ETRI-Knowledge Sharing Plaform

KOREAN
기술이전 검색
Year ~ Transaction Count Keyword

Detail

Malware Abnormal Behavior Dynamic Analysis and Visualization

Manager
Kim Ik Kyun
Participants
Kim Youngsoo, Kim Ik Kyun, Kim Jeong Nyeo, Jung Tae Kim, Kim Jonghyun, Kim Hyun Joo, Moon Dae Sung, Jong-Hoon Lee, Lee Han Sung, Cho Hyun Sook, Choi Yangseo, Han Min-Ho
Transaction Count
3
Year
2015
Project Code
15MS9700, Cyber targeted attack recognition and trace-back technology based-on long-term historic analysis of multi-source data, Kim Ik Kyun
14MS2300, Cyber targeted attack recognition and trace-back technology based-on long-term historic analysis of multi-source data, Kim Ik Kyun
본 이전 기술은 악성코드 비정상 행위 동적 분석 및 시각화 기술에 관한 것으로, 호스트에서 발생하는 다양한 행위 이벤트 정보를 수집하는 기술, 수집된 행위정보를 데이터 마이닝 방법을 적용하여 악성코드를 탐지하는 기술, 수집된 행위정보의 시퀀스를 이용한 행위 패턴 기반의 악성코드 행위분석 및 시각화 기술로 구성됨
- 3.20 사이버테러 등 최근 보안 사고들은 점차 규모가 커지고 있으며, 지능형 지속 위협(APT)과 같이 고도화/지능화된 공격이 등장하고 있음
- 방화벽이나 침입방지시스템(IPS), 망분리와 같이 사이버 공격에 대비하기 위한 다양한 보안 솔루션들이 인프라 단에서 구축되고 있음
- 그러나, 최근 많은 보안 위협들이 악성코드를 활용하고 있는 만큼, 사용자 PC를 보호하기 위한 Endpoint 단에서의 보안 대책이 필요함
- 호스트 PC에서 악성코드를 탐지하는 기존의 컴퓨터 바이러스 백신의 경우, 이미 알려진 악성코드의 시그너쳐를 기반으로 탐지하여 신종/변종 악성코드 대응에 한계가 있음
- 시그너쳐를 사용하지 않고 악성코드의 행위를 분석하여 탐지하는 비정상 행위 탐지 기술은 기술적인 성숙도가 낮아 상용화 제품에 적용되지 못함
- 본 기술은 과거 시그너쳐 기반 악성코드 탐지기술의 한계점인 신종/변종 악성코드 대응이 가능한 기술로써, 호스트에서 실행중인 프로세스의 행위정보를 바탕으로 정상파일과 악성파일을 구분하는 기술임. 또한 본 기술은 높은 악성코드 탐지 성능을 보임으로써 기술적인 성숙도가 높음
- 본 기술은 제로데이 악성코드 등 신종/변종 악성코드 탐지가 가능한 Signature-less 호스트 이상행위 탐지 엔진임
- 실시간 행위 이벤트 수집 모듈과 비정상 행위 탐지 모듈의 통합을 통한 호스트 이상행위 탐지
- 수집된 프로세스 행위정보는 프로세스의 행위패턴을 표현할 수 있는 특징벡터로 재구성하고, 특징벡터를 데이터 마이닝 기술에 적용하여 악성/정상 행위 분석모델 생성
- 악성코드 그룹별 행위 패턴과 프로세스 행위 시퀀스와의 유사도를 통한 비정상 행위 탐지 엔진 및 시각화 기술 제공
- 본 기술은 시그너쳐 기반 악성코드 탐지 기술의 한계를 극복하기 위해, 호스트에서 발생하는 다양한 행위 이벤트 정보를 수집하는 기술, 수집된 행위정보를 데이터 마이닝 방법을 적용하여 악성코드를 탐지하는 기술과 수집된 행위정보의 시퀀스를 이용한 행위 패턴 기반의 악성코드 행위분석 및 시각화 기술로 구성됨

A. 기술명 : 호스트 프로세스 행위정보 수집 기술
- 호스트에서 실행되는 모든 프로세스의 행위정보를 API 후킹에 의해 실시간 수집
- 40종 이상의 특성인자 수집

B. 기술명 : 호스트 행위기반 악성코드 분석 기술
- 데이터 마이닝 기반 악성코드 탐지
- 프로세스의 행위패턴을 표현할 수 있는 특징벡터로 재구성

C. 기술명 : 사이버게놈 기반 악성코드 행위 분석 및 시각화 기술
- 악성코드 그룹별 고유 행위 패턴(사이버게놈) 생성 및 분류
- 사이버게놈 기반의 시퀀스 유사도를 통한 악성코드 탐지
- 프로세스 행위 특성인자 및 비정상 행위 분석 결과 시각화
A. 기술명 : 호스트 프로세스 행위정보 수집 기술
- 소스코드: 호스트 프로세스 행위정보 수집 프로그램
- 문서: 시스템 설계서, 개발문서, 기술문서

B. 기술명 : 호스트 행위기반 악성코드 분석 기술
- 소스코드: 데이터 마이닝 기반 악성코드 탐지 프로그램
- 문서: 시스템 설계서, 개발문서, 기술문서
- 특허

C. 기술명 : 사이버게놈 기반 악성코드 행위 분석 및 시각화 기술
- 소스코드: 사이버게놈 기반 비정상 행위 분석 및 시각화 프로그램
- 문서: 시스템 설계서, 개발문서, 기술문서
- 특허
- 본 기술은 아래와 같은 분야에 적용될 수 있음

. 컴퓨터바이러스 백신 : 제로데이 악성코드 탐지, 행위정보 수집, 비정상행위 탐지 모듈
. 침입탐지 시스템 : 호스트 기반 침입탐지 모듈, 샌드박스 기반 탐지 모듈
. PC 보안 : 비정상 프로세스 탐지 모듈
. 통합보안관제 : 호스트 기반 침입탐지 모듈
. SIEM : 호스트 기반 빅데이터 로그 분석 모듈

- 바이러스 백신의 국내 시장은 국내 기업이 주도하고 있으나, 국내 기업의 세계시장 점유율은 2% 이하임. 기존 제품들의 문제점인 신종/변종 악성코드 탐지 기술의 확보를 통해 세계시장 점유율 향상이 기대됨
- 세계 컴퓨터 바이러스 백신분야의 선도 기업과 차별화된 기술력 확보를 통해 기술 경쟁력 확보 및 기술의존도 감소가 기대됨
- 호스트 PC에서 발생하는 행위 이벤트 데이터를 분석하기 위한 데이터 마이닝 기술의 확보는 보안로그 빅데이터를 분석하는 SIEM 시장으로 사업영역 확대가 기대됨