KR101754964B1 - 악성 행위 탐지 방법 및 시스템 - Google Patents

악성 행위 탐지 방법 및 시스템 Download PDF

Info

Publication number
KR101754964B1
KR101754964B1 KR1020160005381A KR20160005381A KR101754964B1 KR 101754964 B1 KR101754964 B1 KR 101754964B1 KR 1020160005381 A KR1020160005381 A KR 1020160005381A KR 20160005381 A KR20160005381 A KR 20160005381A KR 101754964 B1 KR101754964 B1 KR 101754964B1
Authority
KR
South Korea
Prior art keywords
malicious
score
list
action
risk
Prior art date
Application number
KR1020160005381A
Other languages
English (en)
Inventor
윤동한
Original Assignee
주식회사 쿼리시스템즈
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 쿼리시스템즈 filed Critical 주식회사 쿼리시스템즈
Priority to KR1020160005381A priority Critical patent/KR101754964B1/ko
Application granted granted Critical
Publication of KR101754964B1 publication Critical patent/KR101754964B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Technology Law (AREA)
  • Computer And Data Communications (AREA)

Abstract

본 실시예는 보안 시스템을 통해 수집된 악성 코드를 악성 위험 정도에 따라 분류된 악성 스코어 정보와 주의 리스트, 경계 리스트 및 주목 리스트에 속한 설정 악성 코드 항목들과 비교하여 경고 레벨을 달리하여 감시자 또는 해당 침해자에게 제공하는 메카니즘을 제공한다.
이에, 본 실시예는 악성 행위 점수와 리스트에 따라 악성 행위 위험 정도를 파악하여 대응함으로써, 보다 정확한 악성 코드 탐지가 가능하다.

Description

악성 행위 탐지 방법 및 시스템{Method and Apparatus for Detecting Malicious Behavior}
본 실시예는 보안 시스템을 이용하여 효율적으로 악성 행위를 탐지하기 위한 방법 및 시스템에 관한 것이다.
인터넷 기술의 급속한 발전과 인터넷 보급의 확대에 따라 사용자 PC의 보안을 위협하는 유해 프로그램이 갈수록 지능화, 다양화되고 있다. 이러한 유해 프로그램은 사용자 PC에 침투하여 사용자의 의도와는 무관한 작업을 처리하거나 비정상적인 기능을 수행하는 프로그램으로서, 바이러스, 웜, 트로이목마, 백도어, 스파이웨어 등의 프로그램을 총칭한다.
유해 프로그램은 그 종류에 따라서 다양한 형태가 존재하지만, 다른 프로그램 또는 운영 체제에 접근하여 코드를 변경시키거나 정보를 추출하는 동작, 비정상적인 네트워크 패킷을 송수신하는 동작 또는 보안 프로그램으로부터 자신의 존재를 숨기기 위한 은닉 행위와 같은 일반적인 프로그램과는 다른 이상 행동을 수행한다는 공통적인 특성을 가지고 있다.
기존의 바이러스 백신이나 안티스파이웨어 등의 보안 프로그램은 이미 알려진 형태의 유해 프로그램에 대한 정보(예를 들면, 이진 코드 중의 특정 부분에 대한 패턴 정보)를 기초로 해당 유해 프로그램을 검출하거나 그 실행을 차단하는 방식으로 작동한다.
그러나 이와 같은 종래의 보안 프로그램은 특정 악성 행위에 대한 이진 코드를 확인하여 패턴 정보를 구성해야만 유해 프로그램의 검출 및 차단이 가능하기 때문에, 그 패턴이 등록되어 있지 않거나 알려지지 않은 유해 프로그램에 대해서는 거의 대응할 수 없다는 문제점이 있다.
이를 해결하고자, 기존의 보안 프로그램의 업데이트 탐지 정책에 의존하지 않고, 보안 시스템 내에서 일어나는 여러가지 상태들을 모니터링하여 악성 행위의 감염 여부 및 차단을 수행하는 악성 행위 탐지 기법들이 개발되고 있다.
예를 들면, 첫 번째 악성 행위 탐지 기법은 실행 파일을 직접 실행한 후, 운영체제 레벨에서 시스템 호출 명령어 및 함수 호출을 모니터링하여 카운트하거나 호출 관계를 추적하는 방법들이 있다.
그러나, 전술한 방법은 운영 체제와 모든 부분에서 밀접한 관련을 가져야 하며, 심지어 운영체제 자체의 변경도 수행되어야 한다. 따라서 그 구현이 용이하지 않으며, 일련의 함수 호출 순서와 실제 악의적인 동작과는 의미론적인 괴리가 있는 경우도 많다는 단점이 있었다.
한국공개특허 : 제2014-0075839호(2014.06.20 : 공개일)
본 실시예는 악성 행위를 위험 정도에 따라 구분하여 탐지하기 위한 방법 및 시스템을 제공하는데 그 목적이 있다.
하나의 실시예에 따르면, 악성 행위의 위험 정도에 따라 분류된 적어도 하나의 위험 스코어 정보-상기 위험 스코어 정보는 단순 위험에 상응하는 제1 점수, 상기 제1 점수보다 높은 지속적 공격에 상응하는 제2 점수 및 상기 제2 점수보다 높은 확실한 위험에 상응하는 제3 점수를 포함함-를 생성하는 단계; 보안 시스템으로부터 수집된 제1 악성 행위가 악성 행위 수준이 낮은 주의 리스트에 기록된 제2 악성 행위에 속할 경우, 상기 제2 악성 행위에 속한 제3 악성 행위를 상기 제1 악성 행위로부터 추출하여 상기 제1 점수에 매칭시키는 단계; 상기 제1 악성 행위가 상기 주의 리스트보다 악성 행위 수준이 높은 경계 리스트에 기록된 제4 악성 행위에 속할 경우, 상기 제4 악성 행위에 속한 제5 악성 행위를 상기 제1 악성 행위로부터 추출하여 상기 제2 점수에 매칭시키는 단계; 상기 제1 악성 행위가 상기 경계 리스트보다 악성 행위 수준이 높은 주목 리스트에 기록된 제6 악성 행위에 속할 경우, 상기 제6 악성 행위에 속한 제7 악성 행위를 상기 제1 악성 행위로부터 추출하여 상기 제3 점수에 매칭시키는 단계; 및 상기 제1 점수, 제3 점수 및 제3 점수에 매칭된 제3 악성 행위, 제5 악성 행위 및 제7 악성 행위에 따라 해당하는 경고 레벨을 달리하여 발령하는 단계를 포함하는 악성 행위 탐지 방법을 제공한다.
상기 주의 리스트는 상기 보안 시스템에 속한 방화벽 장치로부터 추출되는 로그 분석과 관련한 정보를 나타낼 수 있다.
상기 주의 리스트는 상기 로그 분석을 통해 획득할 수 있는 IP 명, 탐지 규칙명, 기정의된 탐지 건수와 관련한 악성 행위를 기록한 정보를 나타낼 수 있다.
상기 경계 리스트는 보안 기관에서 받은 보안 리스트 항목과 관련한 정보를 나타낼 수 있다.
상기 경계 리스트는 상기 보안 리스트 항목의 분석을 통해 획득할 수 있는 악성 행위명, 악성 코드명과 관련한 악성 행위를 기록한 정보를 나타낼 수 있다.
상기 주목 리스트는 상기 보안 시스템에 속한 방화벽 장치 및 보안 장비로부터 추출되는 로그 분석과 관련한 정보를 나타낼 수 있다.
상기 주목 리스트는 상기 방화벽 장치의 로그 분석을 통해 획득할 수 있는 RDP, SQL, SSH SCAN과 관련한 악성 행위를 기록한 정보를 나타낼 수 있다.
상기 주목 리스트는 상기 보안 장비의 로그 분석을 통해 획득할 수 있는 drop 현상을 포함한 SQL 침투, XSS와 업로드 공격, 기정의된 탐지 시간 및 기정의된 유포량과 관련한 공개 악성 행위를 기록한 정보를 나타낼 수 있다.
하나의 일 실시예에 따르면, 악성 행위를 위험 정도에 따라 분류된 적어도 하나의 위험 스코어 정보-상기 위험 스코어 정보는 단순 위험에 상응하는 제1 점수, 상기 제1 점수보다 높은 지속적 공격에 상응하는 제2 점수 및 상기 제2 점수보다 높은 확실한 위험에 상응하는 제3 점수를 포함함-를 생성하는 스코어 생성부; 보안 시스템으로부터 수집된 제1 악성 행위가 악성 행위 수준이 낮은 주의 리스트에 기록된 제2 악성 행위에 속할 경우, 상기 제2 악성 행위에 속한 제3 악성 행위를 상기 제1 악성 행위로부터 추출하여 상기 제1 점수에 매칭시키는 주의 리스트 매칭부; 상기 제1 악성 행위가 상기 주의 리스트보다 악성 행위 수준이 높은 경계 리스트에 기록된 제4 악성 행위에 속할 경우, 상기 제4 악성 행위에 속한 제5 악성 행위를 상기 제1 악성 행위로부터 추출하여 상기 제2 점수에 매칭시키는 경계 리스트 매칭부; 상기 제1 악성 행위가 상기 경계 리스트보다 악성 행위 수준이 높은 주목 리스트에 기록된 제6 악성 행위에 속할 경우, 상기 제6 악성 행위에 속한 제7 악성 행위를 상기 제1 악성 행위로부터 추출하여 상기 제3 점수에 매칭시키는 주목 리스트 매칭부; 및 상기 제1 점수, 제3 점수 및 제3 점수에 매칭된 제3 악성 행위, 제5 악성 행위 및 제7 악성 행위에 따라 해당하는 경고 레벨을 달리하여 발령하는 경고 발령부를 포함하는 악성 행위 탐지 시스템을 제공한다.
이상과 같이, 본 실시예는 악성 행위 점수와 리스트에 따라 악성 행위 위험 정도를 파악하여 대응함으로써, 보다 정확한 악성 코드 탐지가 가능한 효과가 있다.
이하에 첨부되는 도면들은 본 실시예에 관한 이해를 돕기 위한 것으로, 상세한 설명과 함께 실시예들을 제공한다. 다만, 본 실시예의 기술적 특징이 특정 도면에 한정되는 것은 아니며, 각 도면에서 개시하는 특징들은 서로 조합되어 새로운 실시예로 구성될 수 있다.
도 1은 일 실시예에 따른 악성 행위 탐지 방법의 일례를 예시적으로 나타낸 순서도이다.
도 2는 도 1의 악성 행위 탐지 방법을 수행하는 악성 행위 탐지 시스템의 구성을 개략적으로 나타낸 블럭 구성도이다.
도 3은 도1의 악성 행위 탐지 방법에 의해 구현되는 각종 리스트와 위험 스코어 정보간의 관계를 나타낸 도면이다.
도 4는 일 실시예에 따른 악성 행위 탐지 시스템의 일례를 예시적으로 나타낸 블럭 구성도이다.
도 5는 도 4의 악성 행위 탐지 시스템의 리스트 매칭부의 구성을 보다 구체적으로 나타낸 블럭 구성도이다.
이하, 첨부된 도면을 참조하여 본 명세서에 개시된 실시 예를 상세히 설명하되, 도면 부호에 관계없이 동일하거나 유사한 구성요소는 동일한 참조 번호를 부여하고 이에 대한 중복되는 설명은 생략하기로 한다.
본 명세서에 개시된 실시 예를 설명함에 있어서 관련된 공지 기술에 대한 구체적인 설명이 본 명세서에 개시된 실시 예의 요지를 흐릴 수 있다고 판단되는 경우 그 상세한 설명을 생략한다.
또한, 첨부된 도면은 본 명세서에 개시된 실시 예를 쉽게 이해할 수 있도록 하기 위한 것일 뿐, 첨부된 도면에 의해 본 명세서에 개시된 기술적 사상이 제한되지 않으며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.
또한, 이하의 실시예에서 개시되는 "포함하다", 또는 '이루어지다" 등의 용어들은, 특별히 반대되는 기재가 없는 한, 해당 구성 요소가 내재될 수 있음을 의미하는 것으로, 다른 구성 요소를 제외하는 것이 아니라 다른 구성 요소를 더 구비하는 것으로 이해되어야 한다.
<악성 행위 탐지 방법의 일례>
도 1은 일 실시예에 따른 악성 행위 탐지 방법의 일례를 예시적으로 나타낸 순서도이고, 도 2는 도 1의 악성 행위 탐지 방법을 수행하는 악성 행위 탐지 시스템의 구성을 개략적으로 나타낸 블럭 구성도이며, 도 3은 도1의 악성 행위 탐지 방법에 의해 구현되는 각종 리스트와 위험 스코어 정보간의 관계를 나타낸 도면이다.
도 3은 도 1을 설명할 때 보조적으로 인용하기로 한다.
도 2에 도시된 악성 행위 탐지 시스템(100)은 내부 통신망 또는 외부 통신망을 통해 보안 시스템(110)에 연결될 수 있다. 상기 보안 시스템(110)은 방화벽(111)과 보안 장비(112) 및 보안 기관 서버(113)를 포함할 수 있다.
이러한 악성 행위 탐지 시스템(100)은 방화벽(111)과 보안 장비(122)를 지나는 외부에서 침투하거나 내부에서 발생하는 악성 행위를 탐지 하는데 그 목적이 있다.
이하에서는, 악성 행위 탐지 시스템(100)을 통해 악성 행위를 탐지하기 위한 방법에 대하여 보다 구체적으로 설명하고자 한다.
도 1를 참조하면, 일 실시예에 따른 악성 행위 탐지 방법(200)은 악성 행위 탐지 시스템(100)을 통해 악성 행위를 탐지하기 위하여 210 단계 내지 250 단계를 포함할 수 있다.
먼저, 예시적인 210 단계에서, 악성 행위 탐지 시스템(100)은 악성 행위의 위험 정도에 분류된 적어도 하나의 위험 스코어 정보를 생성할 수 있다.
상기 적어도 하나의 위험 스코어 정보는 보안 수준이 가장 낮은 위험, 예컨대 단순 위험에 상응하는 제1 점수와 상기 제1 점수보다 보안 수준이 높은, 예컨대 지속적 공격에 상응하는 제2 점수 및 상기 제2 점수보다 높은 보안 수준이 높은 예컨대 확실한 위험에 상응하는 제3 점수를 포함한 보안 점수를 포함할 수 있다.
생성된 적어도 하나의 위험 스코어 정보는 보안 시스템(110)으로부터 수집되는 악성 행위의 위험 정도를 구분하는 용도로 사용될 수 있다.
아울러, 악성 행위 탐지 시스템(100)은 보안 시스템(110)으로부터 수집된 제1 악성 행위의 위험 정도를 구분하기 위하여 주의 리스트, 경계 리스트 및 주목 리스트를 설정할 수 있다. 주의 리스트, 경계 리스트 및 주목 리스트는 각각 해당하는 악성 코드 또는 악성 행위 정보를 포함할 수 있다.
상기 주의 리스트는 보안 시스템(110)에 속한 방화벽(111)으로부터 추출되는 로그 분석과 관련한 정보일 수 있다. 따라서, 악성 행위 탐지 시스템(100)은 방화벽(111)으로부터 추출되는 로그 분석을 통해 주의 리스트를 설정할 수 있다.
더욱이, 설정된 주의 리스트는 로그 분석을 통해 획득할 수 있는 IP 명, 탐지 규칙명, 기정의된 탐지 건수와 관련한 악성 행위를 기록한 정보일 수 있다. 이 처럼 주의 리스트에 기록되는 악성 행위들은 악성 행위 수준이 가장 낮은 레벨을 가질 수 있다.
반면, 경계 리스트는 보안 기관에서 받은 보안 리스트 항목과 관련한 정보일 수 있다. 따라서, 악성 행위 탐지 시스템(100)은 보안 기관의 서버(113)로부터 업데트되는 보안 리스트 항목을 수집하여 경계 리스트로 설정할 수 있다.
설정된 경계 리스트는 보안 리스트 항목의 분석을 통해 획득할 수 있는 악성 행위명, 악성 코드명과 관련한 악성 행위를 기록한 정보를 포함할 수 있다. 이러한 경계 리스트는 주의 리스트에 비해 악성 위험성이 높다.
반면, 상기 주목 리스트는 보안 시스템(110)에 속한 방화벽(111) 및 보안 장비(112)로부터 추출되는 로그 분석과 관련한 정보일 수 있다. 따라서, 악성 행위 탐지 시스템(100)은 방화벽(111) 및 보안 장비(112)로부터 추출되는 로그 분석을 통해 미리 주목 리스트를 설정할 수 있다.
설정된 주목 리스트는 방화벽(111)의 로그 분석을 통해 획득할 수 있는 RDP, SQL, SSH SCAN과 관련한 악성 행위를 기록한 정보를 포함할 수 있다. 이러한 주목 리스트는 경계 리스트에 비해 악성 위험성이 높다.
더 나아가, 설정된 주목 리스트는 보안 장비(112)의 로그 분석을 통해 획득할 수 있는 drop 현상을 포함한 SQL 침투, XSS와 업로드 공격, 기정의된 탐지 시간 및 기정의된 유포량과 관련한 공개 악성 행위를 기록한 정보를 포함할 수 있다.
예를 들면, 유포량이 1만건 이상이면 주목 리스트의 악성 행위로 간주하거나, 탐지 시간이 2시간 이상이면 주목 리스트의 악성 행위로 간주할 수 있다. 이를 통해 알 수 있듯이, 주목 리스트는 경계 리스트에 비해 악성 위험성이 높을 수 있다.
예시적인 220 단계 내지 240 단계에서, 악성 행위 탐지 시스템(100)은 도 3에서와 같이 전술한 적어도 하나의 위험 스코어 정보를 각 리스트에 매칭시킬 수 있다. 예를 들면, 제1 점수의 위험 스코어 정보는 주의 리스트에 매칭되고, 제2 점수의 위험 스코어 정보는 경계 리스트에 매칭되며, 제3 점수의 위험 스코어 정보는 주목 리스트에 매칭시킬 수 있다.
예를 들면, 예시적인 220 단계에서, 악성 행위 탐지 시스템(100)은 도 3에서와 같이 보안 시스템(110)으로부터 수집된 제1 악성 행위가 악성 행위 수준이 가장 낮은 기설정된 주의 리스트에 기록된 제2 악성 행위에 속할 경우, 상기 제2 악성 행위에 속한 제3 악성 행위를 제1 악성 행위로부터 추출하고, 이를 제1 점수에 매칭시킬 수 있다.
더 나아가, 예시적인 230 단계에서, 악성 행위 탐지 시스템(100)은 도 3에서와 같이 보안 시스템(110)으로부터 수집된 제1 악성 행위가 기설정된 주의 리스트보다 악성 행위 수준이 높은 경계 리스트에 기록된 제4 악성 행위에 속할 경우, 제4 악성 행위에 속한 제5 악성 행위를 제1 악성 행위로부터 추출하고, 추출된 제5 악성 행위를 제2 점수에 매칭시킬 수 있다.
예시적인 240 단계에서, 악성 행위 탐지 시스템(100)은 보안
시스템(110)으로부터 수집된 제1 악성 행위가 기설정된 경계 리스트보다 악성 행위 수준이 높은 주목 리스트에 기록된 제6 악성 행위에 속할 경우, 제6 악성 행위에 속한 제7 악성 행위를 제1 악성 행위로부터 추출하고, 추출된 제7 악성 행위를 제3 점수에 매칭시킬 수 있다.
마지막으로, 250 단계에서, 악성 행위 탐지 시스템(100)은 전술한 220 내지 240 단계의 제1 점수, 제3 점수 및 제3 점수에 매칭된 제3 악성 행위, 제5 악성 행위 및 제7 악성 행위에 따라 해당하는 경고 레벨을 달리하여 발령시킬 수 있다.
상기 경고 레벨은 제3 악성 행위, 제5 악성 행위 및 제7 악성 행위를 발생시킨 IP를 찾아내 그 사용자에게 경고를 보내는 용도로 사용하거나 자료 보안을 위한 감시자에게 보고되는 정보로 사용될 수 있다.
이와 같이, 본 실시예는 악성 행위 점수와 리스트에 따라 악성 행위 위험 정도를 파악하여 대응함으로써, 보다 정확한 악성 코드 탐지가 가능한 효과를 달성할 수 있다.
이상에서 설명된 악성 행위 탐지 방법은 다양한 컴퓨터 구성요소를 통하여 수행될 수 있는 프로그램 명령어의 형태로 구현되어 컴퓨터 판독 가능한 매체에 기록될 수 있다.
컴퓨터 판독 가능한 매체는 프로세서에 의해 액세스 가능한 임의의 매체일 수 있다. 이러한 매체는 휘발성 및 비휘발성 매체 둘 다, 착탈식과 비착탈식 매체, 통신 매체, 저장 매체 및 컴퓨터 저장 매체를 포함할 수 있다.
통신 매체는 컴퓨터 판독 가능한 명령어, 데이터 구조, 프로그램 모듈, 반송파 또는 기타 전송 메커니즘 등의 변조된 데이터 신호의 기타 데이터를 포함할 수 있고, 공지된 임의의 기타 형태의 정보 전달 매체를 포함할 수 있다.
저장 매체는 RAM, 플래시 메모리, ROM, EPROM, 전기적으로 소거 가능한 판독 전용 메모리("EEPROM"), 레지스터, 하드 디스크, 착탈식 디스크, 콤팩트 디스크 판독 전용 메모리("CD-ROM"), 또는 공지된 임의의 기타 형태의 저장 매체를 포함할 수 있다.
컴퓨터 저장 매체는, 컴퓨터 판독 가능 명령어, 데이터 구조, 프로그램 모듈 또는 그 밖의 데이터와 같은 정보를 저장하기 위한 임의의 방법이나 기술로 구현되는 착탈형(removable)과 고정형(non-removable), 및 휘발성과 비휘발성 매체를 포함한다.
이러한 컴퓨터 저장 매체는 RAM, ROM, EPROM, EEPROM, 플래시 메모리, 다른 고체 메모리 기술, CDROM, 디지털 다용도 디스크(DVD), 또는 다른 광 저장 장치, 자기 카세트, 자기 테이프, 자기 디스크 저장 장치 등과 같은 프로그램 명령어를 저장하고 수행하도록 특별히 구성된 하드웨어 장치를 포함할 수 있다.
프로그램 명령어의 예에는, 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드도 포함될 수 있다.
<악성 행위 탐지 시스템의 예>
도 4는 일 실시예에 따른 악성 행위 탐지 시스템의 일례를 예시적으로 나타낸 블럭 구성도이고, 도 5는 도 4의 악성 행위 탐지 시스템의 리스트
매칭부의 구성을 보다 구체적으로 나타낸 블럭 구성도이다.
전술한 도 3은 도 4 및 도 5를 설명할 때 보조적으로 인용하기로 한다.
도 4를 참조하면, 일 실시예에 따른 악성 행위 탐지 시스템(300)은 스코어 생성부(310), 악성 리스트 생성부(320), 리스트 매칭부(330) 및 경고 발령부(340)를 포함할 수 있다.
먼저, 예시적인 스코어 생성부(310)는 악성 행위의 위험 정도에 분류된 적어도 하나의 위험 스코어 정보를 생성할 수 있다.
상기 적어도 하나의 위험 스코어 정보는 보안 수준이 가장 낮은 위험, 예컨대 단순 위험에 상응하는 제1 점수와 상기 제1 점수보다 보안 수준이 높은, 예컨대 지속적 공격에 상응하는 제2 점수 및 상기 제2 점수보다 높은 보안 수준이 높은 예컨대 확실한 위험에 상응하는 제3 점수를 포함한 보안 점수를 포함할 수 있다.
생성된 적어도 하나의 위험 스코어 정보는 보안 시스템(301)으로부터 수집되는 악성 행위의 위험 정도를 구분하는 용도로 사용될 수 있다.
아울러, 악성 리스트 생성부(320)는 보안 시스템(301)으로부터 수집된 제1 악성 행위의 위험 정도를 구분하기 위하여 주의 리스트, 경계 리스트 및 주목 리스트를 설정할 수 있다. 주의 리스트, 경계 리스트 및 주목 리스트는 각각 해당하는 악성 코드 또는 악성 행위 정보를 포함할 수 있다.
상기 주의 리스트는 보안 시스템(301)에 속한 방화벽(302)으로부터 추출되는 로그 분석과 관련한 정보일 수 있다. 따라서, 악성 리스트 생성부(320)는 방화벽(302)으로부터 추출되는 로그 분석을 통해 주의 리스트를 설정할 수 있다.
더욱이, 설정된 주의 리스트는 로그 분석을 통해 획득할 수 있는 IP 명, 탐지 규칙명, 기정의된 탐지 건수와 관련한 악성 행위를 기록한 정보일 수 있다. 이 처럼 주의 리스트에 기록되는 악성 행위들은 악성 행위 수준이 가장 낮은 레벨을 가질 수 있다.
반면, 경계 리스트는 보안 기관에서 받은 보안 리스트 항목과 관련한 정보일 수 있다. 따라서, 악성 리스트 생성부(320)는 보안 기관 서버(304)로부터 업데트되는 보안 리스트 항목을 수집하여 경계 리스트로 설정할 수 있다.
설정된 경계 리스트는 보안 리스트 항목의 분석을 통해 획득할 수 있는 악성 행위명, 악성 코드명과 관련한 악성 행위를 기록한 정보를 포함할 수 있다. 이러한 경계 리스트는 주의 리스트에 비해 악성 위험성이 높다.
반면, 상기 주목 리스트는 보안 시스템(301)에 속한 방화벽(302) 및 보안 장비(303)로부터 추출되는 로그 분석과 관련한 정보일 수 있다. 따라서, 악성 리스트 생성부(320)는 방화벽(302) 및 보안 장비(303)로부터 추출되는 로그 분석을 통해 미리 주목 리스트를 설정할 수 있다.
설정된 주목 리스트는 방화벽(302)의 로그 분석을 통해 획득할 수 있는 RDP, SQL, SSH SCAN과 관련한 악성 행위를 기록한 정보를 포함할 수 있다. 이러한 주목 리스트는 경계 리스트에 비해 악성 위험성이 높다.
더 나아가, 설정된 주목 리스트는 보안 장비(303)의 로그 분석을 통해 획득할 수 있는 drop 현상을 포함한 SQL 침투, XSS와 업로드 공격, 기정의된 탐지 시간 및 기정의된 유포량과 관련한 공개 악성 행위를 기록한 정보를 포함할 수 있다.
예를 들면, 유포량이 1만건 이상이면 주목 리스트의 악성 행위로 간주하거나, 탐지 시간이 2시간 이상이면 주목 리스트의 악성 행위로 간주할 수 있다. 이를 통해 알 수 있듯이, 주목 리스트는 경계 리스트에 비해 악성 위험성이 높을 수 있다.
예시적인 리스트 매칭부(330)는 도 3에서와 같이 전술한 적어도 하나의 위험 스코어 정보를 각 리스트에 매칭시킬 수 있다. 예를 들면, 제1 점수의 위험 스코어 정보는 주의 리스트에 매칭되고, 제2 점수의 위험 스코어 정보는 경계 리스트에 매칭되며, 제3 점수의 위험 스코어 정보는 주목 리스트에 매칭시킬 수 있다.
이를 위해, 리스트 매칭부(330)는 도 5에서와 같이, 주의 리스트 매칭부(331), 경계 리스트 매칭부(332), 주목 리스트 매칭부(333)를 포함할 수 있다.
도 5를 참조하면, 예시적인 주의 리스트 매칭부(331)는 도 3에서와 같이 보안 시스템(301)으로부터 수집된 제1 악성 행위가 악성 행위 수준이 가장 낮은 기설정된 주의 리스트에 기록된 제2 악성 행위에 속할 경우, 상기 제2 악성 행위에 속한 제3 악성 행위를 제1 악성 행위로부터 추출하고, 추출된 제3 악성 행위를 제1 점수에 매칭시킬 수 있다.
예시적인 경계 리스트 매칭부(332)는 도 3에서와 같이 보안 시스템(301)으로부터 수집된 제1 악성 행위가 기설정된 주의 리스트보다 악성 행위 수준이 높은 경계 리스트에 기록된 제4 악성 행위에 속할 경우, 제4 악성 행위에 속한 제5 악성 행위를 제1 악성 행위로부터 추출하고, 추출된 제5 악성 행위를 제2 점수에 매칭시킬 수 있다.
예시적인 주목 리스트 매칭부(333)는 도 3에서와 같이 보안 시스템(301)으로부터 수집된 제1 악성 행위가 기설정된 경계 리스트보다 악성 행위 수준이 높은 주목 리스트에 기록된 제6 악성 행위에 속할 경우, 제6 악성 행위에 속한 제7 악성 행위를 제1 악성 행위로부터 추출하고, 추출된 제7 악성 행위를 제3 점수에 매칭시킬 수 있다.
마지막으로, 경고 발령부(340)는 전술한 주의 리스트 매칭부(331), 경계 리스트 매칭부(332)와 주목 리스트 매칭부(333)의 제1 점수, 제3 점수 및 제3 점수에 매칭된 제3 악성 행위, 제5 악성 행위 및 제7 악성 행위에 따라 해당하는 경고 레벨을 달리하여 발령시킬 수 있다.
상기 경고 레벨은 제3 악성 행위, 제5 악성 행위 및 제7 악성 행위를 발생시킨 IP를 찾아내 그 사용자에게 경고를 보내는 용도로 사용하거나 자료 보안을 위한 감시자에게 보고되는 정보로 사용될 수 있다.
이와 같이, 본 실시예는 악성 행위 점수와 리스트에 따라 악성 행위 위험 정도를 파악하여 대응함으로써, 보다 정확한 악성 코드 탐지가 가능한 효과를 달성할 수 있다.
이상에서와 같이, 첨부된 도면을 참조하여 본 발명의 실시예를 설명하였으나, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 본 발명의 기술적 사상이나 필수적인 특징을 변경하지 않고 다른 구체적인 형태로 실시할 수 있다는 것을 이해할 수 있을 것이다. 따라서 이상에서 기술한 실시예는 모든 면에서 예시적인 것이며 한정적이 아닌 것이다.
100,300 : 악성 행위 탐지 시스템 110,301 : 보안 시스템
111,302 : 방화벽 112,303 : 보안 장비
113,304 : 보안 기관 서버 310 : 스코어 생성부
320 : 악성 리스트 생성부 330 : 리스트 매칭부
340 : 경고 발령부 331 : 주의 리스트 매칭부
332 : 경계 리스트 매칭부 333 : 주목 리스트 매칭부

Claims (13)

  1. 악성 행위의 위험 정도에 따라 분류된 적어도 하나의 위험 스코어 정보-상기 위험 스코어 정보는 단순 위험에 상응하는 제1 점수, 상기 제1 점수보다 높은 지속적 공격에 상응하는 제2 점수 및 상기 제2 점수보다 높은 확실한 위험에 상응하는 제3 점수를 포함함-를 생성하는 단계;
    보안 시스템으로부터 수집된 제1 악성 행위가 악성 행위 수준이 낮은 주의 리스트에 기록된 제2 악성 행위에 속할 경우, 상기 제2 악성 행위에 속한 제3 악성 행위를 상기 제1 악성 행위로부터 추출하여 상기 제1 점수에 매칭시키는 단계;
    상기 제1 악성 행위가 상기 주의 리스트보다 악성 행위 수준이 높은 경계 리스트에 기록된 제4 악성 행위에 속할 경우, 상기 제4 악성 행위에 속한 제5 악성 행위를 상기 제1 악성 행위로부터 추출하여 상기 제2 점수에 매칭시키는 단계;
    상기 제1 악성 행위가 상기 경계 리스트보다 악성 행위 수준이 높은 주목 리스트에 기록된 제6 악성 행위에 속할 경우, 상기 제6 악성 행위에 속한 제7 악성 행위를 상기 제1 악성 행위로부터 추출하여 상기 제3 점수에 매칭시키는 단계; 및
    상기 제1 점수에 매칭된 제3 악성 행위, 상기 제2 점수에 매칭된 제5 악성 행위 및 상기 제3 점수에 매칭된 제7 악성 행위에 따라 해당하는 경고 레벨을 달리하여 발령하는 단계를 포함하고,
    상기 위험 스코어 정보는 단순 위험에 상응하는 제1 점수, 상기 제1 점수보다 높은 지속적 공격에 상응하는 제2 점수 및 상기 제2 점수보다 높은 확실한 위험에 상응하는 제3 점수를 포함하고,
    상기 주의 리스트는,
    상기 보안 시스템에 속한 방화벽 장치로부터 추출되는 로그 분석을 통해 획득할 수 있는 탐지 규칙명과 관련한 악성 행위를 기록한 정보를 나타내고,
    상기 주목 리스트는,
    상기 보안 시스템에 속한 방화벽 장치의 로그 분석을 통해 획득할 수 있는 RDP, SQL, SSH SCAN과 관련한 악성 행위를 기록한 정보와, 상기 보안 시스템에 속한 보안 장비의 로그 분석을 통해 획득할 수 있는 drop 현상을 포함한 SQL 침투, XSS와 업로드 공격, 기정의된 탐지 시간 및 기정의된 유포량과 관련한 공개 악성 행위를 기록한 정보를 나타내는, 악성 행위 탐지 방법.
  2. 삭제
  3. 제1항에 있어서,
    상기 주의 리스트는,
    상기 로그 분석을 통해 획득할 수 있는 IP 명과 기정의된 탐지 건수와 관련한 악성 행위를 기록한 정보를 더 나타내는, 악성 행위 탐지 방법.
  4. 제1항에 있어서,
    상기 경계 리스트는,
    보안 기관에서 받은 보안 리스트 항목과 관련한 정보를 나타내는, 악성 행위 탐지 방법.
  5. 제4항에 있어서,
    상기 경계 리스트는,
    상기 보안 리스트 항목의 분석을 통해 획득할 수 있는 악성 행위명, 악성 코드명과 관련한 악성 행위를 기록한 정보를 나타내는, 악성 행위 탐지 방법.
  6. 삭제
  7. 삭제
  8. 삭제
  9. 악성 행위를 위험 정도에 따라 분류된 적어도 하나의 위험 스코어 정보-상기 위험 스코어 정보는 단순 위험에 상응하는 제1 점수, 상기 제1 점수보다 높은 지속적 공격에 상응하는 제2 점수 및 상기 제2 점수보다 높은 확실한 위험에 상응하는 제3 점수를 포함함-를 생성하는 스코어 생성부;
    보안 시스템으로부터 수집된 제1 악성 행위가 악성 행위 수준이 낮은 주의 리스트에 기록된 제2 악성 행위에 속할 경우, 상기 제2 악성 행위에 속한 제3 악성 행위를 상기 제1 악성 행위로부터 추출하여 상기 제1 점수에 매칭시키는 주의 리스트 매칭부;
    상기 제1 악성 행위가 상기 주의 리스트보다 악성 행위 수준이 높은 경계 리스트에 기록된 제4 악성 행위에 속할 경우, 상기 제4 악성 행위에 속한 제5 악성 행위를 상기 제1 악성 행위로부터 추출하여 상기 제2 점수에 매칭시키는 경계 리스트 매칭부;
    상기 제1 악성 행위가 상기 경계 리스트보다 악성 행위 수준이 높은 주목 리스트에 기록된 제6 악성 행위에 속할 경우, 상기 제6 악성 행위에 속한 제7 악성 행위를 상기 제1 악성 행위로부터 추출하여 상기 제3 점수에 매칭시키는 주목 리스트 매칭부; 및
    상기 제1 점수에 매칭된 제3 악성 행위, 상기 제2 점수에 매칭된 제5 악성 행위 및 상기 제3 점수에 매칭된 제7 악성 행위에 따라 해당하는 경고 레벨을 달리하여 발령하는 경고 발령부를 포함하고,
    상기 주의 리스트는,
    상기 보안 시스템에 속한 방화벽 장치로부터 추출되는 로그 분석을 통해 획득할 수 있는 탐지 규칙명과 관련한 악성 행위를 기록한 정보를 나타내고,
    상기 주목 리스트는,
    상기 보안 시스템에 속한 방화벽 장치의 로그 분석을 통해 획득할 수 있는 RDP, SQL, SSH SCAN과 관련한 악성 행위를 기록한 정보와, 상기 보안 시스템에 속한 보안 장비의 로그 분석을 통해 획득할 수 있는 drop 현상을 포함한 SQL 침투, XSS와 업로드 공격, 기정의된 탐지 시간 및 기정의된 유포량과 관련한 공개 악성 행위를 기록한 정보를 나타내는, 악성 행위 탐지 시스템.
  10. 제9항에 있어서,
    상기 주의 리스트는,
    상기 보안 시스템에 속한 방화벽 장치로부터 추출되는 로그 분석을 통해 획득할 수 있는 IP 명과 기정의된 탐지 건수와 관련한 악성 행위를 기록한 정보를 더 나타내는, 악성 행위 탐지 시스템.
  11. 제9항에 있어서,
    상기 경계 리스트는,
    보안 기관에서 받은 보안 리스트 항목의 분석을 통해 획득할 수 있는 악성 행위명, 악성 코드명과 관련한 악성 행위를 기록한 정보를 나타내는, 악성 행위 탐지 시스템.
  12. 삭제
  13. 삭제
KR1020160005381A 2016-01-15 2016-01-15 악성 행위 탐지 방법 및 시스템 KR101754964B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020160005381A KR101754964B1 (ko) 2016-01-15 2016-01-15 악성 행위 탐지 방법 및 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020160005381A KR101754964B1 (ko) 2016-01-15 2016-01-15 악성 행위 탐지 방법 및 시스템

Publications (1)

Publication Number Publication Date
KR101754964B1 true KR101754964B1 (ko) 2017-07-06

Family

ID=59353993

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020160005381A KR101754964B1 (ko) 2016-01-15 2016-01-15 악성 행위 탐지 방법 및 시스템

Country Status (1)

Country Link
KR (1) KR101754964B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20230154339A (ko) * 2022-04-29 2023-11-08 주식회사 이글루코퍼레이션 룰 필터링을 이용한 인공지능 기반의 오탐 방지 장치, 방법 및 프로그램

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101271449B1 (ko) * 2011-12-08 2013-06-05 (주)나루씨큐리티 Dns 강제우회 기반 악성트래픽 통제 및 정보유출탐지 서비스를 제공하는 방법, 서버 및 기록매체

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101271449B1 (ko) * 2011-12-08 2013-06-05 (주)나루씨큐리티 Dns 강제우회 기반 악성트래픽 통제 및 정보유출탐지 서비스를 제공하는 방법, 서버 및 기록매체

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20230154339A (ko) * 2022-04-29 2023-11-08 주식회사 이글루코퍼레이션 룰 필터링을 이용한 인공지능 기반의 오탐 방지 장치, 방법 및 프로그램
KR102617150B1 (ko) * 2022-04-29 2023-12-28 주식회사 이글루코퍼레이션 룰 필터링을 이용한 인공지능 기반의 오탐 방지 장치, 방법 및 프로그램

Similar Documents

Publication Publication Date Title
JP6334069B2 (ja) 悪意のあるコードの検出の精度保証のためのシステムおよび方法
Xiong et al. CONAN: A practical real-time APT detection system with high accuracy and efficiency
US10601848B1 (en) Cyber-security system and method for weak indicator detection and correlation to generate strong indicators
US9300682B2 (en) Composite analysis of executable content across enterprise network
US10417420B2 (en) Malware detection and classification based on memory semantic analysis
CN111931166B (zh) 基于代码注入和行为分析的应用程序防攻击方法和系统
US10142343B2 (en) Unauthorized access detecting system and unauthorized access detecting method
CN113660224B (zh) 基于网络漏洞扫描的态势感知防御方法、装置及系统
WO2015184752A1 (zh) 一种异常进程检测方法及装置
US10033761B2 (en) System and method for monitoring falsification of content after detection of unauthorized access
CN107465702B (zh) 基于无线网络入侵的预警方法及装置
CN110677381A (zh) 渗透测试的方法及装置、存储介质、电子装置
CN110868403B (zh) 一种识别高级持续性攻击apt的方法及设备
Luoshi et al. A3: automatic analysis of android malware
CN113872965B (zh) 一种基于Snort引擎的SQL注入检测方法
KR101768079B1 (ko) 침입탐지 오탐 개선을 위한 시스템 및 방법
CN111800405A (zh) 检测方法及检测设备、存储介质
US9954874B2 (en) Detection of mutated apps and usage thereof
CN116708033B (zh) 终端安全检测方法、装置、电子设备及存储介质
KR102048141B1 (ko) 신규 정보보안 취약점 선제 대응 시스템 및 방법
CN110768950A (zh) 渗透指令的发送方法及装置、存储介质、电子装置
KR101767591B1 (ko) 침입탐지 오탐 개선을 위한 시스템 및 방법
Mohammadmoradi et al. Making whitelisting-based defense work against badusb
KR20150133370A (ko) 웹서비스 접속제어 시스템 및 방법
KR101754964B1 (ko) 악성 행위 탐지 방법 및 시스템

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant