WO2011105659A1

WO2011105659A1 - 프로세스의 행위 분석을 통한 유해 프로그램을 실시간으로 탐지하고 차단하는 시스템, 방법, 프로그램 및 기록매체

Info

Publication number: WO2011105659A1
Application number: PCT/KR2010/002642
Authority: WO
Inventors: 최병호; 임철수
Original assignee: 주식회사 이세정보
Priority date: 2010-02-23
Filing date: 2010-04-27
Publication date: 2011-09-01
Also published as: US20120324575A1; KR101057432B1

Abstract

본 발명은 프로세스의 행위 분석을 통한 유해 프로그램을 실시간으로 탐지하고 차단하는 시스템, 방법, 프로그램 및 기록매체에 관한 것으로, 더욱 상세하게는 보안 서버에서 프로세스의 유해성 이상 행동 목록을 미리 정의하고, 발생한 이상 행동 개수를 검출하여 수집하고, 사용자 단말에서 실행하는 프로그램을 상기 이상 행동 목록과 매칭하여 유해 프로세스를 탐지하고 차단하는 프로세스의 행위 분석을 통한 유해 프로그램을 실시간으로 탐지하고 차단하는 시스템, 방법, 프로그램 및 기록매체에 관한 것이다.

Description

프로세스의 행위 분석을 통한 유해 프로그램을 실시간으로 탐지하고 차단하는 시스템, 방법, 프로그램 및 기록매체

본 발명은 시스템 내에서 다양한 형태로 동작하는 악의적인 프로그램을 탐지하고 차단하도록 프로세스의 행위 분석을 통한 유해 프로그램을 실시간으로 탐지하고 차단하는 시스템, 방법, 프로그램 및 기록매체에 관한 것이다.

인터넷 인프라의 급속한 발전과 인터넷 보급율의 확대에 따라 사용자 PC의 보안을 위협하는 악성 프로그램이 갈수록 지능화, 다양화되고 있고, 악성 프로그램에 의한 피해는 나날이 커지고 있다.

이러한, 인터넷 인프라 기술의 발전이 오히려 보안 및 개인 정보 보호에 큰 피해를 줄 수 있다. 즉, 고성능 컴퓨터가 봇넷의 특정 좀비 컴퓨터로 이용되거나 웜에 감염되어 또 다른 전염 대상 컴퓨터를 찾을 때 컴퓨터 성능의 발전 속도가 빨라짐에 따라 피해 상황도 빨라지게 될 것이다.

이런 위협요소의 문제는 정보전으로까지 활용되어 사이버범죄, 전쟁, 테러에 이용될 수 있는 잠재적 위협을 안고 있는 것이다.

특히, 교통, 금융, 에너지, 국가 시스템 망에 대한 보안이 더욱 중요해지고 있다.

왜냐하면 이러한 국가 정보 인프라는 경제 및 사회 전반적으로 근간이 되는 기반 망이기 때문에 어떤 위협으로부터도 안전하게 보호되고 운영되어야 한다. 만일 국가의 인프라가 위협을 받아 흔들리는 경우 사회, 경제뿐 아니라 국방에 까지 큰 혼란을 가져오게 될 것이다.

그 예로 인터넷 보안 사고로써 2002년 10월 21일 발생한 루트 네임 서버의 분산 서비스 거부(DDos) 공격, 2003년 1월 25일 발생한 SQL 슬래머웜의 공격, 2004년에 발생한 MyDoom 바이러스 공격, 2009년 7월 7일에 25,000대의 좀비pc에 의하여 발생한 대규모 DDoS공격과 같이 위협이 증가하고 있다.

이는 인터넷 인프라의 취약성을 공격한 대표적인 사건으로 인해 인터넷 전체가 공격에 영향을 받을 수 있음을 보여주었다.

이러한 악성 프로그램은 사용자 PC에 침투하여 사용자의 의도와는 무관한 작업을 처리하거나 비정상적인 기능을 수행하는 프로그램으로써, 바이러스, 웜, 트로이목마, 백도어, 스파이 웨어 등의 프로그램을 통칭한다.

악성 프로그램은 그 종류에 따라서 다양한 형태가 존재하지만, 다른 프로그램 또는 운영 체제에 접근하여 코드를 변경시키거나 정보를 추출하는 동작, 비정상적인 네트워크 패킷을 송수신하는 동작 또는 보안 프로그램으로부터 자신의 존재를 숨기기 위한 은닉 행위와 같은 일반적인 프로그램과는 다른 이상 행동을 수행한다는 공통적인 특성을 가지고 있다.

이러한 악성 프로그램은 초창기에는 단순 호기심이나 자기 과시를 나타내기 위한 도구였다면 최근에 와서는 금전의 취득 및 악의적인 피해를 유도하는 문제점을 나타내고 있다.

또한, 바이러스, 백도어, 루트킷, 트로이 목마와 같은 악성 코드가 초창기에는 각각 개별적으로 움직이는 반면 최근에는 이들이 복합적으로 발생하여 이를 제어하는데 많은 어려움이 있다.

특히 인터넷에 돌아다니는 악성코드는 대부분이 오픈 소스 코드로 공개되어 있어 누구라도 악성 코드 조작하여 변종 악성 코드를 배포할 수 있다. 이로 인해 보안 취약점이 발생한 이후 채 하루가 되기 전에 악성코드에 의한 공격이 들어오는 제로 데이 공격이 현실화 되는 문제점이 있다.

그러나, 종래의 악의적인 프로그램을 취득하여 코드를 분석하여 악의적인 프로그램을 제거할 수 있는 패턴 시그니쳐를 만들어야 악의적인 행동을 막을 수 있는 시그니쳐 방식과, 기존 유해 프로그램의 코드를 분석하여 향후 발생할 수 있는 유해 프로그램의 유입 및 행동을 막고자 나온 heuristic기술은 유사 코드패턴을 가진 유해프로그램에 대해서는 대처가 가능하나 신규로 발생하는 유해 프로그램 및 지능적으로 변모하는 변종 유해 프로그램에 대해 실시간으로 대응 할 수 없다는 문제점이 있다.

본 발명이 해결하고자 하는 기술적 과제는 다양한 형태로 동작하는 유해 프로그램을 탐지하고 차단하기 위해 다양한 행위 분석이 이루어져 변종 또는 알려지지 않은 다양한 악의적 프로그램으로부터 시스템을 보호하는 것이다.

또한, 본 발명이 해결하고자 하는 기술적 과제는 관리자 및 사용자가 용이하게 악의적 프로그램과 그 프로그램이 행하는 행위에 대해서 정책을 설정하여 자신 및 타인에게 피해가 가지 않도록 유해 프로그램의 행위를 실시간으로 탐지하고 차단하는 것이다.

본 발명의 한 특징에 따른 프로세스의 행위 분석을 통한 유해 프로그램을 실시간으로 탐지하고 차단하는 방법은 보안 서버에서 유해 프로그램 시나리오 목록을 미리 정의하는 단계; 및

Agent프로그램에 의한 사용자 단말에서 실행하는 프로그램을 상기 유해 프로그램 시나리오와 매칭하여 유해 프로세스를 탐지하고 차단하는 단계;로 이루어지는 것을 특징으로 한다.

상기 특징에 따른 프로세스의 행위 분석을 통한 유해 프로그램을 실시간으로 탐지하고 차단하는 방법의 상기 유해 프로그램 시나리오는 세션(session)발생, 다중ip에 패킷전송, 스푸핑(spoofing)발생, 패킷 송수신, 파일 오픈, 파일 생성, 아이디티 후크(IDT HOOK)탐지, 서비스 생성, 서비스 오픈, 물리 메모리 접근, 프로세스 생성, 다른 프로세스 접근, 운영체계 주요 함수 테이블 침범, 자신의 행동을 감추는 행위, 프로그램 자동 시작 등록, 키보드 해킹 시도, 레지스트리 은닉, 타 프로세스 접근, 타 프로세스 주소 공간을 침범하는 행위, 이름 없는 프로세스, 부모 없는 프로세스, 실행파일 생성, 실행파일 쓰기 모드, 디바이스 드라이버 로드, 타 프로세스를 강제로 종료하는 행위와 같은 이상 해동 목록을 포함하는 것을 특징으로 한다.

상기 특징에 따른 프로세스의 행위 분석을 통한 유해 프로그램을 실시간으로 탐지하고 차단하는 방법의 상기 유해 프로그램 시나리오는 하나 이상의 이상 행동 목록을 조합하여 단일 시나리오를 형성하고, 하나 이상의 단일 시나리오를 조합하여 복합 시나리오를 형성하는 것을 특징으로 한다.

상기 특징에 따른 프로세스의 행위 분석을 통한 유해 프로그램을 실시간으로 탐지하고 차단하는 방법의 상기 이상 행동 목록은 어떠한 행동도 무시하는 더미 이상행동을 더 포함하는 것을 특징으로 한다.

상기 특징에 따른 프로세스의 행위 분석을 통한 유해 프로그램을 실시간으로 탐지하고 차단하는 방법의 상기 사용자 단말기는 Agent가 종료되기 전까지 보안서버와 네트워크로 접속되어 연결하는 것을 특징으로 한다.

상기 특징에 따른 프로세스의 행위 분석을 통한 유해 프로그램을 실시간으로 탐지하고 차단하는 방법의 상기 유해 프로세스를 탐지하는 방법은 유해 프로그램이 동작할 때 운영체계와 동일한 이름으로 동작하는 프로세스에서 유해 프로세스를 탐지, 유해 프로세스 동작 시 네트워크와 프로세스 행위를 동시에 추적함으로써 그 동작 행위를 시나리오 조합으로 탐지, 체크섬(checksum) 탐지로 정상 프로세스에 기생하여 동작하는 유해 프로세스를 탐지, 프로세스 추적을 통해서 부모 프로세스와 생성한 자식 프로세스를 실시간으로 추적함으로써, 처음 발생하는 유해 프로세스가 제거되고 생성되는 자식 프로세스가 운영체계 타 프로세스의 이름으로 동작하는 프로세스를 탐지, 및 후킹 검출 및 복원 기법을 사용하여 정상 프로세스에 코드 삽입을 해서 동작하는 유해 프로세스를 탐지하는 것을 특징으로 한다.

상기 특징에 따른 프로세스의 행위 분석을 통한 유해 프로그램을 실시간으로 탐지하고 차단하는 방법의 상기 유해 프로세스를 차단하는 방법은 네트웍 패킷의 경우 그 프로세스의 모든 패킷 차단, 프로세스의 경우 그 프로세스를 강제종료, 특정시간 동안 프로세스 패킷 차단, 및 단순한 alert 중 어느 하나로 이루어지는 것을 특징으로 한다.

상기 특징에 따른 프로세스의 행위 분석을 통한 유해 프로그램을 실시간으로 탐지하고 차단하는 방법의 상기 보안 서버는 비정상적인 행위에 대한 탐지 및 차단 시나리오 정책을 설정하여 유형별로 분석하고 사용자 단말에 배포하는 단계를 더 포함하고,

상기 사용자 단말은 상기 보안 서버로부터 받은 비정상적인 행위에 대한 탐지 및 차단 시나리오 정책을 커널단에 적용하는 단계를 더 포함하는 것을 특징으로 한다.

본 발명의 또 다른 특징에 따른 프로세스의 행위 분석을 통한 유해 프로그램을 실시간으로 탐지하고 차단하는 시스템은 다수의 사용자 단말과, 상기 사용자 단말과 각각 네트워크로 연결되는 보안서버로 이루어진 프로세스의 행위 분석을 통한 유해 프로그램을 실시간으로 탐지하고 차단하는 시스템에 있어서, 상기 사용자 단말은 프로세스의 행동를 감시하는 행동감시모듈과, 이상 행동이 감지된 프로세스의 행위 추적과 그 프로세스의 피아이디(PID)를 검출하는 프로세스 추적 및 피아이디(PID)검출 모듈과, 주어진 시간에서 프로세스가 행한 행동 목록을 조합하여 복합 시나리오가 일치할 경우 차단하는 시나리오차단모듈과, 실행프로그램의 체크섬이 일치 할 경우 차단하는 체크섬차단모듈과, 유해 프로그램이 자신을 숨기기 위하여 다른 프로세스에 코드를 삽입하여 동작하는 경우 이를 감지하고 복원하는 후킹감지 및 복원모듈과, 및 행동감시 예외프로세스인지 검사하여 행동감시를 예외로 처리하는 예외프로세스 DB로 구성하고,

상기 보안 서버는 상기 사용자 단말에서 수신된 통계정보로 분석하는 분석모듈, 다수의 사용자 단말에서 발생하는 이상 행위 및 유해 프로그램 차단 정보를 수집하여 보안 조치를 실시하는 보안조치모듈, 및 차단 조건 정보, 각 사용자 단말의 이상 행동 발생 정보 및 유해 프로그램 정보를 저장하는 총괄DB로 구성하는 것을 특징으로 한다.

상기 특징에 따른 프로세스의 행위 분석을 통한 유해 프로그램을 실시간으로 탐지하고 차단하는 시스템의 상기 보안 서버는 사용자 단말로 전달되어 행동기반 감시 예외에 사용하는 예외 프로세스 DB, 및

상기 사용자 단말로 전달되어 프로세스 행동기반 매칭 및 차단에 사용하는 차단 시나리오 DB를 더 포함하는 것을 특징으로 한다.

본 발명의 또 다른 특징에 따른 프로세스의 행위 분석을 통한 유해 프로그램을 실시간으로 탐지하고 차단하는 프로그램은 상기 기재된 프로세스의 행위 분석을 통한 유해 프로그램을 실시간으로 탐지하고 차단하는 것을 특징으로 한다.

본 발명의 또 다른 특징에 따른 프로세스의 행위 분석을 통한 유해 프로그램을 실시간으로 탐지하고 차단하는 프로그램 기록 매체는 상기 기재된 프로그램을 컴퓨터 판독 가능하게 기억하는 것을 특징으로 한다.

이러한 본 발명의 특징에 따르면,

본 발명은 유해 프로그램이 수행하는 이상 행위를 실시간으로 분석하여 적용함으로써, 변종 및 알려지지 않은 다양한 유해 프로그램으로부터 사용자 단말을 보호할 수 있는 효과가 있다.

또한, 본 발명은 사용자가 자신의 환경에 적합한 보안 정책을 용이하게 설정할 수 있어 사용자 환경의 변화나 새로운 유해 프로그램의 출현에 대하여 유연하게 대처할 수 있는 효과가 있다.

또한, 본 발명은 제로 데이 공격을 탐지 및 차단할 수 있어 기존 백신 프로그램에서 치료 시그니쳐를 생성하고 배포하기까지 시간이 걸려 발생하던 피해를 줄이는 효과가 있다.

도 1은 본 발명의 실시 예에 따른 프로세스의 행위 분석을 통한 유해 프로그램을 실시간으로 탐지하고 차단하는 시스템을 나타낸 블록도이다.

도 2 및 도 3은 본 발명의 실시 예에 따른 프로세스의 행위 분석을 통한 유해 프로그램 실시간으로 탐지하고 차단하는 방법의 흐름을 나타낸 순서도이다.

<부호의 설명>

100 : 사용자 단말 110 : 행동 감시 모듈

120 : 프로세스 추적 및 PID 검출 모듈 130 : 시나리오 차단 모듈

140 : 체크섬 차단 모듈 150 : 후킹감시 및 복원 모듈

160 : 예외 프로세스 모듈 200 : 보안 서버

210 : 분석모듈 220 : 보안조치 모듈

230 : 차단 시나리오 DB 240 : 예외 프로세스 DB

250 : 총괄 DB

이하, 본 발명의 바람직한 실시 예를 첨부한 도면을 참고로 하여 상세하게 설명한다.

도 1에 도시한 바와 같이, 본 발명의 실시 예는 사용자 단말 및 보안서버로 구성한다.

여기서, 상기 사용자 단말(100)은 행동 감시 모듈(110), 프로세스 추적 및 PID 검출 모듈(120), 시나리오 차단 모듈(130), 체크섬 차단 모듈(140), 후킹감시 및 복원 모듈(150), 예외 프로세스 모듈(160),

보안 서버(200)는 분석모듈(210), 보안조치 모듈(220), 차단 시나리오 DB(230), 예외 프로세스 DB(240), 및 총괄 DB(250)로 구성한다.

사용자 단말(100)의 행동 감시 모듈(110)은 프로세스의 행동을 감시하고, 프로세스 추적 및 피아이디 검출모듈(120)은 이상 행동이 감지된 프로세스의 행동 추적과 그 프로세스의 피아이디(PID)를 검출한다.

시나리오 차단 모듈(130)은 주어진 시간에서 프로세스가 행한 행동 순서목록과 차단 시나리오와 비교하여 일치할 경우에 차단한다.

체크섬 차단 모듈(140)은 실행 프로그램의 체크섬이 일치할 경우에 차단한다.

후킹감지 및 복원 모듈(150)은 유해 프로그램이 자신을 숨기기 위하여 다른 프로세스에 코드를 삽입하여 동작하는 경우 이를 감지하고 복원한다.

예외 프로세스 모듈(160)은 보안서버로(200)부터 받은 예외 프로세스 DB(240)와 매칭되는 프로세스를 감시/차단 예외로 처리한다.

보안 서버(200)의 분석 모듈(210)은 상기 사용자 단말(100)에서 수신된 통계정보를 분석하고, 공격동향이나 다수에 의한 공격을 판별한다.

보안조치모듈(220)은 분석 모듈(210)에 의하여 분석된 결과를 바탕으로 추가적인 차단 시나리오 등록이나 차단 시나리오 확산 등의 조치를 수행한다.

총괄DB(250)는 차단 조건 정보, 각 사용자 단말(100)의 이상 행동 발생 정보, 및 유해 프로그램 정보를 저장한다.

예외 프로세스 DB(240)는 각 사용자 단말(100)로 전달되어 행동기반 감시예외에 사용한다.

차단 시나리오 DB(230)는 각 사용자 단말(100)로 전달되어 프로세스 행동기반 매칭/차단에 사용한다.

상기와 같은 구성을 이용하여 프로세스의 행위 분석을 통한 유해 프로그램 실시간으로 탐지하는 방법은 먼저, 보안 서버에서 유해 프로그램 시나리오 목록을 미리 정의한다.

이때, 상기 유해 프로그램 시나리오는 세션(session)발생, 다중ip에 패킷전송, 스푸핑(spoofing)발생, 패킷 송수신, 파일 오픈, 파일 생성, 아이디티 후크(IDT HOOK)탐지, 서비스 생성, 서비스 오픈, 물리 메모리 접근, 프로세스 생성, 다른 프로세스 접근, 운영체계 주요 함수 테이블 침범, 자신의 행동을 감추는 행위, 프로그램 자동 시작 등록, 키보드 해킹 시도, 레지스트리 은닉, 타 프로세스 접근, 타 프로세스 주소 공간을 침범하는 행위, 이름 없는 프로세스, 부모 없는 프로세스, 실행파일 생성, 실행파일 쓰기 모드, 디바이스 드라이버 로드, 타 프로세스를 강제로 종료하는 행위와 같은 이상 해동 목록을 포함한다.

또한, 상기 이상 행동 목록은 어떠한 행동도 무시하는 더미 이상행동을 더 포함한다. 상기 더미 이상 행동은 이상 행동 목록과 매칭하여 유해 프로세스를 탐지하는 방법에서 다시 설명하기로 한다.

다음으로, 사용자 단말에서 실행하는 프로그램을 상기 유해 프로그램 시나리오와 매칭하여 유해 프로세스를 탐지하고 차단한다.

상기 이상 행동 목록과 매칭하여 유해 프로세스를 탐지하는 방법은 다음과 같다.

첫째, 유해 프로그램이 동작할 때 운영체계와 동일한 이름으로 위장하여 동작하는 프로세스에서 행동을 분석하여 유해여부를 탐지한다.

이때, 모든 프로세스는 동작 시 상기 행동 목록 중 일부를 반드시 행하는데 임의의 시간주기 동안 행한 행동과 행동 개수를 조합하여 순서적인 행동을 갖는 시나리오를 생성하고 그 시나리오에는 포함되지 않았지만 시나리오의 행동 사이에서 발생할 수 있는 임의의 행동도 포함한다는 의미의 더미 이상 행동이 존재하며, 각각의 시나리오를 조합하여 n개의 단일 시나리오를 가지는 복합 시나리오를 만들고 그 복합 시나리오로 순차적으로 모두 매칭이 될 때 유해프로그램으로 결정한다.

이하, [표1]은 시나리오에 따른 변종과 신종 프로세스 탐지의 예를 설명한다.

표 1

상기 [표1]에 도시한 바와 같이, 유해 프로그램이 실행된 후 자신의 시나리오대로 작동하게 될 때 실제로 해당 프로세스가 유해 프로그램으로 판명되는 순간을 보여주며, 상기 “행동A, 행동B, 행동C"에 의해서 현재 시스템에서 작동되는 4개의 프로세스가 유해 프로그램으로 검출되는 상세한 부분을 보여준다.

4개의 프로세스는 변종의 관계에 있으며 전체 행동은 조금씩 다르지만, 동일한 패턴의 행동을 모두 포함하고 있으며, 변종은 기존의 것과 완전히 다르지는 않지만 약간 다른 곳을 포함하고 있다.

유해 프로그램1이 “행동A"를 하는 차단엔진은 유해 프로그램1이 “행동A"를 행하였다고 기록하고 모든 시나리오들을 검사한다. 만일 “행동A"만 발생해도 차단하는 시나리오를 드라이버가 가지고 있다면 바로 차단/경고 데이터가 발생 한다.

그렇지 않다면 이어서 “행동C”가 발생할 때까지 차단엔진은 유해 프로그램1을 계속 주목하게 된다.

상기“행동C"가 발생되는 순간 차단엔진은 매칭되는 시나리오가 존재하기 때문에 해당 유해 프로그램1을 차단하게 된다.

차단로그는 현재 차단이 발생한 유해 프로그램의 기본정보(프로세스 id, 이름)와 그 유해 프로그램을 차단한 시나리오 id, 차단수치들이 있으며, 차단수치는 해당 프로세스의 이상행동 요소의 세부적인 수치를 이야기 한다.

만약 단일 행동을 시나리오로 설정한다면 대부분의 프로세스가 차단될 수 있기 때문에 이상행동을 조합한 조합 개념을 통하여 정상 프로그램을 뺀 악성 프로그램만이 해당 시나리오에 검출 및 차단 할 수 있도록 한다.

예를 들어, 시나리오는 {[외부네트워크 접속, 1회], [실행파일생성, 1회], [자동실행등록, 1회], [프로세스 실행, 1회]}같이 조합하며, 이 시나리오는 해커가 접속하여 실행파일을 다운로드 받아서 파일을 생성하고 그것을 항상 실행될 수 있도록 자동실행을 등록함과 동시에 현재 실행될 수 있도록 가동하는 행동조합을 의미한다.

본 발명에 따른 프로세스의 행위 분석을 통한 유해 프로그램을 실시간으로 탐지하고 차단하는 시스템은 프로세스의 외형이나 파일크기, 체크섬 등의 정보를 참조하지 않고 악성 프로그램의 행동만을 보기 때문에 신종/ 변종 악성 프로그램을 탐지 및 차단할 수 있으며, 외형이 계속 변하는 악성 프로그램에 대처할 수 있다.

이하, [표 2]는 더미 이상 행동을 설명하기 위한 예시이다.

표 2

상기 [표 2]와 같이 더미 행동이 들어 있는 시나리오가 존재할 때, 프로세스 [이상행동A], [이상행동C], [이상행동 J], [이상행동 K] 가 존재한다고 할 때, 상기 시나리오2에 가장 근접한 매칭이 발생한다.

상기 시나리오 2의 3번째의 더미 행동은 어떠한 행동이 와도 상관이 없으며, 프로세스 의 4번째 행동이 [이상행동 K]이 발생시 시나리오 2가 매칭되는 시나리오로 선택되어 프로세스를 탐지한다.

둘째, 유해 프로세스 동작시 네트워크와 프로세스 행위를 동시에 추적함으로써 그 동작 행위를 시나리오 조합으로 탐지한다.

이때, 모든 프로세스는 동작 시 자신의 고유아이디(PID)를 생성하여 동작함으로, 그 고유아이디(PID)를 통해 유해 행위를 하는 프로세스를 탐지하되 운영체제의 비동기성으로 인하여 고유아이디를 알아낼 수 없을 때 운영체제의 low-level 모듈들을 분석/추적하여 고유아이디를 알아낸다.

셋째, 체크섬(checksum) 탐지로 정상 프로세스에 기생하여 동작하는 유해 프로세스를 탐지한다.

이때, 실행 프로그램의 체크섬(checksum)을 정상상태에서 미리 구하여 놓은 것과 실시간으로 커널에서 각각 구해 비교하는 방식으로, 정상적인 프로그램에 악의적인 코드가 삽입되었거나 변경된 것을 탐지한다.

또한, 체크섬이 설정된 프로세스는 체크섬으로 예외를 검사하고 체크섬이 설정되지 않은 프로세스는 이름으로 예외 프로세스를 허용한다.

만약 프로세스 이름과 체크섬(프로세스 이름 + Checksum)이 같이 있다면 체크섬으로 예외를 허용하고 프로세스 이름만 존재하는 경우 프로세스 이름만으로 예외를 허용한다. 여기서, 상기 프로세스 이름은 풀패스(Fullpath)로 한다.

넷째, 프로세스 추적을 통해서 부모 프로세스와 생성한 자식 프로세스를 실시간으로 추적함으로써, 처음 발생하는 유해 프로세스가 제거되고 생성되는 자식 프로세스가 운영체계 프로세스 이름으로 위장하여 동작하는 프로세스를 탐지한다.

이때, 처음 생성된 프로세스가 차단 시나리오에 의해 검출되면 그 프로세스가 생성한 자식프로세스의 프로세스아이디(PID)를 추적하여 탐지한다.

다섯쩨, 후킹 검출 및 복원 기법을 사용하여 정상 프로세스에 코드삽입을 해서 동작하는 유해 프로세스를 탐지한다.

이때, 드라이버 후킹 검출과 어플리케이션 후킹 검출기법을 이용하여 인젝션 시킨 프로세스와 인젝션된 프로세스 및 모듈들의 목록을 탐지하고 복원함으로써 유해프로그램이 운영체계에 기생/삽입되어 동작하는 것을 탐지한다.

상기 이상 행동 목록과 매칭하여 유해 프로세스를 차단하는 방법은 네트워크의 경우 그 프로세스의 모든 패킷 차단, 프로세스의 경우 그 프로세스를 강제종료, 특정시간 동안 패킷 차단/프로세스 실행금지, 및 단순한 alert 중 어느 하나이다.

프로세스의 행위 분석을 통한 유해 프로그램을 실시간으로 탐지하고 차단하는 프로그램과 상기 프로그램을 컴퓨터 판독 가능하게 기억하는 기록 매체를 갖는다.

도 2 및 도 3에 도시한 바와 같이, 프로세스 행위분석을 통한 유해 프로그램 실시간 탐지/차단 시스템은 조직 내의 사용자단말 그룹에 대한 유해 프로그램 검출 및 차단을 동시에 수행하는 시스템으로서 개별적으로 행동기반 감시를 수행하는 다수의 사용자 단말과 네트워크로 연결되어 각 사용자 단말에서 발생하는 사건 정보를 수신하여 그룹차원의 차단정책을 수행하는 보안서버를 포함하여 구성한다.

사용자 단말에는 실행 프로그램이 실행시 프로세스 체크섬(checksum)에 의하여 우선차단대상인지 비교하며 매칭시는 즉시 차단을 수행한다,

이때, 매칭이 되지 않는다면 행동감시 예외 프로세스인지 검사하여 매칭시에는 행동감시에서 예외처리한다.

상기 예외 프로세스에 속하지 않는 프로세스는 행동감시가 계속 수행되며 임의의 이상행동이 발생시 즉시 행동통계를 누적한 후 차단 시나리오와 매칭이 되는지 비교한다.

차단 시나리오와 매칭에 성공한 프로세스는 해당 시나리오의 차단조건에 따라 차단을 수행하고 alert정보를 발생시키며,

매칭에 실패하면 API레벨의 Hooking검사를 하여 해킹행위가 발생하였는지를 검사하여 성공시 차단을 수행하고 alert을 발생한다.

상기 차단 시나리오와 매칭되지 않거나, API레벨의 Hooking에 매칭되지 않는다면 해당 프로세스의 통계 정보를 Agent에 전송하고 다음 행동이 발생시까지 대기한다.

이때, 상기 Agent는 사용자 단말 내부의 속하는 것으로써, 보안서버로부터 차단용 복합 시나리오 정보를 받아 커널(Kernel) 레벨에서 작동하는 행동감시/차단을 수행하는 Device Driver에 복합 시나리오 정책을 전송하여 해당 사용자 단말기의 모든 프로세스 행동의 발생시 실시간 복합 시나리오 매칭을 수행한다.

또한, 상기 Agent에 의해 Device Driver를 시작 및 중지와 같은 통제를 수행함으로써, 상기 Agent와 Device Driver는 하나의 프로그램으로 간주한다.

프로그램의 행동 추이 정보와 상기 차단 시나리오를 실시간으로 비교하여 매칭되는 시나리오가 발견되면 해당 프로세스는 유해한 프로그램으로 간주하여 차단정책을 발생한다.

또한, 도 3에 도시한 바와 같이, 보안 서버가 Agent로부터 프로세스 행동 통계, 프로세스 네트웍 통계, 프로세스 파일접근 통계 및 프로세스 차단 alert정보를 수신하면 즉시 분석모듈로 데이터를 전달하여 프로세스 네트웍 동향 분석과 프로세스 행동동향분석을 수행한다.

상기 두 가지를 모두 분석하면 네트웍 정보만으로는 알 수 없는 유해 프로세스 여부를 행동가지 분석하여 알아 낼 수 있는 이점이 있다.

프로세스 네트웍 동향분석은 단일 프로세스가 아닌 여러 개의 사용자 단말에 대한 분석이기 때문에 DDoS(분산 서비스 거부공격)같은 다수에 의한 공격 또는 검출하기 힘든 사회 공학적 네트웍 공격까지 검출해낼 수 있다.

프로세스 행동동향분석에 의하여 분석된 정보를 근간으로 유해성을 판별하며 상세 프로세스 정보를 산출해 낸다.

상기 와 같은 방법들로 알려지지 않은 신종 또는 변종 악성 프로그램으로 분석 및 판별된 정보는 리포트(Report)자료로 나타내어지며, 해당 프로세스의 행위 내역을 기반으로 차단 시나리오가 수립되어 아직 감염되지 않은 다른 사용자 단말로 정책을 미리 전파하여 해당 프로세스 발견시 즉시 차단하기 위한 확산방지 정책등록이 수행된다.

전체적인 내용을 간략히 요약하면 다음과 같다.

Agent는 사용자 단말기에 설치되어 사용자 단말기가 실행되는 동안 항상 작동하며 실시간으로 사용자 단말기에서 작동하는 모든 프로세스의 행동을 감시 한다.

이때, 새롭게 실행되는 프로세스가 있다면 그것도 역시 감시한다.

Agent는 보안서버에 TCP/IP 네트워크로 접속하여 Agent 가 종료되기 전에는 계속 접속이 유지되며, 보안 서버는 많은 사용자 단말기에 설치되어 있는 Agent가 실시간으로 접속을 계속 유지하도록 관리한다.

이상에서 설명한 바와 같이, 본 발명의 상세한 설명에서는 본 발명의 바람직한 실시 예에 관하여 설명하였으나, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자라면 본 발명의 범주에서 벗어나지 않는 한도 내에서 여러 가지 변형이 가능함은 물론이다. 따라서 본 발명의 권리 범위는 설명된 실시 예에 국한되어 정해져서는 안되며, 후술하는 청구범위뿐만 아니라, 이와 균등한 것들에 의해 정해져야 한다.

Claims

보안 서버에서 유해 프로그램 시나리오 목록을 미리 정의하는 단계; 및

Agent프로그램에 의한 사용자 단말에서 실행하는 프로그램을 상기 유해 프로그램 시나리오와 매칭하여 유해 프로세스를 탐지하고 차단하는 단계;로 이루어지는 것을 특징으로 하는 프로세스의 행위 분석을 통한 유해 프로그램을 실시간으로 탐지하고 차단하는 방법.
제1항에 있어서,

상기 유해 프로그램 시나리오는 세션(session)발생, 다중ip에 패킷전송, 스푸핑(spoofing)발생, 패킷 송수신, 파일 오픈, 파일 생성, 아이디티 후크(IDT HOOK)탐지, 서비스 생성, 서비스 오픈, 물리 메모리 접근, 프로세스 생성, 다른 프로세스 접근, 운영체계 주요 함수 테이블 침범, 자신의 행동을 감추는 행위, 프로그램 자동 시작 등록, 키보드 해킹 시도, 레지스트리 은닉, 타 프로세스 접근, 타 프로세스 주소 공간을 침범하는 행위, 이름 없는 프로세스, 부모 없는 프로세스, 실행파일 생성, 실행파일 쓰기 모드, 디바이스 드라이버 로드, 타 프로세스를 강제로 종료하는 행위와 같은 이상 해동 목록을 포함하는 것을 특징으로 하는 프로세스의 행위 분석을 통한 유해 프로그램을 실시간으로 탐지하고 차단하는 방법.
제2항에 있어서,

상기 유해 프로그램 시나리오는 하나 이상의 이상 행동 목록을 조합하여 단일 시나리오를 형성하고, 하나 이상의 단일 시나리오를 조합하여 복합 시나리오를 형성하는 것을 특징으로 하는 프로세스의 행위 분석을 통한 유해 프로그램을 실시간으로 탐지하고 차단하는 방법.
제2항에 있어서,

상기 이상 행동 목록은 어떠한 행동도 무시하는 더미 이상행동을 더 포함하는 것을 특징으로 하는 프로세스의 행위 분석을 통한 유해 프로그램을 실시간으로 탐지하고 차단하는 방법.
제1항에 있어서,

상기 사용자 단말기는 Agent가 종료되기 전까지 보안서버와 네트워크로 접속되어 연결하는 것을 특징으로 하는 프로세스의 행위 분석을 통한 유해 프로그램을 실시간으로 탐지하고 차단하는 방법.
제1항에 있어서,

상기 유해 프로세스를 탐지하는 방법은

유해 프로그램이 동작할 때 운영체계와 동일한 이름으로 동작하는 프로세스에서 유해 프로세스를 탐지, 유해 프로세스 동작 시 네트워크와 프로세스 행위를 동시에 추적함으로써 그 동작 행위를 시나리오 조합으로 탐지, 체크섬(checksum) 탐지로 정상 프로세스에 기생하여 동작하는 유해 프로세스를 탐지, 프로세스 추적을 통해서 부모 프로세스와 생성한 자식 프로세스를 실시간으로 추적함으로써, 처음 발생하는 유해 프로세스가 제거되고 생성되는 자식 프로세스가 운영체계 타 프로세스의 이름으로 동작하는 프로세스를 탐지, 및 후킹 검출 및 복원 기법을 사용하여 정상 프로세스에 코드 삽입을 해서 동작하는 유해 프로세스를 탐지하는 것을 특징으로 하는 프로세스의 행위 분석을 통한 유해 프로그램을 실시간으로 탐지하고 차단하는 방법.
제1항에 있어서,

상기 유해 프로세스를 차단하는 방법은

네트웍 패킷의 경우 그 프로세스의 모든 패킷 차단, 프로세스의 경우 그 프로세스를 강제종료, 특정시간 동안 프로세스 패킷 차단, 및 단순한 alert 중 어느 하나로 이루어지는 것을 특징으로 하는 프로세스의 행위 분석을 통한 유해 프로그램을 실시간으로 탐지하고 차단하는 방법.
제1항에 있어서,

상기 보안 서버는 비정상적인 행위에 대한 탐지 및 차단 시나리오 정책을 설정하여 유형별로 분석하고 사용자 단말에 배포하는 단계를 더 포함하고,

상기 사용자 단말은 상기 보안 서버로부터 받은 비정상적인 행위에 대한 탐지 및 차단 시나리오 정책을 커널단에 적용하는 단계를 더 포함하는 것을 특징으로 하는 프로세스의 행위 분석을 통한 유해 프로그램을 실시간으로 탐지하고 차단하는 방법.
다수의 사용자 단말과, 상기 사용자 단말과 각각 네트워크로 연결되는 보안서버로 이루어진 프로세스의 행위 분석을 통한 유해 프로그램을 실시간으로 탐지하고 차단하는 시스템에 있어서,

상기 사용자 단말은 프로세스의 행동를 감시하는 행동감시모듈과, 이상 행동이 감지된 프로세스의 행위 추적과 그 프로세스의 피아이디(PID)를 검출하는 프로세스 추적 및 피아이디(PID)검출모듈과, 주어진 시간에서 프로세스가 행한 행동 목록을 조합하여 복합 시나리오가 일치할 경우 차단하는 시나리오차단모듈과, 실행프로그램의 체크섬이 일치 할 경우 차단하는 체크섬차단모듈과, 유해 프로그램이 자신을 숨기기 위하여 다른 프로세스에 코드를 삽입하여 동작하는 경우 이를 감지하고 복원하는 후킹감지 및 복원모듈과, 및 행동감시 예외프로세스인지 검사하여 행동감시를 예외로 처리하는 예외프로세스 DB로 구성하고,

상기 보안 서버는 상기 사용자 단말에서 수신된 통계정보로 분석하는 분석모듈, 다수의 사용자 단말에서 발생하는 이상 행위 및 유해 프로그램 차단 정보를 수집하여 보안 조치를 실시하는 보안조치모듈, 및 차단 조건 정보, 각 사용자 단말의 이상 행동 발생 정보 및 유해 프로그램 정보를 저장하는 총괄DB로 구성하는 것을 특징으로 하는 프로세스의 행위 분석을 통한 유해 프로그램을 실시간으로 탐지하고 차단하는 시스템.
제9항에 있어서,

상기 보안 서버는 사용자 단말로 전달되어 행동기반 감시 예외에 사용하는 예외 프로세스 DB, 및

상기 사용자 단말로 전달되어 프로세스 행동기반 매칭 및 차단에 사용하는 차단 시나리오 DB를 더 포함하는 것을 특징으로 하는 프로세스의 행동 분석을 통한 유해 프로그램을 실시간으로 탐지하고 차단하는 시스템.
제1항 내지 제8항 중 어느 한 항에 기재된 프로세스의 행위 분석을 통한 유해 프로그램을 실시간으로 탐지하고 차단하는 것을 특징으로 하는 프로그램.
제11항에 기재된 프로그램을 컴퓨터 판독 가능하게 기억하는 것을 특징으로 하는 기록 매체.