 발명은 지식경제부의 IT성장동력기술개발사업의 일환으로 수행한 연구로부터 도출된 것이다[과제관리번호: 2009-S-038-01, 과제명: 분산서비스거부(DDoS) 공격 대응 기술개발].
일반적으로 백신 업체 혹은 관련 보안 업체들에 의해 분석이 이루어지지 않은 신종 악성 프로그램들은 백신 프로그램이 설치된 컴퓨팅 장치라 할지라도 해당 컴퓨팅 장치를 감염시키게 된다. 즉, 컴퓨팅 장치에 설치된 백신 프로그램에 신종 악성 프로그램에 대한 탐지 정책이 업데이트 되지 않는 한, 그 악성 프로그램에 의한 피해는 계속해서 커져가게 된다. 현재 새로운 탐지 정책은 신종 악성 프로그램 을 업체에서 수집하고, 수작업을 거쳐 관련 분석을 수행한 후에나 업데이트가 가능하며, 짧게는 수 시간에서 길게는 수 일이 걸릴 수도 있다.
상기한 바와 같이 동작하는 종래 기술에 의한 악성 프로그램의 탐지를 위해서는 백신 프로그램의 지속적인 업데이트를 수행해야 하나, 업데이트된 목록에 존재하지 않는 신종 악성 프로그램이 컴퓨팅 장치에 상주해 있는 경우에는 이에 대한 대비가 이루어지지 않고 있기 때문에 백신 프로그램의 다음 업데이트 시 신종 악성 프로그램에 대한 탐지 정책이 포함되기 전까지는 신종 악성 프로그램에 의한 피해가 발생할 수 있다.
이와 같은 문제점을 해결하기 위해, 백신 프로그램의 업데이트 탐지 정책에 의존하지 않고, 컴퓨팅 장치 내에서 일어나는 여러가지 상태들을 모니터링하여 악성 프로그램의 감염 여부 및 차단을 수행하는 행위 기반 탐지 방법들이 있다. 이러한 행위 기반 탐지 방법의 경우에는 두 가지 부류가 있다.
첫 번째 부류로는 실행 파일을 직접 실행한 후, 운영체제 레벨에서 시스템 호출 명령어 및 함수 호출을 모니터링하여 카운트하거나 호출 관계를 추적하는 방법들이 있다. 그러나 이와 같은 방법은 운영체제와 모든 부분에서 밀접한 관련을 가져야 하며, 심지어 운영체제 자체의 변경도 수행되어야 한다. 따라서 그 구현이 용이하지 않으며, 일련의 함수 호출 순서와 실제 악의적인 동작과는 의미론적인 괴 리가 있는 경우도 많다는 단점이 있다.
두 번째 부류로는 탐지 프로그램이 상주하여 운영되고 있는 상태에서 개별 상태(예컨대, CPU/메모리/네트워크 사용량, 중요 서비스들 강제 종료 여부, 중요 파일들의 삭제/수정 등)의 이상이 발생되면, 이런 행위의 차단 및 경고를 통하여 알려주는 방법들이 있다. 그러나 개별 상태의 모니터링 결과만을 이용하여 악성 여부를 판단하기 때문에, 정상적인 상황에서도 많은 경고를 해 주게 된다. 따라서, 비정상 상태의 판단을 사용자에게 맡기는 경우들이 대부분이며 감염된 단말의 치료가 이루어지지는 않는다는 단점이 있다.
이에 본 발명은, 백신업체 혹은 관련 보안 업체들에 의해 분석이 이루어지지 않은 신종 악성 프로그램들이 설치된 컴퓨팅 장치에서 신종 악성 프로그램들에 의해 실행 결과로서 나타나는 악성 행위를 자동으로 판단하여 이를 차단할 수 있는 행위 기반 탐지 장치 및 방법을 제공한다.
또한 본 발명은, 신종 악성 프로그램들이 설치된 컴퓨팅 장치에서 비정상 개별 상태들에 대한 위험치를 부여하고 프로세스별 위험치를 합산하여 설정값을 넘어서는 프로세스들을 분석하여 프로세스를 종료하고, 해당 프로세스의 실행 파일들을 찾아서 삭제할 수 있는 행위 기반 탐지 장치 및 방법을 제공한다.
또한 본 발명은, 신종 악성 프로그램들이 설치된 컴퓨팅 장치에서 비정상 개별 상태들에 대한 위험치를 부여하고 프로세스별 위험치를 합산하여 설정값을 넘어서는 프로세스들을 분석하여 프로세스를 종료하고, 해당 프로세스 및 해당 프로세스와 관련된 프로세스를 추적하여 추적된 프로세스들의 삭제 여부를 판단할 수 있 는 행위 기반 탐지 장치 및 방법을 제공한다.
본 발명의 일 실시예에 따른 행위 기반 탐지 장치는, 컴퓨팅 장치 내의 기 설정된 감시 항목의 상태를 감시하여 특정 항목의 비정상 상태 여부를 판단하는 상태 모니터링부와, 상기 상태 모니터링부로부터 비정상 상태를 발생시킨 제1프로세스 정보와, 비정상 상태의 위험치 합산 정보를 전달받아 저장하는 상태 정보 저장부와, 상기 위험치 합산 정보가 기 설정된 임계값을 초과하는 경우, 상기 제1 프로세스 및 이로부터 생성되거나 연관된 프로세스로 위험 프로세스 리스트를 구축하는 위험치 판단부와, 상기 위험치 판단부로부터 전달된 상기 위험 프로세스 리스트에 대한 처리 여부를 판단하는 프로세스 처리부를 포함한다.
그리고 상기 상태 정보 저장부는, 제1 프로세스명, 상기 제1 프로세스의 감시 시작 시간, 상기 제1 프로세스의 실행 파일 혹은 라이브러리 파일의 전체 경로, 전체 경로상에 있는 파일의 크기, 상기 제1 프로세스를 실행시킨 제2 프로세스의 프로세스 ID, 상기 제1 프로세스가 실행한 제3프로세스의 프로세스 ID, 상기 제2프로세스가 실행한 제4프로세스의 프로세스 ID 및 합산 위험치 정보 중 적어도 어느 하나를 저장하는 것을 특징으로 한다.
여기서, 상기 감시 항목은, 중앙처리장치(CPU)의 점유율, 메모리 점유율, 파일 액세스 및 변경상태, 네트워크 상태, 인터페이스 상태 및 프로세스 상태 중 적어도 어느 하나인 것을 특징으로 한다.
한편, 상기 프로세스 처리부는, 상기 위험 프로세스 리스트 내의 해당 프로세스를 종료시키거나, 관련 파일을 삭제하는 것을 특징으로 한다.
또한, 상기 프로세스 처리부는, 상기 처리 여부의 판단 결과, 위험 프로세스가 아닌 것으로 판단된 경우, 상기 위험 프로세스 리스트 내의 해당 프로세스를 화이트 리스트에 저장하는 것을 특징으로 한다.
본 발명의 일 실시예에 따른 행위 기반 탐지 방법은, 컴퓨팅 장치 내의 행위기반 탐지 방법에 있어서, 상기 컴퓨팅 장치 내의 기 설정된 감시 항목의 상태를 감시하여 특정 항목의 비정상 상태 여부를 판단하는 과정과, 상기 비정상 상태로 판단된 경우, 상기 비정상 상태를 발생시킨 제1프로세스 정보와, 비정상 상태의 위험치 합산 정보를 전달받아 저장하는 과정과, 상기 위험치 합산 정보가 기 설정된 임계값을 초과하는 경우, 상기 제1 프로세스 및 이로부터 생성되거나 연관된 프로세스로 위험 프로세스 리스트를 구축하는 과정과, 상기 위험 프로세스 리스트에 대한 처리 여부를 판단하는 과정을 포함한다.
그리고 상기 저장하는 과정은, 제1 프로세스명, 상기 제1 프로세스의 감시 시작 시간, 상기 제1 프로세스의 실행 파일 혹은 라이브러리 파일의 전체 경로, 전체 경로상에 있는 파일의 크기, 상기 제1 프로세스를 실행시킨 제2 프로세스의 프로세스 ID, 상기 제1 프로세스가 실행한 제3프로세스의 프로세스 ID, 상기 제2프로세스가 실행한 제4프로세스의 프로세스 ID 및 합산 위험치 정보 중 적어도 어느 하나를 저장하는 것을 특징으로 한다.
여기서, 상기 감시 항목은, 중앙처리장치(CPU)의 점유율, 메모리 점유율, 파일 액세스 및 변경상태, 네트워크 상태, 인터페이스 상태 및 프로세스 상태 중 적어도 어느 하나인 것을 특징으로 한다.
한편, 상기 판단하는 과정은, 상기 처리 여부의 판단 결과, 위험 프로세스로 처리가 필요한 경우, 상기 위험 프로세스 리스트 내의 해당 프로세스를 종료시키거나, 관련 파일을 삭제하는 것을 특징으로 한다.
또한, 상기 판단하는 과정은, 상기 처리 여부의 판단 결과, 위험 프로세스가 아닌 것으로 판단된 경우, 상기 위험 프로세스 리스트 내의 해당 프로세스를 화이트 리스트에 저장하는 것을 특징으로 한다.
상기와 같은 본 발명의 실시예에 따른 행위기반 탐지 장치 및 방법에 따르면 다음과 같은 효과가 있다.
본 발명의 실시예에 따른 행위기반 탐지 장치 및 방법에 의하면, 종래의 개별적인 비정상 상태만을 기준으로 처리하는 방식들에 비해, 프로세스 별 비정상 상태를 추적하기 때문에 탐지된 결과의 신뢰도가 더욱 높으며, 잦은 비정상 경고 이벤트를 발생시키지 않으므로 사용자의 개입을 최소화할 수 있고, 위험 프로세스들뿐만 아니라 해당 위험 프로세스와 관련된 악성 파일들의 삭제를 가능하게 하므로, 컴퓨팅 장치 내에서 악성 프로그램의 자동 판단 및 차단 기능을 최대화할 수 있는 효과가 있다.
본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시예들은 본 발명의 개시가 완전하도록 하고, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다. 명세서 전체에 걸쳐 동일 참조 부호는 동일 구성 요소를 지칭한다.
본 발명의 실시예들을 설명함에 있어서 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다. 그리고 후술되는 용어들은 본 발명의 실시예에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.
첨부된 블록도의 각 블록과 흐름도의 각 단계의 조합들은 컴퓨터 프로그램 인스트럭션들에 의해 수행될 수도 있다. 이들 컴퓨터 프로그램 인스트럭션들은 범용 컴퓨터, 특수용 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서에 탑재될 수 있으므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서를 통해 수행되는 그 인스트럭션들이 블록도의 각 블록 또는 흐름도의 각 단계에서 설명된 기능들을 수행하는 수단을 생성하게 된다. 이들 컴퓨터 프로그램 인스트럭션들은 특정 방식으로 기능을 구현하기 위해 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 지향할 수 있는 컴퓨터 이용 가능 또는 컴퓨터 판독 가능 메모리에 저장되는 것도 가능하므로, 그 컴퓨터 이용가능 또는 컴퓨터 판독 가능 메모리에 저장된 인스트럭션들은 블록도의 각 블록 또는 흐름도 각 단계에서 설명된 기능을 수행하는 인스트럭션 수단을 내포하는 제조 품목을 생산하는 것도 가능하다. 컴퓨터 프로그램 인스트럭션들은 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에 탑재되는 것도 가능하므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에서 일련의 동작 단계들이 수행되어 컴퓨터로 실행되는 프로세스를 생성해서 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 수행하는 인스트럭션들은 블록도의 각 블록 및 흐름도의 각 단계에서 설명된 기능들을 실행하기 위한 단계들을 제공하는 것도 가능하다.
또한, 각 블록 또는 각 단계는 특정된 논리적 기능(들)을 실행하기 위한 하나 이상의 실행 가능한 인스트럭션들을 포함하는 모듈, 세그먼트 또는 코드의 일부를 나타낼 수 있다. 또, 몇 가지 대체 실시예들에서는 블록들 또는 단계들에서 언급된 기능들이 순서를 벗어나서 발생하는 것도 가능함을 주목해야 한다. 예컨대, 잇달아 도시되어 있는 두 개의 블록들 또는 단계들은 사실 실질적으로 동시에 수행되는 것도 가능하고 또는 그 블록들 또는 단계들이 때때로 해당하는 기능에 따라 역순으로 수행되는 것도 가능하다.
본 발명의 실시예는, 백신업체 혹은 관련 보안 업체들에 의해 분석이 이루어지지 않은 신종 악성 프로그램들이 설치된 컴퓨팅 장치에서 신종 악성 프로그램 들에 의해 실행 결과로서 나타나는 악성 행위를 자동으로 판단하여 이를 차단하기 위한 것으로서, 컴퓨팅 장치에서 비정상 개별 상태들에 대한 위험치를 부여하고 프로세스별 위험치를 합산하여 설정값을 넘어서는 프로세스들을 분석하여 프로세스를 종료하고, 해당 프로세스 및 해당 프로세스와 관련된 프로세스의 실행 파일들을 추적하여 삭제하는 것이다.
이하, 첨부된 도면을 참조하여 본 발명의 실시예를 상세히 설명하기로 한다.
도 1은 본 발명의 실시예에 따른 행위기반 탐지 장치의 구조를 도시한 블록도이다.
