ETRI-Knowledge Sharing Plaform

KOREAN

BROWSE

Titles

Home Titles Technology Transfer
기술이전 검색
Year ~ Transaction Count Keyword

Detail

List

Host behavior based malware anomaly detection technology

Manager
Kim Ik Kyun
Participants
Kim Youngsoo, Kim Ik Kyun, Kim Jeong Nyeo, Jung Tae Kim, Kim Jonghyun, Kim Hyun Joo, Moon Dae Sung, Jong-Hoon Lee, Lee Han Sung, Cho Hyun Sook, Choi Yangseo, Han Min-Ho
Transaction Count
5
Year
2014
Project Code
14MS2300, Cyber targeted attack recognition and trace-back technology based-on long-term historic analysis of multi-source data, Kim Ik Kyun
13PS1100, Cyber targeted attack recognition and trace-back technology based-on long-term historic analysis of multi-source data, Kim Ik Kyun
본 이전 기술은 시그너쳐(signature) 기반 악성코드 탐지 기술의 한계를 극복하기 위해, 호스트에서 발생하는 다양한 행위 이벤트 정보를 수집하고, 수집된 행위정보를 데이터 마이닝 방법에 적용하여 악성코드를 탐지하는 기술에 관한 것임
- 3.20 사이버테러 등 최근 보안 사고들은 점차 규모가 커지고 있으며, 지능형 지속 위협(APT)과 같이 고도화/지능화된 공격이 등장하고 있음
- 방화벽이나 침입방지시스템(IPS), 망분리와 같이 사이버 공격에 대비하기 위한 다양한 보안 솔루션들이 인프라 단에서 구축되고 있음
- 그러나, 최근 많은 보안 위협들이 악성코드를 활용하고 있는 만큼, 사용자 PC를 보호하기 위한 Endpoint 단에서의 보안 대책이 필요함
- 호스트 PC에서 악성코드를 탐지하는 기존의 컴퓨터 바이러스 백신의 경우, 이미 알려진 악성코드의 시그너쳐를 기반으로 탐지하여 신종/변종 악성코드 대응에 한계가 있음
- 시그너쳐를 사용하지 않고 악성코드의 행위를 분석하여 탐지하는 비정상 행위 탐지 기술은 기술적인 성숙도가 낮아 상용화 제품에 적용되지 못함
- 본 기술은 과거 시그너쳐 기반 악성코드 탐지기술의 한계점인 신종/변종 악성코드 대응이 가능한 기술로써, 호스트에서 실행중인 프로세스의 행위정보를 바탕으로 정상파일과 악성파일을 구분하는 기술임. 또한 본 기술은 높은 악성코드 탐지 성능을 보임으로써 기술적인 성숙도가 높음
- 본 기술은 제로데이 악성코드 등 신종/변종 악성코드 탐지가 가능한 Signature-less 호스트 이상행위 탐지 엔진임

- 악성/정상 행위를 구분하기 위한 40종 이상의 호스트 행위정보 정의하고 API 후킹을 통해 호스트에서 실행되는 프로세스의 행위정보를 실시간으로 수집함

- 수집된 프로세스 행위정보는 프로세스의 행위패턴을 표현할 수 있는 특징벡터로 재구성하고, 특징벡터를 데이터 마이닝 기술에 적용하여 악성/정상 행위 분석모델 생성

- 실시간 행위 이벤트 수집 모듈과 비정상 행위 탐지 모듈의 통합을 통한 호스트 이상행위 탐지 엔진 제공

- 악성코드 동적 분석을 위한 가상머신 환경에서 동작 가능한 비정상행위 탐지 엔진 제공

- 또한, 본 이전 기술은 주어진 실행파일에 대한 악성여부를 판단하는 기술을 포함하고 있는데, 기존 기술로 대응하기 힘든 알려지지 않은 악성프로그램을 탐지할 수 있는 장점을 가지고 있으며, 각 기술은 상용화에 초점을 맞추어 정상파일에 대한 오탐과 악성파일에 대한 미탐을 최소화하여 개발되었다는 장점을 가지고 있음
- 본 기술은 시그너쳐 기반 악성코드 탐지 기술의 한계를 극복하기 위해, 호스트에서 발생하는 다양한 행위 이벤트 정보를 데이터 마이닝 방법에 적용하여 악성코드를 탐지하는 기술로써, 알려지지 않은 신종/변종 악성코드를 탐지할 수 있는 기술임


A. 기술명 : 호스트 프로세스 행위정보 수집 기술
- 호스트에서 실행되는 모든 프로세스의 행위정보를 API 후킹에 의해 실시간 수집
- 40종 이상의 특성인자 수집

B. 기술명 : 호스트 행위기반 악성코드 분석 기술
- 데이터 마이닝 기반 악성코드 탐지
- 프로세스의 행위패턴을 표현할 수 있는 특징벡터로 재구성
A. 기술명 : 호스트 프로세스 행위정보 수집 기술
- 소스코드: 호스트 프로세스 행위정보 수집 프로그램
- 문서: 시스템 설계서, 개발문서, 기술문서

B. 기술명 : 호스트 행위기반 악성코드 분석 기술
- 소스코드: 데이터 마이닝 기반 악성코드 탐지 프로그램
- 문서: 시스템 설계서, 개발문서, 기술문서
- 특허
- 본 기술은 아래와 같은 분야에 적용될 수 있음

. 컴퓨터바이러스 백신 : 제로데이 악성코드 탐지, 행위정보 수집, 비정상행위 탐지 모듈
. 침입탐지 시스템 : 호스트 기반 침입탐지 모듈, 샌드박스 기반 탐지 모듈
. PC 보안 : 비정상 프로세스 탐지 모듈
. 통합보안관제 : 호스트 기반 침입탐지 모듈
. SIEM : 호스트 기반 빅데이터 로그 분석 모듈

- 바이러스 백신의 국내 시장은 국내 기업이 주도하고 있으나, 국내 기업의 세계시장 점유율은 2% 이하임. 기존 제품들의 문제점인 신종/변종 악성코드 탐지 기술의 확보를 통해 세계시장 점유율 향상이 기대됨
- 세계 컴퓨터 바이러스 백신분야의 선도 기업과 차별화된 기술력 확보를 통해 기술 경쟁력 확보 및 기술의존도 감소가 기대됨
- 호스트 PC에서 발생하는 행위 이벤트 데이터를 분석하기 위한 데이터 마이닝 기술의 확보는 보안로그 빅데이터를 분석하는 SIEM 시장으로 사업영역 확대가 기대됨
Copyright Policy Privacy Policy

218 Gajeong-ro, Yuseong-gu, Daejeon, 34129, KOREA, Contact: sh.kim@etri.re.kr

2016 Electronics and Telecommunications Research Institute. All rights reserved.

Please refrain from automatic collection of e-mail addresses posted on this homepage.

제1유형