KR101060596B1 - 악성 파일 탐지 시스템, 악성 파일 탐지 장치 및 그 방법 - Google Patents
악성 파일 탐지 시스템, 악성 파일 탐지 장치 및 그 방법 Download PDFInfo
- Publication number
- KR101060596B1 KR101060596B1 KR1020090062371A KR20090062371A KR101060596B1 KR 101060596 B1 KR101060596 B1 KR 101060596B1 KR 1020090062371 A KR1020090062371 A KR 1020090062371A KR 20090062371 A KR20090062371 A KR 20090062371A KR 101060596 B1 KR101060596 B1 KR 101060596B1
- Authority
- KR
- South Korea
- Prior art keywords
- file
- malicious
- virtualization
- window
- detection
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Abstract
Description
Claims (11)
- 네트워크상의 실행 파일을 수집하고, 제공되는 악성 파일 정보에 따라 상기 실행 파일을 선택 차단하는 네트워크 보안 장치와,상기 수집된 실행 파일에 대응하는 가상화창을 할당하고, 상기 할당된 가상화창에 대응하는 가상화 프로그램을 통해 상기 실행 파일을 실행시키며, 상기 실행 파일의 실행 중에 모니터링된 동작 상태 결과를 분석하여 상기 실행 파일의 악성 파일 유무를 판단한 후에 상기 악성 파일 정보를 상기 네트워크 보안 장치로 제공하는 악성 파일 탐지 장치를 포함하는 악성 파일 탐지 시스템.
- 제 1 항에 있어서,상기 악성 파일 탐지 장치는, 상기 실행 파일의 분석이 완료되면 상기 가상화창을 종료시키고, 기 저장된 다수의 원본 가상화 이미지 데이터 중 어느 하나를 이용하여 다른 가상화창을 활성화시키는 악성 파일 탐지 시스템.
- 제 1 항 또는 제 2 항에 있어서,상기 악성 파일 탐지 장치는, CPU, 메모리, 파일, 네트워크, 인터페이스 및 프로세스를 포함하는 항목에서 상기 실행 파일의 동작 상태를 모니터링하는 악성 파일 탐지 시스템.
- 수집된 실행 파일에 대응하는 가상화창을 할당하고, 상기 할당된 가상화창에 대응하는 가상화 프로그램을 통해 상기 실행 파일을 실행시키도록 제어하며, 상기 실행 파일의 동작 상태 결과를 수신 및 분석하여 상기 실행 파일의 악성 파일 유무를 판단한 후에 악성 파일 정보를 제공하는 탐지 제어부와,상기 할당된 가상화창 및 가상화 프로그램을 통해 상기 실행 파일을 실행하면서 상기 실행 파일의 동작 상태를 모니터링하고, 모니터링된 동작 상태 결과를 상기 탐지 제어부로 전송하는 가상화 탐지부와,상기 수집된 실행 파일을 전송하는 네트워크 보안 장치와 상기 탐지 제어부 간의 통신을 담당하는 제 1 통신부와,상기 탐지 제어부와 상기 가상화 탐지부 간의 통신을 담당하는 제 2 통신부를 포함하는 악성 파일 탐지 장치.
- 제 4 항에 있어서,상기 탐지 제어부는, 상기 실행 파일의 분석이 완료되면 상기 가상화창을 종료시키기 위한 제어신호를 상기 가상화 탐지부로 제공하고, 기 저장된 다수의 원본 가상화 이미지 데이터 중 어느 하나를 이용하여 다른 가상화창을 활성화시키는 제어신호를 상기 가상화 탐지부로 제공하는 악성 파일 탐지 장치.
- 제 5 항에 있어서,상기 탐지 제어부는, 상기 다른 가상화창을 활성화시키는 경우 상기 기 저장된 다수의 원본 가상화 이미지 데이터 중 어느 하나를 선택하여 종료된 가상화 이미지로 복사한 후에, 상기 다른 가상화창을 활성화시켜 상기 가상화 프로그램을 재구동시키는 악성 파일 탐지 장치.
- 제 4 항 내지 제 6 항에 있어서,상기 가상화 탐지부는, CPU, 메모리, 파일, 네트워크, 인터페이스 및 프로세스를 포함하는 항목에서 상기 실행 파일의 동작 상태를 모니터링하는 악성 파일 탐지 장치.
- 수집된 실행 파일이 전송되면, 상기 전송된 실행 파일을 어느 하나의 가상화창에 할당하는 단계와,상기 할당된 가상화창에서 가상화 프로그램을 통해 상기 실행 파일을 실행하는 단계와,상기 실행 파일의 실행 중에 동작 상태를 모니터링하여 모니터링된 동작 상태 결과를 제공하는 단계와,상기 제공된 동작 상태 결과를 분석하여 악성 파일 여부를 판단하는 단계와,상기 악성 파일 여부를 포함하는 악성 파일 정보를 제공하는 단계를 포함하는 악성 파일 탐지 방법.
- 제 8 항에 있어서,상기 악성 파일 탐지 방법은,상기 악성 파일 여부를 판단하는 단계 이 후에 상기 실행 파일의 분석이 완료된 상기 가상화창을 종료한 후 다른 가상화창을 활성화시키는 단계를 더 포함하는 악성 파일 탐지 방법.상기 다른 가상화창을 활성화시키는 단계는, 상기 실행 파일의 분석이 완료되면 기 저장된 기 저장된 다수의 원본 가상화 이미지 데이터 중 어느 하나를 이용하여 다른 가상화창을 활성화시키는 악성 파일 탐지 방법.
- 제 8 항 또는 제 9 항에 있어서,상기 다른 가상화창을 활성화시키는 단계는, 상기 실행 파일의 분석이 완료되면 기 저장된 기 저장된 다수의 원본 가상화 이미지 데이터 중 어느 하나를 이용하여 다른 가상화창을 활성화시키는 악성 파일 탐지 방법.
- 제 9 항에 있어서,상기 다른 가상화창을 활성화시키는 단계는, 상기 다른 가상화창을 활성화시키는 경우 상기 기 저장된 다수의 원본 가상화 이미지 데이터 중 어느 하나를 선택하여 종료된 가상화 이미지로 복사한 후에, 상기 다른 가상화창을 활성화시켜 상기 가상화 프로그램을 재구동시키는 악성 파일 탐지 방법.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020090062371A KR101060596B1 (ko) | 2009-07-09 | 2009-07-09 | 악성 파일 탐지 시스템, 악성 파일 탐지 장치 및 그 방법 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020090062371A KR101060596B1 (ko) | 2009-07-09 | 2009-07-09 | 악성 파일 탐지 시스템, 악성 파일 탐지 장치 및 그 방법 |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20110004935A KR20110004935A (ko) | 2011-01-17 |
KR101060596B1 true KR101060596B1 (ko) | 2011-08-31 |
Family
ID=43612243
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020090062371A KR101060596B1 (ko) | 2009-07-09 | 2009-07-09 | 악성 파일 탐지 시스템, 악성 파일 탐지 장치 및 그 방법 |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR101060596B1 (ko) |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101463873B1 (ko) * | 2011-09-30 | 2014-11-20 | 주식회사 엔피코어 | 정보 유출 차단 장치 및 방법 |
KR101230674B1 (ko) * | 2011-10-11 | 2013-02-07 | 주식회사 엔씨소프트 | 인터넷을 통한 위협모듈 파일수집 방법 |
KR101295644B1 (ko) * | 2011-11-11 | 2013-09-16 | 한국전자통신연구원 | 스마트폰 앱 검증 시스템 및 그 방법 |
KR101880689B1 (ko) * | 2016-10-25 | 2018-07-20 | 주식회사 안랩 | 악성코드 진단장치 및 방법 |
KR102393795B1 (ko) * | 2021-08-26 | 2022-05-03 | 시큐레터 주식회사 | 응용프로그램의 실행 흐름 변경을 통한 비실행 파일의 악성 탐지 방법 및 장치 |
-
2009
- 2009-07-09 KR KR1020090062371A patent/KR101060596B1/ko active IP Right Grant
Also Published As
Publication number | Publication date |
---|---|
KR20110004935A (ko) | 2011-01-17 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
RU2698776C2 (ru) | Способ ведения базы данных и соответствующий сервер | |
US10581879B1 (en) | Enhanced malware detection for generated objects | |
US10075455B2 (en) | Zero-day rotating guest image profile | |
US10009360B1 (en) | Malware detection and data protection integration | |
US9594881B2 (en) | System and method for passive threat detection using virtual memory inspection | |
US9495180B2 (en) | Optimized resource allocation for virtual machines within a malware content detection system | |
US10133863B2 (en) | Zero-day discovery system | |
KR101609124B1 (ko) | 모바일 네트워크 환경에서 행위기반 분석 서비스 제공 방법 및 장치 | |
EP2106085B1 (en) | System and method for securing a network from zero-day vulnerability exploits | |
CN101826139B (zh) | 一种非可执行文件挂马检测方法及其装置 | |
KR100786725B1 (ko) | 악성코드 분석 시스템 및 방법 | |
WO2016082501A1 (zh) | 一种云计算系统中云应用攻击行为处理方法、装置及系统 | |
WO2014145805A1 (en) | System and method employing structured intelligence to verify and contain threats at endpoints | |
US11880458B2 (en) | Malware detection based on user interactions | |
CN108369541B (zh) | 用于安全威胁的威胁风险评分的系统和方法 | |
KR101060596B1 (ko) | 악성 파일 탐지 시스템, 악성 파일 탐지 장치 및 그 방법 | |
JP2019066995A (ja) | セキュアモードとノンセキュアモードとを選択的に切り替え可能なシステム | |
Pektaş et al. | A dynamic malware analyzer against virtual machine aware malicious software | |
CN105791250B (zh) | 应用程序检测方法及装置 | |
CN110505246B (zh) | 客户端网络通讯检测方法、装置及存储介质 | |
CN107766068B (zh) | 应用系统补丁安装方法、装置、计算机设备和存储介质 | |
CN105631321B (zh) | 一种虚拟机进程信息的检测方法及装置 | |
KR101880689B1 (ko) | 악성코드 진단장치 및 방법 | |
Stelte et al. | Towards integrity measurement in virtualized environments—a hypervisor based sensory integrity measurement architecture (SIMA) | |
CN107516039B (zh) | 虚拟化系统的安全防护方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20140728 Year of fee payment: 4 |
|
FPAY | Annual fee payment |
Payment date: 20150728 Year of fee payment: 5 |
|
FPAY | Annual fee payment |
Payment date: 20160926 Year of fee payment: 6 |
|
FPAY | Annual fee payment |
Payment date: 20170824 Year of fee payment: 7 |
|
FPAY | Annual fee payment |
Payment date: 20180822 Year of fee payment: 8 |
|
FPAY | Annual fee payment |
Payment date: 20191107 Year of fee payment: 9 |