1 |
1
정상 프로그램에 대한 로그가 저장되어 있는 정상 프로그램 데이터베이스;임의의 시스템에서 특정기간 축적된 로그가 저장되는 검사대상 데이터베이스;상기 정상 프로그램 데이터베이스에 저장된 로그를 기반으로 악성코드 특징 행위 정보를 추출해내는 악성코드 행위 분석기; 및상기 악성코드 특징 행위 정보를 이용하여 상기 검사대상 데이터베이스로부터 변종 악성코드 흔적을 탐지하는 변종 악성코드 탐지기;를 포함하는 로그 기반 변종 악성 코드 탐지 시스템
|
2 |
2
제 1항에 있어서, 상기 악성코드 행위 분석기는 상기 정상 프로그램 데이터베이스로부터 정상 프로그램들이 흔하게 수행하는 행위 정보를 추출하는 흔한 행위 정보 추출기;악성코드를 실제로 실행하여 악성코드의 행위가 기록된 로그를 생성하는 샌드박스;상기 샌드박스로부터 생성된 악성코드의 실행 로그를 분석하여 행위 대상이 있는 행위 유형과, 행위 대상이 없는 행위 유형을 분별하여 정보를 추출하는 로그 분석기; 및상기 악성코드를 다른 프로그램들과 구분할 수 있는 악성코드의 특징 행위 정보를 추출하는 특징 행위 정보 추출기;를 포함하는 로그 기반 변종 악성 코드 탐지 시스템
|
3 |
3
제 2항에 있어서,상기 변종 악성코드 탐지기는상기 특징 행위 정보 추출기로부터 악성코드의 특징 행위 정보를 전달받아, 상기 검사대상 데이터베이스에 악성코드의 특징 행위 정보에 기초한 질의를 수행하여 유사한 기능을 수행하는 프로그램을 식별하는 특징 행위 정보 질의기; 및상기 특징 행위 정보 질의기를 통해 식별된 프로그램들에 대하여 악성코드와 부수적인 행위 발생 여부를 비교하여 오탐을 제거하는 부수적인 행위 비교부;를 포함하는 로그 기반 변종 악성 코드 탐지 시스템
|
4 |
4
제 3항에 있어서,상기 특징 행위 정보 추출기는상기 로그 분석기로부터 전달받은 악성코드의 행위 정보로부터 흔한 행위 정보를 제외시켜 특징 행위 정보를 생성하는 로그 기반 변종 악성 코드 탐지 시스템
|
5 |
5
제 4항에 있어서, 상기 특징 행위 정보 질의기는 전달받은 악성코드의 행위 유형별 특징 행위 정보를 이용해 특징 행위 정보에 1개라도 해당되는 프로그램을 식별하기 위한 질의를 수행하며, 이때 각 행위 유형별로 프로그램들이 식별되고 모든 행위 유형에 해당하는 프로그램만 최종 식별하는 로그 기반 변종 악성 코드 탐지 시스템
|
6 |
6
제 5항에 있어서, 상기 부수적인 행위 비교부는 오탐을 제거하기 위해, 상기 특징 행위 정보 질의기에서 식별된 프로그램의 부수적인 행위 발생 유형과 악성코드의 부수적인 행위 발생 유형을 비교하여 두 프로그램 간의 변종 관계를 판단하는 로그 기반 변종 악성 코드 탐지 시스템
|
7 |
7
제 6항에 있어서, 상기 부수적인 행위 비교부는상기 식별된 프로그램과 악성코드의 부수적인 행위 유형별 발생 여부가 일치하면 변종으로 판정하고 일치하지 않으면 변종이 아닌 것으로 판정하는 로그 기반 변종 악성 코드 탐지 시스템
|
8 |
8
(a) 정상 프로그램 데이터베이스가 정상 프로그램에 대한 로그를 저장하는 단계;(b) 검사대상 데이터베이스가 임의의 시스템에서 특정기간 축적된 로그를 저장하는 단계;(c) 악성코드 행위 분석기가 상기 정상 프로그램 데이터베이스에 저장된 로그를 기반으로 악성코드 특징 행위 정보를 추출하는 단계; 및(d) 변종 악성코드 탐지기가 상기 악성코드 특징 행위 정보를 이용하여 상기 검사대상 데이터베이스로부터 변종 악성코드 흔적을 탐지하는 단계;를 포함하는 로그 기반 변종 악성 코드 탐지 방법
|
9 |
9
제 8항에 있어서, 상기 (c)단계는 (c-1) 상기 흔한 행위 정보 추출기가 정상 프로그램 데이터베이스에 질의를 수행하여 정상 프로그램이 남긴 로그로부터 행위 대상과 이를 대상으로 삼는 프로그램의 빈도 쌍을 추출하여 이를 한 원소로 가지는 행위 대상 빈도 집합을 행위 유형별로 생성하는 단계; (c-2) 상기 흔한 행위 정보 추출기가 행위 대상 빈도 집합내의 원소를 1개 선택하여 해당 원소의 프로그램의 빈도와 임계값을 비교하는 단계; (c-3) 상기 (c-2)단계에서 프로그램의 빈도가 상기 임계값보다 큰 경우 상기 흔한 행위 정보 추출기가 임계값보다 큰 원소를 흔한 행위 대상 집합에 추가하는 단계;(c-4) 상기 (c-2)단계에서 프로그램의 빈도가 상기 임계값보다 작은 경우 상기 흔한 행위 정보 추출기가 행위 대상 집합에 처리할 원소가 남았는 지 확인하는 단계를 수행하고, 남았으면 (c-2)단계 이후의 과정을 반복수행하며, 남아있지 않으면 정상 프로그램의 흔한 행위 정보를 추출하는 단계를 종료하는 단계;(c-5) 상기 샌드박스가 악성코드를 실제로 실행하여 악성코드의 행위가 기록된 로그 파일을 생성하는 단계;(c-6) 상기 악성코드 행위 분석기의 로그분석기가 상기 로그 파일을 분석하여, 행위 대상이 있는 행위 유형과 행위 대상이 없는 행위 유형으로 분류하는 단계;(c-7) 상기 로그분석기가 행위 대상이 없는 행위 유형의 경우 행위 유형의 명칭에 대한 정보만 추출한 후 상기 부수적인 행위 비교부로 전달하고, 행위 대상이 있는 행위 유형의 경우 행위 유형과, 행위 대상에 대한 정보를 추출하여 악성코드의 행위 유형별 행위 대상 집합에 추가하는 단계; 및(c-8) 상기 특징 행위 정보 추출기가 상기 악성코드의 행위 대상 집합의 원소들 중 상기 흔한 행위 대상 집합에 있는 원소를 제외하고, 남은 원소들로 특징 행위 대상 집합을 생성하는 단계;를 포함하는 로그 기반 변종 악성 코드 탐지 방법
|
10 |
10
제 8항에 있어서,상기 (d)단계는 (d-1) 상기 특징 행위 정보 질의기가 악성코드의 행위 유형별 특징 행위 대상 집합을 이용해 집합 내의 원소 중 1개라도 행위의 대상으로 삼는 프로그램을 조회하는 질의문를 행위 유형별로 구성하는 단계; (d-2) 상기 특징 행위 정보 질의기가 모든 행위 유형에 조회되는 프로그램만 변종 의심 프로그램으로 식별하는 단계;(d-3) 상기 부수적인 행위 비교부가 상기 검사대상 프로그램 데이터베이스(200)에 식별된 프로그램의 명칭을 이용한 질의를 수행하여 부수적인 행위를 수집하는 단계;(d-4) 상기 부수적인 행위 비교부가 식별된 프로그램 중 하나를 선택하여 상기 로그 분석기로부터 전달받은 악성코드의 부수적 행위와 비교하는 단계;(d-5) 상기 부수적인 행위 비교부가 부수적 행위 유형에 대하여 악성코드와 식별된 프로그램이 발생시킨 행위 유형이 일치할 경우 변종으로 판정하고 일치하지 않을 경우 변종이 아닌 것으로 판정하는 단계; 및(d-6) 상기 부수적인 행위 비교부가 변종 관계를 판단한 후, 처리할 프로그램이 남았는지 확인하여, 처리할 프로그램이 없으면 변종 악성코드 흔적 탐지를 종료 하는 단계;를 포함하는 로그 기반 변종 악성 코드 탐지 방법
|