KR20210056790A - Apparatus and methods for endpoint detection and reponse using dynamic analysis plans - Google Patents
Apparatus and methods for endpoint detection and reponse using dynamic analysis plans Download PDFInfo
- Publication number
- KR20210056790A KR20210056790A KR1020190143679A KR20190143679A KR20210056790A KR 20210056790 A KR20210056790 A KR 20210056790A KR 1020190143679 A KR1020190143679 A KR 1020190143679A KR 20190143679 A KR20190143679 A KR 20190143679A KR 20210056790 A KR20210056790 A KR 20210056790A
- Authority
- KR
- South Korea
- Prior art keywords
- analysis
- plan
- dynamic
- edr
- static
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Signal Processing (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Computer Networks & Wireless Communication (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
Description
본 발명은 동적인 분석 플랜을 이용한 EDR 기술에 관한 것으로, 더욱 상세하게는 정적 분석 결과를 반영하여 동적 분석을 위한 분석 플랜을 변경하여 이상 행위를 탐지할 수 있는 동적인 분석 플랜을 이용하는 EDR 장치 및 방법에 관한 것이다.The present invention relates to an EDR technology using a dynamic analysis plan, and more particularly, an EDR device using a dynamic analysis plan capable of detecting anomalies by changing an analysis plan for dynamic analysis by reflecting a static analysis result, and It's about the method.
EDR (Endpoint Detection and Response) 기술은 가트너(Gartner)에 의해 2013년 처음 소개되었다. 여기에서, EDR은 엔드포인트의 행위와 이벤트들을 기록하고, 수집된 행위와 이벤트들을 기반으로 공격을 탐지하고 대응하는 솔루션으로 정의되었다. 즉, EDR은 많은 사이버 공격의 목표이자 시작점을 엔드포인트로 규정하고, 엔드포인트에서 무슨 일이 일어나고 있는가라는 질문에서부터 출발한다.EDR (Endpoint Detection and Response) technology was first introduced in 2013 by Gartner. Here, EDR is defined as a solution that records the behavior and events of an endpoint, and detects and responds to attacks based on the collected behavior and events. In other words, EDR defines the target and starting point of many cyber attacks as endpoints, and starts with the question of what is happening at the endpoints.
EDR은 엔드포엔트에서 다양한 정보(예: 프로세스, 네트워크 트래픽, 레지스트리, 파일, 사용자)를 수집해서 엔드포인트의 가시성을 확보한 뒤, 수집된 다양한 정보를 기반으로 행위분석, 머신러닝, IOC(Indicator of Compromise) 탐지의 기술로 알려진 그리고 알려지지 않은 위협을 탐지할 수 있다. EDR은 파일 기반의 악성 코드뿐만 아니라 파일 없이 실행되는 악성 코드에 대한 공격도 탐지할 수 있다. 또한, EDR은 위협이 발견된 엔드포인트를 격리하고, 위협을 제거할 수 있도록 대응을 가능하게 할 수 있다.EDR collects various information (e.g. process, network traffic, registry, file, user) from the endpoint to secure the visibility of the endpoint, and then based on the collected various information, behavior analysis, machine learning, IOC (Indicator) of Compromise) can detect known and unknown threats with the technology of detection. EDR can detect attacks not only against file-based malicious code but also against malicious code that runs without a file. In addition, EDR can quarantine endpoints where threats are found and enable responses to eliminate threats.
EDR은 전통적인 엔드포인트 보안 플랫폼(Endpoint Protection Platform)의 방어 기술보다 악성 코드의 공격 방법과 기술을 더욱 빠르게 진화시켰다.EDR has evolved the attack method and technology of malicious code much faster than the defense technology of the traditional Endpoint Protection Platform.
본 발명의 일 실시예는 정적 분석 결과를 반영하여 동적 분석을 위한 분석 플랜을 변경하여 이상 행위를 탐지할 수 있는 동적인 분석 플랜을 이용하는 EDR 장치 및 방법을 제공하고자 한다.An embodiment of the present invention is to provide an EDR apparatus and method using a dynamic analysis plan capable of detecting abnormal behavior by changing an analysis plan for dynamic analysis by reflecting a static analysis result.
본 발명의 일 실시예는 분석 플랜의 편향성에 따라 편향된 정적 분석을 수행하고 그 결과를 반영하여 동적 분석을 위한 분석 플랜을 갱신할 수 있는 동적인 분석 플랜을 이용하는 EDR 장치 및 방법을 제공하고자 한다.An embodiment of the present invention is to provide an EDR apparatus and method using a dynamic analysis plan capable of performing a static analysis biased according to the bias of the analysis plan and updating the analysis plan for dynamic analysis by reflecting the result.
본 발명의 일 실시예는 동적 분석을 위한 분석 플랜에 포함된 분석 기법들의 유사도를 기초로 그룹화 하고 그룹별 대표 분석 기법을 결정하여 분석 순서에 따라 배치함으로써 분석 플랜의 편향성을 변경할 수 있는 동적인 분석 플랜을 이용하는 EDR 장치 및 방법을 제공하고자 한다.An embodiment of the present invention is a dynamic analysis capable of changing the bias of the analysis plan by grouping based on the similarity of analysis techniques included in the analysis plan for dynamic analysis, determining representative analysis techniques for each group, and arranging them according to the analysis order. We would like to provide an EDR device and method using a plan.
실시예들 중에서, 동적인 분석 플랜을 이용하는 EDR (Endpoint Detection & Response) 장치는 기 정의된 분석 시나리오에 따라 엔드포인트 단말 상에서 특정 파일의 동작에 관한 정적 및 동적 분석들 각각의 분석 플랜을 생성하는 분석 플랜 수립부, 상기 분석 플랜에 따라 상기 동작에 관한 편향(bias) 정적 분석을 수행하는 정적 분석 수행부, 상기 편향 정적 분석의 결과를 반영하여 상기 동적 분석에 대한 분석 플랜을 조정하는 분석 플랜 조정부, 조정된 상기 분석 플랜을 기초로 상기 동작에 관한 동적 분석을 수행하는 동적 분석 수행부 및 상기 동적 분석에 따라 상기 동작에 관한 이상 패턴이 검출된 경우 상기 특정 파일에 대해 비지도 학습 기반의 멀웨어(malware) 탐지를 수행하여 악성여부를 결정하는 악성 행위 탐지부를 포함한다.Among the embodiments, an EDR (Endpoint Detection & Response) device using a dynamic analysis plan is an analysis that generates an analysis plan for each of static and dynamic analysis on the operation of a specific file on the endpoint terminal according to a predefined analysis scenario. A plan establishment unit, a static analysis performing unit that performs a static analysis of the bias on the operation according to the analysis plan, an analysis plan adjustment unit that adjusts an analysis plan for the dynamic analysis by reflecting the result of the biased static analysis, A dynamic analysis performing unit that performs dynamic analysis on the operation based on the adjusted analysis plan, and unsupervised learning-based malware for the specific file when an abnormal pattern related to the operation is detected according to the dynamic analysis. ) It includes a malicious behavior detection unit that determines whether it is malicious by performing detection.
상기 분석 플랜 수립부는 복수의 분석 기법들에 관한 분석 순서의 조합으로 정의되는 분석 플랜들의 집합에서 상기 분석 시나리오에 매칭되고 상기 정적 및 동적 분석들 각각에 대응되는 분석 플랜을 결정하고, 상기 분석 플랜들 각각은 해당 분석 플랜을 구성하는 분석 기법들 간의 유사도에 따른 편향성을 포함할 수 있다.The analysis plan establishment unit determines an analysis plan that matches the analysis scenario and corresponds to each of the static and dynamic analyzes from a set of analysis plans defined as a combination of an analysis order of a plurality of analysis techniques, and the analysis plans Each may include a bias according to the similarity between the analysis techniques constituting the corresponding analysis plan.
상기 정적 분석 수행부는 상기 집합에서 상기 편향성이 임계기준 이상인 분석 플랜들 중 어느 하나를 랜덤으로 선별하여 상기 편향 정적 분석을 수행할 수 있다.The static analysis performing unit may perform the bias static analysis by randomly selecting any one of analysis plans having the bias equal to or greater than a threshold criterion from the set.
상기 분석 플랜 조정부는 상기 편향 정적 분석의 결과 불명확(uncertain)으로 분류되는 경우 상기 동적 분석에 대한 분석 플랜의 편향성을 변경할 수 있다.The analysis plan adjustment unit may change the bias of the analysis plan for the dynamic analysis when the bias is classified as unclear as a result of the static analysis.
상기 분석 플랜 조정부는 상기 동적 분석에 대한 분석 플랜에 대해 분석 기법들 간의 유사도를 기초로 분석 기법들을 그룹화 하는 제1 단계, 상기 그룹화된 분석 기법들의 그룹들 각각에 대한 대표 분석 기법을 결정하는 제2 단계 및 상기 대표 분석 기법들을 분석 순서에 따라 배치하는 제3 단계를 수행함으로써 상기 동적 분석에 대한 분석 플랜의 편향성을 변경할 수 있다.The analysis plan adjustment unit includes a first step of grouping analysis techniques based on similarity between analysis techniques with respect to the analysis plan for the dynamic analysis, and a second determining a representative analysis technique for each of the grouped analysis techniques. By performing a step and a third step of arranging the representative analysis techniques according to an analysis order, it is possible to change the bias of the analysis plan for the dynamic analysis.
상기 분석 플랜 조정부는 상기 대표 분석 기법들 과의 유사도가 특정 기준 이하인 분석 기법들을 선별하여 상기 대표 분석 기법들 사이에 배치하는 제4 단계를 추가 수행함으로써 상기 동적 분석에 대한 분석 플랜의 편향성을 변경할 수 있다.The analysis plan adjustment unit may change the bias of the analysis plan for the dynamic analysis by performing an additional fourth step of selecting analysis methods having a similarity with the representative analysis methods less than a specific criterion and arranging them between the representative analysis methods. have.
상기 악성 행위 탐지부는 파일 동작에 관한 SYSCALL 그래프 모집단을 통해 형성된 비지도학습 네트워크를 통해 상기 특정 파일에서 예상되는 행위가 알려지지 않은 위협을 발생시킬 가능성을 결정할 수 있다.The malicious behavior detection unit may determine a possibility that an expected behavior in the specific file generates an unknown threat through an unsupervised learning network formed through a SYSCALL graph population related to a file operation.
실시예들 중에서, 동적인 분석 플랜을 이용하는 EDR 방법은 기 정의된 분석 시나리오에 따라 엔드포인트 단말 상에서 특정 파일의 동작에 관한 정적 및 동적 분석들 각각의 분석 플랜을 생성하는 단계, 상기 분석 플랜에 따라 상기 동작에 관한 편향(bias) 정적 분석을 수행하는 단계, 상기 편향 정적 분석의 결과를 반영하여 상기 동적 분석에 대한 분석 플랜을 조정하는 단계, 조정된 상기 분석 플랜을 기초로 상기 동작에 관한 동적 분석을 수행하는 단계 및 상기 동적 분석에 따라 상기 동작에 관한 이상 패턴이 검출된 경우 상기 특정 파일에 대해 비지도 학습 기반의 멀웨어(malware) 탐지를 수행하여 악성여부를 결정하는 단계를 포함한다.Among the embodiments, the EDR method using a dynamic analysis plan includes generating an analysis plan for each of static and dynamic analysis on the operation of a specific file on an endpoint terminal according to a predefined analysis scenario, according to the analysis plan. Performing a static bias analysis on the motion, adjusting an analysis plan for the dynamic analysis by reflecting the result of the static bias analysis, and dynamic analysis on the motion based on the adjusted analysis plan And determining whether or not it is malicious by performing unsupervised learning-based malware detection on the specific file when an abnormal pattern related to the operation is detected according to the dynamic analysis.
개시된 기술은 다음의 효과를 가질 수 있다. 다만, 특정 실시예가 다음의 효과를 전부 포함하여야 한다거나 다음의 효과만을 포함하여야 한다는 의미는 아니므로, 개시된 기술의 권리범위는 이에 의하여 제한되는 것으로 이해되어서는 아니 될 것이다.The disclosed technology can have the following effects. However, since it does not mean that a specific embodiment should include all of the following effects or only the following effects, it should not be understood that the scope of the rights of the disclosed technology is limited thereby.
본 발명의 일 실시예에 따른 동적인 분석 플랜을 이용하는 EDR 장치 및 방법은 분석 플랜의 편향성에 따라 편향된 정적 분석을 수행하고 그 결과를 반영하여 동적 분석을 위한 분석 플랜을 갱신할 수 있다.The EDR apparatus and method using the dynamic analysis plan according to an embodiment of the present invention may perform a static analysis biased according to the bias of the analysis plan and update the analysis plan for dynamic analysis by reflecting the result.
본 발명의 일 실시예에 따른 동적인 분석 플랜을 이용하는 EDR 장치 및 방법은 동적 분석을 위한 분석 플랜에 포함된 분석 기법들의 유사도를 기초로 그룹화 하고 그룹별 대표 분석 기법을 결정하여 분석 순서에 따라 배치함으로써 분석 플랜의 편향성을 변경할 수 있다.The EDR device and method using a dynamic analysis plan according to an embodiment of the present invention are grouped based on the similarity of analysis techniques included in the analysis plan for dynamic analysis, and a representative analysis technique for each group is determined and arranged according to the analysis order. By doing so, you can change the bias of the analysis plan.
도 1은 본 발명에 따른 동적인 분석 플랜을 이용하는 EDR 시스템의 구성을 설명하는 도면이다.
도 2는 도 1에 있는 EDR 장치의 물리적 구성을 설명하는 블록도이다.
도 3은 도 1에 있는 EDR 장치의 기능적 구성을 설명하는 블록도이다.
도 4는 도 1에 있는 EDR 장치에서 수행되는 동적인 분석 플랜을 이용하는 EDR 과정을 설명하는 순서도이다.
도 5는 본 발명의 일 실시예에 따른 동적인 분석 플랜을 이용하는 EDR 시스템을 설명하는 개념도이다.1 is a diagram illustrating the configuration of an EDR system using a dynamic analysis plan according to the present invention.
FIG. 2 is a block diagram illustrating a physical configuration of the EDR device in FIG. 1.
3 is a block diagram illustrating a functional configuration of the EDR device in FIG. 1.
4 is a flowchart illustrating an EDR process using a dynamic analysis plan performed in the EDR device of FIG. 1.
5 is a conceptual diagram illustrating an EDR system using a dynamic analysis plan according to an embodiment of the present invention.
본 발명에 관한 설명은 구조적 내지 기능적 설명을 위한 실시예에 불과하므로, 본 발명의 권리범위는 본문에 설명된 실시예에 의하여 제한되는 것으로 해석되어서는 아니 된다. 즉, 실시예는 다양한 변경이 가능하고 여러 가지 형태를 가질 수 있으므로 본 발명의 권리범위는 기술적 사상을 실현할 수 있는 균등물들을 포함하는 것으로 이해되어야 한다. 또한, 본 발명에서 제시된 목적 또는 효과는 특정 실시예가 이를 전부 포함하여야 한다거나 그러한 효과만을 포함하여야 한다는 의미는 아니므로, 본 발명의 권리범위는 이에 의하여 제한되는 것으로 이해되어서는 아니 될 것이다.Since the description of the present invention is merely an embodiment for structural or functional description, the scope of the present invention should not be construed as being limited by the embodiments described in the text. That is, since the embodiments can be variously changed and have various forms, the scope of the present invention should be understood to include equivalents capable of realizing the technical idea. In addition, since the object or effect presented in the present invention does not mean that a specific embodiment should include all or only such effects, the scope of the present invention should not be understood as being limited thereto.
한편, 본 출원에서 서술되는 용어의 의미는 다음과 같이 이해되어야 할 것이다.Meanwhile, the meaning of terms described in the present application should be understood as follows.
"제1", "제2" 등의 용어는 하나의 구성요소를 다른 구성요소로부터 구별하기 위한 것으로, 이들 용어들에 의해 권리범위가 한정되어서는 아니 된다. 예를 들어, 제1 구성요소는 제2 구성요소로 명명될 수 있고, 유사하게 제2 구성요소도 제1 구성요소로 명명될 수 있다.Terms such as "first" and "second" are used to distinguish one component from other components, and the scope of rights is not limited by these terms. For example, a first component may be referred to as a second component, and similarly, a second component may be referred to as a first component.
어떤 구성요소가 다른 구성요소에 "연결되어"있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결될 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어"있다고 언급된 때에는 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다. 한편, 구성요소들 간의 관계를 설명하는 다른 표현들, 즉 "~사이에"와 "바로 ~사이에" 또는 "~에 이웃하는"과 "~에 직접 이웃하는" 등도 마찬가지로 해석되어야 한다.When a component is referred to as being "connected" to another component, it should be understood that although it may be directly connected to the other component, another component may exist in the middle. On the other hand, when it is mentioned that a component is "directly connected" to another component, it should be understood that there is no other component in the middle. On the other hand, other expressions describing the relationship between components, that is, "between" and "just between" or "neighboring to" and "directly neighboring to" should be interpreted as well.
단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한 복수의 표현을 포함하는 것으로 이해되어야 하고, "포함하다"또는 "가지다" 등의 용어는 실시된 특징, 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것이 존재함을 지정하려는 것이며, 하나 또는 그 이상의 다른 특징이나 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.Singular expressions are to be understood as including plural expressions unless the context clearly indicates otherwise, and terms such as "comprises" or "have" refer to implemented features, numbers, steps, actions, components, parts, or It is to be understood that it is intended to designate that a combination exists and does not preclude the presence or addition of one or more other features, numbers, steps, actions, components, parts, or combinations thereof.
각 단계들에 있어 식별부호(예를 들어, a, b, c 등)는 설명의 편의를 위하여 사용되는 것으로 식별부호는 각 단계들의 순서를 설명하는 것이 아니며, 각 단계들은 문맥상 명백하게 특정 순서를 기재하지 않는 이상 명기된 순서와 다르게 일어날 수 있다. 즉, 각 단계들은 명기된 순서와 동일하게 일어날 수도 있고 실질적으로 동시에 수행될 수도 있으며 반대의 순서대로 수행될 수도 있다.In each step, the identification code (e.g., a, b, c, etc.) is used for convenience of explanation, and the identification code does not describe the order of each step, and each step has a specific sequence clearly in the context. Unless otherwise stated, it may occur differently from the stated order. That is, each of the steps may occur in the same order as the specified order, may be performed substantially simultaneously, or may be performed in the reverse order.
본 발명은 컴퓨터가 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현될 수 있고, 컴퓨터가 읽을 수 있는 기록 매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록 장치를 포함한다. 컴퓨터가 읽을 수 있는 기록 매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 플로피 디스크, 광 데이터 저장 장치 등이 있다. 또한, 컴퓨터가 읽을 수 있는 기록 매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어, 분산 방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수 있다.The present invention can be implemented as computer-readable code on a computer-readable recording medium, and the computer-readable recording medium includes all types of recording devices storing data that can be read by a computer system. . Examples of computer-readable recording media include ROM, RAM, CD-ROM, magnetic tapes, floppy disks, and optical data storage devices. Further, the computer-readable recording medium is distributed over a computer system connected by a network, so that computer-readable codes can be stored and executed in a distributed manner.
여기서 사용되는 모든 용어들은 다르게 정의되지 않는 한, 본 발명이 속하는 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가진다. 일반적으로 사용되는 사전에 정의되어 있는 용어들은 관련 기술의 문맥상 가지는 의미와 일치하는 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한 이상적이거나 과도하게 형식적인 의미를 지니는 것으로 해석될 수 없다.All terms used herein have the same meaning as commonly understood by one of ordinary skill in the field to which the present invention belongs, unless otherwise defined. Terms defined in commonly used dictionaries should be construed as having meanings in the context of related technologies, and cannot be construed as having an ideal or excessively formal meaning unless explicitly defined in the present application.
도 1은 본 발명에 따른 동적인 분석 플랜을 이용하는 EDR 시스템의 구성을 설명하는 도면이다.1 is a diagram illustrating the configuration of an EDR system using a dynamic analysis plan according to the present invention.
도 1을 참조하면, 동적인 분석 플랜을 이용하는 EDR 시스템(100)은 EDR 단말 장치(110), EDR 장치(130) 및 데이터베이스(150)를 포함할 수 있다.Referring to FIG. 1, an
EDR 단말 장치(110)는 네트워크에 접근하는 사용자의 신원을 인증하고 사용자의 행위를 추적하여 시스템에 위협이 되는 행위를 감지할 수 있는 컴퓨팅 장치에 해당할 수 있고, 스마트폰, 노트북 또는 컴퓨터로 구현될 수 있으며, 반드시 이에 한정되지 않고, 태블릿 PC 등 다양한 디바이스로도 구현될 수 있다. EDR 단말 장치(110)는 EDR 장치(130)와 네트워크를 통해 연결될 수 있고, 복수의 EDR 단말 장치(110)들은 EDR 장치(130)와 동시에 연결될 수 있다. The
일 실시예에서, EDR 단말 장치(110)는 엔드포인트(endpoint) 단말로서 사용자 또는 업무용 PC에 해당할 수 있고, 사용자 행위들에 관한 정보를 수집하고 이를 프론트-엔드 서버로 전송하는 동작을 수행하는 엔드포인트 에이전트의 동작을 제어할 수 있다. 또한, EDR 단말 장치(110)는 사용자의 신원을 인증할 수 있고, 엔드포인트 에이전트와 연동하여 사용자의 접근 및 이용을 제한할 수 있다.In one embodiment, the
여기에서, 엔드포인트 에이전트는 엔드포인트 단말 상에서 동작하는 프로그램에 해당할 수 있고, 사용자 행위를 모니터링 하는 역할을 수행할 수 있다. 엔드포인트 에이전트는 사용자 트래커(tracker), 네트워크 데이터 트래커, 파일 메타데이터 처리기 및 시큐리티 정책 집행기를 포함할 수 있다.Here, the endpoint agent may correspond to a program running on the endpoint terminal and may perform a role of monitoring user behavior. The endpoint agent may include a user tracker, a network data tracker, a file metadata handler, and a security policy enforcer.
사용자 트래커는 사용자의 행위를 추적하는 동작을 수행할 수 있고, 네트워크 데이터 트래커는 네트워크 트래픽 데이터를 수집하고 분석하는 동작을 수행할 수 있으며, 파일 메타데이터 처리기는 파일로부터 메타데이터를 추출하고 분석하는 동작을 수행할 수 있고, 시큐리티 정책 집행기는 프론트-엔드 서버로부터 수신된 시큐리티 정책에 따라 사용자의 행위에 대한 허용여부를 결정하는 동작을 수행할 수 있다.User tracker can perform actions to track user behavior, network data tracker can perform actions to collect and analyze network traffic data, and file metadata handler actions to extract and analyze metadata from files. May be performed, and the security policy executor may perform an operation of determining whether to allow the user's behavior according to the security policy received from the front-end server.
일 실시예에서, EDR 단말 장치(110)는 사용자의 행위와 연관된 파일 데이터를 추적하여 특정 파일과 연관된 동작 데이터를 EDR 장치(130)에 제공할 수 있다. 또한, EDR 단말 장치(110)는 특정 파일의 동작과 연관된 SYSCALL 그래프를 생성하여 프론트-엔드 서버 및 EDR 장치(130)에게 제공할 수 있다. 이를 위하여, EDR 단말 장치(110)는 사용자의 행위와 연관된 데이터를 비-파일 데이터와 파일 데이터로 분류할 수 있고, 파일 데이터를 선별하여 프론트-엔드 서버 및 EDR 장치(130)로 전송할 수 있다.In an embodiment, the
즉, EDR 단말 장치(110)는 사용자의 행위들이 파일과 연관되었는지를 기준으로 파일 데이터와 비-파일 데이터로 구분할 수 있고, 파일 데이터를 프론트-엔드 서버에게 제공할 수 있다. 한편, 프론트-엔드 서버는 특정 파일에 관한 파일 내용이 변경된 경우 해당 파일 정보를 EDR 장치(130)에게 전송할 수 있다.That is, the
EDR 장치(130)는 EDR 단말 장치(110)로부터 SIEM(Security Information and Event Management) 기반의 위협행위를 검출하고 인공지능 기반의 위협행위를 분석하며 시큐리티 정책의 생성 및 갱신에 관한 동작을 수행하는 컴퓨터 또는 프로그램에 해당하는 서버로 구현될 수 있다. 또한, EDR 장치(130)는 프론트-엔드 서버와의 연동을 통해 사용자의 행위에 관한 학습, 분석 및 탐지 등의 동작을 수행할 수 있다. The
이 때, 프론트-엔드 서버는 EDR 단말 장치(110)로부터 수집된 사용자의 행위에 관한 정보를 별도의 저장공간에 저장하고 관리하는 동작을 수행할 수 있다. 이러한 동작을 위해 프론트-엔드 서버는 엔드포인트 에이전트 처리기를 포함하여 구현될 수 있다. 엔드포인트 에이전트 처리기는 엔드포인트 단말의 접속 및 사용자 추적 세션을 관리하여 사용자 행위에 관한 정보를 추적 및 수집하는 동작을 수행할 수 있다.In this case, the front-end server may perform an operation of storing and managing information on a user's behavior collected from the
한편, EDR 장치(130)는 SIEM 기반 위협행위 검출기 및 비지도학습 기반 위협행위 분석기를 포함하여 구현될 수 있다. 또한, EDR 장치(130)는 EDR 단말 장치(110) 및 프론트-엔드 서버와 블루투스, WiFi, 통신망 등을 통해 무선으로 연결될 수 있고, 네트워크를 통해 EDR 단말 장치(110) 및 프론트-엔드 서버와 데이터를 주고받을 수 있다.Meanwhile, the
일 실시예에서, EDR 장치(130)는 데이터베이스(150)와 연동하여 엔드포인트 단말로부터 수집한 정보를 기초로 위협행위 검출 및 분석, 그리고 시큐리티 정책의 생성 및 갱신에 관한 동작을 수행할 수 있다. 한편, EDR 장치(130)는 도 1과 달리, 데이터베이스(150)를 내부에 포함하여 구현될 수 있고, 독립적으로 구현된 SIEM(Security Information and Event Management) 모듈과 연동하여 동작할 수 있다.In one embodiment, the
여기에서, SIEM 모듈은 빅데이터의 방대한 정보 속에서 단순한 로그 수집 및 분석이 아닌 사후에 추적 등이 가능하도록 상관분석과 포렌식 기능을 제공해주는 지능적 위협에 대한 조기 경고 모니터링 체계에 해당할 수 있다. 즉, SIEM 모듈은 정보시스템의 보안 정보 및 이벤트 관리를 통해 내부 및 외부 위협을 모니터링 함으로써 외부의 공격은 물론, 내부 정보유출 또한 방지하는 기능을 수행할 수 있다.Here, the SIEM module may correspond to an early warning monitoring system for intelligent threats that provides correlation analysis and forensic functions to enable post-mortem tracking, etc., rather than simple log collection and analysis in the vast information of big data. That is, the SIEM module can perform a function to prevent external attacks as well as internal information leakage by monitoring internal and external threats through the security information and event management of the information system.
또한, EDR 장치(130)는 프로세서, 메모리, 사용자 입출력부 및 네트워크 입출력부를 포함하여 구현될 수 있으며, 이에 대해서는 도 2에서 보다 자세히 설명한다.In addition, the
데이터베이스(150)는 EDR 장치(130)의 동작 과정에서 필요한 다양한 정보들을 저장하는 저장장치에 해당할 수 있다. 데이터베이스(150)는 EDR 단말 장치(110)로부터 수집된 사용자 행위에 관한 정보를 저장할 수 있으나, 반드시 이에 한정되지 않고, EDR 단말 장치(110) 및 프론트-엔드 서버와의 연동 과정에서 다양한 형태로 수집 또는 가공된 정보들을 저장할 수 있다.The
일 실시예에서, 데이터베이스(150)는 독립적으로 구현된 SIEM 모듈과 연동하여 동작할 수 있다. 한편, SIEM 모듈은 독립적인 데이터베이스 모듈로서 구현될 수 있고, 이 경우 데이터베이스(150)는 SIEM 모듈을 포함하여 정의될 수 있다.In one embodiment, the
도 2는 도 1에 있는 EDR 장치의 물리적 구성을 설명하는 블록도이다.FIG. 2 is a block diagram illustrating a physical configuration of the EDR device in FIG. 1.
도 2를 참조하면, EDR 장치(130)는 프로세서(210), 메모리(230), 사용자 입출력부(250) 및 네트워크 입출력부(270)를 포함하여 구현될 수 있다.Referring to FIG. 2, the
프로세서(210)는 EDR 장치(130)의 각 동작을 처리하는 프로시저를 실행할 수 있고, 그 과정 전반에서 읽혀지거나 작성되는 메모리(230)를 관리할 수 있으며, 메모리(230)에 있는 휘발성 메모리와 비휘발성 메모리 간의 동기화 시간을 스케줄할 수 있다. 프로세서(210)는 EDR 장치(130)의 동작 전반을 제어할 수 있고, 메모리(230), 사용자 입출력부(250) 및 네트워크 입출력부(270)와 전기적으로 연결되어 이들 간의 데이터 흐름을 제어할 수 있다. 프로세서(210)는 EDR 장치(130)의 CPU(Central Processing Unit)로 구현될 수 있다.The
메모리(230)는 SSD(Solid State Drive) 또는 HDD(Hard Disk Drive)와 같은 비휘발성 메모리로 구현되어 EDR 장치(130)에 필요한 데이터 전반을 저장하는데 사용되는 보조기억장치를 포함할 수 있고, RAM(Random Access Memory)과 같은 휘발성 메모리로 구현된 주기억장치를 포함할 수 있다.The
사용자 입출력부(250)는 사용자 입력을 수신하기 위한 환경 및 사용자에게 특정 정보를 출력하기 위한 환경을 포함할 수 있다. 예를 들어, 사용자 입출력부(250)는 터치 패드, 터치 스크린, 화상 키보드 또는 포인팅 장치와 같은 어댑터를 포함하는 입력장치 및 모니터 또는 터치스크린과 같은 어댑터를 포함하는 출력장치를 포함할 수 있다. 일 실시예에서, 사용자 입출력부(250)는 원격 접속을 통해 접속되는 컴퓨팅 장치에 해당할 수 있고, 그러한 경우, EDR 장치(130)는 서버로서 수행될 수 있다.The user input/
네트워크 입출력부(270)은 네트워크를 통해 외부 장치 또는 시스템과 연결하기 위한 환경을 포함하고, 예를 들어, LAN(Local Area Network), MAN(Metropolitan Area Network), WAN(Wide Area Network) 및 VAN(Value Added Network) 등의 통신을 위한 어댑터를 포함할 수 있다.The network input/
도 3은 도 1에 있는 EDR 장치의 기능적 구성을 설명하는 블록도이다.3 is a block diagram illustrating a functional configuration of the EDR device in FIG. 1.
도 3을 참조하면, EDR 장치(130)는 분석 플랜 수립부(310), 정적 분석 수행부(320), 분석 플랜 조정부(330), 동적 분석 수행부(340), 악성 행위 탐지부(350) 및 제어부(360)를 포함할 수 있다.Referring to FIG. 3, the
분석 플랜 수립부(310)는 기 정의된 분석 시나리오에 따라 엔드포인트 단말 상에서 특정 파일의 동작에 관한 정적 및 동적 분석들 각각의 분석 플랜을 생성할 수 있다. 여기에서, 분석 시나리오는 엔드포인트 단말 상에서의 사용자 행위에 관한 분석을 위해 사전에 정의된 분석 내용으로서 분석 목적, 대상 및 방법을 구체적으로 한정하고 범위를 특정하여 생성될 수 있다. 분석 플랜 수립부(310)는 분석 시나리오와 엔드포인트 단말에 대한 기본 정보, 그리고 엔드포인트 단말의 운용 환경에 관한 정보를 기초로 정적 및 동적 분석을 위한 분석 플랜을 생성할 수 있다.The analysis
일 실시예에서, 분석 플랜 수립부(310)는 복수의 분석 기법들에 관한 분석 순서의 조합으로 정의되는 분석 플랜들의 집합에서 분석 시나리오에 매칭되고 정적 및 동적 분석들 각각에 대응되는 분석 플랜을 결정할 수 있다. 복수의 분석 기법들은 엔드포인트 단말에 대한 정적 분석 기법 및 동적 분석 기법들을 포함하고 각 분석 기법들 별로 분석 목적, 대상 및 방법이 구체적으로 특정되어 정의될 수 있다. In one embodiment, the analysis
또한, 분석 플랜은 정적 분석 또는 동적 분석 과정에서 어떠한 분석 기법을 사용할 것인지, 어떠한 순서로 분석을 수행할 것인지를 구체적으로 정의한 분석 방법론에 해당할 수 있다. 즉, 분석 플랜 수립부(310)는 분석 플랜들의 집합에서 분석 시나리오에 매칭되는 분석 플랜들을 결정할 수 있고, 정적 분석을 위한 분석 플랜과 동적 분석을 위한 분석 플랜을 각각 결정할 수 있다.In addition, the analysis plan may correspond to an analysis methodology that specifically defines what analysis technique to use in the static or dynamic analysis process, and in what order to perform the analysis. That is, the analysis
일 실시예에서, 복수의 분석 플랜들 각각은 해당 분석 플랜을 구성하는 분석 기법들 간의 유사도에 따른 편향성을 포함할 수 있다. 보다 구체적으로, 하나의 분석 플랜은 복수의 분석 기법들을 포함할 수 있고, 복수의 분석 기법들이 수행되는 순서가 특정되어 정의될 수 있다. 이 때, 분석 플랜에 포함된 복수의 분석 기법들이 서로 유사할수록 해당 분석 플랜에 따른 분석을 통해 도출되는 결과가 편향될 확률이 높아질 수 있다. In an embodiment, each of the plurality of analysis plans may include a bias according to similarity between analysis techniques constituting the corresponding analysis plan. More specifically, one analysis plan may include a plurality of analysis techniques, and an order in which the plurality of analysis techniques are performed may be specified and defined. In this case, as the plurality of analysis techniques included in the analysis plan are similar to each other, the probability that the result derived through the analysis according to the analysis plan is biased may increase.
즉, 분석 플랜들은 EDR 장치(130)에 의해 사전에 정의될 수 있고, 정의되는 시점에 각 분석 기법들 간의 유사도를 산출하고 유사도를 기초로 한 편향성을 특징 정보로서 포함할 수 있다. 분석 기법들 간의 유사도는 분석 목적의 유사도, 분석 대상의 유사도 및 분석 방법의 유사도를 통합하여 결정될 수 있고, 구체적인 수치로서 표현될 수 있다.That is, the analysis plans may be defined in advance by the
정적 분석 수행부(320)는 분석 플랜에 따라 특정 파일의 동작에 관한 편향(bias) 정적 분석을 수행할 수 있다. 여기에서, 편향(bias) 정적 분석은 분석 플랜의 편향성에 따라 특정 파일의 동작에 관한 정적 분석 결과도 편향된 결과가 도출되는 정적 분석에 해당할 수 있다. 예를 들어, 분석 플랜에 포함된 분석 기법들이 트로이 목마(Trojan)에 속하는 멀웨어(malware) 탐지에 특화된 기법들인 경우 해당 분석 플랜에 따른 정적 분석의 결과는 트로이 목마에 속하는지 여부를 높은 확률로 예측할 수 있다. 즉, 편향 정적 분석은 분석 플랜의 편향성이 높을수록 편향성 높은 분석 결과를 제공할 수 있다.The static
일 실시예에서, 정적 분석 수행부(320)는 분석 플랜들의 집합에서 편향성이 임계기준 이상인 분석 플랜들 중 어느 하나를 랜덤으로 선별하여 편향 정적 분석을 수행할 수 있다. 정적 분석 수행부(320)는 분석 시나리오에 따라 분석 플랜들의 집합에서의 선별 기준이 되는 임계기준을 결정할 수 있고, 분석 플랜의 편향성이 임계기준 이상인 분석 플랜들을 선별하여 편향 정적 분석을 수행할 수 있다.In an embodiment, the static
분석 플랜 조정부(330)는 편향 정적 분석의 결과를 반영하여 동적 분석에 대한 분석 플랜을 조정할 수 있다. EDR 장치(130)는 분석 플랜 조정부(330)를 통해 분석 플랜 수립부(310)가 1차적으로 생성한 분석 플랜을 분석 과정에서 동적으로 갱신할 수 있다. 특히, 동적 분석에 대한 분석 플랜은 편향 정적 분석의 결과를 반영함으로써 편향된 정적 분석 결과를 기초로 멀웨어 탐지를 효과적으로 수행할 수 있다.The analysis
일 실시예에서, 분석 플랜 조정부(330)는 편향 정적 분석의 결과 불명확(uncertain)으로 분류되는 경우 동적 분석에 대한 분석 플랜의 편향성을 변경할 수 있다. 편향 정적 분석은 그 결과로서 특정 파일에 관한 동작의 정상(normal), 이상(abnormal) 및 불명확(uncertain) 중 어느 하나를 제공할 수 있다. 분석 플랜 조정부(330)는 편향 정적 분석의 결과가 불명확으로 분류된 경우 보다 정확도 높은 분석 결과를 도출하기 위하여 동적 분석에 대한 분석 플랜의 편향성을 변경할 수 있다. 따라서, 분석 플랜 조정부(330)는 편향 정적 분석의 결과가 명확한 경우, 예를 들어, 정상 또는 이상으로 분류된 경우에는 분석 플랜에 따라 동적 분석을 수행할 수 있음은 물론이다.In an embodiment, the
일 실시예에서, 분석 플랜 조정부(330)는 동적 분석에 대한 분석 플랜에 대해 분석 기법들 간의 유사도를 기초로 분석 기법들을 그룹화 하는 제1 단계, 그룹화된 분석 기법들의 그룹들 각각에 대한 대표 분석 기법을 결정하는 제2 단계 및 대표 분석 기법들을 분석 순서에 따라 배치하는 제3 단계를 수행함으로써 동적 분석에 대한 분석 플랜의 편향성을 변경할 수 있다.In one embodiment, the analysis
보다 구체적으로, 분석 플랜 조정부(330)는 동적 분석에 대한 분석 플랜에 대해 분석 기법들 간의 유사도를 기초로 분석 기법들을 그룹화 할 수 있다. 하나의 분석 플랜은 복수의 분석 기법들을 포함하여 정의될 수 있고, 분석 플랜 조정부(330)는 복수의 분석 기법들을 분석 기법들 간의 유사도를 기초로 그룹화 할 수 있다. 이 경우 그룹화에 사용되는 알고리즘은 그룹화 대상의 중복 여부나 자료의 크기에 따라 계층적 알고리즘과 비계층적 알고리즘으로 구분될 수 있으며, 이에 대한 구체적인 설명은 생략한다.More specifically, the analysis
또한, 분석 플랜 조정부(330)는 그룹화된 분석 기법들의 그룹들 각각에 대한 대표 분석 기법을 결정할 수 있다. 예를 들어, 분석 플랜 조정부(330)는 그룹화를 통해 생성된 각 그룹에서 평균 분석 시간이 가장 짧은 분석 기법을 대표 분석 기법으로 결정할 수 있다.In addition, the analysis
또한, 분석 플랜 조정부(330)는 대표 분석 기법들을 분석 순서에 따라 배치할 수 있다. 즉, 분석 플랜 조정부(330)는 그룹화를 통해 생성된 각 그룹들을 분석 순서에 따라 배치할 수 있고, 각 그룹들을 대신하여 대표 분석 기법들을 분석 순서에 따라 배치함으로써 기존의 분석 플랜을 변경할 수 있다.In addition, the analysis
일 실시예에서, 분석 플랜 조정부(330)는 대표 분석 기법들 과의 유사도가 특정 기준 이하인 분석 기법들을 선별하여 대표 분석 기법들 사이에 배치하는 제4 단계를 추가 수행함으로써 동적 분석에 대한 분석 플랜의 편향성을 변경할 수 있다. 분석 플랜 조정부(330)는 분석 플랜에 포함되지 않는 분석 기법들을 대상으로 대표 분석 기법들 과의 유사하지 않은 분석 기법들을 선별하고, 분석 순서에 따라 배치된 대표 분석 기법들 사이에 각각 배치하여 동적 분석에 대한 기존의 분석 플랜을 변경할 수 있다. 결과적으로, 분석 플랜에 포함된 분석 기법의 변경으로 인해 해당 분석 플랜의 편향성 역시 변경될 수 있다.In one embodiment, the analysis
동적 분석 수행부(340)는 조정된 분석 플랜을 기초로 파일의 동작에 관한 동적 분석을 수행할 수 있다. 동적 분석은 격리된(isolated) 가상 환경에서 파일에 관한 동작을 실행하면서 그 행위를 분석하는 기법으로 상대적으로 정확도 높은 결과를 획득할 수 있다. 그러나, 동적 분석은 정적 분석에 비해 상대적으로 많은 시간이 소요될 수 있고, 가상 환경의 구축과 운용에 추가적인 노력이 필요하다는 단점을 가질 수 있다.The dynamic
일 실시예에서, 동적 분석 수행부(340)는 분석 대상의 객체 유형에 따라 동작에 관한 프로파일을 선택하는 프로파일 선택 모듈, 가상 런타임 환경에서 객체에 관한 시뮬레이션 환경을 제공하는 시뮬레이션 모듈, 가상 런타임 환경에서 객체를 동작시켜 분석 플랜에 따른 동적 분석을 수행하는 동작 모듈을 포함할 수 있다.In one embodiment, the dynamic
악성 행위 탐지부(350)는 동적 분석에 따라 파일의 동작에 관한 이상 패턴이 검출된 경우 특정 파일에 대해 비지도 학습 기반의 멀웨어(malware) 탐지를 수행하여 악성여부를 결정할 수 있다. 동적 분석 수행부(340)는 동적 분석을 통해 편향된 행위의 패턴을 이상 패턴으로서 검출할 수 있고, 악성 행위 탐지부(350)는 동적 분석 수행부(340)에 의한 검출에 따라 특정 파일에 대해 멀웨어 탐지 기법을 적용할 수 있다. 특히, 악성 행위 탐지부(350)는 비지도 학습을 통해 구축된 탐지 모델을 활용하여 악성여부를 결정할 수 있다.When an abnormal pattern related to an operation of a file is detected according to a dynamic analysis, the malicious
일 실시예에서, 악성 행위 탐지부(350)는 파일 동작에 관한 SYSCALL 그래프 모집단을 통해 형성된 비지도학습 네트워크를 통해 특정 파일에서 예상되는 행위가 알려지지 않은 위협을 발생시킬 가능성을 결정할 수 있다. 악성 행위 탐지부(350)는 특정 파일에 대한 사용자 행위에 기초하여 위협패턴을 검출할 수 있고, 이를 위하여 사전에 구축된 학습 결과를 사용할 수 있다. In an embodiment, the malicious
여기에서, 비지도학습 네트워크는 SYSCALL 그래프 모집단으로부터 추출된 학습데이터를 학습하여 생성된 학습 모델에 해당할 수 있고, 파일에 대한 사용자 행위가 알려지지 않은 위협을 발생시킬 수 있는지에 관한 정보를 제공할 수 있다. 즉, 악성 행위 탐지부(350)는 특정 파일에 관한 SYSCALL 그래프를 학습 네트워크에 입력하여 알려지지 않은 위협에 관한 정보를 획득할 수 있다. Here, the unsupervised learning network can correspond to the learning model generated by learning the learning data extracted from the SYSCALL graph population, and can provide information on whether user actions on the file can cause unknown threats. have. That is, the malicious
또한, SYSCALL 그래프 모집단은 라벨(label)이 부여되지 않은 파일의 SYSCALL 그래프의 집합에 해당할 수 있다. 따라서, 비지도학습 네트워크는 입력된 SYSCALL 그래프를 기초로 기존에 알려지지 않았지만 파일 또는 시스템의 동작과 관련하여 사용자에게 위협이 될 수 있는 이상행위에 해당할 확률에 관한 정보를 출력으로서 제공할 수 있다.In addition, the SYSCALL graph population may correspond to a set of SYSCALL graphs of files to which no label is assigned. Accordingly, the unsupervised learning network can provide information on the probability of an abnormal behavior that may be a threat to a user in relation to the operation of a file or system, although previously unknown based on the input SYSCALL graph.
일 실시예에서, 악성 행위 탐지부(350)는 비지도학습 네트워크의 출력으로서 특정 파일의 SYSCALL 그래프에 관한 패턴의 위험률을 획득하고 위험률이 임계값을 초과하는 경우 미리 정의된 정상 패턴과의 유사도를 기초로 알려지지 않은 위협의 발생 가능성을 결정할 수 있다. 악성 행위 탐지부(350)는 비지도학습 네트워크의 출력으로서 특정 파일의 SYSCALL 그래프에 관한 패턴의 위험률을 획득할 수 있고, 해당 위험률이 기준으로 미리 설정된 임계값을 초과하는 경우 알려지지 않은 위협으로서 1차 검출할 수 있다. 악성 행위 탐지부(350)는 1차 검출 결과를 기초로 사용자에게 알림을 제공할 수 있다.In one embodiment, the malicious
한편, 악성 행위 탐지부(350)는 1차 검출 결과로서 위험률이 임계값을 초과하는 경우 미리 정의된 정상 패턴과의 유사도를 기초로 알려지지 않은 위협의 발생 가능성을 2차 결정할 수 있다. 악성 행위 탐지부(350)는 특정 파일의 SYSCALL 그래프를 기초로 미리 정의된 정상 패턴들 과의 유사도를 각각 산출할 수 있고, 이를 기초로 알려지지 않은 위협의 발생 가능성을 2차적으로 산출할 수 있다. Meanwhile, when the risk rate exceeds a threshold value as a result of the primary detection, the malicious
예를 들어, 악성 행위 탐지부(350)는 정상 패턴들과의 유사도(a1, a2, ..., an)에 관한 전체 평균 α(= Σai / n)을 산출하고 알려지지 않은 위협의 발생 가능성 β(= 1 - α)를 산출할 수 있다. 이 때, 정상 패턴과의 유사도 ai는 정상 패턴 i와 유사할수록 그 값이 높아질 수 있다. 따라서, 전체 평균 α가 높을수록 정상 패턴에 해당할 확률이 높고, 알려지지 않은 위협의 발생 가능성 β는 낮아질 수 있다.For example, the malicious
제어부(360)는 EDR 장치(130)의 전체적인 동작을 제어하고, 분석 플랜 수립부(310), 정적 분석 수행부(320), 분석 플랜 조정부(330), 동적 분석 수행부(340) 및 악성 행위 탐지부(350) 간의 제어 흐름 또는 데이터 흐름을 관리할 수 있다.The
도 4는 도 1에 있는 EDR 장치에서 수행되는 동적인 분석 플랜을 이용하는 EDR 과정을 설명하는 순서도이다.4 is a flowchart illustrating an EDR process using a dynamic analysis plan performed in the EDR device of FIG. 1.
도 4를 참조하면, EDR 장치(130)는 분석 플랜 수립부(310)를 통해 기 정의된 분석 시나리오에 따라 엔드포인트 단말 상에서 특정 파일의 동작에 관한 정적 및 동적 분석들 각각의 분석 플랜을 생성할 수 있다(단계 S410). EDR 장치(130)는 정적 분석 수행부(320)를 통해 분석 플랜에 따라 특정 파일의 동작에 관한 편향(bias) 정적 분석을 수행할 수 있다(단계 S430). EDR 장치(130)는 분석 플랜 조정부(330)를 통해 편향 정적 분석의 결과를 반영하여 동적 분석에 대한 분석 플랜을 조정할 수 있다(단계 S450).Referring to FIG. 4, the
또한, EDR 장치(130)는 동적 분석 수행부(340)를 통해 조정된 분석 플랜을 기초로 파일의 동작에 관한 동적 분석을 수행할 수 있다(단계 S470). EDR 장치(130)는 악성 행위 탐지부(350)를 통해 동적 분석에 따라 파일의 동작에 관한 이상 패턴이 검출된 경우 특정 파일에 대해 비지도 학습 기반의 멀웨어(malware) 탐지를 수행하여 악성여부를 결정할 수 있다(단계 S490).In addition, the
도 5는 본 발명의 일 실시예에 따른 동적인 분석 플랜을 이용하는 EDR 시스템을 설명하는 개념도이다.5 is a conceptual diagram illustrating an EDR system using a dynamic analysis plan according to an embodiment of the present invention.
도 5를 참조하면, 동적인 분석 플랜을 이용하는 EDR 시스템(100)은 엔드포인트 단말(510)에서 동작하는 엔드포인트 에이전트, 프론트-엔드 서버(530) 및 분석 서버(550)를 포함할 수 있다. 이 경우, 프론트-엔드 서버(530) 및 분석 서버(550)는 EDR 장치(130)로서 구현될 수 있다. 또한, 엔드포인트 단말(510)은 EDR 단말 장치(110)에 해당할 수 있다.Referring to FIG. 5, an
프론트-엔드 서버(530)는 엔드포인트 에이전트로부터 수집된 정보를 기초로 분석 서버(550)에 엔드포인트의 가시성을 제공하는 동작을 수행할 수 있다. 분석 서버(550)는 엔드포인트 에이전트에서 사용하도록 시큐리티 정책을 생성하고 배포하는 역할을 수행할 수 있다. 이 때, 시큐리티 정책은 엔드포인트 단말(510) 상에서의 정적 및 동적 분석을 위한 분석 플랜을 포함할 수 있다.The front-
특히, 분석 서버(550)는 주기적으로 시큐리티 정책을 엔드포인트 에이전트에게 제공하여 엔드포인트 에이전트가 오프라인으로 동작할 경우에도 일정 수준 이상의 보안성을 유지할 수 있도록 유도할 수 있다. 분석 서버(550)는 관련 동작을 위하여 독립적인 SIEM(Security Information and Event Management) 모듈(570)과 연결될 수 있고, 분석(통계 또는 알람) 결과를 다양한 인터페이스를 통해 시각화하여 관리자에게 제공할 수 있다.In particular, the
도 5에서, 엔드포인트 단말(510)은 프론트-엔드 서버(530)와 연결되어 사용자 신원 기반 세션을 유지 및 갱신할 수 있고, 이를 기초로 사용자의 행위를 추적할 수 있다. 이를 위하여 프론트-엔드 서버(530)는 엔드포인트 단말(510)로부터의 요청에 따라 사용자 신원 기반 세션의 생성 및 유지에 활용되는 사용자 식별자를 제공할 수 있고, 사용자 신원 기반 세션을 통해 엔드포인트 단말(510)과의 데이터 교환을 처리할 수 있다.In FIG. 5, the
상기에서는 본 발명의 바람직한 실시예를 참조하여 설명하였지만, 해당 기술 분야의 숙련된 당업자는 하기의 특허 청구의 범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.Although the above has been described with reference to preferred embodiments of the present invention, those skilled in the art will variously modify and change the present invention within the scope not departing from the spirit and scope of the present invention described in the following claims. You will understand that you can do it.
100: 동적인 분석 플랜을 이용하는 EDR 시스템
110: EDR 단말 장치
130: EDR 장치
150: 데이터베이스
210: 프로세서
230: 메모리
250: 사용자 입출력부
270: 네트워크 입출력부
310: 분석 플랜 수립부
320: 정적 분석 수행부
330: 분석 플랜 조정부
340: 동적 분석 수행부
350: 악성 행위 탐지부
360: 제어부
510: 엔드포인트 단말
530: 프론트-엔드 서버
550: 분석서버
570: SIEM 모듈100: EDR system with dynamic analysis plan
110: EDR terminal device 130: EDR device
150: database
210: processor 230: memory
250: user input/output unit 270: network input/output unit
310: analysis plan establishment unit 320: static analysis execution unit
330: analysis plan adjustment unit 340: dynamic analysis execution unit
350: malicious behavior detection unit 360: control unit
510: endpoint terminal 530: front-end server
550: analysis server 570: SIEM module
Claims (8)
상기 분석 플랜에 따라 상기 동작에 관한 편향(bias) 정적 분석을 수행하는 정적 분석 수행부;
상기 편향 정적 분석의 결과를 반영하여 상기 동적 분석에 대한 분석 플랜을 조정하는 분석 플랜 조정부;
조정된 상기 분석 플랜을 기초로 상기 동작에 관한 동적 분석을 수행하는 동적 분석 수행부; 및
상기 동적 분석에 따라 상기 동작에 관한 이상 패턴이 검출된 경우 상기 특정 파일에 대해 비지도 학습 기반의 멀웨어(malware) 탐지를 수행하여 악성여부를 결정하는 악성 행위 탐지부를 포함하는 동적인 분석 플랜을 이용하는 EDR (Endpoint Detection & Response) 장치.
An analysis plan establishment unit that generates an analysis plan for each of static and dynamic analysis on the operation of a specific file on the endpoint terminal according to a predefined analysis scenario;
A static analysis performing unit that performs a static analysis of a bias on the operation according to the analysis plan;
An analysis plan adjustment unit adjusting an analysis plan for the dynamic analysis by reflecting the result of the biased static analysis;
A dynamic analysis performing unit that performs dynamic analysis on the operation based on the adjusted analysis plan; And
Using a dynamic analysis plan including a malicious behavior detection unit that determines whether it is malicious by performing unsupervised learning-based malware detection on the specific file when an abnormal pattern related to the operation is detected according to the dynamic analysis. EDR (Endpoint Detection & Response) device.
복수의 분석 기법들에 관한 분석 순서의 조합으로 정의되는 분석 플랜들의 집합에서 상기 분석 시나리오에 매칭되고 상기 정적 및 동적 분석들 각각에 대응되는 분석 플랜을 결정하고,
상기 분석 플랜들 각각은 해당 분석 플랜을 구성하는 분석 기법들 간의 유사도에 따른 편향성을 포함하는 것을 특징으로 하는 동적인 분석 플랜을 이용하는 EDR 장치.
The method of claim 1, wherein the analysis plan establishment unit
Determine an analysis plan that matches the analysis scenario and corresponds to each of the static and dynamic analyzes from a set of analysis plans defined as a combination of analysis orders for a plurality of analysis techniques,
EDR apparatus using a dynamic analysis plan, characterized in that each of the analysis plans includes a bias according to a similarity between analysis techniques constituting the corresponding analysis plan.
상기 집합에서 상기 편향성이 임계기준 이상인 분석 플랜들 중 어느 하나를 랜덤으로 선별하여 상기 편향 정적 분석을 수행하는 것을 특징으로 하는 동적인 분석 플랜을 이용하는 EDR 장치.
The method of claim 2, wherein the static analysis performing unit
EDR apparatus using a dynamic analysis plan, characterized in that the biased static analysis is performed by randomly selecting any one of the analysis plans having the bias equal to or greater than a threshold criterion from the set.
상기 편향 정적 분석의 결과 불명확(uncertain)으로 분류되는 경우 상기 동적 분석에 대한 분석 플랜의 편향성을 변경하는 것을 특징으로 하는 동적인 분석 플랜을 이용하는 EDR 장치.
The method of claim 1, wherein the analysis plan adjustment unit
EDR apparatus using a dynamic analysis plan, characterized in that when the result of the biased static analysis is classified as uncertain, the bias of the analysis plan for the dynamic analysis is changed.
상기 동적 분석에 대한 분석 플랜에 대해 분석 기법들 간의 유사도를 기초로 분석 기법들을 그룹화 하는 제1 단계, 상기 그룹화된 분석 기법들의 그룹들 각각에 대한 대표 분석 기법을 결정하는 제2 단계 및 상기 대표 분석 기법들을 분석 순서에 따라 배치하는 제3 단계를 수행함으로써 상기 동적 분석에 대한 분석 플랜의 편향성을 변경하는 것을 특징으로 하는 동적인 분석 플랜을 이용하는 EDR 장치.
The method of claim 4, wherein the analysis plan adjustment unit
A first step of grouping analysis techniques based on similarity between analysis techniques for the analysis plan for the dynamic analysis, a second step of determining a representative analysis technique for each of the grouped analysis techniques, and the representative analysis EDR apparatus using a dynamic analysis plan, characterized in that by performing a third step of arranging techniques according to an analysis order, the bias of the analysis plan for the dynamic analysis is changed.
상기 대표 분석 기법들 과의 유사도가 특정 기준 이하인 분석 기법들을 선별하여 상기 대표 분석 기법들 사이에 배치하는 제4 단계를 추가 수행함으로써 상기 동적 분석에 대한 분석 플랜의 편향성을 변경하는 것을 특징으로 하는 동적인 분석 플랜을 이용하는 EDR 장치.
The method of claim 5, wherein the analysis plan adjustment unit
Dynamic analysis characterized in that the bias of the analysis plan for the dynamic analysis is changed by additionally performing a fourth step of selecting analysis techniques having a similarity with the representative analysis techniques less than a specific criterion and placing them between the representative analysis techniques. EDR device using a phosphorus analysis plan.
파일 동작에 관한 SYSCALL 그래프 모집단을 통해 형성된 비지도학습 네트워크를 통해 상기 특정 파일에서 예상되는 행위가 알려지지 않은 위협을 발생시킬 가능성을 결정하는 것을 특징으로 하는 동적인 분석 플랜을 이용하는 EDR 장치.
The method of claim 1, wherein the malicious behavior detection unit
EDR device using a dynamic analysis plan, characterized in that it determines the likelihood that an action expected in the specific file will generate an unknown threat through an unsupervised learning network formed through a population of a SYSCALL graph on file operation.
기 정의된 분석 시나리오에 따라 엔드포인트 단말 상에서 특정 파일의 동작에 관한 정적 및 동적 분석들 각각의 분석 플랜을 생성하는 단계;
상기 분석 플랜에 따라 상기 동작에 관한 편향(bias) 정적 분석을 수행하는 단계;
상기 편향 정적 분석의 결과를 반영하여 상기 동적 분석에 대한 분석 플랜을 조정하는 단계;
조정된 상기 분석 플랜을 기초로 상기 동작에 관한 동적 분석을 수행하는 단계; 및
상기 동적 분석에 따라 상기 동작에 관한 이상 패턴이 검출된 경우 상기 특정 파일에 대해 비지도 학습 기반의 멀웨어(malware) 탐지를 수행하여 악성여부를 결정하는 단계를 포함하는 동적인 분석 플랜을 이용하는 EDR 방법.
In a method performed in an EDR (Endpoint Detection & Response) device,
Generating an analysis plan for each of static and dynamic analyzes on an operation of a specific file on an endpoint terminal according to a predefined analysis scenario;
Performing a static bias analysis on the operation according to the analysis plan;
Adjusting an analysis plan for the dynamic analysis by reflecting the result of the biased static analysis;
Performing dynamic analysis on the operation based on the adjusted analysis plan; And
EDR method using a dynamic analysis plan comprising the step of determining whether the specific file is malicious by performing unsupervised learning-based malware detection when an abnormal pattern related to the operation is detected according to the dynamic analysis .
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020190143679A KR102348357B1 (en) | 2019-11-11 | 2019-11-11 | Apparatus and methods for endpoint detection and reponse using dynamic analysis plans |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020190143679A KR102348357B1 (en) | 2019-11-11 | 2019-11-11 | Apparatus and methods for endpoint detection and reponse using dynamic analysis plans |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20210056790A true KR20210056790A (en) | 2021-05-20 |
KR102348357B1 KR102348357B1 (en) | 2022-01-11 |
Family
ID=76143042
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020190143679A KR102348357B1 (en) | 2019-11-11 | 2019-11-11 | Apparatus and methods for endpoint detection and reponse using dynamic analysis plans |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR102348357B1 (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114679331A (en) * | 2022-04-11 | 2022-06-28 | 北京国联天成信息技术有限公司 | AI technology-based malicious code passive detection method and system |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20060033603A (en) * | 2004-10-15 | 2006-04-19 | 유문수 | Automatic security service system by use of scenario and method |
KR101814368B1 (en) | 2017-07-27 | 2018-01-04 | 김재춘 | Information security network integrated management system using big data and artificial intelligence, and a method thereof |
KR101930293B1 (en) * | 2017-09-12 | 2018-12-18 | 연세대학교 산학협력단 | Apparatus and Method for Identifying Variety Malicious Code Using Static Analysis and Dynamic Analysis |
KR101969572B1 (en) * | 2018-06-22 | 2019-04-16 | 주식회사 에프원시큐리티 | Malicious code detection apparatus and method |
-
2019
- 2019-11-11 KR KR1020190143679A patent/KR102348357B1/en active IP Right Grant
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20060033603A (en) * | 2004-10-15 | 2006-04-19 | 유문수 | Automatic security service system by use of scenario and method |
KR101814368B1 (en) | 2017-07-27 | 2018-01-04 | 김재춘 | Information security network integrated management system using big data and artificial intelligence, and a method thereof |
KR101930293B1 (en) * | 2017-09-12 | 2018-12-18 | 연세대학교 산학협력단 | Apparatus and Method for Identifying Variety Malicious Code Using Static Analysis and Dynamic Analysis |
KR101969572B1 (en) * | 2018-06-22 | 2019-04-16 | 주식회사 에프원시큐리티 | Malicious code detection apparatus and method |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114679331A (en) * | 2022-04-11 | 2022-06-28 | 北京国联天成信息技术有限公司 | AI technology-based malicious code passive detection method and system |
CN114679331B (en) * | 2022-04-11 | 2024-02-02 | 北京国联天成信息技术有限公司 | AI technology-based malicious code passive detection method and system |
Also Published As
Publication number | Publication date |
---|---|
KR102348357B1 (en) | 2022-01-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Han et al. | Unicorn: Runtime provenance-based detector for advanced persistent threats | |
US11620524B2 (en) | Issuing alerts for storage volumes using machine learning | |
US10936717B1 (en) | Monitoring containers running on container host devices for detection of anomalies in current container behavior | |
Biggio et al. | Poisoning behavioral malware clustering | |
Ahmed et al. | Novel approach for network traffic pattern analysis using clustering-based collective anomaly detection | |
JP6528448B2 (en) | Network attack monitoring device, network attack monitoring method, and program | |
US20180075240A1 (en) | Method and device for detecting a suspicious process by analyzing data flow characteristics of a computing device | |
JP6557774B2 (en) | Graph-based intrusion detection using process trace | |
CN112822206B (en) | Network cooperative attack behavior prediction method and device and electronic equipment | |
Aburomman et al. | Survey of learning methods in intrusion detection systems | |
Dong et al. | Efficient discovery of abnormal event sequences in enterprise security systems | |
Sallam et al. | Data and syntax centric anomaly detection for relational databases | |
Lin et al. | Collaborative alert ranking for anomaly detection | |
US20230412620A1 (en) | System and methods for cybersecurity analysis using ueba and network topology data and trigger - based network remediation | |
Al-Utaibi et al. | Intrusion detection taxonomy and data preprocessing mechanisms | |
Rosli et al. | Clustering analysis for malware behavior detection using registry data | |
US20230087309A1 (en) | Cyberattack identification in a network environment | |
KR102311997B1 (en) | Apparatus and method for endpoint detection and response terminal based on artificial intelligence behavior analysis | |
Halvorsen et al. | Evaluating the observability of network security monitoring strategies with TOMATO | |
KR102221736B1 (en) | Blockchain based device and method for endpoint detection and response | |
Anand et al. | HiPeR-Early detection of a ransomware attack using hardware performance counters | |
KR102348357B1 (en) | Apparatus and methods for endpoint detection and reponse using dynamic analysis plans | |
Datta et al. | Real-time threat detection in ueba using unsupervised learning algorithms | |
Allaf et al. | Confmvm: A hardware-assisted model to confine malicious vms | |
Ekong et al. | Securing against zero-day attacks: a machine learning approach for classification and organizations’ perception of its impact |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant |