엔드포인트보안의필수기술 …...실시간콜백 체크 웹브라우져와이메일...
Post on 02-Feb-2020
6 Views
Preview:
TRANSCRIPT
엔드포인트보안의필수기술- 머신러닝을통한예측형위협탐지
트렌드마이크로
윤명익부장
2
머신러닝의대두
3
최근에머신러닝이대세화하는이유는?
빅데이터
4
빅데이터이슈 - 악성코드의기하급수적인증가
500,000,000
5
빅데이터이슈 - 악성코드의기하급수적인증가• “SHA1, MD5, CRC 등의암호화해시는악성코드를고유하게식별하는데사용됩니다.
문제는악성코드를 수정하면암호화해시도함께변경된다는것입니다. 해시를기준으로악성코드를차단하는데심각한문제가있습니다. Cerber 랜섬웨어계열이대표적인사례입니다. 이랜섬웨어는 "악성코드팩토리”를사용하며, 매 15 초마다새로운변종이출현합니다.”
• (http://www.securityweek.com/cerber-ransomware-morphing-every-15-seconds).
6
트렌드마이크로의하이-피델리티머신러닝
7
모델
Algorithm
Feature
Data알고리즘
특성
데이터
수십억개의샘플10년이상의기계학습노하우
하이피델리티모델
25년이상의위협대응기술
8
학습데이터의양과품질에의해좌우되는알고리즘의정확성
위협리서쳐
• 450명의전문연구원• 위협수명주기및순환연구• 3천명이상의외부취약성및익스플로잇연구원
• (제로데이이니셔티브)
글로벌위협인텔리전스
• 하루 100 TB의분석량• 하루 50만건의위협정보수집• 8억여개이상의화이트리스트• 수억개의센서
트렌드마이크로클라우드위협방지네트워크서비스
9
하이-피델리티머신러닝
• 수학적알고리즘을이용하여정상파일과악성코드를예측• 높은신뢰도를위한독창적인이중접근법
파일특성추출머신러닝
• 파일의특성을파악하는정적인기술
• 손상의위험도를감소
런타임머신러닝
• 행위특성을파악
• 난독화된악성코드를탐지
• 실행중인프로세스를종료
노이즈캔슬링을통한오탐최소화: Census 및화이트리스트체크
10
머신러닝 - 컨셉
Unknown
학습
프로세스특성
Good Files/Apps
Bad Files/Malwares
SVM Random Forest
Expert Rule
Neural Network
Deep Learning
머신러닝모델
Scoring
Good/Bad File
파일특성 예측
11
트렌드마이크로엔드포인트보안오피스스캔 XG
머신러닝기술
12
파일특성추출과행위특성추출
• 파일특성추출
• 디지털 DNA 지문, API 매핑및기타파일기능을통해새로등장하는알려지지않은파일여부를구분
• 해당샘플을악성프로그램모델과비교하고, 가능성점수를할당하고, 파일에포함되어있는악성프로그램유형을판별
• 악성코드로판정된파일격리
• 행위특성추출
• 악성프로그램의동작모델링을사용, 알려지지않은프로세스의동작을모델과비교하고, 가능성점수를할당하며, 프로세스에의해실행되고있는악성프로그램유형을판별
• 악성으로판정된행위의프로세스종료
13
파일특성추출 – 2 샘플 (1/3)• Opcode
• Import table
FindFirstFile 1
FindNextFile 2
…… ……
WriteFileEx 443
Others -> Hash ……
1024x1 Vector
Unigram
14
파일특성추출 – 2 샘플 (2/3)
Ransom-Tescrypt크기: 326144 바이트
Ransom-Tescrypt.H크기: 196380 바이트
SHA1: 858e2834e63c2e32788a3382c7dc427f7aa330c6SHA1: 1028a4278cf7ac53ad46ec413b0ff85e45e2c751
15
파일특성추출 – 2 샘플 (3/3)Ransom-Tescrypt크기: 326144 바이트
Ransom-Tescrypt.H크기: 196380 바이트
Opcode
ImportTable
16
파일특성추출프로세스
• 웹과이메일, USB로부터다운로드또는복사되는 PE파일
ATSE
트렌드마이크로머신러닝
알려지지않은 PE파일여부확인
파일특성정보
CensusGRID
엔진에의한실시간콜백
체크
웹브라우져와이메일어플리케이션에포함된부모프로세스를체크
USB 오토런
17
행위특성추출(1/3)
이벤트
패턴
의도
악성코드는최종적으로자신의목적을표출할수밖에없다?
수십억개의행위로그
수백만개
수천개
수십개
측정가능범위
머신러닝
로우데이터
통계모델
18
행위특성추출(2/3)AutoEncoder
Encoder Decoder
Input Output
CompressedFeatures
이벤트 패턴
19
행위특성추출(3/3)
이벤트 패턴 의도
DeepAutoEncoder
머신러닝을통한분류
Ladder (征)
20
행위특성추출프로세스
• 의심스러운프로세스실행감지
• 높은위협프로파일의프로세스를타겟
AEGIS
Falcon모니터링
30초동안의행위를수집의심스러운프로세스알려지지않은파일
행위특성정보
CensusGRID
트렌드마이크로머신러닝
21
엔드포인트보안의머신러닝적용효과
웹검증취약점보호애플리케이션제어변종방지
동작모니터링
허용된안전한파일
차단된악성파일
파일특성추출머신러닝
런타임머신러닝
LEG
END
알려진화이트리스트
알려진악성데이터
알려지지않은데이터
노이즈캔슬레이션
22
엔드포인트보안의머신러닝적용효과
LEG
END
알려진화이트리스트
알려진악성데이터
알려지지않은데이터
노이즈캔슬레이션
웹검증취약점보호애플리케이션제어변종방지
동작모니터링
허용된안전한파일
차단된악성파일
파일특성추출머신러닝
런타임머신러닝
23
오피스스캔 XG 머신러닝데모
24
오피스스캔XG 머신러닝 - 데모
패턴에서탐지되지않는 JS 랜섬웨어파일을실행
25
오피스스캔XG 머신러닝 - 데모
“알수없는위협"으로서머신러닝에의하여탐지됨
26
오피스스캔XG 머신러닝 - 데모
머신러닝에의하여탐지된파일이격리됨
27
오피스스캔XG 머신러닝 - 데모
알수없는위협 –예측시스템학습에표시
오피스스캔관리콘솔 - 대시보드
28
오피스스캔XG 머신러닝 - 데모
위협지표확인
29
오피스스캔XG 머신러닝 - 데모
파일세부정보확인
30
오피스스캔XG 머신러닝 - 데모
동일악성의심파일이탐지및격리된엔드포인트확인
31
파일DNA, 위협식별자예제
32
트렌드마이크로머신러닝탐지율통계와
로드맵
33
100.0% 100.0% 100.0% 100.0% 100.0% 100.0% 100.0%
99.3%
100.0%
99.1%
100.0% 100.0% 100.0%
93.8%
85.0%
87.0%
89.0%
91.0%
93.0%
95.0%
97.0%
99.0%
101.0%
0
20
40
60
80
100
120
140
160
AM0513-2016 AM0516-2016 AM0517-2016 AM0518-2016 AM0519-2016 AM0520-2016 AM0523-2016
# 샘플수일별랜섬웨어탐지율( 자체샘플)
# of samples tested
FRS/PAFI detected
TrendX detected
34(Include VirusTotal Ransom)
77.7%
95.4%
74.4%
24.0%
37.7%
61.9%
89.6% 92.8%90.3%
98.8%99.2%
92.3%
20.0%
30.0%
40.0%
50.0%
60.0%
70.0%
80.0%
90.0%
100.0%
0
200
400
600
800
1000
1200
1400
1600
1800
VT0516-2016 VT0517-2016 VT0518-2016 VT0519-2016 VT0520-2016 VT0523-2016 VT0524-2016
# 샘플수 일별신규샘플탐지율(바이러스토탈)
# of samples tested
FRS/PAFI detected
TrendX detected
35
머신러닝트레이닝오퍼레이션
Test +
Training +Feature +
36
머신러닝트레이닝오퍼레이션
Test +
Training +Feature +
37
머신러닝로드맵:
기존방식 vs 머신러닝탐지비중
0% 90% 100%
머신러닝
0% 90% 100%
머신러닝시그너쳐, 동작모니터링등…
시그너쳐, 동작모니터링등…
점진적향상
오피스스캔 XG
THANK YOU트렌드마이크로
윤명익
top related