KR101174635B1 - 자동화된 악성코드 긴급대응 시스템 및 방법 - Google Patents

자동화된 악성코드 긴급대응 시스템 및 방법 Download PDF

Info

Publication number
KR101174635B1
KR101174635B1 KR1020100058551A KR20100058551A KR101174635B1 KR 101174635 B1 KR101174635 B1 KR 101174635B1 KR 1020100058551 A KR1020100058551 A KR 1020100058551A KR 20100058551 A KR20100058551 A KR 20100058551A KR 101174635 B1 KR101174635 B1 KR 101174635B1
Authority
KR
South Korea
Prior art keywords
malicious code
client
sample
vulnerability
infected
Prior art date
Application number
KR1020100058551A
Other languages
English (en)
Other versions
KR20110027547A (ko
Inventor
김준섭
Original Assignee
(주)이스트소프트
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)이스트소프트 filed Critical (주)이스트소프트
Publication of KR20110027547A publication Critical patent/KR20110027547A/ko
Application granted granted Critical
Publication of KR101174635B1 publication Critical patent/KR101174635B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/568Computer malware detection or handling, e.g. anti-virus arrangements eliminating virus, restoring damaged files
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 자동화된 악성코드 긴급대응 시스템 및 방법에 관한 것으로서, 보다 상세하게는 악성코드의 위협으로부터 능동적으로 사전 방역하기 위한 자동화된 샘플 수집과 조기 탐지 및 대응에 관련된 자동화된 악성코드 긴급대응 시스템 및 방법에 관한 것이다.
본 발명에 따르면 조기 탐지 과정부터 샘플 수집 및 대응까지 전 과정을 자동화 시스템을 통해 처리해 악성코드로 인한 정보 시스템의 다운타임(Downtime)을 크게 줄일 수 있으며, 대규모로 감염?확산되는 악성코드를 조기에 판별해내고, 경보를 통해 피해 규모를 최소화할 수 있다.

Description

자동화된 악성코드 긴급대응 시스템 및 방법{THE AUTOMATED DEFENSE SYSTEM FOR THE MALICIOUS CODE AND THE METHOD THEREOF}
본 발명은 자동화된 악성코드 긴급대응 시스템 및 방법에 관한 것으로서, 보다 상세하게는 악성코드의 위협으로부터 능동적으로 사전 방역하기 위한 자동화된 샘플 수집과 조기 탐지 및 대응에 관련된 자동화된 악성코드 긴급대응 시스템 및 방법에 관한 것이다.
새로운 신종 악성코드가 광범위하게 전파되었을 때 기존의 안티바이러스 제품들은 샘플 채취 시작과정부터 전 과정이 사람(악성코드 분석가)의 수동적인 지시에 의해서만 수행된다.
그러므로, 대규모 정보 시스템 환경에서는 이러한 구조로는 효과적인 대응이 어려우며, 방역 대응에 시간이 오래 소모되게 된다.
또한, 신종 악성코드가 출현하였을 경우 원하는 특정 모집단에서 샘플을 추출하기 위해서는 모집단 범위를 사람이 직접 선정해야 되고, 모집단 선정 후에 샘플 추출 과정에서는 사람이 수동으로 직접 방문 혹은 원격으로 샘플 추출 작업을 가해야 한다.
게다가 기존에 알려지지 않은 신종 악성코드 감염?확산 징후 포착이 중앙의 어떠한 특정 시스템으로 보고되지 않기 때문에 사전에 예방조치는 전혀 불가능하게 된다.
또한 PC와 서버, 네트워크 인프라의 가용성을 저해하는 악성코드에 대해서 기존에는 초동 탐지부터 조치에 관련된 방역 활동까지 모두 사람의 손을 거쳐야 하기 때문에 대응 시간이 오래 걸리고 시간에 오래 소모될수록 정보시스템 중단으로 인한 피해는 기하급수적으로 증가하게 된다.
전술한 문제점을 해결하기 위한 본 발명은 조기 탐지 과정부터 샘플 수집 및 대응까지 전 과정을 자동화 시스템을 통해 처리함으로써 악성코드로 인한 정보시스템의 다운타임(downtime)을 획기적으로 줄여 피해 규모를 크게 경감시킬 수 있도록 하는 자동화된 악성코드 긴급대응 시스템 및 방법을 제공하는 것을 목적으로 한다.
또한 본 발명은 클라이언트 PC의 시스템이나 OS에 악성코드에 대한 취약점이 존재하는 경우, 사전에 이를 인지하여 DB에 저장하고, 긴급 패치를 실시함으로써 악성코드에 의한 피해를 사전에 예방할 수 있도록 하는 자동화된 악성코드 긴급대응 시스템 및 방법을 제공하는 것을 목적으로 한다.
또한 본 발명은 악성코드가 급격히 확산되는 것을 실시간으로 탐지하고, 급격히 확산되는 악성코드에 대하여 사용자들이 주의를 기울일 수 있도록 SMS나 E-mail로 긴급 경보를 발령할 수 있도록 하는 자동화된 악성코드 긴급대응 시스템 및 방법을 제공하는 것을 목적으로 한다.
전술한 문제점을 해결하기 위해 안출된 본 발명은 네트워크를 통해 접속한 클라이언트 PC(200)에 악성코드가 설치되어 있는지를 판단하고, 상기 악성코드를 분석하여 상기 클라이언트 PC(200)에 경보를 발령함과 동시에 새로운 바이러스 백신을 업데이트하는 시스템으로서, 상기 클라이언트 PC(200)와의 통신과 하부 시스템들을 통합적으로 연계하며, 중앙에서 1차로 상기 클라이언트 PC(200)와의 송/수신 내용을 파악하여 상기 하부 시스템들에 분배하는 게이트웨이(102)와; 상기 클라이언트 PC(200)가 악성코드에 감염된 것으로 의심될만한 시스템 변경 사항이 상기 클라이언트 PC(200)에 발생할 경우, 상기 클라이언트 PC(200)의 시스템 및 OS 주요 설정값을 호출하는 사전분석 시스템(104)과; 상기 클라이언트 PC(200)의 특정 모집단에 대하여 상기 악성코드의 샘플을 요구하거나, 상기 사전분석 시스템(104)에 의해 악성코드인 것으로 의심되는 프로그램의 샘플을 추출하는 샘플수집 시스템(106)과; 상기 악성코드의 주요 감염 통로인 취약점에 대한 정보를 데이터베이스로 구축하고, 상기 클라이언트 PC(200)에 취약점이 발견되었을 경우, 보안 패치 수행을 유도하여 취약점으로 인한 악성코드의 확산을 막는 취약점대응 시스템(108)과; 다수의 클라이언트 PC(200) 중에서 특정 악성코드에 감염된 클라이언트 PC(200)의 수를 실시간으로 감시하여 사용자에게 SMS 또는 E-mail로 긴급 경보를 발령하고, 수집된 악성코드의 정보를 기반으로 주기적인 탐지 리포트를 생성하는 탐지정보 시스템(110);을 포함한다.
악성코드에 감염된 것으로 의심될만한 시스템 변경 사항이란 윈도우 시스템 폴더 내의 시스템 파일들이 변형되는 경우, 윈도우 시스템 폴더 내에 출처가 불분명한 파일이 추가되는 경우, 시스템 시작시 자동으로 실행되는 레지스트리 영역에 실행 프로그램 경로가 등록되는 경우, 시스템 시작시 자동으로 실행되는 레지스트리 영역 중 접근이 불가능한 항목이 존재하는 경우, 새로운 서비스 프로그램 또는 디바이스 드라이버가 등록되는 경우, 시스템 설정을 변경하여 작업관리자나 레지스트리 편집기의 실행을 막는 경우 중 어느 하나가 발생한 것을 의미한다.
상기 탐지정보 시스템(100)은 특정 악성코드에 감염된 클라이언트 PC(200)의 수가 증가하는 경우에 긴급 경보를 발령하는 것을 특징으로 한다.
다른 실시예에 따른 본 발명은 네트워크를 통해 접속한 클라이언트 PC(200)에 악성코드가 설치되어 있는지를 판단하고, 상기 악성코드를 분석하여 상기 클라이언트 PC(200)에 경보를 발령함과 동시에 새로운 바이러스 백신을 업데이트하는 방법으로서, 상기 클라이언트 PC(200)가 악성코드에 감염된 것으로 의심될만한 시스템 변경 사항이 상기 클라이언트 PC(200)에 발생할 경우, 상기 클라이언트 PC(200)에 설치된 안티바이러스 프로그램이 시스템 및 OS 주요 설정값을 호출하여 사전분석 시스템(104)으로 전송하는 단계와; 상기 시스템 및 OS 주요 설정값에 대한 사전분석 결과, 악성코드로 의심될만한 특징이 있는 경우, 샘플수집 시스템(106)에 악성코드의 샘플을 추출하여 수집할 것을 요청하는 단계와; 상기 샘플수집 시스템(106)이 다수의 클라이언트 PC(200) 중에서 특정 모집단을 선정하여 악성코드 샘플을 추출한 후, 추출된 샘플을 저장하는 단계와; 사전분석 시스템(104)이 추출된 샘플을 분석하여 기존에 등록된 악성코드와 유사한지를 판단하는 단계와; 추출된 악성코드 샘플이 기존에 등록되어 있지 않은 악성코드의 샘플이라면 악성코드 전체를 분석하고, 분석된 악성코드의 패턴과 특징을 바이러스 백신에 시그니처 등록을 하고, 바이러스 백신을 업데이트하는 단계와; 업데이트된 바이러스 백신을 클라이언트 PC(200)에 배포하는 단계;를 포함한다.
악성코드에 감염된 것으로 의심될만한 시스템 변경 사항이란 윈도우 시스템 폴더 내의 시스템 파일들이 변형되는 경우, 윈도우 시스템 폴더 내에 출처가 불분명한 파일이 추가되는 경우, 시스템 시작시 자동으로 실행되는 레지스트리 영역에 실행 프로그램 경로가 등록되는 경우, 시스템 시작시 자동으로 실행되는 레지스트리 영역 중 접근이 불가능한 항목이 존재하는 경우, 새로운 서비스 프로그램 또는 디바이스 드라이버가 등록되는 경우, 시스템 설정을 변경하여 작업관리자나 레지스트리 편집기의 실행을 막는 경우 중 어느 하나가 발생한 것을 의미한다.
상기 안티바이러스 프로그램이 호출하는 시스템 및 OS 주요 설정값은 시스템 파일 리스트, 레지스트리값, 시작 파일 리스트 중의 어느 하나 이상을 포함한다.
상기 클라이언트 PC(200)에서 악성코드가 발견된 경우, 상기 악성코드의 실시간 전파 현황을 분석하는 단계와; 특정 악성코드에 감염된 클라이언트 PC(200)의 수가 증가하는 경우에 사용자들에게 SMS 또는 E-mail로 긴급 경보를 발령하는 단계;를 추가로 포함한다.
본 발명에 따르면 조기 탐지 과정부터 샘플 수집 및 대응까지 전 과정을 자동화 시스템을 통해 처리해 악성코드로 인한 정보 시스템의 다운타임(Downtime)을 크게 줄일 수 있으며, 대규모로 감염?확산되는 악성코드를 조기에 판별해내고, 경보를 통해 피해 규모를 최소화할 수 있다.
또한 취약점 대응 시스템에 취약점 정보를 데이터베이스로 구축하여 클라이언트 PC에 취약점이 발견되었을 경우 패치 수행을 유도하여 취약점을 이용한 악성코드 확산을 막을 수 있다.
또한 다양한 조건을 이용해서 악성코드 샘플을 자동으로 수집함으로써 샘플 수집 시간을 단축할 수 있으며 이를 통해서 샘플 수집이 늦어져서 악성코드 분석 작업이 지연되는 것을 막을 수 있다.
기존의 안티바이러스 제품들은 시그니처(Signature)로 등록된 악성코드에 대해서만 사후 대응이 가능하지만, 본 시스템을 통해 신종 악성코드인 경우에도 악성코드가 감염 시 수반되는 시스템 변경 사항 데이터를 기반으로 조기 파악 및 대응이 가능하다.
도 1은 본 발명의 실시예에 따른 긴급대응 시스템의 구성과 연결상태를 나타낸 블럭도.
도 2와 3은 악성코드 사전분석과 샘플수집 절차를 나타낸 순서도.
도 4는 취약점 분석 절차를 나타낸 순서도.
도 5는 탐지정보 분석 절차를 나타낸 순서도.
이하에서 도면을 참조하여 본 발명의 실시예에 따른 자동화된 악성코드 긴급대응 시스템 및 방법(이하, '긴급대응 시스템' 및 '긴급대응 방법'이라 함)을 설명한다.
도 1은 본 발명의 실시예에 따른 긴급대응 시스템의 구성과 연결상태를 나타낸 블럭도이다.
본 발명의 긴급대응 시스템(100)은 게이트웨이(Gateway; 102)와 하부 시스템들인 사전분석 시스템(104), 샘플수집 시스템(106), 취약점대응 시스템(108), 탐지정보 시스템(110)이 통합적으로 구성된다.
게이트웨이(102)는 클라이언트 PC(200)와의 통신과 하부 시스템들을 통합적으로 연계하는 구성으로서, 중앙에서 1차로 클라이언트 PC(200)와의 송/수신 내용을 파악하여 효율적으로 하부 시스템들에 분배하는 역할을 한다.
사전분석시스템은 클라이언트 PC가 악성코드에 감염된 것으로 의심될 만한 PC의 시스템 변경 사항을 자동으로 파악하여 긴급대응시스템으로 보고하는 구성이다.
사전분석 시스템(104)은 클라이언트 PC(200)의 운영체제(OS; Operating System)에서 중요한 설정 등에 대해 변경이 발생할 경우, 이를 감지하여 악성코드 감염 여부를 분석한다. 클라이언트 PC(200)에는 악성코드 사전 분석과 탐지를 위한 프로그램이 설치될 수 있으며, 클라이언트 PC(200)에 설치된 프로그램은 시스템의 중요한 설정 변경이 있을 경우, 사용자의 동의를 거쳐 사전분석 시스템(104)에 변경 내용을 보고한다.
운영체제의 중요한 설정 변경으로는 여러 가지가 있으나, 윈도우 시스템 설정 변경, 윈도우 시스템과 관련된 폴더 내의 파일 변경, 윈도우 주요 레지스트리의 변경 등이 대표적인 예이다.
또한 사전분석 시스템(104)은 신종 악성코드나 대규모 감염?확산으로 의심되는 설정 변경일 경우, 샘플수집 시스템(106)과 연계해서 악성코드 샘플 수집을 진행하게 한다. 이러한 경우로는 불특정 다수의 사용자에게 동일한 시스템 변경이 일어난 경우가 해당한다.
샘플수집 시스템(106)은 클라이언트 PC(200)의 특정 모집단에 대한 샘플 요구 혹은 사전분석 시스템(104)에 의해 의심되는 샘플을 추출하는 구성으로서, 샘플 수집이 필요한 경우 다양한 조건(IP, PC를 구분할 수 있는 키값. 파일명, 레지스트리 경로, MD5 해쉬 정보 등)에 따라 특정 모집단을 설정하거나 사전분석 시스템(104)에 의해 의심되는 샘플을 사용자의 동의를 거쳐 추출해 수집한다.
사전분석 시스템(104)에 의해 수집된 악성코드 샘플은 악성코드 분석팀에 전달되어 실제 PC에 피해를 줄 수 있는 악성코드인지를 판단한다. 사전분석 시스템(104)에 의해서 자동적으로 분석되는 악성코드 이외에 실제 샘플이 수집되어야만 정확한 분석이 필요한 경우가 있다.
악성코드 분석팀에서 샘플 수집이 필요하다고 생각되는 경우는 수집된 시스템 변경 사항 정보만으로는 판단하기 어려운 경우이다.
즉, 수집된 정보로 볼 때 악성코드로 의심이 되지만 실제로 악성코드인지를 판단하기 위해서는 악성코드의 실행 파일 및 관련 모듈이 필요하다. 이 파일들이 있어야 분석팀에서 각종 분석 툴(악성코드 동작을 모니터링 할 수 있는 모니터링 툴, 실행 파일을 리버싱해서 코드를 분석할 수 있는 툴)을 사용하여 분석하고 이를 통해 최종적으로 악성코드 여부를 판단하고 치료 패턴을 생성하게 된다.
치료패턴을 생성하는 경우 파일에 대한 패턴과 레지스트리에 대한 패턴을 모두 등록하게 되는데, 이를 위해 악성코드로 의심되는 파일의 샘플이 필요하게 된다.
악성코드가 원하는 동작을 수행하기 위해서는 시스템 관리자 권한을 얻거나 시스템 시작시 자동으로 실행되어야 한다. 이를 위한 여러 가지 행위들을 하게 되는데 이런 행위들을 모니터링하여 악성코드 감염을 의심할 수 있다.
구체적으로는 아래의 동작이 발생하는 경우 악성코드 감염을 의심해 볼 수 있다.
①윈도우 시스템 폴더 내의 시스템 파일들이 변형되는 경우(시스템 파일을 변형 시켜서 악성코드가 악용할 수 있도록 함)
②윈도우 시스템 폴더 내에 출처가 불분명한 파일이 추가되는 경우(파일에 인증서 정보가 없거나 제작사가 불분명한 경우)
③시스템 시작시 자동으로 실행되는 레지스트리 영역에 실행 프로그램 경로가 등록되는 경우
④시스템 시작시 자동으로 실행되는 레지스트리 영역 중 접근이 불가능한 항목이 존재하는 경우(악성코드가 접근을 차단했을 경우)
⑤새로운 서비스 프로그램 또는 디바이스 드라이버가 등록되는 경우
⑥시스템 설정을 변경하여 작업관리자나 레지스트리 편집기 등의 실행을 막는 경우
이 외에도 일반적인 프로그램이 하지 않는 시스템 변경 행위가 발생하는 것을 모니터링하여 악성코드 감염 가능성을 판단할 수 있다.
취약점대응 시스템(108)은 악성코드의 주요 감염 통로인 취약점을 자동으로 제거해주는 구성으로서, 취약점 정보를 데이터베이스로 구축하여 클라이언트 PC(200)에 취약점이 발견되었을 경우 보안 패치 수행을 유도하여 취약점으로 인한 악성코드의 확산을 막는다.
탐지정보 시스템(110)은 악성코드의 출현, 확산을 조기에 탐지하고 경보를 발령하는 구성으로서, 클라이언트 PC(200)의 특정 악성코드에 대한 감염자 수, 클라이언트 PC(200)에 설치된 안티바이러스 프로그램의 실시간 감시를 통해 검출된 악성코드의 정보를 수집하고, 수집된 정보를 기반으로 시간/일간/월간/연간으로 탐지 리포트를 생성한다.
또한, 실시간 통계 데이터 분석을 통해서 급격히 확산되고 있는 악성코드를 판별하여 관련자 및 유관기관 담당자에게 SMS, E-mail 등의 통신 매체를 통해서 정보를 공유하고, 필요한 경우 클라이언트 PC(200)에 설치된 안티바이러스 프로그램으로도 관련 경보를 발령한다.
한편, 도 2와 3은 악성코드 사전분석과 샘플수집 절차를 나타낸 순서도이다.
먼저 클라이언트 PC(200)에 안티바이러스 프로그램을 설치한다.(S102)
안티바이러스 프로그램은 클라이언트 PC(200)에 중요한 변경이 일어나는지를 감시한다.(S104)
클라이언트 PC(200)에 악성코드 감염이 의심되는 증상이 발생하면, 안티바이러스 프로그램은 시스템 및 OS 주요 설정값을 호출한다.(S106) 호출하는 주요 설정값은 시스템 파일 리스트, 레지스트리값, 시작 파일 리스트 등을 포함한다.
안티바이러스 프로그램은 클라이언트 PC(200)의 사용자에게 호출된 설정값을 긴급대응 시스템(100)으로 전송할지를 문의한다.(S108)
사용자가 전송에 동의할 경우, 안티바이러스 프로그램은 호출된 설정값을 긴급대응 시스템(100)의 게이트웨이(102)로 전송한다.(S110)
게이트웨이(102)는 입력된 설정값을 사전분석 시스템(104)으로 다시 전송한다.(S112)
사전분석 시스템(104)은 입력된 설정값을 분석하여 악성코드로 의심될만한 특징이 있는지를 판단한다.(S114)
분석 결과, 설정값의 변경이 악성코드로 인한 것으로 의심될 경우에는 샘플수집 시스템(106)에 악성코드의 샘플을 추출하여 수집할 것을 요청한다.(S116)
샘플수집 시스템(106)은 추출 대상이 될 샘플을 지정한다.(S118) 먼저 악성코드가 발견될 가능성이 큰 모집단을 선정한 후, 그 모집단에서 악성코드로 의심될만한 샘플을 추출한다. 가장 효율적인 모집단 선정을 위해서 특정 IP를 사용하는 클라이언트 PC(200)를 선택할 수도 있고, 특정 파일을 공통적으로 가지고 있는 클라이언트 PC(200)를 선택할 수도 있다. 이밖에도 동일한 형태의 레지스트리 변경이 일어난 것들을 대상으로 할 수도 있을 것이다.
모집단 선정 조건이 확정되면 샘플수집 시스템(106)은 악성코드 샘플을 추출해 줄 것을 게이트웨이(102)에 요청한다.(S120)
게이트웨이(102)는 모집단에 속하는 클라이언트 PC(200)에 악성코드 샘플을 추출할 것을 요청한다.(S122)
클라이언트 PC(200)의 안티바이러스 프로그램은 악성코드 샘플을 추출하여 게이트웨이(102)에 전송하며, 게이트웨이(102)는 추출된 샘플을 샘플수집 시스템(106)에 전송하여 저장한다.(S124, S126)
사전분석 시스템(104)은 추출된 샘플을 분석하여 기존에 등록된 악성코드와 유사한지를 판단한다.(S128)
악성코드인지를 판단하는 것은 추출된 샘플의 동작 특성이 시스템이나 OS에 영향을 주는지와 윈도우 시스템의 중요 설정을 무단으로 변경하는지 등을 기초로 한다.
추출된 샘플이 기존에 감지되어 등록된 악성코드라면 별도의 추가 조치를 취하지 않고 분석 과정을 종료하지만, 미등록된 악성코드라면 진짜 악성코드인지를 다시 한 번 검사한다.(S130)
검사결과 악성코드가 아닌 것으로 판명되면 화이트리스트(악성코드가 아닌 프로그램의 리스트)에 샘플을 등록하고 종료한다.(S132)
검사결과 악성코드인 것으로 판명되면 악성코드 분석팀에 악성코드 전체에 대한 분석을 요청한다.(S134)
그리고 분석된 악성코드의 패턴과 특징을 바이러스 백신에 시그니처 등록을 하고, 바이러스 백신을 업데이트한 후, 클라이언트 PC(200)에 배포한다.(S136, S138)
도 4는 취약점 분석 절차를 나타낸 순서도이다.
클라이언트 PC(200)에 악성코드 감염의 통로가 되는 취약점이 존재할 경우, 취약점대응 시스템(108)은 이를 발견하여 실시간으로 보안 패치를 실행한다.
먼저 클라이언트 PC(200)에 설치된 안티바이러스 프로그램이 시스템 정보를 불러온다.(S202)
안티바이러스 프로그램은 호출된 시스템 정보를 취약점대응 시스템(108)으로 전송한다.(S204)
취약점대응 시스템(108)은 시스템 정보를 분석하여 기존의 악성코드 또는 새로 발견된 악성코드가 감염될 수 있는 취약점이 있는지를 판단한다.(S206)
클라이언트 PC(200)의 시스템 정보에 취약점이 존재하는 경우, 보안 패치를 할 필요가 있다는 내용의 안내를 표시하여 사용자에게 고지한다.(S208)
취약점대응 시스템(108)은 관련 패치를 클라이언트 PC(200)에 전송하여 보안 패치를 실행한다.(S210)
보안 패치가 완료되면 취약점 정보 및 패치 현황을 기록하여 취약점대응 시스템(108) 내부의 DB에 저장한다.(S212) 그리고 취약점 리포트를 작성하여 관리자 또는 사용자에게 제공한다.(S214)
한편, 도 5는 탐지정보 분석 절차를 나타낸 순서도이다.
탐지정보 분석 절차란 새로운 또는 기존의 악성코드가 급격히 많은 사용자들에게 퍼져나가고 있는지를 감시하여 긴급 경보를 발령하는 등의 조치를 취하기 위한 절차이다.
먼저 탐지정보 시스템(110)은 클라이언트 PC(200)에 악성코드가 존재하는지를 감시한다.(S302) 실제로 악성코드의 감시는 클라이언트 PC(200)에 설치된 안티바이러스 프로그램에 의해 이루어질 것이다.
클라이언트 PC(200)에 악성코드가 발견되면, 안티바이러스 프로그램은 악성코드의 정보를 추출하여 게이트웨이(102)를 통해 탐지정보 시스템(110)에 전송한다.(S304, S306, S308)
발견된 악성코드가 기존에 등록된 것일 때에는 저장된 악성코드 DB에서 정보를 호출하여 대응되는 조치를 취하게 되지만, 새로운 것일 때에는 전술한 사전분석 절차와 샘플수집 절차를 통해 악성코드를 분석한 후, 적절한 백신 업데이트를 실행하게 될 것이다.
탐지정보 시스템(110)은 악성코드 정보를 실시간 탐지정보 DB에 저장하고, 실시간 전파 현황을 분석한다.(S310, S312)
실시간 전파 현황은 특정 악성코드에 대한 감염자 수, 시간당 감염자 증가율, 대량 감염이 이루어지는 경로 등에 대한 정보를 포함할 수 있다.
탐지정보 시스템(110)의 분석결과, 급격한 확산이 이루어지고 있는 것으로 판단될 경우, 사용자들에게 긴급 경보를 발령하여 추가적인 감염과 2차적인 피해가 생기지 않도록 조치한다.(S314, S316) 긴급 경보는 SMS나 E-mail 등의 방법을 사용할 수 있으며, 이외에도 다양한 방식의 경보가 가능하다.
악성코드가 급격하게 확산되는 상태는 아니어서 긴급 경보를 발령할 필요가 없는 경우에는 실시간 악성코드 탐지 리포트를 작성하는 것으로 절차를 종료한다.(S318)
이상 첨부된 도면을 참조하여 본 발명의 바람직한 실시예를 설명하였지만, 상술한 본 발명의 기술적 구성은 본 발명이 속하는 기술 분야의 당업자가 본 발명의 그 기술적 사상이나 필수적 특징을 변경하지 않고서 다른 구체적인 형태로 실시될 수 있다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적인 것이 아닌 것으로서 이해되어야 하고, 본 발명의 범위는 상기 상세한 설명보다는 후술하는 특허청구범위에 의하여 나타내어지며, 특허청구범위의 의미 및 범위 그리고 그 등가 개념으로부터 도출되는 모든 변경 또는 변형된 형태가 본 발명의 범위에 포함되는 것으로 해석되어야 한다.
100 : 긴급대응 시스템 102 : 게이트웨이
104 : 사전분석 시스템 106 : 샘플수집 시스템
108 : 취약점대응 시스템 110 : 탐지정보 시스템
200 : 클라이언트 PC

Claims (7)

  1. 네트워크를 통해 접속한 클라이언트 PC(200)에 악성코드가 설치되어 있는지를 판단하고, 상기 악성코드를 분석하여 상기 클라이언트 PC(200)에 경보를 발령함과 동시에 새로운 바이러스 백신을 업데이트하는 시스템으로서,
    상기 클라이언트 PC(200)와의 통신과 하부 시스템들을 통합적으로 연계하며, 중앙에서 1차로 상기 클라이언트 PC(200)와의 송/수신 내용을 파악하여 상기 하부 시스템들에 분배하는 게이트웨이(102)와;
    상기 클라이언트 PC(200)가 악성코드에 감염된 것으로 의심될만한 시스템 변경 사항이 상기 클라이언트 PC(200)에 발생할 경우, 상기 클라이언트 PC(200)의 시스템 및 OS 주요 설정값을 호출하는 사전분석 시스템(104)과;
    상기 클라이언트 PC(200)의 특정 모집단에 대하여 상기 악성코드의 샘플을 요구하거나, 상기 사전분석 시스템(104)에 의해 악성코드인 것으로 의심되는 프로그램의 샘플을 추출하는 샘플수집 시스템(106)과;
    상기 악성코드의 주요 감염 통로인 취약점에 대한 정보를 데이터베이스로 구축하고, 상기 클라이언트 PC(200)에 취약점이 발견되었을 경우, 보안 패치 수행을 유도하여 취약점으로 인한 악성코드의 확산을 막는 취약점대응 시스템(108)과;
    다수의 클라이언트 PC(200) 중에서 특정 악성코드에 감염된 클라이언트 PC(200)의 수를 실시간으로 감시하여 특정 악성코드에 감염된 클라이언트 PC(200)의 수가 증가하는 경우에 사용자에게 SMS 또는 E-mail로 긴급 경보를 발령하고, 수집된 악성코드의 정보를 기반으로 주기적인 탐지 리포트를 생성하는 탐지정보 시스템(110);을 포함하며,
    상기 악성코드에 감염된 것으로 의심될만한 시스템 변경 사항이란 윈도우 시스템 폴더 내의 시스템 파일들이 변형되는 경우, 윈도우 시스템 폴더 내에 출처가 불분명한 파일이 추가되는 경우, 시스템 시작시 자동으로 실행되는 레지스트리 영역에 실행 프로그램 경로가 등록되는 경우, 시스템 시작시 자동으로 실행되는 레지스트리 영역 중 접근이 불가능한 항목이 존재하는 경우, 새로운 서비스 프로그램 또는 디바이스 드라이버가 등록되는 경우, 시스템 설정을 변경하여 작업관리자나 레지스트리 편집기의 실행을 막는 경우 중 어느 하나가 발생한 것을 의미하는, 자동화된 악성코드 긴급대응 시스템.
  2. 삭제
  3. 삭제
  4. 네트워크를 통해 접속한 클라이언트 PC(200)에 악성코드가 설치되어 있는지를 판단하고, 상기 악성코드를 분석하여 상기 클라이언트 PC(200)에 경보를 발령함과 동시에 새로운 바이러스 백신을 업데이트하는 방법으로서,
    상기 클라이언트 PC(200)가 악성코드에 감염된 것으로 의심될만한 시스템 변경 사항이 상기 클라이언트 PC(200)에 발생할 경우, 상기 클라이언트 PC(200)에 설치된 안티바이러스 프로그램이 시스템 및 OS 주요 설정값을 호출하여 사전분석 시스템(104)으로 전송하는 단계와;
    상기 시스템 및 OS 주요 설정값에 대한 사전분석 결과, 악성코드로 의심될만한 특징이 있는 경우, 상기 사전분석 시스템(104)이 샘플수집 시스템(106)에 악성코드의 샘플을 추출하여 수집할 것을 요청하는 단계와;
    상기 샘플수집 시스템(106)이 다수의 클라이언트 PC(200) 중에서 특정 모집단을 선정하고, 상기 샘플수집 시스템(106)이 악성코드 샘플을 추출하여 저장하는 단계와;
    사전분석 시스템(104)이 추출된 샘플을 분석하여 기존에 등록된 악성코드와 유사한지를 판단하는 단계와;
    추출된 악성코드 샘플이 기존에 등록되어 있지 않은 악성코드의 샘플이라면 악성코드 분석팀이 분석한 악성코드의 패턴과 특징을 취약점대응 시스템(108)이 바이러스 백신에 시그니처 등록을 하고, 바이러스 백신을 업데이트하는 단계와;
    상기 취약점대응 시스템(108)이 업데이트된 바이러스 백신을 클라이언트 PC(200)에 배포하는 단계와;
    상기 클라이언트 PC(200)에서 악성코드가 발견된 경우, 탐지정보 시스템(110)이 상기 악성코드의 실시간 전파 현황을 분석하는 단계와;
    특정 악성코드에 감염된 클라이언트 PC(200)의 수가 증가하는 경우에 상기 탐지정보 시스템(110)이 사용자들에게 SMS 또는 E-mail로 긴급 경보를 발령하는 단계;를 포함하며,
    상기 악성코드에 감염된 것으로 의심될만한 시스템 변경 사항이란 윈도우 시스템 폴더 내의 시스템 파일들이 변형되는 경우, 윈도우 시스템 폴더 내에 출처가 불분명한 파일이 추가되는 경우, 시스템 시작시 자동으로 실행되는 레지스트리 영역에 실행 프로그램 경로가 등록되는 경우, 시스템 시작시 자동으로 실행되는 레지스트리 영역 중 접근이 불가능한 항목이 존재하는 경우, 새로운 서비스 프로그램 또는 디바이스 드라이버가 등록되는 경우, 시스템 설정을 변경하여 작업관리자나 레지스트리 편집기의 실행을 막는 경우 중 어느 하나가 발생한 것을 의미하는, 자동화된 악성코드 긴급대응 방법.
  5. 삭제
  6. 제4항에 있어서,
    상기 안티바이러스 프로그램이 호출하는 시스템 및 OS 주요 설정값은
    시스템 파일 리스트, 레지스트리값, 시작 파일 리스트 중의 어느 하나 이상을 포함하는, 자동화된 악성코드 긴급대응 방법.
  7. 삭제
KR1020100058551A 2009-09-08 2010-06-21 자동화된 악성코드 긴급대응 시스템 및 방법 KR101174635B1 (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR1020090084628 2009-09-08
KR20090084628 2009-09-08

Publications (2)

Publication Number Publication Date
KR20110027547A KR20110027547A (ko) 2011-03-16
KR101174635B1 true KR101174635B1 (ko) 2012-08-17

Family

ID=43934343

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020100058551A KR101174635B1 (ko) 2009-09-08 2010-06-21 자동화된 악성코드 긴급대응 시스템 및 방법

Country Status (1)

Country Link
KR (1) KR101174635B1 (ko)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101412203B1 (ko) * 2012-12-28 2014-06-27 주식회사 안랩 악성코드 관련 긴급검사수행장치 및 악성코드 관련 긴급검사수행장치의 동작 방법
KR101483859B1 (ko) * 2013-06-07 2015-01-16 (주)이스트소프트 백신의 상태를 모니터링하는 관리시스템을 이용한 악성코드 차단방법
KR101489142B1 (ko) * 2013-07-12 2015-02-05 주식회사 안랩 클라이언트시스템 및 클라이언트시스템의 동작 방법
KR101427412B1 (ko) * 2014-04-17 2014-08-08 (주)지란지교소프트 데이터 유출 방지를 위한 악성 코드 탐색 방법 및 장치
KR102150571B1 (ko) * 2019-09-04 2020-09-01 국방과학연구소 네트워크에서 정보 출처를 확인하기 위한 장치, 방법, 컴퓨터 판독 가능 기록매체 및 컴퓨터 프로그램

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100680559B1 (ko) * 2002-11-11 2007-02-08 한국전자통신연구원 네트워크 바이러스 진단 및 치료 시스템과 방법
KR100813886B1 (ko) * 2006-10-23 2008-03-18 전자부품연구원 패킷 모니터링 기반의 무선 센서 네트워크 제어 장치 및제어 방법과 이를 실현시키기 위한 프로그램을 기록한컴퓨터로 판독 가능한 기록 매체

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100680559B1 (ko) * 2002-11-11 2007-02-08 한국전자통신연구원 네트워크 바이러스 진단 및 치료 시스템과 방법
KR100813886B1 (ko) * 2006-10-23 2008-03-18 전자부품연구원 패킷 모니터링 기반의 무선 센서 네트워크 제어 장치 및제어 방법과 이를 실현시키기 위한 프로그램을 기록한컴퓨터로 판독 가능한 기록 매체

Also Published As

Publication number Publication date
KR20110027547A (ko) 2011-03-16

Similar Documents

Publication Publication Date Title
CA2790206C (en) Automated malware detection and remediation
KR100942456B1 (ko) 클라우드 컴퓨팅을 이용한 DDoS 공격 탐지 및 차단 방법 및 서버
JP5972401B2 (ja) 攻撃分析システム及び連携装置及び攻撃分析連携方法及びプログラム
US7434261B2 (en) System and method of identifying the source of an attack on a computer network
EP2860657B1 (en) Determining a security status of potentially malicious files
Bhattacharyya et al. Met: An experimental system for malicious email tracking
EP2835948B1 (en) Method for processing a signature rule, server and intrusion prevention system
WO2014179805A1 (en) Method and apparatus for providing forensic visibility into systems and networks
WO2001084270A2 (en) Method and system for intrusion detection in a computer network
KR101174635B1 (ko) 자동화된 악성코드 긴급대응 시스템 및 방법
KR101951730B1 (ko) 지능형 지속위협 환경에서의 통합 보안 시스템
JP6523582B2 (ja) 情報処理装置、情報処理方法及び情報処理プログラム
JP2010146457A (ja) 情報処理システムおよびプログラム
JP2012064208A (ja) ネットワークウイルス防止方法及びシステム
CN111212035A (zh) 一种主机失陷确认及自动修复方法及基于此的系统
JP2007164465A (ja) クライアントセキュリティ管理システム
CN112784268A (zh) 一种主机行为数据的分析方法、装置、设备及存储介质
CN110049015B (zh) 网络安全态势感知系统
KR101022167B1 (ko) 네트워크 자산의 취약성을 고려한 침입탐지시스템의로그최적화 장치
CN115348052A (zh) 一种多维度黑名单防护方法、装置、设备及可读存储介质
KR101518233B1 (ko) 기업 내부 전산환경의 위협탐지를 위한 보안 장치
KR20150026187A (ko) 드로퍼 판별을 위한 시스템 및 방법
JP2006330926A (ja) ウィルス感染検知装置
CN115134106A (zh) 检测黑客攻击的方法及计算机程序产品
CN113381881A (zh) 一种主机监控告警处理的方法、装置

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20150810

Year of fee payment: 6