JP2009064414A - 非正常プロセスの探知方法及び装置 - Google Patents

非正常プロセスの探知方法及び装置 Download PDF

Info

Publication number
JP2009064414A
JP2009064414A JP2008134440A JP2008134440A JP2009064414A JP 2009064414 A JP2009064414 A JP 2009064414A JP 2008134440 A JP2008134440 A JP 2008134440A JP 2008134440 A JP2008134440 A JP 2008134440A JP 2009064414 A JP2009064414 A JP 2009064414A
Authority
JP
Japan
Prior art keywords
abnormal
target
generation time
child
file
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2008134440A
Other languages
English (en)
Other versions
JP4806428B2 (ja
Inventor
Yun Ju Kim
ユン ジュ キム
Young Tae Yun
ヨン テ ユン
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Electronics and Telecommunications Research Institute ETRI
Original Assignee
Electronics and Telecommunications Research Institute ETRI
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Electronics and Telecommunications Research Institute ETRI filed Critical Electronics and Telecommunications Research Institute ETRI
Publication of JP2009064414A publication Critical patent/JP2009064414A/ja
Application granted granted Critical
Publication of JP4806428B2 publication Critical patent/JP4806428B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Quality & Reliability (AREA)
  • Debugging And Monitoring (AREA)

Abstract

【課題】非正常プロセスの探知方法及び装置を提供する。
【解決手段】コンピューティング環境で生成されるプロセスを確認するプロセス監視部と、前記プロセス監視部で確認されたプロセスのうち検査する対象プロセスをあらかじめ設定する対象プロセス設定部と、前記プロセス設定部で設定された対象プロセスがファイル生成時間の変更を要請するか否かを確認するファイル生成時間変更監視部と、前記対象プロセスがファイル生成時間の変更を要請する場合に、前記対象プロセスが要請したファイル生成時間の変更を防止するファイル生成時間変更防止部と、前記対象プロセス設定部で設定された対象プロセスの子プロセスがあらかじめ設定された基準時間以内に非正常ファイルを生成した場合、前記子プロセスを非正常プロセスとして判断する非正常プロセス探知部と、を含む。
【選択図】図2

Description

本発明は、非正常プロセスの探知方法及び装置に関する。特に、本発明は、対象プロセスで生成された子プロセスまで全て探知して正常プロセスから非正常プロセスを生成する悪性行為を探知することができる非正常プロセスの探知方法及び装置に関する。
最近、MS Office Word、MS Office Power Point、MS Office Excel、ハングル、MS Windows(登録商標) Media Playerのようにコンピューティング環境でしきりに使われる特定の拡張子を支援するプログラムの脆弱点を用いてファイルに隠された任意のコードを実行する技法で多くの攻撃がなされている。この技法は、非正常コードが隠されたファイルがEメール、メッセンジャーなどに伝搬された時、ユーザがファイルを該当プログラムで実行しさえすれば、非正常コードによるプロセスが実行されるため、一般ユーザとしては攻撃を受けた事実を知ることが難しい威嚇だけでなく、その攻撃によって該当システムに及ぼす影響力も相当である。
このような形式の非正常プロセスの動作を防ぐために、従来多くの方式が開発されたが、これらは、特定のマクロ方式を支援する方式であって、非正常プロセスが実行される場合のみに防御することができるものが大部分であった。
大韓民国特許登録第10−0628869号明細書 Recent Advances in Intrusion Detection (RAID) 2002, October 2002, Frank Apap et al., "Detecting Malicious Software By Monitoring Anomalous Windows(登録商標) Registry Accesses"
本発明の目的は、非正常プロセスの探知方法及び装置を提供することにある。
また、本発明の他の目的は、対象プロセスの子プロセスが生成するファイル生成時間を基準として正常プロセスから非正常プロセスを生成する悪性行為を探知することができる非正常プロセスの探知方法及び装置を提供することにある。
上記目的を達成するために、本発明の一側面によれば、コンピューティング環境で生成されるプロセスを確認するプロセス監視部と、前記プロセス監視部で確認されたプロセスのうち検査する対象プロセスをあらかじめ設定する対象プロセス設定部と、前記プロセス設定部で設定された対象プロセスがファイル生成時間の変更を要請するか否かを確認するファイル生成時間変更監視部と、前記対象プロセスがファイル生成時間の変更を要請する場合に、前記対象プロセスが要請したファイル生成時間の変更を防止するファイル生成時間変更防止部と、前記対象プロセス設定部で設定された対象プロセスの子プロセスがあらかじめ設定された基準時間以内に非正常ファイルを生成した場合、前記子プロセスを非正常プロセスとして判断する非正常プロセス探知部と、を含む非正常プロセスの探知装置を提供することができる。
好ましい実施例において、前記非正常プロセス探知部で非正常プロセスとして判断されたプロセスを強制終了する強制終了部と、前記非正常プロセス判断結果を出力する結果出力部とをさらに含むことができる。また、前記対象プロセス設定部で設定する対象プロセスは、あらかじめ設定された確認対象ファイルを実行するプロセスであることを特徴とすることができる。また、前記ファイル生成時間変更監視部は、前記対象プロセスが呼び出しするファイル生成時間変更APIを確認することを特徴とすることができる。また、前記ファイル生成時間変更防止部で前記対象プロセスの生成時間変更の防止は、前記対象プロセスで呼び出しするファイル時間変更APIを代替する代替関数を提供することを特徴とすることができる。また、前記子プロセスは、前記対象プロセス設定部で設定された対象プロセスによって生成されるプロセスであることを特徴とすることができる。また、前記対象プロセス設定部は、前記非正常プロセス探知部で前記子プロセスが非正常プロセスとして判断されない場合に、前記子プロセスを対象プロセスに設定することを特徴とすることができる。
本発明の他の側面によれば、コンピューティング環境で生成されるプロセスがあらかじめ設定された対象プロセスの子プロセスであるか否かを確認する段階と、前記子プロセスとして確認されたプロセスがあらかじめ設定された基準時間以内に非正常ファイルを生成した場合、前記プロセスを非正常プロセスとして認識する段階とを含む非正常プロセスの探知方法を提供することができる。
好ましい実施例において、前記あらかじめ設定された対象プロセスは、あらかじめ設定され確認対象ファイルを実行するプロセスであることを特徴とすることができる。また、前記子プロセスは、前記あらかじめ設定された対象プロセスによって生成されるプロセスであることを特徴とすることができる。また、前記生成されるプロセスがあらかじめ設定された対象プロセスである場合、前記生成されたプロセスがファイル生成時間を変更するためのAPI(Application Program Interface)を呼び出しするか否かを確認し、前記APIを代替する代替関数を提供する段階をさらに含むことができる。また、前記子プロセスとして確認されたプロセスがファイルを生成する時間があらかじめ設定された基準時間より長時間である場合、前記プロセスを対象プロセスに登録する段階をさらに含むことができる。また、前記非正常プロセスとして認識されたプロセスを強制終了する段階をさらに含むことができる。
本発明によれば、非正常プロセスの探知方法及び装置を提供することができる。
また、本発明によれば、対象プロセスの子プロセスが生成するファイルの生成時間を基準として正常プロセスから非正常プロセスを生成する悪性行為を探知することができる非正常プロセスの探知方法及び装置を提供することができる。
以下、添付の図面を参照して本発明について詳細に説明する。
図1は、従来の非正常プロセスの探知方法と本発明に係る非正常プロセスの探知方法との差異を概略的に示す図である。
図1を参照すれば、参照番号101、103の方法は、従来の非正常プロセスの探知方法を説明している。
従来の非正常プロセスの探知方法は、検査対象プロセス101が存在する場合、この検査対象プロセス101に含まれる非正常プロセスだけを検索して除去することを目的とした。したがって、検査対象プロセス101が実行される場合に、その実行によって形成される子プロセス及び前記子プロセスによってさらに生成されるプロセス103が存在すれば、前記検査対象プロセス101が正常なプロセスを行う場合、このような子プロセス103は、検査対象にならないという短所が存在した。特に、対象プロセスが特定のファイル、例えばマイクロソフト社のワードプログラムや、ハングルとコンピュータ社のワードプロセッサープログラムのように汎用的に使われる場合には、このような特定のプログラムに含まれたマクロを用いて実行される子プロセスを感知する方法は、従来存在したが、そのような方法以外に不特定の方式で非正常のプロセスをさらに生成する方式では検査することができなかった。
これに比べて、本発明に係る非正常プロセスの探知方法は、検査対象プロセス111が存在すれば、この検査対象プロセスが正常に動作しながら生成した子プロセス113をも全て検査が可能である。
本発明は、子プロセス113が生成されれば、生成された子プロセスが正常なプロセスであるか否かを判断し、子プロセスが正常なプロセスとして判断される場合、子プロセスも検査対象プロセスに設定(115)し、子プロセスが生成する他の子プロセスをも検査することができるようになる。
このような方法によって検査対象プロセスが子プロセスを生成し、さらにそのプロセスが他の子プロセスを生成するなどいろいろな段階を経て非正常プロセスが発生しても全て対応することができるようになる。
図2は、本発明に係る非正常プロセスの探知装置を機能的に示すブロック図である。
図2を参照すれば、まず、本発明に係る非正常プロセスの探知装置は、大きくユーザインタフェース201と非正常プロセス探知部210とに構成され、非正常プロセス探知部210は、対象プロセス設定部211、プロセス監視部213、ファイル生成時間変更監視部215、生成時間変更防止部217、非正常プロセス探知部219、結果出力部221及び強制終了部223を含む。
ユーザインタフェース201は、コンピューティング環境でユーザが非正常プロセスを探知するために本発明に係る方法や装置を使用する場合に、その使用の便宜を助けるために本発明に係る方法を説明したり、ユーザが操作しやすいように表現する機能を担当する。これは、グラフィックユーザーインタフェースや他の環境を用いてユーザの便宜を助けて本発明を適切に利用するようにする。
非正常プロセス探知部210は、本発明の核心的な部分であって、ユーザインタフェース201からユーザの命令を受けて、実質的に非正常プロセスを探知し除去する役目を担当する。
対象プロセス設定部211は、ユーザや製作社によって非正常プロセスを含む可能性があるプロセスに設定されるプロセスを保存し、本発明が実行されることによって追加されるプロセスを設定する役目を担当する。このような対象プロセス設定部211は、検査対象ファイルを設定し、検査対象ファイルに設定されたファイルが実行するために検査対象ファイルを処理するプロセスを対象プロセスに設定する方式で対象プロセスを設定するようになる。例えば、マイクロソフト社のエクセルプログラムが対象プロセスに設定される場合、拡張子がxlsであるファイルを設定し、前記ファイルを処理するプロセスを対象プロセスに設定する方式である。
また、前記対象プロセスが実行されながらイメージファイルを生成し、そのイメージファイルを処理するために生成されるプロセスである対象プロセスの子プロセスである場合にも、特定の基準が満足されれば、対象プロセスに設定されるようになる。このような特定の基準は、以下の図面で詳細に説明する。
プロセス監視部213は、本発明が適用されるコンピューティング環境で実行されるプロセスを監視する役目を担当する。このようなプロセス監視部213は、対象プロセス設定部211に設定されたプロセスが生成され実行されるか否かを監視するために、該当コンピューティング環境で実行されるプロセスを監視するようになる。
ファイル生成時間変更監視部215は、プロセス監視部213で監視されたプロセスのうち対象プロセス設定部211に設定された対象プロセスが実行される場合に、そのプロセスがプロセスのファイル生成時間を変更しようとする試みをするか否かを確認する機能を担当する。
このようなファイル生成時間変更監視部215は、対象プロセスがファイル生成時間を変更するために、生成時間の変更に関連するAPI(Application Program Interface)を呼び出しする場合に、その呼び出し信号を感知する形態でプロセスのファイル生成時間変更試みを感知する。
ファイル生成時間変更防止部217は、ファイル生成時間変更監視部215で対象プロセスがファイル生成時間を変更しようとする試みを感知した場合に実行される部分であり、ファイル生成時間変更防止部217は、対象プロセスがファイル生成時間変更のために関連するAPIを呼び出しする場合に、対象プロセスが元来呼び出ししようとしたAPIの代わりにファイル生成時間変更防止部217が含んでいる代替関数を提供することによって、対象プロセスが生成時間を変更しようとする試みを無力化させる役目を担当する。
非正常プロセス探知部219は、プロセス監視部213で感知されたプロセスが対象プロセス設定部211に設定された対象プロセスの子プロセスである場合に、このような子プロセスのファイル生成時間を考慮してこの子プロセスを非正常プロセスとして判断する役目を担当する。このような非正常プロセス探知部219は、非正常プロセスをファイル生成時間を通じて判断するので、非正常プロセスが自身のファイル生成時間を変更する場合には、非正常プロセスで探知することが難しい。したがって、前述したファイル生成時間変更監視部215及びファイル生成時間変更防止部217が存在してプロセスの生成時間を変更しないように防止する。
強制終了部223は、非正常プロセス探知部219で非正常プロセスとして判断したプロセスの実行を強制的に終了させる部分である。したがって、実質的に非正常プロセスの実行を遮断する部分として見ることができる。
結果出力部221は、前述した方式で非正常プロセスを処理し、その結果をユーザインタフェース201を通じてユーザに表示する役目を担当する。
図3は、本発明で非正常プロセス探知のための対象プロセスを設定する方法を概略的に示す図である。
図3を参照すれば、まず、本発明に係る非正常プロセス探知プログラムが実行される(段階301)。すると、プログラムであらかじめ設定された対象プロセスがローディングされて設定され(段階303)、コンピュータ装置で実行されるプロセスの監視が実行される(段階305)。
この時、監視を実行する途中に設定された対象プロセスの子プロセスが生成されることを感知する場合(段階307)、生成された子プロセスが非正常プロセスであるか否かを判断し、非正常プロセスでないと判断されれば、前記生成された子プロセスを自動で監視対象プロセスに設定する(段階309)。
このような順序は、本発明が実行される間に対象プロセスの子プロセスを自動で設定する方法に関するもので、このような方式によって対象プロセスの子プロセスが何段階を経て下位構造で生成されても相変らずその下位の子プロセスを監視することができるようになる。
但し、対象プロセス自体は、ユーザが実行前に指定したり、製作社で製作時に対象プロセスを設定することができる。もちろん一般的なワクチンプログラムで使われるもののように、インターネットを介して対象プロセス目録を定期的に更新する方法もあり得る。
図4は、本発明に係る非正常プロセス判断方法を簡単に示す図である。
図4を参照すれば、まず、本発明に係るプログラムが実行される(段階401)。すると、前記図3で説明したように、対象プロセスが設定されコンピューティング環境で実行されるプロセスのうち対象プロセスを監視するプロセス監視が始まる(段階403)。この時、対象プロセスが生成され(段階407)、前記対象プロセスがプロセスのファイル生成時間を変更するための試みを行う場合、プロセスのファイル生成時間変更を禁止するために対象プロセスが呼び出しするAPIの代わりに他の関数を呼び出しするようにする(段階411)。
一方、対象プロセスの子プロセスが生成されれば(段階405)、前記子プロセスが生成したファイル生成時間を基準として非正常プロセスを判断する(段階409)。この時、非正常プロセスの判断基準時間は、設定された値によって異なり、本発明の例示では、1分に設定した。
次に、前記生成された子プロセスが非正常プロセスとして判断されれば、生成された子プロセスを強制終了し(段階413)、非正常プロセスの実行を遮断するようになる。
図5は、本発明の好ましい一実施例に係る非正常プロセスを探知するための全体的な順序を示す図である。
図5を参照すれば、まず、本発明に係る非正常プロセスの探知装置が動作を実行する(段階501)。
すると、あらかじめ設定された対象プロセスの監視を登録するようになる(段階503)。このように登録された対象プロセスが生成されるかについては、本発明に係る装置が続いて生成されるプロセスを監視するようになる。
このような場合、本発明に係る装置が実行されるうちに新しいプロセスの生成が感知されれば(段階505)、生成プロセスが設定された対象プロセスであるか否かを判断し(段階507)、新しいプロセスが生成されない場合、続いてプロセスの生成を監視するようになる。
ここで、生成プロセスが設定された対象プロセスである場合、前記対象プロセスがファイル生成時間の変更を試みるか否かを判断し(段階509)、前記対象プロセスがファイル生成時間の変更を試みる場合、ファイル生成時間変更APIを代替することができる本発明の装置に含まれた代替関数を代わりに呼び出しする(段階511)。もちろん対象プロセスがファイル生成時間の変更を試みない場合、対象プロセスを続いて監視するようになる。
一方、新しく生成されたプロセスが設定された対象プロセスの子プロセスである場合(段階513)、前記生成された子プロセスのファイル生成時間が基準時間以内であるか否かを判断し(段階515)、生成された子プロセスのファイル生成時間が基準時間以内である場合、このプロセスは、非正常のプロセスとして判断し(段階517)、生成された子プロセスを強制的に終了する(段階519)。
ここで、生成された子プロセスのファイル生成時間が基準時間より長時間である場合、これは、非正常プロセスでないものと判断し、生成された子プロセスをさらに対象プロセスに設定する(段階521)。
このような方式によって、対象プロセスの下位プロセスの子プロセスが何段階の下位に降りても全て監視をすることができるようになる。
以上において説明した本発明は、本発明が属する技術の分野における通常の知識を有する者であれば、本発明の技術的思想を逸脱しない範囲内で、様々な置換、変形及び変更が可能であるので、上述した実施例及び添付された図面に限定されるものではない。
従来の非正常プロセスの探知方法と本発明に係る非正常プロセスの探知方法との差異を概略的に示す図である。 本発明に係る非正常プロセスの探知装置を機能的に示すブロック図である。 本発明で非正常プロセス探知のための対象プロセスを設定する方法を概略的に示す図である。 本発明に係る非正常プロセス判断方法を簡単に示す図である。 本発明の好ましい一実施例に係る非正常プロセスを探知するための全体的な順序を示す図である。
符号の説明
201 インタフェース
210 非正常プロセス探知部
211 対象プロセス設定部
213 プロセス監視部
215 ファイル生成時間変更監視部
217 ファイル生成時間変更防止部
219 非正常プロセス探知部
221 結果出力部
223 強制終了部

Claims (13)

  1. コンピューティング環境で生成されるプロセスを確認するプロセス監視部と、
    前記プロセス監視部で確認されたプロセスのうち検査する対象プロセスをあらかじめ設定する対象プロセス設定部と、
    前記プロセス設定部で設定された対象プロセスがファイル生成時間の変更を要請するか否かを確認するファイル生成時間変更監視部と、
    前記対象プロセスがファイル生成時間の変更を要請する場合に、前記対象プロセスが要請したファイル生成時間の変更を防止するファイル生成時間変更防止部と、
    前記対象プロセス設定部で設定された対象プロセスの子プロセスがあらかじめ設定された基準時間以内に非正常ファイルを生成した場合、前記子プロセスを非正常プロセスとして判断する非正常プロセス探知部と、
    を含む非正常プロセスの探知装置。
  2. 前記非正常プロセス探知部で非正常プロセスとして判断されたプロセスを強制終了する強制終了部と、
    前記非正常プロセス判断結果を出力する結果出力部とをさらに含むことを特徴とする請求項1に記載の非正常プロセスの探知装置。
  3. 前記対象プロセス設定部で設定する対象プロセスは、あらかじめ設定された確認対象ファイルを実行するプロセスであることを特徴とする請求項1に記載の非正常プロセスの探知装置。
  4. 前記ファイル生成時間変更監視部は、前記対象プロセスが呼び出しするファイル生成時間変更APIを確認することを特徴とする請求項1に記載の非正常プロセスの探知装置。
  5. 前記ファイル生成時間変更防止部で前記対象プロセスの生成時間変更の防止は、前記対象プロセスで呼び出しするファイル時間変更APIを代替する代替関数を提供することを特徴とする請求項1に記載の非正常プロセスの探知装置。
  6. 前記子プロセスは前記対象プロセス設定部で設定された対象プロセスによって生成されるプロセスであることを特徴とする請求項1に記載の非正常プロセスの探知装置。
  7. 前記対象プロセス設定部は、前記非正常プロセス探知部で前記子プロセスが非正常プロセスとして判断されない場合に、前記子プロセスを対象プロセスに設定することを特徴とする請求項1に記載の非正常プロセスの探知装置。
  8. コンピューティング環境で生成されるプロセスがあらかじめ設定された対象プロセスの子プロセスであるか否かを確認する段階と、
    前記子プロセスとして確認されたプロセスがあらかじめ設定された基準時間以内にファイルを生成した場合、前記プロセスを非正常プロセスとして認識する段階と、
    を含む非正常プロセスの探知方法。
  9. 前記あらかじめ設定された対象プロセスは、あらかじめ設定された確認対象ファイルを実行するプロセスであることを特徴とする請求項8に記載の非正常プロセスの探知方法。
  10. 前記子プロセスは、前記あらかじめ設定された対象プロセスによって生成されるプロセスであることを特徴とする請求項8に記載の非正常プロセスの探知方法。
  11. 前記生成されるプロセスがあらかじめ設定された対象プロセスである場合、
    前記生成されたプロセスがファイル生成時間を変更するためのAPI(Application Program Interface)を呼び出しするか否かを確認し、前記APIを代替する代替関数を提供する段階をさらに含むことを特徴とする請求項8に記載の非正常プロセスの探知方法。
  12. 前記子プロセスとして確認されたプロセスがファイルを生成する時間があらかじめ設定された基準時間より長時間である場合、前記プロセスを対象プロセスに登録する段階をさらに含むことを特徴とする請求項8に記載の非正常プロセスの探知方法。
  13. 前記非正常プロセスとして認識されたプロセスを強制終了する段階をさらに含むことを特徴とする請求項8に記載の非正常プロセスの探知方法。
JP2008134440A 2007-09-07 2008-05-22 非正常プロセスの探知方法及び装置 Active JP4806428B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR10-2007-0090906 2007-09-07
KR1020070090906A KR100897849B1 (ko) 2007-09-07 2007-09-07 비정상 프로세스 탐지 방법 및 장치

Publications (2)

Publication Number Publication Date
JP2009064414A true JP2009064414A (ja) 2009-03-26
JP4806428B2 JP4806428B2 (ja) 2011-11-02

Family

ID=39929596

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2008134440A Active JP4806428B2 (ja) 2007-09-07 2008-05-22 非正常プロセスの探知方法及び装置

Country Status (4)

Country Link
US (1) US8091133B2 (ja)
EP (1) EP2034422A3 (ja)
JP (1) JP4806428B2 (ja)
KR (1) KR100897849B1 (ja)

Families Citing this family (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8316439B2 (en) * 2006-05-19 2012-11-20 Iyuko Services L.L.C. Anti-virus and firewall system
KR101256461B1 (ko) 2012-09-03 2013-04-19 주식회사 안랩 프로세스 실행 시점 판단장치 및 방법
KR101478327B1 (ko) * 2013-01-28 2014-12-31 네이버 주식회사 시스템 최적화 모니터링 및 오동작 방지 장치, 방법 및 컴퓨터 판독 가능한 기록 매체
US10089465B2 (en) 2015-07-24 2018-10-02 Bitdefender IPR Management Ltd. Systems and methods for tracking malicious behavior across multiple software entities
US10043005B2 (en) 2016-03-31 2018-08-07 Bitdefender IPR Management Ltd. Systems and methods for application control in virtualized environments
US10534910B1 (en) * 2016-10-04 2020-01-14 Hewlett-Packard Development Company, L.P. Using threat model to monitor host execution
US9734337B1 (en) * 2017-01-24 2017-08-15 Malwarebytes Inc. Behavior-based ransomware detection
US10873589B2 (en) 2017-08-08 2020-12-22 Sonicwall Inc. Real-time prevention of malicious content via dynamic analysis
US11151252B2 (en) 2017-10-13 2021-10-19 Sonicwall Inc. Just in time memory analysis for malware detection
US10685110B2 (en) * 2017-12-29 2020-06-16 Sonicwall Inc. Detection of exploitative program code
US10902122B2 (en) 2018-01-31 2021-01-26 Sonicwall Inc. Just in time memory analysis for malware detection
US11232201B2 (en) 2018-05-14 2022-01-25 Sonicwall Inc. Cloud based just in time memory analysis for malware detection
WO2021065069A1 (ja) * 2019-09-30 2021-04-08 株式会社オートネットワーク技術研究所 検知装置、車両、検知方法および検知プログラム
KR102560431B1 (ko) * 2022-09-21 2023-07-27 시큐레터 주식회사 자식 프로세스의 악성 행위를 검사하기 위한 방법 및 이를 위한 장치

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2003050662A1 (fr) * 2001-12-13 2003-06-19 Japan Science And Technology Agency Systeme d'execution securisee d'un logiciel
WO2004075060A1 (ja) * 2003-02-21 2004-09-02 Tabei, Hikaru コンピュータウィルス検出装置
JP2005100124A (ja) * 2003-09-25 2005-04-14 Dainippon Printing Co Ltd 不正アクセス監視システム
JP2007220007A (ja) * 2006-02-20 2007-08-30 Fujitsu Ltd セキュリティ管理プログラム、ジョブ投入管理プログラム、およびセキュリティ管理方法

Family Cites Families (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2001057629A2 (en) 2000-02-07 2001-08-09 Panacya, Inc. Computer security system indentifying suspect behaviour
US6981279B1 (en) * 2000-08-17 2005-12-27 International Business Machines Corporation Method and apparatus for replicating and analyzing worm programs
US20030051026A1 (en) * 2001-01-19 2003-03-13 Carter Ernst B. Network surveillance and security system
US7370360B2 (en) * 2002-05-13 2008-05-06 International Business Machines Corporation Computer immune system and method for detecting unwanted code in a P-code or partially compiled native-code program executing within a virtual machine
JP3794491B2 (ja) * 2002-08-20 2006-07-05 日本電気株式会社 攻撃防御システムおよび攻撃防御方法
US7152242B2 (en) * 2002-09-11 2006-12-19 Enterasys Networks, Inc. Modular system for detecting, filtering and providing notice about attack events associated with network security
US7631353B2 (en) * 2002-12-17 2009-12-08 Symantec Corporation Blocking replication of e-mail worms
KR100594870B1 (ko) * 2004-05-25 2006-07-03 배기봉 비정상 파일 및 프로세스의 탐지 제거 방법
EP1818907A4 (en) 2004-12-01 2008-06-25 Matsushita Electric Ind Co Ltd PLAYING DEVICE, IMAGE SYNTHESIS PROCEDURE, IMAGE SYNTHESIS PROGRAM AND INTEGRATED CIRCUIT
WO2006101549A2 (en) * 2004-12-03 2006-09-28 Whitecell Software, Inc. Secure system for allowing the execution of authorized computer program code
KR100628869B1 (ko) 2004-12-14 2006-09-27 한국전자통신연구원 악성 코드가 숨겨진 오피스 문서 탐지장치 및 그 방법
US20070067844A1 (en) * 2005-09-16 2007-03-22 Sana Security Method and apparatus for removing harmful software
US7930346B2 (en) * 2005-08-24 2011-04-19 Microsoft Corporation Security in peer to peer synchronization applications
KR20070029540A (ko) * 2005-09-10 2007-03-14 배기봉 특수 설계된 전자 mark 의 파일 삽입 및 파일 기본 속성기반으로 하는 신종 악성코드 탐지/제거 기능 및 패치 관리기능, 조기 경보 기능을 제공하는 시스템 종합 보안솔루션 구현 기법
US20070094496A1 (en) * 2005-10-25 2007-04-26 Michael Burtscher System and method for kernel-level pestware management
KR100870140B1 (ko) 2006-11-13 2008-11-24 한국전자통신연구원 악성 코드가 숨겨진 파일 탐지 장치 및 방법
US7620992B2 (en) * 2007-10-02 2009-11-17 Kaspersky Lab Zao System and method for detecting multi-component malware
US7472420B1 (en) * 2008-04-23 2008-12-30 Kaspersky Lab, Zao Method and system for detection of previously unknown malware components

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2003050662A1 (fr) * 2001-12-13 2003-06-19 Japan Science And Technology Agency Systeme d'execution securisee d'un logiciel
WO2004075060A1 (ja) * 2003-02-21 2004-09-02 Tabei, Hikaru コンピュータウィルス検出装置
JP2005100124A (ja) * 2003-09-25 2005-04-14 Dainippon Printing Co Ltd 不正アクセス監視システム
JP2007220007A (ja) * 2006-02-20 2007-08-30 Fujitsu Ltd セキュリティ管理プログラム、ジョブ投入管理プログラム、およびセキュリティ管理方法

Also Published As

Publication number Publication date
EP2034422A2 (en) 2009-03-11
EP2034422A3 (en) 2009-09-16
US20090070876A1 (en) 2009-03-12
US8091133B2 (en) 2012-01-03
KR100897849B1 (ko) 2009-05-15
JP4806428B2 (ja) 2011-11-02
KR20090025788A (ko) 2009-03-11

Similar Documents

Publication Publication Date Title
JP4806428B2 (ja) 非正常プロセスの探知方法及び装置
US7721333B2 (en) Method and system for detecting a keylogger on a computer
US10318730B2 (en) Detection and prevention of malicious code execution using risk scoring
US8719935B2 (en) Mitigating false positives in malware detection
RU2530210C2 (ru) Система и способ выявления вредоносных программ, препятствующих штатному взаимодействию пользователя с интерфейсом операционной системы
AU2009286432B2 (en) Heuristic method of code analysis
JP3900501B2 (ja) ネットワーク接続制御プログラム、ネットワーク接続の制御方法及びネットワーク接続制御システム
US20110314408A1 (en) Method and system for operating multiple web pages with anti-spoofing protection
KR20180032566A (ko) 다수 소프트웨어 개체들에 걸쳐서 악성 행동을 트래킹하기 위한 시스템들 및 방법들
US11120124B2 (en) Method for detecting a deviation of a security state of a computing device from a desired security state
JP6238093B2 (ja) マルウェアリスクスキャナー
JP2010262609A (ja) 効率的なマルウェアの動的解析手法
EP3093787A1 (en) Apparatus and method for detecting unsteady flow of program
EP3482335B1 (en) Mitigation of malicious actions associated with graphical user interface elements
CN110955894B (zh) 一种恶意内容检测方法、装置、电子设备及可读存储介质
US20220198013A1 (en) Detecting suspicious activation of an application in a computer device
JP4792352B2 (ja) ネットワーク接続制御プログラム、ネットワーク接続制御方法及びネットワーク接続制御システム
KR101716690B1 (ko) 데이터 무단 엑세스 차단 방법 및 그 기능이 구비된 컴퓨팅 장치
KR20110057297A (ko) 악성 봇 동적 분석 시스템 및 방법
KR100937010B1 (ko) 유해 프로세스 검출/차단 재발방지 방법
JP5580878B2 (ja) フックを利用したコンピュータセキュリティサービス提供方法、装置及びコンピュータ読み取り可能な記録媒体
CN106022131B (zh) 一种指令处理方法及装置
KR101585968B1 (ko) 웹 쉘 탐지 장치와 이를 이용한 함수 실행 제어 방법
JP2010073020A (ja) コンピュータウィルス検出装置、処理方法、及びプログラム。
JP2005234849A (ja) 監視装置及び監視方法及びプログラム

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20110330

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110408

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110708

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110726

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110812

R150 Certificate of patent or registration of utility model

Ref document number: 4806428

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140819

Year of fee payment: 3

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250