KR102017756B1 - 이상행위 탐지 장치 및 방법 - Google Patents

이상행위 탐지 장치 및 방법 Download PDF

Info

Publication number
KR102017756B1
KR102017756B1 KR1020140003781A KR20140003781A KR102017756B1 KR 102017756 B1 KR102017756 B1 KR 102017756B1 KR 1020140003781 A KR1020140003781 A KR 1020140003781A KR 20140003781 A KR20140003781 A KR 20140003781A KR 102017756 B1 KR102017756 B1 KR 102017756B1
Authority
KR
South Korea
Prior art keywords
behavior
suspicious
system resource
model
action
Prior art date
Application number
KR1020140003781A
Other languages
English (en)
Other versions
KR20150084123A (ko
Inventor
김현주
김익균
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020140003781A priority Critical patent/KR102017756B1/ko
Priority to US14/248,845 priority patent/US20150199512A1/en
Publication of KR20150084123A publication Critical patent/KR20150084123A/ko
Application granted granted Critical
Publication of KR102017756B1 publication Critical patent/KR102017756B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Debugging And Monitoring (AREA)

Abstract

본 발명은 이상행위 탐지 장치 및 방법에 관한 것으로, 시스템 상에서 프로세스가 실행되는 동안 상기 프로세스로부터 수집한 데이터에 근거하여 시스템 자원별로 발생한 행위를 분석하는 행위 분석부, 상기 시스템 자원별 행위를 기반으로 생성된 좌표 상에 각 시스템 자원별 행위 분석 결과를 모델링 하여 상기 시스템의 자원들에 대응하는 프로세스 행위 모델을 생성하는 행위 모델링부, 상기 시스템 자원별 행위를 기반으로 생성된 좌표 상에 구현된 프로세스 행위 모델의 형태에 따라 해당 프로세스의 의심행위를 판별하는 의심행위 판별부, 및 상기 의심행위 판별부의 판별 결과에 따라 의심행위가 발생한 프로세스를 이상행위 프로세스로 탐지하는 프로세스 탐지부를 포함한다.

Description

이상행위 탐지 장치 및 방법{Apparatus and method for detecting abnormal behavior}
본 발명은 이상행위 탐지 장치 및 방법에 관한 것으로, 시스템에서 수집한 데이터를 분석하여 이상행위를 수행하는 프로세스를 탐지하는 기술에 관한 것이다.
사이버 표적 공격은 기업이나 기관 등과 같은 조직의 네트워크에 다양한 방법으로 은밀하게 침투하여 오랫동안 잠복하면서 기밀정보를 유출하거나 주요 시설의 제어 능력을 확보하는 것을 목표로 하는 지능형 사이버 공격이다.
이러한 공격은 일회성이 아니라 장기간에 걸쳐 이뤄지고, 다양한 악성코드나 공격 루트를 이용하기 때문에 사전에 탐지하고 대응하기가 어려우며, 사이버 표적 공격을 탐지하기 위해서는 조직의 다양한 소스, 예를 들어, 네트워크, 호스트, 서버, 보안 장비 등으로부터 장기간에 걸쳐 대용량 데이터를 수집하고 분석하는 과정이 필요하다.
그러나 기존의 지능형 보안관제 시스템(Security Information & Event Management, SIEM)은 장기간에 걸친 대용량 데이터를 저장 및 분석할 수 있는 플랫폼을 지원하고 있지 않다. 이를 위해, 최근에는 보안 관제 분야에서도 빅데이터 플랫폼을 도입하고 있지만, 아직 이에 대한 활용은 미비한 상태이다.
기존의 악성코드 탐지방법은 코드의 정적/동적 분석 방법을 통한 패턴 시그니쳐 방식과 유사 코드 패턴을 가진 유행 프로그램을 차단하는 휴리스틱 방식이 있다. 여기서, 시그니쳐 방식은 패턴 매칭 방법으로 정확한 탐지가 가능하지만, 변종이나 알려지지 않은 악성코드의 경우 탐지가 어렵다. 또한, 휴리스틱 방식은 유사 코드 패턴을 기반으로 시그니쳐 방식을 보완하는 방식이다.
최근 프로세스의 행동 감시를 통한 행위 기반의 분석 방법이 존재하긴 하지만, 이는 이미 알려진 시나리오에 입각하여 탐지하는 방식으로, 시나리오 상에 존재하지 않은 이상행위나 정상 프로세스의 비정상 행위, 장기간에 걸쳐 수행되어 행위 시퀀스를 알기 어려운 경우의 의심행위를 탐지할 수 없다. 또한 정상 프로세스와 이상행위를 수행하는 프로세스의 행위에 대하여 사용자가 직관적으로 판단할 수가 없었다.
국내특허등록 제1308228호
본 발명의 목적은, 프로세스 동작 시 발생한 데이터들에 대하여 시스템 자원별로 행위를 분석하고 각 시스템 자원에 대응하는 행위 영역에 시각화함으로써, 각 시스템 자원별 행위 분포에 따라 비정상 또는 의심 행위를 수행하는 프로세스를 탐지하도록 하는 이상행위 탐지 장치 및 방법을 제공함에 있다.
또한, 본 발명의 목적은, 시스템 자원별로 정상 행위와, 악성코드의 행위들 또는 의심 행위들을 모델링 하여, 해당 행위 모델을 통해 비정상 또는 의심 행위를 수행하는 프로세스를 탐지하도록 하는 이상행위 탐지 장치 및 방법을 제공함에 있다.
또한, 본 발명의 목적은 악성코드가 악성 행위를 하기 위한 사전 준비 과정에서 발생하는 의심행위들을 탐지하여 사이버 표적 공격에 대해 사전에 대응 가능하도록 하는 이상행위 탐지 장치 및 방법을 제공함에 있다.
상기의 목적을 달성하기 위한 본 발명에 따른 이상행위 탐지 장치는, 시스템 상에서 프로세스가 실행되는 동안 상기 프로세스로부터 수집한 데이터에 근거하여 시스템 자원별로 발생한 행위를 분석하는 행위 분석부, 상기 시스템 자원별 행위를 기반으로 생성된 좌표 상에 각 시스템 자원별 행위 분석 결과를 모델링 하여 상기 시스템의 자원들에 대응하는 프로세스 행위 모델을 생성하는 행위 모델링부, 상기 시스템 자원별 행위를 기반으로 생성된 좌표 상에 구현된 프로세스 행위 모델의 형태에 따라 해당 프로세스의 의심행위를 판별하는 의심행위 판별부, 및 상기 의심행위 판별부의 판별 결과에 따라 의심행위가 발생한 프로세스를 이상행위 프로세스로 탐지하는 프로세스 탐지부를 포함할 수 있다.
상기 행위 분석부는, 상기 시스템 자원별로 발생하는 행위에 대한 비율, 빈도 및 연관성 중 적어도 하나를 분석하는 것을 특징으로 한다.
상기 시스템 자원은, 파일 시스템, 프로세스, 레지스트리 및 네트워크를 포함하는 것을 특징으로 한다.
상기 시스템 자원별 행위를 기반으로 생성된 좌표는, 파일 시스템, 프로세스, 레지스트리 및 네트워크와 관련된 행위에 각각 대응하는 네 개의 좌표축이 중심점에서 서로 만나는 형태로 구현된 것을 특징으로 한다.
상기 행위 모델링부는, 상기 각 시스템 자원별 행위 분석 결과를 상기 네 개의 좌표축 상에 각각 표시하고, 상기 네 개의 좌표축 상에 표시된 지점을 꼭지점으로 하는 사각형 형태의 프로세스 모델을 생성하는 것을 특징으로 한다.
상기 시스템 자원의 행위를 기반으로 생성된 좌표는, 파일 시스템, 프로세스, 레지스트리 및 네트워크와 관련된 단일 행위에 각각 대응하는 네 개의 좌표축과, 파일, 프로세스, 레지스트리 및 네트워크 중 적어도 두 개의 시스템 자원과 연관된 복합 행위에 대응하는 좌표축이 중심점에서 서로 만나는 형태로 구현된 것을 특징으로 한다.
상기 행위 모델링부는, 상기 프로세스에 의해 적어도 두 개의 시스템 자원과 연관된 행위가 발생한 경우, 상기 적어도 두 개의 자원과 연관된 각 행위의 비율, 빈도 및 연관성 중 적어도 하나에 근거하여 상기 시스템 자원의 행위를 기반으로 생성된 좌표 상에서 상기 복합 행위에 대응하는 좌표축의 위치를 정의하는 것을 특징으로 한다.
상기 행위 모델링부는, 상기 프로세스에 의해 적어도 두 개의 자원과 연관된 행위가 발생한 경우, 상기 각 시스템 자원별 행위 분석 결과를 상기 시스템 자원별 행위를 기반으로 생성된 좌표 상에 구현된 좌표축에 각각 표시하고, 상기 각 좌표축에 표시된 지점을 꼭지점으로 하는 다각형 형태의 프로세스 모델을 생성하는 것을 특징으로 한다.
상기 의심행위 판별부는, 악성코드에 대한 의심행위를 프로파일링 한 결과에 근거하여 상기 프로세스에 대한 의심행위를 판별하는 것을 특징으로 한다.
상기 의심행위 판별부는, 상기 악성코드의 의심행위를 프로파일링 한 결과로부터 상기 프로세스에서 발생한 각 시스템 자원별 행위의 위험도를 분석하여 상기 프로세스에 대한 의심행위를 판별하는 것을 특징으로 한다.
상기 의심행위 판별부는, 상기 프로세스 행위 모델의 꼭지점 개수와 거리에 근거하여 상기 프로세스에 대한 의심행위를 판별하는 것을 특징으로 한다.
한편, 본 발명의 일 실시예에 따른 이상행위 탐지 방법은, 시스템 상에서 프로세스가 실행되는 동안 상기 프로세스로부터 수집한 데이터에 근거하여 시스템 자원별로 발생한 행위를 분석하는 단계, 상기 시스템 자원별 행위를 기반으로 생성된 좌표 상에 각 시스템 자원별 행위 분석 결과를 모델링 하여 상기 시스템의 자원들에 대응하는 프로세스 행위 모델을 생성하는 단계, 상기 시스템 자원별 행위를 기반으로 생성된 좌표 상에 구현된 프로세스 행위 모델의 형태에 따라 해당 프로세스의 의심행위를 판별하는 단계, 및 상기 의심행위 판별부의 판별 결과에 따라 의심행위가 발생한 프로세스를 이상행위 프로세스로 탐지하는 단계를 포함할 수 있다.
본 발명에 따르면, 프로세스 동작 시 발생한 데이터들에 대하여 시스템 자원별로 행위를 분석하고 각 시스템 자원에 대응하는 행위 영역에 시각화함으로써, 각 시스템 자원별 행위 분포의 형태에 따라 해당 프로세스가 수행하는 정상 행위 및 의심 행위의 비율을 파악할 수 있으며, 그 비율에 따라 이상 행위를 수행하는 프로세스를 쉽게 탐지할 수 있는 이점이 있다.
또한, 본 발명은, 시스템 자원별로 정상 행위와, 악성코드의 행위들 또는 의심 행위들을 모델링 하여, 해당 행위 모델을 통해 이상 행위를 수행하는 프로세스를 탐지할 수 있는 이점이 있다.
또한, 본 발명은 악성코드가 악성 행위를 하기 위한 사전 준비 과정에서 발생하는 의심행위들을 탐지하여 사이버 표적 공격을 사전에 대응할 수 있는 이점이 있다.
도 1은 본 발명의 일 실시예에 따른 이상행위 탐지 장치의 구성을 도시한 도면이다.
도 2는 본 발명의 일 실시예에 따른 이상행위 탐지 장치에 적용되는 시스템 자원별 행위를 모델링하는 동작을 설명하는데 참조되는 예시도이다.
도 3 내지 도 6은 본 발명의 일 실시예에 따른 이상행위 탐지 장치에 적용되는 시스템 자원별 행위 모델을 도시한 예시도이다.
도 7은 본 발명의 일 실시예에 따른 이상행위 탐지 방법에 대한 동작 흐름을 도시한 순서도이다.
이하에서는 첨부된 도면들을 참조하여 본 발명에 대해서 자세히 설명한다. 이때, 각각의 도면에서 동일한 구성 요소는 가능한 동일한 부호로 나타낸다. 또한, 이미 공지된 기능 및/또는 구성에 대한 상세한 설명은 생략한다. 이하에 개시된 내용은, 다양한 실시 예에 따른 동작을 이해하는데 필요한 부분이 중점적으로 설명하며, 그 설명의 요지를 흐릴 수 있는 요소들에 대한 설명은 생략한다.
또한 도면의 일부 구성요소는 과장되거나 생략되거나 또는 개략적으로 도시될 수 있다. 각 구성요소의 크기는 실제 크기를 전적으로 반영하는 것이 아니며, 따라서 각각의 도면에 그려진 구성요소들의 상대적인 크기나 간격에 의해 여기에 기재되는 내용들이 제한되는 것은 아니다.
도 1은 본 발명의 일 실시예에 따른 이상행위 탐지 장치의 구성을 도시한 도면이다.
도 1을 참조하면, 본 발명에 따른 이상행위 탐지 장치는 데이터 수집부(10), 데이터 저장소(20), 데이터 처리부(30), 행위 분석부(40), 행위 모델링부(50), 의심행위 판별부(60) 및 프로세스 탐지부(70)를 포함할 수 있다.
먼저, 데이터 수집부(10)는 복수 개의 시스템으로부터 프로세스와 관련된 데이터를 수집한다. 데이터 수집부(10)는 복수 개의 시스템에서 발생하는 프로세스 관련 데이터를 실시간으로 수집할 수 있으며, 소정시간 단위로 수집할 수도 있다. 이때, 데이터 수집부(10)에 의해 수집되는 데이터는 해당 시스템의 운영체제에 따라 상이할 수 있다. 여기서, 시스템은 프로세스가 동작하는 호스트 및 서버 등이 해당 될 수 있다. 데이터 수집부(10)는 복수 개의 시스템으로부터 수집된 데이터들을 데이터 저장소(20)로 제공한다.
데이터 저장소(20)는 대용량 데이터를 저장하고 처리하기 위한 빅데이터 플랫폼 기반의 저장소로서, 데이터 수집부(10)에 의해 복수 개의 시스템으로부터 수집된 데이터가 저장된다. 일 예로서, 데이터 저장소(20)에 적용되는 빅데이터 플랫폼으로는 오픈 소스 형태의 분산 시스템인 하둡(Hadoop)을 이용할 수 있다. 이 경우, 대용량의 데이터 저장소(20)로는 하둡 분산파일시스템인 HDFS(Hadoop Distributed File System) 및 HDFS 기반의 분산 데이터베이스인 HBase가 적용될 수 있으며, 실시간 데이터 처리 저장소로는 인메모리 데이터베이스(In-memory DB) 기반의 오픈 소스 데이터베이스 관리 시스템인 MySQL 클러스터(cluster)가 적용될 수 있다.
데이터 저장소(20)에는 시스템 자원별 행위 영역에 대한 정보가 저장될 수 있으며, 정상 상태의 프로세스에서 발생하는 시스템 자원의 행위가 저장될 수 있다. 또한, 데이터 저장소(20)에는 사전에 악성코드로 분류된 프로세스의 시스템 자원별 의심행위에 대한 정보가 저장될 수 있으며, 의심행위에 대한 프로파일링 결과가 저장될 수 있다.
따라서, 행위 분석부(40)는 데이터 저장소(20)에 저장된 정보에 근거하여 프로세스의 행위를 분석할 수 있으며, 행위 모델링부(50)는 시스템 자원별 행위 영역의 정보에 따라 프로세스의 행위 분석 결과를 모델링 하여 시각화할 수 있다. 또한, 의심행위 판별부(60)는 의심행위에 대한 프로파일링 결과를 토대로 해당 프로세스에서의 의심행위를 판별할 수 있다.
여기서, 시스템의 운영체제 내에서 프로세스에 의해 이루어지는 행위는 파일, 레지스트리, 프로세스 및 네트워크 중 적어도 하나의 시스템 자원과 관련된 행위이다. 악성코드를 포함하는 프로세스의 경우에도 마찬가지로, 악성코드에 의해 여러 가지 예외적인 행위를 수행할 수 있지만, 기본적으로 앞서 설명한 네 가지의 행위 범주 안에 속하는 프로세스 고유의 기능을 수행하게 된다.
기본적으로, 악성코드는 시스템의 운영체제에서 악성 행위를 하기 위한 사전 준비 과정으로서 파일 생성 단계, 레지스트리 등록 단계, 프로세스 동작 단계 및 네트워크 활동 단계를 수행할 수 있다. 따라서, 이상행위 탐지 장치는 시스템의 파일 생성 단계, 레지스트리 등록 단계, 프로세스 동작 단계 및 네트워크 활동 단계에서 악성코드에 의해 발생할 수 있는 의심행위를 프로파일링하고, 프로파일링 된 행위와 유사한 행위를 수행하는 프로세스에 대하여 이상행위 프로세스로 의심할 수 있다.
아래 [표 1]은 시스템에서의 실행 단계별 악성코드에 의한 의심행위와 그 행위범주 및 사용 API에 대해 나타낸 것이다.
Figure 112014003106368-pat00001
[표 1]의 (a)는 시스템의 파일 생성 단계에서 악성코드에 의해 실행되는 의심행위들을 나타낸 것이다.
악성코드는 악성코드의 실체인 파일을 숨기기 위해 시스템 폴더 또는 임시 폴더에 악성코드 파일을 복제할 수 있다. 이 경우, 악성코드는 시스템 폴더에 악성코드 파일을 생성하거나 시스템 폴더의 파일 이름을 변경하고, 임시폴더에 파일 또는 실행파일을 생성하는 행위를 수행할 수 있다. 이때, 악성코드에 의해 사용되는 API는 CreateFile, ReadFile/WriteFile, CopyFile, GetSystemDirectory 및 GetWindowsDirectory 등이 해당 될 수 있다.
또한, 악성코드는 네트워크에 접속하여 외부로부터 다른 악성코드를 다운로드 하거나, 프로세스에 포함된 다른 악성코드에 해당하는 파일을 꺼내어 드롭(drop)하는 행위를 수행할 수도 있다. 이때, 악성코드에 의해 사용되는 API는 URLDownloadToFileA, FindResourceA 및 LoadResource 등이 해당 될 수 있다.
이와 같이, (a)에 도시된 파일 생성 단계에서 악성코드에 의해 수행되는 행위는 파일 및 네트워크의 행위 영역에 포함될 수 있다.
한편, [표 1]의 (b)는 시스템의 레지스트리 등록 단계에서 악성코드에 의해 실행되는 의심행위들을 나타낸 것이다.
악성코드는 해당 시스템에 가능한 오래 남아있기 위하여 시스템 부팅 시에 실행될 수 있도록 레지스트리 및 서비스 등에 악성코드 파일의 경로를 등록하거나, 일부 파일 경로를 삭제할 수 있으며, 자동실행 항목 또는 BHO(browser helper object) 항목에 악성코드 파일의 경로를 등록하는 행위를 수행할 수 있다. 이때, 악성코드에 의해 사용되는 API는 RegCreateKey, RegOpenKeyExA, RegSetValueExA, RegQueryValueEXA, CreateServiceA, OpenServiceA 및 StartServiceA 등이 해당 될 수 있다.
이와 같이, (b)에 도시된 레지스트리 등록 단계에서 악성코드에 의해 수행되는 행위는 레지스트리의 행위 영역에 포함될 수 있다.
한편, [표 1]의 (c)는 시스템의 프로세스 동작 단계에서 악성코드에 의해 실행되는 의심행위들을 나타낸 것이다.
악성코드는 시스템상에서 주로 독립적인 프로세스 형태로 동작하거나, 혹은 다른 정상 프로세스에 주입되어 쓰레드 상태로 동작하게 된다. 이 과정에서 악성코드는 다른 프로세스를 생성하거나 종료시킬 수 있으며, 특정 프로세스를 검색하거나 쓰레드를 생성하는 행위를 수행할 수 있다. 또한, 악성코드는 DLL 형태의 코드를 프로세스에 주입하는 행위를 수행할 수 있다. 이때, 악성코드에 의해 사용되는 API는 CreateProcess, FindProcess, TerminateProcess, CreateThread, CreateRemoteThread, WriteProcessMemory 및 ShellExecute 등이 해당 될 수 있다.
이와 같이, (c)에 도시된 프로세스 동작 단계에서 악성코드에 의해 수행되는 행위는 프로세스의 행위 영역에 포함될 수 있다.
한편, [표 1]의 (d)는 시스템의 네트워크 활동 단계에서 악성코드에 의해 실행되는 의심행위들을 나타낸 것이다.
악성코드는 해당 시스템의 정보 유출, 공격자의 명령 또는 다른 악성코드의 수신, 및 해당 악성코드의 전파 등을 위해 네트워크 활동을 수행할 수 있다. 이 경우, 악성코드는 통신포트를 오픈 및 바인딩하는 행위를 수행할 수 있으며, 네트워크 연결 및 데이터 전송 등의 행위를 수행할 수 있다. 이때, 악성코드에 의해 사용되는 API는 WSAStartup, WSASend, Socket/send/recvlisten/accept, gethostbyname 및 InternetGetConnectedState 등이 해당 될 수 있다.
이와 같이, (d)에 도시된 네트워크 활동 단계에서 악성코드에 의해 수행되는 행위는 네트워크의 행위 영역에 포함될 수 있다.
본 발명에 따른 이상행위 탐지 장치는 프로세스가 정상 상태로 동작하는 경우 각 시스템 자원에 대한 행위 비율 및 빈도에 따라 해당 프로세스에 대응하는 행위 모델을 생성할 수 있다.
이 경우, 각 프로세스의 행위 모델은 파일, 레지스트리, 프로세스 및 네트워크와 관련된 행위의 특성에 근거하여 네 개의 행위 특성을 서로 연결한 사각형 형태로 시각화할 수 있으며, 프로세스의 행위 모델의 형태에 근거하여 이상행위 프로세스를 탐지할 수 있다. 여기서, 이상행위 탐지 장치는 프로세스 행위 모델의 꼭지점 개수 및 거리에 근거하여 각 프로세스에 대한 의심행위를 판별할 수 있다. 이에 대한 구체적인 동작은 도 2 내지 도 6의 실시예를 참조하여 설명하도록 한다.
이때, 이상행위 탐지 장치는 이상행위의 탐지 정확도를 높이기 위하여, 악성코드를 포함하는 프로세스가 기본적으로 수행하는 행위들을 분석하여 각 행위들을 프로파일링하고, 프로파일링 된 행위를 의심행위로 판별하도록 한다.
여기서, [표 2]는 [표 1]에 도시된 악성코드의 의심행위들을 프로파일링 한 결과를 나타낸 것이다.
Figure 112014003106368-pat00002
[표 2]의 (a)는 파일 생성 단계에서 발생할 수 있는 의심행위들, 예를 들어, 파일 생성, 실행파일생성, 시스템폴더에 파일 생성, 시스템 폴더에 파일이름 변경, 시스템 폴더의 파일 삭제, 임시폴더에 파일 생성 및 임시폴더에 실행파일 생성과 같은 행위들에 대한 프로파일링 결과를 나타낸 것으로, 이상행위 탐지 장치는 프로파일링 결과로써 파일과 관련된 의심행위들에 의심행위 코드(F1 내지 F7)를 부여하고, 각 의심행위에 따른 위험도를 부여할 수 있다.
[표 2]의 (b)는 레지스트리 등록 단계에서 발생할 수 있는 의심행위들, 예를 들어, 레지스트리 등록, 레지스트리 삭제, 서비스 등록, 서비스 삭제, 자동실행 항목 추가 및 BHO 항목 추가와 같은 행위들에 대한 프로파일링 결과를 나타낸 것으로, 이상행위 탐지 장치는 프로파일링 결과로써 레지스트리와 관련된 의심행위들에 의심행위 코드(R1 내지 R6)를 부여하고, 각 의심행위에 따른 위험도를 부여할 수 있다.
[표 2]의 (c)는 프로세스 동작 단계에서 발생할 수 있는 의심행위들, 예를 들어, 프로세스 생성, 프로세스 종료, 특정 프로세스 검색, 쓰레드 생성 및 DLL 형태의 코드 주입과 같은 행위들에 대한 프로파일링 결과를 나타낸 것으로, 이상행위 탐지 장치는 프로파일링 결과로써 프로세스와 관련된 의심행위들에 의심행위 코드(P1 내지 P5)를 부여하고, 각 의심행위에 따른 위험도를 부여할 수 있다.
[표 2]의 (d)는 네트워크 활동 단계에서 발생할 수 있는 의심행위들, 예를 들어, 포트 오픈, 포트 바인딩, 네트워크 연결(connect), 네트워크 연결해제(disconnect), 데이터 전송 및 데이터 수신과 같은 행위들에 대한 프로파일링 결과를 나타낸 것으로, 이상행위 탐지 장치는 프로파일링 결과로써 네트워크와 관련된 의심행위들에 의심행위 코드(N1 내지 N6)를 부여하고, 각 의심행위에 따른 위험도를 부여할 수 있다.
여기서, [표 2]에 도시된 위험도 H는 고위험군, M은 중간위험군, L 저위험군에 해당하는 것이며, 각 의심행위의 특성에 따라 서로 다른 위험도가 부여될 수 있다.
한편, [표 2]는 프로세스의 행위 범주별 단일 의심행위 프로파일링의 일부를 나타낸 것으로, 실시 형태에 따라 위험도는 더 세분화될 수 있다. 또한, [표 2]에는 표기하지 않았으나, 도 6과 같이 각각의 의심행위가 결합된 형태의 복합 의심행위를 프로파일링 할 수도 있다.
이와 같이 악성코드의 의심행위를 프로파일링 한 결과는 데이터저장소(20)에 저장되어, 행위 분석부(40)에서 프로세스의 행위를 분석하는데 이용될 수 있다.
한편, 데이터 처리부(30)는 데이터 저장소(20)에 저장된 데이터를 관리하며, 데이터 저장소(20)에 프로세스로부터 수집된 데이터가 저장되면, 저장된 데이터를 일괄 및/또는 실시간 데이터 처리 기술을 이용하여 행위 분석부(40)로 제공하도록 한다.
행위 분석부(40)는 데이터 처리부(30)로부터 제공된 데이터에 근거하여 프로세스의 행위를 분석한다. 이때, 행위 분석부(40)는 프로세스에서 발생하는 시스템 자원의 행위 영역별로 발생하는 행위의 비율, 빈도 및 연관성 등에 따라 정의된 악성코드의 의심행위에 대한 프로파일을 기반으로 해당 프로세스의 행위를 분석하도록 한다.
행위 분석부(40)로부터의 프로세스 행위 분석 결과는 데이터 저장소(20)의 RDBMS(Relational Data Base Management System), HBase 등에 저장될 수 있으며, 또한 행위 모델링부(50)로 제공된다. 행위 모델링부(50)는 행위 분석부(40)의 프로세스 행위 분석 결과를 시스템 자원별 행위 영역에 모델링함으로써, 사용자가 인지할 수 있는 형태로 시각화한다. 일 예로서, 프로세스 행위 영역은 도 2와 같이 도시할 수 있다. 이때, 행위 모델링부(50)는 프로세스의 동작에 따라 각 시스템 자원별 행위의 비율, 빈도 및 각 행위의 연관선 등을 분석하여 그 결과를 도 2에서 해당되는 행위 영역에 모델링하게 된다. 이에, 프로세스의 시스템 자원별 행위를 모델링하는 동작은 도 2 내지 도 6을 참조하도록 한다.
의심행위 판별부(60)는 [표 2]와 같은 악성코드의 행위에 대한 프로파일에 근거하여 현재 실행되는 프로세스의 행위 모델에 대한 위험도를 판단하도록 한다. 이 경우, 의심행위 판별부(60)는 파일, 레지스트리, 프로세스 및 네트워크에 해당하는 행위 영역 중 하나의 영역으로부터 악성코드로 의심되는 행위가 발생한 경우 위험도가 낮은 것으로 판단할 수 있다.
한편, 의심행위 판별부(60)는 의심행위가 발생한 행위 영역의 개수에 따라 위험도에 대한 가중치를 부여하여 위험도를 판단하도록 한다. 이 경우, 의심행위 판별부(60)는 프로세스 행위 모델의 꼭지점 개수 및 거리에 근거하여 각 프로세스에 대한 의심행위를 판별할 수 있다.
일 예로서, 의심행위 판별부(60)는 파일, 레지스트리, 프로세스 및 네트워크에 해당하는 행위 영역 중 적어도 두 개 이상의 영역으로부터 악성코드로 의심되는 행위가 발생한 경우 각각의 행위 영역에 대한 위험도에 가중치를 부여하여, 하나의 행위 영역에서 의심행위가 발생했을 때보다 위험도가 높은 것으로 판단할 수 있다.
의심행위 판별부(60)는 행위 모델링부(50)에 의해 모델링된 해당 프로세스의 행위 모델의 형태 및 악성코드의 의심행위에 대한 프로파일로부터의 위험도 등에 근거하여 해당 프로세스가 정상 행위를 수행하는지, 아니면 의심행위를 수행하는지를 판별할 수 있다. 만일, 해당 프로세스가 정상행위를 수행하는 것으로 판별된 경우, 의심행위 판별부(60)는 해당 프로세스의 상태를 정상행위 프로세스 모델에 반영하도록 한다.
한편, 해당 프로세스가 의심 행위를 수행하는 것으로 판별된 경우, 의심행위 판별부(60)는 의심행위에 대한 판별 결과를 프로세스 탐지부(70)로 제공한다. 따라서, 프로세스 탐지부(70)는 해당 프로세스를 이상행위 프로세스로 탐지하고, 해당 시스템의 사이버 공격 탐지 및 대응 정책에 따라 처리하도록 한다.
도 2는 본 발명의 일 실시예에 따른 이상행위 탐지 장치에 적용되는 시스템 자원별 행위를 모델링하는 동작을 설명하는데 참조되는 예시도이다.
도 2는 프로세스 행위를 모델링하기 위한 초기 모델을 나타낸 것으로, 각 시스템 자원에 해당하는 좌표축과 기준점으로 이루어지고, 각 축을 기준으로 각 시스템 자원별 행위 영역으로 분류되어 있다. 여기서, 모든 프로세스가 수행하는 각 시스템 자원의 행위는 초기에 0이 되고, 각 시스템 자원의 행위 모델은 0에 해당하는 각 기준점을 꼭지점으로 하는 마름모 형태의 모양을 갖게 된다.
먼저, 중심점을 기준으로 오른쪽 방향의 가로축은 파일 행위에 대한 좌표축이고, 중심점을 기준으로 왼쪽 방향의 가로축은 레지스트리 행위에 대한 좌표축이다. 또한, 중심점을 기준으로 상향의 세로축은 네트워크 행위에 대한 좌표축이고, 중심점을 기준으로 하향의 세로축은 프로세스 행위에 대한 좌표축이다. 여기서, 각 좌표축의 위치는 시스템 자원별로 서로 연관성이 있는 행위에 따라 정의될 수 있다.
이때, 도 2의 'A' 영역은 파일과 관련된 행위를 모델링 할 수 있으며, 파일 및 네트워크와 연관된 행위를 모델링 할 수 있다. 또한, 'B' 영역은 프로세스 관련 의심행위를 모델링 할 수 있으며, 프로세스 및 파일과 연관된 행위를 모델링 할 수 있다. 또한, 'C' 영역은 레지스트리와 관련된 행위를 모델링 할 수 있으며, 레지스트리 및 프로세스와 연관된 행위를 모델링 할 수 있다. 또한, 'D' 영역은 네트워크와 관련된 행위를 모델링 할 수 있으며, 네트워크 및 레지스트리와 연관된 행위를 모델링 할 수 있다.
일 예로서, 'A' 영역에서 파일 행위에 대한 좌표축과 가까이 있는 그래프 210은 파일과 관련된 의심행위를 모델링 하기 위한 좌표축을 추가로 형성한 것이다. 한편, 파일 및 네트워크와 연관된 행위는 210에서 네트워크 행위에 대한 좌표축에 더 가까이 위치하도록 220과 같은 좌표축을 추가로 형성할 수 있다.
다시 말해, 'A', 'B, 'C' 및 'D' 영역에는 각 영역을 이루는 두 개의 좌표축의 행위 범주에 속한 행위들의 연관성을 분석하여 두 개의 행위가 결합된 형태의 새로운 좌표축을 생성하고, 이를 토대로 프로세스 행위 모델을 나타낼 수 있다. 이 경우, 'A', 'B, 'C' 및 'D' 영역에 추가로 좌표축이 형성되어 해당 좌표축을 토대로 프로세스 행위가 모델링된 경우에는 의심행위로 고려할 수 있다. 이때, 해당 프로세스에서 수행된 의심행위가 많을수록 'A', 'B, 'C' 및 'D' 영역에 형성되는 좌표축의 개수도 증가하게 된다.
따라서, 사용자는 각 좌표축과 네 개의 행위 영역에 모델링된 프로세스 행위를 토대로 해당 프로세스가 어떤 형태의 행위를 수행하는지 쉽게 파악할 수 있게 된다.
도 3 내지 도 6은 본 발명의 일 실시예에 따른 이상행위 탐지 장치에 적용되는 시스템 자원별 행위 모델을 도시한 예시도이다.
먼저, 도 3은 각 프로세스의 행위 모델을 나타낸 것으로, 정상 상태의 프로세스 행위를 나타낸 것이다.
도 3에서 310에 해당하는 행위 모델의 프로세스는 레지스트리나 프로세스와 관련된 행위 보다는 네트워크와 파일 관련 행위를 주로 수행하는 형태를 갖는다. 한편, 320에 해당하는 행위 모델의 프로세스는 네트워크, 레지스트리 및 프로세스 관련 행위에 비해 파일 관련 행위를 월등히 많이 수행하는 형태를 갖는다. 또한, 330에 해당하는 행위 모델의 프로세스는 310에 해당하는 프로세스와 반대로 네트워크나 파일과 관련된 행위 보다는 주로 레지스트리나 프로세스와 관련된 행위를 수행하는 형태를 갖는다.
이와 같이, 해당 프로세스가 어떠한 동작을 수행하는 프로그램인지에 따라 그 행위 모델은 다양한 형태로 모델링 될 수 있다. 도 3에 도시된 세 개의 행위 모델의 경우, 그 꼭지점이 모두 파일, 네트워크, 레지스트리 및 프로세스 행위에 대한 좌표축에 위치하므로, 이상행위 탐지 장치는 해당 프로세스들이 정상적인 범위 내에서 동작하는 행위로 판단하게 된다.
이상행위 탐지 장치는 평상 시에 도 3과 같은 형태의 행위들로 수행되는 프로세스가 그 행위 비율에 차이가 발생하거나 새로운 형태의 행위를 수행하는 경우, 일차적으로 해당 프로세스의 행위를 의심해볼 수 있다.
도 4는 악성 행위로 간주할 수 있는 의심행위들에 대한 프로세스 행위 모델을 나타낸 것이다.
도 4를 참조하면, 420에 해당하는 프로세스 행위 모델은 파일, 네트워크, 레지스트리 및 프로세스 행위를 골고루 수행하는 프로세스에 대한 것으로, 이 경우 그 꼭지점이 모두 파일, 네트워크, 레지스트리 및 프로세스 행위에 대한 좌표축에 위치하므로, 이상행위 탐지 장치는 해당 프로세스들이 정상적인 범위 내에서 동작하는 행위로 판단할 수 있다.
한편, 410에 해당하는 프로세스 행위 모델은, 도 2에 도시된 'A', 'B', 'C' 및 'D' 영역에 새로운 좌표축이 형성되고, 기존의 좌표축과 'A', 'B', 'C' 및 'D' 영역에 형성된 새로운 좌표축을 꼭지점으로 하는 다각형 형태로써, 해당 프로세스는 파일, 네트워크, 레지스트리 및 프로세스 행위 중 두 개의 행위들이 각각 결합된 형태의 행위를 수행하기 때문에 의심행위로 판단할 수 있다.
예를 들어, 410의 프로세스 행위 모델에서 파일 행위에 대한 좌표축과 네트워크 행위에 대한 좌표축 사이 영역에 형성된 좌표축은 [표 2]에 도시된 프로파일 중에서 네트워크 관련 행위, 즉, 네트워크 접속(N3) 행위와, 파일 관련 행위, 즉, 실행파일 생성(F2) 행위가 함께 발생한 것을 나타내므로, 이는 단일의 의심행위가 발생했을 때보다 그 위험도가 가중되므로, 의심행위가 발생한 것으로 판단할 수 있다.
또한, 도 5는 도 4와는 다른 형태의 의심행위들에 대한 프로세스 행위 모델을 나타낸 것이다.
도 5를 참조하면, 520에 해당하는 프로세스 행위 모델은 도 4의 420에 해당하는 프로세스 행위 모델과 마찬가지로, 파일, 네트워크, 레지스트리 및 프로세스 행위를 골고루 수행하는 프로세스를 나타내며, 이 경우 그 꼭지점이 모두 파일, 네트워크, 레지스트리 및 프로세스 행위에 대한 좌표축에 위치하므로, 이상행위 탐지 장치는 해당 프로세스들이 정상적인 범위 내에서 동작하는 행위로 판단할 수 있다.
한편, 510에 해당하는 프로세스 행위 모델은, 도 2에 도시된 'A', 'B', 'C' 및 'D' 영역에 새로운 좌표축이 형성되고, 기존의 좌표축과 'A', 'B', 'C' 및 'D' 영역에 형성된 새로운 좌표축을 꼭지점으로 하는 다각형 형태로써, 해당 프로세스는 파일, 네트워크, 레지스트리 및 프로세스 행위 중 두 개의 행위들이 각각 결합된 형태의 행위를 수행하기 때문에 의심행위로 판단할 수 있다. 다만, 410에 해당하는 프로세스 행위 모델이 'A', 'B', 'C' 및 'D' 영역에 각각 하나의 새로운 좌표축이 형성된 경우라면, 510에 해당하는 프로세스 행위 모델은 'A', 'B' 영역에 각각 두 개의 새로운 좌표축이 형성되고, 'C' 및 'D' 영역에 각각 하나의 새로운 좌표축이 형성된 경우를 나타낸 것이다.
이 경우, 510에 해당하는 프로세스 행위 모델이 도 4의 410에 해당하는 프로세스 행위 모델 보다 꼭지점 개수가 많아 위험도가 더욱 가중될 수 있으므로, 이상행위 탐지 장치는 해당 프로세스에서 의심행위가 발생한 것으로 판단할 수 있다.
또한, 이상 행위 탐지 장치는 중심점과 꼭지점의 거리에 따라서도 위험도를 판별하여 의심행위 여부를 판단할 수 있다.
이와 같이, 이상행위 탐지 장치는 프로세스 행위 모델의 꼭지점의 개수가 증가하여 그 형태가 울퉁불퉁한 형태가 될수록, 중심점과 꼭지점의 거리가 멀어 프로세스 행위 모델의 면적이 넓을수록 해당 프로세스의 위험도가 높은 것으로 판단한다. 또한, 이상행위 탐지 장치는 프로세스 행위 모델의 형태가 단순할수록, 같은 모델의 형태라도 그 면적이 좁을수록 위험도가 낮은 것으로 판단한다. 따라서, 사용자는 프로세스 행위 모델의 형태를 직관적으로 한눈에 파악할 수 있게 하여 해당 프로세스가 의심행위 프로세스 인지를 파악하는 것이 용이할 수 있다.
한편, 도 6은 적어도 세 개의 시스템 자원의 행위를 결합한 형태의 프로세스 행위 모델을 나타낸 것이다.
도 6에 도시된 프로세스 행위 모델은 적어도 세 개의 행위를 결합한 것이기 때문에 3차원 좌표 (x, y, z) 형태로 아래 [표 3]과 같이 아홉 가지 범주의 행위 모델을 구현할 수 있다.
Figure 112014003106368-pat00003
다시 말해, 복합 행위로써, 파일행위는 F, 네트워크 행위는 N, 레지스트리 행위는 R 그리고 프로세스 행위는 P로 표시한다고 가정했을 때, (F) 및/또는 (F, N), (N) 및/또는 (N, R), (R) 및/또는 (R, P), (P) 및/또는 (P, F), (F, N, R), (N, R, P), (R, P, F), (P, F, N) 및 (F, N, R, P)와 같이 아홉 가지 복합된 행위 범주로 프로세스 행위를 구현할 수 있다.
여기서, 도 6의 복합 행위 영역에 시각화할 수 있는 프로세스 행위 모델은 각 행위의 조합에 따라 다양한 형태로 모델링 할 수 있다. 예를 들어 (F, N)은 (F & N), (N & F), (F & N & F & F & N) 등과 같이 {F, N}으로 구성된 다양한 형태로 구현될 수 있으며, (F, N, R)은 다른 곳에 정의된 (F & N), (N & F), (R & F)를 제외한 {F, N, R} 로 구성된 모든 조합의 복합 행위 모델로서 구현할 수 있다.
이 경우, (F, N, R, P)와 같이, 파일, 네트워크, 레지스트리 및 프로세스를 모두 결합한 형태의 복합 행위는 z축이 (-)인 영역을 이용하여 구현할 수 있도록 한다.
물론, 도 6에 도시된 프로세스 행위 영역은 일 실시예를 나타낸 것이며, 조합에 따라 더욱 다양한 형태로 구현할 수도 있음은 당연한 것이다.
상기와 같이 구성되는 본 발명에 따른 이상행위 탐지 장치의 동작 흐름을 보다 상세히 설명하면 다음과 같다.
도 7은 본 발명의 일 실시예에 따른 이상행위 탐지 방법에 대한 동작 흐름을 도시한 순서도이다. 도 7에 도시된 바와 같이, 이상행위 탐지 장치는 복수 개의 프로세스로부터 데이터를 수집하여 대용량의 데이터 저장소에 저장하고(S100), 'S100' 과정에서 데이터 저장소에 저장된 데이터에 근거하여 각 프로세스의 행위를 분석한다(S110).
'S110' 과정에서, 이상행위 탐지 장치는 사전에 악성코드에 대한 의심행위를 프로파일링 한 결과를 토대로 각 시스템 자원, 예를 들어, 파일, 레지스트리, 네트워크 및 프로세스와 관련된 행위의 비율, 빈도 및 연관성 등을 분석할 수 있다.
이후, 이상행위 탐지 장치는 'S110' 과정의 행위 분석 결과를 토대로 각 시스템 자원의 행위 영역에 해당 프로세스의 행위를 모델링하고(S120), 'S120' 과정에서 생성된 프로세스 행위 모델의 형태 및 위험도 등을 판별하여(S130), 해당 프로세스가 의심행위 프로세스인지를 판단한다(S140). 'S140' 과정에서 의심행위 프로세스를 판단하는 동작에 대한 구체적인 설명은 도 2 내지 도 6의 실시예를 참조하도록 한다.
만일, 'S140' 과정에서 해당 프로세스가 정상행위 프로세스인 것으로 확인되면, 이상행위 탐지 장치는 해당 프로세스의 정상행위를 모델링 하여(S150) 정상행위 프로세스 모델을 저장하고(S160), 이후 정상행위 프로세스 판단 기준으로 이용할 수 있도록 한다.
한편, 'S140' 과정에서 해당 프로세스가 의심행위 프로세스인 것으로 확인되면, 해당 프로세스의 의심행위에 근거하여 이상행위를 탐지하고(S170), 이상행위 탐지 결과를 출력하도록 한다(S180). 이 경우, 이상행위 탐지 장치는 탐지된 이상행위 프로세스를 해당 시스템의 사이버 공격 탐지 및 대응 정책에 따라 처리하도록 한다.
한편, 본 발명은 위에서 논의된 다양한 실시예가 하나 이상의 컴퓨터 또는 프로세서에 의해 실행되는 경우 프로세서가 읽을 수 있는 기록매체에 프로세서가 읽을 수 있는 코드로서 구현하는 것이 가능하다. 프로세서가 읽을 수 있는 기록매체는 프로세서에 의해 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록장치를 포함한다. 프로세서가 읽을 수 있는 기록매체의 예로는 ROM, RAM, CD-ROM, 자기테이프, 플로피디스크, 광 데이터 저장장치 등이 있으며, 또한 인터넷을 통한 전송 등과 같은 캐리어 웨이브의 형태로 구현되는 것도 포함한다. 또한 프로세서가 읽을 수 있는 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어, 분산방식으로 프로세서가 읽을 수 있는 코드가 저장되고 실행될 수 있다.
이상과 같이 본 발명에서는 구체적인 구성 요소 등과 같은 특정 사항들과 한정된 실시예 및 도면에 의해 설명되었으나 이는 본 발명의 보다 전반적인 이해를 돕기 위해서 제공된 것일 뿐, 본 발명은 상기의 실시예에 한정되는 것은 아니며, 본 발명이 속하는 분야에서 통상적인 지식을 가진 자라면 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 다양한 수정 및 변형이 가능할 것이다. 따라서, 본 발명의 사상은 설명된 실시예에 국한되어 정해져서는 아니되며, 후술하는 특허청구범위뿐 아니라 이 특허청구범위와 균등하거나 등가적 변형이 있는 모든 기술 사상은 본 발명의 권리범위에 포함되는 것으로 해석되어야 할 것이다.
10: 데이터 수집부 20: 데이터 저장소
30: 데이터 처리부 40: 행위 분석부
50: 행위 모델링부 60: 의심행위 판별부
70: 프로세스 탐지부

Claims (18)

  1. 시스템 상에서 프로세스가 실행되는 동안 상기 프로세스로부터 수집한 데이터에 근거하여 시스템 자원별로 발생한 행위를 분석하는 행위 분석부;
    상기 시스템 자원별 행위를 기반으로 생성된 좌표 상에 각 시스템 자원별 행위 분석 결과를 모델링 하여 상기 시스템의 자원들에 대응하는 프로세스 행위 모델을 생성하는 행위 모델링부;
    상기 시스템 자원별 행위를 기반으로 생성된 좌표 상에 구현된 프로세스 행위 모델의 형태에 따라 해당 프로세스의 의심행위를 판별하는 의심행위 판별부; 및
    상기 의심행위 판별부의 판별 결과에 따라 의심행위가 발생한 프로세스를 이상행위 프로세스로 탐지하는 프로세스 탐지부를 포함하고,
    상기 시스템 자원은,
    파일 시스템, 프로세스, 레지스트리 및 네트워크를 포함하고,
    상기 시스템 자원별 행위를 기반으로 생성된 좌표는,
    파일 시스템, 프로세스, 레지스트리 및 네트워크와 관련된 행위에 각각 대응하는 네 개의 좌표축이 중심점에서 서로 만나는 형태로 구현되고,
    상기 의심행위 판별부는
    상기 네 개의 좌표축 사이에 상기 파일 시스템, 프로세스, 레지스트리 및 네트워크와 관련된 행위에 각각 대응하는 행위 영역들 중 의심행위가 발생한 행위 영역의 개수에 따라 위험도에 대한 가중치를 부여하고, 상기 프로세스 행위 모델의 꼭지점 개수 및 거리에 근거하여 상기 프로세스 행위 모델의 면적의 넓이에 따라 위험도를 판단하는 이상 행위 탐지 장치.
  2. 청구항 1에 있어서,
    상기 행위 분석부는,
    상기 시스템 자원별로 발생하는 행위에 대한 비율, 빈도 및 연관성 중 적어도 하나를 분석하는 것을 특징으로 하는 이상행위 탐지 장치.
  3. 삭제
  4. 삭제
  5. 청구항 1에 있어서,
    상기 행위 모델링부는,
    상기 각 시스템 자원별 행위 분석 결과를 상기 네 개의 좌표축 상에 각각 표시하고, 상기 네 개의 좌표축 상에 표시된 지점을 꼭지점으로 하는 사각형 형태의 프로세스 모델을 생성하는 것을 특징으로 하는 이상행위 탐지 장치.
  6. 청구항 1에 있어서,
    상기 시스템 자원의 행위를 기반으로 생성된 좌표는,
    파일 시스템, 프로세스, 레지스트리 및 네트워크와 관련된 단일 행위에 각각 대응하는 네 개의 좌표축과, 파일, 프로세스, 레지스트리 및 네트워크 중 적어도 두 개의 시스템 자원과 연관된 복합 행위에 대응하는 좌표축이 중심점에서 서로 만나는 형태로 구현된 것을 특징으로 하는 이상행위 탐지 장치.
  7. 청구항 6에 있어서,
    상기 행위 모델링부는,
    상기 프로세스에 의해 적어도 두 개의 시스템 자원과 연관된 행위가 발생한 경우, 상기 적어도 두 개의 자원과 연관된 각 행위의 비율, 빈도 및 연관성 중 적어도 하나에 근거하여 상기 시스템 자원의 행위를 기반으로 생성된 좌표 상에서 상기 복합 행위에 대응하는 좌표축의 위치를 정의하는 것을 특징으로 하는 이상행위 탐지 장치.
  8. 청구항 6에 있어서,
    상기 행위 모델링부는,
    상기 프로세스에 의해 적어도 두 개의 자원과 연관된 행위가 발생한 경우, 상기 각 시스템 자원별 행위 분석 결과를 상기 시스템 자원별 행위를 기반으로 생성된 좌표 상에 구현된 좌표축에 각각 표시하고, 상기 각 좌표축에 표시된 지점을 꼭지점으로 하는 다각형 형태의 프로세스 모델을 생성하는 것을 특징으로 하는 이상행위 탐지 장치.
  9. 청구항 1에 있어서,
    상기 의심행위 판별부는
    악성코드에 대한 의심행위를 프로파일링 한 결과에 근거하여 상기 프로세스에 대한 의심행위를 판별하는 것을 특징으로 하는 이상행위 탐지 장치.
  10. 청구항 9에 있어서,
    상기 의심행위 판별부는,
    상기 악성코드의 의심행위를 프로파일링 한 결과로부터 상기 프로세스에서 발생한 각 시스템 자원별 행위의 위험도를 분석하여 상기 프로세스에 대한 의심행위를 판별하는 것을 특징으로 하는 이상행위 탐지 장치.
  11. 삭제
  12. 이상행위 탐지 장치의 이상행위 탐지 방법에 있어서,
    행위 분석부가, 시스템 상에서 프로세스가 실행되는 동안 상기 프로세스로부터 수집한 데이터에 근거하여 시스템 자원별로 발생한 행위를 분석하는 단계;
    행위 모델링부가, 상기 시스템 자원별 행위를 기반으로 생성된 좌표 상에 각 시스템 자원별 행위 분석 결과를 모델링 하여 상기 시스템의 자원들에 대응하는 프로세스 행위 모델을 생성하는 단계;
    의심행위 판별부가, 상기 시스템 자원별 행위를 기반으로 생성된 좌표 상에 구현된 프로세스 행위 모델의 형태에 따라 해당 프로세스의 의심행위를 판별하는 단계; 및
    프로세스 탐지부가, 상기 의심행위에 대한 판별 결과에 따라 의심행위가 발생한 프로세스를 이상행위 프로세스로 탐지하는 단계를 포함하고,
    상기 시스템 자원은,
    파일 시스템, 프로세스, 레지스트리 및 네트워크를 포함하고,
    상기 시스템 자원별 행위를 기반으로 생성된 좌표는,
    파일 시스템, 프로세스, 레지스트리 및 네트워크와 관련된 행위에 각각 대응하는 네 개의 좌표축이 중심점에서 서로 만나는 형태로 구현되고,
    상기 의심행위를 판별하는 단계는
    상기 네 개의 좌표축 사이에 상기 파일 시스템, 프로세스, 레지스트리 및 네트워크와 관련된 행위에 각각 대응하는 행위 영역들 중 의심행위가 발생한 행위 영역의 개수에 따라 위험도에 대한 가중치를 부여하고, 상기 프로세스 행위 모델의 꼭지점 개수 및 거리에 근거하여 상기 프로세스 행위 모델의 면적의 넓이에 따라 위험도를 판단하는 것을 특징으로 하는 이상 행위 탐지 방법.
  13. 청구항 12에 있어서,
    상기 행위를 분석하는 단계는,
    상기 시스템 자원별로 발생하는 행위에 대한 비율, 빈도 및 연관성 중 적어도 하나를 분석하는 것을 특징으로 하는 이상행위 탐지 방법.
  14. 청구항 12에 있어서,
    상기 행위 모델을 생성하는 단계는,
    각 시스템 자원별 행위 분석 결과를 파일, 프로세스, 레지스트리 및 네트워크와 관련된 행위에 각각 대응하는 네 개의 좌표축이 중심점에서 서로 만나는 좌표 상에 표시하는 단계; 및
    상기 네 개의 좌표축 상에 표시된 지점을 꼭지점으로 하는 사각형 형태의 프로세스 모델을 생성하는 단계를 포함하는 것을 특징으로 하는 이상행위 탐지 방법.
  15. 청구항 12에 있어서,
    상기 행위 모델을 생성하는 단계는,
    각 시스템 자원별 행위 분석 결과를 파일 시스템, 프로세스, 레지스트리 및 네트워크와 관련된 행위에 각각 대응하는 네 개의 좌표축과, 파일 시스템, 프로세스, 레지스트리 및 네트워크 중 적어도 두 개의 시스템 자원과 연관된 행위에 대응하는 좌표축이 중심점에서 서로 만나는 좌표 상에 표시하는 단계; 및
    상기 좌표 상에 구현된 각 좌표축 상에 표시된 지점을 꼭지점으로 하는 다각형 형태의 프로세스 모델을 생성하는 단계를 포함하는 것을 특징으로 하는 이상행위 탐지 방법.
  16. 청구항 15에 있어서,
    상기 행위 모델을 생성하는 단계는,
    상기 프로세스에 의해 적어도 두 개의 자원과 연관된 행위가 발생한 경우, 상기 적어도 두 개의 자원과 연관된 행위의 비율, 빈도 및 연관성 중 적어도 하나에 근거하여 상기 좌표 상에서 상기 적어도 두 개의 시스템 자원과 연관된 좌표축의 위치를 정의하는 것을 특징으로 하는 이상행위 탐지 방법.
  17. 청구항 12에 있어서,
    상기 의심행위를 판별하는 단계는,
    악성코드에 대한 의심행위를 프로파일링 한 결과로부터 상기 프로세스에서 발생한 각 시스템 자원별 행위의 위험도를 분석하여 상기 프로세스에 대한 의심행위를 판별하는 것을 특징으로 하는 이상행위 탐지 방법.
  18. 삭제
KR1020140003781A 2014-01-13 2014-01-13 이상행위 탐지 장치 및 방법 KR102017756B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020140003781A KR102017756B1 (ko) 2014-01-13 2014-01-13 이상행위 탐지 장치 및 방법
US14/248,845 US20150199512A1 (en) 2014-01-13 2014-04-09 Apparatus and method for detecting abnormal behavior

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020140003781A KR102017756B1 (ko) 2014-01-13 2014-01-13 이상행위 탐지 장치 및 방법

Publications (2)

Publication Number Publication Date
KR20150084123A KR20150084123A (ko) 2015-07-22
KR102017756B1 true KR102017756B1 (ko) 2019-09-03

Family

ID=53521635

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020140003781A KR102017756B1 (ko) 2014-01-13 2014-01-13 이상행위 탐지 장치 및 방법

Country Status (2)

Country Link
US (1) US20150199512A1 (ko)
KR (1) KR102017756B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102410151B1 (ko) * 2021-12-08 2022-06-22 에스지에이솔루션즈 주식회사 서버 시스템 로그를 이용한 머신러닝 기반의 관측레벨 측정 및 이에 따른 위험도 산출 방법, 장치 및 컴퓨터-판독 가능 기록 매체

Families Citing this family (28)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11507663B2 (en) 2014-08-11 2022-11-22 Sentinel Labs Israel Ltd. Method of remediating operations performed by a program and system thereof
US9710648B2 (en) * 2014-08-11 2017-07-18 Sentinel Labs Israel Ltd. Method of malware detection and system thereof
US10102374B1 (en) 2014-08-11 2018-10-16 Sentinel Labs Israel Ltd. Method of remediating a program and system thereof by undoing operations
US9749353B1 (en) 2015-03-16 2017-08-29 Wells Fargo Bank, N.A. Predictive modeling for anti-malware solutions
US9794265B1 (en) 2015-03-16 2017-10-17 Wells Fargo Bank, N.A. Authentication and authorization without the use of supplicants
RU2589862C1 (ru) * 2015-06-30 2016-07-10 Закрытое акционерное общество "Лаборатория Касперского" Способ обнаружения вредоносного кода в оперативной памяти
US10880316B2 (en) 2015-12-09 2020-12-29 Check Point Software Technologies Ltd. Method and system for determining initial execution of an attack
US10291634B2 (en) 2015-12-09 2019-05-14 Checkpoint Software Technologies Ltd. System and method for determining summary events of an attack
US10440036B2 (en) * 2015-12-09 2019-10-08 Checkpoint Software Technologies Ltd Method and system for modeling all operations and executions of an attack and malicious process entry
CN105608377A (zh) * 2015-12-24 2016-05-25 国家电网公司 一种信息系统进程安全管理系统及管理方法
KR101676366B1 (ko) 2016-06-23 2016-11-15 국방과학연구소 사이버 공격 대응을 위한 악성코드 침해 경로 및 행위 추적을 수행하는 침해 공격 추적 시스템 및 방법
US11616812B2 (en) 2016-12-19 2023-03-28 Attivo Networks Inc. Deceiving attackers accessing active directory data
US11695800B2 (en) 2016-12-19 2023-07-04 SentinelOne, Inc. Deceiving attackers accessing network data
KR101923996B1 (ko) * 2016-12-30 2018-11-30 국방과학연구소 사이버 정보 유출 행위 추출 시스템
KR102575974B1 (ko) * 2017-01-25 2023-09-08 한국전자통신연구원 데이터 시각화 장치 및 방법
KR101961379B1 (ko) * 2017-05-18 2019-03-22 서강대학교산학협력단 자가 적응형 로봇 시스템 및 그의 오류 검출 방법
JP2020530922A (ja) 2017-08-08 2020-10-29 センチネル ラボ, インコーポレイテッドSentinel Labs, Inc. エッジネットワーキングのエンドポイントを動的にモデリングおよびグループ化する方法、システム、およびデバイス
KR102046262B1 (ko) 2017-12-18 2019-11-18 고려대학교 산학협력단 모바일 운영체제 환경에서 악성 코드 행위에 따른 위험을 관리하는 장치 및 방법, 이 방법을 수행하기 위한 기록 매체
KR102036847B1 (ko) * 2017-12-18 2019-10-25 (주)케이사인 런타임 특징 프로파일링 방법
KR102032222B1 (ko) 2018-01-05 2019-10-15 다운정보통신(주) 매트릭스 기반 화이트리스트 생성 및 이상행위 탐지 방법
US11470115B2 (en) 2018-02-09 2022-10-11 Attivo Networks, Inc. Implementing decoys in a network environment
US11050772B2 (en) * 2018-12-05 2021-06-29 Bank Of America Corporation Method and system for identification and prevention of profiling attacks in electronic authorization systems
KR102157031B1 (ko) 2018-12-27 2020-09-18 동서대학교 산학협력단 서보모터의 전력 소모량을 이용한 이상행위 탐지장치 및 방법
JP7278423B2 (ja) 2019-05-20 2023-05-19 センチネル ラブス イスラエル リミテッド 実行可能コード検出、自動特徴抽出及び位置独立コード検出のためのシステム及び方法
KR102436522B1 (ko) * 2020-12-11 2022-08-25 한화시스템(주) 프로토콜 메시지 포맷 리버싱 장치 및 그 방법
US11579857B2 (en) 2020-12-16 2023-02-14 Sentinel Labs Israel Ltd. Systems, methods and devices for device fingerprinting and automatic deployment of software in a computing network using a peer-to-peer approach
US11899782B1 (en) 2021-07-13 2024-02-13 SentinelOne, Inc. Preserving DLL hooks
CN114676429A (zh) * 2022-03-18 2022-06-28 山东鼎夏智能科技有限公司 一种启动项未知风险的检测方法及装置

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100910761B1 (ko) * 2006-11-23 2009-08-04 한국전자통신연구원 프로세스 행위 예측 기법을 이용한 비정형 악성코드 탐지방법 및 그 시스템
KR20120105759A (ko) * 2011-03-16 2012-09-26 한국전자통신연구원 악성 코드 시각화 장치와 악성 코드 탐지 장치 및 방법
US8566936B2 (en) * 2011-11-29 2013-10-22 Radware, Ltd. Multi dimensional attack decision system and method thereof
KR101308228B1 (ko) 2011-12-28 2013-09-13 한양대학교 산학협력단 악성 코드 자동 탐지 방법

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102410151B1 (ko) * 2021-12-08 2022-06-22 에스지에이솔루션즈 주식회사 서버 시스템 로그를 이용한 머신러닝 기반의 관측레벨 측정 및 이에 따른 위험도 산출 방법, 장치 및 컴퓨터-판독 가능 기록 매체
WO2023106504A1 (ko) * 2021-12-08 2023-06-15 에스지에이솔루션즈 주식회사 서버 시스템 로그를 이용한 머신러닝 기반의 관측레벨 측정 및 이에 따른 위험도 산출 방법, 장치 및 컴퓨터-판독 가능 기록 매체

Also Published As

Publication number Publication date
US20150199512A1 (en) 2015-07-16
KR20150084123A (ko) 2015-07-22

Similar Documents

Publication Publication Date Title
KR102017756B1 (ko) 이상행위 탐지 장치 및 방법
US11218510B2 (en) Advanced cybersecurity threat mitigation using software supply chain analysis
RU2421792C2 (ru) Экспертный анализ системы и графическое отображение маршрутов повышения привилегий в вычислительной среде
US10936717B1 (en) Monitoring containers running on container host devices for detection of anomalies in current container behavior
US9928369B2 (en) Information technology vulnerability assessment
Han et al. Malware analysis using visualized image matrices
CN109376078B (zh) 移动应用的测试方法、终端设备及介质
US20210406365A1 (en) Malicious enterprise behavior detection tool
CN110383278A (zh) 用于检测恶意计算事件的系统和方法
TWI528216B (zh) 隨選檢測惡意程式之方法、電子裝置、及使用者介面
EP2975873A1 (en) A computer implemented method for classifying mobile applications and computer programs thereof
Karbalaie et al. Semantic malware detection by deploying graph mining
CN109446817A (zh) 一种大数据检测与审计系统
CN108123956A (zh) 基于Petri网的密码误用漏洞检测方法及系统
US11042637B1 (en) Measuring code sharing of software modules based on fingerprinting of assembly code
US11609985B1 (en) Analyzing scripts to create and enforce security policies in dynamic development pipelines
CN109726601A (zh) 违规行为的识别方法及装置、存储介质、计算机设备
Kumar et al. Machine learning based malware detection in cloud environment using clustering approach
US11620129B1 (en) Agent-based detection of fuzzing activity associated with a target program
Li et al. Large-scale third-party library detection in android markets
JP2023550974A (ja) イメージ基盤悪性コード検知方法および装置とこれを利用する人工知能基盤エンドポイント脅威検知および対応システム
CN116566674A (zh) 自动化渗透测试方法、系统、电子设备及存储介质
Choi et al. All‐in‐One Framework for Detection, Unpacking, and Verification for Malware Analysis
CN106709335B (zh) 漏洞检测方法和装置
US20230367911A1 (en) Analyzing scripts to create and enforce security policies in dynamic development pipelines

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E90F Notification of reason for final refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant