WO2024005490A1 - Behavior scan service system, and method for providing behavior scan service - Google Patents

Behavior scan service system, and method for providing behavior scan service Download PDF

Info

Publication number
WO2024005490A1
WO2024005490A1 PCT/KR2023/008891 KR2023008891W WO2024005490A1 WO 2024005490 A1 WO2024005490 A1 WO 2024005490A1 KR 2023008891 W KR2023008891 W KR 2023008891W WO 2024005490 A1 WO2024005490 A1 WO 2024005490A1
Authority
WO
WIPO (PCT)
Prior art keywords
data
behavior
hash value
scan
scan service
Prior art date
Application number
PCT/KR2023/008891
Other languages
French (fr)
Korean (ko)
Inventor
권남
김원혁
Original Assignee
주식회사 안랩
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 안랩 filed Critical 주식회사 안랩
Publication of WO2024005490A1 publication Critical patent/WO2024005490A1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F40/00Handling natural language data
    • G06F40/10Text processing
    • G06F40/12Use of codes for handling textual entities
    • G06F40/151Transformation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols

Definitions

  • the present invention relates to analysis techniques for behavior. More specifically, it relates to technology that enables the provision of cloud-based behavior scanning services for behavior data.
  • Malicious code detection technology uses various methods such as signature-based detection, rule-based detection, and dynamic behavior-based detection.
  • cloud-based malware detection technology has emerged to overcome the limitations of performing all procedures for malware detection in a detection engine stored and installed on the user's PC.
  • Cloud-based malware detection technology uses a method of transmitting the file to be analyzed to a server or transmitting the signature value of the file to be analyzed to the server.
  • the method of sending a file to a server is to send a file to the server and request a scan, and then the server performs all procedures to determine whether the file is malicious or not and delivers the determination result.
  • the method of transmitting the signature value of a file to the server is to extract/generate the signature value for the file and transmit a scan request using the signature value to the server, and the server then sends the remaining information to determine whether it is malicious according to the scan request. It is a method of performing a procedure and delivering the determination result.
  • cloud-based malware detection for files was previously possible through methods such as transmitting the file to the server or transmitting the signature value for the file to the server.
  • the present invention proposes a technical solution that enables cloud-based malware detection even for behavioral data.
  • the technical problem to be solved by the present invention is to provide a behavior scan service system and a method of providing a behavior scan service that enables cloud-based malicious code detection even for behavior data.
  • a method of providing a behavior scan service includes a data generation step of generating prepared data by performing preprocessing on behavior data; A hash value generation step of generating a hash value for the prepared data; and a scan service providing step of providing a behavior scan service that can query analysis results of the behavior data using the generated hash value.
  • the preprocessing may be defined to include a data conversion operation that allows the same Prepared data to be generated in the case of behavior data collected from the same behavior.
  • the preprocessing is a process of selecting feature data that the analysis model used in the behavior scan service uses when learning and predicting, from the meta information of the behavior data, and using the selected feature data to select the Prepared feature data. It may include the process of generating data.
  • the process of generating the prepared data within the preprocessing performs a data conversion operation to convert data that varies depending on the collection environment in which the behavior data was collected from the selected feature data into data unrelated to the collection environment,
  • the prepared data is generated using the characteristic data after performing the data conversion operation, so that the same prepared data can be generated in the case of behavior data collected from the same behavior.
  • the data that varies depending on the collection environment includes data defined as a string related to the personal environment, and the data conversion operation converts the string related to the personal environment from the selected feature data into a predefined general It may be an operation to convert to a string.
  • a hash value can be generated in block units after blocking all of the prepared data, and the hash values in block units can be concatenated to generate a hash value for the prepared data.
  • the scan service provision step provides a cloud-based behavior scan service by linking with a DB (Data Base) built to query the analysis results of behavior data mapped using the hash value as the key. can be provided.
  • DB Data Base
  • the scan service provision step when receiving a meta scan request using the hash value, the analysis result of the behavior data to which the hash value is mapped is searched and retrieved from the DB through a hash value-based query. By returning the results as a scan response, the Meta Scan function can be provided.
  • the scan service provision step upon receiving a Full Scan request using the hash value and the Prepared data, analysis of the Prepared data is performed using a pre-built analysis model, and the resulting analysis results are performed. is returned as a scan response, providing a Full Scan function, and the analysis results according to the analysis can be stored in the DB as the analysis results of behavior data mapped to the hash value.
  • the service may further include a step of enabling the analysis result of the specific behavior data to be searched based on the connection information.
  • a behavior scan service system includes a preprocessing unit that generates prepared data by performing preprocessing on behavior data; A hash value generator that generates a hash value for the prepared data; and a scan service provider that provides a behavior scan service that can query analysis results for the behavior data using the generated hash value.
  • the preprocessing is a process of selecting feature data that the analysis model used in the behavior scan service uses when learning and predicting, from the meta information of the behavior data, and using the selected feature data to select the Prepared feature data. It may include the process of generating data.
  • the process of generating the prepared data within the preprocessing performs a data conversion operation to convert data that varies depending on the collection environment in which the behavior data was collected from the selected feature data into data unrelated to the collection environment,
  • the prepared data is generated using the characteristic data after performing the data conversion operation, so that the same prepared data can be generated in the case of behavior data collected from the same behavior.
  • the data that varies depending on the collection environment includes data defined as a string related to the personal environment, and the data conversion operation converts the string related to the personal environment from the selected feature data into a predefined general It may be an operation to convert to a string.
  • the hash value generator may block all of the prepared data, generate a hash value in block units, and connect the hash values in block units to generate a hash value for the prepared data.
  • the scan service provider provides a cloud-based behavior scan service in conjunction with a DB (Data Base) built to query the analysis results of behavior data mapped using the hash value as the key. can do.
  • DB Data Base
  • the scan service provider when receiving a meta scan request using the hash value, searches the DB for the analysis result of the behavior data to which the hash value is mapped through a hash value-based query and searches for the result of the search. It provides a Meta Scan function by replying as a scan response, and when receiving a Full Scan request using the hash value and the Prepared data, performs analysis on the Prepared data using a pre-built analysis model. The analysis results can be returned as a scan response, providing a full scan function.
  • a hash value for behavior data is generated and a scan request using this is sent to query the analysis results of behavior data specified by the hash value.
  • Cloud-based behavior data is also provided.
  • a new type of behavior scanning service can be implemented that enables detection of malicious code.
  • a cloud-based behavior scanning service can be provided even for behavior data that has problems in which the content of data may be different even for the same behavior depending on capacity issues and collection environments. Derive the effect.
  • Figure 1 is a configuration diagram showing the configuration of a behavior scan service system according to an embodiment of the present invention.
  • Figure 2 is an example diagram conceptually diagramming the process of generating Prepared Data and Hash Value for behavior data in the proposed technology of the present invention.
  • Figure 3 is an example diagram conceptually diagramming the method of generating Hash Value in the proposed technology of the present invention.
  • Figure 4 is an example diagram schematically illustrating the behavior scan service provided by the proposed technology of the present invention.
  • Figure 5 is a flowchart showing the service flow according to a method for providing a behavior scan service according to an embodiment of the present invention.
  • the present invention relates to behavior analysis technology, and more specifically, to technology that enables cloud-based malware detection of behavior data.
  • Malicious code detection technology uses various methods such as signature-based detection, rule-based detection, and dynamic behavior-based detection.
  • cloud-based malware detection technology has emerged to overcome the limitations of performing all procedures for malware detection in a detection engine stored and installed on the user's PC.
  • Cloud-based malware detection technology uses a method of transmitting the file to be analyzed to a server or transmitting the signature value of the file to be analyzed to the server.
  • the method of sending a file to a server is to send a file to the server and request a scan, then the server performs all procedures to determine whether the file is malicious or not and delivers the determination result.
  • the method of transmitting the signature value of a file to the server is to extract/generate the signature value for the file and transmit a scan request using the signature value to the server, and the server then sends the remaining information to determine whether it is malicious according to the scan request. It is a method of performing a procedure and delivering the determination result.
  • cloud-based malware detection for files was previously possible through methods such as transmitting the file to the server or transmitting the signature value for the file to the server.
  • Another reason is that in the case of behavior data collected in one user's PC environment, the collection environment is reflected in the behavior data, so even for the same behavior, the content of the data may vary depending on the collection environment, so data is collected in different collection environments.
  • One technical limitation is that it is difficult to determine that the generated behavior data is the same behavior.
  • the present invention proposes a technical solution that enables cloud-based malware detection even for behavioral data.
  • the key to the present invention is to realize a new type of behavior scanning service that enables cloud-based malware detection for behavior data.
  • Figure 1 shows the configuration of a behavior scan service system 100, which realizes the cloud-based behavior scan service proposed in the present invention.
  • each component in the behavior scan service system 100 that realizes the cloud-based behavior scan service of the present invention is conceptually schematized. In actual implementation, each component can be distributed and implemented on the client and server. .
  • the behavior scan service system 100 will include a preprocessing unit 110, a hash value generation unit 120, and a scan service provider 130. You can.
  • the behavior scan service system 100 can realize the technical solution proposed by the present invention, that is, the cloud-based behavior scan service, through the above-described configuration.
  • each component in the behavior scan service system 100 of the present invention may all be implemented on a remote server.
  • each component in the behavior scan service system 100 of the present invention includes a client mounted/operated in the form of a program or application on a user system (e.g., PC, terminal, etc.), It can also be distributed and implemented on remote servers.
  • a client mounted/operated in the form of a program or application on a user system (e.g., PC, terminal, etc.), It can also be distributed and implemented on remote servers.
  • the preprocessing performing unit 110 and the hash value generating unit 120 are implemented in the client, and the scan service providing unit ( 130) can be implemented on the server.
  • each component in the behavior scan service system 100 of the present invention is distributed and implemented on the client and server may vary.
  • the following will refer to an implementation example in which the preprocessing unit 110 and the hash value generation unit 120 are implemented in the client, and the scan service provider 130 is implemented in the server.
  • the preprocessing unit 110 is responsible for generating prepared data by performing preprocessing on behavior data.
  • the hash value generation unit 120 is responsible for generating a hash value for the prepared data generated in the preprocessing unit 110.
  • Figure 2 is an example diagram conceptually diagramming the process of generating Prepared Data and Hash Value for behavior data in the proposed technology of the present invention.
  • behavior data is data about interconnected actions that occur in a user system (e.g., PC, terminal, etc.) to which the behavior scan service system 100 of the present invention is applied, and is data about interconnected actions that occur in the user system (e.g., PC, terminal, etc.).
  • behavior data when and to what extent behavior data is collected, if a behavior requiring analysis is detected by a separate detection rule within the user system (e.g. PC, terminal, etc.), the data may be collected for the behavior.
  • a behavior requiring analysis is detected by a separate detection rule within the user system (e.g. PC, terminal, etc.)
  • the data may be collected for the behavior.
  • timing and target at which behavior data is collected may be collected for behaviors selected according to predefined collection criteria, among behaviors not detected by a separate detection rule.
  • the preprocessing unit 110 may generate prepared data by performing preprocessing on behavior data collected from a user system (e.g., PC, terminal, etc.).
  • a user system e.g., PC, terminal, etc.
  • the preprocessing performed by the preprocessing unit 110 may be defined to include a data conversion operation that allows the same Prepared Data to be generated in the case of behavior data collected from the same behavior.
  • the same Prepared Data is generated in the case of behavior data collected from the same behavior, thereby preventing the problem of behavior data, that is, the problem of the same behavior depending on the collection environment. It can solve problems where the content of the data may be different.
  • the preprocessing performed by the preprocessing unit 110 selects feature data that the analysis model used in the behavior scan service uses for learning and prediction from the meta information of the behavior data. It can be defined as including the process of generating the Prepared Data using the selected Feature Data.
  • the process of generating the Prepared Data within the preprocessing is performed by performing a data conversion operation to convert data that varies depending on the collection environment in which the behavior data was collected from the selected Feature Data into data unrelated to the collection environment.
  • Prepared Data is created so that the same Prepared Data can be created in the case of behavior data collected from the same behavior.
  • an analysis model can be used to analyze whether behavior data is malicious.
  • pre-specified feature data is learned for the behavior data of the learning target, and based on this learning, predicted analysis results for the behavior data (e.g., maliciousness, possibility of maliciousness, etc. ) can be used to derive/provide a behavior-based ML (Machine Learning) model (reference number 20 in FIG. 4).
  • predicted analysis results for the behavior data e.g., maliciousness, possibility of maliciousness, etc.
  • ML Machine Learning
  • the preprocessing unit 110 selects the features that the analysis model (e.g., behavior-based ML model) used in the behavior scan service uses for learning and prediction from the meta information of the behavior data collected this time.
  • the process of selecting data can be performed.
  • the preprocessing unit 110 may perform the process of generating prepared data using feature data selected from the meta information of the behavior data collected this time, according to the preprocessing performance.
  • the present invention seeks to solve the problem that the content of data may be different even for the same action depending on the collection environment through a data conversion operation during the process of creating prepared data using feature data.
  • the preprocessing unit 110 performs a data conversion operation to convert data that varies depending on the collection environment in which the behavioral data was collected from the previously selected Feature Data into data unrelated to the collection environment, according to the preprocessing performance. do.
  • data that varies depending on the collection environment may include data defined as a string related to the personal environment.
  • strings related to personal environment may be strings corresponding to personal names or IDs in path data, as in Example 1 below, or may be strings containing internal IPs, as in Example 2 below.
  • strings related to personal environments may be defined in various forms/types/types.
  • the preprocessing unit 110 searches for a string related to the personal environment in the previously selected Feature Data according to the preprocessing, and converts the string into a predefined general string as data unrelated to the collection environment. You can perform data conversion operations.
  • the preprocessing unit 110 selects Feature Data from the meta information of the behavior data collected this time and performs a data conversion operation to convert a string related to the personal environment from the selected Feature Data into a general string.
  • the same Prepared Data can be created in the case of action data collected from the same action.
  • a data conversion operation is performed so that the same Prepared Data can be generated in the case of behavior data collected from the same behavior, so that the same behavior can be generated depending on the collection environment. It is possible to solve problems where the content of data may be different.
  • the hash value generation unit 120 is responsible for generating a hash value for the prepared data generated in the preprocessing unit 110.
  • the hash value generator 120 blocks the entire prepared data, generates a hash value in block units, and connects the hash values in blocks to generate a hash value for this prepared data. You can.
  • the Hash Value when creating a Hash Value from Prepared Data of behavior data, the Hash Value can be created using the Piecewise Hash technique.
  • the hash value generator 120 processes the entire prepared data into a string based on the CTPH (Context-Trigger Piecewise Hash) method, finds the boundary (context) in the entire string, blocks it, and then blocks each string.
  • Hash Value can be created in block units.
  • the hash value generator 120 can connect the Hash Value in block units and generate it as a Hash Value for this Prepared Data.
  • the hash value generator 120 processes the entire prepared data into a string based on the FLC (Fixed Length Chunking) method, blocks the entire string to a predetermined size, and then generates a hash for each block. By creating a Value and connecting the Hash Value in block units, it can be created as a Hash Value for this Prepared Data.
  • FLC Fixed Length Chunking
  • Figure 3 shows a simplified process of generating a hash value using the Piecewise Hash technique as in the above-described embodiments of the present invention.
  • the present invention is not limited to the hashing method according to the above embodiment, and various methods can be used as long as it is a hashing method that can generate a Hash Value for Prepared Data by hashing Prepared Data in block units and connecting Hash Values in block units. You will be able to use it.
  • the Hash Value is generated using the Piecewise Hash technique in generating Hash Value from Prepared Data of behavior data, and the analysis result of the behavior data specified by using this Hash Value as a key is generated.
  • a scanning service can be provided for the inquiry.
  • the scan service provider 130 uses the Hash Value generated by the hash value generator 120 to provide a behavior scan service that allows you to check the analysis results of the current behavior data. is in charge of
  • a cloud-based behavioral scan service can be provided by the scan service provider 130.
  • the scan service provider 130 uses a DB (Data Base, the behavior meta information DB of FIG. 4) that is built to query the analysis results of behavior data mapped using Hash Value as a key.
  • DB Data Base, the behavior meta information DB of FIG. 4
  • a cloud-based behavior scanning service can be provided.
  • the behavior-based ML model 20 learns feature data that is pre-specified for the behavior data to be learned and learns about the behavior data based on this learning. Predicted analysis results can be derived/provided.
  • the behavior meta information DB 10 stores/manages the analysis results of each behavior data analyzed by the behavior-based ML model 20 by mapping them to the Hash Value of the behavior data, and requests a query based on Hash Value ( Query), the analysis result mapped to the same Hash Value as the corresponding Hash Value can be delivered as a search result.
  • the Hash Value mapped to the analysis result of the behavior data in the behavior meta information DB 10 is pre-processed and hash value generated in the same manner as the above-described pre-processing unit 110 and hash value generation unit 120. It can be created.
  • behavior data collection, preprocessing, and Hash generation are performed in the client (eg, 110, 120), and behavior scan service provision can be performed in the server (eg, 130).
  • the scan service provider 130 retrieves the behavioral meta information DB 10 through a Hash Value-based query.
  • the Meta Scan function can be provided by querying the analysis results of the behavioral data to which Hash Value has been mapped and returning the query results as a Scan response.
  • the client e.g. 110, 120
  • the client performs preprocessing on the behavioral data and generates Hash (Prepared Data -> Hash Value), Hash Value.
  • the server that received the Meta Scan request that is, the scan service provider 130, transmits a Hash Value-based Query to the behavior meta information DB 10 to check the analysis results of the behavior data to which the Hash Value is mapped. do.
  • the scan service provider 130 can obtain “Scan Information_Behavior Data Analysis Result” as a harmonization result if an analysis result mapped to the same Hash Value as the corresponding Hash Value exists in the behavior meta information DB 10. .
  • the scan service provider 130 may obtain “not found” as a harmonization result if the analysis result mapped to the same Hash Value as the corresponding Hash Value does not exist in the behavior meta information DB 10.
  • the scan service provider 130 may return the inquiry result to the client as a Scan response (e.g., Scan Information_behavioral data analysis result, or not found).
  • a Scan response e.g., Scan Information_behavioral data analysis result, or not found.
  • the user system e.g., PC, terminal, etc.
  • the cloud-based behavior scan service provided by the scan service provider 130 through a client (e.g., 110, 120) to which the present invention is applied.
  • security measures can be taken, such as blocking actions analyzed as malicious.
  • the scan service provider 130 when receiving a Full Scan request using Hash Value and Prepared Data, the scan service provider 130 utilizes the previously built behavior-based ML model 20 to Full Scan function can be provided by performing analysis on Prepared Data and returning the analysis results as a Scan response.
  • the scan service provider 130 stores the analysis results of the analysis using the behavior-based ML model 20 in the behavior meta information DB 10 as a result of analysis of behavior data mapped to the Hash Value. Can be saved (Hash Value/result).
  • the client e.g., 110, 120
  • it can request a full scan using Hash Value and Prepared Data from the server (e.g., 130). .
  • the client e.g. 110, 120
  • it performs pre-processing on the behavioral data and generates Hash (Behavior Data -> Prepared Data -> Hash Value) and then immediately generates the Hash.
  • You can also request a full scan using Value and Prepared Data from the server (e.g. 130).
  • the server that received the Full Scan request that is, the scan service provider 130, uses the behavior-based ML model 20 to analyze the Prepared Data according to this Full Scan request, and the analysis result accordingly. can be returned to the client as a Scan response (e.g., behavioral data analysis result).
  • a Scan response e.g., behavioral data analysis result
  • the user system e.g., PC, terminal, etc.
  • the cloud-based behavior scan service provided by the scan service provider 130 through a client (e.g., 110, 120) to which the present invention is applied.
  • security measures can be taken, such as blocking actions analyzed as malicious.
  • the scan service provider 130 returns the analysis result of this analysis to the client as a Scan response, and uses the analysis result of this analysis as behavioral meta information as a result of the analysis of behavior data mapped to the Hash Value. It can be stored in DB (10) (Hash Value/result).
  • the scan service provider 130 requests delivery of the original behavior data while replying to the client with a Scan response according to this Full Scan request, collects the original behavior data from the client and stores it in the behavior collection Data Store 30. You can.
  • the scan service provider 130 collects and stores the original behavior data in the behavior collection Data Store 30, allowing it to be used to increase the performance of the behavior-based ML model 20 or to provide various and accurate data in a cloud environment. It can also be used to provide behavior analysis results.
  • the scan service provider 130 collects and stores original behavior data that is determined to require collection of original behavior data according to various standards, in addition to the behavior data requested for Full Scan, and operates the Behavior Collection Data Store (30). You may also be able to save it in .
  • the preprocessing process may change, such as changing the code used in the process of generating Prepared Data from behavior data, or the process of generating Hash Value from Prepared Data may change.
  • the Hash Value for the same behavior data may be different from the one generated before the process change and the one generated after the process change.
  • the pre-processing process and/or the hash value generation process changes, it is intended to be able to view and provide consistent analysis results for the same behavior data.
  • the difference between the Hash Value generated after the event and the Hash Value before the event is changed.
  • This event can be recognized when the pre-processing process and/or the Hash Value generation process are changed (e.g., updated) in terms of operating the cloud-based behavior scan service of the present invention.
  • specific behavior data may refer to each behavior data that can be viewed as an analysis result in the behavior meta information DB 10.
  • the behavior meta information DB 10 recognizes an event when the pre-processing process and/or the hash value generation process changes (e.g., update), so each behavior can be viewed as an analysis result in the behavior meta information DB 10. You can manage information linking the Hash Value generated after the data event and the Hash Value before the event.
  • query Result mapping information information (hereinafter referred to as query Result mapping information) can be managed.
  • the search result mapping information generated after the event (right side of Table 1) can be managed by connecting it with the search result mapping information before the event (left side of Table 1). You can.
  • Table 1 above shows four search result mapping information, but this is only an example.
  • the scan service provider 130 returns the analysis result (Scan Information_result#1) of the behavior data to which Hash Value 1 is mapped as a Scan response even to the Meta Scan request using Hash Value 1 before the event, and responds to the Meta Scan request using Hash Value 1 before the event. Even in response to a Meta Scan request using Hash Value 11, the analysis result of the behavior data to which Hash Value 11 is mapped (Scan Information_result#1) is returned as a scan response, allowing consistent analysis results to be viewed and provided for the same behavior data. .
  • Prepared Data -> Hash Value for behavior data is created and a scan request using this is sent to query the analysis results of behavior data specified by the Hash Value.
  • a new type of behavior scanning service can be implemented that enables cloud-based malware detection for data.
  • the user system e.g. PC, terminal, etc.
  • the cloud-based behavior scanning service provided by the present invention and take security measures such as blocking behavior analyzed as malicious through this. You will be able to.
  • the Hash Value is generated using the Piecewise Hash technique in generating Hash Value from Prepared Data of behavior data, and the Hash Value is generated by providing a behavior scan service that uses this Hash Value as a key.
  • the Hash Value is generated using the Piecewise Hash technique in generating Hash Value from Prepared Data of behavior data
  • the Hash Value is generated by providing a behavior scan service that uses this Hash Value as a key.
  • the performance of behavior-based ML models can be improved by collecting original behavior data in various environments and using it for learning and analysis, and providing diverse and accurate behavior analysis results in a cloud environment to provide meaningful analysis results to users. can be provided.
  • the method for providing a behavior scan service of the present invention will be described by referring to the behavior scan service system 100 as the operating entity.
  • the behavior scan service system 100 can collect behavior data from a user system (eg, PC, terminal, etc.) (S10).
  • a user system eg, PC, terminal, etc.
  • the behavior scan service system 100 can generate prepared data by performing preprocessing on the collected behavior data (S20).
  • the behavior scan service system 100 performs preprocessing, and the behavior-based ML model 20 used in the behavior scan service uses the feature data for learning and prediction from the meta information of the behavior data collected this time. Select .
  • the behavior scan service system 100 performs preprocessing and generates prepared data using feature data selected from the meta information of the behavior data collected this time.
  • the present invention seeks to solve the problem that the content of data may be different even for the same action depending on the collection environment through a data conversion operation during the process of creating prepared data using feature data.
  • the behavior scan service system 100 searches for a string related to the personal environment in the previously selected Feature Data according to preprocessing, and converts the string into a predefined general string as data unrelated to the collection environment. You can perform data conversion operations.
  • the behavior scan service system 100 selects feature data from the meta information of the behavior data collected this time according to preprocessing, and performs a data conversion operation to convert a string related to the personal environment from the selected feature data into a general string.
  • Prepared Data By creating Prepared Data after performing , the same Prepared Data can be created in the case of behavior data collected from the same behavior.
  • the behavior scan service system 100 can generate a hash value for the prepared data generated in step S20 (S30).
  • the behavior scan service system 100 blocks the entire Prepared Data, generates Hash Value in block units, and connects the Hash Value in block units to generate Hash Value for this Prepared Data. You can.
  • the behavior scan service system 100 uses the Hash Value generated in step S30 as a key to query the analysis results for the specified behavior data.
  • Action scanning service can be provided to the user system (e.g. PC, terminal, etc.).
  • FIG. 5 The operating part of the server (e.g., 130), which provides the cloud-based behavior scanning service proposed in the present invention, is shown with a dotted line.
  • the client (e.g., 110, 120) of the behavior scan service system 100 is a server (e.g., 130) that provides the cloud-based behavior scan service proposed in the present invention, and Hash Value You can request a meta scan using (S40).
  • the clients e.g., 110, 120
  • the behavior scan service system 100 collect behavior data for behavior requiring analysis (S10), they perform preprocessing on the behavior data and generate Hash (Prepared Data -> Hash Value, S20/S30), Meta Scan using Hash Value can be requested to the server (e.g. 130) (S40).
  • the server e.g., 130
  • the server e.g., 130
  • the server transmits a Hash Value-based query according to the request to the behavior meta information DB 10 to retrieve the behavior data to which the Hash Value is mapped.
  • the server (e.g., 130) of the behavior scan service system 100 if an analysis result mapped to the same Hash Value as the corresponding Hash Value exists in the behavior meta information DB 10, “Scan Information_Behavior Data” as the harmonization result. "Analysis result” can be obtained, and if the analysis result mapped to the same Hash Value as the corresponding Hash Value does not exist in the behavior meta information DB (10), "not found” can be obtained as the harmonization result.
  • the server (e.g., 130) of the behavior scan service system 100 may return the inquiry result to the client as a Scan response (e.g., Scan Information_behavioral data analysis result, or not found) (S50).
  • Scan response e.g., Scan Information_behavioral data analysis result, or not found
  • the client e.g., 110, 120
  • receives a Scan response e.g., Scan Information_behavioral data analysis result, or not found
  • a Scan response e.g., Scan Information_behavioral data analysis result, or not found
  • the server e.g., 130
  • Delivered to the user system e.g. PC, terminal, etc.
  • the user system e.g. PC, terminal, etc.
  • the cloud-based behavior scanning service through the client to which the present invention is applied (e.g. 110, 120), and through this, the behavior analyzed as malicious can be blocked. Security measures may be taken.
  • the client e.g., 110, 120
  • the server e.g. : 130
  • the server e.g., 130
  • the server uses the behavior-based ML model 20 to analyze the Prepared Data according to this Full Scan request and the result of the analysis. can be returned to the client as a Scan response (e.g., behavioral data analysis result) (S80).
  • Scan response e.g., behavioral data analysis result
  • the server (e.g., 130) of the behavior scan service system 100 returns the analysis result of this analysis to the client as a Scan response, and converts the analysis result of this analysis into behavior data mapped to the Hash Value.
  • the server e.g., 130
  • the server e.g., 130
  • it can be stored in the behavior meta information DB (10) (Hash Value/result) (S80).
  • the client e.g., 110, 120
  • receives a scan response e.g., behavior data analysis result
  • the server e.g., 130
  • the user system e.g., PC, terminal, etc.
  • the user system e.g. PC, terminal, etc.
  • the cloud-based behavior scanning service through the client to which the present invention is applied (e.g. 110, 120), and through this, the behavior analyzed as malicious can be blocked. Security measures may be taken.
  • the server (e.g., 130) of the behavior scan service system 100 returns a Scan response according to this Full Scan request to the client and requests delivery of the original behavior data to collect and collect the original behavior data from the client.
  • the server e.g., 130
  • the server e.g., 130
  • the server e.g., 130
  • the server e.g., 130
  • the server e.g., 130
  • the Data Store (30) S100
  • it can be used to increase the performance of the behavior-based ML model (20) or to provide diverse and accurate behavior analysis results in a cloud environment.
  • the method of providing a behavior scan service may be implemented in the form of program instructions that can be executed through various computer means and recorded on a computer-readable medium.
  • the computer-readable medium may include program instructions, data files, data structures, etc., singly or in combination.
  • Program instructions recorded on the medium may be specially designed and constructed for the present invention or may be known and usable by those skilled in the art of computer software. Examples of computer-readable recording media include magnetic media such as hard disks, floppy disks, and magnetic tapes, optical media such as CD-ROMs and DVDs, and magnetic media such as floptical disks.
  • optical media magnetic-optical media
  • hardware devices specifically configured to store and execute program instructions, such as ROM, RAM, flash memory, etc.
  • program instructions include machine language code, such as that produced by a compiler, as well as high-level language code that can be executed by a computer using an interpreter, etc.
  • the hardware device may be configured to operate as one or more software modules to perform the operations of the present invention, and vice versa.

Abstract

In the present invention, a hash value for behavior data is generated and a scan request using same is transmitted so that analysis results of the behavior data specified by the hash value is queried, and thus a novel behavior scan service is implemented to detect cloud-based malicious code even for behavior data.

Description

행위 스캔 서비스 시스템 및 행위 스캔 서비스의 제공 방법Behavior scan service system and method of providing behavior scan service
본 발명은 행위에 대한 분석 기술에 관한 것이다. 더욱 상세하게는, 행위 데이터에 대한 클라우드 기반의 행위 스캔 서비스 제공이 가능하도록 하는 기술에 관한 것이다.The present invention relates to analysis techniques for behavior. More specifically, it relates to technology that enables the provision of cloud-based behavior scanning services for behavior data.
본원 출원은 2022년 07월 01일자로 출원된 한국 출원 제10-2022-0081418호의 우선권을 주장하고, 이러한 출원의 내용 전체가 모든 목적들을 위해서 참조로서 본원에 포함된다.This application claims priority to Korean Application No. 10-2022-0081418, filed on July 1, 2022, and the entire contents of this application are incorporated herein by reference for all purposes.
악성코드 탐지 기술은 시그니처 기반 탐지, 룰(Rule) 기반 탐지, 동적 행위 기반 탐지 등의 다양한 방법들을 사용하고 있다.Malicious code detection technology uses various methods such as signature-based detection, rule-based detection, and dynamic behavior-based detection.
특히, 사용자 PC에 저장 및 설치되는 탐지 엔진에서 악성코드 탐지를 위한 모든 절차를 수행하는 방법의 한계를 극복하기 위해, 클라우드 기반의 악성코드 탐지 기술이 등장하였다.In particular, cloud-based malware detection technology has emerged to overcome the limitations of performing all procedures for malware detection in a detection engine stored and installed on the user's PC.
클라우드 기반 악성코드 탐지 기술에서는, 분석 대상의 파일을 서버에 전송하는 방식이나, 분석 대상 파일에 대한 시그니처 값을 서버에 전달하는 방식을 사용하고 있다.Cloud-based malware detection technology uses a method of transmitting the file to be analyzed to a server or transmitting the signature value of the file to be analyzed to the server.
파일을 서버에 전송하는 방식은, 파일을 서버에 전송하여 스캔 요청하면, 서버에서 파일에 대해 악성여부 판별을 위한 제반 절차를 모두 수행하고 판별 결과를 전달해주는 방식이다.The method of sending a file to a server is to send a file to the server and request a scan, and then the server performs all procedures to determine whether the file is malicious or not and delivers the determination result.
한편, 파일의 시그니처 값을 서버에 전달하는 방식은, 파일에 대한 시그니처 값을 추출/생성하고 시그니처 값을 이용한 스캔 요청을 서버에 전달하면, 서버에서 스캔 요청에 따라 악성여부 판별을 위한 그 외의 나머지 절차를 수행하고 판별 결과를 전달해주는 방식이다.Meanwhile, the method of transmitting the signature value of a file to the server is to extract/generate the signature value for the file and transmit a scan request using the signature value to the server, and the server then sends the remaining information to determine whether it is malicious according to the scan request. It is a method of performing a procedure and delivering the determination result.
이렇듯, 기존에는, 파일을 서버에 전송하는 방식이나 파일에 대한 시그니처 값을 서버에 전달하는 방식 등을 통해, 파일에 대한 클라우드 기반의 악성코드 탐지가 가능하였다.In this way, cloud-based malware detection for files was previously possible through methods such as transmitting the file to the server or transmitting the signature value for the file to the server.
한편, 파일 뿐만 아니라 사용자 PC에서 일어나는 행위에 대해서도 악성여부 탐지가 필요한데, 행위 데이터에 대한 클라우드 기반의 악성코드 탐지 기술이 제공되지 못하고 있다.Meanwhile, it is necessary to detect maliciousness not only for files but also for actions that occur on the user's PC, but cloud-based malicious code detection technology for action data is not provided.
그 이유로는, 행위 데이터의 용량이 크다는 점을 들 수 있다.The reason for this is that the volume of behavior data is large.
또 다른 이유로는, 사용자 PC 환경에서 수집된 행위 데이터의 경우는 수집 환경이 행위 데이터에 반영되기 때문에, 동일한 행위에 대한 것이라도 수집 환경에 따라 데이터의 내용이 달라질 수 있으므로 서로 다른 수집 환경에서 수집된 행위 데이터를 동일한 행위라고 판단하기 어렵다는 기술적 한계점을 들 수 있다.Another reason is that in the case of behavior data collected in the user's PC environment, the collection environment is reflected in the behavior data, so even for the same behavior, the content of the data may vary depending on the collection environment, so data collected in different collection environments One technical limitation is that it is difficult to judge behavioral data as the same behavior.
이에 본 발명에서는, 행위 데이터에 대해서도 클라우드 기반의 악성코드 탐지가 가능하도록 하는 기술 방안을 제안한다.Accordingly, the present invention proposes a technical solution that enables cloud-based malware detection even for behavioral data.
본 발명에서 해결하고자 하는 기술적 과제는, 행위 데이터에 대해서도 클라우드 기반의 악성코드 탐지가 가능하도록 하는 행위 스캔 서비스 시스템 및 행위 스캔 서비스의 제공 방법을 제공하는데 있다.The technical problem to be solved by the present invention is to provide a behavior scan service system and a method of providing a behavior scan service that enables cloud-based malicious code detection even for behavior data.
본 발명의 일 실시 예에 따른 행위 스캔 서비스의 제공 방법은, 행위 데이터에 대한 전처리 수행을 통해 Prepared 데이터를 생성하는 데이터 생성단계; 상기 Prepared 데이터에 대한 해시값(Hash Value)을 생성하는 해시값 생성단계; 및 상기 생성한 해시값을 이용하여, 상기 행위 데이터에 대한 분석 결과를 조회할 수 있는 행위 스캔 서비스를 제공하는 스캔 서비스 제공단계를 포함한다.A method of providing a behavior scan service according to an embodiment of the present invention includes a data generation step of generating prepared data by performing preprocessing on behavior data; A hash value generation step of generating a hash value for the prepared data; and a scan service providing step of providing a behavior scan service that can query analysis results of the behavior data using the generated hash value.
구체적으로, 상기 전처리는, 동일한 행위로부터 수집된 행위 데이터의 경우 동일한 Prepared 데이터가 생성될 수 있도록 하는 데이터 변환 동작을 포함하여 정의될 수 있다.Specifically, the preprocessing may be defined to include a data conversion operation that allows the same Prepared data to be generated in the case of behavior data collected from the same behavior.
구체적으로, 상기 전처리는, 상기 행위 데이터의 메타정보로부터, 상기 행위 스캔 서비스에서 활용되는 분석 모델이 학습 및 예측 시 사용하는 특징(Feature) 데이터를 선정하는 과정, 상기 선정한 특징 데이터를 이용하여 상기 Prepared 데이터를 생성하는 과정을 포함할 수 있다.Specifically, the preprocessing is a process of selecting feature data that the analysis model used in the behavior scan service uses when learning and predicting, from the meta information of the behavior data, and using the selected feature data to select the Prepared feature data. It may include the process of generating data.
구체적으로, 상기 전처리 내 상기 Prepared 데이터를 생성하는 과정은, 상기 선정한 특징 데이터에서 상기 행위 데이터가 수집된 수집 환경에 따라 가변되는 데이터를 수집 환경과 무관한 데이터로 변환하는 데이터 변환 동작을 수행하고, 상기 데이터 변환 동작 수행 후의 특징 데이터를 이용하여 상기 Prepared 데이터를 생성하여, 동일한 행위로부터 수집된 행위 데이터의 경우 동일한 Prepared 데이터가 생성될 수 있게 한다.Specifically, the process of generating the prepared data within the preprocessing performs a data conversion operation to convert data that varies depending on the collection environment in which the behavior data was collected from the selected feature data into data unrelated to the collection environment, The prepared data is generated using the characteristic data after performing the data conversion operation, so that the same prepared data can be generated in the case of behavior data collected from the same behavior.
구체적으로, 상기 수집 환경에 따라 가변되는 데이터는, 개인 환경과 관련되는 문자열로 정의되는 데이터를 포함하며, 상기 데이터 변환 동작은, 상기 선정한 특징 데이터에서 상기 개인 환경과 관련되는 문자열을 기 정의된 일반 문자열로 변환하는 동작일 수 있다.Specifically, the data that varies depending on the collection environment includes data defined as a string related to the personal environment, and the data conversion operation converts the string related to the personal environment from the selected feature data into a predefined general It may be an operation to convert to a string.
구체적으로, 상기 해시값 생성단계는, 상기 Prepared 데이터 전체를 블록화한 후 블록 단위로 해시값을 생성하고, 상기 블록 단위의 해시값을 연결하여 상기 Prepared 데이터에 대한 해시값으로서 생성할 수 있다. Specifically, in the hash value generation step, a hash value can be generated in block units after blocking all of the prepared data, and the hash values in block units can be concatenated to generate a hash value for the prepared data.
구체적으로, 상기 스캔 서비스 제공단계는, 해시값을 키(Key)로 하여 맵핑되는 행위 데이터에 대한 분석 결과를 조회할 수 있도록 구축된 DB(Data Base)와 연동하여, 클라우드 기반의 행위 스캔 서비스를 제공할 수 있다.Specifically, the scan service provision step provides a cloud-based behavior scan service by linking with a DB (Data Base) built to query the analysis results of behavior data mapped using the hash value as the key. can be provided.
구체적으로, 상기 스캔 서비스 제공단계는, 상기 해시값을 이용한 메타 스캔(Meta Scan) 요청 수신 시, 해시값 기반의 쿼리를 통해 상기 DB로부터 상기 해시값이 맵핑된 행위 데이터의 분석 결과를 조회하고 조회 결과를 스캔 응답으로 회신하여, Meta Scan 기능을 제공할 수 있다.Specifically, in the scan service provision step, when receiving a meta scan request using the hash value, the analysis result of the behavior data to which the hash value is mapped is searched and retrieved from the DB through a hash value-based query. By returning the results as a scan response, the Meta Scan function can be provided.
구체적으로, 상기 스캔 서비스 제공단계는, 상기 해시값 및 상기 Prepared 데이터를 이용한 전체 스캔(Full Scan) 요청 수신 시, 기 구축된 분석 모델을 활용해 상기 Prepared 데이터에 대한 분석을 수행하고 이에 따른 분석 결과를 스캔 응답으로 회신하여, Full Scan 기능을 제공하며, 상기 분석 수행에 따른 분석 결과를 상기 해시값에 맵핑되는 행위 데이터의 분석 결과로서 상기 DB에 저장할 수 있다.Specifically, in the scan service provision step, upon receiving a Full Scan request using the hash value and the Prepared data, analysis of the Prepared data is performed using a pre-built analysis model, and the resulting analysis results are performed. is returned as a scan response, providing a Full Scan function, and the analysis results according to the analysis can be stored in the DB as the analysis results of behavior data mapped to the hash value.
구체적으로, 상기 DB에서 특정 행위 데이터에 대한 분석 결과에 맵핑된 해시값이 변경되는 이벤트 시, 상기 이벤트 이후 생성된 해시값과 상기 이벤트 이전의 해시값 간을 연결하는 정보를 관리하여, 상기 행위 스캔 서비스에서 상기 이벤트 이전의 해시값을 이용하더라도 상기 연결 정보를 근거로 상기 특정 행위 데이터에 대한 분석 결과가 조회될 수 있게 하는 단계를 더 포함할 수 있다.Specifically, in the event that the hash value mapped to the analysis result of specific behavior data in the DB changes, information linking the hash value generated after the event and the hash value before the event is managed to scan the behavior. Even if the service uses the hash value before the event, it may further include a step of enabling the analysis result of the specific behavior data to be searched based on the connection information.
본 발명의 일 실시 예에 따른 행위 스캔 서비스 시스템은, 행위 데이터에 대한 전처리 수행을 통해 Prepared 데이터를 생성하는 전처리 수행부; 상기 Prepared 데이터에 대한 해시값(Hash Value)을 생성하는 해시값 생성부; 및 상기 생성한 해시값을 이용하여, 상기 행위 데이터에 대한 분석 결과를 조회할 수 있는 행위 스캔 서비스를 제공하는 스캔 서비스 제공부를 포함한다.A behavior scan service system according to an embodiment of the present invention includes a preprocessing unit that generates prepared data by performing preprocessing on behavior data; A hash value generator that generates a hash value for the prepared data; and a scan service provider that provides a behavior scan service that can query analysis results for the behavior data using the generated hash value.
구체적으로, 상기 전처리는, 상기 행위 데이터의 메타정보로부터, 상기 행위 스캔 서비스에서 활용되는 분석 모델이 학습 및 예측 시 사용하는 특징(Feature) 데이터를 선정하는 과정, 상기 선정한 특징 데이터를 이용하여 상기 Prepared 데이터를 생성하는 과정을 포함할 수 있다.Specifically, the preprocessing is a process of selecting feature data that the analysis model used in the behavior scan service uses when learning and predicting, from the meta information of the behavior data, and using the selected feature data to select the Prepared feature data. It may include the process of generating data.
구체적으로, 상기 전처리 내 상기 Prepared 데이터를 생성하는 과정은, 상기 선정한 특징 데이터에서 상기 행위 데이터가 수집된 수집 환경에 따라 가변되는 데이터를 수집 환경과 무관한 데이터로 변환하는 데이터 변환 동작을 수행하고, 상기 데이터 변환 동작 수행 후의 특징 데이터를 이용하여 상기 Prepared 데이터를 생성하여, 동일한 행위로부터 수집된 행위 데이터의 경우 동일한 Prepared 데이터가 생성될 수 있게 한다.Specifically, the process of generating the prepared data within the preprocessing performs a data conversion operation to convert data that varies depending on the collection environment in which the behavior data was collected from the selected feature data into data unrelated to the collection environment, The prepared data is generated using the characteristic data after performing the data conversion operation, so that the same prepared data can be generated in the case of behavior data collected from the same behavior.
구체적으로, 상기 수집 환경에 따라 가변되는 데이터는, 개인 환경과 관련되는 문자열로 정의되는 데이터를 포함하며, 상기 데이터 변환 동작은, 상기 선정한 특징 데이터에서 상기 개인 환경과 관련되는 문자열을 기 정의된 일반 문자열로 변환하는 하는 동작일 수 있다.Specifically, the data that varies depending on the collection environment includes data defined as a string related to the personal environment, and the data conversion operation converts the string related to the personal environment from the selected feature data into a predefined general It may be an operation to convert to a string.
구체적으로, 상기 해시값 생성부는, 상기 Prepared 데이터 전체를 블록화한 후 블록 단위로 해시값을 생성하고, 상기 블록 단위의 해시값을 연결하여 상기 Prepared 데이터에 대한 해시값으로서 생성할 수 있다.Specifically, the hash value generator may block all of the prepared data, generate a hash value in block units, and connect the hash values in block units to generate a hash value for the prepared data.
구체적으로, 상기 스캔 서비스 제공부는, 해시값을 키(Key)로 하여 맵핑되는 행위 데이터에 대한 분석 결과를 조회할 수 있도록 구축된 DB(Data Base)와 연동하여, 클라우드 기반의 행위 스캔 서비스를 제공할 수 있다.Specifically, the scan service provider provides a cloud-based behavior scan service in conjunction with a DB (Data Base) built to query the analysis results of behavior data mapped using the hash value as the key. can do.
구체적으로, 상기 스캔 서비스 제공부는, 상기 해시값을 이용한 메타 스캔(Meta Scan) 요청 수신 시, 해시값 기반의 쿼리를 통해 상기 DB로부터 상기 해시값이 맵핑된 행위 데이터의 분석 결과를 조회하고 조회 결과를 스캔 응답으로 회신하여, Meta Scan 기능을 제공하고, 상기 해시값 및 상기 Prepared 데이터를 이용한 전체 스캔(Full Scan) 요청 수신 시, 기 구축된 분석 모델을 활용해 상기 Prepared 데이터에 대한 분석을 수행하고 이에 따른 분석 결과를 스캔 응답으로 회신하여, Full Scan 기능을 제공할 수 있다.Specifically, when receiving a meta scan request using the hash value, the scan service provider searches the DB for the analysis result of the behavior data to which the hash value is mapped through a hash value-based query and searches for the result of the search. It provides a Meta Scan function by replying as a scan response, and when receiving a Full Scan request using the hash value and the Prepared data, performs analysis on the Prepared data using a pre-built analysis model. The analysis results can be returned as a scan response, providing a full scan function.
본 발명의 실시 예들에 따르면, 행위 데이터에 대한 해시값(Hash Value)을 생성하고 이를 이용한 스캔 요청을 전달하여 Hash Value로 특정되는 행위 데이터의 분석 결과를 조회하는 방식으로, 행위 데이터에 대해서도 클라우드 기반의 악성코드 탐지가 가능하도록 하는 새로운 방식의 행위 스캔 서비스를 실현할 수 있다.According to embodiments of the present invention, a hash value for behavior data is generated and a scan request using this is sent to query the analysis results of behavior data specified by the hash value. Cloud-based behavior data is also provided. A new type of behavior scanning service can be implemented that enables detection of malicious code.
이로 인해, 본 발명의 실시 예들에 따르면, 용량 문제 및 수집 환경에 따라 동일한 행위에 대한 것이라도 데이터의 내용이 다를 수 있는 문제를 갖는 행위 데이터에 대해서도, 클라우드 기반의 행위 스캔 서비스를 제공할 수 있는 효과를 도출한다.For this reason, according to embodiments of the present invention, a cloud-based behavior scanning service can be provided even for behavior data that has problems in which the content of data may be different even for the same behavior depending on capacity issues and collection environments. Derive the effect.
도 1은 본 발명의 일 실시 예에 따른 행위 스캔 서비스 시스템의 구성을 보여주는 구성도이다.Figure 1 is a configuration diagram showing the configuration of a behavior scan service system according to an embodiment of the present invention.
도 2는 본 발명의 제안 기술에서 행위 데이터에 대한 Prepared Data 및 Hash Value를 생성하는 과정을 개념적으로 도식화한 예시 도이다.Figure 2 is an example diagram conceptually diagramming the process of generating Prepared Data and Hash Value for behavior data in the proposed technology of the present invention.
도 3은 본 발명의 제안 기술에서 Hash Value의 생성 방식을 개념적으로 도식화한 예시 도이다.Figure 3 is an example diagram conceptually diagramming the method of generating Hash Value in the proposed technology of the present invention.
도 4는 본 발명의 제안 기술에 의해 제공되는 행위 스캔 서비스를 전체적으로 도식화한 예시 도이다.Figure 4 is an example diagram schematically illustrating the behavior scan service provided by the proposed technology of the present invention.
도 5는 본 발명의 일 실시 예에 따른 행위 스캔 서비스의 제공 방법에 따른 서비스 흐름을 보여주는 흐름도이다. Figure 5 is a flowchart showing the service flow according to a method for providing a behavior scan service according to an embodiment of the present invention.
본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시 예를 가질 수 있는 바, 특정 실시 예들을 도면에 예시하고 상세하게 설명하고자 한다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다. 각 도면을 설명하면서 유사한 참조부호를 유사한 구성요소에 대해 사용하였다.Since the present invention can make various changes and have various embodiments, specific embodiments will be illustrated in the drawings and described in detail. However, this is not intended to limit the present invention to specific embodiments, and should be understood to include all changes, equivalents, and substitutes included in the spirit and technical scope of the present invention. While describing each drawing, similar reference numerals are used for similar components.
어떤 구성요소가 다른 구성요소에 "연결되어" 있다거나 "접속되어" 있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 중간에 다른 구성요소가 존재하는 형태로 접속되어 있을 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어" 있다거나 "직접 접속되어" 있다고 언급된 때에는, 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다.When a component is said to be “connected” or “connected” to another component, it should be understood that it may be directly connected to the other component or may be connected with another component in the middle. something to do. On the other hand, when it is mentioned that a component is “directly connected” or “directly connected” to another component, it should be understood that there are no other components in between.
본 출원에서 사용한 용어는 단지 특정한 실시 예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.The terms used in this application are only used to describe specific embodiments and are not intended to limit the invention. Singular expressions include plural expressions unless the context clearly dictates otherwise. In this application, terms such as “comprise” or “have” are intended to designate the presence of features, numbers, steps, operations, components, parts, or combinations thereof described in the specification, but are not intended to indicate the presence of one or more other features. It should be understood that this does not exclude in advance the possibility of the existence or addition of elements, numbers, steps, operations, components, parts, or combinations thereof.
다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥 상 가지는 의미와 일치하는 의미를 가지는 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.Unless otherwise defined, all terms used herein, including technical or scientific terms, have the same meaning as commonly understood by a person of ordinary skill in the technical field to which the present invention pertains. Terms defined in commonly used dictionaries should be interpreted as having a meaning consistent with the meaning in the context of the related technology, and unless explicitly defined in the present application, should not be interpreted in an ideal or excessively formal sense. No.
이하, 첨부된 도면을 참조하여 본 발명에 대하여 설명한다.Hereinafter, the present invention will be described with reference to the attached drawings.
본 발명은 행위에 대한 분석 기술에 관한 것으로, 더욱 상세하게는 행위 데이터에 대한 클라우드 기반의 악성코드 탐지가 가능하도록 하는 기술에 관한 것이다. The present invention relates to behavior analysis technology, and more specifically, to technology that enables cloud-based malware detection of behavior data.
악성코드 탐지 기술은 시그니처 기반 탐지, 룰(Rule) 기반 탐지, 동적 행위 기반 탐지 등의 다양한 방법들을 사용하고 있다.Malicious code detection technology uses various methods such as signature-based detection, rule-based detection, and dynamic behavior-based detection.
특히, 사용자 PC에 저장 및 설치되는 탐지 엔진에서 악성코드 탐지를 위한 모든 절차를 수행하는 방법의 한계를 극복하기 위해, 클라우드 기반의 악성코드 탐지 기술이 등장하였다.In particular, cloud-based malware detection technology has emerged to overcome the limitations of performing all procedures for malware detection in a detection engine stored and installed on the user's PC.
클라우드 기반 악성코드 탐지 기술에서는, 분석 대상의 파일을 서버에 전송하는 방식이나, 분석 대상 파일에 대한 시그니처 값을 서버에 전달하는 방식을 사용하고 있다.Cloud-based malware detection technology uses a method of transmitting the file to be analyzed to a server or transmitting the signature value of the file to be analyzed to the server.
파일을 서버에 전송하는 방식은, 파일을 서버에 전송하여 스캔 요청하면, 서에서 파일에 대해 악성여부 판별을 위한 제반 절차를 모두 수행하고 판별 결과를 전달해주는 방식이다.The method of sending a file to a server is to send a file to the server and request a scan, then the server performs all procedures to determine whether the file is malicious or not and delivers the determination result.
한편, 파일의 시그니처 값을 서버에 전달하는 방식은, 파일에 대한 시그니처 값을 추출/생성하고 시그니처 값을 이용한 스캔 요청을 서버에 전달하면, 서버에서 스캔 요청에 따라 악성여부 판별을 위한 그 외의 나머지 절차를 수행하고 판별 결과를 전달해주는 방식이다.Meanwhile, the method of transmitting the signature value of a file to the server is to extract/generate the signature value for the file and transmit a scan request using the signature value to the server, and the server then sends the remaining information to determine whether it is malicious according to the scan request. It is a method of performing a procedure and delivering the determination result.
이렇듯, 기존에는, 파일을 서버에 전송하는 방식이나 파일에 대한 시그니처 값을 서버에 전달하는 방식 등을 통해, 파일에 대한 클라우드 기반의 악성코드 탐지가 가능하였다.In this way, cloud-based malware detection for files was previously possible through methods such as transmitting the file to the server or transmitting the signature value for the file to the server.
한편, 파일 뿐만 아니라 사용자 PC에서 일어나는 행위에 대해서도 악성여부 탐지가 필요한데, 행위 데이터에 대한 클라우드 기반의 악성코드 탐지 기술이 제공되지 못하고 있다.Meanwhile, it is necessary to detect maliciousness not only for files but also for actions that occur on the user's PC, but cloud-based malicious code detection technology for action data is not provided.
그 이유로는, 행위 데이터의 용량이 크다는 점을 들 수 있다.The reason for this is that the volume of behavior data is large.
또 다른 이유로는, 한 사용자 PC 환경에서 수집된 행위 데이터의 경우는 수집 환경이 행위 데이터에 반영되기 때문에, 동일한 행위에 대한 것이라도 수집 환경에 따라 데이터의 내용이 달라질 수 있으므로 서로 다른 수집 환경에서 수집된 행위 데이터를 동일한 행위라고 판단하기 어렵다는 기술적 한계점을 들 수 있다.Another reason is that in the case of behavior data collected in one user's PC environment, the collection environment is reflected in the behavior data, so even for the same behavior, the content of the data may vary depending on the collection environment, so data is collected in different collection environments. One technical limitation is that it is difficult to determine that the generated behavior data is the same behavior.
이에 본 발명에서는, 행위 데이터에 대해서도 클라우드 기반의 악성코드 탐지가 가능하도록 하는 기술 방안을 제안한다.Accordingly, the present invention proposes a technical solution that enables cloud-based malware detection even for behavioral data.
즉, 본 발명에서는, 행위 데이터에 대하여 클라우드 기반의 악성코드 탐지가 가능하도록 하는 새로운 방식의 행위 스캔 서비스를 실현하는데 핵심이 있다.In other words, the key to the present invention is to realize a new type of behavior scanning service that enables cloud-based malware detection for behavior data.
이하에서는, 본 발명에서 제안하는 기술 방안 즉 클라우드 기반의 행위 스캔 서비스를 실현하는 구체적인 구성들에 대하여 설명하겠다.Below, we will describe specific configurations for realizing the technical solution proposed in the present invention, that is, the cloud-based behavior scanning service.
먼저, 도 1은, 본 발명에서 제안하는 클라우드 기반의 행위 스캔 서비스를 실현하는, 행위 스캔 서비스 시스템(100)의 구성을 보여주는 있다.First, Figure 1 shows the configuration of a behavior scan service system 100, which realizes the cloud-based behavior scan service proposed in the present invention.
도 1에서는, 본 발명의 클라우드 기반의 행위 스캔 서비스를 실현하는 행위 스캔 서비스 시스템(100) 내 각 구성들을 개념 적으로 도식화하고 있으며, 실제 구현 시에는 각 구성들이 클라이언트 및 서버에 분산 구현될 수 있다.In Figure 1, each component in the behavior scan service system 100 that realizes the cloud-based behavior scan service of the present invention is conceptually schematized. In actual implementation, each component can be distributed and implemented on the client and server. .
도 1을 참조하여 설명하며, 본 발명의 일 실시 예에 따른 행위 스캔 서비스 시스템(100)은, 전처리 수행부(110), 해시값 생성부(120), 스캔 서비스 제공부(130)를 포함할 수 있다.Described with reference to FIG. 1, the behavior scan service system 100 according to an embodiment of the present invention will include a preprocessing unit 110, a hash value generation unit 120, and a scan service provider 130. You can.
결국, 본 발명의 일 실시 예에 따른 행위 스캔 서비스 시스템(100)은, 전술한 구성을 통해, 본 발명에서 제안하는 기술 방안 즉 클라우드 기반의 행위 스캔 서비스를 실현할 수 있다.Ultimately, the behavior scan service system 100 according to an embodiment of the present invention can realize the technical solution proposed by the present invention, that is, the cloud-based behavior scan service, through the above-described configuration.
이하에서는, 본 발명의 제안 기술을 실현하기 위한 행위 스캔 서비스 시스템(100) 내 각 구성에 대해 보다 구체적으로 설명하기로 한다.Below, each component in the behavior scan service system 100 for realizing the proposed technology of the present invention will be described in more detail.
구체적인 설명에 앞서, 본 발명의 행위 스캔 서비스 시스템(100) 내 각 구성들은, 모두 원격의 서버에 구현될 수도 있다.Prior to detailed description, each component in the behavior scan service system 100 of the present invention may all be implemented on a remote server.
또는, 전술에서 언급한 바와 같이, 본 발명의 행위 스캔 서비스 시스템(100) 내 각 구성들은, 사용자 시스템(예: PC, 단말 등)에 프로그램, 또는 어플리케이션 등의 형태로 탑재/동작되는 클라이언트와, 원격의 서버에 분산 구현될 수도 있다.Alternatively, as mentioned above, each component in the behavior scan service system 100 of the present invention includes a client mounted/operated in the form of a program or application on a user system (e.g., PC, terminal, etc.), It can also be distributed and implemented on remote servers.
일 예를 들면, 도 4에 도시된 바와 같이, 본 발명의 행위 스캔 서비스 시스템(100)에서, 전처리 수행부(110), 해시값 생성부(120)는 클라이언트에 구현되고, 스캔 서비스 제공부(130)는 서버에 구현될 수 있다. For example, as shown in FIG. 4, in the behavior scan service system 100 of the present invention, the preprocessing performing unit 110 and the hash value generating unit 120 are implemented in the client, and the scan service providing unit ( 130) can be implemented on the server.
물론, 도 4에 도시된 구현 예시 외에도, 본 발명의 행위 스캔 서비스 시스템(100) 내 각 구성들이 클라이언트 및 서버에 분산 구현되는 형태는 다양할 수 있을 것이다.Of course, in addition to the implementation example shown in FIG. 4, the form in which each component in the behavior scan service system 100 of the present invention is distributed and implemented on the client and server may vary.
다만, 설명의 편의 상, 이하에서는 전처리 수행부(110), 해시값 생성부(120)는 클라이언트에 구현되고, 스캔 서비스 제공부(130)는 서버에 구현되는 구현 실시 예를 언급하여 설명하겠다. However, for convenience of explanation, the following will refer to an implementation example in which the preprocessing unit 110 and the hash value generation unit 120 are implemented in the client, and the scan service provider 130 is implemented in the server.
다시 본 발명의 행위 스캔 서비스 시스템(100) 내 각 구성이 담당하는 기능에 대해, 구체적인 설명을 이어 가겠다.We will continue with a detailed explanation of the functions performed by each component in the behavior scan service system 100 of the present invention.
전처리 수행부(110)는, 행위 데이터에 대한 전처리 수행을 통해 Prepared Data를 생성하는 기능을 담당한다.The preprocessing unit 110 is responsible for generating prepared data by performing preprocessing on behavior data.
해시값 생성부(120)는, 전처리 수행부(110)에서 생성된 Prepared Data에 대한 해시값(Hash Value)을 생성하는 기능을 담당한다.The hash value generation unit 120 is responsible for generating a hash value for the prepared data generated in the preprocessing unit 110.
도 2는 본 발명의 제안 기술에서 행위 데이터에 대한 Prepared Data 및 Hash Value를 생성하는 과정을 개념적으로 도식화한 예시 도이다.Figure 2 is an example diagram conceptually diagramming the process of generating Prepared Data and Hash Value for behavior data in the proposed technology of the present invention.
보다 구체적으로 설명하면, 행위 데이터는, 본 발명의 행위 스캔 서비스 시스템(100)이 적용되는 사용자 시스템(예: PC, 단말 등)에서 발생되는 서로 연결된 행위들에 대한 데이터이며, 사용자 시스템(예: PC, 단말 등)으로부터 수집될 수 있다.To be more specific, behavior data is data about interconnected actions that occur in a user system (e.g., PC, terminal, etc.) to which the behavior scan service system 100 of the present invention is applied, and is data about interconnected actions that occur in the user system (e.g., PC, terminal, etc.).
여기서 행위 데이터가 수집되는 시점 및 대상은, 사용자 시스템(예: PC, 단말 등) 내 별도의 탐지 룰에 의해 분석이 필요한 행위가 탐지되는 경우, 해당 행위에 대해 수집될 수 있다.Here, when and to what extent behavior data is collected, if a behavior requiring analysis is detected by a separate detection rule within the user system (e.g. PC, terminal, etc.), the data may be collected for the behavior.
또한, 행위 데이터가 수집되는 시점 및 대상은, 별도의 탐지 룰에 의해 탐지되지 않은 행위들 중에서도, 기 정의된 수집 기준에 따라 선정된 행위에 대해 수집될 수 있다.Additionally, the timing and target at which behavior data is collected may be collected for behaviors selected according to predefined collection criteria, among behaviors not detected by a separate detection rule.
이에, 전처리 수행부(110)는, 사용자 시스템(예: PC, 단말 등)으로부터 수집된 행위 데이터에 대하여, 전처리를 수행함으로써 Prepared Data를 생성할 수 있다.Accordingly, the preprocessing unit 110 may generate prepared data by performing preprocessing on behavior data collected from a user system (e.g., PC, terminal, etc.).
이때, 전처리 수행부(110)에서 수행하는 전처리는, 동일한 행위로부터 수집된 행위 데이터의 경우 동일한 Prepared Data가 생성될 수 있도록 하는 데이터 변환 동작을 포함하여 정의될 수 있다.At this time, the preprocessing performed by the preprocessing unit 110 may be defined to include a data conversion operation that allows the same Prepared Data to be generated in the case of behavior data collected from the same behavior.
앞서 설명하였듯이, 사용자 시스템(예: PC, 단말 등)에서 수집되는 행위 데이터의 경우는 수집 환경이 행위 데이터에 반영되기 때문에, 동일한 행위에 대한 것이라도 수집 환경에 따라 데이터의 내용이 달라질 수 있고, 따라서 서로 다른 수집 환경에서 수집된 행위 데이터를 동일한 행위라고 판단하기 어렵다는 문제가 있다.As explained earlier, in the case of behavior data collected from user systems (e.g. PC, terminal, etc.), the collection environment is reflected in the behavior data, so even for the same behavior, the content of the data may vary depending on the collection environment. Therefore, there is a problem that it is difficult to determine that behavioral data collected in different collection environments are the same behavior.
본 발명에서는, 행위 데이터로부터 Prepared Data를 생성하는 과정 중 전처리 수행을 통해서, 동일한 행위로부터 수집된 행위 데이터의 경우 동일한 Prepared Data가 생성되도록 함으로써, 행위 데이터가 갖는 문제 즉 수집 환경에 따라 동일한 행위에 대한 것이라도 데이터의 내용이 다를 수 있는 문제를 해결할 수 있다.In the present invention, through preprocessing during the process of generating Prepared Data from behavior data, the same Prepared Data is generated in the case of behavior data collected from the same behavior, thereby preventing the problem of behavior data, that is, the problem of the same behavior depending on the collection environment. It can solve problems where the content of the data may be different.
보다 구체적으로 설명하면, 전처리 수행부(110)에서 수행하는 전처리는, 상기 행위 데이터의 메타정보로부터, 상기 행위 스캔 서비스에서 활용되는 분석 모델이 학습 및 예측 시 사용하는 특징 데이터(Feature Data)를 선정하는 과정, 상기 선정한 Feature Data를 이용하여 상기 Prepared Data를 생성하는 과정을 포함하는 것으로 정의될 수 있다. To be more specific, the preprocessing performed by the preprocessing unit 110 selects feature data that the analysis model used in the behavior scan service uses for learning and prediction from the meta information of the behavior data. It can be defined as including the process of generating the Prepared Data using the selected Feature Data.
이때, 상기 전처리 내 상기 Prepared Data를 생성하는 과정은, 상기 선정한 Feature Data에서 상기 행위 데이터가 수집된 수집 환경에 따라 가변되는 데이터를 수집 환경과 무관한 데이터로 변환하는 데이터 변환 동작을 수행한 후 상기 Prepared Data를 생성하여, 동일한 행위로부터 수집된 행위 데이터의 경우 동일한 Prepared Data가 생성될 수 있게 한다.At this time, the process of generating the Prepared Data within the preprocessing is performed by performing a data conversion operation to convert data that varies depending on the collection environment in which the behavior data was collected from the selected Feature Data into data unrelated to the collection environment. Prepared Data is created so that the same Prepared Data can be created in the case of behavior data collected from the same behavior.
관련하여 구체적인 실시 예를 설명하면, 본 발명의 행위 스캔 서비스에서는, 행위 데이터에 대한 악성 여부 분석을 위해 분석 모델을 활용할 수 있다.To describe a specific embodiment in this regard, in the behavior scanning service of the present invention, an analysis model can be used to analyze whether behavior data is malicious.
예를 들면, 본 발명의 행위 스캔 서비스에서는, 학습 대상의 행위 데이터들에 대해 기 특정된 Feature Data를 학습하고 이러한 학습을 기반으로 행위 데이터에 대해 예측되는 분석 결과(예: 악성 여부, 악성 가능성 등)를 도출/제공해 주는 행위 기반 ML(Machine Learning) 모델을 활용할 수 있다(도 4 참조번호 20).For example, in the behavior scan service of the present invention, pre-specified feature data is learned for the behavior data of the learning target, and based on this learning, predicted analysis results for the behavior data (e.g., maliciousness, possibility of maliciousness, etc. ) can be used to derive/provide a behavior-based ML (Machine Learning) model (reference number 20 in FIG. 4).
이 경우, 전처리 수행부(110)는, 전처리 수행에 따라, 금번 수집된 행위 데이터의 메타정보로부터, 행위 스캔 서비스에서 활용되는 분석 모델(예: 행위 기반 ML 모델)이 학습 및 예측 시 사용하는 Feature Data를 선정하는 과정을 수행할 수 있다.In this case, according to the preprocessing, the preprocessing unit 110 selects the features that the analysis model (e.g., behavior-based ML model) used in the behavior scan service uses for learning and prediction from the meta information of the behavior data collected this time. The process of selecting data can be performed.
그리고, 전처리 수행부(110)는, 전처리 수행에 따라, 금번 수집된 행위 데이터의 메타정보로부터 선정한 Feature Data를 이용하여, Prepared Data를 생성하는 과정을 수행할 수 있다.In addition, the preprocessing unit 110 may perform the process of generating prepared data using feature data selected from the meta information of the behavior data collected this time, according to the preprocessing performance.
특히 본 발명에서는, Feature Data를 이용하여 Prepared Data를 생성하는 과정 중 데이터 변환 동작을 통해서, 수집 환경에 따라 동일한 행위에 대한 것이라도 데이터의 내용이 다를 수 있는 문제를 해결하고자 한다.In particular, the present invention seeks to solve the problem that the content of data may be different even for the same action depending on the collection environment through a data conversion operation during the process of creating prepared data using feature data.
구체적으로 설명하면, 전처리 수행부(110)는, 전처리 수행에 따라, 앞서 선정한 Feature Data에서 행위 데이터가 수집된 수집 환경에 따라 가변되는 데이터를 수집 환경과 무관한 데이터로 변환하는 데이터 변환 동작을 수행한다.Specifically, the preprocessing unit 110 performs a data conversion operation to convert data that varies depending on the collection environment in which the behavioral data was collected from the previously selected Feature Data into data unrelated to the collection environment, according to the preprocessing performance. do.
구체적인 실시 예를 설명하면, 수집 환경에 따라 가변되는 데이터는, 개인 환경과 관련되는 문자열로 정의되는 데이터를 포함할 수 있다.To describe a specific embodiment, data that varies depending on the collection environment may include data defined as a string related to the personal environment.
개인 환경과 관련되는 문자열의 예시로는, 다음의 예시 1과 같이 경로 Data에서 개인 이름이나 ID에 해당하는 문자열일 수 있으며, 다음의 예시 2와 같이 내부 IP가 포함된 문자열일 수 있다. Examples of strings related to personal environment may be strings corresponding to personal names or IDs in path data, as in Example 1 below, or may be strings containing internal IPs, as in Example 2 below.
물론, 설명한 예시 외에도, 개인 환경과 관련되는 문자열은 다양한 형태/종류/타입으로 정의될 수 있을 것이다.Of course, in addition to the examples described, strings related to personal environments may be defined in various forms/types/types.
예시1) C:/Users/Nam.kwon/documents/보고서.docExample 1) C:/Users/Nam.kwon/documents/report.doc
예시2) telnet 172.21.xxx.xxx 22Example 2) telnet 172.21.xxx.xxx 22
이러한 실시 예에 따르면, 전처리 수행부(110)는, 전처리 수행에 따라, 앞서 선정한 Feature Data에서 개인 환경과 관련되는 문자열을 찾고, 해당 문자열을 수집 환경과 무관한 데이터로서 기 정의된 일반 문자열로 변환하는 데이터 변환 동작을 수행할 수 있다.According to this embodiment, the preprocessing unit 110 searches for a string related to the personal environment in the previously selected Feature Data according to the preprocessing, and converts the string into a predefined general string as data unrelated to the collection environment. You can perform data conversion operations.
즉, 전처리 수행부(110)는, 전처리 수행에 따라, 금번 수집된 행위 데이터의 메타정보로부터 Feature Data를 선정하고, 선정한 Feature Data에서 개인 환경과 관련되는 문자열을 일반 문자열로 변환하는 데이터 변환 동작을 수행한 후에 Prepared Data를 생성함으로써, 동일한 행위로부터 수집된 행위 데이터의 경우 동일한 Prepared Data가 생성될 수 있게 한다.That is, according to the preprocessing, the preprocessing unit 110 selects Feature Data from the meta information of the behavior data collected this time and performs a data conversion operation to convert a string related to the personal environment from the selected Feature Data into a general string. By creating Prepared Data after execution, the same Prepared Data can be created in the case of action data collected from the same action.
이렇듯, 본 발명에서는, 행위 데이터로부터 Prepared Data를 생성하는 전처리 수행 시, 동일한 행위로부터 수집된 행위 데이터의 경우 동일한 Prepared Data가 생성될 수 있도록 하는 데이터 변환 동작을 수행함으로써, 수집 환경에 따라 동일한 행위에 대한 것이라도 데이터의 내용이 다를 수 있는 문제를 해결할 수 있다.As such, in the present invention, when performing preprocessing to generate Prepared Data from behavior data, a data conversion operation is performed so that the same Prepared Data can be generated in the case of behavior data collected from the same behavior, so that the same behavior can be generated depending on the collection environment. It is possible to solve problems where the content of data may be different.
앞서 언급하였듯이, 해시값 생성부(120)는, 전처리 수행부(110)에서 생성된 Prepared Data에 대한 해시값(Hash Value)을 생성하는 기능을 담당한다.As mentioned earlier, the hash value generation unit 120 is responsible for generating a hash value for the prepared data generated in the preprocessing unit 110.
보다 구체적으로 설명하면, 해시값 생성부(120)는, Prepared Data 전체를 블록화한 후 블록 단위로 Hash Value를 생성하고, 상기 블록 단위의 Hash Value를 연결하여 금번 Prepared Data에 대한 Hash Value로서 생성할 수 있다.To explain more specifically, the hash value generator 120 blocks the entire prepared data, generates a hash value in block units, and connects the hash values in blocks to generate a hash value for this prepared data. You can.
즉, 본 발명에서는, 행위 데이터의 Prepared Data로부터 Hash Value를 생성하는데 있어, Piecewise Hash 기법을 사용하여 Hash Value를 생성할 수 있다.That is, in the present invention, when creating a Hash Value from Prepared Data of behavior data, the Hash Value can be created using the Piecewise Hash technique.
일 실시 예를 설명하면, 해시값 생성부(120)는, CTPH(Context-Trigger Piecewise Hash) 방식을 기반으로, Prepared Data 전체를 문자열로 처리하고 전체 문자열에서 경계(context)를 찾아 블록화한 후 각 블록 단위로 Hash Value를 생성할 수 있다.To explain one embodiment, the hash value generator 120 processes the entire prepared data into a string based on the CTPH (Context-Trigger Piecewise Hash) method, finds the boundary (context) in the entire string, blocks it, and then blocks each string. Hash Value can be created in block units.
그리고, 해시값 생성부(120)는, 블록 단위의 Hash Value를 연결하여, 금번 Prepared Data에 대한 Hash Value로서 생성할 수 있다.And, the hash value generator 120 can connect the Hash Value in block units and generate it as a Hash Value for this Prepared Data.
보다 구체적인 실시 예를 설명하면, 해시값 생성부(120)는, FLC(Fixed Length Chunking) 방식을 기반으로, Prepared Data 전체를 문자열로 처리하고 전체 문자열을 정해진 크기로 블록화한 후 각 블록 단위로 Hash Value를 생성하고, 블록 단위의 Hash Value를 연결하여 금번 Prepared Data에 대한 Hash Value로서 생성할 수 있다.To describe a more specific embodiment, the hash value generator 120 processes the entire prepared data into a string based on the FLC (Fixed Length Chunking) method, blocks the entire string to a predetermined size, and then generates a hash for each block. By creating a Value and connecting the Hash Value in block units, it can be created as a Hash Value for this Prepared Data.
도 3은, 본 발명에서 전술의 실시 예들과 같이 Piecewise Hash 기법을 사용하여 해시값(Hash Value)을 생성하는 과정을 간략화하여 보여주고 있다.Figure 3 shows a simplified process of generating a hash value using the Piecewise Hash technique as in the above-described embodiments of the present invention.
물론, 본 발명에서는 위 실시 예에 따른 해싱 방식으로 한정되지 않으며, Prepared Data를 블록 단위로 해싱 및 블록 단위의 Hash Value를 연결하여 Prepared Data에 대한 Hash Value로서 생성할 수 있는 해싱 방식이라면 다양한 방식을 활용할 수 있을 것이다.Of course, the present invention is not limited to the hashing method according to the above embodiment, and various methods can be used as long as it is a hashing method that can generate a Hash Value for Prepared Data by hashing Prepared Data in block units and connecting Hash Values in block units. You will be able to use it.
이렇듯, 본 발명에서는, 행위 데이터의 Prepared Data로부터 Hash Value를 생성하는데 있어 Piecewise Hash 기법을 사용하여 Hash Value를 생성하고, 이러한 Hash Value를 키(Key)로 이용하여 특정되는 행위 데이터에 대한 분석 결과를 조회하는 행위 스캔 서비스를 제공할 수 있다. As such, in the present invention, the Hash Value is generated using the Piecewise Hash technique in generating Hash Value from Prepared Data of behavior data, and the analysis result of the behavior data specified by using this Hash Value as a key is generated. A scanning service can be provided for the inquiry.
이 때문에, 본 발명에서는, Hash Value를 키(Key)로 이용하여 특정되는 행위 데이터에 대한 분석 결과 조회 뿐 아니라, Hash Value 간 유사도 측정을 기반으로 유사 행위 데이터의 조회/확인, 유사 행위 데이터의 분석 결과 조회 까지도 제공할 수 있을 것이다. For this reason, in the present invention, in addition to querying the analysis results of behavior data specified using Hash Value as a key, inquiry/confirmation of similar behavior data and analysis of similar behavior data based on similarity measurement between Hash Values It will also be possible to provide results inquiry.
다시 설명을 이어가면, 스캔 서비스 제공부(130)는, 해시값 생성부(120)에서 생성한 Hash Value를 이용하여, 금번 행위 데이터에 대한 분석 결과를 조회할 수 있는 행위 스캔 서비스를 제공하는 기능을 담당한다.Continuing the explanation again, the scan service provider 130 uses the Hash Value generated by the hash value generator 120 to provide a behavior scan service that allows you to check the analysis results of the current behavior data. is in charge of
즉, 본 발명에서는, 스캔 서비스 제공부(130)에 의해 클라우드 기반의 행위 스캔 서비스가 제공될 수 있다.That is, in the present invention, a cloud-based behavioral scan service can be provided by the scan service provider 130.
구체적으로 설명하면, 스캔 서비스 제공부(130)는, Hash Value를 키(Key)로 하여 맵핑되는 행위 데이터에 대한 분석 결과를 조회할 수 있도록 구축된 DB(Data Base, 도 4의 행위 메타 정보 DB(10) 참조)와 연동하여, 클라우드 기반의 행위 스캔 서비스를 제공할 수 있다.Specifically, the scan service provider 130 uses a DB (Data Base, the behavior meta information DB of FIG. 4) that is built to query the analysis results of behavior data mapped using Hash Value as a key. In conjunction with (see (10)), a cloud-based behavior scanning service can be provided.
도 4를 참조하여 설명하면, 앞서 설명한 바와 같이, 행위 기반 ML 모델(20)은, 학습 대상의 행위 데이터들에 대해 기 특정된 특징(Feature) 데이터를 학습하고 이러한 학습을 기반으로 행위 데이터에 대해 예측되는 분석 결과를 도출/제공할 수 있다. Referring to FIG. 4, as described above, the behavior-based ML model 20 learns feature data that is pre-specified for the behavior data to be learned and learns about the behavior data based on this learning. Predicted analysis results can be derived/provided.
이에, 행위 메타 정보 DB(10)는, 행위 기반 ML 모델(20)에 의해 분석된 각 행위 데이터의 분석 결과를 해당 행위 데이터의 Hash Value과 맵핑시켜 저장/관리하며, Hash Value 기반의 조회 요청(Query)에 대해 해당 Hash Value와 동일한 Hash Value에 맵핑되어 있는 분석 결과를 조회 결과로서 전달할 수 있다.Accordingly, the behavior meta information DB 10 stores/manages the analysis results of each behavior data analyzed by the behavior-based ML model 20 by mapping them to the Hash Value of the behavior data, and requests a query based on Hash Value ( Query), the analysis result mapped to the same Hash Value as the corresponding Hash Value can be delivered as a search result.
이때, 행위 메타 정보 DB(10) 내 행위 데이터의 분석 결과와 맵핑되는 Hash Value은, 전술의 전처리 수행부(110) 및 해시값 생성부(120)와 같은 방식으로 전처리 수행 및 Hash Value 생성을 진행하여 생성될 수 있다.At this time, the Hash Value mapped to the analysis result of the behavior data in the behavior meta information DB 10 is pre-processed and hash value generated in the same manner as the above-described pre-processing unit 110 and hash value generation unit 120. It can be created.
이에, 이하에서는 도 4를 참조하여 본 발명에서 제공하는 클라우드 기반 행위 스캔 서비스의 일 실시 예를 설명하겠다. Accordingly, hereinafter, an embodiment of the cloud-based behavior scan service provided by the present invention will be described with reference to FIG. 4.
도 4에 도시된 실시 예에 따르면, 행위 데이터 수집, 전처리 수행, Hash 생성은 클라이언트(예: 110, 120)에서 진행되며, 행위 스캔 서비스 제공은 서버(예: 130)에서 진행될 수 있다.According to the embodiment shown in FIG. 4, behavior data collection, preprocessing, and Hash generation are performed in the client (eg, 110, 120), and behavior scan service provision can be performed in the server (eg, 130).
먼저, 일 실시 예를 설명하면, 스캔 서비스 제공부(130)는, Hash Value를 이용한 메타 스캔(Meta Scan) 요청 수신 시, Hash Value 기반의 쿼리(Query)를 통해 행위 메타 정보 DB(10)로부터 금번 Hash Value이 맵핑된 행위 데이터의 분석 결과를 조회하고 그 조회 결과를 Scan 응답으로 회신하여, Meta Scan 기능을 제공할 수 있다.First, to describe an embodiment, when receiving a meta scan request using Hash Value, the scan service provider 130 retrieves the behavioral meta information DB 10 through a Hash Value-based query. The Meta Scan function can be provided by querying the analysis results of the behavioral data to which Hash Value has been mapped and returning the query results as a Scan response.
즉, 전술한 바와 같이, 분석이 필요한 행위에 대한 행위 데이터가 수집되면, 클라이언트(예: 110, 120)에서는 행위 데이터에 대한 전처리 수행 및 Hash 생성을 거쳐(Prepared Data -> Hash Value), Hash Value를 이용한 Meta Scan을 서버(예: 130)에 요청할 수 있다.In other words, as described above, when behavioral data for actions requiring analysis are collected, the client (e.g. 110, 120) performs preprocessing on the behavioral data and generates Hash (Prepared Data -> Hash Value), Hash Value. You can request a meta scan from the server (e.g. 130) using .
이렇게 되면, Meta Scan 요청을 수신한 서버, 즉 스캔 서비스 제공부(130)는, Hash Value 기반의 Query를 행위 메타 정보 DB(10)에 전달하여 해당 Hash Value이 맵핑된 행위 데이터의 분석 결과를 조회한다.In this case, the server that received the Meta Scan request, that is, the scan service provider 130, transmits a Hash Value-based Query to the behavior meta information DB 10 to check the analysis results of the behavior data to which the Hash Value is mapped. do.
이때 스캔 서비스 제공부(130)는, 해당 Hash Value와 동일한 Hash Value에 맵핑되어 있는 분석 결과가 행위 메타 정보 DB(10)에 존재한다면, 조화 결과로서 "Scan Information_행위 데이터 분석 결과"얻을 수 있다.At this time, the scan service provider 130 can obtain “Scan Information_Behavior Data Analysis Result” as a harmonization result if an analysis result mapped to the same Hash Value as the corresponding Hash Value exists in the behavior meta information DB 10. .
한편, 스캔 서비스 제공부(130)는, 해당 Hash Value와 동일한 Hash Value에 맵핑되어 있는 분석 결과가 행위 메타 정보 DB(10)에 존재하지 않는다면, 조화 결과로서 "not found"를 얻을 수 있다. Meanwhile, the scan service provider 130 may obtain “not found” as a harmonization result if the analysis result mapped to the same Hash Value as the corresponding Hash Value does not exist in the behavior meta information DB 10.
그리고, 스캔 서비스 제공부(130)는, 그 조회 결과를 클라이언트에 Scan 응답(예: Scan Information_행위 데이터 분석 결과, 또는 not found)으로서 회신할 수 있다.And, the scan service provider 130 may return the inquiry result to the client as a Scan response (e.g., Scan Information_behavioral data analysis result, or not found).
이에, 사용자 시스템(예: PC, 단말 등)은, 본 발명이 적용되는 클라이언트(예: 110, 120)를 통해서 스캔 서비스 제공부(130)가 제공하는 클라우드 기반 행위 스캔 서비스를 이용할 수 있고, 이를 통해 악성으로 분석된 행위를 차단하는 등 보안 조치를 취할 수 있을 것이다.Accordingly, the user system (e.g., PC, terminal, etc.) can use the cloud-based behavior scan service provided by the scan service provider 130 through a client (e.g., 110, 120) to which the present invention is applied. Through this, security measures can be taken, such as blocking actions analyzed as malicious.
다음, 다른 일 실시 예를 설명하면, 스캔 서비스 제공부(130)는, Hash Value 및 Prepared Data를 이용한 전체 스캔(Full Scan) 요청 수신 시, 기 구축된 행위 기반 ML 모델(20)을 활용해 금번 Prepared Data에 대한 분석을 수행하고 이에 따른 분석 결과를 Scan 응답으로 회신하여, Full Scan 기능을 제공할 수 있다.Next, to explain another embodiment, when receiving a Full Scan request using Hash Value and Prepared Data, the scan service provider 130 utilizes the previously built behavior-based ML model 20 to Full Scan function can be provided by performing analysis on Prepared Data and returning the analysis results as a Scan response.
아울러, 스캔 서비스 제공부(130)는, 금번 행위 기반 ML 모델(20)을 활용한 분석 수행에 따른 분석 결과를, 해당 Hash Value에 맵핑되는 행위 데이터의 분석 결과로서 행위 메타 정보 DB(10)에 저장할 수 있다(Hash Value/result). In addition, the scan service provider 130 stores the analysis results of the analysis using the behavior-based ML model 20 in the behavior meta information DB 10 as a result of analysis of behavior data mapped to the Hash Value. Can be saved (Hash Value/result).
예를 들면, 클라이언트(예: 110, 120)는 앞서 요청한 Meta Scan에 대하여 수신된 Scan 응답에서 not found를 확인한 경우, Hash Value 및 Prepared Data까지 이용한 Full Scan을 서버(예: 130)에 요청할 수 있다.For example, if the client (e.g., 110, 120) confirms not found in the scan response received for the previously requested Meta Scan, it can request a full scan using Hash Value and Prepared Data from the server (e.g., 130). .
물론, 클라이언트(예: 110, 120)는, 분석이 필요한 행위에 대한 행위 데이터가 수집되면, 행위 데이터에 대한 전처리 수행 및 Hash 생성을 거친 후(행위 데이터 -> Prepared Data -> Hash Value) 바로 Hash Value 및 Prepared Data까지 이용한 Full Scan을 서버(예: 130)에 요청할 수도 있다.Of course, when the client (e.g. 110, 120) collects behavioral data for an action that requires analysis, it performs pre-processing on the behavioral data and generates Hash (Behavior Data -> Prepared Data -> Hash Value) and then immediately generates the Hash. You can also request a full scan using Value and Prepared Data from the server (e.g. 130).
이렇게 되면, Full Scan 요청을 수신한 서버, 즉 스캔 서비스 제공부(130)는, 행위 기반 ML 모델(20)을 활용해 금번 Full Scan 요청에 따른 Prepared Data에 대한 분석을 수행하고, 이에 따른 분석 결과를 클라이언트에 Scan 응답(예: 행위 데이터 분석 결과)으로서 회신할 수 있다.In this case, the server that received the Full Scan request, that is, the scan service provider 130, uses the behavior-based ML model 20 to analyze the Prepared Data according to this Full Scan request, and the analysis result accordingly. can be returned to the client as a Scan response (e.g., behavioral data analysis result).
이에, 사용자 시스템(예: PC, 단말 등)은, 본 발명이 적용되는 클라이언트(예: 110, 120)를 통해서 스캔 서비스 제공부(130)가 제공하는 클라우드 기반 행위 스캔 서비스를 이용할 수 있고, 이를 통해 악성으로 분석된 행위를 차단하는 등 보안 조치를 취할 수 있을 것이다.Accordingly, the user system (e.g., PC, terminal, etc.) can use the cloud-based behavior scan service provided by the scan service provider 130 through a client (e.g., 110, 120) to which the present invention is applied. Through this, security measures can be taken, such as blocking actions analyzed as malicious.
이때 스캔 서비스 제공부(130)는, 금번 분석 수행에 따른 분석 결과를 클라이언트에 Scan 응답으로서 회신하는 한편, 금번 분석 수행에 따른 분석 결과를 해당 Hash Value에 맵핑되는 행위 데이터의 분석 결과로서 행위 메타 정보 DB(10)에 저장할 수 있다(Hash Value/result). At this time, the scan service provider 130 returns the analysis result of this analysis to the client as a Scan response, and uses the analysis result of this analysis as behavioral meta information as a result of the analysis of behavior data mapped to the Hash Value. It can be stored in DB (10) (Hash Value/result).
더 나아가, 스캔 서비스 제공부(130)는, 금번 Full Scan 요청에 따른 Scan 응답을 클라이언트에 회신하면서 원본 행위 데이터 전달을 요청하여, 클라이언트로부터 원본 행위 데이터를 수집 및 행위 수집 Data Store(30)에 저장할 수 있다.Furthermore, the scan service provider 130 requests delivery of the original behavior data while replying to the client with a Scan response according to this Full Scan request, collects the original behavior data from the client and stores it in the behavior collection Data Store 30. You can.
이와 같이, 스캔 서비스 제공부(130)는, 원본 행위 데이터를 수집 및 행위 수집 Data Store(30)에 저장함으로써, 행위 기반 ML 모델(20)의 성능을 높이기 위해 활용도록 하거나 클라우드 환경에서 다양하고 정확한 행위 분석 결과를 제공하기 위해 활용되도록 할 수도 있다.In this way, the scan service provider 130 collects and stores the original behavior data in the behavior collection Data Store 30, allowing it to be used to increase the performance of the behavior-based ML model 20 or to provide various and accurate data in a cloud environment. It can also be used to provide behavior analysis results.
물론, 본 발명에서 스캔 서비스 제공부(130)는, Full Scan 요청된 행위 데이터 이외에도, 다양한 기준에 따라 원본 행위 데이터 수집이 필요하다고 판단되는 원본 행위 데이터들에 대하여 수집 및 행위 수집 Data Store(30)에 저장할 수도 있을 것이다.Of course, in the present invention, the scan service provider 130 collects and stores original behavior data that is determined to require collection of original behavior data according to various standards, in addition to the behavior data requested for Full Scan, and operates the Behavior Collection Data Store (30). You may also be able to save it in .
한편, 행위 데이터로부터 Prepared Data를 생성하는 과정에서 이용하는 코드가 변경되는 등 전처리 과정이 변경될 수 있고, 또는 Prepared Data로부터 Hash Value를 생성하는 과정이 변경될 수 있다.Meanwhile, the preprocessing process may change, such as changing the code used in the process of generating Prepared Data from behavior data, or the process of generating Hash Value from Prepared Data may change.
이와 같이, 전처리 과정 및/또는 Hash Value 생성 과정이 변경될 경우, 동일한 행위 데이터에 대한 Hash Value라도 과정 변경 전에 생성된 것과 과정 변경 후에 생성된 것이 서로 다를 수 있다.In this way, when the pre-processing process and/or the Hash Value generation process is changed, the Hash Value for the same behavior data may be different from the one generated before the process change and the one generated after the process change.
이에, 본 발명에서는, 전처리 과정 및/또는 Hash Value 생성 과정이 변경되더라도, 동일한 행위 데이터에 대하여 일관된 분석 결과를 조회 및 제공할 수 있도록 하고자 한다.Accordingly, in the present invention, even if the pre-processing process and/or the hash value generation process changes, it is intended to be able to view and provide consistent analysis results for the same behavior data.
이를 위해, 본 발명에서는, 행위 메타 정보 DB(10)에서 특정 행위 데이터에 대한 분석 결과에 맵핑된 해시값(Hash Value)이 변경되는 이벤트 시, 이벤트 이후 생성된 Hash Value과 이벤트 이전의 Hash Value 간을 연결하는 정보를 관리할 수 있다.For this purpose, in the present invention, when an event occurs in which the hash value mapped to the analysis result of specific behavior data in the behavior meta information DB 10 changes, the difference between the Hash Value generated after the event and the Hash Value before the event is changed. You can manage information that connects.
이러한 이벤트는, 본 발명의 클라우드 기반 행위 스캔 서비스 운영 측면에서 전처리 과정 및/또는 Hash Value 생성 과정을 변경(예: 업데이트)하는 경우에, 인지될 수 있다. This event can be recognized when the pre-processing process and/or the Hash Value generation process are changed (e.g., updated) in terms of operating the cloud-based behavior scan service of the present invention.
그리고, 특정 행위 데이터는, 행위 메타 정보 DB(10)에서 분석 결과 조회가 가능한 각 행위 데이터를 의미할 수 있다.In addition, specific behavior data may refer to each behavior data that can be viewed as an analysis result in the behavior meta information DB 10.
즉, 행위 메타 정보 DB(10)에서는, 전처리 과정 및/또는 Hash Value 생성 과정이 변경(예: 업데이트)되는 경우 이벤트를 인지함에 따라, 행위 메타 정보 DB(10)에서 분석 결과 조회가 가능한 각 행위 데이터에 대해 이벤트 이후 생성된 Hash Value과 이벤트 이전의 Hash Value 간을 연결하는 정보를 관리할 수 있다.In other words, the behavior meta information DB 10 recognizes an event when the pre-processing process and/or the hash value generation process changes (e.g., update), so each behavior can be viewed as an analysis result in the behavior meta information DB 10. You can manage information linking the Hash Value generated after the data event and the Hash Value before the event.
예를 들면, 행위 메타 정보 DB(10)에서는, 다음의 표 1과 같은 형태로, 분석 결과 조회가 가능한 각 행위 데이터 별로, Key로서의 Hash Value 및 분석 결과로서의 Scan Information를 맵핑시킨 정보(이하, 조회 결과 맵핑 정보)를 관리할 수 있다.For example, in the behavior meta information DB 10, information (hereinafter referred to as query Result mapping information) can be managed.
이와 더불어, 행위 메타 정보 DB(10)에서는, 전술의 이벤트 인지 시, 이벤트 이후 생성된 조회 결과 맵핑 정보(표 1 오른쪽)를 이벤트 이전의 조회 결과 맵핑 정보(표 1의 왼쪽)와 연결하여 관리할 수 있다. In addition, in the behavior meta information DB 10, when the above-mentioned event is recognized, the search result mapping information generated after the event (right side of Table 1) can be managed by connecting it with the search result mapping information before the event (left side of Table 1). You can.
key(hash)key(hash) scanInfoscanInfo hash changehash change
1 => 11 1 => 11
key(hash)key(hash) scanInfoscanInfo
1One result #1result #1 1111 result #1result #1
22 result #2result #2 22 result #2result #2
33 result #3result #3 33 result #3result #3
44 result #4result #4 44 result #4result #4
위 표 1에서는 설명의 편의 상, 4개의 조회 결과 맵핑 정보를 보여주고 있지만 이는 일 예시일 뿐이다. For convenience of explanation, Table 1 above shows four search result mapping information, but this is only an example.
표 1에서 알 수 있듯이, 본 발명에 따르면, Key로서의 Hash Value가 이벤트 이전에는 1이었지만 이벤트 이후에는 11로 생성되는 동일한 행위 데이터의 경우, 행위 메타 정보 DB(10)에서는 서로 연결/관리됨에 따라 동일한 행위 데이터에 대하여 일관된 분석 결과를 조회 및 제공할 수 있다.As can be seen in Table 1, according to the present invention, in the case of the same behavior data where the Hash Value as a key is 1 before the event but is generated as 11 after the event, the same behavior data is generated as they are connected/managed to each other in the behavior meta information DB 10. Consistent analysis results can be viewed and provided for behavioral data.
즉, 스캔 서비스 제공부(130)는, 이벤트 이전의 Hash Value 1를 이용한 Meta Scan 요청에 대해서도 Hash Value 1이 맵핑된 행위 데이터의 분석 결과(Scan Information_result#1)를 Scan 응답으로 회신하고, 이벤트 이후의 Hash Value 11를 이용한 Meta Scan 요청에 대해서도 Hash Value 11이 맵핑된 행위 데이터의 분석 결과(Scan Information_result#1)를 Scan 응답으로 회신함으로써, 동일한 행위 데이터에 대하여 일관된 분석 결과를 조회 및 제공할 수 있다.That is, the scan service provider 130 returns the analysis result (Scan Information_result#1) of the behavior data to which Hash Value 1 is mapped as a Scan response even to the Meta Scan request using Hash Value 1 before the event, and responds to the Meta Scan request using Hash Value 1 before the event. Even in response to a Meta Scan request using Hash Value 11, the analysis result of the behavior data to which Hash Value 11 is mapped (Scan Information_result#1) is returned as a scan response, allowing consistent analysis results to be viewed and provided for the same behavior data. .
이상 설명한 바와 같이, 본 발명의 실시 예들에 따르면, 행위 데이터에 대한 Prepared Data -> Hash Value를 생성하고 이를 이용한 스캔 요청을 전달하여 Hash Value로 특정되는 행위 데이터의 분석 결과를 조회하는 방식으로, 행위 데이터에 대해서도 클라우드 기반의 악성코드 탐지가 가능하도록 하는 새로운 방식의 행위 스캔 서비스를 실현할 수 있다.As described above, according to embodiments of the present invention, Prepared Data -> Hash Value for behavior data is created and a scan request using this is sent to query the analysis results of behavior data specified by the Hash Value. A new type of behavior scanning service can be implemented that enables cloud-based malware detection for data.
이로 인해, 본 발명에 따르면, 사용자 시스템(예: PC, 단말 등)은, 본 발명이 제공하는 클라우드 기반 행위 스캔 서비스를 이용할 수 있고, 이를 통해 악성으로 분석된 행위를 차단하는 등 보안 조치를 취할 수 있을 것이다.For this reason, according to the present invention, the user system (e.g. PC, terminal, etc.) can use the cloud-based behavior scanning service provided by the present invention and take security measures such as blocking behavior analyzed as malicious through this. You will be able to.
특히, 본 발명에서는, 행위 데이터로부터 Prepared Data를 생성하는 과정 중, 동일한 행위로부터 수집된 행위 데이터의 경우 동일한 Prepared Data가 생성되도록 하는 전처리 수행을 통해서, 수집 환경에 따라 동일한 행위에 대한 행위 데이터라도 그 데이터의 내용이 다를 수 있는 문제를 개선하여 클라우드 기반 행위 스캔 서비스를 실현하고 있다.In particular, in the present invention, during the process of generating Prepared Data from behavior data, preprocessing is performed so that the same Prepared Data is generated in the case of behavior data collected from the same behavior, so that even behavior data for the same behavior can be divided depending on the collection environment. We are realizing a cloud-based behavior scanning service by improving the problem of data content being different.
또한, 본 발명에서는, 행위 데이터의 Prepared Data로부터 Hash Value를 생성하는데 있어 Piecewise Hash 기법을 사용하여 Hash Value를 생성하고, 이러한 Hash Value를 키(Key)로 이용하는 행위 스캔 서비스를 제공함으로써, Hash Value를 키(Key)로 이용하여 특정되는 행위 데이터에 대한 분석 결과 조회 뿐 아니라, Hash Value 간 유사도 측정을 기반으로 유사 행위 데이터의 조회/확인, 유사 행위 데이터의 분석 결과 조회 까지도 제공할 수 있을 것이다.In addition, in the present invention, the Hash Value is generated using the Piecewise Hash technique in generating Hash Value from Prepared Data of behavior data, and the Hash Value is generated by providing a behavior scan service that uses this Hash Value as a key. In addition to querying the analysis results of behavior data specified using a key, it will also be possible to provide inquiry/confirmation of similar behavior data based on similarity measurement between Hash Values, and even inquiry of analysis results of similar behavior data.
더 나아가, 본 발명에서는, 전술과 같이 Hash Value 간 유사도 측정을 기반으로 유사 행위 데이터의 조회/확인, 유사 행위 데이터의 분석 결과 조회 까지도 제공할 수 있기 때문에, 사용자 시스템(예: PC, 단말 등)은 아직 알려지지 않았지만 악성 행위와 유사한 행위 또는 악성 행위에서 일부 행위 내용만 변경된 행위까지도 판단하여 보안 조치를 취할 수 있는 효과까지 기대할 수 있다.Furthermore, in the present invention, it is possible to provide inquiry/confirmation of similar behavior data and even inquiry of analysis results of similar behavior data based on similarity measurement between Hash Values as described above, so that user systems (e.g. PC, terminal, etc.) Although it is not yet known, it can be expected to have the effect of taking security measures by judging actions that are similar to malicious actions or even actions that have only partially changed from malicious actions.
또한, 본 발명에서는, 다양한 환경에서 원본 행위 데이터를 수집하여 학습 및 분석에 활용하여 행위 기반 ML 모델의 성능을 높일 수 있고 클라우드 환경에서 다양하고 정확한 행위 분석 결과를 제공하여 사용자에게 의미 있는 분석 결과를 제공할 수 있다.In addition, in the present invention, the performance of behavior-based ML models can be improved by collecting original behavior data in various environments and using it for learning and analysis, and providing diverse and accurate behavior analysis results in a cloud environment to provide meaningful analysis results to users. can be provided.
이하에서는, 도 5를 참조하여, 본 발명의 일 실시 예에 따른 행위 스캔 서비스의 제공 방법에 대해 구체적인 서비스 흐름 실시 예를 설명하겠다.Hereinafter, with reference to FIG. 5, a specific service flow embodiment of the method for providing a behavior scan service according to an embodiment of the present invention will be described.
설명의 편의 상, 본 발명의 행위 스캔 서비스의 제공 방법이 수행되는 동작 주체로서 행위 스캔 서비스 시스템(100)를 언급하여 설명하겠다.For convenience of explanation, the method for providing a behavior scan service of the present invention will be described by referring to the behavior scan service system 100 as the operating entity.
본 발명에서 제안하는 행위 스캔 서비스의 제공 방법에 따르면, 행위 스캔 서비스 시스템(100)은, 사용자 시스템(예: PC, 단말 등)으로부터 행위 데이터를 수집할 수 있다(S10).According to the method for providing a behavior scan service proposed by the present invention, the behavior scan service system 100 can collect behavior data from a user system (eg, PC, terminal, etc.) (S10).
본 발명에서 제안하는 행위 스캔 서비스의 제공 방법에 따르면, 행위 스캔 서비스 시스템(100)은, 수집된 행위 데이터에 대하여, 전처리를 수행함으로써 Prepared Data를 생성할 수 있다(S20).According to the method for providing a behavior scan service proposed by the present invention, the behavior scan service system 100 can generate prepared data by performing preprocessing on the collected behavior data (S20).
구체적으로 설명하면, 행위 스캔 서비스 시스템(100)은, 전처리 수행에 따라, 금번 수집된 행위 데이터의 메타정보로부터 행위 스캔 서비스에서 활용되는 행위 기반 ML 모델(20)이 학습 및 예측 시 사용하는 Feature Data를 선정한다.Specifically, the behavior scan service system 100 performs preprocessing, and the behavior-based ML model 20 used in the behavior scan service uses the feature data for learning and prediction from the meta information of the behavior data collected this time. Select .
그리고, 행위 스캔 서비스 시스템(100)은, 전처리 수행에 따라, 금번 수집된 행위 데이터의 메타정보로부터 선정한 Feature Data를 이용하여, Prepared Data를 생성한다.Then, the behavior scan service system 100 performs preprocessing and generates prepared data using feature data selected from the meta information of the behavior data collected this time.
특히 본 발명에서는, Feature Data를 이용하여 Prepared Data를 생성하는 과정 중 데이터 변환 동작을 통해서, 수집 환경에 따라 동일한 행위에 대한 것이라도 데이터의 내용이 다를 수 있는 문제를 해결하고자 한다.In particular, the present invention seeks to solve the problem that the content of data may be different even for the same action depending on the collection environment through a data conversion operation during the process of creating prepared data using feature data.
구체적으로 설명하면, 행위 스캔 서비스 시스템(100)은, 전처리 수행에 따라, 앞서 선정한 Feature Data에서 개인 환경과 관련되는 문자열을 찾고, 해당 문자열을 수집 환경과 무관한 데이터로서 기 정의된 일반 문자열로 변환하는 데이터 변환 동작을 수행할 수 있다.Specifically, the behavior scan service system 100 searches for a string related to the personal environment in the previously selected Feature Data according to preprocessing, and converts the string into a predefined general string as data unrelated to the collection environment. You can perform data conversion operations.
이렇듯, 행위 스캔 서비스 시스템(100)은, 전처리 수행에 따라, 금번 수집된 행위 데이터의 메타정보로부터 Feature Data를 선정하고, 선정한 Feature Data에서 개인 환경과 관련되는 문자열을 일반 문자열로 변환하는 데이터 변환 동작을 수행한 후에 Prepared Data를 생성함으로써, 동일한 행위로부터 수집된 행위 데이터의 경우 동일한 Prepared Data가 생성될 수 있게 한다.In this way, the behavior scan service system 100 selects feature data from the meta information of the behavior data collected this time according to preprocessing, and performs a data conversion operation to convert a string related to the personal environment from the selected feature data into a general string. By creating Prepared Data after performing , the same Prepared Data can be created in the case of behavior data collected from the same behavior.
그리고, 본 발명에서 제안하는 행위 스캔 서비스의 제공 방법에 따르면, 행위 스캔 서비스 시스템(100)은, S20 단계에서 생성된 Prepared Data에 대한 해시값(Hash Value)을 생성할 수 있다(S30).And, according to the method for providing a behavior scan service proposed by the present invention, the behavior scan service system 100 can generate a hash value for the prepared data generated in step S20 (S30).
보다 구체적으로 설명하면, 행위 스캔 서비스 시스템(100)은, Prepared Data 전체를 블록화한 후 블록 단위로 Hash Value를 생성하고, 상기 블록 단위의 Hash Value를 연결하여 금번 Prepared Data에 대한 Hash Value로서 생성할 수 있다.To explain more specifically, the behavior scan service system 100 blocks the entire Prepared Data, generates Hash Value in block units, and connects the Hash Value in block units to generate Hash Value for this Prepared Data. You can.
이에, 본 발명에서 제안하는 행위 스캔 서비스의 제공 방법에 따르면, 행위 스캔 서비스 시스템(100)은, S30 단계에서 생성한 Hash Value를 키(Key)로 이용하여 특정되는 행위 데이터에 대한 분석 결과를 조회하는 행위 스캔 서비스를 사용자 시스템(예: PC, 단말 등)에 제공할 수 있다.Accordingly, according to the method for providing a behavior scan service proposed by the present invention, the behavior scan service system 100 uses the Hash Value generated in step S30 as a key to query the analysis results for the specified behavior data. Action scanning service can be provided to the user system (e.g. PC, terminal, etc.).
이하에서는, 도 5를 참조하여, 행위 스캔 서비스를 제공하는 일 실시 예를 설명하겠다. 본 발명에서 제안하는 클라우드 기반의 행위 스캔 서비스를 제공하는 주체인 서버(예: 130)의 동작 부분을 점선으로 도시하였다.Below, an embodiment of providing a behavior scan service will be described with reference to FIG. 5 . The operating part of the server (e.g., 130), which provides the cloud-based behavior scanning service proposed in the present invention, is shown with a dotted line.
구체적인 일 실시 예를 설명하면, 행위 스캔 서비스 시스템(100)의 클라이언트(예: 110,120)는, 본 발명에서 제안하는 클라우드 기반의 행위 스캔 서비스를 제공하는 주체인 서버(예: 130)로, Hash Value를 이용한 메타 스캔(Meta Scan) 요청할 수 있다(S40).To describe a specific embodiment, the client (e.g., 110, 120) of the behavior scan service system 100 is a server (e.g., 130) that provides the cloud-based behavior scan service proposed in the present invention, and Hash Value You can request a meta scan using (S40).
즉, 행위 스캔 서비스 시스템(100)의 클라이언트(예: 110,120)는, 분석이 필요한 행위에 대한 행위 데이터가 수집되면(S10), 행위 데이터에 대한 전처리 수행 및 Hash 생성을 거쳐(Prepared Data -> Hash Value, S20/S30), Hash Value를 이용한 Meta Scan을 서버(예: 130)에 요청할 수 있다(S40).That is, when the clients (e.g., 110, 120) of the behavior scan service system 100 collect behavior data for behavior requiring analysis (S10), they perform preprocessing on the behavior data and generate Hash (Prepared Data -> Hash Value, S20/S30), Meta Scan using Hash Value can be requested to the server (e.g. 130) (S40).
행위 스캔 서비스 시스템(100)의 서버(예: 130)는, Meta Scan 요청 수신 시, 요청에 따른 Hash Value 기반의 Query를 행위 메타 정보 DB(10)에 전달하여 해당 Hash Value이 맵핑된 행위 데이터의 분석 결과를 조회한다(S50).When receiving a Meta Scan request, the server (e.g., 130) of the behavior scan service system 100 transmits a Hash Value-based query according to the request to the behavior meta information DB 10 to retrieve the behavior data to which the Hash Value is mapped. Check the analysis results (S50).
이때 행위 스캔 서비스 시스템(100)의 서버(예: 130)는, 해당 Hash Value와 동일한 Hash Value에 맵핑되어 있는 분석 결과가 행위 메타 정보 DB(10)에 존재한다면 조화 결과로서 "Scan Information_행위 데이터 분석 결과"얻을 수 있고, 해당 Hash Value와 동일한 Hash Value에 맵핑되어 있는 분석 결과가 행위 메타 정보 DB(10)에 존재하지 않는다면 조화 결과로서 "not found"를 얻을 수 있다. At this time, the server (e.g., 130) of the behavior scan service system 100, if an analysis result mapped to the same Hash Value as the corresponding Hash Value exists in the behavior meta information DB 10, “Scan Information_Behavior Data” as the harmonization result. "Analysis result" can be obtained, and if the analysis result mapped to the same Hash Value as the corresponding Hash Value does not exist in the behavior meta information DB (10), "not found" can be obtained as the harmonization result.
그리고, 행위 스캔 서비스 시스템(100)의 서버(예: 130)는, 그 조회 결과를 클라이언트에 Scan 응답(예: Scan Information_행위 데이터 분석 결과, 또는 not found)으로서 회신할 수 있다(S50).And, the server (e.g., 130) of the behavior scan service system 100 may return the inquiry result to the client as a Scan response (e.g., Scan Information_behavioral data analysis result, or not found) (S50).
이에, 행위 스캔 서비스 시스템(100)의 클라이언트(예: 110,120)는, 서버(예: 130)로부터 Meta Scan 요청에 따른 Scan 응답(예: Scan Information_행위 데이터 분석 결과, 또는 not found)을 수신 및 사용자 시스템(예: PC, 단말 등)에 전달한다(S60).Accordingly, the client (e.g., 110, 120) of the behavior scan service system 100 receives a Scan response (e.g., Scan Information_behavioral data analysis result, or not found) according to the Meta Scan request from the server (e.g., 130) and Delivered to the user system (e.g. PC, terminal, etc.) (S60).
이렇게 되면, 사용자 시스템(예: PC, 단말 등)에서는, 본 발명이 적용되는 클라이언트(예: 110, 120)를 통해서 클라우드 기반 행위 스캔 서비스를 이용할 수 있고, 이를 통해 악성으로 분석된 행위를 차단하는 등 보안 조치를 취할 수 있을 것이다.In this case, the user system (e.g. PC, terminal, etc.) can use the cloud-based behavior scanning service through the client to which the present invention is applied (e.g. 110, 120), and through this, the behavior analyzed as malicious can be blocked. Security measures may be taken.
한편, 일 예에 따르면, 행위 스캔 서비스 시스템(100)의 클라이언트(예: 110, 120)는, S60단계의 Scan 응답에서 not found를 확인한 경우, Hash Value 및 Prepared Data까지 이용한 Full Scan을 서버(예: 130)에 요청할 수 있다(S70).Meanwhile, according to one example, when the client (e.g., 110, 120) of the behavior scan service system 100 confirms not found in the Scan response in step S60, it performs a Full Scan using Hash Value and Prepared Data to the server (e.g. : 130) can be requested (S70).
행위 스캔 서비스 시스템(100)의 서버(예: 130)는, Full Scan 요청 수신 시, 행위 기반 ML 모델(20)을 활용해 금번 Full Scan 요청에 따른 Prepared Data에 대한 분석을 수행하고 이에 따른 분석 결과를 클라이언트에 Scan 응답(예: 행위 데이터 분석 결과)으로서 회신할 수 있다(S80).When receiving a Full Scan request, the server (e.g., 130) of the behavior scan service system 100 uses the behavior-based ML model 20 to analyze the Prepared Data according to this Full Scan request and the result of the analysis. can be returned to the client as a Scan response (e.g., behavioral data analysis result) (S80).
이때 행위 스캔 서비스 시스템(100)의 서버(예: 130)는, 금번 분석 수행에 따른 분석 결과를 클라이언트에 Scan 응답으로서 회신하는 한편, 금번 분석 수행에 따른 분석 결과를 해당 Hash Value에 맵핑되는 행위 데이터의 분석 결과로서 행위 메타 정보 DB(10)에 저장할 수 있다(Hash Value/result)(S80). At this time, the server (e.g., 130) of the behavior scan service system 100 returns the analysis result of this analysis to the client as a Scan response, and converts the analysis result of this analysis into behavior data mapped to the Hash Value. As a result of the analysis, it can be stored in the behavior meta information DB (10) (Hash Value/result) (S80).
이에, 행위 스캔 서비스 시스템(100)의 클라이언트(예: 110,120)는, 서버(예: 130)로부터 Full Scan 요청에 따른 Scan 응답(예: 행위 데이터 분석 결과)을 수신 및 사용자 시스템(예: PC, 단말 등)에 전달한다(S90).Accordingly, the client (e.g., 110, 120) of the behavior scan service system 100 receives a scan response (e.g., behavior data analysis result) according to the Full Scan request from the server (e.g., 130) and sends it to the user system (e.g., PC, terminal, etc.) (S90).
이렇게 되면, 사용자 시스템(예: PC, 단말 등)에서는, 본 발명이 적용되는 클라이언트(예: 110, 120)를 통해서 클라우드 기반 행위 스캔 서비스를 이용할 수 있고, 이를 통해 악성으로 분석된 행위를 차단하는 등 보안 조치를 취할 수 있을 것이다.In this case, the user system (e.g. PC, terminal, etc.) can use the cloud-based behavior scanning service through the client to which the present invention is applied (e.g. 110, 120), and through this, the behavior analyzed as malicious can be blocked. Security measures may be taken.
더 나아가, 행위 스캔 서비스 시스템(100)의 서버(예: 130)는, 금번 Full Scan 요청에 따른 Scan 응답을 클라이언트에 회신하면서 원본 행위 데이터 전달을 요청하여, 클라이언트로부터 원본 행위 데이터를 수집 및 행위 수집 Data Store(30)에 저장함으로써(S100), 행위 기반 ML 모델(20)의 성능을 높이기 위해 활용되도록 하거나 클라우드 환경에서 다양하고 정확한 행위 분석 결과를 제공하기 위해 활용되도록 할 수도 있다. Furthermore, the server (e.g., 130) of the behavior scan service system 100 returns a Scan response according to this Full Scan request to the client and requests delivery of the original behavior data to collect and collect the original behavior data from the client. By storing it in the Data Store (30) (S100), it can be used to increase the performance of the behavior-based ML model (20) or to provide diverse and accurate behavior analysis results in a cloud environment.
본 발명의 실시 예에 따르는 행위 스캔 서비스의 제공 방법은, 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기 하드웨어 장치는 본 발명의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.The method of providing a behavior scan service according to an embodiment of the present invention may be implemented in the form of program instructions that can be executed through various computer means and recorded on a computer-readable medium. The computer-readable medium may include program instructions, data files, data structures, etc., singly or in combination. Program instructions recorded on the medium may be specially designed and constructed for the present invention or may be known and usable by those skilled in the art of computer software. Examples of computer-readable recording media include magnetic media such as hard disks, floppy disks, and magnetic tapes, optical media such as CD-ROMs and DVDs, and magnetic media such as floptical disks. -Includes optical media (magneto-optical media) and hardware devices specifically configured to store and execute program instructions, such as ROM, RAM, flash memory, etc. Examples of program instructions include machine language code, such as that produced by a compiler, as well as high-level language code that can be executed by a computer using an interpreter, etc. The hardware device may be configured to operate as one or more software modules to perform the operations of the present invention, and vice versa.
이상과 같이 본 발명에서는 구체적인 구성 요소 등과 같은 특정 사항들과 한정된 실시 예 및 도면에 의해 설명되었으나 이는 본 발명에 대한 이해를 돕기 위해서 제공된 것일 뿐, 본 발명은 상기의 실시 예에 한정되는 것은 아니며, 본 발명이 속하는 분야에서 통상적인 지식을 가진 자라면 이러한 기재로부터 다양한 수정 및 변형이 가능하다.As described above, the present invention has been described with specific details such as specific components and limited embodiments and drawings, but this is only provided to aid understanding of the present invention, and the present invention is not limited to the above embodiments. Various modifications and variations can be made from this description by those skilled in the art to which the present invention pertains.
따라서, 본 발명의 사상은 설명된 실시 예에 국한되어 정해져서는 안되며, 후술하는 특허청구범위뿐 아니라 이 특허청구범위와 균등하거나 등가적 변형이 있는 모든 것들은 본 발명 사상의 범주에 속한다고 할 것이다.Accordingly, the spirit of the present invention should not be limited to the described embodiments, and the scope of the patent claims described later as well as all modifications equivalent to or equivalent to the scope of the claims will be considered to fall within the scope of the spirit of the present invention.

Claims (18)

  1. 행위 데이터에 대한 전처리 수행을 통해 Prepared 데이터를 생성하는 데이터 생성단계;A data generation step of generating prepared data by performing preprocessing on behavior data;
    상기 Prepared 데이터에 대한 해시값(Hash Value)을 생성하는 해시값 생성단계; 및A hash value generation step of generating a hash value for the prepared data; and
    상기 생성한 해시값을 이용하여, 상기 행위 데이터에 대한 분석 결과를 조회할 수 있는 행위 스캔 서비스를 제공하는 스캔 서비스 제공단계를 포함하는 것을 특징으로 하는 행위 스캔 서비스의 제공 방법.A method of providing a behavior scan service, comprising a scan service providing step of providing a behavior scan service that can query analysis results of the behavior data using the generated hash value.
  2. 제 1 항에 있어서,According to claim 1,
    상기 전처리는, The preprocessing is,
    동일한 행위로부터 수집된 행위 데이터의 경우 동일한 Prepared 데이터가 생성될 수 있도록 하는 데이터 변환 동작을 포함하여 정의되는 것을 특징으로 하는 행위 스캔 서비스의 제공 방법.A method of providing a behavior scan service, characterized in that it is defined to include a data conversion operation that allows the same Prepared data to be generated in the case of behavior data collected from the same behavior.
  3. 제 1 항에 있어서,According to claim 1,
    상기 전처리는, The preprocessing is,
    상기 행위 데이터의 메타정보로부터, 상기 행위 스캔 서비스에서 활용되는 분석 모델이 학습 및 예측 시 사용하는 특징(Feature) 데이터를 선정하는 과정,A process of selecting feature data that the analysis model used in the behavior scan service uses for learning and prediction from the meta information of the behavior data,
    상기 선정한 특징 데이터를 이용하여 상기 Prepared 데이터를 생성하는 과정을 포함하는 것을 특징으로 하는 행위 스캔 서비스의 제공 방법.A method of providing a behavior scan service, comprising the step of generating the Prepared data using the selected feature data.
  4. 제 3 항에 있어서,According to claim 3,
    상기 전처리 내 상기 Prepared 데이터를 생성하는 과정은,The process of generating the prepared data within the preprocessing is,
    상기 선정한 특징 데이터에서 상기 행위 데이터가 수집된 수집 환경에 따라 가변되는 데이터를, 수집 환경과 무관한 데이터로 변환하는 데이터 변환 동작을 수행하고, Performing a data conversion operation to convert data that varies depending on the collection environment in which the behavior data was collected from the selected feature data into data unrelated to the collection environment,
    상기 데이터 변환 동작 수행 후의 특징 데이터를 이용하여 상기 Prepared 데이터를 생성하여, 동일한 행위로부터 수집된 행위 데이터의 경우 동일한 Prepared 데이터가 생성될 수 있게 하는 것을 특징으로 하는 행위 스캔 서비스의 제공 방법.A method of providing a behavior scan service, characterized in that the prepared data is generated using the characteristic data after performing the data conversion operation, so that the same prepared data can be generated in case of behavior data collected from the same behavior.
  5. 제 4 항에 있어서,According to claim 4,
    상기 수집 환경에 따라 가변되는 데이터는, 개인 환경과 관련되는 문자열로 정의되는 데이터를 포함하며,Data that varies depending on the collection environment includes data defined as a string related to personal environment,
    상기 데이터 변환 동작은,The data conversion operation is,
    상기 선정한 특징 데이터에서 상기 개인 환경과 관련되는 문자열을 기 정의된 일반 문자열로 변환하는 하는 동작인 것을 특징으로 하는 행위 스캔 서비스의 제공 방법.A method of providing a behavior scan service, characterized in that the operation of converting a string related to the personal environment from the selected feature data into a predefined general string.
  6. 제 1 항에 있어서,According to claim 1,
    상기 해시값 생성단계는,The hash value generation step is,
    상기 Prepared 데이터 전체를 블록화한 후 블록 단위로 해시값을 생성하고, 상기 블록 단위의 해시값을 연결하여 상기 Prepared 데이터에 대한 해시값으로서 생성하는 것을 특징으로 하는 행위 스캔 서비스의 제공 방법.A method of providing a behavior scan service, characterized in that the hash value is generated in block units after blocking all of the prepared data, and the hash values in block units are concatenated to generate a hash value for the prepared data.
  7. 제 1 항에 있어서,According to claim 1,
    상기 스캔 서비스 제공단계는,The scan service provision step is,
    해시값을 키(Key)로 하여 맵핑되는 행위 데이터에 대한 분석 결과를 조회할 수 있도록 구축된 DB(Data Base)와 연동하여, 클라우드 기반의 행위 스캔 서비스를 제공하는 것을 특징으로 하는 행위 스캔 서비스의 제공 방법.A behavior scan service that provides a cloud-based behavior scan service by linking with a DB (Data Base) built to query the analysis results of behavior data mapped using the hash value as a key. How to provide.
  8. 제 7 항에 있어서,According to claim 7,
    상기 스캔 서비스 제공단계는,The scan service provision step is,
    상기 해시값을 이용한 메타 스캔(Meta Scan) 요청 수신 시, 해시값 기반의 쿼리를 통해 상기 DB로부터 상기 해시값이 맵핑된 행위 데이터의 분석 결과를 조회하고 조회 결과를 스캔 응답으로 회신하여, Meta Scan 기능을 제공하는 것을 특징으로 하는 행위 스캔 서비스의 제공 방법.When receiving a meta scan request using the hash value, the analysis result of the behavior data to which the hash value is mapped is searched from the DB through a hash value-based query and the search result is returned as a scan response, and Meta Scan A method of providing a behavior scanning service, characterized in that it provides a function.
  9. 제 7 항에 있어서,According to claim 7,
    상기 스캔 서비스 제공단계는,The scan service provision step is,
    상기 해시값 및 상기 Prepared 데이터를 이용한 전체 스캔(Full Scan) 요청 수신 시, 기 구축된 분석 모델을 활용해 상기 Prepared 데이터에 대한 분석을 수행하고 이에 따른 분석 결과를 스캔 응답으로 회신하여, Full Scan 기능을 제공하며,When receiving a full scan request using the hash value and the prepared data, the prepared data is analyzed using a pre-built analysis model and the analysis result is returned as a scan response, thereby providing a full scan function. Provides,
    상기 분석 수행에 따른 분석 결과를 상기 해시값에 맵핑되는 행위 데이터의 분석 결과로서 상기 DB에 저장하는 것을 특징으로 하는 행위 스캔 서비스의 제공 방법.A method of providing a behavior scan service, characterized in that the analysis result according to the analysis is stored in the DB as an analysis result of behavior data mapped to the hash value.
  10. 제 7 항에 있어서,According to claim 7,
    상기 DB에서 특정 행위 데이터에 대한 분석 결과에 맵핑된 해시값이 변경되는 이벤트 시, 상기 이벤트 이후 생성된 해시값과 상기 이벤트 이전의 해시값 간을 연결하는 정보를 관리하여, In the event that the hash value mapped to the analysis result of specific behavior data in the DB changes, information linking the hash value generated after the event and the hash value before the event is managed,
    상기 행위 스캔 서비스에서 상기 이벤트 이전의 해시값을 이용하더라도 상기 연결 정보를 근거로 상기 특정 행위 데이터에 대한 분석 결과가 조회될 수 있게 하는 단계를 더 포함하는 것을 특징으로 하는 행위 스캔 서비스의 제공 방법.A method of providing a behavior scan service, further comprising enabling the analysis result of the specific behavior data to be searched based on the connection information even if the behavior scan service uses a hash value before the event.
  11. 행위 데이터에 대한 전처리 수행을 통해 Prepared 데이터를 생성하는 전처리 수행부;A preprocessing unit that generates prepared data by performing preprocessing on behavior data;
    상기 Prepared 데이터에 대한 해시값(Hash Value)을 생성하는 해시값 생성부; 및A hash value generator that generates a hash value for the prepared data; and
    상기 생성한 해시값을 이용하여, 상기 행위 데이터에 대한 분석 결과를 조회할 수 있는 행위 스캔 서비스를 제공하는 스캔 서비스 제공부를 포함하는 것을 특징으로 하는 행위 스캔 서비스 시스템.A behavior scan service system comprising a scan service provider that provides a behavior scan service that can query analysis results for the behavior data using the generated hash value.
  12. 제 11 항에 있어서,According to claim 11,
    상기 전처리는, The preprocessing is,
    상기 행위 데이터의 메타정보로부터, 상기 행위 스캔 서비스에서 활용되는 분석 모델이 학습 및 예측 시 사용하는 특징(Feature) 데이터를 선정하는 과정,A process of selecting feature data that the analysis model used in the behavior scan service uses for learning and prediction from the meta information of the behavior data,
    상기 선정한 특징 데이터를 이용하여 상기 Prepared 데이터를 생성하는 과정을 포함하는 것을 특징으로 하는 행위 스캔 서비스 시스템.A behavior scan service system comprising a process of generating the prepared data using the selected feature data.
  13. 제 12 항에 있어서,According to claim 12,
    상기 전처리 내 상기 Prepared 데이터를 생성하는 과정은,The process of generating the prepared data within the preprocessing is,
    상기 선정한 특징 데이터에서 상기 행위 데이터가 수집된 수집 환경에 따라 가변되는 데이터를 수집 환경과 무관한 데이터로 변환하는 데이터 변환 동작을 수행하고, Performing a data conversion operation to convert data that varies depending on the collection environment in which the behavior data was collected from the selected feature data into data unrelated to the collection environment,
    상기 데이터 변환 동작 수행 후의 특징 데이터를 이용하여 상기 Prepared 데이터를 생성하여, 동일한 행위로부터 수집된 행위 데이터의 경우 동일한 Prepared 데이터가 생성될 수 있게 하는 것을 특징으로 하는 행위 스캔 서비스 시스템.A behavior scan service system characterized in that the prepared data is generated using the characteristic data after performing the data conversion operation, so that the same prepared data can be generated in case of behavior data collected from the same behavior.
  14. 제 13 항에 있어서,According to claim 13,
    상기 수집 환경에 따라 가변되는 데이터는, 개인 환경과 관련되는 문자열로 정의되는 데이터를 포함하며,Data that varies depending on the collection environment includes data defined as a string related to personal environment,
    상기 데이터 변환 동작은,The data conversion operation is,
    상기 선정한 특징 데이터에서 상기 개인 환경과 관련되는 문자열을 기 정의된 일반 문자열로 변환하는 하는 동작인 것을 특징으로 하는 행위 스캔 서비스 시스템.A behavior scan service system, characterized in that the operation of converting a string related to the personal environment from the selected feature data into a predefined general string.
  15. 제 11 항에 있어서,According to claim 11,
    상기 해시값 생성부는,The hash value generator,
    상기 Prepared 데이터 전체를 블록화한 후 블록 단위로 해시값을 생성하고, 상기 블록 단위의 해시값을 연결하여 상기 Prepared 데이터에 대한 해시값으로서 생성하는 것을 특징으로 하는 행위 스캔 서비스 시스템.A behavior scan service system that blocks all of the prepared data, generates a hash value in block units, and concatenates the hash values in block units to generate a hash value for the prepared data.
  16. 제 11 항에 있어서,According to claim 11,
    상기 스캔 서비스 제공부는,The scan service provider,
    해시값을 키(Key)로 하여 맵핑되는 행위 데이터에 대한 분석 결과를 조회할 수 있도록 구축된 DB(Data Base)와 연동하여, 클라우드 기반의 행위 스캔 서비스를 제공하는 것을 특징으로 하는 행위 스캔 서비스 시스템.A behavior scan service system that provides a cloud-based behavior scan service in conjunction with a DB (Data Base) built to query the analysis results of behavior data mapped using hash values as keys. .
  17. 제 16 항에 있어서,According to claim 16,
    상기 스캔 서비스 제공부는,The scan service provider,
    상기 해시값을 이용한 메타 스캔(Meta Scan) 요청 수신 시, 해시값 기반의 쿼리를 통해 상기 DB로부터 상기 해시값이 맵핑된 행위 데이터의 분석 결과를 조회하고 조회 결과를 스캔 응답으로 회신하여, Meta Scan 기능을 제공하고,When receiving a meta scan request using the hash value, the analysis result of the behavior data to which the hash value is mapped is searched from the DB through a hash value-based query and the search result is returned as a scan response, and Meta Scan provide functionality,
    상기 해시값 및 상기 Prepared 데이터를 이용한 전체 스캔(Full Scan) 요청 수신 시, 기 구축된 분석 모델을 활용해 상기 Prepared 데이터에 대한 분석을 수행하고 이에 따른 분석 결과를 스캔 응답으로 회신하여, Full Scan 기능을 제공하는 것을 특징으로 하는 행위 스캔 서비스 시스템.When receiving a full scan request using the hash value and the prepared data, the prepared data is analyzed using a pre-built analysis model and the analysis result is returned as a scan response, thereby providing a full scan function. A behavior scanning service system characterized in that it provides.
  18. 하드웨어와 결합되어, 행위 데이터에 대한 전처리 수행을 통해 Prepared 데이터를 생성하는 데이터 생성단계;A data generation step that combines with hardware and generates prepared data by performing preprocessing on behavior data;
    상기 Prepared 데이터에 대한 해시값(Hash Value)을 생성하는 해시값 생성단계; 및A hash value generation step of generating a hash value for the prepared data; and
    상기 생성한 해시값을 이용하여, 상기 행위 데이터에 대한 분석 결과를 조회할 수 있는 행위 스캔 서비스를 제공하는 스캔 서비스 제공단계를 실행시키기 위해 매체에 저장된 컴퓨터 프로그램.A computer program stored in a medium for executing a scan service provision step of providing a behavior scan service capable of inquiring analysis results of the behavior data using the generated hash value.
PCT/KR2023/008891 2022-07-01 2023-06-27 Behavior scan service system, and method for providing behavior scan service WO2024005490A1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR10-2022-0081418 2022-07-01
KR1020220081418A KR20240003616A (en) 2022-07-01 2022-07-01 Action scan service system and control method for action scan service

Publications (1)

Publication Number Publication Date
WO2024005490A1 true WO2024005490A1 (en) 2024-01-04

Family

ID=89380903

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/KR2023/008891 WO2024005490A1 (en) 2022-07-01 2023-06-27 Behavior scan service system, and method for providing behavior scan service

Country Status (2)

Country Link
KR (1) KR20240003616A (en)
WO (1) WO2024005490A1 (en)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20110008854A (en) * 2009-07-21 2011-01-27 (주) 세인트 시큐리티 Method, system and computer readable recording medium for detecting exploit code
US20110047620A1 (en) * 2008-10-21 2011-02-24 Lookout, Inc., A California Corporation System and method for server-coupled malware prevention
KR101404882B1 (en) * 2013-01-24 2014-06-11 주식회사 이스트시큐리티 A system for sorting malicious code based on the behavior and a method thereof
KR102053869B1 (en) * 2019-05-29 2020-01-22 쿤텍 주식회사 Method and apparatus for detecting malignant code of linux environment
KR20210046423A (en) * 2019-10-18 2021-04-28 에스케이텔레콤 주식회사 Method and Apparatus for Security Management Based on Machine Learning

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20110047620A1 (en) * 2008-10-21 2011-02-24 Lookout, Inc., A California Corporation System and method for server-coupled malware prevention
KR20110008854A (en) * 2009-07-21 2011-01-27 (주) 세인트 시큐리티 Method, system and computer readable recording medium for detecting exploit code
KR101404882B1 (en) * 2013-01-24 2014-06-11 주식회사 이스트시큐리티 A system for sorting malicious code based on the behavior and a method thereof
KR102053869B1 (en) * 2019-05-29 2020-01-22 쿤텍 주식회사 Method and apparatus for detecting malignant code of linux environment
KR20210046423A (en) * 2019-10-18 2021-04-28 에스케이텔레콤 주식회사 Method and Apparatus for Security Management Based on Machine Learning

Also Published As

Publication number Publication date
KR20240003616A (en) 2024-01-09

Similar Documents

Publication Publication Date Title
WO2010062063A2 (en) Method and system for preventing browser-based abuse
WO2014010992A1 (en) Communication method between content requester and content provider for providing content and real-time streaming content in content name-based content centric network
WO2020125251A1 (en) Federated learning-based model parameter training method, device, apparatus, and medium
WO2021072881A1 (en) Object storage-based request processing method, apparatus and device, and storage medium
WO2018166099A1 (en) Information leakage detection method and device, server, and computer-readable storage medium
WO2017213281A1 (en) Method for de-identifying big data
WO2011046356A2 (en) Method for providing an anti-malware service
WO2020224246A1 (en) Block chain-based data management method and apparatus, device and storage medium
CN104247376A (en) File uploading method in cloud storage, client, application server, and cloud storage system
WO2018076841A1 (en) Data sharing method, apparatus, storage medium and server
EP3017395A1 (en) Method and apparatus of data authentication
WO2017028573A1 (en) Method and system for processing picture information based on mobile terminal
WO2020147385A1 (en) Data entry method and apparatus, terminal and computer-readable storage medium
WO2020253125A1 (en) Log management method, apparatus, and device, and storage medium
WO2021107256A1 (en) Method for providing interface for interoperation between different types of iot platform devices and system for providing interface for interoperation between different types of iot platform devices
WO2018076890A1 (en) Data backup method, device, storage medium, server and system
WO2020155359A1 (en) Control method for household appliance, server, household appliance, and storage medium
WO2020042464A1 (en) Data interaction method, apparatus and device, and readable storage medium
WO2019156506A1 (en) System and method for providing conversational contents
WO2021012481A1 (en) System performance monitoring method and apparatus, device, and storage medium
WO2014092505A1 (en) Method and device for providing dns service
WO2010128712A1 (en) System and method for semantic service
WO2018076842A1 (en) Data backup method, device, system, storage medium, and electronic device
WO2022108318A1 (en) Apparatus and method for analyzing smart contract code vulnerabilities
WO2024005490A1 (en) Behavior scan service system, and method for providing behavior scan service

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 23831850

Country of ref document: EP

Kind code of ref document: A1