지능형 사이버위협 대응기술 연구

연구개발 지능형 사이버위협 대응기술 연구

연구목적

  • 사이버 공격의 주요 도구로 사용되는 지능형 악성코드 위협으로부터 대응하기 위한 기술 연구
  • 대국민 보안 서비스를 위해 악성 웹페이지, 악성코드 유포지 및 경유지 정보를 제공

연구내용

  • 지능형 사이버위협 대응기술 연구

    - SIMon(Suspicious Information Monitoring system in website)을 개발을 통한 MDN 분석

    - 분석 대상 : 초기 약 40만개 이상 웹사이트 대한 실시간 모니터링

    - 분석 방법 : 스크립트 에뮬레이션 기반의 웹페이지 악성여부 분석

    - 분석 결과 : SIMon 모니터링 분석 결과에 기반하여 악성코드 주간 동향 보고서 발간 및 배포
    ‘15년 2월 온라인 서비스 개시(주간 동향 보고서 온라인 통합 제공)

    - 공격 기술 변화에 따라 단계별 탐지 기술 개선을 통한 SIMon 고도화

    · SIMon V2 : 악성코드 유포 취약점 자동 분석, 플래시 취약점 탐지 기술 적용

    · SIMon V3 : 휴먼 웹 크롤러 기반 은닉형 악성코드 유포 웹사이트 탐지 기술 적용

    현재 약 210만개 웹사이트 실시간 모니터링(국가별, 분야별 등 그룹핑을 통한 탐지 조건 다양화)

  • 지능형 악성코드 분석을 위한 머신러닝 기반 자율 상태 감시 및 제어 리얼 샌드박스 연구

    - 하드웨어 및 실행환경 등 분석환경 우회 대응

    - 악성코드 타입 분류를 위한 PE 파일의 정적 분석

    - 악성코드 타입 분류에 따른 실행 환경 설정 자동 설정

    - 분석우회 지능형 악성코드 분석을 위한 Anti-Anti-VM

    - 악성코드 데이터셋을 이용한 악성코드 동작 상태 학습

    - 머신러닝 기반의 GUI형 악성코드 동작 상태 자율 제어

    - 악성행위 수집 및 상관 분석

    현재 약 250만개 악성코드 분류 및 분석 실시간 분석

기대효과

  • 분석 환경을 회피하는 지능형 악성코드의 리얼머신 기반 분석, 능동적 바이너리 핸들링 기술 확보
  • 머신러닝 기반 악성 행위 감시 및 제어를 위한 데이터 셋 수집 및 리얼 샌드박스 기술 확보
  • 개발된 기술을 산업화하고 산학 협력을 통한 기술이전을 추진
  • 악성코드 유포 웹사이트 및 지능형 악성코드 분석(탐지)을 통한 안전한 사이버 환경 구축
  • 대국민 서비스를 통한 국가 사이버보안 강화

주요성과

  • 2017

    - 비정상 행위 감시 기반 DBD 탐지시스템 S/W 등록, 특허출원 진행

    - 머신러닝 기반 자율 상태 감시 및 제어 리얼 샌드박스 연구
      샌드박스 구축(~‘17.12.) 및 대국민 서비스 확장(~’18.12)

    - [SIMonV3.0] 리얼 분석환경 기반의 은닉형 악성코드 유포 웹사이트 탐지 기술 연구

  • 2016

    - WorkingSet Memory 분석을 통한 악성 바이너리 분류 기술 연구

    - DynamoRio를 이용한 악성 바이너리의 API 고유 패턴 추출 기술 연구

  • 2015

    - 리얼 웹브라우저를 이용한 악성코드 탐지 기술 연구

    - UI악성코드 분석을 위한 HIEH 기반 자동 분석 연구

    - SecureSurf(http://securitylab.kr) 오픈 : `15. 2.

  • 2014

    - SIMon 특허 등록(등록번호: 10-1481910)

    - [SIMonV2.0] 유포 취약점 자동 분석(CVE 분류)기술 연구

    - SIMon 정부기관 및 민간기업 기술이전

  • 2013

    - KAIST 주간 악성코드 동향분석 보고서 발간/배포
      (정부 주요 기관 및 직위자, 민간 대상)

    - 웹페이지 비정상 정보 탐지시스템 S/W 등록

  • 2012

    - [SIMonV1.0] 웹페이지 비정상 정보 탐지스스템(SIMon) 기술 연구
      (국내 42만개 홈페이지 실시간 모니터링 및 악성코드 유포 및 경유지 탐지)