KR101983997B1 - 악성코드 검출시스템 및 검출방법 - Google Patents

악성코드 검출시스템 및 검출방법 Download PDF

Info

Publication number
KR101983997B1
KR101983997B1 KR1020180008052A KR20180008052A KR101983997B1 KR 101983997 B1 KR101983997 B1 KR 101983997B1 KR 1020180008052 A KR1020180008052 A KR 1020180008052A KR 20180008052 A KR20180008052 A KR 20180008052A KR 101983997 B1 KR101983997 B1 KR 101983997B1
Authority
KR
South Korea
Prior art keywords
program
malicious code
information
forensic server
terminal computer
Prior art date
Application number
KR1020180008052A
Other languages
English (en)
Inventor
원유재
정상문
Original Assignee
충남대학교산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 충남대학교산학협력단 filed Critical 충남대학교산학협력단
Priority to KR1020180008052A priority Critical patent/KR101983997B1/ko
Application granted granted Critical
Publication of KR101983997B1 publication Critical patent/KR101983997B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer And Data Communications (AREA)

Abstract

본 발명에 의한 악성코드 검출방법은, 다수의 단말 컴퓨터 및 포렌식 서버를 포함하는 악성코드 검출시스템을 이용한 악성코드 검출방법으로서, 단말 컴퓨터는, 블랙리스트 및 화이트리스트를 이용하여 악성코드 1차 탐지를 진행하는 제1 단계; 상기 단말 컴퓨터는, 제1 단계의 악성코드 탐지 결과, 악성코드 1차 탐지결과 판단이 어려운 프로그램을 발견한 경우 그 프로그램의 동작을 중지시킨 후 그 프로그램의 사본과 아티팩트 정보를 포렌식 서버로 전송하는 제2 단계; 상기 포렌식 서버는 전송받은 프로그램의 사본과 아티팩트 정보를 분석하여 악성코드 여부를 판단하는 제3 단계; 상기 단말 컴퓨터가 포렌식 서버로부터 상기 프로그램이 악성코드가 아니라는 판단 정보를 전송받으면 그 프로그램의 동작을 재개하고, 상기 프로그램이 악성코드라는 판단 정보를 전송받으면 그 프로그램을 삭제 또는 격리하는 제4 단계;를 포함하는 것을 특징으로 한다.

Description

악성코드 검출시스템 및 검출방법{SYSTEM AND METHOD FOR DETECTING MALIGNANT CODE}
본 발명은 악성코드 검출시스템 및 검출방법에 관한 것으로, 보다 상세하게는 포렌식 서버를 이용하여 단말 컴퓨터의 악성코드를 검출하는 악성코드 검출시스템 및 검출방법에 관한 것이다.
악성코드(MALIGNANT CODE)는 바이러스, 웜, 스파이웨어, 트로이 목마 등 컴퓨터 사용자에게 해를 끼치는 모든 코드를 말한다.
이러한 악성코드는 인터넷을 통해 전파되는 경우가 많다.
특히 특정한 단체의 컴퓨터 시스템은 다수의 엔드포인트(EndPoint)를 포함하는데, 하나의 엔드포인트라도 전파되면 컴퓨터 시스템 전체가 감염될 수 있기 때문에 엔드포인트 보안을 위한 각종 기술이 발달하고 있다.
기존의 엔드포인트 보안은 침입방지시스템, 방화벽, 백신 등을 통해서 이루어졌다. 이러한 보안장비 또는 솔루션에서는 주로 콘텐츠 기반의 분석기법의 적용되는데, 콘텐츠 기반 분석기법에는 시그니처 기반, 평판 기반, 샌드박스 행위 기반 등이 있다.
하지만 전적으로 패턴에 의존하는 콘텐츠 기반 또는 평판 기반의 분석기법은 특정 시나리오를 가지고 치밀하게 작동하는 신종 악성코드의 공격을 방어하지 못하는 경우가 많다. 또한 가상머신 환경에서 수행되는 샌드박스 분석기법 역시 가상머신 환경에서는 자신을 드러내지 않고 잠복하는 악성코드를 잡아내기 힘들다.
따라서 콘텐츠 기반이 아닌 차세대 악성코드 탐지 및 조기 대응 기법이 필요하다.
이러한 악성코드 검출은 엔드포인트(단말 컴퓨터)에서의 탐지 만으로는 힘들기 때문에 악성코드 검출을 위한 서버를 두고 이 서버에서 악성코드를 검출하도록 하는 기술이 제안되어 있다.
특허문헌 1은 그러한 예이다.
특허문헌 1은 네트워크 기반의 악성코드 탐지 시스템 및 탐지 방법에 관한 것이다. 상기 악성코드 탐지 시스템은 서버로부터 클라이언트에 최대 전송 단위(MTU)에 따라 전송되는 응답 패킷들 중 제1응답 패킷을 수집하는 패킷 수집부와 상기 패킷 수집부로부터 수집된 상기 제1응답 패킷의 페이로드에 PE 구조의 매직 넘버가 존재하는지에 따라 상기 제1응답 패킷의 정상 파일 여부를 판단하는 실행구조 확인부와 상기 실행구조 확인부에 의해 상기 제1응답 패킷이 정상 파일로 판단되지 않은 경우에, 상기 제1응답 패킷에 대한 콘텐츠 타입 헤더 값에 실행 파일 타입이 포함되어 있는지를 확인하여 상기 제1응답 패킷의 악성코드 여부를 판단하는 콘텐츠 타입 확인부 및 상기 콘텐츠 타입 확인부에 의해 상기 제1응답 패킷이 악성코드로 판단되는 경우, 상기 제1응답 패킷에 대한 악성코드 탐지 이벤트를 생성하여 상기 클라이언트에게 알람하는 이벤트 발생부를 포함한다.
그러나 상기 특허문헌 1의 방법으로 악성 코드를 검출할 경우에도 치밀하게 작동하는 신종 악성코드의 공격을 방어하지 못하는 경우가 많다.
한국 등록특허공보 10-1390475 B1 (등록일: 2014.04.23.)
본 발명이 해결하고자는 하는 과제는, 악성코드의 공격을 효과적으로 막을 수 있는 악성코드 검출시스템 및 검출방법을 제공하는 것이다.
본 발명에 의한 악성코드 검출시스템은, 다수의 단말 컴퓨터 및 포렌식 서버를 포함하는 악성코드 검출시스템으로서, 단말 컴퓨터는, 블랙리스트 및 화이트리스트를 이용하여 악성코드 1차 탐지를 진행하고, 악성코드 1차 탐지결과 판단이 어려운 프로그램을 발견한 경우 그 프로그램의 동작을 중지시킨 후 그 프로그램의 사본과 아티팩트 정보를 포렌식 서버로 전송하고, 상기 단말 컴퓨터는, 포렌식 서버로부터 상기 프로그램이 악성코드가 아니라는 판단 정보를 전송받으면 그 프로그램의 동작을 재개하고, 상기 프로그램이 악성코드라는 판단 정보를 전송받으면 그 프로그램을 삭제 또는 격리하고, 상기 포렌식 서버는 전송받은 프로그램의 사본과 아티팩트 정보를 분석하여 악성코드 여부를 판단하여 단말 컴퓨터로 전송하는 것을 특징으로 한다.
상기 아티팩트 정보는 네트워크 정보, 파일시스템 정보, 메모리 정보, 프로세스 정보, 레지스트리 정보를 포함할 수 있다.
본 발명에 의한 악성코드 검출방법은, 다수의 단말 컴퓨터 및 포렌식 서버를 포함하는 악성코드 검출시스템을 이용한 악성코드 검출방법으로서, 단말 컴퓨터는, 블랙리스트 및 화이트리스트를 이용하여 악성코드 1차 탐지를 진행하는 제1 단계; 상기 단말 컴퓨터는, 제1 단계의 악성코드 탐지 결과, 악성코드 1차 탐지결과 판단이 어려운 프로그램을 발견한 경우 그 프로그램의 동작을 중지시킨 후 그 프로그램의 사본과 아티팩트 정보를 포렌식 서버로 전송하는 제2 단계; 상기 포렌식 서버는 전송받은 프로그램의 사본과 아티팩트 정보를 분석하여 악성코드 여부를 판단하는 제3 단계; 상기 단말 컴퓨터가 포렌식 서버로부터 상기 프로그램이 악성코드가 아니라는 판단 정보를 전송받으면 그 프로그램의 동작을 재개하고, 상기 프로그램이 악성코드라는 판단 정보를 전송받으면 그 프로그램을 삭제 또는 격리하는 제4 단계;를 포함하는 것을 특징으로 한다.
상기 제3 단계는, 난독화된 프로세스 이름이 있는지를 검색하는 제3-1 단계; 난독화된 프로세스 이름을 갖는 프로세스의 자식 프로세스들을 검색하는 제3-2 단계; 상기 자식 프로세스들 중 악성행위 위험성이 높은 프로세스가 존재하면 그 프로세스를 유발한 프로그램을 악성코드로 판단하는 제3-3 단계;를 포함할 수 있다.
본 발명에 의한 악성코드 검출시스템 및 검출방법은, 악성코드의 공격을 효과적으로 막을 수 있다.
도 1은 본 발명에 의한 악성코드 검출시스템 구성도의 예
도 2는 본 발명에 의한 악성코드 검출방법의 예
도 3은 도 2의 방법의 제3 단계의 구체적인 예
도 4는 프로세스 리스트의 예
도 5는 프로세스 트리의 예
본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 상세하게 설명하고자 한다. 그러나 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변환, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다. 본 발명을 설명함에 있어서 관련된 공지 기술에 대한 구체적인 설명이 본 발명의 요지를 흐릴 수 있다고 판단되는 경우 그 상세한 설명을 생략한다.
본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다.
도 1은 본 발명에 의한 악성코드 검출시스템 구성도의 예이다.
도 1의 악성코드 검출시스템은 단말 컴퓨터 1, 단말 컴퓨터 2, 포렌식 서버를 포함한다. 단말 컴퓨터 1과 단말 컴퓨터 2는 포렌식 서버와 통신 연결이 되어 있어서, 포렌식 서버와 통신 연결이 가능하다.
도 1에는 단말 컴퓨터가 2개만 표시되어 있지만, 3개 또는 그 이상의 단말 컴퓨터가 포렌식 서버와 통신 연결이 될 수 있다. 즉 본 발명에 의한 악성코드 검출시스템은 다수의 단말 컴퓨터와 포렌식 서버를 포함하고, 다수의 단말 컴퓨터는 포렌식 서버와 통신 연결이 되어 있다.
단말 컴퓨터는 외부의 인터넷과 연결되어 있거나 사용자의 외장 메모리 장치를 이용하여 특정한 프로그램을 복사하여 설치하고 구동할 수 있다.
본 발명의 단말 컴퓨터는 특정한 프로그램을 복사하고 설치할 때, 블랙리스트 및 화이크리스트를 이용하여 악성코드 1차 탐지를 진행한다.
블랙리스트(Blacklist)는 악성코드라고 판단되는 프로그램(코드)의 리스트이고, 화이트리스트(Whitelist)는 악성코드가 아니라고 판단되는 프로그램(코드)의 리스트이다. 단말 컴퓨터는, 상기 특정한 프로그램이 블랙리스트에 포함되어 있으면 그 프로그램이 악성코드라고 판단하여 그 프로그램을 삭제하거나 격리하고, 상기 특정한 프로그램이 화이트 리스트에 포함되어 있으면, 그 프로그램을 정상적으로 설치한 후 실행한다.
만일 상기 특정한 프로그램에 블랙리스트에도 없고 화이트리스트에도 없다면, 그 프로그램의 동작을 정지시키고 그레이리스트(Greylist)로 분류한 후 그 특정한 프로그램을 포렌식 서버로 전송하여 악성코드 여부를 판단하도록 한다.
컴퓨터 포렌식(Computer Forensics)이란, 전자적 증거물 등을 사법기관에 제출하기 위해 데이터를 수집, 분석, 보고서를 작성하는 일련의 작업을 말한다. 컴퓨터 포렌식은 사이버 해킹 공격, 사이버 범죄시 범죄자들은 컴퓨터, 이메일, IT 기기, 스마트폰 등의 운영체제, 애플리케이션, 메모리 등에 다양한 전자적 증거를 남기게 되면서, 사이버 범죄자 추적 및 조사에 핵심적인 요소가 되고 있다.
본 발명에서의 포렌식 서버란 특정한 프로그램이 악성코드인지 여부를 판단하기 위한 모든 전자적 정보를 수신받은 후 악성코드 여부를 판단하는 서버를 말한다.
본 발명에서 아티팩트(Artifact)는 포렌식을 거쳐서 생성된 데이터를 의미하는데, 포렌식 서버에 전송되는 정보 중 프로그램 사본을 제외한 부분을 의미한다.
본 발명에서 아티팩트 정보는 네트워크 정보, 파일시스템 정보, 메모리 정보, 프로세스 정보, 레지스트리 정보를 포함한다.
종래에는 아티팩트 정보를 추출할 때, 단말 컴퓨터의 전원을 차단하고 하드 디스크의 증거 보존을 목적으로 하는 경우가 많았다. 그러나 기업환경에서 다수의 장비들은 계속하여 작동하여야 하므로 단말 컴퓨터의 전원이 켜 있는 상태에서 아티팩트 정보를 추출할 수 있어야 한다. 본 발명에서는 단말 컴퓨터를 꺼지 않고 아티팩트 정보를 추출하고 활성메모리(램)에 있는 정보도 추출할 수 있다. 또한 원격에 있는 포렌식 서버에서 통신선을 통해 정보를 전송받으므로 최대한 빠르게 조기 대응을 할 수 있다.
단말 컴퓨터는 상기 특정 프로그램의 네트워크 정보, 파일시스템 정보, 메모리 정보, 프로세스 정보, 레지스트리 정보 등을 분석하여 상기 네트워크 정보, 파일시스템 정보, 메모리 정보, 프로세스 정보, 레지스트리 정보 등에서 특징을 추출하여 상기 특정 프로그램의 사본과 특징을 포렌식 서버로 전송한다. 포렌식 서버는 상기 특정 프로그램 사본과 상기 특징을 분석하여 악성코드 분석에 필요한 아티팩트를 단말 컴퓨터에 요청한다. 만일 외부 네트워크에 관련된 특징값을 확인하면 네트워크 아티팩트 정보를 요청하고 시스템 관련 특징값을 확인하면 프로세스 아티팩트 정보 및 메모리 아티팩트 정보를 요청한다. 단말 컴퓨터는 포렌식 서버가 요청한 아티팩트 정보를 전송한다.
포렌식 서버는 전송받은 프로그램 사본과 아티팩트 정보를 이용하여 악성코드 여부를 판단하는데, 이를 악성코드 2차 탐지라고 부를 수 있다. 즉 포렌식 서버는 전송받은 프로그램 사본과 아티팩트 정보를 이용하여 악성코드 2차 탐지를 진행한다.
악성코드 2차 탐지에서는 CPU사용량, 하위 트리의 프로세스 구동관계, DLL 정보 등을 종합적으로 분석하여 악성행위의 행위에 초점을 맞춘 위험도를 판단하고 그 위험도가 설정된 임계치를 초과할 경우에 악성코드로 판단한다.
따라서 본 발명에 의한 악성코드 탐지방법의 예는 도 2와 같다.
도 2는 도 2는 본 발명에 의한 악성코드 검출방법의 예이다.
도 2의 악성코드 검출방법은 다음의 4단계를 포함한다.
(1) 제1 단계(S1): 단말 컴퓨터는, 블랙리스트 및 화이트리스트를 이용하여 악성코드 1차 탐지를 진행하는 단계
(2) 제2 단계(S2): 상기 단말 컴퓨터는, 제1 단계의 악성코드 탐지 결과, 악성코드 1차 탐지결과 판단이 어려운 프로그램을 발견한 경우 그 프로그램의 동작을 중지시킨 후 그 프로그램의 사본과 아티팩트 정보를 포렌식 서버로 전송하는 단계;
(3) 제3 단계(S3): 상기 포렌식 서버는 전송받은 프로그램의 사본과 아티팩트 정보를 분석하여 악성코드 여부를 판단하는 단계
(4) 제4 단계(S4): 상기 단말 컴퓨터가 포렌식 서버로부터 상기 프로그램이 악성코드가 아니라는 판단 정보를 전송받으면 그 프로그램의 동작을 재개하고, 상기 프로그램이 악성코드라는 판단 정보를 전송받으면 그 프로그램을 삭제 또는 격리하는 단계;
상기 제3 단계에서 포렌식 서버가 전송받은 프로그램의 사본과 아티팩트 정보를 분석하여 악성코드 여부를 판단할 때 그 판단방법은 다양한 방법으로 구현될 수 있다.
도 3은 도 2의 방법의 제3 단계의 구체적인 예이다.
도 3의 방법은 다음의 3단계를 포함한다.
(1) 제3-1 단계(S3-1): 난독화된 프로세스 이름이 있는지를 검색하는 단계
(2) 제3-2 단계(S3-2): 난독화된 프로세스 이름을 갖는 프로세스의 자식 프로세스들을 검색하는 단계
(3) 제3-3 단계(S3-3): 상기 자식 프로세스들 중 악성행위 위험성이 높은 프로세스가 존재하면 그 프로세스를 유발한 프로그램을 악성코드로 판단하는 단계
도 3의 방법의 의미를 설명하기 위해 도 4와 도 5의 예를 들어 설명한다.
도 4는 프로세스 리스트의 예이고, 도 5는 프로세스 트리의 예이다.
즉 메모리 덤프(Memory Dump)를 통해 추출한 프로세스 리스트(pslist) 및 프로세스 트리(pstree)의 예이다.
난독화된 프로세스 이름이란 프로세스 이름이 사건에 등록되지 않은 단어로 이루어진 부분이 많이 포함되어 있다는 의미이다.
예를 들어, 도 4에서 System, browser_broker 라는 이름은 사전에 등록된 단어로 이루어진 이름이므로 난독화된 프로세스 이름이 아니다. 그러나 diggodrwsjqb.e 라는 이름은 사전에 나오지 않은 단어로 이루어진 이름이므로 난독화된 프로세스 이름이라고 할 수 있다.
난독화된 프로세스 이름을 가진 프로세스 diggodrwsjqb.e 의 프로세스 아이디(pid)는 500 이고, 부모 프로세스 아이디(ppid)는 4584 이다. 프로세스 아이디(pid) 4584를 가진 프로세스를 찾아보면 존재하지 않으므로, 구동 중인 프로세스가 아니라는 것이 확인된다. 따라서 프로세스 4584는 프로세스 500을 낳고 삭제되었다고 의심된다.
난독화된 프로세스 이름을 가진 프로세스 smss.exe의 프로세스 아이디(pid)는 664 이고, 부모 프로세스 아이디(ppid)는 520 이다. 프로세스 아이디(pid) 520를 가진 프로세스를 찾아보면 존재하지 않으므로, 구동 중인 프로세스가 아니라는 것이 확인된다. 따라서 프로세스 520은 프로세스 664을 낳고 삭제되었다고 의심된다.
이때 상기 프로세스들에 대한 프로세스 트리를 확인할 필요가 있다.
도 5의 프로세스 트리를 보면, 프로세스 4584와 프로세스 500은 추가적인 자식 프로세스가 없지만, 프로세스 664는 프로세스 672(csrss.exe)와 프로세스 716(winlogon.exe)을 자식 프로세스로 포함함을 알 수 있다.
만일 프로세스 672(csrss.exe) 또는 프로세스 716(winlogon.exe)이 악성 행위를 할 위험성이 높은 프로세스라면, 그 부모 프로세스인 프로세스 664(smss.exe)는 악성코드로 추정할 수 있다. 이때 더 정확한 분석을 위해 상기 프로세스들{프로세스 672(csrss.exe), 프로세스 716(winlogon.exe), 프로세스 664(smss.exe)}에 대한 커널(Kernel) 분석과 레지스터리 분석을 한 후 악성코드 여부를 판단할 수도 있다.

Claims (4)

  1. 삭제
  2. 삭제
  3. 다수의 단말 컴퓨터 및 포렌식 서버를 포함하는 악성코드 검출시스템을 이용한 악성코드 검출방법으로서,
    단말 컴퓨터는, 블랙리스트 및 화이트리스트를 이용하여 악성코드 1차 탐지를 진행하는 제1 단계;
    상기 단말 컴퓨터는, 제1 단계의 악성코드 탐지 결과, 악성코드 1차 탐지결과 판단이 어려운 프로그램을 발견한 경우 그 프로그램의 동작을 중지시킨 후 그 프로그램의 사본과 아티팩트 정보를 포렌식 서버로 전송하는 제2 단계;
    상기 포렌식 서버는 전송받은 프로그램의 사본과 아티팩트 정보를 분석하여 악성코드 여부를 판단하는 제3 단계;
    상기 단말 컴퓨터가 포렌식 서버로부터 상기 프로그램이 악성코드가 아니라는 판단 정보를 전송받으면 그 프로그램의 동작을 재개하고, 상기 프로그램이 악성코드라는 판단 정보를 전송받으면 그 프로그램을 삭제 또는 격리하는 제4 단계;
    를 포함하고,
    상기 제3 단계는,
    난독화된 프로세스 이름이 있는지를 검색하는 제3-1 단계;
    난독화된 프로세스 이름을 갖는 프로세스의 자식 프로세스들을 검색하는 제3-2 단계;
    상기 자식 프로세스들 중 악성행위 위험성이 높은 프로세스가 존재하면 그 프로세스를 유발한 프로그램을 악성코드로 판단하는 제3-3 단계;
    를 포함하고,
    상기 난독화된 프로세스 이름이란 프로세스 이름이 사전에 등록되지 않은 단어로 이루어진 이름인 것을 특징으로 하는 악성코드 검출방법.
  4. 삭제
KR1020180008052A 2018-01-23 2018-01-23 악성코드 검출시스템 및 검출방법 KR101983997B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020180008052A KR101983997B1 (ko) 2018-01-23 2018-01-23 악성코드 검출시스템 및 검출방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020180008052A KR101983997B1 (ko) 2018-01-23 2018-01-23 악성코드 검출시스템 및 검출방법

Publications (1)

Publication Number Publication Date
KR101983997B1 true KR101983997B1 (ko) 2019-05-30

Family

ID=66675537

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020180008052A KR101983997B1 (ko) 2018-01-23 2018-01-23 악성코드 검출시스템 및 검출방법

Country Status (1)

Country Link
KR (1) KR101983997B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20240054026A (ko) 2022-10-18 2024-04-25 세종대학교산학협력단 딥러닝 모델을 이용한 디지털 포렌식을 위한 전자 장치 및 그 방법

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101390475B1 (ko) 2013-02-05 2014-04-29 주식회사 윈스 네트워크 기반의 악성코드 탐지 시스템 및 탐지 방법
KR20140058237A (ko) * 2012-11-06 2014-05-14 한국인터넷진흥원 악성코드 유포지 및 경유지 주기 점검 시스템 및 방법
KR101494329B1 (ko) * 2013-09-02 2015-02-23 주식회사 베일리테크 악성 프로세스 검출을 위한 시스템 및 방법
KR101614809B1 (ko) * 2014-11-03 2016-04-22 주식회사 이에스피시스템즈 엔드포인트 응용프로그램 실행 제어 시스템 및 그 제어 방법
KR20170024428A (ko) * 2015-08-25 2017-03-07 주식회사 아이티스테이션 네트워크 보안 시스템 및 보안 방법

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20140058237A (ko) * 2012-11-06 2014-05-14 한국인터넷진흥원 악성코드 유포지 및 경유지 주기 점검 시스템 및 방법
KR101390475B1 (ko) 2013-02-05 2014-04-29 주식회사 윈스 네트워크 기반의 악성코드 탐지 시스템 및 탐지 방법
KR101494329B1 (ko) * 2013-09-02 2015-02-23 주식회사 베일리테크 악성 프로세스 검출을 위한 시스템 및 방법
KR101614809B1 (ko) * 2014-11-03 2016-04-22 주식회사 이에스피시스템즈 엔드포인트 응용프로그램 실행 제어 시스템 및 그 제어 방법
KR20170024428A (ko) * 2015-08-25 2017-03-07 주식회사 아이티스테이션 네트워크 보안 시스템 및 보안 방법

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20240054026A (ko) 2022-10-18 2024-04-25 세종대학교산학협력단 딥러닝 모델을 이용한 디지털 포렌식을 위한 전자 장치 및 그 방법

Similar Documents

Publication Publication Date Title
US10872151B1 (en) System and method for triggering analysis of an object for malware in response to modification of that object
US10225280B2 (en) System and method for verifying and detecting malware
RU2531861C1 (ru) Система и способ оценки вредоносности кода, исполняемого в адресном пространстве доверенного процесса
US8621608B2 (en) System, method, and computer program product for dynamically adjusting a level of security applied to a system
KR101543237B1 (ko) 코드 패턴을 이용한 정적 분석과 api 흐름을 이용한 동적 분석을 통한 악성 스크립트 탐지 차단 장치, 시스템 및 방법
JP5326062B1 (ja) 非実行ファイル検査装置及び方法
US10192052B1 (en) System, apparatus and method for classifying a file as malicious using static scanning
EP3420489B1 (en) Cybersecurity systems and techniques
US10430586B1 (en) Methods of identifying heap spray attacks using memory anomaly detection
CN107066883B (zh) 用于阻断脚本执行的系统和方法
CN109586282B (zh) 一种电网未知威胁检测系统及方法
US20140096246A1 (en) Protecting users from undesirable content
RU2624552C2 (ru) Способ обнаружения вредоносных файлов, исполняемых с помощью стековой виртуальной машины
CN109145592B (zh) 检测异常事件的系统和方法
WO2012107255A1 (en) Detecting a trojan horse
WO2018076697A1 (zh) 僵尸特征的检测方法和装置
RU2634181C1 (ru) Система и способ обнаружения вредоносных компьютерных систем
JP2013508823A (ja) リンクファイルを使用したマルウェアの検出およびマルウェアへの対応
RU2531565C2 (ru) Система и способ анализа событий запуска файлов для определения рейтинга их безопасности
US20150096021A1 (en) Method and system for metadata driven testing of malware signatures
JP6691240B2 (ja) 判定装置、判定方法、および、判定プログラム
US8799450B2 (en) Server-based system, method, and computer program product for scanning data on a client using only a subset of the data
JP2016029567A (ja) 悪質なコードの検出
CN113536300A (zh) 一种pdf文件信任过滤及分析方法、装置、设备及介质
US8141153B1 (en) Method and apparatus for detecting executable software in an alternate data stream

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant