KR102623432B1 - 악성코드 메타 정보 수집 장치 및 방법 - Google Patents
악성코드 메타 정보 수집 장치 및 방법 Download PDFInfo
- Publication number
- KR102623432B1 KR102623432B1 KR1020230024119A KR20230024119A KR102623432B1 KR 102623432 B1 KR102623432 B1 KR 102623432B1 KR 1020230024119 A KR1020230024119 A KR 1020230024119A KR 20230024119 A KR20230024119 A KR 20230024119A KR 102623432 B1 KR102623432 B1 KR 102623432B1
- Authority
- KR
- South Korea
- Prior art keywords
- input
- information
- meta information
- channel
- ioc
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims description 24
- 238000004458 analytical method Methods 0.000 claims description 15
- 230000004044 response Effects 0.000 claims description 6
- 239000000284 extract Substances 0.000 abstract description 4
- 238000007726 management method Methods 0.000 description 15
- 238000010586 diagram Methods 0.000 description 10
- 238000012545 processing Methods 0.000 description 6
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 101100217298 Mus musculus Aspm gene Proteins 0.000 description 2
- 230000003111 delayed effect Effects 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 230000014509 gene expression Effects 0.000 description 2
- 238000004891 communication Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000001151 other effect Effects 0.000 description 1
- 238000004904 shortening Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000004148 unit process Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/10—File systems; File servers
- G06F16/14—Details of searching files based on file metadata
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/907—Retrieval characterised by using metadata, e.g. metadata not derived from the content or metadata generated manually
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- Library & Information Science (AREA)
- Data Mining & Analysis (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- Computer And Data Communications (AREA)
Abstract
본 발명은 악성코드와 관련된 메타 정보를 수집하기 위한 장치가 개시된다. 개시된 악성코드 메타 정보 수집 장치는 사이버 공격의 악성 코드와 관련된 수집 채널에 회원 가입하여 상기 수집 채널로부터 API Key를 발급받아 초기화 입력으로 설정하는 API 키 설정부와, 상기 설정된 API Key가 입력되어 상기 수집 채널에 접속하는 수집 채널 접속부와, 상기 수집 채널에 접속된 후, 관리자에 의해 입력된 악성코드와 관련된 메타 정보 수집을 위한 실행 명령어가 입력되면, 상기 입력된 실행 명령어를 해석하는 실행 명령어 해석부와, 상기 해석된 실행 명령어에 따라 상기 수집 채널로부터 제공되는 API 정보로부터 공격 그룹을 알 수 있는 적어도 하나의 메타 정보를 추출하여 상기 공격 그룹별 JSON 포맷으로 관리하는 메타 정보 관리부를 포함한다.
Description
본 발명은 사이버 공격시 악성 코드와 관련된 API 정보를 활용하여 악성 코드 분석에 용이한 데이터를 보다 정확하게 수집하기 위한 악성코드 메타 정보 수집 장치 및 방법에 관한 것이다.
악성코드 오픈 소스와 악성코드 자동화 제작 도구 등을 이용하여 매년 침해사고의 수가 급증하고 있으며, 대부분 악성코드에 의해 발생되고 있다. 이러한 흐름에 따라 기업/기관에서는 급증하는 악성코드를 효율적으로 분석하고 대응하기 위해 AI 등 다양한 기법을 적용하고 연구하고 있다.
이때, 악성코드 및 침해사고의 특징을 정확하게 파악하는 것이 수반 되어야 하지만, 악성코드 분석 범위가 제한적이며, 실질적인 분석 정보가 부재한 상황이다. 최근에는 위와 같은 악성코드 분석을 위해 다양한 채널에서 악성코드와 관련된 API 정보를 제공하고 있다.
그러나, API 정보는 다양한 채널에서 공유되고 있는 저장소의 수가 많다 보니 그 데이터 또한 방대하므로, 악성코드와 관련된 데이터를 분류하기란 쉽지 않은 문제점이 있었다.
예를 들면, 다양한 유형의 악성코드를 수집하기 위해서 Github 상의 악성코드 저장소를 식별하는 시스템을 제안하였다. Github는 가장 큰 소프트웨어 저장 및 공유 플랫폼으로 2019년 10월 기준으로 3,400만명 이상의 사용자와 3,200만개 이상의 공개 저장소가 존재한다. 이 중에는, 악성코드가 존재하는 수천 개의 저장소가 존재한다. Github에서 악성코드를 수집하기 위해서는 Github Search API를 사용하여 일련의 키워드로 쿼리를 작성 후, 관련성이 높은 저장소 목록을 얻을 수 있을 뿐, 악성코드 분석에 필요한 API 정보를 찾아 내기란 쉽지 않은 문제점이 있었으며, 대부분 API 정보를 활용하여 악성 코드 탐지 기법을 제공하는데 그 기술의 주류를 이루고 있었다.
정 보 보 호 학 회 지 제31권 제3호(2021.6): 악성코드 특징정보(Feature)의 종류 및 시스템 적용 사례 연구.
본 발명의 일 실시예는 전술한 문제점을 해결하기 위하여 안출된 것으로서, 침해사고 분석 고도화를 위한 특징 정보와 연계된 메타 정보를 더 수집하기 위한 악성코드 메타 정보 수집 장치 및 방법을 제공하는데 그 목적이 있다.
전술한 목적을 달성하기 위한, 일 측면에 따른 악성코드 메타 정보 수집 장치는 사이버 공격의 악성 코드와 관련된 수집 채널에 회원 가입하여 상기 수집 채널로부터 API Key를 발급받아 초기화 입력으로 설정하는 API 키 설정부와; 상기 설정된 API Key가 입력되어 상기 수집 채널에 접속하는 수집 채널 접속부와; 상기 수집 채널에 접속된 후, 관리자에 의해 입력된 악성코드와 관련된 메타 정보 수집을 위한 실행 명령어가 입력되면, 상기 입력된 실행 명령어를 해석하는 실행 명령어 해석부와; 상기 해석된 실행 명령어에 따라 상기 수집 채널로부터 제공되는 API 정보로부터 공격 그룹을 알 수 있는 적어도 하나의 메타 정보를 추출하여 상기 공격 그룹별 JSON 포맷으로 관리하는 메타 정보 관리부를 포함한다.
일 측면에 있어서, 상기 실행 명령어 해석부는 상기 실행 명령어에 상기 악성코드와 관련된 IOC(Indicator Of Compromise) 정보가 입력 인자로 입력되면, 상기 입력된 입력 인자를 인식하는 입력 인자 인식부와; 상기 인식된 입력 인자가 파일 형식이면, 상기 파일 형식에 기설정된 hash, IP, Domain 및 URL 값을 포함한 IOC 리스트 정보를 로딩하는 IOC 리스트 로딩부와; 상기 파일 형식이 상기 로딩된 IOC 리스트 정보에서 hash, IP, Domain 및 URL 값 중 선택된 적어도 어느 하나의 IOC 값을 식별하는 입력값 식별부와; 상기 인식된 입력 단자가 단일 IOC 정보이면, 상기 단일 IOC 정보에 대한 타입을 식별하는 타입 식별부와; 상기 식별된 IOC 값과 상기 식별된 타입에 따라 상기 수집 채널별로 요청 값을 생성하는 요청 값 생성부를 포함할 수 있다.
일 측면에 있어서, 상기 메타 정보 관리부는 상기 생성된 요청 값을 해당하는 상기 수집 채널별로 전송한 후, 그 응답으로서 상기 추출된 적어도 하나의 메타 정보를 상기 수집 채널별로 생성된 폴더에 JSON 포맷 형태로 저장시킬 수 있다.
일 측면에 있어서, 상기 수집 채널은 VirusTotal 채널, Abuse.ch - Malware Bazaar 채널, Abuse.ch - URL Haus 채널 및 OTX 채널을 포함할 수 있다.
일 측면에 있어서, 상기 Abuse.ch - Malware Bazaar 채널은 상기 요청 값이 상기 IP, Domain 및 URL 값에 해당되면, 동작되지 않는다.
일 측면에 있어서, 악성코드 메타 정보 수집 장치는 상기 API 키 설정부, 수집 채널 접속부, 실행 명령어 해석부 및 메타 정보 관리부에 의해 처리된 로그 정보를 저장하는 로그 기록 관리부를 더 포함할 수 있다.
일 측면에 있어서, 상기 로그 기록 관리부는 상기 Virustotal 채널이 처음 실행된 경우가 아니면 기 설정된 시간만큼 지연되어 처리되고, Virustotal 채널과 관련된 상기 적어도 하나의 메타 정보가 500개를 넘으면, 이와 관련한 로그 알람을 발생시킬 수 있다.
일 측면에 있어서, 상기 요청 값은 상기 Virustotal 채널을 제외한 나머지의 수집 채널의 순서에 맞게 스레드로 동작될 수 있다.
또한, 다른 측면에 따른 악성코드 메타 정보 수집 방법은 악성코드 메타 정보 수집 장치에서 악성코드와 관련한 메타 정보를 수집하기 위한 방법으로서, (a) 사이버 공격의 악성 코드와 관련된 수집 채널에 회원 가입하여 상기 수집 채널로부터 API Key를 발급받아 초기화 입력으로 설정하는 단계와; (b) 상기 설정된 API Key가 입력되어 상기 수집 채널에 접속하는 단계와; (c) 상기 수집 채널에 접속된 후, 관리자에 의해 입력된 악성코드와 관련된 메타 정보 수집을 위한 실행 명령어가 입력되면, 상기 입력된 실행 명령어를 해석하는 단계와; (d) 상기 해석된 실행 명령어에 따라 상기 수집 채널로부터 제공되는 API 정보로부터 공격 그룹을 알 수 있는 적어도 하나의 메타 정보를 추출하여 상기 공격 그룹별 JSON 포맷으로 관리하는 단계를 포함한다.
다른 측면에 있어서, 상기 (c) 단계는 (c-1) 상기 실행 명령어에 상기 악성코드와 관련된 IOC(Indicator Of Compromise) 정보가 입력 인자로 입력되면, 상기 입력된 입력 인자를 인식하는 단계와; (c-2) 상기 인식된 입력 인자가 파일 형식이면, 상기 파일 형식에 기설정된 hash, IP, Domain 및 URL 값을 포함한 IOC 리스트 정보를 로딩하는 단계와; (c-3) 상기 파일 형식이 상기 로딩된 IOC 리스트 정보에서 hash, IP, Domain 및 URL 값 중 선택된 적어도 어느 하나의 IOC 값을 식별하는 단계와; (c-4) 상기 인식된 입력 단자가 단일 IOC 정보이면, 상기 단일 IOC 정보에 대한 타입을 식별하는 단계와; (c-5) 상기 식별된 IOC 값과 상기 식별된 타입에 따라 상기 수집 채널별로 요청 값을 생성하는 단계를 포함할 수 있다.
다른 측면에 있어서, 상기 (d) 단계는 상기 생성된 요청 값을 해당하는 상기 수집 채널별로 전송한 후, 그 응답으로서 상기 추출된 적어도 하나의 메타 정보를 상기 수집 채널별로 생성된 폴더에 JSON 포맷 형태로 저장시킬 수 있다.
이상과 같이, 본 발명의 일 실시예는 4개의 수집 채널(Virustotal, Malware Bazaar, URLhaus, OTX)에서 제공하는 API 정보로부터 특징 정보 외에 메타 정보를 더 공격 그룹별로 추출함으로써, 침해 분석 정확도를 높이고, 빠른 침해사고 예방 및 효과적 침해 대응이 가능한 효과가 있다.
다시 말해, 본 발명의 일 실시예는 API 정보로부터 특징 정보 외에 메타 정보를 더 공격 그룹별로 추출함으로써, 악성 코드 분석 고도화(침해 분석 정확도 등)를 통해 악성 코드 분석에 필요한 시간을 크게 단축시키고, 이로 인한 침해사고를 사전에 탐지할 수 있는 효과가 있다.
이상의 언급한 효과들로 제한되지 않으며, 언급되지 않은 또 다른 효과들은 아래의 기재로부터 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에게 명확하게 이해될 수 있다.
도 1은 기존의 악성 코드와 관련된 특징 정보 수집 장치를 설명하기 위한 구성도이다.
도 2는 본 발명의 일 실시예에 따른 악성코드 메타 정보 수집 장치의 연결 상태를 나타낸 도면이다.
도 3은 도 2의 악성코드 메타 정보 수집 장치의 구성을 구체적으로 예시한 도면이다.
도 4는 본 발명의 일 실시예에 따른 악성코드 메타 정보 수집 장치의 실행 명령어 해석부를 구체적으로 예시한 도면이다.
도 5는 본 발명의 일 실시예에 따른 다수의 IOC 값이 입력 인자로 입력된 엑셀 파일을 예시한 도면이다.
도 6은 본 발명의 일 실시예에 따른 추가 메타 정보를 출력한 JSON 파일을 예시한 도면이다.
도 7은 본 발명의 일 실시예에 따른 악성코드 메타 정보 수집 방법을 예시한 순서도이다.
도 8은 본 발명의 일 실시예에 따른 제어기에 의해 수행되는 S130 단계를 구체적으로 예시한 순서도이다.
도 2는 본 발명의 일 실시예에 따른 악성코드 메타 정보 수집 장치의 연결 상태를 나타낸 도면이다.
도 3은 도 2의 악성코드 메타 정보 수집 장치의 구성을 구체적으로 예시한 도면이다.
도 4는 본 발명의 일 실시예에 따른 악성코드 메타 정보 수집 장치의 실행 명령어 해석부를 구체적으로 예시한 도면이다.
도 5는 본 발명의 일 실시예에 따른 다수의 IOC 값이 입력 인자로 입력된 엑셀 파일을 예시한 도면이다.
도 6은 본 발명의 일 실시예에 따른 추가 메타 정보를 출력한 JSON 파일을 예시한 도면이다.
도 7은 본 발명의 일 실시예에 따른 악성코드 메타 정보 수집 방법을 예시한 순서도이다.
도 8은 본 발명의 일 실시예에 따른 제어기에 의해 수행되는 S130 단계를 구체적으로 예시한 순서도이다.
본 명세서에 기재될 실시예와 도면에 도시된 구성은 개시된 발명의 바람직한 일 예에 불과할 뿐이며, 본 출원의 출원 시점에 있어서 본 명세서의 실시예와 도면을 대체할 수 있는 다양한 변형 예들이 있을 수 있다.
본 명세서에서 사용한 용어는 실시예를 설명하기 위해 사용된 것으로, 개시된 발명을 제한 및/또는 한정하려는 의도가 아니다. 예를 들어, 본 명세서에서 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함할 수 있다. 특히, 이하에서는 각 단말기에 대해 단수로 표현하였지만, 실질적으로 많은 복수개를 의미하는 것으로 이해되어야 한다.
또한, "포함하다" 등의 용어는 명세서 상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들의 조합이 존재함을 표현하고자 하는 것이며, 하나 또는 그 이상의 다른 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들의 조합의 추가적인 존재 또는 부가 가능성을 배제하지 않는다.
또한, "~부"의 용어는 적어도 하나의 기능이나 동작을 처리하는 단위를 의미할 수 있다. 예를 들어, 상기 "~부"의 용어들은 FPGA (field-programmable gate array)/ ASIC (application specific integrated circuit) 등 적어도 하나의 하드웨어, 메모리에 저장된 적어도 하나의 소프트웨어 또는 프로세서에 의하여 처리되는 적어도 하나의 프로세스를 의미할 수 있다.
이하에서는, 첨부된 해당 각 도면을 참조하여 개시된 발명의 일 실시예를 기존의 수집 장치와 비교하여 상세하게 설명하고자 한다.
도 1은 기존의 악성 코드와 관련된 특징 정보 수집 장치를 설명하기 위한 구성도이다.
도 1를 참조하면, 기존의 악성코드 특징 정보 수집 장치(100)는 네트워크를 통해 연결된 적어도 하나의 수집 채널(200)로부터 API 정보를 수집하고, 수집된 API 정보로부터 악성코드가 가지는 세부적인 정보의 유형을 6개의 카테고리(메타 데이터, 정적정보, 동적정보, 네트워크 정보, ATT&CK 프레임워크, 기타정보)별로 총 72가지 특징 정보를 추출하고, 추출된 특징 정보를 AI 학습을 통해 정규화하여 악성 코드 탐지에 최적화된 데이터를 제공하는데 있었다.
그러나, 전술한 바와 같이 추출된 특정 정보만으로는 새롭게 등장하고 있는 악성코드 분석의 정확도를 높일 수 없었다. 이를 해결하기 위해, 다음과 같은 악성코드 메타 정보 수집 장치를 개시한다.
도 2는 본 발명의 일 실시예에 따른 악성코드 메타 정보 수집 장치의 연결 상태를 나타낸 도면이고, 도 3은 도 2의 악성코드 메타 정보 수집 장치의 구성을 구체적으로 예시한 도면이다.
도 2 및 도 3을 참조하면, 일 실시예에 따른 악성코드 메타 정보 수집 장치(300)는 전술한 악성코드 특징 정보 수집 장치(100)와 연동되어 악성코드 특징 정보 수집 장치(100)로부터 특징 정보를 제공받고, 네트워크로 연결된 적어도 하나의 수집 채널(200)로 회원가입하여 API Key를 발급받을 수 있다.
언급된 네트워크는 악성코드 메타 정보 수집 장치(300)와 적어도 하나의 수집 채널(200)간 연결된 각각의 노드 상호 간에 정보 교환이 가능한 연결 구조를 의미하는 것으로서, 이러한 네트워크의 일례는 협의의 근거리 통신망(LAN: Local Area Network)과 유선 데이터 통신망 그리고 광의의 광역 통신망(WAN: Wide Area Network), 인터넷망(WWW: World Wide Web), 와이브로 망 및 이동통신망을 포함할 수 있지만, 이에 반드시 한정되는 것은 아니다.
이러한 네트워크로 적어도 하나의 수집 채널(200)에 연결된 악성코드 메타 정보 수집 장치(300)는 API 키 설정부(310), 수집 채널 접속부(320), 실행 명령어 해석부(330), 메타 정보 관리부(340), 로그 기록 관리부(350) 및 데이터베이스(360)를 포함할 수 있다.
일 실시예에서, API 키 설정부(310)는 네트워크를 통해 사이버 공격의 악성 코드와 관련된 수집 채널(200)에 회원 가입하여 수집 채널(200)로부터 API Key를 발급받아 초기화 입력으로 설정할 수 있다.
언급된 수집 채널(200)은 VirusTotal 채널, Abuse.ch - Malware Bazaar 채널, Abuse.ch - URL Haus 채널 및 OTX 채널을 포함할 수 있다. 각각의 VirusTotal 채널, Abuse.ch - Malware Bazaar 채널, Abuse.ch - URL Haus 채널 및 OTX 채널은 각각 다수의 공개 저장소를 포함할 수 있다. 다수의 공개 저장소에 저장된 데이터들은 악성 코드가 포함된 데이터를 포함한 다양한 형태의 데이터를 의미할 수 있다.
일 실시예에 따른 수집 채널 접속부(320)는 설정된 API Key가 관리자에 의해 입력되면, 입력된 API Key를 통해 회원 가입된 적어도 하나의 수집 채널(200)에 접속할 수 있다.
일 실시예에 따른 실행 명령어 해석부(330)는 적어도 하나의 수집 채널(200)에 접속된 후, 관리자에 의해 입력된 악성코드와 관련된 메타 정보 수집을 위한 실행 명령어가 입력되면, 입력된 실행 명령어를 해석하여 구동시킬 수 있다.
입력되는 실행 명령어는 특징 정보에 추가적으로 메타 정보를 수집하기 위한 명령어를 의미하며, 예컨대, IOC(Indicator Of Compromise) 정보를 입력 인자로 입력받은 후, IOC(Indicator Of Compromise) 정보의 IOC 값 또는 IOC(Indicator Of Compromise) 정보의 타입에 맞춰 특징 정보에 추가하여 메타 정보를 수집하기 위한 multi-thread 동작을 의미할 수 있다.
언급된 multi-thread 동작은 기설정된 적어도 하나의 수집 채널(200)의 순서에 맞춰 메타 정보를 요청하기 위한 동작을 의미할 수 있다.
여기서, 언급된 메타 정보는 기존의 도 1의 메타 데이터와는 구별될 수 있다. 즉, 도 1에서 설명하고 있는 메타 데이터는 파일의 해시 값, 기본 정보 및 컴파일 정보 등을 의미한다. 해시 값은 MD5, SHA1, SHA256와 같은 해시 알고리즘으로 도출되는 값으로 악성코드를 식별해낼 수 있는 간단 하지만 확실한 시그니처 값이다. 반면, 기본 정보의 경우 파일 크기, 파일 명, 엔트로피 및 타임 스탬프 등이 있을 수 있는데, 해당 정보 또한 단일정보로 악성코드를 식별해내기에는 무리가 있지만 정보의 조합으로 악성코드를 식별해낼 수 있는 방법이다. 반면, 언급된 컴파일 정보는 악성코드를 제작하는데 사용한 패커, 개발 언어 및 컴파일러 정보를 의미한다.
그러나, 본 실시예에서 언급된 메타 정보는 IOC(Indicator Of Compromise; hash, IP, Domain, URL) 정보와 관련된 정보로서, 기존의 특징 정보에 추가되는 정보를 의미할 수 있다.
이러한 실행 명령어 해석부(330)의 구체적인 설명은 차후에 도 4를 통해 설명하기로 한다.
일 실시예에서, 메타 정보 관리부(340)는 전술한 실행 명령어 해석부(330)에 의해 해석된 실행 명령어에 따라 적어도 하나의 수집 채널(200)로부터 제공되는 API 정보로부터 공격 그룹을 알 수 있는 IOC 정보의 타입 또는 IOC 값과 관련된 적어도 하나의 메타 정보를 추출하여 공격 그룹별 JSON 포맷으로 저장시켜 JSON 포맷 형태로 관리할 수 있다.
이때, API 정보는 도 1의 악성코드 특징 정보 수집 장치(100)로부터 전달받거나, 실행 명령어에 따라 적어도 하나의 수집 채널(200)에서 직접적으로 수집하는 정보를 의미할 수 있고, 이러한 적어도 하나의 수집 채널(200)에서는 소프트웨어 저장 및 공유 플랫폼으로서 악성코드가 존재하는 수천 개의 저장소뿐만 아니라, 다양한 형태의 소프트웨어 들이 저장된 저장소를 포함할 수 있다.
일 실시예에서, 로그 기록 관리부(350)는 전술한 API 키 설정부(310), 수집 채널 접속부(320), 실행 명령어 해석부(330) 및 메타 정보 관리부(340)에 의해 처리된 로그 정보를 메모리 또는 데이터베이스(360)에 저장시킬 수 있을 뿐만 아니라, 악성코드 메타 정보 수집 장치(300) 및 적어도 하나의 수집 채널(200)간 주고받는 처리 데이터에 대한 로그 정보를 더 메모리 또는 데이터베이스(360)에 저장시킬 수 있다.
언급된 메모리(360)는 캐쉬 메모리(Cache Memory), ROM 메모리 또는 RAM 메모리이거나 이들의 조합을 포함할 수 있으며, 언급된 데이터베이스(360)는 컴퓨터 판독 가능한 기록 매체를 포함하는 개념으로서, 협의의 데이터베이스뿐만 아니라, 파일 시스템에 기반한 데이터 기록 등을 포함하는 넓은 의미의 데이터베이스도 포함하여 지칭하며, 단순한 로그의 집합이라도 이를 검색하여 데이터를 추출할 수 있다면 본 발명에서 말하는 데이터베이스의 범주안에 포함될 수 있다.
도 4는 본 발명의 일 실시예에 따른 악성코드 메타 정보 수집 장치의 실행 명령어 해석부를 구체적으로 예시한 도면이다.
도 4를 참조하면, 일 실시예에 따른 실행 명령어 해석부(330)는 입력 인자 인식부(331), IOC 리스트 로딩부(332), 입력값 식별부(333), 타입 식별부(334) 및 요청 값 생성부(335)를 포함할 수 있다.
일 실시예에서, 입력 인자 인식부(331)는 실행 명령어에 악성코드와 관련된 IOC(Indicator Of Compromise) 정보가 관리자에 의해 입력 인자로 입력되면, 입력된 입력 인자를 인식할 수 있다.
IOC 리스트 로딩부(332)는 전술한 입력 인자 인식부(331)에 의해 인식된 입력 인자가 파일 형식이면, 파일 형식에 기설정된 hash, IP, Domain 및 URL 값을 포함한 IOC 리스트 정보를 로딩할 수 있다.
이때, 파일 형식은 엑셀 파일 형식일 수도 있다. 엑셀 파일 형식에 대한 도 5와 같이 나타낼 수 있는데, 도 5에서는 다수의 hash, IP, Domain 및 URL 값 중 적어도 하나의 값이 입력 인자들로 입력되어서 기록되어 있는 엑셀 파일 형식을 보여주고 있다.
여기서, 입력 인자를 반영한 실행 명령어는 예컨대, kisa {파일명/IOC} -gn {설정할 공격 그룹 명}일 수 있다.
일 실시예에서, 입력값 식별부(333)는 파일 형식이 로딩된 IOC 리스트 정보에서 입력 인자로서 입력된 hash, IP, Domain 및 URL 값 중 선택된 적어도 어느 하나의 IOC 값을 식별할 수 있다.
반면, 타입 식별부(334)는 전술한 입력 인자 인식부(331)에 의해 인식된 입력 단자가 단일 IOC 정보이면, 단일 IOC 정보에 대한 타입을 식별할 수 있다. 이때, IOC 정보의 타입은 hash, IP, Domain 및 URL과 관련된 STRING, INTERGER, DICTIONARY 형식을 의미할 수 있다.
이러면, 일 실시예에 따른 요청 값 생성부(335)는 전술한 입력값 식별부(333)와 타입 식별부(334)에 의해 식별된 IOC 값과 타입에 따라 수집 채널별로 요청 값을 생성할 수 있다.
생성된 요청 값은 적어도 하나의 수집 채널(200) 중 Virustotal 채널을 제외한 나머지의 수집 채널, 예컨대, 임의의 순서인 Abuse.ch - Malware Bazaar 채널, Abuse.ch - URL Haus 채널 및 OTX 채널의 순서에 맞게 멀티 스레드 풀(multi thread pool)로 동작될 수 있다.
이때, Virustotal 채널을 제외하는 이유는 Virustotal 채널인 경우는 예컨대, 4초에 한번 최대 500개만 요청 가능하기 때문에 멀티 스레드 풀로 동작시키지 않고 있다.
이러한 요청 값은 도 2 및 도 3에서 설명한 메타 정보 관리부(340)에서 사용될 수 있다.
즉, 일 실시예에 따른 메타 정보 관리부(340)는 전술한 멀티 스레드 풀(multi thread pool)로 동작되는 요청 값을 해당하는 수집 채널(200)별로 전송한 후, 그 응답으로서 수집 채널(200)별로 제공된 API 정보별로 적어도 하나의 메타 정보를 추출할 수 있고, 추출된 적어도 하나의 메타 정보를 수집 채널(200)별로 생성된 폴더에 JSON 포맷 형태로 저장시킬 수 있다.
예를 들면, 추출된 메타 정보는 명령어를 실행한 경로에 KISA/{공격그룹명}/{IOC요청시세부API}.json 형태로 저장되어 관리될 수 있다. 언급된 적어도 ㅎ하나의 메타 정보와 관련되어 최종적으로 출력되는 JSON 포맷 형태는 예로서, 도 6과 같이 나타낼 수 있다.
여기서, 요청 값이 해당하는 수집 채널(200)별로 전송하는 이유는 예컨대, Abuse.ch - Malware Bazaar 채널인 경우에는 요청 값이 IP, Domain 및 URL 값에 해당되면, 동작되지 않기 때문이다.
한편, 전술한 Virustotal 채널은 초에 한번 최대 500개만 요청 가능하기 때문에 멀티 스레드 풀로 동작되지 않음으로써, 다른 수집 채널에 비해 지연 처리가 불가피하다.
이를 위해, 일 실시예에 따른 악성코드 메타 정보 수집 장치(300)의 로그 기록 관리부(350)는 Virustotal 채널이 처음 실행된 경우가 아니면 기 설정된 시간만큼 지연되어 처리되고, Virustotal 채널과 관련되어 추출된 적어도 하나의 메타 정보가 500개를 넘으면, 이와 관련한 로그 알람을 발생시킬 수 있다. 이러한 로그 알람은 관리자에 의해 관리될 수 있다.
한편, 전술한 도 3 및 도 4에서 설명한 각 구성들은 하드웨어적인 모듈 또는 소프트웨어적인 컴포넌트 모듈일 수 있으며, 이는 적어도 하나의 프로세서에 의해 처리될 수 있다.
언급된 적어도 하나의 프로세서는 MPU(Micro Processing Unit) 또는 CPU(Central Processing Unit), 캐쉬 메모리(Cache Memory), 데이터 버스(Data Bus) 등의 하드웨어 구성을 포함할 수 있다.
도 7은 본 발명의 일 실시예에 따른 악성코드 메타 정보 수집 방법을 예시한 순서도이다.
도 7를 참조하면, 일 실시예에 따른 악성코드 메타 정보 수집 방법은 악성코드 메타 정보 수집 장치에 의해 수행되며, 상기 악성코드 메타 정보 수집 장치는 네트워크를 통해 적어도 하나의 수집 채널에 연결되며, 수집 채널로부터 제공되는 API 정보를 활용하여 악성코드와 관련한 특징 정보에 추가하여 메타 정보를 추출할 수 있다. 이를 위해, 악성코드 메타 정보 수집 장치는 S110 단계 내지 S140 단계를 수행한다.
이때, 악성코드 메타 정보 수집 장치는 적어도 하나의 메모리 및 제어기를 포함할 수 있으며, 실질적으로 제어기에 의해 S110 단계 내지 S140 단계를 수행할 수 있다.
이에 대해 살펴보면, S110 단계에서, 제어기는 네트워크를 통해 사이버 공격의 악성 코드와 관련된 수집 채널에 회원 가입하여 수집 채널(200)로부터 API Key를 발급받아 초기화 입력으로 설정할 수 있다.
S120 단계에서, 제어기는 설정된 API Key가 관리자에 의해 입력되면, 입력된 API Key를 통해 회원 가입된 적어도 하나의 수집 채널(200)에 접속할 수 있다.
S130 단계에서, 제어기는 적어도 하나의 수집 채널(200)에 접속된 후, 관리자에 의해 입력된 악성코드와 관련된 메타 정보 수집을 위한 실행 명령어가 입력되면, 입력된 실행 명령어를 해석하여 구동시킬 수 있다.
입력되는 실행 명령어는 특징 정보에 추가적으로 메타 정보를 수집하기 위한 명령어를 의미하며, 예컨대, IOC(Indicator Of Compromise) 정보를 입력 인자로 입력받은 후, IOC(Indicator Of Compromise) 정보의 IOC 값 또는 IOC(Indicator Of Compromise) 정보의 타입에 맞춰 특징 정보에 추가하여 메타 정보를 수집하기 위한 multi-thread 동작을 의미할 수 있다.
언급된 multi-thread 동작은 기설정된 적어도 하나의 수집 채널(200)의 순서에 맞춰 메타 정보를 요청하기 위한 동작을 의미할 수 있다.
언급된 메타 정보는 기존의 도 1의 메타 데이터와는 구별될 수 있다. 즉, 도 1에서 설명하고 있는 메타 데이터는 파일의 해시 값, 기본 정보 및 컴파일 정보 등을 의미한다. 해시 값은 MD5, SHA1, SHA256와 같은 해시 알고리즘으로 도출되는 값으로 악성코드를 식별해낼 수 있는 간단 하지만 확실한 시그니처 값이다. 반면, 기본 정보의 경우 파일 크기, 파일 명, 엔트로피 및 타임 스탬프 등이 있을 수 있는데, 해당 정보 또한 단일정보로 악성코드를 식별해내기에는 무리가 있지만 정보의 조합으로 악성코드를 식별해낼 수 있는 방법이다. 반면, 언급된 컴파일 정보는 악성코드를 제작하는데 사용한 패커, 개발 언어 및 컴파일러 정보를 의미한다.
그러나, 본 실시예에서 언급된 메타 정보는 IOC(Indicator Of Compromise; hash, IP, Domain, URL) 정보와 관련된 정보로서, 기존의 특징 정보에 추가되는 정보를 의미할 수 있다.
S140 단계에서, 제어기는 전술한 S130 단계에 의해 처리된 실행 명령어에 따라 적어도 하나의 수집 채널(200)로부터 제공되는 API 정보로부터 공격 그룹을 알 수 있는 IOC 정보의 타입 또는 IOC 값과 관련된 적어도 하나의 메타 정보를 추출하여 공격 그룹별 JSON 포맷으로 저장시켜 JSON 포맷 형태로 관리할 수 있다.
이하에서는 전술한 S130 단계에 대해 구체적으로 설명하고자 한다.
도 8은 본 발명의 일 실시예에 따른 제어기에 의해 수행되는 S130 단계를 구체적으로 예시한 순서도이다.
도 8을 참조하면, 일 실시예에 따른 제어기는 백그라운드로 실행 명령어를 처리하기 위하여 S131 단계 내지 S136 단계를 포함할 수 있다.
먼저, S131 단계에서, 제어기는 실행 명령어에 악성코드와 관련된 IOC(Indicator Of Compromise) 정보가 관리자에 의해 입력 인자로 입력되면, 입력된 입력 인자를 인식할 수 있다.
S132 단계에서, 제어기는 전술한 S131 단계에 의해 인식된 입력 인자가 파일 형식인지 아니면 단일 IOC 정보인지를 판단할 수 있다.
예를 들면, 제어기는 인식된 입력 인자가 파일 형식이면(Y), 파일 형식에 기설정된 hash, IP, Domain 및 URL 값을 포함한 IOC 리스트 정보를 로딩할 수 있다(S133).
이때, 파일 형식은 엑셀 파일 형식일 수도 있다. 엑셀 파일 형식에 대한 도 5와 같이 나타낼 수 있는데, 도 5에서는 다수의 hash, IP, Domain 및 URL 값 중 적어도 하나의 값이 입력 인자들로 입력되어서 기록되어 있는 엑셀 파일 형식을 보여주고 있다.
예를 들면, 입력 인자를 반영한 실행 명령어는 예컨대, kisa {파일명/IOC} -gn {설정할 공격 그룹 명}일 수 있다.
S134 단계에서, 제어기는 파일 형식이 로딩된 IOC 리스트 정보에서 입력 인자로서 입력된 hash, IP, Domain 및 URL 값 중 선택된 적어도 어느 하나의 IOC 값을 식별할 수 있다.
반면, S132 단계에서, 제어기는 전술한 S131 단계에 의해 인식된 입력 단자가 단일 IOC 정보이면(N), 단일 IOC 정보에 대한 타입을 식별할 수 있다(S135).
이때, IOC 정보의 타입은 hash, IP, Domain 및 URL과 관련된 STRING, INTERGER, DICTIONARY 형식을 의미할 수 있다.
이러면, S136 단계에서, 제어기는 전술한 S134 단계와 S135 단계에 의해 식별된 IOC 값과 타입에 따라 수집 채널별로 요청 값을 생성할 수 있다.
생성된 요청 값은 적어도 하나의 수집 채널(200) 중 Virustotal 채널을 제외한 나머지의 수집 채널, 예컨대, 임의의 순서인 Abuse.ch - Malware Bazaar 채널, Abuse.ch - URL Haus 채널 및 OTX 채널의 순서에 맞게 멀티 스레드 풀(multi thread pool)로 동작될 수 있다.
이때, Virustotal 채널을 제외하는 이유는 Virustotal 채널인 경우는 예컨대, 4초에 한번 최대 500개만 요청 가능하기 때문에 멀티 스레드 풀로 동작시키지 않고 있다.
이러한 요청 값은 도 7에서 설명한 S140 단계에서 사용될 수 있다.
즉, S140 단계에서, 제어기는 전술한 멀티 스레드 풀(multi thread pool)로 동작되는 요청 값을 해당하는 수집 채널(200)별로 전송한 후(S141), 그 응답으로서 수집 채널(200)별로 제공된 API 정보별로 적어도 하나의 메타 정보를 추출할 수 있고(S142), 추출된 적어도 하나의 메타 정보를 수집 채널(200)별로 생성된 폴더에 JSON 포맷 형태로 저장시킬 수 있다(S143).
예를 들면, 추출된 메타 정보는 명령어를 실행한 경로에 KISA/{공격그룹명}/{IOC요청시세부API}.json 형태로 저장되어 관리될 수 있다. 언급된 적어도 ㅎ하나의 메타 정보와 관련되어 최종적으로 출력되는 JSON 포맷 형태는 예로서, 도 6과 같이 나타낼 수 있다.
여기서, 요청 값이 해당하는 수집 채널(200)별로 전송하는 이유는 예컨대, Abuse.ch - Malware Bazaar 채널인 경우에는 요청 값이 IP, Domain 및 URL 값에 해당되면, 동작되지 않기 때문이다.
한편, 전술한 Virustotal 채널은 초에 한번 최대 500개만 요청 가능하기 때문에 멀티 스레드 풀로 동작되지 않음으로써, 다른 수집 채널에 비해 지연 처리가 불가피하다.
이상의 도 7 및 도 8에서 설명한 악성코드 메타 정보 수집 방법의 각 단계 동작은 프로그램 명령어의 형태로 구현되어 컴퓨터 판독 가능한 기록 매체에 기록될 수 있다.
언급된 컴퓨터 판독 가능한 기록 매체는 프로그램 명령어, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 컴퓨터 판독 가능한 기록 매체에 기록되는 프로그램 명령어는 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 분야의 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능한 기록 매체의 예에는, 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체, CD-ROM, DVD와 같은 광기록 매체, 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 ROM, RAM, 플래시 메모리 등과 같은 프로그램 명령어를 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령어의 예에는, 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드도 포함된다. 상기 하드웨어 장치는 본 발명에 따른 처리를 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.
따라서, 이상에서 설명된 본 발명의 일 실시예에 따른 구체적인 구성 요소 등과 같은 특정 사항들에 한정된 실시예 및 도면에 의해 설명되었으나, 이는 본 발명의 보다 전반적인 이해를 돕기 위해서 제공된 것일 뿐, 본 발명이 상기 실시예들에 한정되는 것은 아니며, 본 발명이 속하는 기술분야에서 통상적인 지식을 가진 자라면 이러한 기계로부터 다양한 수정 및 변형될 수 있음은 물론이다.
따라서, 본 발명에 기술되는 사상은 앞서 설명된 실시예에 국한되어 정해져서는 아니 되며, 또한 후술하는 특허청구범위 뿐만 아니라, 이 특허청구범위와 균등하게 또는 등가적으로 변형된 모든 것들은 본 발명의 사상의 범주에 속한다고 할것이다.
200 : 수집 채널
300 : 악성코드 메타 정보 수집 장치
310 : API 키 설정부
320 : 수집 채널 접속부
330 : 실행 명령어 해석부
331 : 입력 인자 인식부
332 : IOC 리스트 로딩부
333 : 입력값 식별부
334 : 타입 식별부
335 : 요청 값 생성부
340 : 메타 정보 관리부
350 : 로그 기록 관리부
360 : 데이터베이스/메모리
300 : 악성코드 메타 정보 수집 장치
310 : API 키 설정부
320 : 수집 채널 접속부
330 : 실행 명령어 해석부
331 : 입력 인자 인식부
332 : IOC 리스트 로딩부
333 : 입력값 식별부
334 : 타입 식별부
335 : 요청 값 생성부
340 : 메타 정보 관리부
350 : 로그 기록 관리부
360 : 데이터베이스/메모리
Claims (11)
- 사이버 공격의 악성 코드와 관련된 수집 채널에 회원 가입하여 상기 수집 채널로부터 API Key를 발급받아 초기화 입력으로 설정하는 API Key 설정부;
상기 설정된 API Key가 관리자에 의해 입력되면 API Key를 통해 회원가입된 적어도 하나의 수집 채널에 접속하는 수집 채널 접속부;
상기 수집 채널에 접속된 후, 관리자에 의해 입력된 악성코드와 관련된 메타 정보 수집을 위한 실행 명령어가 입력되면, 상기 입력된 실행 명령어를 해석하는 실행 명령어 해석부; 및
상기 해석된 실행 명령어에 따라 상기 수집 채널로부터 악성코드 특징정보를 제공받고 네트워크에 연결된 적어도 하나의 수집채널로 회원가입하여 API Key를 발급받아 메타 정보를 추출하여 공격 그룹별 JSON 포맷으로 관리하는 메타 정보 관리부;를 포함하되,
상기 실행 명령어 해석부는
상기 실행 명령어에 상기 악성코드와 관련된 IOC(Indicator Of Compromise) 정보가 입력 인자로 입력되면, 상기 입력된 입력 인자를 인식하는 입력 인자 인식부;
상기 인식된 입력 인자가 파일 형식이면, 상기 파일 형식에 기설정된 hash, IP, Domain 및 URL 값을 포함한 IOC 리스트 정보를 로딩하는 IOC 리스트 로딩부;
상기 파일 형식이 상기 로딩된 IOC 리스트 정보에서 hash, IP, Domain 및 URL 값 중 선택된 적어도 어느 하나의 IOC 값을 식별하는 입력값 식별부;
상기 인식된 입력 단자가 단일 IOC 정보이면, 상기 단일 IOC 정보에 대한 타입을 식별하는 타입 식별부; 및
상기 식별된 IOC 값과 상기 식별된 타입에 따라 상기 수집 채널별로 요청 값을 생성하는 요청 값 생성부로 구성된 악성코드 메타 정보 수집 장치.
- 삭제
- 제1항에 있어서, 상기 메타 정보 관리부는,
상기 생성된 요청 값을 해당하는 상기 수집 채널별로 전송한 후, 그 응답으로서 상기 추출된 적어도 하나의 메타 정보를 상기 수집 채널별로 생성된 폴더에 JSON 포맷 형태로 저장시키는 것을 특징으로 하는 악성코드 메타 정보 수집 장치.
- 제1항 또는 제3항에 있어서, 상기 수집 채널은,
VirusTotal 채널, Abuse.ch - Malware Bazaar 채널, Abuse.ch - URL Haus 채널 및 OTX 채널을 포함하는 것을 특징으로 하는 악성코드 메타 정보 수집 장치.
- 제4항에 있어서, 상기 Abuse.ch - Malware Bazaar 채널은,
상기 요청 값이 상기 IP, Domain 및 URL 값에 해당되면, 동작되지 않는 것을 특징으로 하는 악성코드 메타 정보 수집 장치.
- 제1항에 있어서,
상기 API Key 설정부, 수집 채널 접속부, 실행 명령어 해석부 및 메타 정보 관리부에 의해 처리된 로그 정보를 저장하는 로그 기록 관리부를 더 포함하는 것을 특징으로 하는 악성코드 메타 정보 수집 장치.
- 제6항에 있어서, 상기 로그 기록 관리부는,
Virustotal 채널이 처음 실행된 경우가 아니면 기 설정된 시간만큼 지연되어 처리되고, 상기 Virustotal 채널과 관련된 상기 적어도 하나의 메타 정보가 500개를 넘으면, 이와 관련한 로그 알람을 발생시키는 것을 특징으로 하는 악성코드 메타 정보 수집 장치.
. - 삭제
- 악성코드 메타 정보 수집 장치에서 악성코드와 관련한 메타 정보를 수집하기 위한 방법으로서,
(a) 사이버 공격의 악성 코드와 관련된 수집 채널에 회원 가입하여 상기 수집 채널로부터 API Key를 발급받아 초기화 입력으로 설정하는 단계;
(b) 상기 설정된 API Key가 입력된 API Key를 통해 회원가입된 적어도 하나의 수집 채널에 접속하는 단계;
(c) 상기 수집 채널에 접속된 후, 관리자에 의해 입력된 악성코드와 관련된 메타 정보 수집을 위한 실행 명령어가 입력되면, 상기 입력된 실행 명령어를 해석하는 단계; 및
(d) 상기 해석된 실행 명령어에 따라 상기 수집 채널로부터 제공되는 API 정보를 활용하여 악성코드와 관련된 공격 그룹을 알 수 있는 적어도 하나의 메타 정보를 추출하여 공격 그룹별 JSON 포맷으로 관리하는 단계를 포함하되,
상기 (c)단계는
(c-1) 상기 실행 명령어에 상기 악성코드와 관련된 IOC(Indicator Of Compromise) 정보가 입력 인자로 입력되면, 상기 입력된 입력 인자를 인식하는 단계;
(c-2) 상기 인식된 입력 인자가 파일 형식이면, 상기 파일 형식에 기설정된 hash, IP, Domain 및 URL 값을 포함한 IOC 리스트 정보를 로딩하는 단계;
(c-3) 상기 파일 형식이 상기 로딩된 IOC 리스트 정보에서 hash, IP, Domain 및 URL 값 중 선택된 적어도 어느 하나의 IOC 값을 식별하는 단계;
(c-4) 상기 인식된 입력 단자가 단일 IOC 정보이면, 상기 단일 IOC 정보에 대한 타입을 식별하는 단계; 및
(c-5) 상기 식별된 IOC 값과 상기 식별된 타입에 따라 상기 수집 채널별로 요청 값을 생성하는 단계로 구성된 악성코드 메타 정보 수집 방법.
- 삭제
- 제9항에 있어서, 상기 (d) 단계는,
상기 생성된 요청 값을 해당하는 상기 수집 채널별로 전송한 후, 그 응답으로서 상기 추출된 적어도 하나의 메타 정보를 상기 수집 채널별로 생성된 폴더에 JSON 포맷 형태로 저장시키는 악성코드 메타 정보 수집 방법.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020230024119A KR102623432B1 (ko) | 2023-02-23 | 2023-02-23 | 악성코드 메타 정보 수집 장치 및 방법 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020230024119A KR102623432B1 (ko) | 2023-02-23 | 2023-02-23 | 악성코드 메타 정보 수집 장치 및 방법 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| KR102623432B1 true KR102623432B1 (ko) | 2024-01-09 |
Family
ID=89538273
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020230024119A KR102623432B1 (ko) | 2023-02-23 | 2023-02-23 | 악성코드 메타 정보 수집 장치 및 방법 |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR102623432B1 (ko) |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR102222377B1 (ko) * | 2020-08-25 | 2021-03-03 | 주식회사 로그프레소 | 위협 대응 자동화 방법 |
| KR20210083936A (ko) * | 2019-12-27 | 2021-07-07 | 주식회사 디플랫폼 | 사이버 위협정보 수집 시스템 |
-
2023
- 2023-02-23 KR KR1020230024119A patent/KR102623432B1/ko active IP Right Grant
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20210083936A (ko) * | 2019-12-27 | 2021-07-07 | 주식회사 디플랫폼 | 사이버 위협정보 수집 시스템 |
| KR102222377B1 (ko) * | 2020-08-25 | 2021-03-03 | 주식회사 로그프레소 | 위협 대응 자동화 방법 |
Non-Patent Citations (2)
| Title |
|---|
| Alexandre Borges, "Malwoverview"(2022.11.)* * |
| 정 보 보 호 학 회 지 제31권 제3호(2021.6): 악성코드 특징정보(Feature)의 종류 및 시스템 적용 사례 연구. |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20220078207A1 (en) | Domain name processing systems and methods | |
| Uwagbole et al. | Applied machine learning predictive analytics to SQL injection attack detection and prevention | |
| US10686829B2 (en) | Identifying changes in use of user credentials | |
| CN109361711B (zh) | 防火墙配置方法、装置、电子设备及计算机可读介质 | |
| US10721245B2 (en) | Method and device for automatically verifying security event | |
| CN112866023B (zh) | 网络检测、模型训练方法、装置、设备及存储介质 | |
| US20220197923A1 (en) | Apparatus and method for building big data on unstructured cyber threat information and method for analyzing unstructured cyber threat information | |
| US20160219068A1 (en) | Method and apparatus for automatically identifying signature of malicious traffic using latent dirichlet allocation | |
| CN107547490B (zh) | 一种扫描器识别方法、装置及系统 | |
| CN113132311A (zh) | 异常访问检测方法、装置和设备 | |
| CN110619075A (zh) | 一种网页识别方法与设备 | |
| KR102189127B1 (ko) | 행위 기반 룰 처리 장치 및 그 처리 방법 | |
| US20240095289A1 (en) | Data enrichment systems and methods for abbreviated domain name classification | |
| KR101631032B1 (ko) | 비정형 데이터 필터링 및 공통형태 변환을 통한 저장 시스템 및 방법 | |
| CN111314326B (zh) | Http漏洞扫描主机的确认方法、装置、设备及介质 | |
| KR102623432B1 (ko) | 악성코드 메타 정보 수집 장치 및 방법 | |
| US9323987B2 (en) | Apparatus and method for detecting forgery/falsification of homepage | |
| KR20190067994A (ko) | 행위기반 웹 서비스 비정상 이용 탐지 방법, 장치 및 컴퓨터-판독가능 매체 | |
| CN111475380B (zh) | 一种日志分析方法和装置 | |
| Roschke et al. | An alert correlation platform for memory‐supported techniques | |
| KR20070061268A (ko) | P2p 트래픽 분류 시스템 및 그 분류 방법 | |
| CN113572781A (zh) | 网络安全威胁信息归集方法 | |
| KR101005871B1 (ko) | 대용량 웹로그마이닝 및 공격탐지를 위한 비트리인덱스벡터기반 웹로그 복구방법 | |
| Uwagbole et al. | Applied web traffic analysis for numerical encoding of SQL injection attack features | |
| RU2740856C1 (ru) | Способ и система для идентификации кластеров аффилированных веб-сайтов |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| E701 | Decision to grant or registration of patent right | ||
| GRNT | Written decision to grant |