KR101063010B1 - Process management method and device that can detect malware - Google Patents
Process management method and device that can detect malware Download PDFInfo
- Publication number
- KR101063010B1 KR101063010B1 KR1020090049226A KR20090049226A KR101063010B1 KR 101063010 B1 KR101063010 B1 KR 101063010B1 KR 1020090049226 A KR1020090049226 A KR 1020090049226A KR 20090049226 A KR20090049226 A KR 20090049226A KR 101063010 B1 KR101063010 B1 KR 101063010B1
- Authority
- KR
- South Korea
- Prior art keywords
- information
- file
- risk
- remote server
- malicious program
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/14—Error detection or correction of the data by redundancy in operation
- G06F11/1402—Saving, restoring, recovering or retrying
- G06F11/1446—Point-in-time backing up or restoration of persistent data
- G06F11/1458—Management of the backup or restore process
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/3003—Monitoring arrangements specially adapted to the computing system or computing system component being monitored
- G06F11/302—Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system component is a software system
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
Abstract
시스템 내의 악성 프로그램 탐지가 가능한 프로세스 관리 방법에 관한 것으로, 상기 프로세스 정보를 수집하는 단계; 상기 수집되는 프로세스 정보를 원격지 서버로 전송하는 단계; 및 상기 원격지 서버로부터 상기 프로세스에 대한 위험성 판단 결과를 수신하여 악성 프로그램 설치 여부를 탐지하는 단계;를 포함하는 것을 특징으로 하는 컴퓨터에서 수행되는 악성 프로그램 탐지가 가능한 프로세스 관리 방법에 의해 악성 프로그램에 의해 생성되는 악성 코드에 대해 감지하는 것이 가능할 뿐만 아니라 어떤 프로세스에 의해 생성되었는지를 파악하는 것이 가능하여, 악성 프로그램의 생성 원인을 근본적으로 파악할 수 있다. A process management method capable of detecting a malicious program in a system, the method comprising: collecting the process information; Transmitting the collected process information to a remote server; And detecting whether a malicious program is installed by receiving a risk determination result for the process from the remote server. The malware is generated by the malicious program by a process management method capable of detecting a malicious program performed on a computer. In addition to being able to detect malicious code that is being generated, it is also possible to know which process was generated, thereby fundamentally identifying the cause of the malicious program.
프로세스, 악성 프로그램, 원격 Process, malware, remote
Description
본 발명은 컴퓨터의 프로세스 관리 방법에 관한 것으로, 보다 구체적으로 시스템 내의 악성 프로그램 탐지가 가능한 프로세스 관리 방법에 관한 것이다. The present invention relates to a process management method of a computer, and more particularly, to a process management method capable of detecting malicious programs in a system.
컴퓨터와 인터넷의 보급으로 다양한 응용 소프트웨어나 콘텐츠가 사용자 간에 공유되고 있다. 이에 따라 바이러스 프로그램 등을 포함하는 악성코드도 급속히 확산되고 있으며 개인정보의 유출도 점점 심각해 지고 있다.With the spread of computers and the Internet, various application software or contents are shared among users. As a result, malicious codes including virus programs are rapidly spreading, and the leakage of personal information is becoming more serious.
일반적으로 악성코드란, 불법적인 방법으로 사용자 컴퓨터에 설치되어 상업적인 용도로 활용되는 것으로, 각종 팝업 광고, 키워드/URL(Uniform Resource Locator) 가로채기, 시작 페이지 강제 고정, 사용자 컴퓨터를 통한 스팸메일 발송 등 각종 불법적인 활동을 자행하여 사용자들에게 피해를 주는 프로그램을 말한다. 이러한 악성코드가 컴퓨터에 설치되면 시스템 자원에 임의로 접근하여 컴퓨터 시스템에 영향을 미칠 뿐만 아니라 시스템 자원을 손상시키기도 한다.In general, malware is installed on a user's computer in an illegal manner and used for commercial purposes. The malicious code intercepts various pop-up advertisements, intercepts keyword / URL (Uniform Resource Locator), composes a start page, and sends spam mail through the user's computer. It refers to a program that harms users by performing various illegal activities. When such malicious code is installed in a computer, the system resources are randomly accessed and not only affect the computer system but also damage the system resources.
악성코드를 탐지하고 제거하기 위한 종래의 악성코드 탐지 및 제거 프로그램은 악성코드 리스트를 참조하여 해당 악성코드가 컴퓨터에 설치되어 있는지의 여부 를 체크하여 해당 악성코드를 삭제하거나 치료한다. 그러나 이러한 종래의 악성코드 탐지 및 제거 프로그램은 악성코드가 시스템 자원에 접근하는 것을 원천적으로 차단하지는 못한다.The conventional malware detection and removal program for detecting and removing malicious code checks whether the malicious code is installed in the computer by referring to the malicious code list and deletes or cleans the malicious code. However, such a conventional malware detection and removal program does not fundamentally prevent malicious code from accessing system resources.
본 발명은 이 같은 배경에서 도출된 것으로, 근본적으로 악성 프로그램의 생성 방법에 대한 탐지가 가능한 프로세스 관리 방법을 제공하는 것을 목적으로 한다. The present invention is derived from such a background, and an object thereof is to provide a process management method capable of detecting a malicious program generation method.
또한, 악성 프로세스가 감지되는 경우에는, 그 프로세스 실행 이전의 상태로 시스템 상태를 복원하는 것이 가능한 프로세스 관리 방법을 제공하는 것을 목적으로 한다. Moreover, when a malicious process is detected, it aims at providing the process management method which can restore a system state to the state before execution of the process.
상기 기술적 과제는 컴퓨터에서 수행되는 프로세스 관리 방법에 있어서, 상기 프로세스 정보를 수집하는 단계; 상기 수집되는 프로세스 정보를 원격지 서버로 전송하는 단계; 상기 원격지 서버로부터 상기 프로세스에 대한 위험성 판단 결과에 따라 부여된 안정성 등급을 수신하여 악성 프로그램 설치 여부를 탐지하는 단계; 및 상기 프로세스에 부여된 안전성 등급에 따라 상이한 주기를 적용하여, 상기 원격지 서버로 주기적으로 프로세스에 대한 위험성 여부의 판단을 요청하는 단계; 를 포함하는 것을 특징으로 하는 컴퓨터에서 수행되는 악성 프로그램 탐지가 가능한 프로세스 관리 방법에 의해 달성된다. The technical problem is a process management method performed in a computer, comprising: collecting the process information; Transmitting the collected process information to a remote server; Detecting whether a malicious program is installed by receiving a stability level given according to a risk determination result of the process from the remote server; And applying a different period according to the safety level assigned to the process, periodically requesting the remote server to determine whether the process is dangerous. It is achieved by a process management method capable of detecting malicious programs performed on a computer comprising a.
상기 방법은 상기 원격지 서버로부터 상기 프로세스에 대한 이력 정보를 획득하는 단계;를 더 포함하는 것을 특징으로 한다.The method further comprises obtaining history information about the process from the remote server.
한편, 상기 기술적 과제는 컴퓨터 내의 프로세스 정보를 수집하는 프로세스 정보 수집부; 및 상기 수집되는 프로세스 정보를 원격지 서버로 전송하여, 상기 프로세스에 대한 위험성 판단 결과를 수신하여 상기 컴퓨터 내의 프로세스에 대한 위험성을 모니터링하여 악성 프로그램 설치 여부를 탐지하고, 상기 프로세스에 부여된 안정성 등급에 따라 상이한 주기를 적용하여, 상기 원격지 서버로 주기적으로 프로세스에 대한 위험성 여부의 판단을 요청하는 악성 프로그램 탐지부;를 포함하는 것을 특징으로 하는 악성 프로그램 탐지가 가능한 프로세스 관리 장치에 의해서도 달성된다. On the other hand, the technical problem is a process information collection unit for collecting process information in the computer; And transmits the collected process information to a remote server, receives a risk determination result for the process, monitors the risk for the process in the computer, detects whether a malicious program is installed, and according to the stability level given to the process. It is also achieved by the process management apparatus capable of detecting a malicious program, including a malicious program detection unit for applying a different cycle, periodically requesting the remote server to determine the risk of the process.
본 발명에 따르면, 악성 프로그램에 의해 생성되는 악성 코드에 대해 감지하는 것이 가능할 뿐만 아니라 어떤 프로세스에 의해 생성되었는지를 파악하는 것이 가능하여, 악성 프로그램의 생성 원인을 근본적으로 파악할 수 있다. According to the present invention, it is possible not only to detect the malicious code generated by the malicious program, but also to identify the process by which the malicious code is generated, thereby fundamentally identifying the cause of the malicious program.
또한, 악성 프로그램이 탐지되는 경우에는, 그 악성 프로그램이 설치되는 프로세스가 실행되기 이전의 상태로 시스템 상태를 복구하는 것이 가능하여 악성 프로그램에 의해 손상된 파일이나 시스템 복구에 필요한 노력 및 시간을 절감시킬 수 있는 효과가 있다.In addition, when a malicious program is detected, it is possible to restore the system state to the state before the process in which the malicious program was installed, thus reducing the effort and time required to recover a file or system damaged by the malicious program. It has an effect.
전술한, 그리고 추가적인 본 발명의 양상들은 첨부된 도면들을 참조하여 설명되는 바람직한 실시예들을 통해 더욱 명확해질 것이다. 이하에서는 본 발명을 이러한 실시예들을 통해 당업자가 용이하게 이해하고 재현할 수 있도록 상세히 설명하기로 한다.The foregoing and further aspects of the present invention will become more apparent through the preferred embodiments described with reference to the accompanying drawings. Hereinafter, the present invention will be described in detail so that those skilled in the art can easily understand and reproduce the present invention through these embodiments.
도 1은 본 발명의 일 실시예에 따른 프로세스 관리 시스템을 도시한 블록도이다. 1 is a block diagram illustrating a process management system according to an embodiment of the present invention.
도시된 바와 같이 본 발명에 따른 프로세스 관리 시스템은, 프로세스가 실행되는 컴퓨터 시스템(10)과, 컴퓨터 시스템에서 수행되는 프로세스에 의한 악성 프 로그램 탐지를 수행하기 위한 프로세스 관리 장치(20), 컴퓨터 시스템(10)에서 수행되는 파일들에 대한 정보를 저장하고 관리하는 원격지의 파일 관리 서버(30)를 포함한다.As shown, the process management system according to the present invention includes a computer system 10 on which a process is executed, a process management apparatus 20 for performing malicious program detection by a process performed on a computer system, and a computer system. And a remote file management server 30 that stores and manages information about the files performed at 10.
컴퓨터 시스템(10)은 사용자의 개인용 컴퓨터이며, 본 실시예에 따른 프로세스 관리 장치(20)는 컴퓨터 시스템(10)에 설치되어 실행되는 애플리케이션으로 구현될 수 있다. The computer system 10 is a personal computer of a user, and the process management apparatus 20 according to the present embodiment may be implemented as an application installed and executed in the computer system 10.
프로세스 관리 장치(20)는 컴퓨터 시스템(10)에서 실행되는 프로세스에 대한 정보들을 수집하여 원격지의 파일 관리 서버(30)로 전송한다. 그리고 프로세스 관리 장치(20)는 그 응답으로 파일 관리 서버(30)로부터 컴퓨터 시스템(10)에서 실행중인 프로세스에 대한 위험성 여부를 판단한 결과를 수신한다.The process management apparatus 20 collects information on a process executed in the computer system 10 and transmits the information to a remote file management server 30. In response, the process management device 20 receives a result from the file management server 30 as a result of determining whether there is a risk for the process running in the computer system 10.
또한, 프로세스 관리 장치(20)는 파일 관리 서버(30)로부터 컴퓨터 시스템(10)에서 최소한 한번 이상 실행된 프로세스 정보를 데이터베이스화하여 로컬에 구축한다. 이렇게, 프로세스 실행 이력을 데이터베이스화하여 저장함으로써, 프로세스 관리 장치(20)는 어떤 프로세스가 새로운 파일을 생성하였는지 확인하는 것이 가능하다. 따라서, 프로세스 관리 장치(20)는 파일 관리 서버(30)로부터 악성 프로그램이 생성되었다는 사실을 수신한 경우에 그 악성 프로그램이 어떤 프로세스에 의해 생성되었는지 생성 방법의 탐지가 가능하다. In addition, the process management apparatus 20 constructs a database of process information executed at least once in the computer system 10 from the file management server 30 in a database. In this way, by storing the process execution history in a database, the process management apparatus 20 can check which process has created a new file. Therefore, when the process management device 20 receives the fact that the malicious program has been generated from the file management server 30, it is possible to detect a process of generating the malicious program by which process.
또한, 일 실시예에 따른 프로세스 관리 장치(20)는 컴퓨터 시스템(10)의 전반적인 동작을 제어하는 중앙 처리 유닛(CPU)의 사용량을 모니터링하여 분석하고, 가변적으로 중앙 처리 유닛의 사용량을 조절하는 것이 가능하다. 예를 들어 현재 중앙 처리 유닛의 자원 사용량이 많은 경우에는 프로세스 관리를 위한 자원 사용량을 줄여서, 최소 자원을 이용하여 프로세스 관리를 수행할 수 있다. In addition, the process management apparatus 20 according to an embodiment monitors and analyzes the usage of the central processing unit (CPU) that controls the overall operation of the computer system 10, and variably adjusts the usage of the central processing unit. It is possible. For example, when resource usage of the central processing unit is large, it is possible to reduce resource usage for process management and to perform process management using minimum resources.
파일 관리 서버(30)는 컴퓨터 시스템(10)에 설치되어 있는 윈도우 운영체제 기반의 파일들과, 해당 파일들에 대한 정보가 저장된다. 본 실시예에 있어서 파일 관리 서버(30)는 컴퓨터 시스템(10)의 프로세스에 의해 새로 등록되는 파일들에 대한 위험성 여부를 다양한 방법으로 검사하여 위험도를 판단한다. 예를 들어 Virus Total과 같은 악성 코드 검색 엔진을 통해 검사할 수 있다. The file management server 30 stores files based on the Windows operating system installed in the computer system 10 and information about the files. In the present embodiment, the file management server 30 checks the risk of files newly registered by the process of the computer system 10 in various ways to determine the risk. For example, it can be scanned using a malware search engine such as Virus Total.
일 실시예에 있어서 파일 관리 서버(30)는 정기적으로 저장된 파일 정보를 재구축할 수 있다. 또한 컴퓨터 시스템(10)으로부터 새로 실행되는 프로세스에 의해 기존에 설치된 이력이 없는 파일이 설치된 경우에, 이 정보를 수신하여 업데이트하는 것도 가능하다. In one embodiment, the file management server 30 may reconstruct regularly stored file information. It is also possible to receive and update this information when a file without a previously installed history is installed by a newly executed process from the computer system 10.
또한, 파일 관리 서버(30)는 주기적으로 저장된 파일들에 대한 위험성 여부를 판단한다. 악성 코드는 사후 대응 방법으로 대응해야 하기 때문에 특정 시기에 악성 코드로 분류되지 않았다 하더라도, 추가로 구비되는 백신 DB의 업데이트에 따라 악성 코드로 확인되는 경우가 있을 수 있다. 따라서, 이미 검사과정을 거친 프로세스 파일의 경우에도 주기적인 재검사를 통해 더 높은 안정성을 확보할 수 있다.In addition, the file management server 30 determines whether there is a risk for the periodically stored files. Since the malicious code must respond in a post-response manner, even though the malicious code is not classified as a malicious code at a specific time, the malicious code may be identified as a malicious code according to an update of the vaccine database. Therefore, even in the case of a process file that has already been inspected, it is possible to secure higher stability through periodic re-inspection.
본 실시예에 있어서, 파일 관리 서버(30)는 위험도 검사가 수행된 프로세스 실행 파일에 대해 위험도 검사 결과를 반영하기 위한 안전성 등급을 부여한다. In the present embodiment, the file management server 30 assigns a safety level for reflecting the result of the risk test on the process execution file on which the risk test is performed.
예를 들어 위험도 검사 결과 안전하다고 판명된 파일에 대한 안전성 등급은 한단계 상승시키고, 위험도가 높은 악성 코드로 판단되는 파일의 경우에는 그 안전성 등급을 최하로 분류한다. 그리고, 저장된 파일들에 대한 안전성 등급에 따라 위험성 여부 판단 주기를 상이하게 설정할 수 있다. 예를 들어 안전성 등급이 높은 파일은 악성 코드일 확률이 현저히 낮기 때문에 긴 주기마다 위험도 검사를 수행한다. 반대로 안전성 등급이 낮거나, 처음 발견된 파일의 경우에는 악성 코드일 확률이 상대적으로 높기 때문에 보다 짧은 주기로 위험도 검사를 수행하도록 구현된다. 즉, 안전 등급을 부여하고, 그에 따라 상이한 주기로 위험도 검사를 수행함으로써 위험도 검사의 효율성을 높일 수 있다.For example, the safety level of a file that is determined to be safe as a result of a risk test is raised by one level, and the file is considered to be the lowest in the case of a file that is determined to be a high-risk malicious code. The risk determination cycle may be set differently according to the safety level of the stored files. For example, files with high safety ratings are significantly less likely to be malicious code, so they are scanned for risk every long period of time. On the contrary, a file with a low safety rating or a first-found file has a relatively high probability of being a malicious code, and thus is implemented to perform a risk check at shorter intervals. In other words, it is possible to increase the efficiency of the risk test by assigning a safety level and thus performing the risk test at different intervals.
도 2 는 본 발명의 일 실시예에 따른 악성 프로그램 탐지가 가능한 프로세스 관리 장치의 블록도이다. 2 is a block diagram of a process management apparatus capable of detecting a malicious program according to an embodiment of the present invention.
본 발명의 일 실시예에 따른 프로세스 관리 장치는 서버 통신부(200), 프로세스 정보 수집부(210), 악성 프로그램 탐지부(230), 이력 정보 관리부(240), 프로세스 정보 DB(250) 및 시스템 복원부(220)를 포함한다. Process management apparatus according to an embodiment of the present invention
서버 통신부(200)는 외부의 원격지 서버 즉, 파일 관리 서버와 데이터 통신을 수행한다. 유선 혹은 무선 방식으로 한정되지 않고, 정보의 송수신이 가능한 통신 구성을 모두 포괄하도록 해석될 수 있다. The
프로세스 정보 수집부(210)는 컴퓨터 시스템에서 실행되는 프로세스 정보를 수집한다. 컴퓨터 시스템에서 실행중인 프로세스를 모니터링하여, 프로세서에 의해 생성되는 파일 정보를 파악한다. The process information collecting unit 210 collects process information executed in the computer system. Monitors the processes running on the computer system to determine the file information generated by the processor.
악성 프로그램 탐지부(230)는 프로세스 정보 수집부(210)에서 수집되는 프로세스 정보를 원격지의 파일 관리 서버로 전송한다. 이때 프로세스 정보를 파일 관리 서버로 전송할 때에 파일의 유일 식별자 정보를 함께 전송하는 것이 바람직하다. 이때 파일의 유일 식별자는 예를 들어 해시 파일 일 수 있다. 파일 관리 서버와 프로세스 관리 장치는 상호 간에 전송되는 파일의 유일 식별자 정보에 기초하여 파일을 식별한다.The malicious program detecting unit 230 transmits the process information collected by the process information collecting unit 210 to a remote file management server. In this case, when transmitting process information to the file management server, it is preferable to transmit unique identifier information of the file. At this time, the unique identifier of the file may be a hash file. The file management server and the process management apparatus identify the file based on the unique identifier information of the file transmitted between each other.
그리고, 그 응답으로 원격지 파일 관리 서버로부터 프로세스에 대한 위험성 판단 결과를 수신한다. 그리고, 수신되는 정보에 기초하여 컴퓨터 시스템에서 실행중인 프로세스에 대한 위험성을 모니터링하여 악성 프로그램 설치 여부를 탐지하는 것이 가능하다. 이때, 악성 프로그램 탐지부(230)는 원격지 파일 관리 서버부터 프로세스 실행 파일에 대한 안전성 등급에 대한 정보를 더 획득한다. 그리고, 기존에 안전성 검사를 완료한 파일의 경우라 하더라도 안전성 등급에 따라 상이한 주기로 안전성 검사를 요청할 수 있다.Then, in response, the risk determination result for the process is received from the remote file management server. In addition, it is possible to detect whether a malicious program is installed by monitoring a risk for a process running in a computer system based on the received information. At this time, the malicious program detection unit 230 further obtains information on the safety level for the process execution file from the remote file management server. And, even in the case of a file that has previously completed safety inspection, the safety inspection may be requested at different intervals according to the safety level.
예를 들어 안전성 등급이 높은 프로세스 실행 파일은 긴 주기로 안전성 검사를 수행하고, 안전성 등급이 낮은 프로세스 실행 파일은 보다 짧은 주기로 안전성 검사를 수행하도록 구현된다.For example, process executables with higher safety ratings perform safety checks at longer intervals, while process executables with lower safety ratings execute safety checks at shorter intervals.
이력 정보 관리부(240)는 해당 컴퓨터 시스템에서 적어도 한번 이상 실행된 적이 있는 프로세스에 대한 정보를 후술할 프로세스 정보 DB(250)에 데이터베이스화하여 저장한다. 본 실시예에 있어서 프로세스에 대한 정보는 해당 프로세스가 처음 발견된 날짜, 최근 종료된 시간, 해당 프로세스가 생성시킨 파일 정보, 해당 프로세스가 통신한 아이피 주소와 같은 정보들 중 적어도 하나를 포함한다. 또한 이력 정보 관리부(240)는 프로세스에 대한 안전성 등급 정보를 함께 저장하는 것이 바람직하다. 안전성 등급 정보는 해당 프로세스가 몇 번의 안전성 검사를 통과했는지 여부를 나타내는 척도로 활용될 수 있다. 안전성 등급이 높은 파일은 악성 코드일 확률이 낮고, 반대로 안전성 등급이 낮거나 처음 발견된 파일은 위험도가 높은 파일일 확률이 높다. The history information management unit 240 stores information about a process that has been executed at least once in the corresponding computer system in a process information DB 250 to be described later. In this embodiment, the information on the process includes at least one of information such as the date when the process was first discovered, the last time of termination, file information created by the process, and the IP address with which the process communicated. In addition, the history information management unit 240 preferably stores the safety grade information for the process. Safety rating information can be used as a measure of how many safety tests the process has passed. Files with high safety ratings are less likely to be malicious code. Conversely, files with low or first safety ratings are more likely to be high-risk files.
프로세스 정보 DB(250)는 로컬 저장장치로 구현되며, 이력 정보 관리부(240)에 의해 관리되는 프로세스 정보들을 저장한다.The process information DB 250 is implemented as a local storage device and stores process information managed by the history information manager 240.
시스템 복원부(220)는 프로세스 정보 수집부(210)에서 수집된 정보에 기초하여, 새로운 프로세스의 실행이 감지되면, 그 새로운 프로세스 실행 직전 상태를 복원 시점으로 설정한다. 이때 복원 시점으로 설정하는 것은, 운영체제 구동시 기본적인 파일들에 대한 정보들에 대해 파악하는 것일 수 있다. 즉 악성 프로그램에 의해 변경될 수 있는 파일에 대한 기존 형태 정보들을 파악하는 것일 수 있다. When the
그리고, 시스템 복원부(220)는 악성 프로그램 탐지부(230)에서 새로운 프로세스가 위험하다고 판단되는 경우에, 시스템 상태를 상기 설정된 복원 시점으로 복원한다. 이때 복원 시점으로 복원하는 것은 손상된 파일이나 코드에 대해 위험성 있는 프로세스 실행 전의 상태로 복원하는 것이다. In addition, when the malicious program detection unit 230 determines that the new process is dangerous, the
도 3은 본 발명의 일 실시예에 따른 악성 프로그램 탐지 방법의 흐름도이다. 3 is a flowchart illustrating a malicious program detection method according to an embodiment of the present invention.
먼저, 악성 프로그램의 탐지가 가능한 프로세스 관리 방법을 실행하기 위한 애플리케이션이 실행되면(S300), 컴퓨터 시스템 내에서 실행중인 프로세스 정보를 수집한다(S310).First, when an application for executing a process management method capable of detecting malicious programs is executed (S300), process information running in a computer system is collected (S310).
이 후에 수집된 프로세스 정보를 원격지의 파일 관리 서버로 전송한다(S320). 그리고 그 응답으로 원격지의 파일 관리 서버로부터 프로세스에 대한 위험성 판단 결과를 수신한다(S330).After this, the collected process information is transmitted to a remote file management server (S320). In response to the response, a risk determination result for the process is received from the remote file management server (S330).
이때, 파일 관리 서버는 수신되는 정보에 기초하여 컴퓨터 시스템에서 실행중인 프로세스에 의해 생성되는 파일을 다양한 방법으로 검사하여 악성 프로그램이 설치되는지 여부를 파악할 수 있다. 그리고 파일 관리 서버로부터 이 악성 프로그램 설치 여부에 대한 정보를 획득함으로써 악성 프로그램 설치 여부를 탐지하는 것이 가능하다. In this case, the file management server may determine whether a malicious program is installed by inspecting a file generated by a process running on a computer system in various ways based on the received information. It is possible to detect whether or not the malicious program is installed by obtaining information on whether the malicious program is installed from the file management server.
그리고, 수신 결과에 따라 프로세서에 위험성이 감지되는 경우에(S340), 위험한 프로세스 정보를 사용자에게 보고한다(S350). 예를 들어 화면상에 메시지창을 통해 출력할 수 있다. 그리고, 원격지 서버로부터 수신되는 프로세스 이력 정보를(S360) 데이터베이스화하여 저장한다(S370). When the risk is detected in the processor according to the reception result (S340), the dangerous process information is reported to the user (S350). For example, it can be displayed through a message window on the screen. Then, the process history information received from the remote server (S360) is stored in a database (S370).
이때, 프로세스 이력 정보는 해당 프로세스가 처음 발견된 날짜, 해당 프로세스가 최근 종료된 시각, 해당 프로세스가 생성시킨 파일 정보, 프로세스가 통신한 아이피 주소와 같은 정보들 중 적어도 일부를 포함할 수 있다. In this case, the process history information may include at least some of information such as a date when the process is first discovered, a time when the process is recently finished, file information generated by the process, and an IP address with which the process communicated.
그리고, 악성 프로그램의 탐지가 가능한 프로세스 관리 방법을 실행하기 위한 애플리케이션이 종료될 때까지(S380) 시스템 내에서 실행되는 프로세스 정보를 수집하여, 악성 프로그램의 탐지를 수행하는 프로세스 관리 방법은 반복 수행된다.And, until the application for executing the process management method capable of detecting malicious programs is terminated (S380), the process management method that collects process information executed in the system and performs detection of malicious programs is repeatedly performed.
도 4는 본 발명의 일 실시예에 따른 파일 관리 서버에서 실행되는 악성 프로그램 탐지가 가능한 프로세스 관리 방법의 흐름도이다. 4 is a flowchart illustrating a process management method capable of detecting a malicious program executed in a file management server according to an exemplary embodiment of the present invention.
파일 관리 서버는 컴퓨터 시스템으로부터 새로 등록되는 프로세스 파일들에 대한 정보가 수신되면(S400), 그에 대한 위험성 여부를 다양한 방법으로 검사하여 위험도를 판단한다(S410). When the file management server receives information about newly registered process files from the computer system (S400), the file management server determines whether the risk is dangerous by checking whether there is a risk thereof (S410).
이때 컴퓨터 시스템으로부터 수신되는 프로세스 파일의 유일 식별자 정보를 함께 수신받는다. 이때 파일의 유일 식별자는 예를 들어 해시 파일 일 수 있다. 파일 관리 서버와 프로세스 관리 장치는 상호 간에 전송되는 파일의 유일 식별자 정보에 기초하여 파일을 식별한다.At this time, the unique identifier information of the process file received from the computer system is received together. At this time, the unique identifier of the file may be a hash file. The file management server and the process management apparatus identify the file based on the unique identifier information of the file transmitted between each other.
위험도를 판단하는 것은 예를 들어 Virus Total과 같은 악성 코드 검색 엔진을 통해 검사할 수 있다.Determining the risk can be done using a malware search engine such as Virus Total, for example.
또한, 일 실시예에 있어서 파일 관리 서버는 정기적으로 저장된 파일 정보를 재구축할 수 있다. 또한 컴퓨터 시스템으로부터 새로 실행되는 프로세스에 의해 기존에 설치된 이력이 없는 파일이 설치된 경우에, 이 정보를 수신하여 업데이트하는 것도 가능하다. In addition, in one embodiment, the file management server may reconstruct regularly stored file information. It is also possible to receive and update this information when a file without a previously installed history is installed by a newly executed process from a computer system.
또한, 파일 관리 서버는 주기적으로 저장된 파일들에 대한 위험성 여부를 판단한다. 악성 코드는 사후 대응 방법으로 대응해야 하기 때문에 특정 시기에 악성 코드로 분류되지 않았다 하더라도, 추가로 구비되는 백신 DB의 업데이트에 따라 악성 코드로 확인되는 경우가 있을 수 있다. 따라서, 이미 검사과정을 거친 프로세 스 파일의 경우에도 주기적인 재검사를 통해 더 높은 안정성을 확보할 수 있다.In addition, the file management server periodically determines whether there is a risk for the stored files. Since the malicious code must respond in a post-response manner, even though the malicious code is not classified as a malicious code at a specific time, the malicious code may be identified as a malicious code according to an update of the vaccine database. Therefore, even in the case of a process file that has already been inspected, it is possible to secure higher stability through periodic re-inspection.
이 후에 파일 관리 서버는 위험도 검사가 수행된 프로세스 실행 파일에 대해 위험도 검사 결과를 반영하기 위한 안전성 등급을 부여한다(S420).Thereafter, the file management server assigns a safety level to reflect the result of the risk test on the process execution file on which the risk test is performed (S420).
예를 들어 위험도 검사 결과 안전하다고 판명된 파일에 대한 안전성 등급은 한단계 상승시키고, 위험도가 높은 악성 코드로 판단되는 파일의 경우에는 그 안전성 등급을 최하로 분류한다. 그리고, 저장된 파일들에 대한 안전성 등급에 따라 위험성 여부 판단 주기를 상이하게 설정할 수 있다. 예를 들어 안전성 등급이 높은 파일은 악성 코드일 확률이 현저히 낮기 때문에 긴 주기마다 위험도 검사를 수행한다. 반대로 안전성 등급이 낮거나, 처음 발견된 파일의 경우에는 악성 코드일 확률이 상대적으로 높기 때문에 보다 짧은 주기로 위험도 검사를 수행하도록 구현된다. 즉, 안전 등급을 부여하고, 그에 따라 상이한 주기로 위험도 검사를 수행함으로써 위험도 검사의 효율성을 높일 수 있다.For example, the safety level of a file that is determined to be safe as a result of a risk test is raised by one level, and the file is considered to be the lowest in the case of a file that is determined to be a high-risk malicious code. The risk determination cycle may be set differently according to the safety level of the stored files. For example, files with high safety ratings are significantly less likely to be malicious code, so they are scanned for risk every long period of time. On the contrary, a file with a low safety rating or a first-found file has a relatively high probability of being a malicious code, and thus is implemented to perform a risk check at shorter intervals. In other words, it is possible to increase the efficiency of the risk test by assigning a safety level and thus performing the risk test at different intervals.
그리고 프로세스 파일에 대한 위험성 판단 결과를 안전성 등급 정보와 함께 컴퓨터 시스템으로 전송한다(S430). 이때 컴퓨터 시스템으로 프로세스 파일의 유일 식별자 정보를 함께 전송하는 것이 바람직하다.The result of the risk determination on the process file is transmitted to the computer system together with the safety grade information (S430). In this case, it is preferable to transmit unique identifier information of the process file to the computer system.
한편, 전술한 악성 프로그램 탐지 방법은 컴퓨터 프로그램으로 작성 가능하다. 상기 프로그램을 구성하는 코드들 및 코드 세그먼트들은 당해 분야의 컴퓨터 프로그래머에 의하여 용이하게 추론될 수 있다. 또한, 상기 프로그램은 컴퓨터가 읽을 수 있는 정보저장매체(computer readable media)에 저장되고, 컴퓨터에 의하 여 읽혀지고 실행됨으로써 시스템 자원 보호 및 격리방법을 구현한다. 상기 정보저장매체는 자기 기록매체, 광 기록매체, 및 캐리어 웨이브 매체를 포함한다.On the other hand, the above-described malicious program detection method can be written as a computer program. The codes and code segments that make up the program can be easily deduced by a computer programmer in the field. In addition, the program is stored in computer readable media, and read and executed by a computer to implement a system resource protection and isolation method. The information storage medium includes a magnetic recording medium, an optical recording medium, and a carrier wave medium.
이제까지 본 발명에 대하여 그 바람직한 실시 예들을 중심으로 살펴보았다. 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자는 본 발명이 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 변형된 형태로 구현될 수 있음을 이해할 수 있을 것이다. 그러므로 개시된 실시예들은 한정적인 관점이 아니라 설명적인 관점에서 고려되어야 한다. 본 발명의 범위는 전술한 설명이 아니라 특허청구범위에 나타나 있으며, 그와 동등한 범위 내에 있는 모든 차이점은 본 발명에 포함된 것으로 해석되어야 할 것이다.So far I looked at the center of the preferred embodiment for the present invention. Those skilled in the art will appreciate that the present invention can be implemented in a modified form without departing from the essential features of the present invention. Therefore, the disclosed embodiments should be considered in an illustrative rather than a restrictive sense. The scope of the present invention is shown in the claims rather than the foregoing description, and all differences within the scope will be construed as being included in the present invention.
도 1은 본 발명의 일 실시예에 따른 프로세스 관리 시스템을 도시한 블록도,1 is a block diagram illustrating a process management system according to an embodiment of the present invention;
도 2는 본 발명의 일 실시예에 따른 악성 프로그램 탐지가 가능한 프로세스 관리 장치의 블록도,2 is a block diagram of a process management apparatus capable of detecting a malicious program according to an embodiment of the present invention;
도 3은 본 발명의 일 실시예에 따른 악성 프로그램 탐지가 가능한 프로세스 관리 방법의 흐름도,3 is a flowchart of a process management method capable of detecting a malicious program according to an embodiment of the present invention;
도 4는 본 발명의 일 실시예에 따른 파일 관리 서버에서 실행되는 악성 프로그램 탐지가 가능한 프로세스 관리 방법의 흐름도이다. 4 is a flowchart illustrating a process management method capable of detecting a malicious program executed in a file management server according to an exemplary embodiment of the present invention.
Claims (13)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020090049226A KR101063010B1 (en) | 2009-06-03 | 2009-06-03 | Process management method and device that can detect malware |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020090049226A KR101063010B1 (en) | 2009-06-03 | 2009-06-03 | Process management method and device that can detect malware |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20100130498A KR20100130498A (en) | 2010-12-13 |
KR101063010B1 true KR101063010B1 (en) | 2011-09-07 |
Family
ID=43506813
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020090049226A KR101063010B1 (en) | 2009-06-03 | 2009-06-03 | Process management method and device that can detect malware |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR101063010B1 (en) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101749903B1 (en) * | 2016-11-11 | 2017-06-26 | 주식회사 안랩 | Malicious detecting system and method for non-excutable file |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO1998041919A1 (en) | 1997-03-18 | 1998-09-24 | Trend Micro, Incorporated | Virus detection in client-server system |
KR100653120B1 (en) * | 2005-08-31 | 2006-12-01 | 학교법인 대전기독학원 한남대학교 | A hacking damage analysis system and method for windows systems |
US20070079373A1 (en) * | 2005-10-04 | 2007-04-05 | Computer Associates Think, Inc. | Preventing the installation of rootkits using a master computer |
-
2009
- 2009-06-03 KR KR1020090049226A patent/KR101063010B1/en active IP Right Grant
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO1998041919A1 (en) | 1997-03-18 | 1998-09-24 | Trend Micro, Incorporated | Virus detection in client-server system |
KR100653120B1 (en) * | 2005-08-31 | 2006-12-01 | 학교법인 대전기독학원 한남대학교 | A hacking damage analysis system and method for windows systems |
US20070079373A1 (en) * | 2005-10-04 | 2007-04-05 | Computer Associates Think, Inc. | Preventing the installation of rootkits using a master computer |
Also Published As
Publication number | Publication date |
---|---|
KR20100130498A (en) | 2010-12-13 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108268771B (en) | Apparatus and method for indicating malicious object and non-transitory computer readable medium | |
US9531734B2 (en) | Method and apparatus for intercepting or cleaning-up plugins | |
US8707427B2 (en) | Automated malware detection and remediation | |
US8667583B2 (en) | Collecting and analyzing malware data | |
JP5920169B2 (en) | Unauthorized connection detection method, network monitoring apparatus and program | |
KR101043299B1 (en) | Method, system and computer readable recording medium for detecting exploit code | |
US10061921B1 (en) | Methods and systems for detecting computer security threats | |
JP2005339565A (en) | Management of spyware and unwanted software through auto-start extensibility point | |
US8800040B1 (en) | Methods and systems for prioritizing the monitoring of malicious uniform resource locators for new malware variants | |
CN102819713A (en) | Method and system for detecting security of popup window | |
KR101400680B1 (en) | System of automatically collecting malignant code | |
JP2010182019A (en) | Abnormality detector and program | |
WO2014082599A1 (en) | Scanning device, cloud management device, method and system for checking and killing malicious programs | |
CN112131571B (en) | Threat tracing method and related equipment | |
CN112685682A (en) | Method, device, equipment and medium for identifying forbidden object of attack event | |
CN105791250B (en) | Application program detection method and device | |
US10200374B1 (en) | Techniques for detecting malicious files | |
KR101063010B1 (en) | Process management method and device that can detect malware | |
JP6169497B2 (en) | Connection destination information determination device, connection destination information determination method, and program | |
KR20140011518A (en) | Method and system to prevent malware code | |
KR101725404B1 (en) | Method and apparatus for testing web site | |
JP2010182020A (en) | Illegality detector and program | |
JP4050253B2 (en) | Computer virus information collection apparatus, computer virus information collection method, and program | |
US10997292B2 (en) | Multiplexed—proactive resiliency system | |
JP6258189B2 (en) | Specific apparatus, specific method, and specific program |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20140829 Year of fee payment: 4 |
|
FPAY | Annual fee payment |
Payment date: 20170102 Year of fee payment: 6 |
|
FPAY | Annual fee payment |
Payment date: 20180529 Year of fee payment: 7 |
|
R401 | Registration of restoration | ||
FPAY | Annual fee payment |
Payment date: 20180831 Year of fee payment: 8 |