KR20100078081A

KR20100078081A - 커널 기반 시스템 행위 분석을 통한 알려지지 않은 악성코드 탐지 시스템 및 방법

Info

Publication number: KR20100078081A
Application number: KR1020080136230A
Authority: KR
Inventors: 김기홍; 정가람; 정현철; 임채태; 지승구; 노상균; 오주형
Original assignee: (주) 세인트 시큐리티; 한국인터넷진흥원
Priority date: 2008-12-30
Filing date: 2008-12-30
Publication date: 2010-07-08
Also published as: US20100169973A1

Abstract

본 발명은 커널 기반 시스템 행위 분석을 통한 알려지지 않은 악성코드 탐지 시스템 및 방법에 관한 것으로, 보다 상세하게는 커널 레벨에서 시스템 이벤트를 실시간으로 모니터링하여 수집한 이벤트 데이터로부터 행위 데이터를 구성하고, 구성된 행위 데이터가 사전에 정의된 유해행위에 해당하는지 여부를 판단하여, 유해행위에 해당하는 경우 해당 유해행위의 주체를 역추적하여 처리함으로써 알려지지 않은 악성코드 또는 바이러스에 능동적으로 대응할 수 있도록 하는 기술에 관한 것이다.

악성코드, 바이러스, 커널, 행위 분석, 유해행위, 실시간 모니터링

Description

커널 기반 시스템 행위 분석을 통한 알려지지 않은 악성코드 탐지 시스템 및 방법 {SYSTEM AND METHOD FOR DETECTING UNKNOWN MALICIOUS CODES BY ANALYZING KERNEL BASED SYSTEM EVENTS}

종래의 악성코드 또는 바이러스 탐지는 주로 파일 기반으로 수행되었다. 즉, 종래에는 악성코드의 탐지를 위해 알려진 모든 악성코드 파일의 패턴 또는 해쉬값 등의 특성을 추출하여 악성코드 데이터베이스에 저장해 두어야 하며, 시스템에 존 재하는 모든 파일의 특성을 추출한 후 이를 악성코드 데이터베이스에 저장된 데이터와 비교하여 양자가 일치하는 경우 해당 파일을 악성코드라고 판단하였다.

이와 같은 종래 기술에 의하면, 악성코드 파일의 특성을 보유하고 있는 경우 해당 악성코드를 빠르고 정확하게 탐지할 수 있다는 장점이 있다. 그러나, 악성코드 파일의 특성을 보유하고 있지 않는 경우, 즉 알려지지 않은 악성코드의 경우에는 탐지 자체가 불가능하며, 기 알려진 악성코드라도 그 변종이 발생되면 동일한 유해행위를 일으키는 악성코드임에도 불구하고 탐지하기 어렵다는 단점이 있다.

또한, 종래 기술에 의하면, 악성코드를 탐지하기 위해 시스템에 존재하는 모든 파일에 대해 개별적으로 검사를 수행해야 하므로 악성코드 탐지 시간이 길어지는 단점이 있다.

특히, 하루에 4천여 개 이상의 변종이 나오는 봇과 같은 악성코드의 경우, 악성코드 탐지를 위해 모든 변종 악성코드 파일의 샘플을 보유하고, 샘플 파일로부터 악성코드 탐지를 위한 파일의 특성을 일일이 추출해야 한다. 따라서, 메모리 효율 및 탐지 효율이 떨어지는 단점이 있다.

따라서 본 발명은 상기와 같은 종래 기술의 문제점을 해결하기 위한 것으로, 커널 레벨에서 시스템 이벤트를 실시간으로 모니터링하여 수집한 이벤트 데이터로부터 행위 데이터를 구성하고, 구성된 행위 데이터가 사전에 정의된 유해행위에 해당하는지 여부를 판단하여, 유해행위에 해당하는 경우 해당 유해행위의 주체를 역추적하여 처리함으로써 알려지지 않은 악성코드 또는 바이러스에 능동적으로 대응할 수 있도록 하는 커널 기반 시스템 행위 분석을 통한 알려지지 않은 악성코드 탐지 시스템 및 방법을 제공하기 위한 것이다.

상기한 목적을 달성하기 위한 본 발명의 일 실시예에 의한 커널 기반 시스템 행위 분석을 통한 알려지지 않은 악성코드 탐지 시스템은, 커널 레벨에 설치되어 시스템에서 일어나는 이벤트를 실시간으로 모니터링하여 이벤트 데이터를 수집하는 모니터링 드라이버; 및 상기 모니터링 드라이버에 의해 수집된 이벤트 데이터로부터 행위 데이터를 구성하고, 구성된 행위 데이터가 사전에 정의된 유해행위에 해당하는지 여부를 판단하여, 유해행위에 해당하는 경우 상기 유해행위의 주체를 역추적하여 처리하는 악성코드 탐지 및 처리부를 포함한다.

바람직하게는, 상기 모니터링 드라이버는, 프로세스 관련 이벤트를 모니터링하는 프로세스 모니터링 드라이버; 파일 관련 이벤트를 모니터링하는 파일 모니터 링 드라이버; 레지스트리 관련 이벤트를 모니터링하는 레지스트리 모니터링 드라이버; 네트워크 관련 이벤트를 모니터링하는 네트워크 모니터링 드라이버; 및 프로세스, 파일, 레지스트리 및 네트워크 이외에 기타 시스템 관련 이벤트를 모니터링하는 시스템 모니터링 드라이버 중 하나 이상을 포함한다.

이때, 상기 시스템 모니터링 드라이버는, ReadVirtualMemory 또는 WriteVirtualMemory 시스템 콜(System call) 이벤트를 모니터링하는 것이 바람직하다.

또한, 본 발명의 다른 실시예에 의한 커널 기반 시스템 행위 분석을 통한 알려지지 않은 악성코드 탐지 시스템은, 기 정의된 유해행위 데이터가 저장된 유해행위 데이터베이스를 더 포함한다.

이때, 상기 악성코드 탐지 및 처리부는, 상기 모니터링 드라이버에 의해 수집된 이벤트 데이터로부터 행위 데이터를 구성하는 행위데이터 구성 모듈; 상기 행위 데이터와 상기 유해행위 데이터베이스에 저장된 유해행위 데이터를 비교하여 상기 행위 데이터가 유해행위에 해당하는지 여부를 판단하는 유해행위 판단 모듈; 및 상기 유해행위 판단 모듈에 의해 유해행위로 판단된 행위의 주체를 역추적하여 처리하는 유해행위 처리 모듈을 포함하도록 구성된다.

또한, 상기 유해행위 처리 모듈은, 유해행위의 차단, 유해행위 주체의 강제 종료, 유해행위를 일으키는 파일의 삭제, 사용자에게 통보 중 하나 이상을 수행하는 것이 바람직하다.

또한, 본 발명의 또 다른 실시예에 의한 커널 기반 시스템 행위 분석을 통한 알려지지 않은 악성코드 탐지 방법은, 커널 레벨에서 시스템에서 일어나는 이벤트를 실시간으로 모니터링하는 단계; 수집된 이벤트 데이터로부터 행위 데이터를 구성하는 단계; 상기 행위 데이터가 사전에 정의된 유해행위에 해당하는지 여부를 판단하는 단계; 및 유해행위에 해당한다고 판단되는 경우, 유해행위로 판단된 행위의 주체를 역추적하여 처리하는 단계를 포함한다.

이때, 상기 모니터링하는 단계는, 프로세스 관련 이벤트, 파일 관련 이벤트, 레지스트리 관련 이벤트, 네트워크 관련 이벤트 및 기타 시스템 관련 이벤트 중 하나 이상에 대해 수행되는 것이 바람직하다.

또한, 상기 처리하는 단계는, 유해행위의 차단, 유해행위 주체의 강제 종료, 유해행위를 일으키는 파일의 삭제, 사용자에게 통보 중 하나 이상을 수행하는 것이 바람직하다.

본 발명에 의하면, 커널 레벨에서 시스템 이벤트를 실시간으로 모니터링하여 수집한 이벤트 데이터로부터 행위 데이터를 구성하고, 구성된 행위 데이터가 사전에 정의된 유해행위에 해당하는지 여부를 판단함으로써 유해행위를 일으키는 프로세스 또는 모듈을 탐지할 수 있다.

따라서 유해행위에 대해서만 상세히 정의해 놓으면 개별 악성코드 파일의 패 턴이나 해쉬값 등의 특성을 보유하지 않더라도 해당 유해행위를 일으키는 악성코드에 대한 탐지가 가능해진다. 이로써 악성코드의 변종이 나올 때마다 그 샘플을 수집하여 파일의 특성을 추출해야 할 필요가 없어지게 되어, 알려지지 않은 악성코드 또는 바이러스에 대해서도 능동적으로 대응할 수 있게 된다.

이하, 첨부된 도면을 참조하여 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 본 발명을 용이하게 실시할 수 있도록 바람직한 실시예를 상세히 설명한다. 다만, 본 발명의 바람직한 실시예를 상세하게 설명함에 있어, 관련된 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략한다. 또한, 유사한 기능 및 작용을 하는 부분에 대해서는 도면 전체에 걸쳐 동일한 부호를 사용한다.

덧붙여, 명세서 전체에서, 어떤 부분이 다른 부분과 '연결'되어 있다고 할 때, 이는 '직접적으로 연결'되어 있는 경우뿐만 아니라, 그 중간에 다른 소자를 사이에 두고 '간접적으로 연결'되어 있는 경우도 포함한다. 또한, 어떤 구성요소를 '포함'한다는 것은, 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있다는 것을 의미한다.

또한, '모듈'이란 용어는 특정한 기능이나 동작을 수행하는 하나의 단위를 의미하며, 이는 하드웨어 또는 소프트웨어 또는 하드웨어와 소프트웨어의 결합으로 구현될 수 있다.

도 1은 본 발명의 일 실시예에 의한 커널 기반 시스템 행위 분석을 통한 알려지지 않은 악성코드 탐지 시스템의 구성도로서, 상기 악성코드 탐지 시스템은 모니터링 드라이버(10), 악성코드 탐지 및 처리부(20) 및 유해행위 데이터베이스(30)를 포함하여 구성된다.

모니터링 드라이버(10)는 커널 레벨에 설치되어 시스템에서 일어나는 각종 이벤트를 실시간으로 모니터링하여 이벤트 데이터를 수집하고, 수집한 이벤트 데이터를 악성코드 탐지 및 처리부(20)로 전달한다.

모니터링 드라이버(10)는 프로세스 관련 이벤트를 모니터링하는 프로세스 모니터링 드라이버(11), 파일 관련 이벤트를 모니터링하는 파일 모니터링 드라이버(12), 레지스트리 관련 이벤트를 모니터링하는 레지스트리 모니터링 드라이버(13), 네트워크 관련 이벤트를 모니터링하는 네트워크 모니터링 드라이버(14), 및 프로세스, 파일, 레지스트리 및 네트워크 이외에 기타 시스템 관련 이벤트를 모니터링하는 시스템 모니터링 드라이버(15) 중 하나 이상을 포함하여 구성될 수 있으며, 이때, 상기 각각의 드라이버는 상호 독립적으로 동작하도록 구성된다.

구체적으로, 시스템 모니터링 드라이버(15)는 컴퓨터 시스템을 운영하기 위해서 커널 내부에서 수행되는 시스템 콜(System call) 이벤트를 모니터링 하도록 구성될 수 있다. 예를 들어, ReadVirtualMemory는 하나의 프로세스 A가 다른 프로세스 B의 메모리를 읽으려고 할 때 사용하는 시스템 콜로서, 악성코드가 다른 안티 바이러스 솔루션의 작동 상태 등을 알고자 할 때 호출하는 시스템 내부 함수이므로 모니터링 대상이 되는 것이 바람직하다. 또한, WriteVirtualMemory는 하나의 프로세스 A 가 다른 프로세스 B 의 메모리에 쓰려고 할 때 사용하는 시스템 콜로서, 악성코드가 공격하려고 하는 다른 프로세스의 메모리에 원하는 값을 기록하고자 할 때 호출하는 시스템 내부 함수이므로 모니터링 대상이 되는 것이 바람직하다.

악성코드 탐지 및 처리부(20)는 모니터링 드라이버(10)에 의해 수집된 이벤트 데이터를 전달받아 이로부터 행위 데이터를 구성하고, 구성된 행위 데이터가 사전에 정의된 유해행위에 해당하는지 여부를 판단하여, 유해행위에 해당하는 경우 해당 유해행위의 주체를 역추적하여 처리하는 것으로, 악성코드 탐지 및 처리부(20)는 행위데이터 구성 모듈(21), 유해행위 판단 모듈(22) 및 유해행위 처리 모듈(23)로 구성될 수 있다.

행위데이터 구성 모듈(21)은 모니터링 드라이버(10)로부터 전달받은 이벤트 데이터로부터 행위 데이터를 구성한다. 이때, 행위 데이터는 이벤트 종류, 이벤트 내용 및 데이터로 구성할 수 있다. 다음의 표 1 내지 표 5는 각각 프로세스 관련 이벤트, 파일 관련 이벤트, 레지스트리 관련 이벤트, 네트워크 관련 이벤트 및 기타 시스템 관련 이벤트로부터 구성한 행위 데이터의 구체적인 예를 나타낸다.

이벤트 종류	이벤트 내용	데이터
프로세스	생성	프로세스 경로 정보
프로세스	종료	프로세스 경로 정보

이벤트 종류	이벤트 내용	데이터
파일	생성	파일 경로 정보
파일	쓰기	파일 경로 정보
파일	삭제	파일 경로 정보
파일	수정	파일 경로 정보

이벤트 종류	이벤트 내용	데이터
레지스트리	키 생성	레지스트리 키 경로 정보
레지스트리	키 삭제	레지스트리 키 경로 정보
레지스트리	키 값 생성	레지스트리 키 값 정보
레지스트리	키 값 삭제	레지스트리 키 값 정보

이벤트 종류	이벤트 내용	데이터
네트워크	DNS	DNS 요청 정보 (DNS 주소)
네트워크	HTTP	HTTP 요청 정보 (웹 서버 주소, 요청 데이터)
네트워크	SOCKET	SOCKET 생성 정보 (프로토콜, IP, 포트)

이벤트 종류	이벤트 내용	데이터
ReadVirtualMemory	시스템 콜 호출	각각의 함수 호출 정보
WrtieVirtualMemory	시스템 콜 호출	각각의 함수 호출 정보
LoadLibrary	시스템 콜 호출	각각의 함수 호출 정보

행위데이터 구성 모듈(21)에 의해 상기 표 1 내지 표 5와 같이 구성된 행위 데이터는 커널 메모리에 적재되었다가 유해행위 판단 모듈(22)에 의한 분석이 완료되는 대로 삭제되도록 구성될 수 있다.

유해행위 판단 모듈(22)은 행위데이터 구성 모듈(21)에 의해 구성된 행위 데이터가 사전에 정의된 유해행위, 즉 유해행위 데이터베이스(30)에 기 정의되어 있는 유해행위에 해당하는지 여부를 판단한다. 이를 위해, 유해행위 판단 모듈 (22)은 유해행위 데이터베이스(30)에 저장된 유해행위 데이터를 읽어와서 상기 행위 데이터가 유해행위 데이터를 포함하는지 여부를 판단한다.

유해행위 판단 모듈(22)에 의해 상기 행위 데이터가 유해행위에 해당한다고 판단된 경우, 유해행위 처리 모듈(23)은 상기 유해행위로 판단된 행위의 주체를 역추적하여 처리한다.

구체적으로, 유해행위 처리 모듈(23)은 행위 데이터에 포함된 프로세스 ID로부터 유해행위의 주체를 파악할 수 있다. 유해행위의 주체가 파악되면, 유해행위 처리 모듈(23)은 유해행위 차단, 유해행위 주체(예를 들어, 프로세스, 실행모듈 등)의 강제 종료, 해당 파일 삭제, 사용자에게 통보 등과 같은 조치를 통해 악성코드 탐지에 적절하게 대응할 수 있다.

유해행위 데이터베이스(30)에는 기 정의된 유해행위 데이터가 저장되어 있다. 여기서, 유해행위라 함은 각종 악성코드 또는 바이러스가 일반적으로 수행하는 행위를 표준화시킨 행위를 말하며, 유해행위 데이터는 실제 악성코드 또는 바이러스가 실행될 때 일어나는 커널 레벨의 이벤트를 기반으로 작성된다. 따라서, 유해행위 데이터는 상기 표 1 내지 표 5에 나타난 행위 데이터와 같은 형태로 구성될 수 있다. 또한, 유해행위 데이터는 암호화되어 일반 사용자들이 식별할 수 없는 형태로 구성되는 것이 바람직하다.

도 2는 본 발명의 다른 실시예에 의한 커널 기반 시스템 행위 분석을 통한 알려지지 않은 악성코드 탐지 과정의 흐름도이다.

우선, 커널 레벨에서 시스템에서 일어나는 각종 이벤트를 실시간으로 모니터링한다(S10). 이때, 모니터링은, 프로세스 관련 이벤트, 파일 관련 이벤트, 레지스트리 관련 이벤트, 네트워크 관련 이벤트 및 기타 시스템 관련 이벤트 중 하나 이상에 대해 수행될 수 있다.

이벤트가 발생하는 경우(S20), 이벤트 데이터를 수집하고(S30), 수집된 이벤트 데이터로부터 행위 데이터를 구성한다(S40). 이때, 행위 데이터의 구성은 상술한 바와 동일한 바, 이에 대한 구체적인 설명은 생략한다.

이후, 상기 이벤트 데이터로부터 구성된 행위 데이터가 사전에 정의된 유해행위에 해당하는지 여부를 판단하여(S50), 유해행위에 해당한다고 판단될 경우 유해행위로 판단된 행위의 주체를 역추적하여 처리한다(S60).

구체적으로, 유해행위의 주체는 상기 행위 데이터에 포함된 프로세스 ID를 이용하여 파악하며, 유해행위의 주체가 파악되면, 유해행위 차단, 유해행위 주체(예를 들어, 프로세스, 실행모듈 등)의 강제 종료, 해당 파일 삭제, 사용자에게 통보 등과 같은 조치를 통해 악성코드 탐지에 적절하게 대응할 수 있다.

본 발명은 전술한 실시예 및 첨부된 도면에 의해 한정되는 것이 아니다. 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 있어, 본 발명의 기술적 사상을 벗어나지 않는 범위 내에서 본 발명에 따른 구성요소를 치환, 변형 및 변경할 수 있다는 것이 명백할 것이다.

도 1은 본 발명의 일 실시예에 의한 커널 기반 시스템 행위 분석을 통한 알려지지 않은 악성코드 탐지 시스템의 구성도, 그리고

*도면의 주요 부분에 대한 부호의 설명*

10: 모니터링 드라이버

20: 악성코드 탐지 및 처리부

30: 유해행위 데이터베이스

Claims

커널 레벨에 설치되어 시스템에서 일어나는 이벤트를 실시간으로 모니터링하여 이벤트 데이터를 수집하는 모니터링 드라이버; 및

상기 모니터링 드라이버에 의해 수집된 이벤트 데이터로부터 행위 데이터를 구성하고, 구성된 행위 데이터가 사전에 정의된 유해행위에 해당하는지 여부를 판단하여, 유해행위에 해당하는 경우 상기 유해행위의 주체를 역추적하여 처리하는 악성코드 탐지 및 처리부를 포함하는 것을 특징으로 하는 커널 기반 시스템 행위 분석을 통한 알려지지 않은 악성코드 탐지 시스템.
제 1 항에 있어서, 상기 모니터링 드라이버는

프로세스 관련 이벤트를 모니터링하는 프로세스 모니터링 드라이버;

파일 관련 이벤트를 모니터링하는 파일 모니터링 드라이버;

레지스트리 관련 이벤트를 모니터링하는 레지스트리 모니터링 드라이버;

네트워크 관련 이벤트를 모니터링하는 네트워크 모니터링 드라이버; 및

프로세스, 파일, 레지스트리 및 네트워크 이외에 기타 시스템 관련 이벤트를 모니터링하는 시스템 모니터링 드라이버 중 하나 이상을 포함하는 것을 특징으로 하는 커널 기반 시스템 행위 분석을 통한 알려지지 않은 악성코드 탐지 시스템.
제 2 항에 있어서, 상기 시스템 모니터링 드라이버는

ReadVirtualMemory 또는 WriteVirtualMemory 시스템 콜(System call) 이벤트를 모니터링하는 것을 특징으로 하는 커널 기반 시스템 행위 분석을 통한 알려지지 않은 악성코드 탐지 시스템.
제 1 항에 있어서,

기 정의된 유해행위 데이터가 저장된 유해행위 데이터베이스를 더 포함하는 것을 특징으로 하는 커널 기반 시스템 행위 분석을 통한 알려지지 않은 악성코드 탐지 시스템.
제 4 항에 있어서, 상기 악성코드 탐지 및 처리부는

상기 모니터링 드라이버에 의해 수집된 이벤트 데이터로부터 행위 데이터를 구성하는 행위데이터 구성 모듈;

상기 행위 데이터와 상기 유해행위 데이터베이스에 저장된 유해행위 데이터를 비교하여 상기 행위 데이터가 유해행위에 해당하는지 여부를 판단하는 유해행위 판단 모듈; 및

상기 유해행위 판단 모듈에 의해 유해행위로 판단된 행위의 주체를 역추적하 여 처리하는 유해행위 처리 모듈을 포함하는 것을 특징으로 하는 커널 기반 시스템 행위 분석을 통한 알려지지 않은 악성코드 탐지 시스템.
제 5 항에 있어서, 상기 유해행위 처리 모듈은

유해행위의 차단, 유해행위 주체의 강제 종료, 유해행위를 일으키는 파일의 삭제, 사용자에게 통보 중 하나 이상을 수행하는 것을 특징으로 하는 커널 기반 시스템 행위 분석을 통한 알려지지 않은 악성코드 탐지 시스템.
커널 레벨에서 시스템에서 일어나는 이벤트를 실시간으로 모니터링하는 단계;

수집된 이벤트 데이터로부터 행위 데이터를 구성하는 단계;

상기 행위 데이터가 사전에 정의된 유해행위에 해당하는지 여부를 판단하는 단계;

유해행위에 해당한다고 판단되는 경우, 유해행위로 판단된 행위의 주체를 역추적하여 처리하는 단계를 포함하는 것을 특징으로 하는 커널 기반 시스템 행위 분석을 통한 알려지지 않은 악성코드 탐지 방법.
제 7 항에 있어서, 상기 모니터링하는 단계는

프로세스 관련 이벤트, 파일 관련 이벤트, 레지스트리 관련 이벤트, 네트워크 관련 이벤트 및 기타 시스템 관련 이벤트 중 하나 이상에 대해 수행되는 것을 특징으로 하는 커널 기반 시스템 행위 분석을 통한 알려지지 않은 악성코드 탐지 방법.
제 7 항에 있어서, 상기 처리하는 단계는

유해행위의 차단, 유해행위 주체의 강제 종료, 유해행위를 일으키는 파일의 삭제, 사용자에게 통보 중 하나 이상을 수행하는 것을 특징으로 하는 커널 기반 시스템 행위 분석을 통한 알려지지 않은 악성코드 탐지 방법.