1 |
1
(a) 샌드 박스 모듈에 파일의 입력이 이루어짐에 따라 정보를 수집하는 단계;(b) 제 1 침해지표 생성 모듈이 수집된 정보를 이용하여 샌드 박스 환경에서 공통 침해지표들을 생성하는 단계;(c) 제 2 침해지표 생성 모듈이 침해 사고 의심 시스템으로부터 수집된 파일 정보를 토대로 랜덤 침해 지표를 생성하는 단계;(d) 침해 사고 여부 확인 모듈이 상기 공통 침해지표와 랜덤 침해지표를 매칭하고 상기 매칭 결과에 따라 가중치를 연산하는 단계; 및(e) 상기 침해 사고 여부 확인 모듈이 상기 가중치를 이용하여 최종 침해지표를 생성하는 단계;를 포함하며,상기 샌드 박스 모듈을 통해 수집되는 정보는 파일의 세부정보 분석, 정적 분석, 행위 분석, 네트워크 분석, 추가적으로 동적 분석 중 생성되는 파일 정보를 포함하며,상기 파일의 세부 정보 분석은 파일 해쉬를 이용하여 파일 이름, 파일 사이즈 및 PE(Portable Executable) 컴파일 시간의 AND 논리 조합으로 공통 침해지표들을 구성하며,상기 정적 분석은 PE(Portable Executable) 버전 정보 추출, 섹션 리스트 정보 추출, 및 리소스 정보 추출을 통해 인터널 이름, 파일버전, 제품이름, 오리지널 파일 이름, 섹션이름, 가상 사이즈, 로(raw) 사이즈, 엔트로피, 이름, 오프셋, 사이즈, 서브-언어의 AND 논리 조합으로 공통 침해지표들을 구성하는 것을 특징으로 하는 효율적인 침해사고 대응을 위한 침해지표 자동 생성 방법
|
2 |
2
제 1 항에 있어서,상기 공통 침해 지표는 침해사고 검출 지표인 제 1 인디케이터를 포함하며, 상기 제 1 인디케이터는 침해지표 실제 내용인 KeyEvidence 및 제 2 인디케이터로 이루어지고, 상기 랜덤 침해 지표는 상기 Key Evidence를 포함하며, 상기 Key Evidence는 침해사고 식별 내용인 콘텐츠(Content) 및 침해지표 설명인 코멘트(Comment)로 이루어지는 것을 특징으로 하는 효율적인 침해사고 대응을 위한 침해지표 자동 생성 방법
|
3 |
3
제 2 항에 있어서,상기 콘텐츠는 식별을 위한 증거 경로와 침해여부 식별값으로 이루어지는 것을 특징으로 하는 효율적인 침해사고 대응을 위한 침해지표 자동 생성 방법
|
4 |
4
제 3 항에 있어서,상기 증거 경로는 간소화 방식을 이용하여 입력되며, 상기 간소화 방식은 Path의 입력된 값인 ‘*/File/Name’로서 와일드 카드 입력을 특징으로 하는 효율적인 침해사고 대응을 위한 침해지표 자동 생성 방법
|
5 |
5
제 1 항에 있어서, 상기 가중치는 침해의심 정도를 수치로 나타낸 0 내지 100 사이의 값을 가지는 것을 특징으로 하는 효율적인 침해사고 대응을 위한 침해지표 자동 생성 방법
|
6 |
6
삭제
|
7 |
7
삭제
|
8 |
8
제 1 항에 있어서,상기 공통 침해지표 및 랜덤 침해지표는 XML(extensible markup language) 포맷인 것을 특징으로 하는 효율적인 침해사고 대응을 위한 침해지표 자동 생성 방법
|
9 |
9
제 2 항에 있어서,상기 인디케이터는 2개의 KeyEvidence가 OR, AND 논리연산으로 묶여 있는 지표인 것을 특징으로 하는 효율적인 침해사고 대응을 위한 침해지표 자동 생성 방법
|
10 |
10
제 1 항에 있어서,상기 공통 침해 지표들은 샌드박스 환경에서 3회 이상 반복되어 테스트 된 후 침해지표를 특정 짓는 것을 특징으로 하는 효율적인 침해사고 대응을 위한 침해지표 자동 생성 방법
|
11 |
11
파일의 입력이 이루어짐에 따라 정보를 수집하는 샌드 박스 모듈;수집된 정보를 이용하여 샌드 박스 환경에서 공통 침해지표들을 생성하는 제 1 침해지표 생성 모듈;침해 사고 의심 시스템으로부터 수집된 파일 정보를 토대로 랜덤 침해 지표를 생성하는 제 2 침해지표 생성 모듈; 및상기 공통 침해지표와 랜덤 침해지표를 매칭하고 상기 매칭 결과에 따라 가중치를 연산하고, 상기 가중치를 이용하여 최종 침해지표를 생성하는 침해 사고 여부 확인 모듈;를 포함하며,상기 샌드 박스 모듈을 통해 수집되는 정보는 파일의 세부정보 분석, 정적 분석, 행위 분석, 네트워크 분석, 추가적으로 동적 분석 중 생성되는 파일 정보를 포함하며,상기 파일의 세부 정보 분석은 파일 해쉬를 이용하여 파일 이름, 파일 사이즈 및 PE(Portable Executable) 컴파일 시간의 AND 논리 조합으로 공통 침해지표들을 구성하며,상기 정적 분석은 PE(Portable Executable) 버전 정보 추출, 섹션 리스트 정보 추출, 및 리소스 정보 추출을 통해 인터널 이름, 파일버전, 제품이름, 오리지널 파일 이름, 섹션이름, 가상 사이즈, 로(raw) 사이즈, 엔트로피, 이름, 오프셋, 사이즈, 서브-언어의 AND 논리 조합으로 공통 침해지표들을 구성하는 것을 특징으로 하는 효율적인 침해사고 대응을 위한 침해지표 자동 생성 시스템
|