KR100959274B1 - 네트워크 모니터링 정보를 이용한 악성 코드 조기방역 시스템 및 그 방법 - Google Patents
네트워크 모니터링 정보를 이용한 악성 코드 조기방역 시스템 및 그 방법 Download PDFInfo
- Publication number
- KR100959274B1 KR100959274B1 KR1020090101836A KR20090101836A KR100959274B1 KR 100959274 B1 KR100959274 B1 KR 100959274B1 KR 1020090101836 A KR1020090101836 A KR 1020090101836A KR 20090101836 A KR20090101836 A KR 20090101836A KR 100959274 B1 KR100959274 B1 KR 100959274B1
- Authority
- KR
- South Korea
- Prior art keywords
- malicious code
- tracking
- list
- early
- malicious
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/146—Tracing the source of attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Theoretical Computer Science (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
Description
Claims (14)
- 네트워크 보안시스템(이하 보안시스템)과 네트워크로 연결된 방역서버와, 상기 방역서버와 네트워크로 연결된 컴퓨터 단말에 설치되는 악성코드 조기방역 에이전트를 포함하는 조기방역 시스템에 있어서,상기 방역서버는,상기 보안시스템으로부터 추적요청리스트를 수신하여, 컴퓨터 단말의 조기방역 에이전트로 악성코드 추적을 요청하는 악성코드 추적관리부; 및상기 조기방역 에이전트로부터 악성코드 추적결과를 수신하여 악성코드 여부를 판단하고, 통제리스트를 갱신하여 상기 조기방역 에이전트에 통제리스트 업데이트를 요청하는 악성코드 판단부를 포함하고,상기 조기방역 에이전트는,상기 방역서버로부터 악성코드 추적을 요청받아 컴퓨터 단말에서 악성코드를 추적하고 추적결과를 방역서버로 전송하는 악성코드 추적부;세션 후킹을 통하여 전송하려는 패킷을 조사하여 악성코드를 추적하는 세션후킹 추적부;상기 방역서버로부터 수신한 업데이트된 통제리스트에 따라 방역을 실시하는 악성 코드 방역부;시스템콜을 후킹하여 통제리스트에 따라 악성 코드의 설치 및 실행을 차단하는 시스템콜 후킹 통제부를 포함하고,상기 악성코드 추적관리부는 상기 보안시스템으로부터 IP주소(또는 IP주소 및 포트) 정보를 포함하는 추적요청리스트를 수신하여, 상기 IP주소 정보에 매핑되는 IP주소를 가지는 컴퓨터 단말을 추적대상으로 선정하고, 추적대상 컴퓨터 단말로 상기 추적요청리스트를 전송하는 것을 특징으로 하는 악성코드 조기방역 시스템.
- 삭제
- 제1항에 있어서,상기 추적 요청 리스트는 공격시스템 정보(근원지 IP주소 및 포트번호), 피해시스템 정보(목적지 IP주소 및 포트번호), 패킷 시그너쳐를 포함하고,상기 악성 코드 추적 관리부는 공격시스템 정보 중 근원지 IP주소로 매핑하여 추적할 대상 컴퓨터 단말을 결정하는 것을 특징으로 하는 악성코드 조기방역 시스템.
- 제3항에 있어서, 상기 악성코드 추적부는,상기 세션후킹 추적부를 통하여, 전송하려는 패킷에 대하여 네트워크 세션 테이블과 비교하여 상기 패킷을 전송하려는 프로세스를 추적하고, 추적된 프로세스의 악성여부를 판단하여 악성코드를 추적하는 것을 특징으로 하는 악성코드 조기방역 시스템.
- 제1항에 있어서,상기 세션후킹 추적부는 프로세스 추적에 있어서 근원지 정보와 목적지 정보를 모두 이용하여 추적하는 방법, 목적지 정보를 이용하여 추적하는 방법, 패킷 시그너쳐를 사용하는 방법으로 추적하는 것을 특징으로 하는 악성코드 조기방역 시스템.
- 제1항에 있어서,상기 세션후킹 추적부는 추적된 프로세스에 대하여 악성 여부를 판단하기 위하여 통제리스트를 사용하는 것을 특징으로 하는 악성코드 조기방역 시스템.
- 제6항에 있어서,상기 통제리스트는 허용 리스트, 거부 리스트, 의심 리스트를 포함하고,상기 세션후킹 추적부에서는 추적된 프로세스에 대하여 통제 리스트의 허용 리스트를 이용하여 정상 여부를 판단하고 허용리스트에 포함되지 않은 경우 의심 리스트로 구분하여 등록시켜 수집하는 것을 특징으로 하는 악성코드 조기방역 시스템.
- 제1항에 있어서,상기 악성코드 판단부는, 컴퓨터 단말에서 전송받은 의심 프로세스(의심리스트에 속한 프로세스)에 대하여 분석한 판단기준을 포함하며 의심프로세스는 허용리스트 또는 거부리스트로 분류되어 등록되는 것을 특징으로 하는 악성코드 조기방역 시스템.
- 제8항에 있어서,상기 악성 코드 판단부는, 업데이트된 통제리스트를 연결된 모든 컴퓨터 단말로 전송하는 것을 특징으로 하는 악성코드 조기방역 시스템.
- 제9항에 있어서,상기 악성 코드 방역부는 방역 서버로부터 업데이된 통제리스트를 수신하여 거부리스트에 등록된 악성 프로세스를 중지시키고 파일, 레지스트리, 드라이버에서 악성 코드를 삭제하는 것을 특징으로 하는 악성코드 조기방역 시스템.
- 제1항에 있어서,상기 시스템콜 후킹 통제부는 악성코드 방역부로부터 업데이트된 통제리스트를 수신하여, 네트워크 프로세스(또는 실행코드)의 설치 또는 실행이 요청되면, 시스템콜 후킹을 통하여 통제리스트의 거부리스트와 비교하여 상기 프로세스가 거부리스트에 속하면 상기 요청을 차단하는 것을 특징으로 하는 악성코드 조기방역 시스템.
- 네트워크 보안시스템(이하 보안시스템)과 네트워크로 연결된 방역서버와, 상기 방역서버와 네트워크로 연결된 컴퓨터 단말에 설치되는 악성코드 조기방역 에이전트를 이용하는 악성코드 조기방역 방법에 있어서,(a) 상기 방역서버가 상기 보안시스템으로부터 추적요청리스트를 수신하여, 컴퓨터 단말의 조기방역 에이전트로 악성코드 추적을 요청하는 단계;(b) 상기 에이전트가 상기 방역서버로부터 악성코드 추적을 요청받아 악성코드를 추적하는 단계;(c) 상기 에이전트가 컴퓨터 단말에서 악성코드를 추적한 추적결과를 방역서버로 전송하는 단계;(d) 상기 방역서버는 상기 조기방역 에이전트로부터 악성코드 추적결과를 수신하여 악성코드 여부를 판단하는 단계;(e) 상기 방역서버는 통제리스트를 갱신하여 상기 조기방역 에이전트에 통제리스트 업데이트를 요청하는 단계;(f) 상기 에이전트는 상기 방역서버로부터 수신한 업데이트된 통제리스트에 따라 방역을 실시하는 단계를 포함하고,상기 (a)단계에서, 상기 방역서버는 상기 보안시스템으로부터 IP주소(또는 IP주소 및 포트) 정보를 포함하는 추적요청리스트를 수신하여, 상기 IP주소 정보에 매핑되는 IP주소를 가지는 컴퓨터 단말을 추적대상으로 선정하고, 추적대상 컴퓨터 단말의 조기방역 에이전트로 상기 추적요청리스트를 전송하는 것을 특징으로 하는 악성코드 조기방역 방법.
- 제12항에 있어서,상기 (b)단계는 상기 에이전트가 네트워크 세션 테이블 비교와 세션 후킹을 통하여 전송하려는 패킷을 조사하여 악성코드를 추적하는 것을 특징으로 하는 악성코드 조기방역 방법.
- 제12항에 있어서,상기 (f)단계는 상기 에이전트가 시스템콜 후킹을 통하여 악성 코드의 설치 및 실행을 차단하는 것을 특징으로 하는 악성코드 조기방역 방법.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020090101836A KR100959274B1 (ko) | 2009-10-26 | 2009-10-26 | 네트워크 모니터링 정보를 이용한 악성 코드 조기방역 시스템 및 그 방법 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020090101836A KR100959274B1 (ko) | 2009-10-26 | 2009-10-26 | 네트워크 모니터링 정보를 이용한 악성 코드 조기방역 시스템 및 그 방법 |
Publications (1)
Publication Number | Publication Date |
---|---|
KR100959274B1 true KR100959274B1 (ko) | 2010-05-26 |
Family
ID=42281964
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020090101836A KR100959274B1 (ko) | 2009-10-26 | 2009-10-26 | 네트워크 모니터링 정보를 이용한 악성 코드 조기방역 시스템 및 그 방법 |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR100959274B1 (ko) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101375375B1 (ko) * | 2012-02-24 | 2014-03-17 | 주식회사 퓨쳐시스템 | 좀비 컴퓨터 블랙리스트 수집에 기초한 좀비 컴퓨터 탐지 및 방어 시스템 |
KR101483859B1 (ko) * | 2013-06-07 | 2015-01-16 | (주)이스트소프트 | 백신의 상태를 모니터링하는 관리시스템을 이용한 악성코드 차단방법 |
KR101580624B1 (ko) * | 2014-11-17 | 2015-12-28 | 국방과학연구소 | 벌점기반의 알려지지 않은 악성코드 탐지 및 대응 방법 |
KR20170078320A (ko) * | 2015-12-29 | 2017-07-07 | 주식회사 마크애니 | 사용자 모바일 단말의 악성코드 침투 및 무단 액세스 방지를 위한 실시간 감시 시스템 및 그 방법 |
CN112529519A (zh) * | 2020-11-26 | 2021-03-19 | 数字广东网络建设有限公司 | 防疫信息获取系统、方法、装置、计算机设备和存储介质 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20030063949A (ko) * | 2002-01-24 | 2003-07-31 | 박정현 | 컴퓨터 바이러스 방역 방법 및 시스템 |
KR20040104112A (ko) * | 2003-06-03 | 2004-12-10 | 주식회사 안철수연구소 | 악성쓰레드 검출기 및 그 방법 |
KR20060011558A (ko) * | 2004-07-30 | 2006-02-03 | 주식회사 뉴테크웨이브 | 컴퓨터 바이러스의 조기방역 시스템 |
KR20060113570A (ko) * | 2006-09-04 | 2006-11-02 | 주식회사 비즈모델라인 | 바이러스(또는 악성코드) 역추적 시스템 |
-
2009
- 2009-10-26 KR KR1020090101836A patent/KR100959274B1/ko active IP Right Grant
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20030063949A (ko) * | 2002-01-24 | 2003-07-31 | 박정현 | 컴퓨터 바이러스 방역 방법 및 시스템 |
KR20040104112A (ko) * | 2003-06-03 | 2004-12-10 | 주식회사 안철수연구소 | 악성쓰레드 검출기 및 그 방법 |
KR20060011558A (ko) * | 2004-07-30 | 2006-02-03 | 주식회사 뉴테크웨이브 | 컴퓨터 바이러스의 조기방역 시스템 |
KR20060113570A (ko) * | 2006-09-04 | 2006-11-02 | 주식회사 비즈모델라인 | 바이러스(또는 악성코드) 역추적 시스템 |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101375375B1 (ko) * | 2012-02-24 | 2014-03-17 | 주식회사 퓨쳐시스템 | 좀비 컴퓨터 블랙리스트 수집에 기초한 좀비 컴퓨터 탐지 및 방어 시스템 |
KR101483859B1 (ko) * | 2013-06-07 | 2015-01-16 | (주)이스트소프트 | 백신의 상태를 모니터링하는 관리시스템을 이용한 악성코드 차단방법 |
KR101580624B1 (ko) * | 2014-11-17 | 2015-12-28 | 국방과학연구소 | 벌점기반의 알려지지 않은 악성코드 탐지 및 대응 방법 |
KR20170078320A (ko) * | 2015-12-29 | 2017-07-07 | 주식회사 마크애니 | 사용자 모바일 단말의 악성코드 침투 및 무단 액세스 방지를 위한 실시간 감시 시스템 및 그 방법 |
KR102348095B1 (ko) * | 2015-12-29 | 2022-01-10 | 주식회사 마크애니 | 사용자 모바일 단말의 악성코드 침투 및 무단 액세스 방지를 위한 실시간 감시 시스템 및 그 방법 |
CN112529519A (zh) * | 2020-11-26 | 2021-03-19 | 数字广东网络建设有限公司 | 防疫信息获取系统、方法、装置、计算机设备和存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10389740B2 (en) | Detecting a malicious file infection via sandboxing | |
US10095866B2 (en) | System and method for threat risk scoring of security threats | |
US8291498B1 (en) | Computer virus detection and response in a wide area network | |
US7836506B2 (en) | Threat protection network | |
US9628508B2 (en) | Discovery of suspect IP addresses | |
US7870612B2 (en) | Antivirus protection system and method for computers | |
US8621610B2 (en) | Network service for the detection, analysis and quarantine of malicious and unwanted files | |
US8683585B1 (en) | Using file reputations to identify malicious file sources in real time | |
Oberheide et al. | Rethinking Antivirus: Executable Analysis in the Network Cloud. | |
CN108369541B (zh) | 用于安全威胁的威胁风险评分的系统和方法 | |
CN110417578B (zh) | 一种异常ftp连接告警处理方法 | |
CN110868403B (zh) | 一种识别高级持续性攻击apt的方法及设备 | |
KR100959274B1 (ko) | 네트워크 모니터링 정보를 이용한 악성 코드 조기방역 시스템 및 그 방법 | |
KR100769221B1 (ko) | 제로데이 공격 대응 시스템 및 방법 | |
KR100959276B1 (ko) | 커널계층에서 통제리스트를 이용한 악성프로세스 설치차단 시스템 및 그 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체 | |
CN112583841B (zh) | 虚拟机安全防护方法及系统、电子设备和存储介质 | |
US20230344861A1 (en) | Combination rule mining for malware signature generation | |
US20230214489A1 (en) | Rootkit detection based on system dump files analysis | |
KR100959264B1 (ko) | 네트워크를 이용하는 프로세스의 감시를 통한 좀비pc 차단 시스템 및 그 방법 | |
Ying et al. | Anteater: Malware Injection Detection with Program Network Traffic Behavior | |
US20230082289A1 (en) | Automated fuzzy hash based signature collecting system for malware detection | |
CN111859376A (zh) | 一种基于windows登陆信息发现内网攻击者的方法 | |
GB2574468A (en) | Detecting a remote exploitation attack | |
JP2016004540A (ja) | 解析装置及び解析方法及びプログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
A302 | Request for accelerated examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
N231 | Notification of change of applicant | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20130503 Year of fee payment: 4 |
|
FPAY | Annual fee payment |
Payment date: 20140509 Year of fee payment: 5 |
|
FPAY | Annual fee payment |
Payment date: 20150514 Year of fee payment: 6 |
|
FPAY | Annual fee payment |
Payment date: 20160512 Year of fee payment: 7 |
|
FPAY | Annual fee payment |
Payment date: 20170612 Year of fee payment: 8 |
|
FPAY | Annual fee payment |
Payment date: 20180611 Year of fee payment: 9 |
|
FPAY | Annual fee payment |
Payment date: 20190509 Year of fee payment: 10 |