KR102259760B1 - 화이트 리스트 기반 비정상 프로세스 분석 서비스 제공 시스템 - Google Patents

화이트 리스트 기반 비정상 프로세스 분석 서비스 제공 시스템 Download PDF

Info

Publication number
KR102259760B1
KR102259760B1 KR1020200148291A KR20200148291A KR102259760B1 KR 102259760 B1 KR102259760 B1 KR 102259760B1 KR 1020200148291 A KR1020200148291 A KR 1020200148291A KR 20200148291 A KR20200148291 A KR 20200148291A KR 102259760 B1 KR102259760 B1 KR 102259760B1
Authority
KR
South Korea
Prior art keywords
file
information
analysis service
user terminal
service providing
Prior art date
Application number
KR1020200148291A
Other languages
English (en)
Inventor
여동균
Original Assignee
여동균
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 여동균 filed Critical 여동균
Priority to KR1020200148291A priority Critical patent/KR102259760B1/ko
Application granted granted Critical
Publication of KR102259760B1 publication Critical patent/KR102259760B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/51Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems at application loading time, e.g. accepting, rejecting, starting or inhibiting executable software based on integrity or source reliability
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

화이트 리스트 기반 비정상 프로세스 분석 서비스 제공 시스템이 제공되며, 분석 에이전트가 설치되고, 실행되는 적어도 하나의 프로세스 또는 파일의 정보를 적어도 하나의 식별정보와 함께 분석 에이전트에서 수집하여 전송하고, 기 저장된 화이트 리스트에 포함되지 않은 적어도 하나의 프로세스 또는 파일은 실행을 중지하는 적어도 하나의 사용자 단말 및 실행이 안전한 적어도 하나의 프로세스 또는 파일의 정보를 포함한 화이트 리스트를 적어도 하나의 프로세스 또는 파일의 메타데이터와 매핑하여 저장하는 저장부, 적어도 하나의 사용자 단말에 설치된 분석 에이전트로부터 적어도 하나의 사용자 단말에서 실행되는 적어도 하나의 프로세스 또는 파일의 정보를 실시간으로 수집하는 수집부, 실행되는 적어도 하나의 프로세스 또는 파일의 정보가 화이트 리스트의 정보와 일치하지 않는 경우 관리자 단말로 알람을 전송하는 전송부를 포함하는 분석 서비스 제공 서버를 포함한다.

Description

화이트 리스트 기반 비정상 프로세스 분석 서비스 제공 시스템{SYSTEM FOR PROVIDING WHITELIST BASED ABNORMAL PROCESS ANALYSIS SERVICE}
본 발명은 화이트 리스트 기반 비정상 프로세스 분석 서비스 제공 시스템에 관한 것으로, 프로세스 또는 파일의 메타데이터를 분석하고 변형이 존재하는 경우 차단 및 관리자에게 알람을 제공하는 플랫폼을 제공한다.
랜섬웨어는 시스템에 침투한 뒤 중요문서를 암호화하고, 파일 및 시스템을 인질로 잡아 금전을 요구하는 등 사용자에게 피해를 주는 악성코드이다. 백신의 경우 랜섬웨어에 감염된 시스템을 감지하고 치료할 수 있지만, 해당 랜섬웨어에 대한 정보를 갖지 못하는 경우 이를 방지할 수 없다. 백신이 랜섬웨어를 제거하더라도 이미 파일이 암호화가 된 상황이기 때문에 암호화키가 없다면 파일은 복구할 수 없다는 한계를 갖고 있다. 백신은 파일 기반의 침입 탐지 기법을 사용하여 랜섬웨어를 검출하는데, 이런 방식은 랜섬웨어에 대한 분석정보를 바탕으로 랜섬웨어를 방지하기 때문에 변형되거나 새로운 형태의 패턴을 갖는 랜섬웨어는 검출할 수 없다. 따라서 랜섬웨어에 대한 수동적인 치료 방법이 아닌 능동적인 방지 방법이 요구된다.
이때, 비정상 프로세스를 탐지하는 방법이 연구 및 개발되었는데, 이와 관련하여, 선행기술인 한국공개특허 제2009-0025788호(2009년03월11일 공개) 및 한국공개특허 제2017-0122548호(2017년11월06일 공개)에는, 컴퓨팅 환경에서 생성되는 프로세스를 확인하는 프로세스 감시부, 프로세스 감시부에서 확인된 프로세스 중 검사할 대상 프로세스를 미리 설정하는 대상 프로세스 설정부, 프로세스 설정부에서 설정된 대상 프로세스가 생성 시간 변경 요청을 하는지 확인하는 프로세스 생성시간 변경 감시부, 대상 프로세스가 생성 시간의 변경을 요청을 하는 경우에 대상 프로세스의 생성 시간의 변경을 방지하는 생성 시간 변경 방지부 및 대상 프로세스 설정부에서 설정된 대상 프로세스의 자식 프로세스가 미리 설정된 기준 시간 이내에 생성되었다면 자식 프로세스를 비정상 프로세스로 판단하는 비정상 프로세스 탐지부를 포함하는 구성과, 기업이나 조직 등의 네트워크 상의 서버, PC(Personal Computer) 등 호스트 장치의 백신 프로그램이나 보안 시스템에서 실시간으로 탐지된 악성 프로세스 등 비정상 프로세스에 대해, 과거 연관 데이터에서 그 프로세스와 연관된 데이터 관계 및 수행된 행위에 대한 과거 연관 정보를 생성하여, 이를 기반으로 APT 5단계인, 전파(Delivery), 탈취(Exploitation), 설치(Installation), C&C(Command & Control) 통신, 목표달성(Actions)을 분석함으로써, 지능형 사이버 표적 공격(APT)을 탐지하는 구성이 각각 개시되어 있다.
다만, 상술한 구성은 비정상으로 탐지할 대상을 미리 선정하고 이를 막아내는 블랙리스트(Blacklist) 기반의 탐지 방법이므로, 알려지지 않은 악성코드인 프로세스가 블랙리스트에 포함되어 있지 않다면 이를 방지하기 불가능하다. 현재까지의 백신 및 네트워크 보안장비는 블랙리스트를 기반으로 악성코드를 차단하기 때문에 신규로 발생한 악성코드를 정확히 판단 및 차단할 수 없고, 수동으로 차단을 한다고 할지라도 전문가가 아닌 일반 사용자는 악성코드를 판단할 수 없으므로 더욱 차단가능성이 없어진다. 이에, 블랙리스트가 아닌 화이트 리스트를 기반으로 각 프로세스에 대한 실시간 감시를 통하여 변형된 패턴의 비정상 프로세스라도 탐지를 할 수 있는 능동적인 플랫폼의 연구 및 개발이 요구된다.
본 발명의 일 실시예는, 화이트 리스트를 기반으로 정상인 프로세스 및 파일을 정의하고, 정상인 프로세스 및 파일의 이름, 크기 및 해쉬값의 정보를 포함하는 메타데이터를 이용하여 화이트 리스트 내에 없는 프로세스 및 파일을 탐지하며, 각 프로세스 및 파일의 해쉬값으로 비정상 프로세스를 탐지할 수 있으며, 프로세스 및 파일의 변형, 변경, 삭제 및 추가와 같은 변조 행위가 있는 경우 실시간으로 관리자에게 알람을 전송함으로써, 비정상 프로세스 및 파일에 대한 차단 기능을 제공할 수 있으며, 악의적 프로세스 및 파일을 발견했을 때 안전한 파일 검역소 저장위치에 저장한 후 전문가에게 제공함으로써 분석이 가능하도록 하고, 주기별 각 클라이언트에서 실행된 파일 및 프로세스의 개수나 변조가 된 개수와 같은 통계를 시각화하여 보여줌으로써 직관적인 모니터링이 가능하도록 한, 화이트 리스트 기반 비정상 프로세스 분석 서비스 제공 방법을 제공할 수 있다. 다만, 본 실시예가 이루고자 하는 기술적 과제는 상기된 바와 같은 기술적 과제로 한정되지 않으며, 또 다른 기술적 과제들이 존재할 수 있다.
상술한 기술적 과제를 달성하기 위한 기술적 수단으로서, 본 발명의 일 실시예는, 분석 에이전트가 설치되고, 실행되는 적어도 하나의 프로세스 또는 파일의 정보를 적어도 하나의 식별정보와 함께 분석 에이전트에서 수집하여 전송하고, 기 저장된 화이트 리스트에 포함되지 않은 적어도 하나의 프로세스 또는 파일은 실행을 중지하는 적어도 하나의 사용자 단말 및 실행이 안전한 적어도 하나의 프로세스 또는 파일의 정보를 포함한 화이트 리스트를 적어도 하나의 프로세스 또는 파일의 메타데이터와 매핑하여 저장하는 저장부, 적어도 하나의 사용자 단말에 설치된 분석 에이전트로부터 적어도 하나의 사용자 단말에서 실행되는 적어도 하나의 프로세스 또는 파일의 정보를 실시간으로 수집하는 수집부, 실행되는 적어도 하나의 프로세스 또는 파일의 정보가 화이트 리스트의 정보와 일치하지 않는 경우 관리자 단말로 알람을 전송하는 전송부를 포함하는 분석 서비스 제공 서버를 포함한다.
전술한 본 발명의 과제 해결 수단 중 어느 하나에 의하면, 화이트 리스트를 기반으로 정상인 프로세스 및 파일을 정의하고, 정상인 프로세스 및 파일의 이름, 크기 및 해쉬값의 정보를 포함하는 메타데이터를 이용하여 화이트 리스트 내에 없는 프로세스 및 파일을 탐지하며, 각 프로세스 및 파일의 해쉬값으로 비정상 프로세스를 탐지할 수 있으며, 프로세스 및 파일의 변형, 변경, 삭제 및 추가와 같은 변조 행위가 있는 경우 실시간으로 관리자에게 알람을 전송함으로써, 비정상 프로세스 및 파일에 대한 차단 기능을 제공할 수 있으며, 악의적 프로세스 및 파일을 발견했을 때 안전한 파일 검역소 저장위치에 저장한 후 전문가에게 제공함으로써 분석이 가능하도록 하고, 주기별 각 클라이언트에서 실행된 파일 및 프로세스의 개수나 변조가 된 개수와 같은 통계를 시각화하여 보여줌으로써 직관적인 모니터링이 가능하도록 한다.
도 1은 본 발명의 일 실시예에 따른 화이트 리스트 기반 비정상 프로세스 분석 서비스 제공 시스템을 설명하기 위한 도면이다.
도 2는 도 1의 시스템에 포함된 분석 서비스 제공 서버를 설명하기 위한 블록 구성도이다.
도 3 및 도 4는 본 발명의 일 실시예에 따른 화이트 리스트 기반 비정상 프로세스 분석 서비스가 구현된 일 실시예를 설명하기 위한 도면이다.
도 5는 본 발명의 일 실시예에 따른 화이트 리스트 기반 비정상 프로세스 분석 서비스 제공 방법을 설명하기 위한 동작 흐름도이다.
아래에서는 첨부한 도면을 참조하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 본 발명의 실시예를 상세히 설명한다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시예에 한정되지 않는다. 그리고 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 유사한 부분에 대해서는 유사한 도면 부호를 붙였다.
명세서 전체에서, 어떤 부분이 다른 부분과 "연결"되어 있다고 할 때, 이는 "직접적으로 연결"되어 있는 경우뿐 아니라, 그 중간에 다른 소자를 사이에 두고 "전기적으로 연결"되어 있는 경우도 포함한다. 또한 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미하며, 하나 또는 그 이상의 다른 특징이나 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
명세서 전체에서 사용되는 정도의 용어 "약", "실질적으로" 등은 언급된 의미에 고유한 제조 및 물질 허용오차가 제시될 때 그 수치에서 또는 그 수치에 근접한 의미로 사용되고, 본 발명의 이해를 돕기 위해 정확하거나 절대적인 수치가 언급된 개시 내용을 비양심적인 침해자가 부당하게 이용하는 것을 방지하기 위해 사용된다. 본 발명의 명세서 전체에서 사용되는 정도의 용어 "~(하는) 단계" 또는 "~의 단계"는 "~ 를 위한 단계"를 의미하지 않는다.
본 명세서에 있어서 '부(部)'란, 하드웨어에 의해 실현되는 유닛(unit), 소프트웨어에 의해 실현되는 유닛, 양방을 이용하여 실현되는 유닛을 포함한다. 또한, 1 개의 유닛이 2 개 이상의 하드웨어를 이용하여 실현되어도 되고, 2 개 이상의 유닛이 1 개의 하드웨어에 의해 실현되어도 된다. 한편, '~부'는 소프트웨어 또는 하드웨어에 한정되는 의미는 아니며, '~부'는 어드레싱 할 수 있는 저장 매체에 있도록 구성될 수도 있고 하나 또는 그 이상의 프로세서들을 재생시키도록 구성될 수도 있다. 따라서, 일 예로서 '~부'는 소프트웨어 구성요소들, 객체 지향 소프트웨어 구성요소들, 클래스 구성요소들 및 태스크 구성요소들과 같은 구성요소들과, 프로세스들, 함수들, 속성들, 프로시저들, 서브루틴들, 프로그램 코드의 세그먼트들, 드라이버들, 펌웨어, 마이크로코드, 회로, 데이터, 데이터베이스, 데이터 구조들, 테이블들, 어레이들 및 변수들을 포함한다. 구성요소들과 '~부'들 안에서 제공되는 기능은 더 작은 수의 구성요소들 및 '~부'들로 결합되거나 추가적인 구성요소들과 '~부'들로 더 분리될 수 있다. 뿐만 아니라, 구성요소들 및 '~부'들은 디바이스 또는 보안 멀티미디어카드 내의 하나 또는 그 이상의 CPU들을 재생시키도록 구현될 수도 있다.
본 명세서에 있어서 단말, 장치 또는 디바이스가 수행하는 것으로 기술된 동작이나 기능 중 일부는 해당 단말, 장치 또는 디바이스와 연결된 서버에서 대신 수행될 수도 있다. 이와 마찬가지로, 서버가 수행하는 것으로 기술된 동작이나 기능 중 일부도 해당 서버와 연결된 단말, 장치 또는 디바이스에서 수행될 수도 있다.
본 명세서에서 있어서, 단말과 매핑(Mapping) 또는 매칭(Matching)으로 기술된 동작이나 기능 중 일부는, 단말의 식별 정보(Identifying Data)인 단말기의 고유번호나 개인의 식별정보를 매핑 또는 매칭한다는 의미로 해석될 수 있다.
이하 첨부된 도면을 참고하여 본 발명을 상세히 설명하기로 한다.
도 1은 본 발명의 일 실시예에 따른 화이트 리스트 기반 비정상 프로세스 분석 서비스 제공 시스템을 설명하기 위한 도면이다. 도 1을 참조하면, 화이트 리스트 기반 비정상 프로세스 분석 서비스 제공 시스템(1)은, 적어도 하나의 사용자 단말(100), 분석 서비스 제공 서버(300), 적어도 하나의 관리자 단말(400)을 포함할 수 있다. 다만, 이러한 도 1의 화이트 리스트 기반 비정상 프로세스 분석 서비스 제공 시스템(1)은, 본 발명의 일 실시예에 불과하므로, 도 1을 통하여 본 발명이 한정 해석되는 것은 아니다.
이때, 도 1의 각 구성요소들은 일반적으로 네트워크(Network, 200)를 통해 연결된다. 예를 들어, 도 1에 도시된 바와 같이, 적어도 하나의 사용자 단말(100)은 네트워크(200)를 통하여 분석 서비스 제공 서버(300)와 연결될 수 있다. 그리고, 분석 서비스 제공 서버(300)는, 네트워크(200)를 통하여 적어도 하나의 사용자 단말(100), 적어도 하나의 관리자 단말(400)과 연결될 수 있다. 또한, 적어도 하나의 관리자 단말(400)은, 네트워크(200)를 통하여 분석 서비스 제공 서버(300)와 연결될 수 있다.
여기서, 네트워크는, 복수의 단말 및 서버들과 같은 각각의 노드 상호 간에 정보 교환이 가능한 연결 구조를 의미하는 것으로, 이러한 네트워크의 일 예에는 근거리 통신망(LAN: Local Area Network), 광역 통신망(WAN: Wide Area Network), 인터넷(WWW: World Wide Web), 유무선 데이터 통신망, 전화망, 유무선 텔레비전 통신망 등을 포함한다. 무선 데이터 통신망의 일례에는 3G, 4G, 5G, 3GPP(3rd Generation Partnership Project), 5GPP(5th Generation Partnership Project), LTE(Long Term Evolution), WIMAX(World Interoperability for Microwave Access), 와이파이(Wi-Fi), 인터넷(Internet), LAN(Local Area Network), Wireless LAN(Wireless Local Area Network), WAN(Wide Area Network), PAN(Personal Area Network), RF(Radio Frequency), 블루투스(Bluetooth) 네트워크, NFC(Near-Field Communication) 네트워크, 위성 방송 네트워크, 아날로그 방송 네트워크, DMB(Digital Multimedia Broadcasting) 네트워크 등이 포함되나 이에 한정되지는 않는다.
하기에서, 적어도 하나의 라는 용어는 단수 및 복수를 포함하는 용어로 정의되고, 적어도 하나의 라는 용어가 존재하지 않더라도 각 구성요소가 단수 또는 복수로 존재할 수 있고, 단수 또는 복수를 의미할 수 있음은 자명하다 할 것이다. 또한, 각 구성요소가 단수 또는 복수로 구비되는 것은, 실시예에 따라 변경가능하다 할 것이다.
적어도 하나의 사용자 단말(100)은, 화이트 리스트 기반 비정상 프로세스 분석 서비스 관련 웹 페이지, 앱 페이지, 프로그램 또는 애플리케이션을 이용하여 현재 실행되고 있는 프로세스나 파일에 대한 모니터링 정보를 분석 서비스 제공 서버(300)로 전송하는 사용자의 단말일 수 있다. 이때, 서버-클라이언트 구조 상에서는 사용자 단말(100)은 클라이언트 단(End)에 해당한다. 그리고, 적어도 하나의 사용자 단말(100)은, 분석 에이전트를 분석 서비스 제공 서버(300) 또는 이와 연동된 다른 서버(미도시)로부터 수신하여 다운로드 및 설치하고, 분석 에이전트를 통하여 현재 사용자 단말(100)에서 실행되고 있는 또는 실행되려고 하는 파일이나 프로세스를 실시간으로 감지하여 분석 서비스 제공 서버(300)로 전송하는 역할을 수행하는 단말일 수 있다. 이때, 적어도 하나의 사용자 단말(100)은, 프로세스나 파일의 메타데이터를 분석한 결과, 분석 서비스 제공 서버(300)로부터 실행 중지 또는 차단 제어신호를 수신한 경우 프로세스나 파일의 실행을 중지 또는 차단하는 단말일 수 있다.
여기서, 적어도 하나의 사용자 단말(100)은, 네트워크를 통하여 원격지의 서버나 단말에 접속할 수 있는 컴퓨터로 구현될 수 있다. 여기서, 컴퓨터는 예를 들어, 네비게이션, 웹 브라우저(WEB Browser)가 탑재된 노트북, 데스크톱(Desktop), 랩톱(Laptop) 등을 포함할 수 있다. 이때, 적어도 하나의 사용자 단말(100)은, 네트워크를 통해 원격지의 서버나 단말에 접속할 수 있는 단말로 구현될 수 있다. 적어도 하나의 사용자 단말(100)은, 예를 들어, 휴대성과 이동성이 보장되는 무선 통신 장치로서, 네비게이션, PCS(Personal Communication System), GSM(Global System for Mobile communications), PDC(Personal Digital Cellular), PHS(Personal Handyphone System), PDA(Personal Digital Assistant), IMT(International Mobile Telecommunication)-2000, CDMA(Code Division Multiple Access)-2000, W-CDMA(W-Code Division Multiple Access), Wibro(Wireless Broadband Internet) 단말, 스마트폰(Smartphone), 스마트 패드(Smartpad), 타블렛 PC(Tablet PC) 등과 같은 모든 종류의 핸드헬드(Handheld) 기반의 무선 통신 장치를 포함할 수 있다.
분석 서비스 제공 서버(300)는, 화이트 리스트 기반 비정상 프로세스 분석 서비스 웹 페이지, 앱 페이지, 프로그램 또는 애플리케이션을 제공하는 서버일 수 있다. 그리고, 분석 서비스 제공 서버(300)는, 클라이언트-서버 구조에서 서버 단(End)에 해당한다. 여기서, 분석 서비스 제공 서버(300)는 분석 에이전트 프로그램을 적어도 하나의 사용자 단말(100)로 전송하고, 분석 에이전트로부터 실시간 모니터링한 결과를 수집하는 서버일 수 있다. 이때, 분석 서비스 제공 서버(300)는 블랙리스트 기반이 아닌 화이트 리스트를 기반으로 각 사용자 단말(100)에서 실행되는 프로세스 또는 파일을 모니터링하는 서버일 수 있다. 이를 위하여, 분석 서비스 제공 서버(300)는 화이트 리스트에 포함될 파일 및 프로세스의 이름, 사이즈, 해쉬값 등의 메타데이터를 각 파일 및 프로세스의 고유식별자와 매핑하여 저장함으로써 이후 사용자 단말(100)에서 실행되는 파일이나 프로세스의 해쉬값이 변형, 변조, 삭제, 추가 등이 되었는지를 탐지하는 서버일 수 있다. 그리고, 분석 서비스 제공 서버(300)는 정상인데 변형되었거나, 정상이라고 정의되지 않은 프로세스나 파일이 감지된 경우 즉각 차단하고 관리자 단말(400)로 전송하는 서버일 수 있다.
여기서, 분석 서비스 제공 서버(300)는, 네트워크를 통하여 원격지의 서버나 단말에 접속할 수 있는 컴퓨터로 구현될 수 있다. 여기서, 컴퓨터는 예를 들어, 네비게이션, 웹 브라우저(WEB Browser)가 탑재된 노트북, 데스크톱(Desktop), 랩톱(Laptop) 등을 포함할 수 있다.
적어도 하나의 관리자 단말(400)은, 화이트 리스트 기반 비정상 프로세스 분석 서비스 관련 웹 페이지, 앱 페이지, 프로그램 또는 애플리케이션을 이용하는 관리자, 전문가, 보안요원 등의 단말일 수 있다. 이때, 관리자 단말(400)은 실시간으로 전달되는 알람 또는 비정상 프로세스 등을 수신하여 분석하고 그 결과를 분석 서비스 제공 서버(300)로 피드백하는 단말일 수 있다.
여기서, 적어도 하나의 관리자 단말(400)은, 네트워크를 통하여 원격지의 서버나 단말에 접속할 수 있는 컴퓨터로 구현될 수 있다. 여기서, 컴퓨터는 예를 들어, 네비게이션, 웹 브라우저(WEB Browser)가 탑재된 노트북, 데스크톱(Desktop), 랩톱(Laptop) 등을 포함할 수 있다. 이때, 적어도 하나의 관리자 단말(400)은, 네트워크를 통해 원격지의 서버나 단말에 접속할 수 있는 단말로 구현될 수 있다. 적어도 하나의 관리자 단말(400)은, 예를 들어, 휴대성과 이동성이 보장되는 무선 통신 장치로서, 네비게이션, PCS(Personal Communication System), GSM(Global System for Mobile communications), PDC(Personal Digital Cellular), PHS(Personal Handyphone System), PDA(Personal Digital Assistant), IMT(International Mobile Telecommunication)-2000, CDMA(Code Division Multiple Access)-2000, W-CDMA(W-Code Division Multiple Access), Wibro(Wireless Broadband Internet) 단말, 스마트폰(Smartphone), 스마트 패드(Smartpad), 타블렛 PC(Tablet PC) 등과 같은 모든 종류의 핸드헬드(Handheld) 기반의 무선 통신 장치를 포함할 수 있다.
도 2는 도 1의 시스템에 포함된 분석 서비스 제공 서버를 설명하기 위한 블록 구성도이고, 도 3 및 도 4는 본 발명의 일 실시예에 따른 화이트 리스트 기반 비정상 프로세스 분석 서비스가 구현된 일 실시예를 설명하기 위한 도면이다.
도 2를 참조하면, 분석 서비스 제공 서버(300)는, 저장부(310), 수집부(320), 전송부(330), 신규탐지부(340), 변조감지부(350), 검역부(360), 시각화부(370), 머신러닝부(380)를 포함할 수 있다.
본 발명의 일 실시예에 따른 분석 서비스 제공 서버(300)나 연동되어 동작하는 다른 서버(미도시)가 적어도 하나의 사용자 단말(100) 및 적어도 하나의 관리자 단말(400)로 화이트 리스트 기반 비정상 프로세스 분석 서비스 애플리케이션, 프로그램, 앱 페이지, 웹 페이지 등을 전송하는 경우, 적어도 하나의 사용자 단말(100) 및 적어도 하나의 관리자 단말(400)은, 화이트 리스트 기반 비정상 프로세스 분석 서비스 애플리케이션, 프로그램, 앱 페이지, 웹 페이지 등을 설치하거나 열 수 있다. 또한, 웹 브라우저에서 실행되는 스크립트를 이용하여 서비스 프로그램이 적어도 하나의 사용자 단말(100) 및 적어도 하나의 관리자 단말(400)에서 구동될 수도 있다. 여기서, 웹 브라우저는 웹(WWW: World Wide Web) 서비스를 이용할 수 있게 하는 프로그램으로 HTML(Hyper Text Mark-up Language)로 서술된 하이퍼 텍스트를 받아서 보여주는 프로그램을 의미하며, 예를 들어 넷스케이프(Netscape), 익스플로러(Explorer), 크롬(Chrome) 등을 포함한다. 또한, 애플리케이션은 단말 상의 응용 프로그램(Application)을 의미하며, 예를 들어, 모바일 단말(스마트폰)에서 실행되는 앱(App)을 포함한다.
도 2를 참조하면, 저장부(310)는, 실행이 안전한 적어도 하나의 프로세스 또는 파일의 정보를 포함한 화이트 리스트를 적어도 하나의 프로세스 또는 파일의 메타데이터와 매핑하여 저장할 수 있다. 이때, 메타데이터는 적어도 하나의 프로세스 또는 파일의 이름, 사이즈 및 해쉬값을 포함할 수 있다.
수집부(320)는, 적어도 하나의 사용자 단말(100)에 설치된 분석 에이전트로부터 적어도 하나의 사용자 단말(100)에서 실행되는 적어도 하나의 프로세스 또는 파일의 정보를 실시간으로 수집할 수 있다. 적어도 하나의 사용자 단말(100)은, 분석 에이전트가 설치된다. 그리고, 사용자 단말(100)에서 실행되는 적어도 하나의 프로세스 또는 파일의 정보를 적어도 하나의 식별정보와 함께 분석 에이전트에서 수집하여 전송하고, 기 저장된 화이트 리스트에 포함되지 않은 적어도 하나의 프로세스 또는 파일은 실행을 중지할 수 있다.
전송부(330)는, 실행되는 적어도 하나의 프로세스 또는 파일의 정보가 화이트 리스트의 정보와 일치하지 않는 경우 관리자 단말(400)로 알람을 전송할 수 있다. 전송부(330)는, 적어도 하나의 프로세스 또는 파일의 이름, 사이즈 및 해쉬값 중 어느 하나 또는 적어도 하나의 조합이 변경된 경우 관리자 단말(400)로 로그를 전송하여 알람을 전송할 수 있다.
예를 들어, 크립토락커(Cryptolocker)의 처리방법에는 해시(Hash)정보를 비교하는 방법을 이용할 수 있다. 크립토락커는 “.encrypted"로 암호화된 파일을 생성하는데, 이 암호화된 파일은 해시정보(Hash Information), 시그니처(Signiture), 공개키(Public Key)값이 추가되어 암호화 되고 파일크기가 증가한다. 크립토락커를 처리하기 위해서 일반적으로 복구툴을 사용하는데, 복구툴은 데이터파일의 해시정보와 암호화된 파일을 비교하고 복구툴 내부에 저장된 키 인덱스 정보를 통해 유효한 키 값인지 확인하고 이를 통해 복호화를 진행한다. 암호화된 파일 복원 방법은, 랜섬웨어 샘플을 디컴파일하여 얻은 샘플의 코드 분석을 통해 찾은 복호화 킷값을 이용하여 복호화를 수행한다.
신규탐지부(340)는, 적어도 하나의 사용자 단말(100)에서 화이트 리스트에 포함되지 않은 적어도 하나의 신규 프로세스 또는 신규 파일이 실행되는 경우, 적어도 하나의 신규 프로세스 또는 신규 파일을 관리자 단말(400)로 알람을 전송할 수 있다. 이때, 신규탐지부(340)는, 예를 들어, 시스템에서 발생하는 정보 중 프로세스의 생성과 종료, 파일의 생성과 수정 내역, 네트워크 통신 기록 등 비정량적인 데이터가 많고, 이들을 활용하여 이상치 탐지를 할 수 있도록 정량적인 정보로 환원할 수 있도록, 자연어 처리 분야에서 널리 쓰이고 있는 임베딩(Embedding)기법을 이용할 수 있다. 물론, 신규탐지부(340) 외의 다른 구성요소에서도 다양한 통계와 같은 정량적인 데이터나 코드를 직관적으로 분석해야 할 때 사용될 수도 있다. 이때, 자연어 처리에서 임베딩은 단어와 문장의 의미를 반영하여 벡터로 변환하는 기법을 말한다.
임베딩이란 자연어 처리 기법 중 단어나 문장을 그에 대응되는 수치, 벡터로 변환하는 기법을 의미한다. 오디오나 이미지 등의 고차원 데이터는 그 자체로 각각의 값이 연속된 실수 값을 가지기 때문에 머신러닝 등의 처리가 용이한 반면, 단어들로 이루어진 텍스트 데이터는 그렇지 않다. 임베딩 기법이 활용되기 이전에는 각 단어들을 이산된 표지로 치환하여 분석하는 방법이 사용되었으나, 단어에 대응되는 값이 다른 단어들과의 관계를 반영하지 않고, 다양한 단어들이 사용됨에 따라 데이터의 차원수가 너무 높아진다는 문제가 있었다. 임베딩 기법은 이를 해결하기 위해 인공신경망, 차원축소, 동시발생 행렬 등을 활용하여, 범주형 자료인 단어들의 집합을 연속적인 하나의 벡터 공간에 표현한다. 이때, 임베딩 기법 중 단어를 벡터로 변환하는 Word2Vec과, 문장을 벡터로 변환하는 Doc2Vec과 Autoencoder 임베딩을 이용할 수 있다.
Word2Vec은 여러 문장들을 입력받아 문장을 구성하는 단어들 사이 관계를 학습하여 각 단어의 의미가 반영되도록 벡터 공간에 표현하는 방법이다. Word2Vec은 같은 문장 등 가까운 위치에 있는 단어들끼리는 유사한 의미를 가진다고 보고, 함께 사용되는 빈도가 높은 단어들끼리는 유사한 벡터값을 갖도록 학습한다. 구체적으로는, 입력받은 문장 내에서 일부를 추출하는 window를 움직여 가며 학습하되, 주변 단어들의 정보로 중심 단어를 예측하는 방식(CBOW, Continuous Bag of Words)과, 중심단어의 정보로 주변 단어들을 예측하는 방식(Skip-Gram)이 있다.
Doc2Vec은 문장을 벡터로 변환하는 기법으로, 단어들로 이루어진 문장의 의미와 그 단어들의 의미가 유사하리라는 전제를 기초로 한다. Doc2Vec은 Word2Vec과 동일한 방식으로 학습을 진행하되 문장을 표현하는 벡터가 그 문장 속에 포함된 단어들의 벡터 값들과 유사한 값을 갖도록 학습한다. 즉, Word2Vec과 같은 학습을 진행하면서 문장의 벡터를 함께 학습시킨다. Doc2Vec도 마찬가지로 구체적 학습 방식에 있어 단어들과 문장 정보로 중심 단어를 예측하는 방식(PV-DM, Distributed Memory Model of Paragraph Vectors)과 문장을 입력하여 각 단어들의 도출 확률을 예측하는 방식(PV-DBOW, Distributed Bag of Words of Paragraph Vectors)이 있다.
Autoencoder는 입력과 비슷한 값을 출력하도록 비지도 학습으로 훈련되는 신경망을 말한다. 일반적으로 입력을 중간층으로 부호화하는 부분인 인코더(Encoder)와 중간층에서 다시 출력으로 복호화하는 부분인 디코더(Decoder)으로 구성되며, 입력을 통해 출력한 값과 입력을 비교해 오차를 줄이는 방향으로 학습이 이루어진다. 학습이 진행되면서 데이터의 중요한 자질(feature)이 반영될 수 있도록 인코더와 디코더의 가중치가 조정된다.
Autoencoder를 이용하여 문장을 벡터로 변환하는 방법으로서, Seq2Seq model 개념을 활용할 수 있다. Seq2Seq model이란 가변 길이의 여러 sequence를 입력받아 학습 과정을 거쳐 그에 대응되는 Sequence를 출력하는 딥러닝 모델이다. 가변 길이의 문장을 입력받아 학습하고, 단어 간 순서가 반영될 수 있도록 RNN(Recurrent Neural Network)을 활용하는데, 입력 Sequence를 학습하는 RNN을 거쳐 Context Vector를 형성하고(Encoder), 형성된 벡터에서 다시 출력 Sequence를 형성하는(Decoder) 구조로 이루어져 있다. 이처럼 입력에 맞는 출력을 도출할 수 있도록 학습하는 Seq2Seq 모델에서, 입력과 동일한 Sequence를 출력하도록 학습을 진행시킨다면, 모델 내에서 학습되는 Sequence의 내용이나 순서 정보, 특성이 반영되는 Context Vector를 생성할 수 있다. 이러한 방식으로 문장을 벡터로 변환하는 임베딩 모델을 만들 수 있다.
변조감지부(350)는, 적어도 하나의 사용자 단말(100)에서 기 저장된 파일에 대한 파일 이름, 생성 정보 및 해쉬 정보를 포함하는 속성정보를 스캐닝하여 보관하고, 속성정보가 변조, 추가 및 삭제 중 어느 하나 또는 적어도 하나의 조합이 발생한 경우 알람을 출력할 수 있다.
상술한 임베딩 기법을적용하는 경우, 변조감지부(350)는, 화이트 리스트, 즉 정상 데이터만을 대상으로 임베딩을 수행하여 정상 데이터의 벡터값을 추출한 후, 탐지 데이터는 Gensim Doc2Vec 라이브러리의 infer_vector 함수를 활용하여, 학습 데이터와의 비교를 통해 정상 데이터들과의 관계에서 해당 데이터가 가질 벡터값을 유추할 수 있다. 학습 데이터에서 학습되지 않았던 새로운 단어의 경우 unknown 토큰으로 처리할 수 있다. 임베딩된 정상상태 데이터셋을 입력 값으로 하여 이상치 탐지 기법에 대한 학습을 통해 정상상태 모델을 생성할 수 있다. 예를 들어, One-class SVM과 Isolation Forest 알고리즘을 이용하여 모델을 생성할 수 있다.
정상상태 데이터를 이용하여 이상치 탐지 기법을 학습한 후, 실시간으로 입력되는 상태정보 데이터를 임베딩하고, 학습모델을 이용하여 이상치 점수(Novelty score)를 산출, 특정 임계치(Threshold) 보다 높을 경우 이상상태로 탐지할 수 있다. 일반적인 One-class SVM은 정상데이터에 대한 초평면(Hyperplane)을 기준으로 입력 데이터가 초평면보다 위에 존재하면 정상, 아래에 존재하면 이상치 데이터로 탐지하나, 본 발명의 일 실시예에서는, 오탐율을 줄이기 위하여 이상치 점수(입력데이터와 초평면까지의 거리)가 특정 임계치 이하일 경우 이상치 데이터로 탐지할 수 있다. Isolation Forest는 입력 데이터를 고립시키는 말단 노드까지의 깊이(Depth)를 이용하여 Novelty score를 출력하며, 이 값이 전체 Novelty score 범위의 특정 비율 이상이면 이상치 데이터로 탐지할 수 있다.
이상상태 탐지 기법은, 탐지 대상 시스템과 프로세스의 정상 상태만을 기록한 학습 데이터를 이용하여 임베딩 모델 및 이상치 탐지 모델을 학습하는 학습 과정과, 시스템에서 발생하는 실시간 데이터에 대하여 학습된 모델을 기반으로 정상 또는 비정상을 판단하는 탐지 과정으로 나뉜다. 학습 과정에서는 수집기를 통해 시스템의 상태 정보를 주기적으로 수집하되, 이 단계에서 시스템은 정상 행위만을 한다고 전제한다. 따라서, 이때 수집된 모든 정보를 정상 데이터로 분류한다. 수집된 정보는 임베딩을 위한 전처리 과정을 거친 후, 임베딩 학습모듈을 통해 학습되어 임베딩 모델을 생성한다. 이후 생성된 임베딩 모델을 이용하여 수집된 정보를 임베딩함으로써 벡터로 변환하고, 이 값은 이상치 탐지 학습 모듈에 입력되어 탐지 모델을 생성한다.
탐지 과정에서도 동일한 수집기를 통해 시스템 상태 정보를 실시간으로 수집한다. 실시간 수집 데이터에는 비정상 데이터가 포함될 수 있으며, 위 학습 과정에서 생성된 모델을 이용해 비정상 데이터를 탐지하는 것을 목표로 한다. 탐지 과정에서 수집된 실시간 상태 정보 역시 학습 과정과 동일하게 임베딩을 위한 전처리 과정을 거치고, 이후 학습 과정에서 생성된 임베딩 모델을 이용하여 벡터로 변환된다. 이후 탐지 모듈을 통하여 입력 데이터에 대한 정상 또는 비정상 여부를 판단할 수 있다.
검역부(360)는, 전송부(330)에서 알람을 전송한 적어도 하나의 프로세스 또는 파일을 기 저장된 검역소 저장위치에 저장하고, 분석 전문가 단말(미도시)로 전송할 수 있다.
시각화부(370)는, 적어도 하나의 사용자 단말(100)에서 모니터링되는 주기별 또는 실시간 파일의 개수, 변조된 파일의 개수, 삭제된 파일의 개수 및 추가된 파일의 개수를 포함하는 통계와, 적어도 하나의 사용자 단말(100)에서 모니터링되는 주기별 또는 실시간 프로세스의 개수를 비교하는 통계와, 적어도 하나의 사용자 단말(100)에서 실행하는 프로세스의 CPU 및 메모리 사용량을 모니터링한 결과를 시각화할 수 있다.
악성코드를 분석하는 기법 중 하나인 통계적 기법은 시스템의 리소스들을 분석하여 비정상적인 행위들을 탐지하는 방법이다. 통계적 기법을 사용한 대표적인 시스템으로 SRI(Stanford Research Institute) International의 NIDES가 있다. NIDES는 사용자 시스템에서 발생하는 CPU 사용 시간, I/O 발생률, 메모리 사용률 등을 장기간에 걸친 프로파일링하는 방식으로 시스템에서 발생하는 비정상적 행위를 탐지한다. 호스트의 안정적인 서비스를 제공하기 위해 CPU 및 메모리에 대한 사용률의 평균차를 이용하는 기술을 이용할 수도 있다.
이렇게 통계를 위한 데이터가 쌓이게 되면 이를 이용하여 이후 비정상 프로세스를 감지하거나 분석하는데에도 도움을 줄 수 있다. 예를 들어, 시스템이 실행되기 위한 초기 설정을 하고, 비정상 프로세스를 실시간 감시할 때, 파일 이벤트 감시와 CPU, I/O 사용률을 이용하여 프로세스를 감지하여 악성코드를 검출할 수 있고, 검출한 악성코드를 처리할 수 있다. 설정을 할 때에는, 기본적인 설정을 하게 되는데, 우선, 악성코드의 감시를 위해 파일 위치를 지정할 수 있다. 예를 들어, 집중 관리할 파일을 지정한 후, 해당 파일을 감시 목록 테이블에 등록하여 해당 파일들을 실시간 감시할 수 있도록 하고, 데이터베이스에 등록되어 있는 프로세스의 목록을 감시 목록 테이블에 등록하여 감시부에서 사용할 수 있도록 한다.
감시를 할 때에는, 대상 파일과 프로세스 감시를 이용하여 악성코드를 검출할 수 있다. 파일 감시는 파일 입출력 이벤트 현황을 지속적으로 모니터링하여 랜섬웨어의 공격 여부를 감지할 수 있다. 모니터링을 하는 대상은 감시 목록 테이블에 등록되어 있는 파일로 할 수 있다. 프로세스 감시를 위해서는, 파일 입출력 이벤트로부터 CPU와 메모리, 스토리지 I/O 사용률을 지속적으로 감시하여 악성코드를 검출할 수 있다. 마지막으로 처리를 할 때에는 감시 단계에서 악성코드로 추정한 프로세스를 강제로 중지시키고, 사용자에게 랜섬웨어로 추정되는 프로세스에 대한 삭제 여부를 묻는다. 처리한 프로세스의 정보는 DB에 저장되어 추후 설정 단계에서 사용한다. 사용자가 프로세스나 파일의 삭제 의사를 보였다면 사용자가 해당 프로세스나 파일을 악성코드로 인식하였기에 문제가 없지만, 삭제하지 않았을 경우에도 악성코드로부터 최소한의 안전성을 보장해주어야 한다.
이러한 방법을 이용하는 경우, 파일 또는 프로세스 이벤트를 실시간으로 감시하며, 실행되고 있는 프로세스들에 대한 CPU와 I/O 사용률에 대한 실시간 감시를 통해 악성코드를 방지할 수 있고, 일반적인 파일 기반의 탐지기법을 사용하는 백신과는 달리 악성코드에 대한 분석정보가 없더라도 최소한의 피해만으로 악성코드를 방지할 수 있고, 변형된 패턴의 악성코드에 대항할 수 있는 차별점이 있다.
머신러닝부(380)는, 전송부(330)에서 알람을 전송한 적어도 하나의 프로세스 또는 파일의 정보와, 화이트 리스트 내 포함된 적어도 하나의 프로세스 또는 파일의 정보 간 차이를 기 저장된 머신러닝 알고리즘으로 학습 및 테스트하여 변형 탐지 알고리즘을 모델링하고, 모델링된 변형 탐지 알고리즘으로 적어도 하나의 사용자 단말(100)에서 실행되는 적어도 하나의 프로세스 또는 파일을 모니터링할 수 있다.
이때, 머신러닝(Machine Learning, 기계학습)은, 명시적으로 작성된 프로그램에 따라 동작하는 것이 아닌 데이터로부터 학습을 통해 작업을 수행할 수 있도록 가르치는 것이다. 이러한 머신러닝은 인공지능의 한 분야로 컴퓨터가 여러 데이터를 이용하여 학습한 내용을 바탕으로 예측이나 결정을 도출하기 위해 특정한 모델을 구축한다. 머신러닝은 학습하는 환경 혹은 데이터의 속성 형태에 따라 지도학습, 비지도학습, 강화학습으로 나뉜다. 지도학습 방식은 정답이 정해진 문제에 대해 정해진 특성 정보를 통해 학습을 하고 모델을 생성한다. 그리고 생성된 모델을 통해 주어진 문제의 정답을 분류(Classification)한다. 비지도학습 방식은 지도학습의 정답의 분류와다르게 정답이 없는 데이터의 패턴을 분석 및 학습하여 유사한 데이터로 군집화(Clustering)하거나 유사한 데이터의 군집과 동떨어진 이상 데이터를 탐지한다. 강화학습은 지도학습과 관련된 하위 분류이지만, 지도학습 기법이 사전에 ‘정답’을 학습에 이용하는 것과 달리, 강화학습은 시간에 따라 변화하는 외부 환경의 ‘반응’을 학습에 이용한다는 측면에서 지도학습과 구별된다.
또는 딥러닝이 이용될 수도 있는데, 딥러닝은 사람의 학습방법을 기계에게 가르침으로써, 사물이나 데이터를 군집화하여 분류하는 데 사용하는 기술이다. 종종 인공신경망(Neural Network)이라는 용어가 사용되기도 하는데, 이것은 인간의 뇌를 모방하는 것을 뜻한다. 인공신경망은 수학적 논리학이 아닌 인간의 두뇌를 모방하여 수많은 간단한 처리기들의 네트워크로 구성된 신경망 구조를 상정하는 것이다. 인공신경망을 이용하면 분류나 군집화를 원하는 데이터 위에 여러 층을 얹어서 많은 데이터를 서로 비교해 유사도를 구해주거나, 라벨링 되어있는 데이터를 기반으로 분류 학습하여 자동으로 데이터를 분류할 수 있다. 딥뉴럴 네트워크는 많은 데이터를 통해 데이터의 핵심내용을 요약하고 학습하는 알고리즘 모델이다.
알고리즘은 “어떤 값이나 값의 세트를 입력(input)으로 취해서 또 다른 어떤 값이나 값의 세트를 출력(output)로 만들어 내는 명확히 정의된 계산 절차” 즉, 컴퓨터를 사용한 계산 절차이다. 알고리즘은 입력을 출력으로, 다시 말해 투입 값을 산출 값으로 변형하는 연속적인 컴퓨터의 계산 단계인 것이다. 다른 측면에서 알고리즘은 정확히 명시된 컴퓨터 계산 문제를 해결하기 위한 수단으로 볼 수도 있다. 문제의 진술은 원하는 투입과 산출의 관계를 일상 언어로 명시하고, 알고리즘은 그러한 “입력(투입)과 출력(산출)의 관계를 획득할 수 있는 컴퓨터의 특수한 계산 절차를 서술하는 것”이다. 또한 알고리즘은 기본적으로 ‘곱(and)’,‘합(or)’, ‘부정(not)’이라는 세 가지 기본 연산 기호에 의해 설계될 수 있는데, 이때 사용되는 연산 규칙은 입력된 기호를 출력된 기호로 변형하는 역할을 한다. 피쳐(Feature)는 알고리즘을 구성하는 요소로 머신러닝 모델이 데이터를 분류하기 위해 사용하는 데이터의 정보 혹은 속성으로, 사용하는 피쳐에 따라 머신러닝 알고리즘의 분류 성능이 크게 달라질 수 있다.
상술한 머신러닝을 모델링한 플랫폼을 구동하기 위해서, 개념 검증(Proof of Concept: PoC)을 진행한 후 탐지 결과를 알고리즘에 반영 후, 각 클라이언트에 모의공격을 수행할 수 있다. 웹 공격을 탐지할 수 있는 IPS와 WAF에서 탐지되지 않는 비정상 행위를 식별하기 위하여 행위기반 공격을 수행하였다.탐지모델 설계 시, 머신러닝 알고리즘을 사용할 수 있고, 수집되는 로그를 분석 후 다수의 피쳐를 개발하여 적용할 수 있다.
이때, 머신러닝 알고리즘은, 이하 3 개의 종류와 같을 수 있으나 다른 알고리즘이 사용되는 것을 배제하지 않는다. 우선, Character-Level CNN인데, Raw data를 글자단위로 학습하는 CNN 모델로써 보안 데이터에 특화된 모델이다. 새롭게 발생하는 text형의 데이터에도 준수한 예측 성능을 보장하며, 엄청난 숫자의 파라미터를 가지는 모델을 생성하므로 메모리 사용량이 기타 모델보다 높은 편이지만 CNN은 GPU에서 가동하기 때문에, 시스템 메모리와 분산처리를 통해 성능을 보장할 수 있다.
두 번째는 Isolation Forest인데, 의사결정나무를 앙상블 하는 방식의 알고리즘으로, 데이터셋 크기에 상관없이 작은 서브샘플을 사용하여 학습 시간이 빠르고 다차원 데이터에서도 쉽게 적용이 가능하다. 샘플링 수가 적어도 잘 동작하고 큰 정상 군집을 끝까지 분리할 필요가 없음으로 큰 집합에서도 빠른 성능을 내며, 메모리 요구양이 적다. 세 번째는 K-means인데, 지정된 군집화의 개수만큼 군집화를 행하여, 정확도를 높이기 위해 군집된 분포간의 거리까지 확인하는 모델이다. I-Forest를 보완하여 보다 정밀한 예측이 가능하다. 세 개의 알고리즘을 이용하여 공격 시나리오를 생성, 공격 수행, 검증, 분석의 절차로 기술검증을 할 수 있다. 시나리오 작성은 이상행위 탐지모델별 모의공격을 작성하는 것이고, 모의공격 수행은 작성된 시나리오 기반의 모의공격을 수행하는 것이며, 이벤트 발생 여부 검증은,AI 시스템에서 해당 이상행위를 예측/탐지 여부 검증하는 것이고, 결과 분석은, 모의 공격 결과 비교 분석으로, WAF, IPS, SIEM 탐지 결과와 AI 시스템 탐지 결과를 비교하는 것이다.
1차 모의 공격 결과에 따라 임계치 이하, 새로운 공격 패턴, 행위 기반 공격에 대한 추가 확인을 위해 추가 시나리오로 2차 모의 공격을 수행할 수도 있다. 만약, 모든 공격에 대해 IPS와 WAF, SIEM에서 탐지하거나 차단하지 못하였으나 AI 시스템에서는 이상행위를 식별하는데 성공할 수 있다면, 공격자가 보안 취약점을 악용하여 임계치 이하의 공격, 행위기반 공격, 우회 패턴을 이용한 공격을 교묘하게 수행하였을 시, 정보보안시스템을 우회하여 웹 어플리케이션에 피해를 입힐 수 있으며, 심지어 침해 사실을 인지하지 못할 수 있는데, 이 상황에서 AI 시스템으로 보안 수준을 강화할 수 있다는 것을 의미한다.
이때, 침입방지시스템(Intrusion Prevention System: IPS), 웹방화벽(Web Application Firewall: WAF), 보안 정보 및 이벤트 관리 시스템(Security Information & Event Management: SIEM) 등 다양한 정보보안시스템과 보안운영센터(Security Operations Center: SOC)을 설명하면 이하와 같다.
침입방지시스템(IPS)은, 네트워크 트래픽과 동일 선상인 in-line 형태로 존재하여 트래픽을 감시하고 악성으로 판단될 경우 해당 패킷을 차단하는 등 적극적으로 공격에 대처하는 능동형 시스템이다. 방화벽과는 달리 운영체제나 애플리케이션의 취약점을 능동적으로 사전에 정의하여 웜이나 바이러스, 비정상 트래픽을 차단할 수 있어 한 단계 더 진보한 보안시스템이다. 이러한 침입방지시스템은 웜, 바이러스, 악성 코드 및 해킹으로부터 유발되는 유해트래픽을 사전 차단함으로써 인터넷 및 내부 네트워크 자원의 효율적 사용을 도모할 수 있다.
웹방화벽(WAF)은 네트워크 트래픽과 동일 선상에 있으며, 지금의 TCP/IP 기반의 인터넷 환경은 웹서비스의 발달과 밀접한 관계가 있다. TCP/IP의 허술한 보안체계에도 불구하고, 웹서비스의 기반기술인 HTTP 프로토콜이 바로 TCP/IP 환경에 최적화 되어 운영되기 때문이기도하다. HTTP 프로토콜을 이용하여 서비스하는 것을 웹 애플리케이션이라고 한다. 주로 초기에는 정적인 HTML(HyperText Markup Language)언어로 제작되었다가 웹 화면 구현의 용이성, 각 객체 간 상호 연동, 게시판과 같은 실시간 동적 홈페이지 구현을 위해 ASP, JSP 등 다양한 프로그래밍 언어로 구현되고 있다. 인터넷 초기에 단순 정보공유 차원에서 운영되던 웹은 점차 기업의 주요 마케팅 도구로 발전하면서 아이디, 비밀번호 등 개인정보를 포함하여 각종 기업정보를 포함하게 되었다. 또한 웹서비스의 특성상 불특정 다수에게 조건 없이 접속을 허용해야 함에 따라 해커들은 각 기관이나 기업의 웹서버 취약점을 통해 내부 시스템으로의 접근을 시도하게 되었다.
특히, 웹 환경에서 이루어지는 전자상거래가 발달하면서 인터넷 쇼핑몰이 해커들의 주 공격대상이 되었고 고객의 단순 개인정보 뿐만 아니라 금융정보까지 획득하면서 금전거래와 같은 악의적 목적으로 발전되었다. 웹서비스는 외부 모든 사람에게 접속을 허용해야하기 때문에 방화벽은 웹서비스를 대상으로 하는 침입시도를 방어할 수 없다. 침입방지시스템 또한 홈페이지 공격을 방어하기에는 제한적일 수밖에 없는데 웹서비스를 이용하는 것 자체가 정상 행위이기 때문에 정상사용자와 해커의 분별이 어렵다. 이러한 웹서비스의 특징 때문에 웹에 특화되어 방어하는 보안시스템인 웹방화벽이 개발되었다. 대부분의 웹 공격은 웹 애플리케이션을 구축할 때 생기는 취약점을 이용하여 웹 서버를 공격하거나 데이터베이스 내용을 악용하는 형태이다.
최근의 고도화/대규모화되는 네트워크 인프라를 통한 다양한 보안 위협을 조기에 탐지 및 대처하기 위해서는 체계적인 수단이 필수적이다. 이를 위하여 각종 보안 장비, 네트워크 인프라, 서버/스토리지 장비 및 서비스 응용들로부터 생성되는 로그, 패킷 등 대량의 이벤트 데이터를 수집하고, 이에 대하여 빅데이터 솔루션을 활용한 보안 분석을 수행하는 보안관제 체계가 필요한데, 보안 정보 관리(Security Information Management: SIM)와 보안 이벤트 관리(Security Event Management: SEM)가 결합된 보안 정보 및 이벤트 관리 시스템(Security Information and Event Management: SIEM)을 더 이용할 수도 있다. SIEM은 가상/실제 네트워크들, 서비스 응용들, 시스템 로그들과 이벤트 데이터를 수집한 후에 이를 분류하고 분석해서 빠른 리포팅을 제공하고, 추가 개입이나 변경된 대응이 필요한 경우는 경고를 수행할 수 있다.
이하, 상술한 도 2의 분석 서비스 제공 서버의 구성에 따른 동작 과정을 도 3 및 도 4를 예로 들어 상세히 설명하기로 한다. 다만, 실시예는 본 발명의 다양한 실시예 중 어느 하나일 뿐, 이에 한정되지 않음은 자명하다 할 것이다.
도 3을 참조하면, (a) 분석 서비스 제공 서버(300)는, 정상적인 파일 또는 프로세스를 식별하기 위해 식별코드를 부여하고, 여기에 메타데이터, 즉 이름, 사이즈(크기), 해쉬값 등 정보를 입력하여 매핑 및 저장한다. 그리고, (b) 분석 서비스 제공 서버(300)는, 적어도 하나의 사용자 단말(100)로 분석 에이전트를 전송하여 설치시키고 분석 에이전트로부터 모니터링된 적어도 하나의 파일 또는 프로세스와 화이트 리스트 내에 포함된 파일 또는 프로세스를 비교하여 변형되거나, 변조, 삭제, 추가 등 변형된 것들에 대한 알람을 관리자 단말(400)로 실시간으로 전송한다. 그리고, (d) 분석 서비스 제공 서버(300)는, 신규 파일이나 프로세스도 실시간으로 모니터링하여 관리자 단말(400)에서 출력하여 관리자가 처리를 할 수 있도록 한다.
즉, 현재 상태에서 서버 및 단말에 저장된 파일에 대한 파일이름, 생성정보, 해쉬정보 등 속성정보를 모두 스캐닝 하여 보관하고 있다가 실제 변조되거나 추가 및 삭제되는 행위가 있음에 대하여 바로 알람을 발생시킬 수 있다. 또, 비정상 행위의 파일에 대해서는 차단 기능도 제공할 수 있다. 화이트 리스트 기반으로 보안을 하는 경우, 공격의 위험성을 90%이상 줄일 수 있는데, 완전 무결한 시스템에서 화이트 리스트 기반으로 현재 보유한 파일의 사이즈 및 프로세스의 해쉬값 등 메타데이터로 보증한 후 시스템 내에서 없던 파일을 탐지하고 알람을 발생하며, 프로세스 실행시에 해쉬값으로 검증할 수 있다. 메타데이터란, 파일의 각종 정보를 뜻하는 것으로, 파일의 이름/크기(사이즈)/해쉬값 등의 정보를 문자로 가지고 있다. 검색 엔진에서 활용하기 쉬운형태로 필요한 데이터를 검색하여 고속 검색 엔진에 활용하고, 파일이름 및 크기, 해쉬값이 변경된 파일을 쉽게 찾아낼 수 있다.
도 4의 (a)를 참조하면, 분석 서비스 제공 서버(300)는 비정상 프로세스 또는 파일을 탐지한 경우, 파일 또는 프로세스를 구동하는 클라이언트, 즉 사용자 단말(100)을 찾고, 그 사용자 단말(100)에서 비정상으로 탐지된 프로세스 또는 파일을 중지하거나 차단시킬 수 있다. 그리고, (b) 분석 서비스 제공 서버(300)는 변조, 변형, 추가 또는 삭제된 파일이나 프로세스를 수집하여 머신러닝을 모델링한 후, 모델링한 알고리즘으로 탐지를 해낼 수도 있다. (c) 또, 분석 서비스 제공 서버(300)는 일별 파일의 개수 및 변조파일 개수, 삭제 및 추가 파일의 개수 등 통계 기능을 제공할 수 있는데, 일별 프로세스 개수를 비교할 수 있는 통계 기능을 제공하고, 프로세스의 CPU 및 메모리 사용량을 모니터링 할 수 있게 시각화 기능을 제공할 수 있다. 또, 악의적인 프로세스 및 신규 생성된 파일 발견시 보안관제 요원에 의해 안전한 파일 검역소 저장위치에 보관하여 추후 분석 전문가에게 제공한다. 이때, 검역소에서는 파일의 실행이 차단된 저장소로 안전한 상태로 보관할 수 있다. 필요시 외부 바이러스 토탈, 해외 osint, 국내 kisa의 CTAS, 멀웨어닷컴 등의 악성코드 등의 정보를 자동 및 수동 참조 할 수 있도록 기능을 제공할 수 있다.
이와 같은 도 2 내지 도 4의 화이트 리스트 기반 비정상 프로세스 분석 서비스 제공 방법에 대해서 설명되지 아니한 사항은 앞서 도 1을 통해 화이트 리스트 기반 비정상 프로세스 분석 서비스 제공 방법에 대하여 설명된 내용과 동일하거나 설명된 내용으로부터 용이하게 유추 가능하므로 이하 설명을 생략하도록 한다.
도 5는 본 발명의 일 실시예에 따른 도 1의 화이트 리스트 기반 비정상 프로세스 분석 서비스 제공 시스템에 포함된 각 구성들 상호 간에 데이터가 송수신되는 과정을 나타낸 도면이다. 이하, 도 5를 통해 각 구성들 상호간에 데이터가 송수신되는 과정의 일 예를 설명할 것이나, 이와 같은 실시예로 본원이 한정 해석되는 것은 아니며, 앞서 설명한 다양한 실시예들에 따라 도 5에 도시된 데이터가 송수신되는 과정이 변경될 수 있음은 기술분야에 속하는 당업자에게 자명하다.
도 5를 참조하면, 분석 서비스 제공 서버는, 실행이 안전한 적어도 하나의 프로세스 또는 파일의 정보를 포함한 화이트 리스트를 적어도 하나의 프로세스 또는 파일의 메타데이터와 매핑하여 저장한다(S5100).
그리고, 분석 서비스 제공 서버는, 적어도 하나의 사용자 단말에 설치된 분석 에이전트로부터 적어도 하나의 사용자 단말에서 실행되는 적어도 하나의 프로세스 또는 파일의 정보를 실시간으로 수집한다(S5200).
또, 분석 서비스 제공 서버는, 실행되는 적어도 하나의 프로세스 또는 파일의 정보가 화이트 리스트의 정보와 일치하지 않는 경우 관리자 단말로 알람을 전송한다(S5300).
상술한 단계들(S5100~S5300)간의 순서는 예시일 뿐, 이에 한정되지 않는다. 즉, 상술한 단계들(S5100~S5300)간의 순서는 상호 변동될 수 있으며, 이중 일부 단계들은 동시에 실행되거나 삭제될 수도 있다.
이와 같은 도 5의 화이트 리스트 기반 비정상 프로세스 분석 서비스 제공 방법에 대해서 설명되지 아니한 사항은 앞서 도 1 내지 도 4를 통해 화이트 리스트 기반 비정상 프로세스 분석 서비스 제공 방법에 대하여 설명된 내용과 동일하거나 설명된 내용으로부터 용이하게 유추 가능하므로 이하 설명을 생략하도록 한다.
도 5를 통해 설명된 일 실시예에 따른 화이트 리스트 기반 비정상 프로세스 분석 서비스 제공 방법은, 컴퓨터에 의해 실행되는 애플리케이션이나 프로그램 모듈과 같은 컴퓨터에 의해 실행가능한 명령어를 포함하는 기록 매체의 형태로도 구현될 수 있다. 컴퓨터 판독 가능 매체는 컴퓨터에 의해 액세스될 수 있는 임의의 가용 매체일 수 있고, 휘발성 및 비휘발성 매체, 분리형 및 비분리형 매체를 모두 포함한다. 또한, 컴퓨터 판독가능 매체는 컴퓨터 저장 매체를 모두 포함할 수 있다. 컴퓨터 저장 매체는 컴퓨터 판독가능 명령어, 데이터 구조, 프로그램 모듈 또는 기타 데이터와 같은 정보의 저장을 위한 임의의 방법 또는 기술로 구현된 휘발성 및 비휘발성, 분리형 및 비분리형 매체를 모두 포함한다.
전술한 본 발명의 일 실시예에 따른 화이트 리스트 기반 비정상 프로세스 분석 서비스 제공 방법은, 단말기에 기본적으로 설치된 애플리케이션(이는 단말기에 기본적으로 탑재된 플랫폼이나 운영체제 등에 포함된 프로그램을 포함할 수 있음)에 의해 실행될 수 있고, 사용자가 애플리케이션 스토어 서버, 애플리케이션 또는 해당 서비스와 관련된 웹 서버 등의 애플리케이션 제공 서버를 통해 마스터 단말기에 직접 설치한 애플리케이션(즉, 프로그램)에 의해 실행될 수도 있다. 이러한 의미에서, 전술한 본 발명의 일 실시예에 따른 화이트 리스트 기반 비정상 프로세스 분석 서비스 제공 방법은 단말기에 기본적으로 설치되거나 사용자에 의해 직접 설치된 애플리케이션(즉, 프로그램)으로 구현되고 단말기에 등의 컴퓨터로 읽을 수 있는 기록매체에 기록될 수 있다.
전술한 본 발명의 설명은 예시를 위한 것이며, 본 발명이 속하는 기술분야의 통상의 지식을 가진 자는 본 발명의 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 쉽게 변형이 가능하다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해해야만 한다. 예를 들어, 단일형으로 설명되어 있는 각 구성 요소는 분산되어 실시될 수도 있으며, 마찬가지로 분산된 것으로 설명되어 있는 구성 요소들도 결합된 형태로 실시될 수 있다.
본 발명의 범위는 상기 상세한 설명보다는 후술하는 특허청구범위에 의하여 나타내어지며, 특허청구범위의 의미 및 범위 그리고 그 균등 개념으로부터 도출되는 모든 변경 또는 변형된 형태가 본 발명의 범위에 포함되는 것으로 해석되어야 한다.

Claims (7)

  1. 분석 에이전트가 설치되고, 실행되는 적어도 하나의 프로세스 또는 파일의 정보를 적어도 하나의 식별정보와 함께 상기 분석 에이전트에서 수집하여 전송하고, 기 저장된 화이트 리스트에 포함되지 않은 적어도 하나의 프로세스 또는 파일은 실행을 중지하는 적어도 하나의 사용자 단말(100); 및
    실행이 안전한 적어도 하나의 프로세스 또는 파일의 정보를 포함한 화이트 리스트를 상기 적어도 하나의 프로세스 또는 파일의 메타데이터와 매핑하여 저장하는 저장부(310), 상기 적어도 하나의 사용자 단말(100)에 설치된 분석 에이전트로부터 상기 적어도 하나의 사용자 단말(100)에서 실행되는 적어도 하나의 프로세스 또는 파일의 정보를 실시간으로 수집하는 수집부(320), 상기 실행되는 적어도 하나의 프로세스 또는 파일의 정보가 상기 화이트 리스트의 정보와 일치하지 않는 경우 관리자 단말(400)로 알람을 전송하는 전송부(330)를 포함하는 분석 서비스 제공 서버(300);를 포함하고,
    상기 메타데이터는 상기 적어도 하나의 프로세스 또는 파일의 이름, 사이즈 및 해쉬값을 포함하고,
    상기 전송부(330)는, 상기 적어도 하나의 프로세스 또는 파일의 이름, 사이즈 및 해쉬값 중 어느 하나 또는 적어도 하나의 조합이 변경된 경우 상기 관리자 단말(400)로 로그를 전송하여 알람을 전송하며,
    상기 분석 서비스 제공 서버(300)는, 상기 적어도 하나의 사용자 단말(100)에서 상기 화이트 리스트에 포함되지 않은 적어도 하나의 신규 프로세스 또는 신규 파일이 실행되는 경우, 상기 적어도 하나의 신규 프로세스 또는 신규 파일을 상기 관리자 단말(400)로 알람을 전송하는 신규탐지부(340);를 더 포함하고,
    상기 분석 서비스 제공 서버(300)는, 상기 적어도 하나의 사용자 단말(100)에서 기 저장된 파일에 대한 파일 이름, 생성 정보 및 해쉬 정보를 포함하는 속성정보를 스캐닝하여 보관하고, 상기 속성정보가 변조, 추가 및 삭제 중 어느 하나 또는 적어도 하나의 조합이 발생한 경우 알람을 출력하는 변조감지부(350);를 더 포함하며,
    상기 분석 서비스 제공 서버(300)는, 상기 전송부(330)에서 알람을 전송한 적어도 하나의 프로세스 또는 파일을 기 저장된 검역소 저장위치에 저장하고, 분석 전문가 단말로 전송하는 검역부(360);를 더 포함하고,
    상기 분석 서비스 제공 서버(300)는, 상기 전송부에서 알람을 전송한 적어도 하나의 프로세스 또는 파일의 정보와, 상기 화이트 리스트 내 포함된 적어도 하나의 프로세스 또는 파일의 정보 간 차이를 기 저장된 머신러닝 알고리즘으로 학습 및 테스트하여 변형 탐지 알고리즘을 모델링하고, 모델링된 상기 변형 탐지 알고리즘으로 상기 적어도 하나의 사용자 단말(100)에서 실행되는 적어도 하나의 프로세스 또는 파일을 모니터링하는 머신러닝부(380);
    를 더 포함하는 것을 특징으로 하는 화이트 리스트 기반 비정상 프로세스 분석 서비스 제공 시스템.
  2. 제 1 항에 있어서,
    상기 신규탐지부(340)는, 시스템에서 발생하는 정보 중 프로세스의 생성과 종료, 파일의 생성과 수정 내역, 네트워크 통신 기록과 비정량적인 데이터를 활용하여 이상치 탐지를 할 수 있게 정량적인 정보로 환원할 수 있도록, 임베딩(Embedding)기법을 이용하는 것을 특징으로 하는 화이트 리스트 기반 비정상 프로세스 분석 서비스 제공 시스템.
  3. 삭제
  4. 삭제
  5. 삭제
  6. 제 1 항에 있어서,
    상기 분석 서비스 제공 서버(300)는,
    상기 적어도 하나의 사용자 단말(100)에서 모니터링되는 주기별 또는 실시간 파일의 개수, 변조된 파일의 개수, 삭제된 파일의 개수 및 추가된 파일의 개수를 포함하는 통계와, 상기 적어도 하나의 사용자 단말(100)에서 모니터링되는 주기별 또는 실시간 프로세스의 개수를 비교하는 통계와, 상기 적어도 하나의 사용자 단말(100)에서 실행하는 프로세스의 CPU 및 메모리 사용량을 모니터링한 결과를 시각화하는 시각화부(370);
    를 더 포함하는 것을 특징으로 하는 화이트 리스트 기반 비정상 프로세스 분석 서비스 제공 시스템.
  7. 삭제
KR1020200148291A 2020-11-09 2020-11-09 화이트 리스트 기반 비정상 프로세스 분석 서비스 제공 시스템 KR102259760B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020200148291A KR102259760B1 (ko) 2020-11-09 2020-11-09 화이트 리스트 기반 비정상 프로세스 분석 서비스 제공 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020200148291A KR102259760B1 (ko) 2020-11-09 2020-11-09 화이트 리스트 기반 비정상 프로세스 분석 서비스 제공 시스템

Publications (1)

Publication Number Publication Date
KR102259760B1 true KR102259760B1 (ko) 2021-06-02

Family

ID=76372729

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020200148291A KR102259760B1 (ko) 2020-11-09 2020-11-09 화이트 리스트 기반 비정상 프로세스 분석 서비스 제공 시스템

Country Status (1)

Country Link
KR (1) KR102259760B1 (ko)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115051833A (zh) * 2022-05-12 2022-09-13 中国电子科技集团公司电子科学研究院 一种基于终端进程的互通网络异常检测方法
CN115665311A (zh) * 2022-10-25 2023-01-31 北京鸿途信达科技股份有限公司 一种手机定时优化后台进程的***优化方法
CN115834190A (zh) * 2022-11-22 2023-03-21 中国联合网络通信集团有限公司 主机管控方法、装置、设备和存储介质
CN116915507A (zh) * 2023-09-12 2023-10-20 奇安星城网络安全运营服务(长沙)有限公司 基于安全信号匹配的计算机网络安全分析***

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2018518762A (ja) * 2015-05-28 2018-07-12 オラクル・インターナショナル・コーポレイション 自動異常検出および解決システム
KR101968633B1 (ko) * 2018-08-27 2019-04-12 조선대학교산학협력단 실시간 최신 악성코드 및 침해 진단 서비스 제공 방법
KR20190121483A (ko) * 2018-04-18 2019-10-28 롯데정보통신 주식회사 화이트리스트 기반 악성코드 차단 장치 및 방법
KR20200115730A (ko) * 2019-03-18 2020-10-08 주식회사 위젯누리 머신러닝을 이용한 소프트웨어 화이트리스트 생성 시스템 및 방법

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2018518762A (ja) * 2015-05-28 2018-07-12 オラクル・インターナショナル・コーポレイション 自動異常検出および解決システム
KR20190121483A (ko) * 2018-04-18 2019-10-28 롯데정보통신 주식회사 화이트리스트 기반 악성코드 차단 장치 및 방법
KR101968633B1 (ko) * 2018-08-27 2019-04-12 조선대학교산학협력단 실시간 최신 악성코드 및 침해 진단 서비스 제공 방법
KR20200115730A (ko) * 2019-03-18 2020-10-08 주식회사 위젯누리 머신러닝을 이용한 소프트웨어 화이트리스트 생성 시스템 및 방법

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115051833A (zh) * 2022-05-12 2022-09-13 中国电子科技集团公司电子科学研究院 一种基于终端进程的互通网络异常检测方法
CN115051833B (zh) * 2022-05-12 2023-12-15 中国电子科技集团公司电子科学研究院 一种基于终端进程的互通网络异常检测方法
CN115665311A (zh) * 2022-10-25 2023-01-31 北京鸿途信达科技股份有限公司 一种手机定时优化后台进程的***优化方法
CN115665311B (zh) * 2022-10-25 2024-02-06 北京鸿途信达科技股份有限公司 一种手机定时优化后台进程的***优化方法
CN115834190A (zh) * 2022-11-22 2023-03-21 中国联合网络通信集团有限公司 主机管控方法、装置、设备和存储介质
CN115834190B (zh) * 2022-11-22 2024-04-09 中国联合网络通信集团有限公司 主机管控方法、装置、设备和存储介质
CN116915507A (zh) * 2023-09-12 2023-10-20 奇安星城网络安全运营服务(长沙)有限公司 基于安全信号匹配的计算机网络安全分析***
CN116915507B (zh) * 2023-09-12 2023-12-05 奇安星城网络安全运营服务(长沙)有限公司 基于安全信号匹配的计算机网络安全分析***

Similar Documents

Publication Publication Date Title
KR102259760B1 (ko) 화이트 리스트 기반 비정상 프로세스 분석 서비스 제공 시스템
Wang et al. Detecting android malware leveraging text semantics of network flows
Gaber et al. Injection attack detection using machine learning for smart IoT applications
Maggi et al. Protecting a moving target: Addressing web application concept drift
Wang et al. A Host‐Based Anomaly Detection Framework Using XGBoost and LSTM for IoT Devices
Zhao et al. A review of computer vision methods in network security
Lin et al. Internet of things intrusion detection model and algorithm based on cloud computing and multi-feature extraction extreme learning machine
Liu et al. Web intrusion detection system combined with feature analysis and SVM optimization
Li et al. Analyzing host security using D‐S evidence theory and multisource information fusion
Wu et al. Session‐Based Webshell Detection Using Machine Learning in Web Logs
Malik et al. [Retracted] An Improved Deep Belief Network IDS on IoT‐Based Network for Traffic Systems
Li et al. Time series association state analysis method for attacks on the smart internet of electric vehicle charging network
Ávila et al. Use of security logs for data leak detection: a systematic literature review
Hong et al. [Retracted] Abnormal Access Behavior Detection of Ideological and Political MOOCs in Colleges and Universities
Datta et al. Cyber-attack consequence prediction
Kalpana Recurrent nonsymmetric deep auto encoder approach for network intrusion detection system
Hu et al. An adaptive smartphone anomaly detection model based on data mining
Laughter et al. Detection of malicious http requests using header and url features
Babun et al. The Truth Shall Set Thee Free: Enabling Practical Forensic Capabilities in Smart Environments.
Ni et al. Machine learning enabled industrial iot security: Challenges, trends and solutions
Kumar et al. Cross site scripting (XSS) Vulnerability detection using machine learning and statistical analysis
Amamra et al. Enhancing malware detection for Android systems using a system call filtering and abstraction process
Majidpour et al. Application of deep learning to enhance the accuracy of intrusion detection in modern computer networks
Wu et al. Improving convolutional neural network-based webshell detection through reinforcement learning
Rajasekar et al. Security analytics

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant