KR20200133644A - 악성 멀티미디어 파일을 분류하는 인공지능 기반 장치, 방법 및 그 방법을 수행하는 프로그램을 기록한 컴퓨터 판독 가능 기록매체 - Google Patents

악성 멀티미디어 파일을 분류하는 인공지능 기반 장치, 방법 및 그 방법을 수행하는 프로그램을 기록한 컴퓨터 판독 가능 기록매체 Download PDF

Info

Publication number
KR20200133644A
KR20200133644A KR1020190107941A KR20190107941A KR20200133644A KR 20200133644 A KR20200133644 A KR 20200133644A KR 1020190107941 A KR1020190107941 A KR 1020190107941A KR 20190107941 A KR20190107941 A KR 20190107941A KR 20200133644 A KR20200133644 A KR 20200133644A
Authority
KR
South Korea
Prior art keywords
active content
malicious
artificial intelligence
file
classification
Prior art date
Application number
KR1020190107941A
Other languages
English (en)
Other versions
KR102241859B1 (ko
Inventor
이상준
Original Assignee
(주)지란지교시큐리티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)지란지교시큐리티 filed Critical (주)지란지교시큐리티
Publication of KR20200133644A publication Critical patent/KR20200133644A/ko
Application granted granted Critical
Publication of KR102241859B1 publication Critical patent/KR102241859B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning

Landscapes

  • Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Evolutionary Computation (AREA)
  • Data Mining & Analysis (AREA)
  • Mathematical Physics (AREA)
  • Medical Informatics (AREA)
  • Health & Medical Sciences (AREA)
  • Computing Systems (AREA)
  • Artificial Intelligence (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Information Transfer Between Computers (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 악성 액티브 콘텐트 또는 악성 액티브 콘텐트 집합을 포함한 파일을 분류하는 인공지능 기반 장치, 방법 및 그 방법을 수행하는 프로그램을 기록한 컴퓨터 판독 가능 기록매체에 관한 것으로 멀티미디어 파일 내 액티브 콘텐트의 악성 여부를 검사함에 있어 알려지지 않은 신종 악성 위협에 별도의 작업 없이도 자동으로 대응할 수 있고, 탐지율을 높일 수 있는 기술을 제공하는 것을 목적으로 한다.
본 발명은 멀티미디어 파일을 수신하면 액티브 콘텐트를 추출하고 액티브 콘텐트 집합을 생성하며 전처리 과정을 거쳐 벡터데이터를 추출하고, 심층신경망에 학습데이터 및 결과값을 입력하는기계학습을 통해 생성된 인공지능 분류 모델에 벡터데이터를 입력하여 액티브 콘텐트의 악성 여부 분류하는 기술을 개시한다.
본 발명에 따르면 기존 솔루션으로는 신종 악성 위협에 대응하기 위해 수동으로 패턴 및 알고리즘을 변경하며 유지 보수할 필요가 있으나, 벡터데이터에 의해 학습된 인공지능에 의해 악성 여부를 분류하도록 함으로써, 제로데이 공격 등 신종 악성 위협에 별도 작업 없이도 자동으로 대응할 수 있어 유지 보수 비용 및 인력이 절감할 수 있고, 벡터데이터 등을 데이터베이스화하여 타 플랫폼에 공유하여 분류정확도 고도화에 기여할 수 있다.

Description

악성 멀티미디어 파일을 분류하는 인공지능 기반 장치, 방법 및 그 방법을 수행하는 프로그램을 기록한 컴퓨터 판독 가능 기록매체{ARTIFICIAL INTELLIGENCE BASED APPARATUS AND METHOD FOR CLASSIFYING MALICIOUS MULTIMEDIA FILE, AND COMPUTER READABLE RECORDING MEDIUM RECORDING PROGRAM FOR PERFORMING THE METHOD}
본 발명은 악성 액티브 콘텐트 또는 악성 액티브 콘텐트 집합을 포함한 파일을 분류하는 인공지능 기반 장치, 악성 액티브 콘텐트 또는 악성 액티브 콘텐트 집합을 포함한 파일을 분류하는 인공지능 기반 방법 및 그 방법을 수행하는 프로그램을 기록한 컴퓨터 판독 가능 기록매체에 관한 것이다.
악성코드는 컴퓨터 시스템에서 사용자의 의사에 반하여 악의적 활동이 수행될 수 있도록 설계된 소프트웨어로서, 자기 복제 능력과 감염 대상 유무에 따라 바이러스(virus), Worm, Trojanhorse 등으로 분류될 수 있다. 이러한 악성코드는 과거에 비해 그 수가 급격히 증가하는 추세인 바, 효과적인 악성코드 진단 및 치료의 필요성도 점점 더 커지고 있다.
최근에는 기업 및 개인의 보안인식이 높아지면서 기존의 실행파일 형태의 악성 위협 공격에 대한 성공률이 낮아지고 있으나, 이에 공격자들은 기존 종래기술과 같은 보안환경을 무력화시키거나, 우회하기 위하여 알려지지 않은 방식으로 지능화된 공격을 시도하고 있는 실정이다. 이러한 공격은 마이크로소프트 오피스 계열, 한글 계열 등의 문서파일과 같은 파일의 취약점을 이용하여 파일 내 악성코드를 삽입하는 공격까지 이루어지고 있다.
일반적인 사내 네트워크는 다수의 이용자에게 빈번하게 사용되기 때문에, 사용자에게 필요한 액티브 콘텐트 외에 악의적으로 심어진 바이러스나 랜섬웨어와 같은 각종 유해한 액티브 콘텐트나 코드 등(이하 '유해한 액티브 콘텐트'라 통칭함)은 사내 네트워크 내에서 매우 빠른 속도로 전염된다.
액티브 콘텐트들은 종종 사용자들에게 필요한 정보를 담은 멀티미디어 파일(예를 들면, 워드파일, PDF 문서, 그림파일, PPT 파일, 엑셀파일, 이미지파일 등)에 심어진 상태로 유통되면서 신속히 확산될 수 있다. 그래서 멀티미디어 파일에 대한 보안 시스템의 도입이 필요하다.
멀티미디어 파일은 주로 이메일, 웹사이트 다운로드, USB 메모리와 같은 기록매체, 사내 네트워크에 접속되어 있는 컴퓨터(개인용 PC나 스마트폰 또는 서버용 컴퓨터를 모두 포함함)로부터 유입될 수 있다. 이에 따라서 멀티미디어 파일의 수신 경로마다 최적화된 다양한 보안수단들이 구축되어 있다. 예를 들어, 이메일에 의한 수신 경로에는 스팸메일이나 악성코드를 가지는 메일 등을 처리하는 메일 보안수단이 구비되고, 웹사이트 다운로드에 따른 수신 경로에는 백신이 동작하며, 기록매체에 의한 수신 경로에는 매체제어수단이 구비된다. 그리고 컴퓨터간 수신 경로에는 망분리수단이 구비될 수 있다.
멀티미디어 파일에 액티브 콘텐트가 심어진 경우에, 백신은 액티브 콘텐트의 패턴 매칭을 통해 해당 액티브 콘텐트의 유해성 여부를 확인하였으나, 이러한 방법의 경우 변종이나 신종 악성 프로그램을 가려낼 수는 없었다.
또한, 멀티미디어 파일에 직접적으로 악성 프로그램이 포함되어 있지 않고 매크로 등을 이용하여 사용자가 해당 멀티미디어 파일을 열람할 시, 매크로에 의해 악성 프로그램을 다운로드하여 실행하게 되면 액티브 콘텐트는 해당 멀티미디어 파일의 정상적인 기능이므로 패턴 기반으로 해당 멀티미디어 파일의 유해성을 탐지하기가 어렵고, 이러한 공격은 매크로 코드의 조작만으로 새로운 형태가 되기 때문에 지속적으로 신규 위협으로 기능하므로, 패턴 매칭만으로는 대응하기가 어렵다. 또한, 샌드박스(sandbox) 기반의 행위분석 역시 악성코드가 포함된 파일이 한 번은 실행되어야 의심행위를 분석할 수 있기 때문에 제로데이(zero day) 공격, 랜섬웨어(ransomware) 공격 등은 막기 어렵다. 그리고, 특정 이벤트에서 실행되거나 지연실행 등의 우회 방법이 지속적으로 등장하고 있어, 알려진 악성코드 기반으로 방어하는 기존의 보안환경에 대한 문제가 계속적으로 언급되고 있는 실정이다. 그리고 일부의 랜섬웨어는 이메일 본문의 링크를 사용하여 백신이나 샌드박스를 우회하기도 하는 등 기존의 백신이나 샌드박스에 의한 보안이 무력화되고 있는 실정이다.
또한 공격 방법이 진화함에 따라 멀티미디어 파일 내 각각의 액티브 콘텐트는 악성이 아님에도, 멀티미디어 파일 내 모든 액티브 콘텐트가 함께 실행될 때 특수한 악의적 목적을 달성하는 경우도 있다.
한편, CDR(Content Disarm & Reconstruction)이라는 일종의 콘텐트 무해화 수단이 등장하였다. CDR은 멀티미디어 파일의 구조를 분석하여 액티브 콘텐트 영역을 추출하고, 이를 제거한 상태에서 해당 멀티미디어 파일을 수신자에게 전달한다. 그로 인해 사용자의 컴퓨터는 안전한 상태의 멀티미디어 파일을 수신할 수 있게 되었다.
이와 관련한 종래기술로는 등록특허 10-1851233호에 개시된 파일 내 포함된 악성 위협 탐지 장치에 관한 발명이 있다. 이는 악성코드 시그니처를 받아 악성 위협여부를 판별하고자 하는 파일에 대하여 기존에 공지된 악성 위협 포함 여부를 일차적으로 필터링하고, 필터링 되지 않은 파일은 액티브 콘텐트를 추출한 뒤 액티브 콘텐트의 유사성 분석을 통해 유사 액티브 콘텐트를 포함하는 파일별로 그룹화하며, 다수개의 파일 내 높은 빈도로 포함된 유사 액티브 콘텐트의 악성 여부 판별을 통해 악성으로 판별된 액티브 콘텐트를 포함하는 파일 및 해당 파일이 속한 그룹의 파일들을 악성 위협 파일로 판단하면서 해당 악성 위협을 새로운 악성코드 시그니처로 생성한다. 이때, 이렇게 생성된 새로운 악성코드 시그니처는 지속적으로 시그니처 저장부에 업데이트되어 알려진 악성 위협뿐만 아니라 알려지지 않은 악성 위협에 대한 위협정보를 구축하고, 악성 위협 탐지율을 높일 수 있는 효과가 있다.
다만 위와 같은 종래기술은 액티브 콘텐트의 유사성을 분석함에 있어서, 특정 패턴을 설정하고 이러한 패턴을 감지하는 알고리즘을 구성하는 점과 다시 신종악성 위협에 대응하기 위해 수동으로 패턴 및 알고리즘을 변경하며 유지 보수하는 점이 어려운 문제가 있었다.
본 발명은 멀티미디어 파일 내 액티브 콘텐트의 악성 여부를 검사함에 있어 알려지지 않은 신종 악성 위협에 별도의 작업 없이도 자동으로 대응할 수 있고, 탐지율을 높일 수 있는 기술을 제공하는 것을 목적으로 한다.
또한 본 발명은 멀티미디어 파일 내 액티브 콘텐트들이 함께 실행되면서 악의적 목적을 달성하는 신종의 악성 위협에 대처할 수 있는 기술을 제공하는 것을 그 목적으로 한다.
본 발명의 일 태양에 따른 악성 액티브 콘텐트를 포함한 파일을 분류하는 인공지능 기반 장치는 다양한 유입채널로부터 멀티미디어 파일을 통합적으로 수신하는 파일수신부; 상기 파일수신부에서 수신된 상기 멀티미디어 파일에서 액티브 콘텐트를 추출하는 액티브콘텐트추출부; 상기 액티브 콘텐트에서 기계학습에 필요한 특성을 선별적으로 추출하여 가공하는 전처리과정을 수행하여 벡터데이터를 생성하는 전처리부; 악성 여부가 사전에 분류된 샘플 액티브 콘텐트의 특성이 추출된 학습데이터 및 상기 샘플 액티브 콘텐트의 악성 여부에 대한 결과값을 이용하여 심층신경망을 기계학습시켜 인공지능 분류 모델을 생성하는 학습부; 및 상기 전처리부로부터 온 상기 벡터데이터가 상기 인공지능 분류 모델로 입력되면 상기 인공지능 분류모델이 출력하는 예측값에 따라 상기 액티브 콘텐트의 악성 여부를 예측하고, 그 악성 여부에 대한 예측분류정보를 생성하는 분류부;를 포함한다. 상기 학습부는 상기 심층신경망에 상기 학습데이터를 입력하여 출력값을 출력하고, 상기 결과값과 상기 출력값을 비교하여 오류를 계산하고, 상기 오류에 기초하여 상기 심층신경망의 가중치를 역전파방식으로 갱신함으로써 상기 인공지능 분류 모델을 생성하는 것을 특징으로 할 수 있다.
상기 전처리부는, 상기 액티브 콘텐트로부터 API시퀀스를 추출하는 API시퀀스추출부분; 상기 API시퀀스를 기구축된 딕셔너리로 매핑하여 바이너리로 변환하는 바이너리변환부분; 및 상기 바이너리를 가공하여 벡터데이터를 생성하는 벡터데이터생성부분;를 포함할 수 있다.
본 발명인 악성 액티브 콘텐트를 포함한 파일을 분류하는 인공지능 기반 장치는 악성 여부가 사전에 분류된 검증용 액티브 콘텐트를 이용하여 상기 인공지능분류 모델의 성능을 검증하기 위한 검증부를 더 포함하고, 상기 검증부는 상기 검증용 액티브 콘텐트의 특성이 추출된 검증데이터를 상기 인공지능 분류 모델에 입력하여 출력되는 분류값과 상기 검증데이터에 라벨링된 상기 검증용 액티브 콘텐트의 악성 여부에 대한 검증값을 비교하여 계산된 오차에 따라 상기 인공지능 분류 모델의 성능을 측정하여 모델성능정보를 생성할 수 있다. 상기 심층신경망은 컨벌루셔널 뉴럴 네트워크 구조를 포함할 수 있다.
상기 학습부는 상기 심층신경망을 학습사이클을 가지고 반복하여 기계학습시키되, 상기 학습사이클의 반복횟수는 상기 모델성능정보에 따라 결정될 수 있다.
본 발명인 악성 액티브 콘텐트를 포함한 파일을 분류하는 인공지능 기반 장치는 상기 분류부로부터 온 상기 분류예측정보를 사용자에게 제공하기 위한 보고부를 더 포함할 수 있다.
본 발명인 악성 액티브 콘텐트를 포함한 파일을 분류하는 인공지능 기반 장치는 상기 분류예측정보에 기초하여 해당 액티브 콘텐트를 무해화하기 위한 관리부를 더 포함할 수 있다.
본 발명인 악성 액티브 콘텐트를 포함한 파일을 분류하는 인공지능 기반 방법은 악성 여부가 사전에 분류된 샘플 액티브 콘텐트의 특성이 추출된 학습데이터 및 상기 샘플 액티브 콘텐트의 악성 여부에 대한 결과값을 이용하여 심층신경망을 기계학습시켜 인공지능 분류 모델을 생성하는 학습단계; 다양한 유입채널로부터 멀티미디어 파일을 통합적으로 수신하는 파일수신단계; 상기 파일수신단계에서 수신된 상기 멀티미디어 파일에서 액티브 콘텐트를 추출하는 액티브콘텐트추출단계; 상기 액티브 콘텐트에서 기계학습에 필요한 특성을 선별적으로 추출하여 가공하는 전처리과정을 수행하여 벡터데이터를 생성하는 전처리단계; 및 상기 전처리단계로부터 온 상기 벡터데이터가 상기 인공지능 분류 모델로 입력되면 상기 인공지능 분류모델이 출력하는 예측값에 따라 상기 액티브 콘텐트의 악성 여부를 예측하고, 그 악성 여부에 대한 예측분류정보를 생성하는 분류단계;를 포함한다.
아울러, 이러한 목적을 달성하기 위하여 본 발명의 일 태양에 따른 컴퓨터 판독 가능 기록매체에는 상술한 방법을 수행하는 프로그램을 기록되어 있다.
본 발명의 또 다른 태양에 따른 악성 멀티미디어 파일을 분류하는 인공지능 기반 장치는: 다양한 유입채널로부터 멀티미디어 파일을 수신하는 파일수신부; 상기 파일수신부에서 수신된 상기 멀티미디어 파일에 포함된 적어도 하나의 액티브 콘텐트를 추출하여 상기 멀티미디어 파일에 대한 액티브 콘텐트 집합을 생성하는 액티브콘텐트집합생성부; 상기 액티브 콘텐트 집합에서 기계학습에 필요한 특성을 선별적으로 추출하여 가공하는 전처리과정을 수행하여 벡터데이터를 생성하는 전처리부; 악성 여부가 사전에 분류된 샘플 액티브 콘텐트 집합의 특성이 추출된 학습데이터 및 상기 샘플 액티브 콘텐트 집합의 악성 여부에 대한 결과값을 이용하여 심층신경망을 기계학습시켜 인공지능 분류 모델을 생성하는 학습부; 및 상기 전처리부로부터 온 상기 벡터데이터가 상기 인공지능 분류 모델로 입력되면 상기 인공지능 분류 모델이 출력하는 예측값에 따라 상기 액티브 콘텐트 집합의 악성 여부를 예측하고, 그 악성 여부에 대한 예측분류정보를 생성하는 분류부를 포함할 수 있다.
또한, 상기 학습부는 상기 심층신경망에 상기 학습데이터를 입력하여 출력값을 출력하고, 상기 결과값과 상기 출력값을 비교하여 오류를 계산하고, 상기 오류에 기초하여 상기 심층신경망의 가중치를 역전파방식으로 갱신함으로써 상기 인공지능 분류 모델을 생성할 수 있다.
본 발명은 악성 여부가 사전에 분류된 검증용 액티브 콘텐트 집합을 이용하여 상기 인공지능 분류 모델의 성능을 검증하기 위한 검증부를 더 포함하고, 상기 검증부는 상기 검증용 액티브 콘텐트 집합의 특성이 추출된 검증데이터를 상기 인공지능 분류 모델에 입력하여 출력되는 분류값과 상기 검증데이터에 라벨링된 상기 검증용 액티브 콘텐트 집합의 악성 여부에 대한 검증값을 비교하여 계산된 오차에 따라 상기 인공지능 분류 모델의 성능을 측정하여 모델성능정보를 생성할 수 있다.
상기 학습부는 상기 심층신경망을 학습사이클을 가지고 반복하여 기계학습시키되, 상기 학습사이클의 반복횟수는 상기 모델성능정보에 따라 결정될 수 있다.
본 발명은 상기 예측분류정보에 기초하여 해당 액티브 콘텐트 집합을 무해화하기 위한 관리부를 더 포함할 수 있다.
본 발명의 또 다른 태양에 따른 악성 멀티미디어 파일을 분류하는 인공지능 기반 방법은: 악성 여부가 사전에 분류된 샘플 액티브 콘텐트 집합의 특성이 추출된 학습데이터 및 상기 샘플 액티브 콘텐트 집합의 악성 여부에 대한 결과값을 이용하여 심층신경망을 기계학습시켜 인공지능 분류 모델을 생성하는 학습단계; 다양한 유입채널로부터 멀티미디어 파일을 수신하는 파일수신단계; 상기 파일수신단계에서 수신된 상기 멀티미디어 파일에 포함된 적어도 하나의 액티브 콘텐트를 추출하여 액티브 콘텐트 집합을 생성하는 액티브콘텐트집합생성단계; 상기 액티브 콘텐트 집합에서 기계학습에 필요한 특성을 선별적으로 추출하여 가공하는 전처리과정을 수행하여 벡터데이터를 생성하는 전처리단계; 및 상기 전처리단계로부터 온 상기 벡터데이터가 상기 인공지능 분류 모델로 입력되면 상기 인공지능 분류 모델이 출력하는 예측값에 따라 상기 액티브 콘텐트 집합의 악성 여부를 예측하고, 그 악성 여부에 대한 예측분류정보를 생성하는 분류단계를 포함할 수 있다.
또한 본 발명의 또 다른 태양에 따른 컴퓨터 판독 가능 기록매체에는 상술한 방법을 수행하는 프로그램이 기록되어 있다.
본 발명에 따르면 다음과 같은 효과가 있다.
첫째, 기존 솔루션으로는 신종 악성 위협에 대응하기 위해 수동으로 패턴 및 알고리즘을 변경하며 유지 보수할 필요가 있으나, 벡터데이터에 의해 학습된 인공지능에 의해 검사하도록 함으로써, 제로데이 공격 등 신종 악성 위협에 별도 작업 없이도 자동으로 대응할 수 있어 유지 보수 비용 및 인력이 절감할 수 있다.
둘째, 본 발명에서 생성한 벡터데이터를 데이터베이스화하여 타 플랫폼에 공유하여 검사 정확도 고도화에 기여할 수 있다.
셋째, 멀티미디어 파일에 포함된 액티브 콘텐트 집합에 기초하여 파일의 악성 여부를 분류함으로써 개별 악성 액티브 콘텐트 탐지만으로 발견하지 못했던 신종의 악성 위협에 대처할 수 있다.
도 1은 본 발명의 일 실시예인 컨볼루션 뉴럴 네트워크에 대한 개념도이다.
도 2는 본 발명의 일 실시예인 악성 액티브 콘텐트를 포함한 파일을 분류하는 인공지능 기반 시스템에 대한 도식도이다.
도 3은 본 발명의 일 실시예인 악성 액티브 콘텐트를 포함한 파일을 분류하는 인공지능 기반 장치에 대한 도식도이다.
도 4는 본 발명의 일 실시예인 악성 액티브 콘텐트를 포함한 파일을 분류하는 인공지능 기반 장치의 전처리부에 대한 도식도이다.
도 5는 본 발명의 일 실시예인 악성 액티브 콘텐트를 포함한 파일을 분류하는 인공지능 기반 장치의 전처리부에서 수행되는 과정에 대한 개념도이다.
도 6은 본 발명의 일 실시예인 악성 액티브 콘텐트를 포함한 파일을 분류하는 인공지능 기반 방법에 대한 순서도이다.
도 7은 다수의 액티브 콘텐트를 포함하는 멀티미디어 파일을 예시한다.
도 8은 본 발명의 또 다른 실시예에 따른 악성 액티브 콘텐트 집합을 포함한 파일을 분류하는 인공지능 기반 장치에 대한 도식도이다.
도 9는 본 발명의 또 다른 실시예에 따른 악성 액티브 콘텐트 집합을 포함한 파일을 분류하는 인공지능 기반 방법에 대한 순서도이다.
본 발명의 바람직한 실시예에 대하여 더 구체적으로 설명하되, 이미 주지된 기술적 부분에 대해서는 설명의 간결함을 위해 생략하거나 압축하기로 한다.
본 명세서에서 사용되는 용어 "장치" "부", "수단", "시스템" "기능" 등은 컴퓨터-관련 엔티티, 하드웨어, 펌웨어, 소프트웨어, 소프트웨어 및 하드웨어의 조합, 또는 소프트웨어의 실행을 지칭한다. 예를 들어, "기능"은 프로세서 상에서 실행되는 처리과정(procedure), 프로세서, 객체, 실행 스레드, 프로그램, 및/또는 컴퓨터일 수 있지만, 이들로 제한되는 것은 아니다. 예를 들어, 컴퓨팅 장치에서 실행되는 애플리케이션 및 컴퓨팅 장치 모두 기능일 수 있다. 하나 이상의 기능은 프로세서 및/또는 실행 스레드 내에 상주할 수 있다. 일 기능은 하나의 컴퓨터 내에 로컬화 될 수 있다. 일 기능은 2개 이상의 컴퓨터들 사이에 분배될 수 있다. 또한, 이러한 기능들은 그 내부에 저장된 다양한 데이터 구조들을 갖는 다양한 컴퓨터 판독가능한 매체로부터 실행할 수 있다. 기능들은 예를 들어 하나 이상의 데이터 패킷들을 갖는 신호(예를 들면, 로컬 시스템, 분산 시스템에서 다른 기능들과 상호작용하는 하나의 기능으로부터의 데이터 및/또는 신호를 통해 다른 시스템과 인터넷과 같은 네트워크를 통해 전송되는 데이터)에 따라 로컬 및/또는 원격 처리들을 통해 통신할 수 있다.
더불어, 용어 "또는"은 배타적 "또는"이 아니라 내포적 "또는"을 의미하는 것으로 의도된다. 즉, 달리 특정되지 않거나 문맥상 명확하지 않은 경우에, "X는 A 또는 B를 이용한다"는 자연적인 내포적 치환 중 하나를 의미하는 것으로 의도된다. 즉, X가 A를 이용하거나; X가 B를 이용하거나; 또는 X가 A 및 B 모두를 이용하는 경우, "X는 A 또는 B를 이용한다"가 이들 경우들 어느 것으로도 적용될 수 있다. 또한, 본 명세서에 사용된 "및/또는"이라는 용어는 열거된 관련 아이템들 중 하나 이상의 아이템의 가능한 모든 조합을 지칭하고 포함하는 것으로 이해되어야 한다.
당업자들은 추가적으로 여기서 개시된 실시예들과 관련되어 설명된 다양한 예시적 논리적 블록들, 구성들, 모듈들, 회로들, 수단들, 로직들, 및 알고리즘 단계들이 전자 하드웨어, 컴퓨터 소프트웨어, 또는 양쪽 모두의 조합들로 구현될 수 있음을 인식해야 한다. 하드웨어 및 소프트웨어의 상호교환성을 명백하게 예시하기 위해, 다양한 예시적 컴포넌트들, 블록들, 구성들, 수단들, 로직들, 모듈들, 회로들, 및 단계들은 그들의 기능성 측면에서 일반적으로 위에서 설명되었다. 그러한 기능성이 하드웨어로 또는 소프트웨어로서 구현되는지 여부는 전반적인 시스템에 부과된 특정 어플리케이션(application) 및 설계 제한들에 달려 있다. 숙련된 기술자들은 각각의 특정 어플리케이션들을 위해 다양한 방법들로 설명된 기능성을 구현할 수 있다. 다만, 그러한 구현의 결정들이 본 개시내용의 영역을 벗어나게 하는 것으로 해석되어서는 안된다.
본 발명의 악성 액티브 콘텐트를 포함한 파일을 분류하는 인공지능 기반 시스템에 포함되는 컴퓨터 장치, 악성 액티브 콘텐트를 포함한 파일을 분류하는 인공지능 기반 장치를 구현하는 컴퓨터 장치 또는 악성 액티브 콘텐트를 포함한 파일을 분류하는 인공지능 기반 방법을 수행하는 프로그램을 판독하는 컴퓨터 장치에 있어서, 컴퓨터 장치의 프로세서는 하나 이상의 코어로 구성될 수 있으며, 컴퓨팅 장치의 중앙 처리 장치(CPU: central processing unit), 범용 그래픽 처리 장치 (GPGPU: general purpose graphics processing unit), 텐서 처리 장치(TPU: tensor processing unit), 모바일 단말의 어플리케이션 프로세서(AP: application processor)등의 데이터 분석, 딥러닝을 위한 모든 종류의 프로세서를 포함할 수 있다. 프로세서는 메모리에 저장된 컴퓨터 프로그램을 판독하여 본 발명의 일 실시예에 따른 악성 액티브 콘텐트를 포함한 파일을 분류하는 인공지능 기반 방법을 수행할 수 있다.
본 명세서에 걸쳐, 심층신경망, 네트워크 함수, 뉴럴 네트워크(neural network)는 동일한 의미로 사용될 수 있다.
본 발명의 일 실시예에 따라 프로세서는 심층신경망의 학습을 위한 계산을 수행할 수 있다. 프로세서는 딥러닝(DN: deeplearning)에서 학습을 위한 입력 데이터의 처리, 입력 데이터에서의 특성(피처(feature)) 추출, 오차 계산, 역전파(backpropagation)를 이용한 심층신경망의 가중치 갱신 등의 심층신경망의 학습을 위한 계산을 수행할 수 있다. 프로세서의 CPU, GPGPU, 및 TPU 중 적어도 하나가 네트워크 함수의 학습을 처리할 수 있다. 예를 들어, CPU와 GPGPU가 함께 네트워크 함수의 학습, 네트워크 함수를 이용한 데이터 분류를 처리할 수 있다. 또한, 본 발명의 일 실시예에서 복수의 컴퓨팅 장치의 프로세서를 함께 사용하여 네트워크 함수의 학습, 네트워크 함수를 이용한 데이터 분석을 처리할 수 있다. 또한, 본 발명의 일 실시예에 따른 컴퓨팅 장치에서 수행되는 컴퓨터 프로그램은 CPU, GPGPU, TPU 또는 AP 실행가능 프로그램일 수 있다.
상술한 컴퓨팅 장치는 CPU, GPGPU, TPU 및 AP 중 적어도 하나를 이용하여 네트워크 함수를 분산하여 처리할 수 있다. 또한 본 발명의 일 실시예에서 컴퓨팅 장치는 다른 컴퓨팅 장치와 함께 네트워크 함수를 분산하여 처리할 수 있다.
본 발명의 일 실시예에서 인공지능 분류 모델을 이용하여 분류되는 액티브 콘텐트를 포함하는 멀티미디어 파일은 컴퓨팅 장치의 저장 매체에 저장된 파일 및/또는 통신 모듈에 의하여 데이터 베이스 등 다른 컴퓨팅 장치로부터 전송된 파일일 수 있다. 또한 본 발명의 일 실시예에서 인공지능 분류 모델을 이용하여 분류되는 액티브 콘텐트를 포함하는 멀티미디어 파일은 컴퓨터 판독가능 저장 매체(예를 들어, 플래시 메모리 등을 포함할 수 있으나 본 발명는 이에 제한되지 않음)에 저장된 파일일 수 있다. 컴퓨팅 장치는 입출력 인터페이스(미도시)를 통해 컴퓨터 판독가능 저장 매체에 저장된 파일을 입력 받을 수 있다.
즉, 본 발명의 일 실시예들은 컴퓨팅 장치를 이용하여 멀티미디어 파일을 수신하고, 사전 학습된 심층신경망을 통해 생성한 인공지능 분류 모델에 벡터데이터를 입력하여 출력된 예측값을 통해 해당 멀티미디어 파일 및 그에 포함된 액티브 콘텐트의 악성 여부를 예측할 수 있다.
메모리는 본 발명의 일 실시예에 따른 방법을 수행하기 위한 컴퓨터 프로그램을 저장할 수 있으며, 저장된 컴퓨터 프로그램은 프로세서(110)에 의하여 판독되어 구동될 수 있다.
본 발명의 일실시예에서 이용되는 컴퓨팅 장치상의 통신 모듈은 본 발명을 실시하기 위한 데이터 등을 다른 컴퓨팅 장치, 서버 등과 송수신할 수 있다. 통신 모듈은 학습데이터, 결과값, 벡터데이터, 예측값 등 본 발명의 실시예에 필요한 데이터들을 다른 컴퓨팅 장치, 서버 등과 송수신할 수 있다. 예를 들어, 통신 모듈은 인공지능 분류 모델을 다른 컴퓨팅 장치, 서버 등으로부터 수신할 수 있다. 통신 모듈은 학습데이터, 결과값 등이 저장된 데이터베이스 등에서 학습데이터 등을 수신할 수 있다. 또한, 통신 모듈은 복수의 컴퓨팅 장치 사이의 통신을 가능하게 하여 복수의 컴퓨팅 장치 각각에서 네트워크 함수의 학습이 분산 수행되도록 할 수 있다. 통신 모듈은 복수의 컴퓨팅 장치 사이의 통신을 가능하게 하여 네트워크 함수를 사용한 데이터 처리를 분산 처리할 수 있도록 할 수 있다.
<심층신경망 내지 인공지능 분류 모델에 대한 설명 >
본 명세서에 걸쳐 신경망, 심층신경망, 네트워크 함수, 뉴럴 네트워크(neural network)는 동일한 의미로 사용될 수 있다. 신경망은 일반적으로 “노드”라 지칭될 수 있는 상호 연결된 계산 단위들의 집합으로 구성될 수 있다. 이러한 “노드”들은 “뉴런(neuron)”들로 지칭될 수도 있다. 신경망은 적어도 하나 이상의 노드들을 포함하여 구성된다. 신경망들을 구성하는 노드(또는 뉴런)들은 하나 이상의“링크”에 의해 상호 연결될 수 있다.
신경망 내에서, 링크를 통해 연결된 하나 이상의 노드들은 상대적으로 입력 노드 및 출력 노드의 관계를 형성할 수 있다. 입력 노드 및 출력 노드의 개념은 상대적인 것으로서, 하나의 노드에 대하여 출력 노드 관계에 있는 임의의 노드는 다른 노드와의 관계에서 입력 노드 관계에 있을 수 있으며, 그 역도 성립할 수 있다. 상술한 바와 같이, 입력 노드 대 출력 노드 관계는 링크를 중심으로 생성될 수 있다. 하나의 입력 노드에 하나 이상의 출력 노드가 링크를 통해 연결될 수 있으며, 그 역도 성립할 수 있다.
하나의 링크를 통해 연결된 입력 노드 및 출력 노드 관계에서, 출력 노드는 입력 노드에 입력된 데이터에 기초하여 그 값이 결정될 수 있다. 여기서 입력 노드와 출력 노드를 상호 연결하는 노드는 가중치(weight)를 가질 수 있다. 가중치는 가변적일 수 있으며, 신경망이 원하는 기능을 수행하기 위해, 사용자 또는 알고리즘에 의해 가변될 수 있다. 예를 들어, 하나의 출력 노드에 하나 이상의 입력 노드가 각각의 링크에 의해 상호 연결된 경우, 출력 노드는 상기 출력 노드와 연결된 입력 노드들에 입력된 값들 및 각각의 입력 노드들에 대응하는 링크에 설정된 가중치에 기초하여 출력 노드 값을 결정할 수 있다.
상술한 바와 같이, 신경망은 하나 이상의 노드들이 하나 이상의 링크를 통해 상호 연결되어 신경망 내에서 입력노드 및 출력 노드 관계를 형성한다. 신경망 내에서 노드들과 링크들의 개수 및 노드들과 링크들 사이의 연관관계, 링크들 각각에 부여된 가중치의 값에 따라, 신경망의 특성이 결정될 수 있다. 예를 들어, 동일한 개수의 노드 및 링크들이 존재하고, 링크들 사이의 가중치 값이 상이한 두 신경망이 존재하는 경우, 두 개의 신경망들은 서로 상이한 것으로 인식될 수 있다.
신경망은 하나 이상의 노드들을 포함하여 구성될 수 있다. 신경망을 구성하는 노드들 중 일부는, 최초 입력 노드로부터의 거리들에 기초하여, 하나의 레이어(layer)를 구성할 수 있다, 예를 들어, 최초 입력 노드로부터 거리가 n인 노드들의 집합은, n 레이어를 구성할 수 있다. 최초 입력 노드로부터 거리는, 최초 입력 노드로부터 해당 노드까지 도달하기 위해 거쳐야 하는 링크들의 최소 개수에 의해 정의될 수 있다. 그러나, 이러한 레이어의 정의는 설명을 위한 임의적인 것으로서, 신경망 내에서 레이어의 차수는 상술한 것과 상이한 방법으로 정의될 수 있다. 예를 들어, 노드들의 레이어는 최종 출력 노드로부터 거리에 의해 정의될 수도 있다.
최초 입력 노드는 신경망 내의 노드들 중 다른 노드들과의 관계에서 링크를 거치지 않고 데이터가 직접 입력되는 하나 이상의 노드들을 의미할 수 있다. 또는, 신경망 네트워크 내에서, 링크를 기준으로 한 노드 간의 관계에 있어서, 링크로 연결된 다른 입력 노드를 가지지 않는 노드들을 의미할 수 있다. 이와 유사하게, 최종 출력노드는 신경망 내의 노드들 중 다른 노드들과의 관계에서, 출력 노드를 가지지 않는 하나 이상의 노드들을 의미할 수 있다. 또한, 히든 노드는 최초 입력 노드 및 최후 출력 노드가 아닌 신경망을 구성하는 노드들을 의미할 수 있다. 본 발명의 일 실시예에 따른 신경망은 입력 레이어의 노드의 개수가 출력 레이어의 노드의 개수와 동일할 수 있으며, 입력 레이어에서 히든 레이어로 진행됨에 따라 노드의 수가 감소하다가 다시 증가하는 형태의 신경망일 수 있다. 또한, 본 발명의 다른 일 실시예에 따른 신경망은 입력 레이어의 노드의 개수가 출력 레이어의 노드의 개수보다 적을 수 있으며, 입력 레이어에서 히든 레이어로 진행됨에 따라 노드의 수가 감소하는 형태의 신경망일 수 있다. 또한, 본 발명의 또 다른 일 실시예에 따른 신경망은 입력 레이어의 노드의 개수가 출력 레이어의 노드의 개수보다 많을 수 있으며, 입력 레이어에서 히든 레이어로 진행됨에 따라 노드의 수가 증가하는 형태의 신경망일 수 있다. 본 발명의 또 다른 일 실시예에 따른 신경망은 상술한 신경망들의 조합된 형태의 신경망일 수 있다.
딥 뉴럴 네트워크(DNN: deep neural network, 심층신경망)는 입력 레이어와 출력 레이어 외에 복수의 히든 레이어를 포함하는 신경망을 의미할 수 있다. 딥 뉴럴 네트워크를 이용하면 데이터의 잠재적인 구조(latent structure)를 파악할 수 있다. 즉, 사진, 글, 비디오, 음성, 음악의 잠재적인 구조(예를 들어, 어떤 물체가 사진에 있는지, 글의 내용과 감정이 무엇인지, 음성의 내용과 감정이 무엇인지 등)를 파악할 수 있다. 딥 뉴럴 네트워크는 컨벌루셔널 뉴럴 네트워크(CNN: convolutional neural network), 리커런트 뉴럴 네트워크(RNN:recurrentneural network), 오토 인코더(auto encoder), GAN(Generative Adversarial Networks), 제한 볼츠만 머신(RBM: restricted boltzmann machine), 심층 신뢰 네트워크(DBN: deep belief network), Q 네트워크, U 네트워크, 샴 네트워크 등을 포함할 수 있다. 전술한 딥 뉴럴 네트워크의 기재는 예시일 뿐이며 본 발명는 이에 제한되지 않는다.
본 발명의 일 실시예에서 네트워크 함수는 오토 인코더를 포함할 수도 있다. 오토 인코더는 입력 데이터와 유사한 출력 데이터를 출력하기 위한 인공 신경망의 일종일 수 있다. 오토 인코더는 적어도 하나의 히든 레이어를 포함할 수 있으며, 홀수 개의 히든 레이어가 입출력 레이어 사이에 배치될 수 있다. 각각의 레이어의 노드의 수는 입력 레이어의 노드의 수에서 병목 레이어(인코딩)라는 중간 레이어에서 축소되었다가, 병목 레이어에서 출력 레이어(입력 레이어와 대칭)로 축소와 대칭되어 확장될 수도 있다. 차원 감소 레이어와 차원 복원 레이어의노드는 대칭일 수도 있고 아닐 수도 있다. 오토 인코더는 비선형 차원 감소를 수행할 수 있다. 입력 레이어 및 출력 레이어의 노드의 수는 입력 데이터의 전처리 이후에 남은 픽셀들의 수와 대응될 수 있다. 오토 인코더 구조에서 인코더에 포함된 히든 레이어의 노드의 수는 입력 레이어에서 멀어질수록 감소하는 구조를 가질 수 있다. 병목 레이어(인코더와 디코더 사이에 위치하는 가장 적은 노드를 가진 레이어)의 노드의 수는 너무 적은 경우 충분한 양의 정보가 전달되지 않을 수 있으므로, 특정 수 이상(예를 들어, 입력 레이어의 절반 이상 등)으로 유지될 수도 있다.
뉴럴 네트워크는 교사 학습(supervised learning), 비교사 학습(unsupervised learning), 및 반교사학습(semi supervised learning) 중 적어도 하나의 방식으로 학습될 수 있다. 뉴럴 네트워크의 학습은 출력의 오류를 최소화하기 위한 것이다. 뉴럴 네트워크의 학습에서 반복적으로 학습데이터를 뉴럴 네트워크에 입력시키고 학습데이터에 대한 뉴럴 네트워크의 출력인 출력값과 학습데이터에 레이블링되어 있는 결과값 간의 오차(에러)를 계산하고, 에러를 줄이기 위한 방향으로 뉴럴 네트워크의 에러를 뉴럴 네트워크의 출력 레이어에서부터 입력 레이어 방향으로 역전파(backpropagation)하여 뉴럴 네트워크의 각 노드의 가중치를 갱신(업데이트) 하는 과정이다. 교사 학습의 경우 각각의 학습데이터에 정답인 결과값이 라벨링되어 있는 학습데이터를 사용하며(즉, 라벨링된 학습데이터), 비교사 학습의 경우는 각각의 학습데이터에 정답이 라벨링되어 있지 않을 수 있다. 즉, 예를 들어 데이터 분류에 관한 교사 학습의 경우의 학습데이터는 학습데이터 각각에 카테고리가 라벨링된 데이터 일 수 있다. 라벨링된 학습데이터가 뉴럴 네트워크에 입력되고, 뉴럴 네트워크의 출력(카테고리)과 학습데이터의 라벨이 비교되어짐으로써 오차(error)가 계산될 수 있다. 다른 예로, 데이터 분류에 관한 비교사 학습의 경우 입력인 학습데이터가 뉴럴 네트워크 출력과 비교됨으로써 오류가 계산될 수 있다. 계산된 오류는 뉴럴 네트워크에서 역방향(즉, 출력 레이어에서 입력 레이어 방향)으로 역전파 되며, 역전파에 따라 뉴럴 네트워크의 각 레이어의 각 노드들의 연결 가중치가 업데이트 될 수 있다. 업데이트 되는 각 노드의 연결 가중치는 학습률(learning rate)에 따라 변화량이 결정될 수 있다. 입력 데이터에 대한 뉴럴 네트워크의 계산과 에러의 역전파는 학습 사이클(epoch)을 구성할 수 있다. 학습률은 뉴럴 네트워크의 학습사이클의 반복 횟수에 따라 상이하게 적용될 수 있다. 예를 들어, 뉴럴 네트워크의 학습 초기에는 높은 학습률을 사용하여 뉴럴 네트워크가 빠르게 일정 수준의 성능을 확보하도록 하여 효율성을 높이고, 학습 후기에는 낮은 학습률을 사용하여 정확도를 높일 수 있다.
뉴럴 네트워크의 학습에서 일반적으로 학습데이터는 실제 데이터(즉, 학습된 뉴럴 네트워크를 이용하여 처리하고자 하는 데이터)의 부분집합일 수 있으며, 따라서, 학습데이터에 대한 오류는 감소하나 실제 데이터에 대해서는 오류가 증가하는 학습 사이클이 존재할 수 있다. 과적합(overfitting)은 이와 같이 학습데이터에 과하게 학습하여 실제 데이터에 대한 오류가 증가하는 현상이다. 예를 들어, 노란색 고양이를 보여 고양이를 학습한 뉴럴 네트워크가 노란색 이외의 고양이를 보고는 고양이임을 인식하지 못하는 현상이 과적합의 일종일 수 있다.
과적합은 기계학습(머신러닝) 알고리즘의 오류를 증가시키는 원인으로 작용할 수 있다. 이러한 과적합을 막기 위하여 다양한 최적화 방법이 사용될 수 있다. 과적합을 막기 위해서는 학습데이터를 증가시키거나, 레귤라이제이션(regulaization), 학습의 과정에서 네트워크의 노드 일부를 생략하는 드롭아웃(dropout) 등의 방법이 적용될 수 있다.
도 1에 도시된 컨벌루셔널 뉴럴 네트워크(CNN: convolutional neural network)는 딥 뉴럴 네트워크의 일종으로서, 컨벌루셔널 레이어를 포함하는 신경망을 포함한다. 컨벌루셔널 뉴럴 네트워크는 최소한의 전처리(preprocess)를 사용하도록 설계된 다계층 퍼셉트론(multilayer perceptorns)의 한 종류이다. CNN은 하나 또는 여러개의 컨벌루셔널 레이어와 이와 결합된 인공 신경망 계층들로 구성될 수 있으며, 가중치와 풀링 레이어(pooling layer)들을 추가로 활용할 수 있다. 이러한 구조 덕분에 CNN은 2 차원 구조의 입력 데이터를 충분히 활용할 수 있다. 컨벌루셔널 뉴럴 네트워크는 일반적으로 이미지 등에서 오브젝트를 인식하기 위하여 사용될 수 있다. 컨벌루셔널 뉴럴 네트워크는 데이터를 차원을 가진 행렬로 나타내어 처리할 수 있다. 예를 들어 RGB(redgreen-blue)로 인코딩된 이미지 데이터의 경우, R, G, B 색상별로 각각 2차원(예를 들어, 2 차원 이미지인 경우) 행렬로 나타내 질 수 있다. 즉, 이미지 데이터의 각 픽셀의 색상값이 행렬의 성분이 될 수 있으며 행렬의 크기는 이미지의 크기와 같을 수 있다. 따라서 이미지 데이터는 3개의 2차원 행렬로(3차원의 데이터 어레이)로 나타낼 수 있다.
컨벌루셔널 뉴럴 네트워크에서 컨벌루셔널 필터를 이동해가며 컨벌루셔널 필터와 벡터형식 데이터의 각 위치에서의 행렬 성분끼리 곱하는 것으로 컨벌루셔널 과정(컨벌루셔널 레이어의 입출력)을 수행할 수 있다. 컨벌루셔널 필터는 n*n 형태의 행렬로 구성될 수 있으며, 일반적으로 벡터 형식 데이터가 이미지인 경우, 이미지의 전체 픽셀의 수보다 작은 고정된 형태의 필터로 구성될 수 있다. 즉, m*m 이미지를 컨벌루셔널 레이어(예를 들어, 컨벌루셔널 필터의 사이즈가 n*n인 컨벌루셔널 레이어)에 입력시키는 경우, 이미지의 각 픽셀을 포함하는 n*n 픽셀을 나타내는 행렬이 컨벌루셔널 필터와의 성분곱(즉, 행렬의 각 성분끼리의 곱)이 될 수 있다. 컨벌루셔널 필터와의 곱에 의하여 이미지에서 컨벌루셔널 필터와 매칭되는 성분이 추출될 수 있다. 예를 들어, 이미지에서 상하 직선 성분을 추출하기 위한 3*3 컨벌루셔널 필터는 [[0,1,0],[0,1,0],[0,1,0]] 와 같이 구성될 수 있으며, 이러한 컨벌루셔널 필터가 입력 이미지에 적용되면 이미지에서 컨벌루셔널 필터와 매칭되는 상하 직선 성분이 추출되어 출력될 수 있다. 컨벌루셔널 레이어는 이미지를 나타낸 각각의 채널에 대한 각각의 행렬(즉, R, G, B 코딩 이미지의 경우, R, G, B 색상)에 컨벌루셔널 필터를 적용할 수 있다. 컨벌루셔널 레이어는 입력 이미지에 컨벌루셔널 필터를 적용하여 입력 이미지에서 컨벌루셔널 필터와 매칭되는 피처를 추출할 수 있다. 컨벌루셔널 필터의 필터 값(즉, 행렬의 각 성분의 값)은 컨벌루셔널 뉴럴 네트워크의 학습 과정에서 역전파(back propagation)에 의하여 업데이트 될 수 있다.
컨벌루셔널 레이어의 출력에는 서브샘플링 레이어가 연결되어 컨벌루셔널 레이어의 출력을 단순화하여 메모리 사용량과 연산량을 줄일 수 있다. 예를 들어, 2*2 맥스 풀링 필터를 가지는 풀링 레이어에 컨벌루셔널 레이어의 출력을 입력시키는 경우, 이미지의 각 픽셀에서 2*2 패치마다 각 패치에 포함되는 최대값을 출력하여 이미지를 압축할 수 있다. 전술한 풀링은 패치에서 최소값을 출력하거나, 패치의 평균값을 출력하는 방식일 수도 있으며 임의의 풀링 방식이 본 개시에 포함될 수 있다.
컨벌루셔널 뉴럴 네트워크는 하나 이상의 컨벌루셔널 레이어, 서브샘플링 레이어를 포함할 수 있다. 컨벌루셔널 뉴럴 네트워크는 컨벌루셔널 과정과 서브샘플링 과정(예를 들어, 전술한 맥스 풀링 등)을 반복적으로 수행하여 이미지에서 피처를 추출할 수 있다. 반복적인 컨벌루셔널 과정과 서브샘플링 과정을 통해 뉴럴 네트워크는 이미지의 글로벌 피처를 추출할 수 있다.
컨벌루셔널 레이어 또는 서브샘플링 레이어의 출력은 풀 커넥티드 레이어(fully connected layer)에 입력될 수 있다. 풀 커넥티드 레이어는 하나의 레이어에 있는 모든 뉴런과 이웃한 레이어에 있는 모든 뉴런이 연결되는 레이어이다. 풀 커넥티드 레이어는 뉴럴 네트워크에서 각 레이어의 모든 노드가 다른 레이어의 모든 노드에 연결된 구조를 의미할 수 있다.
본 발명의 일 실시예에서 이미지 데이터의 세그먼테이션(segmentation)을 수행하기 위하여 뉴럴 네트워크는 디컨벌루셔널 뉴럴 네트워크(DCNN: deconvolutional neural network)를 포함할 수 있다. 디컨벌루셔널 뉴럴 네트워크는 컨벌루셔널 뉴럴 네트워크를 역방향으로 계산시킨 것과 유사한 동작을 수행하며, 컨벌루셔널 뉴럴 네트워크에서 추출된 피처를 원본 데이터와 관련된 피처 맵으로 출력할 수 있다.
본 발명에서 심층신경망 및 뉴럴 네트워크(neural network)는 상호교환가능하게 사용될 수 있다.
이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시예에 대해 상세히 설명한다.
<악성 멀티미디어 파일을 분류하는 인공지능 기반 시스템에 대한 설명 >
도 2는 본 발명의 일 실시예에 따른 악성 멀티미디어 파일을 분류하는 인공지능 기반 시스템에 대한 개략도이다. 여기서, '악성 멀티미디어 파일'이란, 악성 액티브 콘텐트를 포함하거나, 악성 액티브 콘텐트 집합을 포함하는 멀티미디어 파일을 의미한다.
도 2 에 도시된 악성 멀티미디어 파일을 분류하는 인공지능 기반 시스템의 구성은 간략화하여 나타낸 예시일 뿐이며, 본 발명의 일 실시예에서 시스템은 본 발명의 실시예들을 수행하기 위한 다른 구성들을 포함할 수 있다. 본 발명의 시스템은 전자 형태의 데이터를 연산할 수 있는 모든 종류의 컴퓨팅 장치를 포함할 수 있으며, 예를 들어, 퍼스널컴퓨터, 서버 컴퓨터 등의 일반 컴퓨팅 장치 및 모바일 단말(스마트폰(smartphone), 테블릿(tablet)) 등의 제한된 연산 능력을 가진 컴퓨팅 장치 등을 포함할 수 있다.
본 발명의 일실시예에 따른 악성 멀티미디어 파일을 분류하는 인공지능 기반 시스템은 에이전트(100), 서버(200), 악성 파일 분류 장치(300)를 포함한다.
도 2에서 보는 바와 같이 본 발명의 일실시예에 따른 에이전트(100)는 사용자 단말기 또는 파일 서버에 설치되는 프로그램 모듈일 수 있다. 사용자 단말기는 유무선 통신이 가능한 데스크탑, 노트북, 테블릿 PC, 모바일 단말 등으로 마련될 수 있다.
또한, 서버(200)는 네트워크 상에 연결되어 위 장치 등 본 발명과 관련된 서비스를 제공하는 서버이다. 즉, 서버(200)는 파일을 업로드 하거나 다운로드 하는 서비스를 제공하거나 파일을 송수신하는 기능 등을 구비한다.
악성 파일 분류 장치(300)는 사용자가 사용하는 컴퓨터 단말로서, PC, 노트북, 태블릿 PC, 모바일 단말 등이 될 수 있다.
사용자 단말기 등으로 제공될 멀티미디어 파일에 실행 가능한 액티브 콘텐트에 악성코드가 존재할 경우, 파일 열람 시 해당 액티브 콘텐트가 실행됨에 따라 사용자 단말기는 악성코드에 감염될 가능성이 있다. 사용자 단말기 등으로 제공될 멀티미디어 파일에 실행 가능한 액티브 콘텐트 집합에 악성코드가 존재할 경우에는, 파일 열람 시 해당 액티브 콘텐트 집합에 포함된 액티브 콘텐트들이 순차적으로 또는 동시에 실행됨에 따라 사용자 단말기는 악성코드에 감염될 가능성이 있다.
여기서, 멀티미디어 파일은 네트워크 통신 및 저장매체 등으로부터 제공되어 사용자 단말기 등에서 열람하고자 하는 모든 전자문서일 수 있다. 좀 더 자세하게는 마이크로소프트 오피스 계열, 한글 계열, PDF 등의 문서파일일 수 있으며, 헤더에 스크립트가 포함될 수 있는 이미지 파일 또한 포함될 수 있다.
여기서, 액티브 콘텐트는 멀티미디어 파일에 포함되어 있을 수 있는 매크로(Macro), 자바스크립트(Javascript), OLE(object Linking & Embedding) 개체, 플래쉬(Flash), EPS(Encapsulated PostScript), 및 원격접속 URL(Uniform ResourceLocator) 중 적어도 어느 하나일 수 있으며, 이에 한정되지 않고 더 추가될 수 있다.
에이전트(100)는 다양한 유입채널을 통해 사용자 단말기 등에 제공될 멀티미디어 파일을 통합적으로 수신한다. 에이전트(100)는 멀티미디어 파일에 대한 특성에 대한 특성정보를 수집할 수 있고, 멀티미디어 파일로부터 액티브 콘텐트를 추출하고, 액티브 콘텐트의 특성에 대한 특성정보를 추출하고 이를 가공하는 전처리과정을 수행하여 벡터데이터를 생성할 수 있다. 특성정보는 멀티미디어 파일 또는 액티브 콘텐트의 명칭, 경로, 해시값, 메타정보, 프로세스ID, 구조 정보, 파일 인덱스, 코드섹션 크기, 헤더 크기, 데이터 섹션 크기 등 정적 특성이나 액티브 콘텐트에서 추출될 수 있는 액티브 콘텐트 실행 로그 등 동적 특성을 나타내는 정보 등이 될 수 있으나 이에 제한되지는 않는다.
또는, 서버는(200)에서 에이전트(100)가 수신한 멀티미디어 파일로부터 액티브 콘텐트를 추출할 수도 있다. 서버(200)는 마찬가지로 액티브 콘텐트에서 기계학습에 필요한 특성을 선별적으로 추출하여 가공하는 전처리과정을 수행하여 벡터데이터를 생성할 수 있다.
전처리과정은 예를 들어, 액티브 콘텐트에서 이용되는 API시퀀스를 추출하고, API시퀀스를 기구축된 딕셔너리로 매핑하여 바이너리로 변환하고, 바이너리를 가공하여 벡터데이터를 생성한다. 전처리과정의 구체적인 예는 후술한다.
서버(200)는 사전에 수집된 학습데이터 및 그에 라벨링된 결과값 등이 저장된 저장소와 연결되어 학습데이터 및 결과값을 수신하거나 자체적으로 저장하고 있을 수 있다. 서버(200)는 학습데이터 및 결과값을 이용하여 심층신경망을 기계학습시킬 수 있다. 서버(200)는 악성 파일 분류 장치(300)와 통신하며, 악성 파일 분류 장치(300)로 인공지능 분류 모델(A)을 제공할 수 있다.
인공지능 분류 모델(A)은 사전에 악성 여부가 분류되어진 샘플 액티브 콘텐트의 특성이 추출된 학습데이터 및 그 학습데이터에 라벨링된 액티브 콘텐트의 악성 여부에 대한 결과값, 분류 대상이 되는 새로운 액티브 콘텐트로부터 추출된 학습데이터를 이용하여 심층신경망을 학습시켜 생성할 수 있다.
즉, 서버(200)는 샘플 액티브 콘텐트에 대한 학습데이터 및 결과값을 이용하여 심층신경망을 학습시켜 인공지능 분류 모델(A)을 생성할 수 있다. 또한 새롭게수집되는 사전에 악성 여부가 분류된 멀티미디어 파일에 대한 학습데이터 및 결과값을 이용하여 심층신경망을 학습시켜 인공지능 분류 모델(A)을 갱신하여 생성할 수 있다.
구체적으로 서버(200)는 심층신경망에 학습데이터를 입력하여 출력값을 출력하고, 학습데이터에 라벨링된 결과값과 출력값을 비교하여 오류를 계산하고, 그 오류에 기초하여 심층신경망의 가중치를 역전파방식으로 갱신함으로써 인공지능 분류모델을 생성한다.
여기서, 학습데이터는 이미 악성, 정상 등으로 분류된 샘플 액티브 콘텐트 및 멀티미디어 파일에 대해 액티브 콘텐트를 기계학습에 필요한 특성을 선별적으로 추출하여 가공하는 전처리과정을 거쳐 생성된 것으로 이미 분류되었다는 의미는 적어도 한번은 실행되어 공지되거나, 국내외 보안 벤더들이 제공하는 보안 솔루션 등에 의해 악성, 정상 등으로 분류된 것을 의미한다. 일 예로, 서버(200)에는 기존보안 솔루션이 제공하는 악성 위협과 그에 대한 백신 등이 제공하는 정보가 내부 또는 외부의 DB로부터 수집되어 있을 수 있다. 서버(200)는 멀티미디어 파일, 그 액티브 콘텐트를 직접 수집하고 전처리과정을 거쳐 학습데이터를 생성하여 수집할 수도 있고, 외부에서 전처리과정을 거쳐 생성된 학습데이터를 수집할 수 있다.
그리고, 악성 파일 분류 장치(300)는 악성 여부를 분류할 대상인 멀티미디어파일의 악성 여부를 분류한다. 이때, 해당 파일을 개인이나 기업에서 작업수단으로 사용하는 사용자 단말기에서 열람하고자 할 경우에 악성 여부 분류를 수행할 수 있다.
또한, 에이전트(100)에서 악성 파일 분류 장치(300)로 악성 여부 분류를 의뢰할 수 있다.
즉, 악성 파일 분류 장치(300)는 인공지능 분류 모델(A)을 이용하여 분류 대상이 되는 액티브 콘텐트 및 멀티미디어 파일의 악성 여부를 분류하여 예측분류정보를 생성하는 작업을 수행한다.
구체적으로 악성 파일 분류 장치(300)는 분류 대상이 되는 액티브 콘텐트로부터 추출한 벡터데이터를 인공지능 분류 모델(A)로 입력하여 출력되는 예측값에 따라 액티브 콘텐트의 악성 여부를 예측하고, 그 악성 여부에 대한 예측분류정보를 생성한다. 예측분류정보는 멀티미디어 파일, 그에 포함되어 있는 액티브 콘텐트 또는 이들의 적절한 특성정보와 매칭된 정보일 수 있다.
인공지능 분류 모델(A)은 복수 개로 나뉘어 역할을 수행할 수도 있을 것이다. 다만, 설명의 편의상, 이하에서는 본 발명의 명세서에서는 인공지능 분류 모델(A)이 하나로 구현되는 것을 상정하여 설명하도록 한다.
바람직하게는 본 발명의 일실시예인 악성 액티브 콘텐트를 포함한 파일을 분류하는 인공지능 기반 시스템은 에이전트(100), 서버(200) 및 악성 파일 분류 장치(300) 내 또는 별도로 검증모듈을 더 포함할 수 있다. 검증모듈은 악성 여부가 사전에 분류된 검증용 액티브 콘텐트를 이용하여 인공지능 분류 모델(A)의 성능을 검증할 수 있다.
검증모듈은 검증용 액티브 콘텐트의 특성이 추출된 검증데이터 및 그에 라벨링된 검증용 액티브 콘텐트의 악성 여부에 대한 정답값인 분류값을 받고, 검증데이터를 인공지능 분류 모델(A)에 입력한다. 인공지능 분류 모델(A)로부터 출력되는 검증값과 분류값을 비교하여 계산된 오차에 따라 인공지능 분류 모델의 성능을 측정하여 모델성능정보를 생성할 수 있다.
서버(200)는 심층신경망을 소정의 학습사이클을 가지고 반복하여 기계학습시켜 인공지능 분류 모델(A)을 생성할 수 있는데, 그 학습사이클의 반복횟수는 검증모듈로부터 생성된 모델성능정보에 따라 결정될 수 있다.
바람직하게는 서버(200)는 위 예측값을 전달받아 이를 벡터데이터에 레이블링하여 학습데이터를 생성하고 이를 수집할 수 있다. 분류대상인 액티브 콘텐트가 정상, 악성 등으로 예측되어 분류되고 실제로 분류가 타당하다면 악성 여부가 확정되고 벡터데이터와 그에 레이블링된 예측값은 학습데이터와 그에 레이블링된 결과값으로 활용되어질 수 있다. 이는 마찬가지로 심층신경망에 입력되어 인공지능 분류 모델(A)을 생성하는데 이용될 수 있다.
도 2는 악성 파일 분류 장치(300)가 에이전트(100) 및 서버(200)와 별개인 객체로 구성된 시스템인 실시예를 보여주고 있지만, 에이전트(100), 서버(200) 및 악성 파일 분류 장치(300)는 통상의 클라이언트와 서버의 구성 방법에 따라 구현될 수 있다. 즉, 전체 시스템의 기능들을 클라이언트의 성능이나 서버 통신량 등에 따라 분담될 수 있다. 예를 들어, 에이전트(100)는 멀티미디어 파일에 대한 수집 작업만 수행하고, 서버(200)가 파일로부터 액티브 콘텐트를 추출하고 액티브 콘텐트에서 기계학습에 쓰일 특징을 추출하고, 심층신경망을 기계학습시켜 인공지능 분류모델을 생성할 수 있다. 악성 파일 분류 장치(300)는 인공지능 분류 모델을 이용하여 멀티미디어 파일의 악성 여부를 분류하는 작업을 수행할 수 있다. 또는 에이전트(100)가 멀티미디어 파일에 대한 수집 작업, 액티브 콘텐트 추출 및 액티브 콘텐트 특징 추출 작업을 수행하고, 서버(200)는 인공지능 분류 모델을 생성하는 작업만 수행할 수 있도록 작업이 분담될 수 있다. 또한, 본 발명은 단일 또는 다중 시스템으로 구성될 수 있다. 또한, 본 시스템은 하나의 서버 내에 다중 가상환경에 탑재되어 구현될 수도 있다. 위 예시에 한정되지 않고 본 발명은 다양한 형태로 확장되어 구성될 수 있다.
바람직하게는 본 발명의 일실시예인 악성 액티브 콘텐트를 포함한 파일을 분류하는 인공지능 기반 시스템은 에이전트(100), 서버(200) 및 악성 파일 분류 장치(300) 내 또는 별도로 저장소(DB, 클라우드 또는 빅데이터 플랫폼)을 더 포함할 수 있다. 위 저장소에는 각종 멀티미디어 파일 및 그에 포함된 액티브 콘텐트의 특성정보, 멀티미디어 파일에 포함된 액티브 콘텐트, 샘플 액티브 콘텐트에서 추출된 학습데이터 및 결과값, 벡터데이터 및 출력값, 멀티미디어 파일, 예측분류정보 등이 수집되어 저장될 수 있다. 저장소에는 저장된 각종 데이터, 정보를 검색할 수 있는 인터페이스가 제공될 수 있다.
또한, 본 발명의 일실시예인 악성 멀티미디어 파일을 분류하는 인공지능 기반 시스템은 에이전트(100), 서버(200) 및 악성 파일 분류 장치(300) 내 또는 별도로 분류대상판단모듈을 더 포함할 수 있다.
분류대상판단모듈은 에이전트(100), 서버(200) 내 또는 별도로 구비될 수 있으나, 어느 경로를 통하건 수신된 멀티미디어 파일의 특성정보 내지 그로부터 추출되는 액티브 콘텐트의 특성정보를 받아 이를 위 저장소 등에 수집된 예측분류정보와 대비함으로써 악성 여부를 미리 판단할 수 있다.
분류대상판단모듈을 통하면 이미 예측분류정보상에서 악성 여부가 분류되어 있는 액티브 콘텐트 및 그 액티브 콘텐트를 포함하는 멀티미디어 파일을 수신한 경우, 이를 화이트리스트, 블랙리스트로 처리할 수 있다. 예를 들어, 악성으로 예측분류정보상에서 판단되는 멀티미디어 파일 및 그 액티브 콘텐트('블랙리스트')를 수신하면, 에이전트(100) 내지 서버(200)는 별도로 악성 파일 분류 장치(300)를 통해 분류될 벡터데이터를 생성하는 전처리과정을 거치지 않고도 후술하는 관리모듈 등을 통해 이를 곧바로 무해화하는 보안 조치로 처리할 수 있다.
또는, 분류대상판단모듈은 예측분류정보에 기초하여 정상으로 분류되어 있는 액티브 콘텐트 및 그 액티브 콘텐트를 포함하는 멀티미디어 파일('화이트리스트')을 수신한 에이전트(100) 또는 서버(200)는 전처리과정을 거쳐 벡터데이터를 생성할 필요 없이 정상으로 분류하여 처리할 수 있다.
바람직하게는 본 발명의 일실시예인 악성 액티브 콘텐트를 포함한 파일을 분류하는 인공지능 기반 시스템은 에이전트(100), 서버(200) 및 악성 파일 분류 장치(300) 내 또는 별도로 관리모듈을 더 포함할 수 있다.
관리모듈은 멀티미디어 파일 및 그에 포함된 액티브 콘텐트의 악성 여부에 대한 예측분류정보를 상술한 악성 파일 분류 장치(300) 또는 저장소 등을 통해 받아 사용자에게 제공할 수 있다.
또한, 관리모듈은 저장소 등으로부터 예측분류정보를 받아 이를 기초로 악성으로 분류된 액티브 콘텐트가 포함된 멀티미디어 파일로부터 해당 액티브 콘텐트를 무해화하는 보안 조치 등을 수행하고 이를 사용자 단말기 등으로 전송할 수 있다.
액티브 콘텐트를 무해화는 보안 조치는 액티브 콘텐트가 포함된 멀티미디어 파일에서 악성으로 분류된 액티브 콘텐트를 무력화시키기 위해 이를 제거하거나, 실행코드를 변환시키는 조치이다. 구체적으로, 관리모듈은 해당 액티브 콘텐트의 설명, 유형, 버전, 크기, 해시값 등을 포함하는 특성정보 및 해당 액티브 콘텐트를 무력화시키기 위한 수행내역에 관한 처리정보 중에서 적어도 어느 하나를 포함하는 대체정보를 액티브 콘텐트가 무력화된 멀티미디어 파일과 조합하여 변환된 파일을 생성한다. 관리모듈에 의해 무해화된 멀티미디어 파일은 사용자 단말기 등으로부터 해당 파일의 열람 요청이 있는 경우에 제공될 수 있다. 이를 통해 사용자 단말기로 제공되는 무해화된 멀티미디어 파일에는 원본인 멀티미디어 파일과 동일한 형식, 폰트, 동일한 개체 위치 등을 가지면서도 사용자 단말기를 감염시킬 수 있는 악성코드가 포함된 액티브 콘텐트가 실행되지 않고 대신 대체정보 등과 함께 무해화처리에 대한 처리정보가 표시될 수 있다. 사용자 단말기로부터 별도의 원본 파일 제공 요청이 있는 경우, 무해화되지 않은 멀티미디어 파일이 제공될 수 있다.
마찬가지로 실시하기에 따라서는 위 시스템은 도 2에 도시된 바와 같이 악성 파일 분류 장치(300)인 일 구성으로 구현될 수도 있다.
<악성 액티브 콘텐트를 포함한 파일을 분류하는 인공지능 기반 장치에 대한 설명 >
도 3은 본 발명의 일 실시예에 따른 악성 액티브 콘텐트를 포함한 파일을 분류하는 인공지능 기반 장치(이하, ‘악성 파일 분류 장치’라 칭함)를 도시한 블록도이다.
악성 액티브 콘텐트를 포함한 파일을 분류하는 인공지능 기반 장치는 파일수신부(400), 액티브콘텐트추출부(500), 전처리부(600), 학습부(700) 및 분류부(800)를 포함한다.
파일수신부(400)는 다양한 유입채널로부터 악성 여부 분류대상이 되는 멀티미디어 파일을 통합적으로 수신한다.
액티브콘텐트추출부(500)는 파일수신부(400)에서 수신된 멀티미디어 파일에서 액티브 콘텐트를 추출한다.
전처리부(600)는 액티브콘텐트추출부(500)에서 추출한 액티브 콘텐트의 특성을 추출하는 전처리과정을 수행하여 벡터데이터를 생성한다.
학습부(700)는 악성 여부가 사전에 분류된 샘플 액티브 콘텐트의 특성이 추출된 학습데이터 및 샘플 액티브 콘텐트의 악성 여부에 대한 결과값을 이용하여 심층신경망을 기계학습시켜 인공지능 분류 모델(A)을 생성한다.
사전에 악성 여부가 분류되어 있는 샘플용 액티브 콘텐트의 특성이 추출되어 가공되어 생성된 학습데이터 및 샘플용 액티브 콘텐트의 악성 여부에 대한 결과값이 학습데이터에 라벨링된 채 수집되어져 있을 수 있다.
학습데이터 및 결과값은 정상 멀티미디어 파일과 악성 멀티미디어 파일에서 각각 추출되거나 악성 파일 또는 정상 파일에서만 추출된 것일 수 있다.
예를 들어, 여기서 결과값은 액티브 콘텐트가 악성인지 혹은 정상인지에 대해 표현하는 0=정상, 1=악성 등의 값이 될 수 있으나 이에 한정되지 아니한다.
즉, 심층신경망은 사전에 기계학습되어 있을 수 있으며 학습부(700)에 의해 추가로 학습될 수 있고, 학습부(700)에 의해 처음부터 기계학습되어 인공지능 분류모델(A)을 생성할 수 있다.
구체적으로 인공지능 분류 모델(A)을 생성하기 위한 심층신경망은 컨벌루션신경망(Convolutional Neural Networks, CNN)이 될 수 있다. 물론 컨벌루션신경망뿐만 아니라 심층 신경망(Deep Neural Network, DNN), 재귀 신경망(Recurrent Neural Network, RNN), 제한 볼츠만 머신(restricted Boltzmann machine), 심층 신뢰 신경망(Deep Belief Network, DBN), 심층 Q-네트워크(Deep Q-Network) 등과 같이 다양한 딥 러닝 기법이 적용된 신경망 알고리즘이 사용될 수 있다.
그리고 새로운 샘플 액티브 콘텐트가 학습 대상이 되어 새로운 학습데이터가 추가되면 심층신경망은 추가 학습을 통해 인공지능 분류 모델(A)이 갱신될 수 있다. 즉, 전이학습 방식을 통해 분류 모델을 다시 분류 모델을 구축하거나 재학습할 필요 없이 기존의 분류 모델을 갱신함으로써, 모델 구축에 따른 비용이 절감될 수 있다.
분류부(800)는 전처리부(600)로부터 온 벡터데이터를 인공지능 분류 모델(A)에 의해 분석하여 액티브 콘텐트의 악성 여부를 분류하고, 예측분류정보를 생성한다.
즉, 분류부(800)는 전처리부(600)로부터 온 벡터데이터를 인공지능 분류 모델(A)에 입력하고, 인공지능 분류 모델(A)이 출력하는 예측값에 따라 액티브 콘텐트의 악성 여부를 예측할 수 있다. 그리고 분류부(800)는 이 액티브 콘텐트의 악성 여부에 대한 예측결과인 예측분류정보를 생성한다.
예를 들어, 여기서 예측값은 액티브 콘텐트가 악성인지 혹은 정상인지에 대해 0에서 1 사이의 확률로 나타내는 확률값이 될 수 있으나 이에 한정되지 아니한다.
종래의 악성코드 탐지 방법을 이용하여 악성코드를 탐지하는데 가장 큰 문제점 중 하나가 바로 다수의 악성코드 변종들에 의한 공격일 수 있다. 즉, 하나의 악성코드로부터 다양한 변종이 발생할 수 있기 때문에 모든 악성코드들의 패턴을 분석하여 대응하는 것은 매우 어려운 일이다. 그러나, 본 발명과 같이 악성 액티브 콘텐트에서 추출된 벡터데이터를 인공지능 분류 모델(A)을 이용하여 분류한다면, 유사한 변종의 악성코드가 포함된 액티브 콘텐트들도 분류가 가능하기 때문에 보다 정확하고 정밀하게 악성, 정상 여부를 분류해 낼 수 있다.
예를 들어, 악성코드 A가 감염된 악성 멀티미디어 파일의 액티브 콘텐트로부터 학습데이터 및 결과값을 이용하여 학습시킨 안공지능 분류 모델(A)을 이용하여 신규 분류 대상인 악성 액티브 콘텐트를 분류하는데 이용한다고 가정한다면, 악성코드 A_1, 악성코드 A_2, 악성코드 A_n 등의 변종 악성코드들을 포함한 액티브 콘텐트도 탐지될 수 있다.
이러한 인공지능 분류 모델(A)을 이용하면 기존의 악성코드 탐지엔진과는 다르게 별도 분석을 통해 얻어지는 악성코드 패턴 설계가 따로 필요하지 않기 때문에 패턴이 알려지지 않은 제로데이 악성코드에 대해서도 신속하게 대응할 수 있는 장점을 갖는다. 인공지능 분류기(A)에 의해 마련되는 모델은 벡터데이터에 의해 지속적으로 학습되어 가며 업데이트 되므로 시간이 지날수록 보다 효과적이고 범용적으로 악성코드를 탐지할 수 있다.
예측분류정보는 액티브 콘텐트가 그 특성을 나타내는 벡터데이터가 인공지능 분류 모델(A)에 입력되어 자동으로 분류되며, 분류되는 그룹에 소속될 확률에 대한 예측값에 기초하여 생성된 액티브 콘텐트의 악성 여부에 대한 정보를 의미한다.
분류부(800)를 통과하더라도 소속될 그룹을 찾지 못하면 그 벡터데이터는 새로운 그룹으로 분류되어야 한다. 이는 아직 인공지능 분류기(A)에 의해 구축된 분류 모델에 따라 분류될 수 없다. 이러한 벡터데이터는 따로 수집되어 인공지능 분류기(A)를 학습시키기 위해 이용될 수 있다.
바람직하게는 본 발명의 일실시예인 악성 액티브 콘텐트를 포함한 파일을 분류하는 인공지능 기반 장치는 검증부(900)를 더 포함할 수 있다.
액티브 콘텐트에 대한 검증데이터 및 그에 라벨링된 검증값이 학습데이터 및 결과값과 출처가 상이한 액티브 콘텐트로부터 별도로 마련될 수 있다.
검증부(900)는 검증용 액티브 콘텐트의 특성이 추출된 검증데이터 및 그에 라벨링된 검증용 액티브 콘텐트의 악성 여부에 대한 정답값인 분류값을 받고, 검증데이터를 인공지능 분류 모델(A)에 입력한다. 인공지능 분류 모델(A)로부터 출력되는 검증값과 분류값을 비교하여 계산된 오차에 따라 인공지능 분류 모델의 성능을 측정하여 모델성능정보를 생성할 수 있다.
이때 학습부(700)는 심층신경망을 소정의 학습사이클을 가지고 반복하여 기계학습시켜 인공지능 분류 모델(A)을 생성할 수 있는데, 그 학습사이클의 반복횟수는 검증부(900)로부터 생성된 모델성능정보에 따라 결정될 수 있다.
인공지능 분류 모델(A)을 검증함으로써 일반화 능력을 최대화 시키면서 오버피팅 문제를 최소화 시킬 수 있다.
바람직하게는 본 발명의 일실시예인 악성 액티브 콘텐트를 포함한 파일을 분류하는 인공지능 기반 장치는 수집부(1200)를 더 포함할 수 있다. 수집부(1200)는 파일시스템, DB, 클라우드 또는 빅데이터 플랫폼 등 다양한 형태로 마련될 수 있다. 위 수집부(1200)에는 각종 멀티미디어 파일의 특성정보 및 멀티미디어 파일로부터 추출되는 액티브 콘텐트의 특성정보, 멀티미디어 파일에 포함된 액티브 콘텐트, 샘플 액티브 콘텐트에서 추출된 학습데이터 및 결과값, 벡터데이터 및 출력값, 멀티미디어 파일, 예측분류정보 등이 수집되어 저장될 수 있다. 또한, 수집부(1200)에는 저장된 각종 데이터, 정보를 검색할 수 있는 인터페이스가 제공될 수 있다.
본 발명의 일실시예인 악성 액티브 콘텐트를 포함한 파일을 분류하는 인공지능 기반 장치는 바람직하게는 분류대상판단부(1100)를 더 포함할 수 있다.
파일수신부(400)는 수신한 멀티미디어 파일의 특성에 대한 특성정보를 추출하고, 액티브콘텐트추출부(500)는 추출된 액티브 콘텐트의 특성에 대한 특성정보를 함께 추출할 수 있다.
분류대상판단부(1100)는 새로 유입되는 멀티미디어 파일 및 그로부터 추출되는 액티브 콘텐트에 대한 특성정보를 받아 예측분류정보와 매칭된 특성정보와 대비함으로써 악성 여부를 미리 판단할 수 있다.
분류대상판단부(1100)를 통하면 이미 예측분류정보상에서 악성 여부가 분류되어 있는 액티브 콘텐트 및 그 액티브 콘텐트를 포함하는 멀티미디어 파일을 수신한 경우, 이를 화이트리스트, 블랙리스트로 처리할 수 있다. 예를 들어, 악성으로 예측분류정보상에서 판단되는 멀티미디어 파일 및 그 액티브 콘텐트('블랙리스트')를 수신하면, 악성 파일 분류 장치(300)를 통해 분류될 벡터데이터를 생성하는 전처리과정을 거치지 않고도 관리부(1100) 등을 통해 이를 곧바로 무해화하는 보안 조치로 처리할 수 있다.
또는, 분류대상판단부(1100)는 예측분류정보에 기초하여 정상으로 분류되어있는 액티브 콘텐트 및 그 액티브 콘텐트를 포함하는 멀티미디어 파일('화이트리스트')에 대해 전처리부(300)에서 전처리과정을 거쳐 벡터데이터를 생성할 필요가 없도록 정상으로 분류하여 처리할 수 있다.
분류대상판단부(1100)에서는 소정의 정책에 따라 분류대상여부를 결정할 수 도 있다. 예를 들어, 특성정보에 따라 서로 다른 포맷을 가진 각각의 파일에 포함되는 액티브 콘텐트 중 특정 액티브 콘텐트가 포함된 빈도가 높다고 파악되는 경우에 특정 액티브 콘텐트에 대한 악성 여부를 우선적으로 판단하도록 한다. 그리고 액티브 콘텐트를 포함하는 파일 간을 그룹별로 분류하고, 하나의 그룹에 속한 파일들 중 적어도 어느 하나의 파일에서 악성 위협이 판별될 경우에 그룹에 속한 파일들을 악성 위협파일로 판단할 수 있다.
즉, 각 파일의 포맷마다 액티브 콘텐트의 활용이 조금씩 상이할 수 있음에도 불구하고 유사한 액티브 콘텐트가 공통적으로 높은 빈도로 포함된다면 이는 악의적인 목적으로 생성된 액티브 콘텐트를 파일 내 적용했을 가능성이 큰 것으로 판단할 수 있다. 가장 높은 빈도로 파일에 적용된 특정 액티브 콘텐트 포맷을 보유한 파일에 대하여 분석을 수행하도록 하는 것이다.
바람직하게는 본 발명의 일실시예인 악성 액티브 콘텐트를 포함한 파일을 분류하는 인공지능 기반 장치는 관리부(1100)를 더 포함할 수 있다.
관리부(1100)는 멀티미디어 파일 및 그에 포함된 액티브 콘텐트의 악성 여부에 대한 예측분류정보를 분류부(800) 또는 수집부(1200) 등을 통해 받아 사용자에게 제공할 수 있다.
또한, 관리부(1100)는 분류부(800), 수집부(1200) 등으로부터 예측분류정보를 받아 이를 기초로 악성으로 분류된 액티브 콘텐트가 포함된 멀티미디어 파일로부터 해당 액티브 콘텐트를 무해화하는 보안 조치 등을 수행하고 이를 사용자 단말기 등으로 전송할 수 있다. 액티브 콘텐트를 무해화는 보안 조치는 액티브 콘텐트가 포함된 멀티미디어 파일에서 악성으로 분류된 액티브 콘텐트를 무력화시키기 위해 이를 제거하거나, 실행코드를 변환시키는 조치이다.
구체적으로, 관리부(1100)는 해당 액티브 콘텐트의 설명, 유형, 버전, 크기,해시값 등을 포함하는 특성정보 및 해당 액티브 콘텐트를 무력화시키기 위한 수행내역에 관한 처리정보 중에서 적어도 어느 하나를 포함하는 대체정보를 액티브 콘텐트가 무력화된 멀티미디어 파일과 조합하여 변환된 파일을 생성한다. 관리부(1100)에 의해 무해화된 멀티미디어 파일은 사용자 단말기 등으로부터 해당 파일의 열람요청이 있는 경우에 제공될 수 있다. 이를 통해 사용자 단말기로 제공되는 무해화된 멀티미디어 파일에는 원본인 멀티미디어 파일과 동일한 형식, 폰트, 동일한 개체 위치 등을 가지면서도 사용자 단말기를 감염시킬 수 있는 악성코드가 포함된 액티브 콘텐트가 실행되지 않고 대신 대체정보 등과 함께 무해화처리에 대한 처리정보가 표시될 수 있다. 사용자 단말기로부터 별도의 원본 파일 제공 요청이 있는 경우, 무해화되지 않은 멀티미디어 파일이 제공될 수 있다.
도 4에서 보이는 바와 같이 바람직하게는 악성 액티브 콘텐트를 포함한 파일을 분류하는 인공지능 기반 장치는 전처리부(600)는 API시퀀스추출부분(710), 바이너리변환부분(720) 및 벡터데이터생성부분(730)을 포함할 수 있다.
도 5를 참고하여 구체적으로 전처리부(600)에서 수행되는 과정을 설명한다. 액티브 콘텐트의 분석을 통해 악성 함수 등 행위 정보가 추출될 수 있다. 구체적으로 이러한 행위 정보에는 CreateObject(), eval(), 시스템 콜 등 유해한 호출들과 scriptingfilesystemobject, wscriptshell 등 유해한 객체들을 포함하는 API 시퀀스가 포함될 수 있다.
API시퀀스추출부분(710)은 액티브 콘텐트로부터 API시퀀스를 추출한다.
바이너리변환부분(720)은 API시퀀스를 기구축된 딕셔너리로 매핑하여 바이너리로 변환한다. 딕셔너리는 기존에 액티브 콘텐트 분석을 통해 악성 함수 등 행위정보에 관련된 API시퀀스를 Hexa 바이너리 등으로 변환하기 위해 구축되어 있다.
벡터데이터생성부분(730)은 바이너리변환부분(720)에서 변환된 바이너리를 가공하여 벡터데이터를 생성한다. 이러한 바이너리 변환 가공 과정은, 예를 들어,바이너리를 업/다운 샘플링하고, n-gram 추출하여 피처를 추출하고 n-gram에 대해 피처 해싱을 통해 고정 길이의 벡터데이터를 생성할 수 있다. 여기서 적합한 ngram은 수행하기에 따라 찾아질 수 있으며 필요에 따라 2, 3개의 다중 n-gram을 추출하여 각각을 피처 해싱할 수도 있다. 이렇게 마련된 벡터데이터는 고정 길이로 설정되므로 CNN 등에 입력되기 적합하다.
n-gram 단위의 피처에 대한 해시값은 피처 해싱에 의해 생성되는데 이러한 피처 해싱에 이용되는 해시 함수는 어떠한 함수가 되어도 무방하다. 이러한 피처해싱은 해싱 트릭(hashing trick)으로도 불릴 수 있다. 당해 기술 분야에서 이미 널리 알려진 기법이므로 자세한 설명은 생략한다.
바람직하게는 전처리부(600)는 난독화부분(740)을 더 포함할 수 있다. 액티브 콘텐트 내에서 악성 위협이 쉽게 발견되지 않도록 난독화시키는 경우도 늘고 있어, 난독화부분(740)은 난독화된 코드가 존재할 경우에는 해당 코드의 난독화를 해제하는 과정을 수행한다.
바람직하게는 본 발명의 일실시예인 악성 액티브 콘텐트를 포함한 파일을 분류하는 인공지능 기반 장치는 보고부(1400)를 더 포함할 수 있다. 보고부(1400)는 전처리부(600)에서 온 액티브 콘텐트에 대한 특성에 대한 특성정보 및 분류부(800)에서 온 멀티미디어 파일에서 추출된 액티브 콘텐트에 대한 분류예측정보를 사용자에게 제공하기 위한 역할을 한다.
본 명세서에 있어서 악성 파일 분류 장치가 수행하는 것으로 기술된 단계나 기능 중 일부는 해당 장치와 연결된 서버에서 대신 수행될 수도 있다. 이와 마찬가지로, 서버가 수행하는 것으로 기술된 단계나 기능 중 일부도 해당 서버와 연결된 장치에서 수행될 수도 있다.
<악성 액티브 콘텐트를 포함한 파일을 분류하는 인공지능 기반 방법에 대한 설명>
도 6은 본 발명의 일 실시예에 따른 악성 액티브 콘텐트를 포함한 파일을 분류하는 인공지능 기반 장치를 이용한 악성 액티브 콘텐트를 포함한 파일을 분류하는 인공지능 기반 방법을 도시한 순서도이다.
본 발명인 악성 액티브 콘텐트를 포함한 파일을 분류하는 인공지능 기반 방법은 파일수신단계(S1), 액티브콘텐트추출단계(S2), 전처리단계(S3) 및 분류단계(S4)를 포함한다.
학습단계(S0)는 악성 여부가 사전에 분류된 샘플 액티브 콘텐트의 특성이 추출된 학습데이터 및 샘플 액티브 콘텐트의 악성 여부에 대한 결과값을 이용하여 심층신경망을 기계학습시켜 인공지능 분류 모델을 생성하는 단계이다.
파일수신단계(S1)에서는 다양한 유입채널로부터 멀티미디어 파일을 통합적으로 수신한다.
액티브콘텐트추출단계(S2)에서는 파일수신단계(S1)에서 수신된 멀티미디어파일에서 액티브 콘텐트를 추출한다.
전처리단계(S3)에서는 액티브콘텐트추출단계(S2)에서 추출한 액티브 콘텐트의 특성을 추출하는 전처리과정을 수행하여 벡터데이터를 생성한다.
분류단계(S4)는 전처리단계(S3)로부터 전달된 벡터데이터를 인공지능 분류모델(A)에 의해 입력하여 액티브 콘텐트의 악성 여부를 분류하고, 예측분류정보를 생성한다.
이하 자세한 설명은 악성 액티브 콘텐트를 포함한 파일을 분류하는 인공지능기반 시스템 및 그 장치에 대한 설명에서 설명한 바 있으므로 생략한다.
<악성 액티브 콘텐트를 포함한 파일을 분류하는 인공지능 기반 방법을 수행하는 프로그램을 기록한 컴퓨터 판독 가능 기록매체에 대한 설명 >
한편, 본 발명은 악성 액티브 콘텐트를 포함한 파일을 분류하는 인공지능 기반 방법을 수행하는 프로그램을 기록한 컴퓨터 판독 가능 기록매체로도 마련될 수 있다.
본 발명인 악성 액티브 콘텐트를 포함한 파일을 분류하는 인공지능 기반 방법을 수행하는 프로그램은 파일수신기능(P1), 액티브콘텐트추출기능(P2), 전처리기능(P3), 학습기능(P4) 및 분류기능(P5)를 포함한다.
파일수신기능(P1)에서는 다양한 유입채널로부터 멀티미디어 파일을 통합적으로 수신한다.
액티브콘텐트추출기능(P2)에서는 파일수신기능(P1)에서 수신된 멀티미디어파일에서 액티브 콘텐트를 추출한다.
전처리기능(P3)에서는 액티브콘텐트추출기능(P2)에서 추출한 액티브 콘텐트의 특성을 추출하는 전처리과정을 수행하여 벡터데이터를 생성한다.
학습기능(P4)은 악성 여부가 사전에 분류된 샘플 액티브 콘텐트의 특성이 추출된 학습데이터 및 샘플 액티브 콘텐트의 악성 여부에 대한 결과값을 이용하여 심층신경망을 기계학습시켜 인공지능 분류 모델을 생성하는 기능이다.
분류기능(P5)은 전처리기능(P3)로부터 전달된 벡터데이터를 인공지능 분류모델(A)에 의해 분석하여 액티브 콘텐트의 악성 여부를 분류하고, 예측분류정보를 생성한다.
이하 자세한 설명은 악성 액티브 콘텐트를 포함한 파일을 분류하는 인공지능기반 시스템 및 그 장치에 대한 설명에서 설명한 바 있으므로 생략한다.
<악성 액티브 콘텐트 집합을 포함한 파일을 분류하는 인공지능 기반 장치에 대한 설명>
이하에서는 도 7 내지 도 9를 참조하여 멀티미디어 파일에 포함된 액티브 콘텐트 집합에 기초하여 파일의 악성 여부를 분류하는 또 다른 실시예를 설명한다.
도 7은 다수의 액티브 콘텐트(AC1, AC2, AC3)를 포함하는 멀티미디어 파일, 예컨대 문서 파일을 예시한다. 액티브 콘텐트들(AC1, AC2, AC3) 중 어느 하나가 악성 코드를 가진 액티브 콘텐트인 경우도 있지만, 개별 액티브 콘텐트는 악성이 아니더라도 둘 이상의 액티브 콘텐트가 함께 실행되면서 특수한 악의적인 목적을 달성하는 경우도 존재한다. 즉, 악성 코드가 다수의 액티브 콘텐트들에 나누어 심어져 해당 액티브 콘텐트들이 같이 실행이 되면 감염이 되는 것이다. 이 경우, 개별 액티브 콘텐트를 탐지하는 것만으로는 멀티미디어 파일의 악성 여부를 판단하지 못할 수 있다.
따라서 본 발명은 파일에 포함된 모든 액티브 콘텐트를 추출하여 액티브 콘텐트 집합을 생성하고, 파일 별 액티브 콘텐트 집합에 기초하여 멀티미디어 파일의 악성 여부를 분류하는 기술을 제시한다.
도 8은 본 발명의 또 다른 실시예에 따른 악성 액티브 콘텐트 집합을 포함한 파일을 분류하는 인공지능 기반 장치(이하, '악성 파일 분류 장치'라 칭함)를 도시한 블록도이다.
악성 파일 분류 장치(300')는 파일수신부(400'), 액티브콘텐트집합생성부(500'), 전처리부(600'), 학습부(700') 및 분류부(800')를 포함한다.
파일수신부(400')는 다양한 유입채널로부터 악성 여부 분류 대상인 멀티미디어 파일을 수신한다.
액티브콘텐트집합생성부(500')는 파일수신부(400')에서 수신된 멀티미디어 파일에 포함된 적어도 하나의 액티브 콘텐트를 추출하여 상기 멀티미디어 파일에 대한 액티브 콘텐트 집합을 생성한다. 이 때, 파일에 포함된 모든 액티브 콘텐트를 추출하여 하나의 파일에 대해 하나의 액티브 콘텐트 집합을 생성하는 것이 바람직하다.
전처리부(600')는 액티브콘텐트집합생성부(500')에서 생성한 액티브 콘텐트 집합에서 기계학습에 필요한 특성을 선별적으로 추출하여 가공하는 전처리과정을 수행하여 벡터데이터를 생성한다. 이 때 액티브 콘텐트 집합에 포함된 각 액티브 콘텐트의 특성을 추출한 후 모든 액티브 콘텐트의 특성들을 결합하고 전처리함으로써 액티브 콘텐트 집합에 대한 벡터데이터를 생성할 수 있다. 이와 같이 멀티미디어 파일에 포함된 액티브 콘텐트들의 특성들이 결합된 것을 액티브 콘텐트 집합의 특성이라 할 수 있다. 각 액티브 콘텐트의 특성의 예와 전처리 과정은 악성 액티브 콘텐트를 포함한 파일을 분류하는 인공지능 기반 시스템에 대한 상술한 설명을 참조한다.
학습부(700')는 악성 여부가 사전에 분류된 샘플 액티브 콘텐트 집합의 특성이 추출된 학습데이터 및 샘플 액티브 콘텐트 집합의 악성 여부에 대한 결과값을 이용하여 심층신경망을 기계학습시켜 인공지능 분류 모델(A')을 생성한다. 학습데이터 및 결과값은 정상 멀티미디어 파일과 악성 멀티미디어 파일에서 각각 추출되거나, 정상 멀티미디어 파일 또는 악성 멀티미디어 파일에서만 추출된 것일 수 있다. 기계학습과 관련된 구체적인 내용은 상술한 설명을 참조한다.
분류부(800')는 전처리부(600')로부터 온 벡터데이터를 인공지능 분류 모델(A')에 의해 분석하여 인공지능 분류 모델(A')이 출력하는 예측값에 따라 액티브 콘텐트 집합의 악성 여부를 분류하고 예측분류정보를 생성한다. 분류부(800')의 동작과 관련된 사항은 악성 액티브 콘텐트를 포함한 파일을 분류하는 인공지능 기반 시스템의 분류부(800)에 대한 상술한 설명을 참조한다.
또한 악성 파일 분류 장치(300')는 악성 여부가 사전에 분류된 검증용 액티브 콘텐트 집합을 이용하여 상기 인공지능 분류 모델의 성능을 검증하기 위한 검증부(900')를 더 포함할 수 있다.
검증부(900')는 검증용 액티브 콘텐트 집합의 특성이 추출된 검증데이터를 인공지능 분류 모델(A')에 입력하여 출력되는 분류값과 상기 검증데이터에 라벨링된 검증용 액티브 콘텐트 집합의 악성 여부에 대한 검증값을 비교하여 계산된 오차에 따라 인공지능 분류 모델(A')의 성능을 측정하여 모델성능정보를 생성할 수 있다.
이 때 학습부(700')는 심층신경망을 소정의 학습사이클을 가지고 반복하여 기계학습시켜 인공지능 분류 모델(A')을 생성할 수 있는데, 그 학습사이클의 반복횟수는 검증부(900')로부터 생성된 모델성능정보에 따라 결정될 수 있다.
악성 파일 분류 장치(300')는 또한 분류대상판단부(1000')를 더 포함할 수 있다. 분류대상판단부(1000')는 새로 유입되는 멀티미디어 파일 및 그로부터 추출되는 액티브 콘텐트들의 액티브 콘텐트 집합에 대한 특성정보를 받아 예측분류정보와 매칭된 특성정보와 대비함으로써 악성 여부를 미리 판단할 수 있다.
예를 들어, 예측분류정보 상에서 악성으로 판단되는 멀티미디어 파일을 수신하면 악성 파일 분류 장치(300')는 벡터데이터를 생성하는 전처리 과정을 거치지 않고도 관리부(1100')를 통해 파일에 포함된 액티브 콘텐트 집합을 곧바로 무해화하는 보안 조치를 취할 수 있다. 예컨대, 파일에 포함된 액티브 콘텐트들은 모두 무해화될 수 있다.
그 외의 분류대상판단부(1000') 및 관리부(1100')의 동작은 앞서 설명된 분류대상판단부(1100) 및 관리부(1100)의 동작을 참조한다.
악성 파일 분류 장치(300')는 또한 수집부(1200')를 더 포함할 수 있다. 수집부(1200')는 각종 멀티미디어 파일의 특성정보, 멀티미디어 파일로부터 추출되는 액티브 콘텐트들의 액티브 콘텐트 집합에 대한 특성 정보, 멀티미디어 파일이 포함된 액티브 콘텐트들, 샘플 액티브 콘텐트 집합에서 추출된 학습데이터 및 결과값, 벡터데이터 및 출력값, 멀티미디어 파일, 예측분류정보 등이 수집되어 저장될 수 있다. 또한 수집부(1200')에는 저장된 각종 데이터, 정보를 검색할 수 있는 인터페이스가 제공된다.
이러한 악성 파일 분류 장치(300')에 의해 파일이 달라지더라도 동일한 액티브 콘텐트 집합을 포함하는 경우는 악성 여부에 대해 동일한 판단이 나올 수 있고, 동일한 처리가 이루어질 수 있다.
<악성 액티브 콘텐트 집합을 포함한 파일을 분류하는 인공지능 기반 방법에 대한 설명 >
도 9는 본 발명의 일 실시예에 따른 악성 액티브 콘텐트 집합을 포함한 파일을 분류하는 인공지능 기반 방법을 도시한 순서도이다.
악성 액티브 콘텐트 집합을 포함한 파일을 분류하는 인공지능 기반 방법은 학습단계(S0'), 파일수신단계(S1'), 액티브콘텐트집합생성단계(S2'), 전처리단계(S3') 및 분류단계(S4')를 포함한다.
학습단계(S0')는 악성 여부가 사전에 분류된 샘플 액티브 콘텐트 집합의 특성이 추출된 학습데이터 및 샘플 액티브 콘텐트 집합의 악성 여부에 대한 결과값을 이용하여 심층신경망을 기계학습시켜 인공지능 분류 모델을 생성하는 단계이다.
파일수신단계(S1')에서는 다양한 유입채널로부터 멀티미디어 파일을 수신한다.
액티브콘텐트집합생성단계(S2')에서는 파일수신단계(S1')에서 수신된 멀티미디어 파일에 포함된 모든 액티브 콘텐트를 추출하여 액티브 콘텐트 집합을 생성한다.
전처리단계(S3')에서는 액티브 콘텐트 집합에서 기계학습에 필요한 특성을 선별적으로 추출하여 가공하는 전처리과정을 수행하여 벡터데이터를 생성한다.
분류단계(S4')에서는 전처리단계(S3')로부터 온 벡터데이터를 인공지능 분류 모델(A')로 입력하여 인공지능 분류 모델(A')이 출력하는 예측값에 따라 액티브 콘텐트 집합의 악성 여부를 예측하고, 그 악성 여부에 대한 예측분류정보를 생성한다.
상술한 악성 액티브 콘텐트 집합을 포함한 파일을 분류하는 인공지능 기반 방법의 단계들은 악성 파일 분류 장치에 의해 실행될 수도 있고, 악성 파일 분류 장치와 서버가 나누어 실행할 수도 있다.
이상에서 본 발명의 실시예에 대하여 상세하게 설명하였지만 본 발명의 권리범위는 이에 한정되는 것은 아니고 다음의 청구범위에서 정의하고 있는 본 발명의 기본 개념을 이용한 당업자의 여러 변형, 균등 내지 개량 형태 또한 본 발명의 권리범위에 속하는 것이다.
100: 사용자 단말기
200: 서버
300, 300': 악성 파일 분류 장치
400, 400': 파일수신부
500: 액티브콘텐트추출부
500': 액티브콘텐트집합생성부
600, 600': 전처리부
610: API시퀀스추출부분
620: 바이너리변환부분
630: 벡터데이터생성부분
700, 700': 학습부
800, 800': 분류부
900, 900': 검증부
1000, 1000': 분류대상판단부
1100, 1100': 관리부
1200, 1200': 수집부
S0, S0': 학습단계
S1, S1': 파일수신단계
S2: 액티브콘텐트추출단계
S2': 액티브콘텐트집합생성단계
S3, S3': 전처리단계
S4, S4': 분류단계

Claims (7)

  1. 다양한 유입채널로부터 멀티미디어 파일을 수신하는 파일수신부;
    상기 파일수신부에서 수신된 상기 멀티미디어 파일에 포함된 적어도 하나의 액티브 콘텐트를 추출하여 상기 멀티미디어 파일에 대한 액티브 콘텐트 집합을 생성하는 액티브콘텐트집합생성부;
    상기 액티브 콘텐트 집합에서 기계학습에 필요한 특성을 선별적으로 추출하여 가공하는 전처리과정을 수행하여 벡터데이터를 생성하는 전처리부;
    악성 여부가 사전에 분류된 샘플 액티브 콘텐트 집합의 특성이 추출된 학습데이터 및 상기 샘플 액티브 콘텐트 집합의 악성 여부에 대한 결과값을 이용하여 심층신경망을 기계학습시켜 인공지능 분류 모델을 생성하는 학습부; 및
    상기 전처리부로부터 온 상기 벡터데이터가 상기 인공지능 분류 모델로 입력되면 상기 인공지능 분류 모델이 출력하는 예측값에 따라 상기 액티브 콘텐트 집합의 악성 여부를 예측하고, 그 악성 여부에 대한 예측분류정보를 생성하는 분류부
    를 포함하는
    악성 멀티미디어 파일을 분류하는 인공지능 기반 장치.
  2. 제1항에 있어서,
    상기 학습부는 상기 심층신경망에 상기 학습데이터를 입력하여 출력값을 출력하고, 상기 결과값과 상기 출력값을 비교하여 오류를 계산하고, 상기 오류에 기초하여 상기 심층신경망의 가중치를 역전파방식으로 갱신함으로써 상기 인공지능 분류 모델을 생성하는
    악성 멀티미디어 파일을 분류하는 인공지능 기반 장치.
  3. 제1항에 있어서,
    악성 여부가 사전에 분류된 검증용 액티브 콘텐트 집합을 이용하여 상기 인공지능 분류 모델의 성능을 검증하기 위한 검증부를 더 포함하고,
    상기 검증부는 상기 검증용 액티브 콘텐트 집합의 특성이 추출된 검증데이터를 상기 인공지능 분류 모델에 입력하여 출력되는 분류값과 상기 검증데이터에 라벨링된 상기 검증용 액티브 콘텐트 집합의 악성 여부에 대한 검증값을 비교하여 계산된 오차에 따라 상기 인공지능 분류 모델의 성능을 측정하여 모델성능정보를 생성하는
    악성 멀티미디어 파일을 분류하는 인공지능 기반 장치.
  4. 제3항에 있어서,
    상기 학습부는 상기 심층신경망을 학습사이클을 가지고 반복하여 기계학습시키되, 상기 학습사이클의 반복횟수는 상기 모델성능정보에 따라 결정되는
    악성 멀티미디어 파일을 분류하는 인공지능 기반 장치.
  5. 제1항에 있어서,
    상기 예측분류정보에 기초하여 해당 액티브 콘텐트 집합을 무해화하기 위한 관리부를 더 포함하는
    악성 멀티미디어 파일을 분류하는 인공지능 기반 장치.
  6. 악성 여부가 사전에 분류된 샘플 액티브 콘텐트 집합의 특성이 추출된 학습데이터 및 상기 샘플 액티브 콘텐트 집합의 악성 여부에 대한 결과값을 이용하여 심층신경망을 기계학습시켜 인공지능 분류 모델을 생성하는 학습단계;
    다양한 유입채널로부터 멀티미디어 파일을 수신하는 파일수신단계;
    상기 파일수신단계에서 수신된 상기 멀티미디어 파일에 포함된 적어도 하나의 액티브 콘텐트를 추출하여 액티브 콘텐트 집합을 생성하는 액티브콘텐트집합생성단계;
    상기 액티브 콘텐트 집합에서 기계학습에 필요한 특성을 선별적으로 추출하여 가공하는 전처리과정을 수행하여 벡터데이터를 생성하는 전처리단계; 및
    상기 전처리단계로부터 온 상기 벡터데이터가 상기 인공지능 분류 모델로 입력되면 상기 인공지능 분류 모델이 출력하는 예측값에 따라 상기 액티브 콘텐트 집합의 악성 여부를 예측하고, 그 악성 여부에 대한 예측분류정보를 생성하는 분류단계
    를 포함하는
    악성 멀티미디어 파일을 분류하는 인공지능 기반 방법.
  7. 제6항의 방법을 수행하는 프로그램을 기록한 컴퓨터 판독 가능 기록매체.
KR1020190107941A 2019-05-20 2019-09-02 악성 멀티미디어 파일을 분류하는 인공지능 기반 장치, 방법 및 그 방법을 수행하는 프로그램을 기록한 컴퓨터 판독 가능 기록매체 KR102241859B1 (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR1020190058508 2019-05-20
KR20190058508 2019-05-20

Publications (2)

Publication Number Publication Date
KR20200133644A true KR20200133644A (ko) 2020-11-30
KR102241859B1 KR102241859B1 (ko) 2021-04-20

Family

ID=73642010

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020190107941A KR102241859B1 (ko) 2019-05-20 2019-09-02 악성 멀티미디어 파일을 분류하는 인공지능 기반 장치, 방법 및 그 방법을 수행하는 프로그램을 기록한 컴퓨터 판독 가능 기록매체

Country Status (1)

Country Link
KR (1) KR102241859B1 (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2022145838A1 (ko) * 2020-12-28 2022-07-07 엑사비스 주식회사 회귀보안검사를 이용한 이상행위 학습 및 탐지 시스템 및 그 방법
KR102483797B1 (ko) * 2022-05-27 2023-01-03 엘아이지넥스원 주식회사 설명가능한 인공지능을 이용한 네트워크 패킷 공격의 원인 분석 방법, 이를 수행하는 장치 및 컴퓨터 프로그램

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP4435649A1 (en) * 2021-11-18 2024-09-25 Npcore, Inc. Apparatus and method for automatically analyzing malicious event log

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20070008210A (ko) * 2005-07-13 2007-01-17 한국전자통신연구원 유해 멀티미디어 정보 차단 방법 및 장치
US8838992B1 (en) * 2011-04-28 2014-09-16 Trend Micro Incorporated Identification of normal scripts in computer systems
KR101851233B1 (ko) * 2018-02-13 2018-04-23 (주)지란지교시큐리티 파일 내 포함된 악성 위협 탐지 장치 및 방법, 그 기록매체
KR101858620B1 (ko) * 2017-01-10 2018-05-17 고려대학교 산학협력단 기계 학습을 이용한 자바스크립트 분석 장치 및 방법
KR101863615B1 (ko) * 2017-05-24 2018-06-01 (주)이스트소프트 신경망 학습 기반의 변종 악성 코드를 탐지하기 위한 장치, 이를 위한 방법 및 이 방법을 수행하기 위한 프로그램이 기록된 컴퓨터 판독 가능한 기록매체

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20070008210A (ko) * 2005-07-13 2007-01-17 한국전자통신연구원 유해 멀티미디어 정보 차단 방법 및 장치
US8838992B1 (en) * 2011-04-28 2014-09-16 Trend Micro Incorporated Identification of normal scripts in computer systems
KR101858620B1 (ko) * 2017-01-10 2018-05-17 고려대학교 산학협력단 기계 학습을 이용한 자바스크립트 분석 장치 및 방법
KR101863615B1 (ko) * 2017-05-24 2018-06-01 (주)이스트소프트 신경망 학습 기반의 변종 악성 코드를 탐지하기 위한 장치, 이를 위한 방법 및 이 방법을 수행하기 위한 프로그램이 기록된 컴퓨터 판독 가능한 기록매체
KR101851233B1 (ko) * 2018-02-13 2018-04-23 (주)지란지교시큐리티 파일 내 포함된 악성 위협 탐지 장치 및 방법, 그 기록매체

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2022145838A1 (ko) * 2020-12-28 2022-07-07 엑사비스 주식회사 회귀보안검사를 이용한 이상행위 학습 및 탐지 시스템 및 그 방법
KR102483797B1 (ko) * 2022-05-27 2023-01-03 엘아이지넥스원 주식회사 설명가능한 인공지능을 이용한 네트워크 패킷 공격의 원인 분석 방법, 이를 수행하는 장치 및 컴퓨터 프로그램

Also Published As

Publication number Publication date
KR102241859B1 (ko) 2021-04-20

Similar Documents

Publication Publication Date Title
Alaiz-Moreton et al. Multiclass Classification Procedure for Detecting Attacks on MQTT‐IoT Protocol
EP3534284B1 (en) Classification of source data by neural network processing
KR102093275B1 (ko) 악성코드 감염 유도정보 판별 시스템, 프로그램이 기록된 저장매체 및 방법
EP3534283B1 (en) Classification of source data by neural network processing
Berman et al. A survey of deep learning methods for cyber security
Mahdavifar et al. Application of deep learning to cybersecurity: A survey
Li et al. Deeppayload: Black-box backdoor attack on deep learning models through neural payload injection
Vinayakumar et al. Evaluating deep learning approaches to characterize and classify malicious URL’s
US11108809B2 (en) System and method for analyzing binary code for malware classification using artificial neural network techniques
KR102241859B1 (ko) 악성 멀티미디어 파일을 분류하는 인공지능 기반 장치, 방법 및 그 방법을 수행하는 프로그램을 기록한 컴퓨터 판독 가능 기록매체
CN110933105B (zh) 一种Web攻击检测方法、系统、介质和设备
Zhao et al. Maldeep: A deep learning classification framework against malware variants based on texture visualization
Hojjatinia et al. Android botnet detection using convolutional neural networks
Li et al. Semi-supervised two-phase familial analysis of Android malware with normalized graph embedding
Karbab et al. Petadroid: adaptive android malware detection using deep learning
Yeboah et al. NLP technique for malware detection using 1D CNN fusion model
KR102202448B1 (ko) 파일 내 악성 위협을 처리하는 인공지능 기반 장치, 그 방법 및 그 기록매체
AlGarni et al. An efficient convolutional neural network with transfer learning for malware classification
Sharma et al. Windows and IoT malware visualization and classification with deep CNN and Xception CNN using Markov images
Ye et al. Android malware detection technology based on lightweight convolutional neural networks
Fathurrahman et al. Lightweight convolution neural network for image-based malware classification on embedded systems
Tang et al. MUDROID: Android malware detection and classification based on permission and behavior for autonomous vehicles
CN114282218A (zh) 一种攻击检测方法、装置、电子设备及存储介质
Vrejoiu Neural networks and deep learning in cyber security
Singh et al. SHIELD: A multimodal deep learning framework for Android malware detection

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant