KR101907037B1 - 악성 코드 진단 서버, 시스템 및 방법 - Google Patents

악성 코드 진단 서버, 시스템 및 방법 Download PDF

Info

Publication number
KR101907037B1
KR101907037B1 KR1020170061592A KR20170061592A KR101907037B1 KR 101907037 B1 KR101907037 B1 KR 101907037B1 KR 1020170061592 A KR1020170061592 A KR 1020170061592A KR 20170061592 A KR20170061592 A KR 20170061592A KR 101907037 B1 KR101907037 B1 KR 101907037B1
Authority
KR
South Korea
Prior art keywords
file
information
diagnosis
malicious code
client
Prior art date
Application number
KR1020170061592A
Other languages
English (en)
Inventor
정태일
장재훈
김우진
양익준
Original Assignee
주식회사 안랩
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 안랩 filed Critical 주식회사 안랩
Priority to KR1020170061592A priority Critical patent/KR101907037B1/ko
Priority to PCT/KR2018/005672 priority patent/WO2018212610A1/ko
Application granted granted Critical
Publication of KR101907037B1 publication Critical patent/KR101907037B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/06Protocols specially adapted for file transfer, e.g. file transfer protocol [FTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Software Systems (AREA)
  • Computing Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Information Transfer Between Computers (AREA)
  • Computer And Data Communications (AREA)

Abstract

본 발명의 일 실시예에 따른 악성 코드 진단 서버는 복수의 클라이언트 단말의 각각으로부터 각 클라이언트 단말이 저장하고 있는 파일의 해쉬 데이터 및 파일의 메타 데이터를 포함하는 파일 정보를 수신하는 통신부, 수신한 파일 정보 중 동일한 해쉬 데이터를 갖는 파일 정보끼리 그룹핑하는 파일 정보 구성부, 그룹핑된 파일 정보와 함께 그룹핑된 파일 정보에 대응되는 파일의 진단 정보를 매핑하여 저장하는 파일 정보 저장부, 복수의 클라이언트 단말 중 제1 클라이언트 단말로부터 악성 코드 진단을 요청 받으면, 저장된 파일 정보 중 제1 클라이언트가 진단을 요청한 파일의 메타 데이터와 동일한 메타 데이터를 포함하는 파일 정보에 매핑된 진단 정보를 조회하는 진단 정보 조회부 및 조회된 진단 정보에 기초하여 파일에 대한 악성 코드 진단 여부를 결정하여 진단 여부 결정부를 포함한다.

Description

악성 코드 진단 서버, 시스템 및 방법{SERVER, SYSTEM AND METHOD FOR DIAGNOSING MALWARE}
본 발명은 악성 코드 진단 서버, 시스템 및 방법에 관한 것으로서, 보다 자세하게는 클라이언트 단말이 악성 코드 진단을 요청 시 진단 결과를 제공하는 악성 코드 진단 서버, 시스템 및 방법에 관한 것이다.
클라이언트 단말에 대한 악성 코드 진단 서비스는 진단 엔진을 각각의 클라이언트 단말에 설치하여 진단을 수행하는 방식과 복수의 클라이언트 단말이 악성 코드 진단 서버에 진단을 요청하여 진단 결과를 제공받는 방식으로 나뉘어져 있다.
한편 복수의 클라이언트 단말이 악성 코드 진단 서버에 진단을 요청하는 방식은 클라이언트 단말의 관점에서 컴퓨팅 자원을 덜 사용할 수 있다는 장점이 있으나, 클라이언트 단말이 직접 진단을 수행하는 방식에 비해 진단 속도가 느리다는 단점이 있다. 특히, 악성 코드 진단 서버가 클라이언트 단말이 진단을 요청하는 파일을 진단하기 위해 해당 파일을 읽는 경우 I/O가 발생하여 진단의 속도를 저하시킨다.
또한 복수의 클라이언트 단말이 같은 하드웨어를 공유하는 가상머신으로 구성되어 있는 환경에서 클라이언트 단말이 동시에 검사를 요청하는 경우, 대량의 I/O 요청이 발생할 수 있으며 이는 클라이언트 단말이 동작하는 시스템 전체에 심각한 병목을 초래할 수 있다.
본 발명의 실시예에서 해결하고자 하는 과제는 복수의 클라이언트 단말이 악성 코드 진단 서버에 진단을 요청하는 방식을 사용함에 있어 보다 빠른 진단을 수행하도록 하는 기술을 제공하는 것이다.
특히, 악성 코드 진단 서버가 클라이언트 단말의 요청에 따라 진단을 수행함에 있어 I/O를 보다 적게 발생시키는 기술을 제공하고자 한다.
다만, 본 발명의 실시예가 이루고자 하는 기술적 과제는 이상에서 언급한 과제로 제한되지 않으며, 이하에서 설명할 내용으로부터 통상의 기술자에게 자명한 범위 내에서 다양한 기술적 과제가 도출될 수 있다.
본 발명의 일 실시예에 따른 악성 코드 진단 서버는 복수의 클라이언트 단말의 각각으로부터 각 클라이언트 단말이 저장하고 있는 파일의 해쉬 데이터 및 상기 파일의 메타 데이터를 포함하는 파일 정보를 수신하는 통신부, 상기 수신한 파일 정보 중 동일한 해쉬 데이터를 갖는 파일 정보끼리 그룹핑하는 파일 정보 구성부, 상기 그룹핑된 파일 정보와 함께 상기 그룹핑된 파일 정보에 대응되는 파일의 진단 정보를 매핑하여 저장하는 파일 정보 저장부, 상기 복수의 클라이언트 단말 중 제1 클라이언트 단말로부터 악성 코드 진단을 요청 받으면, 상기 저장된 파일 정보 중 상기 제1 클라이언트가 진단을 요청한 파일의 메타 데이터와 동일한 메타 데이터를 포함하는 파일 정보에 매핑된 진단 정보를 조회하는 진단 정보 조회부 및 상기 조회된 진단 정보에 따라 상기 파일에 대한 악성 코드 진단 여부를 결정하는 진단 여부 결정부를 포함한다.
이때 상기 각 클라이언트 단말이 저장하고 있는 상기 파일 정보는 소정의 이벤트 발생 시 수신하며, 상기 소정의 이벤트는 상기 각 클라이언트 단말로부터 상기 악성 코드 진단 서버가 제공하는 악성 코드 진단 서비스의 사용 등록 요청을 수신하는 것 또는 상기 각 클라이언트 단말로부터 악성 코드 진단을 처음으로 요청 받는 것일 수 있다.
또한 상기 파일의 메타 데이터는 상기 파일 정보를 송신한 클라이언트 단말의 식별 정보, 상기 파일 정보를 송신한 클라이언트 단말에 저장된 상기 파일의 위치 정보 및 상기 파일의 수정 시간을 포함할 수 있다.
더불어 상기 진단 여부 결정부는 상기 검색된 파일 정보에 매핑된 진단 정보가 있는 경우, 상기 제1 클라이언트가 진단을 요청한 파일에 대하여 악성 코드 진단을 수행하지 않고 상기 매핑된 진단 정보를 상기 제1 클라이언트에 송신할 수 있다.
아울러 상기 진단 여부 결정부는 상기 제1 클라이언트가 진단을 요청한 파일의 메타 데이터와 동일한 메타 데이터를 포함하는 파일 정보가 없는 경우, 상기 제1 클라이언트가 진단을 요청한 파일에 대하여 악성 코드 진단을 수행하고 상기 진단한 파일의 해쉬 데이터, 상기 진단한 파일의 메타 데이터 및 상기 진단한 파일의 진단 정보를 상기 파일 정보 저장부에 저장시킬 수 있다.
또한 상기 진단 여부 결정부는 상기 검색된 파일 정보에 매핑된 진단 정보가 없는 경우, 상기 제1 클라이언트가 진단을 요청한 파일에 대하여 악성 코드 진단을 수행하고 상기 진단한 파일의 진단 정보를 상기 검색된 파일 정보에 매핑하여 상기 파일 정보 저장부에 저장시킬 수 있다.
이때 상기 진단 여부 결정부는 상기 제1 클라이언트가 진단을 요청한 파일이 악성으로 진단되면 상기 통신부를 통해 상기 복수의 클라이언트 단말에 악성으로 진단된 상기 파일에 대한 진단 정보를 송신할 수 있다.
본 발명의 일 실시예에 따른 악성 코드 진단 시스템은 저장하고 있는 파일의 해쉬 데이터 및 상기 파일의 메타 데이터를 포함하는 파일 정보를 상기 악성 코드 진단 서버에 송신하는 복수의 클라이언트 단말 및 상기 파일 정보를 수신하여 상기 수신한 파일 정보 중 동일한 해쉬 데이터를 갖는 파일 정보끼리 그룹핑하고 상기 그룹핑된 파일 정보와 함께 상기 그룹핑된 파일 정보에 대응되는 파일의 진단 정보를 매핑하여 저장하며, 상기 복수의 클라이언트 단말의 각각으로부터 각 클라이언트 단말로부터 악성 코드 진단을 요청을 받으면 상기 저장된 파일 정보 중 상기 어느 하나의 클라이언트가 진단을 요청한 파일의 메타 데이터와 동일한 메타 데이터를 포함하는 파일 정보에 매핑된 진단 정보에 따라 상기 파일에 대한 악성 코드 진단 여부를 결정하는 악성 코드 진단 서버를 포함할 수 있다.
본 발명의 일 실시예에 따른 악성 코드 진단 방법은 복수의 클라이언트 단말의 각각으로부터 각 클라이언트 단말이 저장하고 있는 파일의 해쉬 데이터 및 상기 파일의 메타 데이터를 포함하는 파일 정보를 수신하는 단계, 상기 수신한 파일 정보 중 동일한 해쉬 데이터를 갖는 파일 정보끼리 그룹핑하는 단계, 상기 그룹핑된 파일 정보와 함께 상기 그룹핑된 파일 정보에 대응되는 파일의 진단 정보를 매핑하여 저장하는 단계, 상기 복수의 클라이언트 단말 중 제1 클라이언트 단말로부터 악성 코드 진단을 요청 받으면, 상기 저장된 파일 정보 중 상기 제1 클라이언트가 진단을 요청한 파일의 메타 데이터와 동일한 메타 데이터를 포함하는 파일 정보에 매핑된 진단 정보를 조회하는 단계 및 상기 조회된 진단 정보에 따라 상기 파일에 대한 악성 코드 진단 여부를 결정하여 단계를 포함한다.
이때 상기 각 클라이언트 단말이 저장하고 있는 상기 파일 정보는 소정의 이벤트 발생 시 수신하며, 상기 소정의 이벤트는 상기 각 클라이언트 단말로부터 상기 악성 코드 진단 서버가 제공하는 악성 코드 진단 서비스의 사용 등록 요청을 수신하는 것 또는 상기 각 클라이언트 단말로부터 악성 코드 진단을 처음으로 요청 받는 것일 수 있다.
또한 상기 파일의 메타 데이터는 상기 파일 정보를 송신한 클라이언트 단말의 식별 정보, 상기 파일 정보를 송신한 클라이언트 단말에 저장된 상기 파일의 위치 정보 및 상기 파일의 수정 시간을 포함할 수 있다.
아울러 상기 악성 코드 진단 여부를 결정하는 단계는 상기 검색된 파일 정보에 매핑된 진단 정보가 있는 경우, 상기 제1 클라이언트가 진단을 요청한 파일에 대하여 악성 코드 진단을 수행하지 않고 상기 매핑된 진단 정보를 상기 제1 클라이언트에 송신하는 단계를 포함할 수 있다.
더불어 상기 악성 코드 진단 여부를 결정하는 단계는 상기 제1 클라이언트가 진단을 요청한 파일의 메타 데이터와 동일한 메타 데이터를 포함하는 파일 정보가 없는 경우, 상기 제1 클라이언트가 진단을 요청한 파일에 대하여 악성 코드 진단을 수행하는 단계 및 상기 진단한 파일의 해쉬 데이터, 상기 진단한 파일의 메타 데이터 및 상기 진단한 파일의 진단 정보를 저장하는 단계를 포함할 수 있다.
더하여 상기 악성 코드 진단 여부를 결정하는 단계는 상기 검색된 파일 정보에 매핑된 진단 정보가 없는 경우, 상기 제1 클라이언트가 진단을 요청한 파일에 대하여 악성 코드 진단을 수행하는 단계 및 상기 진단한 파일의 진단 정보를 상기 검색된 파일 정보에 매핑하여 저장하는 단계를 포함할 수 있다.
이때 상기 악성 코드 진단 여부를 결정하는 단계는 상기 제1 클라이언트가 진단을 요청한 파일이 악성으로 진단되면 상기 통신부를 통해 상기 복수의 클라이언트 단말에 악성으로 진단된 상기 파일의 진단 정보를 송신하는 단계를 더 포함할 수 있다.
본 발명의 실시예에 따르면, 클라이언트 단말간의 진단 정보를 상호 공유할 수 있게 되어, 이미 진단이 수행된 적이 있는 파일에 대해 중복하여 진단하는 것을 방지함으로써 보다 빠른 진단을 수행하도록 할 수 있다.
또한 클라이언트 단말이 악성 코드 진단을 요청한 파일이 진단이 수행된 적이 있는 파일인지 판단함에 있어 I/O를 발생시키지 않는 메타 데이터를 사용하므로 악성 코드 진단 서버가 사용하는 컴퓨팅 자원을 최소화하여 빠른 진단을 수행하도록 할 수 있다.
더불어 컴퓨터 자원을 최소화하여 빠른 진단을 수행하도록 한다. 특히 본 발명은 가상머신 환경에서 게스트 OS 들의 동시 다발적인 파일 검사로 인한 I/O 스톰을 방지하는데 효과적이다.
도 1은 본 발명의 일 실시예에 따른 악성 코드 진단 시스템의 구성도이다.
도 2는 본 발명의 일 실시예에 따른 악성 코드 진단 서버의 기능 블럭도이다.
도 3a 및 도 3b는 본 발명의 일 실시예에 따라 그룹핑된 파일 정보의 예시도이다.
도 4는 본 발명의 일 실시예에 따른 악성 코드 진단 서버가 악성 코드 진단 시 복수의 클라이언트 단말에 진단 정보를 전송하는 것을 설명하기 위한 예시도이다.
도 5는 본 발명의 일 실시예에 따른 악성 코드 진단 방법의 프로세스를 도시하는 흐름도이다.
도 6은 도 5에 도시된 S560 단계의 악성 코드 진단 여부를 결정하는 상세 프로세스를 도시하는 흐름도이다.
본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다.  그러나 본 발명은 이하에서 개시되는 실시예들에 한정되는 것이 아니라 다양한 형태로 구현될 수 있으며, 단지 본 실시예들은 본 발명의 개시가 완전하도록 하고, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명의 범주는 청구항에 의해 정의될 뿐이다.
본 발명의 실시예들을 설명함에 있어서 공지 기능 또는 구성에 대한 구체적인 설명은 본 발명의 실시예들을 설명함에 있어 실제로 필요한 경우 외에는 생략될 것이다.  그리고 후술되는 용어들은 본 발명의 실시예에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다.  그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.
도면에 표시되고 아래에 설명되는 기능 블록들은 가능한 구현의 예들일 뿐이다. 다른 구현들에서는 상세한 설명의 사상 및 범위를 벗어나지 않는 범위에서 다른 기능 블록들이 사용될 수 있다. 또한 본 발명의 하나 이상의 기능 블록이 개별 블록들로 표시되지만, 본 발명의 기능 블록들 중 하나 이상은 동일 기능을 실행하는 다양한 하드웨어 및 소프트웨어 구성들의 조합일 수 있다.
또한 어떤 구성 요소들을 포함한다는 표현은 개방형의 표현으로서 해당 구성 요소들이 존재하는 것을 단순히 지칭할 뿐이며, 추가적인 구성 요소들을 배제하는 것으로 이해되어서는 안 된다.
나아가 어떤 구성 요소가 다른 구성 요소에 연결되어 있다거나 접속되어 있다고 언급될 때에는, 그 다른 구성 요소에 직접적으로 연결 또는 접속되어 있을 수도 있지만, 중간에 다른 구성 요소가 존재할 수도 있다고 이해되어야 한다.
또한 '제1, 제2' 등과 같은 표현은 복수의 구성들을 구분하기 위한 용도로만 사용된 표현으로써, 구성들 사이의 순서나 기타 특징들을 한정하지 않는다.
이하에서는 도면들을 참조하여 본 발명의 실시예들에 대해 설명하도록 한다.
도 1은 본 발명의 일 실시예에 따른 악성 코드 진단 시스템의 구성도이다.
도 1에 도시된 바와 같이, 본 발명의 일 실시예에 따른 악성 코드 진단 시스템은 복수의 클라이언트 단말(100) 및 악성 코드 진단 서버(200)를 포함한다.
여기서 악성 코드는 악성 소프트웨어 또는 멀웨어(malware) 등 컴퓨터에 악영향을 끼칠 수 있는 모든 소프트웨어의 총칭하는 의미이며, 각종 컴퓨터 바이러스, 스파이웨어, 애드웨어, 허위 백신 등이 그 예이다.
클라이언트 단말(100)은 자신이 저장하고 있는 파일에 대하여 악성 코드 진단 서버(200)에 악성 코드의 진단을 요청하고, 악성 코드 진단 서버(200)는 클라이언트 단말(100)의 요청에 따라 악성 코드 진단 서버(200)가 보유한 진단 엔진을 통해 클라이언트 단말(100)이 저장하는 파일에 대해 진단을 수행한 후 진단 결과를 제공한다.
이때 복수의 클라이언트 단말(100) 및 악성 코드 진단 서버(200)는 통신망을 통해 상호간 데이터를 송수신할 수 있다. 통신망은 LAN과 같은 유선 통신 네트워크이거나 CDMA, 3G, 4G, LTE-A 등과 같은 무선 통신 네트워크일 수 있으나, 이에 한정되지 않는다.
한편, 기존에 복수의 클라이언트 단말이 악성 코드 진단 서버에 진단을 요청하는 방식은 클라이언트 단말의 관점에서 컴퓨팅 자원을 덜 사용할 수 있다는 장점이 있으나, 클라이언트 단말이 직접 진단을 수행하는 방식에 비해 진단 속도가 느리다는 단점이 있다. 특히, 악성 코드 진단 서버가 클라이언트 단말이 요청한 파일을 진단하기 위해 해당 파일을 읽는 경우 I/O가 발생하여 악성 코드 진단 서버에서 컴퓨팅 자원의 소모가 크게 발생한다.
이를 해결하기 위해, 본 발명의 일 실시예에 따른 악성 코드 진단 시스템에서 복수의 클라이언트 단말(100)의 각각은 소정의 이벤트가 발생 시 또는 주기적으로 자신이 저장하고 있는 파일의 해쉬 데이터 및 파일의 메타 데이터를 포함하는 파일 정보를 악성 코드 진단 서버(200)에 송신하고, 악성 코드 진단 서버(200)는 클라이언트 단말(100)로부터 수신한 파일 정보를 기초로 그 파일에 대해 이미 진단이 수행된 적이 있는지 조회하고, 이미 진단이 수행된 파일에 대해서는 중복 진단을 생략하여 보다 빠른 진단을 수행하도록 할 수 있다. 이에, 도 2를 참조하여 본 발명의 일 실시예에 따른 악성 코드 진단 서버(200)에서 동일한 파일에 대한 중복 진단을 방지하는 구체적인 실시예를 설명하기로 한다.
도 2는 본 발명의 일 실시예에 따른 악성 코드 진단 서버(200)의 기능 블럭도이다.
도 2에 도시된 바와 같이, 본 발명의 일 실시예에 따른 악성 코드 진단 서버(200)는 통신부(210), 파일 정보 구성부(220), 파일 정보 저장부(230), 진단 정보 조회부(240) 및 진단 여부 결정부(250)를 포함한다.
통신부(210)는 소정의 이벤트가 발생하는 경우 클라이언트 단말(100)이 저장하고 있는 파일의 해쉬 데이터 및 파일의 메타 데이터를 포함하는 파일 정보를 수신한다. 이를 위해, 통신부(210)는 클라이언트 단말(100)과 데이터를 주고 받기 위한 통신 모듈을 포함할 수 있다.
이때 클라이언트 단말(100)로부터 수신하는 파일 정보는, 특정 클라이언트 단말(100a)이 진단 요청한 파일에 대하여 이미 진단이 수행되었는지 여부를 판정하여 동일한 파일에 대한 중복 진단을 방지하기 위해 사용된다. 따라서 각각의 클라이언트 단말(100)로부터 파일 정보를 수신하는 것은 주기적으로 이루어질 수도 있고, 소정의 이벤트가 발생하는 경우에만 이루어질 수도 있다. 여기서 소정의 이벤트는 예를 들면, 클라이언트 단말(100)이 악성 코드 진단 서버(200)에 악성 코드 진단 서비스의 사용을 신청하는 경우 또는 클라이언트 단말(100)이 악성 코드 진단을 처음으로 요청하는 경우일 수 있으나, 이에 한정되지는 않는다.
파일 정보 구성부(220)는 복수의 클라이언트 단말(100)로부터 수신한 파일 정보에 대하여 동일한 해쉬 데이터를 갖는 파일 정보끼리 그룹핑한다. 이에, 파일 정보 저장부(230)는 그룹핑된 파일 정보와 함께 그룹핑된 파일 정보에 대응되는 파일의 진단 정보를 매핑하여 저장한다.
여기서 해쉬 데이터는 특정 파일을 고정된 길이의 데이터로 매핑하는 알고리즘을 통해 생성된 데이터로서, 이러한 해쉬 데이터를 생성하는 알고리즘으로는 예를 들어 MD5, SHA-256, CRC-32 등이 있다. 이때 해쉬 데이터의 값이 다르다면 각 해쉬 데이터의 원본 데이터도 상이한 파일이라는 것이 해쉬 데이터의 특징이므로, 각 클라이언트 단말(100)에서 보낸 파일이 동일한 파일이라면 각 파일의 해쉬 데이터도 동일하다. 따라서 해쉬 데이터를 기준으로 각 클라이언트 단말(100)에서 보낸 파일 정보를 그룹핑하여 해당 그룹에 진단 정보를 매핑하여 저장한다. 도 3a 및 도 3b는 본 발명의 일 실시예에 따른 해쉬 데이터를 기준으로 그룹핑된 파일 정보의 예시도이다.
도 3a 및 도 3b를 참조하면, 파일 정보 저장부(230)는 각기 다른 클라이언트 단말(100)로부터 수신한 파일 정보를 동일한 해쉬 데이터(CRC: 7be0ce54bf2a59df)를 기준으로 그룹핑하여 저장할 수 있으며, 이때 각 클라이언트 단말(100)이 보낸 파일 정보에는 해당 파일의 메타 데이터로서, 예를 들면 클라이언트 단말(100)의 식별 정보, 클라이언트 단말(100)에 저장된 파일의 위치 정보 및 파일의 수정 시간 등을 포함할 수 있다.
이때 동일한 파일에 대해서는 악성 코드 진단 결과가 동일하므로 그룹핑된 파일 정보들은 하나의 파일 정보에 해당하는 파일의 진단 결과를 공유할 수 있다. 즉, 동일한 해쉬 데이터를 기준으로 매핑되어 있는 각 클라이언트 단말로부터 수신한 파일 정보들은 해당 해쉬 데이터에 대응되는 파일의 진단 정보가 매핑되어 저장될 수 있다.
이때 그룹핑된 파일 정보에 대해서 악성 코드 진단이 수행된 적이 없거나 캐싱 기법에 의해 정보가 리셋 되었다면 도 3a와 같이 진단 정보가 매핑되어 있지 않을 수 있으며, 그룹핑된 파일 정보에 대해 적어도 어느 하나의 클라이언트 단말(100)의 요청에 따라 악성 코드 진단이 수행된 적이 있다면 도 3b와 같이 해당 그룹핑된 파일 정보에 '정상'또는 '악성'임을 의미하는 진단 정보가 매핑되어 저장될 수 있다.
진단 정보 조회부(240)는 악성 코드 진단 시스템에 포함된 복수의 클라이언트 단말(100) 중 하나인 제1 클라이언트 단말(100a)로부터 악성 코드 진단을 요청 받으면, 제1 클라이언트 단말(100a)에 대해 악성 코드를 진단하기에 앞서 제1 클라이언트 단말(100a)이 진단을 요청하는 파일에 대하여 이미 진단한 정보를 저장하고 있는지 조회한다.
이를 위해, 진단 정보 조회부(240)는 제1 클라이언트 단말(100a)이 진단을 요청하는 파일에 대응되는 정보가 파일 정보 저장부(230)에 저장되어 있는지 조회한다. 이때 진단 정보 조회부(240)는 제1 클라이언트 단말(100a)이 진단을 요청하는 파일을 읽을 필요없이, 진단을 요청하는 파일의 메타 데이터만을 사용하여 이와 대응되는 파일 정보를 파일 정보 저장부(230)에서 검색하기 때문에 I/O를 발생시키지 않는다.
이에 따라, 진단 정보 조회부(240)는 파일 정보 저장부(230)에 저장된 파일 정보 중 제1 클라이언트가 진단을 요청한 파일의 메타 데이터와 동일한 메타 데이터를 포함하는 파일 정보에 매핑된 진단 정보를 조회한다.
도 3a 및 도 3b를 다시 참조하면, 제1 클라이언트 단말(100a)이 진단을 요청한 파일의 메타 데이터가 파일 정보 저장부(230)에 저장된 파일 정보의 메타 데이터, 가령 클라이언트 단말의 식별 정보, 클라이언트 단말에 파일이 저장된 위치 정보 및 파일의 수정 시간이 동일한 파일 정보가 있는지 검색한다. 이에, 동일한 메타 데이터를 갖는 파일 정보가 있다면, 해당 파일 정보에 매핑된 진단 정보를 조회한다.
진단 여부 결정부(250)는 진단 정보 조회부(240)에 의해 조회된 진단 정보에 기초하여 제1 클라이언트 단말(100a)이 진단을 요청한 파일에 대하여 악성 코드 진단을 수행할 것인지 여부를 결정한다. 이에 따라, 진단 여부 결정부(250)는 진단을 요청받은 파일에 대한 메타 데이터가 아예 검색되지 않거나, 진단을 요청받은 파일에 대한 메타 데이터가 검색되더라도 진단 정보가 저장되어 있지 않다면 해당 파일에 대한 악성 코드 진단을 수행할 수 있다.
예를 들어, 진단 정보 조회 결과 제1 클라이언트 단말(100a)이 진단을 요청한 파일에 대응되는 메타 데이터를 포함하는 파일 정보가 저장되어 있지 않은 경우가 있을 수 있다. 예를 들어, 제1 클라이언트 단말(100)이 악성 코드 진단 서버(200)가 저장하고 있지 않은 새로운 파일에 대해 진단을 요청한 경우거나, 제1 클라이언트 단말(100)에 저장된 파일의 저장 경로가 변경되거나 수정 시간이 변경되어 메타 데이터가 변경된 경우이다. 이와 같이, 메타 데이터가 변경된 것이라면 해당 파일의 내용에도 변경이 가해졌을 가능성이 크므로, 진단 여부 결정부(250)는 해당 파일에 대하여 악성 코드 진단을 수행하고 진단한 파일의 해쉬 데이터, 진단한 파일의 메타 데이터 및 진단한 파일의 진단 정보를 파일 정보 저장부(230)에 새롭게 저장시킬 수 있다.
한편, 도 3a와 같이 진단이 요청된 파일에 대응되는 것으로 검색된 파일 정보에 진단 정보가 매핑되어 있지 않는 경우, 해당 파일에 대하여 악성 코드 진단을 수행하여 판별된 진단 정보를 파일 정보 저장부(230)에 저장되어 있는 해당 파일과 대응되는 그룹핑된 파일 정보에 진단 결과를 매핑시켜 저장할 수 있고, 도 3b와 같이 진단이 요청된 파일에 대응되는 것으로 검색된 파일 정보에 진단 정보가 매핑되어 있다면 해당 파일에 대해서는 진단을 수행하지 않고 매핑된 진단 정보를 제1 클라이언트 단말(100)에 통보할 수 있다.
이때 진단 여부 결정부(250)는 진단한 파일이 정상으로 판별되면 제1 클라이언트에게만 해당 파일의 진단 정보를 통보하지만, 진단한 파일이 악성으로 판별되면 도 4와 같이 악성 코드 진단 시스템의 모든 클라이언트 단말(100)에 진단된 파일에 대한 진단 정보를 공유하여 해당 파일을 삭제하도록 할 수 있다. 이를 위해, 모든 클라이언트 단말에 송신하는 진단 정보에는 해당 파일의 해쉬 데이터 또는 메타 데이터, 가령 해당 파일의 경로 등을 포함하여 송신함으로써 진단 정보를 수신한 클라이언트 단말(100)이 해당 파일을 특정하도록 할 수 있다.
한편 본 발명의 일 실시예에 따른 악성 코드 진단 서버(200)는 서버 팜(Server Farm)과 같이 네트워크에 걸쳐서 분산형으로 구현될 수 있으며, 혹은 단일의 컴퓨터 장치로 구현될 수 있다. 또한 상술한 실시예가 포함하는 파일 정보 구성부(220), 진단 정보 조회부(240), 및 진단 여부 결정부(250)는 이들의 기능을 수행하도록 프로그램된 명령어를 포함하는 메모리, 및 이들 명령어를 수행하는 마이크로프로세서를 포함하는 연산 장치에 의해 구현될 수 있다.
도 5는 본 발명의 일 실시예에 따른 악성 코드 진단 방법의 프로세스를 도시하는 흐름도이다. 도 5에 따른 악성 코드 진단 방법의 각 단계는 도 2를 통해 설명된 악성 코드 진단 서버(200)에 의해 수행될 수 있으며, 각 단계를 설명하면 다음과 같다.
우선, 악성 코드 진단 서버(200)는 각각의 클라이언트 단말(100a, 100b, 100c)로부터 소정의 이벤트가 발생 시 또는 주기적으로 클라이언트 단말(100)이 저장하고 있는 파일의 해쉬 데이터 및 파일의 메타 데이터를 포함하는 파일 정보를 수신한다(S510).
이에, 악성 코드 진단 서버(200)는 수신한 파일 정보 중 동일한 해쉬 데이터를 갖는 파일 정보끼리 그룹핑하고(S520), 그룹핑된 파일 정보와 함께 그룹핑된 파일 정보에 대응되는 파일의 진단 정보를 매핑하여 저장한다(S530).
이후, 악성 코드 진단 서버(200)가 복수의 클라이언트 단말(100) 중 제1 클라이언트 단말(100a)로부터 악성 코드 진단을 요청 받으면(S540), 저장된 파일 정보 중 제1 클라이언트 단말(100a)이 진단을 요청한 파일의 메타 데이터와 동일한 메타 데이터를 포함하는 파일 정보에 매핑된 진단 정보를 조회하고, 조회된 진단 정보에 기초하여 진단이 요청된 파일에 대한 악성 코드 진단 여부를 결정한다(S560).
도 6은 도 5에 도시된 S560 단계의 악성 코드 진단 여부를 결정하는 상세 프로세스를 도시하는 흐름도이다.
도 6을 참조하면, 악성 코드 진단 서버(200)는 진단이 요청된 파일의 메타 데이터와 동일한 메타 데이터를 포함하는 파일 정보가 저장되어 있는지 판별한다(S561). 이때 해당 파일 정보가 없다면 진단 요청 받은 파일의 악성 코드를 진단하고(S564), 진단한 파일의 해쉬 데이터, 진단한 파일의 메타 데이터 및 진단한 파일의 진단 정보를 파일 정보 저장부(230)에 새롭게 저장한다(S565). 이때 진단한 파일이 악성으로 진단된 경우 모든 클라이언트 단말에 해당 파일에 대한 파일 정보 및 진단 정보를 송신할 수 있다(S566).
이와 달리, S561 단계에서 해당 파일 정보가 존재한다면 해당 파일 정보에 매핑된 진단 정보가 있는지 판별한다(S562). 이때 진단 정보가 없다면 앞서 설명한 S564 내지 S566 단계를 수행하지만, 진단 정보가 있다면 진단을 수행하지 않고 매핑되어 있는 진단 정보를 진단을 요청한 클라이언트 단말(100)에 통보한다(S563).
따라서 상술한 실시예에 따르면, 클라이언트 단말(100)간의 진단 정보를 상호 공유하여 이미 다른 클라이언트 단말(100)에 의하여 진단이 수행된 적이 있는 동일한 파일에 대해 중복 진단하는 경우를 생략하여 보다 빠른 진단을 수행하도록 할 수 있다.
또한 이미 다른 클라이언트 단말(100)에 의해 진단이 수행된 적이 있는 동일한 파일인지 판단함에 있어 I/O를 발생시키지 않는 메타 데이터를 사용하므로 악성 코드 진단 서버(200)가 사용하는 컴퓨팅 자원을 최소화하여 빠른 진단을 수행하도록 할 수 있다.
상술한 본 발명의 실시예들은 다양한 수단을 통해 구현될 수 있다. 예를 들어, 본 발명의 실시예들은 하드웨어, 펌웨어(firmware), 소프트웨어 또는 그것들의 결합 등에 의해 구현될 수 있다.
하드웨어에 의한 구현의 경우, 본 발명의 실시예들에 따른 방법은 하나 또는 그 이상의 ASICs(Application Specific Integrated Circuits), DSPs(Digital Signal Processors), DSPDs(Digital Signal Processing Devices), PLDs(Programmable Logic Devices), FPGAs(Field Programmable Gate Arrays), 프로세서, 컨트롤러, 마이크로 컨트롤러, 마이크로 프로세서 등에 의해 구현될 수 있다.
펌웨어나 소프트웨어에 의한 구현의 경우, 본 발명의 실시예들에 따른 방법은 이상에서 설명된 기능 또는 동작들을 수행하는 모듈, 절차 또는 함수 등의 형태로 구현될 수 있다. 소프트웨어 코드는 메모리 유닛에 저장되어 프로세서에 의해 구동될 수 있다. 상기 메모리 유닛은 상기 프로세서 내부 또는 외부에 위치하여, 이미 공지된 다양한 수단에 의해 상기 프로세서와 데이터를 주고 받을 수 있다.
이와 같이, 본 발명이 속하는 기술분야의 당업자는 본 발명이 그 기술적 사상이나 필수적 특징을 변경하지 않고서 다른 구체적인 형태로 실시될 수 있다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적인 것이 아닌 것으로서 이해해야만 한다. 본 발명의 범위는 상기 상세한 설명보다는 후술하는 특허청구범위에 의하여 나타내어지며, 특허청구범위의 의미 및 범위 그리고 그 등가개념으로부터 도출되는 모든 변경 또는 변형된 형태가 본 발명의 범위에 포함되는 것으로 해석되어야 한다.
100: 클라이언트 단말
200: 악성 코드 진단 서버
210: 통신부
220: 파일 정보 구성부
230: 파일 정보 저장부
240: 진단 정보 조회부
250: 진단 여부 결정부

Claims (15)

  1. 복수의 클라이언트 단말의 각각으로부터 각 클라이언트 단말이 저장하고 있는 파일의 해쉬 데이터 및 상기 파일의 메타 데이터를 포함하는 파일 정보를 수신하는 통신부;
    상기 수신한 파일 정보 중 동일한 해쉬 데이터를 갖는 파일 정보끼리 그룹핑하는 파일 정보 구성부;
    상기 그룹핑된 파일 정보와 함께 상기 그룹핑된 파일 정보에 대응되는 파일의 진단 정보를 매핑하여 저장하는 파일 정보 저장부;
    상기 복수의 클라이언트 단말 중 제1 클라이언트 단말로부터 악성 코드 진단을 요청 받으면, 상기 저장된 파일 정보 중 상기 제1 클라이언트가 진단을 요청한 파일의 메타 데이터와 동일한 메타 데이터를 포함하는 파일 정보를 검색하고, 상기 검색된 파일 정보에 매핑된 진단 정보를 조회하는 진단 정보 조회부; 및
    상기 조회된 진단 정보에 따라 상기 파일에 대한 악성 코드 진단 여부를 결정하는 진단 여부 결정부를 포함하되,
    상기 진단 정보 조회부는, 상기 파일 정보의 검색 시, 상기 진단을 요청한 파일의 해쉬 데이터에 관계없이 상기 파일 정보를 검색하는
    악성 코드 진단 서버.
  2. 제1항에 있어서,
    상기 각 클라이언트 단말이 저장하고 있는 상기 파일 정보는 소정의 이벤트 발생 시 수신하며, 상기 소정의 이벤트는 상기 각 클라이언트 단말로부터 상기 악성 코드 진단 서버가 제공하는 악성 코드 진단 서비스의 사용 등록 요청을 수신하는 것 또는 상기 각 클라이언트 단말로부터 악성 코드 진단을 처음으로 요청 받는 것인
    악성 코드 진단 서버.
  3. 제1항에 있어서,
    상기 파일의 메타 데이터는,
    상기 파일 정보를 송신한 클라이언트 단말의 식별 정보, 상기 파일 정보를 송신한 클라이언트 단말에 저장된 상기 파일의 위치 정보 및 상기 파일의 수정 시간을 포함하는
    악성 코드 진단 서버.
  4. 제1항에 있어서,
    상기 진단 여부 결정부는,
    상기 검색된 파일 정보에 매핑된 진단 정보가 있는 경우, 상기 제1 클라이언트가 진단을 요청한 파일에 대하여 악성 코드 진단을 수행하지 않고 상기 매핑된 진단 정보를 상기 제1 클라이언트에 송신하는
    악성 코드 진단 서버.
  5. 제1항에 있어서,
    상기 진단 여부 결정부는,
    상기 제1 클라이언트가 진단을 요청한 파일의 메타 데이터와 동일한 메타 데이터를 포함하는 파일 정보가 없는 경우, 상기 제1 클라이언트가 진단을 요청한 파일에 대하여 악성 코드 진단을 수행하고 상기 진단한 파일의 해쉬 데이터, 상기 진단한 파일의 메타 데이터 및 상기 진단한 파일의 진단 정보를 상기 파일 정보 저장부에 저장시키는
    악성 코드 진단 서버.
  6. 제1항에 있어서,
    상기 진단 여부 결정부는,
    상기 검색된 파일 정보에 매핑된 진단 정보가 없는 경우, 상기 제1 클라이언트가 진단을 요청한 파일에 대하여 악성 코드 진단을 수행하고 상기 진단한 파일의 진단 정보를 상기 검색된 파일 정보에 매핑하여 상기 파일 정보 저장부에 저장시키는
    악성 코드 진단 서버.
  7. 제5항 또는 제6항에 있어서,
    상기 진단 여부 결정부는,
    상기 제1 클라이언트가 진단을 요청한 파일이 악성으로 진단되면 상기 통신부를 통해 상기 복수의 클라이언트 단말에 악성으로 진단된 상기 파일에 대한 진단 정보를 송신하는
    악성 코드 진단 서버.
  8. 복수의 클라이언트 단말 및 악성 코드 진단 서버를 포함하는 악성 코드 진단 시스템에 있어서,
    저장하고 있는 파일의 해쉬 데이터 및 상기 파일의 메타 데이터를 포함하는 파일 정보를 상기 악성 코드 진단 서버에 송신하는 상기 복수의 클라이언트 단말; 및
    상기 파일 정보를 수신하여 상기 수신한 파일 정보 중 동일한 해쉬 데이터를 갖는 파일 정보끼리 그룹핑하고 상기 그룹핑된 파일 정보와 함께 상기 그룹핑된 파일 정보에 대응되는 파일의 진단 정보를 매핑하여 저장하며, 상기 복수의 클라이언트 단말 중 제1 클라이언트 단말로부터 악성 코드 진단을 요청을 받으면 상기 저장된 파일 정보 중 상기 제1 클라이언트 단말이 진단을 요청한 파일의 메타 데이터와 동일한 메타 데이터를 포함하는 파일 정보를 검색하고, 상기 검색된 파일 정보에 매핑된 진단 정보에 따라 상기 파일에 대한 악성 코드 진단 여부를 결정하는 상기 악성 코드 진단 서버를 포함하되,
    상기 악성 코드 진단 서버는, 상기 파일 정보의 검색 시, 상기 진단을 요청한 파일의 해쉬 데이터에 관계없이 상기 파일 정보를 검색하는
    악성 코드 진단 시스템.
  9. 악성 코드 진단 서버가 악성 코드 진단 방법을 수행함에 있어서,
    복수의 클라이언트 단말의 각각으로부터 각 클라이언트 단말이 저장하고 있는 파일의 해쉬 데이터 및 상기 파일의 메타 데이터를 포함하는 파일 정보를 수신하는 단계;
    상기 수신한 파일 정보 중 동일한 해쉬 데이터를 갖는 파일 정보끼리 그룹핑하는 단계;
    상기 그룹핑된 파일 정보와 함께 상기 그룹핑된 파일 정보에 대응되는 파일의 진단 정보를 매핑하여 저장하는 단계;
    상기 복수의 클라이언트 단말 중 제1 클라이언트 단말로부터 악성 코드 진단을 요청 받으면, 상기 저장된 파일 정보 중 상기 제1 클라이언트가 진단을 요청한 파일의 메타 데이터와 동일한 메타 데이터를 포함하는 파일 정보를 검색하고, 상기 검색된 파일 정보에 매핑된 진단 정보를 조회하는 단계; 및
    상기 조회된 진단 정보에 따라 상기 파일에 대한 악성 코드 진단 여부를 결정하여 단계를 포함하되,
    상기 진단 정보를 조회하는 단계는, 상기 파일 정보의 검색 시, 상기 진단을 요청한 파일의 해쉬 데이터에 관계없이 상기 파일 정보를 검색하는는
    악성 코드 진단 방법.
  10. 제9항에 있어서,
    상기 각 클라이언트 단말이 저장하고 있는 상기 파일 정보는 소정의 이벤트 발생 시 수신하며, 상기 소정의 이벤트는 상기 각 클라이언트 단말로부터 상기 악성 코드 진단 서버가 제공하는 악성 코드 진단 서비스의 사용 등록 요청을 수신하는 것 또는 상기 각 클라이언트 단말로부터 악성 코드 진단을 처음으로 요청 받는 것인
    악성 코드 진단 방법.
  11. 제9항에 있어서,
    상기 파일의 메타 데이터는,
    상기 파일 정보를 송신한 클라이언트 단말의 식별 정보, 상기 파일 정보를 송신한 클라이언트 단말에 저장된 상기 파일의 위치 정보 및 상기 파일의 수정 시간을 포함하는
    악성 코드 진단 방법.
  12. 제9항에 있어서,
    상기 악성 코드 진단 여부를 결정하는 단계는,
    상기 검색된 파일 정보에 매핑된 진단 정보가 있는 경우, 상기 제1 클라이언트가 진단을 요청한 파일에 대하여 악성 코드 진단을 수행하지 않고 상기 매핑된 진단 정보를 상기 제1 클라이언트에 송신하는 단계를 포함하는
    악성 코드 진단 방법.
  13. 제9항에 있어서,
    상기 악성 코드 진단 여부를 결정하는 단계는,
    상기 제1 클라이언트가 진단을 요청한 파일의 메타 데이터와 동일한 메타 데이터를 포함하는 파일 정보가 없는 경우, 상기 제1 클라이언트가 진단을 요청한 파일에 대하여 악성 코드 진단을 수행하는 단계; 및
    상기 진단한 파일의 해쉬 데이터, 상기 진단한 파일의 메타 데이터 및 상기 진단한 파일의 진단 정보를 저장하는 단계를 포함하는
    악성 코드 진단 방법.
  14. 제9항에 있어서,
    상기 악성 코드 진단 여부를 결정하는 단계는,
    상기 검색된 파일 정보에 매핑된 진단 정보가 없는 경우, 상기 제1 클라이언트가 진단을 요청한 파일에 대하여 악성 코드 진단을 수행하는 단계; 및
    상기 진단한 파일의 진단 정보를 상기 검색된 파일 정보에 매핑하여 저장하는 단계를 포함하는
    악성 코드 진단 방법.
  15. 제13항 또는 제14항에 있어서,
    상기 악성 코드 진단 여부를 결정하는 단계는,
    상기 제1 클라이언트가 진단을 요청한 파일이 악성으로 진단되면 상기 복수의 클라이언트 단말에 악성으로 진단된 상기 파일의 진단 정보를 송신하는 단계를 더 포함하는
    악성 코드 진단 방법.
KR1020170061592A 2017-05-18 2017-05-18 악성 코드 진단 서버, 시스템 및 방법 KR101907037B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020170061592A KR101907037B1 (ko) 2017-05-18 2017-05-18 악성 코드 진단 서버, 시스템 및 방법
PCT/KR2018/005672 WO2018212610A1 (ko) 2017-05-18 2018-05-17 악성 코드 진단 서버, 시스템 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020170061592A KR101907037B1 (ko) 2017-05-18 2017-05-18 악성 코드 진단 서버, 시스템 및 방법

Publications (1)

Publication Number Publication Date
KR101907037B1 true KR101907037B1 (ko) 2018-10-12

Family

ID=63876283

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020170061592A KR101907037B1 (ko) 2017-05-18 2017-05-18 악성 코드 진단 서버, 시스템 및 방법

Country Status (2)

Country Link
KR (1) KR101907037B1 (ko)
WO (1) WO2018212610A1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102189361B1 (ko) 2019-12-02 2020-12-09 주식회사 파고네트웍스 엔드포인트에 기반한 관리형 탐지 및 대응 시스템과 방법

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102338653B1 (ko) * 2021-10-08 2021-12-14 주식회사 이글루시큐리티 대용량 데이터의 클러스터 환경에서 셔플링을 최소화하기 위해 노드별 분산 그룹핑 처리를 수행하는 방법 및 이를 지원하는 장치

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011186823A (ja) 2010-03-09 2011-09-22 Nec Corp ウイルスチェックシステム、ウイルスチェック装置、及び、プログラム
US20160006757A1 (en) 2012-04-18 2016-01-07 Mcafee, Inc. Detection and prevention of installation of malicious mobile applications

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101138748B1 (ko) * 2010-01-22 2012-04-24 주식회사 안철수연구소 악성 코드 차단 장치, 시스템 및 방법
KR101222178B1 (ko) * 2010-12-23 2013-01-14 한국인터넷진흥원 악성코드 dna 및 메타데이터 자동 관리 시스템
WO2015060857A1 (en) * 2013-10-24 2015-04-30 Mcafee, Inc. Agent assisted malicious application blocking in a network environment

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011186823A (ja) 2010-03-09 2011-09-22 Nec Corp ウイルスチェックシステム、ウイルスチェック装置、及び、プログラム
US20160006757A1 (en) 2012-04-18 2016-01-07 Mcafee, Inc. Detection and prevention of installation of malicious mobile applications

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102189361B1 (ko) 2019-12-02 2020-12-09 주식회사 파고네트웍스 엔드포인트에 기반한 관리형 탐지 및 대응 시스템과 방법

Also Published As

Publication number Publication date
WO2018212610A1 (ko) 2018-11-22

Similar Documents

Publication Publication Date Title
US11874921B2 (en) Digital protection that travels with data
WO2018113594A1 (zh) 防御dns攻击的方法、装置及存储介质
US10430586B1 (en) Methods of identifying heap spray attacks using memory anomaly detection
US10986104B2 (en) Remote malware scanning capable of static and dynamic file analysis
US10785255B1 (en) Cluster configuration within a scalable malware detection system
US10645002B2 (en) System, apparatus and method for managing redundancy elimination in packet storage during observation of data movement
CN102592103B (zh) 文件安全处理方法、设备及系统
US11030313B2 (en) Remote malware scanning capable of static and dynamic file analysis
US10834099B2 (en) Identifying a file using metadata and determining a security classification of the file before completing receipt of the file
CN104396220A (zh) 用于安全内容检索的方法和设备
GB2471716A (en) Anti-virus scan management using intermediate results
US9832221B1 (en) Systems and methods for monitoring the activity of devices within an organization by leveraging data generated by an existing security solution deployed within the organization
CN112565299B (zh) 用于网络设备的安全分析的、基于内容的优化和预先获取机制
US8341746B2 (en) Identifying malware
US10924492B2 (en) Information leakage prevention system and method
KR101907037B1 (ko) 악성 코드 진단 서버, 시스템 및 방법
KR102042045B1 (ko) 악성코드 진단장치, 진단방법 및 진단시스템
CN110870286B (zh) 容错处理的方法、装置和服务器
CN110191203B (zh) 实现服务器动态访问的方法及电子设备
US10902125B2 (en) Infected file detection and quarantine system
US10554678B2 (en) Malicious content detection with retrospective reporting
GB2535522A (en) Dynamic remote malware scanning
KR101446280B1 (ko) 인터미디어트 드라이버를 이용한 변종 악성코드 탐지 및 차단 시스템 및 그 방법
CN115913583A (zh) 业务数据访问方法、装置和设备及计算机存储介质
CN109257453B (zh) 在多租户保护存储部署中防止数据泄露企图的基于本地数据ip的网络安全的系统和方法

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant