WO2013125867A1

WO2013125867A1 - 컴퓨터 시스템과, 파일 및 행위 기반 복합룰 작성 시스템

Info

Publication number: WO2013125867A1
Application number: PCT/KR2013/001356
Authority: WO
Inventors: 황규범; 김정훈
Original assignee: 주식회사 안랩
Priority date: 2012-02-21
Filing date: 2013-02-21
Publication date: 2013-08-29
Also published as: KR101337217B1; KR20130096039A

Abstract

본 발명은, 컴퓨터 시스템, 파일 및 행위 기반 복합룰 작성 시스템과, 컴퓨터 시스템의 룰 작성 지원 방법, 파일 및 행위 기반 복합룰 작성 방법이 개시되어 있다. 본 발명의 실시예들은 악성코드에 의한 행위를 통해 샘플을 수집하고 이를 파일 진단과 연계하여 악성코드 진단에 대한 대응 룰을 작성하기 위한 기술로서, 다수의 실제 사용자 컴퓨터 환경에서 행위감시룰에 의한 악성의심행위가 발생함에 따른 악성의심행위 및 행위주체파일 등의 정보를 샘플로서 수집하고, 수집된 정보들을 이용하여 새로운 대응 룰 즉 행위감시룰 및/또는 파일진단룰(시그니처)을 작성하여 배포함으로써, 악성코드에 의한 행위 및 파일 진단을 연계하여 불특정 다수의 사용자 컴퓨터 환경을 기반으로 하여 다양한 환경에 안정적으로 대응 가능하며 진단의 효과 및 신속성, 오진 가능성 등의 기존 제약을 개선할 수 있는 기술에 대한 것이다.

Description

컴퓨터 시스템과, 파일 및 행위 기반 복합룰 작성 시스템

본 발명은 실시예들은 악성코드에 의한 행위를 통해 샘플을 수집하고 이를 파일 진단과 연계하여 악성코드 진단에 대한 대응 룰을 작성하기 위한 기술로서, 다수의 실제 사용자 컴퓨터 환경에서 행위감시룰에 의한 악성의심행위가 발생함에 따른 악성의심행위 및 행위주체파일 등의 정보를 샘플로서 수집하고, 수집된 정보들을 이용하여 새로운 대응 룰 즉 행위감시룰 및/또는 파일진단룰(시그니처)을 작성하여 배포함으로써, 악성코드에 의한 행위 및 파일 진단을 연계하여 불특정 다수의 사용자 컴퓨터 환경을 기반으로 하여 다양한 환경에 안정적으로 대응 가능하며 진단의 효과 및 신속성, 오진 가능성 등의 기존 제약을 개선할 수 있는 기술들과 관련된다.

악성코드 진단 방법은, 주로 시그니처(진단룰)를 이용하는 진단 방법과 코드를 이용한 진단 방법으로 나누어 진다. 코드를 이용한 진단 방법은 시간이 많이 걸리고 신속성이 떨어지는 반면, 시그니처를 이용한 진단 방법은 빠르게 대응할 수 있다. 이에, 악성 코드 진단의 99% 이상이 시그니처를 이용하여 이루어지고 있다고 해도 과언이 아니다.

한편, 최근에는 악성코드의 동작을 재현시키고 재현된 악성코드의 동작에 대한 행위 분석에 기반하여, 일반적으로 발생하지 않는 특정 행위, 악성코드로부터 추출된 일련의 명확한 악위적 행위 등을 차단하기 위한 행위 룰을 작성하고, 이를 이용하여 진단하는 방법이 연구되고 있다.

이러한 연구의 일환으로, 오래전부터 동적 분석기술을 이용해 신종 악성코드를 행위 관점에서 찾기 위한 노력을 해왔으나 크게 발전하지 못했다. 이는, 기존에는, 샘플 즉 동작을 재현할 악성코드를 수집해 실험실 내에서 실행하거나 동적 분석을 하여 그 행위를 관찰하여 그 행위를 차단하는 형태로 행위 룰을 작성하게 되는 것이 기본이기 때문에, 후 대응 성격이 강하고 샘플 수집 시간이 많이 걸리게 되면서, 행위 룰 작성에 있어서의 어려움이 존재하고 또한 악성코드 변종들이 동작 조건이나 환경에 따라서 다른 순서의 행위를 발생하는 등의 단점으로 인해 행위 룰 기반의 악성코드 진단 방법의 효과가 시그니처 기반 진단을 넘어서긴 어렵다.

더불어, 행위 룰 작성 시 특정한 환경에서의 분석을 통해 이뤄졌기 때문에, 악성코드가 실행할 수 없었던 환경이었다면 행위를 추출할 수 없어 행위 차단 룰을 작성할 수 없게 되며, 실험실내에서 오판 여부를 판단하거나 오판을 검증하기 위해 일정 환경을 갖추고 일정시간 사용해보는 형태로 안정화 과정을 거치고 있기 때문에, 테스트 환경과 다른 환경에서는 안정성을 보장하기 어려우며, 제한된 환경에서 실행함으로써 악성코드의 동작을 보장할 수 없어 대응이 불가능한 사례가 많아 효용성이 떨어진다.

또한, 종래의 행위 룰 기반의 악성코드 진단 방법은, 악성코드 행위 자체는 차단할 수 있으나, 오히려 일반 프로그램의 정상적 행위까지 차단되거나 정상적인 기능까지 제한하게 되는 경우가 발생할 수 있다. 또한 파일진단룰의 경우 파일을 수집하여 분석함으로써 1개의 파일룰로 다수의 샘플을 진단하는 효과는 있으나 샘플 수집의 어려움이 존재하고, 수집된 샘플에 대한 분석 및 악성 행위 존재 여부를 파악하는데 시간이 걸리는 문제가 있다.

이에, 본 발명에서는, 기존의 악성코드에 의한 행위 기반 관찰을 통해 특정 행위를 하는 악성 행위 차단 외에 악성의심행위를 정의하고 이를 통해 행위주체 파일과 그 행위 주체파일을 수집하고, 또한 행위 주체 파일로부터 발생한 일련의 악성의심행위들을 모두 수집하여 악성 행위 여부를 파악하고 또한 수집한 행위주체파일들을 이용하여 파일 진단에 활용함으로써, 샘플 수집력을 높이고 수집된 샘플들로부터 변종진단이 가능한 파일진단룰을 작성함으로써 미발견 샘플까지 대응할 수 있도록 하며, 불특정 다수의 사용자 컴퓨터 환경을 기반으로 하여 다양한 환경에 안정적으로 대응 가능하며 진단의 효과 및 신속성, 오진 가능성 등의 기존 제약을 개선할 수 있는 방안을 제안하고자 한다.

본 발명의 실시예들은 악성코드에 의한 행위를 통해 행위 차단 외에 악성의심행위를 하는 파일 수집 및 이들 파일을 파일 진단에 연계하여 악성코드 진단에 대한 파일 및 행위 대응 룰을 작성하기 위한 기술로서, 다수의 실제 사용자 컴퓨터 환경에서 차단할 행위와 감시할 행위를 포함하는 행위감시룰에 의한 악성의심행위가 발생함에 따른 정보 및 행위주체파일들을 수집하고, 수집된 행위주체파일들을 이용하여 파일진단룰(시그니처)를 작성하고 수집된 정보들을 이용하여 샘플을 추가 수집하거나 행위를 차단하기 위한 새로운 대응 룰 즉 행위감시룰을 작성하여 배포함으로써, 악성코드에 의한 행위를 통해 샘플 수집 및 변종 대응력을 높이고 이들 샘플들을 파일 진단을 통해 처리함으로써, 불특정 다수의 사용자 컴퓨터 환경을 기반으로 하여 다양한 환경에 안정적으로 대응 가능하며 진단의 효과 및 신속성, 오진 가능성 등의 기존 제약을 개선하는 진단 환경을 제안하고자 한다.

상기 목적을 달성하기 위한 본 발명의 제 1 관점에 따른 파일 및 행위 기반 복합룰 작성 시스템은, 적어도 하나의 악성의심행위를 포함하는 행위감시룰을 다수의 컴퓨터 시스템으로 제공하는 감시룰제공부; 상기 다수의 컴퓨터 시스템으로부터 상기 행위감시룰에 포함된 상기 적어도 하나의 악성의심행위가 발생함에 따라 행위주체파일 정보와 해당 파일의 관련된 스레드에 의해 발생한 모니터링 대상인 모든 행위들을 포함하는 행위보고정보를 수집하는 정보수집부; 및 상기 수집한 행위보고정보를 기초로 상기 행위감시룰에 포함된 상기 적어도 하나의 악성의심행위를 발생시키는 행위주체파일을 확인하고, 다수의 컴퓨터 시스템으로부터 수집한 상기 행위주체파일들에 대응되는 파일진단룰을 작성하는 진단룰작성부를 포함한다.

상기 목적을 달성하기 위한 본 발명의 제 2 관점에 따른 컴퓨터 시스템은, 적어도 하나의 파일을 저장하는 파일저장부; 악성코드 진단에 이용하는 파일진단룰을 저장하는 파일진단룰저장부; 적어도 하나의 악성의심행위를 포함하는 행위감시룰을 수신하여 저장하는 행위감시룰저장부; 및 상기 적어도 하나의 파일 중 상기 파일진단룰에 의해 악성파일로 진단되지 않는 파일에서 상기 행위감시룰에 포함된 상기 적어도 하나의 악성의심행위가 발생하는 경우 이에 따른 행위보고정보를 특정 파일 및 행위 기반 복합룰 작성 시스템으로 제공하여, 상기 행위보고정보에 포함된 일련의 행위와 전송된 파일 정보를 기초로 파일진단룰을 작성하도록 하는 행위보고정보제공부를 포함한다.

상기 목적을 달성하기 위한 본 발명의 제 3 관점에 따른 파일 및 행위 기반 복합룰 작성 방법은, 적어도 하나의 악성의심행위를 포함하는 행위감시룰을 다수의 컴퓨터 시스템으로 제공하는 감시룰 제공단계; 상기 다수의 컴퓨터 시스템으로부터 상기 행위감시룰에 포함된 상기 적어도 하나의 악성의심행위가 발생함에 따른 행위보고정보를 수집하는 정보 수집단계; 상기 수집한 행위보고정보를 기초로 상기 행위감시룰에 포함된 상기 적어도 하나의 악성의심행위를 발생시키는 행위주체파일을 확인하고, 상기 행위주체파일들에 대응되는 파일진단룰을 작성하는 진단룰 작성단계를 포함한다.

상기 목적을 달성하기 위한 본 발명의 제 4 관점에 따른 컴퓨터 시스템의 룰 작성 지원 방법은, 적어도 하나의 파일을 저장하는 파일 저장단계; 악성코드 진단에 이용하는 파일진단룰을 저장하는 파일진단룰 저장단계; 적어도 하나의 악성의심행위를 포함하는 행위감시룰을 수신하여 저장하는 행위감시룰 저장단계; 및 상기 적어도 하나의 파일 중 상기 파일진단룰에 의해 진단되지 않는 미악성코드 파일에서 상기 행위감시룰에 포함된 상기 적어도 하나의 악성의심행위가 발생하는 경우 이에 따른 행위보고정보를 특정 파일 및 행위 기반 복합룰 작성 시스템으로 제공하여, 상기 행위보고정보를 기초로 파일진단룰을 작성하도록 하는 행위보고정보 제공단계를 포함한다.

본 발명의 실시예들은 다수의 실제 사용자 컴퓨터 환경에서 행위감시룰에 정의된 특정 행위(예 : 악성의심행위)가 발생함에 따라 해당 스레드에 의해 발생되는 모든 행위보고정보들을 수집하고, 수집된 행위보고정보들을 이용하여 새로운 감시룰 즉 행위감시룰 및/또는 파일진단룰(시그니처)를 작성하여 배포함으로써, 악성코드에 의한 행위 및 파일 진단을 연계하여 불특정 다수의 사용자 컴퓨터 환경을 기반으로 하여 다양한 환경에 안정적으로 의심 샘플을 수집하여 대응 가능하며 진단의 효과 및 신속성, 오진 가능성 등의 기존 제약을 개선/극복한 진단 환경을 제공할 수 있다.

도 1은 본 발명의 바람직한 실시예에 따른 컴퓨터 시스템 및 시 파일 및 행위 기반 복합룰 작성 시스템을 포함하는 전체 시스템을 나타내는 구성도이다.

도 2는 본 발명의 바람직한 실시예에 따른 컴퓨터 시스템의 구성을 나타내는 블록도이다.

도 3은 본 발명의 바람직한 실시예에 따른 파일 및 행위 기반 복합룰 작성 시스템의 구성을 나타내는 블록도이다.

도 4는 본 발명의 바람직한 실시예에 따른 전체 시스템의 제어 흐름을 나타내는 흐름도이다.

도 5는 본 발명의 바람직한 실시예에 따른 컴퓨터 시스템의 룰 작성 지원 방법의 동작 흐름을 나타내는 흐름도이다.

도 6은 본 발명의 바람직한 실시예에 따른 파일 및 행위 기반 복합룰 작성 방법의 동작 흐름을 나타내는 흐름도이다.

본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 상세한 설명에 상세하게 설명하고자 한다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다. 각 도면을 설명하면서 유사한 참조부호를 유사한 구성요소에 대해 사용하였다.

어떤 구성요소가 다른 구성요소에 "연결되어" 있다거나 "접속되어" 있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어" 있다거나 "직접 접속되어" 있다고 언급된 때에는, 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다.

본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.

다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥 상 가지는 의미와 일치하는 의미를 가지는 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.

이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시예에 대하여 설명한다.

도 1은 본 발명의 바람직한 실시예에 따른 컴퓨터 시스템 및 파일 및 행위 기반 복합룰 작성 시스템이 포함된 전체 시스템을 도시한 도면이다.

도 1에 도시된 바와 같이, 본 발명에 따른 전체 시스템은, 다수의 컴퓨터 시스템(200), 파일 및 행위 기반 복합룰 작성 시스템(300)과, 업데이트서버(400) 등을 포함할 수 있다.

다수의 컴퓨터 시스템(200)에 포함되는 각 컴퓨터 시스템(100)은, 일반 가정 또는 기업 또는 학교 또는 학원 등의 다양한 사용자소속에서 이용되는 사용자 컴퓨터로서, 개개인의 사용자 목적 및 관심분야 및 직업 등에 따라 불특정의 다양한 다수 파일을 저장/보유한다.

파일 및 행위 기반 복합룰 작성 시스템(300)는, 적어도 하나의 악성의심행위를 포함하는 행위감시룰을 다수의 컴퓨터 시스템(200)으로 제공한다.

즉, 파일 및 행위 기반 복합룰 작성 시스템(300)는, 악성코드로 의심되는 파일에 의해 발생되는 행위들을 수집하고, 수집된 행위들을 기반으로 적어도 하나의 악성의심행위를 포함하는 행위감시룰을 작성할 수 있다. 이때, 작성된 각 행위감시룰 각각에는, 고유의 순차번호를 가지는 행위감시룰식별정보가 할당되는 것이 바람직하다.

이에, 파일 및 행위 기반 복합룰 작성 시스템(300)는, 작성한 행위감시룰을 업데이트서버(400)에 제공하고, 업데이트서버(400)는 행위감시룰을 배포 대상이 되는 다수의 컴퓨터 시스템(200)의 각 컴퓨터 시스템(100)으로 제공/배포하여, 컴퓨터 시스템(100)에 행위감시룰이 업데이트/저장되도록 한다.

이에, 각 컴퓨터 시스템(100)은, 행위감시룰을 업데이트서버(400)로부터 수신하여 저장함으로써, 다수의 행위감시룰을 보유할 수 있다.

더불어, 각 컴퓨터 시스템(100)은, 악성코드 진단에 이용하는 파일진단룰을 저장한다. 즉, 각 컴퓨터 시스템(100)은, 악성코드 진단 이벤트가 발생하면 파일진단룰을 이용하여 자신에 저장/보유된 파일에 대한 악성코드 진단을 수행한다. 예를 들면, 각 컴퓨터 시스템(100)은, 저장된 파일진단룰을 이용하여 컴퓨터 시스템(100)에 저장/보유된 파일에 대한 악성코드 진단을 수행하는 클라이언트백신을 탑재하고 있는 것이 바람직하다.

그리고, 컴퓨터 시스템(100)은, 적어도 하나의 파일 중 파일진단룰에 의해 악성코드파일로 진단되지 않는 파일에서, 상기 행위감시룰에 포함된 상기 적어도 하나의 악성의심행위가 발생하는 경우 이에 따른 행위보고정보를 특정 파일 및 행위 기반 복합룰 작성 시스템(300)으로 제공한다.

즉, 컴퓨터 시스템(100)은, 파일진단룰에 의해 악성코드파일로 진단되는 파일에 대해서는 파일 실행을 차단하고, 파일진단룰에 의해 악성코드파일로 진단되지 않는 파일 다시 말해 미진단 파일에 대해서는 특정 행위감시룰에 포함된 적어도 하나의 악성의심행위가 발생하는지 여부를 감시한다.

이에, 컴퓨터 시스템(100)은, 전술의 감시 및 판단 결과, 미진단 파일에서 특정 행위감시룰에 포함된 상기 적어도 하나의 악성의심행위가 발생하는 경우, 이에 따른 행위보고정보를 특정 파일 및 행위 기반 복합룰 작성 시스템(300)으로 제공한다.

여기서, 제공하는 행위보고정보는, 전술의 특정 행위감시룰의 행위감시룰식별정보, 특정 행위감시룰의 적어도 하나의 악성의심행위를 발생시키는 미진단 파일로 판단된 전술의 파일에 대응되는 행위주체파일정보, 전술의 파일(이하에서는, 행위주체파일과 혼용하도록 함)이 컴퓨터 시스템(100) 내에서 위치하는 파일위치정보, 발생시간정보, 발생횟수정보, 행위감시룰에 정의되지 않은 행위가 포함된 경우 기록된 전체 행위정보 중 적어도 어느 하나를 포함할 수 있다.

이때, 컴퓨터 시스템(100)은, 전술의 행위보고정보를 파일 및 행위 기반 복합룰 작성 시스템(300)으로 제공함에 있어서, 행위보고정보가 기 정의된 즉시보고대상인 경우 파일 및 행위 기반 복합룰 작성 시스템(300)로 즉시 제공할 수 있고, 행위보고정보가 즉시보고대상이 아닌 경우 내부저장부(미도시)에 저장하여 관리하고 파일 및 행위 기반 복합룰 작성 시스템(300)로부터 요청되거나 또는 제공주기 도달 시 관리/저장된 행위보고정보들을 파일 및 행위 기반 복합룰 작성 시스템(300)로 제공할 수 있다.

한편, 컴퓨터 시스템(100)은, 전술의 판단 결과 특정 행위감시룰에 포함된 적어도 하나의 악성의심행위를 발생시키는 특정 파일 즉 행위주체파일이 악성코드파일인 경우, 이에 대응하는 행위보고정보를 제공하지 않고, 해당 특정 파일의 실행을 차단하는 것이 바람직하다.

이에, 파일 및 행위 기반 복합룰 작성 시스템(300)는, 다수의 컴퓨터 시스템(200)으로부터 행위감시룰에 포함된 적어도 하나의 악성의심행위가 발생함에 따른 행위보고정보를 수집한다.

즉, 파일 및 행위 기반 복합룰 작성 시스템(300)는, 각 컴퓨터 시스템(100)으로부터 악성코드로 진단되지 않은 파일에서 행위감시룰에 따른 악성의심행위가 발생함에 따라 제공되는 행위보고정보를 수집함으로써, 다수의 컴퓨터 시스템(200)에 보유된 다수의 파일(미진단 파일 및 화이트리스트파일 등)을 대상으로 행위감시룰을 이용한 악성의심행위 발생 여부를 테스트한 결과에 따른 행위보고정보를 수집하게 되는 것과 같다.

이는, 다수의 컴퓨터 시스템(200)에 보유/저장된 파일은 그 종류 및 개수가 무한정으로 다양하고 많을 것이며, 각 컴퓨터 시스템(100)의 동작 환경은 각기 상호 동일하지 않고 매우 다양할 것임을 감안한다면, 다수의 컴퓨터 시스템(200)로부터 수집되는 행위보고정보는 불특정 다수의 사용자 컴퓨터 환경을 기반으로 하여 다양한 환경에서 수집되는 행위감시룰을 이용한 악성행위 발생 여부를 테스트한 결과임을 의미할 것이다.

그리고 파일 및 행위 기반 복합룰 작성 시스템(300)는, 전술과 같이 다수의 컴퓨터 시스템(200)으로부터 수집한 행위보고정보를 기초로, 특정 행위감시룰에 포함된 적어도 하나의 악성의심행위를 발생시키는 행위주체파일을 확인하고, 확인된 행위주체파일에 대응되는 파일진단룰(시그니처)을 작성한다.

예를 들면, 파일 및 행위 기반 복합룰 작성 시스템(300)는, 직접 혹은 파일진단룰(시그니처) 작성을 위한 작성시스템(미도시)과의 연동을 통해, 전술과 같이 특정 행위감시룰에 의한 악성의심행위를 발생시킨다고 확인된 행위주체파일들을 샘플로 모아, 이러한 샘플들을 진단하기 위한 파일진단룰(시그니처)을 작성할 수 있다.

여기서, 파일진단룰(시그니처)를 작성 방법은, 샘플들 간의 공통점이 되는 헤더 정보 및 코드 일부 정보들을 찾아서 파일진단룰(시그니처)을 작성하는 등 기존의 샘플을 이용한 파일진단룰(시그니처) 작성 방식 중 어느 하나를 채택할 수 있으므로 구체적인 설명은 생략하도록 한다.

이에, 파일 및 행위 기반 복합룰 작성 시스템(300)는, 작성한 파일진단룰을 업데이트서버(400)에 제공하고, 업데이트서버(400)는 파일진단룰을 배포 대상이 되는 다수의 컴퓨터 시스템(200)의 각 컴퓨터 시스템(100)으로 제공/배포하여, 컴퓨터 시스템(100)에 새롭게 작성된 파일진단룰이 업데이트/저장되도록 한다.

이후, 다수의 컴퓨터 시스템(200)은, 새롭게 작성된 파일진단룰을 업데이트서버(400)로부터 수신하여, 기 저장하고 있던 파일진단룰에 새롭게 작성된 파일진단룰을 업데이트/저장할 수 있다.

이에, 다수의 컴퓨터 시스템(200)은, 전술의 악성코드 진단 수행 시 새롭게 업데이트된 파일진단룰 역시 이용할 것이다.

이하에서는, 도 2를 참조하여 본 발명에 따른 컴퓨터 시스템의 구성을 보다 구체적으로 설명하도록 한다.

본 발명에 따른 컴퓨터 시스템(100)은, 적어도 하나의 파일을 저장하는 파일저장부(110)와, 악성코드 진단에 이용하는 파일진단룰을 저장하는 파일진단룰저장부(120)와, 적어도 하나의 악성의심행위를 포함하는 행위감시룰을 수신하여 저장하는 행위감시룰저장부(130)와, 상기 적어도 하나의 파일 중 상기 파일진단룰에 의해 악성코드파일로 진단되지 않는 파일에서 상기 행위감시룰에 포함된 상기 적어도 하나의 악성의심행위가 발생하는 경우 이에 따른 행위보고정보를 특정 파일 및 행위 기반 복합룰 작성 시스템(300)으로 제공하여, 상기 행위보고정보를 기초로 파일진단룰을 작성하도록 하는 행위보고정보제공부(140)를 포함한다.

파일저장부(110)는, 다양한 종류의 파일들을 저장한다.

파일진단룰저장부(120)는, 악성코드 진단에 이용하는 파일진단룰을 저장한다.

이러한 파일진단룰저장부(120)는, 악성코드 진단 이벤트가 발생하면 파일진단룰을 이용하여 파일저장부(110)에 저장/보유된 파일에 대한 악성코드 진단을 수행하는 클라이언트백신과 연동되거나, 또는 클라이언트백신에 포함되는 구성일 수 있다.

행위감시룰저장부(130)는, 적어도 하나의 악성의심행위를 포함하는 행위감시룰을 수신하여 저장한다.

즉, 행위감시룰저장부(130)는, 파일 및 행위 기반 복합룰 작성 시스템(300)에서 제공되는 행위감시룰을 업데이트서버(400)로부터 수신하여 저장함으로써, 다수의 행위감시룰을 보유할 수 있다.

행위보고정보제공부(140)는, 파일저장부(110)에 저장된 적어도 하나의 파일 중 상기 파일진단룰에 의해 악성코드파일로 진단되지 않는 파일 즉 미진단 파일에서 상기 행위감시룰에 포함된 상기 적어도 하나의 악성의심행위가 발생하는 경우 이에 따른 행위보고정보를 특정 파일 및 행위 기반 복합룰 작성 시스템(300)으로 제공하여, 상기 행위보고정보를 기초로 파일진단룰을 작성하도록 한다.

보다 구체적으로 설명하면, 행위보고정보제공부(140)는, 파일저장부(110)에 저장/보유된 파일 중 다수의 행위감시룰 중 특정 행위감시룰에 포함된 적어도 하나의 악성의심행위가 발생하는지 여부를 판단한다.

이에, 행위보고정보제공부(140)는, 특정 행위감시룰에 포함된 적어도 하나의 악성의심행위가 발생하는 것이 확인되면, 해당되는 특정 파일이 전술의 악성코드 진단에 의해 악성코드파일로 진단되지 않은 미진단 파일인지 여부를 판단한다.

이에, 행위보고정보제공부(140)는, 전술의 판단 결과 미진단 파일로 판단되는 특정 파일에서 특정 행위감시룰에 포함된 상기 적어도 하나의 악성의심행위가 발생하는 경우, 이에 따른 행위보고정보를 파일 및 행위 기반 복합룰 작성 시스템(300)으로 제공한다.

여기서, 제공하는 행위보고정보의 구체적인 내용은, 전술에서 설명하였으므로 생략하도록 한다.

이때, 행위보고정보제공부(140)는, 전술의 행위보고정보를 파일 및 행위 기반 복합룰 작성 시스템(300)로 제공함에 있어서, 행위보고정보가 기 정의된 즉시보고대상인 경우 파일 및 행위 기반 복합룰 작성 시스템(300)로 즉시 제공할 수 있고, 행위보고정보가 즉시보고대상이 아닌 경우 내부저장부(미도시)에 저장하여 관리하고 파일 및 행위 기반 복합룰 작성 시스템(300)로부터 요청되거나 또는 제공주기 도달 시 관리/저장된 행위보고정보들을 파일 및 행위 기반 복합룰 작성 시스템(300)로 제공할 수 있다.

이에, 파일 및 행위 기반 복합룰 작성 시스템(300)는, 다수의 컴퓨터 시스템(200)으로부터 행위감시룰에 포함된 적어도 하나의 악성의심행위가 발생함에 따른 행위보고정보를 수집할 수 있다.

한편, 행위보고정보제공부(140)는, 전술의 판단 결과 특정 행위감시룰에 포함된 적어도 하나의 악성의심행위를 발생시키는 특정 파일 즉 행위주체파일이 기 진단된 악성코드파일인 경우, 이에 대응하는 행위보고정보를 제공하지 않고, 해당 특정 파일의 실행을 차단하는 것이 바람직하다.

더 나아가, 전술의 파일진단룰저장부(120)는, 도 1을 참조하여 설명한 바와 같이 파일 및 행위 기반 복합룰 작성 시스템(300)에서 새롭게 작성된 파일진단룰을 업데이트서버(400)로부터 수신하여 기 저장하고 있던 파일진단룰에 새롭게 작성된 파일진단룰을 업데이트/저장할 수 있다.

이에, 컴퓨터 시스템(100)(특히 클라이언트백신)은, 악성코드 진단 시 새롭게 업데이트된 파일진단룰(변종 파일에 대한 시그니처와 같은 의미를 가짐) 역시 이용함으로써 새롭게 업데이트된 파일진단룰에 의해 악성코드 진단되는 파일에 대하여서도 실행을 차단할 수 있다.

그리고, 행위감시룰저장부(130)는, 파일 및 행위 기반 복합룰 작성 시스템(300)에서 새롭게 작성된 행위감시룰을 업데이트서버(400)로부터 수신하여 기 저장하고 있던 행위감시룰에 새롭게 작성된 행위감시룰을 업데이트/저장할 수 있다.

이에, 컴퓨터 시스템(100)(특히 행위보고정보제공부(140))은, 전술과 같이 행위감시룰을 기반으로 하는 악성의심행위 발생 시 행위보고정보를 제공함에 있어서 새롭게 업데이트된 행위감시룰 역시 이용함으로써, 새롭게 업데이트된 행위감시룰에 의한 악성의심행위 발생에 대하여서도 전술과 같이 행위보고정보를 제공할 수 있다.

이하에서는, 도 3을 참조하여 본 발명에 따른 파일 및 행위 기반 복합룰 작성 시스템을 보다 구체적으로 설명하도록 한다.

본 발명에 따른 파일 및 행위 기반 복합룰 작성 시스템(300)은, 적어도 하나의 악성의심행위를 포함하는 행위감시룰을 다수의 컴퓨터 시스템(200)으로 제공하는 감시룰제공부(370)와, 다수의 컴퓨터 시스템(200)으로부터 상기 행위감시룰에 포함된 상기 적어도 하나의 악성의심행위가 발생함에 따른 행위보고정보를 수집하는 정보수집부(310)와, 상기 수집한 행위보고정보를 기초로 상기 행위감시룰에 포함된 상기 적어도 하나의 악성의심행위를 발생시키는 행위주체파일을 확인하고, 상기 행위주체파일에 대응되는 파일진단룰을 작성하는 진단룰작성부(340)를 포함한다.

그리고 본 발명에 따른 파일 및 행위 기반 복합룰 작성 시스템(300)은, 보고정보검증부(320)와, 화이트리스트부(330)와, 진단룰작성부(360)와, 진단룰제공부(350)를 더 포함할 수 있다.

감시룰제공부(370)는, 행위감시룰을 다수의 컴퓨터 시스템(200)으로 제공한다. 이때, 행위감시룰에 의해 차단할 행위주체파일이 기존에 판단 잘못으로 화이트리스트로 되어 있는 경우 행위감시룰을 운영할 컴퓨터 시스템(100)에도 화이트리스트로 되어 있을 수 있음으로, 강제로 화이트리스트에서 제외하는 플래그를 포함시키는 것이 바람직하다.

즉, 감시룰제공부(370)는, 작성된 행위감시룰을 업데이트서버(400)에 제공하고, 업데이트서버(400)는 행위감시룰을 배포 대상이 되는 다수의 컴퓨터 시스템(200)의 각 컴퓨터 시스템(100)으로 제공/배포하여, 컴퓨터 시스템(100)에 행위감시룰이 업데이트/저장되도록 한다.

정보수집부(310)는, 다수의 컴퓨터 시스템(200)으로부터 전술과 같이 제공한 행위감시룰에 포함된 적어도 하나의 악성의심행위가 발생함에 따른 행위보고정보를 수집한다. 이 경우 다수의 컴퓨터 시스템(200)은, 해당되는 컴퓨터 시스템내에서 화이트리스트로 분류한 파일이 행위감시룰에 의해 진단되는 경우 행위감시룰에 화이트리스트 갱신 플래그가 포함된 경우 해당 파일에 대한 진단정보와 화이트리스트 관련 정보를 행위보고정보에 포함시켜 정보수집부(310)로 전송할 수 있다.

즉, 정보수집부(310)는, 다수의 컴퓨터 시스템(200)으로부터 즉시 제공되는 행위보고정보를 수집할 수 있고, 요청에 의해 또는 주기적으로 다수의 컴퓨터 시스템(200)으로부터 제공되는 행위보고정보를 수집할 수 있다.

보다 바람직하게는, 정보수집부(310)는, 수집한 행위보고정보들을, 대응되는 행위감시룰식별정보 별로 분류하여 정리할 수 있다.

진단룰작성부(340)는 정보수집부(310)를 통해 수집한 행위보고정보를 기초로 전술과 같이 제공한 행위감시룰에 포함된 적어도 하나의 악성의심행위를 발생시키는 행위주체파일을 확인하고, 상기 행위주체파일에 대응되는 파일진단룰을 작성한다.

즉, 진단룰작성부(340)는 정보수집부(310)를 통해 수집한 행위보고정보들에서, 다수(예 : 특정 보고횟수 이상) 보고된 동일한 특정 행위감시룰의 적어도 하나의 악성의심행위를 발생시키는 행위주체파일들을 확인할 수 있다.

이에, 진단룰작성부(340)는 전술과 같이 특정 행위감시룰에 의한 악성의심행위를 발생시킨다고 확인되는 행위주체파일들을 샘플로 하여 이러한 샘플들을 진단하기 위한 파일진단룰(시그니처)을 작성할 수 있다.

한편, 진단룰작성부(340)에서 전술과 같이 파일진단룰을 작성하기 앞서, 보고정보검증부(320)는, 정보수집부(310)를 통해 수집한 행위보고정보를 기초로 확인되는 행위주체파일이 화이트리스트파일인지 여부를 확인하여 화이트리스트파일이 아닌 경우, 행위주체파일을 악성코드파일로 판단하고 상기 행위주체파일에 대응되는 파일진단룰을 작성하도록 진단룰작성부(340)에 요청할 수 있다. 또한, 경우에 따라서는, 판단 잘못으로 인해 기 등록된 화이트리스트 파일이 악성코드파일인 경우에 분석가의 판단에 의해 악성코드파일로 변경할 수 있다.

즉, 보고정보검증부(320)는, 정보수집부(310)를 통해 수집한 행위보고정보들에 대하여 대응되는 행위감시룰의 적어도 하나의 악성의심행위를 발생시키는 행위주체파일을 확인할 수 있다.

보고정보검증부(320)는, 전술과 같이 확인되는 행위주체파일이 화이트리스트부(330)에 보유된 화이트리스트파일인지 여부를 확인하고, 화이트리스트파일이 아니거나 판단 잘못에 의해 잘못 등록된 화이트리스트를 취소한 경우, 행위주체파일을 비로소 악성코드파일로 판단할 수 있다.

더 구체적으로는, 보고정보검증부(320)는, 정보수집부(310)를 통해 수집한 행위보고정보를 기초로 확인되는 행위주체파일이 화이트리스트파일인지 여부를 확인하여 화이트리스트파일이 아닌 경우, 행위주체파일에 기 정의된 적어도 하나의 악성추정행위가 존재하는지 여부를 확인하여 기 정의된 적어도 하나의 악성추정행위가 존재하면 행위주체파일을 악성코드파일로 판단할 수 있다.

즉, 보고정보검증부(320)는, 전술과 같이 확인되는 행위주체파일이 화이트리스트부(330)에 보유된 화이트리스트파일인지 여부를 확인하고, 화이트리스트파일이 아닌 경우 행위주체파일에 기 정의된 적어도 하나의 악성추정행위가 존재하는지 여부를 확인한다.

이에, 보고정보검증부(320)는, 화이트리스트파일이 아니고 기 정의된 적어도 하나의 악성추정행위가 존재한다고 판단되는 행위주체파일을 비로소 악성코드파일로 판단할 수 있다.

이에, 보고정보검증부(320)는, 악성코드파일로 판단된 행위주체파일들에 대응되는 파일진단룰을 작성하도록 진단룰작성부(340)에 요청할 수 있다.

보다 구체적인 예를 들면, 보고정보검증부(320)는, 정보수집부(310)에서 전술과 같이 수집한 행위보고정보들을 행위감시룰식별정보 별로 분류하여 정리함에 있어서, 악성코드파일로 판단된 행위주체파일의 행위보고정보를 파일진단룰 작성에 이용하도록 분류/저장되게 할 수 있다.

이때, 보고정보검증부(320)는, 필요 시(예 : 운영자의 수동 요청, 또는 특정 주기시간 경과 등), 악성코드파일로 판단된 행위주체파일의 행위보고정보를 파일진단룰 작성에 이용하도록 분류/저장된 정보들을 지정된 특정 분석시스템 또는 분석가에게 제공하여, 추후 개별적인 별도 모니터링이 가능하도록 할 수도 있다.

이에, 진단룰작성부(340)는, 전술과 같이 파일진단룰 작성에 이용하도록 분류/저장된 행위보고정보들 중 다수(예 : 특정 보고횟수 이상) 보고된 동일한 특정 행위감시룰의 적어도 하나의 악성의심행위를 발생시키는 행위주체파일들을 확인하고, 행위주체파일들을 샘플로 하여 이러한 샘플들을 진단하기 위한 파일진단룰(시그니처)을 작성할 수 있다.

이처럼, 작성된 파일진단룰은, 악성코드파일로 확인된 파일 또는 적어도 정상적인 화이트리스트파일이 아니라고 확인된 파일 즉 변종 파일에 대하여 악성코드 진단을 위해 작성된 시그니처의 의미를 갖는다.

또한, 진단룰작성부(340)는, 동일 행위감시룰이 아닌 룰에 의해 수집된 행위주체파일과 시스템(300) 내에 기 수집한 파일들이 존재할 경우, 이를 포함해 파일진단룰을 작성할 수도 있다.

한편, 보고정보검증부(320)는, 수집한 행위보고정보를 기초로 확인되는 행위주체파일이 화이트리스트파일인지 여부를 확인하여 상기 화이트리스트파일인 경우, 행위주체파일을 정상파일로 판단하여 행위주체파일에 대응되는 파일진단룰을 작성하지 않도록 진단룰작성부(340)에 요청할 수 있다.

즉, 보고정보검증부(320)는, 전술과 같이 특정 행위감시룰에 의한 악성의심행위를 발생시킨다고 확인되는 행위주체파일들을 화이트리스트부(330)에 보유된 화이트리스트파일인지 여부를 확인한 결과, 화이트리스트파일이라고 판단되면 이 행위주체파일을 정상파일로 판단하여 이에 대응되는 파일진단룰을 작성하지 않도록 진단룰작성부(340)에 요청할 수 있다.

보다 구체적인 예를 들면, 보고정보검증부(320)는, 정보수집부(310)에서 전술과 같이 수집한 행위보고정보들을 대응되는 행위감시룰식별정보 별로 분류하여 정리함에 있어서, 화이트리스트파일로 판단된 행위주체파일의 행위보고정보를 파일진단룰 작성에 이용하지 않도록 분류/저장되게 할 수 있다.

이에, 진단룰작성부(340)에서 전술과 같이 행위주체파일들을 샘플로 하여 작성되는 파일진단룰(시그니처)에는, 화이트리스트파일을 대상으로 하는 파일진단룰이 포함되지 않을 것이다.

결과적으로, 전술의 작성된 파일진단룰(시그니처)에 의해서 비악성코드 즉 일반 프로그램의 정상적 행위까지 차단하거나 정상적인 기능까지 제한하게 되는 충돌 및 오진 가능성이 현저히 낮아지는 효과와 더불어, 행위를 구성하는 동작정보가 일부 변경되는 변종인 경우에도 코드나 파일의 특성을 이용하는 파일 진단룰을 이용할 경우 시그니처의 품질과 효율을 높일 수 있다.

그리고, 더 나아가 보고정보검증부(320)는, 전술과 같이 화이트리스트파일로 판단된 행위주체파일이 확인된 행위보고정보에 따른 행위감시룰을 미진단룰(또는 화이트리스트룰)로 분류하여, 화이트리스트부(330)에 등록하며, 화이트리스트룰로 분류된 행위감시룰에 포함된 적어도 하나의 악성의심행위가 발생할 경우 오진으로 판단할 수 있다. 즉 화이트리스트룰로서 분류된 해당 행위감시룰은 잘못 만들어진 룰로 판단하게 된다.

그리고, 진단룰제공부(350)는, 진단룰작성부(340)에서 작성된 파일진단룰을 다수의 컴퓨터 시스템(200)으로 제공할 수 있다.

보다 구체적으로, 진단룰제공부(350)는, 진단룰작성부(340)에서 작성된 파일진단룰 및 대응되는 화이트리스트파일 간의 매칭률을 판단하여 특정 제1오진매칭률 이하인 제1조건, 파일진단룰의 작성에 이용된 행위주체파일이 수집된 컴퓨터 시스템(100) 내 파일위치 및 파일 관련 정보가 특정 오진안전위치에 속하는 제2조건 중 적어도 어느 하나의 조건을 만족하는 경우, 작성된 파일진단룰에 대한 오진 검증이 성공한 것으로 판단하여 파일진단룰을 다수의 컴퓨터 시스템(200)으로 제공할 수 있다.

즉, 진단룰제공부(350)는, 작성된 파일진단룰 및 대응되는 화이트리스트파일 간의 매칭률 제1오진매칭률 이하로 충분히 상이하다고 판단되는 제1조건과, 파일진단룰의 작성에 이용된 행위주체파일이 수집될 당시 수집된 컴퓨터 시스템(100) 내 파일위치가 안전한 특정 오진안전위치에 속하는 제2조건을 만족하면, 작성된 파일진단룰에 대한 오진 검증이 성공한 것으로 판단할 수 있다.

이에, 진단룰제공부(350)는, 작성된 파일진단룰에 대한 오진 검증이 성공한 것으로 판단되면, 작성된 파일진단룰을 업데이트서버(400)에 제공하고, 업데이트서버(400)는 파일진단룰을 배포 대상이 되는 다수의 컴퓨터 시스템(200)의 각 컴퓨터 시스템(100)으로 제공/배포하여, 컴퓨터 시스템(100)에 파일진단룰이 업데이트/저장되도록 한다.

그리고, 감시룰작성부(360)는, 보고정보검증부(320)에 의해 악성코드파일로 판단된 행위주체파일에 존재하는 기 정의된 적어도 하나의 악성추정행위를 포함하는 신규의 행위감시룰을 작성하여, 다수의 컴퓨터 시스템(200)으로 제공하도록 감시룰제공부(370)에 요청할 수 있다.

예를 들면, 감시룰작성부(360)는, 보고정보검증부(320)에 의해 악성코드파일로 판단되어 전술과 같이 파일진단룰 작성에 이용하도록 분류/저장된 행위보고정보들을 기반으로, 다수(예 : 특정 보고횟수 이상) 보고된 동일한 특정 행위감시룰의 적어도 하나의 악성의심행위를 발생시키는 행위주체파일들을 확인하고, 행위주체파일들에 공통으로 존재하는 기 정의된 적어도 하나의 악성추정행위를 수집할 수 있다. 그리고, 감시룰작성부(360)는, 수집된 악성추정행위를 기반으로 적어도 하나의 악성추정행위를 포함하는 신규의 행위감시룰을 작성할 수 있다. 이때, 작성된 신규의 행위감시룰에는, 고유의 순차번호를 가지는 행위감시룰식별정보가 할당되는 것이 바람직하다.

그리고, 감시룰작성부(360)는, 작성한 신규의 행위감시룰 및 기 보유한 화이트리스트행위 간의 매칭률을 판단하여 특정 제2오진매칭률 이하인 경우, 작성한 신규의 행위감시룰을 감시룰제공부(370)에 제공할 수 있다.

즉, 감시룰작성부(360)는, 작성한 신규의 행위감시룰을 화이트리스트부(330)에 저장된 화이트리스트행위와 비교하여 특정 제2오진매칭률 이하로 충분히 상이하면, 작성된 신규의 행위감시룰에 대한 오진 검증이 성공한 것으로 판단할 수 있고, 작성한 신규의 행위감시룰을 감시룰제공부(370)에 제공할 수 있다.

이에, 감시룰제공부(370)는, 신규의 행위감시룰 역시 전술과 같이 업데이트서버(400)를 통해 다수의 컴퓨터 시스템(200)으로 제공할 수 있다.

이상에서 설명한 바와 같이, 본 발명에 따른 컴퓨터 시스템과, 파일 및 행위 기반 복합룰 작성 시스템에 따르면, 악성코드에 의해 발생되는 악성행위를 기반으로 작성된 행위감시룰을 다수의 컴퓨터 시스템으로 제공하여 다수의 컴퓨터 시스템 기반 불특정된 다양한 동작 환경에서 종류 및 개수가 무한정에 가까운 파일을 대상으로 행위감시룰에 의한 악성행위 발생 여부를 테스트하도록 하여 다수의 컴퓨터 시스템으로부터 테스트된 결과 즉 행위보고정보를 수집하고, 수집된 행위보고정보들을 이용하여 신규 대응 룰 즉 행위감시룰 및/또는 파일진단룰(시그니처)을 작성하여 배포할 수 있다.

그리고, 본 발명에 따른 컴퓨터 시스템과, 파일 및 행위 기반 복합룰 작성 시스템에 따르면, 다수의 컴퓨터 시스템으로부터 행위감시룰들에 의해 진단되는 다양한 악성 의심 파일들을 수집함으로써 이들 파일들을 이용하여 파일진단룰을 작성함으로써, 진단율 및 행위가 서로 다른 변종 혹은 동작 조건 및 환경에 의해 행위가 달라진 변종들을 모두 진단할 수 있게 되며, 파일진단룰의 작성을 통해 행위를 파악하지 못한 변종 샘플들도 모두 진단할 수 있게 된다.

이처럼 본 발명에 따르면, 실제 사용자에 의해 사용되는 다수의 컴퓨터 시스템을 기반으로 악성코드에 의한 행위 및 파일 진단을 연계하여 샘플을 수집함으로써 악성코드 진단 및/또는 악성행위 차단에 대한 적극적이고 최적의 신규 대응 룰을 작성함으로써, 불특정 다수의 사용자 컴퓨터 환경을 기반으로 하여 다양한 환경에 안정적으로 대응 가능하며 진단의 효과 및 신속성, 오진 가능성 등의 기존 제약을 개선한 최적 및 적응적 대응 룰을 작성할 수 있다.

이하에서는, 도 4 내지 도 6을 참조하여 본 발명에 따른 파일 및 행위 기반 복합룰 작성 방법을 설명하도록 한다. 여기서, 설명의 편의를 위해 전술한 도 1 내지 도 3에 도시된 구성은 해당 참조번호를 언급하여 설명하겠다.

먼저, 도 4를 참조하여 본 발명의 바람직한 실시예가 포함된 전체 시스템의 제어 흐름을 설명하도록 한다.

파일 및 행위 기반 복합룰 작성 시스템(300)는, 적어도 하나의 악성의심행위를 포함하는 행위감시룰을 업데이트서버(400)를 통해 다수의 컴퓨터 시스템(200)으로 제공한다(S10).

이에, 각 컴퓨터 시스템(100)은, 행위감시룰을 업데이트서버(400)로부터 수신하여 저장함으로써, 다수의 행위감시룰을 보유할 수 있다(S20).

더불어, 각 컴퓨터 시스템(100)은, 악성코드 진단에 이용하는 파일진단룰을 저장한다.

그리고, 컴퓨터 시스템(100)은, 적어도 하나의 파일 중 파일진단룰에 의해 악성코드파일로 진단되지 않는 파일에서 상기 행위감시룰에 포함된 상기 적어도 하나의 악성의심행위가 발생하는 경우 이에 따른 행위보고정보를 특정 파일 및 행위 기반 복합룰 작성 시스템(300)으로 제공한다.

즉, 컴퓨터 시스템(100)은, 컴퓨터 시스템(100)은, 자신에 저장/보유된 파일 중 특정 파일에서 특정 행위감시룰에 포함된 적어도 하나의 악성의심행위가 발생하는 것이 확인되면(S30), 해당되는 특정 파일이 악성코드 진단에 의해 악성코드파일로 진단되지 않은 파일 즉 미진단 파일인지 여부를 판단한다(S40).

이에, 컴퓨터 시스템(100)은, 전술의 판단 결과 미진단 일로 판단되는 특정 파일에서 특정 행위감시룰에 포함된 상기 적어도 하나의 악성의심행위가 발생하는 경우, 이에 따른 행위보고정보를 특정 파일 및 행위 기반 복합룰 작성 시스템(300)으로 제공한다(S50).

한편, 컴퓨터 시스템(100)은, 전술의 판단 결과 특정 행위감시룰에 포함된 적어도 하나의 악성의심행위를 발생시키는 특정 파일 즉 행위주체파일이 악성코드파일인 경우, 이에 대응하는 행위보고정보를 제공하지 않고, 해당 특정 파일의 실행을 차단하는 것이 바람직하다(S45).

이에, 파일 및 행위 기반 복합룰 작성 시스템(300)는, 다수의 컴퓨터 시스템(200)으로부터 행위감시룰에 포함된 적어도 하나의 악성의심행위가 발생함에 따른 행위보고정보를 수집한다(S60).

그리고 파일 및 행위 기반 복합룰 작성 시스템(300)는, 전술과 같이 다수의 컴퓨터 시스템(200)으로부터 수집한 행위보고정보를 기초로, 특정 행위감시룰에 포함된 적어도 하나의 악성의심행위를 발생시키는 행위주체파일을 확인하고(S70), 확인된 행위주체파일들을 샘플로 모아, 이러한 샘플들을 진단하기 위한 파일진단룰(시그니처)을 작성할 수 있다(S80).

그리고, 파일 및 행위 기반 복합룰 작성 시스템(300)는, 작성한 파일진단룰을 업데이트서버(400)를 통해 다수의 컴퓨터 시스템(200)의 각 컴퓨터 시스템(100)으로 제공/배포할 수 있다(S90).

이에 다수의 컴퓨터 시스템(200)은, 새롭게 작성된 파일진단룰을 업데이트서버(400)로부터 수신하여, 기 저장하고 있던 파일진단룰에 새롭게 작성된 파일진단룰을 업데이트/저장할 수 있다. 그리고 다수의 컴퓨터 시스템(200)은, 전술의 악성코드 진단 수행 시 새롭게 업데이트된 파일진단룰 역시 이용할 것이다.

이하에서는 도 5를 참조하여 본 발명에 따른 컴퓨터 시스템의 룰 작성 지원 방법을 설명하도록 한다.

본 발명에 따른 컴퓨터 시스템의 룰 작성 지원 방법은, 적어도 하나의 파일을 저장한다(S100).

본 발명에 따른 컴퓨터 시스템의 룰 작성 지원 방법은, 악성코드 진단에 이용하는 파일진단룰을 저장한다(S110).

본 발명에 따른 컴퓨터 시스템의 룰 작성 지원 방법은, 적어도 하나의 악성의심행위를 포함하는 행위감시룰을 수신하여 저장한다(S120).

즉, 본 발명에 따른 컴퓨터 시스템의 룰 작성 지원 방법은, 파일 및 행위 기반 복합룰 작성 시스템(300)에서 제공되는 행위감시룰을 업데이트서버(400)로부터 수신하여 저장함으로써, 다수의 행위감시룰을 보유할 수 있다.

본 발명에 따른 컴퓨터 시스템의 룰 작성 지원 방법은, 저장/보유된 파일에서 다수의 행위감시룰 중 특정 행위감시룰에 포함된 적어도 하나의 악성의심행위가 발생하는지 여부를 판단한다.

이에 본 발명에 따른 컴퓨터 시스템의 룰 작성 지원 방법은, 특정 파일에서 특정 행위감시룰에 포함된 적어도 하나의 악성의심행위가 발생하는 것이 확인되면(S130), 해당되는 특정 파일이 전술의 악성코드 진단에 의해 악성코드파일로 진단되지 않은 미진단 파일인지 여부를 판단한다(S140).

이에, 본 발명에 따른 컴퓨터 시스템의 룰 작성 지원 방법은, 전술의 판단 결과 미진단 파일로 판단되는 특정 파일에서 특정 행위감시룰에 포함된 상기 적어도 하나의 악성의심행위가 발생하는 경우, 이에 따른 행위보고정보를 파일 및 행위 기반 복합룰 작성 시스템(300)으로 제공한다(S150).

이후 본 발명에 따른 컴퓨터 시스템의 룰 작성 지원 방법은, 파일 및 행위 기반 복합룰 작성 시스템(300)에서 새롭게 작성된 파일진단룰 및/또는 새롭게 작성된 행위감시룰을 업데이트서버(400)로부터 수신하여 업데이트/저장할 수 있다(S160).

이에, 본 발명에 따른 컴퓨터 시스템의 룰 작성 지원 방법은, 악성코드 진단 시 새롭게 업데이트된 파일진단룰(변종 파일에 대한 시그니처와 같은 의미를 가짐) 역시 이용함으로써 새롭게 업데이트된 파일진단룰에 의해 악성코드 진단되는 파일에 대하여서도 실행을 차단할 수 있다.

또한, 본 발명에 따른 컴퓨터 시스템의 룰 작성 지원 방법은, 전술과 같이 행위감시룰을 기반으로 하는 악성의심행위 발생 시 행위보고정보를 제공함에 있어서 새롭게 업데이트된 행위감시룰 역시 이용함으로써, 새롭게 업데이트된 행위감시룰에 의한 악성의심행위 발생에 대하여서도 전술과 같이 행위보고정보를 제공할 수 있다.

한편, 본 발명에 따른 컴퓨터 시스템의 룰 작성 지원 방법은, 전술의 판단 결과 특정 행위감시룰에 포함된 적어도 하나의 악성의심행위를 발생시키는 특정 파일 즉 행위주체파일이 기 진단된 악성코드파일인 경우, 이에 대응하는 행위보고정보를 제공하지 않고, 해당 특정 파일의 실행을 차단하는 것이 바람직하다(S170).

이하에서는 도 6을 참조하여 본 발명에 따른 파일 및 행위 기반 복합룰 작성 방법을 설명하도록 한다.

본 발명에 따른 파일 및 행위 기반 복합룰 작성 방법은, 적어도 하나의 악성의심행위를 포함하는 행위감시룰을 업데이트서버(400)를 통해 다수의 컴퓨터 시스템(200)으로 제공한다(S200).

본 발명에 따른 파일 및 행위 기반 복합룰 작성 방법은, 다수의 컴퓨터 시스템(200)으로부터 전술과 같이 제공한 행위감시룰에 포함된 적어도 하나의 악성의심행위가 발생함에 따른 행위보고정보를 수집한다(S210).

그리고, 본 발명에 따른 파일 및 행위 기반 복합룰 작성 방법은, 수집한 행위보고정보들을, 대응되는 행위감시룰식별정보 별로 분류하여 정리할 수 있다.

본 발명에 따른 파일 및 행위 기반 복합룰 작성 방법은, 수집한 행위보고정보를 기초로 전술과 같이 제공한 행위감시룰에 포함된 적어도 하나의 악성의심행위를 발생시키는 행위주체파일을 확인하고, 상기 행위주체파일에 대응되는 파일진단룰을 작성한다.

보다 구체적으로 설명하면, 본 발명에 따른 파일 및 행위 기반 복합룰 작성 방법은, S210단계에서 수집한 행위보고정보를 기초로 확인되는 행위주체파일이 화이트리스트파일인지 여부를 확인한다(S230).

이에, 본 발명에 따른 파일 및 행위 기반 복합룰 작성 방법은, S230단계의 판단 결과 화이트리스트파일이 아닌 경우, 확인된 행위주체파일에 기 정의된 적어도 하나의 악성추정행위가 존재하는지 여부를 확인한다(S240).

이에, 본 발명에 따른 파일 및 행위 기반 복합룰 작성 방법은, S240단계의 판단 결과 기 정의된 적어도 하나의 악성추정행위가 존재하면, 확인된 행위주체파일을 비로소 악성코드파일로 판단하여 전술과 같이 수집한 행위보고정보들을 행위감시룰식별정보 별로 분류하여 정리함에 있어서, 악성코드파일로 판단된 행위주체파일의 행위보고정보를 파일진단룰 작성에 이용하도록 분류/저장되게 할 수 있다.

한편, 본 발명에 따른 파일 및 행위 기반 복합룰 작성 방법은, S230단계의 판단 결과 화이트리스트파일이거나, 혹은 S240단계의 판단 결과 기 정의된 적어도 하나의 악성추정행위가 존재하지 않으면, 행위주체파일을 정상파일로 판단하여 행위주체파일에 대응되는 파일진단룰을 작성하지 않는 것이 바람직하다(S290).

따라서, 이 경우에 본 발명에 따른 파일 및 행위 기반 복합룰 작성 방법은, 전술과 같이 수집한 행위보고정보들을 대응되는 행위감시룰식별정보 별로 분류하여 정리함에 있어서, 화이트리스트파일로 판단된 행위주체파일의 행위보고정보를 파일진단룰 작성에 이용하지 않도록 분류/저장되게 할 수 있다.

더 나아가 본 발명에 따른 파일 및 행위 기반 복합룰 작성 방법은, S290단계에서 전술과 같이 정상파일로 판단된 행위주체파일이 확인된 행위보고정보에 따른 행위감시룰을 미진단룰(또는 화이트리스트룰)로 분류하여, 화이트리스트룰로 분류된 행위감시룰에 포함된 적어도 하나의 악성의심행위를 화이트리스트행위로서 등록할 수 있다.

이에, 본 발명에 따른 파일 및 행위 기반 복합룰 작성 방법에서 전술과 같이 행위주체파일들을 샘플로 수집하여 작성되는 파일진단룰(시그니처)에는, 화이트리스트파일을 대상으로 하는 파일진단룰이 포함되지 않을 것이다.

즉, 본 발명에 따른 파일 및 행위 기반 복합룰 작성 방법은, 수집한 행위보고정보들에서 특히 전술과 같이 파일진단룰 작성에 이용하도록 분류/저장된 행위보고정보들 중, 다수(예 : 특정 보고횟수 이상) 보고된 동일한 특정 행위감시룰의 적어도 하나의 악성의심행위를 발생시키는 행위주체파일들을 확인할 수 있다. 이에, 본 발명에 따른 파일 및 행위 기반 복합룰 작성 방법은, 전술과 같이 특정 행위감시룰에 의한 악성의심행위를 발생시킨다고 확인되는 행위주체파일들을 샘플로 하여 이러한 샘플들을 진단하기 위한 파일진단룰(시그니처)을 작성할 수 있다(S250).

그리고, 본 발명에 따른 파일 및 행위 기반 복합룰 작성 방법은, S250단계에서 작성한 파일진단룰(시그니처)을 검증한 후 오진 검증이 성공하면 업데이트서버(400)를 통해 다수의 컴퓨터 시스템(200)으로 제공할 수 있다(S260). 이때 작성한 파일진단룰(시그니처)을 검증하는 과정은, 전술의 도 3을 참조하여 설명한 진단룰제공부(350)의 검증과 대응되므로 설명을 생략하도록 한다.

더불어, 본 발명에 따른 파일 및 행위 기반 복합룰 작성 방법은, S250 및 S260의 파일진단룰 작성 및 제공과 병행 또는 별개로 하여, 행위감시룰을 작성 및 제공할 수 있다.

이를 설명하면, 본 발명에 따른 파일 및 행위 기반 복합룰 작성 방법은, S230단계 및 S240단계를 통해 전술과 같이 파일진단룰 작성에 이용하도록 분류/저장된 행위보고정보들을 기반으로, 악성코드파일로 판단된 행위주체파일에 존재하는 기 정의된 적어도 하나의 악성추정행위를 포함하는 신규의 행위감시룰을 작성한다(S270).

예를 들면, 본 발명에 따른 파일 및 행위 기반 복합룰 작성 방법은, 전술과 같이 파일진단룰 작성에 이용하도록 분류/저장된 행위보고정보들을 기반으로, 다수(예 : 특정 보고횟수 이상) 보고된 동일한 특정 행위감시룰의 적어도 하나의 악성의심행위를 발생시키는 행위주체파일들을 확인하고, 행위주체파일들에 공통으로 존재하는 기 정의된 적어도 하나의 악성추정행위를 수집할 수 있다. 그리고, 본 발명에 따른 파일 및 행위 기반 복합룰 작성 방법은, 수집된 악성추정행위를 기반으로 적어도 하나의 악성추정행위를 포함하는 신규의 행위감시룰을 작성할 수 있다. 이때, 작성된 신규의 행위감시룰에는, 고유의 순차번호를 가지는 행위감시룰식별정보가 할당되는 것이 바람직하다.

그리고, 본 발명에 따른 파일 및 행위 기반 복합룰 작성 방법은, S270단계에서 작성한 행위감시룰을 검증한 후 오진 검증이 성공하면 업데이트서버(400)를 통해 다수의 컴퓨터 시스템(200)으로 제공할 수 있다(S280). 이때 작성한 행위감시룰을 검증하는 과정은, 전술의 도 3을 참조하여 설명한 감시룰작성부(360)의 검증과 대응되므로 설명을 생략하도록 한다.

이상에서 설명한 바와 같이 본 발명에 따른 컴퓨터 시스템의 룰 작성 지원 방법 및 파일 및 행위 기반 복합룰 작성 방법에 따르면, 악성코드에 의해 발생되는 악성행위를 기반으로 작성된 행위감시룰을 다수의 컴퓨터 시스템으로 제공하여 다수의 컴퓨터 시스템 기반 불특정된 다양한 동작 환경에서 종류 및 개수가 무한정에 가까운 파일을 대상으로 행위감시룰에 의한 악성행위 발생 여부를 테스트하도록 하여 다수의 컴퓨터 시스템으로부터 테스트된 결과 즉 행위보고정보를 수집하고, 수집된 행위보고정보들을 이용하여 신규 대응 룰 즉 행위감시룰 및/또는 파일진단룰(시그니처)을 작성하여 배포할 수 있다.

본 발명의 일실시예에 따른 단말 장치의 보안 문서 실행 방법과 문서 관리 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 본 발명의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.

이상과 같이 본 발명에서는 구체적인 구성 요소 등과 같은 특정 사항들과 한정된 실시예 및 도면에 의해 설명되었으나 이는 본 발명의 보다 전반적인 이해를 돕기 위해서 제공된 것일 뿐, 본 발명은 상기의 실시예에 한정되는 것은 아니며, 본 발명이 속하는 분야에서 통상적인 지식을 가진 자라면 이러한 기재로부터 다양한 수정 및 변형이 가능하다.

따라서, 본 발명의 사상은 설명된 실시예에 국한되어 정해져서는 아니되며, 후술하는 특허청구범위뿐 아니라 이 특허청구범위와 균등하거나 등가적 변형이 있는 모든 것들은 본 발명 사상의 범주에 속한다고 할 것이다.

Claims

적어도 하나의 악성의심행위를 포함하는 행위감시룰을 다수의 컴퓨터 시스템으로 제공하는 감시룰제공부;

상기 다수의 컴퓨터 시스템으로부터 상기 행위감시룰에 포함된 상기 적어도 하나의 악성의심행위가 발생함에 따른 행위주체파일을 포함하는 행위보고정보를 수집하는 정보수집부; 및

상기 다수의 컴퓨터 시스템으로부터 수집한 각 행위보고정보를 기초로 상기 행위감시룰에 포함된 상기 적어도 하나의 악성의심행위를 발생시키는 행위주체파일들을 확인하고, 상기 행위주체파일들을 진단하기 위한 파일진단룰을 작성하는 진단룰작성부를 포함하는 것을 특징으로 하는 파일 및 행위 기반 복합룰 작성 시스템.
제 1 항에 있어서,

상기 진단룰작성부에서 작성된 상기 파일진단룰 및 대응되는 화이트리스트파일 간의 매칭률을 판단하여 매칭률이 특정 제1오진매칭률 이하인 제1조건, 상기 파일진단룰의 작성에 이용된 상기 행위주체파일이 수집된 컴퓨터 시스템 내 파일위치가 특정 오진안전위치에 속하는 제2조건 중 적어도 어느 하나의 조건을 만족하는 경우, 작성된 상기 파일진단룰을 상기 다수의 컴퓨터 시스템으로 제공하는 진단룰제공부를 더 포함하는 것을 특징으로 하는 파일 및 행위 기반 복합룰 작성 시스템.
제 1 항에 있어서,

상기 수집한 각 행위보고정보를 기초로 확인되는 상기 행위주체파일들이 화이트리스트파일인지 여부를 확인하여 상기 화이트리스트파일이 아닌 경우, 상기 행위주체파일들을 악성코드파일로 판단하고 상기 행위주체파일들에 대응되는 파일진단룰을 작성하도록 상기 진단룰작성부에 요청하는 보고정보검증부를 더 포함하는 것을 특징으로 하는 파일 및 행위 기반 복합룰 작성 시스템.
제 1 항에 있어서,

상기 수집한 각 행위보고정보를 기초로 확인되는 상기 행위주체파일들에 기 정의된 적어도 하나의 악성추정행위가 존재하는지 여부를 확인하여 상기 기 정의된 적어도 하나의 악성추정행위가 존재하면, 상기 행위주체파일들을 악성코드파일로 판단하고 상기 행위주체파일들에 대응되는 파일진단룰을 작성하도록 상기 진단룰작성부에 요청하는 보고정보검증부를 더 포함하는 것을 특징으로 하는 파일 및 행위 기반 복합룰 작성 시스템.
제 4 항에 있어서,

상기 악성코드파일로 판단된 상기 행위주체파일들에 존재하는 상기 기 정의된 적어도 하나의 악성추정행위를 포함하는 신규의 행위감시룰을 작성하여, 상기 다수의 컴퓨터 시스템으로 제공하도록 상기 감시룰제공부에 요청하는 감시룰작성부를 더 포함하는 것을 특징으로 하는 파일 및 행위 기반 복합룰 작성 시스템.
제 5 항에 있어서,

상기 감시룰작성부는,

작성한 상기 신규의 행위감시룰 및 기 보유한 화이트리스트행위 간의 매칭률을 판단하여 매칭률이 특정 제2오진매칭률 이하인 경우, 작성한 상기 신규의 행위감시룰을 상기 감시룰제공부에 제공하는 것을 특징으로 하는 파일 및 행위 기반 복합룰 작성 시스템.
제 1 항에 있어서,

상기 수집한 각 행위보고정보를 기초로 확인되는 상기 행위주체파일들이 화이트리스트파일인지 여부를 확인하여 상기 화이트리스트파일인 경우, 상기 행위주체파일들을 정상파일로 판단하여 상기 행위주체파일들에 대응되는 파일진단룰을 작성하지 않도록 상기 진단룰작성부에 요청하는 보고정보검증부를 더 포함하는 것을 특징으로 하는 파일 및 행위 기반 복합룰 작성 시스템.
제 7 항에 있어서,

상기 보고정보검증부는,

상기 정상파일로 판단된 상기 행위주체파일들이 확인된 상기 행위보고정보에 따른 상기 행위감시룰을 미진단룰로 분류하여 상기 행위감시룰에 포함된 상기 적어도 하나의 악성의심행위를 화이트리스트행위로 등록하는 것을 특징으로 하는 파일 및 행위 기반 복합룰 작성 시스템.
적어도 하나의 파일을 저장하는 파일저장부;

악성코드 진단에 이용하는 파일진단룰을 저장하는 파일진단룰저장부;

적어도 하나의 악성의심행위를 포함하는 행위감시룰을 수신하여 저장하는 행위감시룰저장부; 및

상기 적어도 하나의 파일 중 상기 파일진단룰에 의해 악성코드파일로 진단되지 않는 파일에서 상기 행위감시룰에 포함된 상기 적어도 하나의 악성의심행위가 발생하는 경우 이에 따른 행위보고정보를 특정 파일 및 행위 기반 복합룰 작성 시스템으로 제공하여, 상기 행위보고정보를 기초로 파일진단룰을 작성하도록 하는 행위보고정보제공부를 포함하는 것을 특징으로 하는 컴퓨터 시스템.
제 9 항에 있어서,

상기 행위보고정보는,

상기 행위감시룰의 행위감시룰식별정보, 상기 적어도 하나의 악성의심행위를 발생시키는 해당 파일을 나타내는 행위주체파일정보, 상기 해당 파일의 파일위치정보, 발생시간정보, 발생횟수정보 중 적어도 어느 하나를 포함하는 것을 특징으로 하는 컴퓨터 시스템.
적어도 하나의 악성의심행위를 포함하는 행위감시룰을 다수의 컴퓨터 시스템으로 제공하는 감시룰 제공단계;

상기 다수의 컴퓨터 시스템으로부터 상기 행위감시룰에 포함된 상기 적어도 하나의 악성의심행위가 발생함에 따른 행위보고정보를 수집하는 정보 수집단계;

상기 다수의 컴퓨터 시스템으로부터 수집한 각 행위보고정보를 기초로 상기 행위감시룰에 포함된 상기 적어도 하나의 악성의심행위를 발생시키는 행위주체파일들을 확인하고, 상기 행위주체파일들을 진단하기 위한 파일진단룰을 작성하는 진단룰 작성단계를 포함하는 것을 특징으로 하는 파일 및 행위 기반 복합룰 작성 방법.
제 11 항에 있어서,

상기 진단룰 작성단계에서 작성된 상기 파일진단룰 및 대응되는 화이트리스트파일 간의 매칭률을 판단하여 매칭률이 특정 제1오진매칭률 이하인 제1조건, 상기 파일진단룰의 작성에 이용된 상기 행위주체파일이 수집된 컴퓨터 시스템 내 파일위치가 특정 오진안전위치에 속하는 제2조건 중 적어도 어느 하나의 조건을 만족하는 경우, 작성된 상기 파일진단룰을 상기 다수의 컴퓨터 시스템으로 제공하는 진단룰 제공단계를 더 포함하는 것을 특징으로 하는 파일 및 행위 기반 복합룰 작성 방법.
제 11 항에 있어서,

상기 수집한 각 행위보고정보를 기초로 확인되는 상기 행위주체파일들이 화이트리스트파일인지 여부를 확인하여 상기 화이트리스트파일이 아닌 경우, 상기 행위주체파일들을 악성코드파일로 판단하여 상기 진단룰 작성단계가 수행되도록 하는 보고정보 검증단계를 더 포함하는 것을 특징으로 하는 파일 및 행위 기반 복합룰 작성 방법.
제 11 항에 있어서,

상기 보고정보 검증단계는,

상기 수집한 각 행위보고정보를 기초로 확인되는 상기 행위주체파일들에 기 정의된 적어도 하나의 악성추정행위가 존재하는지 여부를 확인하여 상기 기 정의된 적어도 하나의 악성추정행위가 존재하면 상기 행위주체파일들을 악성코드파일로 판단하여 상기 진단룰 작성단계가 수행되도록 하는 보고정보 검증단계를 더 포함하는 것을 특징으로 하는 파일 및 행위 기반 복합룰 작성 방법.
제 14 항에 있어서,

상기 악성코드파일로 판단된 상기 행위주체파일들에 존재하는 상기 기 정의된 적어도 하나의 악성추정행위를 포함하는 신규의 행위감시룰을 작성하여, 상기 다수의 컴퓨터 시스템으로 제공하는 감시룰 작성단계를 더 포함하는 것을 특징으로 하는 파일 및 행위 기반 복합룰 작성 방법.
제 15 항에 있어서,

상기 감시룰 작성단계는,

작성한 상기 신규의 행위감시룰 및 기 보유한 화이트리스트행위 간의 매칭률을 판단하여 매칭률이 특정 제2오진매칭률 이하인 경우, 작성한 상기 신규의 행위감시룰을 제공하는 것을 특징으로 하는 파일 및 행위 기반 복합룰 작성 방법.
제 11 항에 있어서,

상기 수집한 각 행위보고정보를 기초로 확인되는 상기 행위주체파일들이 화이트리스트파일인지 여부를 확인하여 상기 화이트리스트파일인 경우, 상기 행위주체파일들을 정상파일로 판단하여, 상기 행위주체파일들에 대응되는 상기 진단룰 작성단계가 미수행되도록 하는 보고정보 검증단계를 더 포함하는 것을 특징으로 하는 파일 및 행위 기반 복합룰 작성 방법.
제 17 항에 있어서,

상기 정상파일로 판단된 상기 행위주체파일들이 확인된 상기 행위보고정보에 따른 상기 행위감시룰을 미진단룰로 분류하여 상기 행위감시룰에 포함된 상기 적어도 하나의 악성의심행위를 화이트리스트행위로 등록하는 단계를 더 포함하는 것을 특징으로 하는 파일 및 행위 기반 복합룰 작성 방법.
적어도 하나의 파일을 저장하는 파일 저장단계;

악성코드 진단에 이용하는 파일진단룰을 저장하는 파일진단룰 저장단계;

적어도 하나의 악성의심행위를 포함하는 행위감시룰을 수신하여 저장하는 행위감시룰 저장단계; 및

상기 적어도 하나의 파일 중 상기 파일진단룰에 의해 악성코드파일로 진단되지 않는 파일에서 상기 행위감시룰에 포함된 상기 적어도 하나의 악성의심행위가 발생하는 경우 이에 따른 행위보고정보를 특정 파일 및 행위 기반 복합룰 작성 시스템으로 제공하여, 상기 행위보고정보를 기초로 파일진단룰을 작성하도록 하는 행위보고정보 제공단계를 포함하는 것을 특징으로 하는 컴퓨터 시스템의 룰 작성 지원 방법.
제11항 내지 제19항 중 어느 한 항의 방법을 수행하는 프로그램을 기록한 컴퓨터 판독 가능 기록 매체.