KR101427566B1 - system and method for reducing the danger of misdiagnosis - Google Patents

system and method for reducing the danger of misdiagnosis Download PDF

Info

Publication number
KR101427566B1
KR101427566B1 KR1020130012790A KR20130012790A KR101427566B1 KR 101427566 B1 KR101427566 B1 KR 101427566B1 KR 1020130012790 A KR1020130012790 A KR 1020130012790A KR 20130012790 A KR20130012790 A KR 20130012790A KR 101427566 B1 KR101427566 B1 KR 101427566B1
Authority
KR
South Korea
Prior art keywords
pattern
common
malicious code
white
black
Prior art date
Application number
KR1020130012790A
Other languages
Korean (ko)
Inventor
김정걸
이정한
박종혁
Original Assignee
주식회사 잉카인터넷
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 잉카인터넷 filed Critical 주식회사 잉카인터넷
Priority to KR1020130012790A priority Critical patent/KR101427566B1/en
Application granted granted Critical
Publication of KR101427566B1 publication Critical patent/KR101427566B1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/564Static detection by virus signature recognition

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • General Health & Medical Sciences (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Storage Device Security (AREA)

Abstract

The present invention relates to a system for processing misdiagnosis and a method thereof, capable of determining a malignant code by building a common pattern, a white pattern, and a black pattern and detecting the common pattern, the white pattern, and the black pattern for a test object program. The system for processing the misdiagnosis according to the present invention comprises a pattern database which comprises the common pattern, the white pattern, and the black pattern; a common pattern detecting unit which detects the common pattern from a test object file based on the pattern database; a feature pattern detecting unit which detects the white pattern or the black pattern from an area excluding the common pattern of the test object file based on the pattern database; and a determining unit which determines whether or not the test object file is the malignant code according to the white pattern or the black pattern detected from the feature pattern detecting unit.

Description

오진 처리 시스템 및 방법 {system and method for reducing the danger of misdiagnosis}BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to a system and method for reducing misdiagnosis,

이 발명은 오진 처리 시스템 및 방법에 관한 것으로서, 보다 상세하게는 공통 패턴, 화이트 패턴, 블랙 패턴을 각각 구축하고 검사 대상 프로그램에 대해 공통 패턴, 화이트 패턴, 블랙 패턴을 검출하여 악성 여부를 판단하는 오진 처리 시스템 및 방법에 관한 것이다.
The present invention relates to a misjudgment processing system and method, and more particularly, to a misjudgment processing system and method that construct a common pattern, a white pattern, and a black pattern, detect common patterns, white patterns, and black patterns, Processing system and method.

광범위한 인터넷의 보급이 이루어지고 있는 한편, 통신망을 통한 악성 소프트웨어(Malicious Software) 또는 악성 코드(Malicious Code)의 전염 경로도 다양해지고 있으며, 이로 인한 피해 정도가 매년 증가하고 있다. 악성 코드란 사용자의 의사와 이익에 반하여 시스템을 파괴하거나 정보를 유출하는 등 악의적 활동을 수행하도록 의도적으로 제작된 소프트웨어를 말한다.While the spread of the Internet has been widespread, the spread of malicious software (malicious software) or malicious code (malicious code) through the network has also been diversified, and the damage has increased every year. Malicious code refers to software that is intentionally made to perform malicious activities such as destroying the system or leaking information against the will and interest of the user.

이러한 악성 코드의 종류로는 바이러스(virus), 웜(worm), 트로이얀(trojan), 백도어(backdoor), 논리폭탄(Logic Bomb), 트랩도어(Trap Door) 등의 해킹툴 및 악의적인 스파이웨어(spyware), 애드웨어(ad-ware) 등이 있다. 이들은 자기복제나 자동번식 기능을 통하여, 사용자 ID와 암호 등의 개인정보 유출, 대상 시스템 통제, 파일 삭제변경/시스템 파괴, 응용프로그램/시스템의 서비스 거부, 핵심 자료 유출, 다른 해킹 프로그램 설치 등의 문제를 일으키고 있으며, 그 피해도 매우 다양하고 심각하다.These types of malicious code include hacking tools such as viruses, worms, trojans, backdoors, Logic Bombs, Trap Doors, and malicious spyware spyware, and adware. They are able to reproduce personal information such as user ID and password, control the target system, change file deletion / system destruction, deny service of application / system, leak key data, install other hacking program And the damage is very diverse and serious.

이러한, 악성 코드를 차단하기 위한 안티 바이러스 프로그램은 악성 코드 파일에 관련된 시그너쳐 패턴이 저장된 데이터베이스를 구비한다. 이 안티 바이러스 프로그램은 통상적으로 악성 코드 파일의 특징적인 시그너쳐 패턴과 정상 프로그램의 시그너쳐 패턴을 저장하고, 임의의 검사 대상 파일의 코드 패턴과 악성 시그너쳐 패턴 및 정상 프로그램 시그너쳐 패턴을 비교하여 검사 대상 파일이 악성 코드인지 혹은 정상 프로그램인지를 검출한다.The anti-virus program for blocking the malicious code includes a database storing signature patterns related to the malicious code file. This antivirus program typically stores a signature pattern of a malicious code file and a signature pattern of a normal program, compares a code pattern of an arbitrary file to be inspected with a malicious signature pattern and a normal program signature pattern, It is detected whether it is a code or a normal program.

그러나, 일부 악성 코드는 대부분 영역의 코드가 정상 프로그램과 동일하고, 극히 일부의 영역만이 악의적 특징을 포함한다. 이 경우, 안티 바이러스 프로그램이 해당 악성 코드를 검사할 경우, 정상 시그너쳐 패턴을 많이 포함하기 때문에 정상 프로그램으로 오진하게 될 문제점이 있다.
However, in some malicious codes, the code of the area is mostly the same as the normal program, and only a small part of the malicious code includes malicious features. In this case, when the antivirus program inspects the malicious code, there is a problem that the malicious code is misidentified as a normal program because it contains a lot of normal signature patterns.

상술한 종래기술의 문제점을 해결하기 위하여 안출된 이 발명의 목적은, 정상 시그너쳐 패턴을 더 많이 포함된 악성 코드도 오진없이 검출할 수 있는 오진 처리 시스템 및 방법을 제공하기 위한 것이다.
SUMMARY OF THE INVENTION It is an object of the present invention to solve the above-mentioned problems of the prior art and to provide a system and a method for processing a misjudgment that can detect malicious code including more normal signature patterns without misjudging.

상술한 목적을 달성하기 위한 이 발명에 따른 오진 처리 시스템은, 공통 패턴과 화이트 패턴과 블랙 패턴을 포함한 패턴데이터베이스와; 상기 패턴데이터베이스를 참조하여 검진 대상 파일에서 상기 공통 패턴을 검출하는 공통패턴검출부와; 상기 패턴데이터베이스를 참조하여 상기 검진 대상 파일의 상기 공통 패턴을 제외한 영역에서 상기 화이트 패턴 또는 상기 블랙 패턴을 검출하는 특징패턴검출부와; 상기 특징패턴검출부에서 검출된 화이트 패턴 또는 블랙 패턴에 따라 상기 검진 대상 파일이 악성 코드인지 여부를 판단하는 판단부를 포함한 것을 특징으로 한다.
According to an aspect of the present invention, there is provided a misjudgment processing system comprising: a pattern database including a common pattern, a white pattern, and a black pattern; A common pattern detecting unit for detecting the common pattern in the examination object file with reference to the pattern database; A feature pattern detector for detecting the white pattern or the black pattern in an area excluding the common pattern of the examination object file by referring to the pattern database; And a determination unit for determining whether the examination object file is a malicious code according to the white pattern or the black pattern detected by the characteristic pattern detection unit.

또한, 이 발명에 따른 오진 처리 방법은, 오진 처리 시스템이 공통 패턴과 화이트 패턴과 블랙 패턴을 포함한 패턴데이터베이스를 입력받는 제1단계와; 상기 오진 처리 시스템이 상기 패턴데이터베이스를 참조하여 검진 대상 파일에서 상기 공통 패턴을 검출하는 제2단계와; 상기 오진 처리 시스템이 상기 패턴데이터베이스를 참조하여 상기 검진 대상 파일의 상기 공통 패턴을 제외한 영역에서 상기 화이트 패턴 또는 상기 블랙 패턴을 검출하는 제3단계와; 상기 오진 처리 시스템이 상기 특징패턴검출부에서 검출된 화이트 패턴 또는 블랙 패턴에 따라 상기 검진 대상 파일이 악성 코드인지 여부를 판단하는 제4단계를 포함한 것을 특징으로 한다.
According to another aspect of the present invention, there is provided a faulty processing method comprising: a first step of receiving a pattern database including a common pattern, a white pattern, and a black pattern; A second step of the misjudgment processing system detecting the common pattern in the examination object file by referring to the pattern database; A third step of the misjudgment processing system detecting the white pattern or the black pattern in an area excluding the common pattern of the examination object file with reference to the pattern database; And a fourth step of the misjudgment processing system judging whether the examination object file is a malicious code according to the white pattern or the black pattern detected by the characteristic pattern detecting section.

이상과 같이 이 발명에 따르면, 악성 코드와 정상 프로그램이 공통으로 포함하는 공통 패턴과, 정상 프로그램만이 포함하는 화이트 패턴과, 악성 코드만이 포함하는 블랙 패턴을 각각 구축하고, 진단 대상 파일에 대해 공통 패턴을 제외한 나머지 영역에서 화이트 패턴과 블랙 패턴의 포함 여부에 따라 정상 프로그램인지 악성 코드인지를 결정하기 때문에 오진율이 낮아지는 잇점이 있다.
As described above, according to the present invention, a common pattern commonly included in the malicious code and the normal program, a white pattern included only in the normal program, and a black pattern included only in the malicious code are constructed, There is an advantage that the false rate is lowered because the normal program or malicious code is determined depending on whether the white pattern and the black pattern are included in the remaining area except for the common pattern.

도 1은 이 발명에 따른 오진 처리를 위한 패턴 데이터베이스 구축 시스템의 구성 블록도이다.
도 2는 이 발명에 따른 프로그램수집부에서 수집되는 정상프로그램과 악성 코드의 일 예시를 도시한 구조도이다.
도 3은 이 발명에 따른 오진 처리 시스템의 구성 블록도이다.
도 4는 이 발명에 따른 오진 처리 방법의 동작 흐름도이다.FIG. 1 is a block diagram of a pattern database construction system for misdiagnosis according to the present invention.
2 is a structural diagram showing an example of a normal program and malicious code collected by the program collecting unit according to the present invention.
3 is a block diagram of a configuration of a misjudgment processing system according to the present invention.
4 is a flowchart of an operation of the method for processing a misjudgment according to the present invention.

이하, 첨부된 도면을 참조하여 이 발명에 따른 오진 처리 시스템 및 방법에 대해 상세하게 설명한다.DETAILED DESCRIPTION OF THE PREFERRED EMBODIMENTS Hereinafter, a system and a method for processing a misjudgment according to the present invention will be described in detail with reference to the accompanying drawings.

도 1은 이 발명에 따른 오진 처리를 위한 패턴데이터베이스 구축 시스템의 구성 블록도이다.Fig. 1 is a block diagram of a pattern database construction system for misdiagnosis according to the present invention.

이 발명의 패턴 데이터베이스 구축 시스템은, 다수의 정상 프로그램과 악성 코드를 수집하는 프로그램수집부(11)와, 상기 정상프로그램과 악성 코드로부터 공통 영역과 상기 정상 프로그램에서 상기 공통 영역을 제외한 정상 프로그램 특징 영역과 상기 악성 코드에서 상기 공통 영역을 제외한 악성 코드 특징 영역을 추출하는 영역추출부(12)와, 상기 공통 영역에서의 공통 패턴과 상기 정상 프로그램 특징 영역에서의 화이트 패턴과 상기 악성 코드 특징 영역에서의 블랙 패턴을 각각 생성하는 패턴생성부(13)와, 상기 패턴생성부(13)에서 생성된 공통 패턴과 화이트 패턴과 블랙 패턴을 패턴데이터베이스로 구축하는 패턴데이터베이스구축부(14)를 포함한다.A pattern database construction system according to the present invention comprises: a program collection unit (11) for collecting a plurality of normal programs and malicious codes; a normal program feature area (12) for extracting a malicious code feature region excluding the common region from the malicious code, and a region extraction unit (12) for extracting a common pattern in the common region, a white pattern in the normal program feature region, and a white pattern in the malicious code feature region And a pattern database construction unit 14 for constructing a common pattern, a white pattern and a black pattern, which are generated in the pattern generation unit 13, as a pattern database.

프로그램수집부(11)에서 수집되는 정상프로그램과 악성 코드는 도 2에 도시된 바와 같이 대부분 영역의 코드가 동일하고(공통 영역), 극히 일부의 영역에서 악성 코드 특징(악성코드 특징 영역)과 정상프로그램 특징(정상프로그램 특징 영역)이 각각 나타난다. 이 경우, 악성 코드에서 수집된 블랙 패턴만으로 검사하면 공통 영역이 악성 영역으로 분류되므로 정상 프로그램이 악성 코드로 오진될 위험이 있고, 정상 프로그램에서 수집된 화이트 패턴만으로 검사하면 공통 영역이 정상 영역으로 분류되므로 악성 코드가 정상 프로그램으로 오진될 위험이 있다.As shown in FIG. 2, the normal program and the malicious code collected by the program collecting unit 11 have the same code (the common area) in most areas, the malicious code characteristic (malicious code characteristic area) and the normal Program feature (normal program feature area). In this case, if only black patterns collected from malicious code are examined, common areas are classified as malicious areas. Therefore, there is a risk that normal programs are misidentified as malicious codes. If only white patterns collected from normal programs are examined, There is a risk that the malicious code will be misidentified as a normal program.

이 발명에서는 영역추출부(12)가 수집된 정상프로그램과 악성 코드로부터 공통 영역을 추출하고, 정상 프로그램으로부터는 상기 공통 영역을 제외한 정상 프로그램 특징 영역을 추출하며, 악성 코드로부터는 상기 공통 영역을 제외한 악성 코드 특징 영역을 추출한다. 패턴생성부(13)는 영역추출부(12)에서 추출된 공통 영역의 공통 패턴과, 정상 프로그램 특징 영역의 화이트 패턴과, 악성 코드 특징 영역의 블랙 패턴을 각각 생성하고, 패턴데이터베이스구축부(14)는 패턴생성부(13)에서 생성된 상기 공통패턴과 화이트패턴과 블랙패턴을 패턴데이터베이스로 구축한다.
In the present invention, the region extracting unit 12 extracts a common region from the collected normal programs and malicious codes, extracts a normal program characteristic region excluding the common region from the normal program, extracts normal program characteristic regions excluding the common region from the malicious code, Extract malicious code feature area. The pattern generating unit 13 generates a common pattern of the common region extracted by the region extracting unit 12, a white pattern of the normal program characteristic region, and a black pattern of the malicious code characteristic region, ) Constructs the common pattern, the white pattern, and the black pattern generated by the pattern generating unit 13 as a pattern database.

도 3은 이 발명에 따른 오진 처리 시스템의 구성 블록도이다.3 is a block diagram of a configuration of a misjudgment processing system according to the present invention.

이 발명의 오진 처리 시스템은 정상 프로그램과 악성 코드의 공통 영역의 공통 패턴과 상기 정상 프로그램에서 상기 공통 영역을 제외한 정상 프로그램 특징 영역의 화이트 패턴과 상기 악성 코드에서 상기 공통 영역을 제외한 악성 코드 특징 영역의 블랙 패턴을 포함한 패턴데이터베이스(31)와; 검진 대상 파일에서 상기 공통 패턴을 검출하는 공통패턴검출부(32)와; 상기 검진 대상 파일의 상기 공통 패턴을 제외한 영역에서 상기 화이트 패턴 또는 상기 블랙 패턴을 검출하는 특징패턴검출부(33)와; 상기 특징패턴검출부(33)에서 검출된 화이트 패턴 또는 블랙 패턴에 따라 상기 검진 대상 파일이 악성 코드인지 여부를 판단하는 판단부(34)를 포함한다.The misjudgment processing system of the present invention is characterized in that the misjudgment processing system of the present invention comprises a common pattern of a common area of a normal program and a malicious code, a white pattern of a normal program characteristic area excluding the common area in the normal program, A pattern database 31 including a black pattern; A common pattern detecting section (32) for detecting the common pattern in the examination object file; A feature pattern detector (33) for detecting the white pattern or the black pattern in an area excluding the common pattern of the examination object file; And a determination unit (34) for determining whether the examination object file is a malicious code according to the white pattern or the black pattern detected by the characteristic pattern detecting unit (33).

이 발명에 따른 오진 처리 시스템은 공통 패턴과 화이트 패턴과 블랙 패턴을 구축하고, 임의의 검진 대상 파일에 대해 공통 패턴을 제외한 영역에서 화이트 패턴과 블랙 패턴의 포함 여부에 따라 악성 코드인지를 판단한다.
The misjudgment processing system according to the present invention constructs a common pattern, a white pattern, and a black pattern, and judges whether or not the file is a malicious code depending on whether a white pattern and a black pattern are included in an area excluding a common pattern.

도 4는 이 발명에 따른 오진 처리 방법의 동작 흐름도이다.4 is a flowchart of an operation of the method for processing a misjudgment according to the present invention.

오진 처리 시스템은, 공통 패턴과 화이트 패턴과 블랙 패턴을 포함한 패턴데이터베이스를 제공받아 저장하고(S41), 검진 대상 파일을 제공받는다(S42).The misinformation processing system receives and stores a pattern database including a common pattern, a white pattern, and a black pattern (S41), and receives a file to be examined (S42).

오진 처리 시스템은 상기 검진 대상 파일에서 상기 패턴데이터베이스에 저장된 공통 패턴을 검출한다(S43).The misinformation processing system detects a common pattern stored in the pattern database in the examination object file (S43).

오진 처리 시스템은 상기 검진 대상 파일에서 상기 공통 패턴을 제외한 나머지 영역에서 상기 패턴데이터베이스에 저장된 화이트 패턴 또는 블랙 패턴을 검출한다(S44).The misinformation processing system detects a white pattern or a black pattern stored in the pattern database in the remaining region excluding the common pattern in the examination object file (S44).

오진 처리 시스템은, 상기 검진 대상 파일에서 상기 공통 패턴을 제외한 나머지 영역에 화이트 패턴과 블랙 패턴의 포함 여부에 따라 상기 검진 대상 파일이 정상 프로그램인지 혹은 악성 코드인지를 판단한다(S45).The misjudgment processing system determines whether the examination object file is a normal program or a malicious code according to whether the white pattern and the black pattern are included in the remaining region excluding the common pattern in the examination object file (S45).

상기 패턴데이터베이스는 다수의 정상 프로그램과 악성 코드를 수집하고, 상기 수집된 정상프로그램과 악성 코드로부터 공통 영역을 추출하고, 상기 수집된 정상 프로그램에서 상기 공통 영역을 제외한 정상 프로그램 특징 영역을 추출하고, 상기 수집된 악성 코드에서 상기 공통 영역을 제외한 악성 코드 특징 영역을 추출하며, 상기 공통 영역에서의 공통 패턴과 상기 정상 프로그램 특징 영역에서의 화이트 패턴과 상기 악성 코드 특징 영역에서의 블랙 패턴을 생성하여 구축된다.Wherein the pattern database collects a plurality of normal programs and malicious codes, extracts a common area from the collected normal programs and malicious codes, extracts normal program feature areas excluding the common areas from the collected normal programs, A common pattern in the common area, a white pattern in the normal program characteristic area, and a black pattern in the malicious code characteristic area are constructed by extracting the malicious code characteristic area excluding the common area from the collected malicious code .

이상에서 본 발명에 대한 기술사상을 첨부도면과 함께 서술하였지만, 이는 본 발명의 가장 양호한 실시예를 예시적으로 설명한 것이지 본 발명을 한정하는 것은 아니다. 또한, 이 기술분야의 통상의 지식을 가진 자라면 누구나 본 발명의 기술사상의 범주를 이탈하지 않는 범위 내에서 다양한 변형 및 모방이 가능함은 명백한 사실이다.
While the present invention has been described in connection with what is presently considered to be the most practical and preferred embodiments, it is to be understood that the invention is not limited to the disclosed embodiments. In addition, it is a matter of course that various modifications and variations are possible without departing from the scope of the technical idea of the present invention by anyone having ordinary skill in the art.

11 : 프로그램수집부 12 : 영역추출부
13 : 패턴생성부 14 : 패턴데이터베이스구축부
31 : 패턴데이터베이스 32 : 공통패턴추출부
33 : 특징패턴추출부 34 : 판단부11: program collecting unit 12: area extracting unit
13: pattern generation unit 14: pattern database construction unit
31: pattern database 32: common pattern extracting unit
33: feature pattern extracting unit 34:

Claims (4)

정상프로그램과 악성코드에 모두 포함된 공통영역에서 추출된 공통 패턴과, 상기 정상프로그램 중 상기 공통영역을 제외한 정상프로그램 특징영역에서 추출된 화이트 패턴과, 상기 악성코드 중 상기 공통영역을 제외한 악성코드 특징영역에서 추출된 블랙 패턴을 포함한 패턴데이터베이스와;
상기 패턴데이터베이스를 참조하여 검진 대상 파일에서 상기 공통 패턴을 검출하는 공통패턴검출부와;
상기 패턴데이터베이스를 참조하여 상기 검진 대상 파일의 상기 공통 패턴이 제외된 나머지 영역에서 상기 화이트 패턴 또는 상기 블랙 패턴을 검출하는 특징패턴검출부와;
상기 특징패턴검출부에서 검출된 화이트 패턴 또는 블랙 패턴에 따라 상기 검진 대상 파일이 악성 코드인지 여부를 판단하는 판단부를 포함한 것을 특징으로 하는 오진 처리 시스템.A common pattern extracted from a common area included in both the normal program and the malicious code; a white pattern extracted from the normal program characteristic area excluding the common area of the normal program; and a malicious code characteristic A pattern database including a black pattern extracted from the region;
A common pattern detecting unit for detecting the common pattern in the examination object file with reference to the pattern database;
A feature pattern detector for detecting the white pattern or the black pattern in a remaining region excluding the common pattern of the examination object file by referring to the pattern database;
And a judgment unit for judging whether the examination object file is a malicious code according to the white pattern or the black pattern detected by the characteristic pattern detection unit. 제 1 항에 있어서, 상기 패턴데이터베이스는 다수의 정상 프로그램과 악성 코드를 수집하고, 상기 수집된 정상프로그램과 악성 코드로부터 공통 영역을 추출하고, 상기 수집된 정상 프로그램에서 상기 공통 영역을 제외한 정상 프로그램 특징 영역을 추출하고, 상기 수집된 악성 코드에서 상기 공통 영역을 제외한 악성 코드 특징 영역을 추출하며, 상기 공통 영역에서 상기 공통 패턴을 생성하고 상기 정상 프로그램 특징 영역에서 상기 화이트 패턴을 생성하고 상기 악성 코드 특징 영역에서 상기 블랙 패턴을 생성하여 구축된 것을 특징으로 하는 오진 처리 시스템.The computer-readable medium of claim 1, wherein the pattern database is configured to collect a plurality of normal programs and malicious codes, extract a common area from the collected normal programs and malicious codes, Extracting a malicious code feature region from the collected malicious code and excluding the common region, generating the common pattern in the common region, generating the white pattern in the normal program feature region, And the black pattern is generated in the area. 오진 처리 시스템이, 정상프로그램과 악성코드에 모두 포함된 공통영역에서 추출된 공통 패턴과, 상기 정상프로그램 중 상기 공통영역을 제외한 정상프로그램 특징영역에서 추출된 화이트 패턴과, 상기 악성코드 중 상기 공통영역을 제외한 악성코드 특징영역에서 추출된 블랙 패턴을 포함한 패턴데이터베이스를 입력받는 제1단계와;
상기 오진 처리 시스템이 상기 패턴데이터베이스를 참조하여 검진 대상 파일에서 상기 공통 패턴을 검출하는 제2단계와;
상기 오진 처리 시스템이 상기 패턴데이터베이스를 참조하여 상기 검진 대상 파일의 상기 공통 패턴이 제외된 나머지 영역에서 상기 화이트 패턴 또는 상기 블랙 패턴을 검출하는 제3단계와;
상기 오진 처리 시스템이 특징패턴검출부에서 검출된 화이트 패턴 또는 블랙 패턴에 따라 상기 검진 대상 파일이 악성 코드인지 여부를 판단하는 제4단계를 포함한 것을 특징으로 하는 오진 처리 방법.A common pattern extracted from a common area included in both the normal program and the malicious code; a white pattern extracted from a normal program characteristic area excluding the common area of the normal program; A pattern database including a black pattern extracted from a malicious code characteristic area excluding the first pattern data;
A second step of the misjudgment processing system detecting the common pattern in the examination object file by referring to the pattern database;
A third step of the misjudgment processing system detecting the white pattern or the black pattern in the remaining area excluding the common pattern of the examination object file with reference to the pattern database;
And a fourth step of judging whether or not the examination object file is a malicious code according to the white pattern or the black pattern detected by the characteristic pattern detecting section in the misjudgment processing system. 제 3 항에 있어서, 상기 패턴데이터베이스는 다수의 정상 프로그램과 악성 코드를 수집하고, 상기 수집된 정상프로그램과 악성 코드로부터 공통 영역을 추출하고, 상기 수집된 정상 프로그램에서 상기 공통 영역을 제외한 정상 프로그램 특징 영역을 추출하고, 상기 수집된 악성 코드에서 상기 공통 영역을 제외한 악성 코드 특징 영역을 추출하며, 상기 공통 영역에서 상기 공통 패턴을 생성하고 상기 정상 프로그램 특징 영역에서 상기 화이트 패턴을 생성하고 상기 악성 코드 특징 영역에서 상기 블랙 패턴을 생성하여 구축된 것을 특징으로 하는 오진 처리 방법.
The computer-readable medium of claim 3, wherein the pattern database includes a plurality of normal programs and malicious codes, extracts a common area from the collected normal programs and malicious codes, Extracting a malicious code feature region from the collected malicious code and excluding the common region, generating the common pattern in the common region, generating the white pattern in the normal program feature region, And generating the black pattern in the area.
KR1020130012790A 2013-02-05 2013-02-05 system and method for reducing the danger of misdiagnosis KR101427566B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020130012790A KR101427566B1 (en) 2013-02-05 2013-02-05 system and method for reducing the danger of misdiagnosis

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020130012790A KR101427566B1 (en) 2013-02-05 2013-02-05 system and method for reducing the danger of misdiagnosis

Publications (1)

Publication Number Publication Date
KR101427566B1 true KR101427566B1 (en) 2014-09-23

Family

ID=51758684

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020130012790A KR101427566B1 (en) 2013-02-05 2013-02-05 system and method for reducing the danger of misdiagnosis

Country Status (1)

Country Link
KR (1) KR101427566B1 (en)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101031786B1 (en) 2009-02-03 2011-04-29 주식회사 안철수연구소 Malicious code prevention apparatus and method using level classification of suspicious behavior and isolated execution, and computer-readable medium storing program for method thereof
KR101110308B1 (en) * 2008-12-22 2012-02-15 한국전자통신연구원 Apparatus and method for detecting malicious code using packed file properties

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101110308B1 (en) * 2008-12-22 2012-02-15 한국전자통신연구원 Apparatus and method for detecting malicious code using packed file properties
KR101031786B1 (en) 2009-02-03 2011-04-29 주식회사 안철수연구소 Malicious code prevention apparatus and method using level classification of suspicious behavior and isolated execution, and computer-readable medium storing program for method thereof

Similar Documents

Publication Publication Date Title
CN107659583B (en) Method and system for detecting attack in fact
US8621624B2 (en) Apparatus and method for preventing anomaly of application program
US8479276B1 (en) Malware detection using risk analysis based on file system and network activity
KR101265173B1 (en) Apparatus and method for inspecting non-portable executable files
KR102210627B1 (en) Method, apparatus and system for detecting malicious process behavior
KR101212553B1 (en) Apparatus and method for detecting malicious files
KR101851233B1 (en) Apparatus and method for detection of malicious threats included in file, recording medium thereof
US20060101128A1 (en) System for preventing keystroke logging software from accessing or identifying keystrokes
KR101132197B1 (en) Apparatus and Method for Automatically Discriminating Malicious Code
US9959406B2 (en) System and method for zero-day privilege escalation malware detection
KR102079304B1 (en) Apparatus and method of blocking malicious code based on whitelist
US20180096150A1 (en) System and method for detection and prevention of data breach and ransomware attacks
JP5326063B1 (en) Malicious shellcode detection apparatus and method using debug events
KR20140077405A (en) Method and apparatus for detecting cyber target attack
KR101311367B1 (en) Method and apparatus for diagnosing attack that bypass the memory protection
Uma et al. Survey on Android malware detection and protection using data mining algorithms
Singla et al. A novel approach to malware detection using static classification
KR101427566B1 (en) system and method for reducing the danger of misdiagnosis
Khan et al. Malware detection and analysis
KR101880689B1 (en) Apparatus and method for detecting malicious code
Agrawal A comparative analysis of open source automated malware tools
KR101421630B1 (en) system and method for detecting code-injected malicious code
CN115134106A (en) Method and computer program product for detecting hacker attacks
KR101754964B1 (en) Method and Apparatus for Detecting Malicious Behavior
KR20100102260A (en) Method for cutting maliciouscodes

Legal Events

Date Code Title Description
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20180731

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20190731

Year of fee payment: 6