평판(reputation)기반 탐지보안

평판(reputation)기반 탐지보안

- 사용자들의 평판 정보를 통해 처음 보거나 잘 알려지지 않은 파일 및 애플리케이션 등의 신뢰도를 확인하고 위험요소를 탐지하는 보안 기술

* 등장배경

- 미처 수집되고 분석되지 못한 악성코드에 대한 대응 및 처리 방안 요구

- 공격자들의 끊임없는 악성코드 변종 생산으로 관리대상 허용(whitelist)/차단(blacklist) 정보의 증가

- 악성행위 특성(행위기반 탐지)이나 악성코드 패턴(시그니처 기반 탐지)에 대한 정의가 나올 때까지 위험에 노출된 상태로 있기 보다는 공백을 메울 수 있는 방법 필요

* 적용프로세스

데이터의 수집 → 평판을 평가 → 평판정보의 제공

* 보안기술 비교

구 분	시그니처 기반	평판기반
보안기법 원리	시그니처 기반 White/Black List 업데이트	평판 기반 분석정보 지속적 업데이트
위협징후 발생시	빈번한 알림창을 통해 사용자에게 차단/허용 여부를 맡김	평판을 근거로 사용자에게 차단 또는 허용을 선택하여 권고함
신규 악성발생시	시그니처에 등록되지 않은 새로운 변종에 노출	새로운 변종 발견시 알림창을 통해 평판확인 후 차단
보안 특징	- 알려진 시그니처 코드에 강제 방어/차단 - 빠른 정보수집과 대응 노력 필요	- 악성코드 분석과 NW확산을 통한 신속한평판정보 대응

* 평판기반 탐지 보안의 기술현황

- 시만텍(노턴2010), 카스퍼스키랩, 안철수연구소(스마트디펜스) 등 주요 안티바이러스 제품에 평판기반 기술 도입

- WEB2.0 의 집단지성을 이용한 바이러스분석/탐지 활용 가능

MISTERY