KR101602881B1 - System ang method for detecting malignant code of analysis avoid type - Google Patents

System ang method for detecting malignant code of analysis avoid type Download PDF

Info

Publication number
KR101602881B1
KR101602881B1 KR1020150008745A KR20150008745A KR101602881B1 KR 101602881 B1 KR101602881 B1 KR 101602881B1 KR 1020150008745 A KR1020150008745 A KR 1020150008745A KR 20150008745 A KR20150008745 A KR 20150008745A KR 101602881 B1 KR101602881 B1 KR 101602881B1
Authority
KR
South Korea
Prior art keywords
malicious code
information
analysis
malicious
management server
Prior art date
Application number
KR1020150008745A
Other languages
Korean (ko)
Inventor
최보민
강홍구
김병익
황동욱
이태진
신영상
김낙현
Original Assignee
한국인터넷진흥원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국인터넷진흥원 filed Critical 한국인터넷진흥원
Priority to KR1020150008745A priority Critical patent/KR101602881B1/en
Application granted granted Critical
Publication of KR101602881B1 publication Critical patent/KR101602881B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Software Systems (AREA)
  • Computing Systems (AREA)
  • Virology (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Debugging And Monitoring (AREA)

Abstract

Disclosed is a malignant code detection system capable of accurately detecting a malignant code in a widows environment. According to the present invention, the malignant code detection system comprises: a virtualization analysis server to extract first API call information called by a malignant code at a user level by executing a first malignant doubt execution file through a virtualization agent, and first kernel action information at a kernel level; a malignant code management server to detect a first malignant code by applying the first API call information and the first kernel action information to a predetermined malignant code ruleset; and a real time analysis server to extract second API call information called by the malignant code at the user level by executing a second malignant doubt execution file wherein the first malignant code is not detected, and second kernel action information at the kernel level. Thus, the malignant code detection system can more accurately detect a malignant code than the existing one by detecting the malignant code and even an analysis avoidant malignant code from an execution file through a virtualization analysis and a real machine analysis.

Description

분석 회피형 악성 코드 탐지 시스템 및 방법{SYSTEM ANG METHOD FOR DETECTING MALIGNANT CODE OF ANALYSIS AVOID TYPE}BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to a malicious code detection system,

본 실시예들은 악성 코드 탐지 시스템 및 방법에 관한 것으로서, 더욱 상세하게는 윈도우즈 환경에서의 악성 코드를 정밀하게 검출할 수 있는 악성 코드 탐지 시스템 및 방법에 관한 것이다.The present invention relates to a malicious code detection system and method, and more particularly, to a malicious code detection system and method capable of accurately detecting malicious code in a Windows environment.

보안제품 성능평가 기관에서 악성 코드를 체크한 결과, 2014년 10월까지 1억개가 넘는 새로운 악성 코드가 발견되었다고 발표하였다. The security product performance assessment agency checked the malware and found that more than 100 million new malicious code was detected by October 2014.

이 처럼, 급증하고 있는 악성 코드에 대한 신속한 대응을 위하여, 악성 코드 분석을 자동화하려는 연구가 활발하게 진행되고 있다.In order to respond quickly to such rapidly growing malicious codes, studies are being actively conducted to automate malicious code analysis.

이러한 흐름에 따라, 최근에는 커널 레벨에서 악성코드 행위를 자동적으로 분석하는 시스템이 제안되었다.Recently, a system for automatically analyzing malicious code behavior at the kernel level has been proposed.

그러나, 기존의 악성 코드 탐지 시스템은 파일, 레지스터 및 프로세스 등의 기본적인 행위 이벤트만 모니터링하였기 때문에 세부적인 행위 분석이 불가능하였으며, 더욱이 최근에는, 분석 회피용 악성 코드까지도 출현하는 문제점을 안고 있었다.However, since the existing malicious code detection system only monitored basic action events such as files, registers and processes, it was impossible to analyze the detailed behavior, and recently, malicious codes for analysis avoidance also appeared.

한국공개특허 : 제2011-0072113호, 공개일자 : 2011년 06월 29일, 발명의 명칭 : API 정보 DB를 탑재한 플랫폼 및 API 정보 DB를 이용한 API 호출 방법.Korean Patent Publication No. 2011-0072113, publication date: June 29, 2011 Title of the invention: API calling method using API information DB and platform equipped with API information DB.

본 실시예들은 윈도우즈 환경에서 감염된 실행 파일을 수집하고, 사용자 레벨 및/또는 커널 레벨에서 악성 코드를 검출하기 분석 회피형 악성 코드 탐지 시스템 및 방법을 제공하는데 그 목적이 있다.It is an object of the present invention to provide an analysis avoiding malicious code detection system and method for collecting an infected executable file in a Windows environment and detecting malicious code at a user level and / or a kernel level.

또한, 본 실시예들은 윈도우즈 환경에서 감염된 실행 파일로부터 분석 회피형 악성 코드를 탐지하기 위한 분석 회피형 악성 코드 탐지 시스템 및 방법을 제공하는데 그 다른 목적이 있다.It is another object of the present invention to provide an analysis avoiding malicious code detection system and method for detecting an analysis evading malicious code from an infected execution file in a Windows environment.

본 발명의 일 실시예에 따르면, 수집되거나 입력된 분석 대상 트래픽으로부터 추출된 제1 악성 의심 실행 파일을 저장하는 악성 코드 관리 서버; 상기 악성 코드 관리 서버로부터 수신된 제1 악성 의심 실행 파일을 가상화 에이젼트를 통해 실행시켜 사용자 레벨에서 악성 코드가 호출하는 제1 API(Application Program Interface) 호출 정보를 추출하고, 커널 레벨에서 제1 커널 행위 정보를 추출하며, 이들을 상기 악성 코드 관리 서버로 전송하는 가상화 분석 서버; 및 상기 악성 코드 관리 서버는 수신된 상기 제1 API 호출 정보 및 제1 커널 행위 정보를 미리 설정된 악성 코드 룰셋을 각각 적용하여 제1 악성 코드를 탐지할 경우, 상기 제1 악성 코드가 탐지되지 않은 제2 악성 의심 실행 파일을 상기 악성 코드 관리 서버로부터 전송받아 리얼 타임 에이젼트를 통해 실행시킨 후, 사용자 레벨에서 악성 코드가 호출하는 제2 API 호출 정보를 추출하고, 커널 레벨에서 제2 커널 행위 정보를 추출하는 리얼 타임 분석 서버를 포함하는 분석 회피형 악성 코드 탐지 시스템이 제공된다.According to an embodiment of the present invention, a malicious code management server for storing a first malicious suspicious execution file extracted from collected or input analysis target traffic; A first malicious executable file received from the malicious code management server is executed through the virtualization agent to extract first application program interface (API) call information called by the malicious code at the user level, A virtualization analysis server for extracting information and transmitting the information to the malicious code management server; And when the malicious code management server detects the first malicious code by applying the received first API call information and the first kernel malfunction code rule to the malicious code rules set in advance, 2 malicious suspicious execution file is received from the malicious code management server and executed through a real time agent, then second API call information called by the malicious code is extracted at the user level, and second kernel behavior information is extracted at the kernel level An analysis avoiding malicious code detection system including a real time analysis server is provided.

여기서, 상기 악성 코드 관리 서버는 네트워크망에 접속된 네트워크 트래픽 센서로부터 상기 분석 대상 트래픽을 수집할 수 있다.Here, the malicious code management server may collect the analysis target traffic from a network traffic sensor connected to the network.

또한, 상기 분석 대상 트래픽은 상기 제1 악성 의심 실행 파일 및 메타 정보를 포함할 수 있다.In addition, the analysis target traffic may include the first malicious suspicious execution file and meta information.

또한, 상기 가상화 분석 서버는 적어도 하나 이상의 상기 가상화 에이젼트를 동작시켜 상기 제1 API 호출 정보 및 제1 커널 행위 정보를 추출할 수 있다.Also, the virtualization analysis server may operate the at least one virtualization agent to extract the first API call information and the first kernel action information.

또한, 상기 가상화 분석 서버는 API 후킹을 통해 상기 제1 API 호출 정보를 추출하고, 추출된 제1 API 호출 정보와 함께 상기 제1 커널 행위 정보를 상기 악성 코드 관리 서버로 전송할 수 있다.In addition, the virtualization analysis server may extract the first API call information through API hooking and transmit the first kernel behavior information together with the extracted first API call information to the malicious code management server.

또한, 상기 악성 코드 관리 서버는 후킹 필터링을 포함한 상기 악성 코드 룰셋을 수신된 상기 제1 API 호출 정보에 적용하고, 상기 악성 코드 룰셋을 상기 제1 커널 행위 정보에 적용하여 가상화 악성 코드를 탐지할 수 있다.Also, the malicious code management server may apply the malicious code ruleset including the hooking filtering to the received first API call information, and may apply the malicious code rule set to the first kernel malfunction information to detect a virtual malicious code have.

또한, 상기 리얼 타임 분석 서버는 적어도 하나 이상의 상기 리얼타임 에이젼트를 동작시켜 상기 제2 API 호출 정보 및 제2 커널 행위 정보를 추출할 수 있다.In addition, the real-time analysis server may operate the at least one real-time agent to extract the second API call information and the second kernel action information.

또한, 상기 리얼 타임 분석 서버는 API 후킹을 통해 상기 제2 API 호출 정보를 추출하고, 추출된 상기 제2 API 호출 정보와 함께 상기 제2 커널 행위 정보를 상기 악성 코드 관리 서버로 전송할 수 있다.Also, the real-time analysis server may extract the second API call information through API hooking and transmit the second kernel behavior information together with the extracted second API call information to the malicious code management server.

또한, 상기 악성 코드 관리 서버는 후킹 필터링을 포함한 상기 악성 코드 룰셋을 수신된 상기 제2 API 호출 정보에 적용하고, 상기 악성 코드 룰셋을 상기 제2 커널 행위 정보에 적용하여 분석 회피형 악성 코드를 탐지할 수 있다.In addition, the malicious code management server may apply the malicious code ruleset including the hooking filtering to the received second API call information, and apply the malicious code rule set to the second kernel malicious code information to detect an analysis malicious code .

또한, 악성 코드 탐지 시스템은 상기 분석 대상 트래픽을 상기 악성 코드 관리 서버로부터 제공받아 실행시켜, 백신 정보를 추출하고, 추출된 상기 백신 정보를 상기 악성 코드 관리 서버로 전송하는 백신 진단 서버를 더 포함하여 이루어질 수 있다.The malicious code detection system may further include a vaccine diagnosis server that receives and analyzes the traffic to be analyzed from the malicious code management server, extracts the vaccine information, and transmits the extracted vaccine information to the malicious code management server Lt; / RTI >

또한, 상기 백신 진단 서버는 상기 분석 대상 트래픽에 포함된 메타 정보의 URL 정보를 이용하여 상기 제1 악성 의심 실행 파일 또는 제2 악성 의심 실행 파일에 대한 백신 정보를 추출할 수 있다.Also, the vaccine diagnosis server may extract vaccine information for the first malicious suspicious execution file or the second malicious suspicious execution file using the URL information of the meta information included in the analysis target traffic.

또한, 상기 악성 코드 관리 서버는 상기 백신 정보, 제1과 제2 API 호출 정보 및 제1과 제2 커널 행위 정보 중 적어도 하나 이상을 통합 분석하고, 무력화 기술을 적용하여 분석 회피형 악성 행위를 더 탐지할 수 있다.In addition, the malicious code management server may analyze at least one of the vaccine information, the first and second API call information, and the first and second kernel behavior information, and may further detect the malicious malicious behavior can do.

또한, 본 발명의 다른 일 실시예에 따르면, (a) 수집되거나 입력된 실행 파일을 악성 코드 관리 서버의 데이터베이스에 저장하는 단계; (b) 저장된 상기 실행 파일로부터 가상화 환경에서의 제1 API 호출 정보와 커널 행위 정보를 가상화 분석 서버에서 추출하여 가상화 악성 코드를 악성 코드 관리 서버에서 탐지하는 단계; 및 (c) 상기 가상화 악성 코드가 탐지되지 않은 실행 파일로부터 리얼 타임 환경에서의 제2 API 호출 정보와 커널 행위 정보를 리얼 타임 분석 서버에서 추출하여 리얼 타임 악성 코드를 악성 코드 관리 서버에서 탐지하는 단계를 포함하는 분석 회피형 악성 코드 탐지 방법이 제공된다.According to another embodiment of the present invention, there is provided a malicious code management method comprising the steps of: (a) storing a collected or inputted executable file in a database of a malicious code management server; (b) extracting first API call information and kernel behavior information from the stored executable file in a virtualization environment from a virtualization analysis server and detecting a virtualization malicious code from a malicious code management server; And (c) extracting, from a real-time analysis server, second API call information and kernel behavior information in a real-time environment from the execution file in which the virtualization malicious code is not detected, and detecting a real-time malicious code in the malicious code management server A malicious code detection method of an analysis avoiding type is provided.

여기서, 상기 분석 회피형 악성 코드 탐지 방법은 (d) 상기 실행 파일로부터 백신 정보를 백신 진단 서버에서 추출하고, 상기 추출된 정보들을 통합하여 실행시킨후, 분석 회피형 악성 코드를 악성 코드 관리 서버에서 탐지하는 단계를 더 포함하여 이루어질 수 있다.The malicious code detection method includes the steps of: (d) extracting vaccine information from the executable file in a vaccine diagnostic server, and executing the extracted information collectively, and then detecting an analysis avoiding malicious code in the malicious code management server The method comprising the steps of:

이상과 같이, 일 실시예에 따르면, 가상화 분석과 리얼 머신 분석을 통해 실행 파일로부터 악성 코드 탐지 내지 분석 회피형 악성 코드까지도 탐지하여 기존에 비하여 보다 정밀한 악성 코드(악성 행위) 검출이 가능한 효과가 있다. As described above, according to one embodiment, malicious code detection and analysis avoiding malicious codes can be detected from an executable file through virtualization analysis and real machine analysis, and more accurate malicious code (malicious behavior) detection can be achieved compared with the conventional method.

더욱이, 본 실시예들은 추가된 백신 분석을 통해 보다 정밀한 분석 회피형 악성 코드 탐지가 가능하다.Moreover, these embodiments allow for more precise analysis avoiding malicious code detection through additional vaccine analysis.

도 1은 본 발명의 일 실시예에 따른 분석 회피형 악성 코드 탐지 시스템을 예시적으로 나타낸 도면이다.
도 2는 본 발명의 일 실시예에 따른 분석 회피형 악성 코드 탐지 시스템의 구성을 보다 상세하게 나타낸 도면이다.
도 3은 본 발명의 일 실시예에 따른 악성 코드 관리 서버에서 수집되는 분석 대상 트래픽의 일례를 나타낸 도면이다.
도 4는 본 발명의 일 실시예에 따른 정밀 분석 회피형 악성 코드 탐지 시스템을 예시적으로 나타낸 도면이다.1 is a diagram exemplarily showing an analysis evasion type malicious code detection system according to an embodiment of the present invention.
2 is a diagram illustrating a configuration of an analysis avoiding malicious code detection system according to an embodiment of the present invention in more detail.
3 is a diagram illustrating an example of traffic to be analyzed collected by the malicious code management server according to an embodiment of the present invention.
4 is a diagram illustrating an example of a fine-grave evasion type malicious code detection system according to an embodiment of the present invention.

이하, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 본 발명을 용이하게 실시할 수 있도록 하기 위하여, 본 발명의 바람직한 실시예들에 관하여 첨부된 도면을 참조하여 상세히 설명하기로 한다. 도면에서 유사한 참조부호는 여러 측면에 걸쳐서 동일하거나 유사한 기능을 지칭한다.Hereinafter, preferred embodiments of the present invention will be described in detail with reference to the accompanying drawings, so that those skilled in the art can easily carry out the present invention. In the drawings, like reference numerals refer to the same or similar functions throughout the several views.

<분석 회피형 악성 코드 검출 예><Example of detection of malicious code of analysis avoiding type>

도 1은 본 발명의 일 실시예에 따른 분석 회피형 악성 코드 탐지 시스템을 예시적으로 나타낸 도면이다.1 is a diagram exemplarily showing an analysis evasion type malicious code detection system according to an embodiment of the present invention.

도 1를 참조하면, 본 발명의 일 실시예에 따른 분석 회피형 악성 코드 탐지 시스템(100)은 API 분석 요청, 분석 할당 및 분석 결과 조회 및 저장을 포함한 악성 코드 분석 전반을 관리하는 악성 코드 관리 서버(110), 윈도우즈 환경에서의 실행되는 응용 프로그램의 실행 파일에 대하여 가상화 환경에서 악성 코드를 검출하는 가상화 분석 서버(120) 및 가상화 분석 서버(120)에서 검출하지 못한 분석 회피형 악성 코드를 검출하는 리얼 타임 분석 서버(130)를 포함한다.1, an analysis avoiding malicious code detection system 100 according to an embodiment of the present invention includes a malicious code management server (hereinafter, referred to as &quot; malicious code &quot;) 100 for managing overall malicious code analysis including API analysis request, analysis assignment, A virtualization analysis server 120 for detecting a malicious code in a virtualization environment, and a real-time malicious code for detecting an analysis-evasive malicious code that is not detected by the virtualization analysis server 120, in response to an execution file of an application program executed in a Windows environment And an analysis server 130.

이하에서는, 위와 같은 각 구성에 대하여 살펴보기로 한다. 도 2는 본 발명의 일 실시예에 따른 분석 회피형 악성 코드 탐지 시스템의 구성을 보다 상세하게 나타낸 도면이다.Hereinafter, each of the above configurations will be described. 2 is a diagram illustrating a configuration of an analysis avoiding malicious code detection system according to an embodiment of the present invention in more detail.

도 2를 참조하면, 본 발명의 일 실시예에 따른 분석 회피형 악성 코드 탐지 시스템(100)은 분석 회피형 악성 코드를 탐지하고자, 악성 코드 관리 서버(110), 가상화 분석 서버(120) 및 리얼 타임 분석 서버(130)를 포함할 수 있다.2, the analysis evasion type malicious code detection system 100 according to an embodiment of the present invention includes a malicious code management server 110, a virtualization analysis server 120, and a real time analysis A server 130, and the like.

먼저, 악성 코드 관리 서버(110)는 API 분석 요청, 분석 대상인 실행 파일 분석 할당, 분석 결과 조회 및 저장 처럼 악성 코드 분석 전반을 관리한다. 이를 위해, 악성 코드 관리 서버(110)는 악성 코드 분석 대상이 되는 분석 대상 트래픽을 네트워크 트래픽 센서(101)로부터 수집한다. First, the malicious code management server 110 manages overall malicious code analysis such as an API analysis request, execution file analysis allocation to be analyzed, and inquiry and storage of analysis results. To this end, the malicious code management server 110 collects the analysis target traffic from the network traffic sensor 101 as a malicious code analysis target.

이때, 네트워크 트래픽 센서(101)는 네트워크, 예컨대 유,무선 네트워크에 접속되어 윈도우즈 환경에서 운영되는 시스템에서 실행된 응용 프로그램의 실행 파일을 포함한 트래픽을 수집하고, 분석이 필요한 분석 대상 트래픽을 추출하여 악성 코드 관리 서버(110)로 전송한다. 분석 요청된 분석 대상 트래픽의 일례는 도 3과 같이 나타낼 수 있다.At this time, the network traffic sensor 101 is connected to a network, for example, a wired or wireless network, collects traffic including an executable file of an application program executed in a system running in a Windows environment, extracts analysis target traffic requiring analysis, To the code management server (110). An example of the analysis target traffic requested for analysis can be shown in FIG.

따라서, 악성 코드 관리 서버(110)는 네트워크 트래픽 센서(101)로부터 분석 대상 트래픽을 수신하고, 이를 Rest API를 사용하여 분석 대상 트래픽에 포함된 응용 프로그램의 제1 악성 의심 실행 파일 및 각종 메타 정보를 데이터베이스(111)에 저장할 수 있다. 이때, 수집된 응용 프로그램의 실행 파일은 윈도우즈 환경에서 실행 가능한 PE(Portable Executable) 파일인 것이 바람직하다.Therefore, the malicious code management server 110 receives the traffic to be analyzed from the network traffic sensor 101, and uses the Rest API to store the first malicious suspicious execution file and various meta information of the application program included in the traffic to be analyzed And can be stored in the database 111. At this time, the executable file of the collected application program is preferably a PE (Portable Executable) file executable in a Windows environment.

그러나, 수집이 아닌, 입력받을 수도 있다. 즉, 악성 코드 관리 서버(110)는 수동적으로 적어도 하나 이상의 실행 파일을 입력받아 데이터베이스(111)에 저장할 수 있다. 이때, 입력된 실행 파일은 윈도우즈 환경에서 실행 가능한 PE(Portable Executable) 파일인 것이 바람직하다. 그러나, 앞서 설명한 PE(Portable Executable) 파일로만 제한되지 않음은 물론이다. However, it may be input, not collection. That is, the malicious code management server 110 may manually receive at least one executable file and store the executable file in the database 111. At this time, the input executable file is preferably a PE (Portable Executable) file executable in a Windows environment. However, it is needless to say that the present invention is not limited to the PE (Portable Executable) file described above.

그리고, 데이터 베이스(111)에 저장된 제1 악성 의심 실행 파일은 이후에 설명할 가상화 분석 서버(120)로 전송된다.The first malicious suspicious execution file stored in the database 111 is transmitted to the virtualization analysis server 120 to be described later.

일 실시예에서, 가상화 분석 서버(120)는 가상화 기술을 이용하여 적어도 하나 이상의 가상화 에이젼트(121)를 동시에 구동시킬 수 있다. 이때, 연동되어 구동되는 가상화 에이젼트(121)는 가상화 환경에서 수행되는 윈도우즈 시스템을 가리킬 수 있다. In one embodiment, the virtualization analysis server 120 may simultaneously activate at least one virtualization agent 121 using virtualization techniques. At this time, the virtualization agent 121 driven in conjunction with the virtualization agent 121 may refer to a Windows system that is executed in a virtualized environment.

가상화 에이젼트(121)가 구동이 되면, 가상화 에이젼트(121)는 악성 코드 관리 서버(110)로부터 수신된 제1 악성 의심 실행 파일을 실행시킬 수 있다. 실행 결과, 악성 코드가 호출하는 제1 API(Application Program Interface) 호출 정보를 사용자 레벨상에서 추출할 수 있다. When the virtualization agent 121 is activated, the virtualization agent 121 can execute the first malicious suspicious execution file received from the malicious code management server 110. As a result of execution, first application program interface (API) call information called by the malicious code can be extracted on the user level.

또한, 적어도 하나 이상의 가상화 에이젼트(121) 실행 결과, 커널 레벨상에서 제1 커널 행위 정보를 추출할 수 있다. Also, as a result of executing at least one virtualization agent 121, the first kernel behavior information can be extracted on the kernel level.

다시 말해, 가상화 분석 서버(120)는 악성 코드 관리 서버(110)로부터 수신된 제1 악성 의심 실행 파일을 적어도 하나 이상의 가상화 에이젼트(121)를 통해 실행시킨 후, 사용자 레벨상에서 악성 코드가 호출하는 제1 API(Application Program Interface) 호출 정보를 추출하고, 커널 레벨상에서 제1 커널 행위 정보를 추출 할 수 있다.In other words, the virtualization analysis server 120 executes the first malicious suspicious execution file received from the malicious code management server 110 through the at least one virtualization agent 121, 1 API (Application Program Interface) call information, and extract the first kernel behavior information on the kernel level.

더욱이, 가상화 분석 서버(120)는 사용자 레벨상에서 API 후킹을 통해 제1 API 호출 정보를 모니터링함으로써, 제1 API 호출 정보를 추출할 수 있다. 제1 API 호출 정보가 추출되면, 악성 코드에 대한 악성 행위를 알 수 있다.Furthermore, the virtualization analysis server 120 can extract the first API call information by monitoring the first API call information through API hooking on the user level. When the first API call information is extracted, the malicious behavior for the malicious code can be known.

즉, '레지스트리 실행위치에 등록', '파일 복사', '웜 프로세스 실행', 'C:W에 로그 파일 생성', '중복실행방지를 위한 Mutex 생성' 및 '레지스트리의 실행 위치에 등록'과 같은 사용자 레벨 및/또는 커널 레벨의 악성 행위를 알 수 있게 된다. In other words, 'Register at registry execution location', 'Copy file', 'Execute worm process', 'Create log file at C: W', 'Create mutex to prevent duplication' It is possible to know malicious behavior at the same user level and / or kernel level.

이와 같이, 추출된 제1 API 호출 정보와 함께 앞서 설명한 제1 커널 행위 정보는 악성 코드 관리 서버(120)로 전송된다.In this manner, the first kernel action information described above together with the extracted first API call information is transmitted to the malicious code management server 120. [

이런 경우, 본 실시예에서, 악성 코드 관리 서버(110)는 가상화 분석 서버(120)로부터 수신한 제1 API 호출 정보 및 제1 커널 행위 정보를 데이터베이스(101)에 저장하고, 저장된 제1 API 호출 정보 및/또는 제1 커널 행위 정보를 미리 설정된 악성 코드 룰셋을 적용하여 가상화 환경에서의 제1 악성 코드를 탐지하게 된다.In this case, in this embodiment, the malicious code management server 110 stores the first API call information and the first kernel behavior information received from the virtualization analysis server 120 in the database 101, The first malicious code in the virtualization environment is detected by applying malicious code rule set in advance to the information and / or the first kernel malfunction code.

이때, 악성 코드 룰셋은 후킹 필터링을 포함할 수 있다. 즉, 후킹 필터링을 포함한 악성 코드 룰셋을 제1 API 호출 정보에 적용하고, 후킹 필터링된 제1 API 호출 정보와 미리 정의된 악성 코드 룰셋을 비교하여 동일성이 확인되면 가상화 환경의 제1 악성 코드를 탐지할 수 있다.At this time, the malicious rule set may include hooking filtering. That is, the malicious code ruleset including the hooking filtering is applied to the first API call information, and the hooking-filtered first API calling information is compared with the predefined malicious code rule set, and if the identity is confirmed, the first malicious code of the virtualization environment is detected can do.

또한, 악성 코드 관리 서버(110)는 제1 커널 행위 정보와 미리 정의된 악성 코드 룰셋을 비교하여 동일성이 확인되면 가상화 환경의 제1 악성 코드를 탐지할 수 있다.In addition, the malicious code management server 110 may compare the first kernel malfunction code with a predefined malicious code rule set, and may detect the first malicious code in the virtual environment when the identity is confirmed.

그러나, 제1 악성 의심 실행 파일로부터 모든 악성 코드를 탐지할 수는 없다. 그 이유로는, 제1 악성 의심 실행 파일에는 가상화 에이젼트(121)를 기동시켜 탐지되지 않는 분석 회피형 악성 코드가 있을 수 있기 때문이다.However, it can not detect all malicious codes from the first malicious suspicious execution file. The reason for this is that the first malicious suspicious execution file may include an analysis avoiding malicious code that is not detected because the virtualization agent 121 is activated.

따라서, 분석 회피형 악성 코드를 탐지하고자, 악성 코드 관리 서버(110)는 제1 악성 코드가 탐지되지 않은 제2 악성 의심 실행 파일을 제1 악성 의심 실행 파일로부터 추출할 수 있다. Accordingly, in order to detect the analysis evasion type malicious code, the malicious code management server 110 can extract the second malicious suspicious execution file in which the first malicious code is not detected from the first malicious suspicious execution file.

추출된 제2 악성 의심 실행 파일은 이후에 설명할 리얼 타임 분석 서버(130)로 전송된다. 전송된 제2 악성 의심 실행 파일은 가상화 환경을 배제한 리얼 머신 환경에 맞는 적어도 하나 이상의 리얼 타임 에이젼트(131)에 의해 실행될 수 있다. The extracted second malicious suspicious execution file is transmitted to the real-time analysis server 130 to be described later. The transmitted second malicious suspicious execution file may be executed by at least one real time agent 131 corresponding to the real machine environment excluding the virtual environment.

즉, 리얼 타임 분석 서버(130)는 악성 코드 관리 서버(110)로부터 수신된 제2 악성 의심 실행 파일을 리얼 타임 에이젼트(131)를 통해 실행시킨 후, 사용자 레벨상에서 악성 코드가 호출하는 제2 API(Application Program Interface) 호출 정보를 추출하게 된다. That is, the real-time analysis server 130 executes the second malicious suspicious execution file received from the malicious code management server 110 through the real-time agent 131, and then transmits the second malicious code, (Application Program Interface) call information.

바람직하게는, 사용자 레벨에서 API 후킹을 통해 악성 코드가 호출하는 API 정보를 모니터링함으로써, 리얼 타임 분석 서버(130)는 제2 API 호출 정보를 추출할 수 있다. 추출된 제2 API 호출 정보는 리얼 타임 분석 서버(130)로 전송된다.Preferably, the real-time analysis server 130 can extract the second API call information by monitoring API information called by the malicious code through API hooking at the user level. The extracted second API call information is transmitted to the real time analysis server 130.

또한, 리얼 타임 분석 서버(130)는 악성 코드 관리 서버(110)로부터 수신된 제2 악성 의심 실행 파일을 리얼 타임 에이젼트(131)를 통해 실행시킨 후, 커널 레벨상에서 제2 커널 행위 정보를 더 추출할 수 있다. 추출된 제2 커널 행위 정보는 앞서 설명한 제2 API 호출 정보와 함께 리얼 타임 분석 서버(130)로 전송된다.In addition, the real-time analysis server 130 executes the second malicious suspicious execution file received from the malicious code management server 110 through the real-time agent 131, and then extracts the second kernel behavior information from the kernel level can do. The extracted second kernel behavior information is transmitted to the real-time analysis server 130 together with the second API call information described above.

이에 따라, 본 실시예에서, 악성 코드 관리 서버(110)는 리얼 타임 분석 서버(130)로부터 수신한 제2 API 호출 정보 및/또는 제2 커널 행위 정보를 데이터베이스(111)에 더 저장할 수 있다.Accordingly, in this embodiment, the malicious code management server 110 may further store the second API call information and / or the second kernel action information received from the real-time analysis server 130 in the database 111. [

그리고, 악성 코드 관리 서버(110)는 저장된 제2 API 호출 정보에 미리 설정된 악성 코드 룰셋을 다시 적용시켜, 분석 회피형 제2 악성 코드를 탐지하게 된다. 이때, 악성 코드 룰셋은 앞서 설명한 바와 같이 동일한 방식으로 적용되므로 그 설명은 생략한다. Then, the malicious code management server 110 reapplies the preset malicious code ruleset to the stored second API call information to detect the second malicious code of the analysis type. At this time, the malicious code ruleset is applied in the same manner as described above, and a description thereof will be omitted.

또한, 악성 코드 관리 서버(110)는 저장된 제2 커널 행위 정보에 미리 설정된 악성 코드 룰셋을 다시 적용시켜, 더욱 더 분석 회피형 제2 악성 코드를 탐지할 수 있게 된다. Also, the malicious code management server 110 may reapply the previously set malicious code rule to the stored second kernel malicious code information to further detect the second malicious code of the analysis malicious type.

이와 같이, 본 실시예에서는 가상화 에이젼트 환경에서 악성 코드를 탐지하지 못한 실행 파일을 리얼 타임 에이젼트 환경에서 분석 회피형 악성 코드를 보다 정확하게 더 탐지함으로써, 악성 코드로 인한 피해를 더욱 줄일 수 있다. As described above, according to the present embodiment, the analysis avoiding malicious code is more accurately detected in the real-time agent environment of the execution file that can not detect the malicious code in the virtualization agent environment, thereby further reducing the damage caused by the malicious code.

그러나, 보다 정밀한 분석 회피형 악성 코드를 더 탐지할 필요성이 있을 수도 있다. 이를 이하의 도 3에서 살펴보기로 한다.However, there may be a need to detect more precise analysis evasion malware. This will be described with reference to FIG. 3 below.

<정밀 분석 회피형 악성 코드 검출 예>&Lt; Precision analysis evasion type malicious code detection example >

도 4는 본 발명의 일 실시예에 따른 정밀 분석 회피형 악성 코드 탐지 시스템을 예시적으로 나타낸 도면이다.4 is a diagram illustrating an example of a fine-grave evasion type malicious code detection system according to an embodiment of the present invention.

도 4를 참조하면, 본 발명의 일 실시예에 따른 악성 코드 탐지 시스템(100)은 보다 정밀한 분석 회피형 악성 코드를 탐지하기 위하여, 악성 코드 관리 서버(110), 가상화 분석 서버(120), 리얼 타임 분석 서버(130) 및 백신 진단 서버(140)를 포함할 수 있다. 4, the malicious code detection system 100 according to an exemplary embodiment of the present invention includes a malicious code management server 110, a virtualization analysis server 120, An analysis server 130 and a vaccine diagnosis server 140. [

이때, 악성 코드 관리 서버(110), 가상화 분석 서버(120) 및 리얼 타임 분석 서버(130)는 앞서 설명하였기 때문에 그 설명은 생략하지만, 본 실시예에서도 동일하게 적용됨을 미리 밝혀둔다. 따라서, 이하에서는, 백신 진단 서버(140)를 중심으로 설명하고자 한다.Since the malicious code management server 110, the virtualization analysis server 120, and the real-time analysis server 130 have been described above, the description thereof is omitted, but the same is applied to the present embodiment. Therefore, in the following, the vaccine diagnosis server 140 will be mainly described.

즉, 본 실시예에서, 백신 진단 서버(140)는 백신 진단 모듈(141)을 이용하여 분석 대상 트래픽을 악성 코드 관리 서버(110)로부터 제공받아 실행시킨다. 실행 결과, 백신 정보를 추출할 수 있다. That is, in this embodiment, the vaccine diagnosis server 140 receives the analysis target traffic from the malicious code management server 110 using the vaccine diagnosis module 141, and executes the analysis target traffic. As a result of execution, vaccine information can be extracted.

바람직하게는, 분석 대상 트래픽에 포함된 메타 정보의 URL 정보를 실행시켜 제1 악성 의심 실행 파일 및/또는 제2 악성 의심 실행 파일에 대한 백신 정보를 추출할 수 있다. Preferably, the URL information of the meta information contained in the traffic to be analyzed is executed to extract vaccine information for the first malicious suspicious execution file and / or the second malicious suspicious execution file.

이때, URL 정보는 Referer URL 정보일 수 있다. 따라서, 백신 진단 서버(140)는 백신 진단 모듈(141)을 Referer URL 정보를 실행시켜 제1 악성 의심 실행 파일 및/또는 제2 악성 의심 실행 파일에 대한 백신 정보를 추출할 수 있다. 추출된 백신 정보는 악성 코드 관리 서버(110)로 전송된다. At this time, the URL information may be the Referer URL information. Accordingly, the vaccine diagnostic server 140 can execute the Referer URL information to the vaccine diagnostic module 141 to extract the vaccine information for the first malicious suspicious execution file and / or the second malicious suspicious execution file. The extracted vaccine information is transmitted to the malicious code management server 110.

이에 따라, 본 실시예에서, 악성 코드 관리 서버(110)는 미리 저장된 제1과 제2 API 호출 정보, 제1과 제2 커널 행위 정보 뿐만 아니라 백신 진단 서버(140)로부터 제공받은 백신 정보 중 적어도 하나 이상을 통합 분석하여 분석 회피 행위를 탐지하게 된다. Accordingly, in the present embodiment, the malicious code management server 110 not only stores the first and second API call information, the first and second kernel behavior information that are stored in advance, but also at least the vaccine information provided from the vaccine diagnosis server 140 One or more of them are analyzed in an integrated manner to detect an analysis avoiding action.

이때, 분석 회피형 악성 코드를 무력화시키는 무력화 기술을 통합된 정보들에 적용함으로써, 분석 회피형 실제 악성 행위를 탐지하는 것이 바람직하다. 이로써, 가상화 환경 및/또는 리얼 머신 환경에서 탐지하지 못한 분석 회피형 악성 코드를 더 정밀하게 탐지함으로써, 악성 코드로 인한 피해를 더욱 줄일 수 있다.At this time, it is desirable to detect the malicious behavior of the analysis avoiding type by applying the disabling technique for disabling the analysis evading malicious code to the integrated information. This makes it possible to further reduce the damage caused by malicious code by more precisely detecting the analysis avoiding malicious code that is not detected in the virtualized environment and / or the real machine environment.

<분석 회피형 악성 코드 검출 방법 예><Example of detection method of malicious code of analysis avoiding type>

도 5는 본 발명의 일 실시예에 따른 분석 회피형 악성 코드 탐지 방법을 예시적으로 나타낸 순서도이다.5 is a flowchart illustrating an exemplary method of detecting an analysis evasion type malicious code according to an embodiment of the present invention.

도 5를 참조하면, 본 발명의 일 실시예에 따른 분석 회피형 악성 코드 탐지 방법(S100)은 실행 파일을 수집, 저장하는 S110 단계, 수집된 실행 파일로부터 가상화 환경에서 제1 API 호출 정보와 커널 행위 정보를 추출하여 가상화 악성 코드를 탐지하는 S120 단계, 미탐지된 악성 코드를 가지고 있는 상기 실행 파일로부터 리얼 타임 환경에서 제2 API 호출 정보와 커널 행위 정보를 추출하여 리얼 타임 악성 코드(분석 회피형 악성 코드)를 탐지하는 S130 단계 및 상기 실행 파일로부터 백신 정보를 추출하고, 추출된 정보들을 통합하고 실행시켜 정밀한 분석 회피형 악성 코드를 탐지하는 S140 단계를 포함할 수 있다.Referring to FIG. 5, an analysis avoiding malicious code detection method (S100) according to an embodiment of the present invention includes collecting and storing an execution file, extracting first API call information and kernel action Extracting the second API call information and the kernel action information from the executable file having the undetected malicious code in a real-time environment to extract a real-time malicious code (an analysis avoiding malicious code ) And extracting the vaccine information from the executable file, and integrating and executing the extracted information to detect a precise analysis evasion type malicious code in operation S140.

여기서, S110 단계는 악성 코드 분석 대상이 되는 분석 대상 트래픽을 악성 코드 관리 서버(110)에서 네트워크 트래픽 센서(101)로부터 수집한다. Here, in step S110, the malicious code analysis server 110 collects the analysis target traffic from the network traffic sensor 101 as a malicious code analysis target.

이때, 네트워크 트래픽 센서(101)는 네트워크, 예컨대 유,무선 네트워크에 접속되어 윈도우즈 환경에서 운영되는 시스템에서 실행된 응용 프로그램의 실행 파일을 포함한 트래픽을 수집하고, 분석이 필요한 분석 대상 트래픽을 추출하여 악성 코드 관리 서버(110)로 전송한다. At this time, the network traffic sensor 101 is connected to a network, for example, a wired or wireless network, collects traffic including an executable file of an application program executed in a system running in a Windows environment, extracts analysis target traffic requiring analysis, To the code management server (110).

이후, S110 단계는 네트워크 트래픽 센서(101)로부터 분석 대상 트래픽을 악성 코드 관리 서버(110)에서 수신하고, 이를 Rest API를 사용하여 분석 대상 트래픽에 포함된 응용 프로그램의 제1 악성 의심 실행 파일 및 각종 메타 정보를 데이터베이스(111)에 저장할 수 있다. Thereafter, in step S110, the malicious code management server 110 receives the traffic to be analyzed from the network traffic sensor 101. Using the Rest API, the malicious suspicious execution file of the application program included in the analysis target traffic, The meta information can be stored in the database 111. [

이때, 수집된 응용 프로그램의 실행 파일은 윈도우즈 환경에서 실행 가능한 PE(Portable Executable) 파일인 것이 바람직하다.At this time, the executable file of the collected application program is preferably a PE (Portable Executable) file executable in a Windows environment.

그러나, 수집이 아닌, 입력받을 수도 있다. 즉, S110 단계는 수동적으로 적어도 하나 이상의 실행 파일을 입력받아 악성 코드 관리 서버(110)의 데이터베이스(111)에 저장할 수 있다. However, it may be input, not collection. That is, at step S110, at least one executable file may be manually input and stored in the database 111 of the malicious code management server 110. [

이때, 입력된 실행 파일은 윈도우즈 환경에서 실행 가능한 PE(Portable Executable) 파일인 것이 바람직하다. 그러나, 앞서 설명한 PE(Portable Executable) 파일로만 제한되지 않음은 물론이다. 데이터 베이스(111)에 저장된 제1 악성 의심 실행 파일은 악성 코드 관리 서버(110)에서 가상화 분석 서버(120)로 전송한다.At this time, the input executable file is preferably a PE (Portable Executable) file executable in a Windows environment. However, it is needless to say that the present invention is not limited to the PE (Portable Executable) file described above. The first malicious suspicious execution file stored in the database 111 is transferred from the malicious code management server 110 to the virtualization analysis server 120.

일 실시예에서, S120 단계는 가상화 기술을 이용하여 적어도 하나 이상의 가상화 에이젼트(121)를 동시에 구동시킬 수 있다. 이때, 연동되어 구동되는 가상화 에이젼트(121)는 가상화 환경에서 수행되는 윈도우즈 시스템을 가리킬 수 있다. In one embodiment, step S120 may simultaneously activate at least one virtualization agent 121 using virtualization technology. At this time, the virtualization agent 121 driven in conjunction with the virtualization agent 121 may refer to a Windows system that is executed in a virtualized environment.

가상화 에이젼트(121)가 구동이 되면, S120 단계는 악성 코드 관리 서버(110)로부터 수신된 제1 악성 의심 실행 파일을 가상화 에이젼트(121)에서 실행시킬 수 있다. 실행 결과, 악성 코드가 호출하는 제1 API(Application Program Interface) 호출 정보를 사용자 레벨상에서 추출할 수 있다. When the virtualization agent 121 is activated, the virtualization agent 121 can execute the first malicious suspicious execution file received from the malicious code management server 110 in step S120. As a result of execution, first application program interface (API) call information called by the malicious code can be extracted on the user level.

또한, 적어도 하나 이상의 가상화 에이젼트(121) 실행 결과, 커널 레벨 상에서의 제1 커널 행위 정보를 가상화 에이젼트(121)에서 추출할 수 있다. As a result of executing at least one virtualization agent 121, the virtualization agent 121 can extract first kernel behavior information on the kernel level.

다시 말해, S120 단계는 악성 코드 관리 서버(110)로부터 수신된 제1 악성 의심 실행 파일을 적어도 하나 이상의 가상화 에이젼트(121)를 이용하여 실행시킨 후, 사용자 레벨상에서 악성 코드가 호출하는 제1 API(Application Program Interface) 호출 정보를 가상화 분석 서버(120)에서 추출하고, 커널 레벨상에서 제1 커널 행위 정보를 추출 할 수 있다.In other words, in step S120, the first malicious suspicious execution file received from the malicious code management server 110 is executed using at least one virtualization agent 121, and then the first API (called malicious code) Application Program Interface) call information from the virtualization analysis server 120 and extract first kernel behavior information on the kernel level.

바람직하게는, 사용자 레벨상에서 API 후킹을 통해 제1 API 호출 정보를 가상화 분석 서버(120)에서 모니터링함으로써, 제1 API 호출 정보를 추출할 수 있다. Preferably, the first API call information is monitored by the virtualization analysis server 120 through API hooking on the user level, thereby extracting the first API call information.

이와 같이, 추출된 제1 API 호출 정보와 함께 앞서 설명한 제1 커널 행위 정보는 악성 코드 관리 서버(120)로 전송된다.In this manner, the first kernel action information described above together with the extracted first API call information is transmitted to the malicious code management server 120. [

이후, 본 실시예에서, S120 단계는 가상화 분석 서버(120)로부터 수신한 제1 API 호출 정보 및 제1 커널 행위 정보를 악성 코드 관리 서버(110)의 데이터베이스(101)에 저장하고, 저장된 제1 API 호출 정보 및/또는 제1 커널 행위 정보를 미리 설정된 악성 코드 룰셋을 적용하여 가상화 환경에서의 제1 악성 코드를 악성 코드 관리 서버(110)에서 탐지하게 된다.In step S120, the first API call information and the first kernel behavior information received from the virtualization analysis server 120 are stored in the database 101 of the malicious code management server 110, The malicious code management server 110 detects the first malicious code in the virtualization environment by applying the malicious code rule set in advance to the API call information and / or the first kernel malfunction code.

이때, 악성 코드 룰셋은 후킹 필터링을 포함할 수 있다. 즉, 후킹 필터링을 포함한 악성 코드 룰셋을 제1 API 호출 정보에 적용하고, 후킹 필터링된 제1 API 호출 정보와 미리 정의된 악성 코드 룰셋을 비교하여 동일성이 확인되면 가상화 환경의 제1 악성 코드를 탐지할 수 있다.At this time, the malicious rule set may include hooking filtering. That is, the malicious code ruleset including the hooking filtering is applied to the first API call information, and the hooking-filtered first API calling information is compared with the predefined malicious code rule set, and if the identity is confirmed, the first malicious code of the virtualization environment is detected can do.

또한, 본 실시예에서, S120 단계는 제1 커널 행위 정보와 미리 정의된 악성 코드 룰셋을 비교하여 동일성이 확인되면 가상화 환경의 제1 악성 코드를 악성 코드 관리 서버(110)에서 탐지할 수 있다.In this embodiment, in step S120, the malicious code management server 110 may detect the first malicious code in the virtual environment when the first kernel malicious code rule is compared with the predefined malicious code rule set.

그러나, 제1 악성 의심 실행 파일로부터 모든 악성 코드를 탐지할 수는 없다. 그 이유로는, 제1 악성 의심 실행 파일에는 가상화 에이젼트(121)를 기동시켜 탐지되지 않는 분석 회피형 악성 코드가 있을 수 있기 때문이다.However, it can not detect all malicious codes from the first malicious suspicious execution file. The reason for this is that the first malicious suspicious execution file may include an analysis avoiding malicious code that is not detected because the virtualization agent 121 is activated.

따라서, 분석 회피형 악성 코드를 탐지하고자, S130 단계는 제1 악성 코드가 탐지되지 않은 제2 악성 의심 실행 파일을 악성 코드 관리 서버(110)에 의해 제1 악성 의심 실행 파일로부터 추출할 수 있다. Accordingly, in step S130, the malicious code management server 110 may extract the second malicious suspicious execution file in which the first malicious code is not detected, from the first malicious suspicious execution file in order to detect the analysis avoiding malicious code.

추출된 제2 악성 의심 실행 파일은 악성 코드 관리 서버(110)에서 리얼 타임 분석 서버(130)로 전송된다. 전송된 제2 악성 의심 실행 파일은 가상화 환경을 배제한 리얼 머신 환경에 맞는 적어도 하나 이상의 리얼 타임 에이젼트(131)에 의해 실행될 수 있다. The extracted second malicious suspicious execution file is transmitted from the malicious code management server 110 to the real time analysis server 130. The transmitted second malicious suspicious execution file may be executed by at least one real time agent 131 corresponding to the real machine environment excluding the virtual environment.

즉, 일 실시예에서, S130 단계는 악성 코드 관리 서버(110)로부터 수신된 제2 악성 의심 실행 파일을 리얼 타임 에이젼트(131)를 통해 실행시킨 후, 사용자 레벨상에서 악성 코드가 호출하는 제2 API(Application Program Interface) 호출 정보를 리얼 타임 분석 서버(130)에서 추출하게 된다. That is, in step S130, the second malicious suspicious execution file received from the malicious code management server 110 is executed through the real-time agent 131, and then a second API (Application Program Interface) call information from the real-time analysis server 130.

바람직하게는, 사용자 레벨에서 API 후킹을 통해 악성 코드가 호출하는 API 정보를 모니터링함으로써, 제2 API 호출 정보를 추출할 수 있다. 추출된 제2 API 호출 정보는 리얼 타임 분석 서버(130)에서 리얼 타임 분석 서버(130)로 전송된다.Preferably, the second API call information can be extracted by monitoring API information called by the malicious code through API hooking at the user level. The extracted second API call information is transmitted from the real-time analysis server 130 to the real-time analysis server 130.

또한, 본 실시예에서, S130 단계는 악성 코드 관리 서버(110)로부터 수신된 제2 악성 의심 실행 파일을 리얼 타임 에이젼트(131)를 통해 실행시킨 후, 커널 레벨상에서 제2 커널 행위 정보를 리얼 타임 분석 서버(130)에서 더 추출할 수 있다. 추출된 제2 커널 행위 정보는 앞서 설명한 제2 API 호출 정보와 함께 리얼 타임 분석 서버(130)로 전송된다.In this embodiment, step S130 is to execute the second malicious suspicious execution file received from the malicious code management server 110 through the real-time agent 131, and then send the second kernel behavior information in real time Can be further extracted from the analysis server 130. The extracted second kernel behavior information is transmitted to the real-time analysis server 130 together with the second API call information described above.

이에 따라, 본 실시예에서, S130 단계는 리얼 타임 분석 서버(130)로부터 수신한 제2 API 호출 정보 및/또는 제2 커널 행위 정보를 악성 코드 관리 서버(110)의 데이터베이스(111)에 더 저장할 수 있다.Accordingly, in this embodiment, the step S130 further stores the second API call information and / or the second kernel action information received from the real-time analysis server 130 in the database 111 of the malicious code management server 110 .

바람직하게는, 데이터베이스(111)에 저장된 제2 API 호출 정보에 미리 설정된 악성 코드 룰셋을 악성 코드 관리 서버(110)에서 다시 적용시켜, 리얼 타임의 분석 회피형 제2 악성 코드를 탐지하게 된다. 이때, 악성 코드 룰셋은 앞서 설명한 바와 같이 동일한 방식으로 적용되므로 그 설명은 생략한다. Preferably, the malicious code management server 110 reapplies a malicious code rule set previously set in the second API call information stored in the database 111 to detect a real-time analysis-type second malicious code. At this time, the malicious code ruleset is applied in the same manner as described above, and a description thereof will be omitted.

더욱이, S130 단계는 저장된 제2 커널 행위 정보에 미리 설정된 악성 코드 룰셋을 악성 코드 관리 서버(110)에서 다시 적용시켜, 더욱 더 분석 회피형 제2 악성 코드를 탐지할 수 있게 된다. Furthermore, in step S130, the malicious code management server 110 may again apply the malicious code rule set previously stored in the stored second kernel malfunction information to further detect the second malicious code of the analysis malicious type.

이와 같이, 본 실시예에서는 가상화 에이젼트 환경에서 악성 코드를 탐지하지 못한 실행 파일을 리얼 타임 에이젼트 환경에서 분석 회피형 악성 코드를 보다 정확하게 더 탐지함으로써, 악성 코드로 인한 피해를 더욱 줄일 수 있다. As described above, according to the present embodiment, the analysis avoiding malicious code is more accurately detected in the real-time agent environment of the execution file that can not detect the malicious code in the virtualization agent environment, thereby further reducing the damage caused by the malicious code.

그러나, 보다 정밀한 분석 회피형 악성 코드를 더 탐지할 필요성이 있을 수도 있다. 즉, 본 실시예에서, S140 단계는 백신 진단 모듈(141)을 이용하여 분석 대상 트래픽을 악성 코드 관리 서버(110)로부터 제공받아 백신 진단 서버(140)에서 실행시킨다. 실행 결과, 백신 정보를 추출할 수 있다. However, there may be a need to detect more precise analysis evasion malware. That is, in this embodiment, in step S140, the target traffic to be analyzed is provided from the malicious code management server 110 using the vaccine diagnosis module 141 and is executed by the vaccine diagnosis server 140. [ As a result of execution, vaccine information can be extracted.

바람직하게는, 분석 대상 트래픽에 포함된 메타 정보의 URL 정보를 실행시켜 제1 악성 의심 실행 파일 및/또는 제2 악성 의심 실행 파일에 대한 백신 정보를 추출할 수 있다. Preferably, the URL information of the meta information contained in the traffic to be analyzed is executed to extract vaccine information for the first malicious suspicious execution file and / or the second malicious suspicious execution file.

이때, URL 정보는 Referer URL 정보일 수 있다. 따라서, S140 단계는 백신 진단 모듈(141)을 이용하여 Referer URL 정보를 실행시켜 제1 악성 의심 실행 파일 및/또는 제2 악성 의심 실행 파일에 대한 백신 정보를 추출할 수 있다. 추출된 백신 정보는 백신 진단 서버(140)에서 악성 코드 관리 서버(110)로 전송된다. At this time, the URL information may be the Referer URL information. Accordingly, in step S140, the referer URL information may be executed using the vaccine diagnostic module 141 to extract vaccine information for the first malicious suspicious execution file and / or the second malicious suspicious execution file. The extracted vaccine information is transmitted from the vaccine diagnosis server 140 to the malicious code management server 110.

이에 따라, 본 실시예에서, S140 단계는 리 저장된 제1과 제2 API 호출 정보, 제1과 제2 커널 행위 정보 뿐만 아니라 백신 진단 서버(140)로부터 제공받은 백신 정보 중 적어도 하나 이상을 악성 코드 관리 서버(110)에서 통합하여 실행하면 분석 회피 행위를 탐지하게 된다. Accordingly, in this embodiment, at step S140, at least one or more of the first and second API call information, the first and second kernel behavior information, and the vaccine information provided from the vaccine diagnosis server 140 are transmitted to the malicious code When the management server 110 integrally executes the program, the analysis avoiding action is detected.

이때, 분석 회피형 악성 코드를 무력화시키는 무력화 기술을 통합된 정보들에 적용함으로써, 분석 회피형 실제 악성 행위를 탐지하는 것이 바람직하다. 이로써, 가상화 환경 및/또는 리얼 머신 환경에서 탐지하지 못한 분석 회피형 악성 코드를 더 정밀하게 탐지할 수 있을 것이다.At this time, it is desirable to detect the malicious behavior of the analysis avoiding type by applying the disabling technique for disabling the analysis evading malicious code to the integrated information. This will enable more precise detection of malicious code that is not detected in virtualized environments and / or real machine environments.

이상에서 설명된 실시예들은 다양한 컴퓨터 구성요소를 통하여 수행될 수 있는 프로그램 명령어의 형태로 구현되어 컴퓨터 판독 가능한 기록 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능한 기록 매체는 프로그램 명령어, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다.The embodiments described above may be implemented in the form of program instructions that can be executed through various computer components and recorded in a computer-readable recording medium. The computer-readable recording medium may include program commands, data files, data structures, and the like, alone or in combination.

상기 컴퓨터 판독 가능한 기록 매체에 기록되는 프로그램 명령어는 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 분야의 당업자에게 공지되어 사용 가능한 것일 수도 있다. The program instructions recorded on the computer-readable recording medium may be those specially designed and constructed for the present invention or may be those known and used by those skilled in the computer software arts.

컴퓨터 판독 가능한 기록매체의 예에는, 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체, CD-ROM, DVD와 같은 광기록 매체, 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 ROM, RAM, 플래시 메모리 등과 같은 프로그램 명령어를 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. Examples of computer-readable recording media include magnetic media such as hard disks, floppy disks and magnetic tape, optical recording media such as CD-ROMs and DVDs, magneto-optical media such as floptical disks, media, and hardware devices specifically configured to store and execute program instructions such as ROM, RAM, flash memory, and the like.

프로그램 명령어의 예에는, 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드도 포함된다. 상기 하드웨어 장치는 본 발명에 따른 처리를 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.Examples of program instructions include machine language code such as those generated by a compiler, as well as high-level language code that can be executed by a computer using an interpreter or the like. The hardware device may be configured to operate as one or more software modules for performing the processing according to the present invention, and vice versa.

이상에서와 같이, 첨부된 도면을 참조하여 본 발명의 실시예를 설명하였으나, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 본 발명의 기술적 사상이나 필수적인 특징을 변경하지 않고 다른 구체적인 형태로 실시할 수 있다는 것을 이해할 수 있을 것이다. 따라서 이상에서 기술한 실시예는 모든 면에서 예시적인 것이며 한정적이 아닌 것이다.While the present invention has been particularly shown and described with reference to exemplary embodiments thereof, it is to be understood that the invention is not limited to the exemplary embodiments or constructions. You can understand that you can do it. The embodiments described above are therefore to be considered in all respects as illustrative and not restrictive.

100 : 분석 회피형 악성 코드 탐지 시스템 101 : 네트워크 트래픽 센서
110 : 악성 코드 관리 서버 111 : 데이터베이스
120 : 가상화 분석 서버 121 : 가상화 에이젼트
130 : 리얼 타임 분석 서버 131 : 리얼 타임 에이젼트
140 : 백신 진단 서버100: Analysis avoiding malicious code detection system 101: Network traffic sensor
110: malicious code management server 111: database
120: Virtualization Analysis Server 121: Virtualization Agent
130: real time analysis server 131: real time agent
140: Vaccine diagnostic server

Claims (14)

수집되거나 입력된 분석 대상 트래픽으로부터 추출된 제1 악성 의심 실행 파일을 저장하는 악성 코드 관리 서버;
상기 악성 코드 관리 서버로부터 수신된 제1 악성 의심 실행 파일을 가상화 에이젼트를 통해 실행시켜 사용자 레벨에서 악성 코드가 호출하는 제1 API(Application Program Interface) 호출 정보를 추출하고, 커널 레벨에서 제1 커널 행위 정보를 추출하며, 이들을 상기 악성 코드 관리 서버로 전송하는 가상화 분석 서버; 및
상기 악성 코드 관리 서버는 수신된 상기 제1 API 호출 정보 및 제1 커널 행위 정보를 미리 설정된 악성 코드 룰셋을 각각 적용하여 제1 악성 코드를 탐지할 경우, 상기 제1 악성 코드가 탐지되지 않은 제2 악성 의심 실행 파일을 상기 악성 코드 관리 서버로부터 전송받아 리얼 타임 에이젼트를 통해 실행시킨 후, 사용자 레벨에서 악성 코드가 호출하는 제2 API 호출 정보를 추출하고, 커널 레벨에서 제2 커널 행위 정보를 추출하는 리얼 타임 분석 서버;
를 포함하는 분석 회피형 악성 코드 탐지 시스템.A malicious code management server for storing a first malicious suspicious execution file extracted from collected or inputted analysis target traffic;
A first malicious executable file received from the malicious code management server is executed through the virtualization agent to extract first application program interface (API) call information called by the malicious code at the user level, A virtualization analysis server for extracting information and transmitting the information to the malicious code management server; And
When the malicious code management server detects the first malicious code by applying the received first API call information and the first kernel behavior information to the malicious code rules set in advance, The malicious suspicious execution file is received from the malicious code management server and executed through the real time agent. Then, the second API call information called by the malicious code is extracted at the user level, and the second kernel behavior information is extracted at the kernel level Real time analysis server;
An analysis avoiding malicious code detection system. 제1항에 있어서,
상기 악성 코드 관리 서버는,
네트워크망에 접속된 네트워크 트래픽 센서로부터 상기 분석 대상 트래픽을 수집하는 분석 회피형 악성 코드 탐지 시스템.The method according to claim 1,
The malicious code management server comprises:
An analysis avoiding malicious code detection system for collecting the traffic to be analyzed from a network traffic sensor connected to a network. 제2항에 있어서,
상기 분석 대상 트래픽은,
상기 제1 악성 의심 실행 파일 및 메타 정보를 포함하는 분석 회피형 악성 코드 탐지 시스템.3. The method of claim 2,
The traffic to be analyzed,
And the first malicious suspicious execution file and the meta information. 제1항에 있어서,
상기 가상화 분석 서버는,
적어도 하나 이상의 상기 가상화 에이젼트를 동작시켜 상기 제1 API 호출 정보 및 제1 커널 행위 정보를 추출하는 분석 회피형 악성 코드 탐지 시스템.The method according to claim 1,
The virtualization analysis server includes:
Wherein the at least one virtualization agent is operated to extract the first API call information and the first kernel action information. 제4항에 있어서,
상기 가상화 분석 서버는,
API 후킹을 통해 상기 제1 API 호출 정보를 추출하고, 추출된 제1 API 호출 정보와 함께 상기 제1 커널 행위 정보를 상기 악성 코드 관리 서버로 전송하는 분석 회피형 악성 코드 탐지 시스템.5. The method of claim 4,
The virtualization analysis server includes:
Extracting the first API call information through API hooking, and transmitting the first kernel behavior information together with the extracted first API call information to the malicious code management server. 제5항에 있어서,
상기 악성 코드 관리 서버는,
후킹 필터링을 포함한 상기 악성 코드 룰셋을 수신된 상기 제1 API 호출 정보에 적용하고, 상기 악성 코드 룰셋을 상기 제1 커널 행위 정보에 적용하여 가상화 악성 코드를 탐지하는 분석 회피형 악성 코드 탐지 시스템.6. The method of claim 5,
The malicious code management server comprises:
Applying the malicious code ruleset including hooking filtering to the received first API call information, and applying the malicious code ruleset to the first kernel behavior information to detect a virtual malicious code. 제1항에 있어서,
상기 리얼 타임 분석 서버는,
적어도 하나 이상의 상기 리얼타임 에이젼트를 동작시켜 상기 제2 API 호출 정보 및 제2 커널 행위 정보를 추출하는 분석 회피형 악성 코드 탐지 시스템.The method according to claim 1,
The real-time analysis server includes:
Wherein the at least one real-time agent is operated to extract the second API call information and the second kernel action information. 제7항에 있어서,
상기 리얼 타임 분석 서버는,
API 후킹을 통해 상기 제2 API 호출 정보를 추출하고, 추출된 상기 제2 API 호출 정보와 함께 상기 제2 커널 행위 정보를 상기 악성 코드 관리 서버로 전송하는 분석 회피형 악성 코드 탐지 시스템.8. The method of claim 7,
The real-time analysis server includes:
Extracting the second API call information through API hooking, and transmitting the second kernel action information together with the extracted second API call information to the malicious code management server. 제8항에 있어서,
상기 악성 코드 관리 서버는,
후킹 필터링을 포함한 상기 악성 코드 룰셋을 수신된 상기 제2 API 호출 정보에 적용하고, 상기 악성 코드 룰셋을 상기 제2 커널 행위 정보에 적용하여 분석 회피형 악성 코드를 탐지하는 분석 회피형 악성 코드 탐지 시스템.9. The method of claim 8,
The malicious code management server comprises:
Applying the malicious code ruleset including the hooking filtering to the received second API call information, and applying the malicious code rule set to the second kernel behavior information to detect an analysis avoiding malicious code. 제1항에 있어서,
상기 분석 대상 트래픽을 상기 악성 코드 관리 서버로부터 제공받아 실행시켜, 백신 정보를 추출하고, 추출된 상기 백신 정보를 상기 악성 코드 관리 서버로 전송하는 백신 진단 서버;
를 더 포함하는 분석 회피형 악성 코드 탐지 시스템.The method according to claim 1,
A vaccination diagnostic server for receiving and analyzing the traffic to be analyzed from the malicious code management server to extract vaccine information and transmitting the extracted vaccine information to the malicious code management server;
The malicious code detection system comprising: 제10항에 있어서,
상기 백신 진단 서버는,
상기 분석 대상 트래픽에 포함된 메타 정보의 URL 정보를 이용하여 상기 제1 악성 의심 실행 파일 또는 제2 악성 의심 실행 파일에 대한 백신 정보를 추출하는 분석 회피형 악성 코드 탐지 시스템.11. The method of claim 10,
The vaccine diagnosis server comprises:
And extracting vaccine information for the first malicious suspicious execution file or the second malicious suspicious execution file using URL information of the meta information included in the analysis target traffic. 제10항에 있어서,
상기 악성 코드 관리 서버는,
상기 백신 정보, 제1과 제2 API 호출 정보 및 제1과 제2 커널 행위 정보 중 적어도 하나 이상을 통합 분석하고, 무력화 기술을 적용하여 분석 회피형 악성 행위를 더 탐지하는 분석 회피형 악성 코드 탐지 시스템.11. The method of claim 10,
The malicious code management server comprises:
An analysis avoiding malicious code detection system for analyzing at least one of the vaccine information, the first and second API call information, and the first and second kernel behavior information and further detecting an analysis avoiding malicious activity by applying a disabling technique. (a) 수집되거나 입력된 실행 파일을 악성 코드 관리 서버의 데이터베이스에 저장하는 단계;
(b) 저장된 상기 실행 파일로부터 가상화 환경에서의 제1 API 호출 정보와 커널 행위 정보를 가상화 분석 서버에서 추출하여 가상화 악성 코드를 악성 코드 관리 서버에서 탐지하는 단계; 및
(c) 상기 가상화 악성 코드가 탐지되지 않은 실행 파일로부터 리얼 타임 환경에서의 제2 API 호출 정보와 커널 행위 정보를 리얼 타임 분석 서버에서 추출하여 리얼 타임 악성 코드를 악성 코드 관리 서버에서 탐지하는 단계;
를 포함하는 분석 회피형 악성 코드 탐지 방법.(a) storing the collected or inputted executable file in the database of the malicious code management server;
(b) extracting first API call information and kernel behavior information from the stored executable file in a virtualization environment from a virtualization analysis server and detecting a virtualization malicious code from a malicious code management server; And
(c) extracting, from a real-time analysis server, second API call information and kernel behavior information in a real-time environment from the execution file in which the virtualization malicious code is not detected, and detecting a real-time malicious code in the malicious code management server;
The malicious code detection method comprising: 제13항에 있어서,
(d) 상기 실행 파일로부터 백신 정보를 백신 진단 서버에서 추출하고, 상기 추출된 정보들을 통합하여 실행시킨후, 분석 회피형 악성 코드를 악성 코드 관리 서버에서 탐지하는 단계;
를 더 포함하는 분석 회피형 악성 코드 탐지 방법.14. The method of claim 13,
(d) extracting the vaccine information from the executable file in the vaccine diagnostic server, integrating and executing the extracted information, and then detecting the analysis evading malicious code in the malicious code management server;
The malicious code detection method comprising:
KR1020150008745A 2015-01-19 2015-01-19 System ang method for detecting malignant code of analysis avoid type KR101602881B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020150008745A KR101602881B1 (en) 2015-01-19 2015-01-19 System ang method for detecting malignant code of analysis avoid type

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020150008745A KR101602881B1 (en) 2015-01-19 2015-01-19 System ang method for detecting malignant code of analysis avoid type

Publications (1)

Publication Number Publication Date
KR101602881B1 true KR101602881B1 (en) 2016-03-21

Family

ID=55651080

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020150008745A KR101602881B1 (en) 2015-01-19 2015-01-19 System ang method for detecting malignant code of analysis avoid type

Country Status (1)

Country Link
KR (1) KR101602881B1 (en)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101803890B1 (en) * 2017-01-18 2017-12-04 한국인터넷진흥원 Method and Apparatus for Detecting Evasive Malware
KR101854391B1 (en) * 2016-07-21 2018-05-04 (주)레드스톤소프트 Method of security Inspection for terminal by using Log Searching
KR20200068483A (en) 2018-12-05 2020-06-15 단국대학교 산학협력단 Malware detection and classification method and system that uses benign or malicious application preferred feature function for malware detection and classification
KR102181943B1 (en) 2020-09-14 2020-11-23 (주)엠티커뮤니케이션 System of monitoring based on gateway
US10878086B2 (en) 2017-11-16 2020-12-29 Foundation Of Soongsil University-Industry Cooperation Dynamic code extraction-based automatic anti analysis evasion and code logic analysis apparatus
KR102271273B1 (en) 2020-11-26 2021-06-29 숭실대학교산학협력단 Process wrapping method for evading anti-analysis of native codes, recording medium and device for performing the method
US11886589B2 (en) 2020-11-26 2024-01-30 Foundation Of Soongsil University-Industry Cooperation Process wrapping method for evading anti-analysis of native codes, recording medium and device for performing the method

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101038048B1 (en) 2009-12-21 2011-06-01 한국인터넷진흥원 Botnet malicious behavior real-time analyzing system
JP2014007609A (en) 2012-06-25 2014-01-16 Hitachi Ltd Virtualization system, communication device and network failure monitoring method

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101038048B1 (en) 2009-12-21 2011-06-01 한국인터넷진흥원 Botnet malicious behavior real-time analyzing system
JP2014007609A (en) 2012-06-25 2014-01-16 Hitachi Ltd Virtualization system, communication device and network failure monitoring method

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101854391B1 (en) * 2016-07-21 2018-05-04 (주)레드스톤소프트 Method of security Inspection for terminal by using Log Searching
KR101803890B1 (en) * 2017-01-18 2017-12-04 한국인터넷진흥원 Method and Apparatus for Detecting Evasive Malware
US10878086B2 (en) 2017-11-16 2020-12-29 Foundation Of Soongsil University-Industry Cooperation Dynamic code extraction-based automatic anti analysis evasion and code logic analysis apparatus
KR20200068483A (en) 2018-12-05 2020-06-15 단국대학교 산학협력단 Malware detection and classification method and system that uses benign or malicious application preferred feature function for malware detection and classification
KR102181943B1 (en) 2020-09-14 2020-11-23 (주)엠티커뮤니케이션 System of monitoring based on gateway
KR102271273B1 (en) 2020-11-26 2021-06-29 숭실대학교산학협력단 Process wrapping method for evading anti-analysis of native codes, recording medium and device for performing the method
US11886589B2 (en) 2020-11-26 2024-01-30 Foundation Of Soongsil University-Industry Cooperation Process wrapping method for evading anti-analysis of native codes, recording medium and device for performing the method

Similar Documents

Publication Publication Date Title
KR101602881B1 (en) System ang method for detecting malignant code of analysis avoid type
KR101623073B1 (en) System and method for detecting malignant code based on application program interface
US20230281311A1 (en) Method of malware detection and system thereof
KR101589649B1 (en) System and method for analysing large-scale malignant code
JP6932779B2 (en) Methods and systems to verify that detection results are valid
KR101043299B1 (en) Method, system and computer readable recording medium for detecting exploit code
US10121004B2 (en) Apparatus and method for monitoring virtual machine based on hypervisor
KR101676366B1 (en) Attacks tracking system and method for tracking malware path and behaviors for the defense against cyber attacks
EP2797021B1 (en) A method for neutralizing pc blocking malware using a separate device for an antimalware procedure activated by user
JP6717206B2 (en) Anti-malware device, anti-malware system, anti-malware method, and anti-malware program
CN107566401B (en) Protection method and device for virtualized environment
KR101816751B1 (en) Apparatus and method for monitoring virtual machine based on hypervisor
KR20190044820A (en) Method and apparatus for extracting specific dynamic generated file
EP3144845B1 (en) Detection device, detection method, and detection program
TWI553502B (en) Protection method and computer system thereof for firewall apparatus disposed to application layer
KR101589652B1 (en) System and method for detecting and inquiring metamorphic malignant code based on action
KR102105885B1 (en) Detection method and system of ransomeware
KR101308228B1 (en) Method for automatic detecting malware code
WO2020246011A1 (en) Rule generation device, rule generation method, and computer readable storge medium
KR101988747B1 (en) Ransomware dectecting method and apparatus based on machine learning through hybrid analysis
KR20200065816A (en) Detection method of ransomeware using magic number
JP7302223B2 (en) Script detection device, method and program
US20240184887A1 (en) Activity trace extraction device, activity trace extraction method, and activity trace extraction program
KR20130028257A (en) Device, method and computer readable recording medium for providing information to detect unknown malware
KR20170089712A (en) System for detecting malicious code and method thereof

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
LAPS Lapse due to unpaid annual fee