KR102202448B1 - 파일 내 악성 위협을 처리하는 인공지능 기반 장치, 그 방법 및 그 기록매체 - Google Patents
파일 내 악성 위협을 처리하는 인공지능 기반 장치, 그 방법 및 그 기록매체 Download PDFInfo
- Publication number
- KR102202448B1 KR102202448B1 KR1020190068511A KR20190068511A KR102202448B1 KR 102202448 B1 KR102202448 B1 KR 102202448B1 KR 1020190068511 A KR1020190068511 A KR 1020190068511A KR 20190068511 A KR20190068511 A KR 20190068511A KR 102202448 B1 KR102202448 B1 KR 102202448B1
- Authority
- KR
- South Korea
- Prior art keywords
- file
- active content
- malicious
- artificial intelligence
- characteristic information
- Prior art date
Links
- 238000013473 artificial intelligence Methods 0.000 title claims abstract description 108
- 238000000034 method Methods 0.000 title claims description 63
- 238000013145 classification model Methods 0.000 claims abstract description 73
- 238000013528 artificial neural network Methods 0.000 claims description 98
- 238000012545 processing Methods 0.000 claims description 44
- 230000008569 process Effects 0.000 claims description 32
- 238000007781 pre-processing Methods 0.000 claims description 30
- 238000010801 machine learning Methods 0.000 claims description 16
- 238000000605 extraction Methods 0.000 claims description 11
- 230000006870 function Effects 0.000 description 33
- 238000013527 convolutional neural network Methods 0.000 description 20
- 239000000284 extract Substances 0.000 description 19
- 239000003795 chemical substances by application Substances 0.000 description 11
- 238000004891 communication Methods 0.000 description 11
- 238000012549 training Methods 0.000 description 11
- 239000011159 matrix material Substances 0.000 description 10
- 238000001514 detection method Methods 0.000 description 6
- 238000005516 engineering process Methods 0.000 description 6
- 238000011176 pooling Methods 0.000 description 6
- 229960005486 vaccine Drugs 0.000 description 6
- 238000004422 calculation algorithm Methods 0.000 description 5
- 238000006243 chemical reaction Methods 0.000 description 5
- 238000010586 diagram Methods 0.000 description 5
- 241000282326 Felis catus Species 0.000 description 4
- 238000004458 analytical method Methods 0.000 description 4
- 230000006399 behavior Effects 0.000 description 4
- 238000004590 computer program Methods 0.000 description 4
- 230000007423 decrease Effects 0.000 description 4
- 238000013135 deep learning Methods 0.000 description 4
- 230000000694 effects Effects 0.000 description 4
- 210000002569 neuron Anatomy 0.000 description 4
- 244000035744 Hura crepitans Species 0.000 description 3
- 241000700605 Viruses Species 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 230000000052 comparative effect Effects 0.000 description 2
- 238000007405 data analysis Methods 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 238000001784 detoxification Methods 0.000 description 2
- 230000008451 emotion Effects 0.000 description 2
- 238000002372 labelling Methods 0.000 description 2
- 230000009467 reduction Effects 0.000 description 2
- 230000002441 reversible effect Effects 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 230000003542 behavioural effect Effects 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000033228 biological regulation Effects 0.000 description 1
- 239000003086 colorant Substances 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 230000003247 decreasing effect Effects 0.000 description 1
- 230000003111 delayed effect Effects 0.000 description 1
- 238000003745 diagnosis Methods 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 230000003211 malignant effect Effects 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000001537 neural effect Effects 0.000 description 1
- 230000003472 neutralizing effect Effects 0.000 description 1
- 238000005457 optimization Methods 0.000 description 1
- 230000002250 progressing effect Effects 0.000 description 1
- 230000000306 recurrent effect Effects 0.000 description 1
- 230000003252 repetitive effect Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 230000011218 segmentation Effects 0.000 description 1
- 238000000926 separation method Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000013526 transfer learning Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/0464—Convolutional networks [CNN, ConvNet]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
- G06N3/084—Backpropagation, e.g. using gradient descent
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Health & Medical Sciences (AREA)
- Biomedical Technology (AREA)
- Evolutionary Computation (AREA)
- Computational Linguistics (AREA)
- Molecular Biology (AREA)
- Computing Systems (AREA)
- Biophysics (AREA)
- Data Mining & Analysis (AREA)
- Mathematical Physics (AREA)
- Artificial Intelligence (AREA)
- Life Sciences & Earth Sciences (AREA)
- Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
본 발명은 파일 내 악성 위협을 처리하는 인공지능 기반 장치에 관한 것으로 적어도 둘 이상의 인공지능 기반 분류 모델을 이용하여 파일 및 액티브 콘텐트의 악성 위협 여부를 판별하여 분류하고 분류한 성과를 파악할 수 있는 기술을 제공한다.
Description
본 발명은 파일 내 악성 위협을 처리하는 인공지능 기반 장치, 그 방법 및 그 기록매체에 관한 것이다.
악성코드는 컴퓨터 시스템에서 사용자의 의사에 반하여 악의적 활동이 수행될 수 있도록 설계된 소프트웨어로서, 자기 복제 능력과 감염 대상 유무에 따라 바이러스(virus), Worm, Trojanhorse 등으로 분류될 수 있다. 이러한 악성코드는 과거에 비해 그 수가 급격히 증가하는 추세인 바, 효과적인 악성코드 진단 및 치료의 필요성도 점점 더 커지고 있다.
최근에는 기업 및 개인의 보안인식이 높아지면서 기존의 실행파일 형태의 악성 위협 공격에 대한 성공률이 낮아지고 있으나, 이에 공격자들은 기존 종래기술과 같은 보안환경을 무력화시키거나, 우회하기 위하여 알려지지 않은 방식으로 지능화된 공격을 시도하고 있는 실정이다. 이러한 공격은 마이크로소프트 오피스 계열, 한글 계열 등의 문서파일과 같은 파일의 취약점을 이용하여 파일 내 악성코드를 삽입하는 공격까지 이루어지고 있다.
일반적인 사내 네트워크는 다수의 이용자에게 빈번하게 사용되기 때문에, 사용자에게 필요한 액티브 콘텐트 외에 악의적으로 심어진 바이러스나 랜섬웨어와 같은 각종 유해한 액티브 콘텐트나 코드 등(이하 '유해한 액티브 콘텐트'라 통칭함)은 사내 네트워크 내에서 매우 빠른 속도로 전염된다.
액티브 콘텐트들은 종종 사용자들에게 필요한 정보를 담은 멀티미디어 파일(예를 들면 워드파일, PDF문서, 그림파일, PPT파일, 엑셀파일, 이미지파일 등)에 심어진 상태로 유통되면서 신속히 확산될 수 있다. 그래서 멀티미디어 파일에 대한 보안 시스템의 도입이 필요하다.
멀티미디어 파일은 주로 이메일, 웹사이트 다운로드, USB메모리와 같은 기록매체, 사내 네트워크에 접속되어 있는 컴퓨터(개인용 PC나 스마트폰 또는 서버용 컴퓨터를 모두 포함함)로부터 유입될 수 있다. 이에 따라서 멀티미디어 파일의 수신 경로마다 최적화된 다양한 보안수단들이 구축되어 있다. 예를 들어, 이메일에 의한 수신 경로에는 스팸메일이나 악성코드를 가지는 메일 등을 처리하는 메일 보안수단이 구비되고, 웹사이트 다운로드에 따른 수신 경로에는 백신이 동작하며, 기록매체에 의한 수신 경로에는 매체제어수단이 구비된다. 그리고 컴퓨터간 수신 경로에는 망분리수단이 구비될 수 있다.
멀티미디어 파일에 액티브 콘텐트가 심어진 경우에, 백신은 액티브 콘텐트의 패턴매칭을 통해 해당 액티브 콘텐트의 유해성 여부를 확인하였으나, 이러한 방법의 경우 백신은 후행성을 보이는 한계가 있어 변종이나 신종 악성 프로그램을 가려낼 수는 없었다.
또한, 멀티미디어 파일에 직접적으로 악성 프로그램이 포함되어 있지 않고 매크로 등을 이용하여 사용자가 해당 멀티미디어 파일을 열람할 시, 매크로에 의해 악성 프로그램을 다운로드하여 실행하게 되면 액티브 콘텐트는 해당 멀티미디어 파일의 정상적인 기능이므로 패턴 기반으로 해당 멀티미디어 파일의 유해성을 탐지하기가 어렵고, 이러한 공격은 매크로 코드의 조작만으로 새로운 형태가 되기 때문에 지속적으로 신규 위협으로 기능하므로, 패턴매칭만으로는 대응하기가 어렵다. 또한, 샌드박스(sandbox) 기반의 행위분석 역시 악성코드가 포함된 파일이 한 번은 실행되어야 의심행위를 분석 할 수 있기 때문에 제로데이(zero day) 공격, 랜섬웨어(ransomware) 공격 등은 막기 어렵다. 그리고, 특정 이벤트에서 실행되거나 지연실행 등의 우회 방법이 지속적으로 등장하고 있어, 알려진 악성코드 기반으로 방어하는 기존의 보안환경에 대한 문제가 계속적으로 언급되고 있는 실정이다. 그리고 일부의 랜섬웨어는 이메일 본문의 링크를 사용하여 백신이나 샌드박스를 우회하기도 하는 등 기존의 백신이나 샌드박스에 의한 보안이 무력화되고 있는 실정이다.
이러한 제로데이 공격에 대응하기 위하여 다양한 방법이 제시되고 있으나, 최근 인공지능 분야가 발달됨에 따라 이를 인공지능에 응용하고자 하는 시도가 나타나고 있다. 이와 관련한 종래 기술로는 등록특허 10-1880686호 등이 있다. 구체적으로 위 종래 기술은 악성코드가 담긴 파일의 특성을 추출하고 이를 기반으로 기계학습을 이용하여 생성한 모델을 이용하여 신종 악성코드를 탐지하는 기술이다.
다만, 이러한 시도는 단순히 악성코드 자체에 대한 탐지 시도에 머물고 있어 신뢰 가능한 수준의 탐지 성능을 보여주지 못하고 있으며, 파일이 실행되어도 곧바로 악성코드가 실행되지 않는 등 이를 우회하는 악성코드가 증가하고 있다.
따라서, 인공지능을 응용하여 파일 내 악성코드를 탐지하는 기술을 보완하는 기술이 요구되고 있는 실정이다.
한편, CDR(Content Disarm & Reconstruction)이라는 일종의 콘텐트 무해화 수단이 등장하였다. CDR은 멀티미디어 파일의 구조를 분석하여 액티브 콘텐트 영역을 추출하고, 이를 제거한 상태에서 해당 멀티미디어 파일을 수신자에게 전달한다. 그로 인해 사용자의 컴퓨터는 안전한 상태의 멀티미디어 파일을 수신할 수 있게 되었다.
이와 관련한 종래기술로는 등록특허 10-1851233호에 개시된 파일 내 포함된 악성 위협 탐지 장치에 관한 발명이 있다. 이는 악성코드 시그니처를 받아 악성 위협여부를 판별하고자 하는 파일에 대하여 기존에 공지된 악성 위협 포함 여부를 일차적으로 필터링하고, 필터링 되지 않은 파일은 액티브 콘텐트를 추출한 뒤 액티브 콘텐트의 유사성 분석을 통해 유사 액티브 콘텐트를 포함하는 파일별로 그룹화하며, 다수개의 파일 내 높은 빈도로 포함된 유사 액티브 콘텐트의 악성 여부 판별을 통해 악성으로 판별된 액티브 콘텐트를 포함하는 파일 및 해당 파일이 속한 그룹의 파일들을 악성 위협 파일로 판단하면서 해당 악성 위협을 새로운 악성코드 시그니처로 생성한다. 이때, 이렇게 생성된 새로운 악성코드 시그니처는 지속적으로 시그니처 저장부에 업데이트되어 알려진 악성 위협뿐만 아니라 알려지지 않은 악성 위협에 대한 위협정보를 구축하고, 악성 위협 탐지율을 높일 수 있는 효과가 있다.
다만 위와 같은 종래기술은 액티브 콘텐트의 유사성을 분석함에 있어서, 특정 패턴을 설정하고 이러한 패턴을 감지하는 알고리즘을 구성하는 방식이므로, 신종악성 위협에 대응하기 위해서는 수동으로 패턴 및 알고리즘을 변경해야 했다. 따라서 유지 보수에 있어 난점이 있었다. 그리고 다른 신종 보안수단과 마찬가지로 CDR의 도입에 따른 효과를 확인할 수 있는 방법이 없어 CDR의 도입 성과를 파악할 수 있는 기술이 요구되어 왔다.
최근에는 기업 및 개인의 보안인식이 높아지면서 기존의 실행파일 형태의 악성 위협 공격에 대한 성공률이 낮아지고 있으나, 이에 공격자들은 기존 종래기술과 같은 보안환경을 무력화시키거나, 우회하기 위하여 알려지지 않은 방식으로 지능화된 공격을 시도하고 있는 실정이다. 이러한 공격은 마이크로소프트 오피스 계열, 한글 계열 등의 문서파일과 같은 파일의 취약점을 이용하여 파일 내 악성코드를 삽입하는 공격까지 이루어지고 있다.
일반적인 사내 네트워크는 다수의 이용자에게 빈번하게 사용되기 때문에, 사용자에게 필요한 액티브 콘텐트 외에 악의적으로 심어진 바이러스나 랜섬웨어와 같은 각종 유해한 액티브 콘텐트나 코드 등(이하 '유해한 액티브 콘텐트'라 통칭함)은 사내 네트워크 내에서 매우 빠른 속도로 전염된다.
액티브 콘텐트들은 종종 사용자들에게 필요한 정보를 담은 멀티미디어 파일(예를 들면 워드파일, PDF문서, 그림파일, PPT파일, 엑셀파일, 이미지파일 등)에 심어진 상태로 유통되면서 신속히 확산될 수 있다. 그래서 멀티미디어 파일에 대한 보안 시스템의 도입이 필요하다.
멀티미디어 파일은 주로 이메일, 웹사이트 다운로드, USB메모리와 같은 기록매체, 사내 네트워크에 접속되어 있는 컴퓨터(개인용 PC나 스마트폰 또는 서버용 컴퓨터를 모두 포함함)로부터 유입될 수 있다. 이에 따라서 멀티미디어 파일의 수신 경로마다 최적화된 다양한 보안수단들이 구축되어 있다. 예를 들어, 이메일에 의한 수신 경로에는 스팸메일이나 악성코드를 가지는 메일 등을 처리하는 메일 보안수단이 구비되고, 웹사이트 다운로드에 따른 수신 경로에는 백신이 동작하며, 기록매체에 의한 수신 경로에는 매체제어수단이 구비된다. 그리고 컴퓨터간 수신 경로에는 망분리수단이 구비될 수 있다.
멀티미디어 파일에 액티브 콘텐트가 심어진 경우에, 백신은 액티브 콘텐트의 패턴매칭을 통해 해당 액티브 콘텐트의 유해성 여부를 확인하였으나, 이러한 방법의 경우 백신은 후행성을 보이는 한계가 있어 변종이나 신종 악성 프로그램을 가려낼 수는 없었다.
또한, 멀티미디어 파일에 직접적으로 악성 프로그램이 포함되어 있지 않고 매크로 등을 이용하여 사용자가 해당 멀티미디어 파일을 열람할 시, 매크로에 의해 악성 프로그램을 다운로드하여 실행하게 되면 액티브 콘텐트는 해당 멀티미디어 파일의 정상적인 기능이므로 패턴 기반으로 해당 멀티미디어 파일의 유해성을 탐지하기가 어렵고, 이러한 공격은 매크로 코드의 조작만으로 새로운 형태가 되기 때문에 지속적으로 신규 위협으로 기능하므로, 패턴매칭만으로는 대응하기가 어렵다. 또한, 샌드박스(sandbox) 기반의 행위분석 역시 악성코드가 포함된 파일이 한 번은 실행되어야 의심행위를 분석 할 수 있기 때문에 제로데이(zero day) 공격, 랜섬웨어(ransomware) 공격 등은 막기 어렵다. 그리고, 특정 이벤트에서 실행되거나 지연실행 등의 우회 방법이 지속적으로 등장하고 있어, 알려진 악성코드 기반으로 방어하는 기존의 보안환경에 대한 문제가 계속적으로 언급되고 있는 실정이다. 그리고 일부의 랜섬웨어는 이메일 본문의 링크를 사용하여 백신이나 샌드박스를 우회하기도 하는 등 기존의 백신이나 샌드박스에 의한 보안이 무력화되고 있는 실정이다.
이러한 제로데이 공격에 대응하기 위하여 다양한 방법이 제시되고 있으나, 최근 인공지능 분야가 발달됨에 따라 이를 인공지능에 응용하고자 하는 시도가 나타나고 있다. 이와 관련한 종래 기술로는 등록특허 10-1880686호 등이 있다. 구체적으로 위 종래 기술은 악성코드가 담긴 파일의 특성을 추출하고 이를 기반으로 기계학습을 이용하여 생성한 모델을 이용하여 신종 악성코드를 탐지하는 기술이다.
다만, 이러한 시도는 단순히 악성코드 자체에 대한 탐지 시도에 머물고 있어 신뢰 가능한 수준의 탐지 성능을 보여주지 못하고 있으며, 파일이 실행되어도 곧바로 악성코드가 실행되지 않는 등 이를 우회하는 악성코드가 증가하고 있다.
따라서, 인공지능을 응용하여 파일 내 악성코드를 탐지하는 기술을 보완하는 기술이 요구되고 있는 실정이다.
한편, CDR(Content Disarm & Reconstruction)이라는 일종의 콘텐트 무해화 수단이 등장하였다. CDR은 멀티미디어 파일의 구조를 분석하여 액티브 콘텐트 영역을 추출하고, 이를 제거한 상태에서 해당 멀티미디어 파일을 수신자에게 전달한다. 그로 인해 사용자의 컴퓨터는 안전한 상태의 멀티미디어 파일을 수신할 수 있게 되었다.
이와 관련한 종래기술로는 등록특허 10-1851233호에 개시된 파일 내 포함된 악성 위협 탐지 장치에 관한 발명이 있다. 이는 악성코드 시그니처를 받아 악성 위협여부를 판별하고자 하는 파일에 대하여 기존에 공지된 악성 위협 포함 여부를 일차적으로 필터링하고, 필터링 되지 않은 파일은 액티브 콘텐트를 추출한 뒤 액티브 콘텐트의 유사성 분석을 통해 유사 액티브 콘텐트를 포함하는 파일별로 그룹화하며, 다수개의 파일 내 높은 빈도로 포함된 유사 액티브 콘텐트의 악성 여부 판별을 통해 악성으로 판별된 액티브 콘텐트를 포함하는 파일 및 해당 파일이 속한 그룹의 파일들을 악성 위협 파일로 판단하면서 해당 악성 위협을 새로운 악성코드 시그니처로 생성한다. 이때, 이렇게 생성된 새로운 악성코드 시그니처는 지속적으로 시그니처 저장부에 업데이트되어 알려진 악성 위협뿐만 아니라 알려지지 않은 악성 위협에 대한 위협정보를 구축하고, 악성 위협 탐지율을 높일 수 있는 효과가 있다.
다만 위와 같은 종래기술은 액티브 콘텐트의 유사성을 분석함에 있어서, 특정 패턴을 설정하고 이러한 패턴을 감지하는 알고리즘을 구성하는 방식이므로, 신종악성 위협에 대응하기 위해서는 수동으로 패턴 및 알고리즘을 변경해야 했다. 따라서 유지 보수에 있어 난점이 있었다. 그리고 다른 신종 보안수단과 마찬가지로 CDR의 도입에 따른 효과를 확인할 수 있는 방법이 없어 CDR의 도입 성과를 파악할 수 있는 기술이 요구되어 왔다.
본 발명은 제로데이 위협에 대응하여 탐지율을 높인 보안수단을 도입하고, 도입된 보안수단의 성과를 파악할 수 있는 인공지능 기반 장치를 제공하기 위한 목적을 가진다.
본 발명인 파일 내 악성 위협을 처리하는 인공지능 기반 장치는 다양한 유입채널로부터 멀티미디어 파일(이하 '파일'이라 함)을 통합적으로 수신하는 파일수신부;상기 파일수신부에서 수신된 상기 파일로부터 사전에 정의한 대로 파일 특성정보를 선택적으로 추출하는 제1전처리부; 수시로 갱신되는 제1 인공지능 분류 모델을 이용하여, 상기 제1전처리부에서 추출된 상기 파일 특성정보를 통해 상기 파일에 대한 악성 여부를 분류하는 파일분류부; 상기 파일분류부에서 정상으로 분류된 정상 파일에 한해서 액티브 콘텐트를 추출하는 액티브콘텐트추출부; 상기 액티브콘텐트추출부에서 추출된 액티브 콘텐트로부터 사전에 정의한 대로 액티브 콘텐트 특성정보를 선택적으로 추출하는 제2전처리부; 및 수시로 갱신되는 제2 인공지능 분류 모델을 이용하여, 상기 제2전처리부에서 추출된 상기 액티브 콘텐트 특성정보를 통해 상기 액티브 콘텐트에 대한 악성 여부를 분류하는 액티브콘텐트분류부;를 포함하고, 상기 제1 인공지능 분류 모델은 악성 여부가 사전에 분류된 샘플 멀티미디어 파일(이하 '샘플 파일'이라 함)의 특성정보 및 상기 샘플 파일의 악성 여부에 대한 레이블값을 이용하여 심층신경망을 기계학습시켜 생성되고, 상기 제2 인공지능 분류 모델은 악성 여부가 사전에 분류된 샘플 액티브 콘텐트의 특성정보 및 상기 샘플 액티브 콘텐트의 악성 여부에 대한 레이블값을 이용하여 심층신경망을 기계학습시켜 생성된다. 여기서, 상기 파일 특성정보는 멀티미디어 파일의 소스코드, 명칭, 경로, 해시값, 메타정보, 프로세스 ID, 구조 정보, 파일 인덱스, 코드섹션 크기, 헤더 크기, 데이터 섹션 크기 또는 파일에서 추출될 수 있는 액티브 콘텐트 실행 로그 중 적어도 하나를 포함하고, 상기 액티브 콘텐트 특성정보는 액티브 콘텐트의 소스코드, 명칭, 경로, 해시값, 메타정보, 프로세스 ID, 구조 정보, 코드섹션 크기, 헤더 크기, 데이터 섹션 크기 또는 액티브 콘텐트에서 추출될 수 있는 액티브 콘텐트 실행 로그 중 적어도 하나를 포함한다.
본 발명인 파일 내 악성 위협을 처리하는 인공지능 기반 장치는 제1예측분류정보 및 제2예측분류정보를 대조하여 상기 액티브콘텐트분류부의 성과에 대한 성과정보를 생성하는 대조부; 및 상기 성과정보를 사용자에게 출력하기 위한 인터페이스를 제공하는 인터페이스제공부;를 더 포함하고, 상기 파일분류부는 상기 파일 특성정보가 상기 제1 인공지능 분류 모델로 입력되어 출력되는 제1 예측값에 따라 상기 파일의 악성 여부에 대한 상기 제1예측분류정보를 생성하고, 상기 액티브콘텐트분류부는 상기 액티브 콘텐트 특성정보가 상기 제2 인공지능 분류 모델로 입력되어 출력되는 제2 예측값에 따라 상기 액티브 콘텐트의 악성 여부에 대한 상기 제2 예측분류정보를 생성할 수 있다.
본 발명인 파일 내 악성 위협을 처리하는 인공지능 기반 장치는 상기 정상 파일로부터 추출된 상기 액티브 콘텐트를 상기 정상 파일에서 무해화하여 변환 파일을 생성하는 보안처리를 수행하는 액티브콘텐트처리부를 더 포함할 수 있다.
상기 액티브콘텐트분류부에서 악성으로 분류된 상기 액티브콘텐트를 선별하여 상기 보안처리를 수행하는 보안정책 설정여부를 사용자로부터 입력받기 위한 인터페이스를 제공하는 인터페이스제공부를 더 포함하고, 상기 액티브콘텐트처리부는 상기 보안정책에 기초하여 상기 보안처리를 수행할 수 있다.
본 발명인 파일 내 악성 위협을 처리하는 인공지능 기반 장치는 상기 정상 파일, 상기 액티브콘텐트처리부에서 생성된 변환 파일 및 상기 액티브 콘텐트를 저장하는 저장부를 더 포함할 수 있다.
본 발명인 파일 내 악성 위협을 처리하는 인공지능 기반 방법은 다양한 유입채널로부터 멀티미디어 파일(이하 '파일'이라 함)이 통합적으로 수신되는 파일수신단계; 상기 파일수신단계에서 수신된 상기 파일로부터 사전에 정의한 대로 파일 특성정보가 선택적으로 추출되는 제1전처리단계; 수시로 갱신되는 제1 인공지능 분류 모델을 이용하여, 상기 제1전처리부에서 추출된 상기 파일 특성정보를 통해 상기 파일에 대한 악성 여부가 분류되는 파일분류단계; 상기 파일분류단계에서 정상으로 분류된 정상 파일에 한해서 액티브 콘텐트를 추출하는 액티브콘텐트추출단계; 상기 액티브콘텐트추출단계에서 추출된 액티브 콘텐트로부터 사전에 정의한 대로 액티브 콘텐트 특성정보가 선택적으로 추출되는 제2전처리단계; 및 수시로 갱신되는 제2 인공지능 분류 모델을 이용하여, 상기 제2전처리단계에서 추출된 상기 액티브 콘텐트 특성정보를 통해 상기 액티브 콘텐트에 대한 악성 여부가 분류되는 액티브콘텐트분류단계;를 포함하는 상기 제1 인공지능 분류 모델은 악성 여부가 사전에 분류된 샘플 멀티미디어 파일(이하 '샘플 파일'이라 함)의 특성정보 및 상기 샘플 파일의 악성 여부에 대한 레이블값을 이용하여 심층신경망을 기계학습시켜 생성되고, 상기 제2 인공지능 분류 모델은 악성 여부가 사전에 분류된 샘플 액티브 콘텐트의 특성정보 및 상기 샘플 액티브 콘텐트의 악성 여부에 대한 레이블값을 이용하여 심층신경망을 기계학습시켜 생성된다. 여기서, 상기 파일 특성정보는 멀티미디어 파일의 소스코드, 명칭, 경로, 해시값, 메타정보, 프로세스 ID, 구조 정보, 파일 인덱스, 코드섹션 크기, 헤더 크기, 데이터 섹션 크기 또는 파일에서 추출될 수 있는 액티브 콘텐트 실행 로그 중 적어도 하나를 포함하고, 상기 액티브 콘텐트 특성정보는 액티브 콘텐트의 소스코드, 명칭, 경로, 해시값, 메타정보, 프로세스 ID, 구조 정보, 코드섹션 크기, 헤더 크기, 데이터 섹션 크기 또는 액티브 콘텐트에서 추출될 수 있는 액티브 콘텐트 실행 로그 중 적어도 하나를 포함한다.
아울러, 이러한 목적을 달성하기 위하여 본 발명의 일 실시예에 따른 컴퓨터 판독 가능 기록매체에는 상술한 방법을 수행하는 프로그램을 기록되어 있다.
본 발명인 파일 내 악성 위협을 처리하는 인공지능 기반 장치는 제1예측분류정보 및 제2예측분류정보를 대조하여 상기 액티브콘텐트분류부의 성과에 대한 성과정보를 생성하는 대조부; 및 상기 성과정보를 사용자에게 출력하기 위한 인터페이스를 제공하는 인터페이스제공부;를 더 포함하고, 상기 파일분류부는 상기 파일 특성정보가 상기 제1 인공지능 분류 모델로 입력되어 출력되는 제1 예측값에 따라 상기 파일의 악성 여부에 대한 상기 제1예측분류정보를 생성하고, 상기 액티브콘텐트분류부는 상기 액티브 콘텐트 특성정보가 상기 제2 인공지능 분류 모델로 입력되어 출력되는 제2 예측값에 따라 상기 액티브 콘텐트의 악성 여부에 대한 상기 제2 예측분류정보를 생성할 수 있다.
본 발명인 파일 내 악성 위협을 처리하는 인공지능 기반 장치는 상기 정상 파일로부터 추출된 상기 액티브 콘텐트를 상기 정상 파일에서 무해화하여 변환 파일을 생성하는 보안처리를 수행하는 액티브콘텐트처리부를 더 포함할 수 있다.
상기 액티브콘텐트분류부에서 악성으로 분류된 상기 액티브콘텐트를 선별하여 상기 보안처리를 수행하는 보안정책 설정여부를 사용자로부터 입력받기 위한 인터페이스를 제공하는 인터페이스제공부를 더 포함하고, 상기 액티브콘텐트처리부는 상기 보안정책에 기초하여 상기 보안처리를 수행할 수 있다.
본 발명인 파일 내 악성 위협을 처리하는 인공지능 기반 장치는 상기 정상 파일, 상기 액티브콘텐트처리부에서 생성된 변환 파일 및 상기 액티브 콘텐트를 저장하는 저장부를 더 포함할 수 있다.
본 발명인 파일 내 악성 위협을 처리하는 인공지능 기반 방법은 다양한 유입채널로부터 멀티미디어 파일(이하 '파일'이라 함)이 통합적으로 수신되는 파일수신단계; 상기 파일수신단계에서 수신된 상기 파일로부터 사전에 정의한 대로 파일 특성정보가 선택적으로 추출되는 제1전처리단계; 수시로 갱신되는 제1 인공지능 분류 모델을 이용하여, 상기 제1전처리부에서 추출된 상기 파일 특성정보를 통해 상기 파일에 대한 악성 여부가 분류되는 파일분류단계; 상기 파일분류단계에서 정상으로 분류된 정상 파일에 한해서 액티브 콘텐트를 추출하는 액티브콘텐트추출단계; 상기 액티브콘텐트추출단계에서 추출된 액티브 콘텐트로부터 사전에 정의한 대로 액티브 콘텐트 특성정보가 선택적으로 추출되는 제2전처리단계; 및 수시로 갱신되는 제2 인공지능 분류 모델을 이용하여, 상기 제2전처리단계에서 추출된 상기 액티브 콘텐트 특성정보를 통해 상기 액티브 콘텐트에 대한 악성 여부가 분류되는 액티브콘텐트분류단계;를 포함하는 상기 제1 인공지능 분류 모델은 악성 여부가 사전에 분류된 샘플 멀티미디어 파일(이하 '샘플 파일'이라 함)의 특성정보 및 상기 샘플 파일의 악성 여부에 대한 레이블값을 이용하여 심층신경망을 기계학습시켜 생성되고, 상기 제2 인공지능 분류 모델은 악성 여부가 사전에 분류된 샘플 액티브 콘텐트의 특성정보 및 상기 샘플 액티브 콘텐트의 악성 여부에 대한 레이블값을 이용하여 심층신경망을 기계학습시켜 생성된다. 여기서, 상기 파일 특성정보는 멀티미디어 파일의 소스코드, 명칭, 경로, 해시값, 메타정보, 프로세스 ID, 구조 정보, 파일 인덱스, 코드섹션 크기, 헤더 크기, 데이터 섹션 크기 또는 파일에서 추출될 수 있는 액티브 콘텐트 실행 로그 중 적어도 하나를 포함하고, 상기 액티브 콘텐트 특성정보는 액티브 콘텐트의 소스코드, 명칭, 경로, 해시값, 메타정보, 프로세스 ID, 구조 정보, 코드섹션 크기, 헤더 크기, 데이터 섹션 크기 또는 액티브 콘텐트에서 추출될 수 있는 액티브 콘텐트 실행 로그 중 적어도 하나를 포함한다.
아울러, 이러한 목적을 달성하기 위하여 본 발명의 일 실시예에 따른 컴퓨터 판독 가능 기록매체에는 상술한 방법을 수행하는 프로그램을 기록되어 있다.
본 발명은 다음과 같은 효과가 있다.
첫째, 파일 기반 인공지능 분류 모델의 분류 결과와 액티브 콘텐트 기반 인공지능 분류 모델의 분류 결과를 대비함으로써, 액티브 콘텐트 기반 인공지능 분류 모델의 성과를 확인할 수 있다.
둘째, 적어도 둘 이상의 인공지능 분류 모델을 이용한 보안수단인 본 발명을 통해 제로데이 위협에 대응함으로써, 제1 인공지능 분류 모델에서 파악하지 못한 악성 액티브 콘텐트라도 제2 인공지능 분류 모델을 통해 분류하는 보안조치를 통해 대응할 수 있다.
첫째, 파일 기반 인공지능 분류 모델의 분류 결과와 액티브 콘텐트 기반 인공지능 분류 모델의 분류 결과를 대비함으로써, 액티브 콘텐트 기반 인공지능 분류 모델의 성과를 확인할 수 있다.
둘째, 적어도 둘 이상의 인공지능 분류 모델을 이용한 보안수단인 본 발명을 통해 제로데이 위협에 대응함으로써, 제1 인공지능 분류 모델에서 파악하지 못한 악성 액티브 콘텐트라도 제2 인공지능 분류 모델을 통해 분류하는 보안조치를 통해 대응할 수 있다.
도 1은 본 발명의 일 실시예에서 이용되는 컨볼루션 뉴럴 네트워크에 대한 개념도이다.
도 2는 본 발명의 일 실시예인 파일 내 악성 위협을 처리하는 인공지능 기반 장치에 대한 블록도이다.
도 3은 본 발명의 일 실시예인 파일 내 악성 위협을 처리하는 인공지능 기반 시스템에 대한 개념도이다.
도 4는 본 발명의 일 실시예인 파일 내 악성 위협을 처리하는 인공지능 기반 방법에 대한 순서도이다.
도 2는 본 발명의 일 실시예인 파일 내 악성 위협을 처리하는 인공지능 기반 장치에 대한 블록도이다.
도 3은 본 발명의 일 실시예인 파일 내 악성 위협을 처리하는 인공지능 기반 시스템에 대한 개념도이다.
도 4는 본 발명의 일 실시예인 파일 내 악성 위협을 처리하는 인공지능 기반 방법에 대한 순서도이다.
본 발명의 바람직한 실시예에 대하여 더 구체적으로 설명하되, 이미 주지된 기술적 부분에 대해서는 설명의 간결함을 위해 생략하거나 압축하기로 한다.
본 명세서에서 사용되는 용어 "장치" "부", "수단", "시스템" "기능" 등은 컴퓨터-관련 엔티티, 하드웨어, 펌웨어, 소프트웨어, 소프트웨어 및 하드웨어의 조합, 또는 소프트웨어의 실행을 지칭한다. 예를 들어, "기능"은 프로세서상에서 실행되는 처리과정(procedure), 프로세서, 객체, 실행 스레드, 프로그램, 및/또는 컴퓨터일 수 있지만, 이들로 제한되는 것은 아니다. 예를 들어, 컴퓨팅 장치에서 실행되는 애플리케이션 및 컴퓨팅 장치 모두 기능일 수 있다. 하나 이상의 기능은 프로세서 및/또는 실행 스레드 내에 상주할 수 있다. 일 기능은 하나의 컴퓨터 내에 로컬화 될 수 있다. 일 기능은 2개 이상의 컴퓨터들 사이에 분배될 수 있다. 또한, 이러한 기능들은 그 내부에 저장된 다양한 데이터 구조들을 갖는 다양한 컴퓨터 판독가능한 매체로부터 실행할 수 있다. 기능들은 예를 들어 하나 이상의 데이터 패킷들을 갖는 신호(예를 들면, 로컬 시스템, 분산 시스템에서 다른 기능들과 상호작용하는 하나의 기능으로부터의 데이터 및/또는 신호를 통해 다른 시스템과 인터넷과 같은 네트워크를 통해 전송되는 데이터)에 따라 로컬 및/또는 원격 처리들을 통해 통신할 수 있다.
더불어, 용어 "또는"은 배타적 "또는"이 아니라 내포적 "또는"을 의미하는 것으로 의도된다. 즉, 달리 특정되지 않거나 문맥상 명확하지 않은 경우에, "X는 A 또는 B를 이용한다"는 자연적인 내포적 치환 중 하나를 의미하는 것으로 의도된다. 즉, X가 A를 이용하거나; X가 B를 이용하거나; 또는 X가 A 및 B 모두를 이용하는 경우, "X는 A 또는 B를 이용한다"가 이들 경우들 어느 것으로도 적용될 수 있다. 또한, 본 명세서에 사용된 "및/또는"이라는 용어는 열거된 관련 아이템들 중 하나 이상의 아이템의 가능한 모든 조합을 지칭하고 포함하는 것으로 이해되어야 한다.
당업자들은 추가적으로 여기서 개시된 실시예들과 관련되어 설명된 다양한 예시적 논리적 블록들, 구성들, 모듈들, 회로들, 수단들, 로직들, 및 알고리즘 단계들이 전자 하드웨어, 컴퓨터 소프트웨어, 또는 양쪽 모두의 조합들로 구현될 수 있음을 인식해야 한다. 하드웨어 및 소프트웨어의 상호교환성을 명백하게 예시하기 위해, 다양한 예시적 컴포넌트들, 블록들, 구성들, 수단들, 로직들, 모듈들, 회로들, 및 단계들은 그들의 기능성 측면에서 일반적으로 위에서 설명되었다. 그러한 기능성이 하드웨어로 또는 소프트웨어로서 구현되는지 여부는 전반적인 시스템에 부과된 특정 어플리케이션(application) 및 설계 제한들에 달려 있다. 숙련된 기술자들은 각각의 특정 어플리케이션들을 위해 다양한 방법들로 설명된 기능성을 구현할 수 있다. 다만, 그러한 구현의 결정들이 본 개시내용의 영역을 벗어나게 하는 것으로 해석되어서는 안된다.
본 발명의 파일 내 악성 위협을 처리하는 인공지능 기반 시스템 등에 포함되는 컴퓨터 장치, 파일 내 악성 위협을 처리하는 인공지능 기반 장치를 구현하는 컴퓨터 장치 또는 파일 내 악성 위협을 처리하는 인공지능 기반 방법을 수행하는 프로그램을 판독하는 컴퓨터 장치에 있어서, 컴퓨터 장치의 프로세서는 하나 이상의 코어로 구성될 수 있으며, 컴퓨팅 장치의 중앙 처리 장치(CPU: centralprocessing unit), 범용 그래픽 처리 장치(GPGPU: general purpose graphics processing unit), 텐서 처리 장치(TPU: tensor processing unit), 모바일 단말의 어플리케이션 프로세서(AP: application processor)등의 데이터 분석, 딥러닝을 위한 모든 종류의 프로세서를 포함할 수 있다. 프로세서는 메모리에 저장된 컴퓨터 프로그램을 판독하여 본 발명의 일 실시예에 따른 파일 내 악성 위협을 처리하는 인공지능 기반 방법을 수행할 수 있다.
본 명세서에 걸쳐, 심층신경망, 네트워크 함수, 뉴럴 네트워크(neural network)는 동일한 의미로 사용될 수 있다.
본 발명의 일 실시예에 따라 프로세서는 심층신경망의 학습을 위한 계산을 수행할 수 있다. 프로세서는 딥러닝(DN: deeplearning)에서 학습을 위한 입력 데이터의 처리, 입력 데이터에서의 특성(피처(feature)) 추출, 오차 계산, 역전파(backpropagation)를 이용한 심층신경망의 가중치 갱신 등의 심층신경망의 학습을 위한 계산을 수행할 수 있다. 프로세서의 CPU, GPGPU, 및 TPU 중 적어도 하나가 네트워크 함수의 학습을 처리할 수 있다. 예를 들어, CPU와 GPGPU가 함께 네트워크 함수의 학습, 네트워크 함수를 이용한 데이터 분류를 처리할 수 있다. 또한, 본 발명의 일 실시예에서 복수의 컴퓨팅 장치의 프로세서를 함께 사용하여 네트워크 함수의 학습, 네트워크 함수를 이용한 데이터 분석을 처리할 수 있다. 또한, 본 발명의 일 실시예에 따른 컴퓨팅 장치에서 수행되는 컴퓨터 프로그램은 CPU, GPGPU, TPU 또는 AP 실행가능 프로그램일 수 있다.
상술한 컴퓨팅 장치는 CPU, GPGPU, TPU 및 AP 중 적어도 하나를 이용하여 네트워크 함수를 분산하여 처리할 수 있다. 또한 본 발명의 일 실시예에서 컴퓨팅 장치는 다른 컴퓨팅 장치와 함께 네트워크 함수를 분산하여 처리할 수 있다.
본 발명의 일 실시예에서 인공지능 분류 모델을 이용하여 분류되는 액티브 콘텐트를 포함하는 멀티미디어 파일은 컴퓨팅 장치의 저장 매체에 저장된 파일 및/또는 통신 모듈에 의하여 데이터 베이스 등 다른 컴퓨팅 장치로부터 전송된 파일일 수 있다. 또한 본 발명의 일 실시예에서 인공지능 분류 모델을 이용하여 분류되는 액티브 콘텐트를 포함하는 멀티미디어 파일은 컴퓨터 판독가능 저장 매체(예를 들어, 플래시 메모리 등을 포함할 수 있으나 본 발명는 이에 제한되지 않음)에 저장된 파일일 수 있다. 컴퓨팅 장치는 입출력 인터페이스(미도시)를 통해 컴퓨터 판독가능 저장 매체에 저장된 파일을 입력 받을 수 있다.
즉, 본 발명의 일 실시예들은 컴퓨팅 장치를 이용하여 멀티미디어 파일을 수신하고, 사전 학습된 심층신경망을 통해 생성한 인공지능 분류 모델에 특성정보를 입력하여 출력된 예측값을 통해 해당 멀티미디어 파일 및 그에 포함된 액티브 콘텐트의 악성 여부를 예측할 수 있다.
메모리는 본 발명의 일 실시예에 따른 방법을 수행하기 위한 컴퓨터 프로그램을 저장할 수 있으며, 저장된 컴퓨터 프로그램은 프로세서에 의하여 판독되어 구동될 수 있다.
본 발명의 일실시예에서 이용되는 컴퓨팅 장치상의 통신 모듈은 본 발명을 실시하기 위한 데이터 등을 다른 컴퓨팅 장치, 서버 등과 송수신할 수 있다. 통신 모듈은 특성에 대한 학습데이터, 레이블값, 벡터데이터 등 본 발명의 실시예에 필요한 데이터들을 다른 컴퓨팅 장치, 서버 등과 송수신 할 수 있다. 예를 들어, 통신 모듈은 인공지능 분류 모델을 다른 컴퓨팅 장치, 서버 등으로부터 수신할 수 있다. 통신 모듈은 학습데이터, 결과값 등이 저장된 데이터베이스 등에서 학습데이터 등을 수신할 수 있다. 또한, 통신 모듈은 복수의 컴퓨팅 장치 사이의 통신을 가능하게 하여 복수의 컴퓨팅 장치 각각에서 네트워크 함수의 학습이 분산 수행되도록 할 수 있다. 통신 모듈은 복수의 컴퓨팅 장치 사이의 통신을 가능하게 하여 네트워크 함수를 사용한 데이터 처리를 분산 처리할 수 있도록 할 수 있다.
<심층신경망 내지 인공지능 분류 모델에 대한 설명>
본 명세서에 걸쳐 신경망, 심층신경망, 네트워크 함수, 뉴럴 네트워크(neural network)는 동일한 의미로 사용될 수 있다. 신경망은 일반적으로 “노드”라 지칭될 수 있는 상호 연결된 계산 단위들의 집합으로 구성될 수 있다. 이러한 “노드”들은 “뉴런(neuron)”들로 지칭될 수도 있다. 신경망은 적어도 하나 이상의 노드들을 포함하여 구성된다. 신경망들을 구성하는 노드(또는 뉴런)들은 하나 이상의“링크”에 의해 상호 연결될 수 있다.
신경망 내에서, 링크를 통해 연결된 하나 이상의 노드들은 상대적으로 입력 노드 및 출력 노드의 관계를 형성할 수 있다. 입력 노드 및 출력 노드의 개념은 상대적인 것으로서, 하나의 노드에 대하여 출력 노드 관계에 있는 임의의 노드는 다른 노드와의 관계에서 입력 노드 관계에 있을 수 있으며, 그 역도 성립할 수 있다. 상술한 바와 같이, 입력 노드 대 출력 노드 관계는 링크를 중심으로 생성될 수 있다. 하나의 입력 노드에 하나 이상의 출력 노드가 링크를 통해 연결될 수 있으며, 그 역도 성립할 수 있다.
하나의 링크를 통해 연결된 입력 노드 및 출력 노드 관계에서, 출력 노드는 입력 노드에 입력된 데이터에 기초하여 그 값이 결정될 수 있다. 여기서 입력 노드와 출력 노드를 상호 연결하는 노드는 가중치(weight)를 가질 수 있다. 가중치는 가변적일 수 있으며, 신경망이 원하는 기능을 수행하기 위해, 사용자 또는 알고리즘에 의해 가변될 수 있다. 예를 들어, 하나의 출력 노드에 하나 이상의 입력 노드가 각각의 링크에 의해 상호 연결된 경우, 출력 노드는 상기 출력 노드와 연결된 입력 노드들에 입력된 값들 및 각각의 입력 노드들에 대응하는 링크에 설정된 가중치에 기초하여 출력 노드 값을 결정할 수 있다.
상술한 바와 같이, 신경망은 하나 이상의 노드들이 하나 이상의 링크를 통해 상호 연결되어 신경망 내에서 입력노드 및 출력 노드 관계를 형성한다. 신경망 내에서 노드들과 링크들의 개수 및 노드들과 링크들 사이의 연관관계, 링크들 각각에 부여된 가중치의 값에 따라, 신경망의 특성이 결정될 수 있다. 예를 들어, 동일한 개수의 노드 및 링크들이 존재하고, 링크들 사이의 가중치 값이 상이한 두 신경망이 존재하는 경우, 두 개의 신경망들은 서로 상이한 것으로 인식될 수 있다.
신경망은 하나 이상의 노드들을 포함하여 구성될 수 있다. 신경망을 구성하는 노드들 중 일부는, 최초 입력 노드로부터의 거리들에 기초하여, 하나의 레이어(layer)를 구성할 수 있다, 예를 들어, 최초 입력 노드로부터 거리가 n인 노드들의 집합은, n 레이어를 구성할 수 있다. 최초 입력 노드로부터 거리는, 최초 입력 노드로부터 해당 노드까지 도달하기 위해 거쳐야 하는 링크들의 최소 개수에 의해 정의될 수 있다. 그러나, 이러한 레이어의 정의는 설명을 위한 임의적인 것으로서, 신경망 내에서 레이어의 차수는 상술한 것과 상이한 방법으로 정의될 수 있다. 예를 들어, 노드들의 레이어는 최종 출력 노드로부터 거리에 의해 정의될 수도 있다.
최초 입력 노드는 신경망 내의 노드들 중 다른 노드들과의 관계에서 링크를 거치지 않고 데이터가 직접 입력되는 하나 이상의 노드들을 의미할 수 있다. 또는, 신경망 네트워크 내에서, 링크를 기준으로 한 노드 간의 관계에 있어서, 링크로 연결된 다른 입력 노드들을 가지지 않는 노드들을 의미할 수 있다. 이와 유사하게, 최종 출력노드는 신경망 내의 노드들 중 다른 노드들과의 관계에서, 출력 노드를 가지지 않는 하나 이상의 노드들을 의미할 수 있다. 또한, 히든 노드는 최초 입력 노드 및 최후 출력 노드가 아닌 신경망을 구성하는 노드들을 의미할 수 있다. 본 발명의 일 실시예에 따른 신경망은 입력 레이어의 노드의 개수가 출력 레이어의 노드의 개수와 동일할 수 있으며, 입력 레이어에서 히든 레이어로 진행됨에 따라 노드의 수가 감소하다가 다시 증가하는 형태의 신경망일 수 있다. 또한, 본 발명의 다른 일 실시예에 따른 신경망은 입력 레이어의 노드의 개수가 출력 레이어의 노드의 개수 보다 적을 수 있으며, 입력 레이어에서 히든 레이어로 진행됨에 따라 노드의 수가 감소하는 형태의 신경망일 수 있다. 또한, 본 발명의 또 다른 일 실시예에 따른 신경망은 입력 레이어의 노드의 개수가 출력 레이어의 노드의 개수보다 많을 수 있으며, 입력 레이어에서 히든 레이어로 진행됨에 따라 노드의 수가 증가하는 형태의 신경망일 수 있다. 본 발명의 또 다른 일 실시예에 따른 신경망은 상술한 신경망들의 조합된 형태의 신경망일 수 있다.
딥 뉴럴 네트워크(DNN: deep neural network, 심층신경망)는 입력 레이어와 출력 레이어 외에 복수의 히든 레이어를 포함하는 신경망을 의미할 수 있다. 딥 뉴럴 네트워크를 이용하면 데이터의 잠재적인 구조(latent structures)를 파악할 수 있다. 즉, 사진, 글, 비디오, 음성, 음악의 잠재적인 구조(예를 들어, 어떤 물체가 사진에 있는지, 글의 내용과 감정이 무엇인지, 음성의 내용과 감정이 무엇인지 등)를 파악할 수 있다. 딥 뉴럴 네트워크는 컨벌루셔널 뉴럴 네트워크(CNN: convolutional neural network), 리커런트 뉴럴 네트워크(RNN:recurrentneural network), 오토 인코더(auto encoder), GAN(Generative Adversarial Networks), 제한 볼츠만 머신(RBM: restricted boltzmann machine), 심층 신뢰 네트워크(DBN: deep belief network), Q 네트워크, U 네트워크, 샴 네트워크 등을 포함할 수 있다. 전술한 딥 뉴럴 네트워크의 기재는 예시일 뿐이며 본 발명는 이에 제한되지 않는다.
본 발명의 일 실시예에서 네트워크 함수는 오토인코더를 포함할 수도 있다. 오토 인코더는 입력 데이터와 유사한 출력 데이터를 출력하기 위한 인공 신경망의 일종일 수 있다. 오토 인코더는 적어도 하나의 히든 레이어를 포함할 수 있으며, 홀수 개의 히든 레이어가 입출력 레이어 사이에 배치될 수 있다. 각각의 레이어의 노드의 수는 입력 레이어의 노드의 수에서 병목 레이어(인코딩)라는 중간 레이어에서 축소되었다가, 병목 레이어에서 출력 레이어(입력 레이어와 대칭)로 축소와 대칭되어 확장될 수도 있다. 차원 감소 레이어와 차원 복원 레이어의노드는 대칭일 수도 있고 아닐 수도 있다. 오토 인코더는 비선형 차원 감소를 수행할 수 있다. 입력 레이어 및 출력 레이어의 노드의 수는 입력 데이터의 전처리 이후에 남은 픽셀들의 수와 대응될 수 있다. 오토 인코더 구조에서 인코더에 포함된 히든 레이어의 노드의 수는 입력 레이어에서 멀어질수록 감소하는 구조를 가질 수 있다. 병목 레이어(인코더와 디코더 사이에 위치하는 가장 적은 노드를 가진 레이어)의 노드의 수는 너무 작은 경우 충분한 양의 정보가 전달되지 않을 수 있으므로, 특정 수 이상(예를 들어, 입력 레이어의 절반 이상 등)으로 유지될 수도 있다.
뉴럴 네트워크는 교사 학습(supervised learning), 비교사 학습(unsupervised learning), 및 반교사학습(semi supervised learning) 중 적어도 하나의 방식으로 학습될 수 있다. 뉴럴 네트워크의 학습은 출력의 오류를 최소화하기 위한 것이다. 뉴럴 네트워크의 학습에서 반복적으로 학습데이터를 뉴럴 네트워크에 입력시키고 특성정보에 대한 뉴럴 네트워크의 출력인 출력값과 특성정보에 레이블링되어 있는 결과값 간의 오차(에러)를 계산하고, 에러를 줄이기 위한 방향으로 뉴럴 네트워크의 에러를 뉴럴 네트워크의 출력 레이어에서부터 입력 레이어 방향으로 역전파(backpropagation)하여 뉴럴 네트워크의 각 노드의 가중치를 갱신(업데이트) 하는 과정이다. 교사 학습의 경우 각각의 학습데이터로 특성정보의 정답인 결과값이 라벨링되어 있는 학습데이터를 사용하며(즉, 라벨링된 학습데이터), 비교사 학습의 경우는 각각의 학습데이터에 정답이 라벨링되어 있지 않을 수 있다. 즉, 예를 들어 데이터 분류에 관한 교사 학습의 경우의 학습데이터는 학습데이터 각각에 카테고리가 라벨링된 데이터일 수 있다. 라벨링된 학습데이터가 뉴럴 네트워크에 입력되고, 뉴럴 네트워크의 출력(카테고리)과 학습데이터의 라벨이 비교되어짐으로써 오차(error)가 계산될 수 있다. 다른예로, 데이터 분류에 관한 비교사 학습의 경우 입력인 학습데이터가 뉴럴 네트워크 출력과 비교됨으로써 오류가 계산될 수 있다. 계산된 오류는 뉴럴 네트워크에서 역방향(즉, 출력 레이어에서 입력 레이어 방향)으로 역전파 되며, 역전파에 따라 뉴럴 네트워크의 각 레이어의 각 노드들의 연결 가중치가 업데이트 될 수 있다. 업데이트 되는 각 노드의 연결 가중치는 학습률(learning rate)에 따라 변화량이 결정될 수 있다. 입력 데이터에 대한 뉴럴 네트워크의 계산과 에러의 역전파는 학습 사이클(epoch)을 구성할 수 있다. 학습률은 뉴럴 네트워크의 학습사이클의 반복 횟수에 따라 상이하게 적용될 수 있다. 예를 들어, 뉴럴 네트워크의 학습 초기에는 높은 학습률을 사용하여 뉴럴 네트워크가 빠르게 일정 수준의 성능을 확보하도록 하여 효율성을 높이고, 학습 후기에는 낮은 학습률을 사용하여 정확도를 높일 수 있다.
뉴럴 네트워크의 학습에서 일반적으로 학습데이터는 실제 데이터(즉, 학습된 뉴럴 네트워크를 이용하여 처리하고자 하는 데이터)의 부분집합일 수 있으며, 따라서, 학습데이터에 대한 오류는 감소하나 실제 데이터에 대해서는 오류가 증가하는 학습 사이클이 존재할 수 있다. 과적합(overfitting)은 이와 같이 학습데이터에 과하게 학습하여 실제 데이터에 대한 오류가 증가하는 현상이다. 예를 들어, 노란색 고양이를 보여 고양이를 학습한 뉴럴 네트워크가 노란색 이외의 고양이를 보고는 고양이임을 인식하지 못하는 현상이 과적합의 일종일 수 있다.
과적합은 기계학습(머신러닝) 알고리즘의 오류를 증가시키는 원인으로 작용할 수 있다. 이러한 과적합을 막기 위하여 다양한 최적화 방법이 사용될 수 있다. 과적합을 막기 위해서는 학습데이터를 증가시키거나, 레귤라이제이션(regulaization), 학습의 과정에서 네트워크의 노드 일부를 생략하는 드롭아웃(dropout) 등의 방법이 적용될 수 있다.
도 1에 도시된 컨벌루셔널 뉴럴 네트워크(CNN: convolutional neural network)는 딥 뉴럴 네트워크의 일종으로서, 컨벌루셔널 레이어를 포함하는 신경망을 포함한다. 컨벌루셔널 뉴럴 네트워크는 최소한의 전처리(preprocess)를 사용하도록 설계된 다계층 퍼셉트론(multilayer perceptrons)의 한 종류이다. CNN은 하나 또는 여러개의 컨벌루셔널 레이어와 이와 결합된 인공 신경망 계층들로 구성될 수 있으며, 가중치와 풀링 레이어(pooling layer)들을 추가로 활용할 수 있다. 이러한 구조 덕분에 CNN은 2 차원 구조의 입력 데이터를 충분히 활용할 수 있다. 컨벌루셔널 뉴럴 네트워크는 일반적으로 이미지 등에서 오브젝트를 인식하기 위하여 사용될 수 있다. 컨벌루셔널 뉴럴 네트워크는 데이터를 차원을 가진 행렬로 나타내어 처리할 수 있다. 예를 들어 RGB(redgreen-blue)로 인코딩된 이미지 데이터의 경우, R, G, B 색상별로 각각 2차원(예를 들어, 2차원 이미지인 경우) 행렬로 나타낼 수 있다. 즉, 이미지 데이터의 각 픽셀의 색상값이 행렬의 성분이 될 수 있으며 행렬의 크기는 이미지의 크기와 같을 수 있다. 따라서 이미지 데이터는 3개의 2차원 행렬로(3차원의 데이터 어레이)로 나타내어질 수 있다.
컨벌루셔널 뉴럴 네트워크에서 컨벌루셔널 필터를 이동해가며 컨벌루셔널 필터와 벡터형식 데이터의 각 위치에서의 행렬 성분끼리 곱하는 것으로 컨벌루셔널 과정(컨벌루셔널 레이어의 입출력)을 수행할 수 있다. 컨벌루셔널 필터는 n*n 형태의 행렬로 구성될 수 있으며, 일반적으로 벡터 형식 데이터가 이미지인 경우, 이미지의 전체 픽셀의 수보다 작은 고정된 형태의 필터로 구성될 수 있다. 즉, m*m 이미지를 컨벌루셔널 레이어(예를 들어, 컨벌루셔널 필터의 사이즈가 n*n인 컨벌루셔널 레이어)입력시키는 경우, 이미지의 각 픽셀을 포함하는 n*n 픽셀을 나타내는 행렬이 컨벌루셔널 필터와 성분곱(즉, 행렬의 각 성분끼리의 곱) 될 수 있다. 컨벌루셔널 필터와의 곱에 의하여 이미지에서 컨벌루셔널 필터와 매칭되는 성분이 추출될 수 있다. 예를 들어, 이미지에서 상하 직선 성분을 추출하기 위한 3*3 컨벌루셔널 필터는 [[0,1,0],[0,1,0],[0,1,0]] 와 같이 구성될 수 있으며, 이러한 컨벌루셔널 필터가 입력 이미지에 적용되면 이미지에서 컨벌루셔널 필터와 매칭되는 상하 직선 성분이 추출되어 출력될 수 있다. 컨벌루셔널 레이어는 이미지를 나타낸 각각의 채널에 대한 각각의 행렬(즉, R, G, B 코딩 이미지의 경우, R, G, B 색상)에 컨벌루셔널 필터를 적용할 수 있다. 컨벌루셔널 레이어는 입력 이미지에 컨벌루셔널 필터를 적용하여 입력 이미지에서 컨벌루셔널 필터와 매칭되는 피처를 추출할 수 있다. 컨벌루셔널 필터의 필터 값(즉, 행렬의 각 성분의 값)은 컨벌루셔널 뉴럴 네트워크의 학습 과정에서 역전파(back propagation)에 의하여 업데이트 될 수 있다.
컨벌루셔널 레이어의 출력에는 서브샘플링 레이어가 연결되어 컨벌루셔널 레이어의 출력을 단순화하여 메모리 사용량과 연산량을 줄일 수 있다. 예를 들어, 2*2 맥스 풀링 필터를 가지는 풀링 레이어에 컨벌루셔널 레이어의 출력을 입력시키는 경우, 이미지의 각 픽셀에서 2*2 패치마다 각 패치에 포함되는 최대값을 출력하여 이미지를 압축할 수 있다. 전술한 풀링은 패치에서 최소값을 출력하거나, 패치의 평균값을 출력하는 방식일 수도 있으며 임의의 풀링 방식이 본 개시에 포함될 수 있다.
컨벌루셔널 뉴럴 네트워크는 하나 이상의 컨벌루셔널 레이어, 서브샘플링 레이어를 포함할 수 있다. 컨벌루셔널 뉴럴 네트워크는 컨벌루셔널 과정과 서브샘플링 과정(예를 들어, 전술한 맥스 풀링 등)을 반복적으로 수행하여 이미지에서 피처를 추출할 수 있다. 반복적인 컨벌루션널 과정과 서브샘플링 과정을 통해 뉴럴 네트워크는 이미지의 글로벌 피처를 추출할 수 있다.
컨벌루셔널 레이어 또는 서브샘플링 레이어의 출력은 풀 커넥티드 레이어(fully connected layer)에 입력될 수 있다. 풀 커넥티드 레이어는 하나의 레이어에 있는 모든 뉴런과 이웃한 레이어에 있는 모든 뉴런이 연결되는 레이어이다. 풀 커넥티드 레이어는 뉴럴 네트워크에서 각 레이어의 모든 노드가 다른 레이어의 모든 노드에 연결된 구조를 의미할 수 있다.
본 발명의 일 실시예에서 이미지 데이터의 세그먼테이션(segmentation)을 수행하기 위하여 뉴럴 네트워크는 디컨벌루셔널 뉴럴 네트워크(DCNN: deconvolutional neural network)를 포함할 수 있다. 디컨벌루셔널 뉴럴 네트워크는 컨벌루셔널 뉴럴 네트워크를 역방향으로 계산시킨 것과 유사한 동작을 수행하며, 컨벌루셔널 뉴럴 네트워크에서 추출된 피처를 원본 데이터와 관련된 피처 맵으로 출력할 수 있다.
본 발명에서 심층신경망 및 뉴럴 네트워크(neural network)는 상호교환가능하게 사용될 수 있다.
이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시예에 대해 상세히 설명한다.
<파일 내 악성 위협을 처리하는 인공지능 기반 장치에 대한 설명>
본 발명인 파일 내 악성 위협을 처리하는 인공지능 기반 장치는 파일수신부(100), 제1전처리부(200), 파일분류부(300), 액티브콘텐트추출부(400), 제2전처리부(500) 및 액티브콘텐트분류부(600)을 포함한다.
파일수신부(100)는 다양한 유입채널로부터 멀티미디어 파일(이하 '파일'이라 함)을 통합적으로 수신한다.
제1전처리부(200)는 파일수신부(100)에서 수신된 파일로부터 사전에 정의한 대로 파일 특성정보를 선택적으로 추출한다.
파일분류부(300)는 수시로 갱신되는 제1 인공지능 분류 모델(A)을 이용하여, 제1전처리부(200)에서 추출된 파일 특성정보를 통해 파일에 대한 악성 여부를 분류한다.
즉, 파일분류부(300)는 파일 특성에 대한 특성정보를 제1 인공지능 분류 모델(A)에 입력하고, 제1 인공지능 분류 모델(A)이 출력하는 예측값에 따라 액티브 콘텐트의 악성 여부를 예측할 수 있다. 그리고 파일분류부(300)는 파일의 악성 여부에 대한 예측결과인 예측분류정보를 생성할 수 있다.
예를 들어, 여기서 예측값은 액티브 콘텐트가 악성인지 혹은 정상인지에 대해 0에서 1사이의 확률로 나타내는 확률값이 될 수 있으나 이에 한정되지 아니한다.
액티브콘텐트추출부(400)는 파일분류부(300)에서 정상으로 분류된 정상 파일에 한해서 액티브 콘텐트를 추출한다.
제2전처리부(500)는 액티브콘텐트추출부(400)에서 추출된 액티브 콘텐트로부터 사전에 정의한 대로 액티브 콘텐트 특성정보를 선택적으로 추출한다.
제2전처리부(500)는 API시퀀스추출부분(510), 바이너리변환부분(520) 및 특성정보생성부분(730)을 포함할 수 있다.
액티브 콘텐트의 분석을 통해 악성 함수 등 행위 정보가 추출될 수 있다. 구체적으로 이러한 행위 정보에는 CreateObject(), eval(), 시스템 콜 등 유해한 호출들과 scriptingfilesystemobject, wscriptshell 등 유해한 객체들을 포함하는 API 시퀀스가 포함될 수 있다.
API시퀀스추출부분(510)은 액티브 콘텐트로부터 API시퀀스를 추출한다.
바이너리변환부분(520)은 API시퀀스를 기구축된 딕셔너리로 매핑하여 바이너리로 변환한다. 딕셔너리는 기존에 액티브 콘텐트 분석을 통해 악성 함수 등 행위정보에 관련된 API시퀀스를 Hexa 바이너리 등으로 변환하기 위해 구축되어 있다.
특성정보생성부분(530)은 바이너리변환부분(520)에서 변환된 바이너리를 가공하여 특성정보를 생성한다. 이러한 바이너리 변환 가공 과정은, 예를 들어, 바이너리를 업/다운 샘플링하고, n-gram 추출하여 피처를 추출하고 n-gram에 대해 피처 해싱을 통해 고정 길이의 특성정보를 생성할 수 있다. 여기서 적합한 ngram은 수행하기에 따라 찾아질 수 있으며 필요에 따라 2, 3개의 다중 n-gram을 추출하여 각각을 피처 해싱할 수도 있다. 이렇게 마련된 특성정보는 고정 길이로 설정되므로 CNN 등에 입력되기 적합하다.
n-gram 단위의 피처에 대한 해시값은 피처 해싱에 의해 생성되는데 이러한 피처 해싱에 이용되는 해시 함수는 어떠한 함수가 되어도 무방하다. 이러한 피처해싱은 해싱 트릭(hashing trick)으로도 불릴 수 있다. 당해 기술 분야에서 이미 널리 알려진 기법이므로 자세한 설명은 생략한다.
액티브콘텐트분류부(600)는 수시로 갱신되는 제2 인공지능 분류 모델(B)을 이용하여, 제2전처리부(500)에서 추출된 액티브 콘텐트 특성정보를 통해 액티브 콘텐트에 대한 악성 여부를 분류한다.
이때 제1 인공지능 분류 모델(A)은 악성 여부가 사전에 분류된 샘플 멀티미디어 파일(이하 '샘플 파일'이라 함)의 특성정보 및 샘플 파일의 악성 여부에 대한 레이블값을 이용하여 심층신경망을 기계학습시켜 생성된다.
제2 인공지능 분류 모델은 악성 여부가 사전에 분류된 샘플 액티브 콘텐트의 특성정보 및 상기 샘플 액티브 콘텐트의 악성 여부에 대한 레이블값을 이용하여 심층신경망을 기계학습시켜 생성된다.
각 인공지능 분류 모델을 생성하기 위한 심층신경망은 각 목적, 용도, 입력되는 특성정보 내지 레이블값 등에 따라 동일하거나 상이하게 채택될 수 있다.
사전에 악성 여부가 분류되어 있는 샘플 파일 내지 액티브 콘텐트의 특성에 대한 특성정보가 추출되고 샘플 파일 내지 액티브 콘텐트의 악성 여부에 대한 결과값인 레이블값을 학습데이터로 하여 수집되어져 있을 수 있다.
학습데이터는 정상 파일, 액티브 콘텐트와 악성 파일, 액티브 콘텐트에서 각각 추출되거나 악성 파일, 액티브 콘텐트 또는 정상 파일, 액티브 콘텐트에서만 추출된 것일 수 있다.
예를 들어, 여기서 결과값은 액티브 콘텐트가 악성인지 혹은 정상인지에 대해 표현하는 0=정상, 1=악성 등의 값이 될 수 있으나 이에 한정되지 아니한다.
구체적으로 인공지능 분류 모델을 생성하기 위한 심층신경망은 컨벌루션신경망(Convolutional Neural Networks, CNN)이 될 수 있다. 물론 컨벌루션신경망뿐만 아니라 심층 신경망(Deep Neural Network, DNN), 재귀 신경망(Recurrent Neural Network, RNN), 제한 볼츠만 머신(restricted Boltzmann machine), 심층 신뢰 신경망(Deep Belief Network, DBN), 심층 Q-네트워크(Deep Q-Network) 등과 같이 다양한 딥 러닝 기법이 적용된 신경망 알고리즘이 사용될 수 있다.
그리고 새로운 샘플 파일이나 액티브 콘텐트가 학습 대상이 되어 새로운 학습데이터가 추가되면 심층신경망은 추가 학습을 통해 인공지능 분류 모델이 갱신될 수 있다. 즉, 전이학습 방식을 통해 분류 모델을 다시 분류 모델을 구축하거나 재학습할 필요 없이 기존의 분류 모델을 갱신함으로써, 모델 구축에 따른 비용이 절감될 수 있다.
종래의 악성코드 탐지 방법을 이용하여 악성코드를 탐지하는데 가장 큰 문제점 중 하나가 바로 다수의 악성코드 변종들에 의한 공격일 수 있다. 즉, 하나의 악성코드로부터 다양한 변종이 발생할 수 있기 때문에 모든 악성코드들의 패턴을 분석하여 대응하는 것은 매우 어려운 일이다. 그러나, 본 발명과 같이 악성 파일 내지 액티브 콘텐트에서 추출된 특성정보를 통해 인공지능 분류 모델(A) 이용하여 분류한다면, 유사한 변종의 악성코드가 포함된 파일이나 액티브 콘텐트들도 분류가 가능하기 때문에 보다 정확하고 정밀하게 악성, 정상 여부를 분류해 낼 수 있다.
예를 들어, 악성코드 A가 감염된 악성 멀티미디어 파일의 액티브 콘텐트로부터 학습데이터를 이용하여 학습시킨 인공지능 분류 모델을 이용하여 신규 분류 대상인 악성 액티브 콘텐트를 분류하는데 이용한다고 가정한다면, 악성코드 A_1, 악성코드 A_2, 악성코드 A_n 등의 변종 악성코드들을 포함한 액티브 콘텐트도 탐지될 수 있다.
이러한 인공지능 분류 모델을 이용하면 기존의 악성코드 탐지엔진과는 다르게 별도 분석을 통해 얻어지는 악성코드 패턴 설계가 따로 필요하지 않기 때문에 패턴이 알려지지 않은 제로데이 악성코드에 대해서도 신속하게 대응할 수 있는 장점을 갖는다. 인공지능 분류 모델은 분류대상인 파일 내지 액티브 콘텐트의 특성정보가 심층신경망에 입력되어 지속적으로 학습되며 업데이트 될 수 있다. 따라서, 인공지능 분류 모델은 시간이 지날수록 보다 효과적이고 범용적으로 악성코드를 탐지할 수 있다.
예측분류정보는 파일 내지 액티브 콘텐트가 그 특성을 나타내는 특성정보가 인공지능 분류 모델에 입력되어 자동으로 분류되며, 분류되는 그룹에 소속될 확률에 대한 예측값에 기초하여 생성된 파일, 액티브 콘텐트의 악성 여부에 대한 정보를 의미한다.
파일분류부(300)나 액티브콘텐트분류부(600)를 통과하더라도 소속될 그룹을 찾지 못하면 그 파일 내지 액티브콘텐트의 특성정보는 새로운 그룹으로 분류되어야 한다. 이는 아직 인공지능 분류 모델에 의해 분류될 수 없는 특성정보들이며, 이러한 특성정보는 따로 수집되어 심층신경망을 학습시키기 위해 이용될 수 있다.
바람직하게는 본 발명의 일실시예인 파일 내 악성 위협을 처리하는 인공지능 기반 장치는 대조부(700) 및 인터페이스제공부(800)를 더 포함할 수 있다.
대조부(700)는 제1예측분류정보 및 제2예측분류정보를 대조하여 상기 액티브콘텐트분류부의 성과에 대한 성과정보를 생성한다.
즉, 파일분류부(300)에서 악성이라고 분류한 파일을 나타내는 제1예측분류정보와 액티브콘텐트분류부(600)에서 악성이라고 분류한 액티브콘텐트를 나타내는 제2예측분류정보 간의 일치 여부 등을 대조한다. 이를 통해 각 제1 인공지능 분류 모델(A) 및 제2 인공지능 분류 모델(B)의 성능이나 각 파일분류부(300) 및 액티브콘텐트분류부(600)의 성과를 비교할 수 있다. 또한, 액티브콘텐트분류부(600)에서 악성으로 분류한 액티브 콘텐트가 포함된 파일에 후속 보안조치가 수행되면 파일분류부(300)가 파악하지 못했던 제로데이 위협에 적절하게 대응할 수 있다는 액티브콘텐트분류부(600)의 성과를 파악할 수 있게 된다.
또한, 성과정보는 파일분류부(300)의 분류 내역인 제1예측분류정보가 수시로 생성되며 갱신될 수 있다. 즉, 갱신된 파일분류부(300)에서 갱신 전에는 정상 파일로 분류했던 파일을 이후에는 악성 파일로 분류할 수 있다. 액티브콘텐트분류부(600)가 종전에 파일분류부(300)에서 대응하지 못했던 파일에 대해 악성 액티브 콘텐트가 포함되었다고 악성으로 분류하였다고 제2예측분류정보를 생성할 수 있다. 이때 파일분류부(300)가 분류한 파일 내역인 제1예측분류정보가 갱신되고 나서, 제2예측분류정보를 대조해보고 나니, 업데이트되기 전 검사수단(A)이 악성으로 분류하지 못했던 파일에 대해서 파일처리부(200)에 의해 보안처리가 수행되었다는 로그 정보 형식으로 마련될 수 있다
인터페이스제공부(800)는 성과정보를 사용자에게 출력하기 위한 인터페이스를 제공한다.
인터페이스제공부(800)는 디스플레이 장치 등을 통해 시청각적으로 사용자에게 성과정보 등을 출력한다.
제1예측분류정보는 파일분류부(300)에서 파일의 악성 여부를 분류한 결과에 대한 정보이다. 이는 파일 특성정보가 제1 인공지능 분류 모델(A)로 입력되어 출력되는 제1 예측값에 따라 생성된다.
제2예측분류정보도 마찬가지로 액티브콘텐트분류부(600)에서 액티브 콘텐트의 악성 여부를 분류한 결과에 대한 정보이다. 이는 액티브 콘텐트 특성정보가 제2 인공지능 분류 모델(B)로 입력되어 출력되는 제2 예측값에 따라 생성된다.
바람직하게는 본 발명의 일실시예인 파일 내 악성 위협을 처리하는 인공지능 기반 장치는 액티브콘텐트처리부(900)를 더 포함할 수 있다.
액티브콘텐트처리부(900)는 정상 파일로부터 추출된 상기 액티브 콘텐트를 상기 정상 파일에서 무해화하여 변환 파일을 생성하는 보안처리를 수행한다.
구체적으로 액티브콘텐트처리부(900)는 파일분류부(300)에서 정상으로 분류한 정상 파일로부터 추출한 액티브 콘텐트를 무해화하여 변환 파일을 생성하는 보안처리 등을 수행한다. 그리고 변환 파일은 사용자 단말기 등으로 전송될 수 있다. 액티브 콘텐트를 무해화는 보안처리는 액티브 콘텐트가 포함된 멀티미디어 파일에서 악성으로 분류된 액티브 콘텐트를 무력화시키기 위해 이를 제거하거나, 실행코드를 변환시켜 변환 파일을 생성하는 조치이다.
구체적으로, 액티브콘텐트처리부(900)는 해당 액티브 콘텐트의 설명, 유형, 버전, 크기, 해시값 등을 포함하는 특성정보 및 해당 액티브 콘텐트를 무력화시키기 위한 수행내역에 관한 처리정보 중에서 적어도 어느 하나를 포함하는 대체정보를 액티브 콘텐트가 무력화된 멀티미디어 파일과 조합하여 변환 파일을 생성한다. 액티브콘텐트처리부(900)에 의해 무해화된 멀티미디어 파일은 사용자 단말기 등으로부터 해당 파일의 열람요청이 있는 경우에 제공될 수 있다. 이를 통해 사용자 단말기로 제공되는 무해화된 멀티미디어 파일에는 원본인 멀티미디어 파일과 동일한 형식, 폰트, 동일한 개체 위치 등을 가지면서도 사용자 단말기를 감염시킬 수 있는 악성코드가 포함된 액티브 콘텐트가 실행되지 않고 대신 대체정보 등과 함께 무해화처리에 대한 처리정보가 표시될 수 있다. 다만 사용자 단말기로부터 별도의 원본 파일 제공 요청이 있는 경우, 무해화되지 않은 멀티미디어 파일이 제공될 수 있다.
바람직하게는 본 발명의 일실시예인 파일 내 악성 위협을 처리하는 인공지능 기반 장치는 인터페이스제공부(800)를 더 포함할 수 있다. 인터페이스제공부(800)는 액티브콘텐트분류부(600)에서 악성으로 분류된 액티브콘텐트를 선별하여 보안처리를 수행하는 보안정책 설정여부를 사용자로부터 입력받기 위한 인터페이스를 제공한다.
이때 액티브콘텐트처리부(900)는 보안정책에 기초하여 보안처리를 수행한다.
바람직하게는 본 발명의 일실시예인 파일 내 악성 위협을 처리하는 인공지능 기반 장치는 저장부(100)를 더 포함할 수 있다. 저장부(1000)는 파일시스템, DB, 클라우드 또는 빅데이터 플랫폼 등 다양한 형태로 마련될 수 있다. 위 저장부(1000)에는 각종 멀티미디어 파일의 특성정보 및 멀티미디어 파일로부터 추출되는 액티브 콘텐트의 특성정보, 멀티미디어 파일 그 자체, 멀티미디어 파일에 포함된 액티브 콘텐트, 샘플 파일 내지 액티브 콘텐트에서 추출된 특성정보, 그 레이블링값 예측분류정보 등이 수집되어 저장될 수 있다. 그리고 저장부(1000)에는 액티브콘텐트처리부(900)에서 생성한 변환 파일, 변환하기 전 원본 파일인 정상 파일이 저장될 수 있다. 또한, 저장부(1000)는 저장된 각종 데이터, 정보를 검색할 수 있는 인터페이스제공부(800)와 연결되어 있을 수 있다.
본 명세서에 있어서 악성 파일 분류 장치가 수행하는 것으로 기술된 단계나 기능 중 일부는 해당 장치와 연결된 서버에서 대신 수행될 수도 있다. 이와 마찬가지로, 서버가 수행하는 것으로 기술된 단계나 기능 중 일부도 해당 서버와 연결된 장치에서 수행될 수도 있다.
<파일 내 악성 위협을 처리하는 인공지능 기반 시스템에 대한 설명>
도 3은 본 발명의 일 실시예에 따른 파일 내 악성 위협을 처리하는 인공지능 기반 시스템에 대한 개념도이다.
도 3에 도시된 개념도는 상기 시스템의 구성을 간략화 하여 나타낸 예시일 뿐이며, 본 발명의 일 실시예에서 본 발명의 일실시예인 파일 내 악성 위협을 처리하는 인공지능 기반 시스템은 본 발명의 실시예들을 수행하기 위한 다른 구성들을 포함할 수 있다. 본 발명의 시스템은 전자 형태의 데이터를 연산할 수 있는 모든 종류의 컴퓨팅 장치를 포함할 수 있으며, 예를 들어, 퍼스널컴퓨터, 서버 컴퓨터 등의 일반 컴퓨팅 장치 및 모바일 단말(스마트폰(smartphone), 테블릿(tablet)) 등의 제한된 연산 능력을 가진 컴퓨팅 장치 등을 포함할 수 있다.
본 발명의 일실시예에 따른 파일 내 악성 위협을 처리하는 인공지능 기반 시스템은 에이전트(10), 서버(20), 악성 파일 분류 장치(30)를 포함한다.
도 2에서 보는 바와 같이 본 발명의 일실시예에 따른 에이전트(10)는 사용자 단말기 또는 파일 서버에 설치되는 프로그램 모듈일 수 있다. 사용자 단말기는 유무선 통신이 가능한 데스크탑, 노트북, 테블릿PC, 모바일 단말 등으로 마련될 수 있다.
또한, 서버(20)는 네트워크 상에 연결되어 위 장치 등 본 발명과 관련된 서비스를 제공하는 서버이다. 즉, 서버(20)는 파일을 업로드 하거나 다운로드 하는 서비스를 제공하거나 파일을 송수신하는 기능 등을 구비한다.
악성 파일 분류 장치(30)는 사용자가 사용하는 컴퓨터 단말로서, PC, 노트북, 태블릿 PC, 모바일 단말 등이 될 수 있다.
에이전트(10)는 다양한 유입채널을 통해 사용자 단말기 등에 제공될 멀티미디어 파일을 통합적으로 수신한다. 에이전트(10)는 멀티미디어 파일에 대한 특성에 대한 특성정보를 수집할 수 있고, 멀티미디어 파일로부터 액티브 콘텐트를 추출하고, 액티브 콘텐트의 특성에 대한 특성정보를 추출하고 파일의 특성정보, 액티브 콘텐트의 특성정보를 가공하여 인공지능 분류 모델에 입력할 수 있도록 전처리과정을 수행할 수 있다. 특성정보는 멀티미디어 파일 또는 액티브 콘텐트의 소스코드, 명칭, 경로, 해시값, 메타정보, 프로세스ID, 구조 정보, 파일 인덱스, 코드섹션 크기, 헤더 크기, 데이터 섹션 크기 등 정적 특성이나 파일 또는 액티브 콘텐트에서 추출될 수 있는 액티브 콘텐트 실행 로그 등 동적 특성을 나타내는 정보 등이 될 수 있으나 이에 제한되지는 않는다.
또는, 서버(20)는 에이전트(10)가 수신한 멀티미디어 파일로부터 특성에 대한 특성정보를 추출하고 액티브 콘텐트를 추출할 수도 있다. 서버(20)는 마찬가지로 액티브 콘텐트에서 인공지능 분류 모델에 입력될 수 있는 기계학습에 필요한 특성을 선별적으로 추출하여 가공하는 전처리과정을 수행하여 벡터데이터를 생성할 수 있다.
전처리과정은 예를 들어, 액티브 콘텐트에서 이용되는 API시퀀스를 추출하고, API시퀀스를 기구축된 딕셔너리로 매핑하여 바이너리로 변환하고, 바이너리를 가공하여 벡터데이터를 생성한다. 전처리과정의 구체적인 예는 전술하였다.
서버(20)는 사전에 수집된 파일과 액티브 콘텐트의 특성에 대한 특성정보 및 그에 라벨링된 결과값 등이 저장된 저장소와 연결되어 학습데이터로서 특성정보 및 결과값을 수신하거나 자체적으로 저장하고 있을 수 있다. 서버(20)는 학습데이터를 이용하여 심층신경망을 기계학습시킬 수 있다. 서버(20)는 악성 파일 분류 장치(30)와 통신하며, 악성 파일 분류장치(300)로 인공지능 분류 모델(A)을 제공할 수 있다.
제1 인공지능 분류 모델(A)은 사전에 악성 여부가 분류되어진 샘플 멀티미디어 파일의 특성이 추출된 특성정보 및 그에 레이블링 되어 있는 파일의 악성 여부에 대한 결과인 레이블값을 이용하여 심층신경망을 학습시켜 생성할 수 있다.
마찬가지로 제2 인공지능 분류 모델(B)은 사전에 악성 여부가 분류되어진 샘플 액티브 콘텐트의 특성이 추출된 특성정보 및 그에 레이블링된 액티브 콘텐트의 악성 여부에 대한 결과인 레이블값을 이용하여 심층신경망을 학습시켜 생성할 수 있다.
즉, 서버(20)는 샘플 파일 및 샘플 액티브 콘텐트에 대한 학습데이터로서 특성정보 및 레이블값을 이용하여 심층신경망을 학습시켜 인공지능 분류 모델을 생성할 수 있다. 또한 새롭게 수집되는 사전에 악성 여부가 분류된 멀티미디어 파일 및 그 액티브 콘텐트에 대한 학습데이터를 이용하여 심층신경망을 학습시켜 인공지능 분류 모델들을 갱신할 수 있다.
구체적으로 서버(20)는 심층신경망에 특성정보를 입력하여 출력값을 출력하고, 특성정보에 라벨링된 라벨링값과 출력값을 비교하여 오류를 계산하고, 그 오류에 기초하여 심층신경망의 가중치를 역전파방식으로 갱신함으로써 인공지능 분류모델을 생성한다.
여기서, 특성정보는 이미 악성, 정상 등으로 분류된 샘플 파일 및 액티브 콘텐트에서 기계학습에 필요한 특성을 선별적으로 추출하여 가공하는 전처리과정을 거쳐 생성된 것으로 이미 분류되었다는 의미는 적어도 한번은 실행되어 공지되거나, 국내외 보안 벤더들이 제공하는 보안 솔루션 등에 의해 악성, 정상 등으로 분류된 것을 의미한다. 일 예로, 서버(20)에는 기존보안 솔루션이 제공하는 악성 위협과 그에 대한 백신 등이 제공하는 정보가 내부 또는 외부의 DB로부터 수집되어 있을 수 있다. 서버(20)는 멀티미디어 파일, 그 액티브 콘텐트를 직접 수집하고 전처리과정을 거쳐 학습데이터를 생성하여 수집할 수도 있고, 외부에서 전처리과정을 거쳐 생성된 학습데이터를 수집할 수 있다.
그리고, 악성 파일 분류 장치(30)는 악성 여부를 분류할 대상인 멀티미디어파일, 액티브 콘텐트의 악성 여부를 분류한다. 이때, 해당 파일을 개인이나 기업에서 작업수단으로 사용하는 사용자 단말기에서 열람하고자 할 경우에 악성 여부 분류를 수행할 수 있다.
또한, 에이전트(10)에서 악성 파일 분류 장치(30)로 악성 여부 분류를 의뢰할 수 있다.
즉, 악성 파일 분류 장치(30)는 인공지능 분류 모델들을 이용하여 분류 대상이 되는 액티브 콘텐트 및 멀티미디어 파일의 악성 여부를 분류하여 예측분류정보를 생성하는 작업을 수행한다.
도 3은 악성 파일 분류 장치(30)가 에이전트(10) 및 서버(20)와 별개인 객체로 구성된 시스템인 실시예를 보여주고 있지만, 에이전트(10), 서버(20) 및 악성 파일 분류 장치(30)는 통상의 클라이언트와 서버의 구성 방법에 따라 구현될 수 있다. 즉, 전체 시스템의 기능들을 클라이언트의 성능이나 서버 통신량 등에 따라 분담될 수 있다. 예를 들어, 에이전트(10)는 멀티미디어 파일에 대한 수집 작업만 수행하고, 서버(20)가 정상 파일로부터 액티브 콘텐트를 추출하고 액티브 콘텐트에서 기계학습에 쓰일 특징을 추출하고, 심층신경망을 기계학습시켜 인공지능 분류모델을 생성할 수 있다. 악성 파일 분류 장치(30)는 인공지능 분류 모델을 이용하여 멀티미디어 파일 및 정상 파일로부터 추출된 액티브 콘텐트의 악성 여부를 분류하는 작업을 수행할 수 있다. 또는 에이전트(10)가 멀티미디어 파일에 대한 수집 작업, 액티브 콘텐트 추출 및 액티브 콘텐트 특징 추출 작업을 수행하고, 서버(20)는 인공지능 분류 모델을 생성하는 작업만 수행할 수 있도록 작업이 분담될 수 있다. 또한, 본 발명은 단일 또는 다중 시스템으로 구성될 수 있다. 또한, 본 시스템은 하나의 서버 내에 다중 가상환경에 탑재되어 구현될 수도 있다. 위 예시에 한정되지 않고 본 발명은 다양한 형태로 확장되어 구성될 수 있다.
바람직하게는 본 발명의 일실시예는 에이전트(10), 서버(20) 및 악성 파일 분류 장치(30) 내 또는 별도로 저장소(DB, 클라우드 또는 빅데이터 플랫폼)을 더 포함할 수 있다. 위 저장소에는 각종 멀티미디어 파일 및 그에 포함된 액티브 콘텐트의 특성정보, 멀티미디어 파일에 포함된 액티브 콘텐트, 샘플 액티브 콘텐트에서 추출된 특성정보 및 결과값, 출력값, 멀티미디어 파일, 예측분류정보 등이 수집되어 저장될 수 있다. 저장소에는 저장된 각종 데이터, 정보를 검색할 수 있는 인터페이스가 제공될 수 있다.
<파일 내 악성 위협을 처리하는 인공지능 기반 방법에 대한 설명>
본 발명인 파일 내 악성 위협을 처리하는 인공지능 기반 방법은 파일수신단계(S1), 제1전처리단계(S2), 파일분류단계(S3), 액티브콘텐트추출단계(S4), 제2전처리단계(S5) 및 액티브콘텐트분류단계(S6)를 포함한다.
파일수신단계(S1)에서는 다양한 유입채널로부터 멀티미디어 파일(이하 '파일'이라 함)이 통합적으로 수신된다.
제1전처리단계(S2)에서는 파일수신단계(S1)에서 수신된파일로부터 사전에 정의한 대로 파일 특성정보가 선택적으로 추출된다.
파일분류단계(S3)에서는 수시로 갱신되는 제1 인공지능 분류 모델(A)를 이용하여, 제1전처리단계(S2)에서 추출된 파일 특성정보를 통해 파일에 대한 악성 여부가 분류된다.
액티브콘텐트추출단계(S4)에서는 파일분류단계(S3)에서 정상으로 분류된 정상 파일에 한해서 액티브 콘텐트가 추출된다.
제2전처리단계(S5)에서는 액티브콘텐트추출단계(S4)에서 추출된 액티브 콘텐트로부터 사전에 정의한 대로 액티브 콘텐트 특성정보가 선택적으로 추출된다.
액티브콘텐트분류단계(S6)에서는 수시로 갱신되는 제2 인공지능 분류 모델(B)을 이용하여, 상기 제2전처리단계(S5)에서 추출된 상기 액티브 콘텐트 특성을 통해 상기 액티브 콘텐트에 대한 악성 여부가 분류된다.
제1 인공지능 분류 모델(A)은 악성 여부가 사전에 분류된 샘플 멀티미디어 파일(이하 '샘플 파일'이라 함)의 특성정보 및 상기 샘플 파일의 악성 여부에 대한 레이블값을 이용하여 심층신경망을 기계학습시켜 생성된다.
제2 인공지능 분류 모델(B)은 악성 여부가 사전에 분류된 샘플 액티브 콘텐트의 특성정보 및 상기 샘플 액티브 콘텐트의 악성 여부에 대한 레이블값을 이용하여 심층신경망을 기계학습시켜 생성된다.
이상에서 설명한 본 발명의 실시예는 장치, 시스템 및 방법을 통해서만 구현이 되는 것은 아니며, 본 발명의 실시예들의 기능을 수행하는 프로그램 또는 그 프로그램을 기록한 컴퓨터 판독 가능 기록매체를 통해 구현될 수도 있다.
이상에서 본 발명의 실시예에 대하여 상세하게 설명하였지만 본 발명의 권리범위는 이에 한정되는 것은 아니고 다음의 청구범위에서 정의하고 있는 본 발명의 기본 개념을 이용한 당업자의 여러 변형, 균등 내지 개량 형태 또한 본 발명의 권리범위에 속하는 것이다.
본 명세서에서 사용되는 용어 "장치" "부", "수단", "시스템" "기능" 등은 컴퓨터-관련 엔티티, 하드웨어, 펌웨어, 소프트웨어, 소프트웨어 및 하드웨어의 조합, 또는 소프트웨어의 실행을 지칭한다. 예를 들어, "기능"은 프로세서상에서 실행되는 처리과정(procedure), 프로세서, 객체, 실행 스레드, 프로그램, 및/또는 컴퓨터일 수 있지만, 이들로 제한되는 것은 아니다. 예를 들어, 컴퓨팅 장치에서 실행되는 애플리케이션 및 컴퓨팅 장치 모두 기능일 수 있다. 하나 이상의 기능은 프로세서 및/또는 실행 스레드 내에 상주할 수 있다. 일 기능은 하나의 컴퓨터 내에 로컬화 될 수 있다. 일 기능은 2개 이상의 컴퓨터들 사이에 분배될 수 있다. 또한, 이러한 기능들은 그 내부에 저장된 다양한 데이터 구조들을 갖는 다양한 컴퓨터 판독가능한 매체로부터 실행할 수 있다. 기능들은 예를 들어 하나 이상의 데이터 패킷들을 갖는 신호(예를 들면, 로컬 시스템, 분산 시스템에서 다른 기능들과 상호작용하는 하나의 기능으로부터의 데이터 및/또는 신호를 통해 다른 시스템과 인터넷과 같은 네트워크를 통해 전송되는 데이터)에 따라 로컬 및/또는 원격 처리들을 통해 통신할 수 있다.
더불어, 용어 "또는"은 배타적 "또는"이 아니라 내포적 "또는"을 의미하는 것으로 의도된다. 즉, 달리 특정되지 않거나 문맥상 명확하지 않은 경우에, "X는 A 또는 B를 이용한다"는 자연적인 내포적 치환 중 하나를 의미하는 것으로 의도된다. 즉, X가 A를 이용하거나; X가 B를 이용하거나; 또는 X가 A 및 B 모두를 이용하는 경우, "X는 A 또는 B를 이용한다"가 이들 경우들 어느 것으로도 적용될 수 있다. 또한, 본 명세서에 사용된 "및/또는"이라는 용어는 열거된 관련 아이템들 중 하나 이상의 아이템의 가능한 모든 조합을 지칭하고 포함하는 것으로 이해되어야 한다.
당업자들은 추가적으로 여기서 개시된 실시예들과 관련되어 설명된 다양한 예시적 논리적 블록들, 구성들, 모듈들, 회로들, 수단들, 로직들, 및 알고리즘 단계들이 전자 하드웨어, 컴퓨터 소프트웨어, 또는 양쪽 모두의 조합들로 구현될 수 있음을 인식해야 한다. 하드웨어 및 소프트웨어의 상호교환성을 명백하게 예시하기 위해, 다양한 예시적 컴포넌트들, 블록들, 구성들, 수단들, 로직들, 모듈들, 회로들, 및 단계들은 그들의 기능성 측면에서 일반적으로 위에서 설명되었다. 그러한 기능성이 하드웨어로 또는 소프트웨어로서 구현되는지 여부는 전반적인 시스템에 부과된 특정 어플리케이션(application) 및 설계 제한들에 달려 있다. 숙련된 기술자들은 각각의 특정 어플리케이션들을 위해 다양한 방법들로 설명된 기능성을 구현할 수 있다. 다만, 그러한 구현의 결정들이 본 개시내용의 영역을 벗어나게 하는 것으로 해석되어서는 안된다.
본 발명의 파일 내 악성 위협을 처리하는 인공지능 기반 시스템 등에 포함되는 컴퓨터 장치, 파일 내 악성 위협을 처리하는 인공지능 기반 장치를 구현하는 컴퓨터 장치 또는 파일 내 악성 위협을 처리하는 인공지능 기반 방법을 수행하는 프로그램을 판독하는 컴퓨터 장치에 있어서, 컴퓨터 장치의 프로세서는 하나 이상의 코어로 구성될 수 있으며, 컴퓨팅 장치의 중앙 처리 장치(CPU: centralprocessing unit), 범용 그래픽 처리 장치(GPGPU: general purpose graphics processing unit), 텐서 처리 장치(TPU: tensor processing unit), 모바일 단말의 어플리케이션 프로세서(AP: application processor)등의 데이터 분석, 딥러닝을 위한 모든 종류의 프로세서를 포함할 수 있다. 프로세서는 메모리에 저장된 컴퓨터 프로그램을 판독하여 본 발명의 일 실시예에 따른 파일 내 악성 위협을 처리하는 인공지능 기반 방법을 수행할 수 있다.
본 명세서에 걸쳐, 심층신경망, 네트워크 함수, 뉴럴 네트워크(neural network)는 동일한 의미로 사용될 수 있다.
본 발명의 일 실시예에 따라 프로세서는 심층신경망의 학습을 위한 계산을 수행할 수 있다. 프로세서는 딥러닝(DN: deeplearning)에서 학습을 위한 입력 데이터의 처리, 입력 데이터에서의 특성(피처(feature)) 추출, 오차 계산, 역전파(backpropagation)를 이용한 심층신경망의 가중치 갱신 등의 심층신경망의 학습을 위한 계산을 수행할 수 있다. 프로세서의 CPU, GPGPU, 및 TPU 중 적어도 하나가 네트워크 함수의 학습을 처리할 수 있다. 예를 들어, CPU와 GPGPU가 함께 네트워크 함수의 학습, 네트워크 함수를 이용한 데이터 분류를 처리할 수 있다. 또한, 본 발명의 일 실시예에서 복수의 컴퓨팅 장치의 프로세서를 함께 사용하여 네트워크 함수의 학습, 네트워크 함수를 이용한 데이터 분석을 처리할 수 있다. 또한, 본 발명의 일 실시예에 따른 컴퓨팅 장치에서 수행되는 컴퓨터 프로그램은 CPU, GPGPU, TPU 또는 AP 실행가능 프로그램일 수 있다.
상술한 컴퓨팅 장치는 CPU, GPGPU, TPU 및 AP 중 적어도 하나를 이용하여 네트워크 함수를 분산하여 처리할 수 있다. 또한 본 발명의 일 실시예에서 컴퓨팅 장치는 다른 컴퓨팅 장치와 함께 네트워크 함수를 분산하여 처리할 수 있다.
본 발명의 일 실시예에서 인공지능 분류 모델을 이용하여 분류되는 액티브 콘텐트를 포함하는 멀티미디어 파일은 컴퓨팅 장치의 저장 매체에 저장된 파일 및/또는 통신 모듈에 의하여 데이터 베이스 등 다른 컴퓨팅 장치로부터 전송된 파일일 수 있다. 또한 본 발명의 일 실시예에서 인공지능 분류 모델을 이용하여 분류되는 액티브 콘텐트를 포함하는 멀티미디어 파일은 컴퓨터 판독가능 저장 매체(예를 들어, 플래시 메모리 등을 포함할 수 있으나 본 발명는 이에 제한되지 않음)에 저장된 파일일 수 있다. 컴퓨팅 장치는 입출력 인터페이스(미도시)를 통해 컴퓨터 판독가능 저장 매체에 저장된 파일을 입력 받을 수 있다.
즉, 본 발명의 일 실시예들은 컴퓨팅 장치를 이용하여 멀티미디어 파일을 수신하고, 사전 학습된 심층신경망을 통해 생성한 인공지능 분류 모델에 특성정보를 입력하여 출력된 예측값을 통해 해당 멀티미디어 파일 및 그에 포함된 액티브 콘텐트의 악성 여부를 예측할 수 있다.
메모리는 본 발명의 일 실시예에 따른 방법을 수행하기 위한 컴퓨터 프로그램을 저장할 수 있으며, 저장된 컴퓨터 프로그램은 프로세서에 의하여 판독되어 구동될 수 있다.
본 발명의 일실시예에서 이용되는 컴퓨팅 장치상의 통신 모듈은 본 발명을 실시하기 위한 데이터 등을 다른 컴퓨팅 장치, 서버 등과 송수신할 수 있다. 통신 모듈은 특성에 대한 학습데이터, 레이블값, 벡터데이터 등 본 발명의 실시예에 필요한 데이터들을 다른 컴퓨팅 장치, 서버 등과 송수신 할 수 있다. 예를 들어, 통신 모듈은 인공지능 분류 모델을 다른 컴퓨팅 장치, 서버 등으로부터 수신할 수 있다. 통신 모듈은 학습데이터, 결과값 등이 저장된 데이터베이스 등에서 학습데이터 등을 수신할 수 있다. 또한, 통신 모듈은 복수의 컴퓨팅 장치 사이의 통신을 가능하게 하여 복수의 컴퓨팅 장치 각각에서 네트워크 함수의 학습이 분산 수행되도록 할 수 있다. 통신 모듈은 복수의 컴퓨팅 장치 사이의 통신을 가능하게 하여 네트워크 함수를 사용한 데이터 처리를 분산 처리할 수 있도록 할 수 있다.
<심층신경망 내지 인공지능 분류 모델에 대한 설명>
본 명세서에 걸쳐 신경망, 심층신경망, 네트워크 함수, 뉴럴 네트워크(neural network)는 동일한 의미로 사용될 수 있다. 신경망은 일반적으로 “노드”라 지칭될 수 있는 상호 연결된 계산 단위들의 집합으로 구성될 수 있다. 이러한 “노드”들은 “뉴런(neuron)”들로 지칭될 수도 있다. 신경망은 적어도 하나 이상의 노드들을 포함하여 구성된다. 신경망들을 구성하는 노드(또는 뉴런)들은 하나 이상의“링크”에 의해 상호 연결될 수 있다.
신경망 내에서, 링크를 통해 연결된 하나 이상의 노드들은 상대적으로 입력 노드 및 출력 노드의 관계를 형성할 수 있다. 입력 노드 및 출력 노드의 개념은 상대적인 것으로서, 하나의 노드에 대하여 출력 노드 관계에 있는 임의의 노드는 다른 노드와의 관계에서 입력 노드 관계에 있을 수 있으며, 그 역도 성립할 수 있다. 상술한 바와 같이, 입력 노드 대 출력 노드 관계는 링크를 중심으로 생성될 수 있다. 하나의 입력 노드에 하나 이상의 출력 노드가 링크를 통해 연결될 수 있으며, 그 역도 성립할 수 있다.
하나의 링크를 통해 연결된 입력 노드 및 출력 노드 관계에서, 출력 노드는 입력 노드에 입력된 데이터에 기초하여 그 값이 결정될 수 있다. 여기서 입력 노드와 출력 노드를 상호 연결하는 노드는 가중치(weight)를 가질 수 있다. 가중치는 가변적일 수 있으며, 신경망이 원하는 기능을 수행하기 위해, 사용자 또는 알고리즘에 의해 가변될 수 있다. 예를 들어, 하나의 출력 노드에 하나 이상의 입력 노드가 각각의 링크에 의해 상호 연결된 경우, 출력 노드는 상기 출력 노드와 연결된 입력 노드들에 입력된 값들 및 각각의 입력 노드들에 대응하는 링크에 설정된 가중치에 기초하여 출력 노드 값을 결정할 수 있다.
상술한 바와 같이, 신경망은 하나 이상의 노드들이 하나 이상의 링크를 통해 상호 연결되어 신경망 내에서 입력노드 및 출력 노드 관계를 형성한다. 신경망 내에서 노드들과 링크들의 개수 및 노드들과 링크들 사이의 연관관계, 링크들 각각에 부여된 가중치의 값에 따라, 신경망의 특성이 결정될 수 있다. 예를 들어, 동일한 개수의 노드 및 링크들이 존재하고, 링크들 사이의 가중치 값이 상이한 두 신경망이 존재하는 경우, 두 개의 신경망들은 서로 상이한 것으로 인식될 수 있다.
신경망은 하나 이상의 노드들을 포함하여 구성될 수 있다. 신경망을 구성하는 노드들 중 일부는, 최초 입력 노드로부터의 거리들에 기초하여, 하나의 레이어(layer)를 구성할 수 있다, 예를 들어, 최초 입력 노드로부터 거리가 n인 노드들의 집합은, n 레이어를 구성할 수 있다. 최초 입력 노드로부터 거리는, 최초 입력 노드로부터 해당 노드까지 도달하기 위해 거쳐야 하는 링크들의 최소 개수에 의해 정의될 수 있다. 그러나, 이러한 레이어의 정의는 설명을 위한 임의적인 것으로서, 신경망 내에서 레이어의 차수는 상술한 것과 상이한 방법으로 정의될 수 있다. 예를 들어, 노드들의 레이어는 최종 출력 노드로부터 거리에 의해 정의될 수도 있다.
최초 입력 노드는 신경망 내의 노드들 중 다른 노드들과의 관계에서 링크를 거치지 않고 데이터가 직접 입력되는 하나 이상의 노드들을 의미할 수 있다. 또는, 신경망 네트워크 내에서, 링크를 기준으로 한 노드 간의 관계에 있어서, 링크로 연결된 다른 입력 노드들을 가지지 않는 노드들을 의미할 수 있다. 이와 유사하게, 최종 출력노드는 신경망 내의 노드들 중 다른 노드들과의 관계에서, 출력 노드를 가지지 않는 하나 이상의 노드들을 의미할 수 있다. 또한, 히든 노드는 최초 입력 노드 및 최후 출력 노드가 아닌 신경망을 구성하는 노드들을 의미할 수 있다. 본 발명의 일 실시예에 따른 신경망은 입력 레이어의 노드의 개수가 출력 레이어의 노드의 개수와 동일할 수 있으며, 입력 레이어에서 히든 레이어로 진행됨에 따라 노드의 수가 감소하다가 다시 증가하는 형태의 신경망일 수 있다. 또한, 본 발명의 다른 일 실시예에 따른 신경망은 입력 레이어의 노드의 개수가 출력 레이어의 노드의 개수 보다 적을 수 있으며, 입력 레이어에서 히든 레이어로 진행됨에 따라 노드의 수가 감소하는 형태의 신경망일 수 있다. 또한, 본 발명의 또 다른 일 실시예에 따른 신경망은 입력 레이어의 노드의 개수가 출력 레이어의 노드의 개수보다 많을 수 있으며, 입력 레이어에서 히든 레이어로 진행됨에 따라 노드의 수가 증가하는 형태의 신경망일 수 있다. 본 발명의 또 다른 일 실시예에 따른 신경망은 상술한 신경망들의 조합된 형태의 신경망일 수 있다.
딥 뉴럴 네트워크(DNN: deep neural network, 심층신경망)는 입력 레이어와 출력 레이어 외에 복수의 히든 레이어를 포함하는 신경망을 의미할 수 있다. 딥 뉴럴 네트워크를 이용하면 데이터의 잠재적인 구조(latent structures)를 파악할 수 있다. 즉, 사진, 글, 비디오, 음성, 음악의 잠재적인 구조(예를 들어, 어떤 물체가 사진에 있는지, 글의 내용과 감정이 무엇인지, 음성의 내용과 감정이 무엇인지 등)를 파악할 수 있다. 딥 뉴럴 네트워크는 컨벌루셔널 뉴럴 네트워크(CNN: convolutional neural network), 리커런트 뉴럴 네트워크(RNN:recurrentneural network), 오토 인코더(auto encoder), GAN(Generative Adversarial Networks), 제한 볼츠만 머신(RBM: restricted boltzmann machine), 심층 신뢰 네트워크(DBN: deep belief network), Q 네트워크, U 네트워크, 샴 네트워크 등을 포함할 수 있다. 전술한 딥 뉴럴 네트워크의 기재는 예시일 뿐이며 본 발명는 이에 제한되지 않는다.
본 발명의 일 실시예에서 네트워크 함수는 오토인코더를 포함할 수도 있다. 오토 인코더는 입력 데이터와 유사한 출력 데이터를 출력하기 위한 인공 신경망의 일종일 수 있다. 오토 인코더는 적어도 하나의 히든 레이어를 포함할 수 있으며, 홀수 개의 히든 레이어가 입출력 레이어 사이에 배치될 수 있다. 각각의 레이어의 노드의 수는 입력 레이어의 노드의 수에서 병목 레이어(인코딩)라는 중간 레이어에서 축소되었다가, 병목 레이어에서 출력 레이어(입력 레이어와 대칭)로 축소와 대칭되어 확장될 수도 있다. 차원 감소 레이어와 차원 복원 레이어의노드는 대칭일 수도 있고 아닐 수도 있다. 오토 인코더는 비선형 차원 감소를 수행할 수 있다. 입력 레이어 및 출력 레이어의 노드의 수는 입력 데이터의 전처리 이후에 남은 픽셀들의 수와 대응될 수 있다. 오토 인코더 구조에서 인코더에 포함된 히든 레이어의 노드의 수는 입력 레이어에서 멀어질수록 감소하는 구조를 가질 수 있다. 병목 레이어(인코더와 디코더 사이에 위치하는 가장 적은 노드를 가진 레이어)의 노드의 수는 너무 작은 경우 충분한 양의 정보가 전달되지 않을 수 있으므로, 특정 수 이상(예를 들어, 입력 레이어의 절반 이상 등)으로 유지될 수도 있다.
뉴럴 네트워크는 교사 학습(supervised learning), 비교사 학습(unsupervised learning), 및 반교사학습(semi supervised learning) 중 적어도 하나의 방식으로 학습될 수 있다. 뉴럴 네트워크의 학습은 출력의 오류를 최소화하기 위한 것이다. 뉴럴 네트워크의 학습에서 반복적으로 학습데이터를 뉴럴 네트워크에 입력시키고 특성정보에 대한 뉴럴 네트워크의 출력인 출력값과 특성정보에 레이블링되어 있는 결과값 간의 오차(에러)를 계산하고, 에러를 줄이기 위한 방향으로 뉴럴 네트워크의 에러를 뉴럴 네트워크의 출력 레이어에서부터 입력 레이어 방향으로 역전파(backpropagation)하여 뉴럴 네트워크의 각 노드의 가중치를 갱신(업데이트) 하는 과정이다. 교사 학습의 경우 각각의 학습데이터로 특성정보의 정답인 결과값이 라벨링되어 있는 학습데이터를 사용하며(즉, 라벨링된 학습데이터), 비교사 학습의 경우는 각각의 학습데이터에 정답이 라벨링되어 있지 않을 수 있다. 즉, 예를 들어 데이터 분류에 관한 교사 학습의 경우의 학습데이터는 학습데이터 각각에 카테고리가 라벨링된 데이터일 수 있다. 라벨링된 학습데이터가 뉴럴 네트워크에 입력되고, 뉴럴 네트워크의 출력(카테고리)과 학습데이터의 라벨이 비교되어짐으로써 오차(error)가 계산될 수 있다. 다른예로, 데이터 분류에 관한 비교사 학습의 경우 입력인 학습데이터가 뉴럴 네트워크 출력과 비교됨으로써 오류가 계산될 수 있다. 계산된 오류는 뉴럴 네트워크에서 역방향(즉, 출력 레이어에서 입력 레이어 방향)으로 역전파 되며, 역전파에 따라 뉴럴 네트워크의 각 레이어의 각 노드들의 연결 가중치가 업데이트 될 수 있다. 업데이트 되는 각 노드의 연결 가중치는 학습률(learning rate)에 따라 변화량이 결정될 수 있다. 입력 데이터에 대한 뉴럴 네트워크의 계산과 에러의 역전파는 학습 사이클(epoch)을 구성할 수 있다. 학습률은 뉴럴 네트워크의 학습사이클의 반복 횟수에 따라 상이하게 적용될 수 있다. 예를 들어, 뉴럴 네트워크의 학습 초기에는 높은 학습률을 사용하여 뉴럴 네트워크가 빠르게 일정 수준의 성능을 확보하도록 하여 효율성을 높이고, 학습 후기에는 낮은 학습률을 사용하여 정확도를 높일 수 있다.
뉴럴 네트워크의 학습에서 일반적으로 학습데이터는 실제 데이터(즉, 학습된 뉴럴 네트워크를 이용하여 처리하고자 하는 데이터)의 부분집합일 수 있으며, 따라서, 학습데이터에 대한 오류는 감소하나 실제 데이터에 대해서는 오류가 증가하는 학습 사이클이 존재할 수 있다. 과적합(overfitting)은 이와 같이 학습데이터에 과하게 학습하여 실제 데이터에 대한 오류가 증가하는 현상이다. 예를 들어, 노란색 고양이를 보여 고양이를 학습한 뉴럴 네트워크가 노란색 이외의 고양이를 보고는 고양이임을 인식하지 못하는 현상이 과적합의 일종일 수 있다.
과적합은 기계학습(머신러닝) 알고리즘의 오류를 증가시키는 원인으로 작용할 수 있다. 이러한 과적합을 막기 위하여 다양한 최적화 방법이 사용될 수 있다. 과적합을 막기 위해서는 학습데이터를 증가시키거나, 레귤라이제이션(regulaization), 학습의 과정에서 네트워크의 노드 일부를 생략하는 드롭아웃(dropout) 등의 방법이 적용될 수 있다.
도 1에 도시된 컨벌루셔널 뉴럴 네트워크(CNN: convolutional neural network)는 딥 뉴럴 네트워크의 일종으로서, 컨벌루셔널 레이어를 포함하는 신경망을 포함한다. 컨벌루셔널 뉴럴 네트워크는 최소한의 전처리(preprocess)를 사용하도록 설계된 다계층 퍼셉트론(multilayer perceptrons)의 한 종류이다. CNN은 하나 또는 여러개의 컨벌루셔널 레이어와 이와 결합된 인공 신경망 계층들로 구성될 수 있으며, 가중치와 풀링 레이어(pooling layer)들을 추가로 활용할 수 있다. 이러한 구조 덕분에 CNN은 2 차원 구조의 입력 데이터를 충분히 활용할 수 있다. 컨벌루셔널 뉴럴 네트워크는 일반적으로 이미지 등에서 오브젝트를 인식하기 위하여 사용될 수 있다. 컨벌루셔널 뉴럴 네트워크는 데이터를 차원을 가진 행렬로 나타내어 처리할 수 있다. 예를 들어 RGB(redgreen-blue)로 인코딩된 이미지 데이터의 경우, R, G, B 색상별로 각각 2차원(예를 들어, 2차원 이미지인 경우) 행렬로 나타낼 수 있다. 즉, 이미지 데이터의 각 픽셀의 색상값이 행렬의 성분이 될 수 있으며 행렬의 크기는 이미지의 크기와 같을 수 있다. 따라서 이미지 데이터는 3개의 2차원 행렬로(3차원의 데이터 어레이)로 나타내어질 수 있다.
컨벌루셔널 뉴럴 네트워크에서 컨벌루셔널 필터를 이동해가며 컨벌루셔널 필터와 벡터형식 데이터의 각 위치에서의 행렬 성분끼리 곱하는 것으로 컨벌루셔널 과정(컨벌루셔널 레이어의 입출력)을 수행할 수 있다. 컨벌루셔널 필터는 n*n 형태의 행렬로 구성될 수 있으며, 일반적으로 벡터 형식 데이터가 이미지인 경우, 이미지의 전체 픽셀의 수보다 작은 고정된 형태의 필터로 구성될 수 있다. 즉, m*m 이미지를 컨벌루셔널 레이어(예를 들어, 컨벌루셔널 필터의 사이즈가 n*n인 컨벌루셔널 레이어)입력시키는 경우, 이미지의 각 픽셀을 포함하는 n*n 픽셀을 나타내는 행렬이 컨벌루셔널 필터와 성분곱(즉, 행렬의 각 성분끼리의 곱) 될 수 있다. 컨벌루셔널 필터와의 곱에 의하여 이미지에서 컨벌루셔널 필터와 매칭되는 성분이 추출될 수 있다. 예를 들어, 이미지에서 상하 직선 성분을 추출하기 위한 3*3 컨벌루셔널 필터는 [[0,1,0],[0,1,0],[0,1,0]] 와 같이 구성될 수 있으며, 이러한 컨벌루셔널 필터가 입력 이미지에 적용되면 이미지에서 컨벌루셔널 필터와 매칭되는 상하 직선 성분이 추출되어 출력될 수 있다. 컨벌루셔널 레이어는 이미지를 나타낸 각각의 채널에 대한 각각의 행렬(즉, R, G, B 코딩 이미지의 경우, R, G, B 색상)에 컨벌루셔널 필터를 적용할 수 있다. 컨벌루셔널 레이어는 입력 이미지에 컨벌루셔널 필터를 적용하여 입력 이미지에서 컨벌루셔널 필터와 매칭되는 피처를 추출할 수 있다. 컨벌루셔널 필터의 필터 값(즉, 행렬의 각 성분의 값)은 컨벌루셔널 뉴럴 네트워크의 학습 과정에서 역전파(back propagation)에 의하여 업데이트 될 수 있다.
컨벌루셔널 레이어의 출력에는 서브샘플링 레이어가 연결되어 컨벌루셔널 레이어의 출력을 단순화하여 메모리 사용량과 연산량을 줄일 수 있다. 예를 들어, 2*2 맥스 풀링 필터를 가지는 풀링 레이어에 컨벌루셔널 레이어의 출력을 입력시키는 경우, 이미지의 각 픽셀에서 2*2 패치마다 각 패치에 포함되는 최대값을 출력하여 이미지를 압축할 수 있다. 전술한 풀링은 패치에서 최소값을 출력하거나, 패치의 평균값을 출력하는 방식일 수도 있으며 임의의 풀링 방식이 본 개시에 포함될 수 있다.
컨벌루셔널 뉴럴 네트워크는 하나 이상의 컨벌루셔널 레이어, 서브샘플링 레이어를 포함할 수 있다. 컨벌루셔널 뉴럴 네트워크는 컨벌루셔널 과정과 서브샘플링 과정(예를 들어, 전술한 맥스 풀링 등)을 반복적으로 수행하여 이미지에서 피처를 추출할 수 있다. 반복적인 컨벌루션널 과정과 서브샘플링 과정을 통해 뉴럴 네트워크는 이미지의 글로벌 피처를 추출할 수 있다.
컨벌루셔널 레이어 또는 서브샘플링 레이어의 출력은 풀 커넥티드 레이어(fully connected layer)에 입력될 수 있다. 풀 커넥티드 레이어는 하나의 레이어에 있는 모든 뉴런과 이웃한 레이어에 있는 모든 뉴런이 연결되는 레이어이다. 풀 커넥티드 레이어는 뉴럴 네트워크에서 각 레이어의 모든 노드가 다른 레이어의 모든 노드에 연결된 구조를 의미할 수 있다.
본 발명의 일 실시예에서 이미지 데이터의 세그먼테이션(segmentation)을 수행하기 위하여 뉴럴 네트워크는 디컨벌루셔널 뉴럴 네트워크(DCNN: deconvolutional neural network)를 포함할 수 있다. 디컨벌루셔널 뉴럴 네트워크는 컨벌루셔널 뉴럴 네트워크를 역방향으로 계산시킨 것과 유사한 동작을 수행하며, 컨벌루셔널 뉴럴 네트워크에서 추출된 피처를 원본 데이터와 관련된 피처 맵으로 출력할 수 있다.
본 발명에서 심층신경망 및 뉴럴 네트워크(neural network)는 상호교환가능하게 사용될 수 있다.
이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시예에 대해 상세히 설명한다.
<파일 내 악성 위협을 처리하는 인공지능 기반 장치에 대한 설명>
본 발명인 파일 내 악성 위협을 처리하는 인공지능 기반 장치는 파일수신부(100), 제1전처리부(200), 파일분류부(300), 액티브콘텐트추출부(400), 제2전처리부(500) 및 액티브콘텐트분류부(600)을 포함한다.
파일수신부(100)는 다양한 유입채널로부터 멀티미디어 파일(이하 '파일'이라 함)을 통합적으로 수신한다.
제1전처리부(200)는 파일수신부(100)에서 수신된 파일로부터 사전에 정의한 대로 파일 특성정보를 선택적으로 추출한다.
파일분류부(300)는 수시로 갱신되는 제1 인공지능 분류 모델(A)을 이용하여, 제1전처리부(200)에서 추출된 파일 특성정보를 통해 파일에 대한 악성 여부를 분류한다.
즉, 파일분류부(300)는 파일 특성에 대한 특성정보를 제1 인공지능 분류 모델(A)에 입력하고, 제1 인공지능 분류 모델(A)이 출력하는 예측값에 따라 액티브 콘텐트의 악성 여부를 예측할 수 있다. 그리고 파일분류부(300)는 파일의 악성 여부에 대한 예측결과인 예측분류정보를 생성할 수 있다.
예를 들어, 여기서 예측값은 액티브 콘텐트가 악성인지 혹은 정상인지에 대해 0에서 1사이의 확률로 나타내는 확률값이 될 수 있으나 이에 한정되지 아니한다.
액티브콘텐트추출부(400)는 파일분류부(300)에서 정상으로 분류된 정상 파일에 한해서 액티브 콘텐트를 추출한다.
제2전처리부(500)는 액티브콘텐트추출부(400)에서 추출된 액티브 콘텐트로부터 사전에 정의한 대로 액티브 콘텐트 특성정보를 선택적으로 추출한다.
제2전처리부(500)는 API시퀀스추출부분(510), 바이너리변환부분(520) 및 특성정보생성부분(730)을 포함할 수 있다.
액티브 콘텐트의 분석을 통해 악성 함수 등 행위 정보가 추출될 수 있다. 구체적으로 이러한 행위 정보에는 CreateObject(), eval(), 시스템 콜 등 유해한 호출들과 scriptingfilesystemobject, wscriptshell 등 유해한 객체들을 포함하는 API 시퀀스가 포함될 수 있다.
API시퀀스추출부분(510)은 액티브 콘텐트로부터 API시퀀스를 추출한다.
바이너리변환부분(520)은 API시퀀스를 기구축된 딕셔너리로 매핑하여 바이너리로 변환한다. 딕셔너리는 기존에 액티브 콘텐트 분석을 통해 악성 함수 등 행위정보에 관련된 API시퀀스를 Hexa 바이너리 등으로 변환하기 위해 구축되어 있다.
특성정보생성부분(530)은 바이너리변환부분(520)에서 변환된 바이너리를 가공하여 특성정보를 생성한다. 이러한 바이너리 변환 가공 과정은, 예를 들어, 바이너리를 업/다운 샘플링하고, n-gram 추출하여 피처를 추출하고 n-gram에 대해 피처 해싱을 통해 고정 길이의 특성정보를 생성할 수 있다. 여기서 적합한 ngram은 수행하기에 따라 찾아질 수 있으며 필요에 따라 2, 3개의 다중 n-gram을 추출하여 각각을 피처 해싱할 수도 있다. 이렇게 마련된 특성정보는 고정 길이로 설정되므로 CNN 등에 입력되기 적합하다.
n-gram 단위의 피처에 대한 해시값은 피처 해싱에 의해 생성되는데 이러한 피처 해싱에 이용되는 해시 함수는 어떠한 함수가 되어도 무방하다. 이러한 피처해싱은 해싱 트릭(hashing trick)으로도 불릴 수 있다. 당해 기술 분야에서 이미 널리 알려진 기법이므로 자세한 설명은 생략한다.
액티브콘텐트분류부(600)는 수시로 갱신되는 제2 인공지능 분류 모델(B)을 이용하여, 제2전처리부(500)에서 추출된 액티브 콘텐트 특성정보를 통해 액티브 콘텐트에 대한 악성 여부를 분류한다.
이때 제1 인공지능 분류 모델(A)은 악성 여부가 사전에 분류된 샘플 멀티미디어 파일(이하 '샘플 파일'이라 함)의 특성정보 및 샘플 파일의 악성 여부에 대한 레이블값을 이용하여 심층신경망을 기계학습시켜 생성된다.
제2 인공지능 분류 모델은 악성 여부가 사전에 분류된 샘플 액티브 콘텐트의 특성정보 및 상기 샘플 액티브 콘텐트의 악성 여부에 대한 레이블값을 이용하여 심층신경망을 기계학습시켜 생성된다.
각 인공지능 분류 모델을 생성하기 위한 심층신경망은 각 목적, 용도, 입력되는 특성정보 내지 레이블값 등에 따라 동일하거나 상이하게 채택될 수 있다.
사전에 악성 여부가 분류되어 있는 샘플 파일 내지 액티브 콘텐트의 특성에 대한 특성정보가 추출되고 샘플 파일 내지 액티브 콘텐트의 악성 여부에 대한 결과값인 레이블값을 학습데이터로 하여 수집되어져 있을 수 있다.
학습데이터는 정상 파일, 액티브 콘텐트와 악성 파일, 액티브 콘텐트에서 각각 추출되거나 악성 파일, 액티브 콘텐트 또는 정상 파일, 액티브 콘텐트에서만 추출된 것일 수 있다.
예를 들어, 여기서 결과값은 액티브 콘텐트가 악성인지 혹은 정상인지에 대해 표현하는 0=정상, 1=악성 등의 값이 될 수 있으나 이에 한정되지 아니한다.
구체적으로 인공지능 분류 모델을 생성하기 위한 심층신경망은 컨벌루션신경망(Convolutional Neural Networks, CNN)이 될 수 있다. 물론 컨벌루션신경망뿐만 아니라 심층 신경망(Deep Neural Network, DNN), 재귀 신경망(Recurrent Neural Network, RNN), 제한 볼츠만 머신(restricted Boltzmann machine), 심층 신뢰 신경망(Deep Belief Network, DBN), 심층 Q-네트워크(Deep Q-Network) 등과 같이 다양한 딥 러닝 기법이 적용된 신경망 알고리즘이 사용될 수 있다.
그리고 새로운 샘플 파일이나 액티브 콘텐트가 학습 대상이 되어 새로운 학습데이터가 추가되면 심층신경망은 추가 학습을 통해 인공지능 분류 모델이 갱신될 수 있다. 즉, 전이학습 방식을 통해 분류 모델을 다시 분류 모델을 구축하거나 재학습할 필요 없이 기존의 분류 모델을 갱신함으로써, 모델 구축에 따른 비용이 절감될 수 있다.
종래의 악성코드 탐지 방법을 이용하여 악성코드를 탐지하는데 가장 큰 문제점 중 하나가 바로 다수의 악성코드 변종들에 의한 공격일 수 있다. 즉, 하나의 악성코드로부터 다양한 변종이 발생할 수 있기 때문에 모든 악성코드들의 패턴을 분석하여 대응하는 것은 매우 어려운 일이다. 그러나, 본 발명과 같이 악성 파일 내지 액티브 콘텐트에서 추출된 특성정보를 통해 인공지능 분류 모델(A) 이용하여 분류한다면, 유사한 변종의 악성코드가 포함된 파일이나 액티브 콘텐트들도 분류가 가능하기 때문에 보다 정확하고 정밀하게 악성, 정상 여부를 분류해 낼 수 있다.
예를 들어, 악성코드 A가 감염된 악성 멀티미디어 파일의 액티브 콘텐트로부터 학습데이터를 이용하여 학습시킨 인공지능 분류 모델을 이용하여 신규 분류 대상인 악성 액티브 콘텐트를 분류하는데 이용한다고 가정한다면, 악성코드 A_1, 악성코드 A_2, 악성코드 A_n 등의 변종 악성코드들을 포함한 액티브 콘텐트도 탐지될 수 있다.
이러한 인공지능 분류 모델을 이용하면 기존의 악성코드 탐지엔진과는 다르게 별도 분석을 통해 얻어지는 악성코드 패턴 설계가 따로 필요하지 않기 때문에 패턴이 알려지지 않은 제로데이 악성코드에 대해서도 신속하게 대응할 수 있는 장점을 갖는다. 인공지능 분류 모델은 분류대상인 파일 내지 액티브 콘텐트의 특성정보가 심층신경망에 입력되어 지속적으로 학습되며 업데이트 될 수 있다. 따라서, 인공지능 분류 모델은 시간이 지날수록 보다 효과적이고 범용적으로 악성코드를 탐지할 수 있다.
예측분류정보는 파일 내지 액티브 콘텐트가 그 특성을 나타내는 특성정보가 인공지능 분류 모델에 입력되어 자동으로 분류되며, 분류되는 그룹에 소속될 확률에 대한 예측값에 기초하여 생성된 파일, 액티브 콘텐트의 악성 여부에 대한 정보를 의미한다.
파일분류부(300)나 액티브콘텐트분류부(600)를 통과하더라도 소속될 그룹을 찾지 못하면 그 파일 내지 액티브콘텐트의 특성정보는 새로운 그룹으로 분류되어야 한다. 이는 아직 인공지능 분류 모델에 의해 분류될 수 없는 특성정보들이며, 이러한 특성정보는 따로 수집되어 심층신경망을 학습시키기 위해 이용될 수 있다.
바람직하게는 본 발명의 일실시예인 파일 내 악성 위협을 처리하는 인공지능 기반 장치는 대조부(700) 및 인터페이스제공부(800)를 더 포함할 수 있다.
대조부(700)는 제1예측분류정보 및 제2예측분류정보를 대조하여 상기 액티브콘텐트분류부의 성과에 대한 성과정보를 생성한다.
즉, 파일분류부(300)에서 악성이라고 분류한 파일을 나타내는 제1예측분류정보와 액티브콘텐트분류부(600)에서 악성이라고 분류한 액티브콘텐트를 나타내는 제2예측분류정보 간의 일치 여부 등을 대조한다. 이를 통해 각 제1 인공지능 분류 모델(A) 및 제2 인공지능 분류 모델(B)의 성능이나 각 파일분류부(300) 및 액티브콘텐트분류부(600)의 성과를 비교할 수 있다. 또한, 액티브콘텐트분류부(600)에서 악성으로 분류한 액티브 콘텐트가 포함된 파일에 후속 보안조치가 수행되면 파일분류부(300)가 파악하지 못했던 제로데이 위협에 적절하게 대응할 수 있다는 액티브콘텐트분류부(600)의 성과를 파악할 수 있게 된다.
또한, 성과정보는 파일분류부(300)의 분류 내역인 제1예측분류정보가 수시로 생성되며 갱신될 수 있다. 즉, 갱신된 파일분류부(300)에서 갱신 전에는 정상 파일로 분류했던 파일을 이후에는 악성 파일로 분류할 수 있다. 액티브콘텐트분류부(600)가 종전에 파일분류부(300)에서 대응하지 못했던 파일에 대해 악성 액티브 콘텐트가 포함되었다고 악성으로 분류하였다고 제2예측분류정보를 생성할 수 있다. 이때 파일분류부(300)가 분류한 파일 내역인 제1예측분류정보가 갱신되고 나서, 제2예측분류정보를 대조해보고 나니, 업데이트되기 전 검사수단(A)이 악성으로 분류하지 못했던 파일에 대해서 파일처리부(200)에 의해 보안처리가 수행되었다는 로그 정보 형식으로 마련될 수 있다
인터페이스제공부(800)는 성과정보를 사용자에게 출력하기 위한 인터페이스를 제공한다.
인터페이스제공부(800)는 디스플레이 장치 등을 통해 시청각적으로 사용자에게 성과정보 등을 출력한다.
제1예측분류정보는 파일분류부(300)에서 파일의 악성 여부를 분류한 결과에 대한 정보이다. 이는 파일 특성정보가 제1 인공지능 분류 모델(A)로 입력되어 출력되는 제1 예측값에 따라 생성된다.
제2예측분류정보도 마찬가지로 액티브콘텐트분류부(600)에서 액티브 콘텐트의 악성 여부를 분류한 결과에 대한 정보이다. 이는 액티브 콘텐트 특성정보가 제2 인공지능 분류 모델(B)로 입력되어 출력되는 제2 예측값에 따라 생성된다.
바람직하게는 본 발명의 일실시예인 파일 내 악성 위협을 처리하는 인공지능 기반 장치는 액티브콘텐트처리부(900)를 더 포함할 수 있다.
액티브콘텐트처리부(900)는 정상 파일로부터 추출된 상기 액티브 콘텐트를 상기 정상 파일에서 무해화하여 변환 파일을 생성하는 보안처리를 수행한다.
구체적으로 액티브콘텐트처리부(900)는 파일분류부(300)에서 정상으로 분류한 정상 파일로부터 추출한 액티브 콘텐트를 무해화하여 변환 파일을 생성하는 보안처리 등을 수행한다. 그리고 변환 파일은 사용자 단말기 등으로 전송될 수 있다. 액티브 콘텐트를 무해화는 보안처리는 액티브 콘텐트가 포함된 멀티미디어 파일에서 악성으로 분류된 액티브 콘텐트를 무력화시키기 위해 이를 제거하거나, 실행코드를 변환시켜 변환 파일을 생성하는 조치이다.
구체적으로, 액티브콘텐트처리부(900)는 해당 액티브 콘텐트의 설명, 유형, 버전, 크기, 해시값 등을 포함하는 특성정보 및 해당 액티브 콘텐트를 무력화시키기 위한 수행내역에 관한 처리정보 중에서 적어도 어느 하나를 포함하는 대체정보를 액티브 콘텐트가 무력화된 멀티미디어 파일과 조합하여 변환 파일을 생성한다. 액티브콘텐트처리부(900)에 의해 무해화된 멀티미디어 파일은 사용자 단말기 등으로부터 해당 파일의 열람요청이 있는 경우에 제공될 수 있다. 이를 통해 사용자 단말기로 제공되는 무해화된 멀티미디어 파일에는 원본인 멀티미디어 파일과 동일한 형식, 폰트, 동일한 개체 위치 등을 가지면서도 사용자 단말기를 감염시킬 수 있는 악성코드가 포함된 액티브 콘텐트가 실행되지 않고 대신 대체정보 등과 함께 무해화처리에 대한 처리정보가 표시될 수 있다. 다만 사용자 단말기로부터 별도의 원본 파일 제공 요청이 있는 경우, 무해화되지 않은 멀티미디어 파일이 제공될 수 있다.
바람직하게는 본 발명의 일실시예인 파일 내 악성 위협을 처리하는 인공지능 기반 장치는 인터페이스제공부(800)를 더 포함할 수 있다. 인터페이스제공부(800)는 액티브콘텐트분류부(600)에서 악성으로 분류된 액티브콘텐트를 선별하여 보안처리를 수행하는 보안정책 설정여부를 사용자로부터 입력받기 위한 인터페이스를 제공한다.
이때 액티브콘텐트처리부(900)는 보안정책에 기초하여 보안처리를 수행한다.
바람직하게는 본 발명의 일실시예인 파일 내 악성 위협을 처리하는 인공지능 기반 장치는 저장부(100)를 더 포함할 수 있다. 저장부(1000)는 파일시스템, DB, 클라우드 또는 빅데이터 플랫폼 등 다양한 형태로 마련될 수 있다. 위 저장부(1000)에는 각종 멀티미디어 파일의 특성정보 및 멀티미디어 파일로부터 추출되는 액티브 콘텐트의 특성정보, 멀티미디어 파일 그 자체, 멀티미디어 파일에 포함된 액티브 콘텐트, 샘플 파일 내지 액티브 콘텐트에서 추출된 특성정보, 그 레이블링값 예측분류정보 등이 수집되어 저장될 수 있다. 그리고 저장부(1000)에는 액티브콘텐트처리부(900)에서 생성한 변환 파일, 변환하기 전 원본 파일인 정상 파일이 저장될 수 있다. 또한, 저장부(1000)는 저장된 각종 데이터, 정보를 검색할 수 있는 인터페이스제공부(800)와 연결되어 있을 수 있다.
본 명세서에 있어서 악성 파일 분류 장치가 수행하는 것으로 기술된 단계나 기능 중 일부는 해당 장치와 연결된 서버에서 대신 수행될 수도 있다. 이와 마찬가지로, 서버가 수행하는 것으로 기술된 단계나 기능 중 일부도 해당 서버와 연결된 장치에서 수행될 수도 있다.
<파일 내 악성 위협을 처리하는 인공지능 기반 시스템에 대한 설명>
도 3은 본 발명의 일 실시예에 따른 파일 내 악성 위협을 처리하는 인공지능 기반 시스템에 대한 개념도이다.
도 3에 도시된 개념도는 상기 시스템의 구성을 간략화 하여 나타낸 예시일 뿐이며, 본 발명의 일 실시예에서 본 발명의 일실시예인 파일 내 악성 위협을 처리하는 인공지능 기반 시스템은 본 발명의 실시예들을 수행하기 위한 다른 구성들을 포함할 수 있다. 본 발명의 시스템은 전자 형태의 데이터를 연산할 수 있는 모든 종류의 컴퓨팅 장치를 포함할 수 있으며, 예를 들어, 퍼스널컴퓨터, 서버 컴퓨터 등의 일반 컴퓨팅 장치 및 모바일 단말(스마트폰(smartphone), 테블릿(tablet)) 등의 제한된 연산 능력을 가진 컴퓨팅 장치 등을 포함할 수 있다.
본 발명의 일실시예에 따른 파일 내 악성 위협을 처리하는 인공지능 기반 시스템은 에이전트(10), 서버(20), 악성 파일 분류 장치(30)를 포함한다.
도 2에서 보는 바와 같이 본 발명의 일실시예에 따른 에이전트(10)는 사용자 단말기 또는 파일 서버에 설치되는 프로그램 모듈일 수 있다. 사용자 단말기는 유무선 통신이 가능한 데스크탑, 노트북, 테블릿PC, 모바일 단말 등으로 마련될 수 있다.
또한, 서버(20)는 네트워크 상에 연결되어 위 장치 등 본 발명과 관련된 서비스를 제공하는 서버이다. 즉, 서버(20)는 파일을 업로드 하거나 다운로드 하는 서비스를 제공하거나 파일을 송수신하는 기능 등을 구비한다.
악성 파일 분류 장치(30)는 사용자가 사용하는 컴퓨터 단말로서, PC, 노트북, 태블릿 PC, 모바일 단말 등이 될 수 있다.
에이전트(10)는 다양한 유입채널을 통해 사용자 단말기 등에 제공될 멀티미디어 파일을 통합적으로 수신한다. 에이전트(10)는 멀티미디어 파일에 대한 특성에 대한 특성정보를 수집할 수 있고, 멀티미디어 파일로부터 액티브 콘텐트를 추출하고, 액티브 콘텐트의 특성에 대한 특성정보를 추출하고 파일의 특성정보, 액티브 콘텐트의 특성정보를 가공하여 인공지능 분류 모델에 입력할 수 있도록 전처리과정을 수행할 수 있다. 특성정보는 멀티미디어 파일 또는 액티브 콘텐트의 소스코드, 명칭, 경로, 해시값, 메타정보, 프로세스ID, 구조 정보, 파일 인덱스, 코드섹션 크기, 헤더 크기, 데이터 섹션 크기 등 정적 특성이나 파일 또는 액티브 콘텐트에서 추출될 수 있는 액티브 콘텐트 실행 로그 등 동적 특성을 나타내는 정보 등이 될 수 있으나 이에 제한되지는 않는다.
또는, 서버(20)는 에이전트(10)가 수신한 멀티미디어 파일로부터 특성에 대한 특성정보를 추출하고 액티브 콘텐트를 추출할 수도 있다. 서버(20)는 마찬가지로 액티브 콘텐트에서 인공지능 분류 모델에 입력될 수 있는 기계학습에 필요한 특성을 선별적으로 추출하여 가공하는 전처리과정을 수행하여 벡터데이터를 생성할 수 있다.
전처리과정은 예를 들어, 액티브 콘텐트에서 이용되는 API시퀀스를 추출하고, API시퀀스를 기구축된 딕셔너리로 매핑하여 바이너리로 변환하고, 바이너리를 가공하여 벡터데이터를 생성한다. 전처리과정의 구체적인 예는 전술하였다.
서버(20)는 사전에 수집된 파일과 액티브 콘텐트의 특성에 대한 특성정보 및 그에 라벨링된 결과값 등이 저장된 저장소와 연결되어 학습데이터로서 특성정보 및 결과값을 수신하거나 자체적으로 저장하고 있을 수 있다. 서버(20)는 학습데이터를 이용하여 심층신경망을 기계학습시킬 수 있다. 서버(20)는 악성 파일 분류 장치(30)와 통신하며, 악성 파일 분류장치(300)로 인공지능 분류 모델(A)을 제공할 수 있다.
제1 인공지능 분류 모델(A)은 사전에 악성 여부가 분류되어진 샘플 멀티미디어 파일의 특성이 추출된 특성정보 및 그에 레이블링 되어 있는 파일의 악성 여부에 대한 결과인 레이블값을 이용하여 심층신경망을 학습시켜 생성할 수 있다.
마찬가지로 제2 인공지능 분류 모델(B)은 사전에 악성 여부가 분류되어진 샘플 액티브 콘텐트의 특성이 추출된 특성정보 및 그에 레이블링된 액티브 콘텐트의 악성 여부에 대한 결과인 레이블값을 이용하여 심층신경망을 학습시켜 생성할 수 있다.
즉, 서버(20)는 샘플 파일 및 샘플 액티브 콘텐트에 대한 학습데이터로서 특성정보 및 레이블값을 이용하여 심층신경망을 학습시켜 인공지능 분류 모델을 생성할 수 있다. 또한 새롭게 수집되는 사전에 악성 여부가 분류된 멀티미디어 파일 및 그 액티브 콘텐트에 대한 학습데이터를 이용하여 심층신경망을 학습시켜 인공지능 분류 모델들을 갱신할 수 있다.
구체적으로 서버(20)는 심층신경망에 특성정보를 입력하여 출력값을 출력하고, 특성정보에 라벨링된 라벨링값과 출력값을 비교하여 오류를 계산하고, 그 오류에 기초하여 심층신경망의 가중치를 역전파방식으로 갱신함으로써 인공지능 분류모델을 생성한다.
여기서, 특성정보는 이미 악성, 정상 등으로 분류된 샘플 파일 및 액티브 콘텐트에서 기계학습에 필요한 특성을 선별적으로 추출하여 가공하는 전처리과정을 거쳐 생성된 것으로 이미 분류되었다는 의미는 적어도 한번은 실행되어 공지되거나, 국내외 보안 벤더들이 제공하는 보안 솔루션 등에 의해 악성, 정상 등으로 분류된 것을 의미한다. 일 예로, 서버(20)에는 기존보안 솔루션이 제공하는 악성 위협과 그에 대한 백신 등이 제공하는 정보가 내부 또는 외부의 DB로부터 수집되어 있을 수 있다. 서버(20)는 멀티미디어 파일, 그 액티브 콘텐트를 직접 수집하고 전처리과정을 거쳐 학습데이터를 생성하여 수집할 수도 있고, 외부에서 전처리과정을 거쳐 생성된 학습데이터를 수집할 수 있다.
그리고, 악성 파일 분류 장치(30)는 악성 여부를 분류할 대상인 멀티미디어파일, 액티브 콘텐트의 악성 여부를 분류한다. 이때, 해당 파일을 개인이나 기업에서 작업수단으로 사용하는 사용자 단말기에서 열람하고자 할 경우에 악성 여부 분류를 수행할 수 있다.
또한, 에이전트(10)에서 악성 파일 분류 장치(30)로 악성 여부 분류를 의뢰할 수 있다.
즉, 악성 파일 분류 장치(30)는 인공지능 분류 모델들을 이용하여 분류 대상이 되는 액티브 콘텐트 및 멀티미디어 파일의 악성 여부를 분류하여 예측분류정보를 생성하는 작업을 수행한다.
도 3은 악성 파일 분류 장치(30)가 에이전트(10) 및 서버(20)와 별개인 객체로 구성된 시스템인 실시예를 보여주고 있지만, 에이전트(10), 서버(20) 및 악성 파일 분류 장치(30)는 통상의 클라이언트와 서버의 구성 방법에 따라 구현될 수 있다. 즉, 전체 시스템의 기능들을 클라이언트의 성능이나 서버 통신량 등에 따라 분담될 수 있다. 예를 들어, 에이전트(10)는 멀티미디어 파일에 대한 수집 작업만 수행하고, 서버(20)가 정상 파일로부터 액티브 콘텐트를 추출하고 액티브 콘텐트에서 기계학습에 쓰일 특징을 추출하고, 심층신경망을 기계학습시켜 인공지능 분류모델을 생성할 수 있다. 악성 파일 분류 장치(30)는 인공지능 분류 모델을 이용하여 멀티미디어 파일 및 정상 파일로부터 추출된 액티브 콘텐트의 악성 여부를 분류하는 작업을 수행할 수 있다. 또는 에이전트(10)가 멀티미디어 파일에 대한 수집 작업, 액티브 콘텐트 추출 및 액티브 콘텐트 특징 추출 작업을 수행하고, 서버(20)는 인공지능 분류 모델을 생성하는 작업만 수행할 수 있도록 작업이 분담될 수 있다. 또한, 본 발명은 단일 또는 다중 시스템으로 구성될 수 있다. 또한, 본 시스템은 하나의 서버 내에 다중 가상환경에 탑재되어 구현될 수도 있다. 위 예시에 한정되지 않고 본 발명은 다양한 형태로 확장되어 구성될 수 있다.
바람직하게는 본 발명의 일실시예는 에이전트(10), 서버(20) 및 악성 파일 분류 장치(30) 내 또는 별도로 저장소(DB, 클라우드 또는 빅데이터 플랫폼)을 더 포함할 수 있다. 위 저장소에는 각종 멀티미디어 파일 및 그에 포함된 액티브 콘텐트의 특성정보, 멀티미디어 파일에 포함된 액티브 콘텐트, 샘플 액티브 콘텐트에서 추출된 특성정보 및 결과값, 출력값, 멀티미디어 파일, 예측분류정보 등이 수집되어 저장될 수 있다. 저장소에는 저장된 각종 데이터, 정보를 검색할 수 있는 인터페이스가 제공될 수 있다.
<파일 내 악성 위협을 처리하는 인공지능 기반 방법에 대한 설명>
본 발명인 파일 내 악성 위협을 처리하는 인공지능 기반 방법은 파일수신단계(S1), 제1전처리단계(S2), 파일분류단계(S3), 액티브콘텐트추출단계(S4), 제2전처리단계(S5) 및 액티브콘텐트분류단계(S6)를 포함한다.
파일수신단계(S1)에서는 다양한 유입채널로부터 멀티미디어 파일(이하 '파일'이라 함)이 통합적으로 수신된다.
제1전처리단계(S2)에서는 파일수신단계(S1)에서 수신된파일로부터 사전에 정의한 대로 파일 특성정보가 선택적으로 추출된다.
파일분류단계(S3)에서는 수시로 갱신되는 제1 인공지능 분류 모델(A)를 이용하여, 제1전처리단계(S2)에서 추출된 파일 특성정보를 통해 파일에 대한 악성 여부가 분류된다.
액티브콘텐트추출단계(S4)에서는 파일분류단계(S3)에서 정상으로 분류된 정상 파일에 한해서 액티브 콘텐트가 추출된다.
제2전처리단계(S5)에서는 액티브콘텐트추출단계(S4)에서 추출된 액티브 콘텐트로부터 사전에 정의한 대로 액티브 콘텐트 특성정보가 선택적으로 추출된다.
액티브콘텐트분류단계(S6)에서는 수시로 갱신되는 제2 인공지능 분류 모델(B)을 이용하여, 상기 제2전처리단계(S5)에서 추출된 상기 액티브 콘텐트 특성을 통해 상기 액티브 콘텐트에 대한 악성 여부가 분류된다.
제1 인공지능 분류 모델(A)은 악성 여부가 사전에 분류된 샘플 멀티미디어 파일(이하 '샘플 파일'이라 함)의 특성정보 및 상기 샘플 파일의 악성 여부에 대한 레이블값을 이용하여 심층신경망을 기계학습시켜 생성된다.
제2 인공지능 분류 모델(B)은 악성 여부가 사전에 분류된 샘플 액티브 콘텐트의 특성정보 및 상기 샘플 액티브 콘텐트의 악성 여부에 대한 레이블값을 이용하여 심층신경망을 기계학습시켜 생성된다.
이상에서 설명한 본 발명의 실시예는 장치, 시스템 및 방법을 통해서만 구현이 되는 것은 아니며, 본 발명의 실시예들의 기능을 수행하는 프로그램 또는 그 프로그램을 기록한 컴퓨터 판독 가능 기록매체를 통해 구현될 수도 있다.
이상에서 본 발명의 실시예에 대하여 상세하게 설명하였지만 본 발명의 권리범위는 이에 한정되는 것은 아니고 다음의 청구범위에서 정의하고 있는 본 발명의 기본 개념을 이용한 당업자의 여러 변형, 균등 내지 개량 형태 또한 본 발명의 권리범위에 속하는 것이다.
100: 파일수신부
200: 제1전처리부
300: 파일분류부
400: 액티브콘텐트추출부
500: 제2전처리부
600: 액티브콘텐트분류부
700: 대조부
800: 액티브콘텐트처리부
900: 인터페이스제공부
1000: 저장부
A: 제1 인공지능 분류 모델
B: 제2 인공지능 분류 모델
S1: 파일수신단계
S2: 제1전처리단계
S3: 파일분류단계
S4: 액티브콘텐트추출단계
S5: 제2전처리단계
S6: 액티브콘텐트분류단계
200: 제1전처리부
300: 파일분류부
400: 액티브콘텐트추출부
500: 제2전처리부
600: 액티브콘텐트분류부
700: 대조부
800: 액티브콘텐트처리부
900: 인터페이스제공부
1000: 저장부
A: 제1 인공지능 분류 모델
B: 제2 인공지능 분류 모델
S1: 파일수신단계
S2: 제1전처리단계
S3: 파일분류단계
S4: 액티브콘텐트추출단계
S5: 제2전처리단계
S6: 액티브콘텐트분류단계
Claims (7)
- 파일 내 악성 위협을 처리하는 인공지능 기반 장치로서,
다양한 유입채널로부터 멀티미디어 파일(이하 '파일'이라 함)을 통합적으로 수신하는 파일수신부;
상기 파일수신부에서 수신된 상기 파일로부터 사전에 정의한 대로 파일 특성정보를 선택적으로 추출하는 제1전처리부;
수시로 갱신되는 제1 인공지능 분류 모델을 이용하여, 상기 제1전처리부에서 추출된 상기 파일 특성정보를 통해 상기 파일에 대한 악성 여부를 분류하는 파일분류부;
상기 파일분류부에서 정상으로 분류된 정상 파일에 한해서 액티브 콘텐트를 추출하는 액티브콘텐트추출부;
상기 액티브콘텐트추출부에서 추출된 액티브 콘텐트로부터 사전에 정의한 대로 액티브 콘텐트 특성정보를 선택적으로 추출하는 제2전처리부; 및
수시로 갱신되는 제2 인공지능 분류 모델을 이용하여, 상기 제2전처리부에서 추출된 상기 액티브 콘텐트 특성정보를 통해 상기 액티브 콘텐트에 대한 악성 여부를 분류하는 액티브콘텐트분류부;를 포함하는
상기 제1 인공지능 분류 모델은 악성 여부가 사전에 분류된 샘플 멀티미디어 파일(이하 '샘플 파일'이라 함)의 파일 특성정보 및 상기 샘플 파일의 악성 여부에 대한 레이블값을 이용하여 심층신경망을 기계학습시켜 생성되고,
상기 제2 인공지능 분류 모델은 악성 여부가 사전에 분류된 샘플 액티브 콘텐트의 액티브 콘텐트 특성정보 및 상기 샘플 액티브 콘텐트의 악성 여부에 대한 레이블값을 이용하여 심층신경망을 기계학습시켜 생성되며,
상기 파일 특성정보는 멀티미디어 파일의 소스코드, 명칭, 경로, 해시값, 메타정보, 프로세스 ID, 구조 정보, 파일 인덱스, 코드섹션 크기, 헤더 크기, 데이터 섹션 크기 또는 파일에서 추출될 수 있는 액티브 콘텐트 실행 로그 중 적어도 하나를 포함하고,
상기 액티브 콘텐트 특성정보는 액티브 콘텐트의 소스코드, 명칭, 경로, 해시값, 메타정보, 프로세스 ID, 구조 정보, 코드섹션 크기, 헤더 크기, 데이터 섹션 크기 또는 액티브 콘텐트에서 추출될 수 있는 액티브 콘텐트 실행 로그 중 적어도 하나를 포함하는
파일 내 악성 위협을 처리하는 인공지능 기반 장치. - 제1항에 있어서,
제1예측분류정보 및 제2예측분류정보를 대조하여 상기 액티브콘텐트분류부의 성과에 대한 성과정보를 생성하는 대조부; 및
상기 성과정보를 사용자에게 출력하기 위한 인터페이스를 제공하는 인터페이스제공부;를 더 포함하고,
상기 파일분류부는 상기 파일 특성정보가 상기 제1 인공지능 분류 모델로 입력되어 출력되는 제1 예측값에 따라 상기 파일의 악성 여부에 대한 상기 제1예측분류정보를 생성하고,
상기 액티브콘텐트분류부는 상기 액티브 콘텐트 특성정보가 상기 제2 인공지능 분류 모델로 입력되어 출력되는 제2 예측값에 따라 상기 액티브 콘텐트의 악성 여부에 대한 상기 제2 예측분류정보를 생성하는
파일 내 악성 위협을 처리하는 인공지능 기반 장치. - 제1항에 있어서,
상기 정상 파일로부터 추출된 상기 액티브 콘텐트를 상기 정상 파일에서 무해화하여 변환 파일을 생성하는 보안처리를 수행하는 액티브콘텐트처리부를 더 포함하는
파일 내 악성 위협을 처리하는 인공지능 기반 장치. - 제3항에 있어서,
상기 액티브콘텐트분류부에서 악성으로 분류된 상기 액티브 콘텐트를 선별하여 상기 보안처리를 수행하는 보안정책 설정여부를 사용자로부터 입력받기 위한 인터페이스를 제공하는 인터페이스제공부를 더 포함하고,
상기 액티브콘텐트처리부는 상기 보안정책에 기초하여 상기 보안처리를 수행하는
파일 내 악성 위협을 처리하는 인공지능 기반 장치. - 제3항에 있어서,
상기 정상 파일, 상기 액티브콘텐트처리부에서 생성된 변환 파일 및 상기 액티브 콘텐트를 저장하는 저장부를 더 포함하는
파일 내 악성 위협을 처리하는 인공지능 기반 장치. - 파일 내 악성 위협을 처리하는 인공지능 기반 방법으로서,
다양한 유입채널로부터 멀티미디어 파일(이하 '파일'이라 함)이 통합적으로 수신되는 파일수신단계;
상기 파일수신단계에서 수신된 상기 파일로부터 사전에 정의한 대로 파일 특성정보가 선택적으로 추출되는 제1전처리단계;
수시로 갱신되는 제1 인공지능 분류 모델을 이용하여, 상기 제1전처리단계에서 추출된 상기 파일 특성정보를 통해 상기 파일에 대한 악성 여부가 분류되는 파일분류단계;
상기 파일분류단계에서 정상으로 분류된 정상 파일에 한해서 액티브 콘텐트를 추출하는 액티브콘텐트추출단계;
상기 액티브콘텐트추출단계에서 추출된 액티브 콘텐트로부터 사전에 정의한 대로 액티브 콘텐트 특성정보가 선택적으로 추출되는 제2전처리단계; 및
수시로 갱신되는 제2 인공지능 분류 모델을 이용하여, 상기 제2전처리단계에서 추출된 상기 액티브 콘텐트 특성정보를 통해 상기 액티브 콘텐트에 대한 악성 여부가 분류되는 액티브콘텐트분류단계;를 포함하고,
상기 제1 인공지능 분류 모델은 악성 여부가 사전에 분류된 샘플 멀티미디어 파일(이하 '샘플 파일'이라 함)의 파일 특성정보 및 상기 샘플 파일의 악성 여부에 대한 레이블값을 이용하여 심층신경망을 기계학습시켜 생성되고,
상기 제2 인공지능 분류 모델은 악성 여부가 사전에 분류된 샘플 액티브 콘텐트의 액티브 콘텐트 특성정보 및 상기 샘플 액티브 콘텐트의 악성 여부에 대한 레이블값을 이용하여 심층신경망을 기계학습시켜 생성되고,
상기 파일 특성정보는 멀티미디어 파일의 소스코드, 명칭, 경로, 해시값, 메타정보, 프로세스 ID, 구조 정보, 파일 인덱스, 코드섹션 크기, 헤더 크기, 데이터 섹션 크기 또는 파일에서 추출될 수 있는 액티브 콘텐트 실행 로그 중 적어도 하나를 포함하고,
상기 액티브 콘텐트 특성정보는 액티브 콘텐트의 소스코드, 명칭, 경로, 해시값, 메타정보, 프로세스 ID, 구조 정보, 코드섹션 크기, 헤더 크기, 데이터 섹션 크기 또는 액티브 콘텐트에서 추출될 수 있는 액티브 콘텐트 실행 로그 중 적어도 하나를 포함하는
파일 내 악성 위협을 처리하는 인공지능 기반 방법. - 제6항의 방법을 수행하는 프로그램을 기록한 컴퓨터 판독 가능 기록매체.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020190068511A KR102202448B1 (ko) | 2019-06-11 | 2019-06-11 | 파일 내 악성 위협을 처리하는 인공지능 기반 장치, 그 방법 및 그 기록매체 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020190068511A KR102202448B1 (ko) | 2019-06-11 | 2019-06-11 | 파일 내 악성 위협을 처리하는 인공지능 기반 장치, 그 방법 및 그 기록매체 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| KR20200141682A KR20200141682A (ko) | 2020-12-21 |
| KR102202448B1 true KR102202448B1 (ko) | 2021-01-14 |
Family
ID=74090790
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020190068511A KR102202448B1 (ko) | 2019-06-11 | 2019-06-11 | 파일 내 악성 위협을 처리하는 인공지능 기반 장치, 그 방법 및 그 기록매체 |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR102202448B1 (ko) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR102548984B1 (ko) * | 2022-11-14 | 2023-06-28 | 시큐레터 주식회사 | 인공지능 모델을 이용하여 악성 문서 파일을 탐지하기 위한 방법 및 이를 위한 장치 |
| KR102692069B1 (ko) * | 2023-12-08 | 2024-08-05 | 망고클라우드 주식회사 | 악성코드 탐지 및 제거 시스템 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20140090061A1 (en) * | 2012-09-26 | 2014-03-27 | Northrop Grumman Systems Corporation | System and method for automated machine-learning, zero-day malware detection |
| KR101851233B1 (ko) * | 2018-02-13 | 2018-04-23 | (주)지란지교시큐리티 | 파일 내 포함된 악성 위협 탐지 장치 및 방법, 그 기록매체 |
-
2019
- 2019-06-11 KR KR1020190068511A patent/KR102202448B1/ko active IP Right Grant
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20140090061A1 (en) * | 2012-09-26 | 2014-03-27 | Northrop Grumman Systems Corporation | System and method for automated machine-learning, zero-day malware detection |
| KR101851233B1 (ko) * | 2018-02-13 | 2018-04-23 | (주)지란지교시큐리티 | 파일 내 포함된 악성 위협 탐지 장치 및 방법, 그 기록매체 |
Also Published As
| Publication number | Publication date |
|---|---|
| KR20200141682A (ko) | 2020-12-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3534284B1 (en) | Classification of source data by neural network processing | |
| EP3534283B1 (en) | Classification of source data by neural network processing | |
| KR102093275B1 (ko) | 악성코드 감염 유도정보 판별 시스템, 프로그램이 기록된 저장매체 및 방법 | |
| JP7246448B2 (ja) | マルウェア検出 | |
| Berman et al. | A survey of deep learning methods for cyber security | |
| Vinayakumar et al. | Evaluating deep learning approaches to characterize and classify malicious URL’s | |
| CN113596007B (zh) | 一种基于深度学习的漏洞攻击检测方法和设备 | |
| Gao et al. | Malware classification for the cloud via semi-supervised transfer learning | |
| Park et al. | Anomaly detection for HTTP using convolutional autoencoders | |
| CN110933105B (zh) | 一种Web攻击检测方法、系统、介质和设备 | |
| KR102241859B1 (ko) | 악성 멀티미디어 파일을 분류하는 인공지능 기반 장치, 방법 및 그 방법을 수행하는 프로그램을 기록한 컴퓨터 판독 가능 기록매체 | |
| CN110633570A (zh) | 面向恶意软件汇编格式检测模型的黑盒攻击的防御方法 | |
| EP3614645A1 (en) | Embedded dga representations for botnet analysis | |
| KR102202448B1 (ko) | 파일 내 악성 위협을 처리하는 인공지능 기반 장치, 그 방법 및 그 기록매체 | |
| CN112052451A (zh) | 一种webshell检测方法和装置 | |
| Uğurlu et al. | A survey on deep learning based intrusion detection system | |
| Hosseini et al. | Network intrusion detection based on deep learning method in internet of thing | |
| Eunaicy et al. | Web attack detection using deep learning models | |
| Habibi et al. | Performance evaluation of CNN and pre-trained models for malware classification | |
| Fathurrahman et al. | Lightweight convolution neural network for image-based malware classification on embedded systems | |
| Qian et al. | Learning representations for steganalysis from regularized cnn model with auxiliary tasks | |
| Sharma et al. | Windows and IoT malware visualization and classification with deep CNN and Xception CNN using Markov images | |
| Abdullah et al. | HCL-Classifier: CNN and LSTM based hybrid malware classifier for Internet of Things (IoT) | |
| CN117454380B (zh) | 恶意软件的检测方法、训练方法、装置、设备及介质 | |
| Ye et al. | Android malware detection technology based on lightweight convolutional neural networks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| E701 | Decision to grant or registration of patent right |