KR101222178B1 - 악성코드 dna 및 메타데이터 자동 관리 시스템 - Google Patents

악성코드 dna 및 메타데이터 자동 관리 시스템 Download PDF

Info

Publication number
KR101222178B1
KR101222178B1 KR1020100133513A KR20100133513A KR101222178B1 KR 101222178 B1 KR101222178 B1 KR 101222178B1 KR 1020100133513 A KR1020100133513 A KR 1020100133513A KR 20100133513 A KR20100133513 A KR 20100133513A KR 101222178 B1 KR101222178 B1 KR 101222178B1
Authority
KR
South Korea
Prior art keywords
malicious code
dna
metadata
malware
malicious
Prior art date
Application number
KR1020100133513A
Other languages
English (en)
Other versions
KR20120071817A (ko
Inventor
강홍구
임채태
오주형
정종일
이진경
김병익
정현철
Original Assignee
한국인터넷진흥원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국인터넷진흥원 filed Critical 한국인터넷진흥원
Priority to KR1020100133513A priority Critical patent/KR101222178B1/ko
Publication of KR20120071817A publication Critical patent/KR20120071817A/ko
Application granted granted Critical
Publication of KR101222178B1 publication Critical patent/KR101222178B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/14Error detection or correction of the data by redundancy in operation
    • G06F11/1402Saving, restoring, recovering or retrying
    • G06F11/1415Saving, restoring, recovering or retrying at system level
    • G06F11/1435Saving, restoring, recovering or retrying at system level using file system or storage system metadata
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/40Information retrieval; Database structures therefor; File system structures therefor of multimedia data, e.g. slideshows comprising image and additional audio data
    • G06F16/44Browsing; Visualisation therefor

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Virology (AREA)
  • General Health & Medical Sciences (AREA)
  • Library & Information Science (AREA)
  • Quality & Reliability (AREA)
  • Multimedia (AREA)
  • Data Mining & Analysis (AREA)
  • Databases & Information Systems (AREA)
  • Measuring Or Testing Involving Enzymes Or Micro-Organisms (AREA)

Abstract

악성코드에 대한 체계적인 관리가 가능한 악성코드 DNA 및 메타데이터 자동 관리 시스템이 제공된다. 악성코드 DNA 및 메타데이터 자동 관리 시스템은 악성코드 수집-분석 시스템으로부터 악성코드에 대한 분석결과를 제공받아 이를 바탕으로 악성코드에 대한 DNA와 메타데이터를 추출하는 악성코드 DNA-메타데이터 저장 모듈, 추출된 악성코드에 대한 DNA와 메타데이터를 각각 저장하는 악성코드 DNA DB 및 악성코드 메타데이터 DB, 사용자가 악성코드 DNA DB 및 악성코드 메타데이터 DB에 각각 저장된 악성코드 DNA와 악성코드 메타데이터를 검색할 수 있도록 인터페이스를 제공하는 악성코드 DNA-메타데이터 관리 모듈, 악성코드 DNA DB 및 악성코드 메타데이터 DB에 각각 저장된 악성코드 DNA와 악성코드 메타데이터에 대한 통계자료를 생성하는 악성코드 통계-리포팅 관리 모듈, 및 악성코드 DNA-메타데이터 관리 모듈을 통해 사용자가 검색한 악성코드 DNA 및 악성코드 메타데이터와, 악성코드 통계-리포트 관리 모듈이 생성한 악성코드 DNA 및 악성코드 메타데이터에 대한 통계자료를 연관성과 유사도에 따라 악성코드 그룹별로 시각화하는 시각화 모듈을 포함한다.

Description

악성코드 DNA 및 메타데이터 자동 관리 시스템{Automatic management system for DNA and meta-data of malicious code}
본 발명은 악성코드 DNA 및 메타데이터 자동 관리 시스템에 관한 것이다.
악성코드란 악성 또는 악용 가능한 소프트웨어의 집합으로서, 바이러스, 웜, 스파이웨어, 악성 애드웨어 등 사용자와 컴퓨터에게 잠재적으로 위험이 되는 모든 소프트웨어를 총칭하는 말이다. 사전적 의미로 멀웨어(malware)는 'malicious software(악의적인 소프트웨어)'의 약자로, 사용자의 의사와 이익에 반해 시스템을 파괴하거나 정보를 유출하는 등 악의적 활동을 수행하도록 의도적으로 제작된 소프트웨어를 말한다. 국내에서는 이를 '악성코드'로 번역하며. 자기 복제와 파일 감염이 특징인 바이러스를 포함하는 더 넓은 개념이라고 할 수 있다.
이와 같은 악성코드들을 식별하기 위해서는 분석 대상 코드가 악성코드인지 아닌지 식별할 수 있는 식별값이 필요하며, 분석 대상 코드에 이러한 식별값이 존재할 경우 분석 대상 코드가 악성코드로 판별되게 된다.
본 발명이 해결하고자 하는 기술적 과제는 악성코드들을 다양한 기준에 따라 체계적으로 분류하고 관리할 수 있는 악성코드 DNA 및 메타데이터 자동 관리 시스템을 제공하는 것이다.
본 발명의 기술적 과제들은 이상에서 언급한 기술적 과제로 제한되지 않으며, 언급되지 않은 또 다른 기술적 과제들은 아래의 기재로부터 당업자에게 명확하게 이해될 수 있을 것이다.
상기 기술적 과제를 달성하기 위한 본 발명의 악성코드 DNA 및 메타데이터 자동 관리 시스템의 일 태양(aspect)은, 악성코드 수집-분석 시스템으로부터 악성코드에 대한 분석결과를 제공받아 이를 바탕으로 악성코드에 대한 DNA와 메타데이터를 추출하는 악성코드 DNA-메타데이터 저장 모듈, 추출된 악성코드에 대한 DNA와 메타데이터를 각각 저장하는 악성코드 DNA DB 및 악성코드 메타데이터 DB, 사용자가 악성코드 DNA DB 및 악성코드 메타데이터 DB에 각각 저장된 악성코드에 대한 DNA와 메타데이터를 검색할 수 있도록 인터페이스를 제공하는 악성코드 DNA-메타데이터 관리 모듈, 악성코드 DNA DB 및 악성코드 메타데이터 DB에 각각 저장된 악성코드에 대한 DNA와 메타데이터의 통계자료를 생성하는 악성코드 통계-리포팅 관리 모듈, 및 악성코드 DNA-메타데이터 관리 모듈을 통해 사용자가 검색한 악성코드 DNA 및 메타데이터와, 통계-리포트 관리 모듈이 생성한 악성코드 DNA 및 메타데이터에 대한 통계자료를 연관성과 유사도에 따라 악성코드 그룹별로 시각화하는 시각화 모듈을 포함한다.
기타 실시예들의 구체적인 사항들은 상세한 설명 및 도면들에 포함되어 있다.
본 발명의 일 실시예에 따른 악성코드 DNA 및 메타데이터 자동 관리 시스템은 악성코드로부터 추출한 DNA와 메타데이터를 자동으로 관리하고, 또 필요할 경우, 이를 외부 시스템(예를 들어, AV 업체)과 공유함으로써, 악성코드에 대한 체계적 관리가 가능하도록 도와준다. 즉, 악성코드 DNA 및 메타데이터를 체계적으로 저장 및 관리할 수 있기 때문에, 신규로 발생되는 악성코드에 대해 신속한 식별이 가능하도록 도와주고, 변종 및 유사 악성코드에 관한 정보도 신속히 제공할 수 있으므로, 효율적인 악성코드 대응에 큰 역할을 할 수 있다.
도 1은 본 발명의 일 실시예에 따른 악성코드 DNA 및 메타데이터 자동 관리 시스템의 블록 구성도이다.
도 2 내지 도 4는 본 발명의 일 실시예에 따른 악성코드 DNA 및 메타데이터 자동 관리 시스템의 악성코드 DNA DB와 악성코드 메타데이터 DB를 구성하는 테이블들의 예시적인 관계도들이다.
도 5 및 도 6은 본 발명의 일 실시예에 따른 악성코드 DNA-메타데이터 관리 모듈이 제공하는 인터페이스들을 설명하기 위한 도면들이다.
도 7은 본 발명의 일 실시예에 따른 악성코드 통계-리포팅 관리 모듈이 제공하는 통계자료를 설명하기 위한 도면이다.
본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 것이며, 단지 본 실시예들은 본 발명의 개시가 완전하도록 하며, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다. 도면에서 표시된 구성요소의 크기 및 상대적인 크기는 설명의 명료성을 위해 과장된 것일 수 있다.
명세서 전체에 걸쳐 동일 참조 부호는 동일 구성 요소를 지칭하며, "및/또는"은 언급된 아이템들의 각각 및 하나 이상의 모든 조합을 포함한다.
본 명세서에서 사용된 용어는 실시예들을 설명하기 위한 것이며 본 발명을 제한하고자 하는 것은 아니다. 본 명세서에서, 단수형은 문구에서 특별히 언급하지 않는 한 복수형도 포함한다. 명세서에서 사용되는 "포함한다(comprises)" 및/또는 "이루어지다(made of)"는 언급된 구성요소, 단계, 동작 및/또는 소자는 하나 이상의 다른 구성요소, 단계, 동작 및/또는 소자의 존재 또는 추가를 배제하지 않는다.
비록 제1, 제2 등이 다양한 구성요소들을 서술하기 위해서 사용되나, 이들 구성요소들은 이들 용어에 의해 제한되지 않음은 물론이다. 이들 용어들은 단지 하나의 구성요소를 다른 구성요소와 구별하기 위하여 사용하는 것이다. 따라서, 이하에서 언급되는 제1 구성요소는 본 발명의 기술적 사상 내에서 제2 구성요소일 수도 있음은 물론이다.
다른 정의가 없다면, 본 명세서에서 사용되는 모든 용어(기술 및 과학적 용어를 포함)는 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 공통적으로 이해될 수 있는 의미로 사용될 수 있을 것이다. 또 일반적으로 사용되는 사전에 정의되어 있는 용어들은 명백하게 특별히 정의되어 있지 않는 한 이상적으로 또는 과도하게 해석되지 않는다.
이하 도 1 내지 도 7을 참조하여, 본 발명의 일 실시예에 따른 악성코드 DNA 및 메타데이터 자동 관리 시스템(100)에 대해 설명한다.
도 1은 본 발명의 일 실시예에 따른 악성코드 DNA 및 메타데이터 자동 관리 시스템의 블록 구성도이고, 도 2 내지 도 4는 본 발명의 일 실시예에 따른 악성코드 DNA 및 메타데이터 자동 관리 시스템의 악성코드 DNA DB와 악성코드 메타데이터 DB를 구성하는 테이블들의 예시적인 관계도들이다. 도 5 및 도 6은 본 발명의 일 실시예에 따른 악성코드 DNA- 메타데이터 관리 모듈이 제공하는 인터페이스들을 설명하기 위한 도면들이고, 도 7은 본 발명의 일 실시예에 따른 악성코드 통계-리포팅 관리 모듈이 제공하는 통계자료를 설명하기 위한 도면이다.
앞서 언급한 것과 같이 악성코드들을 식별하기 위해서는 분석 대상 코드가 악성코드인지 아닌지 식별할 수 있는 식별값이 필요한데, 본 명세서에서는 이러한 식별값의 집합을 악성코드 DNA로 정의한다. 사람의 DNA를 판별하면 사람간 식별이 가능한 것과 마찬가지로, 프로그램 코드에 대해서도 특정 패턴이 존재하는지 판별하면, 이 코드가 악성코드인지 아닌지가 판별이 가능하므로, 본 명세서에서는 이러한 특정 패턴을 악성코드 DNA로 정의한다.
그리고 자세히 후술하겠지만, 본 명세서에서 악성코드 메타데이터는 악성코드 분석에서 얻어진 악성코드의 행위, 특성 데이터 등을 의미한다.
먼저 도 1을 참조하면, 본 발명의 일 실시예에 따른 악성코드 DNA 및 메타데이터 자동 관리 시스템(100)은 응용 서버(200)와 DB 서버(300)를 포함할 수 있다. 다시 응용 서버(200)는 악성코드 DNA-메타데이터 저장 모듈(210), 악성코드 DNA-메타데이터 관리 모듈(220), 악성코드 통계-리포팅 관리 모듈(230), 악성코드 공유 정보 관리 모듈(240), 시각화 모듈(250) 및 DB 접근 모듈(260)을 포함할 수 있고, DB 서버(300)는 DB 관리 모듈(310), 악성코드 DNA DB(320), 악성코드 메타데이터 DB(330), 악성코드 통계 DB(340), 악성코드 공유 DB(350)를 포함할 수 있다.
악성코드 DNA-메타데이터 저장 모듈(210)은 악성코드 수집-분석 시스템(10)으로부터 악성코드에 대한 분석결과를 제공받아 이를 바탕으로 악성코드에 대한 DNA와 메타데이터를 추출하는 모듈일 수 있다. 구체적으로, 악성코드 DNA-메타데이터 저장 모듈(210)은 외부 악성코드 수집-분석 시스템(10)으로부터 악성코드에 대한 분석결과를 웹을 통해 손쉽게 정보 공유가 가능한 XML 문서 형태로 제공받고, 그 중에서 악성코드 DNA와 악성코드 메타데이터를 추출한 후, DB 접근 모듈(260)과 DB 관리 모듈(310)을 통하여 이를 각각 악성코드 DNA DB(320)와 악성코드 메타데이터 DB(330)에 저장하는 모듈일 수 있다. 비록, 도 1에 도시하지는 않았으나, 악성코드 DNA-메타데이터 저장 모듈(210)은 이러한 추출 및 저장 과정을 원활하게 수행하기 위해 별도의 임시 버퍼(미도시)를 가질 수도 있다.
한편, 여기서 악성코드 DNA란 분석 대상 코드가 악성코드인지 아닌지 식별할 수 있는 식별값을 의미할 수 있는데, 이러한 식별값은 아래 표 1에 제시된 특성 값(필드 값)을 포함할 수 있다.
필드 값 설명
악성코드명
(진단명)		 악성코드로 판명된 경우의 진단명
악성코드타입 악성코드의 파일 타입
크기 파일 크기
OEP(Original Entry Point) 주소 프로그램 시작 위치 주소
OPE + 24byte 해쉬값 OEP로부터 24byte 헥사값에 대한 해쉬값
OPE + 32byte 해쉬값 OEP로부터 32byte 헥사값에 대한 해쉬값
PE 텍스트 섹션 크기 PE 파일에서 텍스트 섹션의 크기
PE 텍스트 섹션 해쉬값 PE 파일에서 텍스트 섹션에 대한 해쉬값
표 1에서 악성코드명 필드는 악성코드의 진단명을 나타내는 필드이고, 악성코드타입은 악성코드 파일의 타입을 나타내는 필드로, 예를 들어, 악성코드가 PDF인지, Script인지, txt인지 구별할 수 있게 해주는 필드이다. 크기 필드는 악성코드 파일의 크기를 나타내는 필드이고, OEP 주소 필드는 악성코드 내 프로그램 시작 위치 주소를 나타내는 필드이다. 이이서, OPE + 24byte 해쉬값 필드, OPE + 32byte 해쉬값 필드는 각각 OEP로부터 24byte, 32byte 구간 내의 헥사값에 대한 해쉬값을 나타내는 필드 인데, 본 발명에서 이러한 해쉬값을 구하기 위한 해쉬 함수로는 예를 들어, MD5, SHA1 등이 이용될 수 있다. 그리고, PE 텍스트 섹션 크기 필드는 윈도우 환경 하에서 악성코드에 대한 실행 파일인 PE 파일에서 텍스트 섹션의 크기를 나타내는 필드이고, PE 텍스트 섹션 해쉬값 필드는 PE 파일에서 텍스트 섹션에 대한 해쉬값을 나타내는 필드이다.
이러한 악성코드 DNA는 앞서 설명한 바와 같이, 악성코드 DNA-메타데이터 저장 모듈(210)에 의해 추출되어, 도 2에 도시된 것과 같은 테이블(321) 형태로 악성코드 DNA DB(320)에 저장될 수 있다.
한편 도 2 내지 도 4를 참조하면, 악성코드 메타데이터란 악성코드 분석에서 얻어진 악성코드의 행위, 특성 데이터 등을 의미할 수 있다.
구체적으로 도 2를 참조하면, 악성코드 그룹정보는 하나의 악성코드 메타데이터가 될 수 있으며, 다수의 악성코드 중 서로 연관관계가 존재하는 악성코드들을 그룹으로 묶어 악성코드 그룹 데이터를 생성할 수 있다. 이러한 악성코드 그룹 데이터는 도 2에 도시된 것과 같이 악성코드 그룹 기원(origin) ID, 악성코드 개수, 비악성코드 개수, 분석 일자 등의 필드를 가지며 하나의 테이블(331) 형태로 악성코드 메타데이터 DB(330)에 저장될 수 있다.
이 때, 악성코드 테이블(321)과 악성코드 그룹 테이블(331)은 도시된 것과 같이 N:M의 관계를 가질 수 있다. 즉, 하나의 악성코드 그룹은 서로 연관관계가 존재하는 N개의 악성코드를 참조할 수 있고, 하나의 악성코드는 M개의 악성코드 그룹을 참조할 수 있다.
한편, 악성코드 변종정보도 하나의 악성코드 메타데이터가 될 수 있다. 예를 들어, A라는 악성코드가 존재하고, B, C라는 악성코드가 발견되었는데, 이러한 B, C 악성코드가 A 악성코드와 일정 임계치 이상의 유사도를 가질 경우, B, C 악성코드는 A 악성코드의 변종으로 볼 수 있다. 이러한 악성코드 변종정보는 도 2에 도시된 것과 같이, 악성코드 변종 기원(origin) 테이블(332)과 악성코드 변종 그룹 테이블(333)로 이루어져 악성코드 메타데이터 DB(330)에 저장될 수 있다.
먼저, 악성코드 변종 기원 테이블(332)은 변종 기원ID, 변종 개수, 분석 일자 등의 필드를 가질 수 있으며, 악성코드 테이블(321)과 악성코드 변종 기원 테이블(332)은 도시된 것과 같이 N:1의 관계를 가질 수 있다. 즉, N개의 악성코드는 동일한 변종 기원을 참조할 수 있다.
