KR100927240B1 - 가상환경을 통한 악성코드탐지방법 - Google Patents

가상환경을 통한 악성코드탐지방법 Download PDF

Info

Publication number
KR100927240B1
KR100927240B1 KR1020090050662A KR20090050662A KR100927240B1 KR 100927240 B1 KR100927240 B1 KR 100927240B1 KR 1020090050662 A KR1020090050662 A KR 1020090050662A KR 20090050662 A KR20090050662 A KR 20090050662A KR 100927240 B1 KR100927240 B1 KR 100927240B1
Authority
KR
South Korea
Prior art keywords
file
attachment
virtual environment
malicious code
mail
Prior art date
Application number
KR1020090050662A
Other languages
English (en)
Inventor
한은섭
Original Assignee
주식회사 이글루시큐리티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 이글루시큐리티 filed Critical 주식회사 이글루시큐리티
Application granted granted Critical
Publication of KR100927240B1 publication Critical patent/KR100927240B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/53Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Bioethics (AREA)
  • Medical Informatics (AREA)
  • Databases & Information Systems (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

본 발명은 가상환경을 통한 악성코드탐지시스템에 관한 것으로서, 보다 상세하게는 가상환경에서 첨부파일 실행시에 새로이 생성되는 프로세스, 네트워크, 파일생성 및 레지스트리를 종합적으로 분석함으로써 악성코드탐지효율을 높임은 물론 사전에 정상작동과정에서 생성되는 프로세스, 네트워크, 파일생성 및 레지스트리를 예외처리사항으로 등록하여 오탐률을 줄일 수 있으며, 첨부파일의 크기를 체크하여 분석대상여부를 선별하고, 동일한 첨부파일에 대해서는 중복분석을 피하고, 확장자 변조를 탐지하여 악성코드탐지효율을 높일 수 있고, 악성코드로 탐지 시 첨부파일을 탐지결과로 대체하여 이메일 수신자에게 전송할 수 있는 것을 특징으로 하는 가상환경을 통한 악성코드탐지방법에 관한 것이다.
가상환경, 악성코드, 프로세스, 네트워크, 파일생성, 레지스트리

