ETRI-Knowledge Sharing Plaform

ENGLISH

BROWSE

성과물

Home 성과물 기술이전
기술이전 검색
연도 ~ 이전수 키워드

상세정보

목록

악성코드 비정상 행위 동적 분석 및 시각화 기술

전수책임자
김익균
참여자
김영수, 김익균, 김정녀, 김정태, 김종현, 김현주, 문대성, 이종훈, 이한성, 조현숙, 최양서, 한민호
기술이전수
3
이전연도
2015
협약과제
14MS2300, 다중소스 데이터의 Long-term History 분석기반 사이버 표적공격 인지 및 추적기술 개발, 김익균
15MS9700, 다중소스 데이터의 Long-term History 분석기반 사이버 표적공격 인지 및 추적기술 개발, 김익균
본 이전 기술은 악성코드 비정상 행위 동적 분석 및 시각화 기술에 관한 것으로, 호스트에서 발생하는 다양한 행위 이벤트 정보를 수집하는 기술, 수집된 행위정보를 데이터 마이닝 방법을 적용하여 악성코드를 탐지하는 기술, 수집된 행위정보의 시퀀스를 이용한 행위 패턴 기반의 악성코드 행위분석 및 시각화 기술로 구성됨
- 3.20 사이버테러 등 최근 보안 사고들은 점차 규모가 커지고 있으며, 지능형 지속 위협(APT)과 같이 고도화/지능화된 공격이 등장하고 있음
- 방화벽이나 침입방지시스템(IPS), 망분리와 같이 사이버 공격에 대비하기 위한 다양한 보안 솔루션들이 인프라 단에서 구축되고 있음
- 그러나, 최근 많은 보안 위협들이 악성코드를 활용하고 있는 만큼, 사용자 PC를 보호하기 위한 Endpoint 단에서의 보안 대책이 필요함
- 호스트 PC에서 악성코드를 탐지하는 기존의 컴퓨터 바이러스 백신의 경우, 이미 알려진 악성코드의 시그너쳐를 기반으로 탐지하여 신종/변종 악성코드 대응에 한계가 있음
- 시그너쳐를 사용하지 않고 악성코드의 행위를 분석하여 탐지하는 비정상 행위 탐지 기술은 기술적인 성숙도가 낮아 상용화 제품에 적용되지 못함
- 본 기술은 과거 시그너쳐 기반 악성코드 탐지기술의 한계점인 신종/변종 악성코드 대응이 가능한 기술로써, 호스트에서 실행중인 프로세스의 행위정보를 바탕으로 정상파일과 악성파일을 구분하는 기술임. 또한 본 기술은 높은 악성코드 탐지 성능을 보임으로써 기술적인 성숙도가 높음
- 본 기술은 제로데이 악성코드 등 신종/변종 악성코드 탐지가 가능한 Signature-less 호스트 이상행위 탐지 엔진임
- 실시간 행위 이벤트 수집 모듈과 비정상 행위 탐지 모듈의 통합을 통한 호스트 이상행위 탐지
- 수집된 프로세스 행위정보는 프로세스의 행위패턴을 표현할 수 있는 특징벡터로 재구성하고, 특징벡터를 데이터 마이닝 기술에 적용하여 악성/정상 행위 분석모델 생성
- 악성코드 그룹별 행위 패턴과 프로세스 행위 시퀀스와의 유사도를 통한 비정상 행위 탐지 엔진 및 시각화 기술 제공
- 본 기술은 시그너쳐 기반 악성코드 탐지 기술의 한계를 극복하기 위해, 호스트에서 발생하는 다양한 행위 이벤트 정보를 수집하는 기술, 수집된 행위정보를 데이터 마이닝 방법을 적용하여 악성코드를 탐지하는 기술과 수집된 행위정보의 시퀀스를 이용한 행위 패턴 기반의 악성코드 행위분석 및 시각화 기술로 구성됨

A. 기술명 : 호스트 프로세스 행위정보 수집 기술
- 호스트에서 실행되는 모든 프로세스의 행위정보를 API 후킹에 의해 실시간 수집
- 40종 이상의 특성인자 수집

B. 기술명 : 호스트 행위기반 악성코드 분석 기술
- 데이터 마이닝 기반 악성코드 탐지
- 프로세스의 행위패턴을 표현할 수 있는 특징벡터로 재구성

C. 기술명 : 사이버게놈 기반 악성코드 행위 분석 및 시각화 기술
- 악성코드 그룹별 고유 행위 패턴(사이버게놈) 생성 및 분류
- 사이버게놈 기반의 시퀀스 유사도를 통한 악성코드 탐지
- 프로세스 행위 특성인자 및 비정상 행위 분석 결과 시각화
A. 기술명 : 호스트 프로세스 행위정보 수집 기술
- 소스코드: 호스트 프로세스 행위정보 수집 프로그램
- 문서: 시스템 설계서, 개발문서, 기술문서

B. 기술명 : 호스트 행위기반 악성코드 분석 기술
- 소스코드: 데이터 마이닝 기반 악성코드 탐지 프로그램
- 문서: 시스템 설계서, 개발문서, 기술문서
- 특허

C. 기술명 : 사이버게놈 기반 악성코드 행위 분석 및 시각화 기술
- 소스코드: 사이버게놈 기반 비정상 행위 분석 및 시각화 프로그램
- 문서: 시스템 설계서, 개발문서, 기술문서
- 특허
- 본 기술은 아래와 같은 분야에 적용될 수 있음

. 컴퓨터바이러스 백신 : 제로데이 악성코드 탐지, 행위정보 수집, 비정상행위 탐지 모듈
. 침입탐지 시스템 : 호스트 기반 침입탐지 모듈, 샌드박스 기반 탐지 모듈
. PC 보안 : 비정상 프로세스 탐지 모듈
. 통합보안관제 : 호스트 기반 침입탐지 모듈
. SIEM : 호스트 기반 빅데이터 로그 분석 모듈

- 바이러스 백신의 국내 시장은 국내 기업이 주도하고 있으나, 국내 기업의 세계시장 점유율은 2% 이하임. 기존 제품들의 문제점인 신종/변종 악성코드 탐지 기술의 확보를 통해 세계시장 점유율 향상이 기대됨
- 세계 컴퓨터 바이러스 백신분야의 선도 기업과 차별화된 기술력 확보를 통해 기술 경쟁력 확보 및 기술의존도 감소가 기대됨
- 호스트 PC에서 발생하는 행위 이벤트 데이터를 분석하기 위한 데이터 마이닝 기술의 확보는 보안로그 빅데이터를 분석하는 SIEM 시장으로 사업영역 확대가 기대됨
저작권정책

(34129) 대전광역시 유성구 가정로 218, ETRI 대표 문의처: TEL 1466-38(6자리) / KSP 오류, 불편접수: TEL 042-860-6981

2016 Electronics and Telecommunications Research Institute. All rights reserved.

본 홈페이지는 게시된 이메일 주소가 자동수집되는 것을 거부하며, 이를 위반시 정보통신망법에 의해 처벌됨을 유념하시기 바랍니다.

제1유형