KR101818006B1 - 행위 정규화를 통한 악성코드 고속탐지 및 시각화 방법 및 이를 이용한 장치 - Google Patents

행위 정규화를 통한 악성코드 고속탐지 및 시각화 방법 및 이를 이용한 장치 Download PDF

Info

Publication number
KR101818006B1
KR101818006B1 KR1020160080973A KR20160080973A KR101818006B1 KR 101818006 B1 KR101818006 B1 KR 101818006B1 KR 1020160080973 A KR1020160080973 A KR 1020160080973A KR 20160080973 A KR20160080973 A KR 20160080973A KR 101818006 B1 KR101818006 B1 KR 101818006B1
Authority
KR
South Korea
Prior art keywords
action
index
association
object type
malicious code
Prior art date
Application number
KR1020160080973A
Other languages
English (en)
Other versions
KR20180001896A (ko
Inventor
이철호
김동근
신종훈
조상우
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020160080973A priority Critical patent/KR101818006B1/ko
Publication of KR20180001896A publication Critical patent/KR20180001896A/ko
Application granted granted Critical
Publication of KR101818006B1 publication Critical patent/KR101818006B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/22Indexing; Data structures therefor; Storage structures
    • G06F16/2228Indexing structures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/23Updating
    • G06F16/2358Change logging, detection, and notification
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/24Querying
    • G06F16/248Presentation of query results
    • G06F17/30321
    • G06F17/30368
    • G06F17/30554

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Databases & Information Systems (AREA)
  • Data Mining & Analysis (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Computational Linguistics (AREA)
  • Debugging And Monitoring (AREA)

Abstract

행위 정규화를 통한 악성코드 고속탐지 및 시각화 방법 및 이를 이용한 장치가 개시된다. 본 발명에 따른 악성코드 고속탐지 및 시각화 방법은 검사대상 프로그램의 행위로그를 추출하는 단계; 기설정된 정규화 테이블에 정의된 인덱스를 이용하여 상기 행위로그와 행위기반 탐지규칙을 각각 정규화하는 단계; 정규화된 행위기반 탐지규칙을 기준으로 정규화된 행위로그를 비교하여 악성코드를 고속탐지하는 단계; 및 상기 기설정된 정규화 테이블에 정의된 인덱스 간 링크를 생성하여 시각화 정보를 제공하는 단계를 포함한다.

Description

행위 정규화를 통한 악성코드 고속탐지 및 시각화 방법 및 이를 이용한 장치 {METHOD FOR HIGH-SPEED MALWARE DETECTION AND VISUALIZATION USING BEHAVIOR NORMALIZATION AND APPARATUS USING THE SAME}
본 발명은 악성코드 탐지 기술에 관한 것으로, 특히 검사대상 프로그램의 행위를 정규화하고, 행위를 기반으로 하는 악성코드 탐지규칙과 정규화된 행위 정보를 비교하여 악성코드 존재여부를 고속으로 탐지하고, 정규화된 행위정보를 시각적으로 표현할 수 있는 기술에 관한 것이다.
특정 프로그램에 악성코드가 존재하는지 탐지하는 방법으로는, 사전에 검출된 악성코드들의 행위에 따른 탐지규칙을 구성하고, 프로그램을 모니터링하여 검출된 행위와 탐지규칙간의 일치 여부를 판단하는 것이 행위기반 악성코드 탐지의 일반적인 방식에 해당한다. 이 때, 탐지규칙에 포함된 행위를 표현하는 문자열 패턴이 검출된 행위 내에 포함되는지 여부를 판단하는 과정을 수행하여 탐지가 수행된다.
그러나, 문자열을 비교하는 방법은 검사대상의 문자열을 모두 탐색해야 하기 때문에 많은 시간이 소요되어 탐지속도에 큰 영향을 미치게 된다. 예를 들어서, 프로그램에서 관찰된 행위와 탐지규칙을 XML 기반으로 표현하여 탐지하고자 한다면, 관찰행위 및 탐지규칙을 표현한 XML 파일을 각각 로드하고, 적절한 자료구조로 메모리에 적재한 후 탐지규칙과의 일치 여부를 판단해야 한다. 이 때, XML 파일을 메모리로 적재하는 과정과 XML 자료구조를 기반으로 판단대상 문자열을 존재하는 부분까지 탐색하는 과정, 그리고 판단대상 문자열에 대한 패턴 일치 여부를 판단하는 과정에서 많은 시간이 소요되므로 실시간 탐지를 요구하는 환경에 있어서 적합하지 않다.
또한, 프로그램의 행위를 시각화하여 인간이 한눈에 행위특성을 파악할 수 있도록 하는 것은 매우 어렵다.
한국 공개 특허 제10-2015-0085741호, 2015년 7월 24일 공개(명칭: 프로세스의 동적 행위 정규화 및 악성 코드 탐지 방법)
본 발명의 목적은 악성코드 탐지 시 특정 탐지규칙에 일치하는 행위로그를 고속으로 검색하여 실시간 탐지를 가능하게 하는 것이다. 이를 위하여 프로그램에서 발견된 모든 행위로그에 대해 탐색할 필요 없이, 탐지규칙에 포함되는 행위에 대한 인덱스를 기반으로 효율적인 악성코드의 탐지(또는, 정밀탐지를 위한 필터링)를 수행하는 것이다.
또한, 본 발명의 목적은 프로그램의 행위로그를 시각화하여 제공함으로써 인간의 인지능력으로 행위 유사성을 인식하고 악성코드를 팀지할 수 있도록 지원하는 것이다.
상기한 목적을 달성하기 위한 본 발명에 따른 악성코드 고속탐지 및 시각화 방법은, 검사대상 프로그램의 행위로그를 추출하는 단계; 기설정된 정규화 테이블에 정의된 인덱스를 이용하여 상기 행위로그와 행위기반 탐지규칙을 각각 정규화하는 단계; 정규화된 행위기반 탐지규칙을 기준으로 정규화된 행위로그를 비교하여 악성코드를 고속탐지하는 단계; 및 상기 기설정된 정규화 테이블에 정의된 인덱스 간 링크를 생성하여 시각화 정보를 제공하는 단계를 포함한다.
이 때, 정규화하는 단계는 상기 행위로그와 상기 행위기반 탐지규칙을 액션 정의 테이블 및 객체유형 정의 테이블 중 적어도 하나에 정의된 인덱스의 집합으로 표현할 수 있다.
이 때, 정규화하는 단계는 상기 정규화된 행위로그에 상응하는 액션 인덱스와 객체유형 인덱스 간의 연관관계를 정의한 제1 연관성 테이블을 생성하는 단계; 및 상기 정규화된 행위기반 탐지규칙에 상응하는 액션 인덱스와 객체유형 인덱스 간의 연관관계를 정의한 제2 연관성 테이블을 생성하는 단계를 포함할 수 있다.
이 때, 고속탐지하는 단계는 상기 제2 연관성 테이블을 기준으로 두 개의 연관성 테이블들을 비교하고, 상기 제1 연관성 테이블에 상기 제2 연관성 테이블과 일치하는 인덱스 쌍이 존재하는 경우에 상기 검사대상 프로그램에 상기 악성코드가 존재하는 것으로 판단할 수 있다.
이 때, 시각화 정보를 제공하는 단계는 상기 제1 연관성 테이블에 상응하게 상기 액션 인덱스와 상기 객체유형 인덱스를 링크시켜서 상기 제1 링크를 시각적으로 표시하고, 상기 제2 연관성 테이블에 상응하게 상기 액션 인덱스와 상기 객체유형 인덱스를 링크시켜서 상기 제2 링크를 시각적으로 표시할 수 있다.
이 때, 시각화 정보를 제공하는 단계는 상기 제1 링크와 제2 링크 사이에 일치하는 링크를 시각적으로 제공할 수 있다.
이 때, 시각화 정보를 제공하는 단계는 상기 액션 인덱스와 상기 객체유형 인덱스 간의 연관관계에 상응하는 발생빈도에 따라 링크의 두께 및 링크의 색상 중 적어도 하나를 시각적으로 다르게 표시할 수 있다.
이 때, 기설정된 정규화 테이블은 악성코드 분석결과에 대한 표준 언어인 MAEC(Malware Attribute Enumeration and Characterization) 및 CybOX(Cyber Observable Expression) 중 적어도 하나를 기반으로 정의된 인덱스를 포함할 수 있다.
이 때, 액션 정의 테이블은 상기 액션 인덱스를 파일 액션(FileAction), 레지스트리 액션(RegistryAction) 등의 행위그룹으로 분류하여 행위그룹별로 시각적으로 달리 나타낼 수 있다.
또한, 본 발명의 일실시예에 따른 악성코드 고속탐지 및 시각화 장치는, 검사대상 프로그램의 행위로그를 추출하는 로그 추출부; 기설정된 정규화 테이블에 정의된 인덱스를 이용하여 상기 행위로그와 행위기반 탐지규칙을 각각 정규화하는 정규화부; 정규화된 행위기반 탐지규칙을 기준으로 정규화된 행위로그를 비교하여 악성코드를 고속탐지하는 악성코드 탐지부; 및 상기 기설정된 정규화 테이블에 정의된 인덱스 간 링크를 생성하여 시각화된 정보를 제공하는 시각화부를 포함한다.
이 때, 정규화부는 상기 행위로그와 상기 행위기반 탐지규칙을 액션 정의 테이블 및 객체유형 정의 테이블 중 적어도 하나에 정의된 인덱스의 집합으로 표현할 수 있다.
이 때, 정규화부는 상기 정규화된 행위로그에 상응하는 액션 인덱스와 객체유형 인덱스 간의 연관관계를 정의한 제1 연관성 테이블을 생성하는 제1 연관성 테이블 생성부; 및 상기 정규화된 행위기반 탐지규칙에 상응하는 액션 인덱스와 객체유형 인덱스 간의 연관관계를 정의한 제2 연관성 테이블을 생성하는 제2 연관성 테이블 생성부를 포함할 수 있다.
이 때, 악성코드 탐지부는 상기 제2 연관성 테이블을 기준으로 두 개의 연관성 테이블들을 비교하고, 상기 제1 연관성 테이블에 상기 제2 연관성 테이블과 일치하는 인덱스 쌍이 존재하는 경우에 상기 검사대상 프로그램에 상기 악성코드가 존재하는 것으로 판단할 수 있다.
이 때, 시각화부는 상기 제1 연관성 테이블에 상응하게 상기 액션 인덱스와 상기 객체유형 인덱스를 링크시켜서 상기 제1 링크를 시각적으로 표시하고, 상기 제2 연관성 테이블에 상응하게 상기 액션 인덱스와 상기 객체유형 인덱스를 링크시켜서 상기 제2 링크를 시각적으로 표시할 수 있다.
이 때, 시각화부는 상기 제1 링크와 제2 링크 사이에 일치하는 링크를 시각적으로 제공할 수 있다.
이 때, 시각화부는 상기 액션 인덱스와 상기 객체유형 인덱스 간의 연관관계에 상응하는 발생빈도에 따라 링크의 두께 및 링크의 색상 중 적어도 하나를 시각적으로 다르게 표시할 수 있다.
이 때, 기설정된 정규화 테이블은 악성코드 분석결과에 대한 표준 언어인 MAEC(Malware Attribute Enumeration and Characterization) 및 CybOX(Cyber Observable Expression) 중 적어도 하나를 기반으로 정의된 인덱스를 포함할 수 있다.
이 때, 액션 정의 테이블은 상기 액션 인덱스를 파일 액션(FileAction), 레지스트리 액션(RegistryAction) 등의 행위그룹으로 분류하여 행위그룹별로 시각적으로 달리 나타낼 수 있다.
본 발명에 따르면, 악성코드 탐지 시 특정 탐지규칙에 일치하는 행위로그를 고속으로 검색하여 실시간 탐지(또는, 정밀탐지를 위한 필터링)를 가능하게 할 수 있다. 이를 위해서 프로그램에서 발견된 모든 행위로그에 대해 탐색할 필요 없이, 탐지규칙에 포함되는 행위에 대한 인덱스를 기반으로 효율적인 악성코드의 탐지를 수행할 수 있다.
또한, 본 발명은 프로그램의 행위로그를 시각화하여 제공함으로써 인간의 인지능력으로 악성코드 존재여부를 판단할 수 있도록 지원할 수 있다.
도 1은 본 발명의 일실시예에 따른 행위 정규화를 통한 악성코드 고속탐지 및 시각화 시스템을 나타낸 도면이다.
도 2는 본 발명의 일실시예에 따른 악성코드 고속탐지 및 시각화 장치를 나타낸 블록도이다.
도 3은 도 2에 도시된 정규화부의 일 예를 나타낸 블록도이다.
도 4 내지 도 5는 본 발명에 따른 액션 정의 테이블과 객체유형 정의 테이블의 일 예를 나타낸 도면이다.
도 6 내지 도 8은 본 발명에 따른 정규화된 행위로그의 일 예를 나타낸 도면이다.
도 9는 도 8에 도시된 연관성 테이블을 시각화한 정보의 일 예를 나타낸 도면이다.
도 10은 본 발명에 따른 정규화된 행위로그와 정규화된 행위기반 탐지규칙을 함께 시각화하여 나타낸 시각화 정보의 일 예를 나타낸 도면이다.
도 11은 본 발명의 일실시예에 따른 행위 정규화를 통한 악성코드 고속탐지 및 시각화 방법을 나타낸 동작 흐름도이다.
도 12는 본 발명의 일실시예에 따른 악성코드 고속탐지 및 시각화 방법 중 고속탐지 과정을 상세하게 나타낸 동작 흐름도이다.
도 13은 본 발명의 일실시예에 따른 악성코드 고속탐지 및 시각화 방법 중 시각화 과정을 상세하게 나타낸 동작 흐름도이다.
본 발명을 첨부된 도면을 참조하여 상세히 설명하면 다음과 같다. 여기서, 반복되는 설명, 본 발명의 요지를 불필요하게 흐릴 수 있는 공지 기능, 및 구성에 대한 상세한 설명은 생략한다. 본 발명의 실시형태는 당 업계에서 평균적인 지식을 가진 자에게 본 발명을 보다 완전하게 설명하기 위해서 제공되는 것이다. 따라서, 도면에서의 요소들의 형상 및 크기 등은 보다 명확한 설명을 위해 과장될 수 있다.
이하, 본 발명에 따른 바람직한 실시예를 첨부된 도면을 참조하여 상세하게 설명한다.
도 1은 본 발명의 일실시예에 따른 행위 정규화를 통한 악성코드 고속탐지 및 시각화 시스템을 나타낸 도면이다.
도 1을 참조하면, 본 발명의 일실시예에 따른 행위 정규화를 통한 악성코드 고속탐지 및 시각화 시스템은 악성코드 고속탐지 및 시각화 장치(100), 검사대상 프로그램(110) 및 행위분석장치(120)로 구성될 수 있다.
악성코드 고속탐지 및 시각화 장치(100)는 검사대상 프로그램(110)이 행위분석장치(120)로 입력되어 생성되는 행위로그(111)와 행위기반 탐지규칙(112)을 기반으로 악성코드의 탐지를 수행할 수 있다.
이 때, 도 1에서는 행위분석장치(120)를 통해 행위로그(111)를 생성 및 추출하는 구성이 악성코드 고속탐지 및 시각화 장치(100)와 독립적으로 도시되어 있지만, 경우에 따라서 악성코드 고속탐지 및 시각화 장치(100)의 내부에서 행위로그(111)의 생성 및 추출이 수행될 수도 있다.
이하에서는, 악성코드 고속탐지 및 시각화 장치(100)에서 행위로그(111)를 추출하는 구성을 기반으로 악성코드 고속탐지 및 시각화 과정을 간략하게 설명하도록 한다.
먼저, 악성코드 고속탐지 및 시각화 장치(100)는 검사대상 프로그램(110)의 행위로그(111)를 추출한다.
이 후, 악성코드 고속탐지 및 시각화 장치 (100)는 기설정된 정규화 테이블에 정의된 인덱스를 이용하여 행위로그(111)와 행위기반 탐지규칙(112)을 각각 정규화한다.
이 때, 행위로그(111)와 행위기반 탐지규칙(112)을 액션 정의 테이블 및 객체유형 정의 테이블 중 적어도 하나에 정의된 인덱스의 집합으로 표현할 수 있다.
이 때, 정규화된 행위로그에 상응하는 액션 인덱스와 객체유형 인덱스 간의 연관관계를 정의한 제1 연관성 테이블을 생성할 수 있다.
또한, 정규화된 행위기반 탐지규칙에 상응하는 액션 인덱스와 객체유형 인덱스 간의 연관관계를 정의한 제2 연관성 테이블을 생성할 수 있다.
이 때, 기설정된 정규화 테이블은 악성코드 분석결과에 대한 표준 언어인 MAEC(Malware Attribute Enumeration and Characterization) 및 CybOX(Cyber Observable Expression) 중 적어도 하나를 기반으로 정의된 인덱스를 포함할 수 있다.
이 때, 액션 정의 테이블은 액션 인덱스를 파일 액션(FileAction), 레지스트리 액션(RegistryAction) 등의 행위그룹으로 분류하여 행위그룹별로 시각적으로 달리 나타낼 수 있다.
이 후, 악성코드 고속탐지 및 시각화 장치(100)는 정규화된 행위기반 탐지규칙을 기준으로 정규화된 행위로그를 비교하여 악성코드를 고속탐지한다.
이 때, 제2 연관성 테이블을 기준으로 두 개의 연관성 테이블들을 비교하고, 제1 연관성 테이블에 제2 연관성 테이블과 일치하는 인덱스 쌍이 존재하는 경우에 검사대상 프로그램에 악성코드가 존재하는 것으로 판단할 수 있다.
이 후, 악성코드 고속탐지 및 시각화 장치(100)는 기설정된 정규화 테이블에 정의된 인덱스 간 링크를 생성하여 시각화 정보를 제공한다.
이 때, 제1 연관성 테이블에 상응하게 액션 인덱스와 객체유형 인덱스를 링크시켜서 제1 링크를 시각적으로 표시하고, 제2 연관성 테이블에 상응하게 액션 인덱스와 객체유형 인덱스를 링크시켜서 제2 링크를 시각적으로 표시할 수 있다.
이 때, 제1 링크와 제2 링크 사이에 일치하는 링크를 시각적으로 제공할 수 있다.
이 때, 액션 인덱스와 객체유형 인덱스 간의 연관관계에 상응하는 발생빈도에 따라 링크의 두께 및 링크의 색상 중 적어도 하나를 시각적으로 다르게 표시할 수 있다.
이 때, 행위분석장치(120)는 샌드박스와 같이 보호된 가상화 영역에서 프로그램을 작성시켜 행위로그(111)를 생성하는 장치에 상응할 수 있다.
도 2는 본 발명의 일실시예에 따른 악성코드 고속탐지 및 시각화 장치를 나타낸 블록도이다.
도 2를 참조하면, 본 발명의 일실시예에 따른 악성코드 고속탐지 및 시각화 장치는 로그 추출부(210), 정규화부(220), 악성코드 탐지부(230), 시각화부(240) 및 저장부(250)를 포함한다.
로그 추출부(210)는 검사대상 프로그램의 행위로그를 추출한다.
이 때, 검사대상 프로그램이 샌드박스와 같은 행위분석장치를 통과하게 되면, 그 결과로 행위로그가 생성될 수 있다. 즉, 검사대상 프로그램을 샌드박스와 같이 보호된 영역 안에 가둔 뒤 작동시킴으로써 외부의 영향을 받지 않은 순수한 검사대상 프로그램만의 행위로그가 생성될 수 있다.
이 때, 검사대상 프로그램의 행위로그를 추출하는 과정은 악성코드 고속탐지 및 시각화 장치의 내부 또는 외부에서 수행될 수도 있다.
예를 들어, 악성코드 고속탐지 및 시각화 장치가 내부에 샌드박스와 같은 행위분석장치를 구비하여 직접 검사대상 프로그램의 행위로그를 추출할 수 있다.
다른 예를 들어, 악성코드 고속탐지 및 시각화 장치의 외부에 위치하는 행위분석장치로부터 검사대상 프로그램의 행위로그를 전달받아 악성코드 탐지를 수행할 수도 있다.
정규화부(220)는 기설정된 정규화 테이블에 정의된 인덱스를 이용하여 행위로그와 행위기반 탐지규칙을 각각 정규화한다.
이 때, 행위로그와 행위기반 탐지규칙을 정규화하지 않고 문자열 패턴을 비교하는 방식으로 악성코드를 탐지한다면, 검사대상 문자열을 모두 탐색해야 하므로 악성코드 탐지에 매우 많은 시간이 소요되는 문제가 발생할 수 있다. 이에 따라, 악성코드를 실시간으로 탐지하기 어려워지고, 이는 곧 악성코드에 의한 피해를 증가시키는 원인이 될 수도 있다.
따라서, 본 발명에서는 이러한 문제점을 해결하기 위해 검사대상 프로그램의 행위로그와 악성코드 탐지를 위한 행위기반 탐지규칙을 각각 정규화하여 빠른 탐지를 수행할 수 있도록 할 수 있다.
이 때, 행위로그와 행위기반 탐지규칙을 액션 정의 테이블 및 객체유형 정의 테이블 중 적어도 하나에 정의된 인덱스의 집합으로 표현할 수 있다.
이 때, 액션 정의 테이블에는 복수개의 액션 인덱스들이 정의될 수 있으며, 객체유형 정의 테이블에는 복수개의 객체유형 인덱스들이 정의될 수 있다.
이 때, 인덱스의 집합, 또는 인덱스의 배열은 각각의 인덱스에 대한 발생빈도에 상응하는 값이 매칭되어 포함될 수 있다. 예를 들어, 행위로그와 행위기반 탐지규칙을 각각 분석하고, 행위로그와 행위기반 탐지규칙에서 각각 발생하는 액션과 그에 대한 객체유형을 파악함으로써 발생빈도를 입력할 수 있다.
따라서, 이와 같은 과정을 통해 정규화된 행위로그에 대한 액션 인덱스 배열, 정규화된 행위로그에 대한 객체유형 인덱스 배열과 함께 정규화된 행위기반 탐지규칙에 대한 액션 인덱스 배열, 정규화된 행위기반 탐지규칙에 대한 객체유형 인덱스 배열을 각각 생성할 수 있다.
이 때, 정규화된 행위로그에 상응하는 액션 인덱스와 객체유형 인덱스 간의 연관관계를 정의한 제1 연관성 테이블을 생성할 수 있다.
또한, 정규화된 행위기반 탐지규칙에 상응하는 액션 인덱스와 객체유형 인덱스 간의 연관관계를 정의한 제2 연관성 테이블을 생성할 수 있다.
이 때, 연관성 테이블은 액션 인덱스와 객체유형 인덱스 간의 연관관계에 따른 인덱스 쌍과 함께 해당 인덱스 쌍에 상응하는 행위가 발생하는 빈도수를 매칭하여 저장할 수 있다. 예를 들어, 정규화된 행위로그를 정규화하였을 때 액션 인덱스 1번과 객체유형 인덱스 10번 간의 연관관계가 3번 검출되는 경우, 제1 연관성 테이블에서 액션 인덱스 1번과 객체유형 인덱스 10번에 상응하는 인덱스 쌍에 매칭되는 빈도수는 3으로 저장될 수 있다.
이 때, 기설정된 정규화 테이블은 악성코드 분석결과에 대한 표준 언어인 MAEC(Malware Attribute Enumeration and Characterization) 및 CybOX(Cyber Observable Expression) 중 적어도 하나를 기반으로 정의된 인덱스를 포함할 수 있다.
따라서, 액션 정의 테이블과 객체유형 정의 테이블에는 MAEC 및 CybOX를 기반으로 정의된 인덱스가 부여될 수 있다. 이 때, 액션 정의 테이블에 정의된 액션과 객체유형 정의 테이블에 정의된 객체 유형은 각각의 테이블에 부여되는 인덱스를 기초로 작용할 수 있다.
이 때, MAEC는 미국 MITRE 사의 프로젝트 중 하나로 악성코드의 행동, 인위적 구조(artifacts), 공격 패턴 등의 특성을 통해 인코딩 및 의사소통을 위한 높은 정확도의 정보를 가진 국제적인 범위에서 공공이 무료로 사용하는 표준화된 언어라고 할 수 있다. 즉, MAEC는 사람 대 사람, 사람 대 도구, 도구 대 도구 그리고 도구 대 사람이 악성코드에 대한 의사소통을 개선하기 위해 현재 악성코드를 설명하는데 있어 모호함과 부정확함을 제거하여, 시그니처에 대한 의존도를 줄이는 것을 목표로 하고 있다. 또한, 이전에 관찰된 악성코드 인스턴스에 대한 응답을 활용하는 능력을 활성화하여 빠른 대책 및 개발을 할 수 있도록 할 수도 있다.
이 때, MAEC는 사이버 관측(Cyber Observable Expression, CybOX), 구조화 된 위협 정보(Structured Threat Information, STIX), 위협 정보 교환(Threat Information Exchange, TAXII), 취약성(Vulnerabilities, CVE), 소프트웨어 약점 유형(Software Weakness Types, CWE), 평가 언어(Assessment Language, OVAL) 및 플랫폼(Platform, CPE) 등의 프로젝트와 관련되어 있으며, MAEC는 CybOX에 종속적으로 움직일 수 있다.
악성코드 탐지부(230)는 정규화된 행위기반 탐지규칙을 기준으로 정규화된 행위로그를 비교하여 악성코드를 고속탐지 할 수 있다.
이 때, 제2 연관성 테이블을 기준으로 두 개의 연관성 테이블들을 비교하고, 제1 연관성 테이블에 제2 연관성 테이블과 일치하는 인덱스 쌍이 존재하는 경우에 검사대상 프로그램에 악성코드가 존재하는 것으로 판단할 수 있다.
즉, 행위로그에 포함된 문자열과 행위기반 탐지규칙에 포함된 문자열을 비교하는 것이 아니라, 행위기반 탐지규칙에서 발견되는 액션 인덱스와 객체유형 인덱스 간의 연관관계에 상응하는 인덱스 쌍을 기준으로 검사대상 프로그램의 행위로그에도 동일한 연관관계를 갖는 인덱스 쌍이 존재하는지 탐색하는 과정을 수행할 수 있다.
이 때, 행위기반 탐지규칙에 의해 생성되는 제2 연관성 테이블은 사전에 관찰된 악성코드들의 행위를 기반으로 생성된 것일 수 있다. 따라서, 검사대상 프로그램의 행위로그에 의해 생성되는 제1 연관성 테이블에 제2 연관성 테이블에 존재하는 인덱스 쌍과 일치하는 인덱스 쌍이 존재한다면, 검사대상 프로그램에는 사전에 관찰된 악성코드 중 적어도 하나가 존재하는 것으로 판단할 수 있다.
이 때, 행위기반 탐지규칙에 의한 제2 연관성 테이블을 기준으로 제1 연관성 테이블을 탐색하기 때문에 검사대상 프로그램의 행위로그를 모두 탐색하지 않고 행위기반 탐지규칙에 부합하는 행위로그만 고속으로 탐지해낼 수 있다.
시각화부(240)는 기설정된 정규화 테이블에 정의된 인덱스 간 링크를 생성하여 시각화 정보를 제공할 수 있다. 예를 들어, 정규화된 행위로그에 상응하는 액션 인덱스와 그에 매칭되는 객체유형 인덱스 간의 링크를 생성하여 시각화 정보를 제공할 수 있다. 또한, 정규화된 행위기반 탐지규칙에 상응하는 액션 인덱스와 그에 매칭되는 객체유형 인덱스 간의 링크를 생성하여 시각화 정보를 제공할 수도 있다.
이 때, 본 발명과 같이 시각화 정보를 제공함으로써 기계가 아닌 사람에 의해 악성코드의 인지적 탐지를 수행할 수 있도록 지원할 수도 있다.
이 때, 링크는 액션 인덱스를 나열한 형태인 액션 인덱스 배열과 객체유형 인덱스를 나열한 형태인 객체유형 인덱스 배열 사이에서 연관관계가 있는 인덱스를 연결한 것에 상응할 수 있다. 예를 들어, 정규화된 행위로그에 대한 액션 인덱스 배열과 객체유형 인덱스 배열 간에 링크가 생성되고, 정규화된 행위기반 탐지규칙에 대한 액션 인덱스 배열과 객체유형 인덱스 배열 간에 링크가 생성될 수 있다.
이 때, 제1 연관성 테이블에 상응하게 액션 인덱스와 객체유형 인덱스를 링크시켜서 제1 링크를 시각적으로 표시하고, 제2 연관성 테이블에 상응하게 액션 인덱스와 객체유형 인덱스를 링크시켜서 제2 링크를 시각적으로 표시할 수 있다.
따라서, 정규화 단계가 수행되어 각각의 연관성 테이블에 테이블 값이 입력되는 경우에 입력된 테이블 값에 상응하게 링크를 생성할 수 있다.
이 때, 제1 링크와 제2 링크 사이에 일치하는 링크를 시각적으로 제공할 수 있다. 즉, 제1 링크와 제2 링크 사이에 일치하는 링크가 존재하는 것을 시각적으로 제공함으로써 보다 신속하고 수월한 악성코드의 인지적 탐지가 수행될 수 있도록 지원할 수 있다.
이 때, 액션 인덱스와 객체유형 인덱스 간의 연관관계에 상응하는 발생빈도에 따라 링크의 두께 및 링크의 색상 중 적어도 하나를 시각적으로 다르게 표시할 수 있다.
예를 들어, 발생빈도가 높을수록 링크의 두께를 두껍게 나타낼 수 있다. 또는, 발생빈도에 따라 링크의 색상을 사전에 설정해두고, 발생빈도에 상응하는 색상으로 링크를 표시할 수도 있다.
이 때, 액션 정의 테이블은 액션 인덱스를 파일 액션(FileAction), 레지스트리 액션(RegistryAction) 등의 행위그룹으로 분류하여 행위그룹별로 시각적으로 달리 나타낼 수 있다.
예를 들어, 액션 정의 테이블에서 파일 액션에 상응하는 액션 인덱스는 음영을 주고 레지스트리 액션에 상응하는 액션 인덱스는 음영 없이 표시함으로써 파일 액션 인덱스와 레지스트리 액션 인덱스가 쉽게 구별되도록 표시할 수 있다.
다른 예를 들어, 액션 정의 테이블에 포함된 액션 인덱스들에 각각 파일 액션 인덱스인지 레지스트리 액션 인덱스인지 분류명칭을 기재함으로써 파일 액션 인덱스와 레지스트리 액션 인덱스가 쉽게 구별되도록 표시할 수도 있다.
이와 같이 파일 액션 인덱스와 레지스트리 액션 인덱스를 쉽게 구별할 수 있도록 시각화함으로써 사람의 인지적인 능력을 통해 직관적인 탐지를 수행하는데 도움을 줄 수 있다.
이와 같이, 본 발명은 정규화된 데이터를 기반으로 액션과 객체유형 수준에서 악성코드를 탐지하기 때문에, 대량의 행위로그에 대해서 고속으로 탐지를 수행하되, 향후 정밀한 탐지를 위해 수행되는 1차적인 탐지 필터링을 수행하는 것으로 볼 수 있다. 즉, 본 발명에 따른 탐지는 검사대상 프로그램에서 동작하는 객체의 파일 크기 및 파일 경로와 같은 세부정보까지 정밀 탐지하는 것이 아니라, 대량의 행위로그들 중에서 행위기반 탐지규칙에 부합하는 행위로그가 존재하는지 여부를 탐지하는데 그 목적이 있다.
저장부(250)는 상술한 바와 같이 본 발명의 일실시예에 따른 악성코드 고속탐지 및 시각화 과정에서 발생되는 다양한 정보를 저장한다.
실시예에 따라, 저장부(250)는 악성코드 고속탐지 및 시각화 장치와 독립적으로 구성되어 악성코드 고속탐지 및 시각화를 위한 기능을 지원할 수 있다. 이 때, 저장부(250)는 별도의 대용량 스토리지로 동작할 수 있고, 동작 수행을 위한 제어 기능을 포함할 수 있다.
한편, 악성코드 고속탐지 및 시각화 장치는 메모리가 탑재되어 그 장치 내에서 정보를 저장할 수 있다. 일 구현예의 경우, 메모리는 컴퓨터로 판독 가능한 매체이다. 일 구현 예에서, 메모리는 휘발성 메모리 유닛일 수 있으며, 다른 구현예의 경우, 메모리는 비휘발성 메모리 유닛일 수도 있다. 일 구현예의 경우, 저장장치는 컴퓨터로 판독 가능한 매체이다. 다양한 서로 다른 구현 예에서, 저장장치는 예컨대 하드디스크 장치, 광학디스크 장치, 혹은 어떤 다른 대용량 저장장치를 포함할 수도 있다.
이와 같은 악성코드 고속탐지 및 시각화 장치를 이용함으로써 악성코드 탐지 시 특정 탐지규칙에 일치하는 행위로그를 고속으로 검색하여 실시간 탐지를 가능하게 할 수 있다.
또한, 프로그램의 행위로그를 시각화하여 제공함으로써 인간의 인지능력으로 악성코드 존재여부를 판단할 수 있도록 지원할 수 있다.
도 3은 도 2에 도시된 정규화부의 일 예를 나타낸 블록도이다.
도 3을 참조하면, 도 2에 도시된 정규화부(220)는 제1 연관성 테이블 생성부(310) 및 제2 연관성 테이블 생서부(320)를 포함한다.
제1 연관성 테이블 생성부(310)는 정규화된 행위로그에 상응하는 액션 인덱스와 객체유형 인덱스 간의 연관관계를 정의한 제1 연관성 테이블을 생성한다.
제2 연관성 테이블 생성부(320)는 정규화된 행위기반 탐지규칙에 상응하는 액션 인덱스와 객체유형 인덱스 간의 연관관계를 정의한 제2 연관성 테이블을 생성한다.
이 때, 연관성 테이블은 액션 인덱스와 객체유형 인덱스 간의 연관관계에 따른 인덱스 쌍과 함께 해당 인덱스 쌍에 상응하는 행위가 발생하는 빈도수를 매칭하여 저장할 수 있다. 예를 들어, 정규화된 행위로그를 정규화하였을 때 액션 인덱스 1번과 객체유형 인덱스 10번 간의 연관관계가 3번 검출되는 경우, 제1 연관성 테이블에서 액션 인덱스 1번과 객체유형 인덱스 10번에 상응하는 인덱스 쌍에 매칭되는 빈도수는 3으로 저장될 수 있다.
이와 같이 생성된 연관성 테이블들은 본 발명에 따른 시각화 정보를 제공하는 데 사용될 수 있다.
예를 들어, 제1 연관성 테이블에 상응하게 액션 인덱스와 객체유형 인덱스를 링크시켜서 제1 링크에 상응하는 시각화 정보를 생성하고, 제2 연관성 테이블에 상응하게 액션 인덱스와 객체유형 인덱스를 링크시켜서 제2 링크에 상응하는 시각화 정보를 생성할 수 있다. 이렇게 생성된 각각의 시각화 정보는 비교 가능한 형태로 사용자에게 제공됨으로써 사용자가 시각적으로 악성코드의 탐지를 수행할 수 있도록 지원하는 역할을 수행할 수도 있다.
도 4 내지 도 5는 본 발명에 따른 액션 정의 테이블과 객체유형 정의 테이블의 일 예를 나타낸 도면이다.
도 4 내지 도 5를 참조하면, 본 발명에 따른 액션 정의 테이블은 n개의 액션 인덱스와 각각의 액션 인덱스에 해당하는 액션 정보를 포함하고, 본 발명에 따른 객체유형 정의 테이블은 m개의 객체유형 인덱스와 각각의 객체유형 인덱스에 해당하는 객체유형 정보를 포함할 수 있다.
먼저, 도 4를 참조하면 액션 정의 테이블은 MAEC(Malware Attribute Enumeration and Characterization)를 기반으로 정의된 액션 인덱스가 부여될 수 있다.
이 때, MAEC는 미국 MITRE 사의 프로젝트 중 하나로 악성코드의 행동, 인위적 구조(artifacts), 공격 패턴 등의 특성을 통해 인코딩 및 의사소통을 위한 높은 정확도의 정보를 가진 국제적인 범위에서 공공이 무료로 사용하는 표준화된 언어라고 할 수 있다.
또한, 도 4에는 도시하지 아니하였으나 액션 정의 테이블은 액션 인덱스를 파일 액션(FileAction), 레지스트리 액션(RegistryAction) 등의 행위그룹으로 분류하여 행위그룹별로 시각적으로 달리 나타낼 수 있다.
예를 들어, 액션 정의 테이블에서 파일 액션에 상응하는 액션 인덱스는 음영을 주고 레지스트리 액션에 상응하는 액션 인덱스는 음영 없이 표시함으로써 파일 액션 인덱스와 레지스트리 액션 인덱스가 쉽게 구별되도록 표시할 수 있다.
다른 예를 들어, 액션 정의 테이블에 포함된 액션 인덱스들에 각각 파일 액션 인덱스인지 레지스트리 액션 인덱스인지 분류명칭을 기재함으로써 파일 액션 인덱스와 레지스트리 액션 인덱스가 쉽게 구별되도록 표시할 수도 있다.
이와 같이 파일 액션 인덱스와 레지스트리 액션 인덱스를 쉽게 구별할 수 있도록 시각화함으로써 사람의 인지적인 능력을 통해 직관적인 탐지를 수행하는데 도움을 줄 수 있다.
또한, 도 5를 참조하면 객체유형 정의 테이블은 CybOX를 기반으로 정의된 객체유형 인덱스가 부여된 것을 확인할 수 있다.
이 때, MAEC는 사이버 관측(Cyber Observables, CybOX) 프로젝트와 관련되어 있으며, MAEC는 CybOX에 종속적으로 움직이기 때문에 CybOX를 기반으로 객체유형 인덱스가 부여될 수도 있다.
도 6 내지 도 8은 본 발명에 따른 정규화된 행위로그의 일 예를 나타낸 도면이다.
도 6 내지 도 8을 참조하면, 도 6은 정규화된 행위로그에 대한 액션에 관련된 액션 인덱스 배열의 일 예에 상응하고, 도 7은 정규화된 행위로그에 대한 객체유형에 관련된 객체유형 인덱스 배열의 일 예에 상응할 수 있다.
이 때, 도 6 내지 도 7에 도시된 것과 같이 액션 인덱스 배열과 객체유형 인덱스 배열을 각각 해당 인덱스에 상응하는 액션과 객체유형에 대한 발생빈도 값을 매칭하여 저장할 수 있다.
즉, 도 6에 도시된 액션 인덱스 배열을 확인하면, 3번, 20번, 21번에 정의된 액션이 검사대상 프로그램이 작동하는 동안에 각각 1번, 2번, 1번에 상응하게 발생한 것으로 판단할 수 있다.
또한, 도 7에 도시된 객체유형 인덱스 배열을 확인하면, 60번과 64번에 정의된 객체유형이 도 6에 도시된 액션 인덱스 배열에서 3번, 20번, 21번의 액션에 상응하는 행위로 동작한 것으로 판단할 수 있다.
따라서, 본 발명에 따른 정규화 과정을 통해 획득한 정규화된 행위로그를 분석하면, 검사대상 프로그램이 행위분석장치에서 동작한 행위를 액션과 객체유형을 기준으로 파악하는 것이 가능할 수 있다.
이 때, 도 8은 도 6 내지 도 7에 도시된 액션 인덱스 배열과 객체유형 인덱스 배열에서 관련 있는 액션 인덱스와 객체유형 인덱스를 한 쌍으로 매칭하여 생성된 연관성 테이블의 일 예에 상응할 수 있다.
이 때, 연관성 테이블은 도 8과 같이 각각의 인덱스 쌍에 상응하는 발생빈도를 매칭하여 저장할 수 있다.
예를 들어, 테이블 값(810)은, 액션 인덱스 3번과 객체유형 인덱스 60번에 해당하는 인덱스 쌍에 의한 행위가 검사대상 프로그램이 동작하는 동안 1번 발생한 것으로 해석될 수 있다.
또한, 테이블 값(820)은, 액션 인덱스 20번과 객체유형 인덱스 64번에 해당하는 인덱스 쌍에 의한 행위가 검사대상 프로그램이 동작하는 동안 2번 발생한 것으로 해석될 수 있다.
이 때, 도 6 내지 도 8에 도시하지는 아니하였으나, 정규화된 행위기반 탐지규칙에 대해서도 정규화된 행위로그와 동일한 방법으로 액션 인덱스 배열, 객체유형 인덱스 배열 및 연관성 테이블을 생성할 수 있다.
이 때, 정규화된 행위로그에 대한 연관성 테이블을 제1 연관성 테이블, 정규화된 행위기반 탐지규칙에 대한 연관성 테이블을 제2 연관성 테이블이라 할 수 있고, 제2 연관성 테이블을 기준으로 두 개의 연관성 테이블들을 비교함으로써 악성코드 고속탐지를 수행할 수 있다.
이 때, 제1 연관성 테이블에 포함된 인덱스 쌍을 모두 탐지하는 것이 아니라, 제2 연관성 테이블에 포함된 인덱스 쌍을 기준으로 탐지를 수행하기 때문에 보다 신속하고 효율적으로 악성코드의 탐지를 수행할 수 있다.
이 때, 제2 연관성 테이블은 사전에 관찰되거나 파악된 적이 있는 악성코드들에 의해 발생하는 행위 정보를 포함하는 행위기반 탐지규칙에 상응하게 생성된 것일 수 있다. 즉, 제2 연관성 테이블에 포함된 인덱스 쌍에 의한 행위는 악성코드들에 의해 발생하는 행위와 동일한 것으로 판단할 수 있다.
따라서, 두 개의 연관성 테이블들을 비교한 결과, 제1 연관성 테이블에 제2 연관성 테이블과 동일한 인덱스 쌍이 존재한다면 검사대상 프로그램이 악성코드에 감염되어 악성코드에 의한 행위를 수행한 것으로 판단할 수 있다.
도 9는 도 8에 도시된 연관성 테이블을 시각화한 정보의 일 예를 나타낸 도면이다.
도 9를 참조하면, 도 8에 도시된 연관성 테이블에 포함된 인덱스 쌍과 그에 상응하는 발생빈도의 값으로 링크(901, 902, 903)를 생성하여 시각화 정보를 생성할 수 있다.
이 때, 도 9에서 상단에 위치하는 배열(910)은 도 6에 도시된 정규화된 행위로그에 대한 액션 인덱스 배열에서 인덱스만을 배열한 것에 상응할 수 있고, 도 9에서 하단에 위치하는 배열(920)은 도 7에 도시된 정규화된 행위로그에 대한 객체유형 인덱스 배열에서 인덱스만을 배열한 것에 상응할 수 있다.
따라서, 도 8에 도시된 연관성 테이블의 테이블 값들에 상응하게 두 개의 배열(910, 920)에 포함된 인덱스들을 서로 연결하여 링크를 생성하고, 도 8에 도시된 연관성 테이블의 발생빈도에 상응하게 링크에 시각적 변화를 주어 나타낼 수 있다.
예를 들어, 링크(902)와 같이 인덱스 쌍의 발생빈도 값이 다른 인덱스 쌍보다 큰 경우, 링크의 두께를 두껍게 나타냄으로써 발생빈도가 다른 링크보다 크다는 것을 시각적으로 쉽게 파악할 수 있도록 나타낼 수 있다.
도 10은 본 발명에 따른 정규화된 행위로그와 정규화된 행위기반 탐지규칙을 함께 시각화하여 나타낸 시각화 정보의 일 예를 나타낸 도면이다.
도 10을 참조하면, 본 발명에 따른 시각화 정보는 정규화된 행위로그에 관련된 제1 링크(1010), 정규화된 행위기반 탐지규칙에 관련된 제2 링크(1020) 및 제1 링크(1010)와 제2 링크(1020)를 비교하였을 때 일치하는 링크(1030)를 포함할 수 있다.
이 때, 제1 링크(1010)와 제2 링크(1020)를 함께 제공함으로써 사용자가 직접 눈으로 링크들을 확인하여 악성코드의 인지적 탐지를 수행할 수 있도록 지원할 수 있다.
또한, 제1 링크(1010)는 제1 연관성 테이블을 기반으로 생성되고, 제2 링크(1020)는 제2 연관성 테이블을 기반으로 생성되기 때문에 기계적 탐지를 통해 검출된 악성코드가 있다면 해당 악성코드에 상응하게 일치하는 링크(1030)에 대한 시각적 정보를 별도로 생성하여 제공할 수도 있다.
도 11은 본 발명의 일실시예에 따른 행위 정규화를 통한 악성코드 고속탐지 및 시각화 방법을 나타낸 동작 흐름도이다.
도 11을 참조하면, 본 발명의 일실시예에 따른 행위 정규화를 통한 악성코드 고속탐지 및 시각화 방법은 검사대상 프로그램의 행위로그를 추출한다(S1110).
이 때, 검사대상 프로그램이 샌드박스와 같은 행위분석장치를 통과하게 되면, 그 결과로 행위로그가 생성될 수 있다. 즉, 검사대상 프로그램을 샌드박스와 같이 보호된 영역 안에 가둔 뒤 작동시킴으로써 외부의 영향을 받지 않은 순수한 검사대상 프로그램만의 행위로그가 생성될 수 있다.
이 때, 검사대상 프로그램의 행위로그를 추출하는 과정은 악성코드 고속탐지 및 시각화 장치의 내부 또는 외부에서 수행될 수도 있다.
예를 들어, 악성코드 고속탐지 및 시각화 장치가 내부에 샌드박스와 같은 행위분석장치를 구비하여 직접 검사대상 프로그램의 행위로그를 추출할 수 있다.
다른 예를 들어, 악성코드 고속탐지 및 시각화 장치의 외부에 위치하는 행위분석장치로부터 검사대상 프로그램의 행위로그를 전달받아 악성코드 탐지를 수행할 수도 있다.
또한, 본 발명의 일실시예에 따른 행위 정규화를 통한 악성코드 고속탐지 및 시각화 방법은 기설정된 정규화 테이블에 정의된 인덱스를 이용하여 행위로그와 행위기반 탐지규칙을 각각 정규화한다(S1120).
이 때, 행위로그와 행위기반 탐지규칙을 정규화하지 않고 문자열 패턴을 비교하는 방식으로 악성코드를 탐지한다면, 검사대상 문자열을 모두 탐색해야 하므로 악성코드 탐지에 매우 많은 시간이 소요되는 문제가 발생할 수 있다. 이에 따라, 악성코드를 실시간으로 탐지하기 어려워지고, 이는 곧 악성코드에 의한 피해를 증가시키는 원인이 될 수도 있다.
따라서, 본 발명에서는 이러한 문제점을 해결하기 위해 검사대상 프로그램의 행위로그와 악성코드 탐지를 위한 행위기반 탐지규칙을 각각 정규화하여 빠른 탐지를 수행할 수 있도록 할 수 있다.
이 때, 행위로그와 행위기반 탐지규칙을 액션 정의 테이블 및 객체유형 정의 테이블 중 적어도 하나에 정의된 인덱스의 집합으로 표현할 수 있다.
이 때, 액션 정의 테이블에는 복수개의 액션 인덱스들이 정의될 수 있으며, 객체유형 정의 테이블에는 복수개의 객체유형 인덱스들이 정의될 수 있다.
이 때, 인덱스의 집합, 또는 인덱스의 배열은 각각의 인덱스에 대한 발생빈도에 상응하는 값이 매칭되어 포함될 수 있다. 예를 들어, 행위로그와 행위기반 탐지규칙을 각각 분석하고, 행위로그와 행위기반 탐지규칙에서 각각 발생하는 액션과 그에 대한 객체유형을 파악함으로써 발생빈도를 입력할 수 있다.
따라서, 이와 같은 과정을 통해 정규화된 행위로그에 대한 액션 인덱스 배열, 정규화된 행위로그에 대한 객체유형 인덱스 배열과 함께 정규화된 행위기반 탐지규칙에 대한 액션 인덱스 배열, 정규화된 행위기반 탐지규칙에 대한 객체유형 인덱스 배열을 각각 생성할 수 있다.
이 때, 정규화된 행위로그에 상응하는 액션 인덱스와 객체유형 인덱스 간의 연관관계를 정의한 제1 연관성 테이블을 생성할 수 있다.
또한, 정규화된 행위기반 탐지규칙에 상응하는 액션 인덱스와 객체유형 인덱스 간의 연관관계를 정의한 제2 연관성 테이블을 생성할 수 있다.
이 때, 연관성 테이블은 액션 인덱스와 객체유형 인덱스 간의 연관관계에 따른 인덱스 쌍과 함께 해당 인덱스 쌍에 상응하는 행위가 발생하는 빈도수를 매칭하여 저장할 수 있다. 예를 들어, 정규화된 행위로그를 정규화하였을 때 액션 인덱스 1번과 객체유형 인덱스 10번 간의 연관관계가 3번 검출되는 경우, 제1 연관성 테이블에서 액션 인덱스 1번과 객체유형 인덱스 10번에 상응하는 인덱스 쌍에 매칭되는 빈도수는 3으로 저장될 수 있다.
이 때, 기설정된 정규화 테이블은 악성코드 분석결과에 대한 표준 언어인 MAEC(Malware Attribute Enumeration and Characterization) 및 CybOX(Cyber Observable Expression) 중 적어도 하나를 기반으로 정의된 인덱스를 포함할 수 있다.
따라서, 액션 정의 테이블과 객체유형 정의 테이블에는 MAEC 및 CybOX를 기반으로 정의된 인덱스가 부여될 수 있다. 이 때, 액션 정의 테이블에 정의된 액션과 객체유형 정의 테이블에 정의된 객체 유형은 각각의 테이블에 부여되는 인덱스를 기초로 작용할 수 있다.
이 때, MAEC는 미국 MITRE 사의 프로젝트 중 하나로 악성코드의 행동, 인위적 구조(artifacts), 공격 패턴 등의 특성을 통해 인코딩 및 의사소통을 위한 높은 정확도의 정보를 가진 국제적인 범위에서 공공이 무료로 사용하는 표준화된 언어라고 할 수 있다. 즉, MAEC는 사람 대 사람, 사람 대 도구, 도구 대 도구 그리고 도구 대 사람이 악성코드에 대한 의사소통을 개선하기 위해 현재 악성코드를 설명하는데 있어 모호함과 부정확함을 제거하여, 시그니처에 대한 의존도를 줄이는 것을 목표로 하고 있다. 또한, 이전에 관찰된 악성코드 인스턴스에 대한 응답을 활용하는 능력을 활성화하여 빠른 대책 및 개발을 할 수 있도록 할 수도 있다.
이 때, MAEC는 사이버 관측(Cyber Observable Expression, CybOX), 구조화 된 위협 정보(Structured Threat Information, STIX), 위협 정보 교환(Threat Information Exchange, TAXII), 취약성(Vulnerabilities, CVE), 소프트웨어 약점 유형(Software Weakness Types, CWE), 평가 언어(Assessment Language, OVAL) 및 플랫폼(Platform, CPE) 등의 프로젝트와 관련되어 있으며, MAEC는 CybOX에 종속적으로 움직일 수 있다.
또한, 본 발명의 일실시예에 따른 행위 정규화를 통한 악성코드 고속탐지 및 시각화 방법은 는 정규화된 행위기반 탐지규칙을 기준으로 정규화된 행위로그를 비교하여 악성코드를 고속탐지하고, 기설정된 정규화 테이블에 정의된 인덱스 간 링크를 생성하여 시각화 정보를 제공한다(S1130).
이 때, 제2 연관성 테이블을 기준으로 두 개의 연관성 테이블들을 비교하고, 제1 연관성 테이블에 제2 연관성 테이블과 일치하는 인덱스 쌍이 존재하는 경우에 검사대상 프로그램에 악성코드가 존재하는 것으로 판단할 수 있다.
즉, 행위로그에 포함된 문자열과 행위기반 탐지규칙에 포함된 문자열을 비교하는 것이 아니라, 행위기반 탐지규칙에서 발견되는 액션 인덱스와 객체유형 인덱스 간의 연관관계에 상응하는 인덱스 쌍을 기준으로 검사대상 프로그램의 행위로그에도 동일한 연관관계를 갖는 인덱스 쌍이 존재하는지 탐색하는 과정을 수행할 수 있다.
이 때, 행위기반 탐지규칙에 의해 생성되는 제2 연관성 테이블은 사전에 관찰된 악성코드들의 행위를 기반으로 생성된 것일 수 있다. 따라서, 검사대상 프로그램의 행위로그에 의해 생성되는 제1 연관성 테이블에 제2 연관성 테이블에 존재하는 인덱스 쌍과 일치하는 인덱스 쌍이 존재한다면, 검사대상 프로그램에는 사전에 관찰된 악성코드 중 적어도 하나가 존재하는 것으로 판단할 수 있다.
이 때, 행위기반 탐지규칙에 의한 제2 연관성 테이블을 기준으로 제1 연관성 테이블을 탐색하기 때문에 검사대상 프로그램의 행위로그를 모두 탐색하지 않고 행위기반 탐지규칙에 부합하는 행위로그만 고속으로 탐지해낼 수 있다.
또한, 시각화 정보는, 예를 들어, 정규화된 행위로그에 상응하는 액션 인덱스와 그에 매칭되는 객체유형 인덱스 간의 링크를 생성하여 제공될 수 있다. 또한, 정규화된 행위기반 탐지규칙에 상응하는 액션 인덱스와 그에 매칭되는 객체유형 인덱스 간의 링크를 생성하여 제공될 수도 있다.
이 때, 본 발명과 같이 시각화 정보를 제공함으로써 기계가 아닌 사람에 의해 악성코드의 인지적 탐지를 수행할 수 있도록 지원할 수도 있다.
이 때, 링크는 액션 인덱스를 나열한 형태인 액션 인덱스 배열과 객체유형 인덱스를 나열한 형태인 객체유형 인덱스 배열 사이에서 연관관계가 있는 인덱스를 연결한 것에 상응할 수 있다. 예를 들어, 정규화된 행위로그에 대한 액션 인덱스 배열과 객체유형 인덱스 배열 간에 링크가 생성되고, 정규화된 행위기반 탐지규칙에 대한 액션 인덱스 배열과 객체유형 인덱스 배열 간에 링크가 생성될 수 있다.
이 때, 제1 연관성 테이블에 상응하게 액션 인덱스와 객체유형 인덱스를 링크시켜서 제1 링크를 시각적으로 표시하고, 제2 연관성 테이블에 상응하게 액션 인덱스와 객체유형 인덱스를 링크시켜서 제2 링크를 시각적으로 표시할 수 있다.
따라서, 정규화 단계가 수행되어 각각의 연관성 테이블에 테이블 값이 입력되는 경우에 입력된 테이블 값에 상응하게 링크를 생성할 수 있다.
이 때, 제1 링크와 제2 링크 사이에 일치하는 링크를 시각적으로 제공할 수 있다. 즉, 제1 링크와 제2 링크 사이에 일치하는 링크가 존재하는 것을 시각적으로 제공함으로써 보다 신속하고 수월한 악성코드의 인지적 탐지가 수행될 수 있도록 지원할 수 있다.
이 때, 액션 인덱스와 객체유형 인덱스 간의 연관관계에 상응하는 발생빈도에 따라 링크의 두께 및 링크의 색상 중 적어도 하나를 시각적으로 다르게 표시할 수 있다.
예를 들어, 발생빈도가 높을수록 링크의 두께를 두껍게 나타낼 수 있다. 또는, 발생빈도에 따라 링크의 색상을 사전에 설정해두고, 발생빈도에 상응하는 색상으로 링크를 표시할 수도 있다.
이 때, 액션 정의 테이블은 액션 인덱스를 파일 액션(FileAction), 레지스트리 액션(RegistryAction) 등의 행위그룹으로 분류하여 행위그룹별로 시각적으로 달리 나타낼 수 있다.
예를 들어, 액션 정의 테이블에서 파일 액션에 상응하는 액션 인덱스는 음영을 주고 레지스트리 액션에 상응하는 액션 인덱스는 음영 없이 표시함으로써 파일 액션 인덱스와 레지스트리 액션 인덱스가 쉽게 구별되도록 표시할 수 있다.
다른 예를 들어, 액션 정의 테이블에 포함된 액션 인덱스들에 각각 파일 액션 인덱스인지 레지스트리 액션 인덱스인지 분류명칭을 기재함으로써 파일 액션 인덱스와 레지스트리 액션 인덱스가 쉽게 구별되도록 표시할 수도 있다.
이와 같이 파일 액션 인덱스와 레지스트리 액션 인덱스를 쉽게 구별할 수 있도록 시각화함으로써 사람의 인지적인 능력을 통해 직관적인 탐지를 수행하는데 도움을 줄 수 있다.
이와 같이, 본 발명은 정규화된 데이터를 기반으로 액션과 객체유형 수준에서 악성코드를 탐지하기 때문에, 대량의 행위로그에 대해서 고속으로 탐지를 수행하되, 향후 정밀한 탐지를 위해 수행되는 1차적인 탐지 필터링을 수행하는 것으로 볼 수 있다. 즉, 본 발명에 따른 탐지는 검사대상 프로그램에서 동작하는 객체의 파일 크기 및 파일 경로와 같은 세부정보까지 정밀 탐지하는 것이 아니라, 대량의 행위로그들 중에서 행위기반 탐지규칙에 부합하는 행위로그가 존재하는지 여부를 탐지하는데 그 목적이 있다.
또한, 도 11에는 도시하지 아니하였으나, 본 발명의 일실시예에 따른 행위 정규화를 통한 악성코드 고속탐지 및 시각화 방법은 상술한 바와 같이 본 발명의 일실시예에 따른 악성코드 고속탐지 및 시각화 과정에서 발생되는 다양한 정보를 저장한다.
이와 같은 악성코드 고속탐지 및 시각화 방법을 통해 악성코드 탐지 시 특정 탐지규칙에 일치하는 행위로그를 고속으로 검색하여 실시간 탐지를 가능하게 할 수 있다.
또한, 프로그램의 행위로그를 시각화하여 제공함으로써 인간의 인지능력으로 악성코드 존재여부를 판단할 수 있도록 지원할 수 있다.
도 12는 본 발명의 일실시예에 따른 악성코드 고속탐지 및 시각화 방법 중 고속탐지 과정을 상세하게 나타낸 동작 흐름도이다.
도 12를 참조하면, 본 발명의 일실시예에 따른 악성코드 고속탐지 및 시각화 방법 중 고속탐지 과정은 먼저 검사대상 프로그램을 행위분석장치로 입력하여 행위로그를 추출할 수 있다(S1210).
이 때, 도 12에서는 악성코드 고속탐지 및 시각화 장치가 직접 행위로그를 추출하는 것으로 작성하였으나, 경우에 따라 검사대상 프로그램의 행위로그를 추출하는 과정은 악성코드 고속탐지 및 시각화 장치의 외부에서 수행될 수도 있다.
이 후, 행위로그와 행위기반 탐지규칙을 각각 액션 정의 테이블과 객체유형 정의 테이블의 인덱스의 집합으로 표현하여 정규화를 수행할 수 있다(S1220).
이 후, 정규화된 행위로그에 대한 제1 연관성 테이블 및 정규화된 행위기반 탐지규칙에 대한 제2 연관성 테이블을 생성할 수 있다(S1230).
이 때, 연관성 테이블은 액션 인덱스와 객체유형 인덱스 간의 연관관계에 따른 인덱스 쌍과 함께 해당 인덱스 쌍에 상응하는 행위가 발생하는 빈도수를 매칭하여 저장할 수 있다.
이 후, 제2 연관성 테이블을 기준으로 두 개의 연관성 테이블들을 비교할 수 있다(S1240).
이 후, 두 개의 연관성 테이블들 간에 일치하는 인덱스 쌍이 존재하는지 여부를 판단할 수 있다(S1245).
단계(S1245)의 판단결과 일치하는 인덱스 쌍이 존재하면, 검사대상 프로그램에 악성코드가 존재하는 것으로 판단할 수 있다(S1250).
또한, 단계(S1245)의 판단결과 일치하는 인덱스 쌍이 존재하지 않으면, 검사대상 프로그램에 악성코드가 존재하지 않는 것으로 판단할 수 있다(S1260).
도 13은 본 발명의 일실시예에 따른 악성코드 고속탐지 및 시각화 방법 중 시각화 과정을 상세하게 나타낸 동작 흐름도이다.
도 13을 참조하면, 본 발명의 일실시예에 따른 악성코드 고속탐지 및 시각화 방법 중 시각화 과정은 먼저 제1 연관성 테이블에 상응하게 액션 인덱스와 객체유형 인덱스를 링크시킨다(S1310).
이 때, 제1 링크는 정규화된 행위로그에 대한 액션 인덱스 배열과 정규화된 행위로그에 대한 객체유형 인덱스 배열 사이에서 연관관계가 있는 인덱스를 연결한 것에 상응할 수 있다.
또한, 제2 연관성 테이블에 상응하게 액션 인덱스와 객체유형 인덱스를 링크시킨다(S1320).
이 때, 제2 링크는 정규화된 행위기반 탐지규칙에 대한 액션 인덱스 배열과 정규화된 행위기반 탐지규칙에 대한 객체유형 인덱스 배열 사이에서 연관관계가 있는 인덱스를 연결한 것에 상응할 수 있다.
이 후, 제1 링크, 제2 링크와 함께 제1 링크 및 제2 링크 사이에 일치하는 링크를 시각적 정보로 제공한다(S1330).
이 때, 일치하는 링크가 없는 경우에는 제1 링크와 제2 링크만을 제공할 수도 있다.
이상에서와 같이 본 발명에 따른 행위 정규화를 통한 악성코드 고속탐지 및 시각화 방법 및 이를 이용한 장치는 상기한 바와 같이 설명된 실시예들의 구성과 방법이 한정되게 적용될 수 있는 것이 아니라, 상기 실시예들은 다양한 변형이 이루어질 수 있도록 각 실시예들의 전부 또는 일부가 선택적으로 조합되어 구성될 수도 있다.
100: 악성코드 고속탐지 및 시각화 장치
110: 검사대상 프로그램 111: 행위로그
112: 행위기반 탐지규칙 120: 행위분석장치
210: 로그 추출부 220: 정규화부
230: 악성코드 탐지부 240: 시각화부
250: 저장부 310: 제1 연관성 테이블 생성부
320: 제2 연관성 테이블 생성부 810, 820: 테이블 값
901, 902, 903: 링크 910: 액션 인덱스 배열
920: 객체유형 인덱스 배열 1010: 제1 링크
1020: 제2 링크 1030: 일치하는 링크

Claims (18)

  1. 검사대상 프로그램의 행위로그를 추출하는 단계;
    기설정된 정규화 테이블에 정의된 인덱스를 이용하여 상기 행위로그와 행위기반 탐지규칙을 각각 정규화하되, 액션 정의 테이블에 정의된 액션 인덱스와 객체유형 정의 테이블에 정의된 객체유형 인덱스 간의 연관관계를 알 수 있는 인덱스의 집합으로 표현하여 정규화하는 단계;
    정규화된 행위기반 탐지규칙을 기준으로 정규화된 행위로그를 비교하여 악성코드를 고속탐지하는 단계; 및
    상기 기설정된 정규화 테이블에 정의된 인덱스 간 링크를 생성하여 시각화 정보를 제공하는 단계
    를 포함하고,
    상기 시각화 정보를 제공하는 단계는
    상기 정규화된 행위로그에 해당하는 액션 인덱스와 객체유형 인덱스를 선으로 연결하고, 상기 정규화된 행위기반 탐지규칙에 해당하는 액션 인덱스와 객체유형 인덱스를 선으로 연결하는 것을 특징으로 하는 악성코드 고속탐지 및 시각화 방법.
  2. 삭제
  3. 청구항 1에 있어서,
    상기 정규화하는 단계는
    상기 정규화된 행위로그에 상응하는 액션 인덱스와 객체유형 인덱스 간의 연관관계를 정의한 제1 연관성 테이블을 생성하는 단계; 및
    상기 정규화된 행위기반 탐지규칙에 상응하는 액션 인덱스와 객체유형 인덱스 간의 연관관계를 정의한 제2 연관성 테이블을 생성하는 단계를 포함하는 것을 특징으로 하는 악성코드 고속탐지 및 시각화 방법.
  4. 청구항 3에 있어서,
    상기 고속탐지하는 단계는
    상기 제2 연관성 테이블을 기준으로 두 개의 연관성 테이블들을 비교하고, 상기 제1 연관성 테이블에 상기 제2 연관성 테이블과 일치하는 인덱스 쌍이 존재하는 경우에 상기 검사대상 프로그램에 상기 악성코드가 존재하는 것으로 판단하는 것을 특징으로 하는 악성코드 고속탐지 및 시각화 방법.
  5. 청구항 4에 있어서,
    상기 시각화 정보를 제공하는 단계는
    상기 제1 연관성 테이블에 상응하게 상기 액션 인덱스와 상기 객체유형 인덱스를 링크시켜서 제1 링크를 시각적으로 표시하고, 상기 제2 연관성 테이블에 상응하게 상기 액션 인덱스와 상기 객체유형 인덱스를 링크시켜서 제2 링크를 시각적으로 표시하는 것을 특징으로 하는 악성코드 고속탐지 및 시각화 방법.
  6. 청구항 5에 있어서,
    상기 시각화 정보를 제공하는 단계는
    상기 제1 링크와 제2 링크 사이에 일치하는 링크를 시각적으로 제공하는 것을 특징으로 하는 악성코드 고속탐지 및 시각화 방법.
  7. 청구항 5에 있어서,
    상기 시각화 정보를 제공하는 단계는
    상기 액션 인덱스와 상기 객체유형 인덱스 간의 연관관계에 상응하는 발생빈도에 따라 링크의 두께 및 링크의 색상 중 적어도 하나를 시각적으로 다르게 표시하는 것을 특징으로 하는 악성코드 고속탐지 및 시각화 방법.
  8. 청구항 1에 있어서,
    상기 기설정된 정규화 테이블은
    악성코드 분석결과에 대한 표준 언어인 MAEC(Malware Attribute Enumeration and Characterization) 및 CybOX(Cyber Observable Expression) 중 적어도 하나를 기반으로 정의된 인덱스를 포함하는 것을 특징으로 하는 악성코드 고속탐지 및 시각화 방법.
  9. 청구항 8에 있어서,
    상기 액션 정의 테이블은
    상기 액션 인덱스를 파일 액션(FileAction), 레지스트리 액션(RegistryAction) 등의 행위그룹으로 분류하여 행위그룹별로 시각적으로 달리 나타내는 것을 특징으로 하는 악성코드 고속탐지 및 시각화 방법.
  10. 검사대상 프로그램의 행위로그를 추출하는 로그 추출부;
    기설정된 정규화 테이블에 정의된 인덱스를 이용하여 상기 행위로그와 행위기반 탐지규칙을 각각 정규화하되, 액션 정의 테이블에 정의된 액션 인덱스와 객체유형 정의 테이블에 정의된 객체유형 인덱스 간의 연관관계를 알 수 있는 인덱스 집합으로 표현하여 정규화하는 정규화부;
    정규화된 행위기반 탐지규칙을 기준으로 정규화된 행위로그를 비교하여 악성코드를 고속탐지하는 악성코드 탐지부; 및
    상기 기설정된 정규화 테이블에 정의된 인덱스 간 링크를 생성하여 시각화 정보를 제공하는 시각화부
    를 포함하고,
    상기 시각화부는
    상기 정규화된 행위로그에 해당하는 액션 인덱스와 객체유형 인덱스를 선으로 연결하고, 상기 정규화된 행위기반 탐지규칙에 해당하는 액션 인덱스와 객체유형 인덱스를 선으로 연결하는 것을 특징으로 하는 악성코드 고속탐지 및 시각화 장치.
  11. 삭제
  12. 청구항 10에 있어서,
    상기 정규화부는
    상기 정규화된 행위로그에 상응하는 액션 인덱스와 객체유형 인덱스 간의 연관관계를 정의한 제1 연관성 테이블을 생성하는 제1 연관성 테이블 생성부; 및
    상기 정규화된 행위기반 탐지규칙에 상응하는 액션 인덱스와 객체유형 인덱스 간의 연관관계를 정의한 제2 연관성 테이블을 생성하는 제2 연관성 테이블 생성부를 포함하는 것을 특징으로 하는 악성코드 고속탐지 및 시각화 장치.
  13. 청구항 12에 있어서,
    상기 악성코드 탐지부는
    상기 제2 연관성 테이블을 기준으로 두 개의 연관성 테이블들을 비교하고, 상기 제1 연관성 테이블에 상기 제2 연관성 테이블과 일치하는 인덱스 쌍이 존재하는 경우에 상기 검사대상 프로그램에 상기 악성코드가 존재하는 것으로 판단하는 것을 특징으로 하는 악성코드 고속탐지 및 시각화 장치.
  14. 청구항 13에 있어서,
    상기 시각화부는
    상기 제1 연관성 테이블에 상응하게 상기 액션 인덱스와 상기 객체유형 인덱스를 링크시켜서 제1 링크를 시각적으로 표시하고, 상기 제2 연관성 테이블에 상응하게 상기 액션 인덱스와 상기 객체유형 인덱스를 링크시켜서 제2 링크를 시각적으로 표시하는 것을 특징으로 하는 악성코드 고속탐지 및 시각화 장치.
  15. 청구항 14에 있어서,
    상기 시각화부는
    상기 제1 링크와 제2 링크 사이에 일치하는 링크를 시각적으로 제공하는 것을 특징으로 하는 악성코드 고속탐지 및 시각화 장치.
  16. 청구항 14에 있어서,
    상기 시각화부는
    상기 액션 인덱스와 상기 객체유형 인덱스 간의 연관관계에 상응하는 발생빈도에 따라 링크의 두께 및 링크의 색상 중 적어도 하나를 시각적으로 다르게 표시하는 것을 특징으로 하는 악성코드 고속탐지 및 시각화 장치.
  17. 청구항 10에 있어서,
    상기 기설정된 정규화 테이블은
    악성코드 분석결과에 대한 표준 언어인 MAEC(Malware Attribute Enumeration and Characterization) 및 CybOX(Cyber Observable Expression) 중 적어도 하나를 기반으로 정의된 인덱스를 포함하는 것을 특징으로 하는 악성코드 고속탐지 및 시각화 장치.
  18. 청구항 17에 있어서,
    상기 액션 정의 테이블은
    상기 액션 인덱스를 파일 액션(FileAction), 레지스트리 액션(RegistryAction) 등의 행위그룹으로 분류하여 행위그룹별로 시각적으로 달리 나타내는 것을 특징으로 하는 악성코드 고속탐지 및 시각화 장치.
KR1020160080973A 2016-06-28 2016-06-28 행위 정규화를 통한 악성코드 고속탐지 및 시각화 방법 및 이를 이용한 장치 KR101818006B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020160080973A KR101818006B1 (ko) 2016-06-28 2016-06-28 행위 정규화를 통한 악성코드 고속탐지 및 시각화 방법 및 이를 이용한 장치

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020160080973A KR101818006B1 (ko) 2016-06-28 2016-06-28 행위 정규화를 통한 악성코드 고속탐지 및 시각화 방법 및 이를 이용한 장치

Publications (2)

Publication Number Publication Date
KR20180001896A KR20180001896A (ko) 2018-01-05
KR101818006B1 true KR101818006B1 (ko) 2018-02-21

Family

ID=61001976

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020160080973A KR101818006B1 (ko) 2016-06-28 2016-06-28 행위 정규화를 통한 악성코드 고속탐지 및 시각화 방법 및 이를 이용한 장치

Country Status (1)

Country Link
KR (1) KR101818006B1 (ko)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102118187B1 (ko) * 2018-05-25 2020-06-02 국방과학연구소 사이버 위협정보 분류 방법 및 장치
KR102091787B1 (ko) * 2018-05-29 2020-03-20 고려대학교 산학협력단 파일 시스템에서의 랜섬웨어 탐지 방법 및 그 장치
KR102162995B1 (ko) * 2018-11-16 2020-10-07 주식회사 베일리테크 가상 및 리얼 머신 기반의 악성코드 탐지 시스템 및 방법
KR102189127B1 (ko) * 2018-11-30 2020-12-10 주식회사 리얼타임테크 행위 기반 룰 처리 장치 및 그 처리 방법
KR102308477B1 (ko) * 2020-12-07 2021-10-06 주식회사 샌즈랩 악성 코드의 악성 행위 특징 정보를 생성하는 방법

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
MAEC Language version 4.1 2015.11.05.(http://maec.mitre.org).*

Also Published As

Publication number Publication date
KR20180001896A (ko) 2018-01-05

Similar Documents

Publication Publication Date Title
KR101818006B1 (ko) 행위 정규화를 통한 악성코드 고속탐지 및 시각화 방법 및 이를 이용한 장치
US9665713B2 (en) System and method for automated machine-learning, zero-day malware detection
Mosli et al. Automated malware detection using artifacts in forensic memory images
EP3139297B1 (en) Malware determination device, malware determination system, malware determination method, and program
KR102665757B1 (ko) 악성 스크립트 탐지 장치 및 방법
CN102339252B (zh) 基于xml中间模型以及缺陷模式匹配的静态检测系统
CN111523117A (zh) 一种安卓恶意软件检测和恶意代码定位系统及方法
JP6708781B2 (ja) 選択装置、選択方法及び選択プログラム
US11170113B2 (en) Management of security vulnerabilities
KR20170108330A (ko) 악성 코드 탐지 장치 및 방법
Perry et al. No-doubt: Attack attribution based on threat intelligence reports
US10289843B2 (en) Extraction and comparison of hybrid program binary features
CN112307473A (zh) 一种基于Bi-LSTM网络和注意力机制的恶意JavaScript代码检测模型
US20120072988A1 (en) Detection of global metamorphic malware variants using control and data flow analysis
KR102151318B1 (ko) 이종 정보 네트워크 기반 악성 코드 탐지 방법 및 장치
CN111368303B (zh) 一种PowerShell恶意脚本的检测方法及装置
KR102192196B1 (ko) Ai 기반 머신러닝 교차 검증 기법을 활용한 악성코드 탐지 장치 및 방법
CN111651768B (zh) 计算机二进制程序的链接库函数名识别方法及装置
CN107908405A (zh) 代码静态审核装置及方法
JP2017004123A (ja) 判定装置、判定方法および判定プログラム
CN107491691A (zh) 一种基于机器学习的远程取证工具安全分析系统
CN112799722A (zh) 命令识别方法、装置、设备和存储介质
CN110719278A (zh) 一种网络入侵数据的检测方法、装置、设备及介质
JP6416588B2 (ja) ソースコード検証システム
JP7439916B2 (ja) 学習装置、検出装置、学習方法、検出方法、学習プログラムおよび検出プログラム

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant