KR101234063B1 - Malicious code, the system automatically collects - Google Patents
Malicious code, the system automatically collects Download PDFInfo
- Publication number
- KR101234063B1 KR101234063B1 KR1020100131406A KR20100131406A KR101234063B1 KR 101234063 B1 KR101234063 B1 KR 101234063B1 KR 1020100131406 A KR1020100131406 A KR 1020100131406A KR 20100131406 A KR20100131406 A KR 20100131406A KR 101234063 B1 KR101234063 B1 KR 101234063B1
- Authority
- KR
- South Korea
- Prior art keywords
- securefs
- reparsing
- management
- file
- path
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
Abstract
본 밞명은 악성코드 자동 수집 시스템에 있어서, 악성코드 경유/유포지 탐지 시스템으로부터 탐지된 경유/유포지 리스트 및 미 분석 리스트들을 전송받아 URL 분석정보를 추출하고 추출된 정보를 관리저장하는 관리단; 상기 관리단으로부터 생성된 파일 및 파일 정보를 수집하는 수집단;을 포함하며 상기 수집단은, Reparsing 대상객체의 프로세스 정책 및 목록 처리하고, 운영환경의 조회 및 설정을 요청 처리하며, 드라이버가 시작되기 이전의 프로세스 정보 설정을 처리하는 SecureFS 관리 모듈 및 상기 Reparsing 대상객체의 목적 경로를 변환하고 상기 Reparsing 목적 경로의 실행 오퍼레이션에 대한 접근통제 기능을 처리하며, 데이터를 관리하는 SecureFS 드라이버 모듈을 포함하는 것을 특징으로 하는 악성코드 자동 수집 시스템을 제공한다.According to the present invention, an automatic malware collection system includes: a management unit for extracting URL analysis information and un-analyzed lists detected from a route / distribution site detection system through malicious code, extracting URL analysis information, and managing and storing the extracted information; And a collection stage for collecting files and file information generated by the management stage, wherein the collection stage includes a process policy and a list of reparsing target objects, a request for inquiry and setting of an operating environment, and before a driver is started. SecureFS management module for processing the process information settings of the Reparsing target object, and converts the target path, the SecureFS driver module for processing the access control function for the execution operation of the reparsing target path, and manages data Provides automatic malware collection system.
Description
본 발명은 악성코드 자동 수집 시스템에 관한 것으로, Reparsing 대상객체의 프로세스 정책 및 목록 처리하고, 운영환경의 조회 및 설정을 요청 처리하며, 드라이버가 시작되기 이전의 프로세스 정보 설정을 처리하는 SecureFS 관리 모듈 및 상기 Reparsing 대상객체의 목적 경로를 변환하고 상기 Reparsing 목적 경로의 실행 오퍼레이션에 대한 접근통제 기능을 처리하며, 데이터를 관리하는 SecureFS 드라이버 모듈을 포함하는 악성코드 자동 수집 시스템에 관한 것이다.
The present invention relates to a system for automatically collecting malware, and processes a process policy and a list of a reparsing target object, processes an inquiry and setting of an operating environment, and processes a process information setting before a driver is started. The present invention relates to an automatic malicious code collection system including a SecureFS driver module for converting a target path of the reparsing target object, processing an access control function for an execution operation of the reparsing target path, and managing data.
최근 악성코드로 인한 사이버 공격 대응 시간 단축이 되면서 사전 예방기술 확보가 필요하게 되었다. DDoS 공격, 개인정보 탈취 등 대부분의 사이버 공격에 악용되는 다양한 악성코드가 급증하고 있으며, 빈번히 발생하는 협박형 DDoS 공격 및 침해사고에서 볼 수 있듯이 그로 인한 피해가 점차 커지고 있는 상황인 것을 알 수가 있다. Recently, as cyber attack response time is shortened due to malware, it is necessary to secure proactive technologies. Various malwares used in most cyber attacks, such as DDoS attacks and personal information takeovers, are rapidly increasing. As can be seen from the frequently intimidating DDoS attacks and infringement incidents, the damages are gradually increasing.
따라서, 치명적인 위협을 줄 수 있는 악성코드를 조기에 수집하고, 분석된 결과로부터 대응 시그니처를 생성/배포하는 기술을 통해 사이버 공격을 사전에 예방할 수 있는 시스템 구축이 필요한 문제점이 있다.
Therefore, there is a problem in that it is necessary to construct a system that can prevent cyber attacks in advance through a technology of early collecting malicious codes that may pose a deadly threat and generating / distributing corresponding signatures from the analyzed results.
따라서, 본 발명은 악성코드 자동 수집 시스템에 관한 것으로, Reparsing 대상객체의 프로세스 정책 및 목록 처리하고, 운영환경의 조회 및 설정을 요청 처리하며, 드라이버가 시작되기 이전의 프로세스 정보 설정을 처리하는 SecureFS 관리 모듈 및 상기 Reparsing 대상객체의 목적 경로를 변환하고 상기 Reparsing 목적 경로의 실행 오퍼레이션에 대한 접근통제 기능을 처리하며, 데이터를 관리하는 SecureFS 드라이버 모듈을 포함함으로써, 치명적인 위협을 줄 수 있는 악성코드를 조기에 수집하고, 분석된 결과로부터 대응 시그니처를 생성/배포하여 사이버 공격을 사전에 예방할 수 있는 악성코드 자동 수집 시스템을 제공하는데 그 목적이 있다.
Accordingly, the present invention relates to a system for automatically collecting malware, processing a process policy and a list of reparsing target objects, requesting an inquiry and setting of an operating environment, and managing SecureFS to process process information settings before a driver is started. By including a module and a SecureFS driver module that converts the target path of the object to be reparsed, handles the access control function for the execution operation of the reparsing object path, and manages data, it is possible to preempt malicious code that may pose a deadly threat. Its purpose is to provide an automated malware collection system that can prevent cyber attacks by collecting and generating corresponding signatures from the analyzed results.
상기의 목적을 달성하기 위한 본 발명은 악성코드 자동 수집 시스템에 있어서, 악성코드 경유/유포지 탐지 시스템으로부터 탐지된 경유/유포지 리스트 및 미 분석 리스트들을 전송받아 URL 분석정보를 추출하고 추출된 정보를 관리저장하는 관리단; 상기 관리단으로부터 생성된 파일 및 파일 정보를 수집하는 수집단;을 포함하며 상기 수집단은, Reparsing 대상객체의 프로세스 정책 및 목록 처리하고, 운영환경의 조회 및 설정을 요청 처리하며, 드라이버가 시작되기 이전의 프로세스 정보 설정을 처리하는 SecureFS 관리 모듈 및 상기 Reparsing 대상객체의 목적 경로를 변환하고 상기 Reparsing 목적 경로의 실행 오퍼레이션에 대한 접근통제 기능을 처리하며, 데이터를 관리하는 SecureFS 드라이버 모듈을 포함하는 것을 특징으로 하는 악성코드 자동 수집 시스템을 제공하는 것을 목적으로 한다.In the present invention for achieving the above object, in the automatic malicious code collection system, the URL / information distribution and un-analyzed list detected from the route through the malicious code / distribution site detection system is received to extract URL analysis information and manage the extracted information A management unit for storing; And a collection stage for collecting files and file information generated by the management stage, wherein the collection stage includes a process policy and a list of reparsing target objects, a request for inquiry and setting of an operating environment, and before a driver is started. SecureFS management module for processing the process information settings of the Reparsing target object, and converts the target path, the SecureFS driver module for processing the access control function for the execution operation of the reparsing target path, and manages data The purpose is to provide an automatic malware collection system.
또한, 상기 SecureFS 관리 모듈은, 상기 Reparsing할 대상객체의 경로와 목적 경로 및 프로세스 정책의 조회, 추가, 수정, 삭제 요청을 처리하는 Reparse point 정책관리하고, 운영 환경의 조회 및 설정 요청을 처리하고, 드라이버가 시작되기 이전의 프로세스 정보 설정을 처리하며 기 SecureFS 관리 모듈 드라이버를 구동시키는 SecureFS 관리 서브부를 포함할 수 있다.In addition, the SecureFS management module manages a reparse point policy for processing a request, add, modify, and delete a request for a path, a target path, and a process policy of the target object to be reparsed, and processes an inquiry and a setup request for an operating environment. It may include a SecureFS management subsection that processes the process information setting before the driver is started and drives the existing SecureFS management module driver.
또한, 상기 SecureFS 관리 모듈은, 상기 SecureFS 관리 모듈에서 생성된 파일 정보를 수집하고 상기 SecureFS 관리 모듈에서 생성된 실행 파일 차단 로그를 수집하는 감사관리 서브부를 포함할 수 있다.The SecureFS management module may include an audit management subunit which collects file information generated by the SecureFS management module and collects execution file blocking logs generated by the SecureFS management module.
또한, 상기 SecureFS 드라이버 모듈은, 상기 Reparsing 대상객체에 대한 주체 프로세스의 읽기, 생성 및 실행 오퍼레이션에 대하여 상기 Reparsing 목적 경로로 경로를 변환하여 IO Manager로 반환함으로써, 상기 Reparsing 기능을 제공하고, 상기 Reparsing 목적 경로의 실행 오퍼레이션에 대하여 접근통제 기능을 수행하며, 상기 Reparsing 대상 목록, 프로세스 목록, 운영 모드, 위반 감사 로그, 파일 생성 정보, 파일 생성 정보 생성, 위반 감사 로그 생성 데이터를 관리하는 커널관리 서브부를 포함할 수 있다.In addition, the SecureFS driver module converts a path into the reparsing destination path for the read, create, and execute operations of the subject process for the reparsing target object and returns it to the IO Manager, thereby providing the reparsing function and providing the reparsing purpose. Access control function for the execution operation of the path, and includes a kernel management sub-unit for managing the reparsing target list, process list, operating mode, violation audit log, file creation information, file generation information generation, violation audit log generation data can do.
또한, 상기 SecureFS 드라이버 모듈은, 상기 IO Manager로부터 전송받은 파일 경로를 재설정하거나 파일 실행을 차단하는 파일 생성관리 서브부를 포함할 수 있다.
In addition, the SecureFS driver module may include a file generation management sub unit for resetting the file path received from the IO Manager or block file execution.
이상에서, 본 발명은 Reparsing 대상객체의 프로세스 정책 및 목록 처리하고, 운영환경의 조회 및 설정을 요청 처리하며, 드라이버가 시작되기 이전의 프로세스 정보 설정을 처리하는 SecureFS 관리 모듈 및 상기 Reparsing 대상객체의 목적 경로를 변환하고 상기 Reparsing 목적 경로의 실행 오퍼레이션에 대한 접근통제 기능을 처리하며, 데이터를 관리하는 SecureFS 드라이버 모듈을 포함함으로써, 치명적인 위협을 줄 수 있는 악성코드를 조기에 수집하고, 분석된 결과로부터 대응 시그니처를 생성/배포하여 사이버 공격을 사전에 예방할 수 있는 효과가 있다.
In the above description, the present invention provides a SecureFS management module for processing a process policy and a list of a reparsing target object, processing a query and setting of an operating environment, and processes a process information setting before a driver is started, and an object of the reparsing target object. It includes a SecureFS driver module that converts paths, handles access control functions for execution operations of the reparsing destination paths, and manages data so that malicious code that can pose a critical threat is collected early and responded from the analyzed result. By creating / distributing signatures, it is possible to prevent cyber attacks in advance.
도 1은 본 발명의 실시예에 따른 악성코드 자동 수집 시스템에 대한 구성도이다.
도 2는 본 발명의 실시예에 따른 악성코드 자동 수집 시스템에 채용되는 수집단에 대한 구성도이다.
도 3은 본 발명의 실시예에 따른 악성코드 자동 수집 시스템에 채용되는SecureFS 관리 서브부에 대한 구성도이다.
도 4는 본 발명의 실시예에 따른 악성코드 자동 수집 시스템에 채용되는 감사관리 서브부에 대한 구성도이다.
도 5는 본 발명의 실시예에 따른 악성코드 자동 수집 시스템에 채용되는 커널관리 서브부에 대한 구성도이다.
도 6은 본 발명의 실시예에 따른 악성코드 자동 수집 시스템에 채용되는 파일 생성관리 서브부에 대한 구성도이다.1 is a block diagram of an automatic malicious code collection system according to an embodiment of the present invention.
2 is a block diagram of a collecting stage employed in the automatic malware collection system according to an embodiment of the present invention.
Figure 3 is a block diagram of a SecureFS management sub-unit employed in the automatic malware collection system according to an embodiment of the present invention.
4 is a block diagram of an audit management sub-unit employed in the automatic malware collection system according to an embodiment of the present invention.
5 is a block diagram of the kernel management sub-unit employed in the automatic malware collection system according to an embodiment of the present invention.
6 is a block diagram of a file generation management sub-unit employed in the automatic malicious code collection system according to an embodiment of the present invention.
본 발명에 따른 악성코드 자동 수집 시스템에 대한 기술적 구성을 비롯한 작용효과에 관한 사항은 본 발명의 바람직한 실시예가 도시된 도면을 참조하여 아래의 상세한 설명에 의해서 명확하게 이해될 것이다.Matters regarding the operational effects including the technical configuration of the automatic malicious code collection system according to the present invention will be clearly understood by the following detailed description with reference to the drawings in which preferred embodiments of the present invention are shown.
도 1 및 도 6을 참조하여 설명하면, 본 발명의 실시예에 따른 악성코드 자동 수집 시스템(100)에 있어서, 악성코드 경유/유포지 탐지 시스템으로부터 탐지된 경유/유포지 리스트 및 미 분석 리스트들을 전송받아 URL 분석정보를 추출하고 추출된 정보를 관리저장하는 관리단(120), 상기 관리단(120)으로부터 생성된 파일 및 파일 정보를 수집하는 수집단(130)을 포함하여 이루어질 수 있다. 1 and 6, in the automatic malicious
여기서, 상기 악성코드 경유/유포지 탐지 시스템(110)은 악성코드 경유/유포지 탐지 시그니처를 이용하여, 경유/유포지를 탐지하는 시스템(110)에서 탐지된 경유/유포지 리스트 및 미 분석 리스트들을 주기적으로 악성코드 자동 수집 시스템(100)으로 전송하는 역할을 한다. 그리고 상기 악성코드 자동 수집 시스템(100)은 수집된 악성코드 정보를 주기적으로 악성코드 자동 분석 시스템(160)에 전송하는 역할을 한다.In this case, the malicious code route /
상기 수집단(130)은 도 2에 도시된 바와 같이, 크게 SecureFS 관리 모듈(140) 및 SecureFS 드라이버 모듈(150)을 포함하여 구성될 수 있다. 상기 SecureFS 관리 모듈(140)은 Reparsing 대상객체의 프로세스 정책 및 목록 처리하고, 운영환경의 조회 및 설정을 요청 처리하며, 드라이버가 시작되기 이전의 프로세스 정보 설정을 처리할 수 있다. 상기 SecureFS 드라이버 모듈(150)은 상기 Reparsing 대상객체의 목적 경로를 변환하고 상기 Reparsing 목적 경로의 실행 오퍼레이션에 대한 접근통제 기능을 처리하며, 데이터를 관리할 수 있다. 이때, 상기 SecureFS 관리 모듈(140)은 SecureFS 관리 서브부(141), 감사관리 서브부(142)로 구성되며 상기 SecureFS 드라이버 모듈(150)은 커널관리 서브부(151a,b), 파일 생성관리 서브부(152)로 구성되어 이에 대한 설명은 이후 자세하게 하도록 한다.As shown in FIG. 2, the
상기 SecureFS 관리 모듈(140)은 도 3에 도시된 바와 같이, 상기 Reparsing할 대상객체의 경로와 목적 경로 및 프로세스 정책의 조회, 추가, 수정, 삭제 요청을 처리하는 Reparse point 정책관리하고, 운영 환경의 조회 및 설정 요청을 처리하고, 드라이버가 시작되기 이전의 프로세스 정보 설정을 처리하며 기 SecureFS 관리 모듈(140) 드라이버를 구동시키는 SecureFS 관리 서브부(141)를 포함할 수 있다.As shown in FIG. 3, the SecureFS
상기 SecureFS 관리 서브부(141)는 기능 중 드라이버 구동, 시작, 중지, 프로세스 목록 설정 및 Reparsing point 설정 등과 같이 SecureFS 드라이버 모듈과 서로 상호작용을 하여야 하는 기능들은 제어 시스템(100) 함수를 호출하여 명령을 SecureFS 드라이버 모듈로 전달한다. SecureFS 관리 서브부(141)가 관리하는 Reparsing point 정책 관련 데이터는 물리적으로는 시스템(100)의 사용자 영역의 파일로 존재하지만 해당 기능이 시작될 때 커널 메모리 영역으로 복사해주어야 한다.The SecureFS
또한, 상기 SecureFS 관리 모듈(140)은 도 4에 도시된 바와 같이, 상기 SecureFS 관리 모듈(140)에서 생성된 파일 정보를 수집하고 상기 SecureFS 관리 모듈(140)에서 생성된 실행 파일 차단 로그를 수집하는 감사관리 서브부(142)를 포함할 수 있다.In addition, the SecureFS
상기 SecureFS 드라이버 모듈(150)은 도 5에 도시된 바와 같이, 상기 Reparsing 대상객체에 대한 주체 프로세스의 읽기, 생성 및 실행 오퍼레이션에 대하여 상기 Reparsing 목적 경로로 경로를 변환하여 IO Manager로 반환함으로써, 상기 Reparsing 기능을 제공하고, 상기 Reparsing 목적 경로의 실행 오퍼레이션에 대하여 접근통제 기능을 수행하며, 상기 Reparsing 대상 목록, 프로세스 목록, 운영 모드, 위반 감사 로그, 파일 생성 정보, 파일 생성 정보 생성, 위반 감사 로그 생성 데이터를 관리하는 커널관리 서브부(151a,b)를 포함할 수 있다.As shown in FIG. 5, the SecureFS
상기 커널관리 서브부(151a,b)는 파일 생성관리 서브부(152)의 시작 및 정지, 커널의 메모리에 저장되는 Reparsing Point 정책 DB의 관리 등을 담당하는 곳으로 SecureFS 관리 서브부에서 제어시스템 콜을 통하여 시작된다. SecureFS 관리 서브부(141)는 제어시스템 콜을 호출하여 기능 및 관리 업무를 커널관리 서브부(151a,b)으로 전달하게 된다. 따라서, 커널관리 서브부(151a,b)의 기능은 SecureFS 관리 서브부(141)의 보안기능과 일대일로 대응을 하게 된다.The kernel management subparts 151a and b are responsible for starting and stopping the file
이때, 상기 Reparsing Point 정책 DB 등은 커널 메모리 상에 저장되어 파일생성관리 서브부(152)에서 이를 참조하고 있으나, 상기 SecureFS 드라이버 모듈(150)이 운영체제에 탑재되었을 때는 정책 DB가 존재하지 않는다. 그러므로, SecureFS 관리 서브부(141)가 파일로 관리하고 있는 Reparsing Point 정책 DB를 제어시스템 콜을 사용하여 커널관리 서브부(151a,b)으로 전달해주어야 한다. 상기 커널관리 서브부(151a,b)는 넘겨받은 Reparsing Point 정책 DB를 커널 메모리 상에 저장하는 역할을 담당한다. SecureFS 관리 서브부(141)에서는 정책의 변경에 따라서 상기 커널관리 서브부(151a,b)로 이를 통보하고 동일한 내용을 파일에 저장하는 역할을 담당한다. In this case, the reparsing point policy DB is stored in the kernel memory and referred to the file
상기 SecureFS 드라이버 모듈(150)은 상기 IO Manager(145)로부터 전송받은 파일 경로를 재설정하거나 파일 실행을 차단하는 파일 생성관리 서브부(152)를 포함할 수 있다.The SecureFS
상기 파일 생성관리 서브부(152)는 전달된 시스템 콜(IRP_MJ_CREATE) 요청에 따라 파일 경로 재설정 과정, 파일 실행 통제 과정을 수행한다. 즉, 상기 파일 생성관리 서브부는 파일 경로 재설정은 객체 즉 파일 경로가 Reparsing point 정책 중 대상 경로에 해당하는 경로인 경우 목적 경로로 파일 경로를 변환하여 파일 경로를 재설정하는 방법이다. 이때, 파일 경로 재설정 정책은 객체에 접근하는 프로세스 식별에 기초하여, 접근하는 객체에 대하여 파일 경로를 변환한다. 또한 파일 경로가 목적 경로이면서 실행 오퍼레이션을 경우 파일 실행을 차단할 수 있다.The file
이와 같이 구성된 본 발명에 따른 수집단(130)의 데이터 구조는 아래의 [표1]과 같다.The data structure of the
SecureFS 관리
SecureFS Management
Audit Management
커널관리
Kernel Management
그리고 상기 수집단(130)의 프로세스 테이블은, SecureFS 드라이버 모듈(150)이 운영체제에 탑재되었을 때는 프로세스 테이블이 존재하지 않는다. 따라서 SecureFS 관리 서브부가 아래의 [표2]와 같은 구조로 이루어진 프로세스 테이블을 제어시스템 콜을 사용하여 커널관리 서브부(151a,b)로 전달해주어야 한다. 그 후에는 프로세스 생성/삭제 Callback 함수를 통하여 프로세스 정보를 받는다. 프로세스가 생성되는 시점에 프로세스 테이블에 저장한다. 프로세스 소멸 시에는 프로세스 정보가 테이블에서 삭제된다.The process table of the
또한, Reparsing Point 정책 DB 등은 커널 메모리 상에 저장되어 파일생성관리 서브부(152)에서 이를 참조한다. 아래 [표 3]은 Reparsing Point 테이블 구조에 대한 표이다.In addition, the Reparsing Point policy DB is stored in the kernel memory and referred to by the file
(TRUE : 하위 폴더 적용)
(FALSE : 현재 폴더만 적용)Whether to apply subfolders
(TRUE: Apply subfolder)
(FALSE: Current folder only)
이처럼, 본 발명은 Reparsing 대상객체의 프로세스 정책 및 목록 처리하고, 운영환경의 조회 및 설정을 요청 처리하며, 드라이버가 시작되기 이전의 프로세스 정보 설정을 처리하는 SecureFS 관리 모듈(140) 및 상기 Reparsing 대상객체의 목적 경로를 변환하고 상기 Reparsing 목적 경로의 실행 오퍼레이션에 대한 접근통제 기능을 처리하며, 데이터를 관리하는 SecureFS 드라이버 모듈(150)을 포함함으로써, 치명적인 위협을 줄 수 있는 악성코드를 조기에 수집하고, 분석된 결과로부터 대응 시그니처를 생성/배포하여 사이버 공격을 사전에 예방할 수 있다. As described above, the present invention processes the process policy and list of the object to be reparsed, processes the request and setting of the operating environment, and processes the process information setting before the driver is started, and the
이상에서 설명한 본 발명의 바람직한 실시예에 대하여 상세하게 설명하였지만 당해 기술분야에서 통상의 지식을 가진 자라면 이로부터 다양한 변형 및 균등한 타 실시예가 가능하다는 점을 이해할 수 있을 것이다.Although the preferred embodiments of the present invention described above have been described in detail, those skilled in the art will understand that various modifications and equivalent other embodiments are possible therefrom.
따라서, 본 발명의 권리 범위는 개시된 실시예에 한정되는 것은 아니고 다음의 청구범위에서 정의하고 있는 본 발명의 기본 개념을 이용한 당업자의 여러 변경 및 개량 형태 또는 본 발명의 권리 범위에 속하는 것으로 보아야 할 것이다. Accordingly, the scope of the present invention should not be limited to the disclosed embodiments but should be regarded as belonging to various modifications and improvements of those skilled in the art using the basic concept of the present invention as defined in the following claims, or the scope of the present invention. .
100 : 악성코드 자동 수집 시스템
110 : 악성코드 경유/유포지 탐지 시스템
120 : 관리단 130 : 수집단
140 : SecureFS 관리 모듈 150 : SecureFS 드라이버 모듈
160 : 악성코드 자동 분석 시스템100: Automatic malware collection system
110: malicious code via / dissemination system
120: management group 130: collection
140: SecureFS management module 150: SecureFS driver module
160: Automatic Malware Analysis System
Claims (5)
악성코드 경유/유포지 탐지 시스템으로부터 탐지된 경유/유포지 리스트 및 미 분석 리스트들을 전송받아 URL 분석정보를 추출하고 추출된 정보를 관리저장하는 관리단과;
상기 관리단으로부터 생성된 파일 및 파일 정보를 수집하는 수집단;을 포함하여 구성되며,
상기 수집단은, Reparsing 대상객체의 프로세스 정책 및 목록 처리하고, 운영환경의 조회 및 설정을 요청 처리하며, 드라이버가 시작되기 이전의 프로세스 정보 설정을 처리하는 SecureFS 관리 모듈 및 상기 Reparsing 대상객체의 목적 경로를 변환하고 상기 Reparsing 목적 경로의 실행 오퍼레이션에 대한 접근통제 기능을 처리하며, 데이터를 관리하는 SecureFS 드라이버 모듈을 포함하며,
상기 SecureFS 관리 모듈은, 상기 Reparsing할 대상객체의 경로와 목적 경로 및 프로세스 정책의 조회, 추가, 수정, 삭제 요청을 처리하는 Reparse point 정책관리하고, 운영 환경의 조회 및 설정 요청을 처리하고, 드라이버가 시작되기 이전의 프로세스 정보 설정을 처리하며 기 SecureFS 관리 모듈 드라이버를 구동시키는 SecureFS 관리 서브부를 포함하는 것을 특징으로 하는 악성코드 자동 수집 시스템.
In the automatic malware collection system,
A management unit which receives URL analysis and distribution lists detected from the malware detection system and distribution site and the unanalyzed list, extracts URL analysis information, and manages and stores the extracted information;
It is configured to include; and a collection stage for collecting files and file information generated from the management stage,
The collection unit processes a process policy and a list of a reparsing target object, processes an inquiry and setting of an operating environment, and processes a process information setting before a driver is started, and a destination path of the reparsing target object. It includes a SecureFS driver module for converting and processing the access control function for the execution operation of the reparsing destination path, and manages the data,
The SecureFS management module manages a reparse point policy for processing a query, add, modify, and delete a request for a path, a target path, and a process policy of a target object to be reparsed, and processes a query and a setup request for an operating environment. An automatic malware collection system, comprising a SecureFS management sub-unit that processes process information settings before starting and drives the existing SecureFS management module driver.
상기 SecureFS 관리 모듈에서 생성된 파일 정보를 수집하고 상기 SecureFS 관리 모듈에서 생성된 실행 파일 차단 로그를 수집하는 감사관리 서브부를 포함하는 것을 특징으로 하는 악성코드 자동 수집 시스템.
The method of claim 1, wherein the SecureFS management module,
And an audit management sub-unit configured to collect file information generated by the SecureFS management module and collect execution file blocking logs generated by the SecureFS management module.
상기 SecureFS 드라이버 모듈은,
상기 Reparsing 대상객체에 대한 주체 프로세스의 읽기, 생성 및 실행 오퍼레이션에 대하여 상기 Reparsing 목적 경로로 경로를 변환하여 IO Manager로 반환함으로써, 상기 Reparsing 기능을 제공하고, 상기 Reparsing 목적 경로의 실행 오퍼레이션에 대하여 접근통제 기능을 수행하며, 상기 Reparsing 대상 목록, 프로세스 목록, 운영 모드, 위반 감사 로그, 파일 생성 정보, 파일 생성 정보 생성, 위반 감사 로그 생성 데이터를 관리하는 커널관리 서브부를 포함하는 것을 특징으로 하는 악성코드 자동 수집 시스템.
The method of claim 1,
The SecureFS driver module,
By converting the path into the reparsing destination path for the read, create and execute operations of the subject process for the reparsing target object and returning it to the IO Manager, the reparsing function is provided and the access control is executed for the execution operation of the reparsing destination path. It performs a function, malicious code, characterized in that it comprises a kernel management sub-unit for managing the reparsing target list, process list, operation mode, violation audit log, file generation information, file generation information generation, violation audit log generation data Collection system.
상기 SecureFS 드라이버 모듈은,
상기 IO Manager로부터 전송받은 파일 경로를 재설정하거나 파일 실행을 차단하는 파일 생성관리 서브부를 포함하는 것을 특징으로 하는 악성코드 자동 수집 시스템.5. The method of claim 4,
The SecureFS driver module,
Automatically collect malware, characterized in that it comprises a file generation management sub-unit for resetting the file path received from the IO Manager or block file execution.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020100131406A KR101234063B1 (en) | 2010-12-21 | 2010-12-21 | Malicious code, the system automatically collects |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020100131406A KR101234063B1 (en) | 2010-12-21 | 2010-12-21 | Malicious code, the system automatically collects |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20120070021A KR20120070021A (en) | 2012-06-29 |
KR101234063B1 true KR101234063B1 (en) | 2013-02-15 |
Family
ID=46687979
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020100131406A KR101234063B1 (en) | 2010-12-21 | 2010-12-21 | Malicious code, the system automatically collects |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR101234063B1 (en) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101585968B1 (en) | 2014-06-16 | 2016-01-15 | 주식회사 예티소프트 | Apparatus for detecting a web shell and method for controlling function execution using the same |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20060133728A (en) * | 2005-06-21 | 2006-12-27 | 주식회사 안철수연구소 | Method and apparatus and system for cutting malicious codes |
KR100688604B1 (en) * | 2004-11-18 | 2007-03-02 | 고려대학교 산학협력단 | Apparatus and method for intercepting malicious executable code in the network |
-
2010
- 2010-12-21 KR KR1020100131406A patent/KR101234063B1/en not_active IP Right Cessation
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100688604B1 (en) * | 2004-11-18 | 2007-03-02 | 고려대학교 산학협력단 | Apparatus and method for intercepting malicious executable code in the network |
KR20060133728A (en) * | 2005-06-21 | 2006-12-27 | 주식회사 안철수연구소 | Method and apparatus and system for cutting malicious codes |
Also Published As
Publication number | Publication date |
---|---|
KR20120070021A (en) | 2012-06-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102413142A (en) | Active defense method based on cloud platform | |
CN101667232B (en) | Terminal credible security system and method based on credible computing | |
JP5144488B2 (en) | Information processing system and program | |
CN103020524A (en) | Computer virus monitoring system | |
CN108121914A (en) | A kind of document, which is divulged a secret, protects tracing system | |
CN104392176A (en) | Mobile terminal and method for intercepting device manager authority thereof | |
JP2017527864A (en) | Patch file analysis system and analysis method | |
CN103473501B (en) | A kind of Malware method for tracing based on cloud security | |
CN101877039A (en) | Fault detection technology of server operating system | |
CN104270467A (en) | Virtual machine managing and controlling method for mixed cloud | |
CN102882875B (en) | Active defense method and device | |
CN103049695A (en) | Computer virus monitoring method and device | |
US20160371492A1 (en) | Method and system for searching and killing macro virus | |
KR101068931B1 (en) | Web Shell Monitoring System and Method based on Pattern Detection | |
CN104881483B (en) | Automatic detection evidence collecting method for the attack of Hadoop platform leaking data | |
CN110688653A (en) | Client security protection method and device and terminal equipment | |
JP2013257773A (en) | Monitoring device and monitoring method | |
US20060015939A1 (en) | Method and system to protect a file system from viral infections | |
CN103001937B (en) | The system and method for isolated island formula Ethernet defence mobile memory medium virus | |
CN103430153B (en) | Inoculator and antibody for computer security | |
KR101234066B1 (en) | Web / email for distributing malicious code through the automatic control system and how to manage them | |
CN116708033B (en) | Terminal security detection method and device, electronic equipment and storage medium | |
KR101234063B1 (en) | Malicious code, the system automatically collects | |
CN105893376A (en) | Database access supervision method | |
CN105791221B (en) | Rule issuing method and device |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
LAPS | Lapse due to unpaid annual fee |