KR100927240B1 - 가상환경을 통한 악성코드탐지방법 - Google Patents
가상환경을 통한 악성코드탐지방법 Download PDFInfo
- Publication number
- KR100927240B1 KR100927240B1 KR1020090050662A KR20090050662A KR100927240B1 KR 100927240 B1 KR100927240 B1 KR 100927240B1 KR 1020090050662 A KR1020090050662 A KR 1020090050662A KR 20090050662 A KR20090050662 A KR 20090050662A KR 100927240 B1 KR100927240 B1 KR 100927240B1
- Authority
- KR
- South Korea
- Prior art keywords
- file
- attachment
- virtual environment
- malicious code
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6245—Protecting personal data, e.g. for financial or medical purposes
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Bioethics (AREA)
- Medical Informatics (AREA)
- Databases & Information Systems (AREA)
- Information Transfer Between Computers (AREA)
Abstract
Description
Claims (8)
- 가상환경에서의 파일실행을 통해 이메일에 첨부된 첨부파일의 악성코드 유무를 탐지하는 방법에 있어서,수신된 메일에 첨부된 첨부파일의 유무를 확인하고 첨부된 첨부파일을 분리하여 분배부에 전송하는 메일추출부의 메일추출단계;상기 메일추출단계에서 전송된 첨부파일을 부하분산환경에 따라 선택한 첨부파일분석부에 전송하는 분배부의 분배단계;상기 분배단계에서 전송된 첨부파일의 특성을 분석한 후 가상환경분석부에 전송하는 첨부파일분석부의 첨부파일분석단계;상기 첨부파일분석단계에서 전송된 첨부파일을 가상환경에서 실행시킴에 따라 악성코드 유무를 판단하는 가상환경분석부의 가상환경분석단계;상기 가상환경분석단계에서 첨부파일이 악성코드로 탐지되는 경우 악성코드가 탐지된 사실을 통지하는 별도의 문서파일을 이메일 수신자에게 통지하여 향후 동일한 이메일 수신을 예방할 수 있도록 하는 경보단계;를 포함하며,상기 메일추출단계는 악성코드탐지방법의 실행효율을 증대시킬 수 있도록 분리된 첨부파일의 크기를 체크하여 분석대상여부를 판별하는 첨부파일크기확인단계를 포함하고,상기 첨부파일분석단계는 확장자 변조를 통해 악성코드탐지를 회피하는 것을 방지하여 악성코드탐지방법의 오탐률을 줄일 수 있도록 수신된 첨부파일이 윈도우실행파일 형태인지 여부를 검사하는 확장자검사단계와; 상기 확장자검사단계를 통해 윈도우실행파일 형태로 확인된 첨부파일의 확장자 뒤에 윈도우실행파일의 확장자를 생성시키는 확장자생성단계로; 이루어지는 확장자변조탐지단계를 포함하고,상기 가상환경분석단계는 첨부파일을 가상환경에서 실행시킴에 따라 수집된 실행결과를 토대로 예외처리리스트에 등록된 예외처리에 해당하는 실행결과를 제외하여 악성코드 유무를 판단하는 판단단계를 포함하여, 첨부파일이 실행됨에 따라 새로 생성되는 자원 중 정상적인 실행과정에서 생성되는 자원을 미리 예외처리리스트에 등록시켜 악성코드탐지방법의 오탐률을 감소시킬 수 있는 것을 특징으로 하는 가상환경을 통한 악성코드탐지방법.
- 제 1 항에 있어서, 상기 메일추출단계는메일을 수신하고 저장하는 메일수신단계와,상기 메일수신단계에서 수신된 메일에 첨부파일이 존재하는지 여부를 판단하는 첨부파일판단단계와,상기 첨부파일판단단계에서 첨부파일이 존재하는 것으로 판단된 메일에서 첨부된 첨부파일을 분리하는 첨부파일분리단계와,상기 첨부파일크기확인단계에서 분석대상으로 판별된 첨부파일을 상기 분배부에 전송하는 분배요청단계를 추가로 포함함으로써, 분석대상 첨부파일의 크기를 일정기준으로 제한하여 악성코드탐지방법의 실행효율을 증대시킬 수 있는 것을 특징으로 하는 가상환경을 통한 악성코드탐지방법.
- 제 2 항에 있어서, 상기 분배단계는상기 분배요청단계를 통해 전송된 첨부파일을 수신하는 수신단계와,상기 수신단계에서 첨부파일을 수신하면 첨부파일분석부에서의 첨부파일분석가능 여부를 판단하기 위해 현재 첨부파일분석부들의 구동상태에 따른 부하를 확인하는 부하확인단계와,상기 부하확인단계에서 첨부파일분석이 가능한 것으로 판단된 첨부파일분석부와의 인터페이스연결상태를 확인하여 연결가능 여부를 확인하는 연결확인단계와,상기 연결확인단계에서 연결 가능한 것으로 확인된 첨부파일분석부에 첨부파일을 전송하는 첨부파일분석요청단계를 포함하는 것을 특징으로 하는 가상환경을 통한 악성코드탐지방법.
- 제 3 항에 있어서, 상기 첨부파일분석단계는상기 첨부파일분석요청단계를 통해 전송된 첨부파일을 수신하는 수신단계와,상기 수신단계에서 수신된 첨부파일에 대해 캐싱기능을 수행하는 캐싱수행단계와,가상환경분석부에서의 첨부파일실행가능 여부를 판단하기 위해 현재 가상환경분석부들의 구동상태에 따른 부하를 확인하는 사용가능확인단계와,상기 사용가능확인단계에서 사용가능한 것으로 확인된 가상환경분석부에 첨부파일을 전송하는 가상환경분석요청단계를 포함하며,상기 캐싱수행단계는수신된 첨부파일에 대해 해쉬함수를 통해 해쉬값을 생성하는 해쉬값생성단계와, 상기 해쉬값생성단계를 통해 생성된 해쉬값을 해쉬값저장모듈에 저장된 종래의 해쉬값들과 대비하는 해쉬값분석단계와, 상기 해쉬값분석단계에서 동일한 해쉬값이 발견되지 않는 경우 해쉬값저장모듈에 해쉬값과 저장시간을 함께 저장하는 해쉬값저장단계와, 상기 해쉬값저장단계에서 저장된 해쉬값을 기준시간 경과 후 삭제하는 해쉬값삭제단계를 포함함으로써, 수신되는 동일한 첨부파일에 대해서는 중복적인 가상환경분석을 방지할 수 있도록 하여 악성코드탐지방법의 처리성능향상을 도모할 수 있는 것을 특징으로 하는 가상환경을 통한 악성코드탐지방법.
- 삭제
- 제 4 항에 있어서, 상기 가상환경분석단계는상기 가상환경분석요청단계를 통해 전송된 첨부파일을 수신하는 수신단계와,상기 수신단계를 통해 첨부파일을 수신하면 바이러스나 악성코드가 전혀 없는 사용자 단말기의 가상환경을 구축하는 초기화단계와,상기 초기화단계를 통해 구축된 가상환경에 실행시킬 첨부파일의 타입을 분류하는 타입분석단계와,상기 타입분석단계에서 분류된 타입에 맞게 첨부파일을 실행시키고 그 실행결과를 수집하는 감시단계를 추가로 포함하는 것을 특징으로 하는 가상환경을 통한 악성코드탐지방법.
- 제 6 항에 있어서, 상기 감시단계는프로세스감시모듈에 의해 가상환경에서 첨부파일이 실행되는 과정에서 새로운 프로세스가 생성되는지를 감시하는 프로세스감시단계와,네트워크감시모듈에 의해 가상환경에서 첨부파일이 실행되는 과정에서 새로운 네트워크 접속이 생성되는지 여부를 감시하는 네트워크감시단계와,파일생성감시모듈에 의해 가상환경에서 첨부파일이 실행되는 과정에서 새로운 파일이 생성되는지 여부를 감시하는 파일생성감시단계와,레지스트리감시모듈에 의해 가상환경에서 첨부파일이 실행되는 과정에서 새로운 레지스트리 정보가 생성되는지 여부를 감시하는 레지스트리감시단계를 포함함으로써, 첨부파일이 실행되는 과정에서의 프로세스생성, 네트워크접속, 파일생성 및 레지스트리정보를 복합적으로 체크하여 악성코드탐지방법의 처리성능향상을 도모할 수 있는 것을 특징으로 하는 가상환경을 통한 악성코드탐지방법.
- 제 7 항에 있어서, 상기 경보단계는첨부파일에서 악성코드가 탐지된 사실을 통지하는 별도의 문서파일을 생성하여 수신된 메일에 악성코드가 탐지된 첨부파일 대신에 상기 문서파일을 첨부하는 경보메일작성단계와, 상기 경보메일작성단계를 통해 문서파일이 첨부된 메일을 이메일 수신자에게 전송하는 전송단계를 포함하는 것을 특징으로 하는 가상환경을 통한 악성코드탐지방법.
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR20080135891 | 2008-12-29 | ||
KR1020080135891 | 2008-12-29 |
Publications (1)
Publication Number | Publication Date |
---|---|
KR100927240B1 true KR100927240B1 (ko) | 2009-11-16 |
Family
ID=41605135
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020090050662A KR100927240B1 (ko) | 2008-12-29 | 2009-06-08 | 가상환경을 통한 악성코드탐지방법 |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR100927240B1 (ko) |
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8813226B2 (en) | 2010-04-28 | 2014-08-19 | Electronics And Telecommunications Research Institute | Defense method and device against intelligent bots using masqueraded virtual machine information |
WO2015023088A1 (ko) * | 2013-08-14 | 2015-02-19 | 소프트캠프(주) | 이메일의 첨부파일 처리시스템과 처리방법 |
KR101521903B1 (ko) * | 2013-12-09 | 2015-05-20 | 소프트캠프(주) | 링크정보의 악성코드에 대응한 단말기의 로컬환경 보호방법과 보호시스템 |
KR101590486B1 (ko) | 2015-07-06 | 2016-02-01 | (주)다우기술 | 지능형 지속 위협 탐지를 위한 첨부파일 검사 시스템 및 방법 |
KR101593183B1 (ko) | 2014-08-22 | 2016-02-15 | 한국전자통신연구원 | 가상환경에서의 악성코드 분석을 위한 자동 행위발현 장치 및 방법 |
KR101595379B1 (ko) * | 2015-02-04 | 2016-02-18 | (주)이월리서치 | 악성코드가 첨부된 전자메일의 통제 및 차단 시스템 |
KR101663247B1 (ko) | 2015-07-06 | 2016-10-06 | (주)다우기술 | 문자 세트 검출을 이용한 지능형 지속 위협 탐지를 위한 이메일 검사 시스템 및 방법 |
KR101666614B1 (ko) | 2015-07-06 | 2016-10-14 | (주)다우기술 | 이력을 이용한 지능형 지속 위협 탐지 시스템 및 방법 |
CN112685735A (zh) * | 2018-12-27 | 2021-04-20 | 慧安金科(北京)科技有限公司 | 用于检测异常数据的方法、设备和计算机可读存储介质 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO1998041919A1 (en) | 1997-03-18 | 1998-09-24 | Trend Micro, Incorporated | Virus detection in client-server system |
KR20060049821A (ko) * | 2004-07-09 | 2006-05-19 | 인터내셔널 비지네스 머신즈 코포레이션 | 네트워크 내에서의 분산 서비스 거부(DDoS) 공격의식별 및 이러한 공격에 대한 방어 방법 |
KR20070049511A (ko) * | 2005-11-08 | 2007-05-11 | 한국정보보호진흥원 | 악성코드 분석 시스템 및 방법 |
-
2009
- 2009-06-08 KR KR1020090050662A patent/KR100927240B1/ko active IP Right Grant
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO1998041919A1 (en) | 1997-03-18 | 1998-09-24 | Trend Micro, Incorporated | Virus detection in client-server system |
KR20060049821A (ko) * | 2004-07-09 | 2006-05-19 | 인터내셔널 비지네스 머신즈 코포레이션 | 네트워크 내에서의 분산 서비스 거부(DDoS) 공격의식별 및 이러한 공격에 대한 방어 방법 |
KR20070049511A (ko) * | 2005-11-08 | 2007-05-11 | 한국정보보호진흥원 | 악성코드 분석 시스템 및 방법 |
Non-Patent Citations (1)
Title |
---|
한국정보보호학회지 논문집, 제17권, 제4호, p74~82 (2007.08.)* |
Cited By (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8813226B2 (en) | 2010-04-28 | 2014-08-19 | Electronics And Telecommunications Research Institute | Defense method and device against intelligent bots using masqueraded virtual machine information |
WO2015023088A1 (ko) * | 2013-08-14 | 2015-02-19 | 소프트캠프(주) | 이메일의 첨부파일 처리시스템과 처리방법 |
KR101521903B1 (ko) * | 2013-12-09 | 2015-05-20 | 소프트캠프(주) | 링크정보의 악성코드에 대응한 단말기의 로컬환경 보호방법과 보호시스템 |
WO2015088195A1 (ko) * | 2013-12-09 | 2015-06-18 | 소프트캠프(주) | 링크정보의 악성코드에 대응한 단말기의 로컬환경 보호방법과 보호시스템 |
CN105745664A (zh) * | 2013-12-09 | 2016-07-06 | 软件营地株式会社 | 对应链接信息中恶意代码的终端局部环境的保护方法和保护系统 |
KR101593183B1 (ko) | 2014-08-22 | 2016-02-15 | 한국전자통신연구원 | 가상환경에서의 악성코드 분석을 위한 자동 행위발현 장치 및 방법 |
KR101595379B1 (ko) * | 2015-02-04 | 2016-02-18 | (주)이월리서치 | 악성코드가 첨부된 전자메일의 통제 및 차단 시스템 |
KR101590486B1 (ko) | 2015-07-06 | 2016-02-01 | (주)다우기술 | 지능형 지속 위협 탐지를 위한 첨부파일 검사 시스템 및 방법 |
KR101663247B1 (ko) | 2015-07-06 | 2016-10-06 | (주)다우기술 | 문자 세트 검출을 이용한 지능형 지속 위협 탐지를 위한 이메일 검사 시스템 및 방법 |
KR101666614B1 (ko) | 2015-07-06 | 2016-10-14 | (주)다우기술 | 이력을 이용한 지능형 지속 위협 탐지 시스템 및 방법 |
CN112685735A (zh) * | 2018-12-27 | 2021-04-20 | 慧安金科(北京)科技有限公司 | 用于检测异常数据的方法、设备和计算机可读存储介质 |
CN112685735B (zh) * | 2018-12-27 | 2024-04-12 | 慧安金科(北京)科技有限公司 | 用于检测异常数据的方法、设备和计算机可读存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR100927240B1 (ko) | 가상환경을 통한 악성코드탐지방법 | |
US9237163B2 (en) | Managing infectious forwarded messages | |
US8549642B2 (en) | Method and system for using spam e-mail honeypots to identify potential malware containing e-mails | |
US7748038B2 (en) | Method and apparatus for managing computer virus outbreaks | |
US8424094B2 (en) | Automated collection of forensic evidence associated with a network security incident | |
US7774845B2 (en) | Computer security system | |
US7958557B2 (en) | Determining a source of malicious computer element in a computer network | |
US20160171242A1 (en) | System, method, and compuer program product for preventing image-related data loss | |
CN110519150B (zh) | 邮件检测方法、装置、设备、系统及计算机可读存储介质 | |
US20020004908A1 (en) | Electronic mail message anti-virus system and method | |
US20140373149A1 (en) | Time zero detection of infectious messages | |
US10574658B2 (en) | Information security apparatus and methods for credential dump authenticity verification | |
CA2478299A1 (en) | Systems and methods for enhancing electronic communication security | |
JP7049087B2 (ja) | 疑わしい電子メッセージを検出する技術 | |
WO2008157065A2 (en) | Optimization of distributed anti-virus scanning | |
US20140053263A1 (en) | System, method and computer program product for sending information extracted from a potentially unwanted data sample to generate a signature | |
US10659493B2 (en) | Technique for detecting malicious electronic messages | |
US20200106791A1 (en) | Intelligent system for mitigating cybersecurity risk by analyzing domain name system traffic metrics | |
US7690038B1 (en) | Network security system with automatic vulnerability tracking and clean-up mechanisms | |
US20060075099A1 (en) | Automatic elimination of viruses and spam | |
JP2002259187A (ja) | 異常ファイル検出および除去を目的とした着脱可能ファイル監視システム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
A302 | Request for accelerated examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20121107 Year of fee payment: 4 |
|
FPAY | Annual fee payment |
Payment date: 20131112 Year of fee payment: 5 |
|
FPAY | Annual fee payment |
Payment date: 20141111 Year of fee payment: 6 |
|
FPAY | Annual fee payment |
Payment date: 20151110 Year of fee payment: 7 |
|
FPAY | Annual fee payment |
Payment date: 20161102 Year of fee payment: 8 |
|
FPAY | Annual fee payment |
Payment date: 20171107 Year of fee payment: 9 |
|
FPAY | Annual fee payment |
Payment date: 20181113 Year of fee payment: 10 |
|
FPAY | Annual fee payment |
Payment date: 20190515 Year of fee payment: 11 |
|
FPAY | Annual fee payment |
Payment date: 20200122 Year of fee payment: 12 |