KR101398852B1 - 스크립트를 이용한 멀웨어 치료 시스템 및 방법 - Google Patents

스크립트를 이용한 멀웨어 치료 시스템 및 방법 Download PDF

Info

Publication number
KR101398852B1
KR101398852B1 KR1020130015291A KR20130015291A KR101398852B1 KR 101398852 B1 KR101398852 B1 KR 101398852B1 KR 1020130015291 A KR1020130015291 A KR 1020130015291A KR 20130015291 A KR20130015291 A KR 20130015291A KR 101398852 B1 KR101398852 B1 KR 101398852B1
Authority
KR
South Korea
Prior art keywords
treatment
script
malware
pattern
diagnosis
Prior art date
Application number
KR1020130015291A
Other languages
English (en)
Inventor
김정걸
Original Assignee
주식회사 잉카인터넷
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 잉카인터넷 filed Critical 주식회사 잉카인터넷
Priority to KR1020130015291A priority Critical patent/KR101398852B1/ko
Application granted granted Critical
Publication of KR101398852B1 publication Critical patent/KR101398852B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/568Computer malware detection or handling, e.g. anti-virus arrangements eliminating virus, restoring damaged files
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • General Health & Medical Sciences (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Stored Programmes (AREA)

Abstract

이 발명은 서버-클라이언트 기반으로 스크립트를 이용하여 클라이언트를 감염시킨 멀웨어를 치료하는 시스템 및 방법에 관한 것이다.
이 발명에 따른 스크립트를 이용한 멀웨어 치료 시스템은, 클라이언트에 설치되어 검진 대상 파일로부터 진단 패턴을 추출하여 안티 멀웨어 서버에게 전송하고 상기 안티 멀웨어 서버로부터 치료 스크립트를 수신하는 안티 멀웨어 엔진을 포함하는 스크립트를 이용한 멀웨어 치료 시스템에 있어서, 상기 안티 멀웨어 엔진은 상기 검진 대상 파일로부터 진단 패턴을 추출하는 패턴추출기와, 상기 패턴추출기에서 추출된 진단 패턴을 상기 안티 멀웨어 서버로 전송하고 상기 안티 멀웨어 서버로부터 진단명과 진단패턴과 치료스크립트를 수신하는 치료스크립트획득부와, 다수의 치료 모듈들로 이루어진 치료모듈블럭과, 상기 치료스크립트획득부에서 획득된 치료스크립트를 해석하는 스크립트해석기와, 상기 스크립트해석기에서 해석된 치료스크립트에 따라 상기 치료모듈블럭에 포함된 적어도 하나 이상의 치료모듈들을 호출하여 상기 검진 대상 파일을 치료하는 치료부를 포함한다.

Description

스크립트를 이용한 멀웨어 치료 시스템 및 방법 {Malware Treatment System and Method using a script}
이 발명은 멀웨어 치료 시스템 및 방법에 관한 것으로서, 보다 상세하게는 서버-클라이언트 구조를 기반으로 스크립트를 이용하여 클라이언트를 감염시킨 멀웨어를 치료하는 시스템 및 방법에 관한 것이다.
광범위한 인터넷의 보급이 이루어지고 있는 한편, 통신망을 통한 악성 소프트웨어(Malicious Software) 또는 악성 코드(Malicious Code)의 전염 경로도 다양해지고 있으며, 이로 인한 피해 정도가 매년 증가하고 있다. 악성 코드란 사용자의 의사와 이익에 반하여 시스템을 파괴하거나 정보를 유출하는 등 악의적 활동을 수행하도록 의도적으로 제작된 소프트웨어를 말한다.
이러한 악성 코드의 종류로는 바이러스(virus), 웜(worm), 트로이얀(trojan), 백도어(backdoor), 논리폭탄(Logic Bomb), 트랩도어(Trap Door) 등의 해킹툴 및 악의적인 스파이웨어(spyware), 애드웨어(ad-ware) 등이 있다. 이들은 자기복제나 자동번식 기능을 통하여, 사용자 ID와 암호 등의 개인정보 유출, 대상 시스템 통제, 파일 삭제변경/시스템 파괴, 응용프로그램/시스템의 서비스 거부, 핵심 자료 유출, 다른 해킹 프로그램 설치 등의 문제를 일으키고 있으며, 그 피해도 매우 다양하고 심각하다.
이러한, 악성 코드를 차단하기 위해 클라이언트 시스템에는 안티 바이러스 프로그램이 설치된다. 이 안티 바이러스 프로그램은, 서버로부터 악성 코드 파일에 관련된 시그너쳐 패턴과 그 치료법을 다운로드받아 데이터베이스에 저장하고, 검사 대상 파일의 코드 패턴과 악성 시그너쳐 패턴을 비교하여 검사 대상 파일이 악성 코드인지인지 여부를 검출하며, 치료 가능한 악성 코드이면 데이터베이스에 저장된 치료법으로 치료한다.
신종 또는 변종의 바이러스가 끊임없이 개발되어 배포됨에 따라 모든 신종/변종의 바이러스를 검출하기 위한 악성 시그너쳐 패턴이 점차 증가하고 있으며, 이로 인해 악성 시그너쳐 패턴 데이터베이스의 크기가 점차 커지고 있다. 이 때문에, 클라이언트 사용자가 주기적으로 악성 시그너쳐 패턴 데이터베이스를 업데이트하지 않으면 신변종 바이러스를 검진하거나 치료할 수 없는 문제점이 있다. 또한, 클라이언트 시스템에 악성 시그너쳐 패턴을 업데이트하는데 많은 시간이 소요되고, 클라이언트 시스템은 이 악성 시그너쳐 패턴 데이터베이스를 저장하기 위해 많은 메모리 공간이 소모되며, 검사 대상 파일의 코드 패턴과 동일한 악성 시그너쳐 패턴을 검진하는 데에도 많은 시간이 소요되는 문제점이 있다.
또한, 일부 악성코드는 특정 프로그램을 제한적으로 감염시키는데, 종래의 안티 바이러스 프로그램은 동일한 버전의 악성 시그너쳐 패턴이 모든 클라이언트 컴퓨터에 동일하게 다운로드되어 설치된다. 이 때문에 클라이언트 컴퓨터에 설치되지 않은 프로그램을 감염시키는 악성코드를 검출하기 위한 악성 시그너쳐 패턴과 그 치료법까지 데이터베이스에 저장하여야 하기 때문에 메모리 공간이 불필요하게 소모되고, 불필요한 악성 시그너쳐 패턴 때문에 검사 대상 파일을 검진하는데에도 많은 시간이 소요되는 문제점이 있다.
상술한 종래기술의 문제점을 해결하기 위하여 안출된 이 발명의 목적은, 서버-클라이언트 구조를 기반으로 클라이언트를 감염시킨 멀웨어를 검진하고 스크립트를 이용하여 멀웨어에 감염된 클라이언트를 치료하는 시스템 및 방법을 제공하기 위한 것이다.
상술한 목적을 달성하기 위한 이 발명에 따른 스크립트를 이용한 멀웨어 치료 시스템은, 클라이언트에 설치되어 검진 대상 파일로부터 진단 패턴을 추출하여 안티 멀웨어 서버에게 전송하고 상기 안티 멀웨어 서버로부터 치료 스크립트를 수신하는 안티 멀웨어 엔진을 포함하는 스크립트를 이용한 멀웨어 치료 시스템에 있어서, 상기 안티 멀웨어 엔진은 상기 검진 대상 파일로부터 진단 패턴을 추출하는 패턴추출기와, 상기 패턴추출기에서 추출된 진단 패턴을 상기 안티 멀웨어 서버로 전송하고 상기 안티 멀웨어 서버로부터 진단명과 진단패턴과 치료스크립트를 수신하는 치료스크립트획득부와, 다수의 치료 모듈들로 이루어진 치료모듈블럭과, 상기 치료스크립트획득부에서 획득된 치료스크립트를 해석하는 스크립트해석기와, 상기 스크립트해석기에서 해석된 치료스크립트에 따라 상기 치료모듈블럭에 포함된 적어도 하나 이상의 치료모듈들을 호출하여 상기 검진 대상 파일을 치료하는 치료부를 포함한 것을 특징으로 한다.
이 발명에 따른 스크립트를 이용한 멀웨어 치료 방법은, 클라이언트에 설치되어 검진 대상 파일로부터 진단 패턴을 추출하여 안티 멀웨어 서버에게 전송하고 상기 안티 멀웨어 서버로부터 치료 스크립트를 수신하는 안티 멀웨어 엔진을 포함하는 멀웨어 치료 시스템의 스크립트를 이용한 멀웨어 치료 방법에 있어서, 상기 안티 멀웨어 엔진이 상기 검진 대상 파일로부터 진단 패턴을 추출하는 패턴추출단계와, 상기 안티 멀웨어 엔진이 상기 패턴추출단계에서 추출된 진단 패턴을 상기 안티 멀웨어 서버로 전송하고 상기 안티 멀웨어 서버로부터 진단명과 진단패턴과 치료스크립트를 수신하는 치료스크립트획득단계와, 상기 안티 멀웨어 엔진이 상기 치료스크립트획득단계에서 획득된 치료스크립트를 해석하는 스크립트해석단계와, 상기 안티 멀웨어 엔진이 상기 스크립트해석단계에서 해석된 치료스크립트에 따라 적어도 하나 이상의 치료모듈들을 호출하여 상기 검진 대상 파일을 치료하는 치료단계를 포함한 것을 특징으로 한다.
이상과 같이 이 발명에 따르면, 클라이언트에 최신의 악성 시그너쳐 패턴 데이터베이스가 구비되지 않아도 서버-클라이언트 구조로서 클라이언트와 서버가 통신하여 클라이언트를 감염시킨 멀웨어를 검진하고, 스크립트를 이용하여 멀웨어에 감염된 클라이언트를 치료할 수 있는 잇점이 있다.
도 1은 이 발명에 따른 스크립트를 이용한 멀웨어 치료 시스템을 도시한 구성 블록도이다.
도 2는 이 발명에 따른 스크립트를 이용한 멀웨어 치료 방법을 도시한 동작 흐름도이다.
이하, 첨부된 도면을 참조하여 이 발명에 따른 스크립트를 이용한 멀웨어 치료 시스템 및 방법에 대해 상세하게 설명한다.
도 1은 이 발명에 따른 스크립트를 이용한 멀웨어 치료 시스템을 도시한 구성 블록도이다.
이 발명의 멀웨어 치료 시스템은, 클라이언트에 설치되어 검진 대상 파일로부터 진단 패턴을 추출하여 안티 멀웨어 서버(120)에게 전송하고 상기 안티 멀웨어 서버(120)로부터 수신된 치료 스크립트를 해석하여 상기 검진 대상 파일을 치료하는 안티 멀웨어 엔진(110)과, 상기 진단 패턴이 수신되면 상기 진단 패턴에 따른 진단명과 치료 스크립트를 추출하여 상기 안티 멀웨어 엔진(110)에게 전송하는 상기 안티 멀웨어 서버(120)를 포함한다.
안티 멀웨어 엔진(110)은 상기 검진 대상 파일로부터 진단 패턴을 추출하는 패턴추출기(111)와, 상기 패턴추출기(111)에서 추출된 진단 패턴을 상기 안티 멀웨어 서버(120)로 전송하고 상기 안티 멀웨어 서버(120)로부터 진단명과 진단패턴과 치료스크립트를 수신하는 치료스크립트획득부(112)와, 다수의 치료 모듈로 이루어진 치료모듈블럭(113)과, 상기 치료스크립트획득부(112)에서 획득된 치료스크립트를 해석하는 스크립트해석기(114)와, 상기 스크립트해석기(114) 해석된 치료스크립트에 따라 상기 치료모듈블럭(113)에 포함된 적어도 하나 이상의 치료모듈을 호출하여 상기 검진 대상 파일을 치료하는 치료부(115)를 포함한다.
상기 치료스크립트획득부(112)는 상기 안티 멀웨어 서버(120)로부터 수신된 진단명과 진단패턴과 치료스크립트를 치료스크립트저장부(116)에 저장한다. 치료스크립트획득부(112)는 패턴추출기(111)에서 추출된 진단패턴에 대응하는 치료스크립트를 상기 치료스크립트저장부(116)에서 검색하여, 상기 추출된 진단패턴에 대응하는 치료스크립트가 상기 치료스크립트저장부(116)에 저장되어 있으면 상기 치료스크립트저장부(116)에 저장된 치료스크립트를 상기 스크립트해석기(114)에게 제공하고, 상기 추출된 진단패턴에 대응하는 치료스크립트가 상기 치료스크립트저장부(116)에 저장되어 있지 않으면 상기 추출된 진단패턴을 상기 안티 멀웨어 서버(120)에게 전송한다.
상기 안티 멀웨어 서버(120)는 진단패턴과 진단명이 대응되어 저장되는 진단명데이터베이스(121)와, 상기 안티 멀웨어 엔진(110)으로부터 수신된 진단패턴을 상기 진단명데이터베이스(121)에 적용하여 상기 수신된 진단패턴에 대응하는 진단명을 추출하는 진단명추출부(122)와, 진단명과 치료스크립트가 대응되어 저장되는 치료스크립트데이터베이스(123)와, 상기 진단명추출부(122)에서 추출된 진단명을 상기 치료스크립트데이터베이스(123)에 적용하여 상기 추출된 진단명에 대응하는 치료스크립트를 추출하고 상기 안티 멀웨어 엔진(110)으로부터 수신된 진단패턴과 상기 추출된 진단명 및 치료스크립트를 상기 안티 멀웨어 엔진(110)에게 전송하는 치료스크립트추출부(124)를 포함한다.
치료모듈블록(113)에 포함된 다수의 치료모듈에는, 파일 입출력모듈, 파일 분석모듈, 프로세스 열거모듈, 프로세스 킬 모듈, 파일 삭제 모듈, 레지스트리 열거 모듈, 은닉 루트킷 검출 모듈, 루트킷 삭제 모듈 등이 포함된다.
치료스크립트는 이 다수의 치료모듈 중 호출 대상 치료모듈들과 호출 순서 정보가 포함된다. 예컨대, 멀웨어의 종류에 따라 파일 분석모듈을 호출하여 감염 위치를 분석한 후 파일 입출력모듈을 호출하여 다시 쓰기를 시도함으로써 멀웨어를 치료할 수도 있고, 프로세스 열거모듈을 호출한 후 프로세스 킬 모듈을 호출하여 특정 프로세스를 제거함으로써 멀웨어를 치료할 수도 있다.
안티 멀웨어 서버(120)는 임의의 멀웨어에 대한 진단명과 진단패턴과 치료스크립트를 생성하여 진단명데이터베이스(121) 및 치료스크립트데이터베이스(123)에 저장하는 치료스크립트생성부(125)를 더 포함한다.
치료스크립트생성부(125)는 임의의 멀웨어를 수집하여 가상머신에서 실행하여 상기 수집된 멀웨어의 행위를 추출한다. 즉, 멀웨어에 의해 감염되는 파일의 감염 영역, 멀웨어 감염으로 인해 추가 생성되는 파일, 레지스트리 변경 사항, 안티 루트킷 여부를 파악하며, 멀웨어의 행위를 바탕으로 멀웨어 감염 전으로 복귀시키기 위한 치료스크립트를 생성하고, 진단명과 진단패턴을 생성한다. 그리고, 생성된 진단명과 진단패턴과 치료스크립트를 검증하는 과정을 수행한다. 검증 방법은, 클린(clean) PC에 수집된 멀웨어와, 상기 멀웨어를 분석하여 생성된 진단명과 진단패턴과 치료스크립트를 함께 실행시켜서 진단패턴이 멀웨어를 검출하는지 그리고 치료스크립트가 해당 멀웨어를 치료하는지 등을 검증한다. 검증 결과 치료가 실패되면, 상기 멀웨어의 행위를 분석하는 단계부터 반복 수행하여 새로운 진단명과 진단패턴과 치료스크립트를 추출한다. 검증 결과 치료가 성공되면, 진단명과 진단패턴을 매칭하여 진단명데이터베이스(121)에 저장하고, 진단명과 치료스크립트를 매칭하여 치료스크립트데이터베이스(123)에 저장한다.
이하, 이 발명에 따른 스크립트를 이용한 멀웨어 치료 시스템의 멀웨어 치료 방법을 설명한다.
도 2는 이 발명에 따른 스크립트를 이용한 멀웨어 치료 방법을 도시한 동작 흐름도이다.
안티 멀웨어 엔진(110)은 다수의 치료모듈로 이루어진 치료모듈블록을 포함하고, 안티 멀웨어 서버(120)는 수집된 모든 멀웨어에 대한 진단명과 진단패턴을 매칭하여 저장한 진단명데이터베이스(121)와 진단명과 치료스크립트를 매칭하여 저장한 치료스크립트데이터베이스(123)를 포함한다.
안티 멀웨어 엔진(110)의 패턴추출기(111)는 검진 대상 파일에 대해 기설정된 규칙에 따라 검진패턴을 추출한다(S21). 패턴추출기(111)에서 검진 대상 파일로부터 검진패턴을 추출하는 규칙은, 치료스크립트생성부(125)에서 멀웨어로부터 검진패턴을 추출하는 규칙과 동일하다.
치료스크립트획득부(112)는 패턴추출기(111)에서 추출된 검진패턴을 치료스크립트저장부(116)에 적용하여 추출된 검진패턴에 대응하는 치료스크립트가 저장되어 있는지를 검색한다(S22). 추출된 검진패턴에 대응하는 치료스크립트가 치료스크립트저장부(116)에 존재하면(S23), 치료스크립트저장부(116)로부터 치료스크립트를 획득하고(S24), 추출된 검진패턴에 대응하는 치료스크립트가 치료스크립트저장부(116)에 존재하지 않으면(S23), 상기 추출된 검진패턴을 안티 멀웨어 서버(120)에 전송하여 안티 멀웨어 서버(120)로부터 치료스크립트를 획득한다(S25).
안티 멀웨어 서버(120)는 수집된 멀웨어 대해 진단명과 진단패턴을 매칭하여 저장한 진단명데이터베이스와, 진단명과 치료스크립트를 매칭하여 저장한 치료스크립트데이터베이스를 구비하고, 안티 멀웨어 엔진(110)에서 검진 대상 파일의 진단패턴이 수신되면 상기 수신된 진단패턴을 진단명데이터베이스와 치료스크립트데이터베이스에 적용하여 진단명과 치료스크립트를 추출한다. 그리고, 안티 멀웨어 서버(120)는 수신된 진단패턴과 추출된 진단명 및 치료스크립트를 안티 멀웨어 엔진(110)에게 발송하는데, 안티 멀웨어 서버(120)는 치료스크립트를 암호화하고 압축하며 전자서명한 후 발송하고 안티 멀웨어 엔진(110)은 수신된 치료스크립트에 대해 전자서명을 검증하고 압축해제 후 암호를 해독한다.
단계 S25에서 안티 멀웨어 엔진은 안티 멀웨어 서버로부터 치료스크립트를 획득하고, 안티 멀웨어 서버로부터 획득된 진단패턴과 진단명과 치료스크립트를 치료스크립트저장부(116)에 저장한다(S26).
단계 S26을 통해 치료스크립트저장부(116)에는 클라이언트 시스템에서 검출된 멀웨어에 대한 진단패턴과 치료스크립트 정보가 축적되어, 이후 동일한 멀웨어의 진단패턴이 추출되면 안티 멀웨어 서버(120)의 통신없이 동일한 치료스크립트를 적용하여 치료할 수 있다. 이렇게 치료스크립트저장부(116)에 저장되는 진단패턴과 치료스크립트는 클라이언트에 설치된 프로그램을 감염시키는 악성코드(멀웨어)를 진단 및 치료하기 위한 정보에 해당한다.
단계 S24 또는 단계 S26을 통해 치료스크립트가 획득되면, 스크립트해석기(114)는 획득된 치료스크립트를 해석한다(S27). 이 치료스크립트는 치료모듈블록 중 호출 대상 치료모듈들 정보 및 그 호출 순서 정보를 포함하며, 안티 멀웨어 엔진(110)에서만 해석이 가능하도록 처리되어 전송 및 저장된다. 스크립트해석기(114)는 치료스크립트를 분석하여 호출 대상 치료모듈들 정보 및 그 호출 순서 정보를 추출한다.
마지막으로, 치료부(115)는 해석된 치료스크립트에 따라 호출대상 치료모듈들을 그 호출 순서대로 순차적으로 호출하여 상기 검진대상파일을 치료한다(S28).
한편, 안티 멀웨어 서버(120)는 상기 수신된 진단패턴이 상기 진단명데이터베이스에 없는 경우 악성코드 미발견으로 통지할 수도 있다. 또는, 안티 멀웨어 서버(120)는 추출된 진단명이 디폴트 치료 대상인 경우에는 진단명만을 안티 멀웨어 엔진(110)에게 전송할 수도 있다. 여기서, 디폴트 치료스크립트라 함은 모든 악성코드(멀웨어)에 공통적으로 적용가능한 치료 방법을 의미한다. 안티 멀웨어 엔진(110)은 진단명만 수신될 경우 디폴트 치료스크립트를 수행하여 검진대상파일을 치료할 수도 있다.
이 발명의 다른 실시예에 대해 설명한다.
앞서 언급하였듯이 일부 악성코드는 특정 프로그램을 제한적으로 감염시키고, 어플리케이션 제품에 따라 서로 다른 종류의 멀웨어를 진단 및 치료하기를 원할 수 있다. 예컨대, 게임보안어플리케이션은 게임핵과 관련된 멀웨어만을 진단 및 치료하기를 원할 뿐 게임과 관련없는 멀웨어에 대해서는 진단조차 하지 않기를 원한다. 왜냐하면 진단에도 컴퓨터 자원이 소모되어 게임의 속도를 느려지게 함으로써 게이머의 불만이 도출될 수 있기 때문이다. 또는, 금융보안어플리케이션의 경우에는 게임핵과 관련된 멀웨어는 진단하고 싶지 않을 수도 있다.
이를 위해, 이 발명의 안티 멀웨어 엔진의 치료스크립트획득부는 안티 멀웨어 서버에게 상기 패턴추출기에서 추출된 진단패턴과 함께 상기 안티 멀웨어 엔진의 제품식별자 정보를 더 전송한다. 안티 멀웨어 서버는 진단명데이터베이스를 제품식별자 별로 구분하여 구축한다. 진단명추출부(122)는 안티 멀웨어 엔진으로부터 제품식별자와 진단패턴이 수신되면, 수신된 제품식별자에 대응하는 진단명데이터베이스만으로부터 상기 수신된 진단패턴에 대응되는 진단명을 추출한다. 즉, 수신된 제품식별자에 대응하는 진단명데이터베이스에 상기 수신된 진단패턴에 대응하는 진단명이 없을 경우에는, 비록 해당 진단패턴이 다른 진단명데이터베이스에는 포함되어 있더라도, 악성코드 미발견으로 회신할 수도 있다.
이상에서 본 발명에 대한 기술사상을 첨부도면과 함께 서술하였지만, 이는 본 발명의 가장 양호한 실시예를 예시적으로 설명한 것이지 본 발명을 한정하는 것은 아니다. 또한, 이 기술분야의 통상의 지식을 가진 자라면 누구나 본 발명의 기술사상의 범주를 이탈하지 않는 범위 내에서 다양한 변형 및 모방이 가능함은 명백한 사실이다.
110 : 안티 멀웨어 엔진 111 : 패턴추출기
112 : 치료스크립트획득부 113 : 치료모듈블록
114 : 스크립트해석기 115 : 치료부
116 : 치료스크립트저장부 120 : 안티 멀웨어 서버
121 : 진단명데이터베이스 122 : 진단명추출부
123 : 치료스크립트데이터베이스 124 : 치료스크립트추출부
125 : 치료스크립트생성부

Claims (15)

  1. 클라이언트에 설치되어 검진 대상 파일로부터 진단 패턴을 추출하여 안티 멀웨어 서버에게 전송하고 상기 안티 멀웨어 서버로부터 치료 스크립트를 수신하는 안티 멀웨어 엔진을 포함하는 스크립트를 이용한 멀웨어 치료 시스템에 있어서,
    상기 안티 멀웨어 엔진은 상기 검진 대상 파일로부터 진단 패턴을 추출하는 패턴추출기와,
    상기 패턴추출기에서 추출된 진단 패턴을 상기 안티 멀웨어 서버로 전송하고 상기 안티 멀웨어 서버로부터 진단명과 진단패턴과 치료스크립트를 수신하는 치료스크립트획득부와,
    다수의 치료 모듈들로 이루어진 치료모듈블럭과,
    상기 치료스크립트획득부에서 획득된 치료스크립트를 해석하는 스크립트해석기와,
    상기 스크립트해석기에서 해석된 치료스크립트에 따라 상기 치료모듈블럭에 포함된 적어도 하나 이상의 치료모듈들을 호출하여 상기 검진 대상 파일을 치료하는 치료부를 포함한 것을 특징으로 하는 스크립트를 이용한 멀웨어 치료 시스템.
  2. 제 1 항에 있어서, 상기 안티 멀웨어 서버로부터 수신된 진단명과 진단패턴과 치료스크립트를 저장하는 치료스크립트저장부를 더 포함하는 것을 특징으로 하는 스크립트를 이용한 멀웨어 치료 시스템.
  3. 제 2 항에 있어서, 상기 치료스크립트획득부는 상기 패턴추출기에서 추출된 진단패턴에 대응하는 치료스크립트가 상기 치료스크립트저장부에 존재하면 상기 치료스크립트저장부에 저장된 치료스크립트를 상기 스크립트해석기에게 제공하고, 상기 패턴추출기에서 추출된 진단패턴에 대응하는 치료스크립트가 상기 치료스크립트저장부에 존재하지 않으면 상기 추출된 진단패턴을 상기 안티 멀웨어 서버에게 전송하는 것을 특징으로 하는 스크립트를 이용한 멀웨어 치료 시스템.
  4. 제 1 항에 있어서, 상기 치료스크립트는 상기 치료모듈블럭 중 호출 대상 치료모듈들 정보 및 호출 순서 정보를 포함하는 것을 특징으로 하는 스크립트를 이용한 멀웨어 치료 시스템.
  5. 제 1 항에 있어서, 상기 치료스크립트획득부는 상기 패턴추출기에서 추출된 진단패턴과 함께 제품식별자 정보를 더 전송하는 것을 특징으로 하는 스크립트를 이용한 멀웨어 치료 시스템.
  6. 제 1 항에 있어서, 상기 안티 멀웨어 서버는 다수의 진단패턴과 진단명이 매칭되어 저장되는 진단명데이터베이스와, 상기 안티 멀웨어 엔진으로부터 수신된 진단패턴을 상기 진단명데이터베이스에 적용하여 상기 수신된 진단패턴에 대응하는 진단명을 추출하는 진단명추출부와, 다수의 진단명과 치료스크립트가 매칭되어 저장되는 치료스크립트데이터베이스와, 상기 진단명추출부에서 추출된 진단명을 상기 치료스크립트데이터베이스에 적용하여 상기 추출된 진단명에 대응하는 치료스크립트를 추출하고 상기 수신된 진단패턴과 상기 추출된 진단명 및 치료스크립트를 상기 안티 멀웨어 엔진에게 전송하는 치료스크립트추출부를 포함한 것을 특징으로 하는 스크립트를 이용한 멀웨어 치료 시스템.
  7. 제 6 항에 있어서, 상기 진단명데이터베이스는 제품식별자별로 구비되는 것을 특징으로 하는 스크립트를 이용한 멀웨어 치료 시스템.
  8. 제 7 항에 있어서, 상기 안티 멀웨어 서버는 상기 안티 멀웨어 엔진으로부터 진단패턴과 함께 제품식별자 정보를 더 수신하고, 상기 수신된 제품식별자 정보에 대응하는 진단명데이터베이스로부터 상기 수신된 진단패턴에 대응되는 진단명을 추출하는 것을 특징으로 하는 스크립트를 이용한 멀웨어 치료 시스템.
  9. 클라이언트에 설치되어 검진 대상 파일로부터 진단 패턴을 추출하여 안티 멀웨어 서버에게 전송하고 상기 안티 멀웨어 서버로부터 치료 스크립트를 수신하는 안티 멀웨어 엔진을 포함하는 멀웨어 치료 시스템의 스크립트를 이용한 멀웨어 치료 방법에 있어서,
    상기 안티 멀웨어 엔진이 상기 검진 대상 파일로부터 진단 패턴을 추출하는 패턴추출단계와,
    상기 안티 멀웨어 엔진이 상기 패턴추출단계에서 추출된 진단 패턴을 상기 안티 멀웨어 서버로 전송하고 상기 안티 멀웨어 서버로부터 진단명과 진단패턴과 치료스크립트를 수신하는 치료스크립트획득단계와,
    상기 안티 멀웨어 엔진이 상기 치료스크립트획득단계에서 획득된 치료스크립트를 해석하는 스크립트해석단계와,
    상기 안티 멀웨어 엔진이 상기 스크립트해석단계에서 해석된 치료스크립트에 따라 적어도 하나 이상의 치료모듈들을 호출하여 상기 검진 대상 파일을 치료하는 치료단계를 포함한 것을 특징으로 하는 스크립트를 이용한 멀웨어 치료 방법.
  10. 제 9 항에 있어서, 상기 안티 멀웨어 엔진이 상기 안티 멀웨어 서버로부터 수신된 진단명과 진단패턴과 치료스크립트를 치료스크립트저장부에 저장하는 치료스크립트저장단계를 더 포함하는 것을 특징으로 하는 스크립트를 이용한 멀웨어 치료 방법.
  11. 제 10 항에 있어서, 상기 치료스크립트획득단계는 상기 안티 멀웨어 엔진이 상기 패턴추출단계에서 추출된 진단패턴에 대응하는 치료스크립트가 상기 치료스크립트저장부에 존재하면 상기 치료스크립트저장부에 저장된 치료스크립트를 획득하고, 상기 패턴추출단계에서 추출된 진단패턴에 대응하는 치료스크립트가 상기 치료스크립트저장부에 존재하지 않으면 상기 추출된 진단패턴을 상기 안티 멀웨어 서버에게 전송하여 획득하는 것을 특징으로 하는 스크립트를 이용한 멀웨어 치료 방법.
  12. 제 9 항에 있어서, 상기 치료스크립트는 호출 대상 치료모듈들 정보 및 호출 순서 정보를 포함하는 것을 특징으로 하는 스크립트를 이용한 멀웨어 치료 방법.
  13. 제 9 항에 있어서, 상기 치료스크립트획득단계는 상기 안티 멀웨어 엔진이 상기 안티 멀웨어 서버에게 상기 패턴추출단계에서 추출된 진단패턴과 함께 제품식별자 정보를 더 전송하는 것을 특징으로 하는 스크립트를 이용한 멀웨어 치료 방법.
  14. 제 9 항에 있어서, 상기 치료스크립트획득단계는,
    상기 안티 멀웨어 서버가 상기 안티 멀웨어 엔진으로부터 수신된 진단패턴을 진단명데이터베이스에 적용하여 상기 수신된 진단패턴에 대응하는 진단명을 추출하는 진단명추출단계와,
    상기 안티 멀웨어 서버가 상기 진단명추출단계에서 추출된 진단명을 치료스크립트데이터베이스에 적용하여 상기 추출된 진단명에 대응하는 치료스크립트를 추출하는 치료스크립트추출단계를 더 포함한 것을 특징으로 하는 스크립트를 이용한 멀웨어 치료 방법.
  15. 제 14 항에 있어서, 상기 진단명데이터베이스는 제품식별자별로 구비되고,
    상기 진단명추출단계는 상기 안티 멀웨어 서버가 상기 안티 멀웨어 엔진으로부터 진단패턴과 함께 제품식별자 정보를 더 수신하여, 상기 수신된 제품식별자 정보에 대응하는 진단명데이터베이스로부터 상기 수신된 진단패턴에 대응되는 진단명을 추출하는 것을 특징으로 하는 스크립트를 이용한 멀웨어 치료 방법.

KR1020130015291A 2013-02-13 2013-02-13 스크립트를 이용한 멀웨어 치료 시스템 및 방법 KR101398852B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020130015291A KR101398852B1 (ko) 2013-02-13 2013-02-13 스크립트를 이용한 멀웨어 치료 시스템 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020130015291A KR101398852B1 (ko) 2013-02-13 2013-02-13 스크립트를 이용한 멀웨어 치료 시스템 및 방법

Publications (1)

Publication Number Publication Date
KR101398852B1 true KR101398852B1 (ko) 2014-06-27

Family

ID=51131224

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020130015291A KR101398852B1 (ko) 2013-02-13 2013-02-13 스크립트를 이용한 멀웨어 치료 시스템 및 방법

Country Status (1)

Country Link
KR (1) KR101398852B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20160164887A1 (en) * 2013-07-18 2016-06-09 Beijing Qihoo Technology Company Limited Malicious Program Finding And Killing Device, Method And Server Based On Cloud Security

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20030042872A (ko) * 2001-11-26 2003-06-02 주식회사 비즈모델라인 바이러스 자동 차단 및 소멸 방법
JP2005523539A (ja) 2002-04-17 2005-08-04 コンピュータ アソシエイツ シンク,インコーポレイテッド エンタプライズネットワークにおける悪性コードの検知及び対抗
KR100613126B1 (ko) 2005-07-29 2006-08-17 (주)해피바이러스 컴퓨터에서의 악성 코드 제거 방법 및 그 장치, 그 방법을컴퓨터에서 실행시키기 위한 프로그램 코드를 기록한기록매체
KR100789722B1 (ko) 2006-09-26 2008-01-02 한국정보보호진흥원 웹 기술을 사용하여 전파되는 악성코드 차단시스템 및 방법

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20030042872A (ko) * 2001-11-26 2003-06-02 주식회사 비즈모델라인 바이러스 자동 차단 및 소멸 방법
JP2005523539A (ja) 2002-04-17 2005-08-04 コンピュータ アソシエイツ シンク,インコーポレイテッド エンタプライズネットワークにおける悪性コードの検知及び対抗
KR100613126B1 (ko) 2005-07-29 2006-08-17 (주)해피바이러스 컴퓨터에서의 악성 코드 제거 방법 및 그 장치, 그 방법을컴퓨터에서 실행시키기 위한 프로그램 코드를 기록한기록매체
KR100789722B1 (ko) 2006-09-26 2008-01-02 한국정보보호진흥원 웹 기술을 사용하여 전파되는 악성코드 차단시스템 및 방법

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20160164887A1 (en) * 2013-07-18 2016-06-09 Beijing Qihoo Technology Company Limited Malicious Program Finding And Killing Device, Method And Server Based On Cloud Security
US10027704B2 (en) * 2013-07-18 2018-07-17 Beijing Qihoo Technology Company Limited Malicious program finding and killing device, method and server based on cloud security

Similar Documents

Publication Publication Date Title
Aslan et al. Investigation of possibilities to detect malware using existing tools
KR102160659B1 (ko) 하드웨어-기반 마이크로-아키텍처 데이터를 이용한 이상 프로그램 실행의 검출
Carmony et al. Extract Me If You Can: Abusing PDF Parsers in Malware Detectors.
EP3093762B1 (en) Systems and methods for virtualization and emulation assisted malware detection
KR101122650B1 (ko) 정상 프로세스에 위장 삽입된 악성코드 탐지 장치, 시스템 및 방법
US8291500B1 (en) Systems and methods for automated malware artifact retrieval and analysis
JP5326062B1 (ja) 非実行ファイル検査装置及び方法
Blackthorne et al. {AVLeak}: Fingerprinting Antivirus Emulators through {Black-Box} Testing
EP1751649A1 (en) Systems and method for computer security
Pandey et al. Performance of malware detection tools: A comparison
Satrya et al. The detection of 8 type malware botnet using hybrid malware analysis in executable file windows operating systems
Abuzaid et al. An efficient trojan horse classification (ETC)
US10601867B2 (en) Attack content analysis program, attack content analysis method, and attack content analysis apparatus
Supriya et al. Malware detection techniques: a survey
Yin et al. Automatic malware analysis: an emulator based approach
Bhojani Malware analysis
KR101398852B1 (ko) 스크립트를 이용한 멀웨어 치료 시스템 및 방법
Kasama et al. Malware detection method by catching their random behavior in multiple executions
Kaur et al. Hybrid real-time zero-day malware analysis and reporting system
BELEA Methods for Detecting Malware Using Static, Dynamic and Hybrid Analysis
Starink Analysis and automated detection of host-based code injection techniques in malware
Rashmitha et al. Malware analysis and detection using reverse Engineering
Lee Malware and Attack Technologies Knowledge Area Issue
Poonia et al. Malware detection by token counting
Lu Analysis of evasion techniques in web-based malware

Legal Events

Date Code Title Description
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20180515

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20190515

Year of fee payment: 6