KR102210627B1 - 악성 프로세스 행동을 검출하기 위한 방법, 장치 및 시스템 - Google Patents

악성 프로세스 행동을 검출하기 위한 방법, 장치 및 시스템 Download PDF

Info

Publication number
KR102210627B1
KR102210627B1 KR1020140194553A KR20140194553A KR102210627B1 KR 102210627 B1 KR102210627 B1 KR 102210627B1 KR 1020140194553 A KR1020140194553 A KR 1020140194553A KR 20140194553 A KR20140194553 A KR 20140194553A KR 102210627 B1 KR102210627 B1 KR 102210627B1
Authority
KR
South Korea
Prior art keywords
behavior
action
target process
information
malicious
Prior art date
Application number
KR1020140194553A
Other languages
English (en)
Other versions
KR20150124370A (ko
Inventor
인밍 메이
이지 시에
후아밍 유
한종 후
팅리 비
Original Assignee
바이두 온라인 네트웍 테크놀러지 (베이징) 캄파니 리미티드
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 바이두 온라인 네트웍 테크놀러지 (베이징) 캄파니 리미티드 filed Critical 바이두 온라인 네트웍 테크놀러지 (베이징) 캄파니 리미티드
Publication of KR20150124370A publication Critical patent/KR20150124370A/ko
Application granted granted Critical
Publication of KR102210627B1 publication Critical patent/KR102210627B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N5/00Computing arrangements using knowledge-based models
    • G06N5/04Inference or reasoning models
    • G06N5/048Fuzzy inferencing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/034Test or assess a computer or a system
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/68Gesture-dependent or behaviour-dependent

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • Computing Systems (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Data Mining & Analysis (AREA)
  • Computational Linguistics (AREA)
  • Evolutionary Computation (AREA)
  • Artificial Intelligence (AREA)
  • Mathematical Physics (AREA)
  • Fuzzy Systems (AREA)
  • Automation & Control Theory (AREA)
  • Debugging And Monitoring (AREA)

Abstract

본 발명의 실시예는 악성 프로세스 행동을 검출하기 위한 방법, 장치 및 시스템을 제공한다. 본 발명의 실시예에서, 검출 장치가 프로세스의 프로세스 행동을 모니터링하여 타깃 프로세스 행동에 대한 행동 정보를 획득하고, 그 후, 상기 타깃 프로세스 행동에 대한 행동 정보를 서버로 전송하며, 상기 서버가 상기 타깃 프로세스 행동에 대한 행동 정보에 따라 타깃 프로세스 행동을 검출하여 상기 타깃 프로세스 행동이 악성 프로세스 행동인지 여부를 결정함으로써 상기 검출 장치가 상기 타깃 프로세스 행동의 검출 결과에 따라 서버에 의해 반환되는 제 1 동작 지시 정보를 수신하고 상기 제 1 동작 지시 정보에 따라 타깃 프로세스 행동에 대한 동작을 수행함으로써, 상기 타깃 프로세스 행동은, 검출 장치에 의한 타깃 프로세스 행동의 단일 샘플의 특정된 특징부 분석에 따라서가 아니라, 상기 타깃 프로세스 행동에 대한 행동 정보에 따라 서버에 의한 포괄적 검출의 대상이 되며, 이로써, 상기 악성 프로세스 행동은 제때에 검출될 수 있고 시스템의 보안 성능이 개선될 수 있다.

Description

악성 프로세스 행동을 검출하기 위한 방법, 장치 및 시스템{METHOD, APPARATUS AND SYSTEM FOR DETECTING MALICIOUS PROCESS BEHAVIOR}
본 발명은 컴퓨터 기술과 관련되며, 구체적으로 악성 프로세스 행동을 검출하기 위한 방법, 장치 및 시스템에 관한 것이다.
바이러스는 시스템 기능을 파괴하기 위해 애플리케이션 프로그램에 컴파일 또는 삽입되며 애플리케이션 프로그램의 정상적인 사용에 영향을 미칠 것이며, 자기-복제할 수 있고, 일반적으로 명령 또는 프로그램 코드의 집합의 형태를 취하는 데이터이다. 바이러스, 이른바 컴퓨터 바이러스의 비-제한적 예로는, 파괴, 복제 및 감염의 특성을 갖는 트로이안, 백도어, 로컬 영역 네트워크 웜, 메일 웜, 스파이웨어, 감염 바이러스 또는 루트킷/부트킷(Rootkit/Bootkit)이 있다.
그러나 일부 경우, 가령, 안티바이러스 소프트웨어가 제한적인 모니터링 능력을 갖거나 다양한 바이러스가 존재하고 이들이 빠르게 성장하는 경우, 실행 후 바이러스에 의해 유발되는 악성 프로세스 행동을 제때 검출하는 것이 어렵다.
악성 프로세스 행동을 검출하기 위한 방법, 장치 및 시스템이 본 발명의 복수의 양태로 제공되어, 시스템의 보안 성능을 개선할 수 있다.
본 발명의 하나의 양태에서, 악성 프로세스 행동을 검출하기 위한 방법이 제공되며, 상기 방법은
검출 장치가 프로세스의 프로세스 행동을 모니터링하여 타깃 프로세스 행동에 대한 행동 정보를 획득하는 단계,
상기 검출 장치는 상기 타깃 프로세스 행동에 대한 행동 정보를 서버로 전송하여, 상기 서버가 상기 타깃 프로세스 행동에 대한 행동 정보에 따라 상기 타깃 프로세스 행동을 검출함으로써, 상기 타깃 프로세스 행동이 악성 프로세스 행동인지 여부를 결정하는 단계,
상기 검출 장치는 상기 타깃 프로세스 행동의 검출 결과에 따라 상기 서버에 의해 반환되는 제 1 동작 지시 정보를 수신하는 단계, 및
상기 검출 장치는 상기 제 1 동작 지시 정보에 따라 상기 타깃 프로세스 행동에 대한 동작을 수행하는 단계
를 포함한다.
앞서 언급된 양태 및 임의의 가능한 구현에서, 검출 장치가 프로세스의 프로세스 행동을 모니터링하여 타깃 프로세스 행동에 대한 행동 정보를 획득하는 단계는:
상기 검출 장치는 의심 타깃 프로세스 행동에 대한 사전 설정된 식별 정보에 따라 프로세스의 프로세스 행동을 모니터링하여 타깃 프로세스 행동에 대한 행동 정보를 획득하는 단계를 포함한다.
앞서 언급된 양태 및 임의의 가능한 구현에서, 타깃 프로세스 행동에 대한 행동 정보는:
타깃 프로세스 행동에 대한 발신자 정보,
타깃 프로세스 행동에 대한 타깃 객체 정보,
타깃 프로세스 행동에 대한 추가 정보, 및
타깃 프로세스 행동에 대한 식별 정보 중 적어도 하나를 포함한다.
앞서 언급된 양태 및 임의의 가능한 구현에서, 상기 검출 장치가 상기 타깃 프로세스 행동에 대한 행동 정보를 서버로 전송하여, 상기 서버가 상기 타깃 프로세스 행동에 대한 행동 정보에 따라 상기 타깃 프로세스 행동을 검출하여 상기 타깃 프로세스 행동이 악성 프로세스 행동인지 여부를 결정한 후,
상기 검출 장치는 상기 타깃 프로세스 행동과 관련된 그 밖의 다른 프로세스 행동의 검출 결과에 따라 상기 서버에 의해 반환되는 제 2 동작 지시 정보를 수신하는 단계 - 상기 그 밖의 다른 프로세스 행동의 검출 결과는, 상기 서버가 사기 그 밖의 다른 프로세스 행동을 검출하여 상기 타깃 프로세스 행동과 관련된 그 밖의 다른 프로세스 행동이 악성 프로세스 행동인지 여부를 결정함 - , 및
상기 검출 장치는 상기 제 2 동작 지시 정보에 딸라 상기 그 밖의 다른 프로세스 행동에 대응하는 행동 결과에 대한 동작을 수행하는 단계
를 포함하는 구현이 더 제공된다.
앞서 언급된 양태 및 임의의 가능한 구현에서, 상기 서버가 상기 타깃 프로세스 행동에 대한 행동 정보에 따라 상기 타깃 프로세스 행동을 검출함으로써 상기 타깃 프로세스 행동이 악성 프로세스 행동인지 여부를 결정하는 단계는
상기 서버는 상기 타깃 프로세스 행동에 대한 행동 정보 및 결정된 적어도 하나의 악성 프로세스 행동에 대한 행동 정보에 따라 상기 타깃 프로세스 행동을 검출하여 상기 타깃 프로세스 행동이 악성 프로세스 행동인지 여부를 결정하는 단계, 또는
상기 서버가 상기 타깃 프로세스 행동에 대한 행동 정보 및 그 밖의 다른 검출 장치로부터 전송된 그 밖의 다른 타깃 프로세스 행동에 대한 행동 정보에 따라 상기 타깃 프로세스 행동을 검출하여 상기 타깃 프로세스 행동이 악성 프로세스 행동인지 여부를 결정하는 단계를 포함하는 구현이 더 제공된다.
본 발명의 또 다른 양태에서, 악성 프로세스 행동을 검출하기 위한 장치가 제공되며, 상기 장치는:
프로세스의 프로세스 행동을 모니터링하여 타깃 프로세스 행동에 대한 행동 정보를 획득하기 위한 모니터링 유닛,
상기 타깃 프로세스 행동에 대한 행동 정보를 서버로 전송하여, 상기 서버가 상기 타깃 프로세스 행동에 대한 행동 정보에 따라 상기 타깃 프로세스 행동을 검출함으로써 상기 타깃 프로세스 행동이 악성 프로세스 행동인지 여부를 결정하기 위한 전송 유닛,
상기 타깃 프로세스 행동의 검출 결과에 따라 상기 서버에 의해 반환되는 제 1 동작 지시 정보를 수신하기 위한 수신 유닛, 및
상기 제 1 동작 지시 정보에 따라 상기 타깃 프로세스 행동에 대한 동작을 수행하기 위한 동작 유닛
을 포함한다.
앞서 언급된 양태 및 임의의 가능한 구현에서, 모니터링 유닛은 상기 모니터링 유닛은, 의심 타깃 프로세스 행동에 대한 사전 설정된 식별 정보에 따라 프로세스의 프로세스 행동을 모니터링하여 상기 타깃 프로세스 행동에 대한 행동 정보를 획득하도록 특정하게 사용된다.
앞서 언급된 양태 및 임의의 가능한 구현에서, 상기 모니터링 유닛에 의해 획득된 상기 타깃 프로세스 행동에 대한 행동 정보는,
타깃 프로세스 행동에 대한 발신자 정보,
타깃 프로세스 행동에 대한 타깃 객체 정보,
타깃 프로세스 행동에 대한 추가 정보, 및
타깃 프로세스 행동에 대한 식별 정보
중 적어도 하나를 포함하는 구현이 더 제공된다.
앞서 언급된 양태 및 임의의 가능한 구현에서,
상기 수신 유닛은, 상기 타깃 프로세스 행동과 관련된 그 밖의 다른 프로세스 행동의 검출 결과에 따라 상기 서버에 의해 반환되는 제 2 동작 지시 정보를 수신하도록 더 사용되며, 상기 그 밖의 다른 프로세스 행동의 검출 결과가 상기 서버가 상기 그 밖의 다른 프로세스 행동을 검출함으로써 획득되어 상기 타깃 프로세스 행동과 관련된 그 밖의 다른 프로세스 행동이 악성 프로세스 행동인지 여부를 결정하며,
상기 동작 유닛은, 상기 제 2 동작 지시 정보에 따라 상기 그 밖의 다른 프로세스 행동에 대응하는 행동 결과에 대한 동작을 수행하도록 더 사용된다.
본 발명의 또 다른 양태에서, 악성 프로세스 행동을 검출하기 위한 시스템이 제공되며, 상기 시스템은 서버 및 앞서 언급된 양태에서 제공된 악성 프로세스 행동을 검출하기 위한 장치를 포함하고,
상기 서버는 상기 타깃 프로세스 행동에 대한 행동 정보에 따라 상기 타깃 프로세스 행동을 검출하여 상기 타깃 프로세스 행동이 악성 프로세스 행동인지 여부를 결정하도록 사용된다.
앞서 언급된 양태 및 임의의 가능한 구현에서, 상기 서버는,
상기 타깃 프로세스 행동에 대한 행동 정보 및 결정된 적어도 하나의 악성 프로세스 행동에 대한 행동 정보에 따라 상기 타깃 프로세스 행동을 검출하여, 상기 타깃 프로세스 행동이 악성 프로세스 행동인지 여부를 결정하거나,
상기 타깃 프로세스 행동에 대한 행동 정보 및 그 밖의 다른 검출 장치로부터 전송된 그 밖의 다른 타깃 프로세스 행동에 대한 행동 정보에 따라 상기 타깃 프로세스 행동을 검출하여, 상기 타깃 프로세스 행동이 악성 프로세스 행동인지 여부를 결정하기 위해 특정하게 사용되는 구현이 더 제공된다.
앞서 언급된 기술적 솔루션으로부터, 검출 장치가 프로세스의 프로세스 행동을 모니터링하여 타깃 프로세스 행동에 대한 행동 정보를 획득하고 상기 타깃 프로세스 행동에 대한 행동 정보를 서버로 전송하며, 상기 서버가 상기 타깃 프로세스 행동에 대한 행동 정보에 따라 타깃 프로세스 행동을 검출하여 상기 타깃 프로세스 행동이 악성 프로세스 행동인지 여부를 결정하여, 상기 검출 장치가 상기 타깃 프로세스 행동의 검출 결과에 따라 서버에 의해 반환되는 제 1 동작 지시 정보를 수신하고 그 후 상기 제 1 동작 지시 정보에 따라 상기 타깃 프로세스 행동에 대한 동작을 수행함으로써, 본 발명의 실시예에서, 상기 타깃 프로세스 행동이, 검출 장치에 의한 타깃 프로세스 행동의 단일 샘플의 특정된 특징부 분석에 따라서가 아니라, 상기 타깃 프로세스 행동에 대한 행동 정보에 따라 서버에 의한 포괄적 검출의 대상이 되어, 상기 악성 프로세스 행동이 제때에 검출되어 시스템의 보안 성능을 개선할 수 있다.
덧붙여, 서버가 타깃 프로세스 행동과 관련된 그 밖의 다른 프로세스 행동을 능동적으로 검출하여 상기 그 밖의 다른 프로세스 행동이 악성 프로세스 행동인지 여부를 결정하여 악성 프로세스 행동 같지만 검출 장치에 의해 리포팅되지 않은 상기 그 밖의 다른 프로세스 행동이 제때에 검출될 수 있기 때문에, 본 발명에서 제공되는 기술적 솔루션이 검출의 신뢰성 및 유연성을 효과적으로 개선하고 시스템의 보안성을 더 개선할 수 있다.
덧붙여, 서버가 결정된 적어도 하나의 악성 프로세스 행동 또는 그 밖의 다른 검출 장치로부터 전송된 그 밖의 다른 타깃 프로세스 행동을 이용해 알려지지 않은 타깃 프로세스 행동을 검출하여 상기 알려지지 않은 타깃 프로세스 행동이 악성 프로세스 행동인지 여부를 결정해, 상기 악성 프로세스 행동이 제때에 검출될 수 있기 때문에, 본 발명에서 제공되는 기술적 솔루션이 검출의 신뢰성 및 유연성을 효과적으로 개선할 수 있고 시스템의 보안성을 더 개선할 수 있다.
본 발명의 실시예에서 기술적 해결책을 더 명확하게 설명하기 위해, 실시예 또는 종래 기술의 기재에서 사용되기 위해 필요한 첨부된 도면이 이하에서 짧게 소개된다. 다음의 기재에서 첨부된 도면은 본 발명의 일부 실시예이며 해당 분야의 통상의 기술자라면 이들 첨부된 도면에 따르는 다른 도면을 용이하게 더 획득할 수 있음이 자명하다.
도 1은 본 발명의 하나의 실시예에서 제공되는 악성 프로세스 행동을 검출하기 위한 방법의 개략적 흐름도이다.
도 2는 본 발명의 또 다른 실시예에서 제공되는 악성 프로세스 행동을 검출하기 위한 장치의 개략적 구성도이다.
도 3은 본 발명의 또 다른 실시예에서 제공되는 악성 프로세스 행동을 검출하기 위한 시스템의 개략적 구도조이다.
본 발명의 실시예의 목적, 기술적 해결책 및 이점을 더 명확하게 하기 위해, 본 발명의 실시예에서 기술적 해결책이 본 발명의 실시예에서 첨부된 도면과 조합되어 이하에서 명료하고 완전하게 기재될 것이다. 기재된 실시예는 모든 실시예가 아닌 본 발명의 실시예 중 일부임이 자명하다. 본 발명의 실시예를 기초로 하여 해당 분야의 통상의 기술자에 의해 용이하게 획득된 그 밖의 다른 모든 실시예가 본 발명의 보호 범위 내에 있다.
덧붙여, 본 명세서의 용어 "및/또는"는 연관된 목적을 기술하는 연관 관계에 불과하며, 3개의 관계가 존재할 수 있으며, 가령, A 및/또는 B는 A가 홀로 존재하는 경우, A와 B가 동시에 존재하는 경우, 및 B만 홀로 존재하는 경우인 3가지 경우를 나타낼 수 있다. 덧붙여, 본 명세서에서 문자 "/"는 연관된 객체들 간 "또는" 관계를 가리킨다.
도 1은 도 1에서 도시된 바와 같은 본 발명의 실시예에서 제공되는 악성 프로세스 행동을 검출하기 위한 방법의 개략적 흐름도이다.
101. 검출 장치는 타깃 프로세스 행동에 대한 행동 정보를 획득하기 위한 프로세스의 프로세스 행동을 모니터링한다.
102. 검출 장치는 타깃 프로세스 행동에 대한 행동 정보를 서버로 전송하여, 서버가 타깃 프로세스 행동에 대한 행동 정보에 따라 타깃 프로세스 행동을 검출하여 타깃 프로세스 행동이 악성 프로세스 행동인지 여부를 결정할 수 있다.
103. 검출 장치는 타깃 프로세스 행동의 검출 결과에 따라 서버에 의해 반환된 제 1 동작 지시 정보를 수신한다.
104. 검출 장치는 제 1 동작 지시 정보에 따라 타깃 프로세스 행동에 대한 동작을 수행한다.
제 1 동작 지시 정보는 다음을 포함하나, 이에 한정되지 않는다:
타깃 프로세스 행동이 악성 프로세스 행동임을 지시하기 위한 지시 정보 및 상기 타깃 프로세스 행동에 대한 차단 동작을 지시하기 위한 프롬프트 정보, 또는
타깃 프로세스 행동이 비-악성 프로세스 행동임을 지시하기 위한 지시 정보 및 타깃 프로세스 행동에 대한 배포 동작을 지시하기 위한 프롬프트 정보.
101-103의 실행체, 즉, 검출 장치가 로컬 클라이언트 내에 위치하여 프로세스를 모니터링하기 위해 오프-라인 동작을 수행할 수 있음을 주지할 필요가 있다.
클라이언트는 단말기 상에 설치되는 애플리케이션 프로그램, 가령, 안티바이러스 소프트웨어이거나, 브라우저의 웹페이지일 수도 있으며, 안전한 시스템 환경을 제공하기 위해 프로세스 모니터링을 구현할 수 있는 모든 객관적 형태의 존재가 가능하며, 이 실시예는 이와 관련하여 어떠한 한정도 부여하는 것이 아니다.
따라서 검출 장치가 타깃 프로세스 행동에 대한 행동 정보를 획득하기 위해 프로세스의 프로세스 행동을 모니터링하고 상기 타깃 프로세스 행동에 대한 행동 정보를 서버로 전송하며, 서버가 타깃 프로세스 행동에 대한 행동 정보에 따라 타깃 프로세스 행동을 검출하여 상기 타깃 프로세스 행동이 악성 프로세스 행동인지 여부를 결정하여, 검출 장치가 타깃 프로세스 행동의 검출 결과에 따라 서버에 의해 반환되는 제 1 동작 지시 정보를 수신할 수 있고, 제 1 동작 지시 정보에 따라 타깃 프로세스 행동에 대한 동작을 수행하도록 함으로써, 검출 장치에 의한 타깃 프로세스 행동의 단일 샘플의 특정된 특징부 분석에 따라서가 아니라 타깃 프로세스 행동에 대한 행동 정보에 따라 타깃 프로세스 행동이 서버에 의한 포괄적인 검출의 대상이 되어, 악성 프로세스 행동이 제때에 검출되어 시스템의 보안 성능을 개선할 수 있다.
선택적으로, 본 실시예의 가능한 구현에 따라 (101)에서, 프로세스의 프로세스 행동을 모니터링하기 위해 검출 장치가 결정된 의심 프로세스 행동(suspicious 프로세스 행동)에 대한 관련 정보, 가령, 의심 타깃 프로세스 행동에 대한 식별 정보 및 의심 타깃 프로세스 행동에 대한 발신자 정보를 저장하는 사전 설정된 의심 행동 결정 라이브러리를 사용하여, 모니터링되는 프로세스의 프로세스 행동이 의심 프로세스 행동, 즉, 타깃 프로세스 행동인지 여부를 결정하고, 그 후 타깃 프로세스 행동에 대한 행동 정보를 획득할 수 있다.
검출 장치의 모니터링 목적이 악성 프로세스 행동을 결정하는 것이 아니라 타깃 프로세스 행동을 결정하는 것뿐이기 때문에, 의심 행동 결정 라이브러리의 설정 전략이 모니터링 범위를 적절하게 더 커지도록 제어하여, 불충분한 리포팅을 효과적으로 피할 수 있다.
선택사항으로서, 이 실시예의 가능한 구현에 따라 (101)에서, 검출 장치에 의해 획득된 타깃 프로세스 행동에 대한 행동 정보는 다음의 정보 중 적어도 하나를 포함할 수 있지만, 이에 한정되지 않는다:
타깃 프로세스 행동에 대한 발신자 정보,
타깃 프로세스 행동에 대한 타깃 객체 정보,
타깃 프로세스 행동에 대한 추가 정보, 및
타깃 프로세스 행동에 대한 식별 정보.
이 경우,
타깃 프로세스 행동에 대한 발신자 정보가 프로세스 행동을 개시하기 위한 객체 식별자일 수 있다.
타깃 프로세스 행동에 대한 타깃 객체 정보는 프로세스 행동에 의해 적용될 객체 식별자일 수 있다.
타깃 프로세스 행동에 대한 추가 정보는 프로세스 행동에 의해 생성되는 데이터 정보일 수 있다.
타깃 프로세스 행동에 대한 식별 정보는 프로세스 행동의 식별자(ID)일 수 있다.
선택사항으로서, 이 실시예의 가능한 구현에 따라 (101)에서, 검출 장치는 타깃 프로세스 행동에 대한 행동 정보를 획득하기 위해 시스템에서 모든 프로세스의 프로세스 행동을 특정하게 모니터링할 수 있다.
선택사항으로서, 이 실시예의 가능한 구현에 따라 (101)에서, 검출 장치는 의심 타깃 프로세스 행동에 대한 사전 설정된 식별 정보에 따라 시스템에서 프로세스의 일부분의 프로세스 행동을 특정하게 모니터링하여 상기 타깃 프로세스 행동에 대한 행동 정보를 획득할 수 있다.
선택사항으로서, 이 실시예의 가능한 구현에 따라 (102) 후에, 서버는 상기 검출 장치로부터 전송된 타깃 프로세스 행동에 대한 행동 정보를 수신하고, 그 후 타깃 프로세스 행동에 대한 행동 정보에 따라 타깃 프로세스 행동을 검출하여, 타깃 프로세스 행동이 악성 프로세스 행동인지 여부를 결정할 수 있다.
특히, 서버는 타깃 프로세스 행동에 대한 행동 정보에 따라 그리고 매칭을 위해 사전 설정된 악성 행동 결정 라이브러리를 이용하여 타깃 프로세스 행동을 특정하게 검출할 수 있으며, 악성 행동 결정 라이브러리는 결정된 악성 프로세스 행동에 대한 행동 정보를 저장하여 타깃 프로세스 행동이 악성 프로세스 행동인지 여부를 결정할 수 있다.
타깃 프로세스 행동에 대한 행동 정보와 일치하는 악성 프로세스 행동이 매칭되는 경우, 이는 이 타깃 프로세스 행동이 악성 프로세스 행동임을 지시하고, 그 후 서버는 타깃 프로세스 행동이 악성 프로세스 행동이라고 결정할 수 있다.
타깃 프로세스 행동에 대한 행동 정보와 일치하는 어떠한 악성 프로세스 행동도 매칭되지 않는 경우, 이는 이 타깃 프로세스 행동이 알려지지 않은 프로세스 행동임을 지시하고, 그 후, 서버는 결정된 적어도 하나의 악성 프로세스 행동 또는 그 밖의 다른 검출 장치로부터 전송된 그 밖의 다른 타깃 프로세스 행동을 이용해 상기 알려지지 않은 타깃 프로세스 행동을 더 검출할 수 있다.
특히, 서버는 타깃 프로세스 행동에 대한 행동 정보 및 결정된 적어도 하나의 악성 프로세스 행동에 대한 행동 정보에 따라 타깃 프로세스 행동을 특정하게 검출하여, 타깃 프로세스 행동이 악성 프로세스 행동인지 여부를 결정할 수 있다.
예를 들어, 서버는 결정된 적어도 하나의 악성 프로세스 행동에 대한 행동 정보의 군집 분석을 특정하게 수행하여, 유사한 행동 정보를 획득하여, 알려지지 않은 타깃 프로세스 행동이 악성 프로세스 행동인지 여부를 결정할 수 있다. 예를 들어, 적어도 하나의 악성 프로세스 행동에 대한 행동 정보가 타깃 프로세스 행동에 대한 타깃 객체 정보, 상기 타깃 프로세스 행동에 대한 추가 정보, 및 타깃 프로세스 행동에 대한 식별 정보에 따라 군집되어, 유사한 타깃 프로세스 행동에 대한 발신자 정보를 획득할 수 있다.
특정하게, 서버는 타깃 프로세스 행동에 대한 행동 정보 및 그 밖의 다른 검출 장치로부터 전송된 그 밖의 다른 타깃 프로세스 행동에 대한 행동 정보에 따라 타깃 프로세스 행동을 특정하게 검출하여, 타깃 프로세스 행동이 악성 프로세스 행동인지 여부를 결정할 수 있다.
예를 들어, 서버가 타깃 프로세스 해동에 대한 행동 정보 및 그 밖의 다른 검출 장치로부터 전송된 그 밖의 다른 타깃 프로세스 행동에 대한 행동 정보의 군집 분석을 특정하게 수행할 수 있어서, 군집 결과를 획득할 수 있다. 덧붙여, 타깃 프로세스 행동에 대한 행동 정보의 군집 결과가 추가로 분석되어 알려지지 않은 타깃 프로세스 행동이 악성 프로세스 행동인지 여부를 결정할 수 있다.
따라서 결정된 적어도 하나의 악성 프로세스 행동을 이용해 서버가 알려지지 않은 타깃 프로세스를 검출하여, 알려지지 않은 타깃 프로세스 행동이 악성 프로세스 행동인지 여부를 결정할 수 있기 때문에, 악성 프로세스 행동이 제때에 검출되어, 검출의 신뢰성 및 유연성을 효과적으로 개선하고 시스템의 보안성을 추가로 개선할 수 있다.
서버가 알려지지 않은 타깃 프로세스 행동이 악성 프로세스 행동이라고 결정한 경우, 상기 서버는 결정된 타깃 프로세스 행동에 대한 행동 정보를 악성 행동 결정 라이브러리에 더 추가하여, 악성 행동 결정 라이브러리의 결정 능력을 개선할 수 있다.
선택사항으로서, 이 실시예의 가능한 구현에서, 상기 서버는 타깃 프로세스 행동과 관련된 그 밖의 다른 프로세스 행동을 더 검출하여 상기 그 밖의 다른 프로세스 행동이 악성 프로세스 행동인지 여부를 결정할 수 있다.
따라서, 서버가 타깃 프로세스 행동과 관련된 그 밖의 다른 프로세스 행동을 능동적으로 검출하여, 상기 그 밖의 다른 프로세스 행동이 악성 프로세스 행동인지 여부를 결정할 수 있어서, 악성 프로세스 행동 같지만 검출 장치에 의해 리포팅되지 않은 그 밖의 다른 프로세스 행동이 제때에 검출될 수 있기 때문에, 검출의 신뢰성 및 유연성을 효과적으로 개선하고 시스템의 보안성을 더 개선할 수 있다.
따라서 이 실시예의 가능한 구현에 따라 (102) 후에, 상기 검출 장치는 타깃 프로세스 행동과 관련된 그 밖의 다른 프로세스 행동의 검출 결과에 따라 서버에 의해 반환되는 제 2 동작 지시 정보를 더 수신할 수 있고, 상기 그 밖의 다른 프로세스 행동의 검출 결과가 그 밖의 다른 프로세스 행동을 검출하는 서버에 의해 획득되어, 상기 타깃 프로세스 행동과 관련된 상기 그 밖의 다른 프로세스 행동이 악성 프로세스 행동인지 여부를 결정할 수 있다. 그 후, 검출 장치가 제 2 동작 지시 정보에 따라 그 밖의 다른 프로세스 행동에 대응하는 행동 결과에 대한 동작을 수행할 수 있다.
제 2 동작 지시 정보는 다음을 포함할 수 있지만 이에 한정되지 않는다:
그 밖의 다른 프로세스 행동이 악성 프로세스 행동임을 지시하기 위한 지시 정보, 및 그 밖의 다른 프로세스 행동에 대응하는 행동 결과에 대한 동작을 수행하기 위한 프롬프트 정보, 또는
그 밖의 다른 프로세스 행동이 비-악성 프로세스 행동임을 지시하기 위한 지시 정보.
악성 행동 결정 라이브러리는 악성 프로세스 행동 각각에 대한 방어적 체킹 및 킬링 솔루션을 더 저장할 수 있다. 따라서 서버가 동작 지시 정보, 즉, 제 1 또는 제 2 동작 지시 정보를 검출 장치로 전송하는 동안, 상기 서버는 대응하는 방어적 체킹 및 킬링 솔루션을 검출 장치로 더 전송하여, 검출 장치는 방어적 체킹 및 킬링 솔루션에 따라 안티바이러스 프로세싱을 효과적으로 수행할 수 있다.
이 실시예에서, 검출 장치가 프로세스의 프로세스 행동을 모니터링하여 타깃 프로세스 행동에 대한 행동 정보를 획득하고, 타깃 프로세스 행동에 대한 행동 정보를 서버로 전송하며, 서버가 타깃 프로세스 행동에 대한 행동 정보에 따라 타깃 프로세스 행동을 검출하여 타깃 프로세스 행동이 악성 프로세스 행동인지 여부를 결정하여, 검출 장치가 타깃 프로세스 행동의 검출 결과에 따라 서버에 의해 반환된 제 1 동작 지시 정보를 수신하고 상기 제 1 동작 지시 정보에 따라 타깃 프로세스 행동에 대한 동작을 수행할 수 있음으로써, 상기 타깃 프로세스 행동이, 검출 장치에 의한 타깃 프로세스 행동의 단일 샘플의 특정된 특징부 분석에 따라서가 아니라, 타깃 프로세스 행동에 대한 행동 정보에 따라 서버에 의한 포괄적 검출의 대상이 되어, 악성 프로세스 행동이 제때에 검출되어 시스템의 보안 성능이 개선될 수 있다.
덧붙여, 서버가 타깃 프로세스 행동과 관련된 그 밖의 다른 프로세스 행동을 능동적으로 검출하여 상기 그 밖의 다른 프로세스 행동이 악성 프로세스 행동인지 여부를 결정하여, 악성 프로세스 행동 같지만 검출 장치에 의해 리포팅되지 않는 상기 그 밖의 다른 프로세스 행동이 제때에 검출될 수 있기 때문에, 본 발명에서 제공되는 기술적 솔루션을 이용하는 것이 검출의 신뢰성 및 유연성을 효과적으로 개선하고 시스템의 보안성을 추가로 개선시킬 수 있다.
덧붙여, 서버가 결정된 적어도 하나의 악성 프로세스 행동 또는 그 밖의 다른 검출 장치로부터 전송된 그 밖의 다른 타깃 프로세스 행동을 이용해 알려지지 않은 타깃 프로세스 행동을 검출하여, 알려지지 않은 타깃 프로세스 행동이 악성 프로세스 행동인지 여부를 결정하여, 상기 악성 프로세스 행동은 제때에 검출될 수 있기 때문에, 본 발명에 제공되는 기술적 솔루션을 이용하는 것이 검출의 신뢰성 및 유연성을 효과적으로 개선하고 시스템의 보안성을 더 개선시킬 수 있다.
앞서 기재된 방법 실시예와 관련하여, 간결한 기재를 위해 상기 방법은 일련의 동작 조합으로 기재되지만, 해당 분야의 통상의 기술자라면 본 발명에 따라 일부 단계들이 그 밖의 다른 시퀀스로 수행되거나 동시에 수행될 수 있기 때문에 본 발명이 기재된 동작 시퀀스에 한정되지 않음을 알 것이다. 덧붙여, 또한 해당 분야의 통상의 기술자라면 본 명세서에 기재된 실시예가 모두 선호된 실시예이며 포함된 동작 및 모듈이 본 발명에서 반드시 필수인 것이 아님을 알 것이다.
상기의 실시예에서, 실시예 각각에 대한 기재가 이의 고유 강조를 가지며, 상세히 기술되지 않는 특정 실시예의 일부에 대해, 그 밖의 다른 실시예의 관련 기재에 대한 참조가 이뤄질 수 있다.
도 2는 도 2에 도시된 바와 같이, 본 발명의 그 밖의 다른 실시예에서 제공되는 악성 프로세스 행동을 검출하기 위한 장치의 개략적 구조 다이어그램이다. 이 실시예에서 악성 프로세스 행동을 검출하기 위한 장치는 모니터링 유닛(21), 전송 유닛(22), 수신 유닛(23), 및 동작 유닛(24)을 포함할 수 있다. 이 경우,
모니터링 유닛(21)은 타깃 프로세스 행동에 대한 행동 정보를 획득하기 위한 프로세스의 프로세스 행동을 모니터링하기 위해 사용된다.
전송 유닛(22)은 상기 타깃 프로세스 행동에 대한 행동 정보를 서버로 전송하도록 사용되어, 서버가 타깃 프로세스 행동에 대한 행동 정보에 따라 타깃 프로세스 행동을 검출하여 타깃 프로세스 행동이 악성 프로세스 행동인지 여부를 결정할 수 있다.
수신 유닛(23)은 타깃 프로세스 행동의 검출 결과에 따라 서버에 의해 반환되는 제 1 동작 지시 정보를 수신하도록 사용된다.
동작 유닛(24)은 제 1 동작 지시 정보에 따라 타깃 프로세스 행동에 대한 동작을 수행하도록 사용된다.
제 1 동작 지시 정보는 다음을 포함할 수 있지만 이에 한정되지 않는다:
상기 타깃 프로세스 행동이 악성 프로세스 행동임을 지시하기 위한 지시 정보, 및 타깃 프로세스 행동에 대한 차단 동작을 지시하기 위한 프롬프트 정보, 또는
타깃 프로세스 행동이 비-악성 프로세스 행동임을 지시하기 위한 지시 정보, 및 타깃 프로세스 행동에 대한 배포 동작을 지시하기 위한 프롬프트 정보.
이 실시예에서 제공된 악성 프로세스 행동을 검출하기 위한 장치가 로컬 클라이언트 내에 위치할 수 있어서 프로세스를 모니터링하기 위해 오프-라인 동작을 수행할 수 있다.
클라이언트가 단말기 상에 설치된 애플리케이션 프로그램, 가령, 안티바이러스 소프트웨어이거나, 브라우저의 웹페이지일 수도 있으며, 안전한 시스템 환경을 제공하기 위해 프로세스 모니터링을 구현할 수 있는 모든 객관적 형태의 존재가 가능하며, 이 실시예는 이와 관련하여 어떠한 한정도 부여하는 것이 아니다.
따라서 모니터링 유닛이 프로세스의 프로세스 행동을 모니터링하여 타깃 프로세스 행동에 대한 행동 정보를 획득하고, 그 후 전송 유닛이 타깃 프로세스 행동에 대한 행동 정보를 서버로 전송하고, 서버가 타깃 프로세스 행동에 대한 행동 정보에 따라 타깃 프로세스 행동을 검출하여 타깃 프로세스 행동이 악성 프로세스 행동인지 여부를 결정하여, 수신 유닛이 타깃 프로세스 행동의 검출 결과에 따라 서버에 의해 반환되는 제 1 동작 지시 정보를 수신할 수 있게 하고, 동작 유닛이 제 1 동작 지시 정보에 따라 타깃 프로세스 행동에 대한 동작을 수행함으로써, 상기 타깃 프로세스 행동이, 검출 장치에 의한 타깃 프로세스 행동의 단일 샘플의 특정된 특징 분서에 따라서가 아니라, 타깃 프로세스 행동에 대한 행동 정보에 따라 서버에 의한 포괄적 검출의 대상이 되어, 악성 프로세스 행동이 제때에 검출될 수 있어서 시스템의 보안 성능을 개선할 수 있다.
선택사항으로서, 이 실시예의 가능한 구현에서, 프로세스의 프로세스 행동을 모니터링하기 위해 모니터링 유닛(21)은 결정된 의심 프로세스 행동에 대한 관련 정보, 가령, 의심 타깃 프로세스 행동에 대한 식별 정보 및 의심 타깃 프로세스 행동에 대한 발신자 정보를 저장하는 사전 설정된 의심 행동 결정 라이브러리를 사용하여, 모니터링된 프로세스의 프로세스 행동이 의심 프로세스 행동, 즉, 타깃 프로세스 행동인지 여부를 결정하고, 타깃 프로세스 행동에 대한 행동 정보를 더 획득할 수 있다.
모니터링 유닛(21)의 모니터링 목적은 악성 프로세스 행동을 결정하기보다는 타깃 프로세스 행동을 결정하는 것에 불과하기 때문에, 의심 행동 결정 라이브러리의 설정 전략이 모니터링 범위를 적절하게 더 크도록 제어하여 불충분한 리포팅을 효과적으로 피할 수 있다.
선택사항으로서, 이 실시예의 가능한 구현에서, 모니터링 유닛(21)에 의해 획득된 타깃 프로세스 행동에 대한 행동 정보가 다음의 정보 중 적어도 하나를 포함하지만, 이에 한정되지 않는다:
타깃 프로세스 행동에 대한 발신자 정보,
타깃 프로세스 행동에 대한 타깃 객체 정보,
타깃 프로세스 행동에 대한 추가 정보, 및
타깃 프로세스 행동에 대한 식별 정보.
이 경우,
타깃 프로세스 행동에 대한 발신자 정보는 프로세스 행동을 개시하기 위한 객체 식별자일 수 있다.
타깃 프로세스 행동에 대한 타깃 객체 정보는 프로세스 행동에 의해 적용될 객체 식별자일 수 있다.
상기 타깃 프로세스 행동에 대한 추가 정보는 프로세스 행동에 의해 생성되는 데이터 정보일 수 있다.
상기 타깃 프로세스 행동에 대한 식별 정보는 상기 프로세스 행동의 식별자(ID)일 수 있다.
선택사항으로서, 이 실시예의 가능한 구현에서, 모니터링 유닛(21)은 상기 타깃 프로세스 행동에 대한 행동 정보를 획득하기 위해 시스템에서 모든 프로세스의 프로세스 행동을 특정하게 모니터링할 수 있다.
선택사항으로서, 이 실시예의 가능한 구현에서, 상기 모니터링 유닛(21)은 의심 타깃 프로세스 행동에 대한 사전 설정된 식별 정보에 따라 시스템에서 프로세스의 일부분의 프로세스 행동을 특정하게 모니터링하여 타깃 프로세스 행동에 대한 행동 정보를 획득할 수 있다.
선택사항으로서, 이 실시예의 가능한 구현에서, 서버는 검출 장치로부터 전송된 타깃 프로세스 행동에 대한 행동 정보를 수신하고, 그 후, 타깃 프로세스 행동에 대한 행동 정보에 따라 타깃 프로세스 행동을 검출하여, 상기 타깃 프로세스 행동이 악성 프로세스 행동인지 여부를 결정할 수 있다.
특정하게, 서버는 매칭을 위해 사전 설정된 악성 행동 결정 라이브러리를 이용하고, 상기 악성 행동 결정 라이브러리가 결정된 악성 프로세스 행동에 대한 행동 정보를 저장하여 타깃 프로세스 행동에 대한 행동 정보에 따라 타깃 프로세스 행동을 특정하게 검출하여, 상기 타깃 프로세스 행동이 악성 프로세스 행동인지 여부를 결정할 수 있다.
타깃 프로세스 행동에 대한 행동 정보와 일치하는 악성 프로세스 행동이 매칭되는 경우, 이는 이 타깃 프로세스 행동이 악성 프로세스 행동임을 지시하며, 그 후 서버는 상기 타깃 프로세스 행동이 악성 프로세스 행동이라고 결정할 수 있다.
타깃 프로세스 행동에 대한 행동 정보와 일치하는 어떠한 악성 프로세스 행동도 매칭되지 않는 경우, 이는 이 타깃 프로세스 행동이 알려지지 않은 프로세스 행동임을 지시하고, 그 후, 서버는 검출된 적어도 하나의 악성 프로세스 행동 또는 그 밖의 다른 검출 장치로부터 전송된 그 밖의 다른 타깃 프로세스 행동을 이용해 알려지지 않은 타깃 프로세스 행동을 더 검출할 수 있다.
특히, 서버는 타깃 프로세스 행동에 대한 행동 정보 및 결정된 적어도 하나의 악성 프로세스 행동에 대한 행동 정보에 따라 타깃 프로세스 행동을 특정하게 검출하여 상기 타깃 프로세스 행동이 악성 프로세스 행동인지 여부를 결정할 수 있다.
예를 들어, 서버는 결정된 적어도 하나의 악성 프로세스 행동에 대한 행동 정보의 군집 분석을 특정하게 수행하여 알려지지 않은 타깃 프로세스 행동이 악성 프로세스 행동인지 여부를 결정하기 위해 유사한 행동 정보를 획득할 수 있다. 예를 들어, 상기 적어도 하나의 악성 프로세스 행동에 대한 행동 정보가 타깃 프로세스 행동에 대한 타깃 객체 정보, 타깃 프로세스 행동에 대한 추가 정보, 및 타깃 프로세스 행동에 대한 식별 정보에 따라 군집되어 유사한 타깃 프로세스 행동에 대한 발신자 정보를 획득할 수 있다.
특히, 상기 서버는 타깃 프로세스 행동에 대한 행동 정보 및 그 밖의 다른 검출 장치로부터 전송된 그 밖의 다른 타깃 프로세스 행동에 대한 행동 정보에 따라 타깃 프로세스 행동을 특정하게 검출하여 상기 타깃 프로세스 행동이 악성 프로세스 행동인지 여부를 결정할 수 있다.
예를 들어, 서버는 타깃 프로세스 행동에 대한 행동 정보 및 그 밖의 다른 검출 장치로부터 전송된 그 밖의 다른 타깃 프로세스 행동에 대한 행동 정보의 군집 분석을 특정하게 수행하여, 군집 결과를 획득할 수 있다. 덧붙여, 타깃 프로세스 행동에 대한 행동 정보의 군집 결과는 추가로 분석되어 알려지지 않은 타깃 프로세스 행동이 악성 프로세스 행동인지 여부를 결정할 수 있다.
따라서 상기 서버가 결정된 적어도 하나의 악성 프로세스 행동 또는 그 밖의 다른 검출 장치로부터 전송된 그 밖의 다른 타깃 프로세스 행동을 이용해 알려지지 않은 타깃 프로세스 행동을 검출하여, 상기 알려지지 않은 타깃 프로세스 행동이 악성 프로세스 행동인지 여부를 결정할 수 있기 때문에, 악성 프로세스 행동이 제때에 검출되어 검출의 신뢰성 및 유연성이 효과적으로 개선되고 시스템의 보안이 추가로 개선될 수 있다.
서버가 알려지지 않은 타깃 프로세스 행동이 악성 프로세스 행동이라고 결정한 경우, 상기 서버는 결정된 타깃 프로세스 행동에 대한 행동 정보를 악성 행동 결정 라이브러리에 더 추가하여 상기 악성 행동 결정 라이브러리의 결정 능력을 개선할 수 있다.
선택사항으로서, 이 실시예의 가능한 구현에서, 상기 서버는 타깃 프로세스 행동과 관련된 또 다른 프로세스 행동을 추가로 검출하여 상기 또 다른 프로세스 행동이 악성 프로세스 행동인지 여부를 결정할 수 있다.
따라서 서버가 상기 타깃 프로세스 행동과 관련된 그 밖의 다른 프로세스 행동을 능동적으로 검출하여 상기 그 밖의 다른 프로세스 행동이 악성 프로세스 행동인지 여부를 결정할 수 있기 때문에, 악성 프로세스 행동 같지만 상기 검출 장치에 의해 보고되지 않은 그 밖의 다른 프로세스 행동이 제때에 검출될 수 있고, 따라서 검출의 신뢰성과 유연성이 효과적으로 개선되고 상기 시스템의 보안이 추가로 개선될 수 있다.
따라서 이 실시예의 가능한 구현에서, 수신 유닛(23)은 타깃 프로세스 행동과 관련된 그 밖의 다른 프로세스 행동의 검출 결과에 따라 서버에 의해 반환되는 제 2 동작 지시 정보를 수신하기 위해 더 사용될 수 있고, 그 박의 다른 프로세스 행동의 검출 결과는 그 밖의 다른 프로세스 행동을 검출하는 서버에 의해 획득되어, 타깃 프로세스 행동과 관련된 그 밖의 다른 프로세스 행동이 악성 프로세스 행동인지 여부를 결정할 수 있고, 동작 유닛(24)이 제 2 동작 지시 정보에 따라 그 밖의 다른 프로세스 행동에 대응하는 행동 결과에 대한 동작을 수행하도록 더 사용될 수 있다.
제 2 동작 지시 정보는 다음을 포함할 수 있으며, 이에 한정되지 않는다:
그 밖의 다른 프로세스 행동이 악성 프로세스 행동임을 지시하기 위한 지시 정보, 및 그 밖의 다른 프로세스 행동에 대응하는 행동 결과에 대한 동작을 수행하기 위해 지시하는 프롬프트 정보, 또는
그 밖의 다른 프로세스 행동이 비-악성 프로세스 행동임을 지시하기 위한 지시 정보.
상기 악성 행동 결정 라이브러리는 악성 프로세스 행동 각각에 대한 방어적 체킹 및 킬링 솔루션을 더 저장할 수 있다. 따라서 서버가 동작 지시, 즉, 제 1 또는 제 2 동작 지시 정보를 검출 장치로 전송하는 동안, 상기 서버는 대응하는 방어적 체킹 및 킬링 솔루션을 검출 장치로 더 전송하여 검출 장치가 상기 방어적 체킹 및 킬링 솔루션에 따라 안티바이러스 프로세싱을 효과적으로 수행할 수 있게 한다.
이 실시예에서, 모니터링 유닛이 프로세스의 프로세스 행동을 모니터링하여 타깃 프로세스 행동에 대한 행동 정보를 획득할 수 있고, 그 후, 전송 유닛이 타깃 프로세스 행동에 대한 행동 정보를 서버로 전송하고, 상기 서버는 상기 타깃 프로세스 행동에 대한 행동 정보에 따라 타깃 프로세스 행동을 검출하여 상기 타깃 프로세스 행동이 악성 프로세스 행동인지 여부를 결정하여, 수신 유닛이 상기 타깃 프로세스 행동의 검출 결과에 따라 서버에 의해 반환되는 제 1 동작 지시 정보를 수신하게 할 수 있고, 그 후 동작 유닛이 상기 제 1 동작 지시 정보에 따라 타깃 프로세스 행동에 대한 동작을 수행함으로써, 상기 타깃 프로세스 행동은, 검출 장치에 의한 타깃 프로세스 행동의 단일 샘플의 특정된 특징부 분석에 따라서가 아니라, 타깃 프로세스 행동에 대한 행동 정보에 따라 서버에 의한 포괄적 검출의 대상이 되어, 악성 프로세스 행동이 제때에 검출되어 시스템의 보안 성능이 개선될 수 있다.
덧붙여, 서버가 상기 타깃 프로세스 행동과 관련된 그 밖의 다른 프로세스 행동을 능동적으로 검출하여 그 밖의 다른 프로세스 행동이 악성 프로세스 행동인지 여부를 결정하여, 악성 프로세스 행동 같지만 검출 장치에 의해 리포팅되지 않은 그 밖의 다른 프로세스 행동이 제때 검출될 수 있기 때문에, 본 발명에서 제공되는 기술적 솔루션을 이용하는 것이 검출의 신뢰성과 유연성을 효과적으로 개선하고 시스템의 보안성을 더 개선할 수 있다.
덧붙여, 서버가 결정된 적어도 하나의 악성 프로세스 행동 또는 그 밖의 다른 검출 장치로부터 전송된 그 밖의 다른 타깃 프로세스 행동을 이용해 알려지지 않은 타깃 프로세스 행동을 검출하여, 알려지지 않은 타깃 프로세스 행동이 악성 프로세스 행동인지 여부를 결정함으로써, 악성 프로세스 행동이 제때 검출될 수 있기 때문에, 본 발명에서 제공되는 기술적 솔루션을 이용하는 것이 검출의 신뢰성 및 유연성을 효과적으로 개선하고 시스템의 보안성을 더 개선할 수 있다.
도 3은 도 3에 도시된 바와 같이, 본 발명의 또 다른 실시예에서 제공되는 악성 프로세스 행동을 검출하기 위한 시스템의 개략적 구조 다이어그램이다. 이 실시예에서 악성 프로세스 행동을 검출하기 위한 시스템은 서버(31) 및 도 2에 대응하는 실시예에서 제공되는 악성 프로세스 행동(32)을 검출하기 위한 장치를 포함할 수 있다. 이 경우,
서버(31)는 타깃 프로세스 행동에 대한 행동 정보에 따라 타깃 프로세스 행동을 검출하여 상기 타깃 프로세스 행동이 악성 프로세스 행동인지 여부를 결정하도록 사용된다.
검출 장치(32)의 상세한 설명에 대해, 도 2에 대응하는 실시예에서 관련 콘텐츠가 참조될 수 있으며, 본 명세서에서 상세하게 기재되지 않을 것이다.
선택사항으로서, 이 실시예의 가능한 구현에서, 상기 서버(31)는 타깃 프로세스 행동에 대한 행동 정보 및 결정된 적어도 하나의 악성 프로세스 행동에 대한 행동 정보에 따르는 타깃 프로세스 행동을 검출하도록 특정하게 사용될 수 있어서, 상기 타깃 프로세스 행동이 악성 프로세스 행동인지 여부를 결정할 수 있다.
예를 들어, 서버(31)는 결정된 적어도 하나의 악성 프로세스 행동에 대한 행동 정보의 군집 분석을 특정하게 수행하여 알려지지 않은 타깃 프로세스 행동이 악성 프로세스 행동인지 여부를 결정하기 위한 유사한 행동 정보를 획득할 수 있다. 예를 들어, 적어도 하나의 악성 프로세스 행동에 대한 행동 정보가 타깃 프로세스 행동에 대한 타깃 객체 정보, 타깃 프로세스 행동에 대한 추가 정보, 및 타깃 프로세스 행동에 대한 식별 정보에 따라 군집되어, 유사한 타깃 프로세스 행동에 대한 발신자 정보를 획득할 수 있다.
선택사항으로서, 이 실시예의 가능한 구현에서, 서버(31)는 타깃 프로세스 행동에 대한 행동 정보 및 그 밖의 다른 검출 장치로부터 전송된 그 밖의 다른 타깃 프로세스 행동에 대한 행동 정보에 따라 타깃 프로세스 행동을 검출하도록 특정하게 사용되어 상기 타깃 프로세스 행동이 악성 프로세스 행동인지 여부를 결정할 수 있다.
예를 들어, 서버(31)는 타깃 프로세스 행동에 대한 행동 정보 및 그 밖의 다른 검출 장치로부터 전송된 그 밖의 다른 타깃 프로세스 행동에 대한 행동 정보의 군집 분석을 특정하게 수행하여 군집 결과를 획득할 수 있다. 덧붙여, 상기 타깃 프로세스 행동에 대한 행동 정보의 군집 결과는 추가로 분석되어 알려지지 않은 타깃 프로세스 행동이 악성 프로세스 행동인지 여부를 결정할 수 있다.
따라서 서버가 결정된 적어도 하나의 악성 프로세스 행동 또는 그 밖의 다른 검출 장치로부터 전송된 그 밖의 다른 타깃 프로세스 행동을 이용해 알려지지 않은 타깃 프로세스 행동을 검출하여, 알려지지 않은 타깃 프로세스 행동이 악성 프로세스 행동인지 여부를 결정할 수 있기 때문에, 악성 프로세스 행동이 제때에 검출될 수 있으며, 이로써 검출의 신뢰성 및 유연성을 효과적으로 개선하고 시스템의 보안성을 더 개선할 수 있다.
서버가 알려지지 않은 타깃 프로세스 행동이 악성 프로세스 행동이라고 결정한 경우, 상기 서버는 결정된 타깃 프로세스 행동에 대한 행동 정보를 악성 행동 결정 라이브러리에 더 추가하여, 악성 행동 결정 라이브러리의 결정 용량을 개선할 수 있다.
선택사항으로, 본 실시예의 가능한 구현에서, 서버(31)는 타깃 프로세스 행동과 관련된 그 밖의 다른 프로세스 행동을 더 검출하여 그 밖의 다른 프로세스 행동이 악성 프로세스 행동인지 여부를 결정할 수 있다.
따라서 서버가 타깃 프로세스 행동과 관련된 그 밖의 다른 프로세스 행동을 능동적으로 검출하여 그 밖의 다른 프로세스 행동이 악성 프로세스 행동인지 여부를 결정하여, 악성 프로세스 행동 같지만 검출 장치에 의해 리포팅되지 않은 그 밖의 다른 프로세스 행동이 제때에 검출됨으로써, 검출의 신뢰성 및 유연성이 효과적으로 개선되고 시스템의 보안이 추가로 개선될 수 있다.
이 실시예에서, 검출 장치가 프로세스의 프로세스 행동을 모니터링하여 타깃 프로세스 행동에 대한 행동 정보를 획득하고, 그 후 상기 타깃 프로세스 행동에 대한 행동 정보를 서버로 전송하며, 서버가 타깃 프로세스 행동에 대한 행동 정보에 따라 상기 타깃 프로세스 행동을 검출하여 타깃 프로세스 행동이 악성 프로세스 행동인지 여부를 결정하여, 상기 검출 장치가 상기 타깃 프로세스 행동의 검출 결과에 따라 서버에 의해 반환된 제 1 동작 지시 정보를 수신하고 상기 제 1 동작 지시 정보에 따라 타깃 프로세스 행동에 대한 동작을 수행할 수 있음으로써, 상기 타깃 프로세스 행동은, 검출 장치에 의한 타깃 프로세스 행동의 단일 샘플의 특정된 특징부 분석에 따라서가 아니라, 상기 타깃 프로세스 행동에 대한 행동 정보에 따라 서버에 의한 포괄적 검출의 대상이 되어, 상기 악성 프로세스 행동이 제때에 검출될 수 있어서 시스템의 보안 성능이 개선될 수 있다.
덧붙여, 서버가 타깃 프로세스 행동과 관련된 그 밖의 다른 프로세스 행동을 능동적으로 검출하여 상기 그 밖의 다른 프로세스 행동이 악성 프로세스 행동인지 여부를 결정하여, 악성 프로세스 행동 같지만 검출 장치에 의해 리포팅되지 않는 그 밖의 다른 프로세스 행동이 제때에 검출될 수 있기 때문에, 본 발명에서 제공되는 기술적 솔루션을 이용하는 것이 검출의 신뢰성 및 유연성을 효과적으로 개선하고 시스템의 보안성을 더 개선할 수 있다.
덧붙여, 상기 서버가 결정된 적어도 하나의 악성 프로세스 행동 또는 그 밖의 다른 검출 장치로부터 전송된 그 밖의 다른 타깃 프로세스 행동을 이용해 알려지지 않은 타깃 프로세스 행동을 검출하여, 상기 알려지지 않은 타깃 프로세스 행동이 악성 프로세스 행동인지 여부를 결정함으로써, 악성 프로세스 행동이 제때에 검출될 수 있기 때문에, 본 발명에서 제공되는 기술적 솔루션을 이용하는 것이 검출의 신뢰성 및 유연성을 효과적으로 개선하고 시스템의 보안성을 더 개선할 수 있다.
해당 분야의 통상의 기술자라면, 편리하고 단순한 기술 목적으로, 앞서 언급된 시스템, 장치 및 유닛의 상세히 기술된 작업 프로세스에 대해, 방법 실시예에서 대응하는 프로세스에 대한 참조가 이뤄지며, 이는 본 명세서에서 상세히 기재되지 않을 것이다.
본 발명에 제공된 특정 실시예에서, 개시된 시스템, 장치, 및 방법이 그 밖의 다른 방식으로 구현될 수 있음을 이해해야 한다. 예를 들어, 앞서 기재된 장치 실시예는 단지 예시에 불과하며, 예를 들어, 유닛의 분할은 논리적 기능의 분할에 불과하고, 실제 구현에서 그 밖의 다른 형태의 분할이 존재할 수 있으며, 가령, 복수의 유닛 또는 구성요소가 조합되거나 또 다른 시스템으로 통합될 수 있거나 일부 특징이 생략되거나 수행되지 않을 수 있다. 또 다른 포인트는 도시되거나 논의되는 연결 또는 직접 연결 또는 통신 연결이 인터페이스, 장치, 또는 유닛을 통한 간접 연결 또는 통신 연결일 수 있고 전기적, 기계적, 또는 그 밖의 다른 형태를 가질 수 있다는 것이다.
별개의 구성요소로 기재된 유닛은 물리적으로 별개이거나 그렇지 않을 수 있으며, 유닛으로 디스플레이된 구성요소는 물리적 유닛이거나 그렇지 않을 수 있는데, 즉, 하나의 위치에 위치하거나 복수의 네트워크 요소 상에 분산되어 있을 수 있다. 유닛들 중 일부 또는 모두는 실제 실시예의 솔루션의 목적을 달성하기 위해 필요한 대로 선택될 수 있다.
덧붙여, 본 발명의 다양한 실시예에서의 다양한 기능 유닛이 하나의 프로세싱 유닛으로 통합되고 유닛 각각은 또한 물리적으로 홀로 존재하거나 둘 이상의 유닛이 하나의 유닛으로 통합될 수 있다. 앞서 언급된 통합된 유닛이 하드웨어의 형태로 구현되거나 소프트웨어 기능 유닛을 포함하는 하드웨어의 형태로 구현될 수 있다.
소프트웨어 기능 유닛에 의해 구현된 통합 유닛이 컴퓨터 판독형 저장 매체에 저장될 수 있다. 소프트웨어 기능 유닛이 저장 매체에 저장되고 (개인 컴퓨터, 서버, 또는 네트워크 장치일 수 있는) 컴퓨터 장치 또는 프로세서가 본 발명의 실시예에 기재된 방법의 일부 단계를 실행할 수 있게 하는 복수의 명령을 포함한다. 앞서 기재된 저장 매체는, 프로그램 코드를 저장할 수 있는 다양한 매체, 가령, USB 스틱, 이동식 하드 디스크, 리드-온리 메모리(ROM), 랜덤 액세스 메모리(RAM), 자기 디스크 또는 광학 디스크를 포함한다.
마지막으로, 상기의 실시예는 본 발명의 기술적 솔루션을 한정하기보다는 설명하기 위해 사용된 것에 불과함을 주지해야 하며, 본 발명이 상기의 실시예를 참조하여 상세히 기재되었지만, 해당 분야의 통상의 기술자라면 다양한 실시예에서 언급된 기술적 솔루션의 변형예를 만들거나 일부 기술적 특징의 균등한 대체예를 만들 수 있음을 이해할 것이며, 이들 변형예 또는 대체예가 본 발명의 다양한 실시예의 기술적 솔루션의 사상 및 범위 내에 있는 대응하는 기술적 솔루션의 정수를 도출할 것이다.

Claims (11)

  1. 악성 프로세스 행동을 검출하기 위한 방법으로서,
    검출 장치가 프로세스의 프로세스 행동을 모니터링하여 타깃 프로세스 행동에 대한 행동 정보를 획득하는 단계(101),
    상기 검출 장치가 상기 타깃 프로세스 행동에 대한 행동 정보를 서버로 전송하여, 상기 서버가 상기 타깃 프로세스 행동에 대한 행동 정보에 따라 상기 타깃 프로세스 행동을 검출함으로써, 상기 타깃 프로세스 행동이 악성 프로세스 행동인지 여부를 결정하는 단계(102),
    타깃 프로세스 행동에 대한 행동 정보를 악성 프로세스 행동에 대한 행동 정보에 매칭시킴으로써 타깃 프로세스 행동이 악성 프로세스 행동인지 여부를 상기 서버가 결정하고, 상기 악성 프로세스 행동에 대한 행동 정보는 악성 행동 결정 라이브러리에 저장되어 있으며, 상기 검출 장치는 상기 타깃 프로세스 행동의 검출 결과에 따라 상기 서버에 의해 반환되는 제 1 동작 지시 정보를 수신하는 단계(103), 및
    상기 검출 장치는 상기 제 1 동작 지시 정보에 따라 상기 타깃 프로세스 행동에 대한 동작을 수행하는 단계(104)를 포함하되,
    상기 서버는 악성 행동 결정 라이브러리에 저장된 적어도 하나의 악성 프로세스 행동에 대한 행동 정보의 서버에 의해 수행되는 클러스터링 분석에 기초하여, 알려지지 않은 타깃 프로세스 행동이 악성 프로세스 행동임을 결정하여, 유사 행동 정보를 획득할 수 있고,
    타깃 프로세스 행동에 대한 행동 정보가 악성 행동 결정 라이브러리에 저장된 하나 이상의 악성 프로세스 행동 각각에 관한 행동 정보와 일치하지 않는 경우, 알려지지 않은 타깃 프로세스 행동은 타깃 프로세스 행동이고,
    상기 서버가 알려지지 않은 타깃 프로세스 행동이 악성 프로세스 행동이라고 결정하면, 상기 서버는 결정된 타깃 프로세스 행동에 대한 행동 정보를 악성 행동 결정 라이브러리에 추가하는, 악성 프로세스 행동을 검출하기 위한 방법.
  2. 제1항에 있어서, 상기 검출 장치가 프로세스의 프로세스 행동을 모니터링하여 타깃 프로세스 행동에 대한 행동 정보를 획득하는 단계(101)는
    상기 검출 장치는 의심 타깃 프로세스 행동에 대한 사전 설정된 식별 정보에 따라 프로세스의 프로세스 행동을 모니터링하여, 타깃 프로세스 행동에 대한 행동 정보를 획득하는 단계를 포함하는, 악성 프로세스 행동을 검출하기 위한 방법.
  3. 제1항에 있어서, 상기 타깃 프로세스 행동에 대한 행동 정보는
    타깃 프로세스 행동에 대한 발신자 정보,
    타깃 프로세스 행동에 대한 타깃 객체 정보,
    타깃 프로세스 행동에 대한 추가 정보, 및
    타깃 프로세스 행동에 대한 식별 정보
    중 적어도 하나를 포함하는, 악성 프로세스 행동을 검출하기 위한 방법.
  4. 제1항에 있어서, 상기 검출 장치가 상기 타깃 프로세스 행동에 대한 행동 정보를 서버로 전송하여, 상기 서버가 상기 타깃 프로세스 행동에 대한 행동 정보에 따라 상기 타깃 프로세스 행동을 검출하여 상기 타깃 프로세스 행동이 악성 프로세스 행동인지 여부를 결정(102)한 후,
    상기 검출 장치가 상기 타깃 프로세스 행동과 관련된 그 밖의 다른 프로세스 행동의 검출 결과에 따라 상기 서버에 의해 반환되는 제 2 동작 지시 정보를 수신하는 단계 - 상기 그 밖의 다른 프로세스 행동의 검출 결과는, 상기 서버가 상기 그 밖의 다른 프로세스 행동을 검출함으로써 획득되어, 상기 타깃 프로세스 행동과 관련된 그 밖의 다른 프로세스 행동이 악성 프로세스 행동인지 여부를 결정함 - , 및
    상기 검출 장치가 상기 제 2 동작 지시 정보에 따라 상기 그 밖의 다른 프로세스 행동에 대응하는 행동 결과에 대한 동작을 수행하는 단계
    를 포함하는, 악성 프로세스 행동을 검출하기 위한 방법.
  5. 제1항에 있어서, 상기 서버가 상기 타깃 프로세스 행동에 대한 행동 정보에 따라 상기 타깃 프로세스 행동을 검출함으로써 상기 타깃 프로세스 행동이 악성 프로세스 행동인지 여부를 결정하는 단계는
    상기 서버가 상기 타깃 프로세스 행동에 대한 행동 정보 및 결정된 적어도 하나의 악성 프로세스 행동에 대한 행동 정보에 따라 상기 타깃 프로세스 행동을 검출하여, 상기 타깃 프로세스 행동이 악성 프로세스 행동인지 여부를 결정하는 단계, 또는
    상기 서버가 상기 타깃 프로세스 행동에 대한 행동 정보 및 그 밖의 다른 검출 장치로부터 전송된 그 밖의 다른 타깃 프로세스 행동에 대한 행동 정보에 따라 상기 타깃 프로세스 행동을 검출하여, 상기 타깃 프로세스 행동이 악성 프로세스 행동인지 여부를 결정하는 단계
    를 포함하는, 악성 프로세스 행동을 검출하기 위한 방법.
  6. 서버(31) 및
    악성 프로세스 행동을 검출하기 위한 장치(32)를 포함하는 악성 프로세스 행동을 검출하기 위한 시스템으로서, 상기 악성 프로세스 행동을 검출하기 위한 장치(32)는,
    프로세스의 프로세스 행동을 모니터링하여 타깃 프로세스 행동에 대한 행동 정보를 획득하기 위한 모니터링 유닛(21),
    상기 타깃 프로세스 행동에 대한 행동 정보를 서버(31)로 전송하여, 상기 서버가 상기 타깃 프로세스 행동에 대한 행동 정보에 따라 상기 타깃 프로세스 행동을 검출함으로써 상기 타깃 프로세스 행동이 악성 프로세스 행동인지 여부를 결정하도록 구성되는, 전송 유닛(22),
    상기 타깃 프로세스 행동의 검출 결과에 따라 상기 서버에 의해 반환되는 제 1 동작 지시 정보를 수신하도록 구성되는, 수신 유닛(23), 및
    상기 제 1 동작 지시 정보에 따라 상기 타깃 프로세스 행동에 대한 동작을 수행하도록 구성되는, 동작 유닛(24)을 포함하되,
    상기 서버는 상기 타깃 프로세스 행동에 대한 행동 정보에 따라 상기 타깃 프로세스 행동을 검출하여, 상기 타깃 프로세스 행동이 악성 프로세스 행동인지 여부를 결정하도록 구성되고,
    상기 서버는 타깃 프로세스 행동에 대한 행동 정보를 악성 프로세스 행동에 대한 행동 정보에 매칭시킴으로써 타깃 프로세스 행동이 악성 프로세스 행동인지 여부를 결정하도록 구성되고, 악성 프로세스 행동에 대한 행동 정보는 악성 행동 결정 라이브러리에 저장되며,
    상기 서버는, 악성 행동 결정 라이브러리에 저장된 적어도 하나의 악성 프로세스 행동에 대한 행동 정보의 서버에 의해 수행되는 클러스터링 분석에 기초하여, 알려지지 않은 타깃 프로세스 행동이 악성 프로세스 행동임을 결정하도록 구성되어, 유사 행동 정보를 획득할 수 있고,
    타깃 프로세스 행동에 대한 행동 정보가 악성 행동 결정 라이브러리에 저장된 하나 이상의 악성 프로세스 행동 각각에 관한 행동 정보와 일치하지 않는 경우, 알려지지 않은 타깃 프로세스 행동은 타깃 프로세스 행동이고,
    상기 서버가 알려지지 않은 타깃 프로세스 행동이 악성 프로세스 행동이라고 결정하면, 상기 서버는 결정된 타깃 프로세스 행동에 대한 행동 정보를 악성 행동 결정 라이브러리에 추가하도록 구성되는, 악성 프로세스 행동을 검출하기 위한 시스템.
  7. 제6항에 있어서, 상기 모니터링 유닛(21)은, 의심 타깃 프로세스 행동에 대한 사전 설정된 식별 정보에 따라 프로세스의 프로세스 행동을 모니터링하여 상기 타깃 프로세스 행동에 대한 행동 정보를 획득하도록 특정하게 구성되는, 악성 프로세스 행동을 검출하기 위한 시스템.
  8. 제6항에 있어서, 상기 모니터링 유닛(21)에 의해 획득된 상기 타깃 프로세스 행동에 대한 행동 정보는,
    타깃 프로세스 행동에 대한 발신자 정보,
    타깃 프로세스 행동에 대한 타깃 객체 정보,
    타깃 프로세스 행동에 대한 추가 정보, 및
    타깃 프로세스 행동에 대한 식별 정보
    중 적어도 하나를 포함하는, 악성 프로세스 행동을 검출하기 위한 시스템.
  9. 제6항 내지 제8항 중 어느 한 항에 있어서,
    상기 수신 유닛(23)은, 상기 타깃 프로세스 행동과 관련된 그 밖의 다른 프로세스 행동의 검출 결과에 따라 상기 서버(31)에 의해 반환되는 제 2 동작 지시 정보를 수신하도록 또한 구성되며, 상기 그 밖의 다른 프로세스 행동의 검출 결과는 상기 서버가 상기 그 밖의 다른 프로세스 행동을 검출함으로써 획득되어, 상기 타깃 프로세스 행동과 관련된 그 밖의 다른 프로세스 행동이 악성 프로세스 행동인지 여부를 결정할 수 있고,
    상기 동작 유닛(24)은, 상기 제 2 동작 지시 정보에 따라 상기 그 밖의 다른 프로세스 행동에 대응하는 행동 결과에 대한 동작을 수행하도록 또한 구성되는, 악성 프로세스 행동을 검출하기 위한 시스템.
  10. 제6항 내지 제8항 중 어느 한 항에 있어서, 상기 서버(31)는
    상기 타깃 프로세스 행동에 대한 행동 정보 및 결정된 적어도 하나의 악성 프로세스 행동에 대한 행동 정보에 따라 상기 타깃 프로세스 행동을 검출하도록 구성되어, 상기 타깃 프로세스 행동이 악성 프로세스 행동인지 여부를 결정할 수 있고, 또는,
    상기 타깃 프로세스 행동에 대한 행동 정보 및 그 밖의 다른 검출 장치로부터 전송된 그 밖의 다른 타깃 프로세스 행동에 대한 행동 정보에 따라 상기 타깃 프로세스 행동을 검출하도록 구성되어, 상기 타깃 프로세스 행동이 악성 프로세스 행동인지 여부를 결정할 수 있는, 악성 프로세스 행동을 검출하기 위한 시스템.
  11. 프로세싱 시스템에서 실행될 때, 제1항 내지 제5항 중 어느 한 항에 따른 방법을 상기 프로세싱 시스템을 통해 수행하게 하는 실행가능 명령어들을 포함하는 컴퓨터 프로그램을 저장한 컴퓨터 판독가능 기록 매체.
KR1020140194553A 2014-04-28 2014-12-31 악성 프로세스 행동을 검출하기 위한 방법, 장치 및 시스템 KR102210627B1 (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
CN201410174682.8A CN103955645B (zh) 2014-04-28 2014-04-28 恶意进程行为的检测方法、装置及系统
CN201410174682.8 2014-04-28

Publications (2)

Publication Number Publication Date
KR20150124370A KR20150124370A (ko) 2015-11-05
KR102210627B1 true KR102210627B1 (ko) 2021-02-02

Family

ID=51332920

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020140194553A KR102210627B1 (ko) 2014-04-28 2014-12-31 악성 프로세스 행동을 검출하기 위한 방법, 장치 및 시스템

Country Status (4)

Country Link
US (1) US9842208B2 (ko)
EP (1) EP2940957B1 (ko)
KR (1) KR102210627B1 (ko)
CN (1) CN103955645B (ko)

Families Citing this family (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20160381051A1 (en) * 2015-06-27 2016-12-29 Mcafee, Inc. Detection of malware
CN105095759A (zh) * 2015-07-21 2015-11-25 安一恒通(北京)科技有限公司 文件的检测方法及装置
CN105303111B (zh) * 2015-10-16 2019-02-15 珠海豹趣科技有限公司 一种用户终端中恶意进程的识别方法、装置及用户终端
CN106708859B (zh) * 2015-11-13 2020-09-01 北京神州泰岳信息安全技术有限公司 一种资源访问行为的审计方法和装置
CN105389521B (zh) * 2015-12-18 2019-08-23 北京金山安全管理系统技术有限公司 一种对计算机系统中文件进行安全保护的方法
CN105844156A (zh) * 2016-03-22 2016-08-10 北京金山安全软件有限公司 一种进程信息获取方法、装置及电子设备
US10769267B1 (en) * 2016-09-14 2020-09-08 Ca, Inc. Systems and methods for controlling access to credentials
US10599845B2 (en) * 2016-12-13 2020-03-24 Npcore, Inc. Malicious code deactivating apparatus and method of operating the same
CN106856478A (zh) * 2016-12-29 2017-06-16 北京奇虎科技有限公司 一种基于局域网的安全检测方法和装置
CN106650436B (zh) * 2016-12-29 2019-09-27 北京奇虎科技有限公司 一种基于局域网的安全检测方法和装置
CN106781094A (zh) * 2016-12-29 2017-05-31 北京安天网络安全技术有限公司 一种atm系统资源异常报警系统及方法
CN106874769B (zh) * 2016-12-30 2019-05-24 腾讯科技(深圳)有限公司 漏洞的防御方法和装置
CN109474571A (zh) * 2017-12-29 2019-03-15 北京安天网络安全技术有限公司 一种协同联动发现Rootkit的方法及系统
JP6970344B2 (ja) * 2018-08-03 2021-11-24 日本電信電話株式会社 感染拡大攻撃検知装置、攻撃元特定方法及びプログラム
CN109388946B (zh) * 2018-09-28 2022-02-25 珠海豹趣科技有限公司 恶意进程检测方法、装置、电子设备及存储介质
CN109815695A (zh) * 2018-12-29 2019-05-28 360企业安全技术(珠海)有限公司 进程安全的检测方法、装置及设备
CN109800581B (zh) * 2018-12-29 2021-10-22 360企业安全技术(珠海)有限公司 软件行为的安全防护方法及装置、存储介质、计算机设备
CN111143842B (zh) * 2019-12-12 2022-07-01 广州大学 一种恶意代码检测方法及系统
US20240155007A1 (en) * 2022-11-03 2024-05-09 Secureworks Corp. Systems and methods for detecting security threats

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130145463A1 (en) * 2011-12-02 2013-06-06 Invincea, Inc. Methods and apparatus for control and detection of malicious content using a sandbox environment

Family Cites Families (40)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6873966B2 (en) * 2000-06-15 2005-03-29 Hart Intercivic, Inc. Distributed network voting system
JP3914757B2 (ja) * 2001-11-30 2007-05-16 デュアキシズ株式会社 ウィルス検査のための装置と方法とシステム
US8006305B2 (en) * 2004-06-14 2011-08-23 Fireeye, Inc. Computer worm defense system and method
US8881282B1 (en) * 2004-04-01 2014-11-04 Fireeye, Inc. Systems and methods for malware attack detection and identification
US8528086B1 (en) * 2004-04-01 2013-09-03 Fireeye, Inc. System and method of detecting computer worms
US7603715B2 (en) * 2004-07-21 2009-10-13 Microsoft Corporation Containment of worms
US8117486B2 (en) * 2007-04-10 2012-02-14 Xerox Corporation Method and system for detecting an anomalous networked device
US8266691B2 (en) * 2007-04-13 2012-09-11 Microsoft Corporation Renewable integrity rooted system
US8347386B2 (en) * 2008-10-21 2013-01-01 Lookout, Inc. System and method for server-coupled malware prevention
US8533844B2 (en) * 2008-10-21 2013-09-10 Lookout, Inc. System and method for security data collection and analysis
US8220054B1 (en) * 2008-10-31 2012-07-10 Trend Micro, Inc. Process exception list updating in a malware behavior monitoring program
US8490195B1 (en) * 2008-12-19 2013-07-16 Symantec Corporation Method and apparatus for behavioral detection of malware in a computer system
US8776218B2 (en) * 2009-07-21 2014-07-08 Sophos Limited Behavioral-based host intrusion prevention system
KR101057432B1 (ko) * 2010-02-23 2011-08-22 주식회사 이세정보 프로세스의 행위 분석을 통한 유해 프로그램을 실시간으로 탐지하고 차단하는 시스템, 방법, 프로그램 및 기록매체
US8464345B2 (en) * 2010-04-28 2013-06-11 Symantec Corporation Behavioral signature generation using clustering
US8683216B2 (en) * 2010-07-13 2014-03-25 F-Secure Corporation Identifying polymorphic malware
GB201012519D0 (en) * 2010-07-26 2010-09-08 Ucl Business Plc Method and system for anomaly detection in data sets
TWI435236B (zh) * 2010-12-15 2014-04-21 Inst Information Industry 惡意程式偵測裝置、惡意程式偵測方法及其電腦程式產品
US8640245B2 (en) * 2010-12-24 2014-01-28 Kaspersky Lab, Zao Optimization of anti-malware processing by automated correction of detection rules
RU2454714C1 (ru) * 2010-12-30 2012-06-27 Закрытое акционерное общество "Лаборатория Касперского" Система и способ повышения эффективности обнаружения неизвестных вредоносных объектов
KR101036750B1 (ko) * 2011-01-04 2011-05-23 주식회사 엔피코어 좀비행위 차단 시스템 및 방법
US8863291B2 (en) * 2011-01-20 2014-10-14 Microsoft Corporation Reputation checking of executable programs
WO2012149221A2 (en) * 2011-04-27 2012-11-01 Seven Networks, Inc. System and method for making requests on behalf of a mobile device based on atomic processes for mobile network traffic relief
US9467463B2 (en) * 2011-09-02 2016-10-11 Duo Security, Inc. System and method for assessing vulnerability of a mobile device
EP2610776B1 (en) * 2011-09-16 2019-08-21 Veracode, Inc. Automated behavioural and static analysis using an instrumented sandbox and machine learning classification for mobile security
ES2577143T3 (es) * 2011-10-14 2016-07-13 Telefónica, S.A. Método y sistema para detectar software malintencionado
WO2013102119A1 (en) * 2011-12-30 2013-07-04 Perlego Systems, Inc. Anti-virus protection for mobile devices
US8954519B2 (en) * 2012-01-25 2015-02-10 Bitdefender IPR Management Ltd. Systems and methods for spam detection using character histograms
US9832211B2 (en) 2012-03-19 2017-11-28 Qualcomm, Incorporated Computing device to detect malware
RU2485577C1 (ru) * 2012-05-11 2013-06-20 Закрытое акционерное общество "Лаборатория Касперского" Способ увеличения надежности определения вредоносного программного обеспечения
US9747440B2 (en) * 2012-08-15 2017-08-29 Qualcomm Incorporated On-line behavioral analysis engine in mobile device with multiple analyzer model providers
US9003529B2 (en) * 2012-08-29 2015-04-07 The Johns Hopkins University Apparatus and method for identifying related code variants in binaries
US9355247B1 (en) * 2013-03-13 2016-05-31 Fireeye, Inc. File extraction from memory dump for malicious content analysis
US20140283038A1 (en) * 2013-03-15 2014-09-18 Shape Security Inc. Safe Intelligent Content Modification
US8788405B1 (en) * 2013-03-15 2014-07-22 Palantir Technologies, Inc. Generating data clusters with customizable analysis strategies
US9380066B2 (en) * 2013-03-29 2016-06-28 Intel Corporation Distributed traffic pattern analysis and entropy prediction for detecting malware in a network environment
US9300686B2 (en) * 2013-06-28 2016-03-29 Fireeye, Inc. System and method for detecting malicious links in electronic messages
US9215240B2 (en) * 2013-07-25 2015-12-15 Splunk Inc. Investigative and dynamic detection of potential security-threat indicators from events in big data
US9171160B2 (en) * 2013-09-30 2015-10-27 Fireeye, Inc. Dynamically adaptive framework and method for classifying malware using intelligent static, emulation, and dynamic analyses
US9043894B1 (en) * 2014-11-06 2015-05-26 Palantir Technologies Inc. Malicious software detection in a computing system

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130145463A1 (en) * 2011-12-02 2013-06-06 Invincea, Inc. Methods and apparatus for control and detection of malicious content using a sandbox environment

Also Published As

Publication number Publication date
EP2940957B1 (en) 2019-07-24
CN103955645A (zh) 2014-07-30
US9842208B2 (en) 2017-12-12
KR20150124370A (ko) 2015-11-05
CN103955645B (zh) 2017-03-08
EP2940957A1 (en) 2015-11-04
US20150310211A1 (en) 2015-10-29

Similar Documents

Publication Publication Date Title
KR102210627B1 (ko) 악성 프로세스 행동을 검출하기 위한 방법, 장치 및 시스템
US10389740B2 (en) Detecting a malicious file infection via sandboxing
US10893068B1 (en) Ransomware file modification prevention technique
US8959641B2 (en) Foiling a document exploit attack
US8627478B2 (en) Method and apparatus for inspecting non-portable executable files
US8914886B2 (en) Dynamic quarantining for malware detection
CN109302426B (zh) 未知漏洞攻击检测方法、装置、设备及存储介质
EP2788912B1 (en) Predictive heap overflow protection
US9846775B2 (en) Systems and methods for malware evasion management
KR101212553B1 (ko) 악성 파일 검사 장치 및 방법
US20160248788A1 (en) Monitoring apparatus and method
US20170061126A1 (en) Process Launch, Monitoring and Execution Control
US10083301B2 (en) Behaviour based malware prevention
US8646076B1 (en) Method and apparatus for detecting malicious shell codes using debugging events
CN105791250B (zh) 应用程序检测方法及装置
CN114124560A (zh) 一种失陷主机的检测方法、装置、电子设备及存储介质
US11449610B2 (en) Threat detection system
CN117914582A (zh) 一种进程挖空攻击的检测方法、装置、设备及存储介质

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant