CAPE Noise Filter
CAPE v2 분석 결과에서 정상 OS 동작과 네트워크 잡음을 먼저 걷어내는
전처리 필터 모듈입니다.
CAPE 전처리 필터 모듈
- CAPE v2의 report.json에서 윈도우 기본 동작과 네트워크 잡음을 먼저 걸러내는 Processing 단계 플러그인입니다.
- 필터링된 항목을 지우지 않고 filtered_artifacts로 따로 옮겨 원본과 비교하며 다시 확인할 수 있게 했습니다.
- clean VM 결과로 whitelist를 만드는 auto_baseline.py, 전후 차이를 보는 show_stats.py, 운영 문서까지 함께 정리했습니다.
CAPE v2MalwareProcessingWhitelist
조직/서비스 관점의 확장 방향
- 악성코드 분석 환경에서 보고서 품질을 먼저 정리하는 전처리 계층으로 붙일 수 있습니다.
- 환경별 baseline을 따로 두고 SOC, IR 팀이 같은 규칙으로 쓰는 분석 보조 모듈로 확장할 수 있습니다.
- 정제된 결과를 SIEM, MISP, SOAR 같은 후단 시스템으로 넘기기 전 중간 필터 서비스로도 이어질 수 있습니다.
개선 계획
- 환경별 whitelist 버전 관리와 롤백 기준을 더 분명하게 둘 예정입니다.
- 과필터링 여부를 샘플별로 점검하는 검증 흐름을 더 자동화할 생각입니다.
- IOC 요약이나 교차 환경 비교처럼 후속 분석에 바로 붙는 출력 형태를 계속 좁혀볼 계획입니다.
업데이트 이력
2026-02-24
- noise_filter.py와 whitelist.yaml을 추가해 CAPE Processing 단계에서 behavior, network 잡음을 먼저 걸러내는 모듈을 붙였습니다.
- 필터링된 항목을 filtered_artifacts로 따로 보관해 원본을 지우지 않고 다시 확인할 수 있게 했습니다.
- auto_baseline.py와 show_stats.py를 더해 clean VM 기준 화이트리스트 생성과 전후 비교 흐름을 자동화했습니다.
- README, FAQ, 운영 Runbook을 함께 정리해 설치, 운영, 롤백 절차를 한 번에 보게 했습니다.
2026-02-13
- 중간 발표를 위해 CAPE 구축 환경과 워크플로 다이어그램을 별도로 정리했습니다.
2026-02-05
- CAPE v2 샌드박스 환경을 구축하고 WannaCry 샘플 분석 파이프라인을 처음 끝까지 확인했습니다.