KR102180105B1 - 장치에 설치된 소프트웨어에 대한 악성 소프트웨어 판단 방법 및 장치 - Google Patents

장치에 설치된 소프트웨어에 대한 악성 소프트웨어 판단 방법 및 장치 Download PDF

Info

Publication number
KR102180105B1
KR102180105B1 KR1020200101848A KR20200101848A KR102180105B1 KR 102180105 B1 KR102180105 B1 KR 102180105B1 KR 1020200101848 A KR1020200101848 A KR 1020200101848A KR 20200101848 A KR20200101848 A KR 20200101848A KR 102180105 B1 KR102180105 B1 KR 102180105B1
Authority
KR
South Korea
Prior art keywords
information
software
server
malicious software
determination result
Prior art date
Application number
KR1020200101848A
Other languages
English (en)
Inventor
최원천
Original Assignee
최원천
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 최원천 filed Critical 최원천
Priority to KR1020200101848A priority Critical patent/KR102180105B1/ko
Application granted granted Critical
Publication of KR102180105B1 publication Critical patent/KR102180105B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/51Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems at application loading time, e.g. accepting, rejecting, starting or inhibiting executable software based on integrity or source reliability
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/033Test or assess software

Abstract

본 발명의 일 실시예는 운영 서버에서 상기 운영 서버에 연결된 장치에 설치된 소프트웨어에 대한 악성 소프트웨어 판단 방법으로, 상기 장치로부터 상기 장치에 설치된 특정 소프트웨어에 관한 정보를 수신하는 단계, 검출 서버로부터 기준 정보를 수신하는 단계 및 상기 특정 소프트웨어에 관한 정보 및 상기 기준 정보에 기반하여 상기 특정 소프트웨어가 악성 소프트웨어인지 여부를 판단하는 단계를 포함하되, 상기 기준 정보는 악성 소프트웨어 판단에 사용되는 프로파일링 태그에 대한 정보 및 행위 분석 기준에 대한 정보를 포함하고, 상기 프로파일링 태그에 대한 정보는 프로파일링 태그 분석을 통해 도출되고, 상기 행위 분석 기준에 대한 정보는 동적 분석을 통해 도출될 수 있다.

Description

장치에 설치된 소프트웨어에 대한 악성 소프트웨어 판단 방법 및 장치{METHOD AND APPARATUS FOR DETERMINING MALICIOUS SOFTWARE FOR SOFTWARE INSTALLED ON DEVICE}
본 발명은 장치에 설치된 소프트웨어에 대한 악성 소프트웨어 판단 방법 및 장치에 관한 것이다.
네트워크 기술이 발달함에 따라 서버 관리의 필요성이 증대되고 있다. 또한, 악성 소프트웨어가 고도화됨에 따라 서버 관리 및 보호는 더욱 중요하다. 다만, 악성 소프트웨어의 수가 증가함에 따라 모든 악성 소프트웨어의 공격/감염에 대한 예방은 현실적으로 용이하지 않다.
악성 소프트웨어는 악성 코드(Malicious software, malware)라고 나타낼 수도 있으며, 이러한 악성 코드는 컴퓨터에 악영향을 끼칠 수 있는 소프트웨어를 말한다. 악성코드에는 고전적인 컴퓨터 바이러스 외에 웜, 트로이 목마, 스파이웨어, 애드웨어, 하이재커, 랜섬웨어, 키로거(keylogger) 등의 프로그램 형태뿐만 아니라 해킹된 아이디, 신용카드 정보, 해킹툴, 여권 등 서류, 익스플로잇(exploit) 혹은 취약점과 같은 정보 형태도 있다.
현재의 악성 코드 탐지기술은 시그니처 기반의 패턴탐지가 핵심을 이루고 있고, 악성 코드의 패턴은 분석가에 의하여 수작업으로 분석되며, 악성코드 패턴을 추출하여 악성 코드 데이터베이스에 등록하여 비교하고 있다. 그러나, 해커들의 회피 기술 역시 발전해 악성 코드 탐지가 더욱 어려워지고 있다. 즉, 이러한 방법은 더 이상 악성 코드의 증가에 따른 대안이 될 수 없다는 문제가 있다.
상기와 같은 문제점을 해결하기 위한 본 발명의 목적은 장치에 설치된 소프트웨어에 대한 악성 소프트웨어 판단 방법을 제공하는데 있다.
상기와 같은 문제점을 해결하기 위한 본 발명의 다른 목적은 장치에 설치된 소프트웨어에 대한 악성 소프트웨어 판단 장치를 제공하는데 있다.
상기 과제를 해결하기 위한 본 발명의 일 실시예에 따른 운영 서버에서 상기 운영 서버에 연결된 장치에 설치된 소프트웨어에 대한 악성 소프트웨어 판단 방법은, 상기 장치로부터 상기 장치에 설치된 특정 소프트웨어에 관한 정보를 수신하는 단계, 검출 서버로부터 기준 정보를 수신하는 단계 및 상기 특정 소프트웨어에 관한 정보 및 상기 기준 정보에 기반하여 상기 특정 소프트웨어가 악성 소프트웨어인지 여부를 판단하는 단계를 포함하되, 상기 기준 정보는 악성 소프트웨어 판단에 사용되는 프로파일링 태그에 대한 정보 및 행위 분석 기준에 대한 정보를 포함하고, 상기 프로파일링 태그에 대한 정보는 프로파일링 태그 분석을 통해 도출되고, 상기 행위 분석 기준에 대한 정보는 동적 분석을 통해 도출될 수 있다.
여기서, 상기 기준 정보는 상기 검출 서버에 의해 상기 운영 서버를 포함하는 복수의 운영 서버들이 전송하는 인공 지능 데이터에 기반하여 결정될 수 있다.
여기서, 상기 특정 소프트웨어가 악성 소프트웨어인지 여부를 판단한 판단 결과 정보를 상기 검출 서버로 전송하는 단계를 더 포함할 수 있고, 상기 기준 정보는 상기 검출 서버에 의해 상기 판단 결과 정보에 기반하여 주기적으로 갱신될 수 있다.
여기서, 상기 특정 소프트웨어가 악성 소프트웨어인지 여부를 판단한 판단 결과 정보는 확률 값으로 생성되고, 상기 판단 결과 정보가 A 이상인 경우, 상기 특정 소프트웨어는 악성 소프트웨어라고 판단되고, 상기 판단 결과 정보가 상기 A 미만 B 이상인 경우, 상기 특정 소프트웨어는 악성 소프트웨어에 대한 판단이 보류되고, 상기 판단 결과 정보가 상기 B 미만인 경우, 상기 특정 소프트웨어는 악성 소프트웨어가 아니라고 판단되고, 상기 A 및 상기 B 각각은 0 이상 1 이하의 값이고, 상기 A는 상기 B보다 크고, 상기 판단 결과 정보가 상기 A 미만 상기 B 이상인 경우 및 상기 판단 결과 정보가 상기 B 미만인 경우, 상기 검출 서버로 상기 판단 결과 정보를 포함하는 판단 요청 정보를 전송하는 단계를 더 포함할 수 있다.
여기서, 상기 검출 서버로부터 상기 판단 요청 정보에 따른 응답 정보를 수신하는 단계 및 상기 판단 결과 정보 및 상기 응답 정보를 기반으로 도출되는 최종 확률 값을 이용하여 상기 특정 소프트웨어가 악성 소프트웨어인지 최종 판단하는 단계를 더 포함할 수 있고, 상기 응답 정보는 확률 값을 나타내고, 상기 최종 확률 값은 상기 판단 결과 정보가 상기 A 미만 상기 B 이상인 경우, 상기 응답 정보에 따른 확률 값 및 상기 판단 결과 정보에 따른 확률 값을 2:1 비율로 가중평균하여 도출되고, 상기 최종 확률 값은 상기 판단 결과 정보가 상기 B 미만인 경우, 상기 응답 정보에 따른 확률 값 및 상기 판단 결과 정보에 따른 확률 값을 1:2 비율로 가중평균하여 도출되고, 상기 최종 확률 값이 상기 X 이상인 경우, 상기 특정 소프트웨어는 악성 소프트웨어라고 판단되고, 상기 최종 확률 값이 상기 X 미만인 경우, 상기 특정 소프트웨어는 악성 소프트웨어가 아니라고 판단되고, 상기 X는 0 이상 1 이하의 값이고, 상기 X는 상기 A 미만 상기 B 초과인 값일 수 있다.
상기 다른 목적을 달성하기 위한 본 발명의 일 실시예에 따른 운영 서버에 연결된 장치에 설치된 소프트웨어에 대한 악성 소프트웨어 판단 방법을 수행하는 운영 서버는 프로세서(processor) 및 상기 프로세서를 통해 실행되는 적어도 하나의 명령이 저장된 메모리(memory)를 포함하고, 상기 적어도 하나의 명령은, 상기 장치로부터 상기 장치에 설치된 특정 소프트웨어에 관한 정보를 수신하는 명령, 검출 서버로부터 기준 정보를 수신하는 명령 및 상기 특정 소프트웨어에 관한 정보 및 상기 기준 정보에 기반하여 상기 특정 소프트웨어가 악성 소프트웨어인지 여부를 판단하는 명령을 포함하되, 상기 기준 정보는 악성 소프트웨어 판단에 사용되는 프로파일링 태그에 대한 정보 및 행위 분석 기준에 대한 정보를 포함하고, 상기 프로파일링 태그에 대한 정보는 프로파일링 태그 분석을 통해 도출되고, 상기 행위 분석 기준에 대한 정보는 동적 분석을 통해 도출될 수 있다.
본 발명에 따르면, 머신 러닝에 기반한 악성 소프트웨어의 감지 및 처리를 통해 서버 등 장치 관리를 더욱 효율적으로 수행할 수 있다.
본 발명에 따른 효과는 상기 기재한 효과에 제한되지 않으며, 기재하지 않은 또 다른 효과들은 이하의 기재로부터 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.
도 1은 운영 서버, 적어도 하나의 서버 및 사용자 디바이스들 간의 통신 구조의 일 예시를 나타낸다.
도 2는 일 실시예에 따른 운영 서버의 동작을 도시하는 흐름도이다.
도 3은 일 실시예에 따른 운영 서버의 구성을 도시하는 블록도이다.
도 4는 일 실시예에 따른 프로세서의 구성을 도시하는 블록도이다.
본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 상세하게 설명하고자 한다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.
제1, 제2 등의 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되어서는 안 된다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다. 예를 들어, 본 발명의 권리 범위를 벗어나지 않으면서 제1 구성요소는 제2 구성요소로 명명될 수 있고, 유사하게 제2 구성요소도 제1 구성요소로 명명될 수 있다. "및/또는" 이라는 용어는 복수의 관련된 기재된 항목들의 조합 또는 복수의 관련된 기재된 항목들 중의 어느 항목을 포함한다.
어떤 구성요소가 다른 구성요소에 "연결되어" 있다거나 "접속되어" 있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어" 있다거나 "직접 접속되어" 있다고 언급된 때에는, 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다.
본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 명세서 상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥 상 가지는 의미와 일치하는 의미를 가진 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.
이하, 첨부한 도면들을 참조하여, 본 발명의 바람직한 실시예를 보다 상세하게 설명하고자 한다. 본 발명을 설명함에 있어 전체적인 이해를 용이하게 하기 위하여 도면 상의 동일한 구성요소에 대해서는 동일한 참조 부호를 사용하고 동일한 구성요소에 대해서 중복된 설명은 생략한다.
도 1은 운영 서버, 적어도 하나의 서버 및 사용자 디바이스들 간의 통신 구조의 일 예시를 나타낸다.
본 명세서에서 “사용자 디바이스”는 스마트폰, 핸드폰, 스마트 TV, 셋톱박스(set-top box), 태블릿 PC, 디지털 카메라, 캠코더, 노트북 컴퓨터(laptop computer), 데스크탑, 전자책 단말기, 디지털 방송용 단말기, PDA(Personal Digital Assistants), PMP(Portable Multimedia Player), 네비게이션, MP3 플레이어, 착용형 기기(wearable device), 에어컨, 전자 레인지, 오디오, DVD 플레이어 등을 포함하는 다양한 기기로 구현될 수 있다.
본 명세서에서 “운영 서버”는 네트워크를 통해 외부 장치들 또는 외부 서버들과 통신하는 서버(server)의 일종으로서, 외부 장치들 또는 외부 서버들을 운용하기 위한 서버를 나타낼 수 있다. 일 예시에서, 상기 운영 서버는, 일반적인 서버용 하드웨어에 도스, 윈도우, 리눅스, 유닉스, 매킨토시 등의 운영체제에 따라 다양하게 제공되고 있는 웹서버 프로그램을 이용하여 구현될 수 있다.
본 명세서에서 “적어도 하나의 서버”는 네트워크를 통해 외부 장치들 또는 외부 서버들과 통신하는 서버(server)의 일종이다. 일 예시에서, 상기 적어도 하나의 서버는, 일반적인 서버용 하드웨어에 도스, 윈도우, 리눅스, 유닉스, 매킨토시 등의 운영체제에 따라 다양하게 제공되고 있는 웹서버 프로그램을 이용하여 구현될 수 있다.
본 명세서에서 상기 사용자 디바이스, 상기 운영 서버 및 상기 적어도 하나의 서버는, 통신망을 통해 상호 통신할 수 있다. 상기 통신망은, 예를 들어 무선 통신망 또는 유선 통신망일 수 있다. 상기 무선 통신망은, 예를 들어 LTE(Long Term Evolution) RAT(Radio Access Technology), NR(New Radio) RAT, WiFi 등에 기반한 통신망일 수 있다.
일 예시에서, 상기 사용자 디바이스, 상기 운영 서버 및 상기 적어도 하나의 서버는, 상호 D2D(Device-to-Device) 통신을 수행할 수 있고, 기지국(예를 들어, gNB 및/또는 eNB)과 UU 통신을 수행할 수 있다. 상기 D2D 통신 또는 상기 UU 통신을 수행하기 위한 TDMA(time division multiple access) 및 FDMA(frequency division multiples access) 시스템에서, 정확한 시간 및 주파수 동기화가 요구될 수 있다. 시간 및 주파수 동기화가 정확하게 되지 않으면, 심볼 간 간섭(Inter Symbol Interference, ISI) 및 반송파 간 간섭(Inter Carrier Interference, ICI)으로 인해 시스템 성능이 저하될 수 있다. 일 예시에 따른 D2D 통신에서는 시간/주파수 동기화를 위해, 물리 계층에서는 동기 신호(synchronization signal)를 사용할 수 있고, RLC(radio link control) 계층에서는 MIB(master information block)를 사용할 수 있다.
D2D 통신 과정에서, 상기 사용자 디바이스, 상기 운영 서버 및/또는 상기 적어도 하나의 서버는 GNSS(global navigation satellite systems)에 직접적으로 동기화 되거나, 또는 GNSS에 직접적으로 동기화된 (네트워크 커버리지 내의 또는 네트워크 커버리지 밖의) 단말을 통해 비간접적으로 GNSS에 동기화 될 수 있다. GNSS가 동기화 소스로 설정된 경우, 상기 사용자 디바이스, 상기 운영 서버 및/또는 상기 적어도 하나의 서버는 UTC(Coordinated Universal Time) 및 (미리) 설정된 DFN(Direct Frame Number) 오프셋을 사용하여 DFN 및 서브프레임 번호를 계산할 수 있다.
또는, 상기 사용자 디바이스, 상기 운영 서버 및/또는 상기 적어도 하나의 서버는 기지국에 직접 동기화되거나, 기지국에 시간/주파수 동기화된 다른 단말에게 동기화될 수 있다. 예를 들어, 상기 기지국은 eNB 또는 gNB일 수 있다. 예를 들어, 상기 사용자 디바이스, 상기 운영 서버 및/또는 상기 적어도 하나의 서버가 네트워크 커버리지 내에 있는 경우, 상기 사용자 디바이스, 상기 운영 서버 및/또는 상기 적어도 하나의 서버는 기지국이 제공하는 동기화 정보를 수신하고, 상기 기지국에 직접 동기화될 수 있다. 그 후, 상기 사용자 디바이스, 상기 운영 서버 및/또는 상기 적어도 하나의 서버는 동기화 정보를 인접한 다른 단말에게 제공할 수 있다. 기지국 타이밍이 동기화 기준으로 설정된 경우, 상기 사용자 디바이스, 상기 운영 서버 및/또는 상기 적어도 하나의 서버는 동기화 및 하향링크 측정을 위해 해당 주파수에 연관된 셀(상기 주파수에서 셀 커버리지 내에 있는 경우), 프라이머리 셀 또는 서빙 셀(상기 주파수에서 셀 커버리지 바깥에 있는 경우)을 따를 수 있다.
기지국(예를 들어, 서빙 셀)은 D2D 또는 SL 통신에 사용되는 반송파에 대한 동기화 설정을 제공할 수 있다. 이 경우, 상기 사용자 디바이스, 상기 운영 서버 및/또는 상기 적어도 하나의 서버는 상기 기지국으로부터 수신한 동기화 설정을 따를 수 있다. 만약, 상기 사용자 디바이스, 상기 운영 서버 및/또는 상기 적어도 하나의 서버가 상기 D2D 또는 SL 통신에 사용되는 반송파에서 어떤 셀도 검출하지 못했고, 서빙 셀로부터 동기화 설정도 수신하지 못했다면, 상기 사용자 디바이스, 상기 운영 서버 및/또는 상기 적어도 하나의 서버는 미리 설정된 동기화 설정을 따를 수 있다.
또는, 상기 사용자 디바이스, 상기 운영 서버 및/또는 상기 적어도 하나의 서버는 기지국이나 GNSS로부터 직접 또는 간접적으로 동기화 정보를 획득하지 못한 다른 단말에게 동기화될 수도 있다. 동기화 소스 및 선호도는 단말에게 미리 설정될 수 있다. 또는, 동기화 소스 및 선호도는 기지국에 의하여 제공되는 제어 메시지를 통해 설정될 수 있다.
일 실시예에서, 운영 서버(110)와 적어도 하나의 서버(120)는 네트워크(100)(또는 통신망)를 통해서 상호 통신할 수 있다. 예를 들어, 상기 운영 서버(110)가 네트워크(100)로 데이터를 전송하면, 네트워크(100)는 상기 운영 서버(110)로 상기 데이터를 전달(전송)할 수 있다.
일 실시예에서, 제1 사용자 디바이스(130) 또는 상기 제2 사용자 디바이스(140)와 적어도 하나의 서버(120)는 네트워크(100)(또는 통신망)를 통해서 상호 통신할 수 있다. 예를 들어, 상기 제1 사용자 디바이스(130)가 네트워크(100)로 데이터를 전송하면, 네트워크(100)는 상기 적어도 하나의 서버(120)로 상기 데이터를 전달(전송)할 수 있다.
일 실시예에서, 제1 사용자 디바이스(130) 또는 상기 제2 사용자 디바이스(140)와 운영 서버(110)는 네트워크(100)(또는 통신망)를 통해서 상호 통신할 수 있다. 예를 들어, 상기 제1 사용자 디바이스(130)가 네트워크(100)에게 데이터를 전송하면, 네트워크(100)는 상기 운영 서버(120)에게 상기 데이터를 전달(전송)할 수 있다.
한편, 상기 운영 서버(110), 상기 적어도 하나의 서버(120), 상기 제1 사용자 디바이스(130) 및 상기 제2 사용자 디바이스(140) 중 적어도 하나가 상기 네트워크(100)를 거치지 않고 상호 통신할 수 있음은, 상기 D2D 통신에 관한 설명에서 전술한 바 있다.
한편, 운영 서버는 사용자 인터페이스 제어 모듈, 에이전트 제어 모듈, DBMS(database management system), 인증 모듈, 실시간 보안 터널 프로세싱 모듈(real time secure tunnel processing module), 네트워크 안전 모듈을 포함할 수 있다. 운영 서버는 콘솔과 통신할 수 있으며, 콘솔은 사용자 인터페이스, 네트워크 안전 모듈을 포함할 수 있다. 운영 서버는 에이전트(agent)와 통신할 수 있으며, 에이전트는 자원 모니터 모듈, 로그 분석 모듈, 애플리케이션 모니터 모듈, 계정 모니터 모듈, 안전 모니터 모듈, 실 프로세스(real process) 모듈, 실 제어(real control) 모듈, 로그 프로세싱 모듈, 에이전트 제어 모듈, 네트워크 안전 모듈을 포함할 수 있다.
여기서, 운영 서버, 콘솔, 에이전트 각각은 전술한 구성 이외에도 본 명세서의 기술적 특징을 구현할 수 있는 구성을 포함할 수 있음은 자명하다.
이하 도 2 내지 도 4에 대한 설명에서는, 상기 운영 서버(110)와 상기 적어도 하나의 서버(120), 상기 제1 사용자 디바이스(130) 및 상기 제2 사용자 디바이스(140) 중 적어도 하나 간의 통신을 기반으로 상기 운영 서버(110)가 상기 적어도 하나의 서버(120), 상기 제1 사용자 디바이스(130) 및 상기 제2 사용자 디바이스(140) 중 적어도 하나를 관리하는 방법에 대하여 구체적으로 검토한다.
이하에서는 본 명세서를 통해 제안하는 운영 서버의 서버 관리 방법에 대해 설명한다. 일례로, 이하의 운영 서버는 도 1의 운영 서버(110)일 수 있고, 이하의 운영 서버에 의해 관리되는 서버는 도 1의 상기 적어도 하나의 서버(120)일 수 있다.
일례로, 운영 서버는 각각의 서버의 CPU, 메모리, 디스크, 네트워크, SWAP(또는 SWAP 메모리)에 대한 사용률을 측정할 수 있다. 여기서, SWAP은 물리적 메모리의 용량이 포화된 경우 사용할 수 있는 여유 메모리를 의미할 수 있다. 이를 위해, 상기 운영 서버는 각각의 서버의 CPU, 메모리, 디스크, 네트워크, SWAP의 변동 유무를 실시간으로 감지하고, 자산 변동 로그를 기록할 수 있다. 여기서, 상기 자산 변동 로그는 상기 운영 서버에 의해 자동으로 기록될 수도 있고, 운영 서버 또는 각각의 서버의 사용자 및/또는 관리자의 요청 시 기록될 수도 있다.
일례로, 운영 서버는 각각의 서버의 CPU, 메모리, 디스크, 부하 평균(load average), 트래픽을 실시간으로 측정하고, 상기 측정 결과를 관리자가 사용하는 사용자 디바이스로 전송할 수 있다. 여기서, 트래픽, 디스크는 각각의 네트워크 카드 별로 또는 디바이스 별로 측정할 수 있다.
일례로, 운영 서버는 각각의 서버 및/또는 사용자 디바이스에서 실행 중인 애플리케이션(application)에 해당하는 포트 얼라이브(port alive) 여부, 프로세스를 감시할 수 있다. 여기서, 운영 서버는 각각의 프로세스 별로 서비스 포트의 상태 및 응답 속도를 측정할 수 있다. 또한 여기서, 운영 서버는 각각의 서버의 비정상 프로세스 리스트를 확인할 수 있다.
일례로, 운영 서버는 시스템 로그 및/또는 다양한 사용자 설정 로그에 대한 패턴 매치를 제공할 수 있다. 이를 통해, 사용자가 직접 이벤트를 설정하고 상기 이벤트를 감시할 수 있다. 일례로, 상기 이벤트는 보안, 장애 감지 등 서버의 운영과 관련된 다양한 이벤트일 수 있다.
일례로, 운영 서버는 각각의 서버에 대한 시스템의 변경이 불가능한 파일 및/또는 시스템의 변경에 대해 검사가 필요한 파일의 위조 및/또는 변조 여부를 감시할 수 있다. 여기서, 운영 서버는 전술한 파일에 대한 보안 상의 위험 여부를 감지할 수 있다.
일례로, 운영 서버는 각각의 서버의 CPU, 메모리, 트래픽, 부하 평균, SWAP의 사용률을 실시간으로 검출하여, 상기 검출 결과를 상기 각각의 서버의 관리자가 사용하는 사용자 디바이스로 전송할 수 있다. 여기서, 운영 서버는 각각의 서버의 현재 프로세스를 실시간으로 확인할 수 있다.
일례로, 운영 서버는 각각의 서버의 사용자 및/또는 관리자의 요청에 의해 정의된 양식에 따라 자동적으로 보고 정보를 수행할 수 있다. 여기서, 상기 보고 정보는 각각의 서버에서 발생하는 일부 또는 전체 이벤트에 대한 정보를 포함할 수 있다. 또한 여기서, 상기 보고 정보는 상기 사용자 및/또는 관리자가 사용하는 사용자 디바이스로 전송될 수 있다. 이 때, 상기 사용자 디바이스, 상기 이벤트는 상기 사용자 및/또는 관리자에 의해 결정될 수 있다. 다시 말하면, 상기 사용자 및/또는 관리자가 보고 정보를 수신하고자 하는 이벤트, 보고 정보를 수신하고자 하는 사용자 디바이스를 상기 운영 서버에 알려줄 수 있다. 여기서, 상기 보고 정보는 문자 메시지, 이메일, 음성 등 다양한 방법으로 전송될 수 있다. 여기서, 상기 보고는 미가공 데이터(raw data)를 포함할 수 있다. 여기서, 상기 보고는 시간에 따른 변화 그래프를 포함할 수 있다.
일례로, 운영 서버는 자신이 관리하는 서버, 사용자 디바이스 각각에 대해 분산 구조 환경에 기반한 부하 분배 관리 및 대용량 트랜잭션(transaction) 처리를 수행할 수 있다. 여기서, 운영 서버는 자신이 관리하는 서버, 사용자 디바이스 각각에 대한 성능 정보/시스템 성능 정보를 데이터베이스에 저장하여 실시간으로 또는 사용자의 요청 시 제공할 수 있다. 운영 서버는 상기 성능 정보/시스템 성능 정보를 각각의 시스템 관리 목적에 기반하여 그룹화하여 관리할 수 있으며, 상기 성능 정보/시스템 성능 정보가 변경되는 경우 실시간으로 상기 변경을 감지하고 상기 변경을 상기 성능 정보/시스템 성능 정보에 반영할 수 있다. 상기 서버, 사용자 디바이스에 대한 오류, 장애 등의 문제가 발생한 경우, 상기 운영 서버는 이를 감지하여 상기 문제를 해결하거나, 또는 상기 서버, 사용자 디바이스의 관리자 및/또는 사용자의 상기 문제에 대한 해결 요청을 수신하면 상기 문제를 해결할 수 있다.
이하에서는, 운영 서버가 악성 소프트웨어에 대해 서버, 사용자 디바이스 등을 관리하는 방법에 대해 설명한다.
운영 서버는 서버, 사용자 디바이스에 침투한 악성 소프트웨어를 실시간으로 검출할 수 있다. 검출된 악성 소프트웨어는 상기 운영 서버에 의해 치료될 수 있다.
구체적으로, 운영 서버는 서버, 사용자 디바이스에 침투한 소프트웨어를 실시간으로 검사한다. 이 때, 상기 운영 서버는 상기 소프트웨어가 악성 소프트웨어인지 여부를 판단할 수 있다.
악성 소프트웨어인지 여부를 판단하는 방법의 일례로 악성 소프트웨어의 목록에 기반한 판단 방법을 고려할 수 있다. 구체적으로, 운영 서버는 악성 소프트웨어의 목록을 보유/저장할 수 있다. 운영 서버가 서버, 사용자 디바이스에 침투한 소프트웨어가 악성 소프트웨어의 목록에 포함된 소프트웨어인 경우, 운영 서버는 상기 소프트웨어를 악성 소프트웨어라고 판단하고 상기 서버, 사용자 디바이스를 치료한다.
악성 소프트웨어인지 여부를 판단하는 방법의 다른 일례로 AI 기반 판단 방법을 고려할 수 있다. 구체적으로, 운영 서버는 AI 기반 악성 소프트웨어 검출 시스템을 포함할 수 있다. 여기서, 상기 시스템은 애플리케이션을 통해 구현될 수 있고, 또는 AI 기반 악성 소프트웨어 검출 시스템을 포함하는 서버(이하, 검출 서버)와의 통신을 통해 구현될 수도 있다.
AI 기반 악성 소프트웨어 검출 시스템을 포함하는 서버와의 통신으로 구현되는 경우, 인공 신경망 기반 AI가 적용될 수 있다. 즉, 상기 운영 서버를 포함한 복수 개의 운영 서버들이 엣지 장치가 되어 인공 지능 관련 데이터(예를 들어, 미가공 데이터, 가중치 등)를 검출 서버로 전송할 수 있다. 이후, 검출 서버는 상기 인공 지능 관련 데이터에 대한 프로파일링 태그, 행위 분석 등의 분석을 통해 악성 소프트웨어 여부를 판단할 수 있다. 이후, 상기 검출 서버는 악성 소프트웨어 여부에 대한 판단 결과를 상기 복수 개의 운영 서버들에게 알려줄 수 있다. 이러한 과정을 반복하여, 각각의 운영 서버들은 악성 소프트웨어에 대한 정보를 지속적으로 갱신할 수 있고, 특정 소프트웨어가 상기 악성 소프트웨어에 대한 정보에 포함되는 소프트웨어인 경우, 상기 특정 소프트웨어가 검출되면 곧바로 치료할 수 있다. 여기서, 상기 검출 서버의 상기 프로파일링 태그, 행위 분석 등에 대한 기준/조건에 대한 정보는 주기적으로 상기 각각의 운영 서버들에게 전송될 수 있다. 각각의 운영 서버들은 상기 기준/조건에 대한 정보에 기반하여 자체적으로 특정 소프트웨어가 악성 소프트웨어인지 여부를 판단할 수도 있다. 여기서, 각각의 운영 서버들은 먼저 상기 기준/조건에 대한 정보에 기반하여 자체적으로 특정 소프트웨어가 악성 소프트웨어인지 여부를 판단하고, 판단 결과가 상기 특정 소프트웨어가 악성 소프트웨어일 확률이 일정 확률 이상이면 악성 소프트웨어라고 간주하고, 일정 확률 미만이면 상기 검출 서버에게 악성 소프트웨어 판단 요청 신호를 전송할 수 있다. 상기 악성 소프트웨어 판단 요청 신호는 특정 소프트웨어 검출 시 전송될 수도 있고, 또는 상기 운영 서버의 자체적인 판단 절차 진행과 동시에 전송될 수도 있다.
상기 일정 확률과 관련하여, 확률 A 및 확률 B(여기서 A>B)를 고려할 수도 있다. 여기서, A 및 B 모두 0 이상 1 이하의 값을 가질 수 있다. 구체적으로, 운영 서버가 특정 소프트웨어가 악성 소프트웨어인지 여부를 자체적으로 판단할 때, 판단 결과가 확률 A 이상이면 즉시 치료하고, A 미만 B 이상이면 판단을 유보하고, B 미만이면 악성 소프트웨어가 아니라고 판단할 수 있다. 이 때, 상기 악성 소프트웨어 판단 요청 신호는 상기 운영 서버가 자체적으로 판단 절차를 진행할 때 전송될 수 있다. 나아가, 상기 악성 소프트웨어 판단 요청 신호는 상기 자체 판단 이후 측정된 확률이 A 미만 B 이상일 때 전송될 수도 있고, 또는 B 이상일 때 전송될 수도 있으며, A 이상일 때 전송될 수도 있다. 예를 들어, A는 0.7일 수 있고, B는 0.3일 수 있으나, 이에 한정되는 것은 아니다. 즉, 자체적으로 판단한 결과인 판단 결과 정보는 확률 값으로 나타내어질 수 있으며, 이러한 판단 결과 정보가 0.3 이상 0.7 미만인 경우, 판단 결과 정보가 명확하지 않은 것으로 보아, 검출 서버에 상기 악성 소프트웨어 판단 요청 신호로 관련 정보를 전송할 수 있다.
여기서, 상기 악성 소프트웨어 판단 요청 신호에 대한 응답 신호가 상기 검출 서버로부터 전송되면, 상기 운영 서버는 상기 응답 신호에 기반하여 상기 특정 소프트웨어의 악성 소프트웨어 여부를 판단할 수 있다. 상기 응답 신호는 1 비트-파라미터를 통해 상기 특정 소프트웨어가 악성 소프트웨어인지 아닌지 여부를 알려줄 수도 있고, 악성 소프트웨어일 확률 C의 값을 알려줄 수도 있다.
여기서, 상기 응답 신호와 상기 자체 판단 결과의 우선 순위가 서로 다를 수 있다. 일례로, 상기 응답 신호가 자체 판단 결과보다 우선 순위가 높을 수 있다. 다른 일례로, 자체 판단 결과가 확률 A 이상인 경우, 확률 A 미만 B 이상인 경우, 확률 B 미만인 경우에 따라 상기 응답 신호와 상기 자체 판단 결과의 우선 순위가 서로 다를 수 있다. 예를 들어, 자체적으로 판단한 판단 결과가 상기 확률 A 이상인 경우, 상기 응답 신호보다 자체 판단 결과의 우선 순위가 높을 수 있다. 또는 자체적으로 판단한 결과가 상기 확률 B 이상 확률 A 미만인 경우 및 상기 확률 B 미만인 경우, 상기 자체 판단 결과보다 상기 응답 신호의 우선 순위가 높을 수 있다.
도 2는 일 실시예에 따른 운영 서버의 동작을 도시하는 흐름도이다.
도 2를 참고하면, 운영 서버는 장치와 통신을 수행한다(S210). 여기서, 상기 장치는 상기 운영 서버가 관리하는 서버, 사용자 디바이스를 포함할 수 있다. 여기서, 상기 통신은 상기 장치에 대한 관리, 분석, 모니터링, 애플리케이션 관리, 파일 무결성 감시 등과 관련된 정보를 송수신하는 것일 수 있다. 예를 들어, 일 실시예에 따른 운영 서버는 상기 장치로부터 상기 장치에 설치된 특정 소프트웨어에 관한 정보를 수신할 수 있다.
상기 운영 서버는 검출 서버로부터 기준 정보를 수신한다(S220). 여기서, 상기 기준 정보는 악성 소프트웨어 판단에 사용되는 프로파일링 태그에 대한 정보 및 행위 분석 기준에 대한 정보를 포함할 수 있고, 상기 프로파일링 태그에 대한 정보는 프로파일링 태그 분석을 통해 도출되고, 상기 행위 분석 기준에 대한 정보는 동적 분석을 통해 도출될 수 있다.
예를 들어, 상기 기준 정보는 상기 검출 서버에 의해 상기 운영 서버를 포함하는 복수의 운영 서버들이 전송하는 인공 지능 데이터에 기반하여 결정될 수 있다. 이후, 상기 운영 서버는 상기 기준 정보에 기반하여 특정 소프트웨어가 악성 소프트웨어인지 여부를 판단한다(S230). 여기서, 상기 특정 소프트웨어는 상기 장치에 설치된 소프트웨어일 수 있다. 즉, 운영 서버는 상기 특정 소프트웨어에 관한 정보 및 상기 기준 정보에 기반하여 상기 특정 소프트웨어가 악성 소프트웨어인지 여부를 판단할 수 있다.
또한, 상기 운영 서버는 상기 특정 소프트웨어가 악성 소프트웨어인지 여부를 판단한 판단 결과 정보를 상기 검출 서버로 전송할 수 있으며, 상기 기준 정보는 상기 검출 서버에 의해 상기 판단 결과 정보에 기반하여 주기적으로 갱신될 수 있다.
후술하겠으나, 상기 특정 소프트웨어가 악성 소프트웨어인지 여부를 판단한 판단 결과 정보는 확률 값으로 생성될 수 있다. 또한, 상기 판단 결과 정보가 A 이상인 경우, 상기 특정 소프트웨어는 악성 소프트웨어라고 판단될 수 있고, 상기 판단 결과 정보가 상기 A 미만 B 이상인 경우, 상기 특정 소프트웨어는 악성 소프트웨어에 대한 판단이 보류될 수 있고, 상기 판단 결과 정보가 상기 B 미만인 경우, 상기 특정 소프트웨어는 악성 소프트웨어가 아니라고 판단될 수 있다. 여기서, 상기 A 및 상기 B 각각은 0 이상 1 이하의 값일 수 있고, 상기 A는 상기 B보다 클 수 있다.
또한, 운영 서버는 상기 판단 결과 정보가 상기 A 미만 상기 B 이상인 경우 및 상기 판단 결과 정보가 상기 B 미만인 경우, 상기 검출 서버로 상기 판단 결과 정보를 포함하는 판단 요청 정보를 전송할 수 있다. 즉, 운영 서버는 판단 결과 정보가 A 미만 B 이상임에 따라 명확히 악성 소프트웨어인지 판단되지 않는 경우, 관련 정보를 검출 서버로 전송할 수 있으며, 검출 서버로부터 상기 판단 요청 정보에 따른 응답 정보를 수신할 수 있다. 여기서, 예를 들어, 상기 응답 정보는 확률 값을 나타낼 수 있다. 즉, 판단 결과 정보 및 응답 정보 모두 확률 값을 나타낼 수 있다.
이후, 운영 서버는 상기 판단 결과 정보 및 상기 응답 정보를 기반으로 상기 특정 소프트웨어가 악성 소프트웨어인지 최종 판단할 수 있다. 다시 말해, 예를 들어 응답 정보가 확률 값을 나타내는 경우, 상기 판단 결과 정보 및 상기 응답 정보를 기반으로 최종 확률 값을 도출할 수 있으며, 최종 확률 값을 기반으로 상기 특정 소프트웨어가 악성 소프트웨어인지 최종 판단할 수 있다.
이 경우, 상기 최종 확률 값은 상기 판단 결과 정보에 따른 확률 값 및 상기 응답 정보에 따른 확률 값의 가중평균을 통해 도출될 수 있으며, 가중평균의 가중치는 상기 판단 결과 정보가 A 미만 B 이상인지 또는 B 미만인지에 따라 다를 수 있다. 예를 들어, 상기 최종 확률 값은 상기 판단 결과 정보가 상기 A 미만 상기 B 이상인 경우, 상기 응답 정보에 따른 확률 값 및 상기 판단 결과 정보에 따른 확률 값을 2:1 비율로 가중평균하여 도출될 수 있고, 상기 최종 확률 값은 상기 판단 결과 정보가 상기 B 미만인 경우, 상기 응답 정보에 따른 확률 값 및 상기 판단 결과 정보에 따른 확률 값을 1:2 비율로 가중평균하여 도출될 수 있다. 이 때, 상기 최종 확률 값이 상기 X 이상인 경우, 상기 특정 소프트웨어는 악성 소프트웨어라고 판단될 수 있으며, 상기 최종 확률 값이 상기 X 미만인 경우, 상기 특정 소프트웨어는 악성 소프트웨어가 아니라고 판단될 수 있다. 여기서, 상기 X는 0 이상 1 이하의 값이고, 상기 X는 상기 A 미만 상기 B 초과인 값일 수 있다.
도 2에 도시하지는 않았지만, 본 명세서의 다양한 구성들이 도 2의 일례에 포함될 수 있음은 자명하므로, 중복되는 설명은 생략한다.
도 3은 일 실시예에 따른 운영 서버의 구성을 도시하는 블록도이다.
도 3에 도시된 바와 같이, 일 실시예에 따른 운영 서버(500)는 데이터베이스(510), 송수신부(520) 및 프로세서(530)를 포함할 수 있다. 그러나, 경우에 따라서는 도 3에 도시된 구성 요소 모두가 운영 서버(500)의 필수 구성 요소가 아닐 수 있고, 운영 서버(500)는 도 3에 도시된 구성 요소보다 많거나 적은 구성 요소에 의해 구현될 수 있다.
일 실시예에 따른 운영 서버(500)에서 데이터베이스(510), 송수신부(520) 및 프로세서(530)는 각각 별도의 칩(chip)으로 구현되거나, 적어도 둘 이상의 구성 요소가 하나의 칩을 통해 구현될 수도 있다.
데이터베이스(DB, 510)는 송수신부(520) 또는 프로세서(530)로부터 전달 받은 데이터를 저장할 수 있다. 일 실시예에서, 데이터베이스(510)는 적어도 하나의 프로그램을 저장할 수 있다. 일 예시에서, 상기 적어도 하나의 프로그램은, 프로세서(530)가 학습 모델을 실행할 때 이용될 수 있다.
송수신부(520)는 외부 장치와 통신을 수행할 수 있다. 일 예시에서, 송신부(520)는 외부 장치(예를 들어, 사용자 디바이스)와 데이터를 송수신할 수 있다.
일 실시예에 따른 프로세서(530)는 운영 서버(500)의 전반적인 동작을 제어할 수 있다. 일 예시에서, 프로세서(530)는 운영 서버(500)의 데이터베이스(510)에 저장된 프로그램들을 실행함으로써, 데이터베이스(510) 및 송수신부(520) 등을 전반적으로 제어할 수 있다. 일 예시에서, 프로세서(530)는 운영 서버(500)의 데이터베이스(510)에 저장된 프로그램들을 실행함으로써, 전술한 운영 서버(500)의 동작의 일부 또는 전부를 수행할 수 있다.
일 실시예에 따른 프로세서는 전술한 또는 후술할 방법/동작을 수행할 수 있으므로, 중복되는 설명은 생략한다.
또는 일 실시예에 따른 운영 서버는 프로세서 및 상기 프로세서를 통해 실행되는 적어도 하나의 명령이 저장된 메모리를 포함하고, 상기 적어도 하나의 명령은 전술한 또는 후술할 방법/동작 중 적어도 일부를 수행할 수 있는 명령을 포함할 수 있다.
이하 도 4에서는, 프로세서(530)의 구성의 일 예시에 대해 설명하고, 프로세서(530)가 AI 학습 모델을 이용하는 방법에 대해 구체적으로 설명하기로 한다.
도 4는 일 실시예에 따른 프로세서의 구성을 도시하는 블록도이다.
도 4에 도시된 바와 같이, 일 실시예에 따른 프로세서(530)는 데이터획득부(532), 학습 데이터 선택부(534), 학습 모델 실행부(536) 및 학습 결과 제공부(538)를 포함할 수 있다. 그러나, 경우에 따라서는 도 3에 도시된 구성 요소 모두가 프로세서(530)의 필수 구성 요소가 아닐 수 있고, 프로세서(530)는 도 4에 도시된 구성 요소보다 많거나 적은 구성 요소에 의해 구현될 수 있다.
당해 기술 분야의 통상의 기술자는, 도 4에 도시된 프로세서(530)의 구성은 상기 운영 서버가 AI 학습 모델을 기반으로 기계 학습을 수행할 때 이용될 수 있는 프로세서(530)의 모듈들의 일 예시에 불과하고, 상기 운영 서버가 반드시 기계 학습을 수행하는 것은 아니므로, 따라서 도 4에 도시된 프로세서(530)의 모듈들의 일부 또는 전부가 상기 프로세서(530)에 포함되지 않을 수도 있음을 용이하게 이해할 것이다.
일 실시예에 따른 데이터 획득부(532)는, 사용자의 의도를 판단하고, 연관 정보를 제공하고, 대체 동작을 추천하기 위해 필요한 데이터를 획득할 수 있다. 또는, 데이터 획득부(532)는, 사용자의 의도를 판단하고, 연관 정보를 제공하고, 대체 동작을 추천하기 위한 학습을 위하여 필요한 데이터를 획득할 수 있다.
일 예시에서, 데이터 획득부(532)는, 예를 들어 사용자 음성, 이미지 정보, 소정의 컨텍스트 정보 중 적어도 하나를 획득할 수 있다. 일 예시에서, 데이터 획득부(532)는, 획득된 데이터를 기 정의된(pre-defined) 포맷으로 전환(convert)할 수 있다.
일 실시예에 따른 학습 데이터 선택부(534)는, 데이터 획득부(532)가 획득한 데이터 중에서 학습에 필요한 데이터를 선택할 수 있다. 예를 들어, 학습 데이터 선택부(534)는 사용자의 의도 판단, 연관 정보의 제공 및 대체 동작의 추천을 위한 기 정의된 기준에 따라, 데이터 획득부(532)가 획득한 데이터 중에서 학습에 필요한 데이터를 선택할 수 있다. 또는, 학습 데이터 선택부(534)는 학습 모델 실행부(536)에 의한 학습을 기반으로 기 정의된 기준에 따라 데이터를 선택할 수도 있다.
일 실시예에 따른 학습 모델 실행부(536)는, 학습 데이터를 기반으로 사용자의 의도를 어떻게 판단하고, 연관 정보를 어떻게 결정하고, 대체 동작을 어떻게 추천할 지에 관한 기준을 학습할 수 있다. 또한, 학습 모델 실행부(536)는 사용자의 의도 판단, 연관 정보의 결정 및 대체 동작의 추천을 위하여 어떤 학습 데이터를 이용해야 하는 지에 대한 기준을 학습할 수도 있다.
또한, 학습 모델 실행부(536)는 사용자의 의도 판단, 연관 정보의 결정 및 대체 동작의 추천에 이용되는 AI 학습 모델을 학습 데이터를 이용하여 학습시킬 수 있다. 이 경우, AI 학습 모델은 미리 구축된 모델일 수 있다. 예를 들어, AI 학습 모델은 기본 학습 데이터(예를 들어, 샘플 데이터 등)을 입력 받아 미리 구축된 모델일 수 있다.
AI 학습 모델은, 학습 모델의 적용 분야, 학습의 목적 또는 장치의 컴퓨터 성능 등을 고려하여 구축될 수 있다. AI 학습 모델은, 예를 들어, 신경망(Neural Network)을 기반으로 하는 모델일 수 있다. 예컨대, DNN(Deep Neural Network), RNN(Recurrent Neural Network), BRDNN(Bidirectional Recurrent Deep Neural Network)과 같은 모델이 AI 학습 모델로서 사용될 수 있으나, 실시예는 이에 한정되지 않는다.
일 실시예에 따른 학습 모델 실행부(536)는, 미리 구축된 AI 학습 모델이 복수 개가 존재하는 경우, 입력된 학습 데이터와 기본 학습 데이터의 관련성이 큰 AI 학습 모델을 학습할 AI 학습 모델로 결정할 수 있다. 이 경우, 기본 학습 데이터는 데이터의 타입 별로 기 분류되어 있을 수 있으며, AI 학습 모델은 데이터의 타입 별로 미리 구축되어 있을 수 있다. 예를 들어, 기본 학습 데이터는 학습 데이터가 생성된 지역, 학습 데이터가 생성된 시간, 학습 데이터의 크기, 학습 데이터의 장르, 학습 데이터의 생성자, 학습 데이터 내의 오브젝트의 종류 등과 같은 다양한 기준으로 기 분류되어 있을 수 있다.
일 실시예에 따른 학습 모델 실행부(536)는, 예를 들어, 오류 역전파법(error back-propagation) 또는 경사 하강법(gradient descent)을 포함하는 학습 알고리즘 등을 이용하여 AI 학습 모델을 학습시킬 수 있다.
일 실시예에 따른 학습 모델 실행부(536)는, 예를 들어 학습 데이터를 입력 값으로 하는 지도 학습(supervised learning)을 통하여, AI 학습 모델을 학습시킬 수 있다. 또한, 학습 모델 실행부(536)는, 예를 들어 별다른 지도없이 사용자의 의도를 판단하고, 연관 정보를 제공하고, 대체 동작을 추천하기 위해 필요한 데이터의 종류를 스스로 학습함으로써, 사용자의 의도 판단, 연관 정보의 제공 및 대체 동작의 추천을 위한 기준을 발견하는 비지도 학습(unsupervised learning)을 수행할 수 있다. 상기 비지도 학습을 통하여, 학습 모델 실행부(536)는 AI 학습 모델을 학습시킬 수 있다. 또한, 학습 모델 실행부(536)는, 예를 들어, 학습에 따른 사용자의 의도 판단, 연관 정보의 제공 및 대체 동작의 추천의 결과가 올바른 지에 대한 피드백을 이용하는 강화 학습(reinforcement learning)을 통하여, AI 학습 모델을 학습시킬 수 있다.
또한, AI 학습 모델이 학습되면, 학습 모델 실행부(536)는 학습된 AI 학습 모델을 저장할 수 있다. 이 경우, 학습 모델 실행부(536)는 학습된 AI 학습 모델을 운영 서버의 데이터베이스에 저장할 수 있다. 또는, 학습 모델 실행부(536)는 학습된 AI 학습 모델을 운영 서버와 유선 또는 무선 네트워크로 연결되는 서버 또는 장치의 메모리 또는 데이터베이스에 저장할 수도 있다.
일 실시예에서, 상기 AI 학습 모델은, 인공신경망 또는 머신 러닝(machine learning) 기반의 악성 소프트웨어 패턴 학습/악성 코드 패턴 학습을 적용하기 위한 것일 수 있다.
일 실시예에 따른 학습 결과 제공부(538)는, 상기 학습 모델 실행부(536)에서 학습된 AI 학습 모델을 기반으로, (기계) 학습 결과를 도출 또는 획득할 수 있다. 학습 결과 제공부(538)는, 상기 (기계) 학습 결과를 데이터베이스 또는 송수신부로 제공할 수 있다.
일부 실시예는 컴퓨터에 의해 실행되는 프로그램 모듈과 같은 컴퓨터에 의해 실행가능한 명령어를 포함하는 기록 매체의 형태로도 구현될 수 있다. 컴퓨터 판독 가능 매체는 컴퓨터에 의해 액세스될 수 있는 임의의 가용 매체일 수 있고, 휘발성 및 비휘발성 매체, 분리형 및 비분리형 매체를 모두 포함한다. 또한, 컴퓨터 판독가능 매체는 컴퓨터 저장 매체 및 통신 매체를 모두 포함할 수 있다. 컴퓨터 저장 매체는 컴퓨터 판독가능 명령어, 데이터 구조, 프로그램 모듈 또는 기타 데이터와 같은 정보의 저장을 위한 임의의 방법 또는 기술로 구현된 휘발성 및 비휘발성, 분리형 및 비분리형 매체를 모두 포함한다. 통신 매체는 전형적으로 컴퓨터 판독가능 명령어, 데이터 구조, 프로그램 모듈, 또는 반송파와 같은 변조된 데이터 신호의 기타 데이터, 또는 기타 전송 메커니즘을 포함하며, 임의의 정보 전달 매체를 포함한다.
이제까지 본 발명에 대하여 그 바람직한 실시 예들을 중심으로 살펴보았다. 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자는 본 발명이 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 변형된 형태로 구현될 수 있음을 이해할 수 있을 것이다. 따라서, 본 발명의 범위는 전술한 실시 예에 한정되지 않고 특허 청구범위에 기재된 내용과 동등한 범위 내에 있는 다양한 실시 형태가 포함되도록 해석되어야 할 것이다.

Claims (5)

  1. 운영 서버에서 상기 운영 서버에 연결된 장치에 설치된 소프트웨어에 대한 악성 소프트웨어 판단 방법에 있어서,
    상기 장치로부터 상기 장치에 설치된 특정 소프트웨어에 관한 정보를 수신하는 단계;
    검출 서버로부터 기준 정보를 수신하는 단계; 및
    상기 특정 소프트웨어에 관한 정보 및 상기 기준 정보에 기반하여 상기 특정 소프트웨어가 악성 소프트웨어인지 여부를 판단하는 단계를 포함하되,
    상기 기준 정보는 악성 소프트웨어 판단에 사용되는 프로파일링 태그에 대한 정보 및 행위 분석 기준에 대한 정보를 포함하고,
    상기 프로파일링 태그에 대한 정보는 프로파일링 태그 분석을 통해 도출되고, 상기 행위 분석 기준에 대한 정보는 동적 분석을 통해 도출되고,
    상기 기준 정보는 상기 검출 서버에 의해 상기 운영 서버를 포함하는 복수의 운영 서버들이 전송하는 인공 지능 데이터에 기반하여 결정되고,
    상기 특정 소프트웨어가 악성 소프트웨어인지 여부를 판단한 판단 결과 정보를 상기 검출 서버로 전송하는 단계를 더 포함하고,
    상기 기준 정보는 상기 검출 서버에 의해 상기 판단 결과 정보에 기반하여 주기적으로 갱신되고,
    상기 특정 소프트웨어가 악성 소프트웨어인지 여부를 판단한 판단 결과 정보는 확률 값으로 생성되고,
    상기 판단 결과 정보가 A 이상인 경우, 상기 특정 소프트웨어는 악성 소프트웨어라고 판단되고,
    상기 판단 결과 정보가 상기 A 미만 B 이상인 경우, 상기 특정 소프트웨어는 악성 소프트웨어에 대한 판단이 보류되고,
    상기 판단 결과 정보가 상기 B 미만인 경우, 상기 특정 소프트웨어는 악성 소프트웨어가 아니라고 판단되고,
    상기 A 및 상기 B 각각은 0 이상 1 이하의 값이고, 상기 A는 상기 B보다 크고,
    상기 판단 결과 정보가 상기 A 미만 상기 B 이상인 경우 및 상기 판단 결과 정보가 상기 B 미만인 경우, 상기 검출 서버로 상기 판단 결과 정보를 포함하는 판단 요청 정보를 전송하는 단계를 더 포함하고,
    상기 검출 서버로부터 상기 판단 요청 정보에 따른 응답 정보를 수신하는 단계; 및
    상기 판단 결과 정보 및 상기 응답 정보를 기반으로 도출되는 최종 확률 값을 이용하여 상기 특정 소프트웨어가 악성 소프트웨어인지 최종 판단하는 단계를 더 포함하고,
    상기 응답 정보는 확률 값을 나타내고,
    상기 최종 확률 값은 상기 판단 결과 정보가 상기 A 미만 상기 B 이상인 경우, 상기 응답 정보에 따른 확률 값 및 상기 판단 결과 정보에 따른 확률 값을 2:1 비율로 가중평균하여 도출되고,
    상기 최종 확률 값은 상기 판단 결과 정보가 상기 B 미만인 경우, 상기 응답 정보에 따른 확률 값 및 상기 판단 결과 정보에 따른 확률 값을 1:2 비율로 가중평균하여 도출되고,
    상기 최종 확률 값이 X 이상인 경우, 상기 특정 소프트웨어는 악성 소프트웨어라고 판단되고,
    상기 최종 확률 값이 상기 X 미만인 경우, 상기 특정 소프트웨어는 악성 소프트웨어가 아니라고 판단되고,
    상기 X는 0 이상 1 이하의 값이고, 상기 X는 상기 A 미만 상기 B 초과인 값인, 악성 소프트웨어 판단 방법.
  2. 삭제
  3. 삭제
  4. 삭제
  5. 삭제
KR1020200101848A 2020-08-13 2020-08-13 장치에 설치된 소프트웨어에 대한 악성 소프트웨어 판단 방법 및 장치 KR102180105B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020200101848A KR102180105B1 (ko) 2020-08-13 2020-08-13 장치에 설치된 소프트웨어에 대한 악성 소프트웨어 판단 방법 및 장치

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020200101848A KR102180105B1 (ko) 2020-08-13 2020-08-13 장치에 설치된 소프트웨어에 대한 악성 소프트웨어 판단 방법 및 장치

Publications (1)

Publication Number Publication Date
KR102180105B1 true KR102180105B1 (ko) 2020-11-17

Family

ID=73642235

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020200101848A KR102180105B1 (ko) 2020-08-13 2020-08-13 장치에 설치된 소프트웨어에 대한 악성 소프트웨어 판단 방법 및 장치

Country Status (1)

Country Link
KR (1) KR102180105B1 (ko)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20130078279A (ko) * 2011-12-30 2013-07-10 (주)이지서티 클라이언트 프로그램 기반 스마트폰 악성 어플 탐지 시스템 및 방법
KR101880686B1 (ko) * 2018-02-28 2018-07-20 에스지에이솔루션즈 주식회사 Ai 딥러닝 기반의 악성코드 탐지 시스템
KR20190010225A (ko) * 2017-07-21 2019-01-30 삼성에스디에스 주식회사 악성 트래픽 탐지 방법 및 그 장치
KR20190067820A (ko) * 2016-10-27 2019-06-17 비트데펜더 아이피알 매니지먼트 엘티디 컴퓨터 보안 작동을 최적화하기 위한 동적 명성 표시자
KR20200073824A (ko) * 2018-12-14 2020-06-24 한국인터넷진흥원 악성코드 프로파일링 방법 및 그 장치
KR20200076845A (ko) * 2018-12-20 2020-06-30 한국인터넷진흥원 악성코드 분석 시스템 및 그 시스템의 동작 방법

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20130078279A (ko) * 2011-12-30 2013-07-10 (주)이지서티 클라이언트 프로그램 기반 스마트폰 악성 어플 탐지 시스템 및 방법
KR20190067820A (ko) * 2016-10-27 2019-06-17 비트데펜더 아이피알 매니지먼트 엘티디 컴퓨터 보안 작동을 최적화하기 위한 동적 명성 표시자
KR20190010225A (ko) * 2017-07-21 2019-01-30 삼성에스디에스 주식회사 악성 트래픽 탐지 방법 및 그 장치
KR101880686B1 (ko) * 2018-02-28 2018-07-20 에스지에이솔루션즈 주식회사 Ai 딥러닝 기반의 악성코드 탐지 시스템
KR20200073824A (ko) * 2018-12-14 2020-06-24 한국인터넷진흥원 악성코드 프로파일링 방법 및 그 장치
KR20200076845A (ko) * 2018-12-20 2020-06-30 한국인터넷진흥원 악성코드 분석 시스템 및 그 시스템의 동작 방법

Similar Documents

Publication Publication Date Title
US10911479B2 (en) Real-time mitigations for unfamiliar threat scenarios
EP3776307B1 (en) Distributed system for adaptive protection against web-service-targeted vulnerability scanners
US10853488B2 (en) System and method for a security filewall system for protection of an information handling system
US11159556B2 (en) Predicting vulnerabilities affecting assets of an enterprise system
US10999311B2 (en) Risk score generation for assets of an enterprise system utilizing user authentication activity
US8627469B1 (en) Systems and methods for using acquisitional contexts to prevent false-positive malware classifications
US11784974B2 (en) Method and system for intrusion detection and prevention
US9832221B1 (en) Systems and methods for monitoring the activity of devices within an organization by leveraging data generated by an existing security solution deployed within the organization
US20220368706A1 (en) Attack Behavior Detection Method and Apparatus, and Attack Detection Device
CN112544054B (zh) 通过众包安全性解决方案自动生成威胁修复步骤
US20190349356A1 (en) Cybersecurity intelligence platform that predicts impending cyber threats and proactively protects heterogeneous devices using highly-scalable bidirectional secure connections in a federated threat intelligence environment
CN112789615A (zh) 基于提取的和访问的网络地址确定二进制软件代码中的安全风险
EP3238379B1 (en) Incident response tool using a data exchange layer system
KR102180105B1 (ko) 장치에 설치된 소프트웨어에 대한 악성 소프트웨어 판단 방법 및 장치
US20210157949A1 (en) Event data tagged with consent records
CA3234316A1 (en) Systems and methods for detecting malicious hands-on-keyboard activity via machine learning
US20190332507A1 (en) Burn process data retrieval and notification
KR102206493B1 (ko) 디바이스의 빅데이터에 기반하여 디바이스 관리 서비스를 제공하는 시스템
US20240089268A1 (en) Detecting malicious behavior from handshake protocols using machine learning
US20240106838A1 (en) Systems and methods for detecting malicious events
US10769586B2 (en) Implementation of rolling key to identify systems inventories
US11741225B2 (en) Zero day attack detection
US20230019807A1 (en) Secure distributed radio access networks
US11736510B2 (en) Domain security assurance automation
US11693651B1 (en) Static and dynamic correlation of software development pipeline events

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant