기존의 1개의 백신으로는 지능적으로 변모하는 신종/변종 악성코드에 대해 판단할 수 없다는 문제점이 있습니다. 백신업체마다 서로 다른 엔진으로 분석한 악성코드 정보를 보유하고 있음으로 백신사에 따라 검출 유무가 다르기 때문입니다.

따라서 해당 문제를 개선하고자 여러 백신업체(약 57개社)의 정보를 활용하여 악성코드 유무를 검출하고자 합니다.

위 표와 같이 PC에서 실행되는 프로세스 정보는 서버에 기록되며 해당 해쉬함수를 이용하여 악성코드 유/무를 확인합니다.

2. 수집프로세스 분류

국내 백신 사인 안랩, 하우리 외 해외 시만텍, 맥아피, 트렌드마이크로, 카스퍼스키 등 다수의 백신업체에서 검출한  정보를 이용하여 해당 프로세스가 악성코드인지 확인하는 작업을 진행합니다.

3. 악성코드 카테고리 분류

악성코드로 검출된 프로세스는 백신업체에 따라 검출 결과가 다르기 때문에 자사 분류 로직을 거쳐 트로이, 웜, 애드웨어, 스파이웨어 등으로 분류됩니다.

4. 적용 및 업데이트 

▷ 해당 작업을 통해 완성된 분류 결과는 DB로 월 1회 정기 제공됩니다.  

▷ 프로세스 DB는 검출 (악성코드 카테고리), 미검출 (탐지 비율 0), 알 수 없음으로 분류되며 제공 시 다양한 정보를 포함하고 있습니다.

관련 자료