KR100743372B1 - Method and apparatus for detecting virus in attached file of e-mail - Google Patents
Method and apparatus for detecting virus in attached file of e-mail Download PDFInfo
- Publication number
- KR100743372B1 KR100743372B1 KR1020050059740A KR20050059740A KR100743372B1 KR 100743372 B1 KR100743372 B1 KR 100743372B1 KR 1020050059740 A KR1020050059740 A KR 1020050059740A KR 20050059740 A KR20050059740 A KR 20050059740A KR 100743372 B1 KR100743372 B1 KR 100743372B1
- Authority
- KR
- South Korea
- Prior art keywords
- file
- attachment
- diagnostic
- executable
- malicious code
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 33
- 241000700605 Viruses Species 0.000 title 1
- 238000003745 diagnosis Methods 0.000 claims abstract description 34
- 238000005070 sampling Methods 0.000 claims abstract description 3
- 238000001514 detection method Methods 0.000 claims description 22
- 238000001914 filtration Methods 0.000 claims description 16
- 230000008676 import Effects 0.000 claims description 3
- 230000014509 gene expression Effects 0.000 claims description 2
- 230000007123 defense Effects 0.000 claims 1
- 230000005540 biological transmission Effects 0.000 description 3
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 235000012791 bagels Nutrition 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q50/00—Information and communication technology [ICT] specially adapted for implementation of business processes of specific business sectors, e.g. utilities or tourism
- G06Q50/50—Business processes related to the communications industry
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L51/00—User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
- H04L51/21—Monitoring or handling of messages
- H04L51/212—Monitoring or handling of messages using filtering or selective blocking
Landscapes
- Business, Economics & Management (AREA)
- Engineering & Computer Science (AREA)
- Marketing (AREA)
- Primary Health Care (AREA)
- Health & Medical Sciences (AREA)
- Economics (AREA)
- General Health & Medical Sciences (AREA)
- Human Resources & Organizations (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Strategic Management (AREA)
- Tourism & Hospitality (AREA)
- Physics & Mathematics (AREA)
- General Business, Economics & Management (AREA)
- General Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Information Transfer Between Computers (AREA)
Abstract
이메일의 첨부 파일에서 악성 코드 검출 방법 및 그 장치가 개시되어 있다. 본 발명은, A) 네트워크 망을 통해 전송되는 이메일 중 악성 코드가 포함된 파일이 첨부된 이메일을 샘플링하는 단계와; B) 상기 이메일의 첨부 파일을 디코딩하여 상기 악성 코드의 진단 위치 및 진단 범위를 설정하는 단계와; C) 상기 첨부 파일에서 설정된 진단 위치의 진단 범위를 인코딩하는 단계와; D) 상기 인코딩된 진단 범위와 상기 단계 A)의 첨부 파일의 대응하는 부분을 서로 비교하여 동일 여부를 판단하는 단계와; E) 상기 단계 D)의 판단 결과 동일한 경우 상기 진단 위치의 진단 범위를 진단 기준으로 설정하는 단계를 포함하여, 이메일의 첨부 파일을 디코딩 하지 않은 상태에서도 악성 코드를 검출하여 차단할 수 있다.A method and apparatus for detecting malicious code in an attachment of an e-mail are disclosed. The present invention includes the steps of: A) sampling the e-mail attached to the file containing the malicious code of the e-mail transmitted through the network; B) decoding the attachment of the email to set a diagnosis location and a diagnostic range of the malicious code; C) encoding a diagnosis range of a diagnosis location set in said attachment; D) comparing the encoded diagnostic range with a corresponding portion of the attached file of step A) to determine whether they are identical; E) If the determination result of the step D) is the same, including the step of setting the diagnostic range of the diagnosis location as a diagnostic criterion, the malicious code can be detected and blocked even without the decoding of the attachment of the e-mail.
네크워크, 이메일, 첨부 파일, 악성 코드 Network, email, attachments, malware
Description
도 1은 본 발명의 일 실시 예에 따른 이메일의 첨부 파일에서 악성 코드를 검출하기 위한 시스템을 도시한 것이다.1 illustrates a system for detecting malicious code in an attachment of an e-mail according to an embodiment of the present invention.
도 2는 본 발명의 일 실시 예에 따른 이메일의 첨부 파일에서 악성 코드를 검출하기 위한 진단 기준을 생성하는 방법을 설명하기 위한 순서도이다.2 is a flowchart illustrating a method of generating a diagnostic criterion for detecting malicious code in an attachment of an e-mail according to an embodiment of the present invention.
도 3은 본 발명의 일 실시 예에 따른 이메일의 첨부 파일에서 악성 코드를 검출하기 위한 방법을 설명하기 위한 순서도이다.3 is a flowchart illustrating a method for detecting malicious code in an attachment of an email according to an embodiment of the present invention.
<도면의 주요 부분에 대한 부호의 설명><Explanation of symbols for the main parts of the drawings>
110, 130, 150 : 클라이언트 단말기110, 130, 150: client terminal
200 : 네트워크200: network
300 : 메일 서버300: mail server
400 : 메일 필터링 서버400: mail filtering server
500 : 악성 코드 검출 장치500: malware detection device
600 : 관리자 서버600: manager server
본 발명은 이메일의 첨부 파일에서 악성 코드 검출 방법 및 그 장치에 관한 것으로, 보다 상세하게는 MIME(Multi-Purpose Internet Mail Extensions) 규격에 따라 인코딩된 이메일의 첨부 파일을 디코딩하지 않고서도 이메일의 첨부 파일에서 악성 코드 검출 방법 및 그 장치에 관한 것이다.The present invention relates to a method for detecting malicious code in an attachment of an email and a device thereof, and more particularly, to an attachment of an email without decoding the attachment of an email encoded according to the Multi-Purpose Internet Mail Extensions (MIME) standard. The present invention relates to a malicious code detection method and a device thereof.
일반적으로 이메일(E-mail)을 통해 확산되는 악성코드를 탐지하고 차단하기 위한 제품 중 이메일의 헤더(header)와 바디(body)를 필터링하는 방식을 이용하여 왔다. 이는 이메일의 헤더(header)와 바디(body)를 체크하여 사전에 지정된 키워드가 포함되어 있는 경우에는 그 이메일의 전송을 금지하는 방식이다. In general, a method of filtering the header and the body of the email has been used to detect and block malicious code spreading through the email (E-mail). This method checks the header and the body of the email, and prohibits the transmission of the email when a predetermined keyword is included.
그러나, 최근 이메일을 통하여 확산되는 악성 코드는 일반적으로 비슷한 메일 유형을 사용하는 경우가 많아 이메일의 헤더(header)와 바디(body)를 필터링하는 방식을 이용하더라도 상기 악성 코드를 검출하지 못하거나 검출 또는 차단하더라도 변형 및 신종 악성 코드 여부에 대한 정확한 분류가 어렵다는 문제점이 있어 왔다. 일 예로, 최근 악성 코드들은 상기 필터링 방식에 의해 배포가 차단되는 것을 방지하기 위하여 아주 일반적인 메일 제목 및 본문 등을 갖는다. 따라서, 상기 필터링 방식에 의하면 이메일의 헤더(header)와 바디(body)가 동일한 경우 그 중 악성 코드를 검출하지 못하며, 검출하더라도 변형으로 재 분류하기 어렵다는 문제점이 있어 왔다.However, recently, malicious codes spread through emails generally use similar mail types, and thus, even if the header and body of the email are filtered, the malicious codes cannot be detected or detected or Even if blocked, there has been a problem that it is difficult to correctly classify whether the malicious code is modified and new. For example, recently, malicious codes have a very general mail subject and body in order to prevent distribution by the filtering method. Therefore, according to the filtering method, when a header and a body of an e-mail are the same, a malicious code may not be detected, and even if detected, it is difficult to reclassify it as a modification.
뿐만 아니라, 영어 또는 한글 이외의 기타 언어로 이메일이 작성된 경우에는 상기 필터링 방식이 영어 및 한글만 지원하기 때문에 악성 코드를 검출하는 것이 불가능하며, 타 언어를 지원하기 위하여 각 언어별 오퍼레이터(Operator)가 필요하다는 문제가 발생한다. 즉, 악성 코드는 우리나라 및 비 영어권을 제외한 곳에서도 얼마든지 제작될 수 있는데, 일 예로 중국어, 스페인어, 독일어, 또는 불어로 작성된 이메일에 악성 코드가 포함된 경우에는 상기 필터링 방식으로는 상기 악성 코드에 대하여 효과적으로 대응할 수 없다는 문제점이 있어 왔다.In addition, if the email is written in a language other than English or Korean, it is impossible to detect malicious codes because the filtering method supports only English and Korean, and an operator for each language is provided to support other languages. The problem arises. In other words, the malicious code can be produced anywhere in Korea and non-English. For example, if the email is written in Chinese, Spanish, German, or French, the malicious code includes the malicious code. There has been a problem that it cannot effectively cope with.
본 발명은 상기한 사정을 감안하여 창출된 것으로서, 본 발명의 목적은 MIME 규격에 의해 인코딩된 이메일의 첨부 파일을 디코딩할 필요 없이 진단용 시그니쳐를 이용하여 인코딩된 상태에서 첨부 파일에 악성 코드의 유무를 검사하기 위한 이메일의 첨부 파일에서 악성 코드 검출 방법 및 그 장치를 제공하는데 있다. The present invention was created in view of the above circumstances, and an object of the present invention is to detect the presence or absence of malicious code in an attached file in the encoded state using a diagnostic signature without having to decode the attached file of the email encoded according to the MIME standard. The present invention provides a method and apparatus for detecting malicious code in an attachment of an e-mail for scanning.
상기 목적을 달성하기 위한 본 발명의 제 1 관점에 따른 이메일의 첨부 파일에서 악성 코드 검출 방법은,
A) 네트워크 망을 통해 전송되는 이메일 중 악성 코드가 포함된 파일이 첨부된 이메일을 샘플링하는 단계;
B) 상기 이메일의 첨부 파일을 디코딩하여 상기 악성 코드가 존재하는 위치를 검색하고 상기 위치에 대한 진단 위치 및 진단 범위를 설정하는 단계;
C) 상기 진단 위치의 상기 진단 범위를 인코딩하는 단계;
D) 상기 인코딩된 진단 범위와 상기 단계 A)의 첨부 파일의 대응하는 부분을 서로 비교하여 동일 여부를 판단하는 단계; 및Malware detection method in the attachment of the email according to the first aspect of the present invention for achieving the above object,
A) sampling an e-mail to which a file containing malicious code is attached among e-mails transmitted through a network;
B) decoding the attachment of the email to search for the location of the malicious code and to set a diagnostic location and diagnostic range for the location;
C) encoding said diagnostic range of said diagnostic location;
D) comparing the encoded diagnostic range with a corresponding portion of the attached file of step A) to determine whether they are identical; And
E) 상기 단계 D)의 판단 결과 동일한 경우, 상기 진단 위치 및 상기 진단 범위를 진단 기준으로써 설정하는 단계를 포함한다.E) if the determination result of step D) is the same, setting the diagnosis position and the diagnosis range as diagnosis criteria.
삭제delete
삭제delete
삭제delete
삭제delete
상기 목적을 달성하기 위한 본 발명의 제 2 관점에 따른 이메일의 첨부 파일에서 악성 코드 검출 방법은,
ⅰ) MIME(Multi-Purpose Internet Mail Extensions) 규약에 의해 인코딩된 파일이 첨부된 이메일이 메일장치로 전송되는 단계;
ⅱ) 상기 이메일에 첨부된 파일이 실행 파일인지 여부를 판별하여 실행 파일인 경우, 상기 파일이 실행 압축되었는지 여부를 판별하는 단계; 및Malware detection method in the attachment of the e-mail according to the second aspect of the present invention for achieving the above object,
I) sending an email to which the file encoded by the Multi-Purpose Internet Mail Extensions (MIME) protocol is attached to the mail device;
Ii) determining whether the file attached to the e-mail is an executable file and determining whether the file is executable or compressed; And
ⅲ) 상기 파일이 실행 압축된 경우 경고 메시지를 발생시키며, 진단 기준으로 상기 파일에 악성 코드가 존재하는지 여부를 검사하는 단계를 포함한다.I) generating a warning message when the file is compressed and executed, and checking whether malicious code exists in the file as a diagnostic criterion.
삭제delete
삭제delete
상기 목적을 달성하기 위한 본 발명의 제 3 관점에 따른 이메일의 첨부 파일에서 악성 코드 검출 장치는,
MIME(Multi-Purpose Internet Mail Extensions) 규약에 의해 인코딩된 파일이 첨부된 이메일을 네트워크를 통해 수신하기 위한 이메일 수신부;
상기 이메일의 첨부 파일에 악성 코드가 존재하는지 여부를 판단하기 위한 진단 기준을 관리하기 위한 진단 기준 관리부;An apparatus for detecting malicious code in an attachment of an email according to a third aspect of the present invention for achieving the above object,
An e-mail receiving unit for receiving an e-mail to which a file encoded by a Multi-Purpose Internet Mail Extensions (MIME) protocol is attached through a network;
A diagnostic criterion manager for managing a diagnostic criterion for determining whether a malicious code exists in the attachment file of the e-mail;
상기 첨부 파일에 따른 진단 기준을 상기 진단 기준 관리부로부터 독출하여 상기 진단 기준과 상기 첨부 파일을 비교함으로써 상기 첨부 파일에 악성 코드 존재 여부를 결정하기 위한 검출부를 포함하여 구성되는 것을 특징으로 한다.And a detection unit for determining whether a malicious code exists in the attached file by reading the diagnostic standard according to the attached file from the diagnostic standard management unit and comparing the diagnostic standard with the attached file.
삭제delete
삭제delete
따라서 본 발명에 의하면, 이메일의 첨부 파일을 디코딩 하지 않은 상태에서도 악성 코드를 검출하여 차단할 수 있다.Therefore, according to the present invention, it is possible to detect and block malicious code even without decoding the attachment of the email.
이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시예에 대하여 설명한다.Hereinafter, with reference to the accompanying drawings will be described a preferred embodiment of the present invention.
도 1은 본 발명의 일 실시 예에 따른 이메일의 첨부 파일에서 악성 코드를 검출하기 위한 시스템을 도시한 것이다.1 illustrates a system for detecting malicious code in an attachment of an e-mail according to an embodiment of the present invention.
도 1에 도시 된 바와 같이, 본 발명의 시스템은 다수의 클라이언트 단말기(110, 130, 150), 네트워크(200), 메일 서버(300), 클라이언트 단말기(110)로부터 상기 네트워크(200)를 통해 이메일을 타 클라이언트 단말기(130)로 전송하고자 할 때 상기 이메일에 악성 코드가 존재하는지 여부를 판별하고, 파일이 첨부된 이메일을 필터링하기 위한 메일 필터링 서버(400), 상기 이메일의 첨부파일에 악성 코드가 존재하는지 여부를 판별하기 위한 악성 코드 검출 장치(500), 및 상기 악성 코드를 검출하기 위한 Policy/Signature (이하 진단 기준 이라 한다)를 생성하고 상기 악성 코드의 발생을 모니터링하기 위한 관리자 서버(600)를 포함하여 구성된다.As shown in FIG. 1, the system of the present invention includes a plurality of
클라이언트 단말기(Client Terminal; 110, 130, 150)는 네트워크(200)와 연결되어 상호 이메일(E-mail)을 송수신한다. 이 때, 상기 클라이언트 단말기는 상기 이메일에 파일을 첨부하여 타 클라이언트 단말기로 전송하는 것이 가능한데, 주로 첨부되는 파일은 워드, 엑셀, 한글 등으로 작성된 문서 파일, 이미지 파일, 동영상 파일 등이다.
또한, 상기 클라이언트 단말기는 간헐적으로 실행 파일을 이메일의 첨부 파 일로 전송하는 경우가 발생하는데, 이 경우에도 실행 파일을 실행 압축하여 전송하는 경우는 거의 발생하지 않는다. 즉, 이메일을 통하여 확산되는 악성 코드의 95% 이상이 첨부된 자신의 크기를 줄이고 분석을 방해할 목적으로 별도의 툴(Tool)을 이용하여 실행 압축 또는 암호화되어 있다. In addition, the client terminal intermittently transmits the executable file as an e-mail attachment file, but even in this case, the executable file is rarely generated by executing the executable file. In other words, more than 95% of malicious code spread through e-mail is compressed or encrypted using a separate tool to reduce the size of attached attachments and interfere with analysis.
상기 클라이언트 단말기가 메일 발송시 포함한 첨부파일은 네트워크(200)를 통해 메일서버(300)로 전송 되기전 각 클라이언트 단말기(Client Terminal:110,130,150)에 의해 MIME 규약에 따라 인코딩되며 상기 메일 서버(300)는 상기 이메일에 악성 코드가 존재하는지 여부를 판별하기 위하여 상기 메일을 메일 필터링 서버(400)로 전송한다.The attachments included when the client terminal sends mail are encoded according to the MIME protocol by each client terminal (Client Terminal: 110, 130, 150) before being transmitted to the
상기 메일 필터링 서버(400)는 이메일에 포함된 악성 코드를 검출하고 이메일을 통하여 배포되는 것을 방지한다. 또한, 상기 메일 필터링 서버(400)는 보다 정확한 악성 코드 검출을 위하여 상기 이메일에 첨부 파일이 존재하는 경우에는 악성 코드 검출 장치(500)로 상기 이메일을 전송하여 첨부 파일에 악성 코드가 있는지 여부를 판단한다.The
상기 악성 코드 검출 장치(500)는 상기 메일 필터링 서버(400)로부터 파일이 첨부된 이메일을 수신하기 위한 이메일 수신부(510), 검출부(530), 진단 기준 관리부(550), 및 전송부(570)를 포함하여 구성된다.The malicious
상기 진단 기준 관리부(550)는 관리자 서버(600)와 연동하여 관리자 서버(600)로부터 생성된 진단 기준을 관리하며 이메일 수신부(510)로부터 파일이 첨부 된 이메일이 수신되는 경우, 상기 첨부 파일에 따른 진단 기준을 검출부(530)로 제공한다. 상기 진단 기준은 상기 첨부 파일이 실행 파일인지 유무, 상기 첨부 파일이 실행 파일인 경우 실행 압축되었는지 유무에 따라 진단 위치 및 진단 범위가 결정되며, 상기 진단 위치 및 진단 범위는 MIME 규약에 의해 인코딩되어 있다.The
상기 검출부(530)는 상기 이메일 수신부(510)로부터 수신된 이메일의 첨부 파일이 실행 압축된 경우에는 경고 메시지를 전송부(570)를 통해 관리자 서버(600)로 전송한다. 상기 검출부(530)는 상기 첨부 파일에 따른 진단 기준으로 첨부 파일에 악성 코드가 존재하는지 여부를 판단하여 그 결과를 상기 전송부(570)를 통해 상기 관리자 서버(600)로 전송한다.The
상술한 바와 같이 구성된 본 발명의 작동 상태에 대하여 설명한다.The operating state of the present invention configured as described above will be described.
도 2는 본 발명의 일 실시 예에 따른 이메일의 첨부 파일에서 악성 코드를 검출하기 위한 진단 기준을 생성하는 방법을 설명하기 위한 순서도이다.2 is a flowchart illustrating a method of generating a diagnostic criterion for detecting malicious code in an attachment of an e-mail according to an embodiment of the present invention.
진단 기준을 생성하기 위하여 관리자는 이메일을 통해 유포되는 악성 코드의 파일을 취득해야 한다. 따라서, 첨부 파일이 있는 이메일 중 악성 코드가 포함되었다고 신고된 이메일 또는 관리자의 판단 하에 악성 코드가 포함되었을 가능성이 많은 이메일을 샘플링한다(S200).To generate the diagnostic criteria, the administrator must obtain a file of malicious code that is distributed via email. Therefore, an email that has been reported as including malicious code in an email with an attached file or an email that is likely to include malicious code is sampled at the administrator's judgment (S200).
이메일을 통해 파일을 전송할 때 첨부 파일은 MIME 규약에 의해 인코딩(Encoding)된다. 따라서, 관리자는 상기 첨부 파일의 어느 위치에 악성 코드가 존재하는지 검사하기 위하여 상기 첨부 파일을 디코딩(Decoding)한다(S210).When sending a file via e-mail, the attachment is encoded by the MIME protocol. Therefore, the administrator decodes the attached file in order to check where the malicious code exists in the attached file (S210).
디코딩된 상기 첨부 파일을 살펴 보면, 파일의 MZ 헤더(Header) 또는 PE 헤더(Portable Executable Header)가 있다면 상기 파일이 실행 파일인지 여부 를 알 수 있다. 따라서, 상기 진단 기준에 먼저, 파일의 MZ 헤더(Header) 또는 PE 헤더(Portable Executive Header)의 시작 위치로부터 임의의 범위를 인코딩하여 실행 파일 여부를 판별하기 위한 제1 진단 기준을 생성한다. Looking at the decoded attached file, if there is an MZ header or a portable executable header of the file, it can be determined whether the file is an executable file. Therefore, first of all, the diagnostic criteria is generated by encoding an arbitrary range from a start position of a MZ header or a portable executive header of a file to determine whether the executable file is executable.
부언하면, 상기 실행 파일에 대한 정보가 담긴 부분을 인코딩하여 진단 기준으로 생성하면, 메일 서버(300)를 통해 인코딩된 첨부 파일을 디코딩하지 않고서도 상기 첨부 파일과 상기 생성된 진단 기준을 비교함으로써 상기 첨부 파일이 실행 파일인지 여부를 판단 할 수 있다. In other words, when a portion containing information about the executable file is encoded and generated as a diagnostic criterion, the attachment file is compared with the generated diagnostic criterion without decoding the encoded attachment file through the
또한, 상기 파일의 엔트리 포인트 (즉, 시작주소 = EP, Entry Point)로부터 특정 범위, 일 예로 16 또는 32 바이트 이내를 인코딩하여 상기 실행 파일이 실행 압축되었는지 여부를 판별하기 위한 제2 진단 기준을 생성한다(S215).In addition, a second diagnostic criterion for determining whether the executable file is executable or compressed is encoded by encoding a specific range, for example, within 16 or 32 bytes from an entry point of the file (ie, start address = EP, Entry Point). (S215).
그러나, 상기 첨부 파일이 실행 파일이 아닌 경우에는 악성 코드 유무를 판별하기 위하여 상기 첨부 파일의 종류를 판별하기 위한 진단 위치 및 진단 범위를 설정하고, 상기 첨부 파일의 데이터 영역에서 진단 위치 및 진단 범위를 설정한 후, 상기 설정된 진단 위치 및 진단 범위를 각각 인코딩하여 제3 진단 기준을 생성한다(S230, S270).However, if the attachment is not an executable file, in order to determine the presence of malicious code, a diagnosis location and a diagnosis range for determining the type of the attachment file are set, and the diagnosis location and the diagnosis range are set in the data area of the attachment. After setting, third diagnostic criteria are generated by encoding the set diagnostic position and the diagnostic range, respectively (S230 and S270).
상기 첨부 파일이 실행 파일이면서 실행 압축되지 않은 경우에는 엔트리 포인트로부터 그리고, 섹션(Section) 별 엔트리 포인트로부터 진단 범위를 각각 설정하여 인코딩하여 제4 및 제5 진단 기준을 생성한다(S250, S270).If the attached file is an executable file and is not executable, the diagnostic range is set and encoded from an entry point and an entry point for each section to generate fourth and fifth diagnostic criteria (S250 and S270).
부가적으로, 관리자의 선택에 따라 첨부 파일의 임포트 테이블(Import Table)을 확인한 후 첨부 파일에서 사용하는 DLL(Dynamic Link Library) 또는 API(Application Program Interface)가 위치한 곳을 진단 범위로 설정하고 인코딩하여 제6 진단 기준을 생성하는 것이 가능하다.In addition, after checking the import table of the attached file according to the administrator's choice, set the location where the DLL (Dynamic Link Library) or API (Application Program Interface) used in the attached file is located in the diagnostic range and encode it. It is possible to generate a sixth diagnostic criterion.
만일, 상기 첨부 파일이 실행 파일이며 실행 압축된 경우 상기 첨부 파일의 코드(Code) 영역에서 진단 위치 및 진단 범위를 결정하고 인코딩하여 제7 진단 기준을 생성한다(S260, S270).If the attached file is an executable file and is executable and compressed, a diagnosis position and a diagnostic range are determined and encoded in a code area of the attached file to generate a seventh diagnostic reference (S260 and S270).
각각의 방법으로 생성된 제1 내지 제7 진단 기준을 상기 인코딩된 첨부 파일의 상응하는 곳과 비교하여 동일한 경우에는 진단 기준으로 확정하지만, 동일하지 않은 경우에는 진단 기준으로 활용할 수 없으므로 삭제한다(S290).The first to seventh diagnostic criteria generated by the respective methods are compared with the corresponding places of the encoded attachment file, and the diagnostic criteria are determined in the same case, but if not the same, the diagnostic criteria cannot be used as diagnostic criteria (S290). ).
상기 제1 내지 제7 진단 기준은 관리자의 선택에 따라 정규 표현식(Regular Expression)을 이용하여 적어도 2개 이상 그룹화되어 악성 코드를 판별하는데 이용된다.The first to seventh diagnostic criteria are used to determine malicious codes by grouping at least two groups using regular expressions according to an administrator's selection.
도 3은 본 발명의 일 실시 예에 따른 이메일의 첨부 파일에서 악성 코드를 검출하기 위한 방법을 설명하기 위한 순서도이다.3 is a flowchart illustrating a method for detecting malicious code in an attachment of an email according to an embodiment of the present invention.
클라이언트 단말기에서 첨부파일은 MIME 규약에 의해 인코딩되어 메일서버(300)로 전송된다(S300, S310).In the client terminal, the attachment is encoded by the MIME protocol and transmitted to the mail server 300 (S300 and S310).
상기 메일 서버(300)는 상기 첨부 파일이 인코딩된 이메일에 악성 코드가 존재하는지 여부를 확인하기 위하여 메일 필터링 서버(400)로 전송하는데, 상기 메일 필터링 서버(400)에서는 이메일에 파일이 첨부된 경우에는 악성 코드 검출 장치(500)로 상기 이메일을 포워딩(Forwarding)한다.The
상기 악성 코드 검출 장치(500)는 진단 기준을 이용하여 수신된 이메일의 첨 부 파일이 실행 파일인지 여부 및 실행 파일이면 실행 압축된 파일인지 여부를 판별한다(S320, S340).The malicious
상기 실행 파일 여부를 판별하기 위해 생성된 진단 기준을 상기 첨부 파일의 MZ 헤더 또는 PE 헤더의 시작 위치부터 소정 범위와 비교함으로써 상기 첨부 파일의 실행 파일 여부를 결정할 수 있다. By comparing the diagnosis criteria generated to determine whether the executable file with the predetermined range from the start position of the MZ header or PE header of the attachment file, it is possible to determine whether the executable file of the attachment file.
상기 판별 결과 상기 첨부 파일이 실행 파일이 아닌 경우에는 상기 첨부 파일의 종류를 판별하여 상기 첨부 파일의 종류에 따른 진단 기준을 독출한다(S330). If the attachment is not an executable file as a result of the determination, the type of the attachment file is determined to read a diagnosis criterion according to the type of attachment file (S330).
상기 판별 결과 상기 첨부 파일이 실행 파일인 경우에는 상기 첨부 파일이 실행 압축되어 있는지 여부를 판별한다(S340). 상기 첨부 파일이 실행 압축된 경우에는 악성 코드가 포함된 확률이 높으므로 관리자 서버(600)로 경고 메시지를 전송한다(S360).When the attachment result is the executable file, it is determined whether the attached file is executable or compressed (S340). If the attachment is executable and compressed, a high probability of containing malicious code is transmitted, thereby transmitting a warning message to the manager server 600 (S360).
그러나, 상기 실행 파일이 실행 압축되지 않은 경우에는 상기 실행 파일에 포함된 악성 코드를 검출하기 위한 진단 기준을 독출한다(S350).However, when the executable file is not executable and compressed, the diagnostic criteria for detecting malicious code included in the executable file is read (S350).
상기 독출된 진단 기준은 상기 첨부 파일의 상응하는 진단 위치에 진단 범위와 각각 비교하여 동일 여부를 판단한다(S370, S380).The read out diagnostic criteria are compared with the diagnosis ranges at the corresponding diagnosis positions of the attached file, respectively, to determine whether they are the same (S370 and S380).
상기 단계 S380의 비교 결과 동일한 경우에는 상기 첨부 파일에 악성 코드가 존재하는 것이며, 상기 비교 결과 동일하지 않은 경우에는 상기 첨부 파일에 악성 코드가 존재하지 않는 것으로 상기 이메일은 상기 메일 서버(300)로 회송되어 상기 이메일이 도착 메일 어드레스(Address)로 전송되도록 한다(S390, S395).If the comparison result of step S380 is the same, the malicious code is present in the attached file. If the comparison result is not identical, the malicious code is not present in the attachment file, and the email is returned to the
이상에서 상세히 설명한 바와 같이, 본 발명의 이메일의 첨부 파일에서 악성 코드 검출 방법 및 그 장치에 의하면, 이메일에 첨부된 파일을 디코딩하지 않고 메일 서버에서 인코딩된 그대로 악성 코드 유무를 검사하므로 첨부 파일을 저장하고 디코딩하는 시간을 절약할 수 있어 악성 코드를 검사하는데 소요되는 시간을 현저하게 줄일 수 있을 뿐만 아니라 시스템 자원 소모량을 줄일 수 있는 장점이 있다. As described in detail above, according to the method and apparatus for detecting malicious code in an attachment of an email of the present invention, the attachment file is stored because the presence of the malicious code is checked as encoded in the mail server without decoding the file attached to the email. The time required to check for malicious code can be significantly reduced as well as saving time for decoding, and the system resource consumption can be reduced.
뿐만 아니라, 이메일의 헤더(header)와 바디(body)에 영향을 받지 않는 정확한 진단 값을 사용함으로써 악성 코드 분석 후 진단 값을 즉시 적용하는 것이 가능하여 악성 코드에 대하여 신속한 대응이 가능하게 되었다.In addition, by using the correct diagnostic value that is not affected by the header and body of the email, it is possible to apply the diagnostic value immediately after analyzing the malicious code, so that it can quickly respond to the malicious code.
또한, 독일어, 이탈리아어 등의 비 영어권, 및 한글이 아닌 언어로 작성된 메일에 포함된 마이둠 및 베이글, 자피 웜 변형 등의 악성 코드도 헤더(header)와 바디(body)에 구애받지 않고 추가 프로세스 없이 간편하게 검출할 수 있다는 효과가 있다.In addition, malicious codes such as MyDoom, Bagel, and Japy worm variants included in non-English, German, Italian, and non-Hangul languages can be easily processed without any additional process, regardless of the header and body. There is an effect that it can be detected.
부가적으로, 악성 코드별로 진단 기준이 상이하므로 동일한 이름을 갖는 변형된 악성 코드에 대하여 기존 제품에서는 헤더(header)와 바디(body) 내용에 따라 모두 같은 악성 코드로 인식했지만, 본 발명을 통하여 변형된 악성 코드를 모두 분류 할 수 있어 정확한 통계를 산출할 수 있게 되었다.In addition, since the diagnosis criteria are different for each malicious code, the modified malicious code having the same name is recognized as the same malicious code according to the header and the body content in the existing product. All malicious code can be classified to produce accurate statistics.
지금까지 본 발명을 바람직한 실시예를 참조하여 상세히 설명하였지만,본 발명이 상기한 실시예에 한정되는 것은 아니며, 이하의 특허청구범위에서 청구하는 본 발명의 요지를 벗어남이 없이 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 누구든지 다양한 변형 또는 수정이 가능한 범위까지 본 발명의 기술적 사상이 미친다 할 것이다.Although the present invention has been described in detail with reference to preferred embodiments, the present invention is not limited to the above-described embodiments, and the technical field to which the present invention belongs without departing from the gist of the present invention as claimed in the following claims. Anyone skilled in the art will have the technical idea of the present invention to the extent that various modifications or changes are possible.
Claims (19)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020050059740A KR100743372B1 (en) | 2005-07-04 | 2005-07-04 | Method and apparatus for detecting virus in attached file of e-mail |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020050059740A KR100743372B1 (en) | 2005-07-04 | 2005-07-04 | Method and apparatus for detecting virus in attached file of e-mail |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20070004270A KR20070004270A (en) | 2007-01-09 |
KR100743372B1 true KR100743372B1 (en) | 2007-07-30 |
Family
ID=37870540
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020050059740A KR100743372B1 (en) | 2005-07-04 | 2005-07-04 | Method and apparatus for detecting virus in attached file of e-mail |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR100743372B1 (en) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20190116861A (en) | 2018-04-05 | 2019-10-15 | 소프트캠프(주) | System and method for preventing and curing the file attached to e-mail from malicious code |
KR102184485B1 (en) | 2020-10-05 | 2020-11-30 | 크리니티(주) | System and method for processing malicious mail |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100968120B1 (en) * | 2008-03-10 | 2010-07-06 | 주식회사 안철수연구소 | Detection system for malicious program considering code modification and method thereof |
KR101029112B1 (en) * | 2008-12-15 | 2011-04-13 | 한국전자통신연구원 | Storage medium and method for packed PE file detection |
CN109167783A (en) * | 2018-08-31 | 2019-01-08 | 杭州迪普科技股份有限公司 | A kind of method and apparatus identifying mail virus |
CN110278143B (en) * | 2019-05-06 | 2022-08-19 | 平安科技(深圳)有限公司 | E-mail data processing method and device, computer equipment and storage medium |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20040013178A (en) * | 2002-08-03 | 2004-02-14 | 황건순 | Virus email blocking algorithm and system |
-
2005
- 2005-07-04 KR KR1020050059740A patent/KR100743372B1/en active IP Right Grant
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20040013178A (en) * | 2002-08-03 | 2004-02-14 | 황건순 | Virus email blocking algorithm and system |
Non-Patent Citations (1)
Title |
---|
논문 |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20190116861A (en) | 2018-04-05 | 2019-10-15 | 소프트캠프(주) | System and method for preventing and curing the file attached to e-mail from malicious code |
KR102184485B1 (en) | 2020-10-05 | 2020-11-30 | 크리니티(주) | System and method for processing malicious mail |
Also Published As
Publication number | Publication date |
---|---|
KR20070004270A (en) | 2007-01-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11218495B2 (en) | Resisting the spread of unwanted code and data | |
US9912691B2 (en) | Fuzzy hash of behavioral results | |
US9277378B2 (en) | Short message service validation engine | |
AU2012282792B2 (en) | Syntactical fingerprinting | |
US9189627B1 (en) | System, apparatus and method for conducting on-the-fly decryption of encrypted objects for malware detection | |
US11489867B2 (en) | Cybersecurity email classification and mitigation platform | |
CN110519150B (en) | Mail detection method, device, equipment, system and computer readable storage medium | |
JP2021503142A (en) | Analysis and reporting of suspicious emails | |
KR100743372B1 (en) | Method and apparatus for detecting virus in attached file of e-mail | |
US20030120947A1 (en) | Identifying malware containing computer files using embedded text | |
US20040128355A1 (en) | Community-based message classification and self-amending system for a messaging system | |
US11677783B2 (en) | Analysis of potentially malicious emails | |
US20080046970A1 (en) | Determining an invalid request | |
GB2357939A (en) | E-mail virus detection and deletion | |
CA2609464A1 (en) | Method and system for filtering electronic messages | |
US10572664B2 (en) | Technique for detecting suspicious electronic messages | |
US8590039B1 (en) | System, method and computer program product for sending information extracted from a potentially unwanted data sample to generate a signature | |
US20220172170A1 (en) | Email security analysis | |
JP2017130921A (en) | Technique for detecting malicious electronic message | |
US8655959B2 (en) | System, method, and computer program product for providing a rating of an electronic message | |
CN113965349B (en) | Network safety protection system and method with safety detection function | |
KR100518844B1 (en) | Check method of network packet | |
GB2440359A (en) | Rules for data traffic assembled in single data structure | |
CN116192430A (en) | IPv6 hidden channel detection and identification method and system based on header examination | |
CN115883246A (en) | Malicious website processing method, device, equipment and medium |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
G170 | Re-publication after modification of scope of protection [patent] | ||
FPAY | Annual fee payment |
Payment date: 20120712 Year of fee payment: 6 |
|
FPAY | Annual fee payment |
Payment date: 20130723 Year of fee payment: 7 |
|
FPAY | Annual fee payment |
Payment date: 20140723 Year of fee payment: 8 |
|
FPAY | Annual fee payment |
Payment date: 20150723 Year of fee payment: 9 |
|
FPAY | Annual fee payment |
Payment date: 20160725 Year of fee payment: 10 |
|
FPAY | Annual fee payment |
Payment date: 20170724 Year of fee payment: 11 |
|
FPAY | Annual fee payment |
Payment date: 20180723 Year of fee payment: 12 |
|
FPAY | Annual fee payment |
Payment date: 20190723 Year of fee payment: 13 |