KR101606088B1 - 악성 코드 탐지 방법 및 장치 - Google Patents

악성 코드 탐지 방법 및 장치 Download PDF

Info

Publication number
KR101606088B1
KR101606088B1 KR1020140191967A KR20140191967A KR101606088B1 KR 101606088 B1 KR101606088 B1 KR 101606088B1 KR 1020140191967 A KR1020140191967 A KR 1020140191967A KR 20140191967 A KR20140191967 A KR 20140191967A KR 101606088 B1 KR101606088 B1 KR 101606088B1
Authority
KR
South Korea
Prior art keywords
malicious code
detection pattern
code detection
unit
behavior
Prior art date
Application number
KR1020140191967A
Other languages
English (en)
Inventor
강기수
Original Assignee
주식회사 시큐아이
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 시큐아이 filed Critical 주식회사 시큐아이
Priority to KR1020140191967A priority Critical patent/KR101606088B1/ko
Application granted granted Critical
Publication of KR101606088B1 publication Critical patent/KR101606088B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks

Abstract

본 발명은 계층 구조를 갖는 네트워크 관리 장치 및 그 동작 방법에 관한 것으로, 본 발명의 일 실시예에 따른 계층 구조를 갖는 통합 관리 시스템에 있어서 네트워크 관리 장치의 동작 방법은, 상위 계층 장치로부터 데이터 및 장치 리스트를 수신하는 단계; 상기 장치 리스트를 N 개(N은 자연수)로 분할하여, 각각의 분할된 장치 리스트에서 하나의 장치들을 선택하여 N 개의 하위 계층 장치로 설정하는 단계; 및 상기 N 개의 하위 계층 장치로 상기 데이터 및 상기 하위 계층 장치가 속하는 분할된 장치 리스트를 전송하는 단계를 포함하는 것을 특징으로 한다.

Description

악성 코드 탐지 방법 및 장치{METHOD AND APPARATUS FOR DETECTING MALICIOUS CODE}
본 발명은 악성 코드 탐지 방법 및 장치에 관한 것이다.
정보 통신 기술이 급속도로 발전함에 따라 트래픽이 증가하고, 증가하는 트래픽을 통해 악성 코드가 전파되어 많은 피해가 발생하고 있다. 일반적으로 악성 코드는 시스템 사용자의 승인 없이 시스템에 침입하는 악성 소프트웨어들의 집합을 의미한다. 악성 코드는 기밀 정보에 접근하거나 원격으로 시스템을 제어하고, 핵심적인 서비스들을 방해하는 등의 악의적인 목적으로 설계된다. 악성 코드는 코드, 데이터/시스템 파일, 드라이브의 일부분을 감염시킬 수 있고, 서비스의 거부를 유발하는 네트워크 상의 초과 트레픽을 생성할 수 있다.
악성 코드는 스마트폰, 태블릿, 컴퓨터 등과 같은 다양한 전자 디바이스들에 침투할 수 있어, 쉽게 확산될 수 있다. 여기에서, 전자 디바이스들 각각은 직접적으로 또는 간접적으로 다른 전자 디바이스들과 연결될 수 있어, 악성 코드가 침투한 전자 디바이스들 각각은 다른 전자 디바이스들과의 연결을 통해, 악성 코드를 확산시킬 수 있다.
종래 기술에 따르면, 이러한 악성 코드의 확산을 방지하기 위하여 악성 코드의 특성에 기초한 이진 패턴과 같은 악성 코드의 탐지 패턴을 탐색하고 그러한 탐지 패턴을 갖는 패킷을 차단한다. 이러한 과정은 사람이 수동으로 트래픽을 분석하여 탐지 패턴을 생성하고 적용하기 때문에 네트워크 장비에 탐지 패턴이 적용되기까지 오랜 시간이 소요된다. 또한, 실제 장비에 적용하기 까지는 최종 검증 작업을 진행하게 되므로 최초 악성 코드가 발견된 후 장비에 적용되기 까지는 더 많은 시간이 소요되며, 이렇게 적용되는 시간이 길어지면 네트워크 보안에 공백이 발생한다는 문제점이 있다.
본 발명은 악성 코드 탐지 패턴을 생성, 검증, 적용하는 과정을 자동화할 수 있는 악성 코드 탐지 방법 및 장치를 제공하는데 그 목적이 있다.
본 발명의 일 실시예에 따른 악성 코드 탐지 방법은, 악성 코드를 수집하는 단계; 상기 수집한 악성 코드의 행위를 분석하는 단계; 상기 분석한 행위를 바탕으로 악성 코드 탐지 패턴을 생성하는 단계; 상기 악성 코드 탐지 패턴의 적합성 및 안정성을 검사하는 단계; 및 상기 악성 코드 탐지 패턴을 적용하는 단계를 포함하는 것을 특징으로 한다.
본 발명의 다른 실시예에 따른 악성 코드 탐지 장치는, 데이터를 송수신하는 통신부; 악성 코드를 수집하는 악성 코드 수집부; 상기 수집한 악성 코드의 행위를 분석하는 악성 코드 분석부; 상기 분석한 행위를 바탕으로 악성 코드 탐지 패턴을 생성하는 악성 코드 탐지 패턴 생성부; 상기 악성 코드 탐지 패턴의 적합성 및 안정성을 검사하는 적합성 및 안정성 검사부; 및 상기 악성 코드 탐지 패턴을 적용하도록 제어하는 제어부를 포함하는 것을 특징으로 한다.
본 발명의 또다른 실시예에 따른 악성 코드 탐지를 위해 프로세서에 의해 수행되는 명령들이 저장되는 컴퓨터에 의해 판독 가능한 저장 매체에서, 상기 악성 코드 탐지를 위해 프로세서에 의해 수행되는 명령은, 악성 코드를 수집하는 단계; 상기 수집한 악성 코드의 행위를 분석하는 단계; 상기 분석한 행위를 바탕으로 악성 코드 탐지 패턴을 생성하는 단계; 상기 악성 코드 탐지 패턴의 적합성 및 안정성을 검사하는 단계; 및 상기 악성 코드 탐지 패턴을 적용하는 단계를 수행하는 것을 특징으로 한다.
본 발명에 따르면, 악성 코드에서 발생하는 트래픽 분석을 통해 악성 코드 탐지 패턴을 빠르게 생성, 검증, 적용할 수 있어 악성 코드 확산을 방지할 수 있다.
도 1은 본 발명이 적용되는 네트워크 시스템을 나타내는 도면이다.
도 2는 본 발명의 일 실시예에 따른 악성 코드 탐지 방법을 나타내는 순서도이다.
도 3은 본 발명의 일 실시예에 따른 악성 코드 탐지 방법에서 악성 코드 행위 분석 방법을 타내는 순서도이다.
도 4는 본 발명의 일 실시예에 따른 악성 코드 탐지 장치의 내부 구성을 나타내는 블록도이다.
이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시 예들을 상세히 설명한다. 이 때, 첨부된 도면에서 동일한 구성 요소는 가능한 동일한 부호로 나타내고 있음에 유의해야 한다. 또한 본 발명의 요지를 흐리게 할 수 있는 공지 기능 및 구성에 대한 상세한 설명은 생략할 것이다.
명세서 전체에서, 어떤 부분이 다른 부분과 "연결"되어 있다고 할 때, 이는 "직접적으로 연결"되어 있는 경우뿐 아니라, 그 중간에 장치를 사이에 두고 "간접적으로 연결"되어 있는 경우도 포함한다. 명세서 전체에서, 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다.
도 1은 본 발명이 적용되는 네트워크 시스템을 나타내는 도면이다.
도 1을 참조하면, 네트워크 시스템은 복수의 단말 장치(111, 112, … ,11k), 악성 코드 탐지 장치(120) 및 네트워크(130)를 포함한다.
복수의 단말 장치(111, 112, … ,11k)는 악성 코드 탐지 장치(120)를 통해 네트워크(130)에 연결된다. 복수의 단말 장치(111, 112, … ,11k)는 컴퓨터, PC, 노트북, 휴대폰, 서버 등 네트워크(120)에 접속할 수 있는 모든 단말 장치를 포함할 수 있다.
악성 코드 탐지 장치(120)는 복수의 단말 장치(111, 112, … ,11k)와 네트워크(130) 사이에 위치할 수 있다. 악성 코드 탐지 장치(120)는 복수의 단말 장치(111, 112, … ,11k)와 네트워크(130)에서 통신되는 패킷들을 분석하여 악성 코드를 탐지하도록 구성될 수 있다. 이러한 악성 코드 탐지 장치(120)는 다른 보안 기능들을 함께 수행할 수도 있다. 예를 들면, 악성 코드 탐지 장치(120)는 방화벽(Firewall), 침입 차단 시스템(Intrusion Prevention System; IPS), 안티 바이러스(Anti-Virus), 안티 스팸(Anti-Spam), DDoS 방어, 웹 서버에 설치된 애플리케이션 제어 관련 기능 등을 수행할 수 있다. 또한, 악성 코드 탐지 장치(120)는 통합보안관리(Unified Threat Management; UTM) 장비, 방화벽(Firewall) 장비, WAF(Web Application Firewall) 장비, 애플리케이션 제어 장비와 결합될 수도 있다. 나아가, 악성 코드 탐지 장치(120)는 복수의 단말 장치(111, 112, … ,11k)와 네트워크(130) 사이가 아니라 독립적으로 구성될 수도 있고, 이 경우에는 복수의 단말 장치(111, 112, … ,11k)와 네트워크(130) 사이에 별도의 탐지 장치가 존재하여 악성 코드 탐지 장치(120)에서 생성한 탐지 패턴을 별도의 탐지 장치에서 적용할 수도 있다.
본 발명의 일 실시예에 따른 악성 코드 탐지 장치(120)는 악성 코드를 수집하고 악성 코드의 행위를 분석하여 악성 코드 탐지 패턴을 생성하고, 생성한 악성 코드 탐지 패턴의 적합성 및 안정성을 검사하여 해당 악성 코드 탐지 패턴을 실제 악성 코드 탐지에 적용할 수 있다. 이러한 과정을 통해 악성 코드에서 발생하는 트래픽 분석을 통해 악성 코드 탐지 패턴을 빠르게 생성, 검증, 적용할 수 있어 악성 코드 확산을 방지할 수 있다.
네트워크(130)는 악성 코드 탐지 장치(120)를 통해 복수의 단말 장치(111, 112, … ,11k)에 연결된다. 또한, 네트워크(120)는 인터넷, 인트라넷 등 복수의 단말 장치(111, 112, … ,11k)가 접속할 수 있는 모든 네트워크를 포함할 수 있다.
도 2는 본 발명의 일 실시예에 따른 악성 코드 탐지 방법을 나타내는 순서도이다.
도 2를 참조하면, 먼저, 210 단계에서 악성 코드를 수집한다. 악성 코드는 악성 코드 탐지 장치 자체에서 수집하는 것도 가능하고, 국내/외에서 이미 악성 코드로 판명된 악성 프로그램을 자동으로 수집하는 크롤링 툴을 이용하여 수집할 수도 있다.
다음으로, 220 단계에서 수집한 악성 코드의 행위를 분석한다. 220 단계에서는 악성 코드의 트래픽을 수집하기 위하여, 가상 환경에서 실제 악성 프로그램을 실행시켜 트래픽을 발생시키고, 발생되는 트래픽을 수집함으로써 정확한 트래픽을 수집할 수 있다. 이러한 자세한 과정이 도 3에 도시되어 있다.
도 3은 본 발명의 일 실시예에 따른 악성 코드 탐지 방법에서 악성 코드 행위 분석 방법을 타내는 순서도이다.
도 3을 참조하면, 먼저, 310 단계에서 수집한 악성 코드를 가상 환경에서 실행한다. 악성 코드는 해당 악성 코드의 전파를 위하여 네트워크를 사용하는 것이 일반적이다. 이러한 특징을 이용하여, 320 단계에서 악성 코드의 실행으로 인하여 발생하는 트래픽을 수집한다. 이와 같이 가상 환경에서 악성 코드를 실제로 실행함으로써 보다 정확한 정보를 얻을 수 있다.
330 단계에서는 수집한 트래픽으로부터 네트워크 행위 정보를 추출한다. 네트워크 행위 정보는 IP 주소, 포트 넘버 및/또는 HTTP 프로토콜 정보를 포함할 수 있다. 여기서, HTTP 프로토콜 정보는 User-Agent 정보일 수 있다. 이와 같이 추출한 네트워크 행위 정보를 이용하여 보다 정확한 탐지 패턴을 생성할 수 있다.
다시, 도 2으로 돌아가면, 230 단계에서, 분석한 행위를 바탕으로 악성 코드 탐지 패턴을 생성한다. 즉, 네트워크 행위 정보를 바탕으로 악성 코드 탐지 패턴을 생성할 수 있다.
240 단계에서는 이렇게 생성한 악성 코드 탐지 패턴의 적합성 및 안정성을 검사한다. 적합성 검사는 생성한 악성 코드 탐지 패턴이 기존에 생성된 탐지 패턴과 동일한지 여부를 검사하는 것이다. 이러한 적합성 검사는 이미 가지고 있는 블랙 리스트 및/또는 화이트 리스트와 생성한 탐지 패턴을 비교함으로써 이루어진다. 이미 블랙 리스트 및/또는 화이트 리스트에 존재하는 탐지 패턴이라면 굳이 새로 추가할 필요 없이 생성한 탐지 패턴을 폐기하고 기존의 블랙 리스트 및/또는 화이트 리스트를 이용할 수 있다. 안정성 검사는 생성한 악성 코드 탐지 패턴으로 실제 해당 악성 코드가 차단되는지 여부를 검사하는 것이다. 이러한 안정성 검사는 악성 코드 탐지 장치(120) 자체에서 수행하는 것도 가능하고 별도의 테스트 장비에서 테스트 하여 결과만 가져오는 것도 가능하다.
마지막으로 250 단계에서 적합성 및 안정성 검사가 끝난 탐지 패턴을 실제 악성 코드 탐지에 적용한다.
본 발명의 일 실시예에 따르면, 이와 같은 단계를 거치면서, 가상 환경에서 악성 코드를 실행하여 정확한 탐지 패턴을 생성할 수 있고, 실제 시스템에 적용 전, 적합성 및 안정성 검사를 거쳐 효율과 안정성을 높여 악성 코드 탐지 패턴을 빠르게 생성, 검증, 적용할 수 있다.
지금까지 살펴본 발명의 실시예들은 프로세서에 의해 수행되는 명령들로 구현되어 컴퓨터에 의해 판독 가능한 저장 매체에 저장될 수 있다. 이러한 명령들이 프로세서에 의해 실행되는 경우, 위에서 설명한 흐름도 및/또는 블록도에서 특정된 기능들/동작들을 구현하는 수단을 생성할 수 있다. 흐름도/블록도들에서의 각 블록은 본 발명의 실시예들을 구현하는 하드웨어 및/또는 소프트웨어모듈 또는 로직을 나타낼 수도 있다. 또한, 블록도들에 언급한 기능들은 도면들에서 언급한 순서를 벗어나 발생할 수도 있고, 동시에 발생할 수도 있다.
컴퓨터에 의해 판독 가능한 매체는 예를 들어, 플로피 디스크, ROM, 플래시 메모리, 디스크 드라이브 메모리, CD-ROM, 및 다른 영구 저장부와 같은 비휘발성 메모리를 포함할 수 있으나, 이에 한정되지 않고 다양한 매체가 사용 가능하다.
도 4는 본 발명의 일 실시예에 따른 악성 코드 탐지 장치의 내부 구성을 나타내는 블록도이다.
도 4를 참조하면, 본 발명의 일 실시예에 따른 악성 코드 탐지 장치(400)는, 통신부(410), 악성 코드 수집부(420), 악성 코드 분석부(430), 탐지 패턴 생성부(440), 적합성 및 안정성 검사부(450), 저장부(460) 및 제어부(470)를 포함할 수 있다.
통신부(410)는 악성 코드 탐지 장치(400)와 복수의 단말 장치(111, 112, … ,11k) 및 네트워크(130)를 연결하는 역할을 수행하며, 유선 또는/및 무선 통신을 수행한다. 본 발명의 실시예에 따르면, 통신부(410)는 데이터를 송수신한다.
악성 코드 수집부(420)는 악성 코드를 수집하는 역할을 수행한다. 악성 코드는 악성 코드 탐지 장치 자체에서 수집하는 것도 가능하고, 국내/외에서 이미 악성 코드로 판명된 악성 프로그램을 자동으로 수집하는 크롤링 툴을 이용하여 수집할 수도 있다.
악성 코드 분석부(430)는 수집한 악성 코드의 행위를 분석하는 역할을 수행한다. 이때, 악성 코드 분석부(430)는 악성 코드의 트래픽을 수집하기 위하여, 가상 환경에서 실제 악성 프로그램을 실행시켜 트래픽을 발생시키고, 발생되는 트래픽을 수집함으로써 정확한 트래픽을 수집할 수 있다.
악성 코드 분석부(430)는 수집한 악성 코드를 가상 환경에서 실행하는 역할을 수행한다. 악성 코드는 해당 악성 코드의 전파를 위하여 네트워크를 사용하는 것이 일반적이다. 악성 코드 분석부(430)는 이러한 특징을 이용하여, 악성 코드의 실행으로 인하여 발생하는 트래픽을 수집한다. 이와 같이 가상 환경에서 악성 코드를 실제로 실행함으로써 보다 정확한 정보를 얻을 수 있다. 또한, 악성 코드 분석부(430)는 수집한 트래픽으로부터 네트워크 행위 정보를 추출한다. 네트워크 행위 정보는 IP 주소, 포트 넘버 및/또는 HTTP 프로토콜 정보를 포함할 수 있다. 여기서, HTTP 프로토콜 정보는 User-Agent 정보일 수 있다.
탐지 패턴 생성부(440)는 악성 코드 분석부(430)에서 분석한 분석결과를 토대로 악성 코드 탐지 패턴을 생성하는 역할을 수행한다. 즉, 탐지 패턴 생성부(440)는 네트워크 행위 정보를 바탕으로 악성 코드 탐지 패턴을 생성할 수 있다.
적합성 및 안정성 검사부(450)는 적합성 검사는 생성한 악성 코드 탐지 패턴이 기존에 생성된 탐지 패턴과 동일한지 여부를 검사하는 것이다. 이러한 적합성 검사는 이미 가지고 있는 블랙 리스트 및/또는 화이트 리스트와 생성한 탐지 패턴을 비교함으로써 이루어진다. 이미 블랙 리스트 및/또는 화이트 리스트에 존재하는 탐지 패턴이라면 굳이 새로 추가할 필요 없이 생성한 탐지 패턴을 폐기하고 기존의 블랙 리스트 및/또는 화이트 리스트를 이용할 수 있다. 안정성 검사는 생성한 악성 코드 탐지 패턴으로 실제 해당 악성 코드가 차단되는지 여부를 검사하는 것이다. 이러한 안정성 검사는 적합성 및 안정성 검사부(450)에서 수행하는 것도 가능하고 별도의 테스트 장비에서 테스트 하여 결과만 가져오는 것도 가능하다.
저장부(460)는 악성 코드 탐지 장치(400)의 동작에 필요한 프로그램 및 데이터를 저장하는 역할을 수행한다. 저장부(460)는 휘발성(volatile) 저장 매체 또는 비휘발성(nonvolatile) 저장 매체로 구성될 수 있으며, 양 저장 매체의 조합(combination)으로 구성될 수도 있다. 휘발성 저장 매체로는 RAM, DRAM, SRAM과 같은 반도체 메모리(semiconductor memory)가 포함될 수 있으며, 비휘발성 저장 매체로는 하드 디스크(hard disk), 플래시 낸드 메모리(Flash NAND Memory)가 포함될 수 있다. 본 발명의 일 실시예에 따르면, 저장부(460)는 블랙 리스트(462) 및 화이트 리스트(461) 중 적어도 하나 이상을 저장한다.
제어부(470)는 악성 코드 탐지 장치(400)의 전반적인 동작을 제어하는 구성요소이다. 본 발명에서 제어부(470는 악성 코드 탐지 장치(400)가 악성 코드에서 발생하는 트래픽 분석을 통해 악성 코드 탐지 패턴을 빠르게 생성, 검증, 적용하는 과정의 전반적인 동작을 제어하는 역할을 수행한다. 본 발명의 일 실시예에 따르면, 제어부(470)는 악성 코드 탐지 패턴을 적용하여 악성 코드를 탐지하도록 제어할 수 있다.
위 설명에서는 악성 코드 수집부(420), 악성 코드 분석부(430), 탐지 패턴 생성부(440), 적합성 및 안정성 검사부(450) 및 제어부(470)가 별도의 블록으로 구성되고, 각 블록이 상이한 기능을 수행하는 것으로 기술하였지만 이는 기술상의 편의를 위한 것일 뿐, 반드시 이와 같이 각 기능이 구분되는 것은 아니다. 예를 들어, 악성 코드 수집부(420), 악성 코드 분석부(430), 탐지 패턴 생성부(440) 및 적합성 및 안정성 검사부(450)가 수행하는 기능을 제어부(470) 자체가 수행할 수도 있다.
본 명세서와 도면에 개시된 본 발명의 실시예들은 본 발명의 기술 내용을 쉽게 설명하고 본 발명의 이해를 돕기 위해 특정 예를 제시한 것일 뿐이며, 본 발명의 범위를 한정하고자 하는 것은 아니다. 여기에 개시된 실시예들 이외에도 본 발명의 기술적 사상에 바탕을 둔 다른 변형 예들이 실시 가능하다는 것은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에게 자명한 것이다.
111,112,…,11k: 복수의 단말 장치
120: 악성 코드 탐지 장치
130: 네트워크

Claims (13)

  1. 악성 코드를 수집하는 단계;
    상기 수집한 악성 코드의 행위를 분석하는 단계;
    상기 분석한 행위를 바탕으로 악성 코드 탐지 패턴을 생성하는 단계;
    상기 악성 코드 탐지 패턴의 적합성 및 안정성을 검사하는 단계; 및
    상기 악성 코드 탐지 패턴을 적용하는 단계를 포함하되,
    상기 수집한 악성 코드의 행위를 분석하는 단계는,
    가상 환경에서 상기 악성 코드를 실행하는 단계;
    상기 악성 코드의 실행에 의해 발생하는 트래픽을 수집하는 단계; 및
    상기 트래픽으로부터 네트워크 행위 정보를 추출하는 단계를 포함하는 것을 특징으로 하는 악성 코드 탐지 방법.
  2. 삭제
  3. 제1항에 있어서,
    상기 분석한 행위를 바탕으로 악성 코드 탐지 패턴을 생성하는 단계는,
    상기 네트워크 행위 정보를 바탕으로 상기 악성 코드 탐지 패턴을 생성하는 것을 특징을 하는 악성 코드 탐지 방법.
  4. 제1항에 있어서,
    상기 네트워크 행위 정보는,
    IP 주소, 포트 넘버 및 HTTP 프로토콜 정보 중 적어도 하나 이상을 포함하는 것을 특징으로 하는 악성 코드 탐지 방법.
  5. 제4항에 있어서,
    상기 HTTP 프로토콜 정보는,
    User-Agent 정보인 것을 특징으로 하는 악성 코드 탐지 방법.
  6. 제1항에 있어서,
    상기 악성 코드 탐지 패턴의 적합성 및 안정성을 검사하는 단계는,
    상기 악성 코드 탐지 패턴을 저장된 블랙 리스트 및 화이트 리스트 중 적어도 하나 이상과 비교하는 단계를 포함하는 것을 특징으로 하는 악성 코드 탐지 방법.
  7. 데이터를 송수신하는 통신부;
    악성 코드를 수집하는 악성 코드 수집부;
    상기 수집한 악성 코드의 행위를 분석하는 악성 코드 분석부;
    상기 분석한 행위를 바탕으로 악성 코드 탐지 패턴을 생성하는 악성 코드 탐지 패턴 생성부;
    상기 악성 코드 탐지 패턴의 적합성 및 안정성을 검사하는 적합성 및 안정성 검사부; 및
    상기 악성 코드 탐지 패턴을 적용하도록 제어하는 제어부를 포함하되,
    상기 악성 코드 분석부는,
    가상 환경에서 상기 악성 코드를 미리 실행하고, 상기 악성 코드의 실행에 의해 발생하는 트래픽을 수집하며, 상기 트래픽으로부터 네트워크 행위 정보를 추출하는 것을 특징으로 하는 악성 코드 탐지 장치.
  8. 삭제
  9. 제7항에 있어서,
    상기 악성 코드 탐지 패턴 생성부는,
    상기 네트워크 행위 정보를 바탕으로 상기 악성 코드 탐지 패턴을 생성하는 것을 특징을 하는 악성 코드 탐지 장치.
  10. 제7항에 있어서,
    상기 네트워크 행위 정보는,
    IP 주소, 포트 넘버 및 HTTP 프로토콜 정보 중 적어도 하나 이상을 포함하는 것을 특징으로 하는 악성 코드 탐지 장치.
  11. 제10항에 있어서,
    상기 HTTP 프로토콜 정보는,
    User-Agent 정보인 것을 특징으로 하는 악성 코드 탐지 장치.
  12. 제7항에 있어서,
    블랙 리스트 및 화이트 리스트 중 적어도 하나 이상을 저장하는 저장부를 더 포함하고,
    상기 적합성 및 안정성 검사부는,
    상기 악성 코드 탐지 패턴을 상기 저장부에 저장된 블랙 리스트 및 화이트 리스트 중 적어도 하나 이상과 비교하는 것을 특징으로 하는 악성 코드 탐지 장치.
  13. 악성 코드 탐지를 위해 프로세서에 의해 수행되는 명령들이 저장되는 컴퓨터에 의해 판독 가능한 저장 매체에서,
    상기 악성 코드 탐지를 위해 프로세서에 의해 수행되는 명령은,
    악성 코드를 수집하는 단계;
    상기 수집한 악성 코드의 행위를 분석하는 단계;
    상기 분석한 행위를 바탕으로 악성 코드 탐지 패턴을 생성하는 단계;
    상기 악성 코드 탐지 패턴의 적합성 및 안정성을 검사하는 단계; 및
    상기 악성 코드 탐지 패턴을 적용하는 단계를 수행하되,
    상기 수집한 악성 코드의 행위를 분석하는 단계는,
    가상 환경에서 상기 악성 코드를 실행하는 단계;
    상기 악성 코드의 실행에 의해 발생하는 트래픽을 수집하는 단계; 및
    상기 트래픽으로부터 네트워크 행위 정보를 추출하는 단계를 포함하는 것을 특징으로 하는 컴퓨터에 의해 판독 가능한 저장 매체.
KR1020140191967A 2014-12-29 2014-12-29 악성 코드 탐지 방법 및 장치 KR101606088B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020140191967A KR101606088B1 (ko) 2014-12-29 2014-12-29 악성 코드 탐지 방법 및 장치

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020140191967A KR101606088B1 (ko) 2014-12-29 2014-12-29 악성 코드 탐지 방법 및 장치

Publications (1)

Publication Number Publication Date
KR101606088B1 true KR101606088B1 (ko) 2016-04-04

Family

ID=55799836

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020140191967A KR101606088B1 (ko) 2014-12-29 2014-12-29 악성 코드 탐지 방법 및 장치

Country Status (1)

Country Link
KR (1) KR101606088B1 (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20210073391A (ko) * 2019-12-10 2021-06-18 국방과학연구소 머신러닝을 이용한 악성 트래픽 탐지 방법, 장치, 이를 위한 컴퓨터 프로그램 및 컴퓨터 판독가능한 기록매체
KR20210132494A (ko) * 2020-04-27 2021-11-04 주식회사 웰컨 매크로 이상 접속 탐지 장치 및 방법

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004312083A (ja) * 2003-04-02 2004-11-04 Kddi Corp 学習データ作成装置、侵入検知システムおよびプログラム

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004312083A (ja) * 2003-04-02 2004-11-04 Kddi Corp 学習データ作成装置、侵入検知システムおよびプログラム

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20210073391A (ko) * 2019-12-10 2021-06-18 국방과학연구소 머신러닝을 이용한 악성 트래픽 탐지 방법, 장치, 이를 위한 컴퓨터 프로그램 및 컴퓨터 판독가능한 기록매체
KR102304324B1 (ko) * 2019-12-10 2021-09-24 국방과학연구소 머신러닝을 이용한 악성 트래픽 탐지 방법, 장치, 이를 위한 컴퓨터 프로그램 및 컴퓨터 판독가능한 기록매체
KR20210132494A (ko) * 2020-04-27 2021-11-04 주식회사 웰컨 매크로 이상 접속 탐지 장치 및 방법
KR102351122B1 (ko) * 2020-04-27 2022-01-13 주식회사 웰컨 매크로 이상 접속 탐지 장치 및 방법

Similar Documents

Publication Publication Date Title
US10873594B2 (en) Test system and method for identifying security vulnerabilities of a device under test
CN107251513B (zh) 用于恶意代码检测的准确保证的系统及方法
US8997231B2 (en) Preventive intrusion device and method for mobile devices
EP2843904A2 (en) Identifying malicious devices within a computer network
US20140096246A1 (en) Protecting users from undesirable content
CN105450442A (zh) 一种网络拓扑排查方法及其系统
WO2014209459A1 (en) Interception and policy application for malicious communications
CN111800412A (zh) 高级可持续威胁溯源方法、系统、计算机设备及存储介质
Zitta et al. Penetration testing of intrusion detection and prevention system in low-performance embedded IoT device
EP3433749A1 (en) Identifying and trapping wireless based attacks on networks using deceptive network emulation
KR101487476B1 (ko) 악성도메인을 검출하기 위한 방법 및 장치
CN112398829A (zh) 一种电力系统的网络攻击模拟方法及系统
Kumar et al. Integrating intrusion detection system with network monitoring
CN110753014B (zh) 基于流量转发的威胁感知方法、设备、装置及存储介质
KR101606088B1 (ko) 악성 코드 탐지 방법 및 장치
KR101598187B1 (ko) DDoS 공격 차단 방법 및 장치
JP6592196B2 (ja) 悪性イベント検出装置、悪性イベント検出方法および悪性イベント検出プログラム
CN112422486B (zh) 一种基于sdk的安全防护方法及设备
JP2015127843A (ja) 通信制御装置、通信制御方法、および通信制御プログラム
US20190297107A1 (en) Method and apparatus for generating attack string
CN109255243B (zh) 一种终端内潜在威胁的修复方法、系统、装置及存储介质
CN104753955A (zh) 基于反弹端口木马的互联审计方法
Toor et al. Deployment of Low Interaction Honeypot in a Private Network
Pütz et al. Unleashing iot security: Assessing the effectiveness of best practices in protecting against threats
Prajapati et al. Host-based forensic artefacts of botnet infection

Legal Events

Date Code Title Description
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20200303

Year of fee payment: 5