도 1을 참조하면, 행위기반 탐지 장치(100)는, 컴퓨팅 장치, 또는 컴퓨팅 장치 내에 장착되어 바이러스 및 악성 프로그램 등에 대해 행위기반의 탐지를 수행하고, 기 설정된 감시 항목의 상태 확인을 통해 감시 항목 중 위험 상태를 발생시킨 프로세스를 자동으로 탐지하여 이에 대한 처리를 수행하는 것으로서, 상태 모니터링부(102), 상태 정보 저장부(104), 위험치 판단부(106), 화이트(white) 리스트 DB(108), 프로세스 처리부(110) 등을 포함한다.
한편 컴퓨팅 장치는, 서버, 퍼스널 컴퓨터, 네비게이션 기기 등의 사용자기기와, 노트북, UMPC, PDA, 핸드폰 등과 같은 휴대용 기기 등을 통칭하는 것으로서, 그 외 프로세스 또는 프로그램을 통해 특정 장치를 동작시키는 모든 전자기기가 해당될 수 있다.
구체적으로 상태 모니터링부(102)는 컴퓨팅 장치 내의 기 설정된 감시 항목의 상태를 감시하여 특정 항목의 비정상 상태 여부를 판단하는 것으로서, 감시 항 목은 아래 (표 1)과 같이 설정될 수 있다.
감시항목

위험수준		 CPU 메모리 파일 네트워크 인터페이스 프로세스
고수준 - 점유율 과다 지속 - 점유율 과다 지속 - 시스템 폴더에 있는 임의 파일 액세스
- host 파일 액세스
- email 주소 파일 액세스
- 레지스트리 파일 액세스		 - 확산 현상 (IP, 포트 증가)
- 리스닝 포트 생성
- 사용량 과다 지속
 - 키 로깅 - 주요 서비스 종료시도 (보안 제품 프로세스, RPC 등)
- 시스템 종료 시도
저수준 - 임의 파일 액세스(실행/복사/수정/생성/삭제) - 임의 주소 접속 - 임의 정보 popup
- 유저 프로그램 실행 방해
- 입력 장치 이상 유도		 - 다중 프로세스 생성
- 일반 서비스 종료시도
상기 (표 1)은 모니터링되는 컴퓨팅 장치의 상태들을 나타낸다. 각각의 항목들은 프로세스 별로 감시가 이루어지고, 각 항목마다 위험치가 설정되어 있다. 이는 프로세스에서 정상 동작하는 행위 외에 흔히 발생하는 악위적인 행위의 항목들을 나타내며 필요에 따라 추가될 수 있다.
즉, 컴퓨팅 장치 내에서 이루어지는 모든 상태를 모니터링할 수 있으며, 이를 통해 특정 상태 변화에 대한 위험 수준을 판단하게 된다. 예를 들어, (표 1)에서와 같이 위험수준이 저수준의 상태 변화에 해당하는 경우, 그에 대한 상태 위험치를 1로 정의하고, 고수준의 상태 변화에 해당하는 경우에는 그에 대한 상태 위험치를 3으로 정의할 수 있다.
이에 상태 모니터링부(102)는 기 설정된 항목들에 대한 상태 변화 여부를 실시간 모니터링하여 특정 항목에 대한 비정상 상태가 발생한 경우, 아래와 같은 7가지 정보가 상태 정보 저장부(104)에 전달하여 저장될 수 있도록 한다.
-해당 프로세스명
-해당 프로세스의 감시 시작 시간
-해당 프로세스의 실행 파일 혹은 라이브러리 파일의 전체 경로
-전체 경로상에 있는 파일의 크기
-해당 프로세스를 실행시킨 프로세스의 프로세스 ID
-해당 프로세스가 실행한 프로세스의 프로세스 ID
-합산 위험치
상태 정보 저장부(104)에서 위의 7가지 정보는 감시 프로세스 리스트로 정의할 수 있으며, 이러한 감시 프로세스 리스트를 저장하는 경우에 위험치 합산은 기 설정된 시간 동안 이루어지게 되며, 설정 시간이 지난 프로세스들은 위험치를 0으로 초기화 한 후 합산을 수행하게 된다.
위험치 판단부(106)에서는 상태 정보 저장부(104)로부터 전달된 합산 위험치를 통해 비정상 상태를 발생시킨 프로세스의 합산 위험치가 기 설정된 임계값을 초과하는 지 여부를 판단하게 된다.
이때 위험치는 3이상이 될 수 있으며, 예를 들어, 임계값이 8로 설정된 경우로서, 특정 프로세스로 인해 CPU와, 메모리의 점유율 증가, 레지스트 파일 액세스가 이루어진 경우에는 각각의 위험치를 합산하여 9가 되므로, 이럴 경우에는 위험치가 임계값을 초과하는 것으로 판단할 수 있다.
이와 같이 위험치가 임계값을 초과하는 경우에는, 해당 프로세스 및 해당 프로세스로부터 생성되거나 연관된 프로세스들을 추적한다.
도 2는 본 발명의 실시예에 따른 행위 기반 탐지 장치에서 악성 프로세스와 관련된 프로세스를 추적하는 방식을 도시한 도면이다.
도 2를 참조하면, + 표시(200)가 있는 프로세스 B는 비정상 상태로 탐지된 것으로 임계값을 넘는 악성 프로세스를 나타낸다. 이에 프로세스 B가 악성 프로세스이면, 이와 관련된 다른 프로세스들도 악성 행위에 가담하고 있다고 판단할 수 있다.
이에 프로세스 B는 감시 프로세스 리스트에 관련 정보들이 기입되어 있고, 그 정보들에는 해당 프로세스를 실행시킨 프로세스의 프로세스 ID(프로세스 A)와 해당 프로세스가 실행한 프로세스의 프로세스 ID(프로세스 D)가 기록되어 있다. 이 정보들을 추적하여 프로세스 A, D 를 찾게 되고, 이후 프로세스 A, D의 프로세스 정보를 운영체제로부터 로드하여 나머지 C도 모두 추적할 수 있다. 이와 같이 추적된 프로세스 A, B, C, D 정보들은 위험 프로세스 리스트로 등록이 되는데, 이때 해당 프로세스명, 파일의 전체경로, 파일크기를 정상 동작하는 프로세스들로 정의된 화이트 리스트 DB(108)의 정보와 비교하여 화이트 리스트에 포함되어 있는 프로세스들은 위험 프로세스 리스트로의 등록에서 제외가 된다.
이때, 위험 프로세스 리스트로 등록되는 정보는 감시 프로세스 리스트로 등록되는 7가지 정보와 동일하다.
프로세스 처리부(110)는 위험치 판단부(106)로부터 위험 프로세스 리스트를 전달받아, 이에 대한 후속 조치 여부를 판단하게 된다. 이때, 후속 조치 사항은 합산 위험치 별, 악성 프로세스 리스트를 이용한 기 설정된 처리 방식 별, 사용자 제어 명령에 따른 처리 방식에 따라 수행될 수 있으며, 각각의 후속 조치는 4단계로 나뉠 수 있다.
1단계는 후속처리를 원하는 않는 경우, 또는 화이트 리스트에는 포함되지 않은 프로세스 이나 위험 프로세스가 아닌 것으로 사용자가 판단한 경우에는 위험 프로세스 리스트에 있는 프로세스 정보들을 화이트 리스트 DB(108)에 등록하게 된다. 이 때 저장되는 정보는 프로세스명, 파일의 전체경로, 파일 크기 등이 될 수 있다.
2단계는 해당 위험 프로세스 리스트의 프로세스 정보들을 제1위험 프로세스 리스트 정보로서 화이트 리스트 DB(108) 내에 따로 저장할 수 있다. 이 때 저장되는 정보는 해당 프로세스의 감시 시작 시간, 프로세스명, 파일의 전체경로, 파일 크기 등이 될 수 있다. 이는 추후 비정상 상태에 위험 프로세스 리스트로 해당 프로세스가 또 다시 발생할 확률이 높으며, 해당 프로세스가 신종 악성 프로세스로서, 기 설정된 악성 프로세스 리스트 또는 사용자의 판단에 의해 프로세스 종료 또는 삭제가 이루어지지 않을 수 있기 때문에 결정을 유보하는 것이다.
한편, 화이트 리스트 DB(108)에는 화이트 리스트 정보뿐만 아니라 판단이 보류된 위험 프로세스 리스트 정보, 기 존의 악성 프로세스 정보가 포함된 악성 프로세스 리스트 등의 정보를 포함할 수 있다.
3단계는 후속처리를 원하는 경우로써, 해당 프로세스가 악성 프로세스 리스트에 포함되거나, 합산 위험치가 기 설정된 값을 초과하는 경우 또는 사용자의 판단에 의해 실행중인 위험 프로세스를 강제 종료시키는 것으로서, 예를 들어, CPU 및 메모리 점유율을 높일 뿐, 그 외 별다른 비정상적인 상태 변화를 일으키지 않는 경우이거나, 기존에 종종 사용되는 프로세스이나 현재 종료시키고 싶은 경우에는 해당 프로세스를 강제 종료시키게 된다.
