1 |
1
배양 에이젼트를 감염시켜 악성코드를 배양하고 분석하는 배양 기반 악성코드 분석시스템에 있어서,망을 통해 배양 에이젼트들을 제어하고, 배양 에이젼트들의 악성코드 분석현황과 결과를 관리하는 분석관리 서버(400)와; 적어도 하나 이상의 악성코드들을 풀(Pool)로 구성하고, 배양분석을 위해 상기 풀 내의 각 악성코드에 대한 MD5를 산출하고 조회하여 분석대상 악성코드가 신규 악성코드인지를 판정하고, 각 악성코드의 실행에 의해 생성된 파일들의 리스트를 생성하고 그 리스트 파일의 MD5를 산출하고 조회하여 분석대상 악성코드가 업데이트된 것인지 여부를 판정하는 적어도 하나의 배양 에이젼트(300)와;상기 적어도 하나의 배양분석 에이젼트(300)로부터 외부로 나갈 수 있는 악성 트래픽을 차단하기 위해, 네트워크의 트래픽 대역을 제한하는 라우터(100)를 포함하여 구성되는 것을 특징으로 하는 배양 기반 악성코드 분석시스템
|
2 |
2
제1항에 있어서, 상기 라우터(100)는 네트워크의 트래픽 대역을 56Kbps 이하 또는 60PPS 이하로 제한하는 것을 특징으로 하는 배양 기반 악성코드 분석시스템
|
3 |
3
제1항에 있어서, 상기 풀 내의 각 악성코드에 대한 MD5를 산출하기에 앞서, 상기 적어도 하나의 배양 에이젼트(300)는적어도 하나 이상의 악성코드들을 풀(Pool)로 구성하는 과정과; 배양분석을 위해 상기 풀 내의 각 악성코드에 시간을 나누어 할당하는 과정과; 상기 할당된 시간이 도래하여 악성코드에 대한 분석이 시작되면, 우선 해당 악성코드 파일에 대한 MD5를 산출하는 과정을 수행하는 것을 특징으로 하는 배양 기반 악성코드 분석시스템
|
4 |
4
제1항에 있어서, 상기 적어도 하나의 배양 에이젼트(300)는배양분석을 위해 상기 풀 내의 각 악성코드 파일에 대한 MD5를 산출하고 조회하여, 분석대상 악성코드가 기존에 분석했던 파일인지 여부를 체크하고,상기 악성코드가 기존에 분석했던 파일이 아닌 경우 신규 악성코드로 분류하고 해당 악성코드를 실행하고, 상기 악성코드 실행에 의해 생성된 파일들을 모니터하고 분석한 결과를 저장하고, 상기 악성코드의 네트워크 이벤트를 모니터하고 분석한 결과를 저장하고, 상기 악성코드 실행에 의해 생성된 파일들의 리스트를 생성하고, 그 리스트 파일의 MD5를 산출하고, 기존의 MD5들을 조회하여, 상기 산출된 리스트 파일의 MD5가 검출되지 않으면 해당 악성코드가 업데이트된 것으로 판정하고, 만일, 상기 산출된 리스트 파일의 MD5가 검출되면 해당 악성코드의 네트워크 접속시도가 있었는지 여부를 체크하고, 상기 네트워크 접속시도가 처음인 경우 해당 악성코드가 업데이트된 것으로 판정하고 처음이 아닌 경우 해당 악성코드의 분석을 종료하는 것을 특징으로 하는 배양 기반 악성코드 분석시스템
|
5 |
5
제1항에 있어서, 상기 적어도 하나의 배양 에이젼트(300)는 시간 흐름(Time line)에 따른 라운드 로빈방식으로 상기 풀(Pool)내 악성코드 분석을 수행하는 것을 특징으로 하는 배양 기반 악성코드 분석시스템
|
6 |
6
제1항에 있어서, 상기 분석관리 서버(400)는 셧다운된 배양분석 에이젼트(300)가 발생하면, 해당 배양분석 에이젼트 (300)가 네트워크 부팅을 수행하도록 소정의 웨이크업 신호를 전송하는 것을 특징으로 하는 배양 기반 악성코드 분석시스템
|
7 |
7
제6항에 있어서, 상기 분석관리 서버(400)는 각 배양분석 에이젼트(300)들의 OS(Operating System) 이미지를 저장해 두었다가, 상기 네트워크 부팅을 수행 중인 에이젼트(300) 측에 해당 OS이미지를 제공하는 것을 특징으로 하는 배양 기반 악성코드 분석시스템
|
8 |
8
분석관리 서버(400)의 제어 하에 악성코드를 배양하고 분석하는 배양 에이젼트(300)의 악성코드 업데이트 여부분석 방법에 있어서,악성코드 파일에 대한 MD5를 산출하고 조회하여, 분석대상 악성코드가 기존에 분석했던 파일인지 여부를 체크하는 과정과;상기 악성코드가 기존에 분석했던 파일이 아닌 경우 신규 악성코드로 분류하고 해당 악성코드를 실행하는 과정과;상기 악성코드 실행에 의해 생성된 파일들을 모니터하고 분석한 결과를 저장하는 과정과;상기 악성코드의 네트워크 이벤트를 모니터하고 분석한 결과를 저장하는 과정과; 상기 악성코드 실행에 의해 생성된 파일들의 리스트를 생성하고, 그 리스트 파일의 MD5를 산출하는 과정과; 기존의 MD5들을 조회하여, 상기 산출된 리스트 파일의 MD5가 검출되지 않으면 해당 악성코드가 업데이트된 것으로 판정하는 과정과; 만일, 상기 산출된 리스트 파일의 MD5가 검출되면 해당 악성코드의 네트워크 접속시도가 있었는지 여부를 체크하는 과정과; 상기 네트워크 접속시도가 처음인 경우 해당 악성코드가 업데이트된 것으로 판정하고 처음이 아닌 경우 해당 악성코드의 분석을 종료하는 과정을 포함하여 이루어지는 것을 특징으로 하는 배양 에이젼트의 악성코드 업데이트 여부분석 방법
|
9 |
9
제8항에 있어서, 상기 악성코드 파일에 대한 MD5를 산출하는 과정은,적어도 하나 이상의 악성코드들을 풀(Pool)로 구성하는 과정과; 배양분석을 위해 상기 풀 내의 각 악성코드에 시간을 나누어 할당하는 과정과; 상기 할당된 시간이 도래하여, 악성코드에 대한 분석이 시작되면 우선 해당 악성코드 파일에 대한 MD5를 산출하는 과정을 포함하여 이루어지는 것을 특징으로 하는 배양 에이젼트의 악성코드 업데이트 여부분석 방법
|