KR102478984B1 - Determine method for malicious file by linking with events in user terminal and system using them - Google Patents

Determine method for malicious file by linking with events in user terminal and system using them Download PDF

Info

Publication number
KR102478984B1
KR102478984B1 KR1020210001667A KR20210001667A KR102478984B1 KR 102478984 B1 KR102478984 B1 KR 102478984B1 KR 1020210001667 A KR1020210001667 A KR 1020210001667A KR 20210001667 A KR20210001667 A KR 20210001667A KR 102478984 B1 KR102478984 B1 KR 102478984B1
Authority
KR
South Korea
Prior art keywords
file
information
event
security
user terminal
Prior art date
Application number
KR1020210001667A
Other languages
Korean (ko)
Other versions
KR20220099437A (en
Inventor
황정규
전석기
Original Assignee
주식회사 아이티스테이션
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 아이티스테이션 filed Critical 주식회사 아이티스테이션
Priority to KR1020210001667A priority Critical patent/KR102478984B1/en
Priority to PCT/KR2021/000297 priority patent/WO2022149637A1/en
Publication of KR20220099437A publication Critical patent/KR20220099437A/en
Application granted granted Critical
Publication of KR102478984B1 publication Critical patent/KR102478984B1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • Virology (AREA)
  • General Health & Medical Sciences (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 각종 보안 장비와 SIEM을 PC와 연계하여 내부에서 발생하는 보안 이벤트를 수집하고, 해당 이벤트를 발생시킨 PC를 분석하여 악성파일을 판단하는 방법 및 이를 이용한 시스템에 관한 것으로, 본 발명은 사용자 단말의 보안이벤트를 감시서버에서 분석하여 보안 이벤트 분석 정보를 생성하는 단계, 보안 이벤트 분석 정보와 관련된 사용자 단말의 PE 파일의 이벤트 정보를 포함하는 파일 이벤트 정보를 사용자 단말에 설치된 감시 에이전트로 추출하여 감시서버로 전송하는 단계, 감시서버에서 보안 이벤트 분석 정보와 PE 파일의 이벤트 정보가 통합된 PE 파일 보안 이벤트 분석 정보 및 파일 이벤트 정보가 통합된 통합보안 데이터를 생성하는 단계, 통합 보안 데이터를 분석하여 PE 파일의 악성파일 여부를 판단하는 단계 및 감시서버에 통합보안 데이터가 시간순으로 저장되어 과거 PE 파일 보안 이벤트 분석 정보 및 과거 파일 이벤트 정보로 이루어진 과거 통합보안 데이터를 포함하는 과거 통합보안 데이터그룹을 생성하는 단계를 포함할 수 있다.The present invention relates to a method for determining a malicious file by collecting security events occurring inside by linking various security equipment and SIEM with a PC and analyzing the PC that generated the event, and a system using the same. Step of generating security event analysis information by analyzing the security event of the terminal in the monitoring server, extracting the file event information including the event information of the PE file of the user terminal related to the security event analysis information with the monitoring agent installed in the user terminal, and monitoring it. Step of transmitting to the server, PE file in which security event analysis information and event information of the PE file are integrated in the monitoring server Step of generating integrated security data in which security event analysis information and file event information are integrated, PE by analyzing the integrated security data Determining whether a file is a malicious file and integrated security data are stored in chronological order in the monitoring server to create a past integrated security data group including past integrated security data consisting of past PE file security event analysis information and past file event information steps may be included.

Description

사용자 단말 이벤트 연동 악성파일 판단방법 및 이를 이용한 시스템{DETERMINE METHOD FOR MALICIOUS FILE BY LINKING WITH EVENTS IN USER TERMINAL AND SYSTEM USING THEM}User terminal event-linked malicious file judgment method and system using the same

본 발명은 사용자 단말 이벤트 연동 악성파일 판단방법 및 이를 이용한 시스템에 관한 것으로, 더욱 상세하게는 각종 보안 장비 및 SIEM을 사용자 단말과 연계하여 내부에서 발생하는 보안 이벤트를 수집하고, 해당 이벤트를 발생시킨 사용자 단말을 분석하여 멀웨어 등의 악성파일을 판단하는 방법 및 시스템에 관한 것이다.The present invention relates to a method for determining a malicious file linked to a user terminal event and a system using the same, and more particularly, to collect security events occurring internally by linking various security devices and SIEMs with a user terminal, and detecting the user who generated the event It relates to a method and system for determining malicious files such as malware by analyzing a terminal.

보안 장비는 내/외부망의 비정상적인 행위를 탐지/차단하여 조직 내 위협을 사전에 차단하는 역할을 한다. SIEM(Security Information & Event Management)은 각 종 보안장비의 이벤트를 수집하고 분석하여 보다 체계적이고 신속한 보안 시스템 구축할 수 있는 역할을 담당한다.Security equipment plays a role in preventing threats within an organization in advance by detecting/blocking abnormal behavior in internal/external networks. SIEM (Security Information & Event Management) collects and analyzes events of various security devices to build a more systematic and rapid security system.

종래에는, 이러한 보안 시스템을 통해 내부 사용자 PC에 이상 징후를 감지하면, 보안 담당자가 수동으로 PC를 분석하여 위협 유무에 대한 진단을 수행해 왔다.Conventionally, upon detecting anomalies in an internal user's PC through such a security system, a security officer manually analyzes the PC and diagnoses whether or not there is a threat.

하지만, 이와 같은 수동 분석은 지리적 제한에 의한 분석 시간 지연 요소와 1회성 행위에 관련한 재현 불가능 요소로 인해 많은 전문화된 인력과 시간이 필요하다는 문제가 있었다.However, such manual analysis has a problem in that it requires a lot of specialized manpower and time due to analysis time delay factors due to geographical limitations and non-reproducible factors related to one-time activities.

대한민국 등록특허 10-1414084호(2014.06.25 등록)Republic of Korea Patent No. 10-1414084 (registered on June 25, 2014)

본 발명은 상기와 같은 문제점을 해결하기 위하여 안출된 것으로, 본 발명은 각종 보안 장비와 SIEM을 사용자 단말과 연계하여 내부에서 발생하는 보안 이벤트를 수집하고, 해당 이벤트를 발생시킨 사용자 단말을 분석하여 멀웨어를 판단할 수 있는 사용자 단말 이벤트 연동 악성파일 판단방법 및 이를 이용한 시스템을 제공하는 것을 과제로 한다.The present invention has been devised to solve the above problems, and the present invention collects security events occurring inside by linking various security devices and SIEMs with user terminals, and analyzes the user terminal that generated the event to detect malware. An object of the present invention is to provide a user terminal event-linked malicious file determination method and a system using the same.

상기한 과제를 해결하기 위하여, 본 발명의 사용자 단말 이벤트 연동 악성파일 판단방법은 사용자 단말의 보안이벤트를 감시서버에서 분석하여 보안 이벤트 분석 정보를 생성하는 단계, 보안 이벤트 분석 정보와 관련된 사용자 단말의 PE 파일의 이벤트 정보를 포함하는 파일 이벤트 정보를 사용자 단말에 설치된 감시 에이전트로 추출하여 감시서버로 전송하는 단계, 감시서버에서 보안 이벤트 분석 정보와 PE 파일의 이벤트 정보가 통합된 PE 파일 보안 이벤트 분석 정보 및 파일 이벤트 정보가 통합된 통합보안 데이터를 생성하는 단계, 통합 보안 데이터를 분석하여 PE 파일의 악성파일 여부를 판단하는 단계 및 감시서버에 통합보안 데이터가 시간순으로 저장되어 과거 PE 파일 보안 이벤트 분석 정보 및 과거 파일 이벤트 정보로 이루어진 과거 통합보안 데이터를 포함하는 과거 통합보안 데이터그룹을 생성하는 단계를 포함할 수 있다.In order to solve the above problems, the user terminal event-linked malicious file determination method of the present invention analyzes the security event of the user terminal in a monitoring server to generate security event analysis information, PE of the user terminal related to the security event analysis information Extracting file event information including file event information with a monitoring agent installed in the user terminal and transmitting it to the monitoring server, PE file security event analysis information in which security event analysis information and PE file event information are integrated in the monitoring server, and The step of generating integrated security data in which file event information is integrated, the step of analyzing the integrated security data to determine whether the PE file is a malicious file, and the integrated security data is stored in chronological order in the monitoring server, so that past PE file security event analysis information and It may include generating a past integrated security data group including past integrated security data composed of past file event information.

또한, 본 발명의 사용자 단말 이벤트 연동 악성파일 판단 시스템은 사용자 단말 관련 보안 이벤트 정보가 수집되는 보안이벤트 정보 수집부, 사용자 단말에 설치되어 보안 이벤트 분석 정보와 관련된 사용자 단말의 PE 파일의 이벤트 정보가 포함된 파일 이벤트 정보를 수집하는 감시 에이전트부, 보안이벤트 정보 수집부의 보안 이벤트 정보를 분석하여 보안 이벤트 분석 정보를 생성하고, 보안 이벤트 분석 정보와 PE 파일의 이벤트 정보가 통합된 PE 파일 보안 이벤트 분석 정보 및 파일 이벤트 정보가 통합된 통합 보안 데이터를 생성하는 감시 서버부, 및 감시 서버부에서 생성된 통합 보안 데이터를 분석하여 PE 파일의 악성파일 여부를 판단하는 악성파일 판단부를 포함할 수 있다.In addition, the user terminal event-linked malicious file determination system of the present invention includes a security event information collection unit for collecting user terminal-related security event information, and event information of a PE file of the user terminal installed in the user terminal and related to security event analysis information. Security event analysis information is generated by analyzing the security event information of the surveillance agent unit that collects the stored file event information and the security event information collection unit, and PE file security event analysis information and It may include a monitoring server unit that generates integrated security data in which file event information is integrated, and a malicious file determining unit that analyzes the integrated security data generated by the monitoring server unit and determines whether the PE file is a malicious file.

본 발명의 사용자 단말 이벤트 연동 악성파일 판단방법은, 보안 담당자에 의한 수동 분석 대신에 사용자 단말과 연동되어 작동됨에 따라 악성파일 분석 및 판단을 용이하게 할 수 있다. 즉, 본 발명의 사용자 단말 이벤트 연동 악성파일 판단방법은 각종 보안 장비와 SIEM을 사용자 단말과 연계하여 내부에서 발생하는 보안 이벤트를 수집하고, 해당 이벤트를 발생시킨 사용자 단말을 분석하여 악성파일을 판단할 수 있다.The method for judging a malicious file linked to a user terminal event according to the present invention can facilitate the analysis and determination of a malicious file as it operates in conjunction with a user terminal instead of manual analysis by a security officer. That is, the user terminal event-linked malicious file determination method of the present invention collects security events occurring internally by linking various security equipment and SIEM with the user terminal, analyzes the user terminal that generated the event, and determines the malicious file. can

도 1은 본 발명의 일 실시예에 따른 사용자 단말 이벤트 연동 악성파일 판단 시스템이 네트워크를 통해 사용자 단말에 연결되는 구성을 개략적으로 도시한 도면이다.
도 2는 본 발명의 일 실시예에 따른 사용자 단말 이벤트 연동 악성파일 판단 시스템의 구성을 개략적으로 도시한 도면이다.
도 3은 본 발명의 일 실시예에 따른 사용자 단말 이벤트 연동 악성파일 판단 방법을 나타내는 흐름도이다.
도 4는 도 3의 사용자 단말 이벤트 연동 악성파일 판단 방법의 일부 단계를 나타내는 흐름도이다.1 is a diagram schematically illustrating a configuration in which a user terminal event-linked malicious file determination system according to an embodiment of the present invention is connected to a user terminal through a network.
2 is a diagram schematically illustrating the configuration of a user terminal event-linked malicious file determination system according to an embodiment of the present invention.
3 is a flowchart illustrating a method for determining a malicious file linked to a user terminal event according to an embodiment of the present invention.
FIG. 4 is a flowchart illustrating some steps of the method of determining a malicious file linked to a user terminal event of FIG. 3 .

본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 것이며, 단지 본 실시예들은 본 발명의 개시가 완전하도록 하며, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다. 명세서 전체에 걸쳐 동일 참조 부호는 동일 구성 요소를 지칭한다.Advantages and features of the present invention, and methods of achieving them, will become clear with reference to the detailed description of the following embodiments taken in conjunction with the accompanying drawings. However, the present invention is not limited to the embodiments disclosed below, but will be implemented in various different forms, only these embodiments make the disclosure of the present invention complete, and common knowledge in the art to which the present invention belongs. It is provided to fully inform the holder of the scope of the invention, and the present invention is only defined by the scope of the claims. Like reference numbers designate like elements throughout the specification.

비록 제1, 제2 등이 다양한 소자, 구성요소 및/또는 섹션들을 서술하기 위해서 사용되나, 이들 소자, 구성요소 및/또는 섹션들은 이들 용어에 의해 제한되지 않음은 물론이다. 이들 용어들은 단지 하나의 소자, 구성요소 또는 섹션들을 다른 소자, 구성요소 또는 섹션들과 구별하기 위하여 사용하는 것이다. 따라서, 이하에서 언급되는 제1 소자, 제1 구성요소 또는 제1 섹션은 본 발명의 기술적 사상 내에서 제2 소자, 제2 구성요소 또는 제2 섹션일 수도 있음은 물론이다.Although first, second, etc. are used to describe various elements, components and/or sections, it is needless to say that these elements, components and/or sections are not limited by these terms. These terms are only used to distinguish one element, component or section from another element, component or section. Accordingly, it goes without saying that the first element, first element, or first section referred to below may also be a second element, second element, or second section within the spirit of the present invention.

본 명세서에서 사용된 용어는 실시예들을 설명하기 위한 것이며 본 발명을 제한하고자 하는 것은 아니다. 본 명세서에서, 단수형은 문구에서 특별히 언급하지 않는 한 복수형도 포함한다. 명세서에서 사용되는 "포함한다(comprises)" 및/또는 "이루어지다(made of)"는 언급된 구성요소, 단계, 동작 및/또는 소자는 하나 이상의 다른 구성요소, 단계, 동작 및/또는 소자의 존재 또는 추가를 배제하지 않는다.Terminology used herein is for describing the embodiments and is not intended to limit the present invention. In this specification, singular forms also include plural forms unless specifically stated otherwise in a phrase. As used in the specification, a referenced component, step, operation and/or element to "comprises" and/or "made of" refers to one or more other components, steps, operations and/or elements. Existence or additions are not excluded.

다른 정의가 없다면, 본 명세서에서 사용되는 모든 용어(기술 및 과학적 용어를 포함)는 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 공통적으로 이해될 수 있는 의미로 사용될 수 있을 것이다. 또 일반적으로 사용되는 사전에 정의되어 있는 용어들은 명백하게 특별히 정의되어 있지 않는 한 이상적으로 또는 과도하게 해석되지 않는다.Unless otherwise defined, all terms (including technical and scientific terms) used in this specification may be used in a meaning commonly understood by those of ordinary skill in the art to which the present invention belongs. In addition, terms defined in commonly used dictionaries are not interpreted ideally or excessively unless explicitly specifically defined.

이때, 명세서 전체에 걸쳐 동일 참조 부호는 동일 구성 요소를 지칭하며, 처리 흐름도 도면들의 각 구성과 흐름도 도면들의 조합들은 컴퓨터 프로그램 인스트럭션들에 의해 수행될 수 있음을 이해할 수 있을 것이다. 이들 컴퓨터 프로그램 인스트럭션들은 범용 컴퓨터, 특수용 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서에 탑재될 수 있으므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서를 통해 수행되는 그 인스트럭션들이 흐름도 구성(들)에서 설명된 기능들을 수행하는 수단을 생성하게 된다.At this time, it will be understood that like reference numerals designate like elements throughout the specification, and each configuration of process flow diagrams and combinations of flow diagrams can be performed by computer program instructions. These computer program instructions may be loaded into a processor of a general purpose computer, special purpose computer, or other programmable data processing equipment, so that the instructions executed by the processor of the computer or other programmable data processing equipment are described in the flowchart configuration(s). It creates means to perform functions.

또한, 몇 가지 대체 실시예들에서는 구성들에서 언급된 기능들이 순서를 벗어나서 발생하는 것도 가능함을 주목해야 한다. 예컨대, 잇달아 도시되어 있는 두 개의 구성들은 사실 실질적으로 동시에 수행되는 것도 가능하고 또는 그 구성들이 때때로 해당하는 기능에 따라 역순으로 수행되는 것도 가능하다.It should also be noted that in some alternative embodiments it is possible for the functions recited in the configurations to occur out of order. For example, two components shown in succession may in fact be performed substantially concurrently, or the components may sometimes be performed in reverse order depending on the function in question.

이하, 본 발명에 대하여 첨부된 도면에 따라 보다 상세히 설명한다.Hereinafter, the present invention will be described in more detail with reference to the accompanying drawings.

도 1은 본 발명의 일 실시예에 따른 사용자 단말 이벤트 연동 악성파일 판단 시스템이 네트워크를 통해 사용자 단말에 연결되는 구성을 개략적으로 도시한 도면이다. 그리고, 도 2는 본 발명의 일 실시예에 따른 사용자 단말 이벤트 연동 악성파일 판단 시스템의 구성을 개략적으로 도시한 도면이다.1 is a diagram schematically illustrating a configuration in which a user terminal event-linked malicious file determination system according to an embodiment of the present invention is connected to a user terminal through a network. And, Figure 2 is a diagram schematically showing the configuration of a user terminal event-linked malicious file determination system according to an embodiment of the present invention.

도 1 및 도 2를 참조하면, 본 실시예에 따른 사용자 단말 이벤트 연동 악성파일 판단 시스템(100)은, 보안 이벤트 정보 수집부(110), 감시 에이전트부(120), 감시 서버부(130) 및 악성 파일 판단부(140)를 포함할 수 있다.Referring to FIGS. 1 and 2, the user terminal event-linked malicious file determination system 100 according to the present embodiment includes a security event information collection unit 110, a monitoring agent unit 120, a monitoring server unit 130 and A malicious file determination unit 140 may be included.

보안 이벤트 정보 수집부(110)는 사용자 단말과 관련된 보안 이벤트 정보를 수집할 수 있다. 즉, 보안 이벤트 정보 수집부(110)에는 사용자 단말에 설치된 감시 에이전트부(120)를 통해 사용자 단말 관련 보안 이벤트 정보가 수집될 수 있다.The security event information collecting unit 110 may collect security event information related to the user terminal. That is, security event information related to the user terminal may be collected in the security event information collection unit 110 through the monitoring agent unit 120 installed in the user terminal.

감시 에이전트부(120)는 사용자 단말에 설치되어 보안 이벤트 분석 정보와 관련된 사용자 단말의 PE 파일(EXE, DLL, Drive, Object 등)의 이벤트 정보가 포함된 파일 이벤트 정보를 수집할 수 있다.The monitoring agent unit 120 is installed in the user terminal and may collect file event information including event information of PE files (EXE, DLL, Drive, Object, etc.) of the user terminal related to security event analysis information.

감시 서버부(130)는 보안 이벤트 정보 수집부(110)의 보안 이벤트 정보를 분석하여 보안 이벤트 분석 정보를 생성하고, 보안 이벤트 분석 정보와 PE 파일의 이벤트 정보가 통합된 PE 파일 보안 이벤트 분석 정보 및 파일 이벤트 정보가 통합된 통합보안 데이터를 생성할 수 있다.The monitoring server unit 130 analyzes the security event information of the security event information collection unit 110 to generate security event analysis information, PE file security event analysis information and PE file security event analysis information in which the security event analysis information and event information of the PE file are integrated. Integrated security data in which file event information is integrated can be created.

악성 파일 판단부(140)는 감시 서버부(130)에서 생성된 통합보안 데이터를 분석하여 PE 파일의 악성파일 여부를 판단할 수 있다.The malicious file determination unit 140 may analyze integrated security data generated by the monitoring server unit 130 to determine whether the PE file is a malicious file.

여기서, 보안 이벤트 정보 수집부(110)는 경보정보, 연관성 정보 및 시나리오 기반 정보 중 하나 이상을 수집하는 보안정보 이벤트 관리부(111), 사용자 단말 관련 탐지 및 차단 이벤트 정보 중 하나 이상을 수집하는 보안장비부(112) 및 사용자 단말과 인터넷 및 서버존 사이의 패킷 미러링 정보를 수집하는 패킷 미러링부(113)를 포함할 수 있다.Here, the security event information collection unit 110 includes a security information event management unit 111 that collects one or more of alert information, correlation information, and scenario-based information, and security equipment that collects one or more of user terminal-related detection and blocking event information. It may include a unit 112 and a packet mirroring unit 113 that collects packet mirroring information between the user terminal and the Internet and the server zone.

그리고, 보안 이벤트 정보 수집부(110)는 경보정보의 내용 중에서 이벤트의 발생 시간, 경보명, 출발지 IP, 출발지 Port, 목적지 IP, 목적지 Pot 정보 및 위험도를 추출하여 저장할 수 있다.Also, the security event information collection unit 110 may extract and store event occurrence time, alarm name, source IP, source port, destination IP, destination pot information, and risk level from among the contents of the alarm information.

악성 파일 판단부(140)는 악성파일 의심 보고서 생성부(141)를 포함할 수 있다.The malicious file determination unit 140 may include a malicious file suspicion report generation unit 141 .

이러한 악성파일 의심 보고서 생성부(141)는 PE 파일이 악성파일이 아닌 경우 PE 파일로 의심되는지 여부를 판단하여 악성파일 의심보고서를 생성할 수 있다.If the PE file is not a malicious file, the malicious file suspicion report generation unit 141 determines whether the PE file is suspected of being a PE file and generates a malicious file suspicion report.

결국, 본 실시예에 따른 사용자 단말 이벤트 연동 악성파일 판단 시스템(100)은 사용자 단말과 연계하여 악성파일 여부를 판단할 수 있다.As a result, the user terminal event-linked malicious file determination system 100 according to the present embodiment can determine whether or not a malicious file is present in association with the user terminal.

도 3 및 도 4는 본 발명의 일 실시예에 따른 사용자 단말 이벤트 연동 악성파일 판단 방법을 개략적으로 나타낸 흐름도이다.3 and 4 are flowcharts schematically illustrating a method for determining a malicious file linked to a user terminal event according to an embodiment of the present invention.

도 3을 참고하면, 본 실시예에 따른 사용자 단말 이벤트 연동 악성파일 판단방법(S200)은, 보안 이벤트 분석 정보를 생성하는 단계(S210), 파일 이벤트 정보를 감시서버로 전송하는 단계(S220), 통합보안 데이터를 생성하는 단계(S230), PE 파일의 악성파일 여부를 판단하는 단계(S240) 및 과거 통합보안 데이터그룹을 생성하는 단계(S250)를 포함할 수 있다.Referring to FIG. 3 , the method for determining a malicious file linked to a user terminal event (S200) according to the present embodiment includes generating security event analysis information (S210), transmitting file event information to a monitoring server (S220), It may include generating integrated security data (S230), determining whether the PE file is a malicious file (S240), and creating a past integrated security data group (S250).

본 실시예에 따른 보안 이벤트 분석 정보를 생성하는 단계(S210)에서는 사용자 단말의 보안이벤트를 감시서버에서 분석하여 보안 이벤트 분석 정보를 생성할 수 있다.In the step of generating security event analysis information according to the present embodiment (S210), security event analysis information of the user terminal may be analyzed by the monitoring server to generate security event analysis information.

실시예에서, 보안 이벤트 분석 정보를 생성하는 단계(S210)에서 생성되는 보안 이벤트 분석 정보는, 보안정보이벤트 관리(SIEM)부(111)에서 생성된 사용자 단말의 보안정보이벤트 정보, 보안장비부(112)에서 생성된 사용자 단말의 탐지 및 차단 이벤트 정보 및 사용자 단말과 인터넷 및 서버존 사이의 패킷 미러링 정보 중 하나 이상을 포함할 수 있다.In the embodiment, the security event analysis information generated in the step of generating the security event analysis information (S210) includes the security information event information of the user terminal generated by the security information event management (SIEM) unit 111, the security equipment unit ( It may include one or more of detection and blocking event information of the user terminal generated in 112) and packet mirroring information between the user terminal and the Internet and the server zone.

즉, 보안 이벤트 분석 정보를 생성하는 단계(S210)에서 감시서버는 보안이벤트를 분석하기 위해서 사용자 단말에서 발생되는 보안이벤트를 수집하게 된다.That is, in the step of generating security event analysis information (S210), the monitoring server collects security events generated in the user terminal in order to analyze the security events.

먼저, 보안 이벤트 분석 정보를 생성하는 단계(S210)에서 감시서버는 보안정보 이벤트 관리(SIEM)부(111)에서 발생되는 사용자 단말의 보안정보이벤트 정보를 DB Connection 또는 오픈 API 등의 연동 방식을 이용하여 서버와 연동함으로써 보안정보이벤트 정보를 수집할 수 있다.First, in the step of generating security event analysis information (S210), the monitoring server uses an interlocking method such as DB Connection or open API for security information event information of the user terminal generated in the security information event management (SIEM) unit 111. Security information event information can be collected by linking with the server.

이때, 사용자 단말의 보안정보이벤트 정보는 단일 경보정보, 연관성 경보정보 및 시나리오 기반 경보정보 중 하나를 포함할 수 있다. 그리고, 감시서버는 이들 경보정보의 내용 중에서 발생 시간, 경보명, 출발지 IP, 출발지 Port, 목적지 IP, 목적지 Port 정보 및 위험도를 추출하여 저장할 수 있다. At this time, the security information event information of the user terminal may include one of single alert information, association alert information, and scenario-based alert information. Then, the monitoring server can extract and store the occurrence time, alarm name, source IP, source port, destination IP, destination port information and risk level from among the contents of these alarm information.

또한, 보안 이벤트 분석 정보를 생성하는 단계(S210)에서 감시서버는 보안장비부(112)에서 생성된 상기 사용자 단말의 탐지 및 차단 이벤트 정보를 수집하게 되는데, IPS, Ddos, 웹방화벽(WAF; Web Application Fire/Wall) 등의 보안장비부(112)에서 발생되는 탐지/차단 이벤트 로그를 syslog 형태로 전송받아 발생 시간, 경보명, 출발지 IP, 출발지 Port, 목적지 IP, 목적지 Port 정보 및 위험도를 추출하여 저장할 수 있다.In addition, in the step of generating security event analysis information (S210), the monitoring server collects detection and blocking event information of the user terminal generated by the security equipment unit 112, such as IPS, Ddos, and Web Firewall (WAF; Web Application Fire/Wall) receives detection/blocking event logs generated from the security equipment unit 112 in the form of syslog, extracts occurrence time, alarm name, source IP, source port, destination IP, destination port information and risk level can be saved

그리고, 보안 이벤트 분석 정보를 생성하는 단계(S210)에서 감시서버는 사용자 단말과 인터넷 및 서버존 사이의 패킷 미러링 정보를 수집하게 되는데, 사용자 단말과 인터넷 사이 또는 사용자 단말과 서버존 사이의 장비를 통한 미러링으로 패킷을 수집할 수 있다. 이때, 수집된 패킷을 통해 사용자 단말의 BlackIP 접속 행위, 서버존의 비정상적인 접속 행위를 감시할 수 있다. 접속 행위 발견 시 발생 시간, 탐지명, 출발지 IP, 출발지 Port, 목적지 IP, 목적지 Port 정보를 메모리에 저장한다. And, in the step of generating security event analysis information (S210), the monitoring server collects packet mirroring information between the user terminal and the Internet and the server zone, through equipment between the user terminal and the Internet or between the user terminal and the server zone. Packets can be collected by mirroring. At this time, through the collected packets, it is possible to monitor BlackIP connection behavior of the user terminal and abnormal connection behavior of the server zone. When an access activity is discovered, the occurrence time, detection name, source IP, source port, destination IP, and destination port information are stored in memory.

여기서, 보안정보이벤트 관리(SIEM)부(111)와 보안장비부(112)에서의 이벤트 분석에 의해 저장된 정보, 즉 보안정보 이벤트 정보와 탐지 및 차단 이벤트 정보를 Security Event Data Preprocessing의 약자 “SEDP”로 명명하고, 미러링 분석에 의해 저장된 정보를 Mirror Packet Analysis Result의 약자 “MPAR”로 명명하며, 사용자 단말 IP를 UserIP의 약자 “UIP”로 명명할 수 있다.Here, the information stored by the event analysis in the security information event management (SIEM) unit 111 and the security equipment unit 112, that is, security information event information and detection and blocking event information, is “SEDP”, which is an abbreviation of Security Event Data Preprocessing. , the information stored by mirroring analysis is named “MPAR”, which is an abbreviation of Mirror Packet Analysis Result, and the user terminal IP can be named “UIP”, which is an abbreviation of UserIP.

본 실시예에 따른 파일 이벤트 정보를 감시서버로 전송하는 단계(S220)에서는 보안 이벤트 분석 정보와 관련된 사용자 단말의 PE 파일의 이벤트 정보를 포함하는 파일 이벤트 정보를 사용자 단말에 설치된 감시 에이전트로 추출하여 감시서버로 전송할 수 있다. 여기서, PE 파일의 이벤트 정보는 PE 파일의 파일명, Hash값(SHA256) 및 감시서버에 저장된 위치 정보를 포함할 수 있다.In the step of transmitting the file event information according to the present embodiment to the monitoring server (S220), the file event information including the event information of the PE file of the user terminal related to the security event analysis information is extracted and monitored by the monitoring agent installed in the user terminal. can be sent to the server. Here, the event information of the PE file may include the file name of the PE file, hash value (SHA256), and location information stored in the monitoring server.

실시예에서, 파일 이벤트 정보를 감시서버로 전송하는 단계(S220)에서 사용자 단말에 설치된 감시 에이전트를 통해 파일 이벤트 정보를 감시서버로 전송할 수 있다.In an embodiment, in the step of transmitting the file event information to the monitoring server (S220), the file event information may be transmitted to the monitoring server through the monitoring agent installed in the user terminal.

이때, 파일 이벤트 정보를 감시서버로 전송하는 단계(S220)에서는 감시 에이전트에 의해 다음의 기능들이 수행될 수 있다. 먼저, 사용자 단말에서 발생되는 모든 통신 내역을 저장하고, 다음으로 감시서버의 명령을 전달받아 명령을 수행하며, 그후 사용자 단말에서 네트워크 장비로의 비정상적인 접속 행위와 UIP 사이에서의 통신을 감시할 수 있으며, 최종적으로 저장된 통신 내역과 감시 내역을 비교하고 일치하는 정보를 추출하여 서버에 전송할 수 있다.At this time, in the step of transmitting the file event information to the monitoring server (S220), the following functions may be performed by the monitoring agent. First, it stores all communication details generated by the user terminal, and then receives and executes commands from the monitoring server, and then monitors abnormal access behaviors from the user terminal to network equipment and communication between UIPs. Finally, the saved communication details and monitoring details can be compared, and matching information can be extracted and transmitted to the server.

구체적으로, 파일 이벤트 정보를 감시서버로 전송하는 단계(S220)에서, 감시 에이전트는 사용자 단말에서 발생되는 모든 통신 내역을 저장할 수 있다. 이때, 통신 내역은 PE 파일에 의해 시도되는 외부와의 모든 통신 내용을 포함할 수 있다. PE 파일이 연결을 시도할 때마다 발생 시간, PE 파일명, PE 파일 경로, PE 파일 Hash, 출발지 IP, 출발지 Port, 목적지 IP, 목적지 Port 정보를 각 쌍으로 순차적으로 저장할 수 있다. 하나의 연결 시도에 복수의 PE 파일이 관여될 수 있으므로, 한 쌍에 여러 개의 PE 파일의 이벤트 정보가 저장될 수 있다.Specifically, in the step of transmitting the file event information to the monitoring server (S220), the monitoring agent may store all communication details generated in the user terminal. At this time, the communication details may include all communication contents with the outside attempted by the PE file. Whenever a PE file attempts to connect, the occurrence time, PE file name, PE file path, PE file hash, source IP, source port, destination IP, and destination port information can be sequentially stored in each pair. Since a plurality of PE files may be involved in one connection attempt, event information of a plurality of PE files may be stored in a pair.

또한, 파일 이벤트 정보를 감시서버로 전송하는 단계(S220)에서 감시 에이전트는 감시서버의 명령을 전달받아 이를 수행할 수 있다. 이때, 감시 에이전트의 명령 수행 기능은 UIP에서 멀웨어와 같은 악성파일이 존재한다는 분석이 나올 경우 해당 프로세스를 죽이거나 네트워크를 논리적으로 차단할 수 있다. 논리적 네트워크로 통신이 차단되더라도 감시서버와 감시 에이전트 간 통신은 허용된다. 여기서, 감시서버와 감시 에이전트 간 통신의 허용은 추후 오탐으로 판단될 경우 논리적 네트워크 차단과 해당 프로세스 차단을 해제하기 위한 것이다.In addition, in the step of transmitting the file event information to the monitoring server (S220), the monitoring agent may receive a command from the monitoring server and perform it. At this time, the monitoring agent's command execution function can kill the corresponding process or logically block the network if UIP analyzes that a malicious file such as malware exists. Communication between monitoring server and monitoring agent is allowed even if communication is blocked by logical network. Here, permission of communication between monitoring server and monitoring agent is to release logical network blocking and corresponding process blocking if it is determined to be a false positive later.

그리고, 파일 이벤트 정보를 감시서버로 전송하는 단계(S220)에서 감시 에이전트는 사용자 단말에서 네트워크 장비로의 비정상적인 접속 행위와 UIP 사이에서의 통신을 감시할 수 있다. 여기서, 파일 이벤트 정보는 PE 파일의 이벤트 정보와 관련된 사용자 단말과 네트워크 장비와의 비정상 접속 이벤트 정보 및 사용자 단말과 다른 사용자 단말의 접속 이벤트 정보 중 하나 이상을 포함할 수 있다.And, in the step of transmitting the file event information to the monitoring server (S220), the monitoring agent can monitor the abnormal access behavior from the user terminal to the network equipment and the communication between the UIP. Here, the file event information may include one or more of abnormal connection event information between a user terminal and network equipment related to event information of a PE file, and connection event information between a user terminal and other user terminals.

이때, 파일 이벤트 정보를 감시서버로 전송하는 단계(S220)에서 감시 에이전트는, 네트워크 장비에 대한 비정상 행위와 UIP간 통신 발생 시 발생 시간, 출발지 IP, 출발지 Port, 목적지 IP, 및 목적지 Port를 메모리에 저장하게 되며, 앞서 사용자 단말에서 발생되는 모든 통신 내역을 저장한 통신 내역과, 감시 내역을 비교하여 일치하는 정보를 추출하고, 추출된 내용을 서버에 전송할 수 있으며, 전송시 이와 관련된 PE 파일들을 함께 서버로 전송할 수 있다.At this time, in the step of transmitting the file event information to the monitoring server (S220), the monitoring agent stores the occurrence time, source IP, source port, destination IP, and destination port in memory when abnormal behavior on network equipment and communication between UIPs occur. It compares the monitoring details with the communication details that have previously saved all the communication details generated in the user terminal, extracts matching information, and transmits the extracted contents to the server. can be sent to the server.

본 실시예에 따른 통합보안 데이터를 생성하는 단계(S230)에서는 감시서버에서 보안 이벤트 분석 정보와 PE 파일의 이벤트 정보가 통합된 PE 파일 보안 이벤트 분석 정보 및 파일 이벤트 정보가 통합된 통합보안 데이터를 생성할 수 있다.In the step of generating integrated security data according to this embodiment (S230), integrated security data in which security event analysis information and PE file event information are integrated in the monitoring server is integrated with PE file security event analysis information and file event information. can do.

실시예에서, 통합보안 데이터를 생성하는 단계(S230)에서 생성되는 PE 파일 보안 이벤트 분석 정보는, 보안정보이벤트 정보와 PE 파일의 이벤트 정보가 통합된 PE 파일 보안정보이벤트 정보, 탐지 및 차단 이벤트 정보와 PE 파일의 이벤트 정보가 통합된 PE 파일 탐지 및 차단 이벤트 정보 및 패킷 미러링 정보와 PE 파일의 이벤트 정보가 통합된 PE 파일 패킷 미러링 정보 중 하나 이상을 포함할 수 있다.In the embodiment, the PE file security event analysis information generated in the step of generating integrated security data (S230) is PE file security information event information in which security information event information and event information of the PE file are integrated, detection and blocking event information and PE file detection and blocking event information combined with PE file event information and PE file packet mirroring information combined with packet mirroring information and PE file event information.

여기서, 통합보안 데이터를 생성하는 단계(S230)에서, 감시서버에서 보안 이벤트 분석 정보인 SEDP와 MPAR에 새로운 내용이 추가될 때 마다 UIP를 구하고 해당 UIP의 감시 에이전트에 통신 내역과 출발지 IP, 출발지 Port, 목적지 IP, 목적지 Port 정보와 일치하는 내용이 있는지를 확인 요청하고, 요청 내용과 매칭된 PE 파일의 이벤트 정보 내용을 전송받는다. SEDP과 MPAR 내용은 전송받은 PE 파일의 이벤트 정보와 통합하여 저장된다. PE 파일의 이벤트 정보는 파일명, Hash값(SHA256), 감시 에이전트에서 전송된 파일을 저장한 감시 서버에서의 위치 정보로 구성될 수 있다. 저장된 정보는 SEDP와 MPAR에 PE 파일의 이벤트 정보가 추가된 내용으로 “PE_SEDP”와 “PE_MPAR”로 명명될 수 있다. 즉, PE_SEDP는 PE 파일 보안 정보 이벤트 정보 및 PE 파일 탐지 및 차단 이벤트 정보를 포함하여 이루어지고, PE_MPAR는 PE 파일 패킷 미러링 정보를 포함할 수 있다.Here, in the step of generating integrated security data (S230), a UIP is obtained whenever new content is added to SEDP and MPAR, which are security event analysis information, in the monitoring server, and communication details, source IP, and source port are obtained from the monitoring agent of the corresponding UIP , it asks to see if there is a match with the destination IP and destination port information, and receives the event information of the PE file matched with the request. The contents of SEDP and MPAR are integrated with the event information of the received PE file and stored. The event information of the PE file can be composed of the file name, hash value (SHA256), and location information on the monitoring server that stores the file transmitted from the monitoring agent. The stored information can be named “PE_SEDP” and “PE_MPAR” with the event information of the PE file added to SEDP and MPAR. That is, PE_SEDP may include PE file security information event information and PE file detection and blocking event information, and PE_MPAR may include PE file packet mirroring information.

이처럼, 통합보안 데이터를 생성하는 단계(S230)에서 감시서버는 PE_SEDP 정보, PE_MPAR 정보와, 감시 에이전트에서 보내온 네트워크 장비의 비정상 접속 행위 관련 통신 내역 정보 및 사용자 단말간 통신 내역 등 총 4가지 내용을 통합하여 통합보안 데이터로 저장할 수 있다. 이때, 4가지로 통합된 통합보안 데이터의 정보를 Integrated Security Data의 약자 “ISD”로 명명할 수 있다.In this way, in the step of generating integrated security data (S230), the monitoring server integrates four contents: PE_SEDP information, PE_MPAR information, communication details related to abnormal access behavior of network equipment sent from the monitoring agent, and communication details between user terminals and can be stored as integrated security data. At this time, the information of four integrated integrated security data can be named “ISD”, an abbreviation of Integrated Security Data.

본 실시예에 따른 PE 파일의 악성파일 여부를 판단하는 단계(S240)에서는 통합 보안 데이터를 분석하여 PE 파일의 악성파일 여부를 판단할 수 있다. 이때, PE 파일의 악성파일 여부를 판단하는 단계(S240)에서 감시 에이전트는 이벤트 발생에 의해 ISD에 저장되는 PE 파일을 정적/동적 분석기로 보내어 악성파일을 판별할 수 있다. 이와 같은 악성파일 판단부의 기능을 하는 정적/동적 분석기는 감시서버 안에 구축될 수 있고, 별도 서버로 구축되어 운영될 수도 있다. 예컨대, 본 실시예에서 사용되는 동적 분석기로는 감시 에이전트를 기반으로 하여 악성파일의 동적 분석을 위한 쿠쿠 샌드박스(Cuckoo Sandbox)를 사용할 수 있다.In the step of determining whether the PE file is a malicious file according to this embodiment (S240), it is possible to determine whether the PE file is a malicious file by analyzing integrated security data. At this time, in the step of determining whether the PE file is a malicious file (S240), the monitoring agent may determine a malicious file by sending the PE file stored in the ISD to a static/dynamic analyzer when an event occurs. The static/dynamic analyzer functioning as such a malicious file determination unit may be built in the monitoring server or may be built and operated as a separate server. For example, as a dynamic analyzer used in this embodiment, Cuckoo Sandbox for dynamic analysis of malicious files based on a monitoring agent can be used.

본 실시예에 따른 과거 통합보안 데이터그룹을 생성하는 단계(S250)에서는 감시서버에 통합보안 데이터가 시간순으로 저장되어 과거 PE 파일 보안 이벤트 분석 정보 및 과거 파일 이벤트 정보로 이루어진 과거 통합보안 데이터를 포함하는 과거 통합보안 데이터그룹을 생성할 수 있다. In the step of generating a past integrated security data group according to this embodiment (S250), integrated security data is stored in chronological order in the monitoring server, including past integrated security data consisting of past PE file security event analysis information and past file event information. Past integrated security data group can be created.

한편, 본 실시예에 따르면, PE 파일의 악성파일 여부를 판단하는 단계(S240)에서, PE 파일이 악성파일로 판단되는 경우, 사용자 단말에 PE 파일의 실행 중지 또는 사용자 단말 네트워크의 중지를 감시서버에서 사용자 단말의 감시 에이전트에 지시할 수 있다.On the other hand, according to this embodiment, in the step of determining whether the PE file is a malicious file (S240), if the PE file is determined to be a malicious file, the monitoring server tells the user terminal to stop executing the PE file or stop the user terminal network. In can instruct the monitoring agent of the user terminal.

이와 달리, PE 파일이 악성파일이 아닌 것으로 판단될 경우, 본 실시예에 따르면 PE 파일의 악성파일 여부를 판단하는 단계(S240)는, 도 4에 도시된 바와 같이, 타임구간을 결정하는 단계(S241), 과거 PE 파일 보안 이벤트 분석 정보 및 과거 파일 이벤트 정보를 세는 단계(S242), 과거 PE 파일의 Hash 값을 비교하는 단계(S243) 및 악성파일 의심 보고서를 생성하는 단계(S244)를 포함할 수 있다.In contrast, when it is determined that the PE file is not a malicious file, according to the present embodiment, the step of determining whether the PE file is a malicious file (S240) is the step of determining a time interval as shown in FIG. 4 ( S241), counting past PE file security event analysis information and past file event information (S242), comparing hash values of past PE files (S243), and generating a suspicious malicious file report (S244). can

본 실시예에 따른 타임구간을 결정하는 단계(S241)에서는 감시서버에서 악성파일 분석 시작시간에서 과거 시간 사이의 타임구간을 결정할 수 있다. 이때, 타임구간을 결정하는 단계(S241)에서 특정 시간 대역의 ISD 분석을 위해 현재 시간을 기준으로 임의 과거 시간까지의 타임 구간을 정할 수 있다. 예를 들어 현재 시간을 기준으로 20분 전까지 과거 시간의 타임 구간을 설정할 수 있다.In the step of determining the time interval according to the present embodiment (S241), the monitoring server may determine a time interval between the malicious file analysis start time and the past time. At this time, in the step of determining the time interval (S241), a time interval from the current time to an arbitrary past time may be determined for ISD analysis of a specific time band. For example, a time interval of a past time up to 20 minutes prior to the current time may be set.

본 실시예에 따른 과거 PE 파일 보안 이벤트 분석 정보 및 과거 파일 이벤트 정보를 세는 단계(S242)에서는 과거 통합보안 데이터그룹에서 타임구간에 과거 PE 파일 보안 이벤트 분석 정보 및 과거 파일 이벤트 정보 중 하나 이상이 몇 개가 생성되었는지를 셀 수 있다. 이때, 과거 PE 파일 보안 이벤트 분석 정보 및 과거 파일 이벤트 정보를 세는 단계(S242)에서, 감시 에이전트는 통합보안 데이터인 ISD로부터 설정된 타임 구간과 일치하는 내용만을 추출하고, 이를 두가지 정보로 구분할 수 있다. 첫번째는 보안정보이벤트 관리(SIEM)부와 관련된 정보이고, 두번째는 보안장비 이벤트와 네트워크 비정상 접속 행위 관련 내용이 될 수 있다. 두가지로 구분된 내용을 각각 UIP를 기준으로 두개의 카운트 통계를 작성할 수 있다.In the step of counting past PE file security event analysis information and past file event information according to this embodiment (S242), at least one of the past PE file security event analysis information and past file event information is several times in the time interval in the past integrated security data group. Can count if a dog has been created. At this time, in the step of counting the past PE file security event analysis information and past file event information (S242), the monitoring agent extracts only the contents corresponding to the set time interval from the ISD, which is integrated security data, and can divide it into two pieces of information. The first is information related to the security information event management (SIEM) unit, and the second may be content related to security equipment events and abnormal network access behaviors. Two count statistics can be created based on UIP for each of the two categories.

여기서, 과거 PE 파일 보안 이벤트 분석 정보는, 보안정보이벤트 관리(SIEM)부에서 생성된 사용자 단말의 과거 보안정보이벤트 정보, 보안장비부(112)에서 생성된 사용자 단말의 과거 탐지 및 차단 이벤트 정보와 사용자 단말과 인터넷 및 서버존 사이의 과거 패킷 미러링 정보 중 하나 이상을 포함할 수 있다.Here, the past PE file security event analysis information includes past security information event information of the user terminal generated by the security information event management (SIEM) unit, past detection and blocking event information of the user terminal generated by the security equipment unit 112, and It may include one or more of past packet mirroring information between the user terminal and the Internet and server zone.

이때, 과거 파일 이벤트 정보는, 과거 PE 파일의 이벤트 정보와 관련된 사용자 단말과 네트워크 장비와의 과거 비정상 접속 이벤트 정보 및 사용자 단말과 다른 사용자 단말의 과거 접속 이벤트 정보 중 하나 이상을 포함할 수 있다.In this case, the past file event information may include one or more of past abnormal connection event information between a user terminal and network equipment related to event information of a past PE file, and past access event information between a user terminal and other user terminals.

예를 들어, 사용자 단말별 특정 시간 대역에 발생하는 이벤트는 SIEM 이벤트, IPS 이벤트, WebF/W 이벤트, Ddos 이벤트, BlackIP 접속 이벤트, 서버존 비정상 접속 이벤트, 네트워크 비정상 접속 이벤트 등을 포함할 수 있다.For example, events occurring in a specific time band for each user terminal may include a SIEM event, an IPS event, a WebF/W event, a Ddos event, a BlackIP access event, an abnormal server zone access event, and an abnormal network access event.

아래의 표 1은 사용자 단말에서 특정 시간 대역에 발생한 일 예시적인 이벤트의 통계를 나타낸 표이다.Table 1 below is a table showing statistics of an exemplary event that occurred in a specific time band in a user terminal.

번호number 탐지 항목detection item 카운트count 1One SIEM 이벤트SIEM events 22 22 IPS 이벤트IPS event 1One 33 Web F/W 이벤트Web F/W event 00 44 DDos 이벤트DDos event 00 55 BlackIP 접속 이벤트BlackIP Access Event 22 66 서버존 비정상 접속 이벤트Server zone abnormal access event 00 77 네트워크 비정상 접속 이벤트Network abnormal access event 1One

본 실시예에 따른 과거 PE 파일의 Hash 값을 비교하는 단계(S243)에서는 타임구간에서 과거 PE 파일 보안 이벤트 분석 정보 및 과거 파일 이벤트 정보 중 하나 이상의 생성 개수가 2개 이상일 경우, 2개 이상의 과거 PE 파일 보안 이벤트 분석 정보 및/또는 과거 파일 이벤트 정보에 관련된 2개 이상의 과거 PE 파일의 Hash 값을 비교할 수 있다. 이때, 과거 PE 파일의 Hash 값을 비교하는 단계(S243)에서, 두개의 카운트 통계에서 카운트가 K이상인 UIP를 구하고 ISD에서 타임 구간과 UIP 두가지를 만족하는 조건으로 데이터를 추출할 수 있다. K는 K1과 K2로 나누어 지며 K1은 과거 PE 파일 보안 이벤트 분석 정보 및 과거 파일 이벤트 정보를 세는 단계(S242)의 첫번째 카운트 통계에서 사용하고, K2값은 두번째 카운트 통계에서 사용한다. 또한, K1 및 K2는 “2” 이상의 상수이며 관리자에 의해 값이 상이하게 설정될 수 있다.상기 표 1에서, 첫번째 항목인 보안정보이벤트 관리(SIEM)부와 관련된 이벤트가 K1으로 설정될 수 있고, 나머지 항목의 이벤트들이 K2로 설정될 수 있다.In the step of comparing hash values of past PE files according to this embodiment (S243), if the number of generation of one or more of past PE file security event analysis information and past file event information in the time interval is two or more, two or more past PE files Hash values of two or more past PE files related to file security event analysis information and/or past file event information may be compared. At this time, in the step of comparing hash values of past PE files (S243), a UIP having a count of K or more may be obtained from two count statistics, and data may be extracted from ISD under the condition that both the time interval and the UIP are satisfied. K is divided into K1 and K2. K1 is used in the first count statistics in the step of counting past PE file security event analysis information and past file event information (S242), and K2 value is used in second count statistics. In addition, K1 and K2 are constants equal to or greater than “2” and may be set to different values by an administrator. , events of the remaining items may be set to K2.

그리고, 과거 PE 파일의 Hash 값을 비교하는 단계(S243)에서, 추출한 내용 중 Z값 이상의 동일한 Hash값을 갖는 ISD 데이터를 추출할 수 있다. Z는 Hash값의 중복 상수이며, “2” 이상의 값을 가질 수 있고 관리자에 의해 값이 상이하게 설정될 수 있다.And, in the step of comparing hash values of past PE files (S243), ISD data having the same hash value equal to or greater than the Z value can be extracted from among the extracted contents. Z is a redundant constant of hash value, and can have a value of “2” or more, and the value can be set differently by the administrator.

아래의 표 2는 통합보안 데이터인 Integrated Security Data(ISD)에서 특정 시간 대역의 보안정보이벤트 관리(SIEM)부와 관련된 부분만 추출한 내용을 나타낸 일 예시이다.Table 2 below is an example of extracting only the part related to the security information event management (SIEM) unit of a specific time band from Integrated Security Data (ISD), which is integrated security data.

Figure 112021001728072-pat00001
Figure 112021001728072-pat00001

그리고, 아래의 표 3은 통합보안 데이터인 Integrated Security Data(ISD)에서 특정 시간 대역의 보안장비부(112)에서 발생된 이벤트와 네트워크 비정상 행위만을 추출한 내용을 나타낸 일 예시이다.In addition, Table 3 below is an example of extracting only events and network abnormal behaviors generated in the security equipment unit 112 in a specific time band from Integrated Security Data (ISD), which is integrated security data.

Figure 112021001728072-pat00002
Figure 112021001728072-pat00002

상기 표 2에서와 같이, K1 항목에서 SIP(또는, checksum)의 합계, 즉 수집 회수(3회)가 관리자에 의한 정한 정수인 “2” 이상이고, 마찬가지로, 상기 표 3에서와 같이, K2 항목에서 SIP(또는, checksum)의 합계, 즉 수집 회수(3회)가 관리자에 의한 정한 정수인 “2” 이상이므로 각각의 경우에서 2개 이상의 PE Hash 값의 중복 카운트가 수집되었으며, 수집된 파일의 비교를 통해 해당 파일을 의심 파일로 분류할 수 있다.As in Table 2 above, the sum of SIPs (or checksums) in item K1, that is, the number of collections (three times) is greater than or equal to “2”, which is an integer determined by the manager, and similarly, as in Table 3 above, in item K2 Since the sum of SIPs (or checksums), that is, the number of collections (three times) is more than “2”, which is an integer determined by the administrator, in each case, duplicate counts of two or more PE hash values were collected, and the comparison of the collected files was performed. You can classify the file as a suspicious file.

본 실시예에 따른 악성파일 의심 보고서를 생성하는 단계(S244)에서는 2개 이상의 과거 PE 파일 중 Hash 값이 일치하는 과거 PE 파일에 대해 악성파일 의심 보고서를 생성할 수 있다. 이때, ISD 데이터 내용은 보안 담당자가 다양한 분석을 할 수 있도록 의심 파일 보고서 형태로 출력될 수 있다.In the step of generating a suspected malicious file report (S244) according to the present embodiment, a suspected malicious file report may be generated for a past PE file having the same hash value among two or more past PE files. At this time, the contents of the ISD data may be output in the form of a suspicious file report so that a security officer can perform various analyses.

따라서, 본 실시예에 따른 사용자 단말 이벤트 연동 악성파일 판단방법(S200)은 사용자 단말과 연동되어 사용자 단말에서 발생되는 보안 이벤트 정보로부터 악성파일을 판단할 수 있다.Therefore, the user terminal event-linked malicious file determination method (S200) according to the present embodiment can determine a malicious file from security event information generated in the user terminal in conjunction with the user terminal.

또한, 본 실시예에 따른 사용자 단말 이벤트 연동 악성파일 판단방법(S200)에 의하면 PE 파일이 악성파일이 아닌 것으로 판단되더라도, 과거의 PE 파일과 비교를 통해 해당 파일을 의심 파일로 분류하여 관리할 수 있으므로 악성파일에 의한 위험을 방지할 수 있다.In addition, according to the user terminal event-linked malicious file determination method (S200) according to the present embodiment, even if a PE file is determined to be not a malicious file, the corresponding file can be classified as a suspicious file and managed through comparison with past PE files. Therefore, the risk caused by malicious files can be prevented.

한편, 본 발명의 실시예에 따른 사용자 단말 이벤트 연동 악성파일 판단방법(S200)은 소프트웨어 및 하드웨어에 의해 하나의 모듈로 구현 가능하며, 전술한 본 발명의 실시예들은 컴퓨터에서 실행될 수 있는 프로그램으로 작성 가능하고, 컴퓨터로 읽을 수 있는 기록매체를 이용하여 상기 프로그램을 동작시키는 범용 컴퓨터에서 구현될 수 있다. 상기 컴퓨터로 읽을 수 있는 기록매체는 롬(ROM), 플로피 디스크, 하드 디스크 등의 자기적 매체, CD, DVD 등의 광학적 매체 및 인터넷을 통한 전송과 같은 캐리어 웨이브와 같은 형태로 구현된다. 또한, 컴퓨터가 읽을 수 있는 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어 분산 방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수 있다.On the other hand, the user terminal event-linked malicious file determination method (S200) according to an embodiment of the present invention can be implemented as a single module by software and hardware, and the above-described embodiments of the present invention are written as programs that can be executed on a computer. It is possible and can be implemented in a general-purpose computer that operates the program using a computer-readable recording medium. The computer-readable recording medium is implemented in the form of a magnetic medium such as a ROM, floppy disk, and hard disk, an optical medium such as CD and DVD, and a carrier wave such as transmission through the Internet. In addition, computer-readable recording media may be distributed to computer systems connected through a network to store and execute computer-readable codes in a distributed manner.

그리고, 본 발명의 실시예에서 사용되는 구성요소는 또는 '~부'는 메모리 상의 소정 영역에서 수행되는 태스크, 클래스, 서브 루틴, 프로세스, 오브젝트, 실행 쓰레드, 프로그램과 같은 소프트웨어(software)나, FPGA(field-programmable gate array)나 ASIC(application-specific integrated circuit)과 같은 하드웨어(hardware)로 구현될 수 있으며, 또한 상기 소프트웨어 및 하드웨어의 조합으로 이루어질 수도 있다. 상기 구성요소 또는 '~부'는 컴퓨터로 판독 가능한 저장 매체에 포함되어 있을 수도 있고, 복수의 컴퓨터에 그 일부가 분산되어 분포될 수도 있다.In addition, the components used in the embodiments of the present invention are software such as tasks, classes, subroutines, processes, objects, execution threads, programs, or FPGAs performed in a predetermined area on the memory. It may be implemented in hardware such as a field-programmable gate array (ASIC) or an application-specific integrated circuit (ASIC), or a combination of the above software and hardware. The components or '~unit' may be included in a computer-readable storage medium, or some of them may be distributed and distributed to a plurality of computers.

이상 첨부된 도면을 참조하여 본 발명의 실시예를 설명하였지만, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 본 발명이 그 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 실시될 수 있다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해해야만 한다.Although the embodiments of the present invention have been described with reference to the accompanying drawings, those skilled in the art to which the present invention pertains can be implemented in other specific forms without changing the technical spirit or essential features of the present invention. you will be able to understand Therefore, the embodiments described above should be understood as illustrative in all respects and not limiting.

100: 사용자 단말 이벤트 연동 악성파일 판단 시스템
110: 보안 이벤트 정보 수집부 111: 보안정보 이벤트 관리부
112: 보안장비부 113: 패킷 미러링부
120: 감시 에이전트부 130: 감시 서버부140: 악성 파일 판단부 141: 악성 파일 의심 보고서 생성부100: Malicious file determination system linked with user terminal events
110: security event information collection unit 111: security information event management unit
112: security equipment unit 113: packet mirroring unit
Reference Numerals 120: monitoring agent unit 130: monitoring server unit 140: malicious file determination unit 141: malicious file suspicion report generation unit

Claims (11)

사용자 단말의 보안이벤트를 감시서버에서 분석하여 보안 이벤트 분석 정보를 생성하는 단계;
상기 보안 이벤트 분석 정보와 관련된 상기 사용자 단말의 PE 파일의 이벤트 정보를 포함하는 파일 이벤트 정보를 상기 사용자 단말에 설치된 감시 에이전트로 추출하여 상기 감시서버로 전송하는 단계;
상기 감시서버에서 상기 보안 이벤트 분석 정보와 상기 PE 파일의 이벤트 정보가 통합된 PE 파일 보안 이벤트 분석 정보 및 상기 파일 이벤트 정보가 통합된 통합보안 데이터를 생성하는 단계;
상기 통합보안 데이터를 분석하여 상기 PE 파일의 악성파일 여부를 판단하는 단계; 및
상기 감시서버에 상기 통합보안 데이터가 시간순으로 저장되어 과거 PE 파일 보안 이벤트 분석 정보 및 과거 파일 이벤트 정보로 이루어진 과거 통합보안 데이터를 포함하는 과거 통합보안 데이터그룹을 생성하는 단계;를 포함하고,
상기 보안 이벤트 분석 정보는,
보안정보이벤트 관리(SIEM)부에서 생성된 상기 사용자 단말의 보안정보이벤트 정보, 보안장비부에서 생성된 상기 사용자 단말의 탐지 및 차단 이벤트 정보 및 패킷 미러링부에서 생성된 상기 사용자 단말과 인터넷 및 서버존 사이의 패킷 미러링 정보 중 하나 이상을 포함하고,
상기 PE 파일 보안 이벤트 분석 정보는,
상기 보안정보이벤트 정보와 상기 PE 파일의 이벤트 정보가 통합된 PE 파일 보안정보이벤트 정보, 상기 탐지 및 차단 이벤트 정보와 상기 PE 파일의 이벤트 정보가 통합된 PE 파일 탐지 및 차단 이벤트 정보 및 상기 패킷 미러링 정보와 상기 PE 파일의 이벤트 정보가 통합된 PE 파일 패킷 미러링 정보 중 하나 이상을 포함하며,
상기 파일 이벤트 정보는,
상기 PE 파일의 이벤트 정보와 관련된 상기 사용자 단말과 네트워크 장비와의 비정상 접속 이벤트 정보 및 상기 사용자 단말과 다른 사용자 단말의 접속 이벤트 정보 중 하나 이상을 더 포함하는 사용자 단말 이벤트 연동 악성파일 판단방법.generating security event analysis information by analyzing a security event of a user terminal in a monitoring server;
Extracting file event information including event information of a PE file of the user terminal related to the security event analysis information with a monitoring agent installed in the user terminal and transmitting the extracted file event information to the monitoring server;
generating PE file security event analysis information in which the security event analysis information and event information of the PE file are integrated and integrated security data in which the file event information is integrated in the monitoring server;
analyzing the integrated security data to determine whether the PE file is a malicious file; and
Storing the integrated security data in chronological order in the monitoring server to generate a past integrated security data group including past integrated security data consisting of past PE file security event analysis information and past file event information,
The security event analysis information,
Security information event information of the user terminal generated by the security information event management (SIEM) unit, detection and blocking event information of the user terminal generated by the security equipment unit, and the user terminal and the Internet and server zone generated by the packet mirroring unit Includes one or more of packet mirroring information between
The PE file security event analysis information,
PE file security information event information in which the security information event information and event information of the PE file are integrated, PE file detection and blocking event information in which the detection and blocking event information and event information of the PE file are integrated, and the packet mirroring information and one or more of PE file packet mirroring information in which event information of the PE file is integrated,
The file event information,
The method of determining a user terminal event-linked malicious file further comprising at least one of event information of the PE file, abnormal connection event information between the user terminal and network equipment, and connection event information between the user terminal and other user terminals. 삭제delete 삭제delete 삭제delete 제1항에 있어서,
상기 PE 파일의 이벤트 정보는,
상기 PE 파일의 파일명, Hash값(SHA256) 및 상기 감시서버에 저장된 위치 정보를 포함하는 사용자 단말 이벤트 연동 악성파일 판단방법.According to claim 1,
Event information of the PE file,
A method for determining a user terminal event-linked malicious file including the file name of the PE file, hash value (SHA256), and location information stored in the monitoring server. 제1항에 있어서,
상기 PE 파일의 악성파일 여부를 판단하는 단계에서,
상기 PE 파일이 악성파일로 판단되는 경우, 상기 사용자 단말에 상기 PE 파일의 실행 중지 또는 상기 사용자 단말의 네트워크 중지를 상기 감시서버에서 상기 사용자 단말의 상기 감시 에이전트에 지시하는 단계;를 더 포함하는 사용자 단말 이벤트 연동 악성파일 판단방법.According to claim 1,
In the step of determining whether the PE file is a malicious file,
If the PE file is determined to be a malicious file, the monitoring server instructs the monitoring agent of the user terminal to stop execution of the PE file or stop the network of the user terminal; A method for judging malicious files linked to terminal events. 제1항에 있어서,
상기 PE 파일의 악성파일 여부를 판단하는 단계에서, 상기 PE 파일이 악성파일이 아닌 것으로 판단될 경우,
상기 감시서버에서 상기 악성파일 분석 시작시간에서 과거 시간 사이의 타임구간을 결정하는 단계;
상기 과거 통합보안 데이터그룹에서 상기 타임구간에 상기 과거 PE 파일 보안 이벤트 분석 정보 및 상기 과거 파일 이벤트 정보 중 하나 이상이 몇 개가 생성되었는지를 세는 단계;
상기 타임구간에서 상기 과거 PE 파일 보안 이벤트 분석 정보 및 상기 과거 파일 이벤트 정보 중 하나 이상의 생성 개수가 2개 이상일 경우, 상기 2개 이상의 상기 과거 PE 파일 보안 이벤트 분석 정보 및/또는 상기 과거 파일 이벤트 정보에 관련된 2개 이상의 과거 PE 파일의 Hash 값을 비교하는 단계; 및
상기 2개 이상의 과거 PE 파일 중 상기 Hash 값이 일치하는 과거 PE 파일에 대해 악성파일 의심 보고서를 생성하는 단계;를 포함하는 사용자 단말 이벤트 연동 악성파일 판단방법.According to claim 1,
In the step of determining whether the PE file is a malicious file, if it is determined that the PE file is not a malicious file,
determining a time interval between the malicious file analysis start time and the past time in the monitoring server;
counting how many of one or more of the past PE file security event analysis information and the past file event information were generated in the time interval in the past integrated security data group;
If the generation number of at least one of the past PE file security event analysis information and the past file event information is two or more in the time interval, the two or more past PE file security event analysis information and/or the past file event information Comparing hash values of two or more related past PE files; and
Generating a malicious file suspicion report for a past PE file having the same Hash value among the two or more past PE files; 제7항에 있어서,
상기 과거 PE 파일 보안 이벤트 분석 정보는,
상기 보안정보이벤트 관리(SIEM)부에서 생성된 상기 사용자 단말의 과거 보안정보이벤트 정보, 보안장비부에서 생성된 상기 사용자 단말의 과거 탐지 및 차단 이벤트 정보와 상기 사용자 단말과 인터넷 및 서버존 사이의 과거 패킷 미러링 정보 중 하나 이상을 포함하고,
상기 과거 파일 이벤트 정보는,
상기 과거 PE 파일의 이벤트 정보와 관련된 상기 사용자 단말과 네트워크 장비와의 과거 비정상 접속 이벤트 정보 및 상기 사용자 단말과 다른 사용자 단말의 과거 접속 이벤트 정보 중 하나 이상을 포함하는 사용자 단말 이벤트 연동 악성파일 판단방법.According to claim 7,
The past PE file security event analysis information,
Past security information event information of the user terminal generated by the security information event management (SIEM) unit, past detection and blocking event information of the user terminal generated by the security equipment unit, and past information between the user terminal and the Internet and the server zone includes one or more of packet mirroring information;
The past file event information,
A method of determining a user terminal event-linked malicious file including at least one of past abnormal access event information between the user terminal and network equipment related to the event information of the past PE file and past access event information between the user terminal and other user terminals. 사용자 단말 관련 보안 이벤트 정보가 수집되는 보안이벤트 정보 수집부;
상기 사용자 단말에 설치되어 보안 이벤트 분석 정보와 관련된 상기 사용자 단말의 PE 파일의 이벤트 정보가 포함된 파일 이벤트 정보를 수집하는 감시 에이전트부;
상기 보안이벤트 정보 수집부의 상기 보안 이벤트 정보를 분석하여 상기 보안 이벤트 분석 정보를 생성하고, 상기 보안 이벤트 분석 정보와 상기 PE 파일의 이벤트 정보가 통합된 PE 파일 보안 이벤트 분석 정보 및 상기 파일 이벤트 정보가 통합된 통합 보안 데이터를 생성하는 감시 서버부; 및
상기 감시 서버부에서 생성된 통합 보안 데이터를 분석하여 상기 PE 파일의 악성파일 여부를 판단하는 악성파일 판단부;를 포함하고,
상기 보안 이벤트 분석 정보는,
보안정보이벤트 관리(SIEM)부에서 생성된 상기 사용자 단말의 보안정보이벤트 정보, 보안장비부에서 생성된 상기 사용자 단말의 탐지 및 차단 이벤트 정보와 상기 사용자 단말과 인터넷 및 서버존 사이의 패킷 미러링 정보 중 하나 이상을 포함하고,
상기 PE 파일 보안 이벤트 분석 정보는,
상기 보안정보이벤트 정보와 상기 PE 파일의 이벤트 정보가 통합된 PE 파일 보안정보이벤트 정보, 상기 탐지 및 차단 이벤트 정보와 상기 PE 파일의 이벤트 정보가 통합된 PE 파일 탐지 및 차단 이벤트 정보 및 상기 패킷 미러링 정보와 상기 PE 파일의 이벤트 정보가 통합된 PE 파일 패킷 미러링 정보 중 하나 이상을 포함하며,
상기 파일 이벤트 정보는,
상기 PE 파일의 이벤트 정보와 관련된 상기 사용자 단말과 네트워크 장비와의 비정상 접속 이벤트 정보 및 상기 사용자 단말과 다른 사용자 단말의 접속 이벤트 정보 중 하나 이상을 더 포함하는 사용자 단말 이벤트 연동 악성파일 판단 시스템.a security event information collection unit for collecting user terminal-related security event information;
a monitoring agent unit installed in the user terminal to collect file event information including event information of the PE file of the user terminal related to security event analysis information;
The security event information collection unit analyzes the security event information to generate the security event analysis information, and the PE file security event analysis information and the file event information in which the security event analysis information and event information of the PE file are integrated are integrated. a monitoring server unit that generates integrated security data; and
A malicious file determination unit that analyzes the integrated security data generated by the monitoring server unit and determines whether the PE file is a malicious file;
The security event analysis information,
Among the security information event information of the user terminal generated by the security information event management (SIEM) unit, detection and blocking event information of the user terminal generated by the security equipment unit, and packet mirroring information between the user terminal and the Internet and the server zone, contain one or more;
The PE file security event analysis information,
PE file security information event information in which the security information event information and event information of the PE file are integrated, PE file detection and blocking event information in which the detection and blocking event information and event information of the PE file are integrated, and the packet mirroring information and one or more of PE file packet mirroring information in which event information of the PE file is integrated,
The file event information,
The user terminal event interlocking malicious file determination system further comprising at least one of event information of the PE file, abnormal connection event information between the user terminal and network equipment, and connection event information between the user terminal and other user terminals. 제9항에 있어서,
상기 보안이벤트 정보 수집부는,
경보정보, 연관성 정보 및 시나리오 기반 정보 중 하나 이상을 수집하는 보안정보 이벤트 관리부, 상기 사용자 단말 관련 탐지 및 차단 이벤트 정보 중 하나 이상을 수집하는 보안장비부 및 상기 사용자 단말과 인터넷 및 서버존 사이의 패킷 미러링 정보를 수집하는 패킷 미러링부를 포함하는 사용자 단말 이벤트 연동 악성파일 판단 시스템.According to claim 9,
The security event information collection unit,
A security information event management unit that collects at least one of alarm information, correlation information, and scenario-based information, a security equipment unit that collects at least one of detection and blocking event information related to the user terminal, and packets between the user terminal and the Internet and the server zone A system for determining malicious files linked to user terminal events, including a packet mirroring unit that collects mirroring information. 제9항에 있어서,
상기 악성파일 판단부는,
상기 PE 파일이 악성파일이 아닌 경우 상기 PE 파일로 의심되는지 여부를 판단하여 악성파일 의심보고서를 생성하는 악성파일 의심 보고서 생성부를 포함하는 사용자 단말 이벤트 연동 악성파일 판단 시스템.According to claim 9,
The malicious file determination unit,
If the PE file is not a malicious file, a malicious file determination system linked with a user terminal event including a malicious file suspicion report generator for determining whether the PE file is suspected of being the PE file and generating a malicious file suspicion report.
KR1020210001667A 2021-01-06 2021-01-06 Determine method for malicious file by linking with events in user terminal and system using them KR102478984B1 (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020210001667A KR102478984B1 (en) 2021-01-06 2021-01-06 Determine method for malicious file by linking with events in user terminal and system using them
PCT/KR2021/000297 WO2022149637A1 (en) 2021-01-06 2021-01-11 User terminal event-associated malicious file determination method and system using same

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020210001667A KR102478984B1 (en) 2021-01-06 2021-01-06 Determine method for malicious file by linking with events in user terminal and system using them

Publications (2)

Publication Number Publication Date
KR20220099437A KR20220099437A (en) 2022-07-13
KR102478984B1 true KR102478984B1 (en) 2022-12-19

Family

ID=82357468

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020210001667A KR102478984B1 (en) 2021-01-06 2021-01-06 Determine method for malicious file by linking with events in user terminal and system using them

Country Status (2)

Country Link
KR (1) KR102478984B1 (en)
WO (1) WO2022149637A1 (en)

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102152317B1 (en) * 2019-11-21 2020-09-04 (주)피즐리소프트 Method of deriving TTPS from IoC related with malware

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101414084B1 (en) 2013-03-28 2014-07-04 한신대학교 산학협력단 System and for Malicious Application Detection on Mobile Device and Method thereof
KR101645412B1 (en) * 2014-05-28 2016-08-04 주식회사 안랩 Malicious file diagnosis device and control method thereof
US9754106B2 (en) * 2014-10-14 2017-09-05 Symantec Corporation Systems and methods for classifying security events as targeted attacks
KR102415971B1 (en) * 2015-12-10 2022-07-05 한국전자통신연구원 Apparatus and Method for Recognizing Vicious Mobile App
KR20180045363A (en) * 2016-10-25 2018-05-04 (주)케이사인 Apparatus and Method for Determining Priority for Event Integrated Management of Heterogeneous Systems
KR101951730B1 (en) * 2016-11-02 2019-02-25 주식회사 아이티스테이션 Total security system in advanced persistent threat

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102152317B1 (en) * 2019-11-21 2020-09-04 (주)피즐리소프트 Method of deriving TTPS from IoC related with malware

Also Published As

Publication number Publication date
WO2022149637A1 (en) 2022-07-14
KR20220099437A (en) 2022-07-13

Similar Documents

Publication Publication Date Title
US10645110B2 (en) Automated forensics of computer systems using behavioral intelligence
Treinen et al. A framework for the application of association rule mining in large intrusion detection infrastructures
US7197762B2 (en) Method, computer readable medium, and node for a three-layered intrusion prevention system for detecting network exploits
KR102225460B1 (en) Method of detecting threat based on threat hunting using multi sensor data and apparatus using the same
CN111711599A (en) Safety situation perception system based on multivariate mass data fusion association analysis
US20030084319A1 (en) Node, method and computer readable medium for inserting an intrusion prevention system into a network stack
JP5960978B2 (en) Intelligent system and method for mitigating cyber attacks in critical systems by controlling message latency in communication networks
US20030084326A1 (en) Method, node and computer readable medium for identifying data in a network exploit
Ning et al. Correlating alerts using prerequisites of intrusions
US7836503B2 (en) Node, method and computer readable medium for optimizing performance of signature rule matching in a network
Pradhan et al. Intrusion detection system (IDS) and their types
CN112134877A (en) Network threat detection method, device, equipment and storage medium
Beigh et al. Intrusion Detection and Prevention System: Classification and Quick
US9961047B2 (en) Network security management
CN114640548A (en) Network security sensing and early warning method and system based on big data
US10129280B2 (en) Modular event pipeline
GB2381722A (en) intrusion detection (id) system which uses signature and squelch values to prevent bandwidth (flood) attacks on a server
KR102478984B1 (en) Determine method for malicious file by linking with events in user terminal and system using them
Wasniowski Multi-sensor agent-based intrusion detection system
Aslan Using machine learning techniques to detect attacks in computer networks
El-Taj et al. Intrusion detection and prevention response based on signature-based and anomaly-based: Investigation study
Nehinbe Automated method for reducing false positives
CN113660223A (en) Network security data processing method, device and system based on alarm information
CN111740976A (en) Network security discrimination and study system and method
Cui A toolkit for intrusion alerts correlation based on prerequisites and consequences of attacks

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant