KR101188307B1 - 특정 프로세스에 대한 네트워크 행위 모니터링 시스템 및 그 방법 - Google Patents

특정 프로세스에 대한 네트워크 행위 모니터링 시스템 및 그 방법 Download PDF

Info

Publication number
KR101188307B1
KR101188307B1 KR1020100134996A KR20100134996A KR101188307B1 KR 101188307 B1 KR101188307 B1 KR 101188307B1 KR 1020100134996 A KR1020100134996 A KR 1020100134996A KR 20100134996 A KR20100134996 A KR 20100134996A KR 101188307 B1 KR101188307 B1 KR 101188307B1
Authority
KR
South Korea
Prior art keywords
tdi
local address
pid
file object
client
Prior art date
Application number
KR1020100134996A
Other languages
English (en)
Other versions
KR20120073021A (ko
Inventor
정현철
임채태
지승구
오주형
강동완
김기홍
정가람
Original Assignee
(주) 세인트 시큐리티
한국인터넷진흥원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주) 세인트 시큐리티, 한국인터넷진흥원 filed Critical (주) 세인트 시큐리티
Priority to KR1020100134996A priority Critical patent/KR101188307B1/ko
Publication of KR20120073021A publication Critical patent/KR20120073021A/ko
Application granted granted Critical
Publication of KR101188307B1 publication Critical patent/KR101188307B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F1/00Details not covered by groups G06F3/00 - G06F13/00 and G06F21/00
    • G06F1/26Power supply means, e.g. regulation thereof
    • G06F1/32Means for saving power
    • G06F1/3203Power management, i.e. event-based initiation of a power-saving mode
    • G06F1/3206Monitoring of events, devices or parameters that trigger a change in power modality
    • G06F1/3209Monitoring remote activity, e.g. over telephone lines or network connections
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/12Digital output to print unit, e.g. line printer, chain printer
    • G06F3/1201Dedicated interfaces to print systems
    • G06F3/1223Dedicated interfaces to print systems specifically adapted to use a particular technique
    • G06F3/1224Client or server resources management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation

Abstract

본 발명은 네트워크 행위 모니터링 시스템 및 그 방법에 대한 것으로서, 특히 프로세스 레벨에서 프로세스의 행위를 모니터링하여 악성 행위를 판단할 수 있는 네트워크 행위 모니터링 시스템 및 그 방법에 관한 것이다. 본 발명은 TDI 필터 드라이버에서 생성된 TDI 파일 객체에서 실질적으로 외부와 통신하는 프로세스를 파악하여 해당 프로세스의 악성 행위를 탐지할 수 있는 특정 프로세스에 대한 네트워크 행위 모니터링 시스템 및 그 방법을 제공할 수 있다.

Description

특정 프로세스에 대한 네트워크 행위 모니터링 시스템 및 그 방법{SYSTEM AND METHOD OF NETWORK ACTIVITY MONITORING TO PARTICULAR PROCESS}
본 발명은 네트워크 행위 모니터링 시스템 및 그 방법에 대한 것으로서, 특히 프로세스 레벨에서 프로세스의 행위를 모니터링하여 악성 행위를 판단할 수 있는 네트워크 행위 모니터링 시스템 및 그 방법에 관한 것이다.
종래의 악성 코드 또는 바이러스 탐지는 주로 파일의 기본적인 정보 또는 패턴 기반으로 수행되었다. 즉, 악성 코드를 탐지하고자 하는 각종 기본 정보를 데이터베이스화 시키고 이를 기반으로 모든 파일에 대한 정보와 데이터베이스에 보관하고 있는 정보를 교차 검색하여 악성 파일 여부를 파악할 수 있도록 하였다. 이와 같은 종래 기술에 의하면 악성 코드 파일의 특성을 보유하고 있는 경우 해당 악성 코드를 빠르고 정확하게 탐지 할 수 있다는 장점이 있다. 그러나, 악성 코드 파일의 특성을 보유하고 있지 않는 경우 즉, 알려지지 않은 악성 코드의 경우에는 탐지 자체가 불가능하며 기 알려진 악성 코드라도 그 변종이 발생되면 동일한 유해행위를 일으키는 악성 코드임에도 불구하고 탐지하기 어렵다는 단점이 있다.
위와 같은 현상으로 하여 근래에 악성 코드의 행위를 기반한 탐지 방법들이 개발이 되고 있으며 악성 코드가 시스템 상에서 일으키는 일반적인 정보를 기반으로 하여 악성 유무를 파악하고 변종 악성 코드에 능동적으로 대응하기 위한 방법들이 많이 나오고 있다. 하지만, 실제 악성코드를 분석하기 위해서는 어떤 프로세스가 어떠한 패킷을 생성하고 받았는지에 대한 내용을 모니터링 하는 것이 필요한데, 행위 기반의 동적 분석 시스템도 어떤 프로세스가 어떠한 패킷을 생성했는지 확인하는 것 보다는 해당 시스템 또는 OS 레벨에서 어떠한 패킷을 생성했는지 모니터링 하는 것에 초점이 맞춰져 있는 문제점이 있다.
본 발명의 목적은 프로세스 단위에서 악성 행위를 탐지할 수 있는 특정 프로세스에 대한 네트워크 행위 모니터링 시스템 및 그 방법을 제공하는 것이다.
상술한 목적을 달성하기 위해 본 발명은 호스트 PC에서 구비되며, TDI 클라이언트와 TDI 트랜스포트 드라이버 사이에서 패킷을 생성하고 수신하는 프로세스를 추출하는 TDI 필터 드라이버와, 상기 프로세스의 악성 행위를 탐지하는 악성 행위 탐지 모듈을 포함하는 것을 특징으로 하는 특정 프로세스에 대한 네트워크 행위 모니터링 시스템을 제공한다. 상기 TDI 필터 드라이버는, 상기 TDI 클라이언트가 생성한 TDI 파일 객체를 로딩하는 TDI 파일 객체 로드 모듈과, 상기 TDI 파일 객체에서 제 1 로컬 어드레스 오브젝트를 생성한 PID를 추출하여 저장하는 리퀘스트 제출 모듈과, 상기 호스트 PC에서의 네트워크 행위 발생을 인식하는 이벤트 인식 처리 모듈과, 상기 발생된 네트워크 행위의 IRP 정보로부터 제 2 파일 오브젝트 정보를 추출하는 오브젝트 정보 추출 모듈과, 상기 제 1 로컬 어드레스 오브젝트와 상기 제 2 파일 오브젝트 정보를 비교하여 매칭되는 PID를 추출하는 PID 추출 모듈을 포함한다. 상기 TDI 필터 드라이버는 트랜스포트 주소와, 엔드포인트, 및 통제 채널이 상기 TDI 클라이언트에 의해서 더 이상 필요가 없을 때 상기 TDI 파일 객체를 삭제하는 TDI 객체 삭제 모듈을 더 포함할 수 있다.
또한, 본 발명은 호스트 PC의 TDI 클라이언트에서 TDI 파일 객체를 로드하는 단계와, 상기 TDI 파일 객체에서 제 1 로컬 어드레스 오브젝트를 생성한 제 1 PID를 저장하는 단계와, 상기 호스트 PC의 네트워크 이벤트를 모니터링하는 단계와, 상기 호스트 PC에서 발생된 네트워크 이벤트의 IRP 정보로부터 제 2 로컬 어드레스 오브젝트를 추출하는 단계와, 상기 제 1 로컬 어드레스 오브젝트와 상기 제 2 로컬 어드레스 오브젝트를 비교하여, 상기 제 1 로컬 어드레스 오브젝트와 매칭되는 상기 제 2 로컬 어드레스 오브젝트에 해당하는 제 2 PID를 추출하는 단계, 및 상기 제 2 PID에 해당하는 프로세스의 패킷을 모니터링하여 악성 행위를 탐지하는 단계를 포함하는 것을 특징으로 하는 프로세스에 대한 네트워크 행위 모니터링 방법을 제공한다. 상기 TDI 클라이언트에 의해서, 트랜스포트 주소와, 엔드포인트, 및 통제 채널이 더 이상 필요가 없을 때 상기 로드된 TDI 파일 객체를 삭제하는 단계를 더 포함할 수 있다.
본 발명은 TDI 필터 드라이버에서 생성된 TDI 파일 객체에서 실질적으로 외부와 통신하는 프로세스를 파악하여 해당 프로세스의 악성 행위를 탐지할 수 있는 특정 프로세스에 대한 네트워크 행위 모니터링 시스템 및 그 방법을 제공할 수 있다.
도 1은 본 발명에 따른 특정 프로세스에 대한 네트워크 행위 모니터링 시스템의 개념도.
도 2는 본 발명에 따른 특정 프로세스에 대한 네트워크 행위 모니터링 방법의 순서도.
이하, 도면을 참조하여 본 발명의 실시예를 상세히 설명하기로 한다.
그러나 본 발명은 이하에서 개시되는 실시예에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 것이며, 단지 본 실시예들은 본 발명의 개시가 완전하도록 하며, 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이다. 도면상의 동일 부호는 동일한 요소를 지칭한다.
도 1은 본 발명에 따른 특정 프로세스에 대한 네트워크 행위 모니터링 시스템의 개념도이다.
본 발명에 따른 특정 프로세스에 대한 네트워크 행위 모니터링 시스템은 도 1에 도시된 바와 같이, 패킷을 생성하고 수신하는 프로세스를 추출하는 TDI((Transport Driver Interface) 필터 드라이버와, TDI 필터 드라이버에서 추출된 프로세스의 악성 행위를 탐지하는 악성 행위 탐지 모듈을 포함한다.
TDI 필터 드라이버는 호스트 PC에서 발생하는 네트워크 행위에 대한 모니터링과, 모니터링 한 네트워크 행위 각각에 대해서 행위 주체가 되는 프로세스 정보를 추출하기 위한 것으로서, TDI 파일 객체 로드 모듈과, 리퀘스트 제출 모듈과, 이벤트 인식 처리 모듈, 및 TDI 객체 삭제 모듈을 포함한다.
TDI 파일 객체 로드 모듈은 프로세스 아이디(Process IDentifier, PID; 이하 PID라 함)를 추출하기 위해서 TDI 클라이언트에서 생성된 TDI 파일 객체를 로드하기 위한 것이다. TDI 클라이언트는 트랜스포트 주소, 연결 엔드포인트, 또는 통제 채널을 구현하는 파일 객체, 즉, TDI 파일 객체를 생성하거나 열기 위해서 ZwCreateFile 함수를 호출한다. 이 호출은 I/O 매니저가 IRP를 할당하게 하고 IRP안으로 TDI 클라이언트 제공 매개변수를 정렬하게 하고 하부의 TDI 트랜스포트 드라이버의 TdiDispatchCreate 루틴으로 IRP를 전달하게 한다. TDI 트랜스포트 드라이버가 새롭게 생성된 파일 객체를 위해서 유지하는 모든 상태를 설정했을 때 TDI 트랜스포트 드라이버는 IRP와 STATUS_SUCCESS를 가지고 IoCompleteRequest(또는 TdiCompleteRequest) 함수를 호출한다. 그리고 나서 ZwCreateFile 함수는 파일 객체에 대한 핸들을 가지고 TDI 클라이언트로 리턴된다. 두 개의 클라이언트가 그들의 ZwCreateFile 함수로의 호출에서 똑같은 트랜스포트 주소를 서술했다고 할지라도 각각의 클라이언트 프로세스의 ZwCreateFile 함수 호출은 분리된 TDI 파일 객체를 생성한다. ZwCreateFile 함수의 성공적인 호출은 클라이언트가 그 호출에서 전달하는 EaXxx 매개변수에 의존하여 트랜스포트 주소, 연결 엔드포인트, 또는 통제 채널을 열 수 있다.
리퀘스트 제출 모듈은 로딩된 TDI 파일 객체에서 제 1 로컬 어드레스 오브젝트를 생성한 PID를 추출하여 저장한다. 여기서, 상기 PID를 제 2 PID로 정의한다. 이를 위해 리퀘스트 제출 모듈은 적절한 파일 객체가 생성된 후에 클라이언트는 그 객체를 참조하는 리퀘스트를 제출한다. 이는, 예를 들어, 특정 트랜스포트 주소를 구현한 TDI 파일 객체를 오픈한 후에 TDI 클라이언트는 주소 정보 쿼리, 또는 '이 주소로부터 데이타그램 보내기' 리퀘스트를 제출할 수 있다. 그러한 TDI 클라이언트는 모든 리퀘스트를 제출하기 위해서 표준 I/O 시스템 매커니즘과 협정을 사용한다. TDI 클라이언트가 TDI 트랜스포트 드라이버로 수행하기를 원하는 연산이 무엇인지를 확인하는 IRP_MJ_XXX opcode를 가지고 TDI 클라이언트는 IRP를 준비한다. TDI 클라이언트는 주어진 IRP_MJ_XXX에 대해서 모든 적절한 매개변수를 제공한다. 그리고 선택적으로 리퀘스트가 TDI 트랜스포트 드라이버에 의해서 완료됐을 때 호출될 IoCompletion 루틴을 설정한다. Windows 2000 DDK는 TdiBuildInternalDeviceControl 함수가 IRP를 할당하는 것과 마찬가지로 TDI 클라이언트 코드로 연결될 수 있고 TDI 정의 IOCTL 리퀘스트에 대해서 IRP를 준비하는 TdiBuildXxx 매크로(tdikrnl.h 안에)들의 모음을 포함한다. IRP가 설정됐을 때 TDI 클라이언트는 IRP에 대한 포인터, 그리고 주소, 연결 엔드포인트, 또는 통제 채널을 구현하는 파일 객체에 대한 포인터, 그리고 TDI 트랜스포트 드라이버의 장치 객체에 대한 포인터를 가지고 IoCallDriver 함수를 호출한다. I/O 매니저는 TDI 트랜스포트 드라이버의 적절한 TdiDispatch(Xxx) 루틴으로 직접 IRP를 전달한다. TDI 트랜스포트 드라이버가 요청된 연산을 완료했을 때 TDI 트랜스포트 드라이버는 TdiCompleteRequest 혹은 IoCompleteRequest 함수를 호출한다. 그리고 나서 TDI 클라이언트가 IRP에 대해서 제공했다면 I/O 매니저는 클라이언트 제공 IoCompletion 루틴을 호출한다.
이벤트 인식 처리 모듈은 클라이언트가 하나이상의 이벤트 핸들러를 위해서 엔트리 포인트를 미리 등록했다면 트랜스포트 드라이버는 대응하는 네트워크 이벤트가 발생했을 때 각각의 그러한 루틴을 호출한다. 예를 들어, 엔드포인트 대 엔드포인트와 연관된 주소 상에서 ClientEventReceive 핸들러를 클라이언트가 등록했다면 트랜스포트는 원격지의 프로세스에 의해서 보내진 데이터가 로컬에서 받아들여질 때 이 핸들러를 호출한다.
TDI 객체 삭제 모듈은 불필요한 TDI 객체를 삭제하기 위한 것으로서, 주소, 연결 엔드포인트, 통제 채널이 클라이언트에 의해서 더 이상 필요가 없을 때 클라이언트는 TDI 파일 객체를 삭제하기 위해서 ZwClose 함수를 호출한다. 닫기 리퀘스트는 순차적으로 TDI의 TdiDispatchCleanup, TdiDispatchClose 루틴으로 전달된다.
악성 행위 탐지 모듈은 TDI 필터 드라이버에서 추출된 프로세스의 악성 행위를 탐지한다. 이때, 프로세스의 악성 행위 탐지는 해당 프로세스에서 생성되어 전송되는 패킷과 해당 프로세스에 의해 수신되는 패킷으로 탐지할 수 있다. 예를 들어, 전송되는 패킷과 수신되는 패킷의 패턴으로 악성 행위를 탐지하거나, 해당 프로세스에 패킷을 전송하는 C&C를 파악하여 악성 행위를 하는 프로세스로 판단할 수 있다. 이에 대한 기술은 일반적으로 사용되는 봇넷 탐지 기술을 적용할 수 있다.
상술한 바와 같이, 본 발명은 TDI 필터 드라이버에서 생성된 TDI 파일 객체에서 실질적으로 외부와 통신하는 프로세스를 파악하여 해당 프로세스의 악성 행위를 탐지할 수 있는 특정 프로세스에 대한 네트워크 행위 모니터링 시스템을 제공할 수 있다.
다음은 본 발명에 따른 특정 프로세스에 대한 네트워크 행위 모니터링 방법에 대해 도면을 참조하여 설명하고자 한다. 후술할 내용 중 전술된 본 발명에 따른 특정 프로세스에 대한 네트워크 행위 모니터링 시스템의 설명과 중복되는 내용은 생략하거나 간략히 설명하기로 한다.
도 2는 본 발명에 따른 특정 프로세스에 대한 네트워크 행위 모니터링 방법의 순서도이다.
본 발명에 따른 특정 프로세스에 대한 네트워크 행위 모니터링 방법은 도 2에 도시된 바와 같이, TDI 파일 객체를 로드하는 단계(S1)와, 제 1 로컬 어드레스 오브젝트를 생성한 제 1 PID를 저장하는 단계(S2)와, 네트워크 이벤트를 모니터링하는 단계(S3)와, 제 2 로컬 어드레스 오브젝트를 추출하는 단계(S4)와, 로컬 어드레스 오브젝트를 매칭하는 단계(S5), 및 악성 행위를 탐지하는 단계(S6)를 포함한다.
TDI 파일 객체를 로드하는 단계(S1)는 TDI 클라이언트에서 생성된 TDI 파일 객체를 로딩한다.
제 1 로컬 어드레스 오브젝트를 생성한 제 1 PID를 저장하는 단계(S2)는 로딩된 TDI 파일 객체에서 파일 오브젝트 정보와 함께 해당 파일 오브젝트를 생성한 프로세스의 PID를 저장한다. 여기서, 상기 PID는 제 1 PID로 정의하고, 상기 로컬 어드레스 오브젝트는 제 1 로컬 어드레스 오브젝트로 정의한다.
네트워크 이벤트를 모니터링하는 단계(S3)는 프로세스가 패킷을 생성하여 송신하거나 패킷을 수신하는 것을 모니터링한다.
제 2 로컬 어드레스 오브젝트를 추출하는 단계(S4)는 네트워크 이벤트를 모니터링하는 단계(S3)에서 네트워크 이벤트가 발생될 경우, 해당 네트워크 이벤트의 IRP 정보로부터 로컬 어드레스 오브젝트 정보를 추출한다. 이때, 상기 로컬 어드레스 오브젝트 정보를 제 2 로컬 어드레스 오브젝트로 정의한다.
로컬 어드레스 오브젝트를 매칭하는 단계(S5)는 제 1 로컬 어드레스 오브젝트와 제 2 로컬 어드레스 오브젝트를 비교하여, 제 1 로컬 어드레스 오브젝트에서 제 2 로컬 어드레스 오브젝트와 동일한 제 1 로컬 어드레스 오브젝트를 추출한다. 또한, 해당되는 제 1 로컬 어드레스 오브젝트와 연동되어 저장된 제 1 PID를 찾아낸다.
악성 행위를 탐지하는 단계(S6)는 추출된 PID로 해당 PID를 가진 프로세스의 악성 행위를 탐지한다. 이는 전술된 바와 같이, 예를 들어, 전송되는 패킷과 수신되는 패킷의 패턴으로 악성 행위를 탐지하거나, 해당 프로세스에 패킷을 전송하는 C&C를 파악하여 악성 행위를 하는 프로세스로 판단하는 등의 일반적인 기술을 사용할 수 있다.
상술한 바와 같이, 본 발명은 TDI 필터 드라이버에서 생성된 TDI 파일 객체에서 실질적으로 외부와 통신하는 프로세스를 파악하여 해당 프로세스의 악성 행위를 탐지할 수 있는 특정 프로세스에 대한 네트워크 행위 모니터링 방법을 제공할 수 있다.
이상에서는 도면 및 실시예를 참조하여 설명하였지만, 해당 기술 분야의 숙련된 당업자는 하기의 특허청구범위에 기재된 본 발명의 기술적 사상으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.

Claims (5)

  1. 호스트 PC에서 구비되며, TDI 클라이언트와 TDI 트랜스포트 드라이버 사이에서 패킷을 생성하고 수신하는 프로세스를 추출하는 TDI 필터 드라이버와,
    상기 프로세스의 악성 행위를 탐지하는 악성 행위 탐지 모듈을 포함하고,
    상기 TDI 필터 드라이버는,
    상기 TDI 클라이언트가 생성한 TDI 파일 객체를 로딩하는 TDI 파일 객체 로드 모듈과,
    상기 TDI 파일 객체에서 제 1 로컬 어드레스 오브젝트를 생성한 PID를 추출하여 저장하는 리퀘스트 제출 모듈과,
    상기 호스트 PC에서의 네트워크 행위 발생을 인식하는 이벤트 인식 처리 모듈과,
    상기 발생된 네트워크 행위의 IRP 정보로부터 제 2 파일 오브젝트 정보를 추출하는 오브젝트 정보 추출 모듈과,
    상기 제 1 로컬 어드레스 오브젝트와 상기 제 2 파일 오브젝트 정보를 비교하여 매칭되는 PID를 추출하는 PID 추출 모듈을 포함하는 것을 특징으로 하는 특정 프로세스에 대한 네트워크 행위 모니터링 시스템.
  2. 삭제
  3. 청구항 1에 있어서,
    상기 TDI 필터 드라이버는 트랜스포트 주소와, 엔드포인트, 및 통제 채널이 상기 TDI 클라이언트에 의해서 더 이상 필요가 없을 때 상기 TDI 파일 객체를 삭제하는 TDI 객체 삭제 모듈을 더 포함하는 것을 특징으로 하는 프로세스에 대한 네트워크 행위 모니터링 시스템.
  4. 호스트 PC의 TDI 클라이언트에서 TDI 파일 객체를 로드하는 단계와,
    상기 TDI 파일 객체에서 제 1 로컬 어드레스 오브젝트를 생성한 제 1 PID를 저장하는 단계와,
    상기 호스트 PC의 네트워크 이벤트를 모니터링하는 단계와,
    상기 호스트 PC에서 발생된 네트워크 이벤트의 IRP 정보로부터 제 2 로컬 어드레스 오브젝트를 추출하는 단계와,
    상기 제 1 로컬 어드레스 오브젝트와 상기 제 2 로컬 어드레스 오브젝트를 비교하여, 상기 제 1 로컬 어드레스 오브젝트와 매칭되는 상기 제 2 로컬 어드레스 오브젝트에 해당하는 제 2 PID를 추출하는 단계, 및
    상기 제 2 PID에 해당하는 프로세스의 패킷을 모니터링하여 악성 행위를 탐지하는 단계를 포함하는 것을 특징으로 하는 프로세스에 대한 네트워크 행위 모니터링 방법.
  5. 청구항 4에 있어서,
    상기 TDI 클라이언트에 의해서, 트랜스포트 주소와, 엔드포인트, 및 통제 채널이 더 이상 필요가 없을 때 상기 로드된 TDI 파일 객체를 삭제하는 단계를 더 포함하는 것을 특징으로 하는 프로세스에 대한 네트워크 행위 모니터링 방법.
KR1020100134996A 2010-12-24 2010-12-24 특정 프로세스에 대한 네트워크 행위 모니터링 시스템 및 그 방법 KR101188307B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020100134996A KR101188307B1 (ko) 2010-12-24 2010-12-24 특정 프로세스에 대한 네트워크 행위 모니터링 시스템 및 그 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020100134996A KR101188307B1 (ko) 2010-12-24 2010-12-24 특정 프로세스에 대한 네트워크 행위 모니터링 시스템 및 그 방법

Publications (2)

Publication Number Publication Date
KR20120073021A KR20120073021A (ko) 2012-07-04
KR101188307B1 true KR101188307B1 (ko) 2012-10-09

Family

ID=46707595

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020100134996A KR101188307B1 (ko) 2010-12-24 2010-12-24 특정 프로세스에 대한 네트워크 행위 모니터링 시스템 및 그 방법

Country Status (1)

Country Link
KR (1) KR101188307B1 (ko)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106169965A (zh) * 2016-09-28 2016-11-30 北京金山安全软件有限公司 一种网络修复方法、装置及终端
KR102042086B1 (ko) * 2018-01-03 2019-11-27 킹스정보통신(주) 암호화 통신 프로토콜 제어 모듈

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030149888A1 (en) 2002-02-01 2003-08-07 Satyendra Yadav Integrated network intrusion detection
US7171646B2 (en) 1999-10-05 2007-01-30 Borland Software Corporation Generating source code for object oriented elements with language neutral transient meta model and correlating display of names, symbols and code
US20080109679A1 (en) 2003-02-28 2008-05-08 Michael Wright Administration of protection of data accessible by a mobile device

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7171646B2 (en) 1999-10-05 2007-01-30 Borland Software Corporation Generating source code for object oriented elements with language neutral transient meta model and correlating display of names, symbols and code
US20030149888A1 (en) 2002-02-01 2003-08-07 Satyendra Yadav Integrated network intrusion detection
US20080109679A1 (en) 2003-02-28 2008-05-08 Michael Wright Administration of protection of data accessible by a mobile device

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
‘A generic anti-spyware solution by access control list at kernel level’, SHERMAN S.M. CHOW 외2인, ELSEVIER System and Software저널 2004.7.15.*

Also Published As

Publication number Publication date
KR20120073021A (ko) 2012-07-04

Similar Documents

Publication Publication Date Title
CN109325351B (zh) 一种基于众测平台的安全漏洞自动化验证系统
US8291500B1 (en) Systems and methods for automated malware artifact retrieval and analysis
CN107294982B (zh) 网页后门检测方法、装置及计算机可读存储介质
US20160212156A1 (en) System and method for detecting malicious code based on application programming interface
KR101404882B1 (ko) 행위를 기반으로 한 악성코드 분류시스템 및 분류방법
WO2018188558A1 (zh) 账号权限的识别方法及装置
US20160212157A1 (en) System and method for analyzing large-scale malicious code
CN104182688A (zh) 基于动态激活及行为监测的Android恶意代码检测装置和方法
KR101676366B1 (ko) 사이버 공격 대응을 위한 악성코드 침해 경로 및 행위 추적을 수행하는 침해 공격 추적 시스템 및 방법
KR101043299B1 (ko) 악성 코드 탐지 방법, 시스템 및 컴퓨터 판독 가능한 저장매체
CN110336835B (zh) 恶意行为的检测方法、用户设备、存储介质及装置
KR20110088042A (ko) 악성 코드 자동 판별 장치 및 방법
US10412101B2 (en) Detection device, detection method, and detection program
US20170277887A1 (en) Information processing apparatus, information processing method, and computer readable medium
KR20150124020A (ko) 악성코드 식별 태그 설정 시스템 및 방법, 및 악성코드 식별 태그를 이용한 악성코드 검색 시스템
KR101589652B1 (ko) 행위 기반 악성 코드 변종 탐지 조회 시스템 및 방법
KR101188307B1 (ko) 특정 프로세스에 대한 네트워크 행위 모니터링 시스템 및 그 방법
JP6092759B2 (ja) 通信制御装置、通信制御方法、および通信制御プログラム
CN111327632B (zh) 一种僵尸主机检测方法、系统、设备及存储介质
US20180020012A1 (en) Malware analysis system, malware analysis method, and malware analysis program
JP6258189B2 (ja) 特定装置、特定方法および特定プログラム
CN107229865B (zh) 一种解析Webshell入侵原因的方法及装置
JP4050253B2 (ja) コンピュータウィルス情報収集装置、コンピュータウィルス情報収集方法、及びプログラム
KR101725399B1 (ko) 호스트 레벨 기반 악성 스크립트 탐지 및 실행 방지 장치와 악성 스크립트 탐지 및 실행 방지 방법
CN111125701B (zh) 文件检测方法、设备、存储介质及装置

Legal Events

Date Code Title Description
A201 Request for examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20150915

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20160908

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20170626

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20181015

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20190716

Year of fee payment: 8