KR100910761B1 - Anomaly Malicious Code Detection Method using Process Behavior Prediction Technique - Google Patents

Anomaly Malicious Code Detection Method using Process Behavior Prediction Technique Download PDF

Info

Publication number
KR100910761B1
KR100910761B1 KR1020070100391A KR20070100391A KR100910761B1 KR 100910761 B1 KR100910761 B1 KR 100910761B1 KR 1020070100391 A KR1020070100391 A KR 1020070100391A KR 20070100391 A KR20070100391 A KR 20070100391A KR 100910761 B1 KR100910761 B1 KR 100910761B1
Authority
KR
South Korea
Prior art keywords
behavior
atypical
module
prediction
malware
Prior art date
Application number
KR1020070100391A
Other languages
Korean (ko)
Other versions
KR20080047261A (en
Inventor
오형근
백승현
이철호
이도훈
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to US11/944,268 priority Critical patent/US8181248B2/en
Publication of KR20080047261A publication Critical patent/KR20080047261A/en
Application granted granted Critical
Publication of KR100910761B1 publication Critical patent/KR100910761B1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring

Abstract

본 발명은 알려지지 않은 악성코드에 의한 공격을 검출하고 이를 효과적으로 차단하는 패턴 검출/탐지 방법 및 그 시스템에 관한 것으로, 본 발명의 시스템 구성을 통해 알려진 악성코드는 1차적으로 DB 필터링 모듈에 의해 실행 전 우선적으로 필터링 되고, 이후 알려지지 않은 악성코드는 모니터링 후 가공된 행위 특성 패턴과 사전 학습되어 구축되어 있는 악성 행위 특징값(예측 패턴)과 비교하여 탐지되며, 탐지된 알려지지 않은 악성코드는 해당 시그니처 정보가 생성되어 DB 필터링 모듈로 전송됨으로써 이후에는 알려진 악성코드로 탐지되도록 한다.

Figure R1020070100391

악성코드, 프로세스 행위 모니터링, 행위 특성 추출, 악성 행위 예측, 비정형 악성코드 탐지

The present invention relates to a pattern detection / detection method and system for detecting an attack by an unknown malware and effectively blocking the same, wherein the malicious code known through the system configuration of the present invention is first executed by a DB filtering module. It is filtered first, and then unknown malware is detected by comparing the behavioral behavior pattern after monitoring and the malicious behavior characteristic value (prediction pattern) that has been pre-learned and constructed. It is generated and transmitted to the DB filtering module so that it can be detected as known malware later.

Figure R1020070100391

Malware, Process Behavior Monitoring, Behavior Characteristics Extraction, Malicious Behavior Prediction, Atypical Malware Detection

Description

프로세스 행위 예측 기법을 이용한 비정형 악성코드 탐지 방법 및 그 시스템{Anomaly Malicious Code Detection Method using Process Behavior Prediction Technique}Anomaly Malicious Code Detection Method using Process Behavior Prediction Technique

본 발명은 알려지지 않은 악성코드에 의한 공격을 검출하기 위해 시스템을 모니터링하여 해당 악성코드에 의해 발생되는 시스템 내 모든 행위를 조합, 재가공하고 학습시킴으로써 사전 악성 행위 특징값(예측 패턴)을 검출하고 이를 실행코드가 발생시키는 행위 패턴과 비교하여 효과적으로 공격을 차단하는 패턴 검출/탐지 방법 및 그 시스템에 관한 것이다.The present invention monitors a system to detect an attack by unknown malware, and detects and executes a pre-malignant behavior characteristic value (prediction pattern) by combining, reprocessing and learning all behaviors in the system caused by the malware. The present invention relates to a pattern detection / detection method and system for effectively blocking an attack compared to a behavior pattern generated by a code.

정보통신기술에 대한 의존도가 날로 심화됨에 따라 사회 주요 시설에 존재하는 취약성을 이용한 전자적 침해와 사이버위협에 대한 위험도가 증가하고 있다. 최근에는 피싱(Phishing) 및 파밍(Pharming)을 이용한 사회공학적인 해킹 공격과 애드웨어(Adware) 및 스파이웨어(Spyware)를 통해 개인 정보의 단순 유출에서부터 정치적 혹은 경제적 목적 달성에 이르기까지 악성코드의 기술이 다른 분야와 접목해서 보다 조직화, 전문화, 목적화되고 있다. 또한, 인터넷 웜 및 바이러스는 정보통신기술에 내재해 있는 취약점을 악용하여 로컬 PC를 공격하는 추세에서 인터넷과 같은 정보통신기술 인프라로 또는 이를 기반으로 하는 서비스를 공격하는 추세로 전환되고 있다.As the dependence on information and communication technology increases, the risk of electronic infringement and cyber threats using vulnerabilities existing in major facilities of society increases. In recent years, the technology of malware from social engineering hacking attacks using phishing and pharming, through the adware and spyware, from simple leakage of personal information to achieving political or economic purposes. Combined with these other areas, they are more organized, specialized and targeted. In addition, Internet worms and viruses are shifting from attacking local PCs to exploiting vulnerabilities inherent in ICTs to attacking telecommunications infrastructures such as the Internet or services based thereon.

이러한 추세에 있는 악성코드로부터 개인 정보를 보호하기 위해 안티바이러스 제품을 포함한 대부분의 정보보호시스템들은 서명기반방식에 의존한다. 그러나, 기존의 서명기반 방식으로는 새로운 형태의 공격기법을 사용하는 악성코드들에 대응하는데 있어서 한계가 있다.To protect personal information from this trend of malware, most information protection systems, including antivirus products, rely on signature-based methods. However, the existing signature-based method has a limitation in dealing with malicious codes using a new type of attack technique.

이를 극복하기 위해, 다양한 형태의 악성코드 탐지 기술들이 개발되고 있으며 특히 행위 기반의 비정형 공격 탐지 기법들이 알려지지 않은 악성코드 공격을 탐지하기 위해 많이 연구되고 있다. 그러나, 이러한 행위 기반의 비정형 탐지 기법들은 다양한 형태의 코드 행위를 분석하여 악성 행위와 정상 행위를 구분해야 하는데, 분석 대상이 되는 코드 행위들이 매우 많은 시스템 내 행위를 발생시키기 때문에 행위 분석의 오류 혹은 정책 설정의 오류로 인해 높은 오탐율을 가지고 있으며, 행위 구분을 위한 정책 설정의 어려움이 있다.To overcome this, various types of malware detection techniques have been developed, and behavior-based atypical attack detection techniques have been studied in order to detect unknown malware attacks. However, these behavior-based atypical detection techniques must distinguish malicious and normal behaviors by analyzing various types of code behaviors. Because the code behaviors that are analyzed generate a lot of system behaviors, the error or policy of behavior analysis There is a high false positive rate due to the setting error, and there is a difficulty in setting a policy to classify the behavior.

비정형 탐지 기법에서의 이러한 오탐율을 감소시키기 위해, 침입탐지 분야에서는 1990년대 말부터 데이터 마이닝 기술을 이용한 침입탐지 기술을 개발하고 있으나, 본 발명에서 제안하고 있는 것과 같이 시스템 내에서 실행코드의 모든 행위 이벤트를 대상으로 한 비정형 탐지 기법은 제안되고 있지 못한 실정이다.In order to reduce such false detection rate in atypical detection technique, intrusion detection field has been developing intrusion detection technology using data mining technology since the late 1990s. However, all behaviors of executable code in the system are proposed as proposed in the present invention. Atypical detection techniques for events have not been proposed.

알려지지 않은 악성코드를 탐지하기 위하여, 한국특허출원 제2002-0013994호는 악성코드의 쓰기동작을 파악하여 이를 금지하거나 또는 사용자에게 통지함으로써, 컴퓨터 바이러스에 의한 감염을 방지할 수 있는 방법을 제시하고 있다. 그러 나, 상기 한국특허출원 제2002-0013994호는 파일 바이러스 중 기생형 바이러스가 실행 파일을 감염시키기 위해 실행 파일 등의 앞이나 뒤에 바이러스 프로그램을 붙이고자 할 때, 쓰기 동작을 파악하여 탐지하는 기법으로서 모든 종류의 악성코드를 탐지하기 위한 방법은 아니고, 제한된 형태의 행위를 수행하는 바이러스만을 탐지 대상으로 한다는 한계가 있다. 또한, 한국특허등록 제2006-0063342호는 알려지지 않은 네트워크 공격에 대한 실시간 공격 패턴 검출 시스템을 제안하고 있으나, 네트워크 공격에 한정된 알려지지 않은 공격 패턴을 추출하고 있으며, 입력 초기 모든 패킷에서 의심스러운 패킷을 찾아내어 의심 지시값(suspicious indicator)을 붙여 주는데, 이때 많은 공격 패턴을 놓치거나 혹은 정상 패턴에 의심 지시값을 붙여 줌으로써 이후 시그니처 생성시 오탐율을 높이는 작용을 할 수 있다는 한계가 있다.In order to detect unknown malicious code, Korean Patent Application No. 2002-0013994 proposes a method of preventing infection by computer virus by grasping and prohibiting or notifying the writing operation of malicious code. . However, the Korean Patent Application No. 2002-0013994 is a technique for detecting and detecting a write operation when a parasitic virus among file viruses tries to attach a virus program before or after an executable file to infect an executable file. It is not a method for detecting all kinds of malicious code, but only a virus that performs a limited form of behavior. In addition, Korean Patent Registration No. 2006-0063342 proposes a real-time attack pattern detection system for an unknown network attack, but extracts an unknown attack pattern limited to a network attack, and finds a suspicious packet in all initial packets. Suspicious indicator is given, but there is a limit that it can act to increase false positive rate when generating signatures by missing suspicious attack pattern or adding suspicious indicator to normal pattern.

한국특허등록 제2004-0056998호는 본 발명에서와 유사하게 시스템 내에서의 실행코드 감시를 통한 행위 기반의 악성코드 탐지 기법을 사용하고 있으나, 제안된 기법은 해당 행위에 사전 정의된 위험도 점수를 부과하는 방식을 사용하고 있다. 이를 위해, 관리자는 실행코드 행위에 대한 위험도 점수를 부과하는 작업을 직접 수행하여야 하는 어려움이 존재하였다.Korean Patent Registration No. 2004-0056998 uses an action-based malware detection technique by monitoring execution code in the system similarly to the present invention, but the proposed technique imposes a predefined risk score on the action. I'm using the way. To this end, the administrator had to perform the task of assigning a risk score to the execution code behavior.

본 발명에서는 상술한 종래의 문제점을 해결하기 위한 것으로, 본 발명의 목적은 정상적인 실행코드와 악성코드에 의해 발생하는 시스템 내 모든 행위를 모니터링 하여 연관성 있는 이벤트들을 조합하여 행위 특성 패턴을 만들고 이를 다시 학습 알고리즘에 입력하여 악성 행위 특징값(예측 패턴)을 만들어 내도록 한다. 이후 새로운 실행코드로부터 행위 특성 패턴을 만들어 내고 이 패턴에 사전 생성된 악성 행위 특징값(예측 패턴)이 존재하는지 파악하여 악성코드를 탐지하는 방법 및 그 시스템을 제공함에 있다.In the present invention to solve the above-mentioned conventional problems, an object of the present invention is to monitor all the behavior in the system caused by the normal executable code and malicious code to combine the relevant events to create a behavior characteristic pattern and relearn this Input to the algorithm to generate malicious behavior feature values (prediction patterns). Thereafter, a behavior characteristic pattern is generated from new executable code, and a method and system for detecting malicious code are provided by identifying whether a pre-generated malicious behavior characteristic value (prediction pattern) exists in the pattern.

상기 본 발명의 목적을 달성하기 위해 프로세스 행위 예측 기법을 이용한 비정형 악성코드 탐지 방법 및 그 시스템은 사전 실행이 인가되지 않은 프로세스에 대해 프로세스 실행시 발생시키는 행위 이벤트를 모니터링하여 해당 프로세스가 악성행위로 사전 예측되어 있는 행위 특징값(예측 패턴)을 보일 경우 이를 악성 행위로 탐지하여 실행을 중지시키는 방법이다.In order to achieve the object of the present invention, a method and system for detecting atypical malware using a process behavior prediction technique monitor a behavior event generated when a process is executed for a process for which a prior execution is not authorized, thereby proactively identifying the process as malicious. If a predicted behavior characteristic value (predictive pattern) is shown, it is detected as a malicious behavior and the execution is stopped.

본 발명은 비정형 악성코드에 대한 행위 예측 패턴을 구성하기 위해 우선 정상 프로세스들과 악성 프로세스들을 실행시켜 해당 프로세스들이 나타내는 행위 이벤트를 파일, 네트워크, 레지스트리, 서비스 및 프로세스 별로 추출하도록 한다. 그리고 학습 알고리즘에서 학습시켜 예측되는 행위 특징값(예측 패턴)을 생성할 수 있도록 하기 위해 추출한 이벤트 정보들을 학습 알고리즘에 입력 가능한 형태로 재 가공한다. 이것은 파일, 네트워크, 레지스트리, 서비스 및 프로세스 정보를 정리한 76개 필드로 구성된 레코드 단위로 재구성한 프로세스 행위 이벤트 로그로서 재구성된 행위 이벤트 데이터들은 학습 알고리즘을 통해 비정형 악성 행위 특징값(예측 패턴)으로 변환되어 비정형 악성코드 탐지시 사용된다.In the present invention, in order to construct a behavior prediction pattern for atypical malware, first, normal processes and malicious processes are executed to extract behavior events represented by the processes by file, network, registry, service, and process. The extracted event information is reprocessed into a form that can be input to the learning algorithm in order to generate a behavior characteristic value (prediction pattern) predicted by learning from the learning algorithm. It is a process behavior event log reconstructed into 76 record fields that organize file, network, registry, service and process information. The reconstructed behavior event data is converted into atypical malicious behavior feature values (prediction patterns) through a learning algorithm. It is used to detect atypical malware.

비정형 악성코드의 행위를 탐지하기 위해서는 실행이 인가되지 않은 프로세스들의 실행시 모니터링 모듈에 의해 해당 프로세스의 행위를 파일 모니터, 네트워크 IM 모니터, 레지스트리 모니터, TDI 모니터 및 프로세스 모니터 등의 6개 모니터 모듈별로 모니터링하다가 악성코드 행위 특징값(예측 패턴)과 동일한 특성값이 나올 경우 이를 악성코드로 규정하여 탐지하도록 한다.In order to detect the behavior of atypical malware, the monitoring module's behavior is monitored by six monitor modules such as file monitor, network IM monitor, registry monitor, TDI monitor, and process monitor. In the meantime, if a characteristic value equal to the characteristic value of the malicious code behavior (predictive pattern) appears, it is defined as a malicious code to be detected.

본 발명에 따른 프로세스 행위 예측 기법을 이용한 비정형 악성코드 탐지 시스템은, 시스템 내에서 실행되는 실행코드들에 대해 1차적인 악성코드 필터링을 수행하기 위한 DB 필터링 모듈; 상기 시스템 내에서 실행되는 실행코드들이 발생시키는 개별 이벤트 정보를 수집하기 위하여 시스템 자원 감시를 수행하기 위한 시스템 자원 모니터 모듈; 상기 시스템 자원 모니터 모듈에서 수집된 개별 이벤트 정보를 재가공하여 상기 실행코드들의 연관성 있는 행위 특성값을 나타내는 하나의 통합 로그로 재구성하기 위한 재가공 모듈; 상기 재가공 모듈로부터 재구성된 통합 로그를 학습 알고리즘에 입력하여 비정형 악성 행위 특징값(예측 패턴)을 추출하기 위한 행위 예측 정보 가공 모듈; 및 상기 행위 예측 정보 가공 모듈에서 추출된 비정형 악성 행위 특징값(예측 패턴)을 상기 재가공 모듈에서 구성되는 행위 특성값 데 이터와 비교함으로써 악성 행위를 탐지하는 비정형 악성 행위 탐지 모듈을 포함하는 것을 특징으로 한다.Atypical malware detection system using the process behavior prediction technique according to the present invention, DB filtering module for performing the primary malicious code filtering for the executable code running in the system; A system resource monitor module for performing system resource monitoring to collect individual event information generated by executable codes executed in the system; A reprocessing module for reprocessing the individual event information collected by the system resource monitor module and reconstructing it into one unified log representing relevant behavior property values of the executable codes; A behavior prediction information processing module for extracting atypical malicious behavior feature values (prediction patterns) by inputting a reconstructed integrated log from the reprocessing module into a learning algorithm; And an atypical malicious behavior detection module for detecting malicious behavior by comparing the atypical malicious behavior characteristic value (prediction pattern) extracted from the behavior prediction information processing module with the behavior characteristic value data configured in the reprocessing module. do.

상기 시스템 자원 모니터 모듈은 파일 시스템, 프로세스, 레지스트리, 서비스 및 네트워크 항목에 대한 개별 이벤트 정보를 수집하는 것을 특징으로 한다.The system resource monitor module collects individual event information about a file system, a process, a registry, a service, and a network item.

또한, 상기 시스템 자원 모니터 모듈은, 검출 시간, PID, 경로, 시스템 디렉토리 유무 등의 정보를 추출하는 파일 모니터, 패킷 단위별 검출 시간, PID, S/D-IP, Packet length 등의 정보를 추출하는 IM 모니터, 프로세스 검출 시간, PID, 쓰레드 개수 등의 정보를 추출하는 프로세스 모니터, 검출 시간, PID, 레지스트리 경로, 현재 상태, 사이즈 등의 정보를 검출하는 레지스트리 모니터, TDI 드라이버를 통한 프로세스 단위로 표현되어야할 네트워크 정보-검출시간, PID, 로컬 IP 주소, 원격 IP 주소, 패킷의 평균 길이, 프로토콜, 조각 개수, 전송 크기, 수신 크기 등의 정보-를 추출하는 TDI_P 모니터, 및 TDI 드라이버를 통한 세션 단위의 네트워크 정보-검출시간, PID, 로컬 IP 주소, 원격 IP 주소, 프로토콜, 전송 크기, 수신 크기 등의 정보-를 추출하는 TDI_S 모니터를 포함하여 구성된다.The system resource monitor module may extract a file monitor for extracting information such as a detection time, a PID, a path, a system directory, and the like, and extract information such as a packet unit detection time, PID, S / D-IP, and packet length. It should be expressed in process units through IM monitor, process monitor extracting information such as process detection time, PID, thread count, registry monitor detecting information such as detection time, PID, registry path, current status, size, and TDI driver. TDI_P monitor that extracts network information-information such as detection time, PID, local IP address, remote IP address, average length of packets, protocol, fragment count, transmission size, and reception size-and session unit through TDI driver. Including a TDI_S monitor that extracts network information-information such as detection time, PID, local IP address, remote IP address, protocol, transmission size, and reception size. It is.

상기 재가공 모듈은 상기 통합 로그의 재구성시 이벤트 발생 시간을 기준으로 상기 실행코드들의 연관성 있는 행위 특성값 데이터를 하나의 레코드로 구성한다.The reprocessing module configures the relevant behavior property value data of the execution codes into one record based on the event occurrence time upon reconstruction of the integrated log.

한편, 프로세스 행위 예측 기법을 이용한 비정형 악성코드 탐지 방법은, 시스템 내에서 실행되는 실행코드들에 대해 1차적인 악성코드 필터링을 수행하는 제1 단계; 상기 시스템 내에서 실행되는 실행코드들이 발생시키는 개별 이벤트 정보를 수집하기 위하여 시스템 자원 감시를 수행하는 제2 단계; 상기 제2 단계에서 수집된 개별 이벤트 정보를 재가공하여 상기 실행코드들의 연관성 있는 행위 특성값을 나타내는 하나의 통합 로그로 재구성하는 제3 단계; 상기 제3 단계로부터 재구성된 통합 로그를 학습 알고리즘에 입력하여 비정형 악성 행위 특징값(예측 패턴)을 추출하는 제4 단계; 및 상기 제4 단계에서 추출된 비정형 악성 행위 특징값(예측 패턴)을 상기 제3 단계에서 구성되는 행위 특성값 데이터와 비교함으로써 악성 행위를 탐지하는 제5 단계를 포함하는 것을 특징으로 한다.On the other hand, the atypical malware detection method using the process behavior prediction technique, the first step of performing the primary malware filtering on the executable code running in the system; A second step of performing system resource monitoring to collect individual event information generated by executable codes executed in the system; A third step of reprocessing the individual event information collected in the second step and reconstructing it into one unified log representing the relevant behavior property value of the execution codes; A fourth step of extracting atypical malicious behavior feature values (prediction patterns) by inputting the integrated log reconstructed from the third step into a learning algorithm; And a fifth step of detecting malicious behavior by comparing the atypical malicious behavior feature value (prediction pattern) extracted in the fourth step with the behavior feature value data configured in the third step.

상기 제2 단계에서, 파일 시스템, 프로세스, 레지스트리, 서비스 및 네트워크 항목에 대한 개별 이벤트 정보를 수집하는 것을 특징으로 한다.In the second step, it collects individual event information for file system, process, registry, service and network item.

상기 제3 단계에서, 상기 통합 로그의 재구성시 이벤트 발생 시간을 기준으로 상기 실행코드들의 연관성 있는 행위 특성값 데이터가 하나의 레코드로 구성되는 것을 특징으로 한다.In the third step, the relevant behavior characteristic value data of the execution codes may be configured as one record based on an event occurrence time when reconstructing the integrated log.

상기 레코드 구성시, 이벤트가 없는 레코드 필드의 값을 최근 이벤트 유효 시간 범위에서 기재하고, 상기 최근 이벤트 유효 시간 범위에서 벗어났을 경우에는 null 값을 기록한다.In the record configuration, a value of a record field without an event is described in a recent event valid time range, and a null value is recorded when out of the recent event valid time range.

상술한 바와 같이 본 발명에 의하면 시스템내에서 발생하는 실행코드의 행위를 대상으로 악성행위 특징값(예측 패턴)을 찾아냄으로써 이후 새롭게 등장하는 알려지지 않은 악성코드의 행위 특성값과 비교하여 악성 여부를 판별할 수 있게 된다.As described above, according to the present invention, the malicious behavior characteristic value (prediction pattern) is searched for the behavior of the executable code generated in the system, and then the malicious behavior is discriminated by comparing with the behavior characteristic value of the newly unknown malicious code. You can do it.

이상에서 설명한 것은 본 발명에 따른 프로세스 행위 예측 기법을 이용한 비정형 악성코드 탐지 방법 및 그 시스템을 실시하기 위한 하나의 실시 예에 불과한 것으로서, 본 발명은 상기한 실시 예에 한정되지 않고, 이하의 특허청구 범위에서 청구하는 본 발명의 요지를 벗어남이 없이 당행 발명이 속하는 분야에서 통상의 지식을 가진 자라면 누구든지 다양한 변경 실시가 가능한 범위까지 본 발명의 기술적 정신이 있다고 할 것이다.What has been described above is only one embodiment for implementing the atypical malware detection method and system using the process behavior prediction technique according to the present invention, the present invention is not limited to the above embodiment, the following claims Without departing from the gist of the present invention claimed in the scope, anyone of ordinary skill in the art belongs to the technical spirit of the present invention to the extent that various modifications can be made.

이하, 본 발명에 따른 실시예를 첨부한 도면을 참조하여 상세히 설명하도록 한다.Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings.

도 1은 본 발명에 따른 실행코드 모니터링, 이를 이용한 데이터 셋의 생성, 학습 수행 및 학습 결과의 검증을 개념적으로 나타낸 블록도이다.1 is a block diagram conceptually illustrating execution code monitoring, generation of a data set, learning performance, and verification of learning results according to the present invention.

도시된 바와 같이, 파일 시스템, 레지스트리 시스템, 네트워크 및 서비스를 감시하는 디바이스 드라이버(device driver)(300)들은 시스템 자원을 감시하다가 실행코드가 발생시키는 이벤트 로그를 개별 모니터별로 수집한 후 이를 데이터 셋 생성 모듈(301)로 전송한다.As shown, the device driver (300) for monitoring the file system, registry system, network, and services monitors system resources, collects event logs generated by the executable code for each monitor, and then creates a data set. Send to module 301.

데이터 셋 생성 모듈(301)에서는 디바이스 드라이버(300)들로부터 전송된 로그들에 대한 로그 파일을 생성하며, 프로세스 감시 쓰레드를 동작시켜 프로세스의 실행 여부를 감시한다.The data set generation module 301 generates a log file for the logs transmitted from the device drivers 300 and monitors whether a process is executed by operating a process monitoring thread.

또한, 데이터 셋 재구성 모듈(400)에서는 각 디바이스 드라이버(300) 별로 작성된 로그 파일들을 하나의 파일로 재구성하여 저장한다. 이때, 생성 패킷을 기 준으로 76개의 필드를 가지는 하나의 레코드로 해당 패킷에 대한 정보(특성값)를 표현한다. 해당 레코드에는 프로세스 정보, 파일 정보, 레지스트리 정보 및 네트워크 정보가 들어가게 되며, 개별적으로 수집된 각각의 정보는 레코드 구성시 연관된 정보들이 들어가도록 함으로써 하나의 레코드가 종합적인 행위 이벤트 특성값을 나타내도록 구성한다.In addition, the data set reconstruction module 400 reconstructs and stores the log files created for each device driver 300 into one file. At this time, one record having 76 fields based on the generated packet expresses information (characteristic value) of the corresponding packet. The record contains process information, file information, registry information, and network information. Each information collected individually configures one record to represent the overall behavioral event characteristics by allowing associated information to be included in the record configuration. .

이 레코드 정보는 데이터마이닝 알고리즘에 입력되어 학습이 수행되며(510), 그 결과 값은 해당 실행코드에 대한 행위 특징값(예측값)을 나타내게 된다.This record information is input to the data mining algorithm and learning is performed (510), and the result value represents the behavior characteristic value (prediction value) for the corresponding execution code.

이 실행코드 행위 특징값은 파일 형태로 저장되어, 이후 새로운 실행코드의 행위 분석 후 패턴 매칭을 이용한 비교를 통해 악성 여부를 판별(520)하게 된다.The executable code behavior feature value is stored in a file form, and then it is determined whether the malicious code is 520 through a comparison using pattern matching after behavior analysis of the new executable code.

도 2는 도 1의 개념을 구현한 본 발명에 따른 비정형 악성코드를 탐지 시스템에 대한 전체 구성도를 나타내고 있다.Figure 2 shows the overall configuration of the system for detecting atypical malware according to the present invention implementing the concept of FIG.

도시된 바와 같이, 네트워크(100)로부터 다운로드 되어 시스템 내에서 실행되는 실행코드들은 1차적으로 알려진 악성코드를 필터링하기 위한 DB 필터링 모듈(200)을 거치게 된다. 여기서는 악성코드 시그니처 DB(700)를 통해 기존 방법과 동일한 패턴 매칭 기법의 필터링 기법을 이용하여 1차 알려진 악성코드를 탐지하게 된다.As shown, executable code downloaded from the network 100 and executed in the system passes through the DB filtering module 200 for filtering primarily known malicious codes. Here, the malicious code signature DB 700 detects the first known malicious code using a filtering method of the same pattern matching method as the existing method.

DB 필터링 모듈(200)을 거친 알려지지 않은 새로운 실행코드들은 시스템 내에서 실행되게 된다. 이때, 각 프로세스들은 파일 읽고 쓰기, 네트워크 패킷 송/수신, 레지스트리 읽고 쓰기, 서비스 등록 및 실행 등의 행위를 수행하게 되는데, 이 와 관련된 모든 행위를 모니터링 하기 위해 예를들어 6개의 모니터(3101, 3201, 3301, 3401, 3501, 3601)로 이루어진 시스템 자원 모니터 모듈(3001)을 구성한다.Unknown new executables that have passed through the DB filtering module 200 are executed in the system. At this time, each process performs file read / write, network packet send / receive, registry read / write, service registration and execution. For example, six monitors (3101, 3201) can be used to monitor all related actions. 3301, 3401, 3501, and 3601 constitute a system resource monitor module 3001.

시스템 자원 모니터 모듈(3001)을 통해, 파일 시스템, 프로세스, 레지스트리, 서비스 및 네트워크 항목에 대한 이벤트 로그를 검출하며, 이를 통해 동작 중인 프로세스 및 쓰레드의 상태를 감시하고, 프로세스 정보를 기반으로 네트워크, 파일 시스템, 레지스트리, 서비스 및 드라이버의 접근을 감시한다.The system resource monitor module 3001 detects event logs of file systems, processes, registries, services, and network items, monitors the status of running processes and threads, and monitors network, file based on process information. Monitor access to systems, registries, services and drivers.

파일 모니터(3101)에 의해서는 검출 시간, PID, 경로, 시스템 디렉토리 유무 등의 정보를 추출하며, IM 모니터(3201)를 통해서는 패킷 단위별 검출 시간, PID, S/D-IP, Packet length 등의 정보를 추출한다.The file monitor 3101 extracts information such as detection time, PID, path, system directory presence, and the like, and the IM monitor 3201 detects packet-specific detection time, PID, S / D-IP, packet length, and the like. Extract information from

프로세스 모니터(3301)에 의해서는 프로세스 검출 시간, PID, 쓰레드 개수 등의 정보를 추출하며, 레지스트리 모니터(3401)에 의해서는 검출 시간, PID, 레지스트리 경로, 현재 상태, 사이즈 등의 정보를 검출한다.The process monitor 3301 extracts information such as process detection time, PID, thread count, and the like, and the registry monitor 3401 detects information such as detection time, PID, registry path, current state, size, and the like.

TDI_P 모니터(3501)에 의해서는 TDI 드라이버를 통한 프로세스 단위로 표현되어야할 네트워크 정보를 추출하게 되는데, 이러한 정보로는 검출시간, PID, 로컬 IP 주소, 원격 IP 주소, 패킷의 평균 길이, 프로토콜, 조각 개수, 전송 크기, 수신 크기 등의 정보 등이 있다.The TDI_P monitor 3501 extracts network information to be expressed in units of processes through the TDI driver. Such information includes detection time, PID, local IP address, remote IP address, average length of packet, protocol, and fragment. Information such as the number, transmission size, and reception size is provided.

마지막으로, TDI_S 모니터(3601)에 의해서는 TDI 드라이버를 통한 세션 단위의 네트워크 정보를 추출하게 되는데, 이러한 정보로는 검출시간, PID, 로컬 IP 주소, 원격 IP 주소, 프로토콜, 전송 크기, 수신 크기 등의 정보를 검출한다.Finally, the TDI_S monitor 3601 extracts the network information of the session unit through the TDI driver. The information includes the detection time, PID, local IP address, remote IP address, protocol, transmission size, and reception size. Detect information.

이러한 정보는 각 6개의 모니터별로 각각 임시 파일 형태로 구성되어 있다가 재가공 모듈(4001)에서 해당 프로세스의 행위 특성값을 나타내는 하나의 통합 로그로 재구성된다(도 4를 참조로 이후에 상세히 설명됨).This information is configured in the form of temporary files for each of the six monitors, and then reconstructed into a single consolidated log representing behavior characteristic values of the process in the reprocessing module 4001 (described in detail below with reference to FIG. 4). .

재가공 모듈(4001)에서 통합 로그를 구성하는 것은 각 개별 수집 로그들로부터 검출된 모니터별 이벤트 정보를 연관성 있는 정보들의 하나의 레코드로 구성한 뒤 이를 행위 예측 정보 가공 모듈(500)에 입력하기 위함이다.Configuring the integrated log in the reprocessing module 4001 is to configure the event information for each monitor detected from each individual collection log into one record of relevant information, and then input it to the behavior prediction information processing module 500.

이를 통해 행위 예측 정보 가공 모듈(500)에서는 연관성 있는 로그 정보들로부터 악성 행위 특징값(예측 패턴)을 추출해 낼 수 있다.Through this, the behavior prediction information processing module 500 may extract malicious behavior feature values (prediction patterns) from the relevant log information.

추출된 악성 행위 특징값(예측 패턴)은 악성코드 행위 예측패턴 DB(600)에 입력된 뒤, 향후 알려지지 않은 새로운 코드가 실행시 알려진 악성코드가 아닐 경우, 상술한 바와 같이 시스템 자원 모니터 모듈(3001)을 통해 모니터링 하고, 재가공 모듈(4001)을 통해 가공 처리된 해당 실행코드 행위 특성값과 비교함으로써 악성 여부를 판별할 수 있게 된다.The extracted malicious behavior characteristic value (prediction pattern) is input to the malicious code behavior prediction pattern DB 600, and if new unknown code is not known malware at the time of execution, the system resource monitor module 3001 as described above. ), And by comparing with the execution code behavior characteristic value processed through the reprocessing module 4001 can determine whether malicious.

최종적으로, 악성으로 판별될 경우에는 해당 악성코드의 시그니처를 추출한 후 악성코드 시그니처 DB(800)에 입력하도록 한다.Finally, if it is determined to be malicious, the signature of the malicious code is extracted and then entered into the malicious code signature DB 800.

도 3은 시스템 내에서 실행되는 실행코드의 처리 순서를 도식화함으로써 악성코드 필터링 방법을 나타낸 흐름도이다.3 is a flowchart illustrating a malicious code filtering method by diagramming a processing sequence of executable code executed in a system.

우선, 실행코드가 시스템 내에서 실행되기 전에 DB 필터링에 의해 1차 필터링 된다(S100).First, before the execution code is executed in the system, primary filtering is performed by DB filtering (S100).

해당 DB 필터링은 악성코드 시그니처 DB(800a)와 정상 시그니처 DB(800b)를 가지고 수행되며, 실행 전 알려진 악성코드를 필터링 한다. 이때, 이미 알려진 정상코드는 이후의 모니터링 단계(S110)에서 모니터링 대상에서 제외됨으로써 모든 실행코드를 모니터링 함으로써 발생할 수 있는 부하를 감소시키도록 한다.The DB filtering is performed with the malware signature DB 800a and the normal signature DB 800b, and filters known malware before execution. At this time, the known normal code is excluded from the monitoring target in the subsequent monitoring step (S110) to reduce the load that may occur by monitoring all the execution code.

시스템 자원 모니터링 단계(S110)에서, 알려진 정상코드도 아니고 알려진 악성코드도 아닌 알려지지 않은 새로운 실행코드가 시스템 내에서 실행될 때 모니터링 된다.In the system resource monitoring step (S110), when new unknown code that is neither known normal code nor known malicious code is executed in the system, it is monitored.

시스템 자원 모니터링을 통해, 해당 실행코드에 대한 1차 임시 로그를 수집한 뒤 재가공 단계(S120)에서 전체 로그에 대한 연관 작성을 수행하여 프로세스별로 행위 특성값을 레코드 형태로 추출한다. 이것은 해당 프로세스가 발생시키는 행위를 파일, 레지스트리, 네트워크, 서비스 등의 정보로 세분화하여 표현한 정보로서 해당 프로세스의 행위를 자세히 나타내게 된다. 이를 다시 행위 예측 정보 가공 단계(S130)를 거쳐서 데이터마이닝 알고리즘을 이용하여 학습을 시키게 되면 전체 세분화된 행위 특성으로부터 악성행위의 특징값(예측 패턴)이 나타나게 된다.Through system resource monitoring, after collecting the first temporary log for the execution code, the association process for the entire log is performed in the reprocessing step (S120) to extract the behavior characteristic values for each process in the form of records. This information represents the action generated by the process by subdividing it into information such as file, registry, network, and service. When the training is performed again using the data mining algorithm through the behavior prediction information processing step (S130), the characteristic value (prediction pattern) of the malicious behavior is displayed from the overall granular behavior characteristics.

최종적으로, 이 행위 특징값(예측 패턴)이 실제 악성코드 탐지 정책으로서 행위 특징값(예측 패턴)을 가지고 있는 실행코드의 행위를 악성행위로 탐지하게 된다(S140).Finally, this behavior feature value (prediction pattern) is detected as malicious behavior of the executable code having the behavior feature value (prediction pattern) as the actual malware detection policy (S140).

도 4는 도 2의 재가공 모듈에 의해 생성되는 통합 로그 데이터에 대해 자세히 도식화한 도면이다.4 is a diagram illustrating in detail the integrated log data generated by the reprocessing module of FIG. 2.

도 2의 재가공 모듈(4001)에서는 파일 모니터(3101), IM 모니터(3201), 프로 세스 모니터(3301), 레지스트리 모니터(3401), TDI_P 모니터(3501), 및 TDI_S 모니터(3601)에 의해 생성되는 총 76가지의 데이터가 종합되어 하나의 레코드로 구성되며, 이러한 레코드들이 다시 생성 프로세스별로 분류되어 종합 로그 파일(410)을 생성하게 된다.In the reprocessing module 4001 of FIG. 2, the file monitor 3101, the IM monitor 3201, the process monitor 3301, the registry monitor 3401, the TDI_P monitor 3501, and the TDI_S monitor 3401 are generated. A total of 76 pieces of data are aggregated into one record, and these records are again classified by the generation process to generate a comprehensive log file 410.

우선, 각 모니터별로 발생한 로그는 각 모듈의 이름과 시간을 조합한 임시 파일에 저장한다.First, the log generated for each monitor is saved in a temporary file combining the name and time of each module.

로그 수집이 종료되는 시점에 모니터별로 수집된 각 임시 파일의 로그 데이터는 하나의 DB 파일로 생성되며, 이때 몇몇 필드의 내용은 계산해서 채워 넣는 방식으로 하나의 레코드를 만들어 낸다.At the end of log collection, the log data of each temporary file collected for each monitor is created as a DB file. At this time, the contents of some fields are calculated and filled in to create one record.

하나의 레코드로 정보를 만들 때 기준이 되는 것은 1초 동안 가장 이벤트가 많이 발생한 모듈이 된다.When creating information from a single record, the reference is the module with the most events in one second.

기록된 데이터가 하나의 레코드로 생성될 때 시간은 1초 단위로 표기한다. 즉, 2.500000 ~ 3.4999999 동안의 시간이면 모두 3초로 표기된다.When recorded data is generated as one record, the time is expressed in units of 1 second. That is, if the time is 2.500000 ~ 3.4999999, all are expressed as 3 seconds.

또한, 기준 정보에서 나머지 모듈의 발생한 정보를 붙일 때 이벤트가 없는 필드의 값은 최근 이벤트 유효 시간의 범위에서 기재하고, 이 범위에서 벗어났을 경우에는 null 값을 기록한다.In addition, when attaching the generated information of the remaining modules in the reference information, the value of the field without an event is written in the range of the latest event valid time, and when it is out of this range, a null value is recorded.

즉, 파일 시스템이 1초 동안 100건의 이벤트를 발생하고 레지스트리 이벤트가 50건의 이벤트를 발생하였다고 가정할 때, 로그는 총 100개의 레코드가 기록된다. 부족한 50건의 레지스트리 이벤트는 최근 이벤트 유효 시간 범위내의 이전 값을 기록하는 것이다. 여기서, 최근 이벤트 유효 시간이란 이전의 이벤트 값을 기록 할 때 유효한 시간의 범위를 정하는 것으로 사용자의 설정을 입력받도록 한다.That is, assuming that the file system generates 100 events in one second and the registry event has generated 50 events, the log records a total of 100 records. The 50 missing registry events record the previous value within the last event valid time range. Here, the latest event valid time is to set a valid time range when the previous event value is recorded so that the user's setting is input.

도 1은 도 1은 본 발명에 따른 실행코드 모니터링, 이를 이용한 데이터 셋의 생성, 학습 수행 및 학습 결과의 검증을 개념적으로 나타낸 블록도이고,1 is a block diagram conceptually illustrating execution code monitoring, generation of a data set, learning performance, and verification of learning results according to the present invention;

도 2는 도 1의 개념을 구현한 본 발명에 따른 비정형 악성코드를 탐지 시스템에 대한 전체 구성도이고,2 is an overall configuration diagram of a system for detecting atypical malware according to the present invention, which implements the concept of FIG.

도 3은 도 3은 시스템 내에서 실행되는 실행코드의 처리 순서를 도식화함으로써 악성코드 필터링 방법을 나타낸 흐름도이고,3 is a flowchart illustrating a malicious code filtering method by diagramming a processing sequence of executable code executed in a system.

도 4는 도 2의 재가공 모듈에 의해 생성되는 통합 로그 데이터에 대해 자세히 도식화한 도면이다.4 is a diagram illustrating in detail the integrated log data generated by the reprocessing module of FIG. 2.

Claims (8)

시스템 내에서 실행되는 실행코드들에 대해 1차적인 악성코드 필터링을 수행하기 위한 DB 필터링 모듈;A DB filtering module for performing primary malware filtering on executable codes executed in the system; 상기 시스템 내에서 실행되는 실행코드들이 발생시키는 개별 이벤트 정보를 수집하기 위하여 시스템 자원 감시를 수행하기 위한 시스템 자원 모니터 모듈;A system resource monitor module for performing system resource monitoring to collect individual event information generated by executable codes executed in the system; 상기 시스템 자원 모니터 모듈에서 수집된 개별 이벤트 정보를 재가공하여 상기 실행코드들의 연관성 있는 행위 특성값을 나타내는 하나의 통합 로그로 재구성하기 위한 재가공 모듈;A reprocessing module for reprocessing the individual event information collected by the system resource monitor module and reconstructing it into one unified log representing relevant behavior property values of the executable codes; 상기 재가공 모듈로부터 재구성된 통합 로그를 학습 알고리즘에 입력하여 비정형 악성 행위 특징값(예측 패턴)을 추출하기 위한 행위 예측 정보 가공 모듈; 및A behavior prediction information processing module for extracting atypical malicious behavior feature values (prediction patterns) by inputting a reconstructed integrated log from the reprocessing module into a learning algorithm; And 상기 행위 예측 정보 가공 모듈에서 추출된 비정형 악성 행위 특징값(예측 패턴)을 상기 재가공 모듈에서 구성되는 행위 특성값 데이터와 비교함으로써 악성 행위를 탐지하는 비정형 악성 행위 탐지 모듈을 포함하는 것을 특징으로 하는 프로세스 행위 예측 기법을 이용한 비정형 악성코드 탐지 시스템.And an atypical malicious behavior detection module for detecting malicious behavior by comparing the atypical malicious behavior characteristic value (prediction pattern) extracted from the behavior prediction information processing module with the behavior characteristic value data configured in the reprocessing module. Atypical malware detection system using behavior prediction technique. 제1항에 있어서,The method of claim 1, 상기 시스템 자원 모니터 모듈은 파일 시스템, 프로세스, 레지스트리, 서비스 및 네트워크 항목에 대한 개별 이벤트 정보를 수집하는 것을 특징으로 하는 프로세스 행위 예측 기법을 이용한 비정형 악성코드 탐지 시스템.The system resource monitor module collects individual event information about file systems, processes, registries, services, and network items. 삭제delete 제1항에 있어서,The method of claim 1, 상기 재가공 모듈은 상기 통합 로그의 재구성시 이벤트 발생 시간을 기준으로 상기 실행코드들의 연관성 있는 행위 특성값 데이터를 하나의 레코드로 구성하는 것을 특징으로 하는 프로세스 행위 예측 기법을 이용한 비정형 악성코드 탐지 시스템.The reprocessing module is an atypical malware detection system using a process behavior prediction technique, characterized in that the reconstruction of the integrated log comprises a single record of the relevant behavior property value data of the execution codes based on the event occurrence time. 시스템 내에서 실행되는 실행코드들에 대해 1차적인 악성코드 필터링을 수행하는 제1 단계;A first step of performing primary malware filtering on executable codes executed in the system; 상기 시스템 내에서 실행되는 실행코드들이 발생시키는 개별 이벤트 정보를 수집하기 위하여 시스템 자원 감시를 수행하는 제2 단계;A second step of performing system resource monitoring to collect individual event information generated by executable codes executed in the system; 상기 제2 단계에서 수집된 개별 이벤트 정보를 재가공하여 상기 실행코드들의 연관성 있는 행위 특성값을 나타내는 하나의 통합 로그로 재구성하는 제3 단계;A third step of reprocessing the individual event information collected in the second step and reconstructing it into one unified log representing the relevant behavior property value of the execution codes; 상기 제3 단계로부터 재구성된 통합 로그를 학습 알고리즘에 입력하여 비정형 악성 행위 특징값(예측 패턴)을 추출하는 제4 단계; 및A fourth step of extracting atypical malicious behavior feature values (prediction patterns) by inputting the integrated log reconstructed from the third step into a learning algorithm; And 상기 제4 단계에서 추출된 비정형 악성 행위 특징값(예측 패턴)을 상기 제3 단계에서 구성되는 행위 특성값 데이터와 비교함으로써 악성 행위를 탐지하는 제5 단계를 포함하는 것을 특징으로 하는 프로세스 행위 예측 기법을 이용한 비정형 악성코드 탐지 방법.And a fifth step of detecting malicious behavior by comparing the atypical malicious behavior characteristic value (prediction pattern) extracted in the fourth stage with the behavior characteristic value data configured in the third stage. Atypical malware detection method using. 제5항에 있어서,The method of claim 5, 상기 제2 단계에서, 파일 시스템, 프로세스, 레지스트리, 서비스 및 네트워크 항목에 대한 개별 이벤트 정보를 수집하는 것을 특징으로 하는 프로세스 행위 예측 기법을 이용한 비정형 악성코드 탐지 방법.In the second step, the atypical malware detection method using the process behavior prediction technique, characterized in that collecting individual event information for the file system, process, registry, service and network items. 제5항에 있어서,The method of claim 5, 상기 제3 단계에서, 상기 통합 로그의 재구성시 이벤트 발생 시간을 기준으로 상기 실행코드들의 연관성 있는 행위 특성값 데이터가 하나의 레코드로 구성되는 것을 특징으로 하는 프로세스 행위 예측 기법을 이용한 비정형 악성코드 탐지 방법.In the third step, the atypical malware detection method using the process behavior prediction method, characterized in that the behavioral characteristic value data of the execution codes are composed of one record based on the event occurrence time when the integrated log is reconstructed. . 제7항에 있어서,The method of claim 7, wherein 상기 레코드 구성시, 이벤트가 없는 레코드 필드의 값을 최근 이벤트 유효 시간 범위에서 기재하고, 상기 최근 이벤트 유효 시간 범위에서 벗어났을 경우에는 null 값을 기록하는 것을 특징으로 하는 프로세스 행위 예측 기법을 이용한 비정형 악성코드 탐지 방법.When configuring the record, the value of the record field without an event is described in the recent event validity time range, and if it is out of the recent event validity time range, a null value is recorded. Code detection method.
KR1020070100391A 2006-11-23 2007-10-05 Anomaly Malicious Code Detection Method using Process Behavior Prediction Technique KR100910761B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
US11/944,268 US8181248B2 (en) 2006-11-23 2007-11-21 System and method of detecting anomaly malicious code by using process behavior prediction technique

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR20060116572 2006-11-23
KR1020060116572 2006-11-23

Publications (2)

Publication Number Publication Date
KR20080047261A KR20080047261A (en) 2008-05-28
KR100910761B1 true KR100910761B1 (en) 2009-08-04

Family

ID=39663908

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020070100391A KR100910761B1 (en) 2006-11-23 2007-10-05 Anomaly Malicious Code Detection Method using Process Behavior Prediction Technique

Country Status (1)

Country Link
KR (1) KR100910761B1 (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101256461B1 (en) 2012-09-03 2013-04-19 주식회사 안랩 Apparatus and method for detecting start point of process
KR101291470B1 (en) * 2011-06-17 2013-08-23 지경배 Security Method using Apparatus for Management Unified Security
KR20170036465A (en) 2015-09-24 2017-04-03 아주대학교산학협력단 System and method for detecting malicious code

Families Citing this family (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101047118B1 (en) * 2008-12-22 2011-07-07 한국전자통신연구원 Network security system and method for detecting exploit code
KR101031786B1 (en) * 2009-02-03 2011-04-29 주식회사 안철수연구소 Malicious code prevention apparatus and method using level classification of suspicious behavior and isolated execution, and computer-readable medium storing program for method thereof
KR101039717B1 (en) 2009-07-07 2011-06-09 한국전자통신연구원 Cyber Threat Forecasting Engine System for Predicting Cyber Threats and Method for Predicting Cyber Threats Using the Same System
KR101210258B1 (en) * 2010-05-25 2012-12-10 주식회사 잉카인터넷 method for displaying information about hack tool usage in online game
KR101308866B1 (en) * 2011-12-27 2013-09-13 한국과학기술원 Open type system for analyzing and managing malicious code
KR102017756B1 (en) * 2014-01-13 2019-09-03 한국전자통신연구원 Apparatus and method for detecting abnormal behavior
KR102000133B1 (en) * 2014-02-03 2019-07-16 한국전자통신연구원 Apparatus and method for detecting malicious code based on collecting event information
KR101898997B1 (en) * 2017-02-03 2018-09-14 주식회사 안랩 Malicious code detection system and malicious code detecting method
US10061921B1 (en) 2017-02-13 2018-08-28 Trend Micro Incorporated Methods and systems for detecting computer security threats
US10356119B1 (en) * 2017-03-28 2019-07-16 Trend Micro Incorporated Detection of computer security threats by machine learning
CN111652180B (en) * 2020-06-16 2023-11-17 北京梧桐车联科技有限责任公司 Defect positioning method, device, equipment and computer readable storage medium
CN113010892B (en) * 2021-03-26 2022-09-20 支付宝(杭州)信息技术有限公司 Method and device for detecting malicious behavior of small program
KR20240009131A (en) 2022-07-13 2024-01-22 포체인스 주식회사 Malware prediction device using weighted distance function and malware prediction method using the same

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20020075319A (en) * 2002-07-19 2002-10-04 주식회사 싸이버텍홀딩스 Intelligent Security Engine and Intelligent and Integrated Security System Employing the Same
KR20060005719A (en) * 2004-07-14 2006-01-18 엘지엔시스(주) Apparatus and method for searching and cutting off abnormal traffic by packet header analysis

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20020075319A (en) * 2002-07-19 2002-10-04 주식회사 싸이버텍홀딩스 Intelligent Security Engine and Intelligent and Integrated Security System Employing the Same
KR20060005719A (en) * 2004-07-14 2006-01-18 엘지엔시스(주) Apparatus and method for searching and cutting off abnormal traffic by packet header analysis

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101291470B1 (en) * 2011-06-17 2013-08-23 지경배 Security Method using Apparatus for Management Unified Security
KR101256461B1 (en) 2012-09-03 2013-04-19 주식회사 안랩 Apparatus and method for detecting start point of process
KR20170036465A (en) 2015-09-24 2017-04-03 아주대학교산학협력단 System and method for detecting malicious code

Also Published As

Publication number Publication date
KR20080047261A (en) 2008-05-28

Similar Documents

Publication Publication Date Title
KR100910761B1 (en) Anomaly Malicious Code Detection Method using Process Behavior Prediction Technique
US8181248B2 (en) System and method of detecting anomaly malicious code by using process behavior prediction technique
Bridges et al. A survey of intrusion detection systems leveraging host data
Corona et al. Adversarial attacks against intrusion detection systems: Taxonomy, solutions and open issues
Saeed et al. A survey on malware and malware detection systems
Verwoerd et al. Intrusion detection techniques and approaches
Landage et al. Malware and malware detection techniques: A survey
US11562068B2 (en) Performing threat detection by synergistically combining results of static file analysis and behavior analysis
CN107888607A (en) A kind of Cyberthreat detection method, device and network management device
US20030084319A1 (en) Node, method and computer readable medium for inserting an intrusion prevention system into a network stack
Liao et al. Network forensics based on fuzzy logic and expert system
Tan et al. Hiding intrusions: From the abnormal to the normal and beyond
CN110958257B (en) Intranet permeation process reduction method and system
CN113422771A (en) Threat early warning method and system
US11909761B2 (en) Mitigating malware impact by utilizing sandbox insights
Kaur et al. Efficient hybrid technique for detecting zero-day polymorphic worms
Moussaileb et al. Ransomware network traffic analysis for pre-encryption alert
CN116860489A (en) System and method for threat risk scoring of security threats
Al-Maksousy et al. NIDS: Neural network based intrusion detection system
US20030084344A1 (en) Method and computer readable medium for suppressing execution of signature file directives during a network exploit
Abuzaid et al. An efficient trojan horse classification (ETC)
Khan et al. A dynamic method of detecting malicious scripts using classifiers
Vigna et al. Host-based intrusion detection
Chowdhury et al. Malware detection for healthcare data security
JP2004054330A (en) Illicit command/data detecting system, illicit command/data detecting method and illicit command/data detecting program

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20130710

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20140630

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20150703

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20160726

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20170608

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20190729

Year of fee payment: 11