JP2011233125A - 偽装仮想マシン情報を利用したインテリジェントボット対応方法及び装置 - Google Patents

偽装仮想マシン情報を利用したインテリジェントボット対応方法及び装置 Download PDF

Info

Publication number
JP2011233125A
JP2011233125A JP2010173732A JP2010173732A JP2011233125A JP 2011233125 A JP2011233125 A JP 2011233125A JP 2010173732 A JP2010173732 A JP 2010173732A JP 2010173732 A JP2010173732 A JP 2010173732A JP 2011233125 A JP2011233125 A JP 2011233125A
Authority
JP
Japan
Prior art keywords
virtual machine
information
camouflaged
user terminal
malicious
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2010173732A
Other languages
English (en)
Other versions
JP5094928B2 (ja
Inventor
閏 貞 ▲鄭▼
Yun Jeong Jeong
Yo Sik Kim
堯 植 金
Won Ho Kim
源 浩 金
Dong Soo Kim
東 洙 金
Xiang Jun Ru
相 均 盧
Young Tae Yoon
永 泰 尹
Cheol Won Lee
哲 源 李
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Electronics and Telecommunications Research Institute ETRI
Original Assignee
Electronics and Telecommunications Research Institute ETRI
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Electronics and Telecommunications Research Institute ETRI filed Critical Electronics and Telecommunications Research Institute ETRI
Publication of JP2011233125A publication Critical patent/JP2011233125A/ja
Application granted granted Critical
Publication of JP5094928B2 publication Critical patent/JP5094928B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2212/00Indexing scheme relating to accessing, addressing or allocation within memory systems or architectures
    • G06F2212/15Use in a specific computing environment
    • G06F2212/151Emulated environment, e.g. virtual machine
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/144Detection or countermeasures against botnets

Abstract

【課題】ユーザ端末がインテリジェントボットに感染されても、悪性プロセスを実行しないようにして、DDos攻撃または情報流出などの被害を予防する。
【解決手段】プロセスからの仮想マシン探知要請を全域フッキングする段階(S210)と、既保存された悪性プロセス情報に基づいて前記仮想マシン探知要請を伝達したプロセスが悪性プロセスに該当するか否かを判断する段階(S220)と、前記判断の結果、悪性プロセスに該当すれば、前記プロセスがインテリジェントボットによって生成されたものと判断し、偽装仮想マシン情報を前記プロセスにリターンする段階(S230)と、を含む。
【選択図】図2

Description

本発明は、偽装仮想マシン情報を利用したインテリジェントボット対応方法及び装置に関し、より詳細には、インテリジェントボットの悪性プロセスを中断するようにする偽装仮想マシン情報を利用したインテリジェントボット対応方法及び装置に関する。
インテリジェントボット(Intelligent Bots)は、ユーザの直接的な参加なしに正規的に情報を収集するか、またはサービスを行うプログラムを言う。一般的に、インテリジェントボットは、ユーザが提供したパラメータを使用してインターネットに接続された端末を検索し、ユーザが関心を持っている情報を収集し、ユーザに提供する。しかし、このようなインテリジェントボットは、その特性上、ユーザの意図によって悪性行為に使用されることができる。
したがって、保安専門家は、このようなインテリジェントボットを利用した悪性行為を分析するために、仮想マシン(Virtual Machine)を実行し、仮想マシン上でインテリジェントボットが実行されるようにして、悪性行為を分析及び追跡している。
しかし、インテリジェントボットの製作者は、このような仮想マシン実行を用いた方法に対応するために、仮想マシンの動作を探知する方法を使用している。このような仮想マシンの動作を探知する方法によれば、インテリジェントボットが仮想マシン上で動作するか否かを探知し、インテリジェントボットが仮想マシン上で動作するものと判断すれば、悪性行為を実行せずに終了する。
韓国登録特許第10−0927240号公報
本発明は、前述したような従来の問題点を解決するためになされたもので、その目的は、仮想マシンの動作を探知するインテリジェントボットが仮想マシン上で動作するものと判断するように、偽装仮想マシン情報を提供し、インテリジェントボットが悪性プロセスを中断するようにすることによって、ユーザ端末がインテリジェントボットに感染されても、悪性プロセスを実行しないようにして、DDos(distributed denial of service)攻撃または情報流出などの被害を予防することにある。
上記目的を達成するために、本発明の一実施例による偽装仮想マシン情報を利用したインテリジェントボット対応方法は、プロセスからの仮想マシン探知要請を全域フッキング(Global hooking)する段階と、既保存された悪性プロセス情報に基づいて前記仮想マシン探知要請を伝達したプロセスが悪性プロセスに該当するか否かを判断する段階と、前記判断結果、悪性プロセスに該当すれば、前記プロセスがインテリジェントボットによって生成されたものと判断し、偽装仮想マシン情報を前記プロセスにリターンする段階とを含む。
本発明の他の一実施例によれば、前記プロセスが悪性プロセスに該当するか否かを判断する段階は、前記プロセスがユーザ端末のファイルに対する接近、仮想マシンのネットワークアドレス検査及び前記ユーザ端末のレジストリに対する接近のうちいずれか1つを実行する悪性プロセスに該当するか否かを判断することができる。
本発明のさらに他の一実施例によれば、前記プロセスが悪性プロセスに該当するか否かを判断する段階は、前記プロセスが既保存された正常プロセスのリストであるホワイトリストに含まれるか否かを判断する段階をさらに含むことができる。
本発明のさらに他の一実施例によれば、前記プロセスが悪性プロセスに該当するか否かを判断する段階は、前記仮想マシン探知要請のバイナリーハッシュ値が既保存された悪性コードのハッシュ値と一致するか否かを判断する段階をさらに含むことができる。
本発明のさらに他の一実施例によれば、前記判断結果、一致しなければ、前記仮想マシン探知要請のバイナリーハッシュ値を保存する段階をさらに含むことができる。
本発明のさらに他の一実施例によれば、前記偽装仮想マシン情報は、ユーザ端末が仮想マシンを使用するものとして偽装するための偽装ファイル情報、偽装ネットワークアドレス情報及び偽装レジストリ情報のうち少なくともいずれか1つを含むことができる。
本発明のさらに他の一実施例によれば、前記判断結果、悪性プロセスに該当しなければ、ユーザ端末のウィンドウカーネル(Kernel)に前記仮想マシン探知要請を伝達する段階と、前記ユーザ端末のウィンドウカーネルから前記仮想マシン探知要請に対する正常値を受信し、前記プロセスにリターンする段階とをさらに含むことができる。
本発明の一実施例による偽装仮想マシン情報を利用したインテリジェントボット対応装置は、ユーザ端末が仮想マシンを使用するものとして偽装する偽装仮想マシン情報及び悪性プロセスを判断するための悪性プロセス情報を保存する仮想マシン情報データベースと、プロセスからの仮想マシン探知要請を全域フッキングし、前記仮想マシン情報データベースに保存された前記悪性プロセス情報に基づいて前記仮想マシン探知要請を伝達したプロセスが悪性プロセスに該当するか否かを判断し、前記判断結果、前記プロセスが悪性プロセスに該当すれば、前記仮想マシン情報データベースに保存された偽装仮想マシン情報を前記プロセスにリターンする全域フッキングモジュールとを含む。
本発明のさらに他の一実施例によれば、前記全域フッキングモジュールは、前記悪性プロセス情報に基づいて前記プロセスが前記ユーザ端末のファイルに対する接近を実行すれば、悪性プロセスであると判断し、前記仮想マシンに偽装するための偽装ファイル情報を前記仮想マシン情報データベースから受信し、前記プロセスにリターンするファイル制御モジュールと、前記悪性プロセス情報に基づいて前記プロセスが仮想マシンネットワークアドレス検査を実行すれば、悪性プロセスであると判断し、前記仮想マシンに偽装するための偽装ネットワークアドレス情報を前記仮想マシン情報データベースから受信し、前記プロセスにリターンするネットワーク制御モジュールと、前記悪性プロセス情報に基づいて前記プロセスが前記ユーザ端末のレジストリ接近を実行すれば、前記プロセスが悪性プロセスであると判断し、前記仮想マシンに偽装するための偽装レジストリ情報を前記仮想マシン情報データベースから受信し、前記プロセスにリターンするレジストリ制御モジュールとを含む。
本発明のさらに他の一実施例によれば、前記全域フッキングモジュールは、前記プロセスが前記仮想マシン情報データベースに保存された正常プロセスのリストであるホワイトリストに含まれなければ、前記プロセスが悪性プロセスであると判断することができる。
本発明のさらに他の一実施例によれば、前記全域フッキングモジュールは、前記仮想マシン探知要請のバイナリーハッシュ値が前記仮想マシン情報データベースに保存された悪性コードのハッシュ値と一致すれば、前記プロセスが悪性プロセスであると判断することができる。
本発明のさらに他の一実施例によれば、前記偽装仮想マシン情報は、前記ユーザ端末が仮想マシンを使用するものとして偽装するための偽装ファイル情報、偽装ネットワークアドレス情報及び偽装レジストリ情報のうち少なくともいずれか1つを含むことができる。
本発明のさらに他の一実施例によれば、前記悪性プロセス情報は、前記ユーザ端末のファイル、前記仮想マシンのネットワークアドレス及び前記ユーザ端末のレジストリのうち少なくともいずれか1つに接近するための情報を含むことができる。
本発明のさらに他の一実施例によれば、前記全域フッキングモジュールは、前記判断結果、悪性プロセスに該当しなければ、前記ユーザ端末のウィンドウカーネルに前記仮想マシン探知要請を伝達し、前記ユーザ端末のウィンドウカーネルから前記仮想マシン探知要請に対する正常値を受信し、前記プロセスにリターンすることができる。
本発明によれば、仮想マシンの動作を探知するインテリジェントボットが仮想マシン上で動作するものと判断するように偽装仮想マシン情報を提供し、インテリジェントボットが悪性プロセスを中断するようにして、ユーザ端末がインテリジェントボットに感染されても、悪性プロセスを実行しないようにして、DDos(Distributed denial of service)攻撃または情報流出などの2次被害を予防することができる。
本発明の一実施例による偽装仮想マシン情報を利用したインテリジェントボット対応装置の構成図である。 本発明の一実施例による偽装仮想マシン情報を利用したインテリジェントボット対応方法を説明するための流れ図である。 本発明の他の一実施例による偽装仮想マシン情報を利用したインテリジェントボット対応方法を説明するための流れ図である。
以下、本発明による実施例を添付の図面を参照して詳細に説明する。しかし、本発明が下記実施例に限定されるものではない。各図面に示された同一の参照符号は、同一の部材を示す。
図1は、本発明の一実施例による偽装仮想マシン情報を利用したインテリジェントボット対応装置の構成図である。図1を参照して本発明の一実施例による偽装仮想マシン情報を利用したインテリジェントボットに対応装置の構成を説明する。
図1に示されたように、本発明の一実施例によるインテリジェントボット対応装置100は、全域フッキングモジュール110及び仮想マシン情報データベース120を備えて構成される。
インテリジェントボット130がユーザ端末で仮想マシンを使用するか否かを判断するために、前記ユーザ端末にプロセスの実行のための仮想マシン(Virtual Machine)の探知要請を伝送すれば、全域フッキングモジュール110は、前記仮想マシンの探知要請を全域フッキング(Global hooking)する。
全域フッキングモジュール110は、仮想マシン情報データベース120に保存された悪性プロセス情報に基づいて前記仮想マシン探知要請を伝達したプロセスが悪性プロセスに該当するか否かを判断する。
仮想マシン情報データベース120は、ユーザ端末が仮想マシンを使用するものとして偽装する偽装仮想マシン情報及び悪性プロセスを判断するための悪性プロセス情報を保存する。仮想マシン情報データベース120に保存される前記悪性プロセス情報は、前記ユーザ端末のファイル、前記仮想マシンのネットワークアドレス及び前記ユーザ端末のレジストリのうち少なくともいずれか1つに接近するための情報を含むことができる。
したがって、全域フッキングモジュール110は、前記プロセスが悪性プロセスに該当するものと判断すれば、前記ユーザ端末で仮想マシンを使用するものとして偽装するための偽装仮想マシン情報を仮想マシン情報データベース120から読み込んで、前記プロセスを実行したインテリジェントボット130にリターンする。この際、前記偽装仮想マシン情報は、仮想マシン情報データベース120に保存され、前記ユーザ端末が仮想マシンを使用するものとして偽装するための偽装ファイル情報、偽装ネットワークアドレス情報及び偽装レジストリ情報のうち少なくともいずれか1つを含むことができる。
以下では、全域フッキングモジュール110についてさらに詳細に説明する。
全域フッキングモジュール110は、ファイル制御モジュール111、ネットワーク制御モジュール112及びレジストリ制御モジュール113を備えて構成されることができる。
ファイル制御モジュール111は、仮想マシン情報データベース120に保存された悪性プロセス情報を参照して前記プロセスがユーザ端末のファイルに対する接近を実行すれば、前記プロセスを悪性プロセスであると判断する。それによって、ファイル制御モジュール111は、前記仮想マシンに偽装するための偽装ファイル情報を仮想マシン情報データベース120から受信し、前記プロセスを実行したインテリジェントボット130にリターンすることができる。
また、ネットワーク制御モジュール112は、仮想マシン情報データベース120に保存された悪性プロセス情報を参照して前記プロセスが仮想マシンネットワークアドレス検査を実行すれば、前記プロセスを悪性プロセスであると判断する。それによって、ネットワーク制御モジュール112は、前記仮想マシンに偽装するための偽装ネットワークアドレス情報を仮想マシン情報データベース120から受信し、前記プロセスを実行したインテリジェントボット130にリターンすることができる。
また、レジストリ制御モジュール113は、仮想マシン情報データベース120に保存された悪性プロセス情報を参照して前記プロセスが前記ユーザ端末のレジストリ接近を実行する要請なら、前記プロセスを悪性プロセスであると判断する。それによって、レジストリ制御モジュール113は、前記仮想マシンに偽装するための偽装レジストリ情報を仮想マシン情報データベース120から受信し、前記プロセスを実行したインテリジェントボット130にリターンすることができる。
それに加えて、全域フッキングモジュール110は、前記仮想マシン探知要請のバイナリーハッシュ値が仮想マシン情報データベース120に保存された悪性コードのハッシュ値と一致すれば、前記プロセスが悪性プロセスであると判断するように構成されることができる。
一方、全域フッキングモジュール110は、前記プロセスが仮想マシン情報データベース120に保存された正常プロセスのリストであるホワイトリストに含まれるか否かを判断し、前記判断結果、ホワイトリストに含まれない場合にのみ、上記のような悪性プロセスの判断を行うように構成されることができる。
全域フッキングモジュール110は、前記仮想マシン探知要請を伝達したプロセスが悪性プロセスではないものと判断するか、前記プロセスが前記ホワイトリストに含まれれば、前記プロセスが正常プロセスであると判断することができる。全域フッキングモジュール110は、上記のように、プロセスが正常プロセスであると判断すれば、前記ユーザ端末のウィンドウカーネル(Kernel)140に前記仮想マシン探知要請を伝達し、前記ユーザ端末のウィンドウカーネル140から前記仮想マシン探知要請に対する正常値を受信し、前記プロセスを実行したインテリジェントボット130にリターンすることができる。
一方、本発明の一実施例によるインテリジェントボット130からの仮想マシン探知要請は、VMwareまたはCW Sandboxなどで具現される仮想マシン(Virtual Machine)を対象にした要請であることができる。
したがって、本発明の一実施例によれば、仮想マシンの動作を探知するインテリジェントボットが仮想マシン上で動作するものと判断するように偽装仮想マシン情報を提供し、インテリジェントボットが悪性プロセスを中断するようにすることができる。
図2は、本発明の一実施例による偽装仮想マシン情報を利用したインテリジェントボット対応方法を説明するための流れ図である。図2を参照して、本発明の一実施例による偽装仮想マシン情報を利用したインテリジェントボット対応方法を説明する。
本発明の一実施例によれば、インテリジェントボット対応装置は、プロセスからの仮想マシン探知要請を全域フッキングする(S210)。
インテリジェントボット対応装置は、既保存された悪性プロセスに基づいて前記仮想マシン探知要請を伝達したプロセスが悪性プロセスに該当するか否かを判断する(S220)。
インテリジェントボット対応装置は、前記判断結果、悪性プロセスに該当すれば、偽装仮想マシン情報を前記プロセスにリターンし、この際、前記偽装仮想マシン情報は、ユーザ端末が仮想マシンを使用するものとして偽装するための情報である(S230)。
一方、インテリジェントボット対応装置は、前記プロセスが悪性プロセスに該当しないものと判断すれば、前記ユーザ端末のウィンドウカーネルに前記仮想マシン探知要請を伝達することができる(S240)。その後、インテリジェントボット対応装置は、前記ユーザ端末のウィンドウカーネルから前記仮想マシン探知要請に対する正常値を受信し、前記プロセスにリターンすることができる(S250)。
図3は、本発明の他の一実施例による偽装仮想マシン情報を利用したインテリジェントボット対応方法を説明するための流れ図である。図3を参照して本発明のさらに他の一実施例による偽装仮想マシン情報を利用したインテリジェントボット対応方法を説明する。
インテリジェントボット対応装置は、プロセスからの仮想マシン探知要請を全域フッキングし(S310)、前記プロセスがホワイトリストに含まれるか否かを判断することができる(S320)。この際、前記ホワイトリストは、正常プロセスのリストとして仮想マシン情報データベースに保存される。
インテリジェントボット対応装置は、前記判断結果、前記プロセスが前記ホワイトリストに含まれない場合、前記プロセスが前記ユーザ端末のファイルに対する接近、仮想マシンのネットワークアドレス検査及び前記ユーザ端末のレジストリに対する接近のうちいずれか1つを実行するプロセスであるか否かを判断することができる(S330)。
インテリジェントボット対応装置は、前記プロセスが前記ユーザ端末のファイルに対する接近、仮想マシンのネットワークアドレス検査及び前記ユーザ端末のレジストリに対する接近のうちいずれか1つを実行するプロセスであると判断すれば、前記仮想マシン探知要請のバイナリーハッシュ値が仮想マシン情報データベースに保存されている悪性コードのハッシュ値と一致するか否かによって悪性プロセスであるか否かを判断することができる(S335)。
例えば、インテリジェントボット対応装置は、前記プロセスが00−05−69−xx−xx−xx、00−0c−29−xx−xx−xx、00−50−56−xx−xx−xxなどのように、仮想マシンで使用するMACアドレスに接近するか否かによって悪性プロセスであるか否かを判断するか、前記レジストリに接近し、仮想マシンで使用するプロダクト(product)ID、ハードドライバー、ビデオドライバーなどの情報に接近するか否かによって悪性プロセスであるか否かを判断することができる。
インテリジェントボット対応装置は、前記判断結果、前記プロセスが前記ユーザ端末のファイルに対する接近、仮想マシンのネットワークアドレス検査及び前記ユーザ端末のレジストリに対する接近のうちいずれか1つに該当し、前記仮想マシン探知要請のバイナリーハッシュ値が悪性コードのハッシュ値と一致し、悪性プロセスであると判断した場合には、ユーザ端末が仮想マシンを使用するものとして偽装するための偽装仮想マシン情報を前記プロセスを要請した前記プロセスにリターンする(S340)。この際、前記偽装仮想マシン情報は前記ユーザ端末が仮想マシンを使用するものとして偽装するための偽装ファイル情報、偽装ネットワークアドレス情報及び偽装レジストリ情報のうち少なくともいずれか1つを含むことができる。
一方、インテリジェントボット対応装置は、前記判断結果、前記プロセスが前記ホワイトリストに含まれるか、前記仮想マシン探知要請が前記ユーザ端末のファイルに対する接近、仮想マシンのネットワークアドレス検査及び前記ユーザ端末のレジストリに対する接近のうちいずれか1つに該当しないか、前記仮想マシン探知要請のバイナリーハッシュ値が悪性コードのハッシュ値と一致しないものと判断する場合には、前記プロセスが悪性プロセスに該当しないものと判断し、前記ユーザ端末のウィンドウカーネルに前記仮想マシン探知要請を伝達することができる(S350)。
また、前記プロセスがホワイトリストに含まれず、前記仮想マシン探知要請が前記ユーザ端末のファイルに対する接近、仮想マシンのネットワークアドレス検査及び前記ユーザ端末のレジストリに対する接近のうちいずれか1つに該当するが、前記仮想マシン探知要請のバイナリーハッシュ値が悪性コードハッシュ値と一致しない場合には、仮想マシン情報データベースに前記仮想マシン探知要請のバイナリーハッシュ値を保存する(S336)。この際、ファイル、プロセス、レジストリ、ネットワークに対する行為を別途の外部システムで分析して悪性可否を判断し、悪性の場合には、前記バイナリーハッシュ値を悪性コードハッシュ値として仮想マシン情報データベースに保存することができる。
それによって、インテリジェントボット対応装置は、前記ユーザ端末のウィンドウカーネルから前記仮想マシン探知要請に対する正常値を受信し、前記プロセスにリターンすることができる(S360)。
したがって、本発明によれば、仮想マシンの動作を探知するインテリジェントボットが仮想マシン上で動作するものと判断するように偽装仮想マシン情報を提供し、インテリジェントボットが悪性プロセスを中断するようにすることができる。したがって、本発明によれば、ユーザ端末がインテリジェントボットに感染されても、悪性プロセスを実行しないようにして、DDos(Distributed denial of service)攻撃または情報流出などの2次被害を予防することができる。
前述した本発明の実施例は、任意の多様な方法で具現されることができる。例えば、実施例は、ハードウェア、ソフトウェアまたはそれらの組み合わせを利用して具現されることができる。ソフトウェアで具現される場合に、多様な運営体制またはプラットフォームを利用する1つ以上のプロセッサ上で実行されるソフトウェアとして具現されることができる。追加的に、このようなソフトウェアは、多数の適合なプログラミング言語のうち任意のものを使用して作成されることができ、また、フレームワークまたは仮想マシンで実行される実行可能な機械語コードまたは中間コードにコンパイルされることができる。
また、本発明は、1つ以上のコンピューターまたは他のプロセッサ上で実行される場合、上記で論議された本発明の多様な実施例を具現する方法を行う1つ以上のプログラムが記録されたコンピュータで読み取り可能な媒体(例えば、コンピュータメモリ、1つ以上のプロッピィーディスク、コンパクトディスク、光学ディスク、磁気テープ、フラッシュメモリなど)で具現されることができる。
以上のように、本発明では具体的な構成要素などのような特定事項と限定された実施例及び図面によって説明されたが、これは、本発明のさらに全般的な理解を助けるために提供されるものに過ぎず、本発明は、上記実施例に限定されるものではなく、本発明の属する分野における通常的な知識を有する者ならこのような記載から多様な修正及び変形が可能である。したがって、本発明の思想は、説明された実施例に限って定められるものではなく、後述する特許請求範囲だけでなく、この特許請求範囲と均等または等価的変形があるすべてのものなどは、本発明思想の範疇に属すると言える。
100 インテリジェントボット対応装置
110 全域フッキングモジュール
111 ファイル制御モジュール
112 ネットワーク制御モジュール
113 レジストリ制御モジュール
120 仮想マシン情報データベース
130 インテリジェントボット
140 ウィンドウカーネル

Claims (14)

  1. プロセスからの仮想マシン探知要請を全域フッキング(Global hooking)する段階と、
    既保存された悪性プロセス情報に基づいて前記仮想マシン探知要請を伝達したプロセスが悪性プロセスに該当するか否かを判断する段階と、
    前記判断の結果、悪性プロセスに該当すれば、前記プロセスがインテリジェントボットによって生成されたものと判断し、偽装仮想マシン情報を前記プロセスにリターンする段階と、
    を含む偽装仮想マシン情報を利用したインテリジェントボット対応方法。
  2. 前記プロセスが悪性プロセスに該当するか否かを判断する段階は、
    前記プロセスがユーザ端末のファイルに対する接近、仮想マシンのネットワークアドレス検査及び前記ユーザ端末のレジストリに対する接近のうちいずれか1つを実行する悪性プロセスに該当するか否かを判断することを特徴とする請求項1に記載の偽装仮想マシン情報を利用したインテリジェントボット対応方法。
  3. 前記プロセスが悪性プロセスに該当するか否かを判断する段階は、
    前記プロセスが既保存された正常プロセスのリストであるホワイトリストに含まれるか否かを判断する段階をさらに含むことを特徴とする請求項1に記載の偽装仮想マシン情報を利用したインテリジェントボット対応方法。
  4. 前記プロセスが悪性プロセスに該当するか否かを判断する段階は、
    前記仮想マシン探知要請のバイナリーハッシュ値が既保存された悪性コードのハッシュ値と一致するか否かを判断する段階をさらに含むことを特徴とする請求項1に記載の偽装仮想マシン情報を利用したインテリジェントボット対応方法。
  5. 前記判断の結果、一致しなければ、前記仮想マシン探知要請のバイナリーハッシュ値を保存する段階をさらに含むことを特徴とする請求項4に記載の偽装仮想マシン情報を利用したインテリジェントボット対応方法。
  6. 前記偽装仮想マシン情報は、
    ユーザ端末が仮想マシンを使用するものとして偽装するための偽装ファイル情報、偽装ネットワークアドレス情報及び偽装レジストリ情報のうち少なくともいずれか1つを含むことを特徴とする請求項1に記載の偽装仮想マシン情報を利用したインテリジェントボット対応方法。
  7. 前記判断の結果、悪性プロセスに該当しなければ、ユーザ端末のウィンドウカーネルに前記仮想マシン探知要請を伝達する段階と、
    前記ユーザ端末のウィンドウカーネルから前記仮想マシン探知要請に対する正常値を受信し、前記プロセスにリターンする段階と、
    をさらに含むことを特徴とする請求項1に記載の偽装仮想マシン情報を利用したインテリジェントボット対応方法。
  8. ユーザ端末が仮想マシンを使用するものとして偽装する偽装仮想マシン情報及び悪性プロセスを判断するための悪性プロセス情報を保存する仮想マシン情報データベースと、
    プロセスからの仮想マシン探知要請を全域フッキングし、前記仮想マシン情報データベースに保存された前記悪性プロセス情報に基づいて前記仮想マシン探知要請を伝達したプロセスが悪性プロセスに該当するか否かを判断し、前記判断の結果、前記プロセスが悪性プロセスに該当すれば、前記仮想マシン情報データベースに保存された偽装仮想マシン情報を前記プロセスにリターンする全域フッキングモジュールと、
    を含む偽装仮想マシン情報を利用したインテリジェントボット対応装置。
  9. 前記全域フッキングモジュールは、
    前記悪性プロセス情報に基づいて前記プロセスが前記ユーザ端末のファイルに対する接近を実行すれば、悪性プロセスであると判断し、前記仮想マシンに偽装するための偽装ファイル情報を前記仮想マシン情報データベースから受信し、前記プロセスにリターンするファイル制御モジュールと、
    前記悪性プロセス情報に基づいて前記プロセスが仮想マシンネットワークアドレス検査を実行すれば、悪性プロセスであると判断し、前記仮想マシンに偽装するための偽装ネットワークアドレス情報を前記仮想マシン情報データベースから受信し、前記プロセスにリターンするネットワーク制御モジュールと、
    前記悪性プロセス情報に基づいて前記プロセスが前記ユーザ端末のレジストリ接近を実行すれば、前記プロセスが悪性プロセスであると判断し、前記仮想マシンに偽装するための偽装レジストリ情報を前記仮想マシン情報データベースから受信し、前記プロセスにリターンするレジストリ制御モジュールと、
    を含むことを特徴とする請求項8に記載の偽装仮想マシン情報を利用したインテリジェントボット対応装置。
  10. 前記全域フッキングモジュールは、
    前記プロセスが前記仮想マシン情報データベースに保存された正常プロセスのリストであるホワイトリストに含まれなければ、前記プロセスが悪性プロセスであると判断することを特徴とする請求項8に記載の偽装仮想マシン情報を利用したインテリジェントボット対応装置。
  11. 前記全域フッキングモジュールは、
    前記仮想マシン探知要請のバイナリーハッシュ値が前記仮想マシン情報データベースに保存された悪性コードのハッシュ値と一致すれば、前記プロセスが悪性プロセスであると判断することを特徴とする請求項8に記載の偽装仮想マシン情報を利用したインテリジェントボット対応装置。
  12. 前記偽装仮想マシン情報は、
    前記ユーザ端末が仮想マシンを使用するものとして偽装するための偽装ファイル情報、偽装ネットワークアドレス情報及び偽装レジストリ情報のうち少なくともいずれか1つを含むことを特徴とする請求項8に記載の偽装仮想マシン情報を利用したインテリジェントボット対応装置。
  13. 前記悪性プロセス情報は、
    前記ユーザ端末のファイル、前記仮想マシンのネットワークアドレス及び前記ユーザ端末のレジストリのうち少なくともいずれか1つに接近するための情報であることを特徴とする請求項8に記載の偽装仮想マシン情報を利用したインテリジェントボット対応装置。
  14. 前記全域フッキングモジュールは、
    前記判断結果、悪性プロセスに該当しなければ、前記ユーザ端末のウィンドウカーネルに前記仮想マシン探知要請を伝達し、前記ユーザ端末のウィンドウカーネルから前記仮想マシン探知要請に対する正常値を受信し、前記プロセスにリターンすることを特徴とする請求項8に記載の偽装仮想マシン情報を利用したインテリジェントボット対応装置。
JP2010173732A 2010-04-28 2010-08-02 偽装仮想マシン情報を利用したインテリジェントボット対応方法及び装置 Expired - Fee Related JP5094928B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR1020100039358A KR101122646B1 (ko) 2010-04-28 2010-04-28 위장 가상 머신 정보를 이용한 인텔리전트 봇 대응 방법 및 장치
KR10-2010-0039358 2010-04-28

Publications (2)

Publication Number Publication Date
JP2011233125A true JP2011233125A (ja) 2011-11-17
JP5094928B2 JP5094928B2 (ja) 2012-12-12

Family

ID=43797722

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2010173732A Expired - Fee Related JP5094928B2 (ja) 2010-04-28 2010-08-02 偽装仮想マシン情報を利用したインテリジェントボット対応方法及び装置

Country Status (4)

Country Link
US (1) US8813226B2 (ja)
EP (1) EP2383671A1 (ja)
JP (1) JP5094928B2 (ja)
KR (1) KR101122646B1 (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2017191440A (ja) * 2016-04-13 2017-10-19 富士通株式会社 マルウエア解析装置、マルウエア解析方法及びマルウエア解析プログラム
JP2018081514A (ja) * 2016-11-17 2018-05-24 株式会社日立ソリューションズ マルウェアの解析方法及び記憶媒体
US10339314B2 (en) 2015-09-18 2019-07-02 Fujitsu Limited Device, method and storage medium for terminating operation of software that is not successfully verified

Families Citing this family (80)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8607347B2 (en) * 2008-09-29 2013-12-10 Sophos Limited Network stream scanning facility
US9501644B2 (en) * 2010-03-15 2016-11-22 F-Secure Oyj Malware protection
US20190158535A1 (en) * 2017-11-21 2019-05-23 Biocatch Ltd. Device, System, and Method of Detecting Vishing Attacks
US10476873B2 (en) 2010-11-29 2019-11-12 Biocatch Ltd. Device, system, and method of password-less user authentication and password-less detection of user identity
US10917431B2 (en) 2010-11-29 2021-02-09 Biocatch Ltd. System, method, and device of authenticating a user based on selfie image or selfie video
US10949514B2 (en) 2010-11-29 2021-03-16 Biocatch Ltd. Device, system, and method of differentiating among users based on detection of hardware components
US10747305B2 (en) 2010-11-29 2020-08-18 Biocatch Ltd. Method, system, and device of authenticating identity of a user of an electronic device
US10037421B2 (en) 2010-11-29 2018-07-31 Biocatch Ltd. Device, system, and method of three-dimensional spatial user authentication
US10970394B2 (en) 2017-11-21 2021-04-06 Biocatch Ltd. System, device, and method of detecting vishing attacks
US10032010B2 (en) 2010-11-29 2018-07-24 Biocatch Ltd. System, device, and method of visual login and stochastic cryptography
US11223619B2 (en) 2010-11-29 2022-01-11 Biocatch Ltd. Device, system, and method of user authentication based on user-specific characteristics of task performance
US10298614B2 (en) * 2010-11-29 2019-05-21 Biocatch Ltd. System, device, and method of generating and managing behavioral biometric cookies
US9483292B2 (en) 2010-11-29 2016-11-01 Biocatch Ltd. Method, device, and system of differentiating between virtual machine and non-virtualized device
US10685355B2 (en) * 2016-12-04 2020-06-16 Biocatch Ltd. Method, device, and system of detecting mule accounts and accounts used for money laundering
US10621585B2 (en) 2010-11-29 2020-04-14 Biocatch Ltd. Contextual mapping of web-pages, and generation of fraud-relatedness score-values
US10055560B2 (en) 2010-11-29 2018-08-21 Biocatch Ltd. Device, method, and system of detecting multiple users accessing the same account
US10949757B2 (en) 2010-11-29 2021-03-16 Biocatch Ltd. System, device, and method of detecting user identity based on motor-control loop model
US10404729B2 (en) 2010-11-29 2019-09-03 Biocatch Ltd. Device, method, and system of generating fraud-alerts for cyber-attacks
US10897482B2 (en) 2010-11-29 2021-01-19 Biocatch Ltd. Method, device, and system of back-coloring, forward-coloring, and fraud detection
US10083439B2 (en) 2010-11-29 2018-09-25 Biocatch Ltd. Device, system, and method of differentiating over multiple accounts between legitimate user and cyber-attacker
US10776476B2 (en) 2010-11-29 2020-09-15 Biocatch Ltd. System, device, and method of visual login
US11269977B2 (en) 2010-11-29 2022-03-08 Biocatch Ltd. System, apparatus, and method of collecting and processing data in electronic devices
US10262324B2 (en) 2010-11-29 2019-04-16 Biocatch Ltd. System, device, and method of differentiating among users based on user-specific page navigation sequence
US10586036B2 (en) 2010-11-29 2020-03-10 Biocatch Ltd. System, device, and method of recovery and resetting of user authentication factor
US10395018B2 (en) 2010-11-29 2019-08-27 Biocatch Ltd. System, method, and device of detecting identity of a user and authenticating a user
US10834590B2 (en) 2010-11-29 2020-11-10 Biocatch Ltd. Method, device, and system of differentiating between a cyber-attacker and a legitimate user
US11210674B2 (en) * 2010-11-29 2021-12-28 Biocatch Ltd. Method, device, and system of detecting mule accounts and accounts used for money laundering
US10728761B2 (en) 2010-11-29 2020-07-28 Biocatch Ltd. Method, device, and system of detecting a lie of a user who inputs data
US10069837B2 (en) * 2015-07-09 2018-09-04 Biocatch Ltd. Detection of proxy server
US10474815B2 (en) 2010-11-29 2019-11-12 Biocatch Ltd. System, device, and method of detecting malicious automatic script and code injection
US10069852B2 (en) 2010-11-29 2018-09-04 Biocatch Ltd. Detection of computerized bots and automated cyber-attack modules
US10164985B2 (en) 2010-11-29 2018-12-25 Biocatch Ltd. Device, system, and method of recovery and resetting of user authentication factor
US8555388B1 (en) 2011-05-24 2013-10-08 Palo Alto Networks, Inc. Heuristic botnet detection
US9215239B1 (en) 2012-09-28 2015-12-15 Palo Alto Networks, Inc. Malware detection based on traffic analysis
US9104870B1 (en) * 2012-09-28 2015-08-11 Palo Alto Networks, Inc. Detecting malware
GB2507779A (en) * 2012-11-09 2014-05-14 Ibm Terminating a virtual machine in response to user inactivity in a cloud computing environment
US9565202B1 (en) * 2013-03-13 2017-02-07 Fireeye, Inc. System and method for detecting exfiltration content
US9323925B2 (en) * 2013-05-30 2016-04-26 Trusteer, Ltd. Method and system for prevention of windowless screen capture
US9613210B1 (en) 2013-07-30 2017-04-04 Palo Alto Networks, Inc. Evaluating malware in a virtual machine using dynamic patching
US10019575B1 (en) 2013-07-30 2018-07-10 Palo Alto Networks, Inc. Evaluating malware in a virtual machine using copy-on-write
US9811665B1 (en) 2013-07-30 2017-11-07 Palo Alto Networks, Inc. Static and dynamic security analysis of apps for mobile devices
US9489516B1 (en) 2014-07-14 2016-11-08 Palo Alto Networks, Inc. Detection of malware using an instrumented virtual machine environment
US9716727B1 (en) 2014-09-30 2017-07-25 Palo Alto Networks, Inc. Generating a honey network configuration to emulate a target network environment
US9495188B1 (en) 2014-09-30 2016-11-15 Palo Alto Networks, Inc. Synchronizing a honey network configuration to reflect a target network environment
US9860208B1 (en) 2014-09-30 2018-01-02 Palo Alto Networks, Inc. Bridging a virtual clone of a target device in a honey network to a suspicious device in an enterprise network
US9882929B1 (en) 2014-09-30 2018-01-30 Palo Alto Networks, Inc. Dynamic selection and generation of a virtual clone for detonation of suspicious content within a honey network
US10044675B1 (en) 2014-09-30 2018-08-07 Palo Alto Networks, Inc. Integrating a honey network with a target network to counter IP and peer-checking evasion techniques
US9805193B1 (en) 2014-12-18 2017-10-31 Palo Alto Networks, Inc. Collecting algorithmically generated domains
US9542554B1 (en) 2014-12-18 2017-01-10 Palo Alto Networks, Inc. Deduplicating malware
US10417031B2 (en) * 2015-03-31 2019-09-17 Fireeye, Inc. Selective virtualization for security threat detection
GB2539705B (en) 2015-06-25 2017-10-25 Aimbrain Solutions Ltd Conditional behavioural biometrics
US11102238B2 (en) 2016-04-22 2021-08-24 Sophos Limited Detecting triggering events for distributed denial of service attacks
US10938781B2 (en) 2016-04-22 2021-03-02 Sophos Limited Secure labeling of network flows
US11277416B2 (en) 2016-04-22 2022-03-15 Sophos Limited Labeling network flows according to source applications
US11165797B2 (en) 2016-04-22 2021-11-02 Sophos Limited Detecting endpoint compromise based on network usage history
US10986109B2 (en) * 2016-04-22 2021-04-20 Sophos Limited Local proxy detection
GB2552032B (en) 2016-07-08 2019-05-22 Aimbrain Solutions Ltd Step-up authentication
US10356113B2 (en) 2016-07-11 2019-07-16 Korea Electric Power Corporation Apparatus and method for detecting abnormal behavior
US10198122B2 (en) 2016-09-30 2019-02-05 Biocatch Ltd. System, device, and method of estimating force applied to a touch surface
US10715548B2 (en) 2016-10-17 2020-07-14 Akamai Technologies, Inc. Detecting device masquerading in application programming interface (API) transactions
US10579784B2 (en) 2016-11-02 2020-03-03 Biocatch Ltd. System, device, and method of secure utilization of fingerprints for user authentication
US10397262B2 (en) 2017-07-20 2019-08-27 Biocatch Ltd. Device, system, and method of detecting overlay malware
CN107864156B (zh) * 2017-12-18 2020-06-23 东软集团股份有限公司 Syn攻击防御方法和装置、存储介质
US10956573B2 (en) 2018-06-29 2021-03-23 Palo Alto Networks, Inc. Dynamic analysis techniques for applications
US11010474B2 (en) 2018-06-29 2021-05-18 Palo Alto Networks, Inc. Dynamic analysis techniques for applications
CN110866250A (zh) * 2018-12-12 2020-03-06 哈尔滨安天科技集团股份有限公司 一种病毒防御方法、装置及电子设备
US11522905B2 (en) 2019-09-11 2022-12-06 International Business Machines Corporation Malicious virtual machine detection
US11196765B2 (en) 2019-09-13 2021-12-07 Palo Alto Networks, Inc. Simulating user interactions for malware analysis
US11265346B2 (en) 2019-12-19 2022-03-01 Palo Alto Networks, Inc. Large scale high-interactive honeypot farm
US11271907B2 (en) 2019-12-19 2022-03-08 Palo Alto Networks, Inc. Smart proxy for a large scale high-interaction honeypot farm
RU2738337C1 (ru) * 2020-04-30 2020-12-11 Общество С Ограниченной Ответственностью "Группа Айби" Система и способ обнаружения интеллектуальных ботов и защиты от них
US11797669B2 (en) 2020-06-22 2023-10-24 Bank Of America Corporation System for isolated access and analysis of suspicious code in a computing environment
US11880461B2 (en) 2020-06-22 2024-01-23 Bank Of America Corporation Application interface based system for isolated access and analysis of suspicious code in a computing environment
US11636203B2 (en) 2020-06-22 2023-04-25 Bank Of America Corporation System for isolated access and analysis of suspicious code in a disposable computing environment
US11269991B2 (en) * 2020-06-22 2022-03-08 Bank Of America Corporation System for identifying suspicious code in an isolated computing environment based on code characteristics
US11574056B2 (en) * 2020-06-26 2023-02-07 Bank Of America Corporation System for identifying suspicious code embedded in a file in an isolated computing environment
US11606353B2 (en) 2021-07-22 2023-03-14 Biocatch Ltd. System, device, and method of generating and utilizing one-time passwords
CN113626829A (zh) * 2021-08-10 2021-11-09 中国科学院软件研究所 基于漏洞情报的智能终端操作系统漏洞修复方法及系统
CN116796308B (zh) * 2023-02-03 2024-04-12 安芯网盾(北京)科技有限公司 一种基于Linux内核的伪装进程可执行程序检测方法及装置
CN116244757A (zh) * 2023-03-15 2023-06-09 武汉天楚云计算有限公司 一种计算机设备监测警报方法

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050076237A1 (en) * 2002-10-03 2005-04-07 Sandia National Labs Method and apparatus providing deception and/or altered operation in an information system operating system
JP2006127497A (ja) * 2004-10-29 2006-05-18 Microsoft Corp ユーザ変更可能ファイルの効率的なホワイトリスティング
WO2008023423A1 (fr) * 2006-08-24 2008-02-28 Duaxes Corporation Système de gestion de communication et procédé de gestion de communication associé
JP2008176352A (ja) * 2007-01-16 2008-07-31 Lac Co Ltd コンピュータプログラム、コンピュータ装置、及び動作制御方法
JP2009031859A (ja) * 2007-07-24 2009-02-12 Nippon Telegr & Teleph Corp <Ntt> 情報収集システムおよび情報収集方法
JP2010020713A (ja) * 2008-07-14 2010-01-28 Nippon Telegr & Teleph Corp <Ntt> アクセス監視システムおよびアクセス監視方法
JP2010134536A (ja) * 2008-12-02 2010-06-17 Ntt Docomo Inc パタンファイル更新システム、パタンファイル更新方法、及びパタンファイル更新プログラム

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040064737A1 (en) * 2000-06-19 2004-04-01 Milliken Walter Clark Hash-based systems and methods for detecting and preventing transmission of polymorphic network worms and viruses
KR100609710B1 (ko) 2004-11-25 2006-08-08 한국전자통신연구원 이상 트래픽 분석을 위한 네트워크 시뮬레이션 장치 및 그방법
US7603712B2 (en) * 2005-04-21 2009-10-13 Microsoft Corporation Protecting a computer that provides a Web service from malware
US7941850B1 (en) * 2005-12-23 2011-05-10 Symantec Corporation Malware removal system and method
KR100765340B1 (ko) 2006-03-30 2007-10-09 지니네트웍스(주) 가상의 인라인 네트워크 보안방법
KR100799302B1 (ko) * 2006-06-21 2008-01-29 한국전자통신연구원 시스템 이벤트 정보를 이용한 은닉 프로세스 탐지 시스템및 방법
US20080141376A1 (en) * 2006-10-24 2008-06-12 Pc Tools Technology Pty Ltd. Determining maliciousness of software
US8214895B2 (en) * 2007-09-26 2012-07-03 Microsoft Corporation Whitelist and blacklist identification data
KR100927240B1 (ko) 2008-12-29 2009-11-16 주식회사 이글루시큐리티 가상환경을 통한 악성코드탐지방법
US8353037B2 (en) * 2009-12-03 2013-01-08 International Business Machines Corporation Mitigating malicious file propagation with progressive identifiers
US9501644B2 (en) * 2010-03-15 2016-11-22 F-Secure Oyj Malware protection

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050076237A1 (en) * 2002-10-03 2005-04-07 Sandia National Labs Method and apparatus providing deception and/or altered operation in an information system operating system
JP2006127497A (ja) * 2004-10-29 2006-05-18 Microsoft Corp ユーザ変更可能ファイルの効率的なホワイトリスティング
WO2008023423A1 (fr) * 2006-08-24 2008-02-28 Duaxes Corporation Système de gestion de communication et procédé de gestion de communication associé
JP2008176352A (ja) * 2007-01-16 2008-07-31 Lac Co Ltd コンピュータプログラム、コンピュータ装置、及び動作制御方法
JP2009031859A (ja) * 2007-07-24 2009-02-12 Nippon Telegr & Teleph Corp <Ntt> 情報収集システムおよび情報収集方法
JP2010020713A (ja) * 2008-07-14 2010-01-28 Nippon Telegr & Teleph Corp <Ntt> アクセス監視システムおよびアクセス監視方法
JP2010134536A (ja) * 2008-12-02 2010-06-17 Ntt Docomo Inc パタンファイル更新システム、パタンファイル更新方法、及びパタンファイル更新プログラム

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10339314B2 (en) 2015-09-18 2019-07-02 Fujitsu Limited Device, method and storage medium for terminating operation of software that is not successfully verified
JP2017191440A (ja) * 2016-04-13 2017-10-19 富士通株式会社 マルウエア解析装置、マルウエア解析方法及びマルウエア解析プログラム
JP2018081514A (ja) * 2016-11-17 2018-05-24 株式会社日立ソリューションズ マルウェアの解析方法及び記憶媒体

Also Published As

Publication number Publication date
KR20110119929A (ko) 2011-11-03
JP5094928B2 (ja) 2012-12-12
EP2383671A1 (en) 2011-11-02
KR101122646B1 (ko) 2012-03-09
US8813226B2 (en) 2014-08-19
US20110271342A1 (en) 2011-11-03

Similar Documents

Publication Publication Date Title
JP5094928B2 (ja) 偽装仮想マシン情報を利用したインテリジェントボット対応方法及び装置
RU2531861C1 (ru) Система и способ оценки вредоносности кода, исполняемого в адресном пространстве доверенного процесса
US9135443B2 (en) Identifying malicious threads
US10055585B2 (en) Hardware and software execution profiling
US9280664B2 (en) Apparatus and method for blocking activity of malware
KR101122650B1 (ko) 정상 프로세스에 위장 삽입된 악성코드 탐지 장치, 시스템 및 방법
EP2653994B1 (en) Information security techniques including detection, interdiction and/or mitigation of memory injection attacks
US8516589B2 (en) Apparatus and method for preventing virus code execution
US20130067576A1 (en) Restoration of file damage caused by malware
US20190147163A1 (en) Inferential exploit attempt detection
EP2790122A2 (en) System and method for correcting antivirus records to minimize false malware detections
WO2014071867A1 (zh) 程序处理方法和系统,用于程序处理的客户端和服务器
KR20150124370A (ko) 악성 프로세스 행동을 검출하기 위한 방법, 장치 및 시스템
GB2485622A (en) Server detecting malware in user device.
US9910983B2 (en) Malware detection
CN112291258B (zh) 网关风险控制方法及装置
US20140283077A1 (en) Peer-aware self-regulation for virtualized environments
JP2017220195A (ja) 悪意のあるコンピュータシステムを検出するシステム及び方法
CN114065196A (zh) Java内存马检测方法、装置、电子设备与存储介质
US20120246723A1 (en) Windows kernel alteration searching method
CN105791221B (zh) 规则下发方法及装置
CN109495436B (zh) 一种可信云平台度量系统及方法
KR102292844B1 (ko) 악성코드 탐지 장치 및 방법
CN105653948B (zh) 一种阻止恶意操作的方法及装置
CN112199673A (zh) 权限提升行为的检测方法、装置及可读存储介质

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20120314

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20120403

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20120703

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20120706

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120710

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120828

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120918

R150 Certificate of patent or registration of utility model

Ref document number: 5094928

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150928

Year of fee payment: 3

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

R371 Transfer withdrawn

Free format text: JAPANESE INTERMEDIATE CODE: R371

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

LAPS Cancellation because of no payment of annual fees