초록 ▼

핵심기술
o 머신러닝을 통한 악성코드 유사도 분석 기술 (정확도:95%)
o 엔드포인트 포렌식 기반 악성코드 탐지 (MITRE 520개 및 자체 80개 공격 패턴 적용)

최종목표
암호화된 공격 트래픽과 가상머신 우회기술로 무장한 악성코드에 대응하기 위해, 엔드포인트에서 가상머신에 준하는 네트워크/메모리/프로세스 포렌식 기술과 대량의 악성코드 프로파일링(STIX) 및 차별화된 머신러닝 기반 유사도 분석을 통해 알려지지 않은 신/변종 악성코드 탐지 서비스 제공

개발내용 및 결과
o 개발 내

핵심기술
o 머신러닝을 통한 악성코드 유사도 분석 기술 (정확도:95%)
o 엔드포인트 포렌식 기반 악성코드 탐지 (MITRE 520개 및 자체 80개 공격 패턴 적용)

최종목표
암호화된 공격 트래픽과 가상머신 우회기술로 무장한 악성코드에 대응하기 위해, 엔드포인트에서 가상머신에 준하는 네트워크/메모리/프로세스 포렌식 기술과 대량의 악성코드 프로파일링(STIX) 및 차별화된 머신러닝 기반 유사도 분석을 통해 알려지지 않은 신/변종 악성코드 탐지 서비스 제공

개발내용 및 결과
o 개발 내용
· 악성코드 수집/분석 시스템 개발
- 다중 오픈 채널을 통한 악성코드 수집 자동화
- 정적/동적분석 기반 행위정보 및 프로파일 수집
- 정적 분석에 활용되는 바이너리 매칭기술 개발
- 동적분석 회피방지 기술 및 STIX기반 동적분석 지표 변환 시스템 개발
· 인공지능 기반의 악성코드 유사도 분석 시스템 개발
- STIX 기반 악성코드 특징 추출 자동화 (유사도 분석을 위한 데이터 정규화)
- 2단계 학습 구조(머신러닝+딥러닝)를 통한 고차원의 유사도 분석 기술
- 딥러닝 학습 과정에서의 시스템 자원 소모 최소화 구조 설계
- 학습된 딥 뉴럴 네트워크를 통한 기존/신종 악성코드 분류 기술 구현
- 분류된 악성코드 그룹별 특징 패턴에 대한 아티팩트 정보 생성 (STIX 포멧)
· End-Point 실시간 원격 탐지 시스템 개발
- 엔드포인트 포렌식 정보 수집 및 원격 악성행위 분석을 위한 Agent-Server 구축
- 크로스 플랫폼 환경에서의 네트워크/메모리/프로세스 포렌식 정보 수집
- 유사 악성코드 아티팩트(STIX) 기반 악성코드 탐지
- 엔드포인트 포렌식 기반 악성코드 탐지
- 워커 기능을 활용한 원격 포렌식 기술 구현
- 로컬/원격 탐지 결과에 따른 엔드포인트 악성코드 제어

o 수행 결과
1. 악성코드 수집채널 수 : 5개(목표), 자체평가(평가방법), 100%(달성도)
2. 악성코드 변종 비교 성능 : 0.01초(목표), 자체평가(평가방법), 100%(달성도)
3. 유사 악성코드 탐지 정확도 : 90%(목표), 자체평가(평가방법), 100%(달성도)
4. 악성 프로세스 행위 위험도 : 60%(목표), 자체평가(평가방법), 100%(달성도)
5. 엔드포인트 클라이언트 지원 플랫폼 종류 : 3종류(목표), 자체평가(평가방법), 100%(달성도)
6. 원격 탐지 엔드포인트 클라이언트 수 : 5Node(목표), 자체평가(평가방법), 100%(달성도)
7. 특허 출원 : 2건(목표), 특허청(평가방법), 100%(달성도)
8. 논문 게재 : 5건(목표), 국내외 학회(평가방법), 100%(달성도)
9. SW 등록 : 3건(목표), 한국저작권(평가방법), 33%(2건 등록 신청)(달성도)

기술개발배경
o 암호화된 트래픽(공격 트래픽의 60% 차지)과 가상머신 우회 악성코드(악성코드의 28% 차지)의 증가로 인한 기존의 정적/동적 기반 악성코드 탐지 기술의 한계를 극복하는 새로운 기술이 필요
o 이에 본 과제 결과물은 변종 악성코드를 탐지하기 위한 머신러닝 기반 악성행위 유사도 분석 기술과 가상머신에 준하는 엔드포인트 원격 포렌식 정밀 분석 기술을 통해 알려지지 않은 신종/변종 악성코드에 대한 신뢰성 높은 탐지 제품을 개발하고자 함.

핵심개발기술의 의의
변종 악성코드의 유사도 분석 시장은 현재 성장단계이므로 원천기술 확보 및 솔루션 제품 출시를 통해 글로벌 시장 선점 가능

적용분야
o 보안 분야에 적합한 대용량 악성코드 수집/저장/분석 플랫폼 기술로 활용 가능
o APT 공격 후, 피해발생 전 상관관계 분석을 통해 공격징후를 탐지하는 기술로 활용 가능
o 유사/변종 악성코드의 발견 시에 유사도 기반 탐지 솔루션에 적용 가능
o 조직 및 기업환경에서 메모리/파일시스템/프로세스 행위의 원격 포렌식 프레임워크에 활용 가능

(출처 : 최종보고서 초록 4p)

목차 Contents

• 표지 ... 1
• 제출문 ... 2
• 기술개발사업 최종보고서 초록 ... 3
• 기술개발사업 주요 연구성과 ... 8
• 국문 요약문 ... 14
• 목차 ... 16
• 표목차 ... 17
• 그림목차 ... 18
• 제 1 장 서론 ... 20
• 제 1 절 개발기술의 중요성 및 필요성 ... 20
• 1. 개발 배경 ... 20
• 2. 개발 대상 기술･제품의 중요성 및 필요성 ... 20
• 제 2 절 국내·외 관련 기술 및 시장의 현황 ... 21
• 1. 국내·외 기술 현황 ... 21
• 2. 국내·외 시장 현황 ... 25
• 제 3 절 기술개발 시 예상되는 기술적·경제적 파급효과 ... 26
• 1. 개발 대상 기술·제품의 파급 효과 ... 26
• 제 2 장 기술개발 내용 및 방법 ... 28
• 제 1 절 최종목표 및 평가 방법 ... 28
• 1. 최종목표 ... 28
• 2. 개발기술의 평가 방법 및 평가 항목 ... 32
• 제 2 절 연차별 개발 내용 및 개발 범위 ... 40
• 1. 기술개발 개요 ... 40
• 2. 엔드포인트 실시간 원격 포렌식 시스템 개발 내역 ... 41
• 3. 악성코드 수집/분석 시스템 개발 내역 ... 49
• 4. 악성파일 유사도 분석 시스템 개발 내역 ... 63
• 제 3 장 결과 및 향후 계획 ... 72
• 제 1 절 연구개발 결과 ... 72
• 1. 연차 연구개발 추진일정 ... 72
• 2. 연차 연구개발 추진실적 ... 73
• 3. 기술개발 결과의 유형 및 무형 성과 전체를 기재 ... 75
• 제 2 절 연구개발 추진 체계 ... 78
• 제 3 절 시장현황 및 사업화 전망 ... 79
• 1. 시장 현황 ... 79
• 2. 사업화 전망 ... 81
• 제 4 절 사업비 사용현황 ... 85
• 1. 비목별 총괄표 ... 85
• 2. 참여연구원 ... 86
• 3. 위탁 및 용역과제 ... 88
• 끝페이지 ... 89