JP5956570B2 - ネットワークアクセス制御システムおよび方法 - Google Patents
ネットワークアクセス制御システムおよび方法 Download PDFInfo
- Publication number
- JP5956570B2 JP5956570B2 JP2014516890A JP2014516890A JP5956570B2 JP 5956570 B2 JP5956570 B2 JP 5956570B2 JP 2014516890 A JP2014516890 A JP 2014516890A JP 2014516890 A JP2014516890 A JP 2014516890A JP 5956570 B2 JP5956570 B2 JP 5956570B2
- Authority
- JP
- Japan
- Prior art keywords
- thread
- virtual address
- access control
- network
- network access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/22—Arrangements for preventing the taking of data from a data transmission channel without authorisation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Description
インターネット接続ファイアウォールは、ネットワークパケットに対して、該当パケットを送信または受信するプロセスのプロセス情報(プロセスIDと経路)を分析し(S11)、該当プロセスIDと経路が通信許可リストに含まれる場合は(S12)、該当パケットのトラフィックを許可する(S13)。ところが、該当プロセスIDと経路が通信許可リストに含まれない場合は(S12)、該当プロセスが送信または受信しようとするパケットを許可するか否かについてユーザーから検証を受ける(S14)。ユーザーが前記パケットの伝送を許可する場合は(S15)、通信許可リストに該当プロセスのプロセスIDと経路を追加し(S16)、該当パケットのトラフィックを許可する(S13)。一方、ユーザーが前記パケットの伝送を許可しない場合は(S15)、該当パケットのトラフィックを遮断する(S17)。
通常、インターネットエクスプローラー(iexplore.exe)は、WINDOWS(登録商標)OSの下で広く用いられるWebブラウザプログラムであって、アウトバウンドパケットやインバウンドパケットなどのトラフィックを随時発生する。よって、インターネットエクスプローラーで発生したパケットの伝送に対して検証が要請されると、ユーザーは特に疑いなく許可するだろう。その場合、インターネットエクスプローラーが外部に持ち出すアウトバウンドパケット、および外部からインターネットエクスプローラーに持ち込まれるインバウンドパケットが全てユーザーの追加検証なしで許可されるであろう。
図3は本発明に係るネットワークアクセス制御システムの構成ブロック図である。
本発明に係るネットワークアクセス制御システムは、プロセスに対してコードインジェクション基盤スレッドを探知するプロセス検査部310と、ネットワークフィルタリングによって、ネットワークにアクセスするネットワークパケットを探知し、探知された前記ネットワークパケットの通信主体が前記コードインジェクション基盤スレッドである場合は、前記探知されたネットワークパケットの伝送が遮断されるようにするネットワーク監視部320とを含む。
プロセス情報収集部311がプロセス別プロセス情報を収集する方法としては、多様な方法、たとえば、psapi.dllのEnumProcesses関数を用いてプロセスを列挙し、各プロセス別プロセス構造体を収集する方法や、ZwQuerySystemInformation関数を用いてプロセス情報を獲得し、プロセス別プロセス構造体を収集する方法、カーネル全域変数であるPspCidTableを調査してプロセス別プロセス構造体(EProcess)を収集する方法、カーネル全域変数であるPspCidTableを調査してスレッド構造体(EThread)を収集した後、スレッド構造体(EThread)のプロセスメンバーを介してプロセス構造体(EProcess)を収集する方法、任意のプロセスのプロセス構造体(EProcess)のハンドルテーブル(HandleTable)を検査し、残りのプロセス別プロセス構造体(EProcess)を収集する方法、実行されたプロセスを管理するcsrss.exeの内部プロセス情報項目を収集する方法、プロセス構造体(EProcess)のメモリ常駐パターンでメモリスキャンを介してプロセス別プロセス構造体(EProcess)を収集する方法、スレッド構造体(EThread)のメモリ常駐パターンでメモリスキャンを介してスレッド別スレッド構造体(ETread)を収集した後、収集されたスレッド構造体(EThread)のプロセスメンバーを介してプロセス別プロセス構造体(EProcess)を収集する方法などが含まれる。
http://msdn.microsoft.com/en-us/library/aa366907(v=vs.85).aspx
http://msdn.microsoft.com/en-us/library/ms810627.aspx
仮想アドレス空間調査部312bは、仮想アドレス空間情報収集部312aで収集した各仮想アドレス空間の属性情報を用いて、該当仮想アドレス空間にコードインジェクション(code injection)が行われているかを調査する。プロセスに正常的に挿入されてロードされるDLLファイルの場合、そのDLLファイルに割り当てられた仮想アドレス空間のメモリタイプはマップタイプ(Mapped Type)であり、プロテクトフラグ値は実行可能(executable)である。一方、プロセスにコードインジェクションされた場合、そのコードインジェクションされた仮想アドレス空間のメモリタイプはプライベートタイプ(Private Type)であり、プロテクトフラグ値は実行可能(executable)である。
図6は本発明に係るネットワークアクセス制御方法を示す動作流れ図である。
本発明に係るネットワークアクセス制御システムは、コンピュータで実行されるプロセス情報を収集する(S61)。次いで、収集された各プロセスに対して、コードインジェクションされた仮想アドレス空間領域を探知する(S62)。その後、そのコードインジェクションされた仮想アドレス空間にコードインジェクション基盤スレッドが存在するかを探知する(S63)。その次に、ネットワークパケットトラフィックが探知されると(S64)、前記コードインジェクション基盤スレッドをベースとして前記ネットワークパケットのトラフィックを許可または遮断する(S65)。
コードインジェクションされた仮想アドレス空間領域を探知する段階(S62)は、次のように行われる。ネットワークアクセス制御システムは、プロセスをなす仮想アドレス空間に対する情報を収集する(S71)。一つの仮想アドレス空間を検査対象仮想アドレス空間として選択し(S72)、前記検査対象仮想アドレス空間のメモリタイプがプライベートタイプであるか否かを検査する(S73)。段階S73で検査対象仮想アドレス空間のメモリタイプがプライベートタイプである場合は、前記検査対象仮想アドレス空間のプロテクトフラグ値が実行可能(EXECUTABLE)であるか否かを検査する(S74)。段階S74で検査対象仮想アドレス空間のプロテクトフラグ値が実行可能である場合は、前記検査対象仮想アドレス空間をコードインジェクション領域として判断し(S75)、コードインジェクションされた仮想アドレス空間の仮想アドレス範囲情報をコードインジェクション基盤スレッド探知部に伝達する(S76)。
ネットワークパケット制御段階(S65)は、次のように行われる。ネットワークアクセス制御システムは、ネットワークフィルタリングを行って、コンピュータで送受信されるネットワークパケットを収集する(S91)。そして、収集されたネットワークパケットのプロセスIDとスレッドIDおよび全体経路情報を収集する(S92)。前記プロセスIDおよびスレッドIDが遮断スレッドリストに含まれる場合は(S93)、前記収集されたネットワークパケットのトラフィックを遮断する(S94)。段階S93で前記収集されたネットワークパケットのプロセスIDおよびスレッドIDが遮断スレッドリストに含まれない場合は、前記プロセスIDが許可プロセスリストに含まれるか否かを検査する(S95)。段階S95でプロセスIDが許可プロセスリストに含まれる場合は、前記収集されたネットワークパケットのトラフィックを許可する(S96)。
311…プロセス情報収集部
312…コードインジェクション探知部
313…コードインジェクション基盤スレッド探知部
320…ネットワーク監視部
321…ネットワークフィルター部
322…ネットワーク遮断部
Claims (25)
- プロセスに含まれたコードインジェクション基盤スレッドを探知するプロセス検査部と、
ネットワークフィルタリングによって、ネットワークにアクセスするネットワークパケットを探知し、探知された前記ネットワークパケットの通信主体が前記コードインジェクション基盤スレッドである場合は、前記探知されたネットワークパケットのトラフィックが遮断されるようにするネットワーク監視部とを含み、
前記プロセス検査部は、コンピュータ上で実行されているプロセス情報を収集するプロセス情報収集部と、前記プロセス情報収集部で収集されたプロセスに対して、コードインジェクションされた領域を探知するコードインジェクション探知部と、前記コードインジェクションされた領域をベースとして生成されたスレッドを探知するコードインジェクション基盤スレッド探知部とを含むことを特徴とする、ネットワークアクセス制御システム。 - 前記プロセス情報収集部は、前記コンピュータ上で実行されているプロセス別にプロセス構造体を収集したことを特徴とする、請求項1に記載のネットワークアクセス制御システム。
- 前記コードインジェクション探知部は、前記収集されたプロセスに割り当てられた仮想アドレス空間の仮想アドレス範囲と属性情報を収集する仮想アドレス空間情報収集部と、前記仮想アドレス空間情報収集部で収集された仮想アドレス空間に対してコードインジェクション有無を調査する仮想アドレス空間調査部とを含むことを特徴とする、請求項1に記載のネットワークアクセス制御システム。
- 前記仮想アドレス空間情報収集部は、カーネルレベル(Kernel Level)でプロセス構造体(EProcess)のVadRootメンバーを検査し、前記収集されたプロセスに割り当てられた仮想アドレス空間の仮想アドレス範囲と属性情報を収集することを特徴とする、請求項3に記載のネットワークアクセス制御システム。
- 前記仮想アドレス空間情報収集部は、ユーザーレベル(User Level)でVirtualQueryEx関数を用いて、前記収集されたプロセスに割り当てられた仮想アドレス空間の仮想アドレス範囲と属性情報を収集することを特徴とする、請求項3に記載のネットワークアクセス制御システム。
- 前記仮想アドレス空間調査部は、前記仮想アドレス空間情報収集部で収集された前記仮想アドレス空間の属性情報のうち、メモリタイプがプライベートタイプ(Private type)でありかつプロテクトフラグ値が実行可能(executable)である場合は、前記仮想アドレス空間をコードインジェクション領域として判断することを特徴とする、請求項3に記載のネットワークアクセス制御システム。
- 前記コードインジェクション基盤スレッド探知部は、コンピュータ上で実行されているスレッド情報を収集するスレッド情報収集部と、前記スレッド情報収集部で収集されたスレッドの開始アドレス値と、前記仮想アドレス空間調査部から提供されたコードインジェクションされた仮想アドレス空間の仮想アドレス範囲とを比較して、前記収集されたスレッドの開始アドレス値が前記コードインジェクションされた仮想アドレス空間の仮想アドレス範囲に属する場合は、前記コードインジェクションされた仮想アドレス空間にコードインジェクション基盤スレッドが存在すると判断するアドレス比較部とを含むことを特徴とする、請求項3に記載のネットワークアクセス制御システム。
- 前記スレッド情報収集部は、プロセス構造体(EProcess)のスレッドリストヘッド(ThreadListHead)を検査し、前記コンピュータ上で実行されているスレッド情報を収集することを特徴とする、請求項7に記載のネットワークアクセス制御システム。
- 前記スレッド情報収集部は、ZwQuerySystemInformation関数を用いて、前記コンピュータ上で実行されているスレッド情報を収集することを特徴とする、請求項7に記載のネットワークアクセス制御システム。
- 前記ネットワーク監視部は、前記ネットワークパケットをフィルタリングするネットワークフィルター部と、前記ネットワークパケットの通信主体のプロセスIDおよびスレッドIDを基準に前記ネットワークパケットのトラフィックを許可または遮断するネットワーク遮断部とを含むことを特徴とする、請求項1に記載のネットワークアクセス制御システム。
- 前記ネットワークフィルター部は、カーネルレベルでネットワークフィルタードライバーを用いてネットワークフィルタリングすることを特徴とする、請求項10に記載のネットワークアクセス制御システム。
- 前記ネットワークフィルター部は、ユーザーレベルでプロセスが使用するソケット関数をフッキングしてネットワークフィルタリングすることを特徴とする、請求項10に記載のネットワークアクセス制御システム。
- ネットワークアクセス制御システムが、コンピュータで実行されるプロセス情報を収集する第1段階と、
前記ネットワークアクセス制御システムが、収集された前記プロセス情報でコードインジェクションされた領域を探知する第2段階と、
前記ネットワークアクセス制御システムが、前記コードインジェクションされた領域をベースとして生成されたコードインジェクション基盤スレッドを探知する第3段階と、
前記ネットワークアクセス制御システムが、ネットワークフィルタリングしてネットワークにアクセスするネットワークパケットのトラフィックを収集する第4段階と、
前記ネットワークアクセス制御システムが、前記第4段階で探知された前記ネットワークパケットの通信主体が前記コードインジェクション基盤スレッドである場合は、前記探知されたネットワークパケットのトラフィックが遮断されるようにする第5段階とを含んでなることを特徴とする、ネットワークアクセス制御方法。 - 前記第1段階は、前記コンピュータ上で実行されているプロセス別にプロセス構造体を収集することを特徴とする、請求項13に記載のネットワークアクセス制御方法。
- 前記第2段階は、前記ネットワークアクセス制御システムが、前記収集されたプロセスに割り当てられた仮想アドレス空間に対する情報を収集する第21段階と、
前記ネットワークアクセス制御システムが、検査対象仮想アドレス空間を選択し、前記検査対象仮想アドレス空間のメモリタイプとプロテクトフラグ値を検査する第22段階と、前記第22段階の検査結果、前記検査対象仮想アドレス空間のメモリタイプがプライベートタイプでありかつプロテクトフラグ値が実行可能(EXECUTABLE)である場合は、前記検査対象仮想アドレス空間をコードインジェクション領域として判断する第23段階とを含むことを特徴とする、請求項13に記載のネットワークアクセス制御方法。 - 前記第21段階は、カーネルレベル(Kernel Level)でプロセス構造体(EProcess)のVadRootメンバーを検査し、前記収集されたプロセスに割り当てられた仮想アドレス空間の仮想アドレス範囲と属性情報を収集することを特徴とする、請求項15に記載のネットワークアクセス制御方法。
- 前記第21段階は、ユーザーレベル(User Level)でVirtalQueryEx関数を用いて、前記収集されたプロセスに割り当てられた仮想アドレス空間の仮想アドレス範囲と属性情報を収集することを特徴とする、請求項15に記載のネットワークアクセス制御方法。
- 前記第3段階は、前記ネットワークアクセス制御システムが、前記コンピュータで実行されるスレッド情報を収集する第31段階と、
前記ネットワークアクセス制御システムが、検査対象スレッドを選択し、前記検査対象スレッドの開始アドレス値が前記コードインジェクションされた仮想アドレス空間の仮想アドレス範囲に属するかを比較する第32段階と、
前記第32段階の比較結果、前記検査対象スレッドの開始アドレス値が前記コードインジェクションされた仮想アドレス空間の仮想アドレス範囲に属する場合は、前記コードインジェクションされた仮想アドレス空間にコードインジェクション基盤スレッドが存在すると判断する第33段階とを含むことを特徴とする、請求項13に記載のネットワークアクセス制御方法。 - 前記第33段階後、前記コードインジェクション基盤スレッドのプロセスIDおよびスレッドIDを遮断スレッドリストに含むことを特徴とする、請求項18に記載のネットワークアクセス制御方法。
- 前記第31段階は、プロセス構造体(EProcess)のスレッドリストヘッド(ThreadListHead)を検査し、前記コンピュータ上で実行されているスレッド情報を収集することを特徴とする、請求項18に記載のネットワークアクセス制御方法。
- 前記第31段階は、ZwQuerySystemInformation関数を用いて、前記コンピュータ上で実行されているスレッド情報を収集することを特徴とする、請求項18に記載のネットワークアクセス制御方法。
- 前記第4段階は、カーネルレベルでネットワークフィルタードライバーを用いてネットワークフィルタリングすることを特徴とする、請求項13に記載のネットワークアクセス制御方法。
- 前記第4段階は、ユーザーレベルでプロセスが使用するソケット関数をフッキングしてネットワークフィルタリングすることを特徴とする、請求項13に記載のネットワークアクセス制御方法。
- 前記第5段階は、前記ネットワークアクセス制御システムが、前記コードインジェクション基盤スレッドのプロセスIDおよびスレッドIDを遮断スレッドリストに格納する第51段階と、
前記ネットワークアクセス制御システムが、前記収集されたネットワークパケットのプロセスIDとスレッドID情報を収集する第52段階と、
前記ネットワークアクセス制御システムが、前記第52段階で収集された前記プロセスIDおよびスレッドIDが前記遮断スレッドリストに含まれる場合は、前記収集されたネットワークパケットのトラフィックを遮断する第53段階と、
前記ネットワークアクセス制御システムが、前記収集されたネットワークパケットのプロセスIDおよびスレッドIDが遮断スレッドリストに含まれずかつ前記プロセスIDが許可プロセスリストに含まれる場合は、前記収集されたネットワークパケットのトラフィックを許可する第54段階とを含むことを特徴とする、請求項13に記載のネットワークアクセス制御方法。 - 前記第51段階は、前記ネットワークアクセス制御システムが、ユーザーの検証後、前記コードインジェクション基盤スレッドのプロセスIDおよびスレッドIDを遮断スレッドリストに格納することを特徴とする、請求項24に記載のネットワークアクセス制御方法。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR10-2011-0061162 | 2011-06-23 | ||
KR1020110061162A KR101206853B1 (ko) | 2011-06-23 | 2011-06-23 | 네트워크 접근 제어시스템 및 방법 |
PCT/KR2012/003215 WO2012176978A2 (ko) | 2011-06-23 | 2012-04-26 | 네트워크 접근 제어시스템 및 방법 |
Publications (3)
Publication Number | Publication Date |
---|---|
JP2014520338A JP2014520338A (ja) | 2014-08-21 |
JP2014520338A5 JP2014520338A5 (ja) | 2015-06-18 |
JP5956570B2 true JP5956570B2 (ja) | 2016-07-27 |
Family
ID=47423039
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2014516890A Active JP5956570B2 (ja) | 2011-06-23 | 2012-04-26 | ネットワークアクセス制御システムおよび方法 |
Country Status (4)
Country | Link |
---|---|
US (1) | US9246937B2 (ja) |
JP (1) | JP5956570B2 (ja) |
KR (1) | KR101206853B1 (ja) |
WO (1) | WO2012176978A2 (ja) |
Families Citing this family (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101421630B1 (ko) | 2013-01-28 | 2014-07-22 | 주식회사 잉카인터넷 | 코드 인젝션된 악성코드 탐지 시스템 및 방법 |
GB2510641A (en) * | 2013-02-12 | 2014-08-13 | F Secure Corp | Detecting suspicious code injected into a process if function call return address points to suspicious memory area |
KR101444141B1 (ko) * | 2013-05-03 | 2014-09-26 | 주식회사 잉카인터넷 | 악성스레드 처리 시스템 및 방법 |
US9407602B2 (en) * | 2013-11-07 | 2016-08-02 | Attivo Networks, Inc. | Methods and apparatus for redirecting attacks on a network |
US9710648B2 (en) | 2014-08-11 | 2017-07-18 | Sentinel Labs Israel Ltd. | Method of malware detection and system thereof |
US11507663B2 (en) | 2014-08-11 | 2022-11-22 | Sentinel Labs Israel Ltd. | Method of remediating operations performed by a program and system thereof |
US9690928B2 (en) * | 2014-10-25 | 2017-06-27 | Mcafee, Inc. | Computing platform security methods and apparatus |
US20160357958A1 (en) * | 2015-06-08 | 2016-12-08 | Michael Guidry | Computer System Security |
US11695800B2 (en) | 2016-12-19 | 2023-07-04 | SentinelOne, Inc. | Deceiving attackers accessing network data |
US11616812B2 (en) | 2016-12-19 | 2023-03-28 | Attivo Networks Inc. | Deceiving attackers accessing active directory data |
US10664594B2 (en) * | 2017-06-30 | 2020-05-26 | Microsoft Technology Licensing, Llc | Accelerated code injection detection using operating system controlled memory attributes |
WO2019032728A1 (en) | 2017-08-08 | 2019-02-14 | Sentinel Labs, Inc. | METHODS, SYSTEMS AND DEVICES FOR DYNAMICALLY MODELING AND REGROUPING END POINTS FOR ONBOARD NETWORKING |
US11470115B2 (en) | 2018-02-09 | 2022-10-11 | Attivo Networks, Inc. | Implementing decoys in a network environment |
WO2020236981A1 (en) | 2019-05-20 | 2020-11-26 | Sentinel Labs Israel Ltd. | Systems and methods for executable code detection, automatic feature extraction and position independent code detection |
US11579857B2 (en) | 2020-12-16 | 2023-02-14 | Sentinel Labs Israel Ltd. | Systems, methods and devices for device fingerprinting and automatic deployment of software in a computing network using a peer-to-peer approach |
US11899782B1 (en) | 2021-07-13 | 2024-02-13 | SentinelOne, Inc. | Preserving DLL hooks |
Family Cites Families (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20040089386A (ko) * | 2003-04-14 | 2004-10-21 | 주식회사 하우리 | 메모리를 감염시키는 바이러스의 치료방법, 프로그램을기록한 컴퓨터로 읽을 수 있는 기록매체 및 바이러스의치료장치 |
KR20050053401A (ko) * | 2003-12-02 | 2005-06-08 | 주식회사 하우리 | 컴퓨터 바이러스 방역방법과 그 프로그램을 기록한 기록매체 |
KR100468374B1 (ko) | 2004-07-06 | 2005-01-31 | 주식회사 잉카인터넷 | 네트워크 유해 트래픽 제어 장치 및 방법 |
KR100645983B1 (ko) * | 2005-08-31 | 2006-11-14 | (주)와이즈로직 | 불법 프로세스 검출 모듈 및 그 방법 |
JP4811033B2 (ja) * | 2006-01-30 | 2011-11-09 | 富士ゼロックス株式会社 | 情報処理装置 |
US8769672B2 (en) * | 2006-08-03 | 2014-07-01 | Symantec Corporation | Code injection prevention |
CN101350052B (zh) * | 2007-10-15 | 2010-11-03 | 北京瑞星信息技术有限公司 | 发现计算机程序的恶意行为的方法和装置 |
US8387139B2 (en) | 2008-02-04 | 2013-02-26 | Microsoft Corporation | Thread scanning and patching to disable injected malware threats |
KR20100078081A (ko) | 2008-12-30 | 2010-07-08 | (주) 세인트 시큐리티 | 커널 기반 시스템 행위 분석을 통한 알려지지 않은 악성코드 탐지 시스템 및 방법 |
KR101053470B1 (ko) | 2009-04-14 | 2011-08-03 | 박한규 | 유해 트래픽 제어 및 해킹을 차단하는 장치 및 방법 |
KR101161008B1 (ko) * | 2009-06-30 | 2012-07-02 | 주식회사 잉카인터넷 | 악성코드 탐지시스템 및 방법 |
KR101011145B1 (ko) * | 2010-06-15 | 2011-01-26 | 주식회사 파수닷컴 | 응용 모듈 삽입 장치, 응용 모듈 삽입 기능을 구비한 컴퓨팅 장치 및 응용 모듈 삽입 방법을 실행하기 위한 프로그램을 기록한 기록매체 |
-
2011
- 2011-06-23 KR KR1020110061162A patent/KR101206853B1/ko active IP Right Grant
-
2012
- 2012-04-26 JP JP2014516890A patent/JP5956570B2/ja active Active
- 2012-04-26 WO PCT/KR2012/003215 patent/WO2012176978A2/ko active Application Filing
- 2012-04-26 US US14/127,199 patent/US9246937B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
US9246937B2 (en) | 2016-01-26 |
WO2012176978A3 (ko) | 2013-02-14 |
KR101206853B1 (ko) | 2012-11-30 |
WO2012176978A2 (ko) | 2012-12-27 |
US20140157366A1 (en) | 2014-06-05 |
JP2014520338A (ja) | 2014-08-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5956570B2 (ja) | ネットワークアクセス制御システムおよび方法 | |
US8397292B2 (en) | Method and device for online secure logging-on | |
US7941854B2 (en) | Method and system for responding to a computer intrusion | |
US8205260B2 (en) | Detection of window replacement by a malicious software program | |
CN107612924B (zh) | 基于无线网络入侵的攻击者定位方法及装置 | |
KR100670826B1 (ko) | 인터넷 개인 정보 보호 방법 및 그 장치 | |
US20140053267A1 (en) | Method for identifying malicious executables | |
US20090300751A1 (en) | Unique packet identifiers for preventing leakage of sensitive information | |
CN107465702B (zh) | 基于无线网络入侵的预警方法及装置 | |
JPWO2006092931A1 (ja) | ネットワーク接続制御プログラム、ネットワーク接続の制御方法及びネットワーク接続制御システム | |
Zhang et al. | User intention-based traffic dependence analysis for anomaly detection | |
CN112351017B (zh) | 横向渗透防护方法、装置、设备及存储介质 | |
CN111901348A (zh) | 主动网络威胁感知与拟态防御的方法及系统 | |
CN105141573A (zh) | 一种基于web访问合规性审计的安全防护方法和系统 | |
CN113904820A (zh) | 网络入侵防护方法、系统、计算机及可读存储介质 | |
US8978150B1 (en) | Data recovery service with automated identification and response to compromised user credentials | |
CN109120626A (zh) | 安全威胁处理方法、系统、安全感知服务器及存储介质 | |
KR20090044202A (ko) | 웹페이지의 우회침입 탐지 및 매개변수 변조 침입 탐지를이용한 웹 보안 서비스 방법 및 그 시스템 | |
CN112583841B (zh) | 虚拟机安全防护方法及系统、电子设备和存储介质 | |
CN108429746B (zh) | 一种面向云租户的隐私数据保护方法及系统 | |
US20220337604A1 (en) | System And Method For Secure Network Access Of Terminal | |
CN111314370B (zh) | 一种业务漏洞攻击行为的检测方法及装置 | |
JP4792352B2 (ja) | ネットワーク接続制御プログラム、ネットワーク接続制御方法及びネットワーク接続制御システム | |
KR102495373B1 (ko) | 애플리케이션 검사 기반의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법 | |
CN106790102A (zh) | 一种基于url特征的qr码网络钓鱼识别方法及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20150422 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20150422 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20160524 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20160607 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20160616 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5956570 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |