사업화 유망기술

STIX 및 TAXII 기반 악성파일 탐지 기술

STIX 및 TAXII 기반 악성파일 탐지 기술

계층구조를 가지는 여러 기관에서 악성 파일 및 행위를 자동화로 탐지 및 결과 수집

보유기관 : 국가보안기술연구소       거래조건 : 협의 후 결정

기술개요

계층구조를 가지는 여러 기관에서 악성 파일 및 행위를 자동화로 탐지 및 결과 수집

특허정보

특허명 특허번호 특허명세서
행위 정규화를 통한 악성코드 고속탐지 및 시각화 방법 및 이를 이용한 장치 10-1818006
보안위협 정보 공유 장치 및 방법 10-1964592

기술완성도

TRL01

기초 이론/
실험

  • 연구과제 탐색 및 기회 발굴 단계
TRL02

실용 목적의 아이디어/
특허 등 개념 정립

  • 실용 목적의 아이디어, 특허 등 개념 정립
TRL03

연구실 규모의
성능 검증

  • 연구실/실험실 규모의 환경에서 기본 성능이 검증될 수 있는 단계
  • 개발하려는 시스템/부품의 기본 설계도면을 확보하는 단계
  • 모델링/설계기술 확보
TRL04

연구실 규모의
부품/시스템 성능평가

  • 연구실 규모의 부품/시스템 성능 평가가 완료된 단계
  • 실용화를 위한 핵심요소기술 확보
TRL05

시제품 제작/
성능평가

  • 개발한 부품/시스템의 시작품(Prototype) 제작 및 성능 평가
  • 경제성(생산성)을 고려하지 않고, 우수한 시작품을 1개~수개 미만으로 개발
TRL06

Pilot 단계 시작품
성능 평가

  • 경제성(생산성)을 고려한, 파일로트 규모의 시작품 제작 및 평가
  • 시작품 성능평가
TRL07

Pilot 단계 시작품
신뢰성 평가

  • 시작품의 신뢰성 평가
  • 실제 환경(수요기업)에서 성능 검증이 이루어지는 단계
TRL08

시작품 인증/
표준화

  • 일부 시제품의 인증 및 인허가 취득 단계
    - 조선 기자재의 경우 선급기관 인증, 의약품의 경우 식약청의 품목 허가 등
TRL09

사업화

  • 본격적인 양산 및 사업화 단계

기존 기술의 문제점

- 문자열 비교방법은 검사대상의 문자열을 모두 탐색해야 하기 때문에 소요시간이 길어져 속도에 큰 영향을 줌

- 프로그램의 행위를 시각화하여 인간이 한눈에 행위특성을 파악하기 어려움

- 국가, 공공기관 등 특정 벤더의 보안 장비에 의존하여 현상으로 인해 비용 낭비 발생

- 보안 관제 장비 SHA-1의 해시정보만 추출할 경우 분석결과를 규격화하기 어려움

- 탐지 대상, 규칙, 결과 등 벤더별로 상이하여 장비간 연동이 불가하고 특정 벤더의 종속적인 문제 발생

기존 기술과의 차별성(기술의 특장점 또는 효과 등)

- STIX, YARA, Snort 탐지 패턴 지원(STIX Patterning Conformance level 2 만족)

- 파일 및 PCAP 메타데이터 처리를 통한 탐지 고속화

- 악성코드의 행위와 관련 객체를 정규화된 방법으로 인식하고 시각적으로 표현 가능

- 악성코드에 의해 발생한 행위와 객체 정보를 토대로 메타데이터를 구성하여 필터링하므로 탐지속도 향상

주요기술구성(상세설명 등)

- 계층구조를 가지는 여러 기관에서 악성 파일 및 행위를 자동화로 탐지 및 결과 수집

- STIX 2.0(이상), TAXII 2.0(이상)을 100%로 준수(STIX Patterning Conformance Level2 만족)

- STIX 객체들간의 관계를 효과적으로 관리 및 인식

- 실제객체와 이에 대한 STIX 객체가 관계 인식 및 관리

- 행위와 객체를 정규화하고 시각적으로 표현하며, 탐지 성능 향상을 위한 고속 필터링

적용분야 및 적용제품

- 일원화된 악성코드 탐지체계 구축 시스템

- 국내 보안시장의 글로벌 표준인 STIX, TAXII 기반의 국내 보안업계
  1. 로그인
  2. 회원가입

Biz행사

Biz웹사이트

문의전화
02)3390-8221