본 기술이전은 정적분석 기법 중에서 PE 파일의 다양한 정적정보를 기반으로 Boosting 기반 LGBM 모델을 활용한 악성코드 탐지 및 시각화에 관한 것이다. 다양한 PE에서 추출된 정보(Header, API 등 25종)를 활용하여 해당 파일의 악성여부를 탐지 및 분석 결과를 시각화 하는 기술이다.
본 기술은 크게 3 부분으로 구분되는데, 모델을 학습하기 위한 PE 파일에서 관련 정보를 추출하는 전처리 단계[1], 전처리된 Feature 정보들로 모델을 구성하기 위한 학습 단계[2], 학습된 모델을 이용하여 악성 여부를 판단하는 분석 및 시각화 단계[3]로 구분된다. [1] 전처리 단계는 PE 파일로부터 PE Header 정보 및 Opcode/Instruction/Byte 정보를 추출하고, [2] 학습 단계에서 각각의 악성/정상/테스트 PE 파일로부터 아래 표1과 같이 추출된 Feature 정보를 벡터화하여 LGBM 모델 학습을 진행한다.
- 기존의 상용백신들이 시그니쳐 분석 등의 방식을 사용함으로써, 변종 및 신종의 악성코드를 실시간으로 분석하는데 어려움이 있었으나, AI 기반 악성코드 분석 기법은 변종 및 신종 악성코드 분석이 가능한 장점이 있음
- 기존에는 신종 악성코드의 분석을 분석가의 수동적인 분석에 의존했으나, AI 기반 악성코드 분석은 자동 분석이 가능한 장점이 있음. 이를 통해서 분석가의 수동 분석 시간을 줄일 수 있는 장점이 있음
[기술이전의 내용]
(1세부기술) AI-LGBM 기반 PE 악성코드 분석 기술
- AI-LGBM 기반 PE 악성코드 분석을 위한 전처리 기능
- AI-LGBM 기반 PE 악성코드 분석을 위한 학습 기능
- AI-LGBM 기반 PE 악성코드 분석 탐지모델을 이용한 악성코드 탐지 기능
(2세부기술) AI 기반 PE 악성코드 시각화 기술
- AI-LGBM 기반 PE 악성코드 전처리 및 탐지 자동화 기능
- 웹 기반 PE 악성코드 전처리 정보 시각화 기능
- 웹 기반 수동 PE파일 업로드를 통한 악성코드 분석 및 시각화 기능
[기술이전의 범위]
- (세부기술별 해당) 기술문서 및 프로그램
- 차세대 백신 등 악성코드 대응 솔루션에 실시간으로 공격을 차단하고 악성코드 격리, 피해복구 기능 등을 자동화하는데 활용
- 기존 안티바이러스 제품 및 지능보안 분석 등의 서비스에 적용하여 기존 제품에 대한 보안성 강화
- 국방 및 기관에서 해당 기관의 네트워크로 유입되는 파일에 대한 악성여부를 판단하고 해당 네트워크 및 장비들을 보호하는 방법의 하나로 사용할 수 있음
- 패턴이 알려지지 않은 Zero-day 악성파일에 대해 대응할 수 있음
- 악성코드 분석 전문가의 분석 시간을 줄이는 방법으로 활용이 가능함