KR101624326B1 - 악성 파일 진단 시스템 및 악성 파일 진단 방법 - Google Patents

악성 파일 진단 시스템 및 악성 파일 진단 방법 Download PDF

Info

Publication number
KR101624326B1
KR101624326B1 KR1020140077579A KR20140077579A KR101624326B1 KR 101624326 B1 KR101624326 B1 KR 101624326B1 KR 1020140077579 A KR1020140077579 A KR 1020140077579A KR 20140077579 A KR20140077579 A KR 20140077579A KR 101624326 B1 KR101624326 B1 KR 101624326B1
Authority
KR
South Korea
Prior art keywords
file
malicious
client terminal
cache
diagnostic
Prior art date
Application number
KR1020140077579A
Other languages
English (en)
Other versions
KR20160000337A (ko
Inventor
심선영
양하영
Original Assignee
주식회사 안랩
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 안랩 filed Critical 주식회사 안랩
Priority to KR1020140077579A priority Critical patent/KR101624326B1/ko
Publication of KR20160000337A publication Critical patent/KR20160000337A/ko
Application granted granted Critical
Publication of KR101624326B1 publication Critical patent/KR101624326B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/565Static detection by checking file integrity
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/568Computer malware detection or handling, e.g. anti-virus arrangements eliminating virus, restoring damaged files

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Virology (AREA)
  • General Health & Medical Sciences (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

본 발명의 실시예들은 클라이언트단말에서 악성파일을 진단하기 위한 기술 분야에 관한 것으로, 보다 구체적으로는 자바 취약점 파일을 통한 악성코드의 감염 여부를 별도의 시그니처 또는 진단코드 없이도 조기에 진단할 수 있고, 그 진단 결과를 이용하여 이후에 발생할 수 있는 클라이언트단말의 악성코드 감염을 사전에 차단할 수 있는 기술에 대한 것이다.

Description

악성 파일 진단 시스템 및 악성 파일 진단 방법{MALICIOUS FILE DIAGNOSIS SYSTEM AND METHOD}
본 발명의 실시예들은 클라이언트단말에서 악성파일을 진단하기 위한 기술 분야에 관한 것으로, 보다 구체적으로는 자바 취약점 파일을 통한 악성코드의 감염 여부를 별도의 시그니처 또는 진단코드 없이도 조기에 진단할 수 있고, 그 진단 결과를 이용하여 이후에 발생할 수 있는 클라이언트단말의 악성코드 감염을 사전에 차단할 수 있는 기술들과 관련된다.
현재는 다양한 형태의 악성코드가 파일의 취약점 특히 자바(JAVA 또는 JAVA ARchive) 파일의 취약점을 이용하여 클라이언트단말에 배포되고 있다. 이때, 자바 파일의 취약점이란, 자바 엔진이 자바 파일을 처리하는 과정에서 발생하게 되는 취약점을 의미한다.
이에, 클라이언트단말에서는, 악성코드를 비롯하여 파일의 악성 여부를 진단하여 치료하게 되는데, 클라이언트단말에서 파일의 악성 여부를 진단하는 가장 일반적인 방식은 진단을 위한 시그니처(Signature) 또는 진단코드를 이용하는 방식이다.
이러한 기존의 시그니처 또는 진단코드 기반의 진단 방식은, 시그니처 또는 진단코드를 반드시 필요로 하며 시그니처 또는 진단코드에 의존하는 방식이다.
또한, 기존의 시그니처 또는 진단코드 기반의 진단 방식은, 신규 악성코드가 새롭게 등장하고 있다는 점을 감안하여, 주기적으로 시그니처 및 진단코드를 최신으로 업데이트해야만 한다.
따라서, 전술의 기존 진단 방식은, 별도의 시그니처 또는 진단코드를 업데이트하는 등 지속적인 관리가 필요하기 때문에, 이를 위한 부수적인 프로세스 및 리소스가 소비되고 있다.
한편, 현재 수많은 신규 악성코드가 급속도로 등장하고 있다. 이처럼 수많은 신규 악성코드가 급속도로 등장하는 현 상황에서는, 기존의 시그니처 또는 진단코드 기반의 진단 방식이 아무리 최신의 시그니처 및 진단코드를 이용하여 진단한다 하더라도, 이전 업데이트 및 다음 업데이트 사이에 등장하는 신규 악성코드에 대해서는 진단할 수 없는 한계가 있다.
이에, 본 발명에서는, 자바 취약점 파일을 통한 악성코드의 감염 여부를 별도의 시그니처 또는 진단코드 없이도 조기에 진단할 수 있고, 그 진단 결과를 이용하여 이후에 발생할 수 있는 클라이언트단말의 악성코드 감염을 사전에 차단할 수 있는 방안을 제안하고자 한다.
본 발명의 실시예들은, 악성코드 배포에 주로 이용되고 있는 자바(JAVA 또는 JAVA ARchive)파일의 동작 원리에 기인하여, 자바 취약점 파일을 통한 악성코드의 감염 여부를 별도의 시그니처 또는 진단코드 없이도 조기에 진단할 수 있고, 그 진단 결과를 이용하여 이후에 발생할 수 있는 클라이언트단말의 악성코드 감염을 사전에 차단할 수 있는 기술 방안을 제안할 수 있다.
상기 목적을 달성하기 위한 본 발명의 제 1 관점에 따른 악성 파일 진단 방법은, 클라이언트단말에서 진단대상 파일과 관련된 캐쉬파일을 확인하는 파일확인단계; 상기 캐쉬파일 내 포함된 정보에 기초하여, 상기 캐쉬파일과 관련된 상기 진단대상 파일의 비정상 여부를 판단하는 비정상판단단계; 및 상기 진단대상 파일이 비정상으로 판단되면, 상기 진단대상 파일을 악성파일로 진단하는 악성진단단계를 포함한다.
상기 목적을 달성하기 위한 본 발명의 제 2 관점에 악성 파일 진단 시스템은, 클라이언트단말에서 진단대상 파일과 관련된 캐쉬파일을 확인하는 파일확인부; 상기 캐쉬파일 내 포함된 정보에 기초하여, 상기 캐쉬파일과 관련된 상기 진단대상 파일의 비정상 여부를 판단하는 비정상판단부; 및 상기 진단대상 파일이 비정상으로 판단되면, 상기 진단대상 파일을 악성파일로 진단하는 악성진단부를 포함한다.
본 발명의 실시예들은, 자바 취약점 파일을 통한 악성코드의 감염 여부를 별도의 시그니처 또는 진단코드 없이도 조기에 진단할 수 있고, 그 진단 결과를 이용하여 이후에 발생할 수 있는 클라이언트단말의 악성코드 감염을 사전에 차단할 수 있는 효과를 갖는다.
도 1은 본 발명의 바람직한 실시예에 따른 악성 파일 진단 시스템의 구성을 보여주는 예시도이다.
도 2는 본 발명의 바람직한 실시예에 따른 악성 파일 진단 방법의 동작 흐름을 보여주는 동작 흐름도이다.
본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 상세하게 설명하고자 한다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다. 각 도면을 설명하면서 유사한 참조부호를 유사한 구성요소에 대해 사용하였다.
어떤 구성요소가 다른 구성요소에 "연결되어" 있다거나 "접속되어" 있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어" 있다거나 "직접 접속되어" 있다고 언급된 때에는, 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다.
본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥 상 가지는 의미와 일치하는 의미를 가지는 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.
이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시예에 대하여 설명한다.
먼저, 도 1을 참조하여 본 발명을 설명하면 다음과 같다.
여기서, 도 1은 본 발명의 바람직한 실시예에 따른 악성 파일 진단 시스템(200)이 클라이언트단말(100) 내에 포함되는 구성을 예로서 보여주고 있다.
즉, 예를 들면, 악성 파일 진단 시스템(200)는, 악성 진단을 위한 엔진 형태 또는 어플리케이션 형태로 클라이언트단말(100)에 설치됨으로써, 클라이언트단말(100) 내에 포함될 수 있다.
물론, 이외에도 본 발명의 바람직한 실시예에 따른 악성 파일 진단 시스템(200)은, 클라이언트단말 외부의 서버(미도시) 내에 포함되는 구성일 수도 있다.
이 경우, 예를 들면, 악성 파일 진단 시스템(200)는, 다수의 클라이언트단말 각각에 대해 클라우드 기반으로 후술할 악성 진단 과정을 수행할 수 있다.
이하에서는, 설명의 편의를 위해, 도 1과 같이 본 발명의 바람직한 실시예에 따른 악성 파일 진단 시스템(200)이 클라이언트단말(100) 내에 포함되는 구성으로 설명하도록 하겠다.
도 1에 도시된 바와 같이, 클라이언트단말(100)은, 다양한 형태의 파일이 저장 및 설치되는 파일시스템(10)을 포함하고 있다.
이러한 클라이언트단말(100)에서, 만약 취약점 파일을 다운로드하여 파일시스템 내에 저장 및 설치(실행)한다면, 클라이언트단말(100)은 파일을 통해 배포된 악성코드에 의한 감염을 피하기 어려울 것이다.
특히, 최근에는 다양한 형태의 악성코드가 파일의 취약점 특히 자바(JAVA 또는 JAVA ARchive) 파일의 취약점을 이용하여 클라이언트단말에 배포되고 있다. 이때, 자바 파일의 취약점이란, 자바 엔진(미도시)이 자바 파일을 처리하는 과정에서 발생하게 되는 취약점을 의미한다.
이에, 본 발명의 악성 파일 진단 시스템(200)은, 자바 취약점 파일을 통한 악성코드의 감염을 별도의 시그니처 또는 진단코드 없이도 조기에 진단하고자 한다.
이를 위한 본 발명의 악성 파일 진단 시스템(200)은, 클라이언트단말(100)에서 진단대상 파일과 관련된 캐쉬파일을 확인하는 파일확인부(210)와, 상기 캐쉬파일 내 포함된 정보에 기초하여 상기 캐쉬파일과 관련된 상기 진단대상 파일의 비정상 여부를 판단하는 비정상판단부(220)와, 상기 진단대상 파일이 비정상으로 판단되면, 상기 진단대상 파일을 악성파일로 진단하는 악성진단부(230)를 포함한다.
파일확인부(210)는, 클라이언트단말(100)에서 진단대상 파일과 관련된 캐쉬파일을 확인한다.
보다 구체적으로 설명하면, 파일확인부(210)는, 클라이언트단말(100)에서 악성파일인지 여부를 진단할 필요가 있는 파일 즉 진단대상 파일이 있으면, 진단대상 파일과 관련된 캐쉬파일을 확인한다.
여기서, 진단대상 파일은 자바((JAVA 또는 JAVA ARchive) 파일이며, 캐쉬파일은 진단대상 파일이 생성되는 과정에서 기록되는 정보들을 포함하는 인덱스(IDX)파일인 것이 바람직하다.
이에, 예를 들면, 파일확인부(210)는, 클라이언트단말(100)에 새로운 자바 파일이 생성되면, 새롭게 생성된 자바 파일을 진단대상 파일로 인지할 수 있다. 이때, 새로운 자바 파일이 생성되는 것은, 클라이언트단말(100)에 신규 자바 파일이 다운로드/저장되는 것, 또는 다운로드/저장된 신규 자바 파일이 설치되는 것 등을 의미할 수 있다.
다른 예를 들면, 파일확인부(210)는, 기 설정된 진단주기가 도래하거나 사용자에 의해 또는 원격의 제어에 의해 진단실행이 요청되면, 진단 요청되는 자바 파일 또는 파일시스템(10) 내 기 지정된 저장영역에 위치한 자바 파일을 진단대상 파일로 인지할 수 있다.
이하에서는 설명의 편의를 위해, 클라이언트단말(100)에 새로운 자바 파일이 생성되면, 새롭게 생성된 자바 파일을 진단대상 파일로 인지하는 예를 언급하여 설명하도록 하겠다.
이에, 도 1을 참조하여 예를 설명하면, 클라이언트단말(100)에서 자바 파일의 다운로드 형태인 JAR(JAVA ARchive) 파일을 언급하여 설명하도록 한다.
이 경우, 도 1에 도시된 바와 같이, 새로운 자바 파일 즉 JAR 파일(1)이 파일시스템(10) 내 임의의 위치 또는 지정된 위치에 저장(생성)될 것이다.
한편, JAR 파일의 동작 원리를 간단히 설명하면, 전술과 같이 파일시스템(10)에 JAR 파일(1)이 생성되면, 이후 JAR 파일(1)과 동일한 내용의 파일 즉 JAR 파일(2)이 파일시스템(10) 내 다른 경로에 임의의 파일명 또는 지정된 파일명을 갖고 생성되며, 아울러 JAR 파일(2)과 관련된 IDX 파일(3)이 JAR 파일(2)과 동일한 파일명으로 생성된다.
결과적으로는, JAR 파일(1) 및 JAR 파일(2)은 서로 동일한 파일이지만 저장 경로 및 파일명이 다르며, JAR 파일(2) 및 IDX 파일(3)은 서로 저장 경로 및 파일명이 동일하게 된다.
파일확인부(210)는, 클라이언트단말(100)에 전술과 같이 새로운 JAR 파일(2)이 생성되면 JAR 파일(2)을 진단대상 파일로 인지하고, JAR 파일(2)과 관련된 캐쉬파일 즉 IDX 파일(3)을 확인한다.
여기서, IDX 파일(3)은, 클라이언트단말(100)에서 JAR 파일(2)이 생성되는 과정에서 기록되는 정보들을 포함하는 포함하는 파일이다.
이하에서는, 설명의 편의를 위해, JAR 파일(2)이 진단대상 파일(2)인 것으로 언급하고, IDX 파일(3)이 캐쉬파일(3)인 것으로 언급하여 설명하도록 하겠다.
비정상판단부(220)는, 파일확인부(210)에서 진단대상 파일(2)과 관련된 캐쉬파일(3)이 확인되면, 캐쉬파일(3) 내 포함된 정보에 기초하여 캐쉬파일(3)과 관련된 진단대상 파일(2)의 비정상 여부를 판단한다.
캐쉬파일(3) 즉 IDX 파일(3)에는, 진단대상 파일(2) 즉 JAR 파일(2)이 생성되는 과정에서 다운로드를 시도하는 유알엘(URL)정보, 및 상기 다운로드 시도와 관련된 헤더(Header)정보가 포함된다.
보다 구체적으로 설명하면, IDX 파일(3)에는, JAR 파일(2)이 생성되는 과정에서 기록되는 정보들이 스트링정보로서 포함(기록)되어 있다.
이러한 스트링정보에는, 다양한 정보들이 포함되어 있으며, 이 중에는 JAR 파일(2)이 생성되는 과정에서 다운로드를 시도하는 URL 정보와, 상기 다운로드 시도와 관련된 Header 정보가 포함되어 있다.
이에, 비정상판단부(220)는, JAR 파일(2) 즉 진단대상 파일(2)과 관련된 IDX 파일(3) 즉 캐쉬파일(3)이 확인되면, 캐쉬파일(3) 내 포함된 URL 정보에서 확인되는 확장자 및 Header 정보에서 확인되는 파일포맷이 서로 일치되지 않는 경우, 캐쉬파일(3)과 관련된 진단대상 파일(2)을 비정상으로 판단한다.
진단대상 파일(2)를 이용하여 악성코드를 배포하는 악성코드 배포자는, 진단대상 파일(2) 자체 및 이를 통해 배포되는 악성코드 파일이 클라이언트 단말(100)의 사용자 또는 클라이언트단말(100) 내 필터링 기능에 의해서 의심받지 않도록, 다운로드되는 URL에 파일 포맷과 일치하는 본래의 확장자(.jar)가 아닌 .jpg, .bmp 등과 같이 일반적인 다른 확장자를 사용하고 있다.
따라서, 이 경우 진단대상 파일(2)과 관련된 캐쉬파일(3) 내 포함된 URL 정보에서 확인되는 확장자는, ".jpg", ".bmp"등과 같이 확장자일 것이다.
하지만, 이 경우에도, 진단대상 파일(2)과 관련된 캐쉬파일(3) 내 포함된 Header 정보에서 확인되는 파일포맷은, "...java-archive"일 것이다.
결국, 캐쉬파일(3) 내 포함된 URL 정보에서 확인되는 확장자와 Header 정보에서 확인되는 파일포맷이 서로 일치되지 않는다는 것은, URL 정보에서 확인되는 확장자가 의심을 피하기 위해 변형된 확장자일 가능성이 높고, 이는 결국 캐쉬파일(3)과 관련된 진단대상 파일(2)이 악성코드 배포에 이용된 파일일 가능성이 높다는 것을 의미한다.
이러한 관점에서, 비정상판단부(220)는, 캐쉬파일(3) 내 포함된 URL 정보에서 확인되는 확장자 및 Header 정보에서 확인되는 파일포맷이 서로 일치되지 않는 경우, 진단대상 파일(2)을 비정상으로 판단한다.
그리고, 악성진단부(230)는, 비정상판단부(220)에서 진단대상 파일(2)이 비정상으로 판단되면, 진단대상 파일(2)을 악성파일로 진단한다. 여기서, 악성파일이란, 악성코드 배포에 이용된 파일 다시 말해 자바 취약점 파일을 의미한다.
즉, 악성진단부(230)는, 진단대상 파일(2)이 비정상으로 판단되면, 진단대상 파일(2)을 악성파일 즉 악성코드 배포에 이용된 자바 취약점 파일로 진단하는 것이다.
물론, 이외의 다른 실시예에 따르면, 악성진단부(230)는, 진단대상 파일(2)이 비정상으로 판단되면, 우선 진단대상 파일(2)을 악성파일 즉 자바 취약점 파일로 의심하고, 캐쉬파일(3) 내 포함된 URL 정보에서 확인되는 확장자가 악용되는 기 알려진 확장자인 경우라면 비로소 악성파일 즉 자바 취약점 파일로 진단할 수도 있다.
이처럼, 본 발명의 악성 파일 진단 시스템(200)은, 악성코드 배포에 주로 이용되고 있는 자바(JAVA 또는 JAVA ARchive) 파일의 동작 원리에 기인하여, 자바 파일과 관련된 인덱스파일의 비정상 여부 판단 결과에 따라서 자바 파일의 악성파일(자바 취약점 파일) 여부를 진단하는 악성 진단 과정을 수행함으로써, 자바 취약점 파일을 통한 악성코드의 감염 여부를 별도의 시그니처 또는 진단코드 없이도 조기에 진단할 수 있다.
이처럼, 자바 취약점 파일을 통한 악성코드의 감염 여부를 별도의 시그니처 또는 진단코드 없이도 조기 진단할 수 있는 본 발명의 악성 파일 진단 시스템(200)에 따른 효과는, 현재 수많은 신규 악성코드가 급속도로 등장하고 있는 상황을 고려한다면, 진단 성능 개선에 큰 영향을 미치는 현저한 효과일 것이다.
더 나아가, 본 발명의 악성 파일 진단 시스템(200)은, 악성치료부(240)를 더 포함할 수 있다.
악성치료부(240)는, 진단대상 파일이 악성파일로 진단되면, 상기 진단대상 파일을 식별하기 위한 고유정보를 생성한 후 클라이언트단말(100)에서 상기 진단대상 파일 및 상기 캐쉬파일을 삭제한다.
이하에서는, 설명의 편의를 위해, 전술과 동일하게 JAR 파일(2)이 진단대상 파일(2)인 것으로 언급하고, IDX 파일(3)이 캐쉬파일(3)인 것으로 언급하여 설명하도록 하겠다.
즉, 악성치료부(240)는, 악성진단부(230)에서 진단대상 파일(2)이 악성파일로 진단되면, 진단대상 파일(2)을 식별하기 위한 고유정보를 생성한 후 클라이언트단말(100)에서 진단대상 파일(2) 및 캐쉬파일(3)을 삭제한다.
이때, 진단대상 파일(2)을 식별하기 위한 고유정보란, 진단대상 파일(2) 즉 JAR 파일(2)의 내용을 기반으로 생성되는 해쉬값을 포함할 수 있다.
이에, 악성치료부(240)는, 악성진단부(230)에서 악성파일로 진단된 진단대상 파일(2) 즉 JAR 파일(2)을 식별하기 위한 고유정보 예컨대 해쉬값을 생성한 후, 클라이언트단말(100) 내 파일시스템(10)에서 악성 진단된 JAR 파일(2) 및 JAR 파일(2)과 동일한 파일명의 캐쉬파일(3) 즉 IDX 파일(3)을 삭제한다.
따라서, 악성치료부(240)는, 악성 진단됨에 따라 삭제하는 각 파일들에 대하여 각각 생성한 고유정보들 즉 해쉬값들을 보유할 수 있게 된다.
한편, 진단대상 파일(2) 즉 JAR 파일(2)과 동일한 내용의 JAR 파일(1)은, 파일명이 다르기 때문에 미리 삭제하는 것이 어려워, 여전히 클라이언트단말(100) 내 파일시스템(10)에 저장되어 있을 것이다.
이에, 악성치료부(240)는, 클라이언트단말(100)에서 실행 시도되는 특정 파일이 있다면, 이 특정 파일에 대하여 전술의 고유정보를 기초로 악성파일 여부를 판단하고, 상기 특정 파일이 악성파일로 판단되면 상기 특정 파일이 실행되는 것을 차단하고 상기 클라이언트단말에서 상기 특정 파일을 삭제한다.
결국, 본 발명에서는, 전술과 같이 악성 진단됨에 따라 삭제하는 각 파일들에 대하여 생성한 고유정보들이, 악성 진단을 위한 최신이자 최적의 시그니처(또는 진단코드)와 같은 역할을 하는 것이다.
보다 구체적으로 설명하면, 악성치료부(240)는, 클라이언트단말(100)에서 실행 시도되는 특정 파일이 있다면, 이 특정 파일에 대한 악성파일 여부를 기 보유하고 있는 전술의 고유정보를 기초로 판단한다.
만약, 클라이언트단말(100)에서 실행 시도되는 특정 파일이 전술의 악성 진단됨에 따라 삭제한 JAR 파일(2)와 동일한 내용의 JAR 파일(1)이라면, 악성치료부(240)는, 기 보유하고 있는 전술의 고유정보를 기초로 판단한 결과, 실행 시도되는 특정 파일 즉 JAR 파일(1)을 악성파일로 판단할 것이다.
이처럼, 악성치료부(240)는, 특정 파일 예컨대 JAR 파일(1)이 악성파일로 판단되면, JAR 파일(1)이 실행되는 것을 차단하고 클라이언트단말(100) 내 파일시스템(10)에서 JAR 파일(1)을 삭제한다.
더 나아가, 악성치료부(240)는, 클라이언트단말(100)에 새로운 파일이 생성되는 경우, 새로운 파일에 대하여 전술의 고유정보를 기초로 악성파일 여부를 판단하고, 새로운 파일이 악성파일로 판단되면 클라이언트단말(100)에 생성된 새로운 파일을 삭제한다.
보다 구체적으로 설명하면, 악성치료부(240)는, 클라이언트단말(100)에 새로운 파일이 생성되는 경우, 새로운 파일에 대한 악성파일 여부를 기 보유하고 있는 전술의 고유정보를 기초로 판단한다.
예를 들면, 전술과 같이 클라이언트단말(100)에서 JAR 파일(1)이 삭제된 후, 다시 JAR 파일(1)이 다운로드될 수도 있다. 이 경우, 클라이언트단말(100)에 생성되는 새로운 파일은 JAR 파일(1)일 것이다.
이 경우라면, 악성치료부(240)는, 기 보유하고 있는 전술의 고유정보를 기초로 판단한 결과, 새로운 파일 즉 금번 다운로드된 JAR 파일(1)을 악성파일로 즉시 판단할 것이다.
이처럼, 악성치료부(240)는, 생성되는 새로운 파일 예컨대 JAR 파일(1)이 악성파일로 판단되면, 생성된 JAR 파일(1)을 클라이언트단말(100) 내 파일시스템(10)에서 즉시 삭제한다.
이때, 악성치료부(240)는, 새롭게 생성된 JAR 파일(1)과 동일한 내용의 파일 즉 JAR 파일(2)이 파일시스템(10) 내 생성되기 이전에, 악성파일로 판단된 JAR 파일(1)을 삭제하는 것이 바람직하다.
또한, 예를 들면, 전술과 같이 악성 진단된 JAR 파일(2)은 삭제되었지만 동일한 내용의 JAR 파일(1)은 여전히 파일시스템(10)에 저장되어 있는 상황에서, 다시 JAR 파일(1)과 동일한 내용의 파일 즉 JAR 파일(2)이 파일시스템(10) 내 설치될 수도 있다. 이 경우, 클라이언트단말(100)에 생성되는 새로운 파일은 JAR 파일(2)일 것이다.
이 경우라면, 악성치료부(240)는, 기 보유하고 있는 전술의 고유정보를 기초로 판단한 결과, 새로운 파일 즉 금번 설치되는 JAR 파일(2)을 악성파일로 즉시 판단할 것이다.
이처럼, 악성치료부(240)는, 생성되는 새로운 파일 예컨대 JAR 파일(2)이 악성파일로 판단되면, 생성된 JAR 파일(2)을 클라이언트단말(100) 내 파일시스템(10)에서 즉시 삭제한다.
물론, 악성치료부(240)는, 새롭게 생성된 JAR 파일(2)과 동일한 파일명의인덱스파일(3) 역시 삭제하는 것이 바람직하다.
이처럼, 본 발명의 악성 파일 진단 시스템(200)은, 전술과 같이 악성코드 배포에 주로 이용되고 있는 JAR 파일의 동작 원리에 기인하여 악성 진단 과정을 수행함에 따른 결과물, 즉 악성 진단됨에 따라 삭제하는 각 파일들에 대하여 생성한 고유정보들을, 악성 진단을 위한 최신이자 최적의 시그니처(또는 진단코드)와 같은 역할로 활용함으로써, 이후에 발생할 수 있는 클라이언트단말의 악성코드 감염을 사전에 차단할 수 있는 효과를 도출한다.
이하에서는, 도 2를 참조하여 본 발명의 바람직한 실시예에 따른 악성 파일 진단 방법을 보다 구체적으로 설명하도록 한다. 여기서, 설명의 편의를 위해 전술한 도 1에 도시된 구성은 해당 참조번호를 언급하여 설명하겠다.
본 발명에 따른 악성 파일 진단 방법은, 진단대상 파일이 있는지 인지한다(S100).
예를 들면, 본 발명에 따른 악성 파일 진단 방법은, 클라이언트단말(100)에 새로운 자바(JAVA 또는 JAVA ARchive) 파일이 생성되면, 생성된 새로운 자바 파일을 진단대상 파일로 인지할 수 있다.
다른 예를 들면, 본 발명에 따른 악성 파일 진단 방법은, 기 설정된 진단주기가 도래하거나 사용자에 의해 또는 원격의 제어에 의해 진단실행이 요청되면, 진단 요청되는 자바 파일 또는 파일시스템(10) 내 기 지정된 저장영역에 위치한 자바 파일을 진단대상 파일로 인지할 수 있다.
이하에서는 설명의 편의를 위해, 클라이언트단말(100)에 새로운 자바 파일이 생성되면, 새롭게 생성된 자바 파일을 진단대상 파일로 인지하는 예를 언급하여 설명하도록 하겠다.
이에, 도 1을 참조하여 예를 설명하면, 클라이언트단말(100)에서 자바 파일의 다운로드 형태인 JAR(JAVA ARchive) 파일을 언급하여 설명하도록 한다.
이 경우, 도 1에 도시된 바와 같이, 새로운 자바 파일 즉 JAR 파일(1)이 파일시스템(10) 내 임의의 위치 또는 지정된 위치에 저장(생성)될 것이다.
전술과 같이 파일시스템(10)에 JAR 파일(1)이 생성되면, 이후 JAR 파일(1)과 동일한 내용의 파일 즉 JAR 파일(2)이 파일시스템(10) 내 다른 경로에 임의의 파일명 또는 지정된 파일명을 갖고 생성되며, 아울러 JAR 파일(2)과 관련된 IDX 파일(3)이 JAR 파일(2)과 동일한 파일명으로 생성된다.
이때, 본 발명에 따른 악성 파일 진단 방법은, 클라이언트단말(100)에 전술과 같이 새로운 JAR 파일(2)이 생성되면 JAR 파일(2)을 진단대상 파일로 인지하고(S100), 진단대상 파일 즉 JAR 파일(2)와 관련된 캐쉬파일 즉 IDX 파일(3)을 확인한다(S110).
여기서, IDX 파일(3)은, 클라이언트단말(100)에서 JAR 파일(2)이 생성되는 과정에서 기록되는 정보들을 포함하는 포함하는 파일이다.
이하에서는, 설명의 편의를 위해, JAR 파일(2)가 진단대상 파일(2)인 것으로 언급하고, IDX 파일(3)이 캐쉬파일(3)인 것으로 언급하여 설명하도록 하겠다.
본 발명에 따른 악성 파일 진단 방법은, S110단계에서 진단대상 파일(2)과 관련된 캐쉬파일(3)이 확인되면, 캐쉬파일(3) 내 포함된 정보에 기초하여 캐쉬파일(3)과 관련된 진단대상 파일(2)의 비정상 여부를 판단한다(S120).
보다 구체적으로 설명하면, 본 발명에 따른 악성 파일 진단 방법은, 캐쉬파일(3) 내 포함된 URL 정보에서 확인되는 확장자 및 Header 정보에서 확인되는 파일포맷이 서로 일치되는 경우, 진단대상 파일(2)을 정상으로 판단하고(S120 No), 따라서 진단대상 파일(2)을 정상파일로 진단할 수 있다(S125).
한편, 본 발명에 따른 악성 파일 진단 방법은, 캐쉬파일(3) 내 포함된 URL 정보에서 확인되는 확장자 및 Header 정보에서 확인되는 파일포맷이 서로 일치되지 않는 경우, 진단대상 파일(2)을 비정상으로 판단하고(S120 Yes), 따라서 비정상 판단된 진단대상 파일(2)을 악성파일 즉 악성코드 배포에 이용된 파일 다시 말해 자바 취약점 파일로 진단한다(S130).
본 발명에 따른 악성 파일 진단 방법은, 진단대상 파일(2)을 악성파일로 진단하면, 진단대상 파일(2) 즉 JAR 파일(2)을 식별하기 위한 고유정보 예컨대 해쉬값을 생성한 후, 클라이언트단말(100) 내 파일시스템(10)에서 악성 진단된 JAR 파일(2) 및 JAR 파일(2)과 동일한 파일명의 캐쉬파일(3) 즉 IDX 파일(3)을 삭제한다(S140).
따라서, 본 발명에 따른 악성 파일 진단 방법은, 악성 진단됨에 따라 삭제하는 각 파일들에 대하여 각각 생성한 고유정보들 즉 해쉬값들을 보유할 수 있게 된다.
본 발명에 따른 악성 파일 진단 방법은, 전술과 같이 악성 진단 과정을 수행하는 한편, 클라이언트단말(100)에서 실행 시도되는 특정 파일이 있는지 확인하고(S150), 특정 파일이 있다면 이 특정 파일에 대한 악성파일 여부를 기 보유하고 있는 전술의 고유정보를 기초로 판단한다(S155).
만약, 클라이언트단말(100)에서 실행 시도되는 특정 파일이 전술의 악성 진단됨에 따라 삭제한 JAR 파일(2)와 동일한 내용의 JAR 파일(1)이라면, 본 발명에 따른 악성 파일 진단 방법은, S155단계에서 기 보유하고 있는 전술의 고유정보를 기초로 판단한 결과, 실행 시도되는 특정 파일 즉 JAR 파일(1)을 악성파일로 판단할 것이다.
이처럼, 본 발명에 따른 악성 파일 진단 방법은, 특정 파일 예컨대 JAR 파일(1)이 악성파일로 판단되면, JAR 파일(1)이 실행되는 것을 차단하고 클라이언트단말(100) 내 파일시스템(10)에서 JAR 파일(1)을 삭제한다(S170).
더불어, 본 발명에 따른 악성 파일 진단 방법은, 클라이언트단말(100)에서 실행 시도되는 특정 파일이 있는지 확인하는 것과 별개로, 클라이언트단말(100)에 새로운 파일이 다운로드 또는 설치되는지 확인한다(S160).
이에, 본 발명에 따른 악성 파일 진단 방법은, 클라이언트단말(100)에 새로운 파일이 있으면(S160 Yes), 새로운 파일에 대한 악성파일 여부를 기 보유하고 있는 전술의 고유정보를 기초로 판단한다(S166).
예를 들면, 전술과 같이 클라이언트단말(100)에서 JAR 파일(1)이 삭제된 후, 다시 JAR 파일(1)이 다운로드될 수도 있다. 이 경우, 클라이언트단말(100)에 다운로드되는 새로운 파일은 JAR 파일(1)일 것이다.
이 경우라면, 본 발명에 따른 악성 파일 진단 방법은, 기 보유하고 있는 전술의 고유정보를 기초로 판단한 결과, 새로운 파일 즉 금번 다운로드된 JAR 파일(1)을 악성파일로 즉시 판단할 것이다.
이처럼, 본 발명에 따른 악성 파일 진단 방법은, 다운로드되는 새로운 파일 예컨대 JAR 파일(1)이 악성파일로 판단되면, 다운로드된 JAR 파일(1)을 클라이언트단말(100) 내 파일시스템(10)에서 즉시 삭제한다(S170).
이때, 본 발명에 따른 악성 파일 진단 방법은, 새롭게 다운로드된 JAR 파일(1)과 동일한 내용의 파일 즉 JAR 파일(2)이 파일시스템(10) 내 설치되기 이전에, 악성파일로 판단된 JAR 파일(1)을 삭제하는 것이 바람직하다.
또한, 예를 들면, 전술과 같이 악성 진단된 JAR 파일(2)은 삭제되었지만 동일한 내용의 JAR 파일(1)은 여전히 파일시스템(10)에 저장되어 있는 상황에서, 다시 JAR 파일(1)과 동일한 내용의 파일 즉 JAR 파일(2)이 파일시스템(10) 내 설치될 수도 있다. 이 경우, 클라이언트단말(100)에 설치되는 새로운 파일은 JAR 파일(2)일 것이다.
이 경우라면, 본 발명에 따른 악성 파일 진단 방법은, 기 보유하고 있는 전술의 고유정보를 기초로 판단한 결과, 새로운 파일 즉 금번 설치되는 JAR 파일(2)을 악성파일로 즉시 판단할 것이다.
이처럼, 본 발명에 따른 악성 파일 진단 방법은, 설치되는 새로운 파일 예컨대 JAR 파일(2)이 악성파일로 판단되면, 설치된 JAR 파일(2)을 클라이언트단말(100) 내 파일시스템(10)에서 즉시 삭제한다(S170).
물론, 본 발명에 따른 악성 파일 진단 방법은, JAR 파일(2)과 동일한 파일명의 인덱스파일(3) 역시 삭제하는 것이 바람직하다.
그리고, 본 발명에 따른 악성 파일 진단 방법은, 악성 파일 진단이 종료되기 이전까지는(S180 No), S100단계로 복귀하여 전술의 모든 단계들을 반복 수행하는 것이 바람직하다.
이상에서 설명한 바와 같이, 본 발명의 바람직한 실시예에 따른 악성 파일 진단 방법은, 자바 취약점 파일을 통한 악성코드의 감염 여부를 별도의 시그니처 또는 진단코드 없이도 조기에 진단할 수 있고, 그 진단 결과를 이용하여 이후에 발생할 수 있는 클라이언트단말의 악성코드 감염을 사전에 차단할 수 있는 효과를 도출한다.
본 발명의 일실시예에 따른 악성 파일 진단 방법은, 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 본 발명의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.
이상과 같이 본 발명에서는 구체적인 구성 요소 등과 같은 특정 사항들과 한정된 실시예 및 도면에 의해 설명되었으나 이는 본 발명의 보다 전반적인 이해를 돕기 위해서 제공된 것일 뿐, 본 발명은 상기의 실시예에 한정되는 것은 아니며, 본 발명이 속하는 분야에서 통상적인 지식을 가진 자라면 이러한 기재로부터 다양한 수정 및 변형이 가능하다.
따라서, 본 발명의 사상은 설명된 실시예에 국한되어 정해져서는 아니되며, 후술하는 특허청구범위뿐 아니라 이 특허청구범위와 균등하거나 등가적 변형이 있는 모든 것들은 본 발명 사상의 범주에 속한다고 할 것이다.
100 : 클라이언트단말
200 : 악성 파일 진단 시스템
210 : 파일확인부 220 : 비정상판단부
230 : 악성진단부 240 : 악성치료부

Claims (12)

  1. 클라이언트단말에서 진단대상 파일과 관련된 캐쉬파일을 확인하는 파일확인단계;
    상기 캐쉬파일 내 포함된 정보에 기초하여, 상기 캐쉬파일과 관련된 상기 진단대상 파일의 비정상 여부를 판단하는 비정상판단단계; 및
    상기 진단대상 파일이 비정상으로 판단되면, 상기 진단대상 파일을 악성파일로 진단하는 악성진단단계를 포함하며;
    상기 캐쉬파일은, 상기 클라이언트단말에서 상기 진단대상 파일이 생성되는 과정에서 기록되는 정보들을 포함하는 인덱스(IDX)파일인 것을 특징으로 하는 악성 파일 진단 방법.
  2. 제 1 항에 있어서,
    상기 진단대상 파일은, 자바(JAVA) 파일인 것을 특징으로 하는 악성 파일 진단 방법.
  3. 제 1 항에 있어서,
    상기 캐쉬파일에는, 상기 진단대상 파일이 실행되는 경우 다운로드를 시도하는 유알엘(URL)정보, 및 상기 다운로드 시도와 관련된 헤더(Header)정보가 포함되며,
    상기 비정상판단단계는,
    상기 캐쉬파일 내 포함된 상기 유알엘정보에서 확인되는 확장자 및 상기 헤더정보에서 확인되는 파일포맷이 서로 일치되지 않는 경우, 상기 진단대상 파일을 비정상으로 판단하는 것을 특징으로 하는 악성 파일 진단 방법.
  4. 제 1 항에 있어서,
    상기 진단대상 파일이 악성파일로 진단되면, 상기 진단대상 파일을 식별하기 위한 고유정보를 생성한 후 클라이언트단말에서 상기 진단대상 파일 및 상기 캐쉬파일을 삭제하는 악성치료단계를 더 포함하는 것을 특징으로 하는 악성 파일 진단 방법.
  5. 제 4 항에 있어서,
    상기 악성치료단계는,
    상기 클라이언트단말에서 실행 시도되는 특정 파일에 대하여 상기 고유정보를 기초로 악성파일 여부를 판단하고,
    상기 특정 파일이 악성파일로 판단되면 상기 특정 파일이 실행되는 것을 차단하고 상기 클라이언트단말에서 상기 특정 파일을 삭제하는 것을 특징으로 하는 악성 파일 진단 방법.
  6. 제 4 항에 있어서,
    상기 악성치료단계는,
    상기 클라이언트단말에 새로운 파일이 다운로드 또는 설치되는 경우, 상기 새로운 파일에 대하여 상기 고유정보를 기초로 악성파일 여부를 판단하고,
    상기 새로운 파일이 악성파일로 판단되면 상기 클라이언트단말에 다운로드 또는 설치되는 상기 새로운 파일을 삭제하는 것을 특징으로 하는 악성 파일 진단 방법.
  7. 클라이언트단말에서 진단대상 파일과 관련된 캐쉬파일을 확인하는 파일확인부;
    상기 캐쉬파일 내 포함된 정보에 기초하여, 상기 캐쉬파일과 관련된 상기 진단대상 파일의 비정상 여부를 판단하는 비정상판단부; 및
    상기 진단대상 파일이 비정상으로 판단되면, 상기 진단대상 파일을 악성파일로 진단하는 악성진단부를 포함하며;
    상기 캐쉬파일은, 상기 클라이언트단말에서 상기 진단대상 파일이 생성되는 과정에서 기록되는 정보들을 포함하는 인덱스(IDX)파일인 것을 특징으로 하는 악성 파일 진단 시스템.
  8. 제 7 항에 있어서,
    상기 진단대상 파일은, 자바파일인 것을 특징으로 하는 악성 파일 진단 시스템.
  9. 제 7 항에 있어서,
    상기 캐쉬파일에는, 상기 진단대상 파일이 실행되는 경우 다운로드를 시도하는 유알엘정보, 및 상기 다운로드 시도와 관련된 헤더정보가 포함되며,
    상기 비정상판단부는,
    상기 캐쉬파일 내 포함된 상기 유알엘정보에서 확인되는 확장자 및 상기 헤더정보에서 확인되는 파일포맷이 서로 일치되지 않는 경우, 상기 진단대상 파일을 비정상으로 판단하는 것을 특징으로 하는 악성 파일 진단 시스템.
  10. 제 7 항에 있어서,
    상기 진단대상 파일이 악성파일로 진단되면, 상기 진단대상 파일을 식별하기 위한 고유정보를 생성한 후 클라이언트단말에서 상기 진단대상 파일 및 상기 캐쉬파일을 삭제하는 악성치료부를 더 포함하는 것을 특징으로 하는 악성 파일 진단 시스템.
  11. 제 10 항에 있어서,
    상기 악성치료부는,
    상기 클라이언트단말에서 실행 시도되는 특정 파일에 대하여 상기 고유정보를 기초로 악성파일 여부를 판단하고, 상기 특정 파일이 악성파일로 판단되면 상기 특정 파일이 실행되는 것을 차단하고 상기 클라이언트단말에서 상기 특정 파일을 삭제하고,
    상기 클라이언트단말에 새로운 파일이 다운로드 또는 설치되는 경우, 상기 새로운 파일에 대하여 상기 고유정보를 기초로 악성파일 여부를 판단하고, 상기 새로운 파일이 악성파일로 판단되면 상기 클라이언트단말에 다운로드 또는 설치되는 상기 새로운 파일을 삭제하는 것을 특징으로 하는 악성 파일 진단 시스템.
  12. 제 1 항 및 제 3항 내지 제 6 항 중 어느 한 항의 방법을 수행하는 프로그램을 기록한 컴퓨터 판독 가능 기록 매체.
KR1020140077579A 2014-06-24 2014-06-24 악성 파일 진단 시스템 및 악성 파일 진단 방법 KR101624326B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020140077579A KR101624326B1 (ko) 2014-06-24 2014-06-24 악성 파일 진단 시스템 및 악성 파일 진단 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020140077579A KR101624326B1 (ko) 2014-06-24 2014-06-24 악성 파일 진단 시스템 및 악성 파일 진단 방법

Publications (2)

Publication Number Publication Date
KR20160000337A KR20160000337A (ko) 2016-01-04
KR101624326B1 true KR101624326B1 (ko) 2016-05-26

Family

ID=55164250

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020140077579A KR101624326B1 (ko) 2014-06-24 2014-06-24 악성 파일 진단 시스템 및 악성 파일 진단 방법

Country Status (1)

Country Link
KR (1) KR101624326B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20210125147A (ko) 2020-04-07 2021-10-18 한국전자통신연구원 악성파일을 이용한 악성 트래픽 생성 방법 및 장치

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060075494A1 (en) 2004-10-01 2006-04-06 Bertman Justin R Method and system for analyzing data for potential malware
US20120304244A1 (en) 2011-05-24 2012-11-29 Palo Alto Networks, Inc. Malware analysis system
KR101212553B1 (ko) 2012-05-11 2012-12-14 주식회사 안랩 악성 파일 검사 장치 및 방법

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060075494A1 (en) 2004-10-01 2006-04-06 Bertman Justin R Method and system for analyzing data for potential malware
US20120304244A1 (en) 2011-05-24 2012-11-29 Palo Alto Networks, Inc. Malware analysis system
KR101212553B1 (ko) 2012-05-11 2012-12-14 주식회사 안랩 악성 파일 검사 장치 및 방법

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20210125147A (ko) 2020-04-07 2021-10-18 한국전자통신연구원 악성파일을 이용한 악성 트래픽 생성 방법 및 장치

Also Published As

Publication number Publication date
KR20160000337A (ko) 2016-01-04

Similar Documents

Publication Publication Date Title
US9652632B2 (en) Method and system for repairing file at user terminal
RU2531861C1 (ru) Система и способ оценки вредоносности кода, исполняемого в адресном пространстве доверенного процесса
RU2568295C2 (ru) Система и способ временной защиты операционной системы программно-аппаратных устройств от приложений, содержащих уязвимости
JP6455738B2 (ja) パッチファイル分析システム
RU2514140C1 (ru) Система и способ увеличения качества обнаружений вредоносных объектов с использованием правил и приоритетов
US10318271B2 (en) Updating software components in a program
RU2535506C2 (ru) Система и способ формирования сценариев модели поведения приложений
KR102036411B1 (ko) 보안 엘리먼트의 비휘발성 메모리 내로의 데이터의 로딩의 보안화
KR101799366B1 (ko) 다이나믹 보안모듈 서버장치 및 그 구동방법
US11729183B2 (en) System and method for providing secure in-vehicle network
CN107330328B (zh) 防御病毒攻击的方法、装置及服务器
KR100996855B1 (ko) 정상 파일 데이터베이스 제공 시스템 및 방법
CN110874231A (zh) 终端版本更新的方法、设备和存储介质
CN102984134B (zh) 安全防御系统
CN102984135B (zh) 安全防御方法、装置与系统
KR101624326B1 (ko) 악성 파일 진단 시스템 및 악성 파일 진단 방법
Panja et al. Handling cross site scripting attacks using cache check to reduce webpage rendering time with elimination of sanitization and filtering in light weight mobile web browser
JP2006146600A (ja) 動作監視サーバ、端末装置及び動作監視システム
KR101723623B1 (ko) 악성 코드 탐지 시스템 및 방법
CN108629197B (zh) 用于集成环境的文件访问控制方法及系统
KR101645412B1 (ko) 악성파일진단장치 및 악성파일진단장치의 진단 방법
CN106325898B (zh) 软件升级方法和系统
EP2584484A1 (en) System and method for protecting a computer system from the activity of malicious objects
JP6861196B2 (ja) プログラムの危険な挙動のパターンをユーザのコンピュータシステムに適応させるシステムおよび方法
JP6635029B2 (ja) 情報処理装置、情報処理システム及び通信履歴解析方法

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20190520

Year of fee payment: 4