ML 기반 탐지

엔드포인트에서 수집되는 정보 중 파일의 종류가 실행 파일(PE)인 경우, 해당 파일의 특징(Feature)을 추출합니다.

이 특징(Feature) 정보는 머신러닝에 의한 악성코드 탐지에 사용됩니다.

해당 파일이 조회가 된다면 알려진 위협 으로 분류되며, 정보가 없다면 알려지지 않은 위협 으로 분류됩니다.

알려진 위협과 알려지지 않은 위협은 관리자가 미리 설정한 정책(대응 방법)에 따라 에이전트에서 알람, 프로세스 강제 종료, 파일 삭제를 수행합니다.

머신 러닝에 의해서도 탐지되지 않는 경우, Reversing Labs, VirusTotal 등의 외부 인텔리전스(CTI:Cyber Threat Intelligence Service)에 등록된 파일인 지 한번 더 조회하는 절차를 수행합니다.