1 |
1
사용자 PC에서 APT 공격을 분석하기 위해 수집한 트래픽에서 파일을 추출하여 의심파일을 분석하고 APT 공격 추적 정보를 수집하는 방법에 있어서,상기 추출된 모든 파일을 기반으로 유포 사이트 리스트, 원격 제어명령(C0026#C) 리스트, 침입탐지 정보 및 악성코드 정보로 구성된 블랙리스트와 일치하는지 또는 어느 정도 유사한지에 따라 유포 사이트 위험도 지수, 원격 제어명령(C0026#C) 위험도 지수, 프로토콜 인코딩 및 침입탐지 위험도 지수 및 악성코드 유사도 지수로 구분하여 프로토콜의 위험성을 분석하여 침입탐지를 수행하고 악성코드와의 유사도를 분석하는 제 1단계;상기 의심파일에 대한 추가 정보를 수집하고, 상기 의심파일에 대하여 유포 사이트 위험도 지수, 원격 제어명령(C0026#C) 위험도 지수, 프로토콜 인코딩 및 침입탐지 위험도 지수, 악성코드 유사도 지수를 기반으로 분석 우선순위를 결정하고 판단하여 장기 저장 정보로 저장하며, 상기 장기 저장 정보에서 상기 분석 우선순위에 따라 상기 의심파일을 분석하는 제 2단계;신규 악성코드 판단에 따라 상기 장기 저장 정보에서 기존 의심파일 및 의심파일 관련 정보를 추적하여 상기 의심파일을 재분석하고, 유포 의심 사이트 및 원격 제어명령(C0026#C) 의심 사이트를 재분석하는 제 3단계; 및신규 악성코드, 신규 유포 사이트, 신규 원격 제어명령 (C0026#C) 사이트 정보를 업데이트 하고, 악성코드 감염 PC에 대응하는 제 4단계;를 포함하는 것을 특징으로 하는 APT 공격 분석을 위한 의심파일 및 추적정보 수집 방법
|
2 |
2
삭제
|
3 |
3
삭제
|
4 |
4
청구항 1에 있어서,상기 제 2단계에서 상기 장기 저장 정보는, 기존 악성코드와 의심파일 간의 유사도 정보, 의심파일 연관 정보, 악성코드 연관 정보로 구성되는 것을 특징으로 하는 APT 공격 분석을 위한 의심파일 및 추적정보 수집 방법
|
5 |
5
청구항 4에 있어서,상기 기존 악성코드와 의심파일 간의 유사도 정보는, 악성코드별 인덱스와 해당 악성코드와 유사한 의심파일 중 유사도가 높은 의심파일의 파일 해쉬값(의심파일 인덱스)과의 유사도의 리스트로 구성되는 것을 특징으로 하는 APT 공격 분석을 위한 의심파일 및 추적정보 수집 방법
|
6 |
6
청구항 4에 있어서,상기 의심파일 연관 정보는, 수집 의심파일, 파일 해쉬값(의심파일 인덱스), 분석 우선순위와 같은 공통된 정보는 하나로 두고, 각 감염의심 PC를 바탕으로 감염의심 PC IP, 유포 의심 IP/URL, C0026#C 의심 IP/URL 리스트로 구분하여 구성되는 것을 특징으로 하는 APT 공격 분석을 위한 의심파일 및 추적정보 수집 방법
|
7 |
7
청구항 4에 있어서,상기 악성코드 연관 정보는, 악성코드별 인덱스를 기반으로 구성되며, 각 감염의심 PC를 기준으로 유포 IP/URL, C0026#C IP/URL 리스트로 구분되는 것을 특징으로 하는 APT 공격 분석을 위한 의심파일 및 추적정보 수집 방법
|
8 |
8
청구항 1에 있어서,상기 제 3단계는, 분석된 악성파일이 신규 악성파일인 경우, 파일이 유입된 PC를 감염 PC로 판단하고 상기 감염 PC의 IP를 기준으로 상기 장기 저장 정보에서 의심파일을 검색하며, 상기 검색된 의심파일의 분석 우선순위를 변경하는 것을 특징으로 하는 APT 공격 분석을 위한 의심파일 및 추적정보 수집 방법
|
9 |
9
청구항 1에 있어서,상기 제 3단계는,상기 신규 악성코드와 상기 장기 저장 정보에 저장되어 있는 상기 기존 악성코드와의 유사성을 비교하여 상기 기존의 악성코드 중 유사도가 높은 악성코드를 선택하고, 상기 선택된 기존의 악성코드에 대하여 유사도가 높은 의심파일 정보를 추적하여 분석 우선순위를 변경하는 것을 특징으로 하는 APT 공격 분석을 위한 의심파일 및 추적정보 수집 방법
|
10 |
10
청구항 1에 있어서,상기 제 4단계는, 상기 분석된 악성코드가 상기 신규 악성코드 또는 상기 기존의 악성코드 중 어느 하나에 해당하는 경우에도, 상기 유포 의심 사이트 및 상기 원격 제어명령(C0026#C) 의심 사이트를 분석하여 상기 악성코드 유포 사이트 또는 상기 원격 제어명령(C0026#C) 사이트로 등록하는 것을 특징으로 하는 APT 공격 분석을 위한 의심파일 및 추적정보 수집 방법
|