KR100743372B1 - Method and apparatus for detecting virus in attached file of e-mail - Google Patents

Method and apparatus for detecting virus in attached file of e-mail Download PDF

Info

Publication number
KR100743372B1
KR100743372B1 KR1020050059740A KR20050059740A KR100743372B1 KR 100743372 B1 KR100743372 B1 KR 100743372B1 KR 1020050059740 A KR1020050059740 A KR 1020050059740A KR 20050059740 A KR20050059740 A KR 20050059740A KR 100743372 B1 KR100743372 B1 KR 100743372B1
Authority
KR
South Korea
Prior art keywords
file
attachment
diagnostic
executable
malicious code
Prior art date
Application number
KR1020050059740A
Other languages
Korean (ko)
Other versions
KR20070004270A (en
Inventor
정진성
최동균
Original Assignee
주식회사 안철수연구소
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 안철수연구소 filed Critical 주식회사 안철수연구소
Priority to KR1020050059740A priority Critical patent/KR100743372B1/en
Publication of KR20070004270A publication Critical patent/KR20070004270A/en
Application granted granted Critical
Publication of KR100743372B1 publication Critical patent/KR100743372B1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q50/00Information and communication technology [ICT] specially adapted for implementation of business processes of specific business sectors, e.g. utilities or tourism
    • G06Q50/50Business processes related to the communications industry
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L51/00User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
    • H04L51/21Monitoring or handling of messages
    • H04L51/212Monitoring or handling of messages using filtering or selective blocking

Landscapes

  • Business, Economics & Management (AREA)
  • Engineering & Computer Science (AREA)
  • Marketing (AREA)
  • Primary Health Care (AREA)
  • Health & Medical Sciences (AREA)
  • Economics (AREA)
  • General Health & Medical Sciences (AREA)
  • Human Resources & Organizations (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Strategic Management (AREA)
  • Tourism & Hospitality (AREA)
  • Physics & Mathematics (AREA)
  • General Business, Economics & Management (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

이메일의 첨부 파일에서 악성 코드 검출 방법 및 그 장치가 개시되어 있다. 본 발명은, A) 네트워크 망을 통해 전송되는 이메일 중 악성 코드가 포함된 파일이 첨부된 이메일을 샘플링하는 단계와; B) 상기 이메일의 첨부 파일을 디코딩하여 상기 악성 코드의 진단 위치 및 진단 범위를 설정하는 단계와; C) 상기 첨부 파일에서 설정된 진단 위치의 진단 범위를 인코딩하는 단계와; D) 상기 인코딩된 진단 범위와 상기 단계 A)의 첨부 파일의 대응하는 부분을 서로 비교하여 동일 여부를 판단하는 단계와; E) 상기 단계 D)의 판단 결과 동일한 경우 상기 진단 위치의 진단 범위를 진단 기준으로 설정하는 단계를 포함하여, 이메일의 첨부 파일을 디코딩 하지 않은 상태에서도 악성 코드를 검출하여 차단할 수 있다.A method and apparatus for detecting malicious code in an attachment of an e-mail are disclosed. The present invention includes the steps of: A) sampling the e-mail attached to the file containing the malicious code of the e-mail transmitted through the network; B) decoding the attachment of the email to set a diagnosis location and a diagnostic range of the malicious code; C) encoding a diagnosis range of a diagnosis location set in said attachment; D) comparing the encoded diagnostic range with a corresponding portion of the attached file of step A) to determine whether they are identical; E) If the determination result of the step D) is the same, including the step of setting the diagnostic range of the diagnosis location as a diagnostic criterion, the malicious code can be detected and blocked even without the decoding of the attachment of the e-mail.

네크워크, 이메일, 첨부 파일, 악성 코드 Network, email, attachments, malware

Description

이메일의 첨부 파일에서 악성 코드 검출 방법 및 그 장치{METHOD AND APPARATUS FOR DETECTING VIRUS IN ATTACHED FILE OF E-MAIL}How to detect malicious code in attachments of emails and its device {METHOD AND APPARATUS FOR DETECTING VIRUS IN ATTACHED FILE OF E-MAIL}

도 1은 본 발명의 일 실시 예에 따른 이메일의 첨부 파일에서 악성 코드를 검출하기 위한 시스템을 도시한 것이다.1 illustrates a system for detecting malicious code in an attachment of an e-mail according to an embodiment of the present invention.

도 2는 본 발명의 일 실시 예에 따른 이메일의 첨부 파일에서 악성 코드를 검출하기 위한 진단 기준을 생성하는 방법을 설명하기 위한 순서도이다.2 is a flowchart illustrating a method of generating a diagnostic criterion for detecting malicious code in an attachment of an e-mail according to an embodiment of the present invention.

도 3은 본 발명의 일 실시 예에 따른 이메일의 첨부 파일에서 악성 코드를 검출하기 위한 방법을 설명하기 위한 순서도이다.3 is a flowchart illustrating a method for detecting malicious code in an attachment of an email according to an embodiment of the present invention.

<도면의 주요 부분에 대한 부호의 설명><Explanation of symbols for the main parts of the drawings>

110, 130, 150 : 클라이언트 단말기110, 130, 150: client terminal

200 : 네트워크200: network

300 : 메일 서버300: mail server

400 : 메일 필터링 서버400: mail filtering server

500 : 악성 코드 검출 장치500: malware detection device

600 : 관리자 서버600: manager server

본 발명은 이메일의 첨부 파일에서 악성 코드 검출 방법 및 그 장치에 관한 것으로, 보다 상세하게는 MIME(Multi-Purpose Internet Mail Extensions) 규격에 따라 인코딩된 이메일의 첨부 파일을 디코딩하지 않고서도 이메일의 첨부 파일에서 악성 코드 검출 방법 및 그 장치에 관한 것이다.The present invention relates to a method for detecting malicious code in an attachment of an email and a device thereof, and more particularly, to an attachment of an email without decoding the attachment of an email encoded according to the Multi-Purpose Internet Mail Extensions (MIME) standard. The present invention relates to a malicious code detection method and a device thereof.

일반적으로 이메일(E-mail)을 통해 확산되는 악성코드를 탐지하고 차단하기 위한 제품 중 이메일의 헤더(header)와 바디(body)를 필터링하는 방식을 이용하여 왔다. 이는 이메일의 헤더(header)와 바디(body)를 체크하여 사전에 지정된 키워드가 포함되어 있는 경우에는 그 이메일의 전송을 금지하는 방식이다. In general, a method of filtering the header and the body of the email has been used to detect and block malicious code spreading through the email (E-mail). This method checks the header and the body of the email, and prohibits the transmission of the email when a predetermined keyword is included.

그러나, 최근 이메일을 통하여 확산되는 악성 코드는 일반적으로 비슷한 메일 유형을 사용하는 경우가 많아 이메일의 헤더(header)와 바디(body)를 필터링하는 방식을 이용하더라도 상기 악성 코드를 검출하지 못하거나 검출 또는 차단하더라도 변형 및 신종 악성 코드 여부에 대한 정확한 분류가 어렵다는 문제점이 있어 왔다. 일 예로, 최근 악성 코드들은 상기 필터링 방식에 의해 배포가 차단되는 것을 방지하기 위하여 아주 일반적인 메일 제목 및 본문 등을 갖는다. 따라서, 상기 필터링 방식에 의하면 이메일의 헤더(header)와 바디(body)가 동일한 경우 그 중 악성 코드를 검출하지 못하며, 검출하더라도 변형으로 재 분류하기 어렵다는 문제점이 있어 왔다.However, recently, malicious codes spread through emails generally use similar mail types, and thus, even if the header and body of the email are filtered, the malicious codes cannot be detected or detected or Even if blocked, there has been a problem that it is difficult to correctly classify whether the malicious code is modified and new. For example, recently, malicious codes have a very general mail subject and body in order to prevent distribution by the filtering method. Therefore, according to the filtering method, when a header and a body of an e-mail are the same, a malicious code may not be detected, and even if detected, it is difficult to reclassify it as a modification.

뿐만 아니라, 영어 또는 한글 이외의 기타 언어로 이메일이 작성된 경우에는 상기 필터링 방식이 영어 및 한글만 지원하기 때문에 악성 코드를 검출하는 것이 불가능하며, 타 언어를 지원하기 위하여 각 언어별 오퍼레이터(Operator)가 필요하다는 문제가 발생한다. 즉, 악성 코드는 우리나라 및 비 영어권을 제외한 곳에서도 얼마든지 제작될 수 있는데, 일 예로 중국어, 스페인어, 독일어, 또는 불어로 작성된 이메일에 악성 코드가 포함된 경우에는 상기 필터링 방식으로는 상기 악성 코드에 대하여 효과적으로 대응할 수 없다는 문제점이 있어 왔다.In addition, if the email is written in a language other than English or Korean, it is impossible to detect malicious codes because the filtering method supports only English and Korean, and an operator for each language is provided to support other languages. The problem arises. In other words, the malicious code can be produced anywhere in Korea and non-English. For example, if the email is written in Chinese, Spanish, German, or French, the malicious code includes the malicious code. There has been a problem that it cannot effectively cope with.

본 발명은 상기한 사정을 감안하여 창출된 것으로서, 본 발명의 목적은 MIME 규격에 의해 인코딩된 이메일의 첨부 파일을 디코딩할 필요 없이 진단용 시그니쳐를 이용하여 인코딩된 상태에서 첨부 파일에 악성 코드의 유무를 검사하기 위한 이메일의 첨부 파일에서 악성 코드 검출 방법 및 그 장치를 제공하는데 있다. The present invention was created in view of the above circumstances, and an object of the present invention is to detect the presence or absence of malicious code in an attached file in the encoded state using a diagnostic signature without having to decode the attached file of the email encoded according to the MIME standard. The present invention provides a method and apparatus for detecting malicious code in an attachment of an e-mail for scanning.

상기 목적을 달성하기 위한 본 발명의 제 1 관점에 따른 이메일의 첨부 파일에서 악성 코드 검출 방법은,
A) 네트워크 망을 통해 전송되는 이메일 중 악성 코드가 포함된 파일이 첨부된 이메일을 샘플링하는 단계;
B) 상기 이메일의 첨부 파일을 디코딩하여 상기 악성 코드가 존재하는 위치를 검색하고 상기 위치에 대한 진단 위치 및 진단 범위를 설정하는 단계;
C) 상기 진단 위치의 상기 진단 범위를 인코딩하는 단계;
D) 상기 인코딩된 진단 범위와 상기 단계 A)의 첨부 파일의 대응하는 부분을 서로 비교하여 동일 여부를 판단하는 단계; 및Malware detection method in the attachment of the email according to the first aspect of the present invention for achieving the above object,
A) sampling an e-mail to which a file containing malicious code is attached among e-mails transmitted through a network;
B) decoding the attachment of the email to search for the location of the malicious code and to set a diagnostic location and diagnostic range for the location;
C) encoding said diagnostic range of said diagnostic location;
D) comparing the encoded diagnostic range with a corresponding portion of the attached file of step A) to determine whether they are identical; And

E) 상기 단계 D)의 판단 결과 동일한 경우, 상기 진단 위치 및 상기 진단 범위를 진단 기준으로써 설정하는 단계를 포함한다.E) if the determination result of step D) is the same, setting the diagnosis position and the diagnosis range as diagnosis criteria.

삭제delete

삭제delete

삭제delete

삭제delete

상기 목적을 달성하기 위한 본 발명의 제 2 관점에 따른 이메일의 첨부 파일에서 악성 코드 검출 방법은,
ⅰ) MIME(Multi-Purpose Internet Mail Extensions) 규약에 의해 인코딩된 파일이 첨부된 이메일이 메일장치로 전송되는 단계;
ⅱ) 상기 이메일에 첨부된 파일이 실행 파일인지 여부를 판별하여 실행 파일인 경우, 상기 파일이 실행 압축되었는지 여부를 판별하는 단계; 및Malware detection method in the attachment of the e-mail according to the second aspect of the present invention for achieving the above object,
I) sending an email to which the file encoded by the Multi-Purpose Internet Mail Extensions (MIME) protocol is attached to the mail device;
Ii) determining whether the file attached to the e-mail is an executable file and determining whether the file is executable or compressed; And

ⅲ) 상기 파일이 실행 압축된 경우 경고 메시지를 발생시키며, 진단 기준으로 상기 파일에 악성 코드가 존재하는지 여부를 검사하는 단계를 포함한다.I) generating a warning message when the file is compressed and executed, and checking whether malicious code exists in the file as a diagnostic criterion.

삭제delete

삭제delete

상기 목적을 달성하기 위한 본 발명의 제 3 관점에 따른 이메일의 첨부 파일에서 악성 코드 검출 장치는,
MIME(Multi-Purpose Internet Mail Extensions) 규약에 의해 인코딩된 파일이 첨부된 이메일을 네트워크를 통해 수신하기 위한 이메일 수신부;
상기 이메일의 첨부 파일에 악성 코드가 존재하는지 여부를 판단하기 위한 진단 기준을 관리하기 위한 진단 기준 관리부;An apparatus for detecting malicious code in an attachment of an email according to a third aspect of the present invention for achieving the above object,
An e-mail receiving unit for receiving an e-mail to which a file encoded by a Multi-Purpose Internet Mail Extensions (MIME) protocol is attached through a network;
A diagnostic criterion manager for managing a diagnostic criterion for determining whether a malicious code exists in the attachment file of the e-mail;

상기 첨부 파일에 따른 진단 기준을 상기 진단 기준 관리부로부터 독출하여 상기 진단 기준과 상기 첨부 파일을 비교함으로써 상기 첨부 파일에 악성 코드 존재 여부를 결정하기 위한 검출부를 포함하여 구성되는 것을 특징으로 한다.And a detection unit for determining whether a malicious code exists in the attached file by reading the diagnostic standard according to the attached file from the diagnostic standard management unit and comparing the diagnostic standard with the attached file.

삭제delete

삭제delete

따라서 본 발명에 의하면, 이메일의 첨부 파일을 디코딩 하지 않은 상태에서도 악성 코드를 검출하여 차단할 수 있다.Therefore, according to the present invention, it is possible to detect and block malicious code even without decoding the attachment of the email.

이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시예에 대하여 설명한다.Hereinafter, with reference to the accompanying drawings will be described a preferred embodiment of the present invention.

도 1은 본 발명의 일 실시 예에 따른 이메일의 첨부 파일에서 악성 코드를 검출하기 위한 시스템을 도시한 것이다.1 illustrates a system for detecting malicious code in an attachment of an e-mail according to an embodiment of the present invention.

도 1에 도시 된 바와 같이, 본 발명의 시스템은 다수의 클라이언트 단말기(110, 130, 150), 네트워크(200), 메일 서버(300), 클라이언트 단말기(110)로부터 상기 네트워크(200)를 통해 이메일을 타 클라이언트 단말기(130)로 전송하고자 할 때 상기 이메일에 악성 코드가 존재하는지 여부를 판별하고, 파일이 첨부된 이메일을 필터링하기 위한 메일 필터링 서버(400), 상기 이메일의 첨부파일에 악성 코드가 존재하는지 여부를 판별하기 위한 악성 코드 검출 장치(500), 및 상기 악성 코드를 검출하기 위한 Policy/Signature (이하 진단 기준 이라 한다)를 생성하고 상기 악성 코드의 발생을 모니터링하기 위한 관리자 서버(600)를 포함하여 구성된다.As shown in FIG. 1, the system of the present invention includes a plurality of client terminals 110, 130, and 150 from the network 200, the mail server 300, and the client terminal 110 via the network 200. To determine whether a malicious code exists in the email when it is to be transmitted to another client terminal 130, a mail filtering server 400 for filtering an email to which a file is attached, and a malicious code in an attachment of the email. An administrator server 600 for generating a malicious code detection apparatus 500 for determining whether there exists, and a Policy / Signature (hereinafter referred to as a diagnostic criterion) for detecting the malicious code, and for monitoring the occurrence of the malicious code. It is configured to include.

클라이언트 단말기(Client Terminal; 110, 130, 150)는 네트워크(200)와 연결되어 상호 이메일(E-mail)을 송수신한다. 이 때, 상기 클라이언트 단말기는 상기 이메일에 파일을 첨부하여 타 클라이언트 단말기로 전송하는 것이 가능한데, 주로 첨부되는 파일은 워드, 엑셀, 한글 등으로 작성된 문서 파일, 이미지 파일, 동영상 파일 등이다. Client terminals 110, 130, and 150 are connected to the network 200 to transmit and receive e-mails. In this case, the client terminal may attach the file to the e-mail and transmit the file to another client terminal. The attached file is a document file, an image file, a video file, etc. written in Word, Excel, Korean, etc.

또한, 상기 클라이언트 단말기는 간헐적으로 실행 파일을 이메일의 첨부 파 일로 전송하는 경우가 발생하는데, 이 경우에도 실행 파일을 실행 압축하여 전송하는 경우는 거의 발생하지 않는다. 즉, 이메일을 통하여 확산되는 악성 코드의 95% 이상이 첨부된 자신의 크기를 줄이고 분석을 방해할 목적으로 별도의 툴(Tool)을 이용하여 실행 압축 또는 암호화되어 있다. In addition, the client terminal intermittently transmits the executable file as an e-mail attachment file, but even in this case, the executable file is rarely generated by executing the executable file. In other words, more than 95% of malicious code spread through e-mail is compressed or encrypted using a separate tool to reduce the size of attached attachments and interfere with analysis.

상기 클라이언트 단말기가 메일 발송시 포함한 첨부파일은 네트워크(200)를 통해 메일서버(300)로 전송 되기전 각 클라이언트 단말기(Client Terminal:110,130,150)에 의해 MIME 규약에 따라 인코딩되며 상기 메일 서버(300)는 상기 이메일에 악성 코드가 존재하는지 여부를 판별하기 위하여 상기 메일을 메일 필터링 서버(400)로 전송한다.The attachments included when the client terminal sends mail are encoded according to the MIME protocol by each client terminal (Client Terminal: 110, 130, 150) before being transmitted to the mail server 300 through the network 200, and the mail server 300 is The mail is transmitted to the mail filtering server 400 to determine whether a malicious code exists in the email.

상기 메일 필터링 서버(400)는 이메일에 포함된 악성 코드를 검출하고 이메일을 통하여 배포되는 것을 방지한다. 또한, 상기 메일 필터링 서버(400)는 보다 정확한 악성 코드 검출을 위하여 상기 이메일에 첨부 파일이 존재하는 경우에는 악성 코드 검출 장치(500)로 상기 이메일을 전송하여 첨부 파일에 악성 코드가 있는지 여부를 판단한다.The mail filtering server 400 detects malicious code included in an email and prevents it from being distributed through the email. In addition, the mail filtering server 400 transmits the email to the malicious code detection apparatus 500 to determine whether there is malicious code in the attachment when the attachment exists in the email in order to detect the malicious code more accurately. do.

상기 악성 코드 검출 장치(500)는 상기 메일 필터링 서버(400)로부터 파일이 첨부된 이메일을 수신하기 위한 이메일 수신부(510), 검출부(530), 진단 기준 관리부(550), 및 전송부(570)를 포함하여 구성된다.The malicious code detection apparatus 500 includes an email receiver 510, a detector 530, a diagnostic criteria manager 550, and a transmitter 570 for receiving an email with a file attached from the mail filtering server 400. It is configured to include.

상기 진단 기준 관리부(550)는 관리자 서버(600)와 연동하여 관리자 서버(600)로부터 생성된 진단 기준을 관리하며 이메일 수신부(510)로부터 파일이 첨부 된 이메일이 수신되는 경우, 상기 첨부 파일에 따른 진단 기준을 검출부(530)로 제공한다. 상기 진단 기준은 상기 첨부 파일이 실행 파일인지 유무, 상기 첨부 파일이 실행 파일인 경우 실행 압축되었는지 유무에 따라 진단 위치 및 진단 범위가 결정되며, 상기 진단 위치 및 진단 범위는 MIME 규약에 의해 인코딩되어 있다.The diagnostic criterion manager 550 manages the diagnostic criteria generated from the manager server 600 in conjunction with the manager server 600, and when an email with a file is received from the email receiver 510, Diagnostic criteria are provided to the detection unit 530. The diagnosis criteria determines a diagnosis location and a diagnosis range according to whether the attachment is an executable file, and if the attachment is an executable file, whether the attachment is executable or compressed. The diagnosis location and the diagnosis range are encoded by MIME protocol. .

상기 검출부(530)는 상기 이메일 수신부(510)로부터 수신된 이메일의 첨부 파일이 실행 압축된 경우에는 경고 메시지를 전송부(570)를 통해 관리자 서버(600)로 전송한다. 상기 검출부(530)는 상기 첨부 파일에 따른 진단 기준으로 첨부 파일에 악성 코드가 존재하는지 여부를 판단하여 그 결과를 상기 전송부(570)를 통해 상기 관리자 서버(600)로 전송한다.The detection unit 530 transmits a warning message to the manager server 600 through the transmission unit 570 when the attachment of the e-mail received from the email reception unit 510 is compressed. The detection unit 530 determines whether a malicious code exists in an attachment file based on a diagnosis criterion according to the attachment file, and transmits the result to the manager server 600 through the transmission unit 570.

상술한 바와 같이 구성된 본 발명의 작동 상태에 대하여 설명한다.The operating state of the present invention configured as described above will be described.

도 2는 본 발명의 일 실시 예에 따른 이메일의 첨부 파일에서 악성 코드를 검출하기 위한 진단 기준을 생성하는 방법을 설명하기 위한 순서도이다.2 is a flowchart illustrating a method of generating a diagnostic criterion for detecting malicious code in an attachment of an e-mail according to an embodiment of the present invention.

진단 기준을 생성하기 위하여 관리자는 이메일을 통해 유포되는 악성 코드의 파일을 취득해야 한다. 따라서, 첨부 파일이 있는 이메일 중 악성 코드가 포함되었다고 신고된 이메일 또는 관리자의 판단 하에 악성 코드가 포함되었을 가능성이 많은 이메일을 샘플링한다(S200).To generate the diagnostic criteria, the administrator must obtain a file of malicious code that is distributed via email. Therefore, an email that has been reported as including malicious code in an email with an attached file or an email that is likely to include malicious code is sampled at the administrator's judgment (S200).

이메일을 통해 파일을 전송할 때 첨부 파일은 MIME 규약에 의해 인코딩(Encoding)된다. 따라서, 관리자는 상기 첨부 파일의 어느 위치에 악성 코드가 존재하는지 검사하기 위하여 상기 첨부 파일을 디코딩(Decoding)한다(S210).When sending a file via e-mail, the attachment is encoded by the MIME protocol. Therefore, the administrator decodes the attached file in order to check where the malicious code exists in the attached file (S210).

디코딩된 상기 첨부 파일을 살펴 보면, 파일의 MZ 헤더(Header) 또는 PE 헤더(Portable Executable Header)가 있다면 상기 파일이 실행 파일인지 여부 를 알 수 있다. 따라서, 상기 진단 기준에 먼저, 파일의 MZ 헤더(Header) 또는 PE 헤더(Portable Executive Header)의 시작 위치로부터 임의의 범위를 인코딩하여 실행 파일 여부를 판별하기 위한 제1 진단 기준을 생성한다. Looking at the decoded attached file, if there is an MZ header or a portable executable header of the file, it can be determined whether the file is an executable file. Therefore, first of all, the diagnostic criteria is generated by encoding an arbitrary range from a start position of a MZ header or a portable executive header of a file to determine whether the executable file is executable.

부언하면, 상기 실행 파일에 대한 정보가 담긴 부분을 인코딩하여 진단 기준으로 생성하면, 메일 서버(300)를 통해 인코딩된 첨부 파일을 디코딩하지 않고서도 상기 첨부 파일과 상기 생성된 진단 기준을 비교함으로써 상기 첨부 파일이 실행 파일인지 여부를 판단 할 수 있다. In other words, when a portion containing information about the executable file is encoded and generated as a diagnostic criterion, the attachment file is compared with the generated diagnostic criterion without decoding the encoded attachment file through the mail server 300. You can determine whether the attachment is an executable file.

또한, 상기 파일의 엔트리 포인트 (즉, 시작주소 = EP, Entry Point)로부터 특정 범위, 일 예로 16 또는 32 바이트 이내를 인코딩하여 상기 실행 파일이 실행 압축되었는지 여부를 판별하기 위한 제2 진단 기준을 생성한다(S215).In addition, a second diagnostic criterion for determining whether the executable file is executable or compressed is encoded by encoding a specific range, for example, within 16 or 32 bytes from an entry point of the file (ie, start address = EP, Entry Point). (S215).

그러나, 상기 첨부 파일이 실행 파일이 아닌 경우에는 악성 코드 유무를 판별하기 위하여 상기 첨부 파일의 종류를 판별하기 위한 진단 위치 및 진단 범위를 설정하고, 상기 첨부 파일의 데이터 영역에서 진단 위치 및 진단 범위를 설정한 후, 상기 설정된 진단 위치 및 진단 범위를 각각 인코딩하여 제3 진단 기준을 생성한다(S230, S270).However, if the attachment is not an executable file, in order to determine the presence of malicious code, a diagnosis location and a diagnosis range for determining the type of the attachment file are set, and the diagnosis location and the diagnosis range are set in the data area of the attachment. After setting, third diagnostic criteria are generated by encoding the set diagnostic position and the diagnostic range, respectively (S230 and S270).

상기 첨부 파일이 실행 파일이면서 실행 압축되지 않은 경우에는 엔트리 포인트로부터 그리고, 섹션(Section) 별 엔트리 포인트로부터 진단 범위를 각각 설정하여 인코딩하여 제4 및 제5 진단 기준을 생성한다(S250, S270).If the attached file is an executable file and is not executable, the diagnostic range is set and encoded from an entry point and an entry point for each section to generate fourth and fifth diagnostic criteria (S250 and S270).

부가적으로, 관리자의 선택에 따라 첨부 파일의 임포트 테이블(Import Table)을 확인한 후 첨부 파일에서 사용하는 DLL(Dynamic Link Library) 또는 API(Application Program Interface)가 위치한 곳을 진단 범위로 설정하고 인코딩하여 제6 진단 기준을 생성하는 것이 가능하다.In addition, after checking the import table of the attached file according to the administrator's choice, set the location where the DLL (Dynamic Link Library) or API (Application Program Interface) used in the attached file is located in the diagnostic range and encode it. It is possible to generate a sixth diagnostic criterion.

만일, 상기 첨부 파일이 실행 파일이며 실행 압축된 경우 상기 첨부 파일의 코드(Code) 영역에서 진단 위치 및 진단 범위를 결정하고 인코딩하여 제7 진단 기준을 생성한다(S260, S270).If the attached file is an executable file and is executable and compressed, a diagnosis position and a diagnostic range are determined and encoded in a code area of the attached file to generate a seventh diagnostic reference (S260 and S270).

각각의 방법으로 생성된 제1 내지 제7 진단 기준을 상기 인코딩된 첨부 파일의 상응하는 곳과 비교하여 동일한 경우에는 진단 기준으로 확정하지만, 동일하지 않은 경우에는 진단 기준으로 활용할 수 없으므로 삭제한다(S290).The first to seventh diagnostic criteria generated by the respective methods are compared with the corresponding places of the encoded attachment file, and the diagnostic criteria are determined in the same case, but if not the same, the diagnostic criteria cannot be used as diagnostic criteria (S290). ).

상기 제1 내지 제7 진단 기준은 관리자의 선택에 따라 정규 표현식(Regular Expression)을 이용하여 적어도 2개 이상 그룹화되어 악성 코드를 판별하는데 이용된다.The first to seventh diagnostic criteria are used to determine malicious codes by grouping at least two groups using regular expressions according to an administrator's selection.

도 3은 본 발명의 일 실시 예에 따른 이메일의 첨부 파일에서 악성 코드를 검출하기 위한 방법을 설명하기 위한 순서도이다.3 is a flowchart illustrating a method for detecting malicious code in an attachment of an email according to an embodiment of the present invention.

클라이언트 단말기에서 첨부파일은 MIME 규약에 의해 인코딩되어 메일서버(300)로 전송된다(S300, S310).In the client terminal, the attachment is encoded by the MIME protocol and transmitted to the mail server 300 (S300 and S310).

상기 메일 서버(300)는 상기 첨부 파일이 인코딩된 이메일에 악성 코드가 존재하는지 여부를 확인하기 위하여 메일 필터링 서버(400)로 전송하는데, 상기 메일 필터링 서버(400)에서는 이메일에 파일이 첨부된 경우에는 악성 코드 검출 장치(500)로 상기 이메일을 포워딩(Forwarding)한다.The mail server 300 transmits to the mail filtering server 400 to check whether malicious code exists in the email in which the attached file is encoded. In the mail filtering server 400, the file is attached to the email. Forwards the email to the malware detection device 500.

상기 악성 코드 검출 장치(500)는 진단 기준을 이용하여 수신된 이메일의 첨 부 파일이 실행 파일인지 여부 및 실행 파일이면 실행 압축된 파일인지 여부를 판별한다(S320, S340).The malicious code detection apparatus 500 determines whether the attachment file of the received email is an executable file and, if the executable file is an executable compressed file, by using diagnostic criteria (S320 and S340).

상기 실행 파일 여부를 판별하기 위해 생성된 진단 기준을 상기 첨부 파일의 MZ 헤더 또는 PE 헤더의 시작 위치부터 소정 범위와 비교함으로써 상기 첨부 파일의 실행 파일 여부를 결정할 수 있다. By comparing the diagnosis criteria generated to determine whether the executable file with the predetermined range from the start position of the MZ header or PE header of the attachment file, it is possible to determine whether the executable file of the attachment file.

상기 판별 결과 상기 첨부 파일이 실행 파일이 아닌 경우에는 상기 첨부 파일의 종류를 판별하여 상기 첨부 파일의 종류에 따른 진단 기준을 독출한다(S330). If the attachment is not an executable file as a result of the determination, the type of the attachment file is determined to read a diagnosis criterion according to the type of attachment file (S330).

상기 판별 결과 상기 첨부 파일이 실행 파일인 경우에는 상기 첨부 파일이 실행 압축되어 있는지 여부를 판별한다(S340). 상기 첨부 파일이 실행 압축된 경우에는 악성 코드가 포함된 확률이 높으므로 관리자 서버(600)로 경고 메시지를 전송한다(S360).When the attachment result is the executable file, it is determined whether the attached file is executable or compressed (S340). If the attachment is executable and compressed, a high probability of containing malicious code is transmitted, thereby transmitting a warning message to the manager server 600 (S360).

그러나, 상기 실행 파일이 실행 압축되지 않은 경우에는 상기 실행 파일에 포함된 악성 코드를 검출하기 위한 진단 기준을 독출한다(S350).However, when the executable file is not executable and compressed, the diagnostic criteria for detecting malicious code included in the executable file is read (S350).

상기 독출된 진단 기준은 상기 첨부 파일의 상응하는 진단 위치에 진단 범위와 각각 비교하여 동일 여부를 판단한다(S370, S380).The read out diagnostic criteria are compared with the diagnosis ranges at the corresponding diagnosis positions of the attached file, respectively, to determine whether they are the same (S370 and S380).

상기 단계 S380의 비교 결과 동일한 경우에는 상기 첨부 파일에 악성 코드가 존재하는 것이며, 상기 비교 결과 동일하지 않은 경우에는 상기 첨부 파일에 악성 코드가 존재하지 않는 것으로 상기 이메일은 상기 메일 서버(300)로 회송되어 상기 이메일이 도착 메일 어드레스(Address)로 전송되도록 한다(S390, S395).If the comparison result of step S380 is the same, the malicious code is present in the attached file. If the comparison result is not identical, the malicious code is not present in the attachment file, and the email is returned to the mail server 300. In step S390 and S395, the email is transmitted to an arrival mail address.

이상에서 상세히 설명한 바와 같이, 본 발명의 이메일의 첨부 파일에서 악성 코드 검출 방법 및 그 장치에 의하면, 이메일에 첨부된 파일을 디코딩하지 않고 메일 서버에서 인코딩된 그대로 악성 코드 유무를 검사하므로 첨부 파일을 저장하고 디코딩하는 시간을 절약할 수 있어 악성 코드를 검사하는데 소요되는 시간을 현저하게 줄일 수 있을 뿐만 아니라 시스템 자원 소모량을 줄일 수 있는 장점이 있다. As described in detail above, according to the method and apparatus for detecting malicious code in an attachment of an email of the present invention, the attachment file is stored because the presence of the malicious code is checked as encoded in the mail server without decoding the file attached to the email. The time required to check for malicious code can be significantly reduced as well as saving time for decoding, and the system resource consumption can be reduced.

뿐만 아니라, 이메일의 헤더(header)와 바디(body)에 영향을 받지 않는 정확한 진단 값을 사용함으로써 악성 코드 분석 후 진단 값을 즉시 적용하는 것이 가능하여 악성 코드에 대하여 신속한 대응이 가능하게 되었다.In addition, by using the correct diagnostic value that is not affected by the header and body of the email, it is possible to apply the diagnostic value immediately after analyzing the malicious code, so that it can quickly respond to the malicious code.

또한, 독일어, 이탈리아어 등의 비 영어권, 및 한글이 아닌 언어로 작성된 메일에 포함된 마이둠 및 베이글, 자피 웜 변형 등의 악성 코드도 헤더(header)와 바디(body)에 구애받지 않고 추가 프로세스 없이 간편하게 검출할 수 있다는 효과가 있다.In addition, malicious codes such as MyDoom, Bagel, and Japy worm variants included in non-English, German, Italian, and non-Hangul languages can be easily processed without any additional process, regardless of the header and body. There is an effect that it can be detected.

부가적으로, 악성 코드별로 진단 기준이 상이하므로 동일한 이름을 갖는 변형된 악성 코드에 대하여 기존 제품에서는 헤더(header)와 바디(body) 내용에 따라 모두 같은 악성 코드로 인식했지만, 본 발명을 통하여 변형된 악성 코드를 모두 분류 할 수 있어 정확한 통계를 산출할 수 있게 되었다.In addition, since the diagnosis criteria are different for each malicious code, the modified malicious code having the same name is recognized as the same malicious code according to the header and the body content in the existing product. All malicious code can be classified to produce accurate statistics.

지금까지 본 발명을 바람직한 실시예를 참조하여 상세히 설명하였지만,본 발명이 상기한 실시예에 한정되는 것은 아니며, 이하의 특허청구범위에서 청구하는 본 발명의 요지를 벗어남이 없이 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 누구든지 다양한 변형 또는 수정이 가능한 범위까지 본 발명의 기술적 사상이 미친다 할 것이다.Although the present invention has been described in detail with reference to preferred embodiments, the present invention is not limited to the above-described embodiments, and the technical field to which the present invention belongs without departing from the gist of the present invention as claimed in the following claims. Anyone skilled in the art will have the technical idea of the present invention to the extent that various modifications or changes are possible.

Claims (19)

A) 네트워크 망을 통해 전송되는 이메일 중 악성 코드가 포함된 파일이 첨부된 이메일을 샘플링하는 단계;A) sampling an email to which a file containing malicious code is attached among emails transmitted through a network; B) 상기 이메일의 첨부 파일을 디코딩하여 상기 악성 코드가 존재하는 위치를 검색하고 상기 위치에 대한 진단 위치 및 진단 범위를 설정하는 단계;B) decoding the attachment of the email to search for the location of the malicious code and to set a diagnostic location and diagnostic range for the location; C) 상기 진단 위치의 상기 진단 범위를 인코딩하는 단계; C) encoding said diagnostic range of said diagnostic location; D) 상기 인코딩된 진단 범위와 상기 단계 A)의 첨부 파일의 대응하는 부분을 서로 비교하여 동일 여부를 판단하는 단계; 및D) comparing the encoded diagnostic range with a corresponding portion of the attached file of step A) to determine whether they are identical; And E) 상기 단계 D)의 판단 결과 동일한 경우, 상기 진단 위치 및 상기 진단 범위를 진단 기준으로써 설정하는 단계를 포함하는 것을 특징으로 하는 이메일의 첨부 파일에서 악성 코드 검출 방법.E) If the determination result of step D) is the same, the method comprising the step of setting the diagnosis location and the diagnosis range as a diagnostic criteria, characterized in that the detection of malicious code in the e-mail attachment file. 제 1 항에 있어서, 상기 단계 B)에서,The method of claim 1, wherein in step B), B-1) 상기 첨부 파일이 실행 파일인지 여부를 판별하기 위하여 상기 첨부 파일의 MZ 헤더(Header) 또는 PE 헤더 그리고 엔트리 포인트(Entry Point)부터 소정 진단 범위를 설정하는 것을 특징으로 하는 이메일의 첨부 파일에서 악성 코드 검출 방법.B-1) The attachment file of an e-mail characterized in that a predetermined diagnostic range is set from an MZ header or a PE header and an entry point of the attachment file to determine whether the attachment file is an executable file. How to detect malware. 제 2 항에 있어서, 상기 단계 B)에서, The method of claim 2, wherein in step B), B-2) 상기 첨부 파일이 실행 파일인 경우 상기 실행 파일이 압축되었는지 여부를 판별하기 위하여 상기 첨부 파일의 엔트리 포인트(Entry Point)로부터 소정 진단 범위를 설정하는 것을 특징으로 하는 이메일의 첨부 파일에서 악성 코드 검출 방법.B-2) When the attachment file is an executable file, a malicious range is set in the attachment file of the email, wherein a predetermined diagnostic range is set from an entry point of the attachment file to determine whether the executable file is compressed. Code detection method. 제 3 항에 있어서, 상기 단계 B)에서, The method of claim 3, wherein in step B), B-3) 상기 첨부 파일이 실행 파일이며 실행 압축되지 않은 경우, 상기 악성 코드를 검출하기 위하여 상기 첨부 파일의 엔트리 포인트(Entry Point), 또는 섹션(Section) 별 시작 위치부터 소정 진단 범위를 설정하는 것을 특징으로 하는 이메일의 첨부 파일에서 악성 코드 검출 방법.B-3) When the attachment is an executable file and is not executable, the predetermined diagnostic range is set from an entry point of each attachment point or a start point of a section in order to detect the malicious code. Malicious code detection method in the attachment of the email. 제 3 항 또는 제 4 항에 있어서, 상기 단계 B)에서,The process according to claim 3 or 4, wherein in step B), B-4) 상기 첨부 파일이 실행 파일이며 실행 압축되지 않은 경우, 상기 악성 코드를 검출하기 위하여 상기 첨부 파일의 임포트 테이블(Import Table)로부터 DLL, 또는 API가 위치한 범위를 상기 소정 진단 범위로 설정하는 것을 특징으로 하는 이메일의 첨부 파일에서 악성 코드 검출 방법.B-4) When the attached file is an executable file and is not executable and compressed, setting a range in which a DLL or API is located from the import table of the attached file as the predetermined diagnostic range to detect the malicious code. Malicious code detection method in the attachment of the email. 제 3 항 또는 제 4 항에 있어서, 상기 단계 B)에서,The process according to claim 3 or 4, wherein in step B), B-5) 상기 첨부 파일이 실행 파일이며 실행 압축된 경우, 상기 첨부 파일의 코드(Code) 영역에서 상기 진단 위치 및 진단 범위를 설정하는 것을 특징으로 하는 이메일의 첨부 파일에서 악성 코드 검출 방법.B-5) The method of detecting malicious code in an attachment of an e-mail, wherein when the attachment is an executable file and is executable and compressed, the diagnosis location and a diagnosis range are set in a code area of the attachment. 제 1 항 또는 제 2 항에 있어서, 상기 단계 B)에서,The process according to claim 1 or 2, wherein in step B), B-6) 상기 첨부 파일이 실행 파일이 아닌 경우, 상기 첨부 파일의 종류를 검색하기 위한 진단 위치 및 진단 범위를 설정하고, 상기 첨부 파일의 종류에 따라 상기 첨부 파일의 데이터 영역에서 상기 진단 위치 및 진단 범위를 결정하는 것을 특징으로 하는 이메일의 첨부 파일에서 악성 코드 검출 방법.B-6) If the attachment is not an executable file, a diagnosis position and a diagnosis range for searching for the type of the attachment are set, and the diagnosis position and the data area of the attachment are determined according to the type of the attachment. A method for detecting malware in an e-mail attachment characterized by determining a diagnostic scope. 제 1 항 내지 제 3 항 중 어느 한 항에 있어서, 상기 진단 위치는,The diagnostic position according to any one of claims 1 to 3, wherein 상기 첨부 파일이 실행 압축되었는지 여부 또는 암호화된 악성 코드인지 여부에 따라 진단 위치가 설정되는 것을 특징으로 하는 이메일의 첨부 파일에서 악성 코드 검출 방법.And a diagnostic location is set according to whether the attached file is executable or compressed or encrypted malicious code. 제 8 항에 있어서, 상기 진단 기준은 사전방역 프로그램의 필터링 항목에 포함되는 것을 특징으로 하는 이메일의 첨부 파일에서 악성 코드 검출 방법.The method of claim 8, wherein the diagnostic criteria is included in a filtering item of a proactive defense program. 제 8 항에 있어서, The method of claim 8, MIME 규약에 의해 인코딩되는 것을 특징으로 하는 첨부파일에서 악성코드검출방법Malicious code detection method in an attached file characterized in that encoded by the MIME protocol ⅰ) MIME(Multi-Purpose Internet Mail Extensions) 규약에 의해 인코딩된 파일이 첨부된 이메일이 메일장치로 전송되는 단계;I) sending an email to which the file encoded by the Multi-Purpose Internet Mail Extensions (MIME) protocol is attached to the mail device; ⅱ) 상기 이메일에 첨부된 파일이 실행 파일인지 여부를 판별하여 실행 파일인 경우, 상기 파일이 실행 압축되었는지 여부를 판별하는 단계; 및Ii) determining whether the file attached to the e-mail is an executable file and determining whether the file is executable or compressed; And ⅲ) 상기 파일이 실행 압축된 경우 경고 메시지를 발생시키며, 진단 기준으로 상기 파일에 악성 코드가 존재하는지 여부를 검사하는 단계를 포함하는 것을 특징으로 하는 이메일의 첨부 파일에서 악성 코드 검출 방법.Iii) generating a warning message when the file is compressed to be executed, and checking whether malicious code exists in the file as a diagnostic criterion. 제 11 항에 있어서, 상기 단계 ⅱ)에서,The method of claim 11, wherein in step ii) 상기 인코딩된 첨부 파일이 실행 파일인지 여부는, 상기 첨부 파일의 MZ 헤더(Header) 또는 PE 헤더를 검사함으로써 판별되며, Whether the encoded attachment is an executable file is determined by examining an MZ header or a PE header of the attachment, 상기 첨부 파일이 압축되었는지 여부는 상기 첨부 파일의 엔트리 포인트(Entry Point)로부터 소정 범위를 검사함으로써 판별되는 것을 특징으로 하는 이메일의 첨부 파일에서 악성 코드 검출 방법.Whether or not the attachment is compressed is determined by examining a predetermined range from an entry point of the attachment. 제 11 항 또는 제 12 항에 있어서, 상기 단계 ⅲ)은,13. The method according to claim 11 or 12, wherein step iii) ⅲ-1) 상기 첨부 파일이 실행 파일이 아닌 경우, 상기 첨부 파일의 종류를 검색하는 단계; Iii-1) if the attached file is not an executable file, searching for a type of the attached file; ⅲ-2) 상기 첨부 파일의 종류에 따른 진단 기준을 독출하여 상기 첨부 파일의 상응하는 부분과 비교하는 단계; 및Iii-2) reading a diagnostic criterion according to the type of the attached file and comparing it with a corresponding portion of the attached file; And ⅲ-3) 상기 단계 ⅲ-2)의 비교 결과, 상기 진단 기준과 상기 첨부 파일의 상응하는 부분이 일치하는 경우, 상기 첨부 파일에 악성 코드가 존재하는 것으로 판단하는 단계를 더 포함하는 것을 특징으로 하는 이메일의 첨부 파일에서 악성 코드 검출 방법.Iii-3) further comprising determining that malicious code exists in the attached file when the diagnosis criteria and the corresponding part of the attached file match, How to detect malware in attachments of emails. 제 11 항 또는 제 12 항에 있어서, 상기 단계 ⅲ)은,13. The method according to claim 11 or 12, wherein step iii) ⅲ-a) 상기 첨부 파일이 실행 파일이며 실행 압축된 경우, 상기 첨부 파일의 코드(Code) 영역에 설정된 진단 기준을 독출하여 상기 실행 압축된 첨부 파일의 상응하는 부분과 비교하는 단계; 및Iii-a) if the attachment is an executable file and is executable compressed, reading out the diagnostic criteria set in the Code area of the attached file and comparing it with the corresponding portion of the executable compressed attachment; And ⅲ-b) 상기 비교 결과 상기 진단 기준과 상기 실행 압축된 첨부 파일의 상응하는 부분이 일치하는 경우, 상기 첨부 파일에 악성 코드가 존재하는 것으로 판단하는 단계를 더 포함하는 것을 특징으로 하는 이메일의 첨부 파일에서 악성 코드 검출 방법.Iv-b) if the diagnostic criteria and the corresponding part of the executable compressed attachment match, as the result of the comparison, further comprising the step of determining that malicious code exists in the attachment; How to detect malware in files. 제 14 항에 있어서, 상기 첨부 파일이 실행 파일이며 실행 압축되지 않은 경우, 상기 악성 코드를 검출하기 위한 상기 진단 기준은,The method of claim 14, wherein when the attached file is an executable file and is not executable and compressed, the diagnostic criteria for detecting the malicious code are: 상기 첨부 파일의 엔트리 포인트(Entry Point)로부터 설정된 소정 진단 범위, 상기 첨부 파일의 섹션의 엔트리 포인트로부터 설정된 소정 진단 범위, 및 상기 첨부 파일의 임포트 테이블(Import Table)로부터 DLL 또는 API가 위치한 진단 범위 중 적어도 하나를 포함하여 형성되는 것을 특징으로 하는 이메일의 첨부 파일 에서 악성 코드 검출 방법.A predetermined diagnostic range set from an entry point of the attachment file, a predetermined diagnostic range set from an entry point of a section of the attachment file, and a diagnosis range in which a DLL or API is located from an import table of the attachment file Malware detection method in the attachment of the email, characterized in that it comprises at least one. 제 15 항에 있어서, 상기 진단 기준은,The method of claim 15, wherein the diagnostic criteria, 상기 진단 범위는 MIME 규약으로 되어 있고 상기 진단 범위가 하나 이상인 경우 상기 진단 기준은 정규 표현식(Regular Expression)에 의해 기술되는 것을 특징으로 하는 이메일의 첨부 파일에서 악성 코드 검출 방법.And the diagnostic range is MIME protocol, and when the diagnosis range is one or more, the diagnostic criteria is described by a regular expression. MIME(Multi-Purpose Internet Mail Extensions) 규약에 의해 인코딩된 파일이 첨부된 이메일을 네트워크를 통해 수신하기 위한 이메일 수신부;An e-mail receiving unit for receiving an e-mail to which a file encoded by a Multi-Purpose Internet Mail Extensions (MIME) protocol is attached through a network; 상기 이메일의 첨부 파일에 악성 코드가 존재하는지 여부를 판단하기 위한 진단 기준을 관리하기 위한 진단 기준 관리부;A diagnostic criterion manager for managing a diagnostic criterion for determining whether a malicious code exists in the attachment file of the e-mail; 상기 첨부 파일에 따른 진단 기준을 상기 진단 기준 관리부로부터 독출하여 상기 진단 기준과 상기 첨부 파일을 비교함으로써 상기 첨부 파일에 악성 코드 존재 여부를 결정하기 위한 검출부를 포함하여 구성되는 것을 특징으로 하는 이메일의 첨부 파일에서 악성 코드 검출 장치.Attachment of the e-mail characterized in that it comprises a detection unit for determining the presence of malicious code in the attachment by reading the diagnostic criteria according to the attachment from the diagnostic criteria management unit and comparing the diagnostic criteria and the attachment file Malware detection device in files. 제 17 항에 있어서, 상기 진단 기준은 상기 첨부 파일이 실행 파일인지 유무, 실행 파일인 경우 실행 압축되었는지 유무에 따라 진단 위치 및 진단 범위가 결정되며, 상기 MIME 규약으로 상기 진단 범위를 인코딩함으로써 생성되는 것을 특징으로 하는 악성 코드 검출 장치.18. The method of claim 17, wherein the diagnostic criteria is determined whether the attachment is an executable file or not, and in the case of an executable file, a diagnosis location and a diagnostic range are determined according to whether or not the executable file is compressed. Malware detection device, characterized in that. 제 17 항에 있어서, 상기 이메일은 메일 필터링 장치에서 인코딩되며, 상기 메일 필터링 장치는 상기 이메일에 파일이 첨부된 경우 상기 이메일 수신부로 전송하는 것을 특징으로 하는 이메일의 첨부 파일에서 악성 코드 검출 장치.18. The apparatus of claim 17, wherein the email is encoded in a mail filtering device, and the mail filtering device transmits the file to the email receiving unit when a file is attached to the email.
KR1020050059740A 2005-07-04 2005-07-04 Method and apparatus for detecting virus in attached file of e-mail KR100743372B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020050059740A KR100743372B1 (en) 2005-07-04 2005-07-04 Method and apparatus for detecting virus in attached file of e-mail

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020050059740A KR100743372B1 (en) 2005-07-04 2005-07-04 Method and apparatus for detecting virus in attached file of e-mail

Publications (2)

Publication Number Publication Date
KR20070004270A KR20070004270A (en) 2007-01-09
KR100743372B1 true KR100743372B1 (en) 2007-07-30

Family

ID=37870540

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020050059740A KR100743372B1 (en) 2005-07-04 2005-07-04 Method and apparatus for detecting virus in attached file of e-mail

Country Status (1)

Country Link
KR (1) KR100743372B1 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20190116861A (en) 2018-04-05 2019-10-15 소프트캠프(주) System and method for preventing and curing the file attached to e-mail from malicious code
KR102184485B1 (en) 2020-10-05 2020-11-30 크리니티(주) System and method for processing malicious mail

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100968120B1 (en) * 2008-03-10 2010-07-06 주식회사 안철수연구소 Detection system for malicious program considering code modification and method thereof
KR101029112B1 (en) * 2008-12-15 2011-04-13 한국전자통신연구원 Storage medium and method for packed PE file detection
CN109167783A (en) * 2018-08-31 2019-01-08 杭州迪普科技股份有限公司 A kind of method and apparatus identifying mail virus
CN110278143B (en) * 2019-05-06 2022-08-19 平安科技(深圳)有限公司 E-mail data processing method and device, computer equipment and storage medium

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20040013178A (en) * 2002-08-03 2004-02-14 황건순 Virus email blocking algorithm and system

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20040013178A (en) * 2002-08-03 2004-02-14 황건순 Virus email blocking algorithm and system

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
논문

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20190116861A (en) 2018-04-05 2019-10-15 소프트캠프(주) System and method for preventing and curing the file attached to e-mail from malicious code
KR102184485B1 (en) 2020-10-05 2020-11-30 크리니티(주) System and method for processing malicious mail

Also Published As

Publication number Publication date
KR20070004270A (en) 2007-01-09

Similar Documents

Publication Publication Date Title
US11218495B2 (en) Resisting the spread of unwanted code and data
US9912691B2 (en) Fuzzy hash of behavioral results
US9277378B2 (en) Short message service validation engine
AU2012282792B2 (en) Syntactical fingerprinting
US9189627B1 (en) System, apparatus and method for conducting on-the-fly decryption of encrypted objects for malware detection
US11489867B2 (en) Cybersecurity email classification and mitigation platform
CN110519150B (en) Mail detection method, device, equipment, system and computer readable storage medium
JP2021503142A (en) Analysis and reporting of suspicious emails
KR100743372B1 (en) Method and apparatus for detecting virus in attached file of e-mail
US20030120947A1 (en) Identifying malware containing computer files using embedded text
US20040128355A1 (en) Community-based message classification and self-amending system for a messaging system
US11677783B2 (en) Analysis of potentially malicious emails
US20080046970A1 (en) Determining an invalid request
GB2357939A (en) E-mail virus detection and deletion
CA2609464A1 (en) Method and system for filtering electronic messages
US10572664B2 (en) Technique for detecting suspicious electronic messages
US8590039B1 (en) System, method and computer program product for sending information extracted from a potentially unwanted data sample to generate a signature
US20220172170A1 (en) Email security analysis
JP2017130921A (en) Technique for detecting malicious electronic message
US8655959B2 (en) System, method, and computer program product for providing a rating of an electronic message
CN113965349B (en) Network safety protection system and method with safety detection function
KR100518844B1 (en) Check method of network packet
GB2440359A (en) Rules for data traffic assembled in single data structure
CN116192430A (en) IPv6 hidden channel detection and identification method and system based on header examination
CN115883246A (en) Malicious website processing method, device, equipment and medium

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
G170 Re-publication after modification of scope of protection [patent]
FPAY Annual fee payment

Payment date: 20120712

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20130723

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20140723

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20150723

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20160725

Year of fee payment: 10

FPAY Annual fee payment

Payment date: 20170724

Year of fee payment: 11

FPAY Annual fee payment

Payment date: 20180723

Year of fee payment: 12

FPAY Annual fee payment

Payment date: 20190723

Year of fee payment: 13