4단계는 후속처리를 원하는 경우로써, 해당 프로세스가 악성 프로세스 리스트에 포함되거나, 합산 위험치가 기 설정된 값을 초과하는 경우 또는 사용자의 판단에 의해 위험 프로세스 리스트에 포함된 프로세스의 실행파일을 삭제하는 것이다.
한편, 3단계 및 4단계는 동시에 수행될 수 있으며, 3단계 및 4단계를 수행한 후, 위험 프로세스를 초기화되어 다음 비정상 상태 발생을 통해 추적된 프로세스들을 다시 등록하게 된다
도 3은 본 발명의 실시예에 따른 행위 기반 탐지 장치의 동작 절차를 도시한 흐름도이다.
도 3을 참조하면, 행위기반 탐지 장치(100) 내의 상태 모니터링부(102)에서는 300단계에서 컴퓨팅 장치 내의 기 설정된 감시 항목의 상태를 실시간 감시하여 특정 항목의 비정상 상태 여부를 판단하는 것으로서, 302단계에서 기 설정된 감시 항목에서 비정상 상태를 감지한 경우에는 304단계로 진행하여, 상태 모니터링부(102)에서 비 정상 상태를 발생시킨 해당 프로세스 정보 및 해당 프로세스가 발생시킨 상태 변화에 대한 위험치 값을 설정하게 된다. 이후, 해당 프로세스 및 해당 프로세스의 합산 위험치 값은 상태 정보 저장부(104)에 저장하게 된다.
그리고 306단계에서 위험치 판단부(106)는 해당 프로세스의 합산 위험치 값이 기 설정된 임계값을 초과하는지 여부를 판단하여 초과하지 않는 경우에는 300단계로 복귀하여 계속적으로 실시간 모니터링을 수행하게 된다.
그러나 해당 프로세스의 합산 위험치 값이 기 설정된 임계값을 초과하는 경우에는 308단계로 진행하여 해당 프로세스 및 해당 프로세스를 생성한 원조 프로세스, 원조 프로세스가 생성한 프로세스들, 해당 프로세스가 생성한 추가 프로세스 등을 추적하고, 추적된 프로세스들을 기존의 화이트 리스트 DB(108)와 비교하여 화이트 리스트 DB(108)에 포함된 프로세스는 제외하고, 나머지 프로세스로 위험 프로세스 리스트를 구축하게 된다.
이와 같이 위험치 판단부(106)를 통해 구축된 위험 프로세스 리스트는 프로세스 처리부(110)로 전달되며, 프로세스 처리부(110)에서는 310단계에서 위험 프로세스 리스트에 포함된 프로세스들에 대한 후속 처리 여부를 판단하고, 판단 결과에 따라 프로세스를 처리하게 된다. 이때, 프로세스 판단 방식은 기 설정된 악성 프로세스 리스트에 해당하거나, 위험치 합산 정보가 기 설정값에 해당하거나, 기 설정값을 초과하는 경우, 또는 사용자가 위험 프로세스로 분류한 경우에는 312 단계로 진행하여 위험 프로세스 리스트 내의 해당 프로세스들의 종료 및 관련 파일들에 대한 삭제를 수행하게 된다.
그러나 기 설정된 악성 프로세스 리스트에 해당하지 않거나, 위험치 합산 정보가 기 설정값 보다 적은 경우, 또는 사용자가 위험 프로세스가 아닌 것으로 분류한 경우에는 314단계로 진행하여 위험 프로세스 리스트 정보를 화이트 리스트 DB(108)에 저장하게 된다.
또는 위험 프로세스가 아닌 것으로 판단되었으나, 신종 악성 프로세스 일 수도 있으므로 위험 프로세스 리스트 정보로서 따로 저장(예컨대, 성태 정보 저장부(104) 또는 화이트 리스트 DB(108))해둘 수 있다.
이상 설명한 바와 같이, 본 발명의 실시예에 따른 행위기반 탐지 장치 및 방법은 백신업체 혹은 관련 보안 업체들에 의해 분석이 이루어지지 않은 신종 악성 프로그램들이 설치된 컴퓨팅 장치에서 신종 악성 프로그램들에 의해 실행 결과로서 나타나는 악성 행위를 자동으로 판단하여 이를 차단하기 위한 것으로서, 컴퓨팅 장치에서 비정상 개별 상태들에 대한 위험치를 부여하고 프로세스별 위험치를 합산하여 설정값을 넘어서는 프로세스들을 분석하여 프로세스를 종료하고, 해당 프로세스 및 해당 프로세스와 관련된 프로세스의 실행 파일들을 추적하여 삭제한다.
한편 본 발명의 상세한 설명에서는 구체적인 실시예에 관해 설명하였으나, 본 발명의 범위에서 벗어나지 않는 한도 내에서 여러 가지 변형이 가능함은 물론이다. 그러므로 본 발명의 범위는 설명된 실시예에 국한되지 않으며, 후술되는 특허청구의 범위뿐만 아니라 이 특허청구의 범위와 균등한 것들에 의해 정해져야 한다.
도 1은 본 발명의 실시예에 따른 행위 기반 탐지 장치의 구조를 도시한 블록도,
도 2는 본 발명의 실시예에 따른 행위 기반 탐지 장치에서 악성 프로세스와 관련된 프로세스를 추적하는 방식을 도시한 도면,
도 3은 본 발명의 실시예에 따른 행위 기반 탐지 장치의 동작 절차를 도시한 흐름도.
< 도면의 주요 부분에 대한 부호 설명 >
100 : 행위 기반 탐지 장치 102 : 상태 모니터링부
104 : 상태 정보 저장부 106 : 위험치 판단부
108 : 화이트 리스트 DB 110 : 프로세스 처리부

Claims (10)

  1. 컴퓨팅 장치 내의 기 설정된 감시 항목의 상태를 감시하여 특정 항목의 비정상 상태 여부를 판단하는 상태 모니터링부와,
    상기 상태 모니터링부로부터 비정상 상태를 발생시킨 제1프로세스 정보와, 비정상 상태의 위험치 합산 정보를 전달받아 저장하는 상태 정보 저장부와,
    상기 위험치 합산 정보가 기 설정된 임계값을 초과하는 경우, 상기 제1 프로세스 및 이로부터 생성되거나 연관된 프로세스로 위험 프로세스 리스트를 구축하는 위험치 판단부와,
    상기 위험치 판단부로부터 전달된 상기 위험 프로세스 리스트에 대한 처리 여부를 판단하는 프로세스 처리부
    를 포함하는 행위기반 탐지 장치.
  2. 제 1항에 있어서,
    상기 상태 정보 저장부는,
    제1 프로세스명, 상기 제1 프로세스의 감시 시작 시간, 상기 제1 프로세스의 실행 파일 혹은 라이브러리 파일의 전체 경로, 전체 경로상에 있는 파일의 크기, 상기 제1 프로세스를 실행시킨 제2 프로세스의 프로세스 ID, 상기 제1 프로세스가 실행한 제3프로세스의 프로세스 ID, 상기 제2프로세스가 실행한 제4프로세스 의 프로세스 ID 및 합산 위험치 정보 중 적어도 어느 하나를 저장하는 것을 특징으로 하는 행위기반 탐지 장치.
  3. 제 1항에 있어서,
    상기 감시 항목은,
    중앙처리장치(CPU)의 점유율, 메모리 점유율, 파일 액세스 및 변경상태, 네트워크 상태, 인터페이스 상태 및 프로세스 상태 중 적어도 어느 하나인 것을 특징으로 하는 행위기반 탐지 장치.
  4. 제 1항에 있어서,
    상기 프로세스 처리부는,
    상기 위험 프로세스 리스트 내의 해당 프로세스를 종료시키거나, 관련 파일을 삭제하는 것을 특징으로 하는 행위기반 탐지 장치.
  5. 제 1항에 있어서,
    상기 프로세스 처리부는,
    상기 처리 여부의 판단 결과, 위험 프로세스가 아닌 것으로 판단된 경우, 상기 위험 프로세스 리스트 내의 해당 프로세스를 화이트 리스트에 저장하는 것을 특징으로 하는 행위기반 탐지 장치.
  6. 컴퓨팅 장치 내의 행위기반 탐지 방법에 있어서,
    상기 컴퓨팅 장치 내의 기 설정된 감시 항목의 상태를 감시하여 특정 항목의 비정상 상태 여부를 판단하는 과정과,
    상기 비정상 상태로 판단된 경우, 상기 비정상 상태를 발생시킨 제1프로세스 정보와, 비정상 상태의 위험치 합산 정보를 전달받아 저장하는 과정과,
    상기 위험치 합산 정보가 기 설정된 임계값을 초과하는 경우, 상기 제1 프로세스 및 이로부터 생성되거나 연관된 프로세스로 위험 프로세스 리스트를 구축하는 과정과,
    상기 위험 프로세스 리스트에 대한 처리 여부를 판단하는 과정
    을 포함하는 행위기반 탐지 방법.
  7. 제 6항에 있어서,
    상기 저장하는 과정은,
    제1 프로세스명, 상기 제1 프로세스의 감시 시작 시간, 상기 제1 프로세스의 실행 파일 혹은 라이브러리 파일의 전체 경로, 전체 경로상에 있는 파일의 크 기, 상기 제1 프로세스를 실행시킨 제2 프로세스의 프로세스 ID, 상기 제1 프로세스가 실행한 제3프로세스의 프로세스 ID, 상기 제2프로세스가 실행한 제4프로세스의 프로세스 ID 및 합산 위험치 정보 중 적어도 어느 하나를 저장하는 것을 특징으로 하는 행위기반 탐지 방법.
  8. 제 6항에 있어서,
    상기 감시 항목은,
    중앙처리장치(CPU)의 점유율, 메모리 점유율, 파일 액세스 및 변경상태, 네트워크 상태, 인터페이스 상태 및 프로세스 상태 중 적어도 어느 하나인 것을 특징으로 하는 행위기반 탐지 방법.
  9. 제 6항에 있어서,
    상기 판단하는 과정은,
    상기 처리 여부의 판단 결과, 위험 프로세스로 처리가 필요한 경우, 상기 위험 프로세스 리스트 내의 해당 프로세스를 종료시키거나, 관련 파일을 삭제하는 것을 특징으로 하는 행위기반 탐지 방법.
  10. 제 6항에 있어서,
    상기 판단하는 과정은,
    상기 처리 여부의 판단 결과, 위험 프로세스가 아닌 것으로 판단된 경우, 상기 위험 프로세스 리스트 내의 해당 프로세스를 화이트 리스트에 저장하는 것을 특징으로 하는 행위기반 탐지 방법.
KR1020090089935A 2009-09-23 2009-09-23 행위기반 탐지 장치 및 방법 KR20110032449A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020090089935A KR20110032449A (ko) 2009-09-23 2009-09-23 행위기반 탐지 장치 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020090089935A KR20110032449A (ko) 2009-09-23 2009-09-23 행위기반 탐지 장치 및 방법

Publications (1)

Publication Number Publication Date
KR20110032449A true KR20110032449A (ko) 2011-03-30

Family

ID=43937194

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020090089935A KR20110032449A (ko) 2009-09-23 2009-09-23 행위기반 탐지 장치 및 방법

Country Status (1)

Country Link
KR (1) KR20110032449A (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113672390A (zh) * 2021-08-23 2021-11-19 杭州安恒信息技术股份有限公司 一种服务器内存回收方法、装置、设备及可读存储介质
KR20230017667A (ko) 2021-07-28 2023-02-06 순천향대학교 산학협력단 Imd 기반 인공 췌장 시스템을 위한 명세 기반의 오동작 탐지 시스템 및 그 방법

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20230017667A (ko) 2021-07-28 2023-02-06 순천향대학교 산학협력단 Imd 기반 인공 췌장 시스템을 위한 명세 기반의 오동작 탐지 시스템 및 그 방법
CN113672390A (zh) * 2021-08-23 2021-11-19 杭州安恒信息技术股份有限公司 一种服务器内存回收方法、装置、设备及可读存储介质

Similar Documents

Publication Publication Date Title
EP3502943B1 (en) Method and system for generating cognitive security intelligence for detecting and preventing malwares
CN113661693B (zh) 经由日志检测敏感数据暴露
JP6212548B2 (ja) カーネルレベル・セキュリティ・エージェント
KR102307534B1 (ko) 다수 소프트웨어 개체들에 걸쳐서 악성 행동을 트래킹하기 위한 시스템들 및 방법들
US8719935B2 (en) Mitigating false positives in malware detection
US8732836B2 (en) System and method for correcting antivirus records to minimize false malware detections
US10216934B2 (en) Inferential exploit attempt detection
US20130318610A1 (en) System and Method for Detection and Treatment of Malware on Data Storage Devices
JP2017527931A (ja) マルウェア検出の方法及びそのシステム
US20170061126A1 (en) Process Launch, Monitoring and Execution Control
JP2016503219A (ja) 認知挙動認識のためのシステムおよびその方法
CA2915068C (en) Systems and methods for directing application updates
US10839074B2 (en) System and method of adapting patterns of dangerous behavior of programs to the computer systems of users
US11477232B2 (en) Method and system for antivirus scanning of backup data at a centralized storage
US10204036B2 (en) System and method for altering application functionality
US11003772B2 (en) System and method for adapting patterns of malicious program behavior from groups of computer systems
US10169584B1 (en) Systems and methods for identifying non-malicious files on computing devices within organizations
EP3831031B1 (en) Listen mode for application operation whitelisting mechanisms
KR20110032449A (ko) 행위기반 탐지 장치 및 방법
KR101865238B1 (ko) 악성 코드 차단 장치 및 이의 동작 방법

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal