KR101880686B1 - Ai 딥러닝 기반의 악성코드 탐지 시스템 - Google Patents

Ai 딥러닝 기반의 악성코드 탐지 시스템 Download PDF

Info

Publication number
KR101880686B1
KR101880686B1 KR1020180024136A KR20180024136A KR101880686B1 KR 101880686 B1 KR101880686 B1 KR 101880686B1 KR 1020180024136 A KR1020180024136 A KR 1020180024136A KR 20180024136 A KR20180024136 A KR 20180024136A KR 101880686 B1 KR101880686 B1 KR 101880686B1
Authority
KR
South Korea
Prior art keywords
information
file
target file
module
malicious
Prior art date
Application number
KR1020180024136A
Other languages
English (en)
Inventor
김성진
김진환
남석우
김성규
김수환
김상철
Original Assignee
에스지에이솔루션즈 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 에스지에이솔루션즈 주식회사 filed Critical 에스지에이솔루션즈 주식회사
Priority to KR1020180024136A priority Critical patent/KR101880686B1/ko
Application granted granted Critical
Publication of KR101880686B1 publication Critical patent/KR101880686B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06N99/005

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Debugging And Monitoring (AREA)

Abstract

본 발명은 AI 딥러닝 기반의 악성코드 탐지 시스템에 관한 것으로서, 사용자 단말로부터 분석대상인 파일(이하 대상파일) 및, 상기 대상파일의 파일정보를 수집하는 파일수집모듈; 상기 대상파일의 바이너리 파일을 파일저장소로 저장하고, 수집된 대상파일의 파일정보를 관리모듈로 전송하는 분배모듈; 상기 대상파일의 파일정보를 이용하여 작업큐에 해당 대상파일에 대한 분석작업을 등록하는 관리모듈; 작업큐에 등록된 파일정보를 수신받아, 해당 파일정보의 대상파일을 파일저장소로부터 읽어오고, 대상파일을 랜더링(rendering)하여 대상파일이 수행한 기록인 동적 정보를 수집하고, 대상파일의 파일 구조에 의한 속성값들로부터 정적 정보를 수집하는 정보수집모듈; 수집된 동적 정보 및 정적 정보로부터 사전에 정의한 특징(feature)을 선택적으로 추출하고, 추출된 특징을 저장하는 특징추출모듈; 기계학습 분류기를 이용하여, 대상파일의 특징을 통해 대상파일에 대한 악성코드 여부를 판단하고, 악성코드 여부의 결과를 관리모듈로 전송하는 분류모듈; 및, 악성파일을 삭제하거나 격리시키는 에이전트 모듈을 포함하고, 상기 관리모듈은 상기 분류모듈의 결과에 따른 해당 악성코드에 대하여 IOC(Indicator Of Compromise) 정보를 생성하고, 상기 에이전트 모듈은 상기 IOC 정보에 따라 악성파일을 삭제하거나 격리시키는 구성을 마련한다.
상기와 같은 시스템에 의하여, 대상파일의 정적 정보 및 동적 정보를 모두 활용하여, 악성의 특징이 강한 특징(feature)들의 연관성과 그들의 연속성에 대해 기계학습을 시키고, 이를 통해, 악성코드 여부를 판별함으로써, 패턴기반의 한계를 넘어 제로데이 악성코드 및 변종 악성코드를 탐지할 수 있고, 악성코드를 신속히 파악하여 대응할 수 있다.

Description

AI 딥러닝 기반의 악성코드 탐지 시스템 { A malware code detecting system based on AI(Artificial Intelligence) deep learning }
본 발명은 특정 코드섹션의 패턴정보(예, Antivirus)를 이용하여 악성코드를 탐지하는 대신, 악성코드의 정적분석 및 동적분석을 통해 특징(feature)를 추출하여 딥러닝 기반으로 악성코드를 탐지하는, AI 딥러닝 기반의 악성코드 탐지 시스템에 관한 것이다.
특히, 본 발명은 의심파일을 수집하고, 의심파일의 특징(feature) 및 행위정보를 수집하고, 사전에 정의된 특징(feature)를 선택적으로 추출하고, 특징을 기반으로 기계학습(딥러닝)을 이용하여 악성코드 여부를 판단하고, 이때 결정된 악성여부를 IOC룰로 생성하고, IOC 정보 기반으로 삭제 및 대응하는, AI 딥러닝 기반의 악성코드 탐지 시스템에 관한 것이다.
일반적으로, 악성코드를 탐지하는 방법은 악성코드의 특정 코드 섹션을 매칭하여 탐지한다[특허문헌 1]. 즉, 종래의 악성코드 탐지 방법은 악성코드로 의심되는 파일에 대하여 특정 코드섹션의 패턴정보(예, Antivirus)를 이용하여 악성코드를 탐지한다.
특히, 종래의 안티바이러스 탐지 방법은 악성코드가 사용하는 특정 코드 섹션(section)의 바이트(byte)를 가지고 탐지하거나, 악성코드가 동작하며 발생하는 각종 로그 정보 및 파일의 구조 정보를 바탕으로 악성코드가 생성하는 의심스런 DLL, API 함수의 존재 여부를 가지고 위험수준을 측정하여 악성여부를 판단하고 있다.
그러나 이러한 방법은 신종 악성코드 및 변종 악성코드를 탐지하는데 어려움이 있다.
또한, 일반적인 가상머신(VM) 기반 악성파일 분석 시스템의 경우, 악성코드는 다양한 안티 가상머신(Anti-VM) 기술 및 안티-디버깅(Anti-디버깅) 기술을 통해 분석 시스템 내에서 실행된다고 판단할 경우, 악성 코드 자체가 멈추거나, 악성 코드는 실행되고 있으나 악성 행위를 발생시키지 않는다. 따라서 분석 시스템에서 분석이 되지 않기 때문에, 분석에 어려움이 발생할 수 있다.
따라서, 악성코드를 탐지하는 방법은 정적분석 방법과 동적분석 방법을 모두 사용하는 하이브리드(hybrid) 방식이 필요하다. 즉, 정적(static) 방식과 동적(dynamic) 방식을 통해 다양한 특징을 추출해야 한다. 여기서, 동적 방식이란 악성코드 실행 시 보여지는 다양한 악성행위를 분석하는 것을 말한다.
한국등록특허 제10-0942795호(2010.02.18.공고)
본 발명의 목적은 상술한 바와 같은 문제점을 해결하기 위한 것으로, 의심파일을 수집하고, 의심파일의 특징(feature) 및 행위정보를 수집하고, 사전에 정의된 특징(feature)를 선택적으로 추출하고, 특징을 기반으로 기계학습(딥러닝)을 이용하여 악성코드 여부를 판단하고, 이때 결정된 악성여부를 IOC룰로 생성하고, IOC 정보 기반으로 삭제 및 대응하는, AI 딥러닝 기반의 악성코드 탐지 시스템을 제공하는 것이다.
즉, 본 발명은 악성행위에 대한 정적 및 동적 정보를 수집하고, 동적 행위정보에 대해서는 지도학습(supervised learning)을 이용하고, 정적 분석에 대해서는 딥러닝(Deep Learning)을 수행하여, 악성여부를 판단하는 방법으로서, 에이전트(Agent)를 통해 수집된 정보를 분석하여 악성여부를 판단하고, 수집 정보를 바탕으로 IoC 룰을 생성하여 같은 네트워크에 속한 다수의 에이전트(agent)에게 공통의IoC룰을 처리하도록 돕는 다중 탐지 및 대응을 제공한다.
특히, 본 발명의 목적은 악성파일이 포함하는 코드(Code)의 특징, 악성코드가 사용하는 DLL 함수, API 함수, 레지스트리(Registry) 접근, 외부 네트워크 접속행위 등에 대한 특징 정보를 수집하고, 수집된 특징 정보를 기계학습에 의해 악성여부를 결정하는, AI 딥러닝 기반의 악성코드 탐지 시스템을 제공하는 것이다.
즉, 본 발명은 악성행위 정보 및 파일 자체의 구조정보를 수집하고 그 중에서 악성의 특징이 강한 특징(feature)들의 연관성(DLL Count, API Count, 특정경로의 존재 등)과 그들의 연속성(A가 존재하고 B가 존재하고 C가 존재하는 등)을 기계학습을 이용하여 악성여부를 결정한다.
상기 목적을 달성하기 위해 본 발명은 AI 딥러닝 기반의 악성코드 탐지 시스템에 관한 것으로서, 사용자 단말로부터 분석대상인 파일(이하 대상파일) 및, 상기 대상파일의 파일정보를 수집하는 파일수집모듈; 상기 대상파일의 바이너리 파일을 파일저장소로 저장하고, 수집된 대상파일의 파일정보를 관리모듈로 전송하는 분배모듈; 상기 대상파일의 파일정보를 이용하여 작업큐에 해당 대상파일에 대한 분석작업을 등록하는 관리모듈; 작업큐에 등록된 파일정보를 수신받아, 해당 파일정보의 대상파일을 파일저장소로부터 읽어오고, 대상파일을 랜더링(rendering)하여 대상파일이 수행한 기록인 동적 정보를 수집하고, 대상파일의 파일 구조에 의한 속성값들로부터 정적 정보를 수집하는 정보수집모듈; 수집된 동적 정보 및 정적 정보로부터 사전에 정의한 특징(feature)을 선택적으로 추출하고, 추출된 특징을 저장하는 특징추출모듈; 기계학습 분류기를 이용하여, 대상파일의 특징을 통해 대상파일에 대한 악성코드 여부를 판단하고, 악성코드 여부의 결과를 관리모듈로 전송하는 분류모듈; 및, 악성파일을 삭제하거나 격리시키는 에이전트 모듈을 포함하고, 상기 관리모듈은 상기 분류모듈의 결과에 따른 해당 악성코드에 대하여 IOC(Indicator Of Compromise) 정보를 생성하고, 상기 에이전트 모듈은 상기 IOC 정보에 따라 악성파일을 삭제하거나 격리시키는 것을 특징으로 한다.
또, 본 발명은 AI 딥러닝 기반의 악성코드 탐지 시스템에 있어서, 상기 시스템은, 대상파일에 대한 분석시간, 파일이름, PID, 파일경로, 해시, 메타정보를 포함하는 동적 정보 및 정적 정보, 대상파일에 대한 처리결과를 문서화하여 처리하는 리포팅 모듈; 대상파일에 대한 악성코드 여부의 결과정보를 요약하여 시각화하는 대쉬보드 모듈을 더 포함하는 것을 포함하여 구성되는 것을 특징으로 한다.
또, 본 발명은 AI 딥러닝 기반의 악성코드 탐지 시스템에 있어서, 상기 파일수집모듈는, 사용자 단말에서 신규 생성되는 프로세스의 악성여부를 판단하기 위해 해당 프로세스를 추출하고, 해당 프로세스의 실행파일인 대상파일에 대한 파일정보를 수집하는 것을 특징으로 한다.
또, 본 발명은 AI 딥러닝 기반의 악성코드 탐지 시스템에 있어서, 상기 관리모듈은 작업 인덱스(Job idx), 대상파일의 파일정보, 바이너리 파일의 인덱스(idx), 분석제한 시간을 포함하는 분석작업 정보를 등록하되, 상기 분석제한 시간은 대상파일의 동적 정보를 수집하는 데 소요되는 시간을 제한하는 시간인 것을 특징으로 한다.
또, 본 발명은 AI 딥러닝 기반의 악성코드 탐지 시스템에 있어서, 상기 정보수집모듈은 정적분석기를 이용하여 대상파일의 구조정보를 정적 정보로서 수집하되, 대상파일의 헤더 크기, 파일 크기, 데이터(Data) 섹션의 크기, 텍스트(Text) 섹션의 크기, 코드(Code) 섹션의 크기, 헤더의 크기를 수집하고, 동적분석기를 이용하여 대상파일의 동적 정보를 수집하되, 대상파일을 실행한 후 대상파일이 접근하는 DLL함수, API 함수, 레지스트리(Registry) 접근 여부, 수정, 삭제, 및, 생성에 대한 정보, 네트워크 접근 정보를 수집하는 것을 특징으로 한다.
또, 본 발명은 AI 딥러닝 기반의 악성코드 탐지 시스템에 있어서, 상기 특징추출모듈은 상기 정보수집모듈로부터 수집된 정적 정보와 동적 정보를 읽어 와서, 기계학습에서 필요한 특징(Feature) 값을 선별적으로 추출하되, 추출되는 특징들은 상기 정보수집모듈로부터 수집된 정보의 일부이거나, 수집된 정보로부터 변환 또는 필터링되어 생성된 특징의 값인 것을 특징으로 한다.
또, 본 발명은 AI 딥러닝 기반의 악성코드 탐지 시스템에 있어서, 상기 분류모듈은 상기 특징추출모듈로부터 전달받은 특징들을 정적 분류기와 동적 분류기에 적용하여 대상파일의 악성코드 여부를 출력시키되, 상기 정적 분류기 및 동적 분류기는 기계학습기반 분류기로서, 사전에 학습된 학습 데이터(Train set)을 가지고, 학습된 학습 데이터(Train set)과 비교하여 대상파일의 악성여부를 판단하고, 악성여부를 1-10사이의 확률로 나타내는 베이스라인도 함께 추출하고, 학습 데이터(Train set)는 대상파일의 악성여부를 판단하기 위해 필요한 베이스라인을 수립하기 위해, 사전에 수집된 라벨링(label)된 악성 및 정상파일의 특징(Feature) 정보를 포함하는 데이터인 것을 특징으로 한다.
또, 본 발명은 AI 딥러닝 기반의 악성코드 탐지 시스템에 있어서, 상기 IOC 정보는 악성파일에 대한 파일경로, 파일명, 접속IP, 해시정보를 포함하는 것을 특징으로 한다.
또, 본 발명은 AI 딥러닝 기반의 악성코드 탐지 시스템에 있어서, 상기 에이전트 모듈은 프로세스로부터 대상파일을 수집하면, 화이트리스트를 참조하여 대상파일이 화이트리스트에 존재하는지를 판단하고, 존재하면 대상파일에 대한 추가 작업을 하지 않고, 대상파일이 화이트리스트에 존재하지 않으면, 대상파일이 악성리스트에 존재하는지를 판단하고, 대상파일이 악성리스트에 존재하면 해당 대상파일을 악성코드로 판단하여 삭제하거나 격리하고, 대상파일이 악성리스트에 존재하지 않으면 대상파일이 IOC 정보에 해당하는지를 검사하고, 대상파일이 IOC 정보에 해당하면 해당 대상파일을 악성코드로 판단하여 삭제하거나 격리하고 대상파일을 악성리스트에 추가하여 기록하고, 대상파일이 IOC 정보에 해당하지 않으면 상기 파일수집모듈을 통해 대상파일 및 파일정보를 상기 분배모듈로 전송하도록 하는 것을 특징으로 한다.
상술한 바와 같이, 본 발명에 따른 AI 딥러닝 기반의 악성코드 탐지 시스템에 의하면, 대상파일의 정적 정보 및 동적 정보를 모두 활용하여, 악성의 특징이 강한 특징(feature)들의 연관성과 그들의 연속성에 대해 기계학습을 시키고, 이를 통해, 악성코드 여부를 판별함으로써, 패턴기반의 한계를 넘어 제로데이 악성코드 및 변종 악성코드를 탐지할 수 있고, 악성코드를 신속히 파악하여 대응할 수 있는 효과가 얻어진다.
또한, 본 발명에 따른 AI 딥러닝 기반의 악성코드 탐지 시스템에 의하면, 에이전트(Agent)를 통해 수집된 정보를 분석하여 악성여부를 판단하고, 수집 정보를 바탕으로 IoC 룰을 생성하여 같은 네트워크에 속한 다수의 에이전트(agent)에게 공통의IoC룰을 처리함으로써, 다수의 사용자 PC를 보호하고, 추후에 재발하는 동일한 악성코드를 대응하고, 특히, 기업 내에 유입되는 유사 악성코드를 탐지 및 격리할 수 있는 효과가 얻어진다. 궁극적으로 사용자 PC로 유입되는 다양한 형태의 악성코드를 탐지하여 신속히 대응하는 킬 체인(KILL CHAIN)을 구현할 수 있다.
즉, 본 발명은 기계학습기반에 기반하여 악성코드를 탐지하는 방식과 대응을 위한 IOC체계를 제공함으로써, 패턴 룰에 존재하지 않는 악성코드도 탐지할 수 있고, 과거의 악성코드 외에 신종 악성코드, 변종 악성코드를 탐지하는 고탐지율(HIGH DETECTION RATE) 및 탐지 확장성 (단일유저를 포함한 동일 네트워크 존재하는 악성코드 대응)과 시스템의 안전성, 안정성을 지원하는 고속 악성코드 탐지 프레임웍을 제공할 수 있다.
또한, 본 발명은 단순 바이러스 정보 탐지, 수집, 격리 및 APT에서 사용하는 다양한 악의적 도구들의 탐지 외에도, 해당 정보는 다른 유사 시스템에 이용되고 적용될 수 있다.
도 1은 본 발명을 실시하기 위한 전체 시스템에 대한 구성도.
도 2는 본 발명의 일실시예에 따른 AI 딥러닝 기반의 악성코드 탐지 시스템의 구성에 대한 블록도.
도 3은 본 발명의 일실시예에 따른 AI 딥러닝 기반의 악성코드 탐지 시스템에 의한 악성코드 탐지 방법을 설명하는 흐름도.
이하, 본 발명의 실시를 위한 구체적인 내용을 도면에 따라서 설명한다.
또한, 본 발명을 설명하는데 있어서 동일 부분은 동일 부호를 붙이고, 그 반복 설명은 생략한다.
먼저, 본 발명을 실시하기 위한 전체 시스템의 구성의 예들에 대하여 도 1을 참조하여 설명한다.
도 1에서 보는 바와 같이, 본 발명을 실시하기 위한 전체 시스템은 사용자 단말 또는 파일서버에 설치되어 대상파일 및 그 정보를 수집하는 에이전트(10), 및, 수집된 정보로부터 악성코드 여부를 탐지하는 악성코드 탐지서버(30)로 구성된다. 또한, 수집된 대상파일 등을 저장하는 데이터베이스(40)를 더 추가하여 구성될 수 있다.
먼저, 에이전트(10)는 사용자 단말 또는 파일서버에 설치되는 프로그램 모듈로서, 사용자 단말 또는 파일 서버에서 사용되는 파일(이하 대상파일 또는 의심파일)을 수집한다.
사용자 단말은 사용자가 사용하는 컴퓨팅 단말로서, PC, 노트북, 태플릿PC 등이다. 또한, 파일 서버는 네트워크(80) 상에 연결되어 사용자 단말 등 클라이언트에 파일과 관련된 서비스를 제공하는 서버이다. 즉, 상기 파일서버는 파일을 업로드 하거나 다운로스 하는 서비스를 제공하거나 파일을 송수신하는 기능 등을 구비하는 서버이다.
한편, 에이전트(10)는 대상파일에 대한 정적 정보 및 동적 정보를 수집한다.
대상파일의 정적 정보는 파일 자체의 구조 정보, 악성파일이 포함하는 코드(Code)의 특징 등을 포함한다.
또한, 대상파일의 동적 정보는 악성파일이 수행하는 행위에 대한 정보로서, 악성코드가 사용하는 DLL 함수, API 함수, 레지스트리(Registry) 접근, 외부 네트워크 접속행위 등에 대한 특징 정보 등을 포함한다.
다음으로, 악성코드 탐지서버(30)는 악성코드 탐지하는 서버로서, 대상파일 또는 의심파일에 대하여 악성코드 여부를 탐지한다. 즉, 악성코드 탐지서버(30)는 에이전트(10)로부터 수집된 대상파일을 수신하고, 대상파일에 대한 특징을 추출하고, 추출된 특징을 분류기로 분류하여 악성코드 여부를 판단한다.
특히, 악성코드 탐지서버(30)는 악성코드 여부 분류를 위하여 분류기를 학습시키고, 학습된 분류기를 이용하여 악성코드 여부를 판별한다. 이때, 분류기의 입력을 위해, 대상파일에 대한 특징을 추출하고 추출된 특징을 분류기에 입력함으로써 분류 작업을 수행한다.
한편, 에이전트(10)와 악성코드 탐지서버(30)는 통상의 클라이언트와 서버의 구성 방법에 따라 구현될 수 있다. 즉, 전체 시스템의 기능들을 클라이언트의 성능이나 서버와 통신량 등에 따라 분담될 수 있다. 예를 들어, 에이전트(10)는 단순히 대상파일에 대한 수집 작업만 수행하고, 서버(30)가 대상파일에 대한 특징 추출 작업, 분석 작업, 분류기 생성 작업 등 모든 작업을 수행할 수 있다. 또는 다른 구현 형태로서, 에이전트(10)가 대상파일에 대한 정보를 수집하되, 수집된 정보에서 특징을 추출하고, 서버(30)는 추출된 특징을 이용하여 악성코드 여부를 분류하는 작업을 수행할 수 있다. 또는, 다른 구성 형태로서, 에이전트(10)가 대상 파일에 대한 정보 수집 작업, 특징 추출 작업, 분류 작업 등을 수행하고, 서버(30)는 기계학습을 통해 분류기를 생성하는 작업만 수행할 수 있도록 분담할 수 있다.
또한, 본 발명은 크게 관리/분석서버, 에이전트(Agent)들로 구성될 수 있다. 특히, 분석서버 내에 존재하는 정적 정보수집모듈/정적특징추출모듈/정적분류모듈은 에이전트(Agent) 내에 존재할 수 있다. 따라서, 본 발명은 다양한 형태로 확장되어 구성될 수 있어, 플렉시블(flexible)한 시스템을 구현하는데 도움을 준다.
이하에서는 악성코드 탐지 시스템으로 전체 서버-클라이언트 시스템으로 설명하나, 서버-클라이언트의 구성 방법에 따라 다양한 분담 형태로 구현될 수 있다. 즉, 악성코드 탐지 시스템(1000)은 앞서 설명한 에이전트(10)와 탐지서버(30)의 클라이언트-서버 시스템이다. 클라이언트-서버의 구체적인 구현 기술에 따라 이하에서 설명될 각 구성요소의 기능이 클라이언트 또는 서버에 의해 분담되어 구성될 수 있다.
다음으로, 본 발명의 일실시예에 따른 AI 딥러닝 기반의 악성코드 탐지 시스템(1000)에 대해 도 2를 참조하여 설명한다. 도 2는 본 발명에 따른 악성코드 탐지 시스템의 구성에 대한 블록도이다.
앞서 언급한 것과 같이 악성코드를 식별하기 위해서는 악성코드의 특징들을 식별할 수 있는 값이 필요하다. 악성코드 탐지 시스템(1000)은 이러한 식별을 위해 정적 및 동적 특징(feature)을 정의하고, 기계학습을 통해 정적 및 동적 분류기를 생성한다. 생성된 분류기를 이용하여 악성코드 여부를 판별 또는 분류한다.
또한, 악성코드 탐지 시스템(1000)은 단일 시스템 또는 다중 시스템으로 구성될 수 있다.
악성코드 탐지 시스템(1000)은 큐 네임을 설정하여 큐로부터 정보를 읽고, 전달할 수 있도록 내부 환경설정(Config) 값을 변경할 수 있다. 악성코드 탐지 시스템(30)은 관리모듈, 정/동적 정보수집모듈, 정/동적 특징추출모듈, 정/동적 분류기, 저장소(DB 또는 빅데이터 플랫폼으로 구성됨), 큐서버 등으로 구성된다. 이때, 큐서버는 단일서버 또는 다중서버들이 접속하여 분석파일(의심파일)을 분배할 수 있는 기능을 구비한다.
또한, 단일 시스템은 상기와 같은 악성코드 탐지 시스템(1000)이 하나로 구성되는 시스템을 말하고, 다중 시스템은 다수의 악성코드 탐지 시스템으로 구성되는 것을 말한다. 또한, 악성코드 탐지 시스템(1000)은 하나의 서버 내에 다중 가상환경에 탑재되어 구현될 수 있다.
구체적으로, 도 2에서 보는 바와 같이, 본 발명의 일실시예에 따른 악성코드 탐지 시스템(1000)은 파일수집모듈(100), 분배모듈(200), 정보수집모듈(300), 특징추출모듈(400), 분류모듈(500), 관리모듈(600), 및, 에이전트모듈(700)로 구성된다. 또한, 추가적으로, 파일저장소(800), 리포팅모듈(900), 대쉬보드모듈(950) 등을 더 포함할 수 있다.
바람직하게는, 파일수집모듈(100) 및 에이전트모듈(700)은 사용자 단말 또는 파일서버에서 설치되어 동작하는 프로그램 모듈로 구성될 수 있고, 분배모듈(200), 정보수집모듈(300), 특징추출모듈(400), 분류모듈(500), 관리모듈(600) 등은 서버(30)에 설치되는 프로그램 모듈로 구성될 수 있다. 그러나 앞서 설명과 같이 클라이언트-서버 구현 방법에 따라 다양한 구성이 가능하다.
먼저, 파일수집모듈(100)은 사용자 단말 또는 파일서버로부터 분석대상인 파일(또는 대상파일)을 수집한다.
또한, 파일수집모듈(100)은 사용자 단말 또는 파일서버에서 신규 생성되는 프로세스의 악성여부를 판단하기 위해 해당 프로세스를 추출한다. 이때, 해당 프로세스의 파일(또는 대상파일)을 추출하고, 대상파일의 파일명, 경로, 해시 등 메타 정보를 수집한다.
구체적으로, 파일수집모듈(100)은 대상파일의 파일명, PID(프로세스 ID), 파일경로, 해시정보 등을 추출하고, 추출한 데이터에 에이전트(10)의 식별정보를 추가하여 대상파일의 파일정보를 생성한다. 이때, 에이전트의 식별정보는 에이전트의 UUID(universally unique identifier)를 사용한다.
또한, 파일수집모듈(100)은 대상파일의 바이너리 데이터(file binary data)또는 바이너리 파일을 추출한다.
그리고 파일수집모듈(100)은 상기 대상파일의 파일정보 및, 바이너리 데이터를 서버(30)에 전송한다. 바람직하게는, 서버(30)의 분배모듈(200)에 전송한다.
즉, 파일수집모듈(100)을 통해 대상파일이 사용자 PC(Agent)로부터 추출되고, 추후 분배모듈(200)에 의해 파일정보는 관리서버(30)에게 전달되고, 추출한 파일은 파일저장소(800)에 저장된다.
다음으로, 분배모듈(200)은 파일수집모듈(100)로부터 수집된 파일정보 및 바이너리 파일을 수신하고, 수신된 데이터를 저장 또는 분배한다. 바람직하게는, 분배모듈(200)은 대상파일의 바이너리 파일을 파일저장소(800)에 저장하고, 대상파일의 파일정보를 관리모듈(600)에 전달한다.
즉, 분배모듈(200)은 수집된 대상파일을 파일저장소(800)로 저장하고, 파일정보는 관리모듈(600)로 전송하여 점검시작 상태에 등록하게 한다. 이때, 분배모듈(200)은 관리모듈(600)로 파일정보, 즉, 에이전트 고유ID(Agent UUID), 프로세스 ID(PID), 파일이름(Filename), 파일경로(Fullpath), 해시(Hash), 파일인덱스(저장소 파일 idx)를 전송한다.
다음으로, 관리모듈(600)은 분배모듈(200)로부터 전달받은 대상파일의 파일정보를 바탕으로 작업큐(job queue)에 분석작업(또는 분석작업 정보)을 등록한다. 즉, 분석작업은 대상파일에 대하여 분석을 요청하는 작업으로서, 작업 인덱스(Job idx), 대상파일의 파일정보, 바이너리 파일의 인덱스(idx), 분석제한 시간 등의 정보를 가진다.
이때, 관리모듈(600)은 분석작업 정보를 작업큐를 통해 정보수집모듈(300)에 전달한다. 즉, 관리모듈(600)이 분석작업 정보를 작업큐에 넣으면, 정보수집모듈(300)은 작업큐의 이벤트를 확인하여 작업큐로부터 분석작업 정보를 가져와서 정보수집 작업을 수행한다. 또한, 정보수집모듈(300)은 작업에 필요한 데이터를 관리모듈(600)에 요청하여 가져오거나, 파일 인덱스 등을 통해 파일저장소(800)로부터 가져온다. 또한, 정보수집모듈(300)은 작업 결과(정적정보 또는 동적정보)를 관리모듈(600)로 업로드 하여 전송한다. 특히, 관리모듈(600)은 정보수집모듈(300)의 정적 정보수집모듈(310)과 동적 정보수집모듈(320) 각각의 작업큐에 저장한다.
동일한 형태로, 관리모듈(600)은 정보수집모듈(300)로부터 전송받은 정적정보 또는 동적정보 등 결과를 특징추출모듈(400)의 작업큐에 입력한다. 특징추출모듈(400)은 자신의 작업큐의 이벤트를 확인하여 작업큐로부터 정적정보 또는 동적정보를 가져와서 특징추출 작업을 수행한다. 또한, 특징추출모듈(400)도 작업에 필요한 데이터를 관리모듈(600)로부터 요청하여 수신하거나, 파일 인덱스 등을 통해 파일저장소(800)로부터 가져온다. 또한, 특징추출모듈(400)은 작업 결과(정적 특징 속성값 또는 동적 특징 속성값)를 관리모듈(600)로 업로드 하여 전송한다. 특히, 관리모듈(600)은 특징추출모듈(400)의 정적 특징추출모듈(410)과 동적 특징추출모듈(420) 각각의 작업큐에 저장한다.
또한, 관리모듈(600)은 특징추출모듈(400)로부터 전송받은 정적 특징 또는 동적특징 등 결과를 분류모듈(500)의 작업큐에 입력한다. 분류모듈(500)은 자신의 작업큐의 이벤트를 확인하여 작업큐로부터 정적 특징 또는 동적특징을 가져와서 분류 작업을 수행한다. 또한, 분류모듈(500)도 작업에 필요한 데이터를 관리모듈(600)로부터 요청하여 수신하거나, 파일 인덱스 등을 통해 파일저장소(800)로부터 가져올 수 있다. 또한, 분류모듈(500)은 작업 결과(정적 분류기 또는 동적 분류기의 결과)를 관리모듈(600)로 업로드 하여 전송한다. 특히, 관리모듈(600)은 분류모듈(500)의 정적 분류모듈(510)과 동적 분류모듈(520) 각각의 작업큐에 저장한다.
상기와 같이, 관리모듈(600)은 정보수집모듈(300), 특징추출모듈(400), 및 분류모듈(500) 등을 이용하여 대상파일에 대한 분석작업을 수행한다. 이하에서 설명의 편의를 위하여, 정보수집모듈(300)의 결과가 특징추출모듈(400)로 전송되고, 특징추출모듈(400)의 결과가 분류모듈(500)로 전송되는 것으로 설명한다. 즉, 실제로 관리모듈(600)을 통해 결과들이 각 모듈로 전달되는 것이나, 설명의 편의를 위해 각 모듈 간에 결과가 전송되는 것으로 설명한다.
또한, 작업큐는 각 모듈별로 각각 구비된다. 즉, 작업큐는 정적 정보수집모듈(310)의 정적정보수집 작업큐, 동적 정보수집모듈(320)의 동적 정보수집 작업큐, 정적 특징추출모듈(410)의 정적특징추출 작업큐, 동적 특징추출모듈(420)의 동적 특징추출 작업큐, 정적 분류모듈(510)의 정적분류 작업큐, 동적 분류모듈(520)의 정적분류 작업큐 등으로 각각 구비된다. 각 모듈들은 각자의 작업큐에 작업 정보가 존재할 경우 해당 정보를 수신하고 분석을 진행한다.
한편, 관리모듈(600)은 IOC(Indicator Of Compromise)룰을 생성한다. 즉, 대상파일이 악성코드로 판별되면, 해당 악성코드에 대한 IOC룰을 생성한다. 이때, 관리모듈(600)은 분류모듈(500)로부터 악성코드 판별 결과를 전달받아 IOC룰을 생성하고, 생성된 IOC룰은 작업큐에 해당 정보를 등록한다. 등록된 IOC룰의 정보는 에이전트모듈(700)에 의해 다운로드 된다.
IOC룰 정보는 파일수집모듈(100)에서 수집한 대상파일의 파일명, PID(프로세스 ID), 파일 경로, 해시정보와 정보 수집 모듈에서 수집한 접속 IP 등을 포함하며 에이전트 모듈(700)에서 IOC룰 정보와 일치하는 파일이 존재할 경우 해당 파일을 삭제하거나 격리한다.
다시 말하면, 관리모듈(600)은 분류모듈(500) 등 이전모듈로부터 수집된 정보를 바탕으로 IoC 룰을 생성한다.
특히, 분류모듈(500)에 의해 PE파일이 악성으로 판단된 경우, 사용자 단말(AGENT)에서 수집된 파일의 삭제 및 격리(KILL/Quarantine)를 처리하기 위해, 해당 대상파일을 수집한 IP를 기반으로 파일이름(Filename), 해시(Hash), PID 등 파일의 메타정보, 대상파일의 화이트리스트(Whitelist) 여부, 악성 여부, IoC정보(악성파일일 경우 수집정보로부터 파일경로, 파일명, 접속IP, 해시정보 등)를 생성한다. 이렇게 생성된 정보들은 업데이트 서버 등을 통해 사용자 단말 등의 에이전트(agent)로 전달된다.
업데이트 서버(Update server)는 다수의 에이전트(agent)가 공통의 정보를 전달받도록 유지하는 서버로서, 업데이트 규칙(update rules) 정보를 포함한다. 또한, 업데이트 정보는 화이트리스트(whitelist)의 파일정보, 악성 리스트의 파일정보, 악성코드 검출을 위한 IOC룰 리스트(etection IoC rulelist) 등이다. 파일정보(File INFO)는 파일명(Name), 경로(FullPath), 해시(Hash) 정보를 포함한다.
이때, 관리모듈(600)은 IOC룰 작업큐를 통해, IOC룰 등 악성코드 분석 결과를 에이전트(10)로 전송한다. 즉, 관리모듈(600)은 IOC룰, 화이트리스트/악성리스트의 갱신 내용 등을 IOC룰 작업큐에 넣으면, 업데이트 서버가 IOC룰 작업큐의 이벤트를 확인하여 IOC룰 작업큐로부터 분석 결과를 가져와서 에이전트(10)에 업데이트 하도록 한다.
다음으로, 정보수집모듈(300)은 관리모듈(600) 또는 관리모듈(600)의 작업큐로부터 분석작업 정보를 받아온다. 또한, 파일저장소(800)로부터 대상파일의 바이너리 파일을 다운로드한다.
또한, 정보수집모듈(300)은 대상파일의 악성여부를 판단하기 위하여 대상파일의 속성값 정보를 수집한다. 특히, 정보수집모듈(300)은 정적 정보 및 동적 정보를 각각 수집한다.
특히, 정보수집모듈(300)은 파일저장(600)소에 저장된 대상파일을 읽어, 해당 대상파일을 랜더링(rendering)시켜 행위 정보를 동적정보로 수집한다. 또한, 정보수집모듈(300)은 대상파일 자체의 속성값들의 정보를 정적(static) 상태에서 수집하여 정적 정보로서 수집한다.
다시 말하면, 정보수집모듈(300)은 파일저장소(800)로부터 바이너리 파일(PE파일)을 다운로드 받고, 정적분석기 및 동적분석기를 통해서 기계학습에 필요한 행위로그를 수집한다. 특히, 정적분석기는 PE파일의 구조정보(예를 들어, 헤더 크기, 섹션(Section) 크기, 파일크기, 메타정보 등)를 수집하고, 동적분석기는 PE파일을 실행한 후 PE파일이 접근하는 DLL함수, API 함수, 레지스트리(Registry) 접근, 수정, 삭제, 및, 생성에 대한 정보, 네트워크 접근 등에 관련된 원천 데이터(raw data)를 수집한다.
바람직하게는, 정보수집모듈(300)은 정적 정보를 수집하는 정적 정보수집모듈(310)과, 동적 정보를 수집하는 동적 정보수집모듈(320)로 구성된다. 또한, 정적 정보수집모듈(310)과 동적 정보수집모듈(320)은 각각 독립적인 작업큐를 구비하고, 독립적으로 수행된다. 즉, 정적 정보수집모듈(310)은 정적정보수집 작업큐의 이벤트를 확인하여 해당 작업큐로부터 분석작업 정보를 가져와서 정적 정보를 수집한다. 또한, 동적 정보수집모듈(320)은 동적정보수집 작업큐의 이벤트를 확인하여 해당 작업큐로부터 분석작업 정보를 가져와서 동적 정보를 수집한다.
다음으로, 특징추출모듈(400)은 정보수집모듈(300)로부터 수집된 정적 정보 및 동적 정보로부터 사전에 정의한 특징(feature) 속성값을 추출한다. 즉, 특징추출모듈(400)은 정보수집모듈(300)에 의해 수집된 로그 중 기계학습에서 사용할 특정 로그를 특징(또는 특징추출값)으로 추출한다.
또한, 특징추출모듈(400)은 정적 정보로부터 정적 특징 속성값을 추출하고, 동적 정보로부터 동적 특징 속성값을 추출한다.
그리고 추출된 정적 특징 속성값 및 동적 특징 속성값들은 분류모듈(500)로 전달된다.
다시 말하면, 특징추출모듈(400)은 정보수집모듈(300)로부터 수집되고 저장된 정보를 읽어 와서, 기계학습에서 필요한 특징(Feature) 값을 선별적으로 추출한다. 추출되는 특징(Feature)들은 정적기반 데이터와 동적기반 데이터를 기반으로 각각 수집된다. 또한, 해당 특징(Feature)들은 정보수집모듈(300)로부터 수집된 정보의 일부이거나, 수집정보로부터 변환 또는 필터링되어 생성된 특징(Feature)의 값들이다.
특징(Feature)로 수집된 정보들은 기계학습 분류기(classifier)가 이해하기 쉬운 형태의 수치로 변환되어 저장된다. 바람직하게는, 저장되는 파일타입은 코마로 구분된 텍스트 파일(csv)이다. CSV 파일에는 속성명과 속성값들이 저장되어 있다.
바람직하게는, 특징추출모듈(400)은 정적특징을 추출하는 정적 특징추출모듈(410)과, 동적특징을 추출하는 동적 특징추출모듈(420)로 구성된다. 또한, 정적 특징추출모듈(410)과 동적 특징추출모듈(420)은 각각 독립적인 작업큐를 구비하고, 독립적으로 수행된다. 즉, 정적 특징추출모듈(410)은 정적특징추출 작업큐의 이벤트를 확인하여 해당 작업큐로부터 정적 정보를 가져와서 정적특징 속성값을 수집한다. 또한, 동적 특징추출모듈(420)은 동적특징추출 작업큐의 이벤트를 확인하여 해당 작업큐로부터 동적 정보를 가져와서 동적특징 속성값을 수집한다.
다음으로, 분류모듈(500)은 기계학습을 통해 정적 분류기와 동적 분류기를 생성한다. 특히, 사전에 기계학습을 통해 정적 분류기 및 동적 분류기를 생성해둔다. 이때, 학습 데이터(training set)는 대상파일의 정적 또는 동적 속성값과 그 대상파일의 악성코드 여부의 결과값으로 구성된다. 즉, 이러한 학습 데이터를 적용하여, 정적 분류기 또는 동적 분류기를 생성해둔다.
그리고 분류모듈(500)은 특징추출모듈(400)로부터 대상파일의 정적 특징 속성값 및 동적 특징 속성값을 전달받으면, 해당 속성값을 정적 분류기 또는 동적 분류기에 입력하여 악성코드 여부의 결과값을 출력받는다.
또한, 분류모듈(500)은 특징추출을 통해 수집된 파일을 기계학습 분류기를 이용 악성코드 여부를 판단하고, 그 결과 정보(악성여부 정보로서, 1 또는 0)를 관리모듈(600)로 전송한다.
다시 말하면, 분류모듈(500)은 특징추출모듈로부터 전달받은 csv파일들은 로컬 디렉토리에 저장하고, csv파일 타입은 정적 데이터 csv와 동적 데이터 csv로 각기 다른 두개의 csv 타입을 사용한다. 또한, 기계학습기반 분류기는 이전에 학습된 학습 데이터(Train set)을 가진다. 그리고 현재 디렉토리에 저장된 2개의 csv파일을 읽어, 이전에 학습된 학습 데이터(Train set)과 비교하여 PE파일의 악성여부를 판단한다. 악성여부는 0 과 1로 표현되어, 악성 및 정상으로 판단된다. 이때 악성여부를 판단하는 베이스라인(BASELINE, 1-10사이의 확률)도 함께 수집한다.
특히 학습 데이터(Train set)는 대상파일의 악성여부를 판단하기 위해 필요한 베이스라인(Baseline)을 수립하기 위해, 사전에 수집된 라벨링(label)된 악성 및 정상파일의 특징(Feature) 정보를 포함하는 csv 이다. 바람직하게는, 적어도 2만여 개 이상의 학습 데이터(Train set)을 사용한다.
한편, 분류된 결과, 대상파일이 악성코드로 판단되면, 그 판단 결과에 대한 정보는 관리모듈(600)에 전달된다. 앞서 설명한 바와 같이, 관리모듈(600)에 의해 대상파일의 IOC룰이 생성되고, 생성된 IOC룰에 대한 정보는 작업큐에 등록된다. 즉, IOC룰은 대상파일이 악성일 경우에 생성되고, 해당 IOC룰이 생성되면 작업큐에 해당 정보를 등록된다. 그리고 등록된 IOC룰의 정보는 에이전트모듈(700)에 의해 다운로드 되도록 제공된다.
바람직하게는, 분류모듈(500)은 정적특징으로부터 악성코드를 분류하는 정적 분류모듈(510)과, 동적특징으로부터 악성코드를 분류하는 동적 분류모듈(520)로 구성된다. 또한, 정적 분류모듈(510)과 동적 분류모듈(520)은 각각 독립적인 작업큐를 구비하고, 독립적으로 수행된다. 즉, 정적 분류모듈(510)은 정적분류 작업큐의 이벤트를 확인하여 해당 작업큐로부터 정적 특징을 가져와서 분류한다. 또한, 동적 분류모듈(520)은 동적분류 작업큐의 이벤트를 확인하여 해당 작업큐로부터 동적 특징을 가져와서 분류한다.
다음으로, 에이전트모듈(700)은 IOC룰을 다운로드하여 수집하고, 수집된 IOC 룰의 정보를 이용하여 에이전트(10)에 존재하는 악성파일을 삭제하거나 격리한다.
또한, 에이전트모듈(700)은 삭제된 악성파일의 해당 정보 결과를 향후에 사용될 수 있도록 저장하여 관리한다. 바람직하게는, 악성파일(또는 악성코드)에 대한 정보를 악성리스트에 기록하여 관리한다. 즉, 추후 악성리스트에 존재하는 파일이 또다시 검사 대상이 되면, 해당 대상파일을 악성코드로 판단하기 위한 것이다.
또한, 에이전트모듈(700)은 정상파일(정상으로 판단된 파일)에 대한 파일정보를 화이트리스트로 관리하고, 대상파일이 화이트리스트 내에 있는 파일로 확인되면 해당 대상파일을 정상파일로 판단한다.
한편, 악성 리스트 또는 화이트리스트(또는 정상 리스트)는 기계학습 분류기를 통해 레이블(LABEL)된 정보를 가지고 있다.
또한, 에이전트모듈(700)은 화이트리스트를 관리한다. 파일수집모듈(100)에서 대상파일을 추출할 때, 해당 대상파일이 화이트리스트에 등록된 파일인지 여부를 판단한다. 만약 대상파일이 화이트리스트에 등록된 파일인 경우, 해당 대상파일은 추출 대상에서 제외된다. 화이트리스트에 등록된 정보는 파일에 대한 해시정보를 가지고 있고, 이 해시정보를 가진 파일은 분석이 요구되지 않은 파일 정보로서, 해당 대상파일은 바이패스(BY PASS)된다.
다시 말하면, 에이전트모듈(700)은 대상파일이 사전에 정의된 화이트리스트(whitelist)에 존재유무를 확인한다. 또한, 향후 악성여부가 결정되었을 경우, 해당파일을 격리하거나 삭제한다. 또한, 격리를 위해 해당파일의 악성여부 정보(예를 들어, IOC룰 등)를 관리모듈(600)로부터 전달받는다. 또한, 사용자 단말 등에서 생성된 프로세스의 처리 내역을 관리하는 악성리스트 및 화이트리스트를 관리한다.
다음으로, 파일저장소(800)는 대상파일의 바이너리 파일, 분석결과 등을 저장한다. 바람직하게는 파일저장소(800)는 데이터를 저장하기 위한 데이터베이스 등으로 구축될 수 있다.
또한, 파일저장소(800)에 각각 저장된 결과정보(파일 메타정보 정보, 탐지정보, 분석정보 등)를 검색할 수 있도록 저장공간과 인터페이스가 제공된다.
다음으로, 리포팅모듈(900)은 탐지정보 및 분석내용에 대한 정보를 수집하고, 그 내용을 리포트 형식으로 자동 생성한다. 또한, 대상파일에 대한 탐지결과 및 분석을 통해 수집된 각종 행위 및 파일구조 정보를 제공한다.
특히, 리포팅모듈(900)은 대상파일에 대한 분석시간, 파일이름, 프로세스 ID(PID), 파일(File) 경로, 해시 및 메타정보를 포함하는 동적/정적 정보, 해당 파일에 대한 처리결과 정보 등을 문서화 하여 처리한다. 또한, 분석 데이터는 분석시간, 처리 결과 정보, 탐지관련 악성코드 데이터정보, 특징(Feature), IoC정보 등을 포함한다.
또한, 리포팅모듈(900)은 기계학습모델을 통해 탐지된 악성정보에 대한 요약정보를 제공하며, 타임스탬프별 정/동적 분석정보를 제공한다.
또한, 대쉬보드모듈(950)은 탐지정보 및 분석 내용을 프리젠테이션하기 위한 데이터를 생성한다. 즉, 대시보드모듈(950)은 리포팅모듈(900)을 통한 정보 외에, 파일저장소(800)를 통해 데이터를 검색할 수 있도록 인터페이스를 제공한다. 또한, 대시보드모듈(950)은 수집된 정보들의 다양한 통계처리를 시각화 하여 제공한다. 이 대쉬보드 모듈(950)에는 레포팅 기능도 포함한다.
특히, 대쉬보드모듈(950)은 리포팅모듈(900)과 파일저장소(800)에 저장된 각종 악성코드 정보와 연동하여 시각적인 현황을 제공하도록 지원하는 프리젠테이션 기능을 구비한다.
다음으로, 본 발명의 일실시예에 따른 AI 딥러닝 기반의 악성코드 탐지 시스템에 의한 악성코드 탐지 방법에 대하여 도 3을 참조하여 설명한다.
본 발명에 따른 탐지 방법은 대량의 악성코드 및 에이전트(Agent)에서 동작하는 악성코드를 대상으로 악성여부를 판단하는 방법이다.
먼저, 대상파일의 정보를 수집한다(S10). 즉, 파일수집모듈(100)은 에이전트(Agent) 내에서 동작하는 파일정보를 수집한다.
다음으로, 에이전트모듈(700)은 화이트리스트를 참조하여, 대상파일이 화이트리스트에 존재하는지를 판단한다(S20). 만약 존재하면, 대상파일에 대한 추가 작업을 하지 않는다. 즉, 화이트리스트를 참조하여, 사용자 단말이나 파일 서버에서 동작하는 프로세스 중 화이트리스트에 존재하지 않은 파일에 대하여만 대상파일을 추출한다.
다음으로, 에이전트모듈(700)은 대상파일이 화이트리스트에 존재하지 않으면, 대상파일이 악성리스트에 존재하는지를 판단한다(S31). 만약 대상파일이 악성리스트에 존재하면, 해당 대상파일을 악성코드로 판단하여 삭제 처리한다(S32). 삭제 후 추가 작업 없이 해당 대상파일에 대한 탐지 작업을 종료한다.
다음으로, 에이전트모듈(700)은 대상파일이 악성리스트에 존재하지 않으면, 대상파일이 IOC룰에 해당하는지를 검사한다(S41). 만약 대상파일이 IOC룰에 해당하면, 해당 대상파일을 악성코드로 판단하여 삭제 처리한다(S42). 이때, 대상파일을 악성리스트에 추가하여 기록한다(S43).
다음으로, 대상파일이 IOC룰에 해당하지 않으면, 파일수집모듈(100)은 대상파일(또는 바이너리 파일) 및 그 파일정보(대상파일의 파일정보)를 업로드 한다(S51). 파일수집모듈(100)은 대상파일과 그 파일정보를 분배모듈(200)에 전송하면, 분배모듈(200)은 바이너리 파일을 파일저장소(800)에 저장하고, 대상파일의 파일정보를 관리모듈(600)에 전송한다.
다음으로, 관리모듈(600)은 해당 대상파일의 파일정보를 참조하여, 정적 작업큐 및 동적 작업큐에 각각 등록한다(S52). 특히, 관리모듈(600)은 대상파일의 파일정보를 정적 정보수집 작업큐 및, 동적 정보수집 작업큐에 각각 저장한다.
다중 서버를 이용하여 시스템을 구현할 경우, 각 서버 네임과 서버 네임 내에 정적/동적 작업큐를 각각 설정하여 접속하도록 설정한다. 또한, 각 작업큐 네임별 적절한 량의 대상파일의 정보를 설정한다. 또한, 분배모듈(200)은 서로 다른 작업큐 네임을 가지고 있다.
한편, 관리모듈(600)은 대상파일에 대한 작업을 작업큐에 등록할 때, 작업정보를 등록한다. 이때, 대상파일의 작업정보는 작업에 대한 식별정보(인덱스 등), 대상파일의 바이너리 파일의 저장 위치, 대상파일의 파일정보, 대상파일에 대한 동적 분석을 하는 시간을 나타내는 분석제한 시간 등을 포함한다.
바람직하게는, 작업큐에 등록되는 작업 정보는 1@@filename@@30 형태를 가지고 있다.
첫번째 항목은 작업 인덱스(job index)이다. 상기 인덱스(또는 인덱스 번호)는 대상파일의 순차적(sequential) 등록번호를 나타내고, 두번째 항목은 파일저장소(800)에 등록된 파일명을 나타낸다. 세번째 항목은 정보수집모듈(300)에서 정적/동적 속성값들을 추출하는데 필요한 시간을 제한하는 값(또는 분석제한시간)이다.
특히, 분석제한 시간은 동적 분석을 위하여 행위정보를 수집할 때 주어진 시간 동안만 해당 정보를 수집하도록 설정하는 제한시간 값이다. 분석제한 시간 값은 사전에 임의로 설정되는 값이다. 즉, 관리자가 분석제한 시간을 임의의 값으로 설정할 수 있다. 즉, 정보수집모듈(300)은 분석제한시간 동안만 동적정보, 즉, 대상파일의 행위정보를 수집하도록 수행한다.
다음으로, 정보수집모듈(300)은 작업큐에서 등록된 작업을 순차적으로 가져와서, 해당 작업의 대상파일에 대한 정보를 수집한다(S61,S62). 이때, 정보수집모듈(300)은 정적 정보의 수집 작업(S61)과, 동적 정보의 수집 작업(S62)을 별도로 구분하여 수행한다.
다음으로, 특징추출모듈(400)은 수집된 정보를 바탕으로 정적 특징(Feature)과 동적 특징(Feature)을 추출한다(S71,S72). 이때, 특징추출모듈(400)은 정적 특징의 추출 작업(S71)과, 동적 정보의 추출 작업(S72)을 별도로 구분하여 수행한다.
즉, 특징추출모듈(400)은 사전에 정해진 파일 구조에 따라 대상파일에서 정적 특징들을 추출한다. 일례로서, 파일의 PE(Portable Executable) 구조 기반 특징을 추출한다. 특히, 파일크기, 데이터(Data) 섹션의 크기, 텍스트(Text) 섹션의 크기, 코드(Code) 섹션의 크기, 헤더의 크기 등의 사이즈(Size) 정보를 특징으로 추출한다. 또한, IAT(Import Address Table) 정보를 기반으로 한 API 함수의 수, PE(Portable Executable)의 데이터(data) 섹션, 읽기전용 데이터(rdata) 섹션, 재배치정보(reloc) 섹션, 텍스트 섹션(text section)들의 엔트로피(entropy) 정보, 엔트리 포인트(entry point) 정보를 수집한다. 또한, 악성코드 및 정상파일에서 사용하는 상위 N개의 API 함수를 추출한다.
데이터(data) 섹션은 초기화된 전역 변수가 저장되며 읽고 쓰기가 가능한 섹션이고, 읽기전용 데이터(rdata) 섹션은 상수(const)로 선언된 변수가 저장되며 읽기 전용 섹션이다. 또한, 재배치정보(reloc) 섹션은 PE파일이 메모리에 로딩 시 재배치 정보가 저장되는 섹션(주로 DLL 로딩시 사용)이다.
또한, 특징추출모듈(400)은 동적분석기를 통해 대상파일의 동적 특징들을 추출한다. 동적 특징은 대상파일이 생성하는 파일시스템 변경 수(읽기, 생성, 복사, 리네임, 삭제 등), 레지스트리 변경 수(생성, 읽기, 수정, 삭제 등), 뮤텍스(Mutex) 정보, 사전 정의한 API 함수 사용 여부, 로드되는 DLL 정보, 의심파일 위치 접근 여부, 감시대상 레지스트리 접근여부, 외부 네트워크 접근 여부 등을 포함한다.
뮤텍스(Mutex) 정보는 악성코드가 중복 실행을 하지 않도록 사용하는 정보로서, 악성코드가 초기 실행 시 특정 뮤텍스(Mutex)(ex>ML123)를 접근하여 해당 뮤텍스(Mutex)정보(ex>ML123)가 존재 시 악성코드는 종료하고 존재하지 않을 경우 해당 뮤텍스(Mutex)정보(ex>ML123)로 Mutex를 새로 생성하고 악성코드를 계속 실행한다.
한편, 특징추출모듈(400)은 동적 특징을 수집할 때 분석제한 시간 동안만 수집작업을 수행한다. 즉, 앞서 설명한 바와 같이, 작업큐에 분석작업을 등록할 때 함께 등록된 분석제한 시간에 따라 분석작업의 시간을 제한한다.
상기와 같이 추출된 특징(Feature)들은 파일저장소(800)에 저장된다.
다음으로, 분류모듈(500)은 추출된 특징들을 분류기(CLASSFIER)에 입력하고, 분류기의 출력에 따라 해당 대상파일을 분류하고 악성코드 여부를 판별한다(S81,S82). 이때, 분류모듈(500)은 정적 분류기에 의한 분류 작업(S81)과, 동적 분류기에 의한 분류작업(S82)를 별도로 구분하여 수행한다.
특히, 특징추출모듈로부터 추출된 특징(Feature)들을 큐로부터 다운로드 받아, 로컬에 저장한 후, 로드된 학습 데이터(training set)를 기준으로 분류기를 통해 후보파일의 악성여부를 판단한다.
바람직하게는, 앞서 추출된 특징들을 텍스트 또는 데이터 파일 타입으로 생성하고, 생성된 텍스트 파일을 분류기에 입력하여 분류한다. 예를 들어, csv(comma-separated values) 파일 타입이나 엑셀(xls) 파일 타입으로 생성한다.
특히, 바람직하게는, 정적 특징에 대하여 정적분류기는 딥러닝 분류기를 이용하여 악성여부를 판단한다. 또한, 동적 특징(Feature) 정보에 대하여 동적 분류기는 지도학습(SUPERVISED LEARING) 모델 중 하나인 랜덤 포레스트(Random Forest)를 이용하여 악성결과를 판단한다.
다음으로, 분류모듈(500)은 각 정적 분류기와 동적 분류기에 의한 결과를 이용하여, 최종적인 악성코드 여부를 판별한다(S91). 그리고 대상파일에 대한 악성코드 여부의 판단 결과는 관리모듈(600)로 전달된다.
특히, 분류모듈(500)은 정적 분류기와 동적 분류기의 결과를 가중치를 부가하여 최종 결과를 도출한다.
최종 평가치, 또는, 최종 악성코드 수치(평가치) R을 다음과 같이 산출한다.
[수학식 1]
Figure 112018020512485-pat00001
여기서, Sb는 정적분류의 정상수치이고, Sm은 정적분류의 악성수치이다. 또한, Db는 동적분류의 정상수치이고, Dm은 동적분류의 악성수치이다.
또한, α는 적용비율(control parameter)이다.
즉, α값이 1에 가까울수록 동적분류 수치가 많이 반영하는 것이고, α값이 0에 가까울수록 정적분류 수치가 많이 반영하는 것이다. α=1이면 동적 분류수치만 반영하는 것이고, α=0이면 정적 분류수치만 반영하는 것이다.
[수학식 2]
Figure 112018020512485-pat00002
그리고 최종 악성코드 수치 또는 최종 평가치가 0 이상인지 그 보다 작은지에 따라 악성코드 또는 정상 코드로 분류한다.
다음으로, 대상파일이 악성코드로 판별되면, 관리모듈(600)은 IOC룰(KILL/Quarantine, IP, HASH, FILENAME, PID 등)을 생성한다(S92). 생성된 IOC룰은 에이전트모듈(700)로 전송된다. 한편, 이때, 화이트리스트/악성리스트에 대한 에이전트(Agent) 파일 갱신에 대한 정보를 동시에 업데이트 한다.
그리고 에이전트모듈(700)은 해당 IOC룰 등의 정보를 받고, 해당 프로세스를 삭제하거나 격리한다(S93).
또한, 대상파일이 악성코드가 아닌 것으로 판별하면, 화이트리스트/악성리스트에 대한 에이전트(Agent) 파일 갱신에 대한 정보를 동시에 업데이트 한다(S94). 상기 정보는 관리모듈(600)의 작업큐나 분배모듈(200)을 통해 관리대상의 모든 에이전트(Agent)로 전달된다.
앞서 설명한 바와 같이, 본 발명에 따른 악성코드 탐지 시스템 및 방법은 정적분석 방법과 동적분석 방법을 모두 사용하는 하이브리드(hybrid) 방식을 채용한다. 이때, 악성코드의 특징 추출에 있어서, 정적(static) 방식과 동적(dynamic) 방식을 통해 다양한 특징을 추출해야 한다. 여기서, 동적 방식이란 악성코드 실행 시 보여지는 다양한 악성행위를 분석하는 것을 말한다.
이와 같이 추출된 특징들을 이용하여, 기계학습(Machine Learning) 기반의 분류기(classifier)를 통해 악성여부를 판단한다. 이때, 정적탐지 방식에서는 딥러닝을 사용하며, 동적탐지 방식에서는 랜덤 포레스트(Random Forest)를 사용한다.
또한, 퍼포먼스 향상을 위해 별도로 동작하도록 구성하고, 최종적으로 정적분석의 결과와 동적분석의 결과를 종합하여 최종 탐지여부를 결정한다.
즉, 본 발명은 에이전트(사용자 단말, 서버 등)에서 수집되는 의심파일(또는 대상파일)에 대하여 기계학습을 기반으로 하는 탐지시스템이다.
또한, 의심파일이 악성파일로 판단될 경우, 최초로 해당 의심파일을 추출하는 사용자 단말 또는 서버 등 에이전트(Agent) 외, 감시 대상 네트워크에 존재하는 다른 에이전트(Agent)에게 해당 파일 정보, 즉, IOC 정보를 전달한다. 그래서 다른 에이전트에서도 IOC 정보에 의해 동일한 것으로 판단되는 파일에 대하여 악성 파일로 격리시키는 대응체계를 갖춘다.
본 발명은 종래기술의 패턴 기반 탐지 방법에 비하여, 높은 탐지율을 가지며, 동일 네트워크에 존재하는 감염 시스템을 동시에 치료할 수 있다.
이상, 본 발명자에 의해서 이루어진 발명을 상기 실시 예에 따라 구체적으로 설명하였지만, 본 발명은 상기 실시 예에 한정되는 것은 아니고, 그 요지를 이탈하지 않는 범위에서 여러 가지로 변경 가능한 것은 물론이다.
10 : 에이전트 30 : 탐지서버
40 : 데이터베이스 80 : 네트워크
100 : 파일수집모듈 200 : 분배모듈
300 : 정보수집모듈 400 : 특징추출모듈
500 : 분류모듈 600 : 관리모듈
700 : 에이전트모듈 800 : 파일저장소
900 : 리포팅모듈 950 : 대쉬보드모듈
1000 : 악성코드 탐지 시스템

Claims (9)

  1. AI 딥러닝 기반의 악성코드 탐지 시스템에 있어서,
    사용자 단말로부터 분석대상인 파일(이하 대상파일) 및, 상기 대상파일의 파일정보를 수집하는 파일수집모듈;
    상기 대상파일의 바이너리 파일을 파일저장소로 저장하고, 수집된 대상파일의 파일정보를 관리모듈로 전송하는 분배모듈;
    상기 대상파일의 파일정보를 이용하여 작업큐에 해당 대상파일에 대한 분석작업을 등록하는 관리모듈;
    작업큐에 등록된 파일정보를 수신받아, 해당 파일정보의 대상파일을 파일저장소로부터 읽어오고, 대상파일을 랜더링(rendering)하여 대상파일이 수행한 기록인 동적 정보를 수집하고, 대상파일의 파일 구조에 의한 속성값들로부터 정적 정보를 수집하는 정보수집모듈;
    수집된 동적 정보 및 정적 정보로부터 사전에 정의한 특징(feature)을 선택적으로 추출하고, 추출된 특징을 저장하는 특징추출모듈;
    기계학습 분류기를 이용하여, 대상파일의 특징을 통해 대상파일에 대한 악성코드 여부를 판단하고, 악성코드 여부의 결과를 관리모듈로 전송하는 분류모듈; 및,
    악성파일을 삭제하거나 격리시키는 에이전트 모듈을 포함하고,
    상기 관리모듈은 상기 분류모듈의 결과에 따른 해당 악성코드에 대하여 IOC(Indicator Of Compromise) 정보를 생성하고, 상기 에이전트 모듈은 상기 IOC 정보에 따라 악성파일을 삭제하거나 격리시키고,
    상기 특징추출모듈은 상기 정보수집모듈로부터 수집된 정적 정보와 동적 정보를 읽어 와서, 기계학습에서 필요한 특징(Feature) 값을 선별적으로 추출하되, 추출되는 특징들은 상기 정보수집모듈로부터 수집된 정보의 일부이거나, 수집된 정보로부터 변환 또는 필터링되어 생성된 값이고,
    상기 기계학습 분류기는 대상파일의 정적 또는 동적 특징값과, 대상파일의 악성코드 여부의 결과값으로 구성되는 학습 데이터에 의해 학습되는 것을 특징으로 하는 AI 딥러닝 기반의 악성코드 탐지 시스템.
  2. 제1항에 있어서, 상기 시스템은,
    대상파일에 대한 분석시간, 파일이름, PID, 파일경로, 해시, 메타정보를 포함하는 동적 정보 및 정적 정보, 대상파일에 대한 처리결과를 문서화하여 처리하는 리포팅 모듈;
    대상파일에 대한 악성코드 여부의 결과정보를 요약하여 시각화하는 대쉬보드 모듈을 더 포함하는 것을 포함하여 구성되는 것을 특징으로 하는 AI 딥러닝 기반의 악성코드 탐지 시스템.
  3. 제1항에 있어서,
    상기 파일수집모듈는, 사용자 단말에서 신규 생성되는 프로세스의 악성여부를 판단하기 위해 해당 프로세스를 추출하고, 해당 프로세스의 실행파일인 대상파일에 대한 파일정보를 수집하는 것을 특징으로 하는 AI 딥러닝 기반의 악성코드 탐지 시스템.
  4. 제1항에 있어서,
    상기 관리모듈은 작업 인덱스(Job idx), 대상파일의 파일정보, 바이너리 파일의 인덱스(idx), 분석제한 시간을 포함하는 분석작업 정보를 등록하되, 상기 분석제한 시간은 대상파일의 동적 정보를 수집하는 데 소요되는 시간을 제한하는 시간인 것을 특징으로 하는 AI 딥러닝 기반의 악성코드 탐지 시스템.
  5. 제1항에 있어서,
    상기 정보수집모듈은 정적분석기를 이용하여 대상파일의 구조정보를 정적 정보로서 수집하되, 대상파일의 헤더 크기, 파일 크기, 데이터(Data) 섹션의 크기, 텍스트(Text) 섹션의 크기, 코드(Code) 섹션의 크기, 헤더의 크기를 수집하고, 동적분석기를 이용하여 대상파일의 동적 정보를 수집하되, 대상파일을 실행한 후 대상파일이 접근하는 DLL함수, API 함수, 레지스트리(Registry) 접근 여부, 수정, 삭제, 및, 생성에 대한 정보, 네트워크 접근 정보를 수집하는 것을 특징으로 하는 AI 딥러닝 기반의 악성코드 탐지 시스템.
  6. 삭제
  7. 제1항에 있어서,
    상기 분류모듈은 상기 특징추출모듈로부터 전달받은 특징들을 정적 분류기와 동적 분류기에 적용하여 대상파일의 악성코드 여부를 출력시키되, 상기 정적 분류기 및 동적 분류기는 기계학습기반 분류기로서, 사전에 학습된 학습 데이터(Train set)을 가지고, 학습된 학습 데이터(Train set)과 비교하여 대상파일의 악성여부를 판단하고, 악성여부를 1-10사이의 확률로 나타내는 베이스라인도 함께 추출하고, 학습 데이터(Train set)는 대상파일의 악성여부를 판단하기 위해 필요한 베이스라인을 수립하기 위해, 사전에 수집된 라벨링(label)된 악성 및 정상파일의 특징(Feature) 정보를 포함하는 데이터인 것을 특징으로 하는 AI 딥러닝 기반의 악성코드 탐지 시스템.
  8. 제1항에 있어서,
    상기 IOC 정보는 악성파일에 대한 파일경로, 파일명, 접속IP, 해시정보를 포함하는 것을 특징으로 하는 AI 딥러닝 기반의 악성코드 탐지 시스템.
  9. 제1항에 있어서,
    상기 에이전트 모듈은 프로세스로부터 대상파일을 수집하면, 화이트리스트를 참조하여 대상파일이 화이트리스트에 존재하는지를 판단하고, 존재하면 대상파일에 대한 추가 작업을 하지 않고, 대상파일이 화이트리스트에 존재하지 않으면, 대상파일이 악성리스트에 존재하는지를 판단하고, 대상파일이 악성리스트에 존재하면 해당 대상파일을 악성코드로 판단하여 삭제하거나 격리하고, 대상파일이 악성리스트에 존재하지 않으면 대상파일이 IOC 정보에 해당하는지를 검사하고, 대상파일이 IOC 정보에 해당하면 해당 대상파일을 악성코드로 판단하여 삭제하거나 격리하고 대상파일을 악성리스트에 추가하여 기록하고, 대상파일이 IOC 정보에 해당하지 않으면 상기 파일수집모듈을 통해 대상파일 및 파일정보를 상기 분배모듈로 전송하도록 하는 것을 특징으로 하는 AI 딥러닝 기반의 악성코드 탐지 시스템.
KR1020180024136A 2018-02-28 2018-02-28 Ai 딥러닝 기반의 악성코드 탐지 시스템 KR101880686B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020180024136A KR101880686B1 (ko) 2018-02-28 2018-02-28 Ai 딥러닝 기반의 악성코드 탐지 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020180024136A KR101880686B1 (ko) 2018-02-28 2018-02-28 Ai 딥러닝 기반의 악성코드 탐지 시스템

Publications (1)

Publication Number Publication Date
KR101880686B1 true KR101880686B1 (ko) 2018-07-20

Family

ID=63103335

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020180024136A KR101880686B1 (ko) 2018-02-28 2018-02-28 Ai 딥러닝 기반의 악성코드 탐지 시스템

Country Status (1)

Country Link
KR (1) KR101880686B1 (ko)

Cited By (33)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101968633B1 (ko) * 2018-08-27 2019-04-12 조선대학교산학협력단 실시간 최신 악성코드 및 침해 진단 서비스 제공 방법
CN109753794A (zh) * 2018-11-30 2019-05-14 北京奇虎科技有限公司 一种恶意应用的识别方法、系统、训练方法、设备及介质
KR102010468B1 (ko) * 2018-09-06 2019-08-14 주식회사 윈스 악성코드 머신 러닝 분류 모델 검증 장치 및 방법
WO2020081264A1 (en) * 2018-10-15 2020-04-23 Mcafee, Llc Systems, methods, and media for identifying and responding to malicious files having similar features
KR20200061276A (ko) * 2018-11-23 2020-06-02 주식회사 마크애니 클라우드 기반 인공지능을 활용한 무결성 검증 시스템, 무결성 검증 방법, 및 장치
KR20200068483A (ko) * 2018-12-05 2020-06-15 단국대학교 산학협력단 정상 또는 악성 앱이 선호하는 특징기능을 멀웨어 탐지 및 분류에 이용하는 멀웨어 탐지 분류 방법 및 시스템
CN111444144A (zh) * 2020-03-04 2020-07-24 奇安信科技集团股份有限公司 文件特征提取方法及装置
KR20200109677A (ko) * 2019-03-14 2020-09-23 주식회사 에프원시큐리티 Ai 기반 머신러닝 교차 검증 기법을 활용한 악성코드 탐지 장치 및 방법
CN111913999A (zh) * 2020-06-08 2020-11-10 华南理工大学 基于多组学与临床数据的统计分析方法、系统和存储介质
KR102177203B1 (ko) * 2020-08-31 2020-11-10 주식회사 엠티커뮤니케이션 악성 코드 탐지 방법 및 컴퓨터 판독 가능한 저장매체
KR102180105B1 (ko) * 2020-08-13 2020-11-17 최원천 장치에 설치된 소프트웨어에 대한 악성 소프트웨어 판단 방법 및 장치
KR102180098B1 (ko) * 2020-08-13 2020-11-17 최원천 악성코드 모니터링 및 사용자 단말 제어 기능을 수행하는 악성코드 탐지 시스템
KR102189361B1 (ko) * 2019-12-02 2020-12-09 주식회사 파고네트웍스 엔드포인트에 기반한 관리형 탐지 및 대응 시스템과 방법
KR20210012107A (ko) 2019-07-24 2021-02-03 주식회사 삼오씨엔에스 머신러닝 기반의 비정상 접속상태 판별 방법
KR102222804B1 (ko) * 2020-03-04 2021-03-04 주식회사 와파스시스템즈 블록체인 기반 악성코드 분석 시스템 및 방법
KR20210035430A (ko) * 2019-09-24 2021-04-01 주식회사 우리은행 사용자 단말 장치 및 그 악성 프로그램 탐지 방법
KR20210057446A (ko) 2019-11-12 2021-05-21 고려대학교 산학협력단 악성코드 공격 피해 규모 측정 방법, 이를 수행하기 위한 기록 매체 및 장치
KR20210092464A (ko) * 2020-01-16 2021-07-26 주식회사 윈스 인공지능을 사용한 네트워크 트래픽 분석 장치 및 방법
CN113761912A (zh) * 2021-08-09 2021-12-07 国家计算机网络与信息安全管理中心 一种对恶意软件归属攻击组织的可解释判定方法及装置
CN114021122A (zh) * 2021-11-02 2022-02-08 北京航空航天大学 一种基于时序网络的交互增强型恶意变种检测方法
KR20220057403A (ko) 2020-10-29 2022-05-09 한국전자통신연구원 가변 길이 명령코드를 이용한 알려지지 않은 악성코드 탐지 장치 및 이를 이용한 방법
KR20220066609A (ko) 2020-11-16 2022-05-24 주식회사 하우리 악성코드 진단시스템 및 진단방법
KR102410151B1 (ko) * 2021-12-08 2022-06-22 에스지에이솔루션즈 주식회사 서버 시스템 로그를 이용한 머신러닝 기반의 관측레벨 측정 및 이에 따른 위험도 산출 방법, 장치 및 컴퓨터-판독 가능 기록 매체
CN114679331A (zh) * 2022-04-11 2022-06-28 北京国联天成信息技术有限公司 一种基于ai技术的恶意代码被动检测方法及系统
KR20220099749A (ko) * 2021-01-07 2022-07-14 국민대학교산학협력단 하이브리드 인공지능 기반의 악성코드 탐지 장치 및 방법
KR102518394B1 (ko) 2021-09-30 2023-04-05 단국대학교 산학협력단 설명 가능한 딥러닝 분석을 활용한 멀웨어 패밀리 분류 네트워크 시스템
KR20230062204A (ko) 2021-10-29 2023-05-09 삼성에스디에스 주식회사 악성 코드 탐지 방법 및 그 장치
CN116468458A (zh) * 2023-03-15 2023-07-21 深圳优钱信息技术有限公司 基于人工智能和神经网络的精准营销白名单提取方法
KR102580888B1 (ko) * 2023-01-13 2023-09-20 주식회사 이스트시큐리티 챗봇 기반의 악성코드 분석대응 방법 및 시스템
US11768938B2 (en) 2020-11-20 2023-09-26 Foundation Of Soongsil University-Industry Cooperation Mobile application malicious behavior pattern detection method based on API call graph extraction and recording medium and device for performing the same
US11790085B2 (en) 2020-10-29 2023-10-17 Electronics And Telecommunications Research Institute Apparatus for detecting unknown malware using variable opcode sequence and method using the same
CN117688565A (zh) * 2024-02-04 2024-03-12 北京中科网芯科技有限公司 恶意应用检测方法及其系统
EP3918500B1 (en) * 2019-03-05 2024-04-24 Siemens Industry Software Inc. Machine learning-based anomaly detections for embedded software applications

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100942795B1 (ko) 2007-11-21 2010-02-18 한국전자통신연구원 악성프로그램 탐지장치 및 그 방법
KR20100089245A (ko) * 2009-02-03 2010-08-12 주식회사 안철수연구소 의심스러운 행위의 수준별 분류 및 격리 실행을 통한 악성 코드 사전 대응 장치, 방법 및 그 방법을 실행하기 위한 프로그램이 기록된 컴퓨터로 읽을 수 있는 기록매체
KR20110088042A (ko) * 2010-01-28 2011-08-03 주식회사 안철수연구소 악성 코드 자동 판별 장치 및 방법
KR20120069173A (ko) * 2010-12-20 2012-06-28 한국인터넷진흥원 악성코드 자동 분석 시스템 및 그 방법
KR20130068421A (ko) * 2011-12-15 2013-06-26 한국인터넷진흥원 악성코드 통합정보 생성 시스템 및 이를 포함하는 악성코드 통합관리 시스템
KR20140090503A (ko) * 2013-01-09 2014-07-17 (주)누스코 앱 미리보기 수행 및 자동 인증 가능한 앱스토어 시스템

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100942795B1 (ko) 2007-11-21 2010-02-18 한국전자통신연구원 악성프로그램 탐지장치 및 그 방법
KR20100089245A (ko) * 2009-02-03 2010-08-12 주식회사 안철수연구소 의심스러운 행위의 수준별 분류 및 격리 실행을 통한 악성 코드 사전 대응 장치, 방법 및 그 방법을 실행하기 위한 프로그램이 기록된 컴퓨터로 읽을 수 있는 기록매체
KR20110088042A (ko) * 2010-01-28 2011-08-03 주식회사 안철수연구소 악성 코드 자동 판별 장치 및 방법
KR20120069173A (ko) * 2010-12-20 2012-06-28 한국인터넷진흥원 악성코드 자동 분석 시스템 및 그 방법
KR20130068421A (ko) * 2011-12-15 2013-06-26 한국인터넷진흥원 악성코드 통합정보 생성 시스템 및 이를 포함하는 악성코드 통합관리 시스템
KR20140090503A (ko) * 2013-01-09 2014-07-17 (주)누스코 앱 미리보기 수행 및 자동 인증 가능한 앱스토어 시스템

Cited By (49)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101968633B1 (ko) * 2018-08-27 2019-04-12 조선대학교산학협력단 실시간 최신 악성코드 및 침해 진단 서비스 제공 방법
KR102010468B1 (ko) * 2018-09-06 2019-08-14 주식회사 윈스 악성코드 머신 러닝 분류 모델 검증 장치 및 방법
US11989293B2 (en) 2018-10-15 2024-05-21 Mcafee, Llc Systems, methods, and media for identifying and responding to malicious files having similar features
WO2020081264A1 (en) * 2018-10-15 2020-04-23 Mcafee, Llc Systems, methods, and media for identifying and responding to malicious files having similar features
KR102628293B1 (ko) * 2018-11-23 2024-01-24 주식회사 마크애니 클라우드 기반 인공지능을 활용한 무결성 검증 시스템, 무결성 검증 방법, 및 장치
KR20200061276A (ko) * 2018-11-23 2020-06-02 주식회사 마크애니 클라우드 기반 인공지능을 활용한 무결성 검증 시스템, 무결성 검증 방법, 및 장치
CN109753794A (zh) * 2018-11-30 2019-05-14 北京奇虎科技有限公司 一种恶意应用的识别方法、系统、训练方法、设备及介质
KR20200068483A (ko) * 2018-12-05 2020-06-15 단국대학교 산학협력단 정상 또는 악성 앱이 선호하는 특징기능을 멀웨어 탐지 및 분류에 이용하는 멀웨어 탐지 분류 방법 및 시스템
KR102174481B1 (ko) * 2018-12-05 2020-11-04 단국대학교 산학협력단 정상 또는 악성 앱이 선호하는 특징기능을 멀웨어 탐지 및 분류에 이용하는 멀웨어 탐지 분류 방법 및 시스템
EP3918500B1 (en) * 2019-03-05 2024-04-24 Siemens Industry Software Inc. Machine learning-based anomaly detections for embedded software applications
KR20200109677A (ko) * 2019-03-14 2020-09-23 주식회사 에프원시큐리티 Ai 기반 머신러닝 교차 검증 기법을 활용한 악성코드 탐지 장치 및 방법
KR102192196B1 (ko) * 2019-03-14 2020-12-17 주식회사 에프원시큐리티 Ai 기반 머신러닝 교차 검증 기법을 활용한 악성코드 탐지 장치 및 방법
KR20210012107A (ko) 2019-07-24 2021-02-03 주식회사 삼오씨엔에스 머신러닝 기반의 비정상 접속상태 판별 방법
KR102272246B1 (ko) * 2019-09-24 2021-07-01 주식회사 우리은행 사용자 단말 장치 및 그 악성 프로그램 탐지 방법
KR20210035430A (ko) * 2019-09-24 2021-04-01 주식회사 우리은행 사용자 단말 장치 및 그 악성 프로그램 탐지 방법
KR20210057446A (ko) 2019-11-12 2021-05-21 고려대학교 산학협력단 악성코드 공격 피해 규모 측정 방법, 이를 수행하기 위한 기록 매체 및 장치
KR102189361B1 (ko) * 2019-12-02 2020-12-09 주식회사 파고네트웍스 엔드포인트에 기반한 관리형 탐지 및 대응 시스템과 방법
US20220417255A1 (en) * 2019-12-02 2022-12-29 Pago Networks, Inc. Managed detection and response system and method based on endpoints
WO2021112494A1 (ko) * 2019-12-02 2021-06-10 주식회사 파고네트웍스 엔드포인트에 기반한 관리형 탐지 및 대응 시스템과 방법
KR20210092464A (ko) * 2020-01-16 2021-07-26 주식회사 윈스 인공지능을 사용한 네트워크 트래픽 분석 장치 및 방법
KR102293773B1 (ko) * 2020-01-16 2021-08-26 주식회사 윈스 인공지능을 사용한 네트워크 트래픽 분석 장치 및 방법
KR102222804B1 (ko) * 2020-03-04 2021-03-04 주식회사 와파스시스템즈 블록체인 기반 악성코드 분석 시스템 및 방법
CN111444144A (zh) * 2020-03-04 2020-07-24 奇安信科技集团股份有限公司 文件特征提取方法及装置
CN111444144B (zh) * 2020-03-04 2023-07-25 奇安信科技集团股份有限公司 文件特征提取方法及装置
CN111913999B (zh) * 2020-06-08 2024-05-28 华南理工大学 基于多组学与临床数据的统计分析方法、系统和存储介质
CN111913999A (zh) * 2020-06-08 2020-11-10 华南理工大学 基于多组学与临床数据的统计分析方法、系统和存储介质
KR102180098B1 (ko) * 2020-08-13 2020-11-17 최원천 악성코드 모니터링 및 사용자 단말 제어 기능을 수행하는 악성코드 탐지 시스템
KR102180105B1 (ko) * 2020-08-13 2020-11-17 최원천 장치에 설치된 소프트웨어에 대한 악성 소프트웨어 판단 방법 및 장치
KR102177203B1 (ko) * 2020-08-31 2020-11-10 주식회사 엠티커뮤니케이션 악성 코드 탐지 방법 및 컴퓨터 판독 가능한 저장매체
US11790085B2 (en) 2020-10-29 2023-10-17 Electronics And Telecommunications Research Institute Apparatus for detecting unknown malware using variable opcode sequence and method using the same
KR20220057403A (ko) 2020-10-29 2022-05-09 한국전자통신연구원 가변 길이 명령코드를 이용한 알려지지 않은 악성코드 탐지 장치 및 이를 이용한 방법
KR20220066609A (ko) 2020-11-16 2022-05-24 주식회사 하우리 악성코드 진단시스템 및 진단방법
US11768938B2 (en) 2020-11-20 2023-09-26 Foundation Of Soongsil University-Industry Cooperation Mobile application malicious behavior pattern detection method based on API call graph extraction and recording medium and device for performing the same
KR102472850B1 (ko) * 2021-01-07 2022-12-01 국민대학교산학협력단 하이브리드 인공지능 기반의 악성코드 탐지 장치 및 방법
KR20220099749A (ko) * 2021-01-07 2022-07-14 국민대학교산학협력단 하이브리드 인공지능 기반의 악성코드 탐지 장치 및 방법
CN113761912A (zh) * 2021-08-09 2021-12-07 国家计算机网络与信息安全管理中心 一种对恶意软件归属攻击组织的可解释判定方法及装置
CN113761912B (zh) * 2021-08-09 2024-04-16 国家计算机网络与信息安全管理中心 一种对恶意软件归属攻击组织的可解释判定方法及装置
KR102518394B1 (ko) 2021-09-30 2023-04-05 단국대학교 산학협력단 설명 가능한 딥러닝 분석을 활용한 멀웨어 패밀리 분류 네트워크 시스템
KR20230062204A (ko) 2021-10-29 2023-05-09 삼성에스디에스 주식회사 악성 코드 탐지 방법 및 그 장치
CN114021122B (zh) * 2021-11-02 2024-05-03 北京航空航天大学 一种基于时序网络的交互增强型恶意变种检测方法
CN114021122A (zh) * 2021-11-02 2022-02-08 北京航空航天大学 一种基于时序网络的交互增强型恶意变种检测方法
KR102410151B1 (ko) * 2021-12-08 2022-06-22 에스지에이솔루션즈 주식회사 서버 시스템 로그를 이용한 머신러닝 기반의 관측레벨 측정 및 이에 따른 위험도 산출 방법, 장치 및 컴퓨터-판독 가능 기록 매체
WO2023106504A1 (ko) * 2021-12-08 2023-06-15 에스지에이솔루션즈 주식회사 서버 시스템 로그를 이용한 머신러닝 기반의 관측레벨 측정 및 이에 따른 위험도 산출 방법, 장치 및 컴퓨터-판독 가능 기록 매체
CN114679331B (zh) * 2022-04-11 2024-02-02 北京国联天成信息技术有限公司 一种基于ai技术的恶意代码被动检测方法及系统
CN114679331A (zh) * 2022-04-11 2022-06-28 北京国联天成信息技术有限公司 一种基于ai技术的恶意代码被动检测方法及系统
KR102580888B1 (ko) * 2023-01-13 2023-09-20 주식회사 이스트시큐리티 챗봇 기반의 악성코드 분석대응 방법 및 시스템
CN116468458A (zh) * 2023-03-15 2023-07-21 深圳优钱信息技术有限公司 基于人工智能和神经网络的精准营销白名单提取方法
CN117688565B (zh) * 2024-02-04 2024-05-03 北京中科网芯科技有限公司 恶意应用检测方法及其系统
CN117688565A (zh) * 2024-02-04 2024-03-12 北京中科网芯科技有限公司 恶意应用检测方法及其系统

Similar Documents

Publication Publication Date Title
KR101880686B1 (ko) Ai 딥러닝 기반의 악성코드 탐지 시스템
US20190073476A1 (en) Automated malware signature generation
US8683216B2 (en) Identifying polymorphic malware
US20150172303A1 (en) Malware Detection and Identification
US11356467B2 (en) Log analysis device, log analysis method, and log analysis program
CN109862003B (zh) 本地威胁情报库的生成方法、装置、系统及存储介质
US10956151B2 (en) Apparatus and method for identifying constituent parts of software binaries
EP2880580A1 (en) Vulnerability vector information analysis
Zakeri et al. A static heuristic approach to detecting malware targets
US20120311709A1 (en) Automatic management system for group and mutant information of malicious codes
CN112887341B (zh) 一种外部威胁监控方法
US10482240B2 (en) Anti-malware device, anti-malware system, anti-malware method, and recording medium in which anti-malware program is stored
CN101183414A (zh) 一种程序检测的方法、装置及程序分析的方法
US20130111018A1 (en) Passive monitoring of virtual systems using agent-less, offline indexing
CN111221625A (zh) 文件检测方法、装置及设备
KR102259884B1 (ko) 관제 대응을 위한 통합진단정보를 제공하기 위한 장치, 이를 위한 방법 및 이 방법을 실행시키기 위한 프로그램이 기록된 컴퓨터 판독 가능한 기록매체
CN113010268B (zh) 恶意程序识别方法及装置、存储介质、电子设备
US20240054210A1 (en) Cyber threat information processing apparatus, cyber threat information processing method, and storage medium storing cyber threat information processing program
Čeponis et al. Evaluation of deep learning methods efficiency for malicious and benign system calls classification on the AWSCTD
WO2023072002A1 (zh) 开源组件包的安全检测方法及装置
CN111368128A (zh) 目标图片的识别方法、装置和计算机可读存储介质
KR102411383B1 (ko) 사이버 위협 정보 처리 장치, 사이버 위협 정보 처리 방법 및 사이버 위협 정보 처리하는 프로그램을 저장하는 저장매체
JP4050253B2 (ja) コンピュータウィルス情報収集装置、コンピュータウィルス情報収集方法、及びプログラム
US20240214406A1 (en) Cyber threat information processing apparatus, cyber threat information processing method, and storage medium storing cyber threat information processing program
KR102437376B1 (ko) 사이버 위협 정보 처리 장치, 사이버 위협 정보 처리 방법 및 사이버 위협 정보 처리하는 프로그램을 저장하는 저장매체

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant