KR101063010B1 - Process management method and device that can detect malware - Google Patents

Process management method and device that can detect malware Download PDF

Info

Publication number
KR101063010B1
KR101063010B1 KR1020090049226A KR20090049226A KR101063010B1 KR 101063010 B1 KR101063010 B1 KR 101063010B1 KR 1020090049226 A KR1020090049226 A KR 1020090049226A KR 20090049226 A KR20090049226 A KR 20090049226A KR 101063010 B1 KR101063010 B1 KR 101063010B1
Authority
KR
South Korea
Prior art keywords
information
file
risk
remote server
malicious program
Prior art date
Application number
KR1020090049226A
Other languages
Korean (ko)
Other versions
KR20100130498A (en
Inventor
김문규
박세호
Original Assignee
주식회사 미라지웍스
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 미라지웍스 filed Critical 주식회사 미라지웍스
Priority to KR1020090049226A priority Critical patent/KR101063010B1/en
Publication of KR20100130498A publication Critical patent/KR20100130498A/en
Application granted granted Critical
Publication of KR101063010B1 publication Critical patent/KR101063010B1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/14Error detection or correction of the data by redundancy in operation
    • G06F11/1402Saving, restoring, recovering or retrying
    • G06F11/1446Point-in-time backing up or restoration of persistent data
    • G06F11/1458Management of the backup or restore process
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3003Monitoring arrangements specially adapted to the computing system or computing system component being monitored
    • G06F11/302Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system component is a software system
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities

Abstract

시스템 내의 악성 프로그램 탐지가 가능한 프로세스 관리 방법에 관한 것으로, 상기 프로세스 정보를 수집하는 단계; 상기 수집되는 프로세스 정보를 원격지 서버로 전송하는 단계; 및 상기 원격지 서버로부터 상기 프로세스에 대한 위험성 판단 결과를 수신하여 악성 프로그램 설치 여부를 탐지하는 단계;를 포함하는 것을 특징으로 하는 컴퓨터에서 수행되는 악성 프로그램 탐지가 가능한 프로세스 관리 방법에 의해 악성 프로그램에 의해 생성되는 악성 코드에 대해 감지하는 것이 가능할 뿐만 아니라 어떤 프로세스에 의해 생성되었는지를 파악하는 것이 가능하여, 악성 프로그램의 생성 원인을 근본적으로 파악할 수 있다. A process management method capable of detecting a malicious program in a system, the method comprising: collecting the process information; Transmitting the collected process information to a remote server; And detecting whether a malicious program is installed by receiving a risk determination result for the process from the remote server. The malware is generated by the malicious program by a process management method capable of detecting a malicious program performed on a computer. In addition to being able to detect malicious code that is being generated, it is also possible to know which process was generated, thereby fundamentally identifying the cause of the malicious program.

프로세스, 악성 프로그램, 원격 Process, malware, remote

Description

악성 프로그램 탐지가 가능한 프로세스 관리 방법 및 장치{Method and Apparatus for managing of process}Method and Apparatus for Managing Malware Detection Methods and Apparatus for managing of process

본 발명은 컴퓨터의 프로세스 관리 방법에 관한 것으로, 보다 구체적으로 시스템 내의 악성 프로그램 탐지가 가능한 프로세스 관리 방법에 관한 것이다. The present invention relates to a process management method of a computer, and more particularly, to a process management method capable of detecting malicious programs in a system.

컴퓨터와 인터넷의 보급으로 다양한 응용 소프트웨어나 콘텐츠가 사용자 간에 공유되고 있다. 이에 따라 바이러스 프로그램 등을 포함하는 악성코드도 급속히 확산되고 있으며 개인정보의 유출도 점점 심각해 지고 있다.With the spread of computers and the Internet, various application software or contents are shared among users. As a result, malicious codes including virus programs are rapidly spreading, and the leakage of personal information is becoming more serious.

일반적으로 악성코드란, 불법적인 방법으로 사용자 컴퓨터에 설치되어 상업적인 용도로 활용되는 것으로, 각종 팝업 광고, 키워드/URL(Uniform Resource Locator) 가로채기, 시작 페이지 강제 고정, 사용자 컴퓨터를 통한 스팸메일 발송 등 각종 불법적인 활동을 자행하여 사용자들에게 피해를 주는 프로그램을 말한다. 이러한 악성코드가 컴퓨터에 설치되면 시스템 자원에 임의로 접근하여 컴퓨터 시스템에 영향을 미칠 뿐만 아니라 시스템 자원을 손상시키기도 한다.In general, malware is installed on a user's computer in an illegal manner and used for commercial purposes. The malicious code intercepts various pop-up advertisements, intercepts keyword / URL (Uniform Resource Locator), composes a start page, and sends spam mail through the user's computer. It refers to a program that harms users by performing various illegal activities. When such malicious code is installed in a computer, the system resources are randomly accessed and not only affect the computer system but also damage the system resources.

악성코드를 탐지하고 제거하기 위한 종래의 악성코드 탐지 및 제거 프로그램은 악성코드 리스트를 참조하여 해당 악성코드가 컴퓨터에 설치되어 있는지의 여부 를 체크하여 해당 악성코드를 삭제하거나 치료한다. 그러나 이러한 종래의 악성코드 탐지 및 제거 프로그램은 악성코드가 시스템 자원에 접근하는 것을 원천적으로 차단하지는 못한다.The conventional malware detection and removal program for detecting and removing malicious code checks whether the malicious code is installed in the computer by referring to the malicious code list and deletes or cleans the malicious code. However, such a conventional malware detection and removal program does not fundamentally prevent malicious code from accessing system resources.

본 발명은 이 같은 배경에서 도출된 것으로, 근본적으로 악성 프로그램의 생성 방법에 대한 탐지가 가능한 프로세스 관리 방법을 제공하는 것을 목적으로 한다. The present invention is derived from such a background, and an object thereof is to provide a process management method capable of detecting a malicious program generation method.

또한, 악성 프로세스가 감지되는 경우에는, 그 프로세스 실행 이전의 상태로 시스템 상태를 복원하는 것이 가능한 프로세스 관리 방법을 제공하는 것을 목적으로 한다. Moreover, when a malicious process is detected, it aims at providing the process management method which can restore a system state to the state before execution of the process.

상기 기술적 과제는 컴퓨터에서 수행되는 프로세스 관리 방법에 있어서, 상기 프로세스 정보를 수집하는 단계; 상기 수집되는 프로세스 정보를 원격지 서버로 전송하는 단계; 상기 원격지 서버로부터 상기 프로세스에 대한 위험성 판단 결과에 따라 부여된 안정성 등급을 수신하여 악성 프로그램 설치 여부를 탐지하는 단계; 및 상기 프로세스에 부여된 안전성 등급에 따라 상이한 주기를 적용하여, 상기 원격지 서버로 주기적으로 프로세스에 대한 위험성 여부의 판단을 요청하는 단계; 를 포함하는 것을 특징으로 하는 컴퓨터에서 수행되는 악성 프로그램 탐지가 가능한 프로세스 관리 방법에 의해 달성된다. The technical problem is a process management method performed in a computer, comprising: collecting the process information; Transmitting the collected process information to a remote server; Detecting whether a malicious program is installed by receiving a stability level given according to a risk determination result of the process from the remote server; And applying a different period according to the safety level assigned to the process, periodically requesting the remote server to determine whether the process is dangerous. It is achieved by a process management method capable of detecting malicious programs performed on a computer comprising a.

상기 방법은 상기 원격지 서버로부터 상기 프로세스에 대한 이력 정보를 획득하는 단계;를 더 포함하는 것을 특징으로 한다.The method further comprises obtaining history information about the process from the remote server.

한편, 상기 기술적 과제는 컴퓨터 내의 프로세스 정보를 수집하는 프로세스 정보 수집부; 및 상기 수집되는 프로세스 정보를 원격지 서버로 전송하여, 상기 프로세스에 대한 위험성 판단 결과를 수신하여 상기 컴퓨터 내의 프로세스에 대한 위험성을 모니터링하여 악성 프로그램 설치 여부를 탐지하고, 상기 프로세스에 부여된 안정성 등급에 따라 상이한 주기를 적용하여, 상기 원격지 서버로 주기적으로 프로세스에 대한 위험성 여부의 판단을 요청하는 악성 프로그램 탐지부;를 포함하는 것을 특징으로 하는 악성 프로그램 탐지가 가능한 프로세스 관리 장치에 의해서도 달성된다. On the other hand, the technical problem is a process information collection unit for collecting process information in the computer; And transmits the collected process information to a remote server, receives a risk determination result for the process, monitors the risk for the process in the computer, detects whether a malicious program is installed, and according to the stability level given to the process. It is also achieved by the process management apparatus capable of detecting a malicious program, including a malicious program detection unit for applying a different cycle, periodically requesting the remote server to determine the risk of the process.

본 발명에 따르면, 악성 프로그램에 의해 생성되는 악성 코드에 대해 감지하는 것이 가능할 뿐만 아니라 어떤 프로세스에 의해 생성되었는지를 파악하는 것이 가능하여, 악성 프로그램의 생성 원인을 근본적으로 파악할 수 있다. According to the present invention, it is possible not only to detect the malicious code generated by the malicious program, but also to identify the process by which the malicious code is generated, thereby fundamentally identifying the cause of the malicious program.

또한, 악성 프로그램이 탐지되는 경우에는, 그 악성 프로그램이 설치되는 프로세스가 실행되기 이전의 상태로 시스템 상태를 복구하는 것이 가능하여 악성 프로그램에 의해 손상된 파일이나 시스템 복구에 필요한 노력 및 시간을 절감시킬 수 있는 효과가 있다.In addition, when a malicious program is detected, it is possible to restore the system state to the state before the process in which the malicious program was installed, thus reducing the effort and time required to recover a file or system damaged by the malicious program. It has an effect.

전술한, 그리고 추가적인 본 발명의 양상들은 첨부된 도면들을 참조하여 설명되는 바람직한 실시예들을 통해 더욱 명확해질 것이다. 이하에서는 본 발명을 이러한 실시예들을 통해 당업자가 용이하게 이해하고 재현할 수 있도록 상세히 설명하기로 한다.The foregoing and further aspects of the present invention will become more apparent through the preferred embodiments described with reference to the accompanying drawings. Hereinafter, the present invention will be described in detail so that those skilled in the art can easily understand and reproduce the present invention through these embodiments.

도 1은 본 발명의 일 실시예에 따른 프로세스 관리 시스템을 도시한 블록도이다. 1 is a block diagram illustrating a process management system according to an embodiment of the present invention.

도시된 바와 같이 본 발명에 따른 프로세스 관리 시스템은, 프로세스가 실행되는 컴퓨터 시스템(10)과, 컴퓨터 시스템에서 수행되는 프로세스에 의한 악성 프 로그램 탐지를 수행하기 위한 프로세스 관리 장치(20), 컴퓨터 시스템(10)에서 수행되는 파일들에 대한 정보를 저장하고 관리하는 원격지의 파일 관리 서버(30)를 포함한다.As shown, the process management system according to the present invention includes a computer system 10 on which a process is executed, a process management apparatus 20 for performing malicious program detection by a process performed on a computer system, and a computer system. And a remote file management server 30 that stores and manages information about the files performed at 10.

컴퓨터 시스템(10)은 사용자의 개인용 컴퓨터이며, 본 실시예에 따른 프로세스 관리 장치(20)는 컴퓨터 시스템(10)에 설치되어 실행되는 애플리케이션으로 구현될 수 있다. The computer system 10 is a personal computer of a user, and the process management apparatus 20 according to the present embodiment may be implemented as an application installed and executed in the computer system 10.

프로세스 관리 장치(20)는 컴퓨터 시스템(10)에서 실행되는 프로세스에 대한 정보들을 수집하여 원격지의 파일 관리 서버(30)로 전송한다. 그리고 프로세스 관리 장치(20)는 그 응답으로 파일 관리 서버(30)로부터 컴퓨터 시스템(10)에서 실행중인 프로세스에 대한 위험성 여부를 판단한 결과를 수신한다.The process management apparatus 20 collects information on a process executed in the computer system 10 and transmits the information to a remote file management server 30. In response, the process management device 20 receives a result from the file management server 30 as a result of determining whether there is a risk for the process running in the computer system 10.

또한, 프로세스 관리 장치(20)는 파일 관리 서버(30)로부터 컴퓨터 시스템(10)에서 최소한 한번 이상 실행된 프로세스 정보를 데이터베이스화하여 로컬에 구축한다. 이렇게, 프로세스 실행 이력을 데이터베이스화하여 저장함으로써, 프로세스 관리 장치(20)는 어떤 프로세스가 새로운 파일을 생성하였는지 확인하는 것이 가능하다. 따라서, 프로세스 관리 장치(20)는 파일 관리 서버(30)로부터 악성 프로그램이 생성되었다는 사실을 수신한 경우에 그 악성 프로그램이 어떤 프로세스에 의해 생성되었는지 생성 방법의 탐지가 가능하다. In addition, the process management apparatus 20 constructs a database of process information executed at least once in the computer system 10 from the file management server 30 in a database. In this way, by storing the process execution history in a database, the process management apparatus 20 can check which process has created a new file. Therefore, when the process management device 20 receives the fact that the malicious program has been generated from the file management server 30, it is possible to detect a process of generating the malicious program by which process.

또한, 일 실시예에 따른 프로세스 관리 장치(20)는 컴퓨터 시스템(10)의 전반적인 동작을 제어하는 중앙 처리 유닛(CPU)의 사용량을 모니터링하여 분석하고, 가변적으로 중앙 처리 유닛의 사용량을 조절하는 것이 가능하다. 예를 들어 현재 중앙 처리 유닛의 자원 사용량이 많은 경우에는 프로세스 관리를 위한 자원 사용량을 줄여서, 최소 자원을 이용하여 프로세스 관리를 수행할 수 있다. In addition, the process management apparatus 20 according to an embodiment monitors and analyzes the usage of the central processing unit (CPU) that controls the overall operation of the computer system 10, and variably adjusts the usage of the central processing unit. It is possible. For example, when resource usage of the central processing unit is large, it is possible to reduce resource usage for process management and to perform process management using minimum resources.

파일 관리 서버(30)는 컴퓨터 시스템(10)에 설치되어 있는 윈도우 운영체제 기반의 파일들과, 해당 파일들에 대한 정보가 저장된다. 본 실시예에 있어서 파일 관리 서버(30)는 컴퓨터 시스템(10)의 프로세스에 의해 새로 등록되는 파일들에 대한 위험성 여부를 다양한 방법으로 검사하여 위험도를 판단한다. 예를 들어 Virus Total과 같은 악성 코드 검색 엔진을 통해 검사할 수 있다. The file management server 30 stores files based on the Windows operating system installed in the computer system 10 and information about the files. In the present embodiment, the file management server 30 checks the risk of files newly registered by the process of the computer system 10 in various ways to determine the risk. For example, it can be scanned using a malware search engine such as Virus Total.

일 실시예에 있어서 파일 관리 서버(30)는 정기적으로 저장된 파일 정보를 재구축할 수 있다. 또한 컴퓨터 시스템(10)으로부터 새로 실행되는 프로세스에 의해 기존에 설치된 이력이 없는 파일이 설치된 경우에, 이 정보를 수신하여 업데이트하는 것도 가능하다. In one embodiment, the file management server 30 may reconstruct regularly stored file information. It is also possible to receive and update this information when a file without a previously installed history is installed by a newly executed process from the computer system 10.

또한, 파일 관리 서버(30)는 주기적으로 저장된 파일들에 대한 위험성 여부를 판단한다. 악성 코드는 사후 대응 방법으로 대응해야 하기 때문에 특정 시기에 악성 코드로 분류되지 않았다 하더라도, 추가로 구비되는 백신 DB의 업데이트에 따라 악성 코드로 확인되는 경우가 있을 수 있다. 따라서, 이미 검사과정을 거친 프로세스 파일의 경우에도 주기적인 재검사를 통해 더 높은 안정성을 확보할 수 있다.In addition, the file management server 30 determines whether there is a risk for the periodically stored files. Since the malicious code must respond in a post-response manner, even though the malicious code is not classified as a malicious code at a specific time, the malicious code may be identified as a malicious code according to an update of the vaccine database. Therefore, even in the case of a process file that has already been inspected, it is possible to secure higher stability through periodic re-inspection.

본 실시예에 있어서, 파일 관리 서버(30)는 위험도 검사가 수행된 프로세스 실행 파일에 대해 위험도 검사 결과를 반영하기 위한 안전성 등급을 부여한다. In the present embodiment, the file management server 30 assigns a safety level for reflecting the result of the risk test on the process execution file on which the risk test is performed.

예를 들어 위험도 검사 결과 안전하다고 판명된 파일에 대한 안전성 등급은 한단계 상승시키고, 위험도가 높은 악성 코드로 판단되는 파일의 경우에는 그 안전성 등급을 최하로 분류한다. 그리고, 저장된 파일들에 대한 안전성 등급에 따라 위험성 여부 판단 주기를 상이하게 설정할 수 있다. 예를 들어 안전성 등급이 높은 파일은 악성 코드일 확률이 현저히 낮기 때문에 긴 주기마다 위험도 검사를 수행한다. 반대로 안전성 등급이 낮거나, 처음 발견된 파일의 경우에는 악성 코드일 확률이 상대적으로 높기 때문에 보다 짧은 주기로 위험도 검사를 수행하도록 구현된다. 즉, 안전 등급을 부여하고, 그에 따라 상이한 주기로 위험도 검사를 수행함으로써 위험도 검사의 효율성을 높일 수 있다.For example, the safety level of a file that is determined to be safe as a result of a risk test is raised by one level, and the file is considered to be the lowest in the case of a file that is determined to be a high-risk malicious code. The risk determination cycle may be set differently according to the safety level of the stored files. For example, files with high safety ratings are significantly less likely to be malicious code, so they are scanned for risk every long period of time. On the contrary, a file with a low safety rating or a first-found file has a relatively high probability of being a malicious code, and thus is implemented to perform a risk check at shorter intervals. In other words, it is possible to increase the efficiency of the risk test by assigning a safety level and thus performing the risk test at different intervals.

도 2 는 본 발명의 일 실시예에 따른 악성 프로그램 탐지가 가능한 프로세스 관리 장치의 블록도이다. 2 is a block diagram of a process management apparatus capable of detecting a malicious program according to an embodiment of the present invention.

본 발명의 일 실시예에 따른 프로세스 관리 장치는 서버 통신부(200), 프로세스 정보 수집부(210), 악성 프로그램 탐지부(230), 이력 정보 관리부(240), 프로세스 정보 DB(250) 및 시스템 복원부(220)를 포함한다. Process management apparatus according to an embodiment of the present invention server recovery unit 200, process information collection unit 210, malware detection unit 230, history information management unit 240, process information DB 250 and system restoration The unit 220 is included.

서버 통신부(200)는 외부의 원격지 서버 즉, 파일 관리 서버와 데이터 통신을 수행한다. 유선 혹은 무선 방식으로 한정되지 않고, 정보의 송수신이 가능한 통신 구성을 모두 포괄하도록 해석될 수 있다. The server communication unit 200 performs data communication with an external remote server, that is, a file management server. The present invention is not limited to a wired or wireless method and may be interpreted to cover all communication configurations capable of transmitting and receiving information.

프로세스 정보 수집부(210)는 컴퓨터 시스템에서 실행되는 프로세스 정보를 수집한다. 컴퓨터 시스템에서 실행중인 프로세스를 모니터링하여, 프로세서에 의해 생성되는 파일 정보를 파악한다. The process information collecting unit 210 collects process information executed in the computer system. Monitors the processes running on the computer system to determine the file information generated by the processor.

악성 프로그램 탐지부(230)는 프로세스 정보 수집부(210)에서 수집되는 프로세스 정보를 원격지의 파일 관리 서버로 전송한다. 이때 프로세스 정보를 파일 관리 서버로 전송할 때에 파일의 유일 식별자 정보를 함께 전송하는 것이 바람직하다. 이때 파일의 유일 식별자는 예를 들어 해시 파일 일 수 있다. 파일 관리 서버와 프로세스 관리 장치는 상호 간에 전송되는 파일의 유일 식별자 정보에 기초하여 파일을 식별한다.The malicious program detecting unit 230 transmits the process information collected by the process information collecting unit 210 to a remote file management server. In this case, when transmitting process information to the file management server, it is preferable to transmit unique identifier information of the file. At this time, the unique identifier of the file may be a hash file. The file management server and the process management apparatus identify the file based on the unique identifier information of the file transmitted between each other.

그리고, 그 응답으로 원격지 파일 관리 서버로부터 프로세스에 대한 위험성 판단 결과를 수신한다. 그리고, 수신되는 정보에 기초하여 컴퓨터 시스템에서 실행중인 프로세스에 대한 위험성을 모니터링하여 악성 프로그램 설치 여부를 탐지하는 것이 가능하다. 이때, 악성 프로그램 탐지부(230)는 원격지 파일 관리 서버부터 프로세스 실행 파일에 대한 안전성 등급에 대한 정보를 더 획득한다. 그리고, 기존에 안전성 검사를 완료한 파일의 경우라 하더라도 안전성 등급에 따라 상이한 주기로 안전성 검사를 요청할 수 있다.Then, in response, the risk determination result for the process is received from the remote file management server. In addition, it is possible to detect whether a malicious program is installed by monitoring a risk for a process running in a computer system based on the received information. At this time, the malicious program detection unit 230 further obtains information on the safety level for the process execution file from the remote file management server. And, even in the case of a file that has previously completed safety inspection, the safety inspection may be requested at different intervals according to the safety level.

예를 들어 안전성 등급이 높은 프로세스 실행 파일은 긴 주기로 안전성 검사를 수행하고, 안전성 등급이 낮은 프로세스 실행 파일은 보다 짧은 주기로 안전성 검사를 수행하도록 구현된다.For example, process executables with higher safety ratings perform safety checks at longer intervals, while process executables with lower safety ratings execute safety checks at shorter intervals.

이력 정보 관리부(240)는 해당 컴퓨터 시스템에서 적어도 한번 이상 실행된 적이 있는 프로세스에 대한 정보를 후술할 프로세스 정보 DB(250)에 데이터베이스화하여 저장한다. 본 실시예에 있어서 프로세스에 대한 정보는 해당 프로세스가 처음 발견된 날짜, 최근 종료된 시간, 해당 프로세스가 생성시킨 파일 정보, 해당 프로세스가 통신한 아이피 주소와 같은 정보들 중 적어도 하나를 포함한다. 또한 이력 정보 관리부(240)는 프로세스에 대한 안전성 등급 정보를 함께 저장하는 것이 바람직하다. 안전성 등급 정보는 해당 프로세스가 몇 번의 안전성 검사를 통과했는지 여부를 나타내는 척도로 활용될 수 있다. 안전성 등급이 높은 파일은 악성 코드일 확률이 낮고, 반대로 안전성 등급이 낮거나 처음 발견된 파일은 위험도가 높은 파일일 확률이 높다. The history information management unit 240 stores information about a process that has been executed at least once in the corresponding computer system in a process information DB 250 to be described later. In this embodiment, the information on the process includes at least one of information such as the date when the process was first discovered, the last time of termination, file information created by the process, and the IP address with which the process communicated. In addition, the history information management unit 240 preferably stores the safety grade information for the process. Safety rating information can be used as a measure of how many safety tests the process has passed. Files with high safety ratings are less likely to be malicious code. Conversely, files with low or first safety ratings are more likely to be high-risk files.

프로세스 정보 DB(250)는 로컬 저장장치로 구현되며, 이력 정보 관리부(240)에 의해 관리되는 프로세스 정보들을 저장한다.The process information DB 250 is implemented as a local storage device and stores process information managed by the history information manager 240.

시스템 복원부(220)는 프로세스 정보 수집부(210)에서 수집된 정보에 기초하여, 새로운 프로세스의 실행이 감지되면, 그 새로운 프로세스 실행 직전 상태를 복원 시점으로 설정한다. 이때 복원 시점으로 설정하는 것은, 운영체제 구동시 기본적인 파일들에 대한 정보들에 대해 파악하는 것일 수 있다. 즉 악성 프로그램에 의해 변경될 수 있는 파일에 대한 기존 형태 정보들을 파악하는 것일 수 있다. When the system restorer 220 detects the execution of a new process based on the information collected by the process information collector 210, the system restorer 220 sets a state immediately before the execution of the new process to a restore point. In this case, the setting of the restore point may be to identify information on basic files when the operating system is running. That is, it may be to grasp existing form information about a file that may be changed by a malicious program.

그리고, 시스템 복원부(220)는 악성 프로그램 탐지부(230)에서 새로운 프로세스가 위험하다고 판단되는 경우에, 시스템 상태를 상기 설정된 복원 시점으로 복원한다. 이때 복원 시점으로 복원하는 것은 손상된 파일이나 코드에 대해 위험성 있는 프로세스 실행 전의 상태로 복원하는 것이다. In addition, when the malicious program detection unit 230 determines that the new process is dangerous, the system restoration unit 220 restores the system state to the set restoration time point. In this case, restoring to a restore point is to restore the damaged file or code to the state before the dangerous process was executed.

도 3은 본 발명의 일 실시예에 따른 악성 프로그램 탐지 방법의 흐름도이다. 3 is a flowchart illustrating a malicious program detection method according to an embodiment of the present invention.

먼저, 악성 프로그램의 탐지가 가능한 프로세스 관리 방법을 실행하기 위한 애플리케이션이 실행되면(S300), 컴퓨터 시스템 내에서 실행중인 프로세스 정보를 수집한다(S310).First, when an application for executing a process management method capable of detecting malicious programs is executed (S300), process information running in a computer system is collected (S310).

이 후에 수집된 프로세스 정보를 원격지의 파일 관리 서버로 전송한다(S320). 그리고 그 응답으로 원격지의 파일 관리 서버로부터 프로세스에 대한 위험성 판단 결과를 수신한다(S330).After this, the collected process information is transmitted to a remote file management server (S320). In response to the response, a risk determination result for the process is received from the remote file management server (S330).

이때, 파일 관리 서버는 수신되는 정보에 기초하여 컴퓨터 시스템에서 실행중인 프로세스에 의해 생성되는 파일을 다양한 방법으로 검사하여 악성 프로그램이 설치되는지 여부를 파악할 수 있다. 그리고 파일 관리 서버로부터 이 악성 프로그램 설치 여부에 대한 정보를 획득함으로써 악성 프로그램 설치 여부를 탐지하는 것이 가능하다. In this case, the file management server may determine whether a malicious program is installed by inspecting a file generated by a process running on a computer system in various ways based on the received information. It is possible to detect whether or not the malicious program is installed by obtaining information on whether the malicious program is installed from the file management server.

그리고, 수신 결과에 따라 프로세서에 위험성이 감지되는 경우에(S340), 위험한 프로세스 정보를 사용자에게 보고한다(S350). 예를 들어 화면상에 메시지창을 통해 출력할 수 있다. 그리고, 원격지 서버로부터 수신되는 프로세스 이력 정보를(S360) 데이터베이스화하여 저장한다(S370). When the risk is detected in the processor according to the reception result (S340), the dangerous process information is reported to the user (S350). For example, it can be displayed through a message window on the screen. Then, the process history information received from the remote server (S360) is stored in a database (S370).

이때, 프로세스 이력 정보는 해당 프로세스가 처음 발견된 날짜, 해당 프로세스가 최근 종료된 시각, 해당 프로세스가 생성시킨 파일 정보, 프로세스가 통신한 아이피 주소와 같은 정보들 중 적어도 일부를 포함할 수 있다. In this case, the process history information may include at least some of information such as a date when the process is first discovered, a time when the process is recently finished, file information generated by the process, and an IP address with which the process communicated.

그리고, 악성 프로그램의 탐지가 가능한 프로세스 관리 방법을 실행하기 위한 애플리케이션이 종료될 때까지(S380) 시스템 내에서 실행되는 프로세스 정보를 수집하여, 악성 프로그램의 탐지를 수행하는 프로세스 관리 방법은 반복 수행된다.And, until the application for executing the process management method capable of detecting malicious programs is terminated (S380), the process management method that collects process information executed in the system and performs detection of malicious programs is repeatedly performed.

도 4는 본 발명의 일 실시예에 따른 파일 관리 서버에서 실행되는 악성 프로그램 탐지가 가능한 프로세스 관리 방법의 흐름도이다. 4 is a flowchart illustrating a process management method capable of detecting a malicious program executed in a file management server according to an exemplary embodiment of the present invention.

파일 관리 서버는 컴퓨터 시스템으로부터 새로 등록되는 프로세스 파일들에 대한 정보가 수신되면(S400), 그에 대한 위험성 여부를 다양한 방법으로 검사하여 위험도를 판단한다(S410). When the file management server receives information about newly registered process files from the computer system (S400), the file management server determines whether the risk is dangerous by checking whether there is a risk thereof (S410).

이때 컴퓨터 시스템으로부터 수신되는 프로세스 파일의 유일 식별자 정보를 함께 수신받는다. 이때 파일의 유일 식별자는 예를 들어 해시 파일 일 수 있다. 파일 관리 서버와 프로세스 관리 장치는 상호 간에 전송되는 파일의 유일 식별자 정보에 기초하여 파일을 식별한다.At this time, the unique identifier information of the process file received from the computer system is received together. At this time, the unique identifier of the file may be a hash file. The file management server and the process management apparatus identify the file based on the unique identifier information of the file transmitted between each other.

위험도를 판단하는 것은 예를 들어 Virus Total과 같은 악성 코드 검색 엔진을 통해 검사할 수 있다.Determining the risk can be done using a malware search engine such as Virus Total, for example.

또한, 일 실시예에 있어서 파일 관리 서버는 정기적으로 저장된 파일 정보를 재구축할 수 있다. 또한 컴퓨터 시스템으로부터 새로 실행되는 프로세스에 의해 기존에 설치된 이력이 없는 파일이 설치된 경우에, 이 정보를 수신하여 업데이트하는 것도 가능하다. In addition, in one embodiment, the file management server may reconstruct regularly stored file information. It is also possible to receive and update this information when a file without a previously installed history is installed by a newly executed process from a computer system.

또한, 파일 관리 서버는 주기적으로 저장된 파일들에 대한 위험성 여부를 판단한다. 악성 코드는 사후 대응 방법으로 대응해야 하기 때문에 특정 시기에 악성 코드로 분류되지 않았다 하더라도, 추가로 구비되는 백신 DB의 업데이트에 따라 악성 코드로 확인되는 경우가 있을 수 있다. 따라서, 이미 검사과정을 거친 프로세 스 파일의 경우에도 주기적인 재검사를 통해 더 높은 안정성을 확보할 수 있다.In addition, the file management server periodically determines whether there is a risk for the stored files. Since the malicious code must respond in a post-response manner, even though the malicious code is not classified as a malicious code at a specific time, the malicious code may be identified as a malicious code according to an update of the vaccine database. Therefore, even in the case of a process file that has already been inspected, it is possible to secure higher stability through periodic re-inspection.

이 후에 파일 관리 서버는 위험도 검사가 수행된 프로세스 실행 파일에 대해 위험도 검사 결과를 반영하기 위한 안전성 등급을 부여한다(S420).Thereafter, the file management server assigns a safety level to reflect the result of the risk test on the process execution file on which the risk test is performed (S420).

예를 들어 위험도 검사 결과 안전하다고 판명된 파일에 대한 안전성 등급은 한단계 상승시키고, 위험도가 높은 악성 코드로 판단되는 파일의 경우에는 그 안전성 등급을 최하로 분류한다. 그리고, 저장된 파일들에 대한 안전성 등급에 따라 위험성 여부 판단 주기를 상이하게 설정할 수 있다. 예를 들어 안전성 등급이 높은 파일은 악성 코드일 확률이 현저히 낮기 때문에 긴 주기마다 위험도 검사를 수행한다. 반대로 안전성 등급이 낮거나, 처음 발견된 파일의 경우에는 악성 코드일 확률이 상대적으로 높기 때문에 보다 짧은 주기로 위험도 검사를 수행하도록 구현된다. 즉, 안전 등급을 부여하고, 그에 따라 상이한 주기로 위험도 검사를 수행함으로써 위험도 검사의 효율성을 높일 수 있다.For example, the safety level of a file that is determined to be safe as a result of a risk test is raised by one level, and the file is considered to be the lowest in the case of a file that is determined to be a high-risk malicious code. The risk determination cycle may be set differently according to the safety level of the stored files. For example, files with high safety ratings are significantly less likely to be malicious code, so they are scanned for risk every long period of time. On the contrary, a file with a low safety rating or a first-found file has a relatively high probability of being a malicious code, and thus is implemented to perform a risk check at shorter intervals. In other words, it is possible to increase the efficiency of the risk test by assigning a safety level and thus performing the risk test at different intervals.

그리고 프로세스 파일에 대한 위험성 판단 결과를 안전성 등급 정보와 함께 컴퓨터 시스템으로 전송한다(S430). 이때 컴퓨터 시스템으로 프로세스 파일의 유일 식별자 정보를 함께 전송하는 것이 바람직하다.The result of the risk determination on the process file is transmitted to the computer system together with the safety grade information (S430). In this case, it is preferable to transmit unique identifier information of the process file to the computer system.

한편, 전술한 악성 프로그램 탐지 방법은 컴퓨터 프로그램으로 작성 가능하다. 상기 프로그램을 구성하는 코드들 및 코드 세그먼트들은 당해 분야의 컴퓨터 프로그래머에 의하여 용이하게 추론될 수 있다. 또한, 상기 프로그램은 컴퓨터가 읽을 수 있는 정보저장매체(computer readable media)에 저장되고, 컴퓨터에 의하 여 읽혀지고 실행됨으로써 시스템 자원 보호 및 격리방법을 구현한다. 상기 정보저장매체는 자기 기록매체, 광 기록매체, 및 캐리어 웨이브 매체를 포함한다.On the other hand, the above-described malicious program detection method can be written as a computer program. The codes and code segments that make up the program can be easily deduced by a computer programmer in the field. In addition, the program is stored in computer readable media, and read and executed by a computer to implement a system resource protection and isolation method. The information storage medium includes a magnetic recording medium, an optical recording medium, and a carrier wave medium.

이제까지 본 발명에 대하여 그 바람직한 실시 예들을 중심으로 살펴보았다. 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자는 본 발명이 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 변형된 형태로 구현될 수 있음을 이해할 수 있을 것이다. 그러므로 개시된 실시예들은 한정적인 관점이 아니라 설명적인 관점에서 고려되어야 한다. 본 발명의 범위는 전술한 설명이 아니라 특허청구범위에 나타나 있으며, 그와 동등한 범위 내에 있는 모든 차이점은 본 발명에 포함된 것으로 해석되어야 할 것이다.So far I looked at the center of the preferred embodiment for the present invention. Those skilled in the art will appreciate that the present invention can be implemented in a modified form without departing from the essential features of the present invention. Therefore, the disclosed embodiments should be considered in an illustrative rather than a restrictive sense. The scope of the present invention is shown in the claims rather than the foregoing description, and all differences within the scope will be construed as being included in the present invention.

도 1은 본 발명의 일 실시예에 따른 프로세스 관리 시스템을 도시한 블록도,1 is a block diagram illustrating a process management system according to an embodiment of the present invention;

도 2는 본 발명의 일 실시예에 따른 악성 프로그램 탐지가 가능한 프로세스 관리 장치의 블록도,2 is a block diagram of a process management apparatus capable of detecting a malicious program according to an embodiment of the present invention;

도 3은 본 발명의 일 실시예에 따른 악성 프로그램 탐지가 가능한 프로세스 관리 방법의 흐름도,3 is a flowchart of a process management method capable of detecting a malicious program according to an embodiment of the present invention;

도 4는 본 발명의 일 실시예에 따른 파일 관리 서버에서 실행되는 악성 프로그램 탐지가 가능한 프로세스 관리 방법의 흐름도이다. 4 is a flowchart illustrating a process management method capable of detecting a malicious program executed in a file management server according to an exemplary embodiment of the present invention.

Claims (13)

컴퓨터에서 수행되는 프로세스 관리 방법에 있어서, In a process management method performed on a computer, 상기 프로세스 정보를 수집하는 단계;Collecting the process information; 상기 수집되는 프로세스 정보를 원격지 서버로 전송하는 단계; Transmitting the collected process information to a remote server; 상기 원격지 서버로부터 상기 프로세스에 대한 위험성 판단 결과에 따라 부여된 안정성 등급을 수신하여 악성 프로그램 설치 여부를 탐지하는 단계; 및Detecting whether a malicious program is installed by receiving a stability level given according to a risk determination result of the process from the remote server; And 상기 프로세스에 부여된 안전성 등급에 따라 상이한 주기를 적용하여, 상기 원격지 서버로 주기적으로 프로세스에 대한 위험성 여부의 판단을 요청하는 단계; 를 포함하는 것을 특징으로 하는 컴퓨터에서 수행되는 악성 프로그램 탐지가 가능한 프로세스 관리 방법. Requesting the remote server to determine whether there is a risk for the process by applying different cycles according to the safety level assigned to the process; Process management method capable of detecting a malicious program performed on a computer comprising a. 제 1 항에 있어서, The method of claim 1, 상기 원격지 서버로부터 상기 프로세스에 대한 이력 정보를 획득하는 단계;를 더 포함하는 것을 특징으로 하는 컴퓨터에서 수행되는 악성 프로그램 탐지가 가능한 프로세스 관리 방법. Obtaining history information about the process from the remote server; Process management method capable of detecting a malicious program performed on a computer, characterized in that it further comprises. 제 2 항에 있어서, The method of claim 2, 상기 악성 프로그램 설치 여부를 탐지하는 단계는, 상기 프로세스에 의해 생성된 파일에 대한 위험성 판단 결과를 수신하는 것을 특징으로 하는 컴퓨터에서 수행되는 악성 프로그램 탐지가 가능한 프로세스 관리 방법. Detecting whether or not the malicious program is installed, the process management method capable of detecting a malicious program performed on a computer, characterized in that for receiving a risk determination result for the file generated by the process. 제 1 항에 있어서, The method of claim 1, 새로운 프로세스의 실행이 감지되면, 상기 새로운 프로세스 실행 직전 상태를 복원 시점으로 설정하는 단계; 및If the execution of a new process is detected, setting a state immediately before execution of the new process as a restore point; And 상기 새로운 프로세스가 위험하다고 판단되는 경우, 시스템 상태를 상기 설정된 복원 시점으로 복원하는 단계;를 더 포함하는 것을 특징으로 하는 컴퓨터에서 실행되는 악성 프로그램 탐지가 가능한 프로세스 관리 방법. If it is determined that the new process is dangerous, restoring a system state to the set restoration time point. 단말 컴퓨터로부터 수집된 프로세스 정보를 수신하는 단계;Receiving process information collected from a terminal computer; 상기 수신된 프로세스 정보에 기초하여 상기 프로세스에 대한 위험성 여부를 판단하고, 위험성 여부의 판단 결과에 따른 안전성 등급을 부여하는 단계; Determining whether the process is dangerous based on the received process information, and assigning a safety level based on a result of the determination of the risk; 상기 위험성 여부의 판단 결과에 따른 안정성 등급을 상기 단말 컴퓨터로 전송하는 단계; 및 Transmitting a stability level according to a result of the determination of the risk to the terminal computer; And 상기 프로세스에 부여된 안정성 등급에 따라 상이한 주기를 적용하여, 주기적으로 프로세스에 대한 위험성 여부를 판단하는 단계; 를 포함하는 것을 특징으로 하는 파일 관리 서버에서 실행되는 악성 프로그램 탐지가 가능한 프로세스 관리방법. Determining whether there is a danger to the process by applying different cycles according to the stability grade given to the process; Process management method capable of detecting malicious programs running on the file management server comprising a. 삭제delete 컴퓨터 내의 프로세스 정보를 수집하는 프로세스 정보 수집부; 및A process information collecting unit collecting process information in the computer; And 상기 수집되는 프로세스 정보를 원격지 서버로 전송하여, 상기 프로세스에 대한 위험성 판단 결과를 수신하여 상기 컴퓨터 내의 프로세스에 대한 위험성을 모니터링하여 악성 프로그램 설치 여부를 탐지하고, 상기 프로세스에 부여된 안정성 등급에 따라 상이한 주기를 적용하여, 상기 원격지 서버로 주기적으로 프로세스에 대한 위험성 여부의 판단을 요청하는 악성 프로그램 탐지부;를 포함하는 것을 특징으로 하는 악성 프로그램 탐지가 가능한 프로세스 관리 장치. By transmitting the collected process information to a remote server, receiving a risk determination result for the process to monitor the risk for the process in the computer to detect whether or not to install a malicious program, depending on the stability level given to the process And a malicious program detector for periodically requesting the remote server to determine whether the process is dangerous or not, by applying a period to the remote server. 제 7 항에 있어서, The method of claim 7, wherein 상기 수집된 프로세스 정보를 원격지 서버로 전송하여, 상기 프로세스에 대한 이력 정보를 획득하고 획득된 이력 정보를 데이터베이스화하는 이력 정보 관리부;를 더 포함하는 것을 특징으로 하는 악성 프로그램 탐지가 가능한 프로세스 관리 장치. And a history information management unit which transmits the collected process information to a remote server, obtains history information about the process, and makes a database of the obtained history information. 제 7 항에 있어서,The method of claim 7, wherein 새로운 프로세스의 실행이 감지되면, 상기 새로운 프로세스 실행 직전 상태를 복원 시점으로 설정하고, 상기 악성 프로그램 탐지부에서의 판단 결과 상기 새로운 프로세스가 위험하다고 판단되는 경우, 시스템 상태를 상기 설정된 복원 시점으로 복원하는 시스템 복원부;를 더 포함하는 것을 특징으로 하는 악성 프로그램 탐지가 가능한 프로세스 관리 장치. When the execution of a new process is detected, the state immediately before the execution of the new process is set to a restore point, and when the determination by the malicious program detection unit determines that the new process is dangerous, the system state is restored to the set restore point. Process management apparatus capable of detecting malicious programs, further comprising a system restorer. 제 7 항에 있어서,The method of claim 7, wherein 상기 프로세스 정보는 프로세스 최초 발견 날짜 정보, 최근 종료 시각 정보, 상기 프로세스에 의해 생성된 파일 정보, 상기 프로세스가 통신한 IP 주소 정보 중 적어도 하나를 포함하는 것을 특징으로 하는 악성 프로그램 탐지가 가능한 프로세스 관리 장치. The process information may include at least one of process initial discovery date information, latest end time information, file information generated by the process, and IP address information to which the process communicates. . 제1항에 있어서, The method of claim 1, 상기 프로세스에 부여된 안전성 등급에 따라 상이한 주기를 적용하여, 상기 원격지 서버로 주기적으로 프로세스에 대한 위험성 여부에 대한 판단을 요청하는 단계에서,In the step of requesting the remote server to determine whether or not the risk of the process periodically by applying a different period in accordance with the safety level granted to the process, 안정성 등급이 높은 프로세스 실행 파일은 긴 주기로 안정성 검사를 수행하고, 안정성 등급이 낮은 프로세스 실행 파일은 보다 짧은 주기로 안정성 검사를 수행하도록 상기 원격지 서버에 요청하는 것을 특징으로 하는 악성 프로그램 탐지가 가능한 프로세스 관리 방법. Process execution method capable of detecting malicious programs, characterized in that the process executable file having a high stability level performs a stability check at a long cycle, and the process executable file having a low stability level is requested to perform a stability check at a shorter cycle. . 제5항에 있어서, The method of claim 5, 상기 프로세스에 부여된 안전성 등급에 따라 상이한 주기를 적용하여, 주기적으로 프로세스에 대한 위험성 여부를 판단하는 단계에서, In the step of determining whether there is a risk to the process periodically by applying a different cycle in accordance with the safety rating given to the process, 안정성 등급이 높은 프로세스 실행 파일은 긴 주기로 안정성 검사를 수행하고, 안정성 등급이 낮은 프로세스 실행 파일은 보다 짧은 주기로 안정성 검사를 수행하는 것을 특징으로 하는 파일 관리 서버에서 실행되는 악성 프로그램 탐지가 가능한 프로세스 관리방법.Process execution method that can detect malicious programs running on the file management server, characterized in that the process executable file with a high stability rating performs a stability check in a long cycle, the process executable file with a low stability rating performs a stability check in a shorter cycle . 제7항에 있어서, The method of claim 7, wherein 상기 악성 프로그램 탐지부는, 안정성 등급이 높은 프로세스 실행 파일은 긴 주기로 안정성 검사를 수행하고, 안정성 등급이 낮은 프로세스 실행 파일은 보다 짧은 주기로 안정성 검사를 수행하도록 상기 원격지 서버에 요청하는 것을 특징으로 하는 악성 프로그램 탐지가 가능한 프로세스 관리 장치. The malicious program detection unit may request that the remote server perform a stability check on a long cycle of a process executable file having a high stability level, and perform a stability check on a shorter cycle of a process executable file having a low stability level. Process management devices that can be detected.
KR1020090049226A 2009-06-03 2009-06-03 Process management method and device that can detect malware KR101063010B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020090049226A KR101063010B1 (en) 2009-06-03 2009-06-03 Process management method and device that can detect malware

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020090049226A KR101063010B1 (en) 2009-06-03 2009-06-03 Process management method and device that can detect malware

Publications (2)

Publication Number Publication Date
KR20100130498A KR20100130498A (en) 2010-12-13
KR101063010B1 true KR101063010B1 (en) 2011-09-07

Family

ID=43506813

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020090049226A KR101063010B1 (en) 2009-06-03 2009-06-03 Process management method and device that can detect malware

Country Status (1)

Country Link
KR (1) KR101063010B1 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101749903B1 (en) * 2016-11-11 2017-06-26 주식회사 안랩 Malicious detecting system and method for non-excutable file

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1998041919A1 (en) 1997-03-18 1998-09-24 Trend Micro, Incorporated Virus detection in client-server system
KR100653120B1 (en) * 2005-08-31 2006-12-01 학교법인 대전기독학원 한남대학교 A hacking damage analysis system and method for windows systems
US20070079373A1 (en) * 2005-10-04 2007-04-05 Computer Associates Think, Inc. Preventing the installation of rootkits using a master computer

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1998041919A1 (en) 1997-03-18 1998-09-24 Trend Micro, Incorporated Virus detection in client-server system
KR100653120B1 (en) * 2005-08-31 2006-12-01 학교법인 대전기독학원 한남대학교 A hacking damage analysis system and method for windows systems
US20070079373A1 (en) * 2005-10-04 2007-04-05 Computer Associates Think, Inc. Preventing the installation of rootkits using a master computer

Also Published As

Publication number Publication date
KR20100130498A (en) 2010-12-13

Similar Documents

Publication Publication Date Title
CN108268771B (en) Apparatus and method for indicating malicious object and non-transitory computer readable medium
US9531734B2 (en) Method and apparatus for intercepting or cleaning-up plugins
US8707427B2 (en) Automated malware detection and remediation
US8667583B2 (en) Collecting and analyzing malware data
JP5920169B2 (en) Unauthorized connection detection method, network monitoring apparatus and program
KR101043299B1 (en) Method, system and computer readable recording medium for detecting exploit code
US10061921B1 (en) Methods and systems for detecting computer security threats
JP2005339565A (en) Management of spyware and unwanted software through auto-start extensibility point
US8800040B1 (en) Methods and systems for prioritizing the monitoring of malicious uniform resource locators for new malware variants
CN102819713A (en) Method and system for detecting security of popup window
KR101400680B1 (en) System of automatically collecting malignant code
JP2010182019A (en) Abnormality detector and program
WO2014082599A1 (en) Scanning device, cloud management device, method and system for checking and killing malicious programs
CN112131571B (en) Threat tracing method and related equipment
CN112685682A (en) Method, device, equipment and medium for identifying forbidden object of attack event
CN105791250B (en) Application program detection method and device
US10200374B1 (en) Techniques for detecting malicious files
KR101063010B1 (en) Process management method and device that can detect malware
JP6169497B2 (en) Connection destination information determination device, connection destination information determination method, and program
KR20140011518A (en) Method and system to prevent malware code
KR101725404B1 (en) Method and apparatus for testing web site
JP2010182020A (en) Illegality detector and program
JP4050253B2 (en) Computer virus information collection apparatus, computer virus information collection method, and program
US10997292B2 (en) Multiplexed—proactive resiliency system
JP6258189B2 (en) Specific apparatus, specific method, and specific program

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20140829

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20170102

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20180529

Year of fee payment: 7

R401 Registration of restoration
FPAY Annual fee payment

Payment date: 20180831

Year of fee payment: 8