KR101489142B1 - Client system and control method thereof - Google Patents
Client system and control method thereof Download PDFInfo
- Publication number
- KR101489142B1 KR101489142B1 KR20130082294A KR20130082294A KR101489142B1 KR 101489142 B1 KR101489142 B1 KR 101489142B1 KR 20130082294 A KR20130082294 A KR 20130082294A KR 20130082294 A KR20130082294 A KR 20130082294A KR 101489142 B1 KR101489142 B1 KR 101489142B1
- Authority
- KR
- South Korea
- Prior art keywords
- program
- malicious
- termination
- diagnostic
- information
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/445—Program loading or initiating
- G06F9/44594—Unloading
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Debugging And Monitoring (AREA)
- Information Transfer Between Computers (AREA)
Abstract
본 발명은, 비록 AV-Killing 악성프로그램에 의해 시스템 내 악성진단프로그램이 공격받아 종료되었지만, 악성진단프로그램을 종료시킨 AV-Killing 악성프로그램에 대한 정보들(종료관련정보)을 다잉메시지와 같이 남겨, 서버를 통해서 다수의 다른 클라이언트들이 AV-Killing 악성프로그램을 진단대상으로서 인지할 수 있도록 함으로써, 하나의 클라이언트시스템의 희생을 기반으로 다른 다수의 클라이언트들이 새로운 AV-Killing 악성프로그램 자체를 빠르게 진단하여 AV-Killing 악성프로그램의 실행을 원천 차단할 수 있는 클라이언트시스템 및 클라이언트시스템의 동작 방법에 관한 것이다.Killing malicious programs that terminate the malicious diagnostic program although the malicious diagnostic program in the system has been terminated by an attack by the AV-Killing malicious program, leaving the information about the malicious program (termination related information) as a dying message, Killing malicious programs can be diagnosed by a number of other clients through the server, so that a number of other clients can rapidly diagnose new AV-Killing malicious programs themselves based on the sacrifice of one client system, Killing Malicious programs that can block the execution of the client system and client system.
Description
본 발명의 실시예들은, 악성진단프로그램(예 : 안티 바이러스 제품)을 공격하여 종료시키는 악성프로그램으로부터 시스템을 빠르고 효율적으로 보호할 수 있도록 하는 기술들과 관련된다.Embodiments of the present invention relate to techniques that allow a system to be protected quickly and efficiently from malicious programs that attack and terminate malicious diagnostic programs (e.g., anti-virus products).
많은 악성코드(악성프로그램)들이 자신을 진단하는 악성진단프로그램(예: 안티 바이러스 제품)에 대항하기 위해, 악성진단프로그램을 공격하여 종료시킨 후에 시스템을 감염 시키고 있다. 이런 기술을 AV-Killing 기술이라고 부르는데, AV-Killing 기술에 의해 악성진단프로그램이 종료되면, 악성진단프로그램의 진단 기능이 무력화가 되어 더 이상 시스템을 보호 하는 것이 불가능해 진다. Many malicious programs (malicious programs) are infecting the system after attacking and terminating the malicious diagnostic program against malicious diagnostic programs (such as antivirus products) that diagnose themselves. This technology is called AV-Killing technology. When the malicious diagnostic program is terminated by AV-Killing technology, the diagnosis function of the malicious diagnostic program is disabled and it is no longer possible to protect the system.
이러한, AV-Killing 기술에 대응하고자 많은 악성진단프로그램 업체들은 자신의 제품에 자체 보호 기술을 적용하여 무력화 되지 않도록 방어하고 있다.To cope with such AV-Killing technology, many malicious diagnostic program vendors are applying self-protection technology to their products to prevent them from being disabled.
하지만, 이와 같은 방어 기법을 악성진단프로그램에 적용하는 방식은, 얼마 지나지 않아 악성코드들이 그 방어 기법을 무력화 하는 새로운 공격 기법으로 악성진단프로그램을 공격하기 때문에 방어와 공격의 악순환이 반복될 뿐이다.However, the method of applying such a defense technique to a malicious diagnostic program is only a repetition of a vicious cycle of defense and attack because malicious codes attack a malicious diagnostic program as a new attack technique which nullifies the defense technique in a short period of time.
이에, 본 발명에서는, 악성진단프로그램에 방어 기법을 적용하는 기존의 자체 보호 기술 보다는, 악성진단프로그램을 공격하는 악성코드 자체를 빠르게 진단하여 이에 대처할 수 있도록 함으로써 악성코드의 실행을 원천적으로 차단할 수 있는 방안을 제안하고자 한다.Accordingly, in the present invention, it is possible to quickly diagnose and cope with malicious codes that attack malicious diagnostic programs, rather than existing self-protection techniques that apply defense techniques to malicious diagnostic programs, thereby preventing malicious code from being executed I would like to propose a plan.
본 발명의 실시예들은 악성진단프로그램(예 : 안티 바이러스 제품)을 공격하여 종료시키는 악성프로그램으로부터 시스템을 빠르고 효율적으로 보호하기 위한 기술로서, 악성진단프로그램을 공격하는 악성프로그램 자체를 빠르게 진단하여 결과적으로 악성프로그램의 실행을 원천 차단할 수 있는 클라이언트시스템 및 클라이언트시스템의 동작 방법을 제안하고자 한다.Embodiments of the present invention are technologies for quickly and efficiently protecting a system from a malicious program that attacks and terminates a malicious diagnostic program (for example, an antivirus product). It quickly diagnoses a malicious program that attacks a malicious diagnostic program, We propose a client system and a client system that can block malicious programs from running.
상기 목적을 달성하기 위한 본 발명의 제 1 관점에 따른 클라이언트시스템의 동작 방법은, 악성진단프로그램이 비정상적으로 종료되는지 여부를 판단하는 판단단계; 상기 악성진단프로그램이 비정상적으로 종료되면, 상기 악성진단프로그램의 비정상적인 종료와 관련된 종료관련정보를 생성하는 정보생성단계; 및 상기 생성한 종료관련정보를 서버로 제공하여, 상기 서버가 상기 종료관련정보를 기초로 상기 악성진단프로그램을 종료시킨 악성프로그램을 인지하고 진단대상으로 추가하여 상기 서버와 연동하는 타 클라이언트에서 상기 악성프로그램이 실행되기 이전에 진단할 수 있도록 하는 제공단계를 포함한다.According to a first aspect of the present invention, there is provided a method of operating a client system, the method comprising: determining whether a malicious diagnostic program is abnormally terminated; An information generating step of generating termination-related information related to abnormally terminating the malicious diagnostic program when the malicious diagnostic program abnormally terminates; And providing the generated termination related information to a server to recognize a malicious program terminated by the server based on the termination related information and add the termination related information to a diagnosis target, And a providing step for enabling diagnosis before the program is executed.
상기 목적을 달성하기 위한 본 발명의 제 2 관점에 따른 클라이언트시스템은, 악성진단프로그램이 비정상적으로 종료되는지 여부를 판단하는 비정상종료판단부; 상기 악성진단프로그램이 비정상적으로 종료되면, 상기 악성진단프로그램의 비정상적인 종료와 관련된 종료관련정보를 생성하는 정보생성부; 및 상기 생성한 종료관련정보를 서버로 제공하여, 상기 서버가 상기 종료관련정보를 기초로 상기 악성진단프로그램을 종료시킨 악성프로그램을 인지하고 진단대상으로 추가하여 상기 서버와 연동하는 타 클라이언트에서 상기 악성프로그램이 실행되기 이전에 진단할 수 있도록 하는 정보제공부를 포함한다.According to a second aspect of the present invention, there is provided a client system including an abnormal termination determination unit for determining whether a malicious diagnostic program abnormally terminates; An information generating unit generating termination-related information related to abnormal termination of the malicious diagnostic program when the malicious diagnostic program abnormally terminates; And providing the generated termination related information to a server to recognize a malicious program terminated by the server based on the termination related information and add the termination related information to a diagnosis target, And an information providing unit for making a diagnosis before the program is executed.
본 발명의 실시예들은 하나의 클라이언트시스템의 희생을 기반으로 다른 다수의 클라이언트들이 새로운 AV-Killing 악성프로그램 자체를 빠르게 진단하여 AV-Killing 악성프로그램의 실행을 원천 차단할 수 있는 효과를 갖는다.The embodiments of the present invention have an effect that many other clients based on the sacrifice of one client system can quickly diagnose a new AV-Killing malicious program itself and block the execution of the AV-Killing malicious program.
도 1은 본 발명의 바람직한 실시예에 따른 클라이언트시스템이 포함된 전체 시스템을 보여주는 예시도이다.
도 2는 본 발명의 바람직한 실시예에 따른 클라이언트시스템의 구성을 보여주는 구성도이다.
도 3은 본 발명의 바람직한 실시예에 따른 클라이언트시스템이 포함된 전체 시스템의 제어 흐름을 보여주는 흐름도이다.
도 4는 본 발명의 바람직한 실시예에 따른 클라이언트시스템의 동작 방법을 보여주는 동작 흐름도이다.1 is an exemplary diagram illustrating an entire system including a client system according to a preferred embodiment of the present invention.
2 is a block diagram illustrating a configuration of a client system according to a preferred embodiment of the present invention.
FIG. 3 is a flowchart illustrating a control flow of an entire system including a client system according to a preferred embodiment of the present invention.
4 is a flowchart illustrating an operation method of a client system according to an exemplary embodiment of the present invention.
본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 상세하게 설명하고자 한다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다. 각 도면을 설명하면서 유사한 참조부호를 유사한 구성요소에 대해 사용하였다.While the invention is susceptible to various modifications and alternative forms, specific embodiments thereof are shown by way of example in the drawings and will herein be described in detail. It should be understood, however, that the invention is not intended to be limited to the particular embodiments, but includes all modifications, equivalents, and alternatives falling within the spirit and scope of the invention. Like reference numerals are used for like elements in describing each drawing.
어떤 구성요소가 다른 구성요소에 "연결되어" 있다거나 "접속되어" 있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어" 있다거나 "직접 접속되어" 있다고 언급된 때에는, 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다.It is to be understood that when an element is referred to as being "connected" or "connected" to another element, it may be directly connected or connected to the other element, . On the other hand, when an element is referred to as being "directly connected" or "directly connected" to another element, it should be understood that there are no other elements in between.
본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.The terminology used in this application is used only to describe a specific embodiment and is not intended to limit the invention. The singular expressions include plural expressions unless the context clearly dictates otherwise. In the present application, the terms "comprises" or "having" and the like are used to specify that there is a feature, a number, a step, an operation, an element, a component or a combination thereof described in the specification, But do not preclude the presence or addition of one or more other features, integers, steps, operations, elements, components, or combinations thereof.
다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥 상 가지는 의미와 일치하는 의미를 가지는 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.Unless defined otherwise, all terms used herein, including technical or scientific terms, have the same meaning as commonly understood by one of ordinary skill in the art to which this invention belongs. Terms such as those defined in commonly used dictionaries are to be interpreted as having a meaning consistent with the contextual meaning of the related art and are to be interpreted as either ideal or overly formal in the sense of the present application Do not.
이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시예에 대하여 설명한다.Hereinafter, preferred embodiments of the present invention will be described with reference to the accompanying drawings.
먼저, 도 1을 참조하여 본 발명을 설명하면 다음과 같다. 여기서, 도 1은 본 발명의 바람직한 실시예에 따른 클라이언트시스템이 포함된 전체 시스템을 보여주고 있다.First, the present invention will be described with reference to FIG. FIG. 1 illustrates an overall system including a client system according to a preferred embodiment of the present invention.
도 1에 도시된 바와 같이 시스템에는, 클라이언트시스템(100)을 비롯한 다수의 클라이언트들(300)과, 클라이언트시스템(100)을 비롯한 다수의 클라이언트들(300)에서 악성코드(이하, 악성프로그램이라 함)를 진단할 수 있도록 하는 서버(200)를 포함한다. 1, the system includes a plurality of
기본적으로, 클라이언트시스템(100)을 비롯한 다수의 클라이언트들(300)은, 컴퓨터, 스마트폰, 이동통신단말 등과 같이, 탑재된 운영체제를 기반으로 동작하는 시스템일 수 있다.Basically, a plurality of
이러한, 클라이언트시스템(100)을 비롯한 다수의 클라이언트들(300)에는, 악성프로그램에 의한 감염 및 공격으로부터 시스템을 보호하기 위해서, 시스템에서 악성프로그램을 진단하는 악성진단프로그램(예 : 안티 바이러스 제품)이 설치되어 있다. A plurality of
클라이언트시스템(100)을 비롯한 다수의 클라이언트들(300)에 설치되는 악성진단프로그램(예 : 안티 바이러스 제품)은, 서버(200)로부터 제공되어 설치되며 이후에도 서버(200)와의 연동을 통해서 주기적으로 업데이트되는 프로그램으로서, 기 등록된 진단대상이 되는 악성프로그램들에 대한 정보를 기반으로, 자신이 실행되는 시스템 내에서 악성프로그램들을 진단하게 된다.A malicious diagnostic program (e.g., an anti-virus product) installed in a plurality of
예컨대, 악성진단프로그램은, 자체적으로 시스템 내에서 악성프로그램들을 진단하는 클라이언트 기반 진단 방식, 또는 진단 시마다 서버(200)와 연동하여 악성프로그램들을 진단하는 클라우드 기반 진단 방식 중 어느 하나의 방식으로, 악성프로그램을 진단할 수 있다.For example, the malicious diagnostic program may be a client-based diagnostic method for self-diagnosing malicious programs in the system, or a cloud-based diagnostic method for diagnosing malicious programs in cooperation with the
이에, 클라이언트시스템(100)을 비롯한 다수의 클라이언트들(300)는, 시스템 구동과 함께 악성진단프로그램을 실행하여, 시스템 구동 중에 지속적으로 또는 주기적으로 악성진단프로그램이 클라이언트 기반 진단 방식, 또는 클라우드 기반 진단 방식 중 어느 하나의 방식으로 시스템 내에서 악성프로그램을 진단할 수 있도록 함으로써, 이러한 진단 결과에 따른 이후 절차(예 : 진단결과 보고, 진단된 악성프로그램 삭제, 진단된 악성프로그램에 의한 감염 치료 등)을 수행할 수 있게 된다. Accordingly, the plurality of
헌데, 최근에는 이러한 악성진단프로그램을 공격하여 종료시킨 후에 시스템을 감염 시키는 악성프로그램(이하, AV-Killing 악성프로그램이라 함)이 등장하였다. 이러한 AV-Killing 악성프로그램에 의해 시스템에서 악성진단프로그램이 종료되면, 악성진단프로그램의 진단 기능이 무력화가 되어 더 이상 시스템을 보호 하는 것이 불가능해 진다. In recent years, a malicious program (hereinafter referred to as AV-Killing malicious program) that infects a system after attacking and terminating such a malicious diagnostic program has appeared. When the malicious diagnostic program is terminated by the AV-Killing malicious program, the diagnostic function of the malicious diagnostic program is disabled and it is no longer possible to protect the system.
이에, 본 발명에서는, 악성진단프로그램을 공격하는 AV-Killing 악성프로그램 자체를 빠르게 진단하여 이에 대처할 수 있도록 함으로써, AV-Killing 악성프로그램의 실행을 원천적으로 차단할 수 있는 방안을 제안하고자 한다. Accordingly, the present invention proposes a method of blocking the execution of AV-Killing malicious programs by promptly diagnosing AV-Killing malicious programs that attack malicious diagnostic programs and coping with them.
우선, 설명의 편의를 위해, 클라이언트시스템(100)을 비롯한 다수의 클라이언트들(300)에는, 악성진단프로그램이 진단할 수 없는 AV-Killing 악성프로그램, 다시 말해 현재 설치된 버전의 악성진단프로그램이 진단대상으로서 인지하지 못하는 새로운 AV-Killing 악성프로그램이 설치되었다고 가정한다.First, for ease of explanation, a plurality of
이때, 본 발명에 따른 클라이언트시스템(100)은, 클라이언트시스템(100)을 비롯한 다수의 클라이언트들(300) 중에서 전술의 AV-Killing 악성프로그램이 가장 먼저 실행되는 클라이언트인 것으로 가정하여 설명한다. Here, the
즉, 클라이언트시스템(100)에서는, 전술한 바와 같이 시스템 구동과 함께 악성진단프로그램을 실행하여, 시스템 구동 중에 지속적으로 또는 주기적으로 악성진단프로그램이 시스템 내에서 악성프로그램을 진단할 수 있도록 할 것이다.That is, in the
이때, 클라이언트시스템(100)에서는, AV-Killing 악성프로그램이 계획한 특정 시점에 실행되어 클라이언트시스템(100) 내 실행 중인 악성진단프로그램을 공격하여 종료시킬 수 있다. At this time, in the
이때, 본 발명에 따른 클라이언트시스템(100)은, 먼저 악성진단프로그램이 비정상적으로 종료되었는지 여부를 판단하고, 악성진단프로그램이 비정상적으로 종료된 것으로 판단되면, 악성진단프로그램의 비정상적인 종료와 관련된 종료관련정보를 생성한다. At this time, the
즉, 클라이언트시스템(100)은, 악성진단프로그램이 비정상적으로 종료되는 경우 악성진단프로그램이 AV-Killing 악성프로그램에 의해 공격받아 종료된 것으로 보고, 악성진단프로그램의 비정상적인 종료와 관련된 종료관련정보를 생성하는 것이다.That is, when the malicious diagnostic program is terminated abnormally, the
결과적으로, 클라이언트시스템(100)은, 시스템 내에서 비록 AV-Killing 악성프로그램에 의해 악성진단프로그램이 공격받아 종료되었지만, 악성진단프로그램을 종료시킨 AV-Killing 악성프로그램에 대한 정보들(종료관련정보)을 다잉메시지와 같이 남기는 것이다.As a result, the
이에, 클라이언트시스템(100)은, 생성한 종료관련정보를 서버(200)로 제공하여, 서버(200)가 상기 종료관련정보를 기초로 악성진단프로그램을 종료시킨 악성프로그램 즉 AV-Killing 악성프로그램을 인지하고, 인지한 AV-Killing 악성프로그램을 진단대상으로 추가하여 서버(200)와 연동하는 다수의 다른 클라이언트(300)에서 AV-Killing 악성프로그램이 실행되기 이전에 진단할 수 있도록 한다. Accordingly, the
보다 구체적으로 설명하면, 서버(200)는, AV-Killing 악성프로그램에 의해서 가장 먼저 공격받은 클라이언트시스템(100)로부터 생성/제공되는 종료관련정보를 기초로 새로운 AV-Killing 악성프로그램을 인지할 수 있다.More specifically, the
이에, 서버(200)는, 다음 업데이트 주기 도달 시, 전술의 인지한 AV-Killing 악성프로그램을 진단대상으로 추가하여 클라이언트시스템(100)을 비롯한 다수의 클라이언트들(300)에 설치된 악성진단프로그램을 업데이트할 수 있다. The
따라서, 비록 클라이언트시스템(100)은 AV-Killing 악성프로그램에 의해 공격을 받았지만, 아직 AV-Killing 악성프로그램이 실행되지 않은 다른 다수의 클라이언트들(300)에서는 서버(200)에 의해 업데이트된 악성진단프로그램이 진단대상으로서 추가된 AV-Killing 악성프로그램을 인지/진단할 수 있기 때문에, 이러한 진단 결과에 따른 이후 절차(예 : 진단결과 보고, 진단된 악성프로그램 삭제, 진단된 악성프로그램에 의한 감염 치료 등)을 수행할 수 있게 된다.Therefore, although the
한편, 서버(200)는, 클라이언트시스템(100)로부터 생성/제공되는 종료관련정보를 기초로 새로운 AV-Killing 악성프로그램을 인지하면, 클라이언트시스템(100)를 제외한 다수의 클라이언트들(300)와의 전술한 클라우드 기반 진단 방식(또는 네트워크 진단 방식이라 함)을 통해, 다수의 클라이언트들(300)에서 AV-Killing 악성프로그램을 인지/진단하여 이후 절차(예 : 진단결과 보고, 진단된 악성프로그램 삭제, 진단된 악성프로그램에 의한 감염 치료 등)을 수행하도록 할 수도 있다.Meanwhile, when the
즉, 전술한 바와 같은 본 발명에 따르면, 하나의 클라이언트시스템(100)의 희생을 기반으로 다른 다수의 클라이언트들이 새로운 AV-Killing 악성프로그램 자체를 빠르게 진단할 수 있는 환경을 조성함으로써, AV-Killing 악성프로그램의 실행을 원천 차단할 수 있는 효과를 도출할 수 있다. In other words, according to the present invention as described above, an environment in which a plurality of other clients can quickly diagnose a new AV-Killing malicious program itself based on the sacrifice of one
이하에서는, 도 2를 참조하여 본 발명의 바람직한 실시예에 따른 클라이언트시스템의 구성을 보다 구체적으로 설명하도록 한다. 설명의 편의를 위해 도 1에서 언급한 참조번호를 이용하여 설명하도록 하겠다.Hereinafter, a configuration of a client system according to a preferred embodiment of the present invention will be described in more detail with reference to FIG. For convenience of explanation, reference will be made to the reference numerals mentioned in FIG.
본 발명의 바람직한 실시예에 따른 클라이언트시스템(100)은, 악성진단프로그램(110)이 비정상적으로 종료되는지 여부를 판단하는 비정상종료판단부(130)와, 악성진단프로그램(110)이 비정상적으로 종료되면, 악성진단프로그램(110)의 비정상적인 종료와 관련된 종료관련정보를 생성하는 정보생성부(140)와, 상기 생성한 종료관련정보를 서버(200)로 제공하여, 상기 서버가 상기 종료관련정보를 기초로 악성진단프로그램(110)을 종료시킨 악성프로그램을 인지하고 진단대상으로 추가하여 서버(200)와 연동하는 다수의 다른 클라이언트들(300)에서 상기 악성프로그램이 실행되기 이전에 진단할 수 있도록 하는 정보제공부(150)를 포함한다. The
그리고, 클라이언트시스템(100)에는, 악성진단프로그램(110) 이외에도 다수의 프로그램들(120)이 설치될 수 있다.The
전술한 바와 같이, 클라이언트시스템(100)에서는, 시스템 구동과 함께 악성진단프로그램(110)을 실행하여, 시스템 구동 중에 지속적으로 또는 주기적으로 악성진단프로그램(110)이 시스템 내에서 악성프로그램을 진단할 수 있도록 한다.As described above, in the
여기서, 클라이언트시스템(100)에는, 악성진단프로그램(110)이 진단할 수 없는 AV-Killing 악성프로그램, 다시 말해 현재 설치된 버전의 악성진단프로그램(110)이 진단대상으로서 인지하지 못하는 새로운 AV-Killing 악성프로그램이 설치되었다고 가정한다. Here, the
비정상종료판단부(130)는, 악성진단프로그램(110)이 비정상적으로 종료되는지 여부를 판단한다.The abnormal
보다 구체적으로 설명하면, 비정상종료판단부(130)는, 악성진단프로그램(110)이 종료되는지 여부를 확인하고, 악성진단프로그램(110)이 종료되면 이러한 종료가 비정상적인 종료인지 여부를 판단하는 것이다.More specifically, the abnormal
이때, 악성진단프로그램(110)의 종료가 비정상적인 종료인지 여부를 판단하는 실시예를 설명하면 다음과 같다.Hereinafter, an embodiment for determining whether the termination of the malicious
예컨대, 비정상종료판단부(130)는, 악성진단프로그램(110)의 종료와 관련된 행위가 기 설정된 정상종료절차에 따른 행위가 아닌 경우, 악성진단프로그램(110)이 비정상적으로 종료되는 것으로 판단할 수 있다. For example, the abnormal
다시 말하면, 악성진단프로그램(110)은, AV-Killing 악성프로그램의 공격에 의한 종료 이외에도, 클라이언트시스템(100)의 사용자 조작에 의해 정상 종료될 수도 있고, 또는 악성진단프로그램(110) 업데이트를 위해 일시적으로 정상 종료될 수도 있다. In other words, the malicious
이에, 비정상종료판단부(130)에는, 악성진단프로그램(110)을 정상 종료시키는 명령어들 또는 악성진단프로그램(110)을 정상 종료시키는 프로그램들에 대한 화이트리스트가 기 설정되어 있을 수 있다. Accordingly, the abnormal
이에, 비정상종료판단부(130)는, 악성진단프로그램(110)의 종료와 관련된 행위가 기 설정된 화이트리스트에 속하는 명령어 또는 프로그램에 의한 행위라고 판단되면, 금번 악성진단프로그램(110)의 종료가 기 설정된 정상종료절차에 따르는 것으로 판단할 것이다.If the malfunction
한편, 비정상종료판단부(130)는, 악성진단프로그램(110)의 종료와 관련된 행위가 기 설정된 화이트리스트에 속하는 명령어 또는 프로그램에 의한 행위가 아니라고 판단되면, 금번 악성진단프로그램(110)의 종료가 기 설정된 정상종료절차에 따르지 않는다고 판단하여, 악성진단프로그램(110)이 비정상적으로 종료되는 것으로 판단할 수 있다. On the other hand, if it is determined that the action related to the termination of the malicious
정보생성부(140)는, 비정상종료판단부(130)에서 악성진단프로그램(110)이 비정상적으로 종료되는 것으로 판단되면, 악성진단프로그램(110)의 비정상적인 종료와 관련된 종료관련정보를 생성한다.The
즉, 정보생성부(140)는, 악성진단프로그램(110)이 비정상적으로 종료되는 경우를 악성진단프로그램(110)이 AV-Killing 악성프로그램에 의해 공격받아 종료된 것으로 보고, 악성진단프로그램(110)의 비정상적인 종료와 관련된 종료관련정보를 생성하는 것이다.That is, the
이하에서는, 악성진단프로그램(110)의 비정상적인 종료와 관련된 종료관련정보를 생성하는 실시예를 설명하도록 한다.Hereinafter, an embodiment for generating termination-related information related to abnormal termination of the malicious
먼저, 제1실시예를 설명하면, 정보생성부(140)는, 클라이언트시스템(100)에서 실행되는 각 프로그램1,2.. .N에 의한 행위가 기록된 로그정보를 기초로, 악성진단프로그램(110)을 공격한 프로그램을 검색하여 상기 검색한 프로그램에 대한 정보를 종료관련정보로 생성할 수 있다. First, according to the first embodiment, the
보다 구체적으로 설명하면, 클라이언트시스템(100)에는 클라이언트시스템(100)에서 실행되는 각 프로그램1,2.. .N에 의한 행위가 로그정보로서 기록될 수 있다. More specifically, in the
예를 들면, 악성진단프로그램(110)이 클라이언트시스템(100)에서 실행되는 각 프로그램1,2.. .N에 의한 행위를 감시하여 기 등록된 진단대상의 악성프로그램을 진단하는 행위기반 진단프로그램이라면, 악성진단프로그램(110)은 AV-Killing 악성프로그램에 의해 공격받아 종료되기 이전까지 지속적으로 감시한 각 프로그램1,2.. .N에 의한 행위를 로그정보로서 기록했을 것이다. For example, if the malicious
물론, 악성진단프로그램(110) 이외의 다른 프로그램 또는 함수에 의해, 클라이언트시스템(100)에서 실행되는 각 프로그램1,2.. .N에 의한 행위가 로그정보로서 기록될 수 있다. Of course, an action by each
이에, 정보생성부(140)는, 비정상종료판단부(130)에서 악성진단프로그램(110)이 비정상적으로 종료되는 것으로 판단되면, 전술과 같이 기록된 로그정보를 기초로 악성진단프로그램(110)을 공격한 프로그램을 검색할 수 있다. 이하에서는, 설명의 편의를 위해, 도 2와 같이 클라이언트시스템(100)에 설치된 다수의 프로그램1,2.. .N 중에서 프로그램1이 AV-Killing 악성프로그램인 것으로 설명하겠다.If the malicious
따라서, 예를 들면 정보생성부(140)는, 전술과 같이 기록된 로그정보를 기초로 악성진단프로그램(110)을 실질적으로 종료시킨 프로그램을 확인하고, 확인된 프로그램(예 : 프로그램1)을 악성진단프로그램(110)을 공격한 프로그램인 것으로 검색할 수 있다. Therefore, for example, the
그리고, 정보생성부(140)는, 전술과 같이 검색한 프로그램(예 : 프로그램1)에 대한 정보를 종료관련정보로 생성할 수 있다.Then, the
예컨대, 정보생성부(140)는, 검색한 프로그램(예 : 프로그램1)을 인지할 수 있도록 하는 정보(예 : 프로그램이름정보, 사이즈정보, 해쉬값(예 : MD5) 등)을 종료관련정보로서 생성할 수 있다.For example, the
한편, 제1실시예와는 다른 제2실시예를 설명하면, 정보생성부(140)는, 악성진단프로그램(110)이 비정상적으로 종료된 시점에 실행 중인 프로그램 중에서 인증되지 않은 적어도 하나의 프로그램을 확인하고, 상기 확인한 적어도 하나의 프로그램에 대한 정보를 종료관련정보로 생성할 수 있다. The
보다 구체적으로 설명하면, 클라이언트시스템(100)에 설치된 각 프로그램1,2.. .N이 모두 동시간 대에 실행되는 것은 아니다. More specifically, the
이에, 정보생성부(140)는, 비정상종료판단부(130)에서 악성진단프로그램(110)이 비정상적으로 종료되는 것으로 판단되면, 각 프로그램1,2.. .N 중에서 악성진단프로그램(110)이 비정상적으로 종료된 시점에 실행 중인 프로그램(예 : 프로그램1,2, N-2, N)을 확인하고, 확인한 프로그램(예 : 프로그램1,2, N-2, N) 중에서 인증되지 않은 적어도 하나의 프로그램(예 : 프로그램1,2)을 확인할 수 있다. If the malicious
이때, 인증되지 않은 적어도 하나의 프로그램은, 악성진단프로그램(110)에 의한 가장 최근의 진단 시 진단범위에 속하지 않아 진단되지 않았거나 또는 기 등록된 인증프로그램 리스트에 속하지 않거나 또는 별도 인증절차에 의해 인증되지 않은 프로그램일 수 있다. At this time, at least one program that has not been authenticated is not diagnosed because it does not belong to the diagnosis range of the most recent diagnosis by the malicious
다시 말해, 인증되지 않은 적어도 하나의 프로그램이란, 어떠한 방식으로든 정상프로그램이라고 인증되지 않은 의심스러운 프로그램을 의미할 것이다.In other words, at least one unauthorized program will mean a suspicious program that is not authenticated as a normal program in any way.
그리고, 정보생성부(140)는, 전술과 같이 확인한 적어도 하나의 프로그램(예 : 프로그램1,2)에 대한 정보를 종료관련정보로 생성할 수 있다. Then, the
예컨대, 정보생성부(140)는, 적어도 하나의 프로그램(예 : 프로그램1,2)을 포함하는 종료관련정보를 생성할 수 있다.For example, the
결과적으로, 정보생성부(140)는, 클라이언트시스템(100) 내에서 비록 AV-Killing 악성프로그램에 의해 악성진단프로그램(110)이 공격받아 종료되었지만, 악성진단프로그램(110)을 종료시킨 AV-Killing 악성프로그램에 대한 정보들(종료관련정보)을 다잉메시지와 같이 남기는 것이다.As a result, the
이러한 정보생성부(140)는, 클라이언트시스템(100)의 커널 메모리(Kernel Memory)에서 구동되는 쓰레드(예 : Recoder Thread)에 의한 구성일 수 있다. The
정보제공부(150)는, 정보생성부(140)에서 생성한 종료관련정보를 서버(200)로 제공하여, 서버(200)가 상기 종료관련정보를 기초로 악성진단프로그램(110)을 종료시킨 악성프로그램 즉 AV-Killing 악성프로그램을 인지하고, 인지한 AV-Killing 악성프로그램을 진단대상으로 추가하여 서버(200)와 연동하는 다수의 다른 클라이언트들(300)에서 AV-Killing 악성프로그램이 실행되기 이전에 진단할 수 있도록 한다. The
보다 구체적으로 설명하면, 서버(200)는, AV-Killing 악성프로그램에 의해서 가장 먼저 공격받은 클라이언트시스템(100)로부터 생성/제공되는 종료관련정보를 기초로 새로운 AV-Killing 악성프로그램을 인지할 수 있다.More specifically, the
즉, 전술의 제1실시예에 따르면, 서버(200)는, 클라이언트시스템(100)로부터 생성/제공되는 종료관련정보에 따른 프로그램(예 : 프로그램1)을 악성프로그램 즉 새로운 AV-Killing 악성프로그램인 것으로 인지하여 진단대상으로 추가할 수 있다. That is, according to the first embodiment described above, the
다시 말하면, 전술의 제1실시예의 경우 클라이언트시스템(100)로부터 생성/제공되는 종료관련정보에는 프로그램(예 : 프로그램1)을 인지할 수 있도록 하는 정보(예 : 프로그램이름정보, 사이즈정보, 해쉬값(예 : MD5) 등)가 포함될 것이다. In other words, in the above-described first embodiment, the termination-related information generated / provided from the
이에, 서버(200)는, 종료관련정보를 기초로 프로그램1이 악성프로그램 즉 새로운 AV-Killing 악성프로그램임을 인지할 수 있고, AV-Killing 악성프로그램 즉 프로그램1을 진단대상으로 추가할 수 있다. Accordingly, the
한편, 전술의 제2실시예에 따르면, 서버(200)는, 클라이언트시스템(100)로부터 생성/제공되는 종료관련정보에 따른 적어도 하나의 프로그램(예 : 프로그램1,2)을 순차적으로 실행하여 적어도 하나의 프로그램(예 : 프로그램1,2) 중 서버(200)에서 실행 중인 악성진단프로그램을 종료시키는 프로그램(예 : 프로그램1)을 악성프로그램 즉 새로운 AV-Killing 악성프로그램인 것으로 인지하여 진단대상으로 추가할 수 있다. On the other hand, according to the above-described second embodiment, the
다시 말하면, 전술의 제2실시예의 경우 클라이언트시스템(100)로부터 생성/제공되는 종료관련정보에는, 적어도 하나의 프로그램(예 : 프로그램1,2)이 포함될 것이다. In other words, in the above-described second embodiment, the termination-related information generated / provided from the
이에, 서버(200)는, 클라이언트시스템(100)에 설치된 악성진단프로그램(110)과 동일한 악성진단프로그램을 실행하고, 종료관련정보에 포함된 적어도 하나의 프로그램(예 : 프로그램1,2)을 순차적으로 실행하여 어떤 프로그램이 실행될 때 악성진단프로그램이 종료되는지를 확인한다.Accordingly, the
따라서, 서버(200)에서 프로그램1을 실행시킬 때 악성진단프로그램이 종료되는 것으로 가정하면, 서버(200)는 종료관련정보에 포함된 적어도 하나의 프로그램(예 : 프로그램1,2) 중 서버(200)에서 실행 중인 악성진단프로그램을 종료시키는 프로그램1을 악성프로그램 즉 새로운 AV-Killing 악성프로그램인 것으로 인지할 수 있고, AV-Killing 악성프로그램 즉 프로그램1을 진단대상으로 추가할 것이다. Therefore, if it is assumed that the malicious diagnostic program is terminated when the
이에, 서버(200)는, 다음 업데이트 주기 도달 시, 전술의 인지한 AV-Killing 악성프로그램 즉 프로그램1을 진단대상으로 추가하여 클라이언트시스템(100)을 비롯한 다수의 클라이언트들(300)에 설치된 악성진단프로그램을 업데이트할 수 있다. Killing malicious program, that is,
따라서, 본 발명에 따르면, 비록 클라이언트시스템(100)은 AV-Killing 악성프로그램에 의해 공격을 받았지만, 아직 AV-Killing 악성프로그램이 실행되지 않은 다른 다수의 클라이언트들(300)에서는 서버(200)에 의해 업데이트된 악성진단프로그램이 진단대상으로서 추가된 AV-Killing 악성프로그램을 인지/진단할 수 있기 때문에, 이러한 진단 결과에 따른 이후 절차(예 : 진단결과 보고, 진단된 악성프로그램 삭제, 진단된 악성프로그램에 의한 감염 치료 등)을 수행할 수 있게 된다.Thus, according to the present invention, although the
한편, 서버(200)는, 클라이언트시스템(100)로부터 생성/제공되는 종료관련정보를 기초로 새로운 AV-Killing 악성프로그램을 인지하면, 클라이언트시스템(100)를 제외한 다수의 클라이언트들(300)와의 전술한 클라우드 기반 진단 방식(또는 네트워크 진단 방식이라 함)을 통해, 다수의 클라이언트들(300)에서 AV-Killing 악성프로그램을 인지/진단하여 이후 절차(예 : 진단결과 보고, 진단된 악성프로그램 삭제, 진단된 악성프로그램에 의한 감염 치료 등)을 수행하도록 할 수도 있다.Meanwhile, when the
따라서, 비록 클라이언트시스템(100)은 AV-Killing 악성프로그램에 의해 공격을 받았지만, 아직 AV-Killing 악성프로그램이 실행되지 않은 다른 다수의 클라이언트들(300)에서는 서버(200)에 의해 진단대상으로서 추가된 AV-Killing 악성프로그램을 인지/진단할 수 있기 때문에, 이러한 진단 결과에 따른 이후 절차(예 : 진단결과 보고, 진단된 악성프로그램 삭제, 진단된 악성프로그램에 의한 감염 치료 등)을 수행할 수 있게 된다.Therefore, although the
이상에서 설명한 바와 같이 본 발명에 따른 클라이언트시스템은, 비록 AV-Killing 악성프로그램에 의해 시스템 내 악성진단프로그램이 공격받아 종료되었지만, 악성진단프로그램을 종료시킨 AV-Killing 악성프로그램에 대한 정보들(종료관련정보)을 다잉메시지와 같이 남겨, 서버를 통해서 다수의 다른 클라이언트들이 AV-Killing 악성프로그램을 진단대상으로서 인지할 수 있도록 함으로써, 하나의 클라이언트시스템의 희생을 기반으로 다른 다수의 클라이언트들이 새로운 AV-Killing 악성프로그램 자체를 빠르게 진단하여 AV-Killing 악성프로그램의 실행을 원천 차단할 수 있는 효과를 도출한다.As described above, the client system according to the present invention can prevent the malicious diagnostic program from terminating the malicious diagnostic program even though the malicious diagnostic program in the system has been terminated due to the AV-Killing malicious program, Killing malicious program as a diagnostic target by allowing a number of other clients to recognize a malicious program as a diagnostic target through a server so that a number of other clients can access a new AV-Killing It quickly diagnoses the malicious program itself, and it is possible to block the execution of AV-Killing malicious program.
한편, 전술에서 설명한 본 발명의 비정상종료판단부(130), 정보생성부(140) 및 정보제공부(150) 구성은, 하나의 프로그램(어플리케이션) 형태로 구성되어, 클라이언트시스템(100)을 비롯한 다수의 다른 클라이언트들(300)에 설치되는 것도 가능할 것이다. The abnormal
이하에서는, 도 3 및 도 4를 참조하여 본 발명의 바람직한 실시예에 따른 클라이언트시스템의 동작 방법을 설명하도록 한다. 설명의 편의를 위해 전술한 도 1 및 도 2의 참조번호를 이용하여 설명하도록 하겠다. Hereinafter, an operation method of a client system according to a preferred embodiment of the present invention will be described with reference to FIG. 3 and FIG. For convenience of description, the description will be made using the reference numerals of FIG. 1 and FIG.
먼저, 도 3을 참조하여 바람직한 실시예에 따른 클라이언트시스템(100)이 포함된 전체 시스템의 제어 흐름을 설명하도록 한다.First, the control flow of the entire system including the
클라이언트시스템(100)에서는, 전술한 바와 같이 시스템 구동과 함께 악성진단프로그램(110)을 실행하여, 시스템 구동 중에 지속적으로 또는 주기적으로 악성진단프로그램(110)이 시스템 내에서 악성프로그램을 진단할 수 있도록 할 것이다(S10).In the
이때, 클라이언트시스템(100)에서는, AV-Killing 악성프로그램이 계획한 특정 시점에 실행되어 클라이언트시스템(100) 내 실행 중인 악성진단프로그램(110)을 공격하여 종료시킬 수 있다. At this time, in the
이때, 본 발명에 따른 클라이언트시스템(100)은, 악성진단프로그램(110)이 종료되면 비정상적으로 종료되었는지 여부를 판단하고(S20), 악성진단프로그램(110)이 비정상적으로 종료된 것으로 판단되면 악성진단프로그램(110)의 비정상적인 종료와 관련된 종료관련정보를 생성한다(S30). At this time, the
즉, 클라이언트시스템(100)은, 악성진단프로그램(110)이 비정상적으로 종료되는 경우 악성진단프로그램(110)이 AV-Killing 악성프로그램에 의해 공격받아 종료된 것으로 보고, 악성진단프로그램(110)의 비정상적인 종료와 관련된 종료관련정보를 생성하는 것이다.That is, when the malicious
결과적으로, 클라이언트시스템(100)은, 시스템 내에서 비록 AV-Killing 악성프로그램에 의해 악성진단프로그램(110)이 공격받아 종료되었지만, 악성진단프로그램(110)을 종료시킨 AV-Killing 악성프로그램에 대한 정보들(종료관련정보)을 다잉메시지와 같이 남기는 것이다.As a result, although the
이에, 클라이언트시스템(100)은, 생성한 종료관련정보를 서버(200)로 제공하여(S40), 서버(200)가 상기 종료관련정보를 기초로 악성진단프로그램(110)을 종료시킨 악성프로그램 즉 AV-Killing 악성프로그램을 인지하고, 인지한 AV-Killing 악성프로그램을 진단대상으로 추가하여 서버(200)와 연동하는 다수의 다른 클라이언트(300)에서 AV-Killing 악성프로그램이 실행되기 이전에 진단할 수 있도록 한다. The
보다 구체적으로 설명하면, 서버(200)는, AV-Killing 악성프로그램에 의해서 가장 먼저 공격받은 클라이언트시스템(100)로부터 생성/제공되는 종료관련정보를 기초로 새로운 AV-Killing 악성프로그램을 인지할 수 있다.More specifically, the
이에, 서버(200)는, 다음 업데이트 주기 도달 시, 전술의 인지한 AV-Killing 악성프로그램을 진단대상으로 추가하여(S50), 클라이언트시스템(100)을 비롯한 다수의 클라이언트들(300)와 연동하여 설치된 악성진단프로그램(110)을 업데이트할 수 있다(S60). Killing malicious programs described above are added to the diagnosis target (S50) when the next update period is reached, and the
따라서, 비록 클라이언트시스템(100)은 AV-Killing 악성프로그램에 의해 공격을 받았지만, 아직 AV-Killing 악성프로그램이 실행되지 않은 다른 다수의 클라이언트들(300)에서는 서버(200)에 의해 업데이트된 악성진단프로그램(110)이 진단대상으로서 추가된 AV-Killing 악성프로그램을 인지/진단할 수 있기 때문에(S70,S72,S74), 이러한 진단 결과에 따른 이후 절차(예 : 진단결과 보고, 진단된 악성프로그램 삭제, 진단된 악성프로그램에 의한 감염 치료 등)을 수행할 수 있게 된다.Therefore, although the
한편, 서버(200)는, 클라이언트시스템(100)로부터 생성/제공되는 종료관련정보를 기초로 새로운 AV-Killing 악성프로그램을 인지하면, 클라이언트시스템(100)를 제외한 다수의 클라이언트들(300)와의 전술한 클라우드 기반 진단 방식(또는 네트워크 진단 방식이라 함)을 통해, 다수의 클라이언트들(300)에서 AV-Killing 악성프로그램을 인지/진단하여 이후 절차(예 : 진단결과 보고, 진단된 악성프로그램 삭제, 진단된 악성프로그램에 의한 감염 치료 등)을 수행하도록 할 수도 있다.Meanwhile, when the
즉, 전술한 바와 같은 본 발명에 따르면, 하나의 클라이언트시스템(100)의 희생을 기반으로 다른 다수의 클라이언트들이 새로운 AV-Killing 악성프로그램 자체를 빠르게 진단할 수 있는 환경을 조성함으로써, AV-Killing 악성프로그램의 실행을 원천 차단할 수 있는 효과를 도출할 수 있다.In other words, according to the present invention as described above, an environment in which a plurality of other clients can quickly diagnose a new AV-Killing malicious program itself based on the sacrifice of one
이하에서는 도 4를 참조하여 본 발명의 바람직한 실시예에 따른 클라이언트시스템의 동작 방법을 설명하도록 하겠다.Hereinafter, an operation method of a client system according to a preferred embodiment of the present invention will be described with reference to FIG.
전술한 바와 같이, 클라이언트시스템(100)에서는, 시스템 구동과 함께 악성진단프로그램(110)을 실행하여, 시스템 구동 중에 지속적으로 또는 주기적으로 악성진단프로그램(110)이 시스템 내에서 악성프로그램을 진단할 수 있도록 한다(S100).As described above, in the
여기서, 클라이언트시스템(100)에는, 악성진단프로그램(110)이 진단할 수 없는 AV-Killing 악성프로그램, 다시 말해 현재 설치된 버전의 악성진단프로그램(110)이 진단대상으로서 인지하지 못하는 새로운 AV-Killing 악성프로그램이 설치되었다고 가정한다. Here, the
본 발명의 클라이언트시스템(100)의 동작 방법은, 악성진단프로그램(110)이 비정상적으로 종료되는지 여부를 판단한다(S110).The operation method of the
보다 구체적으로 설명하면, 본 발명의 클라이언트시스템(100)의 동작 방법은, 악성진단프로그램(110)이 종료되는지 여부를 확인하고, 악성진단프로그램(110)이 종료되면 이러한 종료가 비정상적인 종료인지 여부를 판단하는 것이다.More specifically, the method of operation of the
이때, 악성진단프로그램(110)의 종료가 비정상적인 종료인지 여부를 판단하는 실시예를 설명하면 다음과 같다.Hereinafter, an embodiment for determining whether the termination of the malicious
예컨대, 본 발명의 클라이언트시스템(100)의 동작 방법은, 악성진단프로그램(110)의 종료와 관련된 행위가 기 설정된 정상종료절차에 따른 행위가 아닌 경우, 악성진단프로그램(110)이 비정상적으로 종료되는 것으로 판단할 수 있다. For example, the operation method of the
예를 들면, 본 발명의 클라이언트시스템(100)의 동작 방법은, 악성진단프로그램(110)의 종료와 관련된 행위가 기 설정된 화이트리스트에 속하는 명령어 또는 프로그램에 의한 행위라고 판단되면, 금번 악성진단프로그램(110)의 종료가 기 설정된 정상종료절차에 따르는 것으로 판단할 것이다.For example, when it is determined that the action related to the termination of the malicious
한편, 본 발명의 클라이언트시스템(100)의 동작 방법은, 악성진단프로그램(110)의 종료와 관련된 행위가 기 설정된 화이트리스트에 속하는 명령어 또는 프로그램에 의한 행위가 아니라고 판단되면, 금번 악성진단프로그램(110)의 종료가 기 설정된 정상종료절차에 따르지 않는다고 판단하여, 악성진단프로그램(110)이 비정상적으로 종료되는 것으로 판단할 수 있다. If it is determined that the action related to the termination of the malicious
본 발명의 클라이언트시스템(100)의 동작 방법은, S110단계에서 악성진단프로그램(110)이 비정상적으로 종료되는 것으로 판단되면, 악성진단프로그램(110)의 비정상적인 종료와 관련된 종료관련정보를 생성한다(S120).In the operation method of the
즉, 본 발명의 클라이언트시스템(100)의 동작 방법은, 악성진단프로그램(110)이 비정상적으로 종료되는 경우를 악성진단프로그램(110)이 AV-Killing 악성프로그램에 의해 공격받아 종료된 것으로 보고, 악성진단프로그램(110)의 비정상적인 종료와 관련된 종료관련정보를 생성하는 것이다.That is, the operation method of the
먼저, 제1실시예를 설명하면, 본 발명의 클라이언트시스템(100)의 동작 방법은, S110단계에서 악성진단프로그램(110)이 비정상적으로 종료되는 것으로 판단되면, 전술과 같이 기록된 로그정보를 기초로 악성진단프로그램(110)을 공격한 프로그램을 검색할 수 있다. 이하에서는, 설명의 편의를 위해, 도 2와 같이 클라이언트시스템(100)에 설치된 다수의 프로그램1,2.. .N 중에서 프로그램1이 AV-Killing 악성프로그램인 것으로 설명하겠다.First, the first embodiment will be described. In the operation method of the
따라서, 예를 들면 본 발명의 클라이언트시스템(100)의 동작 방법은, 전술과 같이 기록된 로그정보를 기초로 악성진단프로그램(110)을 실질적으로 종료시킨 프로그램을 확인하고, 확인된 프로그램(예 : 프로그램1)을 악성진단프로그램(110)을 공격한 프로그램인 것으로 검색할 수 있다. Therefore, for example, the method of operation of the
그리고, 본 발명의 클라이언트시스템(100)의 동작 방법은, 전술과 같이 검색한 프로그램(예 : 프로그램1)에 대한 정보를 종료관련정보로 생성할 수 있다.The operation method of the
예컨대, 본 발명의 클라이언트시스템(100)의 동작 방법은, 검색한 프로그램(예 : 프로그램1)을 인지할 수 있도록 하는 정보(예 : 프로그램이름정보, 사이즈정보, 해쉬값(예 : MD5) 등)을 종료관련정보로서 생성할 수 있다.For example, the method of operation of the
한편, 제1실시예와는 다른 제2실시예를 설명하면, 본 발명의 클라이언트시스템(100)의 동작 방법은, S110단계에서 악성진단프로그램(110)이 비정상적으로 종료되는 것으로 판단되면, 악성진단프로그램(110)이 비정상적으로 종료된 시점에 실행 중인 프로그램 중에서 인증되지 않은 적어도 하나의 프로그램을 확인하고, 상기 확인한 적어도 하나의 프로그램에 대한 정보를 종료관련정보로 생성할 수 있다. In the operation method of the
예를 들어, 본 발명의 클라이언트시스템(100)의 동작 방법은, 각 프로그램1,2.. .N 중에서 악성진단프로그램(110)이 비정상적으로 종료된 시점에 실행 중인 프로그램(예 : 프로그램1,2, N-2, N)을 확인하고, 확인한 프로그램(예 : 프로그램1,2, N-2, N) 중에서 인증되지 않은 적어도 하나의 프로그램(예 : 프로그램1,2)을 확인할 수 있다. For example, the operation method of the
그리고, 본 발명의 클라이언트시스템(100)의 동작 방법은, 전술과 같이 확인한 적어도 하나의 프로그램(예 : 프로그램1,2)에 대한 정보를 종료관련정보로 생성할 수 있다. The method of operation of the
예컨대, 본 발명의 클라이언트시스템(100)의 동작 방법은, 적어도 하나의 프로그램(예 : 프로그램1,2)을 포함하는 종료관련정보를 생성할 수 있다.For example, the method of operation of the
결과적으로, 본 발명의 클라이언트시스템(100)의 동작 방법은, 클라이언트시스템(100) 내에서 비록 AV-Killing 악성프로그램에 의해 악성진단프로그램(110)이 공격받아 종료되었지만, 악성진단프로그램(110)을 종료시킨 AV-Killing 악성프로그램에 대한 정보들(종료관련정보)을 다잉메시지와 같이 남기는 것이다.As a result, the method of operation of the
본 발명의 클라이언트시스템(100)의 동작 방법은, S120단계에서 생성한 종료관련정보를 서버(200)로 제공하여(S130), 서버(200)가 상기 종료관련정보를 기초로 악성진단프로그램(110)을 종료시킨 악성프로그램 즉 AV-Killing 악성프로그램을 인지하고, 인지한 AV-Killing 악성프로그램을 진단대상으로 추가하여 서버(200)와 연동하는 다수의 다른 클라이언트들(300)에서 AV-Killing 악성프로그램이 실행되기 이전에 진단할 수 있도록 한다(S140). The operation method of the
보다 구체적으로 설명하면, 서버(200)는, AV-Killing 악성프로그램에 의해서 가장 먼저 공격받은 클라이언트시스템(100)로부터 생성/제공되는 종료관련정보를 기초로 새로운 AV-Killing 악성프로그램을 인지할 수 있다.More specifically, the
즉, 전술의 제1실시예에 따르면, 서버(200)는, 클라이언트시스템(100)로부터 생성/제공되는 종료관련정보에 따른 프로그램(예 : 프로그램1)을 악성프로그램 즉 새로운 AV-Killing 악성프로그램인 것으로 인지하여 진단대상으로 추가할 수 있다. That is, according to the first embodiment described above, the
다시 말하면, 전술의 제1실시예의 경우 클라이언트시스템(100)로부터 생성/제공되는 종료관련정보에는 프로그램(예 : 프로그램1)을 인지할 수 있도록 하는 정보(예 : 프로그램이름정보, 사이즈정보, 해쉬값(예 : MD5) 등)가 포함될 것이다. In other words, in the above-described first embodiment, the termination-related information generated / provided from the
이에, 서버(200)는, 종료관련정보를 기초로 프로그램1이 악성프로그램 즉 새로운 AV-Killing 악성프로그램임을 인지할 수 있고, AV-Killing 악성프로그램 즉 프로그램1을 진단대상으로 추가할 수 있다. Accordingly, the
한편, 전술의 제2실시예에 따르면, 서버(200)는, 클라이언트시스템(100)로부터 생성/제공되는 종료관련정보에 따른 적어도 하나의 프로그램(예 : 프로그램1,2)을 순차적으로 실행하여 적어도 하나의 프로그램(예 : 프로그램1,2) 중 서버(200)에서 실행 중인 악성진단프로그램을 종료시키는 프로그램(예 : 프로그램1)을 악성프로그램 즉 새로운 AV-Killing 악성프로그램인 것으로 인지하여 진단대상으로 추가할 수 있다. On the other hand, according to the above-described second embodiment, the
다시 말하면, 전술의 제2실시예의 경우 클라이언트시스템(100)로부터 생성/제공되는 종료관련정보에는, 적어도 하나의 프로그램(예 : 프로그램1,2)이 포함될 것이다. In other words, in the above-described second embodiment, the termination-related information generated / provided from the
이에, 서버(200)는, 클라이언트시스템(100)에 설치된 악성진단프로그램(110)과 동일한 악성진단프로그램을 실행하고, 종료관련정보에 포함된 적어도 하나의 프로그램(예 : 프로그램1,2)을 순차적으로 실행하여 어떤 프로그램이 실행될 때 악성진단프로그램이 종료되는지를 확인한다.Accordingly, the
따라서, 서버(200)에서 프로그램1을 실행시킬 때 악성진단프로그램이 종료되는 것으로 가정하면, 서버(200)는 종료관련정보에 포함된 적어도 하나의 프로그램(예 : 프로그램1,2) 중 서버(200)에서 실행 중인 악성진단프로그램을 종료시키는 프로그램1을 악성프로그램 즉 새로운 AV-Killing 악성프로그램인 것으로 인지할 수 있고, AV-Killing 악성프로그램 즉 프로그램1을 진단대상으로 추가할 것이다. Therefore, if it is assumed that the malicious diagnostic program is terminated when the
이에, 서버(200)는, 다음 업데이트 주기 도달 시, 전술의 인지한 AV-Killing 악성프로그램 즉 프로그램1을 진단대상으로 추가하여 클라이언트시스템(100)을 비롯한 다수의 클라이언트들(300)에 설치된 악성진단프로그램을 업데이트할 수 있다. Killing malicious program, that is,
따라서, 본 발명에 따르면, 비록 클라이언트시스템(100)은 AV-Killing 악성프로그램에 의해 공격을 받았지만, 아직 AV-Killing 악성프로그램이 실행되지 않은 다른 다수의 클라이언트들(300)에서는 서버(200)에 의해 업데이트된 악성진단프로그램이 진단대상으로서 추가된 AV-Killing 악성프로그램을 인지/진단할 수 있기 때문에, 이러한 진단 결과에 따른 이후 절차(예 : 진단결과 보고, 진단된 악성프로그램 삭제, 진단된 악성프로그램에 의한 감염 치료 등)을 수행할 수 있게 된다.Thus, according to the present invention, although the
한편, 서버(200)는, 클라이언트시스템(100)로부터 생성/제공되는 종료관련정보를 기초로 새로운 AV-Killing 악성프로그램을 인지하면, 클라이언트시스템(100)를 제외한 다수의 클라이언트들(300)와의 전술한 클라우드 기반 진단 방식(또는 네트워크 진단 방식이라 함)을 통해, 다수의 클라이언트들(300)에서 AV-Killing 악성프로그램을 인지/진단하여 이후 절차(예 : 진단결과 보고, 진단된 악성프로그램 삭제, 진단된 악성프로그램에 의한 감염 치료 등)을 수행하도록 할 수도 있다.Meanwhile, when the
이상에서 설명한 바와 같이 본 발명에 따른 클라이언트시스템의 동작 방법은, 비록 AV-Killing 악성프로그램에 의해 시스템 내 악성진단프로그램이 공격받아 종료되었지만, 악성진단프로그램을 종료시킨 AV-Killing 악성프로그램에 대한 정보들(종료관련정보)을 다잉메시지와 같이 남겨, 서버를 통해서 다수의 다른 클라이언트들이 AV-Killing 악성프로그램을 진단대상으로서 인지할 수 있도록 함으로써, 하나의 클라이언트시스템의 희생을 기반으로 다른 다수의 클라이언트들이 새로운 AV-Killing 악성프로그램 자체를 빠르게 진단하여 AV-Killing 악성프로그램의 실행을 원천 차단할 수 있는 효과를 도출한다.As described above, the operation method of the client system according to the present invention is such that the information about the AV-Killing malicious program which terminated the malicious diagnostic program although the malicious diagnostic program in the system was terminated due to the AV-Killing malicious program, (Termination-related information) is left as a dying message, and a plurality of other clients can recognize AV-Killing malicious programs as diagnostic targets through the server, so that a large number of clients AV-Killing Quickly diagnose the malicious program itself, and it is possible to block the execution of AV-Killing malicious program.
본 발명의 일실시예에 따른 클라이언트시스템의 동작 방법은, 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 본 발명의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.A method of operating a client system according to an embodiment of the present invention may be implemented in the form of a program command that can be executed through various computer means and recorded in a computer readable medium. The computer-readable medium may include program instructions, data files, data structures, and the like, alone or in combination. The program instructions recorded on the medium may be those specially designed and constructed for the present invention or may be available to those skilled in the art of computer software. Examples of computer-readable media include magnetic media such as hard disks, floppy disks and magnetic tape; optical media such as CD-ROMs and DVDs; magnetic media such as floppy disks; Magneto-optical media, and hardware devices specifically configured to store and execute program instructions such as ROM, RAM, flash memory, and the like. Examples of program instructions include machine language code such as those produced by a compiler, as well as high-level language code that can be executed by a computer using an interpreter or the like. The hardware devices described above may be configured to operate as one or more software modules to perform the operations of the present invention, and vice versa.
이상과 같이 본 발명에서는 구체적인 구성 요소 등과 같은 특정 사항들과 한정된 실시예 및 도면에 의해 설명되었으나 이는 본 발명의 보다 전반적인 이해를 돕기 위해서 제공된 것일 뿐, 본 발명은 상기의 실시예에 한정되는 것은 아니며, 본 발명이 속하는 분야에서 통상적인 지식을 가진 자라면 이러한 기재로부터 다양한 수정 및 변형이 가능하다. As described above, the present invention has been described with reference to particular embodiments, such as specific elements, and specific embodiments and drawings. However, it should be understood that the present invention is not limited to the above- And various modifications and changes may be made thereto by those skilled in the art to which the present invention pertains.
따라서, 본 발명의 사상은 설명된 실시예에 국한되어 정해져서는 아니되며, 후술하는 특허청구범위뿐 아니라 이 특허청구범위와 균등하거나 등가적 변형이 있는 모든 것들은 본 발명 사상의 범주에 속한다고 할 것이다.Accordingly, the spirit of the present invention should not be construed as being limited to the embodiments described, and all of the equivalents or equivalents of the claims, as well as the following claims, belong to the scope of the present invention .
100 : 클라이언트시스템
200 : 서버
300 : 다수의 클라이언트100: Client system
200: Server
300: Multiple clients
Claims (10)
상기 악성진단프로그램이 비정상적으로 종료되면, 상기 악성진단프로그램의 비정상적인 종료와 관련된 종료관련정보를 생성하는 정보생성단계; 및
상기 생성한 종료관련정보를 서버로 제공하여, 상기 서버가 상기 종료관련정보를 기초로 상기 악성진단프로그램을 종료시킨 악성프로그램을 인지하고 진단대상으로 추가하여 상기 서버와 연동하는 타 클라이언트에서 상기 악성프로그램이 실행되기 이전에 진단할 수 있도록 하는 제공단계를 포함하며;
상기 정보생성단계는,
상기 클라이언트시스템에서 실행되는 각 프로그램에 의한 행위가 기록된 로그정보를 기초로, 상기 악성진단프로그램을 공격한 프로그램을 검색하여 상기 검색한 프로그램에 대한 정보를 상기 종료관련정보로 생성하거나, 또는
상기 악성진단프로그램이 비정상적으로 종료된 시점에 실행 중인 프로그램 중에서 인증되지 않은 적어도 하나의 프로그램을 확인하고, 상기 확인한 적어도 하나의 프로그램에 대한 정보를 상기 종료관련정보로 생성하는 것을 특징으로 하는 클라이언트시스템의 동작 방법.A judgment step of judging whether or not the malicious diagnostic program is abnormally terminated;
An information generating step of generating termination-related information related to abnormally terminating the malicious diagnostic program when the malicious diagnostic program abnormally terminates; And
Related information to the server so that the server recognizes the malicious program that terminated the malicious diagnostic program based on the termination related information and adds the detected malicious program to the diagnosis target, Comprising: a providing step for allowing a user to diagnose a service before the service is executed;
The information generation step includes:
Based on the log information in which an action by each program executed in the client system is recorded, searches for a program that has attacked the malicious diagnostic program and generates information on the searched program as the termination related information, or
Wherein the malicious diagnostic program identifies at least one program that is not authenticated among the programs being executed at the time when the malicious diagnostic program is abnormally terminated and generates information on the confirmed at least one program as the termination related information How it works.
상기 판단단계는,
상기 악성진단프로그램의 종료와 관련된 행위가 기 설정된 정상종료절차에 따른 행위가 아닌 경우, 상기 악성진단프로그램이 비정상적으로 종료되는 것으로 판단하는 것을 특징으로 하는 클라이언트시스템의 동작 방법.The method according to claim 1,
Wherein,
Wherein the malicious diagnostic program determines that the malicious diagnostic program is abnormally terminated if the action related to termination of the malicious diagnostic program is not an action according to a predetermined normal termination procedure.
상기 종료관련정보를 제공받은 상기 서버는,
상기 종료관련정보에 따른 프로그램을 상기 악성프로그램인 것으로 인지하여 진단대상으로 추가하거나, 또는 상기 종료관련정보에 따른 적어도 하나의 프로그램을 순차적으로 실행하여 상기 적어도 하나의 프로그램 중 상기 서버에서 실행 중인 상기 악성진단프로그램을 종료시키는 프로그램을 상기 악성프로그램인 것으로 인지하여 진단대상으로 추가하는 것을 특징으로 하는 클라이언트시스템의 동작 방법.The method according to claim 1,
Wherein the server, which is provided with the termination related information,
The malicious program is identified as a malicious program and is added to the diagnosis target or at least one program according to the termination related information is sequentially executed to determine whether the malicious program executing in the server among the at least one program A program for terminating the diagnostic program is recognized as the malicious program and added as a diagnosis target.
상기 악성진단프로그램이 비정상적으로 종료되면, 상기 악성진단프로그램의 비정상적인 종료와 관련된 종료관련정보를 생성하는 정보생성부; 및
상기 생성한 종료관련정보를 서버로 제공하여, 상기 서버가 상기 종료관련정보를 기초로 상기 악성진단프로그램을 종료시킨 악성프로그램을 인지하고 진단대상으로 추가하여 상기 서버와 연동하는 타 클라이언트에서 상기 악성프로그램이 실행되기 이전에 진단할 수 있도록 하는 정보제공부를 포함하며;
상기 정보생성부는,
상기 클라이언트시스템에서 실행되는 각 프로그램에 의한 행위가 기록된 로그정보를 기초로, 상기 악성진단프로그램을 공격한 프로그램을 검색하여 상기 검색한 프로그램에 대한 정보를 상기 종료관련정보로 생성하거나, 또는
상기 악성진단프로그램이 비정상적으로 종료된 시점에 실행 중인 프로그램 중에서 인증되지 않은 적어도 하나의 프로그램을 확인하고, 상기 확인한 적어도 하나의 프로그램에 대한 정보를 상기 종료관련정보로 생성하는 것을 특징으로 하는 클라이언트시스템.An abnormal termination determination unit for determining whether or not the malicious diagnostic program is abnormally terminated;
An information generating unit generating termination-related information related to abnormal termination of the malicious diagnostic program when the malicious diagnostic program abnormally terminates; And
Related information to the server so that the server recognizes the malicious program that terminated the malicious diagnostic program based on the termination related information and adds the detected malicious program to the diagnosis target, And an information providing unit for allowing the user to diagnose the information before execution thereof;
Wherein the information generating unit comprises:
Based on the log information in which an action by each program executed in the client system is recorded, searches for a program that has attacked the malicious diagnostic program and generates information on the searched program as the termination related information, or
Wherein the malicious diagnostic program checks at least one program that is not authenticated among the programs being executed at the time when the malicious diagnostic program is abnormally terminated and generates information on the confirmed at least one program as the termination related information.
상기 종료관련정보를 제공받은 상기 서버는,
상기 종료관련정보에 따른 프로그램을 상기 악성프로그램인 것으로 인지하여 진단대상으로 추가하거나, 또는 상기 종료관련정보에 따른 적어도 하나의 프로그램을 순차적으로 실행하여 상기 적어도 하나의 프로그램 중 상기 서버에서 실행 중인 상기 악성진단프로그램을 종료시키는 프로그램을 상기 악성프로그램인 것으로 인지하여 진단대상으로 추가하는 것을 특징으로 하는 클라이언트시스템.The method according to claim 6,
Wherein the server, which is provided with the termination related information,
The malicious program is identified as a malicious program and is added to the diagnosis target or at least one program according to the termination related information is sequentially executed to determine whether the malicious program executing in the server among the at least one program Recognizes that the program that terminates the diagnostic program is the malicious program, and adds the program to the diagnostic target.
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR20130082294A KR101489142B1 (en) | 2013-07-12 | 2013-07-12 | Client system and control method thereof |
PCT/KR2014/006279 WO2015005736A1 (en) | 2013-07-12 | 2014-07-11 | Client system and method of operating client system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR20130082294A KR101489142B1 (en) | 2013-07-12 | 2013-07-12 | Client system and control method thereof |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20150007803A KR20150007803A (en) | 2015-01-21 |
KR101489142B1 true KR101489142B1 (en) | 2015-02-05 |
Family
ID=52280315
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR20130082294A KR101489142B1 (en) | 2013-07-12 | 2013-07-12 | Client system and control method thereof |
Country Status (2)
Country | Link |
---|---|
KR (1) | KR101489142B1 (en) |
WO (1) | WO2015005736A1 (en) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112162913A (en) * | 2020-10-30 | 2021-01-01 | 珠海格力电器股份有限公司 | Operation execution method and device, storage medium and electronic device |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2008522298A (en) | 2004-12-02 | 2008-06-26 | 聯想(北京)有限公司 | How to build a reliable execution environment on your computer |
KR20100037016A (en) * | 2008-09-30 | 2010-04-08 | 인텔 코포레이션 | Hardware-based anti-virus scan service |
KR20110027547A (en) * | 2009-09-08 | 2011-03-16 | (주)이스트소프트 | The automated defense system for the malicious code and the method thereof |
KR20130053027A (en) * | 2011-11-14 | 2013-05-23 | (주)네오위즈게임즈 | Method and apparatus for providing data about abnormal termination of program |
-
2013
- 2013-07-12 KR KR20130082294A patent/KR101489142B1/en active IP Right Grant
-
2014
- 2014-07-11 WO PCT/KR2014/006279 patent/WO2015005736A1/en active Application Filing
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2008522298A (en) | 2004-12-02 | 2008-06-26 | 聯想(北京)有限公司 | How to build a reliable execution environment on your computer |
KR20100037016A (en) * | 2008-09-30 | 2010-04-08 | 인텔 코포레이션 | Hardware-based anti-virus scan service |
KR20110027547A (en) * | 2009-09-08 | 2011-03-16 | (주)이스트소프트 | The automated defense system for the malicious code and the method thereof |
KR20130053027A (en) * | 2011-11-14 | 2013-05-23 | (주)네오위즈게임즈 | Method and apparatus for providing data about abnormal termination of program |
Also Published As
Publication number | Publication date |
---|---|
KR20150007803A (en) | 2015-01-21 |
WO2015005736A1 (en) | 2015-01-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9280664B2 (en) | Apparatus and method for blocking activity of malware | |
KR102210627B1 (en) | Method, apparatus and system for detecting malicious process behavior | |
US10291630B2 (en) | Monitoring apparatus and method | |
KR101122646B1 (en) | Method and device against intelligent bots by masquerading virtual machine information | |
US10033745B2 (en) | Method and system for virtual security isolation | |
US10867048B2 (en) | Dynamic security module server device and method of operating same | |
US20190121976A1 (en) | System and method of adapting patterns of dangerous behavior of programs to the computer systems of users | |
CN106790189B (en) | intrusion detection method and device based on response message | |
US20190109824A1 (en) | Rule enforcement in a network | |
CN113632432A (en) | Method and device for judging attack behavior and computer storage medium | |
CN113872965A (en) | SQL injection detection method based on Snort engine | |
KR101097590B1 (en) | Method for defending against dll injection without hooking | |
JP2006146600A (en) | Operation monitoring server, terminal apparatus and operation monitoring system | |
KR101489142B1 (en) | Client system and control method thereof | |
KR101723623B1 (en) | System and method for detecting malicious code | |
US20210058414A1 (en) | Security management method and security management apparatus | |
CN114896592A (en) | General detection method, device, equipment and storage medium for WMI malicious code | |
KR101427412B1 (en) | Method and device for detecting malicious code for preventing outflow data | |
CN103679015A (en) | Attacking control method for protecting kernel system | |
JP6861196B2 (en) | Systems and methods to adapt the dangerous behavior patterns of a program to the user's computer system | |
RU2665909C1 (en) | Method of selective use of patterns of dangerous program behavior | |
KR101754964B1 (en) | Method and Apparatus for Detecting Malicious Behavior | |
CN112395617A (en) | Method and device for protecting docker escape vulnerability, storage medium and computer equipment | |
KR101938415B1 (en) | System and Method for Anomaly Detection | |
KR101217677B1 (en) | Malicious program blocking apparatus and method |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
FPAY | Annual fee payment |
Payment date: 20180129 Year of fee payment: 4 |
|
FPAY | Annual fee payment |
Payment date: 20190128 Year of fee payment: 5 |
|
FPAY | Annual fee payment |
Payment date: 20200128 Year of fee payment: 6 |