KR20150070756A - 가중치 방식을 이용한 악성코드 자동 판별 장치 및 방법 - Google Patents

가중치 방식을 이용한 악성코드 자동 판별 장치 및 방법 Download PDF

Info

Publication number
KR20150070756A
KR20150070756A KR1020130157331A KR20130157331A KR20150070756A KR 20150070756 A KR20150070756 A KR 20150070756A KR 1020130157331 A KR1020130157331 A KR 1020130157331A KR 20130157331 A KR20130157331 A KR 20130157331A KR 20150070756 A KR20150070756 A KR 20150070756A
Authority
KR
South Korea
Prior art keywords
target file
event
malicious code
weight
file
Prior art date
Application number
KR1020130157331A
Other languages
English (en)
Other versions
KR101541282B1 (ko
Inventor
임태희
Original Assignee
주식회사 윈스
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 윈스 filed Critical 주식회사 윈스
Priority to KR1020130157331A priority Critical patent/KR101541282B1/ko
Publication of KR20150070756A publication Critical patent/KR20150070756A/ko
Application granted granted Critical
Publication of KR101541282B1 publication Critical patent/KR101541282B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer And Data Communications (AREA)

Abstract

본 발명은 악성코드 판별 기술에 있어서, 특히 가중치 방식을 이용하여 악성코드를 자동 판별하는 장치 및 방법에 관한 것으로, 네트워크를 통해 연결된 클라이언트 컴퓨터에서 대상파일에 대한 악성코드 여부를 판별하는 방법으로, 파일의 실행에 따른 이벤트 별 가중치가 설정되는 탐지 룰을 정의하는 단계와, 상기 대상파일을 실행시키는 단계와, 상기 대상파일의 실행에 따라 발생되는 이벤트를 기록하는 단계와, 상기 기록된 이벤트에 대해 상기 탐지 룰에 설정된 가중치를 합산하는 단계와, 상기 가중치의 합산 결과를 미리 설정된 기준치와 비교하여 상기 대상파일에 대한 악성코드 여부를 결정하는 단계를 포함하여 이루어지며, 그 방법에 기반하여 동작하는 장치에 관한 발명이다.

Description

가중치 방식을 이용한 악성코드 자동 판별 장치 및 방법{Apparatus and method for automatically determining malignant code using weighted method}
본 발명은 악성코드 판별 기술에 관한 것으로, 특히 가중치 방식을 이용하여 악성코드를 자동 판별하는 장치 및 방법에 관한 것이다.
일반적으로 악성코드의 수가 기하급수적으로 늘어남에 따라 악성코드를 진단하고 치료하는 방법이나 악성코드를 탐지하고 차단하는 방법이나 악성코드로부터 시스템을 보호하는 방법 등의 악성코드와 관련된 다양한 기술들이 개발되고 있다.
종래의 악성코드 감시 프로그램에 따르면, 기존에 발생한 악성코드의 샘플을 수집하여 악성코드의 특징이 되는 일정한 문자열을 추출하고, 문자열이 특정 컴퓨터의 파일 등에 존재하는지 여부를 이용하여 악성코드에 감염되었는지 여부를 판단하였다.
이 경우, 새로운 악성코드가 발견되면, 새로운 악성코드를 파악하고 특징이 되는 문자열을 추출하여 이를 반영한 악성코드 감시 프로그램이 개발되어야 했으므로, 새로운 악성코드와 관련된 정보가 악성코드 감시 프로그램에 추가되기 전에는 새로운 악성코드에 대한 대비가 불가능하여, 새로운 악성코드에 대한 피해를 막을 수 없는 문제점이 있었다. 또한, 악성코드의 종류가 증가함에 따라서 악성코드의 특징이 되는 문자열의 종류도 비례하여 증가하고, 많은 수의 악성코드를 검사하기 위해서는 각각의 문자열을 구비해야 하는 단점이 있었다.
또한, 악성코드 감시 프로그램이 악성코드와 관련된 문자열이 존재하는지 여부를 검사하는 과정에서 소요되는 시간도 증가할 수 밖에 없었다.
이러한 문제점을 해결하기 위해서 대상파일의 행위 동작을 이용하여 대상파일이 정상코드인지, 악성코드인지 여부를 자동으로 분류하고 판별하는 프로그램이 개발되었다.
행위 동작 기반 악성코드 판별 기술은 대상파일에 의한 다양한 행위 동작을 조합하여 악성코드 여부를 판별하는 동적 분석 룰을 사용한다. 그러나 동적 분석 룰에서 정의한 모든 행위 동작의 조합이 나타나지 않을 경우에는 실제 악성코드를 정상코드로 판별하는 미탐 문제가 발생하거나, 경우에 따라서는 일부 정상적인 대상파일을 악성코드로 오탐하는 문제도 발생하였다. 이에 대한 예를 다음의 표 1에 나타낸다.
대상파일 행위 동작 행위 동작 조합
(동적 분석 룰 = A+C+F)		 탐지 결과
악성 Worm1.exe A-C-D-F-2 O 악성코드로 탐지
변종 Worm2.exe A-B-D-F-2 X 미탐지
정상 Normal.exe A-B-C-E-F-1-2 O 오탐지
상기한 표 1에서와 같이 대상파일이 변종된 악성코드임에도 불구하고 동적 분석 룰에 기반한 행위 동작 조합에서 행위 동작 'C'가 나타나지 않음으로 인해 탐지되지 않는 경우가 발생하였다. 또한, 대상파일이 정상임에도 불구하고 동적 분석 룰에 기반한 행위 동작 조합에서 행위 동작 'A-C-F'가 나타남에 따라 악성코드로 오탐하는 경우가 발생하였다.
본 발명의 목적은 상기한 점을 감안하여 안출한 것으로, 특히 기존의 안티바이러스 프로그램에서 동적 분석 룰에 기반하여 악성코드를 자동 판별하는 방식을 보완하여, 대상파일의 다양한 정보를 추출하고 실행하여 운영체제에서 동작하는 모든 행위를 기록한 후 그 기록된 정보를 대상으로 탐지 룰에 매칭된 탐지 이벤트의 모든 점수를 합산하여 악성코드 여부를 판정하는 가중치 방식을 이용한 악성코드 자동 판별 장치 및 방법을 제공하는 데 있다.
상기한 목적을 달성하기 위한 본 발명에 따른 가중치 방식을 이용한 악성코드 자동 판별 방법의 특징은, 네트워크를 통해 연결된 클라이언트 컴퓨터에서 대상파일에 대한 악성코드 여부를 판별하는 방법으로, 파일의 실행에 따른 이벤트 별 가중치가 설정되는 탐지 룰을 정의하는 단계와, 상기 대상파일을 실행시키는 단계와, 상기 대상파일의 실행에 따라 발생되는 이벤트를 기록하는 단계와, 상기 기록된 이벤트에 대해 상기 탐지 룰에 설정된 가중치를 합산하는 단계와, 상기 가중치의 합산 결과를 미리 설정된 기준치와 비교하여 상기 대상파일에 대한 악성코드 여부를 결정하는 단계를 포함하여 이루어지는 것이다.
바람직하게, 상기 파일의 실행에 따른 이벤트 별 가중치가 설정되는 탐지 룰을 정의하는 단계는, 상기 파일의 실행에 따라 발생되는 이벤트를 악의적인 행위들을 나타내는 제1 이벤트 그룹과 정상적인 행위들을 나타내는 제2 이벤트 그룹으로 구분할 수 있다.
보다 바람직하게, 상기 제1 이벤트 그룹에 속하는 이벤트에는 양(+)의 가중치를 설정하고, 상기 제2 이벤트 그룹에 속하는 이벤트에는 음(-)의 가중치를 설정할 수 있다.
바람직하게, 상기 대상파일을 실행시키는 단계는, 상기 대상파일을 상기 클라이언트 컴퓨터에 설치된 가상 머신 프로그램에서 실행시킬 수 있다.
바람직하게, 상기 대상파일의 실행 이전에, 상기 대상파일에 대해 상기 클라이언트 컴퓨터에 설치된 안티바이러스 프로그램을 사용하여 검사하는 단계와, 상기 안티바이러스 프로그램에 의한 검사 결과에 따라 상기 대상파일에 대한 악성코드 여부를 우선 결정하는 단계를 더 포함할 수 있다.
보다 바람직하게, 상기 클라이언트 컴퓨터에 설치된 안티바이러스 프로그램을 사용하여 검사하는 단계는, 상기 대상파일의 악의적인 행위들에 대한 이벤트를 추출하는 단계와, 상기 추출된 이벤트를 악성코드 유형에 따라 분류하는 단계로 이루어질 수 있다.
상기한 목적을 달성하기 위한 본 발명에 따른 가중치 방식을 이용한 악성코드 자동 판별 장치의 특징은, 네트워크를 통해 연결된 클라이언트 컴퓨터에서 대상파일에 대한 악성코드 여부를 판별하는 장치로, 파일의 실행에 따른 이벤트 별 가중치가 설정되는 탐지 룰을 저장하는 룩업테이블과, 상기 대상파일의 악의적인 행위들에 대한 이벤트를 추출하고, 상기 추출된 이벤트를 악성코드 유형에 따라 분류하여 상기 대상파일에 대한 악성코드 여부를 검사하는 안티바이러스 탐지부와, 상기 대상파일을 실행시키고, 상기 대상파일의 실행에 따라 발생되는 이벤트를 기록한 후 상기 룩업테이블에 저장된 상기 탐지 룰을 참조하여 상기 기록된 이벤트의 가중치를 합산하고, 상기 가중치의 합산 결과를 미리 설정된 기준치와 비교하여 상기 대상파일에 대한 악성코드 여부를 결정하는 가중치 기반 행위 탐지부를 포함하여 구성되는 것이다.
바람직하게, 상기 안티바이러스 탐지부에서 추출된 이벤트에 대한 정보와, 가중치 기반 행위 탐지부에서 기록된 이벤트에 대한 정보 및 상기 가중치의 합산 결과를 저장하는 데이터베이스와, 상기 데이터베이스에 저장된 정보들을 상기 네트워크를 통해 제공하는 서버를 더 포함할 수 있다.
본 발명에 따르면 다음의 효과가 있다.
첫 째, 기존에 알려진 수많은 악성코드는 안티바이러스 프로그램에서 악성코드 유형에 따라 분류하고 안티바이러스 프로그램에서 분류되지 않는 대상파일의 경우에는 가중치 방식을 적용하여 악성코드를 자동 분류할 수 있기 때문에, 미탐지 및 오탐지 확률을 제거할 수 있다.
둘 째, 안티바이러스 프로그램을 통한 탐지 결과와 가중치 방식을 적용한 탐지 결과를 서버를 통해 확인할 수 있으므로, 대상파일이 시스템에서 어떤 행위를 했는지를 상세하게 파악할 수 있다.
도 1은 본 발명의 일 실시 예에 따른 가중치 방식을 이용한 악성코드 자동 판별 장치를 나타낸 블록다이어그램이고,
도 2는 본 발명의 일 실시 예에 따른 가중치 방식을 이용한 악성코드 자동 판별 방법을 나타낸 플로우챠트.
본 발명의 다른 목적, 특징 및 이점들은 첨부한 도면을 참조한 실시 예들의 상세한 설명을 통해 명백해질 것이다.
이하, 첨부된 도면을 참조하여 본 발명의 실시 예의 구성과 그 작용을 설명하며, 도면에 도시되고 또 이것에 의해서 설명되는 본 발명의 구성과 작용은 적어도 하나의 실시 예로서 설명되는 것이며, 이것에 의해서 상기한 본 발명의 기술적 사상과 그 핵심 구성 및 작용이 제한되지는 않는다.
이하, 첨부한 도면을 참조하여 본 발명에 따른 가중치 방식을 이용한 악성코드 자동 판별 장치 및 방법의 바람직한 실시 예를 자세히 설명한다.
도 1은 본 발명의 일 실시 예에 따른 가중치 방식을 이용한 악성코드 자동 판별 장치를 나타낸 블록다이어그램이다.
도 1을 참조하면, 본 발명에 따른 장치는 네트워크를 통해 연결된 클라이언트 컴퓨터에서 대상파일에 대한 악성코드 여부를 판별하는 장치로서, 안티바이러스 탐지부(100)와 가중치 기반 행위 탐지부(200)를 포함하여 구성된다.
안티바이러스 탐지부(100)는 실행 가능한 파일 즉, 대상파일(10)을 다양한 종류의 안티바이러스(Anti-Virus) 프로그램에서 검사하여 이미 잘 알려진 트로이잔(TR/ATRAPS.Gen)이나 백도어(BDS/Backdoor.Gen)나 루트킷(RKIT/bubnix.au) 등과 같은 악성코드를 검사한다. 상세하게, 안티바이러스 탐지부(100)는 안티바이러스(AV) 프로그램으로 대상파일(10)을 검사하여 악의적인 행위들에 대한 이벤트(탐지 이벤트)를 추출하고, 악성코드 유형 분류검사 로직을 통해 악성코드 유형 탐지 룰을 이용하여 그 추출된 이벤트를 악성코드 유형 별로 분류한다. 그로부터 대상파일(10)에 대한 이미 알려진 악성코드인지 아닌지 여부를 검사한다.
가중치 기반 행위 탐지부(200)는 안티바이러스 탐지부(100)에서 악성코드로 분류되지 않은 대상파일(10)을 가상 머신 프로그램이나 클라이언트 컴퓨터에 설치된 특정 프로그램에서 실행시킨 후 대상파일(10)의 실행에 따라 발생되는 파일의 생성/삭제/변조, 프로세스 실행/종료, DLL 인젝션, 레지스트리 생성/수정/삭제, MBR 변조, AV Kill, 호스트 파일 변조 등의 다양한 이벤트를 기록한다.
가중치 기반 행위 탐지부(200)는 기록된 이벤트에 대해 할당된 가중치를 합산하고, 그 가중치의 합산 결과를 미리 설정된 기준치와 비교하여 대상파일(10)에 대한 악성코드 여부를 결정한다. 가중치 기반 행위 탐지부(200)는 기록된 이벤트에 대해 할당된 가중치를 합산할 시에, 가중치 기반 탐지 룰을 참조하며, 그 가중치 기반 탐지 룰은 후술되는 룩업테이블(310)에 저장되는 것이 바람직하다.
룩업테이블(310)은 파일의 실행에 따른 이벤트 별 가중치가 설정되는 가중치 기반 탐지 룰을 저장한다.
룩업테이블(310)에는 악의적인 행위들을 나타내는 이벤트들에 대한 가중치, 정상적인 행위들을 나타내는 이벤트들에 대한 가중치가 각각 설정되어 있으며, 악의적인 행위들을 나타내는 이벤트들에 대한 가중치는 양(+)의 값이 설정되고, 정상적인 행위들을 나타내는 이벤트들에 대한 가중치는 음(-)의 값이 설정된다. 일 예로, 후술되는 표 2에서 가중치 기반 탐지 룰이 A=20, B=0, C=30, D=-10, E=-70, F=80, 1=-30 및 2=-10로 설정된 예를 보면, 이벤트 A와 C와 F가 악의적인 행위를 나타내므로 양(+)의 가중치가 설정되고, 이벤트 D와 E와 1과 2가 정상적인 행위를 나타내므로 음(-)의 가중치가 설정된다.
한편, 본 발명에 따른 장치는 데이터베이스(300)와 서버(400)를 더 포함할 수 있다. 데이터베이스(300)는 안티바이러스 탐지부(100)에서 추출된 이벤트에 대한 정보와, 가중치 기반 행위 탐지부(200)에서 기록된 이벤트에 대한 정보 및 가중치의 합산 결과를 저장한다. 다른 예로, 데이터베이스(300)는 가중치 기반 탐지 룰을 저장하는 룩업테이블(310)을 포함할 수 있다.
서버(400)는 데이터베이스(300)에 저장된 정보들을 네트워크를 통해 제공한다. 즉, 서버(400)는 안티바이러스 탐지부(100)에서 안티바이러스 프로그램을 통해 탐지된 결과와 가중치 기반 행위 탐지부(200)에서 가중치 방식을 적용하여 탐지한 결과를 사용자가 확인할 수 있도록 해당 정보를 제공한다.
한편, 도 1에는 안티바이러스 탐지부(100)와 가중치 기반 행위 탐지부(200)가 시스템적으로 전후 동작하는 구조로 도시된다. 그에 따라, 안티바이러스 탐지부(100)에서 악성코드로 분류되지 않은 대상파일에 대해서만 이후에 가중치 기반 행위 탐지부(200)에서 악성코드 여부를 결정할 수 있다. 그러나, 다른 예로, 안티바이러스 탐지부(100)와 가중치 기반 행위 탐지부(200)가 시스템적으로 병렬 동작하는 구조로 구현될 수도 있다. 즉, 하나의 대상파일(10)에 대해 안티바이러스 탐지부(100)에서는 이미 알려진 악성코드를 분류하고, 동시에 가중치 기반 행위 탐지부(200)가 동일한 대상파일(10)에 대해 가중치 기반 탐지 룰에 기반하여 악성코드 여부를 결정할 수도 있다. 그 후에, 안티바이러스 탐지부(100)의 결과 데이터와 가중치 기반 행위 탐지부(200)의 결과 데이터를 조합하여 최종적으로 악성코드를 판별할 수 있다.
도 2는 본 발명의 일 실시 예에 따른 가중치 방식을 이용한 악성코드 자동 판별 방법을 나타낸 플로우챠트로, 본 발명에 따른 방법은 네트워크를 통해 연결된 클라이언트 컴퓨터에서 대상파일에 대한 악성코드 여부를 판별하는 절차이다.
도 2를 참조하면, 파일의 실행에 따른 이벤트 별 가중치가 설정되는 가중치 기반 탐지 룰을 정의한다(S100). 그 가중치 기반 탐지 룰은 룩업테이블에 저장된다.
일 예로, 파일의 실행에 따른 이벤트 별 가중치가 설정되는 탐지 룰을 정의할 시에는, 파일의 실행에 따라 발생되는 이벤트를 악의적인 행위들을 나타내는 이벤트들(제1 이벤트 그룹)과 정상적인 행위들을 나타내는 이벤트들(제2 이벤트 그룹)으로 구분할 수 있으며, 이 때, 악의적인 행위들을 나타내는 이벤트에는 양(+)의 가중치를 설정하고, 정상적인 행위들을 나타내는 이벤트에는 음(-)의 가중치를 설정할 수 있다.
대상파일(10)이 입력되면, 그 대상파일(10)을 가상 머신 프로그램이나 클라이언트 컴퓨터에 설치된 특정 프로그램에서 실행시킨다(S150).
이어, 대상파일(10)의 실행에 따라 발생되는 이벤트를 기록한다(S160). 여기서, 대상파일(10)의 실행에 따라 발생되는 이벤트는 데이터베이스(300)에 저장된다.
이어, 그 기록된 이벤트에 대해 가중치 기반 탐지 룰에 설정된 가중치를 합산한다(S170).
마지막으로, 대상파일(10)에 대한 가중치의 합산 결과를 미리 설정된 기준치와 비교하고(S180), 그 비교 결과에 따라 대상파일(10)에 대한 악성코드 여부를 결정한다(S190). 상세하게, 악의적인 행위들을 나타내는 이벤트들에 대한 가중치는 양(+)의 값이 설정되고, 정상적인 행위들을 나타내는 이벤트들에 대한 가중치는 음(-)의 값이 설정하는 경우라면, 가중치의 합산 결과가 기준치 이상이면 대상파일을 악성코드로 결정한다.
이상의 단계들 즉, S150 내지 S190은 가중치에 기반하여 악성코드 여부를 결정하는 절차이다. 덧붙여, 본 발명에서는 가중치에 기반하여 악성코드 여부를 판별하기 위해 대상파일(10)을 실행하는 단계 이전에, 입력되는 대상파일이 이미 알려진 악성코드인지 아닌지 여부를 판별하는 과정을 더 포함할 수 있다.
상세하게, 가중치에 기반하여 악성코드를 결정하기 위해 대상파일을 실행하는 단계 이전에, 그 대상파일(10)의 행위들에 대한 이벤트에 대해 클라이언트 컴퓨터에 설치된 안티바이러스 프로그램을 사용하여 악성코드 여부를 검사한다(S110). 안티바이러스 프로그램에 의한 검사 결과에서 대상파일이 이미 알려진 악성코드로 판별되는 경우에는 해당 대상파일을 악성코드 유형별로 분류한다(S120). 그러나 대상파일이 악성코드로 판별되지 않는 경우에는 해당 대상파일을 전술된 S150 내지 S190 단계를 통해 가중치에 기반하여 악성코드 여부를 결정한다.
한편, 클라이언트 컴퓨터에 설치된 안티바이러스 프로그램을 사용하여 악성코드 여부를 검사하는 과정은, 먼저 대상파일을 검사하여 악의적인 행위들에 대한 이벤트(탐지 이벤트)를 추출하고, 악성코드 유형 분류검사 로직을 통해 악성코드 유형 탐지 룰을 이용하여 그 추출된 이벤트를 악성코드 유형에 따라 분류한다. 그로써, 그 대상파일에 대한 악성코드 여부를 검사한다.
다음의 표 2에는 표 1에서 보인 오탐 및 미탐의 경우와 비교되는 가중치 방식의 탐지 결과를 나타낸다.
대상파일 행위 동작 행위 동작 조합
(동적 분석 룰 = A+C+F)		 동적 분석 룰에 의한 탐지 결과 가중치 방식
(가중치 기반 탐지 룰 => A=20, B=0, C=30, D=-10, E=-70, F=80, 1=-30, 2=-10), 기준치 = 20		 가중치 방식에 의한 탐지 결과
악성 Worm1.exe A-C-D-F-2 O 악성코드로 탐지 A(20)+C(30)+D(-10)+F(80)+2(-10)=110 악성코드
변종 Worm2.exe A-B-D-F-2 X 미탐지 A(20)+B(0)+D(-10)+F(80)+2(-10)=80 악성코드
정상 Normal.exe A-B-C-E-F-1-2 O 오탐지 A(20)+B(0)+C(30)+E(-70)+F(80)+1(-30)+2(-10)=10 정상코드
상기한 표 2에서와 같이 종래 기술에서는 대상파일이 변종된 악성코드임에도 불구하고 동적 분석 룰에 기반한 행위 동작 조합에서 행위 동작 'C'가 나타나지 않음으로 인해 탐지되지 않는 경우가 발생하였으나, 본 발명의 가중치 방식을 적용하여 최종 가중치의 합산 결과가 '80'임에 따라 기준치 '80'이상이므로 악성코드로 판별된다. 또한, 대상파일이 정상임에도 불구하고 동적 분석 룰에 기반한 행위 동작 조합에서 행위 동작 'A-C-F'가 나타남에 따라 악성코드로 오탐하는 경우가 발생하였으나, 본 발명의 가중치 방식을 적용하여 최종 가중치의 합산 결과가 '10'임에 따라 기준치 '80' 미만이어서 정상코드로 판별된다.
본 발명의 다른 예로써, 가중치 합산 결과를 비교하여 악성코드를 판별하는데 적용되는 기준치를 일정 값으로 정하지 않고 상한 기준치와 하한 기준치를 가지는 히스테리시스 구조의 기준범위로 정할 수도 있다. 그에 따라 가중치의 합산 결과가 상한 기준치 이상의 경우에 악성코드로 판별하고, 가중치의 합산 결과가 하한 기준치 이하의 경우에 정상코드로 판별하고, 가중치의 합산 결과가 상항 기준치와 하한 기준치 사이 값인 경우에는 위험도를 서버(400)를 통해 통지하도록 구현할 수 있다.
본 발명의 또다른 예로써, 가중치 합산 결과로부터 악성코드 여부를 결정하는 것 이외에 가중치 합산 결과를 비율로 환산하여 악성코드 확률(즉, 대상파일의 위험도)를 퍼센트(%)로 산출할 수도 있다.
지금까지 본 발명의 바람직한 실시 예에 대해 설명하였으나, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 본 발명의 본질적인 특성을 벗어나지 않는 범위 내에서 변형된 형태로 구현할 수 있을 것이다.
그러므로 여기서 설명한 본 발명의 실시 예는 한정적인 관점이 아니라 설명적인 관점에서 고려되어야 하고, 본 발명의 범위는 상술한 설명이 아니라 특허청구범위에 나타나 있으며, 그와 동등한 범위 내에 있는 모든 차이점은 본 발명에 포함되는 것으로 해석되어야 한다.
100: 안티바이러스 탐지부
200: 가중치 기반 행위 탐지부
300: 데이터베이스
310: 룩업테이블
400: 서버

Claims (8)

  1. 네트워크를 통해 연결된 클라이언트 컴퓨터에서 대상파일에 대한 악성코드 여부를 판별하는 방법에 있어서,
    파일의 실행에 따른 이벤트 별 가중치가 설정되는 탐지 룰을 정의하는 단계;
    상기 대상파일을 실행시키는 단계;
    상기 대상파일의 실행에 따라 발생되는 이벤트를 기록하는 단계;
    상기 기록된 이벤트에 대해 상기 탐지 룰에 설정된 가중치를 합산하는 단계;
    상기 가중치의 합산 결과를 미리 설정된 기준치와 비교하여 상기 대상파일에 대한 악성코드 여부를 결정하는 단계를 포함하여 이루어지는 것을 특징으로 하는 가중치 방식을 이용한 악성코드 자동 판별 방법.
  2. 제 1 항에 있어서,
    상기 파일의 실행에 따른 이벤트 별 가중치가 설정되는 탐지 룰을 정의하는 단계는,
    상기 파일의 실행에 따라 발생되는 이벤트를 악의적인 행위들을 나타내는 제1 이벤트 그룹과 정상적인 행위들을 나타내는 제2 이벤트 그룹으로 구분하는 것을 특징으로 하는 가중치 방식을 이용한 악성코드 자동 판별 방법.
  3. 제 2 항에 있어서,
    상기 제1 이벤트 그룹에 속하는 이벤트에는 양(+)의 가중치를 설정하고, 상기 제2 이벤트 그룹에 속하는 이벤트에는 음(-)의 가중치를 설정하는 것을 특징으로 하는 가중치 방식을 이용한 악성코드 자동 판별 방법.
  4. 제 1 항에 있어서,
    상기 대상파일을 실행시키는 단계는,
    상기 대상파일을 상기 클라이언트 컴퓨터에 설치된 가상 머신 프로그램 에서 실행시키는 것을 특징으로 하는 가중치 방식을 이용한 악성코드 자동 판별 방법.
  5. 제 1 항에 있어서,
    상기 대상파일의 실행 이전에, 상기 대상파일에 대해 상기 클라이언트 컴퓨터에 설치된 안티바이러스 프로그램을 사용하여 검사하는 단계와,
    상기 안티바이러스 프로그램에 의한 검사 결과에 따라 상기 대상파일에 대한 악성코드 여부를 우선 결정하는 단계를 더 포함하는 것을 특징으로 하는 가중치 방식을 이용한 악성코드 자동 판별 방법.
  6. 제 5 항에 있어서,
    상기 클라이언트 컴퓨터에 설치된 안티바이러스 프로그램을 사용하여 검사하는 단계는,
    상기 대상파일의 악의적인 행위들에 대한 이벤트를 추출하는 단계와,
    상기 추출된 이벤트를 악성코드 유형에 따라 분류하는 단계로 이루어지는 것을 특징으로 하는 가중치 방식을 이용한 악성코드 자동 판별 방법.
  7. 네트워크를 통해 연결된 클라이언트 컴퓨터에서 대상파일에 대한 악성코드 여부를 판별하는 장치에 있어서,
    파일의 실행에 따른 이벤트 별 가중치가 설정되는 탐지 룰을 저장하는 룩업테이블;
    상기 대상파일의 악의적인 행위들에 대한 이벤트를 추출하고, 상기 추출된 이벤트를 악성코드 유형에 따라 분류하여 상기 대상파일에 대한 악성코드 여부를 검사하는 안티바이러스 탐지부; 그리고
    상기 대상파일을 실행시키고, 상기 대상파일의 실행에 따라 발생되는 이벤트를 기록한 후 상기 룩업테이블에 저장된 상기 탐지 룰을 참조하여 상기 기록된 이벤트의 가중치를 합산하고, 상기 가중치의 합산 결과를 미리 설정된 기준치와 비교하여 상기 대상파일에 대한 악성코드 여부를 결정하는 가중치 기반 행위 탐지부를 포함하여 구성되는 것을 특징으로 하는 가중치 방식을 이용한 악성코드 자동 판별 장치.
  8. 제 7 항에 있어서,
    상기 안티바이러스 탐지부에서 추출된 이벤트에 대한 정보와, 가중치 기반 행위 탐지부에서 기록된 이벤트에 대한 정보 및 상기 가중치의 합산 결과를 저장하는 데이터베이스와,
    상기 데이터베이스에 저장된 정보들을 상기 네트워크를 통해 제공하는 서버를 더 포함하는 것을 특징으로 하는 가중치 방식을 이용한 악성코드 자동 판별 장치.
KR1020130157331A 2013-12-17 2013-12-17 가중치 방식을 이용한 악성코드 자동 판별 장치 및 방법 KR101541282B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020130157331A KR101541282B1 (ko) 2013-12-17 2013-12-17 가중치 방식을 이용한 악성코드 자동 판별 장치 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020130157331A KR101541282B1 (ko) 2013-12-17 2013-12-17 가중치 방식을 이용한 악성코드 자동 판별 장치 및 방법

Publications (2)

Publication Number Publication Date
KR20150070756A true KR20150070756A (ko) 2015-06-25
KR101541282B1 KR101541282B1 (ko) 2015-08-03

Family

ID=53517250

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020130157331A KR101541282B1 (ko) 2013-12-17 2013-12-17 가중치 방식을 이용한 악성코드 자동 판별 장치 및 방법

Country Status (1)

Country Link
KR (1) KR101541282B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112100619A (zh) * 2019-06-18 2020-12-18 深信服科技股份有限公司 一种恶意文件检测方法、系统、设备及计算机存储介质

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112100619A (zh) * 2019-06-18 2020-12-18 深信服科技股份有限公司 一种恶意文件检测方法、系统、设备及计算机存储介质
CN112100619B (zh) * 2019-06-18 2024-01-05 深信服科技股份有限公司 一种恶意文件检测方法、系统、设备及计算机存储介质

Also Published As

Publication number Publication date
KR101541282B1 (ko) 2015-08-03

Similar Documents

Publication Publication Date Title
CN108280350B (zh) 一种面向Android的移动网络终端恶意软件多特征检测方法
US9418227B2 (en) Detecting malicious software
US20150256552A1 (en) Imalicious code detection apparatus and method
US20170076094A1 (en) System and method for analyzing patch file
Canzanese et al. Toward an automatic, online behavioral malware classification system
CN111753290B (zh) 软件类型的检测方法及相关设备
KR20140033145A (ko) 악성 프로세스들의 비서명 기반 검출을 위한 시스템 및 방법
CN110912884A (zh) 一种检测方法、设备及计算机存储介质
JP6698956B2 (ja) サンプルデータ生成装置、サンプルデータ生成方法およびサンプルデータ生成プログラム
CN109543408A (zh) 一种恶意软件识别方法和系统
KR101327740B1 (ko) 악성코드의 행동 패턴 수집장치 및 방법
KR102318991B1 (ko) 유사도 기반의 악성코드 진단 방법 및 장치
EP1680722A1 (en) Detection of items stored in a computer system
KR101907681B1 (ko) 악성코드 검출을 위한 자동 규칙 생성방법, 장치, 시스템 및 이를 기록한 컴퓨터로 판독가능한 기록매체
KR101541282B1 (ko) 가중치 방식을 이용한 악성코드 자동 판별 장치 및 방법
CN111104670B (zh) 一种apt攻击的识别和防护方法
CN112287345A (zh) 基于智能风险检测的可信边缘计算系统
US9323987B2 (en) Apparatus and method for detecting forgery/falsification of homepage
KR102192196B1 (ko) Ai 기반 머신러닝 교차 검증 기법을 활용한 악성코드 탐지 장치 및 방법
CN115664868A (zh) 安全等级确定方法、装置、电子设备和存储介质
KR101880689B1 (ko) 악성코드 진단장치 및 방법
US20230214489A1 (en) Rootkit detection based on system dump files analysis
US11681798B2 (en) Security screening of a universal serial bus device
CN109800581B (zh) 软件行为的安全防护方法及装置、存储介质、计算机设备
CN107368740B (zh) 一种针对数据文件中可执行代码的检测方法及系统

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20180730

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20190729

Year of fee payment: 5