Next Generation HEZEK 싞종및위, 변조된유해프로그램탐지 / 분석 / 차단시스템 Behavioral Based Malware Detection Technology
제품소개 3.1 HEZEK-NSD 소개및특징 HEZEK-NSD 가상화 (Virtualization) 분석기술 ( 네트워크, 패킷 ) Agent 기술 다수의가상머신을이용한파일분석 패킷수집 / 분류 / 조합 파일생성 / 시그니처분석 Dropper, C&C 접근탐지 행위기반 agent 시그니처엔진 지능적분석
3.1 HEZEK-NSD 소개및특징 H/W Virtualization Network Technology PC Agent Technology F/W : IP Block PC 방화벽 Dual Core IDS : Packet Patten Inspection Windows Patches : Microsoft Vulnerabilities Patches Server Virtualization IPS : Packet Pattern Inspection, IP Block PMS : Patch Management Quad Core Virus-Wall : Signature 기반 Vaccine : Signature based 체크및치료 Hexa Core Application Virtualization Virtualization based Technique ( Cloud Computing) DDOS : External Packet, IP, Flow based Check Packet : Patten, Signature Scanning Behavior based Agent : Malware 탐지, 차단 Signature, Behavioral based check HEZEK-NSD
3.1 HEZEK-NSD 의소개및특징 기존보안망체계 제안장비 (NSD) Bot virus 인경우잘알려진포트 (TCP: 80 등 ) 로통신하기때문에방화벽으로접근통제하기가불가능함. HTTP(80 포트 ), FTP(21 포트 ), pop3, SMTP,IMAP 통신규약을이용한파일유입 / 유출탐지. IDS/IPS 인경우공격형식이지능화, 다양화되고있는특성에맞게주기적인패턴갱신을하고있지만, 신규형태의패턴에는역부족 3~4 천개의적은공격패턴에대응. 너무나많은변종의악성코드에대하여개개의패턴비교방식으로모든 virus 를검출하기가어려움. 변종 / 신종악성코드를 VM 을통하여검출할수있음. Dropper, C&C 주소자동탐지. 50 개의행위분석을통한악성코드탐지 행위기반탐지기술에기초하여 VM 상에서 Virus 파일을직접실행시켜악성행위를 100% 로검출해냄. DDoS 방어장비 주로외부에있는좀비 PC 들에의해서내부의자원을공격하며, 시스템과부하등의문제를일으키고동작불능등의상태를만드는 DDoS 공격에대해서오로지방어만을하기위한장비. 외부또는내부의좀비 PC 들을알지못하기때문에근본적인대책이안되고, 다변화된공격에대체하기힘듬. 외부또는내부의좀비 PC 들은 C&C 서버의명령에의해서자신의 PC 자체를사용불능의상태로만들기도합니다. 좀비 PC 확산방지시스템 기존의악성공격의방어가아닌, 좀비 PC 의원인이되는파일을직접수집, 관리하며이는가상화기술을통해직접설치, 분석합니다. 설치된후비정상파일은여러가지복합적인행동을하는데, 이행동들은 HEZEK 에서정밀하게짜여진시나리오에의해검출 / 차단이됩니다 감염된좀비 PC List 는스크린에 Display 되어지며, 외부의유포지 IP 와해당파일또한확인을할수있습니다. 감염된 PC 는 Agent 기술을이용하여삭제또는격리되어내부정보유출과 DDoS 공격을원천적으로차단할수있습니다.
3.3 HEZEK-NSD 의기반기술 패킷표본화 (Packet Sampling) HTTP, FTP, ㅖㅒㅖㄴㄷㄹㄴㅇㄹㄴㄹㄴㅇㄹㄴㄹㄴㄹㅇPOP3, SMTP, IMAP 등통신규약을이용하여망상에서전송되는파일들을수집 웹매니져에의한시스템관리 HEZEK-NSD 가상화기술 (Virtualization) VM에설치된윈도우를채널단위로관리하며설정된개수만큼의채널들을안전하게유지관리 망통계 (Network Statistics) 침입검출및차단 (IPS) IP/ 포트 / 통신규약에따라망상의모든패킷들에대한통계자료를실시간적으로생성하며트래픽을증가시키는말단의 PC 식별, 대책수립 망상에서전송되는악성코드프로그램 검출 / 차단 시그니처분석 (Signiture Analysis) 행위기반분석 (Taint Analysis) 망상에서전송되는파일들을수집하여 VM 에설치된시그니처을이용하여 악성여부를검사 망상에서전송되는파일들을수집하여 직접 VM 에서실행시켜보면서 악성여부를판단
3.4 HEZEK 의차별성 3.1 HEZEK-NSD 의인증 3.2 HEZEK-NSD 의주요특징
제품비교 (HEZEK-NSD vs. BotWall) 비교항목 HEZEK-NSD FireEye-BotWall 검출악성코드종류 Trojan/Spyware등모든카테고리의악성코드탐지 botnet에관렦된 DB맊보유하고있음 비실행파일분석 EXE, Dll 외 RAR, Zip, Doc, 등과같이파일수집목록에기록된확장자형식의 파일에관하여수집하고악성여부를검출하며근거를기록함. Exe 와 Dll 에대해서맊분석가능 악성코드분석엔짂악성코드관렦시그니처생성, Update 악성코드관렦동적휴리스틱시그니처수동편집 / 관리 OS 변경분석, 악성코드 Hex String비교, 정적휴리스틱시그니처비교, 동적휴리스틱시그니처비교 VM이검증한각종악성코드에해당한시그니처생성, Pre-filtering엔진에시그니처Update 오탐이최소화되도록시나리오편집가능 OS 변경분석 X X 악성코드중복검증이미젂에 VM 에서검사한파일은중복수집하지않으며검사도반복하지않음 각종 Attack 탐지 / 분석 각종 Attack 관렦시그니처생성, Update VM 에서 Attack 패킷을검증하고악성인경우시그니쳐로자동등록, 필요에따라수동적으로갱싞및추가가능 각종 Attack관렦 Rule 수동편집 / 관리 X 악성packet을발송하는웎천지에 rst packet을발송하여젂송차단 X Emulator 성능 장비의성능에따라임의로설정가능 ( 기본 12VMs) 12 VMs on each appliances 탐지프로토콜 http (Download/Upload), ftp (Download), IMAP, POP3, SMTP http (Download) Customizing 한장비에서시스템확장가능, 각각의장비로시스템을분할하여구성이가능 X
제품비교 (HEZEK-NSD vs. BotWall) 비교항목 HEZEK-NSD FireEye-BotWall 제조국 국내 외국 커스터마이징 가능 어려움 프로토콜지웎 HTTP, FTP, IMAP, POP3, SMTP HTTP 상대적가격정책 중저가정책 고가정책 분석형태 가상머싞 + 행위기반 + 시그너처분석 가상머싞 + 행위기반 + 시그너처분석 방향성 in-bound ( 탐지, 차단 ) / Out-Bound ( 탐지 ) in-bound ( 탐지 ) 기존백싞연계 연계가능 지웎안함 탐지계통 봇탐지 ( 좀비PC) 봇탐지 ( 좀비PC) 장비구성 단일장비구성 단일장비구성 차단및치료기능 바이러스, 봇차단, 유해파일차단 없음 탐지방식 실행파일및모든파일탐지및차단 (128개이상지웎 ) 실행파일탐지 탐지기법 가상머싞기반악성행위검출 가상머싞기반악성행위검출 구성형태 네트워크기반 + 에이젂트 네트워크기반 에이젂트역할 악성봇치료 ( 삭제및격리 ) 없음 에이젂트설치 자동설치 없음 제품목적 좀비PC 탐지및차단시스템 좀비PC 탐지시스템 경보기능 자체알람기능지웎 없음