JP2008004064A - システムイベント情報を用いた隠匿プロセスの探知システムおよび方法(asystemandmethodfordetectionofahiddenprocessusingsystemevent) - Google Patents

システムイベント情報を用いた隠匿プロセスの探知システムおよび方法(asystemandmethodfordetectionofahiddenprocessusingsystemevent) Download PDF

Info

Publication number
JP2008004064A
JP2008004064A JP2006267392A JP2006267392A JP2008004064A JP 2008004064 A JP2008004064 A JP 2008004064A JP 2006267392 A JP2006267392 A JP 2006267392A JP 2006267392 A JP2006267392 A JP 2006267392A JP 2008004064 A JP2008004064 A JP 2008004064A
Authority
JP
Japan
Prior art keywords
event information
kernel layer
monitoring
concealment
detection
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
JP2006267392A
Other languages
English (en)
Inventor
Eun Young Kim
ウンヨン キム
Youngtae Yun
ヨンタエ ユン
Eungki Park
ウンキ パク
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Electronics and Telecommunications Research Institute ETRI
Original Assignee
Electronics and Telecommunications Research Institute ETRI
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Electronics and Telecommunications Research Institute ETRI filed Critical Electronics and Telecommunications Research Institute ETRI
Publication of JP2008004064A publication Critical patent/JP2008004064A/ja
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Debugging And Monitoring (AREA)
  • Testing And Monitoring For Control Systems (AREA)

Abstract

【課題】隠匿プロセスを探知及び制御するシステムイベント情報を用いた隠匿プロセス探知システム及び方法を提供する。
【解決手段】ルートキット等のコードを用いて実行される隠匿プロセスも、該プロセスを実行するためにシステムのOSから資源を割当てられて使う特性があるため、アプリケーション層では隠匿プロセスに関する情報が表れないが、カーネル層ではプロセスを実行するためシステム資源を割当てられて使う過程においてプロセス関連情報が公開される。したがって、本発明は、カーネル層から実時間のシステム資源のアクセス時に提供されるシステムイベント情報を用いてプロセスリストを抽出し、アプリケーション層から使用者に提供されるプロセスリストとの比較を通じてカーネル層のみに提供されるプロセスを隠匿プロセスとして検出して制御し、実時間でシステムに存在する隠匿プロセスを探知することができる。
【選択図】図1

Description

本発明は、隠匿プロセスの探知システム及び方法に関するものであって、さらに詳細には実時間でシステムカーネル層モニタリングにより発生するシステムイベント情報を用いてカーネル層から提供されるプロセスリストを抽出し、アプリケーション層から提供されるプロセスリストと比較し、隠匿プロセスを探知することで、使用者システムを隠匿プロセスから実時間で防御してシステムの保安性を確保するシステムイベント情報を用いた隠匿プロセス探知システム及び方法に関するものである。
隠匿プロセスは、システム内で実行されることから一般的なプロセスの種類のようなプロセスであると見られる。しかしながら、ルートキットのような悪性コードにより該プロセスが隠匿され、システムのアプリケーション層で何らの情報も表れないので、使用者は、プロセス情報プログラムであるタスクマネージャを介し隠匿プロセスの存在を認識できない。
このように、隠匿プロセスは、アプリケーション層で何らの情報も提供しないが、該プロセスを実行するためシステムカーネル層でシステム資源を割り当てられてこれを使わなければならないので、一般プロセスのようにシステムのカーネル層ではその情報を公開せざるを得ない。
したがって、隠匿プロセスを探知するため、実時間のシステム資源のアクセス時に提供されるシステムイベント情報を用いて、このシステム資源にアクセスするプロセスを感知し、アプリケーション層で表れるプロセスと比較して隠匿プロセスを探知することができる。
従来の隠匿システムを探知するための方法として、EPROCESS構造体に含まれたActiveProcessLinks構造を用いて探知する方式がある。該隠匿プロセス探知技法は、Joanna Rutkowskaによって公開(http://invisiblethings.org)されたが、該隠匿プロセス探知技法は次のようである。システムのアプリケーション層から該プロセスリスト(a)を獲得した後、カーネル層からEPROCESS構造体のActionProcessLinksを介してカーネル層に存在するプロセスリスト(b)を得る。したがって、リスト(a)とリスト(b)とを比べて、カーネル内のみに存在するプロセスが検索される場合、該プロセスを隠匿プロセスとして判断する。このような方法は、リストを得る間の時間遅れにより隠匿プロセスであると誤って判断するおそれがある短所があり、又、カーネル層内でプロセスリストをEPROCESS構造体のActiveProcess Linksを介して得るに該EPROCESS構造体自体がWindows(登録商標)オペレーティングシステムを製作したマイクロソフトが公式に発表したシステム内部の構造体ではないので、該構造体の情報の変更時には、隠匿プロセス探知自体が不可能である。
又、EPROCESS構造体のActiveProcessLinks自体は、該当プロセスに対するシステム内部での、システム資源の割当ての際、該リストに追加されて実行される。したがって、資源の割当てを要求していない状態、つまり、プロセスが周期的なidle状態の場合、該プロセスはEPROCESS構造体にActiveProcessLinksが追加されないので、システム内でidle状態の隠匿プロセスは探知されないという短所を有するようになる。
又、隠匿プロセスを探知するための製品として、F−Secure社(http://www.f−secure.com/blacklight)の、ベータバージョンで公開しているBlackLight製品がある。該製品は、Windows(登録商標)システム内で現在遂行中のプログラムに対する情報の要求の際に用いられるOpenProcess()関数を用いる。該関数の入力パラメータにWindows(登録商標)システム内で生成できる全てのPID値を全部代入させ、リターンされる値により該PIDプロセスリストの存在有無を判断するようになる。このとき、アプリケーション層において該PIDプロセスリストの情報がない場合、該PIDプロセスは、隠匿されたと判断することができる。このような方法は、システムカーネル層で何らの行為もせず、ただシステムのアプリケーション層で用いられるAPIを介して隠匿の可否を検査する方法である。しかし、このような方法も、隠匿プロセスが悪意的に自身のPID値に対するOpenProcess()の呼び出しの際、結果値を任意に操作された値を与えると該プロセスがシステム内に存在しないものと判断され、該隠匿プロセスは探知できなくなり、Openprocess()関数を用いた隠匿プロセス探知技法は、実時間探知技法ではないスキャニング技法を用いた隠匿プロセス探知技法であって、隠匿プロセス探知のためスキャニング時に、該隠匿プロセスが開始されないか、既に終了された場合、探知することができないという短所を有するようになる。
したがって、本発明は前記の従来技術の問題点を解決するためになされたものであって、本発明の目的は、システムのカーネル層で実時間のシステムのモニタリングを介して、発生したシステムイベント情報からカーネル層のプロセスリストを抽出し、アプリケーション層から提供されるプロセスリストとの比較を通じて、隠匿プロセスを探知および制御する、システムイベント情報を用いた隠匿プロセス探知システムおよび方法を提供することにある。
一方、本発明の他の目的は、実時間でシステム内で発生されるファイル、レジストリ、ネットワークイベント情報に基づいて、システム内のアプリケーション層のとカーネル層とのプロセスリストの比較を通じて、隠匿プロセスを探知するので、隠匿プロセスがidle状態の場合でも、システム内で発生するイベント情報を用いて隠匿プロセスを探知して既存ActiveProcessLinksを用いた探知技法の限界を打開するシステムイベント情報を用いた隠匿プロセス探知システムおよび方法を提供することにある。
前記のような目的を達成するための本発明のシステムイベント情報を用いた隠匿プロセス探知システムは、カーネル層システムをモニタリングし、システムイベント情報を抽出するカーネル層モニタリングモジュール、前記抽出されたシステムイベント情報からイベントと関連したプロセスを検出するカーネル層プロセスリスト検出モジュール、アプリケーション層から使用者に提供されるプロセスリストを検出するアプリケーション層プロセスリスト検出モジュール、前記カーネル層プロセスリストの検出モジュールから検出されたプロセスと前記アプリケーション層のプロセスリスト検出モジュールから検出されたプロセスを比較し、前記カーネル層のみに存在するプロセスを隠匿プロセスとして探知する隠匿プロセス探知モジュールを含むことを特徴とする。
このとき、カーネル層モニタリングモジュールは、前記カーネル層でファイルシステムをモニタリングしてファイルイベント情報を抽出するファイルモニタリングモジュールと、前記カーネル層でアクセスされるレジストリをモニタリングし、レジストリイベント情報を抽出するレジストリモニタリングモジュール、そして前記カーネル層でネットワークをモニタリングし、ネットワークイベント情報を抽出するネットワークモニタリングモジュールを含むことを特徴とする。
一方、本発明のシステムイベント情報を用いた隠匿プロセス探知方法は、カーネル層システムをモニタリングしてシステムイベント情報を抽出するカーネル層モニタリング段階、前記抽出されたシステムイベント情報からイベントと関連したプロセスを検出するカーネル層プロセスリスト検出段階、アプリケーション層から使用者に提供されるプロセスリストを検出するアプリケーション層プロセスリスト検出段階、前記カーネル層プロセスリスト検出段階から検出されたプロセスと前記アプリケーション層プロセスリスト検出段階から検出されたプロセスを比較し、前記カーネル層のみに存在するプロセスを隠匿プロセスとして探知する隠匿プロセス探知段階を含むことを特徴とする。
このとき、カーネル層モニタリング段階は、前記カーネル層でファイルシステムをモニタリングしファイルイベント情報を抽出するファイルモニタリング段階、前記カーネル層でアクセスされるレジストリをモニタリングしてレジストリイベント情報を抽出するレジストリモニタリング段階、前記カーネル層でネットワークをモニタリングしてネットワークイベント情報を抽出するネットワークモニタリング段階を含むことを特徴とする。
上述したように、本発明によるシステムイベント情報を用いた隠匿プロセス探知システムは、カーネル層から提供されるシステムイベント情報を用いて実時間で隠匿プロセスを探知することができ、隠匿プロセスで使用者のシステムを攻撃する行為を源泉的に防御することができる効果がある。
又、本発明によるシステムイベント情報を用いた隠匿プロセス探知システムおよび方法は、隠匿プロセスがidle状態の場合にも、システムで発生するイベント情報を用いて隠匿プロセスを探知及び除去し、実時間でシステム内で発生されたイベント情報を用いて探知するので、実時間で隠匿プロセスの実行とともにこれを探知することができる効果がある。
以下、本発明に係るシステムイベント情報を用いた隠匿プロセス探知システム及び方法について添付された図面を参照し詳細に説明する。
図1は、本発明に係るシステムイベント情報を用いた隠匿プロセス探知システムの構成を示すブロック図である。
本発明に係るシステムイベント情報を用いた隠匿プロセス探知システムは、カーネル層システムをモニタリングして、システムイベント情報を抽出するカーネル層モニタリングモジュール100、抽出されたシステムイベント情報からイベントと関連するプロセスを検出するカーネル層プロセスリスト検出モジュール200、アプリケーション層から使用者に提供されるプロセスリストを検出するアプリケーション層プロセスリスト検出モジュール300、カーネル層プロセスリスト検出モジュール200から検出されたプロセスとアプリケーション層プロセスリスト検出モジュール300から検出されたプロセスを比較し、カーネル層のみに存在するプロセスを隠匿プロセスとして探知する隠匿プロセス探知モジュール400、隠匿プロセス探知モジュール400から探知された隠匿プロセスを制御する隠匿プロセス制御モジュール500を含んで構成される。
カーネル層モニタリングモジュール100は、カーネル層から提供されるシステムイベント情報をモニタリングするため、カーネル層でファイルシステムをモニタリングするファイルモニタリングモジュール110、カーネル層でアクセスされるレジストリをモニタリングするレジストリモニタリングモジュール120、実時間でネットワークをモニタリングするネットワークモニタリングモジュール130を含む。
カーネル層では、プロセスを実行するためシステム情報を割当てるため、隠匿プロセスに関連する情報が表れる。
ファイルモニタリングモジュール110は、実時間でカーネル層においてファイルシステムをモニタリングし、ファイルイベント情報を探索するモジュールである。ファイルモニタリングモジュール110は、どのようなプロセスがどのようなファイルをどのようなイベント要求事項に対しアクセスするかに関するファイルシステムイベント情報をモニタリングする。ファイルモニタリングモジュール110を介して出てくるファイルイベント情報は、ファイルアクセスプロセス(Process name)、ファイルアクセス時間(Time)、ファイル要求(Request)イベント(Query Information、Open、Closeなど)、アクセスファイル経路(Path)、アクセスファイル成功有無(Result)などの情報を言う。ファイルモニタリングモジュール110から出てきたファイルイベント情報は、カーネル層プロセスリスト検出モジュール200に提供される。
レジストリモニタリングモジュール120は、実時間でカーネル層でアクセスされるレジストリをモニタリングするモジュールである。レジストリモニタリングモジュール120は、どのようなプロセスが現在どのようなレジストリイベント情報を要求し、その要求された情報が何であるかを感知する。レジストリモニタリングモジュール120を介して出てくるレジストリイベント情報は、レジストリアクセスプロセス(Process name)、レジストリアクセス時間(Time),レジストリ要求(Request)イベント(Openkey、Closekeyなど)、レジストリアクセス経路(Path)、レジストリアクセス成功の有無(Result)などがある。レジストリモニタリングモジュール120を介して出てきたレジストリイベント情報はカーネル層プロセスリストの検出モジュール200に提供される。
ネットワークモニタリングモジュール130は、実時間でネットワークモニタリングを介してネットワークイベント情報を算出するモジュールである。ネットワークモニタリングモジュール130は、実時間でネットワークを介し、どのようなプロセスがどのようなポートを介しどちらへどのようなパケットを伝送及び受信するかに対する情報をモニタリングする。ネットワークモニタリングモジュール130を介して出てくるネットワークイベント情報とは、ネットワークアクセスプロセス、ネットワークパッケト発生時間、送信側のアドレス、受信側のアドレス、送信側のポート、受信側のポート、パケットの長さ、チェックサム、TTL値、Fragmentationの可否に関する情報をいう。ネットワークモニタリングモジュール130を介して出てきたネットワークイベント情報は、カーネル層プロセスリスト検出モジュール200に提供される。
カーネル層モニタリングモジュール100は、システムのカーネル層のシステムイベント情報をモニタリングすることにおいて、システムイベント情報フィルタリングモジュール140を含むことができる。
システムイベント情報フィルタリングモジュール140は、カーネル層でモニタリングされるシステムイベント情報のうち、特定モニタリングのイベント及び特定プロセスを予めモニタリングの対象から除外する。したがって、システムイベント情報フィルタリングモジュール140は、隠匿プロセスを感知するため、モニタリングすべき対象を減らすことで、隠匿プロセス探知システムの性能を向上させる。
カーネル層プロセスリスト検出モジュール200は、カーネル層モニタリングモジュール100を介して提供されたシステムイベント情報のうち、イベントにアクセスしたプロセスのリストのみを抽出する。システムイベント情報には、ファイルモニタリングモジュール110によるファイルイベント情報、レジストリモニタリングモジュール120によるレジストリイベント情報、ネットワークモニタリングモジュール130によるネットワークイベント情報がある。カーネル層プロセスリスト検出モジュール200により抽出されるプロセスリストは、ファイルアクセスプロセス、レジストリアクセスプロセス、ネットワークアクセスプロセス等がある。
アプリケーション層プロセスリスト検出モジュール300は、アプリケーション層から使用者に提供されるプロセスリストに対する情報を検出する。一般的にWin32APIを介してアプリケーション層から提供されるプロセス情報を標準とする。ウィンドウズ(登録商標)システムの場合、タスクマネージャを通じて提供されるプロセスリスト情報を例として挙げられる。
カーネル層プロセスリスト検出モジュール200から検出されたプロセスリストとアプリケーション層プロセスリスト検出モジュール300から検出されたプロセスリストは隠匿プロセス探知モジュール400へ伝達される。
隠匿プロセス探知モジュール400は、カーネル層プロセスリストとアプリケーション層プロセスリストを比較して、隠匿プロセスであると判断されるプロセスを探し出す。
隠匿プロセスは、アプリケーション層では、隠匿プロセスに対する情報が表れないが、カーネル層では、プロセス実行のため資源を受けるためにその情報が公開される。
したがって、プロセスがカーネル層のみに存在し、アプリケーション層には存在しない場合には、隠匿プロセスであると判断される。
しかしながら、カーネル層プロセスリストとアプリケーション層プロセスリストを比較した結果、同一の場合にはシステムで実行されているプロセスは正常プロセスであると判断される。
隠匿プロセス探知モジュール400で、隠匿プロセスであると判断されるプロセスが存在する場合には、隠匿プロセス制御モジュール500により該隠匿プロセスを終了させるか削除する。
隠匿プロセス制御モジュール500は、隠匿プロセスであると判断されたプロセスに対する処理の如付を使用者の決定に応じて処理する役割をする。
図2は、本発明に係るシステムイベント情報を用いた隠匿プロセス探知方法を示すフローチャートである。
隠匿プロセス探知は、使用者により隠匿プロセスを探知するためのシステム及びプログラムを開始することで隠匿プロセスの探知が開始されるS210。
隠匿プロセス探知は、使用者の開始命令によって開始されることもあるが、システムが開始して作動する間には、常に作動することが実時間で隠匿プロセスを探知することから望ましい。
隠匿プロセス探知が開始S210されると、カーネル層モニタリング段階S220とアプリケーション層プロセスリスト検出段階S230が進行される。
カーネル層モニタリング段階S220は、カーネル層のシステムをモニタリングしシステムイベント情報を抽出する。
システムイベント情報を抽出するために、ファイルイベント情報を抽出するファイルモニタリング段階S221と、レジストリイベント情報を抽出するレジストリモニタリング段階S220と、又、ネットワークイベント情報を抽出するネットワークモニタリング段階S223によりカーネル層モニタリング段階S220が進行される。
カーネル層モニタリング段階S220から抽出されたシステムイベント情報は、カーネル層プロセスリスト検出段階S240に提供される。
カーネル層プロセスリスト検出段階S240は、提供されたシステムイベント情報のうち、イベントにアクセスしたプロセスのリストのみを検出する。このように検出されたカーネル層プロセスリストは、隠匿プロセスであるか否かを判断するため、カーネル層とアプリケーション層プロセスリスト比較段階S250に提供される。
アプリケーション層プロセスリスト検出段階S230は、アプリケーション層から使用者に提供されるプロセスリストに対する情報を検出し、カーネル層とアプリケーション層プロセスリスト比較段階S250に提供する。
カーネル層とアプリケーション層プロセスリストの比較段階S250は、カーネル層プロセスリストとアプリケーション層プロセスリストを比較して一致するか否かを判断する。
カーネル層プロセスリストとアプリケーション層プロセスリストが一致する場合には、正常のプロセスであると判断するS260。
カーネル層プロセスリストとアプリケーション層プロセスリストが不一致の場合、カーネル層プロセスリストのみに存在し、アプリケーション層プロセスリストには存在しない場合には、該プロセスを隠匿プロセスであると判断するS270。
隠匿プロセスであると判断されたプロセスは、使用者により処理が決定される。使用者が隠匿プロセスを削除する場合、隠匿プロセスはシステムから削除されるS280。
以上から、いくつの実施の形態をあげ、本発明を一層詳細に説明したが、本発明は必ずしもこのような実施の形態に限らず、本発明の技術思想を外れない範囲内で多様に変更実施することができる。
本発明に係るシステムイベント情報を用いた隠匿プロセス探知システムの構成を示すブロック図である。 本発明に係るシステムイベント情報を用いた隠匿プロセス探知方法を示すプローチャートである。
符号の説明
110:ファイルモニタリングモジュール
120:レジストリモニタリングモジュール
130:ネットワークモニタリングモジュール
200:カーネル層プロセスリスト検出モジュール
300:アプリケーション層プロセスリスト検出モジュール
400:隠匿プロセス探知モジュール
500:隠匿プロセス制御モジュール

Claims (16)

  1. カーネル層モニタリングによるシステムイベント情報から抽出したプロセスリストとアプリケーション層から使用者に提供されるプロセスリストとを比較して、カーネル層のみに存在するプロセスを隠匿プロセスであると探知することを特徴とするシステムイベント情報を用いた隠匿プロセス探知システム。
  2. 前記カーネル層モニタリングは、前記カーネル層でファイルシステムをモニタリングし、ファイルイベント情報を抽出することを特徴とする請求項1に記載のシステムイベント情報を用いた隠匿プロセス探知システム。
  3. 前記カーネル層モニタリングは、前記カーネル層でアクセスされるレジストリをモニタリングし、レジストリイベント情報を抽出することを特徴とする請求項1に記載のシステムイベント情報を用いた隠匿プロセス探知システム。
  4. 前記カーネル層モニタリングは、ネットワークをモニタリングし、ネットワークイベント情報を抽出することを特徴とする請求項1に記載のシステムイベント情報を用いた隠匿プロセス探知システム。
  5. 前記カーネル層モニタリングは、実時間で行われることを特徴とする請求項2乃至請求項4のうちいずれか一つに記載のシステムイベント情報を用いた隠匿プロセス探知システム。
  6. 前記カーネル層モニタリングは、特定のイベント情報および特定のプロセスを探知しないシステムイベント情報フィルタリングモジュールをさらに含むことを特徴とする請求項1乃至請求項4のうちいずれか一つに記載のシステムイベント情報を用いた隠匿プロセス探知システム。
  7. カーネル層システムをモニタリングし、システムイベント情報を抽出するカーネル層モニタリングモジュールと、
    前記抽出されたシステムイベント情報から、イベントと関連したプロセスを検出するカーネル層プロセスリスト検出モジュールと、
    アプリケーション層から使用者に提供されるプロセスリストを検出するアプリケーション層プロセスリスト検出モジュールと、
    前記カーネル層プロセスリスト検出モジュールから検出されたプロセスと前記アプリケーション層プロセスリスト検出モジュールから検出されたプロセスとを比較し、前記カーネル層のみに存在するプロセスを隠匿プロセスとして探知する隠匿プロセス探知モジュールを含むことを特徴とするシステムイベント情報を用いた隠匿プロセス探知システム。
  8. 前記カーネル層モニタリングモジュールは、前記カーネル層でファイルシステムをモニタリングし、ファイルイベント情報を抽出するファイルモニタリングモジュールを含むことを特徴とする請求項7に記載のシステムイベント情報を用いた隠匿プロセス探知システム。
  9. 前記カーネル層モニタリングモジュールは、前記カーネル層からアクセスされるレジストリをモニタリングし、レジストリイベント情報を抽出することを特徴とするレジストリモニタリングモジュールを含むことを特徴とする請求項7に記載のシステムイベント情報を用いた隠匿プロセス探知システム。
  10. 前記カーネル層モニタリングモジュールは、前記カーネル層でネットワークをモニタリングし、ネットワークイベント情報を抽出するネットワークモニタリングモジュールを含むことを特徴とする請求項7に記載のシステムイベント情報を用いた隠匿プロセス探知システム。
  11. 前記カーネル層モニタリングモジュールは、前記カーネル層でファイルシステムをモニタリングし、ファイルイベント情報を抽出するモニタリングモジュールと、
    前記カーネル層でアクセスされるレジストリをモニタリングし、レジストリイベント情報を抽出するレジストリモニタリングモジュールと、
    前記カーネル層でネットワークをモニタリングし、ネットワークイベント情報を抽出するネットワークモニタリングモジュールを含むことを特徴とする請求項7に記載のシステムイベント情報を用いた隠匿プロセス探知システム。
  12. 前記アプリケーション層プロセスリスト検出モジュールは、APIを介して前記アプリケーション層から提供されるプロセス情報を検出することを特徴とする請求項11に記載のシステムイベント情報を用いた隠匿プロセス探知システム。
  13. 前記隠匿プロセス探知モジュールから探知された隠匿プロセスを除去する隠匿プロセス制御モジュールをさらに含むことを特徴とする請求項7乃至請求項12のうちいずれか一つに記載のシステムイベント情報を用いた隠匿プロセス探知システム。
  14. カーネル層システムをモニタリングしイベント情報を抽出するカーネル層モニタリング段階と、
    前記抽出されたシステムイベント情報からイベントと関連するプロセスを検出するカーネル層プロセスリスト検出段階と、
    アプリケーション層から使用者に提供されるプロセスリストを検出するアプリケーション層プロセスリスト検出段階と、
    前記カーネル層プロセスリスト検出段階で検出されたプロセスと前記アプリケーション層プロセスリスト検出段階で検出されたプロセスとを比較し、前記カーネル層のみに存在するプロセスを隠匿プロセスとして探知する隠匿プロセス探知段階を含むことを特徴とするシステムイベント情報を用いた隠匿プロセス探知方法。
  15. 前記カーネル層モニタリング段階は、前記カーネル層でファイルシステムをモニタリングし、ファイルイベント情報を抽出するファイルモニタリング段階と、
    前記カーネル層でアクセスされるレジストリをモニタリングし、レジストリイベント情報を抽出するレジストリモニタリング段階と、
    前記カーネル層でネットワークをモニタリングし、ネットワークイベント情報を抽出するネットワークモニタリング段階を含むことを特徴とする請求項14に記載のシステムイベント情報を用いた隠匿プロセス探知方法。
  16. 前記隠匿プロセス探知段階で探知された隠匿プロセスを削除する隠匿プロセス削除段階をさらに含むことを特徴とする請求項14または請求項15に記載のシステムイベント情報を用いた隠匿プロセス探知方法。
JP2006267392A 2006-06-21 2006-09-29 システムイベント情報を用いた隠匿プロセスの探知システムおよび方法(asystemandmethodfordetectionofahiddenprocessusingsystemevent) Withdrawn JP2008004064A (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020060055951A KR100799302B1 (ko) 2006-06-21 2006-06-21 시스템 이벤트 정보를 이용한 은닉 프로세스 탐지 시스템및 방법

Publications (1)

Publication Number Publication Date
JP2008004064A true JP2008004064A (ja) 2008-01-10

Family

ID=38042690

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006267392A Withdrawn JP2008004064A (ja) 2006-06-21 2006-09-29 システムイベント情報を用いた隠匿プロセスの探知システムおよび方法(asystemandmethodfordetectionofahiddenprocessusingsystemevent)

Country Status (5)

Country Link
US (1) US20070300061A1 (ja)
EP (1) EP1870830A1 (ja)
JP (1) JP2008004064A (ja)
KR (1) KR100799302B1 (ja)
CN (1) CN101093452A (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012507094A (ja) * 2008-10-29 2012-03-22 インターナショナル・ビジネス・マシーンズ・コーポレーション コンピュータ・システム上で稼動している、悪意あるソフトウェアの存在を検知するシステム、方法、およびプログラム

Families Citing this family (61)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20090038010A1 (en) * 2007-07-31 2009-02-05 Microsoft Corporation Monitoring and controlling an automation process
US8099740B1 (en) * 2007-08-17 2012-01-17 Mcafee, Inc. System, method, and computer program product for terminating a hidden kernel process
KR100954356B1 (ko) * 2008-03-10 2010-04-21 주식회사 안철수연구소 코드 보호 기법을 고려한 악성 프로그램 감지 시스템 및 그방법
KR101013417B1 (ko) * 2008-05-14 2011-02-14 주식회사 안철수연구소 네트워크 정보를 이용한 은폐형 악성코드 검출 방법
CN101304409B (zh) * 2008-06-28 2011-04-13 成都市华为赛门铁克科技有限公司 恶意代码检测方法及系统
KR101001899B1 (ko) * 2008-09-25 2010-12-17 주식회사 안철수연구소 은폐된 시스템 개체 진단 시스템 및 진단 방법
KR101039551B1 (ko) * 2008-10-15 2011-06-09 (주)씨디네트웍스 은닉 프로세스 모니터링 방법 및 시스템
KR101042944B1 (ko) * 2009-01-20 2011-06-20 한국모바일인증 주식회사 데이터 통신 중인 프로그램을 검출하는 데이터 보호 시스템및 그 데이터 보호 방법
JP2012525626A (ja) * 2009-04-30 2012-10-22 テレフオンアクチーボラゲット エル エム エリクソン(パブル) ユーザ端末の逸脱する挙動
KR101122646B1 (ko) 2010-04-28 2012-03-09 한국전자통신연구원 위장 가상 머신 정보를 이용한 인텔리전트 봇 대응 방법 및 장치
EP2388726B1 (en) 2010-05-18 2014-03-26 Kaspersky Lab, ZAO Detection of hidden objects in a computer system
KR101018848B1 (ko) * 2010-06-28 2011-03-04 (주)더프론즈 모바일 기기의 악성 코드가 생성하는 네트워크 데이터를 제어하는 네트워크 데이터 제어 장치 및 네트워크 데이터 제어 방법
CN101917682A (zh) * 2010-08-25 2010-12-15 宇龙计算机通信科技(深圳)有限公司 一种移动终端的信息发送方法、系统及移动终端
CN102207894B (zh) * 2011-05-25 2013-01-02 上海宁乐科技有限公司 一种键盘过滤器及唤醒无响应的操作系统的方法
CN103034807B (zh) * 2011-10-08 2016-01-27 腾讯科技(深圳)有限公司 恶意程序检测方法和装置
KR101143999B1 (ko) * 2011-11-22 2012-05-09 주식회사 안철수연구소 Api 기반 어플리케이션 분석 장치 및 방법
CN102521537B (zh) * 2011-12-06 2015-05-20 北京航空航天大学 基于虚拟机监控器的隐藏进程检测方法和装置
KR101308228B1 (ko) * 2011-12-28 2013-09-13 한양대학교 산학협력단 악성 코드 자동 탐지 방법
US9286047B1 (en) 2013-02-13 2016-03-15 Cisco Technology, Inc. Deployment and upgrade of network devices in a network environment
CN104063288B (zh) * 2013-03-22 2016-05-25 腾讯科技(深圳)有限公司 进程管理方法及装置
US9690354B1 (en) * 2013-05-06 2017-06-27 AGGIOS, Inc. Automatic energy design and management system for assessing system components' energy consumption, compiling energy management control and optimizing energy usage
CN103400074B (zh) * 2013-07-09 2016-08-24 青岛海信传媒网络技术有限公司 一种隐藏进程的检测方法及装置
KR20150055442A (ko) * 2013-11-13 2015-05-21 삼성디스플레이 주식회사 입체 영상 표시 장치
CN103888616B (zh) * 2014-03-28 2018-01-16 上海斐讯数据通信技术有限公司 一种基于Android平台的彩信拦截方法
KR101640033B1 (ko) * 2014-12-30 2016-07-15 고려대학교 산학협력단 안드로이드 프로세스간 통신 모니터링을 이용한 개인정보 유출 탐지 기법
US10374904B2 (en) 2015-05-15 2019-08-06 Cisco Technology, Inc. Diagnostic network visualization
US9800497B2 (en) 2015-05-27 2017-10-24 Cisco Technology, Inc. Operations, administration and management (OAM) in overlay data center environments
US10033766B2 (en) 2015-06-05 2018-07-24 Cisco Technology, Inc. Policy-driven compliance
US10142353B2 (en) 2015-06-05 2018-11-27 Cisco Technology, Inc. System for monitoring and managing datacenters
US10536357B2 (en) 2015-06-05 2020-01-14 Cisco Technology, Inc. Late data detection in data center
US10089099B2 (en) 2015-06-05 2018-10-02 Cisco Technology, Inc. Automatic software upgrade
US9967158B2 (en) 2015-06-05 2018-05-08 Cisco Technology, Inc. Interactive hierarchical network chord diagram for application dependency mapping
CN106599683B (zh) * 2015-10-16 2019-10-22 华为技术有限公司 一种确定隐藏的内核模块的方法、装置及设备
US10171357B2 (en) 2016-05-27 2019-01-01 Cisco Technology, Inc. Techniques for managing software defined networking controller in-band communications in a data center network
US10931629B2 (en) 2016-05-27 2021-02-23 Cisco Technology, Inc. Techniques for managing software defined networking controller in-band communications in a data center network
US10289438B2 (en) 2016-06-16 2019-05-14 Cisco Technology, Inc. Techniques for coordination of application components deployed on distributed virtual machines
US10708183B2 (en) 2016-07-21 2020-07-07 Cisco Technology, Inc. System and method of providing segment routing as a service
US10972388B2 (en) 2016-11-22 2021-04-06 Cisco Technology, Inc. Federated microburst detection
US10708152B2 (en) 2017-03-23 2020-07-07 Cisco Technology, Inc. Predicting application and network performance
US10523512B2 (en) 2017-03-24 2019-12-31 Cisco Technology, Inc. Network agent for generating platform specific network policies
US10764141B2 (en) 2017-03-27 2020-09-01 Cisco Technology, Inc. Network agent for reporting to a network policy system
US10594560B2 (en) 2017-03-27 2020-03-17 Cisco Technology, Inc. Intent driven network policy platform
US10250446B2 (en) 2017-03-27 2019-04-02 Cisco Technology, Inc. Distributed policy store
US10873794B2 (en) 2017-03-28 2020-12-22 Cisco Technology, Inc. Flowlet resolution for application performance monitoring and management
US10659426B2 (en) * 2017-05-26 2020-05-19 Verisign, Inc. System and method for domain name system using a pool management service
US10680887B2 (en) 2017-07-21 2020-06-09 Cisco Technology, Inc. Remote device status audit and recovery
US10554501B2 (en) 2017-10-23 2020-02-04 Cisco Technology, Inc. Network migration assistant
US10523541B2 (en) 2017-10-25 2019-12-31 Cisco Technology, Inc. Federated network and application data analytics platform
US10594542B2 (en) 2017-10-27 2020-03-17 Cisco Technology, Inc. System and method for network root cause analysis
CN108256320B (zh) * 2017-12-27 2020-04-28 北京梆梆安全科技有限公司 微分域动态检测方法及装置、设备和存储介质
US11233821B2 (en) 2018-01-04 2022-01-25 Cisco Technology, Inc. Network intrusion counter-intelligence
US11765046B1 (en) 2018-01-11 2023-09-19 Cisco Technology, Inc. Endpoint cluster assignment and query generation
US10873593B2 (en) 2018-01-25 2020-12-22 Cisco Technology, Inc. Mechanism for identifying differences between network snapshots
US10574575B2 (en) 2018-01-25 2020-02-25 Cisco Technology, Inc. Network flow stitching using middle box flow stitching
US10999149B2 (en) 2018-01-25 2021-05-04 Cisco Technology, Inc. Automatic configuration discovery based on traffic flow data
US10826803B2 (en) 2018-01-25 2020-11-03 Cisco Technology, Inc. Mechanism for facilitating efficient policy updates
US10917438B2 (en) 2018-01-25 2021-02-09 Cisco Technology, Inc. Secure publishing for policy updates
US10798015B2 (en) 2018-01-25 2020-10-06 Cisco Technology, Inc. Discovery of middleboxes using traffic flow stitching
US11128700B2 (en) 2018-01-26 2021-09-21 Cisco Technology, Inc. Load balancing configuration based on traffic flow telemetry
RU2700185C1 (ru) * 2018-07-27 2019-09-13 Закрытое акционерное общество "Перспективный мониторинг" Способ обнаружения скрытого программного обеспечения в вычислительной системе, работающей под управлением POSIX-совместимой операционной системы
CN112260889B (zh) * 2020-09-28 2022-03-11 中孚安全技术有限公司 一种基于Linux的进程流量监控方法、系统及设备

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7673137B2 (en) * 2002-01-04 2010-03-02 International Business Machines Corporation System and method for the managed security control of processes on a computer system
US7448084B1 (en) * 2002-01-25 2008-11-04 The Trustees Of Columbia University In The City Of New York System and methods for detecting intrusions in a computer system by monitoring operating system registry accesses
US20050229250A1 (en) * 2004-02-26 2005-10-13 Ring Sandra E Methodology, system, computer readable medium, and product providing a security software suite for handling operating system exploitations
KR20060065961A (ko) * 2004-12-11 2006-06-15 엘지전자 주식회사 메모리 확보를 위한 백그라운드 프로세스 관리 방법
US7571482B2 (en) * 2005-06-28 2009-08-04 Microsoft Corporation Automated rootkit detector
US7874001B2 (en) * 2005-07-15 2011-01-18 Microsoft Corporation Detecting user-mode rootkits
US8572371B2 (en) * 2005-10-05 2013-10-29 Ca, Inc. Discovery of kernel rootkits with memory scan
US7841006B2 (en) * 2005-10-05 2010-11-23 Computer Associates Think, Inc. Discovery of kernel rootkits by detecting hidden information

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012507094A (ja) * 2008-10-29 2012-03-22 インターナショナル・ビジネス・マシーンズ・コーポレーション コンピュータ・システム上で稼動している、悪意あるソフトウェアの存在を検知するシステム、方法、およびプログラム

Also Published As

Publication number Publication date
EP1870830A1 (en) 2007-12-26
KR20070121195A (ko) 2007-12-27
KR100799302B1 (ko) 2008-01-29
US20070300061A1 (en) 2007-12-27
CN101093452A (zh) 2007-12-26

Similar Documents

Publication Publication Date Title
JP2008004064A (ja) システムイベント情報を用いた隠匿プロセスの探知システムおよび方法(asystemandmethodfordetectionofahiddenprocessusingsystemevent)
RU2571723C2 (ru) Система и способ для снижения нагрузки на операционную систему при работе антивирусного приложения
JP5094928B2 (ja) 偽装仮想マシン情報を利用したインテリジェントボット対応方法及び装置
US8701189B2 (en) Method of and system for computer system denial-of-service protection
US8695094B2 (en) Detecting secondary infections in virus scanning
US8590045B2 (en) Malware detection by application monitoring
US8613093B2 (en) System, method, and computer program product for comparing an object with object enumeration results to identify an anomaly that at least potentially indicates unwanted activity
US20150089647A1 (en) Distributed Sample Analysis
US8397292B2 (en) Method and device for online secure logging-on
US20160021137A1 (en) Proactive network attack demand management
US20110271343A1 (en) Apparatus, system and method for detecting malicious code
CN102916937B (zh) 一种拦截网页攻击的方法、装置和客户端设备
JP2010044613A (ja) ウイルス対策方法、コンピュータ、及びプログラム
WO2012163297A1 (zh) 一种处理计算机病毒的方法、装置及系统
WO2014098239A1 (ja) 監視装置および監視方法
US20180137274A1 (en) Malware analysis method and storage medium
US20060212940A1 (en) System and method for removing multiple related running processes
US8141153B1 (en) Method and apparatus for detecting executable software in an alternate data stream
US20120246723A1 (en) Windows kernel alteration searching method
JP7166969B2 (ja) ルータ攻撃検出装置、ルータ攻撃検出プログラム及びルータ攻撃検出方法
KR101983997B1 (ko) 악성코드 검출시스템 및 검출방법
US20230229717A1 (en) Optimized real-time streaming graph queries in a distributed digital security system
EP3819799B1 (en) Method of threat detection
EP1758021A2 (en) Method or apparatus for managing a server process in a computer system
CN112559132B (zh) 面向容器化部署应用的安全静态检测方法及装置

Legal Events

Date Code Title Description
A761 Written withdrawal of application

Free format text: JAPANESE INTERMEDIATE CODE: A761

Effective date: 20081215