[정보보안기사] 악성코드 탐지기법

악성코드 탐지기법은 크게

(시그니처 탐지기법, 휴리스틱 탐지기법, 행위기반 탐지기법, 퍙판기반 탐지기법으로 분류할 수 있으며,

악성코드 분석방법은 정적 분석방법, 동적 분석방법, 자동화 분석방법으로 나눌 수 있다.

유형별 탐지기법의 상세 내용은 다음과 같다.

(1) 시그니처 기법 :
다른 말로 ‘Misuse기반 탐지’ 혹은 'Knowledge 기반 탐지‘로 불린다. 이름에서 볼 수 있듯이 시그니처 기반 탐지기법은 이미 발견되고 정립된 공격 패턴을 미리 입력해두고, 입력된 패턴에 해당하는 트래픽을 발견하게 되었을 때 이를 감지하여 알려준다.

시그니처 탐지기법은 모니터링한 트래픽이 알려진 악성행위의 특징과 일치하면 이를 공격으로 탐지하여 알려주는 것이므로, 많이 알려지고 공격자가 자주 사용하는 공격, 혹은 위협적이라고 알려진 공격들을 전부 탐지할 수 있다는 장점이 있다.

반면에 알려지지 않거나 입력되어 있지 않은 새로운 패턴에 대해서는 탐지할 수 없다는 단점이 있다.


(2) 휴리스틱 기법 :
휴리스틱 탐지기법은 시스템의 룰과 패턴을 사용하여 알려지지 않은 악성코드를 탐지하기 위해 사용하는 기법이다. 대부분의 백신 제품은 시그니처 기반 탐지를 보조하기 위해 향상된 탐지와 효율성의 몇 가지 형태의 휴리스틱 기법을 사용한다.

시그니처를 사용하여 정확하게 탐지되지 않는 악성코드는 정의된 의심스러운 기준들의 휴리스틱 룰셋과 비교하여 탐지하게 된다.  특정한 코딩 기법의 사용, 의심스러운 것으로 생각되는 행위와 구문들과 그러한 의심스러운 행위들의 조합 등을 통해 해당 파일에 대한 위험을 정의한다.


(3) 행위 기반 기법 :
행위 기반 탐지기법응 운영중인 프로세스의 행동을 분석하여 이상 징후를 탐지한다. 행위 기반 탐지기술을 파일의 행위가 악성인지의 여부를 진단하는 기술로, 탐지를 우회하는 고도화된 악성코드를 비롯해 제로데이 취약점을 이용한 악성 코드 대응에 효과적이다.

이는 IDS에서 수집된 이벤트를 정상이라고 정의된 행위에 비교하여 상당히 이탈한 경우 비정상이라고 판단한다. 정상적인 행위를 프로파일화하기 위해서는 일정기간의 트레이닝 기간이 필요하며, 알려져 있지 않은 공격을 탐지하는데 효율적이나, False Positive 오류가 높다.


(4) 평판 기반 기법  :
이 기술은 처음 보거나 잘 알려지지 않은 파일 밒 애플리케이션이 등장했을 때 과연 신뢰하고 사용해도 되는지 충분히 많은 수의 사용자를 통해 평판을 확인하는 개념이다.

사용자마다 의견이 다를 수 있지만, 충분히 많은 사용자와 데이터만 확보되면 공통의 의견으로 수렴되고, 이에 따라 충분히 신뢰할만한 평판 정보를 확보할 수 있기 때문이다.

평판 기반 탐지기법은 주로 데이터 수집, 평판 평가, 평판 정보 제공의 프로세스로 운영된다. 우선 사용자 커뮤니티 회원, 소프트웨어 개발자, 기업고객 등이 제공하는 데이터 등 다양한 소스를 통해 데이터를 수집하고, 수집된 데이터는 수집 가지 속성(파일 생성시간, 파일 다운로드 소스, 디지털 시그니처, 파일 확산 등)을 평판 통계 알고리즘을 통한 분석을 거쳐 정보를 제공한다.