1,566 2015-05-29
개요
기존의 1개의 백신으로는 지능적으로 변모하는 신종/변종 악성코드에 대해 판단할 수 없다는 문제점이 있습니다. 백신업체마다 서로 다른 엔진으로 분석한 악성코드 정보를 보유하고 있음으로 백신사에 따라 검출 유무가 다르기 때문입니다.
|
악성코드 DB 분류 방법
1. 프로세스 해쉬 함수 수집
위 표와 같이 PC에서 실행되는 프로세스 정보는 서버에 기록되며 해당 해쉬함수를 이용하여 악성코드 유/무를 확인합니다. |
2. 수집프로세스 분류 |
국내 백신 사인 안랩, 하우리 외 해외 시만텍, 맥아피, 트렌드마이크로, 카스퍼스키 등 다수의 백신업체에서 검출한 정보를 이용하여 해당 프로세스가 악성코드인지 확인하는 작업을 진행합니다. |
3. 악성코드 카테고리 분류 악성코드로 검출된 프로세스는 백신업체에 따라 검출 결과가 다르기 때문에 자사 분류 로직을 거쳐 트로이, 웜, 애드웨어, 스파이웨어 등으로 분류됩니다.
▷ 해당 작업을 통해 완성된 분류 결과는 DB로 월 1회 정기 제공됩니다. ▷ 프로세스 DB는 검출 (악성코드 카테고리), 미검출 (탐지 비율 0), 알 수 없음으로 분류되며 제공 시 다양한 정보를 포함하고 있습니다. 관련 자료 |