1 |
1
시스템 상에서 프로세스가 실행되는 동안 상기 프로세스로부터 수집한 데이터에 근거하여 시스템 자원별로 발생한 행위를 분석하는 행위 분석부;상기 시스템 자원별 행위를 기반으로 생성된 좌표 상에 각 시스템 자원별 행위 분석 결과를 모델링 하여 상기 시스템의 자원들에 대응하는 프로세스 행위 모델을 생성하는 행위 모델링부;상기 시스템 자원별 행위를 기반으로 생성된 좌표 상에 구현된 프로세스 행위 모델의 형태에 따라 해당 프로세스의 의심행위를 판별하는 의심행위 판별부; 및상기 의심행위 판별부의 판별 결과에 따라 의심행위가 발생한 프로세스를 이상행위 프로세스로 탐지하는 프로세스 탐지부를 포함하고,상기 시스템 자원은,파일 시스템, 프로세스, 레지스트리 및 네트워크를 포함하고,상기 시스템 자원별 행위를 기반으로 생성된 좌표는,파일 시스템, 프로세스, 레지스트리 및 네트워크와 관련된 행위에 각각 대응하는 네 개의 좌표축이 중심점에서 서로 만나는 형태로 구현되고,상기 의심행위 판별부는상기 네 개의 좌표축 사이에 상기 파일 시스템, 프로세스, 레지스트리 및 네트워크와 관련된 행위에 각각 대응하는 행위 영역들 중 의심행위가 발생한 행위 영역의 개수에 따라 위험도에 대한 가중치를 부여하고, 상기 프로세스 행위 모델의 꼭지점 개수 및 거리에 근거하여 상기 프로세스 행위 모델의 면적의 넓이에 따라 위험도를 판단하는 이상 행위 탐지 장치
|
2 |
2
청구항 1에 있어서,상기 행위 분석부는,상기 시스템 자원별로 발생하는 행위에 대한 비율, 빈도 및 연관성 중 적어도 하나를 분석하는 것을 특징으로 하는 이상행위 탐지 장치
|
3 |
3
삭제
|
4 |
4
삭제
|
5 |
5
청구항 1에 있어서,상기 행위 모델링부는,상기 각 시스템 자원별 행위 분석 결과를 상기 네 개의 좌표축 상에 각각 표시하고, 상기 네 개의 좌표축 상에 표시된 지점을 꼭지점으로 하는 사각형 형태의 프로세스 모델을 생성하는 것을 특징으로 하는 이상행위 탐지 장치
|
6 |
6
청구항 1에 있어서,상기 시스템 자원의 행위를 기반으로 생성된 좌표는,파일 시스템, 프로세스, 레지스트리 및 네트워크와 관련된 단일 행위에 각각 대응하는 네 개의 좌표축과, 파일, 프로세스, 레지스트리 및 네트워크 중 적어도 두 개의 시스템 자원과 연관된 복합 행위에 대응하는 좌표축이 중심점에서 서로 만나는 형태로 구현된 것을 특징으로 하는 이상행위 탐지 장치
|
7 |
7
청구항 6에 있어서,상기 행위 모델링부는,상기 프로세스에 의해 적어도 두 개의 시스템 자원과 연관된 행위가 발생한 경우, 상기 적어도 두 개의 자원과 연관된 각 행위의 비율, 빈도 및 연관성 중 적어도 하나에 근거하여 상기 시스템 자원의 행위를 기반으로 생성된 좌표 상에서 상기 복합 행위에 대응하는 좌표축의 위치를 정의하는 것을 특징으로 하는 이상행위 탐지 장치
|
8 |
8
청구항 6에 있어서,상기 행위 모델링부는,상기 프로세스에 의해 적어도 두 개의 자원과 연관된 행위가 발생한 경우, 상기 각 시스템 자원별 행위 분석 결과를 상기 시스템 자원별 행위를 기반으로 생성된 좌표 상에 구현된 좌표축에 각각 표시하고, 상기 각 좌표축에 표시된 지점을 꼭지점으로 하는 다각형 형태의 프로세스 모델을 생성하는 것을 특징으로 하는 이상행위 탐지 장치
|
9 |
9
청구항 1에 있어서,상기 의심행위 판별부는악성코드에 대한 의심행위를 프로파일링 한 결과에 근거하여 상기 프로세스에 대한 의심행위를 판별하는 것을 특징으로 하는 이상행위 탐지 장치
|
10 |
10
청구항 9에 있어서,상기 의심행위 판별부는,상기 악성코드의 의심행위를 프로파일링 한 결과로부터 상기 프로세스에서 발생한 각 시스템 자원별 행위의 위험도를 분석하여 상기 프로세스에 대한 의심행위를 판별하는 것을 특징으로 하는 이상행위 탐지 장치
|
11 |
11
삭제
|
12 |
12
이상행위 탐지 장치의 이상행위 탐지 방법에 있어서,행위 분석부가, 시스템 상에서 프로세스가 실행되는 동안 상기 프로세스로부터 수집한 데이터에 근거하여 시스템 자원별로 발생한 행위를 분석하는 단계;행위 모델링부가, 상기 시스템 자원별 행위를 기반으로 생성된 좌표 상에 각 시스템 자원별 행위 분석 결과를 모델링 하여 상기 시스템의 자원들에 대응하는 프로세스 행위 모델을 생성하는 단계;의심행위 판별부가, 상기 시스템 자원별 행위를 기반으로 생성된 좌표 상에 구현된 프로세스 행위 모델의 형태에 따라 해당 프로세스의 의심행위를 판별하는 단계; 및프로세스 탐지부가, 상기 의심행위에 대한 판별 결과에 따라 의심행위가 발생한 프로세스를 이상행위 프로세스로 탐지하는 단계를 포함하고,상기 시스템 자원은,파일 시스템, 프로세스, 레지스트리 및 네트워크를 포함하고,상기 시스템 자원별 행위를 기반으로 생성된 좌표는,파일 시스템, 프로세스, 레지스트리 및 네트워크와 관련된 행위에 각각 대응하는 네 개의 좌표축이 중심점에서 서로 만나는 형태로 구현되고,상기 의심행위를 판별하는 단계는상기 네 개의 좌표축 사이에 상기 파일 시스템, 프로세스, 레지스트리 및 네트워크와 관련된 행위에 각각 대응하는 행위 영역들 중 의심행위가 발생한 행위 영역의 개수에 따라 위험도에 대한 가중치를 부여하고, 상기 프로세스 행위 모델의 꼭지점 개수 및 거리에 근거하여 상기 프로세스 행위 모델의 면적의 넓이에 따라 위험도를 판단하는 것을 특징으로 하는 이상 행위 탐지 방법
|
13 |
13
청구항 12에 있어서,상기 행위를 분석하는 단계는,상기 시스템 자원별로 발생하는 행위에 대한 비율, 빈도 및 연관성 중 적어도 하나를 분석하는 것을 특징으로 하는 이상행위 탐지 방법
|
14 |
14
청구항 12에 있어서,상기 행위 모델을 생성하는 단계는,각 시스템 자원별 행위 분석 결과를 파일, 프로세스, 레지스트리 및 네트워크와 관련된 행위에 각각 대응하는 네 개의 좌표축이 중심점에서 서로 만나는 좌표 상에 표시하는 단계; 및상기 네 개의 좌표축 상에 표시된 지점을 꼭지점으로 하는 사각형 형태의 프로세스 모델을 생성하는 단계를 포함하는 것을 특징으로 하는 이상행위 탐지 방법
|
15 |
15
청구항 12에 있어서,상기 행위 모델을 생성하는 단계는,각 시스템 자원별 행위 분석 결과를 파일 시스템, 프로세스, 레지스트리 및 네트워크와 관련된 행위에 각각 대응하는 네 개의 좌표축과, 파일 시스템, 프로세스, 레지스트리 및 네트워크 중 적어도 두 개의 시스템 자원과 연관된 행위에 대응하는 좌표축이 중심점에서 서로 만나는 좌표 상에 표시하는 단계; 및상기 좌표 상에 구현된 각 좌표축 상에 표시된 지점을 꼭지점으로 하는 다각형 형태의 프로세스 모델을 생성하는 단계를 포함하는 것을 특징으로 하는 이상행위 탐지 방법
|
16 |
16
청구항 15에 있어서,상기 행위 모델을 생성하는 단계는,상기 프로세스에 의해 적어도 두 개의 자원과 연관된 행위가 발생한 경우, 상기 적어도 두 개의 자원과 연관된 행위의 비율, 빈도 및 연관성 중 적어도 하나에 근거하여 상기 좌표 상에서 상기 적어도 두 개의 시스템 자원과 연관된 좌표축의 위치를 정의하는 것을 특징으로 하는 이상행위 탐지 방법
|
17 |
17
청구항 12에 있어서,상기 의심행위를 판별하는 단계는,악성코드에 대한 의심행위를 프로파일링 한 결과로부터 상기 프로세스에서 발생한 각 시스템 자원별 행위의 위험도를 분석하여 상기 프로세스에 대한 의심행위를 판별하는 것을 특징으로 하는 이상행위 탐지 방법
|
18 |
18
삭제
|