KR102128047B1 - 프로세스 행위 프로파일 생성 장치 및 방법 - Google Patents

프로세스 행위 프로파일 생성 장치 및 방법 Download PDF

Info

Publication number
KR102128047B1
KR102128047B1 KR1020140170485A KR20140170485A KR102128047B1 KR 102128047 B1 KR102128047 B1 KR 102128047B1 KR 1020140170485 A KR1020140170485 A KR 1020140170485A KR 20140170485 A KR20140170485 A KR 20140170485A KR 102128047 B1 KR102128047 B1 KR 102128047B1
Authority
KR
South Korea
Prior art keywords
profile
basic process
extended
basic
process profile
Prior art date
Application number
KR1020140170485A
Other languages
English (en)
Other versions
KR20160066291A (ko
Inventor
최양서
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020140170485A priority Critical patent/KR102128047B1/ko
Priority to US14/802,688 priority patent/US20160156643A1/en
Publication of KR20160066291A publication Critical patent/KR20160066291A/ko
Application granted granted Critical
Publication of KR102128047B1 publication Critical patent/KR102128047B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Abstract

본 발명은 프로세스 행위 프로파일 생성 장치 및 방법에 관한 것으로, 상기 장치는 시스템 내 특정 프로세스의 동작을 기록하는 기본 프로세스 프로파일을 생성하기 위한 기본 프로세스 프로파일링을 실시하는 기본 프로세스 프로파일 생성부; 및 기본 프로세스 프로파일을 생성하는 동안 다운로드 되거나 생성되는 실행파일이 실행되어 생성되는 추가적인 기본 프로세스 프로파일을 기존의 기본 프로세스 프로파일과 연계하여 추가하여 확장 프로세스 프로파일을 생성하는 확장 프로세서 프로파일 생성부를 포함한다.

Description

프로세스 행위 프로파일 생성 장치 및 방법 {Apparatus and method for generating process activity profile}
본 발명은 컴퓨터 시스템 내의 프로세스 행위를 표현하는 기술에 관한 것으로, 상세하게는 시스템 내에서 수행되는 프로세스의 행위를 표현하는 프로파일을 생성하는 프로세스 행위 프로파일 생성 장치 및 방법에 관한 것이다.
최근 발생하는 사이버 공격은 “3.20 사이버테러” 공격과 같은 APT(Advanced Persistent Threat) 공격이 주를 이루고 있다. 이러한 공격들은 알려지지 않은 새로운 악성 프로그램을 이용하여 공격을 시도하기 때문에 규칙기반의 컴퓨터 바이러스 백신 프로그램 등으로는 탐지에 한계가 있다.
이를 극복하기 위해 이상탐지 등의 행위기반 탐지 방식을 적용하고 있으나, 최근 사이버 공격들이 나타내는 특징은 정상 프로그램의 행위와 매우 유사하여 탐지가 어려운 상황이다.
예를 들어, 정해진 시간의 평균 트래픽 양이나 HTTP GET 요청의 행위 등을 분석해 보면, 정상 사용자가 이용하는 것과 크게 다르지 않아, 행위기반 탐지 방식으로 악성 행위를 구분하기가 쉽지 않다.
이와 같이 최신 공격 탐지가 어려운 이유 중 가장 큰 이유는 공격 탐지 방법들이 단일 프로세스를 중심으로 악성 행위 탐지를 시도하기 때문이다.
즉, 임의 시점에서 특정 프로그램이 실행되면, 실행되는 프로그램이 수행하는 행위에 대해 분석을 시작하는데, 이는 대부분 정상행위와 매우 비슷하기 때문에 악성파일을 구분해 내기가 매우 어렵다.
이를 극복하기 위해서는 시스템상에서 수행되는 다수의 프로그램들의 행위를 통합하여 분석할 수 있어야 한다. 즉, 단순 프로그램이나 프로세스 단위의 분석이 아니라 시스템 단위의 행위 분석이 필요하다.
또한, 복수개의 연관된 프로세스에 대한 행위 정보를 동시에 분석하기 위해서는 관련 정보 수집 기간이 기존의 통계정보 수집기간보다 크게 길어져야 한다. 그러나, 아직까지 장기간 동안 감시 대상 시스템상에서 실행되는 다수의 프로세스들에 대한 통합 분석을 통해 시스템 자체에 대한 행위 프로파일을 생성하는 방법에 대해서는 그 연구가 매우 미비한 상황이다.
따라서, 본 발명은 상기와 같은 종래 기술의 문제점을 해결하기 위하여 안출된 것으로, 본 발명의 목적은, 시스템 내에서 수행되는 특정 프로세스 및 해당 프로세스와 연계된 모든 프로세스의 행위를 표현하는 프로파일을 작성하는 프로세스 행위 프로파일 생성 장치 및 방법을 제공함에 있다.
상기와 같은 목적을 달성하기 위한 본 발명의 일 측면에 따른 프로세스 행위 프로파일 생성 장치는, 시스템 내의 특정 프로세스에 대한 행위를 표현하는 기본 프로세스 프로파일을 생성하는 기본 프로세스 프로파일 생성부; 및 해당 프로세스와 연계된 프로세스의 행위를 포함하는 확장 프로세스 프로파일을 생성하는 확장 프로세스 프로파일링 생성부를 포함한다.
이때 상기된 연계된 프로세스란 특정 프로세스가 다운로드, 생성, 복사 등의 행위를 통해 생성한 실행파일이 실행되어 생성되는 프로세스를 의미하는데, 각각의 연계된 프로세스에 대하여 해당 프로세스의 행위를 표현하는 프로세스 프로파일을 생성하게 되는데, 이 프로세스 프로파일은 기본 프로세스 프로파일과 동일한 구조로 생성된다.
이렇게 추가적으로 생성된 연계된 프로세스들에 대한 기본 프로세스 프로파일과 최초 작성된 기본 프로세스 프로파일을 통합하여 확장 프로세스 프로파일이라 정의한다.
이때, 상기 기본 프로세스 프로파일 생성부에 의해 생성되는 기본 프로세스 프로파일은 실행 동작, 파일생성 동작, 연결생성 동작, 파일업로드 동작, 파일다운로드 동작 및 종료 동작을 포함한다.
또한, 상기 기본 프로세스 프로파일 생성부에 의해 생성되는 기본 프로세스 프로파일 및 상기 확장 프로세스 프로파일 생성부에 의해 생성되는 확장 프로세스 프로파일을 저장하는 프로파일 저장부를 더 포함할 수 있다.
한편, 상기 기본 프로세스 프로파일 생성부에 의해 생성되는 기본 프로세스 프로파일 및 상기 확장 프로세스 프로파일 생성부에 의해 추가되는 기본 프로세스 프로파일은 프로세스 행위 및 프로파일 간의 순서 정보를 포함한다.
본 발명의 다른 측면에 따른 프로세스 행위 프로파일 생성 방법은, 시스템 내의 특정 프로세스의 동작을 저장하고 있는 기본 프로세스 프로파일을 생성하는 기본 프로세스 프로파일링을 실시하는 단계; 및 상기 기본 프로세스가 실행되는 단계에서 추가적으로 생성된 실행 파일이 실행되면서 생성된 기본 프로셋스 프로파일을 기존 프로세스 프로파일과 연계하여 확장 프로세스 프로파일을 생성하는 확장 프로세스 프로파일링을 생성하는 단계로 이루어진다.
이때, 상기 기본 프로세스 프로파일링을 실시하는 단계 이후에, 상기 기본 프로세스 프로파일링을 실시하는 단계에서 생성된 기본 프로세스 프로파일을 저장부에 저장하는 단계를 더 포함한다.
또한, 상기 확장 프로세스 프로파일링을 실시하는 단계 이후에, 상기 확장 프로세스 프로파일링을 실시하는 단계에서 생성된 확장 프로세스 프로파일을 상기 저장부에 저장하는 단계를 더 포함한다.
이에 더하여, 상기 확장 프로세스 프로파일링을 실시하는 단계 이후에, 상기 확장 프로세스 프로파일링을 실시하는 단계에서 생성된 확장 프로세스 프로파일을 이용하여 프로세서의 악성 여부를 판단하는 단계를 더 포함한다.
한편, 상기 기본 프로세스 프로파일링을 실시하는 단계에서 생성되는 기본 프로세스 프로파일은 실행 동작, 파일생성 동작, 연결생성 동작, 파일업로드 동작, 파일다운로드 동작 및 종료 동작을 포함한다.
또한, 상기 기본 프로세스 프로파일링을 실시하는 단계에서 생성되는 기본 프로세스 프로파일 및 상기 확장 프로세서 프로파일링을 실시하는 단계에서 추가되는 기본 프로세스 프로파일은 프로세스 행위 및 프로파일 간의 순서 정보를 포함한다.
본 발명에 따른 프로세스 행위 프로파일 생성 장치 및 방법을 이용하면, 특정 단일 프로세스만이 아니라 해당 프로세스와 연관된 다수의 프로세스들의 행위를 파일 생성, 파일 다운로드 및 연결 생성 등의 행위를 통해 정의하고 표현할 수 있다.
따라서, 본 발명에 따른 프로세스 행위 프로파일 생성 방법에 의해 생성된 시스템 내 프로세스 행위 프로파일을 악성 행위 탐지에 이용하면 기존 악성행위 탐지방식으로는 구분되지 않던 복수개의 프로세스를 이용하여 공격을 수행하는 APT 형태의 공격을 탐지할 수 있다.
도 1은 “3.20 사이버테러” 공격의 공격 과정을 도시한 도면이다.
도 2는 본 발명의 실시 예에 따른 기본 프로세스 프로파일 모델을 도시한 도면이다.
도 3은 본 발명의 실시 예에 따른 확장 프로세스 프로파일의 구조를 도시한 도면이다.
도 4는 본 발명의 실시 예에 따른 프로세스 행위 프로파일 생성 장치의 구성도이다.
도 5는 본 발명의 실시 예에 따른 프로세스 행위 프로파일 생성 과정을 도시한 플로우챠트를 도시한 도면이다.
본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시 예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시 예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시 예들은 본 발명의 개시가 완전하도록 하고, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다. 명세서 전체에 걸쳐 동일 도면부호는 동일 구성 요소를 지칭한다.
본 발명의 실시 예들을 설명함에 있어서 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다. 그리고 후술되는 용어들은 본 발명의 실시 예에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.
도 1은 “3.20 사이버테러” 공격의 공격 과정을 도시한 도면으로서, 도 1을 통해 확인할 수 있는 가장 큰 특징은 네트워크 연결을 생성하여 악성 프로그램을 다운로드하고 이를 실행하여 추가적으로 새로운 악성 파일을 다운로드 하고 실행하는 것이다. 즉, 공격자가 원하는 결과를 얻기 위해 다수의 악성 프로그램이 각각의 역할에 맞게 다운로드 되어 수행된다는 것이다.
본 발명에서는, 이에 착안하여, 다수의 연관된 프로세스가 수행하는 네트워크 연결, 파일 다운로드, 실행 등의 특징을 표현할 수 있도록 다중 프로세스 행위를 표한하는 시스템 프로파일링 기법을 제시한다.
이때, 본 발명에서는 복수의 프로세스에 대한 프로파일 생성을 위해 2단계로 프로파일링을 진행한다. 즉, 특정 프로세스가 실행되었을 때 해당 프로세스의 동작을 표현하는 기본 프로세스 프로파일을 생성하는 기본 프로세스 프로파일링 단계가 이루어지고, 이후, 해당 프로세스 동작으로 인해 생성된 추가 실행 파일 혹은 프로세스의 동작을 표현하기 위한 확장 프로세스 프로파일을 생성하는 확장 프로세스 프로파일링 단계가 이루어진다.
도 2는 본 발명의 실시 예에 따른 기본 프로세스 프로파일 모델을 도시한 도면이다.
이때, 기본 프로세스 프로파일은 1개의 프로세스가 실행되었을 때, 해당 프로세스의 동작을 표현하기 위한 프로파일로서, 프로세스의 동작 표현은 각 구성요소의 실행을 순차적으로 나열함으로써 표현한다.
도 2를 참조하면, 본 발명의 실시 예에 따른 기본 프로세스 프로파일 모델은 실행(E: Execution), 파일 생성(F: File creation), 연결 생성(C: Connection creation), 파일 업로드(U: File Upload), 파일 다운로드(D: File Download), 종료(T: Termination)의 총 6개로 구성된다.
이때, 가장 중요한 것은 프로세스 행위의 표현을 위해 파일의 다운로드, 파일 생성 정보 및 연결 생성 정보를 사용한다는 것이다.
하지만, 기본 프로세스 프로파일의 모델이 상기 언급된 6개의 기본 프로세스 프로파일로만 구성되는 것은 아니며, 시스템 실행 시 실행되는 프로세스의 동작을 표현하기 위해 더 많은 기본 프로세스 프로파일로 구성될 수 있다.
예를 들어, 프로세스 A가 실행되어 새로운 연결을 생성하고, 파일을 다운로드 한 후 종료되었다면, E(실행)→C(연결 생성)→D(파일 다운로드)→T(종료)의 순서로 해당 프로세스가 표현된다.
다른 예로, 만일 네트워크를 전혀 사용하지 않고, 시스템 내의 소스만을 이용하여 실행하는 프로세스는 E(실행)→F(파일 생성)→T(종료) 또는 E(실행)→T(종료)의 형태로 표현될 수 있다.
이때, 각 기본 프로세스 프로파일은 해당 행위에 대한 정보 이외에 다양한 추가 정보를 함께 포함하는데, 추가 정보는 향후 프로세스의 동작을 역으로 구성해 나갈 때 활용하기 위한 정보이다.
각 기본 프로세스 프로파일에 대한 상세 정의 및 추가 정보는 다음의 <표 1>과 같다.
기본 프로세스
프로파일		 정의 추가 정보
실행(E) 임의 프로세스가 실행되는 단계, 프로파일링의 시작 단계로 모든 프로세스에 대한 프로파일의 첫번째 단계임 실행시간, 파일명, 파일 위치, 프로세스 명, 실행 속성, 자동실행여부, 부모 프로세스 명, 확장 프로세스 프로파일 상의 이전 프로세스 명, 확장 프로세스 프로파일 상의 이전 프로파일 명, 확장 프로세스 프로파일 상의 다음 프로세스 명, 확장 프로세스 프로파일 상의 다음 프로파일 명
파일 생성(F) 프로세스가 파일을 생성하는 단계, 파일 생성 방식은 복사, 생성, 다운로드 등 다양한 방식이 적용 생성된 파일의 파일명, 생성 시간, 파일 위치, 파일 크기, 파일 속성, 파일 확장자, 파일 생성방식, 파일 생성 프로세스 명, 파일 생성 프로그램 명, 파일 생성 프로그램 위치
연결 생성(C) 프로세스가 네트워크 연결을 생성하는 단계, TCP SYN 및 Binding의 경우 포함 연결 시간, 연결설정완료여부, Source/Destination IP 주소, Source/Destiantion Port 번호, 프로토콜, 서비스
파일 업로드(U) 프로세스가 네트워크 연결을 통해 시스템 내부 파일을 외부로 전송하는 단계 외부전송시간, 업로드한 파일의 파일명, 파일 위치, 파일 확장자, 파일 크기, Source/Destination IP 주소, Source/Destination Port 번호, 프로토콜, 서비스
파일 다운로드(D) 프로세스가 네트워크 연결을 통해 파일을 다운로드 받는 단계 파일 다운로드 시간, 다운로드한 파일의 파일명, 파일 위치, 파일 확장자, 파일 크기, Source/Destination IP주소, Source/Destinatiion Port번호, 프로토콜, 서비스
종료(T) 프로세스가 종료되는 단계 프로세스 종료시간, 관련 프로세스 개수, 관련 프로세스 목록
이때, 각 기본 프로세스 프로파일에 저장되는 추가 정보는 차후 확장 프로세스 프로파일 형태로 확대 구성되더라도 확인이 가능하며, 이를 이용하여 해당 확장 프로세스 프로파일의 다양한 특징을 추출할 수 있게 된다.
한편, 도 3은 본 발명의 실시 예에 따른 확장 프로세스 프로파일의 구조를 도시한 도면이다.
도 3을 참조하면, 본 발명의 실시 예에 따른 확장 프로세스 프로파일은 일련의 기본 프로세스 프로파일의 집합으로 표현되며, 각 집합의 원소인 기본 프로세스 프로파일들 간의 순서 정보를 포함한다.
여기서, 확장 프로세스 프로파일 내에 포함되는 기본 프로세스 프로파일은 선행 기본 프로세스(ex. BP2의 경우 BP1, BP4의 BP2)에 의해 다운로드 되거나 생성된 파일이 실행되어 수행되는 프로세스들이다.
다시 말하면, 임의의 프로세스가 실행되는 동안에 특정 실행 파일이 다운로드 되고, 다운로드 된 실행 파일이 향후에 실행되게 되면, 두 프로세스의 행위 프로파일은 확장 프로세스 프로파일로 연계되게 되는 것이다.
또한, 임의의 프로세스가 실행되는 동안 자식 프로세스를 생성하게 되면, 자식 프로세스에 대한 기본 프로세스 프로파일이 확장 프로세스 프로파일로 연계되는 것이다.
이와 같은 방식으로 임의 프로세스와 연계된 프로세스들의 장기간 행위에 대한 프로파일을 생성할 수 있게 된다.
도 3을 예로 들면, 임의의 프로세스가 기본 프로세스 프로파일 BP1에 따라 실행하면서 파일 2개가 다운로드 되고, 향후에 해당 파일이 실행되게 되면, 두 프로세서에 대한 기본 프로세스 프로파일이 최초 기본 프로세스 프로파일 BP1과 연계되어 기본 프로세스 프로파일 BP2 및 BP3가 병렬로 프로파일링 된다.
따라서, 확장 프로세스 프로파일은 다수의 기본 프로세스 프로파일이 트리(Tree) 구조를 가지면서 확장되는 구조를 갖는다.
이때, 도 3에 있어서, 확장 프로세스 프로파일을 구성하는 각 기본 프로파일은 도 2에 도시되어 있는 동작 중 적어도 하나 이상의 동작을 수행한다.
한편, 확장 프로세스 프로파일 구조는 다양한 수식으로 표현될 수 있는데, 일례로, 시스템 사용자가 지시한 명령을 처리하기 위해, 프로세스 P가 실행되고, 연결 생성( C)을 수행하고, 파일 생성(F)을 수행하여 1개의 실행 파일(F1)을 생성한 후, 종료(T)되며, 파일 생성(F)을 수행함에 따라 생성된 실행 파일(F1)이 실행(E)되면 연결 생성(C)이 수행되고, 종료(T)된다고 가정하자.
이와 같은 동작을 수행하는 확정 프로세스 프로파일 구조는 P(E, C, F:F1, T)/PF1(E, C, T)로 표현될 수 있다.
본 발명에서 제안된 방식의 프로파일은 특정 시스템 상의 악성행위를 탐지하는 데 활용될 수 있다. 본 발명의 프로파일을 이용하여 악성행위를 탐지하는 방법을 간단하게 설명해 보기로 한다.
먼저, 악성파일에 감염되지 않은 정상 시스템을 대상으로 상기에서 제안한 방법을 이용하여 프로파일을 생성해 나간다. 장시간, 예를 들어 6개월 동안 다수의 정상 프로세스들에 대해 프로파일을 생성해 나가면, 해당 프로파일은 정상 프로파일이 된다.
정상 프로세스에 의해 생성된 프로파일에는 정상 프로그램이 정상적으로 실행될 때 해당 프로세스의 행위와 해당 프로세스와 연계된 다른 프로세스들 간의 관계에 대한 정보가 수집된다. 향후에 정상인지 비정상인지 알려지지 않은 파일이 특정 행위를 수행할 때, 그 프로세스의 프로파일이 정상 프로파일에서 찾아보기 힘든 행위라고 한다면, 이는 악성행위에 의해서 생성된 프로파일일 가능성이 높다.
이와 같이 기존에 학습된 프로파일과 새로 작성된 프로파일을 비교하고 동일한 형태인지 여부를 판단하여 특정 프로그램의 악성 여부를 판단할 수 있는데, 이를 위해 베이지안 네트워크 등과 같은 다양한 행동 예측 알고리즘이나 SVM(Support Vector Machine)과 같은 군집화 알고리즘 등을 활용할 수 있다.
또한, 다수의 악성 프로그램을 수집하고 이를 실행하면서 프로파일을 생성해 나가면, 악성 프로파일을 생성할 수 있고, 임의의 프로세서에 대한 행위 프로파일이 악성 프로파일과 유사한 형태를 보인다면, 해당 프로세스가 수행하는 행위는 악성 행위일 것으로 의심해 볼 수 있는 것이다. 이 경우에도 행위 예측이나 군집화 알고리즘을 이용할 수 있다.
이상에서는 본 발명의 실시 예에 따른 기본 프로세스 프로파일과 확장 프로세스 프로파일의 구조에 대해서 살펴보았다. 이하에서는 시스템 내 프로세스 행위 프로파일을 생성하는 장치에 대해서 설명한다.
도 4는 본 발명의 실시 예에 따른 프로세스 행위 프로파일 생성 장치의 구성도이다.
도 4를 참조하면, 시스템 내 프로세스 행위 프로파일 생성 장치(400)는 기본 프로세스 프로파일 생성부(410), 프로파일 저장부(420), 확장 프로세스 프로파일 생성부(430)를 포함할 수 있다.
상기 기본 프로세스 프로파일 생성부(410)는 프로세스의 동작을 기록하는 기본 프로세스 프로파일을 생성하기 위한 기본 프로세스 프로파일링을 실시한다.
이때, 상기 기본 프로세스 프로파일 생성부(410)에 의해 생성되는 기본 프로세스 프로파일은 실행 동작, 파일생성 동작, 연결생성 동작, 파일업로드 동작, 파일다운로드 동작 및 종료 동작을 포함한다.
또한, 상기 기본 프로세스 프로파일 생성부(410)에 의해 생성되는 기본 프로세스 프로파일은 순서 정보를 포함한다.
상기 프로파일 저장부(420)는 기본 프로세스 프로파일 생성부(410)에 의해 생성된 기본 프로세스 프로파일을 저장한다.
또한, 상기 프로파일 저장부(420)는 확장 프로세스 프로파일 생성부(440에 의해 생성된 확장 프로세스 프로파일을 저장한다.
상기 확장 프로세스 프로파일 생성부(430)는 특정 프로세스가 실행되는 동안 다운로드 되거나 생성되는 추가적인 실행 파일이 실행됨으로써 생성되는 기본 프로세스 프로파일을 기존의 기본 프로세스 프로파일과 연계하여 추가하는 확장 프로세스 프로파일링을 실시한다.
이때, 상기 확장 프로세스 프로파일 생성부(430)에 의해 생성된 확장 프로세스 프로파일은 프로파일 저장부(420)에 저장된다.
또한, 상기 확장 프로세스 프로파일 생성부(430)가 포함하는 추가적인 기본 프로세스 프로파일은 실행 동작, 파일생성 동작, 연결생성 동작, 파일업로드 동작, 파일다운로드 동작 및 종료 동작 중 적어도 하나 이상을 포함한다.
또한, 상기 확장 프로세스 프로파일 생성부(430)에 의해 기본 프로세스 프로파일과 연계되어 추가되는 기본 프로세스 프로파일은 순서 정보를 포함한다.
이상에서는 본 발명의 실시 예에 따른 프로세스 행위 프로파일 생성 장치에 대해서 살펴보았다. 이하에서는 기본 프로세스 프로파일과 확장 프로세스 프로파일을 이용하여 시스템 내 프로세스 행위 프로파일 생성 방법에 대해서 설명한다.
도 5는 본 발명의 실시 예에 따른 프로세스 행위 프로파일 생성 과정을 도시한 플로우챠트를 도시한 도면이다.
도 5를 참조하면, 본 발명의 실시 예에 따른 시스템 내 프로세스 행위 프로파일 생성을 위해서, 먼저, 시스템 내 특정 프로세스 동작을 기록하는 기본 프로세스 프로파일을 생성하기 위한 기본 프로세스 프로파일링(S510)이 이루어진다.
이때, 기본 프로세스 프로파일링에 따라 생성되는 기본 프로세스 프로파일은 실행 동작, 파일생성 동작, 연결생성 동작, 파일업로드 동작, 파일다운로드 동작 및 종료 동작을 포함한다.
또한, 기본 프로세스 프로파일링에 따라 기본 프로세스 프로파일을 생성하는 경우, 각 동작 대한 추가 정보를 생성하며, 추가 정보는 확장 프로세스 프로파일의 구조에서 동작을 역으로 구성해 나갈 때 활용된다.
또한, 기본 프로세스 프로파일링에 따라 기본 프로세스 프로파일을 생성하는 경우, 생성된 기본 프로세스 프로파일은 순서 정보를 포함한다.
단계 S510에 따라 기본 프로세스 프로파일을 생성하는 과정에서, 다운로드 되거나 생성되는 실행파일이 실행됨으로써 생성되는 추가적인 기본 프로세스 프로파일을 기존의 기본 프로세스 프로파일과 연계하여 추가하는 확장 프로세스 프로파일링이 이루어진다(S520).
이때, 기본 프로세스 프로파일을 생성하면서 다운로드 되거나 생성되는 실행파일이 추가적으로 실행되면서 생성되는 기본 프로세스 프로파일은 실행 동작, 파일생성 동작, 연결생성 동작, 파일업로드 동작, 파일다운로드 동작 및 종료 동작 중 적어도 하나 이상을 포함한다.
또한, 확장 프로세스 프로파일링에 따라 기본 프로세스 프로파일과 연계되어 추가되는 기본 프로세스 프로파일은 순서 정보를 포함한다.
이후, 단계 S520를 반복적으로 수행하여 트리 구조의 확장 프로세스 프로파일을 생성한다(S530).
이상의 단계 S510 ~ S530에 따라 진행되어 생성된 확장 프로세스 프로파일은 프로세스의 악성 여부를 판단하는데 이용될 수 있다.
따라서, 단계 S530에 따라 확장 프로세스 프로파일을 생성한 이후에, 현재 실행되는 프로세스의 행위를 확장 프로세스 프로파일과 비교하여, 현재 실행되는 프로세스의 악성 여부를 판단하는 단계(S540)가 더 이루어질 수 있다.
한편, 본 발명에 따른 프로세스 행위 프로파일 생성 장치 및 방법을 실시 예에 따라 설명하였지만, 본 발명의 범위는 특정 실시 예에 한정되는 것은 아니며, 본 발명과 관련하여 통상의 지식을 가진 자에게 자명한 범위 내에서 여러 가지의 대안, 수정 및 변경하여 실시할 수 있다.
따라서, 본 발명에 기재된 실시 예 및 첨부된 도면들은 본 발명의 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시 예 및 첨부된 도면에 의하여 본 발명의 기술 사상의 범위가 한정되는 것은 아니다. 본 발명의 보호 범위는 청구범위에 의하여 해석되어야 하며, 그와 동등한 범위 내에 있는 모든 기술 사상은 본 발명의 권리 범위에 포함되는 것으로 해석되어야 할 것이다.
400 : 프로세스 행위 프로파일 생성 장치
410 : 기본 프로세스 프로파일 생성부
420 : 프로파일 저장부
430 : 확장 프로세스 프로파일 생성부

Claims (10)

  1. 시스템에서 프로세서가 실행되면, 상기 실행된 프로세스의 동작을 나타내는 기본 프로세스 프로파일을 생성하고, 상기 실행된 프로세스에 의해 다운로드 되거나 생성된 실행파일이 실행되면, 추가적인 기본 프로세스 프로파일을 생성하는 기본 프로세스 프로파일 생성부; 및
    상기 추가적인 기본 프로세스 프로파일을 기존의 기본 프로세스 프로파일과 연계하여 확장 프로세스 프로파일을 생성하는 확장 프로세스 프로파일 생성부를 포함하고,
    상기 기존 기본 프로세스 프로파일은, 상기 실행파일의 생성 또는 다운로드에 관련된 source/destination 정보 및 프로세스 실행 시간을 포함하고,
    상기 추가적인 기본 프로세스 프로파일은, 상기 실행파일의 다운로드 또는 생성에 관련된 부모 프로세스 정보 또는 프로파일 정보 중 적어도 하나 및 프로세스 실행 시간을 포함하고,
    상기 확장 프로세스 프로파일은, 상기 기존 기본 프로세스 프로파일 및 상기 추가적인 기본 프로세스 프로파일의 집합인 프로세스 행위 프로파일 생성 장치.
  2. 제 1 항에 있어서,
    상기 기본 프로세스 프로파일들은 각기 실행 동작, 파일생성 동작, 연결생성 동작, 파일업로드 동작, 파일다운로드 동작 및 종료 동작 중 적어도 하나의 동작을 포함하는 것인 프로세스 행위 프로파일 생성 장치.
  3. 제 1 항에 있어서,
    상기 기본 프로세스 프로파일들 및 상기 확장 프로세스 프로파일을 저장하는 프로파일 저장부를 더 포함하는 것인 프로세스 행위 프로파일 생성 장치.
  4. 제 1 항에 있어서,
    상기 기본 프로세스 프로파일 생성부에 의해 생성되는 기본 프로세스 프로파일 및 상기 확장 프로세스 프로파일 생성부에 의해 추가되는 기본 프로세스 프로파일은 순서 정보를 포함하는 것인 프로세스 행위 프로파일 생성 장치.
  5. 시스템에서 프로세스가 실행되면, 상기 실행된 프로세스의 동작을 기록하는 기본 프로세스 프로파일을 생성하는 기본 프로세스 프로파일링을 실시하는 단계; 및
    상기 기본 프로세스 프로파일링을 실시하는 단계에서 다운로드 되거나 생성된 실행파일이 실행됨으로써 생성되는 추가적인 기본 프로세스 프로파일을 기존의 기본 프로세스 프로파일과 연계하여 확장 프로세스 프로파일을 생성하는 확장 프로세스 프로파일링을 실시하는 단계를 포함하고,
    상기 기존 기본 프로세스 프로파일은, 상기 실행파일의 생성 또는 다운로드에 관련된 source/destination 정보 및 프로세스 실행 시간을 포함하고,
    상기 추가적인 기본 프로세스 프로파일은, 상기 실행파일의 다운로드 또는 생성에 관련된 부모 프로세스 정보 또는 프로파일 정보 중 적어도 하나 및 프로세스 실행 시간을 포함하고,
    상기 확장 프로세스 프로파일은, 상기 기존 기본 프로세스 프로파일 및 상기 추가적인 기본 프로세스 프로파일의 집합인 프로세스 행위 프로파일 생성 방법.
  6. 제 5 항에 있어서,
    상기 기본 프로세스 프로파일링을 실시하는 단계 이후에, 상기 기본 프로세스 프로파일링을 실시하는 단계에서 생성된 기본 프로세스 프로파일을 저장부에 저장하는 단계를 더 포함하는 것인 프로세스 행위 프로파일 생성 방법.
  7. 제 5 항에 있어서,
    상기 확장 프로세스 프로파일링을 실시하는 단계 이후에, 상기 확장 프로세스 프로파일링을 실시하는 단계에서 생성된 확장 프로세스 프로파일을 저장하는 단계를 더 포함하는 것인 프로세스 행위 프로파일 생성 방법.
  8. 제 5 항에 있어서,
    상기 확장 프로세스 프로파일링을 실시하는 단계 이후에, 상기 확장 프로세스 프로파일링을 실시하는 단계에서 생성된 확장 프로세스 프로파일을 이용하여 프로세서의 악성 여부를 판단하는 단계를 더 포함하는 것인 프로세스 행위 프로파일 생성 방법.
  9. 제 5 항에 있어서,
    상기 기본 프로세스 프로파일링을 실시하는 단계에서 생성되는 기본 프로세스 프로파일은 실행 동작, 파일생성 동작, 연결생성 동작, 파일업로드 동작, 파일다운로드 동작 및 종료 동작을 포함하는 것인 프로세스 행위 프로파일 생성 방법.
  10. 제 5 항에 있어서,
    상기 기본 프로세스 프로파일링을 실시하는 단계에서 생성되는 기본 프로세스 프로파일 및 상기 확장 프로세스 프로파일링을 실시하는 단계에서 추가되는 기본 프로세스 프로파일은 순서 정보를 포함하는 것인 프로세스 행위 프로파일 생성 방법.

KR1020140170485A 2014-12-02 2014-12-02 프로세스 행위 프로파일 생성 장치 및 방법 KR102128047B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020140170485A KR102128047B1 (ko) 2014-12-02 2014-12-02 프로세스 행위 프로파일 생성 장치 및 방법
US14/802,688 US20160156643A1 (en) 2014-12-02 2015-07-17 Apparatus and method for generating process activity profile

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020140170485A KR102128047B1 (ko) 2014-12-02 2014-12-02 프로세스 행위 프로파일 생성 장치 및 방법

Publications (2)

Publication Number Publication Date
KR20160066291A KR20160066291A (ko) 2016-06-10
KR102128047B1 true KR102128047B1 (ko) 2020-06-29

Family

ID=56079930

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020140170485A KR102128047B1 (ko) 2014-12-02 2014-12-02 프로세스 행위 프로파일 생성 장치 및 방법

Country Status (2)

Country Link
US (1) US20160156643A1 (ko)
KR (1) KR102128047B1 (ko)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102300347B1 (ko) 2017-08-07 2021-09-10 한국전자통신연구원 멀티코어 임베디드 시스템에 대한 연속 프로파일링 장치 및 그 방법
US11023576B2 (en) * 2018-11-28 2021-06-01 International Business Machines Corporation Detecting malicious activity on a computer system

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010079508A (ja) 2008-09-25 2010-04-08 Fujitsu Microelectronics Ltd プロファイリング方法およびプロファイリングプログラム
US20120159628A1 (en) * 2010-12-15 2012-06-21 Institute For Information Industry Malware detection apparatus, malware detection method and computer program product thereof

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7146607B2 (en) * 2002-09-17 2006-12-05 International Business Machines Corporation Method and system for transparent dynamic optimization in a multiprocessing environment
WO2009097610A1 (en) * 2008-02-01 2009-08-06 Northeastern University A vmm-based intrusion detection system
KR100951852B1 (ko) * 2008-06-17 2010-04-12 한국전자통신연구원 응용 프로그램 비정상행위 차단 장치 및 방법
WO2014137324A1 (en) * 2013-03-05 2014-09-12 Mcafee, Inc. Execution profile assembly using branch records
US9832217B2 (en) * 2014-03-13 2017-11-28 International Business Machines Corporation Computer implemented techniques for detecting, investigating and remediating security violations to IT infrastructure

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010079508A (ja) 2008-09-25 2010-04-08 Fujitsu Microelectronics Ltd プロファイリング方法およびプロファイリングプログラム
US20120159628A1 (en) * 2010-12-15 2012-06-21 Institute For Information Industry Malware detection apparatus, malware detection method and computer program product thereof

Also Published As

Publication number Publication date
US20160156643A1 (en) 2016-06-02
KR20160066291A (ko) 2016-06-10

Similar Documents

Publication Publication Date Title
US10956566B2 (en) Multi-point causality tracking in cyber incident reasoning
US11223625B2 (en) System and method for detecting malicious device by using a behavior analysis
US10783241B2 (en) System and methods for sandboxed malware analysis and automated patch development, deployment and validation
JP5972401B2 (ja) 攻撃分析システム及び連携装置及び攻撃分析連携方法及びプログラム
US9300682B2 (en) Composite analysis of executable content across enterprise network
US6742128B1 (en) Threat assessment orchestrator system and method
US20220224723A1 (en) Ai-driven defensive cybersecurity strategy analysis and recommendation system
CN104217161B (zh) 一种病毒扫描方法及系统、终端设备
KR20160125960A (ko) 바이러스 처리 방법, 장치, 시스템 및 기기, 및 컴퓨터 저장 매체
CN103631628B (zh) 软件清理方法和系统
US8892950B2 (en) Failure diagnosis method and apparatus using resource relationship map
JP2021060987A (ja) コンピュータネットワークにおけるデータ効率のよい脅威検出の方法
EP3367288B1 (en) Classification method, classification device, and classification program
JP2018519604A5 (ko)
CN111831275B (zh) 一种编排微场景剧本的方法、服务器、介质及计算机设备
US20130254524A1 (en) Automated configuration change authorization
US20170277887A1 (en) Information processing apparatus, information processing method, and computer readable medium
JP5752642B2 (ja) 監視装置および監視方法
JP6050162B2 (ja) 接続先情報抽出装置、接続先情報抽出方法、及び接続先情報抽出プログラム
JP6282217B2 (ja) 不正プログラム対策システムおよび不正プログラム対策方法
US20230171292A1 (en) Holistic external network cybersecurity evaluation and scoring
KR102128047B1 (ko) 프로세스 행위 프로파일 생성 장치 및 방법
US9794274B2 (en) Information processing apparatus, information processing method, and computer readable medium
US9491193B2 (en) System and method for antivirus protection
CN105488394A (zh) 一种面向蜜罐系统进行入侵行为识别和分类的方法及系统

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant