KR102093275B1

KR102093275B1 - 악성코드 감염 유도정보 판별 시스템, 프로그램이 기록된 저장매체 및 방법

Info

Publication number: KR102093275B1
Application number: KR1020190060729A
Authority: KR
Inventors: 이상준
Original assignee: (주)지란지교시큐리티
Priority date: 2019-05-23
Filing date: 2019-05-23
Publication date: 2020-03-25

Abstract

본 발명은 악성코드 감염 유도정보 판별 시스템, 프로그램이 기록된 저장매체 및 방법에 관한 것으로 멀티미디어 파일의 내용 등에서 악성코드가 포함되었다고 의심되는 의심정보 실행을 유도하는 것으로 의심되는 의심정보를 추출하고 심층신경망을 학습시켜 생성한 분류 모델에 의심정보를 입력하여 의심정보의 악성여부를 분류하며, 악성 의심정보에 대한 분류예측정보를 사용자에게 효과적으로 제공하는 기술에 대한 것이다.
본 발명에 따르면 최근 증가하는 악성문서 공격 등 멀티미디어 파일 등에 포함된 악성코드를 실행시키는 사용자 행위를 유도하는 문구 등에 대해 분석하여 미리 위협여부를 판별할 수 있으며 미리보기를 통해 사용자가 직접 파일을 다운받거나 실행하지 않고도 보안 위협에 대해 사전에 필터링 하거나 예방이 가능한 효과가 있다.

Description

악성코드 감염 유도정보 판별 시스템, 프로그램이 기록된 저장매체 및 방법{Malicious code infection inducing information discrimination system, storage medium in which program is recorded and method}

본 발명은 악성코드 감염 유도정보 판별 시스템, 프로그램이 기록된 저장매체 및 방법에 관한 것이다.

근래에는 업무의 효율성을 위해 대부분의 기업이 사내 네트워크를 구축하고 있다.

사내 네트워크는 다수의 이용자에게 빈번하게 사용되기 때문에, 사용자에게 필요한 액티브 콘텐트 외에 악의적으로 심어진 바이러스나 랜섬웨어와 같은 각종 유해한 액티브 콘텐트나 코드 등(이하 '유해한 액티브 콘텐트'라 통칭함)은 사내 네트워크 내에서 매우 빠른 속도로 전염된다.

그래서 사내 네트워크를 구축한 기업들은 유해한 액티브 콘텐트로부터 사내 네트워크를 보호하기 위한 각종 보안 시스템을 고려한다.

액티브 콘텐트들은 종종 사용자들에게 필요한 정보를 담은 멀티미디어 파일(예를 들면 워드파일, PDF문서, 그림파일, PPT파일, 엑셀파일, 이미지파일 등)에 심어진 상태로 유통되면서 신속히 확산될 수 있다. 그래서 멀티미디어 파일에 대한 보안 시스템의 도입이 필요하다.

멀티미디어 파일은 주로 이메일, 웹사이트 다운로드, USB메모리와 같은 기록매체, 사내 네트워크에 접속되어 있는 컴퓨터(개인용 PC나 스마트폰 또는 서버용 컴퓨터를 모두 포함함)로부터 유입될 수 있다. 이에 따라서 멀티미디어 파일의 수신 경로마다 최적화된 다양한 보안수단들이 구축되어 있다. 예를 들어, 이메일에 의한 수신 경로에는 스팸메일이나 악성코드를 가지는 메일 등을 처리하는 메일 보안수단이 구비되고, 웹사이트 다운로드에 따른 수신 경로에는 백신이 동작하며, 기록매체에 의한 수신 경로에는 매체제어수단이 구비된다. 그리고 컴퓨터 간 수신 경로에는 망분리수단이 구비될 수 있다.

멀티미디어 파일에 액티브 콘텐트가 심어진 경우에, 백신은 액티브 콘텐트의 패턴매칭을 통해 해당 액티브 콘텐트의 유해성 여부를 확인하였으나, 이러한 방법의 경우 변종이나 신종 악성 프로그램을 가려낼 수는 없었다.

또한, 멀티미디어 파일에 직접적으로 악성 프로그램이 포함되어 있지 않고 매크로 등을 이용하여 사용자가 해당 멀티미디어 파일을 열람할 시, 매크로에 의해 악성 프로그램을 다운로드하여 실행하게 되면 패턴 기반으로 해당 멀티미디어 파일의 유해성을 탐지하기가 어렵고, 이러한 공격은 매크로 코드의 조작만으로 새로운 형태가 되기 때문에 지속적으로 신규 위협으로 기능하므로, 패턴매칭만으로는 대응하기가 어렵다.

그래서 샌드박스(SandBox)라는 수단이 등장하였다. 샌드박스는 멀티미디어 파일에 심어진 액티브 콘텐트를 보호된 영역의 가상 환경에서 동작 여부 등을 수행시킴으로써 액티브 콘텐트의 행위를 통해 해당 액티브 콘텐트가 유해한지 여부를 확인하였다. 그런데, 근래에 개발되는 유해한 액티브 콘텐트들은 가상 환경에서는 동작하지 않고 실제 환경에서만 동작하도록 프로그램화되어 있어서, 샌드박스로는 멀티미디어 파일에 심어진 악성 프로그램으로부터 사내 네트워크를 보호할 수 없는 상태에 이르렀다. 즉, 지능화된 악성코드는 언제 가상 환경이 실행 중인지를 판단하고, 이에 따라 그들의 공격 행위를 멈춰 탐지를 피할 수 있는 방식이나 필수 프로그램(예를 들어 Java)의 취약점을 악용하는 방식으로 점차 진화해 가고 있는 것이다. 또한, 가상 환경이라 동작 수행의 시간이 다소 걸린다는 점에서, 샌드박스는 단독 보안 솔루션이 아닌 기존 보안 솔루션을 보완하는 정도로만 사용된다.

그리고 일부의 랜섬웨어는 이메일 본문의 링크를 사용하여 백신이나 샌드박스를 우회하기도 하는 등 기존의 백신이나 샌드박스에 의한 보안이 무력화되고 있는 실정이다.

그러나 보안 위협이 지능화, 고도화됨에 따라 기존의 보안 환경에서 이를 사전에 차단하는 것이 점차 어려워지고 있으며, 공격자들은 타겟 대상이 악성코드에 감염되도록 실행파일 형태가 아닌 문서, 이미지 등 사용 빈도가 높은 오피스 포맷을 이용한 공격을 확대해나가고 있다.

특히 오피스 포맷 기반의 악성문서 공격은 문서 자체가 악성코드가 아닌 문서 내 포함되어 있는 액티브 콘텐트(매크로, 스크립트, OLE Object 등 멀티미디어 파일 내에 포함되어 있는 실행 가능한 기능, 요소 등)에 악성코드를 은닉, 위장한 채 삽입하며, 사용자가 액티브 콘텐트를 실행하면 감염되도록 하는 사회공학적 기법이 적용된 공격 방식이 증가하고 있다. 예를 들어, 스피어피싱, APT 공격 등이 있다.

예를 들어, 인사담당자를 타겟으로 입사지원서 형태의 문서 파일을 보내고 문서 파일 본문 내에 "입사지원을 희망하며, 파일 보안을 위하여 실행 후 뜨는 팝업에 '1234'라는 비밀번호를 입력해주십시오" 라는 문구를 삽입하여 사용자에게 위협이 되는 액티브 콘텐트를 실행시키도록 유도하는 사회공학적 방식이 있다.

또는 도 1에서 보이는 바와 같이 이메일로 전송한 특정 문서 파일 내 악성코드를 다운로드하는 URL과 연결하는 하이퍼링크를 달고 하이퍼링크 클릭을 유도하는 문구를 이메일 본문에 삽입하여 악성코드를 실행하도록 유도하는 형태가 있을 수 있다.

따라서, 최근 이메일 등 악성문서 보안 위협은 고도의 기술을 이용하기보다는 사회공학을 이용하는 형태로 진화하고 있어 사용자에게 위협이 되는 행위를 유도할 수 있는 정보에 대해 민감하게 대응할 필요가 있었다.

본 발명은 사용자의 행위를 유도하는 사회공학적 보안 위협에 대응하는 기술을 제공하는 것을 목적으로 한다.

본 발명에 따른 악성코드 감염 유도정보 판별 장치는 다양한 유입채널로부터 사용자 단말기에 제공될 멀티미디어 파일을 통합적으로 수신하는 파일수신부;상기 멀티미디어 파일로부터 사용자의 행위를 유도하는 것으로 의심되는 의심정보를 추출하는 의심정보추출부; 상기 의심정보에서 기계학습에 필요한 특성을 선별적으로 추출하여 가공하는 전처리과정을 수행하여 벡터데이터를 생성하는 전처리부; 악성여부가 사전에 분류된 샘플 의심정보의 특성이 추출된 학습데이터 및 상기 샘플 의심정보의 악성여부에 대한 결과값을 이용하여 심층신경망을 기계학습시켜 인공지능 분류 모델을 생성하는 학습부; 상기 전처리부로부터 온 상기 벡터데이터가 상기 인공지능 분류 모델로 입력되면 상기 인공지능 분류 모델이 출력하는 예측값에 따라 상기 의심정보의 악성여부를 예측하고, 그 악성여부에 대해 예측된 의심정보의 위협을 분석하는 분석작업을 수행하여 예측분류정보를 생성하는 분류부; 상기 분류부에서 생성된 예측분류정보를 사용자 단말기로 제공하기 위한 제공부;를 포함한다.

상기 제공부는 상기 멀티미디어 파일을 미리보기로 제공하되, 상기 분류부에서 악성으로 예측된 의심정보가 미리보기에서 노출되는 악성 의심정보 영역을 파악하여, 상기 악성 의심정보 영역에 상기 분류부에서 생성된 예측분류정보를 제공할 수 있다.

상기 파일수신부는 상기 다양한 유입채널로부터 상기 멀티미디어 파일과 함께 제공되는 유입채널정보를 수신하고, 상기 의심정보추출부는 상기 유입채널정보로부터 의심정보를 추출할 수 있다.

본 발명에 따른 악성코드 감염 유도정보 판별 장치는 악성여부가 사전에 분류된 검증용 의심정보를 이용하여 상기 인공지능 분류 모델의 성능을 검증하기 위한 검증부를 더 포함하고, 상기 검증부는 상기 검증용 의심정보의 특성이 추출된 검증데이터를 상기 인공지능 분류 모델에 입력하여 출력되는 분류값과 상기 검증데이터에 라벨링된 상기 검증용 의심정보의 악성여부에 대한 검증값을 비교하여 계산된 오차에 따라 상기 인공지능 분류 모델의 성능을 측정하여 모델성능정보를 생성할 수 있다.

상기 심층신경망은 컨벌루셔널 뉴럴 네트워크 구조를 포함하고, 상기 학습부는 상기 심층신경망을 학습사이클을 가지고 반복하여 기계학습시키되, 상기 학습사이클의 반복횟수는 상기 모델성능정보에 따라 결정될 수 있다.

상기 파일수신부로부터 수신한 멀티미디어 파일로부터 액티브 콘텐트 포함여부를 판단하여 분류대상여부를 결정하는 분류대상판단부를 더 포함하고, 상기 의심정보추출부는 상기 분류대상판단부에서 분류대상으로 판단한 멀티미디어 파일로부터 의심정보를 추출할 수 있다.

상기 학습부는 상기 심층신경망에 상기 학습데이터를 입력하여 출력값을 출력하고, 상기 결과값과 상기 출력값을 비교하여 오류를 계산하고, 상기 오류에 기초하여 상기 심층신경망의 가중치를 역전파방식으로 갱신함으로써 상기 인공지능 분류 모델을 생성할 수 있다.

본 발명인 악성코드 감염 유도정보 판별 방법은 악성여부가 사전에 분류된 샘플 의심정보의 특성이 추출된 학습데이터 및 상기 샘플 의심정보의 악성여부에 대한 결과값을 이용하여 심층신경망을 기계학습시켜 인공지능 분류 모델을 생성하는 학습단계; 다양한 유입채널로부터 멀티미디어 파일을 통합적으로 수신하는 파일수신단계; 상기 파일수신단계에서 수신된 상기 멀티미디어 파일에서 의심정보를 추출하는 의심정보추출단계; 상기 의심정보에서 기계학습에 필요한 특성을 선별적으로 추출하여 가공하는 전처리과정을 수행하여 벡터데이터를 생성하는 전처리단계;상기 전처리단계로부터 온 상기 벡터데이터가 상기 인공지능 분류 모델로 입력되면 상기 인공지능 분류 모델이 출력하는 예측값에 따라 상기 의심정보의 악성여부를 예측하고, 그 악성 여부에 대한 예측분류정보를 생성하는 분류단계; 및 상기 분류단계에서 생성된 예측분류정보를 사용자 단말기로 제공하기 위한 제공단계;를 포함하고, 상기 제공단계는 상기 멀티미디어 파일을 미리보기로 제공하되, 상기 분류단계에서 악성으로 예측된 의심정보가 미리보기에서 노출되는 악성 의심정보 영역을 파악하여, 상기 악성 의심정보 영역에 상기 분류단계에서 생성된 예측분류정보를 제공한다.

아울러, 이러한 목적을 달성하기 위하여 본 발명의 일 실시예에 따른 컴퓨터 판독 가능 기록매체에는 상술한 방법을 수행하는 프로그램을 기록되어 있다.

본 발명에 따르면 다음과 같은 효과가 있다.

첫째, 최근 증가하는 악성문서 공격 등 멀티미디어 파일 등에 포함된 악성코드를 실행시키는 사용자 행위를 유도하는 문구 등에 대한 분석을 통해 위협여부를 판별할 수 있다.

둘째, 본 발명에서 지원하는 미리보기를 위한 디스플레이수단을 통해 사용자가 직접 파일을 다운받거나 실행하지 않고도 악성문서 공격 등 위협여부를 판별할 수 있어 보안 위협에 대해 사전에 필터링 하거나 예방이 가능하다..

셋째, 본 발명에서 유도정보가 저장된 데이터베이스는 새로운 형태의 유도정보를 수집하고 이를 시스템 또는 소프트웨어에 갱신하거나 클라우드를 통해 제공하여 최신 시그니처 기반 위협여부 판별이 가능해진다.

도1 은 악성코드 감염을 유도하는 악성 유도정보에 대한 예시이다.
도 2는 본 발명의 일 실시예인 컨볼루션 뉴럴 네트워크에 대한 개념도이다.
도 3은 본 발명의 일 실시예인 악성코드 감염 유도정보 판별 시스템에 대한 도식도이다.
도 4는 본 발명의 일 실시예인 악성코드 감염 유도정보 판별 장치에 대한 도식도이다.
도 5는 본 발명의 일 실시예인 악성코드 감염 유도정보 판별 장치의 전처리부에 대한 도식도이다.
도 6은 본 발명의 일 실시예인 악성코드 감염 유도정보 판별 장치의 전처리부에서 수행되는 과정에 대한 개념도이다.
도 7은 본 발명의 일 실시예인 악성코드 감염 유도정보 판별 방법에 대한 순서도이다.

본 발명의 바람직한 실시예에 대하여 더 구체적으로 설명하되, 이미 주지된 기술적 부분에 대해서는 설명의 간결함을 위해 생략하거나 압축하기로 한다.

이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시예에 대해 상세히 설명한다.

'보안정책'은 컴퓨터 하드웨어나 소프트웨어의 고장, 사용자에 의한 부정행위 또는 기밀 누설 등을 방지하기 위하여 시스템 자체와 그 사용자 및 관련 분야 전반에 걸쳐 사전에 대비해 두는 것을 말하며 보안정보들 중 적어도 하나를 선택하여 설정될 수 있다.

본 명세서에서 사용되는 용어 "장치" "부", "수단", "시스템" "기능" 등은 컴퓨터-관련 엔티티, 하드웨어, 펌웨어, 소프트웨어, 소프트웨어 및 하드웨어의 조합, 또는 소프트웨어의 실행을 지칭한다. 예를 들어, "기능"은 프로세서상에서 실행되는 처리과정(procedure), 프로세서, 객체, 실행 스레드, 프로그램, 및/또는 컴퓨터일 수 있지만, 이들로 제한되는 것은 아니다. 예를 들어, 컴퓨팅 장치에서 실행되는 애플리케이션 및 컴퓨팅 장치 모두 기능일 수 있다. 하나 이상의 기능은 프로세서 및/또는 실행 스레드 내에 상주할 수 있다. 일 기능은 하나의 컴퓨터 내에 로컬화 될 수 있다. 일 기능은 2개 이상의 컴퓨터들 사이에 분배될 수 있다. 또한, 이러한 기능들은 그 내부에 저장된 다양한 데이터 구조들을 갖는 다양한 컴퓨터 판독가능한 매체로부터 실행할 수 있다. 기능들은 예를 들어 하나 이상의 데이터 패킷들을 갖는 신호(예를 들면, 로컬 시스템, 분산 시스템에서 다른 기능들과 상호작용하는 하나의 기능으로부터의 데이터 및/또는 신호를 통해 다른 시스템과 인터넷과 같은 네트워크를 통해 전송되는 데이터)에 따라 로컬 및/또는 원격 처리들을 통해 통신할 수 있다.

더불어, 용어 "또는"은 배타적 "또는"이 아니라 내포적 "또는"을 의미하는 것으로 의도된다. 즉, 달리 특정되지 않거나 문맥상 명확하지 않은 경우에, "X는 A 또는 B를 이용한다"는 자연적인 내포적 치환 중 하나를 의미하는 것으로 의도된다. 즉, X가 A를 이용하거나; X가 B를 이용하거나; 또는 X가 A 및 B 모두를 이용하는 경우, "X는 A 또는 B를 이용한다"가 이들 경우들 어느 것으로도 적용될 수 있다. 또한, 본 명세서에 사용된 "및/또는"이라는 용어는 열거된 관련 아이템들 중 하나 이상의 아이템의 가능한 모든 조합을 지칭하고 포함하는 것으로 이해되어야 한다.

당업자들은 추가적으로 여기서 개시된 실시예들과 관련되어 설명된 다양한 예시적 논리적 블록들, 구성들, 모듈들, 회로들, 수단들, 로직들, 및 알고리즘 단계들이 전자 하드웨어, 컴퓨터 소프트웨어, 또는 양쪽 모두의 조합들로 구현될 수 있음을 인식해야 한다. 하드웨어 및 소프트웨어의 상호교환성을 명백하게 예시하기 위해, 다양한 예시적 컴포넌트들, 블록들, 구성들, 수단들, 로직들, 모듈들, 회로들, 및 단계들은 그들의 기능성 측면에서 일반적으로 위에서 설명되었다. 그러한 기능성이 하드웨어로 또는 소프트웨어로서 구현되는지 여부는 전반적인 시스템에 부과된 특정 어플리케이션(application) 및 설계 제한들에 달려 있다. 숙련된 기술자들은 각각의 특정 어플리케이션들을 위해 다양한 방법들로 설명된 기능성을 구현할 수 있다. 다만, 그러한 구현의 결정들이 본 개시내용의 영역을 벗어나게 하는 것으로 해석되어서는 안된다.

본 발명의 악성코드 감염 유도정보 판별 시스템에 포함되는 컴퓨터 장치, 악성코드 감염 유도정보 판별 장치를 구현하는 컴퓨터 장치 또는 악성 의심정보를 포함한 파일을 분류하는 인공지능 기반 방법을 수행하는 프로그램을 판독하는 컴퓨터 장치에 있어서, 컴퓨터 장치의 프로세서는 하나 이상의 코어로 구성될 수 있으며, 컴퓨팅 장치의 중앙 처리 장치(CPU: centralprocessing unit), 범용 그래픽 처리 장치(GPGPU: general purpose graphics processing unit), 텐서 처리 장치(TPU: tensor processing unit), 모바일 단말의 어플리케이션 프로세서(AP: application processor)등의 데이터 분석, 딥러닝을 위한 모든 종류의 프로세서를 포함할 수 있다. 프로세서는 메모리에 저장된 컴퓨터 프로그램을 판독하여 본 발명의 일 실시예에 따른 악성 의심정보를 포함한 파일을 분류하는 인공지능 기반 방법을 수행할 수 있다.

본 명세서에 걸쳐, 심층신경망, 네트워크 함수, 뉴럴 네트워크(neural network)는 동일한 의미로 사용될 수 있다.

본 발명의 일 실시예에 따라 프로세서는 심층신경망의 학습을 위한 계산을 수행할 수 있다. 프로세서는 딥러닝(DN: deeplearning)에서 학습을 위한 입력 데이터의 처리, 입력 데이터에서의 특성(피처(feature)) 추출, 오차 계산, 역전파(backpropagation)를 이용한 심층신경망의 가중치 갱신 등의 심층신경망의 학습을 위한 계산을 수행할 수 있다. 프로세서의 CPU, GPGPU, 및 TPU 중 적어도 하나가 네트워크 함수의 학습을 처리할 수 있다. 예를 들어, CPU와 GPGPU가 함께 네트워크 함수의 학습, 네트워크 함수를 이용한 데이터 분류를 처리할 수 있다. 또한, 본 발명의 일 실시예에서 복수의 컴퓨팅 장치의 프로세서를 함께 사용하여 네트워크 함수의 학습, 네트워크 함수를 이용한 데이터 분석을 처리할 수 있다. 또한, 본 발명의 일 실시예에 따른 컴퓨팅 장치에서 수행되는 컴퓨터 프로그램은 CPU, GPGPU, TPU 또는 AP 실행가능 프로그램일 수 있다.

상술한 컴퓨팅 장치는 CPU, GPGPU, TPU 및 AP 중 적어도 하나를 이용하여 네트워크 함수를 분산하여 처리할 수 있다. 또한 본 발명의 일 실시예에서 컴퓨팅 장치는 다른 컴퓨팅 장치와 함께 네트워크 함수를 분산하여 처리할 수 있다.

본 발명의 일 실시예에서 인공지능 분류 모델을 이용하여 분류되는 의심정보를 포함하는 멀티미디어 파일은 컴퓨팅 장치의 저장 매체에 저장된 파일 및/또는 통신 모듈에 의하여 데이터 베이스 등 다른 컴퓨팅 장치로부터 전송된 파일일 수 있다. 또한 본 발명의 일 실시예에서 인공지능 분류 모델을 이용하여 분류되는 의심정보를 포함하는 멀티미디어 파일은 컴퓨터 판독가능 저장 매체(예를 들어, 플래시 메모리 등을 포함할 수 있으나 본 발명는 이에 제한되지 않음)에 저장된 파일일 수 있다. 컴퓨팅 장치는 입출력 인터페이스(미도시)를 통해 컴퓨터 판독가능 저장 매체에 저장된 파일을 입력 받을 수 있다.

즉, 본 발명의 일 실시예들은 컴퓨팅 장치를 이용하여 멀티미디어 파일을 수신하고, 사전 학습된 심층신경망을 통해 생성한 인공지능 분류 모델에 벡터데이터를 입력하여 출력된 예측값을 통해 해당 멀티미디어 파일 및 그에 포함된 의심정보의 악성 여부를 예측할 수 있다.

메모리는 본 발명의 일 실시예에 따른 방법을 수행하기 위한 컴퓨터 프로그램을 저장할 수 있으며, 저장된 컴퓨터 프로그램은 프로세서(110)에 의하여 판독되어 구동될 수 있다.

본 발명의 일 실시예에서 이용되는 컴퓨팅 장치상의 통신 모듈은 본 발명을 실시하기 위한 데이터 등을 다른 컴퓨팅 장치, 서버 등과 송수신할 수 있다. 통신 모듈은 학습데이터, 결과값, 벡터데이터, 예측값 등 본 발명의 실시예에 필요한 데이터들을 다른 컴퓨팅 장치, 서버 등과 송수신 할 수 있다. 예를 들어, 통신 모듈은 인공지능 분류 모델을 다른 컴퓨팅 장치, 서버 등으로부터 수신할 수 있다. 통신 모듈은 학습데이터, 결과값 등이 저장된 데이터베이스 등에서 학습데이터 등을 수신할 수 있다. 또한, 통신 모듈은 복수의 컴퓨팅 장치 사이의 통신을 가능하게 하여 복수의 컴퓨팅 장치 각각에서 네트워크 함수의 학습이 분산 수행되도록 할 수 있다. 통신 모듈은 복수의 컴퓨팅 장치 사이의 통신을 가능하게 하여 네트워크 함수를 사용한 데이터 처리를 분산 처리할 수 있도록 할 수 있다.

<심층신경망 내지 인공지능 분류 모델에 대한 설명>

본 명세서에 걸쳐 신경망, 심층신경망, 네트워크 함수, 뉴럴 네트워크(neural network)는 동일한 의미로 사용될 수 있다. 신경망은 일반적으로 “노드”라 지칭될 수 있는 상호 연결된 계산 단위들의 집합으로 구성될 수 있다. 이러한 “노드”들은 “뉴런(neuron)”들로 지칭될 수도 있다. 신경망은 적어도 하나 이상의 노드들을 포함하여 구성된다. 신경망들을 구성하는 노드(또는 뉴런)들은 하나 이상의“링크”에 의해 상호 연결될 수 있다.

신경망 내에서, 링크를 통해 연결된 하나 이상의 노드들은 상대적으로 입력 노드 및 출력 노드의 관계를 형성할 수 있다. 입력 노드 및 출력 노드의 개념은 상대적인 것으로서, 하나의 노드에 대하여 출력 노드 관계에 있는 임의의 노드는 다른 노드와의 관계에서 입력 노드 관계에 있을 수 있으며, 그 역도 성립할 수 있다. 상술한 바와 같이, 입력 노드 대 출력 노드 관계는 링크를 중심으로 생성될 수 있다. 하나의 입력 노드에 하나 이상의 출력 노드가 링크를 통해 연결될 수 있으며, 그 역도 성립할 수 있다.

하나의 링크를 통해 연결된 입력 노드 및 출력 노드 관계에서, 출력 노드는 입력 노드에 입력된 데이터에 기초하여 그 값이 결정될 수 있다. 여기서 입력 노드와 출력 노드를 상호 연결하는 노드는 가중치(weight)를 가질 수 있다. 가중치는 가변적일 수 있으며, 신경망이 원하는 기능을 수행하기 위해, 사용자 또는 알고리즘에 의해 가변될 수 있다. 예를 들어, 하나의 출력 노드에 하나 이상의 입력 노드가 각각의 링크에 의해 상호 연결된 경우, 출력 노드는 상기 출력 노드와 연결된 입력 노드들에 입력된 값들 및 각각의 입력 노드들에 대응하는 링크에 설정된 가중치에 기초하여 출력 노드 값을 결정할 수 있다.

상술한 바와 같이, 신경망은 하나 이상의 노드들이 하나 이상의 링크를 통해 상호 연결되어 신경망 내에서 입력노드 및 출력 노드 관계를 형성한다. 신경망 내에서 노드들과 링크들의 개수 및 노드들과 링크들 사이의 연관관계, 링크들 각각에 부여된 가중치의 값에 따라, 신경망의 특성이 결정될 수 있다. 예를 들어, 동일한 개수의 노드 및 링크들이 존재하고, 링크들 사이의 가중치 값이 상이한 두 신경망이 존재하는 경우, 두 개의 신경망들은 서로 상이한 것으로 인식될 수 있다.

신경망은 하나 이상의 노드들을 포함하여 구성될 수 있다. 신경망을 구성하는 노드들 중 일부는, 최초 입력 노드로부터의 거리들에 기초하여, 하나의 레이어(layer)를 구성할 수 있다, 예를 들어, 최초 입력 노드로부터 거리가 n인 노드들의 집합은, n 레이어를 구성할 수 있다. 최초 입력 노드로부터 거리는, 최초 입력 노드로부터 해당 노드까지 도달하기 위해 거쳐야 하는 링크들의 최소 개수에 의해 정의될 수 있다. 그러나, 이러한 레이어의 정의는 설명을 위한 임의적인 것으로서, 신경망 내에서 레이어의 차수는 상술한 것과 상이한 방법으로 정의될 수 있다. 예를 들어, 노드들의 레이어는 최종 출력 노드로부터 거리에 의해 정의될 수도 있다.

최초 입력 노드는 신경망 내의 노드들 중 다른 노드들과의 관계에서 링크를 거치지 않고 데이터가 직접 입력되는 하나 이상의 노드들을 의미할 수 있다. 또는, 신경망 네트워크 내에서, 링크를 기준으로 한 노드 간의 관계에 있어서, 링크로 연결된 다른 입력 노드들을 가지지 않는 노드들을 의미할 수 있다. 이와 유사하게, 최종 출력노드는 신경망 내의 노드들 중 다른 노드들과의 관계에서, 출력 노드를 가지지 않는 하나 이상의 노드들을 의미할 수 있다. 또한, 히든 노드는 최초 입력 노드 및 최후 출력 노드가 아닌 신경망을 구성하는 노드들을 의미할 수 있다. 본 발명의 일 실시예에 따른 신경망은 입력 레이어의 노드의 개수가 출력 레이어의 노드의 개수와 동일할 수 있으며, 입력 레이어에서 히든 레이어로 진행됨에 따라 노드의 수가 감소하다가 다시 증가하는 형태의 신경망일 수 있다. 또한, 본 발명의 다른 일 실시예에 따른 신경망은 입력 레이어의 노드의 개수가 출력 레이어의 노드의 개수 보다 적을 수 있으며, 입력 레이어에서 히든 레이어로 진행됨에 따라 노드의 수가 감소하는 형태의 신경망일 수 있다. 또한, 본 발명의 또 다른 일 실시예에 따른 신경망은 입력 레이어의 노드의 개수가 출력 레이어의 노드의 개수보다 많을 수 있으며, 입력 레이어에서 히든 레이어로 진행됨에 따라 노드의 수가 증가하는 형태의 신경망일 수 있다. 본 발명의 또 다른 일 실시예에 따른 신경망은 상술한 신경망들의 조합된 형태의 신경망일 수 있다.

딥 뉴럴 네트워크(DNN: deep neural network, 심층신경망)는 입력 레이어와 출력 레이어 외에 복수의 히든 레이어를 포함하는 신경망을 의미할 수 있다. 딥 뉴럴 네트워크를 이용하면 데이터의 잠재적인 구조(latent structures)를 파악할 수 있다. 즉, 사진, 글, 비디오, 음성, 음악의 잠재적인 구조(예를 들어, 어떤 물체가 사진에 있는지, 글의 내용과 감정이 무엇인지, 음성의 내용과 감정이 무엇인지 등)를 파악할 수 있다. 딥 뉴럴 네트워크는 컨벌루셔널 뉴럴 네트워크(CNN: convolutional neural network), 리커런트 뉴럴 네트워크(RNN: recurrent neural network), 오토 인코더(auto encoder), GAN(Generative Adversarial Networks), 제한 볼츠만 머신(RBM: restricted boltzmann machine), 심층 신뢰 네트워크(DBN: deep belief network), Q 네트워크, U 네트워크, 샴 네트워크 등을 포함할 수 있다. 전술한 딥 뉴럴 네트워크의 기재는 예시일 뿐이며 본 발명는 이에 제한되지 않는다.

본 발명의 일 실시예에서 네트워크 함수는 오토 인코더를 포함할 수도 있다. 오토 인코더는 입력 데이터와 유사한 출력 데이터를 출력하기 위한 인공 신경망의 일종일 수 있다. 오토 인코더는 적어도 하나의 히든 레이어를 포함할 수 있으며, 홀수 개의 히든 레이어가 입출력 레이어 사이에 배치될 수 있다. 각각의 레이어의 노드의 수는 입력 레이어의 노드의 수에서 병목 레이어(인코딩)라는 중간 레이어에서 축소되었다가, 병목 레이어에서 출력 레이어(입력 레이어와 대칭)로 축소와 대칭되어 확장될 수도 있다. 차원 감소 레이어와 차원 복원 레이어의노드는 대칭일 수도 있고 아닐 수도 있다. 오토 인코더는 비선형 차원 감소를 수행할 수 있다. 입력 레이어 및 출력 레이어의 노드의 수는 입력 데이터의 전처리 이후에 남은 픽셀들의 수와 대응될 수 있다. 오토 인코더 구조에서 인코더에 포함된 히든 레이어의 노드의 수는 입력 레이어에서 멀어질수록 감소하는 구조를 가질 수 있다. 병목 레이어(인코더와 디코더 사이에 위치하는 가장 적은 노드를 가진 레이어)의 노드의 수는 너무 적은 경우 충분한 양의 정보가 전달되지 않을 수 있으므로, 특정 수 이상(예를 들어, 입력 레이어의 절반 이상 등)으로 유지될 수도 있다.

뉴럴 네트워크는 교사 학습(supervised learning), 비교사 학습(unsupervised learning), 및 반교사학습(semi supervised learning) 중 적어도 하나의 방식으로 학습될 수 있다. 뉴럴 네트워크의 학습은 출력의 오류를 최소화하기 위한 것이다. 뉴럴 네트워크의 학습에서 반복적으로 학습데이터를 뉴럴 네트워크에 입력시키고 학습데이터에 대한 뉴럴 네트워크의 출력인 출력값과 학습데이터에 레이블링되어 있는 결과값 간의 오차(에러)를 계산하고, 에러를 줄이기 위한 방향으로 뉴럴 네트워크의 에러를 뉴럴 네트워크의 출력 레이어에서부터 입력 레이어 방향으로 역전파(backpropagation)하여 뉴럴 네트워크의 각 노드의 가중치를 갱신(업데이트) 하는 과정이다. 교사 학습의 경우 각각의 학습데이터에 정답인 결과값이 라벨링되어 있는 학습데이터를 사용하며(즉, 라벨링된 학습데이터), 비교사 학습의 경우는 각각의 학습데이터에 정답이 라벨링되어 있지 않을 수 있다. 즉, 예를 들어 데이터 분류에 관한 교사 학습의 경우의 학습데이터는 학습데이터 각각에 카테고리가 라벨링 된 데이터 일 수 있다. 라벨링된 학습데이터가 뉴럴 네트워크에 입력되고, 뉴럴 네트워크의 출력(카테고리)과 학습데이터의 라벨이 비교되어짐으로써 오차(error)가 계산될 수 있다. 다른예로, 데이터 분류에 관한 비교사 학습의 경우 입력인 학습데이터가 뉴럴 네트워크 출력과 비교됨으로써 오류가 계산될 수 있다. 계산된 오류는 뉴럴 네트워크에서 역방향(즉, 출력 레이어에서 입력 레이어 방향)으로 역전파 되며, 역전파에 따라 뉴럴 네트워크의 각 레이어의 각 노드들의 연결 가중치가 업데이트 될 수 있다. 업데이트 되는 각 노드의 연결 가중치는 학습률(learning rate)에 따라 변화량이 결정될 수 있다. 입력 데이터에 대한 뉴럴 네트워크의 계산과 에러의 역전파는 학습 사이클(epoch)을 구성할 수 있다. 학습률은 뉴럴 네트워크의 학습사이클의 반복 횟수에 따라 상이하게 적용될 수 있다. 예를 들어, 뉴럴 네트워크의 학습 초기에는 높은 학습률을 사용하여 뉴럴 네트워크가 빠르게 일정 수준의 성능을 확보하도록 하여 효율성을 높이고, 학습 후기에는 낮은 학습률을 사용하여 정확도를 높일 수 있다.

뉴럴 네트워크의 학습에서 일반적으로 학습데이터는 실제 데이터(즉, 학습된 뉴럴 네트워크를 이용하여 처리하고자 하는 데이터)의 부분집합일 수 있으며, 따라서, 학습데이터에 대한 오류는 감소하나 실제 데이터에 대해서는 오류가 증가하는 학습 사이클이 존재할 수 있다. 과적합(overfitting)은 이와 같이 학습데이터에 과하게 학습하여 실제 데이터에 대한 오류가 증가하는 현상이다. 예를 들어, 노란색 고양이를 보여 고양이를 학습한 뉴럴 네트워크가 노란색 이외의 고양이를 보고는 고양이임을 인식하지 못하는 현상이 과적합의 일종일 수 있다.

과적합은 기계학습(머신러닝) 알고리즘의 오류를 증가시키는 원인으로 작용할 수 있다. 이러한 과적합을 막기 위하여 다양한 최적화 방법이 사용될 수 있다. 과적합을 막기 위해서는 학습데이터를 증가시키거나, 레귤라이제이션(regulaization), 학습의 과정에서 네트워크의 노드 일부를 생략하는 드롭아웃(dropout) 등의 방법이 적용될 수 있다.

도 2에 도시된 컨벌루셔널 뉴럴 네트워크(CNN: convolutional neural network)는 딥 뉴럴 네트워크의 일종으로서, 컨벌루셔널 레이어를 포함하는 신경망을 포함한다. 컨벌루셔널 뉴럴 네트워크는 최소한의 전처리(preprocess)를 사용하도록 설계된 다계층 퍼셉트론(multilayer perceptorns)의 한 종류이다. CNN은 하나 또는 여러개의 컨벌루셔널 레이어와 이와 결합된 인공 신경망 계층들로 구성될 수 있으며, 가중치와 풀링 레이어(pooling layer)들을 추가로 활용할 수 있다. 이러한 구조 덕분에 CNN은 2차원 구조의 입력 데이터를 충분히 활용할 수 있다. 컨벌루셔널 뉴럴 네트워크는 일반적으로 이미지 등에서 오브젝트를 인식하기 위하여 사용될 수 있다. 컨벌루셔널 뉴럴 네트워크는 데이터를 차원을 가진 행렬로 나타내어 처리할 수 있다. 예를 들어 RGB(redgreen-blue)로 인코딩된 이미지 데이터의 경우, R, G, B 색상별로 각각 2차원(예를 들어, 2차원 이미지인 경우) 행렬로 나타내 질 수 있다. 즉, 이미지 데이터의 각 픽셀의 색상값이 행렬의 성분이 될 수 있으며 행렬의 크기는 이미지의 크기와 같을 수 있다. 따라서 이미지 데이터는 3개의 2차원 행렬(3차원의 데이터 어레이)로 나타내질 수 있다.

컨벌루셔널 뉴럴 네트워크에서 컨벌루셔널 필터를 이동해가며 컨벌루셔널 필터와 벡터형식 데이터의 각 위치에서의 행렬 성분끼리 곱하는 것으로 컨벌루셔널 과정(컨벌루셔널 레이어의 입출력)을 수행할 수 있다. 컨벌루셔널 필터는 n*n 형태의 행렬로 구성될 수 있으며, 일반적으로 벡터 형식 데이터가 이미지인 경우, 이미지의 전체 픽셀의 수보다 작은 고정된 형태의 필터로 구성될 수 있다. 즉, m*m 이미지를 컨벌루셔널 레이어(예를 들어, 컨벌루셔널 필터의 사이즈가 n*n인 컨벌루셔널 레이어)에 입력시키는 경우, 이미지의 각 픽셀을 포함하는 n*n 픽셀을 나타내는 행렬이 컨벌루셔널 필터와의 성분곱(즉, 행렬의 각 성분끼리의 곱)이 될 수 있다. 컨벌루셔널 필터와의 곱에 의하여 이미지에서 컨벌루셔널 필터와 매칭되는 성분이 추출될 수 있다. 예를 들어, 이미지에서 상하 직선 성분을 추출하기 위한 3*3 컨벌루셔널 필터는 [[0,1,0],[0,1,0],[0,1,0]] 와 같이 구성될 수 있으며, 이러한 컨벌루셔널 필터가 입력 이미지에 적용되면 이미지에서 컨벌루셔널 필터와 매칭되는 상하 직선 성분이 추출되어 출력될 수 있다. 컨벌루셔널 레이어는 이미지를 나타낸 각각의 채널에 대한 각각의 행렬(즉, R, G, B 코딩 이미지의 경우, R, G, B 색상)에 컨벌루셔널 필터를 적용할 수 있다. 컨벌루셔널 레이어는 입력 이미지에 컨벌루셔널 필터를 적용하여 입력 이미지에서 컨벌루셔널 필터와 매칭되는 피처를 추출할 수 있다. 컨벌루셔널 필터의 필터 값(즉, 행렬의 각 성분의 값)은 컨벌루셔널 뉴럴 네트워크의 학습 과정에서 역전파(back propagation)에 의하여 업데이트 될 수 있다.

컨벌루셔널 레이어의 출력에는 서브샘플링 레이어가 연결되어 컨벌루셔널 레이어의 출력을 단순화하여 메모리 사용량과 연산량을 줄일 수 있다. 예를 들어, 2*2 맥스 풀링 필터를 가지는 풀링 레이어에 컨벌루셔널 레이어의 출력을 입력시키는 경우, 이미지의 각 픽셀에서 2*2 패치마다 각 패치에 포함되는 최대값을 출력하여 이미지를 압축할 수 있다. 전술한 풀링은 패치에서 최소값을 출력하거나, 패치의 평균값을 출력하는 방식일 수도 있으며 임의의 풀링 방식이 본 개시에 포함될 수 있다.

컨벌루셔널 뉴럴 네트워크는 하나 이상의 컨벌루셔널 레이어, 서브샘플링 레이어를 포함할 수 있다. 컨벌루셔널 뉴럴 네트워크는 컨벌루셔널 과정과 서브샘플링 과정(예를 들어, 전술한 맥스 풀링 등)을 반복적으로 수행하여 이미지에서 피처를 추출할 수 있다. 반복적인 컨벌루션널 과정과 서브샘플링 과정을 통해 뉴럴 네트워크는 이미지의 글로벌 피처를 추출할 수 있다.

컨벌루셔널 레이어 또는 서브샘플링 레이어의 출력은 풀 커넥티드 레이어(fully connected layer)에 입력될 수 있다. 풀 커넥티드 레이어는 하나의 레이어에 있는 모든 뉴런과 이웃한 레이어에 있는 모든 뉴런이 연결되는 레이어이다. 풀 커넥티드 레이어는 뉴럴 네트워크에서 각 레이어의 모든 노드가 다른 레이어의 모든 노드에 연결된 구조를 의미할 수 있다.

본 발명의 일 실시예에서 이미지 데이터의 세그먼테이션(segmentation)을 수행하기 위하여 뉴럴 네트워크는 디컨벌루셔널 뉴럴 네트워크(DCNN: deconvolutional neural network)를 포함할 수 있다. 디컨벌루셔널 뉴럴 네트워크는 컨벌루셔널 뉴럴 네트워크를 역방향으로 계산시킨 것과 유사한 동작을 수행하며, 컨벌루셔널 뉴럴 네트워크에서 추출된 피처를 원본 데이터와 관련된 피처 맵으로 출력할 수 있다.

본 발명에서 심층신경망 및 뉴럴 네트워크(neural network)는 상호교환가능하게 사용될 수 있다.

<악성코드 감염 유도정보 판별 시스템에 대해 설명>

도 3는 본 발명의 일 실시예에 따른 악성코드 감염 유도정보 판별 시스템에 대한 개략도이다.

도 3 에 도시된 악성코드 감염 유도정보 판별 시스템의 구성은 간략화 하여 나타낸 예시일 뿐이며, 본 발명의 일 실시예에서 시스템은 본 발명의 실시예들을 수행하기 위한 다른 구성들을 포함할 수 있다. 본 발명의 시스템은 전자 형태의 데이터를 연산할 수 있는 모든 종류의 컴퓨팅 장치를 포함할 수 있으며, 예를 들어, 퍼스널컴퓨터, 서버 컴퓨터 등의 일반 컴퓨팅 장치 및 모바일 단말(스마트폰(smartphone), 테블릿(tablet) 등의 제한된 연산 능력을 가진 컴퓨팅 장치 등을 포함할 수 있다.

본 발명의 일실시예에 따른 악성코드 감염 유도정보 판별 시스템은 에이전트(100), 서버(200), 악성코드 감염 유도정보 판별 장치(300)를 포함한다.

도 3에서 보는 바와 같이 본 발명의 일실시예에 따른 에이전트(100)는 사용자 단말기 또는 파일 서버에 설치되는 프로그램 모듈일 수 있다. 사용자 단말기는 유무선 통신이 가능한 데스크탑, 노트북, 테블릿PC, 모바일 단말 등으로 마련될 수 있다.

또한, 서버(200)는 네트워크 상에 연결되어 위 장치 등 본 발명과 관련된 서비스를 제공하는 서버이다. 즉, 서버(200)는 파일을 업로드 하거나 다운로드 하는 서비스를 제공하거나 파일을 송수신하는 기능 등을 구비한다.

악성코드 감염 유도정보 판별 장치(300)는 사용자가 사용하는 컴퓨터 단말로서, PC, 노트북, 태블릿 PC, 모바일 단말 등이 될 수 있다.

사용자 단말기 등으로 제공될 멀티미디어 파일에 실행 가능한 액티브 콘텐트가 포함되고 이에 악성코드가 존재할 경우, 파일 열람 시 해당 액티브 콘텐트가 실행됨에 따라 사용자 단말기는 악성코드에 감염될 가능성이 있다.

여기서, 멀티미디어 파일은 네트워크 통신 및 저장매체 등으로부터 제공되어 사용자 단말기 등에서 열람하고자 하는 모든 전자문서일 수 있다. 좀 더 자세하게는 마이크로소프트 오피스 계열, 한글 계열, PDF 등의 문서파일일 수 있으며, 헤더에 스크립트가 포함될 수 있는 이미지 파일 또한 포함될 수 있다.

여기서, 액티브 콘텐트는 멀티미디어 파일에 포함되어 있을 수 있는 매크로(Macro), 자바스크립트(Javascript), OLE(object Linking & Embedding) 개체, 플래쉬(Flash), EPS(Encapsulated PostScript), 및 원격접속 URL(Uniform ResourceLocator) 중 적어도 어느 하나일 수 있으며, 이에 한정되지 않고 더 추가될 수 있다.

에이전트(100)는 다양한 유입채널을 통해 사용자 단말기 등에 제공될 멀티미디어 파일을 통합적으로 수신한다. 에이전트(100)는 멀티미디어 파일에 대한 특성에 대한 특성정보를 수집할 수 있고, 멀티미디어 파일로부터 의심정보를 추출하고, 의심정보의 특성에 대한 특성정보를 추출하고 이를 가공하는 전처리과정을 수행하여 벡터데이터를 생성할 수 있다. 멀티미디어 파일의 특성정보는 파일 명칭, 경로, 해시값, 메타정보, 프로세스ID, 구조 정보, 파일 인덱스, 코드섹션 크기, 헤더 크기, 데이터 섹션 크기 등 정적 특성이나 파일에서 추출될 수 있는 파일 실행 로그 등 동적 특성을 나타내는 정보 등이 될 수 있고, 의심정보의 특성정보는 의심정보의 형식에 따라 달리할 수 있으며, 텍스트, 이미지, 영상 등 그 자체, 경로, 해시값, 메타정보, 프로세스ID, 구조 정보, 파일 인덱스, 코드섹션 크기, 헤더 크기, 데이터 섹션 크기 등 정적 특성이나 파일에서 추출될 수 있는 파일 실행 로그 등 동적 특성을 나타내는 정보 등이 될 수 있으나 이에 제한되지는 않는다.

또는, 서버는(200)에서 에이전트(100)가 수신한 멀티미디어 파일로부터 의심정보를 추출할 수도 있다. 서버(200)는 마찬가지로 의심정보에서 기계학습에 필요한 특성을 선별적으로 추출하여 가공하는 전처리과정을 수행하여 벡터데이터를 생성할 수 있다.

전처리과정은 예를 들어, 의심정보가 포함된 파일이 문서파일인 경우, 문서 파일 본문 내 텍스트를 의심정보로 추출하고, 텍스트로부터 그 특성을 나타내는 특성정보를 추출하고 이를 기구축된 딕셔너리로 매핑하여 바이너리로 변환하고, 바이너리를 가공하여 벡터데이터를 생성한다. 전처리과정의 구체적인 예는 후술한다.

서버(200)는 사전에 수집된 학습데이터 및 그에 라벨링된 결과값 등이 저장된 저장소와 연결되어 학습데이터 및 결과값을 수신하거나 자체적으로 저장하고 있을 수 있다. 서버(200)는 학습데이터 및 결과값을 이용하여 심층신경망을 기계학습시킬 수 있다. 서버(200)는 악성코드 감염 유도정보 판별 장치(300)와 통신하며, 악성 파일 분류장치(300)로 인공지능 분류 모델(A)을 제공할 수 있다.

인공지능 분류 모델(A)은 사전에 악성여부가 분류되어진 샘플 의심정보의 특성이 추출된 학습데이터 및 그 학습데이터에 레이블링 된 의심정보의 악성여부에 대한 결과값, 분류 대상이 되는 새로운 의심정보로부터 추출된 학습데이터를 이용하여 심층신경망을 학습시켜 생성할 수 있다.

즉, 서버(200)는 샘플 의심정보에 대한 학습데이터 및 결과값을 이용하여 심층신경망을 학습시켜 인공지능 분류 모델(A)를 생성할 수 있다. 또한 새롭게 수집되는 사전에 악성여부가 분류된 멀티미디어 파일에 대한 학습데이터 및 결과값을 이용하여 심층신경망을 학습시켜 인공지능 분류 모델(A)을 갱신하여 생성할 수 있다

구체적으로 서버(200)는 심층신경망에 학습데이터를 입력하여 출력값을 출력하고, 학습데이터에 라벨링된 결과값과 출력값을 비교하여 오류를 계산하고, 그 오류에 기초하여 심층신경망의 가중치를 역전파방식으로 갱신함으로써 인공지능 분류모델을 생성한다.

여기서, 학습데이터는 이미 악성, 정상 등으로 분류된 샘플 의심정보 및 멀티미디어 파일에 대해 의심정보를 기계학습에 필요한 특성을 선별적으로 추출하여 가공하는 전처리과정을 거쳐 생성된 것으로 이미 분류되었다는 의미는 적어도 한번은 실행되어 공지되거나, 국내외 보안 벤더들이 제공하는 보안 솔루션 등에 의해 악성, 정상 등으로 분류된 것을 의미한다. 일 예로, 서버(200)에는 기존보안 솔루션이 제공하는 악성 위협과 그에 대한 백신 등이 제공하는 정보가 내부 또는 외부의 DB로부터 수집되어 있을 수 있다. 서버(200)는 멀티미디어 파일, 그 의심정보를 직접 수집하고 전처리과정을 거쳐 학습데이터를 생성하여 수집할 수도 있고, 외부에서 전처리과정을 거쳐 생성된 학습데이터를 수집할 수 있다.

그리고, 악성코드 감염 유도정보 판별 장치(300)는 악성여부를 분류할 대상인 멀티미디어파일의 악성여부를 분류한다. 이때, 해당 파일을 개인이나 기업에서 작업수단으로 사용하는 사용자 단말기에서 열람하고자 할 경우에 악성여부 분류를 수행할 수 있다.

또한, 에이전트(100)에서 악성코드 감염 유도정보 판별 장치(300)로 악성여부 분류를 의뢰할 수 있다.

즉, 악성코드 감염 유도정보 판별 장치(300)는 인공지능 분류 모델(A)을 이용하여 분류 대상이 되는 의심정보 및 멀티미디어 파일의 악성 여부를 분류하여 예측분류정보를 생성하는 작업을 수행한다.

구체적으로 악성코드 감염 유도정보 판별 장치(300)는 분류 대상이 되는 의심정보로부터 추출한 벡터데이터를 인공지능 분류 모델(A)로 입력하여 출력되는 예측값에 따라 의심정보의 악성여부를 예측하고, 그 악성 여부에 대한 예측분류정보를 생성한다. 예측분류정보는 멀티미디어 파일, 그에 포함되어 있는 의심정보 또는 이들의 적절한 특성정보와 매칭된 정보일 수 있다.

인공지능 분류 모델(A)은 복수 개로 나뉘어 역할을 수행할 수도 있을 것이다. 다만, 설명의 편의상, 이하에서는 본 발명의 명세서에서는 인공지능 분류 모델(A)이 하나로 구현되는 것을 상정하여 설명하도록 한다.

바람직하게는 본 발명의 일실시예인 악성코드 감염 유도정보 판별 시스템은 에이전트(100), 서버(200) 및 악성코드 감염 유도정보 판별 장치(300) 내 또는 별도로 검증모듈을 더 포함할 수 있다. 검증모듈은 악성여부가 사전에 분류된 검증용 의심정보를 이용하여 인공지능 분류 모델(A)의 성능을 검증할 수 있다.

검증모듈은 검증용 의심정보의 특성이 추출된 검증데이터 및 그에 라벨링된 검증용 의심정보의 악성여부에 대한 정답값인 분류값을 받고, 검증데이터를 인공지능 분류 모델(A)에 입력한다. 인공지능 분류 모델(A)로부터 출력되는 검증값과 분류값을 비교하여 계산된 오차에 따라 인공지능 분류 모델의 성능을 측정하여 모델성능정보를 생성할 수 있다.

서버(200)는 심층신경망을 소정의 학습사이클을 가지고 반복하여 기계학습시켜 인공지능 분류 모델(A)을 생성할 수 있는데, 그 학습사이클의 반복횟수는 검증모듈로부터 생성된 모델성능정보에 따라 결정될 수 있다.

바람직하게는 서버(200)는 위 예측값을 전달받아 이를 벡터데이터에 레이블링하여 학습데이터를 생성하고 이를 수집할 수 있다. 분류대상인 의심정보가 정상, 악성 등으로 예측되어 분류되고 실제로 분류가 타당하다면 악성여부가 확정되고 벡터데이터와 그에 레이블링된 예측값은 학습데이터와 그에 레이블링된 결과값으로 활용되어질 수 있다. 이는 마찬가지로 심층신경망에 입력되어 인공지능 분류 모델(A)을 생성하는데 이용될 수 있다.

도 3은 악성코드 감염 유도정보 판별 장치(300)가 에이전트(100) 및 서버(200)와 별개인 객체로 구성된 시스템인 실시예를 보여주고 있지만, 에이전트(100), 서버(200) 및 악성코드 감염 유도정보 판별 장치(300)는 통상의 클라이언트와 서버의 구성 방법에 따라 구현될 수 있다. 즉, 전체 시스템의 기능들을 클라이언트의 성능이나 서버 통신량 등에 따라 분담될 수 있다. 예를 들어, 에이전트(100)는 멀티미디어 파일에 대한 수집 작업만 수행하고, 서버(200)가 파일로부터 의심정보를 추출하고 의심정보에서 기계학습에 쓰일 특징을 추출하고, 심층신경망을 기계학습시켜 인공지능 분류모델을 생성할 수 있다. 악성코드 감염 유도정보 판별 장치(300)는 인공지능 분류 모델을 이용하여 멀티미디어 파일의 악성여부를 분류하는 작업을 수행할 수 있다. 또는 에이전트(100)가 멀티미디어 파일에 대한 수집 작업, 의심정보 추출 및 의심정보 특징 추출 작업을 수행하고, 서버(200)는 인공지능 분류 모델을 생성하는 작업만 수행할 수 있도록 작업이 분담될 수 있다. 또한, 본 발명은 단일 또는 다중 시스템으로 구성될 수 있다. 또한, 본 시스템은 하나의 서버 내에 다중 가상환경에 탑재되어 구현될 수도 있다. 위 예시에 한정되지 않고 본 발명은 다양한 형태로 확장되어 구성될 수 있다.

바람직하게는 본 발명의 일실시예인 악성코드 감염 유도정보 판별 시스템은 에이전트(100), 서버(200) 및 악성코드 감염 유도정보 판별 장치(300) 내 또는 별도로 저장소(DB, 클라우드 또는 빅데이터 플랫폼)을 더 포함할 수 있다. 위 저장소에는 각종 멀티미디어 파일 및 그에 포함된 의심정보의 특성정보, 멀티미디어 파일에 포함된 의심정보, 샘플 의심정보에서 추출된 학습데이터 및 결과값, 벡터데이터 및 출력값, 멀티미디어 파일, 예측분류정보 등이 수집되어 저장될 수 있다. 저장소에는 저장된 각종 데이터, 정보를 검색할 수 있는 인터페이스가 제공될 수 있다.

또한, 본 발명의 일실시예인 악성코드 감염 유도정보 판별 시스템은 에이전트(100), 서버(200) 및 악성코드 감염 유도정보 판별 장치(300) 내 또는 별도로 분류대상판단모듈을 더 포함할 수 있다.

분류대상판단모듈은 에이전트(100), 서버(200) 내 또는 별도로 구비될 수 있으나, 어느 경로를 통하건 수신된 멀티미디어 파일의 특성정보 내지 그로부터 추출되는 의심정보의 특성정보를 받아 이를 위 저장소 등에 수집된 예측분류정보와 대비함으로써 악성여부를 미리 판단할 수 있다.

분류대상판단모듈을 통하면 이미 예측분류정보상에서 악성여부가 분류되어 있는 의심정보 및 그 의심정보를 포함하는 멀티미디어 파일을 수신한 경우, 이를 화이트리스트, 블랙리스트로 처리할 수 있다. 예를 들어, 악성으로 예측분류정보 상에서 판단되는 멀티미디어 파일 및 그 의심정보('블랙리스트')를 수신하면, 에이전트(100) 내지 서버(200)는 별도로 악성코드 감염 유도정보 판별 장치(300)를 통해 분류될 벡터데이터를 생성하는 전처리과정을 거치지 않고도 후술하는 관리모듈 등을 통해 이를 곧바로 무해화하는 보안 조치로 처리할 수 있다.

또는, 분류대상판단모듈은 예측분류정보에 기초하여 정상으로 분류되어 있는 의심정보 및 그 의심정보를 포함하는 멀티미디어 파일('화이트리스트')을 수신한 에이전트(100) 또는 서버(200)는 전처리과정을 거쳐 벡터데이터를 생성할 필요 없이 정상으로 분류하여 처리할 수 있다.

바람직하게는 본 발명의 일실시예인 악성코드 감염 유도정보 판별 시스템은 에이전트(100), 서버(200) 및 악성코드 감염 유도정보 판별 장치(300) 내 또는 별도로 관리모듈을 더 포함할 수 있다.

관리모듈은 멀티미디어 파일 및 그에 포함된 의심정보의 악성 여부에 대한 예측분류정보를 상술한 악성코드 감염 유도정보 판별 장치(300) 또는 저장소 등을 통해 받아 사용자에게 제공할 수 있다.

또한, 관리모듈은 저장소 등으로부터 예측분류정보를 받아 이를 기초로 악성으로 분류된 의심정보가 포함된 멀티미디어 파일로부터 해당 의심정보가 사용자에게 실행을 유도하는 액티브 콘텐트를 무해화하는 보안 조치 등을 수행하고 무해화된 파일을 사용자 단말기 등으로 전송할 수 있다.

액티브 콘텐트를 무해화하는 보안 조치는 의심정보가 포함된 멀티미디어 파일에서 악성으로 분류된 의심정보를 통해 사용자에게 실행을 유도하는 액티브 콘텐트를 무력화시키기 위해 이를 제거하거나, 실행코드를 변환시키는 조치이다. 구체적으로, 관리모듈은 해당 액티브 콘텐트의 설명, 유형, 버전, 크기, 해시값 등을 포함하는 속성정보 및 해당 의심정보에 대응하는 액티브 콘텐트를 무력화시키기 위한 수행내역에 관한 처리정보 중에서 적어도 어느 하나를 포함하는 대체정보를 액티브 콘텐트가 무력화된 멀티미디어 파일과 조합하여 변환된 파일을 생성한다. 관리모듈에 의해 무해화된 멀티미디어 파일은 사용자 단말기 등으로부터 해당 파일의 열람 요청이 있는 경우에 제공될 수 있다. 이를 통해 사용자 단말기로 제공되는 무해화된 멀티미디어 파일에는 원본인 멀티미디어 파일과 동일한 형식, 폰트, 동일한 개체 위치 등을 가지면서도 사용자 단말기를 감염시킬 수 있는 악성코드가 포함된 액티브 콘텐트가 실행되지 않고 대신 대체정보 등과 함께 무해화처리에 대한 처리정보가 표시될 수 있다. 사용자 단말기로부터 별도의 원본 파일 제공 요청이 있는 경우, 무해화되지 않은 멀티미디어 파일이 제공될 수 있다.

마찬가지로 실시하기에 따라서는 위 시스템은 도 3에 도시된 바와 같이 악성코드 감염 유도정보 판별 장치(300)인 일 구성으로 구현될 수도 있다.

<악성코드 감염 유도정보 판별 장치에 대한 설명 >

도 4를 참고하면 본 발명은 파일파일수신부(400), 의심정보추출부(500), 전처리부(600), 학습부(700), 분류부(800) 및 제공부(900)를 포함한다.

파일수신부(400)는 다양한 유입채널로부터 악성여부 분류대상이 되는 멀티미디어 파일을 통합적으로 수신한다. 파일수신부(400)는 다양한 유입채널로부터 오는 경로에 구비되어 멀티미디어 파일을 통합적으로 수신한다. 멀티미디어 파일은 텍스트, 이미지, 영상, 소리 등 다양한 형식을 갖춘 정보를 담은 파일을 의미할 수 있다. 여기서 유입채널은 이메일, USB, 파일서버, 인터넷, 인트라넷 게시판, 외장 하드웨어, 클라우드 서비스 등이 될 수 있고 상술한 예시에 제한되지 아니한다. 파일수신부(400)는 이러한 멀티미디어 파일을 적어도 하나 이상의 유입채널로부터 통합적으로 수신한다.

의심정보추출부(500)는 파일수신부(400)에서 수신된 멀티미디어 파일에서 의심정보를 추출한다. 의심정보추출부(500)는 멀티미디어 파일로부터 의심정보를 추출한다. 의심정보추출부(500)는 사용자가 액티브 콘텐트를 실행시키도록 유도하는 의심정보를 포함하는 멀티미디어 파일에서 의심정보를 추출한다. 의심정보는 멀티미디어 파일 본문 내외에서 함께 제시되는 텍스트, 이미지, 영상, 소리 내지 컴퓨터가 판독가능한 형태의 프로그램 등을 의심정보라고 추출할 수 있다. 즉, 의심정보는 사용자의 행위를 유도하는 유도정보인 것으로 의심되는 정보로 멀티미디어 파일에서 시청각적으로 인간이 파악 가능한 형태의 정보를 의미할 수도 있다. 의심정보에는 사용자 행위를 유도하는 문구뿐 아니라 화살표, 경고이미지, 가짜워터마크 등 다양한 이미지, 영상 형태를 포함할 수 있다. 또한 실질적으로 사용자의 행위를 유도하는 것으로 해석 가능한 문자가 이미지 형식 등으로 제시되는 경우, 비전, oci 등을 활용하여 텍스트로 의심정보를 추출할 수도 있다.

바람직하게는 파일수신부(400)는 다양한 유입채널로부터 멀티미디어 파일과 함께 제공되는 유입채널정보를 수신할 수 있다. 예를 들어, 유입채널이 이메일인 경우, 이메일의 첨부파일로 해당 멀티미디어 파일이 유입되고, 여기서 유입채널정보는 이메일 제목, 본문 등 사용자가 시청각적으로 인식 가능한 형태의 정보를 의미한다. 이때 의심정보추출부(500)는 유입채널정보로부터 의심정보를 추출할 수 있다. 이를 통해 이메일에 첨부된 파일 내에 악성코드를 심어두고 이를 실행하도록 유도하는 문구를 이메일 본문에 삽입하여, 사용자가 파일을 다운로드 받고 악성코드를 유도문구에 따라 실행하여 악성코드가 사용자 단말로 침투하게 만드는 사회공학적 기법에 대항할 수 있다.

전처리부(600)는 의심정보추출부(500)에서 추출한 의심정보의 특성을 추출하는 전처리과정을 수행하여 벡터데이터를 생성한다.

학습부(700)는 악성여부가 사전에 분류된 샘플용 의심정보의 특성이 추출된 학습데이터 및 샘플용 의심정보의 악성여부에 대한 결과값을 이용하여 심층신경망을 기계학습시켜 인공지능 분류 모델(A)을 생성한다.

샘플 의심정보는 사전에 분류되어져 저장되고 지속적으로 갱신될 수 있으며, 샘플 의심정보는 사용자에게 악성문서 등을 실행하도록 유도하는 유도문구 등 이미 악성으로 판단되어 수집된 의심정보가 될 수 있다.

사전에 악성여부가 분류되어 있는 샘플용 의심정보의 특성이 추출되어 가공되어 생성된 학습데이터 및 샘플용 의심정보의 악성여부에 대한 결과값이 학습데이터에 라벨링된 채 수집되어져 있을 수 있다.

학습데이터 및 결과값은 정상 멀티미디어 파일과 악성 멀티미디어 파일에서 각각 추출되거나 악성 파일 또는 정상 파일에서만 추출된 것일 수 있다.

예를 들어, 여기서 결과값은 액티브 콘텐트가 악성인지 혹은 정상인지에 대해 표현하는 0=정상, 1=악성 등의 값이 될 수 있으나 이에 한정되지 아니한다.

즉, 심층신경망은 사전에 기계학습되어 있을 수 있으며 학습부(700)에 의해 추가로 학습될 수 있고, 학습부(700)에 의해 처음부터 기계학습되어 인공지능 분류모델(A)을 생성할 수 있다.

구체적으로 인공지능 분류 모델(A)을 생성하기 위한 심층신경망은 컨벌루션신경망(Convolutional Neural Networks, CNN)이 될 수 있다. 물론 컨벌루션 신경망뿐만 아니라 심층 신경망(Deep Neural Network, DNN), 재귀 신경망(Recurrent Neural Network, RNN), 제한 볼츠만 머신(restricted Boltzmann machine), 심층 신뢰 신경망(Deep Belief Network, DBN), 심층 Q-네트워크(Deep Q-Network) 등과 같이 다양한 딥 러닝 기법이 적용된 신경망 알고리즘이 사용될 수 있다.

그리고 새로운 샘플 액티브 콘텐트가 학습 대상이 되어 새로운 학습데이터가 추가되면 심층신경망은 추가 학습을 통해 인공지능 분류 모델(A)이 갱신될 수 있다. 즉, 전이학습 방식을 통해 다시 분류 모델을 구축하거나 재학습할 필요 없이 기존의 분류 모델을 갱신함으로써, 모델 구축에 따른 비용이 절감될 수 있다.

분류부(800)는 전처리부(600)로부터 온 벡터데이터를 인공지능 분류 모델(A)에 의해 분석하여 액티브 콘텐트의 악성여부를 분류하고, 예측분류정보를 생성한다.

즉, 분류부(800)는 전처리부(600)로부터 온 벡터데이터를 인공지능 분류 모델(A)에 입력하고, 인공지능 분류 모델(A)이 출력하는 예측값에 따라 액티브 콘텐트의 악성여부를 예측할 수 있다. 그리고 분류부(800)는 이 의심정보의 악성 여부에 대한 예측결과인 예측분류정보를 생성한다.

예를 들어, 여기서 예측값은 액티브 콘텐트가 악성인지 혹은 정상인지에 대해 0에서 1 사이의 확률로 나타내는 확률값이 될 수 있으나 이에 한정되지 아니한다.

예를 들어, 멀티미디어 파일이 텍스트인 경우, 해당 파일 본문 내에 '매크로', '자바스크립트', '하이퍼링크' 등 액티브 콘텐트를 사용자가 실행시키도록 의도하는 문구가 포함되어 있을 수 있다. 이때 사용자가 의심정보를 실행하도록 유도하는 문구가 '파일명', '본문 내 텍스트', '본문 내 이미지' 등에서 의심정보추출부(500)를 통해 추출할 수 있다. 학습부(700)를 통해 생성된 인공지능 분류 모델(A)에 위 의심정보를 전처리한 벡터데이터를 입력함으로써 해당 의심정보의 악성여부가 분류된다.

일례로, '매크로'라는 문구를 포함하는 샘플 의심정보를 전처리한 학습데이터 및 결과값을 심층신경망에 입력하는 기계학습에 의해 인공지능 분류 모델(A)이 생성될 수 있다. 그러면 분류대상이 되는 의심정보 중에 '매크로'라는 문구를 포함하는 의심정보가 인공지능 분류 모델(A)에 입력되면 이를 악성으로 분류할 수 있다.

의심정보는 문서 파일의 페이지와 같은 특성정보로부터 추출될 수도 있다. 따라서, 분류부(800)는 멀티미디어 파일이 특히 문서라면 문서 완성도를 기준으로 분류할 수 있다. 악성코드를 포함한 문서 파일은 사회공학적으로 사용자가 관심이 있을만한 파일명이나 표지 제목을 가지면서도 내용은 표지 등을 제외하고 부실하게 작성되어 있는 경우가 많기 때문이다. 예를 들어, 페이지 수가 1, 2p이면서 파일명에 '보고서' 등이 포함되어 있는 경우 이를 악성 의심정보로 분류할 수 있다.

종래의 악성코드 탐지 방법을 이용하여 악성코드를 탐지하는데 가장 큰 문제점 중 하나가 사회공학적 기법에 의한 공격일 수 있다. 사회공학적 기법에 의하면 사용자가 활성화시키기 전까지는 기존 보안 조치를 통해서 파악되지 않으나, 사용자로 하여금 악성 액티브 콘텐트를 실행시키도록 유도하는 각종 의심정보를 파일 등에 포함시켜 사용자가 악성코드를 직간접적으로 실행시켜 악성코드를 감염시킬 수 있다. 모든 악성코드 감염을 의도하는 패턴을 분석하여 대응하는 것은 매우 어려운 일이다. 본 발명과 같이 악성 의심정보에서 추출된 벡터데이터를 인공지능 분류 모델(A)을 이용하여 분류한다면, 유사한 의심정보가 파일도 분류가 가능하기 때문에 보다 정확하고 정밀하게 악성, 정상 여부를 분류해 낼 수 있다.

예를 들어, 멀티미디어 파일로부터 의심정보를 추출하고 이를 전처리한 학습데이터 및 결과값을 이용하여 학습시킨 인공지능 분류 모델(A)을 이용하여 신규 분류 대상인 의심정보를 분류하는데 이용한다고 가정한다면, 기존 의심정보와 유사한 의심정보를 별도 조치 없이도 분류해낼 수 있다.

이러한 인공지능 분류 모델(A)을 이용하면 기존의 악성코드 탐지엔진과는 다르게 별도 분석을 통해 얻어지는 악성코드 패턴 설계가 따로 필요하지 않기 때문에 패턴이 알려지지 않은 제로데이 악성코드에 대해서도 신속하게 대응할 수 있는 장점을 갖는다. 인공지능 분류기(A)에 의해 마련되는 모델은 벡터데이터에 의해 지속적으로 학습되어 가며 업데이트 되므로 시간이 지날수록 보다 효과적이고 범용적으로 악성코드를 탐지할 수 있다.

예측분류정보는 의심정보가 그 특성을 나타내는 벡터데이터가 인공지능 분류 모델(A)에 입력되어 자동으로 분류되며, 분류되는 그룹에 소속될 확률에 대한 예측값에 기초하여 생성된 의심정보의 악성여부에 대한 정보를 의미한다.

분류부(800)를 통과하더라도 소속될 그룹을 찾지 못하면 그 벡터데이터는 새로운 그룹으로 분류되어야 한다. 이는 아직 인공지능 분류기(A)에 의해 구축된 분류 모델에 따라 분류될 수 없다. 이러한 벡터데이터는 따로 수집되어 인공지능 분류기(A)를 학습시키기 위해 이용될 수 있다.

제공부(900)는 분류부(800)에서 생성된 예측분류정보를 사용자 단말기로 제공하기 위한 역할을 한다.

제공부(900)는 예측분류정보를 제공하면서 의심정보 내지 그에 대한 특성정보를 함께 제공할 수 있다. 예측분류정보에는 의심정보를 악성으로 분류하면서 그 위협 정도에 따라 기여도, 중요도로 분류하여 해당 의심정보의 악성 위협 정도를 사용자 내지 관리자가 파악 가능한 결과정보를 생성하여 보고서 형식으로 제공할 수 있다.

제공부(900)는 디스플레이 등으로 마련되어 분류부(800)에서 악성, 정상으로 분류된 의심정보를 포함하는 파일에 대한 예측분류정보를 더욱 효과적인 인터페이스로 제공하기 위해 해당 파일을 미리보기 형식으로 사용자에게 디스플레이할 수 있다.

바람직하게는 제공부(900)는 의심정보를 미리보기로 제공하되, 분류부(800)에서 악성으로 판별된 의심정보가 미리보기에서 노출되는 악성 의심정보 영역을 파악하여, 해당 악성 의심정보 영역에 상기 분류부(800)에서 생성된 예측분류정보를 제공할 수 있다.

예를 들어, 제공부(900)에서는 실제 의심정보가 유도하는 액티브 콘텐트를 실행시키지 않도록 멀티미디어 파일의 내용을 외관만 디스플레이하도록 파일을 미리보기 형식으로 제공할 수 있다. 파일이 미리보기 형식으로 제공되면서, 의심정보 중에서 악성으로 판별된 의심정보의 디스플레이 영역 내지 위치에 분류예측정보가 해당 영역을 강조, 영역 표시하면서 사용자에게 주의를 환기시키게 할 수 있다. 이를 통해 사용자 내지 관리자는 악성 의심정보에 대해 가시적으로 위험도를 파악할 수 있게 된다. 또한, 해당 영역에 악성 의심정보가 의도하는 액티브 콘텐트 등에 대한 정보가 담긴 분류예측정보를 코멘트 형식으로 표시할 수 있다.

상술한 예시와 마찬가지로 '매크로'인 액티브 콘텐트를 실행하도록 사용자 내지 관리자 등에게 이를 유도하는 의심정보로 '매크로 실행'이라는 문구가 수신한 파일 본문에 포함되어 있을 수 있다. '매크로 실행'은 분류부(800)에서 악성 의심정보로 판별되었고 제공부(900)에서 미리보기 형식으로 표시 중인 의심정보 중 악성 의심정보인 '매크로 실행'이라는 문구를 강조하기 위해 '빨간 원'을 '매크로 실행' 위에 그려 표시하는 형태로 마련될 수 있다.

바람직하게는 본 발명의 일실시예인 악성코드 감염 유도정보 판별 장치는 검증부(1000)를 더 포함할 수 있다.

검증용 의심정보에 대한 검증데이터 및 그에 레이블링 된 검증값이 학습데이터 및 결과값과 출처가 상이한 의심정보로부터 별도로 마련될 수 있다.

검증부(1000)는 검증용 의심정보의 특성이 추출된 검증데이터 및 그에 라벨링된 검증용 의심정보의 악성여부에 대한 정답값인 분류값을 받고, 검증데이터를 인공지능 분류 모델(A)에 입력한다. 인공지능 분류 모델(A)로부터 출력되는 검증값과 분류값을 비교하여 계산된 오차에 따라 인공지능 분류 모델(A)의 성능을 측정하여 모델성능정보를 생성할 수 있다.

이때 학습부(700)는 심층신경망을 소정의 학습사이클을 가지고 반복하여 기계학습시켜 인공지능 분류 모델(A)을 생성할 수 있는데, 그 학습사이클의 반복횟수는 검증부(1000)로부터 생성된 모델성능정보에 따라 결정될 수 있다.

검증부(1000)를 통해 인공지능 분류 모델(A)을 검증함으로써 일반화 능력을 최대화 시키면서 오버피팅 문제를 최소화 시킬 수 있다.

본 발명의 일실시예인 악성코드 감염 유도정보 판별 장치는 바람직하게는 분류대상판단부(1100)를 더 포함할 수 있다.

파일수신부(400)는 수신한 멀티미디어 파일의 특성에 대한 특성정보를 추출하고, 의심정보추출부(500)는 수신된 파일로부터 의심정보를 그에 대한 특성정보와 함께 추출할 수 있다.

분류대상판단부(1100)는 수신된 파일에 액티브 콘텐트가 추출되는지 여부에 따라 분류 대상 여부를 결정할 수 있다. 액티브 콘텐트가 추출되지 않으면 분류대상으로 삼을 필요가 없기 때문이다.

분류대상판단부(1100)는 새로 유입되는 멀티미디어 파일 및 그로부터 추출되는 의심정보에 대한 특성정보를 받아 예측분류정보와 매칭된 특성정보와 대비함으로써 악성여부를 미리 판단할 수 있다.

분류대상판단부(1100)를 통하면 이미 예측분류정보상에서 악성여부가 분류되어 있는 의심정보 및 그 의심정보를 포함하는 멀티미디어 파일을 수신한 경우, 이를 화이트리스트, 블랙리스트로 처리할 수 있다. 예를들어, 악성으로 예측분류정보상에서 판단되는 멀티미디어 파일 및 그 의심정보('블랙리스트')를 수신하면, 악성 파일 분류 장치(300)를 통해 분류될 벡터데이터를 생성하는 전처리과정을 거치지 않고도 후술하는 관리부(1200) 등을 통해 이를 곧바로 무해화하는 보안 조치로 처리할 수 있다.

또는, 분류대상판단부(1100)는 예측분류정보에 기초하여 정상으로 분류되어있는 의심정보 및 그 의심정보를 포함하는 멀티미디어 파일('화이트리스트')에 대해 전처리부(600)에서 전처리과정을 거쳐 벡터데이터를 생성할 필요 없도록 정상으로 분류하여 처리할 수 있다.

분류대상판단부(1100)에서는 소정의 정책에 따라 분류대상여부를 결정할 수도 있다. 예를 들어, 특성정보에 따라 서로 다른 포맷을 가진 각각의 파일에 포함되는 액티브 콘텐츠 중 특정 액티브 콘텐츠가 포함된 빈도가 높다고 파악되는 경우에 특정 액티브 콘텐츠에 대한 악성 여부를 우선적으로 판단하도록 한다. 그리고 액티브 콘텐츠를 포함하는 파일 간을 그룹별로 분류하고, 하나의 그룹에 속한 파일들 중 적어도 어느 하나의 파일에서 악성 위협이 판별될 경우에 그룹에 속한 파일들을 악성 위협파일로 판단할 수 있다.

즉, 각 파일의 포맷마다 액티브 콘텐츠의 활용이 조금씩 상이할 수 있음에도 불구하고 유사한 액티브 콘텐츠가 공통적으로 높은 빈도로 포함된다면 이는 악의적인 목적으로 생성된 액티브 콘텐츠를 파일 내 적용했을 가능성이 큰 것으로 판단할 수 있다. 가장 높은 빈도로 파일에 적용된 특정 액티브 콘텐츠 포맷을 보유한 파일에 대하여 분석을 수행하도록 하는 것이다.

바람직하게는 본 발명의 일실시예인 악성코드 감염 유도정보 판별 장치는 관리부(1200)를 더 포함할 수 있다.

관리부(1200)는 멀티미디어 파일 및 그에 포함된 의심정보의 악성 여부에 대한 예측분류정보를 분류부(800) 또는 수집부(1300) 등을 통해 받아 사용자에게 제공할 수 있다.

또한, 관리부(1200)는 분류부(800), 수집부(1300) 등으로부터 예측분류정보를 받아 이를 기초로 악성으로 분류된 의심정보가 포함된 멀티미디어 파일로부터 해당 의심정보를 무해화하는 보안 조치 등을 수행하고 이를 사용자 단말기 등으로 전송할 수 있다. 의심정보를 무해화는 보안 조치는 의심정보가 포함된 멀티미디어 파일에서 악성으로 분류된 의심정보를 무력화시키기 위해 이를 제거하거나, 실행코드를 변환시키는 조치이다.

구체적으로, 관리부(1200)는 해당 의심정보의 설명, 유형, 버전, 크기, 해시값 등을 포함하는 특성정보 및 해당 의심정보를 무력화시키기 위한 수행내역에 관한 처리정보 중에서 적어도 어느 하나를 포함하는 대체정보를 의심정보가 무력화된 멀티미디어 파일과 조합하여 변환된 파일을 생성한다. 관리부(1200)에 의해 무해화된 멀티미디어 파일은 사용자 단말기 등으로부터 해당 파일의 열람요청이 있는 경우에 제공될 수 있다. 이를 통해 사용자 단말기로 제공되는 무해화된 멀티미디어 파일에는 원본인 멀티미디어 파일과 동일한 형식, 폰트, 동일한 개체 위치 등을 가지면서도 사용자 단말기를 감염시킬 수 있는 악성코드가 포함된 의심정보가 실행되지 않고 대신 대체정보 등과 함께 무해화처리에 대한 처리정보가 표시될 수 있다. 사용자 단말기로부터 별도의 원본 파일 제공 요청이 있는 경우, 무해화되지 않은 멀티미디어 파일이 제공될 수 있다.

도 5에서 보이는 바와 같이 바람직하게는 악성코드 감염 유도정보 판별 장치의 전처리부(600)는 특성추출부(710), 바이너리변환부(720) 및 백터데이터생성부(730)를 포함할 수 있다.

도 6를 참고하여 구체적으로 전처리부(600)에서 수행되는 과정을 설명한다.

의심정보의 분석을 통해 의심정보의 특성정보가 추출될 수 있다. 이후, 특성정보를 바이너리로 변환하고 가공을 거쳐 벡터데이터를 생성한다.

특성추출부(710)는 의심정보로부터 적절한 특성정보를 추출한다. 특성정보는 의심정보의 경로, 해시값, 메타정보, 프로세스ID, 구조 정보, 파일 인덱스, 코드섹션 크기, 헤더 크기, 데이터 섹션 크기 등이 될 수 있다. 예를 들어, 의심정보가 텍스트 문구인 경우 텍스트의 그 해시값 등을 특성정보로 추출할 수 있다.

바이너리변환부(720)는 특성정보를 기구축된 딕셔너리로 매핑하여 바이너리로 변환한다. 딕셔너리는 기존에 의심정보 분석을 통해 악성 의심정보의 특성정보를 바이너리 등으로 변환하기 위해 구축되어 있다.

벡터데이터생성부(730)는 바이너리변환부(720)에서 변환된 바이너리를 가공하여 벡터데이터를 생성한다. 이러한 바이너리 변환 가공 과정은, 예를 들어,바이너리를 업/다운 샘플링하고, n-gram 추출하여 피처를 추출하고 n-gram에 대해 피처 해싱을 통해 고정 길이의 벡터데이터를 생성할 수 있다. 여기서 적합한 ngram은 수행하기에 따라 찾아질 수 있으며 필요에 따라 2, 3 개의 다중 n-gram을 추출하여 각각을 피처 해싱할 수도 있다. 이렇게 마련된 벡터데이터는 고정 길이로 설정되므로 CNN 등에 입력되기 적합하다.

n-gram 단위의 피처에 대한 해시값은 피처 해싱에 의해 생성되는데 이러한 피처 해싱에 이용되는 해시 함수는 어떠한 함수가 되어도 무방하다. 이러한 피처해싱은 해싱 트릭(hashing trick)으로도 불릴 수 있다. 당해 기술 분야에서 이미 널리 알려진 기법이므로 자세한 설명은 생략한다.

바람직하게는 본 발명의 일실시예인 악성 의심정보를 포함한 파일을 분류하는 인공지능 기반 장치는 수집부(1300)를 더 포함할 수 있다. 수집부(1300)는 파일시스템, DB, 클라우드 또는 빅데이터 플랫폼 등 다양한 형태로 마련될 수 있다. 위 수집부(1300)에는 각종 멀티미디어 파일의 특성정보 및 멀티미디어 파일로부터 추출되는 의심정보의 특성정보, 멀티미디어 파일에 포함된 의심정보, 샘플 의심정보에서 추출된 학습데이터 및 결과값, 벡터데이터 및 출력값, 멀티미디어 파일, 예측분류정보 등이 수집되어 저장될 수 있다. 또한, 수집부(1300)에는 저장된 각종 데이터, 정보를 검색할 수 있는 인터페이스가 제공될 수 있다.

<악성코드 감염 유도정보 판별 방법에 대해 설명>

본 발명에 따른 악성코드 감염 유도정보 판별 시스템에 따른 수행 방법은 다음과 같이 설명될 수 있다.

도 7는 본 발명에 따른 악성코드 감염 유도정보 판별 방법에 대한 순서도이다.

본 발명에 따른 악성코드 감염 유도정보 판별 방법에는 학습단계(S0), 파일수신단계(S1), 의심정보추출단계(S2), 전처리단계(S4), 분류단계(S5) 및 제공단계(S6)를 포함하는 컴퓨터에서 실행시키는 프로그램이 기록되어 있다.

학습단계(S0)는 악성여부가 사전에 분류된 샘플 의심정보의 특성이 추출된 학습데이터 및 샘플 의심정보의 악성여부에 대한 결과값을 이용하여 심층신경망을 기계학습시켜 인공지능 분류 모델을 생성하는 단계이다.

파일수신단계(S1)는 다양한 유입채널로부터 오는 경로에 구비되어 멀티미디어 파일을 수신한다. 멀티미디어 파일은 텍스트, 이미지, 영상, 소리 등 다양한 형식을 갖춘 정보를 담은 파일을 의미할 수 있다.

의심정보추출단계(S2)는 멀티미디어 파일로부터 의심정보를 추출한다. 의심정보추출단계(S2)는 '매크로', '자바스크립트', '하이퍼링크' 등 액티브 콘텐트를 포함하는 멀티미디어 파일에 있어서, 이와 함께 파일 본문 내외에서 함께 제시되는 별도의 텍스트, 이미지, 영상, 소리 내지 컴퓨터가 판독가능한 형태의 프로그램 등을 의심정보라고 추출할 수 있다.

분류단계(S5)는 전처리단계(S4)로부터 전달된 벡터데이터를 인공지능 분류모델(A)에 의해 입력하여 의심정보의 악성여부를 분류하고, 예측분류정보를 생성한다.

제공단계(S6)는 분류단계(S5)에서 악성여부가 분류된 의심정보를 분류예측정보와 함께 더욱 효과적인 인터페이스로 제공하기 위해 해당 의심정보를 미리보기 형식으로 사용자에게 디스플레이할 수 있다.

바람직하게는 제공단계(S6)는 추출단계(S2)에서 추출된 의심정보를 미리보기로 제공하되, 판별단계(S4)에서 악성으로 판별된 의심정보가 미리보기에서 노출되는 악성 의심정보 영역을 파악하여, 악성 의심정보 영역에 상기 분석단계(S5)에서 생성된 결과정보를 제공할 수 있다.

바람직하게는 다양한 유입채널로부터 상기 멀티미디어 파일과 함께 제공되는 유입채널정보를 수신하고, 이때 추출단계(S2)는 멀티미디어 파일뿐 아니라 유입채널정보로부터도 의심정보를 추출할 수 있다.

상술한 바와 같이 악성코드 감염 유도정보 판별 시스템의 설명에서 설명한 바 있으므로 자세한 설명은 생략한다.

이상에서 설명한 본 발명의 실시예는 장치 및 방법을 통해서만 구현이 되는 것은 아니며, 본 발명의 실시예의 구성에 대응하는 기능을 실현하는 프로그램 또는 그 프로그램이 기록된 기록 매체를 통해 구현될 수도 있다.

이상에서 본 발명의 실시예에 대하여 상세하게 설명하였지만 본 발명의 권리범위는 이에 한정되는 것은 아니고 다음의 청구범위에서 정의하고 있는 본 발명의 기본 개념을 이용한 당업자의 여러 변형, 균등 내지 개량 형태 또한 본 발명의 권리범위에 속하는 것이다.

100: 사용자 단말기
200: 서버
300: 악성 파일 분류 장치
400: 파일수신부
500: 의심정보추출부
600: 전처리부
610: 특성추출부분
620: 바이너리변환부분
630: 벡터데이터생성부분
700: 학습부
800: 분류부
900: 제공부
1000: 검증부
1100: 분류대상판단부
1200: 관리부
1300: 수집부
S0: 학습단계
S1: 파일수신단계
S2: 의심정보추출단계
S3: 전처리단계
S4: 분류단계

Claims

악성코드 감염 유도정보 판별 장치로서,
다양한 유입채널로부터 사용자 단말기에 제공될 멀티미디어 파일을 통합적으로 수신하는 파일수신부;
상기 멀티미디어 파일로부터 사용자의 행위를 유도하는 것으로 의심되는 의심정보를 추출하는 의심정보추출부 ― 상기 의심정보는 사용자가 액티브 콘텐트를 실행시키도록 유도하는 사용자 행위 유도정보로서, 액티브 콘텐트와 함께 제시되는 별도의 텍스트, 이미지, 영상 또는 소리 중 적어도 하나를 포함함 ―;
상기 의심정보에서 기계학습에 필요한 특성을 선별적으로 추출하여 가공하는 전처리과정을 수행하여 벡터데이터를 생성하는 전처리부;
악성여부가 사전에 분류된 샘플 의심정보의 특성이 추출된 학습데이터 및 상기 샘플 의심정보의 악성여부에 대한 결과값을 이용하여 심층신경망을 기계학습시켜 인공지능 분류 모델을 생성하는 학습부;
상기 전처리부로부터 온 상기 벡터데이터가 상기 인공지능 분류 모델로 입력되면 상기 인공지능 분류 모델이 출력하는 예측값에 따라 상기 의심정보의 악성여부를 예측하고, 그 악성여부에 대해 예측된 의심정보의 위협을 분석하는 분석작업을 수행하여 예측분류정보를 생성하는 분류부; 및
상기 분류부에서 생성된 예측분류정보를 사용자 단말기로 제공하기 위한 제공부;를 포함하고,
상기 제공부는 상기 멀티미디어 파일을 미리보기로 제공하되, 상기 분류부에서 악성으로 예측된 의심정보가 미리보기에서 노출되는 악성 의심정보 영역을 파악하여, 상기 악성 의심정보 영역에 상기 분류부에서 생성된 예측분류정보를 제공하는
악성코드 감염 유도정보 판별 장치.
삭제
제1항에 있어서,
상기 파일수신부는 상기 다양한 유입채널로부터 상기 멀티미디어 파일과 함께 제공되는 유입채널정보를 수신하고,
상기 의심정보추출부는 상기 유입채널정보로부터 의심정보를 추출하는 것을 특징으로 하는
악성코드 감염 유도정보 판별 장치.
제1항에 있어서,
악성여부가 사전에 분류된 검증용 의심정보를 이용하여 상기 인공지능 분류 모델의 성능을 검증하기 위한 검증부를 더 포함하고,
상기 검증부는 상기 검증용 의심정보의 특성이 추출된 검증데이터를 상기 인공지능 분류 모델에 입력하여 출력되는 분류값과 상기 검증데이터에 라벨링된 상기 검증용 의심정보의 악성여부에 대한 검증값을 비교하여 계산된 오차에 따라 상기 인공지능 분류 모델의 성능을 측정하여 모델성능정보를 생성하는
악성코드 감염 유도정보 판별 장치.
제1항에 있어서,
상기 심층신경망은 컨벌루셔널 뉴럴 네트워크 구조를 포함하는
악성코드 감염 유도정보 판별 장치.
제4항에 있어서,
상기 학습부는 상기 심층신경망을 학습사이클을 가지고 반복하여 기계학습시키되, 상기 학습사이클의 반복횟수는 상기 모델성능정보에 따라 결정되는
악성코드 감염 유도정보 판별 장치.
제1항에 있어서,
상기 파일수신부로부터 수신한 멀티미디어 파일로부터 액티브 콘텐트 포함여부를 판단하여 분류대상여부를 결정하는 분류대상판단부를 더 포함하고,
상기 의심정보추출부는 상기 분류대상판단부에서 분류대상으로 판단한 멀티미디어 파일로부터 의심정보를 추출하는 것을 특징으로 하는
악성코드 감염 유도정보 판별 장치.
제1항에 있어서,
상기 학습부는 상기 심층신경망에 상기 학습데이터를 입력하여 출력값을 출력하고, 상기 결과값과 상기 출력값을 비교하여 오류를 계산하고, 상기 오류에 기초하여 상기 심층신경망의 가중치를 역전파방식으로 갱신함으로써 상기 인공지능 분류 모델을 생성하는 것을 특징으로 하는
악성코드 감염 유도정보 판별 장치.
악성코드 감염 유도정보 판별 방법으로서,
악성여부가 사전에 분류된 샘플 의심정보의 특성이 추출된 학습데이터 및 상기 샘플 의심정보의 악성여부에 대한 결과값을 이용하여 심층신경망을 기계학습시켜 인공지능 분류 모델을 생성하는 학습단계;
다양한 유입채널로부터 멀티미디어 파일을 통합적으로 수신하는 파일수신단계;
상기 파일수신단계에서 수신된 상기 멀티미디어 파일에서 의심정보를 추출하는 의심정보추출단계 ― 상기 의심정보는 사용자가 액티브 콘텐트를 실행시키도록 유도하는 사용자 행위 유도정보로서, 액티브 콘텐트와 함께 제시되는 별도의 텍스트, 이미지, 영상 또는 소리 중 적어도 하나를 포함함 ―;
상기 의심정보에서 기계학습에 필요한 특성을 선별적으로 추출하여 가공하는 전처리과정을 수행하여 벡터데이터를 생성하는 전처리단계;
상기 전처리단계로부터 온 상기 벡터데이터가 상기 인공지능 분류 모델로 입력되면 상기 인공지능 분류 모델이 출력하는 예측값에 따라 상기 의심정보의 악성여부를 예측하고, 그 악성 여부에 대한 예측분류정보를 생성하는 분류단계; 및
상기 분류단계에서 생성된 예측분류정보를 사용자 단말기로 제공하기 위한 제공단계;를 포함하고,
상기 제공단계는 상기 멀티미디어 파일을 미리보기로 제공하되, 상기 분류단계에서 악성으로 예측된 의심정보가 미리보기에서 노출되는 악성 의심정보 영역을 파악하여, 상기 악성 의심정보 영역에 상기 분류단계에서 생성된 예측분류정보를 제공하는
악성코드 감염 유도정보 판별 방법.
제9항의 방법을 수행하는 프로그램을 기록한 컴퓨터 판독 가능 기록매체.