Description

가상환경을 통한 악성코드탐지방법{A Malicious Code Detection Method using Virtual Environment}
본 발명은 가상환경을 통한 악성코드탐지시스템에 관한 것으로서, 보다 상세하게는 가상환경에서 첨부파일 실행시에 새로이 생성되는 프로세스, 네트워크, 파일생성 및 레지스트리를 종합적으로 분석함으로써 악성코드탐지효율을 높임은 물론 사전에 정상작동과정에서 생성되는 프로세스, 네트워크, 파일생성 및 레지스트리를 예외처리사항으로 등록하여 오탐률을 줄일 수 있으며, 첨부파일의 크기를 체크하여 분석대상여부를 선별하고, 동일한 첨부파일에 대해서는 중복분석을 피하고, 확장자 변조를 탐지하여 악성코드탐지효율을 높일 수 있고, 악성코드로 탐지 시 첨부파일을 탐지결과로 대체하여 이메일 수신자에게 전송할 수 있는 것을 특징으로 하는 가상환경을 통한 악성코드탐지방법에 관한 것이다.
전자메일은 인터넷 또는 유무선 통신망을 통해 다자간에 메시지를 전송하는 통신 수단으로 그 사용이 빠른 속도로 늘고 있다. 이처럼 전자메일의 사용이 보편화되고 그 비중이 커지면서 불특정 다수를 대상으로 하는 광고/마케팅의 매개체로 전자메일을 이용하는 스팸메일이 급증하고 있다. 따라서, 수신자가 불필요한 스팸 메일을 확인 및 삭제하기 위하여 많은 시간과 노력을 들여야 할 뿐만 아니라 악성 코드에 노출될 수 있으며, 네트워크 및 시스템의 리소스를 불필요하게 낭비하게 되는 등 문제점이 발생하였다.
이러한 스팸메일을 차단하기 위한 종래의 기술을 살펴보면, 대표적으로 스팸메일의 공통적인 특성에 근거하여 전자메일의 제목이나 내용에 특정 단어 등이 포함되었는지 여부를 검색하여 필터링하는 방식과, 특히 스팸 신고된 도메인 또는 전자메일 주소에 대한 블랙 리스트를 작성하여 이러한 도메인 또는 전자메일 주소로부터 전송된 전자메일을 차단하는 방식이 있다.
그러나, 특정 단어 등을 검색하여 필터링하는 방식의 경우, 과거에 수신된 스팸메일로부터 추론된 정보에 근거하므로 날로 진화하는 스팸메일을 효과적으로 차단하는 것이 곤란하고, 텍스트가 아닌 이미지로 이루어진 스팸메일의 경우 적절한 필터링이 곤란한 문제점이 있었다. 또한, 특정 단어 등이 포함된 전자메일을 필터링하므로 이러한 단어가 포함된 정상적인 전자메일까지 걸러내게 되는 문제점이 있었다. 또한, 블랙 리스트를 이용하는 방식의 경우, 스팸메일의 발신자가 다양한 발신자 전자메일 주소를 사용하거나 가상의 전자메일 주소를 생성하여 사용할 경우 이를 차단할 수 없는 문제점이 있었다.
또한 종래의 한국공개특허공보 제2008-0093086호(2008.10.20)에서는 스팸메일 차단시스템을 제안하였는데, 상기 종래기술은 각 전자메일을 전송하는 발신자의 전자메일 주소로 상기 발신자를 인증하기 위한 인증메일을 전송하고, 상기 인증메일에 대한 상기 발신자의 응답여부에 따라 상기 발신자를 인증하고 상기 전자메일 을 수신/삭제 처리하는 스팸메일 차단 시스템을 제안하고 있다. 그러나 이와 같은 상기 종래기술은 인증시스템을 통해 발신자를 인증하는 방법으로서 첨부된 파일의 위험유무를 떠나서 발신자의 인증여부만을 확인하기 때문에 인증된 발신자의 단말기에 침투된 악성코드나 바이러스가 감염된 첨부파일에 대한 탐지기능은 없다. 즉, 상기와 같은 종래의 기술은 스팸메일을 차단하는 기능은 구현가능하나, 스팸메일보다 더 치명적인 바이러스나 악성코드를 탐지할 수 없는 한계점을 갖는다.
이에 따라 근래에 들어서는 가상환경을 이용해 악성코드를 탐지하고자 하는 아이디어적인 접근방식의 논의가 대두되고 있으나, 이를 실제로 상용화할 정도의 구체적인 탐지방법은 제시되지 못하고 있는 실정이다. 왜냐하면 단순히 가상환경에서 전자메일상의 첨부파일을 실행시켜본다 하더라도 그 자체에 의해 악성코드를 정확하게 탐지해내는 것은 어렵고, 따라서 이러한 탐지방법을 실현시키기 위해서는 현실적으로 쉽지 않은 많은 문제점들을 해결해야할 과제를 안고 있기 때문이다.
본 발명은 이러한 가상환경을 이용한 악성코드탐지방법을 실현시키고자 하는 모티브에서 출발하여 종래의 문제점들을 해결하는 새로운 악성코드탐지방법을 제시하고자 안출된 것이다.
본 발명은 상기와 같은 문제점을 해결하기 위해 안출된 것으로,
본 발명의 목적은 가상환경에서 첨부파일 실행에 따라 새로이 생성되는 프로세스생성, 네트워크접속, 파일생성 및 레지스트리정보 등을 종합적으로 분석함으로써 악성코드탐지효율을 높임은 물론, 사전에 정상작동과정에서 생성되는 프로세스, 네트워크, 파일생성 및 레지스트리를 예외처리사항으로 등록하여 오탐률을 줄일 수 있는 것을 특징으로 하는 가상환경을 통한 악성코드탐지방법을 제공하는 것이다.
본 발명의 다른 목적은 이메일에 첨부되는 첨부파일의 용량에 따라 분석대상을 선별함으로써, 악성코드탐지의 처리효율을 높일 수 있는 가상환경을 통한 악성코드탐지방법을 제공하는 것이다.
본 발명의 또 다른 목적은 가상환경에서의 첨부파일 실행 전에 첨부파일에 대한 캐싱기능을 수행하여 기존에 분석이 완료된 첨부파일과 동일한 첨부파일이 중복적으로 수신된 경우 중복적인 분석작업을 생략함으로써, 악성코드탐지의 처리효율을 높일 수 있는 가상환경을 통한 악성코드탐지방법을 제공하는 것이다.
본 발명의 또 다른 목적은 악성코드가 첨부파일의 확장자를 변조하여 악성코드탐지를 회피하는 것을 방지하기 위해 윈도우실행포맷 형태인지 여부를 검사함으로써, 악성코드탐지의 오탐률을 줄일 수 있는 가상환경을 통한 악성코드탐지방법을 제공하는 것이다.
본 발명의 또 다른 목적은 악성코드탐지결과 악성코드로 판명된 경우 그 탐 지결과를 별도의 문서파일로 작성하여 메일원본의 첨부파일과 대체하여 이메일 수신자에게 경보함으로써, 향후 동일한 이메일 수신을 예방할 수 있도록 하는 가상환경을 통한 악성코드탐지방법을 제공하는 것이다.
상술한 본 발명의 목적을 달성하기 위한 가상환경을 통한 악성코드탐지방법은 다음과 같은 구성을 포함한다.
본 발명의 일 실시예에 따른 가상환경을 통한 악성코드탐지방법은 가상환경에서의 파일실행을 통해 이메일에 첨부된 첨부파일의 악성코드 유무를 탐지하는 방법에 있어, 수신된 메일에 첨부된 첨부파일의 유무를 확인하고 첨부된 첨부파일을 분리하여 분배부에 전송하는 메일추출부의 메일추출단계; 상기 메일추출단계에서 전송된 첨부파일을 부하분산환경에 따라 선택한 첨부파일분석부에 전송하는 분배부의 분배단계; 상기 분배단계에서 전송된 첨부파일의 특성을 분석한 후 가상환경분석부에 전송하는 첨부파일분석부의 첨부파일분석단계; 상기 첨부파일분석단계에서 전송된 첨부파일을 가상환경에서 실행시킴에 따라 악성코드 유무를 판단하는 가상환경분석부의 가상환경분석단계;를 포함하는 것을 특징으로 한다.
본 발명의 다른 실시에에 따르면, 본 발명에 따른 가상환경을 통한 악성코드탐지방법에 있어 상기 메일추출단계는 메일을 수신하고 저장하는 메일수신단계와, 상기 메일수신단계에서 수신된 메일에 첨부파일이 존재하는지 여부를 판단하는 첨부파일판단단계와, 상기 첨부파일판단단계에서 첨부파일이 존재하는 것으로 판단된 메일에서 첨부된 첨부파일을 분리하는 첨부파일분리단계와, 상기 첨부파일분리단계 에서 분리된 첨부파일의 크기를 체크하여 분석대상여부를 판별하는 첨부파일크기확인단계와, 상기 첨부파일크기확인단계에서 분석대상으로 판별된 첨부파일을 상기 분배부에 전송하는 분배요청단계를 포함함으로써, 분석대상 첨부파일의 크기를 일정기준으로 제한하여 악성코드탐지방법의 실행효율을 증대시킬 수 있는 것을 특징으로 한다.
본 발명의 또 다른 실시에에 따르면, 본 발명에 따른 가상환경을 통한 악성코드탐지방법에 있어 상기 분배단계는 상기 분배요청단계를 통해 전송된 첨부파일을 수신하는 수신단계와, 상기 수신단계에서 첨부파일을 수신하면 첨부파일분석부에서의 첨부파일분석가능 여부를 판단하기 위해 현재 첨부파일분석부들의 구동상태에 따른 부하를 확인하는 부하확인단계와, 상기 부하확인단계에서 첨부파일분석이 가능한 것으로 판단된 첨부파일분석부와의 인터페이스연결상태를 확인하여 연결가능 여부를 확인하는 연결확인단계와, 상기 연결확인단계에서 연결 가능한 것으로 확인된 첨부파일분석부에 첨부파일을 전송하는 첨부파일분석요청단계를 포함하는 것을 특징으로 한다.
본 발명의 또 다른 실시에에 따르면, 본 발명에 따른 가상환경을 통한 악성코드탐지방법에 있어 상기 첨부파일분석단계는 상기 첨부파일분석요청단계를 통해 전송된 첨부파일을 수신하는 수신단계와, 상기 수신단계에서 수신된 첨부파일에 대해 캐싱기능을 수행하는 캐싱수행단계와, 가상환경분석부에서의 첨부파일실행가능 여부를 판단하기 위해 현재 가상환경분석부들의 구동상태에 따른 부하를 확인하는 사용가능확인단계와, 상기 사용가능확인단계에서 사용가능한 것으로 확인된 가상환 경분석부에 첨부파일을 전송하는 가상환경분석요청단계를 포함하며, 상기 캐싱수행단계는 수신된 첨부파일에 대해 해쉬함수를 통해 해쉬값을 생성하는 해쉬값생성단계와, 상기 해쉬값생성단계를 통해 생성된 해쉬값을 해쉬값저장모듈에 저장된 종래의 해쉬값들과 대비하는 해쉬값분석단계와, 상기 해쉬값분석단계에서 동일한 해쉬값이 발견되지 않는 경우 해쉬값저장모듈에 해쉬값과 저장시간을 함께 저장하는 해쉬값저장단계와, 상기 해쉬값저장단계에서 저장된 해쉬값을 기준시간 경과 후 삭제하는 해쉬값삭제단계를 포함함으로써, 수신되는 동일한 첨부파일에 대해서는 중복적인 가상환경분석을 방지할 수 있도록 하여 악성코드탐지방법의 처리성능향상을 도모할 수 있는 것을 특징으로 한다.
본 발명의 또 다른 실시에에 따르면, 본 발명에 따른 가상환경을 통한 악성코드탐지방법에 있어 상기 첨부파일분석단계는 상기 캐싱수행단계 이후에 수신된 첨부파일의 확장자 변조를 탐지하는 확장자변조탐지단계를 추가로 포함하며, 상기 확장자변조탐지단계는 수신된 첨부파일이 윈도우실행파일 형태인지 여부를 검사하는 확장자검사단계와, 상기 확장자검사단계를 통해 윈도우실행파일 형태로 확인된 첨부파일의 확장자 뒤에 윈도우실행파일의 확장자를 생성시키는 확장자생성단계를 포함함으로써, 윈도우에서 실행가능한 파일이 확장자 변조를 통해 악성코드탐지를 회피하는 것을 방지하여 악성코드탐지방법의 처리성능향상을 도모할 수 있는 것을 특징으로 한다.
본 발명의 또 다른 실시에에 따르면, 본 발명에 따른 가상환경을 통한 악성코드탐지방법에 있어 상기 가상환경분석단계는 상기 가상환경분석요청단계를 통해 전송된 첨부파일을 수신하는 수신단계와, 상기 수신단계를 통해 첨부파일을 수신하면 바이러스나 악성코드가 전혀 없는 사용자 단말기의 가상환경을 구축하는 초기화단계와, 상기 초기화단계를 통해 구축된 가상환경에 실행시킬 첨부파일의 타입을 분류하는 타입분석단계와, 상기 타입분석단계에서 분류된 타입에 맞게 첨부파일을 실행시키고 그 실행결과를 수집하는 감시단계와, 상기 감시단계에서 수집된 실행결과를 토대로 예외처리리스트에 등록된 예외처리에 해당하는 실행결과를 제외하여 악성코드 유무를 판단하는 판단단계를 포함함으로써, 첨부파일이 실행됨에 따라 새로 생성되는 자원 중 정상적인 실행과정에서 생성되는 자원을 미리 예외처리리스트에 등록시켜 악성코드탐지방법이 오탐률을 감소시킬 수 있는 것을 특징으로 한다.
본 발명의 또 다른 실시에에 따르면, 본 발명에 따른 가상환경을 통한 악성코드탐지방법에 있어 상기 감시단계는 프로세스감시모듈에 의해 가상환경에서 첨부파일이 실행되는 과정에서 새로운 프로세스가 생성되는지를 감시하는 프로세스감시단계와, 네트워크감시모듈에 의해 가상환경에서 첨부파일이 실행되는 과정에서 새로운 네트워크 접속이 생성되는지 여부를 감시하는 네트워크감시단계와, 파일생성감시모듈에 의해 가상환경에서 첨부파일이 실행되는 과정에서 새로운 파일이 생성되는지 여부를 감시하는 파일생성감시단계와, 레지스트리감시모듈에 의해 가상환경에서 첨부파일이 실행되는 과정에서 새로운 레지스트리 정보가 생성되는지 여부를 감시하는 레지스트리감시단계를 포함함으로써, 첨부파일이 실행되는 과정에서의 프로세스생성, 네트워크접속, 파일생성 및 레지스트리정보를 복합적으로 체크하여 악성코드탐지방법의 처리성능향상을 도모할 수 있는 것을 특징으로 한다.
본 발명의 또 다른 실시에에 따르면, 본 발명에 따른 가상환경을 통한 악성코드탐지방법은 첨부파일이 악성코드로 탐지되는 경우 이를 이메일 수신자에게 통지하는 경보단계를 추가로 포함하고, 상기 경보단계는 첨부파일에서 악성코드가 탐지된 사실을 통지하는 별도의 문서파일을 생성하여, 수신된 메일에 악성코드가 탐지된 첨부파일 대신에 상기 문서파일을 첨부하는 경보메일작성단계와, 상기 경보메일작성단계를 통해 문서파일이 첨부된 메일을 이메일 수신자에게 전송하는 전송단계를 포함함으로써, 첨부파일에서 악성코드가 탐지된 경우 이메일 수신자에게 이를 통지하여 향후 동일한 이메일 수신을 예방할 수 있도록 하는 것을 특징으로 한다.
본 발명은 앞서 본 실시예와 하기에 설명할 구성과 결합, 사용관계에 의해 다음과 같은 효과를 얻을 수 있다.
본 발명은 가상환경에서 첨부파일 실행에 따라 새로이 생성되는 프로세스생성, 네트워크접속, 파일생성 및 레지스트리정보 등을 종합적으로 분석함으로써 악성코드탐지효율을 높임은 물론, 사전에 정상작동과정에서 생성되는 프로세스, 네트워크, 파일생성 및 레지스트리를 예외처리사항으로 등록하여 오탐률을 줄일 수 있는 것을 특징으로 하는 가상환경을 통한 악성코드탐지방법을 제공한다.
본 발명은 이메일에 첨부되는 첨부파일의 용량에 따라 분석대상을 선별함으로써, 악성코드탐지의 처리효율을 높일 수 있는 가상환경을 통한 악성코드탐지방법을 제공한다.
본 발명은 가상환경에서의 첨부파일 실행 전에 첨부파일에 대한 캐싱기능을 수행하여 기존에 분석이 완료된 첨부파일과 동일한 첨부파일이 중복적으로 수신된 경우 중복적인 분석작업을 생략함으로써, 악성코드탐지의 처리효율을 높일 수 있는 가상환경을 통한 악성코드탐지방법을 제공한다.
본 발명은 악성코드가 첨부파일의 확장자를 변조하여 악성코드탐지를 회피하는 것을 방지하기 위해 윈도우실행포맷 형태인지 여부를 검사함으로써, 악성코드탐지의 오탐률을 줄일 수 있는 가상환경을 통한 악성코드탐지방법을 제공한다.
본 발명은 악성코드탐지결과 악성코드로 판명된 경우 그 탐지결과를 별도의 문서파일로 작성하여 메일원본의 첨부파일과 대체하여 이메일 수신자에게 경보함으로써, 향후 동일한 이메일 수신을 예방할 수 있도록 하는 가상환경을 통한 악성코드탐지방법을 제공한다.
이하에서는 본 발명에 따른 가상환경을 통한 악성코드탐지방법의 바람직한 실시예를 첨부된 도면을 참조하여 상세히 설명한다.
도 1은 본 발명에 따른 가상환경을 통한 악성코드탐지방법의 개요를 설명하기 위한 참고도이고, 도 2는 본 발명에 따른 가상환경을 통한 악성코드탐지방법이 구현되는 시스템의 구조를 도시한 블럭도이고, 도 3은 본 발명의 일 실시예에 따른 가상환경을 통한 악성코드탐지방법의 블럭도이고, 도 4는 본 발명의 일 실시예에 따른 가상환경을 통한 악성코드탐지방법에서 메일추출단계를 도시한 순서도이고, 도 5는 본 발명의 일 실시예에 따른 가상환경을 통한 악성코드탐지방법에서 분배단 계를 도시한 순서도이고, 도 6은 본 발명의 일 실시예에 따른 가상환경을 통한 악성코드탐지방법에서 첨부파일분석단계를 도시한 순서도이고, 도 7은 본 발명의 일 실시예에 따른 가상환경을 통한 악성코드탐지방법에서 가상환경분석단계를 도시한 순서도이고, 도 8은 본 발명의 일 실시예에 따른 가상환경을 통한 악성코드탐지방법에서 경보단계를 도시한 순서도이다.
본 발명에 따른 가상환경을 통한 악성코드탐지방법의 바람직한 실시예들을 설명하기 전에 먼저 본 발명에 따른 가상환경을 통한 악성코드탐지방법이 구현되는 시스템의 구조에 대해 참고로 설명하도록 한다.
도 1 및 2를 참조하면, 본 발명에 따른 가상환경을 통한 악성코드탐지방법이 구현되는 악성코드탐지시스템(100)은 인터넷망을 통해 다양한 외부단말기(1)들로부터 이메일을 수신하고 이를 수신자단말기(300)에 전송하는 메일서버(200)의 전단계에서 수신되는 메일의 첨부파일에서 악성코드나 바이러스(이하에서는 이를 통칭하는 개념으로 '악성코드'라는 용어를 사용하도록 함)에 감염된 첨부파일을 탐지하는 시스템으로, 상기 악성코드탐지시스템(100)은 수신된 메일의 첨부파일 유무를 확인하여 첨부파일을 분리하고 첨부파일의 크기를 선별하여 분배부(120)에 전송하는 메일추출부(110); 상기 메일추출부(110)로부터 첨부파일을 수신하여 수신된 첨부파일을 부하 분산(Loadbalancing)하여 첨부파일분석부(130)에 전송하는 분배부(120); 상기 분배부(120)로부터 수신된 첨부파일에 대해 캐싱기능과 확장자변조탐지를 수 행하여 첨부파일을 분석한 후 가상환경분석부(140)에 전송하는 첨부파일분석부(130); 상기 첨부파일분석부(130)로부터 수신된 첨부파일에 대해 이메일 수신자의 단말기(300)와 동일한 조건의 가상환경을 만들어 첨부파일을 실행시킴으로써 악성코드를 탐지하는 가상환경분석부(140); 수신된 이메일의 날짜, 제목, 발신자, 수신자, 원문, 첨부파일과 처리상태(악성코드 유무, 악성코드 판단이유 등 포함) 등을 저장하는 데이타베이스(150);를 포함한다.
상기 메일추출부(110)는 수신된 메일을 데이터베이스(150)에 저장하고 수신된 메일에 첨부파일이 첨부되어 있는지 여부를 확인하여 첨부파일이 첨부되어 있지 않은 메일을 제1통신모듈(114)을 통해 메일서버(200)에 전송하는 메일관리모듈(111)과, 첨부파일이 첨부된 것으로 확인된 메일에서 첨부파일을 분리하여 그 크기를 확인한 후 제1통신모듈(114)을 통해 분배부(120)에 전송하고 첨부파일이 분리된 메일원문은 데이터베이스(150)에 저장하는 첨부파일분리모듈(112)과, 가상환경에서의 첨부파일 분석결과 악성코드가 탐지된 결과를 전송받음에 따라 이메일 수신자에게 첨부파일에 악성코드가 탐지되었음을 알리는 경보메세지를 작성하여 첨부파일이 분리된 메일원문에 첨부하여 제1통신모듈(114)을 통해 메일서버(200)에 전송하는 파일조합모듈(113)과, 메일서버(200), 분배부(120), 첨부파일분석부(130) 및 가상환경분석부(140)와 연결되어 정보를 송수신하는 제1통신모듈(114)를 포함한다.
상기 분배부(120)는 상기 메일추출부(110)로부터 전송된 첨부파일을 부하분산을 통해 첨부파일분석부(130)에 제2통신모듈(123)을 통해 전송하는 부하분산모듈(121)과, 부하분산을 위한 첨부파일분석부(130)의 처리용량이나 과부하의 정도를 포함하는 기초데이터를 설정 및 등록하고 제2통신모듈(123)의 포트설정 등을 관리하는 분배관리모듈(122)과, 메일추출부(110), 첨부파일분석부(130) 및 가상환경분석부(140)와 연결되어 정보를 송수신하는 제2통신모듈(123)을 포함한다.
상기 첨부파일분석부(130)는 상기 분배부(120)로부터 전송된 첨부파일에 해쉬함수를 통해 해쉬값을 생성하는 해쉬값생성모듈(131)과, 해쉬값생성모듈(131)을 통해 생성된 해쉬값과 해쉬값저장모듈(133)에 저장되어 있는 기존의 해쉬값을 비교하고 동일한 해쉬값이 존재하는 경우 데이터베이스(150)에 저장되어 있는 종래 첨부파일에 대한 분석결과를 제3통신모듈(136)을 통해 메일추출부(110)에 전송하는 해쉬값분석모듈(132)과, 해쉬값분석모듈(132)의 분석결과 동이한 해쉬값이 존재하지 않는 경우 생성된 해쉬값을 저장하고 지정시간이 경과되면 자동으로 삭제하는 해쉬값저장모듈(133)과, 전송된 첨부파일의 확장자가 윈도우에서 실행가능한 포맷 즉, 윈도우실행파일(PE 포맷)인지 여부를 검사하는 확장자탐지모듈(134)과, 첨부파일의 확장자 검사결과 윈도우실행파일인 PE포맷으로 탐지된 경우 확장자 뒤에 윈도우실행파일의 확장자(일 예로 .exe)를 강제로 생성시키는 확장자생성모듈(135)과, 메일추출부(110), 분배부(120) 및 가상환경분석부(140)와 연결되어 정보를 송수신하는 제3통신모듈(136)을 포함한다.
상기 가상환경분석부(140)는 상기 첨부파일분석부(130)로부터 첨부파일이 전송되면 악성코드가 감염되지 않은 깨끗한 상태의 가상의 단말기환경으로 초기화하는 가상환경관리모듈(141)과, 전송된 첨부파일의 타입을 윈도우실행파일과 구동시 키는 애플리케이션(예를 들면, 한글, MS워드, 엑셀, 이미지뷰어 등)별로 분류하는 타입분류모듈(142)과, 가상환경에서의 첨부파일 실행시 새로운 프로세서가 생성되는지 여부를 감시하고 이를 예외처리리스트에 등록된 정상프로세서와 비교하여 악성코드여부를 판단하는 프로세스감시모듈(143)과, 가상환경에서의 첨부파일 실행시 새로운 네트워크 접속이 생성되는지 여부를 감시하고 이를 예외처리리스트에 등록된 정상네트워크접속과 비교하여 악성코드여부를 판단하는 네트워크감시모듈(144)과, 가상환경에서의 첨부파일 실행시 새로운 파일이 생성되는지 여부를 감시하고 이를 예외처리리스트에 등록된 정상파일과 비교하여 악성코드여부를 판단하는 파일생성감시모듈(145)과, 가상환경에서의 첨부파일 실행시 새로운 레지스트리정보가 생성되는지 여부를 감시하고 이를 예외처리리스트에 등록된 정상레지스트리와 비교하여 악성코드여부를 판단하는 레지스트리감시모듈(146)과, 메일추출부(110), 분배부(120) 및 첨부파일분석부(130)와 연결되어 정보를 송수신하는 제4통신모듈(147)을 포함한다.
상기 데이타베이스(150)는 수신된 이메일의 날짜, 제목, 발신자, 수신자, 원문, 첨부파일과 그 처리상태(악성코드 유무, 악성코드 판단이유 등 포함) 등을 저장하고 필요한 경우 이를 변경, 송수신할 수 있는 구성을 의미한다.
도 3 내지 8을 참조하면, 본 발명의 일 실시에에 따른 가상환경을 통한 악성코드탐지방법은 수신된 메일에 첨부된 첨부파일의 유무를 확인하고 첨부된 첨부파일을 분리하여 분배부(120)에 전송하는 메일추출부(110)의 메일추출단계(S1); 상기 메일추출단계(S1)에서 전송된 첨부파일을 부하분산환경에 따라 선택한 첨부파일분석부(130)에 전송하는 분배부(120)의 분배단계(S3); 상기 분배단계(S3)에서 전송된 첨부파일의 특성을 분석한 후 가상환경분석부(140)에 전송하는 첨부파일분석부(130)의 첨부파일분석단계(S5); 상기 첨부파일분석단계(S5)에서 전송된 첨부파일을 가상환경에서 실행시킴에 따라 악성코드 유무를 판단하는 가상환경분석부(140)의 가상환경분석단계(S7); 첨부파일이 악성코드로 탐지되는 경우 이를 이메일 수신자에게 통지하는 메일추출부(110)의 경보단계(S9);를 포함하는 것을 특징으로 한다.
상기 메일추출단계(S1)는 수신된 메일에 첨부된 첨부파일의 유무를 확인하고 첨부된 첨부파일을 분리하여 분배부(120)에 전송하는 단계로, 메일을 수신하고 저장하는 메일수신단계(S11)와, 상기 메일수신단계(S11)에서 수신된 메일에 첨부파일이 존재하는지 여부를 판단하는 첨부파일판단단계(S12)와, 상기 첨부파일판단단계(S12)에서 첨부파일이 존재하는 것으로 판단된 메일에서 첨부된 첨부파일을 분리하는 첨부파일분리단계(S13)와, 상기 첨부파일분리단계(S13)에서 분리된 첨부파일의 크기를 체크하여 분석대상여부를 판별하는 첨부파일크기확인단계(S14)와, 상기 첨부파일크기확인단계(S14)에서 분석대상으로 판별된 첨부파일을 상기 분배부(120)에 전송하는 분배요청단계(S15)를 포함함으로써, 분석대상 첨부파일의 크기를 일정기준으로 제한하여 악성코드탐지방법의 실행효율을 증대시킬 수 있는 것을 특징으로 한다.
상기 메일수신단계(S11)는 상기 메일추출부(110)의 제1통신모듈(114)를 통해 이메일을 수신하는 단계이다.
상기 첨부파일판단단계(S12)는 상기 메일추출부(110)의 메일관리모듈(111)이 수신된 이메일을 상기 데이터베이스(150)에 저장하고 수신된 이메일에 첨부파일이 첨부되어 있는지 여부를 확인하는 단계로, 확인결과 첨부파일이 첨부되어 있지 않은 경우에는 즉시 수신된 이메일을 제1통신모듈(114)을 통해 메일서버(200)에 전송하게 된다. 상기 첨부파일판단단계(S12)에서 첨부파일 첨부 여부를 판단하는 구체적인 방식으로는 수신된 이메일의 헤더를 확인하는 것으로, 컨텐츠-타입(content-type) 헤더를 확인하여 네임(name)속성이 있는지 또는 컨텐츠-디스포지션(content-disposition) 헤더를 확인하여 파일네임(filename)속성이 있는지를 확인하여 속성이 있으면 첨부파일이 존재한다고 판단하는 방식이 활용될 수 있다.
상기 첨부파일분리단계(S13)는 상기 첨부파일판단단계(S12)를 통해 첨부파일이 첨부된 것으로 판단된 경우 상기 메일추출부(110)의 첨부파일분리모듈(112)이 이메일에 첨부된 첨부파일을 메일원문에서 분리하는 단계로, 상기 첨부파일분리모듈(112)은 첨부파일이 분리된 메일원문만을 따로 상기 데이터베이스(150)에 저장하게 된다. 상기 첨부파일분리단계(S13)에서 첨부파일을 분리하는 구체적인 방식으로는 수신된 이메일을 바운더리(boundary)별로 분할하여 각 분할영역별로 첨부파일이 존재하면 헤더를 제외한 바디(body)영역을 컨텐츠-트랜스퍼-인코딩(content-transfer-encoding)헤더에 정의된 인코딩 방식으로 디코딩하여 파일로 저장하는 방식이 활용될 수 있다.
상기 첨부파일크기확인단계(S14)는 상기 메일추출부(110)의 첨부파일분리모듈(112)이 첨부파일을 메일원문에서 분리한 이후에 분리된 첨부파일의 크기를 체크하는 단계로, 통상적으로 크기가 일정크기 이상인 첨부파일을 가상환경에서 실행시키기에는 시간이 많이 소요되어 비효율적이고 일반적인 악성코드의 경우 그 크기가 일정크기 이하로 제한적인 경우가 대부분이기 때문에, 일정크기 이하의 첨부파일만을 가상환경에서 실행시켜 분석함으로써 악성코드탐지방법의 처리효율을 높일 수 있게 된다. 여기서 기준이 되는 첨부파일의 크기는 10MB 이하 크기의 첨부파일만을 그 분석대상으로 하는 것이 처리효율 측면에서 바람직하다. 확인결과 첨부파일의 크기가 일정크기 이상인 경우에는 즉시 수신된 이메일을 제1통신모듈(114)을 통해 메일서버(200)에 전송하게 된다. 상기 첨부파일크기확인단계(S14)에서는 분리된 첨부파일에 대해 File stat(스탯 함수)을 이용하여 크기를 확인하게 된다.
상기 분배요청단계(S15)는 상기 첨부파일크기확인단계(S14)를 통해 일정크기 이하의 첨부파일로 확인된 첨부파일을 상기 제1통신모듈(114)을 통해 상기 분배부(120)에 전송하는 단계이다.
상기 분배단계(S3)는 상기 메일추출단계(S1)에서 전송된 첨부파일을 부하분산환경에 따라 선택한 첨부파일분석부(130)에 전송하는 단계로, 상기 분배요청단계(S15)를 통해 전송된 첨부파일을 수신하는 수신단계(S31)와, 상기 수신단계(S31)에서 첨부파일을 수신하면 첨부파일분석부(130)에서의 첨부파일분석가능 여부를 판단하기 위해 현재 첨부파일분석부(130)들의 구동상태에 따른 부하를 확인하는 부하확인단계(S32)와, 상기 부하확인단계(S32)에서 첨부파일분석이 가능한 것으로 판단된 첨부파일분석부(130)와의 인터페이스연결상태를 확인하여 연결가능 여부를 확인하는 연결확인단계(S33)와, 상기 연결확인단계(S33)에서 연결 가능한 것으로 확인된 첨부파일분석부(130)에 첨부파일을 전송하는 첨부파일분석요청단계(S34)를 포함하는 것을 특징으로 한다.
상기 수신단계(S31)는 상기 분배부(120)의 제2통신모듈(123)을 통해 상기 분배요청단계(S15)에서 제1통신모듈(114)로부터 전송되는 첨부파일을 수신하는 단계이다.
상기 부하확인단계(S32)는 상기 수신단계(S31)를 통해 첨부파일이 수신되면 상기 분배부(120)의 부하분산모듈(121)이 각각의 첨부파일분석부(130)의 현재 구동상태와 부하용량을 확인하는 단계로, 각각의 첨부파일분석부(130)의 현재 분석상태 및 분석대기 중인 첨부파일의 개수를 확인하여 확인결과 모든 첨부파일분석부(130)가 작동중이고 부하용량을 넘어선 경우에는 일정시간 간격으로 지속적으로 각각의 첨부파일분석부(130)의 부하용량을 확인하는 작업을 반복하게 되고, 확인결과 구동대기중이거나 부하용량에 여유가 있는 첨부파일분석부(130)가 탐지되는 경우에는 해당 첨부파일분석부(130)와의 연결상태를 확인하게 된다. 이와 같이 여러 첨부파일분석부(130)의 작동상태와 부하용량을 확인하여 적절히 첨부파일의 분석을 분배함으로써 첨부파일의 분석작업이 어느 한 부분에서 적제되어 처리가 지연되는 것을 방지할 수 있어 악성코드탐지방법의 처리효율을 높일 수 있게 된다.
상기 연결확인단계(S33)는 상기 분배부(120)의 분배관리모듈(122)이 상기 부 하확인단계(S32)를 통해 구동대기중이거나 부하용량에 여유가 있는 첨부파일분석부(130)로 확인된 첨부파일분석부(130)와의 연결상태를 확인하는 단계로, 상기 분배부(120)의 분배관리모듈(122)이 신호를 첨부파일분석부(130)로 보내게 되면 해당 첨부파일분석부(130)는 그에 대한 응답을 보내주게 되는데, 연결이 실패하여 분배관리모듈(122)이 신호를 보낼 수 없거나 첨부파일분석부(130)에서 응답이 없는 등 확인결과 해당 첨부파일분석부(130)와의 인터페이스 연결상태가 양호하지 않은 경우에는 다시 상기 부하확인단계(S32)를 거쳐 다른 첨부파일분석부(130)를 확인하도록 하고, 확인결과 연결상태가 양호한 경우에는 해당 첨부파일분석부(130)에 분석을 요청하게 된다.
상기 첨부파일분석요청단계(S34)는 상기 연결확인단계(S33)를 통해 구동대기중이거나 부하용량에 여유가 있는 첨부파일분석부(130)로 확인된 첨부파일분석부(130)와의 연결상태가 양호한 것으로 확인된 경우 상기 제2통신모듈(123)을 통해 해당 첨부파일분석부(130)로 첨부파일을 전송하는 단계이다.
상기 첨부파일분석단계(S5)는 상기 분배단계(S3)에서 전송된 첨부파일의 특성을 분석한 후 가상환경분석부(140)에 전송하는 단계로, 상기 첨부파일분석요청단계(S34)를 통해 전송된 첨부파일을 수신하는 수신단계(S51)와, 상기 수신단계(S51)에서 수신된 첨부파일에 대해 캐싱기능을 수행하는 캐싱수행단계(S52)와, 상기 캐싱수행단계(S52) 이후에 수신된 첨부파일의 확장자 변조를 탐지하는 확장자변조탐지단계(S53)와, 가상환경분석부(140)에서의 첨부파일실행가능 여부를 판단하기 위 해 현재 가상환경분석부(140)들의 구동상태에 따른 부하를 확인하는 사용가능확인단계(S54)와, 상기 사용가능확인단계(S54)에서 사용가능한 것으로 확인된 가상환경분석부(140)에 첨부파일을 전송하는 가상환경분석요청단계(S55)를 포함하는 것을 특징으로 한다.
상기 수신단계(S51)는 상기 첨부파일분석부(130)의 제3통신모듈(136)을 통해 상기 첨부파일분석요청단계(S34)에서 제2통신모듈(123)로부터 전송되는 첨부파일을 수신하는 단계이다.
상기 캐싱수행단계(S52)는 상기 수신단계(S51)에서 수신된 첨부파일에 대해 캐싱기능을 수행하는 단계로, 수신된 첨부파일에 대해 해쉬함수를 통해 해쉬값을 생성하는 해쉬값생성단계(S521)와, 상기 해쉬값생성단계(S521)를 통해 생성된 해쉬값을 해쉬값저장모듈(133)에 저장된 종래의 해쉬값들과 대비하는 해쉬값분석단계(S522)와, 상기 해쉬값분석단계(S522)에서 동일한 해쉬값이 발견되지 않는 경우 해쉬값저장모듈(133)에 해쉬값과 저장시간을 함께 저장하는 해쉬값저장단계(S523)와, 상기 해쉬값저장단계(S523)에서 저장된 해쉬값을 기준시간 경과 후 삭제하는 해쉬값삭제단계(S524)를 포함함으로써, 수신되는 동일한 첨부파일에 대해서는 중복적인 가상환경분석을 방지할 수 있도록 하여 악성코드탐지방법의 처리성능향상을 도모할 수 있게 된다.
상기 해쉬값생성단계(S521)는 상기 첨부파일분석부(130)의 해쉬값생성모듈(131)이 수신된 첨부파일에 대해 해쉬함수를 통해 해쉬값을 생성하는 단계로, 해싱은 원래 문자열을 그것을 상징하는 더 짧은 길이의 값이나 키로 변 환시켜 변환된 값이나 키를 사용하여 빠르게 검색할 수 있는 것을 의미하는바, 이러한 해싱을 수행하는 알고리즘인 해싱함수를 사용하여 수신된 첨부파일을 그것을 상징하는 더 짧은 길이의 해쉬값으로 변환시켜 생성함으로써 중복적으로 수신되는 첨부파일을 빠르게 검색하는데 유용하게 활용할 수 있도록 한다.
상기 해쉬값분석단계(S522)는 상기 첨부파일분석부(130)의 해쉬값분석모듈(132)이 상기 해쉬값생성단계(S521)를 통해 수신된 첨부파일에 새로이 생성된 해쉬값과 데이터베이스(150)에 기 저장되어 있는 첨부파일에 대한 해쉬값을 비교하는 단계로, 분석결과 동일한 해쉬값을 갖는 기 저장되어 있는 첨부파일이 있는 경우에는 수신된 첨부파일에 대한 별도의 분석작업을 수행하지 않고 기 저장된 첨부파일에 대한 탐지결과를 활용하여 동일한 탐지결과를 제3통신모듈(136)을 통해 메일추출부(110)에 전송하게 되고, 분석결과 동일한 해쉬값을 갖는 기 저장된 첨부파일이 존재하지 않는 경우에는 새로이 생성된 해쉬값을 저장하게 된다.
상기 해쉬값저장단계(S523)는 상기 해쉬값분석단계(S522)를 통해 동일한 해쉬값을 갖는 기 저장된 첨부파일이 존재하지 않는 것으로 나타난 경우 상기 첨부파일분석부(130)의 해쉬값저장모듈(133)이 새로이 생성된 해쉬값을 데이터베이스(150)에 저장하는 단계로, 이와 같이 저장된 해쉬값은 앞서 설명한 바와 같이 후에 동일한 해쉬값을 갖는 첨부파일이 전송된 경우 중복적인 가상환경분석을 방지할 수 있도록 하는데 활용되게 된다.
상기 해쉬값삭제단계(S524)는 상기 첨부파일분석부(130)의 해쉬값저장모듈(133)이 상기 해쉬값저장단계(S523)를 통해 저장된 해쉬값을 일정시 간 경과 후에 자동으로 삭제하는 단계로, 연속적으로 동일한 첨부파일이 수신되는 경우가 아니라 동일한 첨부파일이더라도 일정시간 경과 후에 수신되는 경우에는 다른 종류의 악성코드에 감염되어 있는 경우가 있을 수 있으므로, 이로 인한 오탐률을 방지하기 위해서 일정시간 경과 후에는 저장된 해쉬값을 자동으로 삭제하는 것이다. 여기서 일정시간의 기준은 악성코드탐지결과 데이터에 비추어 조정될 수 있는데, 통상 10분 내외의 시간을 기준으로 정하는 것이 바람직하다.
상기 확장자변조탐지단계(S53)는 상기 캐싱수행단계(S52) 이후에 수신된 첨부파일의 확장자 변조를 탐지하는 단계로, 수신된 첨부파일이 윈도우실행파일 형태인지 여부를 검사하는 확장자검사단계(S531)와, 상기 확장자검사단계(S531)를 통해 윈도우실행파일 형태로 확인된 첨부파일의 확장자 뒤에 윈도우실행파일의 확장자를 생성시키는 확장자생성단계(S532)를 포함함으로써, 윈도우에서 실행가능한 파일이 확장자 변조를 통해 악성코드탐지를 회피하는 것을 방지하여 악성코드탐지방법의 처리성능향상을 도모할 수 있게 된다.
상기 확장자검사단계(S531)는 상기 첨부파일분석부(130)의 확장자탐지모듈(134)이 수신된 첨부파일에 대해 윈도우실행파일 형태인지 여부를 검사하는 단계로, 윈도우실행파일이란 윈도우상에서 실행될 수 있는 포맷(통상 PE(Portable Executable)포맷이라 함)을 갖는 파일로 .exe 나 .dll의 확장자를 갖게 되는 것이 일반적인데, 특정 악성코드의 경우 악성코드탐지를 회피하기 위해 실제 윈도우실행파일이면서도 확장자만을 변조하여 악성코드탐지를 회피하는 방식을 사용하기 때문에 가상환경에서 실제 첨부파일의 실행결과에 따라 악성코드 여부를 판단하는 본원발명에서는 이러한 확장자가 변조된 악성코드를 탐지하지 않고서는 오탐률이 커질 수밖에 없게 된다. 따라서, 상기 확장자탐지모듈(134)은 수신된 첨부파일의 확장자에 관계없이 윈도우실행파일포맷으로 파일이 구성되었는지를 검사하여 PE포맷과 PE포맷이 아닌 것을 구별하여 검사한다. 검사결과 윈도우실행파일로 확인되는 경우에는 새로운 확장자가 생성되게 되고, 검사결과 윈도우실행파일이 아닌 경우에는 현재 확장자 그대로 가상환경분석부(140)로 전송되게 된다.
상기 확장자생성단계(S532)는 상기 확장자검사단계(S531)를 통해 윈도우실행파일로 확인된 첨부파일에 대해 상기 첨부파일분석부(130)의 확장자생성모듈(135)이 현재 확장자 뒤에 윈도우실행파일 확장자(일 예로 .exe)를 붙임으로써, 현재 확장자가 변조되었다 하더라도 이에 관계없이 향후 가상환경하에서의 실행시에는 윈도우실행파일로 인식되어 실행될 수 있도록 하게 한다. 이와 같은 단계를 통해 악성코드가 확장자 변조를 통해 탐지되는 것을 회피하는 것을 방지하여 본원발명의 악성코드탐지방법의 오탐률을 줄일 수 있게 된다.
상기 사용가능확인단계(S54)는 상기 첨부파일분석부(130)의 제3통신모듈(136)을 통해 가상환경분석부(140)에 첨부파일을 전송하기 전에 상기 가상환경분석부(140)에서의 첨부파일실행가능 여부를 판단하기 위해 현재 가상환경분석부(140)의 구동상태에 따른 부하를 확인하는 단계로, 확인결과 현재 가상환경분석부(140)가 구동대기중이거나 부하용량에 여유가 있는 경우에는 즉시 첨부파일을 전송하도록 하고, 확인결과 가상환경분석부(140)의 부하용량이 초과된 경우에는 첨부파일실행이 가능하게 될 때까지 대기한 후 첨부파일을 전송할 수 있도록 함으로써, 본원발명에 따른 악성코드탐지방법의 처리효율을 높일 수 있게 된다.
상기 가상환경분석요청단계(S55)는 상기 사용가능확인단계(S54)에서 상기 가상환경분석부(140)에서의 첨부파일실행이 가능하다고 판단되면 상기 제3통신모듈(136)을 통해 첨부파일을 상기 가상환경분석부(140)에 전송하는 단계이다.
상기 가상환경분석단계(S7)는 상기 첨부파일분석단계(S5)에서 전송된 첨부파일을 가상환경에서 실행시킴에 따라 악성코드 유무를 판단하는 단계로, 상기 가상환경분석요청단계(S55)를 통해 전송된 첨부파일을 수신하는 수신단계(S71)와, 상기 수신단계(S71)를 통해 첨부파일을 수신하면 바이러스나 악성코드가 전혀 없는 사용자 단말기의 가상환경을 구축하는 초기화단계(S72)와, 상기 초기화단계(S72)를 통해 구축된 가상환경에 실행시킬 첨부파일의 타입을 분류하는 타입분석단계(S73)와, 상기 타입분석단계(S73)에서 분류된 타입에 맞게 첨부파일을 실행시키고 그 실행결과를 수집하는 감시단계(S74)와, 상기 감시단계(S74)에서 수집된 실행결과를 토대로 예외처리리스트에 등록된 예외처리에 해당하는 실행결과를 제외하여 악성코드 유무를 판단하는 판단단계(S75)와, 상기 판단단계(S75)를 통한 탐지결과를 전송하는 탐지결과전송단계(S76)를 포함한다.
상기 수신단계(S71)는 상기 가상환경분석부(140)의 제4통신모듈(147)을 통해 상기 가상환경분석요청단계(S55)에서 상기 제3통신모듈(136)로부터 전송되는 첨부파일을 수신하는 단계이다.
상기 초기화단계(S72)는 상기 수신단계(S71)를 통해 첨부파일을 수신하게 되 면 상기 가상환경분석부(140)의 가상환경관리모듈(141)이 수신된 첨부파일을 새로운 가상환경에서 구현시킬 수 있도록 하기 위해 가상환경을 초기화시키는 단계로, 상기 가상환경관리모듈(141)은 외부와 연결되는 모든 통로를 차단하고 윔 또는 바이러스가 DNS쿼리를 실행하는 경우를 대비하여 가상의 DNS를 실행시키므로 악성코드가 전혀 없는 깨끗한 사용자 단말기의 가상환경을 구축하게 된다.
상기 타입분석단계(S73)는 상기 가상환경분석부(140)의 타입분류모듈(143)이 수신된 첨부파일이 윈도우에서 구동되는 실행파일인지 여부와, 윈도우실행파일이 아니라면 어떤 애플리케이션에서 구동되는 파일인지를 분석하는 단계로, 앞서 설명한 바와 같이 상기 확장자변조탐지단계(S53)를 통해 윈도우실행파일 즉, PE포맷인 경우에는 확장자에 윈도우실행파일 확장자(일 예로 .exe)가 붙어서 전송되기 때문에 상기 타입분석단계(S73)에서는 윈도우실행파일 확장자(일 예로 .exe)가 있다면 윈도우실행파일로 분류하고, 그렇지 않은 경우에는 각각의 확장자를 확인하여 구동되는 애플리케이션을 분석하게 된다(일 예로, .doc는 MS워드로, .hwp는 한글로 분류하게 된다).
상기 감시단계(S74)는 상기 타입분석단계(S73)에서 분류된 타입에 맞게 첨부파일을 실행시키고 그 실행결과를 수집하는 단계로, 프로세스감시모듈(143)에 의해 가상환경에서 첨부파일이 실행되는 과정에서 새로운 프로세스가 생성되는지를 감시하는 프로세스감시단계(S741)와, 네트워크감시모듈(144)에 의해 가상환경에서 첨부파일이 실행되는 과정에서 새로운 네트워크 접속이 생성되는지 여부를 감시하는 네트워크감시단계(S742)와, 파일생성감시모듈(145)에 의해 가상환경에서 첨부파일이 실행되는 과정에서 새로운 파일이 생성되는지 여부를 감시하는 파일생성감시단계(S743)와, 레지스트리감시모듈(146)에 의해 가상환경에서 첨부파일이 실행되는 과정에서 새로운 레지스트리 정보가 생성되는지 여부를 감시하는 레지스트리감시단계(S744)를 포함함으로써, 첨부파일이 실행되는 과정에서의 프로세스생성, 네트워크접속, 파일생성 및 레지스트리정보를 복합적으로 체크하여 악성코드탐지방법의 처리성능향상을 도모할 수 있는 것을 특징으로 한다.
상기 프로세스감시단계(S741)는 상기 가상환경분석부(140)의 프로세스감시모듈(143)이 가상환경에서 첨부파일이 실행되기 전의 프로세스리스트를 기록한 후 첨부파일이 실행된 이후에 새로운 프로세스가 생성되는지 여부를 지속적(일 예로, 0.1초당 한 번꼴)으로 감시하여 그 정보를 수집하는 단계이다.
상기 네트워크감시단계(S742)는 상기 가상환경분석부(140)의 네트워크감시모듈(144)이 가상환경에서 첨부파일이 실행되기 전의 네트워크사용리스트를 기록한 후 첨부파일이 실행된 이후에 새로운 네트워크 접속이 생성되는지 여부를 지속적(일 예로, 0.1초당 한 번꼴)으로 감시하여 그 정보를 수집하는 단계이다.
상기 파일생성감시단계(S743)는 상기 가상환경분석부(140)의 파일생성감시모듈(145)이 가상환경에서 첨부파일이 실행되기 전의 파일리스트를 기록한 후 첨부파일이 실행된 이후에 새로운 파일이 생성되는지 여부를 지속적(일 예로, 0.1초당 한 번꼴)으로 감시하여 그 정보를 수집하는 단계이다.
상기 레지스트리감시단계(S744)는 상기 가상환경분석부(140)의 레지스트리감시모듈(146)이 가상환경에서 첨부파일이 실행되기 전의 레지스크리정보리스트를 기 록한 후 첨부파일이 실행된 이후에 새로운 레지스트리정보가 생성되는지 여부를 지속적(일 예로, 0.1초당 한 번꼴)으로 감시하여 그 정보를 수집하는 단계이다.
상기 판단단계(S75)는 상기 감시단계(S74)에서 수집된 실행결과를 토대로 예외처리리스트에 등록된 예외처리에 해당하는 실행결과를 제외하여 악성코드 유무를 판단하는 단계로, 여기서 예외처리리스트란 분석대상파일이 실행됨에 따라 정상적으로 새로이 생성되는 프로세스, 네트워크접속, 파일생성 및 레지스트리정보를 사전에 데이터베이스(150)에 데이터베이스화하여 저장해 놓은 리스트를 말하는 것으로 파일의 정상적인 실행결과에 따라 새로이 생성되는 프로세스 등을 사전에 예외로 설정해 놓음으로써 획일적으로 새로운 프로세스 등이 생성되는 모든 경우를 악성코드로 탐지하는 경우에 발생하게 되는 오탐률을 줄일 수 있게 하기 위함이다. 따라서 상기 판단단계(S75)에서 상기 프로세스감시모듈(143)은 상기 프로세스감시단계(S741)를 통해 수집된 정보에서 상기 예외처리리스트에 등록된 정상 프로세스를 제외한 후 등록되어 있지 않은 새로운 프로세스만을 탐지하여 악성코드를 판단하게 되고, 상기 네트워크감시모듈(144)은 상기 네트워크감시단계(S742)를 통해 수집된 정보에서 상기 예외처리리스트에 등록된 정상 네트워크접속을 제외한 후 등록되어 있지 않은 새로운 네트워크접속만을 탐지하여 악성코드를 판단하게 되고, 상기 파일생성감시모듈(145)은 상기 파일생성감시단계(S743)를 통해 수집된 정보에서 상기 예외처리리스트에 등록된 정상 파일생성을 제외한 후 등록되어 있지 않은 새로운 파일생성만을 탐지하여 악성코드를 판단하게 되고, 상기 레지스트리감시모듈(146)은 상기 레지스트리감시단계(S744)를 통해 수집된 정보에 서 상기 예외처리리스트에 등록된 정상 레지스트리정보를 제외한 후 등록되어 있지 않은 새로운 레지스트리정보만을 탐지하여 악성코드를 판단하게 된다. 이와 같이 첨부파일이 실행됨에 따라 새로 생성되는 자원 중 정상적인 실행과정에서 생성되는 자원을 미리 예외처리리스트에 등록시켜 제외시킴으로써 본원발명의 악성코드탐지방법에서의 오탐률을 감소시킬 수 있게 된다.
상기 탐지결과전송단계(S76)는 상기 판단단계(S75)를 통한 악성코드탐지결과를 상기 제4통신모듈(147)을 통해 상기 메일추출부(110)에 전송하는 단계이다.
상기 경보단계(S9)는 첨부파일에 대한 분석결과 첨부파일이 악성코드로 탐지되는 경우 이를 이메일 수신자에게 통지하는 단계로, 첨부파일에 대한 악성코드탐지결과를 수신하는 탐지결과수신단계(S91)와, 첨부파일에서 악성코드가 탐지된 사실을 통지하는 별도의 문서파일을 생성하여 수신된 메일원문에 악성코드가 탐지된 첨부파일 대신에 상기 문서파일을 첨부하는 경보메일작성단계(S92)와, 상기 경보메일작성단계(S92)를 통해 문서파일이 첨부된 메일을 이메일 수신자에게 전송하는 전송단계(S93)를 포함함으로써, 첨부파일에서 악성코드가 탐지된 경우 이메일 수신자에게 이를 통지하여 향후 동일한 이메일 수신을 예방할 수 있도록 하는 것을 특징으로 한다.
상기 탐지결과수신단계(S91)는 상기 메일추출부(110)의 제1통신모듈(114)이 상기 탐지결과전송단계(S76)에서 제4통신모듈(147)로부터 전송되는 악성코드탐지결과를 수신하는 단계이다.
상기 경보메일작성단계(S92)는 상기 탐지결과수신단계(S91)를 통해 악성코드가 탐지된 사실을 수신한 경우 상기 메일추출부(110)의 파일조합모듈(113)이 첨부파일에서 악성코드가 탐지된 사실을 통지하는 경보메세지를 문서파일로 생성하여, 첨부파일이 분리되어 데이터베이스(150)에 저장된 메일원문에 악성코드가 탐지된 첨부파일 대신에 상기 문서파일을 컨텐츠-트랜스퍼-인코딩(content-transfer-encoding)헤더에 정의된 인코딩 방식으로 인코딩하여 첨부하는 단계이다.
상기 전송단계(S93)는 상기 탐지결과수신단계(S91)를 통해 악성코드가 탐지된 사실을 수신한 경우에는 상기 경보메일작성단계(S92)에서 상기 문서파일이 첨부된 메일원문을 상기 제1통신모듈(114)을 통해 메일서버(200)에 전송하고, 상기 탐지결과수신단계(S91)를 통해 악성코드가 탐지되지 않은 사실을 수신한 경우에는 데이터베이스(150)에 저장되어 있는 첨부파일이 첨부된 메일원문을 상기 제1통신모듈(114)을 통해 메일서버(200)에 전송하는 단계이다.
이와 같이 첨부파일에서 악성코드가 탐지된 경우에 이메일 수신자에게 이를 별도로 통지함으로써 이메일 수신자가 향후 동일한 이메일 수신을 예방할 수 있는 조치를 강구할 수 있게 할 수 있다.
이상에서, 출원인은 본 발명의 바람직한 실시예들을 설명하였지만, 이와 같은 실시예들은 본 발명의 기술적 사상을 구현하는 일 실시예일 뿐이며 본 발명의 기술적 사상을 구현하는 한 어떠한 변경예 또는 수정예도 본 발명의 범위에 속하는 것으로 해석되어야 한다.
도 1은 본 발명에 따른 가상환경을 통한 악성코드탐지방법의 개요를 설명하기 위한 참고도
도 2는 본 발명에 따른 가상환경을 통한 악성코드탐지방법이 구현되는 시스템의 구조를 도시한 블럭도
도 3은 본 발명의 일 실시예에 따른 가상환경을 통한 악성코드탐지방법의 블럭도
도 4는 본 발명의 일 실시예에 따른 가상환경을 통한 악성코드탐지방법에서 메일추출단계를 도시한 순서도
도 5는 본 발명의 일 실시예에 따른 가상환경을 통한 악성코드탐지방법에서 분배단계를 도시한 순서도
도 6은 본 발명의 일 실시예에 따른 가상환경을 통한 악성코드탐지방법에서 첨부파일분석단계를 도시한 순서도
도 7은 본 발명의 일 실시예에 따른 가상환경을 통한 악성코드탐지방법에서 가상환경분석단계를 도시한 순서도
도 8은 본 발명의 일 실시예에 따른 가상환경을 통한 악성코드탐지방법에서 경보단계를 도시한 순서도
*도면에 사용된 주요부호에 대한 설명
1: 외부단말기 100: 악성코드탐지시스템 200: 메일서버
300: 수신자단말기
110: 메일추출부 120: 분배부 130: 첨부파일분석부
140: 가상환경분석부 150: 데이터베이스
111: 메일관리모듈 112: 첨부파일분리모듈 113: 파일조합모듈
114: 제1통신모듈
121: 부하분산모듈 122: 분배관리모듈 123: 제2통신모듈
131: 해쉬값생성모듈 132: 해쉬값분석모듈 133: 해쉬값저장모듈
134: 확장자탐지모듈 135: 확장자생성모듈 136: 제3통신모듈
141: 가상환경관리모듈 142: 타입분류모듈 143: 프로세스감시모듈
144: 네트워크감시모듈 145: 파일생성감시모듈 146: 레지스트리감시모듈
147: 제4통신모듈

Claims (8)

  1. 가상환경에서의 파일실행을 통해 이메일에 첨부된 첨부파일의 악성코드 유무를 탐지하는 방법에 있어서,
    수신된 메일에 첨부된 첨부파일의 유무를 확인하고 첨부된 첨부파일을 분리하여 분배부에 전송하는 메일추출부의 메일추출단계;
    상기 메일추출단계에서 전송된 첨부파일을 부하분산환경에 따라 선택한 첨부파일분석부에 전송하는 분배부의 분배단계;
    상기 분배단계에서 전송된 첨부파일의 특성을 분석한 후 가상환경분석부에 전송하는 첨부파일분석부의 첨부파일분석단계;
    상기 첨부파일분석단계에서 전송된 첨부파일을 가상환경에서 실행시킴에 따라 악성코드 유무를 판단하는 가상환경분석부의 가상환경분석단계;
    상기 가상환경분석단계에서 첨부파일이 악성코드로 탐지되는 경우 악성코드가 탐지된 사실을 통지하는 별도의 문서파일을 이메일 수신자에게 통지하여 향후 동일한 이메일 수신을 예방할 수 있도록 하는 경보단계;를 포함하며,
    상기 메일추출단계는 악성코드탐지방법의 실행효율을 증대시킬 수 있도록 분리된 첨부파일의 크기를 체크하여 분석대상여부를 판별하는 첨부파일크기확인단계를 포함하고,
    상기 첨부파일분석단계는 확장자 변조를 통해 악성코드탐지를 회피하는 것을 방지하여 악성코드탐지방법의 오탐률을 줄일 수 있도록 수신된 첨부파일이 윈도우실행파일 형태인지 여부를 검사하는 확장자검사단계와; 상기 확장자검사단계를 통해 윈도우실행파일 형태로 확인된 첨부파일의 확장자 뒤에 윈도우실행파일의 확장자를 생성시키는 확장자생성단계로; 이루어지는 확장자변조탐지단계를 포함하고,
    상기 가상환경분석단계는 첨부파일을 가상환경에서 실행시킴에 따라 수집된 실행결과를 토대로 예외처리리스트에 등록된 예외처리에 해당하는 실행결과를 제외하여 악성코드 유무를 판단하는 판단단계를 포함하여, 첨부파일이 실행됨에 따라 새로 생성되는 자원 중 정상적인 실행과정에서 생성되는 자원을 미리 예외처리리스트에 등록시켜 악성코드탐지방법의 오탐률을 감소시킬 수 있는 것을 특징으로 하는 가상환경을 통한 악성코드탐지방법.
  2. 제 1 항에 있어서, 상기 메일추출단계는
    메일을 수신하고 저장하는 메일수신단계와,
    상기 메일수신단계에서 수신된 메일에 첨부파일이 존재하는지 여부를 판단하는 첨부파일판단단계와,
    상기 첨부파일판단단계에서 첨부파일이 존재하는 것으로 판단된 메일에서 첨부된 첨부파일을 분리하는 첨부파일분리단계와,
    상기 첨부파일크기확인단계에서 분석대상으로 판별된 첨부파일을 상기 분배부에 전송하는 분배요청단계를 추가로 포함함으로써, 분석대상 첨부파일의 크기를 일정기준으로 제한하여 악성코드탐지방법의 실행효율을 증대시킬 수 있는 것을 특징으로 하는 가상환경을 통한 악성코드탐지방법.
  3. 제 2 항에 있어서, 상기 분배단계는
    상기 분배요청단계를 통해 전송된 첨부파일을 수신하는 수신단계와,
    상기 수신단계에서 첨부파일을 수신하면 첨부파일분석부에서의 첨부파일분석가능 여부를 판단하기 위해 현재 첨부파일분석부들의 구동상태에 따른 부하를 확인하는 부하확인단계와,
    상기 부하확인단계에서 첨부파일분석이 가능한 것으로 판단된 첨부파일분석부와의 인터페이스연결상태를 확인하여 연결가능 여부를 확인하는 연결확인단계와,
    상기 연결확인단계에서 연결 가능한 것으로 확인된 첨부파일분석부에 첨부파일을 전송하는 첨부파일분석요청단계를 포함하는 것을 특징으로 하는 가상환경을 통한 악성코드탐지방법.
  4. 제 3 항에 있어서, 상기 첨부파일분석단계는
    상기 첨부파일분석요청단계를 통해 전송된 첨부파일을 수신하는 수신단계와,
    상기 수신단계에서 수신된 첨부파일에 대해 캐싱기능을 수행하는 캐싱수행단계와,
    가상환경분석부에서의 첨부파일실행가능 여부를 판단하기 위해 현재 가상환경분석부들의 구동상태에 따른 부하를 확인하는 사용가능확인단계와,
    상기 사용가능확인단계에서 사용가능한 것으로 확인된 가상환경분석부에 첨부파일을 전송하는 가상환경분석요청단계를 포함하며,
    상기 캐싱수행단계는
    수신된 첨부파일에 대해 해쉬함수를 통해 해쉬값을 생성하는 해쉬값생성단계와, 상기 해쉬값생성단계를 통해 생성된 해쉬값을 해쉬값저장모듈에 저장된 종래의 해쉬값들과 대비하는 해쉬값분석단계와, 상기 해쉬값분석단계에서 동일한 해쉬값이 발견되지 않는 경우 해쉬값저장모듈에 해쉬값과 저장시간을 함께 저장하는 해쉬값저장단계와, 상기 해쉬값저장단계에서 저장된 해쉬값을 기준시간 경과 후 삭제하는 해쉬값삭제단계를 포함함으로써, 수신되는 동일한 첨부파일에 대해서는 중복적인 가상환경분석을 방지할 수 있도록 하여 악성코드탐지방법의 처리성능향상을 도모할 수 있는 것을 특징으로 하는 가상환경을 통한 악성코드탐지방법.
  5. 삭제
  6. 제 4 항에 있어서, 상기 가상환경분석단계는
    상기 가상환경분석요청단계를 통해 전송된 첨부파일을 수신하는 수신단계와,
    상기 수신단계를 통해 첨부파일을 수신하면 바이러스나 악성코드가 전혀 없는 사용자 단말기의 가상환경을 구축하는 초기화단계와,
    상기 초기화단계를 통해 구축된 가상환경에 실행시킬 첨부파일의 타입을 분류하는 타입분석단계와,
    상기 타입분석단계에서 분류된 타입에 맞게 첨부파일을 실행시키고 그 실행결과를 수집하는 감시단계를 추가로 포함하는 것을 특징으로 하는 가상환경을 통한 악성코드탐지방법.
  7. 제 6 항에 있어서, 상기 감시단계는
    프로세스감시모듈에 의해 가상환경에서 첨부파일이 실행되는 과정에서 새로운 프로세스가 생성되는지를 감시하는 프로세스감시단계와,
    네트워크감시모듈에 의해 가상환경에서 첨부파일이 실행되는 과정에서 새로운 네트워크 접속이 생성되는지 여부를 감시하는 네트워크감시단계와,
    파일생성감시모듈에 의해 가상환경에서 첨부파일이 실행되는 과정에서 새로운 파일이 생성되는지 여부를 감시하는 파일생성감시단계와,
    레지스트리감시모듈에 의해 가상환경에서 첨부파일이 실행되는 과정에서 새로운 레지스트리 정보가 생성되는지 여부를 감시하는 레지스트리감시단계를 포함함으로써, 첨부파일이 실행되는 과정에서의 프로세스생성, 네트워크접속, 파일생성 및 레지스트리정보를 복합적으로 체크하여 악성코드탐지방법의 처리성능향상을 도모할 수 있는 것을 특징으로 하는 가상환경을 통한 악성코드탐지방법.
  8. 제 7 항에 있어서, 상기 경보단계는
    첨부파일에서 악성코드가 탐지된 사실을 통지하는 별도의 문서파일을 생성하여 수신된 메일에 악성코드가 탐지된 첨부파일 대신에 상기 문서파일을 첨부하는 경보메일작성단계와, 상기 경보메일작성단계를 통해 문서파일이 첨부된 메일을 이메일 수신자에게 전송하는 전송단계를 포함하는 것을 특징으로 하는 가상환경을 통한 악성코드탐지방법.
KR1020090050662A 2008-12-29 2009-06-08 가상환경을 통한 악성코드탐지방법 KR100927240B1 (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR20080135891 2008-12-29
KR1020080135891 2008-12-29

Publications (1)

Publication Number Publication Date
KR100927240B1 true KR100927240B1 (ko) 2009-11-16

Family

ID=41605135

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020090050662A KR100927240B1 (ko) 2008-12-29 2009-06-08 가상환경을 통한 악성코드탐지방법

Country Status (1)

Country Link
KR (1) KR100927240B1 (ko)

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8813226B2 (en) 2010-04-28 2014-08-19 Electronics And Telecommunications Research Institute Defense method and device against intelligent bots using masqueraded virtual machine information
WO2015023088A1 (ko) * 2013-08-14 2015-02-19 소프트캠프(주) 이메일의 첨부파일 처리시스템과 처리방법
KR101521903B1 (ko) * 2013-12-09 2015-05-20 소프트캠프(주) 링크정보의 악성코드에 대응한 단말기의 로컬환경 보호방법과 보호시스템
KR101590486B1 (ko) 2015-07-06 2016-02-01 (주)다우기술 지능형 지속 위협 탐지를 위한 첨부파일 검사 시스템 및 방법
KR101593183B1 (ko) 2014-08-22 2016-02-15 한국전자통신연구원 가상환경에서의 악성코드 분석을 위한 자동 행위발현 장치 및 방법
KR101595379B1 (ko) * 2015-02-04 2016-02-18 (주)이월리서치 악성코드가 첨부된 전자메일의 통제 및 차단 시스템
KR101663247B1 (ko) 2015-07-06 2016-10-06 (주)다우기술 문자 세트 검출을 이용한 지능형 지속 위협 탐지를 위한 이메일 검사 시스템 및 방법
KR101666614B1 (ko) 2015-07-06 2016-10-14 (주)다우기술 이력을 이용한 지능형 지속 위협 탐지 시스템 및 방법
CN112685735A (zh) * 2018-12-27 2021-04-20 慧安金科(北京)科技有限公司 用于检测异常数据的方法、设备和计算机可读存储介质

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1998041919A1 (en) 1997-03-18 1998-09-24 Trend Micro, Incorporated Virus detection in client-server system
KR20060049821A (ko) * 2004-07-09 2006-05-19 인터내셔널 비지네스 머신즈 코포레이션 네트워크 내에서의 분산 서비스 거부(DDoS) 공격의식별 및 이러한 공격에 대한 방어 방법
KR20070049511A (ko) * 2005-11-08 2007-05-11 한국정보보호진흥원 악성코드 분석 시스템 및 방법

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1998041919A1 (en) 1997-03-18 1998-09-24 Trend Micro, Incorporated Virus detection in client-server system
KR20060049821A (ko) * 2004-07-09 2006-05-19 인터내셔널 비지네스 머신즈 코포레이션 네트워크 내에서의 분산 서비스 거부(DDoS) 공격의식별 및 이러한 공격에 대한 방어 방법
KR20070049511A (ko) * 2005-11-08 2007-05-11 한국정보보호진흥원 악성코드 분석 시스템 및 방법

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
한국정보보호학회지 논문집, 제17권, 제4호, p74~82 (2007.08.)*

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8813226B2 (en) 2010-04-28 2014-08-19 Electronics And Telecommunications Research Institute Defense method and device against intelligent bots using masqueraded virtual machine information
WO2015023088A1 (ko) * 2013-08-14 2015-02-19 소프트캠프(주) 이메일의 첨부파일 처리시스템과 처리방법
KR101521903B1 (ko) * 2013-12-09 2015-05-20 소프트캠프(주) 링크정보의 악성코드에 대응한 단말기의 로컬환경 보호방법과 보호시스템
WO2015088195A1 (ko) * 2013-12-09 2015-06-18 소프트캠프(주) 링크정보의 악성코드에 대응한 단말기의 로컬환경 보호방법과 보호시스템
CN105745664A (zh) * 2013-12-09 2016-07-06 软件营地株式会社 对应链接信息中恶意代码的终端局部环境的保护方法和保护系统
KR101593183B1 (ko) 2014-08-22 2016-02-15 한국전자통신연구원 가상환경에서의 악성코드 분석을 위한 자동 행위발현 장치 및 방법
KR101595379B1 (ko) * 2015-02-04 2016-02-18 (주)이월리서치 악성코드가 첨부된 전자메일의 통제 및 차단 시스템
KR101590486B1 (ko) 2015-07-06 2016-02-01 (주)다우기술 지능형 지속 위협 탐지를 위한 첨부파일 검사 시스템 및 방법
KR101663247B1 (ko) 2015-07-06 2016-10-06 (주)다우기술 문자 세트 검출을 이용한 지능형 지속 위협 탐지를 위한 이메일 검사 시스템 및 방법
KR101666614B1 (ko) 2015-07-06 2016-10-14 (주)다우기술 이력을 이용한 지능형 지속 위협 탐지 시스템 및 방법
CN112685735A (zh) * 2018-12-27 2021-04-20 慧安金科(北京)科技有限公司 用于检测异常数据的方法、设备和计算机可读存储介质
CN112685735B (zh) * 2018-12-27 2024-04-12 慧安金科(北京)科技有限公司 用于检测异常数据的方法、设备和计算机可读存储介质

Similar Documents

Publication Publication Date Title
KR100927240B1 (ko) 가상환경을 통한 악성코드탐지방법
US9237163B2 (en) Managing infectious forwarded messages
US8549642B2 (en) Method and system for using spam e-mail honeypots to identify potential malware containing e-mails
US7748038B2 (en) Method and apparatus for managing computer virus outbreaks
US8424094B2 (en) Automated collection of forensic evidence associated with a network security incident
US7774845B2 (en) Computer security system
US7958557B2 (en) Determining a source of malicious computer element in a computer network
US20160171242A1 (en) System, method, and compuer program product for preventing image-related data loss
CN110519150B (zh) 邮件检测方法、装置、设备、系统及计算机可读存储介质
US20020004908A1 (en) Electronic mail message anti-virus system and method
US20140373149A1 (en) Time zero detection of infectious messages
US10574658B2 (en) Information security apparatus and methods for credential dump authenticity verification
CA2478299A1 (en) Systems and methods for enhancing electronic communication security
JP7049087B2 (ja) 疑わしい電子メッセージを検出する技術
WO2008157065A2 (en) Optimization of distributed anti-virus scanning
US20140053263A1 (en) System, method and computer program product for sending information extracted from a potentially unwanted data sample to generate a signature
US10659493B2 (en) Technique for detecting malicious electronic messages
US20200106791A1 (en) Intelligent system for mitigating cybersecurity risk by analyzing domain name system traffic metrics
US7690038B1 (en) Network security system with automatic vulnerability tracking and clean-up mechanisms
US20060075099A1 (en) Automatic elimination of viruses and spam
JP2002259187A (ja) 異常ファイル検出および除去を目的とした着脱可能ファイル監視システム

Legal Events

Date Code Title Description
A201 Request for examination
A302 Request for accelerated examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20121107

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20131112

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20141111

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20151110

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20161102

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20171107

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20181113

Year of fee payment: 10

FPAY Annual fee payment

Payment date: 20190515

Year of fee payment: 11

FPAY Annual fee payment

Payment date: 20200122

Year of fee payment: 12