KR101851233B1 - 파일 내 포함된 악성 위협 탐지 장치 및 방법, 그 기록매체 - Google Patents

파일 내 포함된 악성 위협 탐지 장치 및 방법, 그 기록매체 Download PDF

Info

Publication number
KR101851233B1
KR101851233B1 KR1020180017698A KR20180017698A KR101851233B1 KR 101851233 B1 KR101851233 B1 KR 101851233B1 KR 1020180017698 A KR1020180017698 A KR 1020180017698A KR 20180017698 A KR20180017698 A KR 20180017698A KR 101851233 B1 KR101851233 B1 KR 101851233B1
Authority
KR
South Korea
Prior art keywords
file
malicious
code
active content
threat
Prior art date
Application number
KR1020180017698A
Other languages
English (en)
Inventor
이상준
노수현
Original Assignee
(주)지란지교시큐리티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)지란지교시큐리티 filed Critical (주)지란지교시큐리티
Priority to KR1020180017698A priority Critical patent/KR101851233B1/ko
Application granted granted Critical
Publication of KR101851233B1 publication Critical patent/KR101851233B1/ko
Priority to PCT/KR2018/005181 priority patent/WO2019160195A1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Computer And Data Communications (AREA)

Abstract

본 발명은 다수개의 악성코드 시그니처가 저장된 시그니처 저장부; 악성 위협 여부를 판별할 파일을 구성하는 콘텐츠 중 상기 시그니처 저장부에 저장된 악성코드 시그니처를 포함하는 콘텐츠가 존재할 경우에 악성 위협파일로 판단하는 제1 판단부; 상기 제1 판단부에서 악성 위협파일로 판단되지 않은 파일에 한해서 파일을 구성하는 콘텐츠 중 액티브 콘텐츠를 추출하는 추출부; 상기 추출부에서 추출된 액티브 콘텐츠의 구조를 분석하여 액티브 콘텐츠 간의 유사정도에 따라 유사한 액티브 콘텐츠(이하, ‘유사 액티브 콘텐츠’라 칭함)들을 구분하고, 각각의 파일에 포함되는 유사 액티브 콘텐츠 중 특정 유사 액티브 콘텐츠가 포함된 빈도가 높을 경우에 상기 특정 유사 액티브 콘텐츠에 대한 악성 위협 여부를 판별하며, 악성 위협으로 판별된 특정 유사 액티브 콘텐츠를 포함한 파일을 악성 위협파일로 판단하는 제2 판단부; 및 상기 제2 판단부에서 판단된 악성 위협파일에 대한 악성코드 시그니처를 생성하여 상기 시그니처 저장부에 제공하는 시그니처 생성부;를 포함하는 파일 내 포함된 악성 위협 탐지 장치 및 이를 이용한 파일 내 포함된 악성 위협 탐지 방법을 제공한다.

Description

파일 내 포함된 악성 위협 탐지 장치 및 방법, 그 기록매체 {APPARATUS AND METHOD FOR DETECTION OF MALICIOUS THREATS INCLUDED IN FILE, RECORDING MEDIUM THEREOF}
본 발명은 파일 내 포함된 악성 위협을 탐지하는 기술에 관련된다.
악성코드는 컴퓨터 시스템에서 사용자의 의사에 반하여 악의적 활동이 수행될 수 있도록 설계된 소프트웨어로서, 자기 복제 능력과 감염 대상 유무에 따라 바이러스(virus), 웜(worm), 트로이목마(trojan horse) 등으로 분류될 수 있다. 이러한 악성코드는 과거에 비해 그 수가 급격히 증가하는 추세인 바, 효과적인 악성코드 진단 및 치료의 필요성도 점점 더 커지고 있다.
이러한 악성코드 진단 및 치료를 위한 기술의 일환으로, 대한민국 공개특허공보 제10-2009-0005933호(출원일 : 2007.09.07., 공개일: 2009.01.14., 이하, ‘종래기술’이라 칭함)에 특정 컴퓨터 프로그램의 행동으로 악성인지 여부를 판단하는 것이 가능하도록, 특정 컴퓨터 프로그램의 행동을 모델링 하는 기술이 제시된 바 있다.
그러나, 종래기술은 알려진 악성코드에 대한 프로그램의 행동패턴을 데이터베이스화하기 위하여 피해를 입은 피해자들의 신고를 통해 해당 악성 프로그램에 대한 데이터를 수집하고, 그 이후에야 추가적인 피해를 막는 형태로 이루어지기에, 피해자의 신고가 접수되기 전까진 일정한 수의 피해자가 발생할 수밖에 없고, 새로운 패턴을 나타내는 악성코드에 대해서는 진단 및 치료가 불가능한 문제점이 존재하였다.
최근에는 기업 및 개인의 보안인식이 높아지면서 기존의 실행파일 형태의 악성 위협 공격에 대한 성공률이 낮아지고 있으나, 이에 공격자들은 기존 종래기술과 같은 보안환경을 무력화시키거나, 우회하기 위하여 알려지지 않은 방식으로 지능화된 공격을 시도하고 있는 실정이다. 이러한 공격은 마이크로소프트 오피스 계열, 한글 계열 등의 문서파일과 같은 파일의 취약점을 이용하여 파일 내 악성코드를 삽입하는 공격까지 이루어지고 있다.
특히, 문서파일을 통한 공격은 파일 자체가 업무에서 이용 빈도가 높기 때문에 수신자는 별다른 의심 없이 다운로드하거나 실행할 수 있어 항상 위협에 노출될 수밖에 없다.
이때, 파일을 통한 공격은 매크로(macro), 자바스크립트(javascript) 등과 같이 파일 포맷에서 제공되는 기본 기능을 이용하여 해당 기능이 실행될 경우에 외부 링크를 통해 악성코드를 다운받기 때문에 파일 내에 악성코드가 포함되어 있지 않은 경우도 있어 알려진 악성코드를 기반으로 악성 위협을 탐지하는 보안환경에서는 이를 탐지하는데 한계가 존재한다.
또한, 샌드박스(sandbox) 기반의 행위분석 역시 악성코드가 포함된 파일이 한 번은 실행되어야 의심행위를 분석할 수 있기 때문에 제로데이(zero day) 공격, 랜섬웨어(ransomware) 공격 등은 막기 어렵다. 그리고, 특정 이벤트에서 실행되거나 지연 실행 등의 우회 방법이 지속적으로 등장하고 있어, 알려진 악성코드 기반으로 방어하는 기존의 보안환경에 대한 문제가 계속적으로 언급되고 있는 실정이다.
본 발명은 상술한 문제점을 해결하기 위한 것으로 파일 기반의 보안위협에 대응할 수 있도록 알려진 악성코드뿐 아니라 알려지지 않은 악성코드에 대한 위협정보를 구축하고, 이에 대한 피해를 차단하여 악성코드에 의한 감염으로부터 사용자 단말기를 보호 가능한 기술을 제공하는데 그 목적이 있다.
이러한 목적을 달성하기 위하여 본 발명의 일 실시예에 따른 파일 내 포함된 악성 위협 탐지 장치는 다수개의 악성코드 시그니처가 저장된 시그니처 저장부; 악성 위협 여부를 판별할 파일을 구성하는 콘텐츠 중 상기 시그니처 저장부에 저장된 악성코드 시그니처를 포함하는 콘텐츠가 존재할 경우에 악성 위협파일로 판단하는 제1 판단부; 상기 제1 판단부에서 악성 위협파일로 판단되지 않은 파일에 한해서 파일을 구성하는 콘텐츠 중 액티브 콘텐츠를 추출하는 추출부; 상기 추출부에서 추출된 액티브 콘텐츠의 구조를 분석하여 액티브 콘텐츠 간의 유사정도에 따라 유사한 액티브 콘텐츠(이하, ‘유사 액티브 콘텐츠’라 칭함)들을 구분하고, 각각의 파일에 포함되는 유사 액티브 콘텐츠 중 특정 유사 액티브 콘텐츠가 포함된 빈도가 높을 경우에 상기 특정 유사 액티브 콘텐츠에 대한 악성 위협 여부를 판별하며, 악성 위협으로 판별된 특정 유사 액티브 콘텐츠를 포함한 파일을 악성 위협파일로 판단하는 제2 판단부; 및 상기 제2 판단부에서 판단된 악성 위협파일에 대한 악성코드 시그니처를 생성하여 상기 시그니처 저장부에 제공하는 시그니처 생성부;를 포함한다.
여기서, 상기 제2 판단부는 상기 유사 액티브 콘텐츠를 포함하는 파일 간을 그룹별로 분류하고, 하나의 그룹에 속한 파일들 중 적어도 어느 하나의 파일에서 악성 위협이 판별될 경우에 그룹에 속한 파일들을 악성 위협파일로 판단한다.
그리고, 상기 제1 판단부 및 제2 판단부에서 판단된 악성 위협파일에 대하여 보안 조치를 수행하는 파일 처리부; 를 더 포함한다.
또한, 상기 제2 판단부는 액티브 콘텐츠의 소스코드에서 상기 소스코드에 포함된 코드, 코드의 길이, 난독화된 코드의 존재 유무, 명령어 및 URL 중 적어도 어느 하나가 매칭될 경우에 매칭되는 소스코드를 가지는 액티브 콘텐츠 간을 유사 액티브 콘텐츠로 구분한다.
한편, 이러한 목적을 달성하기 위하여 본 발명의 일 실시예에 따른 파일 내 포함된 악성 위협 탐지 장치에 의한 파일 내 포함된 악성 위협 탐지 방법은 시그니처 저장부에 다수개의 악성코드 시그니처를 저장하는 시그니처 저장단계; 악성 위협 여부를 판별할 파일을 구성하는 콘텐츠 중 상기 시그니처 저장부에 저장된 악성코드 시그니처를 포함하는 콘텐츠가 존재할 경우에 악성 위협파일로 판단하는 제1 판단단계; 상기 제1 판단단계에서 악성 위협파일로 판단되지 않은 파일에 한해서 파일을 구성하는 콘텐츠 중 액티브 콘텐츠를 추출하는 추출단계; 상기 추출단계에서 추출된 액티브 콘텐츠의 구조를 분석하여 액티브 콘텐츠 간의 유사정도에 따라 유사한 액티브 콘텐츠(이하, ‘유사 액티브 콘텐츠’라 칭함)들을 구분하고, 각각의 파일에 포함되는 유사 액티브 콘텐츠 중 특정 유사 액티브 콘텐츠가 포함된 빈도가 높을 경우에 상기 특정 유사 액티브 콘텐츠에 대한 악성 위협 여부를 판별하며, 악성 위협으로 판별된 특정 유사 액티브 콘텐츠를 포함한 파일을 악성 위협파일로 판단하는 제2 판단단계; 및 상기 제2 판단단계에서 판단된 악성 위협파일에 대한 악성코드 시그니처를 생성하여 상기 시그니처 저장부에 제공하는 시그니처 생성단계;를 포함한다.
여기서, 상기 제2 판단단계는 상기 유사 액티브 콘텐츠를 포함하는 파일 간을 그룹별로 분류하고, 하나의 그룹에 속한 파일들 중 적어도 어느 하나의 파일에서 악성 위협이 판별될 경우에 그룹에 속한 파일들을 악성 위협파일로 판단한다.
그리고, 상기 제1 판단단계 및 제2 판단단계에서 판단된 악성 위협파일에 대하여 보안 조치를 수행하는 파일 처리단계; 를 더 포함한다.
또한, 상기 제2 판단단계는 액티브 콘텐츠의 소스코드에서 상기 소스코드에 포함된 코드, 코드의 길이, 난독화된 코드의 존재 유무, 명령어 및 URL 중 적어도 어느 하나가 매칭될 경우에 매칭되는 소스코드를 가지는 액티브 콘텐츠 간을 유사 액티브 콘텐츠로 구분한다.
아울러, 이러한 목적을 달성하기 위하여 본 발명의 일 실시예에 따른 컴퓨터 판독 가능 기록매체는 상술한 파일 내 포함된 악성 위협 탐지 장치에 의한 파일 내 포함된 악성 위협 탐지 방법 중 어느 하나의 방법을 수행하는 프로그램이 기록되어 있다.
이상에서 설명한 바와 같이 본 발명에 의하면, 다음과 같은 효과가 있다.
첫째, 국내외 보안 벤더에서 제공하는 보안 솔루션에 의해 탐지되는 악성코드 시그니처를 제공받아 악성 위협여부를 판별하고자 하는 파일에 대하여 기존에 공지된 악성 위협 포함 여부를 일차적으로 필터링하고, 필터링 되지 않은 파일의 경우, 액티브 콘텐츠를 추출한 뒤 액티브 콘텐츠의 유사성 분석을 통해 유사 액티브 콘텐츠를 포함하는 파일별로 그룹화하며, 다수개의 파일 내 높은 빈도로 포함된 유사 액티브 콘텐츠의 악성여부 판별을 통해 악성으로 판별된 액티브 콘텐츠를 포함하는 파일 및 해당 파일이 속한 그룹의 파일들을 악성 위협 파일로 판단하면서 해당 악성 위협을 새로운 악성코드 시그니처로 생성한다. 이때, 생성된 새로운 악성코드 시그니처는 지속적으로 시그니처 저장부에 업데이트되어 알려진 악성 위협뿐만 아니라 알려지지 않은 악성 위협에 대한 위협정보를 구축하고, 악성 위협 탐지율을 높일 수 있다.
둘째, 하루에 생성되는 신종 악성코드에 비해 국내외 보안 벤더에서 제공하는 보안 솔루션에 의해 추가되는 악성코드 시그니처는 턱없이 부족하나 파일 내 액티브 콘텐츠의 유사성 분석을 통해 새로운 악성 위협을 탐지하고, 이를 새로운 악성코드 시그니처로 지속적으로 업데이트함에 따라 사용자 단말기가 알려지지 않은 악성코드로부터 감염될 가능성을 최소화할 수 있다.
도1은 본 발명의 일 실시예에 따른 파일 내 포함된 악성 위협 탐지 장치가 적용된 악성 위협 탐지 시스템에 대한 개략도이다.
도2는 본 발명의 일 실시예에 따른 파일 내 포함된 악성 위협 탐지 장치가 적용된 악성 위협 탐지 시스템에 대한 개략도이다.
도3은 본 발명의 일 실시예에 따른 파일 내 포함된 악성 위협 탐지 장치를 도시한 블록도이다.
도4는 도3의 블록도에 따른 파일 내 포함된 악성 위협 탐지장치를 설명하는데 참조하기 위한 참조그림이다.
도5는 본 발명의 일 실시예에 따른 파일 내 포함된 악성 위협 탐지 장치에 의한 파일 내 포함된 악성 위협 탐지 방법을 도시한 흐름도이다.
본 발명의 바람직한 실시 예에 대하여 첨부된 도면을 참조하여 더 구체적으로 설명하되, 이미 주지되어진 기술적 부분에 대해서는 설명의 간결함을 위해 생략하거나 압축하기로 한다.
<악성 위협 탐지 시스템에 대한 개략적인 설명>
도1 및 도2는 본 발명의 일 실시예에 따른 파일 내 포함된 악성 위협 탐지 장치(이하, ‘악성 위협 탐지 장치’라 칭함)가 적용된 악성 위협 탐지 시스템에 대한 다양한 예를 도시한 개략도이다.
도1을 참조하면, 악성 위협 탐지 시스템은 사용자 단말기(200), 보안서버(SS) 및 악성 위협 탐지 장치(100)로 구성된다.
여기서, 사용자 단말기(200)는 유무선 통신이 가능한 데스크탑, 노트북, 테블릿PC, 스마트폰 등으로 마련될 수 있다.
그리고, 보안서버(SS)는 후술할 악성 위협 탐지 장치(100)와 통신하며, 악성 위협 탐지 장치(100)에 알려진 악성 위협 즉, 알려진 악성코드에 대한 시그니처를 제공하고, 악성 위협 탐지 장치(100)로부터 탐지된 알려지지 않은 악성 위협 즉, 알려지지 않은 악성코드에 대한 시그니처를 제공받을 수 있다. 이때, 악성코드 시그니처란, 악성코드가 출현한 샘플의 분석을 통해 추출된 해당 악성코드의 흔적을 의미하며, 악성코드를 판별할 수 있는 기준이 될 수 있다.
여기서, 알려진 악성코드에 대한 시그니처는 악성코드가 포함된 파일이 적어도 한번은 실행되어 공지되거나, 국내외 보안 벤더들이 제공하는 보안 솔루션에 의해 탐지된 악성 위협에 대한 정보를 의미한다. 일예로, 보안서버(SS)는 네트워크 통신이 가능한 국내외 보안 벤더 서버, 바이러스 토탈 등일 수 있다. 이때, 보안서버(SS)에는 기존 보안 솔루션이 제공하는 악성코드 시그니처와 함께 해당 악성코드 시그니처에 대한 백신 등 대응방안이 수집되어 있을 수 있다.
그리고, 악성 위협 탐지 장치(100)는 악성 위협 여부를 판별할 파일을 수신하여 해당 파일의 위협 여부를 판단한다. 이때, 파일은 개인이나 기업에서 작업수단으로 사용하는 사용자 단말기가 네트워크 통신, 저장매체 등으로부터 제공받을 수 있으며, 해당 파일을 사용자 단말기(200)에서 열람하고자 할 경우에 악성 위협 탐지 장치(100)는 해당 파일이 사용자 단말기(200)에서 실행되기 이전 악성 위협 여부 판단을 수행할 수 있다. 또한, 사용자 단말기(200)에서 악성 위협 탐지 장치(100)에 악성 위협 여부 판별할 파일이 의뢰될 수 있다.
여기서, 악성 위협 탐지 장치(100)는 악성 위협 여부를 판별할 파일이 기존에 공지된 악성코드를 포함하고 있는지 일차적으로 필터링 한 후, 필터링 되지 않은 파일에 한해서 파일 내 포함된 액티브 콘텐츠 간의 유사성 분석을 수행하고, 이를 통해 알려지지 않은 악성 위협을 감지하여 해당 악성 위협을 포함한 파일이 사용자 단말기(200)에서 실행되는 것을 방지할 수 있다.
이때, 파일은 네트워크 통신 및 저장매체 등으로부터 제공받아 사용자 단말기에서 열람하고자 하는 모든 전자문서일 수 있다. 좀더 자세하게는 마이크로소프트 오피스 계열, 한글 계열, PDF 등의 문서파일일 수 있으며, 헤더에 스크립트가 포함될 수 있는 이미지 파일 또한 포함될 수 있다.
이러한, 악성 위협 탐지 장치(100)에 대해서는 차후에 자세히 설명하고자 한다.
참고로, 도1은 악성 위협 탐지 장치(100)가 사용자 단말기(200)와 별개인 객체로 구성된 예를 보여주고 있지만, 실시하기에 따라서는 도2 에 도시된 바와 같이 악성 위협 탐지 장치(100)가 사용자 단말기(200)의 일 구성으로 구비될 수도 있다.
<파일 내 포함된 악성 위협 탐지 장치에 대한 설명>
도3은 본 발명의 일 실시예에 따른 파일 내 포함된 악성 위협 탐지 장치(이하, ‘악성 위협 탐지 장치’라 칭함)를 도시한 블록도이고, 도4는 도3의 블록도에 따른 악성 위협 탐지장치를 설명하는데 참조하기 위한 참조그림이다.
도3을 참조하면, 악성 위협 탐지 장치(100)는 통신부(110), 시그니처 저장부(120), 제1 판단부(130), 추출부(140), 제2 판단부(150), 시그니처 생성부(160), 파일처리부(170), 제공부(180) 및 제어부(190)를 포함하여 구성된다.
통신부(110)는 사용자 단말기(200) 및 보안서버(SS)와 통신한다. 이에, 악성 위협 탐지 장치(100)는 통신부(110)를 통해 사용자 단말기(200)로부터 악성 위협 여부를 판별할 파일을 수신하거나, 보안서버(SS)로부터 알려진 악성코드 시그니처를 수신할 수 있다. 이때, 파일은 마이크로소프트 오피스 계열, 한글 계열, PDF, 이미지 파일 등일 수 있다.
시그니처 저장부(120)는 다수개의 악성코드 시그니처가 저장된다. 이때, 시그니처 저장부(120)는 제1 저장부분(121) 및 제2 저장부분(122)을 포함할 수 있다.
여기서, 제1 저장부분(121)은 보안서버(SS)로부터 수신한 악성코드 시그니처를 저장할 수 있으며, 제1 저장부분(121)에 저장된 악성코드 시그니처는 국내외 보안 벤더들이 제공하는 보안 솔루션에 의해 탐지된 악성 위협 즉, 알려진 악성코드에 대한 시그니처이다. 이때, 제1 저장부분(121)에는 악성코드 시그니처뿐 아니라 해당 악성코드 시그니처의 대응방안 또한 저장되어 있을 수 있다.
그리고, 제2 저장부분(122)은 후술할 시그니처 생성부(160)에서 생성된 새로운 악성코드 시그니처를 저장할 수 있다. 이때, 제2 저장부분(122)에 저장된 새로운 악성코드 시그니처는 제1 저장부분(121)에 저장된 악성코드 시그니처와 함께 후술할 제1 판단부(130)에서 악성 위협 여부를 판별할 파일 내 악성 위협 여부를 판단하는데 기준이 될 수 있다.
제1 판단부(130)는 악성 위협 여부를 판별할 파일을 구성하는 콘텐츠 중 시그니처 저장부(120)에 저장된 악성코드 시그니처를 포함하는 콘텐츠가 존재할 경우에 악성 위협파일로 판단한다. 즉, 제1 판단부(130)는 기존에 알려진 악성 위협에 대하여 일차적으로 필터링할 수 있다.
추출부(140)는 제1 판단부(130)에서 악성 위협파일로 판단되지 않은 파일에 한해서 파일을 구성하는 콘텐츠 중 실행 가능한 콘텐츠인 액티브 콘텐츠를 추출한다. 이때, 액티브 콘텐츠에 악성코드가 존재할 경우, 파일 열람 시 해당 액티브 콘텐츠가 실행됨에 따라 이를 열람하던 사용자 단말기(200)는 악성 위협에 노출될 수밖에 없다. 이에, 후술할 제2 판단부(150)는 추출부(140)에서 추출된 액티브 콘텐츠를 분석하여 해당 액티브 콘텐츠의 악성 위협여부를 판단할 수 있다.
여기서, 액티브 콘텐츠는 매크로(Macro), 자바스크립트(Javascript), OLE(object Linking & Embedding) 개체, 플래쉬(Flash), EPS(Encapsulated PostScript), 및 원격접속 URL(Uniform Resource Locator) 중 적어도 어느 하나일 수 있으며, 이에 한정되지 않고 더 추가될 수 있다.
제2 판단부(150)는 추출부(140)에서 추출된 액티브 콘텐츠의 구조를 분석하여 액티브 콘텐츠 간의 유사정도에 따라 유사한 액티브 콘텐츠(이하, ‘유사 액티브 콘텐츠’라 칭함)들을 구분하고, 각각의 파일에 포함되는 유사 액티브 콘텐츠 중 특정 유사 액티브 콘텐츠가 포함된 빈도가 높을 경우에 특정 유사 액티브 콘텐츠에 대한 악성 위협 여부를 판별하며, 악성 위협으로 판별된 특정 유사 액티브 콘텐츠를 포함한 파일을 악성 위협파일로 판단한다.
여기서, 제2 판단부(150)는 유사 액티브 콘텐츠를 포함하는 파일 간을 그룹별로 분류하고, 하나의 그룹에 속한 파일들 중 적어도 어느 하나의 파일에서 악성 위협이 판별될 경우에 그룹에 속한 파일들을 악성 위협파일로 판단할 수 있다.
예를 들어, 악성 위협 탐지 장치(100)는 악성 위협 여부를 판별하고자 하는 N개의 파일을 수신하여 이에 대한 악성 위협을 탐지할 수 있다. 여기서, 제1 판단부(130)를 통해 필터링 된 파일을 제외하고, 필터링 되지 않은 파일들의 액티브 콘텐츠를 추출하며, 제2 판단부(150)는 액티브 콘텐츠 간의 유사성 분석을 수행한다. 그리고, 유사 액티브 콘텐츠를 가진 파일끼리 그룹화하며, 추가적으로 파일들의 포함된 액티브 콘텐츠들 파일에 포함된 빈도가 가장 높은 액티브 콘텐츠의 포맷을 도출한다. 이때, 각 파일의 포맷마다 액티브 콘텐츠의 활용이 조금씩 상이할 수 있음에도 불구하고 유사한 액티브 콘텐츠가 공통적으로 높은 빈도로 포함된다면 이는 악의적인 목적으로 생성된 액티브 콘텐츠를 파일 내 적용했을 가능성이 큰 것으로 판단할 수 있다.
이 후, 가장 높은 빈도로 파일에 적용된 특정 액티브 콘텐츠 포맷을 보유한 파일에 대하여 심층 분석을 수행하여 해당 심층 분석 결과를 후술할 시그니처 생성부(160)를 통해 시그니처화하여 새로운 악성코드 시그니처로서 시그니처 저장부(120)에 저장할 수 있다. 이때, 심층 분석은 외부로부터 입력된 분석 알고리즘 또는 내부 악성코드 분석가를 통해 이루어질 수 있다.
여기서, 특정 액티브 콘텐츠 포맷을 보유한 파일이 속한 그룹에 포함된 파일들도 악성 위협이 존재하는 것으로 판단할 수 있다. 그리고, 다시 N개의 파일들을 제1 판단부(130)에서 분석하여, 새로운 악성코드 시그니처에 의해 특정 액티브 콘텐츠 포맷을 보유한 파일 및 해당 파일이 속한 그룹에 포함된 파일들도 악성 위협파일로 필터링 되는지 확인함으로써 새로운 악성코드 시그니처를 보완할 수 있다.
그리고, 제1 판단부(130)는 새로운 악성코드 시그니처로 인해 타 그룹에 속한 파일이 필터링 된다면, 해당 새로운 악성코드 시그니처로 필터링된 파일에 대해서 심층 분석을 수행하여 이를 해당 새로운 악성코드 시그니처에 반영함으로써 조금 더 시그니처의 정확성을 높일 수 있다.
이와 같은 프로세스의 반복을 통해 정교화된 시그니처 생성이 가능할 수 있다. 이때, 확보된 다양한 악성코드 시그니처들은 파일 기반 악성 위협에 대한 대응 체계를 구축하는 것이 가능할 수 있다. 이 후, 새로 분석하고자 하는 파일이 수신되면 상술한 구성들에 의해 공지된 악성 위협을 필터링 또는 알려지지 않은 악성 위협 탐지하는 것이 가능할 수 있다.
이때, 제2 판단부(150)는 액티브 콘텐츠의 소스코드에서 소스코드에 포함된 코드, 코드의 길이, 난독화된 코드의 존재유무, 명령어 및 URL 중 적어도 어느 하나가 매칭될 경우에 매칭되는 소스코드를 가지는 액티브 콘텐츠 간을 유사 액티브 콘텐츠로 구분할 수 있다. 즉, 제2 판단부(150)는 엑티브 콘텐츠의 소스코드에 포함된 코드, 코드의 길이, 난독화된 코드의 존재유무, 명령어 및 URL 등과 같은 유사성 항목을 기준으로 유사성 항목의 매칭정도에 따라 액티브 콘텐츠 간의 유사성 분석을 수행할 수 있다.
도4는 파일의 액티브 콘텐츠로 매크로를 추출하였을 때의 소스코드(SC)를 보여준다. 이때, 도4에 도시된 바와 같이 소스코드(SC)를 구성하는 코드(C), 코드(C)의 길이, 난독화된 코드의 존재유무, 명령어 및 URL(U) 등의 소스코드(SC)의 구성 및 구조를 파악하고, 타 파일들에서 추출된 액티브 콘텐츠와의 소스코드(SC) 내 구성 및 구조 매칭을 통해 매칭 정도에 따라 유사 액티브 콘텐츠로 구분할 수 있다. 이때, 도4에서 코드(C)의 경우, 일부만 표시하였지만 이에 한정되지 않고 소스코드(SC)를 구성하는 모든 코드들을 의미한다.
그리고, 제2 판단부(150)는 유사 액티브 콘텐츠들 중 다수개의 파일 내 가장 높은 빈도로 포함되는 특정 유사 액티브 콘텐츠를 선정하고, 이에 대한 악성 위협여부를 판단할 수 있다. 이때, 도4의 경우, URL(U)이 포함되어 있으며, URL(U)을 통해 다운로드 되는 파일명이 랜섬웨어.exe인 것을 보여준다. 즉, 특정 유사 액티브 콘텐츠의 구조 분석을 통해 악성 위협 여부를 판단할 수 있으며, 도4의 경우는 악성 위협이 존재하는 것으로 판단되어 해당 특정 유사 콘텐츠를 보유한 파일 및 해당 파일이 속한 그룹의 파일들은 악성 위협파일로 판단될 수 있다.
이때, 제2 판단부(150)에는 파일 포맷 별 정상적인 액티브 콘텐츠의 구조가 저장된 정상 데이터 베이스가 저장되어 있어, 액티브 콘텐츠의 구조 즉, 소스코드 내 구성된 코드, 코드의 길이 등의 이상여부를 분석할 수 있다. 예들 들면, 액티브 콘텐츠 내 파일과 관계없는 특정코드가 삽입된 경우에 해당 특정코드는 정상 데이터 베이스에 저장되어 있지 않으므로 악성 위협으로 간주할 수 있다.
그리고, 악의적인 실행코드를 액티브 콘텐츠의 구조 내 포함시킬 경우에 쉽게 발견되지 않도록 난독화시키는 경우도 늘고 있어, 난독화된 코드가 존재할 경우에는 제2 판단부(150)가 해당 코드의 난독화를 해제하고, 해제된 영역에서 악의적인 실행코드를 파악함으로써 악성 위협을 탐지할 수 있다.
또한, 명령어(IW)는 도4에 도시된 서브루틴인 Sub, End Sub 사이에 구성된 명령 혹은 호출에 사용되는 CALL과 같이 특정 명령어 코드들을 의미한다.
시그니처 생성부(160)는 제2 판단부(150)에서 판단된 악성 위협파일에 대한 악성코드 시그니처를 생성하여 시그니처 저장부(120)에 저장한다. 이때, 시그니처 생성부(160)가 생성한 악성코드 시그니처는 새로운 악성코드 시그니처로서 제2 저장부분(122)에 저장될 수 있다. 또한, 시그니처 생성부(160)가 생성한 새로운 악성코드 시그니처는 다른 보안 벤더에서 해당 악성코드를 탐지하는 것이 가능할 수 있도록 통신부(110)를 통해 보안서버(SS)에 제공될 수 있다.
파일처리부(170)는 제1 판단부(130) 및 제2 판단부(150)에서 판단된 악성 위협파일에 대하여 보안 조치를 수행한다. 여기서, 제1 판단부(130)에서 판단된 악성 위협파일에 경우 알려진 악성코드 시그니처를 통해 필터링 되었기에, 해당 악성코드 시그니처에 대하여 기존에 공지된 대응 방안을 적용하는 보안 조치를 수행할 수 있다. 그리고, 제2 판단부(150)에서 판단된 악성 위협파일의 경우, 새로운 악성 위협으로 판단되어 기 설정된 정책에 의해 보안 조치를 수행할 수 있다.
예를 들어, 기 설정된 정책은 악성 위협파일에 포함된 액티브 콘텐츠를 제거하거나, 해당 액티브 콘텐츠 소스코드에 구성된 코드를 변환시켜 무력화시킴으로써 해당 액티브 콘텐츠가 실행되지 않도록 할 수 있다. 이때, 파일처리부(170)는 제2 판단부(150)에서 악성 위협으로 판별된 특정 액티브 콘텐츠 또는 악성 위협파일에 포함된 특정 액티브 콘텐츠뿐 아니라 모든 액티브 콘텐츠에 대하여 기 설정된 정책을 수행할 수 있다.
좀 더 구체적으로 설명하자면, 파일처리부(170)는 제2 판단부(150)에서 유사성 분석을 통해 그룹핑된 파일 중 제1 그룹에 속한 A 파일이 악성 위협파일로 판단된 경우에 A파일에 대하여 유사성을 가진 것으로 판단되어 제1 그룹에 속한 B, C, D, E 파일에 대하여 기 설정된 정책에 의한 보안 조치를 수행할 수 있다.
만약, 파일처리부(170)는 제2 판단부(150)에서 유사성 분석을 통해 그룹핑된 파일 중 복수의 그룹에 속한 A 파일이 악성 위협파일로 판단된 경우, A 파일이 속한 제1 그룹, 제2 그룹, 제3 그룹은 A 파일과의 유사정도를 기준으로 각기 다른 보안 조치를 수행할 수 있다. 예를 들어, 액티브 콘텐츠의 유사성 항목 기준으로 매칭되는 항목의 개수에 따라 유사정도를 판별할 수 있으며, 유사성 항목에 속하는 5가지의 항목 중 2 내지 3개가 매칭될 경우에 유사정도는 40 % 내지 60 %로 중위험군에 속하며, 중위험군을 기준으로 높은 유사정도를 가질 경우에 고위험군, 낮은 유사정도를 가질 경우에 저위험군으로 분류될 수 있다. 이때, 고위험군일수록 저위험군에 비해 높은 수준의 보안 조치가 이루어질 수 있다.
좀 더 구체적으로 설명하면, 제1 그룹에 속한 파일들은 80 %, 제2 그룹에 속한 파일들은 60 % , 제3 그룹에 속한 파일들은 20 %로 A파일의 특정 유사 액티브 콘텐츠 대비 유사정도를 가질 경우에 각 그룹의 유사정도에 따라 기 설정된 정책이 상이할 수 있으며, 파일처리부(170)는 A 파일과 가장 유사정도가 높아 고위험군에 포함되는 제1 그룹에 속한 파일을 제거하거나 파일에 포함된 엑티브 콘텐츠를 완전히 제거하는 등의 조치를 취할 수 있고, 그 다음으로 유사정도가 높아 중위험군에 포함되는 제2 그룹에 속한 파일은 소스코드에 구성된 코드를 변환시키는 등의 고위험군의 속한 제1 그룹에 비해 비교적 낮은 수준의 보안조치를 취할 수 있다. 즉, 액티브 콘텐츠 간의 유사정도에 따라 보안조치의 수준 또한 상이하게 설정되어 있을 수 있다.
제공부(180)는 사용자 단말기(200)로부터 악성 위협 여부를 판별할 파일을 수신하거나, 열람 요청이 이루어진 경우에 해당 파일이 제1 판단부(130) 또는 제2 판단부(150)에서 악성 위협파일로 판단되었다면 판단결과와 파일처리부(170)에 의해 보안 조치가 수행된 악성 위협파일 및 처리 내역을 사용자 단말기(200)에 제공하여 악성 위협파일 내 악성 위협이 존재한 채로 파일이 열람되지 않도록 할 수 있다. 그리고, 해당 파일이 악성 위협파일이 아닌 경우에는 이 또한 해당 결과를 사용자 단말기(200)에 제공하여 해당 파일을 안전하게 열람하도록 할 수 있다.
제어부(190)는 통신부(110), 시그니처 저장부(120), 제1 판단부(130), 추출부(140), 제2 판단부(150), 시그니처 생성부(160), 파일처리부(170) 및 제공부(80)를 제어한다.
참고로, 최근 파일을 통한 보안위협은 보안체계가 잘 갖춰진 시스템을 공략하기 보다는 비기술적인 방법을 동원하여 지능적으로 시스템에 접근하려는 시도를 통해 이루어지고 있으며, 이러한 사회공학적 기법을 이용하여 정상파일과 유사한 포맷구조 수준의 악성 위협파일 더 나아가 정상파일과 동일한 포맷구조의 악성 위협파일을 사용자가 열람하도록 유도하는 공격을 시도하고 있다. 이때, 정상파일과 동일한 포맷구조로 악성 위협파일이 제작된 경우에 파일의 포맷 구조를 기준으로 정상 또는 비정상 파일 여부를 구분하기에 어려움이 존재할 수밖에 없다. 즉, 파일의 포맷 구조를 기준으로 탐지하는 것은 점차 진화하는 공격법에 의해 한계가 존재할 수밖에 없다. 그러나, 본 발명은 파일 내 포함된 액티브 콘텐츠에 존재하는 위협을 탐지함으로서 파일의 포맷구조의 이상 여부와 관계없이 악성 위협을 탐지하므로 사회공학적 기법을 이용한 지능적인 공격에도 해당 공격을 탐지하여 대응하는 것이 가능할 수 있다.
<파일 내 포함된 악성 위협 탐지 장치에 의한 파일 내 포함된 악성 위협 탐지 방법에 대한 설명>
도5는 본 발명의 일 실시예에 따른 파일 내 포함된 악성 위협 탐지 장치에 의한 파일 내 포함된 악성 위협 탐지 방법을 도시한 흐름도이다.
1. 시그니처 저장단계<S100>
시그니처 저장단계(S100)는 시그니처 저장부(120)에 다수개의 악성코드 시그니처를 저장하는 단계이다. 이때, 시그니처 저장부(120)는 통신부(110)를 통해 보안서버(SS)로부터 국내외 보안 벤더에서 제공하는 보안 솔루션에 의해 탐지되어 공지된 악성코드 시그니처들을 수신할 수 있다.
2. 제1 판단단계<S200>
제1 판단단계(S200)는 제1 판단부(130)가 악성 위협 여부를 판별할 파일을 구성하는 콘텐츠 중 시그니처 저장부(120)에 저장된 악성코드 시그니처를 포함하는 콘텐츠가 존재할 경우에 악성 위협파일로 판단하는 단계이다. 즉, 제1 판단단계(S200)는 기존에 공지된 알려진 악성 위협에 대하여 일차적으로 필터링할 수 있다.
이때, 파일은 마이크로소프트 오피스 계열, 한글 계열, PDF 등일 수 있다.
3. 추출단계<S300>
추출단계(S300)는 제1 판단단계(S200)에서 악성 위협파일로 판단되지 않은 파일에 한해서 파일을 구성하는 콘텐츠 중 액티브 콘텐츠를 추출하는 단계이다.
여기서, 액티브 콘텐츠는 매크로(Macro), 자바스크립트(Javascript), OLE(object Linking & Embedding) 개체, 플래쉬(Flash), EPS(Encapsulated PostScript), 및 원격접속 URL(Uniform Resource Locator) 중 적어도 어느 하나를 포함할 수 있으며, 이에 한정되지 않고 더 추가될 수 있다.
4. 제2 판단단계<S400>
제2 판단단계(S400)는 추출단계(S300)에서 추출된 액티브 콘텐츠의 구조를 분석하여 액티브 콘텐츠 간의 유사정도에 따라 유사한 액티브 콘텐츠(이하, ‘유사 액티브 콘텐츠’라 칭함)들을 구분하고, 각각의 파일에 포함되는 유사 액티브 콘텐츠 중 특정 유사 액티브 콘텐츠가 포함된 빈도가 높을 경우에 특정 유사 콘텐츠에 대한 악성 위협 여부를 판별하며, 악성 위협으로 판별된 특정 유사 액티브 콘텐츠를 포함한 파일을 악성 위협파일로 판단하는 단계이다.
여기서, 제2 판단단계(400)는 유사 액티브 콘텐츠를 포함하는 파일 간을 그룹별로 분류하고, 하나의 그룹에 속한 파일들 중 적어도 어느 하나의 파일에서 악성 위협이 발견될 경우에 그룹에 속한 파일들을 악성 위협파일로 판단할 수 있다.
이때, 제2 판단단계(S400)는 액티브 콘텐츠의 소스코드에서 소스코드에 포함된 코드, 코드의 길이, 난독화된 코드의 존재유무, 명령어 및 URL 중 적어도 어느 하나가 매칭될 경우에 매칭되는 소스코드를 가지는 액티브 콘텐츠 간을 유사 액티브 콘텐츠로 구분할 수 있다.
5. 시그니처 생성단계<S500>
시그니처 생성단계(S500)는 제2 판단단계(S400)에서 판단된 악성 위협파일에 대한 악성코드 시그니처를 생성하여 시그니처 저장부(120)에 제공하는 단계이다. 이때, 시그니처 생성부가 생성한 악성코드 시그니처는 새로운 악성코드 시그니처로서 시그니처 저장부(120)에 저장되고, 새로운 악성코드 시그니처는 다른 보안 벤더에서 해당 악성코드를 탐지할 수 있도록 보안서버(SS)에 제공될 수 있다.
6. 파일 처리단계<S600>
파일 처리단계(S600)는 제1 판단단계(S100) 및 제2 판단단계(S200)에서 판단된 악성 위협파일에 대하여 보안 조치를 수행하는 단계이다.
여기서, 제1 판단부(130)에서 판단된 악성 위협파일에 경우, 알려진 악성코드 시그니처를 통해 필터링 되었기에, 해당 악성코드 시그니처에 대하여 기존에 공지된 대응 방안을 적용하는 보안 조치를 수행할 수 있다. 그리고, 제2 판단부(150)에서 판단된 악성 위협파일의 경우, 새로운 악성 위협으로 판단되어 기 설정된 정책에 의해 보안 조치를 수행할 수 있다.
참고로, 도4의 흐름도 및 설명에는 설명의 편의를 위해 순서를 정하였지만, 실시하기에 따라 다양한 흐름이 가능할 수 있다. 또한, 본 발명의 일 실시예에 따른 악성 위협 탐지 장치(100)가 사용자 단말기(200)로부터 악성 위협여부를 판별할 파일을 수신하거나, 사용자 단말기(200)에서 파일의 열람 요청이 이루어진 경우에 파일의 악성 위협파일 여부에 해당하는 판단결과와 더불어 악성 위협파일인 경우에 보안 조치가 수행된 악성 위협파일 및 보안 조치를 수행한 처리내역을 사용자 단말기(200)에 제공하는 제공단계(미도시)를 더 포함할 수 있으며, 제공단계는 악성 위협 파일 내 악성 위협이 존재한 채로 파일이 열람되지 않도록 방지할 수 있다.
한편, 본 발명은 시그니처 저장부에 다수개의 악성코드 시그니처를 저장하는 시그니처 저장기능; 악성 위협 여부를 판별할 파일을 구성하는 콘텐츠 중 상기 시그니처 저장기능에 의해 시그니처 저장부에 저장된 악성코드 시그니처를 포함하는 콘텐츠가 존재할 경우에 악성 위협파일로 판단하는 제1 판단기능; 상기 제1 판단기능에 의해 악성 위협파일로 판단되지 않은 파일에 한해서 파일을 구성하는 콘텐츠 중 액티브 콘텐츠를 추출하는 추출기능; 상기 추출기능에 의해 추출된 액티브 콘텐츠의 구조를 분석하여 액티브 콘텐츠 간의 유사정도에 따라 유사한 액티브 콘텐츠(이하, ‘유사 액티브 콘텐츠’라 칭함)들을 구분하고, 각각의 파일에 포함되는 유사 액티브 콘텐츠 중 특정 유사 액티브 콘텐츠가 포함된 빈도가 높을 경우에 상기 특정 유사 액티브 콘텐츠에 대한 악성 위협 여부를 판별하며, 악성 위협으로 판별된 특정 유사 액티브 콘텐츠를 포함한 파일을 악성 위협파일로 판단하는 제2 판단기능; 및 상기 제2 판단기능에 의해 판단된 악성 위협파일에 대한 악성코드 시그니처를 생성하여 상기 시그니처 저장부에 제공하는 시그니처 생성기능;을 컴퓨터장치에서 실행시킬 수 있는 프로그램이 기록된 기록매체를 포함한다.
위에서 설명한 바와 같이 본 발명에 대한 구체적인 설명은 첨부된 도면을 참조한 실시 예에 의해서 이루어졌지만, 상술한 실시 예는 본 발명의 바람직한 예를 들어 설명하였을 뿐이기 때문에, 본 발명이 상기의 실시 예에만 국한되는 것으로 이해되어져서는 아니 되며, 본 발명의 권리범위는 후술하는 청구범위 및 그 균등개념으로 이해되어져야 할 것이다.
100 : 파일 내 악성 위협 탐지 장치
110 : 통신부
120 : 시그니처 저장부
130 : 제1 판단부
140 : 추출부
150 : 제2 판단부
160 : 시그니처 생성부
170 : 파일 처리부
180 : 제공부
190 : 제어부
200 : 사용자 단말기
SS : 보안서버
AC : 액티브 콘텐츠
SC : 소스코드
C : 코드
U : URL
IW : 명령어

Claims (9)

  1. 다수개의 악성코드 시그니처가 저장된 시그니처 저장부;
    악성 위협 여부를 판별할 파일을 구성하는 콘텐츠 중 상기 시그니처 저장부에 저장된 악성코드 시그니처를 포함하는 콘텐츠가 존재할 경우에 악성 위협파일로 판단하는 제1 판단부;
    상기 제1 판단부에서 악성 위협파일로 판단되지 않은 파일에 한해서 파일을 구성하는 콘텐츠 중 액티브 콘텐츠를 추출하는 추출부;
    상기 추출부에서 추출된 액티브 콘텐츠의 구조를 분석하여 액티브 콘텐츠 간의 유사정도에 따라 유사한 액티브 콘텐츠(이하, ‘유사 액티브 콘텐츠’라 칭함)들을 구분하고, 각각의 파일에 포함되는 유사 액티브 콘텐츠 중 특정 유사 액티브 콘텐츠가 포함된 빈도가 높을 경우에 상기 특정 유사 액티브 콘텐츠에 대한 악성 위협 여부를 판별하며, 악성 위협으로 판별된 특정 유사 액티브 콘텐츠를 포함한 파일을 악성 위협파일로 판단하는 제2 판단부; 및
    상기 제2 판단부에서 판단된 악성 위협파일에 대한 악성코드 시그니처를 생성하여 상기 시그니처 저장부에 제공하는 시그니처 생성부;를 포함하는 것을 특징으로 하는
    파일 내 포함된 악성 위협 탐지 장치.
  2. 제1항에 있어서,
    상기 제2 판단부는 상기 유사 액티브 콘텐츠를 포함하는 파일 간을 그룹별로 분류하고, 하나의 그룹에 속한 파일들 중 적어도 어느 하나의 파일에서 악성 위협이 판별될 경우에 그룹에 속한 파일들을 악성 위협파일로 판단하는 것을 특징으로 하는
    파일 내 포함된 악성 위협 탐지 장치.
  3. 제1항에 있어서,
    상기 제1 판단부 및 제2 판단부에서 판단된 악성 위협파일에 대하여 보안 조치를 수행하는 파일 처리부; 를 더 포함하는 것을 특징으로 하는
    파일 내 포함된 악성 위협 탐지 장치.
  4. 제1항에 있어서,
    상기 제2 판단부는 액티브 콘텐츠의 소스코드에서 상기 소스코드에 포함된 코드, 코드의 길이, 난독화된 코드의 존재 유무, 명령어 및 URL 중 적어도 어느 하나가 매칭될 경우에 매칭되는 소스코드를 가지는 액티브 콘텐츠 간을 유사 액티브 콘텐츠로 구분하는 것을 특징으로 하는
    파일 내 포함된 악성 위협 탐지 장치.
  5. 시그니처 저장부에 다수개의 악성코드 시그니처를 저장하는 시그니처 저장단계;
    악성 위협 여부를 판별할 파일을 구성하는 콘텐츠 중 상기 시그니처 저장부에 저장된 악성코드 시그니처를 포함하는 콘텐츠가 존재할 경우에 악성 위협파일로 판단하는 제1 판단단계;
    상기 제1 판단단계에서 악성 위협파일로 판단되지 않은 파일에 한해서 파일을 구성하는 콘텐츠 중 액티브 콘텐츠를 추출하는 추출단계;
    상기 추출단계에서 추출된 액티브 콘텐츠의 구조를 분석하여 액티브 콘텐츠 간의 유사정도에 따라 유사한 액티브 콘텐츠(이하, ‘유사 액티브 콘텐츠’라 칭함)들을 구분하고, 각각의 파일에 포함되는 유사 액티브 콘텐츠 중 특정 유사 액티브 콘텐츠가 포함된 빈도가 높을 경우에 상기 특정 유사 액티브 콘텐츠에 대한 악성 위협 여부를 판별하며, 악성 위협으로 판별된 특정 유사 액티브 콘텐츠를 포함한 파일을 악성 위협파일로 판단하는 제2 판단단계; 및
    상기 제2 판단단계에서 판단된 악성 위협파일에 대한 악성코드 시그니처를 생성하여 상기 시그니처 저장부에 제공하는 시그니처 생성단계;를 포함하는 것을 특징으로 하는
    파일 내 포함된 악성 위협 탐지 장치에 의한 파일 내 포함된 악성 위협 탐지 방법.
  6. 제5항에 있어서,
    상기 제2 판단단계는 상기 유사 액티브 콘텐츠를 포함하는 파일 간을 그룹별로 분류하고, 하나의 그룹에 속한 파일들 중 적어도 어느 하나의 파일에서 악성 위협이 판별될 경우에 그룹에 속한 파일들을 악성 위협파일로 판단하는 것을 특징으로 하는
    파일 내 포함된 악성 위협 탐지 장치에 의한 파일 내 포함된 악성 위협 탐지 방법.
  7. 제5항에 있어서,
    상기 제1 판단단계 및 제2 판단단계에서 판단된 악성 위협파일에 대하여 보안 조치를 수행하는 파일 처리단계; 를 더 포함하는 것을 특징으로 하는
    파일 내 포함된 악성 위협 탐지 장치에 의한 파일 내 포함된 악성 위협 탐지 방법.
  8. 제5항에 있어서,
    상기 제2 판단단계는 액티브 콘텐츠의 소스코드에서 상기 소스코드에 코드, 코드의 길이, 난독화된 코드의 존재 유무, 명령어 및 URL 중 적어도 어느 하나가 매칭될 경우에 매칭되는 소스코드를 가지는 액티브 콘텐츠 간을 유사 액티브 콘텐츠로 구분하는 것을 특징으로 하는
    파일 내 포함된 악성 위협 탐지 장치에 의한 파일 내 포함된 악성 위협 탐지 방법.
  9. 제6항 내지 제8항 중 어느 한 항의 방법을 수행하는 프로그램을 기록한 컴퓨터 판독 가능 기록매체.
KR1020180017698A 2018-02-13 2018-02-13 파일 내 포함된 악성 위협 탐지 장치 및 방법, 그 기록매체 KR101851233B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020180017698A KR101851233B1 (ko) 2018-02-13 2018-02-13 파일 내 포함된 악성 위협 탐지 장치 및 방법, 그 기록매체
PCT/KR2018/005181 WO2019160195A1 (ko) 2018-02-13 2018-05-04 파일 내 포함된 악성 위협 탐지 장치 및 방법, 그 기록매체

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020180017698A KR101851233B1 (ko) 2018-02-13 2018-02-13 파일 내 포함된 악성 위협 탐지 장치 및 방법, 그 기록매체

Publications (1)

Publication Number Publication Date
KR101851233B1 true KR101851233B1 (ko) 2018-04-23

Family

ID=62088989

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020180017698A KR101851233B1 (ko) 2018-02-13 2018-02-13 파일 내 포함된 악성 위협 탐지 장치 및 방법, 그 기록매체

Country Status (2)

Country Link
KR (1) KR101851233B1 (ko)
WO (1) WO2019160195A1 (ko)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102093274B1 (ko) * 2019-05-28 2020-03-25 (주)지란지교시큐리티 콘텐트 스캐닝 에이전트, 콘텐트 스캐닝 방법 및 그 방법을 수행하는 프로그램을 기록한 컴퓨터 판독 가능 기록매체
CN111737696A (zh) * 2020-06-28 2020-10-02 杭州安恒信息技术股份有限公司 一种恶意文件检测的方法、系统、设备及可读存储介质
KR20200133644A (ko) * 2019-05-20 2020-11-30 (주)지란지교시큐리티 악성 멀티미디어 파일을 분류하는 인공지능 기반 장치, 방법 및 그 방법을 수행하는 프로그램을 기록한 컴퓨터 판독 가능 기록매체
KR20200141682A (ko) * 2019-06-11 2020-12-21 (주)지란지교시큐리티 파일 내 악성 위협을 처리하는 인공지능 기반 장치, 그 방법 및 그 기록매체
KR20210049308A (ko) * 2019-10-25 2021-05-06 소프트캠프 주식회사 문서 파일에 구성된 매크로의 악성코드 감염 확인 방법과 시스템
KR102262680B1 (ko) * 2020-10-29 2021-06-09 (주)지란지교시큐리티 멀티미디어 파일 보안 방법 및 기록매체
KR20220060843A (ko) * 2020-11-05 2022-05-12 국민대학교산학협력단 머신러닝과 시그니처 매칭을 결합한 문서형 악성코드 탐지 장치 및 방법

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20140115699A1 (en) 2006-07-10 2014-04-24 Websense, Inc. System and method for analyzing web content

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101256468B1 (ko) * 2012-09-11 2013-04-19 주식회사 안랩 악성 파일 진단 장치 및 방법
KR101473535B1 (ko) * 2012-12-28 2014-12-18 한양대학교 산학협력단 Multi N―gram을 이용한 악성코드 분류 방법
KR101620931B1 (ko) * 2014-09-04 2016-05-13 한국전자통신연구원 악성코드 특징 정보 기반의 유사 악성코드 검색 장치 및 방법
LT3190767T (lt) * 2016-01-08 2019-01-10 Retarus Gmbh Įtartinų elektroninių pranešimų aptikimo būdas

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20140115699A1 (en) 2006-07-10 2014-04-24 Websense, Inc. System and method for analyzing web content

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20200133644A (ko) * 2019-05-20 2020-11-30 (주)지란지교시큐리티 악성 멀티미디어 파일을 분류하는 인공지능 기반 장치, 방법 및 그 방법을 수행하는 프로그램을 기록한 컴퓨터 판독 가능 기록매체
KR102241859B1 (ko) * 2019-05-20 2021-04-20 (주)지란지교시큐리티 악성 멀티미디어 파일을 분류하는 인공지능 기반 장치, 방법 및 그 방법을 수행하는 프로그램을 기록한 컴퓨터 판독 가능 기록매체
KR102093274B1 (ko) * 2019-05-28 2020-03-25 (주)지란지교시큐리티 콘텐트 스캐닝 에이전트, 콘텐트 스캐닝 방법 및 그 방법을 수행하는 프로그램을 기록한 컴퓨터 판독 가능 기록매체
KR20200141682A (ko) * 2019-06-11 2020-12-21 (주)지란지교시큐리티 파일 내 악성 위협을 처리하는 인공지능 기반 장치, 그 방법 및 그 기록매체
KR102202448B1 (ko) * 2019-06-11 2021-01-14 (주)지란지교시큐리티 파일 내 악성 위협을 처리하는 인공지능 기반 장치, 그 방법 및 그 기록매체
KR20210049308A (ko) * 2019-10-25 2021-05-06 소프트캠프 주식회사 문서 파일에 구성된 매크로의 악성코드 감염 확인 방법과 시스템
KR102284646B1 (ko) * 2019-10-25 2021-08-03 소프트캠프 주식회사 문서 파일에 구성된 매크로의 악성코드 감염 확인 방법과 시스템
CN111737696A (zh) * 2020-06-28 2020-10-02 杭州安恒信息技术股份有限公司 一种恶意文件检测的方法、系统、设备及可读存储介质
KR102262680B1 (ko) * 2020-10-29 2021-06-09 (주)지란지교시큐리티 멀티미디어 파일 보안 방법 및 기록매체
KR20220060843A (ko) * 2020-11-05 2022-05-12 국민대학교산학협력단 머신러닝과 시그니처 매칭을 결합한 문서형 악성코드 탐지 장치 및 방법
KR102437278B1 (ko) * 2020-11-05 2022-08-29 국민대학교산학협력단 머신러닝과 시그니처 매칭을 결합한 문서형 악성코드 탐지 장치 및 방법

Also Published As

Publication number Publication date
WO2019160195A1 (ko) 2019-08-22

Similar Documents

Publication Publication Date Title
KR101851233B1 (ko) 파일 내 포함된 악성 위협 탐지 장치 및 방법, 그 기록매체
JP5326062B1 (ja) 非実行ファイル検査装置及び方法
US8181248B2 (en) System and method of detecting anomaly malicious code by using process behavior prediction technique
JP5265061B1 (ja) 悪意のあるファイル検査装置及び方法
EP1751649B1 (en) Systems and method for computer security
KR100910761B1 (ko) 프로세스 행위 예측 기법을 이용한 비정형 악성코드 탐지방법 및 그 시스템
CN110837640B (zh) 恶意文件的查杀方法、查杀设备、存储介质及装置
Fukushima et al. A behavior based malware detection scheme for avoiding false positive
US20190147163A1 (en) Inferential exploit attempt detection
KR101132197B1 (ko) 악성 코드 자동 판별 장치 및 방법
KR101816045B1 (ko) 악성코드 룰셋을 이용한 악성코드 탐지 시스템 및 방법
Choi et al. Ontology based APT attack behavior analysis in cloud computing
US9959406B2 (en) System and method for zero-day privilege escalation malware detection
JP5326063B1 (ja) デバッグイベントを用いた悪意のあるシェルコードの検知装置及び方法
CN112784269A (zh) 恶意软件检测方法、装置和计算机存储介质
JP6407184B2 (ja) 攻撃対策判定システム、攻撃対策判定方法及び攻撃対策判定プログラム
CN114780922A (zh) 一种勒索软件识别方法、装置、电子设备及存储介质
CN114417326A (zh) 异常检测方法、装置、电子设备及存储介质
EP3800570B1 (en) Methods and systems for genetic malware analysis and classification using code reuse patterns
Chowdhury et al. Malware detection for healthcare data security
RU2747464C2 (ru) Способ обнаружения вредоносных файлов на основании фрагментов файлов
Arul et al. Malware detection using higher order statistical parameters
Husainiamer et al. Mobile malware classification for ios inspired by phylogenetics
Agnihotri A Study of Different Approaches for Malware Detection in Smartphones
CN116738427B (zh) 终端安全防护方法、装置、设备及存储介质

Legal Events

Date Code Title Description
A302 Request for accelerated examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant