KR20230123834A - Hash based malicious file determine mathod and system using the same - Google Patents

Hash based malicious file determine mathod and system using the same Download PDF

Info

Publication number
KR20230123834A
KR20230123834A KR1020220021108A KR20220021108A KR20230123834A KR 20230123834 A KR20230123834 A KR 20230123834A KR 1020220021108 A KR1020220021108 A KR 1020220021108A KR 20220021108 A KR20220021108 A KR 20220021108A KR 20230123834 A KR20230123834 A KR 20230123834A
Authority
KR
South Korea
Prior art keywords
event
file
hash
hash value
information
Prior art date
Application number
KR1020220021108A
Other languages
Korean (ko)
Inventor
황정규
소준영
전석기
Original Assignee
주식회사 아이티스테이션
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 아이티스테이션 filed Critical 주식회사 아이티스테이션
Priority to KR1020220021108A priority Critical patent/KR20230123834A/en
Publication of KR20230123834A publication Critical patent/KR20230123834A/en

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting

Abstract

본 발명은 각종 보안 이벤트와 통신 이벤트를 수집하고, 이벤트와 연관된 파일의 해시값을 기반으로 파일에 대한 악성파일을 판단할 수 있는 해시 기반 악성파일 판단 기술에 관한 것이다. 본 발명은 사용자 단말의 보안 이벤트와 통신 이벤트를 분석하여 이벤트 분석 정보를 생성하는 단계, 이벤트 분석 정보와 관련된 관련 PE 파일의 이벤트 정보를 수신하는 단계, 관련 PE 파일의 이벤트 정보의 이벤트 해시값을 추출하고, 통합 이벤트 해시값 분석 데이터를 생성하는 단계 및 통합 이벤트 해시값 분석 데이터를 분석하여 관련 PE 파일의 악성파일 여부를 판단하는 단계를 포함할 수 있다.The present invention relates to a hash-based malicious file determination technology capable of collecting various security events and communication events and determining a malicious file for a file based on a hash value of a file associated with the event. The present invention analyzes security events and communication events of a user terminal to generate event analysis information, receives event information of a related PE file related to the event analysis information, and extracts an event hash value of event information of a related PE file. and generating integrated event hash value analysis data and analyzing the integrated event hash value analysis data to determine whether the related PE file is a malicious file.

Description

해시 기반 악성파일 판단 방법 및 이를 이용한 시스템{HASH BASED MALICIOUS FILE DETERMINE MATHOD AND SYSTEM USING THE SAME}HASH BASED MALICIOUS FILE DETERMINE MATHOD AND SYSTEM USING THE SAME}

본 발명은 해시 기반 악성파일 판단 기술에 관한 것으로, 더욱 상세하게는 각종 보안 장비에서 발생하는 보안 이벤트와 사용자 단말에서 발생하는 통신 이벤트를 수집하고, 이벤트와 연관된 파일의 해시값을 기반으로 파일에 대한 악성파일을 판단할 수 있는 해시 기반 악성파일 판단 방법 및 이를 이용한 시스템에 관한 것이다.The present invention relates to hash-based malicious file determination technology, and more particularly, to collect security events that occur in various security devices and communication events that occur in user terminals, and to determine information about a file based on the hash value of a file associated with the event. It relates to a hash-based malicious file determination method capable of determining a malicious file and a system using the same.

IT 기술이 급격히 발전함에 따라 많은 사용자가 자신의 개인 단말을 통해 다양한 PE 파일을 실행하여 원하는 작업을 수행하고 있다. 개인 단말을 이용하여 PE 파일을 실행하기 위해 개인 단말의 내부에 특정 어플리케이션을 설치하거나 또는 특정 웹사이트에 접속하는 상황이 빈번하게 일어나고 있다.As IT technology develops rapidly, many users perform desired tasks by executing various PE files through their personal terminals. In order to execute a PE file using a personal terminal, a situation in which a specific application is installed in a personal terminal or a specific website is accessed frequently occurs.

개인 단말에서 PE 파일을 실행할 때 악의적인 목적을 가진 개발자가 어플리케이션이나 웹사이트에 악성 코드를 심어 놓으면, 해당 어플리케이션이나 웹사이트를 실행하는 개인 단말의 정보를 빼내거나 프로그램을 망가트리는 문제가 발생한다.When a PE file is executed on a personal device, if a developer with a malicious purpose implants malicious code in an application or website, a problem arises in stealing information from the personal device running the application or website or destroying the program.

보안 시스템에서 개인 단말의 이상 징후를 감지하면 보안 담당자는 수동으로 개인 단말을 분석하여 악성 코드로 인한 위협 유무에 대한 진단을 수행해 왔다.When a security system detects anomalies in a personal device, a security officer has manually analyzed the personal device and diagnosed whether or not there is a threat caused by a malicious code.

하지만 보안 담당자에 의한 수동 분석은 지리적 제한에 의한 분석 시간 지연 요소와 1회성 행위에 관련한 재현 불가능 요소로 인해 많은 전문화된 인력과 시간이 필요하다는 문제가 있다.However, manual analysis by security personnel has a problem in that it requires a lot of specialized manpower and time due to analysis time delay factors due to geographic limitations and non-reproducible factors related to one-time actions.

한국등록특허 제10-1969572호(2019.04.10, 등록)Korean Registered Patent No. 10-1969572 (2019.04.10, registration)

따라서 본 발명은 상술한 문제점을 해결하기 위해 도출된 것으로서, 본 발명은 각종 보안 장비에서 발생하는 보안 이벤트와 사용자 단말에서 발생하는 통신 이벤트를 수집하고, 이벤트와 연관된 파일의 해시값을 기반으로 파일에 대한 악성파일을 판단할 수 있는 해시 기반 악성파일 판단 방법 및 이를 이용한 시스템을 제공하는데 그 목적이 있다.Therefore, the present invention was derived to solve the above problems, and the present invention collects security events occurring in various security devices and communication events occurring in user terminals, and stores a file based on a hash value of a file associated with the event. An object of the present invention is to provide a hash-based malicious file determination method capable of determining a malicious file for a malicious file and a system using the same.

본 발명의 다른 목적들은 이하에 서술되는 실시예를 통하여 더욱 명확해질 것이다.Other objects of the present invention will become clearer through the examples described below.

본 발명의 일 측면에 따른 해시 기반 악성파일 판단 방법은 사용자 단말의 보안 이벤트와 통신 이벤트를 감시 서버에서 분석하여 이벤트 분석 정보를 생성하는 단계, 감시 서버에서 이벤트 분석 정보와 관련된 사용자 단말의 관련 PE 파일의 이벤트 정보를 감시 에이전트로 요청하고 감시 에이전트로부터 관련 PE 파일의 이벤트 정보를 수신하는 단계, 감시 서버에서 수신된 관련 PE 파일의 이벤트 정보의 이벤트 해시값을 추출하고, 이벤트 분석 정보와 이벤트 해시값을 통합하여 이벤트 해시값 분석 정보를 생성하며, 이벤트 해시값 분석 정보와 관련 PE 파일의 이벤트 정보를 통합하여 통합 이벤트 해시값 분석 데이터를 생성하는 단계 및 감시 서버에서 통합 이벤트 해시값 분석 데이터를 분석하여 관련 PE 파일의 악성파일 여부를 판단하는 단계를 포함할 수 있다.A hash-based malicious file determination method according to an aspect of the present invention includes the steps of analyzing a security event and a communication event of a user terminal in a monitoring server to generate event analysis information, and a related PE file of the user terminal related to the event analysis information in the monitoring server. requesting the event information of the monitoring agent and receiving the event information of the related PE file from the monitoring agent, extracting the event hash value of the event information of the related PE file received from the monitoring server, and combining the event analysis information and the event hash value Integrating and generating event hash value analysis information, integrating event hash value analysis information and event information of related PE files to generate integrated event hash value analysis data, and analyzing integrated event hash value analysis data in monitoring server to A step of determining whether the PE file is a malicious file may be included.

또한, 관련 PE 파일의 악성파일 여부를 판단하는 단계는, 통합 이벤트 해시값 분석 데이터에서 동일한 제1 이벤트 해시값을 추출하는 단계, 제1 이벤트 해시값과 연관된 이벤트 분석 정보 중 상이한 제1 이벤트 분석 정보를 추출하는 단계, 추출된 제1 이벤트 분석 정보의 수를 카운팅하는 단계 및 카운팅된 제1 이벤트 분석 정보의 수가 N개 이상 일 때 제1 악성파일 경보를 생성하는 단계를 포함할 수 있다.In addition, the step of determining whether the related PE file is a malicious file includes extracting the same first event hash value from the integrated event hash value analysis data, and different first event analysis information among event analysis information associated with the first event hash value. It may include extracting, counting the number of extracted first event analysis information, and generating a first malicious file alert when the counted number of first event analysis information is N or more.

또한, 제1 악성파일 경보를 생성하는 단계에서, 제1 악성파일 경보는, 서로 다른 보안 장비에서 동일한 보안 이벤트를 탐지한 경우 또는 동일한 보안 장비에서 상이한 보안 이벤트를 탐지한 경우 생성되는 제11 악성파일 경보 및 보안 이벤트에 특정 보안 이벤트가 포함되거나 통신 이벤트에 특정 통신 이벤트가 포함되는 경우 생성되는 제12 악성파일 경보 중 하나 이상을 포함할 수 있다.In addition, in the step of generating the first malicious file alert, the first malicious file alert is an eleventh malicious file generated when the same security event is detected in different security devices or when different security events are detected in the same security device. One or more of twelfth malicious file alerts generated when a specific security event is included in the alert and security event or a specific communication event is included in the communication event.

또한, 관련 PE 파일의 악성파일 여부를 판단하는 단계는, 제1 악성파일 경보가 생성되면 동적 분석 및 정적 분석 중 적어도 하나를 통해 제1 이벤트 분석 정보와 연관된 제1 관련 PE 파일에 대한 악성파일 여부를 판단하는 단계 및 제1 관련 PE 파일이 악성파일로 판단되면 제1 이벤트 분석 정보와 제1 이벤트 해시값을 포함하는 악성파일 데이터베이스를 생성하는 단계를 더 포함할 수 있다.In addition, the step of determining whether the related PE file is a malicious file may include, when the first malicious file alert is generated, whether the first related PE file associated with the first event analysis information is a malicious file through at least one of dynamic analysis and static analysis. and, if the first related PE file is determined to be a malicious file, generating a malicious file database including first event analysis information and a first event hash value.

또한, 관련 PE 파일의 악성파일 여부를 판단하는 단계는, 악성파일 데이터베이스에 포함된 제1 이벤트 분석 정보와 동일한 제2 이벤트 분석 정보가 통합 이벤트 해시값 분석 데이터에 포함되는지 여부를 체크하는 단계, 통합 이벤트 해시값 분석 데이터에 제2 이벤트 분석 정보가 포함되면 제2 악성파일 경보를 생성하는 단계, 제2 악성파일 경보가 생성되면 제1 이벤트 분석 정보와 연관된 제1 이벤트 해시값 및 제2 이벤트 분석 정보와 연관된 제2 이벤트 해시값을 퍼지 해시(Fuzzy Hash)를 기반으로 유사도를 측정하는 단계 및 유사도와 악성파일 기준 유사도를 비교하여 제2 이벤트 분석 정보와 관련된 제2 관련 PE 파일에 대한 악성파일 여부를 판단하고, 제2 이벤트 해시값을 악성파일 데이터베이스에 저장하는 단계를 포함할 수 있다.In addition, the step of determining whether the related PE file is a malicious file includes the step of checking whether the second event analysis information identical to the first event analysis information included in the malicious file database is included in the integrated event hash value analysis data; Generating a second malicious file alert if the event hash value analysis data includes the second event analysis information; If the second malicious file alert is generated, the first event hash value associated with the first event analysis information and the second event analysis information Measuring the similarity of the second event hash value associated with the fuzzy hash based on the fuzzy hash, and comparing the similarity with the malicious file standard similarity to determine whether the second related PE file related to the second event analysis information is a malicious file. and storing the second event hash value in a malicious file database.

또한, 사용자 단말이 n1개의 단말을 포함하는 경우, 감시 서버에서 감시 에이전트로부터 n1개의 단말 각각에 설치된 모든 PE 파일 정보 및 이의 모든 해시값을 수신하여 해시값 데이터베이스를 생성하는 단계, 감시 서버에서 해시값 데이터베이스에 포함된 특정 해시값과 관련된 PE 파일이 설치된 해시값 동일 사용자 단말의 수를 n1개의 단말의 수로 나눈값인 해시 보유비율을 산출하는 단계, 감시 서버에서 감시 에이전트로부터 n1개의 단말 각각의 모든 통신 이벤트 및 모든 통신 이벤트와 연관된 통신 PE 파일 정보를 수신하는 단계 및 감시 서버에서 모든 통신 이벤트 및 통신 PE 파일 정보로부터 외부 서버의 IP 정보를 추출하여 n1개의 단말 중 외부 서버에 접속하는 외부 서버 접속 사용자 단말의 수를 n1개의 단말의 수로 나눈 값인 외부 서버 접속비율을 산출하는 단계를 더 포함할 수 있다.In addition, when the user terminal includes n1 terminals, generating a hash value database by receiving all PE file information and all hash values thereof installed in each of the n1 terminals from the monitoring agent in the monitoring server, the hash value in the monitoring server Calculating a hash retention ratio, which is a value obtained by dividing the number of user terminals with the same hash value as the PE file related to the specific hash value included in the database by the number of n1 terminals, all communications of each of the n1 terminals from the monitoring agent in the monitoring server. A step of receiving communication PE file information associated with an event and all communication events and an external server accessing user terminal that extracts IP information of an external server from all communication events and communication PE file information in the monitoring server and accesses the external server among n1 terminals. The method may further include calculating an external server access ratio, which is a value obtained by dividing the number of by the number of n1 terminals.

또한, 관련 PE 파일의 악성파일 여부를 판단하는 단계는, 해시 보유비율이 기준 해시 보유비율보다 낮은지 여부를 판별하는 단계, 외부 서버 접속비율이 기준 외부 서버 접속비율보다 낮은지 여부를 판별하는 단계, 사용자 단말의 보안 이벤트의 수를 카운팅하는 단계 및 해시 보유비율이 기준 해시 보유비율보다 낮고, 외부 서버 접속비율이 기준 외부 서버 접속비율보다 낮으며, 보안 이벤트의 수가 M개 이상일 때 제3 악성파일 경보를 생성하는 단계를 더 포함할 수 있다.In addition, the step of determining whether the related PE file is a malicious file includes determining whether the hash retention rate is lower than the reference hash retention rate, and determining whether the external server access rate is lower than the reference external server access rate. , Counting the number of security events of the user terminal and a third malicious file when the hash retention rate is lower than the reference hash retention rate, the external server access rate is lower than the reference external server access rate, and the number of security events is M or more It may further include generating an alert.

또한, 제3 악성파일 경보를 생성하는 단계에서, 감시 서버는, 해시 보유비율이 기준 해시 보유비율보다 높을 때 해시 보유비율을 가진 특정 해시값 관련 PE 파일을 정상 파일로 처리할 수 있다.In addition, in the step of generating the third malicious file alert, the monitoring server may process a PE file related to a specific hash value having a hash retention rate as a normal file when the hash retention rate is higher than the reference hash retention rate.

본 발명의 일 측면에 따른 해시 기반 악성파일 판단 시스템은 감시 서버 및 감시 에이전트를 포함하고, 감시 서버는 사용자 단말의 보안 이벤트와 통신 이벤트를 분석하여 이벤트 분석 정보를 생성하고, 이벤트 분석 정보와 관련된 사용자 단말의 관련 PE 파일의 이벤트 정보를 감시 에이전트로 요청하고 감시 에이전트로부터 관련 PE 파일의 이벤트 정보를 수신하는 이벤트 정보 수집부, 수신된 관련 PE 파일의 이벤트 정보의 이벤트 해시값을 추출하고, 이벤트 분석 정보와 이벤트 해시값을 통합하여 이벤트 해시값 분석 정보를 생성하며, 이벤트 해시값 분석 정보와 관련 PE 파일의 이벤트 정보를 통합하여 통합 이벤트 해시값 분석 데이터를 생성하는 이벤트 해시값 추출부 및 통합 이벤트 해시값 분석 데이터를 분석하여 관련 PE 파일의 악성파일 여부를 판단하는 악성파일 판단부를 포함할 수 있다.A hash-based malicious file determination system according to an aspect of the present invention includes a monitoring server and a monitoring agent, and the monitoring server analyzes security events and communication events of a user terminal to generate event analysis information, and a user related to the event analysis information. An event information collection unit that requests event information of the related PE file of the terminal from the monitoring agent and receives the event information of the related PE file from the monitoring agent, extracts the event hash value of the received event information of the related PE file, and analyzes the event information Event hash value extraction unit and integrated event hash value that generate event hash value analysis information by integrating the event hash value and event hash value, and integrate event hash value analysis information and event information of related PE files to generate integrated event hash value analysis data A malicious file determination unit may be included to analyze the analysis data and determine whether the related PE file is a malicious file.

또한, 감시 서버는, 사용자 단말이 n1개의 단말을 포함하는 경우, 감시 서버에서 감시 에이전트로부터 n1개의 단말 각각에 설치된 모든 PE 파일 정보 및 이의 모든 해시값을 수신하여 해시값 데이터베이스를 생성하고, 감시 서버에서 해시값 데이터베이스에 포함된 특정 해시값과 관련된 PE 파일이 설치된 해시값 동일 사용자 단말의 수를 n1개의 단말의 수로 나눈값인 해시 보유비율을 산출하고, 감시 서버에서 감시 에이전트로부터 n1개의 단말 각각의 모든 통신 이벤트 및 모든 통신 이벤트와 연관된 통신 PE 파일 정보를 수신하며, 감시 서버에서 모든 통신 이벤트 및 통신 PE 파일 정보로부터 외부 서버의 IP 정보를 추출하여 n1개의 단말 중 외부 서버에 접속하는 외부 서버 접속 사용자 단말의 수를 n1개의 단말의 수로 나눈 값인 외부 서버 접속비율을 산출하는 비율 산출부를 더 포함할 수 있다.In addition, when the user terminal includes n1 terminals, the monitoring server receives all PE file information installed in each of the n1 terminals and all hash values thereof from the monitoring agent to generate a hash value database, and the monitoring server Calculate the hash retention ratio, which is the value obtained by dividing the number of user terminals with the same hash value as the PE file installed with the specific hash value included in the hash value database by the number of n1 terminals, and in the monitoring server, each of the n1 terminals from the monitoring agent A user accessing an external server who receives all communication events and communication PE file information related to all communication events, extracts IP information of external servers from all communication events and communication PE file information in the monitoring server, and connects to the external server among n1 terminals. It may further include a ratio calculator for calculating an external server connection ratio, which is a value obtained by dividing the number of terminals by the number of n1 terminals.

또한, 감시 에이전트는, 사용자 단말의 모든 통신 이벤트 및 통신 PE 파일 정보를 포함하는 모든 통신 통합 정보를 메인 메모리에 저장하는 통신 이벤트 수집부 및 사용자 단말에 설치된 모든 PE 파일 정보 및 이의 모든 해시값을 수집하는 PE 파일 수집부를 포함할 수 있다.In addition, the monitoring agent collects a communication event collection unit that stores all communication integration information including all communication events and communication PE file information of the user terminal in the main memory and all PE file information installed in the user terminal and all hash values thereof. It may include a PE file collection unit that does.

본 발명의 실시예에 따른 해시 기반 악성파일 판단 방법 및 이를 이용한 시스템은 다음과 같은 효과를 제공한다.A hash-based malicious file determination method and a system using the same according to an embodiment of the present invention provide the following effects.

본 발명은 각종 보안 장비에서 발생하는 보안 이벤트와 사용자 단말에서 발생하는 통신 이벤트를 수집하고, 이벤트와 연관된 파일의 해시값을 기반으로 파일에 대한 악성파일을 판단할 수 있는 효과가 있다.The present invention has an effect of collecting security events occurring in various security devices and communication events occurring in a user terminal, and determining a malicious file for a file based on a hash value of a file associated with the event.

본 발명의 효과는 이상에서 언급된 것들에 한정되지 않으며, 언급되지 아니한 다른 효과들은 아래의 기재로부터 당업자에게 명확하게 이해될 수 있을 것이다.The effects of the present invention are not limited to those mentioned above, and other effects not mentioned will be clearly understood by those skilled in the art from the description below.

도 1은 본 발명의 일 실시예에 따른 해시 기반 악성파일 판단 시스템을 도시한 구성도이다.
도 2는 본 발명의 일 실시예에 따른 해시 기반 악성파일 판단 시스템의 감시 서버를 도시한 블록도이다.
도 3은 본 발명의 일 실시예에 따른 해시 기반 악성파일 판단 시스템의 감시 에이전트를 도시한 블록도이다.
도 4는 본 발명의 일 실시예에 따른 해시 기반 악성파일 판단 시스템에서 수행되는 해시 기반 악성파일 판단 방법을 도시한 순서도이다.
도 5a는 본 발명의 일 실시예에 따른 해시 기반 악성파일 판단 시스템에서 수행되는 해시 기반 악성파일 판단 방법 중 악성파일 여부를 판단하는 방법의 일부를 도시한 순서도이다.
도 5b는 도 5a를 설명하기 위한 예시 그림이다.
도 6a는 본 발명의 일 실시예에 따른 해시 기반 악성파일 판단 시스템에서 수행되는 해시 기반 악성파일 판단 방법 중 악성파일 여부를 판단하는 방법의 일부를 도시한 순서도이다.
도 6b는 도 6a를 설명하기 위한 예시 그림이다.
도 7은 본 발명의 일 실시예에 따른 해시 기반 악성파일 판단 시스템에서 수행되는 해시 기반 악성파일 판단 방법 중 해시 보유비율과 외부 서버 접속비율을 산출하는 방법의 일부를 도시한 순서도이다.
도 8은 본 발명의 일 실시예에 따른 해시 기반 악성파일 판단 시스템에서 수행되는 해시 기반 악성파일 판단 방법 중 악성파일 여부를 판단하는 방법의 일부를 도시한 순서도이다.1 is a configuration diagram illustrating a hash-based malicious file determination system according to an embodiment of the present invention.
2 is a block diagram illustrating a monitoring server of a hash-based malicious file determination system according to an embodiment of the present invention.
3 is a block diagram illustrating a monitoring agent of a hash-based malicious file determination system according to an embodiment of the present invention.
4 is a flowchart illustrating a hash-based malicious file determination method performed in the hash-based malicious file determination system according to an embodiment of the present invention.
5A is a flowchart illustrating a part of a method for determining whether a malicious file is malicious among hash-based malicious file determination methods performed in a hash-based malicious file determination system according to an embodiment of the present invention.
FIG. 5B is an example picture for explaining FIG. 5A.
6A is a flowchart illustrating a part of a method for determining whether a malicious file is malicious among hash-based malicious file determination methods performed in a hash-based malicious file determination system according to an embodiment of the present invention.
FIG. 6B is an example picture for explaining FIG. 6A.
7 is a flowchart illustrating a part of a method for calculating a hash retention ratio and an external server connection ratio among hash-based malicious file determination methods performed in a hash-based malicious file determination system according to an embodiment of the present invention.
8 is a flowchart illustrating a part of a method for determining whether a malicious file is malicious among hash-based malicious file determination methods performed in a hash-based malicious file determination system according to an embodiment of the present invention.

본 발명은 다양한 변환을 가할 수 있고 여러 가지 실시 예를 가질 수 있는 바, 특정 실시 예들을 도면에 예시하고 상세한 설명에서 상세하게 설명하고자 한다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변환, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다. 본 발명을 설명함에 있어서 관련된 공지 기술에 대한 구체적인 설명이 본 발명의 요지를 흐릴 수 있다고 판단되는 경우 그 상세한 설명을 생략한다.Since the present invention can apply various transformations and have various embodiments, specific embodiments will be illustrated in the drawings and described in detail in the detailed description. However, it should be understood that this is not intended to limit the present invention to specific embodiments, and includes all transformations, equivalents, and substitutes included in the spirit and scope of the present invention. In describing the present invention, if it is determined that a detailed description of related known technologies may obscure the gist of the present invention, the detailed description will be omitted.

본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.Terms used in this application are only used to describe specific embodiments, and are not intended to limit the present invention. Singular expressions include plural expressions unless the context clearly dictates otherwise. In this application, the terms "include" or "have" are intended to designate that there is a feature, number, step, operation, component, part, or combination thereof described in the specification, but one or more other features It should be understood that the presence or addition of numbers, steps, operations, components, parts, or combinations thereof is not precluded.

제1, 제2 등의 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되어서는 안 된다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다. Terms such as first and second may be used to describe various components, but the components should not be limited by the terms. These terms are only used for the purpose of distinguishing one component from another.

이하, 첨부한 도면들을 참조하여 본 발명에 따른 실시예들을 상세히 설명하기로 하며, 첨부 도면을 참조하여 설명함에 있어 도면 부호에 상관없이 동일하거나 대응하는 구성 요소는 동일한 참조번호를 부여하고 이에 대한 중복되는 설명은 생략하기로 한다.Hereinafter, embodiments according to the present invention will be described in detail with reference to the accompanying drawings. description is omitted.

이하 본 발명의 실시예들에 따른 해시 기반 악성파일 판단 방법 및 이를 이용한 시스템에 대하여 도 1 내지 도 8을 참조하여 상세히 설명한다.Hereinafter, a hash-based malicious file determination method and a system using the method according to embodiments of the present invention will be described in detail with reference to FIGS. 1 to 8 .

도 1은 본 발명의 일 실시예에 따른 해시 기반 악성파일 판단 시스템을 도시한 구성도이다.1 is a configuration diagram illustrating a hash-based malicious file determination system according to an embodiment of the present invention.

도 1을 참조하면, 본 실시예에 따른 해시 기반 악성파일 판단 시스템(100)은 감시 서버(110) 및 감시 에이전트(120)를 포함할 수 있다.Referring to FIG. 1 , the hash-based malicious file determination system 100 according to the present embodiment may include a monitoring server 110 and a monitoring agent 120.

감시 서버(110)는 유무선 네트워크를 통해 보안 장비(2)와 연결되고, 보안 장비(2)로부터 사용자 단말(1)과 연관된 보안 이벤트를 수집할 수 있다. 여기서 보안 장비(2)는 내부 및 외부망의 비정상적인 행위를 탐지 및 차단할 수 있고, IPS(Intrusion-Prevention System), DDoS(Distributed Denial of Service), 웹방화벽(WAF; Web Application Firewall) 등을 포함할 수 있다. 또한, 보안 이벤트는 내부 및 외부망의 비정상적인 행위를 탐지 및 차단했을 때 발생할 수 있다. 예를 들어, 보안 이벤트는 DDos Attack, Injection, XSS, Scan 등을 포함할 수 있다.The monitoring server 110 may be connected to the security device 2 through a wired or wireless network and collect security events related to the user terminal 1 from the security device 2 . Here, the security equipment 2 can detect and block abnormal behavior of internal and external networks, and may include IPS (Intrusion-Prevention System), DDoS (Distributed Denial of Service), and Web Application Firewall (WAF). can In addition, security events may occur when abnormal behaviors of internal and external networks are detected and blocked. For example, security events may include DDos Attack, Injection, XSS, and Scan.

또한, 감시 서버(110)는 유무선 네트워크를 통해 Backbone(5)과 연결될 수 있다. 감시 서버(110)는 Backbone(5)의 미러링을 통해 사용자 단말(1)의 내부 및 외부의 통신 이벤트를 수집할 수 있다. 여기서, 네트워크 장비(3)를 통해 서버존(4)과 연결되어 서버존(4)에 접근하는 사용자 단말(1)의 통신 이벤트를 Backbone(5)에서 취합할 수 있다.In addition, the monitoring server 110 may be connected to the Backbone 5 through a wired or wireless network. The monitoring server 110 may collect internal and external communication events of the user terminal 1 through mirroring of the Backbone 5 . Here, communication events of user terminals 1 connected to the server zone 4 through the network equipment 3 and accessing the server zone 4 may be collected in the Backbone 5.

네트워크 장비(3)는 사용자 단말(1)의 통신을 위해 네트워크와 사용자 단말(1)을 연결하는 통신 설비이고, 서버존(4)은 서버 프로그램이 실행되고 있는 하드웨어 또는 다른 프로그램에게 서비스를 제공하는 컴퓨터 프로그램을 의미하는 서버의 집합이며, Backbone(5)은 데이터를 모아 빠르게 전송할 수 있는 대규모 전송회선이다.The network equipment 3 is a communication facility that connects the network and the user terminal 1 for communication of the user terminal 1, and the server zone 4 provides services to hardware or other programs on which the server program is running. It is a set of servers that means computer programs, and Backbone(5) is a large-scale transmission line that can collect and transmit data quickly.

감시 서버(110)는 유무선 네트워크를 통해 감시 에이전트(120)와 연결될 수 있다. 감시 서버(110)는 감시 에이전트(120)와 직접적으로 연결되거나, 네트워크 장비(3) 및 Backbone(5) 중 적어도 하나를 경유하여 감시 에이전트(120)와 연결될 수 있다.The monitoring server 110 may be connected to the monitoring agent 120 through a wired or wireless network. The monitoring server 110 may be directly connected to the monitoring agent 120 or connected to the monitoring agent 120 via at least one of the network equipment 3 and the Backbone 5.

감시 서버(110)는 보안 장비(2)로부터 수집된 보안 이벤트 및 감시 에이전트(120)로부터 수집된 통신 이벤트와 연관된 PE 파일의 해시값을 분석하여 PE 파일에 대한 악성파일 여부를 판단할 수 있다.The monitoring server 110 may determine whether the PE file is a malicious file by analyzing the hash value of the PE file associated with the security event collected from the security device 2 and the communication event collected from the monitoring agent 120 .

감시 에이전트(120)는 사용자 단말(1)에 설치될 수 있다. 감시 에이전트(120)는 사용자 단말(1)에서 발생하는 통신 이벤트를 수집 및 저장하고, 사용자 단말(1)의 PE 파일의 이벤트 정보를 수집하여 감시 서버(110)로 전송할 수 있다.The monitoring agent 120 may be installed in the user terminal 1 . The monitoring agent 120 may collect and store communication events occurring in the user terminal 1 , collect event information of a PE file of the user terminal 1 , and transmit the collected event information to the monitoring server 110 .

통신 이벤트는 사용자 단말(1)에서 네트워크 장비(3)를 통해 서버존(4)에 접근했을 때 발생할 수 있다. PE 파일은 EXE, DLL, Drive, Object 등과 같은 실행 파일에 해당할 수 있다.A communication event may occur when the user terminal 1 accesses the server zone 4 through the network equipment 3. PE files may correspond to executable files such as EXE, DLL, Drive, Object, and the like.

즉, 본 실시예에 따른 해시 기반 악성파일 판단 시스템(100)은 사용자 단말(1)과 관련된 통신 이벤트와 보안 이벤트를 수집하고, 통신 이벤트와 보안 이벤트에 연관된 PE 파일의 해시값을 기반으로 PE 파일에 대한 악성파일 여부를 판단할 수 있다.That is, the hash-based malicious file determination system 100 according to the present embodiment collects communication events and security events related to the user terminal 1, and PE files based on hash values of PE files related to the communication events and security events. It is possible to determine whether the file is malicious or not.

도 2는 본 발명의 일 실시예에 따른 해시 기반 악성파일 판단 시스템의 감시 서버를 도시한 블록도이고, 도 3은 본 발명의 일 실시예에 따른 해시 기반 악성파일 판단 시스템의 감시 에이전트를 도시한 블록도이다.2 is a block diagram showing a monitoring server of a hash-based malicious file determination system according to an embodiment of the present invention, and FIG. 3 illustrates a monitoring agent of a hash-based malicious file determination system according to an embodiment of the present invention. It is a block diagram.

도 2를 참조하면, 감시 서버(110)는 이벤트 정보 수집부(111), 이벤트 해시값 추출부(112), 악성파일 판단부(113) 및 비율 산출부(114)를 포함할 수 있다.Referring to FIG. 2 , the monitoring server 110 may include an event information collection unit 111 , an event hash value extraction unit 112 , a malicious file determination unit 113 and a ratio calculation unit 114 .

이벤트 정보 수집부(111)는 사용자 단말(1)의 보안 이벤트와 통신 이벤트를 분석하여 이벤트 분석 정보를 생성하고, 이벤트 분석 정보와 관련된 사용자 단말(1)의 관련 PE 파일의 이벤트 정보를 감시 에이전트(120)로 요청하고 감시 에이전트(120)로부터 관련 PE 파일의 이벤트 정보를 수신할 수 있다.The event information collection unit 111 analyzes the security event and the communication event of the user terminal 1 to generate event analysis information, and the event information of the PE file related to the user terminal 1 related to the event analysis information to the monitoring agent ( 120) and may receive event information of a related PE file from the monitoring agent 120.

이벤트 해시값 추출부(112)는 감시 에이전트(120)로부터 수신된 관련 PE 파일의 이벤트 정보의 이벤트 해시값을 추출하고, 이벤트 분석 정보와 이벤트 해시값을 통합하여 이벤트 해시값 분석 정보를 생성하며, 이벤트 해시값 분석 정보와 관련 PE 파일의 이벤트 정보를 통합하여 통합 이벤트 해시값 분석 데이터를 생성할 수 있다.The event hash value extraction unit 112 extracts the event hash value of the event information of the related PE file received from the monitoring agent 120, integrates the event analysis information and the event hash value to generate event hash value analysis information, Integrated event hash value analysis data may be generated by integrating event hash value analysis information and event information of related PE files.

악성파일 판단부(113)는 통합 이벤트 해시값 분석 데이터를 분석하여 관련 PE 파일의 악성파일 여부를 판단할 수 있다.The malicious file determination unit 113 may determine whether the related PE file is a malicious file by analyzing integrated event hash value analysis data.

비율 산출부(114)는 감시 에이전트(120)로부터 n1개의 단말 각각에 설치된 모든 PE 파일 정보 및 이의 모든 해시값을 수신하여 해시값 데이터베이스를 생성할 수 있다.The ratio calculation unit 114 may generate a hash value database by receiving all PE file information and all hash values thereof installed in each of the n1 terminals from the monitoring agent 120 .

비율 산출부(114)는 해시값 데이터베이스에 포함된 특정 해시값과 관련된 PE 파일이 설치된 해시값 동일 사용자 단말(1)의 수를 n1개의 단말의 수로 나눈값인 해시 보유비율을 산출할 수 있다.The ratio calculation unit 114 may calculate a hash retention ratio, which is a value obtained by dividing the number of user terminals 1 with the same hash value in which the PE file related to the specific hash value included in the hash value database is installed by the number of n1 terminals.

또한, 비용 산출부(114)는 감시 에이전트(120)로부터 n1개의 단말 각각의 모든 통신 이벤트 및 모든 통신 이벤트와 연관된 통신 PE 파일 정보를 수신할 수 있다.In addition, the cost calculation unit 114 may receive all communication events of each of the n1 terminals and communication PE file information associated with all communication events from the monitoring agent 120 .

비용 산출부(114)는 모든 통신 이벤트 및 통신 PE 파일 정보로부터 외부 서버의 IP 정보를 추출하고, n1개의 단말 중 외부 서버에 접속하는 외부 서버 접속 사용자 단말(1)의 수를 n1개의 단말의 수로 나눈 값인 외부 서버 접속비율을 산출할 수 있다. 여기서 외부 서버는 네트워크에서 n1개의 단말에 서비스를 제공하기 위한 단말 또는 소프트웨어로서, n1개의 단말 중 하나이거나, n1개의 단말에 설치되거나, 별도로 연결된 단말 또는 소프트웨어일 수 있다.The cost calculation unit 114 extracts the IP information of the external server from all communication events and communication PE file information, and converts the number of external server accessing user terminals 1 accessing the external server among the n1 terminals into the number of n1 terminals. The external server connection rate, which is the divided value, can be calculated. Here, the external server is a terminal or software for providing services to n1 terminals in the network, and may be one of the n1 terminals, installed in n1 terminals, or a terminal or software connected separately.

도 3을 참조하면, 감시 에이전트(120)는 통신 이벤트 수집부(121) 및 PE 파일 수집부(122)를 포함할 수 있다.Referring to FIG. 3 , the monitoring agent 120 may include a communication event collection unit 121 and a PE file collection unit 122 .

통신 이벤트 수집부(121)는 사용자 단말(1)의 모든 통신 이벤트 및 통신 PE 파일 정보를 포함하는 모든 통신 통합 정보를 메인 메모리에 저장할 수 있다.The communication event collecting unit 121 may store all communication events of the user terminal 1 and all communication integration information including communication PE file information in the main memory.

PE 파일 수집부(122)는 사용자 단말(1)에 설치된 모든 PE 파일 정보 및 이의 모든 해시값을 수집할 수 있다.The PE file collection unit 122 may collect all PE file information installed in the user terminal 1 and all hash values thereof.

도 2 및 도 3에 도시된 감시 서버(110)와 감시 에이전트(120)의 구성을 통해 이하 도 4 내지 도 8을 참조하여 해시 기반 악성파일 판단 방법을 설명한다.Through the configuration of the monitoring server 110 and monitoring agent 120 shown in FIGS. 2 and 3 , a hash-based malicious file determination method will be described with reference to FIGS. 4 to 8 .

도 4는 본 발명의 일 실시예에 따른 해시 기반 악성파일 판단 시스템에서 수행되는 해시 기반 악성파일 판단 방법을 도시한 순서도이고, 도 5는 본 발명의 일 실시예에 따른 해시 기반 악성파일 판단 시스템에서 수행되는 해시 기반 악성파일 판단 방법 중 악성파일 여부를 판단하는 방법의 일부를 도시한 순서도이고, 도 6은 본 발명의 일 실시예에 따른 해시 기반 악성파일 판단 시스템에서 수행되는 해시 기반 악성파일 판단 방법 중 악성파일 여부를 판단하는 방법의 일부를 도시한 순서도이고, 도 7은 본 발명의 일 실시예에 따른 해시 기반 악성파일 판단 시스템에서 수행되는 해시 기반 악성파일 판단 방법 중 해시 보유비율과 외부 서버 접속비율을 산출하는 방법의 일부를 도시한 순서도이며, 도 8은 본 발명의 일 실시예에 따른 해시 기반 악성파일 판단 시스템에서 수행되는 해시 기반 악성파일 판단 방법 중 악성파일 여부를 판단하는 방법의 일부를 도시한 순서도이다.4 is a flowchart illustrating a hash-based malicious file determination method performed in a hash-based malicious file determination system according to an embodiment of the present invention, and FIG. 5 is a flowchart in a hash-based malicious file determination system according to an embodiment of the present invention. A flowchart illustrating a part of a method for determining whether a malicious file is a malicious file among hash-based malicious file determination methods performed, and FIG. 6 is a hash-based malicious file determination method performed in a hash-based malicious file determination system according to an embodiment of the present invention. 7 is a flow chart showing a part of a method for determining whether a malicious file is malicious or not, and FIG. 7 is a hash-based malicious file determination method performed in a hash-based malicious file determination system according to an embodiment of the present invention, hash retention ratio and external server access. 8 is a flow chart showing part of a method for calculating a ratio, and FIG. 8 shows a part of a method for determining whether a malicious file is a malicious file among hash-based malicious file determination methods performed in a hash-based malicious file determination system according to an embodiment of the present invention. It is the flow chart shown.

도 4 내지 도 8을 참조하면, 이벤트 정보 수집부(111)는 사용자 단말(1)의 보안 이벤트와 통신 이벤트를 분석하여 이벤트 분석 정보를 생성한다(단계 S210).Referring to FIGS. 4 to 8 , the event information collecting unit 111 analyzes security events and communication events of the user terminal 1 to generate event analysis information (step S210).

이벤트 분석 정보는 보안 장비(2)에서 생성된 사용자 단말(1)의 탐지 및 차단 이벤트 정보인 보안 이벤트 및 사용자 단말(1)과 인터넷 또는 사용자 단말(1)과 서버존(4) 사이의 패킷 미러링 정보인 통신 이벤트를 포함할 수 있다.The event analysis information is a security event, which is detection and blocking event information of the user terminal 1 generated by the security equipment 2, and packet mirroring between the user terminal 1 and the Internet or between the user terminal 1 and the server zone 4. It may include communication events that are information.

즉, 이벤트 정보 수집부(111)는 감시 에이전트(110)의 통신 이벤트 수집부(121)로부터 사용자 단말(1)과 연관된 통신 이벤트를 수신할 수 있다. 이벤트 정보 수집부(111)는 Backbone(5)의 미러링을 통해 통신 이벤트 수집부(121)로부터 사용자 단말(1)과 연관된 통신 이벤트를 수신할 수 있다. 여기서 통신 이벤트는 이벤트 발생 시간, 이벤트 탐지명, 출발지 IP, 출발지 Port, 목적지 IP, 목적지 Port 정보를 포함할 수 있다.That is, the event information collecting unit 111 may receive a communication event associated with the user terminal 1 from the communication event collecting unit 121 of the monitoring agent 110 . The event information collecting unit 111 may receive a communication event related to the user terminal 1 from the communication event collecting unit 121 through mirroring of the Backbone 5 . Here, the communication event may include event occurrence time, event detection name, source IP, source port, destination IP, and destination port information.

또한, 이벤트 정보 수집부(111)는 보안 장비(2)로부터 사용자 단말(1)과 연관된 보안 이벤트를 수신할 수 있다. 이벤트 정보 수집부(111)는 rsyslog를 기반으로 보안 장비(2)로부터 사용자 단말(1)과 연관된 보안 이벤트를 수신할 수 있다. 보안 이벤트는 이벤트 발생 시간, 보안 장비명, 이벤트 탐지명, 출발지 IP, 출발지 Port, 목적지 IP, 목적지 Port 정보 및 보안 위험도를 포함할 수 있다.Also, the event information collection unit 111 may receive a security event related to the user terminal 1 from the security device 2 . The event information collection unit 111 may receive a security event associated with the user terminal 1 from the security device 2 based on rsyslog. The security event may include event occurrence time, security device name, event detection name, source IP, source port, destination IP, destination port information, and security risk level.

이벤트 정보 수집부(111)는 이벤트 분석 정보와 관련된 사용자 단말(1)의 관련 PE 파일의 이벤트 정보를 감시 에이전트(120)로 요청하고 감시 에이전트(120)로부터 관련 PE 파일의 이벤트 정보를 수신한다(단계 S220).The event information collection unit 111 requests event information of the PE file related to the event analysis information of the user terminal 1 from the monitoring agent 120 and receives the event information of the PE file from the monitoring agent 120 ( Step S220).

즉, 이벤트 정보 수집부(111)는 사용자 단말(1)의 모든 PE 파일이 아닌, 이벤트 분석 정보와 관련된 관련 PE 파일만 수신할 수 있다. 여기서 이벤트 정보 수집부(111)는 감시 에이전트(120)의 PE 파일 수집부(120)로부터 관련 PE 파일의 이벤트 정보를 수신할 수 있다. 관련 PE 파일의 이벤트 정보는 PE 파일의 파일명, 해시값(SHA256), 저장된 파일 경로 및 서명 여부를 포함할 수 있다.That is, the event information collecting unit 111 may receive only related PE files related to event analysis information, not all PE files of the user terminal 1 . Here, the event information collecting unit 111 may receive event information of a related PE file from the PE file collecting unit 120 of the monitoring agent 120 . Event information of the related PE file may include the file name of the PE file, hash value (SHA256), stored file path, and signature.

이벤트 해시값 추출부(112)는 감시 에이전트(120)로부터 수신된 관련 PE 파일의 이벤트 정보에서 이벤트 해시값을 추출하고, 통합 이벤트 해시값 분석 데이터를 생성한다(단계 S230).The event hash value extraction unit 112 extracts an event hash value from the event information of the related PE file received from the monitoring agent 120 and generates integrated event hash value analysis data (step S230).

여기서 이벤트 해시값은 관련 PE 파일의 이벤트 정보에 대한 고유 암호화 정보일 수 있다. 일반적인 해시값은 통상의 보안 관련 기술에서 많이 사용하고 있으므로, 상세한 설명은 생략한다.Here, the event hash value may be unique encryption information for event information of a related PE file. Since general hash values are widely used in general security-related technologies, a detailed description thereof will be omitted.

이벤트 해시값 추출부(112)는 이벤트 분석 정보와 이벤트 해시값을 통합하여 이벤트 해시값 분석 정보를 생성할 수 있다. 이벤트 해시값 분석 정보는 이벤트 분석 정보 중 보안 이벤트와 이벤트 해시값을 통합한 정보 및 이벤트 분석 정보 중 통신 이벤트와 이벤트 해시값을 통합한 정보를 포함할 수 있다.The event hash value extraction unit 112 may generate event hash value analysis information by integrating the event analysis information and the event hash value. The event hash value analysis information may include information combining security events and event hash values among event analysis information and information combining communication events and event hash values among event analysis information.

이벤트 해시값 추출부(112)는 이벤트 해시값 분석 정보와 관련 PE 파일의 이벤트 정보를 통합하여 통합 이벤트 해시값 분석 데이터를 생성할 수 있다.The event hash value extraction unit 112 may generate integrated event hash value analysis data by integrating event hash value analysis information and event information of a related PE file.

악성파일 판단부(113)는 통합 이벤트 해시값 분석 데이터를 분석하여 관련 PE 파일의 악성파일 여부를 판단한다(단계 S240).The malicious file determining unit 113 analyzes the integrated event hash value analysis data to determine whether the related PE file is a malicious file (step S240).

보다 구체적으로, 도 5a를 참조하면 악성파일 판단부(113)는 통합 이벤트 해시값 분석 데이터에서 동일한 제1 이벤트 해시값을 추출한다(단계 S241a). More specifically, referring to FIG. 5A , the malicious file determination unit 113 extracts the same first event hash value from the integrated event hash value analysis data (step S241a).

여기서 동일한 제1 이벤트 해시값은 고유 암호화 정보가 일치하는 이벤트 해시값을 포함할 수 있다.Here, the same first event hash value may include an event hash value with which unique encryption information matches.

악성파일 판단부(113)는 제1 이벤트 해시값과 연관된 이벤트 분석 정보 중 상이한 제1 이벤트 분석 정보를 추출한다(단계 S242a).The malicious file determination unit 113 extracts different first event analysis information from among the event analysis information associated with the first event hash value (step S242a).

여기서 상이한 제1 이벤트 분석 정보는 서로 다른 보안 장비(2)에서 동일한 보안 이벤트를 탐지한 경우, 동일한 보안 장비(2)에서 상이한 보안 이벤트를 탐지한 경우, 보안 이벤트에 특정 보안 이벤트가 포함되거나 통신 이벤트에 특정 통신 이벤트가 포함되는 경우 생성되는 보안 이벤트와 통신 이벤트를 포함할 수 있다.Here, the first different event analysis information is when different security devices 2 detect the same security event, when the same security device 2 detects different security events, a security event includes a specific security event, or a communication event It may include a security event and a communication event generated when a specific communication event is included in .

예를 들어 특정 보안 이벤트와 특정 통신 이벤트는 보안 담당자에 의해 기 설정될 수 있다.For example, a specific security event and a specific communication event may be preset by a security officer.

악성파일 판단부(113)는 추출된 제1 이벤트 분석 정보의 수를 카운팅한다(단계 S243a).The malicious file determination unit 113 counts the number of extracted first event analysis information (step S243a).

악성파일 판단부(113)는 카운팅된 제1 이벤트 분석 정보의 수가 N개 이상 일 때 제1 악성파일 경보를 생성한다(단계 S244a 및 단계 S245a).The malicious file determination unit 113 generates a first malicious file alert when the counted number of first event analysis information is N or more (steps S244a and S245a).

여기서 N은 2 이상을 가지는 상수이며, 보안 담당자에 의해 설정될 수 있다.Here, N is a constant having 2 or more, and can be set by a security officer.

제1 악성파일 경보는 제11 악성파일 경보 및 제12 악성파일 경보를 포함할 수 있다. 제11 악성파일 경보 및 제12 악성파일 경보는 동일한 등급의 경보이거나, 상이한 등급의 경보일 수 있고, 보안 담당자에 의해 설정될 수 있다.The first malicious file warning may include an 11th malicious file warning and a 12th malicious file warning. The 11th malicious file alert and the 12th malicious file alert may be alerts of the same level or alerts of different levels, and may be set by a security officer.

제11 악성파일 경보는 서로 다른 보안 장비에서 동일한 보안 이벤트를 탐지한 경우 또는 동일한 보안 장비에서 상이한 보안 이벤트를 탐지한 경우 생성될 수 있다.An 11th malicious file alert may be generated when the same security event is detected in different security devices or when different security events are detected in the same security device.

제12 악성파일 경보는 보안 담당자에 의해 기 설정된 특정 보안 이벤트가 보안 이벤트에 포함되거나 또는 보안 담당자에 의해 기 설정된 특정 통신 이벤트가 통신 이벤트를 포함하는 경우 생성될 수 있다.A twelfth malicious file alert may be generated when a specific security event preset by the security officer is included in the security event or a specific communication event preset by the security officer includes the communication event.

도 5b를 참조하여 도 5a의 단계 S240a를 설명하면, 사용자 단말(1)은 사용자PC_01, 사용자PC_02를 포함하고, 제1 이벤트 분석 정보(E1)는 EVENT_01, EVENT_02, EVENT_03을 포함하며, 제1 이벤트 해시값(H1)은 HASH_01을 포함할 수 있다.Referring to step S240a of FIG. 5A with reference to FIG. 5B, the user terminal 1 includes user PC_01 and user PC_02, the first event analysis information E1 includes EVENT_01, EVENT_02, and EVENT_03, and the first event The hash value H1 may include HASH_01.

악성파일 판단부(113)는 통합 이벤트 해시값 분석 데이터에서 동일한 제1 이벤트 해시값(H1)인 HASH_01를 추출할 수 있다.The malicious file determining unit 113 may extract HASH_01, which is the same first event hash value H1, from the integrated event hash value analysis data.

이후 악성파일 판단부(113)는 제1 이벤트 해시값(H1)인 HASH_01와 연관된 이벤트 분석 정보 중 상이한 제1 이벤트 분석 정보(E1)인 EVENT_01, EVENT_02, EVENT_03를 추출할 수 있다.Thereafter, the malicious file determining unit 113 may extract EVENT_01, EVENT_02, and EVENT_03, which are different first event analysis information E1, from among event analysis information associated with HASH_01, which is the first event hash value H1.

예를 들어, 악성파일 판단부(113)는 제1 이벤트 해시값(H1)인 HASH_01와 연관된 이벤트 분석 정보가 EVENT_01로 모두 동일한 경우, 상이한 제1 이벤트 분석 정보(E1)가 없으므로 통합 이벤트 해시값 분석 데이터에 악성파일이 존재하지 않는 것으로 판단할 수 있다.For example, when the event analysis information associated with HASH_01, which is the first event hash value H1, is the same as EVENT_01, the malicious file determination unit 113 analyzes the integrated event hash value because there is no different first event analysis information E1. It can be determined that there is no malicious file in the data.

악성파일 판단부(113)는 추출된 제1 이벤트 분석 정보(E1)의 수를 카운팅할 수 있다. 여기서 제1 이벤트 분석 정보(E1)는 EVENT_01, EVENT_02, EVENT_03이므로 3개로 카운팅될 수 있다.The malicious file determining unit 113 may count the number of extracted first event analysis information E1. Here, since the first event analysis information E1 is EVENT_01, EVENT_02, and EVENT_03, it can be counted as three.

N이 2로 설정된 경우, 악성파일 판단부(113)는 제1 이벤트 분석 정보의 수가 N개 이상이므로 제1 악성파일 경보(W1)를 생성할 수 있다.When N is set to 2, the malicious file determining unit 113 may generate a first malicious file warning W1 because the number of first event analysis information is N or more.

도 6a를 참조하면, 악성파일 판단부(113)는 제1 악성파일 경보가 생성되면 동적 분석 및 정적 분석 중 적어도 하나를 통해 제1 이벤트 분석 정보와 연관된 제1 관련 PE 파일에 대한 악성파일 여부를 판단한다(단계 S241b).Referring to FIG. 6A , when a first malicious file alert is generated, the malicious file determination unit 113 determines whether or not the first related PE file associated with the first event analysis information is a malicious file through at least one of dynamic analysis and static analysis. It is judged (step S241b).

예를 들어, 동적 분석은 가상머신(VM) 또는 미니 베어본 PC(Next Unit of Computing, NUC)와 같은 베어 메탈(Bare metal)을 통해 PE 파일을 분석하거나, 쿠쿠 샌드박스(Cuckoo Sandbox)를 통해 PE 파일을 분석할 수 있다.For example, dynamic analysis can analyze PE files via bare metal, such as a virtual machine (VM) or mini barebones PC (Next Unit of Computing (NUC)), or via Cuckoo Sandbox. PE files can be analyzed.

예를 들어, 정적 분석은 리버스 엔지니어링(Reverse Engineering)을 통하여 역코딩함으로써 분석할 수 있다.For example, static analysis can be analyzed by reverse coding through reverse engineering.

동적 분석과 정적 분석은 위에 기재된 내용으로 한정하지 않고, 종래에 악성파일(멀웨어)을 판단하는데 통상적으로 사용하는 방식 중 하나일 수 있다.Dynamic analysis and static analysis are not limited to those described above, and may be one of methods commonly used to determine malicious files (malware) in the related art.

악성파일 판단부(113)는 동적 분석 및 정적 분석 중 적어도 하나를 통해 제1 관련 PE 파일이 악성파일로 판단되면 제1 이벤트 분석 정보와 제1 이벤트 해시값을 포함하는 악성파일 데이터베이스를 생성한다(단계 S242b 및 단계 S243b).When the first related PE file is determined to be a malicious file through at least one of dynamic analysis and static analysis, the malicious file determination unit 113 creates a malicious file database including first event analysis information and a first event hash value ( step S242b and step S243b).

이후 악성파일 판단부(113)는 악성파일 데이터베이스에 포함된 제1 이벤트 분석 정보와 동일한 제2 이벤트 분석 정보가 통합 이벤트 해시값 분석 데이터에 포함되는지 여부를 체크한다(단계 S244b).Then, the malicious file determining unit 113 checks whether the integrated event hash value analysis data includes the second event analysis information identical to the first event analysis information included in the malicious file database (step S244b).

여기서 제2 이벤트 분석 정보는 사용자 단말(1)의 보안 이벤트와 통신 이벤트가 감시 서버(110)의 이벤트 정보 수집부(111)로 새롭게 전송되어 분석된 이벤트 분석 정보 내에 포함될 수 있다.Here, the second event analysis information may be included in the event analysis information in which the security event and the communication event of the user terminal 1 are newly transmitted to the event information collection unit 111 of the monitoring server 110 and analyzed.

악성파일 판단부(113)는 통합 이벤트 해시값 분석 데이터에 제2 이벤트 분석 정보가 포함되면 제2 악성파일 경보를 생성한다(단계 S245b 및 단계 S2456b).The malicious file determination unit 113 generates a second malicious file alert when the second event analysis information is included in the integrated event hash value analysis data (steps S245b and S2456b).

악성파일 판단부(113)는 제2 악성파일 경보가 생성되면 제1 이벤트 분석 정보와 연관된 제1 이벤트 해시값 및 제2 이벤트 분석 정보와 연관된 제2 이벤트 해시값을 퍼지 해시(Fuzzy Hash)를 기반으로 유사도를 측정한다(단계 S247b).When the second malicious file alert is generated, the malicious file determination unit 113 sets the first event hash value associated with the first event analysis information and the second event hash value associated with the second event analysis information based on a fuzzy hash. The degree of similarity is measured (step S247b).

퍼지 해시는 입력 값을 여러 조각으로 분리한 후 각각의 조각에 해시를 사용하여 하나의 결과를 만들고, 계산된 결과를 비교하여 얼마나 유사한지 확인할 수 있는 기법으로, 통상의 해시 알고리즘이므로 상세한 설명은 생략한다.Fuzzy hash is a technique that separates an input value into several pieces, uses a hash for each piece to create one result, and compares the calculated results to see how similar they are. Since it is a normal hash algorithm, detailed descriptions are omitted. do.

악성파일 판단부(113)는 제1 이벤트 해시값과 제2 이벤트 해시값 간의 유사도와 악성파일 기준 유사도를 비교하여 제2 이벤트 분석 정보와 관련된 제2 관련 PE 파일에 대한 악성파일 여부를 판단한다(단계 S248b).The malicious file determining unit 113 compares the similarity between the first event hash value and the second event hash value and the malicious file standard similarity to determine whether the second related PE file related to the second event analysis information is a malicious file ( Step S248b).

악성파일 기준 유사도는 보안 담당자에 의해 설정될 수 있으며, 예를 들어 80%로 설정될 수 있다. 이 경우 악성파일 판단부(113)는 제1 이벤트 해시값과 제2 이벤트 해시값 간의 유사도가 80%를 넘으면 제2 이벤트 해시값이 악성파일 데이터베이스에 저장된 제1 이벤트 해시값과 유사하다고 판단할 수 있다.The malicious file criterion similarity may be set by a security officer, and may be set to, for example, 80%. In this case, the malicious file determination unit 113 may determine that the second event hash value is similar to the first event hash value stored in the malicious file database when the similarity between the first event hash value and the second event hash value exceeds 80%. there is.

즉, 악성파일 판단부(113)는 제1 이벤트 해시값과 제2 이벤트 해시값의 유사도가 악성파일 기준 유사도보다 높으면 제2 이벤트 해시값을 제2 이벤트 분석 정보와 연관하여 악성파일 데이터베이스에 저장할 수 있다.That is, if the similarity between the first event hash value and the second event hash value is higher than the malicious file standard similarity, the malicious file determining unit 113 may associate the second event hash value with the second event analysis information and store the second event hash value in the malicious file database. there is.

여기서 제2 이벤트 분석 정보와 제1 이벤트 분석 정보가 동일하므로, 하나의 이벤트 분석 정보로 제1 이벤트 해시값과 제2 이벤트 해시값이 연관되어 악성파일 데이터베이스에 저장될 수 있다.Here, since the second event analysis information and the first event analysis information are the same, the first event hash value and the second event hash value may be associated with one event analysis information and stored in the malicious file database.

한편, 악성파일 판단부(113)는 제1 이벤트 분석 정보(또는 제2 이벤트 분석 정보)와 제1 이벤트 해시값 및 제2 이벤트 해시값이 연관되어 악성파일 데이터베이스에 저장된 상태에서 제1 이벤트 분석 정보와 동일한 제3 이벤트 분석 정보가 통합 이벤트 해시값 분석 데이터에 포함되면, 아래와 같은 방법으로 유사도를 측정할 수 있다.Meanwhile, the malicious file determination unit 113 associates the first event analysis information (or the second event analysis information) with the first event hash value and the second event hash value and stores the first event analysis information in the malicious file database. When the same third event analysis information is included in the integrated event hash value analysis data, the similarity can be measured in the following way.

예를 들어, 악성파일 판단부(113)는 제1 이벤트 해시값 및 제2 이벤트 해시값의 유사도 평균값과 제3 이벤트 분석 정보의 제3 이벤트 해시값 간의 유사도를 측정할 수 있다.For example, the malicious file determining unit 113 may measure a similarity between an average similarity value of the first event hash value and the second event hash value and a third event hash value of the third event analysis information.

다른 예를 들어, 악성파일 판단부(113)는 제1 이벤트 해시값 또는 제2 이벤트 해시값과 제3 이벤트 분석 정보의 제3 이벤트 해시값 간의 유사도를 측정할 수 있다.For another example, the malicious file determining unit 113 may measure a similarity between the first event hash value or the second event hash value and the third event hash value of the third event analysis information.

도 6b를 참조하여 도 6a의 단계 S240b를 설명하면, 사용자 단말(1)은 사용자PC_01, 사용자PC_02, 사용자PC_03, 사용자PC_04를 포함하고, 제1 이벤트 분석 정보(E1)는 EVENT_01, EVENT_02, EVENT_03을 포함하고, 제1 이벤트 해시값(H1)은 HASH_01을 포함하고, 제2 이벤트 분석 정보(E2)는 EVENT_01, EVENT_02, EVENT_03을 포함하며, 제2 이벤트 해시값(H2)은 HASH_02을 포함할 수 있다.Referring to FIG. 6B to describe step S240b of FIG. 6A, the user terminal 1 includes user PC_01, user PC_02, user PC_03, and user PC_04, and the first event analysis information E1 includes EVENT_01, EVENT_02, and EVENT_03. The first event hash value H1 may include HASH_01, the second event analysis information E2 may include EVENT_01, EVENT_02, and EVENT_03, and the second event hash value H2 may include HASH_02. .

악성파일 판단부(113)는 제1 관련 PE 파일이 악성파일로 판단되면 제1 이벤트 분석 정보(E1) EVENT_01, EVENT_02, EVENT_03와 제1 이벤트 해시값(H1) HASH_01을 포함하는 악성파일 데이터베이스(WDB)를 생성할 수 있다.If the malicious file determination unit 113 determines that the first related PE file is malicious, the malicious file database (WDB) including the first event analysis information (E1) EVENT_01, EVENT_02, and EVENT_03 and the first event hash value (H1) HASH_01. ) can be created.

이후 악성파일 판단부(113)는 악성파일 데이터베이스(WDB)에 포함된 제1 이벤트 분석 정보(E1)인 EVENT_01, EVENT_02, EVENT_03와 동일한 제2 이벤트 분석 정보(E2) EVENT_01, EVENT_02, EVENT_03가 통합 이벤트 해시값 분석 데이터에 포함되면 제2 악성파일 경보(W2)를 생성할 수 있다.Thereafter, the malicious file determination unit 113 determines that the second event analysis information (E2) EVENT_01, EVENT_02, and EVENT_03 identical to the first event analysis information (E1) EVENT_01, EVENT_02, and EVENT_03 included in the malicious file database (WDB) is an integrated event. If included in the hash value analysis data, a second malicious file warning W2 may be generated.

악성파일 판단부(113)는 제1 이벤트 분석 정보(E1)와 연관된 제1 이벤트 해시값(H1) HASH_01와, 제2 이벤트 분석 정보(E2)와 연관된 제2 이벤트 해시값(H2) HASH_02의 유사도를 측정할 수 있다.The malicious file determining unit 113 determines the degree of similarity between the first event hash value (H1) HASH_01 associated with the first event analysis information (E1) and the second event hash value (H2) HASH_02 associated with the second event analysis information (E2). can measure

여기서 악성파일 판단부(113)는 퍼지 해시(Fuzzy Hash)를 기반으로 제1 이벤트 해시값(H1)과 제2 이벤트 해시값(H2)의 유사도를 측정할 수 있다.Here, the malicious file determining unit 113 may measure the similarity between the first event hash value H1 and the second event hash value H2 based on the fuzzy hash.

악성파일 기준 유사도가 80%로 설정된 경우, 악성파일 판단부(113)는 HASH_01과 HASH_02의 유사도가 80% 이상이면 HASH_02과 연관된 제2 이벤트 분석 정보(E2)의 제2 관련 PE 파일을 악성파일로 판단할 수 있다.When the malicious file criterion similarity is set to 80%, the malicious file determination unit 113 classifies the second related PE file of the second event analysis information (E2) associated with HASH_02 as a malicious file if the similarity between HASH_01 and HASH_02 is 80% or more. can judge

이는 제1 이벤트 해시값(H1) HASH_01가 이미 악성파일로 판단되어 악성파일 데이터베이스(WDB)에 저장되어 있으므로, 제1 이벤트 해시값(H1) HASH_01와 제2 이벤트 해시값(H2) HASH_02의 유사도가 높다는 것은 제2 이벤트 해시값(H2) HASH_02도 악성파일 가능성이 높다는 의미이기 때문이다.This is because the first event hash value (H1) HASH_01 has already been determined as a malicious file and stored in the malicious file database (WDB), so the similarity between the first event hash value (H1) HASH_01 and the second event hash value (H2) HASH_02 The fact that it is high means that the second event hash value (H2) HASH_02 also has a high possibility of being a malicious file.

이에 따라 악성파일 판단부(113)는 악상파일인 제2 관련 PE 파일의 제2 이벤트 해시값(H2) HASH_02를 제1 이벤트 분석 정보(E1) EVENT_01, EVENT_02, EVENT_03 및 제1 이벤트 해시값(H1) HASH_01와 연관하여 악성 데이터베이스(WDB)에 저장할 수 있다.Accordingly, the malicious file determination unit 113 converts the second event hash value (H2) HASH_02 of the second related PE file, which is a malicious file, into the first event analysis information (E1) EVENT_01, EVENT_02, EVENT_03 and the first event hash value (H1). ) HASH_01 and can be stored in a malicious database (WDB).

도 7에 도시된 단계 S300은 단계 S200과 동시에 수행되거나, 단계 S200 이전 또는 이후에 수행되거나, 단계 S200과 혼용되어 수행되거나 또는 단계 S200와 별개로 수행될 수 있다.Step S300 shown in FIG. 7 may be performed simultaneously with step S200, performed before or after step S200, performed together with step S200, or performed separately from step S200.

또한, 단계 S300은 해시 기반 악성파일 판단 시스템에서 n1개의 단말과 연결되어 해시 기반 악성파일을 판단하는 과정을 포함할 수 있다. 즉, 단계 S300에서는 사용자 단말(1)이 n1개의 단말을 포함할 수 있다.In addition, step S300 may include a process of determining a hash-based malicious file by connecting to n1 terminals in the hash-based malicious file determination system. That is, in step S300, the user terminal 1 may include n1 terminals.

도 7을 참조하면, 비율 산출부(114)는 감시 에이전트(120)의 PE 파일 수집부(122)로부터 n1개의 단말 각각에 설치된 모든 PE 파일 정보 및 모든 PE 파일과 연관된 모든 해시값을 수신하여 해시값 데이터베이스를 생성한다(단계 S310).Referring to FIG. 7 , the ratio calculation unit 114 receives information on all PE files installed in each of the n1 terminals and all hash values associated with all PE files from the PE file collection unit 122 of the monitoring agent 120, and hashes the hash values. A value database is created (step S310).

여기서 모든 PE 파일 정보는 PE 파일의 파일명, 저장된 파일 경로 및 서명 여부를 포함할 수 있다.Here, all PE file information may include the file name of the PE file, the saved file path, and whether or not it is signed.

비율 산출부(114)는 해시값 데이터베이스를 기반으로 사용자 단말(1)에 대한 해시 보유비율을 산출한다(단계 S320).The ratio calculation unit 114 calculates the hash retention ratio for the user terminal 1 based on the hash value database (step S320).

해시 보유비율은 해시값 데이터베이스에 포함된 특정 해시값 관련 PE 파일이 설치된 해시값 동일 사용자 단말(1)의 수를 n1개의 단말의 수로 나눈 값일 수 있다. 즉, 해시 보유비율은 n1개의 단말 중 동일한 해시값을 가지는 PE 파일을 저장하고 있는 사용자 단말(1)의 비율일 수 있다. 예를 들어 1,000개의 사용자 단말(1) 중 동일한 해시값을 가지는 PE 파일 A.exe가 10개의 사용자 단말(1)에 저장되어 있으면 해시 보유비율은 1%일 수 있다. 해시 보유비율은 PE 파일별로 또는 해시값 별로 산출될 수 있다.The hash retention ratio may be a value obtained by dividing the number of user terminals 1 with the same hash value in which the PE file related to the specific hash value included in the hash value database is installed by the number of n1 terminals. That is, the hash retention ratio may be the ratio of the user terminal 1 storing the PE file having the same hash value among the n1 terminals. For example, if the PE file A.exe having the same hash value among 1,000 user terminals 1 is stored in 10 user terminals 1, the hash retention rate may be 1%. The hash retention rate may be calculated for each PE file or each hash value.

해시 보유비율이 낮을수록 사용자 단말(1)에서 많이 사용하지 않는다는 의미이므로, 해시 보유비율이 낮을수록 해당 해시값을 가지는 PE 파일이 악성파일 가능성이 높아질 수 있다.Since the lower the hash retention rate means that the user terminal 1 does not use it much, the lower the hash retention rate, the higher the probability that the PE file having the corresponding hash value is a malicious file.

비율 산출부(114)는 OS(Operating System)별, 윈도우 버전별 및 윈도우 비트별 중 적어도 하나로 해시 보유비율을 산출할 수 있다. 예를 들어, OS별로 산출되는 해시 보유비율은 윈도우7, 윈도우10, 윈도우xp 등을 기준으로 분류될 수 있다. 윈도우 버전별로 산출되는 해시 보유비율은 윈도우10의 버전1, 윈도우10의 버전2 등 동일한 OS에서 업데이트 버전에 따라 분류될 수 있다. 윈도우 비트별로 산출되는 해시 보유비율은 윈도우10 32bit, 윈도우10 64bit 등에 따라 분류될 수 있다.The ratio calculation unit 114 may calculate the hash retention ratio for at least one of OS (Operating System), Windows version, and Windows bit. For example, the hash retention rate calculated for each OS may be classified based on Windows 7, Windows 10, Windows XP, and the like. The hash holding ratio calculated for each version of Windows can be classified according to the updated version of the same OS, such as version 1 of Windows 10 and version 2 of Windows 10. The hash holding ratio calculated for each window bit can be classified according to Windows 10 32bit, Windows 10 64bit, and the like.

비율 산출부(114)는 감시 에이전트(120)의 통신 이벤트 수집부(121)로부터 n1개의 단말 각각의 모든 통신 이벤트 및 모든 통신 이벤트와 연관된 통신 PE 파일 정보를 수신한다(단계 S330).The ratio calculation unit 114 receives all communication events of each of the n1 terminals and communication PE file information associated with all communication events from the communication event collection unit 121 of the monitoring agent 120 (step S330).

모든 통신 이벤트는 이벤트 발생 시간, 이벤트 탐지명, 출발지 IP, 출발지 Port, 목적지 IP, 목적지 Port 정보를 포함할 수 있다. 통신 PE 파일 정보는 통신 이벤트 관련 PE 파일의 파일명, 저장된 파일 경로 및 서명 여부를 포함할 수 있다.All communication events can include event occurrence time, event detection name, source IP, source port, destination IP, and destination port information. Communication PE file information may include a file name of a PE file related to a communication event, a stored file path, and signature.

감시 에이전트(120)의 통신 이벤트 수집부(121)는 비율 산출부(114)에 모든 통신 이벤트 및 통신 PE 파일 정보를 전송하기 위해 아래와 같은 작업을 수행할 수 있다.The communication event collection unit 121 of the monitoring agent 120 may perform the following tasks to transmit all communication events and communication PE file information to the ratio calculation unit 114 .

통신 이벤트 수집부(121)는 사용자 단말(1)의 모든 통신 이벤트 및 통신 PE 파일 정보를 포함하는 모든 통신 통합 정보를 메인 메모리에 저장할 수 있다.The communication event collecting unit 121 may store all communication events of the user terminal 1 and all communication integration information including communication PE file information in the main memory.

이후 통신 이벤트 수집부(121)는 제1 시간마다 메인 메모리에 저장된 모든 통신 통합 정보를 임시 메모리에 저장하고, 제2 시간마다 임시 메모리에 저장된 모든 통신 통합 정보를 비율 산출부(114)로 전송할 수 있다.Thereafter, the communication event collection unit 121 may store all communication integration information stored in the main memory in a temporary memory at the first time and transmit all communication integration information stored in the temporary memory to the ratio calculation unit 114 at every second time. there is.

통신 이벤트 수집부(121)는 모든 통신 통합 정보를 비율 산출부(114)로 전송한 후 임시 메모리에서 모든 통신 통합 정보를 삭제할 수 있다. 여기서 제1 시간과 제2 시간은 동일하거나 상이할 수 있으며, 감시 에이전트(120) 또는 사용자 단말(1)의 설정에 따라 달라질 수 있다.The communication event collection unit 121 may delete all communication integration information from the temporary memory after transmitting all communication integration information to the ratio calculating unit 114 . Here, the first time and the second time may be the same or different, and may vary according to settings of the monitoring agent 120 or the user terminal 1 .

비율 산출부(114)는 모든 통신 이벤트 및 통신 PE 파일 정보로부터 외부 서버 IP 정보를 추출하여 외부 서버 접속비율을 산출한다(단계 S340).The ratio calculation unit 114 extracts external server IP information from all communication events and communication PE file information to calculate an external server connection ratio (step S340).

외부 서버 접속비율은 n1개의 단말 중 외부 서버에 접속하는 외부 서버 접속 사용자 단말(1)의 수를 n1개의 단말의 수로 나눈 값일 수 있다. 즉, 외부 서버 접속비율은 현재 특정 외부 서버 IP에 접속한 사용자 단말(1)의 비율일 수 있다. 예를 들어, 1,000개의 사용자 단말(1) 중 10개의 사용자 단말(1)이 특정 외부 서버에 접속해 있으면 특정 외부 서버에 대한 외부 서버 접속비율은 1%일 수 있다.The external server access ratio may be a value obtained by dividing the number of user terminals 1 connecting to the external server among the n1 terminals by the number of n1 terminals. That is, the external server access rate may be the rate of the user terminal 1 currently accessing a specific external server IP. For example, if 10 user terminals 1 among 1,000 user terminals 1 are connected to a specific external server, the external server access rate for the specific external server may be 1%.

외부 서버 접속비율이 낮을수록 사용자 단말(1)에서 외부 서버로 많이 접근하지 않는다는 의미이므로, 외부 서버 접속비율이 낮을수록 해당 통신 이벤트를 가지는 PE 파일이 악성파일 가능성이 높아질 수 있다.Since the lower the external server access rate means that the user terminal 1 does not access the external server much, the lower the external server access rate, the higher the possibility that the PE file having the corresponding communication event is a malicious file.

한편, 단계 S310 내지 단계 S340을 순차적으로 설명하였지만, 이에 한정하고자 하는 것은 아니며, 단계 S330 및 단계 S340 이후에 단계 S310 및 단계 S320가 수행될 수도 있다. Meanwhile, although steps S310 to S340 have been sequentially described, it is not intended to be limited thereto, and steps S310 and S320 may be performed after steps S330 and S340.

도 8을 참조하면, 단계 S350은 단계 S300 이후에 수행되되, S200과 동시에 수행될 수 있다.Referring to FIG. 8 , step S350 is performed after step S300, but may be performed simultaneously with step S200.

비율 산출부(114)는 외부 서버 접속비율이 기준 외부 서버 접속비율보다 낮은지 여부를 판별한다(단계 S351).The ratio calculating unit 114 determines whether the external server connection ratio is lower than the reference external server connection ratio (step S351).

기준 외부 서버 접속비율은 보안 담당자에 의해 설정될 수 있으며, 예를 들어 2%로 설정될 수 있다.The standard external server access rate may be set by a security officer, and may be set to, for example, 2%.

비율 산출부(114)는 해시 보유비율이 기준 해시 보유비율보다 낮은지 여부를 판별한다(단계 S352).The ratio calculator 114 determines whether the hash holding ratio is lower than the reference hash holding ratio (step S352).

기준 해시 보유비율은 보안 담당자에 의해 설정될 수 있으며, 예를 들어 2%로 설정될 수 있다.The standard hash retention rate may be set by a security officer, and may be set to, for example, 2%.

비율 산출부(114)는 사용자 단말(1)의 보안 이벤트의 수를 카운팅한다(단계 S353).The ratio calculation unit 114 counts the number of security events of the user terminal 1 (step S353).

비율 산출부(114)에서 카운팅되는 보안 이벤트의 수는 악성파일 판단부(113)에서 카운팅하는 이벤트 분석 정보의 수와 동일한 작업일 수 있으며, 비율 산출부(114) 또는 악성파일 판단부(113) 중 적어도 하나에서 수행될 수 있다.The number of security events counted by the rate calculation unit 114 may be the same as the number of event analysis information counted by the malicious file determination unit 113, and the rate calculation unit 114 or the malicious file determination unit 113 At least one of them may be performed.

비율 산출부(114)는 외부 서버 접속비율이 기준 외부 서버 접속비율보다 낮고, 해시 보유비율이 기준 해시 보유비율보다 낮으며, 보안 이벤트의 수가 M개 이상일 때 제3 악성파일 경보를 생성한다(단계 S354 및 단계 S355).The ratio calculation unit 114 generates a third malicious file alert when the external server connection rate is lower than the reference external server connection rate, the hash retention rate is lower than the reference hash retention rate, and the number of security events is M or more (step S354 and step S355).

여기서 M은 1 이상을 가지는 상수이며, 보안 담당자에 의해 설정될 수 있다.Here, M is a constant having 1 or more, and can be set by a security officer.

이때 비율 산출부(114)는 해시 보유비율이 기준 해시 보유비율보다 높을 때 기준 해시 보유비율보다 높은 해시 보유비율을 가진 특정 해시값 관련 PE 파일을 정상 파일로 처리할 수 있다.In this case, when the hash retention rate is higher than the reference hash retention rate, the ratio calculation unit 114 may process a PE file related to a specific hash value having a higher hash retention rate than the reference hash retention rate as a normal file.

여기서 기준 해시 보유비율보다 높은 해시 보유비율을 가진 PE 파일은 안티 바이러스(Anti-Virus)에 대응하는 것으로, 동일한 악성파일로 감염된 사용자 단말(1)의 개수를 분석하여 최대 개수를 선정 후 W(White list weight value)값을 곱하여 나온 수를 전체 사용자 사용자 단말(1) 수 대비 백분율로 산출할 수 있다. W는 보안 담당자에 의해 설정될 수 있으며, 예를 들어 50%일 수 있다. 최대 개수는 안티 바이러스(Anti-Virus)에서 기 탐지된 악성파일의 감염 통계를 기초로 특정 악성파일에 의해 가장 많이 감염된 개수로 산정될 수 있다.Here, the PE file with a higher hash retention rate than the standard hash retention rate corresponds to Anti-Virus, and after analyzing the number of user terminals (1) infected with the same malicious file, selecting the maximum number, W (White The number obtained by multiplying the list weight value) value may be calculated as a percentage of the total number of user terminals 1 . W may be set by the security officer, and may be 50%, for example. The maximum number may be calculated as the number most infected by a specific malicious file based on infection statistics of previously detected malicious files by anti-virus.

한편, 본 실시예에 따른 제1 악성파일 경보, 제2 악성파일 경보 및 제3 악성파일 경보는 보안 담당자의 보안 단말로 푸시될 수 있고, 메시지, 알람, 진동 등 다양한 방식을 포함할 수 있다.Meanwhile, the first malicious file alert, the second malicious file alert, and the third malicious file alert according to the present embodiment may be pushed to a security terminal of a security officer, and may include various methods such as messages, alarms, and vibrations.

이에 본 실시예에 따른 해시 기반 악성파일 판단 시스템(100)은 사용자 단말(1)의 보안 이벤트와 통신 이벤트 관련 PE 파일의 해시값을 추출하고 분석함으로써 관련 PE 파일의 악성파일 여부를 판단할 수 있다. 이 과정에서 해시 기반 악성파일 판단 시스템(100)은 해시 보유비율과 외부 서버 접속비율을 참고하여 보다 정확하게 관련 PE 파일의 악성파일 여부를 판단할 수 있다.Accordingly, the hash-based malicious file determination system 100 according to this embodiment extracts and analyzes the hash value of the PE file related to the security event and communication event of the user terminal 1 to determine whether the related PE file is a malicious file. . In this process, the hash-based malicious file determination system 100 may more accurately determine whether the related PE file is a malicious file by referring to the hash retention rate and the external server access rate.

상기에서는 본 발명의 일 실시예를 참조하여 설명하였지만, 해당 기술 분야에서 통상의 지식을 가진 자라면 하기의 특허 청구의 범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.Although the above has been described with reference to an embodiment of the present invention, those skilled in the art can make various modifications to the present invention within the scope not departing from the spirit and scope of the present invention described in the claims below. It will be appreciated that modifications and changes may be made.

100: 해시 기반 악성파일 판단 시스템
110: 감시 서버
120: 감시 에이전트
1: 사용자 단말
2: 보안 장비
3: 네트워크 장비
4: 서버존
5: Backbone(백본)100: hash-based malicious file determination system
110: monitoring server
120: monitoring agent
1: user terminal
2: Security Equipment
3: network equipment
4: Server Zone
5: Backbone

Claims (11)

사용자 단말의 보안 이벤트와 통신 이벤트를 감시 서버에서 분석하여 이벤트 분석 정보를 생성하는 단계;
상기 감시 서버에서 상기 이벤트 분석 정보와 관련된 상기 사용자 단말의 관련 PE 파일의 이벤트 정보를 감시 에이전트로 요청하고 상기 감시 에이전트로부터 상기 관련 PE 파일의 이벤트 정보를 수신하는 단계;
상기 감시 서버에서 상기 수신된 관련 PE 파일의 이벤트 정보의 이벤트 해시값을 추출하고, 상기 이벤트 분석 정보와 상기 이벤트 해시값을 통합하여 이벤트 해시값 분석 정보를 생성하며, 상기 이벤트 해시값 분석 정보와 상기 관련 PE 파일의 이벤트 정보를 통합하여 통합 이벤트 해시값 분석 데이터를 생성하는 단계; 및
상기 감시 서버에서 상기 통합 이벤트 해시값 분석 데이터를 분석하여 상기 관련 PE 파일의 악성파일 여부를 판단하는 단계를 포함하는 해시 기반 악성파일 판단 방법.Generating event analysis information by analyzing security events and communication events of user terminals in a monitoring server;
requesting, from the monitoring server, event information of a related PE file of the user terminal related to the event analysis information to a monitoring agent and receiving event information of the related PE file from the monitoring agent;
The monitoring server extracts an event hash value of the received event information of the related PE file, integrates the event analysis information and the event hash value to generate event hash value analysis information, and generates the event hash value analysis information and the event hash value analysis information. generating integrated event hash value analysis data by integrating event information of related PE files; and
and determining whether the related PE file is a malicious file by analyzing the integrated event hash value analysis data in the monitoring server. 제1항에 있어서,
상기 관련 PE 파일의 악성파일 여부를 판단하는 단계는,
상기 통합 이벤트 해시값 분석 데이터에서 동일한 제1 이벤트 해시값을 추출하는 단계;
상기 제1 이벤트 해시값과 연관된 이벤트 분석 정보 중 상이한 제1 이벤트 분석 정보를 추출하는 단계;
상기 추출된 상기 제1 이벤트 분석 정보의 수를 카운팅하는 단계; 및
상기 카운팅된 상기 제1 이벤트 분석 정보의 수가 N개 이상 일 때 제1 악성파일 경보를 생성하는 단계를 포함하는 해시 기반 악성파일 판단 방법.According to claim 1,
The step of determining whether the related PE file is a malicious file,
extracting the same first event hash value from the integrated event hash value analysis data;
extracting different first event analysis information from among event analysis information associated with the first event hash value;
counting the number of the extracted first event analysis information; and
and generating a first malicious file alert when the counted number of first event analysis information is N or more. 제2항에 있어서,
상기 제1 악성파일 경보를 생성하는 단계에서,
상기 제1 악성파일 경보는,
서로 다른 보안 장비에서 동일한 보안 이벤트를 탐지한 경우 또는 동일한 보안 장비에서 상이한 보안 이벤트를 탐지한 경우 생성되는 제11 악성파일 경보 및 상기 보안 이벤트에 특정 보안 이벤트가 포함되거나 상기 통신 이벤트에 특정 통신 이벤트가 포함되는 경우 생성되는 제12 악성파일 경보 중 하나 이상을 포함하는 해시 기반 악성파일 판단 방법.According to claim 2,
In the step of generating the first malicious file alert,
The first malicious file alert,
11 Malicious file alert generated when different security devices detect the same security event or when the same security device detects different security events, and the security event includes a specific security event or the communication event includes a specific communication event A hash-based malicious file determination method including one or more of twelfth malicious file alerts generated when included. 제2항에 있어서,
상기 관련 PE 파일의 악성파일 여부를 판단하는 단계는,
상기 제1 악성파일 경보가 생성되면 동적 분석 및 정적 분석 중 적어도 하나를 통해 상기 제1 이벤트 분석 정보와 연관된 제1 관련 PE 파일에 대한 악성파일 여부를 판단하는 단계; 및
상기 제1 관련 PE 파일이 악성파일로 판단되면 상기 제1 이벤트 분석 정보와 상기 제1 이벤트 해시값을 포함하는 악성파일 데이터베이스를 생성하는 단계를 더 포함하는 해시 기반 악성파일 판단 방법.According to claim 2,
The step of determining whether the related PE file is a malicious file,
determining whether a first related PE file associated with the first event analysis information is a malicious file through at least one of dynamic analysis and static analysis when the first malicious file alert is generated; and
and generating a malicious file database including the first event analysis information and the first event hash value when the first related PE file is determined to be a malicious file. 제4항에 있어서,
상기 관련 PE 파일의 악성파일 여부를 판단하는 단계는,
상기 악성파일 데이터베이스에 포함된 제1 이벤트 분석 정보와 동일한 제2 이벤트 분석 정보가 상기 통합 이벤트 해시값 분석 데이터에 포함되는지 여부를 체크하는 단계;
상기 통합 이벤트 해시값 분석 데이터에 상기 제2 이벤트 분석 정보가 포함되면 제2 악성파일 경보를 생성하는 단계;
상기 제2 악성파일 경보가 생성되면 상기 제1 이벤트 분석 정보와 연관된 제1 이벤트 해시값 및 상기 제2 이벤트 분석 정보와 연관된 제2 이벤트 해시값을 퍼지 해시(Fuzzy Hash)를 기반으로 유사도를 측정하는 단계; 및
상기 유사도와 악성파일 기준 유사도를 비교하여 상기 제2 이벤트 분석 정보와 관련된 제2 관련 PE 파일에 대한 악성파일 여부를 판단하고, 상기 제2 이벤트 해시값을 상기 악성파일 데이터베이스에 저장하는 단계를 포함하는 해시 기반 악성파일 판단 방법.According to claim 4,
The step of determining whether the related PE file is a malicious file,
checking whether second event analysis information identical to the first event analysis information included in the malicious file database is included in the integrated event hash value analysis data;
generating a second malicious file alert when the second event analysis information is included in the integrated event hash value analysis data;
When the second malicious file alert is generated, measuring the similarity of the first event hash value associated with the first event analysis information and the second event hash value associated with the second event analysis information based on a fuzzy hash step; and
Comparing the similarity with the malicious file standard similarity to determine whether the second related PE file related to the second event analysis information is a malicious file, and storing the second event hash value in the malicious file database Hash-based malicious file determination method. 제1항에 있어서,
상기 사용자 단말이 n1개의 단말을 포함하는 경우,
상기 감시 서버에서 상기 감시 에이전트로부터 상기 n1개의 단말 각각에 설치된 모든 PE 파일 정보 및 이의 모든 해시값을 수신하여 해시값 데이터베이스를 생성하는 단계;
상기 감시 서버에서 상기 해시값 데이터베이스에 포함된 특정 해시값 관련 PE 파일이 설치된 해시값 동일 사용자 단말의 수를 상기 n1개의 단말의 수로 나눈값인 해시 보유비율을 산출하는 단계;
상기 감시 서버에서 상기 감시 에이전트로부터 상기 n1개의 단말 각각의 모든 통신 이벤트 및 상기 모든 통신 이벤트와 연관된 통신 PE 파일 정보를 수신하는 단계; 및
상기 감시 서버에서 상기 모든 통신 이벤트 및 상기 통신 PE 파일 정보로부터 외부 서버의 IP 정보를 추출하여 상기 n1개의 단말 중 상기 외부 서버에 접속하는 외부 서버 접속 사용자 단말의 수를 상기 n1개의 단말의 수로 나눈 값인 외부 서버 접속비율을 산출하는 단계를 더 포함하는 해시 기반 악성파일 판단 방법.According to claim 1,
When the user terminal includes n1 terminals,
generating a hash value database by receiving all PE file information and all hash values thereof installed in each of the n1 terminals from the monitoring agent in the monitoring server;
Calculating a hash retention ratio, which is a value obtained by dividing the number of user terminals with the same hash value in which the PE file related to the specific hash value included in the hash value database is installed by the number of n1 terminals in the monitoring server;
receiving all communication events of each of the n1 terminals and communication PE file information associated with all the communication events from the monitoring agent in the monitoring server; and
The monitoring server extracts the IP information of the external server from all the communication events and the communication PE file information, and divides the number of external server access user terminals accessing the external server among the n1 terminals by the number of n1 terminals. A method for determining a hash-based malicious file, further comprising calculating an external server access rate. 제6항에 있어서,
상기 관련 PE 파일의 악성파일 여부를 판단하는 단계는,
상기 외부 서버 접속비율이 기준 외부 서버 접속비율보다 낮은지 여부를 판별하는 단계;
상기 해시 보유비율이 기준 해시 보유비율보다 낮은지 여부를 판별하는 단계;
상기 사용자 단말의 상기 보안 이벤트의 수를 카운팅하는 단계; 및
상기 외부 서버 접속비율이 상기 기준 외부 서버 접속비율보다 낮고, 상기 해시 보유비율이 상기 기준 해시 보유비율보다 낮으며, 상기 보안 이벤트의 수가 M개 이상일 때 제3 악성파일 경보를 생성하는 단계를 더 포함하는 해시 기반 악성파일 판단 방법.According to claim 6,
The step of determining whether the related PE file is a malicious file,
determining whether the external server access rate is lower than a reference external server access rate;
determining whether the hash retention rate is lower than a reference hash retention rate;
counting the number of security events of the user terminal; and
Further comprising generating a third malicious file alert when the external server connection rate is lower than the reference external server connection rate, the hash retention rate is lower than the reference hash retention rate, and the number of security events is M or more. Hash-based malicious file determination method. 제7항에 있어서,
상기 제3 악성파일 경보를 생성하는 단계에서,
상기 감시 서버는,
상기 해시 보유비율이 상기 기준 해시 보유비율보다 높을 때 상기 해시 보유비율을 가진 특정 해시값 관련 PE 파일을 정상 파일로 처리하는 해시 기반 악성파일 판단 방법.According to claim 7,
In the step of generating the third malicious file alert,
The monitoring server,
A hash-based malicious file determination method of processing a PE file related to a specific hash value having the hash retention rate as a normal file when the hash retention rate is higher than the reference hash retention rate. 제1항 내지 제8항 중 어느 한 항에 따른 감시 서버 및 감시 에이전트를 포함하고,
상기 감시 서버는
사용자 단말의 보안 이벤트와 통신 이벤트를 분석하여 이벤트 분석 정보를 생성하고, 상기 이벤트 분석 정보와 관련된 상기 사용자 단말의 관련 PE 파일의 이벤트 정보를 상기 감시 에이전트로 요청하고 상기 감시 에이전트로부터 상기 관련 PE 파일의 이벤트 정보를 수신하는 이벤트 정보 수집부;
상기 수신된 관련 PE 파일의 이벤트 정보의 이벤트 해시값을 추출하고, 상기 이벤트 분석 정보와 상기 이벤트 해시값을 통합하여 이벤트 해시값 분석 정보를 생성하며, 상기 이벤트 해시값 분석 정보와 상기 관련 PE 파일의 이벤트 정보를 통합하여 통합 이벤트 해시값 분석 데이터를 생성하는 이벤트 해시값 추출부; 및
상기 통합 이벤트 해시값 분석 데이터를 분석하여 상기 관련 PE 파일의 악성파일 여부를 판단하는 악성파일 판단부를 포함하는 해시 기반 악성파일 판단 시스템.Including a monitoring server and a monitoring agent according to any one of claims 1 to 8,
The monitoring server
A security event and a communication event of a user terminal are analyzed to generate event analysis information, a request for event information of a related PE file of the user terminal related to the event analysis information is requested to the monitoring agent, and a an event information collection unit receiving event information;
An event hash value of the received event information of the related PE file is extracted, the event analysis information and the event hash value are integrated to generate event hash value analysis information, and the event hash value analysis information and the related PE file are combined. an event hash value extraction unit for generating integrated event hash value analysis data by integrating event information; and
and a malicious file determination unit for determining whether the related PE file is a malicious file by analyzing the integrated event hash value analysis data. 제9항에 있어서,
상기 감시 서버는,
상기 사용자 단말이 n1개의 단말을 포함하는 경우, 상기 감시 서버에서 상기 감시 에이전트로부터 상기 n1개의 단말 각각에 설치된 모든 PE 파일 정보 및 이의 모든 해시값을 수신하여 해시값 데이터베이스를 생성하고, 상기 감시 서버에서 상기 해시값 데이터베이스에 포함된 특정 해시값과 관련된 PE 파일이 설치된 해시값 동일 사용자 단말의 수를 상기 n1개의 단말의 수로 나눈값인 해시 보유비율을 산출하고, 상기 감시 서버에서 상기 감시 에이전트로부터 상기 n1개의 단말 각각의 모든 통신 이벤트 및 상기 모든 통신 이벤트와 연관된 통신 PE 파일 정보를 수신하며, 상기 감시 서버에서 상기 모든 통신 이벤트 및 상기 통신 PE 파일 정보로부터 외부 서버의 IP 정보를 추출하여 상기 n1개의 단말 중 상기 외부 서버에 접속하는 외부 서버 접속 사용자 단말의 수를 상기 n1개의 단말의 수로 나눈 값인 외부 서버 접속비율을 산출하는 비율 산출부를 더 포함하는 해시 기반 악성파일 판단 시스템.According to claim 9,
The monitoring server,
When the user terminal includes n1 terminals, the monitoring server receives all PE file information installed in each of the n1 terminals and all hash values thereof from the monitoring agent to generate a hash value database, and in the monitoring server Calculate a hash retention rate, which is a value obtained by dividing the number of user terminals having the same hash value as the hash value in which the PE file related to the specific hash value included in the hash value database is installed by the number of n1 terminals, and from the monitoring agent in the monitoring server to the n1 Receives all communication events of each of the n1 terminals and communication PE file information associated with all communication events, and extracts IP information of an external server from all communication events and communication PE file information in the monitoring server, among the n1 terminals. The hash-based malicious file determination system further comprising a ratio calculation unit for calculating an external server access ratio, which is a value obtained by dividing the number of external server accessing user terminals accessing the external server by the number of n1 terminals. 제10항에 있어서,
상기 감시 에이전트는,
상기 사용자 단말의 상기 모든 통신 이벤트 및 상기 통신 PE 파일 정보를 포함하는 모든 통신 통합 정보를 메인 메모리에 저장하는 통신 이벤트 수집부; 및
상기 사용자 단말에 설치된 모든 PE 파일 정보 및 이의 모든 해시값을 수집하는 PE 파일 수집부를 포함하는 해시 기반 악성파일 판단 시스템.
According to claim 10,
The monitoring agent,
a communication event collection unit that stores all communication events of the user terminal and all communication integration information including communication PE file information in a main memory; and
A hash-based malicious file determination system comprising a PE file collection unit that collects information on all PE files installed in the user terminal and all hash values thereof.
KR1020220021108A 2022-02-17 2022-02-17 Hash based malicious file determine mathod and system using the same KR20230123834A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020220021108A KR20230123834A (en) 2022-02-17 2022-02-17 Hash based malicious file determine mathod and system using the same

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020220021108A KR20230123834A (en) 2022-02-17 2022-02-17 Hash based malicious file determine mathod and system using the same

Publications (1)

Publication Number Publication Date
KR20230123834A true KR20230123834A (en) 2023-08-24

Family

ID=87841565

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020220021108A KR20230123834A (en) 2022-02-17 2022-02-17 Hash based malicious file determine mathod and system using the same

Country Status (1)

Country Link
KR (1) KR20230123834A (en)

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101969572B1 (en) 2018-06-22 2019-04-16 주식회사 에프원시큐리티 Malicious code detection apparatus and method

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101969572B1 (en) 2018-06-22 2019-04-16 주식회사 에프원시큐리티 Malicious code detection apparatus and method

Similar Documents

Publication Publication Date Title
US10657251B1 (en) Multistage system and method for analyzing obfuscated content for malware
KR100942456B1 (en) Method for detecting and protecting ddos attack by using cloud computing and server thereof
US8997231B2 (en) Preventive intrusion device and method for mobile devices
JP5087661B2 (en) Malignant code detection device, system and method impersonated into normal process
US10944784B2 (en) Identifying a potential DDOS attack using statistical analysis
US20150341389A1 (en) Log analyzing device, information processing method, and program
JP2019021294A (en) SYSTEM AND METHOD OF DETERMINING DDoS ATTACKS
KR20140113705A (en) Method and System for Ensuring Authenticity of IP Data Served by a Service Provider
US20170061126A1 (en) Process Launch, Monitoring and Execution Control
CN112073437B (en) Multi-dimensional security threat event analysis method, device, equipment and storage medium
US10771477B2 (en) Mitigating communications and control attempts
JP6717206B2 (en) Anti-malware device, anti-malware system, anti-malware method, and anti-malware program
US20220217164A1 (en) Inline malware detection
CN112839017B (en) Network attack detection method and device, equipment and storage medium thereof
CN107209834B (en) Malicious communication pattern extraction device, system and method thereof, and recording medium
US10963562B2 (en) Malicious event detection device, malicious event detection method, and malicious event detection program
KR20070077517A (en) Profile-based web application intrusion detection system and the method
CN115525897A (en) System detection method and device for terminal equipment, electronic device and storage medium
KR20230123834A (en) Hash based malicious file determine mathod and system using the same
CN114816895A (en) Method, device and storage medium for processing alarm log
CN112699369A (en) Method and device for detecting abnormal login through stack backtracking
KR102001814B1 (en) A method and apparatus for detecting malicious scripts based on mobile device
US20220245249A1 (en) Specific file detection baked into machine learning pipelines
KR102616603B1 (en) Supporting Method of Network Security and device using the same
CN112948831B (en) Application risk identification method and device

Legal Events

Date Code Title Description
E902 Notification of reason for refusal