KR101968633B1 - 실시간 최신 악성코드 및 침해 진단 서비스 제공 방법 - Google Patents

실시간 최신 악성코드 및 침해 진단 서비스 제공 방법 Download PDF

Info

Publication number
KR101968633B1
KR101968633B1 KR1020180100048A KR20180100048A KR101968633B1 KR 101968633 B1 KR101968633 B1 KR 101968633B1 KR 1020180100048 A KR1020180100048 A KR 1020180100048A KR 20180100048 A KR20180100048 A KR 20180100048A KR 101968633 B1 KR101968633 B1 KR 101968633B1
Authority
KR
South Korea
Prior art keywords
client terminal
ioc
malicious code
file
time
Prior art date
Application number
KR1020180100048A
Other languages
English (en)
Inventor
정일용
박상희
박사홍
박근형
박윤영
최용선
Original Assignee
조선대학교산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 조선대학교산학협력단 filed Critical 조선대학교산학협력단
Priority to KR1020180100048A priority Critical patent/KR101968633B1/ko
Application granted granted Critical
Publication of KR101968633B1 publication Critical patent/KR101968633B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

실시간 최신 악성코드 및 침해 진단 서비스 제공 방법이 제공되며, 적어도 하나의 사이버 보안 서버로부터 IOC(Indicator of Compromise)를 실시간으로 업데이트받는 단계, 클라이언트 단말에서 IOC 스캔요청 이벤트가 발생한 경우, 클라이언트 단말을 스캔되도록 하는 단계, 클라이언트 단말에서 스캔한 결과 데이터와 실시간으로 업데이트된 IOC를 비교하도록 하는 단계, 및 클라이언트 단말로부터 비교 결과를 포함한 리포트를 수신하는 단계를 포함한다.

Description

실시간 최신 악성코드 및 침해 진단 서비스 제공 방법{METHOD FOR PROVIDING REAL-TIME RECENT MALWARE AND SECURITY HANDLING SERVICE}
본 발명은 실시간 최신 악성코드 및 침해 진단 서비스 제공 방법에 관한 것으로, 저장된 파일의 실시간 해쉬값과 IOC의 해쉬값을 비교하여 악성코드를 판별하는 방법을 제공한다.
최근의 IT 보안 위협은 지속적으로 증가되고 급속히 확산되고 있으며 본질적으로 끊임없이 변화되고 있는데, 기업들의 IT 인프라가 매우 복잡하며 다양한 시스템들을 사용하고 있기 때문에 기업들이 직면한 보안 위협들의 다양한 위협에 대해서 적절한 조치를 취하기에는 역부족인 것이 현 실정이다. 이에 따라, 기업들은 정기적으로 시스템 취약점 점검을 통해 더 큰 보안사고가 발생하는 것을 방지하고 있다.
이때, 악성코드를 분석하고 진단하는 방법은 실행파일의 바이너리를 분석하여 동일한 유형의 악성코드를 분류하고 진단하는 방법으로 이루어진다. 이와 관련하여, 선행기술인 한국공개특허 제2012-0093564호(2012년08월23일 공개)에는, 실행파일의 바이너리 코드를 분석하고, 분석된 바이너리 코드를 2차원 구조의 페이지 단위로 메모리에 로드하고, 분석된 바이너리 코드에서, 분기 명령어 코드(Opcode)를 식별하고, 식별된 분기 명령어 코드의 바이너리 위치로부터, 분기되는 명령어 코드의 바이너리 위치에 대한 2 차원 구조의 페이지 단위의 메모리 상에서의 거리와 방향을 포함하는 벡터값을 계산하고, 산출된 벡터값 및 식별된 분기 명령어 코드를 이용하여 매트릭스 테이블을 산출하며, 매트릭스로부터 해시값을 산출하고 산출된 해시값을 기 산출된 상이한 실행파일에 대한 해시값과 비교하여 동일 여부를 판단하는 구성이 개시된다.
다만, 10년 전이나 지금이나 똑같은 기준과 항목을 이용하여 시스템 취약점 점검을 실시하고 있으며, 적용하고 있는 항목에서 불필요한 점검항목이 존재하여 현재 이슈가 되는 APT공격, 악성코드, 위험도가 높은 시스템 취약점에 대해서는 소홀히 점검되거나 법적으로 진행되는 형식적인 점검으로 생각하고 자체적인 점검항목을 추가하여 부족한 항목 점검에 대하여 보완하고 점검하고 있다. 또한, 기술적 점검은 시스템 취약점 점검보다 모의해킹을 통한 시스템 보호에 비중을 높게 두고 있기 때문에 근본적으로 취약점을 점검하지 못하고 있는 것이 대부분이다.
본 발명의 일 실시예는, 저장된 파일 중 실시간 해쉬값이 변경된 파일을 알려주고, 임의의 파일의 해쉬값을 침해지표 데이터베이스의 해쉬값과 비교하여 악성코드 판별하며, 파일의 사이즈 변경된 것을 알려주며, 실시간으로 신규 생성되는 파일을 알림 및 정상파일로 확인시 승인조치를 수행하고, 악의적인 사이버공격 IP를 검증하고, 악의적인 웹 사이트 URL 검증하도록 구성되는, 실시간 최신 악성코드 및 침해 진단 서비스 제공 방법을 제공할 수 있다. 다만, 본 실시예가 이루고자 하는 기술적 과제는 상기된 바와 같은 기술적 과제로 한정되지 않으며, 또 다른 기술적 과제들이 존재할 수 있다.
상술한 기술적 과제를 달성하기 위한 기술적 수단으로서, 본 발명의 일 실시예는, 적어도 하나의 사이버 보안 서버로부터 IOC(Indicator of Compromise)를 실시간으로 업데이트받는 단계, 클라이언트 단말에서 IOC 스캔요청 이벤트가 발생한 경우, 클라이언트 단말을 스캔되도록 하는 단계, 클라이언트 단말에서 스캔한 결과 데이터와 실시간으로 업데이트된 IOC를 비교하도록 하는 단계, 및 클라이언트 단말로부터 비교 결과를 포함한 리포트를 수신하는 단계를 포함한다.
전술한 본 발명의 과제 해결 수단 중 어느 하나에 의하면, 저장된 파일 중 실시간 해쉬값이 변경된 파일을 알려주고, 임의의 파일의 해쉬값을 침해지표 데이터베이스의 해쉬값과 비교하여 악성코드 판별하며, 파일의 사이즈 변경된 것을 알려주며, 실시간으로 신규 생성되는 파일을 알림 및 정상파일로 확인시 승인조치를 수행하고, 악의적인 사이버공격 IP를 검증하고, 악의적인 웹 사이트 URL 검증하도록 구성될 수 있다.
도 1은 본 발명의 일 실시예에 따른 실시간 최신 악성코드 및 침해 진단 서비스 제공 시스템을 설명하기 위한 도면이다.
도 2는 도 1의 시스템에 포함된 진단 서비스 제공 서버를 설명하기 위한 블록 구성도이다.
도 3은 본 발명의 일 실시예에 따른 실시간 최신 악성코드 및 침해 진단 서비스가 구현된 일 실시예를 설명하기 위한 도면이다.
도 4는 본 발명의 일 실시예에 따른 도 1의 실시간 최신 악성코드 및 침해 진단 서비스 제공 시스템에 포함된 각 구성들 상호 간에 데이터가 송수신되는 과정을 나타낸 동작 흐름도이다.
아래에서는 첨부한 도면을 참조하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 본 발명의 실시예를 상세히 설명한다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시예에 한정되지 않는다. 그리고 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 유사한 부분에 대해서는 유사한 도면 부호를 붙였다.
명세서 전체에서, 어떤 부분이 다른 부분과 "연결"되어 있다고 할 때, 이는 "직접적으로 연결"되어 있는 경우뿐 아니라, 그 중간에 다른 소자를 사이에 두고 "전기적으로 연결"되어 있는 경우도 포함한다. 또한 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미하며, 하나 또는 그 이상의 다른 특징이나 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
명세서 전체에서 사용되는 정도의 용어 "약", "실질적으로" 등은 언급된 의미에 고유한 제조 및 물질 허용오차가 제시될 때 그 수치에서 또는 그 수치에 근접한 의미로 사용되고, 본 발명의 이해를 돕기 위해 정확하거나 절대적인 수치가 언급된 개시 내용을 비양심적인 침해자가 부당하게 이용하는 것을 방지하기 위해 사용된다. 본 발명의 명세서 전체에서 사용되는 정도의 용어 "~(하는) 단계" 또는 "~의 단계"는 "~ 를 위한 단계"를 의미하지 않는다.
본 명세서에 있어서 '부(部)'란, 하드웨어에 의해 실현되는 유닛(unit), 소프트웨어에 의해 실현되는 유닛, 양방을 이용하여 실현되는 유닛을 포함한다. 또한, 1개의 유닛이 2개 이상의 하드웨어를 이용하여 실현되어도 되고, 2개 이상의 유닛이 1개의 하드웨어에 의해 실현되어도 된다.
본 명세서에 있어서 단말, 장치 또는 디바이스가 수행하는 것으로 기술된 동작이나 기능 중 일부는 해당 단말, 장치 또는 디바이스와 연결된 서버에서 대신 수행될 수도 있다. 이와 마찬가지로, 서버가 수행하는 것으로 기술된 동작이나 기능 중 일부도 해당 서버와 연결된 단말, 장치 또는 디바이스에서 수행될 수도 있다.
본 명세서에서 있어서, 단말과 매핑(Mapping) 또는 매칭(Matching)으로 기술된 동작이나 기능 중 일부는, 단말의 식별 정보(Identifying Data)인 단말기의 고유번호나 개인의 식별정보를 매핑 또는 매칭한다는 의미로 해석될 수 있다.
이하 첨부된 도면을 참고하여 본 발명을 상세히 설명하기로 한다.
도 1은 본 발명의 일 실시예에 따른 실시간 최신 악성코드 및 침해 진단 서비스 제공 시스템을 설명하기 위한 도면이다. 도 1을 참조하면, 실시간 최신 악성코드 및 침해 진단 서비스 제공 시스템(1)은, 적어도 하나의 클라이언트 단말(100), 진단 서비스 제공 서버(300), 적어도 하나의 사이버 보안 서버(400)를 포함할 수 있다. 다만, 이러한 도 1의 실시간 최신 악성코드 및 침해 진단 서비스 제공 시스템(1)은, 본 발명의 일 실시예에 불과하므로, 도 1을 통하여 본 발명이 한정 해석되는 것은 아니다.
이때, 도 1의 각 구성요소들은 일반적으로 네트워크(network, 200)를 통해 연결된다. 예를 들어, 도 1에 도시된 바와 같이, 적어도 하나의 클라이언트 단말(100)은 네트워크(200)를 통하여 진단 서비스 제공 서버(300)와 연결될 수 있다. 그리고, 진단 서비스 제공 서버(300)는, 네트워크(200)를 통하여 적어도 하나의 클라이언트 단말(100), 적어도 하나의 사이버 보안 서버(400)와 연결될 수 있다. 또한, 적어도 하나의 사이버 보안 서버(400)는, 네트워크(200)를 통하여 진단 서비스 제공 서버(300)와 연결될 수 있다.
여기서, 네트워크는, 복수의 단말 및 서버들과 같은 각각의 노드 상호 간에 정보 교환이 가능한 연결 구조를 의미하는 것으로, 이러한 네트워크의 일 예에는 RF, 3GPP(3rd Generation Partnership Project) 네트워크, LTE(Long Term Evolution) 네트워크, 5GPP(5rd Generation Partnership Project) 네트워크, WIMAX(World Interoperability for Microwave Access) 네트워크, 인터넷(Internet), LAN(Local Area Network), Wireless LAN(Wireless Local Area Network), WAN(Wide Area Network), PAN(Personal Area Network), 블루투스(Bluetooth) 네트워크, NFC 네트워크, 위성 방송 네트워크, 아날로그 방송 네트워크, DMB(Digital Multimedia Broadcasting) 네트워크 등이 포함되나 이에 한정되지는 않는다.
하기에서, 적어도 하나의 라는 용어는 단수 및 복수를 포함하는 용어로 정의되고, 적어도 하나의 라는 용어가 존재하지 않더라도 각 구성요소가 단수 또는 복수로 존재할 수 있고, 단수 또는 복수를 의미할 수 있음은 자명하다 할 것이다. 또한, 각 구성요소가 단수 또는 복수로 구비되는 것은, 실시예에 따라 변경가능하다 할 것이다.
적어도 하나의 클라이언트 단말(100)은, 실시간 최신 악성코드 및 침해 진단 서비스 관련 웹 페이지, 앱 페이지, 프로그램 또는 애플리케이션을 이용하여 최신 악성코드를 추출하고 침해를 진단하고자 하는 클라이이언트의 단말일 수 있다. 그리고, 적어도 하나의 클라이언트 단말(100)은, 백신 및 네트워크 보안 장비의 기능을 전혀 사용하지 않으면서도 평판 사이트를 이용하여 악성코드를 파악하는 단말일 수 있다. 또한, 적어도 하나의 클라이언트 단말(100)은, 실시간 최신 악성코드 및 침해 진단 서비스 에이전트(Agent)를 설치하고 구동하는 단말일 수 있다. 그리고, 적어도 하나의 클라이언트 단말(100)은, 실시간 IOC(Indicator of Compromise, 침해지표) 규칙과 스캔 결과를 비교함으로써 악성코드를 판별하고 파일의 사이즈를 변경한 것을 파악하며, 실시간으로 신규 생성되는 파일을 알려주는 단말일 수 있다. 또한, 적어도 하나의 클라이언트 단말(100)은, 악의적인 사이버 공격 IP를 검증하고, 악의적인 웹사이트의 URL을 확인하는 단말일 수 있다. 그리고, 적어도 하나의 클라이언트 단말(100)은, IOC와 비교한 악성코드 판별결과 값을 진단 서비스 제공 서버(300)로 전송하여 저장되도록 하는 단말일 수 있다.
여기서, 적어도 하나의 클라이언트 단말(100)은, 네트워크를 통하여 원격지의 서버나 단말에 접속할 수 있는 컴퓨터로 구현될 수 있다. 여기서, 컴퓨터는 예를 들어, 네비게이션, 웹 브라우저(WEB Browser)가 탑재된 노트북, 데스크톱(Desktop), 랩톱(Laptop) 등을 포함할 수 있다. 이때, 적어도 하나의 클라이언트 단말(100)은, 네트워크를 통해 원격지의 서버나 단말에 접속할 수 있는 단말로 구현될 수 있다. 적어도 하나의 클라이언트 단말(100)은, 예를 들어, 휴대성과 이동성이 보장되는 무선 통신 장치로서, 네비게이션, PCS(Personal Communication System), GSM(Global System for Mobile communications), PDC(Personal Digital Cellular), PHS(Personal Handyphone System), PDA(Personal Digital Assistant), IMT(International Mobile Telecommunication)-2000, CDMA(Code Division Multiple Access)-2000, W-CDMA(W-Code Division Multiple Access), Wibro(Wireless Broadband Internet) 단말, 스마트폰(smartphone), 스마트 패드(smartpad), 타블렛 PC(Tablet PC) 등과 같은 모든 종류의 핸드헬드(Handheld) 기반의 무선 통신 장치를 포함할 수 있다.
진단 서비스 제공 서버(300)는, 실시간 최신 악성코드 및 침해 진단 서비스 웹 페이지, 앱 페이지, 프로그램 또는 애플리케이션을 제공하는 서버일 수 있다. 그리고, 진단 서비스 제공 서버(300)는, 클라이언트 단말(100)로 실시간 최신 악성코드 및 침해 진단 에이전트가 설치되도록 하고, 클라이언트 단말(100)에서 실시간으로 IOC 스캔을 실시하도록 하는 서버일 수 있다. 또한, 진단 서비스 제공 서버(300)는, 적어도 하나의 사이버 보안 서버(400)로부터 IOC를 실시간으로 업데이트하는 서버일 수 있다. 이때, 진단 서비스 제공 서버(300)는, 클라이언트 단말(100)에서 IOC 스캔으로 로그를 기록하도록 하고, 기존 실행 결과값과 차이가 발생한 파일, URL, IP를 비교하도록 하며, 그 결과인 리포트를 진단 서비스 제공 서버(300)로 제공하도록 함으로써 로그를 백업 및 리포트를 백업하는 서버일 수 있다. 그리고, 진단 서비스 제공 서버(300)는, 비정상적인 파일을 동적 분석 없이도 외부의 IOC와 비교함으로써 정적으로 악성코드 등을 탐지해내는 서버일 수 있다.
여기서, 진단 서비스 제공 서버(300)는, 네트워크를 통하여 원격지의 서버나 단말에 접속할 수 있는 컴퓨터로 구현될 수 있다. 여기서, 컴퓨터는 예를 들어, 네비게이션, 웹 브라우저(WEB Browser)가 탑재된 노트북, 데스크톱(Desktop), 랩톱(Laptop) 등을 포함할 수 있다.
적어도 하나의 사이버 보안 서버(400)는, 실시간 최신 악성코드 및 침해 진단 서비스 관련 웹 페이지, 앱 페이지, 프로그램 또는 애플리케이션을 진단 서비스 제공 서버(300)에서 제공하도록 IOC를 진단 서비스 제공 서버(300)로 제공하는 서버일 수 있다. 그리고, 적어도 하나의 사이버 보안 서버(400)는, 파이어아이사, 바이러스 토탈사 등의 평판 사이트 서버일 수 있지만, 상술한 회사나 솔루션에 한정되지는 않는다. 그리고, 적어도 하나의 사이버 보안 서버(400)는, IOC를 진단 서비스 제공 서버(300)로 전송할 때 단방향으로 정보가 전송되도록 하는 서버일 수 있다.
여기서, 적어도 하나의 사이버 보안 서버(400)는, 네트워크를 통하여 원격지의 서버나 단말에 접속할 수 있는 컴퓨터로 구현될 수 있다. 여기서, 컴퓨터는 예를 들어, 네비게이션, 웹 브라우저(WEB Browser)가 탑재된 노트북, 데스크톱(Desktop), 랩톱(Laptop) 등을 포함할 수 있다. 이때, 적어도 하나의 사이버 보안 서버(400)는, 네트워크를 통해 원격지의 서버나 단말에 접속할 수 있는 단말로 구현될 수 있다. 적어도 하나의 사이버 보안 서버(400)는, 예를 들어, 휴대성과 이동성이 보장되는 무선 통신 장치로서, 네비게이션, PCS(Personal Communication System), GSM(Global System for Mobile communications), PDC(Personal Digital Cellular), PHS(Personal Handyphone System), PDA(Personal Digital Assistant), IMT(International Mobile Telecommunication)-2000, CDMA(Code Division Multiple Access)-2000, W-CDMA(W-Code Division Multiple Access), Wibro(Wireless Broadband Internet) 단말, 스마트폰(smartphone), 스마트 패드(smartpad), 타블렛 PC(Tablet PC) 등과 같은 모든 종류의 핸드헬드(Handheld) 기반의 무선 통신 장치를 포함할 수 있다.
도 2는 도 1의 시스템에 포함된 진단 서비스 제공 서버를 설명하기 위한 블록 구성도이고, 도 3은 본 발명의 일 실시예에 따른 실시간 최신 악성코드 및 침해 진단 서비스가 구현된 일 실시예를 설명하기 위한 도면이다.
도 2를 참조하면, 진단 서비스 제공 서버(300)는, 업데이트부(310), 스캔부(320), 비교부(330), 수신부(340), 백업부(350) 및 로그부(360)를 포함할 수 있다.
본 발명의 일 실시예에 따른 진단 서비스 제공 서버(300)나 연동되어 동작하는 다른 서버(미도시)가 적어도 하나의 클라이언트 단말(100)로 실시간 최신 악성코드 및 침해 진단 서비스 애플리케이션, 프로그램, 앱 페이지, 웹 페이지 등을 전송하는 경우, 적어도 하나의 클라이언트 단말(100)은, 실시간 최신 악성코드 및 침해 진단 서비스 애플리케이션, 프로그램, 앱 페이지, 웹 페이지 등을 설치하거나 열 수 있다. 또한, 웹 브라우저에서 실행되는 스크립트를 이용하여 서비스 프로그램이 적어도 하나의 클라이언트 단말(100)에서 구동될 수도 있다. 여기서, 웹 브라우저는 웹(WWW: world wide web) 서비스를 이용할 수 있게 하는 프로그램으로 HTML(hyper text mark-up language)로 서술된 하이퍼 텍스트를 받아서 보여주는 프로그램을 의미하며, 예를 들어 넷스케이프(Netscape), 익스플로러(Explorer), 크롬(chrome) 등을 포함한다. 또한, 애플리케이션은 단말 상의 응용 프로그램(application)을 의미하며, 예를 들어, 모바일 단말(스마트폰)에서 실행되는 앱(app)을 포함한다.
도 2를 참조하면, 업데이트부(310)는, 적어도 하나의 사이버 보안 서버(400)로부터 IOC(Indicator of Compromise)를 실시간으로 업데이트받을 수 있다. 이때, 적어도 하나의 사이버 보안 서버(400)로부터 진단 서비스 제공 서버(300)로의 IOC 업데이트는 단방향 정보수신으로 이루어질 수 있다. 그리고, IOC는 악성코드를 판단하기 위한 침해지표이다. 이때, 악성코드(Malware, 악성 소프트웨어)는 컴퓨터 바이러스, 웜, 스파이웨어, 트로이 목마 등 컴퓨터 사용자에게 해를 끼치는 모든 코드(Code)의 총칭을 말한다. 이와 같은 분류 이외에도 다양한 분류가 있을 수 있지만 악성코드의 초창기부터 현재까지 살아남은 분류는 상술한 바와 같거나 넓을 수 있다. 다만, 최근의 악성코드는 필요에 따라 복합적으로 작동하기 때문에 위의 형식으로 구분하기 힘든 경우도 있다.
기존의 백신업체는 공유된 악성코드와 취약점 정보를 자체 분석해 특징을 추출하고 백신진단제품을 업데이트하는데 사용한다. 보안관제업체와 포털업체는 공유된 악성URL과 IP 정보를 자사 보안정책에 적용해 유해 트래픽을 차단하는 데 이용하는데, 기존 경계선 방어 방식과 방화벽, IPS, 백신 등 특정 보안 솔루션을 맹신하는 것은 경계할 필요가 있다. 즉, 완벽한 보안을 구현하는 것은 사실상 어렵기 때문이다. 이러한 보안 위험을 감소시키는 방안으로 보안 전문가들은 예방 탐지, 감내 라는 Defense in Depth 방식을 제안하고 있고, 기존의 보안 대응 방식은 악성코드의 정보에 기반을 두어 탐지하는 방식으로 방화벽, IPS, 백신 등에서 주로 사용하는 시그니처(또는 IOC) 대응방식인데, 이 방식은 악성코드에 대해 검출 정보(시그니처 또는 IOC)가 있어야만 탐지가 가능하기 때문에 시그니처가 솔루션에 적용될 때까지는 대응이 불가능하다는 한계가 있다. 이에 따라, 본 발명의 일 실시예는, 악성코드는 매번 달라져도 대응할 수 있도록 하고, 최근의 공격이 PC만이 아닌 IP 카메라나 복사기 등도 대상으로 하므로 다양한 단말에서 보호가 이루어질 수 있도록 하며, 악성 행위가 발생하더라도 조기에 식별할 수 있도록 파이어아이사 또는 바이러스토탈사의 IOC를 실시간으로 업데이트함으로써 조기에 다양한 단말에 가해지는 공격을 막을 수 있도록 한다.
한편, 악성코드의 분석 방법은 크게 코드 정적 분석(Static code analysis)과 코드 동적 분석(Dynamic code analysis) 두 종류로 나눌 수 있다. 코드 정적 분석의 경우는 프로그램을 디스어셈블하는 디버깅프로그램 들을 이용하는 방법으로 Immunity Debugger, 올리디버거, IDA 프로, GDB 등의 프로그램을 사용한다. 위의 프로그램들을 사용하여 디스어셈블된 프로그램의 코드를 실행시키지 않고 분석하는 기법이다. 코드 동적 분석(Dynamic code analysis)의 경우는 런타임 디버깅기법을 이용하여 통제된 상황 하에서 악성코드를 직접 실행시키며 이후에 발생하는 변화들을 분석하는 형태로 이루어진다. 런타임 디버거로는 앞서 언급한 Immunity Debugger, 올리 디버거 등이 있으며 프로그램의 프로세스에 붙어서 제어하는 역할을 한다. 통제된 상황에서 변화를 살펴보는 툴로는 파일의 입출력을 감시하는 Filemon, 레지스트리 정보 변화를 감시하는 Regmon, TCP/UDP 통신에 대한 입출력을 감시하는 TDImon, 실행 중인 프로세스의 DLL 정보 등을 감시하는 프로세스 익스플로러 등이 있다. 이때, 본 발명의 일 실시예에 따른 악성코드 탐지방법은 악성코드, IP, URL 등을 정적으로 탐지하는 기술을 이용하지만, 상술한 동적 분석 기법을 배제하는 것은 아니다.
스캔부(320)는, 클라이언트 단말(100)에서 IOC 스캔요청 이벤트가 발생한 경우, 클라이언트 단말(100)을 스캔되도록 할 수 있다. 이때, 스캔부(320)는, 악성코드가 랜섬웨어인 경우에도 스캔을 할 수 있다. 랜섬웨어 감염경로를 확인하는 데 필요한 시스템은 네트워크와 파일에 대한 모니터링이 가능해야 하는데, 해당 시스템이 위치해야 하는 곳은 엔드포인트 시스템 외부에 존재해도 무방하다. 외부에 존재하는 경우 파일에 대한 행위(읽기/쓰기/실행)에 대한 모니터링 및 기록은 제한될 수 있다. 이때, SIEM(Security Information And Event Management)는 IT 보안 환경에서 사후 추적에 매우 유용한 시스템이다. 이 시스템에 다수의 보안 솔루션의 로그를 저장함으로써 사후 보안감사를 수행하고 원인을 규명할 수 있다. 다만, 이 시스템에 수집되는 수만 줄의 로그를 모두 리뷰하는것은 사실상 어렵기 때문에, 본 발며으이 일 실시예는, 랜섬웨어 감염경로를 확인하기 위한 시스템이 구성되면 사용자는 허니팟 시스템 동작을 위해 가짜 파일을 생성할 수 있다. 가짜 파일은 랜섬웨어 공격자가 주로 목표로 하는 파일 타입으로 선정하거나 주로 사용되는 파라미터등을 이용하는 것이 좋다. 업체의 보안 블로그, 웹페이지를 통해 공개되는 주요 랜섬웨어 공격에 대한 IOC 정보를 공유하는 것이 효율적이고, 이미 업데이트부(310)에서 IOC 정보를 실시간으로 업데이트받고 있으므로, 스캔부(320)는, IOC와 인텔리전스 정보를 이용하여 가짜 데이터에 대한 공격 정보를 수집하고, SIEM에 수집된 수만 줄 이상의 로그에서 보안 위협 요소에 대한 확인을 할 수 있다.
이에 따라, 스캔부(320)는, 랜섬웨어 감염 이후, SIEM에 수집된 정보를 사용하여 사후 추적도 할 수 있다. 또한, 스캔부(320)는, 랜섬웨어의 주요 유입경로인 웹과 이메일에 대한 트래픽 기록 그리고 파일에 대한 상관 분석을 통해 랜섬웨어 파일의 감염 경로에 대한 정보 수집이 기능하고, 상관 분석을 통해 사용자가 시간과 로그에 대한 연관성을 분석하는데 필요한 계획과 실행 시간을 단축할 수 있으므로, 위협경로 확인을 통해 랜섬웨어의 유입경로를 확인하고 같은 위협요소를 효과적으로 제거할 수 있다.
비교부(330)는, 클라이언트 단말(100)에서 스캔한 결과 데이터와 실시간으로 업데이트된 IOC를 비교할 수 있다. 그리고, 클라이언트 단말(100)은 비교 결과를 포함한 리포트를 출력할 수 있다. 이때, 클라이언트 단말(100)은 기존의 실행결과 값과 차이가 발생된 파일, URL, IP를 비교할 수 있다. 여기서, 악성코드를 점검하는 시스템 스캔 범위는 이하 표 1과 같으나 이에 한정되지는 않는다.
Category Contents
Account settings Check administrator / user account privilege management policy
File permissions Check whether to abuse system / important
files
Service Enable unnecessary service Check part and setting
Application settings Confirm setting of whether to use main
application
Log Management Collect system logs and check access rights Security
management Security patch and Management check
수신부(340)는, 클라이언트 단말(100)로부터 비교 결과를 포함한 리포트를 수신할 수 있다.백업부(350)는, 수신부(340)에서 클라이언트 단말(100)로부터 비교 결과를 포함한 리포트를 수신한 후, 클라이언트 단말(100)의 리포트를 백업할 수 있다.
로그부(360)는, 비교부(330)에서 클라이언트 단말(100)에서 스캔한 결과 데이터와 실시간으로 업데이트된 IOC를 비교하도록 한 후, 클라이언트 단말(100)에서 이전에 실행된 진단 서비스의 실행 결과갑과 차이가 발생한 파일, URL 및 IP를 비교할 수 있고, 스캔 및 비교 로그를 백업할 수 있다. 이때, 클라이언트 단말(100)은 이동 단말 및 고정 단말을 포함할 수 있다.
덧붙여서, 본 발명의 일 실시예는, 시스템 점검 스크립트의 경우 기존 자동화 진단 방식에서 사용되는 Script Convert Data의 활용과 진단 항목이 추가 또는 변경 요청 시 사용가능한 Script Raw Data의 결과 값을 확보하여 점검 분석을 진행하는 것을 더 포함할 수 있다. 즉, 대다수의 숙련된 점검자들은 진단항목 외에 결과 값을 추가로 점검하여 진행하고 있지만 특정 결과 값이 없을 경우 참고용으로 사용되는 경우가 많은데, 본 발명의 일 실시예에 따른 점검 스크립트는 기존 방식에서 Script Raw Data의 결과 값을 최대한 활용할 수 있도록 구성되며, 이후 Vulnerability Management Program을 통해서 결과 데이터를 활용이 가능하도록 구성할 수 있다. 이때, 파일결과정보는 Shell 명령어를 통해 나온 결과 값으로 텍스트파일 형태로 저장될 수 있다. 여기서, Script Raw Data의 결과 값 활용의 경우, 시스템에 설치 또는 구동되는 프로그램의 신규 또는 기존 취약점의 버전 정보 점검으로 취약점 여부를 확인 할 수 있다. CVE(Common Vulnerabilities and Exposures)의 경우 시스템에 구동되는 프로그램 또는 취약한 버전 사용이 많을 경우 취약점 항목은 늘어날 수 있기 때문에, 자동화 진단 방식에서 최대한 많은 정보를 추출하는 것이 중요하며, Script Data의 필요한 요소의 결과 데이터와 Vulnerability Management Program을 활용하여 시스템 취약점 점검의 효율성을 높일 수 있는 것이 중요하다.
따라서, 본 발명의 일 실시예는, Shell Script를 통해 최대한 많은 데이터를 수집하고 담당자 인터뷰 등 수동진단항목을 제외하고 점검자가 효율적으로 진단하도록 할 수 있다. 이때, Vulnerability Management Program은 시스템 취약점 점검 시 시스템의 영향을 최소화 하는 Shell Script를 통해 결과 및 분석을 자동화한 프로그램, 즉, Shell Script를 통해 결과 데이터를 확인하고 결과 및 분석된 데이터를 활용하여 효율적으로 작업을 Shell Script를 이용 서버의 최소 리소스만 사용하여, 서버에영향을 최소화하는 것이 특징이다. Vulnerability Management Program을 이용한 시스템 취약점 진단절차는 기존 방식과 동일하게 진행되나, Vulnerability Management Program을 통해 점검자의 반복 작업 및 오탐 또는 결과 데이터 확인 등 불필요한 시간을 절약하여 효율적으로 진행할 수 있다.
그 다음으로, Vulnerability Management Program은 Shell Script에 의한 텍스트 파일형태의 결과 데이터를 불러와서 원하는 데이터를 처리하도록 구현될 수 있는데, 텍스트 파일 형태의 진단 데이터를 한 번에 확인 가능하여 효율적으로 진행 가능하며 기존 텍스트 결과 데이터에 비해 좀 더 가독성이 높으며 상단 탭으로 여러 시스템의 정보를 간편하게 점검 확인할 수 있도록 구성될 수 있다. 또한, 자동화 처리는 점검자의 반복적인 작업들을 자동화 처리를 통해 효율적인 작업이 가능하도록 텍스트 파일 형태의 점검결과 데이터를 보고서 파일 형태로 결과를 저장하여 점검자의 수작업을 줄이고 효율적인 작업이 될 수 있도록 구동될 수 있다. 텍스트 파일 형태의 결과 데이터의 내용은 파싱(parsing)되어 보고서 형태로 변환될 수 있다. 점검자는 인터뷰 등 수동점검 항목에 대해서 수정작업을 진행하면 되기 때문에 기존 대비 점검의 효율성을 높일 수 있다. 물론, 상술한 실시예에 한정되지 않고 구현예에 따라 다양한 실시예가 적용될 수 있음은 자명하다 할 것이다.
이하, 상술한 도 2의 진단 서비스 제공 서버의 구성에 따른 동작 과정을 도 3을 예로 들어 상세히 설명하기로 한다. 다만, 실시예는 본 발명의 다양한 실시예 중 어느 하나일 뿐, 이에 한정되지 않음은 자명하다 할 것이다.
도 3을 참조하면, 본 발명의 일 실시예에 따른 진단 서비스는, 비정상적인 파일을 동적분석 없이 외부의 침해지표인 IOC와 비교하여 악성코드 및 IP, URL을 정적으로 탐지해 내는 솔루션으로, 백신 및 네트워크 보안장비의 기능을 전혀 사용하지 않고 동적인 악성코드 분석이 없어도 최근 매우 빠른 악성코드 판별하는 평판 사이트를 이용하여 개인 PC 및 서버의 악성코드를 확인할 수 있도록 구성된다.
이를 위하여, 본 발명의 일 실시예에 따른 진단 서비스는, 클라이언트 단말(100) 및 진단 서비스 제공 서버(300)에 저장된 파일 중에 실시간 해쉬값이 변경된 파일을 알려주고, 어떤 파일의 해쉬값을 침해지표 데이터베이스의 해쉬값과 비교하여 악성코드 판별하며, 파일의 사이즈 변경된 것을 알려주며, 실시간으로 신규 생성되는 파일을 알림 및 정상파일로 확인시 승인조치를 수행하고, 악의적인 사이버공격 IP를 검증하고, 악의적인 웹 사이트 URL 검증하도록 구성될 수 있다. 부가적으로, 본 발명의 일 실시예에 따른 진단 서비스는, 클라이언트 단말(100)에 설치된 에이전트는 IOC(침해지표)와 비교한 컴퓨터 내의 악성코드 판별결과 값을 진단 서비스 제공 서버(300)로 전송함으로써, 진단 서비스 제공 서버(300)에 비교값이 저장되도록 하고, 클라이언트 단말(100)에서도 마찬가지로 결과값을 저장 및 열람할 수 있도록 함으로써, 이후의 스캔 및 점검에서 이용할 수 있도록 한다.
이와 같은 도 2 및 도 3의 실시간 최신 악성코드 및 침해 진단 서비스 제공 방법에 대해서 설명되지 아니한 사항은 앞서 도 1을 통해 실시간 최신 악성코드 및 침해 진단 서비스 제공 방법에 대하여 설명된 내용과 동일하거나 설명된 내용으로부터 용이하게 유추 가능하므로 이하 설명을 생략하도록 한다.
도 4는 본 발명의 일 실시예에 따른 도 1의 실시간 최신 악성코드 및 침해 진단 서비스 제공 시스템에 포함된 각 구성들 상호 간에 데이터가 송수신되는 과정을 나타낸 도면이다. 이하, 도 4를 통해 각 구성들 상호간에 데이터가 송수신되는 과정의 일 예를 설명할 것이나, 이와 같은 실시예로 본원이 한정 해석되는 것은 아니며, 앞서 설명한 다양한 실시예들에 따라 도 4에 도시된 데이터가 송수신되는 과정이 변경될 수 있음은 기술분야에 속하는 당업자에게 자명하다.
도 4를 참조하면, 진단 서비스 제공 서버는, 적어도 하나의 사이버 보안 서버로부터 IOC(Indicator of Compromise)를 실시간으로 업데이트받는다(S4100).,
그리고, 진단 서비스 제공 서버는, 클라이언트 단말에서 IOC 스캔요청 이벤트가 발생한 경우, 클라이언트 단말을 스캔되도록 하고(S4200), 클라이언트 단말에서 스캔한 결과 데이터와 실시간으로 업데이트된 IOC를 비교하도록 한다(S4300). 또한, 진단 서비스 제공 서버는, 클라이언트 단말로부터 비교 결과를 포함한 리포트를 수신한다(S4400).
상술한 단계들(S4100~S4400)간의 순서는 예시일 뿐, 이에 한정되지 않는다. 즉, 상술한 단계들(S4100~S4400)간의 순서는 상호 변동될 수 있으며, 이중 일부 단계들은 동시에 실행되거나 삭제될 수도 있다.
이와 같은 도 4의 실시간 최신 악성코드 및 침해 진단 서비스 제공 방법에 대해서 설명되지 아니한 사항은 앞서 도 1 내지 도 3을 통해 실시간 최신 악성코드 및 침해 진단 서비스 제공 방법에 대하여 설명된 내용과 동일하거나 설명된 내용으로부터 용이하게 유추 가능하므로 이하 설명을 생략하도록 한다.
도 4를 통해 설명된 일 실시예에 따른 실시간 최신 악성코드 및 침해 진단 서비스 제공 방법은, 컴퓨터에 의해 실행되는 애플리케이션이나 프로그램 모듈과 같은 컴퓨터에 의해 실행가능한 명령어를 포함하는 기록 매체의 형태로도 구현될 수 있다. 컴퓨터 판독 가능 매체는 컴퓨터에 의해 액세스될 수 있는 임의의 가용 매체일 수 있고, 휘발성 및 비휘발성 매체, 분리형 및 비분리형 매체를 모두 포함한다. 또한, 컴퓨터 판독가능 매체는 컴퓨터 저장 매체를 모두 포함할 수 있다. 컴퓨터 저장 매체는 컴퓨터 판독가능 명령어, 데이터 구조, 프로그램 모듈 또는 기타 데이터와 같은 정보의 저장을 위한 임의의 방법 또는 기술로 구현된 휘발성 및 비휘발성, 분리형 및 비분리형 매체를 모두 포함한다.
전술한 본 발명의 일 실시예에 따른 실시간 최신 악성코드 및 침해 진단 서비스 제공 방법은, 단말기에 기본적으로 설치된 애플리케이션(이는 단말기에 기본적으로 탑재된 플랫폼이나 운영체제 등에 포함된 프로그램을 포함할 수 있음)에 의해 실행될 수 있고, 사용자가 애플리케이션 스토어 서버, 애플리케이션 또는 해당 서비스와 관련된 웹 서버 등의 애플리케이션 제공 서버를 통해 마스터 단말기에 직접 설치한 애플리케이션(즉, 프로그램)에 의해 실행될 수도 있다. 이러한 의미에서, 전술한 본 발명의 일 실시예에 따른 실시간 최신 악성코드 및 침해 진단 서비스 제공 방법은 단말기에 기본적으로 설치되거나 사용자에 의해 직접 설치된 애플리케이션(즉, 프로그램)으로 구현되고 단말기에 등의 컴퓨터로 읽을 수 있는 기록매체에 기록될 수 있다.
전술한 본 발명의 설명은 예시를 위한 것이며, 본 발명이 속하는 기술분야의 통상의 지식을 가진 자는 본 발명의 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 쉽게 변형이 가능하다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해해야만 한다. 예를 들어, 단일형으로 설명되어 있는 각 구성 요소는 분산되어 실시될 수도 있으며, 마찬가지로 분산된 것으로 설명되어 있는 구성 요소들도 결합된 형태로 실시될 수 있다.
본 발명의 범위는 상기 상세한 설명보다는 후술하는 특허청구범위에 의하여 나타내어지며, 특허청구범위의 의미 및 범위 그리고 그 균등 개념으로부터 도출되는 모든 변경 또는 변형된 형태가 본 발명의 범위에 포함되는 것으로 해석되어야 한다.

Claims (6)

  1. 진단 서비스 제공 서버에서 실행되는 진단 서비스 제공 방법에 있어서,
    적어도 하나의 외부 사이버 보안 서버로부터 IOC(Indicator of Compromise)를 실시간으로 업데이트받는 단계;
    클라이언트 단말에서 IOC 스캔요청 이벤트가 발생한 경우, 상기 클라이언트 단말이 스캔되도록 하는 단계;
    상기 클라이언트 단말에서 상기 스캔한 결과 데이터와 상기 실시간으로 업데이트된 IOC를 비교하여 동적 분석 없이 정적 분석으로 비교 결과를 생성하는 단계;
    상기 클라이언트 단말로부터 상기 비교 결과를 포함한 리포트를 수신하는 단계;
    상기 클라이언트 단말의 리포트를 백업하는 단계; 및
    상기 클라이언트 단말 및 상기 진단 서비스 제공 서버에 저장된 파일 중에 실시간 해쉬값이 변경된 파일을 비교하여 악성코드를 판별하는 단계를 포함하고,
    상기 IOC는 상기 적어도 하나의 외부 사이버 보안 서버로부터 단방향으로 업데이트되는
    실시간 최신 악성코드 및 침해 진단 서비스 제공 방법.
  2. 삭제
  3. 제 1 항에 있어서,
    상기 클라이언트 단말은 이동 단말 및 고정 단말을 포함하는 것인, 실시간 최신 악성코드 및 침해 진단 서비스 제공 방법.
  4. 삭제
  5. 제 1 항에 있어서,
    상기 클라이언트 단말에서 상기 스캔한 결과 데이터와 상기 실시간으로 업데이트된 IOC를 비교하도록 하는 단계 이후에,
    상기 클라이언트 단말에서 이전에 실행된 진단 서비스의 실행 결과갑과 차이가 발생한 파일, URL 및 IP를 비교하는 단계;
    상기 스캔 및 비교 로그를 백업하는 단계;
    를 더 포함하는 것인, 실시간 최신 악성코드 및 침해 진단 서비스 제공 방법.
  6. 제 1 항에 있어서,
    상기 클라이언트 단말은 상기 비교 결과를 포함한 리포트를 출력하는 것인, 실시간 최신 악성코드 및 침해 진단 서비스 제공 방법.
KR1020180100048A 2018-08-27 2018-08-27 실시간 최신 악성코드 및 침해 진단 서비스 제공 방법 KR101968633B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020180100048A KR101968633B1 (ko) 2018-08-27 2018-08-27 실시간 최신 악성코드 및 침해 진단 서비스 제공 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020180100048A KR101968633B1 (ko) 2018-08-27 2018-08-27 실시간 최신 악성코드 및 침해 진단 서비스 제공 방법

Publications (1)

Publication Number Publication Date
KR101968633B1 true KR101968633B1 (ko) 2019-04-12

Family

ID=66167723

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020180100048A KR101968633B1 (ko) 2018-08-27 2018-08-27 실시간 최신 악성코드 및 침해 진단 서비스 제공 방법

Country Status (1)

Country Link
KR (1) KR101968633B1 (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102259760B1 (ko) * 2020-11-09 2021-06-02 여동균 화이트 리스트 기반 비정상 프로세스 분석 서비스 제공 시스템
WO2021112494A1 (ko) * 2019-12-02 2021-06-10 주식회사 파고네트웍스 엔드포인트에 기반한 관리형 탐지 및 대응 시스템과 방법

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20100116393A (ko) * 2009-04-22 2010-11-01 주식회사 안철수연구소 네트워크 기반 악성 코드 진단 방법 및 진단 서버
KR20110008854A (ko) * 2009-07-21 2011-01-27 (주) 세인트 시큐리티 악성 코드 탐지 방법, 시스템 및 컴퓨터 판독 가능한 저장매체
KR20110088042A (ko) * 2010-01-28 2011-08-03 주식회사 안철수연구소 악성 코드 자동 판별 장치 및 방법
KR20120063067A (ko) * 2010-12-07 2012-06-15 주식회사 안랩 악성코드 치료 장치 및 방법
KR20120073018A (ko) * 2010-12-24 2012-07-04 한국인터넷진흥원 악성 코드 탐지를 위한 시스템 및 방법
KR101880686B1 (ko) * 2018-02-28 2018-07-20 에스지에이솔루션즈 주식회사 Ai 딥러닝 기반의 악성코드 탐지 시스템

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20100116393A (ko) * 2009-04-22 2010-11-01 주식회사 안철수연구소 네트워크 기반 악성 코드 진단 방법 및 진단 서버
KR20110008854A (ko) * 2009-07-21 2011-01-27 (주) 세인트 시큐리티 악성 코드 탐지 방법, 시스템 및 컴퓨터 판독 가능한 저장매체
KR20110088042A (ko) * 2010-01-28 2011-08-03 주식회사 안철수연구소 악성 코드 자동 판별 장치 및 방법
KR20120063067A (ko) * 2010-12-07 2012-06-15 주식회사 안랩 악성코드 치료 장치 및 방법
KR20120073018A (ko) * 2010-12-24 2012-07-04 한국인터넷진흥원 악성 코드 탐지를 위한 시스템 및 방법
KR101880686B1 (ko) * 2018-02-28 2018-07-20 에스지에이솔루션즈 주식회사 Ai 딥러닝 기반의 악성코드 탐지 시스템

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2021112494A1 (ko) * 2019-12-02 2021-06-10 주식회사 파고네트웍스 엔드포인트에 기반한 관리형 탐지 및 대응 시스템과 방법
KR102259760B1 (ko) * 2020-11-09 2021-06-02 여동균 화이트 리스트 기반 비정상 프로세스 분석 서비스 제공 시스템

Similar Documents

Publication Publication Date Title
US11785040B2 (en) Systems and methods for cyber security alert triage
US11463458B2 (en) Protecting against and learning attack vectors on web artifacts
EP3360071B1 (en) Method and system for identification of security vulnerabilities
US9832213B2 (en) System and method for network intrusion detection of covert channels based on off-line network traffic
Lee et al. CloudRPS: a cloud analysis based enhanced ransomware prevention system
US9838419B1 (en) Detection and remediation of watering hole attacks directed against an enterprise
RU2622870C2 (ru) Система и способ оценки опасности веб-сайтов
Shah et al. An overview of vulnerability assessment and penetration testing techniques
Seo et al. Detecting mobile malware threats to homeland security through static analysis
US10601848B1 (en) Cyber-security system and method for weak indicator detection and correlation to generate strong indicators
Tien et al. KubAnomaly: Anomaly detection for the Docker orchestration platform with neural network approaches
US10009370B1 (en) Detection and remediation of potentially malicious files
WO2019133453A1 (en) Platform and method for retroactive reclassification employing a cybersecurity-based global data store
US20130167236A1 (en) Method and system for automatically generating virus descriptions
Liu et al. MR-Droid: A scalable and prioritized analysis of inter-app communication risks
CN105491053A (zh) 一种Web恶意代码检测方法及系统
EP2946327A1 (en) Systems and methods for identifying and reporting application and file vulnerabilities
CN101656710A (zh) 主动审计系统及方法
Riadi et al. Vulnerability analysis of E-voting application using open web application security project (OWASP) framework
KR101968633B1 (ko) 실시간 최신 악성코드 및 침해 진단 서비스 제공 방법
Ревнюк et al. The improvement of web-application SDL process to prevent Insecure Design vulnerabilities
Zhang et al. Malicious Package Detection in NPM and PyPI using a Single Model of Malicious Behavior Sequence
Jang et al. Function‐Oriented Mobile Malware Analysis as First Aid
Priyadarshini et al. A cross platform intrusion detection system using inter server communication technique
Chen et al. Detecting mobile application malicious behaviors based on data flow of source code

Legal Events

Date Code Title Description
AMND Amendment
E601 Decision to refuse application
AMND Amendment
X701 Decision to grant (after re-examination)
GRNT Written decision to grant