KR101487476B1 - Method and apparatus to detect malicious domain - Google Patents

Method and apparatus to detect malicious domain Download PDF

Info

Publication number
KR101487476B1
KR101487476B1 KR20120124169A KR20120124169A KR101487476B1 KR 101487476 B1 KR101487476 B1 KR 101487476B1 KR 20120124169 A KR20120124169 A KR 20120124169A KR 20120124169 A KR20120124169 A KR 20120124169A KR 101487476 B1 KR101487476 B1 KR 101487476B1
Authority
KR
South Korea
Prior art keywords
domain
file
malicious code
malicious
detecting
Prior art date
Application number
KR20120124169A
Other languages
Korean (ko)
Other versions
KR20120137326A (en
Inventor
조성준
Original Assignee
주식회사 시큐아이
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 시큐아이 filed Critical 주식회사 시큐아이
Priority to KR20120124169A priority Critical patent/KR101487476B1/en
Publication of KR20120137326A publication Critical patent/KR20120137326A/en
Application granted granted Critical
Publication of KR101487476B1 publication Critical patent/KR101487476B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/308Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information retaining data, e.g. retaining successful, unsuccessful communication attempts, internet access, or e-mail, internet telephony, intercept related information or call content
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/144Detection or countermeasures against botnets

Abstract

본원발명은 외부 네트워크로부터 내부 네트워크로 유입되는 파일에 관한 정보를 적어도 하나의 보안 장비를 활용하여 신속하게 수집할 수 있으며, 하나의 악성코드 관리 장비가 이와 같이 수집된 파일에 대한 악성코드 검사를 수행한 후, 그 결과를 시스템 내의 모든 보안 장비에 전송함으로써, 신속하게 악성코드를 탐지하고, 상기 탐지된 악성코드를 시스템 내의 모든 보안 장비에서 차단되게 하는 신속하고 일체화된 보안 서비스를 제공할 수 있다. 특히, 보안장비가 악성코드 관리장비로부터 수신한 악성코드 검사 결과를 차단정책에 적용하기 전에 악성코드에 의해 오염된 경우에도, 본 발명에서는, 악성코드에 의해 접속을 시도하는 악성도메인(예를 들어, C&C 서버)을 검출하고, 이를 보안장비에 배포함으로써, 보안장비가 악성코드에 의한 악의적인 행위를 원천적으로 차단할 수 있게 한다.The present invention can quickly collect information about a file that is input from an external network into an internal network using at least one security device, and one malicious code management device performs malicious code checking on the collected files The result is transmitted to all the security devices in the system so that the malicious code can be detected quickly and the detected malicious code can be blocked from all the security devices in the system to provide a quick and unified security service. In particular, even if a malicious code inspection result received from a malicious code management device is contaminated by a malicious code before applying the malicious code detection result to the blocking policy, the malicious code of the malicious code (for example, , C & C server), and distributes it to the security device, thereby allowing the security device to fundamentally block malicious behavior by the malicious code.

Description

악성도메인을 검출하기 위한 방법 및 장치{METHOD AND APPARATUS TO DETECT MALICIOUS DOMAIN}[0001] METHOD AND APPARATUS TO DETECT MALICIOUS DOMAIN [0002]

본 발명은 보안 기술에 관한 것으로, 보다 구체적으로는 악성도메인(malicious domain)을 검출하는 신속하고 일체화된 보안 서비스를 제공하기 위한 기술에 관한 것이다.BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to a security technology, and more particularly, to a technique for providing a quick and integrated security service for detecting a malicious domain.

최근 급증하고 있는 인터넷의 사용에 따라 통신망을 통해 악성 소프트웨어나 악성코드의 감염 경로가 다양해지고, 이로 인한 피해가 매년 증가하고 있다. 악성코드, 이른바 봇(bot)이란 로봇(robot)의 줄임말로서, 봇에 감염된 시스템을 조종할 수 있는 악성 프로그램을 의미한다.In recent years, the use of the Internet has increased the number of malicious software or malicious code infected through the communication network, and the damage caused by the malicious software or malicious code is increasing every year. Malicious code, a so-called bot, is an abbreviation of a robot, which means a malicious program that can control a system infected with a bot.

이러한 악성코드는 봇넷(botnet)이라는 네트워크를 이루어 공격자, 즉 봇 마스터(bot master)의 명령에 의해 정보 수집, 스팸 메일 발송, 피싱, 악성코드 배포, DDoS (Distributed Denial of Service) 공격을 비롯하여 다양한 형태의 공격을 수행한다. 봇넷은 인터넷 사용자뿐만 아니라, 라우터, DNS(domain name system) 서버 등의 네트워크 인프라에도 악영향을 끼치게 된다. These malicious codes can be used in various forms such as information gathering, spam mail sending, phishing, malicious code distribution, DDoS (Distributed Denial of Service) attack, etc. by the command of an attacker or bot master . Botnets will adversely affect network infrastructures such as routers and domain name system (DNS) servers as well as Internet users.

인터넷 사용자의 단말들이 악성코드에 감염되는 경로를 살펴보면, 먼저 봇 마스터는 많은 사람들이 사용하는 프로그램의 업데이트 서버나 웹사이트를 해킹하여 악성코드를 심어 놓는다. 그 후, 사용자가 상기 웹사이트에 접속하거나 상기 프로그램을 실행하면서 업데이트를 수행하면, 사용자의 시스템에 악성코드가 설치되게 된다. 계속해서, 사용자의 시스템에 설치된 봇 에이전트(bot agent)가 봇 마스터의 명령 및 제어(command-and-control, C&C) 서버에 접속하면, 봇 마스터는 상기 시스템에 대한 제어권을 획득하게 된다. 따라서 봇 마스터는 제어권을 획득한 시스템에 대한 명령 수행을 통해, 취약점 공격 등 각종 악성 행위를 수행할 수 있다.If you look at the path where Internet users' terminals are infected with malicious code, botmaster first hacked the update server or web site of programs used by many people and planted malicious code. Thereafter, when the user accesses the website or executes the update while executing the program, a malicious code is installed in the user's system. Subsequently, when a bot agent installed in the user's system accesses a command-and-control (C & C) server of the bot master, the bot master acquires control of the system. Therefore, the bot master can execute various malicious actions such as vulnerability attack through execution of commands on the system that has acquired the control right.

악성코드 탐지 기술이 발달하고, 탐지된 악성코드에 관한 정보가 배포되고 있으나, 이는 아직 악성코드에 감염되지 않은 시스템은 보호하지만, 악성코드에 이미 감염된 시스템을 봇 마스터의 악의적인 명령으로부터 보호하기는 힘들었다. 이를 위해 종래에는 C&C 서버가 주로 IP 형태로 운영되었다는 점을 이용하여 C&C 서버로의 접속을 차단하는 방식을 이용하였다. 그러나 현재 C&C 서버는 서버 차단을 회피하기 위해 도메인(domain) 형태로 운영되고 있으며, DNS의 TTL (time to live) 값을 짧게 설정하고, 네임서버의 IP를 지속적으로 변경함으로써, 보안장비의 URL 차단 및 IP 차단 기능을 회피하고 있다.Malware detection technology is evolving and information about detected malware is distributed, but it protects systems that are not yet infected by malicious code, but it does not protect systems already infected by malicious code from malicious commands It was hard. In order to achieve this, the C & C server is mainly operated in the IP form, and the connection to the C & C server is blocked. However, the current C & C server is operated as a domain in order to avoid blocking the server. By setting the time to live (TTL) value of the DNS to be short and continuously changing the IP of the name server, And the IP blocking function.

따라서 이러한 악성코드 감염에 의한 피해 확산을 방지하기 위해서는 C&C 서버로의 접속을 차단하여 이후 발생할 수 있는 악의적인 행위를 막기 위한 기술이 요구된다.Therefore, in order to prevent the spread of the malicious code infection, it is required to prevent the malicious behavior that may occur after blocking the connection to the C & C server.

본 발명은 상기 문제점을 해결하기 위한 것으로서, DNS 쿼리 트래픽 중 악성코드 C&C 서버의 도메인이 있을 경우, 쿼리를 차단함으로써, 보안 장비를 우회하는 접속을 차단할 수 있는 보안 서비스를 제공하는 것을 목적으로 한다.An object of the present invention is to provide a security service capable of blocking a connection bypassing a security device by blocking a query when a domain of a malicious code C & C server exists among DNS query traffic.

본 발명의 일 실시예에 따라, 악성코드를 차단하기 위한 방법이 개시된다. 상기 방법은 악성코드에 의한 네트워크 행위를 기록하는 단계; 상기 네트워크 행위 내에 도메인으로의 접속을 위한 DNS 쿼리 트래픽의 발생이 포함되면, 상기 DNS 쿼리 트래픽으로부터 상기 도메인을 추출하는 단계; 상기 도메인과 정상도메인 목록을 비교하는 단계; 및 상기 도메인이 정상도메인 목록에 포함되지 않으면, 상기 도메인을 악성도메인으로 판단함으로써, 상기 악성도메인을 검출하는 단계를 포함할 수 있다.According to an embodiment of the present invention, a method for blocking malicious code is disclosed. The method includes recording network activity by a malicious code; Extracting the domain from the DNS query traffic if the generation of DNS query traffic for connection to a domain is included in the network activity; Comparing the domain with a list of normal domains; And detecting the malicious domain by determining the domain as a malicious domain if the domain is not included in the normal domain list.

본 발명의 일 실시예에 따라, 악성도메인을 검출하기 위한 장치가 개시된다. 상기 장치는 악성코드에 의한 네트워크 행위를 기록하기 위한 파일 실행부; 상기 파일 실행부에 의한 네트워크 행위 내에 도메인으로의 접속을 위한 DNS 쿼리 트래픽의 발생이 포함되면, 상기 DNS 쿼리 트래픽으로부터 상기 도메인을 추출하기 위한 도메인 추출부; 및 상기 도메인 추출부에 의해 추출된 도메인과 정상도메인 목록을 비교한 후, 상기 도메인이 정상도메인 목록에 포함되지 않으면, 상기 도메인을 악성도메인으로 판단함으로써, 상기 악성도메인을 검출하기 위한 악성도메인 검출부를 포함할 수 있다.According to an embodiment of the present invention, an apparatus for detecting malicious domains is disclosed. The apparatus includes a file execution unit for recording a network activity by a malicious code; A domain extracting unit for extracting the domain from the DNS query traffic when the file execution unit includes generation of DNS query traffic for connection to a domain in a network action by the file execution unit; And a malicious domain detection unit for detecting the malicious domain by comparing the domain extracted by the domain extraction unit and the normal domain list and judging the domain as a malicious domain if the domain is not included in the normal domain list, .

본 발명은 시스템 내의 모든 보안 장비가 악성코드 검사 대상을 수집하고, 이로부터 악성코드 및 악성도메인을 탐지 및 배포함으로써 신속하고 일체화된 보안 서비스를 제공할 수 있다. 또한, 본 발명은 악성코드뿐만 아니라 악성도메인을 검출 및 배포함으로써, 보안장비가 악성코드에 의한 악의적인 행위를 원천적으로 차단할 수 있게 한다. The present invention can provide a fast and integrated security service by collecting malicious code inspection objects from all the security devices in the system, and detecting and distributing malicious codes and malicious domains therefrom. In addition, the present invention detects and distributes not only malicious codes but also malicious domains, thereby allowing the security device to fundamentally block malicious acts by malicious codes.

본 발명의 상세한 설명에서 인용되는 도면을 보다 충분히 이해하기 위하여 각 도면의 간단한 설명이 제공된다.
도 1은 본 발명의 일 실시예에 따른 악성코드 검출 및 차단 시스템의 예시를 도시한다.
도 2는 본 발명의 일 실시예에 따라 악성코드 검사 대상을 수집하기 위한 방법을 도시한다.
도 3은 본 발명의 일 실시예에 따라 악성코드 검사를 수행하기 위한 방법을 도시한다.
도 4는 본 발명의 다른 실시예에 따라 악성코드 검사를 수행하기 위한 방법을 도시한다.
도 5는 본 발명의 일 실시예에 따라 악성코드를 검출하기 위한 방법을 도시한다.
도 6은 악성코드에 이용되는 아스키 문자열의 예시를 도시한다.
도 7은 악성코드에 이용되는 API의 예시를 도시한다.
도 8은 본 발명의 일 실시예에 따라 악성도메인을 검출하기 위한 방법을 도시한다.
도 9는 본 발명의 일 실시예에 따라 악성도메인으로의 접속을 차단하기 위한 방법을 도시한다.
도 10은 본 발명의 일 실시예에 따라 보안 장비를 도시한다.
도 11은 본 발명의 일 실시예에 따라 악성코드 관리 장비를 도시한다.BRIEF DESCRIPTION OF THE DRAWINGS A brief description of each drawing is provided to more fully understand the drawings recited in the description of the invention.
1 shows an example of a malicious code detection and blocking system according to an embodiment of the present invention.
2 illustrates a method for collecting malware inspection objects according to an embodiment of the present invention.
3 illustrates a method for performing malicious code checking according to an embodiment of the present invention.
4 illustrates a method for performing malicious code checking according to another embodiment of the present invention.
5 illustrates a method for detecting malicious code in accordance with one embodiment of the present invention.
6 shows an example of an ASCII character string used in a malicious code.
7 shows an example of an API used in a malicious code.
Figure 8 illustrates a method for detecting malicious domains according to an embodiment of the present invention.
9 illustrates a method for blocking access to a malicious domain according to an embodiment of the present invention.
10 illustrates a security device in accordance with an embodiment of the present invention.
Figure 11 illustrates a malicious code management device in accordance with one embodiment of the present invention.

본 발명과 본 발명의 동작상의 이점 및 본 발명의 실시에 의하여 달성되는 목적을 충분히 이해하기 위해서는 본 발명의 바람직한 실시예를 예시하는 첨부 도면 및 도면에 기재된 내용을 참조하여야 한다.In order to fully understand the present invention, operational advantages of the present invention, and objects achieved by the practice of the present invention, reference should be made to the accompanying drawings and the accompanying drawings which illustrate preferred embodiments of the present invention.

본 발명의 실시예들은 당해 기술 분야에서 통상의 지식을 가진 자에게 본 발명을 더욱 완전하게 설명하기 위하여 제공되는 것이며, 아래의 실시예들은 여러 다른 형태로 변형될 수 있으며, 본 발명의 범위가 아래의 실시예들로 한정되는 것은 아니다. 오히려, 이들 실시예는 본 개시를 더욱 충실하고 완전하게 하며 본 발명이 속하는 기술분야의 통상의 지식을 가진 자에게 본 발명의 사상을 완전하게 전달하기 위하여 제공되는 것이다.Embodiments of the present invention will now be described more fully hereinafter with reference to the accompanying drawings, in which exemplary embodiments of the present invention are shown. The present invention is not limited to these embodiments. Rather, these embodiments are provided so that this disclosure will be more thorough and complete, and will fully convey the concept of the invention to those skilled in the art to which the present invention pertains.

이하, 첨부된 도면을 참조하여 본 발명의 실시예들을 설명함으로써, 본 발명을 상세히 설명하기로 한다.
Hereinafter, the present invention will be described in detail with reference to the embodiments of the present invention with reference to the accompanying drawings.

도 1은 본 발명의 일 실시예에 따른 악성코드 검출 및 차단 시스템(100)의 예시를 도시한다. FIG. 1 illustrates an example of a malicious code detection and blocking system 100 in accordance with one embodiment of the present invention.

시스템(100)은 적어도 하나의 보안 장비(111 내지 11n)와 악성코드 관리 장비(120)를 포함할 수 있다. 도 1에서 도시되는 바와 같이 보안 장비(111)는 보호하고자 하는 네트워크(즉, 내부 네트워크, 130)와 신뢰할 수 없는 네트워크(즉, 외부 네트워크, 140) 사이의 트래픽이 집중되는 곳에 위치되어, 두 네트워크 간에 왕래하는 트래픽들을 보안 정책과 대조해 봄으로써, 정책에 어긋나는 트래픽은 차단하고, 정책에 합치하는 트래픽만을 선별 통과하는 보안 서비스를 제공할 수 있다. 도 1에서는 보안 장비(111)가 연결하는 네트워크들(130 및 140)만을 도시하고 있으나, 다른 보안 장비(112 내지 11n) 또한 각각 내부 네트워크 및 외부 네트워크를 연결할 수 있다. 이러한 보안 장비(111 내지 11n)로서 종래에는 방화벽이 많이 사용되었지만, 근래에는 침입 탐지 시스템(intrusion detection system), 침입 차단 시스템(intrusion prevention system) 등 다른 여러 장치가 많이 사용되고 있다. 악성코드 관리 장비(120)는 악성코드를 차단하기 위해 이용하는 차단 정책에 적용되는 악성코드에 관한 정보를 관리하는 장비이다. 도시되는 바와 같이, 악성코드 관리 장비(120)는 보안 장비(111 내지 11n) 각각과 연결되어 있으며, 보안 장비(111 내지 11n)의 보안정책에 적용되는 악성코드에 관한 정보를 제공할 수 있다.The system 100 may include at least one security device 111 to 11n and a malicious code management device 120. [ 1, the security device 111 is located at a place where traffic between the network to be protected (i.e., the internal network 130) and the untrusted network (i.e., the external network 140) By contrasting the traffic between the traffic and the security policy, it is possible to block the traffic that is against the policy and to provide the security service that selectively passes only the traffic conforming to the policy. Although only the networks 130 and 140 to which the security device 111 is connected are shown in FIG. 1, other security devices 112 to 11n may also connect the internal network and the external network, respectively. Although many firewalls have been widely used as the security devices 111 to 11n in recent years, many other devices such as an intrusion detection system and an intrusion prevention system have been widely used. The malicious code management device 120 is a device for managing malicious code information applied to a blocking policy used to block malicious codes. As shown in the figure, the malicious code management device 120 is connected to each of the security devices 111 to 11n, and can provide information on malicious codes applied to the security policies of the security devices 111 to 11n.

구체적으로, 본 발명에 따라, 보안 장비(111 내지 11n) 각각은 외부 네트워크로부터 내부 네트워크로 유입되는 파일의 URL에 관한 정보를 악성코드 관리 장비(120)로 전송한다. 악성코드 관리 장비(120)는 적어도 하나의 보안 장비(111 내지 11n) 각각으로부터 수신한 URL에 관한 정보에 기초하여 파일을 획득하며, 상기 파일에 대해 악성코드 검사를 수행하게 된다. 악성코드 관리 장비(120)에 의해 수행되는 악성코드 검사는 획득한 파일로부터 악성코드 및/또는 악성도메인을 검출함으로써 수행될 수 있다. 그 후, 악성코드 관리 장비(120)는 악성코드 검사 결과를 보안 장비(111 내지 11n)로 전송하게 되는데, 여기서 악성코드 검사 결과는 악성코드로 판명된 파일, 상기 파일의 식별값, 상기 파일의 배포 URL 및 악성도메인에 관한 정보 중 적어도 하나를 포함할 수 있다. 보안 장비(111 내지 11n)는 악성코드 검사 결과를 수신하여 보안 정책에 반영할 수 있다. 예를 들어, 각각의 보안 장비(111 내지 11n)는 악성코드로 판명된 파일의 URL을 URL 차단 정책에 적용할 수 있으며, 상기 파일의 식별값을 파일 차단 정책에 적용할 수 있다. 또한, 예를 들어, 각각의 보안 장비(111 내지 11n)는 악성도메인에 관한 정보를 도메인 차단 정책에 적용하여 악성도메인에 관한 DNS 쿼리를 차단할 수 있다.In detail, according to the present invention, each of the security appliances 111 to 11n transmits information on the URL of a file that flows from the external network to the internal network to the malicious code management equipment 120. The malicious code management device 120 obtains a file based on the information about the URL received from each of the at least one security device 111 to 11n, and performs malicious code checking on the file. Malicious code checking performed by the malicious code management device 120 can be performed by detecting a malicious code and / or a malicious domain from the obtained file. Thereafter, the malicious code management device 120 transmits the result of the malicious code inspection to the security devices 111 to 11n. Here, the malicious code detection result includes a file identified as a malicious code, an identification value of the file, A distribution URL, and information regarding a malicious domain. The security devices 111 to 11n may receive malicious code checking results and reflect them in the security policy. For example, each security device 111 to 11n can apply a URL of a file determined to be malicious code to the URL blocking policy, and apply the identification value of the file to the file blocking policy. Also, for example, each of the security devices 111 to 11n may apply the information on the malicious domain to the domain blocking policy to block the DNS query regarding the malicious domain.

즉, 본원발명은 외부 네트워크로부터 내부 네트워크로 유입되는 파일에 관한 정보를 적어도 하나의 보안 장비를 활용하여 신속하게 수집할 수 있으며, 하나의 악성코드 관리 장비가 이와 같이 수집된 파일에 대한 악성코드 검사를 수행한 후, 그 결과를 시스템 내의 모든 보안 장비에 전송함으로써, 신속하게 악성코드를 탐지하고, 상기 탐지된 악성코드를 시스템 내의 모든 보안 장비에서 차단되게 하는 신속하고 일체화된 보안 서비스를 제공할 수 있다. 특히, 보안장비가 악성코드 관리장비로부터 수신한 악성코드 검사 결과를 차단정책에 적용하기 전에 악성코드에 의해 오염된 경우에도, 본 발명에서는, 악성코드에 의해 접속을 시도하는 악성도메인(예를 들어, C&C 서버)을 검출하고, 이를 보안장비에 배포함으로써, 보안장비가 악성코드에 의한 악의적인 행위를 원천적으로 차단할 수 있게 한다.
That is, the present invention can quickly collect information about a file that flows from an external network to an internal network using at least one security device, and when one malicious code management device detects a malicious code And sends the result to all the security devices in the system so that it can quickly detect malicious code and provide a quick and integrated security service that will block the detected malicious code from all security devices in the system have. In particular, even if a malicious code inspection result received from a malicious code management device is contaminated by a malicious code before applying the malicious code detection result to the blocking policy, the malicious code of the malicious code (for example, , C & C server), and distributes it to the security device, thereby allowing the security device to fundamentally block malicious behavior by the malicious code.

도 1에서는 보안정책을 수행하는 보안 장비(101 내지 11n)와, 차단 정책에 적용되는 악성코드에 관한 정보를 관리하는 악성코드 관리 장비(120)가 개별적인 컴포넌트로서 도시되어 있으나, 이는 예시적인 것으로서, 본 발명이 적용되는 실시예에 따라 다양한 구성이 적용될 수 있다. 예를 들어, 악성코드 관리 장비와 보안 장비는 하나의 통합 장비로서 통합될 수 있다. 이와 같은 통합 장비의 개수는 제한이 없다. 예를 들어, 하나 이상의 통합 장비가 이용될 수 있고, 시스템을 구성하는 모든 장비가 통합 장비일 수 있다. 다만, 설명의 간이함을 위해, 하기 본 발명의 실시예들은 악성코드 관리 장비 및 보안 장비 각각에 의해 수행되는 것으로 기재한다.
In FIG. 1, the security devices 101 to 11n that perform the security policy and the malicious code management device 120 that manages the information related to the malicious code applied to the blocking policy are shown as individual components, Various configurations can be applied according to the embodiment to which the present invention is applied. For example, malware management and security appliances can be integrated into one integrated device. The number of such integrated equipment is not limited. For example, one or more integrated devices may be used, and all the devices that make up the system may be integrated devices. However, for simplicity of explanation, it is described that the embodiments of the present invention are performed by each of malicious code management equipment and security equipment.

도 2는 본 발명의 일 실시예에 따라 악성코드 검사 대상을 수집하기 위한 방법(200)을 도시한다. Figure 2 illustrates a method 200 for collecting malware inspection objects in accordance with an embodiment of the present invention.

먼저, 보안 장비는 웹 서버를 통해 유입되는 파일의 URL(Uniform Resource Locator)을 추출할 수 있다(단계(210)). 일반적으로, 악성코드가 사용자의 단말에 설치되고 해를 입히는 방식은 "ActiveX", "Java Applet", "Java Webstart", ".NETClickOnce", "Flash", "UCC" 등 다양하게 존재하나, 모두 HTTP 프로토콜을 이용하여 웹 서버로부터 원본 파일을 다운로드 받는다는 점에서 동일하다. 단계(210)에서는, 이와 같이 웹 서버로부터 유입되는 파일의 URL을 추출할 수 있다. 여기서 URL은 URL은 웹상에서 서비스를 제공하는 각 서버들에 있는 파일들의 위치를 명시하기 위한 것으로서, 접속해야 될 서비스의 종류, 서버의 위치(도메인 네임), 파일의 위치를 포함하며, 일반적인 체계(syntax)는 프로토콜://정보를 가진 컴퓨터 이름/디렉터리 이름/파일 네임으로 구성될 수 있다.First, the security device can extract a URL (Uniform Resource Locator) of a file that is input through the web server (step 210). In general, malicious code is installed and harmful to the user's terminal in various ways such as "ActiveX", "Java Applet", "Java Webstart", ".NETClickOnce", "Flash", "UCC" It is the same in that the original file is downloaded from the web server using the HTTP protocol. In step 210, the URL of the file that is input from the web server can be extracted. Here, the URL is a URL for specifying the location of files on each server that provides services on the web, including the type of service to be accessed, the location of the server (domain name), the location of the file, syntax) can consist of a computer name / directory name / file name with protocol: // information.

보안 장비는 단계(210)를 통해 웹 서버로부터 유입되는 파일의 URL을 추출하면, 추출된 URL에 관한 URL 목록을 생성할 수 있다(단계(220)). 일 실시예에서, URL 목록은 웹 서버로부터 유입되는 모든 파일의 URL을 포함할 수 있다. 다른 실시예에서, URL 목록은 웹 서버로부터 유입되는 파일의 URL 중 실행파일 또는 문서파일에 해당하는 파일의 URL을 포함할 수 있다. 악성코드는 시스템 내부에 침입하여 실행되어야 하기 때문에, 실행파일 또는 문서파일 등 실행 가능한 확장자를 가지는 파일이 악성코드를 포함할 가능성이 높기 때문이다. 실행파일 또는 문서파일에 해당하는 여부는 파일의 URL 내의 파일확장자에 기초하여 판단될 수 있다. 여기서 실행파일의 파일확장자는 예를 들어, "exe", "dll" 등을 포함할 수 있으며, 문서파일의 파일확장자는 예를 들어, "pdf", "hwp", "xls", "doc", "txt" 등을 포함할 수 있다. The security device may generate a list of URLs related to the extracted URL by extracting the URL of a file that is input from the web server through step 210 (step 220). In one embodiment, the URL list may include the URL of all files coming from the web server. In another embodiment, the URL list may include a URL of a file corresponding to an executable file or a document file among URLs of files that are input from the web server. Because the malicious code must be invaded and executed inside the system, a file with an executable extension such as an executable file or a document file is likely to contain malicious code. Whether it corresponds to an executable file or a document file can be judged based on the file extension in the URL of the file. Here, the file extension of the executable file may include, for example, "exe", "dll", and the file extension of the document file may be, for example, "pdf", "hwp", "xls" , "txt ", and the like.

계속해서 보안 장비는 URL 목록을 악성코드 관리 장비로 전송할 수 있다(단계(230)). 상기 전송은 주기적/비주기적으로 이루어질 수 있다.The security device may then continue to send the URL list to the malicious code management device (step 230). The transmission may be periodic / aperiodic.

도 2에서 도시되는 방법(200)은 예시적인 것으로서, 본 발명이 적용되는 실시예에 따라 다양한 구성이 적용될 수 있다. 예를 들어, 방법(200)은 보안 장비가 웹 서버로부터 유입되는 파일의 URL을 악성코드 관리 장비로 전송하지만, 본 발명이 적용되는 실시예에 따라, 보안 장비가 웹 서버로부터 유입되는 파일을 직접 악성코드 관리 장비로 전송할 수 있다.
The method 200 shown in FIG. 2 is illustrative, and various configurations can be applied according to the embodiment to which the present invention is applied. For example, the method 200 may transmit the URL of a file that the security device receives from the web server to the malicious code management device. However, according to the embodiment of the present invention, Malicious code management equipment.

도 3은 본 발명의 일 실시예에 따라 악성코드 검사를 수행하기 위한 방법(300)을 도시한다. Figure 3 illustrates a method 300 for performing malicious code checking in accordance with one embodiment of the present invention.

먼저, 악성코드 관리 장비는 악성코드 검사를 수행하기 위한 파일을 획득할 수 있다(단계(310)). 단계(310)는 악성코드 관리 장비가 웹 서버를 통해 유입되는 파일에 관한 URL 목록을 수신하고, URL 목록에 포함된 URL에 따라 파일을 다운로드함으로써 수행되거나, 악성코드 관리 장비가 악성코드 검사를 수행하기 위한 파일을 보안 장비로부터 수신함으로써 수행될 수 있다. First, the malicious code management device may obtain a file for performing malicious code checking (step 310). Step 310 is performed by the malicious code management device by receiving a list of URLs related to a file that flows through the web server and downloading the files according to the URLs included in the URL list or by performing malicious code checking By receiving a file from the security device.

계속해서, 악성코드 관리 장비는 단계(310)를 통해 획득된 파일로부터 악성코드를 검출할 수 있다(단계(320)). 단계(320)는 파일의 속성 및 행위에 관한 분석하고, 그 분석 결과를 악성코드가 갖는 특징과 비교함으로써 수행될 수 있다. Subsequently, the malware management device may detect malicious code from the file obtained via step 310 (step 320). Step 320 may be performed by analyzing the attributes and behavior of the file and comparing the analysis results with features of the malicious code.

계속해서, 악성코드 관리 장비는 단계(320)에서 악성코드로 판단된 파일로부터 악성도메인을 검출할 수 있다(단계(330)). 단계(330)는 악성코드에 의한 네트워크 행위를 기록하면서 악성코드에 의해 접속을 시도하는 악성도메인을 검출함으로써 수행될 수 있다.Subsequently, the malware management device may detect a malicious domain from a file determined to be malicious at step 320 (step 330). Step 330 may be performed by detecting a malicious domain that attempts to connect by malicious code while recording network activity by malicious code.

계속해서, 악성코드 관리 장비는 악성코드 검사 결과를 보안 장비로 전송할 수 있다(단계(340)). 악성코드 검사 결과는 단계(320)에 따른 악성코드 검출 결과 및 단계(330)에 따른 악성도메인 검출 결과 중 적어도 하나를 포함할 수 있다. 상기 전송은 주기적/비주기적으로 이루어질 수 있다.Subsequently, the malicious code management device may transmit the malicious code scan result to the security device (step 340). The malicious code detection result may include at least one of a malicious code detection result according to step 320 and a malicious domain detection result according to step 330. The transmission may be periodic / aperiodic.

도 3에서 도시되는 악성코드 검사를 수행하기 위한 방법은 예시적인 것으로서, 본 발명이 적용되는 실시예에 따라 다양한 구성이 적용될 수 있다. 도 3에서는 단계(330)는 단계(320)에 후속하여 수행되는 것으로 도시되나, 실시예에 따라 단계(320) 및 단계(330)는 동시에 수행될 수 있다. 예를 들어, 단계(320)에서 파일의 속성 및 행위를 분석하여 생성되는 분석 결과는, 파일에 실행에 따른 네트워크 행위를 포함할 수 있다. 또한, 단계(330)는 단계(320)에서 악성코드로 판단된 파일을 그 대상으로 하는 것으로 도시되나, 실시예에 따라, 단계(330)에 따른 악성도메인 검사는 악성코드로 판단된 파일이 아닌 파일에 대해서도 수행될 수 있다. 또한 본 발명이 적용되는 실시예에 따라 단계(320) 및 단계(330) 중 하나는 생략될 수 있다.
The method for performing the malicious code checking shown in FIG. 3 is illustrative, and various configurations can be applied according to the embodiment to which the present invention is applied. In FIG. 3, step 330 is shown performed subsequent to step 320, but step 320 and step 330 may be performed concurrently, depending on the embodiment. For example, the analysis results generated by analyzing the attributes and behaviors of a file in step 320 may include network actions upon execution of the file. In addition, although the step 330 is shown to target a file determined to be a malicious code in step 320, according to the embodiment, the malicious domain inspection according to step 330 is not a file determined as a malicious code It can also be done for files. In addition, one of the steps 320 and 330 may be omitted according to the embodiment to which the present invention is applied.

도 4는 본 발명의 다른 실시예에 따라 악성코드 검사를 수행하기 위한 방법(400)을 도시한다. 방법(400)은 도 3의 방법(300)에 대 부가하여, 악성코드 검사의 대상이 되는 파일에 대해 종래에 악성코드 검사가 수행된 적이 있는지를 판단하는 구성을 부가한 것이다. Figure 4 illustrates a method 400 for performing malicious code checking in accordance with another embodiment of the present invention. The method 400 is added to the method 300 of FIG. 3 in addition to the configuration for determining whether malicious code has been previously tested for a malicious code inspection target file.

악성코드 관리 장비는 악성코드 검사를 수행하기 위한 파일을 획득(단계(310))한 후에, 악성코드 검사를 수행하기 위한 파일에 대해 악성코드 검사가 수행된 적이 있는지 여부를 판단할 수 있다(단계(410)). 단계(410)는 악성코드 관리 장비가 악성코드 검사를 수행하기 위한 파일의 식별값에 기초하여 악성코드 검사 이력을 참조함으로써 수행될 수 있다. 여기서 악성코드 검사 이력은 악성코드 관리 장비가 악성코드 검사를 수행한 파일에 관한 정보로서, 악성코드 검사가 수행된 파일의 식별값 및 상기 파일의 URL 중 적어도 하나에 관한 정보를 포함할 수 있다. 즉, 단계(410)는 악성코드 검사를 수행하기 위한 파일의 식별값과 악성코드 검사 이력 내에 포함된 악성코드 검사가 수행된 파일의 식별값을 비교함으로써 수행될 수 있다. 여기서 식별값은 예를 들어, 파일의 해시(hash)값일 수 있다.The malicious code management device can determine whether malicious code checking has been performed on a file for malicious code checking after acquiring a file for performing malicious code checking (step 310) (Step 410). Step 410 may be performed by referring to the malicious code inspection history based on the identification value of the file for malicious code inspection by the malicious code management device. Here, the malicious code inspection history may include information on a file in which the malicious code management device has performed the malicious code inspection, and information about at least one of the identification value of the file in which the malicious code has been inspected and the URL of the file. That is, the step 410 may be performed by comparing the identification value of the file for malicious code inspection with the identification value of the malicious code inspection file included in the malicious code inspection history. Where the identification value may be, for example, the hash value of the file.

악성코드 검사를 수행하기 위한 파일의 식별값과 동일한 식별값을 갖는 파일에 관한 정보가 악성코드 검사 이력에 존재하는 경우, 이는 악성코드 검사를 수행하기 위한 파일에 대해 종래에 악성코드 검사가 수행된 적이 있음을 의미하는 것이므로, 더 이상의 악성코드 검사는 수행되지 않는다. 다만, 동일한 식별값을 갖는 파일이라 할지라도, 이러한 파일의 유포지 또는 경유지는 상이할 수 있으므로, 악성코드 관리 장비는 악성코드 검사를 수행하기 위한 파일의 URL과, 동일한 식별값을 갖는 악성코드 검사 이력 내에 파일의 URL을 비교할 수 있다(단계(420)). 이러한 비교 결과, URL이 서로 상이하면, 악성코드 관리 장비는 악성코드 검사를 수행하기 위한 파일의 URL을 악성코드 검사 이력에 추가함으로써 악성코드 검사 이력을 갱신할 수 있다(단계(430)).When the information on the file having the same identification value as the identification value of the file for performing the malicious code inspection exists in the history of the malicious code inspection, it is determined that the malicious code inspection has been performed It means that there is an enemy, so no further malicious code checking is performed. However, even if the file has the same identification value, the malicious code management device may store the malicious code inspection history having the same identification value and the URL of the file for malicious code inspection, The URL of the file may be compared (step 420). As a result of the comparison, if the URLs are different from each other, the malicious code management device can update the malicious code checking history by adding the URL of the malicious code checking file to the malicious code checking history (step 430).

반대로, 악성코드 검사를 수행하기 위한 파일의 식별값과 동일한 식별값을 갖는 파일에 관한 정보가 악성코드 검사 이력에 존재하지 않는 경우, 이는 악성코드 검사를 수행하기 위한 파일이 악성코드 검사가 수행된 적이 없는 신규 파일임을 의미하는 것이므로, 악성코드 관리 장비는 상기 파일의 식별값 및 URL을 악성코드 검사 이력에 추가함으로써 악성코드 검사 이력을 갱신하고(단계(440)), 단계(320)에 따른 악성코드 검사를 수행할 수 있다.
On the contrary, when the information about the file having the same identification value as the identification value of the file for performing the malicious code inspection does not exist in the malicious code inspection history, this means that the file for malicious code inspection is detected The malicious code management device updates the malicious code inspection history by adding the identification value of the file and the URL to the malicious code inspection history (step 440). Then, the malicious code management device updates the malicious code inspection history Code checking can be performed.

도 5는 본 발명의 일 실시예에 따라 악성코드를 검출하기 위한 방법(500)을 도시한다.Figure 5 illustrates a method 500 for detecting malicious code in accordance with one embodiment of the present invention.

먼저, 악성코드 관리 장비는 악성코드 검사의 대상이 되는 파일을 실행함으로써, 상기 파일의 속성 및 행위에 관한 분석정보를 생성할 수 있다(단계(510)). 이러한 분석정보는 파일에 이용된 패커(packer)의 종류, 파일의 메모리 상의 아스키 문자열, 파일에서 호출하는 API 중 적어도 하나를 포함할 수 있다.First, the malicious code management device can generate analysis information on attributes and behaviors of the file by executing a file to be subjected to the malicious code inspection (step 510). Such analysis information may include at least one of a type of a packer used in a file, an ASCII character string in a file's memory, and an API called in a file.

계속해서, 악성코드 관리 장비는 단계(510)를 통해 생성된 분석정보에 기초하여 파일의 악성코드 해당 여부를 판단할 수 있다(단계(520)). 악성코드의 경우, 그 동작의 특성 상, 정상코드와는 상이한 속성 및 행위를 가지게 되는데, 단계(520)는 이러한 속성 및 행위상의 차이점에 따라 상기 파일이 악성코드인지 여부를 판단할 수 있다. 구체적으로, 단계(520)는 분석정보 내의 패커의 종류, 아스키 문자열, API 중 적어도 하나가 악성코드에서 사용하는 패커, 아스키 문자열, API 중 적어도 하나를 비교함으로써 수행될 수 있다. Subsequently, the malicious code management device may determine whether the file is malicious code based on the analysis information generated in step 510 (step 520). In the case of a malicious code, the malicious code has properties and behaviors different from those of the normal code due to the characteristics of the malicious code, and the malicious code may be determined in step 520 based on the difference in attribute and behavior. Specifically, step 520 may be performed by comparing at least one of the type of packer, the ASCII character string, and the API in the analysis information to the packer, ASCII character string, or API used by the malicious code.

이러한 비교 결과, 분석정보 내의 패커의 종류, 아스키 문자열, API 중 적어도 하나가 악성코드에서 사용하는 패커, 아스키 문자열, API 중 적어도 하나와 동일하면, 악성코드로 판단할 수 있다(단계(530)). 이는 악성코드에서 사용될 수 있는 패커, 아스키 문자열, API가 정상코드에서와는 상이하기 때문이다. 반대로, 단계(520)의 비교 결과, 분석정보 내의 패커의 종류, 아스키 문자열, API 중 적어도 하나가 악성코드에서 사용하는 패커, 아스키 문자열, API 중 적어도 하나와 동일하지 않으면, 정상코드로 판단할 수 있다(단계(540)).As a result of the comparison, if at least one of the type of the packer in the analysis information, the ASCII character string, and the API is the same as at least one of the packer, the ASCII character string, and the API used by the malicious code, the malicious code can be determined as a malicious code (step 530) . This is because packers, ASCII strings, and APIs that can be used in malicious code are different from normal code. Conversely, if at least one of the type of packer, the ASCII character string, and the API in the analysis information is not the same as at least one of the packer, the ASCII character string, and the API used by the malicious code as a result of the comparison in the step 520, (Step 540).

여기서 패커는 파일을 암호화하거나 압축하여 소스코드를 쉽게 볼 수 없게 하는 패킹(packing)을 수행하는 프로그램을 지칭하는데, 다른 단말로 악성코드를 더 빨리 유포하고, 리버싱을 하기까지 시간이 오래 소요되게 하기 위해 악성코드에 패킹이 이용될 수 있다. 이와 같이, 악성코드에서 사용하는 패커는 "FSG", "upack", "aspack", "ASProtect", "nspack", "y0da's Crypter" 등을 포함할 수 있다. 도 6은 악성코드에 이용되는 아스키 문자열의 예시를 도시한다. 용이하게 식별하기 힘든 방법으로 표현된 아스키 문자열을 이용한 우회공격이 악성코드에 이용될 수 있음을 고려한 것이다. 도 7은 악성코드에 이용되는 API의 예시를 도시한다. 악성코드는 그 동작을 위해 특정한 API를 호출할 수 있다는 점을 고려한 것이다. 이와 같은 악성코드에서 사용하는 패커, 악성코드에서 사용하는 아스키 문자열 및 악성코드에서 사용하는 API의 구체적인 구성은 예시적인 것으로서, 본 발명이 적용되는 실시예에 따라 다양한 구성이 적용될 수 있다. Packers refer to a program that performs packing that encrypts or compresses a file so that the source code can not be easily viewed. It is a program that distributes malicious code to other terminals more quickly, takes a long time to reverse Packing can be used for malicious code to do so. As such, the packers used by malicious code may include "FSG", "upack", "aspack", "ASProtect", "nspack", "y0da's Crypter" 6 shows an example of an ASCII character string used in a malicious code. It is considered that a bypass attack using an ASCII string expressed in a way that is difficult to identify easily can be used for malicious code. 7 shows an example of an API used in a malicious code. Malicious code takes into account the fact that a specific API can be called for its operation. The specific configuration of the packer used in the malicious code, the ASCII string used in the malicious code, and the API used in the malicious code are illustrative, and various configurations can be applied according to the embodiment to which the present invention is applied.

본 발명이 적용되는 실시예에 따라, 단계(520)에 부가적으로 또는 대안적으로, 악성코드를 검출하기 위해 당해 기술 분야에에서 일반적으로 사용되는 다양한 보안기술이 이용될 수 있다.
In accordance with an embodiment to which the present invention is applied, various security techniques commonly used in the art for detecting malicious code can be used in addition to or in the alternative to step 520.

도 8은 본 발명의 일 실시예에 따라 악성도메인을 검출하기 위한 방법(800)을 도시한다. Figure 8 illustrates a method 800 for detecting malicious domains in accordance with an embodiment of the present invention.

방법(800)은 악성도메인으로의 접속을 차단하기 위해, 악성코드에 포함된 악성도메인을 검출하기 위한 것이다. 악성코드에 감염된 사용자의 시스템에 설치된 봇 에이전트는 C&C 서버에 접속하기 위해 악성코드 내에 존재하는 C&C 서버의 도메인 명칭을 DNS 서버로 전송하여 C&C 서버의 IP 주소를 DNS에게 질의하게 된다. 이에 응답하여 DNS 서버가 C&C 서버의 IP 주소 등을 전송하면, 봇 에이전트는 이를 이용하여 C&C 서버로 접속하게 되고, 봇 마스터는 악성코드에 감염된 사용자의 시스템에 대한 제어권을 획득하게 된다. 이를 이용하여, 방법(800)은 악성코드에 의해 발생되는 DNS 쿼리 트래픽으로부터 접속하고자 하는 도메인을 추출하고, 추출된 도메인이 악성도메인에 해당하는지 여부를 판단할 수 있다.The method 800 is for detecting a malicious domain included in malicious code in order to block the connection to the malicious domain. The bot agent installed on the malicious code infected user's system sends the domain name of the C & C server existing in the malicious code to the DNS server to access the C & C server, and queries the DNS of the C & C server's IP address. In response to this, when the DNS server transmits the IP address of the C & C server, the bot agent accesses the C & C server using the bot agent, and the bot master acquires control of the user system infected with the malicious code. Using this, the method 800 can extract the domain to be accessed from the DNS query traffic generated by the malicious code, and determine whether the extracted domain corresponds to a malicious domain.

먼저 단계(810)에서, 악성코드 관리 장비는 악성코드에 의한 네트워크 행위를 기록할 수 있다. 단계(810)는 악성코드를 포함하는 파일을 가상환경에서 실행함으로써 상기 파일에 의한 네트워크 행위를 기록할 수 있다.First, in step 810, the malicious code management device can record network activity by malicious code. Step 810 may record a network activity by the file by executing a file containing malicious code in a virtual environment.

계속해서, 악성코드 관리 장비는 단계(810)에서 기록되는 네트워크 행위 중에서 도메인으로의 접속을 위한 DNS 쿼리 트래픽의 발생이 포함되면, DNS 쿼리 트래픽으로부터 상기 도메인, 즉 쿼리 네임(query name)을 추출할 수 있다(단계(820)). 여기서 DNS 쿼리 트래픽은 특정 도메인으로 접속하기 위해 도메인의 IP 주소를 DNS 서버에 질의하기 위한 트래픽을 의미한다. 예를 들어, DNS 쿼리 트래픽은 프로토콜이 UDP이고, 목적지 포트가 53번인 트래픽일 수 있다. The malicious code management device then extracts the domain, i.e., the query name, from the DNS query traffic if the malicious code management device includes the generation of DNS query traffic for connection to the domain among the network actions recorded in step 810 (Step 820). Here, the DNS query traffic refers to the traffic for querying the DNS server with the IP address of the domain to access a specific domain. For example, the DNS query traffic may be traffic whose protocol is UDP and whose destination port is 53 times.

계속해서, 악성코드 관리 장비는 단계(820)에서 추출된 도메인과 정상도메인 목록을 비교할 수 있다. 여기서 정상도메인 목록은 악성도메인에 해당하지 않는 것으로 판단된 정상도메인을 포함할 수 있다. 따라서 단계(830)의 비교 결과에 따라, 악성도메인을 검출할 수 있다. Subsequently, the malware management device may compare the domain extracted in step 820 with the list of normal domains. Herein, the normal domain list may include a normal domain that is determined not to be a malicious domain. Accordingly, malicious domains can be detected in accordance with the comparison result of step 830.

구체적으로, 추출된 도메인이 정상도메인 목록에 매칭되지 않으면(즉, 추출된 도메인이 정상도메인 목록에 포함되지 않으면), 악성코드 관리 장비는 추출된 도메인을 악성도메인으로 판단할 수 있다(단계(840)). 반대로, 추출된 도메인이 정상도메인 목록에 매칭되면(즉, 추출된 도메인이 정상도메인 목록에 포함되면), 악성코드 관리 장비는 추출된 도메인을 정상도메인으로 판단할 수 있다(단계(850)). Specifically, if the extracted domain does not match the normal domain list (that is, if the extracted domain is not included in the normal domain list), the malicious code management device may determine the extracted domain as a malicious domain )). Conversely, if the extracted domain matches the normal domain list (i.e., the extracted domain is included in the normal domain list), the malicious code management device may determine the extracted domain as a normal domain (step 850).

방법(800)은 악성코드에 의해 접속하고자 하는 도메인은 대체적으로 악성도메인에 해당한다는 점에 기초한 것으로서, 신속하게 악성도메인을 검출할 수 있으며, 이에 부가하여, 정상도메인 목록과 비교함으로써 정상도메인을 악성도메인으로 오판하는 것을 방지할 수 있다.
The method 800 is based on the fact that the domain to which a malicious code is intended to access corresponds to a malicious domain. It can quickly detect a malicious domain, and in addition, it can compare a normal domain with a malicious domain list, It is possible to prevent misinterpretation as a domain.

도 9는 본 발명의 일 실시예에 따라 악성도메인으로의 접속을 차단하기 위한 방법(900)을 도시한다.FIG. 9 illustrates a method 900 for blocking a connection to a malicious domain according to an embodiment of the present invention.

먼저, 보안 장비는 내부 네트워크로부터 외부 네트워크로 향하는 트래픽 중 DNS 쿼리 트래픽을 추출할 수 있다(단계(910)). 여기서 DNS 쿼리 트래픽은 특정 도메인으로 접속하기 위해 도메인의 IP 주소를 DNS 서버에 질의하기 위한 트래픽으로서, 예를 들어, DNS 쿼리 트래픽은 프로토콜이 UDP이고, 목적지 포트가 53번인 트래픽일 수 있다.First, the security device may extract DNS query traffic among traffic destined for the internal network to the external network (step 910). The DNS query traffic is traffic for querying the DNS server with the IP address of the domain to connect to a specific domain. For example, the DNS query traffic may be traffic whose UDP is the protocol and whose destination port is 53 times.

계속해서, 단계(910)에서 추출된 DNS 쿼리 트래픽 내의 쿼리 네임과 악성도메인 목록을 비교할 수 있다(단계(920)). 여기서 쿼리 네임은 DNS 쿼리 트래픽에 의한 질의 대상의 호스트 네임으로서, 도메인으로의 접속을 위한 DNS 쿼리 트래픽에 의해 접속하고자 하는 도메인의 명칭을 의미하며, 악성도메인 목록은 악성코드 관리 장비에 의해 검출된 악성도메인을 포함할 수 있다.Subsequently, the query name in the DNS query traffic extracted in step 910 may be compared with the malicious domain list (step 920). Here, the query name is a host name of a query target by the DNS query traffic, which means a name of a domain to be accessed by DNS query traffic for connection to a domain. The malicious domain list is a malicious domain list, Domain.

단계(920)의 비교 결과, 쿼리 명칭이 악성도메인 목록에 매칭되면(즉, 쿼리 명칭이 악성도메인 목록에 포함되면), 상기 DNS 쿼리 트래픽은 악성도메인으로의 접속을 위한 것이므로, 상기 트래픽을 차단할 수 있다(단계(930)). 반대로, 쿼리 명칭이 악성도메인 목록에 매칭되지 않으면(즉, 쿼리 명칭이 악성도메인 목록에 포함되지 않으면), 상기 DNS 쿼리 트래픽은 악성도메인으로의 접속을 위한 것이 아니므로, 상기 트래픽을 허용할 수 있다(단계(940)).
As a result of the comparison in step 920, if the query name matches the malicious domain list (i.e., the query name is included in the malicious domain list), the DNS query traffic is for connection to the malicious domain, (Step 930). Conversely, if the query name does not match the malicious domain list (i.e., the query name is not included in the malicious domain list), the DNS query traffic is not intended for connection to the malicious domain, (Step 940).

도 10은 본 발명의 일 실시예에 따라 보안 장비(1000)를 도시한다. FIG. 10 illustrates a security device 1000 in accordance with an embodiment of the present invention.

보안 장비(1000)는 URL 추출부(1010); URL 목록 생성부(1020); 인터페이스(1030); 및 차단 정책부(1040)를 포함할 수 있다.The security device 1000 includes a URL extracting unit 1010; A URL list generation unit 1020; Interface 1030; And a blocking policy unit 1040.

URL 추출부(1010)는 웹 서버를 통해 유입되는 파일의 URL을 추출할 수 있다. The URL extracting unit 1010 can extract the URL of a file that is input through the web server.

URL 목록 생성부(1020)는 URL 추출부(1010)에 의해 추출된 URL에 관한 URL 목록을 생성할 수 있다. 상기 URL 목록은 실행파일 또는 문서파일에 해당하는 파일의 URL을 포함할 수 있다. The URL list generation unit 1020 can generate a URL list related to the URL extracted by the URL extraction unit 1010. [ The URL list may include a URL of a file corresponding to an executable file or a document file.

인터페이스(1030)는 URL 목록 생성부(1020)에 의해 생성된 URL 목록을 악성코드 관리 장비로 전송할 수 있다. 또한, 인터페이스(1030)는 악성코드 관리 장비로부터 악성코드 검사 결과를 수신할 수 있다. The interface 1030 may transmit the URL list generated by the URL list generation unit 1020 to the malicious code management device. In addition, the interface 1030 may receive malicious code checking results from the malicious code management equipment.

차단 정책부(1040)는 인터페이스(1030)가 수신한 악성코드 검사 결과를 보안정책에 적용할 수 있다. 예를 들어, 차단 정책부(1040)는 악성코드로 판명된 파일의 URL을 URL 차단 정책에 적용할 수 있고, 악성코드 차단목록에 포함된 파일의 식별값을 파일 차단 정책에 적용할 수 있으며, 악성도메인에 관한 정보를 도메인 차단 정책에 적용하여 악성도메인에 관한 DNS 쿼리를 차단할 수 있다.
The blocking policy unit 1040 may apply the malicious code checking result received by the interface 1030 to the security policy. For example, the blocking policy unit 1040 can apply a URL of a file determined to be malicious code to a URL blocking policy, apply an identification value of a file included in the malicious code blocking list to a file blocking policy, Information about malicious domains can be applied to the domain blocking policy to block DNS queries for malicious domains.

도 11은 본 발명의 일 실시예에 따라 악성코드 관리 장비(1100)를 도시한다. 11 illustrates a malware management device 1100 in accordance with one embodiment of the present invention.

악성코드 관리 장비(1100)는 인터페이스(1110); 검사이력 판단부(1120); 파일 실행부(1130); 악성코드 검출부(1140); 도메인 추출부(1150); 악성도메인 검출부(1160)를 포함할 수 있다.The malicious code management equipment 1100 includes an interface 1110; An inspection history determination unit 1120; A file execution unit 1130; A malicious code detection unit 1140; A domain extracting unit 1150; And malicious domain detection unit 1160. [

인터페이스(1110)는 악성코드 검사를 수행하기 위한 파일을 획득할 수 있다. 상기 파일의 획득은 보안 장비로부터 URL 목록을 수신하고, URL 목록에 포함된 URL에 따라 파일을 다운로드하거나, 악성코드 검사를 수행하기 위한 파일을 보안 장비로부터 수신함으로써 수행될 수 있다. 또한, 인터페이스(1110)는 악성코드 검사 결과를 보안 장비에 전송하여 보안 장비가 악성코드 검사 결과를 보안정책에 적용하게 할 수 있다.The interface 1110 may obtain a file for performing malicious code checking. The acquisition of the file may be performed by receiving a URL list from the security device, downloading the file according to the URL included in the URL list, or receiving a file for performing malicious code checking from the security device. Also, the interface 1110 may transmit the malicious code inspection result to the security equipment so that the security equipment may apply the malicious code inspection result to the security policy.

검사이력 판단부(1120)는 인터페이스(1110)가 획득한 파일에 대해 악성코드 검사가 수행된 적이 있는지 여부를 판단할 수 있다. 상기 판단은 악성코드 검사가 수행된 파일의 식별값 및 상기 파일의 URL 중 적어도 하나에 관한 정보를 포함하는 악성코드 검사 이력을 참조함으로써 수행될 수 있다.The inspection history determination unit 1120 can determine whether malicious code has been inspected for the file acquired by the interface 1110. The determination may be performed by referring to a malicious code inspection history including information on at least one of an identification value of a file on which malicious code is inspected and a URL of the file.

악성코드 검출부(1140)는 인터페이스(1110)가 획득한 파일이 악성코드에 해당하는 여부를 판단할 수 있다. 구체적으로, 악성코드 검출부(1140)는 상기 파일에 이용된 패커의 종류, 상기 파일의 메모리 상의 아스키 문자열 및 상기 파일에서 호출하는 API 중 적어도 하나를 포함하는 상기 파일의 분석정보를 생성하고, 상기 파일의 분석정보와, 악성코드에서 사용하는 것으로 지정된 패커, 아스키 문자열 및 API 중 적어도 하나를 비교하며, 상기 비교 결과, 상기 분석정보 내의 패커의 종류, 아스키 문자열, API 중 적어도 하나가 상기 악성코드에서 사용하는 것으로 지정된 패커, 아스키 문자열, API 중 적어도 하나와 일치하면, 상기 파일을 악성코드로 판단할 수 있다.The malicious code detection unit 1140 can determine whether the file acquired by the interface 1110 corresponds to a malicious code. Specifically, the malicious code detection unit 1140 generates analysis information of the file including at least one of a type of a packer used in the file, an ASCII character string in the file's memory, and an API called in the file, At least one of a packer type, an ASCII character string, and an API in the analysis information is used in the malicious code, If it matches at least one of the packer, the ASCII string, and the API specified by the user, the file can be determined as a malicious code.

파일 실행부(1130)는 악성코드를 포함하는 파일을 가상환경에서 실행함으로써 상기 파일에 의한 네트워크 행위를 기록할 수 있다. The file execution unit 1130 can record a network behavior by the file by executing a file including a malicious code in a virtual environment.

도메인 추출부(1150)는 파일 실행부(1130)에 의해 기록되는 네트워크 행위 내에 도메인으로의 접속을 위한 DNS 쿼리 트래픽의 발생이 포함되면, DNS 쿼리 트래픽으로부터 상기 도메인을 추출할 수 있다.The domain extracting unit 1150 can extract the domain from the DNS query traffic if the DNS executing unit 1150 includes the generation of the DNS query traffic for connection to the domain in the network action recorded by the file execution unit 1130.

악성도메인 검출부(1160)는 악성코드 내에 포함된 악성도메인을 검출할 수 있다. 구체적으로, 악성도메인 검출부(1160)는 도메인 추출부(1150)에 의해 추출된 도메인과 정상도메인 목록을 비교한 후, 상기 도메인이 정상도메인 목록에 포함되지 않으면 상기 도메인을 악성도메인으로 판단함으로써, 악성도메인을 검출할 수 있다. 반대로, 상기 도메인이 정상도메인 목록에 포함되면 악성도메인 검출부(1160)는 상기 도메인을 정상도메인으로 판단할 수 있다.
The malicious domain detection unit 1160 can detect a malicious domain included in the malicious code. More specifically, the malicious domain detection unit 1160 compares the domain extracted by the domain extraction unit 1150 with the normal domain list, and if the domain is not included in the normal domain list, the malicious domain determination unit 1160 determines the domain as a malicious domain, Domain can be detected. In contrast, if the domain is included in the normal domain list, the malicious domain detection unit 1160 can determine the domain as a normal domain.

즉, 본원발명은 외부 네트워크로부터 내부 네트워크로 유입되는 파일에 관한 정보를 적어도 하나의 보안 장비를 활용하여 신속하게 수집할 수 있으며, 하나의 악성코드 관리 장비가 이와 같이 수집된 파일에 대한 악성코드 검사를 수행한 후, 그 결과를 시스템 내의 모든 보안 장비에 전송함으로써, 신속하게 악성코드를 탐지하고, 상기 탐지된 악성코드를 시스템 내의 모든 보안 장비에서 차단되게 하는 신속하고 일체화된 보안 서비스를 제공할 수 있다. 특히, 보안장비가 악성코드 관리장비로부터 수신한 악성코드 검사 결과를 차단정책에 적용하기 전에 악성코드에 의해 오염된 경우에도, 본 발명에서는, 악성코드에 의해 접속을 시도하는 악성도메인(예를 들어, C&C 서버)을 검출하고, 이를 보안장비에 배포함으로써, 보안장비가 악성코드에 의한 악의적인 행위를 원천적으로 차단할 수 있게 한다.
That is, the present invention can quickly collect information about a file that flows from an external network to an internal network using at least one security device, and when one malicious code management device detects a malicious code And sends the result to all the security devices in the system so that it can quickly detect malicious code and provide a quick and integrated security service that will block the detected malicious code from all security devices in the system have. In particular, even if a malicious code inspection result received from a malicious code management device is contaminated by a malicious code before applying the malicious code detection result to the blocking policy, the malicious code of the malicious code (for example, , C & C server), and distributes it to the security device, thereby allowing the security device to fundamentally block malicious behavior by the malicious code.

이상에서와 같이 도면과 명세서에서 최적 실시예가 개시되었다. 여기서 특정한 용어들이 사용되었으나, 이는 단지 본 발명을 설명하기 위한 목적에서 사용된 것이지 의미한정이나 특허청구범위에 기재된 본 발명의 범위를 제한하기 위하여 사용된 것은 아니다. 그러므로 본 기술 분야의 통상의 지식을 가진 자라면 이로부터 다양한 변형 및 균등한 타 실시 예가 가능하다는 점을 이해할 것이다. 따라서 본 발명의 진정한 기술적 보호범위는 첨부된 특허청구범위의 기술적 사상에 의해 정해져야 할 것이다.As described above, an optimal embodiment has been disclosed in the drawings and specification. Although specific terms have been employed herein, they are used for purposes of illustration only and are not intended to limit the scope of the invention as defined in the claims or the claims. Therefore, those skilled in the art will appreciate that various modifications and equivalent embodiments are possible without departing from the scope of the present invention. Accordingly, the true scope of the present invention should be determined by the technical idea of the appended claims.

Claims (14)

악성코드를 차단하기 위한 방법으로서,
악성코드에 의한 네트워크 행위를 기록하는 단계;
상기 네트워크 행위 내에 도메인으로의 접속을 위한 DNS 쿼리 트래픽의 발생이 포함되면, 상기 DNS 쿼리 트래픽으로부터 상기 도메인을 추출하는 단계;
상기 도메인과 정상도메인 목록을 비교하는 단계;
상기 도메인이 정상도메인 목록에 포함되지 않으면, 상기 도메인을 악성도메인으로 판단함으로써, 상기 악성도메인을 검출하는 단계; 및
웹 서버로부터 유입되는 파일로부터 악성코드를 검출하는 단계를 더 포함하며,
상기 악성코드를 검출하는 단계는,
상기 파일에 이용된 패커의 종류, 상기 파일의 메모리 상의 아스키 문자열 및 상기 파일에서 호출하는 API 중 적어도 하나를 포함하는 상기 파일의 분석정보를 생성하는 단계;
상기 파일의 분석정보와, 악성코드에서 사용하는 것으로 지정된 패커, 아스키 문자열 및 API 중 적어도 하나를 비교하는 단계; 및
상기 비교 결과, 상기 분석정보 내의 패커의 종류, 아스키 문자열, API 중 적어도 하나가 상기 악성코드에서 사용하는 것으로 지정된 패커, 아스키 문자열, API 중 적어도 하나와 일치하면, 상기 파일을 악성코드로 판단하는 단계를 포함하는,
악성도메인을 검출하기 위한 방법.As a method for blocking malicious code,
Recording a network activity by a malicious code;
Extracting the domain from the DNS query traffic if the generation of DNS query traffic for connection to a domain is included in the network activity;
Comparing the domain with a list of normal domains;
Detecting the malicious domain by determining the domain as a malicious domain if the domain is not included in the normal domain list; And
Further comprising the step of detecting a malicious code from a file coming from a web server,
The step of detecting the malicious code includes:
Generating analysis information of the file including at least one of a type of a packer used in the file, an ASCII character string in a memory of the file, and an API called in the file;
Comparing the analysis information of the file with at least one of a packer, an ASCII character string, and an API specified to be used in the malicious code; And
Judging the file as a malicious code if at least one of the type of the packer, the ASCII character string, and the API in the analysis information coincides with at least one of a packer, an ASCII character string, and an API specified to be used by the malicious code, / RTI >
A method for detecting a malicious domain. 제 1 항에 있어서,
상기 네트워크 행위를 기록하는 단계는 악성코드를 포함하는 파일을 가상환경에서 실행함으로써 상기 파일에 의한 네트워크 행위를 기록함으로써 수행되는,
악성도메인을 검출하기 위한 방법.The method according to claim 1,
Wherein the recording of the network activity is performed by recording a network activity by the file by executing a file including a malicious code in a virtual environment,
A method for detecting a malicious domain. 삭제delete 제 1 항에 있어서,
상기 웹서버로부터 유입되는 파일은 적어도 하나의 보안장비로부터 수신된 파일의 URL에 따라 다운로드함으로써 획득되는,
악성도메인을 검출하기 위한 방법.The method according to claim 1,
Wherein the file received from the web server is obtained by downloading according to a URL of a file received from at least one security device,
A method for detecting a malicious domain. 삭제delete 제 1 항에 있어서,
악성코드 검사가 수행된 파일의 식별값 및 상기 파일의 URL에 관한 정보를 참조하여, 상기 웹서버로부터 유입되는 파일에 대한 악성코드 검사가 수행된 적이 있는지 여부를 판단하는 단계를 더 포함하고,
상기 악성코드를 검출하는 단계는 상기 웹서버로부터 유입되는 파일에 대해 악성코드 검사가 수행된 적이 없다고 판단되는 경우 수행되는,
악성도메인을 검출하기 위한 방법.The method according to claim 1,
Further comprising the step of determining whether malicious code has been inspected for a file coming from the web server by referring to the identification value of the malicious code-inspected file and information about the URL of the file,
Wherein the detecting of the malicious code is performed when it is determined that malicious code checking has not been performed on a file coming from the web server,
A method for detecting a malicious domain. 제 1 항에 있어서,
적어도 하나의 보안 장비가 상기 검출된 악성도메인을 보안정책에 적용하게 하기 위해 상기 검출된 악성도메인을 상기 적어도 하나의 보안 장비로 전송하는 단계를 더 포함하는,
악성도메인을 검출하기 위한 방법.The method according to claim 1,
Further comprising transmitting at least one detected malicious domain to the at least one security device so that at least one security device applies the detected malicious domain to the security policy.
A method for detecting a malicious domain. 악성도메인을 검출하기 위한 장치로서,
악성코드에 의한 네트워크 행위를 기록하기 위한 파일 실행부;
상기 파일 실행부에 의한 네트워크 행위 내에 도메인으로의 접속을 위한 DNS 쿼리 트래픽의 발생이 포함되면, 상기 DNS 쿼리 트래픽으로부터 상기 도메인을 추출하기 위한 도메인 추출부;
상기 도메인 추출부에 의해 추출된 도메인과 정상도메인 목록을 비교한 후, 상기 도메인이 정상도메인 목록에 포함되지 않으면, 상기 도메인을 악성도메인으로 판단함으로써, 상기 악성도메인을 검출하기 위한 악성도메인 검출부; 및
웹 서버로부터 유입되는 파일로부터 악성코드를 검출하기 위한 악성코드 검출부를 포함하고,
상기 악성코드 검출부는,
상기 파일에 이용된 패커의 종류, 상기 파일의 메모리 상의 아스키 문자열 및 상기 파일에서 호출하는 API 중 적어도 하나를 포함하는 상기 파일의 분석정보를 생성하고,
상기 파일의 분석정보와, 악성코드에서 사용하는 것으로 지정된 패커, 아스키 문자열 및 API 중 적어도 하나를 비교하며,
상기 비교 결과, 상기 분석정보 내의 패커의 종류, 아스키 문자열, API 중 적어도 하나가 상기 악성코드에서 사용하는 것으로 지정된 패커, 아스키 문자열, API 중 적어도 하나와 일치하면, 상기 파일을 악성코드로 판단하는,
악성도메인을 검출하기 위한 장치.An apparatus for detecting a malicious domain,
A file execution unit for recording network activity by malicious code;
A domain extracting unit for extracting the domain from the DNS query traffic when the file execution unit includes generation of DNS query traffic for connection to a domain in a network action by the file execution unit;
A malicious domain detection unit for detecting the malicious domain by comparing the domain extracted by the domain extraction unit with a normal domain list and determining the domain as a malicious domain if the domain is not included in the normal domain list; And
And a malicious code detection unit for detecting a malicious code from a file inputted from a web server,
The malicious code detection unit,
Generating analysis information of the file including at least one of a type of a packer used in the file, an ASCII character string in a memory of the file, and an API called in the file,
Compares the analysis information of the file with at least one of a packer, an ASCII character string, and an API designated to be used in the malicious code,
Determining that the file is a malicious code if at least one of a type of a packer, an ASCII character string, and an API in the analysis information coincides with at least one of a packer, an ASCII character string, and an API specified to be used in the malicious code,
A device for detecting a malicious domain. 제 8 항에 있어서,
상기 파일 실행부는 악성코드를 포함하는 파일을 가상환경에서 실행함으로써 상기 파일에 의한 네트워크 행위를 기록하는,
악성도메인을 검출하기 위한 장치.9. The method of claim 8,
Wherein the file execution unit records a network action by the file by executing a file including a malicious code in a virtual environment,
A device for detecting a malicious domain. 삭제delete 제 8 항에 있어서,
상기 웹서버로부터 유입되는 파일은 적어도 하나의 보안장비로부터 수신된 파일의 URL에 따라 다운로드함으로써 획득되는,
악성도메인을 검출하기 위한 장치.9. The method of claim 8,
Wherein the file received from the web server is obtained by downloading according to a URL of a file received from at least one security device,
A device for detecting a malicious domain. 삭제delete 제 8 항에 있어서,
악성코드 검사가 수행된 파일의 식별값 및 상기 파일의 URL에 관한 정보를 참조하여, 상기 웹서버로부터 유입되는 파일에 대해 악성코드 검사가 수행된 적이 있는지 여부를 판단하기 위한 검사이력 판단부를 더 포함하고,
상기 악성코드 검출부는 상기 판단부가 상기 웹서버로부터 유입되는 파일에 대해 악성코드 검사가 수행된 적이 없다고 판단하는 경우 악성코드를 검출하는,
악성도메인을 검출하기 위한 장치.9. The method of claim 8,
Further comprising an inspection history determination unit for determining whether malicious code has been inspected for a file that has been infiltrated from the web server by referring to the identification value of the file subjected to the malicious code inspection and the information about the URL of the file and,
Wherein the malicious code detection unit detects malicious code when the determination unit determines that the malicious code has not been inspected with respect to the file inputted from the web server,
A device for detecting a malicious domain. 제 8 항에 있어서,
적어도 하나의 보안 장비가 상기 검출된 악성도메인을 보안정책에 적용하게 하기 위해 상기 검출된 악성도메인을 상기 적어도 하나의 보안 장비로 전송하기 위한 인터페이스를 더 포함하는,
악성도메인을 검출하기 위한 장치.
9. The method of claim 8,
Further comprising an interface for transferring the detected malicious domain to the at least one security device so that at least one security device applies the detected malicious domain to the security policy,
A device for detecting a malicious domain.
KR20120124169A 2012-11-05 2012-11-05 Method and apparatus to detect malicious domain KR101487476B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR20120124169A KR101487476B1 (en) 2012-11-05 2012-11-05 Method and apparatus to detect malicious domain

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR20120124169A KR101487476B1 (en) 2012-11-05 2012-11-05 Method and apparatus to detect malicious domain

Publications (2)

Publication Number Publication Date
KR20120137326A KR20120137326A (en) 2012-12-20
KR101487476B1 true KR101487476B1 (en) 2015-01-29

Family

ID=47904466

Family Applications (1)

Application Number Title Priority Date Filing Date
KR20120124169A KR101487476B1 (en) 2012-11-05 2012-11-05 Method and apparatus to detect malicious domain

Country Status (1)

Country Link
KR (1) KR101487476B1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102021138B1 (en) 2019-05-07 2019-09-11 주식회사 에이아이스페라 Method and program of malicious domain classification based on artificial intelligence

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101490442B1 (en) * 2013-07-01 2015-02-09 주식회사 이스트시큐리티 Method and system for cutting malicious message in mobile phone, and mobile phone implementing the same
KR101494329B1 (en) * 2013-09-02 2015-02-23 주식회사 베일리테크 System and Method for detecting malignant process
KR101942442B1 (en) * 2017-08-14 2019-01-25 주식회사 인섹시큐리티 System and method for inspecting malicious code
KR102207554B1 (en) * 2019-01-14 2021-01-26 (주) 이드라 Apparatus and Method for Protecting Files
KR102187896B1 (en) 2019-01-24 2020-12-08 주식회사 코씨드바이오팜 Cosmetic composition for improvement of cell moisturizing, intercellular moisturizing, and barrier moisturizing with plant extract

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20100074504A (en) * 2008-12-24 2010-07-02 한국인터넷진흥원 Method for analyzing behavior of irc and http botnet based on network

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20100074504A (en) * 2008-12-24 2010-07-02 한국인터넷진흥원 Method for analyzing behavior of irc and http botnet based on network

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102021138B1 (en) 2019-05-07 2019-09-11 주식회사 에이아이스페라 Method and program of malicious domain classification based on artificial intelligence

Also Published As

Publication number Publication date
KR20120137326A (en) 2012-12-20

Similar Documents

Publication Publication Date Title
US20200287925A1 (en) Entity Group Behavior Profiling
US10587636B1 (en) System and method for bot detection
US10354072B2 (en) System and method for detection of malicious hypertext transfer protocol chains
US9654494B2 (en) Detecting and marking client devices
US8561177B1 (en) Systems and methods for detecting communication channels of bots
CN110730175B (en) Botnet detection method and detection system based on threat information
KR101487476B1 (en) Method and apparatus to detect malicious domain
CA2545916A1 (en) Apparatus method and medium for detecting payload anomaly using n-gram distribution of normal data
US10033761B2 (en) System and method for monitoring falsification of content after detection of unauthorized access
TWI407328B (en) Network virus protection method and system
US11374946B2 (en) Inline malware detection
US11636208B2 (en) Generating models for performing inline malware detection
Stiawan et al. Penetration Testing and Mitigation of Vulnerabilities Windows Server.
KR101372906B1 (en) Method and system to prevent malware code
JP6092759B2 (en) COMMUNICATION CONTROL DEVICE, COMMUNICATION CONTROL METHOD, AND COMMUNICATION CONTROL PROGRAM
KR101494329B1 (en) System and Method for detecting malignant process
US10757118B2 (en) Method of aiding the detection of infection of a terminal by malware
Yagi et al. Investigation and analysis of malware on websites
US9160765B1 (en) Method for securing endpoints from onslaught of network attacks
Yagi et al. Intelligent high-interaction web honeypots based on url conversion scheme
KR20150026187A (en) System and Method for dropper distinction
Yan CAS: A framework of online detecting advance malware families for cloud-based security
JP6635029B2 (en) Information processing apparatus, information processing system, and communication history analysis method
JP7411775B2 (en) Inline malware detection
KR101003094B1 (en) Cyber attack traceback system by using spy-bot agent, and method thereof

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20190103

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20200102

Year of fee payment: 6