KR102079304B1 - 화이트리스트 기반 악성코드 차단 장치 및 방법 - Google Patents
화이트리스트 기반 악성코드 차단 장치 및 방법 Download PDFInfo
- Publication number
- KR102079304B1 KR102079304B1 KR1020180044836A KR20180044836A KR102079304B1 KR 102079304 B1 KR102079304 B1 KR 102079304B1 KR 1020180044836 A KR1020180044836 A KR 1020180044836A KR 20180044836 A KR20180044836 A KR 20180044836A KR 102079304 B1 KR102079304 B1 KR 102079304B1
- Authority
- KR
- South Korea
- Prior art keywords
- pattern
- whitelist
- white list
- agent
- learning
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Artificial Intelligence (AREA)
- Virology (AREA)
- Data Mining & Analysis (AREA)
- Evolutionary Computation (AREA)
- Medical Informatics (AREA)
- Computing Systems (AREA)
- Mathematical Physics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
본 발명의 일 실시 예에 의한 화이트리스트 기반 악성코드 차단 장치는, 에이전트에서 실행이 허용되는 코드 목록인 상기 화이트리스트를 수집하는 수집부; 와 상기 에이전트에서 실행되는 적어도 하나의 앱과 연동하여 상기 화이트리스트로부터 제1특정화 패턴을 추출하고, 상기 제1특정화 패턴을 학습하여 제2특정화 패턴을 추출하는 학습부; 및 상기 제2특정화 패턴을 적용하여 상기 화이트리스트를 업데이트하는 제어부를 포함한다.
Description
본 발명은 화이트리스트 기반 악성코드 차단 장치 및 방법에 대한 것으로서, 보다 구체적으로 특수 목적 장비에 적용 가능하고 사전 예방이 가능한 경량화된 보안 솔루션을 제공하는 화이트리스트 기반 악성코드 차단 장치 및 방법에 관한 것이다.
악성코드(malicious code, 또는 malware 라고도 함)란 악의적인 목적을 위해 작성된 실행 가능한 코드의 통칭이다. 악성코드는 자기 복제 능력과 감염 대상 유무에 따라, 바이러스, 웜 바이러스, 트로이 목마 등으로 분류된다. 악성코드에 감염되는 경우 나타나는 주요 증상으로는, 네트워크 트래픽 발생, 시스템 성능 저하, 파일 삭제, 이메일 자동 발송, 개인정보 유출, 원격 제어 등이다. 최근 악성코드의 증상이나 유포 방법이 점점 복잡해지고 지능화되고 있어, 기존 안티 바이러스 프로그램은 다양한 악성코드를 진단 및 치료할 수 있는 통합보안 프로그램으로 기능이 확장되고 있다.
판매 시점 단말기(Point Of Sale: POS)나 키오스크(Kiosk) 및 산업용 기기 등은 악성코드 감염과 해킹에 취약하다. 특히, 오프라인 매장에서 카드결제와 매출 관리 등에 사용하는 POS 단말기는 결제가 승인된 고객 카드정보 등 유출에 민감한 정보를 처리하면서도 하드웨어 성능은 낮기 때문에, 일반 PC 환경에서 사용하는 보안 솔루션을 적용하기가 어렵다. 이와 같이 제한된 성능 환경에서 작동되어 악성코드 감염과 해킹에 취약한 POS 단말, 키오스크 및 산업용 기기 등과 같은 특수 목적 장비의 경우, 제한된 성능 하에서 보안성을 효율적으로 높이기 위하여 경량화된 보안 솔루션이 요구된다.
특수 목적 장비는 악성코드나 랜섬웨어를 방지하기 위하여 대표적으로 백신 방식의 보안 솔루션을 사용한다. 백신 방식의 경우, 악성 코드가 감염되면 이에 대한 패치 백신이 배포된 이후 스캔을 통해 악성코드를 탐지하여 제거 또는 차단한다. 따라서, 백신이 패치 및 배포되기 전까지의 피해(예를 들어, 제로데이 공격)에 대해서는 무방비 상태로 노출되게 된다. 이러한 문제점을 해결하기 위하여 다양한 악성코드의 패턴 분석을 통해 개선을 하고 있지만, 사후 처리 방식의 보안 솔루션으로 점점 고도화되는 악성코드의 공격에 대처하기는 불가능하다.
본 발명은 특수 목적 장비에 적용 가능하고, 사전 예방이 가능한 화이트리스트 기반 보안 솔루션을 제공하는 것을 목적으로 한다.
또한, 본 발명은 유효한 코드 및 프로그램을 특정화하는 패턴 추출 방식으로 다중 블록 추출 방식을 채택하는 것을 목적으로 한다.
나아가, 본 발명은 유효한 코드로부터 추출된 패턴과 동일한 동종패턴의 판별을 위해 머신 러닝 기법을 적용한 학습을 수행하는 것을 목적으로 한다.
본 발명에서 이루고자 하는 기술적 과제들은 이상에서 언급한 기술적 과제들로 제한되지 않으며, 언급되지 않은 또 다른 기술적 과제들은 아래의 기재에 의해 제안되는 실시 예들이 속하는 기술분야에서 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.
본 발명의 일 실시 예에 의한 화이트리스트 기반 악성코드 차단 장치는, 에이전트에서 실행이 허용되는 코드 목록인 상기 화이트리스트를 수집하는 수집부; 와 상기 에이전트에서 실행되는 적어도 하나의 앱과 연동하여 상기 화이트리스트로부터 제1특정화 패턴을 추출하고, 상기 제1특정화 패턴을 학습하여 제2특정화 패턴을 추출하는 학습부; 및 상기 제2특정화 패턴을 적용하여 상기 화이트리스트를 업데이트하는 제어부를 포함한다.
본 발명의 다른 실시 예에 따른 화이트리스트 기반 악성코드 차단 방법은, 에이전트에서 실행이 허용되는 코드 목록인 상기 화이트리스트를 수집하는 단계; 와 상기 에이전트에서 실행되는 적어도 하나의 앱과 연동하여 상기 화이트리스트로부터 제1특정화 패턴을 추출하고, 상기 제1특정화 패턴을 학습하여 제2특정화 패턴을 추출하는 단계; 및 상기 제2특정화 패턴을 적용하여 상기 화이트리스트를 업데이트하는 단계를 포함한다.
본 발명에 따른 실시 예들에 의하면, 특수 목적 장비에 적용 가능하고, 백신을 이용한 사후처리가 아닌 선제적인 대응이 가능한 화이트리스트 기반 보안 솔루션을 제공할 수 있다.
또한, 본 발명에 따른 실시 예들에 의하면, 유효한 코드 및 프로그램을 특정화하는 경우 판별 오차율을 최소화할 수 있다.
나아가, 본 발명에 따른 실시 예들에 의하면, 유효한 코드의 동종 패턴에 대한 인식률을 높임으로써, 작고 빈번한 업데이트에 대해 수동적인 업데이트의 한계를 해소할 수 있다.
도 1은 네트워크 상에서 악성코드 공격이 수행되는 경우를 설명하기 위한 도면이다.
도 2는 본 발명의 일 실시 예에 의한 화이트리스트 기반 악성코드 차단 방법을 대략적으로 도시한 도면이다.
도 3은 본 발명의 일 실시 예에 의한 화이트리스트 기반 악성코드 차단 장치를 포함하는 네트워크의 구성을 도시한 도면이다.
도 4는 본 발명의 일 실시 예에 의한 화이트리스트 기반 악성코드 차단 장치의 구성을 도시한 블록도이다.
도 5a와 도 5b는 본 발명의 일 실시 예에 의한 화이트리스트 기반 악성코드 차단 장치에서의 화이트리스트에 대한 학습 방법을 설명하기 위한 도면이다.
도 6은 본 발명의 일 실시 예에 의한 화이트리스트 기반 악성코드 차단 과정을 도시한 도면이다.
도 7은 본 발명의 다른 실시 예에 의한 화이트리스트 기반 악성코드 차단 과정을 도시한 도면이다.
도 2는 본 발명의 일 실시 예에 의한 화이트리스트 기반 악성코드 차단 방법을 대략적으로 도시한 도면이다.
도 3은 본 발명의 일 실시 예에 의한 화이트리스트 기반 악성코드 차단 장치를 포함하는 네트워크의 구성을 도시한 도면이다.
도 4는 본 발명의 일 실시 예에 의한 화이트리스트 기반 악성코드 차단 장치의 구성을 도시한 블록도이다.
도 5a와 도 5b는 본 발명의 일 실시 예에 의한 화이트리스트 기반 악성코드 차단 장치에서의 화이트리스트에 대한 학습 방법을 설명하기 위한 도면이다.
도 6은 본 발명의 일 실시 예에 의한 화이트리스트 기반 악성코드 차단 과정을 도시한 도면이다.
도 7은 본 발명의 다른 실시 예에 의한 화이트리스트 기반 악성코드 차단 과정을 도시한 도면이다.
이하에서는 본 발명의 구체적인 실시예를 도면을 참조하여 상세히 설명한다. 그러나 본 발명의 기술적 사상이 이하에서 기술되는 실시예들에 의하여 제한되는 것은 아니며, 또 다른 구성요소의 추가, 변경 및 삭제 등에 의해서 퇴보적인 다른 발명이나 본 발명의 기술적 사상의 범위 내에 포함되는 다른 실시예들을 용이하게 제안할 수 있다.
본 발명에서 사용되는 용어는 가능한 한 현재 해당 기술과 관련하여 널리 사용되는 일반적인 용어를 선택하였으나, 특별한 경우에는 출원인이 임의로 선정한 용어도 있으며 이 경우 해당되는 발명의 설명 부분에서 그 의미를 상세히 기재하였다. 그러므로, 단순한 용어의 명칭이 아닌 용어가 가지는 의미로서 본 발명을 파악하여야 함을 미리 밝혀둔다. 이하에서 기술하는 설명에 있어서, 단어 '포함하는'은 열거된 것과 다른 구성요소들 또는 단계들의 존재를 배제하지 않는다.
도 1은 네트워크 상에서 악성코드 공격이 수행되는 경우를 설명하기 위한 도면이다.
도 1을 참조하면, 사용자 측 컴퓨터나 POS 단말은 이메일이나 네트워크를 통해 제로데이(Zero-day) 공격을 받는다(S110). 여기서, 제로데이 공격은 취약점에 대한 패치(대응책)가 나오기전에 이루어지는 공격이다. 일반적으로, 패치(대응책)가 나오기까지는 약 2개월의 시간이 소요될 수 있다.
POS 단말이나 ATM 기기는 랜섬웨어 등에 감염된다(S120). 랜섬웨어는 인터넷에 연결된 컴퓨터에 잠입하여 내부문서, 스프레드 시트, 그림파일 등을 암호화한 후, 암호화된 파일 등을 복구하기 위한 해독용 열쇠 프로그램을 보내준다는 명목으로 금품을 요구하는 악성 프로그램일 수 있다.
POS 단말이나 ATM 기기가 랜섬웨어에 감염되는 대표적인 경로를 살펴보면, 사용자 실행에 의해 알려지지 않은 실행파일이 실행되면서 단말 또는 기기가 감염되거나, 랜섬웨어가 시스템에 잠복되어 있는 상태에서 특정 시간이나 특정 조건에 의해 사용자 실행이 아닌 백그라운드 실행에 의하여 기기나 단말이 감염되거나, 웹페이지를 통해서 악성 코드가 전파되어 기기나 단말이 감염되는 등의 감염 경로가 있을 수 있다.
POS 단말이나 ATM 기기가 랜섬웨어 등에 감염되면, POS 단말을 통해 결제된 카드정보가 악용되거나 사용자에게 금전 요구 등이 행해진다(S130).
이와 같은 악성코드 공격은 점점 고도화되고 있는 추세이다. 예를 들어, 각종 어플리케이션에 대한 취약점이 지속적으로 발견되고 있고(매달 약 850건 정도), 대응 솔루션(백신) 등을 무력화하는 해킹 기법이 지속적으로 출현하고 있다. 또한, 취약점을 대상으로 한 제로데이 공격이 고도화되고 있고, 금융정보나 금전 취득을 목적으로 한 악성코드(랜섬웨어)의 유포가 증가하고 있다. 이에 따라, 기존 백신에서 새로운 개념의 백신 대응책이 필요한 상황이다.
도 2는 본 발명의 일 실시 예에 의한 화이트리스트 기반 악성코드 차단 방법을 대략적으로 도시한 도면이다.
화이트리스트란 사용자 컴퓨터에서 실행될 수 있는 실행 파일 또는 실행 프로세스 목록일 수 있다. 화이트리스트 기반 방식은 허가된 실행 파일 또는 실행 프로세스를 화이트리스트에 등록하고, 이 외의 실행 파일 또는 실행 프로세스는 전부 차단함으로써 원천적으로 악성코드가 사용자 컴퓨터에 침입하지 못하도록 한다. 이 경우, 악성 유무를 떠나 허가된 목록 외에 새로운 파일 생성이나 설치는 모두 차단된다. 이와 같은 화이트리스트 방식은, 네거티브(negative) 보안 기반의 시그니처 탐지 기법으로 도출된 블랙리스트 방식과는 상반되는 포지티브(positive) 보안 개념이다.
다음 [표 1]은 화이트리스트 기반 방식과 블랙리스트 기반 방식을 비교한 표이다.
구분 | 화이트리스트 기반 | 블랙리스트 기반 |
처리 방식 | 사전 예방 | 사후 처리 |
리소스 점유율 | 낮음 | 높음 |
실행 범위 | 허용된 어플리케이션만 사용 | 모든 어플리케이션 사용 |
적용 시스템 | 리소스가 제한적인 시스템 (스마트 공장, 건물 제어 등) |
PC, 서버 등 범용 시스템 |
엔진 사이즈 | 변경 없음 | 지속적 증가 |
보안 수준 | 매우 높음 | 보통 |
기존 프로그램 설치, 변경 | 신규 설치, 변경에 따른 허용 프로세스 등록 및 검증 필요 | 신규 설치 및 변경 시 별도 영향 없음 |
제로데이 공격 등의 해킹기술 발달로 악성코드 공격 증가에 따른 POS 보안 위험이 증가하고 있는 현 상황에서, 사전에 승인한 프로그램만 허용하는 화이트리스트 방식이 유일한 해법으로 인식되고 있다.
도 2를 참조하면, 관리자 측(210)에서 악성코드 정책을 관리한다. 여기서, 관리자 측(210)은 PC(212)와 서버(214)를 포함할 수 있다. PC(212)와 서버(214)는 허가된 실행 파일 또는 실행 프로세스를 화이트리스트에 등록하고 이를 관리할 수 있다. 서버(214)는 악성코드 탐지 현황을 모니터링 할 수 있다. 이 경우, 악성코드는 화이트리스트에 등록된 실행 파일 및 실행 프로세스를 제외한 모든 파일과 프로세스를 포함할 수 있다.
IoT 게이트웨이(220)는 화이트리스트에 기초하여 보안을 수행할 수 있다,. IoT 게이트웨이(220)도 취약점에 노출될 수 있다. 따라서, IoT 게이트웨이(220)는 화이트리스트 기반의 보안을 수행하여, 저성능의 센서 기기들이 연결되는 IoT 게이트웨이(220) 자체의 보안을 확보할 수 있다.
이에 의해, 랜섬웨어(230)와 미등록 실행파일(240) 및 실행프로세스의 실행이 차단되어, 악성코드 행위가 차단될 수 있다.
도 3은 본 발명의 일 실시 예에 의한 화이트리스트 기반 악성코드 차단 장치를 포함하는 네트워크의 구성을 도시한 도면이다.
본 발명의 일 실시 예에 의한 화이트리스트 기반 악성코드 차단 장치는, 클라우드 서버(400)로 구현될 수 있다. 이 경우, 본 발명의 일 실시 예에 의한 화이트리스트 기반 악성코드 차단 장치를 포함하는 네트워크는, 에이전트(Agent)(300)와 로컬 서버(Local Server)(500) 및 클라우드 서버(Cloud Server)(400)를 포함하여 구성될 수 있다. 여기서, 로컬 서버(500)는 프론트 엔드(front-end)일 수 있고, 클라우드 서버(400)는 백 엔드(back-end)일 수 있다.
이 경우, 클라우드 서버(400)와 로컬 서버(500)는 대표적으로 다음과 같은 동작 및 기능들을 수행할 수 있다.
클라우드 서버(400)는, 1) 패턴 수집 및 학습, 2) 로컬 서버(500)의 화이트리스트 업데이트, 3) 백 엔드(back-end) 시스템의 기능 등을 수행할 수 있다.
로컬 서버(500)는, 1) 정책 생성 및 적용, 2) 에이전트(300)의 화이트리스트 업데이트, 3) 로컬 관리자용 시스템의 기능 등을 수행할 수 있다.클라우드 서버(400)는 런타임 동안 변경이 가능한 동적 가상 사설 서버일 수 있다. 여기서, 가상 사설 서버(또는 가장 전용 서버)는 하나의 물리적 서버를 나누어 여러 개의 가상 서버로 사용하는 가상화 방법을 사용한다. 이러한 클라우드 서버(400)는 CPU나 RAM과 같은 추가적인 하드웨어 자원들을 런타임 동안 추가할 수 있고, 서버 실행 중에 서버를 다른 하드웨어로 옮길 수 있는 특징을 가진다. 구체적으로, 클라우드 서버(400)는 전체 화이트리스트를 관리할 수 있다. 여기서, 전체 화이트리스트는, 클라우드 서버(400)가 관리하는 적어도 하나의 에이전트(300) 및 로컬 서버(500)에서 각각 등록한 화이트리스트들을 모두 포함할 수 있다.
이를 위해, 클라우드 서버(400)는 화이트리스트를 수집할 수 있다. 구체적으로, 클라우드 서버(400)는 관리 대상인 적어도 하나의 에이전트(300) 및 로컬 서버(500)에 각각 등록된 화이트리스트들을 수집할 수 있다. 이 경우, 클라우드 서버(400)는 설정된 소정 주기에 대응하여 화이트리스트를 자동으로 수집할 수 있다.
클라우드 서버(400)는 전체 화이트리스트를 그룹화할 수 있다. 구체적으로, 클라우드 서버(400)는 화이트리스트에 등록된 실행 파일 및 프로그램들을 분석하고, 이로부터 특정화 패턴을 추출할 수 있다. 클라우드 서버(400)는 그룹별 또는 항목별 태그 정보를 활용하여, 추출된 특정화 패턴을 관리할 수 있다.
클라우드 서버(400)는 화이트리스트의 연관관계를 분석할 수 있다. 이로부터 클라우드 서버(400)는 화이트리스트의 유사 패턴과 변형 패턴을 인식할 수 있다.
클라우드 서버(400)는 화이트리스트를 배포할 수 있다. 이 경우, 클라우드 서버(400)는 전체 화이트리스트, 화이트리스트의 유사 패턴 및 화이트리스트의 변형 패턴을 로컬 서버(500)에 배포할 수 있다.
한편, 클라우드 서버(400)는 화이트리스트를 수동으로 생성할 수 있다. 이 경우, 클라우드 서버(400)는, 해당 클라우드 서버(400)나 에이전트(300) 또는 로컬 서버(500)의 관리자 또는 사용자가 등록한 실행 파일 또는 프로그램들을 화이트리스트에 등록할 수 있다.
로컬 서버(500)는 에이전트 정책을 설정할 수 있다. 여기서, 에이전트 정책은, 에이전트(300)를 관리하거나 운영하는 방식일 수 있다. 이 경우, 로컬 서버(500)에 의해 관리되는 에이전트(300)는, 설정된 에이전트 정책에 기초하여 화이트리스트를 탐지하거나 차단할 수 있다.
로컬 서버(500)는 화이트리스트를 관리 및 생성할 수 있다. 구체적으로, 로컬 서버(500)는 클라우드 서버(400)로부터 수신한 화이트리스트를 관리하거나, 이에 기초하여 새로운 화이트리스트를 생성할 수 있다.
로컬 서버(500)는 실시간 종합 모니터링을 수행할 수 있다. 이 경우, 로컬 서버(500)는 연결된 에이전트(300) 및 클라우드 서버(400)의 상태를 확인할 수 있다. 예를 들어, 로컬 서버(500)는 에이전트(300) 또는 클라우드 서버(400)가 동작 중인지 여부, 악성코드에 감염되었는지 여부 등을 확인할 수 있다.
로컬 서버(500)는 운영자 계정을 관리할 수 있다. 여기서, 운영자 계정은 시스템에 접근하는 것이 허가된 운영자인지를 검증하기 위한 정보일 수 있다. 로컬 서버(500)는 로컬 보안정책에 따라 운영자 계정을 관리할 수 있다.
로컬 서버(500)는 보고서를 생성할 수 있다. 이 경우, 보고서는 보안 취약점, 보안 진단, 서버 상태 등에 대한 내용을 포함할 수 있다. 보고서는 HTML 형식으로 생성될 수 있다.
로컬 서버(500)는 화이트리스트를 배포할 수 있다. 이 경우, 로컬 서버(500)는 클라우드 서버(400)가 배포한 화이트리스트를 수신하고, 이를 에이전트(300)에 배포할 수 있다.
에이전트(300)는 판매 시점 단말기, 키오스크 및 산업용 기기 중 적어도 하나로 구현될 수 있다.
에이전트(300)는 화이트리스트를 수집하여 전송할 수 있다. 구체적으로, 에이전트(300)는 해당 에이전트(300)에 등록된 화이트리스트로부터 해쉬 목록을 추출할 수 있다. 여기서, 해쉬 목록은 화이트리스트에 포함되는 실행 파일 및 실행 프로그램의 해쉬 패턴을 포함할 수 있다. 이 경우, 에이전트(300)는 화이트리스트와 이에 대응하는 해쉬 목록을 로컬 서버(500)에 전송할 수 있다.
에이전트(300)는 화이트리스트 기반 탐지 및 차단을 수행할 수 있다. 구체적으로, 에이전트(300)는 화이트리스트에 기초하여 허용된 실행 파일 및 실행 프로그램을 탐지하고, 허용되지 않은 파일 및 프로그램이나 악성코드를 차단할 수 있다. 이에 의해, 에이전트(300)는 자가 보호 기능을 수행할 수 있다.
에이전트(300)는 탐지 및 차단 정보를 로컬 서버(500)에 전송할 수 있다. 여기서, 탐지 정보는 에이전트(300)가 화이트리스트에 기반하여 탐지한, 허가된 실행 파일 및 실행 프로그램, 허가되지 않은 파일 및 프로그램, 악성코드 등을 포함할 수 있다. 차단 정보는 에이전트(300)가 화이트리스트에 기반하여 차단한, 허가되지 않은 파일 및 프로그램, 악성코드 등을 포함할 수 있다.
에이전트(300)는 매체 제어를 수행할 수 있다. 구체적으로, 에이전트(300)는 보안 정책을 설정하고, 설정된 보안 정책에 기초하여 해당 에이전트(300)에 접근하는 매체를 제어할 수 있다. 여기서, 보안 정책은 접근 매체의 종류, 매체 별 보안 수준 등을 포함할 수 있다. 접근 매체의 종류는, USB, 하드디스크, 스토리지 장치, PC 등을 포함할 수 있다. 매체 별 보안 수준은, 차단, 읽기 전용, 허용 등을 포함할 수 있다. 차단은 미 등록된 매체는 모두 사용할 수 없도록 차단하며, 읽기 전용은 미 등록된 매체는 읽기 전용으로만 사용할 수 있게 하며, 허용은 미 등록된 매체의 사용을 모두 허용한다.
에이전트(300)는 매체 제어를 수행하기 위하여, 해당 에이전트(300)의 IP/PORT를 제어할 수 있다.
에이전트(300)는 예외처리 모듈을 포함할 수 있다. 이 경우, 예외처리 모듈은, 보안 관련 제어 시 예외가 발생하는 부분에 대한 예외 처리를 수행할 수 있다.
도 4는 본 발명의 일 실시 예에 의한 화이트리스트 기반 악성코드 차단 장치의 구성을 도시한 블록도이다.
본 발명의 일 실시 예에 의한 화이트리스트 기반 악성코드 차단 장치는 클라우드 서버(400)로 구현되어, 화이트리스트에 대한 통합적 패턴 확인을 수행할 수 있다. 이를 위해, 클라우드 서버(400)는 수집부(410), 관리부(420), 분석부(430), 학습부(440) 및 제어부(450)를 포함할 수 있다.
수집부(410)는 화이트리스트를 수집할 수 있다. 이를 위해, 수집부(410)는 관리 대상인 적어도 하나의 에이전트(300) 및 로컬 서버(500)에 각각 등록된 화이트리스트들을 수집할 수 있다.
일 실시 예에 의하면, 수집부(410)는 에이전트(300)이 허용되는 코드 목록인 화이트리스트를 수집할 수 있다. 여기서, 코드 목록은, 실행 파일 및 실행 프로그램 중 적어도 하나를 포함할 수 있다.
수집부(410)는 설정된 소정 주기에 대응하여 화이트리스트를 자동으로 수집할 수 있다.
관리부(420)는 전체 화이트리스트를 관리할 수 있다. 여기서, 전체 화이트리스트는, 클라우드 서버(400)가 관리하는 적어도 하나의 에이전트(300) 및 로컬 서버(500)에서 각각 등록한 화이트리스트들을 모두 포함할 수 있다.
분석부(430)는 화이트리스트의 연관관계를 분석할 수 있다.
이를 위해, 분석부(430)는 전체 화이트리스트를 그룹화할 수 있다. 구체적으로, 분석부(430)는 화이트리스트에 등록된 실행 파일 및 프로그램들을 분석하고, 소정 기준에 따라 실행 파일 및 프로그램들을 분류할 수 있다.
학습부(440)는 화이트리스트로부터 특정화 패턴을 추출할 수 있다.
구체적으로, 학습부(440)는 에이전트(300)에서 실행되는 앱과 연동하여 각각의 앱에서 허용가능한 것으로 설정된 프로그램 및 코드에 대한 특정화 패턴을 추출할 수 있다. 이 경우, 학습부(440)는 그룹별 또는 항목별 태그 정보를 활용하여 추출된 특정화 패턴을 관리할 수 있다.
학습부(440)는 화이트리스트에 대한 연관관계 분석이나 특정화 패턴 추출을 위한 학습을 수행할 수 있다. 실시 예에 따라, 학습부(440)는 머신 러닝이나 딥 러닝, 인공지능, 다중객체 관계 학습, end-to-end 러닝 등 다양한 학습 방법을 사용하여 학습을 수행할 수 있다.
학습부(440)는 화이트리스트로부터 추출한 특정화 패턴을 학습하여, 화이트리스트의 유사 패턴과 변형 패턴을 인식할 수 있다.
일 실시 예에 의하면, 학습부(440)는 에이전트(300)에서 실행되는 적어도 하나의 앱과 연동하여 화이트리스트로부터 제1특정화 패턴을 추출하고, 제1특정화 패턴을 학습하여 제2특정화 패턴을 추출할 수 있다. 여기서, 제2특정화 패턴은, 화이트리스트의 동종 패턴과 유사 패턴 및 변형 패턴 중 적어도 하나를 포함할 수 있다. 이 경우, 학습부(440)는 다중 블록 추출 방식을 사용하여 제1특정화 패턴을 추출할 수 있다. 또한, 학습부(440)는 머신 러닝 기법에 기초하여 제1특정화 패턴을 학습할 수 있다.
제어부(450)는 화이트리스트를 배포할 수 있다. 구체적으로, 제어부(450)는 전체 화이트리스트, 화이트리스트의 유사 패턴 및 변형 패턴을 로컬 서버(500)에 배포할 수 있다. 일 실시 예에 의하면, 제어부(450)는 제2특정화 패턴을 적용하여 화이트리스트를 업데이트할 수 있다.
제어부(450)는 코드 목록에 등록된 코드를 제외한 다른 코드들의 설치와 다운 및 실행 중 적어도 하나를 차단하도록, 에이전트(300) 및 로컬 서버(500) 중 적어도 하나를 제어할 수 있다.
제어부(450)는 화이트리스트를 수동으로 생성할 수 있다. 이 경우, 제어부(450)는 해당 클라우드 서버(400)나 에이전트(300) 또는 로컬 서버(500)의 관리자나 사용자가 등록한 실행 파일 또는 프로그램들을 화이트리스트에 등록할 수 있다.
제어부(450)는 화이트리스트의 유사 패턴 및 변형 패턴을 적용하여, 화이트리스트를 자동으로 업데이트할 수 있다.
또한, 제어부(450)는 클라우드 서버(400)의 동작을 위해, 수집부(410), 관리부(420), 분석부(430) 및 학습부(440)를 제어할 수 있다.
도 5a와 도 5b는 본 발명의 일 실시 예에 의한 화이트리스트 기반 악성코드 차단 장치에서의 화이트리스트에 대한 학습 방법을 설명하기 위한 도면이다.
도 5a는 앱과 연동하여 학습을 수행하는 경우이다. 클라우드 서버(400)의 학습부(440)는 화이트리스트에 대한 학습을 수행할 수 있다. 이 경우, 학습부(440)는 어플리케이션(application, App 또는 앱이라고 함)과 연동하여 화이트리스트에 대한 학습을 수행할 수 있다.
구체적으로, 클라우드 서버(400)가 관리하는 복수개의 에이전트(300) 각각에서는 적어도 하나의 앱이 실행될 수 있다. 이 경우, 클라우드 서버(400)의 학습부(440)는 각각의 에이전트(300)에서 실행되는 앱에서의 보안 정책 및 보안 수준을 인식하고, 이를 참조하여 화이트리스트에 의해 허용되는 프로그램 또는 코드에 대한 학습을 수행할 수 있다. 학습부(440)는 API(Application Programming Interface)를 통하여 에이전트(300)의 앱과 연동될 수 있다.
API는 다양한 실시 예에 따라 적용될 수 있다. 일 실시 예에 의하면, 학습부(440)는 단말에 설치되는 프로그램(예를 들어, POS 프로그램 등)을 업데이트하는 프로그램 내에 화이트리스트 API(WL-API)를 적용하여, 사전에 패턴을 반영하여 화이트리스트에 즉시 반영할 수 있다. 다른 실시 예에 의하면, 학습부(440)는 개발자가 수정된 프로그램을 업로드하는 과정에서 화이트리스트 API(WL-API)를 적용하여 패턴을 반영할 수 있다. 도 5a를 참조하면, 클라우드 서버(400)는 복수개의 에이전트(300)에서 각각 실행되는 앱과 연동하여 화이트리스트에 대한 학습을 수행한다.
도 5b는 앱과 연동하여 특정화 패턴을 추출하는 경우이다. 클라우드 서버(400)의 학습부(440)는 각각의 앱에 대응하여 패턴 모델링을 수행하고, 이로부터 특정화 패턴을 추출할 수 있다. 이 경우, 하나의 앱에는 복수개의 실행요소가 존재할 수도 있다. 예를 들어, 하나의 앱에는 복수개의 참조 DLL이 존재할 수 있다.
구체적으로, 학습부(440)는 각각의 앱에서의 보안 정책 및 보안 수준을 인식하고 이를 참조하여 각각의 앱에서 허용가능한 것으로 설정된 프로그램 및 코드에 대한 특정화 패턴을 추출할 수 있다. 이 경우, 학습부(440)는 특정화 패턴에 기초하여 유사 패턴 및 변형 패턴을 인식함으로써, 화이트리스트에 대한 학습을 수행할 수 있다.
도 5b를 참조하면, 클라우드 서버(400)의 학습부(440)는 앱 1에 대응하여 패턴 모델링 1을 수행하고, 앱 2에 대응하여 패턴 모델링 2를 수행하고, 앱 3에 대응하여 패턴 모델링 3을 수행하고, 앱 n-1에 대응하여 패턴 모델링 n-1을 수행하고, 앱 n에 대응하여 패턴 모델링 n을 수행한다.
도 6은 본 발명의 일 실시 예에 의한 화이트리스트 기반 악성코드 차단 과정을 도시한 도면이다.
본 발명의 일 실시 예에 의한 화이트리스트 기반 악성코드 차단 방법에 의하면, 사후처리가 아닌 선제적 대응이 가능한 보안솔루션을 적용함으로써 특수 목적 장비의 고유목적 이외의 코드나 프로그램이 설치 및 다운되거나 실행되는 것을 차단할 수 있다. 여기서, 특수 목적 장비는 판매 시점 단말기(Point Of Sale: POS), 키오스크(kiosk), 산업용 단말이나 기기 등을 포함할 수 있다.
클라우드 서버(400)는 에이전트(300)에서 실행되는 앱과 연동한다(S601).
이 경우, 클라우드 서버(400)의 학습부(440)는 API를 통하여 각각의 에이전트(300)에서 실행되는 앱과 연동할 수 있다.
클라우드 서버(400)는 앱에서 허용되는 것으로 설정된 프로그램 목록을 수집한다(S602).
구체적으로, 클라우드 서버(400)의 수집부(410)는 각각의 앱에 대하여, 해당 앱에서 실행이 허용되는 것으로 설정된 프로그램 및 코드 목록을 수집할 수 있다.
클라우드 서버(400)는 프로그램에 대한 특정화 패턴을 추출한다(S603).
클라우드 서버(400)의 학습부(440)는 각각의 앱에서의 보안 정책 및 보안 수준을 참조하여 각각의 앱에서 허용가능한 것으로 설정된 프로그램 및 코드에 대한 특정화 패턴을 추출할 수 있다.
클라우드 서버(400)는 특정화 패턴을 분석 및 학습한다(S604).
구체적으로, 클라우드 서버(400)의 학습부(440)는 특정화 패턴에 기초하여 유사 패턴 및 변형 패턴을 인식함으로써, 화이트리스트에 대한 학습을 수행할 수 있다.
이 경우, 클라우드 서버(400)의 제어부(450)는 유사 패턴 및 변형 패턴을 적용하여, 화이트리스트를 자동으로 업데이트할 수 있다.
이에 의하여. 본 발명의 일 실시 예에 의한 화이트리스트 기반 악성코드 차단 과정은 종료한다.
도 7은 본 발명의 다른 실시 예에 의한 화이트리스트 기반 악성코드 차단 과정을 도시한 도면이다.
본 발명의 다른 실시 예에 의한 화이트리스트 기반 악성코드 차단 방법에 의하면, 산업용 기기 등의 특수 목적 장비에 적용될 수 있는 화이트리스트 방식의 보안 솔루션을 제공하되, 다중 블록 추출 방식을 사용하여 특정화 패턴을 추출하고 머신 러닝 기법에 기초하여 추출한 특정화 패턴을 학습할 수 있다.
도 7을 참조하면, 클라우드 서버(400)는 다중 블록 추출 방식을 이용하여 유효한 코드의 특정화 패턴을 추출한다(S701).
이 경우, 클라우드 서버(400)의 학습부(440)는 유효한 코드 및 프로그램을 특정화하는 패턴 추출 방식으로 다중 블록 추출 방식을 채택함으로써, 판별 오차율을 최소화할 수 있다.
클라우드 서버(400)는 머신 러닝 기법에 기초하여 특정화 패턴을 학습한다(S702).
실시 예에 따라, 클라우드 서버(400)의 학습부(440)는 머신 러닝 기법 외에도, 딥 러닝, 인공지능, 다중객체 관계 학습 및 end-to-end 러닝 등 다양한 학습 방법을 사용하여 특정화 패턴을 학습할 수 있다.
클라우드 서버(400)는 동종 패턴을 인식한다(S703).
구체적으로, 클라우드 서버(400)의 학습부(440)는 유효한 코드로부터 추출된 패턴과 동일한 동종패턴의 판별을 위해 머신 러닝 기법을 적용한 학습을 수행하고, 이에 기초하여 동종 패턴을 인식할 수 있다.
이에 의해, 패턴 분석에 머신 러닝 기법을 도입하여 동종 패턴에 대한 인식률을 높임으로써, 작고 빈번한 업데이트에 대해 수동적인 업데이트의 한계를 해소할 수 있다.
클라우드 서버(400)는 유사 패턴 및 변형 패턴을 인식한다(S704).
클라우드 서버(400)의 학습부(440)는 유효한 코드로부터 추출된 패턴에 기초하여, 추출된 패턴과 유사한 유사패턴 및 추출된 패턴으로부터 변형된 변형패턴에 대한 학습을 수행할 수 있다. 이에 기초하여, 학습부(440)는 화이트리스트로부터 추출한 특정화 패턴의 유사패턴 및 변형패턴을 인식할 수 있다.
이상에서 실시예를 중심으로 설명하였으나 이는 단지 예시일 뿐 본 발명을 한정하는 것이 아니며, 본 발명이 속하는 분야의 통상의 지식을 가진 자라면 본 실시예의 본질적인 특성을 벗어나지 않는 범위 내에서 이상에 예시되지 않은 여러 가지의 변형과 응용이 가능함을 알 수 있을 것이다. 예를 들어, 실시예에 구체적으로 나타난 각 구성 요소는 변형하여 실시할 수 있다. 그리고 이러한 변형과 응용에 관계된 차이점들은 첨부된 청구 범위에서 규정하는 본 발명의 범위에 포함되는 것으로 해석되어야 할 것이다.
210: 관리자 측 212: PC
214: 서버 220: IoT 게이트웨이
230: 랜섬웨어 240: 미등록 실행파일
300: 에이전트 400: 클라우드 서버
410: 수집부 420: 관리부
430: 분석부 440: 학습부
450: 제어부 500: 로컬 서버
214: 서버 220: IoT 게이트웨이
230: 랜섬웨어 240: 미등록 실행파일
300: 에이전트 400: 클라우드 서버
410: 수집부 420: 관리부
430: 분석부 440: 학습부
450: 제어부 500: 로컬 서버
Claims (16)
- 화이트리스트 기반 악성코드 차단 장치에 있어서,
에이전트에서 실행이 허용되는 코드 목록인 상기 화이트리스트를 수집하는 수집부;
상기 에이전트에서 실행되는 적어도 하나의 앱과 연동하여 상기 화이트리스트로부터 제1특정화 패턴을 추출하고, 상기 제1특정화 패턴을 학습하여 제2특정화 패턴을 추출하는 학습부; 및
상기 제2특정화 패턴을 적용하여 상기 화이트리스트를 업데이트하는 제어부를 포함하되,
상기 학습부는 각각의 앱에서의 보안 정책 및 보안 수준을 인식하고 이를 참조하여 상기 제1특정화 패턴을 추출하며,
상기 제2특정화 패턴은, 상기 화이트리스트의 동종 패턴과 유사 패턴 및 변형 패턴 중 적어도 하나를 포함하고,
상기 학습부는 상기 에이전트에 설치되는 프로그램을 업데이트하는 프로그램 내에 화이트리스트 API(WL-API)를 적용하여, 사전에 상기 제1특정화 패턴 및 상기 제2특정화 패턴을 반영하여 상기 화이트리스트에 즉시 반영하고,
개발자가 수정된 프로그램을 업로드하는 과정에서 상기 화이트리스트 API를 적용하여 상기 제1특정화 패턴 및 상기 제2특정화 패턴을 상기 화이트리스트에 반영하는 화이트리스트 기반 악성코드 차단 장치. - 제1항에 있어서,
상기 학습부는,
다중 블록 추출 방식을 사용하여 상기 제1특정화 패턴을 추출하는 화이트리스트 기반 악성코드 차단 장치. - 제1항에 있어서,
상기 학습부는,
머신 러닝 기법에 기초하여 상기 제1특정화 패턴을 학습하는 화이트리스트 기반 악성코드 차단 장치. - 삭제
- 제1항에 있어서,
상기 코드 목록은,
실행 파일 및 실행 프로그램 중 적어도 하나를 포함하는 화이트리스트 기반 악성코드 차단 장치. - 제1항에 있어서,
상기 제어부는,
상기 코드 목록에 등록된 코드를 제외한 다른 코드들의 설치와 다운 및 실행 중 적어도 하나를 차단하도록, 상기 에이전트 및 로컬 서버 중 적어도 하나를 제어하는 화이트리스트 기반 악성코드 차단 장치. - 제1항에 있어서,
상기 에이전트는,
판매 시점 단말기(Point Of Sale: POS), 키오스크(kiosk) 및 산업용 기기 중 적어도 하나인 화이트리스트 기반 악성코드 차단 장치. - 삭제
- 화이트리스트 기반 악성코드 차단 방법에 있어서,
에이전트에서 실행이 허용되는 코드 목록인 상기 화이트리스트를 수집하는 단계;
상기 에이전트에서 실행되는 적어도 하나의 앱과 연동하여 상기 화이트리스트로부터 제1특정화 패턴을 추출하고, 상기 제1특정화 패턴을 학습하여 제2특정화 패턴을 추출하는 단계; 및
상기 제2특정화 패턴을 적용하여 상기 화이트리스트를 업데이트하는 단계를 포함하되,
각각의 앱에서의 보안 정책 및 보안 수준을 인식하고 이를 참조하여 상기 제1특정화 패턴을 추출하고,
상기 제2특정화 패턴은, 상기 화이트리스트의 동종 패턴과 유사 패턴 및 변형 패턴 중 적어도 하나를 포함하며,
상기 에이전트에 설치되는 프로그램을 업데이트하는 프로그램 내에 화이트리스트 API를 적용하여, 사전에 상기 제1특정화 패턴 및 상기 제2특정화 패턴을 반영하여 상기 화이트리스트에 즉시 반영하고,
개발자가 수정된 프로그램을 업로드하는 과정에서 상기 화이트리스트 API를 적용하여 상기 제1특정화 패턴 및 상기 제2특정화 패턴을 상기 화이트리스트에 반영하는 화이트리스트 기반 악성코드 차단 방법. - 제9항에 있어서,
다중 블록 추출 방식을 사용하여 상기 제1특정화 패턴을 추출하는 화이트리스트 기반 악성코드 차단 방법. - 제9항에 있어서,
머신 러닝 기법에 기초하여 상기 제1특정화 패턴을 학습하는 화이트리스트 기반 악성코드 차단 방법. - 삭제
- 제9항에 있어서,
상기 코드 목록은,
실행 파일 및 실행 프로그램 중 적어도 하나를 포함하는 화이트리스트 기반 악성코드 차단 방법. - 제9항에 있어서,
상기 코드 목록에 등록된 코드를 제외한 다른 코드들의 설치와 다운 및 실행 중 적어도 하나를 차단하도록, 상기 에이전트 및 로컬 서버 중 적어도 하나를 제어하는 화이트리스트 기반 악성코드 차단 방법. - 제9항에 있어서,
상기 에이전트는,
판매 시점 단말기(Point Of Sale: POS), 키오스크(kiosk) 및 산업용 기기 중 적어도 하나인 화이트리스트 기반 악성코드 차단 방법. - 삭제
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020180044836A KR102079304B1 (ko) | 2018-04-18 | 2018-04-18 | 화이트리스트 기반 악성코드 차단 장치 및 방법 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020180044836A KR102079304B1 (ko) | 2018-04-18 | 2018-04-18 | 화이트리스트 기반 악성코드 차단 장치 및 방법 |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20190121483A KR20190121483A (ko) | 2019-10-28 |
KR102079304B1 true KR102079304B1 (ko) | 2020-02-19 |
Family
ID=68422051
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020180044836A KR102079304B1 (ko) | 2018-04-18 | 2018-04-18 | 화이트리스트 기반 악성코드 차단 장치 및 방법 |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR102079304B1 (ko) |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2021107259A1 (ko) * | 2019-11-29 | 2021-06-03 | (주) 앤앤에스피 | 네트워크 패킷 화이트리스트 연계 iacs 패킷 플로우 보안 감시 방법 및 시스템 |
KR102361081B1 (ko) * | 2020-08-26 | 2022-02-11 | 김광희 | Plc 기반의 키오스크 관리 방법 |
KR102259760B1 (ko) * | 2020-11-09 | 2021-06-02 | 여동균 | 화이트 리스트 기반 비정상 프로세스 분석 서비스 제공 시스템 |
KR102501372B1 (ko) * | 2020-12-08 | 2023-02-21 | 상명대학교산학협력단 | Ai 기반 이상징후 침입 탐지 및 대응 시스템 |
KR102538694B1 (ko) * | 2021-09-23 | 2023-05-31 | 주식회사 엘림넷 | 랜섬웨어로부터 데이터를 보호하기 위한 데이터 보호 시스템 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101538709B1 (ko) * | 2014-06-25 | 2015-07-29 | 아주대학교산학협력단 | 산업제어 네트워크를 위한 비정상 행위 탐지 시스템 및 방법 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100907709B1 (ko) * | 2007-11-22 | 2009-07-14 | 한양대학교 산학협력단 | 블록 그룹핑을 이용한 정보 추출 장치 및 그 방법 |
US10104107B2 (en) * | 2015-05-11 | 2018-10-16 | Qualcomm Incorporated | Methods and systems for behavior-specific actuation for real-time whitelisting |
-
2018
- 2018-04-18 KR KR1020180044836A patent/KR102079304B1/ko active IP Right Grant
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101538709B1 (ko) * | 2014-06-25 | 2015-07-29 | 아주대학교산학협력단 | 산업제어 네트워크를 위한 비정상 행위 탐지 시스템 및 방법 |
Also Published As
Publication number | Publication date |
---|---|
KR20190121483A (ko) | 2019-10-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR102079304B1 (ko) | 화이트리스트 기반 악성코드 차단 장치 및 방법 | |
Javaheri et al. | Detection and elimination of spyware and ransomware by intercepting kernel-level system routines | |
JP6334069B2 (ja) | 悪意のあるコードの検出の精度保証のためのシステムおよび方法 | |
RU2680736C1 (ru) | Сервер и способ для определения вредоносных файлов в сетевом трафике | |
US11012449B2 (en) | Methods and cloud-based systems for detecting malwares by servers | |
US10142343B2 (en) | Unauthorized access detecting system and unauthorized access detecting method | |
US10262139B2 (en) | System and method for detection and prevention of data breach and ransomware attacks | |
US11750634B1 (en) | Threat detection model development for network-based systems | |
CN105760787A (zh) | 用于检测随机存取存储器中的恶意代码的系统及方法 | |
US9959406B2 (en) | System and method for zero-day privilege escalation malware detection | |
Kardile | Crypto ransomware analysis and detection using process monitor | |
Bajpai et al. | Know thy ransomware response: a detailed framework for devising effective ransomware response strategies | |
Mohammadmoradi et al. | Making whitelisting-based defense work against badusb | |
Uma et al. | Survey on Android malware detection and protection using data mining algorithms | |
KR101614809B1 (ko) | 엔드포인트 응용프로그램 실행 제어 시스템 및 그 제어 방법 | |
Iffländer et al. | Hands off my database: Ransomware detection in databases through dynamic analysis of query sequences | |
Li et al. | A review on signature-based detection for network threats | |
US20220245249A1 (en) | Specific file detection baked into machine learning pipelines | |
KR101872605B1 (ko) | 지능형 지속위협 환경의 네트워크 복구 시스템 | |
KR102211846B1 (ko) | 랜섬웨어 탐지 시스템 및 그의 동작 방법 | |
Kono et al. | An unknown malware detection using execution registry access | |
Yadav et al. | A complete study on malware types and detecting ransomware using API calls | |
CN113824678A (zh) | 处理信息安全事件以检测网络攻击的系统和方法 | |
KR101752386B1 (ko) | 콘텐츠 프로그램 자동인식을 이용한 악성프로그램 차단 장치 및 차단 방법 | |
Stavrou et al. | Keep your friends close: the necessity for updating an anomaly sensor with legitimate environment changes |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant |