KR101969572B1 - 악성코드 탐지 장치 및 방법 - Google Patents

악성코드 탐지 장치 및 방법 Download PDF

Info

Publication number
KR101969572B1
KR101969572B1 KR1020180072213A KR20180072213A KR101969572B1 KR 101969572 B1 KR101969572 B1 KR 101969572B1 KR 1020180072213 A KR1020180072213 A KR 1020180072213A KR 20180072213 A KR20180072213 A KR 20180072213A KR 101969572 B1 KR101969572 B1 KR 101969572B1
Authority
KR
South Korea
Prior art keywords
malicious code
characteristic information
malicious
analysis module
module
Prior art date
Application number
KR1020180072213A
Other languages
English (en)
Inventor
이대호
이동근
이형
진세민
최심현
김현수
김기환
최성수
신경아
Original Assignee
주식회사 에프원시큐리티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 에프원시큐리티 filed Critical 주식회사 에프원시큐리티
Priority to KR1020180072213A priority Critical patent/KR101969572B1/ko
Priority to PCT/KR2018/011989 priority patent/WO2019245107A1/ko
Application granted granted Critical
Publication of KR101969572B1 publication Critical patent/KR101969572B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

정적 분석 및 동적 분석을 이용하여 악성코드를 보다 정확하게 탐지할 수 있는 악성코드 탐지 장치 및 방법이 개시된다.
본 발명은 전통적인 탐지 방법으로 탐지할 수 없는 악성코드를 탐지하고, 대략의 악성코드를 자동으로 분석하여 탐지 및 처리할 수 있는 효과가 있다.

Description

악성코드 탐지 장치 및 방법{MALICIOUS CODE DETECTION APPARATUS AND METHOD}
본 발명은 웹에 존재하는 악성코드를 탐지하는 장치 및 방법에 관한 것으로서, 보다 상세하게는 정적 분석 및 동적 분석을 이용하여 악성코드를 보다 정확하게 탐지할 수 있는 악성코드 탐지 장치 및 방법에 관한 것이다.
2017년 버라이즌(Verizon)의 데이터 사고 분석 보고에 따르면, 정보 유출 사고의 51%가 악성코드와 연관돼 있고, 평균 악성코드 감염 시간은 6분이라고 한다.
이런 악성코드에 대한 전통적인 대응은 안티 바이러스이며, 이는 현재도 유효한 악성코드 대응 방법이고, 계속해서 새로운 보안 기술을 보강해가며 나름 발전하고 있다.
그러나 새로운 악성코드와 변종 악성코드는 'AV-TEST'(Anti Virus 시험기관) 통계 기준으로 하루에 평균 390,000개가 발생하고 있다.
이에 대한 적절한 대응은 악성코드 전문 분석가들에게도 매우 어려운 일이다.
또한, 각종 분석을 돕기 위한 자동화 도구와 샌드박스 등이 있지만 해커들의 회피 기술 역시 발전해 악성코드 탐지가 더욱 어려워지고 있다.
그리고 지난 10년 동안의 악성코드 증가 추이를 보면 기하급수적으로 증가하는 것을 확인할 수 있다.
특히 악성코드 자신을 숨기는 다양한 방법들이 시도되고, 자동화 변조 보급되는 패턴을 보이고도 있다.
현재의 악성코드 탐지기술은 시그니처 기반의 패턴탐지가 핵심을 이루고 있고, 악성코드의 패턴은 분석가에 의하여 수작업으로 분석되며, 악성코드 패턴을 추출하여 악성코드 데이터베이스에 등록하여 비교하고 있다.
이러한 방법은 더 이상 악성코드의 증가에 따른 대안이 될 수 없다는 문제가 있다.
또한, 최근 랜섬웨어와 같은 패턴을 찾기 어려운 악성코드와 제로 데이(Zero-day)공격과 같이 악성코드가 발견되기 전 확산되는 악성코드에는 속수무책으로 당할 수 밖에 없는 것이 현실이다.
이에 대하여 휴리스틱 탐지 방법과 동적 분석 탐지 방법이 계속 발전하면서 적용되고 있지만 아직까지 현실적인 대안으로는 부족하다.
대한민국 공개특허공보 제2014-0060906호(2014.05.21 공개)
따라서, 이러한 문제점을 해결하기 위한 본 발명의 첫 번째 목적은 전통적인 탐지 방법으로 탐지할 수 없는 악성코드를 탐지하고, 대략의 악성코드를 자동으로 분석하여 탐지 및 처리하며, 신종 악성코드를 탐지하고, 악성코드를 자동으로 분석하여 분류함으로써, 악성코드에 대한 탐지 및 차단의 효율성을 증가시키며, 머신러닝을 통해 신규 악성코드, 제로데이 공격, 랜섬웨어 등과 같은 악성코드를 사전에 예측 및 차단할 수 있는 악성코드 탐지 장치를 제공하는 것이다.
또한, 두 번째 목적은 전통적인 탐지 방법으로 탐지할 수 없는 악성코드를 탐지하고, 대략의 악성코드를 자동으로 분석하여 탐지 및 처리하며, 신종 악성코드를 탐지하고, 악성코드를 자동으로 분석하여 분류함으로써, 악성코드에 대한 탐지 및 차단의 효율성을 증가시키며, 머신러닝을 통해 신규 악성코드, 제로데이 공격, 랜섬웨어 등과 같은 악성코드를 사전에 예측 및 차단할 수 있는 악성코드 탐지 방법을 제공하는 것이다.
상기 첫 번째 목적을 달성하기 위하여 본 발명은 웹을 통해 악성코드를 수집하는 악성코드 수집부, 수집된 상기 악성코드를 분석하여, 악성코드의 특성 정보(Feature Vectors)를 추출하는 악성코드 분석부, 상기 악성코드의 특성 정보를 이용하여, 악성코드를 유형 별로 분류하는 악성코드 분류부, 상기 악성코드의 특성 정보 및 악성코드 유형을 저장하는 저장부 및 상기 저장부가 저장하고 있는 상기 악성코드의 특성 정보 및 악성코드 유형을 이용하여 악성코드를 탐지하는 악성코드 탐지부를 포함하는 악성코드 탐지 장치를 제공한다.
상기 악성코드 수집부는 웹 크롤링을 수행하여, 웹에 존재하는 악성코드를 수집하는 웹 크롤링 모듈, 허니팟을 이용하여, 악성코드를 수집하는 허니넷 모듈 및 외부로부터 수신하는 이메일을 수집하여, 상기 이메일에 존재하는 악성코드를 수집하는 이메일 수집 모듈을 포함할 수 있다.
상기 악성코드 분석부는 상기 악성코드에 대한 정적 분석(Static Analysis)을 수행하여 악성코드의 특성 정보를 추출하는 정적 분석 모듈, 상기 악성코드에 대한 동적 분석(Dynamic Analysis)을 수행하여 악성코드의 특성 정보를 추출하는 동적 분석 모듈 및 상기 정적 분석 모듈 또는 상기 동적 분석 모듈이 추출한 상기 악성코드의 특성 정보를 이용하여, 상기 악성코드의 유포 및 경유지를 판단하는 유포 및 경유지 분석 모듈을 포함할 수 있다.
상기 악성코드 분류부는 상기 악성코드의 특성 정보를 이용하여, 악성코드를 유형 별로 분류(Classification)하는 악성코드 유형 분류 모듈, 상기 악성코드의 특성 정보를 이용하여, 악성코드에 대한 군집화(Clustering)를 수행하는 악성코드 군집화 모듈 및 상기 악성코드의 특성 정보를 판단한 결과, 상기 악성코드가 신규 유형으로 판단된 경우, 상기 악성코드의 유형 및 패턴을 상기 저장부가 저장하도록 제어하고, 상기 신규 유형을 상기 악성코드 유형 분류 모듈이 학습하도록 제어하는 신규 유형 분석 모듈을 포함할 수 있다.
상기 악성코드 탐지 장치는 상기 악성코드 탐지부의 탐지 결과, 해당 웹에 악성코드가 존재한다고 판단된 경우, 상기 악성코드 탐지부의 탐지 결과를 기 설정된 사용자 단말에 송신하는 통신부를 더 포함할 수 있다.
상기 웹 크롤링 모듈은 기 설정된 깊이까지 URL의 링크 페이지의 복사본을 생성하여, 생성된 복사본을 크롤링하여, 악성코드를 수집할 수 있다.
상기 허니넷 모듈은 하나 이상의 허니팟으로 구성되며, 상기 허니팟은 기 설정된 사용자의 시스템과 동일하게 구현되고, 상기 허니팟에 접근하는 모든 정보를 감시하고 감시 결과를 상기 저장부가 저장하도록 제어할 수 있다.
상기 두 번째 목적을 달성하기 위하여 본 발명은 악성코드 수집부가 웹을 통해 악성코드를 수집하는 단계, 악성코드 분석부가 수집된 상기 악성코드를 분석하여, 악성코드의 특성 정보(Feature Vectors)를 추출하는 단계, 악성코드 분류부가 상기 악성코드의 특성 정보를 이용하여, 악성코드를 유형 별로 분류하는 단계;저장부가 상기 악성코드의 특성 정보 및 악성코드 유형을 저장하는 단계 및 악성코드 탐지부가 상기 저장부가 저장하고 있는 상기 악성코드의 특성 정보 및 악성코드 유형을 이용하여 악성코드를 탐지하는 단계를 포함하는 악성코드 탐지 방법을 제공한다.
상기 악성코드 탐지부가 상기 저장부가 저장하고 있는 상기 악성코드의 특성 정보 및 악성코드 유형을 이용하여 악성코드를 탐지하는 단계는 상기 악성코드 탐지부의 탐지 결과, 해당 웹에 악성코드가 존재한다고 판단된 경우, 통신부가 상기 악성코드 탐지부의 탐지 결과를 기 설정된 사용자 단말로 송신하는 단계를 포함할 수 있다.
상기에서 설명한 본 발명의 악성코드 탐지 장치 및 방법에 의하면, 전통적인 탐지 방법으로 탐지할 수 없는 악성코드를 탐지하고, 대략의 악성코드를 자동으로 분석하여 탐지 및 처리하며, 신종 악성코드를 탐지하고, 악성코드를 자동으로 분석하여 분류함으로써, 악성코드에 대한 탐지 및 차단의 효율성을 증가시키며, 머신러닝을 통해 신규 악성코드, 제로데이 공격, 랜섬웨어 등과 같은 악성코드를 사전에 예측 및 차단할 수 있는 효과가 있다.
도 1은 본 발명의 일 실시 예인 악성코드 탐지 장치의 개략적인 구성을 나타낸 도면이다.
도 2는 본 발명의 일 구성인 악성코드 수집부의 개략적인 구성을 나타낸 도면이다.
도 3은 본 발명의 일 구성인 악성코드 분석부의 개략적인 구성을 나타낸 도면이다.
도 4는 본 발명의 일 구성인 악성코드 분류부의 개략적인 구성을 나타낸 도면이다.
도 5는 본 발명의 일 실시 예인 악성코드 탐지 방법의 개략적인 흐름을 나타낸 도면이다.
본 명세서 및 청구범위에 사용된 용어나 단어는 통상적이거나 사전적인 의미로 한정 해석되지 아니하며, 발명자는 그 사용자의 발명을 가장 최선의 방법으로 설명하기 위해 용어의 개념을 적절하게 정의할 수 있다는 원칙에 입각하여 본 발명의 기술적 사상에 부합하는 의미와 개념으로 해석되어야만 한다.
명세서 전체에서, 어떤 부분이 어떤 구성요소를 “포함”한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다. 또한, 명세서에 기재된 “…부”, “…기”, “…단”, “모듈”, “장치” 등의 용어는 적어도 하나의 기능이나 동작을 처리하는 단위를 의미하며, 이는 하드웨어 및/또는 소프트웨어의 결합으로 구현될 수 있다.
본 발명의 실시 예에서 사용되는 용어에 대해 간략히 설명하고, 본 실시 예들에 대해 구체적으로 설명하기로 한다.
본 발명의 실시 예에서 사용되는 용어는 본 발명에서의 기능을 고려하면서 가능한 현재 널리 사용되는 일반적인 용어들을 선택하였으나, 이는 당 분야에 종사하는 기술자의 의도 또는 판례, 새로운 기술의 출현 등에 따라 달라질 수 있다. 또한, 특정한 경우는 출원인이 임의로 선정한 용어도 있으며, 이 경우 해당되는 실시 예들의 설명 부분에서 상세히 그 의미를 기재할 것이다. 따라서 본 실시 예들에서 사용되는 용어는 단순한 용어의 명칭이 아닌, 그 용어가 가지는 의미와 본 실시 예들의 전반에 걸친 내용을 토대로 정의되어야 한다.
본 발명의 실시 예에서, 제1, 제2 등과 같이 서수를 포함하는 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되지는 않는다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다. 예를 들어, 본 발명의 권리 범위를 벗어나지 않으면서 제1 구성요소는 제2 구성요소로 명명될 수 있고, 유사하게 제2 구성요소도 제1 구성요소로 명명될 수 있다. 및/또는 이라는 용어는 복수의 관련된 기재된 항목들의 조합 또는 복수의 관련된 기재된 항목들 중의 어느 항목을 포함한다.
또한, 본 발명의 실시 예에서, 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다.
또한, 본 발명의 실시 예에서, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
또한, 본 발명의 실시 예에서, ‘모듈’ 혹은 ‘부’는 적어도 하나의 기능이나 동작을 수행하며, 하드웨어 또는 소프트웨어로 구현되거나 하드웨어와 소프트웨어의 결합으로 구현될 수 있다. 또한, 복수의‘모듈’ 혹은 복수의‘부’는 특정한 하드웨어로 구현될 필요가 있는 ‘모듈’ 혹은 ‘부’를 제외하고는 적어도 하나의 모듈로 일체화되어 적어도 하나의 프로세서로 구현될 수 있다.
또한, 본 발명의 실시 예에서, 어떤 부분이 다른 부분과 "연결"되어 있다고 할 때, 이는 "직접적으로 연결"되어 있는 경우뿐 아니라, 그 중간에 다른 소자를 사이에 두고 "전기적으로 연결"되어 있는 경우도 포함한다.
이하, 본 발명의 실시 예를 첨부한 도면들을 참조하여 상세히 설명하기로 한다.
도 1은 본 발명의 일 실시 예인 악성코드 탐지 장치의 개략적인 구성을 나타낸 도면이다.
도 1을 참고하면, 악성코드 탐지 장치(1000)는 악성코드 수집부(100), 악성코드 분석부(200), 악성코드 분류부(300), 저장부(400), 악성코드 탐지부(500) 및 통신부(600)를 포함할 수 있다.
악성코드 수집부(100)는 웹을 통해 악성코드를 수집할 수 있다.
그리고 악성코드 분석부(200)는 악성코드 수집부(100)가 수집한 악성코드를 분석하여, 악성코드의 특성 정보(Feature Vectors)를 추출할 수 있다.
또한, 악성코드 분류부(300)는 악성코드의 특성 정보를 이용하여, 악성코드를 유형 별로 분류할 수 있다.
그리고 저장부(400)는 악성코드의 특성 정보 및 악성코드 유형을 저장할 수 있다.
또한, 저장부(400)는 악성코드에 대한 공통 데이터베이스 스키마를 저장하고 있으며, 저장부(400)가 저장하고 있는 악성코드에 대한 공통 데이터베이스 스키마를 이용하여 악성코드 수집부(100)는 웹을 통해 악성코드를 수집할 수 있다.
즉, 악성코드 수집부(100)는 웹을 탐색하면서, 악성코드에 대한 공통 데이터베이스 스키마를 통해 악성코드를 수집할 수 있다.
또한, 악성코드 탐지부(500)는 저장부(400)가 저장하고 있는 악성코드의 특성 정보 및 악성코드 유형을 이용하여 악성코드를 탐지할 수 있다.
즉, 악성코드 탐지부(500)는 저장부(400)가 저장하고 있는 악성코드의 특성 정보 및 악성코드 유형을 이용하여 해당 코드가 악성코드인지 여부를 판단할 수 있다.
그리고 통신부(600)는 악성코드 탐지부(500)의 탐지 결과, 악성코드 탐지부(500)가 해당 웹에 악성코드가 존재한다고 판단한 경우, 악성코드 탐지부(500)의 탐지 결과를 기 설정된 사용자 단말에 송신할 수 있다.
도 2는 본 발명의 일 구성인 악성코드 수집부의 개략적인 구성을 나타낸 도면이다.
도 2를 참고하면, 악성코드 수집부(100)는 웹 크롤링 모듈(110), 허니넷 모듈(120) 및 이메일 수집 모듈(130)을 포함할 수 있다.
웹 크롤링 모듈(110)은 웹 크롤링을 수행하여, 웹에 존재하는 악성코드를 수집할 수 있다.
보다 구체적으로 웹 크롤링 모듈(110)은 기 설정된 깊이까지 URL의 링크 페이지의 복사본을 생성할 수 있고, 생성된 복사본을 크롤링하여 악성코드를 수집할 수 있다.
즉, 웹 크롤링 모듈(110)은 생성된 복사본을 크롤링하고, 크롤링 과정에서 해당 복사본에 악성코드가 존재하는 것으로 악성코드 탐지부(500)가 판단한 경우, 이를 수집할 수 있다.
또한, 허니넷 모듈(120)을 허니팟을 이용하여, 악성코드를 수집할 수 있다.
보다 구체적으로 허니넷 모듈(120)은 하나 이상의 허니팟으로 구성될 수 있고, 이러한 허니팟은 기 설정된 사용자의 시스템과 동일하게 구현될 수 있으며, 허니팟에 접근하는 모든 정보를 감시할 수 있으며, 허니팟은 감시 결과를 저장부(400)가 저장하도록 제어할 수 있다.
이처럼 허니넷 모듈(120)은 허니팟에 접근하는 모든 정보를 감시함으로써, 해당 정보가 악성코드인지 여부를 악성코드 탐지부(500)가 확인할 수 있도록 할 수 있고, 해당 정보가 악성코드라고 악성코드 탐지부(500)가 판단한 경우, 이러한 악성코드를 수집할 수 있다.
이메일 수집 모듈(130)은 외부로부터 기 설정된 사용자 단말이 수신하는 이메일을 수집할 수 있고, 수집한 이메일에 존재하는 악성코드를 수집할 수 있다.
즉, 이메일 수집 모듈(130)은 외부로부터 기 설정된 사용자 단말이 수신하는 이메일에 악성코드가 존재하는 것으로 악성코드 탐지부(500)가 판단한 경우, 해당 악성코드를 수집할 수 있다.
도 3은 본 발명의 일 구성인 악성코드 분석부의 개략적인 구성을 나타낸 도면이다.
도 3을 참고하면, 악성코드 분석부(200)는 정적 분석 모듈(210), 동적 분석 모듈(220) 및 유포 및 경유지 분석 모듈(230)을 포함할 수 있다.
정적 분석 모듈(210)은 악성코드에 대한 정적 분석(Static Analysis)을 수행하여 악성코드의 특성 정보를 추출할 수 있다.
보다 구체적으로, 정적 분석 모듈(210)은 대상파일로부터 스트링(string)을 추출할 수 있고, 대상파일로부터 코드를 추출할 수 있다.
그리고 이러한 정적 분석 모듈(210)은 해당 악성코드의 패턴, 해시 값, 문자열 등을 분석할 수 있다.
또한, 정적 분석 모듈(210)은 PE(Portable Executable) 구조 분석, IAT(Import Address Table) 분석, 파일종류 판별, 백신 진단 확인, 파일 구조 파악, 실행 압축 확인, 파일 비교, 디스 어셈블링, 문자열 확인 등을 수행함으로써, 악성코드의 특성 정보를 추출할 수 있다..
그리고 정적 분석 모듈(210)은 파일 유형 별 수집 또는 추출되는 특성 정보가 상이한 점을 고려할 때, 동일 유형으로 분류되는 악성코드들에 대해서 추출되는 특성 정보를 동일하게 만드는 정규화를 수행할 수 있다.
또한, 정적 분석 모듈(210)은 패킹(PACKING), 암호화, 난독화, 분할 적용 악성코드에 대처하기 위하여, 악성코드에 패킹, 암호화, 난독화, 분할 적용 여부를 판단할 수 있다.
그리고 정적 분석 모듈(210)은 악성코드에 패킹, 암호화, 난독화, 분할이 적용된 경우, 악성코드를 언패킹(UNPACKING) 또는 복호화(디코딩, decoding)을 수행할 수 있다.
또한, 정적 분석 모듈(210)이 수행하는 정적 분석과정에서 악성코드임을 증빙할 수 있는 문자열이 추출 또는 발견되는 경우, 해당 문자열에 대하여 저장부(400)가 악성코드 증거 문자열 사전(Dictionary) 구성을 수행할 수 있도록 저장부(400)를 제어할 수 있다.
그리고 정적 분석 모듈(210)은 추출된 API 목록/순서 등을 통한 악성코드의 특성 정보를 분석할 수 있고, 이 과정에서 소스코드의 유사도를 분석하여 소스코드의 유사도가 포함된 분석 결과를 악성코드 탐지부(500)에게 제공할 수 있다.
이러한 과정을 통해 해당 악성코드가 일부 변형되더라도 악성코드 탐지부(500)가 악성코드로서 판단할 수 있다.
또한, 정적 분석 모듈(210)은 저장부(400)가 악성코드가 갖는 API 유형/순서/조합 등에 대한 증거 패턴 사전(Dictionary) 구성을 수행할 수 있도록 저장부(400)를 제어할 수 있다.
그리고 상술한 정적 분석 모듈(210)은 하기 표 1에 개시된 도구를 사용하여 해당 도구를 용도에 적합하게 이용할 수 있다.
도구 용도
HxD 바이너리 출력 및 편집
HashTab 해시 값 비교
PEiD PE 구조분석
Exeinfo PE PE 구조분석
Detect It Easy PE 구조분석
PE View PE 구조분석
Bin Text 문자열 출력
Strings 문자열 출력
Dependency Walker IAT 분석
Resource Hacker 리소스 분석
또한, 동적 분석 모듈(220)은 악성코드에 대한 동적 분석(Dynamic Analysis)을 수행하여 악성코드의 특성 정보를 추출할 수 있다.
그리고 동적 분석 모듈(220)은 PE파일 형식 악성코드 행위를 분석할 수 있고, 악성코드 유형별(Dropper, Downloader 등) 특성 정보를 추출할 수 있으며, 악성코드 모듈 유형별(EXE, DLL, Script) 특성 정보를 추출할 수 있다.
또한, 동적 분석 모듈(220)은 다형성(Polymorphic) 기법을 이용하여, 압축 또는 암호화를 통한 악성코드 변형을 분석할 수 있으며, 분석 결과를 악성코드 탐지부(500)에 제공할 수 있다.
그리고 동적 분석 모듈(220)은 변형(Metamorphic) 기법을 이용하여, 다양한 변형 기법이 적용된 악성코드에 대한 분석을 수행할 수 있고, 분석 결과를 악성코드 탐지부(500)에 제공할 수 있다.
이를 통해 악성코드 탐지부(500)는 압축, 암호화뿐만 아니라 다양한 변형이 이뤄진 악성코드를 손쉽게 탐지할 수 있는 효과가 있다.
보다 구체적으로 동적 분석 모듈(220)은 프로세스 (생성, 행위), DLL, 파일 생성/삭제, 네트워크 파일 생성/삭제, 레지스트리 등록 등을 수행할 수 있다.
그리고 동적 분석 모듈(220)은 시스템 콜과 빈도수를 분석할 수 있다.
보다 구체적으로, 동적 분석 모듈(220)은 시스템 내의 API 후킹 기술을 사용하여 API 감시, 악성행위를 분석하여 해당 악성코드의 특성 정보를 추출할 수 있다.
또한, 동적 분석 모듈(220)은 시스템 콜 파라미터를 분석할 수 있다.
보다 구체적으로, 동적 분석 모듈(220)은 동일 객체에서 함수에 대한 파라미터와 리턴 값을 추적함으로써, 해당 악성코드의 특성 정보를 추출할 수 있다.
그리고 동적 분석 모듈(220)은 시스템 콜의 흐름 및 순서를 분석할 수 있다.
보다 구체적으로, 동적 분석 모듈(220)은 시스템 콜 그래프(Control Folw Graph, 'CFG') 분석을 통해 프로그램이 해당 코드를 어떻게 처리하는지 분석할 수 있고, 시스템 콜 시퀀스 분석을 통해 처리되는 순서를 분석할 수 있으며, 이러한 과정을 통해 동적 분석 모듈(220)은 악성코드의 특성 정보를 추출할 수 있다.
상술한 과정을 수행하기 위하여 동적 분석 모듈(220)은 샌드박스(Sandbox)를 이용할 수 있다.
그리고 동적 분석 모듈(220)은 Execute Module에서 악성코드를 실행할 수 있고, 동적 분석 모듈(220)은 Malware Status Monitor에서 상태를 모니터링하고 요구 형태에 따라 사용자 행위 개입 유형을 결정할 수 있으며, 동적 분석 모듈(220)은 Base Application Installer 및 Base Application Database를 통해 인스톨이 필요한 악성코드에 대한 자동 설치 핸들링을 수행할 수 있고, 동적 분석 모듈(220)은 Human Interaction Engine 및 User Behavior Database를 통한 마우스 클릭 및 문자 입력 등을 핸들링할 수 있으며, 동적 분석 모듈(220)은 Reset Module에서는 악성코드에 의해 감염된 시스템을 초기화할 수 있고, 동적 분석 모듈(220)은 Malware Behavior Collector는 악성행위를 위해 사용되는 관련된 API 수집하여, 수집된 내용을 저장부(400)가 저장하도록 제어할 수 있다.
또한, 동적 분석 모듈(220)은 프로세스, 파일, 레지스트리, 네트워크 등에 대하여 행위기반 분석을 수행할 수 있고, 이 과정에서 악성코드의 특성 정보를 추출할 수 있다.
그리고 동적 분석 모듈(220)은 추출한 악성코드의 특성 정보에 대하여 정규화를 수행할 수 있다.
또한, 동적 분석 모듈(220)은 호스트 프로세스 행위정보를 수집하고 및 악성코드를 탐지할 수 있다.
보다 구체적으로, 호스트 시스템에 기록되는 로그 정보를 활용하여, 동적 분석 모듈(220)은 악성코드를 탐지할 수 있다.
그리고 동적 분석 모듈(220)은 특성 인자를 정의하고, 호스트 프로세스가 실행되는 동안 호출하는 API를 후킹하여 악성코드를 수집할 수 있고, 호출되는 API의 발생 여부뿐만 아니라, API 호출 시 전달되는 파라미터 정보를 함께 수집하여 악성코드 여부 판단과정에 이용할 수 있다.
그리고 상술한 동적 분석 모듈(220)은 하기 표 2에 개시된 도구를 사용하여 해당 도구를 용도에 적합하게 이용할 수 있다.
구분 도구 용도
행위 분석 Process Explorer 실시간 프로세스 모니터링
Process Monitor 실시간 프로세스 모니터링
WireShark 네트워크 패킷 수집 및 분석
TCP View 네트워크 모니터링
RegShot 레지스트리 비교
REGA 레지스트리 분석
NTFS Log Tracker MFT 분석도구
WinPrefetchView 프리패치 분석 도구
디버거 OllyDBG 디버거
IDA 디버거 및 디컴파일
WinDBG 커널 디버거
또한, 정적 분석 모듈(210) 또는 동적 분석 모듈(220)이 추출한 악성코드의 특성 정보를 저장부(400)가 저장하고, 이를 악성코드 탐지부(500)가 악성코드 탐지에 이용함으로써, 계속적으로 발전하는 악성코드 형태를 악성코드 탐지부(500)가 계속 확인하여, 악성코드로 판단할 수 있다.
그리고 정적 분석 모듈(210) 또는 동적 분석 모듈(220)이 추출한 악성코드의 특성 정보를 이용하여, 통신부(600)는 기 설정된 사용자 단말에 악성코드의 특성 정보 등을 송신함으로써, 기 설정된 시스템에 악성코드가 침투하는 것을 사전에 방지할 수 있다.
또한, 상술한 악성코드 탐지부(500)는 정적 분석 모듈(210) 또는 동적 분석 모듈(220)이 추출한 악성코드의 특성 정보를 이용하여, 악성코드의 기 설정된 시스템 침입 여부를 예측하기 위한 예측모델을 학습할 수 있다.
이 과정에서 악성코드 탐지부(500)에 사람의 신경세포(Biological Neuron)를 모사하여 기계가 학습하도록 하는 인공신경망(Artificial Neural Network) 기반의 기계 학습법인 다층 퍼셉트론 모델 인공신경망 딥러닝(Deep Learning)이 적용될 수 있다.
즉, 악성코드 탐지부(500)가 예측한 하나 이상의 악성코드 침입 예측 모델과 실제 악성코드의 시스템 침입 여부를 비교하여, 악성코드 탐지부(500)는 가장 유사도가 높은 악성코드 침입 예측 모델을 적용하여 시스템 보안 모델을 설정할 수 있다.
그리고 유포 및 경유지 분석 모듈(230)은 정적 분석 모듈(210) 또는 동적 분석 모듈(220)이 추출한 악성코드의 특성 정보를 이용하여, 악성코드의 유포 및 경유지를 판단할 수 있다.
도 4는 본 발명의 일 구성인 악성코드 분류부의 개략적인 구성을 나타낸 도면이다.
도 4를 참고하면, 악성코드 분류부(300)는 악성코드 유형 분류 모듈(310), 악성코드 군집화 모듈(320) 및 신규 유형 분석 모듈(330)을 포함할 수 있다.
악성코드 유형 분류 모듈(310)은 악성코드의 특성 정보를 이용하여, 악성코드를 유형 별로 분류(Classification)할 수 있다.
보다 구체적으로, 악성코드 유형 분류 모듈(310)은 악성코드 분류를 위한 카테고리를 설정할 수 있고, 분류 카테고리 별 학습 데이터를 선별할 수 있다.
그리고 악성코드 유형 분류 모듈(310)은 악성코드 분류를 위한 악성코드 특성 정보를 추출할 수 있고, 이러한 특성 정보는 악성코드의 유형 별로 상이할 수 있다.
또한, 악성코드 유형 분류 모듈(310)은 악성코드의 유형 별 분류를 위하여 머신러닝 지도학습의 분류 알고리즘을 이용할 수 있다.
보다 구체적으로 악성코드 유형 분류 모듈(310)은 KNN(k-Nearest Neighbors), Trees, Logistic Regression, Naive-Bayes, SVM, Polynomial Logistic Regression 등의 알고리즘을 이용할 수 있다.
그리고 악성코드 유형 분류 모듈(310)은 악성코드의 유형, 수집방법, Exploit 유형, 전파방법, 생성 방법, 실행방법 등 메타 속성정보를 수집하여 인공지능 기계학습을 위한 입력정보로 활용할 수 있다.
또한, 악성코드 군집화 모듈(320)은 악성코드의 특성 정보를 이용하여, 악성코드에 대한 군집화(Clustering)를 수행할 수 있다.
이러한 악성코드 군집화 모듈(320)은 K-means, Association Analysis (Apriori, FP-Growth), Hidden Markov Medel 등의 알고리즘을 이용하여 악성코드에 대한 군집화를 수행할 수 있다.
또한, 악성코드 군집화 모듈(320)은 악성코드 유형 분류 모듈(310)이 분류한 결과를 이용하여 악성코드에 대한 군집화를 수행할 수 있다.
그리고 신규 유형 분석 모듈(330)은 악성코드의 특성 정보를 판단한 결과, 악성코드가 신규 유형으로 판단된 경우, 신규 유형으로 판단된 악성코드의 유형 및 패턴을 저장부(400)가 저장하도록 제어하고, 신규 유형을 악성코드 유형 분류 모듈(310)이 학습하도록 제어할 수 있다.
즉, 새로운 유형의 악성코드가 발생하더라도 신규 유형 분석 모듈(330)의 판단 결과를 악성코드 유형 분류 모듈(310)이 학습함으로써, 새로운 유형의 악성코드를 분류할 수 있으며, 저장부(400)가 새로운 유형의 악성코드의 유형, 패턴을 포함하는 악성코드의 특성 정보를 저장함으로써, 악성코드 탐지부(500)는 새로운 유형이더라도 정확하게 악성코드인지 여부를 판단할 수 있다.
도 5는 본 발명의 일 실시 예인 악성코드 탐지 방법의 개략적인 흐름을 나타낸 도면이다.
도 5를 참고하면, 악성코드 수집부(100)는 웹을 통해 악성코드를 수집할 수 있다.(S530)
그리고 악성코드 분석부(200)는 악성코드 수집부(100)가 수집한 악성코드를 분석하여, 악성코드의 특성 정보(Feature Vectors)를 추출할 수 있다.(S531)
또한, 악성코드 분류부(300)는 악성코드의 특성 정보를 이용하여, 악성코드를 유형 별로 분류할 수 있다.(S532)
그리고 저장부(400)는 악성코드의 특성 정보 및 악성코드 유형을 저장할 수 있다.(S533)
또한, 악성코드 탐지부(500)는 저장부(400)가 저장하고 있는 악성코드의 특성 정보 및 악성코드 유형을 이용하여 악성코드를 탐지할 수 있다.(S534)
그리고 악성코드 탐지부(500)의 탐지 결과, 해당 웹에 악성코드가 존재한다고 악성코드 탐지부(500)가 판단한 경우, 통신부(600)는 악성코드 탐지부(500)의 탐지 결과를 기 설정된 사용자 단말로 송신할 수 있다.
상기와 같이 본 발명의 실시 예에 따른 악성코드 탐지 장치 및 방법의 구성 및 동작이 이루어질 수 있으며, 한편 상기 본 발명의 설명에서는 구체적인 실시 예에 관해 설명하였으나 여러 가지 변형이 본 발명의 범위를 벗어나지 않고 실시될 수 있다.
이상에서 본 발명은 비록 한정된 실시 예와 도면에 의해 설명되었으나, 본 발명은 이것에 의해 한정되지 않으며 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에 의해 다양한 수정 및 변형이 가능함은 물론이다.
본 실시 예와 관련된 기술 분야에서 통상의 지식을 가진 자는 상기된 기재의 본질적인 특성에서 벗어나지 않는 범위에서 변형된 형태로 구현될 수 있음을 이해할 수 있을 것이다. 그러므로 개시 방법들은 한정적인 관점이 아니라 설명적인 관점에서 고려되어야 한다. 본 발명의 범위는 전술한 설명이 아니라 특허청구범위에 나타나 있으며, 그와 동등한 범위 내에 있는 모든 차이점은 본 발명에 포함된 것으로 해석되어야 할 것이다.
1000: 악성코드 탐지 장치 100: 악성코드 수집부
110: 웹 크롤링 모듈 120: 허니넷 모듈
130: 이메일 수집 모듈 200: 악성코드 분석부
210: 정적 분석 모듈 220: 동적 분석 모듈
230: 유포 및 경유지 분석 모듈 300: 악성코드 분류부
310: 악성코드 유형 분류 모듈 320: 악성코드 군집화 모듈
330: 신규 유형 분석 모듈 400: 저장부
500: 악성코드 탐지부 600: 통신부

Claims (9)

  1. 웹을 통해 악성코드를 수집하는 악성코드 수집부;
    수집된 상기 악성코드를 분석하여, 악성코드의 특성 정보(Feature Vectors)를 추출하는 악성코드 분석부;
    상기 악성코드의 특성 정보를 이용하여, 악성코드를 유형 별로 분류하는 악성코드 분류부;
    상기 악성코드의 특성 정보 및 악성코드 유형을 저장하는 저장부;및
    상기 저장부가 저장하고 있는 상기 악성코드의 특성 정보 및 악성코드 유형을 이용하여 악성코드를 탐지하는 악성코드 탐지부;
    를 포함하되,
    상기 악성코드 분석부는
    상기 악성코드에 대한 정적 분석(Static Analysis)을 수행하여 악성코드의 특성 정보를 추출하는 정적 분석 모듈;
    상기 악성코드에 대한 동적 분석(Dynamic Analysis)을 수행하여 악성코드의 특성 정보를 추출하는 동적 분석 모듈;및
    상기 정적 분석 모듈 또는 상기 동적 분석 모듈이 추출한 상기 악성코드의 특성 정보를 이용하여, 상기 악성코드의 유포 및 경유지를 판단하는 유포 및 경유지 분석 모듈;
    을 포함하며,
    상기 악성코드 탐지부는
    상기 정적 분석 모듈 또는 상기 동적 분석 모듈이 추출한 악성코드의 특성 정보를 이용하여, 악성코드의 시스템 침입 여부를 예측하기 위한 예측모델을 학습하며, 예측한 하나 이상의 악성코드 침입 예측 모델과 실제 악성코드의 시스템 침입 여부를 비교하여, 가장 유사도가 높은 악성코드 침입 예측 모델을 적용하여 시스템 보안 모델을 설정하고,
    상기 정적 분석 모듈은
    PE(Portable Executable) 구조 분석, IAT(Import Address Table) 분석, 파일종류 판별, 백신 진단 확인, 파일 구조 파악, 실행 압축 확인, 파일 비교, 디스 어셈블링 및 문자열 확인 중 적어도 하나를 수행함으로써, 악성코드의 특성 정보를 추출하고, 악성코드의 패턴, 해시 값 및 문자열 중 적어도 하나를 분석하며, 동일 유형으로 분류되는 악성코드들에 대해서 추출되는 특성 정보에 대하여 정규화를 수행하며, API 목록/순서를 통해 악성코드의 특성 정보를 분석하며, 이를 통해 악성코드의 소스코드 유사도를 분석하고, 소스코드의 유사도가 포함된 분석 결과를 상기 악성코드 탐지부에 송신하며,
    상기 동적 분석 모듈은
    다형성(Polymorphic) 기법을 이용하여, 압축 또는 암호화를 통한 악성코드 변형을 분석하고, 변형(Metamorphic) 기법을 이용하여, 변형 기법이 적용된 악성코드에 대한 분석하여, 분석 결과를 상기 악성코드 탐지부에 송신하고, 시스템 콜 파라미터를 분석하며, 동일 객체에서 함수에 대한 파라미터와 리턴 값을 추적함으로써, 해당 악성코드의 특성 정보를 추출하고, 시스템 콜 그래프(Control Folw Graph, 'CFG') 분석을 통해 프로그램이 해당 코드를 어떻게 처리하는지 분석하며, 시스템 콜 시퀀스 분석을 통해 처리되는 순서를 분석하여, 악성코드의 특성 정보를 추출하며, 추출한 악성코드의 특성 정보에 대하여 정규화를 수행하는 것을 특징으로 하는 악성코드 탐지 장치.
  2. 제1항에 있어서,
    상기 악성코드 수집부는
    웹 크롤링을 수행하여, 웹에 존재하는 악성코드를 수집하는 웹 크롤링 모듈;
    허니팟을 이용하여, 악성코드를 수집하는 허니넷 모듈;및
    외부로부터 수신하는 이메일을 수집하여, 상기 이메일에 존재하는 악성코드를 수집하는 이메일 수집 모듈;
    을 포함하는 악성코드 탐지 장치.
  3. 삭제
  4. 제1항에 있어서,
    상기 악성코드 분류부는
    상기 악성코드의 특성 정보를 이용하여, 악성코드를 유형 별로 분류(Classification)하는 악성코드 유형 분류 모듈;
    상기 악성코드의 특성 정보를 이용하여, 악성코드에 대한 군집화(Clustering)를 수행하는 악성코드 군집화 모듈;및
    상기 악성코드의 특성 정보를 판단한 결과, 상기 악성코드가 신규 유형으로 판단된 경우, 상기 악성코드의 유형 및 패턴을 상기 저장부가 저장하도록 제어하고, 상기 신규 유형을 상기 악성코드 유형 분류 모듈이 학습하도록 제어하는 신규 유형 분석 모듈;
    을 포함하는 악성코드 탐지 장치.
  5. 제1항에 있어서,
    상기 악성코드 탐지부의 탐지 결과, 해당 웹에 악성코드가 존재한다고 판단된 경우, 상기 악성코드 탐지부의 탐지 결과를 기 설정된 사용자 단말에 송신하는 통신부;
    를 더 포함하는 악성코드 탐지 장치.
  6. 제2항에 있어서,
    상기 웹 크롤링 모듈은
    기 설정된 깊이까지 URL의 링크 페이지의 복사본을 생성하여, 생성된 복사본을 크롤링하여, 악성코드를 수집하는 것을 특징으로 하는 악성코드 탐지 장치.
  7. 제2항에 있어서,
    상기 허니넷 모듈은
    하나 이상의 허니팟으로 구성되며,
    상기 허니팟은
    기 설정된 사용자의 시스템과 동일하게 구현되고, 상기 허니팟에 접근하는 모든 정보를 감시하고 감시 결과를 상기 저장부가 저장하도록 제어하는 것을 특징으로 하는 악성코드 탐지 장치.
  8. 악성코드 수집부가 웹을 통해 악성코드를 수집하는 단계;
    악성코드 분석부가 수집된 상기 악성코드를 분석하여, 악성코드의 특성 정보(Feature Vectors)를 추출하는 단계;
    악성코드 분류부가 상기 악성코드의 특성 정보를 이용하여, 악성코드를 유형 별로 분류하는 단계;
    저장부가 상기 악성코드의 특성 정보 및 악성코드 유형을 저장하는 단계;및
    악성코드 탐지부가 상기 저장부가 저장하고 있는 상기 악성코드의 특성 정보 및 악성코드 유형을 이용하여 악성코드를 탐지하는 단계;
    를 포함하되,
    상기 악성코드 분석부가 수집된 상기 악성코드를 분석하여, 악성코드의 특성 정보(Feature Vectors)를 추출하는 단계는
    정적 분석 모듈이 PE(Portable Executable) 구조 분석, IAT(Import Address Table) 분석, 파일종류 판별, 백신 진단 확인, 파일 구조 파악, 실행 압축 확인, 파일 비교, 디스 어셈블링 및 문자열 확인 중 적어도 하나를 수행하는 단계;
    상기 정적 분석 모듈이 악성코드의 특성 정보를 추출하는 단계;
    상기 정적 분석 모듈이 악성코드의 패턴, 해시 값 및 문자열 중 적어도 하나를 분석하는 단계;
    상기 정적 분석 모듈이 동일 유형으로 분류되는 악성코드들에 대해서 추출되는 특성 정보에 대하여 정규화를 수행하는 단계;
    상기 정적 분석 모듈이 API 목록/순서를 통해 악성코드의 특성 정보를 분석하는 단계;
    상기 정적 분석 모듈이 API 목록/순서를 통해 악성코드의 특성 정보를 분석한 결과를 통해 악성코드의 소스코드 유사도를 분석하는 단계;
    상기 정적 분석 모듈이 소스코드의 유사도가 포함된 분석 결과를 상기 악성코드 탐지부에 송신하는 단계;
    동적 분석 모듈이 다형성(Polymorphic) 기법을 이용하여, 압축 또는 암호화를 통한 악성코드 변형을 분석하는 단계;
    상기 동적 분석 모듈이 변형(Metamorphic) 기법을 이용하여, 변형 기법이 적용된 악성코드에 대한 분석하는 단계;
    상기 동적 분석 모듈이 분석 결과를 상기 악성코드 탐지부에 송신하는 단계;
    상기 동적 분석 모듈이 시스템 콜 파라미터를 분석하는 단계;
    상기 동적 분석 모듈이 동일 객체에서 함수에 대한 파라미터와 리턴 값을 추적함으로써, 해당 악성코드의 특성 정보를 추출하는 단계;
    상기 동적 분석 모듈이 시스템 콜 그래프(Control Folw Graph, 'CFG') 분석을 통해 프로그램이 해당 코드를 어떻게 처리하는지 분석하는 단계;
    상기 동적 분석 모듈이 시스템 콜 시퀀스 분석을 통해 처리되는 순서를 분석하여, 악성코드의 특성 정보를 추출하는 단계;및
    상기 동적 분석 모듈이 동일 유형으로 분류되는 악성코드들에 대해서 추출되는 특성 정보에 대하여 정규화를 수행하는 단계;
    를 포함하고,
    악성코드 탐지부가 상기 저장부가 저장하고 있는 상기 악성코드의 특성 정보 및 악성코드 유형을 이용하여 악성코드를 탐지하는 단계는
    상기 악성코드 탐지부가 상기 정적 분석 모듈 또는 상기 동적 분석 모듈이 추출한 악성코드의 특성 정보를 이용하여, 악성코드의 시스템 침입 여부를 예측하기 위한 예측모델을 학습하는 단계;
    상기 악성코드 탐지부가 예측한 하나 이상의 악성코드 침입 예측 모델과 실제 악성코드의 시스템 침입 여부를 비교하는 단계;및
    상기 악성코드 탐지부가 가장 유사도가 높은 악성코드 침입 예측 모델을 적용하여 시스템 보안 모델을 설정하는 단계;
    를 포함하는 악성코드 탐지 방법.
  9. 제8항에 있어서,
    상기 악성코드 탐지부가 상기 저장부가 저장하고 있는 상기 악성코드의 특성 정보 및 악성코드 유형을 이용하여 악성코드를 탐지하는 단계는
    상기 악성코드 탐지부의 탐지 결과, 해당 웹에 악성코드가 존재한다고 판단된 경우, 통신부가 상기 악성코드 탐지부의 탐지 결과를 기 설정된 사용자 단말로 송신하는 단계;
    를 포함하는 악성코드 탐지 방법.
KR1020180072213A 2018-06-22 2018-06-22 악성코드 탐지 장치 및 방법 KR101969572B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020180072213A KR101969572B1 (ko) 2018-06-22 2018-06-22 악성코드 탐지 장치 및 방법
PCT/KR2018/011989 WO2019245107A1 (ko) 2018-06-22 2018-10-11 악성코드 탐지 장치 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020180072213A KR101969572B1 (ko) 2018-06-22 2018-06-22 악성코드 탐지 장치 및 방법

Publications (1)

Publication Number Publication Date
KR101969572B1 true KR101969572B1 (ko) 2019-04-16

Family

ID=66281729

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020180072213A KR101969572B1 (ko) 2018-06-22 2018-06-22 악성코드 탐지 장치 및 방법

Country Status (2)

Country Link
KR (1) KR101969572B1 (ko)
WO (1) WO2019245107A1 (ko)

Cited By (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102120200B1 (ko) * 2019-12-27 2020-06-17 주식회사 와이햇에이아이 악성 코드 수집 방법 및 시스템
WO2020236981A1 (en) * 2019-05-20 2020-11-26 Sentinel Labs Israel Ltd. Systems and methods for executable code detection, automatic feature extraction and position independent code detection
US10977370B2 (en) 2014-08-11 2021-04-13 Sentinel Labs Israel Ltd. Method of remediating operations performed by a program and system thereof
KR20210051669A (ko) * 2019-10-31 2021-05-10 삼성에스디에스 주식회사 악성 코드 탐지 모델 학습 방법 및 이를 이용한 탐지 방법
KR20210056800A (ko) * 2019-11-11 2021-05-20 (주)하몬소프트 관심 동작 영역 기반의 edr 장치 및 방법
KR20210056790A (ko) * 2019-11-11 2021-05-20 (주)하몬소프트 동적인 분석 플랜을 이용하는 edr 장치 및 방법
KR20210092464A (ko) * 2020-01-16 2021-07-26 주식회사 윈스 인공지능을 사용한 네트워크 트래픽 분석 장치 및 방법
KR102283054B1 (ko) * 2020-11-20 2021-07-29 숭실대학교 산학협력단 Api 호출 그래프 추출 기반 모바일 애플리케이션 악성 행위 패턴 탐지 방법, 이를 수행하기 위한 기록 매체 및 장치
US11212309B1 (en) 2017-08-08 2021-12-28 Sentinel Labs Israel Ltd. Methods, systems, and devices for dynamically modeling and grouping endpoints for edge networking
US11507663B2 (en) 2014-08-11 2022-11-22 Sentinel Labs Israel Ltd. Method of remediating operations performed by a program and system thereof
US11573785B2 (en) 2020-05-14 2023-02-07 International Business Machines Corporation Predicting code vulnerabilities using machine learning classifier models trained on internal analysis states
US11579857B2 (en) 2020-12-16 2023-02-14 Sentinel Labs Israel Ltd. Systems, methods and devices for device fingerprinting and automatic deployment of software in a computing network using a peer-to-peer approach
US11616812B2 (en) 2016-12-19 2023-03-28 Attivo Networks Inc. Deceiving attackers accessing active directory data
US11625485B2 (en) 2014-08-11 2023-04-11 Sentinel Labs Israel Ltd. Method of malware detection and system thereof
US11695800B2 (en) 2016-12-19 2023-07-04 SentinelOne, Inc. Deceiving attackers accessing network data
KR20230123834A (ko) 2022-02-17 2023-08-24 주식회사 아이티스테이션 해시 기반 악성파일 판단 방법 및 이를 이용한 시스템
US11768938B2 (en) 2020-11-20 2023-09-26 Foundation Of Soongsil University-Industry Cooperation Mobile application malicious behavior pattern detection method based on API call graph extraction and recording medium and device for performing the same
US11888897B2 (en) 2018-02-09 2024-01-30 SentinelOne, Inc. Implementing decoys in a network environment
US11899782B1 (en) 2021-07-13 2024-02-13 SentinelOne, Inc. Preserving DLL hooks

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112653660A (zh) * 2020-09-02 2021-04-13 浙江德迅网络安全技术有限公司 一种Javascript在恶意网页异常检测方法
CN112632531A (zh) * 2020-12-15 2021-04-09 平安科技(深圳)有限公司 恶意代码的识别方法、装置、计算机设备及介质
CN113507445B (zh) * 2021-06-10 2022-05-17 广州大学 一种物联网第三方规则安全性的检测方法和装置
EP4109309A1 (en) * 2021-06-22 2022-12-28 Acronis International GmbH Machine learning through iterative memory analysis for malware detection
US11921850B2 (en) 2021-06-23 2024-03-05 Acronis International Gmbh Iterative memory analysis for malware detection
US11836252B2 (en) 2021-06-23 2023-12-05 Acronis International Gmbh Machine learning through iterative memory analysis for malware detection
WO2024029919A1 (ko) * 2022-08-04 2024-02-08 주식회사 샌즈랩 사이버 위협 정보 처리 장치, 사이버 위협 정보 처리 방법 및 사이버 위협 정보 처리하는 프로그램을 저장하는 저장매체

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20080079767A (ko) * 2007-02-28 2008-09-02 학교법인 대전기독학원 대형 네트워크에서 실시간 사이버 침입에 대한 이벤트유형의 정형화 시스템 및 방법
KR101070184B1 (ko) * 2011-02-24 2011-10-07 주식회사 윈스테크넷 멀티스레드 사이트 크롤러를 이용한 악성코드 자동수집, 자동분석시스템과 보안장비 연동을 통한 악성코드접근차단시스템 및 방법
KR20130068421A (ko) * 2011-12-15 2013-06-26 한국인터넷진흥원 악성코드 통합정보 생성 시스템 및 이를 포함하는 악성코드 통합관리 시스템
KR20140060906A (ko) 2012-11-13 2014-05-21 한국인터넷진흥원 이메일 기반 문서형 악성코드 고속탐지 시스템 및 방법
KR101725399B1 (ko) * 2015-11-06 2017-04-11 한국인터넷진흥원 호스트 레벨 기반 악성 스크립트 탐지 및 실행 방지 장치와 악성 스크립트 탐지 및 실행 방지 방법

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101860915B1 (ko) * 2016-09-21 2018-05-28 주식회사 시큐아이 보안 장치 및 그 구동 방법

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20080079767A (ko) * 2007-02-28 2008-09-02 학교법인 대전기독학원 대형 네트워크에서 실시간 사이버 침입에 대한 이벤트유형의 정형화 시스템 및 방법
KR101070184B1 (ko) * 2011-02-24 2011-10-07 주식회사 윈스테크넷 멀티스레드 사이트 크롤러를 이용한 악성코드 자동수집, 자동분석시스템과 보안장비 연동을 통한 악성코드접근차단시스템 및 방법
KR20130068421A (ko) * 2011-12-15 2013-06-26 한국인터넷진흥원 악성코드 통합정보 생성 시스템 및 이를 포함하는 악성코드 통합관리 시스템
KR20140060906A (ko) 2012-11-13 2014-05-21 한국인터넷진흥원 이메일 기반 문서형 악성코드 고속탐지 시스템 및 방법
KR101725399B1 (ko) * 2015-11-06 2017-04-11 한국인터넷진흥원 호스트 레벨 기반 악성 스크립트 탐지 및 실행 방지 장치와 악성 스크립트 탐지 및 실행 방지 방법

Cited By (44)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US12026257B2 (en) 2014-08-11 2024-07-02 Sentinel Labs Israel Ltd. Method of malware detection and system thereof
US10977370B2 (en) 2014-08-11 2021-04-13 Sentinel Labs Israel Ltd. Method of remediating operations performed by a program and system thereof
US11507663B2 (en) 2014-08-11 2022-11-22 Sentinel Labs Israel Ltd. Method of remediating operations performed by a program and system thereof
US11886591B2 (en) 2014-08-11 2024-01-30 Sentinel Labs Israel Ltd. Method of remediating operations performed by a program and system thereof
US11625485B2 (en) 2014-08-11 2023-04-11 Sentinel Labs Israel Ltd. Method of malware detection and system thereof
US11616812B2 (en) 2016-12-19 2023-03-28 Attivo Networks Inc. Deceiving attackers accessing active directory data
US11997139B2 (en) 2016-12-19 2024-05-28 SentinelOne, Inc. Deceiving attackers accessing network data
US11695800B2 (en) 2016-12-19 2023-07-04 SentinelOne, Inc. Deceiving attackers accessing network data
US11722506B2 (en) 2017-08-08 2023-08-08 Sentinel Labs Israel Ltd. Methods, systems, and devices for dynamically modeling and grouping endpoints for edge networking
US11838306B2 (en) 2017-08-08 2023-12-05 Sentinel Labs Israel Ltd. Methods, systems, and devices for dynamically modeling and grouping endpoints for edge networking
US11838305B2 (en) 2017-08-08 2023-12-05 Sentinel Labs Israel Ltd. Methods, systems, and devices for dynamically modeling and grouping endpoints for edge networking
US11212309B1 (en) 2017-08-08 2021-12-28 Sentinel Labs Israel Ltd. Methods, systems, and devices for dynamically modeling and grouping endpoints for edge networking
US11716341B2 (en) 2017-08-08 2023-08-01 Sentinel Labs Israel Ltd. Methods, systems, and devices for dynamically modeling and grouping endpoints for edge networking
US11716342B2 (en) 2017-08-08 2023-08-01 Sentinel Labs Israel Ltd. Methods, systems, and devices for dynamically modeling and grouping endpoints for edge networking
US11245714B2 (en) 2017-08-08 2022-02-08 Sentinel Labs Israel Ltd. Methods, systems, and devices for dynamically modeling and grouping endpoints for edge networking
US11245715B2 (en) 2017-08-08 2022-02-08 Sentinel Labs Israel Ltd. Methods, systems, and devices for dynamically modeling and grouping endpoints for edge networking
US11290478B2 (en) 2017-08-08 2022-03-29 Sentinel Labs Israel Ltd. Methods, systems, and devices for dynamically modeling and grouping endpoints for edge networking
US11876819B2 (en) 2017-08-08 2024-01-16 Sentinel Labs Israel Ltd. Methods, systems, and devices for dynamically modeling and grouping endpoints for edge networking
US11973781B2 (en) 2017-08-08 2024-04-30 Sentinel Labs Israel Ltd. Methods, systems, and devices for dynamically modeling and grouping endpoints for edge networking
US11522894B2 (en) 2017-08-08 2022-12-06 Sentinel Labs Israel Ltd. Methods, systems, and devices for dynamically modeling and grouping endpoints for edge networking
US11888897B2 (en) 2018-02-09 2024-01-30 SentinelOne, Inc. Implementing decoys in a network environment
US11790079B2 (en) 2019-05-20 2023-10-17 Sentinel Labs Israel Ltd. Systems and methods for executable code detection, automatic feature extraction and position independent code detection
US11580218B2 (en) 2019-05-20 2023-02-14 Sentinel Labs Israel Ltd. Systems and methods for executable code detection, automatic feature extraction and position independent code detection
WO2020236981A1 (en) * 2019-05-20 2020-11-26 Sentinel Labs Israel Ltd. Systems and methods for executable code detection, automatic feature extraction and position independent code detection
US11210392B2 (en) 2019-05-20 2021-12-28 Sentinel Labs Israel Ltd. Systems and methods for executable code detection, automatic feature extraction and position independent code detection
US11475133B2 (en) 2019-10-31 2022-10-18 Samsung Sds Co., Ltd. Method for machine learning of malicious code detecting model and method for detecting malicious code using the same
KR20210051669A (ko) * 2019-10-31 2021-05-10 삼성에스디에스 주식회사 악성 코드 탐지 모델 학습 방법 및 이를 이용한 탐지 방법
KR102317833B1 (ko) * 2019-10-31 2021-10-25 삼성에스디에스 주식회사 악성 코드 탐지 모델 학습 방법 및 이를 이용한 탐지 방법
KR102348357B1 (ko) * 2019-11-11 2022-01-11 (주)하몬소프트 동적인 분석 플랜을 이용하는 edr 장치 및 방법
KR102348359B1 (ko) * 2019-11-11 2022-01-11 (주)하몬소프트 관심 동작 영역 기반의 edr 장치 및 방법
KR20210056800A (ko) * 2019-11-11 2021-05-20 (주)하몬소프트 관심 동작 영역 기반의 edr 장치 및 방법
KR20210056790A (ko) * 2019-11-11 2021-05-20 (주)하몬소프트 동적인 분석 플랜을 이용하는 edr 장치 및 방법
KR102120200B1 (ko) * 2019-12-27 2020-06-17 주식회사 와이햇에이아이 악성 코드 수집 방법 및 시스템
KR20210092464A (ko) * 2020-01-16 2021-07-26 주식회사 윈스 인공지능을 사용한 네트워크 트래픽 분석 장치 및 방법
KR102293773B1 (ko) * 2020-01-16 2021-08-26 주식회사 윈스 인공지능을 사용한 네트워크 트래픽 분석 장치 및 방법
US11573785B2 (en) 2020-05-14 2023-02-07 International Business Machines Corporation Predicting code vulnerabilities using machine learning classifier models trained on internal analysis states
US11768938B2 (en) 2020-11-20 2023-09-26 Foundation Of Soongsil University-Industry Cooperation Mobile application malicious behavior pattern detection method based on API call graph extraction and recording medium and device for performing the same
KR102283054B1 (ko) * 2020-11-20 2021-07-29 숭실대학교 산학협력단 Api 호출 그래프 추출 기반 모바일 애플리케이션 악성 행위 패턴 탐지 방법, 이를 수행하기 위한 기록 매체 및 장치
WO2022107963A1 (ko) * 2020-11-20 2022-05-27 숭실대학교 산학협력단 Api 호출 그래프 추출 기반 모바일 애플리케이션 악성 행위 패턴 탐지 방법, 이를 수행하기 위한 기록 매체 및 장치
US11579857B2 (en) 2020-12-16 2023-02-14 Sentinel Labs Israel Ltd. Systems, methods and devices for device fingerprinting and automatic deployment of software in a computing network using a peer-to-peer approach
US11748083B2 (en) 2020-12-16 2023-09-05 Sentinel Labs Israel Ltd. Systems, methods and devices for device fingerprinting and automatic deployment of software in a computing network using a peer-to-peer approach
US11899782B1 (en) 2021-07-13 2024-02-13 SentinelOne, Inc. Preserving DLL hooks
KR20230123834A (ko) 2022-02-17 2023-08-24 주식회사 아이티스테이션 해시 기반 악성파일 판단 방법 및 이를 이용한 시스템
KR102691082B1 (ko) 2022-02-17 2024-08-05 주식회사 아이티스테이션 해시 기반 악성파일 판단 방법 및 이를 이용한 시스템

Also Published As

Publication number Publication date
WO2019245107A1 (ko) 2019-12-26

Similar Documents

Publication Publication Date Title
KR101969572B1 (ko) 악성코드 탐지 장치 및 방법
Aslan et al. A comprehensive review on malware detection approaches
Kim et al. A multimodal deep learning method for android malware detection using various features
Bazrafshan et al. A survey on heuristic malware detection techniques
Galal et al. Behavior-based features model for malware detection
US9762593B1 (en) Automatic generation of generic file signatures
Bayazit et al. Malware detection in android systems with traditional machine learning models: a survey
US20160021174A1 (en) Computer implemented method for classifying mobile applications and computer programs thereof
Alam et al. Mining nested flow of dominant APIs for detecting android malware
Aslan et al. Using a subtractive center behavioral model to detect malware
Apvrille et al. Identifying unknown android malware with feature extractions and classification techniques
Uppal et al. Exploring behavioral aspects of API calls for malware identification and categorization
US20240054210A1 (en) Cyber threat information processing apparatus, cyber threat information processing method, and storage medium storing cyber threat information processing program
Akhtar Malware detection and analysis: Challenges and research opportunities
Eskandari et al. To incorporate sequential dynamic features in malware detection engines
Bernardi et al. A fuzzy-based process mining approach for dynamic malware detection
Martín et al. String-based malware detection for android environments
Chowdhury et al. Malware detection for healthcare data security
Albishry et al. An attribute extraction for automated malware attack classification and detection using soft computing techniques
US20230214489A1 (en) Rootkit detection based on system dump files analysis
Hassan et al. Android malware variant detection by comparing traditional antivirus
Du et al. A mobile malware detection method based on malicious subgraphs mining
Khalid et al. VolMemDroid—Investigating android malware insights with volatile memory artifacts
Martinelli et al. How discover a malware using model checking
Verma et al. MDroid: android based malware detection using MCM classifier

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant