KR102348359B1 - 관심 동작 영역 기반의 edr 장치 및 방법 - Google Patents

관심 동작 영역 기반의 edr 장치 및 방법 Download PDF

Info

Publication number
KR102348359B1
KR102348359B1 KR1020190143695A KR20190143695A KR102348359B1 KR 102348359 B1 KR102348359 B1 KR 102348359B1 KR 1020190143695 A KR1020190143695 A KR 1020190143695A KR 20190143695 A KR20190143695 A KR 20190143695A KR 102348359 B1 KR102348359 B1 KR 102348359B1
Authority
KR
South Korea
Prior art keywords
interest
user
specific file
action
file
Prior art date
Application number
KR1020190143695A
Other languages
English (en)
Other versions
KR20210056800A (ko
Inventor
강원석
이석호
Original Assignee
(주)하몬소프트
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)하몬소프트 filed Critical (주)하몬소프트
Priority to KR1020190143695A priority Critical patent/KR102348359B1/ko
Publication of KR20210056800A publication Critical patent/KR20210056800A/ko
Application granted granted Critical
Publication of KR102348359B1 publication Critical patent/KR102348359B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Signal Processing (AREA)
  • Virology (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Debugging And Monitoring (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

본 발명은 관심 동작 영역 기반의 EDR (Endpoint Detection and Response) 기술에 관한 것으로, 상기 장치는 엔드포인트(Endpoint) 단말 상에서 수집되고 사용자 행위(user behavior)와 연관된 특정 파일의 동작들에 관한 비지도 학습을 통해 멀웨어(malware) 행위로 인식되는 관심 동작 영역(Point of Action, POA)을 결정하는 관심 동작 영역 결정부, 상기 엔드포인트 단말과의 사용자 신원 기반 세션이 생성되면 상기 사용자 행위를 추적하여 상기 관심 동작 영역으로의 진입을 검출하는 사용자 행위 모니터링부 및 상기 관심 동작 영역으로의 진입이 검출된 경우 상기 사용자 행위와 연관된 특정 파일에 대한 멀웨어 검출 기법(scheme)을 수행하는 멀웨어 검출 수행부를 포함한다.

Description

관심 동작 영역 기반의 EDR 장치 및 방법{APPARATUS AND METHODS FOR ENDPOINT DETECTION AND REPONSE BASED ON ACTION OF INTEREST}
본 발명은 관심 동작 영역 기반의 EDR 기술에 관한 것으로, 더욱 상세하게는 악성 행위로 인지되는 관심 동작 영역을 설정하여 이상 행위를 탐지할 수 있는 관심 동작 영역 기반의 EDR 장치 및 방법에 관한 것이다.
EDR (Endpoint Detection and Response) 기술은 가트너(Gartner)에 의해 2013년 처음 소개되었다. 여기에서, EDR은 엔드포인트의 행위와 이벤트들을 기록하고, 수집된 행위와 이벤트들을 기반으로 공격을 탐지하고 대응하는 솔루션으로 정의되었다. 즉, EDR은 많은 사이버 공격의 목표이자 시작점을 엔드포인트로 규정하고, 엔드포인트에서 무슨 일이 일어나고 있는가라는 질문에서부터 출발한다.
EDR은 엔드포엔트에서 다양한 정보(예: 프로세스, 네트워크 트래픽, 레지스트리, 파일, 사용자)를 수집해서 엔드포인트의 가시성을 확보한 뒤, 수집된 다양한 정보를 기반으로 행위분석, 머신러닝, IOC(Indicator of Compromise) 탐지의 기술로 알려진 그리고 알려지지 않은 위협을 탐지할 수 있다. EDR은 파일 기반의 악성 코드뿐만 아니라 파일 없이 실행되는 악성 코드에 대한 공격도 탐지할 수 있다. 또한, EDR은 위협이 발견된 엔드포인트를 격리하고, 위협을 제거할 수 있도록 대응을 가능하게 할 수 있다.
EDR은 전통적인 엔드포인트 보안 플랫폼(Endpoint Protection Platform)의 방어 기술보다 악성 코드의 공격 방법과 기술을 더욱 빠르게 진화시켰다.
한국등록특허 제10-1814368(2018.01.04)호
본 발명의 일 실시예는 악성 행위로 인지되는 관심 동작 영역을 설정하여 이상 행위를 탐지할 수 있는 관심 동작 영역 기반의 EDR 장치 및 방법을 제공하고자 한다.
본 발명의 일 실시예는 파일 동작에 관한 관심 동작 영역으로의 진입을 검출하여 이상 행위 탐지를 위한 멀웨어 검출 기법을 수행할 수 있는 관심 동작 영역 기반의 EDR 장치 및 방법을 제공하고자 한다.
본 발명의 일 실시예는 엔드포인트 단말 상에서 수집되고 사용자 행위와 연관된 특정 파일의 동작들에 관한 비지도 학습을 통해 멀웨어 행위로 인식되는 관심 동작 영역(Point of Action, POA)을 결정할 수 있는 관심 동작 영역 기반의 EDR 장치 및 방법을 제공하고자 한다.
실시예들 중에서, 관심 동작 영역 기반의 EDR (Endpoint Detection & Response) 장치는 엔드포인트(Endpoint) 단말 상에서 수집되고 사용자 행위(user behavior)와 연관된 특정 파일의 동작들에 관한 비지도 학습을 통해 멀웨어(malware) 행위로 인식되는 관심 동작 영역(Point of Action, POA)을 결정하는 관심 동작 영역 결정부, 상기 엔드포인트 단말과의 사용자 신원 기반 세션이 생성되면 상기 사용자 행위를 추적하여 상기 관심 동작 영역으로의 진입을 검출하는 사용자 행위 모니터링부 및 상기 관심 동작 영역으로의 진입이 검출된 경우 상기 사용자 행위와 연관된 특정 파일에 대한 멀웨어 검출 기법(scheme)을 수행하는 멀웨어 검출 수행부를 포함한다.
상기 관심 동작 영역 결정부는 상기 특정 파일의 동작들에 관한 SYSCALL 그래프를 생성하고 상기 SYSCALL 그래프에 관한 상기 비지도 학습의 결과로서 상기 SYSCALL 그래프에 관한 패턴의 위험률을 출력하는 학습 네트워크를 생성할 수 있다.
상기 관심 동작 영역 결정부는 상기 위험률이 임계값을 초과하는 경우 미리 정의된 정상 패턴과의 유사도를 기초로 상기 관심 동작 영역을 결정할 수 있다.
상기 사용자 행위 모니터링부는 상기 엔드포인트 단말로부터 상기 사용자 신원 기반 세션에 관한 생성 요청을 수신하는 제1 단계, 상기 요청과 함께 수신한 사용자 식별자를 기초로 로그인 DB를 참조하여 상기 사용자 식별자와 연관된 사용자 계정의 로그인 여부를 결정하는 제2 단계 및 상기 사용자 계정의 로그인이 확인된 경우 상기 사용자 식별자와 사용자 계정 정보를 기초로 상기 사용자 신원 기반 세션을 생성하는 제3 단계를 수행할 수 있다.
상기 사용자 행위 모니터링부는 상기 사용자 행위와 연관되고 연속하여 발생하는 상기 특정 파일의 동작들 중 적어도 n(상기 n은 자연수) 개의 동작들이 상기 관심 동작 영역에 해당하는 경우 상기 진입으로 결정할 수 있다.
상기 멀웨어 검출 수행부는 상기 특정 파일에 대해, 복수의 동작들 중 적어도 하나의 동작이 멀웨어 특성과 연관되는지 여부를 결정하는 휴리스틱 기법 또는 블랙/화이트 리스트에 기초한 결정론적 룰(rule) 기반 기법을 적용함으로써 악성여부를 결정할 수 있다.
상기 멀웨어 검출 수행부는 상기 특정 파일의 메타데이터를 기초로 정적 특징을 추출하는 제1 단계, 상기 정적 특징을 기초로 상기 특정 파일의 동작을 예측하는 제2 단계, 상기 예측된 동작을 기초로 동적 특징을 추출하는 제3 단계, 상기 정적 및 동적 특징들을 각각 수치화 하여 악성 지수를 산출하는 제4 단계 및 상기 악성 지수에 따라 상기 특정 파일의 악성여부를 결정하는 제5 단계를 수행할 수 있다.
실시예들 중에서, 관심 동작 영역 기반의 EDR 방법은 엔드포인트(Endpoint) 단말 상에서 수집되고 사용자 행위(user behavior)와 연관된 특정 파일의 동작들에 관한 비지도 학습을 통해 멀웨어(malware) 행위로 인식되는 관심 동작 영역(Point of Action, POA)를 결정하는 단계, 상기 엔드포인트 단말과의 사용자 신원 기반 세션이 생성되면 상기 사용자 행위를 추적하여 상기 관심 동작 영역으로의 진입을 검출하는 단계 및 상기 관심 동작 영역으로의 진입이 검출된 경우 상기 사용자 행위와 연관된 특정 파일에 대한 멀웨어 검출 루틴(routine)을 수행하는 단계를 포함한다.
개시된 기술은 다음의 효과를 가질 수 있다. 다만, 특정 실시예가 다음의 효과를 전부 포함하여야 한다거나 다음의 효과만을 포함하여야 한다는 의미는 아니므로, 개시된 기술의 권리범위는 이에 의하여 제한되는 것으로 이해되어서는 아니 될 것이다.
본 발명의 일 실시예에 따른 관심 동작 영역 기반의 EDR 장치 및 방법은 파일 동작에 관한 관심 동작 영역으로의 진입을 검출하여 이상 행위 탐지를 위한 멀웨어 검출 기법을 수행할 수 있다.
본 발명의 일 실시예에 따른 관심 동작 영역 기반의 EDR 장치 및 방법은 엔드포인트 단말 상에서 수집되고 사용자 행위와 연관된 특정 파일의 동작들에 관한 비지도 학습을 통해 멀웨어 행위로 인식되는 관심 동작 영역(Point of Action, POA)을 결정할 수 있다.
도 1은 본 발명에 따른 관심 동작 영역 기반의 EDR 시스템의 구성을 설명하는 도면이다.
도 2는 도 1에 있는 EDR 장치의 물리적 구성을 설명하는 블록도이다.
도 3은 도 1에 있는 EDR 장치의 기능적 구성을 설명하는 블록도이다.
도 4는 도 1에 있는 EDR 장치에서 수행되는 관심 동작 영역 기반의 EDR 과정을 설명하는 순서도이다.
도 5는 본 발명의 일 실시예에 따른 관심 동작 영역 기반의 EDR 시스템을 설명하는 개념도이다.
본 발명에 관한 설명은 구조적 내지 기능적 설명을 위한 실시예에 불과하므로, 본 발명의 권리범위는 본문에 설명된 실시예에 의하여 제한되는 것으로 해석되어서는 아니 된다. 즉, 실시예는 다양한 변경이 가능하고 여러 가지 형태를 가질 수 있으므로 본 발명의 권리범위는 기술적 사상을 실현할 수 있는 균등물들을 포함하는 것으로 이해되어야 한다. 또한, 본 발명에서 제시된 목적 또는 효과는 특정 실시예가 이를 전부 포함하여야 한다거나 그러한 효과만을 포함하여야 한다는 의미는 아니므로, 본 발명의 권리범위는 이에 의하여 제한되는 것으로 이해되어서는 아니 될 것이다.
한편, 본 출원에서 서술되는 용어의 의미는 다음과 같이 이해되어야 할 것이다.
"제1", "제2" 등의 용어는 하나의 구성요소를 다른 구성요소로부터 구별하기 위한 것으로, 이들 용어들에 의해 권리범위가 한정되어서는 아니 된다. 예를 들어, 제1 구성요소는 제2 구성요소로 명명될 수 있고, 유사하게 제2 구성요소도 제1 구성요소로 명명될 수 있다.
어떤 구성요소가 다른 구성요소에 "연결되어"있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결될 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어"있다고 언급된 때에는 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다. 한편, 구성요소들 간의 관계를 설명하는 다른 표현들, 즉 "~사이에"와 "바로 ~사이에" 또는 "~에 이웃하는"과 "~에 직접 이웃하는" 등도 마찬가지로 해석되어야 한다.
단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한 복수의 표현을 포함하는 것으로 이해되어야 하고, "포함하다"또는 "가지다" 등의 용어는 실시된 특징, 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것이 존재함을 지정하려는 것이며, 하나 또는 그 이상의 다른 특징이나 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
각 단계들에 있어 식별부호(예를 들어, a, b, c 등)는 설명의 편의를 위하여 사용되는 것으로 식별부호는 각 단계들의 순서를 설명하는 것이 아니며, 각 단계들은 문맥상 명백하게 특정 순서를 기재하지 않는 이상 명기된 순서와 다르게 일어날 수 있다. 즉, 각 단계들은 명기된 순서와 동일하게 일어날 수도 있고 실질적으로 동시에 수행될 수도 있으며 반대의 순서대로 수행될 수도 있다.
본 발명은 컴퓨터가 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현될 수 있고, 컴퓨터가 읽을 수 있는 기록 매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록 장치를 포함한다. 컴퓨터가 읽을 수 있는 기록 매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 플로피 디스크, 광 데이터 저장 장치 등이 있다. 또한, 컴퓨터가 읽을 수 있는 기록 매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어, 분산 방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수 있다.
여기서 사용되는 모든 용어들은 다르게 정의되지 않는 한, 본 발명이 속하는 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가진다. 일반적으로 사용되는 사전에 정의되어 있는 용어들은 관련 기술의 문맥상 가지는 의미와 일치하는 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한 이상적이거나 과도하게 형식적인 의미를 지니는 것으로 해석될 수 없다.
도 1은 본 발명에 따른 관심 동작 영역 기반의 EDR 시스템의 구성을 설명하는 도면이다.
도 1을 참조하면, 관심 동작 영역 기반의 EDR 시스템(100)은 엔드포인트 단말(110), EDR 장치(130) 및 데이터베이스(150)를 포함할 수 있다.
엔드포인트 단말(110)은 네트워크에 접근하는 사용자의 신원을 인증하고 사용자의 행위를 추적하여 시스템에 위협이 되는 행위를 감지할 수 있는 컴퓨팅 장치에 해당할 수 있고, 스마트폰, 노트북 또는 컴퓨터로 구현될 수 있으며, 반드시 이에 한정되지 않고, 태블릿 PC 등 다양한 디바이스로도 구현될 수 있다. 엔드포인트 단말(110)은 EDR 장치(130)와 네트워크를 통해 연결될 수 있고, 복수의 엔드포인트 단말(110)들은 EDR 장치(130)와 동시에 연결될 수 있다.
일 실시예에서, 엔드포인트 단말(110)은 사용자 행위들에 관한 정보를 수집하고 이를 프론트-엔드 서버로 전송하는 동작을 수행하는 엔드포인트 에이전트의 동작을 제어할 수 있다. 또한, 엔드포인트 단말(110)은 사용자의 신원을 인증할 수 있고, 엔드포인트 에이전트와 연동하여 사용자의 접근 및 이용을 제한할 수 있다.
여기에서, 엔드포인트 에이전트는 엔드포인트 단말(110) 상에서 동작하는 프로그램에 해당할 수 있고, 사용자 행위를 모니터링 하는 역할을 수행할 수 있다. 엔드포인트 에이전트는 사용자 트래커(tracker), 네트워크 데이터 트래커, 파일 메타데이터 처리기 및 시큐리티 정책 집행기를 포함할 수 있다.
사용자 트래커는 사용자의 행위를 추적하는 동작을 수행할 수 있고, 네트워크 데이터 트래커는 네트워크 트래픽 데이터를 수집하고 분석하는 동작을 수행할 수 있으며, 파일 메타데이터 처리기는 파일로부터 메타데이터를 추출하고 분석하는 동작을 수행할 수 있고, 시큐리티 정책 집행기는 프론트-엔드 서버로부터 수신된 시큐리티 정책에 따라 사용자의 행위에 대한 허용여부를 결정하는 동작을 수행할 수 있다. 이 때, 시큐리티 정책은 사전에 설정된 보안 규칙으로서 위험 행위 분석 결과를 기초로 파일, 네트워크 등에 관한 사용자 행위의 허용 범위에 관한 내용에 해당할 수 있다.
일 실시예에서, 엔드포인트 단말(110)은 사용자의 행위와 연관된 파일 데이터를 추적하여 특정 파일과 연관된 동작 데이터를 EDR 장치(130)에 제공할 수 있다. 또한, 엔드포인트 단말(110)은 특정 파일의 동작과 연관된 SYSCALL 그래프를 생성하여 프론트-엔드 서버 및 EDR 장치(130)에게 제공할 수 있다. 이를 위하여, 엔드포인트 단말(110)은 사용자의 행위와 연관된 데이터를 비-파일 데이터와 파일 데이터로 분류할 수 있고, 파일 데이터를 선별하여 프론트-엔드 서버 및 EDR 장치(130)로 전송할 수 있다.
즉, 엔드포인트 단말(110)은 사용자의 행위들이 파일과 연관되었는지를 기준으로 파일 데이터와 비-파일 데이터로 구분할 수 있고, 파일 데이터를 프론트-엔드 서버에게 제공할 수 있다. 한편, 프론트-엔드 서버는 특정 파일에 관한 파일 내용이 변경된 경우 해당 파일 정보를 EDR 장치(130)에게 전송할 수 있다.
EDR 장치(130)는 엔드포인트 단말(110)로부터 SIEM(Security Information and Event Management) 기반의 위협행위를 검출하고 인공지능 기반의 위협행위를 분석하며 시큐리티 정책의 생성 및 갱신에 관한 동작을 수행하는 컴퓨터 또는 프로그램에 해당하는 서버로 구현될 수 있다. 또한, EDR 장치(130)는 프론트-엔드 서버와의 연동을 통해 사용자의 행위에 관한 학습, 분석 및 탐지 등의 동작을 수행할 수 있다.
이 때, 프론트-엔드 서버는 엔드포인트 단말(110)로부터 수집된 사용자의 행위에 관한 정보를 별도의 저장공간에 저장하고 관리하는 동작을 수행할 수 있다. 이러한 동작을 위해 프론트-엔드 서버는 엔드포인트 에이전트 처리기를 포함하여 구현될 수 있다. 엔드포인트 에이전트 처리기는 엔드포인트 단말(110)의 접속 및 사용자 추적 세션을 관리하여 사용자 행위에 관한 정보를 추적 및 수집하는 동작을 수행할 수 있다.
한편, EDR 장치(130)는 SIEM 기반 위협행위 검출기 및 비지도학습 기반 위협행위 분석기를 포함하여 구현될 수 있다. 또한, EDR 장치(130)는 엔드포인트 단말(110) 및 프론트-엔드 서버와 블루투스, WiFi, 통신망 등을 통해 무선으로 연결될 수 있고, 네트워크를 통해 엔드포인트 단말(110) 및 프론트-엔드 서버와 데이터를 주고받을 수 있다.
일 실시예에서, EDR 장치(130)는 데이터베이스(150)와 연동하여 엔드포인트 단말(110)로부터 수집한 정보를 기초로 위협행위 검출 및 분석, 그리고 시큐리티 정책의 생성 및 갱신에 관한 동작을 수행할 수 있다. 한편, EDR 장치(130)는 도 1과 달리, 데이터베이스(150)를 내부에 포함하여 구현될 수 있고, 독립적으로 구현된 SIEM(Security Information and Event Management) 모듈과 연동하여 동작할 수 있다.
여기에서, SIEM 모듈은 빅데이터의 방대한 정보 속에서 단순한 로그 수집 및 분석이 아닌 사후에 추적 등이 가능하도록 상관분석과 포렌식 기능을 제공해주는 지능적 위협에 대한 조기 경고 모니터링 체계에 해당할 수 있다. 즉, SIEM 모듈은 정보시스템의 보안 정보 및 이벤트 관리를 통해 내부 및 외부 위협을 모니터링 함으로써 외부의 공격은 물론, 내부 정보유출 또한 방지하는 기능을 수행할 수 있다.
또한, EDR 장치(130)는 프로세서, 메모리, 사용자 입출력부 및 네트워크 입출력부를 포함하여 구현될 수 있으며, 이에 대해서는 도 2에서 보다 자세히 설명한다.
데이터베이스(150)는 EDR 장치(130)의 동작 과정에서 필요한 다양한 정보들을 저장하는 저장장치에 해당할 수 있다. 데이터베이스(150)는 엔드포인트 단말(110)로부터 수집된 사용자 행위에 관한 정보를 저장할 수 있으나, 반드시 이에 한정되지 않고, 엔드포인트 단말(110) 및 프론트-엔드 서버와의 연동 과정에서 다양한 형태로 수집 또는 가공된 정보들을 저장할 수 있다.
일 실시예에서, 데이터베이스(150)는 독립적으로 구현된 SIEM 모듈과 연동하여 동작할 수 있다. 한편, SIEM 모듈은 독립적인 데이터베이스 모듈로서 구현될 수 있고, 이 경우 데이터베이스(150)는 SIEM 모듈을 포함하여 정의될 수 있다.
도 2는 도 1에 있는 EDR 장치의 물리적 구성을 설명하는 블록도이다.
도 2를 참조하면, EDR 장치(130)는 프로세서(210), 메모리(230), 사용자 입출력부(250) 및 네트워크 입출력부(270)를 포함하여 구현될 수 있다.
프로세서(210)는 EDR 장치(130)의 각 동작을 처리하는 프로시저를 실행할 수 있고, 그 과정 전반에서 읽혀지거나 작성되는 메모리(230)를 관리할 수 있으며, 메모리(230)에 있는 휘발성 메모리와 비휘발성 메모리 간의 동기화 시간을 스케줄할 수 있다. 프로세서(210)는 EDR 장치(130)의 동작 전반을 제어할 수 있고, 메모리(230), 사용자 입출력부(250) 및 네트워크 입출력부(270)와 전기적으로 연결되어 이들 간의 데이터 흐름을 제어할 수 있다. 프로세서(210)는 EDR 장치(130)의 CPU(Central Processing Unit)로 구현될 수 있다.
메모리(230)는 SSD(Solid State Drive) 또는 HDD(Hard Disk Drive)와 같은 비휘발성 메모리로 구현되어 EDR 장치(130)에 필요한 데이터 전반을 저장하는데 사용되는 보조기억장치를 포함할 수 있고, RAM(Random Access Memory)과 같은 휘발성 메모리로 구현된 주기억장치를 포함할 수 있다.
사용자 입출력부(250)는 사용자 입력을 수신하기 위한 환경 및 사용자에게 특정 정보를 출력하기 위한 환경을 포함할 수 있다. 예를 들어, 사용자 입출력부(250)는 터치 패드, 터치 스크린, 화상 키보드 또는 포인팅 장치와 같은 어댑터를 포함하는 입력장치 및 모니터 또는 터치스크린과 같은 어댑터를 포함하는 출력장치를 포함할 수 있다. 일 실시예에서, 사용자 입출력부(250)는 원격 접속을 통해 접속되는 컴퓨팅 장치에 해당할 수 있고, 그러한 경우, EDR 장치(130)는 서버로서 수행될 수 있다.
네트워크 입출력부(270)은 네트워크를 통해 외부 장치 또는 시스템과 연결하기 위한 환경을 포함하고, 예를 들어, LAN(Local Area Network), MAN(Metropolitan Area Network), WAN(Wide Area Network) 및 VAN(Value Added Network) 등의 통신을 위한 어댑터를 포함할 수 있다.
도 3은 도 1에 있는 EDR 장치의 기능적 구성을 설명하는 블록도이다.
도 3을 참조하면, EDR 장치(130)는 관심 동작 영역 결정부(310), 사용자 행위 모니터링부(330), 멀웨어 검출 수행부(350) 및 제어부(370)를 포함할 수 있다.
관심 동작 영역 결정부(310)는 엔드포인트(Endpoint) 단말(110) 상에서 수집되고 사용자 행위(user behavior)와 연관된 특정 파일의 동작들에 관한 비지도 학습을 통해 멀웨어(malware) 행위로 인식되는 관심 동작 영역(Point of Action, POA)을 결정할 수 있다. 관심 동작 영역 결정부(310)는 엔드포인트 단말(110)로부터 사용자 행위에 관한 정보를 수집할 수 있으며, 이 경우 엔드포인트 단말(110) 상에서 동작하는 엔드포인트 에이전트와의 연동을 통해 관련 정보를 수집할 수 있다. 관심 동작 영역 결정부(310)는 수집된 정보 중에서 특정 파일과 연관된 사용자 행위들을 필터링(filtering)할 수 있고, 각 사용자 행위에 따른 파일 동작에 관한 데이터를 획득할 수 있다.
또한, 관심 동작 영역 결정부(310)는 획득된 데이터를 기초로 비지도 학습을 통해 멀웨어 행위로 인식되는 관심 동작 영역을 결정할 수 있다. 여기에서, 관심 동작 영역(Point of Action, POA)은 파일 동작들의 집합으로서 비지도 학습 결과가 적용되어 파일 동작들 중 멀웨어 행위로 인식되는 동작들을 선별하여 구성될 수 있다. 이 때, 멀웨어 행위는 멀웨어에 의해 수행됨으로써 시스템에 악영향을 줄 수 있는 파일 동작에 해당할 수 있고, 비지도 학습은 특정 입력에 대해 올바른 정답이 없는 데이터에 관한 학습에 해당할 수 있다.
다른 실시예에서, 관심 동작 영역은 파일 동작들의 그룹 집합으로 표현될 수 있다. 즉, 파일 동작들은 특정 파일 유형과의 연관성을 기초로 그룹화 될 수 있고, 이러한 그룹들의 집합으로서 관심 동작 영역이 정의될 수 있다. 이 경우, 관심 동작 영역의 각 그룹들은 해당 그룹과 연관성 높은 파일 유형에 관한 정보를 포함하여 생성될 수 있다.
일 실시예에서, 관심 동작 영역 결정부(310)는 특정 파일의 동작들에 관한 SYSCALL 그래프를 생성하고 SYSCALL 그래프에 관한 비지도 학습의 결과로서 SYSCALL 그래프에 관한 패턴의 위험률을 출력하는 학습 네트워크를 생성할 수 있다. SYSCALL 그래프는 파일의 동작 과정에서 발생하는 시스템 호출(SYSCALL)들의 호출 관계를 나타내는 제어 흐름 그래프에 해당할 수 있다.
보다 구체적으로, 관심 동작 영역 결정부(310)는 엔드포인트 단말(110) 상에서의 사용자 행위를 수집할 수 있고, 사용자 행위와 연관된 데이터 중 파일의 동작에 관한 데이터에 기초하여 파일 동작 과정에서의 SYSCALL 그래프를 생성할 수 있다. 관심 동작 영역 결정부(310)는 수집된 SYSCALL 그래프에 관한 비지도 학습을 통해 파일의 동작 분류를 위한 학습 네트워크를 생성할 수 있다. 이 때, 학습 네트워크는 SYSCALL 그래프가 형성하는 노드들 간의 연결 패턴이 시스템에 알려지지 않은 위험을 발생시킬 가능성에 대한 예측 결과를 제공할 수 있다.
일 실시예에서, 관심 동작 영역 결정부(310)는 위험률이 임계값을 초과하는 경우 미리 정의된 정상 패턴과의 유사도를 기초로 관심 동작 영역을 결정할 수 있다. 관심 동작 영역 결정부(310)는 학습 네트워크의 출력으로서 특정 파일의 동작들과 연관된 SYSCALL 그래프에 관한 패턴의 위험률을 획득할 수 있고, 해당 위험률이 기준으로 미리 설정된 임계값을 초과하는 경우 알려지지 않은 위협으로서 1차 검출할 수 있다. 관심 동작 영역 결정부(310)는 1차 검출 결과를 기초로 사용자에게 알림을 제공할 수 있다.
한편, 관심 동작 영역 결정부(310)는 1차 검출 결과로서 위험률이 임계값을 초과하는 경우 미리 정의된 정상 패턴과의 유사도를 기초로 알려지지 않은 위협의 발생 가능성을 2차 결정할 수 있다. 관심 동작 영역 결정부(310)는 SYSCALL 그래프를 기초로 미리 정의된 정상 패턴들 과의 유사도를 각각 산출할 수 있고, 이를 기초로 알려지지 않은 위협의 발생 가능성을 2차적으로 산출할 수 있으며, 발생 가능성에 따라 관심 동작 영역을 결정할 수 있다.
예를 들어, 관심 동작 영역 결정부(310)는 정상 패턴들과의 유사도(a1, a2, ..., an)에 관한 전체 평균 α(= Σai / n)을 산출하고 알려지지 않은 위협의 발생 가능성 β(= 1 - α)를 산출할 수 있다. 이 때, 정상 패턴과의 유사도 ai는 정상 패턴 i와 유사할수록 그 값이 높아질 수 있다. 따라서, 전체 평균 α가 높을수록 정상 패턴에 해당할 확률이 높고, 알려지지 않은 위협의 발생 가능성 β는 낮아질 수 있다. 관심 동작 영역 결정부(310)는 위협 발생 가능성 β(= 1 - α)가 관심 동작 영역의 범위에 포함되는 경우 해당 SYSCALL 그래프와 연관된 특정 파일의 동작을 관심 동작 영역으로 결정할 수 있다.
사용자 행위 모니터링부(330)는 엔드포인트 단말(110)과의 사용자 신원 기반 세션이 생성되면 사용자 행위를 추적하여 관심 동작 영역으로의 진입을 검출할 수 있다. 여기에서, 사용자 신원 기반 세션은 엔드포인트 단말(110)과 EDR 장치(130) 간에 인증된 통신 경로에 해당할 수 있고, 각 사용자 계정 별로 유지될 수 있으며, 사용자가 엔드포인트 단말(110)에 로그인 한 시점에 생성되어 로그아웃 한 시점까지 유지될 수 있다. 사용자 행위 모니터링부(330)는 사용자 신원 기반 세션을 통해 엔드포인트 단말(110)에서 수행되는 사용자의 행위로서 파일에 대한 동작뿐만 아니라 그 이외의 행위들을 추적하고 관련 정보를 수집할 수 있다.
일 실시예에서, 사용자 행위 모니터링부(330)는 엔드포인트 단말(110)로부터 사용자 신원 기반 세션에 관한 생성 요청을 수신하는 제1 단계, 생성 요청과 함께 수신한 사용자 식별자를 기초로 로그인 DB를 참조하여 사용자 식별자와 연관된 사용자 계정의 로그인 여부를 결정하는 제2 단계 및 사용자 계정의 로그인이 확인된 경우 사용자 식별자와 사용자 계정 정보를 기초로 사용자 신원 기반 세션을 생성하는 제3 단계를 수행할 수 있다.
보다 구체적으로, 사용자 행위 모니터링부(330)는 엔드포인트 단말(110)로부터 사용자 신원 기반 세션에 관한 생성 요청을 수신할 수 있다. 엔드포인트 단말(110)은 사용자의 로그인이 검출된 경우 해당 사용자에 고유한 세션 생성을 EDR 장치(130)에게 요청할 수 있으며, EDR 장치(130)는 사용자 행위 모니터링부(330)를 통해 해당 요청을 수신할 수 있다.
또한, 사용자 행위 모니터링부(330)는 생성 요청과 함께 수신한 사용자 식별자를 기초로 로그인 DB를 참조하여 사용자 식별자와 연관된 사용자 계정의 로그인 여부를 결정할 수 있다. 로그인 DB는 데이터베이스(150)에 포함되어 구현되거나 또는 데이터베이스(150)와 독립적인 장치로서 구현될 수 있으며, 이 경우 데이터베이스(150)와 네트워크를 통해 연결될 수 있다.
또한, 사용자 행위 모니터링부(330)는 사용자 계정의 로그인이 확인된 경우 사용자 식별자와 사용자 계정 정보를 기초로 사용자 신원 기반 세션을 생성할 수 있다.
일 실시예에서, 사용자 행위 모니터링부(330)는 사용자 신원 기반 세션이 유지된 상태에서 사용자 계정의 단말 이동이 발생한 경우 사용자 식별자, 단말 정보 및 사용자 계정을 기초로 사용자 신원 기반 세션을 갱신할 수 있다. 단말 이동이란 동일한 사용자 계정에 대한 사용자의 행위가 서로 다른 엔드포인트 단말(110)에서 순차적으로 발생한 경우에 해당할 수 있다. 예를 들어, 특정 사용자 계정으로 제1 엔드포인트 단말에서 사용자 행위가 발견된 이후 제2 엔드포인트 단말에서 해당 사용자 계정에 관한 사용자 행위가 발견된 경우 사용자가 제1 엔드포인트 단말에서 제2 엔드포인트 단말로 장치 간에 이동한 것에 해당할 수 있다.
일 실시예에서, 사용자 행위 모니터링부(330)는 사용자 행위와 연관되고 연속하여 발생하는 특정 파일의 동작들 중 적어도 n(상기 n은 자연수) 개의 동작들이 관심 동작 영역에 해당하는 경우 관심 동작 영역으로의 진입으로 결정할 수 있다. 엔드포인트 단말(110) 상에서 사용자의 행위와 연관되어 특정 파일의 동작이 연속하여 발생할 수 있고, 시간의 흐름에 따라 일련의 순서로 발생하는 특정 파일의 동작들이 일정 개수만큼 연속하여 파일 동작에 관한 관심 동작 영역에 해당하는 경우 사용자 행위 모니터링부(330)는 특정 파일에 관한 동작이 관심 동작 영역에 진입한 것으로 결정할 수 있다.
즉, 관심 동작 영역으로의 진입은 해당 특정 파일이 시스템에 악영향을 미치는 악성 파일에 해당될 확률이 높다는 것을 의미할 수 있고, 예를 들어 멀웨어의 실행 과정에서 감염된 파일 또는 멀웨어를 직접 구성하는 파일에 해당할 수 있다. 한편, 관심 동작 영역으로의 진입 검출을 위한 자연수 n은 EDR 장치(130)에 의해 사전에 설정될 수 있다.
멀웨어 검출 수행부(350)는 관심 동작 영역으로의 진입이 검출된 경우 사용자 행위와 연관된 특정 파일에 대한 멀웨어 검출 기법(scheme)을 수행할 수 있다. 멀웨어 검출 수행부(350)는 특정 파일에 관한 일련의 동작이 관심 동작 영역으로 진입하면 해당 파일 동작이 시스템 위험을 발생시킬 가능성이 높다는 것을 의미하므로 해당 특정 파일에 대해 멀웨어 검출 기법을 적용하여 악성여부를 최종 결정할 수 있다.
일 실시예에서, 멀웨어 검출 수행부(350)는 특정 파일에 대해, 복수의 동작들 중 적어도 하나의 동작이 멀웨어 특성과 연관되는지 여부를 결정하는 휴리스틱 기법 또는 블랙/화이트 리스트에 기초한 결정론적 룰(rule) 기반 기법을 적용함으로써 악성여부를 결정할 수 있다. 여기에서, 멀웨어 특성은 악성 파일에서만 검출되는 비정상적인 특성 또는 의심스러운 특성에 해당할 수 있다.
멀웨어 검출 수행부(350)에 의해 적용되는 멀웨어 검출 기법(scheme)은 휴리스틱(heuristic) 기법으로서 알려진 멀웨어와 관련된 특정 URL, 특정 소스(source) 또는 대상 주소 등과의 연관성을 기초로 악성여부를 결정하는 방법에 해당할 수 있고, 결정론적 룰(rule) 기반 기법으로서 사전에 설정된 블랙 리스트 또는 화이트 리스트를 기초로 악성여부를 결정하는 방법에 해당할 수 있다.
일 실시예에서, 멀웨어 검출 수행부(350)는 특정 파일의 메타데이터를 기초로 정적 특징을 추출하는 제1 단계, 정적 특징을 기초로 특정 파일의 동작을 예측하는 제2 단계, 예측된 동작을 기초로 동적 특징을 추출하는 제3 단계, 정적 및 동적 특징들을 각각 수치화 하여 악성 지수를 산출하는 제4 단계 및 악성 지수에 따라 특정 파일의 악성여부를 결정하는 제5 단계를 수행할 수 있다.
보다 구체적으로, 멀웨어 검출 수행부(350)는 특정 파일의 메타데이터를 기초로 정적 특징을 추출할 수 있다. 예를 들어, 멀웨어 검출 수행부(350)는 특정 파일의 메타데이터에 해시 함수를 적용하여 정적 특징으로서 해시코드를 추출할 수 있다. 이 경우, 특정 파일의 메타데이터는 파일의 헤더와 같이 파일의 특정 영역에서 획득한 정보로 구성될 수 있다.
또한, 멀웨어 검출 수행부(350)는 정적 특징을 기초로 특정 파일의 동작을 예측할 수 있다. 이 경우, 멀웨어 검출 수행부(350)는 동작 예측을 위한 학습 모델을 사용할 수 있고, 학습 모델은 지도학습에 의해 사전에 구축될 수 있다.
또한, 멀웨어 검출 수행부(350)는 예측된 동작을 기초로 동적 특징을 추출할 수 있다. 멀웨어 검출 수행부(350)는 정적 특징을 기초로 예측된 동작의 내용 또는 결과로부터 동적 특징을 획득할 수 있고, 동적 특징은 동일한 정적 특징이라 하더라도 예측 시점이나 조건에 따라 예측된 동작이 달라진다는 점에서 정적 특징과 달리 가변성을 가질 수 있다.
또한, 멀웨어 검출 수행부(350)는 정적 및 동적 특징들을 각각 수치화 하여 악성 지수를 산출할 수 있다. 악성 지수는 특정 파일에 관한 악성여부를 수치화하여 표현한 것으로 일정한 범위로 정규화되어 산출될 수 있다. 멀웨어 검출 수행부(350)는 정적 및 동적 특징들 각각을 1차적으로 수치화하고 정적 및 동적 특징들에 가중치를 부여한 결과로서 최종적으로 악성 지수를 산출할 수 있다.
또한, 멀웨어 검출 수행부(350)는 악성 지수에 따라 특정 파일의 악성여부를 결정할 수 있다. 즉, 멀웨어 검출 수행부(350)는 악성 지수가 특정 기준을 초과하는 경우 특정 파일이 악성인 것으로 결정할 수 있다.
일 실시예에서, 멀웨어 검출 수행부(350)는 특정 파일이 악성인 것으로 결정되면 사용자 행위에 관한 시큐리티(security) 정책을 갱신하여 엔드포인트 단말(110)에게 전송할 수 있다. 시큐리티 정책은 엔트포인트 단말(110)이 오프라인인 경우 사용자 행위를 탐지하고 대응하는 과정에서 사용될 수 있으며, 멀웨어 검출 수행부(350)는 특정 파일이 악성으로 검출된 결과를 반영하여 실시간 또는 주기적으로 시큐리티 정책을 갱신할 수 있다.
제어부(370)는 EDR 장치(130)의 전체적인 동작을 제어하고, 관심 동작 영역 결정부(310), 사용자 행위 모니터링부(330) 및 멀웨어 검출 수행부(350) 간의 제어 흐름 또는 데이터 흐름을 관리할 수 있다.
도 4는 도 1에 있는 EDR 장치에서 수행되는 관심 동작 영역 기반의 EDR 과정을 설명하는 순서도이다.
도 4를 참조하면, EDR 장치(130)는 관심 동작 영역 결정부(310)를 통해 엔드포인트(Endpoint) 단말(110) 상에서 수집되고 사용자 행위(user behavior)와 연관된 특정 파일의 동작들에 관한 비지도 학습을 통해 멀웨어(malware) 행위로 인식되는 관심 동작 영역(Point of Action, POA)을 결정할 수 있다(단계 S410).
또한, EDR 장치(130)는 사용자 행위 모니터링부(330)를 통해 엔드포인트 단말(110)과의 사용자 신원 기반 세션이 생성되면 사용자 행위를 추적하여 관심 동작 영역으로의 진입을 검출할 수 있다(단계 S430).
또한, EDR 장치(130)는 멀웨어 검출 수행부(350)를 통해 관심 동작 영역으로의 진입이 검출된 경우 사용자 행위와 연관된 특정 파일에 대한 멀웨어 검출 기법(scheme)을 수행할 수 있다(단계 S450).
도 5는 본 발명의 일 실시예에 따른 관심 동작 영역 기반의 EDR 시스템을 설명하는 개념도이다.
도 5를 참조하면, 관심 동작 영역 기반의 EDR 시스템(100)은 엔드포인트 단말(510)에서 동작하는 엔드포인트 에이전트, 프론트-엔드 서버(530) 및 분석 서버(550)를 포함할 수 있다. 이 경우, 프론트-엔드 서버(530) 및 분석 서버(550)는 EDR 장치(130)로서 구현될 수 있다.
프론트-엔드 서버(530)는 엔드포인트 에이전트로부터 수집된 정보를 기초로 분석 서버(550)에 엔드포인트의 가시성을 제공하는 동작을 수행할 수 있다. 분석 서버(550)는 엔드포인트 에이전트에서 사용하도록 시큐리티 정책을 생성하고 배포하는 역할을 수행할 수 있다. 이 때, 시큐리티 정책은 엔드포인트 단말(510) 상에서 동작하는 파일에 관한 정적 및 동적 분석을 위한 관심 동작 영역에 관한 정보를 포함할 수 있다.
특히, 분석 서버(550)는 주기적으로 시큐리티 정책을 엔드포인트 에이전트에게 제공하여 엔드포인트 에이전트가 오프라인으로 동작할 경우에도 일정 수준 이상의 보안성을 유지할 수 있도록 유도할 수 있다. 분석 서버(550)는 관련 동작을 위하여 독립적인 SIEM(Security Information and Event Management) 모듈(570)과 연결될 수 있고, 분석(통계 또는 알람) 결과를 다양한 인터페이스를 통해 시각화하여 관리자에게 제공할 수 있다.
도 5에서, 엔드포인트 단말(510)은 프론트-엔드 서버(530)와 연결되어 사용자 신원 기반 세션을 유지 및 갱신할 수 있고, 이를 기초로 사용자의 행위를 추적할 수 있다. 이를 위하여 프론트-엔드 서버(530)는 엔드포인트 단말(510)로부터의 요청에 따라 사용자 신원 기반 세션의 생성 및 유지에 활용되는 사용자 식별자를 제공할 수 있고, 사용자 신원 기반 세션을 통해 엔드포인트 단말(510)과의 데이터 교환을 처리할 수 있다.
상기에서는 본 발명의 바람직한 실시예를 참조하여 설명하였지만, 해당 기술 분야의 숙련된 당업자는 하기의 특허 청구의 범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.
100: 관심 동작 영역 기반의 EDR 시스템
110: 엔드포인트 단말 130: EDR 장치
150: 데이터베이스
210: 프로세서 230: 메모리
250: 사용자 입출력부 270: 네트워크 입출력부
310: 관심 동작 영역 결정부 330: 사용자 행위 모니터링부
350: 멀웨어 검출 수행부 370: 제어부
510: 엔드포인트 단말 530: 프론트-엔드 서버
550: 분석서버 570: SIEM 모듈

Claims (8)

  1. 엔드포인트(Endpoint) 단말 상에서 수집되고 사용자 행위(user behavior)와 연관된 특정 파일의 동작들에 관한 비지도 학습을 통해 멀웨어(malware) 행위로 인식되는 관심 동작 영역(Point of Action, POA)을 결정하는 관심 동작 영역 결정부;
    상기 엔드포인트 단말과의 사용자 신원 기반 세션이 생성되면 상기 사용자 행위를 추적하여 상기 관심 동작 영역으로의 진입을 검출하는 사용자 행위 모니터링부; 및
    상기 관심 동작 영역으로의 진입이 검출된 경우 상기 사용자 행위와 연관된 특정 파일에 대한 멀웨어 검출 기법(scheme)을 수행하는 멀웨어 검출 수행부를 포함하되,
    상기 관심 동작 영역은 파일 동작들의 집합으로서 상기 비지도 학습 결과가 적용되어 파일 동작들 중 멀웨어 행위로 인식되는 동작들을 선별하여 구성되고,
    상기 관심 동작 영역 결정부는 상기 특정 파일의 동작들에 관한 SYSCALL 그래프를 생성하고 상기 SYSCALL 그래프에 관한 상기 비지도 학습의 결과로서 상기 SYSCALL 그래프에 관한 패턴의 위험률을 출력하는 학습 네트워크를 생성하며, 상기 위험률이 임계값을 초과하는 경우 미리 정의된 정상 패턴과의 유사도를 기초로 상기 관심 동작 영역을 결정하고,
    상기 사용자 행위 모니터링부는 상기 사용자 행위와 연관되고 연속하여 발생하는 상기 특정 파일의 동작들 중 적어도 n(상기 n은 자연수) 개의 동작들이 상기 관심 동작 영역에 해당하는 경우 상기 진입으로 결정하는 것을 특징으로 하는 관심 동작 영역 기반의 EDR (Endpoint Detection & Response) 장치.
  2. 삭제
  3. 삭제
  4. 제1항에 있어서, 상기 사용자 행위 모니터링부는
    상기 엔드포인트 단말로부터 상기 사용자 신원 기반 세션에 관한 생성 요청을 수신하는 제1 단계, 상기 요청과 함께 수신한 사용자 식별자를 기초로 로그인 DB를 참조하여 상기 사용자 식별자와 연관된 사용자 계정의 로그인 여부를 결정하는 제2 단계 및 상기 사용자 계정의 로그인이 확인된 경우 상기 사용자 식별자와 사용자 계정 정보를 기초로 상기 사용자 신원 기반 세션을 생성하는 제3 단계를 수행하는 것을 특징으로 하는 관심 동작 영역 기반의 EDR 장치.
  5. 삭제
  6. 제1항에 있어서, 상기 멀웨어 검출 수행부는
    상기 특정 파일에 대해, 복수의 동작들 중 적어도 하나의 동작이 멀웨어 특성과 연관되는지 여부를 결정하는 휴리스틱 기법 또는 블랙/화이트 리스트에 기초한 결정론적 룰(rule) 기반 기법을 적용함으로써 악성여부를 결정하는 것을 특징으로 하는 관심 동작 영역 기반의 EDR 장치.
  7. 제1항에 있어서, 상기 멀웨어 검출 수행부는
    상기 특정 파일의 메타데이터를 기초로 정적 특징을 추출하는 제1 단계, 상기 정적 특징을 기초로 상기 특정 파일의 동작을 예측하는 제2 단계, 상기 예측된 동작을 기초로 동적 특징을 추출하는 제3 단계, 상기 정적 및 동적 특징들을 각각 수치화 하여 악성 지수를 산출하는 제4 단계 및 상기 악성 지수에 따라 상기 특정 파일의 악성여부를 결정하는 제5 단계를 수행하는 것을 특징으로 하는 관심 동작 영역 기반의 EDR 장치.
  8. EDR (Endpoint Detection & Response) 장치에서 수행되는 EDR 방법에 있어서,
    엔드포인트(Endpoint) 단말 상에서 수집되고 사용자 행위(user behavior)와 연관된 특정 파일의 동작들에 관한 비지도 학습을 통해 멀웨어(malware) 행위로 인식되는 관심 동작 영역(Point of Action, POA)를 결정하는 단계;
    상기 엔드포인트 단말과의 사용자 신원 기반 세션이 생성되면 상기 사용자 행위를 추적하여 상기 관심 동작 영역으로의 진입을 검출하는 단계; 및
    상기 관심 동작 영역으로의 진입이 검출된 경우 상기 사용자 행위와 연관된 특정 파일에 대한 멀웨어 검출 루틴(routine)을 수행하는 단계를 포함하되,
    상기 관심 동작 영역은 파일 동작들의 집합으로서 상기 비지도 학습 결과가 적용되어 파일 동작들 중 멀웨어 행위로 인식되는 동작들을 선별하여 구성되고,
    상기 관심 동작 영역 결정하는 단계는 상기 특정 파일의 동작들에 관한 SYSCALL 그래프를 생성하고 상기 SYSCALL 그래프에 관한 상기 비지도 학습의 결과로서 상기 SYSCALL 그래프에 관한 패턴의 위험률을 출력하는 학습 네트워크를 생성하며, 상기 위험률이 임계값을 초과하는 경우 미리 정의된 정상 패턴과의 유사도를 기초로 상기 관심 동작 영역을 결정하는 단계를 포함하고,
    상기 진입을 검출하는 단계는 상기 사용자 행위와 연관되고 연속하여 발생하는 상기 특정 파일의 동작들 중 적어도 n(상기 n은 자연수) 개의 동작들이 상기 관심 동작 영역에 해당하는 경우 상기 진입으로 결정하는 단계를 포함하는 것을 특징으로 하는 관심 동작 영역 기반의 EDR 방법.
KR1020190143695A 2019-11-11 2019-11-11 관심 동작 영역 기반의 edr 장치 및 방법 KR102348359B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020190143695A KR102348359B1 (ko) 2019-11-11 2019-11-11 관심 동작 영역 기반의 edr 장치 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020190143695A KR102348359B1 (ko) 2019-11-11 2019-11-11 관심 동작 영역 기반의 edr 장치 및 방법

Publications (2)

Publication Number Publication Date
KR20210056800A KR20210056800A (ko) 2021-05-20
KR102348359B1 true KR102348359B1 (ko) 2022-01-11

Family

ID=76143004

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020190143695A KR102348359B1 (ko) 2019-11-11 2019-11-11 관심 동작 영역 기반의 edr 장치 및 방법

Country Status (1)

Country Link
KR (1) KR102348359B1 (ko)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101743269B1 (ko) * 2016-01-13 2017-06-05 주식회사 엔젠소프트 행위 정보 분석 및 사용자 행위 패턴 모델링을 통한 이상행위 탐지 방법과 그를 위한 장치
KR101969572B1 (ko) * 2018-06-22 2019-04-16 주식회사 에프원시큐리티 악성코드 탐지 장치 및 방법

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20170108330A (ko) * 2016-03-17 2017-09-27 한국전자통신연구원 악성 코드 탐지 장치 및 방법
KR101814368B1 (ko) 2017-07-27 2018-01-04 김재춘 빅데이터 및 인공지능을 이용한 정보 보안 네트워크 통합 관리 시스템 및 그 방법

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101743269B1 (ko) * 2016-01-13 2017-06-05 주식회사 엔젠소프트 행위 정보 분석 및 사용자 행위 패턴 모델링을 통한 이상행위 탐지 방법과 그를 위한 장치
KR101969572B1 (ko) * 2018-06-22 2019-04-16 주식회사 에프원시큐리티 악성코드 탐지 장치 및 방법

Also Published As

Publication number Publication date
KR20210056800A (ko) 2021-05-20

Similar Documents

Publication Publication Date Title
CN110958220B (zh) 一种基于异构图嵌入的网络空间安全威胁检测方法及系统
US20180075240A1 (en) Method and device for detecting a suspicious process by analyzing data flow characteristics of a computing device
Sallam et al. Data and syntax centric anomaly detection for relational databases
US11575688B2 (en) Method of malware characterization and prediction
JP7311350B2 (ja) 監視装置、監視方法、および監視プログラム
Lin et al. Collaborative alert ranking for anomaly detection
Rosli et al. Clustering analysis for malware behavior detection using registry data
Jacob et al. Detecting Cyber Security Attacks against a Microservices Application using Distributed Tracing.
US10452841B1 (en) Modeling malicious behavior that occurs in the absence of users
Allaf et al. Confmvm: A hardware-assisted model to confine malicious vms
KR102348357B1 (ko) 동적인 분석 플랜을 이용하는 edr 장치 및 방법
KR102311997B1 (ko) 인공지능 행위분석 기반의 edr 장치 및 방법
KR102221726B1 (ko) Edr 단말 장치 및 방법
KR102348359B1 (ko) 관심 동작 영역 기반의 edr 장치 및 방법
CN113709097B (zh) 网络风险感知方法及防御方法
US20220309171A1 (en) Endpoint Security using an Action Prediction Model
KR102221736B1 (ko) 블록체인 기반의 edr 장치 및 방법
Ma et al. A Deep Learning‐Based Trust Assessment Method for Cloud Users
CN115085956A (zh) 入侵检测方法、装置、电子设备及存储介质
Melaragno et al. Detecting ransomware execution in a timely manner
CN117134999B (zh) 一种边缘计算网关的安全防护方法、存储介质及网关
KR102627064B1 (ko) 인공지능 행위분석 기반의 엔드포인트 위협탐지 및 대응 장치
RU2778630C1 (ru) Системы и способы детектирования поведенческих угроз
Hadri et al. Combination of OMPCA and LDA for anomaly network detection
KR102670498B1 (ko) 블록체인 기반의 엔드포인트 위협탐지 및 대응 장치

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant