KR20200020078A

KR20200020078A - 머신러닝을 이용한 악성코드 탐지방법

Info

Publication number: KR20200020078A
Application number: KR1020180095334A
Authority: KR
Inventors: 김종연; 김병훈; 조승연
Original assignee: 주식회사 한류에이아이센터
Priority date: 2018-08-16
Filing date: 2018-08-16
Publication date: 2020-02-26

Abstract

본 발명은 머신러닝을 이용한 악성코드 탐지방법에 관한 것으로, 악성코드 탐지 예측 모델을 생성하고, 예측 모델을 이용해서 신규 데이터의 악성코드를 탐지한다.

Description

머신러닝을 이용한 악성코드 탐지방법{METHOD FOR DETECTING MALICIOUS CODE USING MACHINE LEARNING}

이하의 일 실시 예들은 지도학습의 머신러닝 기술을 이용해서 악성코드를 탐지하는 방법에 관한 것이다.

전 세계적으로 하루에 20~50만개의 신종 악성코드가 발견이 되고 있습니다. 악성코드의 침투경로는 각종 웹서비스, 엑티브-X, USB 메모리, File, 모바일 등으로 모든 경로에 대한 대응이 불가능 합니다. 또한 이러한 사이버 공격을 발견하기까지 평균 146일이 소요됩니다.

머신러닝의 한 분야인 비지도학습(unsupervised learning)은 분석해야 하는 데이터의 차원(dimension)과 필드(field)를 줄여주거나 적절히 선택하고 묶어주는 데 특화되어 있다. 하지만 비정상 행위나 공격을 탐지해내는 데 있어서는 매우 제한적이다.

따라서, 지도학습(supervised learning)을 통해 정상파일 및 악성코드가 포함된 파일로 학습 모델을 학습시킨 후, 학습된 모델로 의심스러운 파일의 악성 여부를 탐지하고자 한다.

본 발명은 상기와 같은 종래 기술의 문제점을 해결하고자 도출된 것으로서, 머신러닝을 이용한 악성코드 탐지방법을 제공하는 것을 목적으로 한다.

구체적으로, 본 발명은 최적의 학습 알고리즘의 수행을 통해서 상기 악성코드 탐지 예측 모델을 생성하고, 예측 모델을 이용해서 신규 데이터의 악성코드를 탐지하는 머신러닝을 이용한 악성코드 탐지방법을 제공하는 것을 목적으로 한다.

상기와 같은 목적을 달성하기 위하여, 본 발명의 일 실시 예에 따른 머신러닝을 이용한 악성코드 탐지하는 시스템은, 악성코드 탐지 예측 모델을 생성하는 예측 모델 생성부; 및 예측 모델을 이용해서 신규 데이터의 악성코드를 탐지하는 이상 행위 예측부를 포함한다.

이때, 상기 예측 모델 생성부는, 수집된 데이터를 이용해서 매트릭스를 생성하고, 상기 매트릭스의 데이터를 분류하고, 이상치 데이터를 탐지하고, 최적의 학습 알고리즘의 수행을 통해서 상기 악성코드 탐지 예측 모델을 생성할 수 있다.

이때, 상기 이상 행위 예측부는, 신규 데이터를 통해서 매트릭스를 생성하고, 예측 모델 생성을 적어도 한번이상 반복하고, 신규 데이터를 분류하고, 신규 데이터의 악성코드를 탐지할 수 있다.

본 발명의 일 실시 예에 따른 머신러닝을 이용한 악성코드 탐지방법은, 악성코드 탐지 예측 모델을 생성하는 단계; 및 예측 모델을 이용해서 신규 데이터의 악성코드를 탐지하는 단계를 포함한다.

본 발명은 머신러닝을 이용한 악성코드 탐지방법에 관한 것으로, 악성코드 탐지 예측 모델을 생성하고, 예측 모델을 이용해서 신규 데이터의 악성코드를 탐지할 수 있다.

도 1은 본 발명의 일 실시 예에 따라 머신러닝을 이용해서 악성코드를 탐지하는 시스템 아키텍처를 도시한 도면이다.

본 명세서에 개시되어 있는 본 발명의 개념에 따른 실시 예들에 대해서 특정한 구조적 또는 기능적 설명들은 단지 본 발명의 개념에 따른 실시 예들을 설명하기 위한 목적으로 예시된 것으로서, 본 발명의 개념에 따른 실시 예들은 다양한 형태로 실시될 수 있으며 본 명세서에 설명된 실시 예들에 한정되지 않는다.

본 발명의 개념에 따른 실시 예들은 다양한 변경들을 가할 수 있고 여러 가지 형태들을 가질 수 있으므로 실시 예들을 도면에 예시하고 본 명세서에 상세하게 설명하고자 한다. 그러나, 이는 본 발명의 개념에 따른 실시 예들을 특정한 개시형태들에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 변경, 균등물, 또는 대체물을 포함한다.

제1 또는 제2 등의 용어를 다양한 구성요소들을 설명하는데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되어서는 안 된다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만, 예를 들어 본 발명의 개념에 따른 권리 범위로부터 이탈되지 않은 채, 제1 구성요소는 제2 구성요소로 명명될 수 있고, 유사하게 제2 구성요소는 제1 구성요소로도 명명될 수 있다.

어떤 구성요소가 다른 구성요소에 "연결되어" 있다거나 "접속되어" 있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어" 있다거나 "직접 접속되어" 있다고 언급된 때에는, 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다. 구성요소들 간의 관계를 설명하는 표현들, 예를 들어 "~사이에"와 "바로~사이에" 또는 "~에 직접 이웃하는" 등도 마찬가지로 해석되어야 한다.

본 명세서에서 사용한 용어는 단지 특정한 실시 예들을 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 명세서에서, "포함하다" 또는 "가지다" 등의 용어는 실시된 특징, 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것이 존재함으로 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.

다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가진다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥상 가지는 의미와 일치하는 의미를 갖는 것으로 해석되어야 하며, 본 명세서에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.

이하, 실시 예들을 첨부된 도면을 참조하여 상세하게 설명한다. 그러나, 특허출원의 범위가 이러한 실시 예들에 의해 제한되거나 한정되는 것은 아니다. 각 도면에 제시된 동일한 참조 부호는 동일한 부재를 나타낸다.

이하에서는, 본 발명의 일 실시 예에 따른 머신러닝을 이용해서 악성코드를 탐지하는 시스템 및 악성코드 탐지방법을 첨부된 도 1을 참조하여 상세히 설명한다.

도 1을 참조하면, 본 발명의 머신러닝을 이용해서 악성코드를 탐지하는 시스템은 크게 예측 모델 생성부와 이상행위 예측부로 구성될 수 있으며, 각 구성부는 다음의 <표 1>과 같이 세부적인 기능으로 분류할 수 있다.

구분	구성	설명
예측 모델 생성	1. 기존 Matrix	- 수집된 데이터의 1차 분석 - 주요 데이터에 대한 통계값 생성 - 데이터 생성 주기 및 항목 정의 - 통계 또는 사용자 정의 Matrix 생성 - 설정에 따른 Matrix 생성
	2. 차원 축소 및 전처리	- Matrix 데이터의 차원 축소
	3. Clustring	- 데이터 분류
	4. Clustring 분석 모델	- 데이터 분류 모델 생성
	5. Labeling	- 사용자에 의한 분류된 데이터의 확인
	6. Peer Analysis	- 분류된 그룹 내에서 이상치 데이터 탐지
	7. Target Variable 생성	- 이상치 데이터의 확인
	8. Supervised Learning	- 최적의 지도학습 알고리즘 수행
	9. 악성코드 탐지 예측 모델	- 알고리즘을 통한 악성코드 탐지 예측 모델 생성
이상 행위 예측	신규 Matrix	- 신규 데이터를 통한 Matrix 생성
	차원 축소 및 전처리	- 예측 모델 생성의 2번 과정 반복
	자동 Clustering	- 데이터 분류 모델을 통한 신규 데이터의 예측 분류
	악성코드 발생 예측	- 신규 데이터의 악성코드 탐지 예측

머신러닝을 이용해서 악성코드를 탐지하는 시스템에서 악성코드를 탐지하는 방법은 다음의 동작 프로세스(절차)로 구성될 수 있다.- 서비스 가입

- 사용중인 클라우드 스토리지 연결

- 사용할 보안 서비스 연결 설정

- 설정된 보안서비스로 업로드 된 파일 검사

- 웹 UI를 활용하여 파일 업로드/다운로드

- 사용자가 파일 업로드

- 설정된 보안서비스로 업로드 된 파일 검사

- 보안 검사에 이상 없으면, 사용자 개인 키로 암호화 수행

- 암호화가 완료되면 사용자가 연결한 클라우드 스토리지에 전송 후 저장

- 저장된 파일 다운로드

- 복호화 완료된 파일 다운로드 가능

- 공유 시에 파일 별로 다운로드 가능 여부, 읽기 전용 여부 설정 가능

본 발명의 상세 기능은 다음과 같다.

- 다양한 외부 서비스와 연동이 가능: 보안 서비스(DLP, AV, APT 등), 스토리지(퍼블릭/프라이빗 클라우드, 기업 내 구축된 스토리지 등), 다양한 엔드포인트 (표준에 맞춘 웹 UI 제공으로 모든 엔드포인트에서 스토리지 관리 가능

- 스토리지의 경우 다수 개를 연결하여 PC의 다수의 HDD 및 파티션을 사용하는 것과 같이 편리하게 사용 가능

- 업/다운로드 되는 모든 파일에 대한 암호화 처리를 직접 수행하여 암호화 키가 유출되는 위험을 낮추고, 스토리지가 해킹 및 공격 당해도 데이터가 암호화 되어 있어 유출의 위험이 없음

- 또한 연결된 모든 스토리지의 통합 검색을 지원하여 편리한 관리가 가능. 검색 기능은 파일이 암호화 되어 있어 파일에 설정한 태그, 제목, 주요 목차 등을 통해 검색할 수 있음

- HTML5 기반의 문서/이미지 뷰어를 포함하고 있으며, 이를 통해 제공되는 UI에서 바로 파일 열람이 가능

이상에서 설명된 장치는 하드웨어 구성요소, 소프트웨어 구성요소, 및/또는 하드웨어 구성요소 및 소프트웨어 구성요소의 조합으로 구현될 수 있다. 실시 예들에서 설명된 장치 및 구성요소는, 예를 들어, 프로세서, 콘트롤러, ALU(arithmetic logic unit), 디지털 신호 프로세서(digital signal processor), 마이크로컴퓨터, FPGA(field programmable gate array), PLU(programmable logic unit), 마이크로프로세서, 또는 명령(instruction)을 실행하고 응답할 수 있는 다른 어떠한 장치와 같이, 하나 이상의 범용 컴퓨터 또는 특수 목적 컴퓨터를 이용하여 구현될 수 있다. 처리 장치는 운영 체제(OS) 및 상기 운영 체제 상에서 수행되는 하나 이상의 소프트웨어 애플리케이션을 수행할 수 있다. 또한, 처리 장치는 소프트웨어의 실행에 응답하여, 데이터를 접근, 저장, 조작, 처리 및 생성할 수도 있다. 이해의 편의를 위하여, 처리 장치는 하나가 사용되는 것으로 설명된 경우도 있지만, 해당 기술분야에서 통상의 지식을 가진 자는, 처리 장치가 복수 개의 처리 요소(processing element) 및/또는 복수 유형의 처리 요소를 포함할 수 있음을 알 수 있다. 예를 들어, 처리 장치는 복수 개의 프로세서 또는 하나의 프로세서 및 하나의 콘트롤러를 포함할 수 있다. 또한, 병렬 프로세서(parallel processor)와 같은, 다른 처리 구성(processing configuration)도 가능하다.

소프트웨어는 컴퓨터 프로그램(computer program), 코드(code), 명령(instruction), 또는 이들 중 하나 이상의 조합을 포함할 수 있으며, 원하는 대로 동작하도록 처리 장치를 구성하거나 독립적으로 또는 결합적으로(collectively) 처리 장치를 명령할 수 있다. 소프트웨어 및/또는 데이터는, 처리 장치에 의하여 해석되거나 처리 장치에 명령 또는 데이터를 제공하기 위하여, 어떤 유형의 기계, 구성요소(component), 물리적 장치, 가상 장치(virtual equipment), 컴퓨터 저장 매체 또는 장치, 또는 전송되는 신호 파(signal wave)에 영구적으로, 또는 일시적으로 구체화(embody)될 수 있다. 소프트웨어는 네트워크로 연결된 컴퓨터 시스템 상에 분산되어서, 분산된 방법으로 저장되거나 실행될 수도 있다. 소프트웨어 및 데이터는 하나 이상의 컴퓨터 판독 가능 기록 매체에 저장될 수 있다.

실시 예에 따른 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 실시 예를 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 실시예의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.

이상과 같이 실시 예들이 비록 한정된 실시 예와 도면에 의해 설명되었으나, 해당 기술분야에서 통상의 지식을 가진 자라면 상기의 기재로부터 다양한 수정 및 변형이 가능하다. 예를 들어, 설명된 기술들이 설명된 방법과 다른 순서로 수행되거나, 및/또는 설명된 시스템, 구조, 장치, 회로 등의 구성요소들이 설명된 방법과 다른 형태로 결합 또는 조합되거나, 다른 구성요소 또는 균등물에 의하여 대치되거나 치환되더라도 적절한 결과가 달성될 수 있다.

그러므로, 다른 구현들, 다른 실시 예들 및 특허청구범위와 균등한 것들도 후술하는 특허청구범위의 범위에 속한다.

Claims

악성코드 탐지 예측 모델을 생성하는 예측 모델 생성부; 및
예측 모델을 이용해서 신규 데이터의 악성코드를 탐지하는 이상 행위 예측부
를 포함하는 머신러닝을 이용한 악성코드 탐지하는 시스템.
제1항에 있어서,
상기 예측 모델 생성부는,
수집된 데이터를 이용해서 매트릭스를 생성하고, 상기 매트릭스의 데이터를 분류하고, 이상치 데이터를 탐지하고, 최적의 학습 알고리즘의 수행을 통해서 상기 악성코드 탐지 예측 모델을 생성하는
머신러닝을 이용한 악성코드 탐지하는 시스템.
제1항에 있어서,
상기 이상 행위 예측부는,
신규 데이터를 통해서 매트릭스를 생성하고, 예측 모델 생성을 적어도 한번이상 반복하고, 신규 데이터를 분류하고, 신규 데이터의 악성코드를 탐지하는
머신러닝을 이용한 악성코드 탐지하는 시스템.
악성코드 탐지 예측 모델을 생성하는 단계; 및
예측 모델을 이용해서 신규 데이터의 악성코드를 탐지하는 단계
를 포함하는 머신러닝을 이용한 악성코드 탐지방법.