반응형
I. 엔드포인트 보호를 위한 행위기반 탐지보안의 개요
가. 행위기반 탐지보안의 정의
- 프로그램의 실행 순서 및 DLL 사용여부를 분석하여 Shell Code의 실행, 외부 파일의 다운로드, Rootkit 행위 등을 탐지
II. 행위기반 탐지보안의 매커니즘 및 대응전략
가. 행위기반 탐지보안의 매커니즘
 |
나. 행위기반 탐지보안의 대응전략
|
구분 |
대응전략 |
내용 |
|
파일확보 |
의심파일 필터링 |
- 미확인 프로그램의 우선 차단 |
|
행위분석 시나리오 작성 |
- 알려진 시그니처 기반 악의적 코드 수행 시나리오 작성 |
|
|
분석 |
Rootkit 실행 |
- 악성코드 은닉을 위한 행위 탐지 |
|
Shell Code Exploit |
- DLL 실행 후 의도되지 않은 코드의 실행 확인 |
|
|
외부 파일 다운로드 |
- 파일 행위 중 외부로부터의 파일 다운로드 시도 감지 |
|
|
EPO 공격 탐지 |
- Entry Point Obscure 탐지 - 코드 중간 악성코드 삽입 행위 탐지 |
|
|
사후대응 |
악성코드 판단 |
- 분석결과 기존 시그니처 기반 이상 행동이 탐지되면 차단 - 분석결과 정상적 행위 수행 시 통과 |
- 기존 시그니처 정보를 활용, 알려지지 않은 프로그램의 이상 행동을 탐지하여 엔드포인트 보안강화
반응형
'IT기술노트 > 디지털보안' 카테고리의 다른 글
| 모바일 포렌식 (0) | 2021.02.26 |
|---|---|
| 컴퓨터 포렌식(Computer Forensic) (0) | 2021.02.26 |
| 전자증거개시제도(E-Discovery) (0) | 2021.02.26 |
| 평판기반 탐지보안 (0) | 2021.02.26 |
| DNSSEC(DNS Security Extensions) (0) | 2021.02.26 |
| 샌드박스(Sandbox) (0) | 2021.02.26 |
| OAuth 2.0 (0) | 2021.02.26 |
| Diffie-Hellman (0) | 2021.02.26 |
댓글