KR20200116713A - 로그 기반 변종 악성 코드 탐지 시스템 및 그 방법 - Google Patents

로그 기반 변종 악성 코드 탐지 시스템 및 그 방법 Download PDF

Info

Publication number
KR20200116713A
KR20200116713A KR1020190038455A KR20190038455A KR20200116713A KR 20200116713 A KR20200116713 A KR 20200116713A KR 1020190038455 A KR1020190038455 A KR 1020190038455A KR 20190038455 A KR20190038455 A KR 20190038455A KR 20200116713 A KR20200116713 A KR 20200116713A
Authority
KR
South Korea
Prior art keywords
behavior
malicious code
log
variant
behavior information
Prior art date
Application number
KR1020190038455A
Other languages
English (en)
Other versions
KR102201268B1 (ko
Inventor
김형식
조우진
Original Assignee
충남대학교산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 충남대학교산학협력단 filed Critical 충남대학교산학협력단
Priority to KR1020190038455A priority Critical patent/KR102201268B1/ko
Publication of KR20200116713A publication Critical patent/KR20200116713A/ko
Application granted granted Critical
Publication of KR102201268B1 publication Critical patent/KR102201268B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Debugging And Monitoring (AREA)

Abstract

상술한 목적을 달성하기 위한 본 발명에 따른 로그기반 변종 악성 코드 탐지 시스템은 정상 프로그램에 대한 로그가 저장되어 있는 정상 프로그램 데이터베이스; 임의의 시스템에서 특정기간 축적된 로그가 저장되는 검사대상 데이터베이스; 상기 정상 프로그램 데이터베이스에 저장된 로그를 기반으로 악성코드 특징 행위 정보를 추출해내는 악성코드 행위 분석기; 및 상기 악성코드 특징 행위 정보를 이용하여 상기 검사대상 데이터베이스로부터 변종 악성코드 흔적을 탐지하는 변종 악성코드 탐지기;를 포함하여 로그를 이용하여 악성코드의 특징 행위 정보를 추출하기 때문에, 이를 활용하면 임의의 시스템으로부터 특정기간 동안 축적된 로그로부터 그 기간 동안 실행된 변종 악성코드를 탐지할 수 있다는 효과가 있다.

Description

로그 기반 변종 악성 코드 탐지 시스템 및 그 방법{SYSTEM AND METHOD FOR DETECTING METAMORPHIC MALIGNANT CODE BASED ON LOG}
본 발명은 로그 기반 변종 악성 코드 탐지 시스템 및 그 방법에 관한 것으로, 더욱 상세하게는 로그를 통해 악성코드가 수행하는 행위를 분석하여 다른 프로그램과 구분할 수 있는 특징적인 행위 정보를 정의하고, 이에 기초하여 변종이 의심되는 프로그램을 식별하며, 식별된 프로그램에 대하여 부수적인 행위를 이용하여 오탐을 제거할 수 있는 로그 기반 변종 악성 코드 탐지 시스템 및 그 방법에 관한 것이다.
백신을 제작하는 보안 회사에서 악성코드 동향을 분석한 결과 2018년 10월 까지 8억 개의 악성코드가 발견되었지만 이들 중 신종 악성코드는 800만 개도 생성되지 않는다고 한다. 이는 대부분의 악성코드가 기존의 것에 기반을 둔 변종이라는 의미이며, 쓰레기코드 삽입, 서브루틴 재배치 등과 같은 간단한 코드 난독화 방법으로 생성할 수 있어 매년 증가하는 추세이다. 전통적인 백신 소프트웨어들은 악성코드 자체에 알려진 정적 시그니처 정보를 기반으로 탐지하는데, 코드 난독화로 생성된 변종 악성코드는 이러한 시그니처 기반 탐지를 우회할 수 있다.
이러한 시그니처 기반의 탐지 한계를 극복하기 위해 프로그램의 정적 정보를 이용하는 것이 아닌, 프로그램이 수행한 행위 정보를 분석하여 실제 데이터가 보여주는 현상을 파악하고 위협을 탐지해야 한다. 기업에서도 이러한 정보를 이용하기 위해 호스트에서 로그를 수집하여 위협을 탐지하려 하지만, 기업의 규모가 클수록 대용량의 데이터가 수집되고, 분석가의 역량 부족 등의 이유로 이를 제대로 활용하지 못하고 있다. 따라서 로그를 분석하여 변종 악성코드를 탐지하기 위한 기법이 필요한 실정이다.
대한민국 등록특허공보 10-1589652(2016.01.22)
상술한 바와 같은 필요에 의해 본 발명은 임의의 시스템에서 특정기간 동안 축적된 로그를 분석하여 변종 악성코드를 탐지하는 것을 목표로 한다. 악성코드가 수행하는 행위를 분석하여 다른 프로그램과 구분할 수 있는 특징적인 행위 정보를 정의할 수 있으면, 이 정보를 이용하여 유사한 기능을 수행하는 프로그램을 식별할 수 있게 되고, 변종 악성코드는 원래의 악성코드와 기능상으로는 차이가 없으므로 원래의 악성코드의 특징 행위 정보로 식별될 수 있다. 여기에 부수적인 행위를 이용하여 오탐을 제거하면 변종 악성코드만 탐지해낼 수 있는 로그 기반 변종 악성 코드 탐지 시스템 및 그 방법의 제공을 목적으로 한다.
상술한 목적을 달성하기 위한 본 발명에 따른 로그기반 변종 악성 코드 탐지 시스템은 정상 프로그램에 대한 로그가 저장되어 있는 정상 프로그램 데이터베이스; 임의의 시스템에서 특정기간 축적된 로그가 저장되는 검사대상 데이터베이스; 상기 정상 프로그램 데이터베이스에 저장된 로그를 기반으로 악성코드 특징 행위 정보를 추출해내는 악성코드 행위 분석기; 및 상기 악성코드 특징 행위 정보를 이용하여 상기 검사대상 데이터베이스로부터 변종 악성코드 흔적을 탐지하는 변종 악성코드 탐지기;를 포함하는 것을 특징으로 한다.
상술한 목적을 달성하기 위한 본 발명에 따른 로그기반 변종 악성 코드 탐지 시스템의 악성코드 행위 분석기는 상기 정상 프로그램 데이터베이스로부터 정상 프로그램들이 흔하게 수행하는 행위 정보를 추출하는 흔한 행위 정보 추출기; 악성코드를 실제로 실행하여 악성코드의 행위가 기록된 로그를 생성하는 샌드박스; 상기 샌드박스로부터 생성된 악성코드의 실행 로그를 분석하여 행위 대상이 있는 행위 유형과, 행위 대상이 없는 행위 유형을 분별하여 정보를 추출하는 로그 분석기; 및 상기 악성코드를 다른 프로그램들과 구분할 수 있는 악성코드의 특징 행위 정보를 추출하는 특징 행위 정보 추출기;를 포함하는 것을 특징으로 한다.
상술한 목적을 달성하기 위한 본 발명에 따른 로그기반 변종 악성 코드 탐지 시스템의 변종 악성코드 탐지기는 상기 특징 행위 정보 추출기로부터 악성코드의 특징 행위 정보를 전달받아, 상기 검사대상 데이터베이스에 악성코드의 특징 행위 정보에 기초한 질의를 수행하여 유사한 기능을 수행하는 프로그램을 식별하는 특징 행위 정보 질의기; 및 상기 특징 행위 정보 질의기를 통해 식별된 프로그램들에 대하여 악성코드와 부수적인 행위 발생 여부를 비교하여 오탐을 제거하는 부수적인 행위 비교부;를 포함하는 것을 특징으로 한다.
상술한 목적을 달성하기 위한 본 발명에 따른 로그기반 변종 악성 코드 탐지 시스템의 특징 행위 정보 추출기는 상기 로그 분석기로부터 전달받은 악성코드의 행위 정보로부터 상기 흔한 행위 정보 추출기로부터 전달받은 흔한 행위 정보를 제외시켜 특징 행위 정보를 생성하는 것을 특징으로 한다.
상술한 목적을 달성하기 위한 본 발명에 따른 로그기반 변종 악성 코드 탐지 시스템의 특징 행위 정보 질의기는 전달받은 악성코드의 행위 유형별 특징 행위 정보를 이용해 특징 행위 정보에 1개라도 해당되는 프로그램을 식별하기 위한 질의를 수행하며, 이때 각 행위 유형별로 프로그램들이 식별되고 모든 행위 유형에 해당하는 프로그램만 최종 식별하는 것을 특징으로 한다.
상술한 목적을 달성하기 위한 본 발명에 따른 로그기반 변종 악성 코드 탐지 시스템의 부수적인 행위 비교부는 오탐을 제거하기 위해, 상기 특징 행위 정보 질의기에서 전달받은 식별된 프로그램과 상기 로그분석기에서 전달받은 악성코드의 부수적인 행위 발생 유형을 비교하여 두 프로그램 간의 변종 관계를 판단하는 것을 특징으로 한다.
상술한 목적을 달성하기 위한 본 발명에 따른 로그기반 변종 악성 코드 탐지 시스템의 부수적인 행위 비교부는 상기 식별된 프로그램과 악성코드의 부수적인 행위 유형별 발생 여부가 일치하면 변종으로 판정하고 일치하지 않으면 변종이 아닌 것으로 판정하는 것을 특징으로 한다.
또 다른 실시예로써, 상술한 목적을 달성하기 위한 본 발명에 따른 로그기반 변종 악성 코드 탐지 방법은 (a) 정상 프로그램 데이터베이스가 정상 프로그램에 대한 로그를 저장하는 단계; (b) 검사대상 데이터베이스가 임의의 시스템에서 특정기간 축적된 로그를 저장하는 단계; (c) 악성코드 행위 분석기가 상기 정상 프로그램 데이터베이스에 저장된 로그를 기반으로 악성코드 특징 행위 정보를 추출하는 단계; 및 (d) 변종 악성코드 탐지기가 상기 악성코드 특징 행위 정보를 이용하여 상기 검사대상 데이터베이스로부터 변종 악성코드 흔적을 탐지하는 단계;를 포함하는 것을 특징으로 한다.
상술한 목적을 달성하기 위한 본 발명에 따른 로그기반 변종 악성 코드 탐지 방법의 (c)단계는 (c-1) 상기 흔한 행위 정보 추출기가 정상 프로그램 데이터베이스에 질의를 수행하여 정상 프로그램이 남긴 로그로부터 행위 대상과 이를 대상으로 삼는 프로그램의 빈도 쌍을 추출하여 이를 한 원소로 가지는 행위 대상 빈도 집합을 행위 유형별로 생성하는 단계; (c-2) 상기 흔한 행위 정보 추출기가 행위 대상 빈도 집합 내의 원소를 1개 선택하여 해당 원소의 프로그램의 빈도와 임계값을 비교하여 임계값보다 큰경우 (c-3) 상기 흔한 행위 정보 추출기가 임계값보다 큰 원소를 흔한 행위 대상 집합에 추가하는 단계;를 수행하고, 임계값보다 작은 경우 (c-4) 상기 흔한 행위 정보 추출기가 처리할 원소가 행위 대상 집합에 남았는지 확인하여 남았으면 (c-2)단계 이후의 과정을 반복수행하며, 남아있지 않으면 정상 프로그램의 흔한 행위 정보를 추출하는 단계를 종료하는 단계; (c-5) 상기 샌드박스가 악성코드를 실제로 실행하여 악성코드의 행위가 기록된 로그 파일을 생성하는 단계; (c-6) 상기 로그분석기가 상기 로그 파일을 분석하여, 행위 대상이 있는 행위 유형과 행위 대상이 없는 행위 유형으로 분류하는 단계; (c-7) 상기 로그분석기가 행위 대상이 없는 행위 유형의 경우 행위 유형의 명칭에 대한 정보만 추출한 후 상기 부수적인 행위 비교부로 전달하고, 행위 대상이 있는 행위 유형의 경우 행위 유형과, 행위 대상에 대한 정보를 추출하여 악성코드의 행위 유형별 행위 대상 집합을 생성하고 상기 특징 행위 정보 추출기에 전달하는 단계; 및 (c-8) 상기 특징 행위 정보 추출기가 상기 로그 분석기로부터 전달받은 악성코드의 행위 대상 집합의 원소들 중 상기 흔한 행위 추출기로부터 전달받은 흔한 행위 대상 집합에 있는 원소를 제외하고, 남은 원소들로 특징 행위 대상 집합을 생성하는 단계;를 포함하는 것을 특징으로 한다.
상술한 목적을 달성하기 위한 본 발명에 따른 로그기반 변종 악성 코드 탐지 방법의 (d)단계는 (d-1) 상기 특징 행위 정보 질의기가 악성코드의 행위 유형별 특징 행위 대상 집합을 이용해 집합 내의 원소 중 1개라도 행위의 대상으로 삼는 프로그램을 조회하는 질의문를 행위 유형별로 구성하는 단계; (d-2) 상기 특징 행위 정보 질의기가 모든 행위 유형에 조회되는 프로그램만 변종 의심 프로그램으로 식별하는 단계; (d-3) 상기 부수적인 행위 비교부가 상기 검사대상 프로그램 데이터베이스(200)에 식별된 프로그램의 명칭을 이용한 질의를 수행하여 부수적인 행위를 수집하는 단계; (d-4) 상기 부수적인 행위 비교부가 식별된 프로그램 중 하나를 선택하여 상기 로그 분석기로부터 전달받은 악성코드의 부수적 행위와 비교하는 단계; (d-5) 상기 부수적인 행위 비교부가 부수적 행위 유형에 대하여 악성코드와 식별된 프로그램이 발생시킨 행위 유형이 일치할 경우 변종으로 판정하고 일치하지 않을 경우 변종이 아닌 것으로 판정하는 단계; 및 (d-6) 상기 부수적인 행위 비교부가 변종 관계를 판단한 후, 처리할 프로그램이 남았는지 확인하여, 처리할 프로그램이 없으면 변종 악성코드 흔적 탐지를 종료 하는 단계;를 포함하는 것을 특징으로 한다.
상술한 목적을 달성하기 위한 본 발명에 따른 로그기반 변종 악성 코드 탐지 방법에서 상기 부수적인 행위 비교부가 변종 관계를 판단한 후, 처리할 프로그램이 남았는지 확인하여, 처리할 프로그램이 남아 있으면, 악성코드와 부수적 행위 발생 유형을 비교하는 상기 (d-4)단계 이후 단계를 반복 수행하는 것을 특징으로 한다.
본 발명에 따른 로그 기반 변종 악성 코드 탐지 시스템 및 그 방법은 로그를 이용하여 악성코드의 특징 행위 정보를 추출하기 때문에, 이를 활용하면 임의의 시스템으로부터 특정기간 동안 축적된 로그로부터 그 기간 동안 실행된 변종 악성코드를 탐지할 수 있다는 효과가 있다.
도 1은 본 발명의 실시예에 따른 로그 기반 변종 악성 코드 탐지 시스템의 블록도 이다.
도 2는 본 발명의 실시예에 따른 로그 기반 변종 악성 코드 탐지 시스템에서 수집되는 로그 중 DLL 적재 행위 유형에 대한 로그를 설명하기 위한 도면이다.
도 3은 본 발명의 실시예에 따른 로그 기반 변종 악성 코드 탐지 방법에 따른 순서도 이다.
도 4는 본 발명의 실시예에 따른 로그 기반 변종 악성 코드 탐지 방법에서 악성코드 특징 행위 정보를 추출하는 단계의 상세 순서도 이다.
도 5는 본 발명의 실시예에 따른 로그 기반 변종 악성 코드 탐지 방법에서 변종 악성코드 흔적을 탐지하는 단계의 상세 순서도 이다.
본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면을 참조하여 상세하게 설명하도록 한다. 그러나 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다. 각 도면을 설명하면서 유사한 참조부호를 유사한 구성요소에 대해 사용하였다.
제1, 제2, A, B 등의 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되어서는 안된다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다. 예를 들어, 본 발명의 권리범위를 벗어나지 않으면서 제1 구성요소는 제2 구성요소로 명명될 수 있고, 유사하게 제2 구성요소도 제1 구성요소로 명명될 수 있다. 및/또는 이라는 용어는 복수의 관련된 기재 항목들의 조합 또는 복수의 관련된 기재 항목들 중의 어느 항목을 포함한다.
어떤 구성요소가 다른 구성요소에 "연결되어" 있다거나 "접속되어" 있다고 언급될 때에는 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어" 있다거나 "직접 접속되어" 있다고 언급된 때에는, 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다.
본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥 상 가지는 의미와 일치하는 의미를 가지는 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.
명세서 및 청구범위 전체에서, 어떤 부분이 어떤 구성 요소를 포함한다고 할때, 이는 특별히 반대되는 기재가 없는 한 다른 구성 요소를 제외하는 것이 아니라 다른 구성 요소를 더 포함할 수 있다는 것을 의미한다.
이하, 본 발명에 따른 바람직한 실시예를 첨부된 도면을 참조하여 상세하게 설명한다.
도 1은 본 발명의 실시예에 따른 로그 기반 변종 악성 코드 탐지 시스템의 블록도 이다.
도 1에 도시된 바와 같이 본 발명에 따른 로그 기반 변종 악성 코드 탐지 시스템은 정상 프로그램 데이터베이스(100), 검사대상 데이터베이스(200), 악성코드 행위 분석기(300), 및 변종 악성코드 탐지기(400)를 포함한다.
상기 정상 프로그램 데이터베이스(100)는 정상 프로그램에 대한 실행 로그가 저장되고, 상기 검사대상 데이터베이스(200)는 임의의 시스템에서 특정기간 축적된 로그가 저장되고, 상기 악성코드 행위 분석기(300)는 상기 정상 프로그램 데이터베이스(100)에 수집된 로그에 기반을 두어 악성코드의 특징 행위 정보를 추출해내며, 상기 변종 악성코드 탐지기(400)는 추출된 악성코드 특징 행위 정보를 이용하여 검사 대상 데이터베이스(200)로부터 변종 악성코드 흔적을 탐지한다.
상기 악성코드 행위 분석기(300)는 흔한 행위 정보 추출기(310), 샌드박스(320), 로그 분석기(330), 및 특징 행위 정보 추출기(340)를 포함하는데, 상기 흔한 행위 정보 추출기(310)는 상기 정상 프로그램 데이터베이스(100)로부터 흔한 행위 대상 집합을 생성하고, 상기 샌드박스(320)는 악성코드를 실제로 실행하여 악성코드의 행위가 기록된 로그를 생성하고, 상기 로그 분석기(330)는 상기 샌드박스(320)로부터 생성된 악성코드의 실행 로그를 분석하여 행위 대상이 있는 행위 유형과 행위 대상이 없는 행위 유형을 분별하여 정보를 추출하며, 특징 행위 정보 추출기(340)는 악성코드를 다른 프로그램들과 구분할 수 있는 악성코드의 특징 행위 정보를 추출한다.
예시로, 상기 샌드박스(320)에서 로그를 생성하는 도구는 Sysinternals에서 제공하는 Sysmon이라는 도구이며, 이는 윈도우 이벤트 로그를 보완하기 위해 각 로그에 Event Id를 부여함으로써 어떤 행위 유형에 대한 로그인지를 나타낸다.
이때, 어느 행위 유형을 분석에 이용할지는 사용자가 설정 파일로 제공하며, 설정 파일에는 분석할 Event Id와 행위 대상의 유무를 기입한다. 행위 대상이 있는 행위 유형의 경우 'T'라고 기입하며, 행위 대상이 없는 행위 유형의 경우 'F'라고 기입한다. 행위 대상이 없는 행위 유형은 로그 분석기에서 부수적 행위 유형으로 분류된다.
수집되는 로그 중 DLL 적재 행위 유형에 대한 로그는 Event Id 7이며 도 2에 도시된 바와 같다. ImageLoaded 필드에는 행위의 대상인 적재된 DLL명칭이 기록되고, Image 필드에는 행위의 주체인 DLL을 적재한 프로그램 명칭이 기록된다.
상기 정상 프로그램 데이터베이스(100) 및 검사대상 데이터베이스(200)는 Elasticsearch로 구현될 수 있는데, Elasticsearch는 JSON 기반으로 저장되어 Sysmon 로그를 이용할 경우 필드명이 key 값이 되고 필드값이 value가 되어 저장된다.
한편, 상기 흔한 행위 정보 추출기(310)는 행위 유형에 대한 정보가 기록된 상기 설정 파일에 기반하여 상기 정상 프로그램 데이터베이스(100)에 행위 대상이 있는 행위 유형에 대한 질의를 수행한다. 수행결과 행위 유형별로 행위의 대상과 이를 대상으로 삼는 프로그램의 빈도 쌍을 한 원소로 가지는 행위 대상 빈도 집합을 생성한다. 그리고, 추출된 행위 대상 빈도 집합에서 프로그램의 빈도가 임계값보다 큰 원소들만 추출하여 흔한 행위 대상 집합을 생성하고, 상기 특징 행위 정보 추출기(340)로 전달한다. 임계값에 대한 기준은 전체 실행 프로그램의 개수의 일정 비율이다.
예시로, DLL 적재 행위 유형에서의 행위 대상 빈도 집합에는 적재된 DLL 명칭과 해당 DLL을 적재하는 프로그램 빈도의 쌍이 한 원소로 저장된다. 예를 들어 250개의 프로그램의 실행 로그가 저장된 상기 정상 프로그램 데이터베이스(100)에서 모든 적재된 DLL에 대한 적재하는 프로그램의 빈도를 얻으면 아래의 [표 1]과 같다.
ImageLoaded Image 개수
ntdll.dll 241
kernel32.dll 240
user32.dll 236
...
WMIsvc.dll 2
<Event Id 7 이벤트>
ntdll.dll의 경우 250개 중 241개의 프로그램이 적재하였으므로 흔한 DLL로 간주할 수 있다. 이때, 임계값에 대한 기준을 전체 프로그램 개수의 10%로 정하면, 특정 DLL 명칭에 대하여 적재하는 프로그램의 수가 25보다 작은 경우를 특징 행위 대상으로 정의할 수 있다.
반대로, WMIsvc.dll의 경우 2개의 프로그램만 WMIscv.dll를 적재하였고, 이는 임계값보다 작으므로 흔하지 않은 행위 대상이다.
한편, 상기 샌드박스(320)는 분석하려고 하는 악성코드를 실행하여 실행 로그를 생성시키고, 생성된 실행 로그를 상기 로그 분석기(330)로 전달한다.
예를 들어, 특정 악성코드를 상기 샌드박스(320)에서 실행시켜 로그를 생성시킨 결과, DLL 적재 행위 유형에 대하여 47개의 DLL을 적재하여 47개의 로그가 기록되었고, 다른 프로세스 접근 행위 유형에 대하여 1개의 시스템 프로세스에 접근하여 1개의 로그가 기록되었다.
한편, 상기 로그 분석기(330)는 상기 샌드박스(320)로부터 전달받은 실행 로그로부터 행위 유형에 대한 정보가 기록된 상기 설정 파일에 기반하여 대상이 있는 행위 유형과 대상이 없는 행위 유형을 분류해서 정보를 추출해낸다. 대상이 있는 행위 유형의 경우, 행위 유형별로 행위 대상을 원소로 저장한 집합을 추출해내고, 상기 특징 행위 정보 추출기(340)로 전달한다. 대상이 없는 행위 유형의 경우, 부수적인 행위로 정의되며, 발생한 행위 유형에 대한 명칭만 상기 변종 악성코드 탐지기(400)의 부수적인 행위 비교부(420)로 전달된다.
예시로, 특정 악성코드가 수행한 DLL 적재 행위 유형과 다른 프로세스 접근 행위 유형은 행위 대상이 있는 행위 유형으로 분류되어 행위 대상 집합을 생성시키는데, DLL 적재 행위 유형의 행위 대상 집합의 경우 47개의 적재된 DLL 명칭을 원소로 가지고 있으며, 다른 프로세스 접근 행위 유형의 행위 대상 집합의 경우 1개의 접근한 프로세스 명칭을 원소로 가지고 있다.
그리고, 상기 특징 행위 정보 추출기(340)는 상기 로그 분석기(330)로부터 전달받은 악성코드의 행위 유형별 행위 대상 집합으로부터 악성코드의 행위 유형별 특징 행위 대상 집합을 정의한다. 특징 행위 대상 집합은 악성코드의 행위 대상 집합에 속한 원소들 중 흔한 행위 대상 집합에 속한 원소들을 제외시켜 생성한다.
예시로, 특정 악성코드의 DLL 적재 행위 대상 집합과 다른 프로세스 접근 행위 대상 집합의 원소 중 흔한 행위 대상 집합에 포함되어 있지 않은 원소들만 특징 행위 대상 집합으로 추가된다. DLL 적재 행위 유형의 경우 13개의 DLL 명칭이 흔한 행위 대상 집합에 포함되어 있지 않았고, 다른 프로세스 접근 행위 유형의 경우 1개의 프로세스 명칭이 흔한 행위 대상 집합에 포함되어 있지 않아 특징 행위 대상 집합에 포함되었다.
즉, 악성코드의 특징 행위 대상 집합은 DLL을 적재하는 행위 유형에서 13개의 DLL 명칭이 저장되었고, 다른 프로세스에 접근하는 행위 유형에서 1개의 시스템 프로세스 명칭이 저장되었다.
한편, 상기 변종 악성코드 탐지기(400)는 상기 특징 행위 정보 추출기(340)를 통해 추출된 행위 유형별 악성코드의 특징 행위 대상 집합을 전달받아, 상기 검사대상 데이터베이스(200)에 악성코드의 특징 행위 정보에 기초한 질의를 수행하여 유사한 기능을 수행하는 프로그램을 식별하는 상기 특징 행위 정보 질의기(410)와, 상기 특징 행위 정보 질의기(410)를 통해 식별된 프로그램들에 대하여 악성코드와 부수적인 행위 발생 여부를 비교하여 정상 프로그램으로 분류하는 부수적인 행위 비교부(420)를 포함한다.
상기 특징 행위 정보 질의기(410)는 전달받은 악성코드의 행위 유형별 특징 행위 대상 집합을 이용해 질의를 수행하는데, 질의문은 행위 유형별로 특징 행위 대상 집합내의 모든 원소를 OR 연산으로 질의문을 구성한다.
즉, 이러한 질의문은 행위 유형 개수만큼 나온다. 생성된 질의를 수행하면 각 행위 유형별로 프로그램들이 식별되는데, 모든 행위 유형에 해당하는 프로그램만 변종 의심 프로그램으로 간주한다.
예시로, 특정 악성코드로부터 수집된 특징 행위 대상 집합에서 DLL 적재 행위 유형에 대해선 13개의 적재된 DLL을 OR 연산으로 구성하여 질의가 수행되고, 다른 프로세스 접근 행위에서 1개의 시스템 프로세스 명으로 구성된 질의가 수행된다. DLL 적재 행위 유형에 대해선 24개의 프로그램이 식별되었고, 다른 프로세스 접근 행위 유형에 대해선 6개의 프로그램이 식별되었다. 이 두 행위 유형에 공통적으로 포함되는 프로그램은 3개로 식별되었다.
한편, 식별된 프로그램들은 변종 악성코드일 수도 있지만, 유사한 기능을 수행하는 프로그램일 수 있기 때문에 상기 부수적인 행위 비교부(420)로 전달하여 오탐을 제거하는 과정이 필요하다. 전달되는 정보는 식별된 프로그램의 명칭이며, 오탐을 제거하는 과정은 악성코드와 부수적인 행위의 발생 여부가 일치하면 변종 악성코드로 판단하고, 일치하지 않으면 변종이 아닌 것으로 판단하여 오탐을 제거한다.
상기 부수적인 행위 비교부(420)는 상기 특징 행위 정보 질의기(410)로부터 전달받은 식별된 프로그램 명칭을 이용해 상기 검사대상 데이터베이스로(200)부터 식별된 프로그램의 부수적인 행위 유형을 수집하고, 상기 로그 분석기(330)로부터 악성코드의 부수적인 행위 유형을 전달받는다.
상기 부수적인 행위 비교부(420)는 오탐을 제거하기 위해, 상기 특징 행위 정보 질의기(410)에서 식별된 프로그램과 상기 로그 분석기에서 전달받은 악성코드의 부수적인 행위 발생 유형을 비교하여 두 프로그램 간의 변종 관계를 판단한다.
이때, 변종 악성코드의 경우 원래의 악성코드와 기능적으로 매우 유사할 것이므로 부수적인 행위 발생 유형에 대하여 발생시킨 유형이 일치한다.
따라서, 식별된 프로그램과 악성코드의 부수적인 행위 유형별 발생 여부가 일치하면 변종으로 판정하고 일치하지 않으면 정상으로 판정한다. 행위 유형별 발생 여부가 일치하지 않는다는 것은 악성코드가 수행한 행위 유형을 식별된 프로그램이 수행하지 않거나, 악성코드가 수행하지 않은 행위 유형을 식별된 프로그램이 수행할 경우에 해당된다.
예시로, 특정 악성코드의 특징 행위 대상 집합으로부터 식별된 3개의 프로그램 명칭은 상기 부수적인 행위 비교부(420)로 전달되어 오탐이 제거된다.
상기 부수적인 행위 비교부(420)는 상기 검사대상 데이터베이스(200)에 식별된 프로그램 명칭을 이용한 질의를 수행하여 식별된 프로그램들이 수행한 부수적인 행위 유형을 수집한다.
그리고 상기 로그 분석기(330)로부터 특정 악성코드가 수행한 부수적인 행위 유형을 수집하여 발생 여부를 비교한다. 상기 [표 2]는 특정 악성코드와 식별된 3개의 프로그램(P1, P2, P3)에 대한 부수적인 행위 발생 여부를 비교한 것이다.
프로그램 명칭 네트워크 연결 파일 생성 레지스트리
악성코드 F F F
P1 F T T
P2 T T F
P3 T T F
<부수적인 행위 발생 유형 비교>
예시로, 특정 악성코드는 부수적인 행위들을 수행하지 않아 ‘F’로 표시하였다. P1의 경우 네트워크 연결(Event Id 3)을 수행하지 않아 ‘F’로 표시되어 해당 행위에 대해서는 특정 악성코드와 행위 발생 여부가 일치한다고 볼 수 있다.
하지만, P1은 파일 생성(Event Id 11)과 레지스트리(Event Id 12, 13) 행위를 수행하였기에 ‘T’로 표시되었고, 이는 특정 악성코드와 일치하지 않아 변종이 아닌 것으로 판단되었다.
도 3은 본 발명의 실시예에 따른 로그 기반 변종 악성 코드 탐지 방법에 따른 순서도이다.
도 3에 도시된 바와 같이, 먼저 상기 정상 프로그램 데이터베이스(100)는 정상 프로그램에 대한 로그를 저장하는 단계를 수행한다(S100).
상기 (S100)단계 이후, 상기 검사대상 데이터베이스(200)는 임의의 시스템에서 특정기간 축적된 로그를 저장하는 단계를 수행한다(S200).
상기 (S200)단계 이후, 상기 악성코드 행위 분석기(300)는 상기 정상 프로그램 데이터베이스(100)에 저장된 로그를 기반으로 악성코드 특징 행위 정보를 추출하는 단계를 수행한다(S300).
마지막으로, 상기 변종 악성코드 탐지기(400)는 상기 악성코드 특징 행위 정보를 이용하여 상기 검사대상 데이터베이스(200)로부터 변종 악성코드 흔적을 탐지하는 단계를 수행한다(S400).
이하에서, 도 4를 참조하여 상기 (S300)단계에 대해 상세히 설명한다.
도 4는 본 발명의 실시예에 따른 로그 기반 변종 악성 코드 탐지 방법에서 악성코드 특징 행위 정보를 추출하는 단계의 상세 순서도 이다.
상기 악성코드 행위 분석기(300)의 흔한 행위 정보 추출기(310)는 상기 정상 프로그램 데이터베이스(100)로부터 행위 대상과 이를 대상으로 삼는 프로그램의 빈도 쌍을 추출하여 이를 한 원소로 가지는 행위 대상 빈도 집합을 행위 유형별로 생성하는 단계를 수행한다(S310).
이후, 상기 악성코드 행위 분석기(300)의 흔한 행위 정보 추출기(310)는 상기 행위 대상 빈도 집합의 각 원소에 대하여 프로그램의 빈도와 임계값을 비교하여 임계값보다 큰 경우 후술된 (S330)단계를 수행하고, 작은 경우 (S340)단계를 수행하는 단계를 수행한다(S320).
상기 흔한 행위 정보 추출기는 임계값보다 큰 원소를 흔한 행위 대상 집합에 추가하는 단계를 수행한다(S330).
상기 흔한 행위 정보 추출기는 행위 대상 집합에 처리할 원소가 남았는 지 확인하는 단계를 수행하고, 남았으면 (S320)단계 이후의 과정을 반복수행하며, 남아있지 않으면 정상 프로그램의 흔한 행위 정보를 추출하는 단계를 종료한다(S340).
상기 악성코드 행위 분석기(300)의 샌드박스(320)는 악성코드를 실제로 실행하여 악성코드의 행위가 기록된 로그를 생성하는 단계를 수행한다(S350).
상기 악성코드 행위 분석기(300)의 로그분석기(330)는 상기 (S350)단계에서 생성된 로그 파일을 분석하여, 행위 대상이 있는 행위 유형과 행위 대상이 없는 행위 유형으로 분류하는 단계를 수행한다(S360).
상기 로그분석기(320)는 행위 대상이 없는 행위 유형의 경우 행위 유형의 명칭에 대한 정보만 추출한 후 상기 부수적인 행위 비교부(420)로 전달하고, 행위 대상이 있는 행위 유형의 경우 행위 유형과, 행위 대상에 대한 정보를 추출하여 악성코드의 행위 유형별 행위 대상 집합을 생성하는 단계를 수행한다(S370).
상기 특징 행위 정보 추출기(340)는 상기 행위 대상 집합에서 상기 흔한 행위 대상 집합의 원소들을 제외시키고 남은 원소들로 특징 행위 대상 집합을 생성하는 단계를 수행한다(S380).
이하에서, 도 5를 참조하여 상기 (S400)단계에 대해 상세히 설명한다.
도 5는 본 발명의 실시예에 따른 로그 기반 변종 악성 코드 탐지 방법에서 변종 악성코드 흔적을 탐지하는 단계의 상세 순서도 이다.
상기 특징 행위 정보 질의기(410)는 상기 특징 행위 정보 추출기(340)로부터 전달받은 악성코드의 행위 유형별 특징 행위 대상 집합을 이용해 집합 내의 원소 중 1개라도 행위의 대상으로 삼는 프로그램을 조회하는 질의문를 행위 유형별로 구성하는 단계를 수행한다(S410).
즉, 이러한 질의문은 행위 유형 개수만큼 수행된다. 질의를 수행하면 각 행위 유형별로 프로그램들이 식별되는데, 상기 특징 행위 정보 질의기(410)는 모든 행위 유형에 조회되는 프로그램만 변종 의심 프로그램으로 식별하는 단계를 수행한다(S420).
식별된 변종 의심 프로그램 명칭은 상기 부수적인 행위 비교부(420)로 전달되고 상기 부수적인 행위 비교부(420)는 상기 검사대상 프로그램 데이터베이스(200)에 변종 의심 프로그램 명칭을 이용한 질의를 수행하여 부수적인 행위를 수집하는 단계를 수행한다.(S430).
그리고 상기 부수적인 행위 비교부(420)는 식별된 프로그램 중 1개를 선택하고, 상기 로그 분석기(330)로부터 전달받은 악성코드와 부수적 행위 발생 유형을 비교하는 단계를 수행한다(S440).
그리고 상기 부수적인 행위 비교부(420)는 상기 로그 분석기(330)로부터 악성코드의 부수적 행위를 수집하는 단계를 수행한 후(S440) 두 프로그램의 부수적 행위 발생 유형을 비교하는 단계를 수행한다(S450).
상기 부수적인 행위 비교부(420)는 발생된 행위 유형이 일치할 경우 변종으로 판정하고(S460), 일치하지 않을 경우 변종이 아닌 것으로 판정하는 단계를 수행한다(S470).
변종 관계를 판단한 후 처리할 프로그램이 남았는지 확인하는 단계 수행 후(S480) 남았으면 다시 악성코드와 부수적 행위 발생 유형을 비교하는 상기 (450)단계 이후 단계를 반복 수행하고, 처리할 프로그램이 남아있지 않으면 변종 악성코드 흔적을 탐지하는 단계를 종료한다.
이상의 설명은 본 발명의 기술 사상을 예시적으로 설명한 것에 불과한 것으로, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 사람이라면 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 다양한 수정 및 변형이 가능할 것이다. 따라서, 본 발명에 개시된 실시예들은 본 발명의 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시예에 의하여 본 발명의 기술 사상의 범위가 한정되는 것은 아니다. 본 발명의 보호 범위는 아래의 청구범위에 의하여 해석되어야 하며, 그와 동등한 범위 내에 있는 모든 기술 사상은 본 발명의 권리범위에 포함되는 것으로 해석되어야 할 것이다.
100 : 정상 프로그램 데이터베이스
200 : 검사대상 데이터베이스
300 : 악성코드 행위 분석기
310 : 흔한 행위 정보 추출기
320 : 샌드박스
330 : 로그 분석기
340 : 특징 행위 정보 추출기
400 : 변종 악성코드 탐지기
410 : 특징 행위 정보 질의기
420 : 부수적인 행위 비교부

Claims (10)

  1. 정상 프로그램에 대한 로그가 저장되어 있는 정상 프로그램 데이터베이스;
    임의의 시스템에서 특정기간 축적된 로그가 저장되는 검사대상 데이터베이스;
    상기 정상 프로그램 데이터베이스에 저장된 로그를 기반으로 악성코드 특징 행위 정보를 추출해내는 악성코드 행위 분석기; 및
    상기 악성코드 특징 행위 정보를 이용하여 상기 검사대상 데이터베이스로부터 변종 악성코드 흔적을 탐지하는 변종 악성코드 탐지기;를 포함하는 로그 기반 변종 악성 코드 탐지 시스템.
  2. 제 1항에 있어서,
    상기 악성코드 행위 분석기는
    상기 정상 프로그램 데이터베이스로부터 정상 프로그램들이 흔하게 수행하는 행위 정보를 추출하는 흔한 행위 정보 추출기;
    악성코드를 실제로 실행하여 악성코드의 행위가 기록된 로그를 생성하는 샌드박스;
    상기 샌드박스로부터 생성된 악성코드의 실행 로그를 분석하여 행위 대상이 있는 행위 유형과, 행위 대상이 없는 행위 유형을 분별하여 정보를 추출하는 로그 분석기; 및
    상기 악성코드를 다른 프로그램들과 구분할 수 있는 악성코드의 특징 행위 정보를 추출하는 특징 행위 정보 추출기;를 포함하는 로그 기반 변종 악성 코드 탐지 시스템.
  3. 제 2항에 있어서,
    상기 변종 악성코드 탐지기는
    상기 특징 행위 정보 추출기로부터 악성코드의 특징 행위 정보를 전달받아, 상기 검사대상 데이터베이스에 악성코드의 특징 행위 정보에 기초한 질의를 수행하여 유사한 기능을 수행하는 프로그램을 식별하는 특징 행위 정보 질의기; 및
    상기 특징 행위 정보 질의기를 통해 식별된 프로그램들에 대하여 악성코드와 부수적인 행위 발생 여부를 비교하여 오탐을 제거하는 부수적인 행위 비교부;를 포함하는 로그 기반 변종 악성 코드 탐지 시스템.
  4. 제 3항에 있어서,
    상기 특징 행위 정보 추출기는
    상기 로그 분석기로부터 전달받은 악성코드의 행위 정보로부터 흔한 행위 정보를 제외시켜 특징 행위 정보를 생성하는 로그 기반 변종 악성 코드 탐지 시스템.
  5. 제 4항에 있어서,
    상기 특징 행위 정보 질의기는
    전달받은 악성코드의 행위 유형별 특징 행위 정보를 이용해 특징 행위 정보에 1개라도 해당되는 프로그램을 식별하기 위한 질의를 수행하며, 이때 각 행위 유형별로 프로그램들이 식별되고 모든 행위 유형에 해당하는 프로그램만 최종 식별하는 로그 기반 변종 악성 코드 탐지 시스템.
  6. 제 5항에 있어서,
    상기 부수적인 행위 비교부는
    오탐을 제거하기 위해, 상기 특징 행위 정보 질의기에서 식별된 프로그램의 부수적인 행위 발생 유형과 악성코드의 부수적인 행위 발생 유형을 비교하여 두 프로그램 간의 변종 관계를 판단하는 로그 기반 변종 악성 코드 탐지 시스템.
  7. 제 6항에 있어서,
    상기 부수적인 행위 비교부는
    상기 식별된 프로그램과 악성코드의 부수적인 행위 유형별 발생 여부가 일치하면 변종으로 판정하고 일치하지 않으면 변종이 아닌 것으로 판정하는 로그 기반 변종 악성 코드 탐지 시스템.
  8. (a) 정상 프로그램 데이터베이스가 정상 프로그램에 대한 로그를 저장하는 단계;
    (b) 검사대상 데이터베이스가 임의의 시스템에서 특정기간 축적된 로그를 저장하는 단계;
    (c) 악성코드 행위 분석기가 상기 정상 프로그램 데이터베이스에 저장된 로그를 기반으로 악성코드 특징 행위 정보를 추출하는 단계; 및
    (d) 변종 악성코드 탐지기가 상기 악성코드 특징 행위 정보를 이용하여 상기 검사대상 데이터베이스로부터 변종 악성코드 흔적을 탐지하는 단계;를 포함하는 로그 기반 변종 악성 코드 탐지 방법.
  9. 제 8항에 있어서,
    상기 (c)단계는
    (c-1) 상기 흔한 행위 정보 추출기가 정상 프로그램 데이터베이스에 질의를 수행하여 정상 프로그램이 남긴 로그로부터 행위 대상과 이를 대상으로 삼는 프로그램의 빈도 쌍을 추출하여 이를 한 원소로 가지는 행위 대상 빈도 집합을 행위 유형별로 생성하는 단계;
    (c-2) 상기 흔한 행위 정보 추출기가 행위 대상 빈도 집합내의 원소를 1개 선택하여 해당 원소의 프로그램의 빈도와 임계값을 비교하는 단계;
    (c-3) 상기 (c-2)단계에서 프로그램의 빈도가 상기 임계값보다 큰 경우 상기 흔한 행위 정보 추출기가 임계값보다 큰 원소를 흔한 행위 대상 집합에 추가하는 단계;
    (c-4) 상기 (c-2)단계에서 프로그램의 빈도가 상기 임계값보다 작은 경우 상기 흔한 행위 정보 추출기가 행위 대상 집합에 처리할 원소가 남았는 지 확인하는 단계를 수행하고, 남았으면 (c-2)단계 이후의 과정을 반복수행하며, 남아있지 않으면 정상 프로그램의 흔한 행위 정보를 추출하는 단계를 종료하는 단계;
    (c-5) 상기 샌드박스가 악성코드를 실제로 실행하여 악성코드의 행위가 기록된 로그 파일을 생성하는 단계;
    (c-6) 상기 악성코드 행위 분석기의 로그분석기가 상기 로그 파일을 분석하여, 행위 대상이 있는 행위 유형과 행위 대상이 없는 행위 유형으로 분류하는 단계;
    (c-7) 상기 로그분석기가 행위 대상이 없는 행위 유형의 경우 행위 유형의 명칭에 대한 정보만 추출한 후 상기 부수적인 행위 비교부로 전달하고, 행위 대상이 있는 행위 유형의 경우 행위 유형과, 행위 대상에 대한 정보를 추출하여 악성코드의 행위 유형별 행위 대상 집합에 추가하는 단계; 및
    (c-8) 상기 특징 행위 정보 추출기가 상기 악성코드의 행위 대상 집합의 원소들 중 상기 흔한 행위 대상 집합에 있는 원소를 제외하고, 남은 원소들로 특징 행위 대상 집합을 생성하는 단계;를 포함하는 로그 기반 변종 악성 코드 탐지 방법.
  10. 제 8항에 있어서,
    상기 (d)단계는
    (d-1) 상기 특징 행위 정보 질의기가 악성코드의 행위 유형별 특징 행위 대상 집합을 이용해 집합 내의 원소 중 1개라도 행위의 대상으로 삼는 프로그램을 조회하는 질의문를 행위 유형별로 구성하는 단계;
    (d-2) 상기 특징 행위 정보 질의기가 모든 행위 유형에 조회되는 프로그램만 변종 의심 프로그램으로 식별하는 단계;
    (d-3) 상기 부수적인 행위 비교부가 상기 검사대상 프로그램 데이터베이스(200)에 식별된 프로그램의 명칭을 이용한 질의를 수행하여 부수적인 행위를 수집하는 단계;
    (d-4) 상기 부수적인 행위 비교부가 식별된 프로그램 중 하나를 선택하여 상기 로그 분석기로부터 전달받은 악성코드의 부수적 행위와 비교하는 단계;
    (d-5) 상기 부수적인 행위 비교부가 부수적 행위 유형에 대하여 악성코드와 식별된 프로그램이 발생시킨 행위 유형이 일치할 경우 변종으로 판정하고 일치하지 않을 경우 변종이 아닌 것으로 판정하는 단계; 및
    (d-6) 상기 부수적인 행위 비교부가 변종 관계를 판단한 후, 처리할 프로그램이 남았는지 확인하여, 처리할 프로그램이 없으면 변종 악성코드 흔적 탐지를 종료 하는 단계;를 포함하는 로그 기반 변종 악성 코드 탐지 방법.
KR1020190038455A 2019-04-02 2019-04-02 로그 기반 변종 악성 코드 탐지 시스템 및 그 방법 KR102201268B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020190038455A KR102201268B1 (ko) 2019-04-02 2019-04-02 로그 기반 변종 악성 코드 탐지 시스템 및 그 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020190038455A KR102201268B1 (ko) 2019-04-02 2019-04-02 로그 기반 변종 악성 코드 탐지 시스템 및 그 방법

Publications (2)

Publication Number Publication Date
KR20200116713A true KR20200116713A (ko) 2020-10-13
KR102201268B1 KR102201268B1 (ko) 2021-01-11

Family

ID=72884996

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020190038455A KR102201268B1 (ko) 2019-04-02 2019-04-02 로그 기반 변종 악성 코드 탐지 시스템 및 그 방법

Country Status (1)

Country Link
KR (1) KR102201268B1 (ko)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20130071617A (ko) * 2011-12-21 2013-07-01 한국인터넷진흥원 변종 악성 코드를 탐지하기 위한 시스템 및 방법
KR101589652B1 (ko) 2015-01-19 2016-01-28 한국인터넷진흥원 행위 기반 악성 코드 변종 탐지 조회 시스템 및 방법
KR20160119295A (ko) * 2015-04-02 2016-10-13 현대오토에버 주식회사 하둡 기반의 악성코드 탐지 방법과 시스템

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20130071617A (ko) * 2011-12-21 2013-07-01 한국인터넷진흥원 변종 악성 코드를 탐지하기 위한 시스템 및 방법
KR101589652B1 (ko) 2015-01-19 2016-01-28 한국인터넷진흥원 행위 기반 악성 코드 변종 탐지 조회 시스템 및 방법
KR20160119295A (ko) * 2015-04-02 2016-10-13 현대오토에버 주식회사 하둡 기반의 악성코드 탐지 방법과 시스템

Also Published As

Publication number Publication date
KR102201268B1 (ko) 2021-01-11

Similar Documents

Publication Publication Date Title
US8621624B2 (en) Apparatus and method for preventing anomaly of application program
JP4711949B2 (ja) マクロと実行可能なスクリプトにおいてマルウェアを検出する方法およびシステム
US9715588B2 (en) Method of detecting a malware based on a white list
EP2893447B1 (en) Systems and methods for automated memory and thread execution anomaly detection in a computer network
US9237161B2 (en) Malware detection and identification
US8181248B2 (en) System and method of detecting anomaly malicious code by using process behavior prediction technique
US9454658B2 (en) Malware detection using feature analysis
EP2228743B1 (en) Method for detecting new malicious executables, based on discovering and monitoring characteristic system call sequences
US20070152854A1 (en) Forgery detection using entropy modeling
US20150256552A1 (en) Imalicious code detection apparatus and method
US20200193031A1 (en) System and Method for an Automated Analysis of Operating System Samples, Crashes and Vulnerability Reproduction
US20200012793A1 (en) System and Method for An Automated Analysis of Operating System Samples
CN107004088B (zh) 确定装置、确定方法及记录介质
KR100991807B1 (ko) 마이크로소프트 윈도우 운영체제를 사용하는 컴퓨터시스템에서의 악성코드 탐지 및 처리 시스템 및 방법
KR101132197B1 (ko) 악성 코드 자동 판별 장치 및 방법
CN201477598U (zh) 终端木马监测装置
US20170277887A1 (en) Information processing apparatus, information processing method, and computer readable medium
CN109543408A (zh) 一种恶意软件识别方法和系统
CN109800569A (zh) 程序鉴别方法及装置
Vadrevu et al. Maxs: Scaling malware execution with sequential multi-hypothesis testing
KR101327740B1 (ko) 악성코드의 행동 패턴 수집장치 및 방법
CN108959922B (zh) 一种基于贝叶斯网的恶意文档检测方法及装置
CN107463493B (zh) 一种面向主机防病毒产品的测试系统和测试方法
KR102201268B1 (ko) 로그 기반 변종 악성 코드 탐지 시스템 및 그 방법
JP7235126B2 (ja) バックドア検査装置、バックドア検査方法、及びプログラム

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant