KR101580624B1 - 벌점기반의 알려지지 않은 악성코드 탐지 및 대응 방법 - Google Patents
벌점기반의 알려지지 않은 악성코드 탐지 및 대응 방법 Download PDFInfo
- Publication number
- KR101580624B1 KR101580624B1 KR1020140159790A KR20140159790A KR101580624B1 KR 101580624 B1 KR101580624 B1 KR 101580624B1 KR 1020140159790 A KR1020140159790 A KR 1020140159790A KR 20140159790 A KR20140159790 A KR 20140159790A KR 101580624 B1 KR101580624 B1 KR 101580624B1
- Authority
- KR
- South Korea
- Prior art keywords
- malicious code
- penalty
- behavior
- corresponding command
- file
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/22—Arrangements for preventing the taking of data from a data transmission channel without authorisation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Debugging And Monitoring (AREA)
Abstract
본 발명은 벌점기반의 알려지지 않은 악성코드를 탐지하고 대응 시스템 및 그 방법에 관한 것으로서, 보다 상세하게는 알려진 악성코드뿐만 아니라 아직 시그너처가 확보되지 않은 알려지지 않은 악성코드를 탐지하고 대응하기 위하여 기존 악성코드의 정적 및 동적 특징을 기반으로 벌점평가체계(Penalty Scoring Scheme)을 구축하고, 컴퓨터 시스템 상에서 실행되는 프로세스를 지속적으로 모니터링하여 벌점기준에 따라 벌점을 부과하여 기준치 이상의 벌점 발생 시 악성코드로 판별하여 설정된 대응명령에 따라 대응하는 시스템 및 방법에 관한 것이다. 일정한 시간 동안 분석 행위를 수행 후, 악성코드 여부를 판정하는 방식과 달리 본 발명은 사용자 단말기에서 지속적으로 프로세스를 관찰하는 방식이므로 수개월에 걸쳐서 악성행위를 조금씩 수행하며 침투하는 최신의 APT(Advanced Persistent Threat) 공격기법도 효과적으로 탐지할 수 있다.
Description
본 발명은 시그너처 기반의 악성코드탐지 방법의 한계를 극복하기 위한, 알려지지 않은 악성코드를 탐지하고 대응하는 방법에 관한 것으로, 좀 더 자세하게는 윈도우즈 운영체제(Windows XP/Windows 7)를 사용하는 컴퓨터단말기 상에서 실행되는 알려지지 않은 악성코드를 탐지하고 대응하기 위한 방법이다.
군에서 사용하는 전장관리체계, 자원관리체계 등은 외부로부터의 악성코드 유입을 차단하기 위하여 인터넷과 물리적으로 분리된 별도의 망에서 운용하고 있으며 단말기 보호를 위해 백신체계(Anti-Virus, AV) 사용하고 있지만 여러 접점 및 자료이동경로를 통해 외부로부터 끊임없이 악성코드가 유입되고 있다. 유입되는 악성코드 중 백신업체에 의해 이전에 식별된 악성코드는 백신체계에 시그너처가 반영되어 있어 탐지와 대응이 가능 하지만 아직 식별되지 않은 신종 악성코드와 백신체계를 우회할 수 있는 변종 악성코드는 현재의 백신체계로 탐지할 수 없어 피해를 입는 문제들이 발생하고 있다.
상기 문제점들을 해결하기 위하여, 본 발명은 윈도우즈 운영체제(Windows XP/Windows 7)를 사용하는 컴퓨터단말기에서 알려지지 않은 미식별 프로세스 실행시 프로세스의 악성 여부를 판별하고 대응하여 컴퓨터단말기를 안전하게 보호하는 것을 목적으로 한다.
상기 목적을 달성하기 위해 본 발명은 컴퓨터 단말기에서 실행되는 프로세스를 모니터링하고 탐지하며 대응명령송출부로부터 전달받은 대응명령을 수행하는 단말기에이전트부; 상기 단말기에이전트부에서 탐지된 상기 프로세스 정보를 전달받아 벌점평가체계(Penalty Scoring Scheme)에 맞추어 벌점을 부여하고 벌점에 따라 악성코드 여부를 판별하는 악성코드탐지서버의 악성코드판단부; 악성코드를 탐지하면 연결된 모든 컴퓨터단말기의 단말기에이전트부에 상기 대응명령을 송출하고 관리하는 악성코드대응서버의 대응명령송출부; 및 상기 컴퓨터단말기에서 실행되는 프로세스 정보에 대한 저장, 검색, 갱신 또는 삭제 연산을 지원하는 데이터베이스서버;를 포함하는 것을 특징으로 한다.
상기 단말기에이전트부는 파일의 정적 속성을 분석하는 파일분석부; 콜백 이벤트 기반에 의한 프로세스를 모니터링하는 프로세스행위분석부; 주기적으로 메모리 상태 검사를 하는 메모리분석부; 및 악성코드에 대응하는 악성코드대응부;를 포함한다.
상기 벌점평가체계는 악성코드에서 파일의 정적 속성 및 프로세스의 동적행위 특성을 수집하고 분석하여 구축한 벌점평가항목으로 정적평가항목 리스트 및 동적평가항목 리스트를 포함한다.
상기 데이터베이스서버는 관리대상 컴퓨터단말기에서 실행되는 방대한 양의 프로세스 실행 정보에 대한 저장, 검색, 갱신 또는 삭제를 원활히 처리하기 위한 NoSQL (Non-Relational Operational Database) 데이터베이스 관리 시스템(DBMS)를 지원한다.
벌점기반의 알려지지 않은 악성코드 탐지 및 대응 방법으로서, (a) 컴퓨터 단말기에서 프로세스가 실행되면, 파일의 정적속성으로 PE섹션별 엔트로피, 비정상 실행진입점, API 검사, 퍼지해쉬 및 패커 중에서 어느 하나 이상으로 정적속성을 분석하거나, 프로세스의 동적행위로 OP코드패턴, 프로세스 은닉행위, 의심 API 호출행위, 의심 IP 주소 접속행위, 자가복제행위, 자가파일 삭제행위, 의심 레지스트리 등록행위 및 의심 레지스트리 변경행위 중에서 어느 하나 이상으로 동적행위를 분석하여 프로세스가 실행되는 것을 모니터링하고 탐지하는 단계; (b) 상기 (a) 단계를 통해 탐지된 프로세스 정보로 상기 정적속성과 상기 동적행위가 악성코드탐지서버의 악성코드판단부로 전송하고 상기 악성코드판단부에서 벌점평가체계에 따라 벌점이 부여되면, 상기 벌점과 상기 프로세스 정보를 데이터베이스서버에 기입(log)하는 단계; (c) 상기 데이터베이스서버에서 기입된 상기 프로세스 정보에 대해 부여된 벌점을 서로 합산하는 단계; (d) 합산된 상기 벌점이 기준치 이상이면 악성코드로 판정하고, 상기 판정을 악성코드대응서버의 대응명령송출부로 전달하는 동시에 데이터베이스서버에 기입(log)하는 단계; (e) 상기 악성코드대응서버의 대응명령송출부에서 기 설정된 대응명령에 맞춰 단말기에이전트부에 대응명령하는 단계; 및 (f) 상기 단말기에이전트부에서 상기 대응명령을 수행하는 단계;를 포함하는 것을 특징으로 하는 벌점기반의 알려지지 않은 악성코드 탐지 및 대응 방법.를 포함하는 것을 특징으로 한다.
상기 (a) 단계에서, 등록된 콜백 함수에 의해 콜백 이벤트 기반 프로세스를 모니터링하는 이벤트기반 행위 모니터링 과정; 또는 설정된 주기마다 주기적인 메모리 상태를 모니터링 하는 주기적 행위 모니터링 과정;을 포함한다.
상기 대응명령하는 단계의 대응명령은 상기 악성코드의 프로세스 실행 종료 및 파일 삭제를 수행한다.
또한, 상기 대응명령으로 상기 프로세스 실행 종료나 상기 파일 삭제가 수행되지 않으면 악성코드가 존재하는 컴퓨터단말기를 네트워크로부터 차단하는 시스템 격리가 수행되는 것을 특징으로 하는 벌점기반의 알려지지 않은 악성코드 탐지 및 대응 방법을 제공한다.
상기와 같은 본 발명은, 컴퓨터단말기에서 실행되는 미확인 프로세스에 대한 정적, 동적 분석을 통해 악성여부를 판단하고 대응함으로써 악성코드의 공격에 의한 피해를 줄일 수 있다. 특히, 기존 분석기와 같이 정해진 시간 동안 동적분석을 수행 후 악성여부를 판정하는 방법과는 달리, 사용자가 컴퓨터를 사용하는 동안 계속해서 감시를 수행하므로 최근의 사이버공격과 같이 6개월 이상의 장기간에 걸쳐 공격을 수행하는 APT(Advanced Persistent Threat) 형태의 공격도 탐지할 수 있다.
도 1은 알려지지 않은 악성코드 탐지, 대응 시스템 블록도이다.
도 2는 알려진 악성프로세스가 실행되는 경우 실행 흐름도이다.
도 3은 알려진 정상프로세스가 실행되는 경우 실행 흐름도이다.
도 4는 미확인 프로세스가 실행되는 경우 실행 흐름도이다.
도 5는 이벤트기반 탐지항목에 대한 행위 모니터링 실행흐름도이다.
도 6은 주기적 검사항목에 대한 행위 모니터링 실행흐름도이다.
도 7은 벌점이 기준 초과하여 악성프로세스 판정 시 악성코드 대응 실행흐름도이다.
도 8은 벌점평가표를 나타낸 도면이다.
도 2는 알려진 악성프로세스가 실행되는 경우 실행 흐름도이다.
도 3은 알려진 정상프로세스가 실행되는 경우 실행 흐름도이다.
도 4는 미확인 프로세스가 실행되는 경우 실행 흐름도이다.
도 5는 이벤트기반 탐지항목에 대한 행위 모니터링 실행흐름도이다.
도 6은 주기적 검사항목에 대한 행위 모니터링 실행흐름도이다.
도 7은 벌점이 기준 초과하여 악성프로세스 판정 시 악성코드 대응 실행흐름도이다.
도 8은 벌점평가표를 나타낸 도면이다.
이하 첨부되는 도면을 참조하여 본 발명에 따른 바람직한 실시예를 상세히 설명하기로 한다.
도 1을 참조하면, 본 발명에 따른 벌점기반의 알려지지 않은 악성코드 탐지, 대응 시스템(100)은 컴퓨터단말기(110)에서 실행되는 프로세스(112)를 모니터링하고 탐지하며 대응명령송출부(131)로부터 전달받은 대응명령을 수행하는 단말기에이전트부(111); 상기 단말기에이전트부(111)에서 탐지된 상기 프로세스(112) 정보를 전달받아 벌점평가체계에 맞추어 벌점을 부여하고 벌점에 따라 악성코드 여부를 판별하는 악성코드탐지서버(120)의 악성코드판단부(121); 악성코드를 탐지하면 연결된 모든 컴퓨터단말기(110)의 단말기에이전트부(111)에 상기 대응명령을 송출하고 관리하는 악성코드대응서버(130)의 대응명령송출부(131); 상기 컴퓨터단말기에서 실행되는 프로세스의 정보로 악성파일목록(140-1), 정상파일목록(140-2)과 기입(log)된 프로세스정보(정적속성, 동적행위)(140-3)를 저장, 검색, 갱신 또는 삭제 연산을 지원하는 데이터베이스서버(140)로 구성된다.
구체적으로 상기 단말기에이전트부(111)는 동일 단말기에서 실행되는 모든 프로세스(112)에 대하여 프로세스가 실행되는 생명주기 동안 프로세스의 정적 및 동적 모니터링을 수행하고 탐지하며, 대응명령송출부(131)로부터 전달받은 대응명령을 수행한다.
그리고 상기 단말기에이전트부는 커널모드 드라이버 단과 유저모드 프로세스 단으로 구성된다.
상기 커널모드 드라이버 단에서는 새로운 프로세스가 실행되는 것을 감지하고 이를 유저모드 프로세스 단으로 전달한다.
상기 유저모드 프로세스 단은 악성코드 탐지서버에게 질의를 던져 악성/정상/미확인 여부를 확인하며 각 결과로 프로세스 종료(악성코드 시), 프로세스 정상실행 후 모니터링 안함(정상코드 시), 프로세스 정상실행 후 모니터링 실시(미확인 프로세스)를 결정한다.
또한, 상기 단말기에이전트부(111)는 파일분석부(111-1), 프로세스행위분석부(111-2), 메모리분석부(111-3) 및 악성코드대응부(111-4)로 구분된다.
상기 파일분석부(111-1)는 파일의 정적속성을 분석하며 프로세스행위분석부(111-2)는 프로세스의 동적행위를 이벤트기반으로 감시하여 분석하고, 메모리분석부(111-3)는 주기적으로 프로세스의 메모리상태를 분석하여 감시를 수행한다.
또한, 상기 파일분석부(111-1)는 윈도우즈의 실행파일 포맷인 PE파일 분석, 엔트로피 계산, 이중확장자, 패커분석 등을 수행하고, 프로세스행위분석부(111-2)는 윈도우 API 후킹기법과 미니필터, ETW(Event Trace for Windows) 기법을 활용하여 이벤트기반으로 프로세스 행위를 모니터링하며, 메모리분석부(111-3)는 악성코드가 커널메모리 상의 자료구조 변경 혹은 프로세스 메모리 변경과 같이 이벤트 방식으로 탐지가 어려운 항목에 대해서 주기적으로 메모리검사를 수행한다.
그리고, 상기 데이터베이스서버(140)는 관리대상 컴퓨터단말기(110)에서 실행되는 방대한 양의 프로세스(112) 실행 정보에 대한 저장, 검색, 갱신 또는 삭제를 원할히 처리하기 위한 NoSQL (Non-Relational Operational Database) 데이터베이스 관리 시스템(DBMS)을 지원한다.
도 2를 참조하면, 프로세스 모니터링을 통해 상기 프로세스 실행을 탐지하면 단말기에이전트부(111)는 프로세스의 실행을 잠시 멈추게 하고, 이미 발견되어 데이터베이스서버(140)에 등록된 악성코드인지 확인 후, 이미 등록된 악성코드인 경우에는 즉시 프로세스 실행을 종료시키고 해당 파일을 삭제한다.
도 3은 만일 실행되는 프로세스가 이미 정상파일로 등록되어 있다면 프로세스를 정상적으로 재실행(Resume) 시키고 더 이상의 모니터링은 하지 않는다. 실행되려는 프로세스가 악성도 아니고 정상도 아닌 미확인 프로세스라면 정상적으로 재실행시키고 프로세스 모니터링를 수행한다.
프로세스 모니터링 방법은 크게 두 가지 방법으로 나눈다. 프로세스의 행위지점에 탐지 가능한 경우에는 도 5와 같이 콜백 함수를 등록하여 행위를 모니터링하며, 프로세스의 행위시점을 알 수 없는 경우는 도 6과 같이 단말기에이전트부가 주기적으로 프로세스의 모니터링을 수행한다.
악성코드판단부(121)에서 악성으로 판정된 프로세스는 악성코드대응서버(130)의 대응명령송출부(131)에 의해서 대응정책에 따른 대응명령이 모든 단말기에이전트부(111)에 전달되고 상기 단말기에이전트부는 그 명령을 수행한다. 이때 악성코드의 구성에 따라 프로세스 종료나 파일삭제가 원활히 이루어지지 않을 수 있으며 이런 경우에는 컴퓨터단말기를 네트워크로부터 차단하여 다른 컴퓨터단말기로의 확산을 방지한다.
도 7을 참조하면, 단말기에이전트부(111)의 미확인 프로세스 모니터링 정보는 악성코드탐지서버(120)의 악성코드판단부(121)로 전송되고 벌점평가체계에 따라 벌점을 부여되면, 상기 벌점과 상기 프로세스 정보를 데이터베이스서버(140)에 기입(log)한다.
상기 데이터베이스서버(140)에서 기입된 상기 프로세스 정보에 대해 부여된 벌점을 서로 합산(누적)하고, 상기 벌점이 기준치 이상의 벌점이 누적되면 악성코드로 판정 내역을 악성코드대응서버(130)의 대응명령송출부(131)로 전달하는 동시에 데이터베이스서버(140)에 악성코드 판정 내역을 기입(log)한다.
상기 악성코드대응서버(130)의 대응명령송출부(131)는 설정된 대응명령에 맞춰 모든 단말기에이전트부(111)에 대응명령을 전달하여 일괄적으로 대응 가능하도록 한다.
상기 대응명령은 악성코드의 프로세스 실행 종료 및 파일 삭제가 수행된다.
게다가, 악성코드의 구성에 따라 상기 프로세스 종료나 상기 파일삭제가 원활히 이루어지지 않을 수 있으며, 이런 경우에는 악성코드가 존재하는 컴퓨터단말기를 네트워크로부터 차단하여 다른 컴퓨터단말기로의 확산을 방지한다.
도 8을 참조하면, 벌점평가체계는 실행 프로세스에 벌점을 주는데 필요한 벌점평가표는 파일엔트로피, 비정상 실행진입점, 비정상 PE섹센구조, 비정상 파일명 등의 항목을 포함하는 파일(정적)평가항목 리스트와 프로세스 내 취약점 공격행위, 프로세스/네트워크/파일에 대한 비정상 행위 등의 항목을 포함하는 프로세스(동적)평가항목 리스트로 나누어 구분되어 있다.
상기 벌점평가체계는 상기 평가항목 리스트를 통해 기존 악성코드의 속성을 분석하여 공통적으로 전재하는 항목을 식별하여 프로세스의 악성 여부를 판단한다.
이상, 첨부 도면을 참조하여 본 발명을 상세히 설명하였으나, 이는 예시에 불과한 것이며, 본 발명의 기술적 사상의 범주 내에서 다양한 변형과 변경이 가능하다. 따라서 본 발명의 권리범위는 이하의 특허청구범위의 기재에 의해서 정하여져야 할 것이다.
100 : 악성코드 탐지 및 대응 시스템
110 : 컴퓨터단말기 111: 단말기에이전트부
111-1 : 파일분석부 111-2 : 프로세스행위분석부
111-3 : 메모리분석부 111-4 : 악성코드대응부
112 : 프로세스
120 : 악성코드탐지서버 121 : 악성코드판단부
130 : 악성코드대응서버 131 : 대응명령송출부
140 : 데이터베이스서버 140-1 : 악성파일목록
140-2 : 정상파일목록 140-3 : 프로세스정보
110 : 컴퓨터단말기 111: 단말기에이전트부
111-1 : 파일분석부 111-2 : 프로세스행위분석부
111-3 : 메모리분석부 111-4 : 악성코드대응부
112 : 프로세스
120 : 악성코드탐지서버 121 : 악성코드판단부
130 : 악성코드대응서버 131 : 대응명령송출부
140 : 데이터베이스서버 140-1 : 악성파일목록
140-2 : 정상파일목록 140-3 : 프로세스정보
Claims (10)
- 삭제
- 삭제
- 삭제
- 삭제
- 삭제
- 삭제
- (a) 컴퓨터 단말기에서 프로세스가 실행되면, 파일의 정적속성으로 PE섹션별 엔트로피, 비정상 실행진입점, API 검사, 퍼지해쉬 및 패커 중에서 어느 하나 이상으로 정적속성을 분석하거나,
프로세스의 동적행위로 OP코드패턴, 프로세스 은닉행위, 의심 API 호출행위, 의심 IP 주소 접속행위, 자가복제행위, 자가파일 삭제행위, 의심 레지스트리 등록행위 및 의심 레지스트리 변경행위 중에서 어느 하나 이상으로 동적행위를 분석하여 프로세스가 실행되는 것을 모니터링하고 탐지하는 단계;
(b) 상기 (a) 단계를 통해 탐지된 프로세스 정보로 상기 정적속성과 상기 동적행위가 악성코드탐지서버의 악성코드판단부로 전송되고 상기 악성코드판단부에서 벌점평가체계에 따라 벌점이 부여되면, 상기 벌점과 상기 프로세스 정보를 데이터베이스서버에 기입(log)하는 단계;
(c) 상기 데이터베이스서버에서 기입된 상기 프로세스 정보에 대해 부여된 벌점을 서로 합산하는 단계;
(d) 합산된 상기 벌점이 기준치 이상이면 악성코드로 판정하고, 상기 판정을 악성코드대응서버의 대응명령송출부로 전달하는 동시에 데이터베이스서버에 기입(log)하는 단계;
(e) 상기 악성코드대응서버의 대응명령송출부로부터 단말기에이전트부로 대응명령을 전달하는 단계; 및
(f) 상기 단말기에이전트부에서 상기 대응명령을 수행하는 단계;를 포함하는 것을 특징으로 하는 벌점기반의 알려지지 않은 악성코드 탐지 및 대응 방법.
- 제 7 항에 있어서,
상기 (a) 단계는 등록된 콜백 함수에 의해 콜백 이벤트 기반 프로세스를 모니터링하는 이벤트기반 행위 모니터링 과정; 또는
설정된 주기마다 메모리 상태를 모니터링하는 주기적 행위 모니터링 과정;을 포함하는 것을 특징으로 하는 벌점기반의 알려지지 않은 악성코드 탐지 및 대응 방법.
- 제 7 항에 있어서,
상기 대응명령은 상기 악성코드의 프로세스 실행 종료 및 파일 삭제가 수행되는 것을 특징으로 하는 벌점 기반의 알려지지 않은 악성코드 탐지 및 대응 방법.
- 제 9 항에 있어서,
상기 대응명령으로 상기 프로세스 실행 종료나 상기 파일 삭제가 수행되지 않으면 악성코드가 존재하는 컴퓨터단말기를 네트워크로부터 차단하는 시스템 격리가 수행되는 것을 특징으로 하는 벌점 기반의 알려지지 않은 악성코드 탐지 및 대응 방법.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020140159790A KR101580624B1 (ko) | 2014-11-17 | 2014-11-17 | 벌점기반의 알려지지 않은 악성코드 탐지 및 대응 방법 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020140159790A KR101580624B1 (ko) | 2014-11-17 | 2014-11-17 | 벌점기반의 알려지지 않은 악성코드 탐지 및 대응 방법 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| KR101580624B1 true KR101580624B1 (ko) | 2015-12-28 |
Family
ID=55085115
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020140159790A KR101580624B1 (ko) | 2014-11-17 | 2014-11-17 | 벌점기반의 알려지지 않은 악성코드 탐지 및 대응 방법 |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR101580624B1 (ko) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101731920B1 (ko) | 2016-09-02 | 2017-05-02 | 국방과학연구소 | 이동 단말기 및 그것의 제어방법 |
| KR101990028B1 (ko) * | 2018-11-27 | 2019-06-17 | 강원대학교산학협력단 | 바이너리 파일 복원을 위한 하이브리드 언패킹 방법 및 시스템 |
| CN112434297A (zh) * | 2020-12-29 | 2021-03-02 | 成都立鑫新技术科技有限公司 | 一种公共场所检测手机安全的方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100959274B1 (ko) * | 2009-10-26 | 2010-05-26 | 에스지에이 주식회사 | 네트워크 모니터링 정보를 이용한 악성 코드 조기방역 시스템 및 그 방법 |
| KR101051641B1 (ko) * | 2010-03-30 | 2011-07-26 | 주식회사 안철수연구소 | 이동통신 단말 및 이를 이용한 행위기반 악성 코드 진단 방법 |
| KR101372906B1 (ko) | 2012-06-26 | 2014-03-25 | 주식회사 시큐아이 | 악성코드를 차단하기 위한 방법 및 시스템 |
| KR101428727B1 (ko) | 2012-11-09 | 2014-08-12 | 한국인터넷진흥원 | 악성코드 최종 유포지 및 경유지 탐지 시스템 및 방법 |
-
2014
- 2014-11-17 KR KR1020140159790A patent/KR101580624B1/ko active IP Right Grant
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100959274B1 (ko) * | 2009-10-26 | 2010-05-26 | 에스지에이 주식회사 | 네트워크 모니터링 정보를 이용한 악성 코드 조기방역 시스템 및 그 방법 |
| KR101051641B1 (ko) * | 2010-03-30 | 2011-07-26 | 주식회사 안철수연구소 | 이동통신 단말 및 이를 이용한 행위기반 악성 코드 진단 방법 |
| KR101372906B1 (ko) | 2012-06-26 | 2014-03-25 | 주식회사 시큐아이 | 악성코드를 차단하기 위한 방법 및 시스템 |
| KR101428727B1 (ko) | 2012-11-09 | 2014-08-12 | 한국인터넷진흥원 | 악성코드 최종 유포지 및 경유지 탐지 시스템 및 방법 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101731920B1 (ko) | 2016-09-02 | 2017-05-02 | 국방과학연구소 | 이동 단말기 및 그것의 제어방법 |
| KR101990028B1 (ko) * | 2018-11-27 | 2019-06-17 | 강원대학교산학협력단 | 바이너리 파일 복원을 위한 하이브리드 언패킹 방법 및 시스템 |
| CN112434297A (zh) * | 2020-12-29 | 2021-03-02 | 成都立鑫新技术科技有限公司 | 一种公共场所检测手机安全的方法 |
| CN112434297B (zh) * | 2020-12-29 | 2024-02-20 | 成都立鑫新技术科技有限公司 | 一种公共场所检测手机安全的方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Milajerdi et al. | Holmes: real-time apt detection through correlation of suspicious information flows | |
| US11277423B2 (en) | Anomaly-based malicious-behavior detection | |
| US10645110B2 (en) | Automated forensics of computer systems using behavioral intelligence | |
| US10791133B2 (en) | System and method for detecting and mitigating ransomware threats | |
| JP6829718B2 (ja) | 複数のソフトウェアエンティティにわたって悪意あるビヘイビアを追跡するためのシステムおよび方法 | |
| US8468604B2 (en) | Method and system for detecting malware | |
| US8255998B2 (en) | Information protection method and system | |
| US8181244B2 (en) | Backward researching time stamped events to find an origin of pestware | |
| US20140053267A1 (en) | Method for identifying malicious executables | |
| Stolfo et al. | A comparative evaluation of two algorithms for windows registry anomaly detection | |
| US20170061126A1 (en) | Process Launch, Monitoring and Execution Control | |
| EP1915719B1 (en) | Information protection method and system | |
| CN101924762A (zh) | 一种基于云安全的主动防御方法 | |
| KR20080047261A (ko) | 프로세스 행위 예측 기법을 이용한 비정형 악성코드 탐지방법 및 그 시스템 | |
| EP3455773A1 (en) | Inferential exploit attempt detection | |
| US20170318037A1 (en) | Distributed anomaly management | |
| EP3531324B1 (en) | Identification process for suspicious activity patterns based on ancestry relationship | |
| Mishra et al. | PSI-NetVisor: Program semantic aware intrusion detection at network and hypervisor layer in cloud | |
| Andriatsimandefitra et al. | Detection and identification of android malware based on information flow monitoring | |
| KR101580624B1 (ko) | 벌점기반의 알려지지 않은 악성코드 탐지 및 대응 방법 | |
| Fatemi et al. | Threat hunting in windows using big security log data | |
| CN113449302A (zh) | 一种检测恶意软件的方法 | |
| Gandotra et al. | Malware intelligence: beyond malware analysis | |
| Kono et al. | An unknown malware detection using execution registry access | |
| CN115086081A (zh) | 一种蜜罐防逃逸方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| E701 | Decision to grant or registration of patent right | ||
| GRNT | Written decision to grant | ||
| FPAY | Annual fee payment |
Payment date: 20181204 Year of fee payment: 4 |