KR101122646B1 - 위장 가상 머신 정보를 이용한 인텔리전트 봇 대응 방법 및 장치 - Google Patents

위장 가상 머신 정보를 이용한 인텔리전트 봇 대응 방법 및 장치 Download PDF

Info

Publication number
KR101122646B1
KR101122646B1 KR1020100039358A KR20100039358A KR101122646B1 KR 101122646 B1 KR101122646 B1 KR 101122646B1 KR 1020100039358 A KR1020100039358 A KR 1020100039358A KR 20100039358 A KR20100039358 A KR 20100039358A KR 101122646 B1 KR101122646 B1 KR 101122646B1
Authority
KR
South Korea
Prior art keywords
virtual machine
information
malicious
spoofed
machine information
Prior art date
Application number
KR1020100039358A
Other languages
English (en)
Other versions
KR20110119929A (ko
Inventor
정윤정
김요식
김원호
김동수
노상균
윤영태
이철원
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020100039358A priority Critical patent/KR101122646B1/ko
Priority to JP2010173732A priority patent/JP5094928B2/ja
Priority to US12/879,691 priority patent/US8813226B2/en
Priority to EP10176172A priority patent/EP2383671A1/en
Publication of KR20110119929A publication Critical patent/KR20110119929A/ko
Application granted granted Critical
Publication of KR101122646B1 publication Critical patent/KR101122646B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2212/00Indexing scheme relating to accessing, addressing or allocation within memory systems or architectures
    • G06F2212/15Use in a specific computing environment
    • G06F2212/151Emulated environment, e.g. virtual machine
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/144Detection or countermeasures against botnets

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Signal Processing (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

본 발명은 위장 가상 머신 정보를 이용한 인텔리전트 봇 대응 방법 및 장치에 관한 것으로, 본 발명에 따른 위장 가상 머신 정보를 이용한 인텔리전트 봇 대응 방법은 프로세스로부터의 가상 머신 탐지 요청을 전역 후킹(Global hooking)하는 단계; 기 저장된 악성 프로세스 정보에 기반하여 상기 가상 머신 탐지 요청을 전달한 프로세스가 악성 프로세스에 해당하는지 판단하는 단계; 및 상기 판단 결과 악성 프로세스에 해당하면 상기 프로세스가 인텔리전트 봇에 의해 생성된 것으로 판단하여 위장 가상 머신 정보를 상기 프로세스에 리턴하는 단계를 포함한다.

Description

위장 가상 머신 정보를 이용한 인텔리전트 봇 대응 방법 및 장치{Method and device against intelligent bots by masquerading virtual machine information}
본 발명은 위장 가상 머신 정보를 이용한 인텔리전트 봇 대응 방법 및 장치에 관한 것으로, 보다 상세하게는 인텔리전트 봇의 악성 프로세스를 중단하도록 하는 위장 가상 머신 정보를 이용한 인텔리전트 봇 대응 방법 및 장치에 관한 것이다.
인텔리전트 봇(Intelligent Bots)은 사용자의 직접적인 참여 없이 정규적으로 정보를 수집하거나 또는 서비스를 수행하는 프로그램을 말한다. 일반적으로 인텔리전트 봇은 사용자가 제공한 파라미터를 사용해 인터넷에 접속된 단말을 검색하고 사용자가 관심을 가지고 있는 정보를 수집하여 사용자에게 제공한다. 그러나, 이와 같은 인텔리전트 봇은 그 특성상 사용자의 의도에 따라 악성 행위에 사용될 수 있다.
따라서, 보안 전문가들은 이와 같은 인텔리전트 봇을 이용한 악성 행위을 분석하기 위하여 가상 머신(Virtual Machine)을 실행하고 가상 머신 상에서 인텔리전트 봇이 실행되게 하여 악성 행위를 분석 및 추적하고 있다.
그러나, 인텔리전트 봇의 제작자들은 이러한 가상 머신 실행을 통한 방법에 대응하기 위하여 가상 머신의 동작을 탐지하는 방법을 사용하고 있다. 이와 같은 가상 머신의 동작을 탐지하는 방법에 의하면 인텔리전트 봇이 가상 머신 상에서 동작하게 되는지를 탐지하고, 인텔리전트 봇이 가상 머신 상에서 동작하는 것으로 판단하면 악성 행위를 실행하지 않고 종료한다.
본 발명은 상기한 종래의 문제점을 해결하기 위해 안출된 것으로서, 가상 머신의 동작을 탐지하는 인텔리전트 봇이 가상 머신 상에서 동작하는 것으로 판단하도록 위장 가상 머신 정보를 제공하여 인텔리전트 봇이 악성 프로세스를 중단하도록 함으로써 사용자 단말이 인텔리전트 봇에 감염되더라도 악성 프로세스를 수행하지 않도록 하여 DDos(distributed denial of service) 공격 또는 정보 유출 등의 피해를 예방하고자 한다.
상기한 목적을 달성하기 위해 본 발명의 일실시예에 따른 위장 가상 머신 정보를 이용한 인텔리전트 봇 대응 방법은 프로세스로부터의 가상 머신 탐지 요청을 전역 후킹(Global hooking)하는 단계; 기 저장된 악성 프로세스 정보에 기반하여 상기 가상 머신 탐지 요청을 전달한 프로세스가 악성 프로세스에 해당하는지 판단하는 단계; 및 상기 판단 결과 악성 프로세스에 해당하면 상기 프로세스가 인텔리전트 봇에 의해 생성된 것으로 판단하여 위장 가상 머신 정보를 상기 프로세스에 리턴하는 단계를 포함한다.
본 발명의 또 다른 일실시예에 따르면 상기 프로세스가 악성 프로세스에 해당하는지 판단하는 단계는, 상기 프로세스가 사용자 단말의 파일에 대한 접근, 가상 머신의 네트워크 주소 검사 및 상기 사용자 단말의 레지스트리에 대한 접근 중에서 어느 하나를 실행하는 악성 프로세스에 해당하는지 판단할 수 있다.
본 발명의 또 다른 일실시예에 따르면 상기 프로세스가 악성 프로세스에 해당하는지 판단하는 단계는, 상기 프로세스가 기 저장된 정상 프로세스의 리스트인 화이트 리스트에 포함되는지 판단하는 단계를 더 포함할 수 있다.
본 발명의 또 다른 일실시예에 따르면 상기 프로세스가 악성 프로세스에 해당하는지 판단하는 단계는, 상기 가상 머신 탐지 요청의 바이너리 해쉬 값이 기 저장된 악성 코드의 해쉬 값과 일치하는지 판단하는 단계를 더 포함할 수 있다.
본 발명의 또 다른 일실시예에 따르면 상기 판단 결과 일치하지 않으면 상기 가상 머신 탐지 요청의 바이너리 해쉬 값을 저장하는 단계를 더 포함할 수 있다.
본 발명의 또 다른 일실시예에 따르면 상기 위장 가상 머신 정보는, 사용자 단말이 가상 머신을 사용하는 것으로 위장하기 위한 위장 파일 정보, 위장 네트워크 주소 정보 및 위장 레지스트리 정보 중에서 적어도 어느 하나를 포함할 수 있다.
본 발명의 또 다른 일실시예에 따르면 상기 판단 결과 악성 프로세스에 해당하지 않으면 사용자 단말의 윈도우 커널(Kernel)로 상기 가상 머신 탐지 요청을 전달하는 단계; 및 상기 사용자 단말의 윈도우 커널로부터 상기 가상 머신 탐지 요청에 대한 정상 값을 수신하여 상기 프로세스에 리턴하는 단계를 더 포함할 수 있다.
본 발명의 일 실시예에 따른 위장 가상 머신 정보를 이용한 인텔리전트 봇 대응 장치는 사용자 단말이 가상 머신을 사용하는 것으로 위장하는 위장 가상 머신 정보 및 악성 프로세스를 판단하기 위한 악성 프로세스 정보를 저장하는 가상 머신 정보 데이터베이스; 및 프로세스로부터의 가상 머신 탐지 요청을 전역 후킹하여, 상기 가상 머신 정보 데이터베이스에 저장된 상기 악성 프로세스 정보에 기반하여 상기 가상 머신 탐지 요청을 전달한 프로세스가 악성 프로세스에 해당하는지 판단하고, 상기 판단 결과 상기 프로세스가 악성 프로세스에 해당하면 상기 가상 머신 정보 데이터베이스에 저장된 위장 가상 머신 정보를 상기 프로세스에 리턴하는 전역 후킹 모듈을 포함한다.
본 발명의 또 다른 일실시예에 따르면 상기 전역 후킹 모듈은, 상기 악성 프로세스 정보에 기반하여 상기 프로세스가 상기 사용자 단말의 파일에 대한 접근을 실행하면 악성 프로세스인 것으로 판단하고, 상기 가상 머신으로 위장하기 위한 위장 파일 정보를 상기 가상 머신 정보 데이터베이스로부터 수신하여 상기 프로세스에 리턴하는 파일 제어 모듈; 상기 악성 프로세스 정보에 기반하여 상기 프로세스가 가상 머신 네트워크 주소 검사를 실행하면 악성 프로세스인 것으로 판단하고, 상기 가상 머신으로 위장하기 위한 위장 네트워크 주소 정보를 상기 가상 머신 정보 데이터베이스로부터 수신하여 상기 프로세스에 리턴하는 네트워크 제어 모듈; 및 상기 악성 프로세스 정보에 기반하여 상기 프로세스가 상기 사용자 단말의 레지스트리 접근을 실행하면 상기 프로세스가 악성 프로세스인 것으로 판단하고, 상기 가상 머신으로 위장하기 위한 위장 레지스트리 정보를 상기 가상 머신 정보 데이터베이스로부터 수신하여 상기 프로세스에 리턴하는 레지스트리 제어 모듈을 포함한다.
본 발명의 또 다른 일실시예에 따르면 상기 전역 후킹 모듈은, 상기 프로세스가 상기 가상 머신 정보 데이터베이스 저장된 정상 프로세스의 리스트인 화이트 리스트에 포함되지 않으면 상기 프로세스가 악성 프로세스인 것으로 판단할 수 있다.
본 발명의 또 다른 일실시예에 따르면 상기 전역 후킹 모듈은, 상기 가상 머신 탐지 요청의 바이너리 해쉬 값이 상기 가상 머신 정보 데이터베이스에 저장된 악성 코드의 해쉬 값과 일치하면 상기 프로세스가 악성 프로세스인 것으로 판단할 수 있다.
본 발명의 또 다른 일실시예에 따르면 상기 위장 가상 머신 정보는, 상기 사용자 단말이 가상 머신을 사용하는 것으로 위장하기 위한 위장 파일 정보, 위장 네트워크 주소 정보 및 위장 레지스트리 정보 중에서 적어도 어느 하나를 포함할 수 있다.
본 발명의 또 다른 일실시예에 따르면 상기 악성 프로세스 정보는, 상기 사용자 단말의 파일, 상기 가상 머신의 네트워크 주소 및 상기 사용자 단말의 레지스트리 중에서 적어도 어느 하나에 접근하기 위한 정보일 수 있다.
본 발명의 또 다른 일실시예에 따르면 상기 전역 후킹 모듈은, 상기 판단 결과 악성 프로세스에 해당하지 않으면 상기 사용자 단말의 윈도우 커널로 상기 가상 머신 탐지 요청을 전달하고, 상기 사용자 단말의 윈도우 커널로부터 상기 가상 머신 탐지 요청에 대한 정상 값을 수신하여 상기 프로세스에 리턴할 수 있다.
본 발명에 따르면 가상 머신의 동작을 탐지하는 인텔리전트 봇이 가상 머신 상에서 동작하는 것으로 판단하도록 위장 가상 머신 정보를 제공하여 인텔리전트 봇이 악성 프로세스를 중단하도록 하여, 사용자 단말이 인텔리전트 봇에 감염되더라도 악성 프로세스를 수행하지 않도록 하여 DDos(Distributed denial of service) 공격 또는 정보 유출 등의 2차 피해를 예방할 수 있다.
도 1은 본 발명의 일실시예에 따른 위장 가상 머신 정보를 이용한 인텔리전트 봇 대응 장치의 구성도이다.
도 2는 본 발명의 일실시예에 따른 위장 가상 머신 정보를 이용한 인텔리전트 봇 대응 방법을 설명하기 위한 흐름도이다.
도 3은 본 발명의 또 다른 일실시예에 따른 위장 가상 머신 정보를 이용한 인텔리전트 봇 대응 방법을 설명하기 위한 흐름도이다.
이하에서, 본 발명에 따른 실시예들을 첨부된 도면을 참조하여 상세하게 설명한다. 그러나, 본 발명이 실시예들에 의해 제한되거나 한정되는 것은 아니다. 각 도면에 제시된 동일한 참조 부호는 동일한 부재를 나타낸다.
도 1은 본 발명의 일실시예에 따른 위장 가상 머신 정보를 이용한 인텔리전트 봇 대응 장치의 구성도이다. 도 1을 참조하여 본 발명의 일실시예에 따른 위장 가상 머신 정보를 이용한 인텔리전트 봇에 대응 장치의 구성을 설명하기로 한다.
도 1에 도시된 바와 같이 본 발명의 일실시예에 따른 인텔리전트 봇 대응 장치(100)는 전역 후킹 모듈(110) 및 가상 머신 정보 데이터베이스(120)를 포함하여 구성된다.
인텔리전트 봇(130)이 사용자 단말에서 가상 머신이 사용하는지를 판단하기 위하여 상기 사용자 단말로 프로세스의 실행을 위한 가상 머신(Virtual Machine)의 탐지 요청을 전송하면, 전역 후킹 모듈(110)은 상기 가상 머신의 탐지 요청을 전역 후킹(Global hooking)한다.
전역 후킹 모듈(110)은 가상 머신 정보 데이터베이스(120)에 저장된 악성 프로세스 정보에 기반하여 상기 가상 머신 탐지 요청을 전달한 프로세스가 악성 프로세스에 해당하는지 판단한다.
가상 머신 정보 데이터베이스(120)는 사용자 단말이 가상 머신을 사용하는 것으로 위장하는 위장 가상 머신 정보 및 악성 프로세스를 판단하기 위한 악성 프로세스 정보를 저장한다. 가상 머신 정보 데이터베이스(120)에 저장되는 상기 악성 프로세스 정보는 상기 사용자 단말의 파일, 상기 가상 머신의 네트워크 주소 및 상기 사용자 단말의 레지스트리 중에서 적어도 어느 하나에 접근하기 위한 정보로 구성될 수 있다.
따라서, 전역 후킹 모듈(110)은 상기 프로세스가 악성 프로세스에 해당하는 것으로 판단하면 상기 사용자 단말에서 가상 머신을 사용하는 것으로 위장하기 위한 위장 가상 머신 정보를 가상 머신 정보 데이터베이스(120)로부터 읽어 들여 상기 프로세스를 실행한 인텔리전트 봇(130)으로 리턴한다. 이때, 상기 위장 가상 머신 정보는 가상 머신 정보 데이터베이스(120)에 저장되며 상기 사용자 단말이 가상 머신을 사용하는 것으로 위장하기 위한 위장 파일 정보, 위장 네트워크 주소 정보 및 위장 레지스트리 정보 중에서 적어도 어느 하나를 포함하여 구성될 수 있다.
이후부터는 전역 후킹 모듈(110)에 대하여 보다 상세하게 설명하기로 한다.
전역 후킹 모듈(110)은 파일 제어 모듈(111), 네트워크 제어 모듈(112) 및 레지스트리 제어 모듈(113)을 포함하여 구성될 수 있다.
파일 제어 모듈(111)은 가상 머신 정보 데이터베이스(120)에 저장된 악성 프로세스 정보를 참조하여 상기 프로세스가 사용자 단말의 파일에 대한 접근을 실행하면 상기 프로세스를 악성 프로세스인 것으로 판단한다. 그에 따라 파일 제어 모듈(111)은 상기 가상 머신으로 위장하기 위한 위장 파일 정보를 가상 머신 정보 데이터베이스(120)로부터 수신하여 상기 프로세스를 실행한 인텔리전트 봇(130)으로 리턴할 수 있다.
또한, 네트워크 제어 모듈(112)은 가상 머신 정보 데이터베이스(120)에 저장된 악성 프로세스 정보를 참조하여 상기 프로세스가 가상 머신 네트워크 주소 검사를 실행하면 상기 프로세스를 악성 프로세스인 것으로 판단한다. 그에 따라 네트워크 제어 모듈(112)은 상기 가상 머신으로 위장하기 위한 위장 네트워크 주소 정보를 가상 머신 정보 데이터베이스(120)로부터 수신하여 상기 프로세스를 실행한 인텔리전트 봇(130)으로 리턴할 수 있다.
또한, 레지스트리 제어 모듈(113)은 가상 머신 정보 데이터베이스(120)에 저장된 악성 프로세스 정보를 참조하여 상기 프로세스가 상기 사용자 단말의 레지스트리 접근을 실행하는 요청이면, 상기 프로세스를 악성 프로세스인 것으로 판단한다. 그에 따라 레지스트리 제어 모듈(113)은 상기 가상 머신으로 위장하기 위한 위장 레지스트리 정보를 가상 머신 정보 데이터베이스(120)로부터 수신하여 상기 프로세스를 실행한 인텔리전트 봇(130)으로 리턴할 수 있다.
그뿐만 아니라, 전역 후킹 모듈(110)은 상기 가상 머신 탐지 요청의 바이너리 해쉬 값이 가상 머신 정보 데이터베이스(120)에 저장된 악성 코드의 해쉬 값과 일치하면 상기 프로세스가 악성 프로세스인 것으로 판단하도록 구성될 수 있다.
한편, 전역 후킹 모듈(110)은 상기 프로세스가 가상 머신 정보 데이터베이스(120)에 저장된 정상 프로세스의 리스트인 화이트 리스트에 포함 되는지를 판단하고, 상기 판단 결과 화이트 리스트에 포함되지 않은 경우에만 상기와 같은 악성 프로세스의 판단을 실행하도록 구성될 수 있다.
전역 후킹 모듈(110)은 상기 가상 머신 탐지 요청을 전달한 프로세스가 악성 프로세스가 아닌 것으로 판단하거나 상기 프로세스가 상기 화이트 리스트에 포함되면, 상기 프로세스가 정상 프로세스인 것으로 판단할 수 있다. 전역 후킹 모듈(110)은 상기와 같이 프로세스가 정상 프로세스인 것으로 판단하면 상기 사용자 단말의 윈도우 커널(Kernel: 140)로 상기 가상 머신 탐지 요청을 전달하고, 상기 사용자 단말의 윈도우 커널(140)로부터 상기 가상 머신 탐지 요청에 대한 정상 값을 수신하여 상기 프로세스를 실행한 인텔리전트 봇(130)으로 리턴할 수 있다.
한편, 본 발명의 일실시예에 따른 인텔리전트 봇(130)으로부터의 가상 머신 탐지 요청은 VMware 또는 CW Sandbox 등에서 구현되는 가상 머신(Virtual Machine)을 대상으로 한 요청일 수 있다.
따라서, 본 발명의 일실시예에 따르면 가상 머신의 동작을 탐지하는 인텔리전트 봇이 가상 머신 상에서 동작하는 것으로 판단하도록 위장 가상 머신 정보를 제공하여 인텔리전트 봇이 악성 프로세스를 중단하도록 할 수 있다.
도 2는 본 발명의 일실시예에 따른 위장 가상 머신 정보를 이용한 인텔리전트 봇 대응 방법을 설명하기 위한 흐름도이다. 도 2를 참조하여 본 발명의 일실시예에 따른 위장 가상 머신 정보를 이용한 인텔리전트 봇 대응 방법을 설명하기로 한다.
본 발명의 일실시예에 따르면 인텔리전트 봇 대응 장치는 프로세스로부터의 가상 머신 탐지 요청을 전역 후킹(Global Hooking)한다(S210).
인텔리전트 봇 대응 장치는 기 저장된 악성 프로세스에 기반하여 상기 가상 머신 탐지 요청을 전달한 프로세스가 악성 프로세스에 해당하는지 판단한다(S220).
인텔리전트 봇 대응 장치는 상기 판단 결과 악성 프로세스에 해당하면 위장 가상 머신 정보를 상기 프로세스에 리턴하는데, 이때 상기 위장 가상 머신 정보는 사용자 단말이 가상 머신을 사용하는 것으로 위장하기 위한 정보이다(S230).
한편, 인텔리전트 봇 대응 장치는 상기 프로세스가 악성 프로세스 에 해당하지 않는 것으로 판단하면 상기 사용자 단말의 윈도우 커널(Kernel)로 상기 가상 머신 탐지 요청을 전달할 수 있다(S240). 이후, 인텔리전트 봇 대응 장치는 상기 사용자 단말의 윈도우 커널로부터 상기 가상 머신 탐지 요청에 대한 정상 값을 수신하여 상기 프로세스에 리턴할 수 있다(S250).
도 3은 본 발명의 또 다른 일실시예에 따른 위장 가상 머신 정보를 이용한 인텔리전트 봇 대응 방법을 설명하기 위한 흐름도이다. 도 3을 참조하여 본 발명의 또 다른 일실시예에 따른 위장 가상 머신 정보를 이용한 인텔리전트 봇 대응 방법을 설명하기로 한다.
인텔리전트 봇 대응 장치는 프로세스로부터의 가상 머신 탐지 요청을 전역 후킹하고(S310), 상기 프로세스가 화이트 리스트에 포함되는지 판단할 수 있다(S320). 이때, 상기 화이트 리스트는 정상 프로세스의 리스트로서 가상 머신 정보 데이터베이스에 저장된다.
인텔리전트 봇 대응 장치는 상기 판단 결과 상기 프로세스가 상기 화이트 리스트에 포함되지 않은 경우, 상기 프로세스가 상기 사용자 단말의 파일에 대한 접근, 가상 머신의 네트워크 주소 검사 및 상기 사용자 단말의 레지스트리에 대한 접근 중에서 어느 하나를 실행하는 프로세스인지의 여부를 판단할 수 있다(S330).
인텔리전트 봇 대응 장치는 상기 프로세스가 상기 사용자 단말의 파일에 대한 접근, 가상 머신의 네트워크 주소 검사 및 상기 사용자 단말의 레지스트리에 대한 접근 중에서 어느 하나를 실행하는 프로세스인 것으로 판단하면, 상기 가상 머신 탐지 요청의 바이너리 해쉬 값이 가상 머신 정보 데이터베이스에 저장되어 있는 악성 코드의 해쉬 값과 일치하는지의 여부에 따라서 악성 프로세스인지를 판단할 수 있다(S335).
예를 들어, 인텔리전트 봇 대응 장치는 상기 프로세스가00-05-69-xx-xx-xx, 00-0c-29-xx-xx-xx, 00-50-56-xx-xx-xx 등과 같이 가상 머신에서 사용하는 MAC 주소에 접근하는지의 여부에 따라서 악성 프로세스인지의 여부를 판단하거나, 상기 레지스트리에 접근하여 가상 머신에서 사용하는 프로덕트(product) ID, 하드 드라이버, 비디오 드라이버 등의 정보에 접근하는지의 여부에 따라서 악성 프로세스인지의 여부를 판단할 수 있다.
인텔리전트 봇 대응 장치는 상기 판단 결과 상기 프로세스가 상기 사용자 단말의 파일에 대한 접근, 가상 머신의 네트워크 주소 검사 및 상기 사용자 단말의 레지스트리에 대한 접근 중에서 어느 하나에 해당하고, 상기 가상 머신 탐지 요청의 바이너리 해쉬 값이 악성 코드의 해쉬 값과 일치하여 악성 프로세스인 것으로 판단한 경우에는, 사용자 단말이 가상 머신을 사용하는 것으로 위장하기 위한 위장 가상 머신 정보를 상기 프로세스를 요청한 상기 프로세스에 리턴한다(S340). 이때, 상기 위장 가상 머신 정보는 상기 사용자 단말이 가상 머신을 사용하는 것으로 위장하기 위한 위장 파일 정보, 위장 네트워크 주소 정보 및 위장 레지스트리 정보 중에서 적어도 어느 하나를 포함하여 구성될 수 있다.
한편, 인텔리전트 봇 대응 장치는 상기 판단 결과 상기 프로세스가 상기 화이트 리스트에 포함되거나, 상기 가상 머신 탐지 요청이 상기 사용자 단말의 파일에 대한 접근, 가상 머신의 네트워크 주소 검사 및 상기 사용자 단말의 레지스트리에 대한 접근 중에서 어느 하나에 해당하지 않거나, 상기 가상 머신 탐지 요청의 바이너리 해쉬 값이 악성 코드의 해쉬 값과 일치하지 않는 것으로 판단하는 경우에는, 상기 프로세스가 악성 프로세스에 해당하지 않는 것으로 판단하여, 상기 사용자 단말의 윈도우 커널(Kernel)로 상기 가상 머신 탐지 요청을 전달할 수 있다(S350).
또한, 상기 프로세스가 화이트 리스트에 포함되지 않고, 상기 가상 머신 탐지 요청이 상기 사용자 단말의 파일에 대한 접근, 가상 머신의 네트워크 주소 검사 및 상기 사용자 단말의 레지스트리에 대한 접근 중에서 어느 하나에 해당하지만, 상기 가상 머신 탐지 요청의 바이너리 해쉬 값이 악성 코드 해쉬 값과 일치하지 않을 경우에는, 가상 머신 정보 데이터베이스에 상기 가상 머신 탐지 요청의 바이너리 해쉬 값을 저장한다(S336). 이때, 파일, 프로세스, 레지스트리, 네트워크에 대한 행위를 별도의 외부 시스템에서 분석하여 악성여부를 판단하여 악성일 경우에는 상기 바이너리 해쉬 값을 악성 코드 해쉬 값으로서 가상 머신 정보 데이터베이스에 저장할 수 있다.
그에 따라, 인텔리전트 봇 대응 장치는 상기 사용자 단말의 윈도우 커널로부터 상기 가상 머신 탐지 요청에 대한 정상 값을 수신하여 상기 프로세스로 리턴할 수 있다(S360).
따라서, 본 발명에 따르면 가상 머신의 동작을 탐지하는 인텔리전트 봇이 가상 머신 상에서 동작하는 것으로 판단하도록 위장 가상 머신 정보를 제공하여 인텔리전트 봇이 악성 프로세스를 중단하도록 할 수 있다. 그러므로, 본 발명에 따르면 사용자 단말이 인텔리전트 봇에 감염되더라도 악성 프로세스를 수행하지 않도록 하여 DDos(Distributed denial of service) 공격 또는 정보 유출 등의 2차 피해를 예방할 수 있다.
위에서 설명된 본 발명의 실시예들은 임의의 다양한 방법으로 구현될 수 있다. 예를 들어, 실시예들은 하드웨어, 소프트웨어 또는 그 조합을 이용하여 구현될 수 있다. 소프트웨어로 구현되는 경우에, 다양한 운영체제 또는 플랫폼을 이용하는 하나 이상의 프로세서상에서 실행되는 소프트웨어로서 구현될 수 있다. 추가적으로, 그러한 소프트웨어는 다수의 적합한 프로그래밍 언어들 중에서 임의의 것을 사용하여 작성될 수 있고, 또한 프레임워크 또는 가상 머신에서 실행되는 실행가능 기계어 코드 또는 중간 코드로 컴파일될 수 있다.
또한, 본 발명은 하나 이상의 컴퓨터 또는 다른 프로세서상에서 실행되는 경우 위에서 논의된 본 발명의 다양한 실시예를 구현하는 방법을 수행하는 하나 이상의 프로그램이 기록된 컴퓨터 판독가능 매체(예를 들어, 컴퓨터 메모리, 하나 이상의 플로피 디스크, 콤팩트 디스크, 광학 디스크, 자기 테이프, 플래시 메모리 등)으로 구현될 수 있다.
이상과 같이 본 발명에서는 구체적인 구성 요소 등과 같은 특정 사항들과 한정된 실시예 및 도면에 의해 설명되었으나 이는 본 발명의 보다 전반적인 이해를 돕기 위해서 제공된 것일 뿐, 본 발명은 상기의 실시예에 한정되는 것은 아니며, 본 발명이 속하는 분야에서 통상적인 지식을 가진 자라면 이러한 기재로부터 다양한 수정 및 변형이 가능하다. 따라서, 본 발명의 사상은 설명된 실시예에 국한되어 정해져서는 아니되며, 후술하는 특허청구범위뿐 아니라 이 특허청구범위와 균등하거나 등가적 변형이 있는 모든 것들은 본 발명 사상의 범주에 속한다고 할 것이다.
100: 인텔리전트 봇 대응 장치
110: 전역 후킹 모듈
111: 파일 제어 모듈
112: 네트워크 제어 모듈
113: 레지스트리 제어 모듈
120: 가상 머신 정보 데이터베이스
130: 인텔리전트 봇
140: 윈도우 커널

Claims (14)

  1. 인텔리전트 봇 대응 장치가 사용자 컴퓨터에서 실행되는 프로세스로부터의 가상 머신 탐지 요청을 전역 후킹(Global hooking)하는 단계;
    상기 인텔리전트 봇 대응 장치가 기저장된 악성 프로세스 정보에 기반하여 상기 가상 머신 탐지 요청을 전달한 프로세스가 악성 프로세스에 해당하는지 판단하는 단계; 및
    상기 인텔리전트 봇 대응 장치가 상기 판단 결과 악성 프로세스에 해당하면 상기 프로세스가 인텔리전트 봇에 의해 생성된 것으로 판단하여 위장 가상 머신 정보를 상기 프로세스에 리턴하는 단계를 포함하고,
    상기 위장 가상 머신 정보는 상기 사용자 컴퓨터가 가상 머신을 사용하는 것으로 위장하기 위한 위장 파일 정보, 위장 네트워크 주소 정보 및 위장 레지스트리 정보 중에서 적어도 어느 하나를 포함하고, 상기 위장 가상 머신 정보를 리턴받은 상기 프로세스는 자신이 가상 머신상에서 동작하는 것으로 판단하여 악성행위를 중단하는, 위장 가상 머신 정보를 이용한 인텔리전트 봇 대응 방법.
  2. 제1항에 있어서,
    상기 프로세스가 악성 프로세스에 해당하는지 판단하는 단계는,
    상기 프로세스가 상기 사용자 컴퓨터의 파일에 대한 접근, 가상 머신의 네트워크 주소 검사 및 상기 사용자 단말의 레지스트리에 대한 접근 중에서 어느 하나를 실행하는 악성 프로세스에 해당하는지 판단하는 위장 가상 머신 정보를 이용한 인텔리전트 봇 대응 방법.
  3. 제1항에 있어서,
    상기 프로세스가 악성 프로세스에 해당하는지 판단하는 단계는,
    상기 프로세스가 기 저장된 정상 프로세스의 리스트인 화이트 리스트에 포함되는지 판단하는 단계
    를 더 포함하는 위장 가상 머신 정보를 이용한 인텔리전트 봇 대응 방법.
  4. 제1항에 있어서,
    상기 프로세스가 악성 프로세스에 해당하는지 판단하는 단계는,
    상기 가상 머신 탐지 요청의 바이너리 해쉬 값이 기 저장된 악성 코드의 해쉬 값과 일치하는지 판단하는 단계
    를 더 포함하는 위장 가상 머신 정보를 이용한 인텔리전트 봇 대응 방법.
  5. 제4항에 있어서,
    상기 판단 결과 일치하지 않으면 상기 가상 머신 탐지 요청의 바이너리 해쉬 값을 저장하는 단계
    를 더 포함하는 위장 가상 머신 정보를 이용한 인텔리전트 봇 대응 방법.
  6. 삭제
  7. 제1항에 있어서,
    상기 판단 결과 악성 프로세스에 해당하지 않으면 상기 사용자 컴퓨터의 윈도우 커널(Kernel)로 상기 가상 머신 탐지 요청을 전달하는 단계; 및
    상기 사용자 단말의 윈도우 커널로부터 상기 가상 머신 탐지 요청에 대한 정상 값을 수신하여 상기 프로세스에 리턴하는 단계
    를 더 포함하는 위장 가상 머신 정보를 이용한 인텔리전트 봇 대응 방법.
  8. 사용자 컴퓨터가 가상 머신을 사용하는 것으로 위장하기 위한 위장 파일 정보, 위장 네트워크 주소 정보 및 위장 레지스트리 정보를 포함하는 위장 가상 머신 정보 및 악성 프로세스를 판단하기 위한 악성 프로세스 정보를 저장하는 가상 머신 정보 데이터베이스; 및
    프로세스로부터의 가상 머신 탐지 요청을 전역 후킹하여, 상기 가상 머신 정보 데이터베이스에 저장된 상기 악성 프로세스 정보에 기반하여 상기 가상 머신 탐지 요청을 전달한 프로세스가 악성 프로세스에 해당하는지 판단하고, 상기 판단 결과 상기 프로세스가 악성 프로세스에 해당하면 상기 가상 머신 정보 데이터베이스에 저장된 위장 가상 머신 정보를 상기 프로세스에 리턴하는 전역 후킹 모듈을 포함하고,
    상기 위장 가상 머신 정보를 리턴받은 상기 프로세스는 자신이 가상 머신상에서 동작하는 것으로 판단하여 악성행위를 중단하는, 위장 가상 머신 정보를 이용한 인텔리전트 봇 대응 장치.
  9. 제8항에 있어서,
    상기 전역 후킹 모듈은,
    상기 악성 프로세스 정보에 기반하여 상기 프로세스가 상기 사용자 컴퓨터의 파일에 대한 접근을 실행하면 악성 프로세스인 것으로 판단하고, 상기 위장 파일 정보를 상기 가상 머신 정보 데이터베이스로부터 검색하여 상기 프로세스에 리턴하는 파일 제어 모듈;
    상기 악성 프로세스 정보에 기반하여 상기 프로세스가 가상 머신 네트워크 주소 검사를 실행하면 악성 프로세스인 것으로 판단하고, 상기 위장 네트워크 주소 정보를 상기 가상 머신 정보 데이터베이스로부터 검색하여 상기 프로세스에 리턴하는 네트워크 제어 모듈; 및
    상기 악성 프로세스 정보에 기반하여 상기 프로세스가 상기 사용자 컴퓨터의 레지스트리 접근을 실행하면 상기 프로세스가 악성 프로세스인 것으로 판단하고, 상기 위장 레지스트리 정보를 상기 가상 머신 정보 데이터베이스로부터 검색하여 상기 프로세스에 리턴하는 레지스트리 제어 모듈
    을 포함하는 위장 가상 머신 정보를 이용한 인텔리전트 봇 대응 장치.
  10. 제8항에 있어서,
    상기 전역 후킹 모듈은,
    상기 프로세스가 상기 가상 머신 정보 데이터베이스 저장된 정상 프로세스의 리스트인 화이트 리스트에 포함되지 않으면 상기 프로세스가 악성 프로세스인 것으로 판단하는 위장 가상 머신 정보를 이용한 인텔리전트 봇 대응 장치.
  11. 제8항에 있어서,
    상기 전역 후킹 모듈은,
    상기 가상 머신 탐지 요청의 바이너리 해쉬 값이 상기 가상 머신 정보 데이터베이스에 저장된 악성 코드의 해쉬 값과 일치하면 상기 프로세스가 악성 프로세스인 것으로 판단하는 위장 가상 머신 정보를 이용한 인텔리전트 봇 대응 장치.
  12. 삭제
  13. 제8항에 있어서,
    상기 악성 프로세스 정보는,
    상기 사용자 컴퓨터의 파일, 상기 가상 머신의 네트워크 주소 및 상기 사용자 컴퓨터의 레지스트리 중에서 적어도 어느 하나에 접근하기 위한 정보인 위장 가상 머신 정보를 이용한 인텔리전트 봇 대응 장치.
  14. 제8항에 있어서,
    상기 전역 후킹 모듈은,
    상기 판단 결과 악성 프로세스에 해당하지 않으면 상기 사용자 컴퓨터의 윈도우 커널로 상기 가상 머신 탐지 요청을 전달하고, 상기 사용자 컴퓨터의 윈도우 커널로부터 상기 가상 머신 탐지 요청에 대한 정상 값을 수신하여 상기 프로세스에 리턴하는 위장 가상 머신 정보를 이용한 인텔리전트 봇 대응 장치.
KR1020100039358A 2010-04-28 2010-04-28 위장 가상 머신 정보를 이용한 인텔리전트 봇 대응 방법 및 장치 KR101122646B1 (ko)

Priority Applications (4)

Application Number Priority Date Filing Date Title
KR1020100039358A KR101122646B1 (ko) 2010-04-28 2010-04-28 위장 가상 머신 정보를 이용한 인텔리전트 봇 대응 방법 및 장치
JP2010173732A JP5094928B2 (ja) 2010-04-28 2010-08-02 偽装仮想マシン情報を利用したインテリジェントボット対応方法及び装置
US12/879,691 US8813226B2 (en) 2010-04-28 2010-09-10 Defense method and device against intelligent bots using masqueraded virtual machine information
EP10176172A EP2383671A1 (en) 2010-04-28 2010-09-10 Defense method and device against intelligent bots using masqueraded virtual machine information

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020100039358A KR101122646B1 (ko) 2010-04-28 2010-04-28 위장 가상 머신 정보를 이용한 인텔리전트 봇 대응 방법 및 장치

Publications (2)

Publication Number Publication Date
KR20110119929A KR20110119929A (ko) 2011-11-03
KR101122646B1 true KR101122646B1 (ko) 2012-03-09

Family

ID=43797722

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020100039358A KR101122646B1 (ko) 2010-04-28 2010-04-28 위장 가상 머신 정보를 이용한 인텔리전트 봇 대응 방법 및 장치

Country Status (4)

Country Link
US (1) US8813226B2 (ko)
EP (1) EP2383671A1 (ko)
JP (1) JP5094928B2 (ko)
KR (1) KR101122646B1 (ko)

Families Citing this family (84)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8607347B2 (en) * 2008-09-29 2013-12-10 Sophos Limited Network stream scanning facility
US9501644B2 (en) * 2010-03-15 2016-11-22 F-Secure Oyj Malware protection
US11223619B2 (en) 2010-11-29 2022-01-11 Biocatch Ltd. Device, system, and method of user authentication based on user-specific characteristics of task performance
US10298614B2 (en) * 2010-11-29 2019-05-21 Biocatch Ltd. System, device, and method of generating and managing behavioral biometric cookies
US10970394B2 (en) 2017-11-21 2021-04-06 Biocatch Ltd. System, device, and method of detecting vishing attacks
US10586036B2 (en) 2010-11-29 2020-03-10 Biocatch Ltd. System, device, and method of recovery and resetting of user authentication factor
US10949514B2 (en) 2010-11-29 2021-03-16 Biocatch Ltd. Device, system, and method of differentiating among users based on detection of hardware components
US11210674B2 (en) 2010-11-29 2021-12-28 Biocatch Ltd. Method, device, and system of detecting mule accounts and accounts used for money laundering
US11269977B2 (en) 2010-11-29 2022-03-08 Biocatch Ltd. System, apparatus, and method of collecting and processing data in electronic devices
US10685355B2 (en) * 2016-12-04 2020-06-16 Biocatch Ltd. Method, device, and system of detecting mule accounts and accounts used for money laundering
US10728761B2 (en) 2010-11-29 2020-07-28 Biocatch Ltd. Method, device, and system of detecting a lie of a user who inputs data
US10055560B2 (en) 2010-11-29 2018-08-21 Biocatch Ltd. Device, method, and system of detecting multiple users accessing the same account
US9483292B2 (en) 2010-11-29 2016-11-01 Biocatch Ltd. Method, device, and system of differentiating between virtual machine and non-virtualized device
US10069852B2 (en) 2010-11-29 2018-09-04 Biocatch Ltd. Detection of computerized bots and automated cyber-attack modules
US10897482B2 (en) 2010-11-29 2021-01-19 Biocatch Ltd. Method, device, and system of back-coloring, forward-coloring, and fraud detection
US10834590B2 (en) 2010-11-29 2020-11-10 Biocatch Ltd. Method, device, and system of differentiating between a cyber-attacker and a legitimate user
US20190158535A1 (en) * 2017-11-21 2019-05-23 Biocatch Ltd. Device, System, and Method of Detecting Vishing Attacks
US10404729B2 (en) 2010-11-29 2019-09-03 Biocatch Ltd. Device, method, and system of generating fraud-alerts for cyber-attacks
US10949757B2 (en) 2010-11-29 2021-03-16 Biocatch Ltd. System, device, and method of detecting user identity based on motor-control loop model
US10776476B2 (en) 2010-11-29 2020-09-15 Biocatch Ltd. System, device, and method of visual login
US10395018B2 (en) 2010-11-29 2019-08-27 Biocatch Ltd. System, method, and device of detecting identity of a user and authenticating a user
US10476873B2 (en) 2010-11-29 2019-11-12 Biocatch Ltd. Device, system, and method of password-less user authentication and password-less detection of user identity
US10032010B2 (en) 2010-11-29 2018-07-24 Biocatch Ltd. System, device, and method of visual login and stochastic cryptography
US10164985B2 (en) 2010-11-29 2018-12-25 Biocatch Ltd. Device, system, and method of recovery and resetting of user authentication factor
US10262324B2 (en) 2010-11-29 2019-04-16 Biocatch Ltd. System, device, and method of differentiating among users based on user-specific page navigation sequence
US10621585B2 (en) 2010-11-29 2020-04-14 Biocatch Ltd. Contextual mapping of web-pages, and generation of fraud-relatedness score-values
US10069837B2 (en) 2015-07-09 2018-09-04 Biocatch Ltd. Detection of proxy server
US20240080339A1 (en) * 2010-11-29 2024-03-07 Biocatch Ltd. Device, System, and Method of Detecting Vishing Attacks
US10917431B2 (en) * 2010-11-29 2021-02-09 Biocatch Ltd. System, method, and device of authenticating a user based on selfie image or selfie video
US10083439B2 (en) 2010-11-29 2018-09-25 Biocatch Ltd. Device, system, and method of differentiating over multiple accounts between legitimate user and cyber-attacker
US10037421B2 (en) 2010-11-29 2018-07-31 Biocatch Ltd. Device, system, and method of three-dimensional spatial user authentication
US10747305B2 (en) 2010-11-29 2020-08-18 Biocatch Ltd. Method, system, and device of authenticating identity of a user of an electronic device
US10474815B2 (en) 2010-11-29 2019-11-12 Biocatch Ltd. System, device, and method of detecting malicious automatic script and code injection
US8555388B1 (en) 2011-05-24 2013-10-08 Palo Alto Networks, Inc. Heuristic botnet detection
US9104870B1 (en) * 2012-09-28 2015-08-11 Palo Alto Networks, Inc. Detecting malware
US9215239B1 (en) 2012-09-28 2015-12-15 Palo Alto Networks, Inc. Malware detection based on traffic analysis
GB2507779A (en) * 2012-11-09 2014-05-14 Ibm Terminating a virtual machine in response to user inactivity in a cloud computing environment
US9565202B1 (en) * 2013-03-13 2017-02-07 Fireeye, Inc. System and method for detecting exfiltration content
US9323925B2 (en) * 2013-05-30 2016-04-26 Trusteer, Ltd. Method and system for prevention of windowless screen capture
US9613210B1 (en) 2013-07-30 2017-04-04 Palo Alto Networks, Inc. Evaluating malware in a virtual machine using dynamic patching
US10019575B1 (en) 2013-07-30 2018-07-10 Palo Alto Networks, Inc. Evaluating malware in a virtual machine using copy-on-write
US9811665B1 (en) 2013-07-30 2017-11-07 Palo Alto Networks, Inc. Static and dynamic security analysis of apps for mobile devices
US9489516B1 (en) 2014-07-14 2016-11-08 Palo Alto Networks, Inc. Detection of malware using an instrumented virtual machine environment
US9882929B1 (en) 2014-09-30 2018-01-30 Palo Alto Networks, Inc. Dynamic selection and generation of a virtual clone for detonation of suspicious content within a honey network
US9716727B1 (en) 2014-09-30 2017-07-25 Palo Alto Networks, Inc. Generating a honey network configuration to emulate a target network environment
US9495188B1 (en) 2014-09-30 2016-11-15 Palo Alto Networks, Inc. Synchronizing a honey network configuration to reflect a target network environment
US9860208B1 (en) 2014-09-30 2018-01-02 Palo Alto Networks, Inc. Bridging a virtual clone of a target device in a honey network to a suspicious device in an enterprise network
US10044675B1 (en) 2014-09-30 2018-08-07 Palo Alto Networks, Inc. Integrating a honey network with a target network to counter IP and peer-checking evasion techniques
US9542554B1 (en) 2014-12-18 2017-01-10 Palo Alto Networks, Inc. Deduplicating malware
US9805193B1 (en) 2014-12-18 2017-10-31 Palo Alto Networks, Inc. Collecting algorithmically generated domains
US10417031B2 (en) * 2015-03-31 2019-09-17 Fireeye, Inc. Selective virtualization for security threat detection
GB2539705B (en) 2015-06-25 2017-10-25 Aimbrain Solutions Ltd Conditional behavioural biometrics
JP6631118B2 (ja) 2015-09-18 2020-01-15 富士通株式会社 ネットワーク保護装置、ネットワーク保護方法、ネットワーク保護プログラム及び情報処理システム
JP6687844B2 (ja) * 2016-04-13 2020-04-28 富士通株式会社 マルウエア解析装置、マルウエア解析方法及びマルウエア解析プログラム
US10938781B2 (en) 2016-04-22 2021-03-02 Sophos Limited Secure labeling of network flows
US11277416B2 (en) 2016-04-22 2022-03-15 Sophos Limited Labeling network flows according to source applications
US10986109B2 (en) * 2016-04-22 2021-04-20 Sophos Limited Local proxy detection
US11165797B2 (en) 2016-04-22 2021-11-02 Sophos Limited Detecting endpoint compromise based on network usage history
US11102238B2 (en) 2016-04-22 2021-08-24 Sophos Limited Detecting triggering events for distributed denial of service attacks
GB2552032B (en) 2016-07-08 2019-05-22 Aimbrain Solutions Ltd Step-up authentication
US10356113B2 (en) 2016-07-11 2019-07-16 Korea Electric Power Corporation Apparatus and method for detecting abnormal behavior
US10198122B2 (en) 2016-09-30 2019-02-05 Biocatch Ltd. System, device, and method of estimating force applied to a touch surface
US10715548B2 (en) 2016-10-17 2020-07-14 Akamai Technologies, Inc. Detecting device masquerading in application programming interface (API) transactions
US10579784B2 (en) 2016-11-02 2020-03-03 Biocatch Ltd. System, device, and method of secure utilization of fingerprints for user authentication
JP2018081514A (ja) * 2016-11-17 2018-05-24 株式会社日立ソリューションズ マルウェアの解析方法及び記憶媒体
US10397262B2 (en) 2017-07-20 2019-08-27 Biocatch Ltd. Device, system, and method of detecting overlay malware
CN107864156B (zh) * 2017-12-18 2020-06-23 东软集团股份有限公司 Syn攻击防御方法和装置、存储介质
US11010474B2 (en) 2018-06-29 2021-05-18 Palo Alto Networks, Inc. Dynamic analysis techniques for applications
US10956573B2 (en) 2018-06-29 2021-03-23 Palo Alto Networks, Inc. Dynamic analysis techniques for applications
CN110866250A (zh) * 2018-12-12 2020-03-06 哈尔滨安天科技集团股份有限公司 一种病毒防御方法、装置及电子设备
US11522905B2 (en) 2019-09-11 2022-12-06 International Business Machines Corporation Malicious virtual machine detection
US11196765B2 (en) 2019-09-13 2021-12-07 Palo Alto Networks, Inc. Simulating user interactions for malware analysis
US11271907B2 (en) 2019-12-19 2022-03-08 Palo Alto Networks, Inc. Smart proxy for a large scale high-interaction honeypot farm
US11265346B2 (en) 2019-12-19 2022-03-01 Palo Alto Networks, Inc. Large scale high-interactive honeypot farm
RU2738337C1 (ru) 2020-04-30 2020-12-11 Общество С Ограниченной Ответственностью "Группа Айби" Система и способ обнаружения интеллектуальных ботов и защиты от них
US11269991B2 (en) * 2020-06-22 2022-03-08 Bank Of America Corporation System for identifying suspicious code in an isolated computing environment based on code characteristics
US11880461B2 (en) 2020-06-22 2024-01-23 Bank Of America Corporation Application interface based system for isolated access and analysis of suspicious code in a computing environment
US11797669B2 (en) 2020-06-22 2023-10-24 Bank Of America Corporation System for isolated access and analysis of suspicious code in a computing environment
US11636203B2 (en) 2020-06-22 2023-04-25 Bank Of America Corporation System for isolated access and analysis of suspicious code in a disposable computing environment
US11574056B2 (en) * 2020-06-26 2023-02-07 Bank Of America Corporation System for identifying suspicious code embedded in a file in an isolated computing environment
US11606353B2 (en) 2021-07-22 2023-03-14 Biocatch Ltd. System, device, and method of generating and utilizing one-time passwords
CN113626829A (zh) * 2021-08-10 2021-11-09 中国科学院软件研究所 基于漏洞情报的智能终端操作系统漏洞修复方法及系统
CN116796308B (zh) * 2023-02-03 2024-04-12 安芯网盾(北京)科技有限公司 一种基于Linux内核的伪装进程可执行程序检测方法及装置
CN116244757A (zh) * 2023-03-15 2023-06-09 武汉天楚云计算有限公司 一种计算机设备监测警报方法

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100609710B1 (ko) 2004-11-25 2006-08-08 한국전자통신연구원 이상 트래픽 분석을 위한 네트워크 시뮬레이션 장치 및 그방법

Family Cites Families (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040064737A1 (en) 2000-06-19 2004-04-01 Milliken Walter Clark Hash-based systems and methods for detecting and preventing transmission of polymorphic network worms and viruses
US7437766B2 (en) * 2002-10-03 2008-10-14 Sandia National Laboratories Method and apparatus providing deception and/or altered operation in an information system operating system
US10043008B2 (en) * 2004-10-29 2018-08-07 Microsoft Technology Licensing, Llc Efficient white listing of user-modifiable files
US7603712B2 (en) * 2005-04-21 2009-10-13 Microsoft Corporation Protecting a computer that provides a Web service from malware
US7941850B1 (en) * 2005-12-23 2011-05-10 Symantec Corporation Malware removal system and method
KR100765340B1 (ko) 2006-03-30 2007-10-09 지니네트웍스(주) 가상의 인라인 네트워크 보안방법
KR100799302B1 (ko) 2006-06-21 2008-01-29 한국전자통신연구원 시스템 이벤트 정보를 이용한 은닉 프로세스 탐지 시스템및 방법
WO2008023423A1 (fr) * 2006-08-24 2008-02-28 Duaxes Corporation Système de gestion de communication et procédé de gestion de communication associé
US20080141376A1 (en) * 2006-10-24 2008-06-12 Pc Tools Technology Pty Ltd. Determining maliciousness of software
JP2008176352A (ja) * 2007-01-16 2008-07-31 Lac Co Ltd コンピュータプログラム、コンピュータ装置、及び動作制御方法
JP4938576B2 (ja) * 2007-07-24 2012-05-23 日本電信電話株式会社 情報収集システムおよび情報収集方法
US8214895B2 (en) * 2007-09-26 2012-07-03 Microsoft Corporation Whitelist and blacklist identification data
JP4972046B2 (ja) * 2008-07-14 2012-07-11 日本電信電話株式会社 アクセス監視システムおよびアクセス監視方法
JP2010134536A (ja) * 2008-12-02 2010-06-17 Ntt Docomo Inc パタンファイル更新システム、パタンファイル更新方法、及びパタンファイル更新プログラム
KR100927240B1 (ko) 2008-12-29 2009-11-16 주식회사 이글루시큐리티 가상환경을 통한 악성코드탐지방법
US8353037B2 (en) * 2009-12-03 2013-01-08 International Business Machines Corporation Mitigating malicious file propagation with progressive identifiers
US9501644B2 (en) * 2010-03-15 2016-11-22 F-Secure Oyj Malware protection

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100609710B1 (ko) 2004-11-25 2006-08-08 한국전자통신연구원 이상 트래픽 분석을 위한 네트워크 시뮬레이션 장치 및 그방법

Also Published As

Publication number Publication date
EP2383671A1 (en) 2011-11-02
JP2011233125A (ja) 2011-11-17
KR20110119929A (ko) 2011-11-03
US8813226B2 (en) 2014-08-19
JP5094928B2 (ja) 2012-12-12
US20110271342A1 (en) 2011-11-03

Similar Documents

Publication Publication Date Title
KR101122646B1 (ko) 위장 가상 머신 정보를 이용한 인텔리전트 봇 대응 방법 및 장치
US8819835B2 (en) Silent-mode signature testing in anti-malware processing
RU2698776C2 (ru) Способ ведения базы данных и соответствующий сервер
RU2531861C1 (ru) Система и способ оценки вредоносности кода, исполняемого в адресном пространстве доверенного процесса
JP5326062B1 (ja) 非実行ファイル検査装置及び方法
US8079030B1 (en) Detecting stealth network communications
US9135443B2 (en) Identifying malicious threads
JP5265061B1 (ja) 悪意のあるファイル検査装置及び方法
US9239922B1 (en) Document exploit detection using baseline comparison
US20160196428A1 (en) System and Method for Detecting Stack Pivot Programming Exploit
GB2485622A (en) Server detecting malware in user device.
EP3270317A1 (en) Dynamic security module server device and operating method thereof
CN114065196A (zh) Java内存马检测方法、装置、电子设备与存储介质
CN113190838A (zh) 一种基于表达式的web攻击行为检测方法及系统
KR101588542B1 (ko) 멀웨어 위험 스캐너
US9219728B1 (en) Systems and methods for protecting services
CN110348180B (zh) 一种应用程序启动控制方法和装置
CN109495436B (zh) 一种可信云平台度量系统及方法
CN105791221B (zh) 规则下发方法及装置
US20120246723A1 (en) Windows kernel alteration searching method
KR20200052524A (ko) 위장 프로세스를 이용한 랜섬웨어 행위 탐지 및 방지 장치, 이를 위한 방법 및 이 방법을 수행하는 프로그램이 기록된 컴퓨터 판독 가능한 기록매체
CN111444510A (zh) 基于虚拟机实现的cpu漏洞检测方法及系统
CN113886826A (zh) 一种基于恶意软件反沙箱特性的威胁防御方法及系统
CN112395617A (zh) 防护docker逃逸漏洞的方法、装置、存储介质及计算机设备
CN113504971B (zh) 基于容器的安全拦截方法及系统

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20141224

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20151224

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20161227

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20180102

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20181226

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20191210

Year of fee payment: 9