다음, 악성코드 변종 그룹 테이블(333)은 악성코드 ID, 변종 악성코드ID, String 유사도, 분석 일자 등의 필드를 가질 수 있으며, 악성코드 테이블(321)과 악성코드 변종 그룹 테이블(333)은 도시된 것과 같이 1:N의 관계를 가질 수 있다. 다시 말해, 하나의 악성코드는 여러 변종 그룹에 속할 수 있다.
다시 도 2를 참조하면, 악성코드와 연관된 비악성코드 정보도 하나의 악성코드 메타데이터가 될 수 있으며, 이러한 비악성코드 정보는 도 2에 도시된 것과 같이 비악성코드 ID, 파일명, 타입, MD5, 크기, 분석일자, 관련 악성코드 ID 등의 필드를 가지며 하나의 테이블(334) 형태로 악성코드 메타데이터 DB(330)에 저장될 수 있다.
다음 도 3을 참조하면, 악성코드 메타데이터는 악성코드 행위 정보 테이블들(335a~335e)을 포함할 수 있다. 각 행위 정보 테이블(335a~335e)은 악성코드의 행위에 대한 정보를 갖는 테이블로서, 각 행위 특성과 관련된 다양한 필드 값들로 구성된다. 그리고 이러한 악성코드의 행위 정보와 관련된 악성코드 행위 정보 테이블들(335a~335e)은 악성코드 메타데이터 DB(330)에 저장될 수 있다. 한편, 각 악성코드 행위 정보 테이블(335a~335e)과 악성코드 테이블(321)은 N:1의 관계를 가질 수 있다. 즉, 이는 하나의 악성코드가 여러 행위를 수행할 수 있음을 의미할 수 있다.
다음 도 4를 참조하면, 악성코드 메타데이터는 악성코드 특성 정보 테이블들(336a~336i)를 포함할 수 있다. 각 특성 정보 테이블(336a~336i)은 악성코드의 특성에 대한 정보를 갖는 테이블로서, 악성코드가 어떠한 특성을 지니는지에 관한 다양한 필드 값들로 구성된다. 그리고, 이러한 악성코드의 특성 정보와 관련된 악성코드 특성 정보 테이블들(336a~336i)은 악성코드 메타데이터 DB(330)에 저장될 수 있다. 한편, 각 악성코드 특성 정보 테이블(336a~336i)과 악성코드 테이블(321)도 N:1의 관계를 가질 수 있다. 이 역시 하나의 악성코드가 여러 특성을 가질 수 있음을 의미할 수 있다.
다시 도 1을 참조하면, 악성코드 DNA-메타데이터 관리 모듈(220)은 사용자가 악성코드 DNA DB(320) 및 악성코드 메타데이터 DB(330)에 각각 저장된 앞서 설명한 악성코드 DNA와 악성코드 메타데이터를 검색할 수 있도록 인터페이스를 제공할 수 있다. 즉, 악성코드 DNA-메타데이터 관리 모듈(220)은 예를 들어, 사용자가 특정 악성코드에 대한 DNA와 메타데이터를 검색할 경우, DB 접근 모듈(260)과 DB 관리 모듈(310)을 통해 악성코드 DNA DB(320) 및 악성코드 메타데이터 DB(330)에 접근하여, 사용자가 원하는 악성코드에 대한 DNA와 메타데이터 정보를 시각화 모듈(250)을 통해서 제공할 수 있다. 이 때, 연관 관계가 존재하는 필드 값들의 수집은 도 2 내지 도 4에 도시된 키 값들을 이용하여 자료를 수집하게 된다.
아울러 사용자는 악성코드 DNA-메타데이터 관리 모듈(220)이 시각화 모듈(250)을 통해 제공하는 인터페이스를 이용하여, 악성코드에 대한 DNA 및 메타데이터를 검색할 수 있다. 도 5 및 도 6에 도시된 것은 사용자가 악성코드에 대한 DNA와 메타데이터 정보를 수정하는 인터페이스를 각각 예시적으로 도시한 것이다. 이처럼 사용자는 악성코드 DNA-메타데이터 관리 모듈(220)을 통해 악성코드 DNA DB(320) 및 악성코드 메타데이터 DB(330)에 저장된 정보를 검색, 추가, 삭제 또는 갱신할 수 있다.
악성코드 통계-리포팅 관리 모듈(230)은 악성코드 DNA DB(320) 및 악성코드 메타데이터 DB(330)에 각각 저장된 악성코드 DNA와 악성코드 메타데이터에 대한 통계자료를 생성하는 모듈일 수 있다. 구체적으로 이러한 통계자료는 기간별 악성코드 현황자료, 종류별 악성코드 현황자료, 빈도수 높은 악성 코드 현황자료 중 적어도 어느 하나의 자료를 포함할 수 있는데, 이러한 통계자료는 악성코드 통계 DB(340)에 저장될 수 있다. 즉, 악성코드 통계-리포팅 관리 모듈(230)은 악성코드 DNA DB(320) 및 악성코드 메타데이터 DB(330)에 각각 저장된 악성코드 DNA와 악성코드 메타데이터로부터 통계자료를 생성하여 이를 악성코드 통계 DB(340)에 저장하고, 이를 시각화 모듈(250)을 통해 사용자에게 제공하는 모듈일 수 있다. 이렇게 사용자에게 제공되는 통계 자료는 도 7과 같은 형태로 제공될 수 있다. 본 실시예에서는 악성코드 통계 DB(340)가 별도로 구성되는 예시를 설명하고 있으나, 본 발명이 이에 제한되는 것은 아니며, 필요에 따라 악성코드 통계 DB(340)는 생략될 수도 있다. 또한, 본 실시예에서는 제공되는 통계자료의 형태로 도 7에 도시된 것을 예시하고 있으나, 이 역시 도 7에 예시된 것에 제한되는 것은 아니며, 사용자에게 제공되는 통계자료의 형태는 얼마든지 변형될 수 있다.
악성코드 공유 정보 관리 모듈(240)은 외부 시스템(20)으로부터 악성코드에 대한 DNA와 메타데이터의 공유 요청을 제공받고, 이에 응답하여 악성코드 DNA DB(320) 및 악성코드 메타데이터 DB(330)에 각각 저장된 악성코드 DNA와 악성코드 메타데이터를 악성코드 공유 DB(350)에 저장하고 이를 외부 시스템(20)으로 전달하는 모듈일 수 있다. 악성코드에 대한 정보는 예방과 대응 측면에서, 외부적으로 공유하는 것이 매우 중요한데, 본 발명의 악성코드 DNA 및 메타데이터 자동 관리 시스템에서는 이를 위해 이처럼 별도의 악성코드 공유 정보 관리 모듈(240)을 두고 있다. 이처럼 외부 시스템(20)으로 전달되는 악성코드에 대한 DNA와 메타데이터 정보는 웹을 통해 손쉽게 공유가 가능한 XML 문서 형태로 전달되므로, 신규 발생되는 악성코드에 대한 신속한 대응이 가능하고, 기존에 인지하고 있는 악성코드에 대한 효율적인 예방이 가능하다.
시각화 모듈(250)은 사용자에게 제공되는 정보를 시각화하는 모듈로서, 악성코드 DNA-메타데이터 관리 모듈(220)을 통해 사용자가 검색한 악성코드 DNA 및 악성코드 메타데이터와, 악성코드 통계-리포팅 관리 모듈(230)이 생성한 악성코드 DNA와 악성코드 메타데이터에 대한 통계자료를 연관성과 유사도에 따라 악성코드 그룹별로 시각화하는 모듈일 수 있다. 이 밖에도 사용자에 제공되어야 하는 모든 정보는 이 시각화 모듈(250)을 통해 사용자에게 제공될 수 있다. 이러한 시각화 모듈(250)은 제공되어야 할 정보 별로 별도의 GUI(Graphic User Interface)를 가지고 있을 수 있다.
응용 서버(200)의 DB 접근 모듈(260)은 DB 서버(300)의 DB 관리 모듈(350)과 함께 DB 서버(300)에 포함된 각종 DB들(320~350)에 저장된 정보의 저장 및 검색에 이용된다. 즉, DB 접근 모듈(260)과 DB 관리 모듈(350)은 정보의 저장 및 검색에 관련된 각종 트랜잭션을 생성하고 이를 처리하는 역할을 한다.
이처럼, 본 발명의 일 실시예에 따른 악성코드 DNA 및 메타데이터 자동 관리 시스템(100)은 악성코드로부터 추출한 DNA와 메타데이터를 자동으로 관리하고, 또 필요할 경우, 이를 외부 시스템(예를 들어, AV 업체)과 공유함으로써, 악성코드에 대한 체계적 관리가 가능하도록 도와준다. 즉, 악성코드 DNA 및 메타데이터를 체계적으로 저장 및 관리할 수 있기 때문에, 신규로 발생되는 악성코드에 대해 신속한 식별이 가능하도록 도와주고, 변종 및 유사 악성코드에 관한 정보도 신속히 제공할 수 있으므로, 효율적인 악성코드 대응에 큰 역할을 할 수 있다.
이상 첨부된 도면을 참조하여 본 발명의 실시예들을 설명하였으나, 본 발명은 상기 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 제조될 수 있으며, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 본 발명의 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 실시될 수 있다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해해야만 한다.
10: 수집-분석 시스템 20: 외부 시스템
100: 악성코드 DNA 및 메타데이터 자동 관리 시스템
210: 악성코드 DNA-메타데이터 저장 모듈
220: 악성코드 DNA-메타데이터 관리 모듈
230: 악성코드 통계-리포팅 관리 모듈
240: 악성코드 공유 정보 관리 모듈
250: 시각화 모듈 260: DB 접근 모듈
310: DB 관리 모듈 320: 악성코드 DNA DB
330: 악성코드 메타데이터 DB 340: 악성코드 통계 DB
350: 악성코드 공유 DB

Claims (8)

  1. 악성코드 수집-분석 시스템으로부터 악성코드에 대한 분석결과를 제공받아 이를 바탕으로 상기 악성코드에 대한 DNA와 메타데이터를 추출하는 악성코드 DNA-메타데이터 저장 모듈;
    상기 추출된 상기 악성코드에 대한 DNA와 메타데이터를 각각 저장하는 악성코드 DNA DB 및 악성코드 메타데이터 DB;
    사용자가 상기 악성코드 DNA DB 및 악성코드 메타데이터 DB에 각각 저장된 상기 악성코드에 대한 DNA와 메타데이터를 검색할 수 있도록 인터페이스를 제공하는 악성코드 DNA-메타데이터 관리 모듈;
    상기 악성코드 DNA DB 및 악성코드 메타데이터 DB에 각각 저장된 상기 악성코드에 대한 DNA와 메타데이터의 통계자료를 생성하는 악성코드 통계-리포팅 관리 모듈; 및
    상기 악성코드 DNA-메타데이터 관리 모듈을 통해 상기 사용자가 검색한 상기 악성코드 DNA와 악성코드 메타데이터와, 상기 악성코드 통계-리포팅 관리 모듈이 생성한 상기 악성코드 DNA와 악성코드 메타데이터에 대한 통계자료를 연관성과 유사도에 따라 악성코드 그룹별로 시각화하는 시각화 모듈을 포함하고,
    상기 악성코드에 대한 메타데이터는 상기 악성코드의 그룹 정보, 변종 정보, 특성 정보, 행위 정보, 상기 악성코드와 연관된 비악성코드 정보를 포함하고,
    상기 추출된 악성코드와 상기 추출된 악성코드에 대한 DNA는 서로 1:1의 관계를 가지고, 상기 추출된 악성코드와 상기 비악성코드 정보는 1:N(여기서, N은 자연수)의 관계를 가지며, 상기 추출된 악성코드와 상기 악성코드의 그룹 정보는 N:M(여기서, M은 자연수)의 관계를 갖고,
    상기 악성코드에 대한 DNA는 상기 악성코드 내 프로그램 시작 위치 주소로부터 서로 다른 일정 구간 내의 헥사값에 대한 해쉬값과 상기 악성코드의 텍스트 섹션의 크기 및 해쉬값을 포함하는 악성코드 DNA 및 메타데이터 자동 관리 시스템.
  2. 제 1항에 있어서,
    상기 악성코드에 대한 DNA는 상기 악성코드를 식별할 수 있는 값인 악성코드 DNA 및 메타데이터 자동 관리 시스템.
  3. 제 2항에 있어서,
    상기 악성코드에 대한 DNA는 상기 악성코드의 파일 타입, 악성코드의 파일 크기를 더 포함하는 악성코드 DNA 및 메타데이터 자동 관리 시스템.
  4. 삭제
  5. 제 1항에 있어서,
    상기 통계자료는 기간별 악성코드 현황자료, 종류별 악성코드 현황자료, 빈도수 높은 악성 코드 현황자료 중 적어도 어느 하나의 자료를 포함하는 악성코드 DNA 및 메타데이터 자동 관리 시스템.
  6. 제 1항에 있어서,
    상기 악성코드 수집-분석 시스템으로부터 제공되는 상기 악성코드에 대한 분석결과는 XML 문서 형태로 제공되는 악성코드 DNA 및 메타데이터 자동 관리 시스템.
  7. 제 1항에 있어서,
    외부 시스템으로부터 상기 악성코드에 대한 DNA와 메타데이터의 공유 요청을 제공받고, 이에 응답하여 상기 악성코드 DNA DB 및 악성코드 메터데이터 DB에 각각 저장된 상기 DNA와 메타데이터를 상기 외부 시스템으로 전달하는 악성코드 공유 정보 관리 모듈을 더 포함하는 악성코드 DNA 및 메타데이터 자동 관리 시스템.
  8. 제 7항에 있어서,
    상기 외부 시스템으로 전달되는 상기 악성코드 DNA DB 및 악성코드 메터데이터 DB에 각각 저장된 상기 악성코드 DNA와 악성코드 메타데이터는 XML 문서 형태로 전달되는 악성코드 DNA 및 메타데이터 자동 관리 시스템.
KR1020100133513A 2010-12-23 2010-12-23 악성코드 dna 및 메타데이터 자동 관리 시스템 KR101222178B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020100133513A KR101222178B1 (ko) 2010-12-23 2010-12-23 악성코드 dna 및 메타데이터 자동 관리 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020100133513A KR101222178B1 (ko) 2010-12-23 2010-12-23 악성코드 dna 및 메타데이터 자동 관리 시스템

Publications (2)

Publication Number Publication Date
KR20120071817A KR20120071817A (ko) 2012-07-03
KR101222178B1 true KR101222178B1 (ko) 2013-01-14

Family

ID=46706726

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020100133513A KR101222178B1 (ko) 2010-12-23 2010-12-23 악성코드 dna 및 메타데이터 자동 관리 시스템

Country Status (1)

Country Link
KR (1) KR101222178B1 (ko)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2014098387A1 (ko) * 2012-12-17 2014-06-26 주식회사 안랩 악성 애플리케이션 진단장치 및 방법
KR101620931B1 (ko) 2014-09-04 2016-05-13 한국전자통신연구원 악성코드 특징 정보 기반의 유사 악성코드 검색 장치 및 방법
KR101907037B1 (ko) * 2017-05-18 2018-10-12 주식회사 안랩 악성 코드 진단 서버, 시스템 및 방법
KR20190061231A (ko) * 2017-11-27 2019-06-05 주식회사 엔에스에이치씨 빅데이터를 활용한 악성코드 검출 방법
CN108446135A (zh) * 2018-03-13 2018-08-24 中国银行股份有限公司 一种代码行数统计方法及装置
KR102318991B1 (ko) * 2021-02-05 2021-10-29 (주)에스투더블유 유사도 기반의 악성코드 진단 방법 및 장치

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20100102260A (ko) * 2009-03-11 2010-09-24 (주)이월리서치 악성코드의 차단방법

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20100102260A (ko) * 2009-03-11 2010-09-24 (주)이월리서치 악성코드의 차단방법

Also Published As

Publication number Publication date
KR20120071817A (ko) 2012-07-03

Similar Documents

Publication Publication Date Title
KR101260028B1 (ko) 악성코드 그룹 및 변종 자동 관리 시스템
EP1751649B1 (en) Systems and method for computer security
KR101222178B1 (ko) 악성코드 dna 및 메타데이터 자동 관리 시스템
EP3055808B1 (en) Event model for correlating system component states
US8091127B2 (en) Heuristic malware detection
EP2560120B1 (en) Systems and methods for identifying associations between malware samples
AU2017251867A1 (en) File-modifying malware detections
CN103473501B (zh) 一种基于云安全的恶意软件追踪方法
CN103020524A (zh) 计算机病毒监控系统
KR100968126B1 (ko) 웹쉘 탐지 시스템 및 웹쉘 탐지 방법
US20070203884A1 (en) System and method for obtaining file information and data locations
JP2010146457A (ja) 情報処理システムおよびプログラム
Fu et al. Data correlation‐based analysis methods for automatic memory forensic
US20230229652A1 (en) Merging and unmerging entity representations via resolver trees
US20120167220A1 (en) Seed information collecting device and method for detecting malicious code landing/hopping/distribution sites
KR20130068421A (ko) 악성코드 통합정보 생성 시스템 및 이를 포함하는 악성코드 통합관리 시스템
CN102902925A (zh) 一种染毒文件的处理方法和系统
CN103123675A (zh) 扫描计算机病毒的方法和装置
US9734195B1 (en) Automated data flow tracking
KR100954355B1 (ko) 악성코드 진단 및 치료 장치
US20150007324A1 (en) System and method for antivirus protection
Al Fahdi et al. Towards an automated forensic examiner (AFE) based upon criminal profiling & artificial intelligence
Chawathe Effective whitelisting for filesystem forensics
JP7408530B2 (ja) セキュリティ管理システム、及びセキュリティ管理方法
CN102930208A (zh) 一种染毒文件的处理方法和系统

Legal Events

Date Code Title Description
A201 Request for examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
LAPS Lapse due to unpaid annual fee