ETRI-Knowledge Sharing Plaform

ENGLISH

BROWSE

성과물

Home 성과물 기술이전
기술이전 검색
연도 ~ 이전수 키워드

상세정보

목록

호스트 행위기반 악성코드 탐지 기술

전수책임자
김익균
참여자
김영수, 김익균, 김정녀, 김정태, 김종현, 김현주, 문대성, 이종훈, 이한성, 조현숙, 최양서, 한민호
기술이전수
5
이전연도
2014
협약과제
13PS1100, 다중소스 데이터의 Long-term History 분석기반 사이버 표적공격 인지 및 추적기술 개발, 김익균
14MS2300, 다중소스 데이터의 Long-term History 분석기반 사이버 표적공격 인지 및 추적기술 개발, 김익균
본 이전 기술은 시그너쳐(signature) 기반 악성코드 탐지 기술의 한계를 극복하기 위해, 호스트에서 발생하는 다양한 행위 이벤트 정보를 수집하고, 수집된 행위정보를 데이터 마이닝 방법에 적용하여 악성코드를 탐지하는 기술에 관한 것임
- 3.20 사이버테러 등 최근 보안 사고들은 점차 규모가 커지고 있으며, 지능형 지속 위협(APT)과 같이 고도화/지능화된 공격이 등장하고 있음
- 방화벽이나 침입방지시스템(IPS), 망분리와 같이 사이버 공격에 대비하기 위한 다양한 보안 솔루션들이 인프라 단에서 구축되고 있음
- 그러나, 최근 많은 보안 위협들이 악성코드를 활용하고 있는 만큼, 사용자 PC를 보호하기 위한 Endpoint 단에서의 보안 대책이 필요함
- 호스트 PC에서 악성코드를 탐지하는 기존의 컴퓨터 바이러스 백신의 경우, 이미 알려진 악성코드의 시그너쳐를 기반으로 탐지하여 신종/변종 악성코드 대응에 한계가 있음
- 시그너쳐를 사용하지 않고 악성코드의 행위를 분석하여 탐지하는 비정상 행위 탐지 기술은 기술적인 성숙도가 낮아 상용화 제품에 적용되지 못함
- 본 기술은 과거 시그너쳐 기반 악성코드 탐지기술의 한계점인 신종/변종 악성코드 대응이 가능한 기술로써, 호스트에서 실행중인 프로세스의 행위정보를 바탕으로 정상파일과 악성파일을 구분하는 기술임. 또한 본 기술은 높은 악성코드 탐지 성능을 보임으로써 기술적인 성숙도가 높음
- 본 기술은 제로데이 악성코드 등 신종/변종 악성코드 탐지가 가능한 Signature-less 호스트 이상행위 탐지 엔진임

- 악성/정상 행위를 구분하기 위한 40종 이상의 호스트 행위정보 정의하고 API 후킹을 통해 호스트에서 실행되는 프로세스의 행위정보를 실시간으로 수집함

- 수집된 프로세스 행위정보는 프로세스의 행위패턴을 표현할 수 있는 특징벡터로 재구성하고, 특징벡터를 데이터 마이닝 기술에 적용하여 악성/정상 행위 분석모델 생성

- 실시간 행위 이벤트 수집 모듈과 비정상 행위 탐지 모듈의 통합을 통한 호스트 이상행위 탐지 엔진 제공

- 악성코드 동적 분석을 위한 가상머신 환경에서 동작 가능한 비정상행위 탐지 엔진 제공

- 또한, 본 이전 기술은 주어진 실행파일에 대한 악성여부를 판단하는 기술을 포함하고 있는데, 기존 기술로 대응하기 힘든 알려지지 않은 악성프로그램을 탐지할 수 있는 장점을 가지고 있으며, 각 기술은 상용화에 초점을 맞추어 정상파일에 대한 오탐과 악성파일에 대한 미탐을 최소화하여 개발되었다는 장점을 가지고 있음
- 본 기술은 시그너쳐 기반 악성코드 탐지 기술의 한계를 극복하기 위해, 호스트에서 발생하는 다양한 행위 이벤트 정보를 데이터 마이닝 방법에 적용하여 악성코드를 탐지하는 기술로써, 알려지지 않은 신종/변종 악성코드를 탐지할 수 있는 기술임


A. 기술명 : 호스트 프로세스 행위정보 수집 기술
- 호스트에서 실행되는 모든 프로세스의 행위정보를 API 후킹에 의해 실시간 수집
- 40종 이상의 특성인자 수집

B. 기술명 : 호스트 행위기반 악성코드 분석 기술
- 데이터 마이닝 기반 악성코드 탐지
- 프로세스의 행위패턴을 표현할 수 있는 특징벡터로 재구성
A. 기술명 : 호스트 프로세스 행위정보 수집 기술
- 소스코드: 호스트 프로세스 행위정보 수집 프로그램
- 문서: 시스템 설계서, 개발문서, 기술문서

B. 기술명 : 호스트 행위기반 악성코드 분석 기술
- 소스코드: 데이터 마이닝 기반 악성코드 탐지 프로그램
- 문서: 시스템 설계서, 개발문서, 기술문서
- 특허
- 본 기술은 아래와 같은 분야에 적용될 수 있음

. 컴퓨터바이러스 백신 : 제로데이 악성코드 탐지, 행위정보 수집, 비정상행위 탐지 모듈
. 침입탐지 시스템 : 호스트 기반 침입탐지 모듈, 샌드박스 기반 탐지 모듈
. PC 보안 : 비정상 프로세스 탐지 모듈
. 통합보안관제 : 호스트 기반 침입탐지 모듈
. SIEM : 호스트 기반 빅데이터 로그 분석 모듈

- 바이러스 백신의 국내 시장은 국내 기업이 주도하고 있으나, 국내 기업의 세계시장 점유율은 2% 이하임. 기존 제품들의 문제점인 신종/변종 악성코드 탐지 기술의 확보를 통해 세계시장 점유율 향상이 기대됨
- 세계 컴퓨터 바이러스 백신분야의 선도 기업과 차별화된 기술력 확보를 통해 기술 경쟁력 확보 및 기술의존도 감소가 기대됨
- 호스트 PC에서 발생하는 행위 이벤트 데이터를 분석하기 위한 데이터 마이닝 기술의 확보는 보안로그 빅데이터를 분석하는 SIEM 시장으로 사업영역 확대가 기대됨
저작권정책

(34129) 대전광역시 유성구 가정로 218, ETRI 대표 문의처: TEL 1466-38(6자리) / KSP 오류, 불편접수: TEL 042-860-6981

2016 Electronics and Telecommunications Research Institute. All rights reserved.

본 홈페이지는 게시된 이메일 주소가 자동수집되는 것을 거부하며, 이를 위반시 정보통신망법에 의해 처벌됨을 유념하시기 바랍니다.

제1유형