KR20040056998A - Method and Apparatus for Detecting Malicious Executable Code using Behavior Risk Point - Google Patents

Method and Apparatus for Detecting Malicious Executable Code using Behavior Risk Point Download PDF

Info

Publication number
KR20040056998A
KR20040056998A KR1020020083749A KR20020083749A KR20040056998A KR 20040056998 A KR20040056998 A KR 20040056998A KR 1020020083749 A KR1020020083749 A KR 1020020083749A KR 20020083749 A KR20020083749 A KR 20020083749A KR 20040056998 A KR20040056998 A KR 20040056998A
Authority
KR
South Korea
Prior art keywords
malicious
security policy
module
code
executable code
Prior art date
Application number
KR1020020083749A
Other languages
Korean (ko)
Other versions
KR100475311B1 (en
Inventor
오형근
배병철
김은영
박중길
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR10-2002-0083749A priority Critical patent/KR100475311B1/en
Publication of KR20040056998A publication Critical patent/KR20040056998A/en
Application granted granted Critical
Publication of KR100475311B1 publication Critical patent/KR100475311B1/en

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/563Static detection by source code analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Debugging And Monitoring (AREA)

Abstract

PURPOSE: A bad execution code detecting system and method is provided to calculate a risk degree by making a behavior analysis based on a security policy and to detect a bad execution code based on the calculated risk degree. CONSTITUTION: The system comprises a bad execution code management database(700), a system resource monitoring module, a security policy module(600), a bad execution code detection module(500), an update module(900), and an alarm module. The bad execution code management database(700) stores already known bad execution codes. The system resource monitoring module monitors a file system, a process and a network. The security policy module(600) establishes the first security policy for basically preventing a behavior on a specific file or directory by using the system resource monitoring module, and the second security policy for calculating a risk degree for each process and sensing a bad behavior. The bad execution code detection module(500) performs the first bad execution code detection via the database(700) and the second bad execution code detection via the security policy module(600). The update module(900) transmits new bad execution code data and important security policy data to the detection module(500) and the database(700).

Description

위험도 산정을 통한 악성실행코드 탐지 장치 및 그 방법{Method and Apparatus for Detecting Malicious Executable Code using Behavior Risk Point}Apparatus and method for detecting malicious executable code through risk estimation {Method and Apparatus for Detecting Malicious Executable Code using Behavior Risk Point}

본 발명은 정책기반의 위험도 산정을 통한 악성실행코드 탐지 장치에 관한 것으로서, 특히 원격지로부터 다운로드되어 사용자 컴퓨터 상에서 실행코드가 자동 수행될 때, 일체의 악성행위를 탐지하고 이를 사용자에게 통지, 대처하도록 함으로써 악성실행코드로부터 컴퓨터 시스템 및 내부 자원을 보호하고 해당 악성실행코드의 확산을 방지하는 악성실행코드 탐지 장치 및 그 방법에 관한 것이다.The present invention relates to an apparatus for detecting malicious executable code through policy-based risk estimation. In particular, when an executable code is automatically downloaded from a remote site and executed automatically on a user's computer, it detects any malicious behavior and notifies and copes with the user. A malicious execution code detection device and method for protecting a computer system and internal resources from malicious execution code and preventing the spread of the malicious execution code.

종래의 웹 사용 환경은 일반 텍스트 전송과 같이 정적이며 단순한 형태를 가지고 있으며, 실행 프로그램들도 하나의 컴퓨터에서만 실행되었다. 따라서 만일 다른 컴퓨터 시스템에서 실행시키고자 할 경우에는 이동저장 장치를 이용해서 이동 및 실행시키거나 공유하여 사용하는 방법이 기본적인 형태이었다. 그러나, 인터넷과 월드 와이드 웹(WWW)의 등장을 통하여 정적이고 단순한 형태의 정보 이동 형태에서 벗어나 보다 다양한 형태의 정보가 다양한 경로를 통해 이동되고 실행될 수 있는 환경이 구축되었다. 이러한 다양한 정보를 접근하는데 있어서 보다 향상된 편의성 및 기능을 제공하기 위해 자바 애플릿(Java Applet), 자바 스크립트(Java Script) 그리고 엑티브 엑스 컨트롤(ActiveX Control) 등과 같은 실행코드 기술들이 개발되었다.The conventional web environment has a static and simple form as a plain text transmission, and the executable programs are executed only on one computer. Therefore, if you want to run on other computer systems, the basic method was to move, run, or share using a mobile storage device. However, with the advent of the Internet and the World Wide Web, an environment in which various types of information can be moved and executed through various paths has been established, free from static and simple forms of information movement. Execution code technologies such as Java Applet, Java Script and ActiveX Control have been developed to provide greater convenience and functionality in accessing this diverse information.

이와 같은 다양한 실행코드 기술들은 누구나 쉽게 작성할 수 있으며, 웹 브라우저를 통해 어떤 컴퓨터 시스템에서도 수행이 가능하다. 그런데 실행코드들은 사용자가 웹을 이용하는 동안 사용자 시스템 내에서 사용자도 인식하지 못한 채 수행되기도 하며, 모두 인터프리터(interpreter) 형식으로 전달자와 사용자의 컴퓨터 구분 없이 수행 가능한 형태를 가지고 있다.These various executable code technologies can be easily written by anyone and can be performed on any computer system through a web browser. By the way, the execution codes are executed without the user's awareness in the user's system while the user is using the web, and all of them have an interpreter format that can be executed without distinguishing between the sender and the user's computer.

이러한 실행 컨텐츠들은 자체 보안 기능을 가지고 있는 등 보안 요구 사항을 충족시키기 위한 여러 가지 방안들을 제시하고 있으나, 각 실행코드 별 취약점을 이용하여 비밀성(Confidentiality) 침해공격, 무결성(Integrity) 침해공격, 가용성(Availability) 침해공격, 사용자 불편 및 불쾌감 유발(Annoyance) 등 다양한 피해가 발생하고 있다. 그리고 실행코드를 사용한 각종 실행 컨텐츠 제작이 증가할 수록 이러한 문제점들을 보다 많이 발생할 것이다.These execution contents suggest various measures to meet the security requirements, such as having their own security functions, but using vulnerability of each executable code, confidentiality attack, integrity attack, and availability (Availability) Various damages are taking place, including invasion attacks, user discomfort and annoyance. And as the production of various executable contents using executable code increases, these problems will occur more.

따라서 악성실행코드를 탐지하기 위해 알려진 악성실행코드 탐지 데이터 베이스를 이용하여, 악성실행코드 실행 이전에 정보를 분석, 비교함으로써 탐지해 내고 있다. 그리고 암호학적 전자서명 기법을 이용하여 코드의 무결성을 제공함으로써 실행코드의 위변조 여부를 검사하거나, 정책 설정 기능을 통하여 대응하도록 하고 있다. 그러나 이러한 방법들은 알려진 악성실행코드에 대해서만 탐지가 가능하고, 공개키 기반 구조의 구축과 같이 제반 여건 구축의 미진 등으로 인해 악성실행코드에 대한 완벽한 대응이 되지 못하고 있다. 또한 여러 회사(Finjan, Digitivity)에서 악성실행코드 대응도구(SurfinShield, SurfinGate, Cage, AppletTrap)들도 개발하고 있으나, 알려진 악성실행코드에 대한 탐지만 제공하고 있고, 알려지지 않은 악성실행코드 탐지 기능을 제공하고 있지 못한 문제가 있다.Therefore, it detects malicious executable code detection database by analyzing and comparing information before executing malicious executable code to detect malicious executable code. In addition, by providing the integrity of the code by using the cryptographic digital signature technique, it checks the forgery of the execution code or responds through the policy setting function. However, these methods can only detect known malicious executable code, and due to the lack of various conditions such as the establishment of public key infrastructure, it is not a perfect response to malicious executable code. In addition, several companies (Finjan, Digitivity) are developing malicious code countermeasures (SurfinShield, SurfinGate, Cage, AppletTrap), but only provide detection of known malicious code and provide detection of unknown malicious code. There is a problem that you are not doing.

한국 특허출원 제10-2002-13994호에서는 악성코드의 쓰기 동작을 파악하여 이를 금지하거나, 사용자에게 통지함으로써 컴퓨터 바이러스에 의한 감염을 방지할 수 있는 방법을 개시하고 있다. 그러나 이는 파일 바이러스 중 기생형 바이러스가 실행 파일을 감염시키기 위해 실행 파일 등의 앞이나 뒤에 바이러스 프로그램을 붙이고자 할 때, 해당 파일에 대한 쓰기 동작을 파악하여 탐지하는 기법이다. 그러므로 모든 종류의 악성코드를 탐지하기 위한 방법은 아니고, 제한된 형태의 행위를 수행하는 악성코드 만을 탐지 대상으로 한다는 한계가 있다.Korean Patent Application No. 10-2002-13994 discloses a method of preventing an infection caused by a computer virus by identifying a writing operation of a malicious code and prohibiting it or notifying a user. However, when a parasitic virus among file viruses tries to attach a virus program before or after an executable file to infect an executable file, it detects and detects a write operation on the file. Therefore, there is a limit not to detect all kinds of malicious codes, but only to target malicious codes that perform limited types of actions.

본 발명이 이루고자 하는 기술적 과제는, 외부로부터 다운로드된 실행 코드 수행 시 보안 정책 기반의 행위 분석을 통한 위험도 산정을 통해 악성실행코드를 탐지할 수 있는 위험도 산정을 통한 악성실행코드 탐지 장치 및 그 방법을 제공하는데 있다.The technical problem to be achieved by the present invention is an apparatus and method for detecting malicious execution code through the calculation of the risk that can detect malicious executable code through risk calculation through security policy based behavior analysis when executing executable code downloaded from the outside. To provide.

도 1은 컴퓨터 시스템에서 악성실행코드 탐지 장치의 위치관계를 설명하기 위한 블록도이다.1 is a block diagram illustrating the positional relationship of a malicious executable code detection apparatus in a computer system.

도 2는 본 발명의 바람직한 실시예에 의한 악성실행코드 탐지 장치를 설명하기 위한 블록도이다.2 is a block diagram illustrating a malicious execution code detection apparatus according to a preferred embodiment of the present invention.

도 3는 본 발명의 바람직한 실시예에 의한 악성실행코드 탐지 장치를 모듈 별로 더 자세히 설명하기 위한 블록도이다.Figure 3 is a block diagram for explaining in more detail the module for detecting malicious executable code according to an embodiment of the present invention.

도 4는 본 발명의 바람직한 실시예에 의한 악성실행코드 탐지 방법을 설명하기 위한 플로우 차트이다.4 is a flowchart illustrating a malicious execution code detection method according to a preferred embodiment of the present invention.

상기 과제를 이루기 위해, 본 발명에 의한 위험도 산정을 통한 악성실행코드 탐지 장치는, 이미 알려진 악성실행코드를 저장하는 악성실행코드 데이터 베이스, 파일 시스템, 프로세스 및 네트워크를 모니터링하는 시스템 자원 감시 모듈, 시스템 자원 감시 모듈을 이용하여 특정 파일이나 디렉토리에 대한 행위를 원천적으로 방지하기 위한 1차 보안 정책 및 각 프로세스에 대한 위험도 점수를 누적하여 악성행위를 감지하기 위한 2차 보안 정책을 수행하는 보안 정책부, 악성실행코드 데이터 베이스를 통한 1차 탐지 및 보안 정책부를 통한 2차 탐지를 수행하는 악성실행코드 탐지 모듈, 새로운 악성실행코드 정보 또는 중요한 보안 정책을 악성실행코드 탐지 모듈 및 악성실행코드 데이터 베이스에 전송하는 업데이트 모듈 및 악성실행코드 탐지 모듈에서 탐지된 보안 정책 위배에 대한 처리를 실행금지, 무시 및 강제종료로 구분하여 제공하는 악성실행코드 경고 모듈을 포함하는 것이 바람직하다.In order to achieve the above object, the malicious code execution detection device through the risk calculation according to the present invention, a system resource monitoring module, a system for monitoring a malicious code database, file system, process and network for storing known malicious code A security policy unit that performs a secondary security policy for detecting malicious behavior by accumulating a risk score for each process and a primary security policy for preventing an action on a specific file or directory by using a resource monitoring module; Sending malicious code detection module, new malicious code information or important security policy to malicious code detection module and malicious code database to perform primary detection through malicious code database and secondary detection through security policy department Update modules and malware detection modules It is preferable to include a malicious executable code warning module that provides a process for classifying a detected security policy violation into a prohibition, ignore and forced termination.

상기 다른 과제를 이루기 위해, 본 발명에 의한 위험도 산정을 통한 악성실행코드 탐지방법은, 이미 알려진 악성실행코드가 존재하는지 검사하고, 존재하면 해당 프로세스를 강제 종료시키는 단계, 악성실행코드가 존재하지 않으면, 1차 보안 정책을 통해 설정한 금지행위 발생 시 해당 프로세스를 중지시키고, 사용자에게통보하는 단계 및 금지행위가 발생하지 않으면, 2차 보안 정책을 통해 각 행위별 위험도 점수를 계산하여 계산된 행위별 위험도 점수를 합산하고, 합산된 위험도 점수가 소정값을 넘으면 해당 프로세스를 중지시키고, 사용자에게 통보하는 단계를 포함하는 것이 바람직하다.In order to achieve the above another object, the malicious code execution detection method through the risk calculation according to the present invention, checking whether there is a known malicious code execution, if present, forcibly terminating the process, if the malicious code does not exist In case of prohibition act set through the primary security policy, the process is stopped, and if the prohibition act does not occur and the prohibition act does not occur, the risk score for each act is calculated by the second security policy. Summing the risk scores, stopping the process if the summed risk scores exceed a predetermined value, and notifying the user.

이하, 첨부된 도면을 참조하여 본 발명에 따른 바람직한 실시예를 상세하게 설명하기로 한다. 그러나, 이하의 실시예는 이 기술 분야에서 통상적인 지식을 가진 자에게 본 발명이 충분히 이해되도록 제공되는 것으로서 여러 가지 형태로 변형될 수 있으며, 본 발명의 범위가 다음에 기술되는 실시예에 한정되는 것은 아니다.Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings. However, the following embodiments are provided to those skilled in the art to fully understand the present invention, and may be modified in various forms, and the scope of the present invention is limited to the embodiments described below. It is not.

도 1은 컴퓨터 시스템에서 악성실행코드 탐지 장치의 위치관계를 설명하기 위한 블록도이다.1 is a block diagram illustrating the positional relationship of a malicious executable code detection apparatus in a computer system.

도 1을 참조하면, 사용자는 인터넷 및 인트라넷 등과 같은 네트워크를 통해 웹 서버(100)로부터 웹 브라우저(200)로 실행코드를 다운로드 한다. 웹 브라우저(200)에서 실행되는 실행코드가 컴퓨터 시스템 자원(400)에 접근하기 위해서는 보안 정책으로 활동영역이 제한된 샌드박스(Sandbox)(300)와 같이 안전한 영역을 통해서만 컴퓨터 시스템 자원(400)에 액세스 할 수 있다.Referring to FIG. 1, a user downloads executable code from a web server 100 to a web browser 200 through a network such as the Internet and an intranet. In order to execute the execution code executed in the web browser 200 to access the computer system resource 400, the computer system resource 400 is accessed only through a secure area such as a sandbox 300 in which an active area is limited by a security policy. can do.

도 2는 본 발명의 바람직한 실시예에 의한 악성실행코드 탐지 장치를 설명하기 위한 블록도이다.2 is a block diagram illustrating a malicious execution code detection apparatus according to a preferred embodiment of the present invention.

사용자의 클라이언트 컴퓨터 시스템은 네트워크로 연결된 웹 서버(100)로부터 웹 페이지에 내포된 실행코드를 다운 받는다. 다운로드된 실행코드는 자바 애플릿, 액티브엑스 컨트롤, 자바 스크립트 및 비주얼 베이직 스크립트와 같이 클라이언트 컴퓨터의 웹 브라우저(200)에서 독립적으로 실행 가능한 코드를 말한다. 웹 브라우저(200)는 익스플로러(Explorer) 또는 넷스케이프(Netscape) 등이 될 수 있다. 그리고 실행코드는 사용자의 웹 브라우저(200)에서 자동 실행되는데, 이때 실행코드가 원래 사용자가 의도한 행위 이외에 다른 악성 행위를 하게 되는지 악성실행코드 탐지 모듈(500)을 이용하여 감시한다.The client computer system of the user downloads executable code embedded in a web page from a web server 100 connected through a network. The downloaded executable code refers to code that can be executed independently in the web browser 200 of the client computer, such as Java applets, ActiveX controls, JavaScript and Visual Basic script. The web browser 200 may be an Explorer or a Netscape. The execution code is automatically executed in the user's web browser 200. At this time, the execution code is monitored using the malicious execution code detection module 500 to perform malicious actions other than the intended action of the user.

악성실행코드 탐지 모듈(500)은 우선 악성실행코드 데이터 베이스(700)를 이용하여 기존에 알려진 악성실행코드가 있는지에 대한 검사를 수행한다. 알려진 악성실행코드가 없다면, 실행코드 수행을 허가한다. 그리고 모든 행위를 모니터링 하여 사용자 시스템에 어떠한 악성 행위를 수행하려 한다면, 이를 탐지하여 해당 실행코드의 수행을 금지시키고 이에 대한 패턴정보를 생성하여 악성실행코드 데이터 베이스(700)에 저장한다. 이 패턴 정보는 추후 동일한 악성실행코드가 수행될 때, 알려진 악성실행코드를 탐지하는데 사용된다.The malicious executable code detection module 500 first checks whether there is a known malicious executable code using the malicious executable code database 700. If there is no known malicious executable code, the executable code is allowed to run. And if you want to perform any malicious action on the user system by monitoring all the actions, it detects it and prohibits the execution of the execution code and generates pattern information for it and stores it in the malicious execution code database 700. This pattern information is later used to detect known malicious executable code when the same malicious code is executed.

보안 정책부(600)는 악성실행코드 탐지 모듈(500)에서 악성 행위 탐지 시, 해당 악성 행위에 대한 행위별 위험도 점수 목록을 보유하고 있어 이를 통해 각 행위별 위험도 점수를 계산한다. 즉, 보안 정책부(600)는 행위별 위험도 점수를 부여하기 위해 개별 행위에 대한 행위 수행 위험도 점수를 정의하고 있는 행위별 위험도 점수 데이터 베이스를 가질 수 있다. 또한 악성실행코드 탐지 모듈(500)은 업데이트 모듈(900)을 통해 탐지된 악성실행코드 정보 또는 중요한 보안 정책을 전송받거나 다른 탐지 도구로 전송함으로써 신속한 업그레이드가 가능하게 된다.When the malicious policy detection module 500 detects malicious behavior, the security policy unit 600 holds a list of risk scores for each malicious behavior, and calculates a risk score for each behavior. That is, the security policy unit 600 may have a behavioral risk score database that defines a behavioral performance risk score for individual behaviors to assign a risk score for each behavior. In addition, the malicious code detection module 500 can be upgraded quickly by receiving the malicious code information or an important security policy detected through the update module 900, or by transmitting to other detection tools.

도 3는 본 발명의 바람직한 실시예에 의한 악성실행코드 탐지 장치를 모듈별로 더 자세히 설명하기 위한 블록도이다.Figure 3 is a block diagram for explaining in more detail the module for detecting malicious executable code according to an embodiment of the present invention.

도 3을 참조하면, 도 2에 도시된 악성 행위 탐지 모듈(500)은 1차 악성실행코드 탐지 모듈(500) 및 2차 악성실행코드 탐지 모듈(500)을 포함하고, 컴퓨터 시스템 자원(400)은 시스템 자원 감시 모듈(411,412,413)을 포함한다.Referring to FIG. 3, the malicious behavior detection module 500 illustrated in FIG. 2 includes a primary malicious code detection module 500 and a secondary malicious code detection module 500, and includes a computer system resource 400. Includes system resource monitoring modules 411, 412, 413.

웹 서버로부터 다운로드된 실행 코드는 1차 악성실행코드 탐지 모듈(510)에서 악성실행코드 데이터 베이스(700)를 이용하여 1차 통제를 한다. 악성실행코드 데이터 베이스(700)는 기존에 악성실행코드로 감지된 실행코드에 대한 정보를 저장한다. 그리고 다운로드된 실행코드가 악성실행코드 데이터 베이스(700)에 존재하면 실행코드가 수행되기 전에 실행코드에 대한 실행을 중지한다. 이때 악성실행코드 데이터 베이스(700)는 업데이트 모듈(900)을 통해 다른 악성실행코드 탐지 도구로부터 탐지된 악성실행코드 탐지 정보가 업그레이드 된다.Execution code downloaded from the web server is the primary control using the malicious executable code database 700 in the primary malicious executable code detection module 510. The malicious executable code database 700 stores information on the executable code that has been previously detected as malicious executable code. If the downloaded execution code exists in the malicious execution code database 700, execution of the execution code is stopped before the execution code is executed. At this time, the malicious code execution database 700 is upgraded through the update module 900, the malicious code detection information detected from other malicious code detection tools.

2차 악성실행코드 탐지 모듈(520)은 1차 악성실행코드 탐지 모듈(510)에서 악성실행코드가 탐지되지 않는다면 보안 정책부(600)를 이용한 프로세스 통제를 수행한다. 2차 악성실행코드 탐지 모듈(520)에 의한 프로세스 통제는 1차 보안 정책에 의한 프로세스 통제와 2차 보안 정책에 의한 프로세스 통제로 나뉘어 수행된다. 1차 보안 정책에 대한 프로세스 통제는 프로세스에 대한 기본적인 통제를 수행한다. 즉, 특정 파일이나 디렉토리에 대한 행위 등을 원천적으로 방지하는 것으로써, 프로세스 통제 방법 중 가장 단순한 기능과 형태를 제공한다. 반면에 2차 보안 정책에 의한 프로세스 통제는 1차 보안 정책에 의해 탐지되지 않는 프로세스 행위를 통제하기 위한 것으로써, 각 프로세스가 컴퓨터 시스템 자원에 접근한 행위에 대해행위 별 위험도 점수를 누적하여 악성 행위를 감지한다.The second malicious execution code detection module 520 performs process control using the security policy unit 600 if the malicious execution code is not detected in the first malicious execution code detection module 510. Process control by the second malicious execution code detection module 520 is divided into process control by the primary security policy and process control by the secondary security policy. Process control for the primary security policy performs the basic control of the process. In other words, it provides the simplest function and form among the process control methods by fundamentally preventing the action of a specific file or directory. On the other hand, process control by the secondary security policy is to control the process behavior not detected by the primary security policy, and it accumulates malicious behavior by accumulating risk scores by each action for each process's access to computer system resources. Detect it.

시스템 자원 감시 모듈(410)은 각각 파일 시스템 모니터링 모듈(411), 프로세스 모니터링 모듈(412) 및 네트워크 모니터링 모듈(413)로 구성될 수 있다.The system resource monitoring module 410 may be composed of a file system monitoring module 411, a process monitoring module 412, and a network monitoring module 413, respectively.

그중, 파일 시스템 모니터링 모듈(411)은 파일 시스템에서 발생되는 모든 파일 관련 작업을 모니터링 한다. 모니터링된 파일 작업 중 원하지 않는 파일 작업에 대해서 작업을 중지시킬 수 있는 1차 보안 정책에 따라 보안 정책 위배 시 해당 파일 작업을 수행하지 않는다. 그리고 위반 로그를 남긴다. 반면, 1차 보안 정책을 위반하지 않은 파일 작업은 다시 2차 로그를 작성하여 2차 악성실행코드 탐지 모듈에 전송함으로써 2차 보안 정책에 의한 악성 행위 탐지를 수행한다.Among them, the file system monitoring module 411 monitors all file related operations occurring in the file system. If the security policy is violated according to the primary security policy that can suspend the undesired file operation among the monitored file operations, the file operation is not performed. And leaves a violation log. On the other hand, file operations that do not violate the primary security policy perform the malicious activity detection by the secondary security policy by creating the secondary log and sending it to the secondary malicious execution code detection module.

프로세스 모니터링 모듈(412)은 프로세스의 생성과 소멸, 쓰레드(thread)의 생성과 소멸, 해당 프로세스의 이미지 로드에 대한 모니터링 정보를 제공한다. 제공받은 정보를 바탕으로 사용자에 의해 강제로 해당 프로세스를 실행 금지시키는 기능을 사용할 수 있다. 또한 1차 보안 정책에서는 각 프로세스 별 신뢰도 값을 설정하게 되는데, 이 신뢰도 값에 따라 추후 2차 보안 정책에서 행위별 위험도 값이 달라지게 된다.The process monitoring module 412 provides monitoring information about creation and destruction of a process, creation and destruction of threads, and image loading of the process. Based on the information provided, the user can use the function to forcibly execute the process. In addition, in the primary security policy, a confidence value for each process is set. According to this confidence value, the risk value for each action in the secondary security policy is changed later.

네트워크 모니터링 모듈(413)은 네트워크를 통해 모니터링 기능을 수행하게 된다. 여기서 얻어지는 정보를 기반으로 네트워크 연결 상태에 대한 1차 보안 정책 위반 여부를 가려 필터링(filtering) 하게 된다. 1차 보안 정책에서는 네트워크 상태에 대한 항목별 인증 여부를 설정하여 이를 위반 시 해당 프로세스를 중지시킬 수 있다. 만일 1차 보안 정책을 위반하는 행위가 발생하지 않는다면, 각 네트워크행위에 대한 2차 로그를 작성하여 2차 보안 정책을 통한 2차 탐지를 수행한다.The network monitoring module 413 performs a monitoring function through the network. Based on the information obtained here, it filters whether the primary security policy is violated for the network connection status. In the primary security policy, you can set whether or not to authenticate items by network status and stop the process in case of violation. If there is no activity that violates the primary security policy, secondary logs for each network activity are created and secondary detection is performed through the secondary security policy.

2차 악성실행코드 탐지 모듈(520)은 상술한 각 모니터링 모듈에서 전송한 2차 로그를 관리한다. 2차 보안 정책은 각 실행코드 별 행위에 대해 등급을 정하여 각각의 등급에 위험도 점수를 설정한다. 2차 악성실행코드 탐지 모듈에서는 2차 보안 정책의 위험도 점수를 로그 분석을 통한 해당 행위에 적용하여 실행 중인 프로세스에 위험도 점수를 누적시킨다. 이 누적된 위험도 점수가 악성 행위 판정 점수를 넘으면, 악성일 가능성이 높다고 판단하여 보안 정책을 위반하였음을 사용자에게 통보한다.The secondary malicious code detection module 520 manages the secondary log transmitted from each monitoring module described above. The secondary security policy sets a risk score for each class by assigning a rating to each executable code. In the 2nd malware execution module, the risk score of the 2nd security policy is applied to the corresponding action through log analysis, and the risk score is accumulated in a running process. If the accumulated risk score exceeds the malicious behavior determination score, it is determined that it is likely to be malicious and notifies the user that the security policy has been violated.

악성실행코드 경고 모듈(800)에서는 보안 정책 위배에 대한 처리를 실행금지, 무시 및 강제 종료로 구분하여 제공한다. 실행금지를 선택하게 되면, 악성실행코드 데이터 베이스에 프로세스의 정보를 저장하여 앞으로도 계속 실행이 않되도록 한다. 무시를 선택하게 되면, 아무런 제재없이 프로세스의 실행이 계속 이루어진다. 강제 종료를 선택하게 되면, 정책을 위반한 프로세스를 강제적으로 종료하도록 한다.The malicious code execution warning module 800 provides the processing for the security policy violation by dividing it into prohibition, ignore, and forced termination. If you choose not to run, it stores the information of the process in the malicious executable code database so that it cannot be executed continuously. If you choose to ignore, the process will continue running without any sanctions. If you choose to kill, force the termination of the offending process.

도 4는 본 발명의 바람직한 실시예에 의한 악성실행코드 탐지 방법을 설명하기 위한 플로우 차트이다.4 is a flowchart illustrating a malicious execution code detection method according to a preferred embodiment of the present invention.

클라이언트 컴퓨터에 설치된 악성실행코드 탐지 도구는 도 3에 도시한 바와 같이 시스템 모니터링 모듈들(411,412,413), 악성실행코드 데이터 베이스(700), 1차 악성실행코드 탐지 모듈(510), 2차 악성실행코드 탐지 모듈(520), 보안 정책부(600), 악성실행코드 경고 모듈(800)를 포함하여 구성된다.The malware execution tool installed in the client computer includes system monitoring modules 411, 412, 413, malicious code database 700, primary malicious code detection module 510, and secondary malicious code as shown in FIG. 3. It is configured to include a detection module 520, security policy unit 600, malicious code execution warning module (800).

클라이언트 시스템 컴퓨터 시스템은 인터넷 또는 인트라넷 등과 같은 통신 네트워크를 이용하여 서버로부터 실행코드를 다운 받는다(S10). 실행코드 수행 시 미리 알려진 악성 프로세스를 포함하고 있는지 검사하기 위해 기존에 알려진 악성실행코드 데이터 베이스(700)를 이용하여 프로그램 코드에 대한 검색을 수행(S12)하여 일치하는 프로세스가 존재하면 해당 프로세스를 강제 종료시킨다(S14).Client System The computer system downloads the execution code from the server using a communication network such as the Internet or an intranet (S10). In order to check whether the execution code includes a known malicious process, a search for the program code is performed by using a known malicious execution code database 700 (S12), and if a matching process exists, the corresponding process is forced. It ends (S14).

알려진 악성실행코드가 발견되지 않으면, 1차 보안 정책을 통한 1차 악성 행위 탐지 모듈을 수행한다(S16). 1차 보안 정책을 통한 1 차 악성 행위 탐지 모듈에서는 파일 시스템 모니터링 모듈(411), 프로세스 모니터링 모듈(412), 네트워크 모니터링 모듈(413)을 통해 모니터링된 실행코드 수행 행위를 필터링한다.If no known malicious execution code is found, the first malicious behavior detection module through the first security policy is performed (S16). The primary malicious behavior detection module through the primary security policy filters the execution code execution behavior monitored by the file system monitoring module 411, the process monitoring module 412, and the network monitoring module 413.

이때, 파일 시스템 모니터링 모듈(411)를 통한 악성행위 탐지에서는 1차 보안 정책으로 설정한 특정 파일에 대한 접근 행위, 특정 디렉토리에 대한 접근 행위, 속성 변경 행위, 파일 생성 행위 및 파일 재작성 행위 등과 파일 시스템 모니터링 모듈(411)에 의해 모니터링 된 정보를 비교한다. 비교 후, 1차 보안 정책으로 설정된 금지 행위 발생시, 해당 프로세스를 중지시키고, 사용자에게 악성 행위 탐지를 통보함과 동시에 해당 프로세스의 계속 수행 여부를 악성실행코드 경고 모듈(800)을 통해 사용자에게 문의한다(S18).In this case, in the malicious activity detection through the file system monitoring module 411, access to a specific file set as a primary security policy, access to a specific directory, attribute change, file creation and file rewriting, etc. Compare the information monitored by the system monitoring module 411. After the comparison, when the prohibition act set as the primary security policy occurs, the process is stopped, the user is notified of the detection of malicious behavior, and at the same time, the user is asked whether the process is to be continued or not through the malware execution module 800. (S18).

프로세스 모니터링 모듈(412)을 통한 악성 행위 탐지에서는 수집된 프로세스 정보와 1차 보안 정책에서 실행 금지된 프로세스 정보를 비교하여 실행 금지 설정된 프로세스는 실행 중지시키고, 사용자에게 악성 프로세스 발견을 통지하고, 계속 수행 여부를 사용자에게 문의한다(S18).Malicious behavior detection through process monitoring module 412 compares the collected process information with process information that is prohibited to execute in the primary security policy, disables the processes that are not allowed to run, notifies the user of malicious process detection, and continues Ask the user whether or not (S18).

또한 네트워크 모니터링 모듈(413)을 통한 악성 행위 탐지에서는 수집된 정보와 1차 보안 정책에서 실행 금지되도록 설정된 네트워크 정보 즉, 소스 포트, 소스 IP, 대상 포트, 대상 IP 등과 같은 정책을 비교하여 금지 행위 발생 시 해당 프로세스를 중지시키고, 악성 행위 탐지를 통보함과 동시에, 해당 프로세스의 계속 수행 여부를 악성실행코드 경고 모듈을 통해 사용자에게 문의한다(S18).In addition, the malicious activity detection through the network monitoring module 413 compares the collected information with the network information that is set to be prohibited in the primary security policy, that is, a policy such as a source port, a source IP, a destination port, and a destination IP. At the same time, stops the process, notifies the detection of malicious behavior, and at the same time asks the user through the malicious executable code warning module whether the process continues to perform (S18).

이와 같이 1차 보안 정책과 각 모니터링 모듈(411,412,413)로부터 보고되는 정보를 기반으로 1차 악성 행위 탐지 모듈(510)에서는 악성실행코드에 대한 1차 필터링을 수행한다. 만일 1차 필터링 단계에서 악성 행위가 발견되지 않는다면, 각 모니터링 모듈에서는 모니터 별로 2차 로그를 작성하여 2차 악성행위 탐지 모듈(520)로 전송한다. 즉, 1차 보안 정책을 통해 악성 행위가 탐지되지 않은 실행코드는 다시 2차 보안 정책을 통해 2차 필터링 된다(S20).As described above, based on the primary security policy and the information reported from each of the monitoring modules 411, 412, and 413, the first malicious behavior detection module 510 performs the first filtering on the malicious executable code. If no malicious activity is found in the first filtering step, each monitoring module generates a second log for each monitor and transmits it to the second malicious activity detection module 520. In other words, the execution code for which malicious behavior is not detected through the primary security policy is secondarily filtered through the secondary security policy (S20).

2차 악성 행위 탐지 모듈(520)에서는 각 행위별 위험도 점수 데이터 베이스를 유지하면서, 각 모니터링 모듈들(411,412,413)로부터 분석된 행위별로 행위별 위험도 점수를 부여하게 된다.The secondary malicious behavior detection module 520 maintains a risk score database for each behavior, and assigns a risk score for each behavior for each analysis analyzed from the monitoring modules 411, 412, and 413.

우선, 1차 보안 정책을 통과한 실행 코드에 대해 해당 실행 코드가 수행한 파일에 대한 모니터링 정보를 통해 파일 속성 변경 행위, 파일 내용 자체 접근 행위, 행위 파일 확장자 등에 대한 정보와 행위별 위험도 점수 데이터 베이스를 이용하여 해당 행위별 위험도 점수를 계산한다. 여기서 행위별 위험도 점수는 파일 행동에 대한 행위별 악성 위험도 점수와 프로세스 신뢰도, 접근 디렉토리 위험도 점수 등의 정보를 이용해 계산한다. 그리고 각 프로세스 별 파일에 대한 보안 정책위반 누적 위험도 점수를 계산한다.First of all, information on file property change, file contents access, file extension, and other risk score database is provided through monitoring information on the file executed by the execution code for the execution code that has passed the primary security policy. Calculate the risk score for each behavior using. Here, the risk score by behavior is calculated using information such as malicious risk score, process reliability, and access directory risk score for file behavior. The cumulative risk score for security policy violation for each process file is calculated.

파일 모니터를 통한 2차 악성 행위 탐지와 마찬가지로 프로세스 모니터를 통해 프로세스 별 악성 행위 탐지를 수행한다. 2차 보안 정책을 통해 각 프로세스 별 신뢰도를 설정하게 되면, 설정된 신뢰도에 따라 해당 프로세스가 수행할 수 있는 활동 범위(악성 행위 추정 점수 영역)가 조정되어 비교적 신뢰도가 낮게 부여된 프로세스는 악성 행위로 탐지될 확률이 높아진다. 즉, 신뢰도가 낮은 프로세스는 시스템 자원 활용 시 악성 행위 판정 점수가 낮게 설정됨으로써 각 모니터 별로 계산된 누적 위험도 점수가 적은 점수에도 악성으로 판정될 수 있다.Similar to the 2nd malicious behavior detection through file monitor, the process monitor performs malicious behavior detection by process. When the reliability of each process is set through the secondary security policy, the scope of activity (malicious behavior estimation score area) that the process can perform is adjusted according to the established reliability, and processes with low reliability are detected as malicious behavior. The chances of becoming high. In other words, a process with low reliability may be determined to be malicious even when a score for which a cumulative risk score calculated for each monitor is small is set because a malicious behavior determination score is set low when system resources are utilized.

네트워크 모니터를 통한 2차 악성 행위 탐지에서는 해당 프로세스에 대한 네트워크 포트 선정, 해당 프로세스에 대한 송,수신되는 패킷 등에 대한 네트워크 모니터 모듈의 분석과 2차 보안 정책에서 설정한 네트워크 포트 선점에 대한 위험도, 네트워크 전송 패킷에 대한 위험도 등에 대한 설정값을 기반으로 2차 악성 행위를 탐지한다. 예를 들어 프로세스 신뢰도에 따라 송,수신되는 포트별 위험도 점수를 달리 주거나, 프로세스 신뢰도에 따라 단위 시간 당 송신되는 패킷을 IP 개수 등을 검사하여 서로 다른 위험도 점수를 부가하도록 하며, 각 행위에 대한 행위별 위험도 점수를 계산하여 이를 누적한다.In the second malicious activity detection through network monitor, the network monitor module analyzes the network port selection for the process, the packets sent and received for the process, the risk of preoccupying the network port set in the secondary security policy, and the network. Secondary malicious activity is detected based on the setting value of the risk for the transport packet. For example, different risk scores are given for each port sent and received according to process reliability, or IP packets are added to the packet transmitted per unit time according to process reliability, and different risk scores are added. The risk score for each star is calculated and accumulated.

각 모니터 모듈과 2차 보안 정책에 의해 계산된 행위별 위험도 점수는 전체 합산하여 사용자가 지정한 악성 행위 판정 점수를 넘으면, 해당 프로세스를 악성으로 판정하여 사용자에게 악성 행위 탐지를 통보하고 계속 수행 여부를 문의하게 된다(S18).When the risk scores by behavior calculated by each monitor module and the secondary security policy are added together and exceed the malicious behavior determination score specified by the user, the process is judged to be malicious and the user is notified of the malicious behavior detection and asked whether to continue the execution. (S18).

악성실행코드 경고 모듈(800)에서는 해당 악성 행위의 계속 수행 여부를 사용자에게 문의하여 사용자가 계속 수행을 원한다면 해당 프로세스를 수행하고(S26), 수행중지를 원한다면 프로세스를 중지하고, 해당 프로세스 즉, 실행코드에 대한 패턴 정보를 가공하여, 악성실행코드 데이터 베이스(700)에 삽입한다(S28). 이를 통해 추후 같은 악성실행코드가 다시 다운로드 되더라도 해당 프로세스는 알려진 악성실행코드 탐지 모듈에서 보다 신속하고 효율적으로 탐지하게 된다.The malicious code execution alert module 800 asks the user whether to continue performing the malicious activity and performs the corresponding process if the user wants to continue (S26), stops the process if the user wants to stop the execution, that is, executes the process. The pattern information for the code is processed and inserted into the malicious execution code database 700 (S28). This ensures that even if the same malware is downloaded again later, the process is detected more quickly and efficiently by the known malware detection module.

이상에서 설명한 바와 같이, 본 발명에 의한 위험도 산정을 통한 악성실행코드 탐지 장치 및 그 방법은, 기존에 알려진 악성실행코드 탐지 데이터 베이스를 이용한 1차 악성실행코드 탐지 모듈, 행위 수행 금지 목록을 포함하고 있는 1차 보안 정책을 통하여 신속하게 실행코드의 악성 행위를 탐지하며, 이를 통해서도 탐지되지 않는 악성실행코드에 대해서는 행위 모니터링 도구를 통한 세부 행위 모니터 및 모니터된 정보의 정책 기반 점수화, 실행 코드별 악성 행위 위험도 점수화 등을 통해 악성실행코드를 탐지해 내는 효과가 있다. 또한 2차 보안 정책을 통해 악성 행위 판정을 위한 세부적인 행위별 위험도 점수 목록 관리 및 악성 행위 판정 점수 관리 등을 수행함으로써 사용자에 특화된 정책을 설정하고 세부적인 위험 행위 관리를 수행할 수 있는 효과가 있다.As described above, the apparatus for detecting malicious code by using the risk calculation according to the present invention, and a method thereof, includes a primary malicious code detecting module using a previously known malicious code detection database, and a list of prohibition of conduct. Malicious behavior of executable code is quickly detected through the primary security policy, and detailed behavior monitoring through behavior monitoring tool and policy-based scoring of monitored information and malicious behavior by execution code for malicious execution code not detected through this It is effective to detect malicious executable code through risk scoring. In addition, detailed security risk score list management and malicious behavior determination score management for malicious behavior determination through secondary security policy can set user-specific policy and perform detailed risk behavior management. .

이상, 본 발명의 바람직한 실시예를 들어 상세하게 설명하였으나, 본 발명은 상기 실시예에 한정되는 것은 아니며, 본 발명의 기술적 사상의 범위내에서 당분야에서 통상의 지식을 가진 자에 의하여 여러 가지 변형이 가능하다.As mentioned above, although the present invention has been described in detail with reference to preferred embodiments, the present invention is not limited to the above embodiments, and various modifications may be made by those skilled in the art within the scope of the technical idea of the present invention. This is possible.

Claims (8)

네트워크를 통해 다운로드된 악성실행코드를 탐지하는 악성실행코드 탐지 장치에 있어서,In the malicious code detection device for detecting malicious executable code downloaded through the network, 이미 알려진 악성실행코드를 저장하는 악성실행코드 데이터 베이스;Malicious executable code database for storing known malicious executable code; 파일 시스템, 프로세스 및 네트워크를 모니터링하는 시스템 자원 감시 모듈;A system resource monitoring module for monitoring file systems, processes and networks; 상기 시스템 자원 감시 모듈을 이용하여 특정 파일이나 디렉토리에 대한 행위를 원천적으로 방지하기 위한 1차 보안 정책 및 각 프로세스에 대한 위험도 점수를 누적하여 악성행위를 감지하기 위한 2차 보안 정책을 수행하는 보안 정책부;A security policy that executes a secondary security policy for detecting malicious behavior by accumulating risk scores for each process and a primary security policy for fundamentally preventing an action on a specific file or directory using the system resource monitoring module. part; 상기 악성실행코드 데이터 베이스를 통한 1차 탐지 및 상기 보안 정책부를 통한 2차 탐지를 수행하는 악성실행코드 탐지 모듈;A malicious execution code detection module for performing primary detection through the malicious execution code database and secondary detection through the security policy unit; 새로운 악성실행코드 정보 또는 중요한 보안 정책을 상기 악성실행코드 탐지 모듈 및 상기 악성실행코드 데이터 베이스에 전송하는 업데이트 모듈; 및An update module for transmitting new malicious code information or an important security policy to the malicious code detection module and the malicious code database; And 상기 악성실행코드 탐지 모듈에서 탐지된 보안 정책 위배에 대한 처리를 실행금지, 무시 및 강제종료로 구분하여 제공하는 악성실행코드 경고 모듈을 포함하는 것을 특징으로 하는 위험도 산정을 통한 악성실행코드 탐지 장치.Malicious execution code detection device through the risk calculation, characterized in that it comprises a malicious execution code warning module for providing the processing for violation of the security policy detected by the malicious execution code detection module divided into prohibition, ignoring and forced termination. 제1 항에 있어서, 상기 시스템 자원 감시 모듈은The method of claim 1, wherein the system resource monitoring module 파일 시스템에서 발생되는 모든 파일 관련 작업을 모니터링 하는 파일 시스템 모니터링 모듈;A file system monitoring module for monitoring all file related operations occurring in the file system; 프로세스 또는 쓰레드의 생성 및 소멸, 해당 프로세스의 이미지 로드를 모니터링 하는 프로세스 모니터링 모듈; 및A process monitoring module for monitoring the creation and destruction of a process or thread, and the loading of the image of that process; And 네트워크를 통한 모니터링을 수행하는 네트워크 모니터링 모듈을 포함하는 것을 특징으로 하는 위험도 산정을 통한 악성실행코드 탐지 장치.Malicious execution code detection device through the risk calculation, characterized in that it comprises a network monitoring module for performing monitoring over the network. 제1 항에 있어서, 상기 악성실행코드 탐지 모듈은According to claim 1, wherein the malicious code execution detection module 상기 악성실행코드 데이터 베이스를 이용하여 1차 탐지를 수행하는 1차 악성실행코드 탐지 모듈 및A primary malicious executable code detection module for performing primary detection using the malicious executable code database; 특정 파일이나 디렉토리에 대한 행위를 원천적으로 방지하기 위한 1차 보안 정책 및 각 프로세스가 시스템 자원에 접근한 행위에 대해 행위 별 위험도 점수를 누적하여 악성행위를 탐지하기 위한 2차 보안 정책을 이용하여 2차 탐지를 수행하는 2차 악성실행코드 탐지 모듈을 포함하는 것을 특징으로 하는 위험도 산정을 통한 악성실행코드 탐지 장치.By using the primary security policy to prevent the behavior on a specific file or directory and the secondary security policy to detect malicious behavior by accumulating risk scores by each action for the actions of each process accessing system resources. Malicious executable code detection device through the risk calculation, characterized in that it comprises a secondary malicious code detection module for performing a secondary detection. 제1 항에 있어서, 상기 보안 정책부는,The method of claim 1, wherein the security policy unit, 행위별 위험도 점수를 부여하기 위해 개별 행위에 대한 행위 수행 위험도 점수를 정의하고 있는 행위별 위험도 점수 데이터 베이스를 포함하는 것을 특징으로 하는 위험도 산정을 통한 악성실행코드 탐지 장치.Apparatus for detecting malicious execution code through the risk calculation, characterized in that it includes a risk score database for each action that defines the behavior performance risk score for each individual action to give a risk score for each action. 네트워크를 통해 다운로드된 악성실행코드를 탐지하는 악성실행코드 탐지방법에 있어서,In the malicious executable code detection method for detecting malicious executable code downloaded through the network, (a) 이미 알려진 악성실행코드가 존재하는지 검사하고, 존재하면 해당 프로세스를 강제 종료시키는 단계;(a) checking for the existence of known malicious executable code and forcibly terminating the process if present; (b) 악성실행코드가 존재하지 않으면, 1차 보안 정책을 통해 설정한 금지행위 발생 시 해당 프로세스를 중지시키고, 사용자에게 통보하는 단계; 및(b) if the malicious executable code does not exist, stopping the process and notifying the user when a prohibition act set through the primary security policy occurs; And (c) 금지행위가 발생하지 않으면, 2차 보안 정책을 통해 각 행위별 위험도 점수를 계산하여 계산된 행위별 위험도 점수를 합산하고, 상기 합산된 위험도 점수가 소정값을 넘으면 해당 프로세스를 중지시키고, 사용자에게 통보하는 단계를 포함하는 것을 특징으로 하는 위험도 산정을 통한 악성실행코드 탐지방법.(c) if the prohibition does not occur, the risk score for each action is calculated through the secondary security policy, and the calculated risk score for each action is summed, and if the summed risk score exceeds a predetermined value, the process is stopped; Malicious executable code detection method through the risk calculation, characterized in that it comprises the step of notifying the user. 제5 항에 있어서, 상기 (c) 단계 후에,The method of claim 5, wherein after step (c), 해당 프로세스를 계속 수행하거나, 해당 프로세스를 중지하고 악성실행코드에 대한 패턴 정보를 가공하여 저장하는 단계를 더 포함하는 것을 특징으로 하는 위험도 산정을 통한 악성실행코드 탐지방법.Continued execution of the process, or stopping the process and processing the pattern information for the malicious executable code further comprises the step of storing and storing the malicious executable code detection method characterized in that the risk. 제5 항에 있어서, 상기 (b) 단계에 있어서,The method of claim 5, wherein in step (b), 1차 보안 정책을 통해 설정한 금지행위는 특정 파일에 대한 접근 행위, 특정 디렉토리에 대한 접근 행위, 속성 변경 행위, 파일 생성 행위, 파일 재작성 행위, 실행 금지 설정된 프로세스의 실행 행위, 실행 금지 설정된 네트워크의 실행 행위 등인 것을 특징으로 하는 위험도 산정을 통한 악성실행코드 탐지방법.The prohibitions set through the primary security policy include access to a specific file, access to a specific directory, attribute change, file creation, file rewrite, execution of a prohibited process, and a prohibited network Malicious execution code detection method through the risk calculation, characterized in that the execution behavior. 제5 항에 있어서, 상기 (c) 단계에 있어서, 상기 2차 보안 정책을 통한 각 행위별 위험도 점수는,The method according to claim 5, wherein in the step (c), the risk score for each action through the secondary security policy is 파일 행동에 대한 행위별 악성 위험도 점수 및 접근 디렉토리 위험도 점수 등의 정보를 이용하는 파일 모니터링,File monitoring using information such as malicious risk score and access directory risk score for each file behavior, 각 프로세스 별 신뢰도를 설정하여 상기 신뢰도에 따라 해당 프로세스가 수행할 수 있는 활동 범위를 조정하는 프로세스 모니터링 및Process monitoring that adjusts the range of activities that can be performed by the process by setting the reliability for each process, and 각 프로세스에 대한 네트워크 포트 선정, 해당 프로세스에 대한 송,수신되는 패킷에 대한 네트워크 모니터 모듈의 분석 및 네트워크 포트 선점에 대한 위험도, 네트워크 전송 패킷에 대한 위험도 등에 대한 설정값을 이용하는 네트워크 모니터링을 이용하여 계산하는 것을 특징으로 하는 위험도 산정을 통한 악성실행코드 탐지방법.Calculation using network monitoring using settings for network port selection for each process, analysis of the network monitor module for packets sent and received for that process, and risks for network port preemption, and risks for network transport packets. Malicious executable code detection method through the risk calculation characterized in that.
KR10-2002-0083749A 2002-12-24 2002-12-24 Method and Apparatus for Detecting Malicious Executable Code using Behavior Risk Point KR100475311B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR10-2002-0083749A KR100475311B1 (en) 2002-12-24 2002-12-24 Method and Apparatus for Detecting Malicious Executable Code using Behavior Risk Point

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR10-2002-0083749A KR100475311B1 (en) 2002-12-24 2002-12-24 Method and Apparatus for Detecting Malicious Executable Code using Behavior Risk Point

Publications (2)

Publication Number Publication Date
KR20040056998A true KR20040056998A (en) 2004-07-01
KR100475311B1 KR100475311B1 (en) 2005-03-10

Family

ID=37349615

Family Applications (1)

Application Number Title Priority Date Filing Date
KR10-2002-0083749A KR100475311B1 (en) 2002-12-24 2002-12-24 Method and Apparatus for Detecting Malicious Executable Code using Behavior Risk Point

Country Status (1)

Country Link
KR (1) KR100475311B1 (en)

Cited By (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100512360B1 (en) * 2002-10-18 2005-09-02 엘지전자 주식회사 Apparatus and method message conversion between each other mobile communication systems
KR100688604B1 (en) * 2004-11-18 2007-03-02 고려대학교 산학협력단 Apparatus and method for intercepting malicious executable code in the network
KR100789722B1 (en) * 2006-09-26 2008-01-02 한국정보보호진흥원 The method and system for preventing malicious code spread using web technology
KR100896319B1 (en) * 2006-11-23 2009-05-07 한국전자통신연구원 Apparatus and method for detecting packed file
WO2011043627A2 (en) * 2009-10-09 2011-04-14 주식회사 안철수연구소 Method for curing malicious site, apparatus, and network-based malicious site curing system
KR101033932B1 (en) * 2007-10-12 2011-05-11 한국전자통신연구원 Apparatus and method for monitor and protect system resources from web browsers
KR101047118B1 (en) * 2008-12-22 2011-07-07 한국전자통신연구원 Network security system and method for detecting exploit code
KR101106360B1 (en) * 2006-06-16 2012-01-18 야후! 인크. Search early warning
US8336097B2 (en) 2007-10-12 2012-12-18 Electronics And Telecommunications Research Institute Apparatus and method for monitoring and protecting system resources from web browser
KR101281160B1 (en) * 2006-02-03 2013-07-02 주식회사 엘지씨엔에스 Intrusion Prevention System using extract of HTTP request information and Method URL cutoff using the same
KR101329108B1 (en) * 2011-12-15 2013-11-20 고려대학교 산학협력단 System for evaluating the degree of risk for hopping and distribution sites of malicious code and method for evaluating the same
US8732833B2 (en) 2011-12-15 2014-05-20 Electronics And Telecommunications Research Institute Two-stage intrusion detection system for high-speed packet processing using network processor and method thereof
US20170337374A1 (en) * 2016-05-23 2017-11-23 Wistron Corporation Protecting method and system for malicious code, and monitor apparatus
KR102211846B1 (en) * 2020-07-21 2021-02-03 국방과학연구소 Ransomware detection system and operating method thereof

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101032134B1 (en) * 2009-02-27 2011-05-02 이니텍(주) The system of web service contents control and management for a encrypted and normal contents include a confidential data
KR101068931B1 (en) 2009-03-05 2011-09-29 김동규 Web Shell Monitoring System and Method based on Pattern Detection
KR101051641B1 (en) * 2010-03-30 2011-07-26 주식회사 안철수연구소 Mobile communication terminal and behavior based checking virus program method using the same
KR101331075B1 (en) 2012-04-23 2013-11-21 성균관대학교산학협력단 Method of filtering application framework for portable device and apparatus for performing the same

Cited By (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100512360B1 (en) * 2002-10-18 2005-09-02 엘지전자 주식회사 Apparatus and method message conversion between each other mobile communication systems
KR100688604B1 (en) * 2004-11-18 2007-03-02 고려대학교 산학협력단 Apparatus and method for intercepting malicious executable code in the network
KR101281160B1 (en) * 2006-02-03 2013-07-02 주식회사 엘지씨엔에스 Intrusion Prevention System using extract of HTTP request information and Method URL cutoff using the same
KR101106360B1 (en) * 2006-06-16 2012-01-18 야후! 인크. Search early warning
KR100789722B1 (en) * 2006-09-26 2008-01-02 한국정보보호진흥원 The method and system for preventing malicious code spread using web technology
KR100896319B1 (en) * 2006-11-23 2009-05-07 한국전자통신연구원 Apparatus and method for detecting packed file
US8336097B2 (en) 2007-10-12 2012-12-18 Electronics And Telecommunications Research Institute Apparatus and method for monitoring and protecting system resources from web browser
KR101033932B1 (en) * 2007-10-12 2011-05-11 한국전자통신연구원 Apparatus and method for monitor and protect system resources from web browsers
KR101047118B1 (en) * 2008-12-22 2011-07-07 한국전자통신연구원 Network security system and method for detecting exploit code
WO2011043627A2 (en) * 2009-10-09 2011-04-14 주식회사 안철수연구소 Method for curing malicious site, apparatus, and network-based malicious site curing system
WO2011043627A3 (en) * 2009-10-09 2011-08-25 주식회사 안철수연구소 Method for curing malicious site, apparatus, and network-based malicious site curing system
KR101329108B1 (en) * 2011-12-15 2013-11-20 고려대학교 산학협력단 System for evaluating the degree of risk for hopping and distribution sites of malicious code and method for evaluating the same
US8732833B2 (en) 2011-12-15 2014-05-20 Electronics And Telecommunications Research Institute Two-stage intrusion detection system for high-speed packet processing using network processor and method thereof
US20170337374A1 (en) * 2016-05-23 2017-11-23 Wistron Corporation Protecting method and system for malicious code, and monitor apparatus
US10922406B2 (en) * 2016-05-23 2021-02-16 Wistron Corporation Protecting method and system for malicious code, and monitor apparatus
KR102211846B1 (en) * 2020-07-21 2021-02-03 국방과학연구소 Ransomware detection system and operating method thereof

Also Published As

Publication number Publication date
KR100475311B1 (en) 2005-03-10

Similar Documents

Publication Publication Date Title
KR100475311B1 (en) Method and Apparatus for Detecting Malicious Executable Code using Behavior Risk Point
US9910981B2 (en) Malicious code infection cause-and-effect analysis
US7779468B1 (en) Intrusion detection and vulnerability assessment system, method and computer program product
US7882560B2 (en) Methods and apparatus providing computer and network security utilizing probabilistic policy reposturing
US7565549B2 (en) System and method for the managed security control of processes on a computer system
KR100734732B1 (en) Method and system for responding to a computer intrusion
KR101565590B1 (en) A system for expanding the security kernel with system for privilege flow prevention based on white list
AU2004289001A1 (en) Method and system for addressing intrusion attacks on a computer system
KR101951730B1 (en) Total security system in advanced persistent threat
US20220417255A1 (en) Managed detection and response system and method based on endpoints
CN116708210A (en) Operation and maintenance processing method and terminal equipment
EP2208303A2 (en) Method and system for protecting a computer against malicious software
Hamad et al. Red-Zone: Towards an Intrusion Response Framework for Intra-vehicle System.
WO2021194370A1 (en) Method and system for deciding on the need for an automated response to an incident
KR101872605B1 (en) Network recovery system in advanced persistent threat
KR20170052779A (en) Method and apparatus for security enhancement based on java agent
JP4638494B2 (en) Computer data protection methods
KR102182397B1 (en) Web Service Protection and Automatic Recovery Method and System Thereof
KR20100067383A (en) Server security system and server security method
KR101904415B1 (en) System recovery method in advanced persistent threat
KR100961438B1 (en) System and method for real-time intrusion detection, and record media recoded program for implement thereof
KR20160084969A (en) System and method for Abnormal access detection in mobile work environments with context-aware technology
CN117879854A (en) Network threat coping method and device
JP2023177332A (en) Arrangement and method of threat detection in computer or computer network
KR101463053B1 (en) Method and apparatus for managing web-site connection

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20090115

Year of fee payment: 5

LAPS Lapse due to unpaid annual fee